データ処理補遺(DPA)
本データ処理補遺(以下、「DPA」)は、お客様(本契約にて定義)(以下、総称的に「お客様が」、「お客様の」、「お客様」)、および monday.com Ltd.(以下、「monday.com」、「当社」、「当社は」「当社の」)の間で取り交わされ、monday.com 利用規約(www.monday.com/terms/tos)または monday.com サービスの利用に関するその他の契約(以下、「契約」)を参考にするものであり、monday.com によりお客様のためだけに行われる個人データの処理に関する当事者の合意を反映するものです。尚、本契約では、二社の当事者を「両当事者」、またそれぞれを「各当事者」と呼ぶものとします。
本 DPA に特に定義されていない太字表記の用語は、本契約においてそれぞれ定義された語義を有するものとします。
本サービスのご利用にあたり、お客様は本 DPA を承諾し、またお客様が本 DPA に関して全面的にお客様を法的に拘束する権限を有していることを表明し保証するものとします。お客様が本 DPA の遵守および拘束に同意いただけない場合、またはお客様やその他の事業体を拘束する権限を有しない場合、当社への個人データの提供をお控えください。
本 DPA と契約の特定の規定に矛盾が生じる場合、個人データの処理に関する限りにおいては、本 DPA の規定が、契約の矛盾する規定に優先するものとします。
1. 定義
(a) 「関連企業」とは、対象事業体を直接または間接的に管理し、対象事業体によって管理され、あるいは対象事業体と共通の管理下にある事業体を指します。ここでいう「管理」とは、対象事業体の 50% 以上の議決権を直接または間接的に所有または管理していることを意味します。
(b) 「認定された関連企業」とは、お客様と monday.com との間で締結された契約に従って本サービスの使用を明示的に許可されながら、 monday.com と個別の契約を締結していないお客様の関連企業で、本契約に定める「お客様」でないものを指します。
(c) 「CCPA」とは、2018年カリフォルニア州消費者プライバシー法、Cal. Civ. Code § 1798.100 et. Seq、およびその施行規則(随時改訂される場合があります)を指します。
(d) 「管理者」、「加盟国」、「処理者」、「処理」および「監督機関」の語については、GDPR におけるものと同義とします。「事業」、「事業目的」、「消費者」および「サービスプロバイダー」の語については、CCPA におけるものと同義とします。
本 DPA の明確化の目的で、CCPA の適用範囲において、「管理者」は「事業者」をも意味し、「処理者」は「サービスプロバイダ」をも指すものとします。同様に、処理者の下位処理者(サブプロセッサー)についても、サービスプロバイダを指すものとします。
(e) 「データ保護規則」とは、欧州連合、欧州経済領域およびその加盟国、スイス、英国、カナダ、イスラエルおよび米国の GDPR、英国 GDPR および CCPA を含む、本契約に基づく個人データの処理に対して適用され、かつその時点で有効な、プライバシーおよびデータ保護に関するすべての適用可能かつ拘束力のある法律および規制を指します。
(f) 「情報主体」とは、個人データに関連する特定または識別可能な人物を指します。
(g) 「GDPR」とは、欧州議会および理事会による、個人データの処理に関する自然人の保護および当該データの移動の自由に関する規則(EU)2016/679(2016年4月27日適用開始)を指します。
(h) 「個人データ」または「個人情報」とは、直接的または間接的に、特定または識別可能な自然人または消費者を識別、関連、記述、関連付け、または合理的に関連付けることができるあらゆる情報を指し、本 DPA および契約に基づいてお客様に代わって monday.com のみによって処理されるものとします。
(i) 「サービス」とは、オンラインおよびモバイルアプリケーション(以下「プラットフォーム」という)を介し提供される monday.com のプラットフォーム、製品、サービス、アプリケーション、アプリケーションプログラミングインターフェイス(以下「API」という)、ツール、および付随的または補助的な monday.com の製品およびサービス(契約に定めるアップグレードを含む)を含む当社のクラウド型サービス、ならびに契約に基づき当社がお客様に提供するその他のサービスをいいます。
(j) 「セキュリティドキュメント」とは、www.monday.com/trustcenter/datasecure、またはその他 monday.com がお客様に合理的に提供する、本契約および本 DPA に基づく monday.com による個人データ処理に適用される、当社採用の技術的および組織的措置を定めた、随時更新されるセキュリティドキュメントを指します。
(k) 「機微(センシティブ)データ」とは、適用されるデータ保護法において、「特殊カテゴリーデータ」、「機微データ」またはその他の実質的に類似する用語など、特別な法律下で保護され、独自の取り扱いを必要とする個人データを指し、以下のいずれかを含む場合があります。(a) 社会保障番号、納税者番号、パスポート番号、運転免許証番号、または同様の識別子(またはその一部)、 (b) 財務または信用情報、クレジットまたはデビットカード番号、(c) 人種または民族の出自、政治的意見、宗教的または哲学的信条、労働組合への加盟、自然人を一意に特定するための遺伝データまたは生体データ、個人の健康、性生活または性的指向に関するデータ、または犯罪歴および犯罪に関するデータ、 (d) 子供に関する個人データ、および・または、(e) ハッシュ化していない状態のアカウントパスワードを明らかにする情報。
(l) 「標準契約条項」とは、(a) GDPR の対象となる個人データの移転に関しては、2021年6月4日付け欧州委員会実施決定(EU)2021/914(その附属書 I、II、および V すべてを含む)により承認・施行の管理者と処理者間の標準契約条項(こちらに掲載)、および処理者と処理者間の標準契約条項(こちらに掲載)(以下あわせて「EU SCC」)、(b) 英国 GDPR の対象となる個人データの移転に関しては、附属書 III により EU SCC に組み込まれた2022年3月21日付け欧州委員会標準契約条項に対する国際データ移転補遺(バージョン B.1.0、以下「IDTA」、「英国補遺」)、および (c) データ保護に関する連邦法(FADP、2020年9月25日改正)の対象となる移転に関しては、EU SCC 附属書 IV に定める条項(「スイス補遺」)をいうものとします。
(m) 「サブプロセッサー」とは、monday.com の指揮下で個人データに関する特定の処理活動を実施する第三者を指します。
(n) 「英国 GDPR」とは、2018年データ保護法、ならびに2018年欧州連合法第3項(離脱)によりイングランドおよびウェールズ、スコットランド、北アイルランドの法律の一部を構成し、データ保護、プライバシーおよび2019年電子通信規則(SI 2019/419)(改正等)(EU離脱)により改正された GDPR を指します。
2. 個人データの取り扱い
2.1. 両当事者の役割。両当事者は、お客様に代わり monday.com が単独で行う個人データの処理について、(a) お客様をデータの管理者とし、(b) monday.com をかかる個人データの処理者とすることを認め、これに同意するものとします。
2.2. お客様の責務。本サービスの利用およびお客様による処理者への指示において、お客様は、データ保護法、契約および本 DPA を遵守するものとします。またお客様は、事業目的の追求を含め、契約および本 DPA に従い処理者がお客様に代わり行う処理活動の承認に必要なあらゆる法的根拠を確証し、これを有するものとします。
2.3. 処理者による個人データ処理。処理者による個人データの処理は、以下を目的としたものとします。(a) 契約および本 DPA に従う。(b) 処理者による本サービスの提供に関連する。(c) お客様の合理的かつ文書化された指示に従う(かかる指示は契約および本 DPA の規定と整合し、かつ処理の実施方法が考慮されていること)。(d) お客様の指示またはお客様による本サービスの利用に伴い第三者と個人データを共有する、または第三者から個人データを受領する(お客様が設定した、またはお客様の代わりに第三者が提供する本サービスとの統合など)。(e) 個人データの匿名情報化(当該契約に定義)。(f) 処理者に適用される法の下での要求、または管轄裁判所またはその他管轄権を有する行政機関もしくは準行政機関の要請に応じる(ただし、かかる法または行政命令により当該情報の開示が禁止されている場合を除き、処理に先立ち処理者は、お客様に当該の法的要件を通知すること)。
お客様によって与えられた個人データの処理に関する指示が適用されるデータ保護法を侵害すると処理者が合理的に判断した場合、処理者は、適用されるデータ保護法に基づいてお客様に通知することが禁止されていない限り、お客様に不当な遅滞なく通知するものとします。お客様の指示がデータ保護法に抵触するか否かについて、処理者は評価する義務を負わないことをここに明確化します。
2.4. 処理の詳細。処理者による個人データ処理の対象は、契約および本 DPA に基づく本サービスの履行とします。本 DPA に基づき個人データの処理を行う期間、処理の性質および目的、個人データの種類、ならびにデータ主体の区分に関する詳細は、本 DPA 別表1(処理の詳細)に規定します。
2.5. 機密データ。両当事者は、本サービスが機密データの処理を意図したものでないこと、およびお客様が本サービスを利用した機密データの処理を希望される場合は、事前に当社の書面による明示的な同意を得るとともに、当社が求める場合は必要に応じ追加の契約の必要があることに同意するものとします。
2.6. CCPA 注意義務標準、個人情報の販売または共有の禁止。処理者は、契約または本 DPA の下に処理者がお客様に提供するサービスまたはその他の品目の対価として、いかなる個人情報も受領または処理しないことを認め、これを承諾するものとします。処理者は、CCPA に定める規則、要件、および定義を理解し、お客様の事前の書面による同意または指示なく、本 DPA の下に処理した個人情報の販売または共有(かかる用語は CCPA にて定義)を行わないことに同意し、かつ契約または本 DPA の下に自身以外の処理者との間で行う個人情報の移転により、CCPA におけるかかる個人情報の「販売」または「共有」に該当するいかなる行為をも生じさせないことに同意するものとします。処理者は、本 DPA および契約に定める限定された特定の目的のためにのみお客様が個人情報の開示を行うことを認めるものとします。処理者は、(a) かかる限定された特定の目的にのみ、かつ、(b) CCPA の該当する条項に従い、個人情報すべてを処理するものとします。処理者は、(i) 契約に記載される両当事者の直接的な事業関係、本サービス履行の特定事業目的、またはその他 CCPA、契約、もしくは本 DPA の認める事業目的または商用目的以外で個人情報の保持、利用または開示を行ってはならず、(ii) CCPA、その実施規則、両当事者間に締結する契約または本DPA により明示的に許可される場合を除き、処理者が他の当事者に代わり処理を行う個人情報とお客様の個人情報を論理的分離を用いて結合してはならないものとします。処理者はさらに、お客様が通知により、処理者による個人情報の不正使用を停止および是正するための合理的かつ適切な措置を講じる権利を有することを認めるものとします。処理者は、自身が CCPA に基づく義務を履行できないと判断した場合、お客様へ通知するものとします。
3. 情報主体からの要求
処理者が、データ主体または消費者から(適用されるデータ保護法により利用可能な範囲において)、アクセス、修正、処理制限、消去の権利、データポータビリティ、処理に対する異議を唱える、個別の自動意思決定の対象外とする、個人情報の販売をオプトアウトする、または差別を受けない権利を行使する要請(以下「データ主体からの要求」という)を受けた場合は、お客様へ通知する、またはデータ主体もしくは消費者をお客様に照会するものとします。処理の性質を考慮し、処理者は可能かつ妥当な限りにおいて、お客様がデータ主体からの要求に対応できるようお客様の支援を行うものとします。処理者は、かかる要求の処理についてデータ主体または消費者に対し、お客様の管理者に照会する、またはプラットフォーム内で利用可能な自己行使機能の利用について助言を行うことができるものとします。
4. 守秘義務
処理者は、個人データの処理に従事する従業員および委託業者が守秘義務を負っていること、またはその他の法的な守秘義務を負っていることを保証するものとします。
5. サブプロセッサー
5.1. サブプロセッサーの選任
お客様は、(a) 処理者の関連企業がサブプロセッサーとして従事できること、および (b) 処理者とその関連企業はそれぞれ、本サービスの提供に関連して第三者のサブプロセッサーを従事させることができることを認め、これに同意するものとします。
5.2. 現行のサブプロセッサー一覧および新規サブプロセッサーに関する通知
5.2.1. 発効日時点で、お客様はここに、処理者が個人データの処理に現在使用する www.monday.com/terms/subprocessors(「サブプロセッサー掲載ページ」)に記載の包括委任により、サブプロセッサーを従事させる権限を処理者に書面にて付与するものとします。
5.2.2. サブプロセッサー掲載ページでは、新規サブプロセッサーの選任および既存サブプロセッサーの交代に関する通知(以下「サブプロセッサー通知」という)の配信をお申し込みいただけます。お客様は、本 DPA 締結時にこの配信をお申込みの上、これを通じ送信される通知をもって、処理者が新規サブプロセッサーの選任または既存サブプロセッサーの交代をお客様へ通知する義務を果たすものであることを認めるものとします。
5.3. 新規サブプロセッサーに対する異議申し立て。新規サブプロセッサー通知の公開に準じ、お客様は、当該サブプロセッサーによる処理が意図される個人データの保護を理由として、処理者が新規または代替のサブプロセッサーを利用することに対し妥当な異議を唱えることができるものとします。かかる異議は、新規サブプロセッサー通知の公開後7日以内に、お客様が当該新規サブプロセッサーの利用に異議を唱える理由を詳述の上、privacy@monday.com 宛に書面を提出するものとし、この7日以内に上記の方法による異議申し立てを行わない場合、新規サブプロセッサーの利用については、お客様による承諾があったものとみなされます。お客様に認められる前述のサブプロセッサーに関する妥当な異議申し立てを行った場合、処理者はお客様に不当な負担をかけることなく、異議が申し立てられた新規サブプロセッサーによる個人データの処理を回避する目的で、お客様が本サービスの変更を行う、またはお客様の本サービス設定もしくは利用に商業上妥当な変更を推奨する合理的な努力を払うものとします。異議申し立て受領後30日以内に処理者がかかる変更を実施できない場合、唯一の救済措置として、お客様は処理者に書面で通知することにより、異議を申し立てた新規サブプロセッサーの利用なしでは処理者が提供できない本サービスの要素に関してのみ、契約および本 DPA を解除できるものとします。問題となっている処理については、契約終了日以前に、契約の下に未払いとなっている全額を処理者に適正に支払うものとします。新規サブプロセッサーに関する決定がなされるまでの間、処理者は、影響を受ける個人データの処理を一時的に回避または停止し、また本サービスへのアクセスを一時停止できるものとします。お客様は、本項に記載の状況において、契約の終了または 本 DPA の終了を根拠として処理者に対しそれ以上の請求(払い戻し請求を含むがこれに限定されない)を行うことはできないものとします。
5.4. サブプロセッサーとの契約。処理者または処理者の関連企業は、既存のサブプロセッサー各社と書面による契約を締結し、新規のサブプロセッサー各社とは、本 DPA の規定と同等または実質的に同等のデータ保護義務、特に GDPR の要件を満たす適切な技術上および組織上の措置を講じ処理を実施する義務を記載した書面による契約を締結するものとします。サブプロセッサーが個人データの処理に関するデータ保護義務を履行しない場合、サブプロセッサーによる義務の履行については、処理者が引き続きお客様に対し責任を負うものとします。
6. セキュリティおよび監査
6.1. 個人データ保護の管理事項。処理者は、本 DPA の下に処理される個人データの保護に、然るべき業界標準の.技術的および組織的対策(不正または違法な処理、偶発的または違法な破壊、紛失、改ざんまたは損傷に対する措置、個人データの不正な開示またはアクセスに対する措置、個人データの機密性および完全性を担保する措置を含む)を維持するものとします。お客様による妥当な要請がある場合、処理者は、お客様の費用負担にて、下記第11.1項の規定に従い、処理の性質および処理者が利用可能な情報を踏まえ、GDPR 第32条から第36条に定める義務の遵守を担保するため、お客様に対し合理的な支援を行うものとします。
6.2. 監査および査察。お客様による14日前までの書面による要請に応じ、かつお客様が守秘義務を厳格に守ることを条件に、妥当な(ただし、12か月に1度を超えない)頻度で、処理者は、その競合に該当しないお客様(または、処理者の競合に該当せずかつ処理者との対立が生じない、独立の信頼が保証されるお客様の第三者監査機関で、その守秘義務および競業避止を条件とする)に対し、本 DPA の遵守を証する上で必要な情報を提供し、それらが実施する査察を含む監査の機会を与え、協力を行うものとします。処理者は、お客様からの質疑応答形式の監査に回答する、または処理者の本 DPA の遵守にのみ関連する認定第三者監査機関が実施した監査報告書証明書、認証書および概要をお客様に提示することにより、本条に基づく義務を満たすことができるものとします。監査、査察およびその結果に関する情報(その結果が反映された文書を含む)は、お客様が処理者による本 DPA の遵守を評価する目的に限り利用するものとし、処理者による事前の書面による承認なくその他の目的に利用する、または第三者に開示してはならないものとします。処理者が当初要求する場合、お客様は、処理者が提供した、または監査もしくは査察の必要上お客様(またはその委任を受けた監査機関)が収集または作成した記録または文書すべてを処理者に譲渡するものとします。
6.3. 上記に定める監査または査察において、お客様は、当該監査または査察の実施中、処理者の業務、施設、設備、人員および事業(該当する場合)に対し、お客様(およびその委任を受けた監査機関)がいかなる損害、傷害、または混乱を引き起こさない(または回避不能の場合はそれを最小限に抑える)ことを保証するものとします。
6.4. 上記第6.2項に定める監査権は、契約がデータ保護法(該当する場合、GDPR または英国 GDPR の第28条 (3) (h) を含む)の関連要件を満たす監査権をお客様に付与しない範囲においてのみ適用されるものとします。標準契約条項が適用される場合、およびその範囲において、本第6条のいかなる規定も、標準契約条項を変更または修正するものではなく、標準契約条項に基づく監督機関またはデータ主体の権利に影響を与えるものではありません。
7. データインシデント管理および通知
7.1. 処理者は、社内におけるセキュリティインシデントの管理方針および手順を維持し、適用されるデータ保護法の下に要求される範囲において、処理者がお客様に代わり処理した個人データの偶発的または違法な破壊、紛失、改ざん、不正開示、またはアクセス(以下「データインシデント」という)を認知した場合は過度の遅滞なくお客様に通知するものとします。処理者は、自身の合理的な管理の範囲において、かかるデータインシデントの原因を是正または緩和する上で処理者が必要かつ合理的とみなす措置を特定しそれを講じる合理的な努力をするものとします。ここに定める義務は、お客様、そのユーザー、またはお客様に代わり本サービスを利用する者により発生したデータインシデントには適用されないものとします。
7.2.お客様は、適用されるデータ保護法によりやむを得ない場合を除き、またその範囲に限り、処理者を直接または間接的に特定するデータインシデントに関する所見、責任の認否、連絡、通知、プレスリリースまたは報告(法的手続き、規制・監督当局または影響を受ける個人への通知を含む)を処理者から事前の書面による承認なく作成、開示、公開または公表しないものとします。後者の場合、かかる法律が禁止する場合を除き、お客様は処理者に対し、かかる開示に異議を唱える機会を与えるため、妥当な事前通知を書面により行うものとし、いかなる場合においても、お客様による開示は、かかる法律の求める最小の範囲に限るものとします。
8. 個人データの返却および削除
本契約の終了およびサービスの停止後、お客様の選択により(プラットフォームを通じて、または処理者に対する書面による通知)、処理者は、処理者に適用される法令により要求または許可されていない限り、本契約に記載された方法で、お客様に代わり処理したすべての個人データを削除またはお客様に返却するものとします。
9. 国境を越えたデータ転送
9.1. EEF、スイス、英国から十分性が認定された水準のデータ保護を提供する国への転送。個人データは、EU 加盟国、ノルウェー、アイスランド、リヒテンシュタイン(以下総称して「EEA」という)、スイス、イギリス連邦(以下「英国」という)から、EEA、スイス、英国の関連当局(該当する場合、同等の承認を受けた機構および枠組みを含む)が公布する十分性の認定(以下「十分性認定」という)に基づき、またはそれに従い、十分な水準のデータ保護を提供する国へは、さらなる保護措置を講じることなく移転できるものとします。疑義を避けるために付記すると、「十分性認定」には、2023年7月10日付で欧州委員会が採択した EU 米国間データプライバシーフレームワークに対する十分性認定が含まれます。
9.2. EEA、スイスおよびイギリス連邦から他国への直接移転。処理者による個人データの処理に、お客様から当社への直接移転が含まれる場合:
(i) EEA から関連する適正化決定の対象となっていない他国への移転で、当該移転がデータ保護法によって認められた代替遵守メカニズム(処理者が自己の裁量で採択できるもの)を通じて行われない場合(「EEA 移転」)、EU SCC に定める条件が適用されます。
(ii) 英国から関連する適正化決定の対象となっていない他国への転送で、当該転送がデータ保護法によって認められた代替遵守メカニズム(処理者が自らの裁量で採択できるもの)(「英国転送」)を通じて行われない場合、英国補遺に定める条件が適用されます。
(iii) スイスから関連する適正化決定の対象となっていない他国への転送で、当該転送がデータ保護法で認められた代替遵守メカニズム(処理者が自らの裁量で採択できるもの)(「スイス転送」)を通じて行われない場合、スイス補遺に定める条件が適用されます。
(iv) 標準契約条項が適用される EEA 移転、英国移転およびスイス移転については、EU SCC 別紙 V(追加セーフガード)に記載された条件が適用されます。
9.3. EEA、スイスおよびイギリス連邦から他国への再移転。 処理者が、EEA 諸国、英国およびスイスから、十分性認定(それぞれ2021年6月4日付欧州委員会実施決定(EU)2021/914の附属書に定める標準契約条項(モジュール3)およびそれに適用される附属書(以下「SCC」))の対象とならない国に所在の認可を受けたサブプロセッサー(処理者の関連企業を含む)に個人データを再移転する場合、スイス連邦データ保護および情報委員会の2021年8月27日付けガイダンスに従い、処理者とそのサブプロセッサーおよび子会社との間において調整を行った IDTA または SSC が適用されるものとします。
9.4. 他国からの移転。処理者による個人データの処理に、かかるデータの合法的な移転のため特定のコンプライアンス手順の確立を義務付ける他の司法管轄区からの処理者による個人データの移転またはお客様が処理者に委託した個人データの移転を含む場合、お客様は、かかる適用要件を処理者に通知するものとし、両当事者は下記第11.2項の規定に従い本 DPA に必要な修正を求めることができるものとします。
10. 認定関係企業
10.1. 契約上の関係。両当事者は、本 DPA の締結により、お客様が自身の代表として、また該当する場合にはその認定関連企業の名においてその代表として本 DPA を締結することを認め、これに同意するものとします。この場合、各認定関連企業は、処理者がかかる認定関連企業に代わり個人データを処理する場合およびその範囲において、本 DPA の定める顧客の義務に拘束されることに同意し、これにより、処理者がそれに代わり処理する個人データに関し、「管理者」としての資格を得ることに同意するものとします。認定関連企業による本サービスへのアクセスおよび本サービスの利用はすべて、契約および本 DPA の規定に対する遵守を要し、認定関連企業が規定に違反した場合、それはお客様による違反とみなされるものとします。
10.2. 連絡。お客様は、契約および本 DPA に基づく処理者との連絡すべてを調整する責任を引き続き負うものとし、お客様の認定関連企業に代わり本 DPA に関連するあらゆる連絡を行いそれを受け取る権利を有するものとします。
11. その他の規定
11.1. データ保護影響評価および事前協議。お客様の合理的な要請に応じ、処理者は、GDPR または英国 GDPR(該当する場合)に基づき、お客様による本サービスの利用に関するデータ保護影響評価を実施するお客様の義務を果たす上で必要となる合理的な協力および支援を、お客様が他に関連情報へアクセスできない範囲で、かつ当該情報を処理者が利用可能な範囲において、お客様の費用負担にて提供するものとします。処理者は、お客様の費用負担で、GDPR または英国 GDPR(該当する場合)の下に要求される範囲において、本第11.1項に関する業務の遂行上監督機関との協力または事前協議を行うにあたり、お客様に合理的な支援を提供するものとします。
11.2. 変更。各当事者は、適用されるデータ保護法の変更の結果、当該データ保護法に違反することなくお客様の個人データの処理を行う(または処理を継続する)上で本 DPA の変更が必要となった場合、少なくとも45暦日前に相手方当事者へ書面で通知を行うことにより本 DPA に対する変更を要求できるものとします。かかる通知に従い、両当事者は、要求されたかかる変更に対応するため商業上合理的な努力を払い、合理的に実行可能な限り速やかに、お客様または処理者からの通知で特定された適用データ保護法上の要件に対処するための変更または代替となる変更に合意し、これを実施することを目的として誠意ある交渉を行うものとします。さらに、処理者は、当該変更がお客様の権利または処理者の義務に関して重要な側面で不利にならない限り(エラーや誤字の修正、技術的な調整、または処理者が必要とみなす他の理由)において、予告なく本 DPA を随時修正できるものとします。明確を期すため記すと、処理者がお客様の権利または処理者の義務に重大な不利を及ぼす変更を加える場合、処理者は、サイト上、サービス経由での告知、またはメールにて、お客様へ通知するものとします。
別表1 – 処理の詳細
処理の性質と目的
1. お客様に対する本サービスの提供
2. 本契約、本 DPA および・または両当事者間で締結されたその他の契約の履行
3. お客様の指示による活動(当該指示が本契約の条項と整合する場合)
4. お客様の指示に従い、および・またはお客様の本サービスの使用に従い、第三者と個人データを共有すること(例:本サービスと第三者のサービス間の個人データの共有を促進するためにお客様によりまたはお客様に代わり設定された、本サービスと第三者が提供するあらゆるサービス間の統合など)
- 個人データの匿名情報化
- 適用法令の遵守
- 上記いずれかに関連するすべての業務
処理期間
本 DPA および・または本契約における処理の期間およびその満了または終了の結果に関する条項に従い、処理者は、書面による別段の合意がない限り、本契約およびそれに基づくサービスの提供の期間中、個人データを処理するものとします。
個人データの種類
お客様は、本サービスにおいて個人データを提出することができますが、その種類と範囲は、お客様が独自の裁量で決定し管理するものとします。
情報主体の区分
処理者が処理する個人データに関連する情報主体の区分は、お客様に依存し、以下のいずれかの区分を含む場合がありますが、これに限定されるものではありません。
- お客様の従業員、エージェント、アドバイザー、フリーランサー(いずれも自然人)
- お客様の見込み客、顧客、ビジネスパートナー、ベンダー(いずれも自然人)
- お客様の見込み客、顧客、ビジネスパートナー、ベンダーの従業員ないし連絡窓口
- 個人データが本サービスにより処理されるその他の第三者に該当する個人