コンテンツまでスキップ
  • 検索フィールドが空なので、候補はありません。

データ処理契約

最終更新日:2022年3月31日

これらのデータ処理条件は、Martial Arts on Rails, LLC(Gymdeskとして営業)とお客様との間で締結された利用規約の一部を構成し、当社がサービス提供の過程でお客様に代わって個人データ(Personal Data)を処理する場合に適用されます。本データ処理条件は、当社がデータ管理者(Controller)として行動する場合には適用されません。ここで定義されていない用語、または大文字で記載された用語については、契約書(Agreement)内で定義された意味を持ちます。契約書に定義がない場合は、適用されるデータ保護・プライバシー・セキュリティ関連法令(Privacy Laws)で定められた、またはそれに相当する意味を有します。これらのデータ処理条件は、個人データの処理に関して、契約書の他の条項よりも優先して適用されます。

  1. 当事者「Gymdesk」「当社(we / us / our)」とは、Martial Arts on Rails, LLC(Gymdeskとして営業)または注文書(Order Form)を締結または承諾する関連会社(Affiliate)を指します。「あなた(you / your)」とは、注文書を締結または承諾する他の法人または団体を総称して指します。「関連会社(Affiliate)」とは、他の法人を支配する、または支配されている、あるいは共通の支配下にある法人を意味します。ここで「支配する(controls)」とは、直接的または間接的に、取締役会または経営権の過半数を選任・指名できる議決権を有する、またはその法人の事業運営・管理を実質的に指揮できる状態を指します。
  2. データ処理 個人データの処理に関して、お客様は「データ管理者(Controller)」または「事業者(business)」もしくは「処理者(Processor)」として行動し、Gymdeskは「処理者(Processor)」または「サービス提供者(service provider)」として行動します。当社は、契約(Agreement)および適用されるプライバシー法(Privacy Laws)で許可された範囲でのみ個人データを処理します。当社は個人データを「販売(sell)」することはありません。契約書は、お客様から当社への完全な指示内容を構成するものであり、追加または変更が必要な場合は双方の合意が必要です。当社は、お客様からの指示が法令に違反する可能性があると判断した場合、公共の利益などの重大な理由で通知が禁止されていない限り、その旨をお知らせします。個人データの処理に関する詳細は付属書1(Annex 1)に記載されています。お客様は、個人データの処理に関してプライバシー法を遵守する責任を単独で負い(必要な同意の取得を含む)、当該法令を遵守していることを保証します。また、お客様は、本契約に基づく個人データの処理に関連して生じる第三者からのすべての請求や損害について、当社およびその関連会社(Affiliates)・下請業者(subcontractors)・ライセンサー(licensors)を補償(indemnify)するものとします。
  3. 下位処理者 お客様は、当社がGymdeskの関連会社やサービスプロバイダーを含む他の処理者(以下「下位処理者(Subprocessors)」)を、いかなる国・地域においても個人データの処理に使用することを承認します。ただし、当社はこれらの下位処理者に対し、本データ処理条件と実質的に同等の義務を課すものとします。当社は、下位処理者が本契約に基づいて遂行すべき義務の履行について、お客様に対して責任を負います。当社が現在利用している下位処理者の一覧はこちらに記載されています。当社の下位処理者リストに更新がある場合に通知を受け取るには、このリンクで購読登録を行う必要があります。お客様は、新しい下位処理者の任命に対して、通知から5暦日以内に書面で異議を申し立てることができます。正当なデータ保護上の理由に基づいてお客様が下位処理者に異議を唱え、当社が通知後1か月以内に問題を解決できなかった場合、当社は新しい下位処理者の影響を受けるサービスを、違約金なしで書面による通知により終了することができます。
  4. セキュリティ 当社は、個人データを保護するために、付属書2(Annex 2「セキュリティ対策」)に記載された適切な技術的および組織的措置を実施します。当社は、サービス全体のセキュリティレベルを維持する限り、これらのセキュリティ対策を更新または変更することがあります。お客様は、セキュリティ対策がご自身の要件を満たしているかどうかを判断する唯一の責任者です。お客様は、セキュリティ対策によって提供されるセキュリティレベルが、サービスに内在するリスクに対して適切であることに同意します。また、お客様は、適用されるプライバシー法を遵守できるようにサービスを適切に構成する責任を負います。当社は、書面による守秘義務契約または法令に基づく守秘義務の下にある権限を与えられた担当者のみが個人データへアクセスできるようにします。なお、本サービスは以下のようなデータの処理を目的として設計されていません:機微なデータ、PCI DSS(Payment Card Industry Data Security Standard) に該当するカード保有者データ、保護対象医療情報、児童の個人データ、その他サービスの性質上不適切な個人データ、これらを総称して「禁止データ」といいます。お客様は、Gymdeskから書面による許可を得ない限り、禁止データを当社またはサービスに送信してはなりません。
  5. セキュリティインシデント 当社は、本契約に基づくサービスに関連して、当社による処理中に発生した個人データの偶発的または不正な破壊、損失、改ざん、または無断アクセス・開示・使用などのセキュリティ侵害(以下「セキュリティインシデント」)を認識した場合、不当な遅延なくお客様に通知します。当社は、セキュリティインシデントの調査を実施し、適用されるプライバシー法に従って、当該インシデントに関する関連情報をお客様に提供します。また、当社は合理的な範囲で、お客様がセキュリティインシデントによる不利益な影響を軽減できるよう支援するため、可能な限りの努力を行います。
  6. コンプライアンス お客様からの書面による要請があった場合、当社は守秘義務を前提として、本データ処理条件への当社の遵守状況を示すために合理的に必要な情報(関連する認証などを含む)を提供します。下位処理者に関しては、当社は本第6条に基づく責任を、当該下位処理者が発行した監査報告書または認証書類をお客様に提供することで果たすことができます。
  7. データ移転 お客様は、当社およびその下位処理者が、本契約の履行に必要な範囲で、個人データをその発生国以外の地域へ転送することを承認します。ただし、当社は適用されるプライバシー法を遵守するために、適切なデータ移転保護措置を講じます。もし当社が、EEA(欧州経済領域)・英国・スイスまたはその他の越境データ移転を制限する法域から個人データを転送する場合、お客様は「データ輸出者(data exporter)」、Gymdeskは「データ輸入者(data importer)」として、EU規則(Regulation (EU) 2016/679)に基づく標準契約条項(SCC: Standard Contractual Clauses)のモジュール2および3に定める条項に拘束されるものとします。これらのSCCは、両当事者によって署名されたものとみなされ、本契約に全文を付属書として組み込まれたものとして扱われます。SCCに必要とされる付録情報は、以下の付属書に含まれています:付属書1(Annex 1):「データ転送の説明(Description of the Transfer)」付属書2(Annex 2):「技術的および組織的対策の説明(Description of the Technical Organizational Measures)」SCC第8.9条に基づく監査(Audit)は、前述の第6条(コンプライアンス)に従って実施されます。万一、本データ処理条件または本契約とSCCの内容に矛盾や抵触がある場合、SCCが優先して適用されます。
  8. 協力 当社は、お客様に対し、データ主体・監督当局・その他の第三者からの要求、苦情、または問い合わせへの対応、ならびにプライバシー影響評価および監督当局との事前協議の実施において協力します。ただし、お客様は、当社がこれらの対応のために合理的に発生させた費用を補償するものとします。当社が個人データに関するデータ主体からの要求を受け取った場合、当社はその要求をお客様に転送します。なお、当社は、適用される法令により要求される場合を除き、データ主体からの要求に直接対応することはありません。
  9. 契約終了 本契約が終了した場合、当社は、個人データを返却・削除または匿名化します。ただし、以下の場合には例外として個人データを保持することができます:(i) 適用法令により個人データの保存が義務付けられている場合(ii) コンプライアンス、監査、またはセキュリティ目的のために保存が必要な場合 このような場合、保持された個人データについては、引き続き本データ処理条件が適用されます。また、削除証明書が必要な場合は、お客様からの書面による要請があった場合に限り、当社が提供します。

 

付属書 1(ANNEX 1)

処理および移転の説明(モジュール2:管理者から処理者へ)

  1. 当事者一覧

役割

名称・詳細

管理者 / データ輸出者

本契約に定められた、あなたおよびあなたの関連会社。

処理者 / データ輸入者

名称: Martial Arts on Rails, LLC d/b/a Gymdesk

住所: 9901 Brodie Ln, Ste 160 #1150, Austin TX 78748, USA

連絡先: support@gymdesk.com

 

  1. 処理 / 移転の詳細

項目

内容

データ主体のカテゴリ

処理および移転される個人データは、あなたの単独の裁量によって決定・管理され、以下を含む場合があります: (i) データ輸出者の従業員、契約社員、一時雇用者(現職・退職・採用候補者を含む) (ii) 顧問、トレーナー、コンサルタント、サービス提供者およびその他の第三者 (iii) サービスのユーザー(例:顧客)およびエンドユーザー (iv) 契約書に記載されたその他のデータ主体

個人データのカテゴリ

処理および移転される個人データはあなたの裁量により決定・管理され、以下を含む場合があります: 氏名、メールアドレス、居住国、携帯電話番号、ユーザー名、パスワード、IPアドレス、識別番号および署名、音声・映像・データ記録など。

特別カテゴリデータ

本サービスは、特別カテゴリデータや禁止データの処理を目的としていません。あなたはこれらのデータを当社に直接または間接的に転送してはなりません。

頻度

本契約に基づく個人データの移転は継続的に行われます。

処理の性質

Gymdeskおよびその下位処理者は、本契約に記載されたとおり、あなたに対してサービスを提供または契約上の義務を履行します。これらのサービスには、Gymdeskおよび/または下位処理者による個人データの処理が含まれる場合があります。

処理 / 移転の目的

あなたの個人データは以下の目的で処理および移転されます: (i) サービスの提供および顧客・従業員・ユーザーとのコミュニケーションの円滑化 (ii) 販売代理店、販売パートナー、流通業者などの管理・運営 (iii) アイデンティティ管理およびセキュリティ (iv) 製品およびサービスの開発・改善・研究開発 (v) 科学・技術などのあらゆる分野の研究活動 (vi) 本契約に記載されたその他の範囲および目的

保存期間(RETENTION)

あなたの個人データは、本契約に従って保存されます。ただし、適用法によりより長い保存期間が必要な場合を除きます。

下位処理者への移転(TRANSFER TO SUBPROCESSORS)

Gymdeskは、本契約の履行に関連して、下記の範囲内で下位処理者へ個人データを処理・移転できます: • 対象事項: 個人データの処理 • 処理の性質: Gymdeskおよびその下位処理者が、契約上の義務を履行またはサービスを提供する • 期間: あなたが決定し、本契約に明記された期間

 

  1. 所轄監督当局

 

本SCC第13条の目的のため、顧客の所轄監督当局は、顧客がEEA内に設立されている場合はその設立国の監督当局、またはEEA外に設立されている場合はEU規則第27条(1)に基づき代理人が指定されたEEA国内の監督当局とします。

 

  1. 準拠法および裁判管轄

項目

内容

準拠法

SCC第17条の目的のため、当事者はアイルランド法を選択します。

裁判管轄

SCC第18条の目的のため、当事者はアイルランドの裁判所に専属的管轄権があることに合意します。

 

  1. その他

SCC(標準契約条項)で任意条項または複数の選択肢が提示されている箇所については、以下のように適用します。

該当条項

適用される選択肢

7条(ドッキング条項 )

オプション条項を適用します。

9(a)条(下位処理者の承認)

オプション2を適用。 当事者は第3条に定める手順に従います。

11(a)条(救済)

オプション条項は適用しません。

12条(責任)

利用規約における責任制限が、本データ処理条件にも適用されます。

 

 

付属書 2(ANNEX 2) セキュリティ対策

本付属書2は、本契約に基づき当社が個人データを処理する際に、サービスを保護・安全に運用するために設計されたセキュリティ対策を示します。当社は、サービス全体のセキュリティ水準が実質的に低下しない範囲で、本セキュリティ対策を随時更新または修正する場合があります。ベータ版提供サービスについては、異なる運用方針が適用されることがあります。

カテゴリー

実施内容

リスク管理

• Gymdeskは、お客様データの保護と完全性を維持するために設計された管理的・物理的・技術的な保護策を維持します。 カード会員データを保存・処理するサービス部分については、PCI DSS(Payment Card Industry Data Security Standard)への準拠を維持します。

データ取扱い

• Gymdeskは、保存データおよび転送中データに対し、商用標準の暗号化管理基準を使用します。

• クラウド上でホストされるマルチテナント型アプリケーションは論理的に分離され、プラットフォーム内の各コンポーネント間のデータフローは必要なサブネットおよびVNET内に制限されています。• Gymdeskは以下を含む適切なデータセキュリティ管理を維持します: (i) IDおよびアクセス管理コントロール (ii) 最小権限原則に基づくアクセス制御 (iii) 一意のユーザーID / パスワードによる安全なログイン (iv) 複雑なパスワード要件および安全な保管

バックアップ

• 定期的にバックアップを実施しています。

事業継続

• Gymdeskは、事業継続計画(BCP)および災害復旧計画(DRP)を策定・維持し、重大な中断時にも重要な製品およびサービスの最低限の提供を継続できるようにしています。

第三者

• Gymdeskは、サービスのクラウド基盤および物理的データセンター施設として、業界をリードするクラウドプロバイダーを利用しています。

• Gymdeskは、これら第三者クラウドプロバイダーの物理的・環境的管理体制に依存しています。すべてのデータセンターはSOC 2または同等の認証準拠施設です。

• Gymdeskは、第三者のサプライヤーおよびライセンサーが本ポリシーに記載されたものと実質的に同等のセキュリティ基準および保護レベルに準拠するよう、商業的に合理的な努力を行います。