Xデータ処理追加条項

本Xデータ処理追加条項（以下「本DPA」という）は、処理業者が(i) Xのデータ処理受託業者として、欧州経済地域（European Economic Area）、英国およびスイスから由来する個人データを、または(ii) Xの受託業者として、カリフォルニア州の消費者の個人情報（以下、総称して「Xデータ」という）を、処理する限度において、貴社とX, Inc.、X International Companyおよびその関連会社または子会社（以下「X社」という）とのすべての契約（以下「関連契約」という）を修正し、適用するものである。

1. 定義

本DPAで使用されるが、本DPAで定義されない用語および表現は、(i) EU一般データ保護規則（2016/679）（その下位法または実施法を含む。以下「GDPR」という）、(ii) 欧州連合-米国プライバシー・シールドおよびスイス-米国プライバシー・シールド（以下「プライバシー・シールド」という）、ならびに(iii) 2018年カリフォルニア州消費者プライバシー法（カリフォルニア州民法第1798.100条以下。以下「CCPA」という）（以下、総称して「適用データ保護法令」という）において当該用語および表現に与えられる意味を有するものとする。.

「処理業者」とは、X社との間で本DPAに同意したデータ処理受託業者または受託業者を指す。

2. 処理業務の詳細

X社のために処理業者が行う処理作業、X社から処理業者への指示、処理業者が配備するセキュリティ対策等の処理の内容は、処理業者とX社との間の関連契約に記載される。 処理業者は、処理作業を行うにあたり、X社のために、X社の指示を受けて受託業者として活動する。

3. X社の義務

3.1 X社は、現在および将来におけるXデータの処理の目的および手段ならびに方法を決定する。

3.2 X社は、本DPAに基づき処理業者に提供されるXデータに関して、以下の点を表明および保証し、同意する。

3.2.1 X社は、データのコントローラーまたは事業者に関して適用データ保護法令が規定する個人データの安全性に関する義務およびその他の義務を遵守する。

3.2.2 X社は、処理業者へのXデータの提供に関して適用データ保護法令を遵守していることを確認する。

3.2.3 X社は、個人データまたは個人情報が収集される個人または消費者が権利を行使するための手続を定めた。

3.2.4 X社は、合法かつ正当に収集された個人データまたは個人情報のみを処理し、それらのデータまたは情報が、それぞれの使用に関連し、かつ、使用に照らして適正な範囲内であることを保証する。

3.2.5 X社は、X社がそのプライバシーポリシーにおいてユーザーに対して行う開示と一致する事業目的のためにXデータを処理業者に開示する。X社は処理業者にXデータを販売するものではない。

3.2.6 X社は、適用データ保護法令の要求事項を検討した後、実施されるセキュリティおよび秘密保持の措置が、偶発的または違法な破壊、偶発的な損失、改ざん、不正または違法な開示またはアクセス（特に処理がネットワーク上のデータ送信を伴う場合）、およびその他のあらゆる形態の違法または不正な処理に対するXデータの保護措置としてふさわしいものであることを保証する。

3.2.7 X社は、X社の職員およびX社のためにXデータにアクセスまたはXデータを使用する者が、本DPAの規定を遵守することを確実にするために合理的な措置を講じる。

4. 処理業者の義務

4.1 処理業者は、X社のためにXデータの処理を行う。

4.2 GDPR第28条の規定に基づき、処理業者は、以下の点に同意する。

4.2.1 処理業者は、EUまたは処理業者に適用される加盟国の法律により要求されない限り、X社のみのために、本DPAおよび処理業者とX社との間のすべての関連契約における指示を含め、X社の指示（データの国際移転に関する指示を含む）に従いXデータを処理する。

4.2.2 処理業者は、X社の指示が適用データ保護法令に違反すると処理業者が判断した場合には、X社に直ちに通知する。

4.2.3 処理業者は、Xデータの処理作業を開始する前にX社との間の関連契約に規定される適切な技術的かつ組織的なセキュリティ対策を実施し、当該セキュリティ対策（またはより高水準のセキュリティ対策）を本DPAの期間中維持し、X社に対して処理業者のプライバシーおよびセキュリティ方針に係る合理的な証拠を提供する。

4.2.4 処理業者は、(i) 処理業者が雇用する者、および(ii) 処理業者の事業所に従事する者でXデータを処理する可能性があるその他の者が、本DPAを認識し、かつ遵守していることを保証するために合理的な措置を講じる。

4.2.5 処理業者は、すべての関連契約において詳細に規定されるXデータに関する秘密保持義務を遵守し、処理業者の従業員、権限を有する代理人および下請処理業者が、雇用、契約または委託終了後を含め、Xデータの秘密性を遵守し、かつ、認識および尊重することを保証するために合理的な措置を講じる。

4.2.6 処理業者は、以下の事項をX社に通知する。

4.2.6.1 警察当局によるXデータの開示を求める法的拘束力のある要求（警察当局による捜査の秘密性を保持するためなど、禁止されている場合を除く）

4.2.6.2 Xデータに関する適用データ保護法令における個人データの侵害で、適用データ保護法令に基づき監督官庁またはデータ主体に通知することが求められる可能性のあるもの（以下「セキュリティインシデント」という）

4.2.6.3 監督官庁によるXデータについての関連通知、照会または調査

4.2.6.4 データ主体から直接受領した、Xデータへのアクセス、訂正またはブロックの要求（X社が対応することを承認している場合、または法律により対応が要求される場合を除き、要求に対応することなくX社に通知する）

4.2.7 処理業者は、以下のX社の義務に関して、X社に適切な協力および支援を提供する。

4.2.7.1 データ主体から直接受領した、XデータへのアクセスまたはXデータの訂正、消去、制限、ブロックもしくは削除に関する要求

4.2.7.2 セキュリティインシデントの調査、ならびにセキュリティインシデントに関する監督官庁およびデータ主体への通知

4.2.7.3 データ保護に対する影響の評価の作成、および、（該当する場合には、）監督官庁との協議の実施

4.2.7.4 処理業者とX社との間の関連契約に詳述される技術的および組織的なセキュリティ対策を実施することを含めた、Xデータのセキュリティ

4.2.8 処理業者は、法律上処理業者がXデータを処理する必要がある場合には、処理作業の前にX社にかかる必要性を通知するために合理的な措置を講じる（但し、重要な公共の利益を理由としてX社に通知することが禁止されている場合を除く）。

4.2.9 処理業者は、合理的な要請があれば、本第4.2条の義務の遵守を証明するために必要な情報をX社に提供する。

4.3 CCPAに従って、処理業者は、以下の事項に同意する。

4.3.1 処理業者は、Xデータに関する受託業者としてのみ行動する。

4.3.2 処理業者は、本DPAまたは処理業者とX社との間のその他の関連契約に明記されたサービスを履行するという特定の目的以外の目的でXデータを保持、使用または開示しないものとする。

4.3.3 処理業者は、本DPAおよび処理業者とX社との間のその他の関連契約に明記されたサービスの履行の一部として、Xデータを匿名化し、または集約することができる。

4.3.4 処理業者は、本DPAの本第4.3条に定める要求事項および制限事項を理解し、これを遵守することを確認する。

4.4 X社または処理業者とX社の双方が合意した認定第三者監査法人は、処理業者に合理的な事前通知を行い、合理的な秘密保持手続に従うことを条件として、処理業者の事業に支障をきたさない方法で、通常の営業時間中に処理業者の本DPAの規定の遵守状況を監査することができる。X社は、処理業者が履行したサポートサービスの料金および処理業者が第4.3条および第4.2.7条を遵守するために負担した費用に加えて、当該監査のために処理業者が負担したすべての時間に対するすべての合理的な費用および手数料を含む当該監査に関連するすべての費用および手数料を負担する。当該監査の開始前に、処理業者およびX社は、監査の時期、期間および範囲について相互に合意する。 X社は、監査の過程で発見された不遵守に関する情報を速やかに処理業者に通知する。

4.5 プライバシー・シールドの規定に加えて、処理業者は、EUの個人データを、以下リンクのウェブサイトに記載のプライバシー・シールド原則に基づいて要求される保護水準と少なくとも同等の保護水準で提供することに同意する。 www.privacyshield.gov/EU-US-Framework.

5. 譲渡、開示および第三者

5.1 X社は、(a) 処理業者の関連会社が下請処理業者として起用される場合があること、ならびに(b) 処理業者および処理業者の関連会社が、データ処理サービスの提供に関連して第三者を起用する場合があることを確認し、これに同意する。 処理業者または処理業者の関連会社は、かかる下請処理業者との間で、本DPAに規定されるところと同様のレベルのデータ保護の遵守および情報セキュリティを保証することを要求する契約を締結する。 本第5条において、X社は、処理業者に対して、関連契約に基づきデータ処理サービスを提供する目的で、処理業者を支援するために必要な下請処理業者を起用する権限を付与する。

5.2 処理業者は、処理業者がデータ処理サービスのために使用する下請処理業者の現行のリストをX社に提供する。 処理業者は、Xデータの新たな下請処理業者を起用する前に、下請処理業者がXデータの処理を開始する日（以下「下請処理業者処理開始日」という）を含め、X社に適切な通知を行う。X社は、下請処理業者処理開始日よりも前に、Xデータを処理業者に提供することを中止することによって、処理業者による新たな下請処理業者の起用に反対することができる。X社が、下請処理業者処理開始日以降も該当する製品、プログラムまたは機能を継続して使用する場合には、X社は新たな下請処理業者の起用を承諾したものとする。

6. 契約終了後の義務

処理業者およびX社は、データ処理サービスが終了した場合には、処理業者および下請処理業者が、関連契約に記載された制限に従い、当該データ処理サービスに関連するすべてのXデータおよび当該データのコピーをXに返却するか、または安全に破棄し、かかる破棄措置を講じたことをX社が満足する形式で証明することに同意する。但し、適用法令により、Xデータの全部または一部を処理業者が返却または破棄することができない場合はこの限りではない。この場合、処理業者または下請処理業者は、処理業者が保有するXデータの秘密性を保持すること、および処理業者は、契約終了日以降、処理業者に適用される法律を遵守するためにのみ、Xデータを積極的に処理することに同意する。

7. 準拠法・裁判管轄

処理業者がEUまたはEEAに所在する場合には、本DPAまたはその対象事項もしくは成立に起因または関連する紛争または請求（契約外の紛争または請求を含む）は、アイルランド法に準拠し、これに従って解釈されるものとし、本DPAの両当事者は、本DPAまたはその対象事項もしくは成立に起因または関連する紛争または請求（契約外の紛争または請求を含む）についてはアイルランドの裁判所が専属管轄権を有することに取消不能の合意をする。

処理業者がEUまたはEEA外に所在する場合には、本DPAまたはその対象事項もしくは成立に起因または関連する紛争または請求（契約外の紛争または請求を含む）は、米国カリフォルニア州法に準拠し、これに従って解釈されるものとし、本DPAの両当事者は、本DPAまたはその対象事項もしくは成立に起因または関連する紛争または請求（契約外の紛争または請求を含む）については米国カリフォルニア州サンフランシスコ郡に所在する連邦裁判所または州裁判所が専属管轄権を有することに取消不能の合意をする。

8. 抵触

本DPAの規定と、処理業者とX社との間のその他の契約上の規定（関連契約の規定を含むがこれに限定されない）との間に抵触がある場合には、本DPAの規定が優先するものとする。