データ処理補遺(以下「本PA」といいます)は、お客様のRemotePCサービスの使用に適用されるIDrive Inc.のサービス利用規約、またはRemotePCとお客様(以下「お客様」といいます)間のその他の電子契約もしくは相互に締結された契約(以下「本契約」といいます)の一部を構成し、お客様の個人データの処理に関する両当事者の合意を反映するものです。本DPAで使用され、定義されていない大文字の用語は、本契約で与えられた意味を持ちます。
1.目的と範囲
本契約に従ってお客様にRemotePCサービスを提供する過程で、RemotePCはお客様に代わってお客様データを処理します。 お客様データには、個人データが含まれる場合があります。 本DPAは、データ保護法および規制の要件に従ったお客様データの処理に関する当事者の合意を反映したものです。 本契約と矛盾する場合は、本DPAが優先します。
2.定義
「データ管理者」とは、個人データの処理の目的および手段を決定する主体を意味します。
「データ処理者」とは、データ管理者に代わって個人データを処理する事業体を意味します。
「データ保護法規」とは、本契約に基づく個人データの処理に適用されるデータ保護法規を意味し、欧州連合、欧州経済領域およびその加盟国、ならびにスイスの適用法規を含みます。
「データ主体」とは、個人データに関連する個人を意味します。
「個人データ」とは、識別可能な、または特定された個人に関するあらゆる情報を意味します。
「処理」、「プロセス」または「プロセス」とは、自動化された手段であるか否かを問わず、収集、記録、整理、保管、適応、変更、検索、協議、使用、開示、普及、消去または破棄など、個人データに対して行われるあらゆる操作または一連の操作を意味します。
「サブプロセッサ」とは、RemotePCの関連会社またはRemotePCのために顧客データを処理するその他の第三者サービスプロバイダを意味します。
3.顧客データの処理
データ処理の役割。 両当事者は、データ保護法規および本DPAに基づくお客様データの処理に関して、お客様が管理者であり、RemotePCが処理者であることを認識し、同意します。各当事者は、お客様の個人データの処理に関して、データ保護法および規則の下で適用される義務を遵守します。RemotePCは、お客様が処理のために提供する個人データについて、一切関知せず、管理しません。 お客様は、お客様データの正確性、品質、適法性、およびお客様データを取得した手段について、単独で責任を負うものとします。
データ処理に関する指示。 本DPAおよび本契約は、お客様のデータ処理に関するRemotePCへの完全かつ最終的な指示です。 お客様とRemotePCは、追加または代替の指示について合意する必要があります。 お客様の指示がデータ保護法および規制に違反するとリモートPCが判断した場合、リモートPCはお客様に通知します。 リモートPCは、(1) 本契約(本契約に組み込まれるすべての文書を含む)に従い、(2) お客様の指示が本契約と一致する場合、お客様がリモートPCに提供するその他の合理的な指示(電子メールを含む)に従い、お客様データを処理します。 RemotePCは、適用法により開示が義務付けられている場合を除き、お客様のデータを第三者に開示することはありません。この場合、RemotePCが開示を禁じられている場合を除き、RemotePCは事前にお客様に通知します。 リモートPCは、お客様がリモートPCに指示しない限り、その他の目的で顧客データを処理しません。
処理の範囲と期間。RemotePCは、本契約に従い、本DPAに従ってRemotePCサービスを実施するために必要なお客様の個人データを処理します。本DPAに基づいて処理される可能性のあるお客様の個人データの種類およびデータ主体のカテゴリは、別紙1(「処理の範囲」)に記載されています。RemotePCは、両当事者が書面で別途合意しない限り、本契約の期間中、お客様の個人データを処理します。
4.データ主体の権利
アクセス、修正、制限、および削除。 RemotePCは、RemotePCサービスの機能に合致する限り、お客様がお客様の個人データにアクセス、修正、処理の制限、および削除できるようにします。
データ主体の要求 RemotePCがデータ主体からお客様の個人データに関する要請を受けた場合、法的に許される範囲で、RemotePCはデータ主体に対し、その要請をお客様に提出するよう助言し、お客様は、必要に応じてRemotePCサービスの機能を使用するなど、かかる要請に対応する責任を負うものとします。お客様が、データ保護法および規則で義務付けられているお客様の個人データへのアクセス、修正、制限、または削除を行う能力をお持ちでない場合、お客様は、お客様の代理として行動するよう、リモートPCに書面による指示を提供することができます。 RemotePCは、技術的に実行可能で法的に許容される範囲で、お客様の指示に従います。お客様は、この支援を提供するためのRemotePCの費用を支払うものとします。
協力および支援。 リモートPCは、(i) 顧客データに個人データが含まれるデータ主体、または (ii) 該当するデータ保護当局から、リモートPCの顧客データ処理に関連して受けた要求、苦情、通知、または連絡に対処するために、お客様を支援します。 リモートPCはまた、本DPAへの準拠を確認するため、またはプライバシー影響評価を実施するために、お客様が合理的な範囲で情報を要求する場合、これを支援します。 支援内容が本契約に基づき提供されるサービスを超える場合、お客様は、RemotePCの支援費用を支払うものとします。
5.データのセキュリティと機密性
セキュリティ管理 RemotePCは、不正または違法な処理、偶発的な損失、破壊、または損傷から顧客データを保護するため、適切な管理的、技術的、および組織的保護措置を維持します。別紙2に記載されているように、セキュリティ管理には、RemotePCのシステムおよびサービスの機密性、完全性、可用性、および回復力を継続的に確保し、管理の有効性を定期的にテストするための対策が含まれています。
RemotePCの人員。 RemotePC は、顧客データへのアクセスを、本契約に基づき顧客データを処理するためにアクセスを必要とする人員に限定することを保証します。リモートPCは、顧客データの処理に携わる人員に対し、当該顧客データの機密性について通知します。リモートPC は、その従業員、請負業者、および下請け業者が、その業務範囲に適用される範囲で、セキュリティ管理を遵守するよう、適切な措置を講じます。これには、顧客データの処理を許可されたすべての人物が、適切な守秘義務に同意していることを確認することも含まれます。
6.サブプロセッサー
承認およびコミットメント。お客様は、RemotePCが本契約および本DPAに基づく義務を履行し、サポートサービスなどの特定のサービスをRemotePCに代わって提供できるように、RemotePCに代わって特定のサービスを実行するために、RemotePCがサブプロセッサを使用することを明示的に許可します。RemotePCは、本DPAに基づくRemotePCの義務と実質的に類似した義務を含む書面契約を、そのサブプロセッサと結んでいます。RemotePCは、本DPAの義務の遵守およびサブ処理業者の作為または不作為について引き続き責任を負います。RemotePCの現在のサブ処理者は、その所在地およびサービスを含めて、http://www.remotepc.com/authorized-sub-processor。RemotePCは、引き続き、このウェブサイトで、そのサブ処理業者の変更を公表します。
通知と異議申し立て。 お客様は、RemotePC が新しいサブプロセッサの通知を公表してから 10 営業日以内に、RemotePC に書面で通知することにより、RemotePC による新しいサブプロセッサの使用に合理的に反対する権利を有します。 この場合、リモートPC は、新しいサブプロセッサによるお客様データの処理を回避するために、影響を受けるソフトウェアまたはクラウドサービスを変更するか、または影響を受けるソフトウェアまたはクラウドサービスの構成または使用に商業上合理的な変更を推奨するために、合理的な努力を払うものとします。 リモートPC が、60 日を超えない合理的な期間内にかかる変更を行うことができず、またはかかる変更を推奨できない場合、お客様は、リモートPC が新しいサブプロセッサーを使用せずに提供できないソフトウェアおよびクラウドサービスの利用契約期間のみを終了することができます。 お客様は、本契約に従って、書面による解約通知をリモートPCに提出する必要があります。
7.監査と報告
レポートリモートPCは、様々なセキュリティおよびコンプライアンス管理基準および認証のセキュリティ対策を検証するため、外部監査人を使用しています。RemotePCは、必要な監査を完了しており、お客様の書面による要求があれば、SSAE 16で定義された基準を満たしていることを証明する裏付け文書を提供することができます。
監査権。RemotePC は、報告書に記載されている以外の追加情報をお客様に提供し、データ保護法および規制の遵守を証明するために合理的に必要な検査を含む監査を許可し、これに貢献します。お客様は、監査または検査に要した時間を、RemotePC のその時点での専門サービス料金で弁済するものとします。RemotePCは、要求に応じて、これらの料金をお客様に提供します。お客様とRemotePCは、監査または検査の時期、範囲、期間、および弁済率について事前に合意するものとします。お客様は、監査の過程で発見されたコンプライアンス違反に関する情報を速やかにRemotePCに通知するものとします。
8.インシデント管理と通知
リモートPCは、お客様の顧客データの侵害を認識した後、過度の遅滞なくお客様に通知します。この通知には、(i) 個人データ侵害の内容、(ii) 遠隔PCの合理的な管理範囲内で、起こりうる悪影響を軽減するための措置など、侵害に対処するために遠隔PCが講じている措置が含まれます。
9.顧客データの返却と削除
RemotePCサービスは、サブスクリプション期間の終了前であればいつでもお客様のデータを取得できるよう、お客様に制御を提供します。利用期間終了後、RemotePCは、本契約に従ってお客様の顧客データを削除します。
10.データ・プライバシー・フレームワーク・プログラムとスイス-米国プライバシー・フレームワーク
RemotePCは、EU-U.S. Data Privacy FrameworkおよびSwiss-U.S. Privacy Shield Frameworkに準拠しています。
EU-米国データ・プライバシー枠組(EU-U.S. Data Privacy Framework: EU-U.S. DPF)、EU-米国データ・プライバシー枠組の英国拡張(UK Extension to the EU-U.S. Data Privacy Framework: UK Extension to the EU-U.S. DPF)、およびスイス-米国データ・プライバシー枠組(Swiss-U.S. Data Privacy Framework: Swiss-U.S. DPF)は、大西洋を越えた商取引を合理化するために設立されました。これらの枠組みは、EU/欧州経済領域、英国(ジブラルタルを含む)、スイスから米国への個人データ移転において、EU、英国、スイスの法律との整合性を確保し、米国の組織に信頼できるメカニズムを提供する。組織は、DPF原則へのコミットメントをITAに自己証明する必要があります。これはデータ・プライバシー・フレームワーク・リストに掲載されることを意味し、ITAは組織が毎年提出する再認証書に基づいて毎年更新しています。
RemotePCは、EUおよびスイスから米国に転送される個人情報の収集、使用、および保持に関して、それぞれ米国商務省が制定したEU-米国データ・プライバシー・フレームワークおよびスイス-米国プライバシー・シールド・フレームワークに準拠しています。RemotePCは、プライバシーシールド原則を遵守することを商務省に証明しています。
RemotePCがこれらの義務を果たせなくなったと判断した場合、RemotePCは速やかにお客様に通知し、お客様の個人データの処理を中止するか、または合理的かつ適切な是正措置を講じます。