view in:

グローバルプライバシー義務

直近の更新日: 2023年8月24日
1. はじめに
  1. 本グローバルプライバシー義務(「本グローバルプライバシー義務」といいます。)は、当社が、当社のベンダーおよびその他の取引先(「取引先等」と総称します。)に対し、当社への製品およびサービスの提供に関連して果たすことを期待する特定のデータ保護義務について定めるものです。本グローバルプライバシー義務は、これが盛り込まれている当社と取引先等との契約(「本契約」といいます。)を補足するものであり、その一部を構成するものです。
  2. 本グローバルプライバシー義務は、当社と取引先等との取引関係に応じて異なる条項が適用されます。どの場合に適用されるかについては、各条項に記載しています。
2. 定義
  1. 本条項はすべての取引先等に適用されます。
  2. 本グローバルプライバシー義務において、以下の用語は次の意味を有します。
    1. 管理者」とは、単独で、または他者と共同で、個人情報の処理の目的および手段を決定する者または団体を意味します。
    2. 顧客」および「当社」とは、(i) 本契約で特定され、本契約の当事者であるワーナーブラザース・ディスカバリー法人、および (ii) 本契約で指定されたワーナーブラザース・ディスカバリー法人を支配し、これらによって支配され、またはこれらと共通の支配下にあるあらゆる関連会社または子会社を意味します。
    3. データ保護法」とは、個人データの処理、プライバシー、データ保護(個人情報の保護)、またはサイバーセキュリティに関連する、連邦、州、地方、地域、自治体、外国、国際、多国籍、またはその他の憲法、法律、法令、条約、規則、規制、条例、コード、およびこれらを解釈または執行する権限を有する規制当局が発行したガイダンスを意味し、随時行われる改正を含みます。
    4. データ主体」とは、個人情報が関連する個人を意味します。
    5. データ主体からの請求」とは、データ主体による情報提供、アクセス、修正、消去、制限、ポータビリティ、異議申し立て、販売禁止、削除、およびその他同様の請求を意味します。
    6. 処理説明書」とは、本契約に基づき取引先等が処理する個人情報の説明を意味します。
    7. EEA」とは、欧州経済領域を意味します。
    8. EEAデータ移転」とは、(a) GDPRの対象となる個人情報を、(b) EEA域外の国または地域の受領者へ移転する場合であって、(c) その国または地域が欧州委員会による十分性決定の対象になっていないことを意味します。
    9. EEA標準契約条項」とは、2021年6月4日の欧州委員会決定C(2021) 3972によって採択された、欧州議会および欧州理事会の規則(EU)2016/679に基づく、個人データの第三国への移転に関する標準契約条項を意味し、https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914&locale= enで閲覧可能です。
    10. GDPR」とは、欧州議会および理事会の2016 年4月27日付け規則第(EU) 2016/679号(一般データ保護規則)を意味します。
    11. 情報セキュリティ義務」とは、本契約に添付されその他本契約の一部を構成する、適用される情報セキュリティ義務を意味します。
    12. その他のデータ移転」とは、個人情報の移転であって、(i) 当該個人情報の受領に適切でないとみなされる他の国(「制限国」といいます。)への個人情報の移転を制限する国の法律が適用され、かつ、(ii) EEAデータ移転および英国データ移転のいずれでもないものを意味します。
    13. 個人情報」とは、識別された、または識別可能な自然人に関するあらゆる情報を意味します。これには、「個人識別情報」、「個人情報」、「個人データ」、またはデータ保護法で定義されている同様の情報が含まれますが、取引先等が本契約に関連して処理する個人情報に限定されます。
    14. 処理」とは、個人情報の収集、記録、整理、構造化、保管、翻案または変更、参照、使用、送信による開示、移転、普及その他の方法による提供、解析または組み合わせ、制限、消去または破棄を含む、自動化された手段によるか否かにかかわらず、個人情報に対して行われるあらゆる操作または一連の操作を意味します。
    15. 処理者」とは、管理者の代理として個人情報を処理する個人または団体を意味します。
    16. セキュリティインシデント」とは、(i) 取引先等の処理業務の深刻な中断、(ii) 個人情報の不正な取得、紛失、アクセス、使用もしくは誤用、アクセスの喪失、または個人情報の使用不能(個人情報が保存されている記憶媒体の紛失を含みます。)、または (iii) 個人情報の偶発的または違法な破棄、紛失、改ざん、使用もしくは誤用、不正な開示、またはアクセスにつながるセキュリティ違反を意味します。
    17. 機微個人情報」とは、人種または民族的出自、政治的意見、宗教的または哲学的信念、労働組合への加盟、身体的または精神的健康、性生活または性的指向を明らかにする個人情報、データ主体を一意に識別するための遺伝的データまたはバイオメトリックデータ、犯罪歴および犯罪または関連するセキュリティ対策に関する個人情報、政府発行の識別番号、口座の認証情報、支払カード番号を含む金融口座番号、正確なジオロケーションデータ、取引先等や顧客宛てではない通信の内容、および「機密性が高い」とみなされ、または適用されるデータ保護法に基づき強化された保護を必要とされる個人情報のサブセットを意味します。
    18. サービス等」とは、本契約で定める意味を有し、本契約に定めのない場合は、本契約に基づき取引先等が当社に提供する製品またはサービスを意味します。
    19. 復処理者」とは、処理者に代わって個人情報を処理する者または事業体を意味します。
    20. 英国データ移転」とは、(a) 英国GDPRの対象となる個人情報を、(b) 英国外の国または地域に移転する場合であって、(c) その国または地域が英国国務大臣による十分性決定の対象になっていないことを意味します。
    21. 英国GDPR」とは、2018年EU離脱法の第3条により、イングランドおよびウェールズ、スコットランド、ならびに北アイルランドの法律の一部を構成しているGDPRを意味します。
    22. 英国SCC補遺」とは、英国情報コミッショナー事務局が発行し、2022年2月2日に2018年データ保護法第119A条に従って議会に提出された補遺のひな型であり、第18条に基づき改訂されたものを意味し、 https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdfで閲覧可能です。
3. 全取引先等に適用される条件
  1. 本条項はすべての取引先等に適用されます。
  2. 法の遵守 取引先等は、適用されるすべてのデータ保護法を遵守し、同法に基づく義務に対処するために適切なプライバシー保護を実施するものとします。取引先等は、データ保護法に基づく義務をもはや果たすことができないと判断した場合、wbdprivacy@wbd.comにて顧客に通知するものとします。顧客は、取引先等による不正な個人情報の処理を排除し、修正するための適切な措置を取る権利を有するものとします。
  3. セキュリティ 取引先等は、個人情報を保護するために適切かつ十分な技術的および組織的な対策を実施し、維持するものとします。取引先等のセキュリティ対策は、(i) 個人情報の機密性、入手可能性および完全性の確保、(ii) 個人情報の安全性または完全性に関して予想される脅威または危険からの保護、および (iii) 不正な処理からの保護を目的として策定されます。
  4. 第三者とのやり取り 取引先等が以下のいずれか、すなわち、
    1. 本契約に関して取引先等が行った個人情報の処理、または
    2. 顧客が行った個人情報の処理に関して、

    個人、規制当局、政府機関、またはその他の第三者から何らかの連絡を受けた場合、取引先等は、法律で禁止されている場合を除き、当該連絡に関する詳細事項を速やかに顧客(wbdprivacy@wbd.com)に通知し、当該連絡に対応するために顧客が合理的に要求するすべての協力を提供するものとします。取引先等は、法的に強制されない限り、顧客の事前承認なしに当該連絡に直接応答してはならないものとします。
  5. 要請およびインシデントへの対応 取引先等は、顧客から事前に書面による承認を得ることなく、(i) データ主体への返信、(ii) 処理についての公表、 (iii) セキュリティインシデントの通知、または (iv) 処理に関するデータ保護当局またはその他の法的機関への開示において、顧客(顧客の子会社または関連会社を含む。)の名前を挙げないものとします。
  6. 期間と存続規定
    1. 取引先等が本契約に関連する個人情報の処理を停止した時点で、本グローバルプライバシー義務の規定は終了します。
    2. 本第3条(全取引先等に適用される条件)において本条項に反する規定があったとしても、第3.4条、第3.5条、第3.8条および第7条は、本契約および本グローバルプライバシー義務の終了または失効後も存続するものとします。
  7. 翻訳版 本グローバルプライバシー義務の英語版と他言語によるバージョンとの間に矛盾がある場合には、英語版が優先されるものとします。
  8. 責任制限の否定 疑義を避けるために付言すると、本グローバルプライバシー義務に基づく両当事者の責任は、本契約に記載された責任の制限または排除の対象とならないものとします。
  9. 共同経営関係(パートナーシップ)の否定 本グローバルプライバシー義務のいかなる規定も、両当事者間に雇用関係、合弁関係、代理関係、または共同経営関係を生じさせるものとはみなされず、また、いずれの当事者も、第三者、個々の事業体、または一般大衆に対して、相手方当事者との上記の関係を示唆する行動をとる権限はなく、また、そのような行動をとらないものとします。
4. 処理者に適用される条件
  1. 本条項は、以下のいずれかが該当する限りにおいて適用されます。
    1. 取引先等が、顧客の代理となって処理者として個人情報を処理する場合
    2. 本契約において、本条項が適用されると明記されている場合
  2. 指示 取引先等は、文書化された顧客からの指示に従ってのみ個人情報を処理するものとします。ただし、取引先等が従うべき法的義務に従って当該個人情報を処理する必要がある場合はこの限りではありませんが、その場合、取引先等は、当該法的義務により顧客への通知が禁止されていない限り、当該処理を開始する前に当該法的義務について顧客に通知するものとします。顧客からの文書による指示は、(i) 取引先等がサービス等を提供し、本契約に基づくその他の義務を履行するために必要な場合、および (ii) その他顧客が随時文書で指示する場合に、個人情報を処理するためのものです。取引先等は、顧客からの指示または命令が適用されるデータ保護法を抵触すると考える場合は、直ちに顧客に通知するものとします。
  3. 処理説明書 処理の対象となる事項および期間、処理の性質および目的、個人情報の種類、ならびにデータ主体のカテゴリーに関する説明は、処理説明書に記載されています。
  4. 使用制限 取引先等は、以下を行わないものとします。(i) 個人情報を販売したり、金銭的またはその他の価値のある対価と引き換えに開示したりすること、(ii) サービス等を実行する特定の目的以外で、または顧客の指示に従わずに個人情報を処理すること、(iii) 取引先等と顧客との間の直接的なビジネス関係以外で個人情報を処理すること、及び (iv) 個人情報を、他者から、またはそれらの者のために受領もしくは収集した個人情報、または消費者から収集した個人情報と組み合わせること。取引先等は、本項の制限事項を理解したことを確認し、これを遵守するものとします。
  5. データ主体からの要請 取引先等は、サービス等に関連して処理する個人情報に関するデータ主体からの要請またはデータ主体からの(もしくはデータ主体の代理人からの)連絡を速やかに顧客に連絡するものとし、データ主体からの請求または連絡を受領したことを確認する以外は、データ主体に返答しないものとします(データ保護法で別途要求される場合、または顧客から指示される場合を除きます。)。取引先等は、適切な技術的および組織的措置、ならびに必要な製品機能の提供を含め、データ主体からの請求に効果的に対応できるよう、必要に応じて顧客を支援するものとします。取引先等は、データ主体からの請求または顧客からの支援要請があった場合、速やかに、いかなる場合も5日以内に、かかる支援を提供するものとします。適切な場合、および顧客の合理的な要求に応じて、取引先等は、データ保護法に準拠したプライバシーポリシーまたは通知を該当するデータ主体に提供または指示することを含め、顧客が個人に個人情報の処理について通知することを支援するものとします。取引先等は、自らが支援したデータ主体からの請求に関する完全かつ正確な記録を保持し、顧客に合理的なアクセスを提供するものとします。
  6. 個人の守秘義務 取引先等は、その各担当者が個人情報に適用される守秘義務を負うことを保証するものとします。
  7. セキュリティ 取引先等は、情報セキュリティ義務に規定された情報セキュリティの手順および業務を実施し、維持するものとします。
  8. 監査と支援 情報セキュリティ義務における監査規定にかかわらず、取引先等は以下を行うものとします。
    1. 取引先等が本グローバルプライバシー義務を遵守していることを確認するために合理的に必要とされる情報および支援(データ保護影響評価の完了支援およびデータ保護当局との協議を含みます。)を顧客に提供すること。さらに取引先等は、データ保護法を顧客が遵守するために合理的に必要な支援を提供するものとします。
    2. 顧客の指示により、自身による本グローバルプライバシー義務または該当するデータ保護法データの遵守状況について、自身のデータ保護プログラム、および個人情報を処理している施設に対する監査を受け入れるものとします。監査は、顧客またはそのために任命された代行者(取引先等が認めた機密保持契約に同意することを条件とします。)が実施することができます。顧客は、合理的な事前通知を行い、取引先等の業務を不当に妨害することなく、通常の営業時間内にかかる監査を行います。疑義を避けるために付言すると、本規定は、取引先等の他の顧客の機密情報へのアクセスを顧客に提供することを取引先等に義務付けるものではありません。
  9. セキュリティインシデント 取引先等は、実際のセキュリティインシデントまたは合理的に疑われるセキュリティインシデントが発生した場合、速やかに、ただしいかなる場合も認識してから48時間以内に、顧客に電子メール (cybersecurity@wbd.com) で通知するものとします。取引先等は、顧客の指示により、セキュリティインシデントの調査、影響緩和、および対応のために顧客が合理的に必要とするすべての情報および支援を提供します。これには少なくとも、適用されるデータ保護法で必要とされる情報もしくは支援、または顧客がセキュリティインシデントの通知を行うために必要な情報もしくは支援が含まれます。取引先等は、セキュリティインシデントに関連して、データ保護当局またはデータ主体に対して公表または通知を行う前に、顧客と協議することに同意するものとします。取引先等は、取引先等、その関連会社、譲受人、または復処理者が処理する個人情報に影響を及ぼすセキュリティインシデントに起因または関連して顧客が被るすべての費用、債務、損失、損害および経費(弁護士報酬を含みます。)について責任を負い、要求に応じて顧客に対してこれらを支払うものとします。
  10. 復処理 取引先等は、復処理者に自己に代わって個人情報の処理を委託しその他処理を許可できるものとします。ただし、その条件として、取引先等は以下を行うものとします。
    1. 各取引先に適用される本グローバルプライバシー義務に記載された義務と同等以上の保護義務を課す書面による義務に関する合意を復処理者との間で締結していること。 パートナーは、各サブプロセッサーとの間で、パートナーに適用される本グローバル個人情報保護義務の条項に含まれる義務よりも劣らない保護義務を課す書面による義務を締結している。
    2. 取引先等に適用される本グローバルプライバシー義務の条項に基づく義務を取引先等が果たせるよう、各復処理者が必要な役割を果たすことができるように、適切なデューデリジェンスを行うこと。
    3. 取引先等が新たに復処理者に委託を希望する場合、事前に書面で顧客に通知すること。顧客は、かかる通知を受け取ってから30日間、取引先等が新たな復処理者に委託することに異議を申し立てることができます。顧客がこの期間内に異議を申し立てない場合、取引先等は復処理者に個人情報の処理を許可することができます。顧客が復処理者の使用に異議を申し立てた場合、取引先等は、顧客の異議を受領してから10日以内に速やかに対処します。取引先等がこの10日の期間内に顧客が満足する形で顧客の異議を解決できなかった場合、顧客は、取引先等に書面で通知することにより、いつでも違約金なしで本契約を直ちに解除することができます。取引先等は、(i) 新しい復処理者を使用する意図を通知してから30日間、または(ii) 復処理者の使用に関する顧客の異議が顧客の満足のいく形で解決されていない期間、新しい復処理者に個人情報の処理をさせないものとします。
    4. 各復処理者が行う個人情報の処理について全責任を負うこと。
  11. 廃棄または返却 本契約の解除もしくは満了時、または顧客の指示により、取引先等は顧客の指示に従い、(i) 本契約に関連して処理した個人情報の完全な写しを、両当事者が合理的に合意した形式およびフォーマットで顧客(または顧客が指定した第三者)に返却するか、 (ii) 本契約に関連して処理した、自己が保有または管理する個人情報(すべての写しを含む。)を安全に廃棄するものとします。
5. 管理者に適用される条件
  1. 本条項は、以下のいずれかが該当する限りにおいて適用されます。
    1. 本契約に関連して処理する個人情報の目的および処理方法は、取引先等が独自に決定している場合。
    2. 本契約において、本条項が適用されると明記されている場合
  2. 通知と透明性 取引先等は、適用されるすべての法律に準拠した、明確なプライバシーポリシーを定め、見やすい場所に表示し、維持した上で、(その個人情報が本契約に関連して取引先等によって処理される)データ主体に対して、取引先等がどのようにその個人情報を処理するかについて知らせるものとします。
  3. セキュリティインシデント 取引先等は、実際の、または合理的に疑われるセキュリティインシデントであって、本契約に関連して処理される個人情報に影響が及ぶものが発生した場合、関連する顧客に速やかに通知すると共に、セキュリティインシデントの性質、影響を受けた個人情報、セキュリティインシデントに対する取引先等の対応、およびその影響の軽減策に関する情報を速やかに顧客に提供するものとします。
  4. 秘密保持 取引先等は、その各担当者が個人情報に適用される守秘義務を負うことを保証するものとします。
6. 越境移転
  1. 本条項は、EEAデータ移転、英国データ移転、またはその他のデータ移転が発生した場合に取引先等に適用されます。
  2. データ移転(処理者) 本項は、第4条(処理者に適用される条件)が適用される場合に適用されます。
    1. EEAデータ移転 取引先等が処理する個人情報がEEAデータ移転の対象となる場合、およびその限りにおいて、EEA標準契約条項が参照により本契約に組み込まれ、以下のように適用されるものとします。
      1. 適用 取引先等はデータ輸入者として機能し、顧客はデータ輸出者として機能します。
      2. ドッキング 第I章第7条の目的上、オプションのドッキング条項が適用されます。
      3. モジュール モジュール2(管理者から処理者への移転)が適用されます。
      4. 指示 第II章第8.1条(モジュール2)の目的上、データ輸入者への指示は、取引先等が提供し、かつ、本契約に従って明示されるサービス等の実施および/または製品の供給に必要な、個人情報を処理する旨の指示とします。
      5. 復処理者 第II章、第9条(モジュール2)については、オプション2が適用されます(また、意図した変更をデータ輸入者がデータ輸出者に対して通知する期間は30日前とします。)。
      6. 救済 第II章第11条については、任意の文言は適用されません。
      7. 準拠法 第IV章第17条および第18条については、適用されるデータ保護法で認められる範囲内で、両当事者は、EEA標準契約条項に基づく両当事者の義務が、アイルランドの法律に準拠し、アイルランドの裁判所の管轄に従うことに同意します。
      8. 別紙 I のパート Aへの記入 本書によって、別紙 I のパート A(当事者一覧)には、(i) データ輸出者としての顧客の詳細情報、および(ii) データ輸入者としての取引先等の詳細情報が、それぞれ本契約に記載されている通りに記入されているものとみなされます。
      9. 別紙 I のパート Bへの記入 本書によって、EEA標準契約条項別紙 I のパート B(移転説明書)には、処理説明書に記載された情報が記入されているものとみなされます。
      10. 別紙 I のパート Cへの記入 EEA標準契約条項別紙 I のパート C(管轄監督機関)については、適用されるデータ保護法で認められる範囲内で、両当事者は、アイルランド共和国のデータ保護機関を選択します。
      11. 別紙 IIへの記入 本書によって、EEA標準契約条項別紙 II(データの安全性を確保するための技術的・組織的措置を含む、技術的および組織的措置)が、情報セキュリティ義務に定める条項の内容で記入されているとみなされます。
      12. 条項間の矛盾 EEA標準契約条項と本条との間に矛盾または不一致がある場合は、データ主体に最大の保護を与える方法で規定を解釈するものとします。
    2. 制限国に関するEEA標準契約条項の解釈 顧客による取引先等への個人情報の開示がその他のデータ移転に相当する場合は、その限りにおいて、EEA標準契約条項が参照により本書に組み込まれ、本項で上記のとおり定めたとおりに適用されるものとします。ただし、(i) EEA標準契約条項における「EU」、「連合」、「EU加盟国」または「加盟国」への言及は、代わりに当該制限国を指すものとし、(ii) 「規則(EU)2016/679」または「当該規則」への言及は、代わりに当該制限国のデータ保護法を指すものとし、GDPRの特定の条項または条文への言及は、制限国のデータ保護法のこれに一番近い同等の条項または条文に置き換えるものとし、(iii) 「監督官庁」は、当該制限国のデータ保護当局を指すものとし、(iv) 「条項」への言及は、当該条項を組み込んだ本項(必要な変更を行ったもの)を指すものとします。
    3. 英国データ移転 取引先等が処理する個人情報が英国データ移転の対象となる場合は、その限りにおいて、英国SCC補遺が参照により本契約に組み込まれ、以下のように適用されるものとします。
      1. 表1の記入 英国SCC補遺の表1には、本契約に規定されているとおり、データ輸出者としての顧客の詳細およびデータ輸入者としての取引先等の詳細が記入されています。「開始日」とは、本契約の開始日、発効日、またはそれに相当する日をいいます。顧客の「主要な連絡先」は、「プライバシー責任者」またはwbdprivacy@wbd.comで連絡可能な、プライバシー責任者の代理人です。また、取引先等の「主要な連絡先」は、その具体的な役職名および電子メールアドレスを添えて顧客に随時通知されるとおりとします。
      2. 表2および表3の記入 英国SCC補遺の表2は、「承認済みのEU SCCであって、附属書の情報が記載され、当該SCCの以下のモジュール、条項またはオプション条項のみを本補遺の目的のために発効させたもの」を選択することで記入します。英国SCC補遺の表2および表3の目的上、「承認済みのEU SCC」は、本項で上記のとおり定めた内容で記入します。
      3. 表4の記入 英国SCC補遺の表4は、「いずれの当事者も」を選択して完成します。
      4. 条項間の矛盾 英国SCC補遺と本グローバルプライバシー義務との間に矛盾または対立が生じた場合、英国SCC補遺が優先するものとします。
  3. データ移転(管理者) 本項は、第5条(管理者に適用される条件)が適用される場合に適用されます。
    1. EEAデータ移転 取引先等が処理する個人情報がEEAデータ移転の対象となる場合、およびその限りにおいて、EEA標準契約条項が参照により本契約に組み込まれ、以下のように適用されるものとします。
      1. 適用 取引先等はデータ輸入者として機能し、顧客はデータ輸出者として機能します。
      2. ドッキング 第I章第7条の目的上、オプションのドッキング条項が適用されます。
      3. モジュール モジュール1(管理者間の移転)が適用されます。
      4. 修正 第II章第11条については、任意の文言は適用されません。
      5. 準拠法 第IV章第17条および第18条については、適用されるデータ保護法で認められる範囲内で、両当事者は、EEA標準契約条項に基づく両当事者の義務が、アイルランドの法律に準拠し、アイルランドの裁判所の管轄に従うことに同意します。
      6. 別紙 I のパート Aへの記入 本書によって、別紙 I のパート A(当事者のリスト)に対して(i) 輸出者としての顧客の詳細情報、および(ii) データ輸入者として取引先等の詳細情報が、それぞれ本契約に記載されている通りに記入されているものとみなします。
      7. 別紙 I のパート Bへの記入 本書によって、EEA標準契約条項別紙 I のパート B(移転説明書)に対して、処理説明書に記載された情報が記入されているものとみなします。
      8. 別紙 I のパート Cへの記入 EEA標準契約条項別紙 I のパート C(管轄監督機関)については、適用されるデータ保護法で認められる範囲内で、両当事者はアイルランド共和国のデータ保護機関を選択します。
      9. 別紙 IIへの記入 本書によって、EEA標準契約条項別紙 II(データの安全性を確保するための技術的・組織的措置を含む、技術的および組織的措置)が、情報セキュリティ義務に定める条項の内容で記入されているとみなします。
      10. 条項間の矛盾 EEA標準契約条項と本条との間に矛盾または対立がある場合は、データ主体に最大の保護を与える方法で規定を解釈するものとします。
    2. 制限国に関するEEA標準契約条項の解釈 顧客による取引先等への個人情報の開示がその他のデータ移転に相当する場合は、その限りにおいて、EEA標準契約条項は参照により本書に組み込まれ、本項で上記のとおり定めたとおりに適用されるものとします。ただし、(i) EEA標準契約条項における「EU」、「連合」、「EU加盟国」または「加盟国」への言及は、代わりに当該制限国を指すものとし、(ii) 「規則(EU)2016/679」または「当該規則」への言及は、代わりに当該制限国のデータ保護法を指すものとし、GDPRの特定の条項または条文への言及は、制限国のデータ保護法の同等の条項または条文に置き換えるものとし、(iii) 「監督官庁」は、当該制限国のデータ保護当局を指すものとし、(iv) 「条項」への言及は、本項によって修正された条項を組み込んだ本条を指すものとします。
    3. 英国データ移転 取引先等が処理する個人情報が英国データ移転の対象となる場合は、その限りにおいて、英国SCC補遺が参照により本契約に組み込まれ、以下のように適用されるものとします。
      1. 表1の記入 英国SCC補遺の表1には、本契約に規定されているとおり、顧客(データ輸出者として)の詳細および取引先等(データ輸入者として)の詳細が記入されています。「開始日」とは、本契約の開始日、発効日、またはそれに相当する日をいいます。顧客の「主要な連絡先」は、「プライバシー責任者」またはwbdprivacy@wbd.comで連絡可能な、プライバシー責任者の代理人です。また、取引先等の「主要な連絡先」は、その人の具体的な役職名および電子メールアドレスを添えて顧客に随時通知されるものとします。
      2. 表2および表3の記入 英国SCC補遺の表2は、「承認済みのEU SCCであって、附属書の情報が記載され、当該SCCの以下のモジュール、条項またはオプション条項のみを本補遺の目的のために発効させたもの/the Approved EU SCCs, including the Appendix Information and with only the following modules, clauses or optional provisions of the Approved EU SCCs brought into effect for the purposes of this Addendum」を選択することで記入します。英国SCC補遺の表2および表3の目的上、「承認済みのEU SCC」は、本項で上記のとおり定めた内容で記入します。
      3. 表4の記入 英国SCC補遺の表4は、「いずれの当事者も/neither party」を選択して完成します。
      4. 条項間の矛盾 英国SCC補遺と本条との間に矛盾または対立が生じた場合、英国SCC補遺が優先するものとします。
  4. 越境移転に関するその他の規定 取引先等が処理した個人情報がEEAデータ移転、英国データ移転、またはその他の移転の対象になる場合、その限りにおいて本項が適用されます。
    補完措置
    1. 両当事者は、第C-311/18号事件における欧州連合司法裁判所の判決により、EEA移転または英国移転の対象となった個人情報について、その移転元の地域で処理される際に受ける保護と本質的に同等レベルの保護を受けることを保証するための補完措置が、EEA標準契約条項に記載されている保護措置に加えて必要となる場合があることが明確にされていることを確認し、その旨合意します。したがって、両当事者は、かかる本質的同等性を確保するための補完措置として、以下の第6.4条(b)乃至(g)に定める手段について合意しました。
    2. 本契約に関連して処理された個人情報の一部またはすべてを閲覧し、またはその写しを取得する要請若しくは要求が、法執行機関、規制機関、司法機関または政府機関(以下「当局」といいます。)からなされているのを取引先等が知るに至った場合、取引先等は、任意であるか強制であるかを問わず、以下のように対処するものとします。
      1. 当局からの当該要請について直ちに顧客に通知すること。
      2. 第4条(処理者に適用される条件)が適用される場合、取引先等は個人情報の処理者であり、当該個人情報を当局に開示することを顧客が許可していないと当局に伝えること。
      3. 当該個人情報の閲覧に関するあらゆる要請または要求は、文書で顧客(管理者)に通知または送達されるべきであることを当局に伝えること。
      4. 第6.4条(c)に従った上で、顧客が書面で承認しない限り、当局に当該個人情報を閲覧させないこと。
    3. 第6.4条(b)(iv)にかかわらず、取引先等は、以下のすべてが満たされることを条件として(法律で禁止されている場合は除きます。)、顧客による事前の書面承認なしに、当局からの要請または要求を受領した後に個人情報を当局に開示できるものとします。
      1. 顧客に対し当該要請または要求について事前に合理的な通知を行い、顧客が異議を申立てる、または保護命令もしくはその他の適切な救済を求められるよう合理的な機会を与えること。
      2. 顧客の費用負担により、顧客に合理的に協力し、顧客が異議を申し立て、または保護命令もしくは他の適切な救済を求められるようにすること。
      3. いかなる場合においても、個人情報のうち法律上開示が義務付けられる部分のみを開示すること。
    4. 取引先等が個人情報を当局に開示する場合、取引先等は、法的に義務付けられる範囲内で、かつ、適用される合法的な手続きに則ってのみ、当該個人情報を開示するものとします。
    5. 取引先等は、民主主義社会にとって必要かつ相応な範囲を超える、大量または無差別的な方法で、故意に個人情報を開示しないものとします。
    6. 取引先等は、当局からの個人情報の要請について、少なくとも以下のことを禁止する文書による規程を定め、維持し、遵守するものとします。
      1. 欧州におけるデータ主体に関する個人情報の大量または無差別的な開示
      2. 召喚状、令状、命令書、召集令状、またはその他の法的拘束力のある命令によって個人情報の開示を強制されていないにもかかわらず、欧州におけるデータ主体に関する当該個人情報を当局に開示すること。
    7. 取引先等は、業界の優れた業務慣行に従って、個人情報を傍受(顧客から取引先等への送信、ならびに異なるシステムおよびサービス間の送受信中に発生するものを含みます。)から保護するための措置を講じ、維持するものとします。これには、攻撃者がデータを傍受できないようにするためのネットワーク保護、および攻撃者がデータを読み取ることができないようにするための転送中のデータの暗号化などを実施し、維持することが含まれます。
      データ移転に関するその他の規定
    8. 顧客が、EEA移転、英国移転またはその他の移転のうち該当するものを行うために必要と考える場合、取引先等は、追加文書の作成および追加的保護の実施、または特定の地域での処理の制限について誠実に協力するものとします。
    9. 個人情報の受領が不適切であると見なされる他の法域への移転を制限している国から発信された個人情報を取引先等が時を問わず処理する場合、取引先等は、顧客の指示により、以下の両方を行うものとします。
      1. 当該国で適用されるデータ保護法に基づき、処理を合法的なものにするために必要とされるすべての必要な措置を講じ、かかる必要な契約を締結すること。
      2. 顧客の個人情報にとって適切な水準の保護措置を確保すること。
    10. 権限のあるデータ保護機関が、当事者が依拠するデータ移転メカニズムが無効であると判断した場合、または権限のあるデータ保護機関もしくは適用される法律が、個人情報の移転を一時停止すること、または特定の法域に制限することを義務付けた場合、顧客は、自らの裁量により、取引先等に個人情報の処理の中止を求めることができ、その場合取引先等は、代替のデータ移転メカニズムの使用を促進するために誠意をもって顧客と協力し、追加の文書を作成し、追加の保護措置を適用し、または処理を特定の法域に制限するものとます。
7. 損害賠償
  1. 本条項はすべての本パートナーに適用されます。
  2. 本契約に定める本パートナーの損害賠償義務に加え、本パートナーは、以下の事項のいずれかに起因または関連して顧客が被るあらゆる第三者からの請求、訴訟、費用、責任、損失、損害及び経費(弁護士報酬を含みます。)について(データ保護当局またはデータ主体による請求または訴訟を含みますがこれらに限定されません。)、顧客を防御し、免責し、その全損害を賠償するものとします。(i) セキュリティインシデント、(ii) 本パートナーまたは本パートナーの関係会社、復処理者(本パートナーの関係会社が指名した復処理者を含みます。)および譲受人による本補遺に対する違反。
戻る