データ処理契約

1.1 管理者としてのお客様適用されるプライバシー法に基づき、お客様が当該顧客データの管理者である場合：

1.1.1 処理の対象および詳細は、第 2 条に記載されています；

1.1.2 適用される個人情報保護法に基づき、CHCNAV が当該顧客データの処理者である場合；

1.1.3 各当事者は、当該顧客データの処理に関して、適用される個人情報保護法に基づいて適用される義務を遵守するものとします。

1.2 管理者の要請。本 DPA の期間中、CHCNAV がお客様データの管理者と称する第三者から要求または指示を受けた場合、CHCNAV は、当該第三者に対し、お客様に連絡するよう助言します。

2.1 対象処理の主体は、CHCNAV によるお客様への本サービスの提供です。

2.2 処理期間 処理期間は、本利用規約に加え、本利用規約の終了から本DPAに従って全てのお客様データが削除されるまでの期間とします。

2.3 処理の性質および目的。処理の性質および目的は、利用規約に基づく本サービスへのお客様のアクセスおよび使用を保証するために、CHCNAV ネットワーク上で利用可能なコンピューティング、ストレージおよびその他のクラウドサービスです。

2.4 個人データの種類個人データの種類は、お客様またはエンドユーザーから CHCNAV にデータが提供される個人に関するデータです。

2.5 データ主体のカテゴリーデータ主体のカテゴリーには、お客様またはエンドユーザーからCHCNAVにデータが提供される個人、特にお客様の(i)従業員、(ii)サプライヤー、(iii)エンドユーザー、(iv)顧客が含まれます。

3.1 適法性。各当事者は、本DPAの履行に関して、適用される個人情報保護法を遵守します。各当事者は、かかる遵守を証明することができるものとします。

3.2 情報CHCNAVは、本DPAに定める義務の遵守を証明するために必要なすべての情報をお客様に提供します。

3.3 お客様の 指示両当事者は、本DPAおよび本利用規約が、CHCNAVによるお客様データの処理に関するお客様の文書化された指示（以下「指示」といいます）を構成することに同意します。CHCNAV は、「指示」に従ってのみお客様データを処理します。

3.4 通知お客様は、処理の性質を考慮すると、CHCNAV が、指示が適用される個人情報保護法に抵触するか否かについて意見を述べることができる可能性が低いことに同意するものとします。ただし、CHCNAV が当該意見を形成した場合、CHCNAV は、CHCNAV の意見として、(a) 適用される個人情報保護法により CHCNAV が指示に従うことが禁止されている場合、(b) 指示が適用される個人情報保護法を遵守していない場合、または (c) その他 CHCNAV が指示に従うことができない場合、適用される個人情報保護法により当該通知が禁止されている場合を除き、直ちにお客様に通知します。本条は、本利用規約の他の部分におけるいずれかの当事者の権利または義務を制限するものではありません。

3.5 指示の範囲処理業者として、CHCNAV は、本サービスの提供、安全確保および監視に必要な範囲でお客様データを処理し、本利用規約、本 DPA に定める目的または適用個人情報保護法で要求される目的以外の目的で、本サービスの提供に関連しない目的で、お客様データを収集、使用、保持、アクセス、共有、販売、移転またはその他の処理を行いません。

4.1 人員CHCNAV は、顧客データを処理する権限を付与された者が、守秘義務を誓約しているか、または適切な守秘義務の下にあることを保証します。

4.2 開示上記第 3.5 条および下記第 9 条を妨げることなく、CHCNAV は、本サービスの維持または提供に必要な場合、または法令もしくは管轄公的機関による有効かつ拘束力のある命令（召喚状、裁判所命令など）に従うために必要な場合を除き、お客様データにアクセス、使用、または第三者に開示しないものとします。CHCNAV が、所轄の公的機関からお客様データの開示を求められた場合、CHCNAV は、かかる召喚をお客様に向けるよう努めるものとします。これには、所轄の公的機関にお客様の基本的な連絡先情報を提供することが含まれます。CHCNAVが管轄の公的機関にお客様データを開示する法的義務を負う場合、CHCNAVは、CHCNAVが法的に禁止されている場合を除き、お客様が必要な救済措置を講じることができるよう、お客様に対し、当該命令について合理的な通知を行います。

5.1 セキュリティ対策 CHCNAV は、セキュリティ対策を実施し、維持する。セキュリティ対策には、個人情報の暗号化、CHCNAV のシステムおよびサービスの継続的な機密性、完全性、可用性および回復力の確保、インシデント発生後の個人情報へのタイムリーなアクセスの回復、および定期的な有効性のテストが含まれます。CHCNAV は、本サービスのセキュリティを著しく低下させない限りにおいて、セキュリティ対策を随時更新することができるものとします。

5.2 顧客データへのアクセスCHCNAV は、(a) 指示に従うために厳密に必要な場合に限り、その従業員、請負業者およびサブプロセッ サにお客様データへのアクセスを許可し、(b) その従業員、請負業者およびサブプロセッ サが、その履行範囲に適用される範囲で、セキュリティ対策を遵守するよう適切な措置を講じます。

5.3 追加的なセキュリティ管理CHCNAV は、以下の目的で追加的なセキュリティ管理を利用できるようにします：(a) お客様がお客様データを保護するための措置を講じることができるようにすること、及び (b) お客様データの保護、アクセス及び使用に関する情報をお客様に提供すること。

5.4 セキュリティ支援CHCNAV は、お客様データの処理の性質および CHCNAV が利用可能な情報を考慮し、GDPR 第 32 条から第 34 条に基づくお客様の義務の遵守を確保するために、以下の方法によりお客様を支援します：

5.4.1 第5.1項および第5.2項に従ってセキュリティ対策を実施し、維持すること；

5.4.2 第5.3項に従い、追加のセキュリティ管理をお客様に提供すること；

5.4.3 第 6 条の条件に従うこと；

5.4.4 上記5.4.1～5.4.3項が、お客様（または関連する管理者）がかかる義務を遵守するために不十分である場合、お客様の要請に応じて、お客様に追加の合理的な協力および支援を提供すること。本条を遵守するために CHCNAV が負担する合理的な費用は、お客様が単独で負担するものとします。

5.5 お客様のセキュリティ責任第 5.1 条から第 5.4 条、第 6 条およびその他の DPA または本利用規約に基づく CHCNAV の義務を損なうことなく、お客様は、本サービスの利用および CHCNAV またはサブプロセッサのシステム外へのお客様データのコピーの保管について、以下の事項を含む責任を負うものとします：

5.5.1 顧客データのリスクに適したセキュリティレベルを確保するために、本サービスおよび追加セキュリテ ィ管理を使用すること；

5.5.2 お客様が本サービスへのアクセスに使用するアカウント認証情報、システム、およびデバイスのセキュリ ティを確保すること。

5.5.3 必要に応じて顧客データをバックアップすること。

6.1 通知 CHCNAV は、個人情報漏えいを認識した後、遅滞なくお客様に通知します。当該通知は、お客様から提供された連絡先情報を使用して、CHCNAV が選択する手段（電子メール、SMS 等を含みますが、これらに限定されません）により行われます。お客様の管理者／担当者が常に本アカウントの正確な連絡先情報を維持することは、お客様ご自身の責任となります。

6.2 援助。個人情報漏えいが発生した場合、CHCNAV は、処理の性質および CHCNAV が利用可能な情報を考慮して、GDPR 第 33 条および/または第 34 条に基づく義務の遵守を確保するためにお客様を支援します。

CHCNAVは、本DPAに従って個人データの処理に対応します。お客様は、監査権を行使し、または第三者に権限を付与することができます。この権利を行使するために、お客様は、監査開始予定日の少なくとも30日前までに、書面によりCHCNAVに通知するものとします。CHCNAVが、適用されるデータ保護規制の下で規定されるお客様の監査または検査に応じない場合、お客様は、本DPAおよび本利用規約を解除する権利を有します。書面による別段の合意がない限り、本条項を遵守するためにCHCNAVが負担する合理的な費用（適用個人情報保護法に基づいてCHCNAVが実施義務を負う定期的なコンプライアンス監査を除く）は、お客様が単独で負担するものとします。 合理的な費用」とは、監査プロセスを完了するために必要かつ適切な費用と定義します。これには、一般に公開されていない報告書及び文書の（冗長化された）コピーをお客様に提供する努力などの管理上の負担が含まれます。標準契約条項が適用される場合、本セクションのいかなる規定も、標準契約条項を変 更または修正するものではなく、標準契約条項に基づく監督当局またはデータ対象者の権利 に影響を与えるものではありません。

8.1 遵守CHCNAV は、上記第 5.4 条に基づく支援義務に加え、顧客データの処理の性質および CHCNAV が利用可能な情報を考慮した上で、GDPR 第 35 条および第 36 条に基づく義務の遵守を確保するためにお客様を支援します。

8.2 データ主体の権利CHCNAVは、処理の性質を考慮し、GDPR第3章に定めるデータ主体の権利行使要求に対応する義務を履行するために、お客様を支援します。CHCNAVは、アカウントの機能を通じて、お客様データに関するデータ主体の要求に対応するために必要な措置を講じる可能性をお客様に提供します。CHCNAV が本アカウントの機能性を提供することにより、また、CHCNAV が受領したデータ主体の要請をお客様に転送することにより、CHCNAV が GDPR に基づき要求される支援は完了します。このような支援のための具体的な技術的および組織的手段、ならびに支援の範囲および程度は、本書に添付されたSCCの付属書IIに規定されています。

8.3 データ対象者の要請 CHCNAV は、商業上合理的な努力をもって、データ対象者から受領した要請を速やかにお客様に転送します。お客様がプライバシーの権利を行使したい場合、またはデータ対象者の要求についてCHCNAVに提起または相談したい場合は、datacompliance@huace.cn。本条項を遵守するためにCHCNAVが負担する合理的な費用は、お客様が単独で負担するものとします。

9.1 一般的な権限 お客様は、CHCNAV がお客様のために特定の処理業務を遂行するために、サブプロセッサーと契約することに同意するものとします。

9.2 サブプロセッサーリストの変更CHCNAV は、サブプロセッサーリストを更新し、お客様に通知を送付することにより、少なくとも 15 日前までに、サブプロセッサーリストの変更に関する情報（サブプロセッサーの身元および一般的な所在地を含む）をお客様に提供します。

9.3 サブ処理者に関する義務 9.1 項に定めるサブ処理者を雇用する場合、CHCNAV は以下を行います：

9.3.1 書面による契約により、以下を確実にするものとします：

9.3.1.1 サブプロセサーは、委託された義務の履行に必要な範囲でのみ顧客データにアクセスし、これを利用し、利用規約（本 DPA を含む）に従ってこれを行います。

9.3.1.2 本DPAに記載されるデータ保護義務（該当する場合、GDPR第28条(3)に言及される）をサブプロセサーに課し、かつ

9.3.2 下請け業者に委託されたすべての義務、および下請け業者のすべての作為および不作為に対して全責任を負うものとします。

10.1 データの保管および処理施設 顧客データが処理される地域は、お客様によってのみ指定されます。EU地域では、CHCNAVのデータセンターはアイルランド-ダブリンにあります。お客様がEU地域を選択された場合、全ての顧客データはアイルランド-ダブリンに保管されます。

非EU地域の場合、CHCNAVのデータセンターはサブプロセッサー一覧に掲載されています。お客様が非EU地域を選択された場合、すべての顧客データは、サブプロセッサー一覧にあるお客様の選択された非EU地域に保存されます。

10.2 第三国への移転。お客様が個人データを非 EU 地域で処理することを希望される場合、これは、お客様から CHCNAV への書面による指示により、お客様の指示及び指定によってのみ実現されます。

お客様が選択した地域からのお客様データの転送は、以下の場合に限りCHCNAVが行うことができます：(a) お客様が要求されたサービスを提供するために必要な場合、特にセキュリティインシデントまたは利用規約違反を調査するために必要な場合、または (b) 適用される法令または裁判所もしくは管轄公的機関が発行する拘束力のある命令を遵守するために必要な場合。

EEA域外の第三国への移転が、書面による利用規約のサービスによって顧客の要請により行われる場合、これはGDPRに規定されている適切な保護措置、特に欧州委員会の実施決定（EU）2021/914により承認された標準契約条項への署名、および十分な技術的・組織的措置の実施に基づいてのみ行われます。

適切な契約条項の選択は、対応する個人データ処理の文脈におけるお客様の役割に基づいて決定されるものとします。

お客様が EU で確立されたデータ管理者であり、CHCNAV に個人データに関するデータ処理者としての役割を委託する場合、欧州委員会実施決定（EU）2021/914 で採択された管理者対処理者（C2P）SCC（モジュール2）が準用されるものとします。

お客様がデータ処理者として、本サービスに関連する個人データのさらなる処理をCHCNAVに依頼する場合、欧州委員会実施決定（EU）2021/914により採択された処理者間（P2P）SCC（モジュール3）が準用されるものとします。

10.3 適切な国への移転。両当事者は、適用される個人情報保護法が、顧客データが適切な国で処理されるため、または適切な国に移転されるために、標準契約条項を要求しないことを認めるものとします。

11.1 個人データの返却または削除。CHCNAV は、本アカウントの機能を通じて、適用される個人情報保護法によりお客様データの保存が要求される場合を除き、本利用規約の条件に従い、いつでもお客様データの全部を削除する機能をお客様に提供します。CHCNAV は、お客様により要求された場合、お客様がアカウントを閉鎖した場合、または本使用条件に別段の定めがある場合（延長および/または保存期間の終了時など）、お客様データを削除します。

11.2 削除の承認お客様は、CHCNAV に対し、第 11.1 条に定めるとおり、すべてのお客様データを削除するよう指示します。

12.1 処理記録 CHCNAV は、適用個人情報保護法により要求される処理活動に関する適切な文書を保管します。適用個人情報保護法が、CHCNAV にお客様に関する特定の情報の収集および記録の保持を要求する範囲において、お客様は、CHCNAV が提供する管理および機能を利用して、当該情報を提供し、正確かつ最新の状態に保つものとします。CHCNAVは、適用個人情報保護法により要求された場合、監督当局に当該情報を提供することができる。

本DPAにおける相互義務の 対価として 、両当事者は、本DPAが利用規約に定める準拠法および管轄権に従うことに同意します。

本利用規約で別途定義されていない限り、本 DPA で使用されるすべての大文字の用語は、以下の意味を有します：

「追加セキュリティ管理」とは、暗号化、ロギングおよび監視、アイデンティティおよびアクセス管理、セキュリティスキャン、ファイアウォールを含む、お客様が任意で、および/またはお客様が決定することにより使用することができるセキュリティリソース、機能、機能および/または管理を意味します。

「適切な国」とは、(a) GDPR の対象として処理されるデータについては、EEA 加盟国、または GDPR 第 45 条(1)に基づき欧州委員会が適切性決定の対象とした国または地域を意味します。スイス、または(i)スイス連邦データ保護・情報コミッショナーが公表した、法律が十分な保護レベルを保証している国のリストに含まれている、または(ii)FDPAに基づきスイス連邦理事会による適切性決定の対象となっている国または地域、(c)その他の適用プライバシー法に従って処理されたデータについては、当該法律に沿って十分な保護が保証されているとみなされる国または地域。

「適用 プライバシー法」とは、該当する場合、(a)GDPR、および/または(b)FDPA、および/または(c)セルビアDP法、および/または(d)ウクライナDP法、ならびにEEAおよび/またはスイスの加盟国、セルビア、またはウクライナで施行されているその他のデータ保護法またはプライバシー法、ならびに本DPAおよび利用規約に基づく顧客データの処理に関連する、これらのいずれかを改正、置換、再実施、または統合する法律および/または規制を意味します。

「お客様」 は、本DPAを締結する当事者であって、個人的な立場で、または法人を代表して行動する者を意味し、エンドユーザーを含むその認定関連会社を含みます。

「エンドユーザー」とは、お客様が本サービスおよび/またはお客様のコンテンツへのアクセスおよび使用を許可するすべての者を意味します。

「顧客データ 」とは、お客様のコンテンツに含まれる個人データを意味します。

「EEA」とは、欧州経済地域を意味します。

「FDPA」とは、1992年6月19日のスイス連邦データ保護法および2020年9月25日の新しいスイス連邦データ保護法を意味します。

「GDPR」とは、個人データの処理に関する自然人の保護および当該データの自由な移動に関する2016年4月27日の欧州議会および理事会の規則（EU）2016/679を意味し、指令95/46/EC（一般データ保護規則）を廃止するものです。特定のGDPR条項への言及は、GDPRの各条項において実質的に類似した権利または義務を規定する適用個人情報保護法の各条項にも関連します。

"SCCs"または "標準契約条項"とは、2021年6月4日の欧州委員会実施決定（EU）2021/914により採択された、第三国への個人データの移転に関する標準データ保護条項を意味します。

「SCCs（モジュール2）」とは、標準契約条項モジュール3の条項を意味します：SCCs-CPのリンクを挿入する]で入手可能な、管理者から処理者への移転。

「SCCs（モジュール3）」とは、標準契約条項モジュール3の条項を意味する：SCCs-PPのリンクを挿入]。

「セキュリティ対策」とは、偶発的または違法な破壊、紛失、改ざん、不正な開示またはアクセ スから顧客データを保護するための技術的および組織的な対策を意味します。

「セルビアDP法」とは、個人データ保護に関するセルビア法（「セルビア共和国官報」第87/2018号）を意味します。

"サブプロセッサー" とは、CHCNAV が契約し、本サービスの一部を提供するために顧客データに論理的にアクセスし、処理することを他のプロセッサーとして許可された第三者を意味します。

"サブプロセッサー一覧" とは、付録 1 に掲載されている承認されたサブプロセッサーの一覧を意味します。CHCNAV は、お客様が指定したサブプロセッサの一部または全部からのみサービスを提供します。

「監督機関」とは、該当する場合、(a) GDPRに定義される「監督機関」、および/または、(b) FDPAに定義される「コミッショナー」を意味します。

「第三国」とは、適切な国ではない国を意味します。

「ウクライナDP法」とは、2010年6月1日付のウクライナの個人データ保護に関する法律第2297-VI号（改正後）およびこれに基づいて採択された下位法を意味します。

また、「個人データ」、「個人データ侵害」、「データ主体」、「処理」、「管理者」、「処理者」という用語は、適用される個人情報保護法で規定される意味を有します。

更新[2025/12/15]

付録1： サブプロセッサーリスト