本製品、SaaS および/またはサポートサービス(「ソリューション」)に関連して、両当事者は、お客様、その関連会社、またはお客様もしくはその関連会社の顧客がデータ保護法(以下に定義)の下でデータ管理者となる可能性のある特定の個人データを、エクサビームおよび場合によってはその下請け業者が随時処理することを想定しています。EXABEAM とお客様は、データ保護法により要求される当該個人データの保護に関して適切な保護措置が講じられることを保証するために、本データセキュリティポリシー(以下、「ポリシー」)の条件に同意するものとします。
1.定義
本ポリシーで使用される大文字の用語は、別途定義されない限り、本契約で規定されるものと同じ意味を持つものとします。
1.1「適切な国」とは、個人データの適切な保護を提供するものとして、データ保護法制の下で随時認められている国または地域を意味します。
1.2「関連会社」とは、当事者を直接的または間接的に支配する、支配される、または当事者と共通の支配下にある事業体を意味します。本ポリシーにおいて、"支配 "とは、直接または間接的に、取締役またはその他の統治権者の選任について投票権を有するすべての議決権付き株式(またはその他の証券もしくは権利)の少なくとも50%以上を所有または支配することを意味します。
1.3「CCPA」とは、2018年カリフォルニア州消費者プライバシー法を意味します。
1.4「データ保護法制」とは、データ保護指令95/46/EC(GDPR、プライバシーおよび電子通信指令2002/58/EC、CCPA、および上記を実施または補足するすべての国内法を含むがこれらに限定されない)、本契約に基づき、または本契約に関連して処理されるすべての個人データに適用されるすべてのプライバシー法および規制を意味します。
1.5「GDPR」とは、個人データの処理に関する自然人の保護および当該データの自由な移動に関する2016年4月27日の欧州議会および理事会の規則(EU)2016/679を意味し、指令95/46/EC(一般データ保護規則)を廃止する。
1.6 "個人データ" とは、データ保護法において「個人データ」と定義されるすべてのデータであって、カスタマーにソリューションを提供する目的で、カスタマーから直接または間接的にエクサビームに提供されたもの、またはエクサビームもしくはそのサブプロセッサー(該当する場合)がアクセス、保存、またはその他の方法で処理したものを意味します。
1.7「処理」、「データ管理者」、「データ処理者」、「データ主体」、および「監督機関」は、データ保護法における意味を有するものとします。
1.8「標準契約条項/SCC」とは、添付資料1として添付されている標準契約条項を意味する。
2.データ処理
2.1両当事者の範囲および役割。両当事者は、個人データの処理に関して、お客様がデータ管理者であり、エクサビームがデータ処理者であること、および下記第 7 条に定める要件に従って、エクサビームがサブ処理者を雇用できることを認識し、同意するものとします。
2.2法令の遵守。各当事者は、データ保護法を含む、本ポリシーに基づく義務の履行において、当該当事者に適用され、当該当事者を拘束するすべての法律、規則および規制を遵守します。
2.3処理指示。エクサビームは、個人データを、その時点で有効な、エクサビームとお客様との間の契約(以下「本契約」といいます)、およびお客様の合理的な書面による指示(かかる指示が本契約および本ポリシーの条件に合致する場合)に従って処理します。また、EXABEAM は、サブスクリプション期間中、製品提供のサポート、バグ修正、データモデリングの検証のために、カスタマーの個人データを使用することができるものとします。両当事者間において、個人データの正確性、品質、適法性、およびお客様が個人データを取得した手段について、お客様が単独で責任を負うものとします。
2.4 カリフォルニア州消費者プライバシー法。本ソリューションには、エクサビームがお客様の代理として情報を処理すること、および/またはお客様が、本契約に基づくソ リューションを履行する目的で、サービスプロバイダとして、カリフォルニア州消費者プライバシー法に定める個人情報をエ クサビームに開示することが含まれる場合があります。本契約に定めるとおり、エクサビームがお客様のためにカリフォルニア州居住者の個人情報を処理する範囲において、エクサビームは、中 国消費者庁の該当する規定を遵守するものとします。エクサビームは、以下のことを行わないことに同意します:
(1)本規約に定める権利義務の履行を目的とする場合、またはその他中協が認める場合を除き、個人情報を保有、利用または開示すること;
(2) 本ソリューションの提供以外の商業目的、または本契約に定めるその他の目的のために、当該個人情報を保持、使用、または開示すること;
(3) 当該個人情報を販売すること。
(4) エクサビームとお客様との直接の取引関係以外の場所で、個人情報を保持、使用、または開示すること。
当社は、個人情報の保護に関する法律(以下「中退共法」といいます。エクサビームは、保有する個人情報を保護するために、合理的なセキュリティ対策を実施するものとします。これには、検証可能な削除要求への対応や、エクサビームが保有する個人情報へのアクセスを相互に合意した形式で提供することによる検証可能なアクセス要求への対応が含まれます。両当事者は、本契約または本ソリューションが、米国カリフォルニア州法に基づく個人情報の「販売」または「売却」に該当しないことに同意するものとします。Civ.Civ.Code§1798.140(t)(1)に基づく「販売」または「売却」に関与しないことに合意する。本条において別途定義されていないすべての用語は、CCPA の下でそのような用語に与えられた意味を持つものとします。誤解を避けるため、本条は、CCPAの適用を免除される情報には適用されないものとします。
3.データ転送
3.1CUSTOMERは、本契約に基づくソリューションの提供には、欧州経済地域(EEA)外の国のサブプロセッ サによる個人データの処理が随時必要となる場合があることを認めます。
3.2第7条を損なうことなく、エクサビームまたはその該当するサブプロセッサー(関連会社を含むが、これに限定されない)による個人データの処理がEEA域外の国で行われる場合、両当事者は、当該処理に関して、以下のような適切なメカニズムを確保することに同意するものとします:(i) 当該国が適正国であること:(ii) その処理に関して標準契約条項が適用され、エクサビームが標準契約条項における「データ輸入者」の義務を遵守し、カスタマが「データ輸出者」の義務を遵守すること、または、エクサビームがそのサブプロセッサーについて、データ保護法に基づいて EU 当局によって承認された標準契約条項を締結すること、または、(ii) データ移転に関するその他の特別に承認されたセーフガード(データ保護法に基づいて認められるもの)および/または欧州委員会が適切であると認定すること。
4.セキュリティ、監査
4.1セキュリティエクサビームは、個人データの不正かつ違法な処理、ならびにカスタマーデータの偶発的な損失または破壊、および損傷に対する適切な技術的および組織的な保護措置を維持するものとします。エクサビームは、以下の事項に関して、カスタマーが合理的に要求する(処理の性質およびエクサビームが利用可能な情報を考慮した)商業上合理的な支援をカスタマーに提供するものとします:(i) データ保護影響評価(かかる用語は GDPR で定義される)に関して、データ保護法に基づくカスタマーの義務、(ii) セキュリティインシデント(以下に定義される)に対応する、監督当局への通知および/またはカスタマーによるデータ主体への通信、および (iii) 処理のセキュリティに関して、GDPR に基づくカスタマーの義務の遵守。顧客は、かかる支援を提供するための費用を、顧客に提供されるEXABEAMの標準料金で支払うことに同意します。
4.2認証エクサビームは、そのセキュリティ対策の適切性を検証するために、外部監査人を利用する。この監査は、(i)少なくとも年 1 回、(ii)サービス組織管理(SOC)2 トラストサービス原則またはその他同等の基準に従い、(iii)エクサビームが選択し、費用を負担する独立した第三者によって実施されます。
4.3 監査手続。カスタマーがデータ保護法の下で適用される要件を満たすことができるように、エクサビームは、カスタマーおよび/またはその監査人に合理的な協力および支援を提供するものとします。お客様がデータ保護法に基づく監査の権利を行使するために、エクサビーム は、要求に応じて、(i) 登録された独立した外部監査人による、エクサビームの技術的および組織的な対策が十分であり、ISO 27001 または SOC2 などの業界の監査基準に従っていることを証明する、18 ヶ月以内の監査報告書)、および (ii) EU の監督当局が要求し、要求した、本ポリシーに基づきエクサビームが実施するデータ処理活動に関連する、エクサビームが所有または管理する追加情報。監督当局による別段の命令がある場合を除き、SCC によって要求される監査は、年 1 回以下に制限されるものとし、かかる監査の範囲および時期については、両当事者が相互に合意するものとします。
4.4.記録。データ保護法の要求に従って、個人データの処理に関して、データ保護法に基づくデータ処理者の義務をエクサビームが遵守していることを証明するために、カスタマが合理的に要求することができる、エクサビームが所有または管理している情報を、エクサビームがカスタマに提供するものとします。
4.5 削除。本契約または本契約に基づき適用されるサブスクリプション期間の終了または満了後、合理的に実行可能な限り速やかに、またいかなる場合においても 90 日以内に、エクサビームは、本ポリシーに従って処理されたお客様のすべての個人データ(そのコピーを含む)を削除するものとします。
5.違反通知
EXABEAMは、セキュリティインシデント対応ポリシーおよび手順を維持し、法律で認められている範囲で、以下のことを行うものとします:(i) エクサビームが送信、保存、またはその他の方法で処理した個人データの偶発的または違法な破壊、紛失、改ざん、不正な開示、またはアクセスにつながるセキュリティー違反(以下、「セキュリティーインシデント」といいます)が発生した場合、それを知った時点で速やかに、かつ過度な遅滞なく、カスタマーに通知すること;(ii) セキュリティインシデントを認識した時点で、処理の性質およびエクサビームが入手可能な情報を考慮し、セキュリティインシデントの影響を軽減し、セキュリティインシデントから生じる損害を最小限に抑えるための合理的な措置を講じること。
6.エクサビーム要員
6.1EXABEAM は、個人データの処理に関与する職員が、個人データの機密性を知らされており、その責任に関する適切な研修を受けており、書面による機密保持契約を締結していることを確認するものとする。
6.2 エクサビームは、個人データへのアクセスが、ソリューションの提供に関わる人員に限定され、かつ、エクサビームの情報セキュリティポリシーに従って行われることを保証するものとする。
6.3 エクサビームは、個人データの処理に従事するエクサビーム従業員の信頼性を確保するために、商業上合理的な手段を講じるものとする。
6.4EXABEAMはデータ保護責任者及びガバナンスチームを任命しており、その連絡先は [email protected] です。
7.サブプロセッサー
7.1外注。お客様は、本ポリシーに基づく契約上の義務を履行するために、EXABEAMがサブプロセッサー、第三者のデータセンター運営者、委託されたサポートおよびサービスプロバイダーを任命する一般的な権限を付与します。
7.2サブプロセッサの義務。(i)本契約または本ポリシーに定めるエクサビームの権利および義務を履行するために必要な範囲でのみカスタマーのデータにアクセスし、その他の目的ではアクセスしないこと。(ii)当該サブプロセッサーに対して、秘密保持、データ保護、データセキュリティ、監査権に関する義務を含む、適切かつ関連性のある契約上の義務を課す書面による契約を締結すること。当該義務は、本ポリシーにおいてエクサビームに課される義務と実質的に同程度に、個人データを保護するものとします。エクスアビームは、本ポリシーを遵守すること、および本ポリシーに基づくエクスアビームの義務違反の原因となるサブプロセッサの作為または不作為について責任を負うものとします。
7.3新規サブプロセッサーへの異議申し立てEXABEAMは、現在のサブプロセッサのリストを以下のサイトで管理します。https://community.exabeam.com/s/subprocessors.本契約の発効日以降、エクサビームが新規または代替のサブプロセッサーを雇用する場合、これらのサブプロセッサーは、サブプロセッサーが個人データのサブプロセッシングを開始する前にリストに追加されます。お客様が、新規または代替のサブプロセッサーに対して合理的な異議を有する場合、お客様は、その異議を書面にてエクサビームに通知するものとし、両当事者は、誠意をもって問題の解決を図るものとします。エクスビームが、サブプロセッサーを使用することなく、本契約に従ってカスタマーにソリューションを提供することが可能であり、自己の裁量でそうすることを決定した場合、カスタマーは、提案されたサブプロセッサーの使用に関して、本第 7 条 3 項に基づくそれ以上の権利を有しないものとします。エクスビームが、合理的にサブプロセッサーを使用することを避けることができず、サブプロセッサーまたはエクスビームとサブプロセッサーとの間で締結されている文書および保護の適切性についてカスタマーを納得させることができない場合、いずれの当事者も、解決のための代替手段を追求することができます。
8.データ対象者の要求、削除
データ保護法に基づいて要求される場合、データ対象者からその人の個人データへのアクセス、修正、消去の要求があった場合、またはデータ対象者が当該個人データの処理に異議を唱えた場合、または当該 に関してデータポータビリティ要求を行った場合(以下、総称して「データ対象者要求」)、EXABEAM は速やかにお客様に通知するものとします。エクサビームは、データ対象者リクエストに対応するためにカスタマーを支援するために、商業上合理的な努力をするものとします。エクサビームは、カスタマーの事前の書面による同意なしに、カスタマーのエンドユーザーからの要求に独自に対応することはありません。ただし、要求がカスタマーに関連するものであることを確認することを除きます。カスタマ ーにデータ対象者の要求に対応する能力がない場合、エクサビームは、カスタマーの要求に応じて、当該 データ対象者の要求への対応を促進するための合理的な支援を提供するものとします。カスタマは、かかる支援を提供するために適用される料金を、エクサビームがカスタマに提供する標準料金で、エクサビームに支払うことに同意するものとします。
9.一般
9.1解釈。本ポリシーによって修正される場合を除き、本契約は完全に効力を有します。本契約と本ポリシーの間に矛盾がある場合、個人データの処理に関する限り、本ポリシーが適用されるものとします。
9.2分離可能性。本ポリシーのいずれかの条項が管轄裁判所によって法的強制力がないと判断された場合、その条項は分離され、残りの条項は完全に有効となります。
9.3準拠法および裁判管轄。本規約は、本規約の準拠法に準拠します。
第1表
標準契約条項
標準契約条項(プロセッサー)
適切なレベルのデータ保護が確保されていない第三国に設立された処理業者への個人データの移転に関する指令95/46/EC第26条2項の目的。
本契約においてソリューションのライセンシーとして特定されている事業体(データ輸出者)
そしてEXABEAM(データインポーター)
それぞれが「当事者」であり、合わせて「当事者」である、
データ輸出者がデータ輸入者に付録 1 で指定された個人情報を移転する際、プライバシーおよび個人の基本的権利と自由の保護に関して適切な保護措置を講じるため、以下の契約条項(条項)に合意しました。
第1項 定義
本条項の目的のため:
1.1「個人データ」、「特別な種類のデータ」、「処理/加工」、「管理者」、「処理者」、「データ主体」および「監督機関」は、個人データの処理に関する個人の保護および当該データの自由な移動に関する1995年10月24日の欧州議会および理事会指令95/46/ECと同じ意味を有するものとする;
1.2「データ輸出者」とは、個人データを移転する管理者を意味します;
1.3「データ輸入者」とは、データ輸出者の指示および条項の条件に従い、転送後にデータ輸出者に代わって処理することを意図した個人データをデータ輸出者から受け取ることに同意し、指令95/46/ECの第25条(1)の意味における適切な保護を確保する第三国の制度の適用を受けない処理者を意味します;
1.4「下請業者」とは、データ輸入者またはデータ輸入者の他の下請業者から、データ輸出者の指示、本条項の条項および適用される書面による下請契約の条項に従って、データ移転後にデータ輸出者に代わって実行される処理活動に限定して意図された個人データを受領することに同意する、データ輸入者またはデータ輸入者の他の下請業者が従事する処理業者を意味します;
1.5「適用されるデータ保護法」とは、データ輸出者が設立されている加盟国のデータ管理者に適用される、個人の基本的権利および自由、特に個人データの処理に関するプライバシー権を保護する法律を意味します;
1.6「技術的および組織的な安全対策」とは、偶発的または違法な破壊、偶発的な紛失、改ざん、不正な開示またはアクセス、特に処理にネットワークを介したデータ転送が含まれる場合、およびその他すべての違法な形態の処理から個人データを保護することを目的とした対策を意味します。
第2条 譲渡の詳細
譲渡の詳細、特に該当する場合は特定の個人データの分類は、本条項の不可欠な部分を形成する付録1に明記されています。
第3条 第三受益者条項
3.1データ主体は、本条項、第4.2条~第4.10条、第5.1条~第5.5条、および第5.7条~第5.10条、第6.1条および第6.2条、第7条、第8.2条、および第9条~第12条を第三者受益者としてデータ輸出者に対して執行することができます。
3.2データ主体は、データ輸出者が事実上消滅した場合、または法律上消滅した場合、本条項、第 5.1 条から第 5.5 条および第 5.7 条、第 6 条、第 7 条、第 8.2 条、および第 9 条から第 12 条をデータ輸入者に対して執行することができます。ただし、後継の事業体が契約または法律の運用によりデータ輸出者の全法 的義務を引き受け、その結果データ輸出者の権利および義務を引き受ける場合はこの限りではありません。
3.3データ主体は、本条項、第 5.1 条から第 5.5 条および第 5.7 条、第 6 条、第 7 条、第 8.ただし、契約または法律の運用により、データ輸出者の法的義務をすべて引き受 け、その結果データ輸出者の権利および義務を引き受ける後継事業体がある場合はこの 限りではなく、データ対象者はかかる事業体に対してこれらの権利を行使することができます。この場合、データ主体は当該主体に対してこれらの法的義務を行使することができます。このようなサブ・プロセッサーの第三者責任は、本条項に基づく自己の処理業務に限定されるものとします。
3.4当事者は、データ対象者が明示的に希望し、国内法で認められている場合、 データ対象者が協会またはその他の団体によって代表されることに反対しません。
第4条 データ輸出者の義務
データエクスポーターは同意し、保証する:
4.1個人情報の処理(移転そのものを含む)が、適用されるデータ保護法の関連規定に従って実施され、今後も実施されること(該当する場合は、データ輸出者が設立されている加盟国の関連当局に通知されていること)、および当該国の関連規定に違反していないこと;
4.2個人データ処理サービスの期間中、データ輸出者に代わり、適用されるデータ保護法および本条項に従ってのみ、転送された個人データを処理するようデータ輸入者に指示し、また指示すること;
4.3データ輸入者がその技術的および組織的なセキュリティ対策に関して十分な保証を提供すること;
4.4.適用されるデータ保護法の要件を評価した上で、セキュリティ対策が、偶発的または違法な破壊、偶発的な紛失、改ざん、不正な開示またはアクセス、特に処理にネットワークを介したデータ転送が含まれる場合、およびその他すべての違法な形態の処理から個人データを保護するために適切であり、かつこれらの対策が、最先端の技術とその実装にかかるコストを考慮した上で、処理によってもたらされるリスクおよび保護されるべきデータの性質に適切なレベルのセキュリティを保証するものであること;
4.5セキュリティ対策の遵守を保証すること;
4.6転送が特別な種類のデータを含む場合、データ主体が、そのデータが指令95/46/ECの意味において適切な保護を提供しない第三国に転送される可能性があることを、転送の前に、または転送後できるだけ早く通知されたこと、または通知される予定であること;
4.7データ輸出者が転送の継続または一時停止の解除を決定した場合、データ輸入者または第5.2条および第8.3条に従ってサブプロセッサーから受領した通知をデータ保護監督機関に転送すること;
4.8.情報主体が要求した場合、本条項のコピー、セキュリティ対策の概要説明、および本条項に従って作成されなければならないサブ処理サービスに関する契約のコピーを提供すること。ただし、本条項または契約に商業情報が含まれている場合は、当該情報を削除することができるものとします;
4.9.サブ処理の場合、処理活動が、少なくともデータ輸入者と同レベルの個人データおよびデータ主体の権利の保護を提供するサブ処理者によって、第11条に従って実施されること。
4.10条項4.1~4.9の遵守を保証すること。
第5条 データ輸入者の義務
データインポーターは同意し、保証する:
5.1データ輸出者に代わって、データ輸出者の指示および本条項に従ってのみ個人情報を処理すること。理由の如何を問わず、そのような遵守ができない場合、データ輸出者に速やかにその旨を通知することに同意するものとします;
5.2データ輸出者に適用される法律が、データ輸出者から受領した指示および契約に基づく義務の履行を妨げると考える理由がないこと、また、本条項によって提供される保証および義務に実質的な悪影響を及ぼす可能性のあるこの法律の変更があった場合、データ輸出者がその変更に気づき次第、速やかにデータ輸出者に通知すること;
5.3移転された個人データを処理する前に、付録2に従った技術的および組織的なセキュリティ対策を実施していること;
5.4データ輸出者は、(i)法執行当局による個人データの開示に関する法的拘束力のある要求があった場合、法執行当局の捜査の秘密を保持するために刑法で禁止されているなどの別段の禁止がない限り、(ii)偶発的または不正なアクセスがあった場合、および(iii)データ対象者から直接受けた要求があった場合、データ輸出者が別段の権限を付与されていない限り、その要求に応じることなく、データ輸出者に速やかに通知するものとします;
5.5転送の対象となる個人データの処理に関するデータ輸出者からのすべての問い合わせに迅速かつ適切に対応し、転送されたデータの処理に関する監督当局の助言に従うこと;
5.6データ輸出者が監督当局の要求に従い、データ処理施設を提出し、本条項の対象となる処理活動の監査を受けるものとします。この監査は、データ輸出者、または独立したメンバーで構成され、必要な専門資格を有し、守秘義務に拘束される、データ輸出者が選択した検査機関(該当する場合)により、監督当局と合意した上で実施されるものとします;
ただし、データ対象者がデータ輸出者からコピーを入手できない場合は、付録 2 を除き、セキュリティ対策の概要説明に置き換えるものとします;
5.8.サブ処理の場合、データ輸出者に通知し、書面による事前の同意を得たこと;
5.9.サブプロセッサーによる処理サービスは、第11条に従って実施されること;
5.10要求に応じて、本条項に基づいて締結したサブプロセッサー契約のコピーをデータ輸出者に速やかに送付すること。
第6条 責任
6.1当事者は、いずれかの当事者またはサブプロセッサーによる第3条または第11条の義務違反の結果として損害を被ったデータ主体が、被った損害についてデータ輸出者から補償を受ける権利を有することに同意します。
6.2データ主体が、データ輸出者が事実上消滅したか、または第 11 条で言及され ている義務に違反したことに起因して、6.データ輸入者またはそのサブプロセッサーによる第 3 条または第 11 条で言及された義務の違反に起因して、データ輸出者が事実上消滅したか、法律上存在しなくなったか、または支払不能になったために、データ対象者がデータ輸入者に対して、データ輸出者であるかのように賠償請求を行うことができない場合、データ輸入者は、後継の事業体が契約により法律の運用によりデータ輸出者のすべての法的義務を引き受けた場合を除き、データ対象者がデータ輸入者に対して賠償請求を行うことができることに同意するものとします。データ輸入者は、自己の責任を回避するために、サブプロセッサーによる義務違反に依拠することはできません。
6.3データ主体が、データ輸出者およびデータ輸入者の両方が事実上消滅または消滅したため、6.1 および 6.データ輸出者およびデータ輸入者の両方が事実上消滅したか、法律上存在しなくなったか、または支払不能になったため、第3条または第11条に記載されているいずれかの義務に対するサブ処理者の違反に起因して、データ主体が6.1および6.2に記載されているデータ輸出者およびデータ輸入者に対して請求できない場合、サブ処理者はデータ主体が6.1および6.2に記載されているデータ輸入者に対して請求できることに同意するものとします、ただし、契約上または法律の運用上、データ輸出者またはデータ輸入者の法的義務全体を承継事業者が引き受けた場合はこの限りではなく、データ主体は当該事業者に対して権利を行使することができます。この場合、データ主体は当該主体に対して権利を行使することができます。サブプロセ ッサの責任は、本条項に基づく自らの処理業務に限定されるものとします。
第7条 調停および裁判管轄
7.1データ輸入者は、データ主体がデータ輸入者に対して第三者の受益権を行使する場合、 および/または本条項に基づいて損害賠償を請求する場合、データ主体が (i) 独立した人物または該当する場合は監督当局による調停に紛争を付託する、 または (ii) データ輸出者が設立されている加盟国の裁判所に紛争を付託する、 という決定を受け入れることに同意するものとします。
7.2当事者は、情報主体が選択した内容が、国内法または国際法の他の規定に従って救済を求める実体上または手続き上の権利を損なうものではないことに同意するものとします。
第8条 監督当局との協力
8.1データ輸出者は、監督当局が要求した場合、または適用されるデータ保護法に基づいてそのような預託が要求された場合、本契約のコピーを監督当局に預託することに同意するものとします。
8.2当事者は、監督当局がデータ輸入者、およびあらゆるサブプロセッサーに対して、 適用されるデータ保護法の下でデータ輸出者の監査に適用されるのと同じ範囲を有し、 同じ条件に従う監査を実施する権利を有することに同意するものとします。
8.3データ輸入者は、8.2.に従ったデータ輸入者またはサブ処理者に対する監査の実施を妨 げる、データ輸入者またはサブ処理者に適用される法規制の存在について、データ輸出者に 速やかに通知するものとします。この場合、データ輸出者は第 5.2 条で規定されている措置を講じる権利を有するものとします。
第9条 準拠法
本条項は、データ輸出者が設立されている加盟国の法律に準拠するものとします。
第10条 契約の変更
当事者は、本条項を変更または修正しないことを約束する。これは、本条項と矛盾しない限り、当事者が必要に応じて業務関連事項に関する条項を追加することを妨げるものではない。
第11条 サブプロセス
11.1データ輸入者は、データ輸出者の書面による事前の同意がない限り、本条項に基づいてデータ輸出者に代わって行う処理業務を外注してはならないものとします。データ輸入者がデータ輸出者に通知した上で、本条項に基づいてその義務を下請けに出す場合は、本条項に基づいてデータ輸入者に課される義務と同じ義務を下請け業者に課す、下請け業者との書面による契約によってのみ行うものとします。サブプロセッサーがかかる書面による合意に基づくデータ保護義務を履行しない場合、データ輸入者はデータ輸出者に対し、かかる合意に基づくサブプロセッサーの義務の履行について引き続き全責任を負うものとします。
11.2データ輸入者とサブ処理者との間の事前の書面による契約は、データ主体が、 データ輸出者またはデータ輸入者が事実上消滅したか、法律上存在しなくなったか、 または支払不能になったために、6.1 で言及された補償請求をデータ輸出者またはデータ 輸入者に対して行うことができず、契約上または法律の運用上、データ輸出者ま たはデータ輸入者の法的義務全体を引き受ける後継者がいない場合のために、第 3 条に規定された第三者受益者条項も規定するものとします。このようなサブ・プロセ サーの第三者責任は、本条項に基づく自らの処理業務に限定されるものとします。
11.3 11.1で言及された契約のサブ処理に関するデータ保護の側面に関する規定は、 データ輸出者が設立されている加盟国の法律に準拠するものとします。
11.4データ輸出者は、本条項に基づいて締結され、第5.10条に従ってデータ輸入者から 通知されたサブ処理契約のリストを保管するものとし、少なくとも年に 1 回更新するものとします。このリストは、データ輸出者のデータ保護監督機関が入手できるものとします。
第12条 個人データ処理サービス終了後の義務
12.1当事者は、データ処理サービスの提供が終了した場合、データ輸入者およびサブプロセッサーは、データ輸出者の選択により、移転されたすべての個人データおよびそのコピーをデータ輸出者に返却するか、またはすべての個人データを破棄し、その旨をデータ輸出者に証明するものとします。この場合、データ輸入者は、移転された個人データの機密性を保証し、移転された個人データを積極的に処理しないことを保証するものとします。
12.2データ輸入者およびサブプロセッサーは、監督当局の要求があれば、12.1 で言及された措置の監査のためにデータ処理施設を提出することを保証するものとします。
アペンディックス1 - 標準契約条項へ
本付属文書は、本条項の一部を構成する。加盟国は、自国の手続きに従い、この付属文書に記載されるべき追加的な必要情報を、別途書面による合意を通じて記入または指定することができる。
データエクスポーター -データエクスポーターとは、本契約においてソリューションのライセンシーとして特定されている事業体です。
データインポーター -データインポーターは、EXABEAM Inc.
EXABEAMはエンタープライズソフトウェアのプロバイダーであり、Software as a Service (SaaS)ソリューションを提供しています。また、オンプレミスのソフトウェアソリューションや、すべての製品とサービスに関するテクニカルサポートも提供しています。
データ対象者-移転される個人データは、以下のデータカテゴリーに関係する場合があります(データ対象者が自然人の場合のみ適用されます):
姓名
連絡先(住所、Eメールアドレス、電話を含む)
会社および/または雇用主
役職名
データエクスポーターの裁量により入力された追加データ
処理の期間は、書面による別段の合意がない限り、(i)本契約の満了もしくは終了、または(ii)いずれかの当事者が本契約に基づく義務を履行する目的で処理が必要でなくなる日のいずれか早い日までとします。
処理は、ソリューションを提供するために必要な活動、または当事者間で合意された活動のみから構成されます。
付録2 - 標準契約条項について
本付録は条項の一部を構成するものであり、当事者によって記入・署名されなければならない。
条項4.4および5.3に従ってデータ輸入者が実施する技術的および組織的なセキュリティ対策の説明:上記のポリシーに定めるとおり。
バージョン201015