データ処理契約

本データ処理契約(以下「DPA」という)は、顧客(本契約で定義される)と「Slide Craft Technologies Pvt Ltd との間で、処理者が管理者にソフトウェアおよびサービス(以下「本サービス」という)を提供する、利用規約(または同一の主題を扱う同様の名称の書面または電子的合意)(以下「本契約」という)の一部を構成します。管理者および処理者は、個別に「当事者」と称され、集合的に「両当事者」と称されます。

両当事者は、本契約に基づく義務の一部として、処理者による個人データ(EU GDPRで定義される)の処理に関して、(以下に定義される)EU GDPRの要件を遵守するために本DPAを履行することを目指します。

本DPAは、本契約に基づく処理者の義務の一部として管理者が提供する、処理者による個人データの処理に適用されるものとします。

以下に修正される場合を除き、本契約の条項は引き続き完全に効力を有するものとします。

1. 定義

本契約において別途定義されていない用語は、EU GDPRまたは本契約において与えられた意味を有するものとします。以下の用語は、それぞれ以下に定める意味を有するものとします。

  1. 1.1. 「データ移転」とは、管理者から処理者への個人データの移転、または処理者の2つの事業所間での移転、または処理者による再処理者への移転を意味します。
  2. 1.2. 「EU GDPR」とは、個人データの処理に係る自然人の保護および当該データの自由な移動に関するものであり、指令95/46/ECを廃止する、2016年4月27日付欧州議会および理事会規則(EU) 2016/679(一般データ保護規則)を意味します。
  3. 1.3. 「標準契約条項」とは、十分なデータ保護水準を確保していない第三国に設立された処理者への個人データ移転に関する標準契約条項に関する2021年6月4日付欧州委員会実施決定(EU) 2021/914に従い、本契約に別紙1として添付される契約条項を意味します。
  4. 1.4. 「管理者」とは、単独でまたは他者と共同で、個人データの処理の目的および手段を決定する自然人または法人、公的機関、代理店、またはその他の団体を意味します。当該処理の目的および手段が連合または加盟国の法律によって決定される場合、管理者またはその指名の特定の基準は、連合または加盟国の法律によって規定される場合があります。
  5. 1.5. 「処理者」 とは、管理者の代理として個人データを処理する自然人または法人、公的機関、代理店、またはその他の団体を意味します。
  6. 1.6. 「副処理者」とは、サービスの全部または一部の提供のために処理者によって任命され、管理者によって提供された個人データを処理する処理者/下請業者を意味します。
  1. 2. 本契約の目的
  2. 本DPAは、個人データの処理に関する処理者の様々な義務を定めるものであり、本契約に基づく処理者の義務に限定されるものとします。本契約の規定と本DPAの規定との間に矛盾がある場合、本DPAの規定が優先するものとします。
  3. 3. 個人データの種類およびデータ主体
    1. 処理者による個人データの処理の目的は、本契約に従い、処理者が管理者および/またはそのクライアントにサービスを提供することに限定されるものとします。
  5. 4. 処理の目的
    1. 管理者は、管理者が決定し規制する範囲において、処理者が個人データを処理することを許可します。個人データの現在の性質は、本DPAの別紙1の附属書Iに規定されています。処理者による個人データの処理の目的は、本契約に従い、処理者が管理者および/またはそのクライアントにサービスを提供することに限定されるものとします。
  6. 5. 処理の期間
    1. 処理者は、管理者により書面で別途合意されない限り、本契約の期間中、個人データを処理します。
  1. 6. データ管理者の義務
    1. 6.1. データ管理者は、合意されたサービスに関連して行われる処理のために、データ処理者に対し個人データを提供するのに必要なすべての権利を有することを保証するものとします。データプライバシー法により要求される範囲において、データ管理者は、適法な処理活動を可能にする適切な法的根拠に基づき、データ処理者に対し当該個人データを提供すること、本処理に必要なデータ主体の同意が取得されていること、および当該同意の記録が維持されていることを保証する責任を負います。当該同意がデータ主体によって撤回された場合、データ管理者は、当該撤回の事実をデータ処理者に通知する責任を負います。
    2. 6.2. データ管理者は、個人データを収集するすべての自然人に対し、関連するプライバシー通知を提供するものとします。
    3. 6.3. データ管理者は、データ管理者または個人データを収集するデータ主体から要求された場合、データ処理者に対し個人データの消去を要請するものとします。ただし、データ処理者が適用される法律により個人データを保持することが別途義務付けられている場合はこの限りではありません。
    4. 6.4. The Data Controller shall immediately advise the Data Processor in writing if it receives or learns of any:
      1. 6.4.1. Complaint or allegation indicating a violation of Data Privacy Laws regarding Personal Data;
      2. 6.4.2. Request from one or more individuals seeking to access, correct, or delete Personal Data;
      3. 6.4.3. Inquiry or complaint from one or more individuals relating to the collection, processing, use, or transfer of Personal Data; and
      4. 6.4.4. Any regulatory request, search warrant, or other legal, regulatory, administrative, or governmental process seeking Personal Data
  1. 7. Data Processor’s Obligations
  1. 7.1. The Processor will follow written and documented instructions received, including email, from the Controller, its affiliate, agents, or personnel, with respect to the Processing of Personal Data (each, an “Instruction”).
  2. 7.2. The Processing described in the Agreement and the relating documentation shall be considered as Instruction from the Controller.
  3. 7.3. At the Data Controller’s request, the Data Processor will provide reasonable assistance to the Data Controller in responding to/ complying with requests/ directions by Data Subject in exercising their rights or of the applicable regulatory authorities regarding Data Processor’s Processing of Personal Data.
  4. 7.4. In relation to the Personal Data, Data Controller shall obtain consent (where necessary) and/or provide notice to the Data Subject in accordance with Data Protection Laws to enable shared Personal Data to be provided to, and used by, the other Party as contemplated by this Agreement.
  5. 7.5. Where shared Personal Data is transferred outside the Data Processor’s territorial boundaries, the transferor shall ensure that the recipient of such data is under contractual obligations to protect such Personal Data to the same or higher standards as those imposed under this DPA and the Data Protection Laws.
  6. 7.6. The processor shall inform the controller if, in its opinion, a processing instruction infringes applicable legislation or regulation.
  7. 7.5. As A Data Processor, taking into account the nature of the processing and the information available to the Data Processor, the Data Processor shall assist the data controller in conducting any necessary Data Protection Impact Assessments (DPIAs), as required under GDPR.
  1. 8. Data Secrecy
    1. 8.1. To Process the Personal Data, the Processor will use personnel who are:
      1. 8.1.1. Informed of the confidential nature of the Personal Data, and
      2. 8.1.2. Perform the Services in accordance with the Agreement.
    2. 8.2. The Processor will regularly train individuals having access to Personal Data in data security and data privacy in accordance with accepted industry practice and shall ensure that all the Personal Data is kept strictly confidential.
    3. 8.3. The Processor will maintain appropriate technical and organizational measures for protection of the security, confidentiality, and integrity of the Personal Data as per the specifications as per the standards mutually agreed in writing by the Parties.
  1. 9. Audit Rights
  1. 9.1. Upon the Controller's reasonable request, the Processor will make available to the Controller, information as is reasonably necessary to demonstrate Processor’s compliance with its obligations under the EU GDPR or other applicable laws in respect of its Processing of the Personal Data.
  2. 9.2. When the Controller wishes to conduct the audit (by itself or through a representative) at Processor’s site, it shall provide at least fifteen (15) days’ prior written notice to the Processor; the Processor will provide reasonable cooperation and assistance in relation to audits, including inspections, conducted by the Controller or its representative.
  3. 9.3. The Controller shall bear the expense of such an audit.
  1. 10. Mechanism of Data Transfers
  1. Any Data Transfer for the purpose of Processing by the Processor in a country outside the European Economic Area (the “EEA”) shall only take place in compliance as detailed in Schedule 1 to the DPA. Where such model clauses have not been executed at the same time as this DPA, the Processor shall not unduly withhold the execution of such template model clauses, where the transfer of Personal Data outside of the EEA is required for the performance of the Agreement.
  1. 11. Sub-processors
    1. 11.1. The Controller acknowledges and agrees that the Processor, may engage a third-party Sub-processor(s) in connection with the performance of the Services, provided such Sub-processor(s) take technical and organizational measures to ensure confidentiality of Personal Data shared with them; The current Sub-processors engaged by the Processors and approved by the Controller are listed in Annex III of Schedule 1 hereto. The processor shall notify the controller at least thirty (30) calendar days in advance of any intended changes or additions to its Sub-processors listed in Annex III by emailing notice of the intended change to Customer. In accordance with Article 28(4) of the GDPR, the Processor shall remain liable to Controller for any failure on behalf of a Sub-processor to fulfil its data protection obligations under the DPA in connection with the performance of the Services.
    2. 11.2. If the Controller has a concern that the Sub-processor(s) Processing of Personal Data is reasonably likely to cause the Controller to breach its data protection obligations under the GDPR, the Controller may object to Processor’s use of such Sub-processor and the Processor and Controller shall confer in good faith to address such concern.
  1. 12. Personal Data Breach Notification
    1. 12.1. The Processor shall maintain defined procedures in case of a Personal Data Breach (as defined under the GDPR) and shall without undue delay notify Controller if it becomes aware of any Personal Data Breach unless such Data Breach is unlikely to result in a risk to the rights and freedoms of natural persons.
    2. 12.2. The Processor shall provide the Controller with all reasonable assistance to comply with the notification of Personal Data Breach to the Supervisory Authority and/or the Data Subject, to identify the cause of such Data Breach and take such commercially reasonable steps as reasonably required to mitigate and remedy such Data Breach.
    3. 12.3. No Acknowledgement of Fault by Processor. Processor’s notification of or response to a Personal Data Breach under this DPA will not be construed as an acknowledgement by Processor of any fault or liability with respect to the data incident.
  1. 13. Return and Deletion of Personal Data
    1. 13.1. The Processor shall at least thirty (30) days from the end of the Agreement or cessation of the Processor’s Services under the Agreement, whichever occurs earlier, shall return to the Controller all the Personal Data, or if the Controller so instructs, the Processor shall have the Personal Data deleted. The Processor shall return such Personal Data in a commonly used format or in the current format in which it was stored at discretion of the Controller, soon as reasonably practicable following receipt of Controller’s notification.
    2. 13.2. In any case, the Processor shall delete Personal Data including all the copies of it as soon as reasonably practicable following the end of the Agreement.
  1. 14. Technical and Organizational Measures
    1. Having regard to the state of technological development and the cost of implementing any measures, the Processor will take appropriate technical and organizational measures against the unauthorized or unlawful processing of Personal Data and against the accidental loss or destruction of, or damage to, Personal Data to ensure a level of security appropriate to: (a) the harm that might result from unauthorized or unlawful processing or accidental loss, destruction or damage; and (b) the nature of the data to be protected [including the measures stated in Annex II of Schedule 1]

SCHEDULE 1

ANNEX I

A. LIST OF PARTIES

Data exporter(s):

  1. Name : Customer (As set forth in the relevant Order Form).

Address: As set forth in the relevant Order Form.

Contact person’s name, position, and contact details: As set forth in the relevant Order Form.

Activities relevant to the data transferred under these Clauses: Recipient of the Services provided by Slide Craft Technologies Pvt Ltd in accordance with the Agreement.

Signature and date: Signature and date are set out in the Agreement.

Role (Controller/ Processor): Controller

Data importer(s):

  1. Name: Slide Craft Technologies Pvt Ltd

Address: Cabin no 05 63/3 4th Floor, Arham Towers Off K R Road, Bangalore South, 560082, Karnataka

Contact person’s name, position, and contact details: Avinash DPO, avinash@deck.in

EU representative contact details: Rickert Rechtsanwaltsgesellschaft mbH, art-27-rep-slidecraft@rickert.law

Activities relevant to the data transferred under these Clauses: Provision of the Services to the Customer in accordance with the Agreement.

Signature and date: Signature and date are set out in the Agreement.

Role (Controller/processor): Processor.

B. DESCRIPTION OF TRANSFER

  1. Categories of data subjects whose personal data is transferred
  2. Customer’s authorized users of the Services.

Categories of personal data transferred

  1. Name, Address, Date of Birth, Age, Education, Email, Gender, Image, Job, Language, Phone, Related person, Related URL, User ID, Username.

Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialized training), keeping a record of access to the data, restrictions for onward transfers or additional security measures.

  1. No sensitive data collected.

The frequency of the transfer (e.g., whether the data is transferred on a one-off or continuous basis).

  1. Continuous basis

Nature of the processing
The nature of the processing is more fully described in the Agreement and accompanying order forms

Purpose(s) of the data transfer and further processing

The purpose of the transfer is to facilitate the performance of the Services more fully described in the Agreement and accompanying order forms.

The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period

The period for which the Customer Personal Data will be retained is more fully described in the Agreement, Addendum, and accompanying order forms.

For transfers to (sub-) processors, also specify subject matter, nature, and duration of the processing

  1. The subject matter, nature, and duration of the Processing more fully described in the Agreement, Addendum, and accompanying order forms.

C.COMPETENT SUPERVISORY AUTHORITY

Data exporter is established in an EEA country.

The competent supervisory authority is as determined by application of Clause 13 of the EU SCCs.

ANNEX II

TECHNICAL AND ORGANISATIONAL MEASURES INCLUDING TECHNICAL AND ORGANISATIONAL MEASURES TO ENSURE THE SECURITY OF THE DATA

Description of the technical and organisational security measures implemented by Slide Craft Technologies Pvt Ltd as the data processor/data importer to ensure an appropriate level of security, taking into account the nature, scope, context, and purpose of the processing, and the risks for the rights and freedoms of natural persons.

  • Security
  • Security Management System.
    • Organization. Slide Craft Technologies Pvt Ltd designates qualified security personnel whose responsibilities include development, implementation, and ongoing maintenance of the Information Security Program.
    • Policies. Management reviews and supports all security related policies to ensure the security, availability, integrity and confidentiality of Customer Personal Data. These policies are updated at least once annually.
    • Assessments. Slide Craft Technologies Pvt Ltd engages a reputable independent third-party to perform risk assessments of all systems containing Customer Personal Data at least once annually.
    • Risk Treatment. Slide Craft Technologies Pvt Ltd maintains a formal and effective risk treatment program that includes penetration testing, vulnerability management and patch management to identify and protect against potential threats to the security, integrity or confidentiality of Customer Personal Data.
    • Vendor Management. Slide Craft Technologies Pvt Ltd 効果的なベンダー管理プログラムを維持しています。
    • インシデント管理. Slide Craft Technologies Pvt Ltd セキュリティインシデントを定期的にレビューし、根本原因の効果的な特定と是正措置を含めています。
    • 規格. Slide Craft Technologies Pvt Ltd ISO/IEC 27001:2022規格の要件に準拠した情報セキュリティマネジメントシステムを運用しています。
  • 人的セキュリティ
    • Slide Craft Technologies Pvt Ltd 従業員は、会社の機密保持、企業倫理、適切な利用、および専門的基準に関するガイドラインに沿った行動をとることが求められます。 Slide Craft Technologies Pvt Ltd 本契約に基づき顧客データにアクセスする従業員に対し、法的に許容される範囲内で、適用される現地の労働法、慣習、および法令に従って、職歴および犯罪歴に関するものを含め、合理的に適切な身元調査を実施します。
    • 従業員は、雇用時に書面による機密保持契約を締結し、常に顧客の個人データを保護することが義務付けられています。従業員は、受領と遵守を認識しなければなりません。 Slide Craft Technologies Pvt Ltd当社の機密保持、プライバシー、セキュリティに関する方針。従業員は、情報セキュリティプログラムをどのように実施し、遵守するかについて、プライバシーおよびセキュリティに関する研修を受けています。顧客の個人データを取り扱う従業員は、その役割に応じた追加要件(例:資格取得)を満たす必要があります。 Slide Craft Technologies Pvt Ltd 当社の従業員は、許可なく顧客の個人データを処理することはありません。
  • アクセス制御
    • アクセス管理. スライドクラフト・テクノロジーズ株式会社 は、顧客の個人データへのアクセス権を持つすべての担当者に対し、その要求、審査、承認、および付与に関する正式なアクセス管理プロセスを維持しています。これは、顧客の個人データ、および顧客の個人データを保存、アクセス、または送信するシステムへのアクセスを、正当な権限を持ち、かつそのアクセスを必要とする者に限定するためです。アクセスレビューは定期的に実施され、顧客の個人データへのアクセス権を持つ担当者が引き続きそれを必要としていることを確認します。
    • インフラセキュリティ担当者. スライドクラフト・テクノロジーズ株式会社 は、従業員向けのセキュリティポリシーを策定・維持しており、従業員向けの研修パッケージの一環としてセキュリティトレーニングを義務付けています。 スライドクラフト・テクノロジーズ株式会社Slide Craft Technologies Pvt Ltdのインフラセキュリティ担当者は、継続的な監視を担当しています スライドクラフト・テクノロジーズ株式会社 Slide Craft Technologies Pvt Ltdのセキュリティインフラストラクチャ、サービスのレビュー、およびセキュリティインシデントへの対応のため。
    • アクセス制御と特権管理. スライドクラフト・テクノロジーズ株式会社Slide Craft Technologies Pvt Ltdおよび顧客の管理者とエンドユーザーは、サービスを利用するために、多要素認証システムまたはシングルサインオンシステムを介して認証を行う必要があります
    • 内部データアクセスプロセスとポリシー – アクセス方針. スライドクラフト・テクノロジーズ株式会社の内部データアクセスプロセスとポリシーは、顧客の個人データへの不正なアクセス、使用、開示、改ざん、または破壊から保護するように設計されています。 Slide Craft Technologies Pvt Ltd は、「最小権限の原則」と「知る必要性(need to know)」に基づいて、権限のある人物のみがアクセスを許可されたデータにアクセスできるようにシステムを設計し、アクセス権のない人物がアクセスすることを防ぎます。 Slide Craft Technologies Pvt Ltd は、不正なアカウント使用の可能性を最小限に抑えるため、固有のユーザーID、強力なパスワード、二要素認証、および厳重に監視されたアクセスリストの使用を義務付けています。アクセス権の付与または変更は、権限のある担当者の職務、承認されたタスクを実行するために必要な職務要件、知る必要性(need to know)に基づいており、かつ Slide Craft Technologies Pvt Ltd の内部データアクセス方針とトレーニング。承認は、すべての変更の監査記録を保持するワークフローツールによって管理されます。システムへのアクセスは、説明責任のための監査証跡を作成するために記録されます。認証にパスワードが使用される場合(例:ワークステーションへのログイン)、パスワードポリシーは業界標準の慣行に従います。これらの標準には、パスワードの複雑さ、パスワードの有効期限、パスワードロックアウト、パスワードの再利用制限、および一定期間の非活動後のパスワード再入力が含まれます。
  • データセンターおよびネットワークセキュリティ
    • データセンター。
      • インフラストラクチャ。 Slide Craft Technologies Pvt Ltd はデータセンターとしてAWSを利用しています。
      • 復元力。 マルチアベイラビリティゾーンがAWS上で有効化されており、 Slide Craft Technologies Pvt Ltd は定期的にバックアップ復元テストを実施し、復元力を確保しています。
      • サーバーオペレーティングシステム。Slide Craft Technologies Pvt Ltd サーバーはアプリケーション環境に合わせてカスタマイズされており、サービスのセキュリティのために強化されています。 Slide Craft Technologies Pvt Ltd は、サービス提供に使用されるコードのセキュリティを向上させ、本番環境におけるセキュリティ製品を強化するために、コードレビュープロセスを採用しています。
      • 災害復旧Slide Craft Technologies Pvt Ltd は、偶発的な破壊や損失から保護するために、複数のシステムにデータを複製しています。 Slide Craft Technologies Pvt Ltd は、災害復旧プログラムを設計し、定期的に計画およびテストしています。
      • セキュリティログ。Slide Craft Technologies Pvt Ltd のシステムは、セキュリティ監査をサポートし、実際の攻撃や攻撃の試み、または侵入を監視および検出するために、それぞれのシステムログ機能にログ記録を有効にしています。 Slide Craft Technologies Pvt Ltd のシステム。
      • 脆弱性管理。Slide Craft Technologies Pvt Ltd は、本番環境および開発環境のすべてのインフラストラクチャコンポーネントに対して、定期的な脆弱性スキャンを実施しています。脆弱性はリスクに基づいて修正され、すべてのコンポーネントに対するクリティカル、高、および中程度のセキュリティパッチは、商業的に可能な限り速やかにインストールされます。
  • ネットワークと伝送。
    • データ伝送。本番環境での通信は、インターネット標準プロトコルを介して行われます。
    • 外部攻撃対象領域。AWS上の本番環境には、仮想ファイアウォールに相当するAWSセキュリティグループが導入されています。
    • インシデント対応. Slide Craft Technologies Pvt Ltd 詳細なセキュリティインシデントエスカレーション手順を含むインシデント管理ポリシーと手順を維持しています。 Slide Craft Technologies Pvt Ltd セキュリティインシデントのためにさまざまな通信チャネルを監視し、 Slide Craft Technologies Pvt Ltdのセキュリティ担当者は、疑わしいまたは既知のインシデントに迅速に対応し、そのようなセキュリティインシデントの有害な影響を軽減し、それらのセキュリティインシデントとその結果を文書化します。
    • 暗号化技術. Slide Craft Technologies Pvt Ltd 転送中のデータに対してHTTPS暗号化(SSLまたはTLSとも呼ばれます)を利用可能にします。
  • データ保管、分離、認証、および破棄。Slide Craft Technologies Pvt Ltd AWSサーバー上のマルチテナント環境にデータを保存します。データ、サービスデータベース、ファイルシステムアーキテクチャは、AWS上の複数のアベイラビリティゾーン間で複製されます。 Slide Craft Technologies Pvt Ltd 異なる顧客のデータを論理的に分離します。データの統一的なセキュリティを向上させるため、全てのサービスで中央認証システムが使用されています。 Slide Craft Technologies Pvt Ltd 一連のデータ消去プロセスを用いて、クライアントデータの安全な廃棄を保証します。

別紙III

サブプロセッサー一覧

管理者は以下のサブプロセッサーの使用を承認しました。

Name of Sub- Processor Description of Processing Location of Other Processor
Amazon Web Services Hosting the Production Environment and All customer data (eg document data etc) USA
Slack For messaging USA
Webflow For websites USA
Stripe Payment gateway USA
Adobe For design USA