Xデータ処理補遺条項

Xデータ処理補遺条項

本Xデータ処理補遺条項(以下、「DPA」といいます。)は、御社とX, Inc.、 X International Company並びにこれらの関連会社及び/又は子会社(総称して以下、「X」といいます。)との間の全ての契約(以下、「本件契約」といいます。)を修正するものとし、かつ本件契約に適用されるものとします(但し、Xが、(i)御社の処理者として、欧州経済領域、英国及びスイスに由来する個人データ又は(ii)御社のサービスプロバイダーとして、カリフォルニア州消費者の個人情報(これらを総称して以下、「御社のデータ」といいます。)を処理する範囲内においてとします。)。

1. 定義

本DPAにおいて使用される用語及び語句で、DPA内に定義のないものについては、(i) EU一般データ保護規則(2016/679)(以下、「GDPR」といい、あらゆる従位法律又は施行法律を含みます。)、(ii) EU・米国間プライバシーシールド及びスイス・米国間プライバシーシールド(以下、「プライバシーシールド」といいます。)、並びに(iii)カリフォルニア州民法第1798.100条以下カリフォルニア州消費者プライバシー法2018(以下、「CCPA」といいます。)(i~iiiを総称して以下、「適用データ保護法」といいます。)においてかかる用語及び語句に付された意味を有します。

「御社」とは、XとのDPAに同意した管理者又は企業を指します。

2. 処理業務の詳細

処理(Xが御社の代わりに実施する処理業務、御社からXへの指示及びXが配備する安全対策を含みます。)の対象は、御社とXとの間の関連する本件契約に記載されています。Xは処理業務の実施において、御社の代わりに、かつ御社の指示に基づき、御社のサービスプロバイダーとして行為します。

3. 御社の義務

3.1 御社は、御社のデータが処理されている又は今後処理される目的及び手段、並びに御社のデータが処理される又は今後処理される方法を決定します。

3.2 御社は、DPAに従いXに提供される御社のデータについて、以下を表明及び保証し、かつ以下に同意します。

    3.2.1 御社が、管理者又は企業に対して適用データ保護法により規定される個人データセキュリティー及びその他の義務を遵守すること。

    3.2.2 御社が、Xに対する御社のデータの提供は適用データ保護法を遵守したものであることを確認すること。

    3.2.3 御社が、自己の個人データ又は個人情報が収集される個人/消費者の権利の行使に関する手続を確立済みであること。

    3.2.4 御社が、合法的かつ有効に収集された個人データ又は個人情報のみを処理し、かかるデータ又は情報がそれぞれの使用に関連かつ相応することを確実とすること。

    3.2.5 御社が、御社の消費者に対して御社のプライバシーポリシーに基づき行う開示と一貫した業務目的で御社のデータをXに開示すること、及び、御社が、Xに対して御社のデータを売却しないこと。

    3.2.6 御社が、適用データ保護法の要件の評価後、実施中の安全・機密保持対策が、御社のデータを(特に、ネットワークを介したデータ送信を伴う処理である場合に)偶発的又は違法な破壊、偶発的損失、修正、不正又は違法な開示又はアクセスから、かつその他あらゆる形態の違法又は不正な処理から保護するために適切であることを確実とすること。及び、

    3.2.7 御社が、御社の従業員及び御社に代わって御社のデータにアクセスするかこれを使用するあらゆる者によりDPAの規定が遵守されていることを確実とするための合理的な措置を講じること。

4. X の義務

4.1 Xは、御社に代わり、御社のデータの処理を実施します。

4.2 GDPR第28条の規定に基づき、Xは以下を行うことに同意します。

4.2.1 御社に代わり、かつ御社の指示(国際データ移転に関するものを含みます。)(DPA及び御社とXとの間の全ての本件契約における指示を含みます。)に従ってのみ、御社のデータを処理すること。但し、Xが従うEU法又は加盟国法により処理が義務付けられる場合はこの限りではありません。

4.2.2 御社の指示が適用データ保護法に違反するものであるとXが判断する場合、直ちに御社に通知すること。

4.2.3 御社のデータに対する処理活動の開始前に御社とXとの間の本件契約に規定される適切な技術的・組織的安全対策を実施し、DPAの期間を通じてかかる安全対策(又はより良い安全対策)を維持し、さらに、Xのプライバシー及び安全に関するポリシーの合理的な証拠を御社に提供すること。

4.2.4 (i)自己が雇用する者及び(ii)自己の事業所で従事させられているその他の者で御社のデータを処理することのある者が、DPAを把握し、かつこれを遵守することを確実とするための合理的な措置を講じること。

4.2.5 御社のデータに関して全ての本件契約に詳述される機密保持義務を遵守し、自己の従業員、授権された代理人及び副処理者が(雇用・契約の終了後又は業務の終了時を含み)御社のデータの機密保持義務に従い、これを認識し、かつ遵守することを確実とするために適切な措置を講じること。

4.2.6 以下を御社に通知すること。

4.2.6.1 司法当局による、御社のデータの開示を求める法的拘束力のある要求(但し、司法当局による捜査の機密保全の目的等により、通知が禁止される場合を除きます。)。

4.2.6.2 御社のデータに関連する適用データ保護法の意義の範囲内における個人データ漏洩で、適用データ保護法に基づき監督機関又はデータ主体に対する通知が義務付けられることのあるもの(以下、「セキュリティーインシデント」といいます。)。

4.2.6.3 監督機関による該当する通知、照会又は捜査で、御社のデータに関連するもの。及び、

4.2.6.4 御社のデータへのアクセス、かかるデータの訂正又は同データのブロックを求める要請で、かかる要請に応答することなくデータ主体より直接受領したもの(但し、御社が応答を承認したか、法律により応答が義務付けられる場合を除きます。)。

4.2.7 以下に関する御社の義務に関して、合理的な協力と支援を提供すること。

4.2.7.1 御社のデータへのアクセス又は御社のデータの訂正、削除、制限、ブロック若しくは消去に関するデータ主体からの要請。

4.2.7.2 あらゆるセキュリティーインシデントの調査並びに監督機関及びデータ主体に対するかかるセキュリティーインシデントについての通知。

4.2.7.3 データ保護影響評価の準備及び(該当する場合)監督機関への相談の実施。

4.2.7.4 御社のデータの安全確保(御社とXとの間の本件契約に詳述される技術的・組織的安全対策の実施による場合を含みます。)。

4.2.8 Xが御社のデータを処理することが法律により義務付けられる場合、処理を開始する前にかかる義務について御社に通知するための合理的な措置を講じること(但し、Xが、重要な公益を理由として御社に通知することを禁じられている場合はこの限りではありません。)。及び、

4.2.9 合理的な要請に基づき、本条第2項の義務の遵守を証するために必要な情報を御社に提供すること。

4.3 CCPAに基づき、Xは以下に同意します。

4.3.1 Xは専ら、御社のデータに関するサービスプロバイダーとして行動していること。

4.3.2 Xは、DPA又は御社とXとの間のその他の本件契約に記載されるサービスを実施するという特定の目的以外で、御社のデータを保持、使用又は開示してはならないこと。 Xは、DPA及び御社とXとの間のその他の本件契約に記載されるサービスの実施の一環として、御社のデータを匿名化又は集約する場合があること。及び、

4.3.3 Xは、自己が本条第3項に定める要件及び制限を理解しており、かつこれらを遵守するということを保証すること。

4.4 Xは、御社がdpo@X.comへの電子メール送信により行う要請(1暦年につき1回の要請を超えないこととします。)に基づき、DPAの本条、第5条及び第6条の遵守を書面で証明します。Xは毎年、本件契約に基づくデータ処理サービスに適用されるStatement on Standards for Attestation Engagements(SSAE)No. 18(以下、「SSAE 18」といいます。)(サービス組織における統制に関する報告)又は国際保証業務基準(ISAE)3402号(以下、「ISAE 3402」といいます。)(サービス組織における統制に関する保証報告)の基準に基づき、適格な第三者監査機関が提供する意見書又はService Organization Control(サービス・オーガニゼーション・コントロール)(これらの各報告書を以下、「本件報告書」といいます。)を御社に提供します。XによるDPAの条件遵守を確認できる十分な情報が本件報告書において提供されていないと御社が合理的に判断する場合、御社又は御社とXの双方が合意した適格な第三者監査機関は、Xに対する少なくとも60日前の合理的な事前通知をもって、かつ合理的な機密保持手順に従うことを条件として、Xの業務に混乱を生じさせない方法で、通常の営業時間中に、XによるDPAの条件遵守を監査することができます。御社は、かかる監査に関する全ての費用及び料金(Xが実施するサポートサービスの料金並びに本条第3項及び第2項第7号を遵守するにあたりXが負担する経費に加え、かかる監査に対してXが支出する、その時点を問わない全ての合理的な費用及び料金を含みます。)につき責任を負います。かかる監査の開始前に、御社とXは、監査のタイミング、期間及び範囲について相互に合意します(但し、データ処理サービスの提供源となるサーバーへの物理的なアクセスは伴わないものとします。)。御社は監査の過程で発見された不遵守に関する情報を速やかにXへ通知します。御社は、年に1回を超えてXに対する監査を実施することはできません。

4.5 プライバシーシールドの規定に加えて、X, Inc.は、EU個人データに対し、少なくとも www.privacyshield.gov/EU-US-Framework に記載のプライバシーシールド原則に基づき義務付けられるものと同基準の保護を提供することに同意します。

5. 移転、開示及び第三者

5.1 御社は、(a) Xの関連会社が副処理者として従事させられる場合があること、及び(b) X とその関連会社がデータ処理サービスの提供に関連して第三者を従事させる場合があることを了解し、これに同意します。X又はその関連会社は、かかる副処理者との間で、DPAに規定されるものに類する基準のデータ保護の遵守及び情報セキュリティーを保証するようかかる副処理者に義務付ける、契約による取り決めを締結するものとします。本条の目的において、御社はDPAにより、Xに対し、本件契約に基づくデータ処理サービスを提供する目的でXを援助することが求められる副処理者を従事させることを許可します。

5.2 データ処理サービス用の副処理者が記載された最新のリストは、privacy.twitter.com からアクセスが可能です。当社は御社のデータの新たな副処理者を従事させる前に、御社に対し合理的な通知(かかる新副処理者が御社のデータの処理を開始する日付(以下、「副処理者効力発生日」といいます。)を含むもの)を提供します。御社は該当する製品、プログラム又は機能の使用を副処理者効力発生日よりも前に停止することにより、Xによる新副処理者の従事に異議を唱えることができます。御社が副処理者効力発生日以降も引き続き該当する製品、プログラム又は機能を使用する場合、御社がかかる新副処理者を承認したものとみなされます。

6. 終了後の義務

御社とX は、何らかのデータ処理サービスが終了した場合、X及び副処理者が、関連する本件契約に記載の制限に従うことを条件として、かかるデータ処理サービスに関連する御社のデータの一切及び当該データの写しの全てを御社に返却するか、これらを安全に破壊したうえで、かかる措置を講じたことを御社が満足する程度に証明するものとする(但し、適用法がX及びあらゆる副処理者による御社のデータの全部若しくは一部の返却若しくは破壊を妨げる場合はこの限りではありません。)ことに合意します。かかる返却又は破壊が適用法により妨げられる場合、X又は副処理者は、自己が保持する御社のデータの機密を保全すること、及びかかる終了日の後においては自己が従う法律を遵守するためにのみ御社のデータを能動的に処理することに同意します。

7. 準拠法及び管轄

御社がEU又は欧州経済領域にある場合、DPA及びDPA若しくはその主題若しくは成立から生じる、又はこれらに関連して生じる紛争又は請求(契約によらない紛争又は請求を含みます。)は、アイルランドの法律に準拠し、かつ同法律に従って解釈されるものとし、DPAの当事者らは、DPA若しくはその主題若しくは成立から生じる、又はこれらに関連して生じる紛争又は請求(契約によらない紛争又は請求を含みます。)の解決にあたってはアイルランドの裁判所が専属的管轄裁判所となることに取消不能な形で合意します。

御社がEU外又は欧州経済領域外にある場合、DPA 及びDPA若しくはその主題若しくは成立から生じる、又はこれらに関連して生じる紛争又は請求(契約によらない紛争又は請求を含みます。)は、米国カリフォルニア州の法律に準拠し、かつ同法律に従って解釈されるものとし、DPAの当事者らは、DPA若しくはその主題若しくは成立から生じる、又はこれらに関連して生じる紛争又は請求(契約によらない紛争又は請求を含みます。)の解決にあたっては米国カリフォルニア州サンフランシスコ郡に所在する連邦裁判所又は州裁判所が専属的管轄裁判所となることに取消不能な形で合意します。

8. 紛争

DPAの条件及び御社とXとの間のその他のあらゆる条件(本件契約の条件を含みますがこれに限られません。)との間に何らかの矛盾が生じた場合、DPAにおける条件が優先します。

発効日: 2018年5月25日