US – English
UK – English
Canada – English
Australia – English
Danmark – Dansk
DACH - Deutsch
France – Français
España – Español
Sverige – Svenska
Italia – Italiano
Nederland – Nederlands
Portugal – Português
Suomi – Suomi
Norge – Norsk
日本 – 日本語
Romanian – Română
本補遺について
個人データを安全、公正かつ透明性のある方法で処理することは、TaxDomeにとって極めて重要です。この取組みの一環として、当社は、EUの一般データ保護規則(「GDPR」)を含むEUデータ保護法、および適用される範囲で英国(UK)の2018年データ保護法に従って個人データを処理します。また、カリフォルニア州消費者プライバシー法(「CCPA」)、医療保険の相互運用性と説明責任に関する法律(「HIPAA」)、PCIコンプライアンス(「PCI」)など、さまざまな種類の個人データの取扱いを規律するEU域外のデータ保護法にも従って個人データを処理します。
個人の個人データをより適切に保護するため、当社は、TaxDomeおよびお客様による個人データの取扱いを規律する本条件(「データ処理補遺」または「DPA」)を提供します。本DPAは、利用規約の一部を構成し、これを修正するものであり、お客様側での追加の対応は必要ありません。
本DPAに同意いただけない場合は、TaxDomeサービスの利用を中止し、アカウントを解約することができます。
定義
すべての当事者が、本DPAの下でどのようなデータが、また誰のデータが保護されるのかを理解することが重要です。各当事者は、個人データを保護するそれぞれの義務を負っています。したがって、以下の定義は、本DPAの適用範囲と、個人データを保護するための相互の約束を説明するものです。
「TaxDome」「当社」または「当社の」とは、TaxDomeのウェブサイトおよびサービス(総称して「TaxDomeサービス」といいます)の提供者を指します。
「お客様」または「顧客」とは、消費者またはサービス利用者との関係を管理するためにTaxDomeサービスの利用に登録した企業または組織を指します。
「当事者」とは、文脈に応じて、TaxDomeおよび/または顧客を指します。
「人員」とは、いずれかの当事者に雇用され、またはその当事者のためにサービスを提供する契約を締結している個人を指します。人員は、EUに居住する場合、その個人データ(業務上の連絡先情報を含みます)について権利を有することがあります。人員の権利がどのように保護されるかを明確にすることが重要です。
「再委託先(サブプロセッサー)」とは、ホスティング、クレジットカード処理および不正審査、メーリングリストのホスティングなど、TaxDomeのウェブサイトおよび当社のサービスに関連する特定のサービスおよび製品を提供する第三者、独立請負人、ベンダーおよびサプライヤーをいいます(「第三者」または「外部請負人」も同様の意味を有します)。
「インシデント」とは、(a) GDPRに基づく個人の権利行使に関する苦情または請求、(b) 政府当局による個人データの調査もしくは差押え、またはかかる調査もしくは差押えが差し迫っていることの具体的な兆候、または (c) 本DPAに定めるセキュリティおよび/または機密性の侵害であって、個人データの偶発的もしくは違法な破壊、損失、改ざん、無断の開示もしくはアクセスにつながるもの、またはかかる侵害が発生した、もしくは発生しようとしている兆候をいいます。
「データ主体」「個人データ」「加盟国」「管理者」「処理者」および「処理」という用語は、GDPRにおけるものと同一の意味を有し、その派生語もこれに従って解釈されるものとします。
「データ保護法」とは、GDPRを含む(ただしこれに限られません)データ保護およびプライバシーに関するすべての適用法令を意味し、EU加盟国における国内実施法、または適用される範囲でその他の国における法令(随時改正、廃止、統合または置換されるものを含みます)を含みます。
「SCC」とは、欧州委員会またはスイス連邦データ保護当局(該当する場合)が承認した処理者向けの標準契約条項をいいます。
読みやすさのため、本DPAでは定義された用語の頭文字を大文字にしていません。定義された用語は、その形式にかかわらず、定義された用語です。
1. 個人データに関する誓約
1.1 各当事者は、個人データが本DPAの下で秘密情報として扱われることに同意します。さらに、各当事者は、相互の個人データに関して、関連法域におけるデータ保護に関する適用法令を常に遵守するものとします。
1.2 個人データは、開示当事者の財産であり続けます。TaxDomeは、顧客が管理者であり、データ主体の個人データに対する管理を維持することを確認します。
1.3 TaxDomeは、利用規約、および書面で相互に合意された顧客からのその後の書面による指示に従い、サービスを提供する目的に厳密に必要な範囲でのみ、顧客の個人データを処理します。GDPR第28条第3項により求められる個人データの処理の詳細は、附属書Bに定めます。TaxDomeは以下に同意します。
1.3.1 顧客の個人データの無断の、違法なまたは偶発的な処理、使用、消去、損失もしくは破壊、または損傷から保護するため、十分なセキュリティ上、技術上および組織上の措置からなる合理的かつ適切なセキュリティプログラムを実施し、維持すること。
1.3.2 顧客の個人データを第三者に対して修正、改変、削除、公開または開示せず、また、第三者が同様の機密保持およびデータ取扱いの規定に拘束される場合を除き、第三者がTaxDomeに代わって当該個人データを処理することを認めないこと。
1.3.3 個人データへのアクセスを、利用規約に基づく義務の履行のために当該アクセスを必要とする人員に限定すること、および個人データの処理に従事する人員が、個人データの機密性について知らされ、その責任に関する適切な研修を受け、書面による機密保持契約を締結していることを確保すること。TaxDomeは、かかる機密保持義務が人員の契約終了後も存続することを確保するものとします。
1.3.4 利用規約に基づく義務の履行に必要な範囲でのみ、顧客の書面による指示(相互に合意されたものに限ります)に基づき、かつ適用法令に従って、顧客の個人データを処理すること。
1.4 お客様のアカウントの解約時に、TaxDomeは、利用規約に基づく当社の標準的なバックアップおよび保持ポリシーに従い、通常90日以内に、すべての個人データを削除し、または顧客の要請に応じて返却します。ただし、EU、加盟国または米国の法律により個人データの保持が義務付けられる場合はこの限りではなく、その場合、TaxDomeは個人データを保持する権利を留保します。
1.5 両当事者は、顧客が、TaxDomeサービスの利用に関連して、TaxDomeの人員に関する個人データを随時保有する場合があることを確認します。TaxDomeは、(i) 顧客によるTaxDomeサービスの利用に関連したTaxDomeの人員の個人データの顧客への開示、および (ii) TaxDomeサービスを利用する目的での顧客による当該TaxDome個人データのさらなる処理を可能にするため、適用法令で求められるすべての必要な通知を当該人員に行い、必要なすべての同意、承認、許可および/または合意を取得していることを保証します。
2. 再委託先に関する誓約
2.1 両当事者は、TaxDomeが利用規約の義務に関連して第三者である再委託先を起用する場合があることを確認します。TaxDomeが起用する再委託先について、当社は、本補遺の規定と同等以上の保護を提供し、かつGDPRが求める水準で顧客の個人データを保護するために必要なデータ保護義務を含む、書面による契約を締結します。
2.2 TaxDomeは、最新の再委託先の一覧を、https://www.taxdome.com/policies/sub-processors/にオンラインで掲載することにより、顧客に提供します。
2.3 疑義を避けるために付言すると、再委託先の起用に関する上記の承認は、標準契約条項の第9条の適用上、TaxDomeによる再委託に対する顧客の事前の書面による同意を構成します。
3. 顧客の誓約およびTaxDomeの支援
3.1 顧客は、TaxDomeサービスの提供に関連した処理のためにTaxDomeに個人データを提供するために必要なすべての権利を有することを保証します。
3.2 適用法令で求められる範囲で、顧客は、この処理に必要となり得るデータ主体の同意が取得されていることを確保し、当該同意の記録(第三者から取得した個人データの利用に関する同意を含みます)が維持されることを確保する責任を負います。データ主体が当該同意を撤回した場合、顧客は、その撤回の事実をTaxDomeに伝達する責任を負い、TaxDomeは、当該個人データのさらなる処理に関する顧客の指示、またはTaxDomeの法的義務に従った対応を実施する責任を負い続けます。
3.3 顧客は、管理者として、(顧客とTaxDomeとの間では)以下について責任を負うことを理解します。
3.3.1 処理の適法性を判断し、必要なデータ保護影響評価を実施し、必要に応じて規制当局および個人に対して説明責任を果たすこと。
3.3.2 16歳未満のデータ主体についてデータが収集される場合に、保護者の同意を確認する合理的な努力を行うこと。
3.3.3 お客様の法域で求められ得る関連するプライバシー通知(権利に関する通知を含みます)をデータ主体に提供し、個人がその権利を行使するための仕組みを提供すること。
3.3.4 個人からの、そのデータおよびその処理に関する請求(個人データの変更、訂正または消去の請求を含みます)に対応し、実際に処理されたデータの写しを提供すること。
3.3.5 本DPAに従った処理を確保し、実証するために、お客様自身の適切な技術上および組織上の措置を実施すること。
3.3.6 お客様の法域の法律で求められ得るインシデントについて、個人および関連する規制当局または当局に通知すること。
3.4 TaxDomeは、合理的かつ商業的に可能な範囲で、適切な技術上および組織上の措置を実施することにより、GDPRに基づく権利を行使する個人の請求に対応する顧客の義務の履行を支援します。
3.5 TaxDomeは、合理的かつ商業的に可能な範囲で、適切な技術上および組織上の措置を実施することにより、GDPR第32条から第36条まで(これらを含みます)の遵守の確保を支援します。
3.6 TaxDomeは、本DPAに基づく義務の遵守を実証するため、年次で、独立した第三者によるコードベースおよびシステムの独立監査を受けます。顧客の要請があった場合、機密保持義務に従うことを条件として、TaxDomeは、本DPAに基づくTaxDomeの義務の遵守を実証するために合理的に必要な情報を顧客に提供します。少なくとも、書面による要請があった場合、TaxDomeは、セキュリティポリシーに記載されたTaxDomeの技術的セキュリティ対策の十分性に関する第三者監査報告書のエグゼクティブサマリーを顧客に提供します。
4. インシデント管理
4.1 いずれかの当事者が、個人データの処理に影響を与えるインシデントを認識した場合、当該当事者は、速やかに相手方にそのインシデントについて通知し、相手方がインシデントの徹底的な調査を行い、正しい対応を策定し、インシデントに関して適切なさらなる措置を講じることができるよう、合理的に協力するものとします。
4.2 両当事者は、インシデントについて相手方に速やかに対応することを可能にする書面による手順を常に整備しておくものとします。インシデントが、適用法令に基づくデータ侵害通知を必要とする可能性が合理的に高い場合、当該インシデントの責任を負う当事者は、そのインシデントを認識した後、不当に遅滞することなく相手方に通知するものとします。
4.3 本条に基づく通知は、TaxDome宛の場合は [email protected] に、お客様宛の場合は当社がお客様との連絡窓口として指定する担当者に対して行うものとし、以下の内容を含めるものとします。(i) インシデントの性質に関する説明(可能な場合には、影響を受けた個人の区分および概算人数、ならびに影響を受けた記録の区分および概算件数を含みます)(ii) 詳細な情報を入手できる窓口の名称および連絡先、(iii) インシデントの起こり得る結果の説明、ならびに (iv) インシデントに対処するために講じられた、または講じることが提案されている措置の説明(適切な場合、起こり得る悪影響を軽減するための措置を含みます)
5. 責任および補償
5.1 本DPAに基づく、またはこれに関連する各当事者の相手方に対する責任は、利用規約の規定に従って制限されます。
5.2 顧客は、TaxDomeが、サービスの履行において顧客に代わって顧客の個人データを処理する権限の範囲について、顧客の指示に依拠していることを確認します。したがって、TaxDomeは、TaxDomeの作為または不作為が顧客の指示、または適用されるデータ保護法に基づく顧客の義務の不遵守に起因する範囲において、データ主体が提起する請求について利用規約に基づく責任を負いません。
6. 期間および終了
6.1 本DPAは、2022年1月1日に発効し、利用規約に従って変更または終了されるまで継続します。
6.2 本DPAの終了または満了によっても、両当事者は本DPAに定める機密保持義務を免れません。
7. 国際データ移転
7.1 データセンターの所在地。顧客は、TaxDomeが、TaxDome、その関連会社またはその再委託先がデータ処理業務を行う米国および世界のその他の場所に個人データを移転し、そこで処理する場合があることを確認します。TaxDomeは、かかる移転がデータ保護法の要件に準拠して行われることを常に確保するものとします。
7.2 欧州データの移転。TaxDomeがEUデータ保護法により保護される個人データ(「EUデータ」)の受領者である範囲において、両当事者は、TaxDomeが以下に挙げる仕組みを提供することに合意します。
7.2.1 SCC:TaxDomeは、SCCを遵守し、SCCに準拠してEUデータを処理することに同意します。SCCは、参照によりその全体が本DPAに組み込まれ、本DPAの不可分の一部を構成します。SCCの適用上:
7.2.1.1 TaxDomeは、SCCにおいて自らが「データ輸入者」であり、顧客が「データ輸出者」であることに同意します(顧客自身がEU域外に所在する事業体である場合であっても同様です)。
7.2.1.2 附属書Bには、SCCおよび関連する付録が含まれます。両当事者はさらに、SCCが、本サービスを通じて欧州から欧州域外へ、直接または転送を介して、(a) 欧州委員会により個人データの十分な保護水準を提供すると認められていない(EUデータ保護法に記載のとおり)国または受領者に移転される個人データに適用されることに合意します。
7.2.2 標準契約条項(適用される場合)が本DPAのいずれかの規定と矛盾する場合、その矛盾の範囲において標準契約条項が優先するものとします。
法域固有の条件
1. TaxDomeが、附属書Aに列挙された法域のいずれかにおけるデータ保護法に由来し、これにより保護される個人データを処理する範囲において、適用される法域に関して附属書Aに定める条件(「法域固有条件」)が、本DPAの条件に加えて適用されます。法域固有条件と本DPAのその他の条件との間に矛盾または曖昧さがある場合、適用される法域固有条件が優先しますが、法域固有条件がTaxDomeに適用される範囲に限られます。
附属書A – 法域固有の条件
ブラジル
1. ブラジルの一般データ保護法(Lei Geral de Proteção de Dados、「LGPD」)の発効をもって、以下が適用されます。各当事者は、LGPDに定めるそれぞれの義務を履行する責任を負い、顧客は、TaxDomeがLGPD上の義務を履行できるようにする、本DPA第1条(個人データに関する誓約)に定める処理の指示のみを行うものとします。第7条(国際データ移転)の適用上、GDPR上の十分性認定のない国への移転には、標準契約条項が使用されます。
カリフォルニア州
1. 定義について:「管理者」には「事業者(Business)」を含み、「処理者」には「サービスプロバイダー(Service Provider)」を含み、「データ主体」には「消費者(Consumer)」を含み、「個人データ」には「個人情報(Personal Information)」を含みます。いずれもCCPAの定義によります。
2. 「処理する」「処理された」または「処理」とは、自動的手段によるか否かを問わず、個人情報または個人情報の集合に対して行われるあらゆる操作または一連の操作を意味します。
3. 本DPAの第3条(d)および(e)(データ主体の権利および協力)に記載されたデータ主体の請求に関するTaxDomeの義務は、CCPAに基づく消費者の権利に適用されます。
4. 反対の定めにかかわらず、顧客個人情報とは、TaxDomeが本契約に基づき顧客に代わって処理する個人情報をいいます。TaxDomeは、本契約に基づく義務を履行する目的に限り顧客個人情報を処理することができ、顧客の明示的な書面による同意なしに、顧客個人情報をその他の目的で使用してはなりません。特に、TaxDomeは、(i) CCPAに定義される顧客個人情報の販売、または顧客の許可なく第三者と顧客個人情報を共有すること、(ii) 本契約に定める目的以外の目的での顧客個人情報の保持、使用または開示(顧客へのサービス提供以外の商業目的での保持、使用または開示を含みます)、および (iii) TaxDomeと顧客との事業関係の範囲外での顧客個人情報の保持、使用または開示を行いません。両当事者は、本契約に基づく顧客個人情報の開示が、本契約上のいかなる対価も構成しないことを確認します。
5. TaxDomeは、本契約に基づく義務の履行において、CCPAのすべての適用要件を遵守します。これには、無断のアクセス、破壊、使用、改変または開示から顧客個人情報を保護するため、個人情報の性質に応じた合理的なセキュリティ対策の実施および維持が含まれます。TaxDomeは、法律上、規制上および契約上の義務に違反して行われた処理により人が被る損害について、その損害について責任を負わないことをTaxDomeが証明する場合を除き、回復することを約束します。
6. TaxDomeは、本DPAおよび本契約に定めるサービスの履行の一環として、個人データを非識別化または集計することができます。
7. 再委託先が当社の顧客の個人データを処理する場合、TaxDomeは、当該再委託先が、本DPAと実質的に同様の条件を含む書面による契約をTaxDomeと締結したCCPA上のサービスプロバイダーであること、またはCCPAの「販売」の定義からその他の形で除外されていることを確保するための措置を講じます。TaxDomeは、再委託先について適切なデューデリジェンスを実施します。
カナダ
1. TaxDomeは、本DPA第2条に記載されたTaxDomeの再委託先が、本DPAと実質的に同様の条件を含む書面による契約をTaxDomeと締結したPIPEDA上の第三者であることを確保するための措置を講じます。TaxDomeは、再委託先について適切なデューデリジェンスを実施します。
2. TaxDomeは、本DPA第1条に定めるとおり、個人情報の性質に応じた合理的なセキュリティ対策を実施し、維持します。
セルビア
1. 個人データ保護法(Zakon o zaštiti podataka o ličnosti、セルビア共和国官報第87/2018号)。
英国
1. 2019年データ保護・プライバシーおよび電子通信(改正等)(EU離脱)規則(改正、置換または承継されたものを含み、発効後のもの)および英国2018年データ保護法。
附属書B — 標準契約条項(処理者)
第1節
第1条
目的および適用範囲
1. この標準契約条項の目的は、第三国への個人データの移転について、個人データの処理に係る自然人の保護および当該データの自由な移動に関する2016年4月27日の欧州議会および理事会の規則(EU)2016/679(一般データ保護規則)の要件の遵守を確保することにあります。
2. 両当事者:
a. 附属書I.Aに列挙された、個人データを移転する自然人もしくは法人、公的機関、行政機関またはその他の組織(以下「主体」といいます)(以下それぞれ「データ輸出者」といいます)、および
b. 附属書I.Aに列挙された、データ輸出者から直接、または本条項の当事者でもある別の主体を介して間接的に、第三国で個人データを受領する主体(以下それぞれ「データ輸入者」といいます)
3. は、この標準契約条項(以下「本条項」といいます)に合意しました。
4. 本条項は、附属書I.Bに定める個人データの移転に関して適用されます。
5. 本条項で言及される附属書を含む本条項の付録は、本条項の不可分の一部を構成します。
第2条
本条項の効力および不変性
1. 本条項は、規則(EU)2016/679第46条第1項および第46条第2項(c)に基づく適切な保護措置(執行可能なデータ主体の権利および実効的な法的救済を含みます)を定め、また、管理者から処理者へのデータ移転および/または処理者から処理者へのデータ移転に関しては、規則(EU)2016/679第28条第7項に基づく標準契約条項を定めるものです。ただし、適切なモジュールの選択、または付録における情報の追加もしくは更新を除き、本条項が修正されないことを条件とします。これは、両当事者が、本条項に定める標準契約条項をより広範な契約に含めること、および/または他の条項もしくは追加の保護措置を追加することを妨げるものではありません。ただし、それらが直接または間接に本条項と矛盾せず、データ主体の基本的な権利または自由を害さないことを条件とします。
2. 本条項は、規則(EU)2016/679によりデータ輸出者が負う義務に影響を与えません。
第3条
第三者受益者
1. データ主体は、以下の例外を除き、第三者受益者として、データ輸出者および/またはデータ輸入者に対して本条項を援用し、執行することができます。
a. 第1条、第2条、第3条、第6条、第7条
b. 第8.1条(b)、第8.9条(a)、(c)、(d)および(e)
c. 第9条(a)、(c)、(d)および(e)
d. 第12条(a)、(d)および(f)
e. 第13条
f. 第15.1条(c)、(d)および(e)
g. 第16条(e)
h. 第18条(a)および(b)
2. (a)項は、規則(EU)2016/679に基づくデータ主体の権利に影響を与えません。
第4条
解釈
1. 本条項において規則(EU)2016/679で定義された用語が使用される場合、当該用語は同規則におけるものと同一の意味を有するものとします。
2. 本条項は、規則(EU)2016/679の規定に照らして読まれ、解釈されるものとします。
3. 本条項は、規則(EU)2016/679に定める権利および義務と矛盾する方法で解釈されてはなりません。
第5条
優先関係
本条項と、本条項の合意時に存在し、またはその後に締結された両当事者間の関連契約の規定との間に矛盾がある場合、本条項が優先するものとします。
第6条
移転の説明
移転の詳細、特に移転される個人データのカテゴリーおよび移転の目的は、附属書I.Bに定めます。
第7条 – 任意
ドッキング条項
1. 本条項の当事者ではない主体は、両当事者の合意を得て、付録に記入し、附属書I.Aに署名することにより、データ輸出者またはデータ輸入者として、いつでも本条項に加入することができます。
2. 付録に記入し、附属書I.Aに署名した時点で、加入主体は本条項の当事者となり、附属書I.Aにおける指定に従い、データ輸出者またはデータ輸入者としての権利および義務を有します。
3. 加入主体は、当事者となる前の期間について、本条項から生じる権利または義務を有しません。
第2節 – 両当事者の義務
第8条
データ保護のための保護措置
データ輸出者は、データ輸入者が、適切な技術上および組織上の措置の実施を通じて、本条項に基づく義務を履行できることを判断するために合理的な努力を行ったことを保証します。
8.1 指示
1. データ輸入者は、データ輸出者からの文書化された指示に基づいてのみ個人データを処理するものとします。データ輸出者は、契約期間を通じて、かかる指示を与えることができます。
2. データ輸入者は、当該指示に従うことができない場合、直ちにデータ輸出者に通知するものとします。
8.2 目的の限定
データ輸入者は、データ輸出者からのさらなる指示がある場合を除き、附属書I.Bに定める移転の特定の目的のためにのみ個人データを処理するものとします。
8.3 透明性
要請に応じて、データ輸出者は、両当事者が記入した付録を含む本条項の写しを、データ主体に無償で提供するものとします。営業秘密その他の秘密情報(附属書IIに記載された措置および個人データを含みます)の保護に必要な範囲で、データ輸出者は、写しを共有する前に本条項の付録の文章の一部を黒塗りすることができますが、データ主体がその内容を理解できない、または権利を行使できない場合には、有意義な要約を提供するものとします。要請に応じて、両当事者は、黒塗りされた情報を明らかにすることなく可能な範囲で、黒塗りの理由をデータ主体に提供するものとします。本条は、規則(EU)2016/679第13条および第14条に基づくデータ輸出者の義務に影響を与えません。
8.4 正確性
データ輸入者は、受領した個人データが不正確であること、または最新でなくなったことを認識した場合、不当に遅滞することなくデータ輸出者に通知するものとします。この場合、データ輸入者は、当該データの消去または訂正についてデータ輸出者と協力するものとします。
8.5 処理の期間ならびにデータの消去または返却
データ輸入者による処理は、附属書I.Bに定める期間に限り行われるものとします。処理サービスの提供の終了後、データ輸入者は、データ輸出者の選択に従い、データ輸出者に代わって処理されたすべての個人データを削除してその旨をデータ輸出者に証明するか、またはデータ輸出者に代わって処理されたすべての個人データをデータ輸出者に返却し、既存の写しを削除するものとします。データが削除または返却されるまで、データ輸入者は、本条項の遵守を引き続き確保するものとします。データ輸入者に適用される現地法が個人データの返却または削除を禁止している場合、データ輸入者は、本条項の遵守を引き続き確保し、当該現地法で求められる範囲および期間に限り処理することを保証します。これは第14条、特にデータ輸入者が第14条(e)に基づき、第14条(a)の要件に沿わない法律または慣行の対象である、または対象となったと信じる理由がある場合に、契約期間を通じてデータ輸出者に通知する義務に影響を与えません。
8.6 処理のセキュリティ
1. データ輸入者、および送信中はデータ輸出者も、データのセキュリティを確保するための適切な技術上および組織上の措置を実施するものとします。これには、偶発的もしくは違法な破壊、損失、改ざん、無断の開示またはアクセスにつながるセキュリティ侵害(以下「個人データ侵害」といいます)からの保護が含まれます。適切なセキュリティ水準を評価するにあたり、両当事者は、技術水準、実施費用、処理の性質・範囲・文脈・目的、およびデータ主体にとっての処理に伴うリスクを十分に考慮するものとします。両当事者は、処理の目的がその方法で達成できる場合には、特に、送信中を含む暗号化または仮名化の利用を検討するものとします。仮名化の場合、個人データを特定のデータ主体に帰属させるための追加情報は、可能な限り、データ輸出者の排他的管理下に置かれるものとします。本項に基づく義務の遵守において、データ輸入者は、少なくとも附属書IIに定める技術上および組織上の措置を実施するものとします。データ輸入者は、これらの措置が引き続き適切なセキュリティ水準を提供していることを確認するため、定期的な点検を実施するものとします。
2. データ輸入者は、契約の実施、管理および監視に厳密に必要な範囲に限り、その人員に個人データへのアクセスを許可するものとします。データ輸入者は、個人データの処理を許可された者が機密保持を約束しているか、または適切な法律上の機密保持義務を負っていることを確保するものとします。
3. 本条項に基づきデータ輸入者が処理する個人データに関する個人データ侵害が発生した場合、データ輸入者は、その侵害に対処するための適切な措置(悪影響を軽減するための措置を含みます)を講じるものとします。データ輸入者はまた、侵害を認識した後、不当に遅滞することなくデータ輸出者に通知するものとします。かかる通知には、詳細な情報を入手できる窓口の詳細、侵害の性質の説明(可能な場合、関係するデータ主体および個人データ記録のカテゴリーとおおよその数を含みます)、起こり得る結果、ならびに侵害に対処するために講じられた、または講じることが提案されている措置(適切な場合、起こり得る悪影響を軽減するための措置を含みます)を含めるものとします。すべての情報を同時に提供することができない場合、当初の通知にはその時点で入手可能な情報を含め、その後、追加情報が入手可能になり次第、不当に遅滞することなく提供するものとします。
4. データ輸入者は、処理の性質およびデータ輸入者が入手可能な情報を考慮し、データ輸出者が規則(EU)2016/679に基づく義務(特に所管監督当局および影響を受けるデータ主体への通知義務)を遵守できるよう、データ輸出者と協力し、これを支援するものとします。
8.7 センシティブデータ
移転に、人種的もしくは民族的出自、政治的意見、宗教的もしくは哲学的信条、労働組合への加入を明らかにする個人データ、遺伝データ、自然人を一意に識別する目的のバイオメトリックデータ、健康に関するデータ、性生活もしくは性的指向に関するデータ、または刑事上の有罪判決および犯罪に関するデータ(以下「センシティブデータ」といいます)が含まれる場合、データ輸入者は、附属書I.Bに記載された特定の制限および/または追加の保護措置を適用するものとします。
8.8 転送
データ輸入者は、データ輸出者からの文書化された指示に基づく場合にのみ、個人データを第三者に開示するものとします。さらに、EU域外(データ輸入者と同一の国または別の第三国。以下「転送」といいます)に所在する第三者へのデータの開示は、当該第三者が適切なモジュールの下で本条項に拘束されているか、拘束されることに同意する場合、または以下の場合にのみ行うことができます。
1. 転送が、当該転送を対象とする規則(EU)2016/679第45条に基づく十分性認定を受けている国への転送である場合
2. 第三者が、当該処理に関して、規則(EU)2016/679第46条または第47条に基づく適切な保護措置をその他の方法で確保している場合
3. 転送が、特定の行政上、規制上または司法上の手続きにおける法的請求の確立、行使または防御のために必要である場合、または
4. 転送が、データ主体または他の自然人の生命に関わる利益を保護するために必要である場合
いかなる転送も、データ輸入者が本条項に基づくその他すべての保護措置(特に目的の限定)を遵守することを条件とします。
8.9 文書化および遵守
1. データ輸入者は、本条項に基づく処理に関するデータ輸出者からの照会に、速やかにかつ適切に対応するものとします。
2. 両当事者は、本条項の遵守を実証できるものとします。特に、データ輸入者は、データ輸出者に代わって行われる処理活動に関する適切な文書を保管するものとします。
3. データ輸入者は、本条項に定める義務の遵守を実証するために必要なすべての情報をデータ輸出者に提供し、データ輸出者の要請に応じて、合理的な間隔で、または不遵守の兆候がある場合に、本条項の対象となる処理活動の監査を許可し、これに協力するものとします。レビューまたは監査の決定にあたり、データ輸出者は、データ輸入者が保有する関連認証を考慮することができます。
4. データ輸出者は、自ら監査を実施するか、独立した監査人に委任するかを選択できます。監査には、データ輸入者の敷地または物理的施設での査察を含めることができ、適切な場合には、合理的な予告のうえで実施されるものとします。
5. 両当事者は、要請に応じて、(b)項および(c)項で言及された情報(監査の結果を含みます)を所管監督当局に提供するものとします。
第9条
再委託先の利用
1. 一般的書面承認。データ輸入者は、合意されたリストからの再委託先の起用について、データ輸出者の一般的承認を得ています。データ輸入者は、再委託先の追加または交代によるリストの変更予定について、少なくとも10日前までに書面でデータ輸出者に具体的に通知し、これにより、再委託先の起用前にデータ輸出者が当該変更に異議を述べるのに十分な時間を与えるものとします。データ輸入者は、データ輸出者が異議を述べる権利を行使できるようにするために必要な情報をデータ輸出者に提供するものとします。
2. データ輸入者が、(データ輸出者に代わって)特定の処理活動を行うために再委託先を起用する場合、書面による契約によって行うものとし、当該契約は、実質的に、本条項に基づきデータ輸入者を拘束するものと同一のデータ保護義務(データ主体のための第三者受益者の権利の点を含みます)を定めるものとします。両当事者は、データ輸入者が本条を遵守することにより、第8.8条に基づく義務を履行することに合意します。データ輸入者は、再委託先が、本条項に基づきデータ輸入者が負う義務を遵守することを確保するものとします。
3. データ輸入者は、データ輸出者の要請に応じて、当該再委託契約およびその後の修正の写しをデータ輸出者に提供するものとします。営業秘密その他の秘密情報(個人データを含みます)の保護に必要な範囲で、データ輸入者は、写しを共有する前に契約の文章を黒塗りすることができます。
4. データ輸入者は、データ輸入者との契約に基づく再委託先の義務の履行について、データ輸出者に対して全面的に責任を負い続けます。データ輸入者は、再委託先が当該契約に基づく義務を履行しない場合、データ輸出者に通知するものとします。
5. データ輸入者は、再委託先との間で、データ輸入者が事実上消滅し、法律上存在しなくなり、または支払不能となった場合に、データ輸出者が再委託契約を解除し、再委託先に個人データの消去または返却を指示する権利を有する旨の第三者受益者条項に合意するものとします。
第10条
データ主体の権利
1. データ輸入者は、データ主体から受領した請求について、速やかにデータ輸出者に通知するものとします。データ輸入者は、データ輸出者から承認されている場合を除き、自らその請求に対応してはなりません。
2. データ輸入者は、規則(EU)2016/679に基づくデータ主体の権利行使の請求に対応するデータ輸出者の義務の履行を支援するものとします。この点に関して、両当事者は、処理の性質を考慮し、支援が提供される適切な技術上および組織上の措置、ならびに必要な支援の範囲および程度を附属書IIに定めるものとします。
3. (a)項および(b)項に基づく義務の履行において、データ輸入者は、データ輸出者からの指示に従うものとします。
第11条
救済
1. データ輸入者は、苦情を取り扱う権限を有する窓口について、個別の通知またはウェブサイト上で、透明かつ容易にアクセスできる形式でデータ主体に知らせるものとします。データ輸入者は、データ主体から受領した苦情に速やかに対応するものとします。
2. 本条項の遵守に関してデータ主体と一方の当事者との間で紛争が生じた場合、当該当事者は、適時に友好的に問題を解決するよう最善の努力を尽くすものとします。両当事者は、かかる紛争について相互に情報を提供し、適切な場合には、その解決に協力するものとします。
a. 常居所地または勤務地の加盟国の監督当局、または第13条に基づく所管監督当局に苦情を申し立てること
b. 第18条の意味における管轄裁判所に紛争を付託すること
3. データ主体が第3条に基づく第三者受益者の権利を援用する場合、データ輸入者は、以下に関するデータ主体の決定を受け入れるものとします。
4. 両当事者は、データ主体が、規則(EU)2016/679第80条第1項に定める条件の下で、非営利の団体、組織または協会により代理されることができることを受け入れます。
5. データ輸入者は、適用されるEU法または加盟国法の下で拘束力を有する決定に従うものとします。
6. データ輸入者は、データ主体が行った選択が、適用法令に従って救済を求めるデータ主体の実体的および手続的権利を害さないことに同意します。
第12条
責任
1. 各当事者は、本条項の違反により相手方当事者に生じた損害について、相手方当事者に対して責任を負います。
2. データ輸入者は、データ輸入者またはその再委託先が本条項に基づく第三者受益者の権利を侵害することによりデータ主体に生じた財産的または非財産的損害について、データ主体に対して責任を負い、データ主体は賠償を受ける権利を有します。
3. (b)項にかかわらず、データ輸出者は、データ輸出者またはデータ輸入者(もしくはその再委託先)が本条項に基づく第三者受益者の権利を侵害することによりデータ主体に生じた財産的または非財産的損害について、データ主体に対して責任を負い、データ主体は賠償を受ける権利を有します。これは、データ輸出者の責任、およびデータ輸出者が管理者に代わって行動する処理者である場合には、規則(EU)2016/679または規則(EU)2018/1725(該当する場合)に基づく管理者の責任に影響を与えません。
4. 両当事者は、データ輸入者(またはその再委託先)が引き起こした損害について(c)項に基づきデータ輸出者が責任を負った場合、データ輸出者が、損害に対するデータ輸入者の責任に相当する賠償部分をデータ輸入者に求償する権利を有することに合意します。
5. 本条項の違反の結果としてデータ主体に生じた損害について複数の当事者が責任を負う場合、責任を負うすべての当事者は連帯して責任を負い、データ主体は、これらのいずれの当事者に対しても裁判所に訴えを提起する権利を有します。
6. 両当事者は、一方の当事者が(e)項に基づき責任を負った場合、当該当事者が、損害に対する他方当事者の責任に相当する賠償部分を他方当事者に求償する権利を有することに合意します。
7. データ輸入者は、自らの責任を回避するために再委託先の行為を援用することはできません。
第13条
監督
1. データ輸出者がEU加盟国に設立されている場合:附属書I.Cに示された、データ移転に関する規則(EU)2016/679のデータ輸出者による遵守を確保する責任を負う監督当局が、所管監督当局として行動するものとします。
規則(EU)2016/679第27条第1項の意味における代理人が設立されている加盟国の監督当局が、附属書I.Cに示されたとおり、所管監督当局として行動するものとします。本条項に基づき個人データが移転されるデータ主体(商品もしくはサービスの提供を受け、またはその行動が監視される者)が所在する加盟国のいずれかの監督当局が、附属書I.Cに示されたとおり、所管監督当局として行動するものとします。
2. データ輸入者は、本条項の遵守を確保することを目的とするあらゆる手続きにおいて、所管監督当局の管轄に服し、これに協力することに同意します。特に、データ輸入者は、照会への回答、監査への協力、ならびに監督当局が採択した措置(是正措置および賠償措置を含みます)の遵守に同意します。データ輸入者は、必要な措置が講じられたことの書面による確認を監督当局に提供するものとします。
第3節 – 現地法および公的機関によるアクセスの場合の義務
第14条
本条項の遵守に影響を与える現地の法律および慣行
1. 両当事者は、データ輸入者による個人データの処理に適用される仕向第三国の法律および慣行(個人データの開示要求または公的機関によるアクセスを認める措置を含みます)が、データ輸入者による本条項に基づく義務の履行を妨げると信じる理由がないことを保証します。これは、基本的な権利および自由の本質を尊重し、規則(EU)2016/679第23条第1項に列挙された目的のいずれかを保護するために民主的社会において必要かつ比例的な範囲を超えない法律および慣行は、本条項と矛盾しないという理解に基づくものです。
2. 両当事者は、(a)項の保証を行うにあたり、特に以下の要素を十分に考慮したことを表明します。
a. 移転の具体的状況(処理チェーンの長さ、関与する主体の数、使用される送信経路、予定される転送、受領者の類型、処理の目的、移転される個人データのカテゴリーおよび形式、移転が行われる経済部門、移転されるデータの保存場所を含みます)
b. 移転の具体的状況に照らして関連する、仕向第三国の法律および慣行(公的機関へのデータ開示を求め、または公的機関によるアクセスを認めるものを含みます)、ならびに適用される制限および保護措置
c. 本条項に基づく保護措置を補完するために講じられた、関連する契約上、技術上または組織上の保護措置(送信中および仕向国における個人データの処理に適用される措置を含みます)
3. データ輸入者は、(b)項に基づく評価の実施にあたり、関連情報をデータ輸出者に提供するために最善の努力を尽くしたことを保証し、本条項の遵守の確保においてデータ輸出者と引き続き協力することに同意します。
4. 両当事者は、(b)項に基づく評価を文書化し、要請に応じて所管監督当局に提供することに合意します。
5. データ輸入者は、本条項への合意後、契約期間中に、(a)項の要件に沿わない法律または慣行の対象である、または対象となったと信じる理由がある場合(第三国の法律の変更、または(a)項の要件に沿わない当該法律の実際の適用を示す措置(開示要求など)を含みます)、速やかにデータ輸出者に通知することに同意します。
6. (e)項に基づく通知の後、またはデータ輸入者が本条項に基づく義務をもはや履行できないと信じる理由がデータ輸出者にその他ある場合、データ輸出者は、その状況に対処するためにデータ輸出者および/またはデータ輸入者が採用すべき適切な措置(セキュリティおよび機密性を確保するための技術上または組織上の措置など)を速やかに特定するものとします。データ輸出者は、当該移転について適切な保護措置を確保できないと判断した場合、または所管監督当局からの指示があった場合、データ移転を停止するものとします。この場合、データ輸出者は、本条項に基づく個人データの処理に関する限り、契約を解除する権利を有します。契約に3以上の当事者が関与する場合、データ輸出者は、両当事者が別段の合意をしない限り、関係する当事者に対してのみこの解除権を行使できます。本条に基づき契約が解除される場合、第16条(d)および(e)が適用されます。
第15条
公的機関によるアクセスの場合のデータ輸入者の義務
15.1 通知
1. データ輸入者は、以下の場合、データ輸出者および、可能な場合にはデータ主体に対して(必要に応じてデータ輸出者の協力を得て)速やかに通知することに同意します。
a. 本条項に基づき移転された個人データの開示について、仕向国の法律に基づく公的機関(司法機関を含みます)からの法的拘束力のある要求を受領した場合。かかる通知には、要求された個人データ、要求機関、要求の法的根拠および提供された回答に関する情報を含めるものとします。または、
b. 仕向国の法律に従い、本条項に基づき移転された個人データへの公的機関による直接アクセスを認識した場合。かかる通知には、輸入者が入手可能なすべての情報を含めるものとします。
2. 仕向国の法律によりデータ輸出者および/またはデータ主体への通知が禁止されている場合、データ輸入者は、できる限り多くの情報をできる限り早く伝達することを目指して、禁止の解除を得るために最善の努力を尽くすことに同意します。データ輸入者は、データ輸出者の要請に応じて実証できるよう、その最善の努力を文書化することに同意します。
3. 仕向国の法律で認められる場合、データ輸入者は、契約期間中、定期的に、受領した要求に関するできる限り多くの関連情報(特に、要求の数、要求されたデータの種類、要求機関、要求への異議の有無およびその結果等)をデータ輸出者に提供することに同意します。
4. データ輸入者は、(a)項から(c)項までの情報を契約期間中保存し、要請に応じて所管監督当局に提供することに同意します。
5. (a)項から(c)項までは、本条項を遵守できない場合に速やかにデータ輸出者に通知するという第14条(e)および第16条に基づくデータ輸入者の義務に影響を与えません。
15.2 適法性の審査およびデータの最小化
1. データ輸入者は、開示要求の適法性(特に、要求が要求公的機関に付与された権限の範囲内にとどまっているか)を審査し、慎重な評価の結果、仕向国の法律、国際法上の適用義務および国際礼譲の原則の下で要求が違法であると考える合理的な根拠があると結論付けた場合には、その要求に異議を申し立てることに同意します。データ輸入者は、同じ条件の下で、不服申立ての可能性を追求するものとします。要求に異議を申し立てる場合、データ輸入者は、管轄司法機関が本案について決定するまで要求の効果を停止することを目的として、暫定措置を求めるものとします。データ輸入者は、適用される手続規則に基づき開示が義務付けられるまで、要求された個人データを開示してはなりません。これらの要件は、第14条(e)に基づくデータ輸入者の義務に影響を与えません。
2. データ輸入者は、その法的評価および開示要求への異議を文書化し、仕向国の法律で認められる範囲で、その文書をデータ輸出者に提供することに同意します。また、要請に応じて所管監督当局にも提供するものとします。
3. データ輸入者は、開示要求への対応にあたり、要求の合理的な解釈に基づき、許容される最小限の情報を提供することに同意します。
第4節 – 最終条項
第16条
本条項の不遵守および解除
1. データ輸入者は、理由のいかんを問わず、本条項を遵守できない場合、速やかにデータ輸出者に通知するものとします。
2. データ輸入者が本条項に違反し、または本条項を遵守できない場合、データ輸出者は、遵守が再び確保されるか契約が解除されるまで、データ輸入者への個人データの移転を停止するものとします。これは第14条(f)に影響を与えません。
3. データ輸出者は、以下の場合、本条項に基づく個人データの処理に関する限り、契約を解除する権利を有します。
a. データ輸出者が(b)項に基づきデータ輸入者への個人データの移転を停止し、本条項の遵守が合理的な期間内(いかなる場合も停止から1か月以内)に回復されない場合
b. データ輸入者が本条項に実質的または継続的に違反している場合、または
c. データ輸入者が、本条項に基づく義務に関する管轄裁判所または監督当局の拘束力のある決定に従わない場合
4. これらの場合、データ輸出者は、当該不遵守を所管監督当局に通知するものとします。契約に3以上の当事者が関与する場合、データ輸出者は、両当事者が別段の合意をしない限り、関係する当事者に対してのみこの解除権を行使できます。
5. (c)項に基づく契約の解除前に移転された個人データは、データ輸出者の選択に従い、直ちにデータ輸出者に返却されるか、その全部が削除されるものとします。データの写しについても同様とします。データ輸入者は、データの削除をデータ輸出者に証明するものとします。データが削除または返却されるまで、データ輸入者は本条項の遵守を引き続き確保するものとします。データ輸入者に適用される現地法が、移転された個人データの返却または削除を禁止している場合、データ輸入者は、本条項の遵守を引き続き確保し、当該現地法で求められる範囲および期間に限りデータを処理することを保証します。
6. いずれの当事者も、(i) 欧州委員会が、本条項が適用される個人データの移転を対象とする規則(EU)2016/679第45条第3項に基づく決定を採択した場合、または (ii) 規則(EU)2016/679が、個人データの移転先の国の法的枠組みの一部となった場合、本条項に拘束されることへの同意を撤回することができます。これは、規則(EU)2016/679に基づき当該処理に適用されるその他の義務に影響を与えません。
第17条
準拠法
本条項は、第三者受益者の権利を認めるEU加盟国の法律に準拠するものとします。両当事者は、これをアイルランドの法律とすることに合意します。
第18条
法廷地および管轄の選択
1. 本条項から生じる紛争は、EU加盟国の裁判所により解決されるものとします。
2. 両当事者は、これをアイルランドの裁判所とすることに合意します。
3. データ主体は、常居所を有する加盟国の裁判所においても、データ輸出者および/またはデータ輸入者に対して法的手続きを提起することができます。
4. 両当事者は、当該裁判所の管轄に服することに合意します。
付録
附属書I
A. 当事者の一覧
| データ輸出者(顧客) | データ輸入者(TaxDome) | |
| 会社名 | TaxDome, LLC | |
| 住所 | 1501 S Greeley HWY #30 Cheyenne, WY 82007 | |
| 担当者の氏名、役職および連絡先 | Victor Radzinsky, CEO | |
| 署名および日付: |  | |
| 役割: | 管理者 | 処理者 |
本条項に基づき移転されるデータに関連する活動:附属書I.Bを参照
B. 移転の説明
移転される個人データのデータ主体のカテゴリー
個人データは、当社の顧客のエンドユーザーに関するものです。
移転される個人データのカテゴリー
TaxDomeプラットフォームは、幅広い業種にわたる広範な顧客およびエンドユーザーを対象としています。TaxDomeは、顧客のエンドユーザーが当社のツールを通じて提出する内容を管理または制限しません。このこと、製品の性質、および処理者としてのTaxDomeの役割を考慮すると、取り込まれ処理されるデータカテゴリーの完全な一覧を作成することは不可能です。TaxDomeが処理するデータには、氏名、年齢、性別、ジェンダー、家族状況、住所、学歴、ライフスタイルおよび習慣、IPアドレスおよび位置データ、顧客満足度、職業、就業状況、利用データ、ならびに画像記録(デジタル写真または動画)が含まれ得ますが、これらに限られません。
移転されるセンシティブデータ(該当する場合)、ならびにデータの性質および関連するリスクを十分に考慮した、適用される制限または保護措置(例えば、厳格な目的の限定、アクセス制限(専門研修を受けた職員に限定したアクセスを含む)、データへのアクセス記録の保持、転送の制限、追加のセキュリティ措置など)
TaxDomeが処理するデータには、特別なカテゴリーのデータ(健康データ、遺伝データ、人種的および民族的出自、性的指向および/または性的習慣、政治的意見、宗教的所属または信条、政治・労働組合以外の団体への加入、刑事上の有罪判決および犯罪)が含まれ得ますが、これらに限られません。
移転の頻度(例えば、データが一回限りで移転されるか、継続的に移転されるか)
個人データは、継続的に取り込まれます。
処理の性質
個人データは、プラットフォームの日常的な利用により取り込まれます。データは、TaxDomeの顧客による手動入力、またはプラットフォーム上のログ収集による自動的な方法で取り込まれることがあります。データは、TaxDomeの本番データベース内に保存されます。
データ移転およびさらなる処理の目的
個人データは、TaxDomeサービスを提供し、TaxDomeのウェブサイトおよびプラットフォームサービスをサポートする目的で処理されます。
個人データが保持される期間、またはそれが不可能な場合は、当該期間を決定するために用いられる基準
個人データの処理の対象事項および期間は、利用規約に定められています。
(再)処理者への移転については、処理の対象事項、性質および期間も特定すること
TaxDomeは、顧客にサービスを提供する際、taxdome.com/ja-jp/policies/sub-processors/に掲載されている再委託先を利用します。この一覧には、TaxDomeの再委託先が行う処理活動の対象事項および性質、ならびに適用されるデータ移転の仕組みが明記されています。
C. 所管監督当局
第13条に従って所管監督当局を特定すること
データ輸出者の所在地/データ輸出者のEU代理人の所在地/データ輸出者の最大の顧客基盤の所在地
附属書II
データのセキュリティを確保するための技術上および組織上の措置を含む、技術上および組織上の措置
処理の性質、範囲、文脈および目的、ならびに自然人の権利および自由に対するリスクを考慮して、適切なセキュリティ水準を確保するためにデータ輸入者が実施する技術上および組織上の措置(関連する認証を含む)の説明。
EEA域外の十分性認定のない国に移転される個人データを保護するためにTaxDomeが講じる技術上および組織上の措置は、https://taxdome.com/ja-jp/policies/security/で公開されています。