aryaka

標準契約条項

セクションI

第1条

目的と範囲

  1. これらの標準契約条項の目的は、個人データの処理に関する自然人の保護に関する 2016 年 679 月 27 日の欧州議会および理事会の規則 (EU) 2016/1 の要件への準拠を保証することです。そのようなデータの自由な移動 (一般データ保護規則) (XNUMX) 個人データの第三国への転送。
  2. 当事者:(1) 付属書 IA にリストされている、個人データを転送する自然人または法人、公的機関、政府機関、またはその他の団体 (以下「団体」) (以下、「各団体」)データ エクスポータ')、および

    (2) 付属書 IA にリストされている、データ輸出者から直接または本条項の当事者でもある別の事業体を介して間接的に個人データを受け取る第三国の事業体 (以下、「各データ輸入者」)
    これらの標準契約条項(以下「条項」)に同意しました。

  3. これらの条項は、附属書 IB に規定されている個人データの転送に関して適用されます。
  4. 本条項で参照されている付属書を含む本条項の付録は、本条項の不可欠な部分を形成します。

第2条

本条項の効果と不変性

  1. これらの条項は、規制 (EU) 46/1 の第 46 条(2) および第 2016 条(679)(c) に準拠し、管理者からのデータ転送に関して、強制可能なデータ主体の権利および効果的な法的救済を含む適切な保護措置を規定します。処理者へ、および/または処理者から処理者へ、規則 (EU) 28/7 の第 2016 条(679) に基づく標準契約条項。ただし、適切なモジュールを選択する場合、または情報を追加または更新する場合を除き、変更されないことが条件となります。付録。 これは、直接的または間接的に本条項に矛盾しない、または基本的権利を侵害しない限り、両当事者が本条項に定められた標準的な契約条項をより広範な契約に含めること、および/または他の条項や追加の保護措置を追加することを妨げるものではありません。またはデータ主体の自由。
  2. これらの条項は、規制 (EU) 2016/679 に基づいてデータ輸出者が課せられる義務を損なうものではありません。

第3条

第三者受益者

  1. データ主体は、第三者受益者として、以下の例外を除き、データ輸出者および/またはデータ輸入者に対してこれらの条項を発動し強制することができます。(i) 第 1 条、第 2 条、第 3 条、第 6 条、第 7 条。

    (ii) 第 8 条 – モジュール 8.5: 第 8.9 条 (e) および第 8.1 条(b)。 モジュール 8.9: 条項 8.1(b)、8.9(a)、(c)、(d)、および (e)。 モジュール 8.1: 第 8.3 条(a)、(c)、(d)、および第 XNUMX 条(a)、(c)、(d)、(e)、(f)、(g)。 モジュール XNUMX: 第 XNUMX 条 (b) および第 XNUMX (b) 条。

    (iii) 第 9 条 – モジュール 9: 第 9 条(a)、(c)、(d)、(e)。 モジュール XNUMX: 第 XNUMX 条(a)、(c)、(d)、および (e)。

    (iv) 第 12 条 – モジュール 12: 第 12 条(a) および (d)。 モジュール XNUMX および XNUMX: 第 XNUMX 条(a)、(d)、および (f)。

    (v) 第 13 条。

    (vi) 第 15.1 条(c)、(d)、および (e)。

    (vii) 第 16 条(e);

    (viii) 第 18 条 – モジュール 18、18、および XNUMX: 第 XNUMX 条(a) および (b)。 モジュール XNUMX: 第 XNUMX 条。

  2. パラグラフ (a) は、規則 (EU) 2016/679 に基づくデータ主体の権利を侵害するものではありません。

第4条

int型erp反復

  1. 本条項で規則 (EU) 2016/679 で定義されている用語が使用されている場合、それらの用語はその規則と同じ意味を有するものとします。
  2. これらの条項をよく読んで理解してくださいerp規則 (EU) 2016/679 の規定に照らして修正されました。
  3. これらの条項は完全なものであってはなりませんerp規則 (EU) 2016/679 に規定されている権利および義務と矛盾する方法で権利を侵害するもの。

第5条

階層

本条項と、本条項が合意された時点、またはその後締結された時点で存在する両当事者間の関連協定の規定との間に矛盾がある場合には、本条項が優先するものとします。

第6条

転送の説明

転送の詳細、特に転送される個人データのカテゴリおよび転送の目的は、付属書 IB に規定されています。

第7条

ドッキング句

  1. 本条項の当事者ではない事業体は、データ輸出者またはデータ輸入者として、両当事者の同意を得て、付録に記入し、付録 IA に署名することにより、いつでも本条項に同意することができます。
  2. 付属書を完成させ、付属書 IA に署名すると、加入主体はこれらの条項の当事者となり、付属書 IA の指定に従ってデータ輸出者またはデータ輸入者の権利と義務を有するものとします。
  3. 加入主体は、当事者になる前の期間から本条項に基づいて生じる権利または義務を持たないものとします。

セクション II – 当事者の義務

第8条

データ保護セーフガード

データ輸出者は、データ輸入者が適切な技術的および組織的手段の実施を通じて、本条項に基づく義務を果たすことができると判断するために合理的な努力を払ったことを保証します。

8.1命令

  1. データ輸入者は、データ輸出者からの文書化された指示に基づいてのみ個人データを処理するものとします。 データ輸出者は、契約期間を通じてそのような指示を与えることができます。
  2. データ輸入者は、これらの指示に従えない場合には、直ちにデータ輸出者に通知するものとします。

8.2 目的の制限

データ輸入者は、データ輸出者からのさらなる指示がない限り、付録 IB に規定されている転送の特定の目的のためにのみ個人データを処理するものとします。

8.3透明性

要求に応じて、データ輸出者は、両当事者が作成した付録を含む本条項のコピーをデータ主体が無料で利用できるように作成するものとします。 付属書 II に記載されている措置を含む企業秘密やその他の機密情報および個人データを保護するために必要な範囲で、データ輸出者はコピーを共有する前に本条項の付録のテキストの一部を編集することができますが、意味のある内容を提供するものとします。要約がなければ、データ主体がその内容を理解したり、権利を行使したりすることができない場合に使用されます。 要求に応じて、両当事者は、編集された情報を明らかにすることなく、可能な限り編集の理由をデータ主体に提供するものとします。 この条項は、規則 (EU) 13/14 の第 2016 条および第 679 条に基づくデータ輸出者の義務を損なうものではありません。

8.4精度

データ輸入者が受け取った個人データが不正確であること、または古くなっていることに気付いた場合、不当な遅滞なくデータ輸出者に通知するものとします。 この場合、データ輸入者はデータ輸出者と協力してデータの消去または修正を行うものとします。

8.5 データの処理および消去または返却の期間

データ輸入者による処理は、附属書 IB に指定された期間のみ行われるものとします。 処理サービスの提供終了後、データ輸入者は、データ輸出者の選択により、データに代わって処理されたすべての個人データを削除するものとします。または、データ輸出者に代わって処理されたすべての個人データをデータ輸出者に返却し、既存のコピーを削除します。 データが削除または返却されるまで、データ輸入者は引き続き本条項の遵守を確保するものとします。 データ輸入者に適用される現地法が個人データの返却または削除を禁止している場合、データ輸入者は引き続き本条項の遵守を確保し、その下で要求される範囲および期間のみデータを処理することを保証します。現地の法律。 これは、第 14 条、特に第 14 条 (e) に​​基づくデータ輸入者が法律または慣行の対象となる、または対象となっていると信じる理由がある場合、契約期間を通じてデータ輸出者に通知するという要件に影響を与えるものではありません。第 14 条 (a) に基づく要件に準拠していません。

8.6 処理の安全性

  1. データのインポート者、および送信中にデータのエクスポート者も、偶発的または違法な破壊、紛失、改ざん、不正な開示またはアクセスにつながるセキュリティ違反に対する保護を含む、データのセキュリティを確保するための適切な技術的および組織的対策を実施するものとします。そのデータ(以下「個人データ侵害」)。 適切なセキュリティレベルを評価する際、両当事者は、最新技術、実装コスト、処理の性質、範囲、状況および目的、およびデータ主体の処理に伴うリスクを適切に考慮するものとします。 。 両当事者は、その方法で処理の目的を達成できる場合には、送信中も含めて、暗号化または仮名化を利用することを特に考慮するものとします。 仮名化の場合、個人データを特定のデータ主体に帰属するための追加情報は、可能な場合にはデータ輸出者の排他的管理下に残るものとします。 この項に基づく義務を遵守する際、データ輸入者は、少なくとも付録 II に指定されている技術的および組織的措置を実施するものとします。 データインポート者は、これらの措置が適切なレベルのセキュリティを提供し続けていることを確認するために定期的なチェックを実行するものとします。
  2. データ輸入者は、契約の履行、管理、監視に厳密に必要な範囲に限り、その職員のメンバーに個人データへのアクセスを許可するものとします。 個人データを処理する権限を与えられた人物が守秘義務を負っているか、または適切な法定守秘義務を負っていることを保証するものとします。
  3. 本条項に基づいてデータ輸入者によって処理された個人データに関して個人データ侵害が発生した場合、データ輸入者は、悪影響を軽減するための措置を含む、侵害に対処するための適切な措置を講じるものとします。 データ輸入者はまた、侵害を認識した後、不当な遅滞なくデータ輸出者に通知するものとします。 かかる通知には、より多くの情報を入手できる連絡先の詳細、侵害の性質の説明(可能であれば、関連するデータ主体および個人データ記録のカテゴリとおおよその数を含む)、その可能性のある結果、および必要に応じて、起こり得る悪影響を軽減するための措置を含む、違反に対処するために講じられた、または提案された措置。 すべての情報を同時に提供することができない場合、最初の通知にはその時点で入手可能な情報が含まれるものとし、さらなる情報が入手可能になった場合には、その後不当な遅滞なく提供されるものとします。
  4. データ輸入者は、データ輸出者が規則 (EU) 2016/679 に基づく義務を遵守できるように、データ輸出者と協力し支援するものとします。特に、データの性質を考慮して管轄監督当局および影響を受けるデータ主体に通知するものとします。処理とデータインポーターが利用できる情報。

8.7 機密データ

転送に、人種または民族の出身、政治的意見、宗教的または哲学的信念、または労働組合のメンバーシップを明らかにする個人データ、遺伝データ、または自然人を一意に識別する目的の生体データ、健康または人の性生活に関するデータ、または性的指向、または刑事有罪判決および犯罪に関連するデータ (以下「機密データ」) の場合、データ輸入者は、付録 IB に記載されている特定の制限および/または追加の保護措置を適用するものとします。

8.8 将来の転送

データ輸入者は、データ輸出者からの文書化された指示がある場合にのみ、個人データを第三者に開示するものとします。 さらに、データは、欧州連合外 (4) (データ輸入者と同じ国または別の第三国、以下「転送」) にある第三者に開示されるか、第三者がそれに同意する場合にのみ開示されます。適切なモジュールに基づいて、または次の場合には、これらの条項に拘束されます。

    • (i) 先送りは、先送りを対象とする規則 (EU) 45/2016 の第 679 条に基づく十分性決定の恩恵を受ける国に対するものである。
    • (ii) 第三者が、問題の処理に関して (EU) 46/47 規則第 2016 条または第 679 条に従って適切な保護措置を確保している場合。
    • (iii) 将来の移転は、特定の行政、規制、または司法手続きに関連して法的請求の確立、行使、または防御のために必要である。 また
    (iv) データ主体または他の自然人の重大な利益を保護するために、転送が必要である場合。

今後の転送は、データ輸入者による本条項に基づく他のすべての安全措置、特に目的の制限の遵守が条件となります。

8.9 文書化とコンプライアンス

  1. データ輸入者は、本条項に基づく処理に関するデータ輸出者からの問い合わせに迅速かつ適切に対応するものとします。
  2. 両当事者は、本条項の遵守を証明できるものとします。 特に、データ輸入者は、データ輸出者に代わって実行される処理活動に関する適切な文書を保管するものとします。
  3. データ輸入者は、本条項に定められた義務の遵守を証明するために必要なすべての情報をデータ輸出者に提供し、データ輸出者の要求に応じて、合理的な間隔で本条項の対象となる処理活動の監査を許可し、これに貢献するものとします。不遵守の兆候がある場合。 レビューまたは監査を決定する際、データ輸出者はデータ輸入者が保有する関連認証を考慮することがあります。
  4. データ輸出者は、監査を独自に実施するか、独立した監査人を委任するかを選択できます。 監査には、データ輸入者の敷地または物理的施設での検査が含まれる場合があり、必要に応じて合理的な通知を行って実施されるものとします。
  5. 当事者は、監査の結果を含む、パラグラフ(b)および(c)で言及される情報を、要請に応じて管轄監督当局に提供するものとする。

第9条

サブプロセッサの使用

  1. オプション 1: 特定の事前許可 データ輸入者は、データ輸出者の事前の特定の書面による許可がない限り、本条項に基づいてデータ輸出者に代わって実行される処理活動を再委託してはなりません。 データインポート者は、データエクスポート者が承認を決定できるようにするために必要な情報とともに、副処理者が関与する少なくとも[期間を指定]する前に、特定の承認のリクエストを提出するものとします。 データ輸出者によってすでに認可されている副処理者のリストは、付録 III に記載されています。 両当事者は、付属書 III を最新の状態に保つものとします。オプション 2: 一般書面による許可 データ輸入者は、合意されたリストからの二次処理者の関与について、データ輸出者の一般的な許可を有します。 データ輸入者は、副処理者の追加または置き換えを通じてそのリストに変更を加える予定がある場合、少なくとも [期間を指定] 前に書面でデータ輸出者に具体的に通知し、データ輸出者が異議を唱えることができる十分な時間を与えるものとします。かかる変更は副処理者が関与する前に行われます。 データ輸入者は、データ輸出者が異議を唱える権利を行使できるようにするために必要な情報をデータ輸出者に提供するものとします。
  2. データ輸入者が(データ輸出者に代わって)特定の処理活動を実行するよう下請け業者に委託する場合、データ輸入者は、データ輸出者に拘束されるのと実質的に同じデータ保護義務を規定する書面による契約によってそうするものとします。データ主体の第三者受益権の観点を含め、本条項に基づくデータ輸入者。 (8) 両当事者は、本条項を遵守することにより、データ輸入者が第 8.8 条に基づく義務を履行することに同意します。 データ輸入者は、本条項に従ってデータ輸入者が課せられる義務を副処理者が遵守することを保証するものとします。
  3. データ輸入者が(データ輸出者に代わって)特定の処理活動を実行するよう下請け業者に委託する場合、データ輸入者は、データ輸出者に拘束されるのと実質的に同じデータ保護義務を規定する書面による契約によってそうするものとします。データ主体の第三者受益権の観点を含め、本条項に基づくデータ輸入者。 (8) 両当事者は、本条項を遵守することにより、データ輸入者が第 8.8 条に基づく義務を履行することに同意します。 データ輸入者は、本条項に従ってデータ輸入者が課せられる義務を副処理者が遵守することを保証するものとします。
  4. データ輸入者は、データ輸入者との契約に基づく副処理者の義務の履行について、データ輸出者に対して引き続き全責任を負うものとします。 データ輸入者は、副処理者がその契約に基づく義務を履行しなかったことをデータ輸出者に通知するものとします。
  5. データ輸入者は、再処理者と第三者受益者条項に同意するものとします。これにより、データ輸入者が事実上失踪した場合、法的に存在しなくなった場合、または破産した場合、データ輸出者は再受益者契約を解除する権利を有するものとします。処理者契約を締結し、副処理者に個人データを消去または返却するよう指示します。

第10条

データ主体の権利

  1. データインポート者は、データ主体から受け取ったリクエストをデータエクスポート者に速やかに通知するものとします。 データエクスポート者によって許可されていない限り、そのリクエスト自体には応答しません。
  2. データ輸入者は、規則 (EU) 2016/679 に基づくデータ主体の権利行使の要求に応じる義務を果たすためにデータ輸出者を支援するものとします。 この点に関して、締約国は、援助が提供される処理の性質、並びに必要とされる援助の範囲及び範囲を考慮して、適切な技術的及び組織的措置を附属書IIに定めるものとする。
  3. (a) および (b) 項に基づく義務を履行する際、データ輸入者はデータ輸出者の指示に従うものとします。

第11条

救済

  1. データ輸入者は、苦情を処理する権限を与えられた連絡先を、個別の通知またはウェブサイトを通じて、透明性があり簡単にアクセスできる形式でデータ主体に通知するものとします。 データ主体から受け取った苦情には速やかに対処するものとします。[オプション: データ輸入者は、データ主体が独立機関に苦情を申し立てることもできることに同意します。ispデータ主体は無料で解決機関 (11) を利用できます。 パラグラフ (a) に規定されている方法で、そのような救済メカニズムについてデータ主体に通知し、データ主体がそれを使用したり、救済を求める際に特定の手順に従う必要がないことを通知するものとします。]
  2. 広告の場合isp本条項の遵守に関してデータ主体と一方の当事者との間で協議が行われた場合、当該当事者は問題を適時に友好的に解決するために最善の努力を払うものとします。 両当事者は、かかる事項について相互に情報を提供し続けるものとします。ispそして、必要に応じて問題の解決に協力します。
  3. データ主体が第 3 項に従って第三者受益権を行使する場合、データ輸入者は、以下のデータ主体の決定を受け入れるものとします。(i) 常居所を有する加盟国の監督当局に苦情を申し立てる、または勤務地、または第 13 条に基づく管轄監督当局。
    (ii) d を参照isp第 18 条の意味の範囲内で管轄裁判所に訴えます。
  4. 両当事者は、規制 (EU) 80/1 の第 2016 条 (679) に定められた条件の下で、データ主体が非営利団体、組織、または団体によって代表される場合があることを承認します。
  5. データ輸入者は、適用される EU または加盟国の法律に基づいて拘束力のある決定に従うものとします。
  6. データ輸入者は、データ主体による選択によって、適用法に従って救済を求める実質的および手続き上の権利が損なわれないことに同意します。

第12条

負債

  1. 各当事者は、本条項の違反によって他方の当事者に生じた損害について、他方の当事者に対して責任を負うものとします。
  2. データ輸入者はデータ主体に対して責任を負い、データ主体は、データ輸入者またはその副処理者が第三者受益者の権利を侵害することによってデータ主体に引き起こした重大または非物質的損害について、補償を受ける権利を有するものとします。本条項に基づき。
  3. (b) 項にかかわらず、データ輸出者はデータ主体に対して責任を負うものとし、データ主体は、データ輸出者またはデータ輸入者 (またはその再処理者) が受けた重大または非物質的損害について補償を受け取る権利を有するものとします。本条項に基づく第三者受益者の権利を侵害することにより、データ主体に損害を与えることになります。 これは、データ輸出者の責任、およびデータ輸出者が管理者の代理を務める処理者である場合には、規制 (EU) 2016/679 または規制 (EU) 2018/1725 に基づく管理者の責任を損なうものではありません。該当します。
  4. 両当事者は、データ輸出者がデータ輸入者 (またはその再処理者) によって引き起こされた損害についてパラグラフ (c) に基づいて責任を負う場合、データ輸入者に対して、損害賠償額の一部を請求する権利があることに同意します。損害に対する責任はデータ輸入者にあります。
  5. 本条項の違反の結果としてデータ主体に生じた損害に対して複数の当事者が責任を負う場合、すべての責任ある当事者が連帯して責任を負い、データ主体はこれらのいずれかに対して法廷で訴訟を起こす権利を有します。パーティー。
  6. 両当事者は、一方の当事者がパラグラフ(e)に基づいて責任を負う場合、他方の当事者に対して、損害に対する自らの責任に対応する補償金の一部を請求する権利を有することに同意する。
  7. データ輸入者は、自らの責任を回避するために下請け処理者の行為を援用することはできません。

第13条

監督

  1. [データ輸出者が EU 加盟国に設立されている場合:] 付属書 IC に示されているように、データ転送に関する規則 (EU) 2016/679 へのデータ輸出者の遵守を確保する責任を負う監督当局が、管轄当局として機能するものとします。監督当局。
    [データ輸出者が EU 加盟国に設立されていないが、第 2016 条 (679) に従って規則 (EU) 3/2 の適用地域範囲内にあり、第 27 条 (1) に従って代表者を任命している場合規則 (EU) 2016/679 の):] 付属書 IC に示されているように、規則 (EU) 27/1 の第 2016 条(679)の意味における代表者が設置されている加盟国の監督当局が行動するものとする権限ある監督当局として。
    [データ輸出者が EU 加盟国に設立されていないが、第 2016 条に従って代表者を任命する必要がなく、第 679 条(3)に従って規則 (EU) 2/27 の適用地域範囲内にある場合規則 (EU) 2/2016 の (679):] 商品またはサービスの提供に関連して本条項に基づいて個人データが転送されるデータ主体、またはデータ主体の行動が管轄するいずれかの加盟国の監督当局。付属書 IC に示されているように、監視され、所在が特定されている場合は、管轄監督当局として機能するものとします。
  2. データ輸入者は、本条項の遵守を確実にすることを目的としたあらゆる手続きにおいて、管轄監督当局の管轄に従い、協力することに同意します。 特に、データ輸入者は、問い合わせに対応し、監査に提出し、是正措置や補償措置を含む監督当局が採用した措置に従うことに同意します。 必要な措置が講じられたことを書面で確認するものを監督当局に提供するものとする。

セクション III – 公的機関によるアクセスの場合の現地法および義務

第14条

本条項の遵守に影響を与える現地の法律および慣行

  1. 両当事者は、個人データの開示要件や公的機関によるアクセスを許可する措置を含む、データ輸入者による個人データの処理に適用される仕向地の第三国における法律および慣行が、個人データの保護を妨げると信じる理由がないことを保証します。データ輸入者は本条項に基づく義務を履行できなくなります。 これは、基本的な権利と自由の本質を尊重し、EU規則第23条第1項に列挙されている目的の2016つを守るために民主主義社会において必要かつ相応のものを超えない法律と慣行であるという理解に基づいています。 ) 679/XNUMX は、これらの条項と矛盾していません。
  2. 両当事者は、パラグラフ (a) の保証を提供する際に、特に以下の要素を適切に考慮したことを宣言します。(i) 処理チェーンの長さ、関与する主体の数、および転送の具体的な状況。使用される伝送チャネル。 意図された将来の転送。 受信者の種類。 処理の目的。 転送される個人データのカテゴリと形式。 移転が行われる経済部門。 転送されたデータの保存場所。
    (ii) 転送の特定の状況、および適用される制限および保護手段に照らして関連する、目的地である第三国の法律および慣行(公的機関へのデータの開示を要求する法律およびそのような当局によるアクセスの許可を含む)(12 );

    (iii) 本条項に基づく保護措置を補足するために導入された関連する契約上、技術的または組織的な保護措置。これには、送信中および目的地国での個人データの処理に適用される措置が含まれます。

  3. データ輸入者は、パラグラフ (b) に基づく評価を実施する際に、データ輸出者に関連情報を提供するために最善の努力を払ったことを保証し、本条項の遵守を確保するためにデータ輸出者と引き続き協力することに同意します。
  4. 両当事者は、パラグラフ(b)に基づく評価を文書化し、要求に応じて管轄監督当局が利用できるようにすることに同意する。
  5. データ輸入者は、本条項に同意した後、契約期間中に、パラグラフに基づく要件に従わない法律または慣行の対象となる、または対象となっていると信じる理由がある場合、データ輸出者に速やかに通知することに同意するものとします。 (a) これには、第三国の法律の変更、または (a) 項の要件に従わない実際の当該法律の適用を示す措置 (開示要求など) の後を含む。
  6. (e) 項に基づく通知後、またはデータ輸出者がデータ輸入者が本条項に基づく義務を履行できなくなったと信じる理由がある場合、データ輸出者は適切な手段 (例:セキュリティと機密性)をデータ輸出者および/またはデータ輸入者が状況に対処するために採用する必要があります。 データ輸出者は、データ転送に対する適切な保護手段が確保できないと判断した場合、または管轄監督当局からそのように指示された場合には、データ転送を一時停止するものとします。 この場合、データ輸出者は、本条項に基づく個人データの処理に関する限り、契約を解除する権利を有するものとします。 契約に 16 つ以上の当事者が関与する場合、データ輸出者は、当事者間で別段の合意がない限り、関連する当事者に関してのみこの解除の権利を行使することができます。 本条項に従って契約が終了する場合、第 XNUMX 条(d)および(e)が適用されるものとします。

第15条

公的機関によるアクセスがあった場合のデータ輸入者の義務

15.1通知

  1. データ輸入者は、以下の場合、データ輸出者と、可能な場合にはデータ主体に(必要に応じてデータ輸出者の協力を得て)通知することに同意します。(i) 以下の規定に基づいて、司法当局を含む公的機関から法的拘束力のある要求を受け取った場合本条項に従って転送される個人データの開示に関する宛先国の法律。 かかる通知には、要求された個人データ、要求当局、要求の法的根拠、および提供された応答に関する情報が含まれるものとします。 また
    (ii) 本条項に従って転送された個人データへの公的機関による直接アクセスを、目的国の法律に従って認識した場合。 かかる通知には、輸入者が入手可能なすべての情報が含まれるものとします。
    [モジュール XNUMX の場合: データ エクスポーターは通知をコントローラーに転送するものとします。]
  2. データ輸入者が仕向国の法律に基づいてデータ輸出者および/またはデータ主体に通知することが禁止されている場合、データ輸入者は可能な限りの連絡を行うことを目的として、禁止の免除を得るために最善の努力を払うことに同意します。情報をできるだけ早く。 データ輸入者は、データ輸出者の要求に応じて実証できるように、最善の努力を文書化することに同意します。
  3. 仕向国の法律で許容される場合、データ輸入者は、契約期間中定期的に、受信したリクエストに関する可能な限り多くの関連情報 (特に、リクエストの数、要求されたデータのタイプ、要求権限、要求に異議が申し立てられたかどうか、および OUtcoそのような挑戦の私など)。
  4. データ輸入者は、契約期間中、(a) から (c) 項に従って情報を保存し、要求に応じて所轄の監督当局が利用できるようにすることに同意します。
  5. (a) から (c) 項は、第 14 条(e) および第 16 条に基づくデータ輸入者がこれらの条項を遵守できない場合にデータ輸出者に速やかに通知する義務を損なうものではありません。

15.2 合法性とデータの最小化のレビュー

  1. データ輸入者は、開示要求の合法性、特に要求元の公的機関に付与された権限の範囲内にあるかどうかを検討し、慎重に評価した結果、以下のことを考慮する合理的な理由があると結論付けた場合には、要求に異議を申し立てることに同意します。その要求が、目的国の法律、国際法に基づいて適用される義務、および国際礼儀の原則に基づいて違法である場合。 データ輸入者は、同じ条件の下で、控訴の可能性を追求するものとします。 要求に異議を申し立てる場合、データ輸入者は、管轄司法当局がその本案について決定を下すまで、要求の効力を一時停止することを目的とした暫定措置を求めるものとします。 適用される手続き規則に基づいて要求されるまで、要求された個人データを開示しないものとします。 これらの要件は、第 14 条 (e) に​​基づくデータ輸入者の義務を損なうものではありません。
  2. データ輸入者は、法的評価および開示要求に対する異議申し立てを文書化し、仕向国の法律で許容される範囲で、その文書をデータ輸出者が利用できるようにすることに同意します。 また、要請に応じて所管監督当局がそれを利用できるようにするものとする。 [モジュール XNUMX の場合: データエクスポート者は、管理者が評価を利用できるようにする必要があります。]
  3. データ輸入者は、開示請求に応じる際に、合理的な情報に基づいて、許容される最小限の情報を提供することに同意します。erp要求の再考。

セクション IV – 最終条項

第16条

条項の不遵守と終了

  1. データ輸入者は、理由の如何を問わず、本条項を遵守できない場合には、データ輸出者に速やかに通知するものとします。
  2. データ輸入者が本条項に違反した場合、または本条項を遵守できない場合、データ輸出者は、遵守が再度確認されるか契約が終了するまで、データ輸入者への個人データの転送を一時停止するものとします。 これは第 14 条 (f) に影響を与えるものではありません。
  3. データ輸出者は、本条項に基づく個人データの処理に関する限り、次の場合に契約を解除する権利を有するものとします。(i) データ輸出者が (b) 項に従ってデータ輸入者への個人データの転送を一時停止した場合、および本条項の遵守は、合理的な期間内に、いかなる場合であっても一時停止から XNUMX か月以内に回復されない場合。
    (ii) データ輸入者が本条項に大幅または継続的に違反している場合。 また
    (iii) データ輸入者が本条項に基づく義務に関する管轄裁判所または監督当局の拘束力のある決定に従わなかった場合。
    このような場合、管轄監督当局[モジュール XNUMX および管理者]にそのような不遵守を通知するものとします。 契約に XNUMX つ以上の当事者が関与する場合、データ輸出者は、当事者間で別段の合意がない限り、関連する当事者に関してのみこの解除の権利を行使することができます。
  4. (c) 項に従って契約終了前に転送された個人データは、データ輸出者の選択により、直ちにデータ輸出者に返還されるか、全体が削除されるものとします。 同じことが、データのコピーにも適用されます。] [モジュール XNUMX の場合: EU 内のデータ輸出者によって収集され、(c) 項に基づく契約終了前に転送された個人データは、そのデータから直ちに削除されるものとします。データ輸入者は、データ輸出者に対してデータの削除を証明するものとします。 データが削除または返却されるまで、データ輸入者は引き続き本条項の遵守を確保するものとします。 データ輸入者に適用される現地法が、転送された個人データの返却または削除を禁止している場合、データ輸入者は、引き続き本条項の遵守を確保し、必要な範囲および期間のみデータを処理することを保証します。その現地の法律に基づいて義務付けられています。
  5. いずれの当事者も、(i) 欧州委員会が、本条項が適用される個人データの転送を対象とする規則 (EU) 45/3 の第 2016 条 (679) に基づく決定を採択した場合、本条項に拘束される合意を取り消すことができます。 または (ii) 規制 (EU) 2016/679 は、個人データが転送される国の法的枠組みの一部となります。 これは、規制 (EU) 2016/679 に基づいて問題の処理に適用される他の義務を損なうものではありません。

第17条

準拠法

これらの条項は、EU 加盟国のいずれかの法律に準拠するものとします。ただし、当該法律で第三者受益者の権利が認められる場合に限ります。両当事者は、これが以下の法律となることに同意する。 Germany.

第18条

法廷地と管轄権の選択

  1. 任意のdispこれらの条項から生じる問題は、EU 加盟国の裁判所によって解決されるものとします。
  2. 両当事者は、それらが裁判所となることに同意する。 Germany.
  3. データ主体は、常居所を有する加盟国の裁判所にデータ輸出者および/またはデータ輸入者に対して法的手続きを起こすこともできます。
  4. 両当事者は、かかる裁判所の管轄に従うことに同意します。

(1) データ輸出者が、管理者として欧州連合の機関または団体を代理する規制 (EU) 2016/679 の対象となる処理者である場合、規制 (EU) の対象ではない別の処理者 (サブ処理) と契約する場合は、本条項に依存する必要があります。 ) 2016/679 はまた、連合による個人データの処理に関する自然人の保護に関する欧州議会および 29 年 4 月 2018 日の理事会の規則 (EU) 1725/23 の第 2018 条(45) への準拠を保証します。機関、団体、事務所、代理店、およびそのようなデータの自由な移動、および規則 (EC) No 2001/1247 および決定 No 2002/295/EC (OJ L 21.11.2018、39 年 29 月 3 日、p. 2018) の廃止について、本条項と、規制 (EU) 1725/2021 の第 915 条 (XNUMX) に基づく管理者と処理者の間の契約またはその他の法的行為に定められたデータ保護義務が一致する範囲。 これは特に、管理者と処理者が決定 XNUMX/XNUMX に含まれる標準契約条項に依存する場合に当てはまります。
(2) これには、規則 (EU) 26/2016 の説明 679 に従って、誰にも個人が特定されなくなるような方法でデータを匿名化し、このプロセスが不可逆であることが必要です。
(3) 欧州経済地域協定 (EEA 協定) は、欧州連合の域内市場を EEA の XNUMX か国であるアイスランド、リヒテンシュタイン、ノルウェーに拡大することを規定しています。 連邦データ保護法sla規制 (EU) 2016/679 を含む規制は EEA 協定の対象となっており、その附属書 XI に組み込まれています。 したがって、データ輸入者による EEA 内の第三者への開示は、本条項の目的における転送には該当しません。
(4) 欧州経済地域協定 (EEA 協定) は、欧州連合の域内市場を EEA の XNUMX か国であるアイスランド、リヒテンシュタイン、ノルウェーに拡大することを規定しています。 連邦データ保護法sla規制 (EU) 2016/679 を含む規制は EEA 協定の対象となっており、その附属書 XI に組み込まれています。 したがって、データ輸入者による EEA 内の第三者への開示は、本条項の目的における転送には該当しません。
(5) 規則 (EU) 28/4 の第 2016 条(679) を参照し、管理者が EU の機関または団体の場合は規則 (EU) 29/4 の第 2018 条(1725) を参照してください。
(6) 欧州経済地域協定 (EEA 協定) は、欧州連合の域内市場を EEA の XNUMX か国であるアイスランド、リヒテンシュタイン、ノルウェーに拡大することを規定しています。 連邦データ保護法sla規制 (EU) 2016/679 を含む規制は EEA 協定の対象となっており、その附属書 XI に組み込まれています。 したがって、データ輸入者による EEA 内の第三者への開示は、本条項の目的上、転送とはみなされません。
(7) これには、転送およびさらなる処理に、人種または民族の出身、政治的意見、宗教的または哲学的信念、または労働組合のメンバーシップを明らかにする個人データ、自然人を一意に識別する目的の遺伝データまたは生体認証データ、および関連するデータが含まれるかどうかが含まれます。健康、個人の性生活や性的指向、あるいは有罪判決や犯罪に関連するデータ。
(8) この要件は、第 7 条に従って、適切なモジュールに基づいてこれらの条項に同意するサブプロセッサによって満たされる場合があります。
(9) この要件は、第 7 条に従って、適切なモジュールに基づいてこれらの条項に同意するサブプロセッサによって満たされる場合があります。
(10) その期間は、複雑さと要求の数を考慮して必要な範囲で、さらに最大 XNUMX か月延長される場合があります。 データ輸入者は、かかる延長についてデータ主体に正式かつ速やかに通知するものとします。
(11) データインポーターは、独立したデータを提供する場合があります。isp仲裁機関を通じた解決は、仲裁判断の執行に関するニューヨーク条約を批准した国に設立された場合に限ります。
(12) 本条項の遵守に対するかかる法律および慣行の影響に関しては、総合的な評価の一部としてさまざまな要素が考慮される場合があります。 このような要素には、十分に代表的な期間をカバーする、公的機関からの開示要求の過去の事例、またはそのような要求が存在しなかった場合の、関連し文書化された実務経験が含まれる場合があります。 これは特に、デューデリジェンスに従って継続的に作成され、上級管理レベルで認証された内部記録またはその他の文書を指しますが、この情報が合法的に第三者と共有される場合に限ります。 この実際の経験に基づいて、データ輸入者が本条項を遵守することを妨げられないと結論付ける場合、それは他の関連する客観的な要素によって裏付けられる必要があり、これらの要素が共に十分な内容を備えているかどうかを当事者が慎重に検討する必要があります。この結論を裏付けるために、信頼性と代表性の観点から重要性を評価します。 特に、当事者は、同じ分野内での要請の有無および/または実際の法律の適用に関する公的に入手可能な、またはその他の方法でアクセス可能な信頼できる情報によって、その実務経験が裏付けられ、矛盾していないかどうかを考慮する必要があります。判例法や独立した監督機関による報告書など。

付録

解説:

各転送または転送のカテゴリーに適用される情報を明確に区別し、これに関連して、データ輸出者および/またはデータ輸入者としての両当事者のそれぞれの役割を決定できなければなりません。 これは必ずしも、譲渡/譲渡のカテゴリーおよび/または契約関係ごとに個別の付録を記入して署名する必要はなく、この透明性は XNUMX つの付録で実現できます。 ただし、十分な明確性を確保するために必要な場合は、別の付録を使用する必要があります。

附属書I

A. 当事者のリスト
データエクスポーター:
[データ輸出者の身元および連絡先の詳細、および該当する場合にはそのデータ保護責任者および/または欧州連合の代表者の身元および連絡先の詳細]

  • 名前: ………。
    住所: ……。
    担当者の氏名、役職および連絡先の詳細: ………..
    本条項に基づいて転送されるデータに関連する活動: …………
    署名と日付: ………..
  • 役割 (コントローラー/プロセッサー): …………。

データインポーター: [データ輸入者の身元および連絡先の詳細(データ保護の責任を負う連絡担当者を含む)]

  • 名前: ………。
    住所: ……。
    担当者の氏名、役職および連絡先の詳細: ………..
    本条項に基づいて転送されるデータに関連する活動: …………
    署名と日付: ………..
  • 役割 (コントローラー/プロセッサー): …………。

B. 譲渡の説明

個人データが転送されるデータ主体のカテゴリ
...
転送される個人データのカテゴリ
...
機密データが転送され(該当する場合)、データの性質とそれに伴うリスクを十分に考慮した制限または保護手段が適用されます。たとえば、厳密な目的制限、アクセス制限(専門トレーニングを受けたスタッフのみがアクセスできることを含む)、データへのアクセスの記録、転送の制限、または追加のセキュリティ対策。
...
転送の頻度 (たとえば、データが XNUMX 回限りで転送されるか、継続的に転送されるか)。
...
処理の性質
...
データ転送およびさらなる処理の目的
...
個人データの保存期間、またはそれが不可能な場合はその期間を決定するために使用される基準
...
(サブ) プロセッサへの転送の場合は、件名も指定します mattえー、処理の性質と期間

...

C. 所管の監督当局

第 13 条に従って管轄監督当局を特定する

...

附属書II

データのセキュリティを確保するための技術的および組織的措置を含む技術的および組織的措置

解説:

技術的および組織的な対策は、一般的な用語ではなく、具体的な用語で説明する必要があります。 付録の最初のページにある一般的なコメント、特に各移転/一連の移転にどの措置が適用されるかを明確に示す必要性についても参照してください。

処理の性質、範囲、状況、目的、および権利のリスクを考慮した、適切なレベルのセキュリティを確保するためにデータインポート者によって実施される技術的および組織的対策の説明(関連する認証を含む)そして自然人の自由。
【考えられる対策の例】
個人データの仮名化および暗号化の措置
処理システムとサービスの機密性、完全性、可用性、回復力を継続的に確保するための措置
物理的または技術的な事故が発生した場合に、個人データの可用性とアクセスをタイムリーに復元できるようにするための措置
処理のセキュリティを確保するために、技術的および組織的対策の有効性を定期的にテスト、評価、評価するためのプロセス
ユーザーの識別と認可のための措置
送信時のデータ保護対策
保管時のデータ保護対策
個人データが処理される場所の物理的セキュリティを確保するための措置
イベントログを確実に記録するための対策
デフォルト構成を含むシステム構成を確保するための措置
社内ITおよびITセキュリティのガバナンス・管理対策
工程や製品の認証・保証への取り組み
データ最小化を確実にするための措置
データの品質を確保するための措置
限られたデータ保持を確保するための措置
説明責任を確保するための措置
データのポータビリティを可能にし、確実に消去するための措置]
(サブ) プロセッサーへの転送については、コントローラーに支援を提供できるように (サブ) プロセッサーがとるべき具体的な技術的および組織的措置についても説明します。また、プロセッサーからサブプロセッサーへの転送については、データエクスポーター

附属書III

サブプロセッサーのリスト
解説:

副処理者に特定の権限を与える場合(第 9 条(a)、オプション 1)、この付録はモジュール XNUMX および XNUMX に対して完了する必要があります。

コントローラーは次のサブプロセッサーの使用を許可しました。

  • 名前: ………。
    住所: ……。
    担当者の氏名、役職および連絡先の詳細: ………..
  • 処理の説明 (複数の副処理者が認可されている場合の責任の明確な境界を含む): …………。