Data Processing Addendum - January 2024
This is an outdated version. Please see the current version of the DPA located here.
最終更新日:2024年1月17日
本データ処理補遺(以下「本DPA」)は、Pendoソフトウェアサービス契約(以下「SSA」)または本契約に記載されるお客様(その関連会社も総称して「お客様」)およびPendo.io, Inc.(その関連会社も総称して「Pendo」)との間で締結された、お客様の本サービスおよび注文書の使用を規定する、お客様とPendo間のその他の契約(総称して「本契約」)を補足します。本DPAと本契約の間に矛盾がある場合、本DPAが優先されるものとします。
本DPAに署名することにより、署名のお客様組織は、自身を代表して、かつ適用されるデータプライバシー法に基づき必要とされる範囲において、お客様が許可する関連会社の名前でその代理として、本DPAを締結し、本件指示(定義は後述)を提供し、Pendoとの関係を管理するものとします。
本DPAで使用される大文字で始まる用語のうち定義されていないものは、本契約および/または適用されるデータプライバシー法で定められるそれぞれの意味を持つものとします。
1. 定義
“Data Privacy Laws” means, to the extent applicable, laws and regulations in any relevant jurisdiction relating to the use or the Processing of Personal Data, including without limitation, each to the extent applicable: (i) the California Consumer Privacy Act, as amended by the California Privacy Rights Act of 2020 (“CCPA”), (ii) the General Data Protection Regulation, Regulation (EU) 2016/679 (“EU GDPR”) and the UK GDPR (collectively, “GDPR”), (iii) the Swiss Federal Act on Data Protection; (iv) the UK Data Protection Act 2018; (v) the Privacy and Electronic Communications (EC Directive) Regulations 2003; and (vi) the Virginia Consumer Data Protection Act (“VCDPA”), (vi) the Colorado Privacy Act (“CPA”), (vii) the Connecticut Data Privacy Act (“CTDPA”); and (viii) the Utah Consumer Privacy Act (“UPCA”), in each case, as updated, amended or replaced from time to time. The terms “Data Subject”, “Personal Data”, “Personal Data Breach”, “processing”, “processor,” “controller,” and “supervisory authority” shall have the definitions set forth in the GDPR.
“European Union and EEA” means the European Union and the European Economic Area (including each of their respective member states) and Switzerland.“EU SCCs” means Modules 1, 2, and 3 of the EU standard contractual clauses set out in the Commission Implementing Decision (EU) 2021/914 of 4 June 2021 on standard contractual clauses for the transfer of Personal Data to third countries, as amended or replaced from time to time by a competent authority under the relevant Data Privacy Laws (available at https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj.
“ex-EEA Transfer” means the transfer of Personal Data, which is processed in accordance with the GDPR, from the Data Exporter to the Data Importer (or its premises) outside the European Economic Area (the “EEA”), and such transfer is not governed by an adequacy decision made by the European Commission in accordance with the relevant provisions of the GDPR.
“ex-UK Transfer” means the transfer of Personal Data covered by Chapter V of the UK GDPR, which is processed in accordance with the UK GDPR and the Data Protection Act 2018, from the Data Exporter to the Data Importer (or its premises) outside the United Kingdom (the “UK”), and such transfer is not governed by an adequacy decision made by the Secretary of State in accordance with the relevant provisions of the UK GDPR and the Data Protection Act 2018.
“Instruction(s)” means the directions, either in writing, in textual form (e.g. by email) or by using the Subscription Services, issued by Customer to Pendo and directing Pendo to Process Personal Data as consistent with Section 8.2 of the SSA.
“Losses” means losses, liabilities, damages, compensation, awards, payments made under settlement arrangements, claims, fines, proceedings, costs, and other expenses including without limitation interest and penalties, legal and other professional fees and expenses in each case whether arising in contract, tort (including but not limited to negligence, misrepresentation, breach of statutory duty, breach of warranty, claims by third parties arising from any breach of the Agreement) or otherwise.
“Pendo Platform Data” means Personal Data that relates to Pendo’s relationship with Customer, including the names or contact information of individuals authorized by Customer to access Customer’s account and billing information of individuals that Customer has associated with its account. Pendo Platform Data also includes Services usage data collected and processed by Pendo in connection with the provision of the Services including, without limitation, data used to investigate and prevent system abuse, to identify the source and destination of a communication, activity logs, and data used to maintain and improve the Services.
“Personnel” means, in relation to a party, all persons engaged or employed by that party in connection with the delivery of the Services, including employees, consultants, contractors, sub-contractors and permitted agents from time to time.
“Standard Contractual Clauses” or “SCCs” means if and to the extent (i) the EU GDPR applies to the Processing under this DPA, the EU SCCs; and/or (ii) the UK Data Privacy Laws apply to the Processing activities under this DPA, the UK SCCs.
“State Privacy Laws” means, to the extent applicable, the CCPA, the VCDPA, the CPA, the CTDPA, and the UCPA.
“Subprocessor” means a third-party who accesses Customer’s Personal Data to enable Pendo to perform its obligations under this DPA or the Agreement.
“UK” means the United Kingdom of Great Britain and Northern Ireland.
“UK Data Privacy Laws” means all laws relating to data protection, the Processing of Personal Data, privacy and/or electronic communications in force from time to time in the UK, including the UK GDPR and the Data Protection Act 2018.
“UK GDPR” means the UK General Data Protection Regulation, as it forms part of the law of the UK by virtue of section 3 of the European Union (Withdrawal) Act 2018.
“UK Addendum” means the International Data Transfer Addendum to EU SCCs, issued by the ICO under s119A(1) of the Data Protection Act 2018, version B1.0 and any updates or replacements as may be issued by the ICO from time to time in accordance with S119A(1), as set out in Exhibit D of this DPA.
“UK SCCs” means, as applicable, the EU SCCs, as amended by the UK Addendum.
2. データの処理
a. 両当事者は、お客様が個人データの処理において管理者または処理者の役割を果たすことができること、および本DPAまたは本契約に明記される場合を除き、Pendoが処理者であることを了解し、合意します。お客様は、本サービスの使用にあたり、常にデータプライバシー法に従って、個人データを処理し、個人データの処理に関する本件指示を提供するものとします。お客様は、自らが提供する本件指示が個人データに関して適用されるすべての法律、規則および規制に準拠すること、ならびにお客様の本件指示に従って個人データを処理することで、Pendoがデータプライバシー法に違反する結果に至らないことを保証するものとします。お客様はPendoの処理業務に関連して相当の注意を払い、お客様が本サービスを使用しかつPendoが個人データの処理に従事するということの目的に、Pendoの処理業務が適合していると納得している旨を保証するものとします。b. お客様は次の(i)~(iii)の正確性、品質、および合法性についてすべての責任を負います。(i)お客様が直接または代理人がPendoに提供する個人データ、(ii)お客様の個人データ入手手段、および(iii)お客様がPendoに提供する本件指示。お客様は、本DPAまたは本契約のいずれかに違反するか、本サービスの性質上不適切な個人データをPendoに提供またはPendoと共有しないものとします。お客様はまた、適用されるデータプライバシー法へのお客様の違反に付随するあらゆる損失(データ主体からの適切な通知または法的同意の不履行を含むが、これらに限定されない)に対してPendoを補償するものとします。お客様は、本契約の一部としてPendoに提供する個人データの性質が変更された場合、Pendoに通知するものとします。
c. Pendoは次の(i)~(iii)の条件の下で、個人データを処理するものとします。(i)処理の目的が本契約で定めるものであること、(ii)本DPAおよびお客様が提供する他の手順書に定める条件に従って処理されること (ただし、Pendoに適用されるEEAまたは英国の法律によって別の要件が必要とされる場合を例外とし、この場合Pendoは当該法律でかかる情報の提供が禁止される場合を除き、当該要件についてお客様に通知するものとする)、および(iii)データプライバシー法に準拠した処理であること。お客様は前述に従い、およびお客様による本サービスの使用の一部として、個人データの処理をPendoに指示するものとします。
d. 両当事者は、お客様がPendoに対して提供するか利用可能にする個人データ、またはPendoが本契約に従いお客様の代わりに処理する個人データに関して、PendoがGDPRおよび/または英国GDPR、VCDPA、CPA、CTDPAならびにUCPAに基づく個人データの処理者であり、かつ本契約に基づきお客様から業務目的で個人データを受領する、CCPA上のサービスプロバイダーであることを認め、合意するものとします。Pendoは、お客様から提供される前述の個人データを売却することも、本契約に基づきお客様から提供される個人データを本サービスの履行もしくは本契約の別の定めに必要な場合や州プライバシー法によって認められる場合を除き、保持、使用、または開示することもありません。「サービスプロバイダー」および「売却」という用語は、CCPA第1798.140条の定義に準ずるものとします。Pendoは本条の制限を理解した旨を証明します。
e. 本処理の主題、性質、目的および期間、ならびに収集される個人データの種類およびデータ主体の区分は本DPAの別紙Aに記載されています。
f. Pendoは本サービス終了後、お客様の選択に基づき、個人データを返却または削除するものとします。ただし、適用法によりかかる個人データの保管継続が義務付けられるか許可される場合を除きます。Pendoは、返却または破棄が実行不可能であるか法律、規則または規制で禁じられている場合、かかる個人データのその後の処理(法律、規則または規制で要求される継続的なホスティングまたは処理のために必要なものを除く)を阻止する措置を講じ、所有、保管、または管理し続ける個人データを適切に保護し続けるものとします。お客様とPendoが本DPAの記載どおりに標準契約条項を締結済みである場合、両当事者はお客様から依頼がある場合に限り、EU SCCの第8.1(d)条および第8.5条(該当する場合)に記載される個人データの削除証明がPendoからお客様に提供されることに合意します。
g. 米国の州におけるプライバシー法 両当事者は、米国の州によるプライバシー法が適用される個人情報または個人データの処理が、別紙Eに定める規定に従って実施されることを了解し、これに合意します。
3. 機密保持義務
4. 副処理者
a. Customer acknowledges and agrees that Pendo may (i) use its Affiliates and the Subprocessors to access and process Personal Data in connection with the Services on behalf of Pendo and (2) from time to time engage additional third parties for the purpose of providing the Services, including without limitation the processing of Personal Data. Pendo may provide a mechanism for notifying Customer of new Subprocessors, and maintain an up-to-date list of the names and locations of all Subprocessors used for the Processing of Personal Data under this DPA at https://ja-9cb221ded39beb18e.getsmartling.com/legal/authorized-subprocessors/ https://ja-9cb221ded39beb18e.getsmartling.com/legal/authorized-subprocessors/
c. Pendoが通知してから30日以内に、お客様がサードパーティの関与に異議を唱えなかった場合、当該サードパーティは本DPAの目的においてサブプロセッサとみなされます。
d. Pendoは、本DPAでPendoに課せられている個人データの保護に関して定めている義務と同等のデータ保護義務をサブプロセッサに課す旨の書面契約をサブプロセッサと締結します。サブプロセッサがかかるPendoとの書面契約で自身に課された保護義務を履行しない場合、かかる契約に基づくサブプロセッサの義務の履行に対してPendoがお客様に責任を負い続けます。
e. お客様とPendoが第6条(個人データの移転)に記載されている標準契約条項を締結している場合、(i)上記の承認は、標準契約条項に基づきPendoによる個人データのサブプロセッサすることに対してお客様の書面同意が事前に必要な場合、当該同意に相当すること、および(ii)両当事者は、EU SCC第9(c)条に基づきPendoがお客様に提供しなければならないサブプロセッサとの契約書のコピーは、商業情報、または標準契約条項もしくはそれに同等のものに関連しない情報を含む場合があること、Pendoが事前に削除する場合があること、およびPendoはかかるコピーをお客様が書面で要求した場合のみ提供することに合意します。
5. 個人データのセキュリティ
6. 個人データの移転
両当事者は、Pendoが本サービスを提供するために、必要に応じて本DPAに基づいて処理される個人データをEEA域外、または英国もしくはスイス国外に移転する場合があることに合意します。Pendoは、欧州委員会によって十分性認定を受けていない法域に本DPAに基づき保護される個人データを移転する場合、データプライバシー法に従って個人データを移転するために適切な保護対策が講じられるように徹底します。
a. Ex-EEA Transfers. The parties agree that ex-EEA Transfers will be made subject to one (1) transfer mechanism in the following order of precedence: (i) pursuant to the Data Privacy Framework, provided Pendo is certified under such and the Data Privacy Framework remains a lawful transfer mechanism, then (ii) if the aforementioned transfer mechanism (i) is not available, pursuant to the EU SCCs, which are deemed entered into (and incorporated into this DPA by this reference) and completed as follows:
i. Pendoが本DPA第9条に基づき管理者として個人データを処理している場合、EU SCCモジュール1(管理者から管理者への移転)が適用されます。ii. お客様が管理者であり、かつPendoが本DPA第2条に基づき処理者としてお客様のために個人データを処理している場合、EU SCCモジュール2(管理者から処理者への移転)が適用されます。
iii. お客様が処理者であり、かつPendoが本DPA第2条に基づき処理者としてお客様のために個人データを処理している場合、EU SCCモジュール3(処理者から処理者への移転)が適用されます。
a1. 各モジュールには適宜、以下が適用されます。
i. 第7条のオプションのドッキング条項が適用されます。ii. 第9条オプション2(一般的な書面承認)が適用されます。サブプロセッサの変更に関する最短事前通知期間は本DPA第4条で定めるとおりとします。
iii. 第11条で、オプション言語は適用されません。
iv. 第13条のすべての角括弧は削除されます。
v. 第17条(オプション1)で、EU SCCにはアイルランド法が適用されます。
vi. 第18(b)条で、紛争はアイルランド共和国の裁判所で解決されます。
vii. 移転については別紙Aに、技術および組織的措置については別紙Cに詳述されており、いずれもEU SCCの参考情報1にそれぞれ付属書1および2として付録されるものとみなされます。
viii. 両当事者は、本DPAを締結することで、本DPAに組み込まれるEU SCC(その付属書を含む)に署名済みであるものとみなされます。
b. Ex-UK Transfers. The parties agree that ex-UK Transfers will be made subject to one (1) transfer mechanism in the following order of precedence: (i) pursuant to the Data Privacy Framework, provided Pendo is certified under such and the Data Privacy Framework remains a lawful transfer mechanism, then (ii) if the aforementioned transfer mechanism (i) is not available, pursuant to the UK SCCs, which are deemed entered into and incorporated into this DPA by reference, and amended and completed in accordance with the UK Addendum, which is incorporated herein as Exhibit D of this DPA.
c. Transfers from Switzerland. The parties agree that transfers from Switzerland will be made subject to one (1) transfer mechanism in the following order of precedence: (i) pursuant to the Swiss-U.S. Data Privacy Framework, provided Pendo is certified under such and the Data Privacy Framework remains a lawful transfer mechanism, then (ii) if the aforementioned transfer mechanism (i) is not available, pursuant to the EU SCCs with the following modifications:
i. The terms “General Data Protection Regulation” or “Regulation (EU) 2016/679” as utilized in the EU SCCs shall be interpreted to include the Federal Act on Data Protection of 19 June 1992 (the “FADP,” and as revised as of 25 September 2020, the “Revised FADP”) with respect to data transfers subject to the FADP.ii. The terms of the EU SCCs shall be interpreted to protect the data of legal entities until the effective date of the Revised FADP.
ii. Clause 13 of the EU SCCs is modified to provide that the Federal Data Protection and Information Commissioner (“FDPIC”) of
FADPによって規定されるデータ移転に対して権限を有し、該当するEU監督機関がGDPRによって規定されるデータ移転に対して権限を有するものと修正されます。第13条の他のすべての要件は、前文を条件として順守されるものとします。
iv. EU SCCで使用されている「EU加盟国」という用語は、スイス国内のデータ主体によるEU SCC第18(c)条に従ったその居住場所での自己の権利行使を排除するものと解釈されません。
d. Supplementary Measures. In respect of any ex-EEA Transfer or ex-UK Transfer made pursuant to the Standard Contractual Clauses, the following supplementary measures shall apply:
i. As of the date this DPA was last updated, the Data Importer has not received any formal legal requests from any government intelligence or security service/agencies in the country to which the Personal Data is being exported, for access to (or for copies of) Customer’s Personal Data (“Government Agency Requests”);
ii. データ輸出者が本DPAの日付後に政府機関または法執行機関からデータの提供を求められた場合、Pendoは当該機関の求めをお客様に転送し、当該機関にデータを直接お客様に求めるよう試みるものとします。Pendoはこうしたやり取りの過程で、お客様の基本的な連絡先情報を政府機関に提供する場合があります。法執行機関または政府機関へお客様の個人データの開示を強制された場合、Pendoはこの要求についてお客様に対して合理的な通知を発行し、法律で禁じられていない限り、お客様が保護命令またはその他の適切な救済を求めることができるように協力します。Pendoが法執行機関または政府機関に個人データを自発的に開示することはありません。データ輸出者およびデータ輸入者は、かかる政府機関の要求を鑑み、本DPAに基づく個人データのすべてまたはあらゆる移転を一時停止するべきかどうかを(合理的に実行可能な範囲で、できるだけ速やかに)協議し、決定するものとします。
iii. データ輸出者とデータ輸入者は随時会合して、次の点を話し合います。
A. 移転される個人データの所有者であるデータ主体がデータ輸入者の国の法律によって受ける保護は、EEAまたは英国(該当する方)で受けるのとほぼ同等の保護と比較して十分なレベルであるかどうか。
B. データプライバシー法に準拠した移転を実現するために、追加の措置が合理的に必要であるかどうか。
C. 両当事者が利用可能なあらゆる関連情報および監督機関が提供するガイダンスを併せて考慮したうえで、該当データ輸入者に個人データを移転することはなお適切であるかどうか。
iv. 個人データのデータ輸入者への特定の移転に適用される標準契約条項を別個の契約として作成することがデータプライバシー法で求められている場合、データ輸入者は、データ輸出者の要請に応じて、標準契約条項に適用される付録および付属書、移転の詳細、ならびに関連するデータプライバシー法の要件を反映するためにデータ輸出者が合理的に必要とする可能性のある修正を組み込んだ、かかる標準契約条項を速やかに履行するものとします。
v. 次の(i)または(ii)のいずれかに該当する場合、データ輸入者は、データ輸出者に通知することで、かかる通知に記載される発効日をもって、データプライバシー法で求められるとおり、かかる移転に関する取り決めを修正するか、代替的取り決めを設けることができます。(i)本DPAで定めるEEA域外または英国国外への個人データの移転を合法化する手段が有効でなくなった場合、または(ii)監督機関が当該手段に基づく個人データの移転の一時停止を要求する場合。
7. データ主体の権利
a. Pendoはデータ主体からデータプライバシー法に基づく自己の権利(アクセス、訂正、消去、データポータビリティ、処理の制限または中断、処理への同意撤回、および/または自動的な意思決定に該当する処理の適用に対する異議など)の行使を求められた場合、法律で許容される範囲で、お客様に速やかに通知するものとします(以下、かかる要求を個別または総じて「データ主体の要求」)。ただし、お客様が関連するデータ主体の要求についてPendoに通知した場合はかかる通知は不要です。b. Pendoは、お客様のデータに関してデータ主体の要求を受けた場合、お客様に要求するようデータ主体に助言します。お客様はかかる要求に対して、必要に応じて本サービスの機能を使用するなどして、返答する責任があります。お客様は、個人データの消去、処理の制限もしくは中断、または処理への同意撤回を求めるデータ主体の要求が確実にPendoに伝達されるようにする責任を単独で負い、該当する場合は、各データ主体に関する処理の同意に関する記録の維持を徹底する責任を単独で負います。
c. Pendoは、お客様がかかるデータ主体の要求に返答する義務を履行し、および/または可能な場合はかかる履行を実証するうえで、お客様の要求に応じて、データ主体の要求に適用される処理の性質を考慮したうえで、適切な技術的および組織的な措置を適用し、お客様を支援するものとします。ただし、(i)Pendoの支援がなければお客様自身は返答できず、かつ(ii)Pendoが適用されるすべての法律、規則および規制に従って返答することができる場合に限られます。お客様は、Pendoによるかかる支援から生じる費用および経費について、法律で認められる範囲で責任を負うものとします。
8. 対処およびアクセスのリクエスト
a. Pendoは、お客様がデータ保護の影響評価の実施義務を履行するため、またはかかる履行を実証するために、処理の性質と情報の可用性を考慮したうえで、必要性とGDPRの定めに応じて、合理的な範囲でお客様に協力し、支援するものとします。ただし、お客様がこうした協力と支援がなければ、関連情報にアクセスできない場合に限られます。
b. Pendoは、お客様が監督機関と協力する過程、および/または事前協議する過程で、処理の性質と情報の可用性を考慮したうえで、必要性とGDPRの定めに応じて、合理的な範囲でお客様に協力し、支援するものとします。お客様は、Pendoによるかかる支援から生じる費用および経費について、法律で認められる範囲で責任を負うものとします。
c. Pendoは、本DPAに基づく義務の遵守を実証するために十分な記録を維持するものとします。お客様は、Pendoに合理的に通知したうえで、通常の営業時間内にPendoのオフィスでかかる記録をレビュー、監査およびコピーする権利を有します。
d. お客様から合理的な間隔での書面による要請がある場合、Pendoは合理的な機密保持義務の制約の下で、次の(i)と(ii)のいずれかを提供します。(i)お客様の確認用にPendoがお客様の個人データの処理に一般的に適用されるデータセキュリティ基準を順守している旨を実証する認定書または報告書のコピー、または(ii)(i)に即した報告書または認定書の提供がデータプライバシー法では通常不十分とされる場合、Pendoのデータセキュリティインフラストラクチャおよび手順のうち、データプライバシー法に基づくPendoの義務の履行を実証する証拠として不十分なものを対象とする監査または検査の実施を、次の(a)から(c)を条件に、独立的な立場のお客様のサードパーティ代理人への許可。(a)お客様が監査・検査の要請について合理的な書面通知を事前(少なくとも14日前)に提供し、かかる監査・検査がPendoの事業を不当に妨げないこと、(b)かかる監査・検査は営業時間中にのみ実施され、実施頻度が暦年に1度を超えないこと、および(c)かかる監査・検査の対象がお客様に関連するデータに制限されること。お客様は、実地監査で費やされた時間の対価をPendoに弁済することも含めて、かかる監査または検査の費用を負担するものとします。お客様とPendoが第6条(個人データの移転)に記載されている標準契約条項を締結済みである場合、両当事者は本第8(d)条に従ってEU SCC第8.9条に記載される監査が実施されることに合意します。
e. Pendoが本件指示はデータ保護法または監督機関に違反すると判断する場合、お客様に直ちに通知するものとします。
f. 個人データが漏洩した場合、Pendoはかかる漏洩について遅滞なくお客様にお知らせし、かかる漏洩を是正するために必要かつ妥当であるとPendoが独自に判断する措置を(Pendoが是正を合理的に管理できる範囲内で)講じるものとします。
g. 個人データが漏洩した場合、お客様が(i)関連監督機関、および(ii)かかる個人データ漏洩の影響を受けるデータ主体に対して、不当な遅滞なく通知する義務を履行するために、Pendoは処理の性質と情報の可用性を考慮したうえで、必要性とGDPRの定めに応じて、合理的な範囲でお客様に協力し、支援するものとします。
h. 第8(f)条および第8(g)条に記載されている義務は、お客様の作為または不作為に起因する個人データの漏洩の場合には適用されないものとします。第8(f)条および第8(g)条に基づきPendoが個人データ侵害を報告または対応する義務を負うことにより、個人データの漏洩に関する過失または責任をPendoが認めるものとは解釈されません。
9. 管理者としてのPendoの役割
https://ja-9cb221ded39beb18e.getsmartling.com/legal/privacy-policy/
10. 矛盾
別紙Aおよびパート1 - EU SCCの参考情報および処理の詳細
A. 移転の説明:
SCCモジュール1と2、またはモジュール1と3が本DPAに適用される場合(該当する方):
Categories of Data Subjects: Customer’s end users and personnel.
Categories of Personal Data: Pendo processes Personal Data that Customer collect from its end users and processes through its use of the Services), or collected by Pendo in order to provide the Services or as otherwise set forth in the Agreement or this DPA, in the categories of device data, online activity data, communications data, location information, and other data as Customer makes available. Pendo processes Personal Data that relate to Pendo’s relationship with Customer and Services usage data in connection with the provision of the Services in the categories of contact data, account data, feedback and communications data, transactional data, marketing data, payment data, promotion data, device data, online activity data, location information, and other data as described in Pendo’s privacy notice as Pendo may provide on its website at https://ja-9cb221ded39beb18e.getsmartling.com/legal/privacy-policy/
Sensitive or Special Categories of Personal Data: None, otherwise as subject to Section 2(b) of this DPA or, in some cases for Customer’s personnel as Pendo determines appropriate, individual legal consent.
Frequency of the transfer: Continuous, as required for the Services.
Personal Data Retention Period (or Criteria to Determine): As specified in the Agreement.
Nature and Purpose of Processing: Pendo will process Customer’s Personal Data as necessary to provide the Services under the Agreement, for the purposes specified in the Agreement and this DPA, and in accordance with Customer’s instructions as set forth in this DPA. The nature of processing includes, without limitation:
Receiving data, including collection, accessing, retrieval, recording, and data entry
Holding data, including storage, organization and structuring
Using data, including analysis, consultation, testing, automated decision-making and profiling
Updating data, including correcting, adaptation, alteration, alignment and combination
Protecting data, including restricting, encrypting, and security testing
Sharing data, including disclosure, dissemination, allowing access or otherwise making available
Returning data to the data exporter or data subject
Erasing data, including destruction and deletion
As directed by Customer either in the Subscription Services or as otherwise in the course of using the Services
For transfers to the Subprocessors, subject matter, nature and duration of the Processing: As specified in the Agreement.
Competent Supervisory Authority: The Supervisory Authority competent under Clause 13(a).
PART 2: DETAILS OF PROCESSING: As specified in PART 1 above and further detailed below.
Duration of Processing: Pendo will process Personal Data as long as required (i) to provide the Services to Customer under the Agreement; (ii) for Pendo’s legitimate business needs; or (iii) by applicable law or regulation. Pendo Platform Data will be processed and stored as set forth in Pendo’s privacy notice as Pendo may make available at https://ja-9cb221ded39beb18e.getsmartling.com/legal/privacy-policy/
別紙B
以下には、EU SCC付属書Iおよび付属書III、ならびに英国補遺の表1、付属書1A、および付属書1Bで義務付けられる情報が含まれています。
1. 当事者
Address: as specified in the applicable Order Form(s)
Contact person’s name, position and contact details: as specified in the applicable Order Form(s)
Address: Pendo.io, Inc. 301 Hillsborough St., Suite 1900, Raleigh, NC 27603
Contact person’s name, position and contact details: gdpr@pendo.io
Role (controller/processor): As set out in this DPA.
2. Description of the Transfer
| データ主体 | DPAの別紙Aに詳述 |
| 個人データのカテゴリ | DPAの別紙Aに詳述 |
| 特殊カテゴリに属する個人データ(該当する場合) | DPAの別紙Aに詳述 |
| 処理の性質 | DPAの別紙Aに詳述 |
| 処理の目的 | DPAの別紙Aに詳述 |
| 処理および保持の期間(またはその期間を決定する基準) | DPAの別紙Aに詳述 |
| 移転の頻度 | 個人データに関して本契約またはDPAで定めるすべての義務および権利履行の必要性に応じて |
| データ輸入者に移転される個人データの受領者 | 次に記載されているリストをご覧ください。 https://ja-9cb221ded39beb18e.getsmartling.com/legal/authorized-subprocessors/ または、本契約で明示的に許可されたサブプロセッサ。 |
3. Competent Supervisory Authority
4. List of Authorized Sub-Processors
https://ja-9cb221ded39beb18e.getsmartling.com/legal/authorized-subprocessors/
and any specifically authorized subprocessors in the Agreement.別紙C
Pendoの技術的および組織的対策
Pendoは内部データおよびお客様データの機密性、完全性、および可用性を保護するために、情報セキュリティプログラムを導入しています。当該プログラムには次の技術的、管理的/組織的、および物理的統制手段が含まれています。
1. ガバナンスおよび組織的統制手段:
a. 報告体系、組織構造、およびシステム制御に対する責務の適切な割り当ては文書化されると共に、伝達されます。お客様のアプリケーション/情報のセキュリティ、可用性、処理の完全性、機密性およびプライバシーに対するサービス組織の統制手段の監督責任を持つ役員レベルの最高情報セキュリティ責任者(CISO)の任命はその一例です。b. Pendoは継続的な社内全体のリスク評価に使用する枠組みを確立しています。リスク管理プロセスには、経営陣のリスク許容度、および新規または進展するリスクの評価が組み込まれています。
2. 人事セキュリティ:
a. 求人情報には職務要件が記載され、採用プロセスでは当該要件を満たす候補者の能力が評価されます。
b. 候補者は職位の責任を引き受ける前に、経験とトレーニングについて評価されます。
c. Pendo従業員のうちお客様データへのアクセス権を持つメンバーは、身元調査を受ける必要があります。
d. Pendoの従業員は、データプライバシーの概念と責任およびプライバシーに対するPendoの取り組みに関する研修(新入社員は入社後2週間以内の研修、既存社員は年に1度の定期研修)を受けます。
e. Pendoの従業員は入社時にPendoの行動規範、機密保持声明、およびプライバシー慣行文書を読み、内容を受け入れる必要があり、その後も年に1度、内容を再確認する必要があります。
3. サードパーティの管理:
a. Pendoはサードパーティの拠点内で行われるサービスについて、サービスレベル契約に沿った履行の妥当性を監視します。
b. Pendoのプライバシーポリシーまたはその他の特定の指示もしくは要件のうち該当箇所に即した形で個人情報を保護するという合意をサードパーティがPendoと交わさない限り、かかるサードパーティに機密情報を開示することはできません。
c. Pendoは契約上のセキュリティ要件を満たすサードパーティの能力を評価します。サードパーティはPendoの機密情報の保存または処理について、監査済みサードパーティのセキュリティ証明書(たとえば、SOC 2 Type II、ISO 27001)を保持する必要があります。
d. 機密情報への認定アクセスについて定める機密保持契約がサードパーティと交わされます。
4. インシデント管理:
a. 運用管理およびインシデント対応管理のためのポリシーと手順では、インシデントを記録し、必要に応じて見直し(たとえば、システム変更)を行い、適切な措置を講じることを義務付けています。
b. セキュリティ障害およびインシデントの報告手順に関する従業員の手引きとなるように、正式なインシデント対応計画および標準的なインシデント報告フォームが文書化されています。
c. インシデント対応計画には報告された事象の解決および上申プロセスが必然的に伴います。これには、インシデントについて内部と外部ユーザーに通知する必要性の検討、および各ユーザー側で講じる是正措置や「事後」レビュー要件の通知などが含まれます。
5. 変更管理:
a. Pendoのアプリケーションシステムの変更には、リスクレベルに見合う許可、設計、実装、構成、テスト、修正、承認の文書化が含まれます。
b. Pendoの変更管理ポリシーおよび手順では、システム変更が本番環境に組み込まれる前に、ビジネスおよび技術面の適切な管理者による見直しと承認を義務付けています。
c. 本番環境に移行する前に別のテスト環境で変更をテストします。
d. 変更管理プロセスには、内部または外部のユーザーに伝える必要がある変更の特定が含まれます。システムおよび組織的な変更はPendoアプリケーションを通じて内部および外部のユーザーに伝えられます。
6. IDおよびアクセス管理:
a. Pendoの担当者は固有のユーザー名が割り当てられ、Pendoのシステムにアクセスするために強力なパスワードの使用が義務付けられます。CISOが承認した特定の使用事例で必要とされる場合を除き、共有アカウントは許可されません。
b. 技術的に可能な場合、Pendoのシステムおよびアプリケーションへのアクセスには2要素認証が使用されます。
c. システムへのアクセス権は、ユーザーの職務および/または管理者の具体的なリクエストに応じて、ビジネスニーズを基準に付与または変更されます。
d. Pendoではアクセス権の適切性を判断するために、重要な本番用システムへの特権がある通常のユーザーアクセス権を四半期に1度見直しています。
e. 日常的なトランザクション処理以外での本番データへの変更に対してアクセスを制限するため、制御措置が設けられています。
7. 脆弱性管理:
a. Pendoではアプリケーションとインフラストラクチャのペネトレーションテストを少なくとも年に1度実施しています。
b. Pendoでは自社アプリケーションの脆弱性を検出するために、脆弱性スキャンを少なくとも週に1度実行しています。
c. 管理者は重大度に基づく所定の期間内に、ペネトレーションテストと脆弱性スキャンで特定されたすべての脆弱性に対処しています。
8. 論理的セキュリティ制御:
a. ネットワークの外部接続ポイントはファイアウォールで保護されています。
b. すべてのパソコンにウイルス/マルウェア対策およびエンドポイント検出・対応ソフトウェアが導入され、Pendo人員が使用するパソコン(ノートパソコンなど)を保護するために定期的に更新されます。
c. Pendoのアプリケーションには、許容値範囲外の入力に対するコード検証チェック機能が備わっており、アラートを発して対処を促します。
d. 機密データは安全なクラウドサービスに保存され、転送中および保存時に保護および暗号化されます。TLS、HTTPS、SSH、SFTP、またはその他の暗号化技術を使用して転送中のデータを保護しています。AES-256またはその他の適切な業界標準を使用して保存中のデータを保護しています。
e. Pendoのポリシーでは非本番環境またはテスト環境での機密または個人データの使用を制限しています。
f. Pendoのポリシーでは、外付けUSBドライブに機密データを書き込む必要がある例外的かつまれな状況で、データを安全に暗号化する責任をユーザーに義務付けています。
9. 資産管理:
10. 物理的なアクセス管理:
a. Pendoの受付担当者は、営業時間中、オフィス館内への入退出を監視しています。営業時間外および受付担当者の不在時には、扉は施錠されます。
b. Pendoオフィス館内への訪問者は入館記録に署名し、臨時のIDバッジの提供を受けます。
c. 重要な機器が置かれている領域の物理的な鍵とカードでの入退出は許可された個人に制限されます。Pendoの管理者は年に1度鍵と入退出カードの保有者を見直しています。
11. 性能管理、データ処理の完全性、バックアップ、および廃棄:
Alerts are addressed by the Engineering teamc. Upon occurrence of processing errors within Pendo’s application, the change management process is followed with a change ticket initiated and the error investigated and resolved.d. Pendo periodically performs a secure disposal of Customer data that is older than its default retention period, or outside of alternative retention periods specified by Customers. The disposal process also supports removal of personal information related to individual data subjects.
別紙D
英国補遺
欧州委員会標準契約条項を補足する国際データ移転補遺
パート1:表
表1:当事者
| 発効日 | 本英国補遺の発効日はDPAと同じ | |
| 当事者 | 輸出者 | 輸入者 |
| 当事者の詳細 | カスタマー | 企業向けに |
| 主要連絡先 | See Exhibit B of this DPA | See Exhibit B of this DPA |
表2:選択されたSCC、モジュール、および選択された条項
| EU SCC | DPAの定義に従い本英国補遺が追加され、DPA第6条が入っている、承認済みEU SCCのバージョン |
表3:別紙情報
「参考情報」とは、承認済みEU SCCの参考情報の記載に沿って、選択したモジュール向けに提供が必要とされる情報(「両当事者」を除く)を指し、本英国補遺では次の場所に記載されています。
| 付属書1A:当事者リスト | 上記表1に記載 |
| 付属書2B:移転の説明 | See Exhibit B of this DPA |
| 付属書II:技術的および組織的措置。データのセキュリティを確保するための技術的および組織的措置を含む。 | See Exhibit C of this DPA |
| 付属書III:サブプロセッサのリスト(モジュール2および3のみ) | See Exhibit B of this DPA |
表4:承認済み英国補遺が改定される場合の本英国補遺の終了
| 承認済み英国補遺の改定される場合の本英国補遺の終了 | ☒ 輸入者 ☒ 輸出者 ☐ いずれでもない |
本英国補遺の締結
1. 各当事者は、他方の当事者も本英国補遺によって拘束される旨に同意することと引き換えに、本英国補遺に定める規定によって拘束されることに同意します。2. 両当事者は、承認済みEU SCCの付属書1Aおよび第7条によって双方の署名を求められていますが、英国国外への移転を行う目的においては、双方に対して法的拘束力があり、データ主体が本英国補遺に記載される自身の権利を実現できる形で英国補遺を締結することができます。本英国補遺の締結によって、承認済みEU SCCおよび承認済みEU SCCのあらゆる部分への署名と同じ効果が生じます。
本英国補遺の解釈:
| 英国補遺 | EU SCCが組み込まれた本国際データ移転補遺を指し、別紙DとしてDPAに添付されます。 |
| EU SCC | 表2に記載されるとおり本英国補遺が追加され、参考情報を含む、承認済みEU SCCのバージョンです。 |
| 参考情報 | 表3に記載される情報です。 |
| 適切な保護対策 | 英国GDPR第46条(2)(d)に基づく標準データ保護条項に依拠して英国国外への移転を行う場合、英国データ保護法が求める個人データおよびデータ主体の権利に対する保護の基準を指します。 |
| 承認済み英国補遺 | ICOが交付するひな型的な補遺で、2022年2月2日に2018年データ保護法第119A条に従って議会に提出されたものを指します(英国補遺第18条に基づいて改定される場合がある)。 |
| 承認済みEU SCC | 2021年6月4日付けの欧州委員会実施決定2021/914で欧州委員会によって承認された標準契約条項を指し、個人データに対して十分なレベルの保護を提供していると認定されていない国への個人データの移転を対象としています(随時実施される修正および改定を反映)。 |
| ICO | 英国情報コミッショナーを指します。 |
| 英国国外への移転 | 本DPAに定める定義と同じ定義を有します。 |
| イギリス | グレートブリテンおよび北アイルランド連合王国を指します。 |
| 英国データ保護法 | データの保護、個人データの処理、プライバシーおよび/または電子通信に関連して英国で随時施行されるすべての法律(英国GDPRおよび2018年データ保護法を含む)を指します。 |
| 英国GDPR | DPAで定める定義を有します。 |
4. 常に英国データ保護法と整合するように英国補遺を解釈することで、適切な保護対策を講じる両当事者の義務が履行されるようにする必要があります。5. 英国補遺に含まれる条項によって、承認済みEU SCCまたは承認済み英国補遺では許容されない形で承認済みのEU SCCが修正される場合、かかる修正は英国補遺に組み込まれず、承認済みEU SCCの同等の条項が代わりに適用されることになります。
6. 英国データ保護法と英国補遺との間に不一致または矛盾がある場合は、英国データ保護法が適用されます。
7. 英国補遺の意味が不明瞭である、または複数の意味がある場合、英国データ保護法に最も近い意味が適用されます。
8. 法律(または法律の特定の条項)への言及は、時間の経過に伴う変更が反映された当該法律(または特定の条項)を指します。たとえば、英国補遺の締結後に、その法律(または特定の条項)が整備、再制定、および/または差し替えられる場合が挙げられます。
優先順序
9. 承認済みEU SCC第5条では承認済みEU SCCが当事者間のあらゆる関連合意より優先されると定めていますが、両当事者は英国国外への移転に関して第10条の順序を優先させることに合意するものとします。10. 承認済み英国補遺とEU SCC(該当するもの)の間に不一致または矛盾がある場合、承認済み英国補遺がEU SCCより優先されます。ただし、EU SCCの一致しないまたは矛盾する規定によってデータ主体が受ける保護の方が手厚い場合は、当該規定が承認済み英国補遺より優先します。
11. GDPRの適用対象となるEU域外への移転を保護するために締結されるEU SCCが本英国補遺に組み込まれる場合、両当事者は英国補遺の内容がこれらEU SCCに影響しない旨を了解するものとします。
EU SCCの組み込みおよび改定:
12. 本英国補遺には、次の内容を反映するために必要な範囲の修正をEU SCCに加えたものが組み込まれています。
a)両方の規定を組み合わせて、データ輸出者がデータ移転時に行う処理に英国データ保護法が適用される範囲で、データ輸出者からデータ輸入者ヘのデータ移転に法的効果をもたらし、こうしたデータ移転に適切な保護対策を提供し、b)上記第9条から第11条は、EU SCC第5条(優先順序)より優先され、および
c) 英国補遺(組み込まれたEU SCCを含む)は(1)オランダの法律に準拠し、(2)起因する紛争はオランダの裁判所によって解決される。
13. Unless the parties have agreed alternative amendments which meet the requirements of Section 12 of this UK Addendum, the provisions of Section 15 of this UK Addendum will apply.
14. No amendments to the Approved EU SCCs other than to meet the requirements of Section 12 of this UK Addendum may be made.
15. The following amendments to the EU SCCs (for the purpose of Section 12 of this UK Addendum) are made:
a)「条項」とはこの英国補遺を指し、EU SCCが組み込まれ、b)第2条から次の文言が削除されます。「また、管理者から処理者へのデータ移転、および/または処理者から処理者へのデータ移転に関しては、規則(EU)2016/679第28(7)条に基づく標準契約条項」。
c)第6条(移転の説明)は次のように置き換えられます:「移転の詳細、および特に移転される個人データのカテゴリと移転目的とは、移転を実行中のデータ輸出者の処理に英国データ保護法が適用される場合、付属書I.Bに明記されるものを指します」。
d)モジュール1第8.7(i)条は次のように読み替えられます:「今後の移転先となる国は、今後の移転を扱う英国GDPR第17A条に従い十分性規則の恩恵を受けます」。
e)モジュール2および3の第8.8(i)条は次のように置き換えられます:「今後の移転は、該当の移転を扱う英国GDPR第17A条に従い、十分性認定の規則を有する国に行われます」。
f)「規則(EU)2016/679」、「個人データの処理での自然人の保護および当該データの自由な移動に関する2016年4月27日付けの欧州議会および欧州理事会規則(EU)2016/679(一般データ保護規則)」および「当該規則」への言及は、「英国データ保護法」と置き換えられます。「規則(EU)2016/679」の特定条文への言及は、英国データ保護法の同等条文または条項に置き換えられます。
g)規則(EU)2018/1725への言及は削除されます。
h)「欧州連合」、「連合」、「EU」、「EU加盟国」、「加盟国」および「EUまたは加盟国」への言及は、すべて「英国」と置き換えられます。
i)モジュール1第10(b)(i)条での「第12条(c)(i)条」への言及は、「第11(c)(i)条)」と置き換えられます。
j)付属書Iの第13(a)条およびパートCは使用されません。
k)「管轄監督機関」および「監督機関」はいずれも「情報コミッショナー」と読み替えられます。
l)第16条(e)項(i)号は、次のように置き換えられます:「国務大臣は、これらの条項が適用される個人データの移転を扱う2018年データ保護法第17A条に従って規則を定めます」。
m)第17条は、「これらの条項はオランダの法律に準拠する」と読み替えられます。
n)第18条は次のように置き換えられます:「これらの条項に起因する紛争はオランダの裁判所によって解決されるものとします。データ主体はデータ輸出者および/またはデータ輸入者に対して、英国のいずれかの国の裁判所に法的手続きを提起することもできます。両当事者は、かかる裁判所の管轄権に服することに合意します。」および
o)承認済みEU SCCの脚注は、脚注8、9、10、および11を除き、英国補遺の構成要素にはなりません。
英国補遺の修正
16. 両当事者は、EU SCC第17条および/または第18条を、スコットランドおよび北アイルランドの法律および/または裁判所への言及に変更するよう合意することができます。17. 両当事者は、パート1:承認済み英国補遺の諸表に記載される情報の形式変更を望む場合、書面での合意をもって変更することができます。ただし、変更によって適切な保護対策に悪影響が及ばないようにする必要があります。
18. ICOは次のa)および/またはb)の目的で、承認済み英国補遺の改定版を随時交付する可能性があります。
a)承認済み英国補遺の誤りの訂正など、当該補遺に合理的かつ相応の変更を加えるため、および/または b)英国データ保護法の変更を反映させるため、
承認済み英国補遺の改定版には、承認済み英国補遺の改定発効日、および両当事者が参考情報を含めて本英国補遺を見直す必要があるかどうかが明記されます。本英国補遺は、所定の発効日付けで、承認済み英国補遺に規定されるとおりに、自動的に修正されます。
19. ICOが本英国補遺第18条に基づき承認済み英国補遺の改定版を交付し、承認済み英国補遺におけるその変更の直接的結果として、一方当事者が、次の事項において大きく均衡を崩した顕著な増加がある場合:
a)英国補遺に基づく義務を履行するための直接費用、および/または b)英国補遺に基づく危険性、
および、いずれの場合にもこうした大きな不均衡と顕著な増加を解消するためにこれら費用またはリスクを軽減する合理的手順がまず講じられた場合、当該当事者は、承認済み英国補遺の改定版の発効日前に他方当事者に合理的な通知期間を知らせる書面通知を提供することで、当該期間の終了時に本英国補遺を終了することができます。
20. 両当事者は、本英国補遺を改定するためにサードパーティの同意を必要としませんが、いかなる改定も同補遺の条項に従って行う必要があります。
別紙E
米国
プライバシー法別紙
本米国プライバシー法別紙(以下「別紙」)はDPAを補足するもので、CCPA、VCDPA、CPA、CTDPA、およびUCPA(それぞれについて、随時実施される改正、修正または差し替えを反映したもの)によって必要とされる追加情報が含まれます。Pendoがデータ主体または消費者(定義は後述)の個人データを以下の法域で処理する範囲で、該当セクションが適用されます。本別紙で定義されていない用語は、DPAおよび/または本契約で定める意味を有するものとします。
A. カリフォルニア
1. 定義
1.1 For purposes of this Section A, the terms “Business,” “Business Purpose,” “Commercial Purpose,” “Consumer,” “Personal Information,” “Processing,” “Sell,” “Service Provider,” “Share,” and “Verifiable Consumer Request” shall have the meanings set forth in the CCPA.1.2 All references to “Personal Data,” “controller,” “processor,” and “Data Subject” in the DPA shall be deemed to be references to “Personal Information,” “Business,” “Service Provider,” and “Consumer,” respectively, as defined in the CCPA.
2. 義務
2.1 Pendoプラットフォームデータ(DPAで定義されるもの)を除き、両当事者はPendoが(適用される範囲で)CCPAの目的上のサービスプロバイダーであり、Pendoは事業目的を構成する、契約に従ってサービスを提供するためにお客様から個人情報を受け取っていることを確認し、同意するものとします。
2.2. Customer shall disclose Personal Information to Pendo only for the limited and specified purposes described in Exhibit A to this DPA.
2.3 Pendoは、契約に基づいてお客様から提供された個人情報を販売または共有しません。
2.4 Pendoは、本契約に従ってお客様のためにサービスを実行する特定の目的に必要な場合、または本契約に別段の定めがある場合、またはCCPAで許可されている場合を除き、本契約に基づいてお客様から提供された個人情報を、商業目的を含むいかなる目的でも保持、使用、または開示しないものとします。
2.5 Pendoは、CCPAで認められている場合およびその範囲を除き、Pendoとお客様との間の直接的なビジネス関係以外で、契約に従ってお客様から提供された個人情報を保持、使用、または開示しないものとします。
2.6 Pendoは、CCPAに基づく義務を履行できないと判断した場合、お客様に通知するものとします。
2.7 Pendoはお客様から、またはお客様の代理として受け取った個人情報を、別の当事者から、またはその代理として、または消費者との交流により収集する個人情報と組み合わせることはありません。
2.8 Pendoは、CCPAに基づいてサービスプロバイダーに適用されるすべての義務を遵守するものとします。これには、契約に基づいてお客様から提供された個人情報をCCPAが要求するプライバシー保護レベルで提供することも含まれます。
2.9 Pendoは、次の事項を含め(ただしこれに限定されない)DPAの第4条に従ってのみ、本契約に基づいてお客様にサービスを提供するに際し、Pendoを支援する新規サブプロセッサを採用するものとします。(i)新規サブプロセッサを有効にする少なくとも10日前にDPAの第4条に記述されている通知メカニズムを介してかかる契約についてお客様に通知すること、および(ii)CCPAに定められたすべての適用可能な要件をサブプロセッサが遵守する必要がある旨の書面での契約を締結すること。
3. 消費者の権利
3.1 Pendoは、検証可能な消費者要求への対応において、DPA第7条に規定されているCCPAに基づく消費者の権利を行使するためにお客様を支援するものとします。
4. 監査および是正の権利
4.1 CCPAが必要とする範囲で、PendoはDPA第8条に従ってお客様による検査または監査の実施を認めるものとします。
4.2 Pendoが不正な方法で個人情報を処理しているとお客様が判断した場合、お客様は、Pendoの処理の性質と、お客様に代わってPendoが処理した個人情報の性質を考慮し、かかる不正処理を阻止・修正するために商業的に合理的かつ適切な手段を講じることができます。
B. バージニア
1. 定義
1.1 For purposes of this Section B, the terms “Consumer,” “Controller,” “Personal Data,” “Processing,” and “Processor” shall have the meanings set forth in the VCDPA.
1.2 All references to “Data Subject” in this DPA shall be deemed to be references to “Consumer” as defined in the VCDPA.
2. 義務
2.1 Pendoプラットフォームデータ(DPAで定義されるもの)に関する場合を除き、両当事者は、VCDPAの目的上(適用される範囲で)お客様が管理者、Pendoが処理者であることを確認し、これに同意するものとします。
2.2 The nature, purpose, and duration of Processing, as well as the types of Personal Data and categories of Consumers are described in Exhibit A to this DPA.
2.3 Pendoは、お客様の個人データの処理に関するお客様の指示を遵守し、以下によりVCDPAに基づく義務を果たすようにお客様を支援するものとします。
2.3.1 DPAの第7条に規定されているVCDPAに基づく消費者の権利要求への対応においてお客様を支援すること、
2.3.2 お客様から提供された個人データに関してDPA第5条(「個人データのセキュリティ」)を遵守すること、
2.3.3 個人データの侵害が発生した場合、お客様がバージニア州法第18款2第186条6に従った義務を履行するために十分な情報を提供すること、および
2.3.4 VCDPAが要求する範囲で、お客様がデータ保護評価を実施し文書化できるように十分な情報を提供すること。
2.4 Pendoは、お客様から提供された個人データの機密性を維持し、かかる個人データを処理する各個人は、かかる処理に関する守秘義務の対象となるものとします。
2.5 お客様からの書面による要求に応じて、Pendoは、法律、DPAおよび/または契約によりかかる個人データの保持が要求または許可されない限り、DPA第2条に従い、お客様から提供されたすべての個人データを削除または返却するものとします。
2.6 Pendoが、本契約に基づきお客様にサービスを提供するために新規サブプロセッサを採用する場合、Pendoは、VCDPAに定められた処理者に適用されるすべての要件を満たす必要があることをサブプロセッサと書面による契約で締結するものとします。
3. 監査の権利
C. コロラド
1. 定義
2. 義務
2.1 Except with respect to Pendo Platform Data (as defined in the DPA), the parties acknowledge and agree that Customer is a Controller and Pendo is a Processor for the purposes of the CPA (to extent it applies).2.2 The nature, purpose, and duration of Processing, as well as the types of Personal Data and categories of Consumers are described in Exhibit A to this DPA.
2.3 Pendoは、かかる個人データを処理する各個人に、かかる処理に関して機密保持義務を課すものとします。
2.4 Pendoは、次の事項を含め(ただしこれに限定されない)DPA第4条に従ってのみ、本契約に基づいてお客様にサービスを提供する際に、Pendoを支援する新規下請け業者を雇用するものとします。(i)DPA第4条に記述されている通知メカニズムを介してかかる合意についてお客様に通知し、お客様が異議を唱える機会を提供すること、および(ii)CPAに定められたすべての適用要件を遵守する必要がある旨の書面での契約を締結すること。
2.5 Pendo shall be responsible for taking the appropriate technical and organizational measures as described in Exhibit C. Customer shall be responsible for implementing appropriate technical and organizational measures to ensure a level of security appropriate to the risk.
2.6 お客様からの書面による要求に応じて、Pendoは、法律、DPAおよび/または契約により個人データの保持が要求または許可されない限り、DPA第2条に従い、お客様から提供されたすべての個人データを削除または返却するものとします。
3. 監査の権利
D. コネチカット
1. 定義
1.1 For purposes of this Section D, the terms “Consumer,” “Controller,” “Personal data,” “Processing,” and “Processor” shall have the meanings set forth in the CTDPA.1.2 All references to “Data Subject” in the DPA shall be deemed to be references to “Consumer” as defined in the CTDPA.
2. 義務
2.1 Pendoプラットフォーム使用データ (DPAで定義されるもの) に関する場合を除き、両当事者は、CPAの目的上 (適用される範囲で) お客様は管理者、Pendoは処理者であることを認め、これに同意するものとします。2.2 処理の性質、目的、期間に加え、個人データの種類、消費者の区分は本DPAの別紙Aに記載されています。
2.3 Pendoは、かかる個人データを処理する各個人に、かかる処理に関して機密保持義務を課すものとします。
2.4 Pendoは、DPAの第4条に従って、契約に基づいてお客様にサービスを提供する際に、以下を含みますが、これに限定されない方法で、Pendoを支援する新しい下請け業者とのみ関与するものとします。(i)DPA第4条で説明されている通知メカニズムを介して当該の関与についてお客様に通知し、お客様が異議を唱える機会を提供する;(ii)CTDPAに定められたすべての適用可能な要件を順守するために下請け業者を必要とすることを示す書面による契約を締結する。
2.5 お客様からの書面による要求に応じて、Pendoは、法律、DPAおよび/または契約によりかかる個人データの保持が要求または許可されない限り、DPA第2条に従い、お客様から提供されたすべての個人データを削除または返却するものとします。
3. 監査の権利
E. ユタ
1. 定義
1.1 For purposes of this Section E, the terms “Consumer,” “Controller,” “Personal data,” “Processing,” and “Processor” shall have the meanings set forth in the UCPA.1.2 All references to “Data Subject” in the DPA shall be deemed to be references to “Consumer” as defined in the UCPA.
2. 義務
2.1 Pendoプラットフォームデータ(DPAで定義されるもの)に関する場合を除き、両当事者は、UCPAの目的上(適用される範囲で)お客様が管理者、Pendoが処理者であることを確認し、これに同意するものとします。2.2 お客様の個人データの処理に関する指示および当事者の権利と義務は、本DPAおよび契約に規定されています。
2.3 処理の性質、目的、期間に加え、個人データの種類、消費者の区分は本DPAの別紙Aに記載されています。
2.4 Pendoは、当該の個人データを処理する各個人に当該の処理に関して機密保持義務を課すものとします。
2.5 Pendoは、処理の性質とPendoが入手可能な情報を考慮し、合理的に実行可能な範囲で、適切な技術的および組織的手段を使用し、個人データの処理のセキュリティとセキュリティシステム侵害の通知に関する義務を含む、お客様の義務の履行を支援するものとします。
2.6 Pendoは、次の事項を含め(ただしこれに限定されない)DPA第4条に従ってのみ、本契約に基づいてお客様へのサービス提供について、UCPAに定められたすべての適用される要件を遵守する必要があることを下請け業者と書面による契約で締結して、Pendoを支援する新規下請け業者を雇用するものとします。
