顧客標準契約条項 (SCC) (同意者から同意者)
顧客標準契約条項 (SCC) (同意者から同意者)
本標準契約条項は、https://www.monday.com/terms/dpa で入手可能な monday.com のデータ処理補遺、または顧客データに含まれる個人データの処理に関する顧客と monday.com の間のその他の合意(以下「DPA」)に添付され、その一部を構成します。本付属書に別段の定義がない限り、本標準契約条項において使用される大文字の用語は、DPA において与えられた意味を有します。
セクション I
条項1
目的と範囲
(a) 本標準契約条項の目的は、個人データの第三国への転送に関して、個人データの処理に関する自然人の保護および当該データの自由な移動に関する2016年4月27日付欧州議会および理事会規則 (EU) 2016/679 (一般データ保護規則) の要件を確実に遵守することです。
(b) 当事者:
(i) 付属書 I.A に記載されている個人データを転送する自然人または法人、公的機関、政府機関、またはその他の団体 (以下「事業体」) (以下「各データ輸出者」)、また
(ii) 付属書 I.A に記載されているとおり、データ輸出者から直接または間接的に、同じく本条項の当事者である他の事業体 (以下、それぞれ「データ輸入者」) を経由して個人データを受領する第三国の事業体/国 (以下それぞれ「データ輸入者」) は、
本標準契約条項 (以下「条項」) に同意しているものとします。
(c) 本条項は、付属書 I.B に定める個人データの転送に関して適用されます。
(d) 本条項で言及されている付属書を含む本条項の付属書は、本条項の不可分の一部を構成します。
条項2
条項の効力と不変性
(a) 本条項は、規則 (EU) 2016/679の第46条(1)および第46条(2)(c)に従い、強制可能なデータ主体の権利および効果的な法的救済を含む適切な保護措置を定めるとともに、管理者から処理者および/または処理者から処理者へのデータ転送に関しては、規則 (EU) 2016/679の第28条(7)に従い、標準契約条項を定めています。ただし、適切なモジュールを選択したり、付録の情報を追加・更新する場合を除きます。これは、両当事者が本条項に定められた標準的な契約条項をより広範な契約に含めること、および/または他の条項や追加の保護措置を追加することを妨げるものではありません。ただし、直接的または間接的に本条項と矛盾しないこと、または情報主体の基本的権利もしくは自由を害しないことを条件とします。
(b) 本条項は、規則 (EU) 2016/679によりデータ輸出者が従う義務を損なうものではありません。
条項3
第三者受益者
(a) データ主体は、以下の例外を除き、データ輸出者および/またはデータ輸入者に対して、 第三受益者として本条項を適用し、執行することができます:
(i) 条項1、条項2、条項3、条項6、条項7;
(ii) 条項8.1(a)、(c)、(d)および8.9(a)、(c)、(d)、(e)、(f)、(g);
(iii) 条項9(a)、(c)、(d)、(e);
(iv) 条項12(a)、(d)、(f);
(v) 条項13;
(vi) 条項15.1(c)、 (d) 、 (e);
(vii) 条項16(e);
(viii) 条項18(a)、(b)。
(b) (a) 項は、規則 (EU) 2016/679に基づくデータ主体の権利を損なうものではありません。
条項4
解釈
(a) 本条項において、規則(EU)2016/679において定義されている用語が使用されている場合、これらの用語は同規則における意味と同じ意味を有するものとします。
(b) 本条項は、規則 (EU) 2016/679の規定に照らして読み解かれるものとします。
(c) 本条項は、規則 (EU) 2016/679に規定される権利および義務と矛盾する形で解釈されないものとします。
条項5
ヒエラルキー
本条項と、本条項が合意された時点、またはその後締結された時点で存在する両当事者間の関連協定の規定との間に矛盾がある場合には、本条項が優先するものとします。
条項6
転送の概要
転送の詳細、特に転送される個人データのカテゴリーおよび転送の目的は、付属書 I.B に明記されています。
条項7 – オプション
不使用。
セクション II – 当事者の義務
条項8
データ保護のための保護措置
データ輸出者は、データ輸入者が適切な技術的および組織的手段の実施を通じて、本条項に基づく義務を果たすことができると判断するために合理的な努力を払ったことを保証します。
8.1 指示
(a) データ輸出者は、データ管理者の指示の下でデータ処理者として行動することをデータ輸入者に通知しており、データ輸出者はデータ処理に先立ちこれをデータ輸入者に提供するものとします。
(b) データ輸入者は、データ輸出者からデータ輸入者に通知された管理者からの文書化された指示、およびデータ輸出者からの追加文書化された指示に基づいてのみ、個人データを処理するものとします。このような追加の指示は、管理者からの指示と矛盾しないものとします。管理者またはデータ輸出者は、契約期間中、データ処理に関してさらに文書化された指示を与えることができるものとします。
(c) データ輸入者は、これらの指示に従うことができない場合、直ちにデータ輸出者に通知するものとします。データ輸入者が管理者からの指示に従うことができない場合、データ輸出者は直ちに管理者に通知するものとします。
(d) データ輸出者は、管理者とデータ輸出者との間の契約または連合法もしくは加盟国の法律に基づくその他の法律行為に規定されているのと同じデータ保護義務をデータ輸入者に課していることを保証するものとします。
8.2 目的制限
データ輸入者は、データ輸出者からデータ輸入者に通知された、またはデータ輸出者からデータ輸入者に通知された、管理者からの追加指示がない限り、付属書 I.B に規定された特定の転送目的のためにのみ個人データを処理するものとします。
8.3 透明性
要求に応じて、データ輸出者は、両当事者が作成した付録を含む本条項のコピーをデータ主体が無料で利用できるように作成するものとします。企業秘密やその他の機密情報および個人データを保護するために必要な範囲で、データ輸出者は、コピーを共有する前に、付属書の本文の一部を編集することができます。ただし、情報主体がその内容を理解したり権利を行使することができない場合には、意味のある要約を提供するものとします。要求に応じて、両当事者は、編集された情報を明らかにすることなく、可能な限り編集の理由をデータ主体に提供するものとします。
8.4 精度
データ輸入者は、受領した個人データが不正確であること、または古くなっていることを認識した場合、データ輸出者に遅滞なく通知するものとします。この場合、データ輸入者はデータ輸出者と協力し、データを修正または消去するものとします。
8.5 データ処理の期間およびデータの消去または返却
データ輸入者による処理は、付属書 I.B で指定された期間内にのみ行われるものとします。処理サービスの提供終了後、データ輸入者は、データ輸出者の選択により、管理者に代わって処理されたすべての個人データを削除し、その旨をデータ輸出者に証明するか、または管理者に代わって処理されたすべての個人データをデータ輸出者に返却し、既存のコピーを削除するものとします。データが削除または返却されるまで、データ輸入者は引き続き本条項の遵守を確保するものとします。データ輸入者に適用される現地の法律が個人データの返却または削除を禁止している場合、データ輸入者は引き続き本条項を遵守し、当該現地の法律で義務付けられている範囲および期間のみ個人データを処理することを保証するものとします。これは、第14条、特に第14条(e)に基づくデータ輸入者が、第14条(a)に基づく要件と一致しない法律または慣行の適用を受ける、または受けるようになったと信じるに足る理由がある場合、契約期間を通じてデータ輸出者に通知するという要件を損なうものではありません。
8.6 処理の安全性
(a) データ輸入者 、およびデータ送信中のデータ輸出者は、偶発的または違法な破壊、紛失、改ざん、不正な開示、またはデータへのアクセスにつながるセキュリティ違反 (以下「個人情報漏洩」) に対する保護を含め、データのセキュリティを確保するために適切な技術的および組織的対策を講じるものとします。適切なセキュリティレベルを評価する際には、最新の技術状況、実装のコスト、処理の性質、範囲、文脈および目的、ならびにデータ対象者の処理に伴うリスクを十分に考慮するものとします。両当事者は、その方法で処理の目的を達成できる場合には、送信中も含めて、暗号化または仮名化を利用することを特に考慮するものとします。仮名化の場合、個人データを特定のデータ対象者に帰属させるための追加情報は、可能な限り、データ輸出者または管理者の独占的な管理下に置かれるものとします。この項に基づく義務を遵守する際、データ輸入者は、少なくとも付属書 IIに指定されている技術的および組織的措置を実施するものとします。データ輸入者は、これらの措置が適切なレベルのセキュリティを継続して提供していることを確認するために、定期的なチェックを実行するものとします。
(b) データ輸入者は、契約の履行、管理、監視に厳密に必要な範囲に限り、その従業員にデータへのアクセスを許可するものとします。また、個人データを処理する権限を与えられた者が守秘義務を負うか、または適切な守秘義務の下にあることを保証するものとします。
(c) 本条項に基づいてデータ輸入者が処理した個人データに関して個人データ侵害が発生した場合、データ輸入者は、その悪影響を軽減するための措置を含め、侵害に対処するための適切な措置を講じるものとします。データ輸入者はまた、違反を認識した後、データ輸出者 、および適切かつ実行可能な場合には管理者に、過度な遅延なく通知するものとします。かかる通知には、詳細情報を入手できる連絡先の詳細、情報漏えいの性質 (可能であれば、関係するデータ対象者および個人データ記録のカテゴリーとおおよその数を含む) の説明、予想される結果、およびデータ漏えいに対処するために講じられた、または提案された措置(予想される悪影響を軽減するための措置を含む)が含まれるものとします。すべての情報を同時に提供することができない場合、最初の通知にはその時点で入手可能な情報が含まれるものとし、さらなる情報が入手可能になった場合には、その後不当な遅滞なく提供されるものとします。
(d) データ輸入者は、データ輸出者が規則 (EU) 2016/679に基づく義務を遵守できるように、特に、処理の性質およびデータ輸入者が入手可能な情報を考慮して、管轄監督当局および影響を受けるデータ主体にデータ輸出者が通知できるように、データ輸出者に協力し、支援するものとします。
8.7 機密データ
移転が、人種もしくは民族的出身、政治的意見、宗教的もしくは哲学的信条、または労働組合の組合員であることを明らかにする個人データ、遺伝データ、または自然人を一意に識別することを目的とするバイオメトリクスデータ、健康に関するデータ、または個人の性生活もしくは性的指向に関するデータ、または前科および犯罪に関するデータ (以下「機微 (センシティブ) データ」という) を含む場合、データ輸入者は、付属書 I.B に規定された特定の制限および/または追加の保護措置を適用するものとします。
8.8 転送先
データ輸入者は、データ輸出者からデータ輸入者に通知された、管理者からの文書化された指示に基づいてのみ、個人データを第三者に開示するものとします。さらに、欧州連合外 (データ輸入者と同じ国または他の第三国、以下「転送先」) に所在する第三者が適切なモジュールの下で本条項に拘束される場合、または拘束されることに同意する場合に限り、または以下の条件のもとに限り、データを第三者に開示することができます。
(i) 当該国への移転が、当該国への移転を対象とする規則 (EU) 2016/679 第45条に基づく適切性決定の恩恵を受けている国への移転である場合;
(ii) 第三者が、規則 (EU) 2016/679 第46条または第47条に従って適切な保護措置を確保する場合;
(iii) 転送先が、特定の行政、規制または司法手続において、法的請求の確立、行使または防御のために必要な場合;または
(iv) 転送先が、 データ主体または他の自然人の重大な利益を保護するために転送が必要な場合。
いかなる転送先も、データ輸入者が本条項に基づく他のすべての保護措置、特に目的制限を遵守することを条件とします。
8.9 文書化とコンプライアンス
(a) データ輸入者は、本条項に基づく処理に関するデータ輸出者または管理者からの問い合わせに迅速かつ適切に対応するものとします。
(b) 当事者は、本条項の遵守を証明できるものとします。特に、データ輸入者は、管理者に代わって行われる処理活動に関する適切な文書を保管するものとします。
(c) データ輸入者は、本条項に定める義務の遵守を証明するために必要なすべての情報をデータ輸出者に提供するものとし、データ輸出者はこれを管理者に提供するものとします。
(d) データ輸入者は、合理的な間隔で、または不順守の兆候がある場合に、データ輸出者による本条項の対象となる処理活動の監査を許可し、これに協力するものとします。データ輸出者が管理者の指示により監査を要求する場合も同様とします。監査を決定する際、データ輸出者はデータ輸入者が保持する関連証明書を考慮することができます。
(e) 管理者の指示により監査が実施される場合、データ輸出者はその結果を管理者に提供するものとします。
(f) データ輸出者は、自ら監査を行うか、または独立監査人に委任するかを選択できます。監査は、データ輸入者の所在地または物理的施設における検査を含むことができ、 適切な場合には、合理的な通知をもって実施されるものとします。
(g) 当事者は、(b)および(c)に掲げる情報 (監査の結果を含む) を、要請に応じて所轄監督当局に提供することとします。
条項9
サブプロセッサーの使用
(a) データ輸入者は、合意されたリストからサブプロセッサーを関与させるための管理者の一般的権限を有します。データ輸入者は、管理者に対し、サブプロセッサーの追加または交換によるリストの変更について、少なくとも10営業日前までに書面で通知するものとします。これにより、管理者は、サブプロセッサーと契約する前に、そのような変更に異議を唱えることができる十分な時間が与えられます。データ輸入者は、管理者が異議申立の権利を行使するために必要な情報をデータ輸出者に提供するものとします。データ輸入者は、データ輸出者にサブプロセッサーが関与していることを通知するものとします。
(b) データ輸入者が(管理者に代わって)特定の処理業務を遂行するためにサブプロセッサーを雇用する場合は、データ主体者の第三者受益権の面を含め、実質的に本条項に従ってデータ輸入者を拘束するものと同じデータ保護義務を規定する書面による契約によってこれを行うものとします。当事者は、本条項を遵守することにより、データ輸入者が条項8.8に基づく義務を履行することに同意するものとします。データ輸入者は、本条項に従ってデータ輸入者が課せられる義務をサブプロセッサーが遵守することを保証するものとします。
(c) データ輸入者は、データ輸出者または管理者の要求に応じ、そのようなサブプロセッサー契約およびその後の改正のコピーを提供するものとします。業務上の秘密や個人データを含むその他の機密情報を保護するために必要な範囲で、データ輸入者はコピーを共有する前に契約書の本文を編集することができます。
(d) データ輸入者は、データ輸入者との契約に基づく副処理者の義務の履行について、データ輸出者に対して引き続き全責任を負うものとします。データ輸入者は、サブプロセッサがその契約に基づく義務を履行しなかった場合、データ輸出者に通知するものとします。
(e) データ輸入者は、再処理者と第三者受益者条項に同意するものとします。これにより、データ輸入者が事実上失踪した場合、法的に存在しなくなった場合、または破産した場合、データ輸出者は再受益者契約を解除する権利を有し、処理者契約を締結し、サブプロセッサに個人データを消去または返却するよう指示します。
条項10
データの対象権利
(a) データ輸入者は、データ主体者から要請を受けた場合、速やかにデータ輸出者および必要に応じて管理者に速やかに通知するものとします。管理者によって権限を付与されていない限り、当該要求に応じないものとします。
(b) データ輸入者は、必要に応じてデータ輸出者と協力し、データ主体者が規則 (EU) 2016/679または規則 (EU) 2018/1725に基づく権利行使の要求に応じる義務を履行する上で、管理者を支援するものとします。この点に関して、当事者は、援助が提供される処理の性質、並びに必要とされる援助の範囲及び範囲を考慮して、適切な技術的及び組織的措置を付属書IIに定めるものとします。
(c) 第(a)項および第(b)項に基づく義務を履行する際、データ輸入者は、データ輸出者から通知された管理者からの指示に従うものとします。
条項11
救済策
(a) データ輸入者は、データ主体者に対し、苦情処理権限を有する窓口を、個別通知または ウェブサイト上で、透明性がありアクセスしやすい形式で通知するものとします。データ主体者から受け取った苦情には速やかに対処するものとします。
(b) 本条項の遵守に関してデータ主体者と一方の当事者との間で紛争が生じた場合、当該当事者は、適時に友好的に問題を解決するために最善の努力を払うものとします。当事者は、そのような紛争について相互に情報を提供し、適切な場合には、その解決に協力するものとする。
(c) データ主体者が条項3に従って第三者受益権を行使する場合、データ輸入者はデータ主体者の決定を受け入れるものとします:
(i) 居住地または勤務地の加盟国の監督当局、または条項13に基づく管轄監督当局に苦情を申し立てること;
(ii) 条項18の意味において、紛争は管轄裁判所に付託されること。
(d) 当事者は、規制 (EU) 2016/679の第80条第1項に定められた条件の下で、データ主体者が非営利団体、組織、または団体によって代表される場合があることを承認します。
(e) データ輸入者は、適用されるEUまたは加盟国の法律に拘束される決定に従うものとします。
(f) データ輸入者は、データ主体者が行った選択が、適用法に従って救済を求める実質的および手続き上の権利を損なわないことに同意するものとします。
条項12
責任
(a) 各当事者は、本条項の違反により他方の当事者に与えた損害について、他方の当事者に対する責任を負うものとします。
(b) データ輸入者は、データ輸入者またはそのサブプロセッサが本条項に基づく第三者受益者の権利に違反することによってデータ主体者に与えた重大または非物質的損害について、データ主体者に対して責任を負うものとし、データ主体者は補償を受ける権利を有するものとします。
(c) 第(b)項にかかわらず、データ輸出者またはデータ輸入者(またはそのサブプロセ ッサ)が本条項に基づく第三者受益者の権利に違反することによってデータ主体者に与えた物質的または非物質的損害について、データ輸出者はデータ主体者に対して責任を負うものとし、データ主体者は補償を受ける権利を有するものとします。これは、データ輸出者の責任、およびデータ輸出者が管理者の代理を務める処理者である場合は、規則(EU)2016/679または規則(EU)2018/1725(該当する場合)に基づく管理者の責任を損なうものではありません。
(d) 当事者は、データ輸出者がデータ輸入者(またはそのサブプロセッサ)により生じた損害について第(c)項に基づき責任を負う場合、データ輸入者の損害に対する責任に対応する補償金の一部をデータ輸入者に請求する権利を有することに同意するものとします。
(e) 本条項への違反によりデータ主体者に生じた損害について、複数の当事者が責任を負う場合、すべての責任当事者は連帯して責任を負うものとし、データ主体者はこれらの当事者のいずれに対しても裁判所に訴訟を提起する権利を有するものとします。
(f) 当事者は、一方の当事者が第(e)項に基づき責任を負う場合、他方の当事者に対し、損害に対する責任に対応する補償金の一部を返還請求する権利を有することに同意するものとします。
(g) データ輸入者は、自らの責任を回避するためにサブプロセッサの行為を持ち出すことはできません。
条項13
(a) データ輸出者がEU加盟国に確定されている場合: 付属書 I.C に示されているように、データ転送に関するデータ輸出者による規制 (EU) 2016/679への準拠を保証する責任を負う監督当局が、管轄監督当局として機能するものとします。
データ輸出者がEU加盟国に確定されていないが、規則 (EU) 2016/679の第3条(2)に従い、規則 (EU) 2016/679の第27条(2)に従って代理人を任命することなく、規則 (EU) 2016/679の適用範囲に含まれる場合: 付属文書I.Cに示されているように、本条項に基づいて商品またはサービスの提供に関連して個人データが転送され、またはその行動が監視されるデータ主体者が所在する加盟国のいずれかの監督当局が、管轄監督当局として行動するものとします。
(b) データ輸入者は、本条項の遵守を確保するためのあらゆる手続きにおいて、管轄の監督当局の管轄権に服し、これに協力することに同意するものとします。特に、データ輸入者は、問い合わせに対応し、監査に提出し、是正措置や補償措置を含む監督当局が採用した措置に従うことに同意します。監督当局は、必要な措置が取られたことを書面で確認するものとします。
セクションⅢ – 公的機関がアクセスする場合の現地の法律と義務
条項14
条項の遵守に影響を及ぼす現地の法律および慣行
(a) 当事者は、データ輸入者による個人データ(個人データの開示要求または公的機関によるアクセスを許可する措置を含む、 データ輸入者が本条項に基づく義務を履行することを妨げるもの)の処理に適用される目的地である第三国の法律および慣行が適用されないと信じる理由がないことを保証するものとします。 これは、基本的権利と自由の本質を尊重し、規則(EU)2016/679の第23条(1)に列挙された目的の一つを保護するために民主主義社会において必要かつ相応の範囲を超えない法律と慣行は、本条項と矛盾しないという理解に基づくものです。
(b) 当事者は、第(a)項の保証を提供するにあたり、特に以下の要素を十分に考慮したことを表明します:
(i) 処理の連鎖の長さ、関与する関係者の数、使用される転送経路を含む転送の具体的な状況、意図される転送先、受信者のタイプ、処理の目的、転送される個人データのカテゴリーと形式、転送が行われる経済部門、転送されるデータの保管場所;
(ii) 転送先の第三国の法律および慣行(公的機関へのデータ開示を要求するもの、またはそのような当局によるアクセスを許可するものを含む)、ならびに転送の具体的状況に照らして関連する、適用される制限および保護措置;
(iii) 本条項に基づく保護措置を補完するために導入された、契約上、技術上、または組織上の関連する保護措置(送信中および送信先国での個人データの処理に適用される措置を含む)。
(c) データ輸入者は、第(b)項に基づく評価を実施する際に、データ輸出者に関連情報を提供するために最善の努力を払ったことを保証し、本条項の遵守を確保するためにデータ輸出者と引き続き協力することに同意します。
(d) 当事者は、第(b)項に基づく評価を文書化し、要請があれば管轄監督当局に提供することに同意します。
(e) データ輸入者は、本条項に同意した後、契約期間中、第三国の法律の変更、または第(a)項の要件に沿わない当該法律の実際の適用を示す措置(開示請求など)の後を含め、第(a)項の要件に沿わない法律または慣行の適用を受ける、または受けるようになったと信じるに足る理由がある場合、データ輸出者に速やかに通知することに同意するものとします。データ輸出者はその通知を管理者に転送するものとします。
(f) 第(e)項に基づいた通知後、またはデータ輸入者が本条項に基づく義務を履行できなくなったと信じるに足る理由がデータ輸出者にある場合、データ輸出者は、管理者と協議の上、適切であれば、その状況に対処するためにデータ輸出者および/またはデータ輸入者が採用すべき適切な措置(セキュリティおよび機密性を確保するための技術的または組織的措置など)を速やかに特定するものとします。データ輸出者は、データ転送のための適切な保護措置が確保できないと判断した場合、または管轄の監督当局からそのように指示された場合、データ転送を停止するものとします。この場合、データ輸出者は、本条項に基づく個人データの処理に関する限り、契約を解除する権利を有します。契約が2者以上の当事者にまたがる場合、データ輸出者は、当事者間で別段の合意がない限り、関連する当事者に関してのみこの解約権を行使することができます。本条に基づき契約が解除される場合、条項16(d)および(e)が適用されます。
条項15
公的機関によるアクセスの場合のデータ輸入者の義務
15.1 通知
(a) データ輸入者は、以下の場合、データ輸出者、および可能であればデータ主体者に( 必要であればデータ輸出者の協力を得て)速やかに通知することに同意します:
(i) 司法当局を含む公的機関から、本条項に従って転送された個人データの開示に関する法的拘束力のある要請を、転送先の国の法律に基づいて受けた場合。当該通知には、要請された個人データ、要請機関、要請の法的根拠、および提供された回答に関する情報が含まれるものとします; または
(ii) 本条項に従って転送された個人情報への公的機関による直接アクセスを、転送先国の法律に従って認識します。この通知には、輸入者が入手可能なすべての情報を含めるものとします。
データ輸出者はその通知を管理者に転送するものとします。
(b) データ輸入者がデータ輸出者および/またはデータ主体者に通知することを仕向国の法律で禁止されている場合、データ輸入者は、可能な限り多くの情報を可能な限り早期に通知することを目的として、その禁止の免除を得るために最善の努力を払うことに同意します。データ輸入者は、データ輸出者の要求に応じて実証できるように、最善の努力を文書化することに同意します。
(c) 仕向国の法律で許容される場合、データ輸入者はデータ輸出者に対し、契約期間中、定期的に、受領した要求に関する可能な限りの関連情報(特に、要求の数、要求されたデータの種類、要求機関/国、要求に対する異議申し立ての有無およびその結果など)を提供することに同意するものとします。データ輸出者はその情報を管理者に転送するものとします。
(d) データ輸入者は、第(a)項から第(c)項に従った情報を契約期間中保存し、要求があれば管轄監督当局に提供することに同意します。
(e) 第(a)項から第(c)項は、条項14(e)および条項16に従ってデータ輸入者が本条項を遵守できな い場合、データ輸出者に速やかに通知する義務を損なうものではありません。
15.2 適法性とデータ最小化の見直し
(a) データ輸入者は、開示要求の合法性、特にそれが要求元の公的機関に付与された 権限の範囲内にあるかどうかを検討し、慎重に評価した結果、その要求が仕向国の法律、国際法の下で適用される義務、および国際衡平法上の原則の下で非合法であると考える合理的な根拠があると結論付けた場合には、その要求に異議を申し立てることに同意します。データ輸入者は、同じ条件下で訴えの可能性を追求するものとします。要求に異議を申し立てる場合、データ輸入者は、管轄司法当局がその本案について決定を下すまで、要求の効力を一時停止することを目的とした暫定措置を求めるものとします。また、適用される手続規則に基づき要求されるまでは、要求された個人情報を開示しないものとします。これらの要件は、条項14(e)に基づくデータ輸入者の義務を損なうものではありません。
(b) データ輸入者は、法的評価および開示要求に対する異議申し立てを文書化し、仕向国の法律で許容される範囲で、その文書をデータ輸出者が利用できるようにすることに同意します。また、要求に応じ、管轄の監督当局にもその文書を提供します。データ輸出者は、評価結果を管理者に提供するものとします。
(c) データ輸入者は、開示請求に応じる際、開示請求の合理的な解釈に基づき、許容される最小限の情報を提供することに同意します。
セクションⅣ – 最終規定
条項16
条項の不遵守および解除
(a) データ輸入者は、理由の如何を問わず、本条項を遵守できない場合には、データ輸出者に速やかに通知するものとします。
(b) データ輸入者が本条項に違反した場合、または本条項を遵守できない場合、データ輸出者は、遵守が再度確保されるか、または契約が解除されるまで、データ輸入者への個人データの転送を停止するものとします。これは条項14(f)を損なうものではありません。
(c) この場合、データ輸出者は、本条項に基づく個人データの処理に関する限り、以下の場合契約を解除する権利を有します。
(i) データ輸出者が第(b)項に従ってデータ輸入者への個人データの転送を一時停止し、合理的な期間内に、いかなる場合でも一時停止から1ヶ月以内に本条項への遵守が回復されない場合;
(ii) データ輸入者が本条項に実質的または永続的に違反している場合; または
(iii) データ輸入者が、本条項に基づく義務に関する管轄裁判所または監督当局の拘束力のある決定に従わない場合。
このような場合には、所轄の監督当局と管理者にその不遵守を通知するものとします。契約が複数の当事者にまたがる場合、データ輸出者は、当事者間で別段の合意がない限り、関連する当事者に関してのみこの解約権を行使することができます。
(d) (c)に従って契約が終了する前に転送された個人情報は、データ輸出者の選択により、直ちにデータ輸出者に返却されるか、または完全に削除されるものとします。データのコピーについても同様です。データ輸入者はデータ輸出者に対し、データの削除を証明するものとします。データが削除または返却されるまで、データ輸入者は引き続き本条項の遵守を確保するものとします。データ輸入者に適用される現地の法律が、転送された個人データの返却または削除を禁止している場合、データ輸入者は、引き続き本条項を遵守し、当該現地の法律で義務付けられている範囲および期間のみデータを処理することを保証するものとします。
(e) いずれの当事者も、(i)欧州委員会が、本条項が適用される個人データの転送を対象とする規則(EU)2016/679の第45条(3)に従った決定を採択した場合、または(ii)規則(EU)2016/679が個人データの転送先の国の法的枠組みの一部となった場合、本条項に拘束される旨の合意を撤回することができます。これは、規則(EU)2016/679に基づき当該処理に適用されるその他の義務を損なうものではありません。
条項17
準拠法
これらの条項は、EU 加盟国のいずれかの法律に準拠するものとします。ただし、当該法律で第三者受益者の権利が認められる場合に限ります。当事者は、これがアイルランド共和国の法律となることに同意します。
条項18
法廷地および管轄権の選択
(a) 本条項に起因する紛争は、EU加盟国の裁判所により解決されるものとします。
(b) 当事者は、アイルランド共和国の裁判所とすることに合意するものとします。
(c) データ主体者は、データ輸出者および/またはデータ輸入者に対して、その者が常居所地とする加盟国の裁判所に対して法的手続きを取ることもできます。
(d) 当事者は、かかる裁判所の管轄権に服することに同意するものとします。
付属書 I
- 当事者リスト
データ輸出者:
氏名: DPA または本契約において「顧客」として特定されるエンティティ。
住所:DPA または本契約に定める顧客の住所。
担当者の氏名、役職、連絡先の詳細: DPA または本契約に規定される、顧客に関連する連絡先の詳細。
本条項に基づいて転送されるデータに関連する活動: DPA のセクション2.3および別表1に明記されている活動。
署名および日付:契約および DPA を締結し、EEA 転送のサービスを使用することにより、データ輸出者はこれらの標準契約条項およびそれぞれの付属書に署名したものとみなされます。
役割(コントローラー/プロセッサ): プロセッサ。
データ輸入者:
名前:DPA で特定されている monday.com。
住所:本契約で指定されている monday.com の住所。
連絡担当者の氏名、役職、連絡先の詳細: 本契約に定める monday.com の連絡先。
本条項に基づいて転送されるデータに関連する活動:
DPA のセクション2.3および別表1に規定される活動。
署名および日付: 本契約および DPA を締結し、データ輸出者に代わってデータ輸入者として EEA 域内の転送に関与することにより、データ輸入者は本標準契約条項およびそれぞれの付属文書に署名したものとみなされます。
役割(コントローラー/プロセッサ): プロセッサ。
- 転送の説明
個人データが転送されるデータ主体者の分類
データ主体者の分類は、DPA の別表1(処理の詳細)に記載されています。
転送される個人データの分類
個人データの分類は、DPA の別表1(処理の詳細)に記載されています。
機密データが転送され (該当する場合)、データの性質と関連するリスクを十分に考慮した制限または保護措置が適用されます。例えば、厳密な目的の制限、アクセス制限(特別な訓練を受けたスタッフのみへのアクセスを含む)、データへのアクセス記録の保持、転送の制限、または追加のセキュリティ対策などです。
当事者は、DPA のセクション2.5に従う場合を除き、機密データが転送されることを意図していません。
転送の頻度(例:データの転送が単発か継続的か)。
個人データは、顧客による本サービスの利用および個人データの提出に応じて、継続的に転送されます。
処理の性質
処理の性質は、DPA の別表1(処理の詳細)に記載されています。
データ転送とさらなる処理の目的
処理の目的は、DPA の別表1(処理の詳細)に記載されています。
個人データの保存期間、またはそれが不可能な場合は、その期間を決定するために使用した基準
個人データが保持される期間は、本契約および/または DPA で別途合意された場合を除き、本契約の期間中とします。
(サブ)プロセッサへの転送については、処理の対象、性質、期間も明記されています
サブプロセッサへの転送に関連して、処理の対象および性質は、DPA セクション5.2.1に詳述されているリンクに記載されています。サブプロセッサによる処理の有効期間は、本契約および/または DPA で別段の合意がない限り、本契約の有効期間とします。
- 管轄監督当局
条項13に従い、管轄監督当局を特定します。
データ輸出者の管轄監督当局は、GDPR に従って決定されます。
付属書 Ⅱ
データの安全性を確保するための技術的・組織的措置を含む技術的・組織的措置
処理の性質、範囲、文脈および目的、ならびに自然人の権利および自由に対するリスクを考慮した上で、適切なレベルのセキュリティを確保するためにデータ輸入者によって実施される技術的および組織的措置(関連する認証を含む)の説明。
技術的および組織的措置 (データ輸入者が保有する認証を含む)、およびデータ主体者の要求に対応するために必要な支援の範囲と程度は、DPA およびセキュリティ文書に記載されています。
また、(サブ)プロセッサへの転送については、(サブ)プロセッサが管理者に、プロセッサからサブプロセッサへの転送についてはデータ輸出者に、支援を提供できるようにするために講じる具体的な技術的および組織的措置についても記述されています。
データ輸入者がサブプロセッサに課す技術的および組織的措置は、DPA に記載されています。
付属書 III
英国国境を越えた転送
表1:当事者:付属書 I.A に規定されるとおり
表2:選択された SCC、モジュール、および選択された条項:付属書 Iに規定されるとおり。
表3:補足情報EU SCC (当事者以外)の付属書に規定されているように、選択されたモジュールに対して提供されなければならない情報を意味し、この付属書 III については付属書 I に規定されている情報を意味します。
本付属書 IIIへの参入:
- 各当事者は、本付属書 IIIに定める条件に拘束されることに同意し、それと引き換えに、他方の当事者も本付属書 IIIに拘束されることに同意するものとします。
- EU SCCの付属書 I.A および条項7は、両当事者による署名を必要としますが、英国における転送の目的上、両当事者は、両当事者を法的に拘束し、データ主体者が本付属書 IIIに定める権利を行使できるような方法で、本付属書 IIIを締結することができます。本付属書 IIIに署名することは、EU SCCおよびEU SCCのいかなる部分にも署名することと同じ効果を持ちます。
本付属書 III の解釈:
- 本付属書 IIIがEU SCCで定義されている用語を使用する場合、それらの用語はEU SCC と同じ意味を持つものとします。また、以下の用語の意味は以下の通りです:
補遺 EU SCC | この付録 IIIが追加されるEU SCCのバージョン (付録情報を含む) は、表2に記載されています。 |
補足情報 | 表3に示す通り。 |
適切な保護措置 | 当事者が英国 GDPR 第46条(2)(d)に基づく標準データ保護条項に基づいて英国転送を行っている場合、英国データ保護法によって要求される個人データに対する保護基準およびデータ主体者の権利。 |
標準契約条項 | DPA に定義されている通り |
ICO | 情報コミッショナー。 |
付属書 III | この付属書 IIIは、補遺EU SCCを組み込んだこの付属書 IIIで構成されています。 |
英国の補遺 | DPA に定義されている通り |
英国のデータ保護法 | 英国 GDPR およびデータ保護法2018を含む、英国で随時施行されるデータ保護、個人データの処理、プライバシーおよび/または電子通信に関するすべての法律。 |
英国 GDPR | データ保護法2018のセクション3に定義されている通り。 |
英国 | グレートブリテンおよび北アイルランド連合王国。 |
英国転送 | 英国 GDPR 第5章が適用される転送。 |
- 本付属書 IIIは、常に英国データ保護法に合致する方法で解釈され、適切な保護措置を提供する当事者の義務を果たす必要があります。
- 補遺EU SCCに含まれる条項が、EU SCCまたは本付属書 IIIで認められていない方法でEU SCCを修正する場合、そのような修正は本付属書 IIには組み込まれず、EU SCCの同等の条項がその代わりとなります。
- 英国データ保護法と本付属書 III との間に矛盾または不一致がある場合は、英国データ保護法が適用されます。
- 本付属書 IIIの意味が不明確な場合、または複数の意味がある場合は、英国データ保護法に最も近い意味が適用されます。
- 法律(または法律の特定の条項)への言及は、時とともに変更される可能性のある法律(または特定の条項)を意味します。これには、本DPAの締結後に当該法令(または特定の条項)が統合、再制定、および/または置き換えられた場合も含まれます。
ヒエラルキー:
- EU SCC第5条は、EU SCCが両当事者間のすべての関連合意に優先すると定めていますが、両当事者は、英国転送については、以下のセクション10のヒエラルキーが優先することに同意するものとします。
- 本付属書 III と補遺EU SCC(該当する場合)との間に矛盾または不一致がある場合、補遺 EU SCCの矛盾または不一致する条項がデータ主体者により大きな保護を提供する場合(およびその限りにおいて)を除き、本付属書 IIIが補遺EU SCCに優先します。
- 本付属書 IIIが、一般データ保護規則 (EU) 2016/679の対象となる転送の保護のために締結された補遺EU SCCを組み込んでいる場合、本付属書 IIIのいかなる内容も、それらの補遺EU SCCに影響を与えないことを、両当事者は了解するものとします。
EU SCC の導入と変更:
- この付属書 III は、必要な範囲で修正された補遺 EU SCC を組み込んでいます:
- これらの法律は、データ輸出者がデータ輸入者にデータを転送する際に、英国のデータ保護法がデータ輸出者のデータ処理に適用される範囲内で、データ輸出者がデータ輸入者にデータを転送する際に適用され、これらのデータ転送に適切な保護措置を提供します;
- セクション9から11は EU SCC第5条(ヒエラルキー)を無効にします;また
- 本付属書 III(本付属書 IIIに組み込まれた補遺EU SCCを含む)は、(1)英国およびウェールズの法律に準拠し、(2)スコットランドまたは北アイルランドの法律および/または裁判所が両当事者によって明示的に選択されない限り、いずれの場合も、本付属書 IIIに起因する紛争は英国およびウェールズの裁判所によって解決されます。
- 上記セクション12の要件を満たす代替修正案について両当事者が合意していない限り、以下のセクション15の規定が適用されます。
- 上記セクション12の要件を満たす以外にEU SCCを修正することはできません。
- 補遺 EU SCC に対して次の修正が行われます (上記のセクション12の目的のため):
- 「条項」とは、本付属書 III を意味し、補遺EU SCCを含みます;
- 条項2では以下の文面を削除します:
「および、管理者から処理者へのデータ転送および/または処理者から処理者へのデータ転送に関しては、規則(EU)2016/679の第28条(7)に基づく
標準契約条項」;
- 条項6(転送の概要)は以下のように変更されます:
「転送の詳細、特に転送される個人データのカテゴリーおよび転送される目的は、その転送を行う際に英国のデータ保護法がデータ輸出者の処理に適用される場合、付属書 I.B に明記されているものです。」;
- 条項8.8は次のように置き換えられます:
「転送先は、転送先を対象とする英国 GDPR のセクション17A に基づく適切性規制の恩恵を受けている国に対して行われます」;
- 「規則 (EU) 2016/679」、「個人データの処理および無料データの処理に関する自然人の保護に関する2016年4月27日欧州議会および理事会の規則 (EU) 2016/679」への参照「かかるデータの移動 (一般データ保護規則)」と「その規則」は、すべて「英国データ保護法」に置き換えられます。「規則 (EU) 2016/679」の特定の条項への参照は、英国データ保護法の同等の条項またはセクションに置き換えられます。「規則 (EU) 2016/679」の特定の条項への参照は、英国データ保護法の同等の条項またはセクションに置き換えられます。
- 規則 (EU) 2018/1725への参照は削除されました;
- 「欧州連合」、「連合」、「EU」、「EU加盟国」、「加盟国」、および「EUまたは加盟国」はすべて「英国」に置き換えられます;
- 条項13(a)および付属書IのパートC は使用しません。
- 「管轄監督当局」と「監督当局」は、いずれも「情報コミッショナー」に置き換えられます;
- 条項16(e)において、サブセクション(i)を次のように置き換えます:
「国務長官は、データ保護法2018のセクション17Aに従って、これらの条項が適用される個人データの転送を対象とする規制を制定します;」;
- 条項17は次のように置き換えられます:
「本条項は英国およびウェールズの法律に準拠します。」;
- 条項18は次のように置き換えられます:
「本条項に起因する紛争は、英国およびウェールズの裁判所により解決されるものとします。データ主体者は、データ輸出者および/またはデータ輸入者に対して、英国のどの国の裁判所でも法的手続きを取ることができます。両当事者は、以下の裁判所の管轄に服することに同意するものとします。」;また、
- EU SCCの脚注は、脚注 8、9、10、11を除き、この付属書IIIの一部ではありません。
本付属書 III の改正:
- 当事者は、本付属書IIIの条項17および/または18を変更し、スコットランドまたは北アイルランドの法律および/または裁判所に言及することに合意することができます。
- 当事者がこの付属書 III の表1、表2または表3に含まれる情報の形式を変更することを希望する場合には、適切な保障措置を削減しないことを条件として、書面でその変更に合意することにより、これを行うことができます。
- 時折、ICOは改訂版UK補遺を発行することがあります:
- UK補遺の誤りを修正することを含め、UK補遺に合理的かつ適切な変更を加えます;および/または
- 英国データ保護法の変更を反映します;
改定された UK 補遺には、UK 補遺の変更が発効する開始日が明記され、当事者が細く情報を含む付属書 III を見直す必要があるかどうかが明記されます。この付属書 III は、指定された開始日から、改訂された UK 補遺に規定されたとおりに自動的に改訂されます。
- ICOがセクション18に基づいて改訂された英国追加条項を発行した場合、当事者がいる場合、英国追加条項の変更の直接の結果として、以下の項目が大幅かつ不均衡かつ実証的に増加することになります:
- 本付属書IIIに基づく義務を履行するための直接費用;および/または
- この附属書IIIに基づくリスク、
いずれの場合であっても、当事者は、当該費用又はリスクが実質的かつ不釣り合いとならないよう、当該費用又はリスクを軽減するための合理的な措置を講じた後であれば、当事者は、合理的な通知期間の終了時に、改定された UK 補遺の開始日前に、他方の当事者に当該期間について書面で通知することにより、本付属書 III を終了することができます。
- 当事者は、本付属書IIIを変更するためにいかなる第三者の同意も必要としませんが、いかなる変更も本付属書IIIの条項に従って行われなければなりません。
付属書 IV
スイス国境を越えた転送
当事者は、1992年6月19日付のデータ保護に関する連邦法(「FADP」、2020年9月25日付で改正された「改正FADP」)がスイスの転送に適用される場合、付属書 I により改正された EU SCC が以下のように調整されることに同意するものとします。
- EU SCCとは、付属書IVにより改正されたEU SCCを意味します;
- スイス連邦データ保護と情報コミッショナー(「FDPIC」)は、FADPの適用を受けるスイス転送に関する唯一の監督機関となります。
- EU SCCで使用される「一般データ保護規則」または「規則 (EU) 2016/679」という用語は、スイス転送に関するFADP を含むものと解釈されます。
- 規則 (EU) 2018/1725への参照は削除されました。
- スイスFADPとGDPRの両方の対象となる転送は、付属書Iに記載されているEU監督当局によって処理されます;
- 「連合」、「EU」および「EU加盟国」への参照は、EU SCCの条項18(c)に従い、スイスに居住するデータ主体者がその常居所地(スイス)で権利を行使する可能性を排除するように解釈されないものとします;
- スイス転送がFADPの排他的適用対象となる場合、EU SCCにおけるGDPRへの参照はすべてFADPへの参照と理解されます;
- スイス転送がFADAとEU GDPRの両方の対象となる場合、EU SCCにおけるGDPRへの参照はすべて、スイス転送がFADPの対象となる限り、FDPAへの参照と理解されるものとします;
- スイスSCCは、改正FADP が発効するまでの間、法人の個人データも保護します。
付録書 V
追加的な保護措置
- 標準契約条項が適用される転送の場合、両当事者は、適切な場合には、以下の保護措置および表明によりこれらを補足することに合意します:
(a) データ輸入者は、個人データを傍受(データ輸出者からデータ輸入者への転送中、および異なるシステムやサービス間での転送中を含む)から保護するための適切な業界慣行に従って措置を講じ、維持するものとします。これには、攻撃者によるデータの傍受を拒否することを目的としたネットワーク保護の導入と維持、および攻撃者によるデータの読み取りを拒否することを目的とした転送中および保存中の個人データの暗号化が含まれます。
(b) データ輸入者は、適用法に従い、GDPR、英国 GDPR、または米国外国情報監視法第702条(「FISA」)に基づくものを含む FADP に基づいて保護される個人データに関連する一括監視の要求に対抗するために、商業上合理的な努力を払うものとします;
(c) データ輸入者が、政府当局(法執行機関を含む)が任意であるか強制的であるかにかかわらず、個人データの一部または全部へのアクセスまたはコピーの取得を希望していることを認識した場合、法的に禁止されているか、そうでないことを要求する強制的な法的強制力がない限り、データ輸入者は、個人データへのアクセスまたはコピーの取得を希望しないものとします:
(i) データ輸入者は、データ輸入者が個人データの処理者であること、およびデータ輸出者がデータ輸入者に個人データを政府当局に開示する権限を与えていないことを関連政府当局に通知し、個人データへのアクセスに関するあらゆる要求または要求は、データ輸出者に書面で通知または送達されるべきであることを関連政府当局に通知するものとします;
(ii) データ輸入者は、そのようなデータ輸入者の管理下にある個人データへのアクセス要求に対して、商業的に合理的な法的手段を用いて対抗します。上記にかかわらず、(a)データ輸出者は、そのような異議申し立てが、意図された政府当局のアクセスの性質、範囲、文脈および目的に照らして、常に合理的または可能であるとは限らないことを認め、(b)意図された政府当局による個人データへのアクセスの性質、範囲、 文脈および目的を考慮して、データ輸入者が、個人または団体に対する重大な危害の差し迫ったリ スクを防止するために緊急のアクセスが必要であるという合理的かつ誠実な信念を有する場 合、このサブセクション(e)(II)は適用されないものとします。このような場合、データ輸入者は、政府当局によるアクセス後、法的に禁止されている場合を除き、できるだけ速やかにデータ輸出者にその旨を通知し、データ輸出者に関連する詳細を提供するものとします。
- データ輸入者は、データ輸出者の書面による要求があれば、12ヶ月に一度、データ輸出者に対し、データ輸入者が受領した個人データに対する拘束力のある法的要求の種類と、そのような要求を受領した範囲(国家安全保障命令および指令(FISA セクション702に基づき発行されたプロセスを含む)を含む)のみを通知します。