top of page

Data processing appendix

この付録は、契約の不可欠な部分を形成し、以下によって締結されます。

 

  1. (i)クライアント(「データエクスポーター」)

  2. (ii)POSTCODEZIP( "データインポーター")

 

それぞれが「パーティー」であり、一般的には「パーティー」です。

前文

データインポーターが専門的なソフトウェアサービス、コンピューター、および関連サービスを提供する場所。

契約に従い、データインポーターはデータエクスポーターに契約で指定されたサービス(「サービス」)を提供することに同意しました。

データインポーターがサービスを提供することにより、データエクスポーターの情報またはデータエクスポーターと(潜在的な)関係を有する他の人の情報へのアクセスを受け取るか、またはその恩恵を受ける場合、そのような情報は、規制の意味の範囲内で個人データとして認定される場合があります(EU)個人データの処理およびそのようなデータの自由な移動(「 GDPR」)およびその他の該当するデータ保護法に関する個人の保護に関する2016年4月27日の欧州議会および評議会の2016/679。

この付録には、データインポーターがデータエクスポーターの認定データ処理エージェントとしての立場でそのような個人データを収集、処理、および使用するために適用される契約条件が含まれている場合、当事者が適用されるデータ保護法を遵守することを保証します。

 

そのため、両当事者が合法的に関係を継続できるようにするために、両当事者はこの付録を次のように結論付けました。

パート1

1.ドキュメントの構造と定義

1.1構造

この付録は、次のようにさまざまな部分で構成されています。

パート1:

この付録で使用されている定義、現地の法律の順守、タイミング、終了などの一般的な規定が含まれています

Part 2:

修正されていない標準契約条項文書の本文が含まれています

パート2の付録1.1:

この下で、データインポーターが許可されたデータ処理エージェントとしてデータエクスポーターに提供する処理操作の詳細(処理、処理の性質と目的、個人データの種類、およびデータ主体のカテゴリーを含む)が含まれます付録

パート2の付録2:

パート2の付録1.1で説明されているすべての処理アクティビティに関連して適用される、データインポーターの技術的および組織的なセキュリティ対策の説明が含まれています

パート3:

この付録に拘束される当事者の署名が含まれ、各データインポーターを識別します

1.2用語と定義

この付録の目的のために、GDPRで使用される用語と定義が適用されます(定義された用語が大文字になっていない、パート2の標準契約条項文書の本文にあります)。 

「加盟国」

欧州連合または欧州経済領域に属する国を意味します

「(個人)データの特別なカテゴリ」

人種的または民族的起源、政治的意見、宗教的または哲学的信念、または労働組合への加入を明らかにする個人データ、および個人を一意に識別する目的で処理された場合の遺伝子データ、生物測定データ、健康に関するデータ、個人の性別に関するデータを指します人生または性的指向

「標準契約条項」

2010年2月5日の欧州委員会決定2010/87 / EUに基づいて、第三国で設立された処理エージェントの個人データを転送するための標準契約条項を意味します。 2016年12月

「データプロセッサ」??

EU / EEAの内外に位置し、データインポーターまたはデータインポーターの他のプロセッサーから、データエクスポーターが次の後に実行する処理活動専用の個人データを受け取ることに同意する処理エージェントを意味します。データエクスポーターの指示、この付録の条件、およびデータインポーターとの契約に従って転送する

2.データエクスポーターの義務

2.1データエクスポーターは、GDPRおよびデータエクスポーターに適用されるその他の適用可能なデータ保護法に基づくすべての適用義務を確実に遵守し、GDPRの第5条(2)で要求されるようなコンプライアンスを示す義務があります。データエクスポーターは、データインポーターがGDPRの第6条(a)に従ってデータ主体の事前の同意を取得し、GDPRの第13条および第14条に従ってデータ主体に通知する義務を遵守していることを保証します。

2.2データエクスポーターは、データインポーターが以下の義務を遵守するために必要な範囲で、この付録に基づくサービスに関連するGDPRの第30条(1)に従って、データインポーターに処理アクティビティのそれぞれのファイルを提供する必要があります。 GDPRの第30条(2)。

2.3データエクスポーターは、適用されるデータ保護法で要求される範囲で、データ保護責任者または代表者を任命する必要があります。データエクスポーターは、データ保護エージェントまたは代表者(存在する場合)の連絡先の詳細をデータインポーターに提供する義務があります。

2.4。データエクスポーターは、処理が完了する前に、この付録を受け入れることにより、パート2の付録2に記載されているデータインポーターの技術的および組織的なセキュリティ対策がデータ主体の権利を保護するのに適切かつ十分であることを確認します。そして、データインポーターがこの点で十分な保護手段を提供することを確認します。

3.現地法の遵守

GDPRの第28条に続く処理エージェントの実装の要件を満たすために、次の修正が適用されます。

3.1手順

  1. (i)データエクスポータは、データエクスポータに代わってのみ個人データを処理するようにデータインポータに指示します。データエクスポーターの指示は、この付録および契約に記載されています。データエクスポーターは、データインポーターにすべての指示が適用されるデータ保護法に準拠していることを確認する義務があります。データインポーターは、欧州連合または加盟国の法律によって別途要求されない限り、データエクスポーターによって提供された指示に従ってのみ個人データを処理する必要があります(後者の場合、パート1の3.2(iv)(c)が適用されます) 。

  2. (ii)この付録または契約の指示を超える他のすべての指示は、この付録および契約の主題に含まれている必要があります。この追加の指示の実施にデータインポーターの費用が含まれる場合、データインポーターはそのような費用をデータエクスポーターに通知し、指示を実施する前に説明を提供するものとします。データエクスポータが命令を実装するためのこれらのコストの受け入れを確認した後でのみ、データインポータはこの追加の命令を実装するものとします。データエクスポータは、緊急またはその他の特定の状況で別のフォーム(口頭、電子など)が必要な場合を除き、書面で追加の指示を与える必要があります。書面以外の形式の指示は、データエクスポーターが遅滞なく書面で確認する必要があります。

  3. 1.データエクスポータが個人データの修正、消去、または制限を単独で実行できない場合を除き、指示は、パート1の3.3項に記載されているように、個人データの修正、消去、および/または制限にも関連する場合があります。

  4. 2.データインポーターは、指示が欧州連合または加盟国のGDPRまたはその他の該当するデータ保護規定に違反していると判断した場合、データエクスポーターに直ちに通知する必要があります(「異議のある指示」")。データインポーターが、指示が欧州連合または加盟国のGDPRまたはその他の該当するデータ保護規定に違反していると信じる場合、データインポーターは異議のある指示に従う義務はありません。データエクスポーターが異議のある指示を確認した場合データインポーターから情報を受け取り、異議のある指示に対する責任を認めた場合、データインポーターは、異議のある指示が(i)技術的および組織的措置の実施、(ii)データの権利に関連する場合を除き、異議のある指示を実施するものとします。対象または(iii)データ処理者の関与(i)から(iii)の場合、データ輸入者は管轄の監督当局に連絡して、争われている命令をそのような当局に法的に評価させることができます。監督当局が異議を申し立てられた命令が合法であると宣言した場合、データインポーターは異議を申し立てられた命令を実施するものとします。パート1条項3.1(ii)は引き続き適用されるものとします。

3.2データインポーターの義務

  1. (i)データインポーターは、データインポーターによってデータエクスポーターに代わって個人データを処理する権限を与えられた人物、特にデータインポーターの従業員および下請け業者の従業員が機密性を遵守することを約束したか、または適切な法定の守秘義務、および個人データにアクセスできるそのような人物がデータエクスポーターの指示に従ってデータを処理すること。

  2. (ii)データインポーターは、データエクスポーターに代わって個人データを処理する前に、パート2の付録2に記載されている技術的および組織的なセキュリティ対策を実施する必要があります。データインポーターは、パート2の付録2に記載されているものよりも保護が不十分な場合、技術的および組織的なセキュリティ対策を随時変更することがあります。

  3. (iii)データインポーターは、データエクスポーターからの要求に応じて、この付録に基づくデータインポーターの義務の遵守を示す情報をデータエクスポーターが利用できるようにするものとします。両当事者は、データエクスポーターに監査レポート(原則のセキュリティ、システムの可用性、および機密性をカバーする)(「監査レポート」)を提供することにより、この情報の義務が満たされることに同意します。追加の監査活動が法的に必要な場合、データエクスポータは、データインポータとデータインポータとの機密保持契約の締結を条件として、データエクスポータまたはデータエクスポータによって任命された別の監査人による検査の実施を要求することができます。合理的な満足度(「監査」)。この監査には、次の条件が適用されます。(i)データインポーターの事前の正式な書面による承諾。 (ii)データエクスポータは、データエクスポータおよびデータインポータのオンサイト監査に関連するすべての費用を負担するものとします。データエクスポータは、オンサイト監査の結果と観察結果を要約した監査レポート(「オンサイト監査レポート」)を作成する必要があります。オンサイト監査レポートおよび監査レポートは、データインポーターの機密情報であり、適用されるデータ保護法によって要求される場合、またはデータインポーターの同意がない限り、第三者に開示してはなりません。オンサイト監査レポートおよび監査レポートは、データインポーターの機密情報であり、適用されるデータ保護法によって要求される場合、またはデータインポーターの同意がない限り、第三者に開示してはなりません。オンサイト監査レポートおよび監査レポートは、データインポーターの機密情報であり、適用されるデータ保護法によって要求される場合、またはデータインポーターの同意がない限り、第三者に開示してはなりません。

  4. (iv)データインポーターは、過度の遅延なしにデータエクスポーターに通知する義務があります。

  5. a。法執行機関による個人データの開示に関する法的拘束力のある要求については、法執行機関の調査の機密性を保護するための刑法による禁止など、他に禁止されている場合を除きます。

  6. b。データインポーターが許可されていない限り、データ主体から直接受け取った苦情および要求(たとえば、アクセス、修正、削除、処理の制限、データの移植性、データ処理への異議、自動化された意思決定)に関してそうする

  7. c。データインポーターまたはデータプロセッサーが、欧州連合またはデータインポーターまたはデータプロセッサーの対象となる加盟国の法律に基づいて、データエクスポーターの指示を超えて個人データを処理することが義務付けられている場合、そのような処理を実行する前に欧州連合または加盟国の法律が重要な公益上の理由でそのような処理を禁止している場合を除き、指示。その場合、データ輸出者への通知は、欧州連合または加盟国のその法律に基づく法的要件を指定するものとします。また

  8. d。データインポーターが、本契約の対象となるデータエクスポーターの個人データに影響を与える、自身またはその下請け業者のみが原因で個人データの侵害に気付いた場合、データインポーターはデータエクスポーターの義務を支援します。 GDPRの第33条(3)に従い、適用されるデータ保護法に照らして、データ主体および該当する場合は監督当局に自由に情報を提供することを通知します。

  9. (v)データエクスポーターの要求に応じて、データインポーターは、GDPRの第35条で要求される可能性のあるデータ保護の影響評価と、この付録に基づいてデータインポーターがデータエクスポーターに提供するサービスに関してGDPRの第36条で義務付けられており、データエクスポーターに必要な情報を提供します。データインポータは、データエクスポータが他の手段でその義務を履行できない場合にのみ、そのような支援を提供する義務を負います。データインポーターは、そのような支援の費用についてデータエクスポーターに通知します。データエクスポータがこのコストを負担できることを確認するとすぐに、データインポータはデータエクスポータにこのヘルプを提供します。

  10. (vi)サービスの提供の終了時に、データエクスポーターは、サービス後1か月以内に、この付録に基づいてデータインポーターによって処理された個人データの返却を要求することができます。加盟国または欧州連合の法律により、データインポーターがそのような個人データを保存または保持することが義務付けられている場合を除き、データインポーターは、1か月後に、そのような個人データまたは非個人データをすべて削除します。要求に応じてデータエクスポータ。

3.3関係者の権利

  1. (i)データエクスポータは、データ主体からの要求を管理および応答します。データインポーターは、データ主体に直接応答する義務はありません。

  2. (ii)データエクスポータがデータ主体の要求の処理および応答においてデータインポータの支援を必要とする場合、データエクスポータはパート1の条項3.1(ii)に従って追加の指示を発行するものとします。データインポータはデータエクスポータを支援します。 GDPRの第III章に次のように定められたデータ主体の権利の行使の要求に対応するための以下の適切かつ技術的な組織的措置を伴う:

  3. a。情報の要求に関して、データインポーターは、データエクスポーターが自分でそれを見つけることができない場合に自由に使えるPGRDの第13条および第14条によって要求される情報のみをデータエクスポーターに提供します。

  4. b。アクセスのリクエスト(GDPRの第15条)に関して、データインポーターは、データエクスポーターに、上記のアクセスリクエストのデータ主体に提供されることになっている情報のみを提供します。後者はそれを一人で見つけることはできません。

  5. c。修正の要求(GDPRの第16条)、消去の要求(GDPRの第17条)、処理の要求の制限(GDPRの第18条)、または移植性の要求(GDPRの第20条)、およびデータエクスポーター自体が個人データを修正または消去、制限、または他の第三者に送信できない場合、データインポーターはデータエクスポーターに関連する個人データを修正または消去、制限、または他の第三者に送信する可能性を提供します。または、これが不可能な場合は、関連する個人データを修正または消去、制限、または他の第三者に送信するための支援を提供します。

  6. d。処理の修正、消去、または制限に関する通知(GDPRの第19条)に関して、データインポータは、データエクスポータが要求し、データエクスポーターがそれ自体で状況を改善できない場合。

  7. e。データ主体が行使する異議申し立ての権利(GDPRの第21条および第22条)に関して、データエクスポーターは、異議申し立てが合法であるかどうか、およびその対処方法を決定します。

  8. (iii)データインポーターの支援義務は、そのインフラストラクチャ内で処理される個人データ(たとえば、データインポーターが所有または提供するデータベース、システム、アプリケーション)に限定されます。

  9. (iv)データ輸出者は、データ主体が本パート1の第3.1項に規定されたデータ主体の権利を行使できるかどうかを判断し、第3.3項(ii)に規定された支援の範囲をデータ輸入者に通知するものとします。 iii)パート1が必要です。

  10. (v)データエクスポーターが、パート1の3.3(ii)、(iii)に基づいてデータインポーターによって提供される支援を超えるデータ主体の権利を満たすための追加または変更された技術的および組織的措置を要求する場合、データ輸入者は、そのような追加または変更された技術的および組織的措置を実施するための費用をデータ輸出者に通知するものとします。データエクスポーターがこれらのコストを満たすことができることを確認するとすぐに、データインポーターは、データサブジェクトの要求に対応する際にデータエクスポーターを支援するために、そのような追加または変更された技術的および組織的措置を実施するものとします。

  11. (vi)パート1の条項3.3(v)の範囲を制限することなく、データ輸出者は、データ主体の要求に対応するために発生した合理的な費用をデータ輸入者に払い戻す義務を負うものとします。

3.4サブプロセッシング

1.

  1. (i)データエクスポーターは、この付録に基づくサービスの提供のためにデータインポーターが下請け業者を使用することを許可します。データインポーターは、そのようなデータプロセッサーを慎重に選択するものとします。データエクスポータは、パート2の最後にある付録1.1にリストされているデータプロセッサを承認します。

  2. (ii)データ輸入者は、下請けサービスに適用される範囲で、この付録に基づく義務をデータ処理者に譲渡するものとします。

  3. (iii)データインポーターは、その裁量により、別の適切で信頼性の高いデータ処理者を解任、交換、または任命することができます。データエクスポーターから書面で要求された場合、データインポーターは以下に示す手順に従う必要があります。

2.

  1. a。データインポーターは、パート1の条項3.4(i)に基づいて参照されるデータプロセッサーのリストに変更を加える前に、データエクスポーターに通知するものとします。データエクスポーターが条項3.4に基づいて異議を唱えない場合。 (b)データインポーターからの通知を受け取ってから30日後のパート1の、追加のデータ処理者は受け入れられたと見なされるものとします。

  2. b。データエクスポーターが追加のデータプロセッサーに異議を唱える正当な理由がある場合、データインポーターの通知を受け取ってから30日以内、およびデータインポーターのサービスが稼働する前に、データインポーターに事前に書面で通知します。データエクスポータが追加のデータプロセッサの使用に反対する場合、データインポータは次のオプションのいずれかによって反対を一掃することができます(その裁量で選択):( A)データインポータは次の点に関して追加のプロセッサを使用する計画をキャンセルしますデータエクスポーターの個人データ。 (B)データインポーターは、データエクスポーターから要求された異議申し立て(異議申し立てをキャンセル)で是正措置を講じ、データエクスポーターの個人データに関して追加のプロセッサーを使用します。(C)データインポータは提供を停止するか、データエクスポータはデータエクスポータの個人データのさらなるプロセッサの使用を含むサービスの特定の側面を(一時的または永続的に)使用しないことに同意する場合があります。

3.

  1. (iv)データ処理者が、欧州委員会の決定後に適切なレベルのデータ保護を提供すると認められていない国のEU-EEAの外部に拠点を置く場合、データインポーターは適切なレベルに準拠するための措置を講じますGDPRに準拠したデータ保護の実施(このような措置には、とりわけ、EUモデルの条項に基づくデータ処理契約の使用、EU-US保護シールドの枠組みにおける自己認証データ処理者への転送が含まれる場合があります) 、または同様のプログラム)。

3.5有効期限

  1. この付録の有効期限は、対応する契約の有効期限と同じです。この付録に別段の定めがある場合を除き、終了に関連する権利と義務は、契約に含まれるものと同じであるものとします。

4.責任の制限

4.1各当事者は、この付録および該当するデータ保護法に基づく義務を処理します。

4.2この付録または該当するデータ保護法に基づく義務の違反に関連する責任は、この付録に別段の定めがある場合を除き、契約に定められている、または適用される責任規定に従うものとします。責任が契約に定められた、または適用される責任規定に準拠している場合、責任制限の計算またはその他の責任制限の適用の決定のために、この付録に基づいて発生する責任は、契約に基づいて発生したものと見なされます。

5.一般規定

5.1この付録のパート1とパート2の間に矛盾または不一致がある場合は、パート2が優先するものとします。具体的には、そのような場合でも、矛盾することなく単にパート2(すなわち標準条項の条件)を超えるパート1は有効なままであるものとします。

5.2この付録の規定と、当事者を拘束する他の契約の規定との間に矛盾が生じた場合、この付録は、当事者のデータ保護義務に関して優先するものとします。他の契約の条項が当事者のデータ保護義務に関係するかどうかについて疑問がある場合は、この付録が優先するものとします。

5.3この付録のいずれかの条項が無効または執行不能である場合、この付録の残りの部分は引き続き完全に効力を有します。無効または執行不能な条項は、(i)当事者の意図を可能な限り維持しながら、その有効性と執行可能性を確保するために修正されます。または、これが不可能な場合は、(ii)無効または執行不能な部分があったかのように解釈されます。契約の一部ではありませんでした。上記は、この付録に記載がない場合にも適用されます。

5.5必要な範囲で、締約国は、連合の管轄当局またはGDPRまたはデータ処理に関与するエンティティへのその他の委任条件、特にGDPRでの標準契約条項の使用に関する加盟国、国内執行規定、またはその他の法的進展。標準契約条項の条件は、欧州委員会が明示的に承認しない限り(たとえば、新しい適切な条項やデータ保護基準によって)変更または置換することはできません。

5.6この付録での「条項」への言及は、特に明記されていない限り、この付録のすべての条項を指すと理解されるものとします。

5.7パート2、条項9での法律の選択は、契約全体に適用されます。

6. 個人的な目的で当事者によって送信および処理される個人データ(データ管理者からデータ管理者への転送)

6.1両当事者は、特定の個人データがデータエクスポーターからデータインポーターに、またはその逆に転送されること、およびそのようなデータが各当事者によって独自の目的で処理されることを十分に知っています。このような個人データに関しては、この付録の他の条項には影響しません(この第6項を除く)。

6.2データエクスポータは、データインポータのスタッフに関連する個人データをデータインポータに転送する場合があります。これには、セキュリティインシデントに関する情報、またはデータエクスポータがデータインポータ。データインポーターは、そのような個人データを独自の目的で、特にデータインポーターの担当者との専門的な関係において、品質管理とトレーニングのために、またはビジネス目的で処理する場合があります。

6.3。データインポータは、データインポータの担当者の名前と連絡先の詳細を含む個人データをデータエクスポータに転送する場合があります。データエクスポータは、独自の目的でそのような個人データを処理する場合があります。

6.4両当事者は、パート1の第1項に基づいて相手方から受け取った個人データの収集、処理、および使用において、GDPRを含む適用されるデータ保護法を遵守するものとします。特に、両当事者は適切なセキュリティ対策を講じ、以下を提供するものとします。パート2の付録2に記載されているセキュリティ対策と同様のレベルの保護。このような個人データへのアクセスは、それらを知る必要性に限定されるものとします。

6.5両当事者は、目的が達成された後、できるだけ早くそのような個人データを削除する必要があります。

パート2

委員会の決定

2010年2月5日

欧州議会および理事会の95/46 / EC指令に基づいて第三者国で確立されたデータ処理者への個人データの転送に関する標準的な契約条項について

条項1

定義

a)「個人データ」、「特別なカテゴリーのデータ」、「処理/処理」、「コントローラー」、「プロセッサー」、「データ主体」および「監督当局」は、95/46 / ECと同じ意味を持つものとします。個人データの処理およびそのようなデータの自由な移動に関する個人の保護に関する1995年10月24日の欧州議会および理事会の指令(1)。

b)「データエクスポーター」は、個人データを転送するデータコントローラーです。

c)「データインポーター」とは、データエクスポーターから、転送後にデータエクスポーターに代わって処理されることを意図した個人データを、その指示に従い、これらの条項の条件に従って受け取ることに同意するデータ処理者であり、指令95/46 / ECの第25条(1)の意味の範囲内で適切な保護を確保する第三国のメカニズムに従う。 (d)「データ処理者」とは、データインポーターまたはデータインポーターの他のデータ処理者から、データインポーターの個人データを処理活動専用に受け取ることに同意したデータインポーターまたはデータインポーターの他のデータ処理者が従事するデータ処理者を意味します。データエクスポータの指示に従って、転送後にデータエクスポータに代わって実行されます。これらの条項に定められた条件の下で、およびデータ処理契約の下請け契約の書面による条件の下で。

e)「適用されるデータ保護法」とは、個人データの処理に関するプライバシーの権利を含む、個人の基本的権利と自由を保護し、データエクスポーターが設立された加盟国の管理者に適用される法律を意味します。

f)「セキュリティに関連する技術的および組織的対策」?? 偶発的または違法な破壊または偶発的な損失、改ざん、不正な開示またはアクセスから個人データを保護することを目的とした措置を意味します。特に、処理にネットワークを介したデータの送信が含まれる場合、およびその他すべての違法な形式の処理から保護します。

条項2

転送の詳細

必要に応じて、個人データの特別なカテゴリを含む転送の詳細は、これらの条項の不可欠な部分を形成する付録1に指定されています。

条項3

第三者受益者条項

1.データ主体は、データエクスポーターに対して、この条項、条項4(b)から(i)、条項5(a)から(e)および(g)から(j)、条項6(1)および(2)を強制することができます。 )、第7条、第8条(2)、および第9条から第12条までの第三者受益者

2.データ主体は、データエクスポーターが物理的に所有しているデータインポーターに対して、この条項、条項5(a)から(e)および(g)、条項6、条項7、条項8(2)および条項9から12を施行することができます。彼の法的義務のすべてが、契約または法律の運用によって、データエクスポーターの権利と義務が元に戻され、データが元に戻される後継エンティティに譲渡されない限り、消滅するか、法律に存在しなくなりましたしたがって、サブジェクトは前述の条項を施行できます。

データ主体は、この条項、条項5(a)から(e)および(g)、条項6、条項7、条項8(2)、および条項9から12をデータ処理者に対して強制することができますが、データがデータエクスポーターとデータインポーターのすべての法的義務が契約または法律の運用により、権利としたがって、データエクスポータの義務は付与され、データ主体はそのような条項を施行することができます。データ処理者のそのような責任は、これらの条項に基づく独自の処理活動に限定されなければなりません。

4.当事者は、データ主体が希望する場合、および国内法で許可されている場合、協会またはその他の機関によって代表されるデータ主体に異議を唱えません。

条項4

データエクスポーターの義務

データエクスポータは、以下を受け入れて保証します。

a)個人データの実際の転送を含む処理は、適用されるデータ保護法の関連規定に従って実行されており、今後も実行されます(また、該当する場合は、加盟国の管轄当局に通知されます)。データエクスポーターが拠点を置く)であり、その州の関連規定を侵害していない。

b)個人データ処理サービスの期間中、データインポーターは、データエクスポーターに代わって、適用されるデータ保護法およびこれらの条項に従って転送された個人データを処理するように指示し、指示します。

c)データインポーターは、本契約の付録2に指定されている技術的および組織的なセキュリティ対策に関して十分な保護手段を提供します。

d)適用されるデータ保護法の要件を評価した後、特に処理にデータの送信が含まれる場合、セキュリティ対策は、偶発的または違法な破壊または偶発的な損失、改ざん、不正開示、またはアクセスから個人データを保護するために適切です。ネットワークを介して、および他のすべての違法な形式の処理に対して、テクノロジーのレベルと実装のコストを考慮して、処理によって表されるリスクと保護されるデータの性質に適したレベルのセキュリティを確保します。

e)セキュリティ対策の遵守を確保します。

f)転送が特別なカテゴリのデータに関連する場合、データ主体は、転送前、または転送後できるだけ早く、データを提供していない第三国にデータが転送される可能性があることを通知されているか、通知される予定です。指令95/46 / ECの意味の範囲内での適切なレベルの保護。

g)第5条(b)および第8条(3)に基づいてデータ輸入者またはデータ処理者から受け取った通知を、転送を継続するか停止を解除することを決定した場合、データ保護監督当局に転送します。

h)必要に応じて、データ主体が、付録2を除くこれらの条項のコピー、セキュリティ対策の概要説明、およびこれらの条項に基づいて締結された追加の下請契約のコピーを利用できるようにするものとします。条項または契約には商業情報が含まれており、その場合、彼はそのような情報を撤回することができます。

i)データ処理プロセスを下請けに出す場合、処理活動は、データ処理者によって第11条に従って実行され、これらの条項に基づくデータインポーターと少なくとも同じレベルの個人データおよびデータ主体の権利の保護を提供します。 ; と

j)第4条(a)から(i)への準拠を保証します。

条項5

データインポーターの義務

データインポーターは、以下を受け入れて保証します。

a)データエクスポーターに代わって、データエクスポーターの指示およびこれらの条項に基づいてのみ個人データを処理します。何らかの理由で準拠できない場合、データエクスポータにその機能がないことをできるだけ早く通知することに同意します。その場合、データエクスポータはデータ転送を一時停止したり、契約を終了したりする場合があります。

b)適用される法律により、データエクスポーターからの指示および契約に基づく義務の履行が妨げられていると信じる理由がなく、そのような法律が変更の対象となり、重大な不利益をもたらす可能性がある場合条項に基づく保証および義務に影響を与える場合、彼は変更を認識した後、遅滞なくデータエクスポーターに通知するものとします。その場合、データエクスポーターはデータ転送を一時停止および/または契約を終了することができます。(c)転送された個人データを処理する前に、付録2で指定された技術的および組織的なセキュリティ対策を実施している。

d)遅滞なくデータエクスポータに通知します。

i)警察の捜査の秘密を守ることを目的とした刑事禁止など、特に明記されていない限り、法執行機関からの個人データの開示に関する拘束力のある要求。

ii)偶発的または不正なアクセス。と

iii)許可されていない限り、関係者から直接返信せずに受け取った要求。管理者

e)転送される個人データの処理に関するデータエクスポータからのすべての問い合わせに迅速かつ適切に対処し、転送されるデータの処理に関する監督当局の意見に基づいて行動します。

f)データエクスポータの要求に応じて、データ処理施設は、データエクスポータまたは必要な専門的資格を持つ独立したメンバーで構成される監督機関によって実行されるこれらの条項の対象となる処理活動の監査を受けます。秘密保持の義務を条件とし、監督当局の同意を得て、必要に応じてデータエクスポーターによって選択されます。

g)条項または契約に商業情報が含まれている場合を除き、データ主体が要求した場合は、これらの条項のコピー、またはデータ処理契約の既存の下請け契約を利用できるようにします。データ主体がデータエクスポータからコピーを取得できないセキュリティ対策の概要説明に置き換えられる付録2を除く情報。

h)機密のデータ処理をさらに下請けする場合、彼は事前にデータエクスポーターに通知し、データエクスポーターの書面による同意を取得することを保証します。

i)データ処理者が提供する処理サービスは、第11条に準拠するものとします。

j)これらの条項に基づいて締結されたデータ処理契約の下請け契約のコピーを、データエクスポーターに迅速に送信します。

条項6

責任

1.当事者は、一方の当事者またはデータ処理者が第3項または第11項に記載されている義務に違反したために損害を被ったデータ主体は、被った損害についてデータエクスポーターから補償を受けることができることに同意します。

2.データ主体が、データインポーターまたはそのデータ処理者が第3条または第11条に基づく義務のいずれかを遵守しなかったために、データエクスポーターに対して第1項に記載の損害賠償訴訟を起こすことができない場合。輸出業者が物理的に姿を消した、法律に存在しなくなった、または破産した場合、データ輸入業者は、データ輸出業者のすべての法的義務が契約により譲渡されない限り、データ主体がデータ輸出業者であるかのように苦情を申し立てることができることに同意しますまたは法律の運用により、その後継者に対して、データ主体はそれに対して彼の権利を行使することができます。データインポーターは、自身の責任を回避するために、データ処理者による義務の違反に依存することはできません。

3.データ主体が、データエクスポーターおよびデータインポーターのために、第3項または第11項に基づく義務のデータ処理者による違反について、第1項および第2項で言及されている訴訟をデータエクスポーターまたはデータインポーターに対して提起することを妨げられた場合物理的に姿を消した、法律に存在しなくなった、または破産した場合、データ処理者は、データ主体が、すべての場合を除き、データエクスポーターまたはデータインポーターであるかのように、これらの条項に従って自身の処理活動に関して苦情を申し立てることができることに同意します。データエクスポーターまたはデータインポーターの法的義務は、契約または法律の運用により、法的な後継者に譲渡され、データ主体はそれに対して彼の権利を主張することができます。データ処理者の責任は、これらの条項に従った独自の処理活動に限定されなければなりません。

 

条項7

調停および管轄

1.データインポーターは、条項に基づいて、データ主体が第三者受益者の権利を彼に対して行使する場合、および/または被った偏見に対する補償を請求する場合、データ主体の決定を受け入れることに同意します。

a)独立した人物、または適切な場合は監督当局による調停に紛争を提出すること。

b)データエクスポーターが拠点を置く加盟国の裁判所に紛争を提起すること。

2.両当事者は、データ主体による選択が、国内法または国際法の他の規定に従って救済を受けるためのデータ主体の手続き上または実質的な権利に影響を与えないことに同意するものとします。

条項8

監督当局との協力

1.データエクスポーターは、監督当局が必要とする場合、またはそのような預金が適用されるデータ保護法によって提供されている場合、監督当局に現在の契約のコピーを預けることに同意します。

2.当事者は、監督当局が、適用されるデータ保護法に従ってデータ輸出業者で実施されるチェックと同程度かつ同じ条件で、データ輸入業者および任意のデータ処理業者でチェックを実施できることに同意します。

3.データインポータは、データインポータまたはデータプロセッサに関する法律の存在をできるだけ早くデータエクスポータに通知し、第2項に従ってデータインポータまたはデータプロセッサでの検証を妨げるものとします。データエクスポーターは、第5条(b)に規定されている措置を講じることができます。

条項9

適用法

条項が適用され、データエクスポーターが拠点を置く加盟国の法律に準拠します。

条項10

契約の変更

両当事者は、現在の条項を変更しないことを約束します。当事者は、現在の条項と矛盾しない限り、必要とみなす他の商業条項を自由に含めることができます。

第11条

その後の下請け

1.データインポーターは、データエクスポーターの事前の書面による同意なしに、これらの条項に基づいてデータエクスポーターに代わって実行される処理活動を下請けにしないものとします。データインポーターは、データエクスポーターの同意を得て、データプロセッサーにこれらの条項に基づいてデータインポーターに課せられる義務と同じ義務を課すデータプロセッサーとの書面による合意を通じてのみ、これらの条項に基づく義務を下請けするものとします。データ処理者がその書面による合意に基づくデータ保護義務を遵守できない場合、データインポーターはそれらの義務の履行についてデータエクスポーターに対して完全な責任を負います。

2.データインポーターとデータ処理者の間の事前の書面による合意には、データ主体が第6条(1 )、データエクスポーターまたはデータインポーターに対して、データエクスポーターまたはデータインポーターが物理的に消滅した、法律に存在しなくなった、または無効になり、データエクスポーターまたはデータインポーターのすべての法的義務が契約または操作によって譲渡されていないため別の後継者への法の。データ処理者の責任は、これらの条項に従って、独自の処理活動に限定する必要があります。

3.第1項で言及されている契約のデータ処理を下請けするデータ保護の側面に関連する規定は、データ輸出者が設立された加盟国の法律に準拠するものとします。

4.データ輸出者は、これらの条項に基づいて締結され、条項5(j)に従ってデータ輸入者から通知されたデータ処理契約の下請け契約のリストを保持するものとします。これは少なくとも年に1回更新されるものとします。このリストは、データエクスポータのデータ保護監督当局が利用できるようにするものとします。

条項12

個人情報処理サービス終了後の義務

1. The parties agree that upon completion of the data processing services, the Data Importer and the Data processor will, at the Data Exporter's convenience, return all personal data transferred and copies thereof to the Data Exporter, or destroy all such data and provide proof the destruction to the Data Exporter, unless legislation imposed on the Data Importer prevents it from returning or destroying all or part of the personal data transferred. In that case, the Data Importer guarantees that it will ensure the confidentiality of the personal data transferred and that it will no longer actively process the data.

2. The Data Importer and the Data processor shall ensure that, if so requested by the Data Exporter and/or the supervisory authority, they will subject their means of data processing to verification of the measures referred to in paragraph 1.

パート2の付録1.1

転送の詳細

データエクスポータ

データエクスポーターは、契約上の合意で定義された顧客です。

データインポーター

The Data Importer is POSTALCODEZIP and is assigned to process the data, providing services to the Data Exporter.

Subjects of the data

転送される個人データは、次のカテゴリのデータ主体に関係します。

â〜 ?? ユニバーサルディレクトリにリストされている電話加入者

â〜 'その他を含む:

データのカテゴリ

The personal data transferred concern the following categories of data:

 

Categories of personal data of the Data Exporter's data subjects in particular,

☒ Full name

☒ Postal address

☒ Contact details (e-mail, telephone, IP address, etc.)

☒ Details of marketing activities concerning the telephone subscriber

☒ Others, including the type of housing, income, and average ages by the city made anonymously

特別なカテゴリのデータ(該当する場合)

転送される個人データは、次の特別なカテゴリのデータに関係します。

☠'特別なカテゴリのデータの転送は予測されていません

â〜 ?? 人種または民族的起源

â〜 ?? 宗教的または哲学的信念

â〜 ?? 労働組合の会員

â〜 ?? 政見

â〜 ?? 遺伝情報

â〜 ?? 生体情報

â〜 ?? 性的指向または性生活に関する情報

â〜 ?? 健康データ

処理活動

転送された個人データは、以下の基本的な処理活動の対象となります。

    • • 処理の目的

データエクスポータに代わって行われる処理は、特に次の主題に基づいています。

â〜 'データエクスポータが提供する製品またはサービスを担当する

☠'呼び出された人が要求できる製品またはサービスの提供

â〜 '呼び出された人からの注文とこれらの注文のさらなる処理

â〜 '調査票と分析

☠'テレマーケティング

â〜 ?? その他を含む:

  • • 処理の性質と目的

The Data Importer processes the personal data of the data subjects on behalf of the Data Exporter, in order to provide the following services, and most notably:

☒ Sales and Marketing

☒ Others, including updating databases of town halls and political parties

    • • Provision of services and employment of service providers

POSTCODEZIPは、主にデータエクスポータを組み合わせ、一元化し、サービスを提供します。指定されたサービスプロバイダーによって提供されるサービスは、次の補助サービスを中心に構成されている場合があります。(i)提供するために、使用されるデータ処理センターに関連するアプリケーション、ツール、システム、およびITインフラストラクチャの提供上記のようなデータ主体の個人データの処理を含むサービスを、そのようなアプリケーション、ツール、およびシステムを介してサポートします。(ii)ITサポート、メンテナンス、およびそのようなアプリケーション、ツール、システムに関連するその他のサービスの提供およびITインフラストラクチャ(このようなアプリケーション、ツール、およびシステムに保存されている個人データへの潜在的なアクセスを含む)、および(iii)データ保護サービス、保護監視、およびインシデント対応サービスの提供、そのような保護サービスを提供する際の個人データへの潜在的なアクセスを含みます。 POSTCODEZIPは、補助サービスを含むサービスを提供するために、以下に設定されているデータプロセッサを利用する場合があります。

  • •データ処理に割り当てられたサブエンティティとしての外部サードパーティサービスプロバイダー

POSTCODEZIPは、POSTCODEZIPの子会社ではない外部およびサードパーティのサービスプロバイダーと連携して、データエクスポーターへのサービスの提供をサポートします。データエクスポータは、データ処理に割り当てられたサブエンティティなどの外部のサードパーティサービスプロバイダーを承認します。

 

データ処理に関与するサブエンティティがEU / EEAの外部にある場合、欧州委員会の決定の下で適切なレベルのデータ保護がないと見なされる国では、データインポーターは適切なレベルのデータを取得するための措置を講じますGDPRおよびパート1のセクション3.4(iv)に準拠したデータ保護。

付録2、パート2

技術的および組織的な保護対策

データインポーターは、リスクに応じて、個人の権利と自由に適切なレベルのセキュリティを保証するために、データエクスポーターによって確認された以下の技術的および組織的保護措置を講じるものとします。データエクスポータは、関連する保護のレベルを評価する際に、特に、偶発的または違法な破壊、改ざん、不正な開示、または送信、保存、またはその他の方法で処理された個人データへのアクセスを含む、処理に伴うリスクを考慮しました。明確にするために:これらの技術的および組織的な保護手段は、データエクスポーターによって提供されるアプリケーション、ツール、システム、および/またはITインフラストラクチャには適用されません。

1一般的な技術的および組織的保護対策

1.1一般的な情報とデータ保護戦略

一般的なデータおよび情報保護戦略に従うには、次の手順を実行する必要があります。

  • a)技術的および組織的保護に関して講じられたものを評価するための措置を講じる。

  • b)従業員の意識を高めるためのトレーニングを提供する。

  • c)関係するシステムの説明を持ち、従業員にアクセスを許可します。

  • d)システムが実装または変更されるたびに、正式な文書化プロセスを確立します。

  • e)組織構造、プロセス、責任、およびそれぞれの評価を文書化する。

1.2情報保護の組織

データと情報の保護活動を調整するには、次の対策を講じる必要があります。

  • a)情報とデータの保護に対する定義された責任(例えば、データ保護管理ポリシーによる)。

  • b)利用可能なままの情報とデータを保護するために必要な専門知識。

  • c)すべての従業員は、個人データの機密を保持することを約束し、この約束に違反した場合の潜在的な結果について知らされています。

1.3処理エリアへのアクセス制御

個人データが処理、保存、または送信されるときに、許可されていない人物がデータ処理システム(特にソフトウェアおよびハードウェア)にアクセスするのを防ぐために、次の対策を講じる必要があります。

  • a)安全なエリアを確立する。

  • b)データ処理システムへのアクセスを保護および制限する。

  • c)それぞれの文書を含め、従業員と第三者のアクセス許可を確立する。

  • d)個人データが保存されているデータ処理センターへのアクセスはすべてログに記録されるものとします。

1.4データ処理システムへのアクセス制御

The following measures must be taken in order to prevent unauthorized access to data processing systems:

  • a)ユーザー認証のポリシーと手順。

  • b)すべてのコンピューターシステムでのパスワードの使用。

  • c)ネットワークへのリモートアクセスには多要素認証が必要であり、関係者の責任と承認に応じて許可されます。

  • d)特定の機能へのアクセスは、ユーザーのアカウントに個別に割り当てられた職務および/または属性に基づいています。

  • e)個人データに関連するアクセス権は定期的に見直されます。

  • f)アクセス権の変更の記録は最新に保たれます。

1.5データ処理システムの特定の使用領域へのアクセスの制御

データ処理システムを使用する権利を持つ許可された人がそれぞれの責任とアクセス許可の範囲内でのみデータにアクセスできるようにし、許可なしに個人データを読み取ったり、コピーしたり、変更したり、削除したりできないようにするには、次の対策を講じる必要があります。

  • a)守秘義務、個人データへのアクセス権、および個人データの処理範囲に関する各従業員の義務に関するポリシー、指示、およびトレーニング。

  • b)許可なく個人データにアクセスする者に対する懲戒処分。

  • c)個人データへのアクセスは、知る必要がある場合に、許可された人にのみ許可されるものとします。

  • d)システム管理者のリストを維持し、システム管理者を監視するための適切な措置を講じます。

  • e)許可されていない人物が発信者の情報を削除できるようにするために、ストレージシステム上の個人データをコピーまたは複製しないこと。

  • f)データの管理および文書化された削除または破棄。

  • g)法律上または規制上の理由(データを保持する義務など)で保持する必要のあるすべての個人データを、法律で義務付けられている期間のみ安全に保管すること。

1.6トランスミッション制御

データストレージデバイスの送信または転送中に、許可されていない第三者が個人データを読み取ったり、コピーしたり、変更したり、削除したりしないようにするには、次の対策を講じる必要があります(行われる個人データの処理によって異なります)。

  • a) use of firewalls;

  • b)輸送目的でのモバイルストレージデバイスへの個人データの保存を回避する、またはデバイスを暗号化する。

  • c)暗号化保護がアクティブ化された後にのみ、ラップトップおよびその他のモバイルデバイスで使用します。

  • d)個人データ送信のログ。

1.7データ入力制御

個人データがデータ処理システムに入力されたか、データ処理システムから削除されたか、また誰によって削除されたかを確認および判断できるようにするには、次の対策を講じる必要があります。

  • a)保存されたデータの読み取り、変更、および削除を許可するためのポリシー。

  • b)保存されたデータの読み取り、変更、および削除に関する保護措置。

1.8 Work control

個人データの委任された処理の場合、そのようなデータが監督者の指示に従って処理されることを保証するために、以下の措置を講じる必要があります。

  • a)慎重に選択された、データ処理に割り当てられたエンティティまたはサブエンティティ(管理者に代わって個人データを処理するサービスプロバイダー)。

  • b)データ処理に割り当てられた従業員、エンティティ、またはサブエンティティに対する個人データの処理の範囲に関する指示。

  • c)データ処理に割り当てられたエンティティまたはサブエンティティと合意した監査権。

  • d)データを処理するために割り当てられたエンティティまたはサブエンティティとの合意。

1.10偽名化

個人データの仮名化に関しては、以下の措置を講じる必要があります。

  • a)データエクスポーターが特定の処理操作を注文した場合、または特定の処理活動に関して施行されているデータ保護法に従ってデータインポーターがこれを適切と見なした場合、個人データの処理は次のように実行されます。追加情報を使用しないと、データを特定の人物に帰属させることはできなくなります。この追加情報は個別に保持されます。

  • b)割り当てリストのランダム化を含む仮名化手法の使用。シャープの形での価値の創造。

1.11暗号化

暗号化をサポートするアプリケーションおよび送信で個人データを暗号化するには、次の手順を実行する必要があります。

  • a)暗号化技術の使用。

  • b)使用が許可されている暗号化技術をサポートするための暗号化管理の確立。

  • c)暗号化キーを生成、変更、取り消し、破棄、配布、認証、保存、キャプチャ、使用、およびアーカイブして、不正な変更や開示から保護するための手順とプロトコルを通じて、暗号化の使用をサポートします。

1.12データ処理システムおよびサービスの完全性

データ処理システムおよびサービスの完全性を確保するには、次の対策を講じる必要があります。

  • 1. a)適切な手段(ウイルス対策ソフトウェア、データ損失防止ソフトウェア、マルウェアに対するソフトウェア、ソフトウェアパッチ、ファイアウォール、マネージドデスクトップ保護など)による操作または破壊に対するデータ処理システムの保護。

  • b)データ処理システム、サービス、または個人データの操作に有害なサービスまたはソフトウェアのインストールを禁止する。

  • c)ネットワーク自体の構造におけるネットワーク侵入検知および防止システムの使用。

1.13データ処理システムおよびサービスの可用性、および重大なまたは技術的なインシデントが発生した場合に個人データへのアクセスと使用を復元する可能性

データ処理システムの可用性を確保し、重要または技術的なインシデントが発生した場合に個人データの可用性とアクセスを迅速に復元できるようにするために、次の対策を講じる必要があります(特に、個人データは、偶発的な破壊または損失から保護されます):

  • a)バックアップコピーを保持し、失われたデータまたは削除されたデータを復元するための制御手段を持っている。

  • b)インフラストラクチャの冗長性とパフォーマンステスト。

  • c)コンピュータリソースの物理的保護。

  • d)内部ネットワークのステータスと可用性を監視するためのツールの使用。

  • e)インシデント管理手順を管理するインシデントの報告と対応のポリシー、および定期的なトレーニングの一環としてのこれらのポリシーの順守の繰り返し。

  • f)システムを復元して、システムがその機能を再び実行できるようにするためのバックアップ(場合によってはオフサイト)。

  • g)事業継続/災害復旧計画

1.14データ処理システムとサービスの回復力

データ処理システムおよびサービスの復元力を確保するには、次の対策を講じる必要があります。

  • a)承認されたセキュリティパラメータを使用して、システムと調和のとれた構成。

  • b)ネットワークの冗長性。

  • c)重要なシステムの封じ込め保護。

1.15データ処理のセキュリティを確保するための技術的および組織的対策の有効性を定期的にテスト、評価、および評価するための手順

データ処理を保護するための技術的および組織的対策の有効性を定期的にテスト、評価、および評価するための手順。

  • a)リスクと軽減戦略を評価するために必要な措置を講じます。

  • b)現在の問題に対処するためのIT部門のサービス分析会議。

  • c)事業継続/災害復旧計画は定期的に更新されます。

パート3

当事者の署名とデータインポーターのリスト

オンライン注文フォームに記入し、一般的な利用規約に同意するチェックボックスをオンにして検証すると、顧客とPOSTCODEZIPの関係を規定する契約が確立されます。

POSTCODEZIPに支払いを送信すると、契約が合意され、確立されたと見なされます。

注意してください:このテキストはフランス語から翻訳されています。有効で法的に制限されている元のフランス語バージョンは、 こちらから入手できます。

bottom of page