データ処理契約
当社は、お客様の組織のデータに対してデータ処理契約を提供し、ベスト プラクティスによる契約上の保護を確実に使用できるようにします。当社のデータ処理契約には、当社のプライバシーへの取り組みが明確に記載されています。
当社のサービスを提供する過程で、Vibetrace はお客様に代わって個人データを処理する場合があります。この文書は、Vibetrace (データ処理者として) および当社の顧客 (データ管理者) とのサービス契約の一部を形成します。この DPA は、当社のサービスを使用して実行される個人データの処理に関する当事者の合意を反映しています。当社の DPA の同意に基づいて、当社のすべてのサービスをご利用いただけます。
この契約はどのように適用されますか?
データ管理者が Vibetrace の有料顧客である場合、本契約は Vibetrace とのサービス契約の一部を形成します。本契約を受諾した管理者が Vibetrace サービスの料金を支払わない場合、本契約は無効となり、法的拘束力もありません。
この契約を印刷物で必要な場合は、当社までご連絡ください。
定義
"コントローラ" 単独または他者と共同で、個人データの処理の目的および手段を決定する自然人または法人、公的機関、政府機関、またはその他の団体を意味します。私たちの特定のケースでは、コントローラーは当社のサービス上でアカウントを作成する当社の顧客によって代表されます。
「個人情報保護法」 データ保護とプライバシーに関連する適用されるすべての法律を意味します。これには、EU データ保護指令 95/46/EC、および GDPR を含むそれらのいずれかを修正または置き換えるすべての現地法および規制が含まれますが、これらに限定されません。また、加盟国の国内施行法も含まれます。欧州連合諸国、または該当する範囲で、随時修正、廃止、統合、または置き換えられるその他の国。 「プロセス」、「プロセス」、および「処理された」という用語は、それに応じて解釈されます。
「データ主体」 個人データが関係する個人を意味します。
「GDPR」 「個人データの処理およびかかるデータの自由な移動に関する自然人の保護に関する、2016 年 4 月 27 日の欧州議会および理事会の一般データ保護規則 (EU) 2016/679」を意味します。
"命令" 「管理者が処理者に発行し、個人データに関する特定のアクション (非個人化、ブロック、削除、利用可能化を含むがこれらに限定されない) を実行するよう指示する書面による文書化された指示」を意味します。
"個人データ" 識別された個人または識別可能な個人に関する情報を意味します。この情報は顧客データ内に含まれており、適用されるデータ保護法に基づいて個人データまたは個人を特定できる情報と同様に保護されています。
「個人情報の侵害」 送信、保存、またはその他の方法で処理された個人データの偶発的または違法な破壊、紛失、改ざん、不正な開示またはアクセスにつながるセキュリティ侵害を意味します。
"処理" 個人データに対して実行されるあらゆる操作または一連の操作を意味し、収集、記録、整理、構造化、保存、適応または変更、検索、参照、使用、送信、配布またはその他の方法で利用可能にすることによる開示、調整または組み合わせを含みます。個人データの制限または消去。
「プロセッサー」 管理者に代わって個人データを処理する自然人、法人、公的機関、機関、またはその他の団体を意味します。この場合は私たち Vibetrace です
"利用規約" ユーザーとしての管理者と処理者との間の法的合意を意味し、利用規約に定義されている Vibetrace サイトおよびサービスの使用に対する管理者の限定的、非独占的、終了可能な権利を規定します。
予定
処理者は、管理者に代わってかかる個人データを処理するために管理者によって任命されます。 Vibetrace が提供するサービスでは、個人データが管理者から処理者に簡単に流れるため、この契約を締結することが必要になります。
管理者は、適用法の要件に従って個人データを処理するものとします。管理者は、すべてのデータの正確性、品質、合法性、およびこの個人データを取得する手段に対して単独の責任を負うものとします。
間隔
本契約は、管理者 (Vibetrace の顧客) が当社のプラットフォーム/ウェブサイト上でアカウントを作成または取得した日に開始されます。
データ処理契約は、次のいずれかが完了するまで有効です。
- データ処理契約は終了または取り消されます。
- メインサービスの提供に関する契約が終了する
Vibetrace サービスを使用する各コントローラーは、その個人日付を完全に制御し、サービスに保存する期間を決定します。一定期間後に非アクティブになった古いデータは、Vibetrace サーバーから自動的に削除されます。
情報処理
処理者は、管理者の代理として、管理者の指示の下、当事者間で締結された利用規約に記載されている目的で個人データを処理します。
データは欧州連合国内または域外で処理されます。プロセッサである Vibetrace は、サービスを提供するために欧州連合領域外にデータを転送する権利を留保します。
技術的および組織的な対策
Vibetrace は、お客様のデータの機密保持を徹底するために、次のようなあらゆる合理的な技術的および組織的措置を講じます。
- 暗号化の使用
- システムの機密性、完全性、可用性、回復力を継続的に監視します。
- 物理的または技術的な事故が発生した場合にサービスの可用性を回復するための準備
- すべてのシステムの定期的なリスク評価
- 従業員および Vibetrace の代理人が個人データの機密性を維持することを保証するための商業的に合理的な手順
- Vibetrace へのサービスの提供に携わるすべてのサブプロセッサーのデータ契約とプライバシーの確認
- 顧客によるすべての合理的な情報要求に対して書面による回答を提供する
- 顧客、監査人、またはその他の監督当局が実施する検査を含むデータ セキュリティ監査で顧客を合理的に支援する
- 個人データ侵害について顧客に通知する
データに関する権利
データ管理者および主体は、Vibetrace によって処理される個人データに関して次の権利を有します。
通知を受ける権利: 管理者またはその主体は、いつでも個人データ、その使用方法、使用理由について質問することができます。
アクセス権: 当社のプライバシー ポリシー (個人情報へのアクセス) に概要が記載されています。
修正の権利: 管理者またはそのサブジェクトは、いつでも個人情報を更新 (または更新を要求) できます。
消去の権利: 管理者はいつでも自分のアカウントをキャンセルすることができ、さらに、Vibetrace に対してすべての個人データの消去、データのさらなる配布の停止、および場合によっては第三者によるデータの処理の停止を要求することができます。データ主体は、管理者に対し、自分の個人データについても同様のことを要求する場合があります。 Vibetrace は、配信可能性を可能な限り高く保つために、不正行為を防止するのに役立つ最小限の情報を保持する権利を留保します。
処理を制限する権利: 管理者はいつでもアカウントを保留にして、電子メール通信、テキスト メッセージ、またはプッシュ通知の送信を制限できます。お客様のデータは、請求などの他のアクションのために、また当社の副処理者によって引き続き処理されます。当社の保持ポリシーに従ってお客様の情報がまだ削除されていない限り、管理者はアカウントをキャンセルしてお客様のデータのすべてのデータ処理を制限し、アカウントを再アクティブ化することができます。
データポータビリティの権利: コントローラーは、アカウントがアクティブである間いつでも、リストのいずれか、またはリスト内で選択された情報をエクスポートできます。
副処理者
データ処理者は、以下に記載されている範囲で、データ管理者の個人データの処理に第三者を使用することがあります。
- このデータ処理契約の付録 3、または
- データプロセッサからの指示。
サードパーティのデータ処理者は、データ処理者と同じデータ保護義務 (データ処理契約に基づく義務を含む) を提供する必要があります。
第三者データ処理者は、データ管理者と合意した指示に特に沿って、それに関連してのみ行動します。別段の特別な合意がない限り、サードパーティのデータ処理者とのすべての通信はデータ処理者によって処理されます。データ管理者からの指示に対する変更または明確化は、データ処理者から第三者データ処理者に直ちに渡されるものとします。
データ処理者は、データ処理者自身が処理するのと同じ方法で第三者データ処理者による個人データの処理を保証することに直接責任を負います。
付録 1 – 主なサービス
現在の追加条項により、受益者はデータ処理者 (サービス プロバイダー) に次の権限を与えます。 本契約に記載されている、管理者が提供するコードの技術システム統合を通じて管理者から直接受信した個人データを特定、収集、集計、処理、およびホストする(Vibetrace)、またはコントローラー プラットフォームを介した手動インポート、またはコントローラーが提供する API を使用して、このデータをコントローラーのユーザー (データ主体) の行動とサービスの提供を分析する目的で使用します。
サービスの提供には、データ管理者が設定したルールに従って、データ管理者の名前でユーザーと通信することが含まれますが、これに限定されません。
- 携帯電話番号での電子メールまたはテキストメッセージの送信
- 対象デバイスへの個人プッシュ通知の送信
- 各対象者のプロファイルに従って Web サイトのコンテンツをパーソナライズする
- アンケートや投票を使用してデータを収集する
- Facebook、Instagram、Google、Bing 広告ネットワーク経由でパーソナライズされた広告を配信
付録 2 – データの種類とカテゴリ
データ プロセッサによって処理されるデータは次のいずれかになりますが、これらに限定されません。
- 電子メール アドレス、件名またはアドレスの姓名
- 電話番号
- ブラウザプッシュ通知トークン
- デバイスのIPアドレス(匿名化された形式で保存)
- デバイスの画面解像度、オペレーティング システム、ブラウザの種類
- 地理的位置
- 訪問したページ、注文
- 参照元の URL とドメイン
付録 3 – 副処理者
他のサブプロセッサが使用される場合、次のリストは将来更新される可能性があります。サブプロセッサーの追加時に追加に異議を唱える場合は、その異議がデータ保護に関する合理的な理由に基づいている場合に限り、通知から 5 日以内にアカウントをキャンセルすることができます。
| デジタルオーシャン | スパークポスト | アマゾン | ペイパル | グーグル | ドリフト |
| マイクロソフト | ブレインツリー | セールスフォース | キスメトリクス | クラウドフレア | トゥイリオ |
| リトマス | ハブスポット | インターホン |
付録 4 – DPA のアイテムのリスト
当社はお客様に対し、以下の項目リストを利用規約ページ、それぞれのデータ処理契約に追加することをお勧めします。
- 当社のサービスを改善するために、当社は Vibetrace マーケティング オートメーション プラットフォーム (https://vibetrace.com)/ を使用して、訪問者と顧客の独自のプロファイルを監視、追跡し、作成します。
- これらの活動は、注文を作成したり、当社の Web サイトを使用したりするために必要なわけではなく、法的拘束力はありません。ユーザーは、追跡されないこと、および当社のマーケティングコミュニケーションを受信しないことを選択できます。
- Vibetrace サービスが機能し、提供するマーケティング オートメーション サービスの基盤として機能するマーケティング データ プラットフォームを作成するために、次の情報が収集されます: 電子メール、電話番号、IP アドレス、位置、ブラウザ情報、サイト ページとのやり取り、およびそれらのアクションのタイムスタンプ。
- 上記のサービスを提供するために Vibetrace によって使用されるサブプロセッサのリストは、https://vibetrace.com/data-processing/ で常に見つけることができます。
- データ保持期間は、特定された訪問者 (電子メール アドレスを持つ訪問者) の場合は最長 2 年間、関連する電子メール アドレスや電話番号を持たない訪問者の場合は最長 6 か月です。
