以下は、当文書の翻訳版です。原文(英語)はこちら
AdGuard データ処理契約(DPA:Data Processing Agreement)
2024年10月31日
本データ処理契約(「契約」)は、AdGuardサービスの使用がデータ保護法の対象となる個人データの処理を含む場合に適用される、データ保護法の特定要件を規定します。
本契約はAdGuardのプライバシーポリシーを補完するものです。プライバシーポリシーは、当社のデータ保護方針と対策の主要な参照先です。
本契約の期間はサービス契約の期間に従うものとします。ここに定義されていない用語は、サービス契約に定められている意味を持つものとします。
本契約に全面的にまたは一部で同意しない方、または本契約の条項の一部を理解していない方は、サービスへのアクセスおよび使用を目的とする行動を取らないでください。それ以外の場合、かかる方は例外なく本契約を無条件に承諾したものとみなされます。
定義および解釈
本データ処理契約(DPA)において特段の定義がない限り、本契約で使用される大文字の用語と表現は次の意味を持つものとします。
用語および定義
- 「AdGuard」: キプロス法に基づいて適法に設立された企業である AdGuard Software Limited、登録番号は332952。
- 「AdGuardサービス」または「サービス」: AdGuardによって提供され、ウェブサイト上に指定されているサービス。
- 「契約」: 本データ処理契約およびすべてのスケジュール。
- 「会社」: サービス契約に基づくAdGuardサービスの顧客。
- 「会社の個人データ」: サービス契約に関連して処理される、会社または会社の顧客や従業員に関連する個人データ・個人情報。
- 「契約処理者」: 下請処理者を意味します。
- 「データ保護法」: EUデータ保護法、および適用される範囲で他国のデータ保護またはプライバシー法。
- 「EEA」: 欧州経済領域。
- 「EUデータ保護法」: 各加盟国の国内法に移行されたEU指令95/46/EC、およびその改正、置換または補充されたものを含む、GDPRおよびそれを実施または補完する法律。
- 「GDPR」: EU一般データ保護規則2016/679。
- 「データ転送」: コントローラから処理者または契約処理者への会社の個人データの転送、または処理者から下請処理者への会社の個人データの転送、または下請処理者間の施設間での転送。
- 「サービス契約」: 別途の書面で規定されるAdGuardと顧客間の契約であり、これに基づきAdGuardは会社に非独占的かつ譲渡不能なAdGuardサービスへのアクセスおよび利用権を付与する可能性があり、その条項と制限は該当するサービスプランに従います。このサービス契約のもとで、会社はエンドユーザーにAdGuardサービスを配布する権利を有する場合があります。したがって、サービス契約のもとでエンドユーザーに配布される可能性のある個人データを保護するために、会社は本契約(データ処理契約)で指定された規則に従うことを約束します。
- 「下請処理者」: 本契約に関連して、コントローラの代理として個人データを処理するために処理者によって任命された人物。
- 「ウェブサイト」: https://adguard.com, https://adguard-vpn.com, https://adguard-dns.io/ またはAdGuardサービスを提供するための他のウェブサイト。
「委員会」「コントローラ」「データ主体」「加盟国」「個人データ」「個人データ漏えい」「処理」および「監督当局」の用語は、GDPRまたはその他の適用されるデータ保護法における同じ意味を持ち、関連する用語も同様に解釈されます。
次の用語は、この契約書で次の意味を持ちます:「会社」、「貴社」、「貴社の」は、サービス契約のもとでの会社および契約者としての貴社を指します。「我々」、「私たち」、「当社」はAdGuardを指します。「当事者」、「当事者ら」は会社とAdGuardの双方を指します。
1. 一般条項
サービスのエンドユーザーの個人データを保護および確保するために、当事者は以下の内容について合意します。
-
会社はデータ管理者(以下「コントローラ」)として行動します。
-
会社は、個人データの処理を含む特定のサービス(以下に定義)をAdGuardに委託することを望み、AdGuardはデータ処理者(以下「処理者」)として行動します。
-
当事者は、データ処理に関する現行の法的枠組みの要件および自然人の個人データの処理およびその自由な移動に関する欧州議会および理事会の規則(EU)2016/679(一般データ保護規則)およびその他の適用されるデータ保護法に従うデータ処理契約を実施しようとしています。
- 当事者は、それぞれの権利および義務を規定することを望んでいます。
2. 会社の個人データの処理
処理者は以下を行います。
-
会社の個人データの処理において、すべての適用されるデータ保護法を遵守します。
- コントローラがセクション2で文書化した指示に従って、会社の個人データを処理します。
コントローラは処理者に以下の目的で会社の個人データを処理するよう指示します。
-
サービスおよび関連する技術サポートの提供。
-
法的義務の履行または紛争の解決。
-
サービスのセキュリティ、プライバシー、機密性および機能の最適化を目的とした内部タスクの実施。
- 内部報告、財務報告およびその他の類似の内部タスクの実施。
3. 処理者の人員
処理者は、会社の個人データにアクセスする可能性のある契約処理者の従業員、代理人、または請負業者の信頼性を確保するために合理的な措置を講じ、各ケースにおいてアクセスが必要不可欠な人物に限定し、当該個人が契約処理者への職務に関連する秘密保持の誓約または専門職または法的な秘密保持義務に従うことを確保します。
4. セキュリティ
処理者は、GDPR第32条第1項に従い、処理のリスクに応じた適切な技術的および組織的な対策を講じるものとします。これには、技術の進展、実施コスト、および処理の性質、範囲、文脈、目的を考慮し、自然人の権利と自由を保護するためのリスクの程度と重篤度を考慮することが含まれます。
処理者は、処理活動に関連するリスクを評価し、第32条第1項GDPRの要件に適合する措置を講じ、常に会社の個人データのセキュリティを確保します。
5. 下請処理
本契約に従い、会社は処理者が下請処理者を雇用し、会社の個人データをそれら
に開示または転送するための一般的な許可を付与します。会社は、処理者のプライバシーポリシーに記載されている下請処理者のリストを承認し、理解します。このリストは処理者によって定期的に更新される場合があり、その際には処理者のプライバシーポリシーの通知プロセスに従って会社に通知されます。また、会社は、処理者がその企業グループ内の他の会社に個人データを開示および転送することを許可します。
処理者は、下請処理者が本契約に準じて会社の個人データの保護に関して、現在の契約と同等またはそれ以上の制限的かつ保護的な合意を遵守することを確保します。
6. データ主体の権利
処理の性質を考慮し、処理者は会社がデータ主体の権利に関するデータ保護法の義務を履行するのを合理的に支援します。
処理者は以下を行います。
-
データ保護法に基づき会社の個人データに関するデータ主体からのリクエストを受け取った場合、速やかに会社に通知します。
- コントローラの文書化された指示に従って、または処理者に適用される法律で要求される場合に限り、そのリクエストに対応します。
7. 個人データ漏えい
処理者は、適用されるデータ保護法および内部の個人データ漏えい手順に従って、個人データ漏えいを管理します。会社の個人データに影響を与える個人データ漏えいが発生した場合、処理者は会社に対して遅滞なく通知し、会社がデータ保護法に基づく義務(必要に応じてデータ主体への通知を含む)を果たすために必要な情報を提供します。その際、処理者はデータ主体への通知または報告のための情報を提供し、会社がデータ保護法に基づく義務を果たすことを支援します。
処理者は、各個人データ漏えいの調査、緩和、および対策のために会社が指示する合理的な商業的措置を実施するために協力します。各当事者は、個人データ漏えいがその当事者の義務違反によって引き起こされた場合、調査、緩和、その他の関連費用の費用を負担するものとします。
また、各当事者は、承認された監督機関、政府機関、または管轄裁判所が課した罰金、賠償金、損害賠償金、またはその他の関連費用を、自らの義務違反から発生した場合に限り負担します。
8. データ保護影響評価および事前相談
処理者は、データ保護影響評価および監督当局やその他の適切なデータプライバシー当局との事前相談について、GDPR第35条または第36条またはその他の適用されるデータ保護法に従ってコントローラが合理的に必要と判断した場合、合理的な支援を提供します。
9. 会社の個人データの削除または返還
会社の個人データの処理を伴うサービスが終了する場合、処理者は適用される法律で許可されている範囲で、処理者の利用規約およびプライバシーポリシーに従って、すべての会社の個人データを削除するものとします。会社がデータのコピーを要求する場合、アカウント削除前にリクエストを行う必要があります。アカウント削除後のリクエストは対応できなくなります。
10. 監査権
第10条に基づき、処理者は本契約への準拠を示すために必要な情報を会社に要請に応じて提供します。会社は、カレンダー年に1回以上監査権を行使しないものとし、ただし個人データ漏えいの発生または監督機関の指示があった場合を除きます。
会社は、本契約に基づき処理者の監査を実施する意思を少なくとも60日前に書面で通知するものとします。監査は処理者の営業時間内に行われ、処理者の業務に支障をきたさないようにし、会社、処理者および他のデータ主体の個人データの保護を確保するものとします。監査の実施に先立ち、当事者は監査の日付、範囲、期間および監査に適用されるセキュリティおよび機密保持管理について事前に合意する必要があります。会社は、監査の実施に先立ち、コントローラが秘密保持契約に署名する必要がある場合があることを認めます。
会社の情報および監査権は、本契約の他の条項がデータ保護法の関連要件を満たす情報および監査権を付与していない場合に限り発生します。
11. データ転送
可能な限り、処理者はスイス、EU内および/または適切性決定の対象国へのデータ転送のみを行うものとします(GDPR第45条およびスイスFADP第16条に基づく)。本契約に基づき処理される個人データが、スイスまたはEU内の国または適切性決定の対象国から外の国に転送される場合、当事者は個人データが適切に保護されることを確保します。これを達成するため、当事者は特段の合意がない限り、スイスおよび/またはEUおよび/または英国で承認された最新の標準契約条項またはその他のデータ保護法に基づく転送メカニズムに依拠するものとします。処理者は、適切な保護措置が講じられている限り、下請処理者へのかかる転送を行うことが認められます。
12. 表明および保証
サービスの利用、支払い、文書やデータまたは情報の送信、サービスの受領、またはAdGuardとのその他のやり取りを通じて、会社は以下を表明および保証します。
-
会社は、公式ウェブサイトに記載されている個人データの処理および保護に関するプライバシーポリシーに同意し、自身の個人データおよび/または従業員、代理人またはエンドユーザー等の個人データの処理に関する同意を事前に取得していること。
- サービス契約の実施過程でAdGuardに転送される個人データに関して、個人およびエンドユーザーからすべての必要な同意および承認を事前に取得していること。本契約の他の条項にかかわらず、会社は、義務の不適切または不注意な履行に関連してAdGuardに発生したすべての損失について責任を負い、補償します。これには以下が含まれます。
- 会社または第三者の生命および/または健康および/または評判に対する損害。
- AdGuardに対する行政的および/またはその他の公的責任に関連する罰金の支払い義務。
- 違法な個人データの処理、データ漏えいおよび/または不適切なデータ処理による第三者への損害賠償の義務。
13. 最終条項
適用法の遵守 処理者は本契約およびその役割に適用されるデータ保護法に従って会社の個人データを処理します。処理者は、会社の
業界または業種に特有のデータ保護法に準拠する責任は負いません。
機密保持 各当事者は、本契約に関連して他の当事者およびそのビジネスに関する情報(「機密情報」)を受け取った場合、相手方の事前の書面による同意なしに、その機密情報を使用または開示してはなりません。ただし、以下の場合を除きます。
- 法律により開示が要求される場合。
- 関連情報が当事者の過失によらず公知のものとなっている場合。
通知 本契約に基づくすべての通知および連絡は書面で行われ、電子メールで送信されるものとします。コントローラは、サービス契約に基づくサービスの利用に関連するアドレスに送信されるメールによって通知されます。処理者には次のアドレスに電子メールで通知されます: privacy@adguard.com
準拠法および管轄権 本契約は、キプロス法に準拠し、いかなる管轄区域の選択または抵触法の条項にかかわらず、キプロス共和国の専属管轄権に従うものとします。
変更 当社は、時折本データ処理契約を変更することがあります。法律、規制、業界基準の変化により、これらの変更が必要になる場合があるためです。また、当社の事業の変更に伴い、本契約を変更する場合もあります。変更はこのページに掲載され、当社は本データ処理契約をご確認いただき、最新情報を維持することを推奨します。もし変更がプライバシー権に重大な影響を及ぼす場合、当社は電子メールを通じて追加の通知を行います。本データ処理契約の変更に同意しない場合は、privacy@adguard.comまでご連絡ください。 3
