本データ処理契約(以下「本契約」)は、以下の当事者間の利用規約(以下「主契約」)の一部を構成します。
(以下、総称して「両当事者」)。
1.1 クライアントはデータ管理者として機能し、個人データの処理を含む特定のサービスをデータ処理者に再委託したいと考えています。
1.2 両当事者は、以下を含む適用されるデータ保護法に準拠したデータ処理契約を締結することを目的としています。
1.3 本契約は、データ保護およびプライバシーに関する両当事者の権利義務を定めるものです。
2.1 特に定義がない限り、本契約で大文字で表記される用語は以下の意味を持ちます。
2.2 本契約で定義されていない用語は、GDPRにおける定義が適用されます。
3.1 クライアントは、以下に厳密に従ってクライアント個人データを処理するよう、データ処理者に指示します。
3.2 データ処理者は、本契約および主契約に明示された目的以外でクライアント個人データを処理してはなりません。
4.1 データ処理者は以下を実施します。
5.1 データ処理者は、クライアント個人データのセキュリティを確保するため、以下を考慮した適切な技術的・組織的対策を実施します。
5.2 必要に応じて、以下を含むセキュリティ対策を実施します。
6.1 データ処理者は、クライアントの事前書面承認なしにサブプロセッサーを起用してはなりません。
6.2 クライアントは、以下の承認済みサブプロセッサーの利用をデータ処理者に許可します。
6.3 データ処理者は、いかなるサブプロセッサーも本契約の同等の義務を遵守するよう確保します。
7.1 データ処理者は、アクセス権、訂正・削除権、データポータビリティ請求など、データ主体の権利に関するクライアントの義務履行を支援します。
7.2 データ主体からの請求を受けた場合、データ処理者は以下を行います。
8.1 個人データ侵害が発生した場合、データ処理者は以下を行います。
9.1 クライアントの事前書面同意がない限り、または適切な保証(SCCなど)がない限り、EU/EEA外へのデータ転送は行いません。
10.1 主契約終了後、クライアントは以下を要求できます。
11.1 クライアントは、準拠性証明のための情報請求および監査を実施する権利を有します。
12.1 両当事者は、本契約に基づき共有された情報を機密として保持し、他方の書面同意なく開示しません。ただし、法令で要求される場合および公知の情報は除きます。
13.1 本契約はアラブ首長国連邦ドバイの法令に準拠します。
13.2 本契約に関する紛争はドバイの裁判所で解決されます。