本データ処理に関する付属書(以下、「本付属書」)は、個人データ(以下に定義)の処理に関する当事者の合意を反映するために、First App
Holdings Limited(以下、「First App Holdings」)、Aceville
Pte. Ltd.(以下、「Aceville」)(First
App HoldingsおよびAcevilleはそれぞれ「データ処理者」)ならびに本契約書に記載されている、および/または以下で認定される顧客(「データ管理者」)との間のサービス提供に関するサービス契約またはその他の契約書(以下、「本契約」)の一部を構成し、本付属書の別表に記載される諸条件を組み込みます。
本付属書に関して、顧客がシンガポールに登録された法人である場合、「データ処理者」はAcevilleを指し、顧客がシンガポール以外に登録された法人である場合、「データ処理者」はFirst App Holdingsを指すものとします。
各データ管理者は、データ管理者にサービスを提供するデータ処理者を指名しました。データ処理者は、データ管理者に対するサービス提供の結果として、データ管理者の特定の個人データを保存および処理します。各事例の詳細については別表1「処理の詳細」に記載します。
VooV Meeting(以下に定義)は、いかなる場合においても、本付属書の対象となる個人データのデータ管理者としての責務を負わず、またその役割を果たしません。
1. 定義
1.1 本付属書で使用されているが定義されていないアルファベット大文字の用語は、本契約において定義された意味を有するものとします。
1.2 データ処理者およびデータ管理者は、それぞれ「当事者」とし、併せて「両当事者」とします。
1.3 本付属書の目的において、文脈上別段の定めがない限り、以下の用語は次の意味を有します。
「適用されるデータ保護法」 とは、当事者による個人データの処理に関連するすべての関連法、法令、宣言、勅令、指令、立法措置、命令、条例、規則、またはその他の法的拘束力のある文書を指し、(a) GDPR、(b) eプライバシー指令、(c) 2018年英国データ保護法(「DPA」)、(d) 英国一般データ保護規則(DPAにより定義され、2019年データ保護、プライバシーおよび電子通信(改正等)(EU離脱)規則により改正されたもの)(DPAと併せて「UK GDPR」)、(e) 2003年プライバシーおよび電子通信規則、(f) CCPA、コロラド州プライバシー法、コネチカット州データプライバシー法、ユタ州消費者プライバシー法、バージニア州消費者データ保護法、アイオワ州消費者データ保護法、インディアナ州消費者データ保護法、モンタナ州消費者データプライバシー法、テネシー州情報保護法、テキサス州データプライバシーおよびセキュリティ法、オレゴン州消費者プライバシー法、およびフロリダ州デジタル権利法(以下、総称して「適用される米国データ保護法」)が含まれます。上記の各法律は、随時改正、統合、再施行または置換される可能性があります。
·
「事業」、「データ主体」、「販売」、「サービスプロバイダー」および「共有」は、それぞれの関連する適用されるデータ保護法において定義される意味、またはそれに相当する概念を有するものとします。
「CCPA」とは、カリフォルニア州消費者プライバシー法を指し、カリフォルニア州プライバシー権法によって改正されたものを含みます。
「管理者から処理者への移転条項」とは、(i)
GDPR の適用対象となる個人データの移転に関しては、欧州委員会決定2021/914(2021年6月4日)に規定された標準契約条項(具体的には、モジュール2「管理者から処理者への移転」 を含む)、および (ii) UK GDPR の適用対象となる個人データの移転に関しては、EU委員会標準契約条項に対する国際データ移転付属書(バージョンB.1.0)(英国情報コミッショナーが発行)を意味します。上記のいずれも、適宜改正、更新、または置換される可能性があります。
「顧客」は、本契約に定められた意味を有するものとします。
「データ処理者」は、本付属書の前文に定められた意味を有するものとします。
「eプライバシー指令」とは、電子通信分野における個人データの処理およびプライバシーの保護に関する2002年7月12日付の欧州議会および理事会指令2002/58/EC(プライバシーおよび電子通信に関する指令)を意味します。
「GDPR」とは、個人データの処理に関する自然人の保護および個人データの自由な移動に関する2016年4月27日付の欧州議会および理事会規則2016/679を意味します。
·
「合法的なデータ輸出措置」とは、データ輸出者からデータ輸入者への個人データの合法的な移転を可能にする方法を意味し、適用されるデータ保護法または規制当局によって随時定められる可能性があります。これには、(準拠法に応じて)適用されるデータ保護法が定めるモデル移転条項、または規制当局による事前登録、使用許諾もしくは許可などが含まれる場合があります。
「個人データ」とは、関連する適用されるデータ保護法において「個人データ」および「個人情報」ならびにその他類似の用語に与えられる意味を有するものとします。
「処理」、「処理済み」または「処理中」とは、関連する適用されるデータ保護法において当該用語またはそれに相当する概念に与えられる意味を有するものとします。
「処理者から管理者への移転条項」とは、(i) GDPR の適用対象となる個人データの移転に関しては、欧州委員会決定2021/914(2021年6月4日)に規定された標準契約条項(具体的には、モジュール4「処理者から管理者への移転」を含む)、(ii) UK GDPR の適用対象となる個人データの移転に関しては、EU委員会標準契約条項 に対する国際データ移転付属書(バージョンB.1.0)(英国情報コミッショナーが発行)、(iii) その他、合法的なデータ輸出措置が求められる法域外への個人データ移転に関しては、当該法域の管轄当局によって承認された、データ処理者からデータ管理者への個人データ移転に関する合法的な契約形式に関連する条項を意味します。これらはいずれも、適宜改正、更新、または置換される可能性があります。
·
「処理者から処理者への移転条項」とは、(i) GDPR の適用対象となる個人データの移転に関しては、欧州委員会決定2021/914(2021年6月4日)に規定された標準契約条項(具体的には、モジュール3「処理者から処理者への移転」を含む)、および (ii) UK GDPR の適用対象となる個人データの移転に関しては、EU委員会標準契約条項に対する国際データ移転付属書(バージョンB.1.0)(英国情報コミッショナーが発行)に関連する条項を意味します。上記のいずれも、適宜改正、更新、または置換される可能性があります。
「規制当局」とは、データ管理者による個人データの処理に関する管轄権を有するデータ保護監督機関を意味します。
「本サービス」とは、ビデオ会議、ウェブ会議、会議室、画面共有、ならびにその他のコラボレーションサービスおよび音声接続サービスを意味し、その意味は本契約に定められたものとします。
「第三国」とは、(i) GDPRの適用対象となる個人データ移転に関して、欧州経済領域(EEA)のデータ保護法の適用範囲外の国または地域(ただし、欧州委員会によって個人データの適切な保護を提供していると承認された国または地域は除く)、および (ii) UK GDPRの適用対象となる個人データ移転に関して、英国のデータ保護法の適用範囲外の国または地域(ただし、英国の管轄当局によって個人データの適切な保護を提供していると承認された国または地域は除く)を意味します。
「VooV Meeting」とは、顧客の登録所在地に応じて関連するデータ処理者を指します。
2.1 本付属書は、データ処理者がデータ管理者の代理で個人データを処理する際に適用される条件を規定します。
3.1 データ処理者は、データ管理者の代理で、かつデータ管理者から随時受領する文書による指示に従い、限定的かつ特定の目的のためにのみ個人データを処理するものとします。ただし、データ処理者に適用される法律に基づき、データ処理者が個人データの処理を許可もしくは義務付けられている場合、および/または処理が制限されている場合を除きます。いずれの場合も、データ処理者は、当該法が公的利益の重要な理由により情報提供を禁止している場合を除き、データ管理者に対し、遅滞なくその法的要件を通知するものとします。適用される米国データ保護法の要求がある範囲で、データ処理者は、当該法律で求められるのと同等のプライバシー保護レベルを提供するものとします。
3.2 適用される米国データ保護法の要求がある範囲で、データ処理者は、(i)
データ処理者が適用される米国データ保護法の義務をもはや履行できないと判断した場合、データ管理者にその旨を通知し、(ii) データ処理者が適用される米国データ保護法に基づいてデータ管理者の義務に従って個人データを使用することを保証するために合理的かつ適切な措置を講じ、データ処理者が適用される米国データ保護法に違反して個人データを使用しているとデータ管理者が合理的に判断した場合、データ処理者はかかる個人データの不正使用を停止し、是正するものとします。
3.3 データ処理者は、個人データの処理を許可された従業員が守秘義務を負うこと、または該当する法的守秘義務を遵守することを保証するものとします。
3.4 データ処理者は、各データ管理者の個人データを処理する前に、技術の最新動向、実装コストならびに処理の性質、範囲、文脈および目的を考慮した上で、リスクに応じた適切なレベルのセキュリティを提供する技術的および組織的なセキュリティ対策を講じるものとします。かかるセキュリティ対策は、本付属書の別表2「技術的および組織的セキュリティ対策」に規定されており、本付属書の有効期間中、継続的にこれを遵守するものとします。
3.5 データ管理者が直接的または間接的原因でない場合に限り、セキュリティ侵害が発生した結果、データ管理者に属する個人データの偶発的または違法な破壊、紛失、改ざん、不正開示または不正アクセスが引き起こされた場合、データ処理者は関連するデータ管理者に対し速やかにその旨を通知するものとします。その場合、データ処理者は、本付属書に違反する個人データの不正使用または不正開示によるデータ処理者への既知の有害な影響を軽減するために、商業的に合理的な措置を講じるものとします。
3.6 適用されるデータ保護法で義務付けられている範囲において、データ処理者は、
(a) 任意のデータ管理者からの随時合理的な書面による要求に応じて(ただし、年1回を超えない範囲で)、本付属書に規定される義務の遵守を証明するために合理的に必要な文書を当該データ管理者に提供するものとします。
(b) 書面による14日前の通知をもって、本付属書に基づくデータ処理者の義務の遵守状況を監視する目的で、本付属書の期間中に監査または検査することを各データ管理者に許可するものとします。ただし、かかる検査は、データ管理者自身、またはデータ管理者が選定した、必要な専門資格を持ち、法的守秘義務を負う独立したメンバーで構成される監査機関によって実施されることを条件とします。必要に応じて、規制当局の指示に従って実施される場合もあります。あるいは、データ処理者が、資格を持つ独立した監査人を手配し、少なくとも年1回、データ処理者の費用負担で、適切かつ承認された管理基準またはフレームワークおよび評価手続きを使用して、適用されるデータ保護法に基づく義務を支援してデータ処理者のポリシーならびに技術的および組織的対策を評価することができます。データ処理者は、データ管理者の要求に応じてかかる評価の報告書を提供するものとします。
3.7 なお、以下のいずれかの条件が当てはまる場合もあります。
(a) データ主体は、データ管理者の代理で処理された個人データに関して、適用されるデータ保護法に基づいて自身の権利を行使します。
(b) データ管理者は、規制当局による評価、問い合わせ、通知または調査に対処し、またはこれを遵守することが義務付けられています。
(c) データ管理者は、本付属書に基づいてデータ処理者に委託された個人データを処理する前に、適用されるデータ保護法に基づいて必須のデータ保護影響評価を実施するか、または規制当局と協議することが義務付けられています。さらに、データ処理者は、その結果として生じる義務を遵守できるように、関連するデータ管理者に合理的な支援を提供します。
3.8 データ処理者がアメリカ合衆国で個人データを処理する場合、データ処理者は以下の行為を禁止されます。
(a) 個人データを販売すること。
(b) クロスコンテキスト行動広告目的で個人データを共有すること。
(c) データ管理者に提供されるサービスを実施する特定の目的以外で、個人データを保持、使用、または開示すること。
(d) データ処理者とデータ管理者との直接的な業務関係の範囲外で、個人データを保持、使用、または開示すること。
(e) データ管理者から受領した個人データを、データ処理者が当該個人データの対象者と別途やり取りする中で収集した個人データ(該当する場合)またはその他の情報源から取得した個人データと統合すること。
3.9 データ処理者が第三国で個人データを処理し、データ輸入者として行動する範囲において、データ処理者は以下のことを行うものとします。
(i) GDPRまたはUK
GDPRの適用を受けない第三国における個人データの処理に関して、適用されるデータ保護法が要求する範囲内で、合法的なデータ輸出措置を使用してデータ移転を確実に実施します。かかる合法的なデータ輸出措置として、(a) 当該個人データの移転および処理に適切な保護措置を課す契約(本付属書では満たされない場合)、(b) 本付属書で想定される個人データ処理の説明、(c) データ輸入者が実施すべき技術的および組織的対策の説明を必要とする場合、両当事者は、「管理者から処理者への移転条項」、別表1「処理の詳細」に記載された処理活動の説明、ならびに別表2「技術的および組織的セキュリティ対策」に記載された技術的および組織的対策が当該個人データの移転に準用され、かつ、当該データ輸入者が他者へ個人データを再移転する場合、その他者はデータ輸入者と同じ義務(準義務)を負うことに同意するものとします。
(ii) GDPRまたはUK GDPRの適用を受ける第三国における個人データの処理に関して、データ輸入者の義務を「管理者から処理者への移転条項」に従い履行します。かかる条項は、本付属書に組み込まれ、その一部を構成します。データ管理者は、当該「管理者から処理者への移転条項」におけるデータ輸出者の義務を履行します。
(A) 当該「管理者から処理者への移転条項」の付録I(または該当する場合は第1部)の目的において、別表1「処理の詳細」に記載された当事者および処理の詳細が適用されるものとします。開始日は本付属書の発効日とし、当事者による本付属書の締結に関連する署名(形式を問わない)およびその署名の日付は、その当事者から要求される日付入り署名として適用されるものとします。
(B) 該当する場合、当該「管理者から処理者への移転条項」の第1部の目的において、関連するAddendum EU SCCs(適用される「管理者から処理者への移転条項」で定義される用語)は、欧州委員会決定2021/914(2021年6月4日)のモジュール2で規定される第三国への個人データの移転に関する標準契約条項です。これは、本第3.9項により本付属書に組み込まれます。
(C) 当該「管理者から処理者への移転条項」の付録II(または該当する場合は第1部)の目的において、別表2「技術的および組織的セキュリティ対策」に規定された技術的および組織的セキュリティ対策が適用されるものとします。
(D) 該当する場合、(i) 当該「管理者から処理者への移転条項」の第9項の目的において、オプション2「一般的な書面による承認」が選択されたものとみなされ、本付属書の第5.3項で指定された通知期間が適用されるものとします。(ii) 当該「管理者から処理者への移転条項」の第11項 (a) の目的において、独立した紛争解決機関に関する任意の文言は削除されたものとみなされます。(iii) 第13項およびAnnex I.Cの目的において、管轄する監督機関はオランダの「Autoriteit Persoonsgegevens(データ保護機関)」とします。(iv) 第17項の目的において、オプション2が選択されたものとみなされ、準拠法は当事者間で別途合意された法律とします。(v) 第18項の目的において、オランダの管轄裁判所が管轄権を有するものとします。(vi) 「管理者から処理者への移転条項」の第1部の目的において、データ処理者(データ輸入者)は「管理者から処理者への移転条項」の第19項に基づき「管理者から処理者への移転条項」を終了することができます。
3.10 データ管理者が第三国で個人データを処理し、データ輸入者として行動し、データ処理者がデータ輸出者として行動する範囲において、データ処理者は以下のことを行うものとします。
i.
GDPRまたはUK GDPRの適用を受けない第三国における個人データの処理に関して、適用されるデータ保護法が要求する範囲内において、採用された合法的なデータ輸出措置によって要求されるデータ輸出者としての義務を履行します。データ管理者は、採用された合法的なデータ輸出措置によって要求されるデータ輸入者としての義務を履行します。当該合法的な輸出措置が、(a) 当該個人データの移転および処理に適切な保護措置を課す契約(これは本付属書では満たされない)、(b) 本付属書に基づいて企図される個人データの処理の説明を要求する範囲において、両当事者は、「処理者から管理者への移転条項」および別表1「処理の詳細」に規定された処理活動の説明が当該個人データ移転のために準用されることに同意するものとします。
ii.
GDPRまたはUK GDPRの適用を受ける第三国における個人データの処理に関して、データ輸出者の義務を「処理者から管理者への移転条項」に従い履行します。かかる条項は、本付属書に組み込まれ、その一部を構成します。データ管理者は、当該「処理者から管理者への移転条項」におけるデータ輸入者の義務を履行します。
A.
当該「処理者から管理者への移転条項」の付録I(または該当する場合は第1部)の目的において、別表1「処理の詳細」に記載された当事者および処理の詳細が適用されるものとします。開始日は本付属書の発効日とし、当事者による本付属書の締結に関連する署名(形式を問わない)およびその署名の日付は、その当事者から要求される日付入り署名として適用されるものとします。
B.
該当する場合、当該「処理者から管理者への移転条項」の第1部の目的において、関連するAddendum
EU SCCs(適用される「処理者から管理者への移転条項」で定義される用語)は、欧州委員会決定2021/914(2021年6月4日)のモジュール4で規定される第三国への個人データの移転に関する標準契約条項です。これは、本条項の(ii)(B)により本付属書に組み込まれます。
C.
該当する場合、(i) 第17項の目的において準拠法はオランダの法律とし、(ii) 第18項の目的において管轄裁判所はオランダの管轄裁判所とし、(iii) 当該「処理者から管理者への移転条項」の第1部の目的において、輸出者としてのデータ処理者は、当該「処理者から管理者への移転条項」の第19項に従って、「処理者から管理者への移転条項」を終了することができます。
3.11 データ管理者は、データ処理者がデータ管理者の個人データを第三国で処理することができ、またはデータ処理者の関連会社もしくは第三者の下請業者を指名して当該データを処理させることができることを承認し、これに同意するものとします。ただし、当該データ処理が適用されるデータ保護法の要件に準拠して行われることをデータ処理者が保証し、データ管理者の代理でデータ処理者が指名する関連する副処理者(関連会社を含む)と共に「処理者から処理者への移転条項」に署名することを条件とします。
4.1 各データ管理者は、(i) 適用される法令が、データ管理者から受けた指示をデータ処理者が履行し、本付属書に基づくデータ処理者の義務の履行を妨げないこと、(ii) データ処理者に対して顧客またはその代理により提供される個人データの正確性、品質および合法性、ならびに顧客がかかる個人データを取得した手段、およびデータ処理者に対して提供する当該個人データの処理に関する指示について全責任を負うこと、(iii) 本契約、付属書またはその他の本サービスの性質上不適切な方法で、データ処理者に対して個人データを提供または利用可能にしてはならないこと、(iv) 適用されるデータ保護法を遵守しており、引き続き遵守すること、特に、必要な場合には、データ主体(その従業員、職員、または本サービスを使用またはアクセスするエンドユーザーを含むがこれに限定されない)から必要な同意を取得し、または適用されるデータ保護法に基づき必要な通知(データ主体に対し、顧客のプライバシー通知に基づきその個人データが処理されることを含む透明性通知など)を提供していること、さらに、データ処理者に対してデータを開示し、本付属書に定める通り、または当事者間のサービス契約に基づいてデータ処理者が個人データを処理できる正当な根拠を有することを表明し、保証し、誓約するものとします。
4.2 各データ管理者は、データ処理者に対して以下の事項を表明し、保証し、誓約するものとします。
(a) 個人データはデータ保護法に従って収集されたものであり、今後も同法に従って収集される。
(b) データ処理者に対するデータ管理者からのすべての指示は、適用されるデータ保護法を遵守する。
(c) 個人データのデータ処理者への移転およびデータ管理者の指示に従ったデータ処理者による個人データの処理について、(法律で要求される場合には)関連するデータ主体の同意を得ており、その他適用されるデータ保護法に従い許可されている。
4.3 各データ管理者は、他のデータ管理者とともに共同および個別に、データ処理者に対し、本第4項の違反に起因または関連してデータ処理者が直接または間接的に被ったすべての請求、責任、費用、経費、損失または損害(結果的損害、利益の損失、信用の損失、およびすべての利息、罰則、法的費用およびその他の専門的費用や経費を含む)について、データ処理者を補償し、防御し、免責することに同意するものとします。
5. 下請契約
5.1 データ管理者は、本付属書の別表3「認可された下請業者」に規定された下請業者の利用およびその詳細な目的に関して、データ処理者が関与することを一般的な書面により承認し、同意するものとします。
5.2 データ管理者は、別表3「認可された下請業者」に現在規定されている下請業者を承認します。
5.3 データ処理者は、別表3「認可された下請業者」に規定される下請業者を、本第5.3項に従い自己の裁量により解除、交代または適切かつ信頼できる新たな下請業者を指名することができます。ただし、データ処理者が新たな下請業者を任命する場合、または別表3「認可された下請業者」に規定される下請業者の追加もしくは交代を行う予定がある場合は、データ管理者に対し10営業日前までに書面で事前通知を行うものとし、その間にデータ管理者は異議を申し立てることができます。
5.4 データ管理者が合理的な理由に基づき指名または交代に対して異議を申し立てた場合、データ処理者は以下のいずれかの方法(データ処理者の単独の裁量で決定)を選択して異議申し立てを是正する権利を有するものとします。
(a) データ処理者は、データ管理者の個人データに関して当該下請業者の利用計画を取り消すことができます。
(b) データ処理者は、データ管理者の異議申し立てにおいてデータ管理者により要求される是正措置(異議を解消する措置)を講じ、データ管理者の個人データに関して当該下請業者の利用を進めることができます。
(c) データ処理者は、データ管理者の個人データに関して当該下請業者を利用することが関与する本サービスの特定要素の提供を停止できます。あるいは、データ管理者は、かかるサービスの特定要素を(一時的または恒久的に)使用しないことに同意できます。
(d) データ処理者は、当該下請業者を利用しない場合の商業的に合理的な代替案(本サービスの変更を含むがこれに限定されない)があればその旨をデータ管理者に書面で提示します。データ処理者が単独の裁量で代替案を提供できない場合、またはデータ管理者が代替案に同意しない場合、データ処理者は事前の書面通知をもって本付属書を終了することができます。終了は、データ処理者に対するデータ管理者の未払料金の支払義務を免除しないものとします
5.5 データ管理者が異議を申し立てない場合、データ処理者は当該下請業者の指名または交代を進めることができ、その新しい下請業者は承認されたものとみなされます。
5.6 データ処理者は、別表3「認可された下請業者」に規定されるすべての下請業者が、その下請業者とデータ管理者の契約期間中および契約終了後にデータ管理者の個人データを無断で処理しないことを義務付ける機密保持契約に署名したことを保証するものとします。
5.7 データ処理者は、本付属書におけるデータ処理者の義務と同等以上の厳格な義務を関連下請業者に課す付属書をすべての下請業者に対して用意していることを保証するものとします。
6.1 両当事者は、適用されるデータ保護法を遵守して本付属書に基づきデータ処理者が個人データの処理を継続するために、または、(i) GDPRもしくはそれを実施する国内法、またはUK GDPRもしくはDPA、およびそれらの各条項の解釈に関する指針を遵守するため、(ii) 「管理者から処理者への移転条項」もしくは「処理者から処理者への移転条項」、またはその他の適格性の認定メカニズムが無効化または修正された場合、(iii) 欧州連合(EU)または欧州経済領域(EEA)における国の加盟状況の変更により、本付属書の修正が必要となる場合など、適用されるデータ保護法の法的解釈に対応するために変更が必要な場合、本付属書の修正について誠意をもって交渉することに合意します。
7.1 本契約の終了については、本契約の規定に従うものとします。
8. 契約終了後の対応
8.1 第7項「契約の終了」に従い本契約を終了した場合、データ処理者は、返却または廃棄が準拠法に違反しない限り、データ管理者の選択に応じて以下のいずれかを実行するものとします。
(i) データ管理者の代理で処理中または処理済みの個人データおよびそのコピーをすべてデータ管理者に返却する。
(ii) 処理に関連するサービスの提供終了後、データ管理者の代理で処理したすべての個人データを廃棄し、準拠法に違反しない限りそのすべてのコピーも廃棄する。
(3) いずれの場合も、データ管理者の代理で個人データを処理することを停止する。
9. 言語
9.1 本付属書は中国語および英語で作成されます。中国語版と英語版とで記述内容に齟齬が生じた場合は、英語版が優先されるものとします。
A.
当事者一覧
データ輸出者 – データ管理者:
·
名前:顧客
·
住所:詳細については、本契約を参照してください。
·
担当者の氏名、役職、連絡先の詳細:詳細については、本契約を参照してください。
·
本条項に基づいて移転されるデータに関連する活動:本サービスの提供に関連する個人データの処理。
·
役割(管理者/処理者):管理者
データ輸入者 – データ処理者:データ輸入者の身元と連絡先の詳細(データ保護の連絡担当責任者を含む)
·
名称:VooV Meeting
·
住所:本付属書の情報を参照してください。
·
担当者の氏名、役職、連絡先の詳細:本付属書の情報を参照してください。
·
本条項に基づいて移転されるデータに関連する活動:本サービスの提供に関連する個人データの処理。
·
役割(管理者/処理者):処理者
B.
処理作業
移転された個人データは、以下の基本的な処理活動の対象となります:
データ処理者は、本契約に従い本サービスを提供する目的で、顧客の代理ですべての個人データを処理します。疑義を避けるために、以下の表に、データ管理者およびデータ処理者が技術的にアクセス可能な個人データのカテゴリーを示します。
|
個人データに技術的にアクセスできる主体 |
||
|
個人データのカテゴリー |
データ管理者 |
データ処理者 |
|
ユーザーID |
|
✓ |
|
データ主体がYouTubeを介してブロードキャストを共有することを選択した場合:GoogleによりVooV Meetingに提供されるデータ主体の名前、メールアドレス、認証コード、アバター |
|
✓ |
|
国または主要な所在地 |
|
✓ |
|
画像(プロフィール画像およびパーソナライズされた仮想背景) |
|
✓ |
|
タイムゾーン |
✓ |
|
|
IPアドレス |
|
✓ |
|
デバイス情報:(デバイスID、オペレーティングシステムとバージョン、IPアドレス、UDI、バッテリー、オーディオおよびビデオ機器の情報、システムディスクのストレージサイズ) |
|
✓ |
|
ソフトウェア情報:(ソフトウェアのバージョン番号とブラウザの種類) |
|
✓ |
|
通信ログ(会議ID、会議の件名、会議の開始時刻と終了時刻、個人用会議ID |
✓ |
|
|
固定電話番号 |
✓ |
|
|
オーディオおよびビデオ品質データ(音量とパケット損失率) |
|
✓ |
|
ネットワークステータスデータ(WiFi/インターネット接続の状態、データ主体が本サービスおよびそのネットワークへの接続を許可されているかどうか、CPU 使用率、メモリ使用率)(VooV Meetingには保存されません) |
|
✓ |
|
ネットワークステータスデータ(データ主体が接続しているサーバーと本サービスのサーバー間の接続状況、会議への参加に使用されたオペレーティングシステムの種類、ネットワーク品質(アップリンク/ダウンリンクのビットレート、フレームレート、解像度、パケット損失率)、会議に使用された音声入出力およびカメラの種類(外部マイクか内部マイクか、ヘッドセットか、フロントカメラかフェイスタイムHDカメラか)) |
|
✓ |
|
セキュリティ関連情報(デバイス操作システムの設定、デバイスIDを含むデバイス情報、モデル、CPU構造、CPUモデル、カーネルのバージョン、解像度) |
|
✓ |
|
本サービスの使用状況データ(データ主体による本サービスの使用頻度、サービスの既定値/エラー情報、全体的な使用状況データ、パフォーマンスデータ、アプリケーションのバージョン) |
|
✓ |
|
本サービスのログ情報(デバイスのIPアドレス、障害ログ、ソフトウェアの動作データなど、データ主体が本サービスを使用する時に生成された操作記録(障害が発生した場合、ユーザーは自発的にログファイルを管理サーバーに送信することも可能)) |
|
✓ |
|
カスタマーサポートコミュニケーション(名前、携帯電話番号、メールアドレス、写真(データ主体がエラーを説明するためにアップロードすることを選択した場合)、エラーの詳細) |
|
✓ |
|
データ主体のPC画面がスクリーンセーバーまたはロック画面モードになった時の会議からの自動切断(VooV
Meetingには保存されません) |
|
✓ |
|
携帯電話のロック(VooV Meetingには保存されません) |
|
✓ |
|
デバイス名(VooV Meetingには保存されません) |
|
✓ |
|
データ主体のBluetoothデバイス名(VooV Meetingには保存されません) |
|
✓ |
|
登録元情報(登録ユーザーがモバイル、PC、ウェブのどれから登録したか(VooV
Meetingに保存される前に匿名化)) |
|
✓ |
|
会議の位置情報:データ主体に自動的に割り当てられた会議レイアウトの位置、会議のホストがスポットライト機能を利用できる場合のデータ主体のユーザーID、アプリID、タイニーID、プラットフォーム情報(VooV Meetingには保存されません) |
|
✓ |
|
会議招待の受諾状況:データ主体が共有された会議招待を受諾したかどうか(VooV
Meetingに保存される前に匿名化) |
|
✓ |
|
Outlookプラグイン情報:ニックネーム、アカウントの種類、VooV
Meeting 利用時の既存のオーディオおよびビデオ設定、デバイスID、Android ID、IDFV、UUID、ハードディスク番号、その他のプラグイン情報(ダウンロード元のチャンネル、プラグインバージョン、ランダム化されたプラグイン番号およびプラグインUID)(VooV Meetingには保存されないか、または保存前に匿名化) |
|
✓ |
|
オーディオおよびビデオデータ(デスクトップまたは特定のウィンドウの画面共有、デスクトップからの音声ストリーミング、美顔フィルター使用時) |
|
✓ |
|
画面共有時の注釈(画面共有中に作成された共同注釈の内容) |
✓ |
|
|
ライブブロードキャストデータ(ユーザーID、企業ID(機能の利用可否による)) |
|
✓ |
|
YouTube APIサービス:(ブロードキャストの配信先URL、ブロードキャストのタイトル、ブロードキャストの開始時間、ブロードキャストに含まれるすべての動画/音声データ(例:参加者の映像および音声、画面共有、デバイス音声(選択時))) |
|
✓ |
|
描画ボード(描画ボードのストリーミング、または描画機能の使用時) |
|
✓ |
|
記録許可データ(会議主催者が会議の記録を許可した場合、記録は処理され、データ主体のローカルデバイスに保存されます(データ主体のサーバーでは処理または保存されません)。ただし、データ主体に会議の録画を許可するために、ユーザーIDが収集されます) |
|
✓ |
|
キャプションおよび翻訳のデータ |
|
✓ |
|
チャット内容 |
✓ |
|
|
カレンダーデータ(VooV Meetingによる処理または保存なし) |
|
✓ |
|
ブロックされた会議参加者(ブロックされた参加者のユーザーID) |
|
✓ |
|
特定の会議の詳細(開始/終了時刻、会議の件名、会議ID、会議リンク) |
|
✓ |
|
ホストユーザーによる過去の会議の参加者リスト:会議の主催者が、主催した会議に関連して次の情報を(本サービスのWebページを通じて)エクスポートする場合:参加者のリスト、会議の開始/終了時刻、会議の件名、会議ID、各参加者の開始/終了時刻、会議への参加期間、会議室の種類(会議室または待機室など) |
|
✓ |
|
チャット機能からの過去の会議のチャット記録(暗号化) このデータはデータ主体のデバイスにのみ保存され、データ処理者のサーバーには保存されません。 |
|
✓ |
|
会議招待状の共有(QQ、WeChat、WeCom、WhatsApp、QQメールを通じて会議の招待状を共有する場合、会議の期間、時間、データ主体の会議のトピック、および会議番号) |
|
✓ |
|
携帯電話を使用したログイン(携帯電話番号) |
✓ |
|
|
シングルサインオンログイン(ユーザーID、ユーザー名、メールアドレス、携帯電話番号、顧客名およびロゴ、データ主体が顧客に提供したその他の個人データ) |
✓ |
|
|
同時通訳として会議に参加するデータ主体の携帯電話情報 |
✓ |
|
データ主体
データ処理者が処理する個人データは、以下のカテゴリーのデータ主体に関するものです。
VooV
Meetingに対し、本サービスを通じて顧客または顧客のエンドユーザー(もしくはその指示に基づき)提供された個人データに関する個人。これには、顧客の従業員、下請業者、エンドユーザー(本サービスの個人版のエンドユーザーで、エンタープライズユーザーの会議に招待された者を含む)が含まれますが、これらに限定されません。
データのカテゴリー
データ処理者が処理する個人データには、以下のデータカテゴリーが含まれます。
顧客の本サービス利用状況に応じて、顧客またはそのエンドユーザー(もしくはその指示に基づき)本サービスを通じてVooV Meetingに提供される個人データ。これには、オーディオおよびビデオデータ(画面共有を含む)、オーディオおよびビデオの品質データ、チャット内容が含まれますが、これらに限定されません。
データ処理者が顧客の代理で処理する個人データのカテゴリーについては、「処理作業」の項目を参照してください。
特別カテゴリーのデータ(該当する場合)
データ処理者が処理する個人データには、以下の特別カテゴリーのデータが含まれます。
該当なし
サービスの利用に特別カテゴリーのデータは必要ありません。顧客は、VooV Meetingに対し、特別カテゴリーのデータを送信することができますが、その範囲は顧客の単独の裁量で決定および管理されます。特別カテゴリーのデータには、人種または民族的出自、政治的意見、宗教的または哲学的信念、労働組合の加入状況、個人の健康または性生活に関するデータの処理などの情報が含まれる可能性がありますが、これらに限定されません。
移転の頻度(例:データが一度に移転されるのか、継続的に移転されるのか)
継続的
処理の性質
データ処理の目的に応じ、組織化、構造化、保存、結合、取得、開示、その他の処理を行います。
データ処理/データ移転およびさらなる処理の目的
本サービスの提供。
個人データの処理期間 / 個人データの保持期間、またはそれが不可能な場合は、それに従って期間が定義される基準
本契約の期間。
(副)処理者による処理 / (副)処理者への移転の場合、主題、性質、処理期間も定義してください
別表3を参照してください
C.
管轄の監督機関
Autoriteit
Persoonsgegevens
データ処理者がモデル条項の第4項(d)および第5項(c)に従い実施する技術的および組織的セキュリティ対策の詳細は以下のとおりです。
(a) データセキュリティ。以下の対策を実施:
(i) データのカテゴリー化と分類のための基準
(ii) 物理、ネットワーク、システム、アプリケーションの各レベルでの一連の認証およびアクセス制御機能
(iii) ビッグデータに基づく異常行動を検知する仕組み
(b) ネットワークセキュリティ。社内ネットワークの分離に関する厳格なルールを導入し、物理的・論理的に分離することで、社内ネットワーク(オフィスネットワーク、開発ネットワーク、テストネットワーク、生産ネットワークを含む)へのアクセス制御と境界保護を実施します。
(c) 物理的および環境的なセキュリティ。地域ごとのセキュリティ要件に基づいたインフラおよび環境への厳格なアクセス管理を実施します。スタッフのタイプとそれぞれのアクセス権限に基づいて、アクセス制御マトリックスを確立し、スタッフによるアクセスと運用の効果的な管理と制御を確実に行います。
(d) インシデント管理。アクティブでリアルタイムなサービス監視を行い、迅速な対応と処理の仕組みを組み合わせることで、セキュリティインシデントの迅速な検知と処理を可能にします。
(e) 基準への準拠。以下の基準に準拠します。
(i) 情報セキュリティマネジメントシステム – ISO 27001:2013
(ii) ITサービス管理 – ISO/IEC 20000-1:2011
(iii) 品質管理システム – ISO/IEC 9001:2015
(iv) ITサービス管理システム – ISO/IEC 27018:2014
(v) CSA Security, Trust & Assurance Registry (STAR)
データ処理者は、以下の下請業者と契約するものとします。これらの下請業者は、随時更新される場合があります。
|
下請業者 |
提供サービス |
連絡先の詳細 |
|
Beijing Yufu Feiyang Technology Co., Ltd. (北京玉符飞扬科技有限公司) |
Idaasからのアカウントのログインと資格情報の検証 |
010-84404911;cloud@yufuid.com |
|
Aceville Pte. Ltd.(First
App Holdingsがデータ処理者である限りにおいて) |
個人データの保管 |
DPO@voovmeeting.com |
1.1 本付属書の他の条項に記載されたデータ処理者の義務に加え、CCPAが適用される場合、データ処理者はデータ管理者の「サービス提供者」として行動するものとします。そのため、両当事者は、データ管理者がデータ処理者に開示するすべての個人データが1つまたは複数の業務目的のために提供されること、また、データ管理者がデータ処理者とその個人データを共有することがそのビジネス目的の遂行に必要であることに同意するものとします。
1.2 データ処理者は、(a) データ管理者のために契約で定められた本サービスを遂行するという特定の目的以外の目的で、個人データを保持、使用、または開示することを禁止されることに同意するものとします。これには、契約で定められたサービスの提供以外の商業目的で個人データを保持、使用、または開示することを禁止されることを含みますが、これに限定されません。
1.3 データ処理者は、データ管理者から開示された個人データについて、業務目的の遂行に必要な場合を除き、追加の収集、販売、または使用を行わないものとします。
1.4 本別表5の目的において、「サービス提供者」、「業務目的」、「商業目的」、「収集」、および「販売」は、CCPAで与えられた意味を有するものとします。