Data Processing Addendum (DPA) – Strmfy / APPHUBIC LTD

データ処理補足契約(DPA)

最終更新日: 2025年8月27日
このDPAは、お客様と「お客様" または "コントローラ") そして アプフビック株式会社、取引先 ストルムファイ (「プロセッサ(「GDPR」)は、英国GDPRおよび該当する場合はEU GDPRに準拠するように設計されています。このテンプレートは情報提供のみを目的としており、法的助言を構成するものではありません。

パーティー

プロセッサ: APPHUBIC LTD、会社番号 16438256、登記住所 20 Wenlock Road、ロンドン、イングランド、N1 7GU、「Strmfy」として取引しています。

コントローラ: Strmfy の主なサービス契約、注文フォーム、またはアカウント登録で特定される顧客。

1. 主題と期間

1.1 本DPAは、Strmfyサービスに関連して、コントローラーに代わってプロセッサーが行う個人データの処理を規定します。

1.2 処理は、法律で別途規定されない限り、主契約の有効期間および更新期間中継続されます。

2. 定義

などの用語 個人データ, 処理, コントローラ, プロセッサ, データ主体、 そして 監督機関 英国 GDPR および該当する場合は EU GDPR で定義されている意味を持ちます。

3. 性質、範囲、目的

3.1 性質と目的: APIアクセス、クリックログ、および関連機能を含むリンク短縮、管理、分析サービスの提供。詳細は以下を参照。 附属書I.

3.2 データとデータ主体のカテゴリー: 記載の通り 附属書I通常、IP アドレス、ユーザー エージェント、クリックのタイムスタンプ、限定的なアカウント データが含まれます。

3.3 プロセッサーは、コントローラーの文書化された指示に従ってのみ個人データを処理するものとします。

4. 処理者の義務

  • 個人データの処理は、国際的な転送を含め、管理者からの文書化された指示に従ってのみ行います。
  • 個人データを処理する権限を持つ人物が機密保持義務を負っていることを確認します。
  • 適切な技術的および組織的措置を実施し維持する( 付属書II).
  • 個人データの漏洩に気付いた場合は、遅滞なく管理者に通知します(第 9 条)。
  • データ主体の要求 (セクション 10)、セキュリティ、DPIA、および必要に応じて当局との協議に関してコントローラーを支援します。
  • 法律で義務付けられているとおりに処理の記録を保持します。
  • 第 6 項に規定されている保証なしにサブプロセッサーを任命しないでください。

5. 管理者の義務

  • 合法的な文書化された指示を提供し、処理の有効な法的根拠を確保します。
  • 書面で明示的に同意しない限り、特別なカテゴリのデータを転送しません。
  • 処理指示または法的根拠に影響を与える変更については、遅滞なくプロセッサーに通知します。
  • データ主体に対する通知、同意、透明性に責任を持ちます。

6. サブプロセッサー

  • コントローラーは、ホスティング、分析、電子メール配信、顧客サポート、請求、および関連サービスのためにサブプロセッサーを雇うことをプロセッサーに許可します。
  • プロセッサは、サブプロセッサに対して本DPAと同等以上の保護義務を課し、その履行に責任を負います。
  • 最新の下請け処理業者リストは、リクエストに応じて、または処理業者のウェブサイトから入手できます。処理業者は重要な変更について通知し、管理者は合理的な理由に基づいて異議を申し立てることができます。

7. 国際転送

個人データが英国またはEEA外に転送される場合、プロセッサは、英国国際データ転送協定(IDTA)、EU標準契約条項(SCC)、および必要に応じて補足措置を含む適切な保護措置を実施するものとします。

8. セキュリティ対策

プロセッサーは、リスクに応じた適切な技術的および組織的措置を実施するものとし、これには以下に記載される措置が含まれる。 付属書II (例: 転送中の暗号化、アクセス制御、ログ記録、定期的なレビュー)。

9. 個人データの漏洩

プロセッサーは、個人データの侵害を認識した後、過度の遅延なくコントローラーに通知し、その時点で合理的に入手可能な情報を提供し、必要に応じて当局およびデータ主体に通知するコントローラーの義務をサポートするために協力するものとします。

10. データ主体の権利

処理の性質を考慮し、プロセッサは、可能な限り、データ主体の権利行使の要求に応じるコントローラの義務を履行するために、適切な技術的および組織的措置によってコントローラを支援するものとします。

11. 監査とコンプライアンス

プロセッサーは、合理的な事前通知に基づき、コンプライアンスを実証するために必要な情報を提供し、コントローラーまたはコントローラーが委託した独立監査人による監査を可能にするものとします。ただし、機密性、セキュリティ、および事業継続性に関する制約が適用されるものとします。必要に応じて、リモート監査および第三者による証明書/報告書を用いて監査要件を満たすことができます。

12. 返品と削除

主要契約の終了または満了に伴い、処理者は、法令により保持が義務付けられている場合を除き、個人データを削除するか、管理者に返却するものとします。削除は、安全な消去プロセスと標準的なバックアップローテーションを通じて行われる場合があります。

13. 責任および補償

本DPAに基づく各当事者の責任は、適用法によって禁止されている範囲を除き、主要契約に規定されている除外および制限の対象となります。

14. 準拠法および管轄裁判所

本DPAはイングランドおよびウェールズの法律に準拠します。当事者はイングランドおよびウェールズの裁判所の専属管轄権に服するものとします。

15. 優先順位

本DPAと主要契約の間に矛盾が生じた場合は、本DPAが本契約の主題に関して優先するものとします。

付録

付録I – 処理の詳細

  • 主題: Strmfy プラットフォームと API の操作。
  • 間隔: 主契約の期間中、およびその後は法的に要求される期間。
  • 性質と目的: リンクの短縮、リダイレクト、分析、API ベースの機能、セキュリティ/不正使用防止のためのログ記録。
  • データ主体のカテゴリー: コントローラーのエンドユーザー、短縮リンクをクリックする訪問者、コントローラーのスタッフ/管理者。
  • 個人データのカテゴリー: 典型的には、IPアドレス、ユーザーエージェント、言語、デバイスの種類、リファラー、タイムスタンプ、アカウント識別子(名前/メールアドレス)、課金メタデータ(トークン化/決済プロバイダ経由の支払い状況)などです。特別なカテゴリのデータは意図されていません。
  • 特別カテゴリー: 意図されていません。管理者は書面による明示的な同意がない限り、そのようなデータを提出してはなりません。
  • 処理操作: 収集、保管、集約、分析、検索、送信、削除。

附属書II – 技術的及び組織的措置(TOM)

  • アクセス制御: ロールベースのアクセス、最小権限、管理アカウントの MFA。
  • 暗号化: 転送中のデータには TLS を使用し、資格情報/キーには暗号化された秘密を管理します。
  • 可用性と回復力: バックアップ、監視、アラート、災害復旧手順。
  • ログ記録と監視: 集中ログ、異常検出、レート制限、不正使用制御。
  • 開発セキュリティ: コードレビュー、依存関係のスキャン、変更管理。
  • データの最小化と保持: 限定的なデータ収集、保持スケジュール、安全な削除。
  • ベンダー管理: サブプロセッサを含むプロセッサ DPA、定期的なレビュー。
  • 従業員の安全対策: 機密保持の約束、セキュリティトレーニング。
  • インシデント対応: 文書化された手順、違反通知ワークフロー。

付録III – 認定サブプロセッサー

サブプロセッサーの最新リストは、以下のリクエストに応じて入手可能です。 support@strmfy.com代表的なカテゴリは次のとおりです。

  • クラウド ホスティングおよび CDN プロバイダー。
  • 支払い処理業者;
  • 電子メール配信および顧客サポート プラットフォーム。
  • 分析および監視ツール。
  • セキュリティおよびログ記録サービス。

プロセッサーは、サブプロセッサーに対して重要な変更について合理的な事前通知を提供し、コントローラーが合理的な根拠に基づいて異議を申し立てることができるようにします。

実行

本DPAは、参照により両当事者間の主要契約に組み込まれ、当該契約の実行、アカウント登録、またはサービスの継続使用時に承諾されたものとみなされます。

接触

アプフビック株式会社
20 Wenlock Road、ロンドン、イングランド、N1 7GU
会社番号: 16438256
メールアドレス: support@strmfy.com

© アプフビック株式会社 — Strmfy • このDPAは透明性を目的として提供されており、法律顧問による審査が必要です。