本グローバルデータ処理補足条項(以下「本補足条項」という)は、本補足条項の発効日(以下に定義する)より発効し、GumGum, Inc. (「GumGum」)が「データ管理者」または「対象事業者」として負うグローバルなデータ保護義務を、GumGumがサービス契約(以下「本契約」)を締結し、データ処理者が個人情報を処理する事業体または法人(以下「データ処理者」)に対して、具体的に修正するものである。
1. 優先順位と解釈
本補足契約およびその付属書類の条項が、本契約またはそれに付随するデータ保護に関する補足契約の他の条項と矛盾する場合、当事者は、各当事者が適用法に基づきその義務を履行できるよう、本補足契約、その付属書類、および本契約の条項を解釈することを意図する。
2. 処理の範囲および目的;保存期間
データ処理者は、適用されるデータ保護法により別段の定めがある場合を除き、本補遺を含む主契約に基づきGumGumに対する義務を履行するため、およびGumGumに代わってのみ、すべての個人データを処理するものとし、その他の目的には一切使用しないものとする。適用されるデータ保護法により別段の定めがある場合、データ処理者は、処理を行う前に、その法的要件をGumGumに通知するものとする。
前項を制限することなく、GumGumは、データ処理業者に対し、GumGumが随時データ処理業者に提供する書面による指示に従い、かつ以下の方法により、個人データを処理するよう指示する。
データの処理の対象、性質および目的 データ処理者は、GumGumへのサービスの提供および主契約に基づく目的の達成のみを目的としてデータを処理する。これには、適用されるデータ保護法に規定される合法的な処理または事業上の目的が含まれる場合がある。 データの処理の対象、性質および目的 データ処理者は、GumGumへのサービスの提供および本契約に基づく目的の達成のみを目的としてデータを処理する。これには、適用されるデータ保護法に規定される合法的な処理または事業上の目的が含まれる場合がある。
主契約に基づき通常処理の対象となる個人データのカテゴリー ― GDPRで定義される「特別な種類のデータ」を除く、あらゆる種類の個人データ。GumGumは、データ処理者に対し、特別な種類の個人データに該当する可能性のある個人データを、データ処理者に移転またはその他の方法で提供しないことを表明し、保証する。
データ主体の代表的なカテゴリー - 付録2に記載のとおり(ダウンロード こちら)に規定されているとおり。
処理の予定期間 — 本契約の有効期間、またはデータ処理者が個人データを合法的に処理し続ける期間のうち、いずれか長い方。
データ処理者は、以下の行為を行わないものとします:
主契約で許可されている場合を除き、いかなる目的であれ個人データを販売すること。本項において、「販売」とは、CCPAに規定される意味を有するものとします。
本契約に規定された特定の目的以外のいかなる目的においても、個人データを処理してはならない。疑義を避けるために明記するが、データ処理者は、GumGumとデータ処理者との間の直接的な取引関係の範囲外で個人データを処理してはならない。
GumGumの明示的な許可なく、個人データと非個人データ、またはその他のデータとの間を関連付けたり、特定したり、あるいはその他の方法で関係を構築しようとすること。
匿名化された情報は、個人データには該当しません。「匿名化」とは、適用されるデータ保護法に規定される意味を有するものとします(これには、「擬似匿名化」などの類似の用語が含まれる場合があります)。
データ処理者は、以下の条件を満たす場合に限り、個人データの匿名化を行うことができる。
- 当該情報に関連する可能性のあるデータ主体を再特定できないよう、技術的な安全措置を講じている;
- 当該情報の再識別を明確に禁止する業務プロセスを導入しており、かつ;および
- 当該情報の再特定を試みることは一切ありません。
3. データ処理者による法令遵守
データ処理者は、本補遺に規定される範囲内において、かつ適用されるデータ保護法に準拠してのみ、個人データを処理するものとします。
データ処理業者は、本付則に規定される制限事項および義務を理解しており、これらを遵守することをここに証明する。
4. 個人データの処理に関する要件
データ処理業者は、以下のことを行います:
個人データの処理を委託する相手方に対し、守秘義務を遵守することを確約させるか、または適切な法的守秘義務を負っていることを確認するとともに、当該相手方がデータ処理者が定めた手順を認識しており、データ保護およびセキュリティに関する適切な研修を受けていることを確認しなければならない。
GumGumからの書面による要請があった場合、データ主体(またはその代理人)が、適用されるデータ保護法に基づく権利(個人データへのアクセス権や削除権など)を行使するために提出した、検証可能な要請に対応するというGumGumの義務の履行を支援する。
(i) 個人データの処理に関する第三者またはデータ主体からの要請または苦情、あるいは (ii) 政府またはデータ主体から、GumGumに代わってデータ処理者が行う個人データの処理へのアクセスまたはその情報に関する要請については、適用されるデータ保護法によって禁止されている場合を除き、速やかにGumGumに通知するものとします。 データ処理者が第三者、データ主体、または政府からの要請を受けた場合、データ処理者は、当該要請への対応を支援するかどうか、またその方法について、GumGumからの書面による指示を待つものとします。データ処理者は、かかる要請に関して、GumGumに対し合理的な協力および支援を提供するものとします。
GumGumが、個人データの処理または提案されている処理に関するデータ保護影響評価を実施するにあたり、GumGumに対して合理的な支援および協力を提供する。
個人データの処理または処理の予定に関連して規制当局との協議を行う際、GumGumに対し合理的な支援および協力を提供するものとする。これには、適用されるデータ保護法に基づき、データ処理者が行う個人データの処理または処理の予定に関して規制当局と協議する義務を含む。
5. セキュリティ対策およびインシデント報告;監査権限
セキュリティ対策。データ処理者は、個人データを保護するため、以下の事項を確実に履行できるよう、適切な管理上、技術上、物理的および組織上の措置を実施し、維持するものとします。
データ処理者は、データ保護法に基づき、自らが直接適用を受けるセキュリティ侵害に関連する義務を遵守するものとします。データ処理者は、(a) 本契約で特定された目的のための個人情報の処理、および (b) 不正または違法な処理、破壊、損傷、誤用、または紛失に内在するリスクから、各GumGum関連会社の個人情報を適切に保護するため、技術的および組織的なセキュリティ対策を実施し、維持するものとします。 データ処理者は、自身が処理する個人情報の性質にふさわしい、合理的なセキュリティ手順および慣行を実施し、維持するものとします。
データ処理者は、本契約に関連する個人情報の処理に関して、データ保護当局から寄せられた要請への対応において、GumGumを支援するものとする。 かかる要請がデータ処理業者に直接なされた場合、データ処理業者は、法的に応答を義務付けられている場合を除き、GumGumの事前の承認なしに、当該連絡に直接応答してはならない。データ処理業者が法的に当該要請に応答することを義務付けられている場合、データ処理業者は、法的に禁止されていない限り、速やかにGumGumに通知し、当該要請の写しをGumGumに提供しなければならない。
データ処理者は、以下の事象が発生した場合、速やかに、かつ不当な遅延なく、いかなる場合でもその事実を知った後24時間以内に、GumGumに通知するものとします。(a) データ処理者の処理業務における重大な中断; (b) 個人情報の不正な取得、紛失、アクセス、または使用;または (c) 個人情報の偶発的または違法な破壊、紛失、改ざん、不正開示、または不正アクセスにつながるセキュリティ侵害(これらを総称して「セキュリティインシデント」という)。
監査。本主契約の規定を損なうことなく、GumGumは、監査の円滑な実施に必要な情報および支援、ならびにデータ保護影響評価の完了、または本付則、本主契約、およびすべての適用されるデータ保護法の規定への準拠を確認するために必要なその他の情報を、GumGumに提供し、利用可能にするものとします。 疑義を避けるために明記するが、本規定は、データ処理者に対し、データ処理者の他の顧客に関する機密情報、またはデータ処理者に帰属するその他の機密情報もしくは専有情報へのアクセスをGumGumに提供することを要求するものではない。
6. データの削除
主契約の終了または満了時、GumGumの要請があった場合、または適用されるデータ保護法に基づき、データ処理者は、主契約に関連して処理した個人情報の完全な写しを、当事者間で合理的に合意された形式および様式でGumGumに返還しなければならない。GumGumが当該写しの受領を確認した後、データ処理者は、その保有または管理下に残っているすべての個人情報を安全に廃棄しなければならない。
7. 下請業者
GumGumは、データ処理者が、本付則および適用されるデータ保護法の規定に従い、個人データの処理を行うために、データ処理者の関連会社および/または下請業者を利用する場合があることを認め、これに同意する。データ処理者は、添付の付録2に記載された下請業者の最新リストをGumGumに提供するとともに、GumGumから随時合理的な書面による要請があった場合にも、これを提供しなければならない。
データ処理者が、関連会社を含む第三者に対し、個人データに関する権利または義務のいずれかを再委託する場合、 データ処理者は、(i)適用されるデータ保護法に準拠して個人データを保護するための適切なプライバシーおよびセキュリティ対策を維持できる下請業者を選定し、選任するために商業的に合理的な措置を講じ、かつ(ii)各下請業者との間で、本付則に基づきデータ処理者に課される義務と同等かそれ以上に厳格な義務を下請業者に課す書面による契約を締結するものとします。
8. 補償
本主契約に基づくデータ処理者の補償義務に加え、データ処理者は、データ処理者、その下請業者および譲受人による本付則の違反に起因してGumGumが被った一切の請求、訴訟、責任、損失、損害および費用(訴訟費用を含む)について、GumGumに対し責任を負い、これを補償するものとします。これには、第三者-第三者(データ保護当局によるものを含む)からの要求、請求または訴訟に起因するもの、ならびにデータ処理者による重大な契約違反、過失、詐欺、故意の不正行為、法定義務違反、または適用されるデータ保護法および規制への不遵守に起因するものを含むが、これらに限定されない)を認め、GumGumに対し賠償する責任を負うものとする。疑義を避けるため、当事者は、本補償条項の規定が本契約のいかなる補償条項にも優先するものではなく、むしろそれらに追加されるものであり、かつそれらと何ら矛盾しないことを認め、合意する。
9. 責任の制限
本補遺に起因または関連して生じるデータ処理者の責任については、本契約に規定される責任制限の条項が適用される。また、GumGumは、すべての適用されるデータ保護法に関する自らの責任および遵守義務を負うものとし、本補遺に規定される場合を除き、データ処理者は、GumGumによるこれらの法律の違反について一切の責任を負わない。
10. 準拠法
GDPRで定義される標準契約条項、またはその他のデータ移転要件により別段の定めがない限り、本補足条項は、法の抵触に関する原則の適用を除き、本契約で定められた準拠法に従うものとします。
11. 定義
「付則の発効日」とは 、2020年1月1日、または本契約に定められた発効日のうち、いずれか遅い方を指す 。
「関連会社」とは、当事者が所有または支配する、あるいは当事者と共通の所有または支配下にある会社、個人、または団体をいう。ここでいう「所有」とは、会社または団体の株式の50%超を直接または間接に所有することをいい、「支配」とは、会社または団体の取締役会に役員を任命する権限をいう。
「適用されるデータ保護法」とは 、個人データの処理およびプライバシーに関連する、あらゆる関連法域における適用されるすべてのデータ保護法および規制を意味し、 これには、カリフォルニア州下院の議会法案第375号(民法第3編第4部に関連するプライバシーに関する第1.81.5編 (第1798.100条から始まる)を追加する法案、および2018年6月28日にカリフォルニア州知事により承認された、プライバシーに関する民法第3編第4部に追加された条項を含むが、これらに限定されない。 (カリフォルニア州消費者プライバシー法、「CCPA」)、および個人データの処理および当該データの自由な移動に関する自然人の保護に関する欧州議会および理事会規則2016/679(一般データ保護規則、「GDPR」)を含みますが、これらに限定されません。
「データ管理者(以下「管理者」という)」とは、(a) 単独または他者と共同して、個人情報の処理の目的および手段を決定する個人または団体、または (b) CCPAで定義される「対象事業者」をいう。
「データ処理者」または「処理者」とは 、データ管理者に代わって個人情報を処理する個人または法人をいう 。
「データ主体」とは、 (a) 欧州経済領域(「EEA」)に所在する、またはその権利がGDPRによって保護されている、特定された、または特定可能な自然人、(b) CCPAで定義される「消費者」、または(c) 関連するデータ保護法の適用対象となることを意図された、その他の保護対象分類に該当する個人をいう 。
「個人データ」または「個人情報」とは、 (a) 特定された、または特定可能な自然人に関するあらゆる情報、および (b) 適用される法令において「個人を特定できる情報」、「個人情報」、「個人データ」または類似の用語として定義されるあらゆる情報を指し 、GumGumが顧客に提供するサービスに関連して処理する個人情報に限定されるものとする 。
「処理」または「処理行為」とは、(a) 管理者に代わって個人データを処理する自然人または法人、または (b) CCPA で定義される「サービスプロバイダー」を意味し、自動的な手段によるか否かを問わず、個人情報に対して行われる操作または一連の操作に適用される。
「販売」または「販売すること」とは、CCPAで定義される意味を有するものとします。
「サブ処理者」とは、 (a) 処理者、または処理者の他のサブ処理者によって委託され、データ管理者の指示に従い、かつデータ管理者へのサービス提供に関する主契約に関連して、個人データの移転後にデータ管理者に代わって実施される処理活動のみに供される個人データを受け取ることに同意する処理者、または (b) CCPAで定義される「サービスプロバイダー」をいう 。
GumGumの「ベンダー向けグローバルデータ処理者補遺」の全文をダウンロードするには、こちらをクリックしてください こちらをクリックしてください。