データ処理契約 (DPA)
GDPR 第28条に従ったデータ処理契約 (Auftragsverarbeitung) のテンプレートです。状況に応じて当事者および附属書をカスタマイズしてください。
1. 主題と期間
本契約は、主契約に基づいて合意されたサービスの提供に関連して、コントローラーのためにプロセッサーが個人データを処理することを規定します。処理の期間は主契約の期間に対応します。
2. 処理の性質と目的
プロセッサーは、契約されたサービスを提供するために必要な範囲で個人データを処理します(例:ユーザーアカウント、請求、サポート、API 使用)。性質と範囲は主契約および附属書1(処理の主題と期間、性質と目的、データの種類、データ主体のカテゴリー)に記載されています。
3. コントローラーおよびプロセッサーの義務
プロセッサーは、コントローラーからの文書による指示に基づいてのみ個人データを処理し、第三国への移転に関する指示を含み、EUまたは加盟国の法律によって必要とされる場合を除きます。プロセッサーは、データを処理する権限を持つ者が守秘義務を負うことを保証します。適切な技術的および組織的措置が実施されるものとします(GDPR 第32条)。プロセッサーは、データ主体の要求に応じてコントローラーを支援し、GDPR 第32条から第36条への遵守を確保します。契約終了時に、プロセッサーは個人データを削除または返却し、法律で保持が要求されない限り、既存のコピーを削除します。
4. サブプロセッサー
プロセッサーは、コントローラーの事前の同意がある場合にのみサブプロセッサーを利用することができます(一般または特定)。サブプロセッサーには、この契約と同じデータ保護義務が契約によって課されます。プロセッサーは、サブプロセッサーの義務の履行に対してコントローラーに対して責任を負います。
5. 監査
プロセッサーは、コンプライアンスを示すために必要なすべての情報をコントローラーに提供し、主契約および適用法に従って監査および検査に協力して貢献します。
これはテンプレートです。使用前に法務顧問によるレビューを受けてください。附属書1(処理の詳細)および附属書2(技術的および組織的な措置)を完成し、添付してください。