Aryaka 組織が従来のネットワーク セキュリティ製品を置き換えることを支援する移行加速プログラムを開始

プレスリリースを読む > X
aryaka aryaka

免責事項: このドキュメントは、次の場所で入手可能なテキストに基づいて作成されました。 https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX%3A32021D0914&locale=en#ntc12-L_2021199EN.01003701-E0012 利便性を目的として提供されています。 これは、権威ある文書または法的指針とみなされるべきではありません。

標準契約条項

プロセッサからプロセッサへ

セクションI

第1条

目的と範囲

    1. これらの標準契約条項の目的は、個人データの処理に関する自然人の保護に関する 2016 年 679 月 27 日の欧州議会および理事会の規則 (EU) 2016/XNUMX の要件への準拠を保証することです。かかるデータの自由な移動 (一般データ保護規則) (【1]) 個人データの第三国への転送。
    2. パーティー:
      1. 付属書 IA にリストされている個人データを転送する自然人または法人、公的機関、政府機関、またはその他の団体 (以下「事業体」) (以下、「データ輸出者」)、および
      2. 付属書 IA に記載されている、データ輸出者から直接的または間接的に、本条項の当事者でもある別の事業体を介して個人データを受け取る第三国の事業体 (以下、「各データ輸入者」) は、これらの標準契約条項に同意しています (以下、「各データ輸入者」)。以下「本条項」といいます。)
    3. これらの条項は、附属書 IB に規定されている個人データの転送に関して適用されます。
    4. 本条項で参照されている付属書を含む本条項の付録は、本条項の不可欠な部分を形成します。

第2条

本条項の効果と不変性

  1. これらの条項は、規制 (EU) 46/1 の第 46 条(2) および第 2016 条(679)(c) に準拠し、管理者からのデータ転送に関して、強制可能なデータ主体の権利および効果的な法的救済を含む適切な保護措置を規定します。処理者へ、および/または処理者から処理者へ、規則 (EU) 28/7 の第 2016 条(679) に基づく標準契約条項。ただし、適切なモジュールを選択する場合、または情報を追加または更新する場合を除き、変更されないことが条件となります。付録。 これは、直接的または間接的に本条項に矛盾しない、または基本的権利を侵害しない限り、両当事者が本条項に定められた標準的な契約条項をより広範な契約に含めること、および/または他の条項や追加の保護措置を追加することを妨げるものではありません。またはデータ主体の自由。
  2. これらの条項は、規制 (EU) 2016/679 に基づいてデータ輸出者が課せられる義務を損なうものではありません。

第3条

第三者受益者

  1. データ主体は、第三者受益者として、データ輸出者および/またはデータ輸入者に対して本条項を発動し強制することができますが、以下の例外があります。

      2. (i) 第 1 条、第 2 条、第 3 条、第 6 条、第 7 条。

      (ii) 第 8.1 条(a)、(c)、(d)、および第 8.9 条(a)、(c)、(d)、(e)、(f)、(g)。

      (iii) 第 9 条(a)、(c)、(d)、および (e)。

      (iv) 第 12 条(a)、(d)、および (f)。

      (v) 第 13 条。

      (vi) 第 15.1 条(c)、(d)、および (e)。

      (vii) 第 16 条(e);

      (viii) 第 18 条(a) および (b)。

  2. パラグラフ (a) は、規則 (EU) 2016/679 に基づくデータ主体の権利を侵害するものではありません。

第4条

int型erp反復

  1. 本条項で規則 (EU) 2016/679 で定義されている用語が使用されている場合、それらの用語はその規則と同じ意味を有するものとします。
  2. これらの条項をよく読んで理解してくださいerp規則 (EU) 2016/679 の規定に照らして修正されました。
  3. これらの条項は完全なものであってはなりませんerp規則 (EU) 2016/679 に規定されている権利および義務と矛盾する方法で権利を侵害するもの。

第5条

階層

本条項と、本条項が合意された時点、またはその後締結された時点で存在する両当事者間の関連協定の規定との間に矛盾がある場合には、本条項が優先するものとします。

第6条

転送の説明

転送の詳細、特に転送される個人データのカテゴリおよび転送の目的は、付属書 IB に規定されています。

第 7 条 – 任意

ドッキング句

  1. 本条項の当事者ではない事業体は、データ輸出者またはデータ輸入者として、両当事者の同意を得て、付録に記入し、付録 IA に署名することにより、いつでも本条項に同意することができます。
  2. 付属書を完成させ、付属書 IA に署名すると、加入主体はこれらの条項の当事者となり、付属書 IA の指定に従ってデータ輸出者またはデータ輸入者の権利と義務を有するものとします。
  3. 加入主体は、当事者になる前の期間から本条項に基づいて生じる権利または義務を持たないものとします。

セクション II – 当事者の義務

第8条

データ保護セーフガード

データ輸出者は、データ輸入者が適切な技術的および組織的手段の実施を通じて、本条項に基づく義務を果たすことができると判断するために合理的な努力を払ったことを保証します。

8.1 指示

  1. データ エクスポータは、データ インポータに対して、コントローラの指示に従って処理者として機能することを通知しており、データ エクスポータは、処理前にその指示をデータ インポータに提供する必要があります。
  2. データ輸入者は、データ輸出者からデータ輸入者に伝達された管理者からの文書化された指示、およびデータ輸出者からの追加の文書化された指示にのみ基づいて個人データを処理するものとします。 このような追加の指示は、コントローラーからの指示と矛盾してはならない。 管理者またはデータ輸出者は、契約期間中のデータ処理に関するさらなる文書化された指示を与えることができます。
  3. データ輸入者は、これらの指示に従えない場合には、直ちにデータ輸出者に通知するものとします。 データ輸入者が管理者の指示に従うことができない場合、データ輸出者は直ちに管理者に通知するものとします。
  4. データ輸出者は、管理者とデータ輸出者との間の連合法または加盟国の法律に基づく契約またはその他の法的行為に規定されているのと同じデータ保護義務をデータ輸入者に課していることを保証します (【2]).

8.2 目的の制限

データ輸入者は、管理者からのさらなる指示、データ輸出者によってデータ輸入者に通知された場合、またはデータからの指示がない限り、付属書 IB に規定されている転送の特定の目的のためにのみ個人データを処理するものとします。輸出業者。

8.3 透明性

要求に応じて、データ輸出者は、両当事者が作成した付録を含む本条項のコピーをデータ主体が無料で利用できるように作成するものとします。 ビジネス秘密または個人データを含むその他の機密情報を保護するために必要な範囲で、データ輸出者は、コピーを共有する前に付録のテキストの一部を編集することができますが、データ主体が他の方法で提供できない場合には、意味のある概要を提供するものとします。その内容を理解したり、権利を行使したりするため。 要求に応じて、両当事者は、編集された情報を明らかにすることなく、可能な限り編集の理由をデータ主体に提供するものとします。

8.4 精度

データ輸入者が受け取った個人データが不正確であること、または古くなっていることに気付いた場合、不当な遅滞なくデータ輸出者に通知するものとします。 この場合、データ輸入者はデータ輸出者と協力してデータの修正または消去を行うものとします。

8.5 データの処理および消去または返却の期間

データ輸入者による処理は、附属書 IB に指定されている期間のみ行われるものとします。 処理サービスの提供終了後、データ輸入者は、データ輸出者の選択により、管理者に代わって処理されたすべての個人データを削除するものとします。データ輸出者にその旨を証明するか、データ輸出者に代わって処理されたすべての個人データをデータ輸出者に返却し、既存のコピーを削除します。 データが削除または返却されるまで、データ輸入者は引き続き本条項の遵守を確保するものとします。 データ輸入者に適用される現地法が個人データの返却または削除を禁止している場合、データ輸入者は引き続き本条項の遵守を確保し、その下で要求される範囲および期間のみデータを処理することを保証します。現地の法律。 これは、第 14 条、特に第 14 条 (e) に​​基づくデータ輸入者が法律または慣行の対象となる、または対象となっていると信じる理由がある場合、契約期間を通じてデータ輸出者に通知するという要件に影響を与えるものではありません。第 14 条 (a) に基づく要件に準拠していません。

8.6 処理の安全性

  1. データのインポート者、および送信中にデータのエクスポート者も、偶発的または違法な破壊、紛失、改ざん、不正な開示またはアクセスにつながるセキュリティ違反に対する保護を含む、データのセキュリティを確保するための適切な技術的および組織的対策を実施するものとします。そのデータ(以下「個人データ侵害」)。 適切なセキュリティレベルを評価する際には、最先端技術、実装コスト、処理の性質、範囲、状況および目的、およびデータ主体の処理に伴うリスクを適切に考慮するものとします。 両当事者は、その方法で処理の目的を達成できる場合には、送信中も含めて、暗号化または仮名化を利用することを特に考慮するものとします。 仮名化の場合、個人データを特定のデータ主体に帰属させるための追加情報は、可能な場合には、データ輸出者または管理者の排他的管理下に残るものとします。 この項に基づく義務を遵守する際、データ輸入者は、少なくとも付録 II に指定されている技術的および組織的措置を実施するものとします。 データインポート者は、これらの措置が適切なレベルのセキュリティを提供し続けていることを確認するために定期的なチェックを実行するものとします。
  2. データ輸入者は、契約の履行、管理、監視に厳密に必要な範囲に限り、その職員のメンバーにデータへのアクセスを許可するものとします。 個人データを処理する権限を与えられた人物が守秘義務を負っているか、または適切な法定守秘義務を負っていることを保証するものとします。
  3. 本条項に基づいてデータ輸入者によって処理された個人データに関して個人データ侵害が発生した場合、データ輸入者は、悪影響を軽減するための措置を含む、侵害に対処するための適切な措置を講じるものとします。 また、データ輸入者は、侵害を認識した後、不当な遅滞なくデータ輸出者、および適切かつ実行可能な場合には管理者に通知するものとします。 かかる通知には、より多くの情報を入手できる連絡先の詳細、侵害の性質の説明(可能であれば、関連するデータ主体および個人データ記録のカテゴリとおおよその数を含む)、その可能性のある結果、およびデータ侵害に対処するために講じられた、または提案された措置(潜在的な悪影響を軽減するための措置を含む)。 すべての情報を同時に提供することができない場合、最初の通知にはその時点で入手可能な情報が含まれるものとし、さらなる情報が入手可能になった場合には、その後不当な遅滞なく提供されるものとします。
  4. データ輸入者は、データ輸出者が規制 (EU) 2016/679 に基づく義務を遵守できるように、データ輸出者と協力し支援するものとします。特に、管理者が管轄監督当局に通知できるように管理者に通知する必要があります。処理の性質とデータ輸入者が利用できる情報を考慮して、影響を受けるデータ主体を特定します。

8.7 機密データ

転送に、人種または民族の出身、政治的意見、宗教的または哲学的信念、または労働組合のメンバーシップを明らかにする個人データ、遺伝データ、または自然人を一意に識別する目的の生体データ、健康または人の性生活に関するデータ、または性的指向、または刑事有罪判決および犯罪に関連するデータ (以下「機密データ」) の場合、データ輸入者は付録 IB に規定されている特定の制限および/または追加の保護措置を適用するものとします。

8.8 将来の転送

データ輸入者は、データ輸出者からデータ輸入者に通知された、管理者からの文書化された指示に基づいてのみ、個人データを第三者に開示するものとします。 さらに、データは欧州連合外の第三者にのみ開示される場合があります (【3])(データ輸入者と同じ国または別の第三国において、以下「転送転送」)第三者が適切なモジュールに基づいて本条項に拘束されるか、拘束されることに同意する場合、または次の場合。

  1. 先送りは、先送りを対象とする規則 (EU) 45/2016 の第 679 条に基づく十分性決定の恩恵を受ける国に対して行われます。
  2. それ以外の場合、第三者は規則 (EU) 46/47 の第 2016 条または第 679 条に従って適切な保護措置を確保します。
  3. 将来の転送は、特定の行政、規制、または司法手続きの文脈における法的請求の確立、行使、または防御のために必要です。 また
  4. データ主体または他の自然人の重大な利益を保護するために、転送は必要です。

今後の転送は、データ輸入者による本条項に基づく他のすべての安全措置、特に目的の制限の遵守が条件となります。

8.9 文書化とコンプライアンス

  1. データ輸入者は、本条項に基づく処理に関連するデータ輸出者または管理者からの問い合わせに迅速かつ適切に対応するものとします。
  2. 両当事者は、本条項の遵守を証明できるものとします。 特に、データ輸入者は、管理者に代わって実行される処理活動に関する適切な文書を保管しなければなりません。
  3. データ輸入者は、本条項に定められた義務の遵守を証明するために必要なすべての情報をデータ輸出者が利用できるようにし、データ輸出者はそれを管理者に提供するものとします。
  4. データ輸入者は、合理的な間隔で、または違反の兆候がある場合、本条項の対象となる処理活動についてデータ輸出者による監査を許可し、これに貢献するものとします。 データ輸出者が管理者の指示に従って監査を要求する場合も同様とします。 監査を決定する際、データ輸出者はデータ輸入者が保有する関連認証を考慮することがあります。
  5. 監査が管理者の指示に従って実行される場合、データ輸出者は結果を管理者が利用できるようにするものとします。
  6. データ輸出者は、監査を独自に実施するか、独立した監査人を委任するかを選択できます。 監査には、データ輸入者の敷地または物理的施設での検査が含まれる場合があり、必要に応じて合理的な通知を行って実施されるものとします。
  7. 当事者は、監査の結果を含む、パラグラフ(b)および(c)で言及される情報を、要請に応じて管轄監督当局に提供するものとする。

第9条

サブプロセッサの使用

  1. オプション 1: 特定の事前許可 データ輸入者は、管理者の書面による事前の特定の許可がない限り、本条項に基づいてデータ輸出者に代わって実行される処理活動を二次処理者に再委託してはなりません。 データ輸入者は、少なくとも [期間を指定する] サブプロセッサが関与する前に、コントローラが許可を決定できるようにするために必要な情報とともに送信されます。 データ輸出者にそのような関与を通知するものとします。 コントローラによってすでに許可されているサブプロセッサのリストは、付録 III にあります。 当事者は、附属書 III を最新の状態に保つものとします。オプション 2: 一般書面による許可 データ輸入者は、合意されたリストに含まれる副処理者を関与させるための管理者の一般的な許可を有します。 データ輸入者は、少なくとも副処理者の追加または置き換えを通じてそのリストに意図された変更を書面で管理者に通知するものとします。期間を指定する]を事前に設定することで、サブプロセッサが関与する前に、そのような変更に異議を唱えることができる十分な時間をコントローラに与えます。 データ輸入者は、管理者が異議を唱える権利を行使できるようにするために必要な情報を管理者に提供するものとします。 データ輸入者はデータ輸出者に副処理者の関与を通知するものとします。
  2. データ輸入者が特定の処理活動を (管理者に代わって) 実行するよう副処理者に委託する場合、データを拘束するものと実質的に同じデータ保護義務を規定する書面による契約によって行うものとします。データ主体の第三者受益権の観点を含む、本条項に基づく輸入者。 (【4]) 両当事者は、本条項を遵守することにより、データ輸入者が第 8.8 条に基づく義務を履行することに同意します。 データ輸入者は、本条項に従ってデータ輸入者が課せられる義務を副処理者が遵守することを保証するものとします。
  3. データ輸入者は、データ輸出者または管理者の要求に応じて、かかる再処理者契約およびその後の修正のコピーを提供するものとします。 ビジネス秘密や個人データを含むその他の機密情報を保護するために必要な範囲で、データ輸入者はコピーを共有する前に契約書の本文を編集することができます。
  4. データ輸入者は、データ輸入者との契約に基づく副処理者の義務の履行について、データ輸出者に対して引き続き全責任を負うものとします。 データ輸入者は、副処理者がその契約に基づく義務を履行しなかったことをデータ輸出者に通知するものとします。
  5. データ輸入者は、再処理者と第三者受益者条項に同意するものとします。これにより、データ輸入者が事実上失踪した場合、法的に存在しなくなった場合、または破産した場合、データ輸出者は再受益者契約を解除する権利を有するものとします。処理者契約を締結し、副処理者に個人データを消去または返却するよう指示します。

第10条

データ主体の権利

  1. データインポート者は、データ主体から受け取ったリクエストを、データエクスポータと、必要に応じて管理者に速やかに通知するものとし、管理者の許可がない限り、そのリクエストには応答しません。
  2. データ輸入者は、必要に応じて、データ輸出者と協力して、規制 (EU) 2016/679 または規制 (EU) 2018/1725 に基づく権利行使を求めるデータ主体の要求に応じる義務を果たす管理者を支援するものとします。 、 該当します。 この点に関して、締約国は、援助が提供される処理の性質、並びに必要とされる援助の範囲及び範囲を考慮して、適切な技術的及び組織的措置を附属書IIに定めるものとする。
  3. (a) および (b) 項に基づく義務を履行する際、データ輸入者は、データ輸出者から通知された管理者からの指示に従うものとします。

第11条

救済

  1. データ輸入者は、苦情を処理する権限を与えられた連絡先を、個別の通知またはウェブサイトを通じて、透明性があり簡単にアクセスできる形式でデータ主体に通知するものとします。 データ主体から受け取った苦情には速やかに対処するものとします。[オプション: データ輸入者は、データ主体が独立機関に苦情を申し立てることもできることに同意します。ispute 解像度本体 (【5]) データ主体には費用はかかりません。 パラグラフ (a) に規定されている方法で、そのような救済メカニズムについてデータ主体に通知し、データ主体がそれを使用したり、救済を求める際に特定の手順に従う必要がないことを通知するものとします。]
  2. 広告の場合isp本条項の遵守に関してデータ主体と一方の当事者との間で協議が行われた場合、当該当事者は問題を適時に友好的に解決するために最善の努力を払うものとします。 両当事者は、かかる事項について相互に情報を提供し続けるものとします。ispそして、必要に応じて問題の解決に協力します。
  3. データ主体が第 3 条に従って第三者受益権を行使する場合、データ輸入者は以下に基づくデータ主体の決定を受け入れるものとします。
    1. 常居所もしくは勤務先の加盟国の監督当局、または第 13 条に基づいて管轄監督当局に苦情を申し立てる。
    2. dを参照してくださいisp第 18 条の意味の範囲内で管轄裁判所に訴えます。
  4. 両当事者は、規制 (EU) 80/1 の第 2016 条 (679) に定められた条件の下で、データ主体が非営利団体、組織、または団体によって代表される場合があることを承認します。
  5. データ輸入者は、適用される EU または加盟国の法律に基づいて拘束力のある決定に従うものとします。
  6. データ輸入者は、データ主体による選択によって、適用法に従って救済を求める実質的および手続き上の権利が損なわれないことに同意します。

第12条

負債

  1. 各当事者は、本条項の違反によって他方の当事者に生じた損害について、他方の当事者に対して責任を負うものとします。
  2. データ輸入者はデータ主体に対して責任を負い、データ主体は、データ輸入者またはその副処理者が第三者受益者の権利を侵害することによってデータ主体に引き起こした重大または非物質的損害について、補償を受ける権利を有するものとします。本条項に基づき。
  3. (b) 項にかかわらず、データ輸出者はデータ主体に対して責任を負うものとし、データ主体は、データ輸出者またはデータ輸入者 (またはその再処理者) が受けた重大または非物質的損害について補償を受け取る権利を有するものとします。本条項に基づく第三者受益者の権利を侵害することにより、データ主体に損害を与えることになります。 これは、データ輸出者の責任、およびデータ輸出者が管理者の代理を務める処理者である場合には、規制 (EU) 2016/679 または規制 (EU) 2018/1725 に基づく管理者の責任を損なうものではありません。該当します。
  4. 両当事者は、データ輸出者がデータ輸入者 (またはその再処理者) によって引き起こされた損害についてパラグラフ (c) に基づいて責任を負う場合、データ輸入者に対して、損害賠償額の一部を請求する権利があることに同意します。損害に対する責任はデータ輸入者にあります。
  5. 本条項の違反の結果としてデータ主体に生じた損害に対して複数の当事者が責任を負う場合、すべての責任ある当事者が連帯して責任を負い、データ主体はこれらのいずれかに対して法廷で訴訟を起こす権利を有します。パーティー。
  6. 両当事者は、一方の当事者がパラグラフ(e)に基づいて責任を負う場合、他方の当事者に対して、損害に対する自らの責任に対応する補償金の一部を請求する権利を有することに同意する。
  7. データ輸入者は、自らの責任を回避するために下請け処理者の行為を援用することはできません。

第13条

監督

  1. [データ輸出者が EU 加盟国に設立されている場合:] 付属書 IC に示されているように、データ転送に関する規則 (EU) 2016/679 へのデータ輸出者の遵守を確保する責任を負う監督当局が、管轄当局として機能するものとします。監督当局。

    [データ輸出者が EU 加盟国に設立されていないが、第 2016 条 (679) に従って規則 (EU) 3/2 の適用地域範囲内にあり、第 27 条 (1) に従って代表者を任命している場合規則 (EU) 2016/679 の):] 付属書 IC に示されているように、規則 (EU) 27/1 の第 2016 条(679)の意味における代表者が設置されている加盟国の監督当局が行動するものとする権限ある監督当局として。

    [データ輸出者が EU 加盟国に設立されていないが、第 2016 条に従って代表者を任命する必要がなく、第 679 条(3)に従って規則 (EU) 2/27 の適用地域範囲内にある場合規則 (EU) 2/2016 の (679):] 商品またはサービスの提供に関連して本条項に基づいて個人データが転送されるデータ主体、またはデータ主体の行動が管轄するいずれかの加盟国の監督当局。付属書 IC に示されているように、監視され、所在が特定されている場合は、管轄監督当局として機能するものとします。

  2. データ輸入者は、本条項の遵守を確実にすることを目的としたあらゆる手続きにおいて、管轄監督当局の管轄に従い、協力することに同意します。 特に、データ輸入者は、問い合わせに対応し、監査に提出し、是正措置や補償措置を含む監督当局が採用した措置に従うことに同意します。 必要な措置が講じられたことを書面で確認するものを監督当局に提供するものとする。

セクション III – 公的機関によるアクセスの場合の現地法および義務

第14条

本条項の遵守に影響を与える現地の法律および慣行

    1. 両当事者は、個人データの開示要件や公的機関によるアクセスを許可する措置を含む、データ輸入者による個人データの処理に適用される仕向地の第三国における法律および慣行が、個人データの保護を妨げると信じる理由がないことを保証します。データ輸入者は本条項に基づく義務を履行できなくなります。 これは、基本的な権利と自由の本質を尊重し、EU規則第23条第1項に列挙されている目的の2016つを守るために民主主義社会において必要かつ相応のものを超えない法律と慣行であるという理解に基づいています。 ) 679/XNUMX は、これらの条項と矛盾していません。
    2. 両当事者は、(a) 項の保証を提供する際に、特に以下の要素を適切に考慮したことを宣言します。
      1. 処理チェーンの長さ、関係するアクターの数、使用される送信チャネルなど、転送の特定の状況。 意図された将来の転送。 受信者の種類。 処理の目的。 転送される個人データのカテゴリと形式。 移転が行われる経済部門。 転送されたデータの保存場所。
      2. 転送の特定の状況、および適用される制限および保護手段に照らして関連する、目的地である第三国の法律および慣行(公的機関へのデータの開示を要求する法律およびそのような当局によるアクセスの許可を含む)【6]);
      3. 本条項に基づく保護策を補足するために導入された関連する契約上、技術的または組織的な保護策。これには、送信中および目的地国での個人データの処理に適用される措置が含まれます。
    3. データ輸入者は、パラグラフ (b) に基づく評価を実施する際に、データ輸出者に関連情報を提供するために最善の努力を払ったことを保証し、本条項の遵守を確保するためにデータ輸出者と引き続き協力することに同意します。
    4. 両当事者は、パラグラフ(b)に基づく評価を文書化し、要求に応じて管轄監督当局が利用できるようにすることに同意する。
    5. データ輸入者は、本条項に同意した後、契約期間中に、パラグラフに基づく要件に従わない法律または慣行の対象となる、または対象となっていると信じる理由がある場合、データ輸出者に速やかに通知することに同意するものとします。 (a) これには、第三国の法律の変更、またはパラグラフ (a) の要件と一致しない実際の当該法律の適用を示す措置 (開示要求など) に続く場合が含まれます。 データエクスポーターは通知をコントローラーに転送するものとします。
    6. (e) 項に基づく通知後、またはデータ輸出者がデータ輸入者が本条項に基づく義務を履行できなくなったと信じる理由がある場合、データ輸出者は適切な手段 (例:セキュリティと機密性)は、状況に対処するためにデータ輸出者および/またはデータ輸入者が、適切であれば管理者と協議して採用する必要があります。 データ輸出者は、データ転送に対する適切な保護手段が確保できないと判断した場合、または管理者または管轄監督当局からそうするよう指示された場合、データ転送を一時停止するものとします。 この場合、データ輸出者は、本条項に基づく個人データの処理に関する限り、契約を解除する権利を有するものとします。 契約に 16 つ以上の当事者が関与する場合、データ輸出者は、当事者間で別段の合意がない限り、関連する当事者に関してのみこの解除の権利を行使することができます。 本条項に従って契約が終了する場合、第 XNUMX 条(d)および(e)が適用されるものとします。

第15条

公的機関によるアクセスがあった場合のデータ輸入者の義務

15.1 通知

    1. データ輸入者は、以下の場合には、データ輸出者と、可能な場合にはデータ主体に(必要な場合はデータ輸出者の協力を得て)速やかに通知することに同意します。
      1. 本条項に従って転送された個人データの開示について、目的国の法律に基づいて司法当局を含む公的機関から法的拘束力のある要求を受け取った場合。 かかる通知には、要求された個人データ、要求当局、要求の法的根拠、および提供された応答に関する情報が含まれるものとします。 また
      2. 目的地の国の法律に従い、本条項に従って転送された個人データへの公的機関による直接アクセスを認識する。 この通知には、輸入者が入手可能なすべての情報が含まれるものとします。データ輸出者は、通知を管理者に転送するものとします。
        • データ輸入者が仕向国の法律に基づいてデータ輸出者および/またはデータ主体に通知することが禁止されている場合、データ輸入者は可能な限りの連絡を行うことを目的として、禁止の免除を得るために最善の努力を払うことに同意します。情報をできるだけ早く。 データ輸入者は、データ輸出者の要求に応じて実証できるように、最善の努力を文書化することに同意します。
        • 仕向国の法律で許容される場合、データ輸入者は、契約期間中定期的に、受信したリクエストに関する可能な限り多くの関連情報 (特に、リクエストの数、要求されたデータのタイプ、要求権限、要求に異議が申し立てられたかどうか、および OUtcoそのような挑戦の私など)。 データエクスポータは情報をコントローラに転送するものとします。
        • データ輸入者は、契約期間中、(a) から (c) 項に従って情報を保存し、要求に応じて所轄の監督当局が利用できるようにすることに同意します。
        • (a) から (c) 項は、第 14 条(e) および第 16 条に基づくデータ輸入者がこれらの条項を遵守できない場合にデータ輸出者に速やかに通知する義務を損なうものではありません。

      15.2 合法性とデータの最小化のレビュー

      1. データ輸入者は、開示要求の合法性、特に要求元の公的機関に付与された権限の範囲内にあるかどうかを検討し、慎重に評価した結果、以下のことを考慮する合理的な理由があると結論付けた場合には、要求に異議を申し立てることに同意します。その要求が、目的国の法律、国際法に基づいて適用される義務、および国際礼儀の原則に基づいて違法である場合。 データ輸入者は、同じ条件の下で、控訴の可能性を追求するものとします。 要求に異議を申し立てる場合、データ輸入者は、管轄司法当局がその本案について決定を下すまで、要求の効力を一時停止することを目的とした暫定措置を求めるものとします。 適用される手続き規則に基づいて要求されるまで、要求された個人データを開示しないものとします。 これらの要件は、第 14 条 (e) に​​基づくデータ輸入者の義務を損なうものではありません。
      2. データ輸入者は、法的評価および開示要求に対する異議申し立てを文書化し、仕向国の法律で許容される範囲で、その文書をデータ輸出者が利用できるようにすることに同意します。 また、要請に応じて所管監督当局がそれを利用できるようにするものとする。 データエクスポータは、管理者が評価を利用できるようにするものとします。
      3. データ輸入者は、開示請求に応じる際に、合理的な情報に基づいて、許容される最小限の情報を提供することに同意します。erp要求の再考。

      セクション IV – 最終条項

      第16条

      条項の不遵守と終了

      1. データ輸入者は、理由の如何を問わず、本条項を遵守できない場合には、データ輸出者に速やかに通知するものとします。
      2. データ輸入者が本条項に違反した場合、または本条項を遵守できない場合、データ輸出者は、遵守が再度確認されるか契約が終了するまで、データ輸入者への個人データの転送を一時停止するものとします。 これは第 14 条 (f) に影響を与えるものではありません。
      3. データ輸出者は、以下の場合、本条項に基づく個人データの処理に関する限り、契約を解除する権利を有するものとします。
        1. データ輸出者がパラグラフ (b) に従ってデータ輸入者への個人データの転送を一時停止し、本条項への準拠が合理的な期間内に、いかなる場合でも一時停止から XNUMX か月以内に回復されない場合。
        2. データ輸入者が本条項に重大なまたは継続的な違反をしている場合。 また
        3. データ輸入者は、本条項に基づく義務に関する管轄裁判所または監督当局の拘束力のある決定に従わなかった場合、データ輸入者は管轄監督当局および管理者にかかる不遵守を通知するものとします。 契約に XNUMX つ以上の当事者が関与する場合、データ輸出者は、当事者間で別段の合意がない限り、関連する当事者に関してのみこの解除の権利を行使することができます。
      4. (c) 項に従って契約終了前に転送された個人データは、データ輸出者の選択により、直ちにデータ輸出者に返還されるか、全体が削除されるものとします。 データのコピーについても同様とします。 データ輸入者は、データ輸出者に対してデータの削除を証明するものとします。 データが削除または返却されるまで、データ輸入者は引き続き本条項の遵守を確保するものとします。 データ輸入者に適用される現地法が、転送された個人データの返却または削除を禁止している場合、データ輸入者は、引き続き本条項の遵守を確保し、必要な範囲および期間のみデータを処理することを保証します。その現地の法律に基づいて義務付けられています。
      5. いずれの当事者も、(i) 欧州委員会が、本条項が適用される個人データの転送を対象とする規則 (EU) 45/3 の第 2016 条 (679) に基づく決定を採択した場合、本条項に拘束される合意を取り消すことができます。 または (ii) 規制 (EU) 2016/679 は、個人データが転送される国の法的枠組みの一部となります。 これは、規制 (EU) 2016/679 に基づいて問題の処理に適用される他の義務を損なうものではありません。

      第17条

      準拠法

      [オプション 1: これらの条項は、EU 加盟国のいずれかの法律に準拠するものとします (ただし、その法律で第三者の受益者の権利が認められる場合)。 両当事者は、これが_______ (加盟国を指定する)。]

      [オプション 2: これらの条項は、データ輸出者が設立されている EU 加盟国の法律に準拠するものとします。 当該法律が第三者受益者の権利を認めていない場合には、第三者受益者の権利を認めている他の EU 加盟国の法律に準拠するものとします。 両当事者は、これが_______ (加盟国を指定する)。]

      第18条

      法廷地と管轄権の選択

      1. 任意のdispこれらの条項から生じる問題は、EU 加盟国の裁判所によって解決されるものとします。
      2. 両当事者は、それらが______の裁判所であることに同意する(加盟国を指定する).
      3. データ主体は、常居所を有する加盟国の裁判所にデータ輸出者および/またはデータ輸入者に対して法的手続きを起こすこともできます。
      4. 両当事者は、かかる裁判所の管轄に従うことに同意します。

      付録

      解説:

      各転送または転送のカテゴリーに適用される情報を明確に区別し、これに関連して、データ輸出者および/またはデータ輸入者としての両当事者のそれぞれの役割を決定できなければなりません。 これは必ずしも、譲渡/譲渡のカテゴリーおよび/または契約関係ごとに個別の付録を記入して署名する必要はなく、この透明性は XNUMX つの付録で実現できます。 ただし、十分な明確性を確保するために必要な場合は、別の付録を使用する必要があります。

      附属書I

      A. 当事者のリスト

      データエクスポーター:[データ輸出者の身元と連絡先の詳細、および該当する場合はそのデータ保護担当者および/または欧州連合の代表者の身元および連絡先の詳細]

      • 名前: …………………………………

        住所: ………………………………。

        担当者の氏名、役職および連絡先の詳細:…………。
        ………………………………………………………..

        本条項に基づいて転送されるデータに関連するアクティビティ:
        ................................................................
        ................................................................

        署名と日付:………………

        役割 (コントローラー/プロセッサー):

      • ..........

      データインポーター:[データ輸入者の身元および連絡先の詳細(データ保護の責任を負う連絡担当者を含む)]

      • 名前: ………………………………。

        住所: ……………………………..

        担当者の氏名、役職および連絡先の詳細: ………。
        …………………………………………………

        本条項に基づいて転送されるデータに関連するアクティビティ:
        ................................................................
        ................................................................

        署名と日付: ………………

        役割 (コントローラー/プロセッサー):

      • .............

      B. 譲渡の説明

      個人データが転送されるデータ主体のカテゴリ
      ...
      転送される個人データのカテゴリ
      ...
      機密データが転送され(該当する場合)、データの性質とそれに伴うリスクを十分に考慮した制限または保護手段が適用されます。たとえば、厳密な目的制限、アクセス制限(専門トレーニングを受けたスタッフのみがアクセスできることを含む)、データへのアクセスの記録、転送の制限、または追加のセキュリティ対策。
      ...
      転送の頻度 (たとえば、データが XNUMX 回限りで転送されるか、継続的に転送されるか)。
      ...
      処理の性質
      ...
      データ転送およびさらなる処理の目的
      ...
      個人データの保存期間、またはそれが不可能な場合はその期間を決定するために使用される基準
      ...
      (サブ) プロセッサへの転送の場合は、件名も指定します mattえー、処理の性質と期間
      ...

      C. 所管の監督当局

      第 13 条に従って管轄監督当局を特定する
      ...

      附属書II

      データのセキュリティを確保するための技術的および組織的措置を含む技術的および組織的措置

      解説:

      技術的および組織的な対策は、一般的な用語ではなく、具体的な用語で説明する必要があります。 付録の最初のページにある一般的なコメント、特に各移転/一連の移転にどの措置が適用されるかを明確に示す必要性についても参照してください。

      処理の性質、範囲、状況、目的、および権利のリスクを考慮した、適切なレベルのセキュリティを確保するためにデータインポート者によって実施される技術的および組織的対策の説明(関連する認証を含む)そして自然人の自由。

      【考えられる対策の例】

      個人データの仮名化および暗号化の措置

      処理システムとサービスの機密性、完全性、可用性、回復力を継続的に確保するための措置

      物理的または技術的な事故が発生した場合に、個人データの可用性とアクセスをタイムリーに復元できるようにするための措置

      処理のセキュリティを確保するために、技術的および組織的対策の有効性を定期的にテスト、評価、評価するためのプロセス

      ユーザーの識別と認可のための措置

      送信時のデータ保護対策

      保管時のデータ保護対策

      個人データが処理される場所の物理的セキュリティを確保するための措置

      イベントログを確実に記録するための対策

      デフォルト構成を含むシステム構成を確保するための措置

      社内ITおよびITセキュリティのガバナンス・管理対策

      工程や製品の認証・保証への取り組み

      データ最小化を確実にするための措置

      データの品質を確保するための措置

      限られたデータ保持を確保するための措置

      説明責任を確保するための措置

      データのポータビリティを可能にし、確実に消去するための措置]

      (サブ) プロセッサへの転送についても、 管理者への支援、および処理者から副処理者への転送、データ輸出者への支援を提供できるように、(サブ)処理者がとるべき具体的な技術的および組織的措置を説明する

      ...

      附属書III

      サブプロセッサーのリスト

      解説:

      この附属書は、副処理者に特別な権限を与える場合に記入する必要があります (第 9 条(a)、オプション 1)。

      コントローラーは次のサブプロセッサーの使用を許可しました。

      • 名前: ……………。
        住所: …………..
        担当者の氏名、役職、連絡先詳細: …
        処理の説明 (複数の副処理者が認可されている場合の責任の明確な境界を含む): ……………………..
      • …………………。

      【1] データ輸出者が規制 (EU) 2016/679 の対象となる処理者であり、欧州連合の機関または団体を代表して管理者として活動する場合、規制 (EU) 2016/ の対象外の別の処理者 (サブ処理) と契約する場合は、本条項に依存する必要があります。また、679 は、欧州連合の機関、団体による個人データの処理に関する自然人の保護に関する 29 年 4 月 2018 日の欧州議会および理事会の規則 (EU) 1725/23 の第 2018 条(45) の遵守を保証します。 、オフィスおよび政府機関、およびそのようなデータの自由な移動、および規則 (EC) No 2001/1247 および決定 No 2002/XNUMX/EC の廃止 (OJ L 295、21.11.2018 年 39 月 XNUMX 日、p. XNUMX)、本条項と、規制 (EU) 29/3 の第 2018 条 (1725) に基づく管理者と処理者の間の契約またはその他の法的行為に定められたデータ保護義務が一致する範囲で。 これは特に、管理者と処理者が決定 2021/915 に含まれる標準契約条項に依存する場合に当てはまります。

      【2] 規則 (EU) 28/4 の第 2016 条(679) を参照し、管理者が EU の機関または団体の場合は規則 (EU) 29/4 の第 2018 条(1725) を参照してください。

      【3]  欧州経済地域協定 (EEA 協定) は、欧州連合の域内市場をアイスランド、リヒテンシュタイン、ノルウェーの EEA XNUMX か国に拡大することを規定しています。 連邦データ保護法sla規制 (EU) 2016/679 を含む規制は EEA 協定の対象となっており、その附属書 XI に組み込まれています。 したがって、データ輸入者による EEA 内の第三者への開示は、本条項の目的上、転送とはみなされません。

      【4] この要件は、第 7 条に従って、適切なモジュールに基づいてこれらの条項に同意するサブプロセッサによって満たされる場合があります。

      【5] データインポーターは、独立したデータを提供する場合があります。isp仲裁機関を通じた解決は、仲裁判断の執行に関するニューヨーク条約を批准した国に設立された場合に限ります。

      【6] これらの法律および慣行が本条項の遵守に及ぼす影響に関しては、総合的な評価の一部としてさまざまな要素が考慮される場合があります。 このような要素には、十分に代表的な期間をカバーする、公的機関からの開示要求の過去の事例、またはそのような要求が存在しなかった場合の、関連し文書化された実務経験が含まれる場合があります。 これは特に、デューデリジェンスに従って継続的に作成され、上級管理レベルで認証された内部記録またはその他の文書を指しますが、この情報が合法的に第三者と共有される場合に限ります。 この実際の経験に基づいて、データ輸入者が本条項を遵守することを妨げられないと結論付ける場合、それは他の関連する客観的な要素によって裏付けられる必要があり、これらの要素が共に十分な内容を備えているかどうかを当事者が慎重に検討する必要があります。この結論を裏付けるために、信頼性と代表性の観点から重要性を評価します。 特に、当事者は、同じ分野内での要請の有無および/または実際の法律の適用に関する公的に入手可能な、またはその他の方法でアクセス可能な信頼できる情報によって、その実務経験が裏付けられ、矛盾していないかどうかを考慮する必要があります。判例法や独立した監督機関による報告書など。