本データ処理補遺(以下、「本DPA」といいます)は、IDriveInc.のサービス利用規約またはIDrive®とお客様(以下、「お客様」といいます)との間で締結されるその他の電子契約もしくは相互に締結される契約(以下、「本契約」といいます)の一部を構成し、お客様の個人データの処理に関する両当事者の合意を反映するものです。 本DPAで使用され、定義されていない大文字の用語は、本契約で与えられた意味を有します。
本契約に従ってIDrive®サービスをお客様に提供する過程で、IDrive®はお客様に代わってお客様データを処理します。 お客様データには個人データが含まれる場合があります。 本DPAは、データ保護法および規制の要件に従ったお客様データの処理に関する当事者の合意を反映するものです。 本DPAは、本契約と抵触する場合に優先します。
「データ管理者」とは、個人データの処理の目的および手段を決定する主体を意味します。
「データ処理者」とは、データ管理者に代わって個人データを処理する事業体を意味します。
「データ保護法規」とは、本契約に基づく個人データの処理に適用されるデータ保護法規を意味し、欧州連合、欧州経済領域およびその加盟国、ならびにスイスの適用法規を含みます。
「データ主体」とは、個人データに関連する個人を意味します。
「個人データ」とは、識別可能な、または特定された個人に関するあらゆる情報を意味します。
「処理」、「プロセス」または「プロセス」とは、自動化された手段であるか否かを問わず、収集、記録、整理、保管、適応、変更、検索、協議、使用、開示、普及、消去または破棄など、個人データに対して行われるあらゆる操作または一連の操作を意味します。
「サブプロセッサ」とは、IDrive®のためにお客様のデータを処理するIDriveの関連会社またはその他の第三者サービスプロバイダを意味します。
データ処理の役割両当事者は、データ保護法規および本DPAに基づくお客様データの処理に関して、お客様が管理者であり、IDrive®が処理者であることを認識し、同意するものとします。各当事者は、お客様の個人データの処理に関して、データ保護法規に基づき適用される義務を遵守します。IDrive®は、お客様が処理のために提供する個人データについて一切関知せず、管理していません。 お客様は、お客様データの正確性、品質、適法性、およびお客様データを取得した手段について単独で責任を負うものとします。
データ処理に関する指示。本DPAおよび本契約は、お客様データの処理に関するIDrive®に対するお客様の完全かつ最終的な指示です。 お客様とIDrive®は、追加または代替の指示について合意する必要があります。 お客様の指示がデータ保護法規に違反するとIDriveが判断した場合、IDrive®はお客様に通知します。 IDrive®は、(1)本契約(本契約に組み込まれるすべての文書を含みます)に従い、(2)お客様の指示が本契約と一致する場合、お客様がIDrive®に提供するその他の合理的な指示(電子メールを含みます)に従い、お客様データを処理します。 IDrive®は、適用法により要求されない限り、お客様データを第三者に開示しません。この場合、IDrive®は、IDrive®が開示することを禁止されていない限り、お客様に事前に通知します。 IDrive®は、お客様がIDrive®に指示しない限り、その他の目的でお客様データを処理しません。
処理の範囲および期間。 IDrive®は、本契約に従い、本DPAに従ってIDrive®サービスを実行するために必要なお客様の個人データを処理します。本DPAに基づいて処理される可能性のあるお客様の個人データの種類およびデータ主体の区分は、別紙1(「処理の範囲」)に記載されています。IDrive®は、両当事者が書面で別途合意しない限り、本契約の期間中、お客様の個人データを処理します。
アクセス、修正、制限および削除。 IDrive®は、IDrive®サービスの機能と一致する限り、お客様がお客様の個人データにアクセス、修正、処理の制限および削除できるようにします。
データ主体の要求 IDrive®がデータ主体からお客様の個人データに関連する要請を受けた場合、法的に許容される範囲内で、IDrive®はデータ主体に対してお客様に要請を提出するよう助言し、お客様は、必要に応じてIDrive®サービスの機能を使用することを含め、かかる要請に対応する責任を負います。お客様がデータ保護法および規則により要求されるお客様の個人データへのアクセス、修正、制限、または削除を行う能力を有していない場合、お客様はIDrive®に対してお客様に代わって行動するよう書面による指示を提供することができます。 IDrive®は、技術的に実行可能で法的に許容される範囲内でお客様の指示に従います。お客様は、この支援を提供するためのIDriveの費用を支払うものとします。
協力および支援。 IDrive®は、(i)個人データが顧客データに含まれているデータ主体、または(ii)適用されるデータ保護当局から受領したIDriveの顧客データ処理に関連する要求、苦情、通知、または連絡に対処するためにお客様を支援します。 IDrive®はまた、本DPAへの準拠を確認するため、またはプライバシー影響評価を実施するための情報に対するお客様の合理的な要求に協力します。 お客様は、支援が本契約に基づいて提供されるサービスを超える場合、支援を提供するためのIDriveの費用を支払うものとします。
セキュリティ管理。IDrive®は、不正または違法な処理、偶発的な損失、破壊、または損傷からお客様のデータを保護するために、適切な管理的、技術的、および組織的なセーフガードを維持します。別紙2に記載されているとおり、セキュリティ管理には、IDriveのシステムおよびサービスの継続的な機密性、完全性、可用性および回復力を確保し、管理の定期的なテストおよび有効性を確保するための措置が含まれています。
IDriveの人員。 IDrive®は、お客様データへのアクセスが本契約に基づきお客様データを処理するためにアクセスを必要とする人員に限定されるようにします。IDrive®は、お客様データの処理に従事する人員に対し、かかるお客様データの機密性について通知します。IDrive®は、顧客データの処理を許可されたすべての人物が適切な守秘義務に同意していることを確認することを含め、その従業員、請負業者、およびサブプロセッサーの履行範囲に適用される範囲で、セキュリティコントロールの遵守を保証するために適切な措置を講じます。
権限およびコミットメント。お客様は、IDrive®が本契約および本DPAに基づく義務を履行し、サポートサービスなどの特定のサービスをIDriveに代わって提供できるようにするために、IDriveに代わって特定のサービスを実行するサブプロセッサを使用することを明示的に許可するものとします。IDrive®は、本DPAに基づくIDriveの義務と実質的に類似した義務を含む書面による契約をサブプロセッサーと交わしています。IDrive®は、本DPAの義務の遵守およびサブプロセッサーの行為または不作為について引き続き責任を負います。所在地およびサービスを含むIDriveの現在のサブプロセッサは、https://www.idrive.com/authorized-sub-processor。IDrive®は引き続き、このウェブサイト上でサブプロセッサの変更を公表します。
通知および異議。お客様は、IDrive®が新しいサブプロセッサに関する通知を公表してから10営業日以内にIDrive®に書面で通知することにより、IDriveによる新しいサブプロセッサの使用に合理的に反対する権利を有します。 お客様がこれを行った場合、IDrive®は、新しいサブプロセッサーによるお客様データの処理を回避するために、影響を受けるソフトウェアまたはクラウドサービスを変更するか、影響を受けるソフトウェアまたはクラウドサービスのお客様の設定または使用に商業上合理的な変更を推奨するために合理的な努力を払います。 IDrive®が60日を超えない合理的な期間内にかかる変更を行うことができない場合、お客様は、IDrive®が新しいサブプロセッサーを使用せずに提供できないソフトウェアおよびクラウドサービスのサブスクリプション期間のみを終了することができます。 お客様は、本契約に従い、IDrive®に対して書面による解約通知を行う必要があります。
レポートIDrive®は外部監査人を使用して、さまざまなセキュリティおよびコンプライアンス管理基準および認証のセキュリティ対策を検証します。IDrive®は必要な監査を完了しており、お客様の書面による要求があれば、SSAE 16で定義された基準を満たしていることを証明する裏付け文書を提供することができます。
監査権。 IDrive®は、報告書に記載されている以外の追加情報を提供し、データ保護法および規制の遵守を証明するために合理的に必要な検査を含む監査を許可し、これに貢献します。お客様は、監査または検査に要した時間について、IDriveのその時点での専門サービス料金でIDrive®に払い戻すものとします。IDrive®は、要求に応じてこれらの料金をお客様に提供します。お客様とIDrive®は、監査または検査のタイミング、範囲、期間および償還率について事前に合意するものとします。お客様は、監査の過程で発見されたコンプライアンス違反に関する情報を速やかにIDrive®に通知するものとします。
IDrive®は、お客様の顧客データの侵害を認識した後、過度な遅滞なくお客様に通知します。この通知には、(i) 個人情報漏えいの性質に関する説明、(ii) IDriveの合理的な管理の範囲内で漏えいに対処するためにIDriveが取っている措置(考えられる悪影響を軽減するための措置を含む)が含まれます。
IDrive®サービスは、サブスクリプション期間の終了前にお客様がいつでもお客様データを取得できるようにするためのコントロールをお客様に提供します。お客様のサブスクリプション期間終了後、IDrive®は本契約に従ってお客様のお客様データを削除します。
IDrive®はEU-U.S. Data Privacy FrameworkおよびSwiss-U.S. Privacy Shield Frameworkに準拠しています。
EU-米国データ・プライバシー枠組(EU-U.S. Data Privacy Framework: EU-U.S. DPF)、EU-米国データ・プライバシー枠組の英国拡張(UK Extension to the EU-U.S. Data Privacy Framework: UK Extension to the EU-U.S. DPF)、およびスイス-米国データ・プライバシー枠組(Swiss-U.S. Data Privacy Framework: Swiss-U.S. DPF)は、大西洋を越えた商取引を合理化するために設立されました。これらの枠組みは、EU/欧州経済領域、英国(ジブラルタルを含む)、スイスから米国への個人データ移転において、EU、英国、スイスの法律との整合性を確保し、米国の組織に信頼できるメカニズムを提供する。組織は、DPF原則へのコミットメントをITAに自己証明する必要があります。これは、データ・プライバシー・フレームワーク・リストに掲載されることを意味し、ITAは、組織が毎年提出する再認証書に基づいて毎年更新します。
IDrive®は、欧州連合およびスイスから米国に転送される個人情報の収集、使用、および保持に関して、米国商務省が制定したEU-米国データプライバシーフレームワークおよびスイス-米国プライバシーシールドフレームワークに準拠しています。IDrive®は商務省に対し、プライバシーシールド原則を遵守していることを証明しています。
IDrive®がこれらの義務をもはや果たすことができないと判断した場合、IDrive®は速やかにお客様に通知し、お客様の個人データの処理を中止するか、または合理的かつ適切な是正措置を講じます。