本文書は、英語の法的ポリシーの日本語翻訳です。以下の日本語訳が正確であるように心掛けておりますが、英語版とその翻訳との間に矛盾が生じた場合、英語版が優先するものとします。英語版の法的ポリシーについては、「こちら」をご参照ください。

1.導入と範囲

  1. このデータ処理に関する補足書(以下「本DPA」)は、Kinstaのウェブサイト(https://kinsta.com/legal/)にある利用規約、プライバシーポリシー、およびその他の関連するポリシーと契約(以下、総称して「本契約」)の一部です 。本DPAと本契約(本DPA以外)の規定の間に矛盾がある場合、本DPAの規定が優先するものとします。
  2. 本DPAは、Kinstaとお客様の間の拘束力のある契約ですが、それは、(a)Kinstaが、本契約に基づいて、お客様のためにお客様の個人データ(以下に定義)を処理し、かつ(b)データ保護法が当該お客様の個人データに適用される範囲に限られます。何らかの方法で本サービスを使用することにより、本DPAの条件に同意したことになります。

2.定義

本DPAで定義されていない用語については、本契約のその他の条項で規定されている意義を有します。また、以下の定義された用語は、本DPAに対してのみ適用されます。

  1. 「コントローラー」「プロセッサー」「データ主体」「処理」「個人データ」、および「個人データの侵害」は、データ保護法で定められている意義を有します。
  2. 「お客様の個人データ」とは、データ保護法が適用される個人データであって、お客様が本サービスに関連して提供、転送、またはKinstaがアクセスできるようにするものを意味します。
  3. 「データ保護法」とは、2016年4月27日の欧州議会および理事会の規則(EU)2016/679、ならびに欧州連合または欧州経済領域(EEA)の加盟国、英国またはスイスによる類似または関連する施行法をいいます。

3.両当事者の役割

  1. コントローラーはお客様で、お客様の個人データに関するプロセッサーはKinstaです。Kinstaは、お客様の個人データを、お客様の書面による指示(本契約の規定を含む)に従ってのみ処理します。ただし、データ保護法を遵守する必要がある場合はこの限りではありません。当社の意見でお客様の指示がデータ保護法に違反する場合、お知らせします。
  2. お客様とKinstaは、データ保護法を遵守するものとします。お客様は、お客様の個人データに関して、必要な承認、同意、リリースや許可を取得し、また、必要なすべてのプライバシー通知を行うものとします。なお、お客様は、すべてのお客様の個人データの正確性、品質および合法性、ならびにデータ主体から収集する根拠につき単独で責任を負います。

4.処理の性質、目的、および期間

  1. Kinstaは、本契約期間中、本サービス(これは、一般的にお客様のウェブサイトのパッシブホスティングに限定されます)を実行するために、またはKinstaの法的権利を保護するために、必要に応じてお客様の個人データを処理します。ただし、書面で別段の合意をした場合はこの限りではありません。お客様が本サービスに関連してお客様の個人データをKinstaへ転送する際は、お客様が、その単独裁量で決定および管理します。
  2. Kinstaは、次のカテゴリーのお客様の個人データを処理する可能性があります。それは、お客様のウェブサイトに関連してエンドユーザーデータサブジェクトから収集、使用、または処理した個人データです。
  3. Kinstaは、次のカテゴリーのデータ主体のお客様の個人データを処理する可能性があります。それは、お客様のウェブサイトのエンドユーザーです。

5.クロスボーダー転送

  1. お客様は、お客様のウェブサイトをホストするのにGoogle Cloud Platformデータセンターを選択されました。お客様は、(a)お客様の個人データはすべて、お客様が選択したGoogleデータセンターに自動的に転送および保存されること、また(b)お客様の個人データは、お客様の選択により、欧州経済領域(EEA)、英国またはスイスから、Googleデータセンターがある国へ転送される場合があることを了解し、同意し、理解します。
  2. KinstaとGoogleは、Google Cloud Platformのデータ処理、セキュリティ条項とEUモデル契約条項に合意しています。詳細については、https://cloud.google.com/security/gdpr/の「国際データ転送」セクションで、クロスボーダー転送に関するGoogleのコミットメントをご覧ください。
  3. お客様はまた、(a)データ保護法に基づき、関係する国や地域で適切なレベルの保護が行われているとの十分な調査結果が出ている場合、または(b)標準的な契約条項またはプライバシーシールド(該当する場合)など、他の適切な安全対策が実施されている場合、本サービスを提供する目的で、Kinstaが、EEA域外の国や地域にお客様の個人データを転送することを許可します。

6.サブプロセッサー

  1. Kinstaは、本サービスを提供する目的で、お客様の個人データを処理するサードパーティの下請業者(以下「サブプロセッサー」)と契約しています。サブプロセッサーの最新のリストは、以下の付属書Aに記載されています。お客様は、本サービスを提供する目的で、Kinstaがこのようなサブプロセッサーを使用することを承認します。
  2. Kinstaは、付属書Aのサブプロセッサーのリストを随時更新する可能性があり、かかる更新は、お客様にサブプロセッサーの変更を通知する唯一の手段となります。お客様は、付属書Aのサブプロセッサーのリストを定期的にチェックおよびレビューする責任を負っています。Kinstaが新しいサブプロセッサーを掲載した日から14日以内に、お客様が新しいサブプロセッサーにつき書面で異議を唱えなかった場合、新しいサブプロセッサーを承認したことになります。
  3. Kinstaが、その単独裁量で、Kinstaの通知を受けた、サブプロセッサーに対するお客様の異議に適時かつ合理的に対応できないと判断した場合、お客様は、サービス利用規約の解除条項に従って、本契約を解除することができます。これは、お客様の唯一かつ独占的な救済措置になります。
  4. Kinstaは、サブプロセッサーと書面で契約することにより、本DPAに規定されているものと同じまたは実質的に同等の義務をサブプロセッサーに課すものとします。Kinstaは、サブプロセッサーがお客様の個人データに関するデータ保護義務を履行することにつき、お客様に対して責任を負います。

7.セキュリティと影響評価

  1. Kinstaは、その人員が、お客様の個人データに関して守秘義務を負うようにしなければなりません。
  2. Kinstaは、最新技術、実装のコスト、処理の性質、範囲、コンテキスト、目的、およびデータ主体の権利と自由に対するさまざまな可能性と深刻度のリスクを考慮して、技術的および組織的な措置を執り行い、リスクのレベルに見合ったセキュリティを確保できるようにします。
  3. Kinstaは、処理の性質とKinstaが利用できる情報を考慮して、セキュリティ、影響評価、および監督当局または規制当局との協議に関するデータ保護法に基づくお客様の義務を確実に遵守できるようにお客様を支援します。

8.個人データの侵害

  1. Kinstaは、処理の性質とKinstaが利用できる情報を考慮して、個人データの侵害に関するデータ保護法に基づくお客様の義務を確実に遵守できるようにお客様を支援します。
  2. 個人データの侵害が発見された場合、Kinstaは、通常の本アカウント関連の連絡を行うために確立された手段を用いて、お客様の技術担当および本アカウントの連絡先に速やかに通知するものとします。
  3. 通知には、通知の時点でKinstaが合理的に入手できる範囲で以下の情報を含め、Kinstaは追加情報が合理的に入手できるようになり次第、通知を更新するものとします。(a)個人データ侵害の日時。(b)個人データ侵害の発見の基礎となる基本的な事実、または該当する場合、個人データ侵害の疑いの調査を開始する決定。(c)個人データ侵害に関わるお客様の個人データの詳細(具体的に、またはデータセットを参照して)。(d)個人データ侵害を引き起こした脆弱性を改善または軽減するために計画中または実行中の対策。

9.データ主体の要求

  1. Kinstaは、処理の性質を考慮して、データ保護法に基づいてデータ主体の権利を行使する要求に応えるお客様の義務を果たせるように、可能な限り、適切な技術的および組織的な手段によってお客様を支援するものとします。
  2. Kinstaは、適用法で禁止されていない限り、お客様の個人データに関する権利を行使するというデータ主体からの要求を受け取った場合、速やかにお客様に通知します。また、適用法で要求される範囲を除き、お客様の事前の書面による指示なしに、データ主体からのリクエストに応じて独自に行動を起こすことはありません。

10.監査と検査

  1. 秘密保持契約書に従うことを条件として、Kinstaは、お客様に対して、本DPAに定められた義務を遵守していることを証明するために合理的に必要な情報を提供するものとします。
  2. オンサイト監査は、(i)Kinstaへの60日以上の合理的な事前の書面による通知を行うことを条件とし、(ii)秘密保持契約書、およびKinstaによって精査し事前承認された詳細な監査計画書に従うことを条件とし、(iii)3暦年ごとに1回に制限され、(iv)お客様の費用と経費負担で行い、(v)Kinstaが明確に特定した、本DPAの規定を遵守できなかった疑いを評価する範囲と目的に制限され、さらにKinstaが決定した他のすべての合理的な手段を使い果たした後にのみ行い、かつ(vi)Kinstaの事業運営を不当に混乱させることなく、Kinstaの代表者臨席の下で行うものとします。

11.お客様の個人データの削除または返却

本契約が適切に解除され、お客様の書面による指示があった場合、Kinstaは、お客様の個人データの継続的な保管を要求する適用法に従い、お客様の個人データを削除するか、お客様の個人データとその写しをお客様に返却する合理的な措置を講じるものとします。

付属書A

サブプロセッサーのリスト