最終更新: 11月 11, 2022

データ処理補遺(DPA)

最終更新: 11月 11, 2022

オンライン版に署名する

本データ処理補遺(以下、「DPA」)は、お客様(本契約にて定義)(以下、総称的に「お客様が」、「お客様の」、「お客様」)、および monday.com Ltd.(以下、「monday.com」、「当社」、「当社は」「当社の」)の間で取り交わされ、monday.com 利用規約(www.monday.com/terms/tos)または monday.com サービスの利用に関するその他の契約(以下、「契約」)を参考にするものであり、monday.com によりお客様のためだけに行われる個人データの処理に関する当事者の合意を反映するものです。尚、本契約では、二社の当事者を「両当事者」、またそれぞれを「各当事者」と呼ぶものとします。

本 DPA に特に定義されていない太字表記の用語は、本契約においてそれぞれ定義された語義を有するものとします。

本サービスのご利用にあたり、お客様は本 DPA を承諾し、またお客様が本 DPA に関して全面的にお客様を法的に拘束する権限を有していることを表明し保証するものとします。お客様が本 DPA の遵守および拘束に同意いただけない場合、またはお客様やその他の事業体を拘束する権限を有しない場合、当社への個人データの提供をお控えください。

本DPAの特定の条項と本契約の条項との間に矛盾がある場合、本DPAの条項が、個人データ処理に関してのみ、本契約の矛盾条項に優先するものとします。

 

1. 定義

(a) 「関連企業」とは、対象事業体を直接または間接的に管理し、対象事業体によって管理され、あるいは対象事業体と共通の管理下にある事業体を指します。ここでいう「管理」とは、対象事業体の 50% 以上の議決権を直接または間接的に所有または管理していることを意味します。

(b) 「認定された関連企業」とは、お客様と monday.com との間で締結された契約に従って本サービスの使用を明示的に許可されながら、 monday.com と個別の契約を締結していないお客様の関連企業で、本契約に定める「お客様」でないものを指します。

(c) 「CCPA」とは、2018年カリフォルニア州消費者プライバシー法、Cal. Civ. Code § 1798.100 et. Seq、およびその施行規則(随時改訂される場合があります)を指します。

(d) 「管理者」、「加盟国」、「処理者」、「処理」および「監督機関」という用語は、一般データ保護規則(GDPR)におけるものと同義とします。「ビジネス」、「ビジネス目的」、「消費者」、「サービスプロバイダ」という用語は、CCPA におけるものと同義とします。

本 DPA の明確化の目的で、CCPA の適用範囲において、「管理者」は「事業者」をも意味し、「処理者」は「サービスプロバイダ」をも指すものとします。同様に、処理者の下位処理者(サブプロセッサー)についても、サービスプロバイダを指すものとします。

(e) 「データ保護規則」とは、欧州連合、欧州経済領域およびその加盟国、スイス、英国、カナダ、イスラエルおよび米国の GDPR、英国 GDPR および CCPA を含む、本契約に基づく個人データの処理に対して適用され、かつその時点で有効な、プライバシーおよびデータ保護に関するすべての適用可能かつ拘束力のある法律および規制を指します。

(f) 「情報主体」とは、個人データに関連する特定または識別可能な人物を指します。

(g) 「GDPR」とは、欧州議会および理事会による、個人データの処理に関する自然人の保護および当該データの移動の自由に関する規則(EU)2016/679(2016年4月27日適用開始)を指します。

(h) 「個人データ」または「個人情報」とは、直接的または間接的に、特定または識別可能な自然人または消費者を識別、関連、記述、関連付け、または合理的に関連付けることができるあらゆる情報を指し、本 DPA および契約に基づいてお客様に代わって monday.com のみによって処理されるものとします。

(i) 「サービス」とは、本契約に基づき monday.com がお客様に提供するクラウドベースワークオペレーティングシステムプラットフォーム(「プラットフォーム」)およびその他のサービスを指します。

(j) 「セキュリティドキュメント」とは、www.monday.com/trustcenter/datasecure、またはその他 monday.com がお客様に合理的に提供する、本契約および本 DPA に基づく monday.com による個人データ処理に適用される、当社採用の技術的および組織的措置を定めた、随時更新されるセキュリティドキュメントを指します。

(k) 「機微(センシティブ)データ」とは、適用されるデータ保護法において、「特殊カテゴリーデータ」、「機微データ」またはその他の実質的に類似する用語など、特別な法律下で保護され、独自の取り扱いを必要とする個人データを指し、以下のいずれかを含む場合があります。(a) 社会保障番号、納税者番号、パスポート番号、運転免許証番号、または同様の識別子(またはその一部)、 (b) 財務または信用情報、クレジットまたはデビットカード番号、(c) 人種または民族の出自、政治的意見、宗教的または哲学的信条、労働組合への加盟、自然人を一意に特定するための遺伝データまたは生体データ、個人の健康、性生活または性的指向に関するデータ、または犯罪歴および犯罪に関するデータ、 (d) 子供に関する個人データ、および・または、(e) ハッシュ化していない状態のアカウントパスワードを明らかにする情報。

(l) 「標準契約条項」とは、(a) GDPR の適用を受ける個人データの移転に関しては、欧州委員会によって2021年6月4日付け((EU) 2021/914)で承認・施行された、管理者と処理者間の標準契約条項(こちらに掲載)、および処理者と処理者間の標準契約条項(こちらに掲載)(そのすべての別紙I、IIおよびVを含む;「EU SCCs」)、(b)英国 GDPR の対象となる個人データの移転に関しては、欧州委員会標準契約条項に対する国際データ移転補遺(2022年3月21日適用開始、B.1.0版)(その別紙 III を通じて EU SCC に組み込まれたもの;「英国補遺」)、および、 (c) データ保護に関する連邦法(FADP;2020年9月25日改正)の対象となる移転に関しては、EU SCC 別紙 IV に規定される条項(「スイス補遺」)が適用されます。

(m) 「サブプロセッサー」とは、monday.com の指揮下で個人データに関する特定の処理活動を実施する第三者を指します。

(n) 「英国 GDPR」とは、2018年データ保護法、ならびに2018年欧州連合法第3項(離脱)によりイングランドおよびウェールズ、スコットランド、北アイルランドの法律の一部を構成し、データ保護、プライバシーおよび2019年電子通信規則(SI 2019/419)(改正等)(EU離脱)により改正された GDPR を指します。

2. 個人データの取り扱い

2.1 両当事者の役割 両当事者は、お客様に代わり、 monday.com のみによって行われる個人データの処理に関して、(a)お客様が個人データの管理者であり、(b)monday.com が当該個人データの処理者であることを認め、同意するものとします。以下の「管理者」および「処理者」という表現は、それぞれお客様、および monday.com を意味します。

2.2 お客様の責務 本サービスの利用およびお客様による処理者への指示において、お客様はデータ保護法、本契約および本 DPA を遵守するものとします。またお客様は、事業目的の追求を含む、本契約および本 DPA に基づいて処理者がお客様に代わって行う処理活動の承認を行うために、個人データの収集、処理および処理者への転送に必要なあらゆる法的根拠を確立し、これを有するものとします。

2.3 処理者による個人データ処理 処理者は、以下の目的のために個人データを処理するものとします。(a) 契約および本 DPA に基づく場合、(b) サービスの提供に関連する場合、(c) お客様の合理的かつ文書化された指示に従う場合(かかる指示が契約および本 DPA の条件と整合し、処理の実行方法に関している場合)、および (d) 処理者に適用される法律、および・または管轄権を有する裁判所、その他の管轄政府または半政府機関の要請による場合(かかる法律または命令により情報の開示が禁止されていない場合)、当該処理は事前にお客様に法的要請について通知しなければならないものとします。

お客様によって与えられた個人データの処理に関する指示が適用されるデータ保護法を侵害すると処理者が合理的に判断した場合、処理者は、適用されるデータ保護法に基づいてお客様に通知することが禁止されていない限り、お客様に不当な遅滞なく通知するものとします。お客様の指示がデータ保護法に抵触するか否かについて、処理者は評価する義務を負わないことをここに明確化します。

2.4 処理内容 本契約および本 DPA に基づく処理者による個人データの処理とは、本サービスの遂行を指します。本 DPA に基づき処理される期間、性質および目的、個人データの種類、情報主体の区分に関する詳細は、本 DPA 別表1(処理の詳細)をご参照ください。

2.5 機微データ 両当事者は、本サービスが機微データの処理を意図したものではないこと、また、お客様が本サービスを使用して機微データを処理することを希望する場合、事前に monday.com より書面で明示的に同意を得るとともに monday.com が要求する追加の契約を締結する必要があることに合意するものとします。

2.6 CCPA注意基準;個人情報の販売禁止 処理者は、本契約または本 DPA に基づき処理者がお客様に提供するサービスまたはその他の項目の対価として、いかなる個人情報も受領または処理しないことを認め、確認するものとします。処理者は、お客様に代わり処理された個人情報に関するいかなる権利または利益も有さず、これを派生させず、行使せず、また、プラットフォームに提出され、お客様に代わり処理されたいかなる個人情報も、他の当事者のために処理した情報と論理的に分離して統合せず、当該個人情報が提供された目的のためにのみ、本契約および本 DPA の規定に従って個人情報を使用および開示することができるものとします。処理者がサービスプロバイダに該当する場合、CCPA 規則、要件および定義を理解し、事前にお客様の書面による同意または指示なしに、本契約に基づいて処理された個人情報を販売および・または共有(CCPA における定義)しないことに同意し、本契約または本 DPA に基づく処理者との個人情報の移転が CCPA における当該個人情報の「販売」および「共有」に該当するようないかなる行為も行わないことに同意するものとします。

3. 情報主体からの要求

処理者が情報主体または消費者から、適用されるデータ保護法により利用可能な範囲で、アクセス、修正する権利、処理の制限、消去、データポータビリティ、処理に対する異議、個別の自動意思決定の対象とならない権利、個人情報の販売から離脱する権利、または差別されない権利(「情報主体からの要求」)の行使要請を受けた場合、お客様に通知する、または情報主体もしくは消費者をお客様へ照会するものとします。処理の性質を考慮し、処理者は可能かつ合理的である限り、お客様が情報主体の要求に対応できるよう、お客様を支援するものとします。処理者は、情報主体または消費者に、当該要求の処理についてお客様の管理者に照会する、またはプラットフォーム内で利用可能な自己行使機能の使用について助言することができるものとします。

4. 守秘義務

処理者は、個人データの処理に従事する従業員および委託業者が守秘義務を負っていること、またはその他の法的な守秘義務を負っていることを保証するものとします。

5. サブプロセッサー

5.1 サブプロセッサーの選任
お客様は、(a) 処理者の関連企業がサブプロセッサーとして従事する可能性があること、および (b) 処理者と処理者の関連企業はそれぞれ、サービスの提供に関連して第三者のサブプロセッサーを従事させることができることを認め、同意するものとします。

5.2 現行のサブプロセッサー一覧および新規サブプロセッサーに関する通知

5.2.1 発効日の時点で、お客様はここに、処理者が個人データの処理に際して現在使用している、www.monday.com/terms/subprocessors(「サブプロセッサーページ」)に記載されたサブプロセッサーに関与する一般的な書面による権限を処理者に付与します。

5.2.2 サブプロセッサーページでは、新規サブプロセッサーの起用および既存サブプロセッサーの交代に関する通知(「サブプロセッサー通知」)の配信お申し込み手続きをご用意しています。お客様は、本DPAの締結時にこの制度をお申し込みになること、およびこの制度を通じて送信される通知により、処理者が新規または既存サブプロセッサーの交代をお客様に通知する義務を果たすことを了承するものとします。

5.3 新規サブプロセッサーに対する異議申し立て 新規サブプロセッサー通知の公表に基づき、お客様は、当該サブプロセッサーによって処理される予定の個人データの保護に関する理由から、処理者が新規または代替のサブプロセッサーを使用することに合理的に異議を唱えることができます。かかる異議は、新規サブプロセッサー通知の公表後 7 日以内に、お客様が当該新規サブプロセッサーを使用することに異議を唱える理由を詳述の上、privacy@monday.com 宛に書面で通知することにより、速やかに届け出る必要があります。お客様が 7 日以内に上記の方法で異議を唱えなかった場合、新規サブプロセッサーの使用は、お客様により承認されたものとみなされます。前文で許諾されたように、お客様が新規サブプロセッサーに合理的に異議を唱えた場合、処理者は、お客様に不当に負担をかけることなく、異議を唱えた新規サブプロセッサーによる個人データの処理を回避するために、本サービスの変更をお客様に提供する、またはお客様の本サービスの設定もしくは使用に商業的に合理的な変更を推奨するために合理的に努めるものとします。処理者が異議申し立ての受領後30日以内にかかる変更を提供できない場合、唯一の救済措置として、お客様は処理者に書面で通知することにより、異議申し立てのあった新規サブプロセッサーの使用なしでは処理者が提供できないサービスの要素に関してのみ、契約および本 DPA を解除することができるものとします。問題となった処理に関して、契約終了日以前に本契約に基づくすべての未払金が、処理者に適切に支払われるものとします。新規サブプロセッサーに関する決定がなされるまでの間、処理者は、影響を受ける個人データの処理を一時的に回避または停止し、および・またはサービスへのアクセスを一時停止することができるものとします。お客様は、本項に記載された状況において、契約の終了(払い戻しの要求を含むがこれに限定されない)および・または DPA に起因する処理者に対する更なる請求を行わないものとします。

5.4 サブプロセッサーとの契約 処理者または処理者の関連企業は、既存の各サブプロセッサーと書面による契約を締結し、新規の各サブプロセッサーとは、本DPA の規定と同一または実質的に同様の情報保護義務、特に処理行為が GDPR 要件を満たすよう適切な技術および組織措置を実施する義務を盛り込んだ書面契約を締結するものとします。サブプロセッサーが個人データの処理に関する情報保護義務を果たさない場合、処理者は、サブプロセッサーの義務の履行について、お客様に対して引き続き責任を負うものとします。

6. セキュリティおよび監査

6.1 個人データ保護管理 処理者は、本契約に基づき処理される個人データ保護に関する適切な業界標準の技術的および組織的対策(不正または違法な処理に対する対策、偶発的または違法な破壊、損失または変更または損害、個人データの不正な開示またはアクセス、個人データの機密性および完全性に対する対策を含む)を維持するものとします。お客様の合理的な要請に基づき、処理者は、お客様の費用負担で、以下の第‎11.1項の規定に従い、処理の性質および処理者が利用できる情報を踏まえ、GDPR 第32条から第36条に基づく義務の遵守を確保するために、お客様を合理的に支援するものとします。

  1. 2 監査および査察 お客様からの書面による合理的な間隔(ただし12ヶ月に1回を超えないもの)による、14日前までの事前要請により、またお客様による厳格な守秘義務の確約に従い、処理者は、処理者の競合他社ではないお客様(または処理者の競合他社ではなく、処理者と対立しない、独立し、信頼性が保証されたお客様の第三者監査人であり、その守秘義務と非競争義務を条件とする)に本 DPA への準拠性を示すための必要な情報を提供するとともに、それらが行う査察を含む監査に同意し、協力するものとします。処理者は、お客様からの質疑応答形式の監査に回答すること、および・または処理者の本 DPA の遵守にのみ関連する認定された第三者監査人が行った監査報告書証明書、認証書および概要をお客様に提供することにより、本条に基づく義務を満たすことができます。監査、査察およびその結果を反映した文書を含むそれらに関連する情報は、処理者の本 DPA の遵守を評価するためにのみお客様が使用するものとし、処理者の書面による事前承認なしに他の目的に使用したり、第三者に開示したりしないものとします。処理者の最初の要求に応じて、お客様は、処理者が提供した、またはお客様(またはその委任された各監査人)が監査および・または査察に関連して収集および・または生成したすべての記録または文書を処理者に転送するものとします。

6.3 上記に定める監査または査察において、お客様は、当該監査または査察の実施中、処理者の業務、施設、設備、人員および事業(該当する場合)に、お客様(およびその各委任監査人)がいかなる損害、負傷または混乱を与えない(または回避できない場合、最小限にする)ことを保証するものとします。

6.4 上記‎6.2 に定める監査権は、本契約がデータ保護法 (該当する場合、GDPR または英国 GDPR の第 28 条 (3) (h) を含む) の関連要件を満たす監査権をお客様に別途提供しない範囲にのみ適用されるものとします。標準契約条項が適用される場合、およびその範囲において、本第 6 条のいかなる内容も、標準契約条項を変更または修正するものではなく、標準契約条項に基づく監督機関または情報主体の権利に影響を与えるものではありません。

7. データインシデント管理および通知

7.1 処理者は、社内におけるセキュリティインシデント管理方針および手順を維持し、適用されるデータ保護法の下で要求される範囲において、処理者がお客様のために処理した個人データの偶発的または違法な破壊、損失、改変、不正な開示またはアクセス(「データインシデント」)に気付いた後、不当に遅延なくお客様に通知するものとします。処理者は、処理者の合理的な管理の範囲内で、かかるデータインシデントの原因を是正および・または軽減するために、処理者が必要かつ合理的とみなす措置を特定し、講じるよう合理的に努力するものとします。本契約の義務は、お客様、そのユーザー、またはお客様のために本サービスを使用する者によって引き起こされたデータインシデントには適用されないものとします。

7.2 お客様は、お客様が準拠するデータ保護法によるやむを得ない場合を除き、処理者を直接または間接的に特定するデータインシデントに関する一切の所見、責任の認否、連絡、通知、プレスリリースまたは報告(法的手続き、規制・監督当局または影響を受ける個人への通知を含む)を処理者の書面による事前承認なく作成、開示、公開または公表しないものとします。後者の場合、当該法律で禁止されている場合を除き、お客様は処理者に対し、当該開示に異議を唱える機会を提供するための合理的な事前書面による通知を行うものとし、いかなる場合においても、お客様は当該法律で要求される最小限の範囲に開示を制限するものとします。

8. 個人データの返却および削除

本契約の終了およびサービスの停止後、お客様の選択により(プラットフォームを通じて、または処理者に対する書面による通知)、処理者は、処理者に適用される法令により要求または許可されていない限り、本契約に記載された方法で、お客様に代わり処理したすべての個人データを削除またはお客様に返却するものとします。

9. 国境を越えたデータ転送

9.1 EEA、スイス、英国から適切な水準のデータ保護を提供する国への転送 個人データは、EU 加盟国、ノルウェー、アイスランド、リヒテンシュタイン(以下、総称的に「EEA」)、スイス、イギリス(「英国」)から、EEA、スイス、英国の各関連当局が適宜公布する適切な決定(「適切な法的判断」)に基づき、またはそれに従って適切な水準のデータ保護を提供する国々に、さらなる保護を必要とせずに転送することができます。

9.2 EEA、スイス、英国から他の国への転送 処理者による個人データの処理に転送(直接またはオンワードトランスファー経由)が含まれる場合:

(i) EEA から関連する適正化決定の対象となっていない他国への移転で、当該移転がデータ保護法によって認められた代替遵守メカニズム(処理者が自己の裁量で採択できるもの)を通じて行われない場合(「EEA 移転」)、EU SCC に定める条件が適用されます。

(ii) 英国から関連する適正化決定の対象となっていない他国への転送で、当該転送がデータ保護法によって認められた代替遵守メカニズム(処理者が自らの裁量で採択できるもの)(「英国転送」)を通じて行われない場合、英国補遺に定める条件が適用されます。

(iii) スイスから関連する適正化決定の対象となっていない他国への転送で、当該転送がデータ保護法で認められた代替遵守メカニズム(処理者が自らの裁量で採択できるもの)(「スイス転送」)を通じて行われない場合、スイス補遺に定める条件が適用されます。

(iv) 標準契約条項が適用される EEA 移転、英国移転およびスイス移転については、EU SCC 別紙 V(追加セーフガード)に記載された条件が適用されます。

9.3 他国からの転送 処理者による個人データの処理に、かかるデータの合法的な移転のための特定のコンプライアンスメカニズムの確立を義務付けている他国の司法管轄区からの処理者による個人データの移転および・またはお客様から処理者に委託されたものが含まれる場合、お客様はかかる適用要件を処理者に通知し、当事者は下記第11条2項の規定に従って本 DPA に必要な修正を求めることができるものとします。

 

10. 認定関係企業

10.1 契約上の関係 両当事者は、本 DPA を締結することにより、お客様が自らのために本 DPA を締結し、場合により、認定された関連企業のために、その名前および代理人として締結することを認め、合意します。この場合、各認定関連企業は、処理者がかかる認定関連企業に代わり個人データを処理する場合およびその範囲において、本 DPA におけるお客様の義務により義務付けられることに合意し、これにより、処理者がその代理で処理する個人データに関して「管理者」として認定されることとします。認定された関連企業によるサービスへのすべてのアクセスおよび使用は、本契約および本 DPA の条件を遵守しなければならず、認定された関連企業によるその条件への違反は、お客様による違反とみなされるものとします。

10.2 連絡 お客様は、本契約および本 DPA に基づく処理者とのすべての連絡を調整する責任を負うものとし、その認定された関連企業を代表して本 DPA に関連するあらゆる連絡を行う権利およびそれを受け取る権利を有するものとします。

11. その他の規定

11.1 データ保護影響評価および事前協議 お客様の合理的な要請により、処理者は、GDPR または英国 GDPR(該当する場合)に基づき、お客様の本サービスの使用に関連するデータ保護影響評価を実施するお客様の義務を果たすために必要な合理的な協力および支援を、お客様が関連情報に他にアクセスできない範囲で、かつ当該情報が処理者が利用できる範囲で、お客様の費用負担で提供するものとします。処理者は、お客様の費用負担で、GDPR または英国 GDPR(該当する場合)の下で求められる範囲において、本第 11.1 条に関する業務の遂行において監督機関と協力または事前協議を行うにあたり、お客様に合理的な支援を提供するものとします。

11.2 変更 各当事者は、適用されるデータ保護法の変更の結果、当該データ保護法に違反することなくお客様の個人データの処理を行う(または処理を継続する)ために本 DPA の変更が必要となった場合、他方の当事者に少なくとも 45 暦日前に書面で通知し、書面により変更を要求することができます。かかる通知に従って、両当事者は、かかる要求される修正に対応するために商業的に合理的な努力を払い、お客様または処理者の通知で特定された適用データ保護法上の要件に対処するために設計されたそれらのまたは代替的な変更に合意し、実施することを目的として誠実に交渉するものとし、可能な限り速やかに実行に移すものとします。さらに、処理者は、当該変更がお客様の権利または処理者の義務に関して重要な側面で不利にならない限り、予告なしに本 DPA を随時修正することができます(エラーや誤字の修正、技術的な調整、または処理者が必要とみなす他の理由など)。処理者がお客様の権利または処理者の義務に重大な不利な変更を加える場合、処理者は、サイト上、本サービスを通じて、および・または電子メールにて、お客様に通知します。

別表1 – 処理の詳細

処理の性質と目的

1. お客様に対する本サービスの提供

2. 本契約、本 DPA および・または両当事者間で締結されたその他の契約の履行

3. お客様の指示による活動(当該指示が本契約の条項と整合する場合)

4. お客様の指示に従い、および・またはお客様の本サービスの使用に従い、第三者と個人データを共有すること(例:本サービスと第三者のサービス間の個人データの共有を促進するためにお客様によりまたはお客様に代わり設定された、本サービスと第三者が提供するあらゆるサービス間の統合など)

5. 適用される法令の遵守

6. 上記いずれかに関連する全ての業務

処理期間

本 DPA および・または本契約における処理の期間およびその満了または終了の結果に関する条項に従い、処理者は、書面による別段の合意がない限り、本契約およびそれに基づくサービスの提供の期間中、個人データを処理するものとします。

個人データの種類

お客様は、本サービスにおいて個人データを提出することができますが、その種類と範囲は、お客様が独自の裁量で決定し管理するものとします。

情報主体の区分

処理者が処理する個人データに関連する情報主体の区分は、お客様に依存し、以下のいずれかの区分を含む場合がありますが、これに限定されるものではありません。

  •  お客様の従業員、エージェント、アドバイザー、フリーランサー(いずれも自然人)
  •  お客様の見込み客、顧客、ビジネスパートナー、ベンダー(いずれも自然人)
  •  お客様の見込み客、顧客、ビジネスパートナー、ベンダーの従業員ないし連絡窓口
  •  お客様が本サービスを通じて連絡を取るものとした、その他の第三者の個人
免責条項: このバージョンは、英語の原文を翻訳したものであり、便宜上の目的でのみ提供されています。この英語の原文は、正式な法的拘束力のあるバージョンであり、矛盾が生じた場合には英語の原文が優先されるものとします。

チームが協力してより多くのことを達成できるようにします

14 日間の無料トライアル | クレジットカード不要