データ処理契約(DPA)
GDPR第28条に準拠したデータ処理契約のテンプレート。状況に応じて当事者および附属書をカスタマイズしてください。
1. 対象と期間
本契約は、メイン契約で合意されたサービスの提供に関して、管理者のために処理業者が個人データを処理することを規定します。処理の期間はメイン契約の契約期間に対応します。
2. 処理の性質と目的
処理業者は、契約されたサービスを提供するために必要な範囲で個人データを処理します(例:ユーザーアカウント、請求、サポート、API使用)。性質と範囲はメイン契約および附属書1(処理の対象と期間、性質と目的、データの種類、データ主体のカテゴリー)に記載されています。
3. 管理者と処理業者の義務
処理業者は、管理者からの文書による指示に従ってのみ個人データを処理し、第三国への転送に関しても同様とします。これは、連合または加盟国の法律により必要とされる場合を除きます。処理業者は、データを処理する権限のある者が機密保持に拘束されることを保証します。適切な技術的および組織的措置が実施されるものとします(GDPR第32条)。処理業者は、データ主体の要求に応じる際およびGDPR第32条から36条の遵守を確保する際に、管理者を支援します。契約終了時に、処理業者は個人データを削除または返却し、法的に保存が求められない限り、既存のコピーを削除します。
4. サブ処理業者
処理業者は、管理者の事前の同意(一般的または特定)を得た場合にのみサブ処理業者を利用できます。本契約と同様のデータ保護義務が契約によりサブ処理業者に課されます。処理業者は、サブ処理業者の義務の履行について管理者に対して責任を負います。
5. 監査
処理業者は、遵守を示すために必要なすべての情報を管理者に提供し、メイン契約および適用法に従って監査および検査を許可し、貢献します。
これはテンプレートです。使用前に法務担当者にレビューしてもらってください。附属書1(処理の詳細)および附属書2(技術的および組織的措置)を完成させて添付する必要があります。