法的
データ処理契約(DPA)
GDPR第28条に従ったデータ処理契約(Auftragsverarbeitung)のテンプレート。あなたの状況に応じて当事者および附属書をカスタマイズしてください。
1. 主題と期間
この契約は、主契約において合意されたサービスの提供に関連して、管理者の代理としての処理者による個人データの処理を規定します。処理の期間は、主契約の期間に対応します。
2. 処理の性質と目的
処理者は、契約されたサービスを提供するために必要な範囲で個人データを処理します(例:ユーザーアカウント、請求、サポート、APIの使用)。その性質と範囲は、主契約および附属書1(処理の主題と期間、性質と目的、データの種類、データ主体のカテゴリ)に記載されています。
3. 管理者および処理者の義務
処理者は、文書化された管理者からの指示に従ってのみ個人データを処理し、第三国への移転に関しては、EUまたは加盟国の法律によって要求されない限りそうするものとします。処理者は、データを処理する権限を持つ者が機密保持に拘束されることを保証します。適切な技術的および組織的な対策が講じられます(GDPR第32条)。処理者は、データ主体からのリクエストへの対応や、GDPR第32条から36条に従った遵守の確保において管理者を支援します。契約終了時に、処理者は法的に保持が必要でない限り、個人データを削除または返却し、既存のコピーを削除します。
4. サブ処理者
処理者は、管理者の事前の同意がある場合に限りサブ処理者を利用できます(一般的または特定)。この契約の同じデータ保護義務がサブ処理者にも契約上課せられます。処理者は、サブ処理者の義務の履行について管理者に対して責任を負います。
5. 監査
プロセッサーは、コントローラーに遵守を示すために必要なすべての情報を提供し、主要契約および適用法に従って監査および検査に協力し、貢献するものとします。
これはテンプレートです。使用する前に法務顧問に確認してもらってください。附属書1(処理の詳細)および附属書2(技術的および組織的措置)を記入して添付する必要があります。