データ処理契約
本契約は、9F, No. 1, Yuan Dong Rd., Banqiao, New Taipei 220632, Taiwanに登記事務所をもつSynology Inc. (「処理者」) と、Synology C2サービスの一般サービス契約で規定されたお客様 (「管理者」) の間で締結されます。
本契約は、Synology C2一般サービス契約 (以降、「本サービス契約」と称します) に組み込まれ、同契約の一部を構成します 。
I.定義
契約とは、本データ処理契約を意味します。
データ主体の同意とは、データ主体が、声明または明確な肯定的行動によってデータ主体の希望を、自由に与えられた、具体的な、情報に基づいて明確に示すことを意味し、そのデータに関する個人データの処理に同意することを意味します。
管理者とは、単独または他者と共同で、個人データを処理する目的と手段を決定する自然人または法人、公的機関、代理店またはその他の団体を意味します。そのような処理の目的および手段が連合または加盟国法によって決定される場合、管理者またはその任命のための具体的な基準は、連合または加盟国法によって提供される場合があります。
クロスボーダー処理とは次のいずれかを意味します。
- 管理者または処理者が複数の加盟国に確立されている連合内の管理者または処理者の複数のメンバー状態における施設の活動のコンテキストで行われる個人データの処理、または
- 連合内の管理者または処理者の単一の設立の活動のコンテキストで行われる個人データの処理が、複数の加盟国のデータ主体に実質的に影響を与えるか、または実質的に影響を与える可能性があるもの。
データ保護担当者 (Data Protection Officer) とは、データプライバシーの専門家で、企業が GDPR に定められたポリシーと手順を遵守していることを確認するために独立して作業する人を意味します。
データ主体とは、個人データが管理者または処理者によって処理される自然人を意味します。
GDPRとは、欧州議会および2016年4月27日の理事会の規制 (EU) 2016/679で、個人データの処理およびそのようなデータの自由な移動に関する自然人の保護、および指令95/46/ECの廃止に関するものを意味します。
個人データとは、特定されたまたは識別可能な自然人 (「データ主体」) に関連する情報を意味します。識別可能な自然人とは、特に名前、識別番号、位置データ、オンライン識別子、またはその自然人の物理的、生理的、遺伝的、精神的、経済的、文化的または社会的アイデンティティに固有の1つ以上の要因などの識別子を参照することによって、直接的または間接的に識別できる人物です。
個人データの侵害とは、送信、保存、またはその他の方法で処理された個人データの偶発的または違法な破壊、紛失、改ざん、不正な開示、またはアクセスにつながるセキュリティ違反を意味します。
処理とは、個人データまたは個人データの集合に対して実行される操作または一連の操作を意味し、自動化された手段かどうかに関わらず、収集、記録、組織、構造化、ストレージ、適応または改変、検索、相談、使用、送信、普及またはその他の方法で利用可能な、アライメントまたは組み合わせ、制限、消去または破壊による開示などが含まれます。
処理者とは、管理者に代わって個人データを処理する自然人または法人、公的機関、代理店、またはその他の団体を意味します。
偽名化とは、追加情報を使用せずに特定のデータ主体に帰属することができなくなる方法で個人データを処理することを意味します。個人データが特定または識別可能な自然人に起因しないことを保証するため、そのような追加情報が別々に保持され、技術的および組織的措置の対象であることを条件とします。
受信者とは、第三者かどうかに関わらず、個人データが開示される自然人または法人、公的機関、代理店、またはその他の団体を意味します。ただし、連合または加盟国法に従い、特定の照会の枠組みの中で個人データを受け取る可能性のある公的機関は、受信者とみなされません。これらの公的機関によるこれらのデータの処理は、処理の目的に従って適用されるデータ保護規則に従うものとします。
代表者とは、第27条に基づいて書面で管理者または処理者によって指定された、GDPRに基づくそれぞれの義務に関して、管理者または処理者が指定する、連合に設立された自然または法人を意味します。
再販業者とは、Synology C2サービスをサブスクライブし、管理者に代わって処理者に直接そのサービスの報酬を支払う第三者のサービス プロバイダを意味します。
規制とは、GDPR およびその他の一般的に個人データ保護の分野に関する法的規制を意味します。
第三者とは、データ主体、管理者、処理者、および管理者または処理者の直接権限の下で個人データを処理する権限を有する人物、公的機関、代理店または団体を意味します。
標準契約条項とは、2021年6月4日発行の欧州委員会実施決定 (EU) 2021/914の付属文書で規定された、第三国で制定されている、欧州経済地域でのデータ管理者から処理者への個人データの移転に対して別紙1で規定され、移転される個人データの記述および付録で規定されて施行された技術的および組織的な対策を組み込む修正がなされた標準契約条項を意味します。
監督当局とは、本契約に関係する問題を担当する政府当局を意味します。
II.契約期間
本契約の期間は、サービス契約の期間と一致するものとします。
III.本契約の性質と目的
- 企図されたデータの処理の性質と目的
管理者に対する処理者による個人データの処理の性質と目的は、サービス契約で正確に定義されます。 - データのタイプ
個人データの処理の主題は、以下のデータタイプ/カテゴリで構成されます。- 個人の主要データ:管理者は、任意の種類のデータを自分の裁量でレンタルサーバーに保存することができます。Synologyは、かかるデータに影響を及ぼすことも、アクセスすることもできません。
- 契約請求および支払データ:本サービス契約の実行の枠組みの中で、Synologyは、連絡先住所、支払い方法に関する情報、連絡担当者を含む個人契約データを収集するものとします。
- データ主体のカテゴリ
データ主体のカテゴリは、販売店の顧客および連絡担当者で構成されます。
IV.処理者の義務
- 処理者は、個人データを単独で、管理者の規則および指示、または本契約の要求に完全に準拠して処理します。この義務は、処理者が対象となる規則または法律によって処理者に要求されている場合を除き、個人データの処理者による第三国または国際機関への転送にも適用されます。その場合、処理者は、処理前にかかる法的要件を管理者に通知するものとします。ただし、公共の利益上の重要な理由でそのような情報を禁止する場合は除きます。
- 処理者と管理者は、本契約およびSynology C2サービス契約が、処理者に対する管理者の完全かつ最終的な指示を示すものであることに同意します。本契約の範囲外での処理 (ある場合) は、処理のための追加の指示に関する両当事者間の書面による事前の合意が必要です。本契約の範囲外で管理者が要求した指示に従うことを処理者が拒否した場合、管理者は本契約を終了することができます。
- 本契約の履行において、管理者は直ちに書面による口頭指示を確認するものとします。
- 管理者に代わって処理されたデータのコピーまたは複製は、管理者の知識なしに作成されてはなりません。ただし、秩序あるデータ処理を確実にするために必要な限り、バックアップデータおよび規制の下でデータを保持し、規制要件を満たすのに必要なデータは例外とします。
- 処理者は、管理者に代わって処理されるデータの処理を、独自の権限で修正、消去、または制限したり、そのようなデータを第三者に移植/転送したりしてはなりません。ただし、管理者からの文書で指示された場合は除きます。データ主体が処理の修正、消去、または制限または移植性の権利を行使することに関して処理者に直接連絡した場合、処理者は直ちにデータ主体の要求を管理者に伝えるものとします。サービス範囲に含まれる限り、消去ポリシー、「忘れられる権利」、修正、データの移植性およびアクセスは、過度の遅延なしに管理者からの書面の指示に従って、処理者によって保証されるものとします。
- 処理者は、管理者の指示が規則に違反していると考える場合、直ちに管理者に通知するものとします。処理者は、管理者がそれらを確認または変更するまで、関連する命令の実行を一時停止する権利を有するものとします。
- 本契約に定める規則の遵守に加えて、処理者は、本契約で参照されている法定要件を遵守するものとします。したがって、処理者は、特に次の要件に準拠していることを保証します。
- 処理者は、本契約に記載されているデータ処理を、守秘義務を遵守し、職務に関連して事前にデータ保護規定に精通している従業員にのみ委託します。管理者からの指示がない限り、処理者およびその権限の下で行動する個人データへのアクセスが可能な人物は、そのデータを処理してはなりません。ただし、法律で要求された場合は除きます。
- 処理者は、個人データの処理にアクセス、修正、移植、消去、または異議を申し立てる権利を行使する個人からの要求に従うよう、管理者を支援する必要があります。
- 処理者は、管理者が監督機関からの要求に準拠するのを支援する必要があります。管理者と処理者は、要求に応じて、そのタスクの実行において監督機関と協力するものとします。
- データ保護担当者、連絡担当者、代表者の指定
Synologyのデータ保護チームの連絡先は、https://www.synology.com/form/privacy_issueにあります。管理者は、データ保護担当者の変更を直ちに通知するものとします。 - 管理者は、本契約第IX条に記されるすべての検査および監督機関が行った検査および措置について、本契約の処理に関連する限り、直ちに通知されるものとします。
- 管理者が監督機関または行政による検査、または略式起訴犯罪または刑事手続きの対象である限り、処理者による契約データ処理に関連してデータ主体、または第三者またはその他の請求による賠償請求について、処理者は、管理者をサポートするためにあらゆる努力をするものとします。詳しい支援については、本契約第X条に説明があります。
- 処理者は、本契約第IX条に記載されている義務の遵守を確実にするために、管理者を支援するものとします。
- 本契約に必要なすべての技術的および組織的措置の実施および遵守の詳細は、付録を参照してください。
V.通知義務
- 処理者は、個人データの侵害を直ちに管理者に通知するものとします。正当性が疑われる事象も報告します。通知には、少なくとも、法律に記載されている情報が含まれている必要があります。
- また、タスク実行時に重大な中断が生じた、あるいは処理者またはその雇用する個人によって行われた法的データ保護規定または本契約の規定への違反も、直ちに管理者に通知する必要があります。
- 処理者は、委託されたデータ処理に関連する場合、監督機関またはその他の第三者が行った検査または措置について直ちに管理者に通知するものとします。
- 処理者は、法律に従い、必要な範囲で、管理者がこれらの義務においてサポートされることを保証するものとします。
VI.国際データ転送
- 処理者としてお客様のためにSynologyが処理するデータは、お客様が選択するデータセンターに欧州連合 (EU) 内またはその域外のいずれかで保管されます。
- 個人データが、適切なデータ保護をもたない国の処理者に国際的に転送される場合は、以下の事項が適用されます。
- 両当事者は、個人データの適切なデータ保護をもたない国への転送を促進するために、標準契約条項 (別紙1) に同意します。この条項は、個人の基本的人権と自由のみならず、プライバシーの適切な保護を行うために適用されます。この条項で、「管理者」は「データ輸出者」として、「処理者」は「データ輸入者」となります。標準契約条項とデータ処理契約に矛盾が生じた場合、標準契約条項が優先されます。
- 管理者の求めにより、両当事者は、GDPR 条項46 (2) (c) または (d) で採用されているように、標準契約条項を交換し、第三国の処理者へのデータ転送に対して新条項を締結するものとします。
- 個人データが、GDPR 条項45(3)の下での適切な決定により、ある国に転送される場合、その限りにおいて、標準契約条項は不要となります。この適切な決定が撤回あるいは中断された場合、条項 (a) および (b) が自動的に適用されます。
VII.技術的および組織的な対策とデータセキュリティ
技術的および組織的な対策は、付録 ─ 付属文書 II に詳述されています。
VIII.業務委託
- 本契約の目的での業務委託は、本サービスの提供に直接関係するサービスとして理解するものとします。これには、電気通信サービス、郵便・運輸サービス、保守・ユーザー支援サービス、データ通信事業者の処理などの補助サービス、さらにはデータ処理機器のハードウェアおよびソフトウェアの機密性、可用性、完全性、および復元性を確保するためのその他の措置は含まれません。ただし、処理者は、補助サービスを委託した場合であっても、適切かつ法的拘束力のある契約上の取り決めを行い、管理者のデータの保護とデータのセキュリティを確保するための適切な検査措置を講じる義務を負うものとします。
- 処理者は、管理者から事前に明示的に書面または文書で同意を得た後にのみ、下請け業者を承認します。前述にかかわらず、管理者は、客観的に正当化された理由なしに、その同意を保留してはなりません。下請け業者の任命または入れ替えに管理者が異議申し立てた場合、処理者は、当該下請け業者の任命または入れ替えを行わないか、あるいはそれが不可能な場合、管理者は当該サービスの停止または終了を行いますが、かかる停止または終了の前に管理者が負担する料金に影響を及ぼすことはないものとします。
- 下請け業者への業務委託または既存の下請け業者の変更は、次の場合に許可されます。
- 処理者は、そのような下請け業者への業務委託について、書面またはテキスト形式による適切な事前通知で管理者に提出する。
- 管理者は、処理者にデータを引き渡す日付までに、書面またはテキスト形式で計画された業務委託に異議を唱えていない。
- 本契約に定めるのと同じデータ保護義務が、契約/同意という方法で、その他の処理者 (下請け業者) に課される、あるいは、下請けは、規制に基づく契約上の合意に基づいている。
- 処理者は、本契約または法的要件と同じ保護を受ける下請け業者に対して、書面による適切な契約上の義務を課すものとします。これには、機密性、データ保護、データセキュリティ、監査権に関する関連する契約上の義務が含まれます。
- 管理者から下請け業者への個人データの転送、および下請け業者によるデータ処理の開始は、すべてのコンプライアンス要件が達成された後にのみ行われるものとします。
- 処理者は、下請け業者のデータへのアクセスを、下請け業者のサービスを維持するために必要なものにのみ制限し、下請け業者が他の目的でデータにアクセスすることを禁止します。
- 処理者は、本契約の義務を遵守し、本契約に基づく処理者の義務に違反する原因となる下請け業者の行為または不作為に対して引き続き責任を負います。
- 下請け業者がEU/EEA外で合意されたサービスを提供する場合、処理者は適切な措置により規制の遵守を確保する必要があります。
- 下請け業者によるさらなる業務委託は、処理者の明示的な同意が必要です (少なくともテキスト形式)。本契約のすべての契約上の規定は、各追加の下請け業者に通知され、合意されるものとします。
IX.管理者の義務、権利、監督
- 管理者は、要求された処理の受容性と影響を受ける当事者の権利を評価する責任を負うものとします。
- 管理者は、処理者に対する検査を実施する、あるいは相互合意に基づいて個別ケースで管理者の費用負担で任命される、監査人に実行せしめる権利を有します。管理者は、通常、合理的な時間内に発表されるランダムチェックによって、その業務時間中に処理者による本契約の遵守を確認する権利を有します。
- 処理者の敷地内での検査は、処理者の業務に対する回避可能な妨害なしに行わなければなりません。特に緊急の理由がない限り、管理者が文書化する必要がある場合を除き、検査は、適切な事前通知後および処理者の営業時間中に実施され、12ヶ月ごとより頻繁に行われるものとします。本契約の第IX章5節に規定されているように、処理者が合意されたデータ保護義務が正しく実施されているという証拠を提供する場合、検査はサンプルに限定されるものとします。
- 処理者は、規則に従い、管理者が処理者の義務の遵守を確認できることを保証するものとします。処理者は、技術的および組織的措置の実行を実証するために、要求に応じて管理者に必要な情報を提供することを保証するものとします。
- 本契約のみならず、当該措置の証拠は、現在の監査役の証明書、報告書、または独立機関 (監査役、データ保護責任者、ITセキュリティ部門、データプライバシー監査人、品質監査人など) が提供する報告書からの抜粋によって提供される場合があります。
- 処理者は、管理者検査を有効にするための報酬を請求することができます。
X.処理者の支援と情報に関する業務
- 処理者は、個人データのセキュリティに関する義務、データ侵害に関する要件の報告、データ保護の影響評価および事前の協議に関する義務の遵守で管理者を支援するものとします。これには以下が含まれます。
- 技術的および組織的措置による適切な保護レベルの確保。処理の状況と目的、ならびにセキュリティの脆弱性の結果として法律の侵害の可能性が予測される確率と重大度を考慮し、関連する侵害イベントの即時の検出を可能にします。
- 個人データの侵害を直ちに管理者に報告する義務。
- 関係するデータ主体に情報を提供する管理者の義務に関して、管理者を支援し、この点に関するすべての関連情報を直ちに管理者に提供する義務。
- 監督機関に情報を提供する管理者の義務に関して、管理者を支援する義務。管理者は、要求に応じて、そのタスクの実行において監督機関と協力するものとします。
- データ保護影響評価で管理者をサポートします。
- 監督機関の事前協議に関して管理者をサポートします。
- 管理者は、本契約に関連するデータの処理に関する限り、監督機関が行った検査および措置について直ちに通知を受けるものとします。これは、本契約の処理に関連するデータの処理に関する法令または行政規則または規制の違反に関連して、処理者が調査中であるか、または管轄当局による調査の当事者である限り適用されます。管理者が監督機関または行政による検査、または略式起訴犯罪または刑事手続きの対象である限り、処理者によるデータ処理に関連してデータ主体、または第三者またはその他の請求による賠償請求について、処理者は、管理者をサポートするためにあらゆる努力をし、管理者が必要とする場合、すべてのドキュメント、リソース、およびサポートを提供するものとします。本契約に関するデータが破産または破産手続き中に没収される場合、または処理者によって処理されている間に第三者による同様の措置の対象となる場合、処理者は過度の遅滞なく管理者に通知します。処理者は、過度の遅延なしに、そのようなアクションのすべての開発および更新を過度に遅らせることなく管理者に通知し、更新し、管理者が要求するそのようなアクションに応じてすべての措置を講じるものとします。
- 処理者は、ここでのサービスの説明に含まれていない、処理者の障害に起因しないものは、サポートサービスの補償を請求する場合があります。ただし、そのような補償が管理者によって書面で事前に承認された場合に限ります。
XI.報酬
本契約に基づくサービスに対する処理者の報酬は、サービス契約に定められます。本契約に記されている以外の報酬または払い戻しはありません。
XII.責任と補償
- 管理者および処理者は、許可のない当事者によって生じた損害、または適用される法律に従って本契約の範囲内で行われた誤ったデータ処理に対して、それぞれ責任を負うものとします。
- いかなる場合においても、本契約に関連する間接的、懲罰的、特別、付随的、または結果的な損害 (利益の損失、使用、データ、またはその他の経済的優位性を含む) について、本契約の違反に関わらず、保証の違反や不法行為など、当事者がそのような損害の可能性について以前に助言された場合でも、当事者が他方に対して責任を負うものとします。
XIII.データの終了、返却、削除
- 本契約の終了または基礎となるサービス契約の終了後、または管理者の求めに応じて、処理者は、管理者に引き渡すか、または管理者との事前の同意に従って、本契約または規制に準拠したデータ保護方法で、処理者の所有となったサービス契約に関連するすべてのデータ、処理および使用結果、およびデータセットを破棄するものとします。関連するすべてのテスト、廃棄物、冗長および廃棄された材料にも同様に適用されます。破棄または抹消の実施記録は、破棄または削除の完了時に、または管理者の要求に応じていつでも管理者に提供されるものとします。
- 本契約に従って秩序あるデータ処理を実証するために使用される文書は、規制に基づくそれぞれの保存期間に従って、本契約の期間を超えて処理者によって保存されるものとします。処理者は、本契約の期間の終了時、または管理者の要求に応じて、いつでもかかるドキュメントを管理者に引き渡すものとします。
- 処理者は、下請け業者からのデータの返品または削除を直ちに保証する義務があります。
- 処理者は、処理者または下請け業者によって適切に破壊されたデータの証明を提供し、直ちにこの証明を管理者に提出しなければなりません。
XIV.雑則
- 両当事者は、本契約の期限が切れた後も、契約関係の範囲内で相手方から得た企業秘密およびデータセキュリティ対策に関するすべての知識を秘密に扱う義務があります。情報が機密の対象となるかどうか疑問がある場合は、相手方からの書面による承認を受けるまで、秘密に扱うものとします。知的財産権に関する所有権は、本契約に基づき、管理者から処理者に譲渡しません。
- 本契約の修正は書面で行われ、両当事者が合意するものとします。
- 本契約において、適用法に基づく保持権の免除は、処理されたデータおよび関連するデータキャリアに関しては、除外されます。
- 本契約のいずれかの部分が無効な場合、これは本契約の残りの部分の有効性に影響を与えません。
- 本契約は、抵触法の原則を適用することなく、ドイツ連邦共和国の法律に準拠し、解釈されるものとします。
- 本契約に起因または関連して生じる紛争は、国際物品売買契約に関する国連条約を除き、ドイツのノルトライン・ヴェストファーレン州デュッセルドルフの管轄裁判所に付託され、最終的に解決されるものとします。本顧客が German Commercial Code (HGB) の § 1 パラグラフ 1、公法による事業者、または公法による特別基金で規定される取引者である場合、デュッセルドルフに所在する裁判所がこの契約関係により、あるいはそれに関連して生じる紛争に対する管轄権を有します。
ダウンロード
C2ニュースレターの購読を申し込む
購読いただくと、C2サービスの最新情報、技術情報、アクティビティやイベントについての情報を入手できます。
Synologyのニュースレターを確実に受け取るために、お客様からいただいたメールアドレスを使ってSynologyアカウントを作成します。