本データ処理補遺は、別表1および2(「DPA」)を含み、米国カリフォルニア州サンフランシスコ市マーケットストリート575番地4階を主たる事業所とするデラウェア州の企業であるSojern, Inc.(以下「Sojern」)が必要とする基本条件を定めています。本DPAの目的上、本DPAが組み込まれた契約(以下に定義)の当事者である会社を「会社」と呼びます。
」契約」とは、該当するデータ提供者またはサービス契約に基づく目的でSojernが個人データを受領、収集、アクセス、またはその他の方法で処理する当事者間のあらゆる契約を意味します。本DPAには、本契約の諸条件および以下に定める内容が組み込まれています。DPAと本契約の間に矛盾が生じた場合は、本DPAの条件が優先されるものとします。本書で使用されていても定義されていない大文字の用語はすべて、本契約に規定されているそれぞれの意味を持つものとします。
」個人データ」とは、直接的または間接的に識別できる、識別された、または識別可能な自然人に関するあらゆる情報を意味します。
」サービス」とは、本契約に基づいてSojernまたは当社が提供するサービス(該当する場合)を意味します。
本契約に従ってSojernが実施する処理の目的のために、Sojernが処理する個人データに関するデータ処理者またはデータ管理者としてのSojernの役割は、該当する契約に規定されるものとします。
本契約または当社が書面で明示的に許可する場合を除き、Sojernは、直接的または間接的に (a) 個人データを第三者に開示、販売、配布、または送信したり、(b) 本契約に基づいて当社にサービスを提供する以外の目的で、また適用されるすべてのプライバシーおよびデータ保護法に従って、個人データを使用したりしません。Sojernは、個人データを処理する権限を与えられた各人が、当該個人データに関する守秘義務の対象となることを保証します。
各当事者は、適用されるプライバシーおよびデータ保護法に基づく義務を理解していることを証明し、適用されるすべてのプライバシーおよびデータ保護法に従って個人データを処理するものとします。Sojernがデータ処理者として行動する場合、Sojernは、当該処理が適用されるプライバシーおよびデータ保護法に準拠していないことが規制当局から別途通知されない限り、本契約に文書化および指示されたとおりに処理を行います。この場合、Sojernは、当該規制上の通知を速やかに当社に書面で通知し、規制上の問題が解決されるまで個人データの処理を中止することがあります。
適用されるデータ保護法で義務付けられている範囲で、当社は、適用されるプライバシーおよびデータ保護法で許可されている目的でのみ個人データを処理するようSojernに指示し、本契約で指定された限定的かつ特定の目的でのみ個人データをSojernに開示するものとします。当社は、合理的な通知に基づき、Sojernが、適用されるプライバシーおよびデータ保護法に基づくSojernの義務に沿った方法で転送された個人データを使用することを確実にするために、合理的かつ適切な措置を講じる権利を留保します。これには、個人データの不正使用を停止および是正するための合理的かつ適切な措置が含まれます。Sojernは、適用されるプライバシーおよびデータ保護法に基づく義務を果たせなくなったと判断した場合、会社に通知するものとします。
各当事者は、個人データの処理に関する書面または電子記録を保持します。各当事者は、Sojernが適用されるプライバシーおよびデータ保護法および本契約に基づく義務を遵守していることを確認できるように、データ影響評価、処理の記録、データ保護当局への関連する要求または協議、および該当する契約に従った監査に関して、適用されるプライバシーおよびデータ保護法の遵守において、相手方当事者と合理的に協力するものとします。
両当事者は、Sojernが個人データをSojernに提供した個人と直接的な関係を維持していないことを認めます。そのため、適用されるプライバシー法およびデータ保護法で義務付けられている場合、当社はSojernプライバシーポリシーを以下のURLで公開します。 https://www.sojern.com/privacy/privacy-policy/ 個人データがSojernによって処理される個人へ。
当社は、当社の個人データの収集、使用、開示に関して、適用されるプライバシーおよびデータ保護法の要求に応じて、個人に通知し、同意を得るものとします。適用されるプライバシー法およびデータ保護法が、オプトアウト権を含むがこれに限定されない権利を行使できる仕組みを義務付けている場合、当社(または当社に代わって個人データの収集に責任を負う他の当事者)は、そのような仕組みを個人に提供するものとします。当社は、個人データをSojernに提供したすべての個人から、適切な通知を行い、必要に応じて適切な同意を得たとみなされます。当社は、当社が当該個人から適切な同意を得たことの証明を、Sojernの要請に応じていつでも速やかに提出するものとします。
各当事者は、本契約に基づく個人データの処理および適用されるプライバシーおよびデータ保護法に基づくプライバシー権に関する個人からの要求または苦情に応えて、相手方当事者と合理的に協力します。Sojernが個人から請求を受けた場合、Sojernは速やかに、(a) 要求を管理するためにその要求を当社に転送し、(b) Sojernがデータ処理者である場合は、要求の管理方法に関する当社の決定を実施します。
両当事者は、米国以外(欧州経済地域(EEA)、英国、スイスを含む)から発信された個人データが、関連するプライバシーおよびデータ保護法の下で適切な保護を確保していると認められている国または地域のSojernに転送または処理される可能性があることを認めます。また、両当事者は、適用されるプライバシーおよびデータ保護法に従って第三国への個人データの合法的な移転を可能にする標準契約条項以外の解決策(以下、「移転ソリューション」)に従って当該個人データをSojernに転送する場合があることにも同意します。これには、参加団体が個人データを適切に保護することを保証するものとして認められた、承認されたデータ保護の枠組みが含まれますが、これらに限定されません。
米国以外(欧州経済地域(EEA)、英国、またはスイスを含む)から発信された個人データがSojernに転送される場合、データ処理には当社所在国の法律に基づく妥当性が必要であり、妥当性判断または移転ソリューションは適用されず、本DPAの条件によって必要な妥当性が満たされる場合、両当事者は、本DPAが参考までに(EU)を組み込むことに同意します。) 2021/914 欧州委員会標準契約条項 (以下に基づく) 第三国への個人データの移転に関する標準契約条項規則(EU)2016-679への適用は、EU/EEA管理者がEU/EEA外に設立された処理者に適用するか(「モジュール2」)、および/またはEU/EEAの管理者がEU/EEA外に設立された管理者に適用し(「モジュール1」)、欧州委員会によって随時修正または置き換えられる規則(以下、総称して「条項」といいます)。便宜上、上記のハイパーリンク先の条項は、以下に基づいて作成されています。 テキスト 条項を本契約に組み込むこと、適切なモジュールを選択すること、および条項で許可されているように付録に情報を追加することのみを目的として、欧州委員会により提供されています。個人データの転送に関しては、会社が「データ輸出者」、Sojernが「データ輸入者」となります(会社がEU/EEA外に所在する事業体であっても、当社が規制(EU)2016-679の対象となる場合に限ります)。本条項が適用される場合、当社とSojernはそれぞれの名前でかつ自己の代理として本条項を締結したものとみなされ、両当事者の氏名、住所、連絡先、役割、および本条項に基づいて転送された個人データに関連する活動は、本契約に記載されます。本契約の履行は、本条項の履行、具体的には本条項の附属書I.Aの履行とみなされるものとします。本DPAの条件と条項との間に矛盾がある場合は、該当する条項が優先されるものとします。
各当事者は、個人データを不正または違法な処理から、また偶発的な損失、破壊、または損害から保護するために、適切な技術的、物理的、組織的な対策を実施および維持するものとします。
当社は、個人データの処理のために他のデータ処理者(「サブプロセッサ」)を使用する一般的な許可をSojernに付与します。これらの処理者は、本DPAおよび以下に記載されている該当するプライバシーおよびデータ保護法に従い、機密保持およびデータ保護義務に拘束されます。 www.sojern.com/legal/partner-list/。本契約で義務付けられている場合、またはSojernがデータ処理者として活動している場合、Sojernは、上記のリストを更新して、サブプロセッサーの追加または交換に関する変更を当社に通知します。これにより、会社はかかる変更に異議を申し立てることができます。異議申し立ての指示は同じURLに記載されています。当社が合理的に変更に異議を唱え、Sojernがそのような異議を解決できない場合、当社は本契約およびDPAを終了することができます。
本DPAは、(a) 本契約の効力が存続し、(b) Sojernが個人データのコピーを保持するまでの間、完全に効力を有するものとします。いずれの当事者も、本DPAの重大な違反があった場合、または当事者による個人データの処理が適用されるプライバシーおよびデータ保護法に重大な違反があると判断した場合、直ちに本DPAを終了することができます。ただし、違反していない当事者は違反の申し立てについて通知する必要があり、当該違反は通知後15日間は未解決のままであるものとします。
本DPAは、抵触法の規定にかかわらず、米国カリフォルニア州の法律に基づいて作成されたものとみなされ、同法に従って解釈されるものとします。
旅行者およびその他の当社の顧客
当社が転送する個人データは、本契約に従って提供され、以下を含む場合がありますが、これらに限定されません。
[なし]
該当する契約の期間中、継続的に
クッキーやその他の追跡技術の使用によるオンラインブラウジング情報の収集。
データ輸出者とデータ輸入者との間の契約に基づいて提供されるサービスに関連するあらゆる合法的な目的、特にオンライン閲覧情報に基づくターゲット広告のため。これ以上の処理は許可されません。
該当する契約期間中、データ輸出者の選択による場合を除き、個人データが削除または返却されます。
サブプロセッサは、次の場所にあります。 www.sojern.com/legal/partner-list/ モデル1の第9 (a) 項で許可されているとおり。
付属書I.Cに示されているように、商品またはサービスの提供に関連して本条項に基づいて個人データが転送されるか、行動が監視されているデータ主体が所在する加盟国のいずれかの加盟国の監督機関は、管轄の監督機関として機能するものとします。
1。将軍。Sojernは、個人データの不正または違法な処理、および個人データの偶発的な損失、破壊、または損害を防ぐための適切な管理的、技術的、組織的対策を確立、実施、維持します。これらの措置は、適用されるデータ保護法を遵守するのに十分であり、ソジャーンは情報セキュリティポリシーおよび情報セキュリティプログラムを常に遵守します。
2。情報セキュリティポリシーと基準。Sojernは、情報セキュリティの方針、基準、手順を維持します。これらの方針、基準、および手順は最新の状態に保たれ、個人データを使用または保存する情報システムに関連する変更が加えられるたびに改訂されるものとします。
3。脆弱性管理。Sojernは、個人データを処理するすべてのシステムの脆弱性管理プログラムを維持します。これには、リスク評価結果を含む内部および外部の脆弱性スキャン、および特定された脆弱性に対処するための正式な修復計画が含まれますが、これらに限定されません。
4。リスクアセスメント。Sojernは、定期的にリスク評価を実施して、個人データを含む記録のセキュリティ、機密保持、完全性に対する合理的に予測可能なリスクを特定して評価し、必要に応じて、それらのリスクを制限するための保護措置の有効性を評価および改善します。
5。データ分類。Sojernは、機密情報資産を分類するための方針と手順を維持し、セキュリティ責任を明確にし、全従業員の意識向上を図ります。
6。暗号化。Sojernは、業界標準の暗号化メカニズムと強力な暗号スイート (AES 256ビットが推奨) をストレージと転送用に実装します。Sojern は暗号化されたチャネル (TLS を推奨) 経由の接続を受け付けます。
7。ネットワークセキュリティ。Sojernは、ファイアウォール、侵入検知システム、アクセス制御リスト、ルーティングプロトコルを含むがこれらに限定されない、市販の機器と業界標準技術を利用する多層防御アプローチを採用することでネットワークの安全を確保します。
8。ウイルスとマルウェアの制御。Sojernは、個人データを悪質なコードから保護し、個人データを扱うすべてのシステムにウイルス対策ソフトウェアとマルウェア保護ソフトウェアをインストールして維持します。
9。アクセス制御。Sojernは、個人データへのアクセスを業務上必要とする組織内の人にのみ許可し、権限は特定の職務を遂行するために必要な最低限の権限に制限する、最小権限の原則を実践します。
10。処理場所。個人データは米国のSojernによって処理されますが、適用されるデータ保護法には別段の義務がある場合があります。
11。インシデント対応。Sojernはデータセキュリティインシデント対応プログラムを維持し、疑わしいデータセキュリティインシデントをすべて文書化します。Sojernは、あらゆるデータセキュリティインシデントを調査し、データセキュリティインシデントを排除または封じ込めるために必要なすべての措置を講じます。
12。人員。Sojernは、情報セキュリティ意識向上および研修プログラムを維持し、データ保護対策と一般的なサイバーセキュリティ保護についてSojernの重要スタッフを訓練します。
13。ベンダー。Sojernは、Sojernが個人データを交換するすべてのベンダーを評価するベンダー管理プログラムを維持します。このようなベンダーは、ここに定めるものと同じくらい厳しいデータセキュリティ基準に従うことになります。