データ処理付属書

本データ処理付属書（「DPA」）は、お客様（「お客様」、管理者）とEmpire Luxury International Corporation (DBA Neuro Empire)（「NeuroCRM」、処理者）との間の利用規約の一部を構成し、顧客コンテンツに含まれる個人データの処理を規律します。データ保護に関する事項について矛盾がある場合、本DPAが利用規約に優先します。

1. 役割および適用範囲

顧客コンテンツについては、お客様が管理者（または自らの顧客のために行為する処理者）であり、NeuroCRMが処理者（またはサブ処理者）です。NeuroCRMは、本サービスを提供するためにのみ、かつ利用規約、本DPAおよび本サービスの機能の利用を含むお客様の文書化された指示に基づき、顧客コンテンツを処理します。NeuroCRMが独立した管理者として行為するのは、プライバシーポリシーに記載される限定的なアカウント、課金およびセキュリティに関するデータについてのみです。

2. 処理の詳細

対象事項： NeuroCRMサービスの提供。期間： お客様のサブスクリプションの期間に、終了に伴う段階的終了期間を加えた期間。性質および目的： お客様が構成したとおりに本サービスを提供するために必要なホスティング、保存および処理の各オペレーション。データ主体のカテゴリー： お客様の連絡先、リード、顧客、従業員、およびお客様がデータを入力するその他の個人。個人データのカテゴリー： お客様が定めるとおりであり、通常は識別データおよび連絡先データ、業務記録、ならびに通信。お客様は、書面で合意した場合を除き、特別カテゴリーのデータを入力してはなりません。

3. お客様の指示および遵守

NeuroCRMは、適用法令により求められる場合を除き、移転を含め、文書化された指示に基づいてのみ顧客コンテンツを処理します（その場合、NeuroCRMは、禁止されていない限りお客様に通知します）。NeuroCRMは、ある指示が適用されるデータ保護法に違反するとNeuroCRMが判断する場合、お客様に通知します。お客様は、顧客コンテンツの適法性、ならびに必要なすべての通知および同意を備えていることについて責任を負います。

4. 従業員の守秘義務

NeuroCRMは、顧客コンテンツの処理を認められた従業員が守秘義務に拘束され、指示された範囲でのみデータを処理することを確保します。

5. セキュリティ措置

NeuroCRMは、リスクに見合ったセキュリティ水準を確保するため、伝送時の暗号化および保存時のアクセストークンの暗号化、テナントの論理的分離、アクセス制御およびロギング、回復力およびバックアップ、ならびに定期的な見直しを含む、適切な技術的および組織的措置を実施します。概要は、ご要望に応じて、またプライバシーポリシーにおいてご利用いただけます。

6. サブ処理者

お客様は、NeuroCRMがサブ処理者を利用することについて一般的な承認を付与します。最新の一覧は/legal/subprocessorsにあります。NeuroCRMは、各サブ処理者に対し、本DPAと同等以上に保護的なデータ保護義務を課し、その履行について引き続き責任を負います。NeuroCRMは、新規または交代のサブ処理者について少なくとも30日前に通知します。お客様は合理的なデータ保護上の理由により異議を申し立てることができ、両当事者が当該異議を解決できない場合、お客様は影響を受ける本サービスを解約し、前払い済みで未使用の料金の払い戻しを受けることができます。

7. データ主体の請求および支援

処理の性質を考慮し、NeuroCRMは、適切な措置により、かつ商業的に合理的な範囲で、データ主体の請求への対応、ならびにセキュリティ、侵害通知、データ保護影響評価および事前協議に関する義務の遵守について、お客様を支援します。NeuroCRMがデータ主体から直接請求を受けた場合、NeuroCRMはこれをお客様に転送し、指示された場合または法令により求められる場合を除き応答しません。

8. 個人データ侵害の通知

NeuroCRMは、顧客コンテンツに影響を及ぼす確認された、または合理的に疑われる個人データ侵害を認識してから、不当に遅滞することなく、いかなる場合も24時間以内にお客様に通知し、お客様が通知義務を果たすのを助けるために利用可能な情報を提供し、調査の進展に応じて更新します。当該通知は、過失または責任の承認を構成するものではありません。規制当局またはデータ主体に通知すべきか否かの判断、および当該通知の実施は、管理者としてのお客様の責任です。NeuroCRMは合理的な協力を提供します。

9. 国際的な移転

処理がEEA、英国またはスイスから十分性認定のない国への個人データの移転を伴う場合、両当事者は、本DPAの情報をもって補完された欧州委員会の標準契約条項（2021/914）、モジュール2（管理者から処理者へ）を、該当する場合にはUK International Data Transfer Addendumおよびスイスの適合化とともに組み込みます。あるいは、NeuroCRMは、認証されている場合にはEU-US Data Privacy Frameworkに依拠することができます。NeuroCRMは、適切に応じて補完的措置を講じます。矛盾がある場合、SCCは必要な範囲に限り優先します。

10. ロシアのデータ領域（152-FZ）

ロシア連邦内の個人の個人データについて、NeuroCRMは、連邦法第152-FZ号に従い、ロシア国内に所在するサーバー上での一次的な記録および保存を伴う分離されたロシア領域を維持し、152-FZ第6条(3)に基づきお客様の指示により当該データを処理します。この領域およびその侵害通知のフロー（暫定的に24時間以内、結果は72時間以内にRoskomnadzorへ）は、GDPRの連鎖とは独立して機能します。個人データ処理ポリシー（ロシア）をご参照ください。

11. 監査

NeuroCRMは、本DPAの遵守を実証するために必要な情報を利用可能にし、監査を認めます。混乱を最小限に抑えるため、NeuroCRMは、利用可能な場合には、最新の第三者認証または報告書（ISO 27001またはSOC 2 Type IIなど）を提供することにより監査の請求に応じることができます。立入りまたは詳細な監査は、年1回に限られ（侵害後の場合を除く）、少なくとも30日前の通知、相互に合意された範囲、守秘義務を要し、不合理な妨げを生じさせることなく業務時間中に実施されます。

12. 返還および削除

解約時、お客様が30日以内に行う選択に応じて、NeuroCRMは、法令により保持が求められる範囲を除き、顧客コンテンツを一般的に使用される形式で返還し、またはこれを削除し、ご要望に応じて合理的な期間内に削除を証明します。通常のバックアップは、標準のローテーションサイクルにおいて上書きされます。

13. 責任および優先関係

本DPAに基づく各当事者の責任は、データ保護違反に係る引き上げられた上限を含め、利用規約に定める制限および除外に服します。本DPAは、これに組み込まれたSCCを含め、データ保護に関する事項について利用規約の矛盾する規定に優先します。本DPAは、お客様に適用される利用規約の準拠法および紛争解決の規定に準拠します。