本データ処理契約(以下「DPA」)は、顧客(以下「Customer」、「お客様」)とUltralytics, Inc.(以下「Ultralytics」、「当社」)との間の(i) Ultralytics利用規約および/または(ii) 本DPAを参照する適用される注文書、企業契約、またはその他の書面による契約(それぞれ「本契約」)に組み込まれ、その一部を構成します。
本DPAは、以下の事項に関する当事者の合意を反映しています。
本DPAは、本契約の期間中、およびUltralyticsが顧客に代わって顧客個人データを処理する限りにおいて有効です。
本DPAは、Ultralyticsプラットフォーム内におけるUltralyticsによる顧客個人データの処理にのみ適用されます。誤解を避けるため、本DPAは、顧客の単独の責任の下で実施される、Ultralyticsプラットフォーム外でのUltralytics YOLOオープンソースモデルの顧客による使用、デプロイ、または運用には適用されません。
Ultralyticsは、法律、規制ガイダンス、またはサービスにおける変更を反映するため、本DPAを随時更新する場合があります。更新は掲載日をもって発効するものとしますが、お客様の同意なしに顧客個人データのプライバシー保護を実質的に低下させないことを条件とします(適用法で義務付けられている場合を除く)。
「関連会社」とは、当事者を直接的または間接的に支配し、当事者によって支配され、または当事者と共通の支配下にある事業体を意味し、「支配」とは議決権の50%超の所有を意味します。
「適切な保護措置」とは、個人データの移転に関して、適用されるデータ保護法の下で許可される法的強制力のあるメカニズムを意味し、特にGDPR第46条に限定されません。
「サブプロセッサー」とは、サービスに関連してUltralyticsに代わって顧客個人データを処理するために、Ultralyticsまたはその関連会社によって雇用されるプロセッサーを意味します。
「会社アカウントデータ」とは、会社と顧客との関係に関連する個人データを意味し、顧客が顧客のアカウントへのアクセスを許可した個人の氏名または連絡先情報、および顧客がそのアカウントに関連付けた個人の請求情報を含みます。会社アカウントデータには、会社が顧客との関係管理、本人確認、または適用される法令で別途要求される目的のために収集する必要がある可能性のあるデータも含まれます。
「会社利用データ」とは、サービスの提供に関連して会社が収集および処理するサービス利用データを意味し、通信の発信元と宛先を特定するために使用されるデータ、アクティビティログ、サービスのパフォーマンスを最適化および維持するために使用されるデータ、ならびにシステム乱用を調査および防止するために使用されるデータを含みますが、これらに限定されません。
「顧客データ」とは、顧客またはその許可されたユーザーがサービスに関連する処理のためにアップロード、提出、送信、またはその他の方法で利用可能にするデータ、コンテンツ、マテリアル、ファイル、または情報(データセット、画像、ビデオ、アノテーション、ラベル、メタデータ、モデルの入力および出力、その他のコンテンツを含む)を意味し、顧客によるサービスの利用を通じて顧客のために生成されたデータを含みます。
「顧客個人データの漏洩」とは、本サービスUltralytics 処理する顧客個人データについて、偶発的または違法な破壊、紛失、改ざん、不正な開示、または不正アクセスにつながるセキュリティ侵害を意味します。 顧客個人データの漏洩には、失敗に終わった試み、または顧客個人データを危険にさらさない活動(例:ログインの失敗、ポートスキャン、サービス拒否攻撃、またはファイアウォールやネットワークシステムに対するその他の攻撃)は含まれません。
「データ保護法」とは、本契約に基づく当事者による個人データの処理に適用される、プライバシーおよびデータ保護に関するすべての適用法を意味し、GDPR、英国GDPR、スイスFADP、eプライバシー/PECR、CCPA/CPRA、およびその他の適用される米国州プライバシー法(該当する場合)を含みます。
「GDPR」とは、規則(EU) 2016/679を意味し、「英国GDPR」とは、英国法に組み込まれたGDPRを意味し、「スイスFADP」とは、スイス連邦データ保護法(改正版)を意味します。「指示」とは、セクション2.2に記載されている、顧客個人データの処理に関するUltralyticsへの顧客の文書化された指示を意味します。
「SCCs」とは、EU標準契約条項(決定2021/914)を意味する。「UK Addendum」とは、ICO国際データ移転補遺を意味する。その他の大文字で表記された用語は、データ保護法および/または本契約において定義された意味を有する。
「サービス」とは、本契約に基づきUltralyticsが顧客に提供するサービスおよび機能(Ultralyticsプラットフォーム、および本契約にさらに記載されている関連するサポート、管理、ドキュメントを含む)を意味します。
「Ultralyticsプラットフォーム」とは、顧客がデータセットのアップロード、管理、アノテーション付け、バージョン管理、コンピュータービジョンモデルのトレーニング、評価、比較、エクスポート、デプロイ、プロジェクトおよびユーザーの管理、関連機能およびサポートへのアクセスを行うことができる、Ultralyticsのクラウドベースのサービスとしてのソフトウェア環境を意味し、Ultralyticsが本DPAに従って顧客に代わって顧客個人データを処理する環境でもあります。
「Ultralytics YOLO モデル」とは、Ultralytics 適用されるオープンソースライセンスUltralytics 提供しているオープンソースのコンピュータビジョンモデルおよび関連するソースコードを意味し、顧客はこれらをダウンロードし、自社の環境において独自に導入、ホスティング、および運用することができます。明確にするために付言しますが、顧客Ultralytics Ultralytics YOLO モデルを導入または使用する場合、Ultralytics 本DPAに基づき、顧客に代わって個人データを処理Ultralytics 。
2.1 法令遵守。顧客は、個人データの処理およびサービスの利用に関連して、データ保護法を遵守する責任を負い、必要な通知の提供、および必要な同意と承認の取得を含みます。
2.2 指示。本契約(本DPAを含む)は、本契約に従った顧客によるサービスの構成および利用と合わせて、Ultralyticsに対する顧客個人データ処理に関する顧客の完全な指示を構成します。顧客は期間中に追加の指示を提供できますが、それらが本契約およびサービスと矛盾しない場合に限ります。Ultralyticsが追加の指示が重大な変更または負担を必要とすると合理的に判断した場合、当事者は誠意をもって協議します。
2.3 禁止データ。当事者間で書面により明示的に合意されない限り(適用されるデータ保護法によって要求される追加の保護措置に関する合意を含む)、顧客はUltralyticsに対し、GDPR第9条(または同等)に基づく特別カテゴリーの個人データ、またはGDPR第10条に基づく有罪判決または犯罪に関するデータを提供、提出、またはその他の方法で利用可能にしてはなりません。
例示として、かつこれに限定されず、禁止データには以下が含まれます。
さらに、本サービスは、適用されるデータ保護法の下で高度な保護を必要とするその他のデータ(支払いカードデータ、銀行口座番号、正確な地理位置情報など)を処理することを意図していません。顧客は、サービスにアップロードまたはサービスを通じて処理されるデータセット、画像、ビデオ、アノテーション、ラベル、メタデータ、またはその他のコンテンツに禁止データが含まれていないことを確認する責任を単独で負います。本セクションに違反して禁止データを処理することは、本DPAの重大な違反となります。
2.4 不適切なデータ;補償。顧客は、Ultralyticsに提供される顧客個人データの適法性、および本サービスへの適合性について単独で責任を負います。顧客は、本契約、本DPA、または適用されるデータ保護法に違反して本サービスに個人データを提供したことに起因する第三者からの請求に対し、Ultralyticsを防御し、補償します。
3.1 目的制限。 Ultralyticsは、顧客の個人データを、(a)本契約および別紙Aに従ってサービスを提供するため、(b)顧客の指示に従って、および(c)適用される法律で義務付けられている場合にのみ処理します。Ultralyticsは、書面またはサービスを通じて顧客から明示的に指示された場合を除き、顧客の個人データまたは顧客データを使用して、Ultralyticsの一般的または商業的に利用可能なモデルをトレーニング、改善、または開発することはありません。
3.2 抵触法。 Ultralyticsは、法的要件により指示に従って顧客の個人データを処理できないことを認識した場合、(法律で許可される範囲で)顧客に通知し、必要に応じて、顧客が準拠した指示を発行するまで、影響を受ける処理(安全な保管を除く)を停止します。
3.3 従業員の機密保持。 Ultralyticsは、顧客の個人データを処理する権限を与えられた者が機密保持義務を負うことを保証します。顧客は、Ultralyticsが本契約/DPAの履行に関連して合理的に必要とされる場合、機密保持義務を条件として、顧客の個人データを専門アドバイザーおよび監査人に開示することに同意します。
3.4 サブ処理。 Ultralyticsは、第5条に従ってサブ処理者と契約することができ、サブ処理者が同等の義務を履行することについて引き続き責任を負います。
3.5 削除/返却。 サービスの終了時に、Ultralyticsは、法令による保持が義務付けられている場合を除き、本契約および別紙Aに従って顧客個人データを削除または返却します。SCCsに基づく削除証明書は、顧客の要求に応じて提供されます。
4.1 データ主体(または消費者)からの要求。 Ultralyticsは、データ主体(または消費者)がアクセス権(または開示権)、訂正権、処理の制限、消去(または削除または「忘れられる権利」)、データポータビリティ、処理への異議、または自動化された個別意思決定の対象とならない権利を行使するための要求をUltralyticsが受け取った場合、法的に許容される範囲で、アカウントの主要連絡先に不当な遅延なく顧客に通知します。
4.2 支援。処理の性質を考慮し、Ultralytics 、お客様が利用可能な本サービスの機能を用いて当該要請に応じることができない場合、データ保護法に基づくデータ主体の権利行使の要請に対応するため、お客様に合理的な支援Ultralytics 。
4.3 DPIA;事前協議。 処理の性質とUltralyticsが利用可能な情報を考慮し、Ultralyticsは、(i)データ保護影響評価、および(ii)顧客の監督機関との協議および/または協力に関して、顧客に合理的な支援を提供します。これらはいずれも、データ保護法によって要求され、かつ顧客が関連情報にアクセスできない場合に限ります。データ保護法によって要求される場合、または顧客個人データ侵害に関連する場合を除き、顧客はいかなる12ヶ月間においても、そのような支援を2回以上要求してはなりません。顧客は、法的に許容される場合、そのような支援の提供にUltralyticsが負担した合理的な費用および経費を弁償します。
5.1 一般的承認。 顧客は、Ultralyticsがサービスのために顧客個人データを処理するサブ処理者と契約することについて、一般的な書面による承認を与えます。
5.2 リストと通知。 現在のサブ処理者のリストはhttps://trust.ultralytics.com/subprocessors(以下「リスト」)で入手可能です。Ultralyticsは、リストの更新通知を購読するためのメカニズムを提供し、新しいサブ処理者が顧客個人データを処理することを承認する少なくとも10日前までに通知を提供します。顧客は、利用可能な場合、そのような通知を購読する責任を負います。顧客が購読しない場合、顧客はそのメカニズムを通じて事前の通知を受け取れない可能性があることを認識します。いずれの場合も、リストの更新はサブ処理者の変更の通知を構成します。顧客は、特定のサブ処理者がサービス提供に不可欠であり、サブ処理者の使用に異議を唱えることが、当社が顧客にサービスを提供することを妨げる可能性があることを認識します。
明確にするため、Ultralytics Ltd (UK)およびUltralytics AI Spain, S.L.を含む、サービス提供に関与するUltralyticsの関連会社は、サービスに関連してUltralytics Inc.に代わって顧客の個人データを処理する場合、グループ内サブプロセッサーとして機能する場合があります。
5.3 新しいサブ処理者への異議。 顧客は、第5.2条に従い、合理的なデータ保護上の理由に基づき、新しいサブ処理者の契約に書面で異議を唱えることができます。Ultralyticsが顧客の異議に合理的に対応できない場合、顧客は書面による通知により、影響を受けるサービスを中止することができますが、その中止以前に発生した料金から顧客を免除するものではありません。
5.4 フローダウン。 Ultralyticsは、適用されるデータ保護法に従ってサブ処理者が顧客個人データに適切なレベルの保護を提供できるかどうかを評価するために、合理的なリスクベースのデューデリジェンスを実施した後にのみサブ処理者と契約し、ベンダー管理プログラムの一環としてサブ処理者を定期的に監視します。Ultralyticsは、そのサブ処理者が本DPAに定められたものと実質的に同等またはそれ以上の保護を提供するデータ保護義務に従うことを保証します。顧客の要求に応じて、UltralyticsはSCCsの下で要求される関連するサブ処理者のデータ保護条項のコピー(機密保持のために編集される場合がある)を提供します。
6.1 措置。 最新技術、処理の性質、範囲、文脈、目的、および自然人の権利と自由に対する発生可能性と重大性の異なるリスクを考慮し、Ultralyticsは、GDPR第32条を含む適用されるデータ保護法に従い、そのようなリスクに適切なレベルのセキュリティを確保するために、適切な技術的および組織的措置を実施し維持します。これらの措置は別紙Cに記載されており、Ultralyticsは随時更新することができますが、そのような更新が顧客個人データの全体的な保護レベルを実質的に低下させないことを条件とします。
6.2 顧客の責任。 前述にかかわらず、顧客は、本DPAで明示的に規定されている場合を除き、アカウント認証情報の保護、アクセス制御の適切な設定、およびそのユーザーが適用されるデータ保護法とUltralyticsが提供するセキュリティ機能に合致する方法でサービスにアクセスし使用することを保証することを含め、サービスの安全な使用に責任を負うことを認識します。
7.1 文書化。 合理的な要求に応じて、Ultralyticsは、本DPAへの準拠を実証するために合理的に必要な情報(利用可能な場合は現在の第三者監査報告書または認証を含む)を提供します。Ultralyticsは、本DPAへの準拠を実証するのに十分な記録を維持し、法令によりより長い期間が要求される場合を除き、終了後合理的な期間(例:3年間)そのような記録を保持します。
7.2 監査。 データ保護法が要求し、かつ文書化が不十分な場合、顧客は、合理的な事前の書面による通知と顧客の費用負担により、Ultralyticsの関連システムおよびプロセスの監査または検査を要求することができます。そのような監査または検査は、監査の範囲、時期、期間、および監査に関連してUltralyticsが費やした時間とリソースに対する合理的な弁償率について、両当事者間の相互の書面による合意があった後にのみ実施されるものとします。本条に従って実施される監査は、以下の通りとします。
顧客は、監査中に特定された重大な不遵守について、Ultralyticsが当該調査結果に対処するための合理的な機会を与えるため、速やかにUltralyticsに通知するものとします。
8.1 通知。 Ultralyticsは、顧客個人データ侵害を認識した後、不当な遅延なく、かつ72時間以内に顧客に通知します。
8.2 支援。 Ultralyticsは、Ultralyticsが利用可能な情報を考慮し、規制当局および影響を受けるデータ主体への顧客の必要な通知に対して合理的な支援を提供します。
8.3 責任の不承認。 侵害通知は、過失または責任の承認を構成するものではありません。顧客個人データ侵害が顧客またはそのユーザーの行為または不作為によって引き起こされた範囲では、侵害通知義務は適用されません。
9.1 国際転送。 顧客は、Ultralyticsの主要な処理業務が、サービス提供に必要な場合、米国およびその他の場所で行われる可能性があることを認識します。
明確にするため、顧客の個人データは、Ultralytics Inc.とその関連会社(Ultralytics Ltd (UK)およびUltralytics AI Spain, S.L.を含む)間で転送される場合があります。この場合、当該関連会社はサービスに関連してサブプロセッサーとして機能します。当該転送が適用されるデータ保護法の下で国際転送に該当する場合、SCC(該当する場合はモジュール3)またはその他の有効な転送メカニズムを含む適切な保護措置に従うものとします。
顧客の個人データを、十分なデータ保護レベルを提供すると認められていない国に転送する必要がある場合、かかる転送は、適用されるデータ保護法(該当する場合、本DPAに組み込まれたSCCsおよび英国追加条項を含む)に従い、適切な保護措置の対象となります。
9.2 EU SCCs。 GDPRの対象となる顧客個人データの、十分性認定のない第三国への転送について、両当事者はEU標準契約条項を組み込みます。顧客が管理者である場合はモジュール2(管理者→処理者)が適用され、顧客が処理者である場合はモジュール3(処理者→サブ処理者)が適用されます。SCCsの付属書は、別紙B(付属書I/III)および別紙C(付属書II)を使用して完成されます。
9.3 英国追加条項。英国GDPRの対象となる転送について、当事者は別紙B/Cおよび該当する転送メカニズムの選択を参照して完成される英国追加条項を組み込みます。
9.4 スイス。スイスへの転送については、EU標準契約条項が標準的なスイスの修正(GDPRへの言及にはスイスFADPが含まれる、FDPICを管轄当局とするなど)を適用して、別紙を参照して完成されます。
9.5 政府からのアクセス要求。Ultralyticsは、顧客個人データに対する法的拘束力のある要求を、適用される法律および標準契約条項(SCCs)に従って処理します。これには、(法的に許可される範囲で)顧客への通知および合理的な協力が含まれます。
10.1 範囲。本セクションは、各当事者による独立した管理者(共同管理者ではない)としての管理者個人データの処理に適用され、Ultralyticsによる会社アカウントデータおよび会社利用データの処理を含みます。
10.2 独立した管理者の義務。各当事者は以下を行うものとします。
10.3 Ultralyticsによる管理者としての処理。Ultralyticsは、会社アカウントデータおよび会社利用データを管理者として、アカウント管理、請求、セキュリティ監視および不正利用防止、本人確認、法的遵守、監査/会計、およびサービス運用(パフォーマンスと信頼性を含む)のために処理します。かかる処理はUltralyticsプライバシーポリシーに記載されています。本DPAのいかなる規定も、当事者間に共同管理者関係を創出するものと解釈されてはなりません。
疑義を避けるため、Ultralyticsとその関連会社は、商業的なアウトリーチ、デモンストレーション、パートナーシップ、および顧客関係管理活動の文脈において、独立した管理者として、限られたビジネス連絡先データ(氏名、企業メールアドレス、専門的な連絡先詳細など)を処理する場合があります。
11.1 サービスプロバイダー / プロセッサー。CCPA/CPRAが適用され、Ultralyticsが顧客に代わって顧客個人データを処理する範囲において、Ultralyticsは「サービスプロバイダー」および/または「プロセッサー」として機能し、かかる個人情報を「販売」または「共有」しません。
11.2 限定された利用。Ultralyticsは、CCPA/CPRAによって許可されている場合を除き、サービス提供の直接的な事業目的以外で顧客個人データを保持、使用、または開示しません。
11.3 差別。当事者は、消費者がその権利を行使したという理由で、消費者を差別してはなりません。
12.1 責任の制限。本契約における制限および免責は、法律またはSCCs/英国補遺によって禁止されている場合を除き、本DPAに適用されます。
12.2 分離可能性。本DPAのいずれかの規定が無効または執行不能である場合、本DPAの残りの部分は有効かつ効力を有するものとします。無効または執行不能な規定は、(i)その有効性および執行可能性を確保するために必要に応じて修正され、当事者の意図を可能な限り忠実に維持するか、またはこれが不可能な場合は、(ii)無効または執行不能な部分がそこに含まれていなかったかのように解釈されるものとします。
12.3 本DPAの締結。本DPAは本契約に組み込まれ、その一部を構成します。顧客は、(該当する場合、EU SCCsおよび英国補遺を含む)本DPAに以下の方法で同意するものとします。
顧客は、本契約を受諾し、および/または顧客に代わってサービスを利用する個人が、顧客および、該当する場合はその関連会社を拘束する権限を有することを表明し保証します。
12.4 連絡先。プライバシーに関するお問い合わせ: privacy@ultralytics.com; DPO: dpo@ultralytics.com; 法的通知: legal@ultralytics.com。
顧客は、自社および本契約に基づくサービスの許可されたユーザーであり、顧客個人データの管理者/処理者であるその関連会社(「許可された関連会社」)を代表して本DPAを締結します。顧客は、許可された関連会社を拘束する権限を有することを表明します。
概要: Ultralyticsは、クラウドベースのソフトウェアおよび関連サービスを提供し、お客様が契約書に記載されているモデルトレーニング、推論、データセット管理、デプロイメントワークフロー、および関連するサポートと管理を含むUltralytics製品と機能(以下「サービス」)にアクセスして使用できるようにします。
明確にするため、本サービスにはUltralytics Platformが含まれ、Ultralyticsは本DPAに従い、顧客に代わって顧客の個人データを処理します。別途、UltralyticsはUltralytics YOLOオープンソースモデルも提供しており、顧客はこれを自身の環境で独立してデプロイおよび運用できます。顧客がUltralytics Platform外でUltralytics YOLOモデルをデプロイまたは使用する場合、Ultralyticsは顧客に代わって個人データを処理せず、顧客は、適切な技術的および組織的措置の実施、処理の目的と手段の決定、ならびに当該デプロイおよび使用に関連する適用されるデータ保護法への準拠について単独で責任を負います。
目的: Ultralyticsは、以下の目的のために、お客様に代わってお客様の個人データを処理します。
Ultralyticsは、お客様が書面またはサービスを通じて明示的に指示した場合を除き、Ultralyticsの汎用モデルをトレーニングまたは改善するために顧客の個人データを使用しません。明確にするために、Ultralyticsは、サービスの運用、保護、および改善のために、会社の利用データと、集計または匿名化されたデータ(許可されている場合)を使用する場合があります。
お客様がサービスコミュニティまたは公開機能を通じてデータセット、モデル、その他のコンテンツを共有することを選択した場合、かかる共有はお客様の書面による指示を構成します。お客様は、かかるデータを他のユーザーに提供するために必要なすべての権利および法的根拠を有することを単独で責任を負います。
処理期間: Ultralyticsは、本契約の期間中、およびお客様の指示に従ってサービスを提供するために必要な期間、お客様の個人データを処理します。本契約の終了または満了後、Ultralyticsは、適用される法律によりさらなる保持が義務付けられている場合を除き、本契約および本DPAに従ってお客様の個人データを削除または返却します。明確にするため、Ultralyticsが第10条に基づき独立した管理者として管理者個人データ(会社アカウントデータおよび会社利用データを含む)を処理する場合、かかる処理はUltralyticsプライバシーポリシーに定める期間行われます。
データ主体のカテゴリ: 顧客の個人データは、顧客によって決定および管理される、以下のデータ主体のカテゴリに関連する場合があります。
個人データのカテゴリ: 顧客の個人データには、顧客によって、または顧客に代わってサービスを通じて提出された、またはその他の方法で利用可能にされた範囲で、以下のカテゴリの個人データが含まれる場合があります。
処理される個人データのカテゴリには、Ultralyticsプライバシーポリシーに記載されているものがさらに含まれる場合があります。
機密データまたは特別カテゴリのデータ: 本サービスは、特別カテゴリの個人データ(GDPR第9条または適用されるデータ保護法における同等規定で定義される)または犯罪歴および犯罪に関する個人データ(GDPR第10条)を処理するようには設計または意図されておらず、Ultralyticsとの書面による明示的な合意および追加の保護措置に従わない限り、顧客がそのようなデータを提供することは禁止されています。
以下には、EU SCCsの付属書Iおよび付属書III、ならびに英国補遺の表1、付属書1A、および付属書1Bで要求される情報が含まれています。
1. 当事者
データエクスポート元:
データインポート元:
2. 移転の内容
3. 管轄監督機関
監督機関は、EU SCCsの第13条に従って決定されるデータ輸出者の監督機関とします。英国補遺の目的における監督機関は、英国情報コミッショナーオフィスとします。
以下には、EU SCCsの付属書IIおよび英国補遺の付属書IIで要求される情報が含まれています。
EU委員会標準契約条項への国際データ転送補遺
表 1: 当事者
表 2: 選択されたSCC、モジュール、および選択された条項
表 3: 付録情報
「付属情報」とは、承認されたEU SCCの付属書(当事者を除く)に定められ、選択されたモジュールに対して提供されなければならない情報であり、この英国追加条項において規定されている情報を意味します。
表 4: 承認された英国補遺が変更された場合のこの英国補遺の終了
注記:本規定は、ICOが承認されたUK補遺を変更し、その変更が、(a) UK補遺に基づく義務を履行するための直接費用、または (b) UK補遺に基づくリスクにおいて、実質的、不均衡、かつ明白な増加を直接的に引き起こす場合、選択された当事者(もしあれば)がUK補遺を終了することを許可します。
各当事者は、他の当事者も本英国補遺に拘束されることに同意することを条件として、本英国補遺に定める条件に拘束されることに同意します。
承認されたEU SCCの付属書1Aおよび第7条は当事者による署名を要求していますが、英国外への移転を行う目的で、当事者は、本英国追加条項が当事者に対して法的拘束力を持つようにし、データ主体が本英国追加条項に定められた権利を行使できるようにするいかなる方法でも本英国追加条項を締結することができます。本英国追加条項を締結することは、承認されたEU SCCおよび承認されたEU SCCのいかなる部分に署名することと同じ効果を持ちます。
本英国追加条項が承認されたEU SCCsで定義されている用語を使用する場合、それらの用語は承認されたEU SCCsと同じ意味を有するものとします。さらに、以下の用語は以下の意味を有します。
英国補遺は、常に英国データ保護法と整合性のある方法で解釈され、当事者が適切な保護措置を提供する義務を果たすようにしなければなりません。
英国補遺に含まれる規定が、承認済みEU標準契約条項または承認済み英国補遺で許可されていない方法で承認済みEU標準契約条項を修正する場合、かかる修正は英国補遺に組み込まれず、承認済みEU標準契約条項の同等の規定がその代わりとなります。
英国データ保護法と英国補遺との間に矛盾または抵触がある場合、英国データ保護法が適用されます。
英国補遺の意味が不明確であるか、複数の意味がある場合、英国データ保護法に最も合致する意味が適用されます。
法律(または法律の特定の規定)への言及は、時間の経過とともに変更される可能性のある当該法律(または特定の規定)を意味します。これには、英国補遺が締結された後に、当該法律(または特定の規定)が統合、再制定、および/または置き換えられた場合も含まれます。
承認されたEU SCCの第5条は、承認されたEU SCCが当事者間のすべての関連契約に優先すると定めていますが、当事者は、英国外への移転については、以下のセクション10の階層が優先することに同意します。
承認された英国追加条項とEU SCCs(該当する場合)との間に不一致または矛盾がある場合、承認された英国追加条項がEU SCCsに優先します。ただし、EU SCCsの不一致または矛盾する条項がデータ主体により大きな保護を提供する場合はその限りではなく、その場合は当該条項が承認された英国追加条項に優先します。
本英国追加条項が、GDPRの対象となるEU圏外移転を保護するために締結されたEU SCCsを組み込む場合、当事者は、本英国追加条項のいかなる内容も当該EU SCCsに影響を与えないことを認識します。
この英国補遺は、EU SCCsを必要な範囲で修正して組み込むものであり、その結果:
当事者が本英国補遺第12条の要件を満たす代替修正に合意しない限り、本英国補遺第15条の規定が適用されます。
本UK補遺のセクション12の要件を満たす場合を除き、承認されたEU SCCsへの修正はできません。
EU SCCsに対する以下の修正(本英国補遺の第12条の目的のため)が行われます。
当事者は、EU SCCsの第17条および/または第18条を、スコットランドまたは北アイルランドの法律および/または裁判所を参照するように変更することに合意することができます。
当事者が承認済み英国補遺のパート1:表に含まれる情報の形式を変更することを希望する場合、その変更が適切な保護措置を損なわないことを条件として、書面で変更に合意することによりこれを行うことができます。
適宜、ICOは改訂された承認済み英国補遺を発行する場合があります。
改訂された承認済み英国補遺は、承認済み英国補遺への変更が発効する開始日、および当事者が付属情報を含むこの英国補遺を見直す必要があるかどうかを明記します。この英国補遺は、指定された開始日から、改訂された承認済み英国補遺に定められたとおりに自動的に修正されます。
ICOが本英国補遺の第18条に基づき改訂された承認済み英国補遺を発行した場合、当事者が承認済み英国補遺の変更の直接の結果として、以下の点において実質的、不均衡かつ実証可能な増加がある場合:
いずれの場合においても、当該費用またはリスクが実質的かつ不均衡でないように削減するための合理的な措置を最初に講じた場合、当該当事者は、改訂された承認済み英国追加条項の開始日より前に、当該期間の書面による通知を相手方当事者に提供することにより、合理的な通知期間の終了時に本英国追加条項を終了させることができます。
当事者は、この英国追加条項に変更を加えるために、いかなる第三者の同意も必要としませんが、いかなる変更もその条項に従って行われなければなりません。
