標準契約条項

セクション I

第1条

目的と範囲

  1. 本標準契約条項の目的は、個人データの第三国への移転に関して、個人データの処理に関する自然人の保護および当該データの自由な移動に関する2016年4月27日付欧州議会および理事会規則(EU)2016/679(一般データ保護規則)(1)の要件を確実に遵守することです。
  2. 締約国:(1) 附属書 I. A に記載されている、個人データを移転する自然人または法人、公的機関、代理店またはその他の団体(以下、「事業者」といいます。A(以下「データ輸出者」といいます)、および(2)同じく附属書 I.A に記載されている、データ輸出者から直接または間接的に本条項の当事者である他の事業体を経由して個人データを受領する第三国の事業体(以下「データ輸入者」といいます)は、本標準契約条項(以下「本条項」といいます)に同意するものとします。
  3. 本条項は、付属書I.B.に定める個人データの移転に関して適用されます。
  4. 本条項で言及されている付属文書を含む本条項の付属文書は、本条項の不可分の一部を構成します。

第2条本条項の効力と不変性

  1. 本条項は、規則(EU)2016/679 の第 46 条(1)項および第 46 条(2)(c)項に従い、強制可能なデータ主体の権利および効果的な法的救済を含む適切な保護措置を定めるものであり、また、管理者から処理者へのデータ移転および/または処理者から処理者へのデータ移転に関しては、規則(EU)2016/679 の第 28 条(7)項に従い、標準的な契約条項を定めるものです。
    ただし、本条項と直接的または間接的に矛盾しないこと、または情報主体の基本的権利もしくは自由を害しないことを条件とします。
  2. 本条項は、規則(EU)2016/679によりデータ輸出者が従う義務を損なうものではありません。

第3条第三者受益者

  1. (i)第 1 条、第 2 条、第 3 条、第 6 条、第 7 条、(ii)第 8 条 – モジュール 1:第 8.5 条(e)および第 8.9 条(b)、モジュール 2:第 8.1 条(b)、第 8.9 条(a)、(c)、(d)および(e)、モジュール 3:第 8.1 条(c)、(d)および第 8.9 条(c)、(e)、(f)および(g):モジュール4:第8.1条(a)、(c)、(d)及び第8.9条(a)、(c)、(d)、(e)、(f)、(g)Clause 8.1 (b) and Clause 8.3(b); (iii) Clause 9 – Module Two: Clause 9(a), (c), (d) and (e); Module Three:(iv)第12条 – モジュール1:第12条(a)および(d)、モジュール2および3:(v)第13条、(vi)第15.1条(c)、(d)および(e)、(vii)第16条(e)、(viii)第18条-モジュール1、2および3:モジュール4:第18条
  2. (a)項は、規則(EU)2016/679に基づくデータ主体の権利を損なうものではありません。

第4条解釈

  1. 本条項において、規則(EU)2016/679で定義されている用語が使用されている場合、これらの用語は同規則における意味と同じ意味を有するものとします。
  2. 本条項は、規則(EU)2016/679の規定に照らして読み解かれるものとします。
  3. 本条項は、規則(EU)2016/679に規定される権利および義務と矛盾する形で解釈されないものとします。

第5条階層本条項と、本条項が合意された時点またはその後締結された両当事者間の関連協定の規定とが矛盾する場合、本条項が優先するものとします。第6条移転の 説明移転の詳細、特に移転される個人データのカテゴリーおよび移転の目的は、付属書I.B.第7条ドッキング条項

  1. 本条約の当事者でない事業体は、両当事者の同意があれば、附属書に記入し、附属書 I.A に署名することにより、データ輸出者として、またはデータ輸入者として、いつでも本条約に加盟することができます。
  2. 附属書を完成し、附属書 I.A に署名した場合、加盟当事者は本条項の締約国となり、附属書 I.A の指定に従ってデータ輸出者またはデータ輸入者の権利および義務を有するものとします。
  3. 加盟国は、締約国になる前の期間から、本条項に基づいて生じるいかなる権利または義務も有しないものとします。

セクション II – 当事者の義務第8条データ保護の保護措置データ輸出者は、データ輸入者が適切な技術的および組織的措置を実施することにより、本条項 の義務を果たすことができることを判断するために合理的な努力を払ったことを保証します。8.1 指示

  1. データ輸入者は、データ輸出者からの文書化された指示にのみ基づいて個人データを処理するものとします。
    データ輸出者は、契約期間中、このような指示を行うことができます。
  2. データ輸入者は、これらの指示に従うことができない場合、直ちにデータ輸出者に通知するものとします。

8.2 目的の制限データ輸入者は、データ輸出者のさらなる指示がない限り、付属文書I.Bに記載された移 転の特定の目的のためにのみ個人データを処理するものとします。8.3 透明性データ輸出者は、要求があれば、両当事者によって記入された付属文書を含む本条項の コピーをデータ対象者に無料で提供するものとします。
附属書 II に記載された措置および個人情報を含む、業務上の秘密またはその他の機密情報 を保護するために必要な範囲において、データ輸出者は、コピーを共有する前に本条項の附 属書のテキストの一部を編集することができますが、そうしなければデータ対象者がその内容を 理解できず、権利を行使できない場合には、意味のある要約を提供するものとします。
要求があった場合、両当事者は、冗長化された情報を明らかにすることなく、可能な範囲で冗長化の理由をデータ当事者に提供するものとします。
本条項は、規則(EU)2016/679の第13条および第14条に基づくデータ輸出者の義務を損なうものではありません。8.4 正確性データ輸入者は、受領した個人データが不正確であること、または古くなったことを認識した 場合、データ輸出者に過度の遅滞なく通知するものとします。
この場合、データ輸入者はデータ輸出者と協力してデータの消去または修正を行うものとします。
8.5 データ処理の期間およびデータの消去または返却データ輸入者による処理は、付属書I.B.に規定された期間のみ行われるものとします。処理サービスの提供が終了した後、データ輸入者は、データ輸出者の選択により、データ輸出者に代わって処理されたすべての個人データを消去し、その旨をデータ輸出者に証明するか、またはデータ輸出者に代わって処理されたすべての個人データを返却し、既存のコピーを消去するものとします。
データが削除または返却されるまでは、データ輸入者は本条項を引き続き遵守するものとします。
データ輸入者に適用される現地の法律が個人データの返却または削除を禁止している場合、データ輸入者は引き続き本条項を遵守し、当該現地の法律で義務付けられている範囲および期間のみ個人データを処理することを保証するものとします。
これは、第 14 条、特に第 14 条(e)に基づくデータ輸入者が、第 14 条(a)に基づく要件と一致しない法律または慣行の適用を受ける、または受けるようになったと信じるに足る理由がある場合、契約期間中を通じてデータ輸出者に通知するという要件を損なうものではありません。 8.6 処理の安全性

  1. データ輸入者、およびデータ送信中にデータ輸出者は、偶発的または違法な破壊、紛失、改ざん、不正な開示、またはデータへのアクセスにつながるセキュリティ違反(以下、「個人情報漏えい」)に対する保護を含め、データのセキュリティを確保するための適切な技術的および組織的措置を実施するものとします。
    適切なセキュリティ・レベルを評価する際、両当事者は、最新の技術状況、実施にかかる費用、処理の性質、範囲、文脈および目的、ならびにデータ対象者の処理に伴うリスクを十分に考慮するものとします。
    両当事者は、特に、処理の目的がそのような方法で達成され得る場合には、送信中も含め、暗号化または仮名化を利用することを検討するものとします。
    偽名処理の場合、個人データを特定のデータ対象者に帰属させるための追加情報は、 可能な限り、データ輸出者の排他的管理下に置かれるものとします。
    本項に基づく義務を履行する場合、データ輸入者は、少なくとも付属文書 II に規定された技術的および組織的措置を実施するものとします。
    データ輸入者は、これらの措置が適切なレベルのセキュリティを継続的に提供することを保証するために、定期的な検査を実施するものとします。
  2. データ輸入者は、契約の履行、管理および監視に厳密に必要な範囲に限り、その従業員に個人情報へのアクセスを許可するものとします。
    データ輸入者は、個人情報を処理する権限を与えられた者が守秘義務を負うか、または適切な守秘義務を負っていることを保証するものとします。
  3. データ輸入者は、本条項に基づいてデータ輸入者が処理した個人データに関して個人情報漏えいが発生した場合、その悪影響を軽減するための措置を含め、漏えいに対処するための適切な措置を講じるものとします。
    データ輸入者はまた、違反に気づいた後、過度な遅滞なくデータ輸出者に通知するものとします。
    この通知には、詳細情報を入手できる連絡先の詳細、情報漏えいの性質(可能な場合は、関係するデータ対象者および個人データ記録のカテゴリーとおおよその数を含む)、その起こりうる結果、および、適切な場合は、その起こりうる悪影響を軽減するための措置を含む、情報漏えいに対処するために講じられた、または提案された措置が含まれるものとします。
    すべての情報を同時に提供することが不可能な場合、最初の通知にはその時点で入手可能な情報を含めるものとし、その後、入手可能になり次第、不当な遅延なく追加情報を提供するものとします。
  4. データ輸入者は、データ輸出者が規則(EU)2016/679に基づく義務、特に管轄監督当局および影響を受けるデータ主体への通知を遵守できるように、処理の性質およびデータ輸入者が入手可能な情報を考慮して、データ輸出者に協力し、これを支援するものとします。

8.7 機微データ人種的もしくは民族的出身、政治的意見、宗教的もしくは哲学的信条、または労働 組合員であることを明らかにする個人データ、遺伝データ、または自然人を一意に 識別するためのバイオメトリクスデータ、健康、性生活もしくは性的指向に関するデー タ、または前科および犯罪に関するデータ(以下「機微データ」)を伴う移転が行われる場 合、データ輸入者は付属文書Ⅰ.B.に記載された特定の制限および/または追加の保護措置 を適用するものとします。
8.8 上方への転送データ輸入者は、データ輸出者からの文書化された指示に基づいてのみ、個人データを 第三者に開示するものとします。
さらに、欧州連合(4)域外に所在する第三者(データ輸入者と同じ国または別の第三国、以下「転送先」)に開示することができるのは、その第三者が適切なモジュールの下で本条項に拘束される場合、またはそれに同意する場合に限ります:

    • (i)オンワード移転が、オンワード移転を対象とする規則(EU)2016/679の第45条に基づく妥当性決定の恩恵を受けている国への移転であること;
    • (ii) 第三者が、当該処理に関して、(EU) 2016/679の第46条または第47条に基づき適切な保護措置を確保する場合;
    • (iii) 特定の行政、規制、または司法手続きにおいて、法的請求の確立、行使、または防御のために転送が必要な場合。
    (iv) データ主体または他の自然人の重大な利益を保護するために、転送が必要である場合。

データ転送は、データ輸入者が本条項に基づくその他の保護措置、特に目的制限を遵守することを条件とします。 8.9 文書化とコンプライアンス

  1. データ輸入者は、本条項に基づく処理に関するデータ輸出者からの問い合わせに迅速かつ適切に対応するものとします。
  2. 両当事者は、本条項を遵守していることを証明できるものとします。
    特に、データ輸入者は、データ輸出者のために実施された処理活動に関する適切な 文書を保管するものとします。
  3. データ輸入者は、データ輸出者が本条項に定める義務を遵守していることを証明するた めに必要なすべての情報を入手できるようにし、データ輸出者の要求に応じて、合理的な間隔 で、または不遵守の兆候がある場合に、本条項でカバーされる処理活動の監査を許可し、こ れに貢献するものとします。
    レビューまたは監査を決定する際、データ輸出者はデータ輸入者が保持する関連証明書を考慮することができます。
  4. データ輸出者は、自ら監査を行うか、または独立した監査人に委任するかを選択できます。
    監査は、データ輸入者の敷地内または物理的施設における検査を含むことができ、 適切な場合には、合理的な予告をもって実施されるものとします。
  5. 締約国は、(b)及び(c)に掲げる情報を
    (b)及び
    (c)に規定する情報を、監査の結果を含め、所轄の監督当局の要請に応じて提供するものとします。

第9条サブプロセッサーの使用

  1. オプション 1:書面による事前承認 データ輸入者は、データ輸出者の書面による事前承認なしに、本条項に基づいて データ輸出者に代わって行われる処理業務をサブ処理者に下請けしてはなりません。
    データ輸入者は、データ輸出者がその許可を決定するために必要な情報を添えて、 下処理業者と契約する少なくとも 前に、具体的な許可の要請書を提出するものとします。
    データ輸出者によって既に認可されているサブプロセッサーのリストは、附属書 III.
    オプション 2:オプション 2:書面による一般的認可 データ輸入者は、データ輸出者が合意したリストの中からサブプロセッサーを雇 用するための一般的認可を得るものとします。
    データ輸入者は、データ輸出者に対し、サブプロセッサーの追加または交換によるリストの変更について、少なくとも 前までに書面で通知するものとします。
    データ輸入者は、データ輸出者が異議を申し立てる権利を行使するために必要な情 報をデータ輸出者に提供するものとします。
  2. データ輸入者が(データ輸出者に代わって)特定の処理活動を実行するためにサブ プロセッサを雇用する場合は、データ主体の第三者受益権の観点も含め、実質的に本 条項に基づいてデータ輸入者を拘束する義務と同じデータ保護義務を規定する書面による 契約によって行うものとします。
    (8) 両当事者は、本条項を遵守することにより、データ輸入者が第 8.8 条に基づく義務を 果たすことに同意するものとします。
    データ輸入者は、データ輸入者が本条項に従って従う義務をサブプロセッサーが遵守することを保証するものとします。
  3. データ輸入者が(データ輸出者に代わって)特定の処理活動を実行するためにサブ プロセッサを雇用する場合は、データ主体の第三者受益権の観点も含め、実質的に本 条項に基づいてデータ輸入者を拘束する義務と同じデータ保護義務を規定する書面による 契約によって行うものとします。
    (8) 両当事者は、本条項を遵守することにより、データ輸入者が第 8.8 条に基づく義務を 果たすことに同意するものとします。
    データ輸入者は、データ輸入者が本条項に従って従う義務をサブプロセッサーが遵守することを保証するものとします。
  4. データ輸入者は、データ輸出者に対し、データ輸入者との契約に基づくサブプロセッサーの義務の履行について全責任を負うものとします。
    データ輸入者は、サブプロセッサーがその契約に基づく義務を履行しなかった場合、データ輸出者に通知するものとします。
  5. データ輸入者は、データ輸入者が事実上消滅した場合、法律上存在しなくなった場合、または支払不能になった場合、データ輸出者がサブプロセッサー契約を解除し、サブプロセッサーに対して個人データの消去または返却を指示する権利を有する第三者受益条項をサブプロセッサーと合意するものとします。

第10条データ主体の権利

  1. データ輸入者は、データ対象者から要請を受けた場合、データ輸出者に速やかに通知するものとします。
    データ輸入者は、データ輸出者から権限を付与されていない限り、その要求に応じないものとします。
  2. データ輸入者は、データ輸出者が規則(EU)2016/679に基づくデータ主体の権利行使の要請に応じる義務を履行することを支援するものとします。
    この点に関して、両当事者は、処理の性質を考慮した適切な技術的および組織的措置、援助を提供する方法、ならびに必要とされる援助の範囲および程度を附属書IIに定めるものとします。

  3. (a)および
    (b)の義務を履行する場合、データ輸入者はデータ輸出者の指示に従うものとします。

第11条救済

  1. データ輸入者は、データ主体に対して、苦情を処理する権限を有する窓口を、個々 の通知またはウェブサイトを通じて、透明性があり容易にアクセスできる形式で 通知するものとします。オプション:データ輸入者は、データ対象者が独立した紛争解決機関(11)に、 データ対象者の費用負担なしで苦情を申し立てることができることに同意します。データ輸入者は、(a)項に定める方法で、データ主体にそのような救済機 構を通知するものとし、データ主体はその救済機構を利用する必要はなく、また救済を求 める際に特定の順序に従う必要はないものとします。]
  2. 本条項の遵守に関して情報主体者と一方の当事者との間で紛争が生じた場合、当該当事 者は、適時に友好的に問題を解決するために最善の努力を払うものとします。
    両当事者は、そのような紛争について相互に情報を提供し、適切な場合にはその解決に協力するものとします。
  3. 情報主体が第3条に従って第三者受益権を行使する場合、情報輸入者は情報主体が(i)情報主体が居住または勤務する加盟国の監督当局、または第13条に従って管轄の監督当局に苦情を申し立てる、(ii)第18条の意味において管轄の裁判所に紛争を付託する、という決定を受け入れるものとします。
  4. 両当事者は、データ主体が、規則(EU)2016/679の第80条(1)に規定される条件の下で、非営利団体、組織または協会によって代表される可能性があることを受け入れます。
  5. データ輸入者は、適用される EU または加盟国の法律に拘束される決定に従うものとします。
  6. データ輸入者は、データ対象者が行った選択が、適用法に従って救済を求める実質的および手続き上の権利を損なわないことに同意するものとします。

第12条責任

  1. 各当事者は、本条項の違反により相手方当事者に与えた損害について、相手方当事者に責任を負うものとします。
  2. データ輸入者またはそのサブプロセッサーが本条項に基づく第三者の受益者の権利に違反することによってデータ主体に与えた物質的または非物質的な損害について、データ輸入者はデータ主体に対して責任を負うものとし、データ主体は補償を受ける権利を有するものとします。
  3. (b)項にかかわらず、データ輸出者またはデータ輸入者(またはそのサブプロセッサー)が本条項に基づく第三者受益者の権利に違反することによってデータ主体に与えた重大または非重要な損害について、データ輸出者はデータ主体に対して責任を負うものとし、データ主体は補償を受ける権利を有するものとします。
    これは、データ輸出者の責任、およびデータ輸出者が管理者の代理を務める処理者である場合、規則(EU)2016/679または規則(EU)2018/1725(該当する場合)に基づく管理者の責任を損なうものではありません。
  4. 両当事者は、データ輸出者がデータ輸入者(またはそのサブプロセッサー)によって生じた損害について(c)項に基づく責任を負う場合、データ輸入者の損害に対する責任に対応する補償金の一部をデータ輸入者に請求する権利を有することに同意するものとします。
  5. 本条項に違反した結果、データ対象者に生じた損害について複数の当事者が責任を負う場合、すべての責任当事者は連帯して責任を負うものとし、データ対象者はこれらの当事者のいずれに対しても裁判所に訴訟を提起する権利を有します。
  6. 両当事者は、一方の当事者が(e)項に基づき責任を負う場合、他方の当事者に対し、損害に対する責任に対応する補償金の一部を返還請求する権利を有することに同意するものとします。
  7. データ輸入者は、自らの責任を回避するためにサブプロセッサーの行為を援用することはできません。

第13条監督

  1. [Where the data exporter is established in an EU Member State:] データ移転に関して、データ輸出者による規則(EU)2016/679の遵守を確保する責任を負う監督当局は、付属書I.C.に示すとおり、管轄監督当局として行動するものとします。 [データ輸出者がEU加盟国に設立されていないが、規則(EU)2016/679の第3条(2)に従って規則(EU)2016/679の適用範囲内にあり、規則(EU)2016/679の第27条(1)に従って代表者を任命している場合:]。規則(EU)2016/679の第27条(1)の意味における代表者が設置されている加盟国の監督当局は、附属書I.Cに示されるとおり、管轄監督当局として行動するものとします。 [データ輸出者がEU加盟国に設立されていないが、規則(EU)2016/679の第3条(2)に従い、規則(EU)2016/679の第27条(2)に従い代表者を任命することなく、規則(EU)2016/679の適用範囲に含まれる場合。付属書I.Cに示されるように、本条項に基づいて商品またはサービスの提供に関連して個人データが移転され、またはその行動が監視されるデータ主体が所在する加盟国のいずれかの監督当局が、管轄監督当局として行動するものとします。
  2. データ輸入者は、本条項の遵守を確保するためのあらゆる手続きにおいて、管轄の監督当局の管轄下に服し、これに協力することに同意するものとします。
    特に、データ輸入者は、照会に応じ、監査に応じ、是正措置および補償措置を含む監督当局が採用した措置を遵守することに同意するものとします。
    データ輸入者は、監督当局に対し、必要な措置が講じられたことを書面で確認するものとします。

第III章 現地法および公的機関によるアクセスの場合の義務第14条本条項の遵守に影響を及ぼす現地法及び慣行

  1. 両当事者は、データ輸入者による個人データの処理に適用される第三国の法律および慣行(個人データの開示要件または公的機関によるアクセスを許可する措置を含む)が、データ輸入者による本条項に基づく義務の履行を妨げると信じるに足る理由がないことを保証します。
    これは、基本的な権利および自由の本質を尊重し、規則(EU)2016/679の第23条(1)に列挙された目的の一つを保護するために民主主義社会において必要かつ妥当な範囲を超えない法律および慣行は、本条項と矛盾しないという理解に基づくものです。
  2. 締約国は、(a)の保証を提供するにあたり、特に次の要素を十分に考慮したことを宣言します:(i) 処理連鎖の長さ、関与する関係者の数及び使用される伝達経路を含む、移転の具体的な状況、意図された対外移転、受領者の種類、処理の目的、移転される個人データのカテゴリー及び形式、移転が行われる経済部門、移転されるデータの保管場所;(ii) 第三移転先の法律及び慣行(公的機関へのデータ開示を要求するもの、又は公的 機関によるアクセスを許可するものを含む)-移転の具体的状況に照らして適切なも の、及び適用される制限及び保護措置(12)- (iii) 本条項に基づく保護措置を補完するために導入された関連する契約上、技術上又は 組織上の保護措置(移転中及び移転先での個人データの処理に適用される措置を含む)。
  3. データ輸入者は、(b)項に基づく評価を行うにあたり、データ輸出者に関連情報を提供するために最善の努力を払ったことを保証し、本条項の遵守を確保するためにデータ輸出者と引き続き協力することに同意します。
  4. 両当事者は、(b)に基づく評価を文書化し、要請に応じて所轄の監督当局に提供することに同意します。
  5. データ輸入者は、本条項に同意した後、契約期間中、第三国の法律の変更、または(a)の要件に沿わない法律の適用を示す措置(開示請求など)の後を含め、(a)の要件に沿わない法律または慣行の適用を受ける、または受けるようになったと信じるに足る理由がある場合、データ輸出者に速やかに通知することに同意するものとします。
  6. (e)項に従った通知後、またはデータ輸出者がデータ輸入者が本条項に基づく義務を履行できなくなったと信じるに足る理由がある場合、データ輸出者はデータ輸出者および/またはデータ輸入者が採用すべき適切な措置(セキュリティおよび機密性を確保するための技術的または組織的な措置など)を速やかに特定し、その状況に対処するものとします。データ輸出者は、データ移転のための適切な保護措置が確保できないと判断した場合、または管轄の監督当局からそのように指示された場合、データ移転を停止するものとします。この場合、データ輸出者は、本条項に基づく個人データの処理に関する限り、契約を解除する権利を有するものとします。契約が2つ以上の当事者にまたがる場合、データ輸出者は、当事者間で別段の合意がない限り、関連する当事者に関してのみこの契約解除権を行使することができます。本条項に従って契約が解除された場合、第16条(d)および(e)が適用されるものとします。

第 15 条公的機関によるアクセスの場合のデータ輸入者の義務15.1 通知

  1. データ輸入者は、以下の場合、データ輸出者、および可能であればデータ主体に(必 要であればデータ輸出者の協力を得て)速やかに通知することに同意します:(i) 本条項に従って移転された個人データの開示について、仕向け地国の法律に基 づき、司法当局を含む公的機関から法的拘束力のある要請を受けた場合。当該通 知には、要請された個人データ、要請機関、要請の法的根拠および提供された回答 に関する情報が含まれるものとします。[モジュール 3 の場合:データ輸出者はその通知を管理者に転送するものとします。]
  2. データ輸入者がデータ輸出者および/またはデータ対象者に通知することを仕向け地 の国の法律で禁止されている場合、データ輸入者は、可能な限り多くの情報を可能な限 り早く通知することを目的として、その禁止の免除を得るために最善の努力を払うこ とに同意します。
    データ輸入者は、データ輸出者の要求があった場合にそれを証明できるように、最善の努力を文書化することに同意します。
  3. 仕向け国の法律で許容される場合、データ輸入者は、データ輸出者に対し、契約期間中、定期的に、受領した要求に関する可能な限りの関連情報(特に、要求の数、要求されたデータの種類、要求機関/国、要求に対する異議申し立ての有無およびその結果など)を提供することに同意するものとします。
  4. データ輸入者は、(a)から(c)に従った情報を契約期間中保存し、要求があれば管轄監督当局に提供することに同意します。
  5. 第(a)項から第(c)項は、第 14 条(e)項および第 16 条に従ってデータ輸入者が本条項を遵守できない場合にデータ輸出者に速やかに通知する義務を損なうものではありません。

15.2 適法性とデータ最小化の見直し

  1. データ輸入者は、開示要求の合法性、特にそれが要求元の公的機関に付与された 権限の範囲内にあるかどうかを検討し、慎重に評価した結果、その要求が仕向け 国の法律、国際法の下で適用される義務、および国際的な衡平法上の原則に基づ いて違法であると考える合理的な根拠があると結論付けた場合には、その要求に異議を 唱えることに同意するものとします。
    データ輸入者は、同じ条件下で、上訴の可能性を追求するものとします。
    請求に異議を申し立てる場合、データ輸入者は、管轄の司法当局がその是非を決定するまで、請求の効力を停止することを目的とした暫定措置を求めるものとします。
    データ輸入者は、適用される手続き規則に基づいて要求されるまで、要求された個人データを開示しないものとします。
    これらの要件は、第 14 条(e)に基づくデータ輸入者の義務を損なうものではありません。
  2. データ輸入者は、その法的評価および開示要求に対する異議申し立てを文書化し、仕向け 国の法律で許容される範囲内で、その文書をデータ輸出者が入手できるようにするこ とに同意するものとします。
    また、要求があれば管轄の監督当局にも提供するものとします。
    [モジュール 3 の場合:モジュール 3 の場合:データ輸出者は評価書を管理者に提供するものとします。]
  3. データ輸入者は、開示請求に応じる際、開示請求の合理的な解釈に基づき、許容される最小限の情報を提供することに同意します。

第4節 – 最終規定第16条条項の不履行および解除

  1. データ輸入者は、理由の如何を問わず、本条項を遵守できない場合は、データ輸出者に速やかにその旨を通知するものとします。
  2. データ輸入者が本条項に違反した場合、または本条項を遵守できない場合、データ輸出者は、遵守が再度確保されるか、または契約が解除されるまで、データ輸入者への個人データの移転を停止するものとします。
    これは第 14 条(f)を損なうものではありません。
  3. (i)データ輸出者が(b)項に従ってデータ輸入者に対する個人データの転送を一時停止し、合理的な期間内に、いかなる場合であっても一時停止から 1 ヶ月以内に本条項への準拠が回復されない場合、(ii)データ輸入者が本条項に対して実質的または持続的な違反を犯している場合、または(iii)データ輸入者が本条項に基づく義務に関する管轄裁判所または監督当局の拘束力のある決定を遵守しない場合。これらの場合、データ輸入者は管轄の監督当局[モジュール 3 の場合:および管理者]にそのような不順守を通知するものとします。契約が2つ以上の当事者にまたがる場合、データ輸出者は、当事者間で別段の合意がない限り、関連する当事者に関してのみこの解除権を行使することができます。
  4. (c)に従って契約が終了する前に移転された個人データは、データ輸出者の選択により、直ちにデータ輸出者に返却されるか、またはデータ全体が削除されるものとします。データのコピーについても同様とします。][モジュール4の場合:モジュール 4 の場合:データ輸出者が EU 域内で収集した個人データで、(c) 項に従って契約終了前に移転されたものは、そのコピーも含め、直ちにその全体が削除されるものとします。]データ輸入者は、データ輸出者に対し、データの削除を証明するものとします。データが削除または返却されるまで、データ輸入者は引き続き本条項を遵守するものとします。データ輸入者に適用される現地の法律が、移転された個人データの返却または削除を禁止している場合、データ輸入者は引き続き本条項を遵守し、当該現地の法律で義務付けられている範囲および期間のみデータを処理することを保証するものとします。
  5. いずれの当事者も、以下の場合には、本条項に拘束される旨の合意を撤回することができます。
    (i) 欧州委員会が、本条項が適用される個人データの移転を対象とする規則(EU) 2016/679の第45条(3)に従った決定を採択する場合。
    (ii) 規則(EU) 2016/679が個人データの移転先の国の法的枠組みの一部となった場合。
    これは、規則(EU)2016/679に基づき当該処理に適用されるその他の義務を損なうものではありません。

第17条 準拠本条項は、EU加盟国のいずれかの法律に準拠するものとします。ただし、当該法律が第三者受益権を認める場合はこの限りではありません。
両当事者は、ドイツ法を準拠法とすることに合意します。第18条裁判地および管轄権の 選択

  1. 本条項に起因する紛争は、EU加盟国の裁判所により解決されるものとします。
  2. 両当事者は、ドイツの裁判所とすることに合意します。
  3. データ対象者は、データ輸出者および/またはデータ輸入者に対して、その者が常居所を有する加盟国の裁判所に対して法的手続きを取ることもできます。
  4. 両当事者は、かかる裁判所の管轄権に服することに同意します。
(1) データ輸出者が、管理者としての欧州連合の機関または団体に代わって行動する規則(EU) 2016/679の適用を受ける処理者である場合、規則(EU) 2016/679の適用を受けない別の処理者(サブ処理)に従事する際に本条項を信頼することにより、欧州連合の機関による個人データの処理に関する自然人の保護に関する2018年10月23日の欧州議会および理事会の規則(EU) 2018/1725の第29条(4)の遵守も保証されます、Regulation (EC) No 45/2001 and Decision No 1247/2002/EC (OJ L 295, 21.11.2018, p. 39)、本条項と規則(EU) 2018/1725の第29条(3)に基づく管理者と処理者の間の契約またはその他の法律行為に規定されるデータ保護義務が一致する限りにおいて。
これは特に、管理者と処理者が決定2021/915に含まれる標準契約条項に依拠する場合に当てはまります。
(2) この場合、規則(EU) 2016/679のレシタル26に沿って、個人がもはや誰からも特定できないような方法でデータを匿名化し、このプロセスが不可逆的であることが必要です。
(3) 欧州経済領域に関する協定(EEA協定)は、欧州連合の域内市場をEEAの3カ国であるアイスランド、リヒテンシュタイン、ノルウェーに拡大することを規定しています。
規則(EU) 2016/679を含むEUのデータ保護法はEEA協定の対象であり、同協定の付属書XIに組み込まれています。
従って、データ輸入者が EEA 内に所在する第三者に開示することは、本条項の目的上、対内移転には該当しません。
(4) 欧州経済領域に関する協定(EEA 協定)は、欧州連合の域内市場を EEA のアイスランド、リヒテンシュタイン、ノルウェーの 3 カ国に拡大することを規定しています。
規則(EU) 2016/679を含むEUのデータ保護法はEEA協定の対象であり、同協定の付属書XIに組み込まれています。
したがって、データ輸入者によるEEA域内の第三者への開示は、本条項の目的上、対内移転には該当しません。
(5) 規則(EU) 2016/679の第28条(4)および管理者がEUの機関または団体である場合は規則(EU) 2018/1725の第29条(4)を参照。
(6) 欧州経済領域に関する協定(EEA協定)は、欧州連合(EU)の域内市場をEEAの3カ国であるアイスランド、リヒテンシュタイン、ノルウェーに拡大することを規定しています。
規則(EU) 2016/679を含むEUのデータ保護法はEEA協定の対象であり、同協定の付属書XIに組み込まれています。
したがって、データ輸入者による EEA 内の第三者への開示は、本条項の目的上、対内移転には該当しません。
(7) これには、移転およびさらなる処理が、人種的または民族的出身、政治的意見、宗教的または哲学的信条、または労働組合員であることを明らかにする個人データ、自然人を一意に識別することを目的とする遺伝子データまたはバイオメトリクスデータ、健康に関するデータ、人の性生活または性的指向に関するデータ、または前科または犯罪に関するデータを含むかどうかが含まれます。
(8) この要件は、第 7 条に従って、サブプロセッサが適切なモジュールの下で本条項に同意することで満たすことができます。 (9) この要件は、サブプロセッサが、第 7 条に従って、適切なモジュールの下で本条に同意することによって満たすことができます。
(10)
この期間は、要求の複雑性および数を考慮して必要な範囲で、さらに最大2ヶ月まで延長することができます。
データ輸入者は、そのような延長があった場合、データ対象者に正式かつ速やかに通知するものとします。
(11)
データ輸入者は、仲裁判断の執行に関するニューヨーク条約を批准している国に設立された仲裁機関に限り、独立した紛争解決を提供することができます。
(12)
このような法律および慣行が本条項の遵守に与える影響については、全体的な評価の一部として、さまざまな要素を考慮することができます。
このような要素には、十分に代表的な期間にわたる、公的機関からの開示請求の過去の事例、又はそのような請求の不存在に関する、関連し文書化された実務経験が含まれる場合があります。
これは特に、デューディリジェンスに従って継続的に作成され、上級管理職レベルで証明された内部記録またはその他の文書を指します。
データ輸入者が本条項を遵守することを妨げられないと結論付けるために、この実務経験を信頼する場合、他の関連する客観的要素によって裏付けられる必要があります。
特に、締約国は、その実務経験が、判例や独立監視機関による報告書など、同じ部門における要請の有無、および/または実務における法律の適用に関する、公に入手可能な、またはその他の方法でアクセス可能な信頼できる情報によって裏付けられ、矛盾していないかどうかを考慮しなければなりません。

付録

説明的注釈: 各移転または各移転カテゴリーに適用される情報を明確に区別することが可能でなければな らず、またこの点に関して、データ輸出者及び/またはデータ輸入者としての両当事者のそれぞれの 役割を決定することが可能でなければなりません。
この透明性が 1 つの付録で達成できる場合、各移転/カテゴリー及び/又は契約関係に ついて別々の付録に記入し署名する必要は必ずしもありません。
ただし、十分な透明性を確保するために必要な場合は、別個の付属書を使用する必要があります。

付録 I

A.当事者リスト データ輸出者: [データ輸出者の身元および連絡先、および該当する場合は、欧州連合におけるデータ保護責任者および/または代表者の身元および連絡先]。

  • Name: ……….住所:……….担当者の氏名、役職、連絡先………..Activities relevant to the data transferred under these Clauses: …………署名および日付
  • 役割(コントローラー/プロセッサー):……………

データ輸入者: [データ輸入者の身元および連絡先(データ保護担当者を含む)]。

  • Name: ……….住所:……….担当者の氏名、役職、連絡先………..Activities relevant to the data transferred under these Clauses: …………署名および日付
  • 役割(コントローラー/プロセッサー):……………

B.譲渡の説明

個人データが移転されるデータ主体のカテゴリー … 移転される個人データのカテゴリー … 移転されるセンシティブなデータ(該当する場合)、および、例えば厳密な目 的制限、アクセス制限(特別な訓練を受けたスタッフのみのアクセスを含む)、 データへのアクセス記録の保持、転送の制限、または追加のセキュリティ対策など、 データの性質および関連するリスクを十分に考慮した制限または保護措置の適用。
… データ転送の頻度(例えば、データが単発的に転送されるか、継続的に転送されるか) …
… 情報処理の性質 … 情報転送および追加処理の目的 … 個人情報の保持期間、またはそれが不可能な場合は、その期間を決定 するために使用した基準 … (サブ)処理業者への転送については、処理の対象、性質、および期間も明記し てください。
C.管轄監督機関

第13条に従い、管轄監督当局を特定します。

付録 II

データの安全性を確保するための技術的および組織的措置を含む技術的および組織的措置 説明的注記:技術的及び組織的な措置は、(一般的な用語ではなく)具体的な用語で記載されなければなりません。
特に、どの措置が各譲渡/譲渡のセットに適用されるかを明確に示す必要性については、別添の最初のページの一般的なコメントも参照。 データ取扱の性質、範囲、文脈および目的、ならびに自然人の権利および自由に対するリスクを考慮した上で、適切なレベルのセキュリティを確保するためにデータ輸入者によって実施される技術的および組織的対策(関連する認証を含む)の説明。
[可能な措置の例個人データの仮名化および暗号化の対策 処理システムおよびサービスの継続的な機密性、完全性、可用性および回復力を確保するための対策 物理的または技術的な事故が発生した場合に、個人データへの可用性およびアクセスを適時に回復する能力を確保するための対策 定期的にテストするためのプロセス、処理の安全性を確保するための技術的および組織的措置の有効性を定期的にテスト、評価、 評価するためのプロセス ユーザーの識別および承認のための措置 送信中のデータ保護のための措置 保管中のデータ保護のための措置 個人データが処理される場所の物理的安全性を確保するための措置 イベントロギングのための措置 システム構成のための措置、デフォルト設定を含む) 内部 IT 及び IT セキュリティのガバナンス及び管理に関する措置 プロセス及び製品の認証/保証に関する措置 データ最小化の保証に関する措置 データ品質の保証に関する措置 データ保持の制限に関する措置 説明責任の保証に関する措置 データポータビリティの許可及び消去の保証に関する措置サブ)プロセッサーへの移転の場合は、(サブ)プロセッサーが管理者に、またプロセッサーからサブプロセッサーへの移転の場合はデータ輸出者に支援を提供できるようにするために講じる具体的な技術的・組織的対策についても記述してください。

付録 III

サブプロセッサー一覧 説明的注釈:この附属書は、サブプロセッサー(第9条(a)、オプション1)の特定の承認の場合、モジュール2および3について記入する必要があります。
管理者は、以下のサブプロセスの使用を承認しています:

  • Name: ……….
    住所:……….
    担当者の氏名、役職、連絡先………..
  • 処理の説明(複数のサブプロセッサーが許可されている場合の責任の明確な区分を含む):………….