本データ処理契約（「DPA」）は、ウェブサイト https://senecaesg.com/（「Seneca ESGプラットフォーム」）に掲載されている利用規約を補完するものであり、お客様またはお客様の組織の代理として行動するユーザーがSeneca ESGプラットフォームのサービスを利用する場合、自動的に締結されます。この場合、お客様／お客様の組織／会社は「管理者（Controller）」として、Seneca ESGは「処理者（Processor）」として、それぞれ本契約の「当事者（Party）」、両者を「当事者ら（Parties）」とみなします。

本DPAで使用される用語は、本DPAに定義された意味を持つものとします。

本DPAは、当事者間で署名済みの管理者提出DPAがない場合に適用されます。

管理者は、Seneca ESGプラットフォームに入力される個人データの処理について、適用法の下で有効な法的根拠を有することを約束します。

1. 定義

1.1 本DPAにおいて、以下の用語は下記の意味を持ち、同義語も同様に解釈されます：

1.1.1 「適用法」とは、(a) 個人データを処理するあらゆる主体が従うべき英国および欧州連合または加盟国の法律、および (b) 個人データの保護および当該個人データが関係する自然人の保護に関するその他の適用法（Seneca ESGプラットフォームサービスでの処理に適用されるもの）を意味します。

1.1.2 「管理者個人データ」とは、Seneca ESGまたはSeneca ESGプラットフォーム上で、管理者のスタッフ（従業員、コンサルタント等）に関する個人データを指します。

1.1.3 「EEA」とは欧州経済領域を意味します。

1.1.4 「EUデータ保護法」とは、各加盟国の国内法へ移行され随時改正・置換・廃止されるEU指令95/46/EC、および2016年4月27日の欧州議会・理事会規則（EU）2016/679（GDPR）およびGDPRの施行・補足法、E-privacy指令を含むその他のデータプライバシー法を意味します。

1.1.5 「GDPR」とは、2016年4月27日の欧州議会・理事会規則（EU）2016/679（一般データ保護規則）を意味します。

1.1.6 「個人データ」とは、(i) EU指令95/46/ECで定義され、各加盟国の国内法へ移行され随時改正・置換・廃止されるもの、(ii) GDPRで定義されるもの、(iii) その他の国（スイスを含む）のローカルデータ保護法・プライバシー法で定義される個人データ（該当する場合）を指します。

1.1.7 「国際移転」とは、EUおよび英国の定義に基づく場合、すべての個人データが公開情報であり、管理者のスタッフとして自然人が特定される企業関連情報のみで構成されるため、該当しません。

1.1.8 「サービス」とは、Seneca ESGプラットフォームを通じてProcessorまたはその代理人がControllerまたはControllerユーザーのために提供・実施するサービスおよびその他の活動を意味し、利用規約に従うものとします。

1.1.9 「サブプロセッサー」とは、ProcessorまたはProcessor Affiliateにより管理者のために個人データを処理するために任命された、またはその代理で任命された第三者（Processorの従業員や下請けの従業員は除く）を指します。

1.1.10 「Processor Affiliate」とは、Processorを所有・支配する、またはProcessorに所有・支配される、またはProcessorと共通の所有・支配下にある事業体を意味します（ここでの「支配」とは、投票権・契約等による経営方針の決定権を直接的・間接的に持つことと定義され、Seneca ESG SingaporeおよびNetherlandsが該当します）。

dpa.sections.definitions.terms.title

dpa.sections.definitions.include.title

2. 権限

2.1 Processorは、サブプロセッサーが管理者個人データを処理する前に、当該サブプロセッサーと適用法および個人データの権利と自由の保護に対して少なくとも同等の義務を負うDPAを締結することを保証し、表明します。

3. 管理者個人データの処理

3.1 Processorおよび各Processor Affiliateは：

3.1.1 管理者個人データの処理にあたり、すべての適用法を遵守すること；

3.1.2 適用法によって要求される場合を除き、関連する管理者またはその文書化された指示以外の方法で管理者個人データを処理しないこと（必要な場合は事前に管理者へ通知する）。

3.2 管理者は自身または管理者のために以下を行うことを保証するものとします：

3.2.1 Processorおよび各Processor Affiliate（ならびにサブプロセッサー）に対し、以下を指示・承認すること：

3.2.1.1 管理者個人データを処理すること；

3.2.1.2 特に、サービス提供のために合理的に必要であり、利用規約に準拠する範囲で、管理者個人データを国・地域へ移転すること。

3.3 本DPAの別紙1は、GDPR第28条3項（および他の適用法の同等要件）に基づき、管理者個人データの処理に関する一定情報を記載しています。管理者は、必要に応じて書面通知により別紙1を合理的に修正することができます。別紙1には（本項に基づく修正後も含め）本DPAの当事者に何らかの権利や義務を課すものではありません。

4. ProcessorおよびProcessor Affiliateの人員

Processorおよび各Processor Affiliateは、管理者個人データへのアクセス権を持つサブプロセッサーの従業員・代理人・請負業者の信頼性を確保し、そのアクセスが利用規約上・職務上必要な者に厳格に限定され、かつ守秘義務または法的な守秘義務が課せられていることを保証します。

5. セキュリティ

5.1 技術水準・実装コスト・処理の性質、範囲、文脈・目的、及び自然人の権利・自由へのリスクを考慮し、Processorおよび各Processor Affiliateは管理者個人データに対し、GDPR第32条1項に言及されている措置を含め、適切な技術的・組織的措置を講じるものとします。

5.2 適切なセキュリティレベルの評価にあたっては、特に個人データ侵害によるリスクを考慮します。

5.3 Processorおよび各Processor Affiliateが実施した技術的・組織的措置は別紙2に記載されています。

6. サブプロセッシング

6.1 管理者は、Processorおよび各Processor Affiliateが本項および利用規約の制限に従いサブプロセッサーを任命（およびサブプロセッサーの任命を許可）することを承認します。

6.2 Processorおよび各Processor Affiliateは、本DPA日現在既に契約済みのサブプロセッサーを引き続き利用できますが、各自速やかに6.4項の義務を果たさなければなりません。

6.3 管理者は、Processorが主要契約で合意されたサービス提供に必要と判断するサブプロセッサーへの再委託を承認します。管理者の要請により、Processorは関与するサブコントラクターの最新一覧を提供します。

サブプロセッサーも本契約上Processorと同等の義務を負うものとみなされます。Processorは、サブプロセッサーと本契約内容に準拠したデータ処理契約を締結し、サブプロセッサーが本契約の義務を遵守することを保証します。

いかなる場合でも、GDPR等の規定に従い、同等のデータ保護義務がサブコントラクターに課されるものとします。

6.4 各サブプロセッサーに関し、Processorまたは該当Processor Affiliateは：

6.4.1 サブプロセッサーが管理者個人データを初めて処理する前に（または6.2項に従い）、十分なデューデリジェンスを実施し、利用規約で要求されるレベルの保護を提供できることを確認すること；

6.4.2 一方（a）Processor、（b）該当Processor Affiliate、（c）中間サブプロセッサーと、他方サブプロセッサー間の契約が、少なくとも本DPAに定める管理者個人データの保護レベルおよびGDPR第28条3項の要件を満たすことを確認すること；

6.5 Processorおよび各Processor Affiliateは、各サブプロセッサーが本DPAの3.1、4、5、7.1、8.2、9、11.1項の義務を、自らProcessorであるかのごとく遵守することを保証します。

7. データ主体の権利

7.1 Processorおよび各Processor Affiliateは、処理の性質を考慮し、適用法上の義務を果たすため、データ主体の権利行使に対応できる適切な技術的・組織的措置を講じます。

7.2 Processorは以下を行うものとします：

7.2.1 Processorまたはサブプロセッサーが適用法に基づき管理者個人データに関しデータ主体から要請を受けた場合、速やかに管理者に通知すること；

7.2.2 管理者の文書による指示または適用法で要求される場合を除き、自らまたはサブプロセッサーが要請に応答しないこと（必要な場合、事前に管理者に通知すること）。

8. 個人データ侵害

8.1 Processorまたはサブプロセッサーが自らの側で管理者個人データに関する個人データ侵害を認識した場合、遅滞なく管理者に通知し、管理者が適用法上データ主体または監督機関への報告義務を果たせるよう、十分な情報を提供します。当該通知には少なくとも以下の内容が含まれます：

8.1.1 個人データ侵害の性質、関係するデータ主体のカテゴリーと人数、個人データ記録のカテゴリーと件数の記載；

8.1.2 Processorのデータ保護責任者または問い合わせ先の氏名および連絡先情報；

8.1.3 個人データ侵害による可能性のある結果の記載；

8.1.4 個人データ侵害への対応として講じたまたは講じる予定の措置の記載。

8.2 Processorは、管理者と協力し、調査・緩和・是正措置のために管理者が指示する合理的な商業的手段を講じます。

9. データ保護影響評価および事前協議

Processorおよび各Processor Affiliateは、GDPR第35条または36条等に基づく監督機関やデータ保護当局との事前協議・影響評価について、サブプロセッサーによる管理者個人データの処理に限定し、処理の性質・入手可能な情報に基づき、管理者に合理的な支援を提供します。

10. 管理者個人データの削除または返却

10.1 10.2項に従うことを条件に、管理者はProcessorへの書面通知により、サービス終了日から30日以内に(a) すべての管理者個人データを安全なファイル転送で返却し、(b) その他すべてのサブプロセッサーによる管理者個人データの削除および削除完了を要求することができます。Processorおよび各Processor Affiliateは、サービス終了日から30日以内にこれらに従うものとします。

10.2 各サブプロセッサーは、適用法で要求される場合に限り、必要最小限かつその期間内に限り管理者個人データを保持できます。その際も秘密保持を確保し、適用法で定める目的以外での処理は行いません。

10.3 Processorは、Processorおよびサブプロセッサーが本10条に完全に準拠したことを30日以内に管理者へ書面証明書を提出します。

10.4 本条において「削除」とは、個人データが復元・再構築できないよう除去・消去すること、「サービス終了日」とは管理者個人データの処理を伴う一切のサービスの終了日を意味します。

11. 監査権

11.1 Processorおよび各Processor Affiliateは、管理者からの要請に応じて、本DPA遵守を証明するために必要なすべての情報を管理者に開示します。

12. 一般条項

準拠法および裁判管轄

12.1 7条（調停および管轄）を害することなく：

12.1.1 本DPAの当事者らは、本DPAに起因または関連する紛争・請求（存在・有効性・終了または無効の結果も含む）について、利用規約に定められた裁判管轄に服するものとします；

12.1.2 本DPAおよびそれに関連する非契約上その他の義務は、利用規約に定める法域の法に準拠するものとします。

優先順位

12.2 本DPAのいかなる内容も、利用規約に基づく個人データ保護に関するProcessorやProcessor Affiliateの義務を減少させたり、許可されていない方法で個人データを処理することを許容するものではありません。

12.3 本DPAの主題に関し、本DPAの規定と当事者間のその他の契約（利用規約含む）の間に矛盾がある場合、（明示的な書面同意がない限り）本DPAの規定が優先します。

適用法の変更等

12.4 管理者は：

12.4.1 Processorへの書面通知により、データ保護法の要件に対応するために必要と考える本DPAの変更を提案できます。

12.5 管理者が12.4.1項に基づき通知した場合：

12.5.1 Processorおよび各Processor Affiliateは、関連するサブプロセッサーも含め、速やかに同等の変更が6.4.3項の契約にも反映されるよう協力します；

12.5.2 管理者は、12.4.1項・12.5.1項に基づき追加リスクからサブプロセッサーを保護するため、Processorが提案するDPAの結果的な変更に対し、合理的な理由なく合意を遅延・拒否しません。

12.6 管理者が12.4.1項に基づき通知した場合、当事者らは直ちに変更案について協議し、合意・実施に向け誠実に交渉します。

12.7 管理者・Processorいずれも、本12.5項その他の変更について管理者AffiliateやProcessor Affiliateの同意・承認を必要としません。

分離可能性

12.8 本DPAのいずれかの条項が無効・執行不能となった場合でも、残りの条項は有効に存続します。当該無効・執行不能条項は、できる限り当事者の意図を維持しつつ有効・執行可能となるよう修正され、それが不可能な場合は、無効・執行不能部分がなかったものとして解釈されます。

12.9 当事者の連絡先情報

各当事者の代表者や従業員の連絡先情報は、合意されたサービスの履行・管理・監督のために、契約上の義務履行を法的根拠として相手方により処理されることがあります。個人データは商取引契約期間中および契約終了後の法定保存期間中保持されます。各当事者は自らの代表者・従業員に対し情報提供義務を果たします。

当事者のデータは、支払い管理・回収のために銀行や金融機関、税務申告・法的義務履行のために税務当局や他の公的機関に移転されることがあり、規制に従って行われます。また、法的要請がある場合は公的機関にも提供されます。

当事者は、本条に言及された個人データへのアクセス、訂正、削除、データポータビリティ、処理制限、および処理への異議をAnnex 3に指定された当事者の住所に請求できます。

12.10 責任

Processorは、本契約に定められた義務の不履行により生じるすべての罰則および制裁金について責任を負うものとします。

別紙1：個人データ処理の記述

本別紙はGDPR第28条3項に基づき、個人データの処理に関する詳細を含みます。

個人データ処理の対象および期間

個人データ処理の対象および期間は、利用規約およびプライバシーポリシーに定められています。

個人データ処理の性質および目的

個人データ処理の性質および目的は、利用規約およびプライバシーポリシーに定められています。

個人データが関係するデータ主体のカテゴリー

Processorが処理する管理者の個人データのデータ主体は、B2Bの観点から管理者のスタッフです。

処理される個人データの種類

連絡先データ（氏名、メール等）

雇用データ（管理者、役割等）

運用データ（プラットフォーム上のユーザー操作）

ProcessorおよびProcessor Affiliateの義務と権利

Processorは、主に欧州規則2016/679（一般データ保護規則 - GDPR）の要件を含む適用法の遵守義務を負い、欧州連合法の下で加盟国のローカル法より優先されます。