データ処理契約書

更新:2018年12月11日

データ処理契約は以下に適用される:(i)KLDiscovery Ontrack Limited (会社番号02669766)の事務所住所:東京都千代田区内幸町2-2-3、日比谷国際ビル3F「オントラック」に有すること、および(ii)適用される業務委託者が、適用される業務委託条件(「条件」)に基づき、オントラックのサービスを注文すること。

両当事者は、データ処理契約の条件がオントラックが該当するビジネス顧客にサービスを提供できるようにするために必要な(以下に定義される)個人データの処理に適用されることに合意しました。

定義

ビジネスデータ事業委託者がオントラックに提供するすべての個人情報を含みます。
データ管理者データ保護法においてその用語(または「コントローラー」という用語)に与えられた意味を有します。
データ処理データ保護法においてその用語(または「プロセッサ」という用語)に与えられた意味を有します。
データ保護に関する法律ビジネス顧客、オントラックおよび/またはサービスに関連して拘束されるすべての適用するデータ保護法を意味し、以下を含みます。(i) GDPR及び/又は対応するもしくは同等の国内法令又は規則、及び(ii)欧州連合加盟国において、GDPRを実施する又はこれに対応するすべての関連法令又は規則
データ対象者 データ保護法においてその用語に与えられた意味を有します。
データ・サブジェクト・リクエストデータ保護法に基づくデータ主題の権利を行使することを条件とするデータの実施するリクエストを示す。
GDPR一般データ保護規則(EU)2016/679を意味します。
個人データデータ保護法においてその用語に与えられた意味を有します。
個人データ違反 個人データの偶発的または違法な破壊、紛失、改ざん、不正な開示またはアクセスにつながるセキュリティ違反を意味します。
人材現在または将来の従業員、元または将来の従業員、コンサルティングティングティングティングティング、派遣労働者、代理人、インターン、その他の非正規従業員、請負人、出向者またはその他の従業員を意味します。
プロセッシングデータ保護法においてその用語に与えられた意味を有する(および、プロセスのような関連用語は一致する意味を有する)。
サブプロセッサオントラックが顧客に代わって、ビジネスデータに関する処理活動を実施するために従事するデータ・プロセッサーを意味します。
監督当局地方、国もしくは多国籍機関、部局、公務員、議会、公式もしくは法定人物または政府もしくは専門機関、規制当局もしくは監督当局、委員会もしくはデータ保護法の管理に責任を有するその他の機関を意味します。


データ処理規定

  1. データ処理およびデータ管理
    1. ​両当事者は、ビジネスデータに関して、ビジネスカスタマーがデータ管理者であり、オントラックがデータ処理者であることに合意します。事業と顧客は、事業とデータの正確性、品質、完全性および信頼性ならびに当該本事業とデータを取得する手段について、単独で責任を負うものとします。
    2. ビジネス顧客は、以下のことを保証し、表明し、約束します。(i)条件に基づくサービスに関連して使用されるすべてのビジネスデータは、すべての点においてデータ保護法に従うものとします。(ii)ビジネスデータに関してオントラックに与えられるすべての指示は、常にデータ保護法に従うものとします。(iii)個人データがビジネスデータに含まれるかまたはオントラックに個人データを提供する適切な法的許可を有するデータサブジェクトから、必要なすべての同意を取得します。(iv)データ処理契約の条件に従うものとします。
    3. オントラックは、以下のことを保証し、表明し、約束します。(i) ビジネスデータを条件に関連して必要な範囲でのみ処理すること、および(ii)ビジネス顧客の文書化された指示およびデータ保護法の要件に従ってビジネスデータを処理すること、(iii)ビジネス顧客の指示がデータ保護法に違反しているとオントラックが判断した場合、またはオントラックがビジネス顧客のビジネスデータの処理に関する指示(適用法の変更またはビジネス顧客による指示変更の結果であるかを問わず)に従うことができなくなった場合、ビジネス顧客に速やかに通知すること、および(iv)データ処理契約の条件を遵守すること。

     

  2. 処理の指示と詳細
    1. データ処理契約に基づきオントラックが行う業務データの処理は、オントラックがサービスを提供するために必要な処理を含むものとします。

     

  3. 技術的・組織的措置
    1. ​オントラックは、データ保護法および特にGDPR第32条から第34条に従って、ビジネスデータの処理およびセキュリティに関連する適切な技術的および組織的措置を、その費用負担で、実施し、維持するものとします。オントラックは、特に偶発的または違法な破棄、紛失、改ざん、不正な開示またはアクセスからビジネスデータを保護するために、そのような技術的および組織的措置がその処理活動によってもたらされる特定のリスクに適切であることを保証するものとします。

     

  4. 人材とサブプロセッサの使用
    1. 第4.2条に定める場合を除き、KLDiscoveryは、クライアントの書面による事前の許可なく、クライアントデータに関する処理活動を実行するためにサブプロセッサを雇用する事は出来ません。承認されたサブプロセッサに開示する前に認可が与えられた場合、KLDiscoveryは契約に定める条件と同等の書面の条件をサブプロセッサに設定するものとします。契約上の異なるいかなる規定にもかかわらず、KLDiscoveryは、各サブプロセッサの義務の履行につき依頼人に全面的に責任を負い続けることを認識し、受諾します。KLDiscoveryはサブプロセッサの追加または交換に関する意図された変更をクライアントに通知する必要があり、クライアントは合理的な理由に基づき、その変更または交換に異議を申し立てる合理的な機会保有しています。
    2. 契約締結日に承認されたサブプロセッサは、付属書1に記載されます。
    3. オントラックは、個人データにアクセスする従業員の信頼性を確保し、サービスに厳密に必要な場合に限り個人データを処理することを確保するものとし、データ保護法に照らして業務データを処理する際に取るべき措置および取るべき措置を十分に認識することを確保するものとし、業務データに関して(書面による契約によるかその他によるかを問わず)適切な機密保持義務を含め、事業データの機密保護に対する保証を確保するものとします。

     

  5. ビジネス顧客の遵守およびデータサブジェクト権利の支援
    1. オントラックは、受領したすべてのデータ対象リクエストを速やかにビジネス顧客に照会するものとします。オントラックは、(i)処理セキュリティ、(ii)データ保護影響評価(データ保護法に定義される用語等)に関するデータ保護影響評価、(iii)リスクの高い処理に関する監督当局との事前協議、(iv)個人データ違反に対応するビジネス顧客による監督当局への通知および/またはデータ対象への通信に関して、ビジネス顧客が必要とする合理的な支援(処理の性質およびオントラックに利用可能な情報を考慮)をビジネス顧客に提供するものとします。ただし、当該支援がオントラックに不適切な時間およびリソースであった場合、ビジネス顧客は当該支援を提供するためにオントラックへ料金を支払うものとします。

     

  6. 国際データ転送
    1. 一般的に、ビジネスデータは欧州経済地域内のオントラック(「EEA」)によりホストされ処理されます。ですが、オントラックは、EU-US and Swiss-US Privacy Shield frameworks以下の US 商工会議所によって認定された企業集団の一部に位置しています。従って、オントラックはサービスを効果的に提供するために、例えば、専門的サービスが必要な場合、EEA外へのビジネス・データの移転を随時要求することができます。当該移転は、すべての適用法令の要件に従って実施されるものとします。ビジネス顧客は、当該譲渡を認識し同意します。さらに、クライアントの製品およびサービスの選択に基づいて要求される移転は、付属書1に記載され明示的に承認されています。

     

  7. 記録、情報及び監査
    1. オントラックは以下を実施すべき:(i) 最新の情報を作成、(ii)ビジネスデータのすべての処理に関連する完全かつ正確な記録を維持します。
    2. オントラックは、通常の営業時間中および合理的な機密保持約束が付与されることを条件として、カレンダーイヤーに対し1回を超えない範囲で最低30日の書面通知により、顧客業務に監査権を付与するものとし、業務データの処理に関連する当該記録の閲覧および写しを取得するものとし、業務顧客に対して監査権を行使するためのすべての合理的な支援を提供するものとします。監査権は目視および添付検査のみが許可されているサーバー機器を収容するサードパーティデータセンターまたはその他のサードパーティ施設には及ばないものとします。
    3. オントラックはビジネス顧客の要請および費用負担により、ビジネス顧客がGDPRに基づく自己義務の遵守を、オントラックが当該情報を提供できる範囲で、実証できるようにするために必要なすべての情報を、ビジネス顧客に速やかに提供するものとします。

     

  8. 違反通知
    1. ​事業用データに係る個人データ違反が人の権利及び自由に重大な危険を及ぼすおそれがある場合、オントラックは不当に遅滞することなく次のことを実施する義務があります。(i) 個人データ違反を事業主に通知し、かつ(ii)事業主に個人データ違反の詳細を提供すること。

     

  9. 個人データ及びその写しの抹消又は返却
    1. オントラックは、ビジネス顧客の書面による要求に応じて、ビジネス顧客に対し以下のいずれかの迅速で合理的な期間内に、ビジネス顧客が合理的に要求する様式で、すべてのビジネスデータ削除または返却するものとします。(i)処理に関連する対象データ復旧サービス提供の終了、または(ii)データ処理契約に基づくオントラックに関連する義務の履行のためにビジネスデータの処理が必要でなくなった場合、および既存のコピーを削除(ビジネスデータの保存が適用法により要求されている場合を除き、オントラックはそれらの要求に関しビジネス顧客へ連絡するべきである)オントラックは、サブプロセッサーがビジネスデータに関して同様の措置を講じること確約します。
    2. ビジネスデータが、ビジネス顧客からの能動的な指示なしに、12ヶ月を超える期間オントラックの所有または管理下にある場合、オントラックは、当該ビジネスデータを削除する事が出来ます。

     

  10. 補償
    1. ​各当事者(「補償当事者」)は、補償当事者のデータ処理契約の不遵守および/またはデータ保護法の違反に起因または関連して被補償当事者が被った、または被補償当事者が支払うことに同意したすべての請求、要求、訴訟、和解、利息、請求、手続、費用、費用、損失および損害に関して、相手方当事者(「補償当事者」)へ補償するものとします。

     

  11. 負債
    1. データ処理契約に基づくいずれかの当事者の全責任は、いかなる場合においても、条件で規定され合意された契約上の制限を超えないものとします。

     

  12. 契約の期間および終了
    1. ​両当事者の合意のもと終了しない限り、データ処理契約は対象のサービス注文が発注された日に開始し、オントラックが業務データの処理を継続する限り有効に存続するものとします。

     

  13. 法の選択
    1. データ処理契約は、条件で定められる法の選択条項に従うものとします。

     

添付1-サブプロセッサと移転

オントラック商品/事業体制サブプロセッサの必須使用サブプロセッサ名サブプロセッサの位置EEA外への移転データ
宅配サービスいいえDHLイギリスいいえオリジナルクライアントメディア、データ返却用暗号化ハードドライブ
宅配サービスいいえGuardianイギリスいいえオリジナルクライアントメディア、データ返却用暗号化ハードドライブ
顧客管理体制(社内)はいNobile(サポートVISMAシステム)ノルウェーいいえ 顧客連絡先データと業務履歴
時間外通話いいえダイレクトメッセージイギリスいいえ顧客名、連絡先、データ復旧要件
コールトラッキングはいインフィニティーイギリスいいえ 顧客のIPアドレス、氏名、ユーザー統計