データ処理付属書

サブスクリプション サービスへのアクセスおよびその利用に関するお客様とSmartsheet Inc.との契約に次の条件を組み込むため、このフォームにご記入ください。

 

英語版の優越

この契約の英語版以外の翻訳版は、あくまで便宜のために提供されるものです。現地の法律で禁止されていない限り、翻訳版に曖昧な部分や矛盾がある場合には、英語版の規定が優先します。

 

 

本データ処理付属書(以下「本付属書」といいます)は、お客様によるオンライン サービスへのアクセスおよびその利用に適用される、Smartsheet Inc.(以下「Smartsheet」といいます)とお客様との間の契約(以下「本契約」といいます)に組み込まれ、その一部を構成します。本付属書で定義されずに使用される定義語は、本契約に定める意味を持ちます。

 

1. 定義。本付属書において、次の用語(およびその派生語)は、以下を意味します。

  • 関連会社」とは、本契約の当事者を所有または支配している、本契約の当事者に所有または支配されている、または本契約の当事者と共通の支配下にあるまたは共通の所有権を有している個人または事業体を意味します。ここで「支配」とは、議決権付き有価証券の所有権を通じて、または契約により、もしくはその他の方法により、ある事業体の経営および方針を指揮もしくは管理する、または指揮もしくは管理させる権能を直接的または間接的に所有することと定義されます。

  • 管理者」とは、個人データの処理の目的および手段を決定する個人または事業体を意味します。

    お客様」とは、本契約を締結し、本付属書を本契約に組み込むことに同意した個人または事業体を意味します。

    お客様コンテンツ」とは、お客様またはユーザーがオンライン サービスにアップロードまたは送信し、お客様に代わってSmartsheetが処理する、あらゆるデータ、添付ファイル、テキスト、画像、レポート、個人情報、またはその他のコンテンツを意味します。

    お客様個人データ」とは、お客様コンテンツに含まれる個人データを意味します。

    データ侵害」とは、お客様コンテンツの偶発的または違法な破壊、喪失、改ざん、不正な開示、またはお客様コンテンツへのアクセスを生じるセキュリティ侵害を意味します。

    データ保護法」とは、当事者に適用される範囲で、お客様個人データの処理に関するあらゆる国のデータ保護法またはプライバシー法を意味します。

    データ主体」とは、特定された、または特定可能な自然人を意味します。

    両当事者」または「当事者」とは、場合に応じて、お客様およびSmartsheetまたはそのいずれか一方を意味します。

    個人データ」とは、あるデータ主体または世帯に関するか、当該データ主体または世帯を特定するか、説明するか、または関連付けることができる、あらゆる情報を意味します。

    処理」とは、自動化された方法によるか否かを問わず、個人データについて実行する業務または一連の業務を意味し、これには収集、記録、整理、構造化、保管、修正、変更、検索、参照、使用、調整、結合、制限、消去、破棄、または送信、頒布、もしくはその他の方法で利用可能にすることによる開示が含まれます。

    処理者」とは、管理者に代わって個人データを処理する個人または事業体を意味します。

    専門サービス」とは、Smartsheetが提供し、注文または作業明細書(SOW)の記載に従いお客様が購入する、オンライン サービスに関連する実装、基本設定、統合、トレーニング、アドバイザリー業務、およびその他の専門サービスを意味します。

    サービス」とは、サブスクリプション サービス、専門サービス、およびサブスクリプション サービスで使用するためにSmartsheetが提供または管理するオンラインでのその他のサービスまたはアプリケーションを意味します。

    Smartsheet社員」とは、お客様の個人データを処理することをSmartsheetが認めた個人を意味します。

    復処理者」とは、本契約に関連してお客様の個人データを処理するためにSmartsheetが自らまたはSmartsheetの代理者が任命する個人または団体(第三者を含みますが、Smartsheet社員を除きます)を意味します。

    サブスクリプション サービス」とは、Smartsheetが提供しお客様が購入する、サブスクリプション ベースのオンライン協業サービスおよびアプリケーションを意味します。

    監督当局」とは、データ保護法に基づいて設立または認可された、独立した公的管轄機関を意味します。

    ユーザー」とは、本契約の条件に基づいてオンライン サービスにアクセスし、これを利用することをお客様または別のユーザーが承認したまたは招待した個人を意味します。

 

2. 両当事者の役割。

2.1. お客様とSmartsheetは、両当事者間において、お客様はお客様個人データの管理者であり、Smartsheetはお客様個人データの処理者であること、ならびに各当事者は、適用されるデータ保護法を遵守すること、およびかかる遵守に関連し、データ主体および監督当局を含む第三者に対する自らの義務を履行することについて単独で責任を負うことに合意します。

2.2. 管理者としてのお客様

  • 2.2.1. お客様は、お客様個人データの正確性、ならびにお客様がお客様個人データを取得および処理する手段の適法性について単独で責任を負います。

    2.2.2. お客様個人データの処理に関するSmartsheetに対するお客様の指示は、データ保護法に準拠するものとし、かつ必要なすべての権利、許可、および同意を伴った、適切な承認を受けるものとします。

2.3 処理者としてのSmartsheet

  • 2.3.1. Smartsheetは、次の場合においてのみお客様の個人データを処理します。(a)お客様から書面で指示された、またはオンライン サービスを介して認定ユーザーによって開始された場合、(b)必要に応じてサービスを提供し、オンライン サービスの技術的な問題または本契約または本付属書における違反を防止するまたはこれに対応する場合、または(c)適用法で義務付けられる場合。付則1(お客様個人データ処理の詳細)は、Smartsheetによるお客様個人データの処理について記載するものです。

    2.3.2. Smartsheetは、Smartsheet社員が以下を確実に行うようにします。(a)本付属書および本契約に基づくSmartsheetの処理義務を実行するために必要な範囲でのみお客様の個人データにアクセスすること、(b)お客様の個人データに関して、本付属書および本契約の規定と実質的に同等の保護水準の秘密保持義務に拘束されること、および(c)お客様個人データの処理に関する適切なトレーニングを受けること。

    2.3.3. Smartsheetは、本付属書または本契約で認められる場合を除き、金銭またはその他の対価のためにお客様個人データを第三者に開示することはありません。

    2.3.4. お客様から書面で要求がある場合、お客様が自ら関連情報にアクセスできない範囲において、Smartsheetは、Smartsheetによるお客様個人データの処理およびSmartsheetが入手可能な情報の性質を考慮の上、お客様に対し、監督当局とのデータ保護の影響度評価および協議に関する合理的な助力を提供します。

    2.3.5. Smartsheetは、お客様コンテンツがお客様個人データに該当するか、または特定の法的要件の対象であるか否かを識別することを目的として、お客様コンテンツの種類または実態の評価を行うことはありません。

 

3. セキュリティ。

3.1. Smartsheetは、本契約に従ってお客様コンテンツを保護し(その返却および削除を含みます)、安全に維持するために策定した技術的、物理的、および組織的な対策および管理を実施し、維持します。

3.2. お客様は、お客様のユーザーを通じて、お客様が以下を行うことを認めます。(a)お客様コンテンツの種類および内容を管理すること、および(b)お客様コンテンツにアクセスするためのユーザー権限を設定すること、またそれにより、オンライン サービスについて文書で定めた機能が、データ保護法におけるお客様個人データに関してお客様により要求されるセキュリティ上の義務を満たしているかどうかの審査および評価に責任を負うこと。

3.3. お客様は、Smartsheetのセキュリティ対策が、処理の改善または業務慣行の変更を反映するためにお客様への合理的な通知により随時更新される場合があることを認めます(ただし、そのような変更によって、発効日現在の条件に反映されているものと比較して、Smartsheetの義務が大幅に減少することはないものとします)。お客様は、適用されるデータ保護法に基づくお客様の要件および法的義務を満たすためにお客様が必要と判断する、入手可能なセキュリティ構成設定を独自に評価し、実施することについて、単独で責任を負います。

 

4. 復処理者。

4.1. 復処理者については、www.smartsheet.com/legal/subprocessorsから確認できます。その内容は、本付属書の改訂に応じて随時更新される場合があります。お客様は、Smartsheetの関連会社が、本第4条の条件に従い自ら復処理者として行動すること、および認定済みの復処理者を起用することを許可します。

4.2. Smartsheetは、各復処理者に対して適切なデュー デリジェンスを実施し、各復処理者との間で、お客様個人データの処理について本付属書の規定と実質的に同等の保護水準の規定を含む契約を締結します。

4.3. Smartsheetは、復処理者が他の復処理者を任命することを含め、復処理者の作為および不作為に責任を負います。

4.4. 新たな復処理者、異議申立ての権利

  • 4.4.1. Smartsheetの新たな復処理者任命に関する通知を受け取るには、お客様においてwww.smartsheet.com/legal/subprocessor-notificationから入手可能なフォームの記入が必要になります。このフォームの送信を受け、Smartsheetは、新たな復処理者を任命する予定がある場合はお客様に事前に書面で通知します。ただし、オンライン サービスまたはお客様コンテンツの可用性およびセキュリティを維持するために復処理者の関与が直ちに必要であった場合には、新たな復処理者を任命したことを、その事後において遅滞なく書面で通知します。
  • 4.4.2. お客様個人データの処理に関与する新たな復処理者に異議がある場合、お客様は、任命予定通知を受領後15日以内に書面でSmartsheetに通知する必要があります。この通知がない場合、Smartsheetは、お客様が新たな復処理者の任命を承認したとみなします。お客様から異議申立て通知を受領後、Smartsheetは、新たな復処理者がお客様個人データの処理を行わないようにするために、変更したオンライン サービスをお客様に提供するか、または商業的に合理的なオンライン サービスの構成または利用を推奨するよう合理的な努力を講じます。前述の努力を講じてもお客様の異議に対応できない場合、Smartsheetは、お客様の異議申立て通知を受領後15日以内にお客様に通知します。その後、お客様は、Smartsheetの通知から30日以内にSmartsheetに書面で通知することにより、本付属書および影響を受けるサービスを終了させ、該当するサービスを終了させた部分について支払い済み料金の払い戻しを受けることができます。

 

5. データ主体の要求。

5.1. Smartsheetは、お客様がお客様個人データに関するデータ主体の要求に回答できるようにするために、オンライン サービスを介してお客様がお客様個人データにアクセスできるようにします。

5.2. Smartsheetは、お客様個人データに関するデータ主体から直接Smartsheetが受領した要求について、遅滞なく書面でお客様に通知します。Smartsheetは、(a)要求がお客様に関連しているかを確認するためである場合、(b)適用法で義務付けられる場合、または(c)お客様の書面による同意を得ている場合、データ主体の要求に直接対応する場合があります。

5.3. お客様の書面による要求がある場合、お客様が自らお客様個人データにアクセスできない範囲において、Smartsheetは、お客様がデータ主体の要求に対応するために、お客様個人データにアクセスできるようにする合理的な助力を提供します。法的に認められる範囲において、お客様は、通常業務外でSmartsheetが提供した助力に起因する費用を負担します。

 

6. データ侵害。

6.1. Smartsheetは、データ侵害に気付いた場合には不当な遅滞なく書面でお客様に通知します。

6.2. Smartsheetは、Smartsheetのセキュリティ インシデント ポリシーおよび手順(以下「侵害管理」といいます)に従って、データ侵害を調査し、必要に応じて低減または是正を行います。

6.3. Smartsheetの法的義務に従い、Smartsheetは、インシデントの性質、開示された特定の情報(わかっている場合)、および関連する低減策または是正策を含め、侵害管理の結果Smartsheetに入手可能となる情報(以下「侵害情報」といいます)をお客様に提供し、データ侵害の結果生じる、データ保護法に基づくお客様の義務をお客様が遵守できるようにします。

6.4. お客様が侵害情報に加えてデータ侵害に関連する特定の情報を要求する場合であって、お客様がこれを書面で要求する場合には、お客様が自ら追加情報にアクセスできない範囲において、Smartsheetは、当該追加情報の収集および獲得を図るお客様の要求に従い、合理的な協力を行い、当該追加情報を提供します。

 

7. 監査権。

7.1. Smartsheetは、自らのセキュリティ対策および管理の適切性を年次で監査および検証する(以下「監査」といいます)ために、外部の監査人を起用します。監査は、(a)Smartsheetの選択および費用により、独立した第三者のセキュリティ専門家が実施し、(b)オンライン サービスに対するセキュリティ対策および管理のテストを含め、AICPA SOC2基準、またはAICPA SOC2と実質的に同等の他の代替的基準に従って実施し、その実施結果として少なくともSOC2レポートまたは実質的にこれと同等のレポートを作成し、および(c)オンライン サービスの侵入テストを行い、その結果を侵入テストレポートにまとめる形で行われます。監査によって作成したレポート(以下「レポート」といいます)は、本契約または相互に合意した秘密保持契約の秘密保持義務に服することを条件に、年1回を限度として、お客様から書面による要求が合った場合には、お客様は入手できます。明確性を期して付言すると、各レポートは、レポートが発行された時点で一般に商業的に入手可能であったオンライン サービスについてのみ記載したものとなります。その後にリリースされるサービスについては、レポートの記載対象となる場合には次回の年次レポートに記載されます。

7.2. お客様がデータ保護法を遵守するための情報を、レポートの他にも必要とする場合は、お客様の自己負担および書面による要求により、お客様が自ら追加情報にアクセスできない範囲において、Smartsheetは、 Smartsheetによるお客様個人データの処理に関する第三者監査人によるお客様の必須監査(以下「お客様側の監査」といいます)について、これを許可し、協力を行います。ただし、以下が条件となります。

  • 7.2.1. お客様側の監査の監査人、監査予定日、および予定範囲を記載した合理的な事前通知をSmartsheetに提供すること。
  • 7.2.2. Smartsheetがお客様への通知によって当該監査人を承認すること。この承認は、不当に差し控えないこととする。
  • 7.2.3. お客様側の監査の実施中、Smartsheetの敷地建物、設備、または業務に危害、傷害、または混乱を引き起こさないようにお客様およびその監査人が行動すること。
  • 7.2.4. お客様は、監督当局によって別途要求されない限り、お客様側の監査を各暦年で1回のみ実施すること。

 

8. 国際規定。

8.1. 両当事者は、Smartsheetによるお客様個人データの処理には、Smartsheetがお客様から受領したお客様個人データの国際移転(以下「国際移転」といいます)が含まれる場合があることを認め、これに合意します。お客様は、発効日現在、Smartsheetの主たる処理活動は、https://www.smartsheet.com/data-access-and-transfersに詳述されているとおり、米国で行われていることを認めます。

8.2 Smartsheetが付則4(法域固有の条件)に記載される法域のいずれかにおいて、適用されるデータ保護法に由来しかつ同法において保護対象となるお客様個人データを処理する場合には、本付属書の条件に加え、付則4において当該法域について定める条件が適用されます。

8.3 お客様がサービスを利用するにあたり、お客様個人情報をある法域(すなわち、欧州経済領域(以下「EEA」といいます)、英国、スイス、または付則4に記載されるその他の法域から、これらの法域外に所在するSmartsheetに合法的に移転するための有効な移転方法(以下「移転方法」といいます)を要する場合には、付則3(越境移転方法)に定められる条件が適用されます。

8.4 何らかの移転方法が国際移転における合法的なデータ移転方法として認められない場合、両当事者は、本付属書第9.8条(データ保護法に伴う変更)に従って対応します。

 

9. 一般条項。

9.1. 変更および権利放棄。本付属書に明示的な別段の記載のない限り、本付属書は、各当事者の正式な代表者が締結した書面の合意によってのみ変更できます。本付属書の違反に対する権利放棄は、書面による場合にのみ効力を発し、またその後の違反に対する権利放棄として作用しない、または解釈しないものとします。

9.2. 可分性。本付属書のいずれかの条項が執行不能であると判断された場合、その条項は、執行可能となるために必要な最小限の範囲で変更されたものとして(法律で許可される場合)、または考慮しないものとして(法律で許可されない場合)解釈され、本付属書の残りの部分は、記載どおりの効力を維持し続けます。上記にかかわらず、執行不能の条項を変更するまたは考慮しないことにより本付属書の本質的な目的が達成されなくなる場合、本付属書全体が無効とみなされます。

9.3. 優先順位。本付属書と当事者間のその他の書面による合意(本契約を含む)との間で本付属書の主題に関して矛盾が生じた場合、本付属書が適用され、本付属書により管理されます。両当事者間にすでに存在するあらゆるデータ処理契約は、それら全体に対して本付属書が優先し、それら全体が本付属書によって置き換えられます。

9.4. 通知。本付属書において明示的に別段の定めがない限り、両当事者は、本契約に従って本付属書における通知を行います。ただし、かかる通知はすべて電子メールで送信することができます。

9.5. 準拠法および裁判管轄。データ保護法で禁止されない限り、本付属書は本契約に定める法律に準拠し、本付属書の両当事者は本付属書において発生する紛争に関し、本契約に規定された裁判管轄および裁判地の選択に服します。

9.6. 執行。お客様またはその関連会社もしくは任意の第三者が、お客様個人データの管理者であるか否かにかかわらず、法律において別段の定めがない限り、(a)お客様のみがSmartsheetに対して本付属書の条件を執行する権利を有し、および(b)該当する通知を含め本付属書に基づくSmartsheetの義務は、お客様に対してのみ負うものとなります。

9.7. 責任。本付属書の両当事者間において、本付属書における各当事者の責任および救済には、本契約に定める総責任限度および免責条項が適用されます。

9.8. データ保護法に伴う変更。適用されるデータ保護法がその後において改正された結果、本付属書の変更が余儀なくされる場合、一方当事者は、法改正について他方当事者に書面で通知することができます。その後両当事者は、変更または代替的な変更について可及的速やかに合意し、実施を図る観点から、法改正に対応するために必要な本付属書の変更について誠意を持って話し合い、交渉を行います。ただし、その変更がサービスの機能およびSmartsheetの業務運営上合理的であることを条件とします。

9.9. 権利の留保。本付属書に異なる規定がある場合でもそれにかかわらず、(a)Smartsheetは、開示した場合にSmartsheetまたはSmartsheetの顧客にとってセキュリティ上のリスクにさらされる可能性がある情報、または適用法もしくは契約上の義務により開示が禁じられる情報について、開示を差し控える権利を留保します、また(b)Smartsheetが本付属書における通知、対応、情報提供または協力を行うことは、Smartsheetが何らかの過失または責任を認容するものではありません。

 

 

付則1-お客様個人データ処理詳細

 

本付則1は、GDPR第28条(3)において義務付けられる個人データの処理に関する詳細を記載するものです。

個人データ処理の主題および期間:

  • 個人データ処理の主題および期間は、本契約および本付属書に定められています。

個人データ処理の性質および目的

  • Smartsheetによる個人データ処理は、本契約および本付属書に記載されるサービスの提供を促進するまたは補佐するために合理的に必要となります。

個人データの種類およびデータ主体の分類:

  • 個人データの種類および個人データが紐付いているデータ主体の分類は、お客様が独自の裁量により決定し、管理します。

管理者の義務および権利:

  • お客様の義務および権利は、本契約および本付属書に定められています。

 

 

付則2-技術的および組織的セキュリティ対策

 

該当する場合、本付則2は、標準契約条項の付録2として機能します。

 

Smartsheetの技術的および組織的セキュリティ対策の全文は、https://smartsheet.com/legal/securityから入手できます。

 

 

付則3-越境移転方法

 

1. 定義。

1.1.「標準契約条項」とは、特定のお客様固有の状況に応じて、次のいずれかを意味します。

  • 1.1.1. EEA標準契約条項
  • 1.1.2. 英国標準契約条項

1.2.「EEA標準契約条項」または「承認されたEU SCC」とは、欧州委員会が2021/914決定において承認した標準契約条項を意味します。

1.3. 「英国標準契約条項」とは、英国個人情報保護監督機関(Information Commissioner's Office - ICO)が発行し、2022年2月2日に2018年データ保護法第119Aに従って議会に提出され、第‎18条おいて改正された、ひな形の付属書を意味します。

 

2. EEA標準契約条項。EEA標準契約条項の対象となる欧州経済領域からのデータ移転の場合、EEA標準契約条項は次のように適用されます。

2.1. モジュール1(管理者から管理者)は、Smartsheetが管理者としてオンライン サービス利用データを処理する場合に適用されます。

2.2. モジュール2(管理者から処理者)は、お客様がお客様個人データの管理者で、Smartsheetがお客様個人データの処理者の場合に適用されます。

2.3. 各モジュールは、場合に応じて以下のとおり適用されます。

  • 2.3.1. 第7条における選択肢の結合条項は適用されません。
  • 2.3.2. 第9条における選択肢2が適用され、通知の提供プロセスおよび復処理者の変更に対する異議申立期限は、本付属書第4条(復処理者)の定めに従います。
  • 2.3.3. 第11条における代替言語は適用されません。
  • 2.3.4. 第17条におけるEEA標準契約条項は、ドイツの法律に準拠します。
  • 2.3.5. 第18条(b)における紛争は、ドイツの裁判所で解決されます。
  • 2.3.6. 付録1、項目A
  •  
  • データ輸出者-お客様およびお客様の認定関連会社
  • 連絡先情報-お客様のアカウント責任者の電子メールアドレス、またはお客様がプライバシーに関する連絡の受信先として選択した電子メールアドレス。
  • データ輸出者の役割-データ輸出者の役割は、本付属書第2条に記載されています。
  • 署名および日付-本付属書の締結により、データ輸出者は、発効日時点において、本付属書に組み込まれた標準契約条項(その付録を含む)に署名したとみなされます。
  •  
  • データ輸入者-Smartsheet Inc.
  • 連絡先情報-Smartsheetのプライバシーの取扱いについてはprivacy@smartsheet.com宛て、Smartsheetのセキュリティの取扱いについてはsecurity@smartsheet.com宛て。
  • データ輸入者の役割-データ輸入者の役割は、本付属書第2条に記載されています。
  • 署名および日付-本付属書の締結により、データ輸入者は、発効日時点において、本付属書に組み込まれた標準契約条項(その付録を含む)に署名したとみなされます。
  •  
  • 2.3.7. 付録1、項目B
  • データ主体の分類については、付則1に記載されています。
  • 移転される機密データについては、付則1に記載されています。
  • 移転の頻度は、本契約期間中は基本的に継続的となります。
  • データ処理の性質については、付則1に記載されています。
  • データ処理の目的については、付則1に記載されています。
  • データ処理期間については、付則1に記載されています。
  • 復処理者への移転、データ処理の主題、性質、および期間については、https://www.smartsheet.com/legal/subprocessorsに掲示されています。
  •  
  • 2.3.8. 付録1の項目C-第13条に従い、管轄の監督当局は以下のとおりです。
  • データ輸出者がEU加盟国において設立されている場合-データ移転に関してデータ輸出者が規則(EU)2016/679に準拠していることを確認する責任を持つ監督当局が管轄監督当局として機能するものとします。
  • データ輸出者がEU加盟国において設立されていないが、規則(EU)2016/679 第3条(2)の適用地域内にあり、規則(EU)2016/679 第27条(1)に従い代表者を任命している場合-規則(EU)2016/679 第27条(1)の意味合いにおいて当該代表者が設立されている加盟国の監督当局が管轄監督当局として機能するものとします。
  • データ輸出者がEU加盟国において設立されていないが、規則(EU)2016/679 第3条(2)の適用地域内にあり、規則(EU)2016/679 第27条(1)における代表者を任命していない場合-フランス共和国データ保護機関(Commission nationale de l'informatique et des libertés (CNIL)、所在地 3 Place de Fontenoy, 75007 Paris, France)が管轄監督当局として機能するものとします。
  • データ輸出業者が英国に設立されている場合、または英国のデータ保護法および規制の適用地域内にある場合、英国個人情報保護監督機関(Information Commissioner's Office)が管轄監督当局として機能するものとします。
  • データ輸出者がスイスに設立されている場合、またはスイスのデータ保護法および規制の適用地域内にある場合、関連するデータ移転がスイスのデータ保護法および規則の適用を受ける限りにおいて、スイス連邦データ保護および情報委員会(Swiss Federal Data Protection and Information Commissioner)が管轄監督当局として機能するものとします。
  •  
  • 2.3.9. 付則2は、標準契約条項の付録2として機能します。

 

3. 標準契約条項と本付属書のその他いずれかの条件(付則4(管轄区域固有の条件)を含む)との間で矛盾がある場合、該当する標準契約条項の規定が優先されます。

 

 

付則4-法域固有の条件

 

1. カリフォルニア。

1.1. 「データ保護法」の定義には、カリフォルニア州消費者プライバシー法(California Consumer Privacy Act、以下「CCPA」といいます)が含まれます。

1.2. 「事業者」「商業目的」「サービス プロバイダー」「販売」および「個人情報」という用語は、CCPAに定める意味を持ちます。

1.3. お客様個人データについては、SmartsheetがCCPAにおけるサービス プロバイダーです。

1.4. Smartsheetは、(a)お客様個人データを販売せず、(b)サービスの提供の具体的な目的以外の目的(サービスの提供以外の商業目的のためのお客様個人データの保持、使用、または開示を含む)でお客様個人データを保持、使用、または開示せず、または(c)Smartsheetとお客様間の直接的な事業者関係の範囲外でお客様個人データを保持、使用、または開示しません。

1.5. 両当事者は、本付属書に記載され、お客様の指示によって承認されたお客様個人データ処理は、Smartsheetのサービス提供および両当事者間の直接的な事業者関係において不可欠なものであり、かつ包含されていることを認め、これに合意します。

1.6. 本契約のいずれかの規定またはそれに関連して入力された注文フォームの内容にかかわらず、両当事者は、Smartsheetによるお客様個人データへのアクセスは本契約に関して両当事者によって交付される対価の一部を構成するものではないことを認め、これに合意します。

1.7. オンライン サービスの利用データがお客様個人データとみなされる場合、Smartsheetが当該データに関する事業者となり、Smartsheetは当社のプライバシー通知に従い当該データを処理します。

 

2. EEA

2.1.「データ保護法」の定義には、一般データ保護規則(General Data Protection Regulation)(EU 2016/679)(以下「GDPR」といいます)が含まれます。

2.2. Smartsheetが復処理者を起用する場合、Smartsheetは以下を行います。

  • 2.2.1. 任命した復処理者に対し、GDPR第28条(3)で言及されるデータ保護義務と同一の義務を履行すること、また特に、GDPRの要件を満たす方法でデータ処理を行うための適切な技術的および組織的対策を実施することについて十分な保証を提供することを含め、適用されるデータ保護法で義務付けられる基準でお客様個人データを保護することを要求します。
  • 2.2.2. 任命した復処理者に対し、欧州連合が「適切な」水準の保護を有すると宣言した国のデータのみを処理すること、または標準契約条項と同等の条件でのみデータを処理することについて書面で同意することを要求します。

2.3. GDPR違反の罰則。本付属書または本契約に別段の定め(当事者の補償義務を含みますがこれに限定されません)がある場合でもそれにかかわらず、いずれの当事者も、他方当事者のGDPR違反に関連し、規制当局または政府機関がGDPR第83条に基づき他方当事者に発行するまたは課すGDPRの罰金について責任を負わないものとします。

 

3. スイス。

3.1. 「データ保護法」の定義には、スイス連邦データ保護法(Swiss Federal Act on Data Protection)が含まれます。

3.2. Smartsheetが復処理者を起用する場合、Smartsheetは以下を行います。

  • 3.2.1. 任命した復処理者に対し、GDPR第28条(3)で言及されるデータ保護義務と同一の義務を履行すること、また特に、GDPRの要件を満たす方法でデータ処理を行うための適切な技術的および組織的対策を実施することについて十分な保証を提供することを含め、適用されるデータ保護法で義務付けられる基準でお客様個人データを保護することを要求します。
  • 3.2.2. 任命した復処理者に対し、欧州連合が「適切な」水準の保護を有すると宣言した国のデータのみを処理すること、または標準契約条項と同等の条件でのみデータを処理することについて書面で同意することを要求します。

 

4. 英国。

4.1. 本付属書においてGDPRへの言及がある場合はその限りにおいて、英国の対応する法律(UK GDPRおよび2018年データ保護法(Data `Protection Act 2018)を含む)への言及とみなします。

4.2. Smartsheetが復処理者を起用する場合、Smartsheetは以下を行います。

  • 4.2.1. 任命した復処理者に対し、GDPR第28条(3)で言及されるデータ保護義務と同一の義務を履行すること、また特に、GDPRの要件を満たす方法でデータ処理を行うための適切な技術的および組織的対策を実施することについて十分な保証を提供することを含め、適用されるデータ保護法で義務付けられる基準でお客様個人データを保護することを要求します。
  • 4.2.2. 任命した復処理者に対し、欧州連合が「適切な」水準の保護を有すると宣言した国のデータのみを処理すること、または標準契約条項と同等の条件でのみデータを処理することについて書面で同意することを要求します。

 

 

最終更新日:2021年10月4日

旧版

以下は、Smartsheetのデータ処理付属書の旧版であり、情報提供のみを目的として記載しています。