本データ処理規約(以下「DP規約」といいます)は、2018年5月24日以降に開始される、本サービス(以下に定義する大文字の用語)に基づくクライアントの個人データの処理に適用される義務および条件を定めるものです。
1.背景
1.1.ON24は、コンテンツ配信プラットフォームを運営し、ウェブキャストやその他のコンテンツ、仮想イベントや仮想環境を作成、管理、主催、配信し、登録者、出席者、その他のエンドユーザーに電子メールや通信を送信し、登録者、出席者、その他のエンドユーザーから登録やその他の情報を収集できるようにします(以下、「プラットフォーム」といいます)。 ON24は、本プラットフォームの運営および提供にあたり、本プラットフォームの利用に関連するサービス(以下「本サービス」といいます)を法人顧客に提供します。 本DP規約は、欧州経済領域(「EEA」)、英国が欧州連合から離脱した場合の英国、およびスイスから受領した個人データを含む、本サービスに従ったお客様の個人データ(以下に定義)の処理(以下に定義)に適用されます。
1.2.本DP規約は、ON24ユニバーサル利用規約、およびマスターサービス契約書、サブスクリプション契約書、サービス契約書、作業指示書、およびクライアントのサービス購入とON24によるサービス提供に関連するON24とクライアント間のその他の書面または電子的な契約書、およびそれらの変更(以下、総称して「本契約」といい、本契約の変更も含まれます)の一部を構成します。
1.3.本DP規約は、両当事者間で交わされた従前のデータ処理契約、データ処理追補条項、または類似の条項に優先します。本DP規約の条項と本規約の他の条項との間に矛盾がある場合は、本DP規約が優先します。
2.実行
第1条2項に従い、本DP規約は参照により本契約に組み込まれます。 本DP規約を有効にするために別途締結する必要はありません。
3.一定の定義
3.1.本DP規約において、以下の用語は以下に定める意味を持つものとします:
(a) 「関連会社」とは、対象事業体を直接的または間接的に支配している、支配されている、または共通支配下にある事業体を意味する。この定義における「支配」とは、対象事業体の議決権の50%以上を直接または間接的に所有または支配することを意味する;
(b) 「ブレグジット」とは、英国の欧州連合(EU)からの完全または部分的な離脱を意味する;
(c)「CCPA」とは、2018年カリフォルニア州消費者プライバシー法(California Civil Code § 1798.100-1798.199)を意味します;
(d)「クライアントの関連会社」とは、本契約に従ってプラットフォームまたはサービスの使用を許可および/または認可されているクライアントの関連会社を意味します;
(e) 「お客様のマテリアル」とは、お客様がプラットフォームを使用して入力、収集、管理または作成するマテリアルまたはデータを意味します。これには、スライド、オーディオファイル、ビデオファイル、写真、およびお客様のイベントから生成された録音が含まれますが、これらに限定されません;
「クライアントの個人データ」とは、クライアントまたはクライアントの関連会社にサービスを提供する際にON24またはサブプロセッサが処理する個人データを意味し、クライアントイベントのエンドユーザーの連絡先情報またはその他の個人を特定できる情報、またはクライアントのマテリアルに含まれる情報を含みますが、これらに限定されません;
(f) 「データ侵害」とは、ON24 またはそのサブプロセッサーが送信、保存、またはその他の方法で処理するお客様の個人データの偶発的または違法な破壊、紛失、改ざん、不正な開示、またはアクセスを意味します;
(g)「データ保護法」とは、プライバシー、セキュリティ、データ保護、および/または個人データの処理に関連する国内、国または国際的な法律、規則および規制であって、随時改正、置換または優先されるものをいい、(i)GDPRおよびGDPRを実施または補完するEEA加盟国の法律、および(ii)ブレグジットの結果であるか否かを問わずGDPRを実質的に改正、置換または優先する英国のデータ保護法(英国データ保護法2018を含む)を含みます;
(h)「エンドユーザー」とは、1つ以上のクライアント・イベントに登録または出席した実際の出席者、見込み出席者、訪問者、その他のユーザーを意味します;
(i)「クライアントイベント」とは、クライアントまたはクライアント関連会社がプラットフォームを通じて提供または利用可能にするウェブキャスト、ウェビナー、仮想環境およびその他のコンテンツを意味します;
(j) 「GDPR」とは、EU一般データ保護規則2016/679を意味する;
(k) 「個人データ」とは、適用されるデータ保護法において「個人データ」、「個人情報」またはその他類似の用語として定義される情報を指します;
(l)「処理」とは、アクセス、収集、記録、整理、保管、適応または変更、検索、相談、使用、送信による開示、普及またはその他の方法で利用可能にすること、整列または組み合わせ、遮断、返却または破棄など、自動的な手段であるか否かを問わず、クライアントの個人データに対して実行される操作または一連の操作を意味し、「処理された」または「処理」はそれに応じて解釈されます;
(m) 「制限された移転」とは、ON24 および/またはサブプロセサーへの、または ON24 および/またはサブプロセサーによる、適用されるデータ保護法により個人データが適切なレベルで保護されていると認められていない法域への、クライアントの個人データの移転を意味します;
(n)「標準契約条項」とは、データ主体の適切な保護レベルが確保されていない第三国に設立された処理業者への個人データの移転に関する標準契約条項であって、欧州委員会が制限付き移転のための適切な保護措置を提示するものとして承認したもの、またはその後継条項もしくはGDPR第46条に従って欧州委員会が認めた代替データ移転メカニズム、またはそれに相当する管轄当局が承認した契約条項もしくは他のデータ保護法に基づいて他の管轄当局が承認した契約条項もしくはそれに相当する契約条項を意味します;
(o) 「サブプロセッサー」とは、クライアントの個人データを処理する可能性のある、ON24 によって、または ON24 に代わって任命された個人または団体(第三者および ON24 の関連会社を含みますが、ON24 の従業員は除きます)を意味します;
(p) 「監督当局」とは、(a)GDPR第51条に従って加盟国が設立した独立した公的機関、および(b)データ保護法の施行に責任を負う類似の規制当局を意味する。
(q) 「データ管理者」、「データ処理者」、「データ主体」、および「加盟国」という用語は、GDPRと同じ意味を持つものとします。
(r) 「消費者」という用語は、CCPAにおけるのと同じ意味を有する。
3.2.本契約で定義されていない大文字の用語はすべて、本契約で規定されている意味を持つものとする。
4.個人データの処理
4.1.両当事者は、クライアントの個人データの処理に関して、クライアントがデータ管理者であり、ON24がデータ処理者であることを認識し、同意するものとします。
4.2.後者の場合、ON24 は、法律がそのような通知を禁止していない限り、処理前に法的要件をお客様に通知します。
4.3.クライアントは、自らの代理人として、また各関連クライアント関連会社の代理人として、本サービス(クライアントまたはクライアント関連会社が利用する追加サービスを含み、追加条項が適用される場合があります)の提供に合理的に必要な範囲で、ON24 に指示します(また、ON24 が各サブプロセッサーに指示する権限を付与します):(a) お客様の個人データを処理すること、(b) 下記第12条(国境を越えた移転)に従うことを条件として、お客様の個人データをあらゆる国または地域に移転すること、および (c) 下記applewebdata://1554DDCB-A781-4822-AB34-70F53BA4CA41#bookmark0(サブプロセシング)に従うことを条件として、サブプロセッサーを雇用すること。
4.4.CCPAに従い、またCCPAの下で要求されるとおり、ON24は、本契約に記載されたサービスを提供するために必要な範囲内で、かつ本補遺契約と一致する方法でお客様から指示された目的のためにのみ、お客様の個人データを処理します。ON24 は、本サービスを履行する目的以外のいかなる目的においても、かかるお客様の個人データを保持、使用または開示しません。ON24は、かかるお客様の個人データを、金銭的またはその他の価値ある対価で第三者に販売、貸与、公開、開示、普及、利用可能にすること、譲渡、またはその他の方法で伝達することはありません。ON24は、本第4条に定める制限を理解し、これを遵守することを証明します。クライアントは、ON24がクライアントの個人データおよび本サービスに関連するその他のデータを非識別化または集計して匿名データとし、これをON24のサービスおよび業務の運営および改善、その他の調査、分析および関連目的のために使用することに同意するものとします。ON24は、匿名データを独自の記録および情報の一部として保持することができ、かかるデータは、本契約または本DP規約の対象とはなりません。"匿名データ "とは、クライアントおよびクライアントの関係者を特定できない程度に、非識別化および/または他のデータとの集計が行われ、個人が特定、識別、リンクもしくはリンク可能でなくなったデータ、または他のデータセットを参照もしくは他のデータセットとの組み合わせにより確認できるようになったデータを意味します。
4.5.クライアントは、(a)クライアントによるクライアントの個人データの提出および個人データ処理の指示はデータ保護法を遵守し、クライアントは関連する各クライアント関連会社を代表して本条項(個人データの処理)に定める指示を行う権限を、関連するすべての時点で正式かつ有効に保持することに同意します;(b) クライアントおよびクライアント関連会社は、本サービスの利用にあたり、データ保護法の要件に従って個人データを処理すること。 (c) クライアントは、本DP規約および本契約で意図されているクライアントの個人データの処理に関連するデータ対象者に必要な通知を行い、データ対象者から必要な同意を取得すること。
4.6.本DP規約の付属文書1は、GDPR第28条3項が要求するように、処理の対象および期間、処理の性質および目的、ならびに個人データおよびデータ主体のカテゴリーを定めるものであり、いずれかの当事者に権利または義務を付与するものではありません。 いずれかの当事者は、更新または追加された付属書1を他方の当事者に提供することにより、GDPR第28条第3項の要件を満たすために必要であると合理的に判断した場合、付属書1に合理的な修正を加えることができます。
5.ON24 人事
ON24は、お客様の個人データにアクセスする可能性のある従業員、代理人または請負業者の信頼性を確保するために合理的な措置を講じ、かかる個人が守秘義務または職業上もしくは法令上の守秘義務を負うことを保証します。
6.セキュリティ
ON24 は、付属書類 2(技術的および組織的措置)に定めるとおり、お客様の個人データの処理によってもたらされるリスクに適切なレベルのセキュリティを提供するよう設計された、適切な技術的および組織的措置を実施します。 適切なセキュリティレベルを評価する際、ON24は、特に、処理によってもたらされるリスク、特に、送信、保存、またはその他の方法で処理される個人データの偶発的または違法な破壊、紛失、改ざん、不正な開示、または個人データへのアクセスによるリスクを考慮します。
7.個人情報の漏洩
ON24は、クライアントの個人データに関わるデータ侵害を発見した場合、過度な遅滞なくクライアントに通知し、データ保護法に基づくデータ侵害の報告義務をクライアントが果たすことを支援するための情報を(入手可能な限り)提供します。 ON24は、クライアントに協力し、各データ侵害の調査、軽減および修復を支援するために、両当事者が誠意を持って合意した合理的な措置を講じます。 クライアントが個人データ侵害の責任を負う限りにおいて、クライアントは、ON24が本条に基づく義務を履行するために合理的かつ適切に負担したすべての費用(内部費用および弁護士費用を含む第三者費用を含みます)をON24に払い戻します。
8.データ主体と消費者の権利
データ主体または消費者に関連するクライアントの個人データに関して、適用法に基づく要請を行使する権利を有するデータ主体または消費者から要請を受けた場合、ON24は速やかにクライアントに通知します。 要求があれば、ON24は、お客様の個人データに関連するかかる要求に対応するために、適用法に基づくお客様の義務の履行に必要な合理的な支援をお客様に提供します。 処理の性質を考慮し、かかる支援には、クライアントがかかる要請に効果的に対応できるようにするための合理的かつ適切な技術的および組織的措置の実施(実行可能な場合)が含まれます。
9.データ保護影響評価と事前協議
要求があり、ON24による関連する処理の性質およびON24が利用可能な情報に従うことを条件として、ON24は、適用されるデータ保護法の下で必要とされるデータ保護影響評価および監督当局への事前協議について、クライアントに合理的な支援を提供します。クライアントは、本条に基づく義務を履行するためにON24が合理的かつ適切に負担したすべての費用(内部費用および弁護士費用を含む第三者費用を含みます)を、ON24に全額払い戻します。
10.監査権
10.1.クライアントからの書面による要請があった場合、ON24は、クライアントに対し、ON24が本DP規約を遵守していることを証明するために合理的に必要な情報を提供し、ON24またはそのサブプロセッサによるクライアント個人データの処理に関して、クライアントが指名した資格のある独立した第三者監査人による検査を許可し、これに協力します。
10.2.クライアントは、本条に基づき実施される監査または検査について、ON24 に合理的な通知を行い、かかる監査の過程で ON24 またはサブプロセッサの施設、設備、人員および業務に損害、傷害または混乱を生じさせないよう、あらゆる合理的な手段を講じるものとします(また、各指名監査人が講じるよう保証するものとします)。適用法または関連監督機関により別途要求される場合を除き、監査または検査は、通常の営業時間内に実施され、1暦年に1回を超えないものとします。 クライアントは、ON24 が本条に基づく義務を履行するために合理的かつ適切に負担したすべての費用(内部費用、弁護士費用を含む第三者費用、および他のサブプロセッサの監査に関して ON24 が負担した費用を含みます)を、ON24 に全額払い戻します。 お客様は、かかる監査に参加する監査人、代理人、人員、その他の個人または団体に、適切な書面による守秘義務を課すものとします。
11.サブプロセス
11.1.クライアントは、ON24 がサブプロセッサーを任命する(および本条に従って任命された各サブプロセッサーがサブプロセッサーを任命することを許可する)権限を付与します。 クライアントは、ON24の関連会社がサブプロセッサーとして関与すること、および本DP規約の日付時点でON24が既に関与しているその他のサブプロセッサーをON24が引き続き使用することに明示的に同意するものとします。 ON24 は、サブプロセッサの名称およびサブプロセッサが請け負う処理の説明を含む ON24 サブプロセッサの最新リストを https://www.on24.com/about-us/gdpr/subprocessors で公開し、サブプロセッサを追加する前にリストを更新します。 お客様は、https://www.on24.com/about-us/gdpr/subprocessors で、新しいサブプロセッサに関する電子メール通知を購読することができます。 ON24 は、本サービスに関連して新たなサブプロセッサーに個人データの処理を許可する前に、https://www.on24.com/about-us/gdpr/subprocessors でサブプロセッサーリストを更新することにより、また、クライアントが新たなサブプロセッサーに関する電子メール通知を購読している場合は、電子メール通知を通じて、新たなサブプロセッサーに関する通知を行います。クライアントは、新しいサブプロセッサの通知から 10 営業日以内に書面にて ON24 (mailto:privacy@on24.com) に通知することにより、新しいサブプロセッサの選任に異議を唱えることができます。クライアントの異議通知には、クライアントの異議申し立ての根拠を明記するものとします。 クライアントは、サブプロセッサの使用に不当に反対しないことに同意するものとします。 クライアントが10営業日以内にサブプロセッサーの選任に異議を唱えない場合、クライアントは当該選任を承認し、同意したものとみなされます。
11.2.両当事者は、サブプロセッサの選任に対するクライアントの異議を解決するために誠意をもって取り組むものとします。 この間、本サービスの提供に影響が生じる可能性がありますが、お客様は、ON24がかかる影響について責任を負わないことに同意するものとします。両当事者が 90 日以内にクライアントの異議を解決できない場合、クライアントは、ON24 が異議を申し立てたサブプロセッサを使用しなければ提供できないとしている本サービスに関する本契約の一部を、違約金なしに終了することができ、ON24 は、当該部分について前払いされたが未使用の金額をクライアントに返金します。
11.3.各サブプロセッサーに関して、ON24 は以下を行います:(b) ON24 と各サブプロセッサーとの間の契約に、サブプロセッサーが行うサービスの性質を考慮し、本 DP 規約に定めるものと同等のレベルの顧客個人データの保護を提供する条件を含めること;(c) 制限された移転が含まれる場合、データ保護法で要求される適切な契約上の措置が講じられていることを確認し、お客様の個人データがEEAまたはスイスのものである場合は、標準契約条項をON24とサブプロセサーとの間の契約に盛り込むこと、および (d) 各サブプロセサーによるお客様の個人データの処理に関する義務の不履行について、お客様に対して引き続き責任を負うこと。
12.国境を越えた送金
ON24は、米国商務省が管理するEU-米国およびスイス-米国のプライバシーシールドフレームワークに対して自己認証を行い、これを遵守しています。 ON24は、欧州経済地域および/またはスイスからのお客様の個人データの処理に関して、EU-米国およびスイス-米国のプライバシーシールドフレームワークに対する自己認証を維持し、これを遵守します。 ON24のプライバシーシールド認証が撤回または失効した場合、EU-米国間またはスイス-米国間のプライバシーシールドフレームワークがEEAまたはスイスのそれぞれの適用法に基づいて無効となった場合、またはその範囲内において、ON24は、お客様と標準契約条項を締結するか、またはお客様と誠意をもって協力し、関連するお客様の個人データを米国に移転するための代替メカニズムを設置します。
英国がGDPR上の「第三国」とみなされるBrexitの場合、ON24は以下を行うものとします:(a) EEAおよびスイスから発信されるクライアントの個人データに関して、英国に登録されたアフィリエイト事業体であるON24 Limited(登録会社番号05278776)が「データ輸入者」として標準契約条項を締結するようにすること、および(b) 英国から米国へのクライアントの個人データの転送に関して、適用されるデータ保護法によって要求される適切な契約上の措置があることを確保するためにクライアントと協力すること。
13.個人データの削除または返却
本契約が終了または満了した場合(継続的な処理が新たなまたは修正された契約の対象となる場合を除きます)、および適用法で禁止されていない限り、ON24は90日以内(以下「停止日」といいます)に処理を停止し、お客様の個人データを削除または返却します。 クライアントが、当該クライアント個人データの返却または削除のいずれかを選択する旨を、停止日の少なくとも30日前までにON24に通知しない場合、クライアントは削除を選択したものとみなされます。 両当事者は、本契約の終了時に、ON24が匿名データの返却または削除を要求されないことに同意するものとします。
14.責任の制限
契約、不法行為、またはその他の責任理論に基づくかを問わず、本DP規約に起因または関連するON24の責任総額は、本規約の責任制限に従うものとします。
15.一般用語
15.1.法的助言の提供本DP規約に反する規定があっても、ON24はお客様に法的助言を提供する必要はなく、ON24が提供するいかなるものもお客様によって法的助言と解釈されることはありません。
15.2.終了。(a) 本契約の終了、(b) 本契約に基づきON24がクライアントと締結したすべてのサービス契約の満了または終了、(iii) 本契約に基づく作業明細書、作業指示書または同様の文書の終了または完了のいずれか遅い時点。
15.3.第三者の権利。本追加条項の当事者でない者は、本追加条項の条項を強制する権利を有しません。本追加条項を取り消す権利または変更する権利は、他のいかなる者の同意の対象にもなりません。
15.4.データ保護法の変更。データ保護法の変更により、本DP規約(標準契約条項を含む)に変更が必要な場合、いずれかの当事者は、相手方当事者に対し、当該法変更について書面で通知することができます。当事者は、かかる変更に対応するために必要な本DP規約の変更について誠意をもって協議し、交渉します。
附属書1:顧客の個人データの処理の詳細
本付属書1には、GDPR第28条(3)で義務付けられている顧客個人データの処理に関する一定の詳細が記載されています。
1.顧客個人データの処理対象および処理期間:
クライアントの個人データの処理対象および処理期間は、本契約および本DP規約に定められています。
2.クライアント個人データに関連するデータ主体のカテゴリー:
3.顧客個人データの処理の性質と目的:
4.処理されるお客様の個人データの種類:
付属文書2:技術的・組織的対策
1.個人データの処理は、個人データを保護するための商業上合理的な技術的および組織的措置が実施されたデータ処理システム上で行われます。ON24 は、不正もしくは違法な処理、または偶発的な紛失、破壊もしくは毀損から生じる可能性のある損害およびクライアントの個人データの機微性を考慮し、その所有または管理下にあるクライアントの個人データを不正もしくは違法な処理、または偶発的な紛失、破壊もしくは毀損から保護するために、合理的かつ適切な技術的、物理的、および管理上の措置を維持します。
2.セキュリティ対策は以下のように設計される:
(a)個人データの処理に使用されるデータ処理機器への権限のない者のアクセスを拒否する(機器アクセス制御);
(b) メディアの不正な読み取り、コピー、変更、削除を防止する(データメディア制御);
(c) 個人データの不正な入力、保存された個人データの不正な閲覧、変更、削除を防止すること(保存管理);
(d) データ通信機器を使用する権限のない者による自動データ処理システムの使用を防止する(ユーザー管理);
(e)自動データ処理システムの使用を許可された者が、そのアクセス許可の対象となる個人データにのみアクセスできることを規定する(データアクセス制御);
(f) ON24が、データ通信機器(通信制御)を使用して、お客様の個人データがどの個人に送信されたか、または送信される可能性があるかを確認し、確認できるようにすること;
(g) どのクライアントの個人データが自動データ処理システムに入力されたか、いつ、誰 によって入力されたかを識別できるようにする(入力管理);
(h) データの転送中または記憶媒体の輸送中に、お客様の個人データの不正な読み取り、コピー、変更または削除を防止する(輸送管理);
(i) 本契約に基づくサービスの継続と顧客個人データのバックアップを提供するために、商業上合理的な災害復旧手順を含むこと。
(j) 顧客の個人データの機密性、完全性、可用性を保護するために、適切な 技術的セキュリティソリューションが導入され、管理されていること。
3.適切な場合、データは業界標準の暗号技術と鍵の安全な管理を用いて、送信時および静止時に暗号化される。
4.ON24 は、お客様の個人データにアクセスできる従業員およびその他の人員の信頼性を確保するために合理的な措置を講じ、お客様の個人データへのアクセスを、当該お客様の個人データにアクセスする業務上の必要性があり、個人データの取扱いおよびデータ保護法に関する合理的な訓練を受けた人員に限定します。
5.要求があれば、書面による守秘義務に従って、ON24 は、関連するデータセキュリティ方針および手順へのアクセスを当社に提供します。
