よくある質問
データ処理契約、または「DPA」とは何ですか?
データ処理契約(DPA)とは、データ管理者とデータ処理者の間で交わされる契約で、個人データが処理される際の両者の役割と責任を記述したものです。DPAは、EU一般データ保護規則(「GDPR」)を含む適用されるデータプライバシー法に準拠するために、多くの要件を満たす必要があります。
データ管理者とは?データ処理者とは?
データ管理者は、個人データの処理の目的および手段を決定します。データ処理者は、データ管理者に代わって、データ管理者の文書による指示のみに基づき、個人データを処理します。
- 例えば、IDEXXのお客様は、通常、IDEXXの診断製品およびサービス、ソフトウェアソリューションの使用に関連してIDEXXに提供するあらゆる個人データのデータ管理者として行動することになります。
- また、IDEXXは、当社の診断製品およびサービスの販売および提供に関連して当社に提供された個人データに関しては、データ管理者として独立して行動しますが、特定のソフトウェアソリューションに関しては、データ処理者として行動します。
「IDEXXのDPA の対象となるIDEXX 製品およびサービスは何か」、「IDEXX に診断製品および検査サービスを注文しています。なぜ私とIDEXXの関係はDPAを必要としないのでしょうか?」を参照してください。
一部の国のデータ保護法では、同じ処理方法を説明するために「管理者」や「処理者」とは異なる用語が使用されています。異なる用語が使用されている国については、「DPAの対象となる現地のデータ保護法
」を参照してください。
IDEXXのDPAの対象となるIDEXXの製品およびサービスは何ですか?
IDEXXはプロセッサーとして行動し、当社のDPAは以下のソフトウェアソリューションに関する当社の処理活動を対象としています:Animana、ezyVet、Vet Radar、SmartFlow、VetConnect PLUS、SmartService。詳細については、DPA附則を 参照してください。
どの国のデータ保護法がDPAを必要としているのでしょうか?
EU一般データ保護規則に加え、他のいくつかの国でも、DPAを必要とする同様の個人情報保護法があります。当社のDPAが適用される国については、「DPAが適用される地域のデータ保護法 」を参照してください。
DPAが必要な国にいて、DPAの対象となるIDEXXの製品またはサービスを使用する場合、IDEXXとDPAを締結するにはどうしたらよいですか?
当社のDPAは、該当する製品またはサービスに関するIDEXXの利用規約に組み込まれ、その一部を構成しています。該当する製品およびサービスに関する当社の利用規約、およびIDEXXの利用規約のページ にあるDPA関連情報をご覧ください。
標準契約約款とは何ですか?
標準契約条項(「SCCs」)は、欧州委員会が発行するデータ移転メカニズムで、欧州経済領域(EEA)およびスイスから、米国を含む適切なデータ保護法を有していないとEUが判断した国(「非適応国」)への個人データの移転に使用されています。2021年に公表された最新のSCCsは、当社のDPAに組み込まれ、当社のDPAの対象となる製品およびサービスについて、お客様とIDEXXとの契約の一部を構成しています。英国から非適格国への個人データの移転は、英国の補遺を条件として、EU SCCsを使用して行われることがあります。また、他の国が非適格国への契約上の移転メカニズムを要求しているが、独自の条項を採用していない場合、当社はEU SCCsに依拠します。英国の補遺およびEU SCCが適用されるその他の国の詳細については、「DPAが適用される地域のデータ保護法 」を参照してください。
サブプロセッサーとは何ですか?IDEXXはサブプロセッサーを使用していますか?
IDEXXがお客様の個人データのデータ処理者として第三者のサービスプロバイダーと契約する場合、適用される個人情報保護法では、これらの第三者をサブプロセッサーと呼んでいます。サブプロセッサーは、IDEXXがIDEXXのお客様のために処理する個人データにお客様に代わってアクセスできる、またはアクセスできる可能性のあるサービスプロバイダーです。当社は、サブプロセッサーと契約する前に、当該サブプロセッサーに関するセキュリティ評価を含むデューデリジェンスを実施します。当社のサブプロセッサーは、IDEXXにサービスを提供する目的でのみ、IDEXXのお客様に対するコミットメントおよび適用されるデータ保護法に従って個人データを処理するように、契約条件に従います。当社のサブプロセッサーのリストは、こちらで ご覧いただけます。
私はIDEXXから診断製品や検査サービスを注文しています。なぜ私とIDEXXの関係はDPAを必要としないのでしょうか?
適用される個人情報保護法上、すべてのタイプの顧客関係においてDPAが必要なわけではありません。管理者は、個人データの処理の目的および手段を決定します。IDEXXが管理者として行動する場合、DPAは必要ありません。以下は、IDEXXが管理者に該当する場合の例です:
- IDEXXが診断製品の供給に関連して個人データを処理する場合、当社は注文を履行するために必要なデータを決定するため、管理者に該当します。
- リファレンスラボ検査サービスを提供する文脈において、IDEXXは、検査の準備、実施、および結果の生成の際に、個人データの処理の目的および重要な手段に関して、実際に(実質的な)影響力を持ちます。リファレンスラボのお客様が個人データを含む可能性のある注文を提出する場合、IDEXXは、要求されたラボ検査を実施し、結果を提供するために、単にその個人データを処理しています。
管理者として、当社のGDPR要件は、特に当社の処理の目的、処理の正当な利益、データ対象者の権利、および国境を越えた移転の妥当性の根拠を開示する一定の情報要件を満たすことです(第13条)。私たちは、プライバシーポリシー によってこれらの情報要件を満たしています。
私の診療所では、独自のDPAテンプレートを作成し、ベンダーに署名を求めています。IDEXXは、私のDPAテンプレートに同意してくれるでしょうか?
当社は、一部のお客様が独自のデータ処理契約/データ保護契約を策定していることを理解しています。データ管理者であるお客様が、お客様のデータの処理に関する限り、適用されるデータ保護法の下で責任を果たすことに懸念を抱いていることを、当社は十分に理解しています。この目的を果たすために、IDEXXは当社独自の標準DPAを開発しました。当社の顧客ベース全体で一貫した信頼できる方法でGDPRを確実に遵守する必要があるため、当社は各顧客と異なるDPAの取り決めに合意することができません。