ESETオンラインヘルプ

検索 English
カテゴリを選択
トピックを選択

データ処理契約

欧州議会および2016年4月27日に行われた協議会で決定された、個人データの処理に伴う自然人の保護、およびかかるデータの自由な移動に関する規制(EU) 2016/679の要件、ならびに指令95/46/ECの廃止(「GDPR」)に従い、供給者(「処理者」)およびお客様(「管理者」)は、個人データの処理、データ保護の方法に関する契約条件を定義し、主契約として本条項の主題を履行する過程において、管理者の代理としてデータ主体の個人データを処理する際の両当事者のその他の権利と義務を定義する目的で、データ処理契約関係を締結します。

1.個人データ取扱い。これらの条項に従って提供されるサービスには、プライバシーポリシーに記載されている特定された自然人または特定可能な自然人に関連する情報(「個人データ」)の処理が含まれます。

2.許可。管理者は、処理者が次の手順を含む個人データを処理することを許可します。

(i) 「処理の目的」とは、これらの条項に従ったサービスの提供を意味するものとする処理者は、管理者が要求したサービスの提供に関して管理者の代理として個人データを処理することのみが許可されています。他の目的で収集されたすべての情報は、管理者と処理者の契約上の関係外で処理されます。

(ii) 処理期間は、これらの条項の下における協力の開始時点からサービスの解除までの期間を意味するものとする

(iii) 個人データの範囲と分類には、個人データのすべての特殊な分類を除く、一般的な個人データが含まれるものとする

(iv) 「データ主体」とは、管理者のデバイスの許可されたユーザーである自然人を意味するものとする

(v) 処理業務とは、処理の目的に必要なすべての業務を意味するものとする

(vi) 「文書化された手順」とは、これらの条項、付録、プライバシーポリシー、およびサービスのドキュメントに記載された手順を意味するものとする管理者は、データ保護法の該当する条項に関して、処理者が個人データを処理することを法的に認める責任を負うものとします。

3.処理者の義務。処理者は次の義務を負うものとします。

(i) 文書化された手順を根拠とし、条項、付録、プライバシーポリシー、サービスドキュメントで定義された目的でのみ個人データを処理する。

(ii) 個人データを処理する権限を有する個人が機密保持の責任を負い、文書化された手順に従っていることを保証する。

(iii) 条項、付録、プライバシーポリシー、およびサービスドキュメントに記載された対策を導入し、それに従う。

(iv) データ主体の権利に関連するデータ主体からの要求に対応して管理者を支援する。処理者は、管理者の指示なく、個人データの処理を修正、削除、または制限しないものとします。管理者の代理として処理された個人データに関連するデータ主体からのすべての要求は、遅延なく管理者に転送されるものとします。

(v) 監督当局およびデータ主体に対する個人データ違反の通知について管理者を支援する。

(vi) 処理期間の終了後に、すべての個人データを削除するか、管理者に返却する。

(vii) 管理者の代理として実行した処理活動のすべての分類について、最新の記録を保持する

(viii) 条項、付録、プライバシーポリシー、およびサービス文書の一部としてコンプライアンスを実証するために必要なすべての情報を管理者に提供する。

4.別の処理者の関与。処理者は、これらの条項と付録、プライバシーポリシー、およびサービスドキュメントに準拠して、サービスのためのクラウドストレージおよびインフラストラクチャの準備といった特定の処理活動を実行するために、他の処理者を関与させることが認められています。現在、Microsoftは、Azureクラウドサービスの一部としてクラウドストレージとインフラストラクチャを提供しています。このような場合であっても、処理者は単独の窓口であり、コンプライアンスに責任を負う当事者であるものとします。

5.処理の地域。処理者は、管理者の決定に基づき、欧州経済地域または欧州委員会の決定による安全な国であると指定された国で処理が行われることを保証します。標準契約条項は、管理者の要求に応じて、欧州経済地域または欧州委員会の決定による安全な国であると指定された国以外での転送および処理に適用されるものとします。

6.セキュリティ。処理者はISO 27001:2013の認証を受け、ネットワーク、オペレーティングシステム、データベース、アプリケーション、要員および業務プロセスの改造でセキュリティ統制を適用するときには、ISO 27001フレームワークを使用して、階層型の防御セキュリティ戦略を実装します。規制要件および契約要件の遵守は、他のインフラストラクチャおよび処理者の業務に対して同様に定期的に評価され、確認されます。また、コンプライアンスのための必要な手順が継続的に実施されます。処理者は、ISO 27001に基づき、ISMSを使用して、データセキュリティを整理しました。セキュリティドキュメントには、情報セキュリティ、物理セキュリティおよび装置のセキュリティ、インシデント管理、データ漏えいおよびセキュリティインシデントの対応などのポリシー文書が主に含まれています。

7.処理者の連絡先情報。個人データ保護に関するすべての通知、要求、要望、他の連絡事項は、ESET, spol. s.r.o.ESET, spol. s.r.o.: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.