データ処理補足契約(「DPA」)は、IDrive Inc.の利用規約またはRemotePCとお客様(「あなた」)との間で締結されたその他の電子契約の一部であり、RemotePCサービスの利用に適用されます(「契約」)。本DPAは、顧客の個人データ処理に関する両当事者の合意を反映しています。本DPAで定義されていない用語は、契約で定義された意味を持ちます。
1. 目的および範囲
RemotePCは、契約に基づきサービスを提供する過程で、お客様のデータをお客様に代わって処理します。顧客データには個人データが含まれる場合があります。本DPAは、データ保護法および規制の要件に従った顧客データの処理に関する両当事者の合意を示します。本DPAは、契約と矛盾がある場合に優先されます。
2. 定義
「データ管理者」とは、個人データの処理目的および手段を決定する主体を指します。
「データ処理者」とは、データ管理者に代わって個人データを処理する主体を指します。
「データ保護法および規制」とは、契約に基づく個人データの処理に適用されるすべてのデータ保護法および規制(EU、EEA加盟国、スイスの関連法を含む)を指します。
「データ主体」とは、個人データが関連する個人を指します。
「個人データ」とは、識別されたまたは識別可能な個人に関するあらゆる情報を指します。
「処理」とは、個人データに対して自動化手段の有無にかかわらず行われる収集、記録、整理、保存、修正、取得、利用、開示、消去、破棄などの一連の操作を指します。
「サブプロセッサー」とは、RemotePCの関連会社またはRemotePCのために顧客データを処理する第三者サービス提供者を指します。
3. 顧客データの処理
データ処理の役割。 両当事者は、データ保護法および本DPAに基づく顧客データの処理に関して、お客様が管理者、RemotePCが処理者であることを認め、同意します。各当事者は、顧客個人データの処理に関して適用されるデータ保護法の義務を遵守します。RemotePCは、お客様が提供する個人データの内容や管理について関知しません。顧客データの正確性、品質、合法性および取得方法についてはお客様が単独で責任を負います。
データ処理の指示。 本DPAおよび契約は、顧客データの処理に関するお客様からRemotePCへの完全かつ最終的な指示です。追加または代替の指示は、両当事者の合意が必要です。RemotePCは、お客様の指示がデータ保護法に違反すると判断した場合は通知します。RemotePCは、(1)契約(契約に組み込まれたすべての文書を含む)に従い、(2)契約と整合するお客様からの合理的な指示(メール等)に従い、顧客データを処理します。RemotePCは、適用法により義務付けられる場合を除き、第三者に顧客データを開示しません。RemotePCは、お客様の指示がない限り、他の目的で顧客データを処理しません。
処理の範囲と期間。 RemotePCは、契約および本DPAに従い、RemotePCサービスの提供に必要な範囲で顧客個人データを処理します。処理される顧客個人データの種類およびデータ主体のカテゴリは、別紙1(処理の範囲)に記載されています。RemotePCは、両当事者が書面で別途合意しない限り、契約期間中顧客個人データを処理します。
4. データ主体の権利
アクセス、訂正、処理制限および削除。 RemotePCは、RemotePCサービスの機能に従い、お客様が顧客個人データへのアクセス、訂正、処理制限、削除を行えるようにします。
データ主体からの要求。 RemotePCが顧客個人データに関するデータ主体からの要求を受け取った場合、法的に許される範囲で、RemotePCはデータ主体に対しお客様へ要求を提出するよう案内します。お客様は、RemotePCサービスの機能を利用してこれらの要求に対応する責任を負います。お客様がデータ保護法に基づきアクセス、訂正、処理制限、削除を行えない場合は、RemotePCに書面で指示することができます。RemotePCは、技術的に可能かつ法的に許される範囲で指示に従います。お客様は、この支援にかかる費用をRemotePCに支払うものとします。
協力と支援。 RemotePCは、(i)顧客データに含まれる個人データのデータ主体、または(ii)適用されるデータ保護当局から受け取ったRemotePCによる顧客データ処理に関する要求、苦情、通知、連絡への対応を支援します。また、DPA遵守やプライバシー影響評価のための合理的な情報提供要求にも協力します。契約で提供されるサービスを超える支援については、RemotePCの費用をお客様が負担します。
5. データの安全性と機密性
セキュリティ管理。 RemotePCは、顧客データの不正または違法な処理、偶発的な損失、破壊、損傷から保護するために、適切な管理的・技術的・組織的安全対策を維持します。別紙2(セキュリティ管理)に記載のとおり、これには機密性、完全性、可用性、耐障害性の維持や、定期的なテスト・有効性確認が含まれます。
RemotePCの従業員。 RemotePCは、契約に基づき顧客データの処理が必要な従業員のみがアクセスできるようにします。従業員には顧客データの機密性を周知し、従業員・契約者・サブプロセッサーがセキュリティ管理を遵守するよう適切な措置を講じます。顧客データを処理する権限を持つすべての者が適切な機密保持義務に同意していることを保証します。
6. サブプロセッサー
承認と義務。 お客様は、RemotePCが特定のサービスを提供するためにサブプロセッサーを利用することを明示的に承認します。RemotePCは、サブプロセッサーと本DPAと実質的に同等の義務を含む契約を締結しています。RemotePCは、サブプロセッサーの行為または不作為についても本DPAの義務を遵守する責任を負います。現在のサブプロセッサーの一覧はhttp://www.remotepc.com/authorized-sub-processorで公開されており、変更があれば随時更新されます。
通知と異議。 お客様は、新しいサブプロセッサーの利用に対し、RemotePCが通知を公開してから10営業日以内に書面で合理的な異議を申し立てる権利があります。異議があった場合、RemotePCは合理的な範囲でソフトウェアやクラウドサービスの変更、または構成変更を提案し、新サブプロセッサーによる顧客データ処理を回避するよう努めます。合理的期間(最大60日)内に変更できない場合、お客様は該当サービスのみ契約を解除できます。解除は契約に従い書面で通知してください。
7. 監査と報告
報告。 RemotePCは、外部監査人によるセキュリティおよびコンプライアンス基準の監査を受けています。必要な監査を完了しており、お客様の書面による要請に応じて、SSAE 16基準への準拠を示す資料を提供できます。
監査権。 RemotePCは、報告書に記載された内容を超える追加情報の提供や、データ保護法遵守を証明するために合理的に必要な監査・検査に協力します。監査や検査に要した時間については、RemotePCの当時の専門サービス料金でお客様に請求します。料金は要請に応じて提示します。監査の時期・範囲・期間・料金は事前に合意してください。監査中に発見された不遵守事項は速やかにRemotePCへ通知してください。
8. インシデント管理と通知
RemotePCは、顧客データの漏洩を認識した場合、遅滞なくお客様に通知します。通知には、(i)個人データ漏洩の性質の説明、(ii)RemotePCが講じている対応策(可能な範囲で)などが含まれます。
9. 顧客データの返却および削除
RemotePCサービスは、契約期間終了前であればいつでも顧客データを取得できる機能を提供します。契約期間終了後は、契約に従い顧客データを削除します。
10. データプライバシーフレームワークおよびスイス・米国プライバシーフレームワーク
RemotePCは、EU-米国データプライバシーフレームワークおよびスイス・米国プライバシーフレームワークに準拠しています。
EU-米国データプライバシーフレームワーク(EU-U.S. DPF)、英国拡張版(UK Extension to the EU-U.S. DPF)、スイス・米国データプライバシーフレームワーク(Swiss-U.S. DPF)は、欧州連合/欧州経済領域、英国(ジブラルタル含む)、スイスから米国への個人データ移転のための信頼できる仕組みを提供し、各法令との整合性を確保します。組織はITAに自己認証し、DPFリストに掲載されます。
RemotePCは、米国商務省が定めるEU-米国データプライバシーフレームワークおよびスイス・米国プライバシーフレームワークに準拠し、EUおよびスイスから米国への個人情報の収集・利用・保持について、プライバシーシールド原則を遵守することを認証しています。
RemotePCがこれらの義務を満たせなくなった場合、速やかに通知し、個人データの処理を停止または是正措置を講じます。