データ処理契約
最終更新日:2024年9月23日
本データ処理契約(以下「本契約」)は、Proton AG(所在地:Route de la Galaise 32, 1228 Plan-les-Ouates, Switzerland、会社識別番号:CHE-354.686.492、以下「処理者」)と、Protonのサービスを利用する会社(以下「会社」)との間の、Proton AGの利用規約(以下「主契約」)に基づくサービス契約の一部を構成するものです。
本契約は、会社によるProtonサービスの利用がデータ保護法の対象となる個人データの処理を伴う範囲において、データ保護法の特定の要件を規定するものです。
本契約は、当社のプライバシーポリシーを補完するものであり、プライバシーポリシーは、当社のデータ保護慣行および対策の主要な参照資料として機能します。
本契約の期間は、主契約の期間に従うものとします。 本契約で定義されていない用語は、主契約で定められた意味を持つものとします。
前提事実
A) 会社はデータ管理者(以下「管理者」)として行動します。
B) 会社は、個人データの処理を伴う特定のサービス(以下に定義)を、データ処理者(以下「処理者」)として行動するProton AGに再委託することを希望します。
C) 両当事者は、データ処理に関する現在の法的枠組みの要件、および個人データの処理に関する自然人の保護ならびに当該データの自由な移動に関する2016年4月27日の欧州議会および理事会の規則(EU)2016/679(一般データ保護規則)、ならびに指令95/46/ECを廃止するその他の適用されるデータ保護法に準拠したデータ処理契約の実施を目指します。
D) 両当事者は、その権利および義務を定めることを希望します。
よって、以下のとおり合意する:
1. 定義および解釈
本DPA(データ処理契約)で別途定義されない限り、本DPAで使用される頭文字が大文字の用語および表現は、以下の意味を持つものとします:
1.1) 「契約」とは、本データ処理契約およびすべての付属書類を意味します。
1.2) 「会社の個人データ」とは、主契約に関連して処理される、会社または会社の顧客もしくは従業員に関連するあらゆる個人データを意味します。
1.3) 「契約処理者」とは、復処理者を意味します。
1.4) 「データ保護法」とは、EUデータ保護法、および適用される範囲で、その他の国のデータ保護法またはプライバシー法を意味します。
1.5) 「EEA」とは、欧州経済領域を意味します。
1.6) 「EUデータ保護法」とは、各加盟国の国内法に置き換えられ、GDPRおよびGDPRを実施または補完する法律によって随時修正、置換、または優先されるEU指令95/46/ECを意味します。
1.7) 「GDPR」とは、EU一般データ保護規則2016/679を意味します。
1.8) 「データ移転」 とは、以下を意味します:
- 1.8.1) 管理者から処理者または契約処理者への会社の個人データの移転、または
- 1.8.2) 処理者から復処理者への、または復処理者の2つの拠点間での会社の個人データの再移転。
1.9) 「サービス」とは、処理者が提供するオンラインのセキュアなサービス、例えばメール、カレンダー、ドライブ、および処理者によって開発されたその他のサービスを意味します。 サービスの詳細と価格は、処理者のウェブサイトで確認できます。
1.10) 「復処理者」とは、本契約に関連して管理者の代わりに個人データを処理するために、処理者によって、または処理者に代わって任命された者を意味します。
「委員会」、「管理者」、「データ主体」、「加盟国」、「個人データ」、「個人データ侵害」、 「処理」、および「監督機関」という用語は、GDPRまたはその他の適用されるデータ保護法におけるものと同じ意味を持つものとし、その関連用語もそれに従って解釈されるものとします。
2. 会社の個人データの処理
処理者は、以下を行うものとします:
2.1) 会社の個人データの処理において、適用されるすべてのデータ保護法を遵守すること。
2.2) 第2条に記載の管理者による文書化された指示以外で会社の個人データを処理しないこと。
管理者は、以下の目的のために会社の個人データを処理するよう処理者に指示します:
2.3) サービスおよび関連する技術サポートを提供するため。
2.4) 法的義務を履行するため、または紛争を解決するため。
2.5) サービスのセキュリティ、プライバシー、機密性、および機能を最適化することを目的とした内部タスクを実行するため。
2.6) 内部報告、財務報告、およびその他同様の内部タスクを実行するため。
3. 処理者の人員
処理者は、会社の個人データにアクセスする可能性のある契約処理者の従業員、代理人、または請負業者の信頼性を確保するために合理的な措置を講じるものとします。その際、各場合において、アクセスが主契約の目的のために、および/または契約処理者に対する個人の職務の文脈でデータ保護法およびその他の関連法規を遵守するために厳密に必要な、関連する会社の個人データを知る/アクセスする必要がある個人に厳密に限定されることを保証し、かかるすべての個人が守秘義務契約または専門的もしくは法的な守秘義務を負うことを保証するものとします。
4. セキュリティ
GDPR第32条(1)に従い、処理者は、技術水準、実施コスト、および処理の性質、範囲、文脈、目的を考慮して、リスクに適したレベルのセキュリティを確保するために、適切な技術的および組織的措置を講じるものとします。 これらの措置は、個人データ侵害のリスクを含む、様々な可能性と深刻度のリスクを考慮し、自然人の権利と自由を保護するように設計されるものとします。
処理者はまた、処理活動に関連するリスクを評価し、GDPR第32条(1)に定められた要件と一致する措置を適用し、常に会社の個人データのセキュリティを確保するものとします。
5. 復処理
本契約を条件として、会社は、処理者が復処理者を関与させ、会社の個人データを彼らに開示または移転するための包括的な許可を与えます。 会社は、処理者のプライバシーポリシーに概説されている復処理者のリストを承認し、このリストが処理者によって定期的に更新される可能性があることを理解します。その場合、会社はプライバシーポリシーの通知プロセスに従って処理者から通知を受けるものとします。 さらに、会社は、処理者がその企業グループ内のいかなる会社にも個人データを開示および移転することを許可します。
処理者は、復処理者が提供するサービスの性質に適用される範囲で、会社の個人データの保護に関して、本契約と同等以上に制限的かつ保護的な契約を処理者と締結することを保証します。
6. データ主体の権利
処理の性質を考慮し、処理者は、データ保護法に基づくデータ主体の権利を行使する要求に対応する会社の義務を履行するために、会社を合理的に支援するものとします。
処理者は、以下を行うものとします:
6.1) データ保護法に基づきデータ主体から会社の個人データに関する要求を受け取った場合、速やかに会社に通知すること。および
6.2) 管理者からの文書化された指示による場合、または処理者が従うべき適用法によって要求される場合を除き、その要求に応答しないことを保証すること。後者の場合、処理者は、契約処理者が要求に応答する前に、適用法で許可される範囲で、その法的要件について管理者に通知するものとします。
7. 個人データ侵害
処理者は、適用されるデータ保護法および社内の個人データ侵害手順に従って、あらゆる個人データ侵害を管理するものとします。 会社の個人データに影響を及ぼす個人データ侵害が発生した場合、処理者は遅滞なく会社に通知し、会社が必要に応じてデータ主体に通知することを含め、データ保護法に基づく義務を履行できるように十分な情報を提供するものとします。 そのような場合、処理者は、会社がデータ保護法に基づき個人データ侵害を報告またはデータ主体に通知する義務を果たすことを可能にする十分な情報を会社に提供するものとします。
処理者は、会社と協力し、会社が指示する合理的な商業的措置を講じて、各個人データ侵害の調査、軽減、および修復を支援するものとします。
各当事者は、データ侵害が当該当事者によって引き起こされた範囲で、調査、修復、軽減、およびその他の関連費用を負担するものとします。
各当事者は、本契約に基づく義務の違反から生じる範囲で、権限のある規制機関、政府機関、または管轄裁判所によって課される罰金、科料、損害賠償、またはその他の関連費用の費用を負担するものとします。
8. データ保護影響評価および事前協議
処理者は、管理者がGDPR第35条もしくは第36条、またはその他のデータ保護法の同等規定によって要求されると合理的にみなす、データ保護影響評価および監督機関またはその他の管轄データプライバシー当局との事前協議について、会社に合理的な支援を提供するものとします。これは、各場合において、契約処理者による会社の個人データの処理にのみ関連し、処理の性質および契約処理者が利用可能な情報を考慮した上で行われます。
9. 会社の個人データの削除または返還
会社の個人データの処理を伴うサービスの提供が終了した場合、処理者は、適用法で許可される範囲で、かつ処理者の利用規約およびプライバシーポリシーに従って、すべての会社の個人データを削除するものとします。 会社が自社データのコピーを必要とする場合は、アカウントの削除前に要求する必要があります。アカウントが削除された後の要求は、もはや考慮されません。
10. 監査権
第10条に従い、処理者は、会社の要求に応じて本契約の遵守を証明するために必要なすべての情報を提供し、契約処理者による会社の個人データの処理に関連して、会社または会社が委任した監査人による監査(検査を含む)を許可し、それに貢献するものとします。 会社は、個人データ侵害の後、または規制当局からの指示があった場合を除き、暦年に1回を超えて監査権を行使しないものとします。 会社は、本契約に基づき処理者を監査する意向を、少なくとも60日前に書面で処理者に通知するものとします。 監査は処理者の営業時間中に行われ、処理者の業務を妨げず、会社、処理者、およびその他のデータ主体の個人データの保護を確保するものとします。 処理者と会社は、監査に適用される日付、範囲、期間、およびセキュリティと機密性の管理について、事前に相互に合意するものとします。 会社は、監査の実施に先立ち、管理者によって秘密保持契約の署名が要求される場合があることを承認します。
会社の情報および監査権は、本契約がデータ保護法の関連要件を満たす情報および監査権を他に与えていない範囲においてのみ、第10条に基づき発生します。
11. データ移転
可能な限り、処理者は、art.に規定されているように、スイス、EU内の国、および/または十分性認定の対象国にのみデータを移転または移転を承認するものとします。 GDPR第45条およびart. スイス連邦データ保護法(FADP)第16条。 本契約に基づき処理される個人データが、スイス、EU域内の国、または十分性認定の対象国からこの範囲外の国に移転される場合、両当事者は、個人データが適切に保護されることを保証するものとします。 これを達成するため、両当事者は、別段の合意がない限り、スイス、EU、および/または英国が承認した、その時点で有効な個人データ移転のための標準契約条項、またはデータ保護法で定められたその他の移転メカニズムに依拠するものとします。 処理者は、移転の性質に関して適切な保護措置が実施されていることを条件として、復処理者への当該移転を実行することを許可されるものとします。
12. 一般条項
適用法の遵守。 処理者は、本契約および本契約に基づくその役割に適用されるデータ保護法に従って、会社の個人データを処理します。 処理者は、会社の事業または業界の性質上、会社にのみ適用されるデータ保護法を遵守する責任を負いません。
機密保持。 各当事者は、本契約に関連して相手方当事者およびその事業について受領したいかなる情報(以下「機密情報」)も秘密に保持しなければならず、以下の場合を除き、相手方当事者の事前の書面による同意なしに、その機密情報を使用または開示してはなりません:
(a) 法律により開示が要求される場合。
(b) 関連情報が、両当事者の責に帰すべき事由によらず、すでに公知である場合。
通知。 本契約に基づくすべての通知および連絡は、書面で行い、メールで送信されるものとします。 管理者への通知は、主契約に基づくサービスの利用に関連するアドレスに送信されるメールによって行われるものとします。 処理者への通知は、legal@proton.meのアドレスに送信されるメールによって行われるものとします。
準拠法および管轄。 本契約は、法選択または抵触法の規定にかかわらず、スイス法に準拠するものとし、本契約、注文書、参照により組み込まれた文書、Protonの技術、またはサービスから、あるいはそれらに関連して生じる紛争、訴訟、請求、または訴因は、スイスのジュネーブの専属的管轄権に服するものとします。
本規約の英語版と翻訳版との間に矛盾がある場合は、英語版が優先されるものとします。