データ処理に関する補遺
LogicMonitor 法務
- 利用規約
- コンプライアンス
- 個人情報保護
- IT G
に適用されます: この DPA を参照する顧客のサブスクリプション、またはパートナー契約。
範囲: CCPA および CPRA、PIPEDA、英国 GDPR、スイスのデータ プライバシー法、GDPR など、適用されるグローバルなプライバシー法。
内容
- はじめに: サービスと背景
- 定義
- 一般的な適用性
- 個人データの処理
- 役割と責任
- パートナー規約
- 守秘義務とセキュリティ
- サブプロセッサ
- 政府によるアクセス要求
- 個人データの保持と破棄
- セキュリティレポートと監査
- データ主体の権利
- 制限付き譲渡
- その他
付録 1 – 処理の説明
付録 2 – 技術的および組織的対策
付録 3 – サブプロセッサ
このデータ処理に関する追加条項 (この 「付録」 or 「DPA」) を補足し、サービス契約と同じ発効日となります ( "契約") 該当する LogicMonitor エンティティ (「ロジックモニター」)と 顧客 LogicMonitor 注文フォームに記載されている名前 ("お客様")、製品利用規約の受諾日、またはこの DPA を参照する該当する契約(それぞれを「契約書」と呼ぶ場合があります) "パーティー" そして集合的に 「パーティー」).
1. はじめに:サービスと背景
- 1.1. IT システムのパフォーマンス監視。 両当事者は、SaaS サービスの目的と焦点は IT システムのステータスとパフォーマンスの監視であり、個人データを保存、操作、送信、取得、または処理するための受け皿、導管、またはサービスとして機能するものではないことを理解します。
- 1.2.少量の個人データ。 それにも関わらず、両当事者は、本サービスに関連した名目上の個人データ (本契約で定義) の偶発的な収集が通常の過程で発生することを承認します (たとえば、許可されたユーザーの資格情報 (ログイン) 情報や、トランザクション監視によるログ ファイル内の情報、 SaaS サービスとビジネス関係を実施するために必要な各当事者の従業員の名前と連絡先情報)。
- 1.3。目的 この追加条項の目的は、当事者が個人データに関する業務と活動を機密かつ安全な方法で、適用されるすべての法律および規制に従って管理することを規定することです。
2。 定義
- 2.1. 「アフィリエイト「」は、本契約で付与されているのと同じ意味を持ち、本契約で定義されていない場合、この用語は、直接的または間接的に当事者を支配する、当事者によって支配される、または当事者と共通の支配または所有権の下にある事業体を意味します。 「によって管理されている」および「との共通の管理下にある」とは、議決権証券の所有権を通じて、契約によって、またはその他によって、事業体の方向性を指示し、引き起こし、または重大な影響を与える権限を保有していることを意味します。
- 2.2. 「カリフォルニア州のデータ保護法」とは、2018 年カリフォルニア州消費者プライバシー法 (または 「CCPA」)、カリフォルニア州プライバシー権法により改正されました。文明コード §§ 1798.100 以降(または 「CPRA」)、およびそれに基づいて発行されたすべての規制。
- 2.3. 「契約処理業者「」とは、文脈に応じて、LogicMonitor または LogicMonitor アフィリエイトおよび/またはサブプロセッサを意味します。
- 2.4. 「コントローラーからプロセッサーへの SCC"と 「コントローラー間の SCC」 標準契約条項に関する 2 年 1 月 3 日の委員会実施決定 (EU) 2021/914 に定められた EU 標準契約条項のモジュール 4 およびモジュール 2021 (それぞれ)、およびモジュール 2016 (両当事者が「処理者」とみなされる場合) を参照欧州議会および欧州理事会の規則 (EU) 679/XNUMX に基づく第三国への個人データの転送については、記載されているとおりです。 ここで入手可能; 関連するデータ保護法に基づいて管轄当局によって随時修正または置き換えられます。
- 2.5. 「データ保護法"と"適用法「」とは、カリフォルニア州データ保護法、EU データ保護法、スイスのデータ保護法、英国のデータ保護法、および該当する範囲で他の国のデータ保護法またはプライバシー法を意味します。
- 2.6. 「データ主体「(大文字かどうかに関係なく)」とは、GDPR で定義されている特定された、または特定可能な自然人を意味します。
- 2.7. 「データコントローラ"または "コントローラ" GDPR で定義されているように、個人データを処理する目的と手段を決定する組織 (この場合は顧客) を意味し、カリフォルニア州データ保護法で定義されている用語に「ビジネス」が含まれるものとします。
- 2.8. 「データ処理装置"または 「プロセッサ」とは、 GDPR で定義されているデータ管理者 (この場合は LogicMonitor) に代わって個人データを処理する組織。カリフォルニア州データ保護法で定義されている用語の「サービス プロバイダー」を含むものとします。;
- 2.9. 「EEA「」とは、欧州連合加盟国とノルウェー、アイスランド、リヒテンシュタインを構成する欧州経済地域を意味します。
- 2.10. 「EU データ保護法「」とは、(i) 25 年 2018 月 95 日より前の、個人データの処理およびかかるデータの自由な移動に関する個人の保護に関する欧州議会および理事会の指令 46/25/EC (該当するものを含む) を意味します。 (ii) 2018 年 2016 月 679 日以降、個人データの処理およびかかるデータの自由な移動に関する自然人の保護に関する欧州議会および欧州理事会の規則 95/46、および指令 XNUMX/XNUMX/EC の廃止 (「一般的なデータ保護規則」または「GDPRこれには、GDPR を批准、実施、採用、補足、または置き換える法律や規制、および (iii) 上記の遵守に関して政府機関、規制機関、または当局が発行したガイダンスや実施規範が含まれます。いずれの場合も、有効な範囲内で、随時更新、修正、または置き換えられます。
- 「2.11. 譲渡制限「」とは、顧客または顧客の関連会社による LogicMonitor または LogicMonitor の関連会社への個人データの転送 (またはその後の転送) を意味します。いずれの場合も、そのような転送は、転送された個人の保護がない場合、データ保護法によって禁止されます。コントローラーからプロセッサーへの SCC や英国 IDTA (下記に定義) などの適切な転送メカニズムによって提供されるデータ。
- 2.12. 「加盟国」は EU 加盟国を意味します。
- 2.13. 「個人データ「」とは、自然人(データ主体)を直接的または間接的に特定する、または特定可能な自然人に関連するあらゆるデータ、情報、または記録を意味します。これには、名前、住所、電話番号、電子メール アドレス、支払いカード データ、識別番号が含まれますが、これらに限定されません。社会保障番号または納税者番号、生年月日、運転免許証番号、医療および健康関連情報、およびLogicMonitorまたはLogicMonitorの代理を務める第三者が本契約に関連して処理するその他の個人を特定できる情報など、「 GDPR で定義される「個人データ」と、カリフォルニア州データ保護法で定義される「個人情報」。
- 2.14. 「プロセス、 ""プロセス、 ""処理」または「処理済み「」とは、収集、記録、ダウンロード、アップロード、編成、構造化、保管、適応などの自動化された手段によるかどうかにかかわらず、データ、情報、素材、作品、表現、またはその他のコンテンツに対して実行される操作または一連の操作を意味します。または、変更、検索、参照、使用、送信、配布またはその他の方法で利用可能にすることによる開示、調整または組み合わせ、制限、消去または破壊。
- 2.15。 "セール、" or "売る、" or "共有" カリフォルニア州データ保護法で割り当てられた意味、または適用法で別途定義された意味を持ちます。
- 2.16 「セキュリティインシデント」 個人データの損失の疑いまたは実際の損失、不正または違法な処理、破壊、損傷、変更、または個人データの不正な開示またはアクセスを意味します。
- 2.17。 「サービスプロバイダー」 カリフォルニア州データ保護法で割り当てられた意味を持ちます。
- 2.18 「サブプロセッサー」 顧客にサービスを提供する過程で個人データを処理するためにLogicMonitorが関与する当事者を意味します。
- 2.19. 「監督当局「」とは、(a) EU データ保護法に従って EU 加盟国によって設立された独立した公的機関、および (b) データ保護法の執行に責任を負う同様の規制当局を意味します。
- 2.20. 「スイスのデータ保護法「データ保護に関するスイス連邦法」を意味します。
- 2。 21。 「スイスの制限付き送金「」とは、顧客または顧客の関連会社による LogicMonitor への個人データの転送 (またはその後の転送) を意味します。いずれの場合も、かかる転送は、転送された個人データに対する保護が提供されていない場合、スイスのデータ保護法によって禁止されます。管理者から処理者への SCC、または管理者から管理者への SCC、英国 IDTA、または同様の転送メカニズム。ただし、本 DPA に規定されているように、スイス特有の修正が適用されます。
- 2.22. 「英国のデータ保護法」または単に 「英国GDPR」 3 年の欧州連合 (離脱) 法第 2018 条の運用により英国国内法に置き換えられ、2019 年のデータ保護、プライバシーおよび電子通信 (修正など) (EU 離脱) 規則によって修正された GDPR を意味します。 2018 年データ保護法、2003 年プライバシーおよび電子通信 (EC 指令) 規則 (改正)、および英国で随時施行されているその他のデータ保護またはプライバシーに関する法律。
- 2.23. 「英国IDTA” ということは、 国際データ転送に関する付録 21 年 2022 月 XNUMX 日発効の EU 委員会標準契約条項 (または後継メカニズム) に準拠。どれの ここに提供されています, また、英国 GDPR 第 46 条に従って、随時修正または置き換えられる場合があります。
3. 一般的な適用性
- 3.1. この補遺は、LogicMonitor が顧客または顧客の関連会社に代わってサービスを実行する過程でデータ主体の個人データを処理する範囲に適用されます。
- 3.2.再販業者およびその他のパートナーに関する規約。 上記の規定にかかわらず、LogicMonitor と再販業者、販売代理店、またはその他のパートナーとしてのみ活動する事業体 (LogicMonitor サービスを自らのビジネス目的で直接使用していない当事者を意味します) との間では、(それぞれの "相棒")、両当事者は、この DPA の範囲が、独立した管理者関係にのみ適用される条件に限定されることに同意します。 セクション 6 – パートナー向けの規約.
4.個人データの処理
- 4.1.目的の制限。 LogicMonitor は、以下に規定されているように、個人データの種類のみ、データ主体のカテゴリに関してのみ、処理の性質と目的および期間に限り処理します。 付録1、およびお客様の書面による指示に代わって、お客様の書面による指示に従います。
- 4.2.ビジネス目的。 LogicMonitor は以下の個人データのみを処理します。 「事業目的」 このような用語は、カリフォルニア州データ保護法に基づいて定義されており、次の内容が含まれます。(i) 顧客にサービスを提供する。 (ii) 個人データのセキュリティと完全性の確保を支援する。 (iii) 既存の意図された機能を損なうエラーを特定して修復するためのデバッグ。 (iv) サービスの品質または安全性を検証または維持するための活動に着手する。
- 4.3.個人データの販売または共有の禁止。 LogicMonitor は、個人データの販売または共有を禁止されています。そのような条件はカリフォルニア州データ保護法で定義されています。
5. 役割と責任
- 5.1. 責任と任命。顧客 (場合によっては管理者または処理者として) は、顧客に代わって個人データを処理する処理者として LogicMonitor を任命します。ただし、顧客が処理者である場合、顧客のサブ処理者として LogicMonitor を任命します。
- 5.2. コンプライアンス。
- 5.2.1. LogicMonitor は、プロセッサーまたはサブプロセッサーとして、適用されるすべてのデータ保護法を遵守します。
- 5.2.2. 適用法に基づいて顧客が管理者と見なされる限り、顧客は管理者として以下を行うものとします。(i) 適用されるすべてのデータ保護法を遵守する。 (ii) LogicMonitor に発行する指示がデータ保護法に準拠していることを確認します。 (iii) LogicMonitor に提供された個人データの正確性、品質、合法性について単独で責任を負います。 (iv) データ保護法に基づく処理の法的根拠を確立している。 (v) データ保護法に基づいて必要とされるすべての通知を提供し、すべての同意を取得していること、および (vi) の条件に従って、LogicMonitor に個人データへのアクセスを提供する権利を有しており、今後も有し続けることを保証すること。契約および本補遺。
- 5.2.3. 顧客からの指示が準拠法に違反している、または準拠法に違反する処理を引き起こす可能性があるとロジックモニターが判断した場合、ロジックモニターは直ちに顧客に通知し、顧客がロジックモニターが準拠法に違反している、または違反している可能性があると判断した場合は、直ちにロジックモニターに通知します。 。同様に、適用法により、顧客の指示と矛盾している、または合理的に解釈される可能性があるとロジックモニターが考える処理を実行することがロジックモニター (または疑義を避けるための副処理者) に義務付けられている場合、ロジックモニターは、以下の場合を除き、処理を開始する前に直ちに顧客に通知します。この通知は、公共の利益という重要な理由により法律で禁止されています。
- 5.2.4. LogicMonitor が適用法に基づく義務を履行できなくなったと判断した場合、直ちに顧客に通知し、適切な是正措置が講じられるまで個人データのすべての処理を一時停止しなければなりません。
- 5.2.5. 各当事者は、データ保護法で要求される少なくとも最小限の情報を含む、すべての処理操作の記録を自らの責任の下で維持し、要求に応じて監督当局がそのような情報を利用できるようにするものとします。
6. パートナー規約
- 6.1. 適用性。 このセクションは、顧客向けの LogicMonitor サブスクリプション サービスには適用されません。このセクションはパートナーのみに適用されます。 LogicMonitor とパートナーは、適用される契約 (再販契約など) に基づく各当事者のそれぞれの義務を果たすために一部の個人データの共有が必要となる場合があることに同意し、したがってパートナー向けの本規約に同意します。
- 6.2.パートナーは適用法を遵守します。 パートナーとロジックモニターは、各当事者が以下を含むデータ保護法に基づくそれぞれの義務を独立して遵守することに同意します。(i) 合法性、公平性、透明性の原則に従って共有個人データを処理し、データ主体の権利を尊重する。 (ii) アクセス、修正、消去、データのポータビリティを含むデータ主体の権利を促進する。 (iii) セキュリティインシデントが発生した場合、影響を受ける当事者は不当な遅滞なく相手方当事者に通知し、関連するデータ保護法の要件に協力するものとします。
- 6.3.国際的なデータ転送とコンプライアンス: 両当事者は、関係する法域の法的要件に従ってすべての制限付き転送を実行します。これには、他の取り決めで必要な場合の SCC の実行、受信国での適切なレベルのデータ保護の確保、およびその他の分野における現地法の遵守が含まれますが、これらに限定されません。日本、インド、シンガポールなどの EU 管轄区域。両当事者は、適切性の決定なしに管轄区域への個人データの制限付き転送または国境を越えた転送を行う場合、管理者から管理者への SCC (または該当する範囲で同様の制限的な転送メカニズム) に従うことに同意します。
- 6.4.データ共有原則: 両当事者は、個人データを共有するときは常に次の原則に従うことを約束します。(i) 個人データは、相互に合意された目的のためにのみ収集および処理されます (目的の制限)。 (ii) 合意された目的に必要な個人データのみが共有および処理されます (データの最小化)。 (iii) データの正確性を維持し、個人データの完全性を保護するために設計された適切なセキュリティ対策を採用するために、定期的な更新と改善が行われます (データ完全性の保護)。 (iv) 各当事者は、本 DPA または該当するパートナー契約の終了時に個人データの安全な廃棄または返却を確保するために設計された、合意された保存期間を遵守するものとします。
7. 機密保持とセキュリティ
- 7.1.セキュリティプログラム. 最先端技術、実装コスト、処理の性質、範囲、状況、目的、さらにはデータ主体の権利と自由に対する可能性と重大度が変化するリスクを考慮して、LogicMonitor は、すべての適用法を遵守し、すべての個人データのセキュリティと機密性を合理的に確保するように設計された、合理的かつ商業的に実行可能な情報セキュリティ プログラムを維持する必要があります。
- 7.2.セキュリティ対策。 LogicMonitor は、セキュリティ インシデント ( 「技術的・組織的対策」)。これには、事業継続および災害復旧計画 (BCP/DR)、書面による情報セキュリティ プログラム (WISP) の維持、および以下で説明されている技術的および組織的対策が含まれます。 付録2これは参照により本明細書に組み込まれる。 LogicMonitor は、個人データにアクセスする正当なビジネス上の必要性があり、法的強制力のある機密保持義務があり、該当するデータ保護に関するトレーニングを受けている LogicMonitor の担当者とその代理店および関連会社のみが個人データを利用できるようにするため、商業的に合理的な措置を講じます。ポリシーと手順、および顧客の指示に従ってのみ個人データを処理するのは誰か。
- 7.3.処理の機密保持。 LogicMonitor は、個人データの処理を許可したすべての人物 (スタッフ、代理店、下請け業者および下請け業者を含む) が機密保持義務 (契約上の義務か法定の義務かを問わず) に従うことを保証するものとします。
- 7.4.セキュリティインシデントへの対応と通知.
- 7.4.1. LogicMonitor が認識した個人データに関するセキュリティ インシデントに関して、本 DPA の他のセクションに規定されている義務に加え、LogicMonitor は不当な遅延なく速やかにお客様に通知し、お客様が合理的に要求するタイムリーな情報を提供します。お客様がデータ保護法に基づくデータ侵害報告義務を履行できるようにします。通知には、セキュリティ インシデントの性質が合理的に詳細に要約されます。疑わしいデータが紛失、盗難、または侵害されているかどうか (わかっている場合)。 LogicMonitor によるセキュリティ インシデントの影響の評価。 LogicMonitor によって実行された、または実行される予定の是正措置。およびインシデントの管理または対応を担当する内部連絡窓口(連絡先情報を含む)LogicMonitor のデータ保護責任者 (「DPO」)。 LogicMonitor は、合理的に必要かつ推奨されるすべての是正措置を速やかに講じ、かかるセキュリティ インシデントを防止、緩和、または修正するためのあらゆる合理的かつ合法的な取り組みにおいてお客様と全面的に協力します。
- 7.4.2. セキュリティインシデントが発生した場合、いずれかの当事者が個人または政府当局(監督当局を含む)を含む第三者にセキュリティインシデントを開示または報告する必要があると判断した場合、各当事者は、他方の当事者に全面的に協力し、支援するものとします。かかる報告および開示義務を履行すること。準拠法で義務付けられている場合を除き、ロジックモニターは、顧客の書面による事前の同意 (不当に保留または遅延してはならない) がない限り、セキュリティ インシデントについて監督当局またはデータ主体に通知を行ってはなりません。
8. 副処理者
- 8.1.副処理者の任命。お客様は、LogicMonitor が、一般的な承認に基づいて、および本 DPA の制限に従って、LogicMonitor の関連会社およびサードパーティのサブプロセッサと契約して、LogicMonitor に代わって個人データを処理できることに同意するものとします。
- 8.2.サブプロセッサの要件。 LogicMonitor が副処理者のサービスを利用する場合、LogicMonitor は、かかる副処理者が顧客の個人データに対して適切な保護措置を維持できること、およびロジックモニターがかかる副処理者に対し、適用法を遵守し、お客様の個人データを保護するために設計された適切な保護措置を維持することを契約上義務付けていることに同意します。個人データは、この DPA によって規定されているのと同じ基準に準拠します。
- 8.3.副処理者リストと異議。 現在のサブプロセッサのリストは LogicMonitor で維持されます。 データ処理補足、で入手可能で、で入手可能 https://www.logicmonitor.com/data-handling-supplement (この位置は LogicMonitor によって随時更新される可能性があり、お客様にはそのような新しい位置が通知されます) ( 「リストアップ」)。 LogicMonitor が新しいサブプロセッサを使用する場合 (「新サブプロセッサー」)、LogicMonitor は、リストを更新し、顧客の主要なビジネス電子メール連絡先、またはサービス ポータルを通じて顧客が指定したプライバシー連絡先に電子メールで通知を送信するものとします。お客様は、LogicMonitor の通知から 10 日以内に LogicMonitor に通知することにより、かかる新しい副処理者の関与に異議を唱えることができます。ただし、そのような異議は、かかる新しい副処理者の実質的な遵守能力に直接関連する合理的かつ実質的な理由に基づくものでなければなりません。この補遺に規定されている義務と同様の義務( "異議")。 LogicMonitor は、異議を解決することができないと判断した場合にはお客様に通知することを条件として、異議を解決する権利を有するものとし、両当事者が合理的な解決に至らない場合には、いずれの当事者も 30 日が経過した時点で契約を終了することができるものとします。数日前の通知。顧客が異議を唱えない場合、新しい副処理者の関与は顧客によって受け入れられたものとみなされます。
- 8.4。 負債。 LogicMonitor は、各サブプロセッサのサービスを直接実行する場合に LogicMonitor が責任を負うのと同じ範囲で、サブプロセッサの作為および不作為に対して責任を負います。リクエストに応じて、LogicMonitor は、本契約に関連して個人データを処理する副処理者の現在のリストをお客様に提供します。
9. 政府によるアクセス要求
- 9.1.アクセスリクエストの通知。 LogicMonitor は、規制機関、政府関係者、またはその他の第三者からの個人データへのアクセス要求をお客様に速やかに通知します。
- 9.2.アクセス要求への応答。 顧客、その規制当局、またはデータ主体が何らかの理由で個人データへのアクセスを要求した場合、LogicMonitor は顧客に協力します。ただし、そのような協力から生じる LogicMonitor の合理的な費用および出費は顧客が責任を負うものとします。
- 9.3.移転影響評価。 データ保護法で義務付けられている場合、LogicMonitor は、 「移転影響評価」 サービスの提供に基づく、EU 加盟国から米国への個人データの転送が含まれます。 LogicMonitor は、お客様のリクエストに応じてこれを提供します。
10. 個人データの保持と破棄
- 10.1. 個人データの削除と返却。法律(以下に定義)で要求される保持データを除き、LogicMonitor は、適用法または命令により要求される場合を除き、本契約に従ってデータが処理される意図された目的を達成するために合理的に必要な期間を超えて個人データを保持しません。お客様の指示に従って、実際のまたは起こり得る法的請求を弁護するため、ロジックモニターは、本規約に基づく権利または義務を行使または履行するために個人データを必要としなくなった場合、管理または所有しているすべての個人データを返還するか、または回復不能に削除するための合理的な措置を講じるものとします。契約、およびいかなる場合でも本契約の満了または終了時に。
- 10.2.法的目的と保持データ。 適用法により LogicMonitor が個人データの全部または一部を保持することが義務付けられている範囲で (「保持されるデータ(i) 適用法で要求される場合を除き、保持データのすべての処理を停止するものとします。 (ii) 該当する契約および本 DPA の該当する機密保持およびセキュリティ要件に従って、かかるすべての保持データの機密を保持します。 (iii) かかる保持データに関しては、引き続きこの DPA の規定を遵守します。
11. セキュリティレポートと監査
- 11.1. 監査。 LogicMonitor が本契約に基づいてお客様の個人データの処理に従事している限り、お客様は、LogicMonitor およびサブプロセッサが本契約の条項に準拠していることを確認する権利、または許容される秘密保持の合理的な約款に基づいて第三者を任命する権利を有します。お客様に代わって当事者に同じことを確認するよう依頼します。 LogicMonitor は、個人データの保護と処理に関連する手順の検査とレビューを完了するために必要な範囲で、相互に許容される時期に、年に 1 回を限度として、お客様またはその代理店にアクセスを許可します。 LogicMonitor と顧客は、監査の合理的な開始日、範囲と期間、セキュリティおよび適用される機密保持管理について協議し、合意するものとします。 LogicMonitor は、この検査機能を促進するためにお客様に合理的な支援を提供することに同意します。お客様は、準拠法で禁止されていない限り、監査に関連して生成された監査レポートを LogicMonitor に無料で提供するものとし、監査レポートは機密扱いとし、お客様は準拠法に基づく監査要件を満たす目的にのみ監査レポートを使用することができます。この補遺の要件への準拠を確認します。本セクションのいかなる条項も、LogicMonitor が顧客、従業員、またはサードパーティプロバイダーに対して負う機密保持義務に違反することを要求するものではなく、すべての監査は顧客の単独の費用と費用で行われるものとします。
- 11.2.セキュリティレポート。セキュリティ証明書または監査レポート (SOC 2、タイプ II、または同等のものなど) の提供は、本契約に基づくお客様の権利に従って行われるものとします。本契約にセキュリティ認証レポートまたは監査権利に関する条項が含まれていない場合、LogicMonitor は、お客様の書面による要求に応じて、本契約の機密保持規定に従い、最新のセキュリティ レポートのコピーを提供するものとします。このようなレポートは、通常、LogicMonitor トラスト センター (次の場所で入手可能) で入手できます。trust.logicmonitor.com).
- 11.3.プライバシー影響評価。 データ保護法で要求される範囲で、LogicMonitor は、合理的に必要な情報 (お客様にまだ提供されていない範囲) および協力を提供することにより、プライバシー影響評価またはデータ保護影響評価 (または同様の名前の評価) に協力し、お客様を支援します。 。
12. データ主体の権利
- 12.1. データ主体の権利一般。 LogicMonitor は、お客様の要求に応じて、準拠法および規制に基づく権利の行使を求めるデータ主体の要求に対応するのを支援します。これには、アクセス、修正、修正、ブロックおよび削除の権利が含まれますが、これらに限定されません。 LogicMonitor は、個人データまたは LogicMonitor によるその処理に関してデータ主体からそのような要求または請求を受け取った場合、直ちにお客様に通知します。疑義を避けるために付記すると、お客様は、データ主体の個人データに関するアクセス、修正、制限、異議、消去、またはデータのポータビリティに関するデータ主体の要求に応答する責任を負います。
13. 制限された転送
- 13.1. 制限付き転送に関しては、顧客および各顧客関連会社(それぞれ 「データエクスポーター」) および LogicMonitor および各 LogicMonitor アフィリエイト (それぞれ 「データインポーター」) これにより、関連する転送の開始から発効し、コントローラーからプロセッサー SCC に移行します。両当事者は以下のことに同意します。(i) コントローラーからプロセッサーへの SCC の付録 1 の関連セクションが事前に設定されているものとみなされます。 付録 1 – 処理の説明、 下に; (ii) 処理操作は契約に記載されているものとみなされます。および (iii) コントローラーからプロセッサーへの SCC の付録 2 の関連セクションが事前に設定されているものとみなされます。 付録2 – 技術的および組織的対策; および (iv) コントローラーからプロセッサーへの SCC の付録 3 の言語が事前に入力されているものとみなされます。 付録 3 – 副処理者。すべての付録は、参照によりこの DPA に組み込まれます。
- 13.2.制限された転送 – スイス。スイス制限付き譲渡に関しては、顧客および各顧客関連会社(それぞれ 「データエクスポーター」) および LogicMonitor および各 LogicMonitor アフィリエイト (それぞれ 「データインポーター」) 関連する転送の開始から発効し、以下の変更を条件として、コントローラからプロセッサへの SCC が完了することになります。
- 目的のために コントローラからプロセッサへの SCC の付録 IC および第 13 条、データ転送がスイスのデータ保護法に準拠している限り、監督当局はスイスの連邦データ保護情報コミッショナー(FDPIC)となります。
- 用語 「加盟国」 に従ってスイス国内のデータ主体をスイスでの権利を求める訴訟の可能性から排除するような方法で解釈してはなりません コントローラーからプロセッサーへの SCC の第 18 条 (c).
- 管理者から処理者までの SCC は、25 年 2020 月 XNUMX 日のデータ保護に関するスイス連邦法の改正版が発効するまで、スイスの法人のデータを保護するものとします。
- コントローラーからプロセッサーまでの SCC における「指令 95/46/EC」または「規則 (EU) 2016/679」への言及は、スイスのデータ保護法への言及として解釈されるものとします。
- 13.3.制限された転送 – イギリス。 英国のデータ保護法の対象となる制限付き転送に関して、お客様は自らの代理として、また各お客様の関連会社(それぞれとして)の代理人として行動します。 「データエクスポーター」)および LogicMonitor は、独自の代理として、および各契約プロセッサのエージェントとして動作します(それぞれ 「データインポーター」) 関連する移転の開始から発効し、ここに英国 IDTA を締結します。
- 13.3.1.英国 IDTA: 両当事者は、英国 IDTA には、以下の関連規定が事前に入力されているものとみなされることに同意します。 付録 1 – 処理の説明, 付録 2 – 技術的および組織的対策, 付録 3 – 副処理者.
- 13.4. SCC の発効日。 管理者から処理者への SCC、および本 DPA に基づいて作成された英国 IDTA (該当する場合) は、次のうち遅い方の日に発効します。(i) データ輸出者が本契約の当事者となる。または (ii) データ輸入者が本契約の当事者となる。または (iii) 管理者から処理者への SCC、または英国 IDTA が関連する制限付き転送の開始。
- 13.5。転送要件の更新。 当事者を管轄する監督当局または裁判所が、EEA または英国内の管理者から EEA または英国外に設立された処理者への転送を、特定の追加の安全措置(以下を含むがこれに限定されない)の対象とするよういつでも命令した場合、特定の技術的および組織的措置まで)、両当事者は誠意を持って協力してかかる保護措置を実施し、個人データの転送がかかる追加の保護措置の恩恵を受けて行われることを保証するものとします。
14.その他
- 14.1.優先順位. この DPA は、個人データのプライバシー、機密性、またはセキュリティに関連する条項に限り、本契約の他の条項に優先します。ただし、本 DPA の規定と契約の他の部分との間に矛盾がある場合、当事者は個人データを最大限に保護する義務に従うものとします。この DPA によって修正されない限り、本契約は完全な効力を維持します。本契約とこの DPA の間に矛盾がある場合は、この DPA の条件が優先されます。この DPA に基づいて提起されたすべての請求には、本契約に規定されている除外および制限を含むがこれらに限定されない利用規約が適用されるものとします。
- 14.2。 責任の制限。 本 DPA に起因または関連して生じる各顧客および LogicMonitor (およびそれぞれの従業員、取締役、役員、関連会社、後継者、および譲受人) の総責任は、契約、不法行為、またはその他の責任理論にかかわらず、次のとおりであってはなりません。合計すると、適用法の下でその制限が無効になる場合を除き、本契約に定められた責任の制限を超えます。
- 14.3.準拠法 この DPA は、適用されるデータ保護法に別段の定めがある場合を除き、契約に記載された法律に準拠し、それに従って解釈されます。その場合、この DPA は、適用されるデータ保護法に従って準拠され、該当する場合は、 EEA から個人データを輸出した関連データ輸出者の管轄権に従うものとします。
付録 1 – 処理の説明
1. エクスポーターの詳細。
データエクスポーター: 該当する契約書または注文書に記載されている顧客の名前。
住所: 顧客の該当する注文書または請求書に関連付けられた住所、またはその他の合意に基づく住所。
詳細はお問い合わせください: お客様の連絡先の詳細は、該当する契約書または注文書に記載されています。
役割: コントローラー (該当する注文フォームに別途指示がない限り)。
2. 輸入業者の詳細。
データインポーター: LogicMonitor, Inc. (または契約に記載されている LogicMonitor 法人)。
住所: 820 ステート ストリート、5th フロア、サンタバーバラ、CA 93101
詳細はお問い合わせください: ティモシー・テシュ、DPO、 [メール保護]
役割: プロセッサー (該当する注文フォームに別途記載がない限り)。
本条項に基づいて転送されるデータに関連するアクティビティ: LogicMonitor は主に、お客様の IT システムからの IT システムの健全性、ステータス、パフォーマンス データを処理します。処理される付随的な個人データ要素には、顧客の指示に応じて、名前、電子メール アドレス、モバイル デバイス番号、ワークステーションの IP アドレスが含まれる場合があります。
3. 処理の詳細。
処理の主題: 処理の主題は、該当する契約に記載されているように、サービスの実行です。
処理の頻度と期間: 契約期間中。
処理または転送の性質と目的: LogicMonitor は、通常は通知配信 (電子メール/SMS)、監査ログ、ユーザー サポートなどの自動化された手順のために、サービスの通常の運用内で個人データを処理する場合があります。
個人データのカテゴリ: アクセス (ログイン) 資格情報、電子メール アドレス、モバイル デバイス番号、ワークステーション IP アドレス。
データ主体のカテゴリ: SaaS サービスを使用するためにお客様によって割り当てられた従業員、臨時労働者、および請負業者。
管轄監督機関: 顧客が主に居住する EU 加盟国の該当する監督当局。
付録 2 – 技術的および組織的対策
1. 入場管理。 権限のない者が、個人データが処理および使用されるデータ処理施設に入ることは禁止されています。
- a.対策: LogicMonitor のサービス プラットフォームは、同じ場所にあるデータセンターと AWS リソースにわたるハイブリッド デプロイメントとして運用されます。 LogicMonitor のデータセンター サブサービス プロバイダーと AWS はどちらも、各サイトの物理的および環境的セキュリティに関して厳格な管理を維持しています。当社のデータセンター施設では、LogicMonitor サーバーに物理的にアクセスするには、24 時間 7 日の有人セキュリティ チェック、電子キーカード、各アクセス ポイントでの連続的な生体認証スキャンなど、365 段階のプロセスが必要です。高解像度のビデオ監視が施設全体で維持されます。
2. データ処理システムのアクセス制御。 権限のない者がデータ処理システム (「DP システム」) を使用することは禁止されています。
- a. 対策: 顧客データを含むネットワークへのアクセスには、一元管理されたシングル サインオンによる認証が必要です (「SSO」) サービス。 LogicMonitor の SSO システムは、パスワードの有効期限、パスワードの再利用の制限、パスワードの最小強度など、強力なパスワード ポリシーの使用を強制します。不正アクセスをさらに防ぐために、2 要素認証が強制されます。ロールに基づく認証と認可が成功した後、顧客データを含むシステムにアクセスするには、特権アクセス管理システムに対する 3 次認証が必要です。
3. データアクセス制御。 DP システムの使用を許可された人のみが、アクセスを許可されたデータにのみアクセスできるようにするための措置を講じる必要があり、個人データの処理および使用中、および個人データの保存後は、そのようなアクセスが不可能になるようにする必要があります。読み取り、コピー、編集、または削除するデータ。
- a. 対策: LogicMonitor サービスは、最小限の特権の原則に基づいて、お客様が収集されたあらゆる種類のデータへのアクセスを制限できる、高度なロールベースの認証機能を備えて設計されています。 LogicMonitor には、すぐに使用できるデフォルトのロールが多数用意されていますが、各ロールに割り当てられたアクセス権と個人へのロールの割り当てについてはお客様が単独で責任を負います。
4. データ転送制御。 個人データが電子的に転送されている間、またはデータ媒体に転送または記録されている間、権限のない者によって個人データの読み取り、コピー、編集、または削除ができないこと、および個人データを確認および確認できることを保証するための措置を講じる必要があります。個人データがデータ転送機器によって転送される場合。
- a. 対策: LogicMonitor によって収集された多くのデータ要素 (個人データを含む) は顧客機密として分類され、細心の注意を払って取り扱われます。具体的な制御には、AES-256 を使用した保存時の暗号化と、脆弱な暗号を使用しない TLS 1.1 以降を使用した転送中の暗号化が含まれます。
5. 入力制御。 検証可能なチェックの可能性と、個人データが DP システムに入力、編集、または削除されたかどうか、また入力、編集、削除された場合は誰によって行われたかを判断するための措置が講じられます。
- a. 対策: LogicMonitor が個人データの収集のために提供する唯一のインターフェイスは、サービスに対するユーザー認証の管理です。作成、変更、削除を含むユーザー管理アクションはすべて、十分なアクセス権を持つすべてのアカウント所有者が利用できるアカウント監査ログに記録されます。
6. 順序制御。 データ輸入者の指示に従ってのみ個人データがデータ輸入者によって処理されることを保証するための措置を講じるものとします。
- a. 対策: LogicMonitor による個人データの使用は、名前、電子メール アドレス、およびオプションでモバイル デバイス番号に限定されます。これらの要素は、アカウント管理とアラート配信の目的でのみサービス内で使用され、これらのユースケースはアプリケーション コードによって強制されます。
7. 可用性の制御。 個人データが偶発的な破壊または損失から確実に保護されるように措置を講じる必要があります。
- a. 対策: 誤った削除からデータを保護するユーザー インターフェイス制御に加えて、LogicMonitor は、厳格な災害復旧プログラムの基礎を形成する顧客データの継続的なバックアップを維持します。お客様のバックアップは、人的エラーを修正するために環境を復元するため、または施設の障害が発生した場合に導入される災害復旧プロセスの一部として使用される場合があります。
8. 分離制御。 さまざまな目的で収集されたデータを個別に処理できるようにするための措置を講じる必要があります。
- a. 対策: LogicMonitor による個人データの使用は、アカウント管理とアラート配信の目的にのみ使用できるように、アプリケーションによって制限されています。 LogicMonitor によって収集されるその他すべてのデータは、IT システムの健全性とパフォーマンスを監視することを目的としています。この分離を強制するコントロールは、LogicMonitor コードベース内に存在します。
付録 3 – サブプロセッサ
1. 副処理者。 LogicMonitor のサブプロセッサのリストは、次の場所に保管されています。 https://www.logicmonitor.com/data-handling-supplement