標準契約条項
セクション I
第1条
目的と範囲
- 本標準契約条項の目的は、個人データの第三国への移転に関して、個人データの処理に関する自然人の保護および当該データの自由な移動に関する2016年4月27日付欧州議会および理事会規則(EU)2016/679(一般データ保護規則)(1)の要件を確実に遵守することです。
- 当事者
(i) 付属書I.Aに記載されている、個人データを転送する自然人または法人、公的機関、代理店またはその他の団体(以下、「データ輸出者」といいます。
データ輸出者から、附属書I.Aに記載されている本条項の締約国である他の事業体を介して、直接または間接的に個人データを受領する第三国の事業体/国(以下、それぞれ「データ輸入者」といいます。)
は、本標準契約約款(以下「約款」といいます。)
第2条
条項の効力と不変性
- 本条項は、規則(EU)2016/679 の第 46 条(1)項および第 46 条(2)(c)項に従い、強制可能なデータ主体の権利および効果的な法的救済を含む適切な保護措置を定めるものであり、また、管理者から処理者へのデータ移転および/または処理者から処理者へのデータ移転に関しては、規則(EU)2016/679 の第 28 条(7)項に従い、標準的な契約条項を定めるものです。
ただし、本条項と直接的または間接的に矛盾しないこと、または情報主体の基本的権利もしくは自由を害しないことを条件とします。 - 本条項は、規則(EU)2016/679によりデータ輸出者が従う義務を損なうものではありません。
第2条
条項の効力と不変性
- 本条項は、規則(EU)2016/679 の第 46 条(1)項および第 46 条(2)(c)項に従い、強制可能なデータ主体の権利および効果的な法的救済を含む適切な保護措置を定めるものであり、また、管理者から処理者へのデータ移転および/または処理者から処理者へのデータ移転に関しては、規則(EU)2016/679 の第 28 条(7)項に従い、標準的な契約条項を定めるものです。
ただし、本条項と直接的または間接的に矛盾しないこと、または情報主体の基本的権利もしくは自由を害しないことを条件とします。 - 本条項は、規則(EU)2016/679によりデータ輸出者が従う義務を損なうものではありません。
第3条
第三者受益者
- データ主体は、以下の例外を除き、データ輸出者および/またはデータ輸入者に対して、 第三者受益者として本条項を適用し、執行することができます:
(i) 第1項、第2項、第3項、第6項、第7項;
(ii) Clause 8 – Module One: Clause 8.5 (e) and Clause 8.9(b); Module Two: Clause 8.1(b), 8.9(a), (c), (d) and (e); Module Three:モジュール4:第8.1条(a)、(c)、(d)及び第8.9条(a)、(c)、(d)、(e)、(f)、(g)第8.1条(b)及び第8.3条(b);
(iii) 第9条 – モジュール2:第9条(a)、
(c),
(d)及び
(モジュール3:第9条(a)、
(c),
(d)及び
(e);
(iv) 第12条 – モジュール1:第12条(a)および(d)、モジュール2および3:第12条(a)、(d)および(f);
(v) 第13条
(vi) 第15.1条(c)、(d)および(e);
(vii) 第16条(e);
(viii) 第18条 – モジュール1、2、3:モジュール4:第18条
第4条
解釈
- 本条項において、規則(EU)2016/679で定義されている用語が使用されている場合、これらの用語は同規則における意味と同じ意味を有するものとします。
- 本条項は、規則(EU)2016/679の規定に照らして読み解かれるものとします。
- 本条項は、規則(EU)2016/679に規定される権利および義務と矛盾する形で解釈されないものとします。
第5条
階層
本条項と、本条項が合意された時点またはその後締結された両当事者間の関連契約の規定との間に矛盾がある場合、本条項が優先するものとします。
第6条
譲渡の内容
移転の詳細、特に移転される個人情報のカテゴリーおよび移転の目的は、付属書I.B.に明記されています。
第7条 オプション
ドッキング条項
- 本条約の当事者でない事業体は、両当事者の同意があれば、附属書に記入し、附属書 I.A に署名することにより、データ輸出者として、またはデータ輸入者として、いつでも本条約に加盟することができます。
- 附属書を完成し、附属書 I.A に署名した場合、加盟当事者は本条項の締約国となり、附属書 I.A の指定に従ってデータ輸出者またはデータ輸入者の権利および義務を有するものとします。
- 加盟国は、締約国になる前の期間から、本条項に基づいて生じるいかなる権利または義務も有しないものとします。
第 II 節 – 当事者の義務
第8条
データ保護
データ輸出者は、データ輸入者が適切な技術的および組織的措置を実施することにより、本条項に基づく義務を満たすことができると判断するために合理的な努力を払ったことを保証します。
8.1 目的制限
データ輸入者は、附属書 I.B に記載されている譲渡の特定の目的のためにのみ個人データを処理するものとします:
(i) データ主体の事前の同意を得た場合;
(ii) 特定の行政手続、規制手続、または司法手続において、法的請求の確立、行使、または防御のために必要な場合。
(iii) 情報主体または他の自然人の重大な利益を保護するために必要な場合。
8.2 透明性
- データ主体が第 10 条に従った権利を効果的に行使できるようにするために、データ輸入者はデータ主体に直接またはデータ輸出者を通じて通知するものとします:
(i) その身元および連絡先の詳細;
(ii) 処理される個人データのカテゴリー;
(iii) 本規約のコピーを入手する権利;
(iv) 個人情報を第三者に転送する場合、転送先または転送先のカテゴリー(意味のある情報を提供するために適切な場合)、転送の目的、および条項8.7に従ったその理由。
後者の場合、データ輸入者は、可能な限り、その情報を公開するものとします。
業務上の秘密または個人情報を含むその他の機密情報を保護するために必要な限 り、両当事者はコピーを共有する前に付属文書のテキストの一部を編集することができ ますが、そうしなければデータ対象者がその内容を理解できず、権利を行使できない場 合には、意味のある要約を提供するものとします。
要求があった場合、両当事者は、冗長化された情報を明らかにすることなく、可能な範囲で、冗長化の理由をデータ当事者に提供するものとします。
8.3 正確性とデータの最小化
- 各締約国は、個人データが正確であり、必要に応じて最新の状態に保たれていることを確認するものとします。
データ輸入者は、処理の目的に照らして不正確な個人データが遅滞なく消去または修正されるよう、あらゆる合理的な手段を講じるものとします。 - 一方の当事者は、移転または受領した個人データが不正確であること、または古くなっていることに気付いた場合、他方の当事者に遅滞なく通知するものとします。
- データ輸入者は、個人データが適切であり、関連性があり、処理目的に関連して必要なものに限定されていることを保証するものとします。
8.4 保管の制限
データ輸入者は、個人データをその処理目的に必要な期間を超えて保持しないものとします。
データ輸入者は、データの消去または匿名化(2)、および保持期間終了時のすべてのバックアップを含め、この義務の遵守を保証するために適切な技術的または組織的措置を講じるものとします。
8.5 処理の安全性
- データ輸入者、およびデータ送信中にデータ輸出者は、偶発的または違法な破壊、紛失、改ざん、不正な開示またはアクセス(以下「個人情報漏えい」といいます。)
適切なセキュリティ・レベルを評価する際には、両当事者は、最新の技術状況、実施に要する費用、処理の性質、範囲、文脈および目的、ならびにデータ対象者の処理に伴うリスクを十分に考慮するものとします。
両当事者は、特に、処理の目的がそのような方法で達成され得る場合には、送信中も含め、暗号化または仮名化を利用することを検討するものとします。 - 両当事者は、附属書 II に定める技術的および組織的措置に合意しました。
データ輸入者は、これらの措置が引き続き適切なレベルのセキュリティを提供することを保証するために、定期的なチェックを実施するものとします。 - データ輸入者は、個人データを処理する権限を与えられた者が守秘義務を負うか、または適切な守秘義務の下にあることを確認するものとします。
- 本条項に基づいてデータ輸入者によって処理された個人データに関して個人データ侵害が発生した場合、データ輸入者は、起こりうる悪影響を軽減するための措置を含め、個人データ侵害に対処するための適切な措置を講じるものとします。
- 自然人の権利および自由に対するリスクをもたらす可能性のある個人データ侵害が発生した場合、データ輸入者はデータ輸出者および第 13 条に基づく管轄監督当局の双方に遅滞なく通知するものとします。
当該通知には以下が含まれるものとします。
i) 違反の性質の説明(可能な場合、関係するデータ対象者および個人データ記録のカ テゴリーおよびおおよその数を含む)、
ii) 起こりうる結果
iii) 違反に対処するために講じられた、または提案された措置
iv) より詳細な情報を入手できる連絡先の詳細。
データ輸入者がすべての情報を同時に提供することが不可能な場合は、不当に遅延することなく段階的に提供することができます。 - 自然人の権利および自由に対する高いリスクをもたらす可能性のある個人情報漏えいの場 合、データ輸入者は、自然人の権利または自由に対するリスクを著しく軽減する措置を実施し ている場合、または通知することが不釣り合いな努力を伴う場合を除き、データ輸出者と 協力して、必要であれば、関係するデータ主体に、個人情報漏えいおよびその性質につ いて、(e)項の ii)から iv)に言及する情報と共に、過度の遅滞なく通知するものとします。
後者の場合、データ輸入者は、個人情報漏えいを公衆に通知するために、広報を発行するか、または同様の措置を講じるものとします。 - データ輸入者は、個人データ侵害に関連するすべての事実(その影響および講じられた改善措置を含む)を記録し、その記録を保管するものとします。
8.6 機密データ
データ輸入者は、人種もしくは民族的出身、政治的意見、宗教的もしくは哲学的信条、 または労働組合員であることを明らかにする個人データ、遺伝データ、または自然人を 一意に識別するためのバイオメトリクスデータ、健康状態もしくは性生活もしくは性的指向に 関するデータ、または前科もしくは犯罪に関するデータ(以下「機微(センシティブ)データ」 といいます。
これには、個人データへのアクセスを許可された人員の制限、追加的なセキュリ ティ対策(仮名化など)、および/またはさらなる開示に関する追加的な制限が含まれま す。
8.7 オンワード・トランスファー
データ輸入者は、欧州連合(EU)域外にある第三者(データ輸入者と同じ国または別の第三国。
それ以外の場合、データ輸入者によるオンワード転送は、以下の場合にのみ行うことができます:
(i)規則(EU)2016/679の第45条に基づく適切性決定の恩恵を受けている国への移転;
(ii) 当該第三者が、当該処理に関して、規則(EU)2016/679の第46条または第47条に従って適切な保護措置を別途確保している場合;
(iii) 第三者がデータ輸入者との間で、本条項と同レベルのデータ保護を保証する拘束力のある契約を締結し、データ輸入者がデータ輸出者にこれらの保護措置のコピーを提供すること;
(iv) 特定の行政、規制、または司法手続きにおいて、法的請求の確立、行使、または防御のために必要な場合;
(v) データ主体または他の自然人の重大な利益を保護するために必要である場合。
(vi) 他のいずれの条件にも該当しない場合、データ輸入者は、データ主体にその目的、受領者の身元、および適切なデータ保護セーフガードの欠如によりデータ主体に起こりうるリスクを通知した上で、特定の状況においてデータ主体から転送に関する明示的な同意を得た場合。
この場合、データ輸入者はデータ輸出者に通知し、データ輸出者の要求があれば、データ対象者に提供した情報のコピーをデータ輸出者に送付するものとします。
データ転送は、データ輸入者が本条項に基づくその他の保護措置、特に目的制限を遵守することを条件とします。
8.8 データ輸入者の権限に基づく処理
データ輸入者は、プロセッサーを含め、その権限の下で行動する者が、その指示に 従ってのみデータを処理することを保証するものとします。
8.9 文書化とコンプライアンス
- 各締約国は、本条項に基づく義務の遵守を証明できるものとします。
特に、データ輸入者は、その責任の下で実行された処理活動に関する適切な文書を保管するものとします。 - データ輸入者は、要求があれば管轄監督当局にそのような文書を提供するものとします。
第9条 [not applicable]
第10条
データ主体の権利
- データ輸入者は、必要に応じてデータ輸出者の協力を得て、データ主体から受けた個人情報の処理および本条項に基づく権利の行使に関する問い合わせおよび要求に、不当な遅滞なく、遅くとも問い合わせまたは要求の受領から1ヶ月以内に対応するものとします。
(10)
データ輸入者は、このような照会、要求およびデータ主体の権利の行使を容易にするために適切な措置を講じるものとします。
情報主体に提供されるすべての情報は、明確かつ平易な言語を使用し、分かりやすく、容易にアクセスできる形式でなければなりません。 - 特に、データ主体からの要求があった場合、データ輸入者は無料でこれを行うものとします:
(i) 情報主体に対して、当該情報主体に関する個人情報が処理されているかどう か、また処理されている場合は当該情報主体に関する個人情報のコピーおよび付属 書 I の情報を提供すること、個人情報が転送されている場合または転送される予定 の場合は、転送されたまたは転送される予定の受取人または受取人の区分(意味のあ る情報を提供する観点から適切な場合)に関する情報、転送の目的、および第 8 条に従った根拠を提供すること、第 12 条(c)(i)に従って監督当局に苦情を申し立てる権利に関する情報を提供すること。7; および第 12 条(c)(i)に従い、監督当局に苦情を申し立てる権利に関する情報の提供;
(ii) データ対象者に関する不正確または不完全なデータを修正すること;
(iii) データ対象者に関する個人データが、第三者の受益権を確保するために本条項のいずれかに違反して処理されている、または処理されていた場合、またはデータ対象者が処理の根拠となる同意を撤回した場合、当該個人データを消去すること。
この場合、データ輸入者は必要に応じてデータ輸出者と協力するものとします:
(i) 想定される自動化された決定、想定される結果、および関連する論理について情報主体に通知すること。
(ii) 少なくとも、データ対象者が決定に異議を唱え、自らの見解を表明し、人間による検証を受けることを可能にすることにより、適切な保護措置を実施すること。
第11条
リドレス
- データ輸入者は、データ対象者に対し、苦情を処理する権限を有する窓口を、個別通知または ウェブサイトを通じて、透明性がありアクセスしやすい形式で通知するものとします。
データ輸入者は、データ対象者から苦情を受けた場合、速やかに対処するものとします。
[オプション:データ輸入者は、データ対象者が独立した紛争解決機関(11)に、 データ対象者の費用負担なしに苦情を申し立てることができることに同意します。データ輸入者は、(a)項に定める方法で、データ主体にそのような救済機 構を通知するものとし、データ主体はその救済機構を利用する必要はなく、また救済を求 める際に特定の順序に従う必要はないものとします。] - 本条項の遵守に関して情報主体者と一方の当事者との間で紛争が生じた場合、当該当事 者は、適時に友好的に問題を解決するために最善の努力を払うものとします。
両当事者は、そのような紛争について相互に情報を提供し、適切な場合にはその解決に協力するものとします。 - データ主体が第3条に従って第三者受益権を行使する場合、データ輸入者はデータ主体の決定を受け入れるものとします:
(i)常居所地または勤務地の加盟国の監督当局、または第13条に基づく管轄監督当局に苦情を申し立てること;
(ii) 第 18 条に定める管轄裁判所に紛争を付託すること。
- 両当事者は、データ主体が、規則(EU)2016/679の第80条(1)に規定される条件の下で、非営利団体、組織または協会によって代表される可能性があることを受け入れます。
- データ輸入者は、適用される EU または加盟国の法律に拘束される決定に従うものとします。
- データ輸入者は、データ対象者が行った選択が、適用法に従って救済を求める実質的および手続き上の権利を損なわないことに同意するものとします。
第12条
責任
- 各当事者は、本条項の違反により相手方当事者に与えた損害について、相手方当事者に責任を負うものとします。
- 各当事者は、本条項に基づく第三者の受益者の権利に違反することによってデータ主体 に与えた重大または非重要な損害について、データ主体に対して責任を負うものと し、データ主体は補償を受ける権利を有するものとします。
これは、規則(EU)2016/679 に基づくデータ輸出者の責任を損なうものではありません。 - 本条項に違反した結果、データ対象者に生じた損害について複数の当事者が責任を負う場合、すべての責任当事者は連帯して責任を負うものとし、データ対象者はこれらの当事者のいずれに対しても裁判所に訴訟を提起する権利を有します。
- 両当事者は、一方の当事者が(c)項に基づき責任を負う場合、他方の当事者に対し、損害に対する責任に対応する補償金の一部を返還請求する権利を有することに同意するものとします。
- データ輸入者は、自らの責任を回避するために、プロセッサーまたはサブプロセッサーの行為を援用することはできません。
第13条
監督
- [Where the data exporter is established in an EU Member State:] データ移転に関してデータ輸出者による規則(EU)2016/679の遵守を確保する責任を有する監督当局は、付属書I.Cに示されるとおり、管轄監督当局として行動するものとします。
[データ輸出者がEU加盟国に設立されていないが、規則(EU)2016/679の第3条(2)に従って規則(EU)2016/679の適用範囲内にあり、規則(EU)2016/679の第27条(1)に従って代表者を任命している場合:]。規則(EU) 2016/679の第27条(1)の意味における代表者が設置されている加盟国の監督当局は、付属書I.Cに示されるとおり、管轄監督当局として行動するものとします。
[データ輸出者がEU加盟国に設立されていないが、規則(EU) 2016/679の第3条(2)に従って規則(EU) 2016/679の適用範囲に含まれる場合であって、規則(EU) 2016/679の第27条(2)に従って代表者を任命する必要がない場合]。付属書I.Cに示されるように、本条項に基づいて商品またはサービスの提供に関連して個人データが移転され、またはその行動が監視されるデータ主体が所在する加盟国のいずれかの監督当局が、管轄監督当局として行動するものとします。 - データ輸入者は、本条項の遵守を確保するためのあらゆる手続きにおいて、管轄の監督当局の管轄下に服し、これに協力することに同意するものとします。
特に、データ輸入者は、照会に応じ、監査に応じ、是正措置および補償措置を含む監督当局が採用した措置を遵守することに同意するものとします。
データ輸入者は、監督当局に対し、必要な措置が講じられたことを書面で確認するものとします。
セクション III – 現地の法律および公的機関によるアクセスの場合の義務
第14条
本条項の遵守に影響を及ぼす現地の法律および慣行
- 両当事者は、データ輸入者による個人データの処理に適用される第三国の法律および慣行(個人データの開示要件または公的機関によるアクセスを許可する措置を含む)が、データ輸入者による本条項に基づく義務の履行を妨げると信じるに足る理由がないことを保証します。
これは、基本的な権利および自由の本質を尊重し、規則(EU)2016/679の第23条(1)に列挙された目的の一つを保護するために民主主義社会において必要かつ妥当な範囲を超えない法律および慣行は、本条項と矛盾しないという理解に基づくものです。 - 両当事者は、(a)の保証を提供するにあたり、特に以下の要素を十分に考慮したことを宣言します:
(i) 処理チェーンの長さ、関与する関係者の数、使用される転送チャネルを含む転送の具体的な状況、意図された転送先、受取人のタイプ、処理の目的、転送される個人データのカテゴリーと形式、転送が行われる経済分野、転送されるデータの保管場所;
(ii)移転先の第三国の法律および慣行(公的機関へのデータ開示を要求するもの、または公的機関によるデータへのアクセスを許可するものを含む)、ならびに移転の特定の状況に照らして関連する、適用される制限および保護措置(12);
(iii) 本条項に基づく保護措置を補完するために導入された、契約上、技術上、または組織上の関連する保護措置。
[モジュール3の場合:データ輸出者は管理者に通知を転送するものとします。]
第15条
公的機関によるアクセスの場合のデータ輸入者の義務
15.1 通知
- データ輸入者は、以下の場合、データ輸出者、および可能であればデータ主体に(必要であればデータ輸出者の協力を得て)速やかに通知することに同意します:
司法当局を含む公的機関から、本条項に従って移転された個人データの開示に関する法的拘束力のある要請を、移転先の国の法律に基づいて受けた場合。
この通知には、輸入者が入手可能なすべての情報が含まれるものとします。
[モジュール3の場合:データエクスポーターは通知をコントローラに転送するものとします。]
データ輸入者は、データ輸出者の要求があった場合にそれを証明できるように、最善の努力を文書化することに同意します。
15.2 適法性とデータ最小化の見直し
- データ輸入者は、開示要求の合法性、特にそれが要求元の公的機関に付与された 権限の範囲内にあるかどうかを検討し、慎重に評価した結果、その要求が仕向け 国の法律、国際法の下で適用される義務、および国際的な衡平法上の原則に基づ いて違法であると考える合理的な根拠があると結論付けた場合には、その要求に異議を 唱えることに同意するものとします。
データ輸入者は、同じ条件下で、上訴の可能性を追求するものとします。
請求に異議を申し立てる場合、データ輸入者は、管轄の司法当局がその是非を決定するまで、請求の効力を停止することを目的とした暫定措置を求めるものとします。
データ輸入者は、適用される手続き規則に基づいて要求されるまで、要求された個人データを開示しないものとします。
これらの要件は、第 14 条(e)に基づくデータ輸入者の義務を損なうものではありません。 - データ輸入者は、その法的評価および開示要求に対する異議申し立てを文書化し、仕向け 国の法律で許容される範囲内で、その文書をデータ輸出者が入手できるようにするこ とに同意するものとします。
また、要求があれば管轄の監督当局にも提供するものとします。 - データ輸入者は、開示請求に応じる際、開示請求の合理的な解釈に基づき、許容される最小限の情報を提供することに同意します。
第4節 – 最終規定
第16条
条項の不履行と解除
- データ輸入者は、理由の如何を問わず、本条項を遵守できない場合は、データ輸出者に速やかにその旨を通知するものとします。
- データ輸入者が本条項に違反した場合、または本条項を遵守できない場合、データ輸出者は、遵守が再度確保されるか、または契約が解除されるまで、データ輸入者への個人データの移転を停止するものとします。
これは第 14 条(f)を損なうものではありません。 - データ輸出者は、本条項に基づく個人データの処理に関する限りにおいて、以下の場合に契約を解除する権利を有するものとします:
(i) データ輸出者が(b)項に従ってデータ輸入者への個人データの転送を一時停止し、合理的な期間内に、いかなる場合でも一時停止から1ヶ月以内に本条項への遵守が回復されない場合。
データ輸入者が本条項に実質的または継続的に違反している場合。
(iii) データ輸入者が、本条項に基づく義務に関する管轄裁判所または監督当局の拘束力のある決定に従わない場合。
このような場合、データ輸出者は管轄の監督当局にそのような不順守を通知するものとします。
契約が2つ以上の当事者にまたがる場合、データ輸出者は、当事者間で別段の合意がない限り、関連する当事者に関してのみこの解除権を行使することができます。 - (c)に従って契約が終了する前に移転された個人データは、データ輸出者の選択により、直ちにデータ輸出者に返却されるか、またはデータ全体が削除されるものとします。
データのコピーについても同様とします。
データ輸入者はデータ輸出者に対し、データの削除を証明するものとします。
データが削除または返却されるまで、データ輸入者は本条項を遵守するものとします。
データ輸入者に適用される現地の法律が、転送された個人データの返却または削除を禁止している場合、データ輸入者は引き続き本条項を遵守し、当該現地の法律で義務付けられている範囲および期間のみデータを処理することを保証するものとします。 - いずれの当事者も、以下の場合には、本条項に拘束される旨の合意を撤回することができます。
(i) 欧州委員会が、本条項が適用される個人データの移転を対象とする規則(EU) 2016/679の第45条(3)に従った決定を採択する場合。
(ii) 規則(EU) 2016/679が個人データの移転先の国の法的枠組みの一部となった場合。
これは、規則(EU)2016/679に基づき当該処理に適用されるその他の義務を損なうものではありません。
第17条
準拠法
選択肢1:本条項は、第三者の受益権を認めるEU加盟国のいずれかの法律に準拠するものとします。
両当事者は、これをドイツ法とすることに合意します。
第18条
法廷地および裁判管轄の選択
- 本条項に起因する紛争は、EU加盟国の裁判所により解決されるものとします。
- 両当事者は、ドイツの裁判所とすることに合意します。
- データ対象者は、データ輸出者および/またはデータ輸入者に対して、その者が常居所を有する加盟国の裁判所に対して法的手続きを取ることもできます。
- 両当事者は、かかる裁判所の管轄権に服することに同意します。
(1) データ輸出者が、管理者としての欧州連合の機関または団体に代わって行動する規則(EU) 2016/679の適用を受ける処理者である場合、規則(EU) 2016/679の適用を受けない別の処理者(サブ処理)に従事する際に本条項を信頼することにより、欧州連合の機関による個人データの処理に関する自然人の保護に関する2018年10月23日の欧州議会および理事会の規則(EU) 2018/1725の第29条(4)の遵守も保証されます、Regulation (EC) No 45/2001 and Decision No 1247/2002/EC (OJ L 295, 21.11.2018, p. 39)、本条項と規則(EU) 2018/1725の第29条(3)に基づく管理者と処理者の間の契約またはその他の法律行為に規定されるデータ保護義務が一致する限りにおいて。
これは特に、管理者と処理者が決定2021/915に含まれる標準契約条項に依拠する場合に当てはまります。
(2) この場合、規則(EU) 2016/679のレシタル26に沿って、個人がもはや誰からも特定できないような方法でデータを匿名化し、このプロセスが不可逆的であることが必要です。
(3) 欧州経済領域に関する協定(EEA協定)は、欧州連合の域内市場をEEAの3カ国であるアイスランド、リヒテンシュタイン、ノルウェーに拡大することを規定しています。
規則(EU) 2016/679を含むEUのデータ保護法はEEA協定の対象であり、同協定の付属書XIに組み込まれています。
従って、データ輸入者が EEA 内に所在する第三者に開示することは、本条項の目的上、対内移転には該当しません。
(4) 欧州経済領域に関する協定(EEA 協定)は、欧州連合の域内市場を EEA のアイスランド、リヒテンシュタイン、ノルウェーの 3 カ国に拡大することを規定しています。
規則(EU) 2016/679を含むEUのデータ保護法はEEA協定の対象であり、同協定の付属書XIに組み込まれています。
したがって、データ輸入者によるEEA域内の第三者への開示は、本条項の目的上、対内移転には該当しません。
(5) 規則(EU) 2016/679の第28条(4)および管理者がEUの機関または団体である場合は規則(EU) 2018/1725の第29条(4)を参照。
(6) 欧州経済領域に関する協定(EEA協定)は、欧州連合(EU)の域内市場をEEAの3カ国であるアイスランド、リヒテンシュタイン、ノルウェーに拡大することを規定しています。
規則(EU) 2016/679を含むEUのデータ保護法はEEA協定の対象であり、同協定の付属書XIに組み込まれています。
したがって、データ輸入者による EEA 内の第三者への開示は、本条項の目的上、対内移転には該当しません。
(7) これには、移転およびさらなる処理が、人種的または民族的出身、政治的意見、宗教的または哲学的信条、または労働組合員であることを明らかにする個人データ、自然人を一意に識別することを目的とする遺伝子データまたはバイオメトリクスデータ、健康に関するデータ、人の性生活または性的指向に関するデータ、または前科または犯罪に関するデータを含むかどうかが含まれます。
(8) この要件は、第 7 条に従って、サブプロセッサが適切なモジュールの下で本条項に同意することで満たすことができます。 (9) この要件は、サブプロセッサが、第 7 条に従って、適切なモジュールの下で本条に同意することによって満たすことができます。
(10)
この期間は、要求の複雑性および数を考慮して必要な範囲で、さらに最大2ヶ月まで延長することができます。
データ輸入者は、そのような延長があった場合、データ対象者に正式かつ速やかに通知するものとします。
(11)
データ輸入者は、仲裁判断の執行に関するニューヨーク条約を批准している国に設立された仲裁機関に限り、独立した紛争解決を提供することができます。
(12)
このような法律および慣行が本条項の遵守に与える影響については、全体的な評価の一部として、さまざまな要素を考慮することができます。
このような要素には、十分に代表的な期間にわたる、公的機関からの開示請求の過去の事例、又はそのような請求の不存在に関する、関連し文書化された実務経験が含まれる場合があります。
これは特に、デューディリジェンスに従って継続的に作成され、上級管理職レベルで証明された内部記録またはその他の文書を指します。
データ輸入者が本条項を遵守することを妨げられないと結論付けるために、この実務経験を信頼する場合、他の関連する客観的要素によって裏付けられる必要があります。
特に、締約国は、その実務経験が、判例や独立監視機関による報告書など、同じ部門における要請の有無、および/または実務における法律の適用に関する、公に入手可能な、またはその他の方法でアクセス可能な信頼できる情報によって裏付けられ、矛盾していないかどうかを考慮しなければなりません。
付録
説明的注釈: 各移転または各移転カテゴリーに適用される情報を明確に区別することが可能でなければな らず、またこの点に関して、データ輸出者及び/またはデータ輸入者としての両当事者のそれぞれの 役割を決定することが可能でなければなりません。
この透明性が 1 つの付録で達成できる場合、各移転/カテゴリー及び/又は契約関係に ついて別々の付録に記入し署名する必要は必ずしもありません。
ただし、十分な透明性を確保するために必要な場合は、別個の付属書を使用する必要があります。
付録 I
A.当事者リスト
データ輸出者:[データ輸出者の身元および連絡先、および該当する場合は、欧州連合におけるデータ保護責任者および/または代表者の身元および連絡先]。
- 名前住所担当者の氏名、役職、連絡先: ..:本条項に基づいて移転されるデータに関連する業務: … 署名および日付: … 役割(管理者/処理者): ..:…
- ……
データ輸入者:[データ輸入者の身元および連絡先(データ保護担当者を含む)]。
- 名前住所担当者の氏名、役職、連絡先: ..:本条項に基づいて移転されるデータに関連する業務: … 署名および日付: … 役割(管理者/処理者): ..:…
- …..
B.譲渡の説明
個人データが移転されるデータ主体のカテゴリー … 移転される個人データのカテゴリー … 移転されるセンシティブなデータ(該当する場合)、および、例えば厳密な目 的制限、アクセス制限(特別な訓練を受けたスタッフのみのアクセスを含む)、 データへのアクセス記録の保持、転送の制限、または追加のセキュリティ対策など、 データの性質および関連するリスクを十分に考慮した制限または保護措置の適用。
… データ転送の頻度(例えば、データが単発的に転送されるか、継続的に転送されるか) …
… 情報処理の性質 … 情報移転および追加処理の目的 … 個人情報の保持期間、またはそれが不可能な場合は、その期間を決定 するために使用した基準 … (サブ)処理業者への移転の場合は、処理の対象、性質および期間も明記 …
C.管轄監督機関
第13条に従い、管轄監督当局を特定します。
付録 II
データの安全性を確保するための技術的および組織的措置を含む技術的および組織的措置
説明的注記:技術的及び組織的な措置は、(一般的な用語ではなく)具体的な用語で記載されなければなりません。
特に、どの措置が各譲渡/譲渡のセットに適用されるかを明確に示す必要性については、別添の最初のページの一般的なコメントも参照。 データ取扱の性質、範囲、文脈および目的、ならびに自然人の権利および自由に対するリスクを考慮した上で、適切なレベルのセキュリティを確保するためにデータ輸入者によって実施される技術的および組織的対策(関連する認証を含む)の説明。
[可能な措置の例個人データの仮名化および暗号化の対策 処理システムおよびサービスの継続的な機密性、完全性、可用性および回復力を確保するための対策 物理的または技術的な事故が発生した場合に、個人データへの可用性およびアクセスを適時に回復する能力を確保するための対策 定期的にテストするためのプロセス、処理の安全性を確保するための技術的および組織的措置の有効性を定期的にテスト、評価、 評価するためのプロセス ユーザーの識別および承認のための措置 送信中のデータ保護のための措置 保管中のデータ保護のための措置 個人データが処理される場所の物理的安全性を確保するための措置 イベントロギングのための措置 システム構成のための措置、デフォルト設定を含む) 内部 IT 及び IT セキュリティのガバナンス及び管理に関する措置 プロセス及び製品の認証/保証に関する措置 データ最小化の保証に関する措置 データ品質の保証に関する措置 データ保持の制限に関する措置 説明責任の保証に関する措置 データポータビリティの許可及び消去の保証に関する措置サブ)プロセッサーへの移転の場合は、(サブ)プロセッサーが管理者に、またプロセッサーからサブプロセッサーへの移転の場合はデータ輸出者に支援を提供できるようにするために講じる具体的な技術的・組織的措置についても説明してください。