データ処理契約
最終更新日2023年12月5日
本データ処理補遺(「DPA」)は、EUデータ保護法(以下に定義)が本契約に基づく個人データの処理に適用される範囲においてのみ適用されます。これには、(a)処理が欧州経済地域(「EEA」)におけるいずれかの当事者の事業所の活動に関連している場合、または(b)個人データがEEAにいるデータ対象者に関連し、処理が当事者による、または当事者に代わってEEAにおける商品もしくはサービスの提供または行動の監視に関連している場合が含まれます。本契約で定義されていない大文字の用語は、本DPAが添付されている契約において付与されている意味を有するものとします。
詳細については、info@interacty.meまでお問い合わせください。
定義
「データ保護法」とは、プライバシーおよびデータ保護に適用されるすべての法律および規制(該当する場合、EUデータ保護法を含む)を意味します。
「管理者」、「処理者」、「データ主体」、「個人データ」、「処理」(および「プロセス」)、「個人データの漏えい」、および「特別カテゴリーの個人データ」はすべて、EUデータ保護法で与えられている意味を有するものとします。
「EUデータ保護法」とは、(i)EU一般データ保護規則(規則2016/679)(「GDPR」)、(ii)改正されたEU電子プライバシー指令(指令2002/58/EC)(電子プライバシー法)、(iii)(i)および(ii)の下で、これに基づき、(i)および(ii)に取って代わり、または(ii)を継承して制定された国内データ保護法、および(iv)上記のいずれかに取って代わり、または更新される法令を意味します。
「セキュリティ事故」とは、相手方の個人データの偶発的または違法な破壊、紛失、改ざん、不正な開示、またはアクセスを意味します。誤解を避けるため、相手方当事者の個人データの漏洩は、セキュリティ事故を構成します。
「ユーザー・データ」とは、該当する場合、当事者間で締結された契約に従い、インターアクティまたは発行者の代理としてインタラクティブ・ユニットを通じて処理される、エンドユーザーのあらゆる個人データを意味します。
当事者関係
両当事者は、両当事者間におけるすべてのユーザー・データに関して、発行者がユーザー・データの管理者であり、インターアクティがユーザー・データの処理者として機能していることを認めます。上記を逸脱することなく、インターアクティはユーザー・データの処理者としての能力に加えて、発行者の登録データなど発行者に関連する特定の個人データの管理者でもあり、そのような個人データはインターアクティのプライバシー・ポリシーに従って使用されることをここに明確にします:www.interacty.me/privacy-policy.
表明および保証
発行者は以下を表明し、保証するものとします:(a)その処理指示は適用されるデータ保護法を遵守するものとし、発行者は、処理の性質を考慮すると、インターアクティが発行者の指示が適用されるデータ保護法に抵触するかどうかを判断する立場にないことを認めます。インターアクティは、発行者のためにGDPR第28条第3項に規定される個人データを、本契約に規定されるサービスの提供のみを目的として処理することを表明し、保証します。上記にかかわらず、適用法の下で要求される場合、インターアクティは発行者の指示以外の方法で個人データを処理することができます。その場合、インターアクティは、適用法で禁止されていない限り、発行者にそのような要求を通知するよう最善の努力を払うものとします。
個人データの処理およびデータ保護法の遵守
発行者は、インターアクティが書面で同意し、適用されるデータ保護法に従って共有する場合を除き、本契約に基づくインターアクティの義務の履行に関連して、特別カテゴリーのデータが処理または共有されないことを表明し、保証するものとします。
両当事者間において、発行者はインターアクティとデータ対象者が直接的な関係にないことを約束し、承諾し、同意します。発行者は、適用されるデータ保護法およびその他の関連するプライバシー要件に従い、本契約に定めるユーザー・データを処理するために必要な場合、データ対象者から適切な同意の肯定的行為を確実に取得するものとします。
データ主体の権利および当事者の協力義務
インターアクティが処理するユーザー・データに関してデータ主体または適用当局から要請を受けた場合、関連する場合、インターアクティはデータ主体または適用当局を発行者に誘導し、発行者がデータ主体または適用当局の要請に直接対応できるようにします。両当事者は、データ対象者または適用当局の要請の処理に関連して、データ保護法で認められる範囲内で、商業上合理的な協力および支援を相互に提供するものとします。
サブプロセッサー
発行者は、インターアクティがユーザー・データを広告主または第三者のデータ処理業者(以下、「サブ処理業者」)に転送し、その他の方法でやり取りする場合があることを認めるものとします。発行者はここに、インターアクティがユーザー・データを処理するためにそのようなサブ・プロセッサーを雇用および任命することを許可し、各サブ・プロセッサーが発行者に代わってサブ・プロセッサーを任命することを許可するものとします。インターアクティは、インターアクティが既に雇用しているサブプロセッサーを引き続き使用することができ、また、インターアクティは、該当する通知を提供することを条件に、個人データを処理するために既存のサブプロセッサーを追加雇用または交換することができます。Interactyは、サブプロセッサーを雇用する場合、Interactyとサブプロセッサー間の法的拘束力のある契約を通じて、サブプロセッサーに対し、本DPAに規定される義務よりも厳しくないデータ保護義務を課すものとし、特に、処理がGDPRの要件を満たすように適切な技術的および組織的措置を実施する十分な保証を提供するものとします。
技術的・組織的対策
インターアクティは、データ保護法の定めに従い、ユーザーデータを保護するために適切な技術的および組織的措置を講じています。
セキュリティインシデント
インターアクティは、インターアクティが所有または管理しているユーザー・データに関わる実際のセキュリティ・インシデントが発生したことを認識した場合、インターアクティが独自の裁量で決定するとおり、発行者に通知します。本第8条に基づくインターアクティによるセキュリティ・インシデントの通知またはセキュリティ・インシデントへの対応は、セキュリティ・インシデントに関する過失または責任をインターアクティが認めたものと解釈されないものとします。インターアクティは、ユーザー・データに影響を及ぼすセキュリティ・インシデントに関連して、(i) セキュリティ・インシデントの封じ込め、修復、影響の最小化、および原因究明のために必要な措置を講じます。
監査権
インターアクティは、発行者が指名する信頼できる監査人に対し、事前の書面による通知に限り、1年に1回を超えない範囲で、本DPAの遵守を合理的に証明するために必要な情報を提供するものとし、かかる信頼できる監査人によるユーザー・データの処理に関する点検を含む監査(以下、「監査」)を、本契約の条件に従ってのみ許可するものとします。監査は、本DPAの条件および守秘義務(第三者に対するものを含む)に従うものとします。インターアクティは、発行者が指名した監査人が適切な資格または独立性を有していない、インターアクティの競合他社である、またはその他明らかに不適切であるとインターアクティが合理的に判断した場合、監査人に異議を唱えることができます(以下、「異議通知」)。異議告知があった場合、発行者は別の監査人を指名するか、自ら監査を実施するものとします。発行者は、監査に関連するすべての費用を負担するものとし、インターアクティの施設、設備、人員、および事業に損害、傷害、または混乱を与えないものとします。このような監査のすべての結論は秘密とし、直ちにInteractyに報告するものとします。
データ転送
EUデータ保護法が適用される場合、いずれの当事者も、その移転がEUデータ保護法を遵守していることを保証するために必要な措置を講じない限り、個人データをEEA域外に移転してはなりません。かかる措置には、欧州委員会が個人データの適切な保護を提供すると決定した国の受領者に個人データを移転することが含まれますが、これに限定されません。
コンフリクト
本DPAの諸条件と本契約の諸条件が矛盾する場合は、本DPAが優先するものとします。本規約に定める場合を除き、本契約のすべての条件は引き続き完全に効力を有するものとします。