1. 当事者
データ管理者
お客様(処理の目的と手段を決定する事業体)
データ処理者
ClientFlow(お客様に代わって個人データを処理)
1.1 処理の範囲
このDPAは、以下の場合に個人データの処理に適用されます:
- ClientFlowがサービス提供の一環として管理者に代わって個人データを処理する場合
- 処理が管理者のクライアント関係の管理に関連する場合
- データ主体が管理者のクライアントおよびビジネス連絡先である場合
処理活動
- クライアント連絡先情報の保存と整理
- 支払い取引の記録と追跡
- 承認されたコミュニケーション(リマインダー、通知)の送信
- 集計データに基づく分析とレポートの生成
2. データカテゴリー
| カテゴリー | 例 | 目的 |
|---|---|---|
| アカウントデータ | メール、名前、プロフィール写真 | サービスアクセス |
| 顧客データ | クライアント名、電話番号、メールアドレス | CRM機能 |
| 支払い記録 | 金額、日付、ステータス | 支払い追跡 |
| 使用データ | ログイン時間、機能の使用状況 | セキュリティ、改善 |
3. 処理者の義務
当社の義務:
- お客様の文書化された指示に基づいてのみデータを処理
- 担当者に守秘義務を課す
- 適切なセキュリティ対策を実施
- データ主体のリクエストを支援
- 72時間以内にデータ侵害を通知
- 解約時にデータを削除(保持期間後)
4. セキュリティ対策
技術的
- TLS 1.3(転送時)
- AES-256(保存時)
- OAuth 2.0認証
- 役割ベースのアクセス制御
- リアルタイム監視
組織的
- セキュリティポリシー
- インシデント対応計画
- 定期的な監査
- ベンダーセキュリティレビュー
- 従業員トレーニング
5. サブプロセッサー
以下の承認されたサブプロセッサーを使用しています:
| プロバイダー | サービス | 所在地 | DPF |
|---|---|---|---|
| Google Cloud | 認証 | 米国 | はい |
| iyzico | 支払い | トルコ | SCC |
| Meta (WhatsApp) | メッセージング | 米国 | はい |
| 再送信 | メール | 米国 | SCC |
| Hetzner | ホスティング・データベース | ドイツ(EU) | SCC |
| Cloudflare | CDN・ストレージ | EU | はい |
DPF = EU-USデータプライバシーフレームワーク認定
サブプロセッサーの変更
サブプロセッサーの変更予定について通知します:
- サブプロセッサーの追加または交換の少なくとも14日前に事前通知
- 登録されたアカウントのメールアドレスへのメールによる通知
- 14日以内にお問い合わせいただくことで変更に異議を申し立てることができます
- 異議が解決できない場合、影響を受けるサービスを解約することができます
5.1 監査権
管理者はこのDPAへの準拠を検証する権利を有します:
- 関連する文書および認証を要求
- 少なくとも30日前の書面による通知で監査を実施
- 監査は通常の営業時間中に実施
- 監査人は機密保持契約に署名する必要があります
監査範囲
- セキュリティ対策と技術的保護措置
- サブプロセッサーのコンプライアンス
- データ処理手順
- インシデント対応能力
監査で重大な不適合が明らかにならない限り、監査費用は管理者が負担するものとします。
6. データの保持と削除
お客様のデータはアカウント復旧と規制遵守のために保持されます。
| タイムライン | アクション |
|---|---|
| 即時 | アカウント無効化 |
| 無期限 | データ保存(アーカイブ) |
| いつでも | アカウント再有効化可能 |
7. CCPA条項
CCPAの下で、当社は「サービスプロバイダー」として機能し、以下を行います:
- 指定されたビジネス目的のためにのみデータを処理
- 個人情報を販売しない
- 消費者の権利リクエストを支援
- 合理的なセキュリティ対策を実施
8. データ侵害通知
個人データの侵害が発生した場合、以下を約束します:
通知タイムライン
- 侵害を認識してから72時間以内に通知
- 侵害の範囲と影響の初期評価を提供
- 5営業日以内に詳細な書面による通知を配信
通知内容
- 影響を受けたデータ主体のカテゴリーと概数を含む侵害の性質
- 当社のデータ保護責任者の名前と連絡先
- 侵害の予想される結果の説明
- 侵害に対処するために講じたまたは提案された措置
- 悪影響を緩和するための措置
当社はお客様の調査および規制当局の問い合わせに全面的に協力し、適用法で要求される監督当局および影響を受けた個人への侵害通知を支援します。
9. 国際データ転送
個人データが欧州経済領域(EEA)外に転送される場合、適切な保護措置を確保します:
転送メカニズム
EU十分性決定
欧州委員会によって十分と判断された国への転送
EU-USデータプライバシーフレームワーク
DPF認定の米国ベースの処理者への転送
標準契約条項(SCCs)
その他の転送に対するEU委員会承認条項(2021年版)
必要に応じて転送影響評価を実施し、本質的に同等の保護レベルを確保するために補足措置(技術的、組織的、契約上)を実施します。
リクエストに応じて、関連する転送メカニズムのコピーを要求できます。
10. 責任と補償
処理者の責任
ClientFlow は、この DPA に従わない処理によって生じた損害、または当社が管理者の法的指示に反して行動した場合に生じた損害に対して責任を負うものとします。
管理者の責任
管理者は、適用されるデータ保護法に違反する処理、または本 DPA に基づく管理者の義務に従わない処理によって生じた損害に対して責任を負うものとします。
制限
- いずれの当事者も、間接的、偶発的、または結果的損害について責任を負わない
- このDPAに基づく総責任は、請求に先立つ12ヶ月間に支払われた料金に制限される
- これらの制限は、機密保持違反、故意の不正行為、または重大な過失には適用されない
各当事者は、補償する当事者によるこのDPAまたは適用されるデータ保護法の違反から生じる第三者の請求について、相手方を補償することに同意します。
11. 解約とデータの返却
期間
この DPA は、サービス契約の期間中、および当社がお客様に代わって個人データを処理する限り有効です。
解約時
- お客様の選択により、30日以内にすべての個人データを返却または削除
- 一般的に使用される機械可読形式でのデータエクスポートを要求可能
- 要求に応じて削除を証明
- 適用法で要求される場合、データを保持する可能性あり
機密保持、責任、およびデータ保護権に関する条項は、このDPAの解約後も存続するものとします。