Shortcuts

DPAが適用される各国のデータ保護法について

(2024年3月7日改訂)


本IDEXX顧客データ処理契約(以下「本DPA」といいます)および適用されるデータ処理契約附則(以下「各DPA附則」といいます)は、IDEXXサービスを提供するために、IDEXXとお客様との間の契約(以下「本契約」といいます)に基づき、お客様のためにIDEXXが行う個人データ(以下「顧客個人データ」といいます)の処理に適用され、i)欧州一般データ保護規則(EU/2016/679)(GDPR)、またはii)以下に定めるその他のデータ保護法が適用される場合、およびその範囲内で適用されます。


欧州経済領域:
GDPR以外の欧州連合規則およびEEA加盟国の法律で、GDPR第28条に規定される要件と同一または実質的に類似する、個人データの処理を規定する契約を要求するもの。


スイス:
1992年6月19日付のスイス連邦データ保護法、2023年9月1日時点では、2020年9月25日付の全面改訂版によって取って代わられ、又は置き換えられたもの。(「FADP」)。

DPA第9条の目的上、改正および適応されたFADPの対象となる非適格国への移転に ついては、以下の通り EU SCC が実施されます:

  1. スイス連邦データ保護情報コミッショナー(FDPIC)が、EU SCCの第13条および付属書I.Cに従い、管轄監督当局となります。
  2. EU SCC第17条に基づく準拠法は、データ移転が専らFADPの対象となる場合、スイス法とします。
  3. 「加盟国」という用語は、EU SCC第18条に従って、スイスのデータ主体がその常居所地(スイス)でその権利を訴える可能性を排除するように解釈してはなりません。
  4. EU SCCにおけるGDPRへの言及は、FADP(改正または置き換えられたもの)の同等の規定への言及も含むものとします。


ブラジル:
ブラジルの一般データ保護法、Lei Geral de Proteção de Dados Pessoais(以下「LGPD」といいます)。
本DPAに基づくIDEXXのお客様に対する義務は、明確化のため、「管理者(controlador)」(以下の新しい第3.5項を含む)の利益のために「データ処理者(operador)」にLGPDが課す明示の義務のみです(LGPDで定義される「処理者(operador)」および「管理者(controlador)」は、LGPDの定義によります)。:

  • 3.5項 各当事者は、LGPDに基づくそれぞれの義務を履行する責任を負い、お客様は、IDEXXがLGPDの義務を履行することを可能にする、DPA第3条に定めるような処理指示のみを行うものとします。DPAの第9条の目的上、EUのSCCsはGDPRに基づく第三国への移転に適用されます。


南アフリカ共和国:
South African Protection of Personal Information Act 4 of 2013(以下「POPIA」といいます)。IDEXXのDPAに基づくお客様に対する義務は、明確化のため、「責任ある当事者」(「管理者」に相当)の利益のために「オペレーター」(「処理者」に相当)にPOPIAが課す明示の義務です。各当事者は、POPIAに基づくそれぞれの義務を履行する責任を負います。DPA第9条の目的上、EUのSCCsはGDPRに基づく第三国への移転に適用されます。
 

英国
英国一般データ保護規則(2018年欧州連合(離脱)法に基づき英国法に組み込まれたもの)、2018年英国データ保護法、いずれも2019年データ保護、プライバシー及び電子通信(改正等)(EU離脱)規則による改正、優先又は置換されたもの。 DPA第9条の目的の上、英国一般データ保護規則の対象となる非適格国への移転については、以下が実施される。当事者は、2018年データ保護法のs.119A(1)に基づき情報コミッショナー事務所が発行した「EU標準契約条項の英国補遺」(「英国補遺」)の完成を条件として、英国からの個人データの移転についてEUのSCCsに依拠します。DPAの第9条に定めるように完成したEUのSCCsは、当該個人データの移転にも適用されるものとします。英国補遺はIDEXXとお客様との間で締結されたものとみなされ、EUのSCCsは当該個人データの移転に関して、英国補遺の定めるところにより修正されたものとみなされます。

日本
2003年個人情報の保護に関する法律第57号(以下「APPI」といいます。)
IDEXXのDPAに基づくお客様に対する義務は、明確化のため、APPIが「個人情報取扱事業者」として、お客様の個人データの処理を「委託者」としてIDEXXに委託するためにお客様に要求する義務とします(APPIでこの用語が使用されています)。

カリフォルニア州
カリフォルニア州プライバシー権法によって改正された2018年カリフォルニア州消費者プライバシー法および関連する規制(以下「CCPA」といいます。)IDEXXのDPAに基づくお客様に対する義務は、CCPAの要求していること、すなわちCCPAの定める「事業者」(お客様、DPA上の「管理者」に相当)が、CCPAの定める「サービス提供者」(IDEXX、DPA上の「サービス提供者」に相当)と共に行動することです。

また「販売」および「共有」という用語は、CCPAにおいて定義されている意味を有するものとします。DPAで使用される「個人データ」という用語は、「個人情報」に置き換えられるものとします。DPAで使用される「データ主体」という用語は、「消費者」に置き換えられるものとします。DPAで使用される "特別類型個人データ"という用語は、"重要な個人情報"に置き換えられるものとします。"非特定情報 "とは、特定もしくは識別可能な消費者、または当該消費者にリンクされた機器に関する情報を推論するため、または当該消費者にリンクさせるために合理的に使用することができないデータを意味するものとします。

新たに3.5項を以下のように追加します:

  • 3.5. IDEXXは、次のことを行うものとします:
  1. 個人情報を販売または共有しないこと;
  2. (A)IDEXXとお客様との間の直接の取引関係以外の目的、または(B) CCPAが別途承認した場合を除いて、本契約に定める事業目的以外の目的のために、個人情報をさらに結合したり、保有、使用または開示したりしないものとします;
  3. お客様から指示があった場合で、当該個人情報が重要な個人情報であることをサプライヤーが実際に認識している場合、本サービスの提供以外の目的で重要な個人情報の使用を中止すること;
  4. お客様が本契約に基づきIDEXXに開示した非識別化情報を再識別化しようとしないこと;
  5. IDEXXがお客様に対するサービス提供者としての役割において個人情報を収集、使用、処理または保有している限り、IDEXXに直接提出された消費者の削除要求に応じないこと;
  6. IDEXXがカリフォルニア州データ保護法または本条に基づく義務を履行できなくなったと判断した場合、お客様に速やかに通知すること。
  7. IDEXX自身のCCPA違反について、引き続き責任を負うこと。