データ処理契約
DPA
標準 DPA · バージョン 1.0 · EvaluationsHub Vockam SAS による
ここをクリックして署名してください copy
| 本契約の当事者 | |
| コントローラー | [顧客企業名]([法域]に設立、登記上の所在地:[住所])(以下「管理者」という) |
| プロセッサ | Vockam SAS、フランスの簡易行動協会 (SAS)、登録番号899272736 RCS Meaux、1 Boulevard du huit mai 1945、77260 La Ferté-sous-Jouarre、フランス、営業中 EvaluationsHub (「プロセッサー」) |
| 発効日 | [日付] |
| 準拠法 | フランス法とEU一般データ保護規則(GDPR) |
| 管轄 | フランス、パリの裁判所 |
このデータ処理契約(「DPA」)は、Vockam SAS(運営会社)が発行する標準データ処理契約です。 EvaluationsHub) を顧客に提供します。これは、上記の当事者間のマスターサービス契約または利用規約 (「主要契約」) の一部を構成し、処理者がコントローラーに代わって個人データを処理する条件を規定します。 EvaluationsHub サービス。下記に署名することにより、管理者はこのデータ処理契約の条項に同意したものとみなされます。
- 定義
本データ処理契約において、以下の用語はそれぞれ以下の意味を有するものとします。
| データ保護法 | データ保護およびプライバシーに関するすべての適用法令。これには、EU一般データ保護規則2016/679(「GDPR」)、フランスデータ保護法(Loi Informatique et Libertés)、および随時改正または置き換えられる適用国内実施法令が含まれます。 |
| 個人データ | GDPR第4条(1)に規定される意味を有する:特定された、または特定可能な自然人に関するあらゆる情報。 |
| 処理 | GDPR第4条(2)に規定される意味を有する:個人データに対して行われるあらゆる操作。 |
| データ主体 | 個人データが関連する、特定された、または特定可能な自然人。 |
| 個人情報漏えい | GDPR第4条(12)に規定される意味を有する:個人データの偶発的または違法な破壊、損失、改ざん、不正な開示、またはアクセスにつながるセキュリティ侵害。 |
| サブプロセッサ | 処理者が管理者の代理として個人データを処理するために雇用した第三者。 |
| 標準契約条項(SCC) | 2021年6月4日付欧州委員会実施決定(EU)2021/914(個人データの第三国への移転に関する標準契約条項に関するもの。随時更新される。) |
| EEA | 欧州経済領域。 |
| TOMs | 附属書2に記載されている技術的および組織的措置。 |
- 範囲と期間
2.1 主題。プロセッサーは、サプライヤー関係管理(SRM)および顧客体験評価プラットフォーム(「EvaluationsHub)。処理者は、基本契約に基づきこれらのサービスを提供するために必要な範囲でのみ個人データを処理します。
2.2 有効期間。本データ処理契約は、処理者が主契約に基づき個人データを処理する限り有効です。主契約の終了または満了に伴い、本データ処理契約は自動的に終了しますが、第8条(データの削除または返却)に基づく義務は存続します。
- 指示に基づいてのみ処理
3.1 文書化された指示。処理者は、EU法または加盟国法によって義務付けられている場合を除き、本データ処理契約または基本契約に定められた管理者からの文書化された指示に基づいてのみ個人データを処理するものとします。このような場合、処理者は、公共の利益を理由として法律で禁止されている場合を除き、処理を行う前に管理者にその法的要件を通知するものとします。
3.2 競合の通知。処理者は、管理者からの指示がデータ保護法に違反すると判断した場合、直ちに管理者に通知し、問題が解決されるまで関連する処理を一時停止することができる。
3.3 担当者の機密保持。処理者は、個人データの処理を許可されたすべての担当者が、契約上または法令上の機密保持義務を遵守することを保証しなければならない。
- セキュリティ
4.1 適切な措置。処理者は、附属書2に定める技術的および組織的措置(TOM)を実施し、維持しなければならない。これらの措置は、処理の性質、範囲、状況、目的、ならびにデータ主体の権利および自由に対するリスクを考慮し、リスクに見合ったレベルのセキュリティを確保するものでなければならない。
4.2 TOMの更新。処理者は、TOMを随時更新または変更することができます。ただし、かかる更新によって提供されるセキュリティの全体的なレベルが著しく低下することはありません。処理者は、セキュリティ対策の重大な低下については、少なくとも30日前までに管理者に通知するものとします。
4.3 職員研修。データ処理者は、個人データにアクセスするすべての職員が、データ保護義務およびセキュリティ対策に関する適切かつ定期的な研修を受けることを保証しなければならない。
- サブプロセス
5.1 一般承認。管理者は、本条項5の条件に従い、付属書3に記載されているサブプロセッサーを雇用するための一般書面承認をプロセッサーに付与する。
5.2 下請け処理者の義務。処理者は、下請け処理者を雇用する前に、当該下請け処理者に対し、本データ保護契約に規定されているものと同等のデータ保護義務を課さなければならない。特に、適切な技術運用方法(TOM)を実施するための十分な保証を提供しなければならない。処理者は、下請け処理者の行為および不作為について、管理者に対して全責任を負う。
5.3 サブプロセッサーの変更。プロセッサーは、サブプロセッサーのリストに変更(追加または変更)を加える場合は、少なくとも30日前までに書面でコントローラーに通知しなければなりません。コントローラーは、通知受領後15日以内に、合理的な理由に基づき、かかる変更に異議を申し立てることができます。コントローラーが異議を申し立て、プロセッサーがその異議に対応できない場合、コントローラーは書面による通知をもって、違約金なしで関連サービスを終了することができます。
5.4 非EEAサブプロセッサー。サブプロセッサーがEEA域外の、欧州委員会が十分なデータ保護水準を提供していると認めていない国に所在する場合、プロセッサーは、個人データを当該サブプロセッサーに転送する前に、適切な転送メカニズム(例:標準契約条項)が整備されていることを確認しなければなりません。現在の非EEAサブプロセッサーについて確認済みの転送メカニズムは、付録3に詳述されています。
- 国際データ転送
6.1 主要ストレージ。個人データは主にEEA域内で保存および処理され、EU(アイルランドおよびフランクフルトリージョン)のAWSインフラストラクチャが使用されます。
6.2 EEA域外への移転。個人データが十分性認定の対象とならないEEA域外の国に移転される場合、処理者は移転前に以下のいずれかの保護措置が講じられていることを確認しなければなりません。(a)関連するサブプロセッサーとの間でEU標準契約条項(2021/914)が締結されていること、または(b)GDPR第46条で認められているその他の合法的な移転メカニズムが適用されていること。各サブプロセッサーに適用される保護措置の詳細は、付録3に記載されています。
6.3 通知。処理者は、第6.2項に記載されている保護措置が有効でなくなった場合、または重大な変更があった場合は、速やかに管理者に通知しなければならない。
- データ主体の権利に関する支援
7.1 データ主体からの要求。処理の性質を考慮し、処理者は、GDPR第III章に基づく権利(アクセス権、訂正権、消去権、制限権、データポータビリティ権、異議申立権を含む)を行使するデータ主体からの要求に対応する義務を果たすために、適切な技術的および組織的措置を実施することにより、管理者を支援するものとする。
7.2 要求の転送。処理者は、データ主体から直接要求を受け取った場合、5営業日以内にそれを管理者へ転送しなければならず、法律で義務付けられている場合を除き、管理者の事前の書面による許可なしに要求に自ら対応してはならない。
7.3 さらなる支援。処理者は、管理者が以下の義務を確実に遵守できるよう支援するものとする。(a) 処理のセキュリティ(GDPR第32条)、(b) 監督当局およびデータ主体への個人データ侵害の通知(GDPR第33条~34条)、(c) データ保護影響評価および事前協議(GDPR第35条~36条)。
- 個人データ侵害通知
8.1 管理者への通知。処理者は、本データ処理契約に基づいて処理される個人データに影響を与える個人データ侵害を認識した後、遅滞なく、いかなる場合でも72時間以内に管理者に通知するものとします。
8.2 通知の内容。当該通知には、その時点で判明している範囲で、以下が含まれるものとする。(a) 侵害の性質の説明(対象となるデータ主体および個人データ記録のカテゴリと概数を含む)。(b) 処理者のデータ保護担当者の氏名および連絡先(team@evaluationshub(c) 侵害の可能性のある結果の説明、および (d) 侵害に対処するために講じられた、または提案された措置の説明(緩和措置を含む)。
8.3 追加情報。最初の通知時にすべての情報が入手できない場合、処理者は、情報が入手可能になり次第、遅滞なく段階的に追加情報を提供するものとします。
8.4 記録保持。処理者は、事実、影響、および講じられた是正措置を含むすべての個人データ侵害を記録し、要求に応じて管理者に当該記録を提供するものとする。
- Data Retention
9.1 保存期間。処理者は、別紙1に定める目的のために必要な期間を超えて個人データを保存してはならない。書面による別段の合意がない限り、以下の最大保存期間が適用される。
| データカテゴリ | 保持期間 |
| アクティブユーザーアカウントデータ | 主契約の期間 |
| 業績評価と査定 | 作成から3年間(ただし、それ以前に削除が要求された場合を除く) |
| ログイン認証情報(アクセスログ) | 制作から12ヶ月 |
| バックアップコピー | 主契約の終了日から90日 |
| 監査ログ | 作成から3年(法的義務) |
- データの削除または返却
10.1 終了時。主契約の終了または満了時に、処理者は、管理者の選択により、書面による要求を受け取ってから30日以内に、(a) すべての個人データを一般的に使用される機械可読形式で安全に管理者に返却するか、または (b) 欧州連合または加盟国の法律で継続的な保管が要求されない限り、すべての個人データ(およびそのすべてのコピー)を安全に削除および破棄するものとします。
10.2 確認。処理者は、削除または返却処理完了後30日以内に、削除または返却の書面による確認を管理者に提供するものとする。
10.3 残存コピー。処理者は、サブ処理者も本条項10に従って個人データを削除または返却するように商業的に合理的な努力を払うものとする。
- 監査権
11.1 情報。処理者は、本データ処理契約およびGDPR第28条の義務を遵守していることを証明するために合理的に必要なすべての情報を管理者に提供するものとします。
11.2 監査。処理者は、管理者または管理者が委任した監査人が実施する検査を含む監査を許可し、これに協力するものとする。ただし、以下の条件に従うものとする。(a) 管理者が少なくとも 30 日前に書面で通知すること。(b) 監査は暦年ごとに 1 回を超えて実施されないこと (個人データ侵害の疑いがある場合を除く)。(c) 監査は通常の営業時間内に、業務の中断を最小限に抑える方法で実施されること。(d) 監査の費用は、監査で重大な不遵守が明らかになった場合を除き、管理者が負担すること。重大な不遵守が明らかになった場合は、処理者が費用を負担するものとする。
11.3 認証。管理者の要請に基づき、処理者は、該当する場合、オンサイト監査に代えて、またはオンサイト監査に加えて、関連する第三者認証(取得済みのISO 27001など)のコピーまたはセキュリティ評価概要を提供するものとします。処理者は現在、ISO 27001認証の取得に取り組んでいます。
- データ保護影響評価
12.1 処理者は、GDPR第35条に基づき要求されるデータ保護影響評価(DPIA)の実施において、管理者に対し、以下の方法で合理的に協力するものとする。(a) 実施中の処理業務、リスク、およびTOMに関する関連情報を提供する。(b) 合理的な通知に基づいて協議会議に参加する。(c) 附属書1に記載されている処理活動に関する書面による問い合わせに速やかに回答する。
- 負債
13.1 責任限度額。適用法で認められる最大限の範囲において、本データ処理契約に基づき、または本データ処理契約に関連して、処理者が管理者に対して負う総責任額(契約違反、不法行為、過失、その他を問わず)は、請求の原因となる事象が発生した直前の12ヶ月間に管理者が処理者に支払った、または支払うべき料金の総額(以下「責任限度額」という)を超えないものとします。請求発生時点で主契約の期間が12ヶ月未満である場合、責任限度額は、主契約に基づき現在までに支払われた、または支払われるべき料金の総額とします。
13.2 責任限度額の適用除外。責任限度額は、以下のものには適用されません。(a) 当事者の過失によって生じた死亡または人身傷害に対する責任。(b) 当事者の詐欺または虚偽表示に対する責任。(c) 適用法によって除外または制限できない責任。
13.3 相互責任。GDPR違反によって生じた損害について両当事者が責任を負う場合、各当事者はGDPR第82条に従い、それぞれの責任分担分について責任を負うものとします。第13.1条の責任上限は、当該責任における処理者の負担分に適用されます。
13.4 損害軽減。各当事者は、相手方当事者による本データ処理契約の違反の結果として被る損失または損害を軽減するために、合理的な措置を講じるものとする。
- 準拠法および管轄裁判所
14.1 本データ処理契約は、フランス法およびGDPRを含む適用されるEU法に準拠し、それに従って解釈される。
14.2 本データ処理契約から生じる、または本契約に関連する紛争は、適用法で別段の定めがある場合を除き、フランスのパリの裁判所の専属管轄に服するものとします。
- 署名
下記に署名することにより、両当事者は本データ処理契約の条項に同意するものとします。
| 管理者(顧客)のために、また管理者に代わって | Vockam SAS(プロセッサー)のために、またVockam SASを代表して |
| フルネーム: _______________________________ | フルネーム: Bert パエスブルッヘ |
| タイトル: ____________________________________ | 役職:Vockam SAS 創業者兼CEO |
| 会社: _________________________________ | 会社: Vockam SAS |
| 署名: | 署名: |
付属文書1 ― 処理活動の説明
| データ主体のカテゴリー | • 顧客の従業員および承認されたプラットフォームユーザー • 顧客のサプライヤーおよびベンダーの代表者 |
| 個人データの種類 | • 氏名と役職 • 業務用メールアドレス • 業務連絡先情報(電話番号、住所) • 仕入先および顧客名 • 業績評価データ • プラットフォームのログイン認証情報(一方向ハッシュ値としてのみ保存され、平文の認証情報は一切保持されません) • ユーザーの行動および使用ログ |
| 処理の性質 | 個人データの収集、保管、検索、使用、開示(承認されたユーザーへの開示)、および削除。 |
| 処理の目的 | サプライヤーと顧客の評価、リスク評価、およびSRMプラットフォームの管理を容易にするため、 EvaluationsHub サービス。 |
| 法的根拠(管理者の根拠) | 管理者は、GDPR第6条に基づく処理の法的根拠(例:第6条(1)(b) - 契約の履行、または第6条(1)(f) - 正当な利益)を特定し、文書化する責任を負います。 EvaluationsHub 個人データは管理者の指示に基づいてのみ処理され、法的根拠は決定されません。 |
附属書2 ― 技術的及び組織的措置(TOM)
| Measure | 製品の導入 |
| 保管時の暗号化 | AWS S3およびRDSデータベースに保存されるすべての個人データは、AES-256暗号化によって保護されます。 |
| 転送中の暗号化 | すべてのデータ送信にはTLS 1.2以上を使用してください。TLS 1.0および1.1は無効です。 |
| アクセス制御 | 厳格な役割ベースアクセス制御(RBAC)。個人データへのアクセスは、必要最小限の範囲でのみ許可されます。 |
| 認証 | 個人データにアクセスするすべてのスタッフおよび管理者アカウントには、二段階認証(2FA)が必須です。 |
| 認証情報の取り扱い | ユーザーのパスワードは、一方向ソルト付きハッシュ(bcryptまたは同等の暗号化方式)としてのみ保存されます。平文のパスワードは保存もログ記録もされません。 |
| データレジデンシー | すべての個人データは、AWS EUリージョン(アイルランド/フランクフルト)に保存されます。有効な転送メカニズムが確立されていない限り、個人データはEEA域外に複製されません(付録3を参照)。 |
| バックアップと回復力 | EU域内のAWSアベイラビリティゾーンに自動的に毎日バックアップが保存されます。RPO(復旧目標時点):24時間。RTO(復旧目標時間):8時間。 |
| 監査ログ | すべてのデータアクセス、変更、削除イベントについて、変更不可能なログが保持されます。ログは3年間保持されます。 |
| 脆弱性管理 | プロセッサーのセキュリティプログラムに基づき、定期的なセキュリティテストを実施しています。プロセッサーはISO 27001認証の取得に向けて積極的に取り組んでいます。重大な脆弱性については、リスクの優先順位に基づいて対処しています。 |
| インシデント対応 | 文書化されたインシデント対応計画は維持され、毎年テストされます。処理者は、個人データ侵害が確認された場合、72時間以内に管理者に通知することを約束します(第8条参照)。 |
| サプライヤー管理 | 下請け業者は、契約締結前にデータ保護に関するデューデリジェンスおよび契約上のデータ保護義務を負う。 |
付属書3 ― 承認された下請け業者
以下のサブプロセッサーは、発効日現在において承認されています。プロセッサーは、第5.3条に従い、変更の30日前までに通知するものとします。
| サブプロセッサ | 目的 | 国 | 転送メカニズム | データカテゴリ |
| Amazon Webサービス(AWS) | クラウドインフラストラクチャとホスティング | EEA(アイルランド/フランクフルト) | 妥当性 — EEA域内を拠点とし、AWS DPAを導入済み | すべての個人データ |
| Stripe | 支払い処理(該当する場合) | USA | SCC(モジュール2:コントローラ・プロセッサ間)が実行されました | 請求先連絡先名、メールアドレス、支払いメタデータのみ |
| Zoho Corporation | CRM、メールキャンペーン、サポートチャット | アメリカ/インド | SCC(モジュール2)が実行されました。ZohoのEUデータ居住オプションが有効になっています。注:Zoho内のAI機能によって処理されるデータの範囲は、Zoho独自のDPAおよびプライバシー文書によって規定されており、zoho.com/privacy.htmlで入手できます。 | 氏名、メールアドレス、ビジネス連絡先情報 |
| ピタンジェント・テクノロジーズ | ソフトウェア開発と保守 | India | SCC(モジュール2:コントローラー・プロセッサー間)が実行されました。アクセスは匿名化データ/テストデータのみに制限されます。コントローラーの同意なしに本番環境の個人データにアクセスすることはできません。 | 通常のコースでは匿名化/仮名化されたデータのみ |
| Mixpanel | プラットフォーム利用状況分析 | USA | SCC(モジュール2)が実行されました。EUデータレジデンシーが有効になりました。 | 匿名化されたユーザーの行動および使用ログのみ |
* EvaluationsHub (Vockam SAS)は、上記に記載されているすべての非EEAサブプロセッサーとの間でSCCおよび/または同等の転送メカニズムが実施されていることを保証します。関連するSCCのコピーは、team@宛ての書面によるリクエストにより、コントローラーが入手できます。evaluationshub。com。
