ESET Services – 目次

標準契約条項

標準契約条項の補遺

(モジュール4:処理者から管理者への移転)

  1. 標準契約条項の本補遺(2021/914/EU)(以下、「補遺」)は、ESETプロフェッショナルサービスおよびセキュリティサービスの提供に関する利用規約(以下、「規約」)の不可分の一部であり、利用規約に従って、ESETはお客様にプロフェッショナルサービスおよびセキュリティサービス(以下、「サービス」)を提供し、本補遺を参照します。
  2. 両当事者が、欧州議会および2016年4月27日に行われた協議会で決定された、個人データの処理に伴う自然人の保護、およびかかるデータの自由な移動に関する規制(EU)2016/679、ならびに指令95/46/ECの廃止(以下、「GDPR」)に従い、欧州委員会が採用した標準契約条項を締結する必要がある場合、ならびにサービス提供時に必要に応じて、欧州経済地域または欧州委員会の決定によって安全な国であると指定された国以外での個人データの転送および処理が発生する限りにおいて、本補遺が適用されるものとします。
  3. 本補遺の特定の条項に別段の定めがない限り、本補遺に含まれる特定の用語の意味は、規約およびその補遺A - データ処理契約(以下、「DPA」)で定義されているとおりとします。
  4. 適用法の変更または標準契約条項に関する欧州委員会の決定変更(GDPRに従って欧州委員会が新しい標準データ保護条項を採択した場合など)により、本補遺の変更が必要な場合には、ESETは随時、本補遺を一方的に変更することができるものとします。このような場合、ESETは、本補遺のかかる変更が有効になる30日以上前にお客様に電子メール通知を送り、専用のWebサイトで公開する義務を負います。また、ESETは関連条項において規約の一方的な変更について規定されている条件と同じ条件下で、本補遺を一方的に変更することができます。
  5. 規約に同意することにより、ESETとお客様は、さらなる履行を必要とせずに欧州委員会の標準契約条項(2021/914/EU)(以下、「標準契約条項」)を規約に組み込む本補遺に拘束されることに同意するものとします。標準契約条項は、この補遺の不可欠な部分を形成し、さらなる履行を必要とせずに適用されるものとします。本補遺と規約との間に矛盾が生じた場合、本補遺の規定が優先されるものとします。
  6. 本規約の両当事者は、標準契約条項に関して特に以下の点について合意します。
    1. 第11条 - 救済 – この任意の段落は含まれないものとします。
    2. 第17条 - 準拠法 - 本補遺は、スロバキア法に準拠するものとします。
    3. 第18条 - 法廷地および管轄権の選択 - 本補遺により生じる紛争は、スロバキア共和国の裁判所によって解決されるものとします。

スケジュール

標準契約条項

セクションI

第1条 目的と範囲

(a)これらの標準契約条項の目的は、個人データの処理に関する自然人の保護、および第三国への個人データの移転のためのかかるデータの自由な移動について、2016年4月27日の欧州議会および欧州理事会の規則(EU) 2016/679(一般データ保護規則)(1)の要件を遵守することです。

(b) 当事者:

(i) 付録I.Aに記載されている個人データを転送する自然人または法人、公的機関、部局、またはその他の組織(以下「事業体」)(以下、それぞれを「データ輸出者」)および

(ii) 付録I.Aに記載されている、本条項の当事者でもある別の事業体を介して、直接的または間接的にデータ輸出者から個人データを受け取る第三国の事業体(以下、それぞれを「データ輸入者」)

は本標準契約条項(以下、「条項」)に同意します。

(c) 本条項は、付録I.Bに規定されている個人データの移転に関して適用されます。

(d) ここで言及されている付録を含む本条項の付属書は、本条項の不可欠な部分を構成します。

第2条 本条項の効力及び不変性

(a) 本条項は、規則(EU) 2016/679の第46条(1)および第46条(2)(c)に従って、強制力のあるデータ主体の権利および効果的な法的救済を含む適切な保護措置を定め、管理者から処理者および/または処理者から処理者へののデータ移転に関して、規則(EU) 2016/679の第28条 (7)に基づく標準契約条項を定めています。適切なモジュールを選択する場合、または付属書の情報を追加または更新する場合を除き、これらは変更されないものとします。これは、当事者が本条項に定められた標準契約条項をより広範な契約に含めること、または他の条項または追加の保護措置を追加することを妨げるものではありません。ただし、直接的または間接的に本条項と矛盾したり、データ主体の基本的権利または自由を損なったりしない場合に限るものとします。

(b) 本条項は、規則(EU) 2016/679によりデータ輸出者が負う義務に影響を与えるものではありません。

第3条 第三者受益者

(a) データ主体は、以下の例外を除き、第三者の受益者として、データ輸出者および/またはデータ輸入者に対して本条項を行使し、施行することができます。

(i) 第1条、第2条、第3条、第6条、第7条

(ii) 第8条 – モジュール1:第8条5(e)および第8条9(b)、モジュール2:第8条1(b)、第8条9(a)、(c)、(d)および(e)、モジュール3:第8条1(a)、(c)、(d)および第8条9(a)、(c)、(d)、(e)、(f)および(g)、モジュール4:第8条1(b)および第8条3(b)

(iii) 第9条 – モジュール2:第9条(a)、(c)、(d)および(e)、モジュール3:第9条(a)、(c)、(d)および(e)、

(iv) 第12条 – モジュール1:第12条(a)および(d)、モジュール2および3:第12条(a)、(d)および(f)、

(v) 第13条、

(vi) 第15条1(c)、(d)および(e)、

(vii) 第16条(e)

(viii) 第18条 – モジュール1、2、3:第18条(a)および(b)、モジュール4:第18条

(b) 段落(a)は、規則(EU) 2016/679におけるデータ主体の権利に影響するものではありません。

第4条 解釈

(a) 本条項が規則(EU) 2016/679で定義されている用語を使用する場合、それらの用語は同規則と同じ意味を持つものとします。

(b) 本条項は、規則(EU) 2016/679の規定に照らして読み、解釈されるものとします。

(c) 本条項は、規則(EU) 2016/679に規定されている権利および義務と矛盾する方法で解釈されないものとします。

第5条 階層

本条項と、本条項への合意または締結時にすでに存在していた両当事者間の関連する契約の規定に矛盾がある場合は、本条項が優先されるものとします。

第6条 移転の説明

移転の詳細、特に移転される個人データのカテゴリと移転の目的は、付録I.Bに明記されています。

第7条 – 任意のドッキング条項

(a) 本条項の当事者でない事業体は、両当事者の合意があれば、付属書を完成させ、付録I.Aに署名することで、データ輸出者またはデータ輸入者として、いつでも本条項に加入することができます。

(b) 付属書を完成させ、付録I.Aに署名した後、加入事業体は本条項の当事者となり、付録I.Aにおける指定に従ってデータ輸出者またはデータ輸入者の権利と義務を有するものとします。

(c) 加入事業体は、当事者になる前の期間から本条項に基づいて生じる権利または義務を負わないものとします。

セクションII – 当事者の義務

第8条 データの保護措置

データ輸出者は、データ輸入者が適切な技術的および組織的措置の実施を通じて、本条項に基づく義務を履行できると判断するために、合理的な努力を払うことを保証します。

8.1 手順の

(a) データ輸出者は、管理者として行動するデータ輸入者からの文書化された指示に基づいてのみ個人データを処理するものとします。

(b) データ輸出者は、かかる指示が規則(EU) 2016/679またはその他のEUまたは加盟国のデータ保護法に違反する場合を含め、これらの指示に従うことができない場合、直ちにデータ輸入者に通知するものとします。

(c) データ輸入者は、復処理の文脈において、または管轄監督当局への協力など、データ輸出者が規則(EU) 2016/679における義務の履行を妨げるような行為を控えるものとします。

(d) 処理サービスの提供終了後、データ輸出者は、データ輸入者の選択に応じて、データ輸入者に代わって処理されたすべての個人データを削除し、データ輸入者にそのことを証明する、またはデータ輸入者に代わって処理されたすべての個人データをデータ輸入者に返却し、既存のコピーを削除するものとします。

8.2 処理のセキュリティ

(a) 両当事者は、転送中を含めデータのセキュリティを確保し、偶発的または違法な破損、紛失、改ざん、不正な開示またはアクセスにつながるセキュリティ侵害(以下「個人データ侵害」)に対する保護を確保するために、適切な技術的および組織的措置を実施するものとします。適切なセキュリティレベルを評価する際には、当事者は、最先端技術、実施コスト、個人データの性質(2)、処理の性質、範囲、文脈および目的、ならびにデータ主体の処理に伴うリスクを十分に考慮し、特に処理の目的を暗号化または仮名化で達成できる場合は、転送中を含めそれらの手段に頼ることを考慮するものとします。

(b) データ輸出者は、段落(a)に従ってデータの適切なセキュリティを確保するにあたって、データ輸入者を支援するものとします。本条項に基づいてデータ輸出者が処理する個人データに関する個人データ侵害が発生した場合、データ輸出者は、侵害に気づいた後、不当な遅滞なくデータ輸入者に通知し、データ輸入者が侵害に対処するのを支援するものとします。

(c) データ輸出者は、個人データの処理を許可された者が機密保持に努めている、または適切な法定機密保持義務を負っていることを確認するものとします。

8.3 文書および遵守

(a) 両当事者は、本条項の遵守を証明できるものとします。

(b) データ輸出者は、本条項に基づく義務の遵守を証明し、監査を許可し、監査に貢献するために必要なすべての情報をデータ輸入者に提供するものとします。

第9条 復処理者の使用

それぞれのモジュールおよび移転の性質には適用されません。

第10条 データ主体の権利

両当事者は、データ輸入者に適用される現地法に基づいて、または規則(EU) 2016/679に基づいてEU内のデータ輸出者によって行われるデータ処理については、データ主体による問い合わせおよび要求に対応する際に、相互に支援するものとします。

第11条 救済

(a) データ輸入者は、個別の通知またはWebサイトを通じて、苦情処理を許可された連絡先について、透明かつアクセスしやすい形式でデータ主体に通知するものとします。データ主体から受け取った苦情には速やかに対処するものとします。

条項12 責任

(a) 各当事者は、本条項の違反により他方の当事者に生じた損害について、他方の当事者に対して責任を負うものとします。

(b) 各当事者は、本条項に基づく第三者の受益者の権利に違反することにより当事者がデータ主体に与えた重大または非重大な損害について、データ主体に対して責任を負うものとし、データ主体は補償を受ける権利を有するものとします。これは、規則(EU) 2016/679に基づくデータ輸出者の責任を損なうものではありません。

(c) 本条項の違反の結果としてデータ主体に生じた損害について複数の当事者が責任を負う場合、すべての責任当事者は連帯して責任を負うものとし、データ主体はこれらの当事者のいずれかに対して法廷で訴訟を起こす権利を有します。

(d) 両当事者は、一方の当事者が段落(c)に基づいて責任を問われた場合、他方の当事者に対し、損害に対する責任に相当する補償の一部を請求する権利を有することに同意します。

(e) データ輸入者は、自らの責任を回避するために、処理者または復処理者の行為を根拠にすることはできません。

第13条 監督

それぞれのモジュールには適用されません。

セクションIII – 公的機関がアクセスする場合の現地の法律および義務

第14条 本条項の遵守に影響を与える現地法および慣行

モジュール4:処理者から管理者への移転(EU処理者が、第三国の管理者から受け取った個人データと、EU内の処理者が収集した個人データを組み合わせる場合)

(a) 両当事者は、データ輸入者による個人データの処理に適用される第三国の法律および慣行(個人データを開示するための要件または公的機関によるアクセスを許可する措置を含む)が、データ輸入者による本条項に基づく義務の履行を妨げると考える理由がないことを保証します。これは、基本的権利と自由の本質を尊重し、規則(EU) 2016/679の第23条(1)に記載されている目的の1つを守るために民主主義社会で必要かつ均衡の範囲を超えない法律と慣行は、本条項と矛盾しないという理解に基づいています。

(b) 両当事者は、段落(a)の保証を提供するにあたり、特に次の要素を十分に考慮したことを宣言します。

(i) 処理チェーンの長さ、関与する行為者の数、および使用された転送経路などの、移転の特定の状況。意図された転送。受信者の種類。処理の目的。移転される個人データのカテゴリと形式。移転が行われる経済部門。転送されたデータの保存場所。

(ii) 転送の特定の状況に照らした、公的機関へのデータの開示を要求するもの、またはそのような機関によるアクセスを許可するものを含む、宛先の第三国の法律および慣行、および適用される制限および保護措置(3)

(iii) 送信中および宛先国での個人データの処理に適用される措置を含む、本条項に基づく保護措置を補完するために実施された関連する契約上、技術的、または組織的保護措置。

(c) データ輸入者は、段落(b)に基づく評価を実施するにあたり、データ輸出者に関連情報を提供するために最善の努力を払ったこと、および本条項の遵守を確保するためにデータ輸出者と協力し続けることに同意するものとします。

(d) 両当事者は、段落(b)に基づく評価を文書化し、要求に応じて管轄監督当局に提供することに同意します。

(e) データ輸入者は、本条項に同意した後および契約期間中、第三国の法律の変更またはかかる法律の適用を示す措置(開示要求など)に従うことを含め、段落(a)の要件に沿わない法律または慣行の対象であると信じる理由がある場合、データ輸出者に速やかに通知することに同意するものとします。

(f) 段落(e)に基づく通知後、またはデータ輸入者が本条項に基づく義務を履行できなくなったとデータ輸出者が信じるに足る理由がある場合、データ輸出者は、データ輸出者および/またはデータ輸入者が状況に対処するために採用すべき適切な措置(セキュリティと機密性を確保するための技術的または組織的措置など)を速やかに特定するものとします。データ輸出者は、かかる転送に対する適切な保護措置を確保できないと判断した場合、または管轄監督当局からそうするように指示された場合、データの移転を一時停止するものとします。この場合、データ輸出者は、本条項に基づく個人データの処理に関する限り、契約を終了する権利を有するものとします。契約に2つ以上の当事者が関与する場合、データ輸出者は、当事者が合意しない限り、関連する当事者に対してのみ、この終了の権利を行使することができます。本条項に従って契約が終了する場合は、第16条(d)および(e)が適用されるものとします。

第15条 公的機関がアクセスする場合のデータ輸入者の義務

モジュール4:処理者から管理者への移転(EU処理者が、第三国の管理者から受け取った個人データと、EU内の処理者が収集した個人データを組み合わせる場合)

15.1 通知

(a) データ輸入者は、次の場合、データ輸出者、および可能な場合はデータ主体に速やかに(必要な場合はデータ輸出者の助けを借りて)通知することに同意します。

(i) 本条項に従って転送された個人データの開示について、宛先国の法律に基づき、司法当局を含む公的機関から法的拘束力のある要請を受けた場合。このような通知には、要求された個人データ、要求している機関、要求の法的根拠、および提供された回答に関する情報が含まれるものとします。

(ii) 宛先国の法律に従って、本条項に基づいて転送された個人データに公的機関が直接アクセスしたことに気付いた場合。このような通知には、輸入者が入手可能なすべての情報が含まれるものとします。

(b) データ輸入者が宛先国の法律に基づき、データ輸出者および/またはデータ主体に通知することが禁止されている場合、データ輸入者は、できるだけ多くの情報をできるだけ早く伝達することを目的として、禁止の免除を得るために最善の努力を払うことに同意します。データ輸入者は、データ輸出者の要求に応じて最善の努力を実証できるように、それらを文書化することに同意します。

(c) 宛先国の法律で許可されている場合、データ輸入者は契約期間中、定期的に、受け取った要求に関する関連情報をできるだけ多く(特に、要求の数、要求されたデータの種類、要求している機関、要求に異議を申し立てたかどうか、およびそのような異議申し立ての結果など)データ輸出者に提供することに同意します。

(d) データ輸入者は契約期間中、段落(a)から(c)に従って情報を保存し、要求に応じて管轄監督当局に提供することに同意します。

(e) 段落(a)から(c)は、本条項を遵守できない場合に速やかにデータ輸出者に通知するというデータ輸入者の義務を損なうものではありません。

15.2 合法性の確認およびデータの最小化

(a) データ輸入者は、開示要求の合法性、特に開示要求が要求する公的機関に付与された権限の範囲内にあるかどうかを検討し、慎重な評価の結果、要求が宛先国の法律、国際法における適用可能な義務、および国際礼譲の原則に基づいて違法であると考える合理的な理由があるという結論に至った場合、要求に異議を唱えることに同意します。 データ輸入者は、同じ条件の下で、訴訟の可能性を追求するものとします。データ輸入者は、要求に異議を唱える場合、管轄司法当局がその本案を決定するまで、要求の効力を停止することを目的として暫定措置を求めるものとします。適用される手続き規則に基づいて開示する必要があるまで、要求された個人データを開示しないものとします。これらの要件は、第14条(e)に基づくデータ輸入者の義務を損なうものではありません。

(b) データ輸入者は、開示要求に対する法的評価および異議申し立てを文書化し、宛先国の法律で許容される範囲で、データ輸出者が文書を利用できるようにすることに同意します。また、要求に応じて管轄監督当局に提供するものとします。

(c) データ輸入者は、開示請求に応じる際に、請求の合理的な解釈に基づいて、許容される最小限の情報を提供することに同意します。

セクションIV - 最終規定

第16条 本条項の不遵守および終了

(a) データ輸入者は、いかなる理由であっても、本条項に従うことができない場合、速やかにデータ輸出者に通知するものとします。

(b) データ輸入者が本条項に違反している場合、または本条項に従うことができない場合、データ輸入者が再び遵守するか契約が終了するまで、データ輸出車はデータ輸入者への個人データの移転を停止するものとします。これは、第14条(f)に影響を与えるものではありません。

(c) 以下の場合、データ輸出者は本条項に基づく個人データの処理に関する限り、契約を終了する権利を有するものとします。

(i) データ輸出者が段落(b)に従ってデータ輸入者への個人データの移転を停止し、本条項への準拠が合理的な期間内および停止後1か月以内に回復されていない場合。

(ii) データ輸入者が本条項に実質的に、または持続的に違反している場合。

(iii) データ輸入者が、本条項に基づく義務に関して、管轄裁判所または管轄監督当局の拘束力のある決定を遵守しなかった場合。

この場合、かかる不遵守を管轄監督当局に通知するものとする。契約に2つ以上の当事者が関与する場合、データ輸出者は、当事者が合意しない限り、関連する当事者に対してのみ、この終了の権利を行使することができます。

(d) EU内のデータ輸出者が収集した個人データのうち、段落(c)に従って契約が終了する前に転送された個人データは、そのコピーを含めて直ちに完全に削除されるものとします。データ輸入者は、データの削除をデータ輸出者に証明するものとします。データが削除または返却されるまで、データ輸入者は引き続き本条項の遵守を確保するものとします。データ輸入者に適用される現地の法律が、転送された個人データの返却または削除を禁止している場合、データ輸入者は、引き続き本条項の遵守を確保し、その現地法で要求される範囲および期間のみデータを処理することを保証します。

(e) いずれの当事者も、(i) 欧州委員会が、本条項が適用される個人データの転送を対象とする規則(EU) 2016/679の第45条第3項に従って決定を採択した場合、または(ii)規則(EU) 2016/679が個人データの転送先の国の法的枠組みの一部になった場合、本条項に拘束される合意を取り消すことができます。これは、規則(EU) 2016/679に基づいて問題の処理に適用される他の義務に影響するものではありません。

条項17 準拠法

本条項は、第三者の受益権を認めている国の法律に準拠するものとします。当事者は、これがスロバキア共和国の法律であることに同意します。

第18条 裁判所および管轄区域の選択

本条項から生じる紛争は、スロバキア共和国の裁判所によって解決されるものとします。

付属書

付録I

A. 当事者のリスト

データ移転元 - 規約に定められているとおり、データ移転元はESETです。

データ移転先 - 規約に定められているとおり、データ移転先はお客様(および該当する場合はその関連会社)です。

B. 転送の説明

データ主体の分類

データ移転先は、DPAに基づいて管理者として本サービスの提供時に、独自の裁量でいかなるデータ主体の個人データも処理できます。これらの個人データは、主にデータ移転先のデバイスの許可されたユーザー、および/またはデータ移転元(および該当する場合はその関連会社)の従業員または請負業者に関連していることがあります。さらにこれには、データ移転先またはそのデバイス上でデータが処理され、本サービスの遂行中にデータ移転元にデータが提供された、または利用可能になった人物も含まれる場合があります。

転送される個人データの分類

サービス提供時に処理される個人データには、本サービスの提供中にデータ移転先により提供され、または利用可能とされた個人データ(特に本サービスに関する要請において、または当該本サービスに関わる要請への対応中に提供された個人データ)、および本サービスの遂行中にデータ移転先から本製品またはデバイスへの一時的または恒久的なアクセスが許可された場合にデータ輸出者がアクセスまたは利用できる個人データが含まれます。

特殊な分類のデータ

データ輸入者はDPAに基づいて管理者として、本サービスの提供時に特別な分類のデータを提出することができ、その範囲はデータ輸入者が独自の裁量で決定および管理します。

転送の頻度:継続ベース

処理の性質:自動。

データ転送および追加の処理の目的:規約の付属書に定義されているサービスの提供。

個人データが保持される期間:DPAの規定のとおり。

参照:

(1) データ輸出者が、規則(EU) 2016/679の対象となる処理者であり、連合の機関または団体を代表して管理者として行動する場合、規則(EU) 2016/679の対象とならない別の処理者(復処理)を雇う際に本条項に依拠することで、連合の機関、組織、事務局、部局による個人データの処理に関する自然人の保護、およびかかるデータの自由な移動に関する2018年10月23日の欧州議会および欧州評議会の規則(EU) 2018/1725の第29条(4)の遵守と、本条項と、規則(EU) 2018/1725の第29条(3)に基づく管理者と処理者の間の契約またはその他の法的行為において定められたデータ保護義務が一致する範囲で、規則(EC) No 45/2001および決定No 1247/2002/EC (OJ L 295、21.11.2018、p. 39)の撤回も確保されます。これは特に、管理者と処理者が決定2021/915に含まれる標準契約条項に依拠する場合に当てはまります。

(2) これには、転送およびさらなる処理が、人種または民族的出自、政治的意見、宗教的または哲学的信念、または労働組合への加入を明らかにする個人データ、自然人を一意に識別するための遺伝子データまたは生体認証データ、健康または個人の性生活または性的指向に関するデータ、または刑事上の有罪判決または犯罪に関連するデータに関わるかどうかが含まれます。

(3) 本条項の遵守に対するかかる法律および慣行の影響に関しては、全体的な評価の一部としてさまざまな要素が考慮される場合があります。かかる要素には、十分に代表的な時間枠をカバーした、公的機関からの開示要求の以前の事例、またはそのような要求がなかったことが含まれる、文書化された関連する経験が含まれる可能性があります。これは特に、デューデリジェンスに従って継続的に作成され、上級管理職レベルで認定された内部記録またはその他の文書を指しますが、この情報は第三者と合法的に共有できます。データ輸入者が本条項の遵守を妨げられないと結論付けるために、この経験に依拠する場合、他の関連性のある客観的な要素によって裏付けられる必要があり、これらの要素が共に、その信頼性と代表性の観点から、この結論を裏付けるのに十分な重みを持つかどうかを当事者は慎重に検討する必要があります。特に、当事者は、実際の経験が裏付けられているかどうか、および、判例法や独立した監視機関による報告書など、同じセクター内での要求の有無、および/または実際の法律の適用に関する、公開されている、またはアクセス可能な信頼できる情報と矛盾していないかどうかを考慮に入れる必要があります。