データ処理の付属書

 

この付属書は、契約において不可欠な部分を形成し、以下によって締結されます:

 

  1. (i) 取引先 ("データ輸出者")
  2. (ii) IQUALIF ("データ輸出者")

 

それぞれが "関係者" であり、通常は "当事者" です。

 

前書き

データ輸入者が専門的なソフトウェアサービス、コンピューター、および関連サービス(高度な検索機能を備えたブラウザーなど)を提供する場合;

契約に従い、データ輸入者は契約 ("サービス") で指定されたサービスをデータ輸出者に提供することに同意する場合;

サービスを提供することにより、データ輸入者は、データ輸出者の情報またはデータ輸出者と(可能性のある)取引関係を有する第三者の情報へのアクセスによって、そのサービスを受け取るか、またはそのサービスの利益を得る場合、そのような上記の情報は規定の意味の範囲内で個人データとして認証される場合があります。(EU) 2016年第679回の欧州議会および2016年4月27日の理事会、個人データの処理に関する個人の保護および、("GDPR") のようなデータの自由な運行、およびその他の適用されるデータ保護法に関して、より。

この付属書には、収集、処理に適用される契約条件および、当事者が適用されるデータ保護法を遵守することを保証するために、データ輸出者の許可されたデータ処理代理人としての能力を通してデータ輸入者による上記のような個人データの使用が含まれています。
 

 

そのため、両当事者が合法的に関係を継続できるようにするために、両当事者はこの付録を次のように結論付けました:

Part 1

 

1. ドキュメントの構造と定義

1.1 構造

これらの付属書は様々なパートで構成されています:

 

Part 1: 

一般的な規定が含まれています。例、 この付録で使用されている定義、現地の法律の順守、タイミング、および終止について

 

Part 2:

修正されていない標準契約条項文書の本文が含まれています

 

Part 2の付属書1.1:

この付属書の下で、データ輸入者が、承認されたデータ処理代理人としてデータ輸出者に提供する処理操作の詳細(処理、処理の性質と目的、個人データの種類、データ被験者のカテゴリーを含む)が含まれています

 

Part 2の付属書2:

Part 2の付録1.1で説明されているすべての処理アクティビティに関連して適用される、データ輸入者の技術的および組織的なセキュリティ対策の説明が含まれています

 

Part 3:

この付属書に結び繋がる当事者の署名が含まれており、および各データ輸入者たちを判別します 

 

 

1.2 用語と定義

この付録の目的のために、GDPRで使用される用語と定義が適用されます(パート2の標準契約条項文書の本文で、定義された用語は大文字ではありません)。

 

"加盟国"

欧州連合または欧州経済領域に属する国を意味します

 

"(個人)データの特別なカテゴリ"

人種的または民族的起源、政治的意見、宗教的または哲学的信念、または労働組合への加入を明らかにする個人データ、および個人を一意に識別する目的で処理された場合の遺伝子データ、生物測定データ、健康に関するデータ、人の性生活または性的指向に関するデータを指します
 

 

"標準契約条項"

 

後に2016年12月16日のEU第2297回欧州委員会実施決定によって修正された2010年2月5日のEU第87回委員会決定に基づいて、第三国で設立された処理代理人の個人データを転送するための標準契約条項を意味します

 

 

“データ処理者”

EU / EEAの内外に位置し、データ輸出者の指示、この付属書の条件、およびデータ輸入者との契約に従って転送した後、
データ輸入者またはデータ輸入者の他の処理者から、データ輸出者によって実行される処理活動専用の個人データを受け取ることに同意する処理代理人を意味します

 

 

 

2. データ輸出者の義務

2.1 データ輸出者は、GDPRおよびデータ輸出者に適用されるその他の適用可能なデータ保護法に基づくすべての適用義務を確実に遵守し、GDPRの第5条(2)で要求されるような追従を示す義務があります。データ輸出者は、データ輸入者がGDPRの第6条(a)に従ってデータ被験者の事前の同意を取得し、GDPRの第13条および第14条に従ってデータ被験者に通知する義務を遵守していることを保証します。

2.2 データ輸出者は、データ輸入者が義務を遵守するために必要な範囲で、この付属書に基づくサービスに関連するGDPRの第30条(1)に従って、データ輸入者に処理活動のそれぞれのファイルを提供する必要があります、GDPRの第30条(2)に基づいて。

2.3 データ輸出者は、適用されるデータ保護法で要求される範囲で、データ保護責任者または代表者を任命する必要があります。データ輸出者は、データ保護代理人または代表者(存在する場合)の連絡先の詳細をデータ輸入者に提供する義務があります。

2.4. データ輸出者は、処理が完了する前に、この付属書に同意することにより、Part 2の付属書2に記載されているデータ輸入者の技術的および組織的セキュリティ対策がデータ被験者の権利を保護するのに適切かつ十分であることを確認します。

 

3. 現地法の尊守

GDPRの第28条に続く処理代理人の実装の要件を満たすために、次の修正が適用されます:

 

3.1 指令

  1. (i) データ輸出者は、データ輸出者に代わってのみ個人データを処理するようにデータ輸入者に指示します。 データ輸出者の指示は、この付属書および契約に記載されています。データ輸出者は、データ輸入者にすべての指示が適用されるデータ保護法に準拠していることを確認する義務があります。データ輸入者は、欧州連合または加盟国の法律によって別途要求されない限り、データ輸出者によって提供された指示に従ってのみ個人データを処理する必要があります(後者の場合、Part 1の3.2(iv)(c)が適用されます)。
  2. (ii) この付属書または契約の指示を超える他のすべての指示は、この付属書および契約の主題に含まれている必要があります。この追加の指示の実施にデータ輸入者の費用が含まれる場合、データ輸入者はそのような費用をデータ輸出者に通知し、指示を実施する前に説明を提供するものとします。 データ輸出者が命令を実装するためのこれらのコストの受け入れを確認した後でのみ、データ輸入者はこの追加の命令を実装するものとします。データ輸出者は、緊急またはその他の特定の状況で別のフォーム(口頭、電子等)が必要な場合を除き、書面で追加の指示を与える必要があります。書面以外の形式の指示は、データ輸出者が遅延なく書面で確認する必要があります。
  3. 1. データ輸出者が個人データの修正、消去、または制限を単独で実行できない場合を除き、指示はPart 1の3.3項に記載されているように、個人データの修正、消去、および/または制限にも関連する場合があります。
  4. 2. データ輸入者は、指示がGDPRまたは欧州連合または加盟国 ("異議のある指示") の他の該当するデータ保護規定に違反していると判断した場合、データ輸出者に直ちに通知する必要があります。データ輸入者が、指示が欧州連合または加盟国のGDPRまたはその他の該当するデータ保護規定に違反していると信じる場合、データ輸入者は異議のある指示に従う義務を負いません。データ輸出者がデータ輸入者から情報を受け取ったときに競合する指示を確認し、競合する指示に対する責任を認める場合、データ輸入者は、競合する指示が(i)技術的および組織的措置の実施に関連しない限り、競合する指示を実装するものとします、(ii)データ被験者の権利または(iii)データ処理者の関与に基づいて。(i)から(iii)の場合、データ輸入者は管轄の監督当局に連絡して、争われている指示をそのような当局に法的に裁かせることができます。監督当局が異議を申し立てられた指示が合法であると宣言した場合、データ輸入者は異議を申し立てられた指令を実装するものとします。Part 1条項3.1(ii)は引き続き適用されるものとします。

 

3.2 データ輸入者の義務

  1. (i) データ輸入者ーは、データ輸入者によってデータ輸出者に代わって個人データを処理する権限を与えられた人物、特にデータ輸入者の従業員および下請け業者の従業員が機密性を遵守することを約束していることを確認する必要があります。および、適切な法定の守秘義務の対象であり、個人データにアクセスできるそのような人は、データ輸出者の指示に従ってデータを処理する必要があります。
  2. (ii) データ輸入者は、データ輸出者に代わって個人データを処理する前に、Part 2の付属書2に記載されている技術的および組織的なセキュリティ対策を実装する必要があります。データ輸入者は、Part 2の付属書2に記載されているものよりも保護が不十分でない場合、技術的および組織的なセキュリティ対策を随時変更する場合があります。
  3. (iii) データ輸入者は、データ輸出者からの要求に応じて、この付属書に基づくデータ輸入者の義務の遵守を示す情報をデータ輸出者が利用できるようにするものとします。両当事者は、データ輸出者に監査レポート(原則のセキュリティ、システムの可用性、および機密性をカバーする ("Audit Report") を提供することにより、この情報義務が満たされることに同意します。追加の監査活動が法的に必要な場合、データ輸出者は、データ輸入者とデータ輸入者との機密保持契約の締結を条件として、データ輸出者またはデータ輸出者によって任命された別の監査人による検査の実施を要求することができます、データ輸入者の合理的な円満 ("Audit") に基づいて。この監査は、以下の条件に従うものとします。(i)データ輸入者の事前の正式な書面による承諾。 (ii)データ輸出者は、データ輸出者およびデータ輸入者のオンサイト監査に関連するすべての費用を負担するものとします。データ輸出者は、オンサイト監査の結果と観察結果を要約した監査レポート("On-Site Audit Report")を作成する必要があります。オンサイト監査レポートおよび監査レポートは、データ輸入者の機密情報であり、適用されるデータ保護法によって要求されない限り、またはデータ輸入者の同意がない限り、第三者に開示してはなりません。
  4. (iv) データ輸入者は、過度の遅延を避けデータ輸出者に通知する義務があります:
    1. a. 法執行機関の調査の機密性を保護するための刑法による禁止等、特に禁止されていない限り、法執行機関による個人データの開示に関する法的拘束力のある要求に関して
    2. b. データ輸入者が活動を許可されていない配下において、その要求に応答せずにデータ被験者から直接受け取った苦情および要求に関して(例:アクセス、修正、削除、処理の制限、データの移植性、データ処理への異議、自動化された意思決定)
    3. c. データ輸入者またはデータ処理者が、欧州連合またはデータ輸入者またはデータ処理者がデータ輸出者の指示を超えて個人データを処理する対象となる加盟国の法律に基づいて義務付けられている場合、 欧州連合または加盟国の法律は、重要な公益上の理由でそのような処理を禁止しています。その場合、データ輸出者への通知は、欧州連合または加盟国のその法律に基づく法的要件を指定するものとします; 
    4. d. データ輸入者が、本契約の対象となるデータ輸出者の個人データに影響を与える、それ自体またはその下請け業者のみが原因で個人データの侵害に気付いた場合、データ輸入者はデータ輸出者の義務を支援します。GDPRの第33条(3)に従って、該当するデータ保護法に照らして、データ被験者および該当する場合は監督当局に自由に情報を提供することを通知します。
    5. (v) データ輸出者の要求に応じて、データ輸入者は、GDPRの第35条で要求される可能性のあるデータ保護の影響評価と、第35条で要求される可能性のある事前協議を実施する義務において、データ輸出者を支援することを強制されるものとします。この付属書に基づいてデータ輸入者がデータ輸出者に提供するサービスに関するGDPRの第36条では、データ輸出者に必要な情報を提供します。 データ輸入者は、データ輸出者が他の手段でその義務を履行できない場合にのみ、そのような支援を提供する義務を負います。 データ輸入者は、そのような支援の費用をデータ輸出者に通知します。データ輸出者がこのコストを負担できることを確認すると直ちに、データ輸入者はデータ輸出者にこのヘルプを提供します。
    6. (vi) サービスの提供の終了時に、データ輸出者は、サービス後1か月以内に、この付属書に基づいてデータ輸入者によって処理された個人データの返却を要求することができます。加盟国または欧州連合の法律により、データ輸入者がそのような個人データを保存または保持することを要求されていない限り、データ輸入者は、そのような個人データまたは非個人データが要求に応じてデータ輸出者に返送されたかどうかにかかわらず、1か月後にすべて削除します。

 

3.3 関係者の権利

  1.  
    1. (i) データ輸出者は、データ被験者からの要求を管理して応答します。データ輸入者は、データ主体に直接応答する義務はありません。
    2. (ii) データ輸出者がデータ被験者の要求の処理および応答においてデータ輸入者の支援を必要とする場合、データ輸出者はPart 1の条項3.1(ii)に従って追加の指示を発行するものとします。データ輸入者はデータ輸出者を次のように支援します。GDPRの第III章に規定されているデータ被験者の権利の行使の要求に対応するための適切かつ技術的な組織的措置は次のとおりです:
    3. a. 情報の要求に関して、データ輸入者は、データ輸出者がそれ自体を見つけることができない場合に自由に使える可能性のあるPGRDの第13条および第14条で要求される情報のみをデータ輸出者に提供します。
    4. b. アクセスのリクエスト(GDPRの第15条)に関して、データ輸入者は、データ輸出者に、上記のアクセスリクエストのデータ主体に提供されることになっている情報のみを提供します。後者はそれを単独で見つけることはできません
    5. c. 修正の要求(GDPRの第16条)、消去の要求(GDPRの第17条)、処理の要求の制限(GDPRの第18条)、または移植性の要求(GDPRの第20条)、およびデータ輸出者自体が個人データを修正または消去、制限、または他の第三者に送信できない場合、データ輸入者はデータ輸出者に関連する個人データを修正または消去、制限、または他の第三者に送信する可能性を提供します。または、これが不可能な場合は、関連する個人データを修正または消去、制限、または他の第三者に送信するための支援を提供します。
    6. d. 処理の修正、消去、または制限に関する通知(GDPRの第19条)に関して、データ輸入者は、データ輸出者がそのように要求した場合、およびデータ輸出者がそれ自体で状況を修正できない場合、データ輸入者が処理者として関与する個人データのすべての受信者に通知することにより、データ輸出者を支援します。
    7. e. データ被験者が行使する異議申し立ての権利(GDPRの第21条および第22条)に関して、データ輸出者は、異議申し立てが正当であるかどうか、およびその対処方法を決定します。
    8. (iii) データ輸入者の支援義務は、そのインフラ内で処理される個人データ(データ輸入者が所有または提供するデータベース、システム、アプリケーションなど)に限定されます。
    9. (iv) データ輸出者は、データ被験者が本Part 1の第3.1項に規定されたデータ被験者の権利を行使できるかどうかを判断し、データ輸入者に第3.3項(ii)、必要であるpart 1の(iii)で指定された支援の範囲を通知するものとします。
    10. (v) データ輸出者が、Part 1のサブ条項3.3(ii)、(iii)に基づいてデータ輸入者が提供する支援を超える、データ被験者の権利を満たすための追加または変更された技術的および組織的措置を要求する場合、データ輸入者は、そのような追加または変更された技術的および組織的措置を実施するためのコストをデータ輸出者に通知するものとします。データ輸出者がこれらのコストを満たすことができることを確認するとすぐに、データ輸入者は、データ被験者の要求に応答する際にデータ輸出者を支援するために、そのような追加または変更された技術的および組織的措置を実施するものとします。
    11. (vi) Part 1の条項3.3(v)の範囲を制限することなく、データ輸出者は、データ被験者の要求に対応するために発生した合理的な費用をデータ輸入者に払い戻す義務を負います。

 

3.4 代替え処理

  1.  
    1. (i) データ輸出者は、この付属書に基づくサービスの提供のためにデータ輸入者が下請け業者を使用することを許可します。データ輸入者は、そのようなデータ処理者を慎重に選択するものとします。データ輸出者は、Part 2の最後にある付属書1.1にリストされているデータ処理者を承認します。
    2. (ii) データ輸入者は、下請けサービスに適用される範囲で、この付属書に基づく義務をデータ処理者に譲渡するものとします。
    3. (iii) データ輸入者は、その裁量により、別の適切で信頼性の高いデータ処理者(データ処理者達)を解任、交換、または任命することができます。データ輸出者から書面で要求された場合、データ輸入者は以下に示す手順に従う必要があります:
  2.  
    1. a. データ輸入者は、Part 1の3.4(i)項で参照されているデータ処理者のリストに変更を加える前に、データ輸出者に通知するものとします。データ輸出者がデータ輸入者からの通知を受け取ってから30日後にPart 1の条項3.4(b)に基づいて異議を唱えない場合、追加のデータ処理者は受け入れられたと見なされるものとします。
    2. b. データ輸出者が追加のデータ処理者に異議を唱える正当な理由がある場合、データ輸入者の通知を受け取ってから30日以内、およびデータ輸入者のサービスが運用を開始する前に、データ輸入者に事前に書面で通知します。データ輸出者が追加のデータ処理者の使用に異議を唱える場合、データ輸入者は次のオプション(その裁量で選択できるオプション)のいずれかによって異議を削除する場合があります:(A)データ輸入者は、データ輸出者の個人データに関して追加の処理を使用する計画をキャンセルします:(B)データ輸入者は、その異議申し立てにおいてデータ輸出者によって要求された是正措置を取り(異議申し立てをキャンセルし)、データ輸出者の個人データに関して追加の処理を使用します:(C)データ輸入者は提供を停止するか、データ輸出者はデータ輸出者の個人データのデータ輸出者のさらなる処理の使用を含むサービスの特定の側面を(一時的または永続的に)使用しないことに同意する場合があります。
  3.  
    1. (iv) データ処理者が、欧州委員会の決定後に適切なレベルのデータ保護を提供すると認められていない国のEU-EEA外に拠点を置いている場合、データ輸入者は、GDPRに従って適切なレベルのデータ保護に治めるための措置を講じます(このような措置には、とりわけ、EUモデルの条項に基づくデータ処理契約の使用、EU-US保護シールドの枠組み内での自己認証データ処理者への転送、または同様のプログラムが含まれる場合があります)。

 

3.5 有効期限

この付属書の有効期限は、同様に対応する契約の有効期限と同じです。この付属書に別段の定めがある場合を除き、終了に関連する権利と義務は、契約に含まれるものと同じであるものとします。

 

4. 責任の制限

4.1 各当事者は、この付属書および該当するデータ保護法に基づく義務を処理します。

4.2 この付属書または適用されるデータ保護法に基づく義務の違反に関連する責任は、この付録に別段の定めがある場合を除き、契約に定められた、または適用される責任規定に従うものとします。責任が契約に定められた、または適用される責任規定に治められている場合、責任制限の計算またはその他の責任制限の適用の決定のために、この付属書に基づいて発生する責任は、契約に基づいて発生したものと見なされます。

 

5. 一般規定

5.1 この付属書のPart 1とPart 2の間に矛盾または不一致がある場合は、Part 2が優先されます。具体的には、そのような場合でも、矛盾することなく単にPart 2(すなわち標準条項の条件)を超えるPart 1は有効なままであるものとします。

5.2 この付属書の規定と当事者を拘束する他の契約の規定との間に矛盾が生じた場合、この付属書は当事者のデータ保護義務に関して優先するものとします。他の契約の条項が当事者のデータ保護義務に関係するかどうかについて疑問がある場合は、この付属書が優先するものとします。

5.3 この付属書のいずれかの条項が無効または執行不能である場合、この付属書の残りの部分は引き続き完全に効力を有します。無効または執行不能な条項は、(i) 当事者の意図を可能な限り維持しながら、その有効性と執行可能性を確保するために修正されます。これが不可能な場合は、(ii) 無効または執行不能な部分が契約の一部ではなかったかのように解釈されます。上記は、この付属書に省略がある場合にも適用されます。

5.5 必要な範囲で、両当事者は以下の修正を要求することができます。連合または加盟国の管轄当局によって発行された解釈、指令、または命令、国内執行規定、またはその他の法的進展に束ねるためのパート1、条項3(現地法の遵守)、または付録の他の部分、GDPRまたはデータ処理に関与する実在する人物へのその他の委任条件、特にGDPRでの標準契約条項の使用に関するもの。標準契約条項の条件は、欧州委員会が明示的に承認しない限り変更または置換することはできません(例、新しい適切な条項やデータ保護基準等により)。

5.6 この付属書での「条項」への言及は、特に明記されていない限り、この付属書の全ての条項を指すと理解されるものとします。

5.7 Part 2、条項9での法律の選択は、契約全体に適用されます。

 

6. 個人的な目的で当事者によって送信および処理される個人データ(データ管理者からデータ管理者へ転送の)

6.1 両当事者は、特定の個人データがデータ輸出者からデータ輸入者に、またはその逆に転送されること、およびそのようなデータが各当事者によって独自の目的で処理されることを完全に把握しています。このような個人データに関しては、この付属書の他の条項には影響しません(この第6項を除いて)。

6.2 データ輸出者は、セキュリティトラブルに関する情報を含む、データ輸入者のスタッフに関連する個人データ、または、データ輸入者のスタッフが提供するサービスに関連してデータ輸出者によって作成または確立されたその他のドキュメントまたはファイルをデータ輸入者に転送する場合があります。データ輸入者は、そのような個人データを、それ自体の目的、特にデータ輸入者の担当者との専門的な関係、品質管理とトレーニング、またはビジネス目的で処理する場合があります。

6.3. データ輸入者は、データ輸入者の担当者の名前と連絡先の詳細を含む個人データをデータ輸出者に転送する場合があります。データ輸出者は、独自の目的でそのような個人データを処理する場合があります。

6.4 両当事者は、Part 1の第1項に基づいて相手方から受け取った個人データの収集、処理、および使用において、GDPRを含む該当するデータ保護法を遵守するものとします。特に、両当事者は適切なセキュリティ対策を講じ、Part 2の付録2に記載されているセキュリティ対策と同様のレベルの保護を提供するものとします。そのような個人データへのアクセスは、それらを知る必要性に限定されるものとします。

6.5 両当事者は、目的が達成された後、できるだけ早くそのような個人データを削除する必要があります。

Part 2

 

委員会の決定

2010年2月5日

欧州議会および理事会の95/46 / EC指令に基づいて第三者国で確立されたデータ処理者への個人データの転送に関する標準的な契約条項について

 

 

 

条項1

定義

条項の意味の範囲内において:

a) 「個人データ」および「データの特別なカテゴリー」および「処理/加工」および「制御機」および「処理機」および「データ主体」および「監督当局」は、95/46 / ECの指令と、個人データの処理およびそのようなデータ(1)の自由な移動に関する個人の保護に関する1995年10月24日の評議会と同じ意味を持つものとします;

b) 「データエクスポーター」は、個人データを転送するデータ操縦者である;

c) 「データインポーター」とは、データ輸出者から、転送後にデータ輸出者に代わって処理されることを目的とした個人データを、その指示に従い、これらの条項および「データインポーター」の条件に従って受け取ることに同意するデータを処理する者、および、指令95/46 / ECの第25条(1)の意味の範囲内で適切な保護を保証する第三国のメカニズムの対象とならないデータを処理する者の事を指す;

d) 「データプロセッサー」とは、データ輸入者またはデータ輸入者の他のデータ処理者から、実行される処理活動専用の個人データを受け取ることに同意し、データ輸入者またはデータ輸入者の他のデータ処理者が、データ輸出者の指示に従い本条項に定められた条件およびデータ処理契約の下請け契約の条件の下で、転送後にデータ輸出者に代わって従事するデータ処理者を意味します;

e) 「適用されるデータ保護法」とは、個人データの処理に関するプライバシーの権利を含む、個人の基本的な権利と自由を保護し、データ輸出者が設立された加盟国の管理者に適用する法律を意味します;

f) 「セキュリティに関連する技術的および組織的対策」とは、個人データを偶発的または違法な破壊または偶発的な損失および改ざん、および特に処理にネットワークを介したデータの送信およびその他すべての違法な形式の処理が含まれる場合の不正な開示またはアクセスから保護することを目的とした対策を意味します。

条項2

転送の詳細

個人データの適切な特別なカテゴリーを含む転送の詳細は、これらの条項の不可欠な部分を形成する付属書1に指定されています。

条項3

第三者受益者条項

1. データ被験者はデータ輸出者に対して第三者受益者としてこれらの条項を施行することができます(条項4(b)から(i)、条項5(a)から(e)および(g)から(j)、条項6(1)および(2)、条項7、条項8(2)、条項9から12)

2. データ被験者は、データ輸出者が物理的に消滅した、または法律で存在しなくなったデータ輸入者に対して、条項5(a)から(e)および(g)、条項6、条項7、条項8(2)、条項9から12、のこれらの条項を実在することができます(但し、データ被験者の法的義務のすべてが、契約または法律の運用によって、データ輸出者の権利と義務が元に戻り、データ被験者が前述の条項を施行できる後継者に譲渡された場合を除く)。

3. データ被験者は、これらの条項、条項5(a)から(e)および(g)、条項6、条項7、条項8(2)、条項9から12、をデータ処理者に対して実行することができます。ただし、データ輸出者とデータ輸入者が物理的に消滅し、法律上存在しなくなった場合、または破産した場合に限ります。したがって、データ輸出者のすべての法的義務が契約または法律の運用によって法的な後継者に譲渡されていない限り、データ輸出者の義務は権利が確定し、データ被験者がそのような条項を施行する可能性があります。データ処理者のそのような責任は、これらの条項に基づく独自の処理活動に限定されなければなりません。

4. 当事者は、データ被験者が希望する場合、および国内法で許可されている場合、協会またはその他の機関によって代表されるデータ被験者に異議を唱えません。

条項4

データ輸出者の義務

データ輸出者は、以下の項目を受け入れて保証することにする:

a) 個人データの処理および実際の転送を含むことは、該当するデータ保護法の関連規定に従って実行されており、今後も実行されます(該当する場合は、データが存在する加盟国の管轄当局に通知されています)、および輸出業者は本拠地であり、その州の関連規定を侵害していない;

b) 彼らは、個人データ処理サービスの期間中、データ輸入者に、データ輸出者に代わって、適用されるデータ保護法およびこれらの条項に従って転送された個人データを処理するように指示しており、今後も継続的に指示します;

c) データ輸入者は、本契約の付属書2に指定されている技術的および組織的なセキュリティ対策に関して十分な保護手段を提供します;

d) 適用されるデータ保護法の要件を評価した後、セキュリティ対策は、特に処理にデータの送信が含まれる場合に、偶発的または違法な破壊または偶発的な損失、改ざん、不正開示、またはアクセスから個人データを保護するのに十分である。ネットワーク、および他のすべての違法な形式の処理に対して、技術のレベルと実装のコストを考慮して、処理によって表されるリスクと保護されるデータの性質に適したレベルのセキュリティを確保します;

e) それらはセキュリティ対策の遵守を確実にします;

f) 転送が特別なカテゴリのデータに関連する場合、データ被験者は、転送前、または転送後できるだけ早く、指令95/46 / ECの意味の範囲内で適切なレベルの保護を提供していない第三国にデータが転送される可能性があることを通知されているか、通知される予定です;

g) 転送を続行するか、停止を解除することを決定した場合、データ輸入者または条項5(b)および8(3)に基づいてデータ処理者から受信した通知をデータ保護監督当局に転送します;

h) それらは、データ被験者が要求した場合、付属書2を除くこれらの条項のコピー、セキュリティ対策の概要の説明、および条項または条項がない限り、これらの条項に基づいて締結された追加の下請契約のコピーを利用できるようにするものとします。契約には商業情報が含まれており、その場合、データ被験者はそのような情報を撤回することができます;

i) データ処理案件を下請けに出す場合、処理活動は、データ処理者によって第11条に従って実行され、これらの条項に基づくデータ輸入者と少なくとも同じレベルの個人データおよびデータ被験者の権利の保護を提供します; そして

j) 条項4(a)から(i)への準拠を保証します。

条項5

データ輸入者の義務

データ輸入者は、以下を受け入れて保証することにする:

a) データ輸出者に代わって、データ輸出者の指示およびこれらの条項の下でのみ個人データを処理します。何らかの理由で統治できない場合、データ輸出者にその機能がないことをできるだけ早く通知することに同意します。その場合、データ輸出者はデータ転送を一時停止したり、契約を終了したりすることがあります;

b) 適用される法律が、データ輸出者によって与えられた指示および契約に基づいて課せられた義務を履行することを妨げていると信じる理由はなく、そのような法律が変更の対象となり、重大な悪影響を与える可能性がある場合、条項に基づく保証および義務について、変更を認識した後、遅延なくデータ輸出者に通知するものとします。その場合、データ輸出者はデータ転送を一時停止および/または契約を終了することができます;

(c) 転送された個人データを処理する前に、付属書2で指定された技術的および組織的なセキュリティ対策を実装しています;

d) 彼らは遅延なくデータ輸出者に通知します:

i) 警察の捜査の秘密を守ることを目的とした刑事禁止など、特に明記されていない限り、法執行機関からの個人データの開示に関する拘束力のある要求;

ii) 偶発的または不正アクセス; そして

iii) 許可されていない限り、関係者から直接返信せずに受け取った要求; 管理者

e) 転送される個人データの処理に関するデータ輸出者からのすべての問い合わせに迅速かつ適切に対処し、転送されるデータの処理に関する監督当局の意見に基づいて行動します;

f) データ輸出者の要求に応じて、データ処理施設は、データ輸出者または必要な専門的資格を持つ独立したメンバーで構成される監督機関によって実行されるこれらの条項の対象となる処理活動の監査を受けます。秘密保持の義務であり、必要に応じて監督当局の同意を得てデータ輸出者が選択をします;

g)それらは、データ被験者が要求した場合、これらの条項のコピー、またはデータ処理契約の既存の下請け契約を利用できるようにします。ただし、条項または契約に商業情報が含まれている場合は、そのような情報が削除される可能性があります。ただし、付属書2は、データ被験者がデータ輸出者からコピーを取得できないセキュリティ対策の概要説明に置き換えられます;

h) データ処理をさらに下請けに出す機密の場合、事前にデータ輸出者に通知し、データ輸出者の書面による同意を取得するようにします;

i) データ処理者が提供する処理サービスは、第11条に準拠するものとします;

j) 彼らは、これらの条項に基づいて締結したデータ処理契約の下請け契約のコピーをデータ輸出者に迅速に送信します。

条項6

責任

1. 当事者は、一方の当事者またはデータ処理者が第3項または第11項に記載の義務に違反したために損害を被ったデータ被験者は、被った損害についてデータ輸出者から補償を受けることができることに同意します。

2. データ被験者が、データ輸入者またはそのデータ処理者が第3条または第11条に基づく義務のいずれかを遵守しなかったために、データ輸出者に対して第1項に記載の損害賠償訴訟を起こすことができない場合 、データ輸出者が物理的に消滅し、法律で存在しなくなったか、または無効になり、データ輸入者は、データ輸出者のすべての法的義務が譲渡されない限り、データ被験者がデータ輸出者であるかのように苦情を申し立てることに同意する。契約または後継者との法律の運用により、データ被験者はそれに対して権利を行使することができる。データ輸入者は、自身の責任を回避するために、データ処理者による義務の違反に依存することはできません。

3. データ被験者が、第3項または第11項に基づく義務のデータ処理者による違反について、第1項および第2項で言及されている訴訟をデータ輸出者またはデータ輸入者に対して提起することを妨げられた場合、データ輸出者とデータ輸入者が物理的に姿を消し、法律で存在しなくなったか、破産したため、データ処理者は、データ輸出者またはデータ輸入者のすべての法的義務が契約によって譲渡されていない限り、データ被験者がこれらの条項に従って、データ輸出者またはデータ輸入者であるかのように自身の処理活動に関して苦情を申し立てることができること、または、データ被験者が自身の権利を主張する可能性のある法的な後継者に対する法律の運用を通して苦情を申し立てることができることに同意します。データ処理者の責任は、これらの条項に従った独自の処理活動に限定されなければなりません。

 

条項7

調停および管轄

1. データ輸入者は、条項に基づいて、データ被験者が第三者受益者の権利をデータ輸入者に対して行使し、および/または被った偏見の賠償を主張する場合、データ被験者の決定を受け入れることに同意することとみなす:

a) 独立した人物または適切な人物である場合は、監督当局による調停に議論を提出すること;

b) データ輸出者が拠点を置く加盟国の裁判所に議論を提起すること。

2. 両当事者は、データ被験者による選択が、国内法または国際法の他の規定に従って救済を受けるためのデータ被験者の手続き上または実質的な権利に影響を与えないことに同意します。

条項8

監督当局との協力

1. データ輸出者は、監督当局が必要とする場合、またはそのような預金が適用されるデータ保護法によって提供されている場合、監督当局に現在の契約のコピーを預けることに同意します。

2. 当事者は、監督当局が、適用されるデータ保護法に従ってデータ輸出者の実行されるチェックと同じ範囲および同じ条件で、データ輸入者および任意の下データ処理者でチェックを実行できることに同意します。

3. データ輸入者は、上記の第2項に従って、データ輸入者またはデータ処理者での検証を妨げるデータ輸入者またはデータ処理者に関する法律の存在をできるだけ早くデータ輸出者に通知するものとします。このような場合、データ輸出者は条項5(b)に規定された措置を取ることができます。

条項9

適用法

条項が適用され、条項は、データ輸出者が拠点を置く加盟国の法律に統治されます。

条項10

契約の変更

両当事者は、現在の条項を変更しないことを約束します。両当事者は、現在の条項と矛盾しない限り、必要とみなす他の商業条項を自由に含めることができます。
 

条項11

後続の下請け

1. データ輸入者は、データ輸出者の事前の書面による同意なしに、これらの条項に基づいてデータ輸出者に代わって実行される処理活動を下請けにしないものとします。データ輸入者は、データ輸出者の同意を得て、データ処理者にこれらの条項に基づいてデータ輸入者に課せられる義務と同じ義務を課すデータ処理者との書面による合意を通じてのみ、これらの条項に基づく義務を下請けするものとします。データ処理者は、その書面による合意に基づくデータ保護義務を遵守することはできません。データ輸入者は、これらの義務の履行についてデータ輸出者に対して完全な責任を負います。

2. データ輸入者とデータ処理者の間の事前の書面による合意には、データ被験者が第6条(1)に記載の損害賠償請求を行うことができない場合に備えて、第3条に規定されている第三者の受益者条項も適用されるものとします(データ輸出者またはデータ輸入者が物理的に消滅した、法律に存在しなくなった、または無効になり、または新たな後継者への法律の運用により、データ輸出者またはデータ輸入者のすべての法的義務の契約が譲渡されていないために)。そして、データ処理者の責任は、これらの条項に従って、独自の処理活動に限定する必要があります。

3. 上記の第1項で言及されている契約のデータ処理を下請け契約することのデータ保護の側面に関連する規定は、データ輸出者が設立された加盟国の法律に準ずるものとします。

4. データ輸出者は、これらの条項に基づいて締結され、少なくとも年に1回更新される条項5(j)に従ってデータ輸入者から通知されたデータ処理契約の下請けのリストを保持するものとします。このリストは、データ輸出者のデータ保護監督当局が利用できるようにするものとします。

条項12

個人情報処理サービス終了後の義務

1. データ輸入者に課せられた法律により、転送された個人データの全部または一部を返却または破棄することが禁止されていない限り、両当事者は、データ処理サービスの完了時に、データ輸入者とデータ処理者がデータ輸出者の都合に応じて、転送されたすべての個人データとそのコピーをデータ輸出者に返却するか、そのようなデータをすべて破棄し、破棄の証拠をデータ輸出者に提供することに同意します。その場合、データ輸入者は、転送された個人データの機密性を慎重に扱い、データを極力処理しないことを保証します。

2. データ輸入者およびデータ処理者は、データ輸出者および/または監督当局から要求された場合、データ処理の手段を上記第1項に記載の措置の検証にかけることを保証するものとします。

 

 

 

 

Part 2の付属書1.1

トランスファーの詳細

 

 

データエクスポーター

データ輸出者は、契約上の合意で定義された顧客です。

 

データインポーター

データ輸入者はIQUALIFであり、データを処理するために割り当てられ、データ輸出者にサービスを提供します。

 

データの主題

転送される個人データは、次のカテゴリのデータ被験者に関係します:

☒ 全般名簿にリストされている電話加入者

☐ その他:

 

データのカテゴリ

転送される個人データは、以下のカテゴリーのデータに関係します:

 

特にデータ輸出者のデータ被験者の個人データのカテゴリ、

☒ フルネーム

☒ 住所

☒ 連絡先の詳細(電子メール、電話、IPアドレス)

☒ 電話加入者に関するマーケティング活動の詳細

☒ その他(匿名で作成された、住宅の種類、収入、都市別の平均年齢など)

 

特別なカテゴリのデータ(該当する場合)

転送される個人データは、以下の特別なカテゴリのデータに関係します:

☒ 特別なカテゴリのデータの転送は予測されていません

☐ 人種または民族的出身

☐ 宗教的または哲学的信念

☐ 労働組合の加入

☐ 政治的見解

☐ 遺伝情報

☐ 生体情報

☐ 性的指向または性生活に関する情報

☐ 健康データ

 

処理活動

転送される個人データは、以下の基本的な処理活動の対象となります:

 

  •  
    • • 処理の目的

データ輸出者に代わって行われる処理は、特に次の主題に基づいています:

☒ データ輸出者が提供する製品またはサービスを担当する

☒ 呼ばれた人がリクエストできる製品またはサービスの提供

☒ 呼ばれた人からの注文と、これらの注文のさらなる処理

☒ アンケートと分析を研究する

☒ テレマーケティング

☐ その他:

 

  •  
    • • 処理の性質と目的

データ輸入者は、以下のサービスを提供するために、データ輸出者に代わってデータ被験者の個人データを処理します:

☒ セールスとマーケティング

☒ その他(市庁舎や政党のデータベースの更新など)

 

  •  
    • • サービスの提供とサービス提供者の雇用

 

IQUALIFは主に、データ輸出者を組み合わせ、一元化し、サービスを提供します。
指名されたサービス提供者によって提供されるサービスは、以下の補助サービスを中心に(必要に応じて)構成されている場合があります: (i) 記のようなデータ被験者の個人データの処理を含むサービスを、そのようなアプリケーション、ツールを介して提供およびサポートするために、使用されるデータ処理センターに関連するアプリケーション、ツール、システム、およびITインフラの提供およびシステム、(ii) そのようなアプリケーションおよびツールとシステムに保存されている個人データへの潜在的なアクセスを含む、そのようなアプリケーションとツールおよびシステムとITインフラに関連するITサポートとメンテナンスおよびその他のサービスの提供、そして (iii) データ保護サービス、保護監視、およびそのような保護サービスを提供する際の個人データへの潜在的なアクセスを含むトラブル対応サービスの提供。 IQUALIFは、補助サービスを含むサービスを提供するために、以下に設定されているデータプロセッサを利用する場合があります。

 

  •  
    • • データ処理に割り当てられた代替えの実体としての外部の第三者サービス提供者

 

IQUALIFは、IQUALIFの子会社ではない外部および第3者のサービス提供者と契約して、データ輸出者へのサービスの提供をサポートします。データ輸出者は、データ処理に割り当てられた代替えの実体者などの外部第三者サービス提供者を承認します。

 

データ処理に関与する代替えの実体者が、欧州委員会の決定に基づいて適切なレベルのデータ保護がないと見なされた国のEU / EEA外にある場合、データ輸入者は、GDPRおよびPart 1のセクション3.4(iv)に従って、適切なレベルのデータ保護を取得するための措置を講じます。

 

 

付属書2、Part 2

技術的および組織的な保護対策

 

データ輸入者は、リスクに陥る個人の権利と自由に対して適切なレベルのセキュリティを保証するために、データ輸出者によって確認された以下の技術的および組織的保護措置を講じるものとします。データ輸出者は、関連する保護のレベルを評価する際に、特に、偶発的または違法な破壊、改ざん、送信、保存またはその他の方法で処理された個人データへの不正な開示、アクセスを含む処理に伴うリスクを考慮しました。明確化により: これらの技術的および組織的な保護対策は、データ輸出者によって提供されるアプリケーション、ツール、システム、および/またはITインフラには適用されません。
 

1 一般的な技術的および組織的保護対策
1.1 一般的な情報とデータ保護戦略
一般的なデータおよび情報保護戦略に従うには、次の手順を実行する必要があります:
  • a) 技術的および組織的保護に関して取られたものを評価するための措置を講じる;
  • b) 従業員の意識を高めるためのトレーニングを提供する;
  • c) 関連するシステムの説明を持ち、従業員にアクセスを許可します;
  • d) システムが実装または変更されるたびに、正式な文章化過程を確立する;
  • e) 組織構造、プロセス、責任、およびそれぞれの評価を文書化する;
 
1.2 情報保護の組織
データと情報の保護活動を調整するために、以下の措置を講じる必要があります:
  • a) 情報とデータの保護に関する定義された責任(例:データ保護管理ポリシーによる);
  • b) 利用可能な情報とデータを保護するために必要な専門知識;
  • c) すべての従業員は、個人データの機密を保持することを約束し、この約束に違反した場合の潜在的な結果について通知を受けています。
 
1.3 処理対象地区へのアクセス制御
個人データが処理および保存または送信されるときに、許可されていない人物がデータ処理システム(特にソフトウェアおよびハードウェア)にアクセスするのを防ぐために、次の対策を講じる必要があります:
  • a) 安全なエリアを確立する;
  • b) データ処理システムへのアクセスを保護および制限する;
  • c) それぞれのドキュメントから該当する、従業員および第三者のアクセス許可を確立する;
  • d) 個人データが保存されているデータ処理センターへのアクセスはすべてログに記録されるものとします。
 
1.4 データ処理システムへのアクセス制御
データ処理システムへの不正アクセスを防止するために、以下の対策を講じる必要があります:
  • a) ユーザー認証のポリシーと,認証手順;
  • b) すべてのコンピューターシステム上でのパスワードの使用;
  • c) ネットワークへのリモートアクセスには多要素認証が必要であり、関係者の責任と承認に応じて許可されます;
  • d) 特定の機能へのアクセスは、ユーザーのアカウントに個別に割り当てられた職務や属性に基づいています;
  • e) 個人情報に関連するアクセス権は定期的に見直されます;
  • f) アクセス権の変更の記録は常に最新の状態に保たれます。
 
1.5 データ処理システムの特定の使用領域へのアクセスの制御
データ処理システムを使用する権利を持つ許可された人物がそれぞれの責任とアクセス許可の範囲内でのみデータにアクセスできるようにし、許可なしに個人データを読み取ったり、コピー、変更、または削除したりできないようにするには、次の対策を講じる必要があります:
  1.  
    1. a) 守秘義務、個人データへのアクセス権、および個人データの処理範囲に関する各従業員の義務に関するポリシー、指示、および従業員のトレーニング;
  • b) 許可なく個人データにアクセスする者に対する懲戒処分;
  • c) 個人データへのアクセスは、知る必要がある場合に、許可された人物にのみ許可されるものとします;
  • d) システム管理者のリストを維持し、システム管理者を監視するための適切な措置を講じる;
  • e) 許可されていない人物が発信者の情報を削除できるようにするために、ストレージシステム上の個人データをコピーまたは複製の加担行為を行わないでください;
  • f) 管理され文書化された削除、またはデータの破壊;
  • g) 法律上または規制上の理由(例: データを保持する義務など)で保持する必要のあるすべての個人データを、法律で義務付けられている期間のみ安全に保管するため。
 
1.6 トランスミッションの制御
データストレージデバイスの送信または転送中に、許可されていない第三者が個人データを読み取ったり、コピーしたり、変更したり、削除したりしないようにするには、次の対策を講じる必要があります(実行される個人データの処理によって異なります):
  1.  
    1. a) 防火壁の使用;
  • b) 輸送目的でのモバイルストレージデバイスへの個人データの保存の回避、またはデバイスの暗号化;
  • c) 暗号化保護がアクティブ化された後にのみ、ラップトップおよびその他のモバイルデバイスで使用する;
  • d) 個人データ送信のログによる記録
 
1.7 データ入力制御
個人データがデータ処理システムに入力されたか、データ処理システムから削除されたか、また誰によって削除されたかを確認および判断できるようにするには、次の対策を講じる必要があります:
  1.  
    1. a) 保存されたデータの読み取り、変更、削除を許可するためのポリシー;
  • b) 保存されたデータの読み取り、変更、削除に関する保護措置。
 
1.8 作業管理

 

個人データの委任処理の場合、監督者の指示に従ってデータが処理されるように、以下の措置を講じる必要があります:
  1.  
    1. a) 慎重に選択されたデータ処理に割り当てられた実体者または代替えの実体者(操縦者に代わって個人データを処理するサービ提供者);
  • b) データ処理に割り当てられた従業員、実体者または代替えの実体者に対する個人データの処理の範囲に関する指示;
  • c) データ処理に割り当てられた実体者または代替えの実体者と合意した監査権;
  • d) データを処理するために割り当てられた実体者または代替えの実体者との合意。
 
1.9 他の目的のための、処理からの分離
他の目的で収集されたデータを個別に処理できるようにするには、次の対策を講じる必要があります:
  1.  
    1. a) ユーザーの既存の権利に従って個人データへの個別のアクセス;
  • b) インターフェイス、バッチ処理、およびレポートは他の目的および機能のためのものであるため、他の目的で収集されたデータを個別に処理できます。
 
1.10 仮名
個人データの仮名化については、以下の対策が必要です:
  1.  
    1. a) データ輸出者が特定の処理操作を注文した場合、または特定の処理アクティビティに関して施行されているデータ保護法に従ってデータ輸入者がこれを適切と見なした場合、個人データの処理は、追加情報を使用せずにデータを特定の人物に帰属させることができないように実行されます。この追加情報は個別に保持されます;
  • b) 割り当てリストのランダム化を含む仮名化手法の使用; シャープの形での価値の創造。
 
1.11 暗号化

暗号化をサポートするアプリケーションおよび送信で個人データを暗号化するには、次の手順を実行する必要があります:

  1.  
    1. a) 暗号化技術の使用;
  • b) 使用が許可されている暗号化技術をサポートするための暗号化管理の確立;
  • c) 暗号化キーを生成、変更、取り消し、破棄、配布、認証し、暗号化キーを保存、キャプチャ、使用、アーカイブして、不正な変更や開示から保護するための手順とプロトコルを通じて、暗号化の使用をサポートします。
 
1.12 データ処理システムとサービスの完全性

データ処理システムおよびサービスの完全性を確保するために、以下の措置を講じる必要があります:

  1. a) 適切な手段による操作または破壊からのデータ処理システムの保護(例:ウイルス対策ソフトウェア、データ損失防止ソフトウェア、マルウェアに対するソフトウェア、ソフトウェアパッチ、ファイアウォール、マネージドデスクトップ保護);
  • b) データ処理システム、サービス、または個人データの操作に有害なサービスまたはソフトウェアのインストールを禁止する;
  • c) ネットワーク自体の構造におけるネットワーク侵入検知および防止システムの使用。
 
1.13 データ処理システムおよびサービスの可用性、および重大または技術的なトラブルが発生した場合に個人データへのアクセスと使用を復元する可能性
データ処理システムの可用性を確保し、重大または技術的なトラブルが発生した場合に個人データの可用性とアクセスを迅速に復元できるようにするには、次の対策を講じる必要があります。(特に、個人データが偶発的な破壊または損失から保護されることを保証することによって):
  • a) バックアップコピーを保持し、失われたデータまたは削除されたデータを復元するための制御手段を持っている;
  • b) インフラの冗長性とインフラのテスト;
  • c) コンピュータリソースの物理的保護;
  • d) 内部ネットワークのステータスと可用性を監視するためのツールの使用;
  • e) トラブル管理手順を管理するトラブルの報告と対応のポリシー、および定期的なトレーニングの一環としてのこれらのポリシーの順守の繰り返し;
  • f) システムを復元してその機能を再び実行できるようにするためのバックアップ(場合によってはオフサイト);
  • g) 事業継続/災害復旧計画
 
1.14 データ処理システムとサービスの回復力

データ処理システムおよびサービスの復元力を確保するには、次の対策を講じる必要があります:

  • a) 承認されたセキュリティパラメータを使用して、システムと調和のとれた構成;
  • b) ネットワークの冗長性;
  • c) 重要なシステムの封じ込め保護。
 
1.15 データ処理のセキュリティを確保するための技術的および組織的対策の有効性を定期的にテスト、評価、および評価するための手順

データ処理を保護するための技術的および組織的対策の有効性を定期的にテスト、評価、および評価するための手順。

  • a) リスクと軽減戦略を評価するために必要な措置を講じる;
  • b) 現在の問題に対処するためのIT部門のサービス分析会議;
  • c) ビジネス継続性/災害復旧計画は定期的に更新されます。

 

Part 3

当事者の署名とデータ輸入者のリスト

 

オンライン注文フォームに記入し、一般的な利用規約に同意するチェックボックスをオンにして検証すると、顧客とIQUALIFの関係を規定する契約が確立されます。

IQUALIFに支払いを送ると、合意され確立された契約が考慮されます。


注意書き: このテキストはフランス語から翻訳されています。有効で法的に制限されている元のフランス語バージョンはこちらのhereで観覧可能です。