ESETオンラインヘルプ

検索 日本語
トピックを選択

データ処理契約

欧州議会および2016年4月27日に行われた協議会で決定された、個人データの処理に伴う自然人の保護、およびかかるデータの自由な移動に関する規制(EU) 2016/679の要件、ならびに指令95/46/ECの廃止(「GDPR」)に従い、供給者(「処理者」)およびお客様(「管理者」)は、個人データの処理、データ保護の方法に関する契約条件を定義し、主契約として本条項の主題を履行する過程において、管理者の代理としてデータ主体の個人データを処理する際の両当事者のその他の権利と義務を定義する目的で、データ処理契約関係を締結します。

1.個人データ取扱い。これらの条項に従って提供されるサービスには、プライバシーポリシーに記載されている特定された自然人または特定可能な自然人に関連する情報(「個人データ」)の処理が含まれます。

2.許可。管理者は、処理者が次の手順を含む個人データを処理することを許可します。

(i) 「処理の目的」とは、これらの条項に従ったサービスの提供を意味するものとする処理者は、管理者が要求したサービスの提供に関して管理者の代理として個人データを処理することのみが許可されています。他の目的で収集されたすべての情報は、管理者と処理者の契約上の関係外で処理されます。

(ii) 処理期間は、これらの条項の下における協力の開始時点からサービスの解除までの期間を意味するものとする

(iii) 個人データの範囲と分類本サービスは、一般的な個人データの処理のみとを目的としています。ただし、管理者は個人データ範囲の決定についてのみ責任を負います。

(iv) 「データ主体」とは、管理者のデバイスの許可されたユーザーである自然人を意味するものとする

(v) 処理業務とは、処理に必要なすべての業務を意味するものとする

(vi) 「文書化された手順」とは、これらの条項、付録、プライバシーポリシー、およびサービスのドキュメントに記載された手順を意味するものとする管理者は、データ保護法の該当する条項に関して、処理者が個人データを処理することを法的に認める責任を負うものとします。

3.処理者の義務。処理者は次の義務を負うものとします。

(i) 文書化された手順を根拠とし、条項、付録、プライバシーポリシー、サービスドキュメントで定義された目的でのみ個人データを処理する。

(ii) 違反の場合に、その責任において、許可された個人(「許可された個人」)に、GDPRに従った権利と義務に関する個人データの処理を指示し、許可された個人が機密保持契約を遵守し、文書化された指示に従っていることを保証する。

(iii) 条項、付録、プライバシーポリシー、およびサービスドキュメントに記載された対策を導入し、それに従う。

(iv) データ主体の権利に関連するデータ主体からの要求に対応して管理者を支援する。処理者は、管理者の指示なく、個人データの処理を修正、削除、または制限しないものとします。管理者の代理として処理された個人データに関連するデータ主体からのすべての要求は、遅延なく管理者に転送されるものとします。

(v) 監督当局およびデータ主体に対する個人データ違反の通知について管理者を支援する。処理者は、個人データの処理の違反または個人データのセキュリティの侵害を検出した場合すみやかに管理者に通知するものとします。処理者は、このような違反の調査および修正において合理的な範囲で協力し、さらなる悪影響を制限するために合理的な対策を講じるものとします。

(vi) 処理期間の終了後に、すべての個人データを削除するか、管理者に返却する管理者の選択。管理者は、処理期間の終了後、10日以内に決定について処理者に通知する責任を負います。この条項は、公共の利益、科学的研究目的、統計目的、または法的請求の確立、行使、または防御の目的で、データをアーカイブするために必要な範囲に限り、個人データを保持する処理者の権利に影響を及ぼさないものとします。

(vii) 管理者の代理として実行した処理活動のすべての分類について、最新の記録を保持する

(viii) 条項、付録、プライバシーポリシー、およびサービス文書の一部としてコンプライアンスを実証するために必要なすべての情報を管理者に提供する。管理者側からの個人データ処理の監査または統制の場合には、管理者は監査または統制予定日の少なくとも30日前までに書面で処理者に通知する義務を負うものとします。

4.別の処理者の関与。処理者は、これらの条項と付録、プライバシーポリシー、およびサービスドキュメントに準拠して、サービスのためのクラウドストレージおよびインフラストラクチャの準備といった特定の処理活動を実行するために、他の処理者を関与させることが認められています。現在、Microsoftは、Azureクラウドサービスの一部としてクラウドストレージとインフラストラクチャを提供しています。このような場合であっても、処理者は単独の窓口であり、コンプライアンスに責任を負う当事者であるものとします。処理者は、かかる変更に反対する可能性の目的で、別の処理者の追加または交換について管理者に通知する責任を負うものとします。

5.処理の地域。処理者は、管理者の決定に基づき、欧州経済地域または欧州委員会の決定による安全な国であると指定された国で処理が行われることを保証します。標準契約条項は、管理者の要求に応じて、欧州経済地域または欧州委員会の決定による安全な国であると指定された国以外での転送および処理に適用されるものとします。

6.セキュリティ。処理者はISO 27001:2013の認証を受け、ネットワーク、オペレーティングシステム、データベース、アプリケーション、要員および業務プロセスの改造でセキュリティ統制を適用するときには、ISO 27001フレームワークを使用して、階層型の防御セキュリティ戦略を実装します。規制要件および契約要件の遵守は、他のインフラストラクチャおよび処理者の業務に対して同様に定期的に評価され、確認されます。また、コンプライアンスのための必要な手順が継続的に実施されます。処理者は、ISO 27001に基づき、ISMSを使用して、データセキュリティを整理しました。セキュリティドキュメントには、情報セキュリティ、物理セキュリティおよび装置のセキュリティ、インシデント管理、データ漏えいおよびセキュリティインシデントの対応などのポリシー文書が主に含まれています。

7.技術的および組織的な対策。処理者は、偶発的および不法な損害および破壊、偶発的な損失、変更、不正なアクセスおよび開示に対して個人データを保護するものとします。この目的のために、処理者は、処理のモードと、GDPRの要件に準拠して、データ主体の権利の処理によって提示されるリスクに対応する適切な技術的および組織的な対策を採用するものとします。技術的および組織的な対策の詳細については、セキュリティポリシーを参照してください。

8.処理者の連絡先情報。個人データ保護に関するすべての通知、要求、要望、他の連絡事項は、ESET, spol. s.r.o.ESET, spol. s.r.o.: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.