データ処理契約(DPA)
Art. 28 GDPRに基づくデータ処理契約(Auftragsverarbeitung)のテンプレート。状況に応じて当事者と付属書をカスタマイズしてください。
1. 対象と期間
この契約は、主契約に合意されたサービスの提供に関連して、コントローラーの要請に基づいてプロセッサーによる個人データの処理を規定します。処理の期間は、主契約の期間に対応します。
2. 処理の性質と目的
プロセッサーは、契約されたサービスを提供するために必要な範囲で個人データを処理します(例:ユーザーアカウント、請求、サポート、APIの使用)。その性質と範囲は、主契約および附属書1(処理の内容と期間、性質と目的、データの種類、データ主体のカテゴリ)に記載されています。
3. コントローラーとプロセッサーの義務
プロセッサーは、コントローラーからの文書による指示に基づいてのみ個人データを処理し、第三国への移転に関しても同様とします。これは、EUまたは加盟国の法律に基づいて必要とされる場合を除きます。プロセッサーは、データを処理する権限を持つ者が機密保持に拘束されることを保証します。適切な技術的および組織的措置が実施されます(GDPR第32条)。プロセッサーは、データ主体からの要求に応じ、GDPR第32条から36条に準拠するようコントローラーを支援します。契約終了時に、プロセッサーは個人データを削除または返還し、法律で保持が要求されない限り既存のコピーを削除します。
4. サブプロセッサー
プロセッサーは、コントローラーの事前の同意(一般的または特定的)を得た場合にのみサブプロセッサーを雇用できます。この契約と同じデータ保護義務がサブプロセッサーに契約上課せられます。プロセッサーは、サブプロセッサーの義務の履行に対してコントローラーに対して責任を持ち続けます。
5. 監査
プロセッサーは、コントローラーが遵守を示すために必要なすべての情報を提供し、主契約および適用法に従って監査および検査を許可し、貢献します。
これはテンプレートです。使用前に法的顧問によるレビューを受けてください。附属書1(処理の詳細)および附属書2(技術的および組織的措置)を完成させて添付する必要があります。