aryaka

標準契約条項

セクションI

第1条

目的と範囲

  1. これらの標準契約条項の目的は、個人データの処理に関する自然人の保護に関する 2016 年 679 月 27 日の欧州議会および理事会の規則 (EU) 2016/1 の要件への準拠を保証することです。そのようなデータの自由な移動 (一般データ保護規則) (XNUMX) 個人データの第三国への転送。
  2. パーティー:
    • (i) 付属書 IA にリストされている個人データを転送する自然人または法人、公的機関、政府機関、またはその他の団体 (以下「事業体」) (以下「各データ輸出者」) )、 と

      付属書 IA に記載されている、同じく本条項の当事者である別の事業体を介して、データ輸出者から直接的または間接的に個人データを受け取る第三国の事業体(以下、「各データ輸入者」)

      これらの標準契約条項(以下「条項」)に同意しました。

  3. これらの条項は、附属書 IB に規定されている個人データの転送に関して適用されます。
  4. 本条項で参照されている付属書を含む本条項の付録は、本条項の不可欠な部分を形成します。

第2条

本条項の効果と不変性

  1. これらの条項は、規制 (EU) 46/1 の第 46 条(2) および第 2016 条(679)(c) に準拠し、管理者からのデータ転送に関して、強制可能なデータ主体の権利および効果的な法的救済を含む適切な保護措置を規定します。処理者へ、および/または処理者から処理者へ、規則 (EU) 28/7 の第 2016 条(679) に基づく標準契約条項。ただし、適切なモジュールを選択する場合、または情報を追加または更新する場合を除き、変更されないことが条件となります。付録。 これは、直接的または間接的に本条項に矛盾しない、または基本的権利を侵害しない限り、両当事者が本条項に定められた標準的な契約条項をより広範な契約に含めること、および/または他の条項や追加の保護措置を追加することを妨げるものではありません。またはデータ主体の自由。
  2. これらの条項は、規制 (EU) 2016/679 に基づいてデータ輸出者が課せられる義務を損なうものではありません。

第2条

本条項の効果と不変性

  1. これらの条項は、規制 (EU) 46/1 の第 46 条(2) および第 2016 条(679)(c) に準拠し、管理者からのデータ転送に関して、強制可能なデータ主体の権利および効果的な法的救済を含む適切な保護措置を規定します。処理者へ、および/または処理者から処理者へ、規則 (EU) 28/7 の第 2016 条(679) に基づく標準契約条項。ただし、適切なモジュールを選択する場合、または情報を追加または更新する場合を除き、変更されないことが条件となります。付録。 これは、直接的または間接的に本条項に矛盾しない、または基本的権利を侵害しない限り、両当事者が本条項に定められた標準的な契約条項をより広範な契約に含めること、および/または他の条項や追加の保護措置を追加することを妨げるものではありません。またはデータ主体の自由。
  2. これらの条項は、規制 (EU) 2016/679 に基づいてデータ輸出者が課せられる義務を損なうものではありません。

第3条

第三者受益者

  1. データ主体は、第三者受益者として、データ輸出者および/またはデータ輸入者に対して本条項を発動し強制することができますが、以下の例外があります。
    • (i) 第 1 条、第 2 条、第 3 条、第 6 条、第 7 条。

      (ii) 第 8 条 – モジュール 8.5: 第 8.9 条 (e) および第 8.1 条(b)。 モジュール 8.9: 条項 8.1(b)、8.9(a)、(c)、(d)、および (e)。 モジュール 8.1: 第 8.3 条(a)、(c)、(d)、および第 XNUMX 条(a)、(c)、(d)、(e)、(f)、(g)。 モジュール XNUMX: 第 XNUMX 条 (b) および第 XNUMX (b) 条。

      (iii) 第 9 条 – モジュール 9: 第 9 条(a)、(c)、(d)、(e)。 モジュール XNUMX: 第 XNUMX 条(a)、(c)、(d)、および (e)。

      (iv) 第 12 条 – モジュール 12: 第 12 条(a) および (d)。 モジュール XNUMX および XNUMX: 第 XNUMX 条(a)、(d)、および (f)。

      (v) 第 13 条。

      (vi) 第 15.1 条(c)、(d)、および (e)。

      (vii) 第 16 条(e);

      (viii) 第 18 条 – モジュール 18、18、および XNUMX: 第 XNUMX 条(a) および (b)。 モジュール XNUMX: 第 XNUMX 条。

  2. パラグラフ (a) は、規則 (EU) 2016/679 に基づくデータ主体の権利を侵害するものではありません。

第4条

int型erp反復

  1. 本条項で規則 (EU) 2016/679 で定義されている用語が使用されている場合、それらの用語はその規則と同じ意味を有するものとします。
  2. これらの条項をよく読んで理解してくださいerp規則 (EU) 2016/679 の規定に照らして修正されました。
  3. これらの条項は完全なものであってはなりませんerp規則 (EU) 2016/679 に規定されている権利および義務と矛盾する方法で権利を侵害するもの。

第5条

階層

本条項と、本条項が合意された時点、またはその後締結された時点で存在する両当事者間の関連協定の規定との間に矛盾がある場合には、本条項が優先するものとします。

第6条

転送の説明

転送の詳細、特に転送される個人データのカテゴリおよび転送の目的は、付属書 IB に規定されています。

第 7 条 – 任意

ドッキング句

  1. 本条項の当事者ではない事業体は、データ輸出者またはデータ輸入者として、両当事者の同意を得て、付録に記入し、付録 IA に署名することにより、いつでも本条項に同意することができます。
  2. 付属書を完成させ、付属書 IA に署名すると、加入主体はこれらの条項の当事者となり、付属書 IA の指定に従ってデータ輸出者またはデータ輸入者の権利と義務を有するものとします。
  3. 加入主体は、当事者になる前の期間から本条項に基づいて生じる権利または義務を持たないものとします。

セクション II – 当事者の義務

第8条

データ保護セーフガード

データ輸出者は、データ輸入者が適切な技術的および組織的手段の実施を通じて、本条項に基づく義務を果たすことができると判断するために合理的な努力を払ったことを保証します。

8.1 目的の制限

データ輸入者は、附属書 IB に規定されている転送の特定の目的のためにのみ個人データを処理するものとし、別の目的のためにのみ個人データを処理することができます。

(i) データ主体の事前の同意を得ている場合。
(ii) 特定の行政手続き、規制手続き、または司法手続きに関連して法的請求の確立、行使、または防御に必要な場合。 また
(iii) データ主体または他の自然人の重大な利益を保護するために必要な場合。

8.2透明性

  1. データ主体が第 10 条に従って効果的に権利を行使できるようにするために、データ輸入者はデータ主体に直接またはデータ輸出者を通じて次のことを通知するものとします。
    • (i) その身元および連絡先の詳細。

      (ii) 処理される個人データのカテゴリー。

      (iii) 本条項のコピーを取得する権利。

      (iv) 個人データを受信者または受信者のカテゴリーの第三者に転送する予定の場合 (意味のある情報を提供するという観点から適切な場合)、かかる転送の目的およびその理由は次のとおりです。第8.7条。

  2. パラグラフ (a) は、データ主体がすでに情報を持っている場合には適用されません。これには、そのような情報がデータ輸出者によってすでに提供されている場合、または情報の提供が不可能であることが判明している場合、または広告が含まれる場合が含まれます。ispデータインポーターの相応の労力。 後者の場合、データ輸入者は可能な限り情報を公開するものとします。
  3. 要求に応じて、両当事者は、データ主体が無料で利用できるように、当事者が作成した付録を含む本条項のコピーを作成するものとします。 ビジネス秘密または個人データを含むその他の機密情報を保護するために必要な範囲で、両当事者は、コピーを共有する前に付録のテキストの一部を編集することができますが、データ主体がそうでなければ意味のある要約を提供するものとします。その内容を理解するか、権利を行使してください。 要求に応じて、両当事者は、編集された情報を明らかにすることなく、可能な限り編集の理由をデータ主体に提供するものとします。
  4. パラグラフ (a) から (c) は、規則 (EU) 13/14 の第 2016 条および第 679 条に基づくデータ輸出者の義務を損なうものではありません。

8.3 精度とデータの最小化

  1. 各当事者は、個人データが正確であり、必要に応じて最新の状態に保たれることを保証するものとします。 データ輸入者は、処理の目的を考慮して、不正確な個人データが遅滞なく消去または修正されるよう、あらゆる合理的な措置を講じるものとします。
  2. いずれかの当事者が、転送または受信した個人データが不正確であるか、古くなっていることに気付いた場合、不当な遅滞なく他方の当事者に通知するものとします。
  3. データ輸入者は、個人データが適切で、関連性があり、処理目的に関連して必要なものに限定されていることを保証するものとします。

8.4 ストレージの制限

データ輸入者は、個人データを処理する目的に必要な期間を超えて個人データを保持しないものとします。 この義務を確実に遵守するために、保持期間終了時のデータおよびすべてのバックアップの消去または匿名化 (2) を含む、適切な技術的または組織的措置を講じるものとします。

8.5 処理の安全性

  1. データ輸入者、および送信中、データ輸出者も、偶発的または違法な破壊、紛失、改ざん、不正な開示またはアクセスにつながるセキュリティ違反に対する保護を含む、個人データのセキュリティを確保するための適切な技術的および組織的対策を実施するものとします。 (以下「個人データ侵害」といいます)。 適切なセキュリティレベルを評価する際には、最先端技術、実装コスト、処理の性質、範囲、状況および目的、およびデータ主体の処理に伴うリスクを適切に考慮するものとします。 両当事者は、その方法で処理の目的を達成できる場合には、送信中も含めて、暗号化または仮名化を利用することを特に考慮するものとします。
  2. 締約国は、附属書 II に定められた技術的および組織的措置について合意しました。 データインポート者は、これらの措置が適切なレベルのセキュリティを提供し続けていることを確認するために定期的なチェックを実行するものとします。
  3. データ輸入者は、個人データの処理を許可された人物が機密保持を約束しているか、または適切な法定の機密保持義務を負っていることを確認するものとします。
  4. 本条項に基づいてデータ輸入者によって処理された個人データに関して個人データ侵害が発生した場合、データ輸入者は、起こり得る悪影響を軽減するための措置を含む、個人データ侵害に対処するための適切な措置を講じるものとします。
  5. 自然人の権利と自由に対するリスクをもたらす可能性のある個人データ侵害の場合、データ輸入者は不当な遅滞なく、第 13 条に従ってデータ輸出者と管轄監督当局の両方に通知するものとします。その通知には次の内容が含まれます。 i) 侵害の性質の説明 (可能な場合、関連するデータ主体および個人データ記録のカテゴリとおおよその数を含む)、ii) その考えられる結果、iii) 侵害に対処するために講じられたまたは提案された措置、および iv ) 詳しい情報が得られる連絡先の詳細。 データインポート者がすべての情報を同時に提供することができない場合は、不当な遅滞なく段階的に提供することができます。
  6. 自然人の権利と自由に高いリスクをもたらす可能性のある個人データ侵害の場合、データ輸入者は、必要に応じて、関係するデータ主体に個人データ侵害とその性質を不当に遅滞なく通​​知するものとします。データ輸入者が自然人の権利または自由に対するリスクを大幅に軽減する措置を講じていない限り、パラグラフ (e) のポイント ii) から iv) で言及されている情報とともに、データ輸出者との協力、または通知が含まれる場合を除きます。 disp相応の努力。 後者の場合、データ輸入者は代わりに、個人データ侵害を公衆に知らせるために公報を発行するか、同様の措置を講じるものとします。
  7. データ輸入者は、個人データ侵害に関するすべての関連事実 (その影響および講じられた是正措置を含む) を文書化し、その記録を保管するものとします。

8.6 機密データ

転送に、人種または民族の出身、政治的意見、宗教的または哲学的信念、または労働組合のメンバーシップを明らかにする個人データ、遺伝データ、または自然人を一意に識別する目的の生体データ、健康または人の性生活に関するデータ、または性的指向、または刑事有罪判決や犯罪に関連するデータ (以下「機密データ」) の場合、データ輸入者は、データの特定の性質および関連するリスクに適応した特定の制限および/または追加の保護措置を適用するものとします。 これには、個人データへのアクセスを許可される担当者の制限、追加のセキュリティ対策 (仮名化など)、および/またはさらなる開示に関する追加の制限が含まれる場合があります。

8.7 将来の転送

データ輸入者は、第三者が以下のことを行うか同意しない限り、欧州連合外 (3) (データ輸入者と同じ国または別の第三国にある、以下「転送」) にある第三者に個人データを開示してはなりません。適切なモジュールの下で、これらの条項に拘束されるものとします。 それ以外の場合、データ インポーターによる転送は次の場合にのみ行われます。

    (i) 今後の移転を対象とする規則 (EU) 45/2016 の第 679 条に基づく十分性決定の恩恵を受ける国に対するものである。

    (ii) 第三者が、問題の処理に関して規則 (EU) 46/47 の第 2016 条または第 679 条に従って適切な保護措置を確保している場合。

    (iii) 第三者は、本条項に基づくものと同じレベルのデータ保護を保証するデータ輸入者と拘束力のある文書を締結し、データ輸入者はこれらの保護措置のコピーをデータ輸出者に提供します。

    (iv) 特定の行政手続き、規制手続き、または司法手続きに関連して法的請求の確立、行使、または弁護に必要である場合。

    (v) データ主体または他の自然人の重大な利益を保護するために必要である。 また

    (vi) 他の条件が適用されない場合、データインポート者は、その目的、受信者の身元を通知した後、特定の状況における転送についてデータ主体の明示的な同意を得ている。また、適切なデータ保護措置の欠如によりそのような転送が行われる可能性のあるリスクも含まれます。 この場合、データ輸入者はデータ輸出者に通知し、データ輸出者の要求に応じて、データ主体に提供された情報のコピーをデータ輸出者に送信するものとします。

今後の転送は、データ輸入者による本条項に基づく他のすべての安全措置、特に目的の制限の遵守が条件となります。

8.8 データ輸入者の権限に基づく処理

データ輸入者は、処理者を含め、その権限の下で行動する者がその指示に従ってのみデータを処理することを保証するものとします。

8.9 文書化とコンプライアンス

  1. 各当事者は、本条項に基づく義務の遵守を実証できるものとします。 特に、データ輸入者は、その責任の下で実行される処理活動の適切な文書を保管しなければなりません。
  2. データ輸入者は、要求に応じて、かかる文書を管轄監督当局に提供するものとします。

第 9 条 [適用外]

第10条

データ主体の権利

  1. データ輸入者は、データ輸出者の支援が必要な場合、個人データの処理および本条項に基づく権利の行使に関してデータ主体から受け取った問い合わせおよび要求に不当に対処するものとせずに対処するものとします。遅滞なく、お問い合わせまたはリクエストの受信後 10 か月以内に提出してください。 (XNUMX) データ輸入者は、かかる問い合わせ、要求、およびデータ主体の権利の行使を促進するために適切な措置を講じるものとします。 データ主体に提供される情報は、明確で平易な言葉を使用し、理解しやすく簡単にアクセスできる形式でなければなりません。
  2. 特に、データ主体の要求に応じて、データ輸入者は無料で次のことを行うものとします。
    • (i) データ主体に、自分に関する個人データが処理されているかどうかの確認を提供し、処理されている場合には、そのデータおよび付録 I の情報のコピーを提供します。 個人データが転送された、または転送される場合、個人データが転送された、または転送される受信者または受信者のカテゴリに関する情報(意味のある情報を提供するという観点から適切)、そのような転送の目的、および第 8.7 条に基づく根拠。 第 12 条(c)(i) に従って監督当局に苦情を申し立てる権利に関する情報を提供する。

      (ii) データ主体に関する不正確または不完全なデータを修正する。

      (iii) 第三者受益者の権利を保証する本条項のいずれかに違反してデータ主体に関する個人データが処理されている、または処理されている場合、またはデータ主体が処理の根拠となった同意を撤回した場合、データ主体に関する個人データを消去する。

  3. データ輸入者がダイレクトマーケティング目的で個人データを処理する場合、データ主体が異議を唱えた場合には、そのような目的での処理を中止するものとします。
  4. データ輸入者は、本人の明示的な同意がある場合を除き、転送された個人データの自動処理のみに基づいて、データ主体に関して法的効果をもたらす、または同様に重大な影響を与える決定 (以下「自動決定」) を行ってはなりません。データ主体、または仕向国の法律に基づいてそうすることが許可されている場合、かかる法律がデータ主体の権利と正当な利益を保護するための適切な措置を定めている場合に限ります。 この場合、データ輸入者は、必要に応じてデータ輸出者と協力して、次のことを行うものとします。
    • (i) 想定される自動化された決定、想定される結果、および関連するロジックについてデータ主体に通知する。 と

      (ii) 少なくともデータ主体が決定に異議を唱え、自分の見解を表明し、人間によるレビューを得られるようにすることにより、適切な保護手段を導入する。

  5. データ主体からのリクエストが過度である場合、特にその繰り返しの性質により、データインポート者はリクエストを許可するための管理コストを考慮して妥当な料金を請求するか、リクエストへの対応を拒否することがあります。
  6. データ輸入者は、仕向国の法律で拒否が許可されており、23 年規制 (EU) 第 1 条 (2016) に記載されている目的の 679 つを保護するために民主主義社会において必要かつ適切である場合、データ主体の要求を拒否することができます。 /XNUMX。
  7. データ輸入者がデータ主体の要求を拒否する場合は、拒否の理由と、管轄監督当局に苦情を申し立てたり、司法的救済を求める可能性をデータ主体に通知するものとします。

第11条

救済

  1. データ輸入者は、苦情を処理する権限を与えられた連絡先を、個別の通知またはウェブサイトを通じて、透明性があり簡単にアクセスできる形式でデータ主体に通知するものとします。 データ主体から受け取った苦情には速やかに対処するものとします。

    [オプション: データ輸入者は、データ主体が独立した機関に苦情を申し立てることもできることに同意します。ispデータ主体は無料で解決機関 (11) を利用できます。 パラグラフ (a) に規定されている方法で、そのような救済メカニズムについてデータ主体に通知し、データ主体がそれを使用したり、救済を求める際に特定の手順に従う必要がないことを通知するものとします。]

  2. 広告の場合isp本条項の遵守に関してデータ主体と一方の当事者との間で協議が行われた場合、当該当事者は問題を適時に友好的に解決するために最善の努力を払うものとします。 両当事者は、かかる事項について相互に情報を提供し続けるものとします。ispそして、必要に応じて問題の解決に協力します。
  3. データ主体が第 3 条に従って第三者受益権を行使する場合、データ輸入者は以下に基づくデータ主体の決定を受け入れるものとします。

      (i) 第 13 条に基づき、常居所もしくは勤務先の加盟国の監督当局、または管轄監督当局に苦情を申し立てる。

      (ii) d を参照isp第 18 条の意味の範囲内で管轄裁判所に訴えます。

  4. 両当事者は、規制 (EU) 80/1 の第 2016 条 (679) に定められた条件の下で、データ主体が非営利団体、組織、または団体によって代表される場合があることを承認します。
  5. データ輸入者は、適用される EU または加盟国の法律に基づいて拘束力のある決定に従うものとします。
  6. データ輸入者は、データ主体による選択によって、適用法に従って救済を求める実質的および手続き上の権利が損なわれないことに同意します。

第12条

負債

  1. 各当事者は、本条項の違反によって他方の当事者に生じた損害について、他方の当事者に対して責任を負うものとします。
  2. 各当事者はデータ主体に対して責任を負い、データ主体は、本条項に基づく第三者受益者の権利を侵害することにより当事者がデータ主体に生じた物質的または非物質的損害について、補償を受ける権利を有するものとします。 これは、規制 (EU) 2016/679 に基づくデータ輸出者の責任を損なうものではありません。
  3. 本条項の違反の結果としてデータ主体に生じた損害に対して複数の当事者が責任を負う場合、すべての責任ある当事者が連帯して責任を負い、データ主体はこれらのいずれかに対して法廷で訴訟を起こす権利を有します。パーティー。
  4. 両当事者は、一方の当事者が (c) 項に基づいて責任を負う場合、他方の当事者に対して、損害に対する自らの責任に対応する賠償金の一部を請求する権利を有することに同意します。
  5. データ輸入者は、自身の責任を回避するために、処理者または副処理者の行為を援用することはできません。

第13条

監督

  1. [データ輸出者が EU 加盟国に設立されている場合:] 付属書 IC に示されているように、データ転送に関する規則 (EU) 2016/679 へのデータ輸出者の遵守を確保する責任を負う監督当局が、管轄当局として機能するものとします。監督当局。

    [データ輸出者が EU 加盟国に設立されていないが、第 2016 条 (679) に従って規則 (EU) 3/2 の適用地域範囲内にあり、第 27 条 (1) に従って代表者を任命している場合規則 (EU) 2016/679 の):] 付属書 IC に示されているように、規則 (EU) 27/1 の第 2016 条(679)の意味における代表者が設置されている加盟国の監督当局が行動するものとする権限ある監督当局として。

    [データ輸出者が EU 加盟国に設立されていないが、第 2016 条に従って代表者を任命する必要がなく、第 679 条(3)に従って規則 (EU) 2/27 の適用地域範囲内にある場合規則 (EU) 2/2016 の (679):] 商品またはサービスの提供に関連して本条項に基づいて個人データが転送されるデータ主体、またはデータ主体の行動が管轄するいずれかの加盟国の監督当局。付属書 IC に示されているように、監視され、所在が特定されている場合は、管轄監督当局として機能するものとします。

  2. データ輸入者は、本条項の遵守を確実にすることを目的としたあらゆる手続きにおいて、管轄監督当局の管轄に従い、協力することに同意します。 特に、データ輸入者は、問い合わせに対応し、監査に提出し、是正措置や補償措置を含む監督当局が採用した措置に従うことに同意します。 必要な措置が講じられたことを書面で確認するものを監督当局に提供するものとする。

セクション III – 公的機関によるアクセスの場合の現地法および義務

第14条

本条項の遵守に影響を与える現地の法律および慣行

  1. 両当事者は、個人データの開示要件や公的機関によるアクセスを許可する措置を含む、データ輸入者による個人データの処理に適用される仕向地の第三国における法律および慣行が、個人データの保護を妨げると信じる理由がないことを保証します。データ輸入者は本条項に基づく義務を履行できなくなります。 これは、基本的な権利と自由の本質を尊重し、EU規則第23条第1項に列挙されている目的の2016つを守るために民主主義社会において必要かつ相応のものを超えない法律と慣行であるという理解に基づいています。 ) 679/XNUMX は、これらの条項と矛盾していません。
  2. 両当事者は、(a) 項の保証を提供する際に、特に以下の要素を適切に考慮したことを宣言します。
    • (i) 処理チェーンの長さ、関係するアクターの数、使用される送信チャネルなど、転送の具体的な状況。 意図された将来の転送。 受信者の種類。 処理の目的。 転送される個人データのカテゴリと形式。 移転が行われる経済部門。 転送されたデータの保存場所。

      (ii) 転送の特定の状況、および適用される制限および保護手段に照らして関連する、目的地である第三国の法律および慣行(公的機関へのデータの開示を要求する法律およびそのような当局によるアクセスの許可を含む)(12 );

      (iii) 本条項に基づく保護措置を補足するために導入された関連する契約上、技術的または組織的な保護措置。これには、送信中および目的地国での個人データの処理に適用される措置が含まれます。

  3. データ輸入者は、パラグラフ (b) に基づく評価を実施する際に、データ輸出者に関連情報を提供するために最善の努力を払ったことを保証し、本条項の遵守を確保するためにデータ輸出者と引き続き協力することに同意します。
  4. 両当事者は、パラグラフ(b)に基づく評価を文書化し、要求に応じて管轄監督当局が利用できるようにすることに同意する。
  5. データ輸入者は、本条項に同意した後、契約期間中に、パラグラフに基づく要件に従わない法律または慣行の対象となる、または対象となっていると信じる理由がある場合、データ輸出者に速やかに通知することに同意するものとします。 (a) これには、第三国の法律の変更、または (a) 項の要件に従わない実際の当該法律の適用を示す措置 (開示要求など) の後を含む。 [モジュール XNUMX の場合: データ エクスポーターは通知をコントローラーに転送するものとします。]
  6. (e) 項に基づく通知後、またはデータ輸出者がデータ輸入者が本条項に基づく義務を履行できなくなったと信じる理由がある場合、データ輸出者は適切な手段 (例:セキュリティと機密性)は、状況に対処するためにデータ輸出者および/またはデータ輸入者によって採用される必要があります(モジュール 16 について:必要に応じて管理者と協議して)。 データ輸出者は、かかる転送に対する適切な保護手段が確保できないと判断した場合、または[モジュール XNUMX の場合: 管理者または] 管轄監督当局から指示された場合には、データ転送を一時停止するものとします。 この場合、データ輸出者は、本条項に基づく個人データの処理に関する限り、契約を解除する権利を有するものとします。 契約に XNUMX つ以上の当事者が関与する場合、データ輸出者は、当事者間で別段の合意がない限り、関連する当事者に関してのみこの解除の権利を行使することができます。 本条項に従って契約が終了する場合、第 XNUMX 条(d)および(e)が適用されるものとします。

第15条

公的機関によるアクセスがあった場合のデータ輸入者の義務

15.1通知

  1. データ輸入者は、以下の場合には、データ輸出者と、可能な場合にはデータ主体に(必要な場合はデータ輸出者の協力を得て)速やかに通知することに同意します。
    • 本条項に従って転送された個人データの開示について、目的国の法律に基づいて司法当局を含む公的機関から法的拘束力のある要求を受け取った場合。 かかる通知には、要求された個人データ、要求当局、要求の法的根拠、および提供された応答に関する情報が含まれるものとします。 また

      目的地の国の法律に従い、本条項に従って転送された個人データへの公的機関による直接アクセスを認識する。 かかる通知には、輸入者が入手可能なすべての情報が含まれるものとします。

      [モジュール XNUMX の場合: データ エクスポーターは通知をコントローラーに転送するものとします。]

  2. データ輸入者が仕向国の法律に基づいてデータ輸出者および/またはデータ主体に通知することが禁止されている場合、データ輸入者は可能な限りの連絡を行うことを目的として、禁止の免除を得るために最善の努力を払うことに同意します。情報をできるだけ早く。 データ輸入者は、データ輸出者の要求に応じて実証できるように、最善の努力を文書化することに同意します。
  3. 仕向国の法律で許容される場合、データ輸入者は、契約期間中定期的に、受信したリクエストに関する可能な限り多くの関連情報 (特に、リクエストの数、要求されたデータのタイプ、要求権限、要求に異議が申し立てられたかどうか、および OUtcoそのような挑戦の私など)。
  4. データ輸入者は、契約期間中、(a) から (c) 項に従って情報を保存し、要求に応じて所轄の監督当局が利用できるようにすることに同意します。
  5. (a) から (c) 項は、第 14 条(e) および第 16 条に基づくデータ輸入者がこれらの条項を遵守できない場合にデータ輸出者に速やかに通知する義務を損なうものではありません。

15.2 合法性とデータの最小化のレビュー

  1. データ輸入者は、開示要求の合法性、特に要求元の公的機関に付与された権限の範囲内にあるかどうかを検討し、慎重に評価した結果、以下のことを考慮する合理的な理由があると結論付けた場合には、要求に異議を申し立てることに同意します。その要求が、目的国の法律、国際法に基づいて適用される義務、および国際礼儀の原則に基づいて違法である場合。 データ輸入者は、同じ条件の下で、控訴の可能性を追求するものとします。 要求に異議を申し立てる場合、データ輸入者は、管轄司法当局がその本案について決定を下すまで、要求の効力を一時停止することを目的とした暫定措置を求めるものとします。 適用される手続き規則に基づいて要求されるまで、要求された個人データを開示しないものとします。 これらの要件は、第 14 条 (e) に​​基づくデータ輸入者の義務を損なうものではありません。
  2. データ輸入者は、法的評価および開示要求に対する異議申し立てを文書化し、仕向国の法律で許容される範囲で、その文書をデータ輸出者が利用できるようにすることに同意します。 また、要請に応じて所管監督当局がそれを利用できるようにするものとする。
  3. データ輸入者は、開示請求に応じる際に、合理的な情報に基づいて、許容される最小限の情報を提供することに同意します。erp要求の再考。

セクション IV – 最終条項

第16条

条項の不遵守と終了

  1. データ輸入者は、理由の如何を問わず、本条項を遵守できない場合には、データ輸出者に速やかに通知するものとします。
  2. データ輸入者が本条項に違反した場合、または本条項を遵守できない場合、データ輸出者は、遵守が再度確認されるか契約が終了するまで、データ輸入者への個人データの転送を一時停止するものとします。 これは第 14 条 (f) に影響を与えるものではありません。
  3. データ輸出者は、以下の場合、本条項に基づく個人データの処理に関する限り、契約を解除する権利を有するものとします。

      (i) データ輸出者が (b) 項に従ってデータ輸入者への個人データの転送を一時停止し、本条項への準拠が合理的な期間内に、いかなる場合でも一時停止から XNUMX か月以内に回復しない場合

      データ輸入者が本条項に重大なまたは継続的な違反をしている場合。 また

      (iii) データ輸入者が本条項に基づく義務に関する管轄裁判所または監督当局の拘束力のある決定に従わなかった場合。

    このような場合には、管轄監督当局にその不遵守を通知するものとします。 契約に XNUMX つ以上の当事者が関与する場合、データ輸出者は、当事者間で別段の合意がない限り、関連する当事者に関してのみこの解除の権利を行使することができます。

  4. (c) 項に従って契約終了前に転送された個人データは、データ輸出者の選択により、直ちにデータ輸出者に返還されるか、全体が削除されるものとします。 データのコピーについても同様とします。 データ輸入者は、データ輸出者に対してデータの削除を証明するものとします。 データが削除または返却されるまで、データ輸入者は引き続き本条項の遵守を確保するものとします。 データ輸入者に適用される現地法が、転送された個人データの返却または削除を禁止している場合、データ輸入者は、引き続き本条項の遵守を確保し、必要な範囲および期間のみデータを処理することを保証します。その現地の法律に基づいて義務付けられています。
  5. いずれの当事者も、(i) 欧州委員会が、本条項が適用される個人データの転送を対象とする規則 (EU) 45/3 の第 2016 条 (679) に基づく決定を採択した場合、本条項に拘束される合意を取り消すことができます。 または (ii) 規制 (EU) 2016/679 は、個人データが転送される国の法的枠組みの一部となります。 これは、規制 (EU) 2016/679 に基づいて問題の処理に適用される他の義務を損なうものではありません。

第17条

準拠法

オプション 1: これらの条項は、EU 加盟国のいずれかの法律に準拠するものとします (ただし、その法律で第三者の受益者の権利が認められる場合)。両当事者は、これが以下の法律となることに同意する。 Germany.

第18条

法廷地と管轄権の選択

  1. 任意のdispこれらの条項から生じる問題は、EU 加盟国の裁判所によって解決されるものとします。
  2. 両当事者は、それらが裁判所となることに同意する。 Germany.
  3. データ主体は、常居所を有する加盟国の裁判所にデータ輸出者および/またはデータ輸入者に対して法的手続きを起こすこともできます。
  4. 両当事者は、かかる裁判所の管轄に従うことに同意します。

(1) データ輸出者が、管理者として欧州連合の機関または団体を代理する規制 (EU) 2016/679 の対象となる処理者である場合、規制 (EU) の対象ではない別の処理者 (サブ処理) と契約する場合は、本条項に依存する必要があります。 ) 2016/679 はまた、連合による個人データの処理に関する自然人の保護に関する欧州議会および 29 年 4 月 2018 日の理事会の規則 (EU) 1725/23 の第 2018 条(45) への準拠を保証します。機関、団体、事務所、代理店、およびそのようなデータの自由な移動、および規則 (EC) No 2001/1247 および決定 No 2002/295/EC (OJ L 21.11.2018、39 年 29 月 3 日、p. 2018) の廃止について、本条項と、規制 (EU) 1725/2021 の第 915 条 (XNUMX) に基づく管理者と処理者の間の契約またはその他の法的行為に定められたデータ保護義務が一致する範囲。 これは特に、管理者と処理者が決定 XNUMX/XNUMX に含まれる標準契約条項に依存する場合に当てはまります。
(2) これには、規則 (EU) 26/2016 の説明 679 に従って、誰にも個人が特定されなくなるような方法でデータを匿名化し、このプロセスが不可逆であることが必要です。
(3) 欧州経済地域協定 (EEA 協定) は、欧州連合の域内市場を EEA の XNUMX か国であるアイスランド、リヒテンシュタイン、ノルウェーに拡大することを規定しています。 連邦データ保護法sla規制 (EU) 2016/679 を含む規制は EEA 協定の対象となっており、その附属書 XI に組み込まれています。 したがって、データ輸入者による EEA 内の第三者への開示は、本条項の目的における転送には該当しません。
(4) 欧州経済地域協定 (EEA 協定) は、欧州連合の域内市場を EEA の XNUMX か国であるアイスランド、リヒテンシュタイン、ノルウェーに拡大することを規定しています。 連邦データ保護法sla規制 (EU) 2016/679 を含む規制は EEA 協定の対象となっており、その附属書 XI に組み込まれています。 したがって、データ輸入者による EEA 内の第三者への開示は、本条項の目的における転送には該当しません。
(5) 規則 (EU) 28/4 の第 2016 条(679) を参照し、管理者が EU の機関または団体の場合は規則 (EU) 29/4 の第 2018 条(1725) を参照してください。
(6) 欧州経済地域協定 (EEA 協定) は、欧州連合の域内市場を EEA の XNUMX か国であるアイスランド、リヒテンシュタイン、ノルウェーに拡大することを規定しています。 連邦データ保護法sla規制 (EU) 2016/679 を含む規制は EEA 協定の対象となっており、その附属書 XI に組み込まれています。 したがって、データ輸入者による EEA 内の第三者への開示は、本条項の目的上、転送とはみなされません。
(7) これには、転送およびさらなる処理に、人種または民族の出身、政治的意見、宗教的または哲学的信念、または労働組合のメンバーシップを明らかにする個人データ、自然人を一意に識別する目的の遺伝データまたは生体認証データ、および関連するデータが含まれるかどうかが含まれます。健康、個人の性生活や性的指向、あるいは有罪判決や犯罪に関連するデータ。
(8) この要件は、第 7 条に従って、適切なモジュールに基づいてこれらの条項に同意するサブプロセッサによって満たされる場合があります。
(9) この要件は、第 7 条に従って、適切なモジュールに基づいてこれらの条項に同意するサブプロセッサによって満たされる場合があります。
(10) その期間は、複雑さと要求の数を考慮して必要な範囲で、さらに最大 XNUMX か月延長される場合があります。 データ輸入者は、かかる延長についてデータ主体に正式かつ速やかに通知するものとします。
(11) データインポーターは、独立したデータを提供する場合があります。isp仲裁機関を通じた解決は、仲裁判断の執行に関するニューヨーク条約を批准した国に設立された場合に限ります。
(12) 本条項の遵守に対するかかる法律および慣行の影響に関しては、総合的な評価の一部としてさまざまな要素が考慮される場合があります。 このような要素には、十分に代表的な期間をカバーする、公的機関からの開示要求の過去の事例、またはそのような要求が存在しなかった場合の、関連し文書化された実務経験が含まれる場合があります。 これは特に、デューデリジェンスに従って継続的に作成され、上級管理レベルで認証された内部記録またはその他の文書を指しますが、この情報が合法的に第三者と共有される場合に限ります。 この実際の経験に基づいて、データ輸入者が本条項を遵守することを妨げられないと結論付ける場合、それは他の関連する客観的な要素によって裏付けられる必要があり、これらの要素が共に十分な内容を備えているかどうかを当事者が慎重に検討する必要があります。この結論を裏付けるために、信頼性と代表性の観点から重要性を評価します。 特に、当事者は、同じ分野内での要請の有無および/または実際の法律の適用に関する公的に入手可能な、またはその他の方法でアクセス可能な信頼できる情報によって、その実務経験が裏付けられ、矛盾していないかどうかを考慮する必要があります。判例法や独立した監督機関による報告書など。

付録

解説:
各転送または転送のカテゴリーに適用される情報を明確に区別し、これに関連して、データ輸出者および/またはデータ輸入者としての両当事者のそれぞれの役割を決定できなければなりません。 これは必ずしも、譲渡/譲渡のカテゴリーおよび/または契約関係ごとに個別の付録を記入して署名する必要はなく、この透明性は XNUMX つの付録で実現できます。 ただし、十分な明確性を確保するために必要な場合は、別の付録を使用する必要があります。

附属書I

A. 当事者のリスト

データエクスポーター: [データ輸出者の身元および連絡先の詳細、および該当する場合にはそのデータ保護責任者および/または欧州連合の代表者の身元および連絡先の詳細]

  • 名前: …
    住所: …
    担当者の氏名、役職、連絡先詳細: …
    これらの条項に基づいて転送されるデータに関連するアクティビティ: …
    署名と日付: …
    役割 (コントローラー/プロセッサー): …
  • ......

データインポーター: [データ輸入者の身元および連絡先の詳細(データ保護の責任を負う連絡担当者を含む)]

  • 名前: …
    住所: …
    担当者の氏名、役職、連絡先詳細: …
    これらの条項に基づいて転送されるデータに関連するアクティビティ: …
    署名と日付: …
    役割 (コントローラー/プロセッサー): …
  • .....

B. 譲渡の説明


個人データが転送されるデータ主体のカテゴリ
...
転送される個人データのカテゴリ
...
機密データが転送され(該当する場合)、データの性質とそれに伴うリスクを十分に考慮した制限または保護手段が適用されます。たとえば、厳密な目的制限、アクセス制限(専門トレーニングを受けたスタッフのみがアクセスできることを含む)、データへのアクセスの記録、転送の制限、または追加のセキュリティ対策。
...
転送の頻度 (たとえば、データが XNUMX 回限りで転送されるか、継続的に転送されるか)。
...
処理の性質
...
データ転送およびさらなる処理の目的
...
個人データの保存期間、またはそれが不可能な場合はその期間を決定するために使用される基準
...
(サブ) プロセッサへの転送の場合は、件名も指定します mattえー、処理の性質と期間
...

C. 所管の監督当局

第 13 条に従って管轄監督当局を特定する
...

附属書II

データのセキュリティを確保するための技術的および組織的措置を含む技術的および組織的措置

解説:
技術的および組織的な対策は、一般的な用語ではなく、具体的な用語で説明する必要があります。 付録の最初のページにある一般的なコメント、特に各移転/一連の移転にどの措置が適用されるかを明確に示す必要性についても参照してください。

処理の性質、範囲、状況、目的、および権利のリスクを考慮した、適切なレベルのセキュリティを確保するためにデータインポート者によって実施される技術的および組織的対策の説明(関連する認証を含む)そして自然人の自由。
【考えられる対策の例】
個人データの仮名化および暗号化の措置
処理システムとサービスの機密性、完全性、可用性、回復力を継続的に確保するための措置
物理的または技術的な事故が発生した場合に、個人データの可用性とアクセスをタイムリーに復元できるようにするための措置
処理のセキュリティを確保するために、技術的および組織的対策の有効性を定期的にテスト、評価、評価するためのプロセス
ユーザーの識別と認可のための措置
送信時のデータ保護対策
保管時のデータ保護対策
個人データが処理される場所の物理的セキュリティを確保するための措置
イベントログを確実に記録するための対策
デフォルト構成を含むシステム構成を確保するための措置
社内ITおよびITセキュリティのガバナンス・管理対策
工程や製品の認証・保証への取り組み
データ最小化を確実にするための措置
データの品質を確保するための措置
限られたデータ保持を確保するための措置
説明責任を確保するための措置
データのポータビリティを可能にし、確実に消去するための措置]
(サブ) プロセッサーへの転送については、コントローラーに支援を提供できるように (サブ) プロセッサーがとるべき具体的な技術的および組織的措置についても説明します。また、プロセッサーからサブプロセッサーへの転送については、データエクスポーター。