データ処理契約

の間にある。

顧客はGTCに従ってコントローラー（以下「コントローラー」）となる、

そして

データ処理者としてのSpreadly GmbH, Forstenrieder Weg 1G, 82065 Baierbrunn, Deutschland（以下「データ処理者」、管理者とデータ処理者は共同して「当事者」という。）

前文

管理者は、データ処理業者に対し、GTC（以下、「本契約」という。契約の履行は個人データの処理である。特に、GDPR第28条は、個人データの処理に特定の要件を課している。28 GDPRは、このような委託処理に特定の要件を課している。これらの要件を遵守するため、両当事者は以下のデータ処理契約（以下「本契約」という）を締結する。

§ 第1条 定義

(1) GDPR第4条(7)に従う。4 (7) GDPRに従い、管理者とは、単独で、または他の管理者と共同で、個人データ処理の目的および手段を決定する主体である。

(2) GDPR第4条(8)に従う。4 (8) GDPRに基づき、データ処理者とは、管理者に代わって個人データを処理する自然人または法人、当局、機関、その他の団体を指す。

(3) GDPR第4条(1)に従い、個人情報とは特定または識別可能な自然人（以下「データ主体」という。識別可能な自然人とは、直接または間接的に、特に氏名、識別番号、位置情報、オンライン識別子などの識別子、またはその自然人の身体的、生理的、遺伝的、精神的、経済的、文化的、社会的アイデンティティに固有の1つまたは複数の要素を参照することによって識別できる人を指す。

(4) 特別な保護が必要な個人データとは、GDPR第9条に基づく個人データである。9 GDPRに従い、データ対象者の人種的または民族的出身、政治的意見、宗教的または哲学的信条、または労働組合への加盟を明らかにする個人データ、Art.10 GDPRに従った前科および犯罪または関連する安全対策に関する個人データ、ならびにGDPR第4条(13)に従った遺伝データ。4 (13) GDPR、Art.4 (14) GDPR、Art.4 (15) GDPRに基づく健康データ、および自然人の性生活または性的指向に関するデータである。

(5) GDPR第4条(2)によれば、処理とは、収集、記録、整理、ファイリング、保管、適応または変更、検索、相談、使用、送信による開示、普及またはその他の方法で利用可能にすること、整列または組み合わせ、制限、消去または破壊など、自動的な手段であるか否かを問わず、個人データに対して行われるあらゆる操作または一連の操作を指す。

(6) GDPR第4条(21)に従い、監督当局はGDPR第51条に基づき加盟国により設立された独立国家機関である。

§ 第 2 条 契約の対象

(1) データ処理者は、本契約で指定されたサービスを管理者に提供する。その際、データ処理者は個人データへのアクセスを取得し、データ処理者は、専ら管理者のために、管理者の指示に従い、個人データを処理する。データ処理者によるデータ処理の範囲および目的は、主契約および関連するサービス説明書に記載されている。管理者は、データ処理の許容性を評価する責任を負うものとする。

(2)両当事者は、データ保護法に基づく相互の権利および義務を規定するため、本契約を締結する。疑義が生じた場合、本契約の規定が本契約の規定に優先するものとする。

(3) 本契約の規定は、データ処理者およびその従業員、またはデータ処理者が権限を付与した者が、管理者に由来する、または管理者のために収集された個人データに接触する、本契約に関連するすべての活動に適用されるものとする。

(4) 本契約の契約期間は、以下の条項により更なる義務または解除権が発生しない限り、本契約の契約期間に従うものとする。

§ 第3条 指導権

(1) データ処理者は、本契約の範囲内で、かつ管理者の指示に従ってのみ、デー タを収集、処理または使用することができる。データ処理者が属する欧州連合または加盟国の法律により、さらなる処理を行う必要がある場合は、処理に先立ち、これらの法的要件を管理者に通知するものとする。

(2）管理者の指示は、当初本契約により決定される。その後、個別指示（個別指示）により、管理者が書面またはテキスト形式で修正、補足、または置換することができる。管理者は、いつでもかかる指示を出す権利を有する。これには、データの修正、削除、ブロックに関する指示が含まれる。

(3) 発行されたすべての指示は、管理者が文書化するものとする。主契約で合意されたサービスを超える指示は、サービスの変更要求として扱われるものとする。

(4) データ処理者は、管理者の指示がデータ保護の規定に違反していると判断した場合、管理者にその旨を遅滞なく通知するものとする。データ処理者は、管理者によって確認または修正されるまで、当該指示の実行を停止する権利を有するものとする。データ処理者は、明らかに違法な指示の実行を拒否することができる。

§ 第 4 条 処理されるデータの種類、データ対象者、第三国

(1) データ処理者は、主契約の履行範囲内において、**付属書1.**に詳細に規定されている個人データにアクセスすることができる。

(2) データ処理によって影響を受けるデータ対象者は、**付属書1.**に記載されている。

(3) 第三国への個人情報の移転は、第44条etc.44 et seq.GDPRの条件に従って行われる。

§ 第5条 データ処理者の保護措置

(1) データ処理者は、データ保護に関する法的規定を遵守する義務を負い、管理者の領域から取得した情報を第三者に開示したり、そのアクセスにさらしたりしてはならない。文書およびデータは、最新技術を考慮し、権限のない者に開示されないよう保護されるものとする。

(2) データ処理者は、データ保護の特別な要件を満たすように、その責任範囲内で内部組織を編成するものとする。データ処理者は、GDPR第32条に従い、管理者のデータを適切に保護するため、付属書2に規定された技術的および組織的措置を講じるものとする。32 GDPRに従い、管理者のデータを適切に保護するために付属書2に規定された技術的および組織的措置を講じているものとし、管理者はこれを適切であると認める。データ処理者は、契約上合意された保護レベルが損なわれないようにしながら、講じたセキュリティ対策を変更する権利を留保する。

(3) データ処理者のデータ処理に従事する者は、許可なく個人データを収集、処理または使用することを禁止される。データ処理者は、この契約の処理および履行を委託されたすべての人（以下「従業員」という。28 (3) lit. b GDPR)を遵守し、十分な注意をもってこの義務の遵守を確保するものとする。

(4) データ処理者はデータ保護責任者を任命した。データ処理者のデータ保護責任者はheyData GmbH, Schützenstr.5, 10117 Berlin, datenschutz@heydata.eu, www.heydata.eu。

§ 第6条 データ処理者の情報義務

(1) データ処理者、データ処理者が契約の範囲内で雇用する者、または第三者による個人データの処理において、中断、データ保護違反の疑い、またはデータ処理者の契約上の義務違反、セキュリティ関連のインシデントの疑い、またはその他の不正行為があった場合、データ処理者は不当な遅滞なく管理者に通知するものとする。データ保護監督機関によるデータ処理者の監査についても同様とする。個人データ漏洩の通知には、少なくとも以下の情報を含めるものとする：

(a) 可能な限り、影響を受けたデータ対象者の区分および数、影響を受けた区分お よび影響を受けた個人データ記録の数を含む、個人データ漏洩の性質の説明；

(b) 違反に対処するためにデータ処理者が講じた、または提案した措置の説明、および、該当する場合は、その起こり得る悪影響を軽減するための措置；

(c)個人情報漏えいがもたらすと思われる結果の説明。

(2) データ処理者は、データを保護し、データ対象者に起こりうる悪影響を軽減するために必要な措置を直ちに講じ、その旨を管理者に通知し、さらに指示を求めるものとする。

(3) さらに、データ処理者は、管理者のデータが第1項に基づく違反により影響を受ける限り、いつでも管理者に情報を提供する義務を負うものとする。

(4) データ処理者は、第5条(2)に従ったセキュリティ対策に重大な変更があった場合、管理者に通知するものとする。

§ 第7条 管理者の管理権

(1) 管理者は、データ処理の開始前およびその後は毎年定期的に、データ処理者の 技術的および組織的措置を確認することができる。この目的のために、管理者は、例えば、データ処理者から情報を入手し、専門家から既存の証明書を入手し、認証または内部監査を受け、または適時に調整した後、通常の営タ処理者の業務を不当に混乱させないものとする。

(2) データ処理者は、管理者からの口頭または書面による要求があった場合、合理的な期間内に、データ処理者の技術的および組織的措置をチェックするために必要なすべての情報および証拠を提供することを約束する。

(3) 管理者は、検査の結果を文書化し、データ処理者に通知するものとする。管理者が、特に検査結果の検査中に発見したエラーまたは不正があった場合、管理者はデータ処理者に過度の遅滞なく通知するものとする。管理中に発見された事実が、将来その事実を回避するために命令された手順を変更する必要がある場合、管理者はデータ処理者に対し、必要な手順の変更を遅滞なく通知するものとする。

§ 第8条 サービス・プロバイダーの利用

(1) 契約上合意されたサービスは、付属書3に記載されているサービスプロバイダー（以下「サブプロセッサー」という。）管理者は、データ処理者に対し、契約上の義務の範囲内で追加のサブ処理者を雇用すること、または既に雇用されているサブ処理者を置き換えることについて、GDPR第28条第2項第1号に定める一般的な権限を付与する。

(2) データ処理者は、サブ処理者の関与または交代に関して意図された変 更がある場合には、事前に管理者に通知するものとする。管理者は、データ保護法上の重要な理由により、意図されたサブプロセッサーの関与または交換に異議を唱えることができる。

(3) 意図的なサブプロセッサの関与または交換に対する異議は、変更に関する情報を受け取ってから2週間以内に申し出なければならない。異議の申し立てがない場合、関与または交換は承認されたものとみなす。データ保護法上の重要な理由があり、かつ、管理者と処理者の間で友好的な解決が不可能な場合、管理者は異議申し立ての翌月末に特別な解除権を有する。

(4) データ処理者は、サブ・プロセッサを雇用する場合、本契約の規定に従ってサブ・プロセッサに義務を負わせるものとする。

(5) データ処理者が純粋に付随的なサービスとみなされるサービスを第三者に委託 する場合、本規定にいうサブプロセッサ関係は存在しない。これには、例えば、郵便、輸送および発送サービス、クリーニングサービス、データ処理者が管理者に提供するサービスに特に言及しない電気通信サービス、警備サービスなどが含まれる。保守サービスおよびテストサービスは、管理者のためのサービス提供に関連して使用されるITシステムに提供される限りにおいて、同意が必要なサブプロセッサー関係を構成する。

§ 第9条 データ主体の要求および権利

(1) データ処理者は、GDPR第12条から第22条および第32条から第36条に従った管理者の義務を履行するにあたり、適切な技術的および組織的手段を用いて管理者を支援するものとする。

(2) 情報主体が自己のデータに関してアクセス権、訂正権、削除権などの権利をデータ処理者に対して直接主張する場合、データ処理者は独自に対応せず、情報主体を管理者に照会し、管理者の指示を待つものとする。

§ 第10条 責任

(1) データ処理業者との内部関係において、データ保護法に基づく不当または不正確なデータ処理、または委託された処理の範囲内での使用によりデータ主体が被った損害については、データ処理業者のみがデータ主体に対して賠償責任を負うものとする。

(2) データ処理者は、損害の原因がデータ処理者、その法定代理人または代理人による故意または重過失による義務違反に基づく限り、損害に対して無制限の責任を負うものとする。

(3) データ処理者は、契約の適切な履行のための前提条件であり、管理者が定期的に依拠し、依拠し得る義務の遵守が義務違反である場合にのみ、過失行為に対する責任を負うものとするが、契約に典型的な平均的損害に限定されるものとする。その他のすべての点において、処理者の責任（その代理人を含む）は除外されるものとする。

(4) 第10.3条に基づく責任の制限は、生命、身体、健康に対する傷害、または保証の引き受けに起因する損害賠償請求には適用されない。

§ 第11条 本契約の解除

(1) 本契約の終了後、データ処理者は、提供されたすべての文書、データおよびデータキャリアを管理者に返却するか、または管理者の要求があった場合（連邦法またはドイツ連邦共和国の法律に基づき個人データを保存する義務がある場合を除く）、それらを削除するものとする。これは、データ処理者のデータバックアップにも適用されるものとする。データ処理者は、要求があれば、データが適切に削除されたことを証明する文書を提出するものとする。

(2) 管理者は、データ処理者におけるデータの完全かつ契約上の返却または削除を適切な方法で管理する権利を有する。

(3) データ処理者は、本契約の終了後も、本契約に関連して知り得たデー タの秘密を保持する義務を負うものとする。本契約は、データ処理者が、管理者から転送された、または管理者のために収集した個人データを保有する限り、本契約の終了後も有効に存続するものとする。

§ 第12条 最終規定

(1) データ処理者が本契約に基づくサポート行為を明示的に無償で実施しない限り、データ処理者自身の作為または不作為によりかかるサポートが直接必要となった場合を除き、データ処理者はコントローラに合理的な料金を請求することができる。

(2) 本契約の修正および補足は、書面によって行われなければならない。これは、この正式要件を放棄する場合にも適用される。個々の契約合意の優先順位は影響を受けないものとする。

(3) 本契約の個々の条項の全部または一部が無効または執行不能となった場合であっても、残りの条項の有効性には影響しないものとする。

(4) 本契約はドイツ法に従う。

付属文書2-データ処理者の技術的および組織的措置

1.はじめに

本文書は、第32条に規定される意味において、情報処理者が講じた技術的および組織的措置をまとめたものである。32 para.1 の意味において、処理業者が講じた技術的および組織的措置をまとめたものである。これらは、個人データを保護するために処理者が講じた措置である。この文書の目的は、管理者がGDPR第5条第2項に基づく説明責任を果たすことを支援することである。5 para. 2 GDPRに基づく説明責任を果たすことを支援することである。

2.守秘義務（GDPR第32条第1項b号）

2.1 エントリー・コントロール

以下の対策により、データ処理システムへの不正アクセスを防止する：

• 在宅勤務：権限のない者が従業員の自宅に立ち入ることはできない。

• ホームオフィスでの仕事：可能であれば、居間とは別のオフィスで仕事をするよう従業員に指示する。

2.2 入場管理

以下の対策により、データ処理システムへの不正アクセスを防止する：

• ユーザーとパスワードによる認証

• ファイアウォールの使用

• モバイル・デバイス管理の利用

• データキャリアの暗号化

• デスクトップの自動ロック

• ユーザー権限の管理

• ユーザープロファイルを作成する

• 中央パスワード規則

• 2要素認証の使用

• 安全なパスワードに関する会社方針

• ワークステーションを離れるときにデスクトップを手動でロックするための一般的な指示

2.3 アクセス・コントロール

以下の対策を実施することにより、権限のない者が個人データにアクセスできないようにしている：

• アプリケーションへのアクセスログ（特にデータの入力、変更、削除時）を記録する。

• 管理者の数はできるだけ少なくする

• システム管理者によるユーザー権限の管理

• 従業員に対し、協議の上でなければデータは削除されないことを指示する。

2.4 分離コントロール

以下の措置により、異なる目的のために収集された個人データが別々に処理されることを保証する：

• 物理的に分離されたストレージを、別々のシステムまたはデータキャリアに保管する。

• 生産システムとテストシステムの分離

• 論理的なクライアントの分離（ソフトウェア側）

• データベースの権利の定義

• 可能であれば、開示時または法定削除期間経過後に個人データを匿名化／仮名化するよう内部指導すること。

3.完全性（GDPR第32条第1項b号）

3.1 トランスファー・コントロール

データ・キャリアへの送信中または保管中に、個人データが許可なく読み取られたり、コピーされたり、変更されたり、削除されたりすることがないようにし、また、どのような人物または団体が個人データを受け取ったかを確認できるようにする。これを確保するために、以下の措置を講じている：

• WLAN暗号化（強力なパスワード付きWPA2）

• アクセスと検索のログを取る

• SFTP や HTTPS などの暗号化された接続によるデータの提供

• 会社データの外部サーバーへのアップロード禁止

3.2 入力制御

以下の措置により、データ処理システムにおいて誰がいつ個人データを処理したかを確認できるようにする：

• データの入力、変更、削除を記録する。

• ログの手動または自動制御

• 個々のユーザー名（ユーザーグループではない）を通じて、データの入力、変更、削除を追跡できる。

• 削除に対する明確な責任

legal.dpa.latest.annexes.2.3.2.text.6

4.可用性と回復力（GDPR第32条第1項b号）

以下の措置により、個人データは偶発的な破壊や紛失から保護され、常に顧客が利用できる状態にある：

• サーバールームの消火器

• サーバールームの温度と湿度を監視する装置

• サーバールームの空調

• サーバールームの保護ソケットストリップ

• 無停電電源装置（UPS）

• サーバールームのビデオ監視

• サーバールームへの不正アクセスに対するアラームメッセージ

• 定期的なバックアップ

• バックアッププロセスをチェックする

• データのバックアップを安全なオフサイトの場所に保管する。

• 定期的なデータ復旧テストと結果の記録

• サーバールーム内またはその上部に衛生設備がない。

• 少なくとも最も重要なデータは）プロのホスティング業者とホスティングする。

5.定期的なレビュー、評価、評価のための手続き（GDPR第32条第1項d、GDPR第25条第1項）

5.1 データ保護管理

以下の措置は、組織がデータ保護法の基本要件を満たすことを保証するためのものである：

• データ保護管理にheyDataプラットフォームを使用する

• データ保護責任者の任命 heyData

• 従業員のデータ機密保持義務

• 従業員に対する定期的なデータ保護研修

• 処理活動の概要を維持する（GDPR第30条）

5.2 インシデント対応管理

以下の措置は、データ保護違反が発生した場合に報告プロセスを確実に起動させることを意図している：

• データ保護違反の報告プロセス（Art.4 No.12 GDPRに基づく監督当局への報告プロセス（Art.）

• GDPR第4条第12号に基づくデータ侵害の通知プロセスデータ主体に対するGDPR第4条第12号の通知プロセス（GDPR第34条）

• セキュリティ事故およびデータ侵害へのデータ保護責任者の関与

• ファイアウォールの使用

5.3 データ保護に配慮したデフォルト設定（GDPR第25条第2項）

以下の措置は、データ保護違反が発生した場合に報告プロセスを確実に起動させることを意図している：

• データ保護違反の報告プロセス（Art.4 No.12 GDPRに基づく監督当局への報告プロセス（Art.）

• GDPR第4条第12号に基づくデータ侵害の通知プロセスデータ主体に対するGDPR第4条第12号の通知プロセス（GDPR第34条）

5.4 オーダー・コントロール

以下の措置により、個人データが指示に従った場合にのみ処理されることを保証する：

• 請負業者への書面による指示、またはテキスト形式による指示（データ処理契約書による指示など）

• 注文完了後、対応する確認書を要求するなどして、確実にデータを破棄すること。

• 請負業者が自社の従業員に対してデータ機密保持を約束することを確認すること（通常、データ処理契約書に記載されている）

• 請負業者の慎重な選定（特にデータセキュリティに関して）

• 請負業者とその活動を継続的に見直す

• 注文完了後、対応する確認書を要求するなどして、確実にデータを破棄すること。

バージョン1.3、2024年4月10日発効