IDEXX顧客データ処理契約
(2023年5月18日改定)
本データ処理契約(以下「本DPA」といいます)およびここに記載され、該当するデータ処理契約附則(以下「本DPA附則」といいます)は、IDEXXとお客様のとの間の契約(「本契約」といいます)に従ってサービス(以下「本サービス」といいます)を提供するために、一般データ保護規則2016/679(以下「GDPR」といいます)またはここに記載されているその他のデータ保護法(以下、併せて「データ保護法」といいます)に従ってお客様(以下「お客様」といいます)を代表してIDEXXが個人データ(以下「顧客個人データ」といいます)の処理を行うことに適用します。本DPAにおいてIDEXXが言及される場合、IDEXX B.V.またはお客様と契約を締結したIDEXX B.V.の関連会社を意味するものとします。お客様およびIDEXXは、総称して「両当事者」といい、個別に「当事者」といいます。本DPAおよび該当する本DPA附則は、適用される本サービスに関する適用される契約書に組み込まれます。抵触する場合、本DPAで明示的に別段の定めがない限り、本DPA附則が本契約の他の部分に優先して適用されます。
1 定義
1.1 本契約に含まれるすべての定義は、本DPAにおいて別段の定めがない限り、本DPAにも適用されるものとします。本契約で使用され、定義されていない大文字の用語は、適用されるデータ保護法において与えられた意味を有する。また、それに加えて、以下の定義が本DPAに適用されます:
1.2 関連会社:他の個人または事業体を支配する、支配される、または共通の支配下にある個人または事業体を指します。本目的において、「支配」とは、(i)議決権証券の所有、契約、その他を問わず、対象事業体の経営または方針を指示する力を直接的または間接的に有すること、(ii)対象事業体の少なくとも50%(50%)の議決権証券またはその他の所有権を直接的または間接的に有すること、またはかかるレベルの所有が認められていない国に居住する場合には、そこで認められる最大所有率であること、を指すものとする;
1.3 第三国:適用されるデータ保護法に従って適切なレベルのデータ保護を提供しない国;
1.4 個人データの漏えい:送信、保存、またはその他の方法で処理されたお客様個人データの偶発的または違法な破壊、損失、改ざん、不正な開示、またはアクセスにつながるセキュリティの侵害をいいます。
2 本データ保護契約の対象
2.1 適用されるサービスおよび適用される契約に関連する顧客個人データの処理に関して、IDEXXは処理者であり、お客様は管理者であるものとします。本DPAが適用される個人データの処理については、関連するDPA附則に記載されています。
2.2 本DPAは、本契約を補完し、個人データに関して、コントローラーとして行動するお客様とプロセッサーとして行動するIDEXXとの間の個人データの処理に関する以前の日付の(口頭および/または書面による)取り決めを無効にします(該当する場合)。
3 個人データの処理について
3.1 IDEXXは、プロセッサーとしてのIDEXXに適用される本サービスに関するすべてのデータ保護法を遵守します。お客様は、適用法令に従って顧客個人データを処理すること、または処理したことを保証するものとします。お客様は、IDEXXの最初の要請に応じて、要求されたすべての関連情報を、電子形式を含む書面により、IDEXXに速やかに提供するものとします。IDEXXは、適用法令に基づくお客様の義務の遵守について、一切の責任を負いません。これには、お客様がご自身の顧客またはクライアントに対して負う義務(お客様の個人データの処理の受領者を通知する義務等)が含まれますが、これに限定されません。IDEXXは、お客様の事業に適用される要件または法律もしくは規制を決定すること、または本サービスがかかる適用される法律もしくは規制の要件を満たしていることについて、責任を負いません。両当事者間において、お客様は、顧客個人データの処理の適法性について責任を負います。お客様は、適用されるデータ保護法に違反するような方法で本サービスを使用しないものとします。
3.2 サービスに適用される DPA附則には、データ主体の分類、顧客個人データの種類、および個人データの特別な分類のリストが含まれています。処理の期間は、DPA附則に別段の記載がない限り、本サービスの期間と一致します。処理の目的および対象は、本契約に記載された本サービスの提供です。
3.3 IDEXXは、適用されるデータ保護法により別途要求される場合を除き、お客様のために、お客様の文書化された指示に基づき、顧客個人データを処理するものとします。顧客個人データの処理に関するお客様の指示の範囲は、本契約で定義され、該当する場合は、お客様およびその認定ユーザーによる本サービスの機能の使用および設定です。IDEXXは、お客様の指示が適用されるデータ保護法を侵害するとIDEXXが判断した場合、直ちにお客様に通知し、お客様がその適法性を文書で修正または確認するまで、当該指示の履行を停止することができるものとします。
3.4 IDEXXは、顧客個人データの処理に従事する従業員およびその他の者が、適切な法的機密保持義務に拘束されていない限り、機密保持を約束することを保証するものとします。IDEXXは、これらの従業員または関与するその他の者が、本DPAおよび本契約に定めるすべての義務を遵守することを保証するものとします。IDEXXは、IDEXXによる顧客個人データへのアクセスが、本契約に従ってサービスを行う従業員およびその他の者に限定されることを保証するものとします。
4 セキュリティ対策
4.1 IDEXXは、個人データに関して適切なレベルのセキュリティを確保するために、適切な技術的および組織的セキュリティ対策を実施するものとします。IDEXXが実施すべき技術的および組織的なセキュリティ対策は、技術の状況、実施に要する費用、処理の性質、範囲、文脈および目的、ならびに自然人の権利および自由に対する様々な可能性および重大性のリスクを考慮し、DPA附則に含まれる技術および組織の対策の項目に記載されています。IDEXXは、かかる更新および修正が本サービスの全体的なセキュリティの低下を招かないことを条件として、そのセキュリティ対策を随時更新または修正することができます。
5 個人情報漏えいの報告について
5.1 IDEXXが個人データの漏えいをお客様に通知し、個人データの漏えいに関連して措置を講じる義務は、当該個人データの漏えいに関連してIDEXX側の何らかの瑕疵または責任を認めることにはつながりません。
5.2 IDEXXは、お客様がまだ通知されていない個人データの漏えいを認識した時点で、IDEXXが定める方法により、お客様に過度の遅滞なく通知するものとします。IDEXXは、本サービスに関連してお客様から提供されたお客様の連絡先に通知するものとします。お客様は、IDEXXに通知されたお客様の連絡先の詳細が最新のものであることを保証する責任を負います。IDEXXがお客様の連絡先に時間内に到達しない場合、これはお客様のリスクとなります。
5.3 お客様が、IDEXXによる本サービスの提供に関連する個人データの漏えいを認識した場合、お客様は、IDEXXに対し、お客様が講じた措置または講じる予定の措置を含め、過度の遅滞なくその旨を通知するものとします。
5.4 IDEXXによる個人データの漏えいが発見された場合、IDEXXは、個人データの漏えいがお客様および影響を受けるデータ対象者に与えうる影響について、合理的なフィードバックを提供するものとします。当該フィードバックには、個人データの漏えいの性質および程度、個人データの漏えいに対処するために計画された措置および既に取られた措置の説明が含まれます。
5.5 IDEXXは、お客様の要請に応じて、個人データの漏えいに関連する文書の作成において合理的に必要とされる支援を提供することもあります。ただし、お客様は、発生した個人データの侵害について内部の概要を把握する義務については、引き続き責任を負うものとします。
5.6 お客様は、適用されるデータ保護法の下で要求される限り、個人データの漏えいについて所轄の政府機関および/または影響を受けるデータ対象者に通知する責任を負います。お客様がIDEXXに対して、影響を受けるデータ主体および/または管轄の政府機関に個人データの漏えいを通知するよう要請した場合、IDEXXは、お客様から書面による完全な指示を受け、IDEXXがかかる書面による指示を承認した場合に限り、これを行うものとします。このことは、IDEXXが個人情報漏えい(の通知)に関していかなる責任または義務を負うことを意味するものではありません。
6 アシスタンス
6.1 データ処理の性質および両当事者が利用可能な情報を考慮し、両当事者は、適用されるデータ保護法の下で当事者に課される義務、特に個人データのセキュリティに関する義務、個人データ漏えいの通知義務、情報義務およびデータ保護影響評価の実施に関する義務(関連政府当局の事前相談を含む)を遵守するために必要なあらゆる支援を相互に提供するものとします。
6.2 お客様は、本DPAで言及されるあらゆる支援について、書面による要請を行うものとします。IDEXXは、当該支援または追加の指示を行うためにお客様に費用を請求することができます。当該費用は、合理的な料金を超えないものとし、見積書に定め、両当事者により書面で合意されるものとします。
7 お客様の監査権
7.1 お客様は、IDEXXが顧客個人データを処理するために使用するデータ処理システムについて、自己の費用で、かつIDEXXと事前に協議の上、本DPAの文脈で処理される個人データに関して講じられた合理的な技術および組織のセキュリティ対策が本DPAの第4条に記載の対策と合致しているかどうかを調査するために監査を行うことができます。、
7.2 IDEXXは、適用されるデータ保護法に基づくこの点に関する関連要件に沿ったデータ処理契約を締結するお客様の義務の遵守を示すために合理的に必要なすべての情報をお客様に提供し、お客様が行う検査を含む監査を許可し、これに貢献するものとします。お客様は、IDEXXと協議の上、第三者(専門家)に監査権の実行を依頼することができますが、かかる第三者は適切な守秘義務に拘束されるものとします。
7.3 お客様またはお客様の代理人による監査の実行は、IDEXXまたはそのサブプロセッサーの事業活動に遅滞を生じさせないものとします。
8 サブプロセッサー
8.1 お客様は、IDEXXが顧客個人データを処理するために、IDEXXの関連会社(「サブプロセッサー」)を含むがこれに限定されない他のプロセッサーと契約することを許可するものとします。IDEXXが随時更新する、現在の第三者のサブプロセッサーのリストは、ここに記載されています。IDEXXは、かかるサブプロセッサーの追加または交換に関する意図的な変更について、IDEXXが定める方法でお客様に通知するものとします。お客様は、IDEXXに書面で通知することにより、本契約を終了させ、新しいサブプロセッサーに異議を唱えることができます。ただし、IDEXXがお客様にサブプロセッサーの契約を通知してから60日以内に、お客様がIDEXXにかかる通知を行う場合に限ります。この解約権は、お客様が新しいサブプロセッサーに異議を唱えた場合の、お客様の唯一かつ排他的な救済手段です。
8.2 IDEXXは、そのサブプロセッサーとの間で、本DPAに定める義務と実質的に類似し、かつかかる義務に劣らないプライバシーおよびデータセキュリティ保護義務を伴う書面によるデータ処理契約を締結し、実施するものとします。IDEXXは、本契約、本DPA、および適用されるデータ保護法に基づく義務の履行について、引き続き責任を負うものとします。
9 個人データの国境を越えた移転
9.1 IDEXXまたはIDEXXが契約するサブプロセッサーにより、顧客個人データが第三国に移転される場合があります。
9.2 第三国への顧客個人データの移転の場合、両当事者は、以下の条項に定めるとおり、適用されるデータ保護法の遵守を確保するために協力するものとします。
9.3 お客様は、本契約を締結することにより、以下の第 9.3.1 項に規定されているように完成された国際移転の標準契約条項(欧州委員会実施決定(EU)2021/914 またはその更新版もしくは代替版)(以下「SCCs」といいます)を締結するものとします。ただし、ここで特定される適用データ保護法において顧客個人データの関連する移転に、別のデータ移転手段を適用すると宣言されている場合はこの限りではなく、その時点で、当該データ移転手段が第三国への顧客個人データの移転に適用されて、管理するものとします。GDPR以外のデータ保護法に規定される範囲において、SCCsは、EEAまたはスイスに所在しないお客様から非適格国に所在するIDEXXの事業体への顧客個人データの移転にも適用されるものとします。
9.3.1 SCCs は以下の通り適用されます。
a ) モジュール2(管理者から処理者へ)が適用されます。
b ) 第 7 条において、オプションのドッキング条項が適用されます。
c ) 第 9 条において、オプション2が適用され、事前通知期間は 14 日です。
d ) 第 11 条において、オプション言語が適用されません。
e ) 第17条において、オプション1が適用され、オランダの法律が適用されます。
f ) 第18条(b)において、紛争はオランダの裁判所で解決されるものとします
g ) SCCsの付属書Ⅰ(A.当事者リスト、B.移転の説明、C.管轄監督機関)は、本サービスに適用されるDPA附則のB項に記載された情報をもって記入したものとみなされます
h ) SCCsの付属書Ⅱ(技術的および組織的なセキュリティ対策)は、本サービスに適用されるDPA附則のB項に記載された情報をもって記入したものとみなされます。
i ) SCCsの付属書 III(サブプロセッサー一覧)は、上記第8.1項で特定されたサブプロセッサー一覧で記入したものとみなされます。
9.4 IDEXXは、適用されるデータ保護法の下で必要とされる場合、各DPA Exhibitに記載されている第三国に所在する各サブプロセッサーとSCCsモジュール3(プロセッサー対プロセッサー)を締結するものとします。IDEXXは、米国または関連会社が所在するその他の国のIDEXXの拠点に、個人データを転送し、保管することがあります。かかる移転は、該当するSCCsモジュール3(プロセッサー対プロセッサー)を含む、IDEXXの関連会社間の会社間契約に従うものとします。
9 .5 本契約または本DPAのいかなる条項も、SCCsの矛盾する条項に優先するものと解釈するものではありません。お客様は、SCCsを検討する機会およびIDEXXからその写しを入手する機会があったことを認めます。
10 データ対象者の要請
お客様から合理的な書面による要請があった場合、IDEXXは、データ対象者が適用されるデータ保護法に基づく権利を行使した場合に、お客様がデータ管理者としての義務を遵守できるように、合理的な支援を提供するものとします。
11 一般
11.1 費用:IDEXXが本DPAに基づく義務を履行する際に発生する費用(例えば、データ対象者の要求に対応するためにお客様を支援すること)によっては、IDEXXがお客様に追加の作業費を請求することがあります。この場合、IDEXXはお客様にその旨を通知します。
11.2 補償:お客様は、お客様またはその従業員もしくは請負業者に起因する適用法令の違反の結果としてIDEXXに対して課される、データ対象者を含む第三者による請求について、IDEXXを完全に補償するものとします。
11.3 契約期間および終了:本DPAは、IDEXXが本契約の履行にあたり、お客様のために初めて個人データを処理した日に発効します。本DPAは、本契約の有効期間中、効力を有するものとします。本契約が終了した場合、本DPAは、さらなる法的措置なしに、法律の運用により同様に終了します。IDEXXが適用法令により個人データを保持することを要求されている場合を除き、IDEXXは、本DPAの終了時に、お客様の書面による要請(電子形式を含む場合があります)に基づき、(i) 個人データをお客様に返却または提供し、または (ii) 個人データを破棄することを保証します。本DPAから生じる義務のうち、本条DPAを含むがこれに限定されない、性質上契約後の効果を有するものは、本DPAの終了後も引き続き効力を有するものとします。
11.4 逸脱および再交渉:本DPAからの逸脱および本DPAへの追加は、電子形式を含む書面により明示的に合意された場合にのみ有効とします。
お客様は、本契約および個人データの処理に関連する、または関連する可能性のある変更について、IDEXXに速やかに通知するものとします。
本DPAが複数の言語に翻訳されている場合、解釈の目的上、または各翻訳の間に矛盾や不一致がある場合には、英文が真正とみなされるものとします。