GDPRデータ処理規約 - bravesoft

GDPRデータ処理規約

General Data Protection Regulation data processing terms

本規約は、bravesoft株式会社(以下「当社」又は「処理者」という。)が提供するeventos(以下「本サービスという。」)に関し、当社が、GDPR(以下で定義する)に定めるデータ処理について、以下のとおり運用するものとする。以下、本サービスの利用者と当社を総称して「当事者」とする。

  1. 定義と解釈

    1. 本規約で別途定義されていない限り、本規約で使用される用語及び表現は、次の意味を持つものとします。
      1. 「本規約」とは、このデータ処理契約及びすべての別紙を意味します。
      2. 「当社個人データ」とは、主契約に従って、または主契約に関連して、当社に代わって契約処理者によって処理される全ての個人データを意味します。
      3. 「契約処理者」とは、データ処理者及び復処理者を意味します。
      4. 「データ保護法」とは、EUデータ保護法、及びその他適用される他の国のデータ保護法またはプライバシー法を意味します。
      5. 「EEA」とは、欧州経済領域を意味します。
      6. 「EUデータ保護法」とは、各加盟国の国内法に置き換えられ、GDPR及びGDPRを実装または補足する法律による場合を含め、随時修正、または置き換えられるEU指令95/46 / ECを意味します。
      7. 「GDPR」とは、EU一般データ保護規則2016/679を意味します。
      8. 「データ移転」とは、以下のことを意味します。
        1. 当社から契約処理者への当社個人データの移転
        2. データ保護法(またはデータ保護法のデータ移転制限に対処するためのデータ移転契約の諸条件)で禁止される、契約処理者から契約処理者から委託を受けた処理者への、または契約処理者の2つの拠点間での当社個人データの転送。
      9. 「復処理者」とは、本規約に関連して当社に代わって個人データを処理するために処理者を代理する、または処理者により任命された者を意味します。
    2. 「委員会」、「管理者」、「データ主体」、「加盟国」、「個人データ」、「個人データ侵害」、「処理」、「監督機関」という定義は、GDPRで規定する定義と同じ意味を持つものとし 、及びそれらに類似する定義も、GDPRにより解釈されるものとします。
  2. 当社個人データの処理

    1. 処理者は、以下のことを行うものとします。
      1. 当社個人データの処理において適用される全てのデータ保護法の遵守。
      2. 当社個人データの処理に関する当社の書面による指示に基づく場合以外には、当社個人データを処理しないこと。
    2. 当社は、当社個人データの処理に関し処理者に指示をします。
  3. 処理者における担当者

    1. 処理者は、当社個人データにアクセスできる契約処理者の従業員、代理人、または請負業者の信頼性を確保するために合理的な措置を講じ、いずれの場合も、当該個人データへのアクセスは、当該個人データを知る必要のある、またはアクセスする必要のある者にのみ制限することを保証します。また、処理者は、契約処理者に関して個々人の負う義務の履行の過程における適用法令の遵守と、当該全ての個人が守秘義務または守秘義務の専門的または法定の義務の対象となることを保証します。
  4. 安全性

    1. 最新技術、実装費用、処理の性質、範囲、過程及び目的並びに自然人の権利及び自由に対する様々な蓋然性と深刻度のリスクを考慮に入れた上で、処理者は当社個人データに関し、GDPRの第32条(1)で言及される措置を含め、そのリスクに適切に対応できるレベルの安全性を確保するための適切な技術的及び組織的措置を実装します。
    2. 安全性の適切なレベルを評価する際、処理者は、処理によって示されるリスク、個人データ侵害から生ずるリスクを特に考慮に入れるものとします。
  5. 復処理

    1. 処理者は、当社が要求または承認した場合を除き、いかなる復処理者を指名(または当社個人データを復処理者に開示)してはなりません。
  6. データ主体の権利

    1. 処理の性質を考慮して、処理者は、データ保護法に基づくデータ主体の権利の行使要求に対応するために、当社が合理的に理解している当社の義務を履行するため、可能な限り、適切な技術上及び組織的措置を実装することによって当社を支援するものとします。
    2. 処理者は、以下のことを行うものとします。
      1. 当社個人データに関して、いずれかのデータ保護法に基づくデータ主体からの要求を受領した場合に、当社に対する迅速な通知を行うこと。
      2. 当社の文書化された指示に基づく場合、または処理者が対象となる適用法令によって要求される場合を除き、その要求に応答しないこと。なお、この例外的に要求に応じることのできる場合、処理者は適用法令によって許可される範囲で、契約処理者が要求に応答する前に、その法的要求について当社に通知を行うものとします。
  7. 個人データの侵害

    1. 処理者は、処理者が当社個人データに影響を及ぼす個人データの侵害に気付いた場合、遅滞なく当社に通知し、データ保護法に基づき個人データの違反をデータ主体に報告または通知する義務を当社が果たすのに十分な情報を当社に提供するものとします。
    2. 処理者は、当社と協力し、各個人データ侵害の調査、軽減、及び復旧を支援するために、当社の指示に従い合理的な商業的措置を講じるものとします。
  8. データ保護影響評価及び事前協議

    1. 処理者は、処理の性質と契約処理者にとり利用可能な情報を考慮し、GDPR第35条または第36条、またはその他のデータ保護法の同様の規定によって要求されると当社が合理的に考えるデータ保護の影響評価及び監督機関またはその他の管轄のデータプライバシー機関との事前協議について、当社に対し合理的な支援を提供するものとします。
  9. 当社個人データの削除または返却

    1. 本条に従い、処理者は、当社個人データの処理に関連するサービスの停止日(「停止日」)から10営業日以内に、いかなる場合でも迅速に、当該当社個人デ ータの全てのコピーを当社の選択に従い、削除または返却するものとします。
    2. 処理者は、停止日から10営業日以内に、本条の義務を履行したことを証明する書面を当社に提供するものとします。
  10. 監査権

    1. 本条に従い、処理者は、要求に応じて、本規約の遵守を実証するために必要な全ての情報を当社に提供し、契約処理者による当社個人データの処理に関して当社または当社の委任を受けた監査人による検査を含む監査を許可するものとします。
    2. 当社の情報要求及び監査の権利は、本規約が別途データ保護法の要求に適合する同様の権利を与えない限り、本条第1項に基づいてのみ発生します。
  11. データ移転

    1. 処理者は、当社の事前の書面による同意なしに、EU及び/または欧州経済領域(EEA)以外の国へのデータの移転または移転を許可することはできません。本規約に基づいて処理された個人データが欧州経済領域内の国から欧州経済領域外の国に移転される場合、両当事者は、個人データが適切に保護されていることを保証するものとします。これを達成するために、両当事者は、別段の合意がない限り、個人データの移転についてはEUが承認した標準契約条項に依拠するものとします。
  12. 一般条件

    1. 機密性

      各当事者は、本規約及び本規約に関連して相手方当事者とその事業に関して受領した情報(「機密情報」)の機密を保持する必要があり、相手方の書面による事前の同意なしに、その機密情報を使用または開示してはなりません。但し、以下の場合はこの限りではありません。

      1. 法令上の要求基づく開示
      2. 関連する情報が既に公開され
    2. 通知

      本規約に基づいて行われる全ての通知及び伝達は、書面で行う必要があり、本規約の冒頭に記載されている住所若しくは電子メールアドレス、または当事者の住所変更により随時変更通知される新たな住所に、郵送または電子メールの送信の方法により直接の交付がされます。