グローバルプライバシー義務

直近の更新日: 2022年11月21日

1. はじめに

本グローバルプライバシー義務（「グローバルプライバシー義務」といいます。）は、当社が、当社のベンダーおよびその他のパートナー（総称してこれらを「本パートナー」といいます。）に対し、当社への製品およびサービスの提供に関連して満たすことを期待している特定のデータ保護義務について定めたものです。本グローバルプライバシー義務は、これが組み込まれた当社および本パートナーとの契約（「本契約」といいます）を補足するものであり、その一部を構成するものです。
本グローバルプライバシー義務は、当社および本パートナーとの取引関係に応じて異なる条項が適用されます。各条項において、どのような場合に適用されるかについて記載しています。

2. 定義

本条は、すべての本パートナーに適用されます。
本グローバルプライバシー義務において、以下の用語は次に定める意味を有します。
1. 「管理者」とは、単独で、または他者と共同で、本個人情報の処理の目的および手段を決定する個人または事業体を意味します。
2. 「顧客」および「当社」とは、(i)本契約で特定され、本契約の当事者であるワーナーブラザース・ディスカバリーの事業体、および(ii)本契約で指定されたワーナーブラザース・ディスカバリーの事業体を支配し、これらによって支配され、またはこれらと共通の支配下にあるあらゆる関係会社または子会社をいいます。
3. 「データ保護法」とは、個人データの処理、プライバシー、データ保護（本個人情報の保護）、またはサイバーセキュリティに関連する、連邦、州、地方、地域、自治体、外国、国際、多国籍、またはその他の憲法、法律、法令、条約、規則、規制、条例、規約、およびこれらを解釈または執行する権限を有する規制当局が発行したガイダンスをいい、適宜改正されることがあります。
4. 「データ主体」とは、本個人情報に関する個人を意味します。
5. 「データ主体からの請求」とは、データ主体による情報、アクセス、修正、消去、制限、ポータビリティ、異議申し立て、販売禁止、削除、およびその他同様の請求を意味します。
6. 「処理説明書」とは、本契約に基づき本パートナーが処理する本個人情報の説明を意味します。
7. 「EEA」とは、欧州経済領域を意味します。
8. 「EEAデータ移転」とは、GDPRの対象となる本個人情報を、欧州委員会が適切であると認めていないEEA域外の国または地域へ移転することを意味します。
9. 「EEA標準契約条項」とは、2021年6月4日の欧州委員会決定C(2021)3972によって採択された、欧州議会および欧州理事会の規則（EU）2016/679に基づく、個人データの第三国への移転に関する標準契約条項を意味し、https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914&locale=enで入手可能です。
10. 「GDPR」とは、欧州議会および理事会の2016年4月27日付け規則第（EU）2016/679号（一般データ保護規則）を意味します。
11. 「情報セキュリティ義務」とは、本契約に付随し、または他の方法によって本契約の一部を構成する、適用ある情報セキュリティ義務を意味します。
12. 「その他のデータ移転」とは、本個人情報の移転であって、(i)当該本個人情報を受領することが適切でないとみなされる他の国（「制限国」といいます。）への本個人情報の移転を制限する国の法律が適用され、かつ (ii) EEAデータ移転および英国データ移転のいずれでもないものを意味します。
13. 「本個人情報」とは、識別された、または識別可能な自然人に関するあらゆる情報を意味します。これには、「個人識別情報」、「個人情報」、「個人データ」、またはこれらの用語が同様の用語としてデータ保護法で定義されている用語が含まれますが、本パートナーが本契約に関連して処理する本個人情報に限定されます。
14. 「処理」または「処理中」とは、本個人情報の収集、記録、整理、構造化、保管、適応または変更、コンサルティング、使用、送信による開示、移転、流布、またはその他の方法で利用可能にすること、連携またはこれらの組み合わせ、制限、消去または破壊を含む、自動化された手段であるかどうかにかかわらず、本個人情報に対して行われるあらゆるオペレーションまたは一連のオペレーションを意味します。
15. 「処理者」とは、管理者の代理として本個人情報を処理する個人または事業体を指します。
16. 「セキュリティインシデント」とは、(i) 本パートナーの処理業務の深刻な中断、(ii) 本個人情報の不正な取得、紛失、アクセス、使用、不正使用、アクセス不能、もしくは本個人情報の使用不能（本個人情報が保存されている記憶媒体の紛失を含みます。）、または (iii) 本個人情報の偶発的または違法な破壊、紛失、改ざん、使用、不正使用、不正な開示、またはアクセスにつながるセキュリティ侵害を意味します。
17. 「センシティブ個人情報」とは、人種または民族的出自、政治的意見、宗教的または哲学的信念、労働組合への加盟の有無、身体的または精神的健康、性生活または性的指向を明らかにする本個人情報、遺伝的データの処理、データ主体を一意に識別するためのバイオメトリックデータ、犯罪歴および犯罪または関連するセキュリティ対策に関する本個人情報、政府発行の識別番号、口座の信用情報、支払カード番号を含む金融口座番号、正確なジオロケーションデータ、本パートナーや顧客に向けられていない通信の内容、および「センシティブ（要配慮）」とみなされる、または適用されるデータ保護法の下で強化された保護を必要とする本個人情報のサブセットを意味します。
18. 「本サービス」とは、本契約で定める意味を有し、本契約に定めのない場合は、本契約に基づき本パートナーが当社に提供する製品またはサービスを意味します。
19. 「復処理者」とは、処理者に代わって本個人情報を処理する個人または団体を言います。
20. 「英国データ移転」とは、英国GDPRの対象となる本個人情報を、英国外の国または地域のうち英国国務大臣が適切であると認めていない場所に移転することを意味します。
21. 「英国GDPR」とは、2018年欧州連合離脱法の第3条により、イングランドおよびウェールズ、スコットランド、ならびに北アイルランドの法律の一部を構成しているGDPRを意味します。
22. 「英国SCC補遺」とは、英国情報コミッショナー事務局が発行し、2022年2月2日に2018年データ保護法第119A条に従って議会に提出された補遺のひな型であり、第18条に基づき改訂されたものを意味し、 https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdfで入手可能です

3. 全本パートナーに適用される条件

本条項はすべての本パートナーに適用されます。
法の遵守 本パートナーは、適用されるすべてのデータ保護法を遵守し、同法に基づく義務を履行するために適切なプライバシー保護を実施するものとします。本パートナーは、データ保護法に基づく義務を遵守することができないと判断した場合、wmprivacy@warnermedia.comにて顧客に通知するものとします。顧客は、本パートナーによる不正な本個人情報の処理を排除し、修正するための適切な措置を講じる権利を有するものとします。
セキュリティ 本パートナーは、本個人情報を保護するために適切かつ十分な技術的および組織的な対策を実施し、維持するものとします。本パートナーのセキュリティ対策は、以下を目的として策定されるものとします。(i) 本個人情報の機密性、可用性および完全性の確保　(ii) 本個人情報の安全性または完全性に関して予想される脅威または危険からの保護 (iii) 不正な処理からの保護。
第三者との連絡 本パートナーが以下のいずれかに関し、個人、規制当局、政府機関その他第三者から連絡を受けた場合をいいます。
1. 本契約に関して本パートナーが行った本個人情報の処理、または
2. 顧客が行った本個人情報の処理
本パートナーは、法律で禁止されている場合を除き、当該連絡に関する詳細事項を速やかに顧客（wmprivacy@warnermedia.com）に通知し、当該連絡に対応するために顧客が合理的に要求するすべての協力を提供するものとします。本パートナーは、法的に強制されない限り、顧客の事前承認なしに当該連絡に直接応答してはならないものとします。
要請およびインシデントに対する対応本パートナーは、顧客から事前の書面による承認を得ることなく、(i) データ主体への対応、(ii) 処理に関する公開、 (iii) セキュリティインシデントの通知、および (iv) 処理に関するデータ保護当局またはその他の法的機関への開示において、顧客（顧客の子会社または関係会社を含む。）の名前を出さないものとします。
期間および存続規定
1. 第3.6項(b)に従い、本パートナーが本契約に関連する本個人情報の処理を終了した時点で、本グローバルプライバシー義務の規定は終了するものとします。
2. 第3.6項(a)の規定にかかわらず、第3.4項、第3.5項および第3.7項は、本契約および本グローバルプライバシー義務の終了または失効後も存続するものとします。
翻訳版 本グローバルプライバシー義務の英語版および他言語によるバージョンとの間に矛盾がある場合には、英語版が優先されるものとします。
責任制限の否定 疑義を避けるために明記すると、本グローバルプライバシー義務に基づく両当事者の責任は、本契約に記載された責任の制限または排除の対象とならないものとします。

4. 処理者に適用される条件

本条項は、以下のいずれかが該当する限りにおいて適用されます。
1. 本パートナーが、顧客の代理となって処理者として本個人情報を処理する場合
2. 本契約の中で、本条項が適用されると明記されている場合
指示本パートナーは、文書化された顧客からの指示に従ってのみ本個人情報を処理するものとします。ただし、本パートナーが従うべき法的義務に従って当該本個人情報を処理する必要がある場合はこの限りではなく、本パートナーは、当該法的義務により顧客への通知が禁止されていない限り、当該処理を開始する前に当該法的義務について顧客に通知するものとします。顧客からの文書による指示は、(i) 本パートナーが本サービスを提供し、本契約に基づくその他の義務を履行するために必要な場合、および (ii) その他顧客が随時文書で指示する場合に、本個人情報を処理するためのものす。本パートナーは、顧客からの指示または命令が適用されるデータ保護法を侵害すると判断する場合、直ちに顧客に通知するものとします。
処理説明書 処理の対象となる事項および期間、処理の性質および目的、本個人情報の種類、ならびにデータ主体のカテゴリーに関する説明は、処理説明書に記載されています。
使用制限 本パートナーは、以下を行ってはならないものとします。(i) 本個人情報を販売したり、金銭的またはその他の価値のある対価と引き換えに開示したりすること、(ii) 本サービスを履行する特定の目的以外で、または顧客の指示に従わずに本個人情報を処理すること、(iii) 本パートナーと顧客との間の直接的なビジネス関係以外で本個人情報を処理すること、及び (iv) 本個人情報を、他者から、またはそれらの者のために受領もしくは収集した個人情報、または消費者から収集した本個人情報と組み合わせること。本パートナーは、本条の制限事項を理解したことを確認し、これを遵守するものとします。
データ主体からの請求 本パートナーは、本サービスに関連して処理する本個人情報に関するデータ主体からの請求またはデータ主体からの（もしくはデータ主体の代理人からの）連絡を速やかに顧客に連絡するものとし、データ主体からの請求または連絡を受領したことを確認する以外は、データ主体に返答しないものとします（データ保護法で別途要求される場合、または顧客から指示される場合を除きます。）。本パートナーは、適切な技術的および組織的措置、ならびに必要な製品機能の提供を含め、データ主体からの請求に効果的に対応できるよう、必要に応じて顧客を支援するものとします。本パートナーは、データ主体からの請求または顧客からの支援要請があった場合、速やかに、いかなる場合でも5日以内に、かかる支援を提供するものとします。該当する場合、および顧客の合理的な請求に応じて、本パートナーは、データ保護法に準拠したプライバシーポリシーまたは通知を該当するデータ主体に提供または提示することを含め、顧客が個人に本個人情報の処理について通知することを支援するものとします。本パートナーは、自らが支援したデータ主体からの請求に関する完全かつ正確な記録を保持し、顧客に合理的なアクセスを提供するものとします。
人員の守秘義務 本パートナーは、その各人員が本個人情報に適用される守秘義務を負うことを保証するものとします。
セキュリティ 本パートナーは、情報セキュリティ義務に規定された情報セキュリティの手順および業務を実施し、維持するものとします。
監査および支援 情報セキュリティ義務における監査規定にかかわらず、本パートナーは以下を行うものとします。
1. 本パートナーが本グローバルプライバシー義務を遵守していることを確認するために合理的に必要とされる情報および支援（データ保護インパクト評価の完了支援およびデータ保護当局との協議を含みます。）を顧客に提供すること。さらに本パートナーは、データ保護法を顧客が遵守するために合理的に必要な支援を提供するものとします。
2. 顧客の指示により、自身の本グローバルプライバシー義務および／または該当するデータ保護法データの遵守状況について、自身のデータ保護プログラム、および本個人情報を処理している施設に対する監査を受け入れるものとします。監査は、顧客または顧客に代わり任命された代理人（本パートナーが認めた機密保持契約に代理人が同意することを条件とします。）が実施することができます。顧客は、合理的な事前通知を行い、本パートナーの業務を不当に妨害することなく、通常の営業時間内にかかる監査を実施します。疑義を避けるために明記すると、本規定は、本パートナーの他の顧客の機密情報へのアクセスを顧客に提供することを本パートナーに義務付けるものではありません。
セキュリティインシデント 本パートナーは、実際にセキュリティインシデントが発生し、またはセキュリティインシデントが発生したと合理的に疑われる場合、認識してから48時間以内に速やかに、顧客およびワーナーメディア・セキュリティ・オペレーション・センターのホットラインに電話 (001)404-827-1900 および電子メール cybersecurity@WarnerMedia.com で通知するものとします。本パートナーは、顧客の指示により、セキュリティインシデントの調査、影響緩和、および対応のために顧客が合理的に必要とするすべての情報および支援を提供します。これには少なくとも、適用されるデータ保護法で必要とされる情報もしくは支援、または顧客がセキュリティインシデントの通知を行うために必要な情報もしくは支援が含まれます。本パートナーは、セキュリティインシデントに関連して、データ保護当局またはデータ主体に対して公表または通知を行う前に、顧客と協議することに同意します。本パートナーは、本パートナー、その関係会社、譲受人、または復処理者が処理する本個人情報に影響を及ぼすセキュリティインシデントに起因または関連して顧客が被るすべての費用、責任、損失、損害および経費（弁護士報酬を含みます。）について責任を負い、要求に応じて顧客に対してこれらを支払うものとします。
復処理 本パートナーは、自己の代理として本個人情報を処理させるために復処理者を起用、またはその他の方法で処理を許可できるものとします。ただしその条件として、本パートナーは以下を行うものとします。
1. 各復処理者に対し、自身に適用される本グローバルプライバシー義務に記載された義務と同等以上の保護義務を書面により合意していること。
2. 本パートナーに適用される本グローバルプライバシー義務の条項に基づく義務を本パートナーが遵守できるよう、各復処理者が必要な役割を果たすことができるように、適切なデューデリジェンスを行うこと。
3. 本パートナーが復処理者を新たに起用する場合、事前に書面で顧客に通知すること。顧客は、かかる通知を受け取ってから30日以内に本パートナーが新たな復処理者を起用することに異議を申し立てることができます。顧客がこの期間内に異議を申し立てない場合、本パートナーは復処理者に本個人情報の処理を許可することができます。顧客が復処理者の使用に異議を申し立てた場合、本パートナーは、顧客の異議を受領してから10日以内に速やかにこれに対処します。本パートナーがこの10日間の期間内に顧客が満足する形で顧客の異議を解決できなかった場合、顧客は、本パートナーに書面で通知することにより、いつでも違約金なしで本契約を直ちに終了することができます。本パートナーは、(i) 新しい復処理者を使用する意図を通知してから30日間、または(ii) 復処理者の使用に関する顧客の異議が顧客の満足のいく形で解決されていない期間、新しい復処理者に本個人情報の処理をさせないものとします。
4. 各復処理者が行う本個人情報の処理について引き続き全責任を負うこと。
廃棄または返却 本契約の終了もしくは満了時、または顧客の指示により、本パートナーは顧客の指示に従い、(i) 本契約に関連して処理した本個人情報のすべての写しを、両当事者が合理的に合意した形式およびフォーマットで顧客に返却するか、 (ii) 本契約に関連して処理した、自己が保有または管理する本個人情報（すべての写しを含みます。）を安全に廃棄します。

5. 管理者に適用される条件

本条項は、以下のいずれかが該当する限りにおいて適用されます
1. 本契約に関連して処理する本個人情報の目的および処理方法を、本パートナーが独自に決定している場合
2. 本契約の中で、本条項が適用されると明記されている場合
通知および透明性 本パートナーは、適用されるすべての法律に準拠した、明確なプライバシーポリシーを定め、見やすい場所に表示し、維持した上で、データ主体（本個人情報が、本契約に関連して本パートナーによって処理される人）に対して、本パートナーがどのように本個人情報を処理するかについて知らせます。
セキュリティインシデント 本パートナーは、実際の、または合理的に疑われるセキュリティインシデントであって、本契約に関連して処理される本個人情報に影響が及ぶものが発生した場合、関連する顧客に速やかに通知すると共に、セキュリティインシデントの性質、影響を受けた本個人情報、セキュリティインシデントに対する本パートナーの対応、およびその影響の軽減策に関する情報を速やかに顧客に提供するものとします。

6. 越境移転

本条項は、EEAデータ移転、英国データ移転、またはその他のデータ移転が発生した場合に本パートナーに適用されます。
データ移転（処理者） 本項は、第4条（処理者に適用される条件）が適用される場合に適用されます。
1. EEAデータ移転 本パートナーが処理する本個人情報がEEAデータ移転の対象となる場合、およびその限りにおいて、EEA標準契約条項が参照により本契約に組み込まれ、以下のように適用されます。
  1. 適用本パートナーはデータ受入者として機能し、顧客はデータ移送者として機能します。
  2. ドッキング 第1条7項の目的上、オプションのドッキング条項が適用されます。
  3. モジュール モジュール2（管理者から処理者への移転）が適用されます。
  4. 指示第2条8.1項（モジュール2）の目的上、データ受入者への指示は、本パートナーが提供する本サービスの実施もしくは製品の供給、またはその両方を行うために必要な、本契約に従って明記されているとおりに本個人情報を処理する指示とします。
  5. 復処理者 第2条9項（モジュール2）の目的上、オプション2が適用されます（また、意図した変更をするためのデータ輸入者がデータ移送者に対して通知する期間は、30日前とします。）。
  6. 修正第2条11項については、オプションの言語は適用されません。
  7. 準拠法の選択 第4条17項および第18項については、適用されるデータ保護法で認められる範囲内で、両当事者は、EEA標準契約条項に基づく両当事者それぞれの義務が、アイルランドの法律に準拠し、アイルランド共和国の裁判所の管轄に従うことに合意します
  8. 別紙 I のパート Aへの記入 本書によって、別紙 I のパート A（当事者のリスト）について、(i) （データ移送者としての）顧客の詳細情報、および(ii) （データ受入者としての）本パートナーの詳細情報が、それぞれ本契約に記載されている通りに記入されているものとみなします。
  9. 別紙 I のパート Bへの記入 本書によって、EEA標準契約条項別紙 I のパート B（移転説明書）に対して、処理説明書に記載された情報が記入されているものとみなします。
  10. 別紙 I のパート Cへの記入 EEA標準契約条項別紙 I のパート C（管轄監督機関）については、適用されるデータ保護法で認められる範囲内で、両当事者はアイルランド共和国のデータ保護機関を選択します。
  11. 別紙 IIへの記入 本書によって、EEA標準契約条項別紙 II（データの安全性を確保するための技術的・組織的措置を含む、技術的および組織的措置）が、情報セキュリティ義務に定める条項の内容で記入されているものとみなします。
  12. 条項間の矛盾 EEA標準契約条項および本条との間に矛盾または対立がある場合は、データ主体に最大の保護を与える方法により規定を解釈するものとします。
2. 制限国に関するEEA標準契約条項の解釈 顧客による本パートナーへの本個人情報の開示がその他のデータ移転に相当する場合は、その限りにおいて、EEA標準契約条項が参照により本書に組み込まれ、第6条の本項で上記に定めたとおりに適用されます。ただし、(i) EEA標準契約条項における「EU」、「連合」、「EU加盟国」または「加盟国」への言及は、代わりに当該制限国を指すものとし、(ii) 「規則（EU）2016/679」または「当該規則」への言及は、代わりに当該制限国のデータ保護法を指すものとし、GDPRの特定の条項または条文への言及は、制限国のデータ保護法のこれに一番近い同等の条項または条文に置き換えるものとし、(iii) 「監督官庁」は、当該制限国のデータ保護当局を指すものとし、(iv) 「条項」への言及は、当該条項（必要な変更を行ったもの）を組み込んだ本条項を指すものとします。
3. 英国データ移転 本パートナーが処理する本個人情報が英国データ移転の対象となる場合は、その限りにおいて、英国SCC補遺が参照により本契約に組み込まれ、以下のように適用されます。
  1. 表1の記入 英国SCC補遺の表1には、本契約に規定されているとおり、顧客（データ移送者として）の詳細および本パートナー（データ受入者として）の詳細が記入されています。「開始日」とは、本契約の開始日、発効日、またはそれに相当する日をいいます。顧客の「主要な連絡先」は、「プライバシー最高責任者」またはwmprivacy@warnermedia.comで連絡可能な、プライバシー最高責任者の代理人です。また、本パートナーの「主要な連絡先」は、その者の具体的な役職名および電子メールアドレスを添えて顧客に随時通知されます。
  2. 表2および表3の記入 英国SCC補遺の表2は、「承認済みのEU SCCであって、附属書の情報が記載され、当該SCCの以下のモジュール、条項またはオプション条項のみを本補遺の目的のために発効させたもの」を選択することで記載されます。英国SCC補遺の表2および表3の目的上、「承認済みのEU SCC」は、第6条の本項で上記のとおり定めた内容で記載されます。
  3. 表4の記入 英国SCC補遺の表4は、「いずれの当事者も」を選択して記載します。
  4. 条項間の矛盾 英国SCC補遺および本グローバルプライバシー義務との間に矛盾または対立が生じた場合、英国SCC補遺が優先します。
データ移転（管理者） 本項は、第5条（管理者に適用される条件）が適用される場合に適用されます。
1. EEAデータ移転 本パートナーが処理する本個人情報がEEAデータ移転の対象となる場合、およびその限りにおいて、EEA標準契約条項が参照により本契約に組み込まれ、以下のように適用されます。
  1. 適用本パートナーはデータ受入者として行為し、顧客はデータ移送者として行為します。
  2. ドッキング 第1条7項の目的上、オプションのドッキング条項が適用されます。
  3. モジュール モジュール1（管理者間の移転）が適用されます。
  4. 修正第2条11項の目的上、オプションの言語は適用されません。
  5. 準拠法の選択 第4条17項および第18項については、適用されるデータ保護法で認められる範囲内で、両当事者は、EEA標準契約条項に基づく両当事者の義務が、アイルランド共和国の法律に準拠し、アイルランド共和国の裁判所の管轄に従うことに合意します。
  6. 別紙 I のパート Aへの記入 本書によって、別紙 I のパート A（当事者のリスト）について(i) （データ移送者としての）顧客の詳細情報、および(ii) （データ受入者としての）本パートナーの詳細情報が、それぞれ本契約に記載されている通りに記入されているものとみなします。
  7. 別紙 I のパート Bへの記入 本書によって、EEA標準契約条項別紙 I のパート B（移転説明書）に対して、処理説明書に記載された情報が記入されているものとみなします。
  8. 別紙 I のパート Cへの記入 EEA標準契約条項別紙 I のパート C（管轄監督機関）については、適用されるデータ保護法で認められる範囲内で、両当事者はアイルランド共和国のデータ保護機関を選択します。
  9. 別紙 IIへの記入 本書によって、EEA標準契約条項別紙 II（データの安全性を確保するための技術的・組織的措置を含む、技術的および組織的措置）が、情報セキュリティ義務に定める条項の内容で記入されているものとみなします。
  10. 条項間の矛盾 EEA標準契約条項および本条との間に矛盾または対立がある場合は、データ主体に最大の保護を与える方法で規定を解釈するものとします。
2. 制限国に関するEEA標準契約条項の解釈 顧客による本パートナーへの本個人情報の開示がその他のデータ移転に相当する場合は、その限りにおいて、EEA標準契約条項は参照により本書に組み込まれ、第6条の本項で上記のとおり定めたとおりに適用されます。ただし、(i) EEA標準契約条項における「EU」、「連合」、「EU加盟国」または「加盟国」への言及は、代わりに当該制限国を指すものとし、(ii) 「規則（EU）2016/679」または「当該規則」への言及は、代わりに当該制限国のデータ保護法を指すものとし、GDPRの特定の条項または条文への言及は、制限国のデータ保護法の同等の条項または条文に置き換えるものとし、(iii) 「監督官庁」は、当該制限国のデータ保護当局を指すものとし、(iv) 「条項」への言及は、本条によって修正された条項を組み込んだ本条を指すものとします。
3. 英国データ移転 本パートナーが処理する本個人情報が英国データ移転の対象となる場合は、その限りにおいて、英国SCC補遺が参照により本契約に組み込まれ、以下のように適用されます。
  1. 表1の記入 英国SCC補遺の表1には、本契約に規定されているとおり、顧客（データ移送者として）の詳細および本パートナー（データ受入者として）の詳細が記入されています。「開始日」とは、本契約の開始日、発効日、またはそれに相当する日をいいます。顧客の「主要な連絡先」は、「プライバシー最高責任者」またはwmprivacy@warnermedia.comで連絡可能な、プライバシー最高責任者の代理人です。また、本パートナーの「主要な連絡先」は、その者の具体的な役職名および電子メールアドレスを添えて、顧客に随時通知されます。
  2. 表2および表3の記入 英国SCC補遺の表2は、「承認済みのEU SCCであって、附属書の情報が記載され、当該SCCの以下のモジュール、条項またはオプション条項のみを本補遺の目的のために発効させたもの」を選択することで記載されます。英国SCC補遺の表2および表3の目的上、「承認済みのEU SCC」は、第6条の本項で上記のとおり定めた内容で記載されます。
  3. 表4の記入 英国SCC補遺の表4は、「いずれの当事者も」を選択して記入します。
  4. 条項間の矛盾 英国SCC補遺および本条との間に矛盾または対立が生じた場合、英国SCC補遺が優先します。
越境移転に関するその他の規定本パートナーが処理した本個人情報が、EEAデータ移転、英国データ移転、またはその他の移転の対象になる場合、その限りにおいて本項が適用されます。
補完措置
1. 第C-311/18号事件における欧州連合司法裁判所の判決により、EEA移転または英国移転の対象となった本個人情報について、その移転元の地域で処理される際に受ける保護と本質的に同等レベルの保護を受けることを保証するための補完措置が、EEA標準契約条項に記載されている保護措置に加えて必要となる場合があることが明確にされ、両当事者は、このことを確認し、その旨合意します。したがって、両当事者は、かかる本質的同等性を確保するための補完措置として、以下の第6.4項(b)から(g)に定める手段について合意しました。
2. 本契約に関連して処理された本個人情報の一部またはすべてを閲覧し、またはその写しを取得する要求または要請（任意であるか強制であるかを問いません。）が、法執行機関、規制機関、司法機関または政府機関（以下「当局」といいます。）からなされていることを本パートナーが知るに至った場合、本パートナーは以下のように対処するものとします。
  1. 当局からの当該要請について直ちに顧客に通知すること。
  2. 第4条（処理者に適用される条件）が適用される場合、当局に対し、本パートナーは本個人情報の処理者であり、当該本個人情報を当局に開示することを顧客が許可していないと伝えること。
  3. 当該本個人情報の閲覧に関するあらゆる要請または要求は、書面により顧客（管理者として）に通知または送達されるべきであることを当局に伝えること。
  4. 第6.4項(c)に従い、顧客が書面で承認しない限り、当局に当該本個人情報を閲覧させないこと。
3. 第6.4項(b)(iv)にかかわらず、本パートナーは、以下のすべてが満たされることを条件として（法律で禁止されている場合を除き）、顧客による事前の書面承認なしに、当局からの要求または要請を受領した後に本個人情報を当局に開示できるものとします。
  1. 顧客に対し当該要求または要請について事前に合理的な通知を行い、顧客が異議を申立てるか保護命令またはその他の適切な救済を求められるよう合理的な機会を与えること。
  2. 顧客の費用負担により、顧客に合理的に協力し、顧客が異議を申し立てるか、保護命令または他の適切な救済を求められるようにすること。
  3. いかなる場合においても、本個人情報のうち法律上開示が義務付けられる部分のみを開示すること。
4. 本パートナーが本個人情報を当局に開示する場合、本パートナーは、法的に義務付けられる範囲内で、かつ適用される適法な手続きに則ってのみ、当該本個人情報を開示するものとします。
5. 本パートナーは、民主主義社会において必要かつ相応な範囲を超える、大量または無差別な方法で、故意に本個人情報を開示しません。
6. 本パートナーは、当局からの本個人情報の要求について、少なくとも以下のことを禁止する書面による規程を定め、維持し、これを遵守します。
  1. 欧州におけるデータ主体に関する本個人情報を大量または無差別に開示すること。
  2. 召喚状、令状、命令書、法令、召集令状、またはその他の法的拘束力のある命令によって本個人情報の開示を強制されていないにもかかわらず、欧州におけるデータ主体に関する当該本個人情報を当局に開示すること。
7. 本パートナーは、業界の優れた業務慣行に従って、本個人情報を傍受（顧客から本パートナーへの送信、ならびに異なるシステムおよびサービス間の送受信中に発生するものを含みます。）から保護するための措置を講じ、維持するものとします。これには、攻撃者がデータを傍受できないようにするためのネットワーク保護、および攻撃者がデータを読み取ることができないようにするための転送中のデータの暗号化などを実施し、維持することが含まれます。
  データ移転に関するその他の規定
8. 顧客が、EEA移転、英国移転またはその他の移転のうち該当するものを行うために必要と考える場合、本パートナーは、追加文書の作成および追加的保護の実施、または特定の地域での処理の制限について誠実に協力することに同意します。
9. 本個人情報について、それを受領することが不適切であると見なされる他の法域への移転を制限している国から発信された本個人情報を本パートナーがいずれかの時点で処理する場合、本パートナーは、顧客の指示により、以下の両方を行うものとします。
  1. 当該国で適用されるデータ保護法に基づき、処理を適法なものにするために必要とされるすべての必要な措置を行い、そのような契約を締結すること。
  2. 顧客の本個人情報にとって適切な水準の保護措置を確保すること。
10. 権限のあるデータ保護機関が、当事者が依拠するデータ移転メカニズムが無効であると判断した場合、またはいずれかの権限のあるデータ保護機関もしくは適用される法律が、本個人情報の移転を一時停止する場合、または特定の法域に制限することを義務付けた場合、顧客は、自らの裁量により、本パートナーに本個人情報の処理の中止を求めることができ、その場合本パートナーは、代替のデータ移転メカニズムの使用を促進するために誠意をもって顧客と協力し、追加の文書を作成し、追加の保護措置を適用し、または処理を特定の法域に制限するものとます。

7. 損害賠償

本条項はすべての本パートナーに適用されます。
本契約に定める本パートナーの損害賠償義務に加え、本パートナーは、以下の事項のいずれかに起因または関連して顧客が被るあらゆる第三者からの請求、訴訟、費用、責任、損失、損害及び経費（弁護士報酬を含みます。）について（データ保護当局またはデータ主体による請求または訴訟を含みますがこれらに限定されません。）、顧客を防御し、免責し、その全損害を賠償するものとします。(i) セキュリティインシデント、(ii) 本パートナーまたは本パートナーの関係会社、復処理者（本パートナーの関係会社が指名した復処理者を含みます。）および譲受人による本補遺に対する違反。

戻る