データ共有、データ転送および共有データ
1 データ共有
1.1 両当事者は、それぞれのプライバシーに関する声明または随時改正される適用されるデータ保護法の下で要求されるその他の通知に記載されているように、本契約に基づいて共有される個人データ(「共有データ」)を処理する法的根拠と条件を各当事者が単独で決定することを認めます。
1.2 ComponentSourceの「プライバシーに関する声明」は、こちらでご覧いただけます。
1.3 各当事者およびそのスタッフ、労働者、代理人またはコンサルタント(以下「人員」)は、共有データの処理に関して適用されるデータ保護法に基づくそれぞれの義務を遵守し、それぞれのプライバシーステートメントに従って共有データを処理します。
1.4 お客様は、適用されるデータ保護法に準拠した共有データを処理するための法的根拠があること、および共有データが収集された時点でプライバシーに関する声明のコピーが提供されていないデータ主体に関連する共有データをComponentSourceに提供しないことを保証するものとします。
1.5 各当事者は、以下のことを行います。
1.5.1 データ主体からの要求に対応し、セキュリティ、違反通知、監査、影響評価、監督当局および/または規制当局との協議に関して適用されるデータ保護法に基づく義務を確実に遵守するために、相手方が合理的に必要とする情報、支援、および/またはアクセスを迅速に提供すること。
1.5.2 共有データが正確かつ完全であることを確認すること。
1.5.3 2営業日以内に、以下を相手方に書面で通知すること:(i)本附属書の第1項に基づく義務を履行していない場合。(ii)共有データのいずれかが不正確または不完全であることが判明した場合。(iii)適用されるデータ保護法に基づく権利を行使した結果としてのデータ主体の要求の詳細。 いかなる場合も、適用されるデータ保護法で要求されている場合、またはComponentSourceの処理活動と無関係でない限り、ComponentSourceの事前の書面による同意なしに、そのような要求または通信に直接応答することはありません。(iv)共有データまたはその代理として処理する共有データに関連する、疑わしい、潜在的な、実際の、または脅迫された個人データ侵害。
1.5.4 本別表の違反に起因または関連して生じるすべての責任(本別表の違反が発生しなかった場合に支払われなかったであろう、補償された当事者が第三者(その人員を含む)に支払った、または支払うべきすべての金額を含む)に対して他方当事者を補償します。 疑義払拭のため記載しますが、両当事者は、本契約に定める責任の制限または除外は、本別表に基づく補償または償還義務には適用されないことに同意します。
1.6 お客様は以下のことを行います。
1.6.1 ComponentSourceの書面による要請に応じて、欧州委員会または適用されるデータ保護法に基づくその他の管轄機関が発行する形式の標準契約条項など、共有データの国際転送に関して適用されるデータ保護法で要求される追加の契約、および/または適切な保護措置を速やかに締結すること。
1.6.2 お客様とは異なる管轄区のデータ主体から受け取る共有データについて、適用されるデータ保護法に従って適切な国際転送保護措置が講じられていることを確認すること。
2 国際的なデータ転送
EEAからEEA外への転送
2.1 EEAで作成された共有データが、適切な地域として指定されていないEEA外の地域(英国を含む)に転送される場合、EU SCCの関連モジュールは、本第2条に定められた要件に従い、本契約の条件に加えて、以下のとおり、そのような転送に適用されるものとみなされます。
2.1.1 各当事者は、開示された共有データに関して、自らの名前で、自らのためにEU SCCのモジュール1を締結したものとみなされます。
2.1.2 別表1(許可された目的)の規定は、EU SCCのモジュール1の附属書Iに記載されているものとみなされます。
2.1.3 別表2 (セキュリティ対策)の規定は、モデル条項のモジュール1の附属書IIに記載されているものとみなされます。
2.1.4 第7条(ドッキング条項)は選択解除されます。
2.1.5 第11条(a)項(救済)の選択要素は選択解除されます。
2.1.6 以下の任意の第13条(a)(監督)が選択されます。
2.1.6.1 データ転送に関する規則(EU) 2016/679へのデータ輸出者によるコンプライアンスを確保する責任を有する監督当局として、アイルランドは、附属書I.Cに示されているように、管轄監督当局として機能します。
2.1.7 第17条(準拠法)のオプション[1]が選択され、以下の準拠法が適用されます。
2.1.7.1 本条項は、第三者の受益権が認められている場合に限り、いずれかのEU加盟国の法律に準拠します。 両当事者は、これがアイルランドの法律となることに同意します。
2.1.8 以下の法廷地および管轄区は、第18条(b)項(法廷地および管轄区の選択)で選択されます。
2.1.8.1 両当事者は、これらがアイルランドの裁判所(加盟国を明記)となることに同意します。
2.1.9 データ輸入者は、適切なモジュールの下で、第三者がEU SCCに拘束される、または拘束されることに同意しない限り、データ輸入者と同じ国または他の第三国にあるEEA外に所在する第三者に個人データを開示(「第三者への転送」)しないものとします。 それ以外の場合、データ輸入者による第三者への転送は、第三者が処理に関してEU GDPRの第46条または第47条に従って適切な保護措置を確保した場合にのみ行うことができます。
2.1.10 本契約とEU SCCの該当するモジュールとの間に脱落または矛盾がある場合は、該当するモジュールの規定が優先されます。
英国からEEA外への転送
2.2 英国で作成された共有データが、適切な地域として指定されていない英国外の地域に転送される場合、上記第2項で明確にされているEU SCCおよびEU SCCへの英国の国際データ転送補遺(UK SCC補遺)は、本契約の条件に加えて、さらに以下のとおり転送に適用されるものとみなされます。
2.2.1 各当事者は、開示された共有データに関して、自らの名前で、自らのためにEU SCCおよびUK SCC補遺を締結したものとみなされること。
2.2.2 移転の説明および技術的および組織的措置は、本附属書の別表1および別表2に記載されているとおりであること。
2.2.3 別表2(セキュリティ対策)の規定は、旧モデル契約条項の付録2に記載されているものとみなされること。
2.2.4 本契約とEU SCCおよびUK SCC補遺との間に矛盾がある場合は、後者が優先されること。
EEA外から非EEAへの転送
2.3 データ輸入者がEEA以外の地域(「輸出地域」)で発生した共有データを処理し、処理が輸出地域とは異なる地域(「輸入地域」)で行われる場合、データ輸入者は、輸出地域の適用されるプライバシー法と一致する基準に従って共有データを処理します。 特に、データ輸出者は、適用されるプライバシー法で要求される可能性のある基準についてデータ輸入者に通知し、共有データの処理がそれらの基準と一致するようにデータ輸入者と完全に協力します。
2.4 いずれの場合も、適用されるプライバシー法が本契約の規定と矛盾する場合、矛盾する範囲で以下のとおりとします。
2.4.1 適用されるプライバシー法で要求されるデータ保護の基準が本契約で要求される基準を超える場合、データ輸入者が、適用されるプライバシー法と一致する基準に従って共有データを処理すること。
2.4.2 本契約で要求されるデータ保護の基準が適用されるプライバシー法で要求される基準を超える場合、データ輸入者が本契約と一致する基準で共有データを処理すること。
別表1
許可された目的は上記のとおりです。
処理 - 共有データ
データ主体
転送される個人データは、過去、現在、および将来のデータ主体の次のカテゴリに関係します。
データのカテゴリ
転送される個人データは、以下のカテゴリーのデータに関するものです。
- 個人詳細:名前と連絡先の詳細
- 支払い詳細:支払い方法と詳細、支払い履歴と通信。
- プロファイル情報:サービスに関連してデータ主体から、またはデータ主体について収集されたアカウント情報。
- デバイスデータ:IPアドレス、クッキーデータ、デバイス識別子、および同様のデバイス関連情報。
- 使用状況と分析の情報:お客様のサービス利用状況から照合された統計および分析データ。
- 調査データ:調査でデータ主体が自発的に提出した人口統計情報とフィードバック(人種/民族出身データを含む)。
- 通信データ:カスタマーサポートを提供する目的でのデータ主体との通信およびその他の通信(合法的に記録された電話通信データを含む)。
- マーケティング設定:ニュースレターの購読、およびマーケティングまたは広告に関連するその他の設定。
- データ輸出者がデータ輸入者に転送することを許可されているその他のカテゴリーの個人データ。
転送された個人データの受信者は、以下の受信者または受信者のカテゴリにのみ開示される場合があります。
- データ輸入者と同じグループに属する会社:これらの条項に記載されている目的のために必要であり、これらの条項に記載されている保護の対象となります。
- データ輸入者スタッフ:データ輸入者の正式に承認された販売、マーケティングカスタマーサポート、ITおよびその他の従業員、マネージャー、および取締役は、その役割を遂行するために知る必要がある根拠に基づいて、厳密に上記の目的のために個人データにアクセスできます。
- サードパーティのサービスプロバイダー:会計士、監査人、弁護士、およびその他の外部の専門家アドバイザー。コールセンターサービスプロバイダー。ITシステム、サポートおよびホスティングサービスプロバイダー。クレジットカード取引処理業者広告、マーケティング、市場調査および分析サービスプロバイダー。銀行および金融機関文書および記録管理プロバイダー。およびデータ輸入者が事業活動を遂行するのを支援する同様のサードパーティベンダーおよびアウトソーシングサービスプロバイダー。
- 公的機関および法執行機関:適用法に従ってデータ輸入者からの情報を照会する、または報告を要求する公的機関および法執行機関の正式に権限を与えられたスタッフ。
別表2
セキュリティ対策
技術的および組織的なセキュリティ対策
ComponentSourceは、個人データを保護するために、以下を含むがこれらに限定されないさまざまなセキュリティ対策と手順を採用しています。
- ComponentSourceのセキュリティ手順の実装を担当する指定された従業員。
- 定期的に、少なくとも年に一度見直される、データ保護、保持、およびセキュリティポリシーの維持。
- 商用業界標準の暗号化テクノロジーの制限されたアクセスと展開を含む、データとネットワークのセキュリティ制御。
- 強力で一意のパスワードが定期的に使用および更新されるようにするためのパスワード制御。
- 職務と管理レベルに基づいて個人データとシステム機能への電子アクセスを制限し、退職した従業員のアクセスの取り消しを含むアクセス制御。
- システムまたは個人データへのリモートアクセスのための多要素認証および仮想プライベートネットワークの使用。
- 攻撃を検出、フィルタリング、および防御し、個人データの送信に関連する暗号化ソフトウェアを展開するために、ファイアウォールとセキュリティソフトウェアを使用。
- 調査と定期的なレビューの両方の目的で、システムアクティビティとユーザーアクセスを事前に記録するためのイベントログと関連する監視手順。
- 不正アクセスを防止し、火災や水害などの危険から個人データを保護するための、サーバールームおよび個人データを含むその他の領域の物理的および環境的セキュリティ。
- ComponentSourceの所有から最終リリースされる前に、すべての個人データを判読不能または回復不能にするシステムおよびメディアの安全な廃棄を含む、業界標準に準拠したテクノロジーおよび情報システムの構成、監視、および保守に関する運用慣行および制御。
- システムを侵入から保護し、成功した攻撃の範囲を制限するための、エンタープライズファイアウォールや侵入検知システムなどのネットワークセキュリティ制御。
- 特定されたセキュリティの脅威、ウイルス、およびその他の悪意のあるコードの検出と無効化または軽減を支援するための、定期的な脆弱性評価、パッチ管理、およびその他の監視手順。
- 緊急事態または災害時にサービスの提供と個人データのセキュリティを維持するために設計された事業継続手順。
その他の有用な情報(ストレージ制限およびその他の関連情報)
個人データは、上記の目的に必要な期間を超えて、または適用される法的要件で要求される範囲で保持されることはありません。 いかなる場合も、個人データは適用法で許可されている期間を超えて保持されることはありません。
すべてのデータ関連のお問い合わせまたは依頼の連絡先:
dpm@componentsource.comまたは緊急
の場合 ComponentSource:(770) 250 6105または+44 1189 822108
CSWWLIC 11/2023
