発効日
2019年3月18日

改訂以前のデータ処理付帯条項についてはこちらをクリックしてください。

「お客様(顧客)」と弊社(以下「Freshworks」と称す)間での契約締結のため、十分に注意してデータ処理付帯条項(以下「DPA」と称す)をお読みください。Freshworksのサービス利用規約(以下「利用規約」と称す)はこちらhttps://www.freshworks.com/terms/からご覧いただけますが、本DPAにおいて、FreshworksならびにFreshworksグループ企業は個人データの処理者に該当します。本書の定義条項に記載されていなくても下線付きで表されている文言は、利用規約で定義されている意味と同様のものとします。本DPAと利用規約との間で矛盾が生じた場合には、本DPAが優先されるものとします。

1. データ保護

1.1 定義:本DPAにおいて、以下の文言は次の通り、意味するものとします:

a) 「管理者」、「処理者」、「データ主体」、「個人データ」、「処理」、「特別カテゴリーの個人データ」とは、適用データ保護法に記載される意味を有するものとします。

b) 「適用データ保護法」とは、欧州連合(EU)一般データ保護規則(GDPR)(規則2016/679)ならびにその他適用データ保護法令を意味します。

1.2 当事者間の関係:お客様(管理者)は、サービスデータ(以下「データ」と称す)の一部である個人データを、利用規約に記載された目的(もしくはその他、両当事者間で書面にて合意された目的)(以下「許可された目的」と称す)のために処理する処理者として、Freshworksを任命します。各当事者は、適用データ保護法に基づき、それぞれ当事者に適用される義務に従うものとします。

1.3 禁止データ:お客様は、いかなる特別カテゴリーの個人データをも、Freshworksに処理のために開示してはならず、いかなるデータ主体が開示することについても許可してはなりません。

1.4 EU域外へのデータ移転処理者のグループ企業、欧州連合構成国もしくは欧州経済領域協定の加盟国(以下「EEA加盟国」と称す)以外の第三国もしくは国際組織への個人データの移転が行われる場合、以下が適用されます。ただし、両当事者により書面にて明示的に合意のある場合は、この限りではありません:

a) 本DPAの付属書類2に記載の標準契約条項は、お客様標準契約条項の規定の適用については、「データ輸出者」とみなされる)から得られ、Freshworks(標準契約条項の規定の適用については、「データ輸入者」とみなされる)もしくは欧州経済領域外にある弊社の協力会社(復処理者)が処理する個人データに適用されます。標準契約条項と本DPAとの間で矛盾が生じた場合には、標準契約条項が優先されるものとします。

b) お客様からの要請に応じて、GDPR第46条(2)c)もしくはd)に従って承認された第三国のデータ処理者に移転する場合には、標準契約条項は取り替えられければならず、両当事者は、新しく標準契約条項を実行するものとします。

c) 個人データの移転先となる国が、GDPR第45条(3)もしくは指令95/46/EC第25条(6)によって十分性認定がなされている場合には、標準契約条項は必要とされません。この十分性認定が廃止もしくは一時的に保留された場合には、a)ならびにb)が自動的に適用されるものとします。本項c)は、プライバシー・シールド・フレームワークに基づいて認定を受けたデータ取得者に対する個人データの移転に適用されるものとします。

1.5 データ処理の機密性:Freshworksは、Freshworksがデータ処理を承認した者(以下「権限が与えられた者」と称す)が、利用規約に基づき、Freshworksの守秘義務に従ってデータを保護することを保証するものとします。

1.6  安全性:処理者は、データを(i)偶発的もしくは不正な破壊、ならびに(ii)損失、改ざん、不当開示、不正アクセス(以下「セキュリティインシデント」と称す)から保護するための技術上ならびに組織上の措置を講じるものとします。

1.7 業務委託:お客様は、以下の条件で、Freshworksが第三者の復処理者に許可された目的のためにデータを処理させることに同意するものとします:(i)Freshworksが復処理者リストの最新版をhttps://freshworks.com/privacy/sub-processor/において維持すること、復処理者に変更がある場合には、変更を実施する前にその詳細と共に更新すること、(ii)Freshworksが、委託するすべての復処理者に対し、適用データ保護法で定められる基準に従って、データを保護しなければならないとするデータ保護条件を課すこと、(iii)Freshworksが、復処理者の行為、過失、もしくは不作為の結果生じる本項の違反に対し、法的責任を負うこと。お客様は、Freshworksが行う復処理者の任命もしくは交代につき、その任命もしくは交代前に異議を唱えることができます。ただし、異議を唱える場合には、データ保護上の合理的根拠がなければなりません。その場合には、Freshworksは、復処理者を任命もしくは交代させない、またはそうすることが可能でない場合には、お客様は、利用を一時的に中断、もしくは終了することができます(一時中断もしくは終了前にお客様に発生する費用は変わりません)。

1.8 協力ならびにデータ主体の権利:Freshworksは、お客様が以下に対応できるよう、(お客様の経費負担によって)合理的かつ時宜にかなった支援を実施するものとします:(i)適用データ保護法に基づいて権利を行使するデータ主体からの要請(データへのアクセス、訂正、データに異議を唱える、データを消去、可能な場合には可搬する権利を含む)、(ii)データ主体、規制機関、もしくはデータ処理に関連する第三者からの問い合わせ、苦情など。このような要請、問い合わせ、もしくは苦情などがFreshworksに直接行われた場合には、Freshworksは、その詳細を速やかにお客様に通知するものとします。

1.9 データ保護影響評価:Freshworksが実施するデータ処理が、データ主体のデータ保護権ならびに自由に対して高いリスクをもたらすことが予想される場合、お客様に通知し、適用データ保護法に基づいて、必要となる可能性のあるデータ保護影響評価に関して、お客様に(お客様の経費負担によって)合理的な協力を提供するものとします。

1.10 セキュリティインシデントセキュリティインシデントが確認された場合、Freshworksは、不当な遅滞なくお客様に通知し、お客様適用データ保護法に基づき定められている可能性のあるデータ侵害報告義務を(かつ、報告期間内に従って)履行できるよう、合理的な情報ならびに協力を提供するものとします。Freshworksは、当該セキュリティインシデントの影響を改善もしくは緩和すべく、さらに合理的に必要な措置を講じ、セキュリティインシデントに関する実質的な経過について、常にお客様に情報を提供するものとします。

1.11 データの削除お客様は、アカウントを停止させる前に、すべてのサービスデータをエクスポートすることができます。いずれの場合においても、いずれかの当事者によりお客様のアカウントが停止となった場合には、(ii)、(iii)ならびにサービス提供契約に従い、アカウント停止から14日間の間に、お客様プロバイダに連絡してサービスデータをエクスポートし、サービスデータを保持することができます;(ii)管理者がカスタムメールボックスを使用せず、電子メール機能を使用している場合。サービスで利用可能な場合には、サービスデータの一部となる電子メールが自動的に3ヶ月間アーカイブされます。(iii)ログ管理システムに三十(30)日間、ログがアーカイブされ、その後はどのログが十一(11)ヶ月間、機密のコールドストレージにアーカイブされます(期間を「データ保持期間」と称す)。それぞれのデータ保持期間を過ぎると、処理者が法的義務を遵守するため、正確な財政ならびにその他の記録を保持するため、紛争を解決するため、および、合意を実行するために必要な場合を除き、処理者は通常、サービスデータをすべて削除するものとします。削除した後に、サービスデータを回復させることはできません。

1.12 監査お客様は、Freshworksが定期的にISO 27001ならびにSSAE 18 SOC 2基準に照合して、独立した第三者機関による監査を受けていることを認識するものとします。要請に応じて、Freshworksは、お客様に監査報告書の概要コピーを提供するものとします。当該報告書の扱いについては、利用規約の機密保持規定に従うものとします。

 

付属書類1
処理詳細
データ主体

データ主体とは、個人データが関連づけられる個人であり、サービスを利用するユーザーもしくはエンドユーザーを示します。

データカテゴリー

データカテゴリーは、ユーザーならびにエンドユーザーの個人情報を示し、電子データ、文章、メッセージもしくはその他資料に含まれ、お客様によって、サービスの利用に関連しているお客様のアカウントを通じてサービスに提供されます。

処理の内容ならびに性質

処理される個人データは、Freshworksによるサービスの規定に必要とされている、個人データの処理を含む基本処理作業の対象となります。個人データは、利用規約ならびにDPAに規定されている処理作業の対象となります。

処理目的

個人データは、サービスを利用する上でお客様の指示に従って、または利用規約、本DPA、ならびに該当するフォームで同意された通り、フォームに記載されているサービスを提供することを目的として処理されます。

処理期間

個人データは、契約期間の間、処理されます。

 

付属書類2
EU標準契約条項(処理者)

指令95/46/EC第26条(2)に規定されている十分な保護水準のデータ保護が確保されていない第三国の処理者に個人データを移転することを目的として、

DPAにおいて「お客様」と称される組織

(「データ輸出者」と称す)

Freshworks社

2950 S. Delaware Street, Suite 201, San Mateo, CA 94403

(「データ輸入者」と称す)は、

それぞれを「当事者」、共に「両当事者」とし、

付録1に定める個人データをデータ輸出者がデータ輸入者に移転するにあたり、個人のプライバシーおよび基本的権利ならびに自由の保護に関して、十分な予防措置を提示するため、以下の契約条項に合意しました。

第1項

定義

本項の目的:

(a) 「個人データ」、「特別カテゴリーのデータ」、「処理」、「管理者」、「処理者」、「データ主体」ならびに「監督機関」とは、個人データの処理に関する個人の保護およびそのデータの自由な移動に関する1995年10月24日の欧州議会および理事会の95/46/EC指令と同じ意味を持つものとします。

(b) 「データ輸出者」とは、個人データを移転する管理者を示します。

(c)「データ輸入者」とは、データ移転後に、データ輸出者に代わって、指示ならびに本条項の条件に従って処理することを目的として、データ輸出者から個人データを取得することに同意し、かつ、指令95/46/EC第25条(1)の意義において十分なデータ保護を確保し、第三国のシステムの対象とはならない処理者を示します。

(d)「復処理者」とは、データ移転後に、データ輸出者の指示、本条項条件、並びに書面による業務委託契約書の条件に従って、データ輸出者に代わって処理作業することを目的として、データ輸入者もしくはデータ輸入者のその他復処理者から個人データを取得することに同意するデータ輸入者、またはデータ輸入者のその他復処理者により雇用される処理者を示します。

(e) 「適用データ保護法」とは、個人の基本的権利ならびに自由、特に、データ輸出者が拠点を置くEU加盟国(ならびにEEA加盟国)内のデータ管理者に適用される個人データを処理する上でのプライバシーの権利を保護する法律を示します。

(f)「技術上ならびに組織上の安全管理措置」とは、特に、処理にネットワーク上のデータ転送を伴う場合において、個人データの偶発的もしくは不正破壊、もしくは不慮の損失、改ざん、不当開示もしくはアクセス、またはその他不正な処理形態すべてから、個人データの保護を目的とする措置を示します。

第2項

データ移転詳細

データ、特に特別カテゴリーの個人データの移転詳細については、適用可能な場合には、本条項に不可欠な要素を構成する付録1に記載されています。

第3項

第三受益者のための条項

本項の目的は:

1. データ主体は、第三受益者として、データ輸出者に対し、本条項第4項(b)から(i)、第5項(a)から(e)、(g)から(j)、第6項(1)ならびに(2)、第7項、第8項(2)、および第9項から第12項を行使することができます。

2. データ主体は、データ輸出者が事実上消失、もしくは法律上存在しなくなった場合、データ輸入者に対し、本条項第5項(a)から(e)ならびに(g)、第6項、第7項、第8項(2)および第9項~第12項を行使することができます。ただし、承継者が、契約もしくは法律の運用によりデータ輸出者の法的義務すべてを負い、結果として、データ輸出者の権利並びに義務を引き受ける場合には、データ主体は、当該承継者に対し、上記条項を行使することができます。

3. データ主体は、データ輸出者ならびにデータ輸入者が事実上消失、もしくは法律上存在しなくなった場合、または支払不能となった場合、復処理者に対し、本条項第5項(a)から(e)ならびに(g)、第6項、第7項、第8項(2)および第9項~第12項を行使することができます。ただし、承継者が、契約もしくは法律の運用によりデータ輸出者の法的義務すべてを負い、結果として、データ輸出者の権利並びに義務を引き受ける場合には、データ主体は、当該承継者に対し、上記条項を行使することができます。復処理者の当該第三者責任は、本条項に基づいて復処理者が実施する処理業務に限られるものとします。

4. 両当事者は、データ主体が協会もしくはその他組織によって代表されることに対し、データ主体が明示的にこれを希望し、国内法により認められている場合、これに反対しません。

第4項

データ輸出者の義務

 

データ輸出者は、以下に同意し、保証します:

(a) 個人データの移転を含む処理は、引き続き、適用データ保護法の関連規定に従って実施(かつ、適用可能な場合には、データ輸出者が拠点を置く加盟国の関連当局に通知)され、加盟国の関連規定に違反しないこと。

(b) 個人データ処理サービスの期間中に、データ輸入者に移転された個人データのみを、データ輸出者に代わって、適用データ保護法ならびに本条項に従って処理するよう、引き続き指示すること。

(c) データ輸入者が、本条項の付録2に規定の技術上ならびに組織上の安全管理措置を十分に保証すること。

(d) 適用データ保護法の要件を評価した後、特に処理においてネットワーク上のデータ転送を伴う場合、個人データの偶発的もしくは不正破壊、もしくは不慮の損失、改ざん、不当開示もしくはアクセス、またはその他不正な処理形態すべてから保護するために、安全管理措置が適切であり、当該措置が、処理により生じるリスクに対して、かつ、技術の状態ならびに実装コストを考慮して、保護すべきデータの性質について適切なレベルの安全性を確保していること。

(e) 安全管理措置の遵守を確保すること。

(f) 特別カテゴリーのデータ移転を伴う場合、指令95/46/ECの意義において、十分な保護を提供していない第三国に当該データが移転される場合には、その移転前、もしくは移転後可及的速やかに、データ主体に通知すること。

(g) データ輸出者が移転を続ける、もしくは一時中断を解除することを決断した場合、本条項第5項(b)ならびに第8項(3)に従って、データ輸入者もしくは復処理者から受領した通知をデータ保護監督機関に送付すること。

(h) 要請に応じて、付録2を除いた本条項のコピー、安全管理措置の概要および、本条項に従って行われている復処理サービスの契約のコピーをデータ主体に提供すること。ただし、本条項もしくは当該契約に商業的情報が含まれている場合には、該当部分を削除して提供されるものとします。

(i) 復処理が実行される場合、処理作業は、本条項第11項に従って、本条項に基づき、データ輸入者と同程度以上の個人データならびにデータ主体の権利の保護を行う復処理者によって実施されること。

(j) 本条項第4項(a)から(i)への遵守を確保すること。

第5項

データ輸入者の義務

データ輸入者は、以下に同意し、保証します:

(a) データ輸出者に代わって、データ輸出者の指示ならびに本条項に従って、個人データのみを処理すること。いかなる理由によっても、当該遵守できない場合には、データ輸出者に対し、遵守不能である旨を速やかに通知することに同意すること。その場合、データ輸出者は、データ移転を一時中断、もしくは契約を終了する権利を有します。

(b) 適用法令によって、データ輸出者から得られた指示もしくは契約に基づく義務の遂行が妨げられるという根拠が何もない場合、また、本条項に規定の保証ならびに義務において、本法令への変更が実質的な悪影響を及ぼす可能性が高い場合には、データ輸出者に対し、速やかに変更を通知すること。その場合には、データ輸出者は、データ移転を一時中断ならびに契約を終了する権利を有します。

(c) 移転された個人データを処理する前に、付録2に規定の技術上ならびに組織上の安全管理措置を実施すること。

(d) 以下について、データ輸出者に速やかに通知すること。

(i) 警察当局による法的拘束力のある個人データの開示要請。ただし、警察当局の捜査の機密を保持するための刑法上の禁止事項など、別段禁止されている場合を除きます。

(ii) 偶発的もしくは不正アクセス

(iii) データ主体から直接受け取った要請(未対応の状態で)。ただし、対応するよう別途認められている場合を除きます。

(e) 移転されたデータの処理に関する監督機関の助言に従い、移転される個人データの処理に関するデータ輸出者からのすべての問い合わせに対し、速やかかつ適切に対処すること。

(f) データ輸出者の要請に応じて、適用可能な場合には、監督機関に従って、守秘義務によって求められる専門資格を有し、データ輸出者により選定された、独立したメンバーにより構成される検査機関、もしくはデータ輸出者が実施する、本条項に規定の処理作業の監査のために処理設備を提出すること。

(g) 要請に応じて、データ主体に対し、本条項もしくは復処理の現行契約のコピーを提供すること。ただし、本条項もしくは契約に商業的情報が含まれる場合は、該当部分を削除して付録2を除いた上で、データ主体が、データ輸出者からコピーを得られない場合には、安全管理措置の概要を提供すること。

(h) 復処理の場合には、データ輸出者にあらかじめ通知し、事前に書面にて同意書を得ること。

(i) 復処理者による処理サービスを第11項に従って実施すること。

(j) 本条項に基づき、データ輸出者に対し、速やかに復処理契約書のコピーを送付すること。

第6項

法的責任

1. 両当事者は、いずれか当事者もしくは復処理者による第3項もしくは第11項に定められる義務に違反した結果、損害を被ったデータ主体が、データ輸出者から損害に対して賠償金を受領する権利を有することに同意します。

2. データ輸出者が事実上消失もしくは法律上存在しなくなった、または支払不能となったなどを理由として、データ主体が第1節に従って、データ輸出者に対し、データ輸入者もしくはその復処理者が、第3項もしくは第11項に定める義務の履行違反によって生じる賠償を請求することができない場合、データ輸入者は、データ主体が、データ輸入者をデータ輸出者とみなして、申立てを行うことに同意します。ただし、承継者が、契約もしくは法律の運用によりデータ輸出者の法的義務すべてを負う場合は、データ主体は、当該承継者に対して、権利を行使することができます。データ輸入者は、その法的責任を逃れるために、復処理者による義務違反とすることはできません。

3. データ輸出者ならびにデータ輸入者が事実上消失、もしくは法律上存在しなくなった、または支払不能となったなどを理由として、復処理者による第3項もしくは第11項に定める義務の履行違反について、データ主体が、第1節ならびに第2節に従って、データ輸出者もしくはデータ輸入者に対して申立てを行うことができない場合、復処理者は、データ主体が、復処理者をデータ輸出者もしくはデータ輸入者とみなして、本条項に基づき処理業務に関して、データ復処理者に対して申立てを行うことに同意します。ただし、承継者が、契約もしくは法律の運用により、データ輸出者もしくはデータ輸入者の法的義務すべてを負う場合、データ主体は、当該承継者に対して、権利を行使することができます。復処理者の法的責任は、本条項に基づいて、復処理者が実施する処理業務に限られるものとします。

第7項

仲裁ならびに管轄

1. データ輸入者は、データ主体が、第三受益者の権利に対して権利を行使する、または本条項に基づき損害賠償を請求する場合、データ主体が行う以下の決定に従うことに同意します。

(a) 紛争については、独立した人、もしくは適用可能な場合、監督機関による仲裁に付すこと。

(b) 紛争については、データ輸出者が拠点を置くEU加盟国の裁判所に付すこと。

2. 両当事者は、データ主体が行う選択について、国内外の法律の規定に従って、法的救済を求める実質的もしくは訴訟上の権利を損なわないということに同意します。

第8項

監督機関との協力

1. データ輸出者は、要請があった場合、もしくは適用データ保護法に基づき、本契約書のコピーを監督機関に引き渡さなければならない場合、これに同意します。

2. 両当事者は、監督機関が、データ輸入者ならびに復処理者について、適用データ保護法に基づき、データ輸出者の監査に適用される範囲ならびに条件と同様の監査を実施する権利を有することに同意します。

3. データ輸入者は、適用される法律の存在について、もしくはデータ輸入者の監査実施の妨げとなる復処理者について、または復処理者について、第2節に従いデータ輸出者に速やかに通知するものとします。このような場合には、データ輸出者は、第5項(b)で予測される措置を講じる権利を有するものとします。

第9項

準拠法

本条項は、データ輸出者が拠点を置くEU加盟国の法に準拠するものとします。

第10項

契約の逸脱

両当事者は、本条項を変更もしくは修正しないことに同意します。これは、両当事者が業務に関連した問題について、必要に応じて、節を追加することを妨げるものではありません。ただし、本条項と矛盾しないものに限ります。

第11項

復処理

1. データ輸入者は、データ輸出者から事前に書面にて同意を得ることなく、本条項に基づいてデータ輸出者に代わって行う処理業務について、業務委託を行ってはなりません。データ輸入者が、データ輸出者からの同意を得た上で、本条項に基づいて義務を業務委託する場合、本条項に基づいて、データ輸入者に課される義務と同じ義務が復処理者に課されることを記載した書面による契約書を復処理者と交わすことによって行されるものとします。復処理者が、当該契約書に基づくデータ保護義務を履行できない場合には、データ輸入者は、当該契約書に基づく復処理者の義務の履行について、データ輸出者に対して完全に責任を負うものとします。

2. データ輸入者ならびに復処理者間であらかじめ締結された書面による契約には、第3項に規定通り、データ輸出者もしくはデータ輸入者が、事実上消失もしくは法律上存在しなくなった、または支払不能となった、かつ、契約もしくは法律の運用により、データ輸出者もしくはデータ輸入者の法的義務すべてを負う承継者がいないために、データ主体が、データ輸出者もしくはデータ輸入者に対し、第6項第1節に記載の損害賠償を請求する申立てを行うことができない場合に備えて、第三受益者条項を含むものとします。復処理者の当該第三者責任は、本条項に基づいて復処理者が実施する処理業務に限られるものとします。

3. 第1節の復処理におけるデータ保護に関する契約の規定は、データ輸出者が拠点を置くEU加盟国の法に準拠するものとします。

4. データ輸出者は、本条項に基づいて締結し、本条項第5項(j)に従って、データ輸入者によって通知された復処理契約の一覧を保管するものとします。また、1年に1度以上最新状態に更新されるものとします。当該リストはデータ輸出者のデータ保護監督機関が閲覧できるようにしておくものとします。

第12項

個人データ処理サービス終了後の義務

1. 両当事者は、データ処理サービス規定の終了に際して、データ輸入者ならびに復処理者は、データ輸出者の選択により、移転した個人データならびにそのコピーの一切をデータ輸出者に返却すること、または個人データの一切を破壊した上で、データ輸出者に対し、その旨を証明することに同意します。ただし、データ輸入者に課された法令によって、移転した個人データの全部または一部を返却もしくは破壊が妨げられる場合を除きます。こうした場合、データ輸入者は、移転した個人データの機密性を保証し、これ以降、移転した個人データの処理を積極的に行いません。

2. データ輸入者ならびに復処理者は、データ輸出者または監督機関の要請に応じて、第1節に記載の安全措置について監査を行うために、データ処理設備について提出することを保証します。

標準契約条項の付録1

本付録は本条項の一部を形成し、両当事者がこれに署名することで完成するものとします。EU加盟国は、国内の法的手続きに従って、本付録に記載されるべき必要な情報を特定もしくは追加して完成されます。

データ輸出者

データ輸出者は、DPAにおいて「お客様」と称される組織です。

データ輸入者

データ輸入者は、DPAにおいて「Freshworks」と称される組織です。

データ主体

本条項が添付されたDPA付属書類1に記載のデータ主体。

データカテゴリー

本条項が添付されたDPA付属書類1に記載のデータカテゴリー。

特別カテゴリーのデータ(該当する場合)

両当事者は、特別カテゴリーのデータの移転を見込んでいません。

処理業務

移転した個人データは、本条項が添付されたDPA付属書類1に記載の基本処理作業の対象となります。

標準契約条項の付録2

本付録は本条項の一部を形成し、両当事者がこれに署名することで完成するものとします。

本条項第4(d)ならびに第5(c)(もしくは添付書類/法令)に従って、データ輸入者により実施される技術上ならびに組織上の安全管理措置の詳細:

データ輸入者により実施される技術上ならびに組織上の安全管理措置については、https://www.freshworks.com/security/に記載されている通りです。