標準契約条項

Appendix No.2 - 標準的な契約条項

標準契約条項

SECTION I

第1項
目的と範囲

(a) 本標準契約条項の目的は、個人データの第三国への移転について、個人データの処理に関する自然人の保護および当該データの自由な移動に関する2016年4月27日の欧州議会および理事会の規則(EU)2016/679の要件を確実に遵守することにあります。

(b) 当事者
(i) 付属書I.Aに記載されている、個人データを転送する自然人または法人、公的機関/ies、代理店/iesまたはその他の団体/ies(以下、「事業体/ies」)(以下、各「データ輸出者」)、および

(ii) データ輸出者から、付属書 I.A に記載されている本約款の締約国でもある別の事業体を介して、直接的または間接的に個人データを受け取る第三国の事業体(以下、各「データ輸入者」)が、本標準契約条項(以下、「本条項」)に同意していること。

(c) 本条項は、付属書 I.B に規定された個人データの移転に関して適用されます。

(d) 本条項の付録は、その中で言及されている付属書を含み、本条項の不可分の一部を構成する。

第2項
条項の効果と不変性

(a) 本条項は、規則(EU) 2016/679の第46条(1)および第46条(2)(c)に基づき、強制力のあるデータ対象者の権利および効果的な法的救済を含む適切な保護措置を定めており、また、管理者から処理者および/または処理者から処理者へのデータ移転に関しては、規則(EU) 2016/679の第28条(7)に基づく標準的な契約条項を定めていますが、適切なモジュールの選択または付属書の情報の追加または更新を除き、変更されていません。ただし、適切な「モジュール」を選択すること、または付録の情報を追加または更新することを除き、修正は行わないものとします。このことは、両当事者が、本条項に定められた標準契約条項をより広範な契約に含めること、および/または、本条項と直接的または間接的に矛盾しないこと、またはデータ主体の基本的権利または自由を害しないことを条件に、他の条項または追加のセーフガードを追加することを妨げるものではありません。

(b) 本条項は、規則(EU)2016/679によってデータ輸出者が受ける義務を損なうものではありません。

第3項
第3者の受益者

(a) データ主体は、以下の例外を除き、データ輸出者および/またはデータ輸入者に対して、第三受益者として本条項を行使することができます。
(i) Clause 1、Clause 2、Clause 3、Clause 6、Clause 7。

(ii) 第8条-モジュール1:第8.5条(e)および第8.9条(b)、モジュール2:第8.1条(b)、第8.9条(a)、(c)、(d)、(e)、モジュール3:第8.1条(c)、(d)、第8.9条(c)、(d)、(e)、(g)。8.1(a)項、(c)項、(d)項および 8.9(a)項、(c)項、(d)項、(e)項、(f)項、(g)項;モジュール 4:第8.1条(b)および第8.3条(b)。

(iii) Clause 9 - モジュール2:Clause 9(a)、(c)、(d)および(e)、モジュール3:Clause 9(a)、(c)、(d)および(e)。条項9(a)、(c)、(d)および(e)

(iv) 第12条 - モジュール1:第12条(a)および(d)、モジュール2および3:第12条(a)および(d)。Clause 12(a), (d) and (f);

(v) Clause 13;

(vi) 第15.1条(c)、(d)、(e)項。

(vii) Clause 16(e);

(viii) Clause 18 - Modules One, Two and Three:Clause 18(a) and (b); Module Four:Clause 18.

(b) パラグラフ(a)は、Regulation (EU) 2016/679に基づくデータ主体の権利を害するものではありません。

第4項
インタープリテーション

(a) 本条項が、Regulation (EU) 2016/679で定義されている用語を使用している場合、それらの用語は同規則と同じ意味を持つものとします。

(b) 本条項は、Regulation (EU) 2016/679の規定に照らして読み、解釈されるものとします。

(c) 本条項は、Regulation (EU) 2016/679に規定された権利および義務と矛盾する方法で解釈されてはなりません。

第5条
ヒエラルキー

本条項と、本条項が合意された時点またはその後に締結された両当事者間の関連契約の規定との間に矛盾がある場合は、本条項が優先するものとします。

第6条
譲渡の内容(複数可

移転の詳細、特に移転される個人データのカテゴリーおよび移転される目的は、付属書I.B.に明記されています。

第7条
ドッキング条項

(a) 本条項の当事者ではない事業体は、当事者の合意のもと、付録に記入し、付属書I.A.に署名することにより、データ輸出者またはデータ輸入者として、いつでも本条項に加盟することができます。

(b) 付記を完了し、附属書I.A.に署名した時点で、加盟団体は本条項の当事者となり、附属書I.A.での指定に従って、データ輸出者またはデータ輸入者の権利および義務を有するものとします。

(c) 加入企業は、当事者となる前の期間から本条項に基づいて生じる権利または義務を有しない。

セクション II - 両当事者の義務

第8条
データ保護のセーフガード

データ輸出者は、データ輸入者が適切な技術的および組織的措置を実施することにより、本条項に基づく義務を満たすことができることを判断するために合理的な努力をしたことを保証します。

8.1 使い方
(a) データ輸入者は、データ輸出者からの文書による指示に基づいてのみ個人データを処理するものとします。データ輸出者は、契約期間中、かかる指示を出すことができる。

(b) データインポーターは、これらの指示に従うことができない場合、直ちにデータエクスポーターに知らせるものとします。

8.2 目的の制限
データ輸入者は、データ輸出者からのさらなる指示がない限り、付属書 I.B に記載されている移転の特定の目的のためにのみ個人データを処理するものとする。

8.3 透明性
要求があれば、データ輸出者は、両当事者が記入した付属書を含む本条項のコピーをデータ対象者に無料で提供するものとします。データ輸出者は、付属書IIに記載されている措置および個人データを含む企業秘密またはその他の機密情報を保護するために必要な範囲で、コピーを共有する前に本条項の付属書のテキストの一部を再編集することができるが、そうしなければデータ対象者が内容を理解したり権利を行使したりすることができない場合には、意味のある要約を提供しなければならない。要請があれば、両当事者は、データ対象者に対し、再編集された情報を明らかにすることなく可能な範囲で、再編集の理由を提供するものとします。本条項は、Regulation (EU) 2016/679の第13条および第14条に基づくデータ輸出者の義務を害するものではありません。

8.4 精度
データ輸入者は、受領した個人データが不正確であること、または古くなっていることに気付いた場合、データ輸出者に不当な遅延なく通知するものとします。この場合、データ輸入者はデータ輸出者と協力してデータを消去または修正するものとします。

8.5 処理の期間およびデータの消去または返却
処理サービスの提供が終了した後、データ輸入者は、データ輸出者の選択により、データ輸出者に代わって処理されたすべての個人データを削除し、その旨をデータ輸出者に証明するか、またはデータ輸出者に代わって処理されたすべての個人データを返却し、既存のコピーを削除するものとします。データが削除または返却されるまで、データ輸入者は本条項の遵守を継続するものとします。データ輸入者に適用される現地法が個人データの返却または削除を禁止している場合、データ輸入者は、これらの条項の遵守を継続し、当該現地法で要求される範囲および期間のみ処理することを保証します。これは、第14条、特に第14条(e)に基づくデータ輸入者が、データ輸出者が第14条(a)に基づく要件に合致しない法律または慣行の適用を受けている、または受けるようになったと信じるに足る理由がある場合に、契約期間中にデータ輸出者に通知するという要件を損なうものではありません。

8.6 処理のセキュリティ
(a)データ輸入者および送信中のデータ輸出者は、データのセキュリティを確保するために、適切な技術的および組織的措置を実施しなければならない。これには、偶発的または違法な破壊、紛失、改ざん、不正な開示またはデータへのアクセスにつながるセキュリティ違反(以下、「個人データ違反」)に対する保護を含む。適切なセキュリティレベルを評価するにあたり、両当事者は、技術の現状、導入コスト、処理の性質、範囲、文脈および目的、ならびにデータ対象者の処理に伴うリスクを十分に考慮するものとします。両当事者は、特に、暗号化または偽名化(送信時を含む)によって処理の目的が達成できる場合は、その手段を検討するものとする。偽名化の場合、個人データを特定のデータ対象者に帰属させるための追加情報は、可能な限りデータ輸出者の独占的な管理下に置くものとします。本項に基づく義務を履行するにあたり、データ輸入者は少なくとも附属書Ⅱに指定された技術的及び組織的措置を実施するものとします。データ輸入者は、これらの対策が引き続き適切なレベルのセキュリティを提供していることを確認するために、定期的なチェックを行うものとする。

(b) データ輸入者は、契約の履行、管理、および監視に厳密に必要な範囲でのみ、その職員に個人データへのアクセスを許可するものとします。データ輸入者は、個人データを処理する権限を与えられた者が、守秘義務を負うことを約束しているか、または適切な法的守秘義務を負っていることを保証するものとします。

(c) 本条項に基づいてデータ輸入者が処理した個人データに関する個人データ侵害が発生した場合、データ輸入者は、その悪影響を緩和する措置を含め、侵害に対処するための適切な措置を講じるものとします。また、データ輸入者は、違反に気付いた後、遅滞なくデータ輸出者に通知するものとします。当該通知には、詳細情報を入手できる連絡先の詳細、違反の性質の説明(可能な場合、関係するデータ対象者および個人データ記録の分類および概数を含む)、起こりうる結果、および違反に対処するために取られたまたは提案された措置(適切な場合、起こりうる悪影響を緩和するための措置を含む)を含めるものとする。すべての情報を同時に提供することが不可能な場合は、最初の通知にはその時点で入手可能な情報を含め、その後、入手可能になった追加情報を不当な遅延なく提供するものとします。

(d) データ輸入者は、処理の性質およびデータ輸入者が利用できる情報を考慮して、データ輸出者が規則(EU)2016/679に基づく義務、特に管轄監督官庁および影響を受けるデータ対象者に通知する義務を遵守できるように、データ輸出者に協力し、支援するものとします。

8.7 機密データ
人種または民族的出自、政治的意見、宗教的または哲学的信条、労働組合への加盟を明らかにする個人データ、遺伝データ、自然人を一意に識別する目的のバイオメトリックデータ、健康または人の性生活もしくは性的指向に関するデータ、または前科および犯罪に関するデータ(以下、「センシティブデータ」)が移転に含まれる場合、データ輸入者は付属書I.Bに記載されている特定の制限および/または追加の保護措置を適用するものとします。

8.8 往路移動
データ輸入者は、データ輸出者からの文書による指示がある場合に限り、個人データを第三者に開示するものとします。さらに、データは、第三者が適切なモジュールの下で、本条項に拘束されることに同意しているか、または以下の場合に限り、欧州連合(4)外に所在する第三者(データ輸入者と同じ国または他の第三国、以下「オンワードトランスファー」)に開示することができる。
(i) 往路の転送が、往路の転送を対象とする規則(EU)2016/679の第45条に基づく適切性決定の恩恵を受けている国への転送であること。

(ii) 第三者が、当該処理に関して、規則(EU) 2016/679の第46条または第47条に従って適切な保護措置を別途確保している場合。

(iii) 特定の行政、規制、または司法手続きに関連して、法的主張の確立、行使、または防御のために転送が必要な場合。

(iv) データ対象者または他の自然人の重要な利益を保護するために、転送が必要な場合。

いかなる転送も、データ輸入者が本条項に基づく他のすべての保護措置、特に目的の制限を遵守することが条件となります。

8.9 ドキュメンテーションとコンプライアンス
(a) データ輸入者は、本条項に基づく処理に関連するデータ輸出者からの問い合わせに迅速かつ適切に対応するものとします。

(b) 両当事者は、本条項の遵守を実証できるものとします。特に、データ輸入者は、データ輸出者のために行われた処理活動に関する適切な文書を保管するものとします。

(c) データ輸入者は、本条項に定められた義務の遵守を証明するために必要なすべての情報をデータ輸出者に提供し、データ輸出者の要請に応じて、合理的な間隔で、または不遵守の兆候がある場合に、本条項の対象となる処理活動の監査を許可し、これに協力するものとします。審査または監査を決定する際、データ輸出者は、データ輸入者が保有する関連証明書を考慮することができる。

(d) データ輸出者は、自ら監査を実施するか、独立監査人に委任するかを選択することができる。監査には、データ輸入者の施設または物理的設備の検査が含まれる場合があり、適切な場合には、合理的な通知を行って実施しなければならない。

(e) 両当事者は、要求に応じて、監査の結果を含め、(b)および(c)で言及された情報を管轄の監督官庁に提供する。

第9条
サブプロセッサーの使用

(a) データ輸入者は、合意されたリストからサブプロセッサーを起用することについて、データ輸出者の一般的な承認を得ている。データ輸入者は、サブプロセッサーの追加または交換によるリストの変更の意図を、少なくとも[期間を指定]前に書面でデータ輸出者に明確に通知し、それによりデータ輸出者がサブプロセッサーの関与に先立ってかかる変更に異議を唱えることができる十分な時間を与えるものとする。データ輸入者は、データ輸出者が異議申し立ての権利を行使するために必要な情報をデータ輸出者に提供するものとします。

(b) データ輸入者が(データ輸出者に代わって)サブプロセッサーに特定の処理活動を行わせる場合、データ主体の第三受益者の権利を含め、実質的に本条項に基づいてデータ輸入者を拘束するものと同じデータ保護義務を規定する書面による契約によって行うものとします。(8) 両当事者は、本条項を遵守することにより、データ輸入者が第8.8条に基づく義務を果たすことに同意します。データ輸入者は、サブプロセッサーが本条項に基づいてデータ輸入者が負う義務を遵守することを保証するものとします。

(c) データ輸入者は、データ輸出者の要求に応じて、かかるサブプロセッサー契約書およびその後の修正書のコピーをデータ輸出者に提供するものとします。企業秘密または個人データを含むその他の機密情報を保護するために必要な範囲で、データ輸入者は、コピーを共有する前に契約書のテキストを再編集することができます。

(d) データ輸入者は、データ輸出者に対して、データ輸入者との契約に基づくサブプロセッサーの義務の履行について完全な責任を負うものとします。データ輸入者は、サブプロセッサーが当該契約に基づく義務を履行しなかった場合、データ輸出者に通知するものとします。

(e) データ輸入者はサブプロセッサーとの間で第三者受益者条項に同意するものとし、データ輸入者が事実上消滅した、法律上存在しなくなった、または支払不能になった場合、データ輸出者はサブプロセッサー契約を解除し、サブプロセッサーに個人データを消去または返却するよう指示する権利を有するものとします。

第10条
データ対象者の権利

(a) データ輸入者は、データ対象者から受けた要求を速やかにデータ輸出者に通知する。データ輸入者は、データ輸出者から権限を与えられていない限り、その要求に自ら回答してはならない。

(b) データインポーターは、データエクスポーターが規則(EU) 2016/679に基づくデータ主体の権利行使要求に対応する義務を果たすことを支援するものとする。この点について、両当事者は、処理の性質を考慮して、支援を提供するための適切な技術的及び組織的措置、並びに必要とされる支援の範囲及び程度を附属書IIに定めるものとする。

(c) データインポーターは、(a)および(b)の義務を履行するにあたり、データエクスポーターからの指示に従うものとします。

第11条
リドレス

(a) データ輸入業者は、データ対象者に対し、透明性があり容易にアクセスできる形式で、個別の通知またはウェブサイト上で、苦情を処理する権限を有する連絡先を通知するものとする。データ輸入者は、データ対象者から受けた苦情に迅速に対応するものとする。データ輸入者は、データ対象者が独立した紛争解決機関に無償で苦情を申し立てることが できることに同意する。データ輸入業者は、(a)項に定める方法で、データ対象者にかかる救済メカニズムを通知し、データ対象者が救済メカニズムを利用したり、救済を求める際に特定の手順を踏む必要がないことを通知するものとする。

(b) 本条項の遵守に関してデータ対象者と両当事者のいずれかとの間に紛争が生じた場合、両当事者は、その問題を適時に友好的に解決するために最善の努力を払うものとします。両当事者は、そのような紛争について相互に情報を提供し、適切な場合には、その解決に向けて協力するものとします。

(c) データ対象者が第3項に基づき第三者受益権を行使する場合、データ輸入者はデータ対象者の決定を受け入れるものとします。
(i) 居住地もしくは勤務地の加盟国の監督官庁、または第13条に基づく管轄監督官庁に苦情を申し立てること。

(ii) 第18条の意味における管轄裁判所に紛争を付託する。

(d) 両当事者は、規則(EU)2016/679の第80条(1)に定める条件の下で、データ主体が非営利団体、組織または協会によって代表されることがあることを認めます。

(e) データ輸入者は、適用されるEUまたは加盟国の法律の下で拘束力のある決定に従うものとします。

(f) データ収集者は、データ対象者が行った選択が、適用される法律に基づいて救済を求める実体的および手続き的な権利を損なわないことに同意するものとします。

第12条
責任の所在

(a) 各当事者は、本条項の違反によって他方の当事者に与えた損害について、他方の当事者/iesに対して責任を負うものとします。

(b) データ輸入者は、データ輸入者またはそのサブプロセッサーが本条項に基づく第三受益者の権利に違反することによりデータ対象者に与えた物質的または非物質的な損害について、データ対象者に対して責任を負い、データ対象者は補償を受ける権利を有するものとします。

(c) (b)項にかかわらず、データ輸出者はデータ対象者に対して責任を負い、データ対象者は、データ輸出者またはデータ輸入者(またはそのサブプロセッサー)が本条項に基づく第三者受益者の権利に違反してデータ対象者に与えた物質的または非物質的な損害に対して補償を受ける権利を有するものとします。これは、データ輸出者の責任、およびデータ輸出者が管理者を代理する処理者である場合には、適用される規則(EU)2016/679または規則(EU)2018/1725に基づく管理者の責任を害するものではありません。

(d) 両当事者は、データ輸出者がデータ輸入者(またはそのサブプロセッサー)によって生じた損害について(c)項に基づく責任を負う場合、データ輸出者は、損害に対するデータ輸入者の責任に対応する補償金の一部をデータ輸入者に返還請求する権利を有することに同意します。

(e) 本条項の違反の結果としてデータ対象者に生じた損害について複数の当事者が責任を負う場合、責任を負う当事者全員が連帯して責任を負うものとし、データ対象者はこれらの当事者のいずれかに対して裁判所に訴訟を提起する権利を有する。

(f) 両当事者は、一方の当事者が(e)項に基づいて責任を負うとされた場合、他方の当事者に対して、損害に対する自己/他者の責任に対応する補償金の一部の返還を請求する権利を有することに同意するものとします。

(g) データ輸入者は、自らの責任を回避するために、サブプロセッサーの行為を援用することはできません。

第13条
監督

(a) [データ輸出者がEU加盟国に設立されている場合:]附属書I.Cに示されているように、データ移転に関してデータ輸出者による規則(EU)2016/679の遵守を確保する責任を有する監督官庁が、管轄監督官庁として行動する。
[データ輸出者がEU加盟国に設立されていないが、規則(EU)2016/679の第3条(2)に従って規則(EU)2016/679の適用領域に該当し、規則(EU)2016/679の第27条(1)に従って代表者を任命している場合:】を参照してください。規則(EU)2016/679の第27条(1)の意味における代表者が設置されている加盟国の監督当局は、附属書I.Cに示されているように、管轄監督当局として行動する。
[データ輸出者がEU加盟国に設立されていないが、規則(EU)2016/679の第3条(2)に従って規則(EU)2016/679の適用領域に該当し、ただし規則(EU)2016/679の第27条(2)に従って代表者を任命する必要がない場合:】。付属書I.Cに示されているように、自分への商品またはサービスの提供に関連して本条項に基づいて個人データが移転される、またはその行動が監視されるデータ主体が所在する加盟国のうちの1つの国の監督機関が、管轄監督機関として機能するものとします。

(b) データ輸入者は、本条項の遵守を確保することを目的としたあらゆる手続きにおいて、管轄の監督官庁の管轄に服し、協力することに同意します。特に、データ輸入者は、照会に応じ、監査を受け、是正措置および補償措置を含め、監督当局が採用した措置に従うことに同意します。データ輸入者は、必要な措置が取られたことを監督官庁に書面で確認するものとします。

セクション III - 公的機関によるアクセスの場合の現地の法律と義務

第14条
条項の遵守に影響を与える現地の法律および慣行

(a) 両当事者は、データ輸入者による個人データの処理に適用される目的地の第三国の法 律および慣行(個人データの開示要件または公的機関によるアクセスを許可する措置を含 む)が、データ輸入者が本条項に基づく義務を履行することを妨げると信じる理由がないことを 保証するものとします。これは、基本的な権利および自由の本質を尊重し、規則(EU) 2016/679の第23条(1)に記載された目的の1つを保護するために、民主主義社会において必要かつ釣り合いのとれたものを超えない法律および慣行は、本条項と矛盾しないという理解に基づいています。

(b) 両当事者は、(a)項の保証を提供するにあたり、特に以下の要素を十分に考慮したことを宣言する。
(i) 処理チェーンの長さ、関与する関係者の数、使用される伝送チャネルを含む移転の具体的な状況、意図された次の移転、受取人のタイプ、処理の目的、移転された個人データのカテゴリーとフォーマット、移転が発生する経済部門、移転されたデータの保管場所。

(ii) 移転先の第三国の法律および慣行(公的機関へのデータ開示を要求するもの、または公的機関によるアクセスを許可するものを含む)であって、移転の特定の状況に照らして関連するもの、ならびに適用される制限および保護措置(12)。

(iii) 送信中および送信先の国での個人データの処理に適用される措置を含む、本条項に基づく保護措置を補完するために実施される契約上、技術上、または組織上の関連する保護措置。

(c) データ輸入者は、(b)項に基づく評価を実施するにあたり、データ輸出者に関連情報を提供するために最善の努力をしたことを保証し、本条項の遵守を確保するためにデータ輸出者と引き続き協力することに同意します。

(d) 両当事者は、(b)項に基づく評価を文書化し、要求に応じて管轄監督官庁が利用できるようにすることに同意する。

(e) データ輸入者は、本条項に合意した後、契約期間中に、第三国の法律の変更または(a)項の要件に沿っていない当該法律の実際の適用を示す措置(開示要求など)の後など、(a)項の要件に沿っていない法律または慣行の対象となっている、またはなったと信じる理由がある場合、速やかにデータ輸出者に通知することに同意します。[モジュール3の場合。データ輸出者は、通知を管理者に転送するものとします] 。

(f) 第(e)項に基づく通知後、またはデータ輸出者がデータ輸入者が本条項に基づく義務をもはや履行できないと信じる理由がある場合、データ輸出者は状況に対処するためにデータ輸出者および/またはデータ輸入者が採用すべき適切な措置(例:セキュリティおよび機密性を確保するための技術的または組織的な措置)を速やかに特定するものとします[モジュール3の場合:管理者との協議により適切な場合]。データ輸出者は、データ転送のための適切な保護措置が確保されていないと判断した場合、または[モジュール3の場合:管理者または]管轄監督官庁から指示があった場合、データ転送を中断するものとします。この場合、データ輸出者は、本条項に基づく個人データの処理に関する限り、契約を解除する権利を有するものとします。契約に2つ以上の当事者が関与している場合、データ輸出者は、両当事者が別段の合意をしていない限り、関連する当事者に関してのみこの解約権を行使することができます。本条項に基づいて契約が解除された場合、第16条(d)および(e)が適用されます。

第15条
公的機関によるアクセスの際のデータ輸入者の義務

15.1 通知
(a) データ輸入者は、以下の場合、データ輸出者および可能であればデータ対象者に速やかに(必要であればデータ輸出者の協力を得て)通知することに同意します。
(i) 送付先の国の法律に基づき、司法当局を含む公的機関から、本条項に従って移転された個人データの開示を求める法的拘束力のある要求を受ける。このような通知には、要求された個人データ、要求元の機関、要求の法的根拠、および提供された回答に関する情報が含まれるものとする。

(ii) 目的地の国の法律に従い、本条項に従って移転された個人データに公的機関が直接アクセスしていることに気づくこと。このような通知には、輸入者が入手可能なすべての情報が含まれるものとします。

[モジュール3の場合。データエクスポーターはその通知を管理者に転送するものとする] 。

(b) 宛先国の法律によりデータ輸入者がデータ輸出者および/またはデータ対象者に 通知することが禁止されている場合、データ輸入者は、可能な限り多くの情報を可能な 限り早く伝達することを目的として、禁止事項の免除を得るために最善の努力をすることに 同意する。データ輸入者は、データ輸出者の要求に応じて最善の努力を実証できるように、その努力を文書化することに同意する。

(c) 宛先国の法律で認められている場合、データ輸入者は、契約期間中、一定の間隔で、受領した要求に関する可能な限りの関連情報(特に、要求数、要求されたデータの種類、要求した機関/国、要求に異議を唱えたかどうか、およびその結果など)をデータ輸出者に提供することに同意したものとします。[モジュール3の場合。データ輸出者はその情報を管理者に転送するものとする] 。

(d) データ輸入者は、契約期間中、(a)から(c)に従った情報を保存し、要求に応じて管轄の監督官庁に提供することに同意する。

(e) 第(a)項から第(c)項は、第14条(e)項および第16条に基づくデータ輸入者の義務を損なうものではなく、データ輸出者が本条項を遵守できない場合には、速やかにデータ輸出者に通知するものとします。

15.2 合法性およびデータ最小化の見直し
(a) データ輸入者は、開示要求の合法性、特に要求した公的機関に与えられた権限の範囲内であるかどうかを検討し、慎重に評価した結果、要求が目的地の国の法律、国際法の下で適用される義務および国際協調の原則の下で違法であると考える合理的な根拠があると結論づけた場合には、その要求に異議を申し立てることに同意します。データ輸入者は、同じ条件の下で不服申し立ての可能性を追求するものとします。請求に異議を唱える場合、データ輸入者は、権限のある司法当局がその是非を判断するまで、請求の効果を一時的に停止することを目的とした暫定措置を求めるものとします。データ輸入者は、適用される手続き規則に基づいて要求されるまで、要求された個人データを開示してはならない。これらの要件は、第14条(e)に基づくデータ輸入者の義務を害するものではありません。

(b) データ輸入者は、開示要求に対する法的評価および異議申し立てを文書化し、送付先の国の法律で許容される範囲で、データ輸出者がその文書を利用できるようにすることに同意します。また、要求に応じて管轄の監督機関にも提供するものとします。[モジュール3についてデータ輸出者は、評価を管理者が利用できるようにするものとします] 。

(c) データ輸入者は、開示要求に対する合理的な解釈に基づいて、開示要求に回答する際に許容される最小限の情報を提供することに同意するものとします。

セクションIV - 最終規定

第16条
条項の不履行と解約

(a) データ輸入者は、理由の如何を問わず、本条項を遵守できない場合は、速やかにデータ輸出者に通知するものとします。

(b) データ輸入者が本条項に違反した場合、または本条項を遵守することができない場合、データ輸出者は、遵守が再び確保されるか、または契約が終了するまで、データ輸入者への個人データの移転を停止するものとします。これは、第14条(f)を損なうものではありません。

(c) データ輸出者は、以下の場合、本条項に基づく個人データの処理に関する限り、契約を解除する権利を有する。
(i) データ輸出者が、(b)項に従ってデータ輸入者への個人データの移転を停止し、合理的な時間内に、いかなる場合でも停止から1ヶ月以内に本条項の遵守が回復されない場合。

(ii) データ輸入者が本条項に実質的または持続的に違反している場合。

(iii) データ輸入者が、本条項に基づく義務に関する管轄裁判所または監督機関の拘束力のある決定に従わない場合。

このような場合、データ輸出者は管轄の監督機関[モジュール3の場合:管理者]にそのような非遵守事項を通知するものとします。契約に2つ以上の当事者が関与している場合、データ輸出者は、当事者が別段の合意をしていない限り、関連する当事者に関してのみ、この解約権を行使することができます。

(d) [モジュール1、2および3の場合。第(c)項に基づく契約の終了前に移転された個人データは、データ輸出者の選択により、直ちにデータ輸出者に返却されるか、または完全に削除されるものとします。データのコピーについても同様とします] 。[モジュール4について。データ輸出者がEU域内で収集した個人データであって、(c)項に基づく契約の終了前に移転されたものは、そのコピーを含めて直ちに完全に削除されるものとします] 。データ輸入者は、データ輸出者に対し、データの削除を証明するものとします。データが削除されるか返却されるまで、データ輸入者は引き続き本条項の遵守を確保するものとします。データ輸入者に適用される現地法が、譲渡された個人データの返却または削除を禁止している場合、データ輸入者は、本条項の遵守を継続し、当該現地法で要求される範囲および期間内でのみデータを処理することを保証します。

(e) いずれの当事者も、(i)欧州委員会が、本条項が適用される個人データの移転を対象とする規則(EU) 2016/679の第45条(3)に基づく決定を採択した場合、または(ii)規則(EU) 2016/679が個人データの移転先の国の法的枠組みの一部となった場合には、本条項に拘束される合意を取り消すことができるものとします。これは、Regulation (EU) 2016/679に基づく当該処理に適用される他の義務を害するものではありません。

第17条
準拠法

本条項は、EU加盟国のいずれかの国の法律に準拠するものとしますが、当該法律が第三受益権を認めている場合は、その限りではありません。両当事者は、これをポーランドの法律とすることに合意します。

第18条
フォーラムと司法権の選択

(a) 本条項に起因するあらゆる紛争は、EU加盟国の裁判所で解決されるものとします。

(b) 両当事者は、それらがポーランドの裁判所であることに同意します。

(c) データ対象者は、データ輸出者および/またはデータ輸入者に対して、その者が常居所を有する加盟国の裁判所に法的手続きを行うこともできます。

(d) 両当事者は、かかる裁判所の管轄権に自らを委ねることに同意します。

APPENDIX
説明文

各転送または転送のカテゴリーに適用される情報を明確に区別することが可能でなければならず、これに関連して、データ輸出者および/またはデータ輸入者としての両当事者のそれぞれの役割を決定することができなければならない。これは、1つの付録でこの透明性が達成できる場合は、各移転/移転のカテゴリーおよび/または契約関係について、別々の付録に記入および署名することを必ずしも必要としない。しかし、十分な明確性を確保するために必要な場合は、別々の付録を使用すべきである。

ANNEX I

A.当事者のリスト

  1. データエクスポーター(s)

名前を教えてください。...
アドレス...
担当者の氏名、役職、連絡先など。...
本条項に基づいて移転されたデータに関連する活動:基本契約の履行のためのデータ処理
署名と日付: ...
役割:コントローラー

  1. データインポーター(複数)。

名称デブスキーラースペック。
アドレスAl.Lindleya 16, 02-013 Warsaw
担当者の氏名、役職、連絡先など。...
本条項に基づいて移転されたデータに関連する活動:基本契約の履行のためのデータ処理
署名と日付: ...
役割:プロセッサー

B.譲渡の説明
個人データが移転されるデータ対象者のカテゴリー管理者を代理する権限を有する者、受験者
転送される個人情報のカテゴリー:氏名、名字、納税者番号、電子メール、住所、電話番号、会社名、会社での役職、IP番号、画像
譲渡されたセンシティブなデータ(該当する場合)と、データの性質および関連するリスクを十分に考慮した制限または保護措置(例:厳格な目的の制限、アクセス制限(専門のトレーニングを受けたスタッフのみのアクセスを含む)、データへのアクセス記録の保持、転送の制限、または追加のセキュリティ措置)の適用:該当なし
転送の頻度(データが1回限りで転送されるのか、継続的に転送されるのかなど):継続的に

処理の性質。
データ転送およびさらなる処理の目的:本契約の履行
個人情報が保持される期間、またはそれが不可能な場合は、その期間を決定するために使用される基準:本契約の期間、請求権の制限期間
(サブ)プロセッサへの転送の場合は、処理の対象、性質、期間、本契約の期間、請求権の制限期間も明記する。

C.所轄の監督官庁
第13条に従い、管轄の監督官庁を特定する。
ポーランドの個人データ保護担当者。

ANNEX II
データのセキュリティを確保するための技術的および組織的な手段を含む

個人データの仮名化・暗号化の措置。
処理システムおよびサービスの継続的な機密性、完全性、可用性、および回復力を確保するための措置。
物理的または技術的な事故が発生した場合に、個人データの利用可能性とアクセスを適時に回復する能力を確保するための措置。
処理の安全性を確保するために、技術的・組織的手段の有効性を定期的にテスト、評価、査定するためのプロセス。
ユーザーの識別と認証のための措置
送信中のデータ保護のための措置。
保存中のデータ保護のための措置。
個人データが処理される場所の物理的セキュリティを確保するための措置
イベントロギングを確実に行うための施策
デフォルト設定を含む、システム構成を確保するための方策。
内部のITおよびITセキュリティのガバナンスと管理のための措置。
プロセスや製品の認証・保証のための措置。
データの最小化を確保するための方策
データの質を確保するための施策
限定的なデータ保持を確保するための措置
説明責任を果たすための方策
データポータビリティーの許可と消去の確保のための措置。

ANNEX III
サブプロセッサーのリスト

DPAのAppendix No.1による。

セキュリティ認証とコンプライアンス。お客様のデータの安全性を確認します。

DevSkillerのロゴ タレントブーストのロゴ タレントスコアのロゴ