データ処理契約EasySIGN

このデータ処理契約は、契約の不可欠な部分を形成します。 ユーザーは、個人データに対して責任を負う契約（「管理者」）にあります。 EasySIGN BVは、個人データの契約処理者（「処理者」）に含まれています。 この後、両方の当事者がコントローラーまたはプロセッサーとして引用されます。

一方、

両当事者は、コントローラーがプロセッサーをEasySIGNグラフィック制作ソフトウェアのソフトウェアサプライヤーとして使用することに同意しました。 プロセッサーは、契約の履行に関連してコントローラーの個人データを処理します。

両当事者が法律に準拠した方法で関係を遂行できるようにするために、両当事者は次のようにこのデータ処理契約（「DPA」）を締結しました。
 

1。 定義

このDPAの目的のために：  

「適用されるデータ保護法」	：個人の基本的権利と自由、特に個人データの処理に関するプライバシーの権利を保護する法律。この法律は管理者と処理者に適用されます。 適用されるデータ保護法という用語には、GDPRも含まれます。
"コントローラ"	：上記のEasySIGNの顧客であり、自然人または法人として、単独で、または他の人と一緒に、個人データの処理の目的と手段を決定します。
「GDPはあります」	：2016年679月25日に発効した、個人データの処理およびそのようなデータの自由な移動に関する自然人の保護に関する欧州議会および理事会の規則（EU）2018/XNUMX。
"国際的な団体"	：国際公法に準拠する組織およびその下位組織、またはXNUMXつ以上の国間の合意によって、またはそれに基づいて設立されたその他の組織。
「加盟国」	：欧州連合に属する国。
"個人データ"	：識別された、または識別可能な自然人に関連する情報（データ主体）;
「データ主体」	：特に名前、識別番号、位置データ、オンライン識別子などの識別子によって、または物理的、生理学的、遺伝的、その自然人の精神的、経済的、文化的または社会的アイデンティティ。
「個人情報漏えい」	：送信、保存、またはその他の方法で処理された個人データの偶発的または違法な破壊、紛失、改ざん、不正な開示、またはアクセスにつながるセキュリティ違反。
「プロセス/処理」	：収集、記録、整理、構造化、保管、改作または変更、検索、相談、使用、開示などの自動化された手段によるかどうかにかかわらず、個人データまたは個人データのセットに対して実行される操作または操作のセット送信、配布、またはその他の方法で利用可能にすること、調整または組み合わせ、制限、消去、または破壊。
「プロセッサー」	：EasySIGN BV、コントローラーに代わって個人データを処理します。
「お客様と 入るときのEasySIGN サブスクリプション"	：サービスの提供の条件を定めた、コントローラーとプロセッサーの間で締結された主な合意。
「サービス」	：プロセッサからコントローラに提供され、このDPAの付録1の「処理の対象」で説明されているサービス。
「個人データの特別なカテゴリ」	：人種的または民族的起源、政治的意見、宗教的または哲学的信念、または労働組合への加入を明らかにする個人データ。 自然人、健康に関するデータ、または自然人の性生活または性的指向に関するデータを一意に識別することを目的とした遺伝子データおよび生物測定データの処理。
「サブプロセッサ」	：プロセッサが関与するデータプロセッサであり、その指示、このDPAの条件、および書面によるサブの条件に従って、コントローラに対して実行する必要のある処理アクティビティのみを目的として、プロセッサから個人データを受信する意思を宣言します。 -処理契約;
「監督機関」	：GDPRの第51条に従って加盟国によって設立された独立した公的機関。
「技術的および組織的   セキュリティ対策」	：特に処理がネットワークを介したデータの送信を伴う場合、およびその他すべての違法な形式の処理に対して、個人データを偶発的な破壊または偶発的な損失、改ざん、不正な開示またはアクセスから保護することを目的とした措置。
「第三国」	：欧州委員会が、その国、またはその国内の地域またはXNUMXつ以上の特定のセクターが、適切なレベルのデータ保護を保証すると決定していない国。

2.処理の詳細

処理者がその趣旨の指示を受けたデータ処理者として管理者に対して行う処理活動の詳細（処理の主題、性質、目的、個人データの種類、カテゴリなど）データ主体の）は、このDPAの付録1に記載されています。

3.管理者の権利と義務

管理者は処理者に指示を出し、指示が​​与えられたデータ処理の期間中、管理者のためだけに、適用されるデータ保護法、協定に従って個人データを処理するように処理者に指示し続けるものとします。サブスクリプション、このDPA、およびコントローラーの指示を取得する際の顧客とEasySIGNの間。 管理者は、一般的および個別の場合の両方で、個人データの処理に関する指示を処理者に与える権利があり、義務付けられています。 指示は、個人データの修正、削除、およびブロックにも関連する場合があります。 緊急性または他の特定の状況が別の形式（例えば、口頭または電子的）を必要としない限り、指示は一般的に書面で与えられます。 コントローラーは、書面による未記入の指示を直ちに確認するものとします。 指示を実行することが処理者の費用につながる限り、処理者は最初にそれらの費用を管理者に通知するものとします。 プロセッサは、コントローラがその命令を実行するためのコストに責任があることを確認した場合にのみ、命令を実行するものとします。

4.処理者の義務

プロセッサは次のことを行います。

1. コントローラーの指示に従い、コントローラーに代わって個人データを独占的に処理する。 このような指示は、サブスクリプション、このDPA、または上記の第3条に記載されている文書化された形式で、顧客とEasySIGNの間の契約に記載されています。 管理者の指示に従うこの義務は、第三国または国際機関への個人データの転送にも適用されます。
2. プロセッサが何らかの理由でコントローラからの指示に準拠できない場合は、ただちにコントローラに通知してください。
3. 管理者に代わって個人データを処理することを処理者によって許可された人が機密性を遵守することを約束すること、またはそれらの人が適切な機密保持義務の対象となること、および個人データにアクセスできる人がそれらの個人を処理することを確認しますコントローラーの指示に従ったデータ。
4. 個人データを処理し、それらの技術的および組織的セキュリティ対策に関して管理者に十分な保証を提供することを保証する前に、付録2でさらに指定されている該当するデータ保護法の要件を満たす技術的および組織的セキュリティ対策を実装します。
5. 情報、アクセス、修正および削除、処理の制限に関するデータ主体の権利の行使の要求に対応するための管理者の義務を履行するために、実行可能な範囲で、適切な技術的および組織的手段によって管理者を支援する、通知、データの移植性、異議申し立て、および自動化された意思決定。 それらの実行可能な技術的および組織的措置が付録2に記載されている技術的および組織的措置の変更または変更を必要とする限り、処理者はそれらの追加または変更された技術的および組織的措置を実施する費用を管理者に通知します。 管理者がこれらの費用が自分のアカウントに対するものであることを確認するとすぐに、処理者は、管理者がデータ主体の要求に確実に準拠するのを支援するために、これらの追加または変更された技術的および組織的措置を実施します。
6. このDPAおよびGDPR第28条に定められた義務の遵守を実証するために必要なすべての情報を管理者が利用できるようにし、管理者または管理者によって義務付けられた別の監査人によって実施される検査を含む監査を可能にし、貢献します。 コントローラーは、直接および現地での監査がプロセッサーの業務を大幅に混乱させ、多額の費用がかかり、時間がかかる可能性があることを認識しています。 したがって、管理者は、業務の中断により処理者が負担した費用を払い戻す場合にのみ、直接および現地で監査を実施することができます。
7. 不必要な遅延なしにコントローラーに通知します。
   i.

   法執行機関による個人データの開示に関する法的拘束力のある要求。ただし、法執行機関の調査の機密性を保持するための刑法による禁止など、この通知が別途禁止されている場合を除きます。
   II。

   データ主体から直接受け取った苦情および要求（たとえば、アクセス、修正、削除、処理の制限、通知、データの移植性、データ処理に対する異議、および自動化された意思決定に関連する苦情および要求）は、その要求をさらに処理することなく他に許可されていない限り、
   III。

   処理者がEUの法律またはそれに適用される加盟国の法律に基づいて、管理者の指示の範囲を超えて個人データを処理する義務を負っている場合、EUの法律または法律がない限り、その範囲を超えて処理を実行する前にその加盟国のは、公益のやむを得ない理由でその情報を禁止しています。 通知には、そのEU法または加盟国の法律に基づく法定要件を明記する必要があります。
   IV。

   処理者の意見で、指示が適用データ保護法に違反している場合。 それがその通知を与える場合、コントローラーがそれを確認または変更しない限り、プロセッサーは指示に従う義務を負わない。 と
   v.

   プロセッサが個人データの侵害に気付いたらすぐに、24時間以内に。 そのような個人データ侵害が発生した場合、処理者は、管理者の書面による要求に応じて、該当するデータ保護法に基づいて、データ主体または監督当局に侵害を報告し、個人データ侵害を文書化する義務を負って、管理者を支援するものとします。 。 レポートに関連する連絡先の詳細は、クライアントサービスシステムに記録されます。 連絡担当者は、本契約の付録に記載されています。
8. プロセッサーがコントローラーに提供するサービスおよびプロセッサーがコントローラーのために処理する個人データに関連するGDPR第35条に基づいて要求されるデータ保護影響評価において、コントローラーを支援する。
9. 個人データの処理に関連する管理者のすべての質問に対処し（たとえば、管理者がデータ主体の苦情または要求に迅速に対応できるようにするため）、送信された処理に関する監督当局のアドバイスに従う。データ;
10. このDPAに基づいて処理される個人データを修正、削除、および/またはブロックすることが義務付けられ、要求されている場合は、直ちにこれを行ってください。 法定のデータ保持要件のために個人データを削除できない場合、処理者は、関連する個人データを削除する代わりに、個人データのさらなる処理および/または使用を制限するか、個人データから対応するIDを削除するものとします。 （'ブロッキング'）。 そのようなブロック義務が処理者に適用される場合、処理者は、保持期間が終了する暦年の最終日までに、関連する個人データを削除するものとします。

 

5。 サブ処理

 

1. コントローラーは、サービスの提供のためにプロセッサーが関与するサブプロセッサーの使用を許可します。 コントローラは、以下に関してサブプロセッサの承認を与えます。

   Webクジラ	Woocommerceウェブショップ
   Hubspot	CRM
   Copernica	CRM
   チームリーダー	CRM
   Uデジタル	マーケティングサービスプロバイダー
   ホットジャー	オンライン行動記録ツール
   モリー	決済サービスプロバイダー
   正確なオンライン	クラウドベースの簿記
   Libra サービスの自動化	コンピューターサービスプロバイダー
   Microsoft Officeの365	クラウドベースのメールとスプレッドシート
   ウィブ	クラウドベースのライセンスマネージャー
   Google	Googleアナリティクス

   彼らによって利用可能になった処理契約は、これらの当事者と締結されています。
2. プロセッサが新しいサブプロセッサまたはそれ以上のサブプロセッサを使用する場合、プロセッサはEasySIGNの「プライバシーポリシー」（https://www.easysign.com/about-us/privacy-policy/）が更新されます。 コントローラは、EasySIGNの「プライバシーポリシー」の定期的な相談を保証します。 コントローラーが新しいサブプロセッサーまたはそれ以上のサブプロセッサーの使用に異議を唱える合理的な理由がある場合、コントローラーは通知サブプロセッサーの受領から14日以内に書面で直ちにプロセッサーに通知する必要があります。 コントローラーが新しいサブプロセッサーまたは別のサブプロセッサーに異議を唱え、その保持が不合理でない場合、プロセッサーは、コントローラーが利用できるサービスに変更を加えるために合理的な努力を払うか、コントローラーまたはコントローラーに不当な負担をかけることなく、異議が唱えられた新しいまたは異なるサブプロセッサーによる個人データの処理を防ぐために、サービスのコントローラーが使用すること。 処理者が合理的な期間内にその変更を利用可能にすることができない場合、その期間は60日を超えない場合、管理者は「契約条件」の影響を受ける部分の関連部分を終了することができます（https://www.easysign.com/about-us/general-terms-and-conditions/）ただし、プロセッサへの書面による通知によって異議が唱えられた新しいまたは異なるサブプロセッサを使用せずにプロセッサが提供できないサービスに関してのみ。
3. プロセッサーは、契約上、すべてのサブプロセッサーにこのDPAに含まれるものと同じデータ保護義務を課すものとします。 プロセッサーとサブプロセッサーの間の合意は、サブプロセッサーが提供するサービスにとって技術的および組織的セキュリティ対策が重要である限り、付録2に指定されている技術的および組織的セキュリティ対策の実施について適切な保証を与える必要があります。 。
4. プロセッサは、細心の注意を払ってサブプロセッサを選択します。
5. そのようなサブプロセッサーが第三国にある場合、プロセッサーは、コントローラーの書面による要求に応じて、委員会の決定に従って、コントローラーに代わって（コントローラーの名前で）EUモデル契約（コントローラー>プロセッサー）を締結するものとします。 2010/87/EU。 この場合、コントローラーは、コントローラーの名前でサブプロセッサーに指示を与え、EUモデル契約に基づくサブプロセッサーに関するすべてのコントローラーの権利を行使するようにプロセッサーに指示および許可します。
6. サブプロセッサーがその義務を履行しなかった場合、プロセッサーは、サブプロセッサーの義務を履行するためにコントローラーに対して引き続き責任を負います。 ただし、プロセッサは、サブプロセッサへのコントローラの指示から生じるいかなる損害/損失および請求に対しても責任を負いません。

 

6。 賠償責任の制限

このDPAに起因または関連して発生するすべての責任は、「利用規約」に記載されている、または「利用規約」に適用される責任規定に従い、これにのみ準拠します。 したがって、責任限度額を計算する、および/またはその他の責任限度額の適用を決定する目的で、このDPAに基づいて発生する責任は、関連する「契約条件」に基づいて発生すると見なされるものとします。

7.期間と終了

1. このDPAの期間は、関連する「契約条件」の期間と同じです。 本契約に別段の定めがない限り、終了の分野における権利と義務は、関連する「契約条件」に記載されているものと同じです。
2. 処理者は、管理者の最初の要求に応じて、サービスの提供終了後にすべての個人データを削除または管理者に返却し、処理者がEUまたは加盟国の下でそのような個人データを保持する義務を負わない限り、既存のすべてのコピーを削除します。州法。

 

8。 雑多

1. このDPAの規定と両当事者間のその他の合意との間に矛盾がある場合、両当事者のデータ保護義務に関して、このDPAの規定が優先するものとします。 これらの他の契約の条項が両当事者のデータ保護義務に関連しているかどうかについて疑問がある場合は、このDPAが優先するものとします。
2. このDPAのいずれかの条項の無効性または執行不能性は、このDPAの残りの条項の有効性または執行可能性に影響を与えないものとします。 無効または執行不能な条項は、（i）その有効性または執行可能性を保証すると同時に、当事者の意図を可能な限り維持するように、または（これが不可能な場合は）（ii）無効または強制力のない部分が含まれたことはありませんでした。 上記は、このDPAに省略が含まれている場合にも適用されます
3. このDPAは、必須の適用データ保護法が適用される場合を除き、サブスクリプションを締結する際のお客様とEasySIGNの間の契約と同じ法律に準拠します。
4. この処理契約はオランダの法律の対象となります。 その実施に関する紛争は、アイントホーフェンの管轄裁判所に提出されます。

   

フルネーム：	ポール・スクーフス
ポジション：	取締役社長
住所：〒XNUMX-XNUMX 東京都港区元麻布XNUMX－XNUMX－XNUMX	Melkweg 5、5527CZハーペルト
日付：	２０２０年３月５日

 

付録1-データ主体のカテゴリー

転送される個人データは、次のカテゴリのデータ主体に関係します。

• 企業
• 顧客の顧客
• 職員
• サプライヤー

 

処理対象

サインやその他のグラフィック制作の設計と製造のためのソフトウェアの使用。

処理の性質と目的

プロセッサーは、以下を含む契約を履行するために、コントローラーに代わってデータ主体の個人データを収集、保存、処理、および使用します。

• タスク、会議、電話の管理。
• 電子メールのフォローアップ、連絡先および会社の管理を目的とした個人データのCRMツールへの追加。
• 販売プロセスのフォローアップ。
• 請求;
• 時間登録;
• サポートチケットの作成と管理（その統計を含む）
• 目標の作成と管理
• ボイスオーバーIP

 

個人データの種類

コントローラーに代わってプロセッサーによって収集、処理、および使用される個人データは、次のカテゴリーの個人データに関係します。使用状況データと連絡先の詳細、より具体的には次のとおりです。 Abonnementsgegevens:

• 希望するサブスクリプション。
• ユーザー名;
• パスワード;

  あなたの詳細:

• 名前と苗字;
• 電話番号;
• 電子メールアドレス;
• フォールクールタール;

  あなたの会社の詳細:

• 会社名;
• 請求書の住所;
• 郵便番号と市区町村。
• 国;
• 電子メールアドレス;
• VAT番号;

  支払詳細:

• IBANとアクリプション。

セキュリティ違反の場合の連絡担当者

これは、契約の連絡担当者として任命された人になります。 これはにログインすることで見つけることができます www.EasySIGN.com 「私の詳細」の下。

プロセッサーとの連絡

コンプライアンスおよびプライバシーマネージャー：EasySIGN BV、Paul Schoofs support@easysign.com

付録2–セキュリティ対策シート

適用されるデータ保護法に従って処理者が実施する技術的および組織的セキュリティ対策の説明：この付録では、少なくとも作成、収集、受信された個人データのセキュリティを保護するために処理者が維持しなければならない技術的および組織的セキュリティ対策と手順について説明します。 、またはその他の方法で取得。

全般

技術的および組織的な対策は、サービス契約の締結時の最先端と見なすことができます。 処理者は、実装のコスト、処理の性質、範囲、コンテキスト、目的、および自然人の権利と自由の可能性と重大度の違いのリスクを考慮して、時間の経過とともに技術的および組織的な対策を評価します。

詳細な技術的対策

  パスワードを使用したEasySIGNのシステムへの論理アクセス制御：

• EasySIGNの全従業員は、「ソーシャルエンジニアリング」について知らされ、警戒しています。

  EasySIGNは24時間年中無休でシステムを監視します。

• 可用性はXNUMX分ごとに測定されます。
• EasySIGNの（仮想）サーバーの監視は、運用エンジニアと開発者の資格のあるチームによって実行されます。これにより、マシンごと、サービスごとに、サーバーが利用可能かどうか、合意されたサービスレベルを満たすために必要なパフォーマンスを提供するかどうかを測定できます。 アラートはWhatsappおよび電子メールを介して発生します。

お客様の構成にもよりますが、EasySIGNは通常クラウドで部分的に機能します。 これは、ログインライセンスには、Wibu Systems（下請け業者Claranet GmbH）とWebwhalesWoocommerceのデータセンターの可用性が必要であることを意味します。 カスタマーライセンスアクセスシステムの運用と可用性は、ハーペルトにある当社のオフィスのローカルサーバーに依存しません。 EasySIGNはSSLセキュリティプロトコルを使用します。 コンピュータウイルスを含む悪意のあるソフトウェアを検出して処理するために、適切で最新のメカニズムが導入されています。 許可された担当者のみが個人データにアクセスできます。 従業員には、雇用契約に含まれる厳格な守秘義務があります。 建物には警報システムがあり、営業時間外は24時間年中無休で監視されています。 営業時間中はドアが閉まり、EasySIGNの従業員の指導の下で予約が必要な場合にのみアクセスできます。

ログ·ファイルの

  すべてのユーザーアクションはログに記録され、無期限に保存されます。 ログは次のコンポーネントで構成されています。

• 受信メール：EasySIGNに送信されるすべてのメール
• EasySIGN Webサイトとソフトウェア：ユーザーがEasySIGNで実行するすべてのアクションと、EasySIGNに起因するすべてのエラー。

  次の個人データがログに存在します。

• ユーザー名
• コンピュータ名
• ユーザーID
• IPアドレス
• Eメールアドレス/フルEメール

このデータを使用して、このユーザーが誰であり、このユーザーが何をしたかを知ることができます。 EasySIGNは、「ドキュメントワークフローステータス」をログファイルに無期限に保存するため、無期限に保存します。 このログでは、ドキュメントに対して実行されたアクション、ライセンスの付与、名前の変更、開く、削除、分割、グループ化、エクスポート、プロット、エラーメッセージなどのアクションをいつでも確認できます。このログデータは本番サーバーに保存されます。ログデータベースで。 これは、WooCommerceWebショップデータベースとは異なるデータベースです。