現在のバージョン:1.1
Linode EUモデル契約
最終更新日2019年6月11日(木
EUモデル契約書の最新版はこちらでご覧いただけます。
Linodeデータ処理契約
この文書は、Linodeによって随時修正または変更されるLinodeマスターサービス契約に参照され組み込まれるEUモデル契約です。EUモデル契約は、(i)欧州連合(「EU」)または欧州経済領域(「EEA」)に位置し、(ii)EUまたはEEAでのデータのアクセス、転送または伝送が許可されている、(iii) Linode顧客契約およびプライバシーポリシーに明確に同意したLinode顧客にのみ適用し、これに関してのみ有効で効力を発揮するものとします。
プロセッサーに関する標準的な契約条項
指令95/46/ECの第26条2項(規則2016/679により改正)の目的のため、適切なレベルのデータ保護を確保しない第三国に設立された処理業者への個人データの移転のため。
アカウント所有者であるお客様、Linodeカスタマーの正式な代理人(「データエクスポーター」)。
と
このEUモデル契約の目的のために249 Arch Street, Philadelphia, Pennsylvania 08090, United States of Americaに住所を有する当社、Linode, LLC(「データインポーター」)。
それぞれを「当事者」とし、併せて「当事者」とする。
当社は、データ輸出者がデータ輸入者に付録1に記載された個人情報を移転する際に、プライバシーおよび個人の基本的権利と自由の保護に関して適切な保護措置を講じるため、以下の契約条項(「条項」)に合意した。
第1項
定義
条項の目的のため。
- 個人データ」、「特別な種類のデータ」、「処理/加工」、「管理者」、「処理者」、「データ対象者」および「監督機関」は、個人データの処理に関する個人の保護および当該データの自由な移動に関する1995年10月24日の欧州議会および理事会の指令95/46/ECと同じ意味を有するものとします。
- データ輸出者」とは、個人データを移転する管理者を意味します。
- データ輸入者」とは、データ輸出者の指示および条項の条件に従って、移転後に自己のために処理することを意図した個人データをデータ輸出者から受け取ることに同意し、かつ、規則2016/679により改正された指令95/46/ECの第25条(1)の意味における適切な保護を確保する第三国の制度の対象とならない処理者を指します。
- サブプロセッサー」とは、データ輸入者またはデータ輸入者の他のサブプロセッサーが従事するプロセッサーで、データ輸入者またはデータ輸入者の他のサブプロセッサーから、データ輸出者の指示、条項の条件、書面による下請契約の条件に従って転送後にデータ輸出者に代わって実行される処理活動のみを目的とした個人データを受け取ることに同意するものを指します。
- 適用されるデータ保護法」とは、データ輸出者が設立されている加盟国のデータ管理者に適用される、個人の基本的権利および自由、特に個人データの処理に関するプライバシーの権利を保護する法律を意味します。
- 技術的および組織的なセキュリティ対策」とは、特に処理にネットワーク経由のデータ転送が含まれる場合、偶発的または違法な破壊、偶発的な損失、改ざん、不正な開示またはアクセスから個人データを保護することを目的とした対策、およびその他のすべての違法な形態の処理から保護するための対策を指します。
第2項
譲渡の内容
移転の詳細、特に該当する場合は特別なカテゴリーの個人データは、本条項の不可欠な部分を形成する付録 1 に明記されています。
第3項
第三受益者条項
- データ対象者は、データ輸出者に対し、本条項、第4条(b)~(i)、第5条(a)~(e)、(g)~(j)、第6条(1)、(2)、第7条、第8条(2)、第9~12条を第三者受益者として行使することができます。
- データ対象者は、データ輸出者が事実上消滅した場合、または法律上存在しなくなった場合、データ輸出者の法的義務を契約または法律の運用によりすべて引き受け、その結果データ輸出者の権利および義務を引き継いだ後継者がいない限り、本条項、第5条(a)~(e)および(g)条項、第6条、第7条、第8条(2)条項、第9条から12条までを情報輸入者に対して執行することができ、この場合、情報対象者は当該者に対してこれらを執行できます。
- データ対象者は、データ輸出者とデータ輸入者の両方が事実上消滅したか、法律上存在しなくなったか、支払不能になった場合、サブプロセッサーに対して本条、第5条(a)から(e)と(g)、第6条、第7条、第8条(2)および第9条から12条を行使することができます。ただし、後継者が契約または法律の運用によりデータ輸出者の法的義務をすべて引き受け、その結果データ輸出者の権利および義務を引き継いだ場合は、データ対象者はそのような事業者に対してそれらを行使することができる。サブプロセッサーのこのような第三者責任は、本条項による自らの処理業務に限定されるものとします。
- データ対象者が明示的に希望し、かつ国内法で認められている場合、当事者はデータ対象者が協会またはその他の団体によって代表されることに異議を唱えないものとします。
第4項
データ輸出者の義務
データエクスポーターは、これに同意し、保証するものとします。
- 個人データの処理(移転自体を含む)が、適用されるデータ保護法の関連規定に従って実施され、今後も実施されること(該当する場合は、データ輸出者が設立されている加盟国の関連当局に通知されていること)、および当該国の関連規定に違反しないこと。
- 個人データ処理サービスの期間中、データ輸入者に対し、データ輸出者に代わり、適用されるデータ保護法および本条項に従ってのみ移転された個人データを処理するよう指示したこと、および指示された期間中、データ輸入者が個人データ処理サービスを提供すること。
- データ輸入者が本契約の付属書2に規定された技術的および組織的なセキュリティ対策に関して十分な保証を提供すること。
- 適用されるデータ保護法の要件を評価した上で、セキュリティ対策が、偶発的または違法な破壊、偶発的な損失、改ざん、不正な開示またはアクセス、特に処理にネットワーク上でのデータ転送が含まれる場合、およびその他のすべての違法な形態の処理から個人情報を保護するために適切であり、これらの対策により、技術水準およびその実施コストを考慮した上で処理がもたらすリスクおよび保護すべきデータの性質に適したレベルのセキュリティが確保されていること。
- セキュリティ対策の遵守を確保すること。
- 転送が特殊なデータを含む場合、データ対象者は転送前または転送後に、指令95/46/ECの意味において適切な保護を提供しない第三国にデータが転送される可能性があることを通知されていること、またはできるだけ早く通知される予定であること。
- データ輸出者が転送の継続または停止解除を決定した場合、第5条(b)および第8条(3)に従ってデータ輸入者またはサブプロセッサーから受け取った通知をデータ保護監督当局に転送すること。
- データ対象者の要求に応じて、付録2を除く本条項のコピー、セキュリティ対策の概要説明、および本条項に従って作成されたサブプロセシングサービスの契約書のコピーを提供すること。ただし、本条項または契約書に商業情報が含まれている場合は、当該商業情報を削除することができるものとします。
- サブプロセッシングの場合、処理活動は、少なくとも条項の下でデータ輸入者と同じレベルの個人情報およびデータ主体の権利の保護を提供するサブプロセッサーによって、条項11に従って実施されること、および
- 第4条(a)から(i)までの遵守を確保すること。
第5項
データインポーターの義務
データインポーターは、これに同意し、保証するものとします。
- 何らかの理由でそのような遵守ができない場合、その旨をデータ輸出者に速やかに通知することに同意すること。その場合、データ輸出者はデータの転送を停止し、および/または契約を終了する権利を有します。
- 適用される法律によって、データ輸出者から受けた指示および契約に基づく義務の履行が妨げられると考える理由がないこと、また、この法律に変更があり、条項によって提供される保証および義務に大きな悪影響を及ぼす可能性がある場合、その変更がわかり次第、データ輸出者に速やかに通知すること、この場合、データ輸出者にはデータの転送を停止および/または契約を終了する権利があること。
- 転送された個人データを処理する前に、付録2に規定された技術的および組織的なセキュリティ対策を実施したこと。
- について、データ輸出者に速やかに通知すること。
- 法執行当局による法的拘束力のある個人情報の開示要求。ただし、法執行当局の捜査の秘密を保持するための刑法上の禁止事項など、その他の禁止事項がある場合はこの限りではありません。
- 偶発的または未許可のアクセス、および
- データ対象者から直接受けた要求に対して、その要求に応じることなく、その要求に応じること。ただし、別途そのような権限が与えられている場合はこの限りではない。
- 移転の対象となる個人データの処理に関するデータ輸出者からのすべての問い合わせに迅速かつ適切に対応し、移転されたデータの処理に関して監督官庁の助言を遵守すること。
- この監査は、情報輸出者、または独立したメンバーで構成され、必要な専門的資格を有し、守秘義務を負う監査機関が、監督当局と合意の上、該当する場合、情報輸出者が選定した監査機関が実施するものとします。
- ただし、データ対象者がデータ輸出者からコピーを入手できない場合、セキュリティ対策の概要説明に置き換える付録 2 を除く。
- サブプロセッシングを行う場合、事前にデータ輸出者に通知し、書面による事前の同意を得たこと。
- サブプロセッサーによる処理業務が第11条に従って実施されること。
- 本条項に基づいて締結したサブプロセッサー契約の写しを、データ輸出者に速やかに送付すること。
第6条
ライアビリティー
- 当事者は、当事者またはサブプロセッサーによる第3条または第11条の義務違反の結果、損害を被ったデータ対象者が、被った損害についてデータ輸出者から補償を受ける権利を有することに同意するものとします。
- データ対象者が、データ輸入者またはそのサブプロセッサーによる第3条または第11条に言及される義務の違反に起因して、データ輸出者が事実上消滅したか、法律上存在しなくなったか、支払不能になったため、第1項に従ってデータ輸出者に対して賠償請求を行うことができない場合。ただし、後継の事業者が契約または法律の運用によりデータ輸出者の法的義務をすべて引き受けた場合は、データ主体がその事業者に対して権利を行使できるものとします。データ輸入者は、自己の責任を回避するために、サブプロセッサーによる義務違反に依拠することはできません。
- データ対象者が、データ輸出者とデータ輸入者の両方が事実上消滅したか、法律上存在しなくなったか、支払不能になったため、サブプロセッサーによる第3条または第11条に言及する義務の違反に起因する、第1項および第2項に言及するデータ輸出者またはデータ輸入者に対する請求を行うことができなくなった場合。ただし、後継者が契約または法律の運用によりデータ輸出者またはデータ輸入者の法的義務をすべて引き受けた場合は、データ主体がその法人に対して権利を行使することができるものとします。サブプロセッサーの責任は、本条項に基づく自らの処理業務に限定されるものとします。
第7条
調停と裁判管轄
- データ輸入者は、データ対象者が第三者受益権を行使し、および/または条項に基づく損害賠償を要求した場合、データ対象者の決定を受け入れることに同意するものとします。
- 独立した人物、または該当する場合、監督官庁による調停に紛争を付託すること。
- データ輸出者が設立されている加盟国の裁判所に紛争を付託すること。
- 当事者は、データ対象者が行った選択が、国内法または国際法の他の規定に従って救済を求める実体的または手続き上の権利を損なわないことに同意するものとします。
第8条
監督官庁との連携
- データ輸出者は、監督官庁が要求した場合、または適用されるデータ保護法の下でそのような預託が要求された場合、この契約のコピーを監督官庁に預けることに同意するものとします。
- 当事者は、監督当局がデータ輸入者及びサブプロセッサーに対して監査を行う権利を有することに同意します。この監査は、適用されるデータ保護法の下でデータ輸出者の監査に適用されるのと同じ範囲を有し、同じ条件に従います。
- データ輸入者は、データ輸入者またはサブプロセッサーに適用され、第2項に基づくデータ輸入者またはサブプロセッサーに対する監査の実施を妨げる法律の存在について、データ輸出者に速やかに通知するものとします。この場合、データ輸出者は第 5 条 (b) 項で規定されている措置を講じる権利を有するものとします。
第9条
準拠法
本条項は、データ輸出者が設立されている加盟国の法律に準拠するものとします。
第10条
契約の変更
当事者は、本条項を変更または修正しないことを約束します。これは、当事者が、本条項と矛盾しない限り、必要に応じてビジネス関連事項に関する条項を追加することを妨げるものではありません。
第11条
サブプロセス
- データ輸入者は、データ輸出者の事前の書面による同意なしに、本条項に基づいてデータ輸出者に代わって行う処理業務を外注してはならないものとします。データ輸入者がデータ輸出者の同意を得て、条項に基づく義務を外注する場合は、条項に基づきデータ輸入者に課されるのと同じ義務をサブプロセッサーに課す書面による合意によってのみ行うものとします。サブプロセッサーがかかる書面による合意に基づきデータ保護義務を履行しない場合、データ輸入者はデータ輸出者に対し、かかる合意に基づくサブプロセッサーの義務履行について完全な責任を負うものとします。
- データ輸入者とサブプロセッサーとの間の書面による事前契約は、データ主体が、データ輸出者またはデータ輸入者が事実上消滅したか、法律上存在しなくなったか、支払不能になったために第6条第1項に言及する補償請求をデータ輸出者またはデータ輸入者に対して行うことができない場合、および後継者が契約または法律の運用によってデータ輸出者およびデータ輸入者の法的義務をすべて引き受けた場合に備えて第3項に規定する第三者受益条項を定めることも必要とするものとします。サブプロセッサーのこのような第三者責任は、条項に基づく自らの処理業務に限定されるものとします。
- 第1項に言及された契約のサブプロセシングに関するデータ保護の側面に関する規定は、データ輸出者が設立されている加盟国の法律に準拠するものとします。
- データ輸出者は、本条項に基づいて締結され、第5条 (j) に従ってデータ輸入者から通知されたサブプロセシング契約のリストを保管するものとし、少なくとも年に1回更新するものとします。このリストは、データ輸出者のデータ保護監督機関に提供されるものとします。
第12条
個人データ処理サービス終了後の義務について
- データ処理サービスの提供が終了した場合、データ輸入者およびサブプロセッサーは、データ輸出者の選択により、移転したすべての個人データおよびそのコピーをデータ輸出者に返却するか、すべての個人データを破棄し、その旨をデータ輸出者に証明することに同意します。ただし、データ輸入者に課せられる法律により、移転した個人データの全部または一部を返却または破棄することができない場合は、この限りではありません。この場合、データ輸入者は、移転された個人データの機密性を保証し、移転された個人データを積極的に処理しないことを保証するものとします。
- データ輸入者およびサブプロセッサーは、データ輸出者および/または監督当局の要求に応じて、第1項に言及された措置の監査のためにデータ処理施設を提出することを保証します。
これらの条項は、顧客ポータルでのアカウントホルダーの承諾によって示された日付で、データ輸出者を代表してアカウントホルダーが無条件で確認し同意し、データ輸入者を代表してLinodeのデータプライバシー担当者が偶数日に受理したものです。
EUモデル契約書付属書1
これらの条項は、顧客ポータルでのアカウントホルダーの承諾によって示された日付で、データ輸出者を代表してアカウントホルダーが無条件で確認し同意し、データ輸入者を代表してLinodeのデータプライバシー担当者が偶数日に受理したものです。
- 発効日このEUモデル契約およびその中のすべての付録は、法律の要求または許可に従って随時修正または変更され、データ処理および顧客契約の発効日において有効かつ効力を持つものとする。
- 下請け業者データ輸出者は、データ輸入者が、データ輸入者の単独かつ絶対的な裁量で、データ輸入者に代わって限定的なサービスを提供する個人または団体(以下「下請業者」)を雇用できることに同意し、了承するものとします。すべての下請業者は、データ処理および顧客契約において定義されるとおり、データ処理および顧客契約によって許可されるあらゆる目的のために、顧客データにアクセスし、これを維持し、および/または送信することが許可されるものとします。
- データの輸出者。データ輸出者は、このEUモデル契約が付属しているデータ処理および顧客契約の非Linode当事者です。データエクスポーターは、データ処理および顧客契約に定義されたLinodeサービスのユーザーです。
- データインポーターです。データインポーターは、世界的なデータサービスプロバイダーであるLinode, LLCです。
- データ対象者データ対象者には、データ輸入者またはデータ輸出者がデータ輸出者のデータへのアクセス、維持および/または送信を許可したすべての当事者が含まれ、データ輸出者の代表者、エンドユーザー、従業員、契約業者、関連会社、提携業者、代理人、およびデータ処理および顧客契約に記載のその他のすべての当事者を含みますが、これに限定されるものではありません。
- データのカテゴリー転送された個人データは、データ処理および顧客契約において定義されているように、Linodeサービスに関してデータ輸出者またはデータ輸出者の承認されたデータ対象者によってアクセス、維持および/または送信されたすべての顧客データが含まれます。
- 処理操作。移転された個人データは、データ処理および顧客契約によって確立された処理能力およびポリシーに従うものとします。
EUモデル契約書付属書2
これらの条項は、顧客ポータルでのアカウントホルダーの承諾によって示された日付で、データ輸出者を代表してアカウントホルダーが無条件で確認し同意し、データ輸入者を代表してLinodeのデータプライバシー担当者が偶数日に受理したものです。
第4項(d)および第5項(c)に従ってデータ輸入者が実施した技術的および組織的なセキュリティ対策の説明(または添付書類/法令)。
-
- 1.一般的な管理データ処理および顧客契約に記載されているとおり、データ輸入者は、顧客データへの不正アクセス、送信または開示のリスクを軽減するために、合理的に適切な管理的、物理的、技術的セキュリティポリシーを維持するものとします。データ輸入者のデータプライバシー担当者の連絡先は以下の通りです。
合同会社リノデ
ご注意データ・プライバシー・オフィサー James Ackley
アーチ通り249番地
フィラデルフィア(ペンシルバニア州) 19106
2.人的なものデータ処理および顧客に関する契約」でよりよく説明されているように、データ輸入者の人員は、データ輸出者の許可なく個人データを処理することはありません。データ輸入者は、本契約の終了後、法律で定められた期間、個人データの機密性を保持するために合理的に適切な措置を維持するものとします。
データ輸入者のデータ・プライバシー・オフィサーは、データ輸出者が電子メール(privacy@linode.com)で連絡することができます(または、データ輸入者が提供するその他の手段でもかまいません)。