このデータ処理補遺は、2025年7月2日から有効です
このデータ処理補遺およびその附属書(「補遺」または「DPA」)は、Gather Presence, Inc.(「Gather」、または「私たち」)が顧客(「あなた」)のために個人データを処理することに関する両当事者の合意を反映しています。この合意は、利用規約、Gatherプライバシーポリシー、またはGatherとあなたの間で締結されたその他の書面または電子契約に基づいて、あなたのGatherサービスの使用を規定します(総称して「契約」)。
署名済みのコピーが必要ですか? support@gather.townにメールしてください。
1. 定義
「アフィリエイト」とは、対象エンティティを直接または間接的に支配するか、またはそのエンティティが共通の支配下にあるエンティティのことを指します。この定義の目的における「支配」は、対象エンティティの議決権の50%以上の所有または支配を意味します。
「Gatherサービス」とは、「契約」において顧客が選択するサービスを指します。
「CCPA」とは、カリフォルニア消費者プライバシー法、カリフォルニア民法§1798.100 et seq、およびその実施規則を意味します。
「管理者(Controller)」とは、個人データの処理の目的と手段を決定する者で、CCPAで「企業」と定義されるものを含むエンティティを意味します。
「顧客(Customer)」とは、「契約」を締結したエンティティおよび注文書に署名した関連会社を含むエンティティを指します。
「カスタマーデータ」とは、「顧客データ」として「契約」で定義されたものであり、該当するデータは、Gatherサービスにカスタマーに代わって提出された電子データまたは情報を意味します。
「データ保護法」とは、ヨーロッパ連合、欧州経済領域およびその加盟国、スイス、英国、米国、およびその州における個人データの処理に関する適用可能なデータ保護またはプライバシー法、規則、規制を意味します。
「データ主体」とは、個人データに関連する特定または識別可能な人物を意味します。
「GDPR」とは、2016年4月27日に制定された自然人の個人データの処理およびその自由な移動に関するヨーロッパ議会および理事会の2016/679号の規則(一般データ保護規則)を意味します。
「個人データ」とは、カスタマーがGatherサービスの一部としてGatherに提供した、特定の自然人または識別可能な自然人に関連する情報を意味し、カスタマーデータが含まれます。
「処理」または「処理」とは、GatherがGatherサービスの一部としてパーソナルデータまたは個人データのセットに対して自動化された方法で行う一連の操作のいずれかを意味します。
「処理者(Processor)」とは、コントローラに代わって個人データを処理するエンティティを意味し、CCPAで定義された「サービスプロバイダー」として該当するものを含みます。
「セキュリティインシデント」とは、Gatherが許可していない個人によって偶発的または不正な破壊、損失、改ざん、無許可の開示、またはアクセスが生じたことが確認されたセキュリティ侵害を意味します。
「標準契約条項」とは、GatherとCustomerの間で締結され、ヨーロピアンコミッションの2021年6月4日の第三国に設立されたプロセッサーへの個人データの転送に関する標準契約条項の欧州委員会決定914/2021/EUに基づいて、この補遺に付随している契約を意味します。
「サブプロセッサ」とは、「契約」に関連して個人データを処理するために任命された、Gatherの共通制御下またはGatherが支配する第三者のことです。
「監督機関」とは、GDPRで定義されている意味を持つものとします。
この補遺で定義されていないが大文字で使用される用語は、契約で提供された意味を持つものとします。
2. 個人データの処理
2.1. 各当事者は、個人データの処理に関して、顧客がコントローラーであり、 Gatherがプロセッサーであることを認め、同意します。
2.2. 本補遺の下での処理の対象となるのは、個人データです。この補遺に基づく処理の期間は、Gatherがこの補遺に記載された個人データを保持する権利を有する契約の期間です。 「本補遺に基づく個人データの処理の目的は、「契約」に基づいてGatherがカスタマーにGatherサービスを提供するためです。この処理の性質は、その範囲が「契約」でより具体的に説明されているように、Gatherサービスの提供です。個人データの種類は、CustomerがGatherサービスを使用してカスタマーによって、またはカスタマーのために収集および処理されるデータです。データ対象者は、カスタマーのモバイルアプリケーション、ウェブサイト、プラットフォーム、IoTまたはその他のアプリケーションにアクセスして使用するカスタマーのエンドユーザーです。
2.3 Gatherは、この補遺、カスタマーの指示、およびGatherのGatherサービスの提供に適用されるデータ保護法に従ってのみ個人データを処理します。カスタマーは、カスタマーがGatherに対して個人データの処理に関して提供する指示が、CCPAを含むすべての適用されるデータ保護法に準拠することを保証します。カスタマーはさらに、Gatherに対して個人データの処理に関して提供する指示が、CCPAを含む適用されるデータ保護法に違反しないようにGatherに原因を与えないことに同意します。
2.4 カスタマーは、Gatherサービスの使用において、データ保護法および、該当する場合にはCCPAの要件に従って個人データを処理するものとします。これには、Gatherをプロセッサーとして使用することに関連してデータ主体に対するいかなる必要な通知の提供および同意の取得も含まれます。カスタマーの個人データの処理と使用に関する決定および行動は、データ保護法、CCPA、および本補遺と契約の条件に従うものとします。カスタマーは、Gatherに提供される個人データの正確性、品質、合法性の唯一の責任を負い、カスタマーが個人データを取得する手段についても責任を負います。
3. 個人データの国際転送
Gatherが顧客のためにプロセッシングする個人データは、米国に転送され、米国内で保存およびプロセッシングされます。顧客は、GatherがGatherサービスを提供するために必要な範囲で個人データを米国に転送し、保存およびプロセッシングすることに同意します。顧客がヨーロッパ連合、欧州経済領域およびその加盟国(「EEA」)、スイス、または英国から個人データを転送する場合、転送は本補遺の附属書1として添付される標準契約条項を通じて実行されます。標準契約条項は、ヨーロッパ連合、EEAおよびその加盟国、スイス、英国の外に転送されない個人データには適用されません。
4. 第三者の要求と機密保持
4.1. Gatherは、以下の理由で、個人データを個別に、または第三者に開示しません:(i) 顧客の要請による場合;(ii) 本補遺に定められた場合;(iii) Gatherサービスの提供に必要な場合;または(iv) 適用法または有効かつ拘束力のある法執行機関の命令による場合。法律で要求されない限り、Gatherは、顧客データに関連する召喚状、司法、行政、仲裁機関の命令またはその他の政府当局からの要求(「要請」)を受けた場合、速やかに顧客に通知します。顧客の要請に応じて、Gatherは、Gatherが保有する情報のうち報告に応じて関連する情報、および顧客が報告に適時に応じるために合理的に必要な支援を提供します。カスタマーは、Gatherが報告を行うエンティティと直接やり取りする責任を負わないことを認めます。
4.2. Gatherは、個人データへのアクセス権限を有するすべての従業員または者が個人データに関して機密性の義務を負うようにします。Gatherは、従業員または個人データの処理権限を持つ者が、顧客の指示に従ってのみ処理を行うようにします。Gatherは、従業員が個人データの取り扱いに関する法律に関する研修を受けており、Gatherの義務およびそのような法律および本補遺における個人的な義務および責任を認識していることを確認します。
5. データ主体の要求
Gatherは、データ主体からのアクセス権、修正または訂正の権利、処理に対する異議の権利、消去の権利(「忘れられる権利」)、データのポータビリティ、処理制限、または自動個別決定の被写体にならない権利の要求、「データ主体の要求」として、それぞれの場合に関しては速やかにお知らせします。Gatherはカスタマーに、適切な技術的および組織的対策を含み、データ主体からのいかなる要求にも対応するために、可能な限りあらゆる合理的かつ適時な支援を提供します。Gatherがデータ主体からの直接の要求を受け取った場合、Gatherは速やかに顧客に通知し、要求の詳細を顧客に提供します。
6. セキュリティ
Gatherは、偶発的な損失、破壊、改ざん、無許可の開示またはアクセス、または個人データの違法な破壊に適したレベルのセキュリティを確保するための適切な技術的および組織的対策、内部統制、および情報セキュリティルーチンを実施し、それを維持します。
7. セキュリティインシデントの通知
顧客の個人データに影響を与えるセキュリティインシデントが発生した場合、Gatherはセキュリティインシデントについて知った時点から72時間以内に顧客に通知します。さらに、Gatherはセキュリティインシデントを調査し、データ保護法に基づくあらゆるデータ侵害通知要件に対応するために十分な情報を提供します。Gatherはまた、セキュリティインシデントの影響を軽減し、被害を最小限に抑えるための合理的な手順を講じます。Gatherが本契約に基づいてセキュリティインシデントを報告または対応する義務は、セキュリティインシデントに関してGatherに何らかの責任があることを認めるものではなく、解釈されないものとします。
8. 監査と記録
8.1. 各当事者は、本補遺の下で、本補遺、第EU標準契約条項の第5条(f)または第12条(2)に基づいて行われるいかなる監査も、このセクション8.1に特定された仕様に従って行われることに同意します。監査委員会または、いかなる国または地域のデータ保護法を施行する責任を有する類似の規制当局によって要求されない限り、顧客は暦年に1回を超えて監査を実施することはできません。カスタマーは、「通知」条項に従ってGatherに連絡し、Gatherの手続きに関連するデータ保護について、オンサイト監査を依頼することができます。現地調査を行う前に、Gatherとカスタマーは、監査のタイミング、範囲、期間について相互に合意する必要があります。カスタマーは、Gatherが監査の結果として発生するあらゆるコストと経費をGatherに補償するものとします。さらに、監査は、カスタマーの職員がそのバーチャルプレミスにいる間に実施されるもので、いかなる損害、怪我、またはGatherのバーチャルプレミス、設備、スタッフ、および事業運営に対して最小限の損害、または(回避できない場合には)補足する方法で実施されるものとします。このセクション8.1に基づいて実施されるいかなる監査も、Gatherのバーチャルプレミスに限定されます(Gatherには実際の事業所はありません)。EU標準契約条項が適用される場合、ここでのいかなる規定も、EU標準契約条項に基づく監督当局またはデータ主体の権利を影響を与えるものではありません。
8.2. Gatherは、関連する監督当局の要請に応じて、カスタマーのために行う個人データの処理の記録を保持し、次の情報を含むものとします:
行動しているGatherおよびカスタマー(該当する場合)とカスタマーの代表者およびデータ保護責任者の氏名と連絡先詳細;
カスタマーに代わって実施される処理のカテゴリ;
個人データを第三国または国際機関への転送と、その転送が準拠している根拠;
Gatherによって講じられるデータセキュリティ対策の説明。
9. サブプロセッサー
あなたは、私たちがあなたの代わりに個人データを処理するためにサブプロセッサを採用できることに同意しています。現在、サブプロセッサとして、Annex 3にリストされている第三者を任命しています。Annex 3に記載されたサブプロセッサを追加または交換する場合には、Gatherはそのような変更が行われる30日前までに通知を行い、事前にフォームこちらでのメールを通じて受信に同意された場合にのみ、変更の30日前までに通知します。
サブプロセッサを指名する場合には、該当するサービスの性質に関連して適用される範囲で、DPAのこれらのサブプロセッサに対して少なくともこのDPAと同等の個人データ保護条件を課します (、適切な場合、標準契約条項を含む)なければなりません。Gatherは、サブプロセッサがこの補遺の義務に従っていることに引き続き責任を負い、そのサブプロセッサの行為や不作為行為のためにGatherがこのDPAに基づくいかなる義務に違反した場合についても責任を負います。
カスタマーは、Gatherの新しいサブプロセッサの使用に対して、Gatherがサブプロセッサに関する通知を受け取った後、Gatherに対して書面で30日以内に迅速に通知することにより、Gatherの新しいサブプロセッサの使用に異議を唱えることができます。カスタマーが新しいサブプロセッサに異議を唱える場合、Gatherは合理的な努力を払って、カスタマーが異議を申し立てたサブプロセッサが個人データを処理しないように、サービスまたはカスタマーのサービス利用に変更を提供するよう努力します。Gatherがカスタマーからの通知を受け取ってから30日以内にそのような変更を提供できない場合、カスタマーは使用しないとしたサブプロセッサを使用せずに提供できないサービスを終了できます。カスタマーがサービスを終了する場合、 Gatherは終了日以降、関連する注文書に指定された期間の未使用の料金をカスタマーに返金します。たとえ補遺に基づくいかなる理解があろうとも、カスタマーはGatherがGatherサービスを提供するために、附属書3に記載されたサブプロセッサを使用することを承認し同意しています。Gatherは、GatherのサブプロセッサについてもGather 自身の義務、行動、問題と同様に責任を負い、Gatherの義務、行動、問題に関するこの補遺の規定は、Gatherのサブプロセッサにも言及するものと解釈されます。補遺の条件に提供された個別的なすべての監査権はGatherのサブプロセッサの施設には適用されないことに合意しています。
10. データ保護影響評価と事前相談
カスタマーの要請に応じて、Gatherは、Gatherによる個人データの処理に関して、プロセッシングの性質およびGatherに利用可能な情報を考慮した上で、カスタマーがGDPRの第35条または第36条に基づいて、合理的に必要と考える監督機関とのデータ保護影響評価および事前相談に対する合理的な支援を提供します。
11. 契約終了
11.1 この補遺は、契約が満了または終了するまで、完全に有効であり続けます。
11.2 契約の満了または終了時に、カスタマーはGatherサービスから個人データを抽出することができます。Gatherは、バーチャルスペースを削除してから30日以内に、契約の条項で必要とされている場合または規定されている場合を除き、個人データを削除しますが、法律で義務付けられている場合、または、それが許可されている場合には、Gatherの法的契約やポリシーを強制するため、または紛争を解決するために必要です。Gatherは、サービスを提供するために必要な個人データや、他のカスタマーに提供されている情報やパブリック投稿や会話から得られる情報も保持することがあります。たとえば、利用規約のセクション5.5(d)で説明されています。
12. CCPA特定条項
12.1 Gatherは、顧客がCC