MuchBetter ビジネス
データ保護補足条項

1. 定義

本データ保護補足契約（「DPA」）で定義されていない大文字の用語はすべて、本契約に定められた意味を持ちます。

1. アフィリエイト 当事者を直接的または間接的に支配し、当事者によって支配され、または当事者と共通の支配下にある個人または団体を意味します。この定義において、「支配」（「支配する」、「当事者によって支配される」および「当事者と共通の支配下にある」という用語を含み、相関的な意味を持ちます）とは、議決権付証券の所有、契約、またはその他の方法を問わず、当該個人または団体の業務を管理または指揮する権限を意味します。
2. 合意 MIR とアカウント所有者間の MuchBetter ビジネス アカウント サービス契約を意味し、個人データへのアクセスまたはその他の処理が含まれます。
3. 承認された管轄 EEAの加盟国、または欧州委員会、または2018年データ保護法第17A条もしくは2018年データ保護法附則第21条第4項および第5項に基づいて発行された英国の適正性規制により、データに対する適切な法的保護を有すると承認される可能性のあるその他の管轄区域を意味します。
4. 侵害インシデント 送信、保管、またはその他の方法で処理された個人データの偶発的または違法な破壊、紛失、改ざん、不正な開示、またはアクセスにつながるセキュリティ侵害を意味します。
5. データ保護法 とは、データプライバシー、データセキュリティ、および/または個人データの保護に関連する適用可能な国内外の法律、規則、指令、規制のすべて、またはすべてを意味します。これには、個人データの処理および電子通信分野におけるプライバシーの保護に関するプライバシーおよび電子通信指令2002/58/EC（およびそれぞれの現地実施法）（プライバシーおよび電子通信に関する指令）が含まれます。また、それらの修正または置き換え、2016年4月27日の欧州議会および理事会の規則（EU）2016/679（「GDPR」）が含まれます。さらに、2018年データ保護法、および2018年欧州連合（離脱）法（「UK GDPR」）の第3条に基づきイングランド、ウェールズ、スコットランド、北アイルランドの法律の一部を構成するGDPRも含まれます。
6. EEA 欧州経済領域に加盟している国々を意味します。
7. ミール MuchBetterビジネスアカウントサービスのプロバイダーであるMIR Limited UK Ltdを意味します。
8. 個人データ または「個人データ」とは、識別可能な個人に関する、または個人と関連付けられる可能性のあるあらゆる情報を指します。これには、個人に結び付けられる可能性のある情報、または個人、自然人を直接的または間接的に識別するために使用できるあらゆる情報が含まれます。個人データは、その出所に関わらず、機密情報とみなされます。
9. プロセス 自動的な手段によるか否かを問わず、個人データに対して実行されるあらゆる操作または一連の操作（収集、記録、整理、保管、改変または変更、アクセス、検索、照会、使用、送信による開示、頒布またはその他の方法による利用可能化、整合または結合、ブロック、消去または破壊など）を意味します。「プロセス」または「処理」は、これに従って解釈されるものとします。
10. 標準契約条項 または「SCC」とは、2021年6月4日から欧州議会および理事会で採択された規則 (EU) 2016/679に基づく、第三国への個人データの移転に関する標準契約条項の適用モジュールであり、随時修正、置き換え、または置き換えられる場合があります。
11. 英国補足条項 2022年3月21日に発効された標準契約条項の国際データ転送補足条項を意味します。

2. 本DPAの適用

1. このDPAは、以下の条件がすべて満たされる場合にのみ適用されます。
   
   1. いずれかの当事者が、本契約に関連して他方の当事者から提供された個人データを処理する場合。
   2. 個人データの処理にはデータ保護法が適用されます。
2. 本DPAは、本契約において両当事者が合意し、参照によりDPAが組み込まれたサービスにのみ適用されます。

3. データ保護とプライバシー

1. 一方の当事者が他方の当事者のために提供された個人データにアクセスするか、またはその他の方法で個人データを処理する場合、当該当事者は以下のことを行うものとします。
   
   1. 個人データの独立した管理者となり、契約およびデータ保護法に従って処理の目的と手段を決定します。
   2. データ保護法の要件に従ってのみ個人データを処理し、データ保護法で要求されるように、本契約に基づいて実行される個人データのすべての処理活動の正確な書面記録を保持します。
   3. 前述を損なうことなく、データ保護法に基づいて要求されるあらゆる情報をデータ主体に提供し、データ主体がデータ保護法に基づく権利を行使できるようにする責任を負い、前述およびあらゆる法的義務や規制義務を履行するために他方当事者に合理的な協力と支援を提供するものとします。
   4. 個人データを偶発的または違法な破壊、偶発的な損失、変更、送信、保存、またはその他の方法で処理された個人データの不正な開示またはアクセス、およびその他のすべての違法な処理から保護するために、商業的に合理的かつ適切な物理的、技術的および組織的なセキュリティ対策を実施および維持します。
   5. データ保護法で要求される、監督当局への個人データ侵害の通知義務およびデータ主体への伝達義務を遵守します。
   6. 違反インシデントを認識してから、遅滞なく、遅くとも 24 時間以内に相手方に通知します。
2. データ主体から個人データを最初に取得した当事者は、データ主体から要求されるあらゆる同意（いずれの場合もデータ保護法を遵守するために必要な範囲において）を取得する責任、および個人データの収集前にデータ主体に対し、データ保護法を遵守するために必要な情報（「プライバシー通知」または「プライバシーポリシー」など）を提供する責任を負うものとします。上記は、データ保護法に基づく他方当事者の責任（個人データの処理に関連する個人データの取得時にデータ主体に情報を提供する義務など）を軽減するものではありません。
3. 各当事者は、本契約に基づく義務およびサービスを履行する目的で、関連会社を含む下請業者（以下「下請業者」）を任命し、自らに代わって個人データを処理することができます。ただし、(i) 当該任命は、任命された下請業者との書面による契約の対象となり、該当する場合、本データ保護補足契約で規定されているものと同等の個人データ保護を規定する条件が含まれるものとします。また、(ii) 各当事者は、本データ保護補足契約、本契約およびデータ保護法に基づく自らの作為または不作為について責任を負うのと同程度に、自らの下請業者の作為または不作為についても責任を負うものとします。

4. 個人データの移転

当事者は、承認された管轄区域外で個人データを処理したり、承認された管轄区域外に転送したりしないものとします。

1. 当事者が、承認された管轄区域以外の管轄区域で個人データを処理したり、個人データを承認された管轄区域以外の管轄区域に転送したりすることを希望する場合、該当する場合は英国補足条項と併せて SCC を締結するものとみなされ、その場合、(i) 英国補足条項および SCC は参照により本契約に組み込まれ、(ii) 個人データを開示する当事者は輸出者とみなされ、個人データを受領する当事者は輸入者とみなされます (これらの用語は本契約で定義されています)。

5. 一般事項

1. データ保護法のいずれかが新しいまたは修正されたデータ保護法（関連する裁判所または政府機関による決定または解釈を含む）に置き換えられた場合、新しいまたは修正されたデータ保護法はこのデータ保護補足契約に組み込まれたものとみなされ、両当事者は速やかにかかるデータ保護法の遵守を開始するものとします。
2. 本DPAの条件と標準契約条項または英国補足条項（該当する場合）との間に矛盾または不一致がある場合は、標準契約条項または英国補足条項（該当する場合）の条件が優先します。

SCCの付属書I

1. 付属書 1 は DPA の一部を構成し、英国補足条項および/または標準契約条項に基づく各当事者の義務に関する合意された解釈を規定します。
2. 両当事者は、MIR とアカウント保有者間の個人データの転送の目的で、以下が適用されることに同意します。
   
   1. SCCの第7条は適用されない
   2. 監督機関は、英国補足条項が組み込まれている場合には英国情報コミッショナー事務局、SCC のみが組み込まれている場合にはアイルランドデータ保護コミッショナーとなります。
   3. 英国補足条項が適用される場合はイングランドおよびウェールズの法律が適用され、適用されない場合はアイルランドの法律が適用されます。
   4. 当事者は、英国の追加条項が適用される場合には英国の裁判所を法廷地および管轄地として選択し、適用されない場合にはアイルランドの裁判所を選択します。
   5. 英国補足条項の表 4 では、いずれの当事者も英国補足条項の第 19 条に従って契約を終了することができます。

当事者の特定

「データエクスポーター」: 個人データの送信者。

「データインポーター」: 個人データの受信者

譲渡の説明

データ主体

処理される個人データは、以下のカテゴリーのデータ主体に関係します（指定してください）。

• ☐ MIRの従業員
• ☐ MIRの顧客
• ☐ アカウント所有者のエンドユーザー
• ☐ 口座保有者の従業員
• ☐ 口座保有者の顧客
• ☐ その他: ________

個人データのカテゴリー

転送される個人データは、以下のカテゴリのデータに関係します（指定してください）。

• ☐ 連絡先（氏名、年齢、性別、住所、電話番号、メールアドレスなど）
• ☐ 財務および支払いデータ（例：クレジットカード番号、銀行口座、取引）
• ☐ 政府発行の身分証明書（パスポート、運転免許証）
• ☐ デバイス識別子とインターネットまたは電子ネットワークアクティビティ（IPアドレス、GAID / IDFA、閲覧履歴、タイムスタンプ）
• ☐ 地理位置情報
• ☐ 生体認証データ
• ☐ その他: ________

特別なデータカテゴリ（該当する場合）

転送される個人データは、以下の特別なカテゴリのデータに関係します（指定してください）。

• ☐ なし
• ☐ 遺伝情報または生体認証データ
• ☐ 健康データ
• ☐ 人種または民族的起源
• ☐ 政治的意見、宗教的または哲学的信念
• ☐ その他: ________

転送の頻度:

• ☐ 1回限り
• ☐ 継続的
• ☐ その他: ________

処理の性質

• ☐ コレクション
• ☐ 録音
• ☐ 組織または構造化
• ☐ ストレージ
• ☐ 適応または変更
• ☐ 検索
• ☐ 相談
• ☐ 開示、配布、またはその他の方法で利用可能にすること
• ☐ 分析
• ☐ 消去または破壊
• ☐ その他: ________
•  

移転およびさらなる処理の目的

• ☐ MBBアカウントサービスを提供、管理、運営するため
• ☐ その他: ________

保存期間

個人データは、契約期間中または適用法に従って保持されます。

SCCの付属書II – データのセキュリティを確保するための技術的および組織的措置を含む技術的および組織的措置

この付録はDPAの一部を構成し、データ輸入者が実施する技術的および組織的なセキュリティ対策について説明しています。

データ輸入者は、最新技術、実装コスト、処理の性質、範囲、状況、目的、および自然人の権利と自由に対するさまざまな可能性と重大性のリスクを考慮して、リスクに適したセキュリティレベルを確保するために、適切な技術的および組織的措置を講じるものとします。これには、必要に応じて、以下が含まれます。

• 個人データの仮名化および暗号化。
• 処理システムおよびサービスの継続的な機密性、完全性、可用性および回復力を確保する能力。
• 物理的または技術的なインシデントが発生した場合に、個人データの可用性とアクセスを適時に回復する能力。
• 処理の安全性を確保するための技術的および組織的措置の有効性を定期的にテスト、評価および評価するプロセス。
• 情報セキュリティおよびデータプライバシーポリシーの維持