データ処理契約

「個人データ」とは、GDPR第4条(1)で定義される、識別された、または識別可能な自然人に関するあらゆる情報を意味します。 「処理」とは、GDPR第4条(2)で定義される、個人データに対して行われるあらゆる操作を意味します。 「データ主体」とは、個人データが関連する識別された、または識別可能な自然人を意味します。 「サブプロセッサー」とは、お客様に代わって個人データを処理するために当社が従事する第三者を意味します。 「セキュリティインシデント」とは、個人データの偶発的または違法な破壊、紛失、改ざん、無許可の開示またはアクセスにつながるセキュリティ違反を意味します。

このDPAは、ShotVistaに関連してお客様に代わって当社が行うすべての個人データ処理に適用されます。 両当事者は以下を認識します： • お客様は個人データの管理者です • 当社はお客様の指示に基づいて行動する処理者です 処理の主題、期間、性質、目的、個人データの種類、データ主体のカテゴリーは、このDPAの付録1に記載されています。

当社は以下を行います： • 法律で要求されない限り、お客様の文書化された指示に基づいてのみ個人データを処理します • 個人データの処理を許可された者が機密保持義務を負うことを保証します • 適切な技術的および組織的セキュリティ対策を実施します • 事前の承認なしにサブプロセッサーを従事させません（サブプロセッサーリストを参照） • データ主体のリクエストへの対応を支援します • GDPR第32条から36条のコンプライアンス確保を支援します • 終了時に、法律で保持が要求されない限り、すべての個人データを削除または返還します • コンプライアンスを実証し監査を可能にするために必要な情報を利用可能にします

このDPAに基づき、お客様に代わって個人データを処理するためにサブプロセッサーを従事させることを承認します。 現在のサブプロセッサーのリストは/legal/subprocessorsで維持されています。 サブプロセッサーの変更予定についてお知らせし、異議を申し立てる機会を提供します。各サブプロセッサーとは、このDPA以上の保護水準のデータ保護義務を課す書面契約を締結します。

個人データは欧州経済領域（EEA）外の国に移転され、処理される場合があります。 当社は、以下を使用してGDPR第5章に準拠した移転を保証します： • 欧州委員会が承認した標準契約条項（SCC） • 十分性決定のある国への移転 • GDPRに基づくその他の有効な移転メカニズム 要求に応じて、実施されている移転メカニズムのコピーを提供します。

お客様の個人データに影響するセキュリティインシデントを認識した後、不当な遅延なく（いずれの場合も48時間以内に）お知らせします。 通知には以下が含まれます： • インシデントの性質の説明 • 影響を受けるデータ主体のカテゴリーと概数 • インシデントの考えられる結果 • インシデントに対処するために講じた、または提案された措置 セキュリティインシデントの調査、緩和、修復においてお客様と協力します。

合理的な要求に応じ、機密保持義務に従い、このDPAのコンプライアンスを実証するために必要な情報を利用可能にします。 コンプライアンスを検証するための監査を実施できます。条件： • 合理的な事前通知（少なくとも30日前） • 通常の営業時間中の監査 • 関連する施設と記録に範囲を限定 • 監査人の機密保持への同意

このDPAは、お客様が利用規約に同意した日から有効となり、サービスの終了まで継続します。 終了時： • お客様の選択に応じて、すべての個人データを削除または返還します • 既存のコピーは90日以内に削除されます（法律で保持が要求される場合を除く） • 要求に応じて、書面で削除を証明します

主題：ShotVistaの提供に必要な個人データの処理。 期間：サービス契約の期間に加え、法律で要求される保持期間。 性質と目的： • 不動産写真編集サービスの提供 • ユーザー認証とアカウント管理 • 分析とサービス改善 • 請求と支払い処理 個人データの種類： • 連絡先情報（メール、名前） • アカウント資格情報 • 処理のためにアップロードされた写真 • 利用データとログ • 支払い情報（Stripeで処理） データ主体のカテゴリー： • ShotVistaの登録ユーザー • アップロードされた写真に描かれている個人（同意あり）