GoDaddy - リセラーデータ処理に関する追加条項
最終改訂日: 2020/10/14
概要

このデータ処理に関する追加条項(「DPA」)は、GoDaddy製品およびサービス(「サービス」)の販売を目的としてGoDaddyのリセラープログラムを通じ、GoDaddy.com, LLC(本規約に基づくと考えられる場合、関連組織を含む)(「GoDaddy」)とお客様(「リセラー」)間の本規約の一部を構成し、GoDaddyに代わりリセラーが行うあらゆる個人情報の処理について適用するものとします。リセラーは、組織を代表し、適用対象のデータ保護法および規制が求める範囲で、認定関連会社の名において、また、認定関連会社に代わって、本 DPA を締結します。英大文字で記載された用語でここに定義されていないものはすべて、本規約にその意味を明記するものとします。「弊社」という用語はGoDaddyを指します。「お客様」または「リセラー」という用語は、この規約に合意する個人またはエンティティを指します。本規約の条項は、いずれも、第三者に権利または受益権が付与される根拠とならないものとします。本 DPA は電子的な手段の同意日現在で発効するものとします。

本 DPA は、以下の 2 つの異なる部分から成り、適用されます。

  • データのプライバシーとセキュリティの標準および要件:データのプライバシーとセキュリティの標準および要件の適用。PII にアクセス権があり、リセラープログラムに参加する範囲内において PII を処理するすべてのリセラー(「ここに定義」するとおり)。
  • 標準契約条項(およびその追加条項1と2):標準契約条項の適用。標準契約条項は、直接または転送により EEA 外の欧州委員会に(GDPR に定められた)個人データに対する適切なレベルの保護を提供していると認められていない国に転送される顧客データに適用されます。標準契約条項は、直接または転送により EEA 外に送信されない顧客データには適用されません。前記規定に拘らず、標準契約事項は EEA 外で EU-US 及び Swiss-U.S プライバシーシールドフレームワークのような、(GDPR に定められた) 既知の個人データの合法転送のコンプライアンス基準に従い転送された場合には適用されません。

*******************************************************************************************************************************************************
データのプライバシーとセキュリティの SLA

1.主題および範囲

本データプライバシーおよびセキュリティ SLA(「セキュリティ SLA」)は、お客様により収集または使用されるあらゆる PII(以下に定義)の確保を目的として、本規約に添付され、盛り込まれます。また、安全な方法または本規約、本セキュリティ SLA、および適用法と規制の条件に従って取り扱われます。

2.優先順位。

本セキュリティ SLA は本規約に盛り込まれ、一部を構成します。本セキュリティ SLA で対応しない問題は、本規約の条件が適用されます。各当事者の権利と責任について本規約および本セキュリティ SLA の条件で矛盾がある場合には、本セキュリティ SLA に従うものとします。本セキュリティ SLA と標準契約条項の条件に矛盾がある場合には、標準契約条項が有効になります。

3.個人情報。

  1. 「PII」または「個人情報」は、特定されているか特定可能な自然人または世帯についてのメディアまたは形態の情報を意味します。ここで特定可能な自然人とは、直接または間接的に、特に名前、住所、社会保障番号/個人番号などの身分証明書番号、メールアドレス、電話番号、財政的概要、クレジットカード情報、運転免許証番号、または特定の人物、ないしは、その人物の物理的、生理学的、遺伝的、心理的、経済的、文化的または社会的な個性に特有の 1 つ以上の因子に、合理的に関連付けられるその他の情報、コンピューター、またはデバイス(例えば、IP アドレスなど追跡技術により収集される情報)を参照することにより特定することができる人物を指します。

  1. 本 DPA における処理には、収集、記録、整理、構成、保管、調整、変更、取得、コンサルテーション、使用、転送による開示、配布またはその他の形で利用可能にすること、整列、混合、PII の消去または破棄を含むものとします。
  2. GoDaddy は、唯一かつ排他的にお客様が GoDaddy の代理でサービスを遂行する目的のみにお客様に PII を開示し、お客様は規約および弊社の書面による指示が定める限定された特定の目的のみに PII の処理ができます。また、欧州連合または欧州連合加盟国の法規により必要とされる場合(この場合、弊社への連絡が法規により禁止されている場合を除き、お客様は実行前に直ちに弊社へ通知するものとします)を除き、EU の個人転送、欧州連合域外の PII に関するものを含め、その他の目的以外の処理はできません。
  3. お客様は、(i) PII の販売、(ii) サービスの提供以外の商業目的による PII の保持、使用または開示、および (iii) お客様と GoDaddy 間で締結された本契約に基づかない PII の保持、使用または開示はできません。

  1. お客様は、本規約の下で GoDaddy に提供されるいかなるサービスの約因としても PII が開示されないことを承諾し、確認するものとします。お客様は、カリフォルニア州消費者プライバシー法 2018 年(「CCPA」)で定義されている用語「販売」(修正後)の用法に基づいて、いかなる PII も販売してはならず、お客様は本契約により、お客様が CCPA の規則、要件および定義、ならびに本 DPA のすべての規則を理解していることを証明するものとします。お客様は、CCPA およびその他の該当する法で定められている「個人情報の販売」となるような、お客様にまたはお客様から PII が移転する原因となりうるいかなる行動も控えることに同意するものとします。
  2. お客様は、本 DPA の条件および GDPR(下記に定義)の第 44 条から第 49 条の要件に従う場合のみ、EU の個人に関する PII を EU 域外(または前述の PII がすでに EU 域外にある場合、EU 域外の第三者)に転送できます。
  3. お客様は、弊社の指示が EU データ保護法 (以下に定義) を含め、適用対象のデータ保護法および規制を侵害すると考える場合、ただちに privacy@godaddy.com 宛てで弊社まで通知するものとします。

  1. お客様はすべての PII を極秘として扱い、当該 PII の秘密保持について、すべての従業員または PII 処理に従事する承認された代理業者に通知し、前述のあらゆる人物または当事者が適切な機密保持契約に署名し、PII の機密を維持するものとします。
  2. 本規約に基づき、リセラープログラムに関連して、受領、維持、処理または別の方法で PII にアクセスする範囲で、お客様は前述の PII を保護するように適切な組織的およびセキュリティ上の措置を維持する責任があることを承諾しこれに同意するものとします。お客様は、適用されるあらゆるプライバシーおよびデータ保護法に従って、前述の PII を保護するものとします。このデータ保護法には、欧州議会および欧州理事会規則(EU)2016/679、2016 年 4 月 27 日の個人データの処理および同データの自由な移動に関する自然人の保護(「一般データ保護規則」または「GDPR」)、および 欧州連合加盟国の法律または規制(「EU データ保護法」と総称)ならびに CCPA を含みますがこれに限定されるものではありません。

  1. 第 3.7 節に言及される適切な組織的およびセキュリティ措置は必要に応じて以下について(これに限るものではなく)記載するものとします。
    1. 下記の第 3 項および第 4 項に記載する各措置
    2. 本規約に記載されている目的で許可を受けた個人のみが当該 PII にアクセスできるようにする手段
    3. PII の偽名使用および暗号化
    4. お客様の処理システムおよびサービスの継続的機密性、整合性、可用性および復元力を確保する能力
    5. 時宜を得たやり方で可用性を復元し、PII にアクセスする能力
    6. PII 処理のセキュリティを守る技術的および組織的対策を定期的に試験、検査および評価する手順、ならびに
    7. お客様システム内の PII 処理に関する脆弱性を特定する措置
  2. サブコントラクターと連絡を取る範囲で、業者またはその他の第三者が規約の定める手順を容易にするために、お客様は (i) 弊社から事前に同意書を取得し、(ii) 前述の第三者と書面上の契約を結び、また、本 DPA および規約の条件を順守するものとします。

  1. 当事者がこの DPA(または、本 DPA に基づくお客様の責任者に対し、第三者に定められた同等の義務を課す類似の契約の約定)に基づく義務を履行しなかった場合、または適用対象のプライバシー法に基づき、1.11 節に従う弊社が与えるいかなる委任にかかわらず、お客様はあらゆるサブコントラクター、業者などの第三者の行為に対して全面的に責任を負います。
  2. お客様は、お客様の費用負担で、PII の一時的または恒久的、過失または不法の、利用不能、損失、破棄、不正公開、またはアクセス、窃盗、または漏洩、その他の適用対象のデータ保護法違反に関連するか、本 DPA の違反に対し、一切の責任、費用、および損失について弊社を防御し、補償し、免責します。
  3. お客様が受領することを意図しない、または、本規約に基づいて受領することを許可されていない、弊社の機密情報または PII をお客様が受領したことに気づいた場合、お客様は、(i) 即座に弊社まで privacy@godaddy.com 宛てに通知し、(ii) 書面による指示がない限り、privacy@godaddy.com より前述の情報について何を行うべきかの指示の連絡を受けるまで、その情報を保持するものとします。

4.影響評価およびセキュリティ監査

  1. データ保護影響評価。お客様は、規約に基づきリセラープログラムに関するプライバシーまたはセキュリティのリスクを特定し最小限に抑えるように、データ保護影響評価の実施で弊社を支援するものとします。
  2. 定期監査。弊社はお客様の本 DPA の遵守を定期的に監査する(または、弊社の監督により第三者に監査を行わせる)権利を留保します。
  3. インシデント後の監査。リセラーのセキュリティ侵害の場合、弊社は PII に影響がないことを確認するためにセキュリティ監査を実施する場合があります。お客様には監査を通じて特定された問題に対し回答するまでに 90 日間が与えられます。特定された問題が解決したら、弊社は解決策の完了を確認するセキュリティ監査を実施する場合があります。
  4. 不履行の通知。お客様が何らかの理由により本 DPA の業務を果たせなくなった場合、弊社に直ちに通知するものとします。そのような場合、お客様は、迅速かつ一切 PII のセキュリティを危険にさらすことなく、問題を解決できるかどうかを報告するものとします。実行されない場合、弊社は即刻契約を終了し、違約金または負担額をお客様に課すことができます。

5.セキュリティインシデント対応

  1. 通知タイミング。お客様は、お客様のサービスまたは PII に関連するあらゆるセキュリティインシデントを発見後直ちに弊社に連絡し、そのインシデントが弊社または PII に与えるあらゆる影響について即座に意見を提供するものとします。お客様は、前述のインシデント検知後ただちに、遅くともお客様のインシデント検知後 1 時間以内に弊社に当該セキュリティインシデントを通知する最大限の努力を払うものとします。本 DPA においてインシデントには、次も含むものとします。
    1. EU データ保護法を含む適用法に基づき個人の権利の行使に関する申立またはリクエスト
    2. 国家公務員、規制または法執行代理人による PII の調査または差し押さえ、または、前述の調査または差し押さえが予想される兆候
    3. PII の一時的または恒久的、過失または不法による、利用不能、損失、破棄、不正公開またはアクセス、窃盗、漏洩、および
    4. 本 DPA に記載されるあらゆるセキュリティ侵害または守秘義務
  2. 通知の形式および内容。セキュリティ侵害の通知は、弊社ネットワークオペレーションセンター (NOC) ((480) 505-8809) への電話連絡という形を取り、その後、securitybreach@godaddy.com への文書による通知を行います。お客様は、当該通知電話連絡中に、追加情報が発覚し次第、最新の進展を持って可能な限り最大限で次の情報を提供するものとします。
    1. インシデントの性質の記載およびインシデントが引き起こしうる結果
    2. 見込まれる解決時間(既知の場合)
    3. 弊社、PII または関連する個人に及ぼすと考えられる悪影響の低減措置を含む、インシデント対応の実施または提案措置の記載。
    4. 通話時に解決の道筋が立たない場合、お客様は未確定であることを明らかにするものとします。
    5. PII およびインシデントの影響を受ける可能性のある個人のカテゴリーとおおよその量、および PII および関連する個人への当該インシデントが引き起こしうる結果。
    6. 弊社がインシデントに関する最新情報を得るために連絡するリセラー担当者の名前と電話番号。
  3. セキュリティ資料。お客様との相互同意の上で、弊社は、特定されたセキュリティ侵害に対する支援として弊社のセキュリティグループからの資料を提供する場合があります。EU データ保護法またはその他の法定、規制、行政、契約上の侵害通知義務に基づきセキュリティ侵害の通知に関する責任を果たすうえで、お客様は弊社を支援することに同意します。

6.暗号

  1. 独占所有物の暗号化。お客様とサブコントラクター、業者、またはその他の第三者間の保護されたトランザクション、また、弊社の機密情報または PII のストレージは、お客様が内部で開発した暗号アルゴリズムを使用することはできません。アプリケーションインフラが使用する対称、非対称、またはハッシュアルゴリズムは、一般暗号団体により公開され、評価されたアルゴリズムを使用します。
  2. 暗号化強度。暗号化アルゴリズムは、AESなど、現在の業界標準技術を採用し、十分な強度を備えるものとします。SHA-256 または RSA 公開鍵暗号化。
  3. ハッシュ機能。ハッシュ機能は、SHA-256 および、MD-5、SHA-2、SHA-3 または類似の技術を 1 つ以上組み合わせます(SHA-1 を除く)。別のハッシュ機能の使用を予定する場合、弊社の情報セキュリティチームより明示的な承認を得て、少なくとも 1 つの承認を受けたアルゴリズムとともに使用するものとします。

7.PIIの処理

  1. 法令の順守。お客様は適用可能な範囲で、PII が本規約に基づいて処理される個人および EU データ保護法に基づく権利の行使を望む個人のリクエストに応える弊社の義務を支援します。これには、(i) アクセス権、(ii) データ可搬性、(iii) 消去の権利、(iv) 改定の権利、(v) 自動意思決定拒否権、および (vi) 処理拒否権を含みます(ただし、これに限定されるものではありません)。
  2. 削除/破棄。お客様はすべての PII を削除/破棄または返却し、暗号的消去(NIST SP-800-88r1)または同様の手段により、いつでも弊社の請求があれば、あるいは、弊社の請求なしで、保管に使用した物理ドライブを、契約の終了後に上書きし、あらゆる既存のコピーを破棄するか弊社に返却するものとします。

*******************************************************************************************************************************************************
標準契約条項

十分なレベルのデータ保護を保証しない第三国のプロセッサーへの個人情報の転送に関する法令 95/46/EC 第 26 条(2)の目的において

データエクスポーター:GoDaddy.com, LLC および関連組織

および

データインポーター:規約が定める条件に従ってリセラープログラムに参加するリセラーの名称。

単独の場合は「当事者」、両方の場合は「両当事者」、

追加条項 1 で指定されたデータエクスポーターからデータインポーターへの個人データの転送における個人のプライバシー及び基本的な権利・自由を適切に保護するため、次の契約条項(規約)に同意しました。

第 1 条
定義

本規約の目的に:

(a)「個人データ」、「データの特別カテゴリー」、「処理」、「コントローラー」、「プロセッサー」、「データ主体」、「監督機関」は、欧州議会法令 95/46/EC 及び 1995 年 10 月 24 日の個人データの処理及びデータの自由な移動におけるる個人の保護に関する理事会で定められているものと同じ定義が適用されます。

(b) 「データエクスポーター」とは、個人データを転送するコントローラーを指します。

(c)「データインポーター」とは、転送後のデータエクスポーターからの指示及び規約に従った代理処理を目的に、データエクスポーターからの個人情報の受け取りに同意したプロセッサーを指し、第三国における法令 95/46/EC 25(1) に定められた適切な保護を確保するシステムが適用されます。

(d) 「サブプロセッサー」とは、データインポーターまたはデータインポーターの他のサブプロセッサーに依頼され、データインポーターまたはデータインポーターの他のサブプロセッサーから、転送後にデータインポーターの代理でデータインポーターの指示、規約、及び書面上の下請け契約に従った形でのみの処理を目的に個人データの受け取りに同意したプロセッサーを指します。

(e)「適用されるデータ保護法」とは、個人の基本的な権利及び自由、特にデータエクスポーターの所在する加盟国のデータコントローラーに適用される個人情報の処理に関するプライバシーの権利を保護する法律を指します。

(f)「技術的及び組織的措置」とは、特に処理の際にネットワーク上でのデータの転送が行われる場合の、個人データを不本意または違法な破壊または誤った紛失、変更、不正開示またはアクセス、及び他のあらゆる違法なプロセスから守ることを目的とした措置を指します。

第 2 条
転送の詳細

転送の詳細、特に該当する場合の個人データの特別カテゴリーは、本規約の一部である追加条項 1 に指定されています。

第3条
第三受益者に関する条項

  1. データ主体は第三受益者として、データインポーターに本条項、第 4 条 (b) から (i)、第 5 条 (a) から (e) 及び (g) から (j)、第 6 条 (1) 及び (2)、第 7 条、第 8 条 (2)、第 9 条から 12 条を行使することができます。

  2. 後継者が契約または法の施行により全ての法的義務を引き継ぎ、その結果データインポーターの権利及び義務を引き継いだ場合を除き、データ主体はエクスポーターが事実上いなくなった、または法律上存在しなくなった場合、データエクスポーターに対し本条項、第 5 条 (a) から (e)、及び (g)、第 6 条、第 7 条、第 8 条 (2)、第 9 条から 12 条を行使することができます。

  3. 後継者が契約または法の施行により全ての法的義務を引き継ぎ、その結果データインポーターの権利及び義務を引き継いだ場合を除き、データ主体はデータインポーターとエクスポーターの両方が事実上いなくなった、または法律上存在しなくなった、または破産した場合、サブプロセッサーに対し本条項、第 5 条 (a) から (e)、及び (g)、第 6 条、第 7 条、第 8 条 (2)、第 9 条から 12 条を行使することができます。これらの第三者のサブプロセッサーの責任は、本規約に定められたそれぞれの処理に限られるものとします。

  4. 当事者は、データ主体が明示的に希望し国の法で許可されている場合、データ主体が協会またはその他団体の弁護を受けることに反対しないものとします。

第 4 条
データインポーターの義務

データエクスポーターは次の事項に同意し、これらを保証するものとします。

(a) 個人データの転送自体を含む、処理が適用されるデータ保護法の関連条項に従い行われており、今後もそのように行われること (及び適用される場合はデータエクスポーターの所在する加盟国の関連機関に通知されていること)、及びその国の関連条項に違反しないこと。

(b) 指示を出し、個人データの処理サービスの間中データインポーターに転送された個人情報をデータエクスポーターの代理で適用されるデータ保護法及び本規約に従ってのみ処理するよう指示すること。

(c) データインポーターが本契約の追加条項 2 に定められた技術的及び組織的セキュリティ対策に十分な保証を提供すること。

(d) 適用されるデータ保護法の要件を評価した後、特に処理の際にネットワーク上でのデータの転送が行われる場合、セキュリティ対策が不本意または違法な破棄、誤った紛失、変更、不正開示またはアクセス、及び他のあらゆる違法なプロセスからデータを保護するために適切であり、これらの措置が最新性と導入費用の面で行われる処理、及び保護対象となるデータの性質に伴うリスクに対し適切であることを確認すること。

(e) セキュリティ措置に従うこと。

(f) 転送に特殊なデータカテゴリーが含まれる場合、データ主体に対し、法令 95/46/EC に定められている十分な保護を提供していない第三者にデータが転送される可能性があることを事前、または事後可能な限り迅速に通知されること。

(g) データエクスポーターが転送の継続または利用停止の解除を決定した場合、第 5 条 (b) 及び第 8 条 (3) に従い、データインポーターまたはサブプロセッサーからの全ての通知をデータ保護監督機関に転送すること。

(h) 追加条項 2 を除き、リクエストに応じてデータ主体に規約のコピー、セキュリティ措置の概要、及び本規約に基づき作成が義務付けられているサブプロセス契約を提供すること。但し規約または契約に商業上の情報が含まれている場合は例外とし、その場合は該当する商業上の情報を削除することができます。

(i) サブプロセスの場合、処理が第 11 条に従い、個人データ及びデータ主体の権利が各条項におけるデータインポーターと同じレベル以上で保護されているサブプロセッサーにより行われること、そして

(j) 第 4 条 (a) から (i) に従うこと。

第 5 条
データインポーターの義務

データインポーターは次の事項に同意し、これらを保証するものとします。

(a) データエクスポーターの代理で指示や規約に従い個人データを処理すること。何らかの理由により指示または規約に従えない場合は、その旨をデータエクスポーターに迅速に知らせることに同意するものとします。その場合、データエクスポーターはデータの転送の中断、あるいは契約の解約ができます。

(b) 適用される法によりデータエクスポーターからの指示に従うこと、また契約における義務の遂行が妨げられず、この法が本規約における保証及び義務に重大な影響を与える形で改定された場合、該当する改定が認識され次第可能な限り迅速にデータエクスポーターに通知し、その場合、データエクスポーターはデータの転送を中止または契約を解約することができます。

(c) 転送された個人データを処理する前に追加条項に指定された技術的及び組織的セキュリティ措置が導入されていること。

(d) データエクスポーターに次の内容を迅速に通知すること。

(i) 刑事法における司法捜査の機密性を維持するための禁止令など別途禁止されている場合を除く、司法当局からの法的拘束力のある個人データの開示リクエスト

(ii) いずれかの偶発的または不正によるアクセス

(iii) 別途承認されている場合を除く、リクエストに返答せずデータ主体から直接受け付けられたリクエスト

(e) データエクスポーターから転送される個人データの処理に関するお問い合わせに迅速かつ適切に対応するため、及び転送されるデータの処理に関する監督機関からの推奨に従うため。

(f) データエクスポーターのリクエストに応じたデータ処理施設におけるプロセスアクティビティの監査を行うこと。監査はデータエクスポーター、または監督機関との取り決めで適切な場合はデータエクスポーターが任命した守秘義務があり必要な職業資格を持つ独立メンバーからなる検査機関により行われるものとします。

(g) リクエストに応じてデータ主体に規約のコピーまたは存在するサブプロセスの契約を提供すること、但し規約または契約に商業上の情報が含まれている場合は例外とし、その場合は追加条項 2 を除き、該当する商業上の情報を削除することができます。データ主体がデータエクスポーターからコピーを取得できない場合、追加条項 2 の代わりにセキュリティ措置の概要が提供されるものとします。

(h) サブプロセスの際に、データエクスポーターに事前に通知され事前に承諾を得ていること。

(i) サブプロセッサーによる処理サービスが第 11 条に従い行われること。

(j) データエクスポーターの条項におけるサブプロセッサー規約のコピーの迅速な送付。

(k) 自社の費用負担で、個人データの損失、不正公開、窃盗、または漏洩、およびデータインポーターによるその他の適用対象のデータ保護法違反に対し、一切の責任、費用、および損失についてデータエクスポーターを防御し、補償し、免責します。

第6条
賠償責任

  1. 当事者は、いずれかの当事者またはサブプロセッサーによる第 3 条または第 11 条における義務違反により損害を受けたデータ主体が、データエクスポーターによる損害賠償を受ける資格があることに同意するものとします。

  2. データエクスポーターが事実上いなくなった、または法律上存在しなくなった、または破産したため、データ主体がパラグラフ 1 に従いデータエクスポーターに対しデータエクスポーターまたはサブプロセッサーによる第 3 条及び第 11 条における義務違反により発生した損害の代償を請求できない場合、契約または法により後継者がデータエクスポーターの法的義務を全て受け継いだ場合を除き、データインポーターはデータ主体がデータインポーターに対しデータエクスポーターと同様に請求できることに合意するものとします。後継者により法的義務が受け継がれた場合は、データ主体は後継者に対しこの権利を行使することができます。

    データインポーターはサブプロセッサーの義務違反を理由に自身の賠償責任を避けることはできません。

  3. データエクスポーターとデータインポーターの両方が事実上いなくなった、法的に存在しなくなった、または破産したためデータ主体がパラグラフ 1 及び 2 におけるデータエクスポーターまたはデータインポーターに、サブプロセッサーによる第 3 条または第 11 条に定められた義務への違反により発生した損害に対する請求ができない場合、サブプロセッサーはデータ主体が本規約で独自の処理権利を有するデータプロセッサーに対し、データエクスポーターまたはデータインポーターと同様に請求を行うことができる点に同意するものとします。但し、後継者が契約または法によりデータインポーターの法的義務を引き継いだ場合は例外とし、その場合、データ主体は後継者にこの権利を行使することができます。これらのサブプロセッサーの責任は、本規約に定められたそれぞれの処理業務に限られるものとします。

第 7 条
仲裁及び管轄

  1. データインポーターは、データ主体が第三受益者の権利を行使、あるいは本規約に基づき損害賠償を請求した場合、データインポーターがデータ主体の決定を受け入れることに同意するものとします。

    (a) 論争を独立した個人、または該当する場合は監督機関の仲裁に回すため;

    (b) データエクスポーターの所在する加盟国の裁判所に論争解決を依頼するため。

  2. 当事者は、データ主体の選択がデータ主体の自然法または国際法の下で救済を求める本質的及び手続上の権利を損ずることがないことに同意するものとします。

第 8 条
監督機関への協力

  1. データエクスポーターは必要に応じて、また、適用されるデータ保護法において義務付けられている場合、本契約のコピーを監督機関に提供することに同意するものとします。

  2. 当事者は監督機関にデータインポーター及びサブプロセッサーの監査を行う権利があり、適用されるデータ保護法の下でサブプロセッサーにデータインポーターの監査に適用されるものと同じ範囲と条件が適用されることに同意するものとします。

  3. パラグラフ 2 に従い、データインポーターはデータインポーターの監査を妨げる適用法またはサブプロセッサーの存在に関して、データのエクスポーターに迅速に通知するものとします。そのような場合、データエクスポーターは第 5 条 (b) に記載されている措置を取ることができるものとします。

第9条
準拠法

本規約にはデータエクスポーターの所在する加盟国の法が適用されるか、データエクスポーターが複数の法域内で開設されている場合、イングランド及びウェールズの法が適用されるものとします。

第 10 条
契約内容の差

当事者は条項に変更を加えないものとします。これは本条項と矛盾しない限り、当事者による必要に応じた事業関連の問題に関する条項の追加を妨げるものではありません。

第11条
サブプロセス

  1. データインポーターは、本規約の下でデータエクスポーターの代理で行われる処理を、データエクスポーターの書面上の承諾なしに下請けに出すことはできません。データインポーターがデータエクスポーターの承諾の上で本条項における業務を下請けに出す場合、本規約でデータインポーターに課せられるものと同じ義務をサブプロセッサーに課するサブプロセッサーとの書面上の契約に基づいてのみ、それを行うことができます。サブプロセッサーがそのような書面上の契約の下でデータ保護義務を遂行しなかった場合、該当する契約におけるサブプロセッサーの義務の不遂行に対し、データインポーターが全ての責任を負うものとします。

  2. データインポーターとサブプロセッサーの間の以前の書面上の契約も、第 3 条に定められた、セータ主体がデータインポーター及びデータエクスポーターが事実上いなくなった、法律上存在しなくなった、または破産し、データエクスポーター及びデータインポーターの法的義務を契約または法律により受け継ぐ後継者がいないため、第 6 条のパラグラフ 1 における賠償をデータインポーターまたはデータエクスポーターに請求できない場合の第三受益者の条項を規定するものとします。これらの第三者のサブプロセッサーの責任は、本規約に定められたそれぞれの処理に限られるものとします。

  3. パラグラフ 1 における契約のサブプロセスのデータ保護に関する条項は、データエクスポーターの所在する加盟国の法が適用されるものとします。

  4. データエクスポーターは、本規約の下で締結され、第 5 条 (j) に従いデータインポーターにより通知されたサブプロセス契約のリストを保管し、そのリストを最低年に 1 度更新するものとします。リストはデータエクスポーターのデータ保護監督機関により利用可能である必要があります。

第12条
個人情報の処理サービス終了後の義務

  1. 当事者は、データ処理サービスの提供終了時に、データインポーターに適用される法により転送された個人データの全てまたは一部の返却または破棄が不可能な場合を除き、データインポーターとサブプロセッサーはデータエクスポーターの選択により、転送された個人データ及びそれらのコピーをデータエクスポーターに返却するか、全ての個人データを破棄しその旨をデータエクスポーターに証明するものとします。その場合、データインポーターは転送された個人データの機密性、及び今後転送された個人データをアクティブに処理しないことを保証するものとします。

  2. データインポーターとサブプロセッサーは、データエクスポーター及び監督機関の要請により、パラグラフ 1 に記載されている措置に関するデータ処理施設の監査に応じることを保証するものとします。


標準契約条項への追加書類 1

付属 SOW に包含されていない場合、追加の必要情報は次の追加条項に含まれます。

データエクスポーター:
データエクスポーターはGoDaddyとして特定される組織であり、GoDaddyの特定の製品およびサービスを顧客に対し再販するデータインポーターにとってリセラープログラムの提供者です。

データインポーター:

データインポーターはGoDaddy製品およびサービスのリセラーです。

データ主体

データ主体は顧客です。

データカテゴリー

転送される個人データは次のデータカテゴリーに関係します。

顧客は、次の個人データカテゴリーを含み、これに限定されない、対象サービスに個人データを送信することができるものとします。

  • 姓名
  • メールアドレス
  • 電話番号
  • 住所
  • 処理

転送される個人データは次の基本処理業務の対象になります。

リセラーは、対象サービスのご利用期間中、リセラー規約に基づく対象サービスを実行するための必要に応じて個人データを処理します。


標準契約条項への追加書類 2

技術的および組織のセキュリティ措置

データインポーターは、このデータ処理に関する追加条項が規定する、個人データを含む、顧客データのセキュリティ、機密、および保全の保護に技術的かつ管理面での防衛手段を保持するものとします。データインポーターは、これらの防衛手段を遵守するよう定期的に監視するものとします。データインポーターは、対象サービスまたはリセラープログラムのセキュリティ全般について大幅な低下がないようにします。


法的な規約および方針の翻訳版は、英語版の読者がその内容を理解しやすくするという便宜を図ることのみを目的として提供しているものです。法的な規約および方針の翻訳版を提供する目的は、法的拘束力のある契約を成立させたり、英語版に代わる法的に有効な規約等を設けたりすることではありません。紛争または対立が生じた場合、当事者間の関係には、英語版の法的な規約および方針のみが適用され、英語版の条項が、他言語版の条項に優先します。