データ処理契約

データ処理契約 プロセッサーとして機能するRods&Cones

このデータ処理契約(以下、「DPA」)は、以下のことを意味します。

Rods&Cones BVは、ベルギーの法律に基づいて設立され、Oudebaan 2, 2350 Vosselaar, Belgiumに登録事務所を有し、BE0741.795.919番号で商工会議所の商業登記に登録されている会社であり、Rods&Cones Sales B.Vはオランダの法律に基づいて設立され、Apollolaan 69-3; 1077AH Amsterdam; The Netherlandsに登録事務所を有し、80331947番号で商工会議所の商業登記に登録され(以下「本書」といいます)、また、本書に記載されているとおり、本書は、オランダの法律に基づいて作成されています。ロッド&コーン/プロセッサー"),

以下、併せて「」という。関係者" として、それぞれ個別にパーティー";

次のとおり合意したことを宣言する。

Rods&Conesは、個人データの処理に関する当事者の合意を反映し、基本契約に基づいて利用可能な範囲で、リモートアシスタンスソリューションを提供します。

本サービスを提供するにあたり、Rods&Conesはお客様のために個人データを処理することがあり、両当事者は、合理的かつ誠実に行動し、個人データに関して以下の条項を遵守することに同意するものとします。

2018年5月25日より実施。 ロッド&コーン は、一般データ保護規則、または指令95/46/ECを廃止する2016年4月27日の欧州議会および理事会の規則(EU)2016/679(以下、「規則」と表記します)に従って、個人データを処理します。'GDPRのに直接適用される要件です。 Rods&Conesの を提供します。

  1. 定義
"アフィリエイト"は、Rods&Conesのグループ会社のいずれかを意味するものとします。
「個人情報保護方針は、特定または識別可能な自然人(データ対象者)に関するあらゆる情報を意味するものとします。
"データ対象者"識別可能な人とは、直接的又は間接的に、特に氏名、識別番号、位置情報、オンライン識別子等の識別子又は当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的若しくは社会的アイデンティティに特有の一つ以上の要素を参照して識別できる人を意味するものとします。
"個人情報漏えい"偶発的または違法な破壊、損失、改ざん、不正な開示、または送信、保存、その他の処理された個人データへのアクセスにつながるセキュリティ違反のことを指します。
"プロセス/加工"個人データまたは個人データの集合に対して行われる、収集、記録、整理、構造化、保管、適応または変更、検索、相談、使用、送信による開示、普及またはその他の利用可能化、調整または組み合わせ、制限、消去または破壊など、自動的な手段であるかどうかに関わらずあらゆる操作または一連の操作を意味します。
"ソリューション"は、本契約に基づきお客様が発注したRods&Conesリモートアシスタンス及び関連文書を意味するものとします。
"特別なデータカテゴリー"人種または民族的出身、政治的意見、宗教的または哲学的信条、労働組合への加入、遺伝情報、自然人を一意に識別する目的で処理される生体情報、健康に関するデータ、自然人の性生活または性的指向に関するデータを意味します。
"サブプロセッサー"処理者が従事するデータ処理業者であって、処理者の指示、本DPAの条件および書面による下請契約の条件に従ってコントローラに代わって実施される処理活動を排他的に目的とする個人データを処理者から受け取ることに同意する者を意味するものとします。
"監督官庁"(Supervisory AuthorityGDPR第51条に基づき加盟国によって設立された独立した公的機関を意味するものとします。
"技術的・組織的なセキュリティ対策"個人情報を偶発的な破壊、偶発的な損失、改ざん、不正な開示またはアクセス、特にネットワーク上でのデータ伝送を伴う処理、およびその他のあらゆる違法な処理から保護するための措置を指します。
"第三国"欧州委員会が、当該国、当該国の領域または1つ以上の特定部門が適切な保護水準を確保すると決定していない国を意味するものとする。
"下請け契約"は、Rods&Cones がお客様に本ソリューションを利用可能にするための SaaS サブスクリプション契約を意味するものとします。
  1. 加工の内容

本DPAの下で処理される個人データは、以下のデータ対象者のカテゴリーに関係します。

  • お客様の従業員および請負業者
  • 医療関係者
  • 患者

Rods&Conesは、お客様のデータ(個人データを含む)を保存・管理するウェブベースのバックエンドと、オーディオやビデオ(識別可能な個人データを含む)の視聴や使用状況に関する分析を可能にする対話型のフロントエンドクライアント(「サービス」)で構成されています。

処理の性質および目的処理者は、遠隔地の専門家が現場での立ち会いを必要とせずに医療専門家を遠隔でサポートできるようにするために、制御者に代わってデータ対象者の個人データを収集、処理、使用します。

手術室で使用するヘッドセットは、以下のようなプライバシーに関わる画像を可視化します。

  • ORスタッフ
  • 身元不明の患者さんの画像
  • ORのディスプレイとスクリーン

音声と映像は、1対1モードで認定リモートアシスタントにのみ送信されます。例外として、セッションをより多くの視聴者に配信することができます(トレーニングおよび教育のユースケース向け)。デフォルトでは、ビデオと画像は、送信中または送信後に保存されません。例外的に、遠隔地のアシスタントが自分のパソコンのハードディスクにセッションを録画することができます。

リモートアシスタントは、ORと同様にプロフェッショナルな行動に関する厳しい指示に同意する(https://rods-cones.com/re_terms/)

Rods&Conesは、リモートアシスタントの以下の個人データを保管します。電子メールアドレス、苗字、名前。

  1. コントローラーの権利と義務

コントローラは、本DPAに基づきプロセッサーに指示された個人データの処理について、またその他の指示通りに、責任あるデータ管理者として留まります。コントローラは、コントローラに代わって、適用されるデータ保護法、本DPAおよびコントローラの指示に従ってのみ個人データを処理するようRods&Conesに指示し、委託されたデータ処理の期間を通じて指示するものとします。コントローラは、一般的及び個別の状況において、個人データの処理に関連してRods&Conesに指示する権利及び義務を有します。指示は、個人データの修正、削除、ブロッキングに関連する場合もあります。指示は、緊急性またはその他の特定の状況により他の形式(口頭、電子的など)が必要とされる場合を除き、通常、書面で行われるものとします。書面以外の方法で指示を行った場合、管理者は遅滞なく書面にて確認を行うものとします。指示の実行によりRods&Conesに費用が発生する場合、Rods&Conesはまず当該費用についてコントローラーに通知します。プロセッサーは、インストラクションの実施にかかる費用を負担することをコントローラーが確認した後に、当該インストラクションを実施することが要求されます。

  1. プロセッサー側の義務

Rods&Conesとする。

  1. コントローラの指示に従い、コントローラのために個人データを処理すること。当該指示は、本DPAおよび上記第3項に規定する文書化されたその他の形式で提供されます。このようなコントローラの指示に従う義務は、個人データを第三国へ転送する場合にも適用されます。
  2. 理由の如何を問わず、管理者の指示に応じられない場合は、速やかに管理者に連絡すること。
  3. 個人情報を厳重に保管し
  4. また、お客様から事前に書面で許可を得た場合を除き、本サービスを実施するためにのみ個人データを処理し、その他の目的には使用しないものとします。
  5. コントローラに代わって個人データを処理する権限をRods&Conesから与えられた者が守秘義務を負うこと、及び個人データにアクセスできる者がコントローラの指示に従い当該個人データを処理することを保証すること。
  6. 個人データを処理する前に、GDPRの要件を満たす技術的および組織的なセキュリティ対策を実施し、当該技術的および組織的なセキュリティ対策についてコントローラーに十分な保証を提供することを確実にすること。
  7. 情報、アクセス、修正および消去、処理の制限、通知、データポータビリティ、異議および自動意思決定に関するデータ主体の権利行使の要求に対応するコントローラの義務の履行を、実行可能な限り、適切な技術的および組織的措置によって支援する。当該実行可能な技術的および組織的措置に変更または修正を要する場合、処理者はコントローラに、その追加または修正のための費用を助言する。コントローラがかかる費用を負担することを確認した後、プロセッサーは、コントローラがデータ主体の要求に対応するのを支援するために、かかる追加または修正された技術的および組織的手段を実施する。
  8. 本DPAおよびArt.28 GDPRに規定された義務の遵守を実証するために必要なすべての情報をControllerに提供すること。28 GDPRに定められた義務の遵守を証明するために必要なすべての情報を利用できるようにし、コントローラーまたはコントローラーが委任した別の監査人が行う検査を含む監査に貢献することです。コントローラは、対面でのオンサイト監査がRods&Conesの事業運営を著しく妨げ、費用と時間の面で高い支出を伴う可能性があることを認識しています。従って、コントローラは、業務妨害のためにコントローラが負担した費用及び経費をプロセッサーに弁償する場合に限り、直接訪問監査を実施することができます。
  9. を遅滞なくコントローラに通知する。
    • 法執行当局による個人データの開示に関する法的拘束力のある要求について。ただし、法執行当局による調査の秘密を保持するための刑法上の禁止事項など、その他の禁止事項がある場合はこの限りではありません。
    • データ対象者から直接受けた苦情および要求(アクセス、修正、消去、処理 の制限、データポータビリティ、データ処理に対する異議、自動意思決定など)に ついて、別途許可された場合を除き、その要求に応じることなく対応すること。
    • 処理者が従うべきEUまたは加盟国の法律に従って、管理者の指示を超えて個人情報を処理することが要求される場合、当該EUまたは加盟国の法律が公共の利益という重要な理由で当該情報を禁止していない限り、当該指示を超える処理を行う前に、当該通知は当該EUまたは加盟国の法律における法的要件を明示しなければなりません。
    • 処理者の見解において、指示がGDPRを侵害する場合、そのような通知を行った場合、処理者は、コントローラが確認または変更するまでは、その指示に従う義務はないものとします。
    • プロセッサーがRods&Conesにおける個人データの侵害を認識した後。そのような個人データの侵害の場合、処理者は、コントローラの書面による要求に応じて、適用されるデータ保護法に基づいて、データ対象者および監督機関に通知し、個人データの侵害を文書化するコントローラの義務を支援するものとします。
  10. コントローラが提供するサービスおよびコントローラに代わって処理者が処理する個人データに関連する、GDPRの第35条の要求するデータ保護インパクトアセスメントでコントローラを支援すること。処理者がコントローラーに提供するサービスおよびコントローラーに代わって処理者が処理する個人データに関連するGDPRの35条によって要求されるデータ保護影響評価に協力すること。
  11. 処理対象となる個人データの処理に関する制御者からのすべての問い合わせに対応し(制御者がデータ対象者からの苦情または要求に適時に対応できるようにするためなど)、移転されたデータの処理に関して監督官庁の助言を遵守すること。
  12. 本DPAの下で処理された個人データを修正、消去、および/またはブロックするよう処理者が要求される限り、処理者は不当な遅滞なくこれを行うこと。法的な保持義務により個人データを消去できない場合、およびその範囲において、処理者は、関連する個人データを消去する代わりに、個人データのさらなる処理および/または使用を制限し、または個人データから関連する識別情報を削除する(以下「ブロッキング」といいます)義務を負うものとします。処理者がこのようなブロッキングの義務を負う場合、処理者は、保持期間が終了する暦年の最終日以前または最終日に、関連する個人データを消去するものとします。
  1. サブプロセス
  1. Controllerは、Processorがサービスの提供のために従事するSub-processorの使用を承認します。コントローラは、以下のサブプロセッサの使用を承認します。
    名称住所使用目的
    マイクロソフト アイルランドOne Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irelandアプリケーションのホスティング
    Xirsys LLC25061 Avenue Stanford, Suite 10; Santa Clarita, California 91355, USターンサーバーのプロバイダー
    オープンブイピーエヌ7901 Stoneridge Drive, Suite 240, Pleasanton, California 94588, USVPNクライアント
  2. プロセッサーが新規または追加のサブプロセッサーを従事させようとする場合、プロセッサーは、サブプロセッサーの追加または交換に関する意図された変更をコントローラに通知するものとします(以下「サブプロセッサー」といいます)。サブプロセッサーに関するお知らせ").コントローラが新規または追加のサブプロセッサの使用に異議を唱える合理的な根拠がある場合、コントローラはサブプロセッサ通知の受領後14日以内に、プロセッサーに書面で速やかに通知するものとします。コントローラが新規または追加のサブプロセッサに異議を唱え、その異議が不合理でない場合、プロセッサーは、コントローラに不合理な負担をかけずに、異議を唱えた新規または追加のサブプロセッサによる個人データの処理を回避するために、本サービスの変更を利用可能にするか、コントローラの設定または本サービスの使用に商業的に合理的な変更を推奨するために妥当な努力をするものとします。処理者が60日を超えない合理的な期間内にかかる変更を行うことができない場合、コントローラは、処理者に書面で通知することにより、異議を唱えられた新規または追加のサブプロセッサーを使用しなければ処理者が提供できないサービスに限り、本契約の効力発生部分を終了させることができるものとします。
  3. 処理者は、契約によりサブプロセッサーに対して本DPAに規定されるのと同じデータ保護義務を課すものとします。処理者とサブ・プロセッサーの間の契約は、特に、技術的および組織的なセキュリティ対策がサブ・プロセッサーの提供するサービスに関連している限りにおいて、技術的および組織的なセキュリティ対策を実施するための十分な保証を提供するものとする。
  4. 処理者は、サブプロセッサーを真摯に選択するものとする。
  5. サブプロセッサーが第三国に所在する場合、コントローラーの書面による要請により、プロセッサーは、コントローラーのために(コントローラーの名前で)、決定2010/87/EUに基づくEUモデル契約(コントローラーからプロセッサー)を当該サブプロセッサーと締結することになります。この場合、コントローラは、プロセッサーに対し、コントローラの名前でサブプロセッサーを指示し、サブプロセッサーに対するコントローラの全ての権利をEUモデル契約に基づき使用することを指示し、権限を付与します。
  6. サブプロセッサーがその義務を履行しなかった場合、プロセッサーはコントローラーに対してその義務を履行する責任を負うものとします。ただし、プロセッサーは、コントローラーがサブプロセッサーに指示したことに起因する損害および請求については、責任を負わないものとします。
  1. 責任の制限

本DPに起因または関連するあらゆる責任は、本DPに規定され、またはその他の方法で適用される責任規定に従い、かつ排他的に支配されるものとし、他の場所には適用されないものとします。したがって、責任限度額の計算および/またはその他の責任制限の適用の判断のために、本DPAの下で発生したすべての責任は、本DPAの規定に基づいて発生したものとみなされるものとします。

  1. 期間と終了
  1. 本DPAの期間は、本基本契約の期間と同一とします。本契約で別途合意された場合を除き、解約権および解約要件は、基本契約に規定されたものと同一とします。
  2. プロセッサーは、サービスの提供の終了後、コントローラーの選択により、すべての個人データを削除またはコントローラーに返却し、EUまたは加盟国の法律がプロセッサーに当該個人データの保持を要求しない限り、既存のすべてのコピーを削除するものとします。
  1. その他
  1. 本DPAの規定と両当事者間の既存の他の契約との間に矛盾がある場合、両当事者のデータ保護義務に関しては、本DPAの規定が優先されるものとします。かかる他の契約における条項が両当事者のデータ保護義務に関連するか否かについて疑義が生じた場合、本DPAが優先するものとします。
  2. 本DPAのいずれかの条項が無効または執行不能となった場合であっても、本DPAの残りの条項は有効かつ効力を有するものとします。無効または執行不能な規定は、(i)両当事者の意図をできる限り維持しつつ、その有効性および執行可能性を確保するために必要な修正を行うか、または(これが不可能な場合)(ii)無効または執行不能な部分が存在しなかったかのように解釈されるものとします。上記は、本DPAの記載に漏れがある場合にも適用されるものとします。
  3. 本DPAおよびそれに基づく処理に対するGDPRの適用性を害することなく、彼のDPAは同じベルギーの法律に準拠するものとします。
  1. セキュリティ対策

Rods&Conesは、作成、収集、受領、またはその他の方法で取得した個人データのセキュリティを保護するために、技術的および組織的なセキュリティ対策と手順を最低限維持するものとします。

技術的および組織的なセキュリティ対策は、最新のものと考えることができます。Rods&Conesは、実施のためのコスト、処理の性質、範囲、文脈、目的、および自然人の権利と自由に対する様々な可能性と重大性のリスクを考慮し、技術的および組織的セキュリティ対策を長期的に評価します。

Rods&Conesは確保すること。

  1. 従業員のアクセス権を適切に設定していること。アクセス権が適切に管理されていることを保証するために、明確に定義された入社・退社プロセスを含む。
  2. 個人データへのアクセスに複雑な英数字のパスワードが必要であることを確認し、そのようなパスワードを安全に保つ必要性に関連したトレーニングが提供されるように、適切な管理が行われていること。
  3. 個人データへの不正アクセスの監視を含め、個人データの不正使用を特定するための手順を整備していること。
  4. 個人データへの不正アクセスの監視を含め、個人データの不正使用を特定するための手順を整備していること。
  5. 個人データを保護するために、適切かつ効果的な認証プロセスを確立し、使用する。
  6. ノートパソコンやその他のポータブルメディアに保存されている個人データは暗号化されています。
  7. 個人データはインターネットを通じて見ることはできません。個人データへのウェブベースのアクセスが許可されている場合、そのアクセスは関連するデータに関してのみ行われるものとします。
  8. ハードコピーとして保有される個人データは、鍵のかかったオフィス内の鍵のかかったキャビネットに保管され、権限を与えられた個人のみがアクセスできるようにするものとします。
  9. 処理に使用されるすべてのポータブルメディアを含む、正確で最新の資産台帳を維持すること。
  10. 従業員が自宅や安全な電子ネットワーク以外の電子機器から個人データにアクセスできないこと、およびそのような電子機器に個人データが保存されないこと。
  11. 個人データの違法な開示から生じる可能性のある損害に見合った適切な物理的安全対策が確立されていること。 このような物理的なセキュリティ対策は、Rods&Conesのデータセキュリティポリシーに記載されているとおりです。
  12. Rods&Conesが適切なデータセキュリティコンプライアンスポリシーを確立し、維持し、データセキュリティポリシーに準拠した個人データの使用を定期的に、いかなる場合でも毎年監査すること、及び
  13. DPAの遵守について責任を負う個人を文書で指名すること。