Log inBook a demo

データ保護補足契約(DPA)

セクション1 - 目的

本データ保護付随書(「付随書」)は、注文書に指定されたDispel, LLCまたはDispel Global, Inc(「Dispel」)と会社(Company)との間で締結されます(各当事者を「当事者」、総称して「当事者ら」といいます)。本付随書は当事者ら間の既存の、現在の、または将来のいかなる契約(当該契約を個別または総称して「契約」といいます)にも補足し一部を構成します。本付随書は契約の発効日(「発効日」)に効力を生じます。ただし、関連する義務は次の範囲でのみ適用されます:(i) 個人データが適用されるデータ保護法の対象となる場合、かつ (ii) 当該適用データ保護法が発効している場合。

セクション2 - 契約との関係

本付随書と契約との間に矛盾が生じた場合、当該矛盾を解決するために必要な範囲で付随書が優先します。国際的なデータ移転メカニズム(International Data Transfer Mechanism)を当事者らが利用しており、その国際的データ移転メカニズムの義務と本付随書の間に矛盾がある場合は、当該国際的データ移転メカニズムが優先します。

セクション3 - 定義

大文字表記の用語で定義されていないものは契約で与えられた意味を有します。

  1. 適用されるデータ保護法「」とは、契約に基づく個人データの処理に適用されるすべてのデータ保護およびプライバシー法を意味し、カリフォルニア消費者プライバシー法(「CCPA」)、コロラド州プライバシー法、コネチカット州の2022年個人データプライバシーおよびオンライン監視に関する法、ユタ州の2022年消費者プライバシー法、バージニア州消費者データ保護法、ならびに規則2016/679(一般データ保護規則)(「GDPR」)を含み、各々随時改正されるものおよびそれに基づいて公布される規則を含みます。

  2. 同意「」とは、データ主体がその意思を自由に、特定的に、十分に情報に基づいて、かつ明確に示すものであり、当該データ主体が声明または明確な積極的行為によって自らに関する個人データの処理に同意することを示すことを意味します。

  3. 管理者(Controller)「」とは、個人データの処理の目的および手段を決定する主体を意味します。「管理者」には、文脈に応じてCCPAで定義される「Business」および「Third Party」など、他の適用データ保護法における同等の用語が含まれます。

  4. データ漏えい(Data Breach)「」とは、適用データ保護法で参照される「システムの安全性の違反」「セキュリティ侵害」「セキュリティの違反」「システムセキュリティの侵害」およびその他類似の用語を意味します。

  5. データ輸出者(Data Exporter)「」とは、(1) 国際的データ移転メカニズムを必要とする法域に法人拠点またはその他の安定した取扱いを有し、かつ (2) 個人データを移転する、または個人データをデータ輸入者に利用可能にする当事者を意味します。

  6. データ輸入者(Data Importer)「」とは、(1) データ輸出者の法域とは異なる法域に所在し、かつ (2) データ輸出者から個人データを受領する、あるいはデータ輸出者が利用可能にした個人データにアクセスできる当事者を意味します。

  7. データ主体(Data Subject)「」とは、識別されている、または識別可能な自然人を意味します。

  8. 個人データ(Personal Data)「」とは、識別されている、または識別可能な自然人に直接的または間接的に結びつく、または結びつけ可能な情報を意味します。「個人データ」には、文脈に応じてCCPAで定義される「Personal Information」など、適用されるデータ保護法における同等の用語が含まれます。

  9. 処理者(Processor)「」とは、他の主体に代わって個人データを処理する主体を意味します。「処理者」には、文脈に応じてCCPAで定義される「Service Provider」など、他の適用データ保護法における同等の用語が含まれます。

  10. センシティブデータ(Sensitive Data)「」とは、次の種類およびカテゴリのデータを意味します:人種または民族的出自、政治的見解、宗教的または哲学的信念、労働組合の加盟状況、精神的または身体的健康状態や診断、性生活または性的指向、市民権または移民ステータスを明らかにする個人データ;遺伝データ;生体認証データ;政府発行の識別番号;支払いカード情報;アカウントへのアクセスを可能にするパスワードやその他のアクセスコードと組み合わせた暗号化されていない識別子またはユーザー名;正確な位置情報(ジオロケーション情報);既知の子供に関する情報。

  11. 標準契約条項(Standard Contractual Clauses)「」とは、欧州経済領域(「EEA」)から第三国への国際移転に関する欧州連合の標準契約条項、Commission Implementing Decision (EU) 2021/914(2021年6月4日)を意味し、以下で入手可能です。 https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.

  12. サブプロセッサー(Subprocessor)「」とは、処理者として行動する当事者によって従事される処理者を意味します。

  13. 以下の用語は、適用データ保護法で割り当てられた意味を有します:「Business、」「Business 目的(Purpose)、」「クロスコンテキスト行動ターゲティング(Cross-Context Behavioral Advertising)、」「識別解除データ(De-identified Data)、」「処理(Process)」(およびその類語)、「仮名化データ(Pseudonymous Data)、」「販売(Sale)」(およびその類語)、「サービスプロバイダー(Service Provider)、」「共有(Share)」(およびその類語)、および「第三者(Third Party)」と呼びます。

セクション4 - 当事者の個人データ処理活動の説明および当事者の地位

  1. スケジュール1は、当事者の処理の目的、処理に関与する個人データの種類またはカテゴリ、および処理の影響を受けるデータ主体のカテゴリを記載します。

  2. スケジュール1は、適用データ保護法に基づく当事者の地位を記載します。

セクション5 - 国際データ移転

  1. 一部の法域では、個人データを別の法域の受領者に移転する主体が、受領者の法域の法律が移転元の法域と同等の方法で個人データを保護しない場合に、個人データに特別な保護を確保するための追加措置(「国際的データ移転メカニズム」)を講じることを要求します。当事者らは、適用データ保護法により要求される可能性のある国際的データ移転メカニズム(標準契約条項を含む)に従います。

  2. 当事者らが依拠する国際的データ移転メカニズムが無効または置き換えられた場合、当事者らは適切な代替手段を誠実に協議して見つけるよう努めます。

  3. データ輸出者がデータ輸入者に移転する、またはデータ輸入者がアクセスできるようにするEEA、スイス、または英国に所在するデータ主体の個人データに関して、当事者らはDispelがEU‑U.S.データプライバシーフレームワーク、Swiss‑U.S.データプライバシーフレームワーク、およびEU‑U.S.データプライバシーフレームワークに対する英国拡張の認証を受けていることを認めます。

  4. 国際的データ移転メカニズムを必要とする法域(例:EEA、スイス、英国)に所在するデータ主体の個人データをデータ輸出者がデータ輸入者に移転する、またはデータ輸入者がアクセスできるようにする場合、当事者らは本付随書を締結することにより、標準契約条項も締結するものとし、当該標準契約条項は参照により組み込まれ、契約の不可欠な部分を構成することに合意します。当事者らは、標準契約条項の当事者の入力を要する要素に関して、スケジュール1〜4が標準契約条項およびその付属書に関連する情報を含むことに合意します。また、英国、スイス、またはスケジュール4で指定された他の国のデータ主体の個人データについては、当該国の法に適合させるためにスケジュール4に記載された標準契約条項の修正を採用することに合意します(該当する場合)。

セクション6 - 一般的なデータ保護義務

  1. 遵守(Compliance)。当事者らは、CCPAに基づきBusinessに要求されるレベルのプライバシー保護を提供することを含め、適用されるデータ保護法に基づく各自の義務を遵守します。

  2. 要請があった場合、Dispelは、会社がデータ保護評価やデータ保護当局との事前協議を行う義務(該当する場合)を履行できるよう、合理的に関連する情報を会社に提供します。

  3. 通知(Notification)。Dispelは、適用されるデータ保護法に基づく義務をもはや満たせないと判断した場合、会社に通知します。

セクション7 - Dispelの処理者またはサービスプロバイダーとしての義務

  1. Dispelが会社の処理者またはサービスプロバイダーとしてデータ主体の個人データを処理する場合、Dispelは本セクション7に記載された義務を負います。

  2. 処理の範囲

    1. Dispelは、スケジュール1に指定された事業目的のため、契約に基づく義務を遂行するため、および会社の文書化された指示を実行するためにのみ個人データを処理します。

    2. 契約および本付随書の範囲外でいかなる個人データを処理する場合でも、事前の書面によるDispelと会社との合意が必要です。

    3. Dispelは、(1) スケジュール1に指定された事業目的以外の目的(会社の指示の遂行以外の商業目的のための個人データの保持、使用、開示を含む)で個人データを保持、使用、開示すること、(2) 当事者らの直接の事業関係の外で保持、使用、開示すること(適用データ保護法で許可される場合を除く)、または (3) Dispelが会社から、または会社に代わって受領する個人データを、別の個人または複数の者から受領する個人データや自らのデータ主体とのやり取りから収集した個人データと結合することを禁止されています。ただし、Dispelは適用されるデータ保護法で許可された事業目的を遂行するために個人データを結合することができます。

    4. Dispelは、契約に基づいて収集または取得した個人データを販売(Sell)または共有(Share)しません。

  3. 機密保持。 Dispelは、個人データを処理する各人が当該個人データに関して機密保持義務の対象となることを保証します。

  4. 遵守。

    1. Dispelは、会社が受領したデータ主体の削除および訂正の要求を会社がDispelに転送した場合、適用データ保護法に基づくデータ主体の要求に応じて会社が遵守するのを支援し、会社がデータ主体の個人データへのアクセス要求に対応するために必要とするDispelが保有するいかなる個人データも会社に提供します。

    2. Dispelは、会社の合理的な要請があった場合、適用されるデータ保護法に基づくDispelの義務への準拠を示すために必要な保有情報を会社にすべて提供します。

  5. 許可された活動(Permitted Activities)。 前記の禁止にかかわらず、当事者らはDispelが次の活動のために個人データを処理することを認め、会社はDispelに対して当該活動を指示します。これらはスケジュール1に指定された事業目的をサポートするために必要な場合、データセキュリティ事案の検出、不正または違法行為からの保護、修理の実行、およびスケジュール1に指定された事業目的のために提供されるサービスの品質を維持および改善するための活動を含みます。

  6. サブプロセッサー(Subprocessors)。

    1. Dispelが事業目的のために個人データをサブプロセッサーに開示する場合、Dispelと当該サブプロセッサーは、サブプロセッサーが (i) 個人データを販売または共有すること、もしくは (ii) 個人データを開示された特定の事業目的以外の目的で保持、使用、開示することを禁止する書面契約を締結します。

    2. Dispelは、サブプロセッサーに対して、CCPAによりBusinessに要求されるのと同等のプライバシー保護を提供することを含め、適用されるデータ保護法に基づく適用義務を遵守するよう要求します。

    3. 会社は、Dispelおよび当該サブプロセッサーが本DPAと同等以上の保護を求める義務をサブプロセッサーに課す契約を締結する場合に、サブプロセッサーの採用について一般的な許可をDispelに付与します。Dispelが現在採用しているサブプロセッサーはスケジュール2に記載されています。

    4. Dispelは、サブプロセッサーの追加または交替がある場合に会社に通知し、会社の要請に応じて当該一覧を提供します。Dispelは、会社に対して、Dispelが会社に通知を提供した日から計算してサブプロセッサーの追加または交替に異議を申し立てるための30日間を提供します。会社がDispelのサブプロセッサーの追加または交替に合理的に異議を唱えた場合、当事者らは誠実に交渉して解決を図ります。当事者らが会社の合理的な異議から15日以内に問題を解決できない場合(当事者らが書面合意により期限を延長することができます)、会社は当該サブプロセッサーの継続的な使用を要する業務指示書または購入注文を終了することができます。

    5. Dispelは、サブプロセッサーの行為または不作為について、当該サブプロセッサーが本DPAの下で直接サービスを提供している場合に供給者(Supplier)が負うであろう責任と同等の範囲で責任を負います。

  7. 処理の期間、個人データの削除および返却。 Dispelは、契約期間と同期間保持する期間、個人データを保持します。契約の満了または終了時、または会社の要請時、Dispelは不当な遅延なく次のいずれかを行います:(1) 要請に応じてすべての個人データを会社に返却する、または (2) 会社の要請に応じてすべての個人データを破棄する。ただし、適用法が明示的に別段を要求する場合、または当事者らが書面で明示的に別段合意する場合はこれを除きます。個人データを削除または会社に返却した後でも、そのデータのコピーはバックアップ上に限定された期間残存する場合があり、バックアップが上書きされるまで保持されることがあります。契約の満了または終了後にDispelが保持するいかなる個人データについても、Dispelは本付随書の遵守を継続します。

  8. 評価および是正。

    1. 会社は、適用されるデータ保護法で規定される合理的かつ適切な措置を講じ、Dispelが会社の適用データ保護法に基づく義務に一致する方法で個人データを処理していることを確認するために、合理的な評価または監査を実施することができます。会社とDispelが資格のある独立した第三者による監査または評価に合意した場合、Dispelは要請に応じて当該監査または評価の報告書を会社に提供することに同意します。

    2. 会社がDispelまたはDispelのサブプロセッサーによる個人データの不正使用を発見した場合、会社は通知の上、当該不正使用を是正するための合理的かつ適切な措置を講じることができます。

セクション8 - セキュリティ

  1. Dispelは、個人データをデータ漏えいから保護し、個人データの機密性と安全性を保持するために適切な技術的および組織的措置を実施します。

  2. データ漏えいを認識した場合、Dispelは以下を行います:

    1. データ漏えいを会社に遅滞なく通知しますが、いかなる場合でもデータ漏えいを認識した、または合理的に疑った後72時間を超えないものとします;

    2. 直ちに調査を行うか、データ漏えいの調査に必要な支援を行い、データ漏えいの詳細情報を会社に提供します。これにはデータ漏えいの説明、影響を受けるおおよそのデータ主体数、データ漏えいの現在および予想される影響、ならびにDispelがデータ漏えいに対処しその影響を軽減するために講じている措置が含まれます;および

    3. 商業的に合理的なすべての措置を直ちに講じてデータ漏えいの影響を軽減するか、会社がそうするのを支援します。

  3. Dispelは、本セクション8に従う費用を負担します。ただし、データ漏えいが会社の過失または故意の行為から生じた場合はこの限りではありません。

  4. Dispelは、会社から取得した、または会社に代わって処理した個人データに影響を与えた、または合理的に影響を与えうるデータ漏えいについて、政府機関、個人、報道機関、またはその他の第三者に通知する前に会社の書面による承認を得なければなりません。本付随書のいかなる条項にかかわらず、法的義務により第三者への通知が求められる場合、Dispelは第三者にデータ漏えいを通知することができます。ただしその場合でもDispelは:(1) 第三者にデータ漏えいを開示する意図がある場合、可能な限り速やかに会社に事前通知を行うためにあらゆる努力を尽くすこと;および (2) 事前通知が不可能であった場合は、通知が可能になり次第直ちに会社に通知すること。第三者へのデータ漏えいの開示に関して、Dispelは会社への通知の一部として当該第三者の身元および通知の写しを開示します(第三者への通知がまだ送信されていない場合、Dispelはその草案を会社に提供し、会社が編集や更新を提案できるようにします)。

セクション9 - 雑則

  1. 完全合意。 本付随書は本事項に関する当事者間の完全な合意であり、関連する過去および同時期の口頭の了解、表明、事前の協議、意向表明書、または予備的な合意を統合し、これらを代替・無効にします。

  2. これ以上の修正なし。 本付随書によって修正される場合を除き、契約は変更されず、完全に有効なまま存続します。

スケジュール1 - 処理の説明

処理活動(Processing Activity)
当事者の地位(Status of the Parties)
処理されるセンシティブデータのカテゴリ(Categories of Sensitive Data Processed)
処理されるセンシティブデータのカテゴリ(Categories of Sensitive Data Processed)
データ輸出者または輸入者としての当事者の地位(Status of the Parties as Data Exporter or Importer)

会社は以下に記載された事業目的に関連してDispelに個人データを開示します。

会社は管理者(Controller)です。

Dispelは処理者/サービスプロバイダー(Processor/Service Provider)です。

会社がDispelに登録するエンドユーザーの氏名および電子メールアドレス。

会社がDispelに登録するエンドユーザーのIPアドレス。

なし

会社はデータ輸出者です。

Dispelはデータ輸入者です。

モジュール2

事業目的(Business Purposes)

____ ユニーク訪問者に対する広告インプレッションのカウント、広告インプレッションの配置および品質の検証、および本仕様およびその他の基準への準拠の監査に関連する処理。

X 情報がこれらの目的のために合理的に必要である範囲で、セキュリティおよび完全性を確保することに関連する処理。

X 既存の意図された機能を損なうエラーを特定および修復するためのデバッグ。

____ 非個人化(すなわち(i.e.)、文脈型を含むがこれに限られない短期的かつ一時的な使用であり、データ主体の現在のやり取りの一部として表示される広告において、当該やり取りの範囲を超えて当該データ主体のプロファイルを構築したり消費者体験を変更したりするために個人データを第三者に開示せず、また第三者に開示されないもの。

X 事業に代わってサービスを実行すること(アカウントの維持または保守、カスタマーサービスの提供、注文および取引の処理または履行、顧客情報の確認、支払いの処理、資金提供の提供、分析サービスの提供、ストレージの提供、または事業に代わって類似のサービスを提供することなど)。

____ クロスコンテキスト行動ターゲティングを含まない、広告およびマーケティングサービスをデータ主体に提供すること。ただしサービスプロバイダーは、事業から受け取った、または事業に代わって受け取った個人データの販売または共有をオプトアウトしたデータ主体の個人データを、サービスプロバイダーが別の者から受け取った個人データや自身のデータ主体とのやり取りから収集した個人データと結合してはなりません。

X 技術開発およびデモンストレーションのための内部研究を実施すること。

X 事業が所有、製造委託、または管理するサービスまたはデバイスの品質または安全性を検証または維持し、当該サービスまたはデバイスを改善、アップグレード、または強化する活動を行うこと。

スケジュール2 - Dispelのサブプロセッサー

Dispelはここに記載されたサブプロセッサーを使用します:

サブプロセッサー一覧
前へ製品ライフサイクルポリシー次へデータ主体同意書

最終更新