個人データの保護に関する補遺
このデータ保護補遺(以下「補遺」)は、以下の2社間の契約の一部を構成します:自らの代理として行動し、各ベンダーの関連会社の代理人として行動するベンダー; (ii)自らのために、また各関連会社の代理人として行動するケミン・インダストリーズ社(以下「ケミン社」)
この補遺で使用されている用語は、この補遺に記載されている意味を持ちます。本明細書において他に定義されていない用語は、本契約において示された意味を有するものとします。以下に変更がある場合を除き、本契約の条項は完全に有効であるとします。
以下の補遺の条項は、本契約に組み込まれ、添付され、その一部とみなされます。本契約と本補遺との間に矛盾がある場合は、本補遺が優先するものとします。ベンダーが本補遺のいずれかの規定を遵守しなかった場合、本契約の重大な違反とみなされます。
本契約に記載されている相互の義務を考慮して、当事者は、以下に記載されている契約条件が本契約の補遺として追加されることに同意します。
定義
1.1この補遺では、以下の用語は以下に述べる意味を持つものとし、同義語はそれに従って解釈されるものとします。
「ケミン・インダストリー アフィリエイト」とは、ケミン・インダストリー社と共通の管理または所有の下にある企業を意味し、支配とは、議決権を有する証券の所有権や契約あるいはその他の方法により、企業の管理および方針の指示・実行の権限を直接的または間接的に所有することと定義されます。
「ケミン社個人データ」とは、本契約に従って、または本契約に関連して、ケミン・インダストリー アフィリエイトに代わってベンダーが処理するあらゆる個人データを意味します。
「契約プロセッサ」とは、ベンダーまたはサブプロセッサを意味します。
「データ保護法」とは、個人データの処理または保護に関するすべての地域、国、および国際(EUを含む)の法律、命令、規制、および規制指針を意味し(これに限定されず、随時修正されます)、2016年4月27日付けのRegulation(EU)2016/679、General Data Protection Regulation(以下「GDPR」)を含みます;
「EEA」とは欧州経済地域を意味します;
「制限付き転送」とは:
ケミン・インダストリー アフィリエイトからベンダーへのケミン社個人データの転送;または
ケミン社個人データのベンダーからサブプロセッサへの転送、または2つのベンダーの事業所間での転送は、以下に定める標準契約条項がない場合はデータ保護法により禁止されています(またはデータ保護法のデータ転送制限に対応するデータ転送契約の条項によって)。
「サービス」とは、本契約に基づき、ケミン・インダストリー アフィリエイトのベンダーによってあるいはベンダーに代わって提供されるサービスおよびその他の活動を意味します。
「標準契約条項」とは、附属書1に規定され、その附属書に示されるように修正された契約条項を意味します。
「サブプロセッサ」とは、
契約においてケミン・インダストリー社の代理として個人データを処理するベンダーあるいはベンダーアフィリエイトによって指定された個人(第三者およびベンダーアフィリエイトを含むが、ベンダーの従業員またはその下請業者を除く)を意味します;そして
「ベンダーアフィリエイト」とは、ベンダーと共通の管理または所有の下にある企業を意味し、支配とは、議決権を有する証券の所有権や契約あるいはその他の方法により、企業の管理および方針の指示・実行の権限を直接的または間接的に所有することと定義されます。
1.2「委員会」、「管理者」、「データ主体」、「加盟国」、「個人情報」、「個人情報侵害」、「処理」および「監督当局」という用語はGDPRと同じ意味を持つものとします。そして、それらの同義語はそれに応じて解釈されるものとします。
1.3 「含む(など)」という語は、限定することなく含むことを意味すると解釈されるべきであり、そして同義語はそれに準じて解釈されます。
権限
ベンダーは、ベンダーアフィリエイトがケミン・インダストリー アフィリエイトに代わってケミン社個人データを処理する前に、ベンダーがそのベンダーアフィリエイトの代理としてこの補遺に記入されていることについて、そのベンダーアフィリエイトが正式かつ実質的に承認している(あるいは後に批准している)ことを保証・表明します。
ベンダーの義務
3.1ベンダーは、本契約を履行する過程で、ケミン社の個人データを処理する可能性があることを認識しています。
3.2ベンダーは、自らと各ベンダーアフィリエイトが以下のことを行うことをその期間を通じて継続的に表明・保証します:
(a)本契約に規定された目的のために、かつ本契約に基づく義務を遂行するために必要な範囲内においてのみ、ケミン社の指示に従ってケミン社個人データを処理します。(b)いかなるケミン社の個人データも第三者に開示、配布、販売、譲渡、リース、商業的に悪用(または悪用を許可)したり、他の方法で利用したりしません。(c)ケミン社の事前の同意がある場合を除き、または契約があっても準拠せざるを得ない法律によって許可された場合を除き、ケミン社の個人データ(集約および/または匿名化されたデータを含むがこれに限定されない)の複製、修正、またはこれらに派生する行為をしません。(d)ベンダーの所持、保管または管理においてケミン社個人データの無許可の処理、破壊、または損失を防止するために、業界の最高水準を満たす組織的、管理的、物理的および技術的な保護手段を実施および維持します。(e)すべての機密データおよび個人データの暗号化を含む適切なネットワークセキュリティプログラムを実施および維持します。(f)データ保護法の遵守を確実にします。(g)ベンダーのアフィリエイトの雇用およびそれに与えられるアクセス(権利)に関してあらゆる合理的な予防策を講じます。(h)契約期間中いつでもケミン社の要求に応じて、ベンダーが所有しているすべてのケミン社個人データの完全なコピーまたは完全なアクセスをケミン社に提供します。
3.3ベンダーは、(a)データの主体または規制当局(データ主体のアクセス要求を含む)についての問い合わせ、苦情およびその他の対応に関連して、妥当な協力、支援および情報をベンダーの自己負担でケミン社に提供するものとします。これはケミン社が該当するデータ保護法に基づく義務を遵守できるようにするために必要かもしれません。そして(b)ケミン社の要求により合理的に実行可能な限り速やかに個人データを修正、更新、補足、返品または削除します。
個人データのプロセッシング
4.1当事者は、本契約の文脈における個人データの処理に関して、ケミンインダストリーズおよび/またはその関連会社がデータ管理者であり、ベンダーがデータ処理者であり、ベンダーが以下の第7節(サブプロセッサ)の規定に従ってサブプロセッサに従事することを了解し、同意します。
4.2口頭による指示はすべて、書面あるいは電子メールで遅滞なく確認するものとします。 指示がデータ保護法に違反していると判断した場合、またはケミン社の指示の範囲外で個人データを処理する必要がある場合は、ベンダーは直ちにケミン社に通知するものとします。
4.3ベンダーによる個人データの処理は、本契約を履行することが目的であり、またそうするようにできています。 処理期間は本契約に基づいて定められた期間とし、本補遺に基づく権利および義務は、本補遺に基づいて処理されたすべての個人データがベンダーおよびそのサブプロセッサのシステムから削除されるまで有効です。
本契約の下で処理される個人データの種類およびデータ主体のカテゴリーには以下が含まれます:姓名、雇用者の連絡先の詳細、職業上の電子メールアドレス、個人の電子メールアドレス、個人の電話番号 、生年月日、国籍、出生地、性別、肩書、役職、職務内容、勤務先の詳細または条件、業務成績に関する情報、食事要件、および個人の生活データ。
その処理は、次の管轄区域で行われることがあります:米国ベンダーおよびベンダーアフィリエイトの従業員
5.1ベンダーおよび各ベンダーアフィリエイトは、ケミン社の個人データへのアクセスが、本契約下の義務遂行のため必要であるベンダーの従業員および請負業者(以下「人員」)に限定することを保証します。
ベンダーは、個人データの処理に従事する従業員が、個人データの機密性について通知を受け、その責任について適切なトレーニングを受け、書面による機密保持義務を履行し、かかる義務がそのベンダーでの従事の終了後も存続することを保証します。 ベンダーは、該当するデータ保護法に対しては、かかる法律に基づく要件の遂行に適切なデータ保護責任者を任命しています。指名された人に、契約書に記載されている住所と電話番号に連絡するかもしれません。
機密
6.1 最先端技術、実施コスト、処理の性質、範囲、文脈および目的、ならびに自然人の権利および自由に関するさまざまな可能性および重要性に潜むリスクを考慮して、ベンダーおよび各ベンダーアフィリエイトは ケミン社個人データに関連して、そのリスクに応じたレベルのセキュリティを確保するために適切な技術的および組織的措置を講じ、適宜GDPRの第32条(1)で言及されている措置を講じます。
6.2適切なレベルのセキュリティの評価では、ベンダーおよび各ベンダーアフィリエイトは、処理がもたらすリスク、特に個人データ侵害を考慮に入れます。
サブプロセッシング
7.1各ケミン・インダストリー アフィリエイトは、ベンダーおよび各ベンダー アフィリエイトに対し、本第7項および本契約におけるあらゆる制限に従って、サブプロセッサを任命する(およびこの第7章に従って任命される各サブプロセッサに任命することを許可する)権限を与えます。
7.2ベンダーおよび各ベンダーアフィリエイトは、本補遺の日付にしたがい、ベンダーおよび各ベンダーアフィリエイトが7.4節に記載の義務を履行可能な限り、既に従事しているサブプロセッサを引き続き使用することができます。
7.3ベンダーは、新しいサブプロセッサの任命について、サブプロセッサによって行われる処理の詳細のすべて、および本補遺の要件の実施を保証する由が記載されている書面を事前にケミン社に通達するものとします。
その通達を受領してから21日以内に、ケミン社が提案された任命に対して(合理的な理由で)異議を書面でベンダーに申し立てた場合、その異議に対処する合理的な措置がケミン・インダストリー アフィリエイトによって講じられ、ケミン社がそれについて書面で説明を受けるまでベンダーもベンダーアフィリエイトも、提案されたサブプロセッサーを任命(ケミン社個人データを開示)できないものとします。
7.4各サブプロセッサに関して、ベンダーまたは関連するベンダーアフィリエイトは以下のことを行います:
7.4.1サブプロセッサが最初にケミン社個人データを処理する前に(または関連する場合はセクション6.2に従って)、サブプロセッサが本契約で要求されるケミン社個人データを一定レベルに保護できることを確実にするために十分な注意を払います;
7.4.2(a)ベンダー、または(b)関連ベンダーアフィリエイト、または(c)関連中間サブプロセッサの間での契約を確実にします;一方 サブプロセッサは、本補遺に記載されているものと少なくとも同レベルにケミン社個人データを保護し、GDPRの第28条(3)の要件を満たす条件を含む契約書に準拠します;
7.4.3その取り決めが制限された譲渡を伴う場合、標準契約条項が(a)ベンダー、または(b)関連ベンダーアフィリエイト、または(c) 関連する中間サブプロセッサの間の契約にいつでも確実に組み込まれます;
そして、サブプロセッサは、一方で最初にケミン社個人データを処理する前に、関連のケミン・インダストリー アフィリエイトと標準契約条項 を組み入れた契約を締結します(ケミン社は、そのような標準契約条項に対し各ケミン・インダストリー アフィリエイトが人員を配置し実行に移すことを斡旋します。)。
7.4.4 ケミン社が随時要求した場合、サブプロセッサとベンダー間の契約(この補遺の要件に関連しない機密の商業情報が削除される可能性がある)の写しのレビューをケミン社に提供するものとします。
7.5ベンダーおよび各ベンダーアフィリエイトは、この補遺でのベンダーの代理のように、各サブプロセッサが第3.1、4、6、8.1、9.2、10および12.1条に基づく義務を履行することを保証するものとします。
データ主体の権利
8.1データ保護法に基づいてデータ主体の権利行使の要求に応えるため、処理の性質を考慮して、ベンダーおよび各ベンダーアフィリエイトは、ケミン・インダストリー アフィリエイトの義務を果たすために、適切な技術的および組織的措置を講じることによって、各ケミン・インダストリー アフィリエイトを可能な限り支援するものとします。
8.2 ベンダーは以下のことを行います:
8.2.1 ベンダーアフィリエイトあるいはサブプロセッサーがケミン社個人データに関してデータ保護法に基づきデータ主体から要求を受けた場合は、ケミン社に速やかに通知するものとします; そして
8.2.2ケミン社または関連するケミン・インダストリー アフィリエイトの文書化された指示以外、あるいははベンダーが適用法に要求される場合を除き、それまたはベンダーアフィリエイトまたはサブプロセッサはその要求に対応せず、その場合 ベンダーは、適用法で許可されている範囲で、要求に対応する前にその法的要求をケミン社に通知するものとします。
個人データの侵害
9.1ベンダーまたはサブプロセッサがケミン社の個人データに影響を与える侵害を知った場合、ベンダーは過度に遅滞することなくケミン社に通知し、各ケミン・インダストリー アフィリエイトがデータ保護法に基づき個人データ侵害のデータ主体を報告・通知する義務を果たすのに十分な情報をケミン社に提供します。
9.2ベンダーは、ケミン社および各ケミン・インダストリーアフィリエイトと協力し、ケミン社が指示した合理的な商業的措置を講じて、そのような各個人データ侵害の調査、軽減、および修復を支援するものとします。
データ保護がもたらす影響の評価および事前協議
ベンダーおよび各ベンダーアフィリエイトは、データ保護への影響の評価および監督当局またはその他の有力なデータプライバシー関連当局との事前協議により、各ケミン・インダストリー アフィリエイトを合理的に支援します。それは、ケミン・インダストリー アフィリエイトにGDPR第35または36条あるいは他のデータ保護法の同等の規定により要求されているとケミン社が合理的にみなす場合であり、それぞれのケースごとケミン社個人データの処理にのみ関連し、その処理の性質および利用可能な情報を考慮に入れます。
ケミン社個人データの削除または返却
11.1 第11.2条および第11.3条に従って各ベンダーおよび各ベンダーアフィリエイトは、ケミン社の個人データの処理を含むサービスの停止日(「停止日」)から21日以内に、それらのケミン社個人データのコピーをすみやかに削除し、削除に努めます。
11.2第11.3条に従って、ケミン社はその絶対的な裁量により、ベンダーおよび各ベンダーアフィリエイトに書面による通知で(a)すべてのケミン社個人データの完全なコピーの安全なファイル転送によるケミン社への返却;(b)ベンダーが処理したケミン社個人データの他のすべてのコピーの削除を求めることができます。ベンダーおよび各ベンダーアフィリエイトは、そのような書面による要求にすみやかに、少なくとも停止日の21営業日以内に応じるものとします。
11.3ベンダーは、適用法で要求される範囲内及び期間でのみケミン社個人データを保持することができ、常にそのケミン社個人データすべての機密性を保証するものとし、そのケミン社個人データは、その保管を要求する適用法に応じる目的でのみ処理され、その他の目的では処理されません。
11.4ベンダーは、ケミン社に対して、その終了日から21日以内に、そのベンダーと各ベンダーアフィリエイトが本11条を完全に遵守していることを書面で保証するものとします。
監査権
12.1 12.2から12.4条に従って、ベンダーおよび各ベンダーアフィリエイトは、要求に応じて本補遺の遵守を証明するために必要なすべての情報を各ケミン・インダストリー アフィリエイトに提供し、ベンダーが行ったケミン社個人データ処理に関連したケミン・インダストリー アフィリエイトによるあるいはケミン・インダストリー アフィリエイトの指名者などによる監査に貢献します。
12.2 ケミン・インダストリー アフィリエイトの情報および監査の権利は、本契約によりデータ保護法の関連要件を満たす情報および監査の権利(該当する場合にはGDPRの第28.3条を含む)が与えられない限り、第12.1条に基づいてのみ発生します。
12.3 ケミン社または関連するケミン・インダストリー アフィリエイトは、監査を行う場合は、第12条に基づいて実施される監査または査察について、ベンダーまたは関連するベンダーアフィリエイトに合理的な通知を行い、そのような監査または査察の過程で従業員が施設内にいる間に、ベンダーの施設、機器、人員、および事業に損害、けが、または混乱を回避するための合理的な努力をはらわなければなりません(または、回避することができない場合は最小限に抑えること)。以下のような監査や査察の目的で、ベンダーはその施設へのアクセスを許可する必要はありません:
身分証明書を提示しない個人に対して;
それらの施設の通常の営業時間外の監査は、緊急性がない限り、およびケミン社または関連ケミン・インダストリー アフィリエイトがベンダーまたは関連ベンダーアフィリエイトにその由を通知しない限り行われません。
次のような追加の監査または査察を除く毎暦年行われるベンダーへの複数回の監査・検査の目的:
監査を行うケミン社または関連するケミン・インダストリー アフィリエイトは、ベンダーまたは関連するベンダーアフィリエイトがこの補遺を遵守しているかどうかについて、真の懸念から当然起き得る可能性を合理的に判断します。; または
ケミン社またはその関連ケミン・インダストリー アフィリエイトが監査を行った場合、ケミン・インダストリー アフィリエイトは、データ保護法、監督当局、またはあらゆる国や地域におけるデータ保護法の施行に責任を負う同様の規制当局から実行することを要求されます。監査を行ったケミン社またはケミン・インダストリー アフィリエイト はベンダーまたは関連ベンダーアフィリエイトへの監査・査察の通知において、懸念事項または関連要件・要求を確認しています。
制限付き転送
13.1第13.3条に従い、各ケミン・インダストリー アフィリエイト(「データエクスポーター」として)およびベンダー(「データインポーター」として)は、そのケミン・インダストリー アフィリエイトからベンダーへの制限付き転送に関して標準契約を締結します。
13.2標準契約条項は、以下の条項の13.1条に基づいて施行する。
データエクスポーターがそれらに該当する当事者になります。
データインポーターがそれらに該当する当事者になります。そして
関連する制限付き転送の開始
13.3第13.1条は、他の合理的に実行可能な遵守措置(疑義を避けるためにデータ主体からの同意を得ることを含まない)を伴いデータ保護法に違反しないことを条件に、制限付き転送に適用されます。
13.4ベンダーは、ベンダーアフィリエイトではないサブプロセッサへの制限付き転送の開始前に、ベンダーまたは関連するベンダーアフィリエイトが第13.1条に基づいて標準契約条項に参加すること、および第14.4.1条に基づいて行われたそれら標準契約条項の変更に同意することを表明し保証し、そのサブプロセッサはそのベンダーが自らの代理人であることを厳密かつ実際的に承認しています(またはその後批准しています)。
一般用語
準拠法および管轄
14.1標準契約条項の7(仲裁および管轄)および9(準拠法)の条項を害することなく:
14.1.1本補遺の当事者は、本補遺の下で生じたいかなる紛争または請求についても、その存在、有効性、終了、またはその無効の結果に関する紛争を含め、本契約に定める管轄の選択に従うものとします;そして
14.1.2本補遺およびそれに関連して生じる、またはそれに関連して発生するその他すべての非契約的またはその他の義務は、本契約でこの目的のために規定された国または地域の法律に準拠します。
優先順位
14.2本補遺は、個人データ保護にかかる本契約下のベンダーまたはベンダーアフィリエイトの義務を軽減するものでも、本ベンダーまたはベンダーアフィリエイトが本契約で禁止されている方法で個人データを処理することを許可するものでもありません 。 本補遺と標準契約条項との間に矛盾あるいは非一貫性がある場合は、標準契約条項が優先するものとします。
14.3本補遺の日付以降締結されたあるいは締結の意図があった契約(当事者に代わる署名により別途書面で明確に合意された場合を除く)を含み、本補遺の条項と当事者間のその他の合意との間に矛盾がある場合は、本補遺の主題の関連において第14.2条に従い、本補遺の規定が優先します。
データ保護法等の変更
ケミン社は以下のことを行うことがあります:
14.4.1 30暦日前までに何度か書面でベンダーに通知することにより、標準契約条項(第13.1条に基づいて締結された標準契約条項を含む)に変更が加えられます。というのはそれらが特定のデータ保護法に適用され、そのデータ保護法の変更または権限のある当局による決定の結果として、そのデータ保護法に侵害することなく制限付き転送が行われる(または行われ続ける)ために必要だからです; そして
14.4.2 データ保護法の要件を満たすために必要な変更を補遺に加えることを提案します。
14.5 ケミン社が第14.4.1条に基づいて通知する場合
14.5.1ベンダーと各ベンダーアフィリエイトは、第7.4.3条に基づいて行われた合意に対して同等の変更が確実に行われるために、迅速に協力します(そして影響を受けるサブプロセッサが迅速に協力することを確保します); そして
14.5.2 ケミン社は、第14.4.1条および/または第14.5.1条に基づく変更に関連して生じるさらなるリスクから自身またはベンダーアフィリエイトを保護するためにベンダーが提案した本補遺の派生的な変更に対する合意を不当に保留または遅らせてはなりません。
14.6ケミン社が第14.4.2条に基づいて通知を行う場合、当事者は、提案された変更について速やかに議論し、ケミン社の通知に記載の要件の処理に関する変更への同意・実装のため誠意ある交渉を行います。
14.7 ケミン社もベンダーも、第14.5条やその他に従ってこの補遺を修正するために、ケミン・インダストリー アフィリエイトまたはベンダーアフィリエイトの同意または承認を要求するものではありません。
契約解除
14.8本追加条項のいずれかの条項が無効または執行不能の場合、本追加条項の残りの部分は引き続き有効かつ効力を有するものとします。 無効または執行不可能な条項は、(i)当事者の意図をできる限り厳密に維持しながら、その有効性および執行可能性を確保するために必要に応じて修正されるか、またはこれが不可能な場合は、(ii)あたかも無効または執行不可能な部分が含まれていなかったかのように解釈されます。