アクセスコントロールのクラウドアプリケーション
データ処理契約
本データ処理契約(「DPA」)は、個人データの処理に関連して本クライアントとSALTOの間で随時更新される、SALTOの本サービス利用規約 を補完します。本DPAは、お客様およびお客様が代表する事業体(「本クライアント」または「お客様」)とSalto Systems, S.L.(以下、「SALTO」)との間における契約です。
1. 定義
1.1 本データ処理契約において、本契約に列挙する用語は、以下の意味を有します。
- 本適用データ保護法:本契約に基づくSALTOによる本個人データの処理に適用する、すべての法令を意味します。
- 本クライアント:法人または自然人のうち、職業またはビジネスとして(消費者としてではなく)運営し、SALTOと契約を締結して、本サービスを使用し、アクセスする者。
- 本クライアントのアカウントデータ:本個人データのうち、本クライアントとSALTOとの関係に関連するもので、本クライアントの従業員、担当者または連絡担当者の、氏名または連絡先を含みます。
- 本コントローラー(本データコントローラーともいいます):自然人、法人、公的機関、行政機関その他の組織のうち、単独か他者との共同で、個人データを処理する目的および方法を決定する者。
- 本データ処理契約(DPAともいいます):SALTOおよび本クライアントが締結した本補完契約(法令上必要な場合、随時適用します)を意味し、SALTOは、本契約に基づいて、本個人データを処理します。
- 本データ主体:識別済みか、識別可能な自然人。
- 本国際的データ移転:本個人データを欧州経済領域(EEA)外に移転することを示唆する処理をいい、データの開示または伝達か、本個人データの処理によることとし、EEA外に設置した処理者が、EEA内に設置したコントローラーに代わって、当該処理を行います。
- 本個人データ:識別済みか、識別可能な自然人に関連する個人データのうち、本プラットフォームを通じて提示するか、収集するものを意味します。
- 本プライバシーポリシー:SALTOの本プライバシーポリシーを意味します。
- 本処理:本個人データまたは一連の個人データに実行されるオペレーションまたは一連のオペレーションを意味し、自動的な手段であるか否かを問いません。例えば、収集、記録、組織化、構造化、保管、調整か変更、復旧、参照、使用、送信による開示、普及その他の方法による利用可能化、整列、結合、制限、消去、廃棄など。
- 本処理者(「本データ処理者」ともいいます):本コントローラーに代わって個人データを処理する自然人、法人、公的機関、行政機関その他の組織。
- 本セキュリティインシデント:本ユーザーデータへの無許可もしくは不法なアクセス、または本ユーザーデータの取得、変更、使用、開示もしくは廃棄。
- 本標準契約条項(SCCともいいます):欧州委員会が、以下を通じて承認した移転メカニズムを意味します。すなわち、欧州議会および欧州理事会規則(EU) 2016/679 に基づいて、個人データを第三国に移転するための標準契約条項に関する、施行決定(EU) 2021/914 (2021年6月4日)。
- 本期間:DPAが、第3条に規定するとおり有効で、強制力を有し、施行する期間を意味します。
- 本ユーザー:本サービスにアクセスして使用する権限を本クライントが付与した自然人。
- 本ユーザーデータ: 本ユーザーの本個人データ。
1.2 大文字で始まる用語のう ち、本データ処理契約で使用するが、上記の一覧には含まないものは、本サービス利用規約で当該用語に定めた意味を有します。本サービス利用規約に定義していない場合は、EU 一般データ保護規則(RGPD)第4条に定めた意味を有します。
2. 適用可能性および変更
2.1 本データ処理契約は、SALTOが本クライアントに代わって、本ユーザーデータを処理する際に適用します。SALTOは、この状況の下で、このデータに対して本処理者として活動し、本クライアントは、本ユーザーデータの本コントローラーまたは本処理者として活動することができます。本クライアントが本処理者として活動する場合、SALTOは復処理者になります。
2.2 本データ処理契約は、参照により組み込まれる本契約の一部となります。
3. 期間
本DPAは、本契約に基づいて、本サービスを本クライアントに提供するのに必要な期間中、効力を有します。それにもかかわらず、両当事者は、現行DPAのすべての条項のうち、本契約の終了後も効力を維持することを明示か黙示に意図したものが、関連する条項に従って効力を維持し、両当事者を拘束することに合意します。
4. 責任の制限
4.1 各当事者の責任は、適用法で認められているとおり、SALTOの本サービス利用規約の「責任」条項に従います。
5. 両当事者の関係
5.1 SALTOは、本ユーザーデータへのアクセスを有する範囲で、本処理者として当該データを処理し、本クライアントは、本ユーザーデータの本コントローラーまたは本処理者として活動することができます。本クライアントが本処理者として活動する場合、SALTOは、本復処理者になります。
5.2 上記の事柄にもかかわらず、SALTOは、本クライアントのアカウントデータその他の特定データのうち、本プライバシーポリシーで、本サービスの各タイプの詳細を定めたものに関連しては、本コントローラーとして活動します。本処理は、本プライバシーポリシーに従い、その指示どおりに行います。
6. 本処理者としてのSALTO
6.1 本処理の目的:SALTOが本クライアントに代わって処理する本個人データは、本契約に従って本サービスを提供する場合にのみ処理されます。これには、本クライアントが本サービス利用規約に従って要請した場合は、技術的サポート活動が伴うこともあります。本処理者は、本個人データを異なる目的で処理する必要があるとみなした場合は、本クライアントから書面で事前に許可を取得します。当該許可を取得しなかった場合は、当該処理を行ってはなりません。
6.2 本処理の説明:SALTOは、別紙1に定める仕様に従って、本個人データを処理します。これには、本処理の性質および目的、本処理活動、本処理の継続期間、本個人データのタイプ、および本データ主体のカテゴリーを含みます。
6.3 本クライアントの義務:本クライアントは、以下を保証することに責任を負います。すなわち、本サービスを使用し、自己の本個人デーを本処理する際に、適用データ保護法を遵守すること、ならびに本個人データへのアクセスをSALTOに提供し、本契約およびDPAに従って本処理させる権利を有していること。本クライアントは、SALTOに提供した本個人データの正確性に責任を負います。
6.4 本クライアントの指示:本処理者は、本契約に定める本クライントの指示に従って、本ユーザーデータを処理することを約束します 。さらに、その他、本サービスを本クライアントに提供するために必要な場合で、要求があったときは、適用法令を遵守することも約束します。上記の事柄以外に追加の指示がある場合は、両当事者が書面で合意します。本クライアントは、自身の指示に基づいて履行した本処理が適用法令を遵守していることを、SALTOに保証します。SALTOは、本クライアントが付与した指示が適用法令に違反していることに気づいたか、合理的に確信した場合は、本クライアントに通知することを約束します。
6.5 秘密保持:SALTOは、本契約に基づいて本ユーザーデータの本処理に従事する従業員が、秘密保持義務の通知を受け、その拘束を受けていることを確認します。
6.6 安全対策:SALTOは、適切な技術的対策および組織的対策を実施して、リスクに対して十分な安全のレベルを達成できることを保証し、技術の状態、処理の実施費用、処理の性質、範囲、状況および目的に加え、当該処理を受ける自然人の権利および自由に対するリスクの変動可能性および重大性を考慮に入れます。
SALTOは、安全の適切なレベルを評価する際に、本処理が提示するリスク、特に、送信、保管もしくはその他の方法で処理される本個人データの予想外もしくは不法な廃棄、喪失、変更、無許可の開示または同本個人データへのアクセ ス、または同データへの無許可の通信もしくはアクセスから生じるリスクを考慮に入れます。
別紙2には、本ユーザーデータを保護するための、SALTOの技術的安全対策および組織的安全対策に関する追加情報を定めています。
6.7 下請け契約:本クライアントは、SALTOがSALTOグループの一部を構成する会社と下請け契約を結ぶのを許可し、この点に関して、当該本サービスの全部または一部を提供するのに必要な本個人データへのアクセスを当該会社に提供することを明示的に許可します。これには、本クライアントの要請に基づくメンテナンスおよび技術的サポートサービスを含みます。
本クライアントは、さらに、本処理者が今後、復処理者(以下、「本復処理者」)と協働することを明示的に許可しますが、以下の規定に従います。
- SALTOは、本復処理者の一覧を有しており、以下で利用できます:https://saltosystems.com/en/legal-data/software-terms/access-control-cloud-applications/list-of-sub-pocessors/。SALTOは、この一覧を最新の状態に保ち、新しい復処理者は、協働する少なくとも30暦日前までに当該一覧に記載します。SALTOは、新しい復処理者についての通知を申し込む仕組みを本クライアントに提供することができます。本クライアントは、当該一覧の更新から30日の期間内に、新しい復処理者に合理的に異議を唱えることができます。本クライアントが新しい復処理者に合理的に異議を唱えた場合、本クライアントまたはSALTOのいずれかは、本サービスに関連する本契約の一部を解除することができますが、異議を受けた新しい復処理者なしにはおそらく提供できない本サービスに関連する部分とします。
- SALTOは、すべての復処理者が、本DPAで本処理者に設定したデータ保護義務と同一または相当するデータ保護義務に、契約上の拘束を受けることを約束します。
- SALTOは、復処理者の義務の履行について、本クライアントに引き続き完全に責任を負います。
6.8. 本データ主体の権利:SALTOは、処理の性質を考慮に入れ、可能な範囲で、適切な技術的対策および組織的対策によって本クライアントを支援し、本クライアントが義務を履行してデータ主体のデータ保護権を行使する要請に応答できるようにします。SALTOは、本データ主体が、本ユーザーデータに関連してSALTOに直接要請した場合は、当該要請を、不当 に遅延することなく、本プラットフォームに登録済みの電子メールアドレス宛で本クライアントに転送します。
6.9. 支援:SALTOは、処理の性質および利用できる情報を考慮に入れて、データ保護規則を遵守するのに必要な、関連するデータ保護の影響評価および監督当局との協議に関連して、本クライアントに合理的な協力を提供します。
6.10. 本ユーザーデータの返還または削除:SALTOは、本クライアントに代わって処理したすべての本個人データを、本サービスの提供が終了した後に、本クライアントの選択に従い、削除するか本クライアントに返還し、存在するすべてのコピーを削除します。ただし、個人データの保管が法律上必要な場合は、この限りではありません。SALTOは、本サービスの一環として、ドアの電子式ロックソリューションおよびアクセスコントロールで構成するサービスの提供期間が経過した場合は、本個人データを、1か月の期間継続してブロックし、当該サービスを再起動できるようにします。
6.11. 監査:SALTOは、本クライアントの要請に応じて、かつ本クライアントの費用負担で、合理的な間隔かついかなる場合も毎年1回を超えることなく、適用するデータ保護義務の遵守を実証し、監査を実施できるようにする ために必要な情報を利用できるようにします。本クライアントは、監査を実施しようとする場合は、少なくとも2か月前までに、書面でSALTOに通知します。この監査は、本クライアント自身が実施するか、本クライアントが指名した独立監査人で、合理的な秘密保持制限の拘束を受ける者が実施する場合がありますが、いかなる場合も、SALTOの競合会社であってはならず、競合会社代表して活動してもなりません。監査の範囲は、本クライアントに代わって実施する本処理に関連したSALTOのシステム、プロセスおよび文書に制限します。当該監査の報告および結果は、SALTOの秘密情報になります。本クライアントは、監査が終了した時点で、当該監査で検出した、認識された不遵守または安全性に対する懸念をSALTOに通知します。
6.12. 本セキュリティインシデント:SALTOは、本ユーザーデータへの無許可もしくは不法なアクセス、または本ユーザーデータの取得、変更、使用、開示または廃棄(「以下、本セキュリティインシデント」)に気づいた後に、不当に遅延することなく、本クライアントに通知することを約束します。当該通知は、本クライアントが本プラットフォームに登録した電子メールアドレス宛に、電子メールを経由して行います。SALTOは、本クライアントが、適用データ保護法に基づいて、規制当局に通知するか、または本セキュリティインシデントの影響を受 けたデータ主体に通知する必要がある場合は、本クライアントに合理的支援を提供します。
6.13. 個人データの移転:以下の特定の場合には、個人データの本処理を欧州経済領域(EEA)外で履行する場合があります。
- 本クライアントが、EEA外に位置する国から、本プラットフォームにアクセスしている場合
- 本クライアントが、年中無休の技術的サポートサービスに登録しており、EEA以外のいくつかの国に所在する技術者が、インシデントの解決に関与することを示唆している場合
- 本復処理者が履行した処理に関連して、以下の事柄を特定した場合
上記の場合、EEAからEEA外への本ユーザーデータの移転(直接か今後の移転を経由)は欧州委員会の適切な決定に基づいて行います。本ユーザーデータを移転する先の地域が、欧州委員会の判定によると適切なデータ保護基準を有しない場合は、その範囲で、両当事者は、本標準契約条項(SCC)を締結し(また参照によって、本DPAに編入します)、以下に示すとおり、移転を完了することに合意します。
(i) SCCのモジュール3(本処理者から本処理者に)は、本クラアントがEEA外における本ユーザーデータの処理者で、SALTOがEEAにおける本ユーザーデータの復処理者および処理者として活動する場合に適用します。
(ii) SCCのモジュール4(本処理者から本コントローラーに)は、本クラアントがEEA外において、本コントローラーとして本ユーザーデータを処理し、SALTOが処理者で、EEAにおいて、本ユーザーデータを処理する場合に適用します。
本標準契約条項の各モジュールに関連して、適用する場合は、以下のとおりとします。
- 第7条:オプションのドッキング条項は適用しません。
- 第9条:オプション2を適用し、第6.7項に基づいて、通知期間を本DPAに設定します。
- 第11条:データ主体による独立決議機関に対する苦情の申立てに関連するオプション条項は適用しません。
- 第17条:オプション1を適用し、本標準契約条項はスペインの法律に準拠します。
- 第18条(b):本標準契約条項に起因する紛争は、スペインの裁判所で解決します。
- 付属書類I、パートA:
- データエクスポーター:SALTO
- 連絡先:privacy@saltosystems.com
- データエクスポーターの役割:データエクスポーターの役割は、本DPAの第4条(両当事者の関係)に定めます。
- 署名および日付:データエクスポーターは、本契約を締結することによって、本契約に編入した本SCC(付属書類も含みます)に、本契約を承諾した日付で署名したとみなします。
- データインポーター:本クライアント
- 連絡先:本クライアントが、本サービスに申し込むために提供した電子メールアドレスは、当該趣旨で、連絡先の電子メールアドレスとみなします。
- データインポーターの役割:データインポーターの役割は、本DPAの第2条(両当事者の関係)に定めます。
- 署名および日付:データインポーターは、本契約を締結することによって、本契約に編入した本SCC(付属書類も含みます)に、本契約の発効日付で名したとみなします。
- 付属書類I、パートB:
- データ主体のカテゴリー、移転済みの機微データ、処理の性質、処理の目的に加え、個人データを処理する期間は本DPAの別紙1に定めます。
- 移転の頻度は、ドアの電子式ロックソリューションおよびアクセスコントロールで構成するサービスの提供に関しては、本契約の継続期間中連続し、維持サービスおよび技術的サポートサービスに関しては1回限りとします。
- 復処理者に対する移転、処理の主題、性質および継続期間は、以下に列挙します:https://saltosystems.com/en/legal-data/software-terms/access-control-cloud-applications/list-of-sub-pocessors/。
- 付属書類1、パートC:スペインデータ保護機関(Agencia Española de Protección de Datos)は、所管監督機関です。
- 付属書類II:本DPAの別紙2。
本クライアントは、SCCに従い移転した個人データの開示について、移転先の国の法律に基づき、司法当局を含む公的機関から法的拘束力を有する要請を受領した場合は、SALTOに通知することに同意します。当該通知は、少なくとも48時間前までに行い、いかなる場合でも開示を行う前でなければなりません。当該通知には、要請を受けた個人データ、要請した機関、当該要請の法的根拠、および応答した内容に関する情報を記載します。
本標準契約条項と本契約または本プライバシーポリシーの他の規定との間に矛盾がある場合は、本標準契約条項の規定が優先します。
6.14 法域固有の規定:SALTOが、本DPAの別紙3に列挙した法域の1つにおける適用データ保護法から生じ、同法が保護する本個人データを処理する範囲で、適用法域に関連して本別紙3に明記した規定は、本DPAの規定に追加して適用します。
別紙1|処理の詳細
- 本処理の性質および目的
SALTOは、必要に応じて個人データを処理し、本契約に基づいて本サービスを提供します。SALTOは、当該意味で、先に本DPAの第6.4項で述べた 本クライアントの指示に基づき、本処理者として本ユーザーデータを処理します。
- 本処理活動
個人データの収集、記録、保存、本クライアントへの送信および消去または廃棄を、本サービスの適切な提供のために必要な範囲で行います。
- 本処理の継続期間
SALTOは、本契約で設定した本サービスの継続期間中、本クライアントに代わって本ユーザーデータを処理します。SALTOは、本サービスの一環として、ドアの電子式ロックソリューションおよびアクセスコントロールで構成するサービスの提供期間が経過した場合は、本個人データを1か月の期間継続してブロックし、当該サービスを再起動できるようにします。
メンテナンスサービスおよび技術的サポートサービスの提供に関連して、SALTOがアクセスできる本ユーザーデータは、問題を解決するのに必要な期間に限って処理します。
SALTOは、本契約が終了した場合、関連する違違反行為の時効期間中、本個人データのコピーを十分にブロックして保持します。SALTOは、当該期間が経過した場合は、当該本個人データのすべてのコピーを消去します。
- 本データ主体のカテゴリー
本ユーザーデータ:本クライアントのエンドユーザー。
- 本個人データのカテゴリー
- 識別データ
- 連絡先
- アクセス許可
- アクセスの記録
- プロフィール写真(オプション)
- 機微データまたはデータの特別なカテゴリー
SALTOは、特別なカテゴリーのデータは、本クライアントに代わって処理しません。
別紙2|技術的安全対策および組織的安全対策
技術的対策および組織的対策の適用は、専用のウェブサイト条項に定めます。
別紙3|法域固有の規約
本DPAの別紙3に列挙した法域の1つにおける適用データ保護法から生じ、同法が保護する本個人データをSALTOが処理する範囲で、適用法域に関連して本別紙3で特定した規定は、本DPAの規定に追加して適用します。
- カリフォルニア州
- 適用データ保護法の定義には、カリフォルニア州消費者プライバシー法(CCPA)を含みます。
- 本個人データの定義には、適用データ保護法に基づいて定義した「個人情報」を含みます。
- 本データ主体の定義には、適用データ保護法に基づいて定義した「消費者」を含みます。本DPAの第6.8項(本データ主体の権利)に定めるデータ主体の権利は、本消費者の権利に適用します。
- 本コントローラーの定義には、適用データ保護法に基づいて定義した「ビジネス」を含みます。
- 本処理者の定義には、適用データ保護法に基づいて定義した「サービスプロバイダー」を含みます。
- SALTOは、本契約に基づいて本サービスを提供するのに必要な場合で、ビジネス目的を構成するときに限り、個人データを処理、保持、使用し、開示します。
- SALTOは、本ユーザーデータを売却しません。
- SALTOは、本サービスの提供以外のいかなる商業目的でも、本ユーザーデータを保持、使用、または開示しません。
- SALTOは、本契約の範囲外では、本ユーザーデータを保持、使用、または開示しません。
- SALTOは、本DPAの第6.7項に定める本復処理者が適用データ保護法に基づく本サービスプロバイダーであること、および当該本復処理者を契約締結前に適切に評価していることを証明します。
- スイス
- 適用データ保護法の定義には、連邦データ保護法1992(FADP)を含みます。
- 本個人データの定義には、法人に関連する個人データを含みます。
- 英国
- 適用データ保護法の定義には、英国一般データ保護規則(UK GDPR)を含みます。
- 本DPAの第6.3項に関連して、英国に本コントローラーを設定している場合で、SALTOが本ユーザーデータを英国から英国外で十分性規制を有しない国に移転(直接か今後の移転を経由)する場合、当該移転はSCCの対象と なり、合わせて、ICOが雛型補遺B.1.0として発行し、2022年1月28日にデータ保護法2018年のs119Aに従って議会に提出した、国際的データ移転付則または承認済み付則(以下、「IDTA」)の対象にもなり、これは、参照によって本DPAに編入します。
- IDTAとの関連:
- 表1および表2は本DPAの第6.13項と合わせて履行されます。
- 表2に関連して、インポーターから受領した個人データは、エクスポーターが収集した個人データとは結合しません。
- 表4:エクスポーター。
- オーストラリア
- 適用データ保護法の定義には、オーストラリア連邦プライバシー法1988およびオーストラリアプライバシー原則を含みます。
最終更新日:2023年6月
© SALTO SYSTEMS, S.L., 2023. All rights reserved.