データ処理補遺(DPA)
本データ処理補遺(「DPA」)は、monday.comのサービス利用規約、またはお客様、顧客(契約で定義されている)(総称して「お客様」、「あなたの」、「顧客」)とmonday.com Ltd. (「monday.com」、「当社」、「私たち」、「当社の」)の間で締結されたmonday.comサービスの使用を規定するその他の契約(「契約」)の一部であり、monday.comによるお客様の個人データ処理に関する当事者の合意を反映しています。両当事者は「当事者達」、それぞれは「当事者」と呼ばれるものとします。
本契約で定義されていない大文字の用語は、本契約において当該用語に割り当てられた意味を持つものとします。
サービスを使用することにより、お客様は本DPAに同意し、顧客を本DPAに拘束する完全な権限を持つことを表明および保証することになります。本DPAに準拠および拘束されないか、同意しない場合、または顧客またはその他の事業体を拘束する権限がない場合は、個人データを当社に提供しないでください。
本DPAの特定の条項と本契約の条項との間に矛盾がある場合、本DPAの条項が、個人データ処理に関してのみ、本契約の矛盾条項に優先するものとします。
定義
定義:
「系列会社」
対象事業体を直接的または間接的にコントロールするかコントロールされる、または共同コントロール下にある実体を意味します。この定義上目的での「コントロール」とは、対象事業体の議決権持ち分の50%を超える直接または間接の所有権または支配を意味します。
「認定系列会社」
お客様とmonday.com間の契約に従ってサービスの使用が明示的に許可されているが、monday.comとの独自の契約に署名しておらず、契約に基づいて定義されている”顧客”ではない顧客の系列会社を意味します。
CCPA
カリフォルニア州における2018年カリフォルニア消費者プライバシー法を意味します。民事法§§1798.100以下を参照
“コントローラー”、”データ主体”、”加盟国”、”処理者”、”処理”、および”監督当局”という用語は、
GDPRの場合と、同じ意味を持つものとします。「ビジネス」、「ビジネス目的」、「消費者」および「サービスプロバイダー」という用語は、CCPAの場合と同じ意味を持つものとします。
DPA内で明確性を期するために、「コントローラー」は
「ビジネス」も意味し、「処理者」は「サービスプロバイダー」も意味するものとします。処理者のサブプロセッサもサービスプロバイダーの概念と同じものとします。
「データ保護法」
本契約に基づく個人データの処理に適用できる、欧州連合、欧州経済領域およびその加盟国、スイス、英国、およびアメリカ合衆国の法律および規制を含む、すべてのプライバシーおよびデータ保護の法律および規制を意味します。
「データ主体」
個人データ関連の特定、または特定可能な人物を意味します。
「GDPR」
個人データの処理およびそうしたデータの自由移動に関する自然人の保護、および指令95/46/EC(一般データ保護規則)の廃止に関する2016年4月27日の欧州議会および理事会の規則(EU)2016/679を意味します。
「個人データ」または「個人情報」
特定または特定可能な自然人または消費者(CCPAで定義されている)を確認、説明、関連付けることができ、同自然人や消費者に関係し、またはそれらと合理的に直接または間接にリンクできる情報を意味します。この情報は、DPAおよびお客様と処理者間の契約に基づいて、お客様代わりにmonday.comによってのみ処理されます。
「セキュリティドキュメント」
随時更新され、https://monday.com/trustcenter/datasecure/からアクセスできるか、monday.comによって合理的に利用可能な、お客様購入サービスに適用されるセキュリティドキュメントを意味します。
「サブプロセッサ」
monday.comの指示または監督下で個人データを処理する第三者を意味します。
「標準契約条項」
www.monday.com/terms/scc(「monday.com SCC」)を通じて、または適用可能な場合、monday.com SCCの付録AのC項に基づく処理者によるサブプロセッサへのオンワード転送および指令95/46/ECまたはGDPRに基づいて欧州委員会が随時採択する、第三国で樹立された処理者またはサブプロセッサーへの個人データの転送における標準契約条項に関して、入手可能な標準契約条項および関連付属書および付録を意味します。
個人データの処理
当事者達の役割。
当事者達は、お客様に代わってのみ実行される個人データの処理に関して、以下を認め、かつ同意します:(i)お客様は顧客データに含まれる個人データの管理者であり(契約で定義されている);(ii)monday.comが顧客データに含まれるかかる個人データの処理者であり;(iii)2.1項記載の個人データ処理に関して、CCPAの目的(および該当する範囲で)では、顧客は「ビジネス」であり、monday.comは「サービスプロバイダー」です(かかる用語はCCPAで定義されている)。以下の「コントローラー」および「処理者」という用語は、それぞれ顧客およびmonday.comを意味します。
お客様の個人データ処理。
お客様は、本サービスの使用、およびお客様の処理者への指示において、データ保護法を遵守するものとします。お客様は、個人データを収集、処理、および処理者に転送し、処理者による処理を承認するため、およびCCPAで定義されているとおり、「ビジネス目的」の追求を含む、お客様に代わって処理者の処理活動を行うために必要なすべての法的根拠を確立、獲得するものとします。
処理者による個人データの処理。
本契約に基づいてお客様に代わってのみ処理する場合、処理者は以下の目的で個人データを処理するものとします:(i)本契約および本DPAに従って処理します;(ii)お客様が本サービスを利用できるように処理します;(iii)処理の実行方法に関して、かかる指示が契約の条件と一致している場合、お客様の合理的かつ文書化された指示に従って処理します;(iv)個人データを完全に匿名、識別不能、非個人的にします;(v)処理者が公益の重要な理由でかかる情報を禁止していない限り、処理の前に法的要件を顧客に通知することを条件とします。
処理者は、処理者の見解で、顧客から提供された個人データの処理に関する指示が該当データ保護法に違反している場合、遅滞なく顧客に通知するものとします。処理者は、お客様の指示に応じられない場合、(i)問題の関連詳細を提供してお客様に通知するものとし、(ii)処理者は、お客様に責任を負うことなく、影響を受ける個人データのすべての処理を一時的に停止(かかるデータを安全に保存する以外に)および/またはアカウントへのアクセスを保留し、(iii)当事者達が問題の解決とその費用に同意しない場合、お客様は唯一の救済策として、影響を受ける処理に関する契約および本DPAを終了し、終了日前に支払うべき全金額を処理者に支払うものとします。お客様は、本パラグラフに記載されている契約およびDPAの終了に基づき、処理者に対して応当以外の請求(サービスの払い戻しの要求を含むが、これに限定されない)を控えるものとします
処理の詳細。
処理者による個人データ処理の主題は、本契約に基づくサービスの履行です。処理期間、処理の性質と目的、個人データの種類、および本DPAに基づいて処理されるデータ主体のカテゴリは、DPAの付録1(処理の詳細)でさらに指定されています。
CCPAの義務標準;個人情報は販売しないこと。
処理者は、本契約に基づいて処理者がお客様に提供するサービスまたはその他のアイテムの対価として、個人情報を受信または処理しないことを認め、確認します。処理者は、お客様に代わって処理される個人情報に関する権利または利益を獲得したり、引き出したり、または行使したりしてはならず、本契約および本DPAに規定されているように、かかる個人情報が提供された目的でのみ使用および開示するものとします。処理者は、CCPAの規則、要件、および規定を理解していることを保証し、本契約に基づいて、お客様の事前書面による同意なしに、処理された個人情報の販売を控え(この条項はCCPAで定義されている)、本契約または本DPAに従って、CCPA下でかかる個人情報の「販売」として見なされ、処理者間の個人情報の転送を引き起こしかねない行動を一切取らないことに同意します。
データ主体の権利
データ主体の要求。
処理者は、法的に許可されている範囲で、データ主体または消費者からアクセスの権利、修正の権利、処理制限権、消去権(「忘れられる権利」)、データ可搬性、処理への異議、自動化された個別意思決定の対象とならない権利、個人情報販売のオプトアウト、またはCCPA消費者権利の行使で差別されない権利(「データ主体の要求」)の行使を求める要求を受け取った場合、直ちに顧客に通知するか、場合によってはデータ主体または消費者を顧客に照会するものとします(適用法によって利用可能な範囲内で)。処理者は、処理の性質を考慮して、データ保護法に基づくデータ主体の要求に対応する顧客の義務を履行するために、可能かつ合理的である限り、適切な技術的および組織的措置によって顧客を支援するものとします。処理者は、受け取ったデータ主体の要求、および要求を作成したデータ主体に対して、そうした要求の処理のために、顧客に直接照会することができます。
処理担当者
守秘義務。
処理者は、個人データの処理に従事する担当者が機密保持を確約していることを保証するものとします。
許可された開示。
上記の2.3項および下記の5項の品格を落とすことなく、処理者は、次の条件で個人データを開示及び処理することが出来ます(a)管轄裁判所またはその他の管轄政府または半政府当局が要求する範囲に限定、または(b)適用データ保護法によって要求されるその他の方法を適用(そうした場合、処理者は、法的に禁止されていない限り、開示の前に法的要件を顧客に通知するものとします)、または(c)自分の弁護士、データ保護アドバイザーおよび会計士の守秘義務として「知る必要がある」人だけに知らせます。
サブプロセッサ
サブプロセッサの任命。
お客様は、(a)処理者の系列会社がサブプロセッサとして保持される場合があり;(b)処理者および処理者の系列会社のいずれもサービスの提供にちなみサードパーティのサブプロセッサを雇えることを認め、同意します。
現在のサブプロセッサのリストと新規サブプロセッサの通知。
処理者は、www.monday.com/terms/subprocessorsを介して、個人データを処理するために使用するサブプロセッサの現リストをお客様に提供します。
こうしたサブプロセッサリストには、サブプロセッサと実体国のIDが含まれます(「サブプロセッサリスト」)。お客様による本サービスの最初の使用日付におけるサブプロセッサリストは、本契約書によってサービスの最初の使用時に承認されたものとみなされます。お客様は、書面を通じてlegal@monday.comに処理者による既存サブプロセッサの使用に合理的に異議を訴えることができます。前述のとおり、お客様が既存サブプロセッサーに合理的に反対した場合、お客様は、唯一の救済策として、反対したサブプロセッサーを使用せずに処理者が提供できないサービスに関してのみ、該当契約および本DPAを終了することができます。終了する場合、問題の処理に関して本契約に基づいて支払われるべき全金額が終了日前に処理者に正当に支払われることを条件として、処理者に書面で通知すべきです。お客様は、(i)異議申し立て日付前に承認したサブプロセッサを過去に使用したこと、または(ii)このパラグラフで説明されている状況に応じて契約(払い戻しの要求を含むがこれに限定されない)およびDPAを終了しただけに、処理者に対してそれ以上の請求を行わないものとします。
www.monday.com/terms/subprocessorsからアクセスできる処理者のウエブページは、
お客様が申し込む個人データ処理に雇われる新しいサブプロセッサーの通知を受け入れるメカニズムを提供し、お客様が申し込むと、処理者は、本サービスの提供にちなみ新規サブプロセッサーに個人データの処理を許可する前に新規サブプロセッサー届を提供するものとします。
新しいサブプロセッサに対して反対する権利。
お客様は、かかるサブプロセッサによって処理されることを意図した個人データの保護に関連する理由により、5.2.2項に記載されているメカニズムに従って、処理者の通知受領後3営業日以内に書面で処理者に通知することにより、処理者による新しいサブプロセッサの使用に合理的に反対することができます。そうした書面異議には、処理者による新しいサブプロセッサの使用に異議を唱える理由が含まれるものとします。処理者の通知後3営業日以内に書面でそうした新しいサブプロセッサーに異議を唱えなかった場合、新しいサブプロセッサーの受諾と見なされるものとします。前述のとおり、お客様が新しいサブプロセッサに合理的に反対する場合、処理者は、お客様にサービスの変更を可能にするために合理的に手を尽くすか、お客様の構成またはサービスの使用において商業的に合理的な変更を推奨し、お客様に不当な負担をかけることなく、異議を唱えられた新しいサブプロセッサによる個人データの処理を回避します。処理者が30日以内にそうした変更をできない場合、お客様は、唯一の救済策として、処理者に書面で通知することにより、異議あり新規サブプロセッサーを使用せずに処理者が提供できないサービスに関してのみ該当契約およびDPAを終了することができます。問題の処理に関して終了日前の本契約に基づいて支払われるべきすべての金額は、処理者に正当に支払われるものとします。新しいサブプロセッサに関する決定が下されるまで、処理者は影響を受ける個人データの処理および/またはアカウントへのアクセスをを一時的に停止する場合があります。お客様は、本項に記載されている状況において、本契約(返金の要求を含むがこれに限定されない)および/またはDPAの終了により、処理者に対してそれ以上の請求を控えるものとします。
サブプロセッサとの契約。
処理者または処理者の系列会社は、個人データの保護に対する適切な保護手段を含む書面契約を各サブプロセッサーと締結しました。処理者がお客様に代わって特定の処理活動を実行するために新しいサブプロセッサーを使用する場合、本DPAに規定されているものと同じまたは実質的に同様のデータ保護義務が契約上新しいサブプロセッサーに課されるものとします。特に、処理がGDPRの要件を満たすように、適切な技術的および組織的対策を実施するのに十分な保証を提供すべきです。新しいサブプロセッサがデータ保護義務を履行できない場合、処理者は、新しいサブプロセッサの義務履行について、お客様に引き続き完全なる責任を負うものとします。
セキュリティ
個人データ保護の管理。
処理者は、本契約に基づいて処理される個人データの保護(未許可または違法処理、偶発的または違法的破壊、損失または変更または損傷、個人データの未許可開示またはアクセスに対する保護を含む)、随時修正される場合があるセキュリティドキュメントに記載されている措置を含む個人データの機密性と完全性のため業界標準の技術的および組織的対策を維持するものとします。お客様の合理的な要求に応じて、処理者は、処理の性質とデータ処理者が利用できる情報を考慮して、GDPRの第32条から第36条に基づく義務の確固たる遵守によって、お客様の費用でお客様を支援します。
監査と検査。
合理的な間隔(12ヶ月ごとに1回だけ)でのお客様の14日前の書面要求に応じて、お客様による厳格な機密保持の保証に従い、処理者は、処理者の競合相手ではないお客様(または機密性と非競争保証によって処理者の競争相手ではなく、処理者と紛争中でないお客様の独立した信頼できる第三者監査人)が本DPAの遵守を実証し、お客様が実施する検査を含む監査を可能にし、それに貢献するのに必要なすべての情報を利用できるようにするものとします(ただし、監査および/または検査の結果を反映する文書を含む、そうした情報、監査、検査、およびそれらの結果は、お客様が本DPAの遵守を評価するためにのみ使用するものとし、その他のいかなる目的にも使用できず、または処理者の事前書面による承認なしに第三者に開示出来ないものとします。処理者が要求する早々、お客様は監査および/または検査との関係で処理者によって提供されたお客様所有または管理のすべての記録または文書を返却するものとします。お客様は、この項に起因または関連するすべての費用および経費を負担する全責任を負うものとします。標準契約条項が適用される場合、およびその範囲内で、6.2項の何も標準契約条項を変更したり、標準契約条項に基づく監督当局またはデータ主体の権利に影響を与えたりすることはありません。
データインシデントの管理と通知
処理者は、セキュリティインシデント管理のポリシーと手順を維持し、適用データ保護法で要求される範囲で、お客様に代わって処理された個人データの偶発的または違法的破壊、損失、変更、不正開示またはアクセスに気付いた後、遅滞なく顧客に通知するものとします。通知内容は、処理者または処理者が認識したサブプロセッサーによって送信、保存、またはその他の方法で処理された個人データ(「データインシデント」)も含みます。処理者は、かかるデータインシデントの原因を見つけるために合理的に努力し、修復が処理者の合理的な管理下にある範囲内で、かかるデータインシデントの原因を取り除くために、必要かつ合理的であるとみなす措置を講じるものとします。本契約における義務は、お客様またはお客様のユーザーによって引き起こされたインシデントには適用されないものとします。お客様は、適用データ保護法に従って強制されない限り、およびその範囲内でのみ、処理者の事前書面による承認なしに処理者を直接的または間接的に特定するデータインシデントに関する調査結果、責任の承認、通信、通知、プレスリリース、またはレポートを作成、開示、リリース、または公開しないものとします(法的手続きまたは規制当局または監督当局への通知または影響を受ける個人を含む)。事前書面承認に関して、お客様は、法律上禁止されていない限り、かかる開示に異議を唱える機会を与えるために合理的な事前書面による通知を処理者に提供するものとし、いかなる場合でも、お客様は開示を必要最小限の範囲に制限するものとします。
個人データの返却および削除
契約が終了すれば、それに応じて処理者は、契約に記載されているとおり、顧客の選択により(サービスを通じて、または処理者への書面による通知で示される)、顧客に代わって処理するすべての個人データを削除するか、顧客に返却するものとします。処理者は、データ保護法が個人データの保存を要求または許可しない限り、そうした個人データの既存コピーを削除するものとします。適用法によって許可または要求される範囲で、処理者は、証拠の目的および/または法的要求の確立、行使、防御、および/または法的義務の遵守のためにのみ、個人データのコピーを1つ保持することもできます。
国境を越えるデータ転送
EEA、スイス、英国から、適切なレベルのデータ保護を提供する国への転送。
個人データは、EU加盟国、EEA加盟3ヵ国(ノルウェー、リヒテンシュタイン、アイスランド) (総称して「EEA」)、スイス、英連邦(「英国」)から、適切なレベルのデータ保護を提供する国に転送される場合があります。適切なレベルのデータ保護の提供は、 EEA、欧州連合、加盟国または欧州委員会、またはスイスまたは英国の関連データ保護当局によって適切(「妥当性決定」)かつ適用可能であり、さらなる保護手段を必要としないものとして公開された妥当性決定に基づき、またはそれに従っています。
他の国への転送。
処理者による個人データの処理に、EEA、スイス、および/または英国から関連妥当性決定の対象とならない他の国への転送(直送またはオンワード転送による)が含まれ、そうした転送がEEA、スイス、または英国外への個人データ(GDPRで定義)の合法的転送のために処理者が適用可能として採用する選択可能な承認コンプライアンスメカニズムを通じて行われない場合、標準契約条項が適用されるものとします。
個人データ転送が標準契約条項に従って行われる場合、契約による「データインポーター」は、場合によって、そして処理者の決定によって処理者またはそのサブプロセッサーのいずれかであり、「データエクスポーター」は、そうした個人データの管理者になります。必要に応じて、処理者は、サブプロセッサがお客様と直接標準契約条項を締結することを保証します。そうした場合、お客様は、お客様の名前で、かかるサブプロセッサと標準契約条項に署名することを処理者に指示、委任します。標準契約条項は、EEA外に所在する個人に関連する個人データ、またはEEA外に直接またはオンワード転送を介して転送されない個人データには適用されません。
認定系列会社
契約関係。
両当事者は、DPAを実行することにより、お客様が自分の名前で、また該当する場合はその認定系列会社に代わってDPAを締結することを認め、同意します。この場合、各認定系列会社は、お客様がかかる認定系列会社に代わって個人データを処理する場合、およびその範囲内で、本DPAに基づくお客様の義務に束縛されることに同意し、これにより、お客様は「管理者」としての資格を得ることができます。認定系列会社によるサービスへのすべてのアクセスおよび使用は、本契約および本DPAの条件を遵守することを必要とし、認定系列会社による本サービスの利用規約の違反は、お客様による違反と見なされるものとします。
コミュニケーション。
お客様は、本契約および本DPAに基づく処理者とのすべての通信を調整する責任を負い、認定系列会社に代わって本DPAに関連する通信を行う権利を有するものとします。
その他の規定
データ保護の影響評価。
お客様の合理的な要求に応じて、処理者は、お客様の費用で、GDPR(該当する場合)に基づくお客様のサービスの使用に関連するデータ保護の影響評価を実行するために必要な合理的な協力と支援をお客様に提供するものとします。ただしお客様は、それ以外の場合、関連情報にアクセスできず、そうした情報が処理者にのみ利用可能である必要があります。処理者は、GDPRで要求される範囲で、本項11.1関連のタスク実行において、監督当局との協力または事前協議に顧客の費用で合理的な支援を提供するものとします。
お客様による変更。
お客様は、少なくとも45暦日前に、本DPAの変更が管轄当局の決定変更または決定、データ保護法の変更の結果として必要な場合は、DPAの変更を書面で処理者に要求することができ、お客様の個人データをデータ保護法に違反することなく処理する(処理し続ける)のを可能にします。そうした通知に従って:(a)処理者は、顧客によって要求された、または処理者が必要であると考えるそうした変更に対応するために商業的に合理的な努力をするものとします;(b)お客様は、追加リスクから処理者を保護するため、またはお客様の要請により契約における変更に関連するさらなる手順と費用について処理者に補償するために、処理者によって提案された本DPAの結果的な変更に対する合意を不当に保留または遅延させないものとします。当事者達は、提案されたバリエーションについて迅速に話し合い、合理的に実行可能な限り、速やかにお客様の通知で特定された要件に対処するように設計されたバリエーションまたは代替バリエーションに同意、実行することを目的として、誠意を持って交渉するものとします。両当事者がかかる通知から30日以内にかかる合意に達することができない場合、お客様または処理者は、相手方当事者への即効的な書面通知により、提案されたバリエーション(またはその欠如)の影響を受ける本サービス関連範囲で直ちに契約を終了することができます。お客様は、本項に記載されている契約およびDPAの終了に基づき、処理者に対して過度請求(サービスの払い戻し要求を含むがこれに限定されない)を控えるべきです。
処理者による変更。
処理者は、顧客への少なくとも30暦日前の書面通知により、必要に応じて、本DPAの条件および/またはDPAの9項に従って適用される標準契約条項を変更し、適用データ保護法に違反することなく、処理すべき(または処理し続けるべき)個人データ処理を許可することができ、またはその他の方法で処理者および/または顧客の利益を保護するが、いずれの場合も、処理者が独自の裁量で合理的に決定します。通知期間の満了時にお客様が本サービスを継続して使用することは、そうした改訂条件の受託を意味するものとします。お客様が通知期間内に上記のバリエーションに異議を唱える場合、当事者達は、提案されたバリエーションについて迅速に話し合い、合理的に実行可能な限り、速やかに処理者の通知で特定された要件に対処するように設計されたバリエーションまたは代替バリエーションに同意、実行することを目的として誠意を持って交渉するものとします。両当事者がかかる通知から30日以内にかかる合意に達することができない場合、お客様または処理者は、相手方当事者への即効的な書面通知により、提案されたバリエーション(またはその欠如)の影響を受ける本サービス関連範囲で直ちに契約を終了することができます。お客様は、本項に記載されている契約およびDPAの終了に基づき、処理者に対して過度請求(サービスの払い戻し要求を含むがこれに限定されない)を控えるべきです。
付録1 – 処理の詳細
処理の性質と目的
- お客様へのサービス提供;
- 本契約、本DPA、および/または当事者達が締結したその他の契約の履行;
- お客様の指示に基づいて行動し、そうした指示が本契約の条件と一致している場合;
- 契約で合意されている場合におけるサポートと技術的メンテナンスの提供;
- データセキュリティインシデント、詐欺、エラー、または違法または禁止活動リスクの防止、軽減、調査;
- 紛争の解決;
- 本契約、本DPAの施行、および/または処理者権利の擁護;
- 適用法および規制の遵守;
- 上記のいずれかに関連するすべてのタスク。
処理期間
処理期間およびその満了または終了の結果を扱うDPAおよび/または契約のいずれの項に従い、処理者は、書面上の別途合意がない限り、契約期間中、DPAおよび契約に従って個人データを処理します。
個人データの種類
お客様は、個人データを本サービスに提出することができます。その範囲は、お客様の独自の裁量により決定および管理されます。
データ主体のカテゴリー
お客様は、以下のカテゴリーのデータ主体に関連する個人データを含むが、これらに限定されない個人データをサービスに提出することができます:
- 顧客の従業員、代理人、アドバイザー、フリーランサー(自然人)
- 見込み客、常客、ビジネスパートナー、および顧客のベンダー(自然人)
- 顧客の見込み客、常客、ビジネスパートナー、ベンダーの従業員または連絡担当者
- お客様が本サービスを通じてコミュニケーションすることを決定したその他の第三者個人。
免責条項: このバージョンは、英語の原文を翻訳したものであり、便宜上の目的でのみ提供されています。この英語の原文は、正式な法的拘束力のあるバージョンであり、矛盾が生じた場合には英語の原文が優先されるものとします。