このデータ処理契約（「パートナー DPA」）は、お客様（「パートナー」）と BROSH, Inc.（「BROSH」）が締結した契約に組み込まれ、お客様と BROSH 間のデータ共有を規定します（ただし、パートナーによる BROSH 製品およびサービスの購入と使用を規定する、パートナーと BROSH 間の顧客契約は除きます）（「パートナー契約」）。

このパートナーDPAは、(1)パートナーがパートナー契約に関連してBROSHにアップロード、転送、またはその他の方法で提供する個人データ、および(2)BROSH(またはその顧客)がパートナー契約に関連してパートナーにアップロード、転送、またはその他の方法で提供する個人データの処理を対象としています。

本パートナー DPA (以下に定義される SCC を含む) とパートナー契約は、本パートナー DPA では総称して「契約」と呼ばれます。契約条件の間に矛盾または不一致がある場合は、以下の文書の規定が優先されます (優先順位順): (a) SCC、(b) 本パートナー DPA、(c) パートナー契約。

このパートナー DPA の目的は、次のようなシナリオに対処するためのフレームワークを確立することです。

1. BROSH およびパートナーは、パートナー契約に関連して、それぞれが欧州個人データの管理者（以下に定義）となり、特定の場合には、その欧州個人データを他方当事者に転送し、他方当事者が当該欧州個人データの管理者として行動することがあります。
2. BROSH とパートナーはそれぞれ欧州個人データの管理者となる場合があり、場合によっては、その欧州個人データを他方当事者に転送して、他方当事者が処理者として他方当事者に特定のサービスを提供することがあります (例: ソリューション パートナーとしてサービスを実行する、API 呼び出しを完了する)。
3. BROSH とパートナーはそれぞれ共同顧客の欧州個人データの処理者となり、共同顧客の指示に従って処理するために当該データを他方当事者に転送する場合があります。

1. 定義

「ビジネス」および「サービスプロバイダー」は、CCPA で定義されている意味を持ちます。

「カリフォルニア州個人情報」とは、CCPA の保護の対象となる個人データを意味します。

「CCPA」とは、カリフォルニア州民法第1798.100条以降（2018年カリフォルニア州消費者プライバシー法とも呼ばれる）を意味します。

「管理者」とは、単独または他者と共同で個人データの処理の目的および手段を決定する自然人または法人、公的機関、代理店またはその他の団体を意味します。

「データ保護法」とは、本契約に基づき個人データを処理する役割を担う各当事者に適用される、データ保護およびプライバシーに関する全世界の適用可能な法律または規制すべてを指します。これには、欧州データ保護法、CCPA、オーストラリアおよびシンガポールのデータ保護およびプライバシー法が含まれますが、これらに限定されません。いずれの場合も、随時修正、廃止、統合、または置き換えられます。「ヨーロッパ」とは、欧州連合、欧州経済地域および/またはそれらの加盟国、スイス、および英国を指します。

「欧州データ保護法」とは、欧州で適用されるデータ保護法を指し、これには以下が含まれます。(i) 個人データの処理に関する自然人の保護および当該データの自由な移動に関する欧州議会および理事会の規則 2016/679 (一般データ保護規則) (「GDPR」)、(ii) 電子通信分野における個人データの処理およびプライバシーの保護に関する指令 2002/58/EC、(iii) (i) および (ii) の該当する国内実施、または (iii) 2018 年欧州連合 (離脱) 法第 3 条に基づき英国国内法の一部を構成する GDPR (「英国 GDPR」)、および (iv) 1992 年 6 月 19 日のスイス連邦データ保護法およびその条例 (「スイス DPA」)。いずれの場合も、修正、廃止、または置き換えが可能です。

「欧州個人データ」とは、本契約に従って共有される個人データが欧州データ保護法によって規制されていることを意味します。

「共同顧客」とは、パートナーと BROSH の両方の顧客を意味します。

「共同顧客個人データ」とは、共同顧客が管理者として機能する個人データを意味します。

「BROSH 個人データ」とは、BROSH が管理者として機能する個人データを意味します。

「パートナー個人データ」とは、パートナーが管理者として機能する個人データを意味します。

「個人データ」とは、特定された個人または特定可能な個人に関連するあらゆる情報であり、そのような情報は BROSH 個人データ、パートナー個人データ、または共同顧客個人データ内に含まれ、適用されるデータ保護法の下で個人データまたは個人を特定できる情報と同様に保護されます。

「個人データの漏洩」とは、個人データの偶発的または違法な破壊、紛失、改ざん、不正な開示、またはアクセスを意味します。

「処理」とは、個人データに対して実行されるあらゆる操作または一連の操作を意味し、個人データの収集、記録、整理、構造化、保管、適応または変更、検索、参照、使用、送信による開示、配布またはその他の方法による提供、調整または組み合わせ、制限または消去が含まれます。「処理」、「処理対象」および「処理済」という用語は、それに応じて解釈されます。

「処理者」とは、管理者に代わって個人データを処理する自然人または法人、公的機関、代理店またはその他の団体を意味します。

「標準契約条項」または「SCC」とは、2021 年 6 月 4 日の欧州委員会の実施決定 2021/914 に付属する標準契約条項を意味します。

「サブプロセッサー」とは、プロセッサーに処理サービスを提供するあらゆるエンティティを意味します。

「監督当局」とは、欧州経済領域の加盟国、スイス、または英国によって設立された独立した公的機関を意味します。

「英国補足条項」とは、2018 年データ保護法第 119A 条に基づいて英国 ICO が発行した国際データ転送補足条項 (バージョン B.1.0) を意味し、修正、置き換え、または置き換えられる場合があります。

2. 法律の遵守

両当事者はそれぞれ、適用されるデータ保護法に基づくそれぞれの義務および責任を遵守することを表明し、保証するものとします。

3. 共同プロセッサのシナリオ

各当事者は、他方当事者とともに共同顧客の個人データに関する処理者として行動する限りにおいて、(i) 共同顧客との契約に定められた指示および制限を遵守し、(ii) 適用されるデータ保護法に定められたデータ保護権の行使を可能にするために他方当事者と合理的に協力するものとします。両当事者は、各当事者が共同顧客の処理者として行動しており、いずれの当事者も他方当事者を下請け処理者として雇用していないことを認め、これに同意するものとします。

4. コントローラ間のシナリオ

各当事者は、他方当事者とともに個人データに関する管理者としての役割を果たす限りにおいて、適用されるデータ保護法に定められたデータ保護権の行使を可能にするために、他方当事者と合理的に協力するものとします。

両当事者は、個人データに関して各自が管理者として独立して行動しており、欧州データ保護法で定義される共同管理者ではないことを認め、同意します。

5. コントローラからプロセッサへのシナリオ

A.当事者の関係。本DPAの第6条から第9条に関する当事者の権利、責任、義務は次のとおりです。

BROSH がパートナーに代わってパートナーの指示により個人データを処理する処理操作の場合、「プロセッサー」という用語は BROSH を指し、「コントローラー」という用語はパートナーを指し、「個人データ」という用語はパートナーの個人データを指します。パートナーが BROSH に代わって BROSH の指示により個人データを処理するデータ処理操作の場合、「プロセッサー」という用語はパートナーを指し、「コントローラー」という用語は BROSH を指し、「個人データ」という用語は BROSH の個人データを指します。

B.処理の範囲。

上記第 5.a 項で説明したシナリオの文脈において、各当事者は、該当するパートナー契約および/またはパートナーと共同顧客との契約に定められた目的にのみ個人データを処理することに同意します。疑義を回避するために、処理される個人データのカテゴリとこの DPA の対象となるデータ主体のカテゴリは、この DPA のスケジュール A に記載されています。

6. 管理者の義務

当事者は管理者としての立場において、以下に同意するものとします。

A.プロセッサーに指示を与え、契約に従ってプロセッサーによる個人データの処理の目的と手段を決定する。

B.コントローラーに適用されるデータ保護法で規定されている個人データに関する保護、セキュリティ、およびその他の義務を、次の方法で遵守します。(i) コントローラーに代わって個人データが処理される個人の権利を行使するための手順を確立および維持する。(ii) 合法かつ有効に収集されたデータのみを処理し、そのデータがそれぞれの用途に関連し、比例していることを保証する。(iii) コントローラーの従業員またはコントローラーに代わって個人データにアクセスまたは使用する第三者による本DPAの規定の遵守を保証する。

7. 処理者の義務
A.処理要件当事者は、処理者としての立場において、以下に同意するものとします。

a.個人データは、(i) プロセッサーの製品およびサービス (洞察やその他のレポートの提供を含む) の提供、サポート、改善の目的のみで、適切な技術的および組織的セキュリティ対策を使用して、(ii) コントローラーから受け取った指示に従って処理します。プロセッサーは、個人データをその他の目的で使用または処理しません。プロセッサーは、本 DPA のセクション 6 ～ 9 の要件に準拠できない場合は、コントローラーに速やかに書面で通知するものとし、その場合、コントローラーは、本契約および該当するパートナー契約を解除するか、データ処理業務の停止を含むその他の合理的な措置を講じることができます。

b.プロセッサーの判断により、コントローラーからの指示が適用されるデータ保護法に違反している場合には、コントローラーに速やかに遅滞なく通知する。

c.プロセッサーがコントローラーに代わって個人から個人データを収集する場合は、そのような個人データの収集に関するコントローラーの指示に従ってください。

d. （i）プロセッサーの従業員および（ii）プロセッサーに代わって業務を遂行するために雇用されたその他の者が本契約および該当するパートナー契約の条件を遵守することを確実にするために商業的に合理的な措置を講じる。

e.従業員、権限を与えられた代理人、および下請け処理者は厳格な守秘義務（契約上の義務または法定義務）に従うことを表明し、保証し、そのような守秘義務を負わない人物による個人データの処理を許可しないものとします。

f.本DPAに従った義務の履行を支援するためにサブプロセッサーを雇用する予定がある場合、または処理活動の全部または一部をそのようなサブプロセッサーに委託する予定がある場合、(i)プロセッサーが現在雇用しているサブプロセッサーのリストをコントローラーに提供し(BROSHのそのようなリストは、https: //www.brosh.io/pagex/ja/sub-processors-page.htmlでオンラインで入手できます)、新しいサブプロセッサーの雇用について少なくとも30日前にコントローラーに通知し、コントローラーに異議を申し立てる機会を与え、(ii)そのようなサブプロセッサーがプロセッサーの指示に従って行動する場合、データ保護に関するサブプロセッサーの作為および不作為についてコントローラーに対して責任を負い、(iii)そのようなサブプロセッサーと、本DPAに規定されているのと同じレベルのデータ保護および情報セキュリティを提供することを義務付ける契約上の取り決めを締結します。

g.要求に応じて、コントローラーにプロセッサーのプライバシーとセキュリティポリシーを提供します。

h.プロセッサーが独立したセキュリティレビューを実施する場合は、コントローラーに通知します。

B. 管理者への通知。プロセッサーは、以下の事項を認識した場合、直ちに遅滞なくコントローラーに通知するものとします。

a.プロセッサーまたはその従業員による、本DPAの第6条から第9条、または本DPAに基づいて処理される個人データの保護に関連する適用されるデータ保護法の違反。

b.法執行機関または政府機関による個人データの開示を求める法的拘束力のある要求。ただし、法執行機関による調査の機密性を保持するためなど、処理者が管理者に通知することが法律で禁じられている場合を除きます。

c.個人データに関する監督当局による通知、照会、調査、または

d.管理者のデータ主体から直接受け取った苦情または要求（特に、個人データへのアクセス、修正、またはブロックの要求）。プロセッサーは、管理者の事前の書面による許可がない限り、そのような要求には応じません。

C. 管理者への支援。プロセッサーは、以下の事項に関して管理者に適時かつ合理的な支援を提供します。

a.適用されるデータ保護法に基づく権利（該当する場合、アクセス、訂正、異議、消去、データポータビリティの権利を含む）を行使するための個人からのあらゆる要求に応じ、プロセッサーは、そのような要求を直接受け取った場合、コントローラーに速やかに通知することに同意します。

b.個人データ侵害の調査、および当該個人データ侵害に関する監督当局および管理者データ主体への通知。

c.適切な場合には、データ保護影響評価を準備し、必要な場合には監督当局との協議を実施する。

D.必要な処理。

データ保護法により、プロセッサが本契約に関連する以外の理由で個人データを処理するよう要求される場合、プロセッサがコントローラーにそのような処理を通知することが法的に禁止されていない限り（たとえば、適用される EU 加盟国の法律に基づく秘密保持要件の結果）、プロセッサは、処理の前にコントローラーにこの要件を通知します。

E. セキュリティプロセッサは次のことを行います。

a.個人データの不正または偶発的なアクセス、紛失、変更、開示または破壊から保護するために、適切な組織的および技術的セキュリティ対策（人員、施設、ハードウェアおよびソフトウェア、ストレージおよびネットワーク、アクセス制御、監視およびログ記録、脆弱性および侵害の検出、インシデント対応、転送中および保存中の個人データの暗号化に関するものを含む）を維持する。

b.個人データに関するプロセッサの全担当者のセキュリティ、プライバシー、および機密保持の保護措置の十分性について責任を負い、当該プロセッサの担当者が本DPAの条件を満たさなかった場合の責任を負います。

c.プロセッサーのすべての担当者が本DPAの要件に従って個人データのセキュリティ、プライバシー、機密性を保護していることを確認するために適切な措置を講じる。

d.プロセッサー、そのサブプロセッサー、またはプロセッサーに代わって行動するその他の第三者による個人データの漏洩があった場合は、遅滞なく、いかなる場合でも個人データの漏洩を認識してから 48 時間以内にコントローラーに通知します。

F. カリフォルニア州の個人情報に関する追加規定。

プロセッサがコントローラから受け取った指示に従ってカリフォルニア州の個人情報を処理する場合、両当事者は、コントローラが CCPA の目的においてビジネスであり、プロセッサがサービス プロバイダーであることを認め、同意します。両当事者は、プロセッサがサービス プロバイダーとしてカリフォルニア州の個人情報を処理することを、プロセッサのサービス (洞察やその他のレポートの提供を含む) の提供、サポート、改善 (「ビジネス目的」) のみを目的として、または CCPA によって許可されているその他の方法で処理することに同意します。

8. 監査、認証

A. 監督当局による監査。

監督当局が、データ保護法の遵守状況を確認または監視するために、プロセッサーが個人データを処理するデータ処理施設の監査を要求した場合、プロセッサーはそのような監査に協力するものとします。コントローラーは、監査によってプロセッサーによる本DPAの遵守が明らかにならない限り、監査に協力するためにプロセッサーが負担した合理的な費用を払い戻します。

B. プロセッサ認定。

プロセッサは、コントローラからの電子メールによる要求（暦年あたり 1 回を超えない）に応じて（BROSH がプロセッサである場合、そのような電子メールは privacy@brosh.io に送信されるものとし、パートナーがプロセッサである場合、パートナーは要求に応じて、データ保護に関する電子メール通信用の単一の連絡先を確立し、BROSH に提供するものとします）、書面で本 DPA への準拠を証明する必要があります。

9. データの返却と削除

両当事者は、データ処理サービスの終了時または管理者の合理的な要求があった場合、データ保護法によりプロセッサが開示された欧州個人データの全部または一部を返却または破棄することが禁止されていない限り、プロセッサは、管理者の選択により、サブプロセッサがすべての欧州個人データおよび当該データのコピーを管理者に返却するか、安全に破棄し、当該措置を講じたことを管理者が納得できる形で証明するようにさせるよう、合理的な措置を講じることに同意するものとします。その場合、プロセッサは、保持する欧州個人データの機密性を保持することに同意し、適用法に準拠するために、当該日以降は当該欧州個人データを積極的に処理するのみとします。

10. データの転送

個人データがその原産国外に転送される場合、各当事者は、かかる転送がデータ保護法の要件に従って行われることを保証します。

a. パートナーの個人データ。個人データの適切な保護レベルを提供しない欧州外の管轄区域（適用される欧州データ保護法の意味において）で BROSH が処理するために、パートナーから BROSH に欧州の個人データを転送する場合、当事者は次のことに同意します。

（i）標準契約条項：当事者は、以下の第10条（c）に基づいて組み込まれたSCCを遵守し、それに従って欧州のデータを処理することに同意します。

(ii)プライバシー シールド: BROSH, Inc. は、EU 司法裁判所の C-311/18 事件の判決を踏まえて、個人データの移転の法的根拠として EU-US プライバシー シールドに依存していませんが、BROSH, Inc. がプライバシー シールドの自己認証を行っている限り、BROSH Inc. はプライバシー シールドの原則に従って欧州の個人データを処理し、この要件に準拠できない場合はパートナーに通知します。

両当事者は、BROSH 事業体が欧州個人データを処理するデータ主体が SCC に基づく第三者受益者であることに同意します。BROSH がこれらの要件を遵守できない、または遵守できなくなった場合、欧州個人データは欧州連合加盟国の領域内でのみ処理および使用され、欧州個人データを EU 以外の国に移動する場合は、欧州個人データに関するパートナーの事前の書面による同意が必要です。BROSH は、本第 10 条 (a) の規定を遵守できない場合は、直ちにパートナーに通知するものとします。

b. BROSH 個人データ。個人データの適切な保護レベルを提供しない欧州外の管轄区域（適用される欧州データ保護法の意味において）のパートナーによる処理のために、BROSH からパートナーに欧州個人データを転送する場合、当事者は次のことに同意します。

（i）標準契約条項：当事者は、以下の第10条（c）に基づいて組み込まれたSCCを遵守し、それに従って欧州のデータを処理することに同意します。

(ii)プライバシーシールド: BROSH, Inc. がプライバシーシールドの自己認証を受けている限り、パートナーはプライバシーシールドの原則に従って欧州の個人データを処理し、この要件に準拠できない場合は BROSH に通知します。

両当事者は、パートナーが欧州個人データを処理するデータ主体が SCC に基づく第三者受益者であることに同意します。パートナーがこれらの要件を遵守できない、または遵守できなくなった場合、欧州個人データは欧州連合加盟国の領域内でのみ処理および使用され、欧州個人データを非 EU 国に移動する場合は、個人データに関する BROSH の事前の書面による同意が必要です。パートナーは、本第 10 条 (b) の規定を遵守できない場合は、直ちに BROSH に通知するものとします。

c. 標準契約条項。両当事者は、SCC の目的において、(i) パートナー個人データに関しては、「データ エクスポーター」はパートナー、「データ インポーター」は BROSH (自身とその関連会社に代わって行動) とする、(ii) BROSH 個人データに関しては、「データ エクスポーター」は BROSH (自身とその関連会社に代わって行動) とする、(iii) 両当事者がコントローラーである場合はモジュール 1 の条件が適用され、SCC に基づいて個人データを受け取る当事者がコントローラーである相手方に代わってプロセッサーとして行動する場合はモジュール 2 の条件が適用される、(iv) 第 7 条では、任意のドッキング条項が適用される、(v) 第 9 条では、モジュール 2 のオプション 2 が適用され、プロセッサーは、本 DPA の第 7 条 (a) に従ってサブプロセッサーの承認を取得する、(vi) 第 11 条では、任意の文言が削除されることを認め、同意するものとします。 (vii) 第 17 条および第 18 条 (b) において、SCC はアイルランド共和国または本契約を締結した BROSH 法人が設立されている EEA 加盟国の法律に準拠し、紛争はアイルランド共和国の裁判所で解決されるものとし、かかる BROSH が EEA に設立されていない場合はアイルランド共和国の裁判所で解決されるものとします。(viii) SCC の付属書 I において、当事者の詳細は本契約に記載されています。(ix) SCC の付属書 I および付属書 II の残りの情報は、本 DPA のスケジュール A に記載されている情報で完了したものとみなされます。

d. 英国への転送。英国 GDPR の対象となる個人データに関しては、SCC は上記第 10 条 (c) および以下の追加変更に従って適用されるものとします。(i) SCC は英国補遺で指定されるように修正され、英国補遺は参照により組み込まれるものとします。(ii) 英国補遺のパート 1 の表 1 から 3 には、本 DPA のスケジュール A に規定されている関連情報が入力されます。(iii) 英国補遺のパート 1 の表 4 は、「どちらでもない」を選択することで完了したものとみなされます。(iv) SCC と英国補遺の間の矛盾は、英国補遺のセクション 10 およびセクション 11 に従って解決されるものとします。

e. スイスへの転送。スイスDPAの対象となる個人データに関しては、SCCは上記第10条(c)および以下の追加修正に従って適用されるものとします。(i)「規則(EU)2016/679」およびその特定の条項への言及は、スイスDPAおよびその同等の条項またはセクションへの言及として解釈されるものとします。(ii)「EU」、「連合」および「加盟国」への言及は、「スイス」への言及に置き換えられるものとします。(iii)「管轄監督当局」および「管轄裁判所」への言及は、「スイス連邦データ保護情報コミッショナー」および「スイスの管轄裁判所」への言及に置き換えられるものとします。(iv)第17条および第18条(b)において、SCCはスイスの法律に準拠し、紛争はスイスの裁判所で解決されるものとします。

11. 期間

本DPAは、いずれかの当事者がパートナー契約に従って相手方によりアップロードまたは提供された個人データに対して個人データ処理操作を実行する限り、有効に存続するものとします。

12. 補償

各当事者は、違反当事者が本DPAまたは欧州データ保護法に含まれる適用法、規制、原則に基づく義務のいずれかを遵守しなかったことに起因または結果として他方当事者に対して提起された第三者の請求から生じる、あらゆる損失、損害、責任、不備、訴訟、判決、利息、裁定、罰則、罰金、費用、または経費（合理的な弁護士費用、本契約に基づく補償権の行使費用、および保険会社の追及費用を含む）から、他方当事者およびその子会社、関連会社、それぞれの役員、取締役、従業員、および代理人を防御し、補償し、免責するものとします。各当事者の責任は、該当するパートナー契約の責任制限に従うものとします。

スケジュールA

付録A - 移転の説明

1.データ主体のカテゴリー。転送される個人データは、データ輸入者とデータ輸出者間の合意に応じて、以下のカテゴリーのデータ主体に関係します。

BROSH メンバー、データ エクスポーターの潜在的および実際の顧客と従業員、データ エクスポーターの販売およびマーケティング リード、およびデータ エクスポーターと商業関係がある、または持つ可能性がある第三者 (広告主、顧客、企業加入者、請負業者、製品ユーザーなど)。

2.個人データのカテゴリー。転送される個人データは以下のカテゴリーのデータに関係します。

転送されるデータは、パートナー契約に関連してデータ エクスポーターがデータ インポーターに提供する個人データです。このような個人データには、名、姓、電子メール アドレス、連絡先情報、学歴、職歴、および BROSH メンバー プロファイル、履歴書、セールス リードおよび顧客リストに関する CRM データで提供されるその他の情報、データ エクスポーターが前述に関して提供するメモ、および BROSH プラットフォーム上で行われる BROSH メンバーのその他のアクティビティが含まれる場合があります。

1. 機密データ（該当する場合） 。転送される個人データは、次の特別なカテゴリのデータに関係する場合があります。
   なし。
2. 転送の頻度。
   個人データは継続的に転送されます。
3. 処理の性質と目的。転送は以下の目的で行われます。
   移転は、パートナー契約で想定される当事者の関係を可能にすることを目的としています。「パートナー契約」とは、データ インポーターとデータ エクスポーターが締結する契約であり、当事者間のデータ共有を規定します (ただし、パートナーによる BROSH 製品およびサービスの購入を規定する、パートナーと BROSH 間の顧客契約は除きます)。
4. 個人データの保存期間：
   両当事者間で転送される個人データは、パートナー契約で許可された期間のみ保持されます。両当事者は、各当事者が他方当事者とともに個人データに関する管理者として行動する限りにおいて、データ保護法に定められたデータ保護権の行使を可能にするために他方当事者と合理的に協力することに同意します。
5. 処理の主題、性質および期間。
   処理の主題、性質、期間は、本DPAを含む契約書に記載されているとおりです。
6. 管轄監督当局。標準契約条項の目的上、管轄監督当局は、パートナーまたはパートナーの EEA 代表者が設立されている EEA 加盟国の当局 (パートナー個人データに関して)、または [アイルランドデータ保護コミッショナー] (BROSH 個人データに関して) です。英国およびスイスへの転送の目的上、管轄監督当局は、英国情報コミッショナーまたはスイス連邦データ保護情報コミッショナー (該当する場合) です。

付録B – セキュリティ対策

当社は、お客様の個人情報を保護するために、さまざまなセキュリティ技術と手順を採用しています。すべての個人情報は、適切な物理的、技術的、組織的対策を使用して保護されています。BROSH のセキュリティの詳細については、 https://www.brosh.io/pagex/ja/Security-Policy.htmlをご覧ください。