Zonos データ処理契約

このデータ処理契約（「DPA」）は、iGlobal Exports, LLC、DBA Zonos（「Zonos」）と顧客（「顧客」）との間の、Zonos 利用規約 および プライバシーポリシー（「主契約」）に対する付属文書として機能します（以下、総称して「当事者」）。

前提条件： 

A. 顧客はデータ管理者として行動します。

B. 顧客は、個人データの処理を伴う特定のサービスをZonosにプロセッサーとして下請けすることを希望しています。

C. 当事者は、データ処理に関する現在の法的枠組みおよび2016年4月27日の欧州議会および理事会の規則（EU）2016/679に準拠したDPAを実施することを目指しています。この規則は、個人データの処理に関する自然人の保護およびそのデータの自由な移動に関するものであり、指令95/46/EC（一般データ保護規則）を廃止します。

D. 当事者は、自らの権利および義務を定めることを希望しています。

このDPAには、文書の下部で参照される附属書および付属文書が含まれ、参照されています。このDPAで定義されていないすべての大文字の用語は、主契約に定められた意味を持つものとします。

当事者は以下のことに合意します：

1. 定義

ここで特に定義されていない限り、このDPAで使用される大文字の用語と表現は以下の意味を持つものとします：

1. “契約プロセッサ”は、サブプロセッサを指します。

2. “データ保護法”は、EUデータ保護法および、該当する場合は、他の国のデータ保護またはプライバシー法を指します。

3. “データ転送”は：

   1. 顧客から契約プロセッサへの個人データの転送、または
   2. 契約プロセッサからサブ契約プロセッサへの個人データの転送、または契約プロセッサの2つの施設間での転送で、そのような転送がデータ保護法（またはデータ保護法のデータ転送制限を対処するために設けられたデータ転送契約の条項）によって禁止される場合を指します。

4. “DPA”は、このデータ処理契約とすべてのスケジュールを指します。

5. “EEA”は、欧州経済領域を指します。

6. “EUデータ保護法”は、EU指令95/46/ECを指し、各加盟国の国内法に取り込まれ、時折修正、置換または廃止され、GDPRおよびGDPRを実施または補完する法律を含むものとします。

7. “GDPR”は、EU一般データ保護規則2016/679を指します。

8. “個人データ”は、主契約に基づくまたはそれに関連して、契約プロセッサが顧客のために処理する任意の個人データを指します。

9. “サービス”は、主契約に基づき、より具体的には主契約で説明されているように、Zonosが顧客に提供する任意の製品またはサービスを指します。

10. “サブプロセッサ”は、DPAに関連して、顧客のために個人データを処理するためにZonosによって任命される、またはその代理で任命される任意のプロセッサを指します。

11. 用語“コントローラ”、“データ主体”、“加盟国”、“個人データ”、“個人データ侵害”および“処理”は、GDPRでの同じ意味を持ち、その派生語はそれに応じて解釈されるものとします。

2. 顧客の義務

1. 法令遵守。

   1. DPAの範囲内で、およびサービスの使用において、顧客は、個人データの処理およびZonosに対する任意の処理指示に関して、データ保護法に基づくコントローラとしての義務を遵守することに同意します。
   2. 顧客は、通知を提供し、Zonosが主契約およびこのDPAに基づいて個人データを処理し、サービスを提供するために、データ保護法に基づいて必要なすべての同意と権利を取得しました（または取得します）。

2. コントローラの指示。当事者は、主契約（このDPAを含む）、および主契約に従ってZonosサービスを使用する顧客が、個人データの処理に関する顧客の完全で最終的な指示を構成し、指示の範囲外の追加の指示は、顧客とZonosの間の事前の書面による合意を必要とすることに同意します。

3. Zonosの義務

1. 法令遵守。DPAの範囲内で、およびサービスの使用において、Zonosは：

   1. 個人データの処理におけるプロセッサとして、すべての適用可能なデータ保護法を遵守する責任を負います。そして
   2. 顧客の文書化された指示以外の場合、顧客の個人データを処理しないこと。

2. Zonosの人員。Zonosは、個人データにアクセスする可能性がある任意の従業員、代理人、または契約者の信頼性を確保するために合理的な措置を講じ、各ケースで、アクセスは、主契約の目的のために、または適用法に従ってその個人の契約プロセッサへの義務の文脈で、個人データに知っている必要がある/アクセスする必要がある個人に厳格に限定されることを確保し、すべてのそのような個人が守秘義務または専門的または法定の守秘義務に従うことを確保します。

3. セキュリティ。

   1. 技術の状態、実施の費用、処理の性質、範囲、文脈、目的、および自然人の権利と自由に対するリスクの可能性と重大性を考慮して、Zonosは、個人データに関連して、そのリスクに適したセキュリティレベルを確保するための適切な技術的および組織的措置を実施します。これには、適切な場合、GDPRの第32条（1）に言及されている措置が含まれます。
   2. 適切なセキュリティレベルを評価する際に、Zonosは、処理によって提示されるリスク、特に個人データ侵害からのリスクを考慮します。

4. サブプロセッシング。Zonosは、顧客が必要または許可した場合を除き、サブプロセッサを任命する（または個人データを開示する）ことはありません。

5. データ主体の権利。

   1. 処理の性質を考慮して、Zonosは、データ保護法に基づくデータ主体の権利の行使に対する要求に対応するZonosの義務を、Zonosが合理的に理解する限り、適切な技術的および組織的措置を実施することにより、顧客を支援します。

   2. Zonosは以下に同意します：

      1. 個人データに関するデータ保護法に基づくデータ主体からの要求を受けた場合は、顧客にすみやかに通知します。そして
      2. Zonosが対象となる適用法により要求される場合を除き、その要求に対しては、顧客の文書化された指示に基づいてのみ対応し、その場合、Zonosは、適用法が許可する範囲で、契約プロセッサが要求に対応する前にその法的要件を顧客に通知します。

6. 個人データ侵害。

   1. Zonosは、個人データに影響を及ぼす個人データ侵害が発生したことをZonosが認識した場合、遅滞なく顧客に通知し、顧客がデータ保護法に基づいてデータ主体に個人データ侵害を報告または通知する義務を果たすために必要な情報を十分に提供します。
   2. Zonosは、顧客と協力し、顧客が指示する合理的な商業的措置を講じて、各個人データ侵害の調査、緩和、および修復を支援します。

7. データ保護影響評価と事前協議。Zonosは、顧客がGDPRの第35条または第36条または他のデータ保護法の同等の規定に基づき、必要と合理的に判断する任意のデータ保護影響評価、および監督当局または他の適切なデータプライバシー当局との事前協議について、顧客に合理的な支援を提供します。これは、契約プロセッサによる個人データの処理に関連し、処理の性質と契約プロセッサが利用可能な情報を考慮して行われます。

8. データの返却または削除。サービスの無効化または終了時には、すべての個人データが削除されますが、この要件は、Zonosが適用法により一部またはすべての個人データを保持することが必要である場合、またはバックアップシステムにアーカイブされた個人データには適用されません。このような個人データはZonosが安全に隔離し、さらなる処理から保護しますが、これは適用法により必要とされる範囲に限ります。

9. セキュリティレポート。Zonosは、そのセキュリティ基準の記録を維持します。顧客の書面による要求に応じて、Zonosは、顧客（合理的に）がこのDPAの遵守を確認するために必要と判断するすべての合理的な情報要求に対する回答を提供します。ただし、顧客はこの権利を年に1回以上行使しないものとします。

10. データ転送。顧客は、Zonosが主契約に従ってサービスを提供するために必要な範囲で、個人データをグローバルにアクセスし、処理することを認識し、同意します。特に、個人データはZonosの米国およびZonosのサブプロセッサが業務を行っている他の管轄区域に転送され、処理されます。Zonosは、そのような転送がデータ保護法の要件を満たすように、個人データの転送に関するEU承認の標準契約条項の遵守を含む、遵守を確保します。

11. カリフォルニアの個人情報に関する追加規定。

    1. このセクション11は、カリフォルニアの個人情報についてのみ適用されます。

    2. 顧客の指示に従ってカリフォルニアの個人情報を処理する場合、当事者は、顧客がビジネスであり、ZonosがCCPAの目的でサービスプロバイダであることを認識し、同意します。

    3. 当事者は、Zonosが主契約に基づくサービスを提供するための厳密な目的で、サービスプロバイダとしてカリフォルニアの個人情報を処理することに同意します。Zonosは、Zonosのプライバシーポリシーに従って、自身の正当なビジネス目的のためにサービスデータを使用します。当事者は、Zonosが以下のことを行わないことに同意します：

       1. カリフォルニアの個人情報を販売する（CCPAで定義）；
       2. ビジネス目的以外の商業目的のため、またはCCPAで許可されている他の方法で、カリフォルニアの個人情報を保持、使用、または開示する；または
       3. iii. 顧客とZonosとの直接のビジネス関係の外で、カリフォルニアの個人情報を保持、使用、または開示する。

    4. Zonosは、セクション11（c）で定められた制限を理解し、それに従うことを認証します。

4. 一般条項

1. 機密性。各当事者は、この契約およびこのDPAに関連して他の当事者とそのビジネスについて受け取る情報（“機密情報”）を機密に保ち、他の当事者の事前の書面による同意なしにその機密情報を使用または開示してはならない。ただし、以下の範囲に限ります：

   1. 法律により開示が必要な場合；
   2. 関連情報がすでに公開されている場合。

2. 通知。このDPAに基づくすべての通知と通信は、書面で行い、直接配達し、郵送し、またはこのDPAの見出しに記載された住所または電子メールアドレスに電子メールで送信します。または、当事者が住所を変更するために時折通知するその他の住所に送信します。

5. 準拠法と管轄

このDPAは、データ保護法により他のものが必要とされない限り、主契約の法律および管轄条項に従います。

付録A. Zonosのサブプロセッサのリスト

リクエストに応じて提供可能

付録B. セキュリティ対策

リクエストに応じて提供可能