データ共有契約書

本 Snyk データ共有契約書およびその附則 (以下「DSA」) は、Snyk Limited とその関連会社 (以下、総称して「当社」) およびお客様 (以下「取引先」) (以下合わせて「両当事者」) のサービスに関する 1 つまたは複数の契約 以下「サービス契約」) に基づいてお客様が当社に提供するサービス (以下「サービス」) に当たり、両当事者が行う個人データの処理に関する両当事者の合意を反映するものです。 

本 DSA は、契約に基づいて取引先が当社に提供するサービスに追加されるものであり、サービス契約に記載された契約発効日に発効します。本 DSA の条項のいずれかがサービス契約の条項と矛盾する、または一致しない場合は、本 DSA がサービス契約の条項に優先して適用されます。

当社が本 DSA の条項を随時更新する場合、取引先は本Webページを定期的にチェックして、変更点を確認する必要があります。当社は、このWebページに本 DSA の条項の最終更新日を掲載します。 

本 DSA の有効期間は、サービス契約の期間と同一とします。本 DSA に定義されていない用語については、サービス契約に記載されているものと同じ意味を有します。

(A) 取引先は、Snyk にサービスを提供する目的で、個人データ (以下に定義) へのアクセス、受領、または Snyk へ提供することができ、それぞれが一定の義務の対象となります。

(B) Snyk は個人データの管理者となり、本 DSAでは個人データの提供条件およびその利用方法が規定されます。

(C) 取引先は、処理活動および処理の目的に応じて、管理者または処理者となります。サービス契約では、サービスおよび実施する処理活動に関する取引先の役割が定められています。 

1. 定義および解釈

   1.1 本 DSA において、
   (a) 「CCPA」とは、2018 年に改正されたカリフォルニア州消費者プライバシー法 (Cal.Civ.Code §§ 1798.100 ～ 1798.199)、CCPA 規則 (Cal.Code Regs. tit.11, §§ 999.300 ～ 999.337)、およびカリフォルニア州司法長官が定める関連規則または指針を意味します。CCPA で定義された用語 (個人情報、サービス提供者、事業目的など) は、本 DSA においても同じ意味を有します。
   (b) 「委託業務目的」とは、サービス契約に記載されたサービスのうち、取引先が個人情報を受領する、または個人情報にアクセスすることを伴うサービスを意味します。
   (c) 「Snyk」とは、Highlands House, Basingstoke Road, Spencers Wood, Reading, Berkshire, RG7 1NT United Kingdom に所在する Snyk Limited およびその関連会社を意味します。
   (d) 「取引先」とは、サービス契約の相手方を意味します。
   (e) 「管理者」、「データ主体」、「個人データ」、「処理/加工」、「処理者」、および「十分性認定」は、GDPR と同じ意味を有します。
   (f) 「移転条項」とは、(i) 2004 年12 月 27 日の欧州委員会決定によって承認された、欧州経済領域 (「EEA」) から第三国への個人データ移転に関する標準契約条項 (本 DSA の附則 1 に記載) (随時修正される可能性があります)、および (ii) 2010 年 2 月 5 日の欧州委員会決定によって承認された標準契約条項 (本 DSA の附則 2 に記載) (随時修正される可能性があります) を意味します。
   (g) 「データ保護法」とは、個人データ保護または個人のプライバシーに関して適用される法律または規制 (それぞれ改正版) を意味します。これには、GDPR、GDPR の要求事項を実行する各 EU 加盟国の法律、および2018年カリフォルニア州消費者プライバシー法を含みますが、これらに限定されません。
   (h) 「GDPR」とは、欧州連合規則 (EU) 2016/679 を意味します。

   1.2 単数形への言及は複数形を含み、その逆もまた同様とします。

   1.3 「含む」、「含まれる」、「含んでいる」、「特に」、または同様の単語もしくは表現に続く単語は無制限に解釈され、それに応じて、かかる単語の前にくる単語の意味を限定するものではありません。

取引先が管理者の場合、以下が適用されます。

1. 関係法令の遵守

   2.1 両当事者は、本 DSA に従って自ら収集した、あるいは相手方から受領した個人データの収集および処理において、データ保護法に従います。 

   2.2 両当事者は、相手方に代わりデータ処理者として行動していないこと、およびデータ保護法に基づくそれぞれの遵守義務を果たす責任があることを了承し、同意します。

2. 取引先の保証

   3.1 取引先は、次を保証します。 
   (a) 取引先は、Snyk から個人データを受領してから 14 日以内に、適用されるすべてのデータ保護法に従い、すべてのデータ主体にプライバシー通知を提供します。
   (b) 取引先は、個人データに関する Snyk またはデータ主体からのすべての問い合わせに迅速に対応し、特に、データ主体または Snyk からの要求に応じて、データ保護法に基づくデータ主体からの権利行使の要求にはすべて対応します。

取引先が処理者の場合、以下が適用されます。

4.1 取引先は当社の処理者として、以下に同意します。
(a) 本 DSA および当社の指示に従ってのみ、個人データを処理すること。
(b) 当社が提供する指示がデータ保護法に違反している場合は、速やかに当社に通知すること。
(c) 個人データの偶発的または違法な破壊、紛失、改ざん、または不正な開示やアクセスに対する保護など、処理によって生じるリスクに適したセキュリティレベルを確保するために、技術的および組織的に適切な措置を実施すること。
(d) 取引先の従業員、代理人、下請業者 (「担当者」) に対し、サービスの遂行に必要な場合にのみ個人データへのアクセスを許可し、担当者の守秘義務遵守を確保すること。
(e) 取引先が所有または管理している個人データに、偶発的または違法な破壊、紛失、改ざん、不正な開示またはアクセスに起因するセキュリティ違反があった場合、速やかに当社に通知すること。
(f) セキュリティ違反、およびそのセキュリティ違反に関して取引先が所有するすべての情報に関して、合理的な支援を当社に提供すること。
(g) データ保護影響評価、GDPR に基づくデータ主体による権利行使要求への対応、および監督官庁との連携に関して合理的な要請があった場合、当社を支援すること。 
(h) GDPR 第 30.2 条で義務付けられている処理活動の記録を維持し、要求に応じて該当する監督官庁にかかる記録を提供すること。

5.1 また、取引先は、CCPA の下においてはサービス提供者となり、以下を行うものとします。 
(a) サービス契約に従って個人情報へのアクセスを提供または許可した委託業務目的のためにのみ、個人情報を収集、利用、保持、または開示すること。 
(b) 自らの商業目的または CCPA を遵守しない方法で個人情報を収集、利用、保持、開示、販売、またはその他の方法で提供しないこと。法律によって、取引先が委託業務目的以外の目的で個人情報を開示することが要求されている場合、取引先はまず Snyk にその法的要求事項を通知し、かかる要求事項に反対または異議を申し立てる機会を Snyk に提供しなければならないものとします。ただし、法律がかかる通知を禁止している場合は除きます。
(c) 該当する委託業務目的またはその他類似の業務目的を達成するために合理的に必要かつ適切な活動に限定して、個人情報の収集、利用、保持、開示を行うこと。 
(d) 個人情報の提供、修正、移動、もしくは削除、または不正な処理の停止、抑制、もしくは是正を取引先に要求する Snyk の要求または指示に速やかに応じること。
(e) 委託業務目的において、Snyk のために各個人から個人情報を収集する必要がある場合、取引先は収集する時点で CCPA に準拠した通知を必ず行い、Snyk が書面で明確に事前承認すること。取引先は、Snyk の書面による事前の同意なく、いかなる方法においても通知を修正または変更しません。

5.2 当社は、取引先が個人データを処理する際に承認した副処理者を任命することに同意します。取引先は、副処理者および将来の副処理者に対して、本 DSA で取引先に課される条件と実質的に同様の条件を遵守するように要求し、取引先は、副処理者の作為、誤り、または不作為について責任を負うものとします。 

5.3 取引先は、副処理者を変更する場合、少なくとも 14 日前までに書面で通知した場合に限り、新しい副処理者を任命することができます。当社は、かかる変更が実施される前に、データ保護に関する正当な根拠に基づいて、将来の副処理者に異議を申し立てることができ、両当事者が妥当な期間内にかかる異議を解決することができない場合、当社は罰則の適用なくサービス契約を終了させることができます。

6.1 当社は、データ保護法に基づく監査権を以下の方法で行使することができます。
(a) 取引先は、個人データ処理時におけるデータ保護法の遵守に関して、当社または当社が指示する第三者が実施する監査を許可し、合理的な支援を当社に提供することに同意します。当社は、取引先が本 DSA に基づく義務に違反している場合、監査の 30 日前に書面で取引先に通知します。ただし、セキュリティ違反が発生した、あるいは将来発生すると合理的に考える場合はこの限りではありません。取引先は、かかる監査を実施するために、当社もしくは当社の代理人、またはその両方に合理的な支援を提供することに同意します。
(b) 当社は、データ保護法に基づく監査権を行使するにあたり、12 か月以内に独立外部監査人が作成した監査報告書または証明書の提出と、取引先の技術的対策および組織的対策が規制の基準に適合していることの証明の提出を取引先に要求することができます。 

以下は、両当事者に適用されます。

7.個人データの海外移転

7.1 欧州経済領域 (「EEA」) 内に由来する個人データ、または Snyk が EU 一般データ保護規則の対象となる個人データが、現在十分性が認定されている国 (「十分性認定国」) ではない EEA 外の国で取引先によって処理される場合、取引先は移転条項に従うことに同意し、これにより Snyk はデータ輸出者、取引先はデータ輸入者とみなされます。

7.2 移転条項の規定と本 DSA、またはその他両当事者間における合意との間に矛盾がある場合、移転条項が優先されるものとします。本 DSA の条項は、いかなる方法においても移転条項を変更するものではなく、移転条項は、同条項内に明確に定められている場合のみ変更または終了することができます。

8.移転条項を締結することに加え、取引先は以下を行うものとします。
(a) 個人データ移転の保護を目的として、必要に応じて、エンドツーエンドの暗号化および仮名化を含む、技術的に必要なすべての措置を実施すること。
(b) 取引先に適用される監視法、規制、または契約上の義務の下で可能な範囲において、取引先がこれまでに公的機関から受けた個人データに関する要求 (Snyk の個人データに関連しているか否かは問いません) を Snyk に開示すること。
(c) 取引先が本 DSA に基づく契約上の義務を遵守できなくなった場合、個人データの開示を行う前に Snyk に書面で通知すること。
(d) 取引先が公的機関から Snyk の個人データの開示を要求された場合、取引先は、かかる要求の適法性を確認し、取引先が国内法に基づく根拠があると判断した場合、取引先は、かかる要求に対処することに同意します。取引先は、法的に可能な範囲で、公的機関からの要求を遅滞なく、少なくともかかる要求を受けてから 72 時間以内に書面で Snyk に通知するものとします。
(e) かかる要求の適法性を確認したうえで、取引先が法的に個人データを開示せざるを得ないと判断した場合、取引先は以下を行うものとします。
i. 必要最低限の個人データのみを開示すること。
ii. 公的機関への個人データ開示は、本 DSA に基づく制限に従って行われたことを示す証拠 (監査記録など) を保持し、要求に応じて Snyk が遅滞なく利用できるようにすること。
(f) 法的に可能な範囲で、事前に Snyk の書面による同意を得ることなく、公的機関に個人データを自発的に開示しないこと。

9.両当事者は、移転条項の改訂版 (「改訂版 SCC」) が欧州委員会によって公表されており、サービス契約の署名時点では草稿段階であることを了解します。改訂版 SCC が確定し、欧州委員会によって使用が承認された時点で、両当事者は改訂版 SCC を締結することに同意します。

10.移転条項が欧州委員会によって、または第 8.2 項に記載されているもの以外の適用法に基づいて修正、差し替え、廃止となった場合、Snyk は、個人データの移転がデータ保護法に従って行われるように、Webページまたは別の方法で移転条項の最新版を提供します。

11.その他

11.1 本 DSA のいずれかの条項が管轄裁判所によって法的強制力がない、あるいは無効と判断された場合、かかる条項は必要最低限の範囲で限定または排除され、本 DSA のそれ以外の規定は有効性を維持します。

11.2 Snyk は本 DSA を修正することができます (移転条項の実体規定は除く)。また、本 DSA の修正版は本Webページ (https://snyk.io/procurement/data-sharing-amendments/) に掲載されます。

附則 1: 欧州共同体から第三国への個人データ移転 (管理者間移転) に関する標準契約条項

データ移転契約書

本契約は、
Highlands House, Basingstoke Road, Spencers Wood, Reading, Berkshire, RG7 1NT United Kingdom に所在する Snyk Limited (以下、「データ輸出者」)
と、
サービス契約に定義される取引先 (以下、「データ輸入者」) との間で締結され、
以下、それぞれを「当事者」、合わせて「両当事者」といいます。

定義

本条項において、
a) 「個人データ」、「特殊なカテゴリーのデータ/機密データ」、「処理/加工」、「管理者」、「処理者」、「データ主体」および「監督官庁/当局」は、1995 年 10 月 24 日の指令 95/46/EC と同じ意味を有します (この場合、「当局」とはデータ輸出者が設立された地域の管轄データ保護当局を意味します)。
b) 「データ輸出者」とは、個人データを移転する管理者を意味します。
c) 「データ輸入者」とは、本条項の条件に従ってデータ輸出者から個人データを受領することに同意した管理者であって、適切な保護の確保に関する第三国の制度の適用を受けない者を意味します。
d) 「条項」とは本契約の条項であって、別途商業上の合意に基づき両当事者が定めた商業上の取引条件を含まない独立した文書を意味します。

移転の詳細 (および対象となる個人データ) は、本条項の不可欠な部分をなす附属書 B に明記されています。

I.データ輸出者の義務

データ輸出者は、個人データがデータ輸出者に適用される法律に従って収集、処理、移転されていることを保証し、約束します。

データ輸出者は、データ輸入者が本条項に基づく法的義務を果たすことができると判断するにあたり、合理的な努力をする必要があります。

データ輸出者は、要請がある場合、データ輸出者が設立された国の関連するデータ保護法または参考資料 (該当する場合、法的助言を含まない) の写しをデータ輸入者に提供します。

データ輸入者がデータ主体、当局からの問い合わせに対応することに両当事者が合意していない場合、データ輸出者が、データ輸入者による個人データの処理に関するデータ主体および当局からの問い合わせに対応します。データ輸入者が対応することに両当事者が同意している場合で、データ輸入者が対応する意志がない、または対応できないときは、データ輸出者が、合理的に可能な範囲において、合理的に利用できる情報を用いて対応します。問い合わせの対応は合理的な期間内に行うものとします。

条項に秘密情報が含まれている場合を除き、データ輸出者は、要求に応じて、第 III 項に基づく第三者受益者であるデータ主体に条項の写しを提供します。この条項に秘密情報が含まれている場合は、この情報を削除することできます。情報を削除した場合、データ輸出者は、データ主体に対して、削除の理由、および当局宛てに削除について知らせる権利があることを書面で通知するものとします。ただし、データ輸出者は、データ主体が削除された秘密情報の秘密性を尊重することに同意している場合に限り、データ主体による条項全文へのアクセス権について当局が下した決定に従うものとします。また、データ輸出者は、要求があった場合、当局に条項の写しを提出するものとします。

II. データ輸入者の義務

データ輸入者は、以下のことを保証し、約束します。
a) データ輸入者は、偶発的または違法な破壊、偶発的な紛失、改ざん、不正な開示またはアクセスから個人データを保護するために、技術的および組織的に適切な措置を講じ、処理によって生じるリスクおよび保護されるべきデータの性質に適したレベルのセキュリティを施します。
b) データ輸入者は、個人データにアクセスすることを許可した第三者 (処理者を含む) が、個人データの秘密性と安全性を尊重し、維持するための手順を整えます。データ輸入者の権限の下で行動する者 (データ処理者を含む) は、データ輸入者の指示によってのみ個人データを処理する義務を負うものとします。本条項は、法律または規則によって個人データへのアクセスを許可された者または要求された者には適用されません。
c) データ輸入者は、本条項の締結時点において、本条項に基づいて提供される保証に実質的な悪影響を与える可能性のある現地法があると信じる理由をもたないが、そのような法律が存在することを知った場合は、その旨をデータ輸出者 (必要な場合は、当局にかかる通知を伝える) に通知します。
d) データ輸入者は、附属書 B に記載された目的のために個人データを処理します。また、本条項に規定される保証を提供し、約束を履行するための法的権限を有します。
e) データ輸入者は、データ輸出者に対し、個人データの取り扱いに関する問い合わせに対応する権限を与えられている組織の連絡先を明らかにし、このような問い合わせに関しては、データ輸出者、データ主体、および当局に対して合理的な期間内に誠実に協力します。データ輸出者が法的に解散した場合、または両当事者が合意した場合、データ輸入者は、第 I (e) 項の条項に遵守する責任を負うものとします。
f) データ輸入者は、データ輸出者の要求があった場合、データ輸出者に対し、第 III 項に基づく責任を履行する上で十分な財源の証拠 (保険適用を含む場合があります) を提供します。
g) 本条項の保証および約束の遵守を確認するため、合理的な通知により、また通常の営業時間内に確認することについて、データ輸出者から合理的な要求がある場合、データ輸入者は、データ輸出者 (またはデータ輸出者が選定し、データ輸入者が合理的に反対しない独立または公平な検査機関または監査人) による審査、監査、認証のためにデータ処理設備、データファイル、および処理に必要な資料をに提出します。この要求は、データ輸入者が所在する国の規制当局または監督官庁からの必要な同意または承認を得ることを条件とし、この同意または承認は適時得るように努めるものとします。
h) データ輸入者は、以下に従って自らの裁量により、個人データを処理します。
i. データ輸出者が設立された国のデータ保護に関する法律、
ii. 指令 95/46/EC の第 25 (6) 項に基づく欧州委員会の決定に関連する条項1 (データ輸入者がかかる許可または決定に関連する条項を遵守し、かかる許可または決定が適用される国に拠点があるが、個人データ移転2の目的ではかかる許可または決定の対象とならない場合)、または
iii. 附属書 A に定めるデータ処理の原則。

データ輸入者の選択肢:

データ輸入者のイニシャル: 取引先
i) 取引先は、データ輸出者に転送について通知する場合を除き、欧州経済領域 (EEA) 外に所在する第三者のデータ管理者に対して個人データを開示または転送できません。
i. 第三者のデータ管理者は、第三国が適切な保護を提供しているとする欧州委員会の決定に従って個人データを処理するか、または
ii. 第三者のデータ管理者が本条項またはその他 EU の所轄官庁が承認したデータ移転契約の署名者になっているか、または
iii. 移転の目的、受領者の種類、およびデータ輸出先の国のデータ保護基準が異なる可能性があるという事実を通知した後、異議を申し立てる機会がデータ主体に与えられているか、または
iv. それ以降発生する機密データの移転に関して、データ主体がこの移転に対して明確な同意を与えます。

III. 責任と第三者の権利

a) 各当事者は、本条項の違反によって生じた損害について、相手方に対して責任を負います。両当事者間の責任は、実際に被った損害に限定されます。懲罰的損害賠償 (悪質な行為を罰することを目的とした損害賠償) は、明示的に除外されます。各当事者は、本条項に基づく第三者権利の侵害によって自己が発生させた損害について、データ主体に対して責任を負うものとします。この責任は、データ保護法に基づくデータ輸出者の責任に影響を与えません。

b) 両当事者は、データ主体が第三者受益者として、自己の個人データに関して、本条項および第 I (b) 項, 第 I (d) 項、第 I (e) 項、第 II (a) 項、第 II (c) 項、第 II (d) 項、第 II (e) 項、第 II (h) 項、第 II (i) 項、第 III (a) 項、第 V 項、第 VI (d) 項、および第 VII 項における契約義務の違反に対して、データ輸入者またはデータ輸出者に行使する権利を有すること、およびデータ輸出者の設立国での裁判管轄権を受け入れることに合意します。データ輸入者による違反の申し立てが伴う場合、データ主体は、まずデータ輸出者に対し、データ輸入者に対する自己の権利を行使するうえで適切な措置を講じるよう要求しなければなりません。データ輸出者が合理的な期間 (通常の状況であれば 1 か月) 内にかかる措置を講じなかった場合、データ主体は、データ輸入者に対して直接自己の権利を行使することができます。データ主体は、データ輸入者が本条項に基づく法的義務を履行することができるかどうかを判断するために合理的な努力をしなかったデータ輸出者に対して直接訴訟手続きを取る権利を有します (データ輸出者は合理的な努力を行ったことを証明する責任を負います)。

IV. 本条項に適用される法律

本条項は、データ輸出者が設立された国の法律に準拠します。ただし、第 II (h) 項に基づくデータ輸入者による個人データの処理に関する法律および規制については、本条項に基づいてデータ輸入者が選択した場合にのみ適用されます。

V. データ主体または当局との紛争解決

a) データ主体または当局が、両当事者の一方または両方に対して個人データの処理に関する紛争または請求を提起した場合、両当事者は、この紛争または請求について互いに通知し、適時かつ円満に解決するために協力するものとします。

b) 両当事者は、データ主体または当局が行う、一般に利用できる拘束力のない仲裁手続きに応じることに合意します。両当事者が仲裁手続きに参加する場合、リモート形式による参加 (電話またはその他の電子的な手段など) を選択することができます。また、両当事者は、データ保護に関する紛争について実施されるその他の仲裁、調停、またはその他の紛争解決手続きへの参加を検討することにも合意します。

c) 各当事者は、データ輸出者が設立された国の管轄裁判所または当局の終局的かつ再抗告が不可能な決定に従うものとします。

VI. 契約の終了

a) データ輸入者が本条項に基づく義務に違反した場合、データ輸出者は、違反が修正されるまで、または契約が終了するまで、データ輸入者への個人データ移転を一時的に停止することができます。

b) 以下の場合、データ輸出者は、データ輸入者に対して有する他の権利を損なうことなく、本条項を終了する権利を有します。
i. (a) 項に従い、データ輸入者への個人データ移転が 1 か月以上データ輸出者によって一時的に停止されている場合。
ii. データ輸入者が本条項を遵守することによって、輸入国の法律または規制上の義務に違反する場合。
iii. データ輸入者が本条項に基づいて行った保証または約束に実質上もしくは継続的な違反がある場合。
iv. データ輸出者が設立された国の管轄裁判所または当局が、データ輸入者またはデータ輸出者による本条項の違反があったと判断し、再抗告が不可能な最終決定を下した場合。
v. データ輸入者が個人で、その個人によって会社の任意整理が開始されたか、または同様な事案がいずれかの裁判管轄地で発生した場合で、個人の権限か会社の権限かを問わず、データ輸入者の管理または清算を求める請願書が提出され,この請願書が適用法に基づく却下期間内に却下されることなく、清算命令が発せられ、データ輸入者の資産に管財人が選任され、データ輸入者が個人の場合は破産管財人が選任された場合。

なお、以上の状況が発生した場合、データ輸出者は必要に応じて当局に通知するものとします。上記 (i)、(ii)、または (iv) に該当する場合、データ輸入者は本条項を終了することもできます。

c) いずれの当事者も、(i) データ輸入者によってデータが移転および処理される国 (またはその区域) に関して、指令 95/46/EC の第 25 (6) 項 (または優先される条文) に基づいて欧州委員会が十分性認定を行った場合、または (ii) 指令 95/46/EC (または優先する条文) がかかる国で直接適用可能となった場合、本条項を効力を終了させることができます。

d) 両当事者は随時いかなる状況においても、またいかなる理由でも、本条項の効力の終了 (第 VI (c) 項に基づく終了を除く) が、移転された個人データの処理に関する条項の義務または条件を免除するものではないことに同意します。

VII.本条項の変更

両当事者は、附属書 B にある記載事項を更新する場合を除き、本条項を修正することはできません。修正する場合は必要に応じて当局に通知します。この定めは、両当事者が必要に応じてその他の商業条項を追加することを妨げるもではありません。

VIII.移転の内容

移転および個人データの詳細については、附属書 B に明記されています。両当事者は、附属書 B には、法律によって要求される場合、もしくは管轄の規制当局または政府当局に対応する場合、または第 I (e) 項に基づいて要求される場合を除き、第三者に開示しない業務上の秘密情報が含まれていることに同意します。両当事者は、追加の移転を対象とする追加の附属書を締結することができます。その場合は必要に応じて当局に提出します。附属書 B は、別の方法で複数の移転を対象とするように記載することができます。

1 「関連する条項」とは、許可または決定の実施規定(本条項が適用)を除く、任意の許可または決定に関する条項を意味します 。

2 ただし、アクセス権、修正権、削除権、および異議申し立て権に関する附属書 A.5 の条項は、この選択肢を選択した場合に適用されなければならず、選択された欧州委員会の決定と同等の条項よりも優先されるものとします。

附則 1:  附属書 A - データ処理の原則

1. 目的の限定: 個人データは、附属書 B に記載される目的、またはその後データ主体が許可した目的のためのみ処理、使用または伝送することができます。

2. データの品質と比例原則: 個人データは正確でなければならず、必要に応じて最新の状態を保つ必要があります。個人データは、移転され、さらに処理されるという目的があることから、内容的に適切かつ関連性が高い必要があり、過剰であってはなりません。

3. 透明性: データ主体には、公正な処理を確保するために必要な情報 (処理の目的や移転に関する情報など) を提供しなければなりません。ただし、データ輸出者がかかる情報をすでに提供している場合は除きます。

4. セキュリティと秘密性: データ管理者は、処理によって生じる偶発的または違法な破壊、偶発的な紛失、改ざん、不正な開示またはアクセスなどに対するリスクに適した技術的および組織的なセキュリティ対策を講じなければなりません。データ管理者の権限の下で作業をする者 (処理者を含む) は、データ管理者からの指示に基づく場合を除き、個人情報を処理してはなりません。

5. アクセス、修正、削除、異議申し立ての権利: データ主体は、指令 95/46/EC の第 12 条に規定されているとおり、直接または第三者を介して、組織が保有する自己の個人情報の提供を受けることができるものとします。ただし、かかる要求の不合理な期間、要求の回数、要求の反復性または規則性を踏まえてその要求が権利の濫用である場合、またはデータ輸出者が所在する国の法律においてアクセス権を付与する必要がない場合を除きます。当局から事前に承認を受けている場合に限り、データ輸入者またはデータ輸入者と取引を行う組織の利益が著しく害される可能性がある場合、また、かかる利益がデータ主体の基本的権利および自由の利益に優先されない場合、データ主体にアクセス権を付与する必要はないものとします。個人データの情報源については、合理的な努力によって特定できない場合、または本人以外の者の権利が侵害される場合は特定する必要はないものとします。データ主体は、自己に関する個人情報が不正確である場合、または本原則に反して処理されている場合、かかる個人情報の修正、変更、または削除を求めることができます。かかる要求の正当性を疑わざるを得ない根拠が存在する場合、組織はかかる個人情報を修正、変更、または削除をする前に、データ主体にさらなる説明を求めることができます。個人データの開示を受けた第三者に対する修正、変更、または削除の通知は、その通知が不相応な労力を要する場合は行う必要はありません。また、データ主体は、自己の特定の状況に関してやむを得ない正当な根拠が存在する場合、自己に関連する個人データの処理に対して異議を申し立てることができます。データ主体の申立てに対する拒否の立証責任はデータ輸入者が負うものとし、データ主体はいつでも当局に、拒否に対する異議を申し立てることができます。

6. 機密データ: データ輸入者は、第 II項に基づく義務に従い、かかる機密データの保護に必要な措置 (セキュリティに関する措置など) を講じるものとします。

7. マーケティング目的で使用されるデータ: データがダイレクトマーケティング目的で処理される場合、データ主体がかかる目的によるデータ使用から随時「オプトアウト（中止）」できるよう効果的な手続き必要となります。

8. 自動決定: 本条項の「自動決定」とは、データ輸出者またはデータ輸入者による、データ主体に関して法的効果を生じさせる決定、またはデータ主体に著しい影響を与える決定であり、勤務成績、信用度、信頼性、日常の態度といった、データ主体に関する特定の個人的側面を評価することを意図した個人データの自動処理に基づく決定を意味します。データ輸入者は、以下の場合を除き、データ主体に関する自動決定を行ってはなりません。
   a) i. かかる決定が、データ主体との契約締結時またはかかる契約の履行時にデータ輸入者によって行われ、かつ
   ii. データ主体が、関連する自動決定の結果について、かかる決定を行う当事者の代表者と話し合う機会、またはかかる当事者に対して表明を行う機会を与えられる場合。

   または
   b) データ輸出者の法律で別段の定めがある場合。

附則 1:  附属書 B - 移転の内容

データ主体
以下のデータ主体のカテゴリーに関して移転される個人データ：関連するサービス契約書に定めるとおり 

移転の目的
移転が行われる目的: 関連するサービス契約書に定めるとおり 

データのカテゴリー
移転される個人データが関係するデータのカテゴリー: 関連するサービス契約書に定めるとおり 

受領者
移転される個人データは、次の受領者または受領者のカテゴリーにのみに開示することができます。: 関連するサービス契約書に定めるとおり 

機密データ (該当する場合)
移転される個人データが関係する機密データのカテゴリー: 関連するサービス契約書に定めるとおり 

データ輸出者のデータ保護登録情報 (該当する場合):   関連するサービス契約書に定めるとおり 

その他の有用な情報 (保管制限およびその他の関連情報): 関連するサービス契約書に定めるとおり 

データ保護に関する問い合わせ先:  Privacy@snyk.io

附則 2:  欧州共同体から第三国への個人データ移転 (管理者間移転) に関する標準契約条項

データ移転契約書

本契約は、

Highlands House, Basingstoke Road, Spencers Wood, Reading, Berkshire, RG7 1NT United Kingdom に所在する Snyk Limited (以下、「データ輸出者」)

と、

サービス契約に定義される取引先 (以下、「データ輸入者」) との間で締結され、

以下、それぞれを「当事者」、合わせて「両当事者」といいます。

定義

本条項において、
a) 「個人データ」、「特殊なカテゴリーのデータ/機密データ」、「処理/加工」、「管理者」、「処理者」、「データ主体」および「監督官庁/当局」は、1995 年 10 月 24 日の指令 95/46/EC と同じ意味を有します (この場合、「当局」とはデータ輸出者が設立された地域の管轄データ保護当局を意味します)。
b) 「データ輸出者」とは、個人データを移転する管理者を意味します。
c) 「データ輸入者」とは、本条項の条件に従ってデータ輸出者から個人データを受領することに同意した管理者であって、適切な保護の確保に関する第三国の制度の適用を受けない者を意味します。
d) 「条項」とは本契約の条項であって、別途商業上の合意に基づき両当事者が定めた商業上の取引条件を含まない独立した文書を意味します。

移転の詳細 (および対象となる個人データ) は、本条項の不可欠な部分をなす附属書 B に明記されています。

I.データ輸出者の義務

データ輸出者は、以下のことを保証し、約束します。
a) 個人データは、データ輸出者に適用される法律に従って収集、処理、移転されています。
b) データ輸出者は、データ輸入者が本条項に基づく法的義務を果たすことができると判断するための合理的な努力をしました。
c) データ輸出者は、要請がある場合、データ輸出者が設立された国の関連するデータ保護法または参考資料 (関連する場合、法的助言を含まない) の写しをデータ輸入者に提供します。
d) データ輸入者が対応することに両当事者が合意していない限り、データ輸出者が、データ輸入者による個人データの処理に関するデータ主体および当局からの問い合わせに対応します。データ輸入者が対応することに両当事者が同意している場合に、データ輸入者が対応する意志がない、または対応できないときは、データ輸出者が、合理的に可能な範囲において、合理的に利用できる情報を用いて対応します。問い合わせの対応は合理的な期間内に行うものとします。
e) 条項に秘密情報が含まれている場合を除き、データ輸出者は、要求に応じて、第 III 項に基づく第三者受益者であるデータ主体に条項の写しを提供するものとします。この条項に秘密情報が含まれている場合は、この情報を削除することできます。情報を削除した場合、データ輸出者は、データ主体に対して、削除の理由、および当局宛てに削除について知らせる権利があることを書面で通知するものとします。ただし、データ輸出者は、データ主体が削除された秘密情報の秘密性を尊重することに同意している場合に限り、データ主体による条項全文へのアクセス権について当局が下した決定に従うものとします。また、データ輸出者は、要求があった場合、当局に条項の写しを提出するものとします。

II. データ輸入者の義務

データ輸入者は、以下のことを保証し、約束します。
a) データ輸入者は、偶発的または違法な破壊、偶発的な紛失、改ざん、不正な開示またはアクセスから個人データを保護するために、技術的および組織的に適切な措置を講じ、処理によって生じるリスクおよび保護されるべきデータの性質に適したレベルのセキュリティを施します。
b) データ輸入者は、個人データにアクセスすることを許可した第三者 (処理者を含む) が、個人データの秘密性と安全性を尊重し、維持するための手順を整えます。データ輸入者の権限の下で行動する者 (データ処理者を含む) は、データ輸入者の指示によってのみ個人データを処理する義務を負うものとします。本条項は、法律または規則によって個人データへのアクセスを許可された者または要求された者には適用されません。
c) データ輸入者は、本条項の締結時点において、本条項に基づいて提供される保証に実質的な悪影響を与える可能性のある現地法があると信じる理由をもたないが、そのような法律が存在することを知った場合は、その旨をデータ輸出者 (必要な場合は、当局にかかる通知を伝える) に通知します。
d) データ輸入者は、附属書 B に記載された目的のために個人データを処理します。また、本条項に規定される保証を提供し、約束を履行するための法的権限を有します。
e) データ輸入者は、データ輸出者に対し、個人データの取り扱いに関する問い合わせに対応する権限を与えられている組織の連絡先を明らかにし、このような問い合わせに関しては、データ輸出者、データ主体、および当局に対して合理的な期間内に誠実に協力します。データ輸出者が法的に解散した場合、または両当事者が合意した場合、データ輸入者は、第 I (e) 項の条項に遵守する責任を負うものとします。
f) データ輸入者は、データ輸出者の要求があった場合、データ輸出者に対し、第 III 項に基づく責任を履行する上で十分な財源の証拠 (保険適用を含む場合があります) を提供します。
g) 本条項の保証および約束の遵守を確認するため、合理的な通知により、また通常の営業時間内に確認することについて、データ輸出者から合理的な要求がある場合、データ輸入者は、データ輸出者 (またはデータ輸出者が選定し、データ輸入者が合理的に反対しない独立または公平な検査機関または監査人) による審査、監査、認証のためにデータ処理設備、データファイル、および処理に必要な資料をに提出します。この要求は、データ輸入者が所在する国の規制当局または監督官庁からの必要な同意または承認を得ることを条件とし、この同意または承認は適時得るように努めるものとします。
h) データ輸入者は、以下に従って自らの裁量により、個人データを処理します。
i. データ輸出者が設立された国のデータ保護に関する法律、
ii. データ輸入者がかかる許可または決定に関連する条項3に従い、かかる許可または決定が適用される国に拠点があるが、個人データ移転4の目的ではかかる許可または決定が対象にはならない場合は、指令 95/46/EC の第 25 (6) 項に基づく欧州委員会の決定に関連する条項、または
iii. 附属書 A に定めるデータ処理の原則。
データ輸入者の選択肢:
データ輸入者のイニシャル: 取引先
i) 取引先は、データ輸出者に転送について通知する場合を除き、欧州経済領域 (EEA) 外に所在する第三者のデータ管理者に対して個人データを開示または転送できません。
i. 第三者のデータ管理者は、第三国が適切な保護を提供しているとする欧州委員会の決定に従って個人データを処理するか、または
ii. 第三者のデータ管理者が本条項またはその他 EU の所轄官庁が承認したデータ移転契約の署名者になっているか、または
iii. 移転の目的、受領者の種類、およびデータ輸出先の国のデータ保護基準が異なる可能性があるという事実を通知した後、異議を申し立てる機会がデータ主体に与えられているか、または
iv. それ以降発生する機密データの移転に関して、データ主体がこの移転に対して明確な同意を与えます。

III. 責任と第三者の権利

a) 各当事者は、本条項の違反によって生じた損害について、相手方に対して責任を負います。両当事者間の責任は、実際に被った損害に限定されます。懲罰的損害賠償 (悪質な行為を罰することを目的とした損害賠償) は、明示的に除外されます。各当事者は、本条項に基づく第三者権利の侵害によって自己が発生させた損害について、データ主体に対して責任を負うものとします。この責任は、データ保護法に基づくデータ輸出者の責任に影響を与えません。

b) 両当事者は、データ主体が第三者受益者として、自己の個人データに関して、本条項および第 I (b) 項, 第 I (d) 項、第 I (e) 項、第 II (a) 項、第 II (c) 項、第 II (d) 項、第 II (e) 項、第 II (h) 項、第 II (i) 項、第 III (a) 項、第 V 項、第 VI (d) 項、および第 VII 項における契約義務の違反に対して、データ輸入者またはデータ輸出者に行使する権利を有すること、およびデータ輸出者の設立国での裁判管轄権を受け入れることに合意します。データ輸入者による違反の申し立てが伴う場合、データ主体は、まずデータ輸出者に対し、データ輸入者に対する自己の権利を行使するうえで適切な措置を講じるよう要求しなければなりません。データ輸出者が合理的な期間 (通常の状況であれば 1 か月) 内にかかる措置を講じなかった場合、データ主体は、データ輸入者に対して直接自己の権利を行使することができます。データ主体は、データ輸入者が本条項に基づく法的義務を履行することができるかどうかを判断するために合理的な努力をしなかったデータ輸出者に対して直接訴訟手続きを取る権利を有します (データ輸出者は合理的な努力を行ったことを証明する責任を負います)。

IV. 本条項に適用される法律

本条項は、データ輸出者が設立された国の法律に準拠します。ただし、第 II (h) 項に基づくデータ輸入者による個人データの処理に関する法律および規制については、本条項に基づいてデータ輸入者が選択した場合にのみ適用されます。

V. データ主体または当局との紛争解決

a) データ主体または当局が、両当事者の一方または両方に対して個人データの処理に関する紛争または請求を提起した場合、両当事者は、この紛争または請求について互いに通知し、適時かつ円満に解決するために協力するものとします。

b) 両当事者は、データ主体または当局が行う、一般に利用できる拘束力のない仲裁手続きに応じることに合意します。両当事者が仲裁手続きに参加する場合、リモート形式による参加 (電話またはその他の電子的な手段など) を選択することができます。また、両当事者は、データ保護に関する紛争について実施されるその他の仲裁、調停、またはその他の紛争解決手続きへの参加を検討することにも合意します。

c) 各当事者は、データ輸出者が設立された国の管轄裁判所または当局の終局的かつ再抗告が不可能な決定に従うものとします。

VI. 契約の終了

a) データ輸入者が本条項に基づく義務に違反した場合、データ輸出者は、違反が修正されるまで、または契約が終了するまで、データ輸入者への個人データ移転を一時的に停止することができます。

b) 以下の場合、データ輸出者は、データ輸入者に対して有する他の権利を損なうことなく、本条項を終了する権利を有します。
i. (a) 項に従い、データ輸入者への個人データ移転が 1 か月以上データ輸出者によって一時的に停止されている場合。
ii. データ輸入者が本条項を遵守することによって、輸入国の法律または規制上の義務に違反する場合。
iii. データ輸入者が本条項に基づいて行った保証または約束に実質上もしくは継続的な違反がある場合。
iv. データ輸出者が設立された国の管轄裁判所または当局が、データ輸入者またはデータ輸出者による本条項の違反があったと判断し、再抗告が不可能な最終決定を下した場合。
v. データ輸入者が個人で、その個人によって会社の任意整理が開始されたか、または同様な事案がいずれかの裁判管轄地で発生した場合で、個人の権限か会社の権限かを問わず、データ輸入者の管理または清算を求める請願書が提出され,この請願書が適用法に基づく却下期間内に却下されることなく、清算命令が発せられ、データ輸入者の資産に管財人が選任され、データ輸入者が個人の場合は破産管財人が選任された場合。

なお、以上の状況が発生した場合、データ輸出者は必要に応じて当局に通知するものとします。上記 (i)、(ii)、または (iv) に該当する場合、データ輸入者は本条項を終了することもできます。

c) いずれの当事者も、(i) データ輸入者によってデータが移転および処理される国 (またはその区域) に関して、指令 95/46/EC の第 25 (6) 項 (または優先される条文) に基づいて欧州委員会が十分性認定を行った場合、または (ii) 指令 95/46/EC (または優先する条文) がかかる国で直接適用可能となった場合、本条項を効力を終了させることができます。

d) 両当事者は随時いかなる状況においても、またいかなる理由でも、本条項の効力の終了 (第 VI (c) 項に基づく終了を除く) が、移転された個人データの処理に関する条項の義務または条件を免除するものではないことに同意します。

VII.本条項の変更

両当事者は、附属書 B にある記載事項を更新する場合を除き、本条項を修正することはできません。修正する場合は必要に応じて当局に通知します。この定めは、両当事者が必要に応じてその他の商業条項を追加することを妨げるもではありません。

VIII. 移転の内容

移転および個人データの詳細については、附属書 B に明記されています。両当事者は、附属書 B には、法律によって要求される場合、もしくは管轄の規制当局または政府当局に対応する場合、または第 I (e) 項に基づいて要求される場合を除き、第三者に開示しない業務上の秘密情報が含まれていることに同意します。両当事者は、追加の移転を対象とする追加の附属書を締結することができます。その場合は必要に応じて当局に提出します。附属書 B は、別の方法で複数の移転を対象とするように記載することができます。

3 「関連する条項」とは、許可または決定の実施規定を除く、許可または決定に関する条項を意味します (本条項が適用されるものとします)。
4 ただし、アクセス権、修正権、削除権、および異議申し立て権に関する附属書 A.5 の条項は、この選択肢を選択した場合に適用されなければならず、選択した欧州委員会の決定と同等の条項よりも優先されるものとします。

附則 2: 附属書 A

データ処理の原則

1. 目的の限定: 個人データは、附属書 B に記載される目的、またはその後データ主体が許可した目的のためのみ処理、使用または伝送することができます。

2. データの品質と比例原則: 個人データは正確でなければならず、必要に応じて最新の状態を保つ必要があります。個人データは、移転され、さらに処理されるという目的があることから、内容的に適切かつ関連性が高い必要があり、過剰であってはなりません。

3. 透明性: データ主体には、公正な処理を確保するために必要な情報 (処理の目的や移転に関する情報など) を提供しなければなりません。ただし、データ輸出者がかかる情報をすでに提供している場合は除きます。

4. セキュリティと秘密性: データ管理者は、処理によって生じる偶発的または違法な破壊、偶発的な紛失、改ざん、不正な開示またはアクセスなどに対するリスクに適した技術的および組織的なセキュリティ対策を講じなければなりません。データ管理者の権限の下で作業をする者 (処理者を含む) は、データ管理者からの指示に基づく場合を除き、個人情報を処理してはなりません。

5. アクセス、修正、削除、異議申し立ての権利: データ主体は、指令 95/46/EC の第 12 条に規定されているとおり、直接または第三者を介して、組織が保有する自己の個人情報の提供を受けることができるものとします。ただし、かかる要求の不合理な期間、要求の回数、要求の反復性または規則性を踏まえてその要求が権利の濫用である場合、またはデータ輸出者が所在する国の法律においてアクセス権を付与する必要がない場合を除きます。当局から事前に承認を受けている場合に限り、データ輸入者またはデータ輸入者と取引を行う組織の利益が著しく害される可能性がある場合、また、かかる利益がデータ主体の基本的権利および自由の利益に優先されない場合、データ主体にアクセス権を付与する必要はないものとします。個人データの情報源については、合理的な努力によって特定できない場合、または本人以外の者の権利が侵害される場合は特定する必要はないものとします。データ主体は、自己に関する個人情報が不正確である場合、または本原則に反して処理されている場合、かかる個人情報の修正、変更、または削除を求めることができます。かかる要求の正当性を疑わざるを得ない根拠が存在する場合、組織はかかる個人情報を修正、変更、または削除をする前に、データ主体にさらなる説明を求めることができます。個人データの開示を受けた第三者に対する修正、変更、または削除の通知は、その通知が不相応な労力を要する場合は行う必要はありません。また、データ主体は、自己の特定の状況に関してやむを得ない正当な根拠が存在する場合、自己に関連する個人データの処理に対して異議を申し立てることができます。データ主体の申立てに対する拒否の立証責任はデータ輸入者が負うものとし、データ主体はいつでも当局に、拒否に対する異議を申し立てることができます。

6. 機密データ: データ輸入者は、第 II項に基づく義務に従い、かかる機密データの保護に必要な措置 (セキュリティに関する措置など) を講じるものとします。

7. マーケティング目的で使用されるデータ: データがダイレクトマーケティング目的で処理される場合、データ主体がかかる目的によるデータ使用から随時「オプトアウト（中止）」できるよう効果的な手続き必要となります。

8. 自動決定: 本条項の「自動決定」とは、データ輸出者またはデータ輸入者による、データ主体に関して法的効果を生じさせる決定、またはデータ主体に著しい影響を与える決定であり、勤務成績、信用度、信頼性、日常の態度といった、データ主体に関する特定の個人的側面を評価することを意図した個人データの自動処理に基づく決定を意味します。データ輸入者は、以下の場合を除き、データ主体に関する自動決定を行ってはなりません。

   a) i. かかる決定が、データ主体との契約締結時またはかかる契約の履行時にデータ輸入者によって行われ、かつ
   ii. データ主体が、関連する自動決定の結果について、かかる決定を行う当事者の代表者と話し合う機会、またはかかる当事者に対して表明を行う機会を与えられる場合。

   または

   b) データ輸出者の法律で別段の定めがある場合。

附則 2: 附属書 B - 移転の内容

データ主体
関連するサービス契約書に定めるとおり

移転の目的
移転が行われる目的: 関連するサービス契約書に定めるとおり

データのカテゴリー
関連するサービス契約書に定めるとおり

受領者
関連するサービス契約書に定めるとおり

機密データ (該当する場合)
移転される個人データは、以下の機密データのカテゴリーに関するものです。 関連するサービス契約書に定めるとおり

データ輸出者のデータ保護登録情報 (該当する場合): 関連するサービス契約書に定めるとおり

その他の有用な情報 (保管制限およびその他の関連情報): 関連するサービス契約に定められているとおりデータ保護に関する問い合わせ先: Privacy@snyk.io