タックスバックインターナショナル規約

データ処理に関する同意書

前文

本データ処理契約(以下「DPA」)は、(i)要求する組織(以下「データコントローラー」)のデータ処理者(以下「データプロセッサー」)として、IDA BUSINESS & TECHNOLOGY PARK, RING ROAD, KILKENNY, IRELANDに本社をおくT.B.I. Refundsを任命することを主な目的とします。

以下記載:

両当事者は、データ管理者が事業を行う国の管轄区域に応じたデータ保護法などの個人情報保護に関する法令を含む、適用される法令の要件を満たすため、データ管理者からデータ処理者に渡されたデータの保護と安全性に関する一定の規定に同意します。

A. 当事者は、ここに記載された条件を考慮して、以下の通り同意するものとします。

1. 定義

1.1 大文字で表記された用語は、本契約で定義されている通りとします。”損害”とは、契約違反、不法行為(過失を含む)、その他の法律、衡平法、法定法上の訴訟原因を含む、本契約または本契約の運用に関連した訴訟原因に起因してお客様が被った、または被ったすべての責任、費用、費用、損害、損失(直接的、間接的、または結果的損失、利益の損失、評判の損失、およびすべての利息、罰金、罰則、訴訟費用(完全補償ベースで計算)、およびその他のすべての合理的な専門的費用および費用を含むが、これらに限定されない)を意味します。

“””データ管理者”とは、データ保護法で定められた内容を意味します。

”データ処理者”とは、データ保護法で定められた内容を意味します。

“データ保護影響評価”は、データ保護法で定められた内容を意味します。

”データ保護法”とは、データ管理者の管轄国のデータ保護法および情報プライバシー法を意味します。

“”データセキュリティ違反”は、データ保護法で定められた内容を意味します。

”データ対象者”とは、データ保護法で定められた内容を意味します。

“個人データ”とは、データ保護法で定められた内容を意味します。

”プライバシーシールド”とは、米国商務省が運営し、欧州委員会が承認したプライバシーシールドのスキームと原則、または欧州委員会が適宜承認した代替スキームと原則を意味します。

“プロセシング”とは、個人情報保護法において定められた意味を有し、”プロセシング”とは、それに応じて解釈されるものとします。

”当局”とは、政府機関、規制機関、法定機関、その他の事業体、委員会および機関であって、法令、規則、規制、慣行規範、その他の下にあるかどうかにかかわらず、適用法により、本契約で取り扱われる事項または当事者のその他の業務を監督、規制、調査、または影響を与える権利を有するものを意味します。

”サブプロセッサー”とは、データ保護法で定められたその定義を意味します。

2. データ保護

2.1 データ管理者。お客様は、別紙1に記載されている個人データ処理に関するデータ管理者です。

2.2 データ処理者:サプライヤーは、顧客に代わって処理する個人データに関してデータ処理者としての機能を実行します。

2.3 供給者は、データ保護法に基づくデータ処理者としての義務を遵守します。本契約に基づく個人情報の処理に関連して、データ保護法の遵守を妨げる理由やデータ保護法に違反するような事態が発生した場合は、可能な限り速やかにお客様に通知する必要があります。

2.4 指示:供給者は、個人データを本契約および顧客からの書面による指示に基づいて処理するものとし、その場合、公共の利益の重要な理由で禁止されている場合を除き、処理前に顧客にその旨を通知するものとします。サプライヤーは、個人データの権利や利益を取得しないことに同意するものとします。

2.5 データ対象者の権利:サプライヤーは、データ対象者がデータ保護法に基づく権利を行使し、顧客が指定する合理的な期間内に顧客の要求に応えることを支援することに同意するものとします。

2.6 データ対象者からの要求を直接受けた場合、サプライヤーは直ちにその旨を顧客に通知し、直ちに顧客に転送するものとする。提供者は、顧客の指示がある場合を除き、このような要求には一切対応しないものとします。

2.7 援助:供給者は、顧客が指定した合理的な期間内に、顧客の義務を遵守するために顧客を支援するものとします。

2.7.1 データ処理のセキュリティ

2.7.2 データ侵害の通知

2.7.3 データ保護の評価

2.8 データの転送:サプライヤーは、契約上の義務を果たすために、顧客の個人データやその他の顧客に関する情報を転送します。顧客は、サプライヤーに以下の要求ができます。

2.8.1 関連する下請業者が適切なデータ転送契約を締結するか、または締結させる。

2.8.2 米国への転送については、受取人がプライバシーシールドの下で有効な最新の証明書を持っており、かつ継続的に維持し、プライバシーシールドの原則を遵守していることを確認する。

第2.8条の前記の規定は、お客様のお客様に関する個人データまたはその他の情報のさらなる転送にも適用されます。

2.9 第 8 条に基づき締結された譲渡メカニズムが有効でなくなった場合、サプライヤーは顧客の判断に従います。

2.9 第8条に基づいて締結された譲渡メカニズムが有効でなくなった場合、サプライヤーは顧客の判断で譲渡メカニズムの有効性を確認するものとします。

2.9.2 自社および/またはその下請け業者が保有する個人データを破棄します。

2.9.3 自社および/またはその下請け業者が保有する個人データをお客様に返却します。

2.10 顧客グループメンバーの個人データ。 本契約に基づき、顧客グループの複数のメンバーが、サプライヤーに個人データやその他の情報を提供した場合、サプライヤーはその情報にアクセスすることができます。

2.10.1 サプライヤーは、各会員の顧客に関する個人データおよびその他の情報を、その会員を参照して個別に識別して保管するものとします。

2.10.2 サプライヤーは、顧客に関連する個人データやその他の情報を、顧客に関連する個人データやその他の情報の所有者の同意なしに、顧客グループのメンバーの顧客に関連する個人データやその他の情報を、顧客グループの他のメンバーに開示しないものとします。

2.11 サブプロセシング:サプライヤーは、顧客の書面による事前の同意なしに、顧客の個人データの処理を第三者に委託してはならないことに同意します。

2.12 供給者が顧客の個人データの処理を第三者に委託する場合、供給者は書面による契約により、本契約に記載されているのと同じデータ保護義務を当該第三者に課すものとし、供給者が委託した第三者が個人データの処理を他の者に委託する場合、当該第三者は本契約の下で課されている個人データの処理に関するすべての義務を遵守します。

2.13 供給者は、他の処理者の追加または交換に関する変更を顧客に通知するものとし、顧客の書面による事前の同意なしにそのような 変更を行うことはしません。

2.14サプライヤーは、第三者による処理がサプライヤーによって行われているかのように、第三者による処理に対 して顧客に対して完全な責任を負うものとします。

2.15 セキュリティ:サプライヤーは、個人データの安全性に対するリスクに応じた適切なレベルの安全性を確保するために、適切な技術的・組織的対策を実施するものとします。特に、事故や違法な破壊、紛失、改ざん、不正、開示、個人データへのアクセスを防止するために、必要に応じてお客様に事前に通知されたものを含め、適切なレベルの安全性を確保するものとします。

2.15.1 個人データの偽名化と暗号化

2.15.2 個人データの機密性、完全性、可用性、およびその処理に使用されるサプライヤーのシステムの回復力を継続的に確保する能力。

2.15.3 物理的または技術的な事故が発生した場合に、個人データの可用性とアクセスを復元する能力、および

2.15.4 処理のセキュリティを確保するための技術的及び組織的な対策の有効性を定期的にテストし、評価し、評価するためのプロセス。

2.16 守秘義務 サプライヤーは、本契約に基づいて個人データを処理する従業員が、当該個人データに関して守秘義務を負うことを保証するものとします。

2.17 遵守の証明: サプライヤーは、顧客または顧客から委任された他の監査人が実施する検査を含む監査を可能にし、それに 貢献するために必要なすべての情報を顧客に提供するものとします。

2.18 侵害 サプライヤーは、本契約に基づいて行われた指示や要求がデータ保護法に違反していると判断した場合には、直ちにその旨をお客様に通知するものとします。

2.19 違反の通知 サプライヤーは、データセキュリティ侵害に気づいた場合、24 時間以内に顧客に通知するものとする。サプライヤーは、顧客の書面による事前の同意なしに、データセキュリティ侵害に関連してデータ対象者と連絡を取りません。

2.20 損害賠償 サプライヤーは、以下に起因または関連して発生した、顧客が被った損害について、顧客を補償するものとします。

2.20.1 サプライヤーが顧客の合法的な指示に反して行動した場合。

2.20.2 サプライヤーが本契約に基づく義務またはデータ保護法に違反した場合。

2.20.3 サプライヤーまたはその従業員の作為または不作為により、何らかの形で顧客がデータ保護法に違反している場合。

2.21 終了/失効:本契約の終了または終了時(または顧客の要求があればいつでも)、サプライヤーは、適用される法律で個人データの保持が要求されない限り、顧客の選択により、本契約に基づいて受領および/または処理されたすべての個人データのコピーを返却、破棄、または永久的に消去するものとします。

2.22 条の存続 第22条の規定は、サプライヤーが第2.21条に従ってすべての個人データを返却または破棄するまで、本契約の期間中存続するものとします。

3. 解約

3.1 本契約は、本サービスに関するデータ処理者の義務の終了または終了時に自動的に終了するものとし、本契約の終了時には、データ処理者は本契約の第2.21条に基づく義務を遵守するものとします。

3.2 いずれかの当事者は、他方への書面による通知により、本契約を即時に終了させることができます。

(a) 相手方が本契約の重大な違反を犯した場合。

(b) 相手方が支払不能になった場合、または支払不能と宣告された場合、破産を開始するための正式な措置をとった場合、または債権者との間で和解を行う、または提案する場合、またはその資産の一部もしくは全部について管財人もしくは同様の役員を任命する場合、または解散もしくは排除のための措置をとる場合。

4.その他の事項

4.1 対物:本契約は、いくつかの対物で、また当事者が別個の対物で締結することができますが、それぞれの対物は原本となりますが、すべてが一体となって一つの同一の契約を構成します。

4.2 準拠法および管轄権:本契約およびその主題から、またはそれに関連して発生する紛争または請求は、アイルランド共和国の法律に準拠し、アイルランド共和国の法律に従って解釈されます。両当事者は、本契約から生じる、または本契約に関連して生じる紛争または請求に関しては、アイルランドの裁判所の専属的管轄権に従うものとします。

別紙1

個人データの処理について

1. 主題

契約期間中の付加価値税の還付

2. 業務委託契約の内容

データ処理者は、データ処理者が必要な同意を得ていること、またはデータを処理するための正当な目的を持っていることを理解した上で、データ処理者に代わってデータや情報を処理する責任があります。

3. 目的

個人情報は、企業の出張および関連費用に直接関連して購入された場合に、VATを確認するために処理されます。

4. 個人情報のカテゴリー

連絡先データ(氏名、住所、メールアドレス、電話番号)、取引データ

5. 機微な個人情報

機密性の高い個人データは取得されません。

6. データ対象のカテゴリー

お客様の従業員

7. セキュリティと組織的な対策

セキュリティと組織の対策 技術的・組織的なセキュリティ対策は、Taxback Internationalが外部認定機関であるISO27001情報セキュリティ規格に準拠して実施されています。

8. 個人データの受取人

タックスバック・インターナショナルは、契約上の合意に基づいてVATの還付を確実にするため、様々な情報源からデータを受け取ります。

データは、グローバルVATサービスの処理のための機能を遂行するために当社に委託されたサービスプロバイダー(EEAおよび米国でのお客様のデータの保管を含むがこれに限定されない)と共有されます。適用される法律、規制、法的要件をTaxback Internationalが遵守するために必要な者。

9. データ転送

付加価値税の還付に適用される各国の規定に基づき、地方税当局を含むデータコントローラーの指示によるデータ転送。

10. 保持

データコントローラーが指示した通りにデータを保持します。

11. タックスバックDPO

マーガレット・コリガン、タックスバックグループ、IDAビジネス&テクノロジーパーク、リングロード、キルケニー州、アイルランド