1.定義
a.「適切な国」とは、EUおよび英国のデータ保護法の下で、個人データが適切に保護されていると認 められている国または地域を意味します。
b. 「データ保護法」とは、個人データの処理に関する自然人の保護および当該データの自由な移動に関するEU規則2016/679を含むがこれに限定されない、個人データの取り扱いを規定するデータ保護およびプライバシーに関連するすべての適用法を意味する。 (以下「GDPR」という。)、EU電子プライバシー指令(指令2002/58/EC) (以下「eプライバシー指令」という。) (総称して)、 「EUデータ保護法)、英国欧州連合(離脱)法2018年第3条および英国データ保護法2018年により英国法の一部を構成するGDPR(併せて、 「英国データ保護法)、カリフォルニア州消費者プライバシー法(“中共”カリフォルニア州プライバシー権法によって修正されたものを含む)。
c.「EU標準契約条項」とは、2021年6月4日の欧州委員会実施決定(EU)2021/914により承認され、現在https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_en。
d.「個人データ 」、「管理者」、「処理者」、「 サブ処理者」、 「データ主体」、および「監督機関」は、データ保護法に基づく意味を有します。
e.「個人データの侵害」とは、個人データの不正、偶発的または違法な処理、アクセス、損失、または開示を意味します。
f. “プロセス、加工、処理” 自動化された手段であるか否かを問わず、個人データまたはそのサブセットに対して行われる、収集、記録、整理、構造化、保存、適応または変更、検索、相談、使用、送信による開示、普及またはその他の利用可能化、整列または結合、制限、消去または破壊などの操作または一連の操作を意味します。
g.「目的」とは、第三者に対するエバリュエイトによる許諾製品およびサービスの提供をいいます。
h. 「制限された移転」とは、データ保護法により移転が禁止されている国または地域への TPA 個人データの移転、またはデータ保護法により移転が合法であるために TPA 個人データを適切に保護するための追加的な措置を講じることを要求される対象への TPA 個人データの移転を意味します。
i.「TPA」とは、許諾製品の提供を規定する第三者とエバリュエイトとの間の第三者契約をいいます。
j.「TPA個人データ」とは、TPAに関連して、TPAに基づき当事者から相手方当事者に提供され、または利用可能となる個人データをいいます。 このような情報は、データ対象者の以下のカテゴリーに関連します:
i. 第三者の従業員、請負業者、および代理人を評価すること;
ii. ライセンス製品を通じてEvaluateが第三者に提供する個人データには、製品コンテンツを通じてEvaluateの顧客および医療従事者に関連する個人データが含まれる場合があります。
k.「EU委員会標準契約条項に対する英国国際データ移転補遺」とは、英国情報コミッショナーが制限付き移転を行う当事者向けに発行した補遺を意味し、現在https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf。
2.両当事者の役割
2.1 各当事者は、TPAに基づいて処理するTPA個人データの独立した管理者である。 各当事者は、データ保護法に基づき管理者または事業者として適用される義務を遵守する責任を、個別かつ個別に負うものとします。
3.両当事者の義務
3.1 各当事者は、以下のことを行う:
i. 目的のために必要な場合にのみTPA個人データを処理し、従業員、代理人または請負業者に 対し、目的のためにTPA個人データへのアクセスを提供する必要がある場合にのみ、 TPA個人データへのアクセスを提供する;
ii. TPA個人データの処理がCCPAの対象となる限りにおいて、そうではありません: (i) TPAに規定されている場合、ライセンス対象製品およびサービスを提供するために必要な場合、またはその他CCPAにより許可されている場合を除き、TPA個人データを保持、使用または開示すること; (ii) TPAの個人データを他の顧客または個人に関する個人データと組み合わせること(CCPAにより許可されている場合を除く)。 (iii) TPA個人データを販売する;
iii. TPA は、適法性、公正性および透明性の原則、目的の限定、データの最小化、 正確性、保存の制限、および安全性を含むがこれらに限定されない、データ保護法に基 づく各自の義務に従って、TPA の個人データを処理するものとします;
iv. TPA の個人データ処理に関する十分な透明性を確保するために、データ保護法に基 づき要求される情報をデータ対象者に提供すること;
v. TPA の個人データを不正、偶発的、または違法なアクセス、損失、開示、 破壊から保護するための適切な技術的および組織的措置を実施すること;
vi. TPAの個人データが正確であり、必要に応じて最新に保たれていることを確認すること;
vii. TPA の個人データは、その処理目的に必要な期間を超えて保持されないものとします;
viii. TPA個人データの処理に関して監督当局から受領した照会、苦情、通知その他の連絡の合理的な詳細を相手方当事者に提供し、当該対応に関して相手方当事者に協力するよう合理的に行動すること;
ix. 相手方当事者がデータ保護法に基づく自らの義務を遵守できるよう、相手方当事者が合理的に要求する情報および支援を合理的に提供するよう行動すること;
x. データ対象者がその権利を行使するための独自の要求を処理する。 当事者間で共有される個人データの処理に対するデータ主体からの、またはデータ主体の代理からの要求に関して、当事者はそのような異議またはオプトアウト要求を尊重するために協力します;
xi. TPA 個人データを処理する権限を有する者が、適切な守秘義務(契約上の義務であるか法 令上の義務であるかを問わない)の下にあることを保証すること;
xii. TPA の個人データの処理に使用されるデータ処理業者との間で、データ保護法に従い、 TPA の個人データに対して少なくとも本データ保護条項と同レベルの保護を提供する データ保護義務を含む書面による TPA を締結すること。 エバリュエイトは、以下の目的のためにTPA個人データを開示することがあります。 (i) セキュリティ、不正検知、不正モデリングおよび関連目的。 (ii)ウェブサイト、アプリケーション、開発、クラウドホスティング、メンテナンスおよびその他のサービスの提供。 Evaluateは、提供するTPA個人データを合理的に必要なものに限定します;
xiii. 当該データ処理業者が本「データ保護」条件に含まれる義務を遵守すること、および当該データ処理業者の作為または不作為により当事者が本「データ保護」条件に基づく義務に違反することについては、引き続き責任を負うものとします;
xiv. 個人データの漏えいが発生した場合、過度な遅滞なく、ただしいかなる場合も48時間以内に相手方当事者に通知するものとします。 両当事者は、個人データ漏えいの影響を軽減または是正するために必要な措置に合意し、これを講じるために誠意をもって協力するものとします。 本契約のいかなる規定も、通知する当事者が他方の当事者に過度の遅滞なく通知を行う限りにおいて、一方の当事者が他方の当事者に通知する前に、データ保護法により要求される可能性のある規制当局に個人データ侵害の通知を行うことを禁止するものではありません;
xv. TPA個人データがEEAまたは英国内の個人に関連する場合、以下の場合を除き、相手方当事者から受領した個人データをEEA/英国外に移転しないこと;
– 移籍先は適正な国である;
– GDPR第46条に基づき、適切な保護措置が講じられていること;
– 拘束力のある会社規則がある。
– GDPR第49条の特定状況に対する適用除外のいずれかが移転に適用されます。
3.2 TPAに基づきTPA個人データを他方の当事者に提供した当事者(「開示当事者)は以下の権利を有する:(i)当該相手方当事者(“受け手”)は、データ保護法に基づく開示当事者の義務に合致し、かつデータ保護法により要求される方法で当該TPA個人データを使用し、(ii)合理的な事前の書面による通知を受け、データ保護法に基づく当該TPA個人データの不正使用を停止し、是正するための合理的かつ適切な措置を講じること。 受領当事者は、データ保護法に基づく義務を果たすことができなくなったと判断した場合、開示当事者に通知します。
4.国際送金
4.1 当事者間のTPA個人データの移転がEUデータ保護法上の制限付移転に該当する範囲において、当事者は、参照により本契約に組み込まれるEU標準契約条項のモジュール1を締結し、以下のとおりとする;
i. 第7条では、オプションのドッキング条項が適用される;
ii. 第11節のオプションの文言は削除される;
iii. 第17条および第18条において、標準契約条項の準拠法および紛争地はオランダ法とする。
iv. 本データ保護規約の付属書1の表に含まれる情報は、EU標準契約条項の付属書に適宜入力されるものとする。
4.2 当事者間のTPA個人データの移転が英国データ保護法上の制限付移転に該当する範囲において、当事者は、参照により本契約に組み込まれるEU委員会標準契約条項に対する英国国際データ移転補遺を締結し、以下のとおりとする;
i. 英国補遺の表1、表2および表3は、本データ保護条項の付属文書に記載された情報により記入されたものとみなされ、表4は「いずれの当事者も」を選択することにより記入されたものとみなされる;
ii. EU標準契約条項と英国追補条項の間に矛盾がある場合は、英国追補条項の第10項および第11項に従って解決される。
5.責任の制限
第三者が、データ保護法に基づき、Evaluateが寄与したデータ保護法違反の結果として第三者がデータ対象者に支払った補償金をEvaluateに請求する権利を有する限りにおいて、Evaluateは、関連するデータ対象者に生じた損害に対する責任に直接関係する金額についてのみ責任を負うものとします。
附属書1 標準契約条項情報
| データエクスポーター | データインポーター | 個人データが移転されるデータ主体の分類 | 移転される個人データの分類 | 転送の頻度(例えば、データが単発的に転送されるのか、継続的に転送されるのか) | 加工の性質 | データ転送とさらなる処理の目的 | 個人データの保存期間、またはそれが不可能な場合は、その期間を決定するために使用した基準 |
| 第三者機関 | 評価 | 第三者の従業員、請負業者、代表者 | 氏名、ビジネスメールアドレス、会社名、役職名 | TPA期間中継続 | TPAに記載されたサービスの提供 | TPAに基づくサービスの提供を通じて評価機関が利用可能な範囲内において | TPA期間中 |
| 評価 | 第三者機関 | 従業員、請負業者、および代表者の評価 | 氏名、Eメールアドレス、会社名、役職名 | TPA期間中継続 | TPAに記載されたサービスの提供 | TPAに基づくサービスの提供を通じて評価機関が利用可能な範囲内において | TPA期間中 |
| 評価 | 第三者機関 | 製品にアクセスできる顧客の従業員、請負業者、代理人を評価する。 | 氏名、Eメールアドレス、会社名、役職名 | TPA期間中継続 | TPAに記載されたサービスの提供 | TPAに基づくサービスの提供を通じて評価機関が利用可能な範囲内において | TPA期間中 |
| 評価 | 第三者機関 | エバリュエイトがライセンス製品を通じて第三者に提供する個人データ; | 氏名、ビジネスメールアドレス、会社名、役職名 | TPA期間中継続 | TPAに記載されたサービスの提供 | TPAに基づくサービスの提供を通じて評価機関が利用可能な範囲内において | TPA期間中 |
*バージョン1 2023年9月
