新年はチームにとって新たな目標🎯を意味します。12月3日に開催されるウェビナーで、目標を達成する方法を学びましょう。今すぐ登録 

スタート
スタート

ON24データ処理規約

本データ処理規約(以下「DP規約」といいます)は、2018年5月24日以降に開始される、本サービス(以下に定義する大文字の用語)に基づくクライアントの個人データの処理に適用される義務および条件を定めるものです。

1.背景

1.1 ON24は、ビジネス顧客がウェブ放送およびその他のコンテンツ、ならびに仮想イベントおよび環境を作成、管理、ホストおよび配信し、登録者、出席者、その他のエンドユーザーに電子メールおよび通信を送信し、登録者、出席者、その他のエンドユーザーから登録情報およびその他の情報を収集できるようにするコンテンツ配信プラットフォーム(以下「プラットフォーム」)を運営します。ON24は、本プラットフォームの運営および提供にあたり、本プラットフォームの利用に関連するサービス(以下「本サービス」といいます)を法人顧客に提供します。 本DP規約は、欧州経済領域(「EEA」)およびスイスから受領した個人データを含む、本サービスに従ったお客様の個人データ(以下に定義)の処理(以下に定義)に適用されます。

1.2 本DP規約は、ON24ユニバーサル利用規約、およびサービスマスター契約書、サブスクリプション契約書、サービス契約書、作業指示書、およびクライアントのサービス購入とON24によるサービス提供に関連するON24とクライアント間のその他の書面または電子的な契約書、およびそれらの変更(以下、総称して「本契約」といい、本契約の変更も含まれます)の一部を構成します。

1.3 本DP規約は、両当事者間で交わされた従前のデータ処理契約、データ処理追補条項、または類似の条項に優先します。本DP規約の条項と本規約の他の条項との間に矛盾がある場合は、本DP規約が優先します。

2.実行

第1条2項に従い、本DP規約は参照により本契約に組み込まれます。 本DP規約を有効にするために別途締結する必要はありません。

3.一定の定義

3.1 本DP規約において、以下の用語は以下に定める意味を持つものとする:

(a) 「関連会社」とは、対象事業体を直接的または間接的に支配している、支配されている、または共通支配下にある事業体を意味する。この定義における「支配」とは、対象事業体の議決権の50%以上を直接または間接的に所有または支配することを意味する;

(b)「クライアントの関連会社」とは、本契約に従ってプラットフォームまたはサービスの使用を許可および/または認可されているクライアントの関連会社を意味します;

(c) 「クライアントのマテリアル」とは、クライアントイベントから生成されたスライド、オーディオファイル、ビデオファイル、写真、および録音を含むがこれらに限定されない、クライアントがプラットフォームを使用して入力、収集、管理、または作成するマテリアルまたはデータを意味します。

(d) 「クライアントの個人データ」とは、クライアントまたはクライアントの関連会社への本サービスの提供において、ON24 またはサブプロセッサが処理する個人データを意味し、クライアントイベントのエンドユーザの連絡先情報またはその他の個人を特定できる情報、またはクライアントマテリアルに含まれる情報を含みますが、これらに限定されません;

(e) 「データ侵害」とは、偶発的または違法な、ON24 またはそのサブプロセッサーによって送信、保存、またはその他の方法で処理されたお客様の個人データの破壊、紛失、改ざん、不正な開示、またはそれらへのアクセスを意味します。

(f)「データ保護法」とは、プライバシー、セキュリティ、データ保護、および/または個人データの処理に関連するあらゆる地域、国内、または国際的な法律、規則、規制を意味します。EU指令95/46/ECは、各加盟国の国内法に移管され、GDPRおよびGDPRを実施または補足する法律(2018年5月25日以降)を含め、随時改正、置き換え、または優先されます;

(g)「エンドユーザー」とは、1つ以上のクライアント・イベントに登録または出席した実際の出席者、見込み出席者、訪問者、その他のユーザーを意味します;

(h)「クライアントイベント」とは、クライアントまたはクライアント関連会社がプラットフォームを通じて提供または利用可能にするウェブキャスト、ウェビナー、仮想環境およびその他のコンテンツを意味します;

(i) 「GDPR」とは、EU一般データ保護規則2016/679を意味する;

(j) 「個人データ」とは、識別された、または識別可能な自然人に関するあらゆる情報を指します;

(k) 「処理」とは、アクセス、収集、記録、整理、保管、適応または変更、検索、相談、使用、送信による開示、普及またはその他の利用可能化、整列または組み合わせ、遮断、返却または破棄など、自動的な手段であるか否かを問わず、クライアントの個人データに対して実行される操作または一連の操作を意味し、「処理された」または「処理」はこれに従って解釈されます;

(l) 「制限された移転」とは、ON24 および/またはサブプロセサーへの、または ON24 および/またはサブプロセサーによる、適用されるデータ保護法により個人データが適切なレベルで保護されていると認められていない法域への、クライアントの個人データの移転を意味します;

(m)「標準契約条項」とは、データ主体の適切な保護レベルが確保されていない第三国に設立された処理業者への個人データの移転に関する標準契約条項であって、欧州委員会が制限付き移転に関する適切なセーフガードを提示するものとして承認したもの、またはその後継条項もしくはGDPR第46条に従って欧州委員会が認めた代替データ移転メカニズムを意味します;

(n) 「サブプロセッサー」とは、顧客の個人データを処理する可能性のある、ON24 によって、または ON24 に代わって任命された個人または法人(第三者および ON24 の関連会社を含みますが、ON24 の従業員は除きます)を意味します;

(o) 「監督当局」とは、(a)GDPR第51条に従って加盟国が設立した独立した公的機関、および(b)データ保護法の施行に責任を負う類似の規制当局を意味する。

(p) 「データ管理者」、「データ処理者」、「データ主体」、および「加盟国」という用語は、GDPRと同じ意味を持つものとします。

3.2 本契約で定義されていないすべての大文字の用語は、本契約で規定されている意味を持つものとする。

4.個人データの処理

4.1 当事者は、お客様の個人データの処理に関して、お客様がデータ管理者であり、ON24がデータ処理者であることを認識し、同意するものとします。

4.2 ON24 は、クライアントの文書化された指示に基づき、または ON24 またはサブプロセッサが従う適用法により処理が義務付けられている場合に限り、クライアントの個人データを処理し、またサブプロセッサに処理させるものとします。

4.3 お客様は、自己の代理として、また各関連するお客様の関連会社の代理人として、本サービス(お客様またはお客様の関連会社が利用する追加サービスを含み、追加条項が適用される場合があります)の提供に合理的に必要な範囲で、ON24 に以下の事項を指示します(また、ON24 が各サブプロセサーに指示する権限を付与します):(a) お客様の個人データを処理すること、(b) 下記第 12 条(国境を越えた移転)を遵守することを条件に、お客様の個人データを国または地域に移転すること、および (c) 下記第 11 条(サブプロセシング)を遵守することを条件に、サブプロセッサーを雇用すること。

4.4 お客様は、ON24がお客様の個人データおよび本サービスに関連するその他のデータを非識別化して匿名データとし、ON24のサービスおよび業務の運営および改善、新しいサービスおよび提供物の開発、その他の調査、分析および関連目的のために使用することに同意するものとします。ON24は、匿名データを独自の記録および情報の一部として保持することができ、かかるデータは、もはや本契約または本DP規約の対象とはなりません。"匿名データ "とは、クライアントおよびクライアントの関係者が識別できなくなる程度に、非識別化および/または他のデータとの集計が行われたデータを意味し、他のデータセットを参照または他のデータセットとの組み合わせにより、個人が識別、特定、またはその他の方法で確認できなくなったデータを意味します。

4.5 お客様は、(a)お客様によるお客様の個人データの提出および個人データの処理に関する指示は、データ保護法を遵守し、お客様は、関連するすべての時点で、各関連するお客様の関連会社に代わり、本条項(個人データの処理)に定める指示を行う正式かつ効果的な権限を保持することに同意します;(b) クライアントおよびクライアント関連会社は、本サービスの利用にあたり、データ保護法の要件に従って個人データを処理すること。 (c) クライアントは、本DP規約および本契約で規定されているクライアントの個人データの処理に関連するデータ対象者に必要な通知を行い、必要な同意を取得すること。

4.6 本DP規約の付属文書1は、GDPR第28条3項が要求するように、処理の対象および期間、処理の性質および目的、ならびに個人データおよびデータ対象者のカテゴリーを定めるものであり、付属文書1はいずれかの当事者に権利または義務を付与するものではありません。 いずれかの当事者は、更新または追加された付属書1を他方の当事者に提供することにより、GDPR第28条第3項の要件を満たすために必要であると合理的に判断した場合、付属書1に合理的な修正を加えることができます。

5.ON24 人事

ON24は、お客様の個人データにアクセスする可能性のある従業員、代理人または請負業者の信頼性を確保するために合理的な措置を講じ、かかる個人が守秘義務または職業上もしくは法令上の守秘義務を負うことを保証します。

6.セキュリティ

ON24 は、付属書類 2(技術的および組織的措置)に定めるとおり、お客様の個人データの処理によってもたらされるリスクに適切なレベルのセキュリティを提供するよう設計された、適切な技術的および組織的措置を実施します。 適切なセキュリティレベルを評価する際、ON24は、特に、処理によってもたらされるリスク、特に、送信、保存、またはその他の方法で処理される個人データの偶発的または違法な破壊、紛失、改ざん、不正な開示、または個人データへのアクセスによるリスクを考慮します。

7.個人情報の漏洩

ON24は、クライアントの個人データに関わるデータ侵害を発見した場合、過度な遅滞なくクライアントに通知し、データ保護法に基づくデータ侵害の報告義務をクライアントが果たすことを支援するための情報を(入手可能な限り)提供します。ON24は、クライアントに協力し、各データ侵害の調査、軽減および修復を支援するために、両当事者が誠意を持って合意した合理的な措置を講じます。クライアントが個人データ侵害の責任を負う限りにおいて、クライアントは、ON24が本条に基づく義務を履行するために合理的かつ適切に負担したすべての費用(内部費用および弁護士費用を含む第三者費用を含みます)をON24に払い戻します。

8.データ主体の権利

ON24は、データ主体からクライアントの個人データに関する要請を受けた場合、速やかにクライアントに通知します。要請があれば、ON24は、お客様の個人データに関するデータ主体の要請に対応するために、適用法に基づくお客様の義務の履行に必要な合理的な支援をお客様に提供します。 処理の性質を考慮し、かかる支援には、クライアントがかかる要請に効果的に対応できるようにするための合理的かつ適切な技術的および組織的措置の実施(実行可能な場合)が含まれます。

9.データ保護影響評価と事前協議

要求があり、ON24による関連する処理の性質およびON24が利用可能な情報に従うことを条件として、ON24は、適用されるデータ保護法の下で必要とされるデータ保護影響評価および監督当局への事前協議について、クライアントに合理的な支援を提供します。クライアントは、本条に基づく義務を履行するためにON24が合理的かつ適切に負担したすべての費用(内部費用および弁護士費用を含む第三者費用を含みます)を、ON24に全額払い戻します。

10.監査権

10.1 ON24は、クライアントの書面による要請があれば、ON24が本DP規約を遵守していることを証明するために合理的に必要な情報をクライアントに提供し、ON24またはそのサブプロセッサによるクライアントの個人データの処理に関して、クライアントが指名した資格のある独立した第三者監査人による検査を許可し、これに協力します。

10.2 お客様は、本条に基づき実施される監査または検査について、ON24 に合理的な通知を行い、かかる監査の過程において、ON24 またはサブプロセッサの施設、設備、人員および業務に損害、傷害または混乱を生じさせないよう、あらゆる合理的な措置を講じるものとします(また、各指名監査人にかかる措置を講じさせるものとします)。適用法または関連監督機関により別途要求される場合を除き、監査または検査は通常の営業時間内に実施され、1暦年に1回を超えないものとします。クライアントは、ON24 が本条に基づく義務を遂行するために合理的かつ適切に負担したすべての費用(内部費用、弁護士費用を含む第三者費用、および他のサブプロセッサの監査に関して ON24 が負担した費用を含みます)を、ON24 に全額払い戻します。お客様は、かかる監査に参加する監査人、代理人、人員、その他の個人または団体に、適切な書面による守秘義務を課すものとします。

11.サブプロセス

11.1 お客様は、ON24 がサブプロセッサを任命する(および本条項に従って任命された各サブプロセッサが任命することを許可する)権限を付与します。クライアントは、ON24の関連会社がサブプロセッサーとして従事すること、および本DP規約の日付時点でON24が既に従事しているその他のサブプロセッサーをON24が引き続き使用することに明示的に同意するものとします。2018年5月25日より前に、ON24は、サブプロセッサが引き受ける処理の名称および説明を含むON24サブプロセッサの最新リストをon24.com/about-us/gdpr/subprocessorsで公開し、サブプロセッサを追加する前にリストを更新します。 クライアントは、www.on24.com/about-us/gdpr/subprocessors で、新しいサブプロセッサに関する電子メール通知を購読することができます。 ON24 は、本サービスに関連して新たなサブプロセッサーに個人データの処理を許可する前に、www.on24.com/about-us/gdpr/subprocessors でサブプロセッサーリストを更新することにより、また、クライアントが新たなサブプロセッサーに関する電子メール通知を購読している場合は、電子メール通知を通じて、新たなサブプロセッサーに関する通知を行います。クライアントは、新しいサブプロセッサの通知から 10 営業日以内に書面にて ON24 (privacy@on24.com) に通知することにより、新しいサブプロセッサの選任に異議を唱えることができます。クライアントの異議通知には、クライアントの異議申し立ての根拠を明記するものとします。 クライアントは、サブプロセッサの使用に不当に反対しないことに同意するものとします。クライアントが10営業日以内にサブプロセッサーの選任に異議を唱えない場合、クライアントは当該選任を承認し、同意したものとみなされます。

11.2 当事者は、サブプロセッサの選任に対するクライアントの異議を解決するため、誠意をもって取り組むものとします。この間、本サービスの提供に影響が生じる可能性がありますが、お客様は、ON24がかかる影響について責任を負わないことに同意するものとします。両当事者が 90 日以内にお客様の異議を解決できない場合、お客様は、ON24 が異議を申し立てたサブプロセッサを使用しなければ提供できないとしている本サービスに関連する本契約の一部を、違約金なしに終了することができ、ON24 は、当該部分について前払いされたが未使用の金額をお客様に返金します。

11.3 各サブプロセッサーに関して、ON24 は以下を行います:(b) ON24 と各サブプロセッサーとの間の契約に、サブプロセッサーが行うサービスの性質を考慮し、本 DP 規約に定めるものと同等のレベルの顧客個人データの保護を提供する条件を含めること;(c) 制限された移転が含まれる場合、データ保護法で要求される適切な契約上の措置が講じられていることを確認し、お客様の個人データがEEAまたはスイスのものである場合は、標準契約条項をON24とサブプロセサーとの間の契約に盛り込むこと、および (d) 各サブプロセサーによるお客様の個人データの処理に関する義務の不履行について、お客様に対して引き続き責任を負うこと。

12.国境を越えた送金

ON24は、米国商務省が管理するEU-米国およびスイス-米国のプライバシーシールドフレームワークに対して自己認証を行い、これを遵守しています。ON24は、欧州経済地域および/またはスイスからのお客様の個人データの処理に関して、EU-米国およびスイス-米国のプライバシーシールドフレームワークに対する自己認証を維持し、これを遵守します。 ON24のプライバシーシールド認証が撤回された場合、または失効した場合、EU-米国またはスイス-米国のプライバシーシールドフレームワークがEEAまたはスイスのそれぞれの適用法に基づいて無効となった場合、ON24は、お客様と標準契約条項を締結するか、またはお客様と誠意をもって協力し、関連するお客様の個人データを米国に移転するための代替メカニズムを設置します。

13.個人データの削除または返却

本契約が終了または満了した場合(継続的な処理が新たなまたは修正された契約の対象となる場合を除きます)、および適用法で禁止されていない限り、ON24は90日以内(以下「停止日」といいます)に処理を停止し、お客様の個人データを削除または返却します。クライアントが、当該クライアント個人データの返却または削除のいずれかを選択する旨を、停止日の少なくとも30日前までにON24に通知しない場合、クライアントは削除を選択したものとみなされます。両当事者は、本契約の終了時に、ON24が匿名データの返却または削除を要求されないことに同意するものとします。

14.責任の制限

契約、不法行為、またはその他の責任理論に基づくかを問わず、本DP規約に起因または関連するON24の責任総額は、本規約の責任制限に従うものとします。

15.一般用語

15.1 法的助言の提供本DP規約に反する規定があっても、ON24はお客様に法的助言を提供する必要はなく、ON24が提供するいかなるものも、お客様によって法的助言と解釈されることはありません。

15.2 終了両当事者は、本DP約款および標準契約条項が、(a) 本契約の終了、(b) 本契約に基づきON24がクライアントと締結したすべてのサービス契約の満了または終了、(iii) 本契約に基づく作業明細書、作業指示書または同様の文書の終了または完了のいずれか遅い時点で、自動的に終了することに同意するものとします。

15.3 データ保護法の変更。データ保護法の変更に伴い、本DP規約(標準契約条項を含む)に変更が必要な場合、いずれの当事者も、相手方当事者に対し、当該法律の変更について書面で通知することができます。当事者は、かかる変更に対応するために必要な本DP規約の変更について誠意をもって協議し、交渉します。

 

別紙1:顧客個人データの処理内容

本付属書1には、GDPR第28条(3)で義務付けられている顧客個人データの処理に関する一定の詳細が記載されています。

1.顧客個人データの処理対象および処理期間:

クライアントの個人データの処理対象および処理期間は、本契約および本DP規約に定められています。

2.クライアント個人データに関連するデータ主体のカテゴリー

  • クライアント・イベントの実際の参加者、来場者、その他のユーザー(すなわち、エンドユーザー)、およびプラットフォームを介したその他のクライアント・マテリアルのユーザー。
  • クライアントの担当者、代理人、関連会社、子会社、およびクライアントに代わってプラットフォームへのアクセス、管理、および使用を許可されたその他のクライアント担当者(以下、「許可されたユーザー」)。

3.顧客個人データの処理の性質と目的:

  • クライアントイベントおよびクライアントマテリアルのエンドユーザーからの登録およびその他の情報の収集、保管、管理
  • クライアントのイベントおよびクライアントのマテリアルの作成、管理、ホスティング、配信、共有、配布を促進する。
  • エンドユーザーへのリマインダー、通知、その他の電子メールおよびその他の通信(電子メールを含む)を容易にし、クライアントがクライアントマテリアル、クライアントイベントおよびエンドユーザーへの通信をパーソナライズできるようにすること。
  • 認定ユーザーによるプラットフォームへのアクセスを管理し、不正アクセスを防止します。
  • エンドユーザーの出勤状況を把握し、不正アクセスを防止
  • クライアントのイベントやその他のサービスに関するレポートや分析を作成し、クライアントに提供する。
  • お客様のプラットフォームおよびサービスの利用に関するサポート、メンテナンスおよびマネージドサービス

4.処理される顧客個人データの種類

  • 氏名、Eメール、その他の連絡先
  • 会社名、役職名、連絡先、その他のビジネス情報
  • クライアントイベントの登録または出席の一環として、クライアントがON24に収集することを選択または要求するその他の情報
  • ビデオ、画像、音声、その他のコンテンツ
  • 氏名、役職、会社のEメール、および認定ユーザーに要求されるその他の情報
  • クライアント・イベント分析と利用統計

附属書2:技術的および組織的措置

  1. 個人データの処理は、個人データを保護するための商業上合理的な技術的および組織的措置が講じられたデータ処理システム上で行われます。ON24は、不正または違法な処理、あるいは偶発的な損失、破壊または損害から生じる可能性のある損害およびクライアント個人データの機微性を考慮し、その所有または管理下にあるクライアント個人データを不正または違法な処理、あるいは偶発的な損失、破壊または損害から保護するために、合理的かつ適切な技術的、物理的および管理的措置を維持します。
  2. セキュリティ対策は以下のように設計される。
    (a) 個人データの処理に使用されるデータ処理機器への権限のない者のアクセスを拒否する(機器アクセス制御);
    (b) メディアの不正な読み取り、コピー、変更、削除を防止する(データメディアの管理);
    (c) 個人データの不正な入力、保存された個人データの不正な検査、変更、削除を防止する(保存管理);
    (d) データ通信機器を使用する権限のない者による自動データ処理システムの使用を防止すること(ユーザー管理);
    (e) 自動データ処理システムの使用を許可された者が、そのアクセス権限でカバーされる個人データにのみアクセスできるようにすること(データアクセス制御);
    (f) ON24 が、データ通信機器を使用して、どの個人に対してクライアントの個人データが送信されたか、または送信される可能性があるかを確認し、確認できるようにすること(通信管理);
    (g) どのお客様の個人データが自動データ処理システムに入力されたか、また、いつ、誰によって入力されたかを特定できるようにすること(入力管理);
    (h) データの転送中または記憶媒体の輸送中に、クライアント個人データの無許可の読 み取り、コピー、変更または削除を防止する(輸送管理);
    (i) 本契約に基づくサービスを継続し、お客様の個人情報をバックアップするための商業上合理的な災害復旧手順を含むこと。
    (j) 顧客個人データの機密性、完全性、可用性を保護するために、適切な技術的セキュ リティソリューションが導入され、管理されていること。
  1. 適切な場合、データは業界標準の暗号技術および鍵の安全な管理を使用して、送信時および静止時に暗号化される。
  2. ON24は、お客様の個人データにアクセスできる従業員およびその他の人員の信頼性を確保するために合理的な措置を講じ、お客様の個人データへのアクセスを、当該お客様の個人データにアクセスする業務上の必要性があり、個人データの取扱いおよびデータ保護法に関する合理的な訓練を受けた人員に限定します。
  3. 要求があれば、書面による守秘義務に従って、ON24は、関連するデータセキュリティ方針および手順へのアクセスを当社に提供します。