Loading…
本データ処理付属書(「DPA」)は、RegulatoryBridge Global Ltd.(「処理者」または「RegulatoryBridge」)と、利用規約に同意するかオーダーフォームを締結する顧客(「管理者」または「顧客」)との間で締結されます。
本DPAは、本サービスに関連して顧客に代わってRegulatoryBridgeが行う個人データの処理に適用されます。顧客は管理者(または該当する場合、自社の顧客管理者に代わって行動する処理者)です。RegulatoryBridgeは処理者(または該当する場合、再処理者)です。個人データが双方の当事者によって共同の目的のために処理される場合、両当事者はGDPR第26条に基づき別途の共同管理者取決めを締結します。
「適用されるデータ保護法」とは、GDPR、UK GDPR + 2018年データ保護法、カリフォルニア州CCPA/CPRA、ブラジルLGPD、インドDPDPA、シンガポールPDPA、日本APPI、スイスFADP、および本DPAに基づく処理に適用されるその他のプライバシー法を意味します。
使用されているが定義されていない大文字始まりの用語は、利用規約または適用されるデータ保護法(当該用語に適用される方)における意味を有します。
対象事項、性質、目的、期間、データ主体のカテゴリ、および個人データのカテゴリは、附属書Aに記載されています。
RegulatoryBridgeは、(a) オーダーフォーム、(b) 本DPA、(c) RegulatoryBridgeが受諾したその他の書面による指示、に規定された顧客の文書化された指示に従ってのみ個人データを処理します。当社は、当社の見解において指示が適用されるデータ保護法に違反する場合は顧客に通知し、顧客の判断を待つ間、処理を一時停止することがあります。
個人データにアクセスするRegulatoryBridgeのすべての従業員および請負業者は、書面による機密保持義務を負うか、適切な法定の守秘義務の下にあり、定期的にデータ保護およびセキュリティのトレーニングを受けています。
当社は、最新技術、実装コスト、ならびに処理の性質、範囲、状況および目的を考慮し、リスクに応じた適切なレベルのセキュリティを確保するために、適切な技術的および組織的対策を実施・維持します。現在の対策は附属書Bに記載されており、ISO/IEC 27001:2022およびSOC 2 Type IIの管理策ファミリーに準拠しています。
処理の性質を考慮し、RegulatoryBridgeは、データ主体が自らの権利を行使する請求に顧客が対応する義務を果たせるよう、適切な技術的および組織的対策を通じて合理的な支援を提供します。データ主体が顧客のデータに関する請求についてRegulatoryBridgeに直接連絡した場合、当社は速やかにその請求を顧客に転送します。
RegulatoryBridgeは、顧客の個人データに影響を与える個人データ侵害について、不当な遅延なく、いかなる場合も認識してから48時間以内に顧客に通知します。通知には、当時判明している範囲で、GDPR第33条(3)(またはその他の適用されるデータ保護法における同等の規定)に定める情報を含めます。当社は、顧客が監督当局およびデータ主体に対する自らの通知義務を果たすにあたり、合理的な支援を提供します。
個人データが、十分性認定の恩恵を受けない第三国へEEA / 英国 / スイスから移転される場合、両当事者は、参照によりEU標準契約条項(委員会実施決定(EU)2021/914)のモジュール2(管理者 → 処理者)または該当する場合はモジュール3(処理者 → 処理者)を、英国への移転についてはUK国際データ移転付属書とともに、スイスへの移転についてはスイスFDPICが認める適合化とともに組み込みます。
インド(DPDPA)、ブラジル(LGPD)、日本(APPI)、シンガポール(PDPA)からの移転については、両当事者は関連法の下で認められている仕組み(同意、十分性、契約上の保護措置)および請求に応じて提供される国別付属書に依拠します。
RegulatoryBridgeは、本DPAの遵守を証明するために合理的に必要なすべての情報を顧客に提供し、顧客または顧客が指定した監査人による検査を含む監査を許可し、これに協力します。重複と業務上の支障を最小限に抑えるため:
顧客の選択により、本サービスの終了時に、RegulatoryBridgeは、適用されるデータ保護法により保持が必要とされる場合を除き、すべての個人データを顧客に返却するか、バックアップを含めて90日以内に削除します。顧客は、サブスクリプション期間中、ドキュメントに記載された標準的なエクスポートツールを使用して顧客コンテンツをエクスポートすることができます。
本DPAに基づく各当事者の責任は、適用されるデータ保護法により上限を設けないことが求められる場合を除き、利用規約に定める責任の制限に従います。
本DPAは上記の発効日から効力を生じ、RegulatoryBridgeが顧客に代わって個人データを処理する限り効力を維持します。その性質上終了後も存続すべき条項(セキュリティ、機密保持、監査、終了前の事象に関する侵害通知)は、引き続き存続します。
本DPAは、データ主体の常居所地の強行法を妨げることなく、Irelandの法律に準拠します。紛争は利用規約に従って解決されます。
対象事項: オーダーフォームに記載された本サービスの提供(規制代理、DPOサービス、侵害対応、および関連ソフトウェアを含む)。
期間: サブスクリプション期間に、本DPAの第12条に定める保持期間を加えた期間。
処理の性質と目的: 本サービスを提供するための個人データの保存、アクセス、整理、構造化、送信、その他の処理。
データ主体のカテゴリ: 顧客のエンドユーザー、従業員、請負業者、見込み客、ベンダー、および顧客コンテンツに含まれる個人データの対象となるその他の自然人。
個人データのカテゴリ: 連絡先識別子(氏名、業務用メールアドレス、役職)、行動データ(本サービスとのやり取り)、コンプライアンス成果物(DSAR記録、侵害インシデント、同意記録)、顧客がアップロードしたコンテンツ(顧客の設定によっては他のカテゴリを含む場合があります)。
特別カテゴリのデータ: 原則としてなし。顧客が特別カテゴリまたは機微な個人データをアップロードすることを選択した場合、顧客はGDPR第9条またはその同等規定に基づく適切な適法条件を確保する責任を負います。
処理の頻度: サブスクリプション期間中、継続的に行われます。
承認された再処理者の現行リストは/sub-processorsで公開・管理されています。オーダーフォーム受諾時点のリストは、参照により本書に組み込まれます。更新は第7条に定めるとおりに通知されます。
src/lib/legal-entity.tsから取得されます。