Ultralytics データ処理合意書 (DPA)
個人データの取り扱い、セキュリティ対策、およびEUと英国のデータ保護法への準拠を規定するUltralyticsのデータ処理契約をご確認ください。
本データ処理同意書(以下「DPA」)は、(i) Ultralytics 利用規約、および/または (ii) 本 DPA を参照する適用可能な注文フォーム、エンタープライズ契約、もしくはその他の書面による契約(以下、それぞれ「本契約」)に組み込まれ、その一部を構成するものであり、顧客(以下「顧客」、「お客様」)と Ultralytics, Inc.(以下「Ultralytics」、「当社」)との間の合意となります。
本 DPA は、以下の点に関する両当事者の合意を反映しています。
- (A) 管理者から処理者への条件:サービスに関連して顧客の代理として、Ultralytics が処理者(顧客が処理者の場合は再処理者)として顧客の個人データを処理すること。
- (B) 管理者から管理者への条件:第 10 条に記載される範囲内に限り、独立した管理者として各当事者が管理者の個人データを処理すること。
本 DPA は、本契約の期間中、および Ultralytics が顧客の代理として顧客の個人データを処理している限り有効とします。
本 DPA は、Ultralytics プラットフォーム内における Ultralytics による顧客個人データの処理にのみ適用されます。疑義を避けるために付言すると、本 DPA は、顧客が Ultralytics プラットフォーム外で Ultralytics YOLO オープンソースモデルを使用、展開、または運用する場合には適用されず、これらは顧客の単独の責任において実施されるものとします。
Ultralytics は、法律、規制上のガイダンス、またはサービスの変更を反映するために、本 DPA を随時更新することがあります。更新は掲載日から有効となりますが、顧客の同意なしに顧客個人データに対するプライバシー保護を実質的に低下させるような更新は行わないものとします(適用法により義務付けられている場合を除く)。
Link to this section定義#
**「関連会社」**とは、直接的または間接的に一方の当事者を支配し、支配され、または共通の支配下にある事業体を指し、「支配」とは議決権の 50% 超を所有していることを意味します。
**「適切な保護措置」**とは、適用されるデータ保護法の下で認められる個人データの移転のための法的に執行可能なメカニズムを指し、特に、ただしこれに限定されることなく、GDPR 第 46 条に基づくものを指します。
**「再処理者」**とは、サービスに関連して、Ultralytics の代理として顧客個人データを処理するために、Ultralytics またはその関連会社によって契約された処理者を指します。
**「会社アカウントデータ」**とは、顧客と当社との関係に関連する個人データを指し、顧客がアカウントへのアクセスを許可した個人の氏名や連絡先情報、および顧客がそのアカウントに関連付けた個人の請求情報を含みます。会社アカウントデータには、当社が顧客との関係管理、本人確認の目的で収集する必要があるデータ、または適用される法律や規制によって必要とされるデータも含まれます。
**「会社利用データ」**とは、サービスの提供に関連して当社が収集および処理するサービス利用データを指し、これには通信の送信元と宛先を特定するために使用されるデータ、アクティビティログ、サービスのパフォーマンスの最適化と維持、およびシステム乱用の調査と防止に使用されるデータなどが含まれますが、これらに限定されません。
**「顧客データ」**とは、顧客またはその許可されたユーザーがサービスに関連して処理するためにアップロード、送信、またはその他の方法で利用可能にするデータ、コンテンツ、素材、ファイル、または情報(データセット、画像、動画、アノテーション、ラベル、メタデータ、モデルの入力と出力、およびその他のコンテンツを含む)を指し、顧客によるサービスの使用を通じて顧客のために生成されたデータも含まれます。
**「顧客個人データ侵害」**とは、サービスに関連して Ultralytics またはその再処理者によって処理される顧客個人データの、偶発的または違法な破壊、紛失、改ざん、不正開示、または不正アクセスにつながるセキュリティ侵害を指します。顧客個人データ侵害には、顧客個人データを危険にさらさない不成功の試みやアクティビティ(ログインの失敗、ポートスキャン、サービス拒否攻撃、またはファイアウォールやネットワーク化されたシステムへのその他の攻撃など)は含まれません。
**「データ保護法」**とは、本契約に基づき、当事者が個人データを処理する際に適用される、プライバシーおよびデータ保護に関連するすべての適用法を指し、これには(該当する場合)GDPR、英国 GDPR、スイス FADP、ePrivacy/PECR、CCPA/CPRA、およびその他の適用可能な米国の州のプライバシー法が含まれます。
**「GDPR」**とは欧州議会および理事会規則 (EU) 2016/679 を指します。「英国 GDPR」とは英国法に組み込まれた GDPR を指します。「スイス FADP」とはスイスの連邦データ保護法(改正版)を指します。「指示」とは、第 2.2 条に記載されている、顧客個人データの処理に関して顧客が Ultralytics に与える書面による指示を指します。
**「SCC」**とは EU 標準契約条項(決定 2021/914)を指します。「英国付随条項」とは ICO 国際データ転送付随条項を指します。その他の大文字で始まる用語は、データ保護法および/または本契約で与えられた意味を持つものとします。
**「サービス」**とは、本契約に基づき Ultralytics が顧客に提供するサービスおよび機能を指し、Ultralytics プラットフォーム、および本契約にさらに詳しく記載されている関連するサポート、管理、ドキュメントを含みます。
**「Ultralytics プラットフォーム」**とは、顧客がデータセットのアップロード、管理、アノテーション、バージョン管理、コンピュータビジョンモデルのトレーニング、評価、比較、エクスポート、デプロイ、プロジェクトとユーザーの管理、および関連機能とサポートへのアクセスを行うことができる、Ultralytics のクラウドベースの SaaS(Software-as-a-Service)環境を指し、Ultralytics が本 DPA に従って顧客の代理として顧客個人データを処理する場所を指します。
**「Ultralytics YOLO オープンソースモデル」**とは、Ultralytics が適用されるオープンソースライセンスの下で提供する、オープンソースのコンピュータビジョンモデルおよび関連するソースコードを指し、顧客はこれを自身の環境で独立してダウンロード、デプロイ、ホスト、および運用できます。明確にするために付言すると、顧客が Ultralytics YOLO オープンソースモデルを Ultralytics プラットフォーム外でデプロイまたは使用する場合、Ultralytics は本 DPA に基づき顧客の代理として個人データを処理することはありません。
Link to this section顧客の責任#
2.1 法令の遵守。 顧客は、個人データの処理およびサービスの使用に関連してデータ保護法を遵守する責任を負い、これには必要な通知の提供、および必要な同意や認可の取得が含まれます。
2.2 指示。 本契約(本 DPA を含む)は、本契約に従った顧客によるサービスの設定および使用と合わせて、顧客個人データを処理するための Ultralytics に対する顧客の完全な指示を構成します。顧客は、契約期間中にさらなる指示を提供できますが、それらは本契約およびサービスと整合している必要があります。もし Ultralytics が、追加の指示が重大な変更や負担を必要とすると合理的に判断した場合、両当事者は誠実に協議するものとします。
2.3 禁止データ。 両当事者が書面で明示的に同意しない限り(適用されるデータ保護法で義務付けられている追加の保護措置への同意を含む)、顧客は、GDPR 第 9 条(または同等の規定)に基づく「個人データの特別なカテゴリー」、または GDPR 第 10 条に基づく犯罪歴や違法行為に関連するデータを、Ultralytics に提供、送信、またはその他の方法で利用可能にしてはなりません。
例示として、また限定することなく、禁止データには以下が含まれます:
- 政府発行の識別番号(パスポート番号、国民 ID 番号、社会保障番号など);
- 健康または医療に関する情報(自然人を一意に識別する目的で使用される生体識別子を含む);
- 個人の人種的または民族的出自、政治的意見、宗教的または哲学的な信念、または労働組合への加入に関する情報;
- 自然人を一意に識別する目的で処理される遺伝データまたは生体データ;
- 適用されるデータ保護法によって制限されている場合の、児童に関連する個人データ;
- および犯罪歴、犯罪の疑い、または法執行活動に関連するデータ。
さらに、サービスは、支払いカードデータ、銀行口座番号、または正確な位置情報など、適用されるデータ保護法の下で高度な保護を必要とするその他のデータの処理を意図していません。サービスにアップロードまたはサービスを通じて処理されるデータセット、画像、動画、アノテーション、ラベル、メタデータ、またはその他のコンテンツに禁止データが含まれていないことを確認するのは、顧客の単独の責任です。本条に違反して禁止データを処理することは、本 DPA の重大な違反となります。
2.4 不適切なデータ;補償。 顧客は、Ultralytics に提供される顧客個人データの合法性、およびそれがサービスに適していることを確認することについて、単独で責任を負います。顧客は、本契約、本 DPA、または適用されるデータ保護法に違反して、顧客がサービスに個人データを提供したことから生じる第三者の請求から Ultralytics を防御し、補償するものとします。
Link to this section処理者としての Ultralytics の義務#
3.1 目的の制限。 Ultralytics は、(a) 本契約および別紙 A に従ってサービスを提供するため、(b) 顧客の指示に従うため、および (c) 適用法により要求される場合にのみ、顧客個人データを処理します。Ultralytics は、顧客によって書面またはサービスを通じて明示的に指示された場合を除き、Ultralytics の一般的または市販されているモデルをトレーニング、改善、または開発するために顧客個人データや顧客データを使用することはありません。
3.2 法的抵触。 Ultralytics が、法的要件により顧客の指示に従って顧客個人データを処理できないことを認識した場合、Ultralytics は(法律で許可される範囲内で)顧客に通知し、必要に応じて、顧客が準拠した指示を出すまで、(安全な保管を除き)影響を受ける処理を一時停止します。
3.3 人員の機密保持。 Ultralytics は、顧客個人データを処理する権限を与えられた者が機密保持義務を負うことを保証します。顧客は、Ultralytics が機密保持義務を条件として、本契約/DPA の履行に関連して合理的に必要とされる範囲で、専門アドバイザーや監査人に顧客個人データを開示することに同意します。
3.4 再処理。 Ultralytics は第 5 条に従って再処理者を契約することができ、彼らが同等の義務を履行することに対して責任を負い続けます。
3.5 削除 / 返却。 サービスの終了時、法律により保持が義務付けられている場合を除き、Ultralytics は本契約および別紙 A に従って顧客個人データを削除または返却します。SCC に基づく削除証明は、顧客の要請に応じて提供されます。
Link to this sectionデータ主体(または消費者)の権利#
4.1 データ主体(または消費者)による要求。 Ultralytics は、法的に許可される範囲内で、データ主体(または消費者)からアクセス権(または開示権)、訂正権、処理の制限、消去(または削除もしくは「忘れられる権利」)、データポータビリティ、処理への異議申し立て、または自動化された個人意思決定の対象とならない権利(「データ主体(または消費者)による要求」)を行使する要求を受け取った場合、不当な遅延なくアカウントの主要連絡先に通知します。
4.2 支援。 処理の性質を考慮し、Ultralytics は、利用可能なサービス機能を使用して顧客が要求を満たせない範囲において、データ保護法に基づくデータ主体権の行使要求に対応するための合理的な支援を顧客に提供します。
4.3 DPIA(データ保護影響評価);事前協議。 処理の性質と Ultralytics が利用可能な情報を考慮し、データ保護法により義務付けられており、かつ顧客が関連情報に他にアクセスできない場合に限り、Ultralytics は (i) データ保護影響評価および (ii) 監督当局との顧客の協議および/または協力に関して、顧客に合理的な支援を提供します。データ保護法により要求される場合、または顧客個人データ侵害に関連する場合を除き、顧客は 12 ヶ月以内に複数回このような支援を要求してはなりません。法律で許可されている場合、顧客は当該支援の提供において生じた Ultralytics の合理的な費用と経費を補償するものとします。
Link to this section再処理者#
5.1 一般的な許可。 顧客は Ultralytics に対し、サービスのために顧客個人データを処理する再処理者を契約するための一般的な書面による許可を与えます。
5.2 リストおよび通知。 現在のサブプロセッサーのリストは Ultralytics Sub-Processor List(以下「リスト」)で確認できます。Ultralytics はリストの更新通知を購読する仕組みを提供し、新しいサブプロセッサーが顧客の個人データを処理することを承認する少なくとも10日前に通知を行います。顧客は利用可能な場合にそのような通知を購読する責任を負います。顧客が購読しない場合、顧客はその仕組みを通じて事前の通知を受け取れない可能性があることを認めるものとします。いずれの場合も、リストの更新はサブプロセッサーの変更に関する通知を構成するものとします。顧客は、特定のサブプロセッサーがサービスの提供に不可欠であること、およびサブプロセッサーの使用に異議を唱えることが、当社による顧客へのサービス提供を妨げる可能性があることを認めます。
明確にするために付言すると、Ultralytics Ltd (UK) および Ultralytics AI Spain, S.L. を含むサービスの提供に関与する Ultralytics の関連会社は、それらがサービスに関連して Ultralytics Inc. の代理として顧客個人データを処理する場合、グループ内再処理者として行動する場合があります。
5.3 新しい再処理者に対する異議申し立て。 顧客は、第 5.2 条に従い、合理的なデータ保護上の根拠がある場合、新しい再処理者の契約に対して書面で異議を唱えることができます。Ultralytics が顧客の異議に合理的に対処できない場合、顧客は書面による通知をもって、当該のサービスを中止することができます。ただし、これにより顧客は中止前に発生した料金の支払い義務を免除されるものではありません。
5.4 義務の継承。 Ultralytics は、再処理者が適用されるデータ保護法に従って顧客個人データに対して適切なレベルの保護を提供できるかどうかを評価するための、合理的なリスクベースのデューデリジェンスを実施した後にのみ再処理者を契約し、ベンダー管理プログラムの一環として再処理者を定期的に監視します。Ultralytics は、再処理者が本 DPA に定められたものと同等、またはそれ以上に保護的なデータ保護義務を負うことを保証します。顧客の要請に応じて、Ultralytics は SCC に基づいて要求される関連する再処理者のデータ保護条項のコピー(機密保持のために一部編集されている場合があります)を提供します。
Link to this sectionセキュリティ#
6.1 措置。 最新技術、処理の性質、範囲、文脈、目的、および自然人の権利と自由に対する変動する可能性と深刻度のリスクを考慮し、Ultralytics は、GDPR 第 32 条を含む適用されるデータ保護法に従い、そのようなリスクに適したレベルのセキュリティを確保するための適切な技術的および組織的な措置を実装し、維持するものとします。これらの措置については別紙 C に記載されており、Ultralytics は随時更新することがあります。ただし、当該更新が顧客個人データに対する保護の全体的なレベルを実質的に低下させないことを条件とします。
6.2 顧客の責任。 上記にかかわらず、顧客は、本 DPA に明示的に規定されている場合を除き、アカウント認証資格情報の保護、アクセス制御の適切な設定、およびユーザーが適用されるデータ保護法および Ultralytics が提供するセキュリティ機能と整合した方法でサービスにアクセスし使用することを確実にするなど、サービスの安全な使用について責任を負うことを認めます。
Link to this section顧客による監査とコンプライアンスの証明#
7.1 ドキュメント。 合理的な要請に基づき、Ultralytics は本 DPA への準拠を実証するために合理的に必要な情報(利用可能な場合は、現在の第三者による監査レポートや認証を含む)を利用可能にします。Ultralytics は本 DPA への準拠を実証するのに十分な記録を保持し、法律によりより長い期間が義務付けられていない限り、終了後も合理的な期間(例:3 年間)これらの記録を保持します。
7.2 監査。 データ保護法により要求され、かつドキュメントが不十分である場合、顧客は、合理的な事前書面通知を行い、かつ顧客の費用負担において、Ultralytics の関連システムおよびプロセスの監査または検査を要求することができます。このような監査または検査は、監査の範囲、タイミング、期間、および監査に関連して費やされた Ultralytics の時間とリソースに対する妥当な補償率について、両当事者が書面で合意した後にのみ実施されるものとします。本条に基づいて実施されるすべての監査は、以下の条件に従うものとします:
- (a) 12 ヶ月以内に 1 回を超えて実施されないこと;
- (b) Ultralytics の通常の営業時間内に行われること;
- (c) 合理的な機密保持、セキュリティ、および安全管理の対象となること;および
- (d) 顧客個人データの処理に合理的に関連するシステムおよび記録に限定されること。
顧客は、監査中に特定された重大な不遵守事項を Ultralytics に速やかに通知し、Ultralytics が当該調査結果に対処するための合理的な機会を確保するものとします。
Link to this section個人データ侵害#
8.1 通知。 Ultralytics は、顧客個人データ侵害を認識した後、不当な遅延なく、かつ 72 時間以内に顧客に通知します。
8.2 支援。 Ultralytics は、Ultralytics が利用可能な情報を考慮し、規制当局および影響を受けるデータ主体への顧客が必要とする通知のために合理的な支援を提供します。
8.3 非自認。 侵害通知は、過失や責任の自認を構成するものではありません。侵害通知義務は、顧客個人データ侵害が顧客またはそのユーザーの作為または不作為によって引き起こされた範囲においては適用されません。
Link to this section移転(EU/英国/スイス)#
9.1 国際移転。 顧客は、Ultralytics の主要な処理業務が、サービスを提供するために必要な範囲で、米国およびその他の場所で行われる可能性があることを認めます。
明確にするために付言すると、顧客個人データは、Ultralytics Inc. とその関連会社(Ultralytics Ltd (UK) および Ultralytics AI Spain, S.L. を含む)がサービスに関連して再処理者として行動する場合に、それらの間で移転される可能性があります。そのような移転が適用されるデータ保護法の下で国際移転に該当する場合、SCC(該当する場合はモジュール 3)またはその他の有効な移転メカニズムを含む適切な保護措置の対象となります。
適切なレベルのデータ保護を提供することが認められていない国への顧客個人データの移転が必要な場合、そのような移転は、適用されるデータ保護法に従い、必要に応じて本 DPA に組み込まれた SCC や英国付随条項を含む、適切な保護措置の対象となります。
9.2 EU SCC。 GDPR の対象となる顧客個人データを適切な保護水準が認められていない第三国へ移転する場合、両当事者は EU SCC を組み込みます。顧客が管理者の場合はモジュール 2(管理者→処理者)が適用され、顧客が処理者の場合はモジュール 3(処理者→再処理者)が適用されます。SCC 付属書は、別紙 B(付属書 I/III)および別紙 C(付属書 II)を使用して完了されます。
9.3 英国付随条項。 英国 GDPR の対象となる移転について、両当事者は英国付随条項を組み込み、これは別紙 B/C および適用される移転メカニズムの選択を参照して完了されます。
9.4 スイス。 スイスからの移転については、標準的なスイスの修正(GDPR への言及にはスイス FADP が含まれる、管轄当局として FDPIC が含まれる等)を伴う EU SCC が適用され、別紙を参照して完了されます。
9.5 政府によるアクセス要求。 Ultralytics は、顧客個人データに対する法的に拘束力のある要求を、適用法および SCC に従って処理し、これには(法的に許可されている場合)顧客への通知および合理的な協力が含まれます。
Link to this section管理者から管理者への条件(Ultralytics アカウント / 利用 / セキュリティ運用)#
10.1 範囲。 本条は、Ultralytics による会社アカウントデータおよび会社利用データの処理を含め、各当事者が独立した管理者として(共同管理者ではなく)管理者の個人データを処理する場合に適用されます。
10.2 独立した管理者の義務。 各当事者は以下を行うものとします:
- (a) データ保護法を遵守して管理者の個人データを処理すること;
- (b) 適切なセキュリティを実装すること;および
- (c) 自らの処理に関連する規制当局からの連絡に対応すること。
10.3 Ultralytics による管理者の処理。 Ultralytics は、アカウント管理、請求、セキュリティ監視と乱用防止、本人確認、法的コンプライアンス、監査/会計、およびサービス運用(パフォーマンスと信頼性を含む)のために、会社アカウントデータおよび会社利用データを管理者として処理します。かかる処理については Ultralytics プライバシーポリシーに記載されています。本 DPA のいかなる規定も、両当事者間に共同管理者の関係を構築するものと解釈されてはなりません。
疑義を避けるために付言すると、Ultralytics およびその関連会社は、営業活動、デモンストレーション、パートナーシップ、および顧客関係管理活動の文脈において、独立した管理者として限定的なビジネス連絡先データ(氏名、法人用メールアドレス、業務連絡先詳細など)を処理する場合があります。
Link to this sectionカリフォルニア州の条件(CCPA/CPRA)#
11.1 サービスプロバイダー / 処理者。 CCPA/CPRA が適用され、Ultralytics が顧客の代理として顧客個人データを処理する範囲において、Ultralytics は「サービスプロバイダー」および/または「処理者」として行動し、当該個人情報を「販売」または「共有」することはありません。
11.2 限定的な使用。 Ultralytics は、CCPA/CPRA で許可されている場合を除き、サービスを提供するための直接的な事業目的以外で顧客個人データを保持、使用、または開示することはありません。
11.3 差別。 両当事者は、消費者が自身の権利を行使したことを理由として、消費者を差別してはなりません。
Link to this section一般規定#
12.1 責任の制限。 法律または SCC/英国付随条項により禁止されている場合を除き、本契約における制限および除外は本 DPA にも適用されます。
12.2 分離可能性。 本 DPA のいずれかの規定が無効または執行不能である場合、本 DPA の残りの部分は有効かつ存続するものとします。無効または執行不能な規定は、(i) 両当事者の意図を可能な限り維持しつつ、その有効性と執行可能性を確保するために必要に応じて修正されるか、それが不可能な場合は、(ii) 無効または執行不能な部分が当初から含まれていなかったかのように解釈されるものとします。
12.3 本 DPA の締結。 本 DPA は本契約に組み込まれ、その一部を構成します。顧客は以下により、本 DPA(該当する場合は EU SCC および英国付随条項を含む)を締結するものとします:
- (a) 本契約に同意または拘束されることに合意する(「同意します」をクリックするか、利用規約に対する同様のメカニズムによるものを含む)、
- (b) 本契約を組み込むまたは参照する注文フォーム、作業指示書、またはその他の書面による契約を締結する、または
- (c) 会社によって本 DPA が利用可能にされた後にサービスを使用または継続して使用する。
顧客は、顧客の代理として本契約に同意し、および/またはサービスを使用する個人が、顧客を拘束する権限を有し、かつ該当する場合はその関連会社を拘束する権限を有することを表明および保証します。
12.4 連絡先。 プライバシーに関する要求:privacy@ultralytics.com;DPO:dpo@ultralytics.com;法的事項の通知:legal@ultralytics.com。
Link to this section当事者;関連会社#
顧客は、自身および、本契約に基づきサービスの許可されたユーザーであり、かつ顧客個人データの管理者/処理者であるその関連会社(以下「許可された関連会社」)を代理して、本 DPA を締結します。顧客は、許可された関連会社を拘束する権限を有することを表明します。
Link to this section別紙 A:個人データ処理の詳細#
性質: Ultralytics は、顧客がモデルトレーニング、推論、データセット管理、デプロイワークフロー、および関連するサポートと管理を含む、Ultralytics の製品と機能にアクセスし使用できるようにするクラウドベースのソフトウェアおよび関連サービス(以下「サービス」)を提供しており、本契約に記載されているとおりです。
明確にするために付言すると、サービスには Ultralytics プラットフォームが含まれており、Ultralytics は本 DPA に従って顧客の代理として顧客個人データを処理します。別途、Ultralytics は Ultralytics YOLO オープンソースモデルも提供しており、顧客はこれを自身の環境で独立してデプロイおよび運用できます。顧客が Ultralytics YOLO モデルを Ultralytics プラットフォーム外でデプロイまたは使用する場合、Ultralytics は顧客の代理として個人データを処理せず、顧客は当該デプロイおよび使用に関連して、適切な技術的および組織的な措置を実装し、処理の目的と手段を決定し、適用されるデータ保護法への準拠を確保する単独の責任を負います。
目的: Ultralyticsは、以下の目的のために、顧客に代わって顧客の個人データを処理します。
- 本契約および顧客の文書化された指示に従い、サービスを提供、運用、保護、およびサポートするため。
- 本契約および本DPAと矛盾しない範囲で、顧客から提供されるその他の文書化された合理的な指示に従うため。
- 顧客またはその許可されたユーザーがサービスを利用する際に開始されたリクエスト(カスタマーサポートリクエストを含む)に対応するため。
- セキュリティインシデント、詐欺、不正行為、およびサービスの誤用を監視、防止、および検出するため。
- 適用される法的義務を遵守するため。
Ultralyticsは、顧客が書面またはサービスを通じて明示的に指示した場合を除き、Ultralyticsの汎用モデルのトレーニングまたは改善のために顧客の個人データを使用することはありません。明確にするため、Ultralyticsは、サービスの運用、保護、および改善のために、(許可されている範囲で)企業利用データおよび集計・匿名化されたデータを使用する場合があります。
顧客がサービスのコミュニティ機能または公開機能を通じてデータセット、モデル、またはその他のコンテンツを共有することを選択した場合、その共有は顧客の文書化された指示を構成します。顧客は、そのようなデータを他のユーザーが利用できるようにするために必要なすべての権利と法的根拠を保持していることを確認する単独の責任を負います。
処理の期間: Ultralyticsは、本契約の期間中、および顧客の指示に従ってサービスを提供するために必要な期間中、顧客の個人データを処理します。本契約の終了または満了後、適用法によりさらなる保持が義務付けられている場合を除き、Ultralyticsは本契約および本DPAに従って顧客の個人データを削除または返却します。明確にするため、Ultralyticsが第10条に基づく独立した管理者として管理者個人データ(企業アカウントデータおよび企業利用データを含む)を処理する場合、そのような処理はUltralyticsプライバシーポリシーに定められた期間行われます。
データ主体のカテゴリ: 顧客の個人データは、顧客によって決定および管理される以下のカテゴリのデータ主体に関連する場合があります。
- 顧客の従業員、請負業者、代理人、および代表者。
- 顧客の許可されたユーザーおよび管理者。
- および顧客の最終ユーザー、顧客、または顧客がサービスに送信することを選択した個人データを持つその他の個人。
個人データのカテゴリ: 顧客の個人データには、顧客によって、または顧客の代理としてサービスに送信された、あるいはサービスを通じて利用可能になった範囲で、以下のカテゴリの個人データが含まれる場合があります。
- アカウントおよびユーザー識別データ: 名前、メールアドレス、ユーザー名/ユーザーID、組織名、ユーザーの役割/権限(例: 管理者/ユーザー)など。
- 利用状況およびデバイス/技術データ: IPアドレス、デバイス識別子およびシステム属性(例: デバイスの種類、オペレーティングシステム、ブラウザの種類)、ログファイル、タイムスタンプ、認証イベント、アクセス履歴、および(該当する場合)エンタープライズデバイスやセキュリティワークフローの一環として収集されるインストール済みアプリケーションまたは構成の詳細。
- 顧客から提供されたコンテンツおよび入力: ユーザー生成のプロンプト、コメント、注釈、データセットのメタデータまたはラベル、および顧客がサービスを通じてアップロードまたは送信するその他のコンテンツ(画像/動画/音声またはその他のファイルを含む)。ただし、当該コンテンツに個人データが含まれる範囲に限ります。
- サポートおよび通信データ: カスタマーサポートの通信、問題レポート、トラブルシューティング情報、および管理上の連絡先詳細。
処理される個人データのカテゴリには、Ultralyticsプライバシーポリシーに記載されているものがさらに含まれる場合があります。
機密データまたは特別なカテゴリのデータ: サービスは、特別なカテゴリの個人データ(GDPR第9条または適用されるデータ保護法に基づく同等の定義)または刑事上の有罪判決や犯罪に関連する個人データ(GDPR第10条)を処理するように設計または意図されておらず、Ultralyticsとの書面による明示的な合意があり、追加の安全策が講じられている場合を除き、顧客はこのようなデータを提供することを禁止されています。
Link to this section別紙B: Annex IおよびAnnex III情報(EU SCCsおよびUK Addendum)#
以下には、EU SCCsのAnnex IおよびAnnex III、ならびにUK AddendumのTable 1、Annex 1A、およびAnnex 1Bで要求される情報が含まれています。
1. 当事者
データ輸出者:
- 名前: 顧客の法的事業体名
- 商号(異なる場合): [任意]
- 住所: 顧客の登録住所
- 公式登録番号(ある場合): [任意]
- 連絡先担当者の氏名、役職、および連絡先詳細: 氏名、役職、メールアドレス
- 本条項に基づいて転送されるデータに関連する活動: 本契約に基づくサービスの利用。これには、本契約、本DPA、および別紙Aに記載されているように、サービスに関連して処理するためにUltralyticsへ顧客の個人データを転送することが含まれます。
- 署名および日付: 本契約/DPAの実行/承諾による
- 役割(管理者/処理者): 管理者
データ輸入者:
- 名前: Ultralytics Inc.
- 商号(異なる場合): 該当なし
- 住所および連絡先情報: 5001 Judicial Way, Frederick, MD, 21703, United States; privacy@ultralytics.com
- 公式登録番号(ある場合): 6755919
- 本条項に基づいて転送されるデータに関連する活動: サービスを提供、運用、保護、維持、およびサポートするために顧客に代わって顧客の個人データを処理すること。また、本契約、本DPA、および別紙Aに別途記載されている内容。
- 署名および日付: 本契約/DPAの実行/承諾による
- 役割(管理者/処理者): 本DPAの第3条に記載されている通り。
2. 転送の説明
| 項目 | 詳細 |
|---|---|
| データ主体 | 本DPAの別紙Aに記載されている通り |
| 個人データのカテゴリ | 本DPAの別紙Aに記載されている通り |
| 特別なカテゴリの個人データ(該当する場合) | 本DPAの別紙Aに記載されている通り |
| 処理の性質 | 本DPAの別紙Aに記載されている通り |
| 処理の目的 | 本DPAの別紙Aに記載されている通り |
| 処理および保持の期間(またはその期間を決定するための基準) | 本DPAの別紙Aに記載されている通り |
| 転送の頻度 | 本契約またはDPAに規定されている個人データに関するすべての義務および権利を提供し、履行するために必要な範囲 |
| データ輸入者に転送される個人データの受領者 | 当社はサブプロセッサーのリストを次の場所で管理します:Ultralytics Sub-Processor List |
グループ内サブ処理者:
Ultralytics Ltd (英国) - エンジニアリングサポート、カスタマーサポート、オンボーディング支援、および商用やり取り(デモンストレーションおよびパートナーシップを含む)
Ultralytics AI Spain, S.L. (スペイン) - エンジニアリングサポート、商用やり取り、および顧客対応活動(ビジネス連絡先データの限定的な処理を含む)
3. 管轄監督当局
監督当局は、EU SCCsの第13条に従って決定されるデータ輸出者の監督当局とします。UK Addendumの目的における監督当局は、英国情報コミッショナーオフィス(UK Information Commissioner's Office)とします。
Link to this section別紙C: 技術的および組織的なセキュリティ対策#
以下には、EU SCCsのAnnex IIおよびUK AddendumのAnnex IIで要求される情報が含まれています。
| 技術的および組織的なセキュリティ対策 | 詳細 |
|---|---|
| 個人データの仮名化および暗号化の対策 | 顧客の個人データは、プラットフォームコンポーネントと外部エンドポイント間において、業界標準のセキュア接続(TLS)を使用した転送中の暗号化によって保護されています。クラウドサービスに保存されているデータは、クラウドプロバイダーが管理する保管時の暗号化とセキュアなキー管理制御の利点を享受しています。 |
| 処理システムおよびサービスの機密性、完全性、可用性、およびレジリエンスを継続的に保証するための対策 | Ultralyticsは、不正アクセスの制限、侵入検知と監視、脆弱性スキャンと侵入テスト、転送中および保管時の暗号化、データ保持/廃棄管理など、サービスに対するセキュリティ、機密性、および可用性のコミットメントを維持しています。Ultralyticsプラットフォームは、可用性を備えたマネージドクラウドサービスを使用して運用されています。当社のIaaSプロバイダーは、レプリケーションと高可用性を通じてデータベースのレジリエンスをサポートしています。また、Ultralyticsは、下流のサブ処理者の技術的および組織的な対策(TOMs)が本契約に定められた基準を満たしているか、それを上回っていることを確認しています。 |
| 物理的または技術的なインシデントが発生した場合に、個人データの可用性とアクセスをタイムリーに復旧させるための対策 | Ultralyticsプラットフォーム内の顧客データは、クラウドプロバイダーネイティブのサービスを使用してバックアップされています。バックアップは監視され、例外が発生した場合は調査および修復されます。バックアップデータは保管時および転送時に暗号化され、アクセスは許可された担当者に限定されています。事業継続および災害復旧計画には、目標復旧時点(RPO)、目標復旧時間(RTO)、および定義された役割と責任が含まれています。 |
| 処理のセキュリティを確保するために、技術的および組織的な対策の有効性を定期的にテスト、評価、および検証するためのプロセス | Ultralyticsは、システムとネットワークに対して定期的な脆弱性スキャンを、本番環境に対して侵入テストを実施しています。脆弱性管理には、CI/CDパイプラインに統合された依存関係スキャンとセキュアな開発プラクティスが含まれており、特定された脆弱性は重要度とリスクに基づいて優先順位付けされ、修復されます。さらに、UltralyticsはISMS標準慣行の一環として、年次リスク評価および経営陣による見直しを実施しています。 |
| ユーザー識別および認証のための対策 | Ultralyticsプラットフォームは、ユーザー認証とセッション管理をサポートする認証およびアイデンティティプロバイダーを使用しています。エンジニアリングシステム(ソースコードリポジトリを含む)へのアクセスは許可された担当者に制限されており、役割ベースの権限、ブランチ保護、および必須のレビューによって管理されています。内部アクセスは、最小権限モデルと役割ベースのアクセス制御に従います。 |
| 送信中のデータ保護のための対策 | Ultralyticsプラットフォームへのネットワークイングレスは、指定されたフロントエンドエンドポイントを介したセキュアなHTTPS(TLS)接続に制限されています。プラットフォームコンポーネントとストレージサービス間の内部通信は、TLSを使用して転送時に暗号化されます。 |
| 保管中のデータ保護のための対策 | Ultralyticsプラットフォームでは、顧客データは冗長性とバックアップサポートを備えた暗号化されたマネージドクラウドサービスに保存されます。マネージドクラウドサービスは、組み込みの暗号化、自動バックアップ、冗長ストレージ、および高可用性を提供します。保管中のデータには、クラウドプロバイダーが管理する暗号化が適用されます。 |
| 個人データが処理される場所の物理的なセキュリティを確保するための対策 | Ultralyticsプラットフォームは、サードパーティのクラウドサービスプロバイダーを使用してホストされています。ホスティングデータセンターの物理的および環境的な保護は、関連するサブ処理者組織によって運用されています。Ultralyticsは、サブ処理者組織の証明書レポートをレビューし、少なくとも年1回のリスク分析を実施します。 |
| イベントログを確保するための対策 | Ultralyticsは、監視、トラブルシューティング、およびインシデント調査のためにクラウドネイティブなログ記録を活用しています。プラットフォームの可用性およびセキュリティ関連のアラートは、内部通信およびメールを通じて内部的に、またホストされたステータスページを通じて外部的に伝えられます。さらに、Ultralyticsは顧客データを処理または保存するアプリケーション、ツール、およびリソースへのアクセスを定期的にレビューします。 |
| デフォルト構成を含むシステム構成を確保するための対策 | Ultralyticsは、変更の開始、ドキュメント化、開発標準、テスト、レビュー、およびリリースやデプロイ前の承認を含む、UltralyticsプラットフォームおよびUltralytics YOLOモデルのコードベースへの変更を管理する文書化された変更管理プロセスを維持しています。変更は、ピアレビューとCI/CDパイプライン検証を伴うバージョン管理で追跡されます。 |
| 内部ITおよびITセキュリティのガバナンスと管理のための対策 | Ultralyticsは、サービスのコミットメントおよび内部コンプライアンス要件に沿ったセキュリティポリシーと手順を維持し、主要なポリシーと手順の年次レビューを実施しています。従業員は、専用のガバナンス・リスク・コンプライアンス(GRC)ツールを通じてポリシーを承認する必要があり、年次のセキュリティ意識向上トレーニングとプライバシー保護トレーニングの修了が義務付けられています。エンジニアリング職にはセキュアコーディングトレーニングも必須です。リスクは一元管理されたリスクレジスターに記録され、少なくとも年1回正式にレビューされます。 |
| プロセスおよび製品の認証/保証のための対策 | Ultralyticsはサードパーティのマネージドサービス(サブサービス組織を含む)に依存しており、制御監視の一環としてそれらのSOC 2レポートを毎年レビューしています。ベンダーのデューデリジェンスはリスクベースで行われ、ベンダーは階層(重要/高/中/低)に分類され、契約上の安全策と定期的な再評価が行われます。 |
| データの最小化を確保するための対策 | Ultralyticsは、顧客契約および適用されるデータ保護要件に従って顧客データを処理し、サービスの提供とサポート(データセット管理、アノテーション、モデルトレーニング、評価、および関連するプラットフォーム機能を含む)に必要な範囲に処理を限定しています。Ultralytics YOLOオープンソースの利用は顧客によって管理されており、Ultralyticsはそのコンテキストで顧客の推論ワークロードを処理することはありません。 |
| データ品質を確保するための対策 | Ultralyticsは、ピアレビュー、自動テスト、CI/CDワークフロー、およびプラットフォームとオープンソースコードリリースのための制御された変更管理を含む、完全性と信頼性をサポートするように設計された制御された開発およびデプロイプラクティスを使用しています。 |
| データ保持の制限を確保するための対策 | Ultralyticsは、サービスコミットメントの一環としてデータ保持およびデータ廃棄のコミットメントを適用しています。プラットフォームの顧客データはマネージドサービスを使用してバックアップされ、削除/返却は顧客契約および適用法に従って処理されます。 |
| 説明責任を確保するための対策 | Ultralyticsは、インシデント対応計画と、セキュリティおよびプライバシーインシデントの特定、報告、管理、追跡のための文書化された手順を維持しています。これには、security@ultralytics.comを介した外部脆弱性報告のための通信が含まれます。インシデントは文書化され、深刻度に応じてエンジニアリング、法務、および経営陣の関与のもとで処理されます。 |
| データのポータビリティを許可し、消去を確実にするための対策 | Ultralyticsプラットフォームに送信された顧客の個人データは、本契約および本DPAに従い、顧客によって、または顧客の要求に応じて削除される場合があります。削除が必要な場合、Ultralyticsは顧客の指示および適用される法的要件に従って行動します。(ポータビリティは、顧客が該当するサービスから顧客データをエクスポートまたは取得できる範囲でサポートされています。)Ultralytics YOLOオープンソースモデルは、顧客が専有環境内にデプロイするため、完全なデータガバナンス制御が確保されています。 |
| サブ処理者の技術的および組織的な対策 | Ultralyticsは、サードパーティのサービスプロバイダーのオンボーディングと監視のためにリスクベースのベンダー管理プログラムを使用しており、コンプライアンス証明書および契約上のセキュリティとデータ保護要件のレビューが含まれます。また、Ultralyticsはサブサービス組織を監視し、そのSOC 2レポートを毎年レビューします。さらに、Ultralyticsは、本DPAに含まれるものと実質的に同様のデータ保護義務を持つデータ処理契約をサブ処理者と締結しています。 |
Link to this section別紙D: UK Addendum#
EU委員会標準契約条項(SCCs)への国際データ転送付録
Link to this sectionパート1: 表#
表1:当事者
| 項目 | 輸出者 | 輸入者 |
|---|---|---|
| 開始日 | 本UK Addendum(英国補遺)は、DPAと同じ発効日を有するものとします。 | 本UK Addendum(英国補遺)は、DPAと同じ発効日を有するものとします。 |
| 当事者の詳細 | 顧客 | 会社名 |
| 主要な連絡先 | 本DPAの付録Bを参照 | 本DPAの付録Bを参照 |
表2:選択されたSCC、モジュール、および選択された条項
| 項目 | 詳細 |
|---|---|
| EU SCC | 本UK Addendumが添付される承認済みEU SCCのバージョン。DPAで定義され、DPAのセクション6.2および6.3によって補完されます。 |
表3:付録情報
「付録情報」とは、承認済みEU SCCの付録において(当事者以外に)選択されたモジュール向けに提供されなければならない情報を意味し、本UK Addendumについては以下に規定されるものを指します。
| 別紙 | 参照 |
|---|---|
| 別紙1A:当事者リスト | 上記の表1の通り |
| 別紙2B:移転の説明 | 本DPAの付録Bを参照 |
| 別紙II:データのセキュリティを確保するための技術的および組織的措置を含む技術的および組織的措置 | 本DPAの付録Cを参照 |
| 別紙III:サブプロセッサーリスト(モジュール2および3のみ) | 本DPAの付録Bを参照 |
表4:承認済みUK Addendumの変更に伴う本UK Addendumの終了
注:本規定は、ICOが承認済みUK Addendumを変更した結果、(a)本UK Addendumに基づく義務の履行にかかる直接的な費用、または(b)本UK Addendumに基づくリスクが実質的、不釣り合い、かつ実証可能な形で直接増加する場合、選択された当事者(もしあれば)が本UK Addendumを終了させることを許可するものです。
| 項目 | 選択 |
|---|---|
| 承認済みUK Addendumの変更に伴う本UK Addendumの終了 | x 輸入者 x 輸出者 ☐ いずれの当事者でもない |
Link to this section本UK Addendumの締結#
各当事者は、相手方も本UK Addendumに拘束されることに同意するのと引き換えに、本UK Addendumに規定された条件に拘束されることに同意します。
承認済みEU SCCの別紙1Aおよび第7条では当事者による署名が求められていますが、英国外への移転(ex-UK Transfers)を行う目的において、当事者は、法的拘束力を生じさせ、かつデータ主体が本UK Addendumに記載された権利を行使できるようにするあらゆる方法で、本UK Addendumを締結することができます。本UK Addendumの締結は、承認済みEU SCCおよびそのいかなる部分に署名することと同じ効果をもたらします。
Link to this section本UK Addendumの解釈#
本UK Addendumにおいて承認済みEU SCCで定義された用語が使用される場合、それらの用語は承認済みEU SCCにおける定義と同じ意味を持つものとします。さらに、以下の用語は以下の意味を持つものとします。
| 用語 | 定義 |
|---|---|
| UK Addendum | DPAの付録Dとして添付された、EU SCCを組み込んだ本国際データ移転補遺を意味します。 |
| EU SCC | 表2に記載され、付録情報を含む、本UK Addendumが添付される承認済みEU SCCのバージョンを意味します。 |
| 付録情報 | 表3に記載の通りとします。 |
| 適切な保護措置 | 英国GDPR第46条(2)(d)に基づく標準データ保護条項に依拠して英国外への移転を行う際に、英国データ保護法によって求められる個人データおよびデータ主体の権利に対する保護基準を意味します。 |
| 承認済みUK Addendum | 2018年データ保護法第119A条に基づき2022年2月2日にICOが発行し議会に提出した雛形補遺を意味し、本UK Addendumのセクション18に基づき改訂される可能性があります。 |
| 承認済みEU SCC | 欧州委員会が十分なレベルのデータ保護を提供していると認めない国々への個人データ移転に関して、2021年6月4日付の欧州委員会決定2021/914により承認された標準契約条項を意味します(随時改正および更新されるものとします)。 |
| ICO | 情報コミッショナーオフィスを意味します。 |
| 英国外への移転 | DPAに規定される定義と同一の定義を有するものとします。 |
| UK | グレートブリテンおよび北アイルランド連合王国を意味します。 |
| UKデータ保護法 | 英国GDPRおよび2018年データ保護法を含め、英国において随時施行される個人データの保護、個人データの処理、プライバシー、および/または電子通信に関するすべての法律を意味します。 |
| UK GDPR | DPAに規定される定義を有するものとします。 |
本UK Addendumは常に、UKデータ保護法と整合的な方法で、かつ適切な保護措置を提供するという当事者の義務を果たすように解釈されなければなりません。
本UK Addendumに含まれる規定が、承認済みEU SCCまたは承認済みUK Addendumで許可されていない方法で承認済みEU SCCを修正する場合、当該修正は本UK Addendumに組み込まれず、承認済みEU SCCの対応する規定がその代わりとなるものとします。
UKデータ保護法と本UK Addendumの間に不整合または矛盾がある場合、UKデータ保護法が適用されるものとします。
本UK Addendumの意味が不明確である、または複数の意味が解釈される場合、UKデータ保護法に最も近い意味が適用されるものとします。
法律(または法律の特定の条項)へのいかなる言及も、時間とともに変化し得るその法律(または特定の条項)を意味します。これには、本UK Addendumが締結された後に当該法律(または特定の条項)が統合、再制定、および/または置換された場合が含まれます。
Link to this section階層#
承認済みEU SCCの第5条は、承認済みEU SCCが当事者間のすべての関連合意に優先することを定めていますが、当事者は、英国外への移転については、以下のセクション10の階層が優先することに同意します。
承認済みUK Addendumと(適用可能な)EU SCCの間に不整合または矛盾がある場合、EU SCCの不整合または矛盾する条項がデータ主体に対してより大きな保護を提供する範囲を除き、承認済みUK AddendumがEU SCCに優先するものとします。
本UK AddendumがGDPRに基づきEU外への移転を保護するために締結されたEU SCCを組み込んでいる場合、当事者は本UK Addendumのいかなる条項もそれらのEU SCCに影響を与えないことを認めます。
Link to this sectionEU SCCの組み込みおよび変更#
本UK Addendumは、以下のために必要な範囲で修正されたEU SCCを組み込むものとします。
- データ輸出者がデータ移転を行う際、UKデータ保護法が当該処理に適用される範囲において、データ輸出者からデータ輸入者へのデータ移転のために機能すること、およびそれらのデータ移転に対して適切な保護措置を提供すること。
- 上記のセクション9から11がEU SCCの第5条(階層)に優先すること。
- 本UK Addendum(それに組み込まれたEU SCCを含む)は、(1)イングランドおよびウェールズの法律に準拠し、(2)それに起因する紛争はイングランドおよびウェールズの裁判所によって解決されること。
当事者が本UK Addendumのセクション12の要件を満たす代替の修正に同意していない限り、本UK Addendumのセクション15の規定が適用されるものとします。
本UK Addendumのセクション12の要件を満たすための修正を除き、承認済みEU SCCへのいかなる修正も行うことはできません。
EU SCCに対して、以下の修正(本UK Addendumのセクション12の目的のため)が行われます。
- 「条項」への言及は、EU SCCを組み込んだ本UK Addendumを意味するものとする。
- 第2条において、「および、管理者から処理者への、および/または処理者から処理者へのデータ移転に関しては、規則(EU) 2016/679の第28条(7)に基づく標準契約条項」という言葉を削除する。
- 第6条(移転の詳細)を以下に置き換える:「移転の詳細、特に移転される個人データのカテゴリー、およびそれらが移転される目的は、データ輸出者が移転を行う際にUKデータ保護法が処理に適用される場合、別紙I.Bに指定されたものとする。」
- モジュール1の第8.7(i)条を以下に置き換える:「それが転送をカバーするUK GDPR第17A条に基づく十分性規制の恩恵を受ける国へのものである場合。」
- モジュール2および3の第8.8(i)条を以下に置き換える:「以降の移転が、その転送をカバーするUK GDPR第17A条に基づく十分性規制の恩恵を受ける国へのものである場合。」
- 「規則(EU) 2016/679」、「個人データの処理およびそのようなデータの自由な移動に関する、2016年4月27日の欧州議会および理事会の規則(EU) 2016/679(一般データ保護規則)」および「当該規則」への言及は、すべて「UKデータ保護法」に置き換えられる。「規則(EU) 2016/679」の特定の条項への言及は、UKデータ保護法の同等の条項またはセクションに置き換えられる。
- 規則(EU) 2018/1725への言及は削除される。
- 「欧州連合」、「連合」、「EU」、「EU加盟国」、「加盟国」および「EUまたは加盟国」への言及は、すべて「UK」に置き換えられる。
- モジュール1の第10(b)(i)条における「第12(c)(i)条」への言及は、「第11(c)(i)条」に置き換えられる。
- 第13(a)条および別紙IのパートCは使用しない。
- 「管轄監督当局」および「監督当局」は、いずれも「情報コミッショナー」に置き換えられる。
- 第16(e)条において、サブセクション(i)を以下に置き換える:「国務大臣が、これらの条項が適用される個人データの移転をカバーする2018年データ保護法第17A条に基づく規制を制定した場合。」
- 第17条を以下に置き換える:「これらの条項はイングランドおよびウェールズの法律に準拠する。」
- 第18条を以下に置き換える:「これらの条項に起因する紛争は、イングランドおよびウェールズの裁判所によって解決されるものとする。」データ主体は、英国のいずれの国の裁判所に対しても、データ輸出者および/またはデータ輸入者に対して法的措置を講じることができる。当事者は、かかる裁判所の管轄権に服することに同意する。
- 承認済みEU SCCの脚注は、脚注8、9、10、および11を除き、UK Addendumの一部を構成しない。
Link to this sectionUK Addendumへの修正#
当事者は、スコットランドまたは北アイルランドの法律および/または裁判所に言及するように、EU SCCの第17条および/または第18条を変更することに同意することができる。
当事者が承認済みUK Addendumのパート1:表に含まれる情報の形式を変更することを希望する場合、その変更が適切な保護措置を低減させないことを条件に、書面で合意することで変更できる。
ICOは随時、改訂された承認済みUK Addendumを発行する場合があり、それは以下のとおりである。
- 承認済みUK Addendumの誤りの修正を含め、承認済みUK Addendumに対して合理的かつ比例した変更を行うこと、および/または
- UKデータ保護法の変更を反映すること。
改訂された承認済みUK Addendumには、承認済みUK Addendumの変更が有効となる開始日と、付録情報を含む本UK Addendumを当事者が再検討する必要があるかどうかが指定される。本UK Addendumは、指定された開始日から改訂された承認済みUK Addendumに記載されている通りに自動的に修正される。
ICOが本UK Addendumのセクション18に基づき改訂された承認済みUK Addendumを発行した場合、承認済みUK Addendumの変更の直接的な結果として、当事者が以下において実質的、不釣り合い、かつ実証可能な増加を被る場合:
- 本UK Addendumに基づく義務の履行にかかる直接的な費用、および/または
- 本UK Addendumに基づくリスク
そしていずれの場合においても、当該当事者がまずそれらの費用またはリスクが実質的かつ不釣り合いなものとならないように低減するための合理的な措置を講じた場合、当該当事者は、改訂された承認済みUK Addendumの開始日より前に相手方へ期間を定めて書面による通知を行うことにより、合理的な通知期間の終了をもって本UK Addendumを終了させることができる。
当事者は本UK Addendumを変更するために第三者の同意を必要としないが、いかなる変更もその条項に従って行われなければならない。