データ処理に関する取り決め
Digital Products Terms of Use
Event Policies
Exhibitor and Sponsor License
更新日: 2023/06/01
本データ処理に関する取り決め(以下「本取り決め」)は、RX Japan株式会社と 、本取り決めが参照される本契約に明記された出展社、後援団体・協賛団体またはその他の当事者(以下、それぞれ「当事者」)との間の契約(以下「本契約」)の一部を構成します。
1. 定義
1.1 「データ保護法」とは、適用されるすべてのプライバシーおよびデータ保護に関する法律、規則、規制、法令、命令、およびその他の政府・行政の要件を意味します。
1.2 「管理者」、「データ主体」、「個人データ」および「処理」という用語は、データ保護法で定められる内容と同じ意味を持ち、データ保護法が「個人データ」の代わりに「個人情報」などの同等または対応する用語を使用する場合、それらは本取り決めでは同じものとして読み替えられます。
2. 適用範囲
2.1 本取り決めは、各当事者が本契約に基づいて他方当事者(および該当する場合はその関連会社)から受け取る個人データの処理および/または取扱いに適用されます。
2.2 処理および/または取扱いの対象は、本契約に基づいて展示会および関連サービスに関して提供される個人データです。 処理および/または取扱いの期間は、本契約に従って個人データが廃棄されるまでの本契約に基づくサービスの提供期間です。 処理および/または取扱いの性質と目的は、本契約に基づくサービスの提供に関連しています。処理および/または取扱いされる個人データの種類は、本契約に基づいて処理および/または取扱いされるものです。データ主体のカテゴリー・性質は、個人データが 本契約に基づいて処理および/または取扱われるものです。
3. 役割と制限
3.1 各当事者は、個人データの処理および/または取扱いの目的と手段を独自に決定するため、各当事者は個人データの独立した管理者であり、両当事者は、共同管理者として個人データを処理することはありません。
3.2 各当事者は、データ保護法に基づく義務を遵守し、各当事者は、自らの遵守について個別にそれぞれ責任を負うものとします。本 取り決め のいかなる条項も、本契約に基づく、両当事者における個人データの使用、またはその他の方法での処理若しくは取扱いに関する権利に適用される制限を変更するものではありません。
4. 援助
4.1 各当事者は、他方当事者が、データ保護法に基づく義務を遵守できるようにするために、個人データ処理の性質および利用可能な情報を考慮して、合理的に必要な範囲で他方当事者に協力します。
5. 国境を越えた転送
5.1 各当事者は、個人データが当事者によって他の国に転送される範囲で、そのような転送がデータ保護法に従って適切なレベルの保護を提供する適切な保護措置の対象となることを保証します。
6. 法域固有の条件
6.1 いずれかの当事者が、下記のいずれかの法域のデータ保護法に由来する、またはその他の方法でデータ保護法の対象となる個人データを処理する範囲で、前述の条件に加えて、該当する法域に関してそこに指定された条件が適用されます。
欧州経済領域、英国、スイス
1. いずれかの当事者が欧州経済領域(「EEA」)、英国(「英国」)、またはスイスからEEA、英国、またはスイス外に所在する他方の当事者に個人データを転送する範囲で、両当事者がデータ保護法に基づく代替の転送メカニズムまたは根拠に依存する場合を除き、両当事者は、2021年6月4日の欧州委員会実施決定(EU)2021/914によって承認された標準契約条項を締結したものとみなされます。そのような転送に関して http://data.europa.eu/eli/dec_impl/2021/914/oj(「条項」)で利用可能であり、それによって:
a. 受領当事者は「データ輸入者」であり、他方当事者は「データ輸出者」です。
b. モジュール1が適用され、モジュール2、3、4、脚注、条項11(a)オプションおよび条項17オプション2は省略され、該当する附属書は、本取り決めおよび本契約に記載されている情報でそれぞれ完成します。
c. 「管轄監督当局」とは、データ輸出者が設立された国の監督当局です。
d. 本条項は、データ輸出者が設立された国の法律に準拠します。
e. 本契約条項に起因する紛争は、データ輸出者が設立された国の裁判所によって解決されます。
f. 本契約の条件と条項の間に矛盾がある場合は、条項が優先されます。
2. 英国からの個人データの転送に関連して、上記セクション1に基づいて実施される条項は、以下の変更に従って適用されます。
a. 条項は、2018年英国データ保護法のセクション119Aに基づいて発行された欧州委員会の標準契約条項の国際データ転送補遺のパート2で指定されているように修正され、随時修正または置き換えられる可能性があります(「英国補遺」)。
b. 英国補遺のパート1の表1から3は、本取り決めおよび契約に記載されている情報でそれぞれ完成しています。そして
c. 英国補遺のパート1の表4は、「どちらの当事者でもない」を選択することで完成します。
3. スイスからの個人データの転送に関連して、上記のセクション1に基づいて実施される条項は、以下の変更に従って適用されます。
a. 「規則(EU)2016/679」への言及は、データ保護に関するスイス連邦法(「FADP」)への言及として解釈されるものとします。
b. 「規則(EU)2016/679」の特定の条項への言及は、FADEPの同等の条項またはセクションに置き換えられるものとします。
c. 「EU」、「連合」、「加盟国」および「加盟国法」への言及は、該当する場合、「スイス」または「スイス法」への言及に置き換えられるものとします。
d. 「加盟国」という用語は、スイスのデータ主体を権利にアクセスする可能性から除外するような方法で解釈されないものとします。
e. 附属書Iの第13条(a)およびパートCは使用されておらず、「管轄監督当局」はスイス連邦データ保護情報コミッショナーです。
f. 本条項はスイスの法律に準拠します。そして
g. 本契約条項に起因する紛争は、スイスの裁判所によって解決されます。
米国
1. いずれかの当事者が、カリフォルニア州消費者プライバシー法およびその施行規則(「CCPA」)の対象となる個人情報を他方の当事者に販売または共有する場合:
a. 受領当事者が個人情報を利用できるようにする目的は、本契約に規定されており、そのプライバシーポリシーの対象となります。
b. 個人情報は、本契約に定められた限定的かつ特定の目的のためにのみ受領当事者に利用可能であり、それらの限定された特定の目的のためにのみ使用する必要があります。
c. 受領当事者は、受領当事者が利用できる個人情報に関して、CCPAが企業に要求するのと同じレベルのプライバシー保護を提供することを含む、CCPAの該当するセクションを遵守する必要があります。
d. 開示当事者は、利用可能にされた個人情報に関して、受領当事者がCCPAに基づく開示当事者の義務と一致する方法で個人情報を使用することを確実にするために合理的かつ適切な措置を講じる権利を付与されます。
e. 開示当事者は、通知により、受領当事者に提供された個人情報の不正使用を停止および是正するための合理的かつ適切な措置を講じる権利を付与されます。そして
f. 受領当事者は、CCPAに基づく義務を履行できなくなったと判断した後、他方当事者に通知する必要があります。
ブラジル
1. 各締約国は、次のことを行う。
a. ブラジルの一般データ保護法、2018年のnº13.709(Lei Geral de Proteção de Dados Pessoais)(LGPD)に基づく義務を遵守する。
b. 実行する個人データ処理操作の記録を保持する。
c. データ保護責任者を任命する。そして
d. 個人データを不正アクセス、偶発的または違法な破壊、紛失、改ざん、通信、またはあらゆる形態の不適切または違法な扱いから保護できるセキュリティ、技術、および管理上の対策(国家当局によって定められた適用される最低限の技術基準を含む)を採用します。
2. いずれかの当事者がブラジルからブラジル国外に所在する他方の当事者に個人情報を転送する範囲で、受領当事者は、データ主体の原則と権利、およびLGPDに基づいて提供されるデータ保護の体制を遵守します。
最新更新日期:2023年7月1日
本份数据处理附录(下称“DPA”)构成励展实体与参展商、赞助商或其他方(其中每一方,下称“一方”)之间协议(下称“本协议”)的组成部分,本协议中提及了本份DPA并且明确规定了协议各方。
1. 定义
1.1 “数据保护法律”是指所有适用的隐私权和数据保护法律、规则、规定、法令、命令以及其他的各项政府要求。
1.2 术语“控制者”,“数据主体”,“个人数据”和“处理”的含义与数据保护法律中规定的含义相同,并且当数据保护法律使用同等或对应术语时,诸如用“个人信息”替代“个人数据”,则该等术语在本协议中的含义不发生变化。
2. 范围
2.1 本份DPA适用于各方从对方所收到信息的处理,并且在本协议下还可适用于各方的附属方。
2.2 处理的标的物是就本协议项下展览和相关服务所提供的个人数据。处理的期限是本协议项下的服务提供期间直至按照本协议处理完毕个人数据。处理的性质和目的均涉及本协议项下的服务提供。处理的个人数据类型是本协议项下所处理的那些类型。数据主体的类别是本协议项下所处理个人数据的那些类别。
3. 职责和限制
3.1 各方独立地确定其处理个人数据的目的和方式,并且因此,各方是个人数据的独立控制者。双方不得也不会作为共同控制者处理个人数据。
3.2 各方将遵守其在数据保护法律项下的各项义务,并且各方将独立负责其遵守义务的情况。本份DPA不得变更各方在本协议项下个人数据使用权或处理权的任何限制性规定。
4. 协助
4.1 在考虑数据处理的性质以及对方可获信息的情况下,各方将与对方合作并合理协助对方遵守其在数据保护法律项下的各项义务。
5. 跨境转移
5.1 各方将确保,在一方将任何个人数据转移到其他国家或地区的情况下,该等转移将采取适当的保护措施,该等措施应当按照数据保护法律的要求提供同等级别的保护。
6. 司法管辖专有条款
6.1 在任何一方处理的任何个人数据系来自于下列任何司法管辖地或者系受制于下列任何司法管辖地的数据保护法律的情况下,涉及该等司法管辖地的特定条款将补充适用于上述条款。
欧洲经济区、英国和瑞士
1. 在任何一方将个人数据从欧洲经济区(下称“欧洲经济区”)、英国(下称“英国”)或瑞士转移给位于欧洲经济区、英国或瑞士境外的另一方时,除非双方可以依赖于数据保护法律项下的替代性转移机制或基础,否则将视为双方已就该等转移达成了经2021年6月4日欧盟委员会(欧盟)第2021/914号实施决议批准的标准合同条款,详见http://data.europa.eu/eli/dec_impl/2021/914/oj(下称“本条款”),根据本条款:
a. 接收方是“数据输入方”,对方是“数据输出方”;
b. 模块一适用,模块二、三和四、脚注、第11(a)条选项和第17条选项2删除,同时相关附件分别填写DPA和本协议中所述信息;
c. “有权监管机关”是数据输出方成立所在地的监管机关;
d. 本条款适用数据输出方成立所在地的法律;
e. 本条款所产生的任何争议将由数据输出方成立所在地的法院解决;以及
f. 如果本协议和本条款之间有任何冲突,将以本条款为准。
2. 关于个人数据转移出英国,本条款在按照上述第1节执行时将适用下列修订内容:
a. 本条款按照《2018年英国数据保护法案》第119A节项下发布的欧盟委员会标准合同条款之国际数据转移附录及其不时修订或替代版(下称“英国附录”)第2部分进行修订;
b. 英国附录第1部分中的表1至表3分别填写DPA和本协议中所述信息;以及
c. 英国附录第1部分中的表4填写内容为勾选“双方均未”。
3. 关于个人数据转移出瑞士,本条款在按照上述第1节执行时将适用下列修订内容:
a. 凡提及“(欧盟)第2016/679号规定”应当解释为是指瑞士《联邦数据保护法案》(下称“FADP”);
b. 凡提及“(欧盟)第2016/679号规定”的具体条款,应当替换为FADP中的同等条款或章节;
c. 凡提及“欧盟”、“联盟”、“成员国”及“成员国法律”应当替换为是指“瑞士”或“瑞士法律”(视具体情况而定);
d. 术语“成员国”的解释方式不得排除在瑞士的数据主体使用其权利的机会;
e. 附件一第13(a)条和C部分不予使用,且“有权监管机关”是指瑞士联邦数据保护和信息委员会;
f. 本条款适用于瑞士法律;以及
g. 本条款所产生的任何争议将由瑞士法院解决。
美国
1. 在任何一方向对方出售或与对方共享美国《加州消费者隐私法案》及其实施法规(下称“CCPA”)范围内的任何个人信息时:
a. 将按照本协议所述目的向接收方提供个人信息,并且该目的受制于接收方的隐私权政策;
b. 仅为本协议所述的有限目的及指定目的向接收方提供个人信息,并且须仅用于该等有限目的及指定目的;
c. 接收方须遵守CCPA相关适用章节,包括(关于向接收方提供规定个人信息)提供的隐私权保护程度要与CCPA要求企业的相同;
d. 披露方被授予权利(关于向接收方提供规定个人信息)采取合理适当的措施以确保接收方对个人信息的使用符合其在CCPA项下的各项义务;
e. 披露方被授予权利,经通知后,采取合理适当的措施以阻止和纠正擅自使用提供给接收方的个人信息的行为;以及
f. 接收方决定再也无法履行CCPA项下义务后,须告知对方。
巴西
1. 各方应当:
a. 遵行巴西《通用数据保护法》(2018年第13.709号)(Lei Geral de Proteção de Dados Pessoais)(下称“LGPD”)项下各项义务;
b. 记录其对个人数据的处理操作情况;
c. 任命一位数据保护官;以及
d. 采取安保、技术和管理措施,保护个人数据免遭擅自访问、意外或非法的毁损、灭失、改动、传播或任何形式的不当或非法处理,该等措施包括国家机构制定的相关最低技术标准。
2. 在任何一方将个人信息从巴西转移给位于巴西境外的另一方时,接收方将遵守LGPD规定的数据主体各项原则和权利以及数据保护的各项机制。