データ処理補遺
2021年9月から有効なバージョン
このデータ処理補遺(「DPA」)を参照した本契約の条件を承認することで、お客様(「契約者」)は、参照することで本契約に組み込まれるその条件に同意したものとみなされます。
備考
Bentleyと契約者は、自身またはその関連会社の代表として、1件以上のオーダーフォーム、契約、および/または合意(「契約」)を締結し、Bentleyはそれに従い、本契約の記載に基づいて契約者にソフトウェアや製品のライセンスを発行する、またはサービスを提供します(「総称して「サービス)」。本DPAで使用されているものの、定義されていない大文字の用語の意味は、本契約でのそれらの用語の意味に帰属するものとします。本DPAの条件と本契約の条件との間で不一致があった場合、かかる不一致については、本DPAが優先されるものとします。本契約には、DPAを含め、本契約の一部として組み込まれた、あらゆる別紙、付属明細書、付属書、作業指示書、その他の添付文書が含まれます。
本契約を履行することで、契約者は、自身の代表として、および適用されるデータ保護法および規制によって定められている範囲で関連会社名義または関連会社の代表として、かかる関連会社が管理者とみなされる個人データをBentleyが処理する場合に限り、本DPAを締結するものとします。本DPAの目的においてのみ、および特に明記されていない限り、「契約者」という言葉には、契約者と関連会社が含まれるものとします。
本契約に従って契約者にサービスを提供する際は、Bentleyは、契約者の代理として個人データを処理する場合があります。また、その当事者は、個人データに関する以下の規定に準拠することに同意し、それぞれが合理的かつ誠実に行動するものとします。
1. 定義
「関連会社」は、直接的または間接的に、対象主体を管理する主体、対象主体によって管理される主体、または対象主体と同一の支配下にある主体を意味します。この定義の目的の観点からは、「管理」は、直接的または間接的に、対象主体の所有権を保有する、または対象主体の議決権持分50%以上を支配することを意味します。
「CCPA」は、California Consumer Privacy Act(Cal.Civ.Code § 1798.100以降)、およびその施行規則を意味します。
「管理者」は、個人データを処理する目的および手段を決定する主体を意味します。
「データ漏洩」とは、Bentleyが本契約に従って送信、保存、またはその他の方法で処理した個人データの偶発的または違法な破壊、損失、改変、不正開示、またはアクセスにつながるセキュリティ侵害を意味します。
「データ保護法および規制」は、随時改正される、本契約に即した個人データの処理に適用されるすべての法律と規制を意味します。疑義が生じるのを避けるため、Bentleyによる個人データ関連の処理活動が、特定のデータ保護法の適用範囲外の場合は、かかる法律は、本DPAの目的には適用されません。
「データ主体」は、個人データとの関連性がある特定された個人または特定可能な個人を意味します。
「GDPR」は、個人データの処理の観点から自然人を保護することと、かかるデータの自由な移動について、欧州議会および欧州理事会が2016年4月27日に制定したRegulation(EU)2016/679を意味します。この規則によって、イギリスの法律に従って実施または採択されたものを含め、Directive 95/46/EC(General Data Protection Regulation)は撤廃されています。
「個人データ」は、(i)特定された自然人または特定可能な自然人に関連する情報と、(ii)特定された法人または特定可能な法人(適用されるデータ保護法および規制に従って、個人データまたは個人を特定できるデータと同様に情報が保護される法人)に関連する情報を意味します。
「処理」は、収集、記録、分類、構成、保管、適応または改変、取得、参照、使用、送信による開示、配布、公開、調整または組み合わせ、制限、消去または破棄など、自動的な手段かどうかを問わず、個人データに対して実行される作業または一連の作業を意味します。
「CPU」は、CCPAによって定義される対象の「サービスプロバイダ」すべてを含め、管理者の代理として個人データを処理する主体を意味します。
「ご契約者」は、関連会社とともに契約を履行した主体を意味します(関連会社である期間中に限ります)。
「EU Standard Contractual Clauses」は、2021年6月4日に、欧州議会および欧州理事会のRegulation(EU)2016/679に従って、第三国への個人データの移転に関する標準契約条項について制定された、Commission Implementing Decision(EU)2021/914で定められている標準契約条項を意味します(詳細)。
「サブプロセッサ」はBentley、またはBentleyの代理の関連会社とかかわった処理者を意味します。
「監督機関」は、GDPRに即して、またはイギリスのInformation Commissioner's Office(「ICO」)の求めに応じて、EU加盟国が設立した独立の公的機関を意味します。
2. 個人データの処理
2.1. 当事者の役割。当事者は、個人データの処理に関して、契約者が管理者、Bentleyが処理者になることと、後述の5項「サブプロセッサ」で定められている要件に従って、Bentleyがサブプロセッサを雇うことを確認および承諾するものとします。
2.2. 契約者による個人データの処理。契約者は、サービスの利用において、Bentleyを処理者として利用することの通知をデータ主体に提供するために適用される要件を含め、データ保護法および規制に即して個人データを処理するものとします。疑義が生じるのを避けるため、契約者による個人データの処理に関する指示は、データ保護法および規制に準拠するものとします。契約者は、(i)契約者または契約者の代理人がBentleyに提供する個人データ、(ii)契約者が個人データを取得した手段、および(iii)契約者がBentleyに提示した指示の正確性、品質、および正当性について、全責任を負います。契約者は、本契約に違反する形で、またはサービスの性質に不適切な形で、個人データをBentleyに提供または公開してはならないものとします。また、契約者は、契約者が適用されるデータ保護法および規制に違反することによって生じるすべての請求および損失を補償するものとします。
2.3. Bentleyによる個人データの処理。Bentleyは、Bentleyに対して法的な要求があった場合を除き、次の目的で、個人データを機密情報として取り扱い、契約者の代理として、契約者の文書化された指示に即す形でのみ、個人データを処理するものとします。(i)本契約およびその他のオーダーフォームに即して処理すること、(ii)サービスの利用においてユーザーが主導する形で処理すること、(iii)契約者から(メールなどを介して)提示された、本契約の条件に矛盾しない文書化された他の合理的な指示に従って処理すること、(iv)データ保護法および規制に準拠した形で処理すること。Bentleyに対して法的な要求があった場合は、Bentleyは、かかる法律で禁止されている場合を除き、かかる法的な要求について契約者に通知するものとします。
契約者はここでBentleyに対し、契約者によるサービスの利用に即して、および契約者によるサービスの利用の一環として、個人データを処理するよう指示するものとします。
2.4. CCPAに基づくサービスプロバイダとしてのBentleyの役割。当事者は、BentleyはCCPAの目的に即したサービスプロバイダであることと、本契約に従ってビジネス目的で契約者から個人データを受け取ることを確認および承諾するものとします。Bentleyはかかる個人データを販売せず、サービスの遂行に必要な場合、本契約で定められている場合、またはCCPAによって許可されている場合を除き、本契約に従って契約者から提供された個人データを保持、使用、または開示しないものとします。「サービスプロバイダ」および「販売」という用語については、CCPAの1798.140項の定義に即します。Bentleyは、かかる項の制限事項を理解していることを証明します。
2.5. 処理の詳細。Bentleyによる個人データの処理の主題は、本契約に基づくサービスの履行です。本DPAに即した処理の期間、処理の性質および目的、個人データの種類、処理されるデータ主体のカテゴリ、およびEU Standard Contractual Clausesの付属書IおよびIIによって要求される個人データの移転に関する情報(該当する場合)は、本DPAの付属書類2に詳述されています。
3. データ主体の権利
データ主体の要求。Bentleyは、データ主体から、データ主体のアクセスの権利、訂正の権利、処理制限の権利、消去の権利(「忘れられる権利」)、データポータビリティの権利、処理に対する抗議の権利、または自動処理による決定の対象とならない権利を行使するための要求があった場合は、法律で許可される範囲内で、契約者に速やかに通知するものとします。また、かかる各要求を「データ主体の要求」とします。Bentleyは処理の性質を考慮し、可能な限りにおいて、適切な技術的および組織的対策によって、データ保護法および規制に基づいて契約者がデータ主体の要求への対応義務を履行できるよう支援するものとします。
4. BENTLEYの従業員
4.1. 守秘義務。Bentleyは、個人データの処理に従事する従業員に個人データの機密性を周知し、職務に関する適切なトレーニングを受けさせ、書面での秘密保持契約を締結させることを徹底するものとします。Bentleyは、かかる守秘義務を、従業員が職務を終了した後も存続させるものとします。
4.2. アクセスの制限。Bentleyは、Bentleyによる個人データへのアクセス権を、本契約に即してサービスを履行する従業員のみに制限することを徹底するものとします。
4.3. データ保護責任者:Bentleyはデータ保護責任者を任命します。任命された人物には[email protected]から連絡できます。
5. サブプロセッサ
5.1. サブプロセッサの任命。サブプロセッサは、(a)Bentleyの関連会社がサブプロセッサになる場合があることと、(b)BentleyおよびBentleyの関連会社それぞれが、サービスの条項との関連で第三者のサブプロセッサを雇う場合があることを確認および承諾するものとします。BentleyまたはBentleyの関連会社は、各サブプロセッサと、各サブプロセッサが提供するサービスの性質に適用される範囲内で、契約者の個人データの保護について、本DPAに劣らないデータ保護義務を含む書面での契約を締結します。
5.2. 現在のサブプロセッサのリスト、新しいサブプロセッサの通知、同意手続き。Bentleyは契約者に対し、サービスの現在のサブプロセッサのリストを公開するものとします。契約者は、保管されているサブプロセッサのリストをこちらからオンラインで参照できます。契約者は、基本的に、本5項に従ってBentleyおよびBentleyの関連会社がサブプロセッサの除外または新しいサブプロセッサの追加を行うことを許可します。契約者の個人データにアクセスする新しいサブプロセッサは、以下の同意手続きにより契約者の承認を得るものとします。
- Bentleyは、新しいサブプロセッサに個人データへのアクセスを許可する際は、Bentley Trust Centerでオンラインのサブプロセッサのリストを更新することで、遅くとも30日前までに契約者に通知するものとします。
- かかる30日の間に、契約者がBentleyに対して合理的な意義を書面で申し立てなかった場合は、契約者がかかる新しいサブプロセッサを承認したものとみなされます。
- 契約者が合理的な異議を申し立てた場合、Bentleyは、(a)契約者が異議を申し立てたサブプロセッサに業務を委託することなくサービスを継続すること、(b)契約者の異議において指摘された問題への十分な対策を講じること、または(c)契約者との合意により、サービスのうち当該サブプロセッサの利用を伴う可能性のある部分の提供を(一時的または永続的に)停止することを決定した場合を除き、影響を受けるサービスの契約者への提供を14日前までの通知により終了する権利を有するものとします。各サブプロセッサは、本契約の義務と同様のデータ保護義務に拘束されるものとします。
5.3. 責任。Bentleyは、本契約に別段の定めがある場合を除き、本DPAに従って各サブプロセッサのサービスを直接履行する場合にBentleyが負う責任と同じ範囲で、サブプロセッサの行動および不作為に対する責任を負うものとします。
6. セキュリティ
Bentleyは処理の技術水準、導入コストおよび性質、適用範囲、コンテキスト、目的に加え、自然人の権利および自由に対するさまざまな可能性および深刻度のリスクを考慮して、適切な技術的および組織的対策を導入し、個人データの処理に伴うリスクに適したレベルのセキュリティを確保するものとします。Bentleyは、少なくとも以下を行うものとします:
- 情報セキュリティ関連のポリシーと基準を導入する。
- 情報セキュリティ管理の役職を割り当てる。
- 情報セキュリティに十分な的リソースを割り当てる。
- 個人データへのアクセス権を持つ正社員に対して、また、コンプライアンス要件に応じて必要な場合に(対象の各管轄区で実施可能かつ合法な場合)、身元照会および身辺調査を実施する。
- Bentleyのすべての従業員に対し、文書化された情報セキュリティポリシーの遵守を義務付ける。
- 個人データへの不正アクセスを防止する手段として、物理的および論理的な入室規制、処理を行う保護エリア、およびデータ損失防止ツールを適宜使用する。
- データ保護関連のポリシーおよび基準を持続的に遵守することを徹底する。
Bentleyは、サービスの全体的なセキュリティレベルを低下させないことを条件として、独自の裁量によって技術的および組織的対策を変更する権利を有します。Bentleyの技術的および組織的対策に関するその他の情報については、Trust Centerをご覧ください。これらの情報は随時更新されます。
7. 契約者の監査の権利
Bentleyは、本DPAの期間中、契約者の要請に応じて、年に1回を超えない頻度で、機密保持契約に従い、契約者がBentleyによるデータ保護義務の遵守状況を合理的に検証できるように、独立監査員が実施した最新の監査報告を契約者に提供するものとします。契約者は、かかる監査報告を要請およびレビューすることによってのみ、自身の有する監査および検査の権利を行使することに同意します。契約者が上記をレビューした後、Bentleyのデータ保護義務の遵守を証明するために追加情報が必要な場合、契約者は書面でBentleyに通知する必要があります。かかる書面では、具体的に、報告書で遵守が実証されていない義務の詳細、監査報告書の不備、および追加情報が必要な分野について特定します。レビュー後、Bentleyは、監査手順に含めるために特定された不備を独立監査員に通知する場合があります。Bentleyは、その裁量により、合理的な努力を払って対応し、契約者(契約者自身または、契約者の代理として機密保持義務を負う登録された認定監査員のいずれか)に追加のポリシー、手順、プロセス、または統制の運用を実証する裏付けとなる証拠へのアクセスを提供するものとします。契約者は、30日以上前にBentleyに通知し、追加のドキュメントのコピーを保持したり、コピーを作成したり、Bentleyの事業運営を不当に阻害したりしてはならないものとします。契約者は、かかる監査のすべての費用を負担するものとし、Bentleyが負担した費用を相殺するための追加料金が適用される場合があります。
8. データ漏洩の管理および通知
Bentleyは、データ漏洩が発見された場合、不当な遅延なく契約者に通知するものとします。契約者への通知において、Bentleyは、可能な限り、契約者がデータ保護法および規制に定められた期間内に必要な通知を行ううえで十分な情報を契約者に提供するものとします。かかる情報には、(i)データ漏洩の性質と、影響を受けるデータ主体および個人データレコードのカテゴリおよび概数、(ii)結果を特定できる限りにおいて、データ漏洩によって想定される結果、(iii)データ漏洩に対応する、またはデータ漏洩を軽減するために講じられる対策が含まれますが、必ずしもこれらに限定されません。
9. 個人データの返却および削除
Bentleyは、契約者から受け取り、または契約者の代理として作成した個人データを、本契約に基づくサービスの実施に必要な期間、または適用法令に別途規定された期間についてのみ保持するものとします。Bentleyは、契約者から要請があった場合、適用法令で認められる限りにおいて、本契約の下で受領または作成したすべての個人データを返却または破棄することに同意します。
10. 責任の制限
本DPAから生じる、または本DPAに関連する契約者およびBentley(および両者の従業員、ディレクター、責任者、関連会社、後任者、譲受人)それぞれの累積責任には、契約、不法行為、またはその他の責任に関する理論のいずれかにかかわらず、本契約の「責任の制限」項が適用されます。また、かかる項での当事者の責任に対する言及は、本契約およびすべてのDPAに基づく、かかる当事者およびそのすべての関連会社の累積責任を意味します。
11. ヨーロッパ固有の規定
11.1. GDPR。Bentleyは、Bentleyのサービス規定に直接適用されるGDPRの要件に即して個人データを処理します。
11.2. データ保護影響評価。Bentleyは、GDPRで要求される範囲内において、本契約の下で実施する処理に関連して必要となる場合があるデータ保護影響評価および事前協議について、契約者に合理的な支援を提供するものとします。
11.3. 検査の通知。Bentleyは、本契約の下で提供されるサービスに関連する場合、データ保護法および規制の遵守に関する監督機関の検査または監査について契約者に通知することに同意します。Bentleyは、契約者からの要請に応じて、合理的な範囲で関連監督機関に協力するものとします。
11.4. データ移転の手続き。Bentleyは付属書類1に記載されている移転手続きを公開し、この手続きは、本DPAに基づき、欧州連合、欧州経済圏および/またはその加盟国、スイス、イギリスから、前述の領域でのデータ保護法および規制の意味において、個人データの移転がかかるデータ保護法および規制の対象となる範囲内で、十分なレベルのデータ保護が施行されていない国への個人データの移転に適用されるものとします。また、付属書類1には、そこで定められている移転手続きの適用に関する追加条件が含まれます。
12. 雑則
12.1. 法的効力。本DPAは、それぞれが原本とみなされる副本で履行される場合がありますが、それらすべてを合わせて1つの契約とみなされるものとします。FAX、メール、またはその他の(署名済みのPDFのコピーが添付された)電送手段によって提供された本DPAの署名済みのコピーは、本DPAの署名済みの原本が提供された場合と同じ法的効力を持つものとします。
12.2. 管轄区固有の条件。Bentleyが、本DPAの付属書類5(管轄区固有の条件)に記載されている管轄区のいずれかのデータ保護法および規制に起因する、またはデータ保護法および規制によって保護される個人データを処理する場合は、本DPAの条件に加えて、対象の管轄区について付属書類5で定められている条件が適用されます。
12.3. 抵触。本DPAの本文(EU Standard Contractual Clausesのもの以外の付属書類および付随書を含む)とEU Standard Contractual Clausesとの間で抵触または矛盾があった場合は、EU Standard Contractual Clausesが優先されるものとします。
付属書類のリスト
付属書類1: ヨーロッパでのデータ移転の移転手続きと追加条件 付属書類2: 個人データの処理および移転に関する詳細
付属書類3: SCCマトリクス
付属書類4: 管轄権を有する監督機関の関係者の連絡先の詳細および身元証明 付属書類5: 管轄区固有の条件
付属書類1 – ヨーロッパでのデータ移転の移転手続きおよび追加条件
本付属書類1は、Bentleyが提供するサービスを利用する際に欧州連合、欧州経済圏および/またはその加盟国、スイス、イギリスからBentley Systems, Incorporatedの連絡先へ契約者の個人データを移転する場合の移転手続きと(「ヨーロッパでのデータ移転」)、かかる移転手続きの対象範囲および適用に関する追加条件を定めています。
ヨーロッパでのデータ移転
本項は、Bentleyのサービスを利用する際に契約者の個人データをBentley Systems, Incorporatedへ移転する場合に適用されますが、かかる個人データの移転がGDPRの適用対象の場合に限ります。
1.1.EU Standard Contractual Clausesの適用
GDPRの適用対象の契約者の個人データがBentley Systems, Incorporatedに移転される場合、かかる移転は、EU Standard Contractual Clausesの適用対象になります。EU Standard Contractual Clausesは、契約者の個人データを輸出および輸入する主体に応じて適用される複数のモジュールで構成されています。
- 本DPAの契約当事者がBentley Systems International Limitedの場合は、Bentley Systems, Incorporatedへの契約者の個人データの移転において、EU Standard Contractual Clausesのモジュール3(処理者から処理者)が、「データエクスポーター」としてのBentley Systems International Limitedと、「データインポーター」としてのBentley Systems, Incorporatedとの間に適用されます。Bentleyは要請があった場合、Bentley Systems International LimitedとBentley Systems, Incorporatedとの間で取り交わされたEU Standard Contractual Clausesのコピーを契約者に提供します。
- 本DPAの契約当事者がBentley Systems, Incorporatedの場合は、Bentley Systems, Incorporatedへの契約者の個人データの移転において、EU Standard Contractual Clausesのモジュール2(管理者から処理者)が、「データエクスポーター」としての契約者と、「データインポーター」としてのBentley Systems, Incorporatedとの間に適用されます。この場合、契約者は、本付属書類1の1.2.項で定義されている履行プロセスに従う必要があります。
1.2. EU Standard Contractual Clausesのモジュール2の履行プロセス
本付属書類1の1.1項での定義に即してEU Standard Contractual Clausesのモジュール2が適用される場合は、契約者は以下の履行プロセスに従う必要があります。
付属書類3には、EU Standard Contractual Clausesのモジュール2に記載されているオプションのうちどれが適用されるか、およびEU Standard Contractual Clausesの付随書で要求されている個人データの移転に関する情報がDPAのどこにあるかを示したマトリクス(SCCマトリクス)が含まれています。
1.3.補完的措置
Bentleyは、Bentley Systems, Incorporatedに移転される契約者の個人データに関するGDPR第44条以降に従って、適切なレベルの保護を確保するために、以下の補完的措置を講じます。ただし、Bentleyが適用される法律の下でかかる補完的措置に従うことが禁じられていない場合に限ります。
- Bentleyは、公的機関から契約者の個人データへのアクセス要求があった場合は、不当な遅延なく契約者に通知するものとします。適用される法律により、Bentleyが契約者に通知することが禁止される状況になった場合は、Bentleyは不当な遅延なしに、アクセスを要求した国への個人データの移転を停止し、その必要があったことを契約者に通知するものとします。当事者は、かかる状況に対処する方法についての議論に入るものとします。
- Bentleyは公的機関からのデータへのアクセス要求に対して、不当な遅延なしに利用可能なあらゆる法的手段を講じ、裁判所の法的拘束力のある最終的な判断による開示命令が下されるまで、個人データを開示しないものとします。
- Bentleyは、公的機関によるデータへのアクセス要求によって契約者の個人データが影響を受ける際に、契約者がデータ主体に通知することを決定した場合、合理的な範囲で情報を提供することにより、契約者を支援するものとします。
- Bentleyは、公的機関からの個人データへのアクセス要求に関する情報を集約した透明性レポートを契約者に定期的に提供します。このレポートには、データ要求の件数、データ要求の種類、要求した公的機関、かかる公的機関にBentleyがどの程度個人データを開示したかについての情報が含まれます。
- Bentleyは、EU Standard Contractual Clausesに基づく義務を遵守できない原因となる可能性のある法律またはポリシーの策定を常に監視し、かかる変更および策定について、不当な遅延なく契約者に通知するものとします。
- Bentleyは、Bentleyのシステムおよび/または当該システムに保存されている契約者の個人データにアクセスするために利用される可能性があるバックドアまたは同様のプログラミングを意図的に作成しないことをここに確約します。
補完的な安全対策関連の詳細情報については、要請により参照できます。
付属書類2 – 個人データの処理および移転の詳細
本付属書類2では、DPAの2.5項に即して個人データの処理および移転に関する情報を定めています。
当事者の処理の活動および役割の説明
契約者によるBentleyのサービスの利用には、Bentleyによる契約者の代理での個人データの処理が伴います。契約者が所有する個人データの処理は、Bentleyが処理者として実行し、その際に契約者は管理者となります。
Bentleyによる契約者の個人データの処理には、BentleyがBentleyのシステムを介して契約者に提供するサービスを提供、維持、更新するために必要な収集、移転、保管、およびその他の処理活動が伴います。Bentleyが提供するサービスの利用時にBentleyのシステムで処理される個人データは、Bentley Systems, Incorporatedが管理する米国のサーバーに移転および保管されます。
処理の性質と目的
Bentleyは、本契約、文書の記載内容、およびサービス利用時の契約者の指示に従い、サービスを実行するために、必要に応じて個人データを処理します。
処理の期間
DPAの9項に従い、Bentleyは書面での別段の合意がない限り、本契約期間にわたって個人データを処理します。
データ主体のカテゴリ
契約者は、サービスに個人データを送信する場合があり、その程度は契約者が独自の裁量で判断および管理します。かかるデータには、データ主体の以下のカテゴリに関連する個人データが含まれますが、これに限定されません。
- 契約者のビジネスパートナーおよびベンダー(自然人)
- 契約者の従業員、代理人、アドバイザー、フリーランサー(自然人)
- 契約者によってサービスの利用を承認された契約者のユーザー(自然人)
個人データのカテゴリ
契約者は、サービスに個人データを送信する場合があり、その程度は契約者が独自の裁量で判断および管理します。かかるデータには、以下のカテゴリの個人データが含まれますが、これに限定されません。
- ローカリゼーションデータ、契約者のIDデータ
- 氏名
- 連絡先情報(会社名、メールアドレス、電話番号、事業所の住所)
- 契約者がBentleyのクラウド環境に保管する個人データ
- 本契約に関連してサービスにアップロードされた契約者の個人データ
特殊なカテゴリのデータ(該当する場合)
該当しません。
移転の頻度
サブスクリプション期間における契約者によるBentleyのサービスの利用には、継続的な個人データの移転が伴います。
保持期間
Bentleyは、契約者のサブスクリプション期間中は契約者の個人データを保持します。契約者のサブスクリプション期間が終了した場合、Bentleyは、本DPAで定められている規定に従って契約者の個人データの移転および処理を停止し、かかる個人データを返却または削除します。
処理者(サブプロセッサを含む)への移転
Bentleyは、契約者にサービスを提供する際に、特定の処理者(サブプロセッサを含む)を利用します。そのために、かかる処理者(サブプロセッサを含む)も契約者の個人データを処理する場合があります。かかる処理者(サブプロセッサを含む)の機能と、かかる処理者(サブプロセッサを含む)によって実行される処理の対象、性質および期間の詳細については、BentleyのTrust Centerで確認できます。
技術的および組織的対策
Bentleyは、BentleyのTrust Centerの記載に即したサービス提供のコンテキストの中で処理される個人データ、またはBentleyが合理的に利用可能にする個人データのセキュリティ、機密性および完全性を保護するため、管理面、物理面および技術面の対策を保持します。
付属書類3 – SCCマトリクス
本付属書類3は、Bentley Systems, Incorporatedが本DPAの契約当事者の場合のみ適用され、EU Standard Contractual Clausesのモジュール2は、付属書類1の1.1項での定義に即して、契約者とBentley Systems, Incorporatedとの間に適用されます。付属書類3は、Bentley Systems International Limitedが本DPAの契約当事者の場合は適用されません。
本付属書類3には、選択可能なオプションと、EU Standard Contractual Clausesに基づいて要求される第三国移転に関する必須情報が記載されています。
EU Standard Contractual Clausesのモジュール2 (管理者から処理者) | 詳細 |
第7条(ドッキング条項): 利用可能なオプションの選択 | ここでデータ輸出者およびデータ輸入者は、データ輸出者およびデータ輸入者の明示的な確認がある場合にのみ、EU Standard Contractual ClauseのI項第7条(「ドッキング条項」)に従って、EU Standard Contractual Clausesの当事者ではない主体がデータ輸出者またはデータ輸入者として、かかる条項に従うことに同意するものとします。当該の確認は、書面で行われる必要があります。 |
第9条(a)(サブプロセッサの利用): 利用可能なオプションの選択 | ここでデータ輸出者およびデータ輸入者は、EU Standard Contractual ClausesのII項第9.a条のオプション2が適用されることに同意します(サブプロセッサの関与に対する全般的な承認)。この目的に応じてDPAの5項が適用されます。 |
第11条(救済措置): 利用可能なオプションの選択 | ここでデータ輸出者およびデータ輸入者は、SCCのII項第11条で定められている救済措置のオプションが適用されないことに同意します。 |
第13条(監督)、付属書I.C.: 管轄権を有する監督機関の決定 | 付属書類4の情報を参照してください。 |
第17条(準拠法): 利用可能なオプションの選択 | ここでデータ輸出者およびデータ輸入者は、EU Standard Contractual ClausesのIII項第17条のオプション1の規定が適用されることと、EU Standard Contractual Clausesがアイルランドの法律に従うことに同意します。 |
第18条(裁判所および管轄区の選択): 利用可能なオプションの選択 | ここでデータ輸出者およびデータ輸入者は、EU Standard Contractual ClausesのIII項第18条に従い、EU Standard Contractual Clausesに起因する紛争は、アイルランドのダブリンの裁判所に持ち込まれることに同意します。 |
付属書I.A.: データ輸出者の名前、住所、移転されるデータに関連する役割および活動、連絡先担当者の名前、役職および連絡先の詳細に関する情報 | 付属書類2および付属書類4の情報を参照してください |
付属書I.A.: データ輸出者の署名および日付 | 本契約に署名することで、付属書類1の1.2.項に記載があるとおり、EU Standard Contractual Clausesおよびその付属書類に署名したとみなされるものとします。 |
付属書I.A.: データ輸入者の名前、住所、移転されるデータに関連する役割および活動、連絡先担当者の名前、役職および連絡先の詳細に関する情報 | 付属書類2および付属書類4の情報を参照してください |
付属書I.A.: データ輸入者の署名および日付 | 本契約に署名することで、付属書類1の1.2.項に記載があるとおり、EU Standard Contractual Clausesおよびその付属書類に署名したとみなされるものとします。 |
付属書I.B.: 個人データが移転されるデータ主体のカテゴリ | 付属書類2の情報を参照してください。 |
付属書I.B.: 移転される個人データのカテゴリ | 付属書類2の情報を参照してください。 |
付属書I.B.: 移転される機密データ(該当する場合)および適用される制限または安全対策 | 付属書類2の情報を参照してください。 |
付属書I.B.: 移転の頻度 | 付属書類2の情報を参照してください。 |
付属書I.B.: 処理の性質 | 付属書類2の情報を参照してください。 |
付属書I.B.: データ移転と追加処理の目的 | 付属書類2の情報を参照してください。 |
付属書I.B.: 個人データが保持される期間、またはそれが不可能な場合に、保持期間を決めるための条件 | 付属書類3の情報を参照してください。 |
付属書I.B.: 処理者(サブプロセッサ)への移転について: 処理の対象、性質、期間 | 付属書類2の情報を参照してください。 |
付属書I.C.: 第13条に基づく管轄権を有する監督機関の身元証明 | 付属書類4の情報を参照してください。 |
付属書II: 技術的および組織的対策 | 付属書類2の情報を参照してください。 |
付属書III: 名前、住所、窓口担当者の名前、役職、連絡先の詳細、処理の説明などのサブプロセッサに関する情報 | EU Standard Contractual Clauseの第9.a条のオプション2は、本付属書類3での定めに従って適用されるため、必須ではありません。 |
付属書類4 – 管轄権を有する監督機関の関係者の連絡先の詳細および身元証明
本付属書類4は、Bentley Systems, Incorporatedが本DPAの契約当事者の場合のみ適用され、EU Standard Contractual Clausesのモジュール2は、付属書類1の1.1項での定義に即して、契約者とBentley Systems, Incorporatedとの間に適用されます。付属書類4は、Bentley Systems International Limitedが本DPAの契約当事者の場合は適用されません。
本付属書類4は、EU Standard Contractual Clausesの付属書Iで要求されるデータ輸出者およびデータ輸入者の連絡先の詳細を、本DPAおよびその他の付属書類1から3で規定されていない範囲において定め、EU Standard Contractual Clauses第13条に従って管轄権を有する監督機関の身元証明を定めています。
Bentley Systems, Incorporatedの連絡先
データ保護責任者:[email protected]
契約者の窓口担当者および/またはデータ保護責任者(該当する場合)
名前: 本契約の記載に従います
地位、役職: 本契約の記載に従います
連絡先の詳細: 本契約の記載に従います
契約者のEU域内の代表者(該当する場合)
名前: 本契約の記載に従います
連絡先の詳細: 本契約の記載に従います
第13条に基づく管轄権を有する監督機関の身元証明
名前: 本契約での詳細な定義に即して、データ輸出が確認された管轄区で管轄権を有する監督機関
付属書類5 – 管轄区固有の規約
オーストラリア:
- 「データ保護法および規制」の定義には、Australian Privacy PrinciplesおよびAustralian Privacy Act(1988)も含まれます。
- 「個人データ」の定義には、データ保護法および規制で定義される「個人情報」も含まれます。
ブラジル:
- 「データ保護法および規制」の定義には、Lei Geral de Proteção de Dados(「LGPD」)も含まれます。
- 「処理者」の定義には、LGPDで定義される「事業者」も含まれます。
カナダ:
- 「データ保護法および規制」の定義には、Federal Personal Information Protection and Electronic Documents Act(「PIPEDA」)も含まれます。
- 本DPAの第5条(サブプロセッサ)に記載されているBentleyのサブプロセッサは、PIPEDAに基づき、本DPAと実質的に類似する規約を含む書面での契約をBentleyと締結した第三者を指します。Bentleyはサブプロセッサに対し、適切なデューデリジェンスを実施しています。
イスラエル:
- 「データ保護法および規制」の定義には、Protection of Privacy Law(「PPL」)も含まれます。
- 「管理者」の定義には、PPLで定義される「データベース所有者」も含まれます。
- 「処理者」の定義には、PPLで定義される「所持者」も含まれます。
日本:
- 「データ保護法および規制」の定義には、個人情報の保護に関する法律(「APPI」)も含まれます。
- 「個人データ」の定義には、APPIで定義される「個人情報」も含まれます。
- 「管理者」の定義には、APPIで定義される「事業者」も含まれます。Bentleyは事業者として、所有する個人データを処理する責任を負います。
- 「処理者」の定義には、APPIに定められている、事業者から個人データの処理の全部または一部を委託された事業者(以下「受託者」)も含まれます。Bentleyは受託者として、委託された個人データの使用を安全に管理することを徹底します。
メキシコ:
- 「データ保護法および規制」の定義には、Federal Law for the Protection of Personal Data Held by Private Partiesおよびその規制(「FLPPIPPE」)も含まれます。
シンガポール:
- 「データ保護法および規制」の定義には、Personal Data Protection Act 2012(「PDPA」)も含まれます。Bentleyは、本DPAの第6条(セキュリティ)に定められている適切な技術的および組織的対策を実施し、本契約の規約を遵守することで、PDPAに準拠した保護基準に従って個人データを処理します。
スイス:
- 「データ保護法および規制」の定義には、Swiss Federal Act on Data Protectionも含まれます。
- Bentleyは、本DPAの第5条(サブプロセッサ)に基づいてサブプロセッサを雇用する場合、(a)任命したサブプロセッサに対し、GDPR第28条(3)で言及されている同じデータ保護義務(特に、GDPRの要件を満たす処理方法で、適切な技術的および組織的対策の実施を十分に保証すること)を含めるなど、データ保護法および規制で要求される基準に従って契約者のデータを保護することを義務付け、(b)任命されたサブプロセッサに対し、(i)欧州連合が「適切な」レベルの保護を有すると宣言した国でのみ個人データを処理することに書面で同意すること、または(ii)EU Standard Contractual Clausesと同等の規約、または管轄権を有する欧州連合データ保護当局によって付与されるBinding Corporate Rulesの承認に即す形でのみ個人データを処理することを義務付けます。
イギリス(UK):
- 本DPAにおけるGDPRへの言及は、その範囲においてイギリスの対応する法律(イギリスのGDPRおよびData Protection Act 2018を含む)への言及とみなされます。
- Bentleyは、本DPAの第5条(サブプロセッサ)に基づいてサブプロセッサを雇用する場合、(a)任命したサブプロセッサに対し、GDPR第28条(3)で言及されている同じデータ保護義務(特に、GDPRの要件を満たす処理方法で、適切な技術的および組織的対策の実施を十分に保証すること)を含めるなど、データ保護法および規制で要求される基準に従って契約者のデータを保護することを義務付け、(b)任命されたサブプロセッサに対し、(i)イギリスが「適切な」レベルの保護を有すると宣言した国でのみ個人データを処理することに書面で同意すること、または(ii)EU Standard Contractual Clausesと同等の規約、または管轄権を有するイギリスのデータ保護当局によって付与されるBinding Corporate Rulesの承認に即す形でのみ個人データを処理することを義務付けます。
- 本DPAまたは本契約にこれと異なる規定がある場合でも(いずれかの当事者の補償義務を含みますが、これに限定されません)、いずれの当事者も、他方当事者によるイギリスのGDPRの違反に関連して、規制当局または政府機関がイギリスのGDPR第83条に基づいてかかる他方当事者に対して発行する、または課すイギリスのGDPRの罰金については、責任を負いません。