Evernote Logo
Evernote
アプリを入手
ダウンロード

Evernote Enterprise データ処理に関する付属書

本 Evernote Enterprise データ処理に関する付属書(以下「本付属書」)は、Bending Spoons S.p.A.(以下「プロセッサー」)とお客様との間の契約(以下「本契約」)に組み込ま、その一部を構成します。本付属書はまた、本契約に関連してプロセッサーがカスタマーの個人データ(以下で定義)を処理する場合に適用されます。本付属書内で定義されていない大文字の用語(日本語版では初出にて括弧で括られている用語)は、本契約に定める意味を持ちます。


  1. 定義 
  2. 「適用可能なデータ保護法」とは、修正、変更、捕捉、または再度説明される可能性がある (I)  欧州議会および欧州連合理事会が定めた個人データの取扱いに係る自然人の保護に関する規定および個人データの自由な流通に関する規定(EU一般データ保護規則:General Data Protection Regulation、以下「GDPR」) (ii) ブラジル一般データ保護法(Brazilian General Data Protection Law、 2018 年法律第 13,709 号。以下「LGPD」)、および (iii) カリフォルニア州消費者プライバシー法(California Consumer Privacy Act、 Cal. Civ.Code §1798.100 et seq)およびその実施細則(以下「CCPA」)を含め、個人データの処理について規定する、適用可能なプライバシー法またはデータ保護法を意味します。
  3. 「カスタマーの個人データ」とは、プロセッサーがカスタマーに代わってデータを処理することを目的として、カスタマーからプロセッサーに提供された Evernote Enterprise サービスに関連する個人データを指します。
  4. 「EEA」 とは、欧州経済領域を指します。
  5. 「個人データ」とは、Evernote Enterprise サービスに関連する契約に則ってカスタマーがプロセッサーに提供する、自然人の識別に関する、または自然人の識別が可能な情報を指します。
  6. 「個人データの侵害」とは、カスタマーの個人データの偶発的または違法な破壊、喪失、改ざん、不正な開示、またはカスタマーのコンテンツへのアクセスを生じるセキュリティ侵害を指します。
  7. 「処理」、「管理者」、「プロセッサー」、「法人」、「消費者」、および「サービスプロバイダ」は、適用可能なデータ保護法において同じ意味になります。 
  8. 「サブプロセッサー」とは、本契約に則ってプロセッサーまたはサービスプロバイダがカスタマーの個人データを処理する場合に、Evernote Enterprise サービスを提供するという義務を遂行するためにプロセッサーが任命するプロセッサーまたはサービスプロバイダを意味します。 


  1. プロセッサーの役割と義務 
  2. プロセッサーは、プロセッサーが対象となっている適用法により要求される場合を除き、カスタマーの個人データを、カスタマーの書面での指示に従って、カスタマーの代わりに処理するものとします。プロセッサーは、適用可能なデータ保護法の付則 A、Evernote Enterprise サービスに関連したカスタマーの個人データの処理に関する記述の下、プロセッサーまたはサービスプロバイダを代表して行動するものとします。 
  3. カスタマーの個人データに適用する CCPA の範囲において:プロセッサーは、CCPA の定義におけるカスタマーの個人データを「販売」または「共有」しないこととします。プロセッサーが CCPA で規定する義務を履行できなくなった場合、プロセッサーはカスタマーに通知することとします。プロセッサーは、(i) Evernote Enterprise サービスの実行、(ii) 適用可能なデータ保護法に則って別のプロセッサーまたはサービスプロバイダをサブプロセッサーとして保持または採用すること、(iii) サービスの質を高めることを目的とした、プロセッサーによる社内使用、(iv) データセキュリティに関する問題の検出、または詐欺や不法な活動からの保護、および (v) (1) 連邦、州および地方政府の規制を遵守するため、(2) 連邦、州又は地域の当局による民事、刑事、または規制上の調査、捜査、罰則付き召喚令状、呼出状を遵守するため、(3) 法的な主張を行う、または弁護するため、(vi)  適用可能なデータ保護法において特に認められている場合以外でカスタマーの個人データを収集、保持、使用、開示、または処理しないこととします。 
  4. 適用可能なデータ保護法に則って、プロセッサーはカスタマーの個人データを個人データの侵害から保護するために技術的および組織的な対策を導入し、維持することとします。プロセッサーは、カスタマーの個人データを処理する権限を持つ各当事者が適切な秘匿義務に同意したことを確認することとします。 
  5. 適用可能なデータ保護法で要求される範囲内において、プロセッサーは EEA 内のカスタマーの個人データを処理または保持することとし、カスタマーの個人データを EEA 外の国へ転送する場合は、標準契約条項に関する欧州委員会実施決定(EU)2021/914 などの GDPR で要求される保証を適用することとします。


  1. カスタマーの役割と義務

カスタマーは、Evernote Enterprise サービスの使用とプロセッサーに対する処理の指示について、適用可能なデータ保護法で規定される義務を遂行することに単独で責任を負うものとします。カスタマーは、適用可能なデータ保護法の下、管理者または法人を代表して行動することとします。カスタマーは、適用可能なデータ保護法に従うこととします。これには、(a) 通知の提供、(b) 同意の取得、(c) アクセス、削除、訂正、制限、オプトアウト、オプトインの権利およびリクエストの受け入れ、(d) 本契約の下でプロセッサーがカスタマーの個人データを収集、保持、使用、開示、処理するために必要なすべての権利をカスタマーとプロセッサー(およびプロセッサーの子会社、関連会社、サブプロセッサー)が所有していることの確認で要求される範囲が含まれますが、これらに限定されません。カスタマーは、適用可能なデータ保護法の下で、プロセッサーがカスタマーの個人データを処理し、開示する適切な法的根拠があることを表明し、これを保証することとします。


  1. 副処理

カスタマーは、プロセッサーがカスタマーに代わってカスタマーの個人データを処理するためにサブプロセッサーを雇う場合があることに同意することとします。サブプロセッサーにはプロセッサーの子会社や関連会社、その他の第三者団体が含まれる場合があります。プロセッサーに雇われ、カスタマーに認定されたサブプロセッサーのリストは https://evernote.com/privacy/vendors でご確認いただけます。プロセッサーは、各サブプロセッサーと書面による契約を結ぶ必要があります。契約では、本契約と同等のデータ保護をサブプロセッサーに求めるものとします。プロセッサーは、カスタマーの個人データに対するサブプロセッサーを新たに雇う前に妥当な通知をカスタマーに提供することとします。カスタマーは、本項(セクション 4)に記載のリンクを使用して、サブプロセッサーリストの最新情報を記載した通知を受け取れるよう、メールリストに登録する必要があります。カスタマーは、データ保護に関する正当な理由があることを前提に、通知が届いた日から10日以内であれば、プロセッサーによるサブプロセッサーの雇用に書面で異議を申し立てることができます。その場合、プロセッサーとカスタマーは、係る懸案について誠意をもって話し合うこととします。


  1. 協力
  2. プロセッサーの責任:適用可能なデータ保護法で求められる範囲内において、プロセッサーは、カスタマーが個人の権利要求に従うための支援することとします。プロセッサーが個人の権利要求を受け取り、その個人がカスタマーアカウントのエンドユーザであると判断した場合、プロセッサーは、法で許可される範囲内で、(I) プロセッサーが要求を受け取ったことをカスタマーに迅速に通知するため、および (ii) カスタマーが要求に応える上で必要な情報をカスタマーに提供するための商業的に合理的な努力を払うものとします。プロセッサーがカスタマーに要求を通知することを禁じられている場合、またはカスタマーが迅速に要求に対応できなかった場合、プロセッサーは個人に対応できますが、適用可能なデータ保護法で要求される場合を除き、これは義務ではありません。カスタマーの要求および費用負担を前提として、また、適用可能なデータ保護法の範囲内において、プロセッサーは、カスタマーのデータ保護による影響の評価または事前相談を支援する目的で合理的に要求された情報を提供することとします。 
  3. カスタマーの責任:カスタマーは個人の権利を行使するための要求に対応する責任を単独で負うこと、およびプロセッサーはカスタマーに代わって個人に直接対応する責任を負わないことを理解し、これに同意することとします。カスタマーは要求に応える上で必要な情報を取得する努力を行うものとし、たゆまぬ努力にもかかわらず要求に従えない場合のみプロセッサーに連絡することとします。適用可能なデータ保護法が適用される場合、カスタマーは、適用可能なデータ保護法で規定される個人の権限を行使するための要求に関連した質問と要求のみをプロセッサーに提出できることとします。例えば、CCPA が適用される場合、カスタマーは、カリフォルニア州の消費者からの要求に関連することを前提として、CCPA に関連する質問と要求のみをプロセッサーに提出できます。CCPA で規定される消費者とみなされない個人からの CCPA 関連の質問や要求を提出することはできません。適用可能なデータ保護法に則り、カカスタマーは、カスタマーが権限に関する要求に従うことをサポートする上でプロセッサーが必要とする情報をプロセッサーに提供することとします。


  1. 監査
  2. 適用可能なデータ保護法で要求される範囲内、およびカスタマーの要求ベース(年に 1 回を超えない範囲)で、また、カスタマーとプロセッサーが適用可能な秘密保持契約を結んでいることを前提として、プロセッサーは、プロセッサーによるカスタマーの個人データの処理に関連する、プロセッサーが本付属書を遵守していることを確認する上で必要な情報に対する合理的な要求すべてについて、書面による回答(秘密扱い)を提供することとします。 
  3. カスタマーが、セクション 6.1 の権限行使を通して、適用可能なデータ保護法で要求されているプロセッサーによる本付属書の遵守を合理的に確認できない範囲内のみにおいて、カスタマーまたはカスタマーとプロセッサーが同意した認定第三者監査会社は、(i) カスタマーおよび存在する場合は認定第三者会社が適用可能な秘密保持契約をプロセッサーと結んでいる、(ii) プロセッサーに対する 60 日以上前の事前通知、および合理的な秘密保持手順をもって、プロセッサーのビジネスの邪魔にならない範囲で、プロセッサーの通常営業時間内に監査が行われる、および (iii) カスタマーとプロセッサーが監査前にスケジュールや期間、監査の範囲に同意しているという条件の下、契約期間内において、プロセッサーによる本付属書への準拠を監査できることとします。カスタマーがプロセッサーを監査できるのは 12 か月に 1 回までとします。カスタマーは、プロセッサーが監査に費やす合理的なコストと料金を含み、そのような監査に関するすべての費用と料金を負担することとします。カスタマーは、監査中に発覚した違反に関する情報を速やかにプロセッサーに通知することとします。


  1. 個人データの漏えい
  2. 適用可能なデータ保護法で求められる範囲内において、個人データの漏えいが判明した場合、プロセッサーは不当な遅延なしに、カスタマーに通知することとします。個人データの漏えいに関するプロセッサーの通知または対応は、個人データの漏えいに関して何らかの責任または債務を負うことを認めたものと解釈されないものとします。
  3. プロセッサーは、プロセッサーが利用可能な情報を勘案し、適用可能なデータ保護法で求められる情報をカスタマーに提供することとします。プロセッサーは、個人データの漏えいによる影響を緩和するための合理的な対策を行うこととします。


  1. データの削除または返還
    Evernote Enterprise サービスの終了時にカスタマーから書面による要求が届いた場合、プロセッサーは、カスタマーの個人データすべてを削除または返還することとします。即座に削除されないカスタマーの個人データは、本付属書に規定の通り継続して保護され、プロセッサーのデータ保持ポリシーに基づいて削除されます。なお上記にかかわらず、プロセッサーが適用可能なデータ保護法によりカスタマーの個人データの一部またはすべての保持を求められる範囲内において、プロセッサーには、プロセッサーが保持しており、本付属書で継続的に保護されているカスタマーの個人データを削除する義務はないものとします。


  1. 雑則
  2. プロセッサーとカスタマーは、本付属書が、Evernote サービスにおけるカスタマーの個人データの処理に関連して、以前カスタマーが同意した既存のデータ処理に関する付属書、データ処理の修正条項、その他の契約、補遺、付属書、または別紙よりも優先されることに同意することとします。 
  3. カスタマーが本付属書に変更を加えた場合、その付属書は無効となり、法的効力が失われます。  
  4. 本付属書で行われた変更を除き、契約に変更はなく、完全なる効力を有するものとします。本付属書の条項と契約の条項との間で矛盾が生じる場合、そのような矛盾の範囲内において、本付属書が優先されることとします。 
  5. プロセッサーとカスタマーの関係は、契約で規定される責任の除外および制限を含み、引き続き利用規約の対象となります。各当事者の責任は契約に則って制限されます。 
  6. 本付属書は、(i) 契約の有効期限切れまたは解約、および (ii) 本付属書に則ったカスタマーの個人データの返還または削除のどちらか遅い方が行われるまで効力を有します。



別紙 A

処理の説明


  1. データ対象者の分類:処理され得る個人データは、以下のデータ対象者の分類に関連しています。 
  • カスタマーとカスタマーのエンドユーザ(管理者とエンドユーザを含む)。 


  1. 個人データの種類:処理され得る個人データには以下を含みますが、これに限定されるものではありません。プロセッサーは、プライバシーポリシー(https://evernote.com/privacy を参照)に記載されている、処理される個人データのリストを最新に保つこととします。
  • 名前、メールアドレス、連絡手段、電話番号、画像などの個人情報、位置情報やカレンダー情報、エンドユーザが保存したコンテンツまたはエンドユーザに共有されたコンテンツ、Evernote Enterprise の使用に関してエンドユーザが行った操作のログ、Evernote Enterprise サービスへのユーザのアクセス方法に関する情報など、エンドユーザを特定できる情報。 
  • カスタマーの名前やメールアドレス、アカウント管理者のメールアドレス、アカウント所有者およびアカウント管理者に紐づけられた仕事または雇用に関連する情報。 
  • エンドユーザに紐づけられた IP アドレス、携帯電話番号、ピクセルデータ、Cookie データなど、電子識別子と関連するデータ。 
  • エンドユーザが Evernote Enterprise を操作している地域やエンドユーザが選択した言語など、位置情報データとユーザ設定データ。


  1. 特別な種類の個人データ:プロセッサーが特別な種類の個人データ(GDPR で定義)を Evernote Enterprise サービスにおいて意図的に収集または処理することはありません。 


処理操作:個人データは、契約の下、Evernote Enterprise サービスを提供、サポート、および改善する上で必要な処理活動のみを目的として処理されます。