データ保護契約 Aryaka

Aryaka Network – データ保護に関する補遺 – GDpr / CCPA

予備的注意事項 – 以下のデータ保護協定：

は、以下の条項が盛り込まれるように作成されています。
(A) サプライヤー（Aryaka）がデータ処理者として行動する場合、「管理者」と「処理者」の間の一般データ保護規則（GDPR）2016/679の第28条、および
(B) サプライヤー、顧客、またはその両方が「事業者」として行動する場合、2018年カリフォルニア州消費者保護法（CCPA）；
GDPRでは「データ主体」の「個人データ」を保護し、CCPAでは「消費者」の「個人情報」を保護すること。
は、基礎となる契約（サブスクリプション基本契約）の補遺またはスケジュールとして添付することを意図しており、独立した契約ではありません。

データ保護契約

(欧州経済領域(GDPR)、カリフォルニア州(CCPA)およびその他の地域をカバー)

本サプライヤーデータ保護契約（以下「DPA」といいます。
以下「DPA」といいます。 [INSERT CUSTOMER ENTITY](以下、「お客様」といいます。)およびAryaka Networks, Inc.(以下、総称して「サプライヤー」といいます。)を代表し、各々を「当事者」とし、合わせて「当事者」とします。
本DPAの目的においてのみ、別段の定めがある場合を除き、「お客様」という用語は、お客様およびその認定関連会社を含むものとします。

背景

サプライヤーは、認定アフィリエイトを含む可能性のあるお客様との間で、1つまたは複数のマスターサブスクリプション契約、発注書、契約、合意など(以下、「契約」)を締結しています。
契約に基づくサービス（以下「サービス」）を提供するにあたり、サプライヤーは、お客様またはその各顧客、サプライヤー、ビジネスパートナーが管理するお客様個人データまたは消費者個人情報を処理する場合があります。
両当事者は、プライバシープログラムおよび契約上の取り決めの一環として、従業員、独立請負業者、候補者、顧客、消費者、サプライヤーまたはビジネスパートナーに対し、顧客個人データおよび消費者個人情報の適切な保護を確保するための一定の保証を提供しています。
したがって、両当事者は、本DPAに基づき、欧州経済地域、米国カリフォルニア州、および世界のその他すべての適用地域における特定のデータ保護法、規則および規制（以下「適用プライバシー法」）の適用を受けることを希望します。

協定書

1.定義

1.1 「関連会社」とは、当事者によって直接または間接的に支配されている、支配している、または当事者と共通の支配下にある事業体を意味します。本定義における「支配」とは、対象事業体の議決権の 50% 以上を直接または間接的に所有または支配することを意味します。
1.2 「適用されるプライバシー法」とは、以下を意味します。
(a) 当該顧客個人データおよび消費者個人情報に適用されるすべての世界的なデータ保護およびプライバシーの法律および規制、
(b) 該当する場合、EEA データ保護法および
(c) カリフォルニア州消費者保護法。
1.3 「認定アフィリエイト」とは、契約に従って本サービスの利用を許可された、またはその他の方法で本サービスの恩恵を受けるお客様のアフィリエイトを意味します。
1.4 「権限を有する者」とは、本DPAに基づき、当事者のために個人データまたは個人情報を処理する者をいい、当事者の従業員、役員、取締役、パートナー、プリンシパル、代理人、代表者、請負業者、およびサプライヤーの場合はそのサブプロセッサーを含みます。
1.5 「企業」または「事業」とは、CCPAの下、カリフォルニア州で事業を行い、消費者の個人情報を収集および管理する営利法人で、以下の閾値を1つ以上満たすものを指します：
(a) 年間総収入が2,500万米ドルを超えること、
(b) 単独で、または組み合わせて、年間50,000人以上の消費者、世帯、または機器の個人情報を商業目的で購入、受領、販売、または共有している場合。
(c)年間売上の50%以上を消費者の個人情報の販売から得ている場合。
事業者」には、これらの基準を満たす事業者を支配する、または支配される事業者も含まれます。
誤解を避けるため、GDPRの管理者でもある「顧客」は、本契約の目的上、「事業者」に含まれます。
1.6 「カリフォルニア州消費者保護法」または「CCPA」とは、2018年カリフォルニア州消費者保護法、特に2017年カリフォルニア州上院法案第1121号により改正された2017年カリフォルニア州議会法案第375号、カリフォルニア州2017-2018年通常会期（カリフォルニア州民法第3部第4編を改正）であって、その保護の対象となる「個人情報」を定義し、その情報を管理する広範な権利を消費者に付与するものであり、2020年1月1日頃に発効し、2020年6月1日頃以降に施行可能なものを意味します（上書、改正または差し替えが行われた場合）。
1.7 「消費者」または「消費者」とは、個人情報に関連するカリフォルニア州在住の自然人を指しますが、個人事業主、パートナーシップ、有限責任会社、法人、およびその他のCCPAに規定される特定の法人は含まれません。
1.8「顧客個人データ」または「顧客データ」とは、以下の場合を除き、すべての個人情報および個人データを意味し、含みます。
(i) 本サービスに関連して、お客様から、またはお客様の指示により、サプライヤーに提供されたもの；
(ii) 本サービスの履行において、お客様のためにサプライヤーが作成または取得したもの。
(iii) サプライヤーが契約に基づき履行する過程で、顧客の指示によりサプライヤーがアクセスするもの。本サービスは個人情報、個人データ、または個人を特定できる情報にはアクセスせず、本サービスを提供する通常の過程において、サプライヤーは個人情報、個人データ、または個人を特定できる情報にはアクセスしませんが、代わりにデータが伝送される独自のソフトウェア定義広域ネットワーク（SD-WAN）を提供することが理解されます。
疑念を避けるため、GDPRの管理者でもある「顧客」は、本契約の目的上、「事業者」に含まれます。
1.9 「管理者」とは、個人データまたは個人情報の処理の目的および手段を決定する主体を意味します。
1.10「C2Cモデル条項」とは、欧州委員会により承認され、http://ec.europa.eu/justice/data-protection/international-transfers/files/clauses_for_personal_data_transfer_set_ii_c2004-5721.docで入手可能な、管理者のための標準契約条項（随時修正、補足、更新される）を意味します。
これらの条項の最新版（発効日時点）は、以下のとおりです。 別表1.8に記載されています。
1.11「C2Pモデル条項」とは、欧州委員会が承認し、https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en。
(随時修正、優先、更新されます)。
これらの条項の最新版（発効日時点）は、以下のとおりです。 別表1.9に記載されています。
1.12 「データ対象者」または「データ主体」とは、個人データに関連する、特定または識別可能な人物を意味します。
1.13 「EEAデータ保護法」とは、(i) 2018年5月25日以前は、顧客個人データの処理に関する個人の保護および当該データの自由な移動に関する欧州議会および理事会の指令95/46/EC（以下「指令」）、2018年5月25日以降は、顧客個人データの処理に関する自然人の保護および当該データの自由な移動に関する欧州議会および理事会の規則2016/679（一般データ保護規則）（以下「GDPR」）を意味します；
(ii) e-プライバシー指令（指令2002/58/EC）、および
(iii) (i)または(ii)に基づいて、または(iii)に従って作成された国内データ保護法
(i)または
(iii)(i)または(ii)の下で、または(iii)(i)または(ii)に従って制定された国内データ保護法（いずれの場合も、優先、修正または置換されたもの）。
1.14「個人データ」、「個人情報」、「処理」、「プロセス」、「販売」、「 収集」、および「監督機関」は、それぞれ適用個人情報保護法で規定される意味を有するものとします。
1.15「プライバシーシールド」とは、米国商務省が管理するEU-USおよびスイス-USプライバシーシールドフレームワークを意味します。
1.16「プライバシーシールド原則」とは、指令に基づく2016年7月12日の欧州委員会決定の付属書IIに含まれるプライバシーシールドフレームワーク原則（補足原則によって補足されたもの）を意味し、その詳細はwww.privacyshield.gov/eu-us-framework。
1.17 「処理者」とは、管理者に代わって個人データまたは個人情報を処理する事業体を意味します。
1.18 「プロセッサー拘束力のある企業規則」とは、監督当局によって承認されたサプライヤーの拘束力のある企業規則プロセッサー（またはBCR-P）を意味します。
1.19 「セキュリティ事故」とは、サプライヤーまたはそのサブプロセッサーが送信、保存、またはその他の方法で処理する個人データまたは個人情報への偶発的または違法な破壊、紛失、改ざん、不正な開示またはアクセスにつながる、またはつながったと合理的に考えられる、不正または違法なセキュリティ違反を意味します。
1.20 「サブ・プロセッサー」とは、本サービスの提供に関する義務の履行を支援するために、サプライヤーまたはその関連会社が契約した、顧客データを処理するプロセッサーを意味します。

2.範囲、GDpr/CCPA 要件、権利および救済措置

2.1 本契約は、データ管理者およびデータ処理者によって管理または処理されるデータ主体の個人データのGDPRに基づく保護、および事業者によって収集または使用される消費者の個人情報のCCPAに基づく保護を対象としています。
データ管理者およびデータ処理者は、本契約において「事業者」とみなされます。具体的には
(a) GDPRに関して：個人データの処理に適用されます：
(i) 処理がEU内で行われるか否かにかかわらず、EU域内の管理者または処理者の事業所の活動に関連するEUまたは非EUのデータ主体に関するもの。
(ii)EU域外に所在する管理者または処理者による、EU域内のデータ主体に関する、EU域内に居住する個人に対する商品またはサービスの提供、または行動の監視に関連する処理活動。
(b) CCPAに関して：カリフォルニア州の消費者の個人情報を収集する場合、カリフォルニア州内外に所在する企業に適用されます。
明確にするため、CCPAの保護はカリフォルニア州居住者に関連します。
従って、物理的な所在地に関係なく、カリフォルニア州で「ビジネスを行う」事業者は、カリフォルニア州の住民との相互作用により、CCPAの対象となる可能性があります。
2.2当事者の役割と処理の詳細。サプライヤーは、お客様の代理として行動する処理者として、契約に基づき個人情報および個人データを処理するものとします。
サプライヤーは、本DPAの不可欠な部分を形成する付属書Aに記載されているとおり、個人情報および個人データを処理することに同意します。
2.3サプライヤーによるデータおよび情報の処理。サプライヤーは常に、契約に基づいてお客様にサービスを提供する目的でのみ、またお客様の文書化された指示に従って、個人情報および個人データを処理するものとします。
2.4お客様の指示に関するサプライヤーの通知義務。サプライヤーは、適用される個人情報保護法で禁止されていない限り、以下の場合、速やかにお客様に書面で通知するものとします：
1. お客様からのデータ処理指示が適用される個人情報保護法に違反していることを認識した場合、またはそのように判断した場合；
2. 理由の如何を問わず、お客様のデータ処理指示に従うことができない場合。
3. 理由の如何を問わず、個人情報または個人データの処理、または個人情報または個人データのセキュリティに関連または規定する契約条件（本DPAを含む）を遵守できない場合。
2.5情報要件：
- (a)個人情報保護法に関し、(i)事業者が収集した個人情報について、消費者からの開示請求があった場合、事業者は、確認可能な開示請求があった日から45日以内に、当該情報を消費者に無料で提供するものとします。ただし、消費者に通知することにより、1回に限り45日間延長することができます。情報の提供は、郵送または電子的方法によることができます。ただし、電子的な開示は、可能な限りポータブルフォーマットで提供される必要があります。(ii) 個人情報を収集する事業者は、収集する個人情報の項目および利用目的を、収集の際または収集前に消費者に通知します。事業者は、消費者に通知することなく、個人情報の種類を追加して収集したり、収集した個人情報を追加して利用したりしてはなりません。(iii) 事業者は、2.5(a)(i)及び2.5(a)(ii)に定める情報を事業者のプライバシーポリシーに記載し、少なくとも12ヶ月に1回は更新するものとします。
- (b) GDPR に関して：(i) 情報のリストは、(A) 個人データがデータ主体から直接収集された場合は、データ主体が個人データを取得した時点で、(B) 個人データがデータ主体から直接収集されなかった場合は、適用される個人情報保護法で規定された後、30 日以内またはその他の適用される期間内に、当該データの提供が不可能または不釣り合いな労力を伴わない限り、データ主体に提供されなければなりません。(ii) 提供される情報のリストには、管理者の身元および連絡先、データ保護責任者の連絡先、処理の目的および法的根拠、個人データの受領者、個人データの保持期間、データ主体の権利、および個人データをEU域外に移転するために使用される適切な保護措置が含まれます。(iii) 2.5(b)(i)および2.5(b)(ii)に定める情報は、管理者または処理者のプライバシーポリシー通知またはGDPR固有のポリシーなどのポリシーまたは通知に含めるものとします。
2.6同意要件：
- (a) CCPAに関して：消費者のオプトアウト規定を遵守するために、事業者は、情報開示の要求を提出するために、少なくともフリーダイヤルの電話番号と公開ウェブサイトを含む2つ以上の指定された方法を利用できるようにする必要があります。
  事業者のウェブサイトには、「Do Not Sell My Personal Information（個人情報を販売しないでください）」と題した、消費者が個人情報の販売をオプトアウトできる明確かつ目立つリンクを設けなければなりません。
  さらに、事業者は、消費者が個人情報の売却をオプトアウトする権利に関する説明を、上記のウェブサイトリンクとともに、ウェブサイトのプライバシーポリシーまたは消費者のプライバシー権に関するカリフォルニア州特有の説明の中で提供しなければなりません。
  また、事業者は、消費者が合理的にアクセス可能な形式で、指定されたプロセスに従い、消費者が個人情報の削除を要求する権利を有することを開示しなければなりません。
- (b)GDPRに関して：個人データ処理の根拠がデータ主体の同意に基づく場合、管理者または処理者は、そのような同意が適用される個人情報保護法で以下のように定義されていなければならないことを理解し、同意するものとします：”データ対象者が、声明または明確な肯定的行動によって、自分に関する個人データの処理に同意することを示す、自由に与えられた、具体的で、情報に基づいた、明確でない意思表示”
2.7データ保持要件：
- (a) 個人情報保護法に関して：事業者は、1回限りの取引のために収集した個人情報を、その事業者が販売または保持しない場合は、保持する必要はありません。
  ただし、個人情報を販売または保持する事業者は、個人情報の収集および使用に関して、請求書を受領した日から過去12ヶ月間にわたる開示を消費者に提供しなければなりません。
- (b) GDPRに関して：個人データは、適用される個人情報保護法に規定されている場合を除き、個人データの処理目的に必要な期間を超えない範囲で、データ主体の識別が可能な形で保持されなければなりません。
  個人データの保存期間に関する情報、またはそれが不可能な場合はその期間を決定するために使用される基準を、情報要件の一部として含めるものとします（上記セクション2.5(b)参照）。
2.8個人の権利
- (a) 個人情報保護法に関して：(a)個人情報保護法に関して：適用される個人情報保護法の適用除外または条件がある場合、各消費者は以下の権利を有するものとします：
  (i) 事業者に対して、当該事業者が収集した個人情報の削除を要求する権利；
  (ii) 事業者が収集し、または第三者に売却もしくは開示した当該消費者に関する個人情報の情報および特定の項目に関する情報を要求し、受領する権利；
  (iii) 消費者の個人情報の販売からオプトアウトすること。
  (iv)CCPAが定める権利の行使により差別されないこと。
- (b) GDPRに関して：適用される個人情報保護法（もしあれば）の適用除外または条件に従い、各データ主体は以下の権利を有するものとします：
  (i) データ管理者またはデータ処理者が当該データ対象者に関して収集した個人データの削除を要求する権利；
  (ii) データ管理者またはデータ処理業者によって収集された、または第三者に販売もしくは開示された、当該データ主体の個人データに関する情報および特定の項目に関する情報を要求し、受領する権利；
  (iii) 個人データの修正を要求すること；
  (iv) 個人データの処理を制限させること；
  (v) 提供された個人データを他の組織に移転させること；
  (vi) 個人データの処理に反対すること；
  (vii) 個人データの処理に対する同意を撤回すること；
  (viii) 個人データの処理に関して規制当局に苦情を申し立てること。
  (ix) プロファイリングを含む、特定の形式の自動処理のみに基づく決定の対象とならないこと。
2.9オプトアウト
- (a) 個人情報保護法に関して消費者の個人情報を販売しようとする事業者は、その事実を消費者に開示しなければならず、消費者は個人情報の販売をオプトアウトする権利を有します。
  16歳未満の消費者については、当該消費者の保護者が当該消費者の個人情報の販売をオプトインする権利を有します。
- (b) GDPRに関して：データ主体は、個人データの販売に関して、セクション2.8(b)に記載されている権利の行使を求めることができます。
2.10救済：
- (a) CCPAに関して：
  (i)個人情報保護法は、事業者が合理的なセキュリティ手順を実施および維持しなかった結果、暗号化されていない、または再暗号化されていない個人情報が不正アクセスおよび流出、盗難、または開示の対象となった消費者の私的訴権を規定しています。
  法定損害賠償は、適用される個人情報保護法に規定されており、また、差止命令による救済、宣言的救済、および裁判所が適切とみなすその他の救済も規定されています。
  (ii) CCPAは、カリフォルニア州司法長官が、適用個人情報保護法違反の通知を受けた日から30日以内に、その違反を是正しない事業者に対して民事罰の訴えを提起する権限を与えるなど、行政執行についても規定しています。
- (b）GDPRに関して：データ主体は以下の権利を有します：
  (i) 規制当局の法的拘束力のある決定に対する司法救済。
  (ii) 管理者または処理者に対する司法救済。
  (iii) 管理者または処理者に対する補償。
  規制当局は、適用される個人情報保護法の規定に従って、管理者または処理者に制裁金を課すこともできます。
2.11サプライヤーの限定的権利。本DPAまたは本契約に反対の規定が明示されている場合を除き、サプライヤーは、個人情報または個人データに関するいかなる権利、権原、または利益も有さず、個人情報または個人データをいかなる者に対しても販売、貸与、またはリースすることはできないことを認めます。

3.サブプロセッシング

3.1サブ・プロセッサーの任命。
サプライヤーは、お客様の書面による事前承諾なしに、個人データまたは個人情報の処理を下請業者に委託しないものとします。
かかる同意は、不合理に留保、遅延、または条件付けされないものとします。
これにかかわらず、お客様は本契約により、以下を条件として、サプライヤーが個人データおよび個人情報を処理するためにサブプロセッサーを雇用することに同意するものとします：
- (a)新しいサブ処理業者の通知。
  サプライヤーは、サブ・プロセッサーの変更（処理の詳細、場所、および顧客が合理的に要求するその他の情報を含む）について、少なくとも30日前に書面で顧客に通知し、サプライヤーは、本DPAに基づき個人データおよび個人情報の処理に従事するすべてのサブ・プロセッサーのリストを付属書Cで更新し、サブ・プロセッサーの変更前に当該更新版を顧客に送付するものとします；
- (b)新しいサブプロセッサーに対する異議申立権。
  ただし、当該異議がデータ保護に関する合理的な理由に基づく場合に限ります。
  この場合、両当事者は、商業的に合理的な代替策について誠意をもって協議するものとします；
- (c)サブプロセサーに対するデータ保護条件。
  サプライヤは、本DPAに含まれるデータ保護条件を、サプライヤが関与するあらゆるサブプロセサーに適用します。
- (d)責任。
  サプライヤーは、本DPAの条項に基づいて各サブプロセッサーのサービスを直接実行する場合にサプライヤーが責任を負うのと同じ程度まで、そのサブプロセッサーの作為または不作為に対して完全な責任を負うものとします。

4.データ主体および消費者の権利と協力

4.1データ対象者または消費者の要求サプライヤーは、処理の性質を考慮し、適用されるプライバシー法に基づく権利の行使を求めるデータ対象者または消費者からの要請を含め、個人データまたは個人情報の処理に関するデータ対象者または消費者、規制機関または司法機関からの要請、苦情、その他の連絡にお客様が対応できるよう、お客様と合理的に協力するものとします（以下、「データ要請」といいます）。
データ要求がサプライヤーに直接なされた場合、サプライヤーは速やかにその旨をお客様に通知するものとし、お客様の明示的な許可なくかかる連絡に応じないものとします。
4.2召喚状および裁判所命令。サプライヤーが第三者（法執行機関、その他の公的または司法当局を含む）から個人データまたは個人情報の開示を求める召喚状、裁判所命令、令状、またはその他の法的要求を受けた場合、サプライヤーはいかなる情報も開示しないものとしますが、かかる要求について直ちにお客様に書面で通知し、お客様がかかる開示を制限、異議申し立て、または保護することを希望する場合は、適用法で許可される範囲で合理的に協力するものとします。
4.3データプライバシー影響評価（「DPIA」）。
適用される個人情報保護法によりサプライヤーが要求される範囲において、サプライヤーは、お客様（またはその第三者管理者）がデータ保護影響評価（DPIA）を実施することを支援し、法的に要求される場合は、データの不正開示に関してデータ対象者または消費者に高いリスクをもたらす可能性のある、本サービスおよび契約の履行に関連して実施される処理活動案に関して、適用されるデータ保護当局と協議します。

5.データアクセスとセキュリティ対策

5.1機密保持およびアクセス制限。サプライヤーは、権限を付与された人物が守秘義務（契約上の義務であるか法令上の義務であるかを問いません）に服し、契約に基づくサービスをお客様に提供する目的でのみ個人データおよび個人情報を処理するようにするものとします。
サプライヤーは、個人データおよび個人情報へのアクセスを、本サービスを実施する人員に限定するものとします。
5.2 セキュリティ対策サプライヤーは、個人データおよび個人情報をセキュリティ事故から保護し、かかる個人データおよび個人情報のセキュリティおよび機密性を保持するために、あらゆる適切な技術的および組織的措置を実施および維持します。
かかる措置は、最新技術、実施コスト、処理の性質、範囲、文脈、目的、ならびに自然人の権利および自由に対する様々な可能性および重大性のリスクを考慮するものとします。
サプライヤーは、最低限、個人データおよび個人情報の保護に関する附属書Bで特定された安全対策に同意するものとします。

6.セキュリティインシデント

6.1セキュリティインシデントの通知。セキュリティ・インシデントが発生した場合、サプライヤーは、過度な遅滞なく、いかなる場合であっても、かかるセキュリティ・インシデントを認識してから24時間以内にお客様に通知し、影響を受けたデータの種類および影響を受けた人物の身元を含むセキュリティ・インシデントの詳細を、かかる情報がサプライヤーに判明し、または入手可能になり次第、書面で提供するものとします。
6.2セキュリティインシデント後のサプライヤーの義務。セキュリティ・インシデントが発生した場合、サプライヤーは以下を行うものとします：
- (a) 適用される個人情報保護法に基づくお客様のデータ侵害報告義務を履行するため（および、適用される個人情報保護法の定める期限に従って）、または、データ保護当局による照会もしくはセキュリティ・インシデントに起因する訴訟に準拠もしくは対応するため、お客様が合理的に必要とするすべての適時の情報および協力を提供すること（セキュリティ・インシデントおよびサプライヤーが実施した調査に関連するすべての証拠の収集および保存を含みます）。
  かかる情報には、以下を含みますが、これらに限定されないものとします：
  - (i) 可能であれば、関係するデータ主体および消費者のカテゴリーとおおよその数、ならびに関係する記録のカテゴリーとおおよその数を含む、セキュリティ・インシデントの性質；
  - (ii) セキュリティインシデントに関する詳細情報を提供できる、サプライヤー（または該当する場合はサプライヤーのサブプロセッサー）内の連絡先の名前と詳細；
  - (iii) サプライヤーの合理的な評価に基づく、セキュリティ・インシデントがもたらすと思われる結果の説明。
  - (iv) セキュリティインシデントに対処するために、サプライヤー（または該当する場合はそのサブプロセッサー）が講じる、講じることを提案する、またはお客様が講じることを提案する措置の説明。
- (b) セキュリティ・インシデントの影響を是正または軽減するために適切なすべての措置および行動を速やかに講じ、セキュリティ・インシデントに関するすべての進展についてお客様に情報を提供すること。
- (c) 個人データおよび個人情報に関わる各データセキュリティインシデントに関して、法的に要求される、または合理的に必要なすべての通知を準備し、送信するために、お客様の費用負担で、またお客様から要求された場合に、お客様を合理的に支援すること。
6.3 セキュリティインシデントに関する通知、公的および規制上の連絡、またはプレスリリースの内容および提供は、適用される個人情報保護法で別途義務付けられている場合を除き、お客様の合理的な裁量にのみ委ねられるものとします。

7.セキュリティレポートと検査

7.1サプライヤーのセキュリティ基準。サプライヤーは、そのセキュリティ基準の記録を保持するものとします。
要求に応じて、サプライヤーは、関連する外部認証、監査報告書の要約、またはサプライヤーが本DPAの遵守を検証するために維持または取得したその他の文書の写しをお客様に提供するものとします。
7.2検査の権利。両当事者は、通常、サプライヤーの本DPAの遵守を確認するために、第7.1条に定めるサプライヤーの義務に依拠することを意図していますが、お客様（またはその指定代理人）は、お客様が必要または適切と考える場合（例えば、お客様がサプライヤーのデータ保護遵守について合理的な懸念を有する場合、セキュリティインシデントの発生後、またはデータ保護当局からの指示に従った場合など）、お客様単独の費用負担で、サプライヤーの業務および施設の検査を実施することができます。
かかる検査に関して、サプライヤーは、適用される個人情報保護法の遵守を証明するために合理的に必要なすべての情報を提供するものとします。
上記にかかわらず、当該検査は以下のとおりとします。
(a) データ保護当局による別段の要求がない限り、個人データおよび個人情報の処理に関連するサプライヤーのその時点での技術文書の提供に限定されること、
(b) サプライヤーの秘密保持、セキュリティ、安全に関する条件および方針に従うこと。
(c)通常の営業時間内に、合理的な書面による事前通知の後に実施されること。

8.国際送金

8.1国際的な移転。サプライヤーまたはその関連会社は、個人データおよび個人情報が最初に収集された地域以外の地域で、またはその地域以外の地域へ、個人データまたは個人情報を処理または移転しないものとします（また、そのようなデータの処理または移転を許可しないものとします）。ただし、そのような処理または移転が適用される個人情報保護法（お客様からサプライヤーに通知される可能性のある措置を含む）を遵守し、下記第8.3条に定める適用される移転メカニズムの規定に従っていることを確認するために必要なすべての措置を講じる場合を除きます。
ただし、お客様による各契約の締結は、契約に基づいて提供されるサービスに従った個人データおよび個人情報の移転に関するお客様のサプライヤーに対する指示とみなされるものとします。
契約に基づくかかる移転に関する場合を除き、サプライヤーは、個人データおよび個人情報の国際的な移転について、移転の実施前にお客様に通知し、適用されるプライバシー法を遵守するための当事者それぞれの義務を評価する上でお客様を支援するものとします。
8.2プライバシーシールドフローダウン。お客様または認定関係会社がプライバシー・シールドの自己認証を受ける範囲において、サプライヤーは以下を表明し、保証します：
- (a) 当該顧客個人データに対して、プライバシー・シールド原則および本 DPA の第 5.2 項に定めるセキュリティ対策で要求されるものと少なくとも同レベルの保護を提供すること。
- (b) 上記第 8.2 項(a)に基づく義務をもはや果たすことができないと判断した場合、速やかに顧客に通知し、その場合、顧客と協力し、処理が第 8.2 項(a)で要求される保護レベルを満たすまで、処理を停止し、(是正可能な場合は)是正するためのあらゆる合理的かつ適切な措置を速やかに講じること。
8.3移籍のメカニズム
1. プライバシーシールドに対するサプライヤーの自己認証。 サプライヤーまたはその米国関連会社がプライバシー・シールドの自己認証を受けている場合、サプライヤーは以下の事項に同意するものとします：
  (i) サプライヤーまたはその米国関連会社（該当する場合）は、かかるプライバシー・シールド認証を維持すること。
  (ii) EEAデータ保護法により保護される、またはスイスに由来する顧客個人データに関して、サプライヤーまたはその米国関連会社（該当する場合）は、当該データを取り扱う際にプライバシー・シールド原則を遵守すること。
2. 加工業者の拘束力のある企業規則。 サプライヤーがプロセッサー拘束力のある企業規則を採用している限りにおいて、サプライヤーは、お客様の個人データを取り扱う際、当該プロセッサー拘束力のある企業規則を維持することに同意するものとします。
3. モデル条項の組み込み。 サプライヤーまたはその関連会社が、8.3に定める譲渡の仕組みを利用していない場合
  (a)または
  (b)に定める移転メカニズムを利用していない場合、両当事者はさらに以下の事項に同意するものとします：
  (i) モデル条項は、参照により組み込まれ、本DPAの不可欠な一部を形成します；
  (ii) サプライヤーまたはその関連会社（該当する場合）は「データ輸入者」であり、お客様（お客様自身およびすべての関連会社を代表して行動する）は「データ輸出者」であること（お客様が欧州経済地域またはスイス国外に所在し、お客様自身が第三者の管理者を代表して行動する処理者である場合があることにかかわらず）。
  (iii) 本DPAの付属書AおよびBは、それぞれモデル条項の付属書1および2に代わるものです。
8.4DPAの開示。各当事者は、相手方当事者またはその関連会社が、米国商務省、連邦取引委員会、欧州データ保護当局、またはその他の米国もしくはEUの司法機関もしくは規制機関の合法的かつ認可された要求に応じて、本DPAおよび契約に関連するプライバシー条項を開示できることを認めます。

9.個人情報の削除・返却

9.1 お客様の要請があった場合、または本DPAが終了もしくは失効した場合、サプライヤーは、その所有または管理下にあるすべての個人データおよび個人情報（コピーを含む）（サブプロセッサーが処理または管理する個人データおよび個人情報を含む）がある場合は、これを破棄するか、お客様に返却するものとします。
この要件は、サプライヤーが個人データまたは個人情報の一部または全部を保持するよう適用法で義務付けられている場合、またはバックアップシステムに保存した個人データまたは個人情報については適用されないものとします。

10.責任

10.1 本DPAおよびモデル条項に従い、お客様および各認定アフィリエートが負う責任は数人分であり、他のお客様企業は、本DPAまたはモデル条項に基づいて発生した当該お客様企業の責任について責任を負わないものとします。
10.2 いかなる場合においても、サプライヤーまたはサプライヤー関連会社は、同一の損失または損害について、当該サプライヤー会社が他のいずれかの顧客会社に対して既に請求している場合、2回以上請求することはできないものとします。
10.3 本DPAおよびモデル条項に従って各サプライヤーおよび各サプライヤー関連会社が負う責任は数人分とし、他のサプライヤー企業は、本DPAまたはモデル条項に基づいて発生した当該サプライヤー企業の責任について責任を負わないものとします：
10.4 いかなる場合においても、「認定アフィリエイト」のいかなる顧客も、当該顧客会社が他の「サプライヤー」会社に対して既に請求している場合、同一の損失または損害について2回以上請求することはできないものとします。

11.一般

11.1 本DPAに基づき両当事者に課される義務は、サプライヤーまたはそのサブプロセッサーがお客様のために個人データまたは個人情報を処理する限り存続するものとします。
本DPAおよびその添付書類、付属書類、展示書類、スケジュールに含まれる条項のうち、その文脈上、終了または失効後も存続することが意図されているものは、それに応じて存続するものとします。
11.2 本DPAは、両当事者により署名された後の書面による文書による場合を除き、変更することはできません。
11.3 本DPAのいずれかの部分が執行不能と判断された場合でも、残りのすべての部分の有効性は影響を受けません。
11.4 本DPAによる変更を除き、契約は変更されず、完全な効力を有するものとします。
本DPAと契約の他の条項または条件との間に抵触または矛盾がある場合、主題（すなわち、個人データまたは個人情報の保護）に関しては、本DPAが優先するものとします。
附属書、スケジュール、展示品等を含む本契約は、契約とともに、当該主題に関する完全、最終、排他的かつ完全な合意を構成します。
11.5 本DPAの条項見出しおよびその他の見出しは、参照の便宜を図るためのものであり、本DPAの一部を構成するものではなく、本DPAの意味または解釈に影響を及ぼすものではありません。
本DPAの添付書類、付属書類、展示書類および付属明細書は、本書にそのまま記載されている場合と同程度に、本DPAの不可欠な一部とみなされるものとします。
11.6 本DPAは、適用される個人情報保護法により別段の定めがある場合を除き、すべての点で、マスターサブスクリプション契約である契約に定める準拠法および裁判管轄の規定に準拠し、これに従って解釈されるものとします。
11.7 本DPAのいかなる規定も、以下とみなされるものではありません：
(a) 顧客企業をサプライヤ企業の代理人とすること、または顧客企業がサプライヤ企業のために、もしくはサプライヤ企業を代理して、コミットメントを締結する権限を付与すること。
(b) サプライヤー会社を顧客会社の代理人とし、サプライヤー会社が顧客会社のために、または顧客会社のために、いかなるコミットメントも締結する権限を与えること。
(c) パートナーシップ、合弁事業、その他の関係を構築すること。
11.8 各当事者は、いずれかの当事者により本DPAの当事者として追加される可能性のある会社を含め、自己およびその関連会社を代表して行動する権限を有することを保証します。
11.9 本DPAは、2通以上の副本で締結することができ、各副本は原本とみなされ、各副本すべてを合わせると同一の文書を構成するものとみなされます。
両当事者は、本DPAを電子メール送信により署名および交付することができます。