付録I:データ処理契約

本データ処理契約は、ILOVEPDFが管理者に代わって個人データを処理する際の取り扱いを、GDPR(EU規則2016/679)に従って定めるものです。

本データ処理契約(以下"データ処理契約"という。)は、CIF B66921552を有し、登記上の所在地をCalle Sabino de Arana, 60, 08028 Barcelonaに置くILOVEPDF(以下"ILOVEPDF"という。)が、以下の規定に従って処理する個人データに関して、お客様に代わって実施する個人データの処理に適用される契約を構成する。

これに関連して、ILOVEPDFは、ILOVEPDFが所有するソフトウェア又はコンピュータプログラムを通じて提供される一定のサービスをお客様に提供する。 これらのサービスの利用には、お客様が管理者(以下"管理者"という。)となる一定の個人データについて、処理者(以下"処理者"という。)としてのILOVEPDFによるアクセス及び処理が必要となる。

本データ処理契約は、ILOVEPDFの利用規約の一部を構成し、当該利用規約の承諾をもって適用される。 利用規約と本データ処理契約との間に矛盾、抵触又は齟齬が生じた場合には、本データ処理契約が利用規約に優先するものとする。

個人データの処理に関する自然人の保護及び当該データの自由な移動に関する2016年4月27日の欧州議会及び理事会のRegulation (EU) 2016/679(一般データ保護規則、以下"GDPR"という。)の規定を遵守するため、管理者及び処理者は、以下に従い本データ処理契約を締結する



条項

第1条

目的及び範囲

  1. 本データ処理契約の目的は、GDPR第28条第3項及び第4項の遵守を確保することにある。
  2. 管理者及び処理者は、GDPR第28条第3項及び第4項の遵守を確保するため、本契約に拘束されることに同意した。
  3. 本データ処理契約は、別紙Iに特定される個人データの処理に適用される。
  4. 別紙I及び別紙IIは、本データ処理契約の一部を構成する。
  5. 本条項は、GDPRに基づき管理者が負う義務を妨げるものではない。
  6. 本条項は、それ自体では、GDPR第V章に従った国際移転に関連する義務の遵守を確保するものではない。

第2条

解釈

  1. GDPRにおいて定義された用語が本データ処理契約において使用される場合、当該用語は、GDPRにおける意味と同一の意味を有するものと理解される。
  2. 本データ処理契約は、GDPRの規定に照らして読まれ、解釈されるものとする。
  3. 本データ処理契約は、GDPRに定める権利及び義務に反する方法、又はデータ主体の基本的な権利若しくは自由を害する方法で解釈されてはならない。

第3条

優先順位

本データ処理契約と、本条項の合意時点において存在する両当事者間の関連契約の規定又はその後に締結される関連契約の規定との間に矛盾が生じた場合、本データ処理契約が優先するものとする。

第4条

処理の内容

別紙Iには、処理業務の詳細、特に、管理者に代わって個人データが処理される個人データの種類及び処理目的が定められている。

第5条

両当事者の義務

5.1. 指示

  1. 処理者は、処理者に適用されるEU法又は加盟国法により求められる場合を除き、管理者からの文書化された指示に基づいてのみ、個人データを処理しなければならない。 この場合、処理者は、重要な公益上の理由により当該法令がこれを禁止する場合を除き、処理に先立ち、当該法的要件を管理者に通知しなければならない。 個人データの処理期間中、管理者はその後の指示を行うこともできる。 これらの指示は、常に文書化されなければならない。
  2. 処理者は、管理者から与えられた指示が、処理者の見解において、GDPR又は適用されるEU法若しくは加盟国法のデータ保護に関する規定に違反する場合には、直ちにその旨を管理者に通知しなければならない。

5.2. 目的制限

処理者は、管理者から追加の指示を受けた場合を除き、別紙Iに定める処理の特定の目的のためにのみ、個人データを処理しなければならない。

5.3. 個人データの処理期間

処理者による処理は、別紙Iに定める期間に限り行われるものとする。

5.4. 処理の安全性

  1. 処理者は、個人データの安全性を確保するため、少なくとも別紙IIに定める技術的及び組織的措置を実施しなければならない。 これには、偶発的又は違法な破壊、滅失、改変、無権限の開示又はデータへのアクセスをもたらす安全性の侵害(個人データ侵害)からデータを保護することが含まれる。 適切な安全性の水準を評価するにあたり、両当事者は、技術水準、実施費用、処理の性質、範囲、状況及び目的、並びにデータ主体に生じるリスクを十分に考慮しなければならない。
  2. 処理者は、本契約の履行、管理及び監督のために厳密に必要な範囲においてのみ、自己の役職員に対し、処理対象の個人データへのアクセスを許可しなければならない。 処理者は、受領した個人データの処理を許可された者が、秘密保持を約束していること、又は秘密保持に関する適切な法令上の義務を負っていることを確保しなければならない。

5.5. 要配慮個人情報

処理が、人種的若しくは民族的出自、政治的意見、宗教的若しくは哲学的信条若しくは労働組合への加入を明らかにする個人データ、自然人を一意に識別する目的での遺伝子データ若しくは生体データ、健康に関するデータ若しくは個人の性生活若しくは性的指向に関するデータ、又は有罪判決及び犯罪に関するデータ(以下"センシティブデータ"という。)を伴う場合、処理者は、特定の制限措置及び/又は追加的な保護措置を適用しなければならない。

5.6. 文書化及び遵守

  1. 両当事者は、本データ処理契約を遵守していることを証明できるものとする。
  2. 処理者は、本データ処理契約に従ったデータの処理に関する管理者からの照会に対し、速やかかつ適切に対応しなければならない。
  3. 処理者は、本データ処理契約に定められ、かつGDPRから直接生じる義務の遵守を証明するために必要なすべての情報を、管理者又は独立した第三者が利用できるようにしなければならない。 管理者の要請に応じて、処理者は、本データ処理契約の対象となる処理活動の監査を許可し、これに協力しなければならない。 当該監査は、処理者による本データ処理契約のいずれかの事項の不遵守について、事前に書面により正当な根拠が示された疑義がある場合に、管理者が必要な確認を行うことができるよう、厳密に必要な範囲に内容面及び期間面で限定されるものとする。 いかなる場合においても、当該監査は、不遵守の状況を検証することのみを目的とし、年1回を上限とし、かつ少なくとも1か月前に通知されなければならない。 いかなる場合においても、当該監査は管理者の費用負担により実施されるものとする。
  4. 両当事者は、管轄の監督機関の要請に応じて、本条に定める情報、特に監査結果を当該監督機関が利用できるようにしなければならない。

5.7. 再処理者の利用

  1. 処理者は、再処理者の利用について、管理者から一般的承認を得ている。 処理者は、管理者が異議申立権を行使できるようにするために必要な情報を管理者に提供しなければならない。
  2. 処理者が、特定の処理活動を(管理者に代わって)実施するために再処理者を利用する場合、処理者は、当該再処理者に対し、本条項に従って処理者に課されるデータ保護義務と実質的に同一の義務を課す契約によって、これを行わなければならない。 処理者は、再処理者が本データ処理契約及びGDPRに基づき処理者に課される義務を遵守することを確保しなければならない。
  3. 処理者は、処理者との契約に基づく再処理者の義務の履行について、管理者に対して全面的に責任を負うものとする。 処理者は、再処理者が契約上の義務を履行しなかった場合、その旨を管理者に通知しなければならない。

5.8. 国際移転

  1. 処理者による第三国又は国際機関へのデータ移転は、GDPR第V章に従って行われるものとする。
  2. 管理者は、処理者が第5.7条に従って特定の処理活動を(管理者に代わって)実施するために再処理者を利用し、当該処理活動がGDPR第V章にいう個人データの移転を伴う場合、処理者及び再処理者が、以下のいずれかの方法によりGDPR第V章の遵守を確保できることに同意する。すなわち、(i)欧州委員会がGDPR第45条に従って十分性認定を採択した国へ個人データを移転すること、又は(ii)欧州委員会がGDPR第46条第2項に従って採択した標準契約条項を、当該標準契約条項の利用条件が満たされることを条件として利用することである。 原則として、管理者が別段の選択をしている場合を除き、処理者は、お客様の個人データを欧州経済領域内で処理する。 上記にかかわらず、欧州経済領域外の管理者については、当社サービスの性能及び効率を最適化するため、処理者は、前記の保護措置が実施されることを条件として、お客様の所在地により近い地域においてお客様の個人データを処理することができる。
  3. さらに、処理者から管理者への個人データの伝達が、GDPR第V章にいう個人データの移転を伴う場合、処理者及び管理者は、付属書IIとして添付される標準契約条項(モジュール4)を締結しなければなりません。

第6条

管理者への支援

  1. 処理者は、データ主体から受領したいかなる要求についても、速やかに管理者に通知しなければならない。 処理者は、管理者から授権された場合を除き、当該要求に自ら応じてはならない。
  2. 処理者は、受領したデータ主体の権利行使に関する要求のうち、管理者が管理者として行為する個人データに関するものでありその対応が管理者に帰属するものについては、これを管理者に転送するものとする。
  3. 第6条(b)に基づき管理者を支援する処理者の義務に加え、処理者は、データ処理の性質及び処理者が利用可能な情報を考慮して、以下の義務の遵守を確保するため、管理者をさらに支援しなければならない:
    1. 想定される処理業務が個人データの保護に及ぼす影響の評価(「データ保護影響評価」)を実施する義務;
    2. データ保護影響評価により、管理者がリスクを軽減するための措置を講じない場合には処理が高いリスクをもたらすことが示されるときに、処理に先立ち、管轄の監督機関と協議する義務;
    3. 処理者が、処理する個人データが不正確であること又は最新でなくなっていることを認識した場合、遅滞なく管理者に通知し、個人データが正確であることを保証する義務;
    4. GDPR第32条に定める義務。
  4. 両当事者は、本条の適用において処理者が管理者を支援するために求められる適切な技術的及び組織的措置、並びに当該支援の範囲及び程度を別紙IIに定めるものとする。

第7条

個人データ侵害の通知

  1. 個人データ侵害が発生した場合、処理者は、処理の性質及び処理者が利用可能な情報を考慮し、管理者がGDPR第33条及び第34条に基づく義務を遵守できるよう、管理者と協力し、管理者を支援しなければならない。
  2. 管理者に代わって処理者が処理する個人データの安全性に対する侵害が発生した場合、処理者は、これを認識した後、不当な遅滞なく管理者に通知しなければならない。 当該通知には、少なくとも以下の事項を含めるものとする:
    1. 侵害の性質の説明(可能な場合には、関係するデータ主体及びデータ記録の種類並びに概数を含む。);
    2. 個人データ侵害に関する追加情報を入手できる連絡先の詳細;
    3. 侵害により生じ得る結果、並びに侵害に対処するために講じられた又は講じることが提案されている措置(生じ得る悪影響を軽減するための措置を含む)。
  3. すべての情報を同時に提供できない場合、可能な範囲で最初の通知で提供し、追加情報は収集され次第、不当な遅滞なく提供します。

別紙I:処理の内容

個人データが処理されるデータ主体の種類
管理者がILOVEPDFの提供するサービスを利用する際にアップロードするファイルにそのデータが含まれるデータ主体の種類(例えば、従業員、顧客、サプライヤー等)。

処理される個人データの種類
管理者がILOVEPDFの提供するサービスを利用する際にアップロードするファイルに含まれる個人データの種類。

処理されるセンシティブデータ(該当する場合)、並びに、データの性質及び関連するリスクを十分に考慮した上で適用される制限又は保護措置(例えば、厳格な目的制限、アクセス制限(専門研修を受けた職員のみのアクセスを含む。)、データアクセス記録の保持、再移転の制限又は追加的な安全管理措置等)。
ILOVEPDFが提供するサービスを利用する際に、管理者がアップロードするファイルに特別カテゴリーの個人データが含まれる場合、その範囲において当該特別カテゴリーの個人データが処理される。

処理の性質
処理者は、サービス提供に必要なすべての行為(例:個人データを含む文書の変換、編集及び圧縮)を実施する。

管理者に代わって個人データが処理される目的
ILOVEPDFによるサービス提供のため。

処理の期間
サービス提供に厳密に必要な範囲において。

再処理者及び提供されるサービスの種類

ILOVEPDFは、そのサービスの提供にあたり、個人データの再処理者として行為する第三者サービス提供者を利用している。 これらの中には、ウェブホスティング及びクラウドコンピューティング・ソリューションの提供者であるCloudscale、Digital Ocean、Hetzner、OVHcloud、Vultrが含まれ、これらの提供者は、データの安全な処理、一時保存及びプラットフォームの運用継続性を確保するための技術インフラサービスを提供している。

再処理者は、ILOVEPDFの指示に従って行為し、Regulation (EU) 2016/679(GDPR)及びその他の適用されるデータ保護法令に従い、個人データの保護を確保するため、適切な技術的及び組織的措置を講じるものとする。

ILOVEPDFのサブプロセッサに関する詳細については、こちらをクリックしてアクセスできます。

別紙II:データの安全性を確保するための技術的及び組織的措置を含む技術的及び組織的措置

処理者は、本データ処理契約に基づき実施される処理活動に対し、以下の技術的及び組織的安全管理措置を適用しなければならない:

  • 移転される情報の傍受、複製、改変、経路指定の誤り及び破壊から保護するための技術的措置。
  • 電子通信を通じて送信される可能性のある悪意のあるアプリケーション(マルウェア)を検知し、これから保護し、その影響を軽減するための技術的手順及び内部方針。
  • センシティブな情報が添付ファイルとして送信される際の技術的保護。
  • 通信リソースの容認可能な利用に関する内部方針。
  • 処理者のリソースへのアクセス権限を有するすべての利用者(従業員及び第三者)が、各自の情報に関する責任を負うことを確保するための組織的措置。
  • 情報の秘密性、完全性及び真正性を保護するための暗号技術の利用。
  • 関連する国及び地方の法令に従った、メッセージを含むすべての業務上の通信文の保管及び廃棄に関する組織的指針。
  • 機密情報の不開示に関する従業員向けの定期的な周知及び内部方針の策定。当該目的には、例えば、センシティブな情報を含むメッセージを留守番電話に残さないこと、公共の場所で機密の会話を行わないこと、安全でない通信チャネルを使用しないこと、オープンオフィスで機密の会話を行わないこと等が含まれる。

バージョン管理: 2026年2月19日木曜日

おっと!インターネット接続に問題があります...