PDHアネックス別表A

標準契約条項

2016年4月27日付欧州議会および理事会規則（EU）2016/679（GDPR）第28.6条、第28.7条、第46.1条および第46.2条の目的のため、十分なデータ保護レベルを確保しない第三国に設立された処理業者への個人データの移転（欧州議会および理事会規則（EU）2016/679に基づく個人データの第三国への移転に関する標準契約条項に関する2021年6月4日付の施行決定（COMMISSION IMPLEMENTING DECISION (EU) 2021/914）。

両当事者は、データ輸出者がデータ輸入者に本契約で指定された個人データを移転する際、プライバシ ーおよび個人の基本的権利と自由の保護に関して適切な保護措置を講じるために、以下の標準契約条項 （以下、「条項」という。

セクション I

第1項目的と範囲

(a)本標準契約条項の目的は、個人データの第三国への移転に関して、個人データの処理に関する自然人の保護および当該データの自由な移動に関する2016年4月27日付欧州議会および理事会規則（EU）2016/679（一般データ保護規則）の要件を確実に遵守することである。
(b)当事者
(i)本契約および PDH 付属文書に記載されている、個人情報を移転する自然人または法人、公 共機関、代理店またはその他の団体（以下「事業体」という、および
(ii) 本契約および PDH 付属文書に記載されているように、データ輸出者から直接または間接的に本条項の当事者である他の事業体を経由して個人データを受領する第三国の事業体／団体（以下、それぞれを「データ輸入者」といいます）
、本標準契約条項（以下、「本条項」といいます）に同意したものとします：条項'）に同意したものとします。
(c)本条項は、本契約およびPDHアネックスに規定された個人データの移転に関して適用されます。

第2条本条項の効力と不変性

(a)本条項は、規則(EU)2016/679の第46条(1)および第46条(2)(c)に従い、強制可能なデータ主体の権利および効果的な法的救済を含む適切な保護措置を定めており、また、管理者から処理者へのデータ移転および/または処理者から処理者へのデータ移転に関しては、規則(EU)2016/679の第28条(7)に従い、標準的な契約条項を定めています。ただし、これらの条項が直接的または間接的に本条項と矛盾しないこと、またはデータ対象者の基本的権利または自由を害しないことを条件とします。
(b)本条項は、データ輸出者が規則（EU）2016/679により従う義務を害するものではありません。

第3条第三者受益者

(a)データ主体は、以下の例外を除き、データ輸出者および／またはデータ輸入者に対 して、第三受益者として本条項を適用し、執行することができる。
(i)第 1 条、第 2 条、第 3 条、第 6 条、第 7 条;
(ii)第 8 条-第 8.1 条(b)、第 8.9(a), (c), (d) and (e);
(iii)Clause 9 - Clause 9(a), (c), (d) and (e);
(iv)Clause 12 -Clause 12(a), (d) and (f);
(v)Clause 13;
(vi)Clause 15.1(c)、(d)および(e);
(vii)第16条(e);
(viii)第18条-第18条(a)および(b);
(b)第(a)項は、規則(EU)2016/679に基づくデータ主体の権利を損なうものではない。

第4条解釈

(
。 (b)本条項は、規則(EU)2016/679の規定に照らして読まれ、解釈されるものとする。
(c)本条項は、規則(EU)2016/679に規定される権利及び義務と矛盾する形で解釈されないものとする。

第5条階層

本条項と、本条項が合意された時点またはその後に締結された両当事者間の関連協定の規定との間に矛盾がある場合は、本条項が優先するものとします。

第6項譲渡の内容

移転の詳細、特に移転される個人データのカテゴリーおよび移転の目的は、本契約およびPDH付属書に明記されています。

第7条ドッキング条項

(a)本約款の当事者でない事業体は、両当事者の合意のもと、本 PDH および両当事者との標準契約約款に記載されたすべての事項に署名し遵守する ことにより、データ輸出者またはデータ輸入者として、いつでも本約款に加盟することができ る。
(b)一旦署名し、記載されたとおりに遵守した場合、加盟した事業体は本条項の当事者となり、本契約および PDH Annex における指定に従って、データ輸出者またはデータ輸入者の権利および義務を有するものとする。
(c)加盟した事業体は、当事者となる前の期間から本条項に基づいて生じる権利または義務を有しないものとする。

第 II 節 - 当事者の義務

第8条データ保護の保護措置

データ輸出者は、データ輸入者が適切な技術的および組織的措置を実施することにより、本条項に基づく義務を果たすことができると判断するために合理的な努力を払ったことを保証するものとします。

MODULE ONE：
8.1 目的の制限
データ輸入者は、契約および PDH 付属書に規定されている移転の特定の目的のために のみ個人データを処理するものとします。
(i) データ主体の事前の同意を得た場合、
(ii) 特定の行政、規制または司法手続きに関連する法的請求の確立、行使または弁護に必要な場合、
(iii) データ主体または他の自然人の重大な利益を保護するために必要な場合。

8.2 透明性
（a）データ主体が第 10 条に従ってその権利を効果的に行使できるようにするため、 データ輸入者はデータ主体に直接またはデータ輸出者を通じて以下の事項を通知するも のとする：
(i) 自己の身元および連絡先の詳細、
(ii) 処理される個人データのカテゴリー、
(iii) 本条項のコピーを入手する権利、
(iv) 個人データを第三者に転送する場合は、転送先または転送先のカテゴリー（意味のあ る情報を提供するために適切な場合）、転送の目的、および第 8 条に基づく根拠。7.
(b) (a)項は、データ主体が既に情報を有している場合（データ輸出者から既に 情報が提供されている場合を含む）、または情報提供が不可能であるかデータ輸入 者にとって不釣り合いな労力を要する場合は、適用されないものとする。後者の場合、データ輸入者は、可能な限りその情報を一般に公開するものとします。
(c) 要求があれば、両当事者はデータ対象者が無料で本条項のコピーを入手できるように するものとします。業務上の秘密または個人情報を含むその他の機密情報を保護するために必要な限 度において、両当事者は、コピーを共有する前に、本契約および PDH 付属書の本文の一部を編集することができるが、そうしなければデータ対象者がその内容を 理解できず、権利を行使できない場合には、意味のある要約を提供するものとする。要求があった場合、両当事者は、冗長化された情報を明らかにすることなく、可能な範囲で、冗長化の理由をデータ主体に提供するものとする。
(d) (a)から(c)項は、規則(EU)2016/679の第13条および第14条に基づくデータ輸出者の義務を損なうものではない。

8.3 正確性およびデータの最小化
（a）各当事者は、個人データが正確であり、必要に応じて最新に保たれていることを確 保するものとする。データ輸入者は、処理の目的に照らして不正確な個人データが遅滞なく消去または修正されるよう、あらゆる合理的な措置を講じるものとする。
(b) 当事者の一方が、移転または受領した個人データが不正確であること、または古くなっていることに気付いた場合には、他方の当事者に不当な遅滞なく通知するものとする。
(c) データ輸入者は、個人データが適切であり、関連性があり、処理の目的に照らして必要なものに限定されていることを保証するものとする。

8.4 保管の制限
データ輸入者は、個人データをその処理目的に必要な期間を超えて保管しないも のとする。データ輸入者は、データの消去または匿名化(2)、および保存期間終了時のすべてのバックアップを含め、この義務の遵守を保証するために適切な技術的または組織的手段を講じるものとします。

8.5 処理の安全性
(a)データ輸入者及びデータ転送中のデータ輸出者は、偶発的又は不法な破壊、紛失、改ざん、無許可の開示又はア クセス（以下「個人データの侵害」）につながる安全性の侵害からの保護を含め、個人デー タの安全性を確保するために適切な技術的及び組織的措置を講じるものとする。適切なセキュリティ・レベルを評価する際には、両当事者は、技術の現状、実施に要する費用、処理の性質、範囲、文脈および目的、ならびにデータ対象者の処理に伴うリスクを十分に考慮するものとする。
(b) 両当事者は、PDH 付属書に規定された技術的および組織的措置に合意した。
(c) データ輸入者は、個人データを処理する権限を与えられた者が守秘義務を負うか、 または適切な守秘義務の下にあることを保証するものとする。
(d) 本条項に基づいてデータ輸入者が処理した個人データに関して個人データ漏えいが 発生した場合、データ輸入者は個人データ漏えいに対処するために、起こりうる悪影響を 軽減するための措置を含む、適切な措置を講じるものとする。
(e) 自然人の権利および自由に対するリスクをもたらす可能性のある個人データ漏えいが 発生した場合、データ輸入者はデータ輸出者および第 13 条に基づく管轄監督当局の双 方に、過度の遅滞なく通知するものとする。当該通知には、i) 違反の性質（可能な場合、関係するデータ対象者および個人データ記録の区 分とおおよその数を含む）、ii) 起こりうる結果、iii) 違反に対処するために講じられた措置または提案された措置、および iv) より詳細な情報を入手できる連絡先の詳細が含まれるものとする。データ輸入者がすべての情報を同時に提供することが不可能な場合は、不当に遅延することなく段階的に提供することができる。
(f) 自然人の権利および自由に対して高いリスクをもたらす可能性のある個人デー タ侵害の場合、データ輸入者は、データ輸入者が自然人の権利または自由に対するリ スクを著しく軽減する措置を実施している場合、または通知することが不釣り合い な努力を伴う場合を除き、データ輸出者と協力し、必要に応じて、(e)項の ii)から iv)に言及する情報と共に、当該データ主体に個人データ侵害およびその性質を過度な遅滞なく通知するものとします。後者の場合、データ輸入者は、個人データ漏えいを公衆に知らせるために、広報を発行するか、または同様の措置を講じるものとする。
(g) データ輸入者は、個人データ漏えいに関連するすべての関連事実（その影響および講じられた改善措置を含む）を文書化し、その記録を保管するものとする。

8.6 センシティブデータ
人種的または民族的出身、政治的意見、宗教的または哲学的信条、あるいは労働組合の組合員で あることを明らかにする個人データ、遺伝データ、または自然人を一意に識別するためのバイオメトリッ クデータ、健康、性生活または性的指向に関するデータ、あるいは前科または犯罪に関するデー タ（以下「センシティブデータ」）を伴う場合、データ輸入者は、データの特定の性質および関 連するリスクに適応した、特定の制限および／または追加の保護措置を適用しなければなら ない。これには、個人データへのアクセスを許可された人員の制限、追加のセキュリ ティ対策（仮名化など）、および／またはさらなる開示に関する追加の制限が含まれる。

8.7 上方移転
データ輸入者は、適切なモジュールのもとで、第三者が本条項に拘束されること に同意しない限り、欧州連合(3)域外にある第三者（データ輸入者と同じ国または別の第三 国、以下「上方移転」）に個人データを開示しないものとします。そうでない場合、データ輸入者によるオンワード転送は以下の場合にのみ行うことができます：
(
(ii) 第三者が、問題となっている処理に関して、規則（EU）2016/679 の第 46 条または第 47 条に従って適切な保護措置を確保する場合。
(iii) 第三者が、データ輸入者との間で、本条項と同じレベルのデータ保護を確保 する拘束力のある協定を締結し、データ輸入者がこれらの保護措置の写しをデータ輸出者に提 供する場合；
(iv) 特定の行政、規制、または司法手続きに関連する法的請求の確立、行使、 または弁護のために必要である場合。
(v) データ主体または他の自然人の重大な利益を保護するために必要である場合；または、
(vi) 他のいずれの条件にも該当しない場合、データ輸入者は、データ主体にその目的、受領者の身元、および適切なデータ保護セーフガードの欠如に起因する当該データ主体への当該データ転送の可能なリスクを通知した上で、特定の状況におけるデータ転送について、データ主体から明示的な同意を得たものとします。この場合、データ輸入者はデータ輸出者に通知し、データ輸出者の要求があれば、 データ主体に提供した情報のコピーをデータ輸出者に送付するものとします。
上方へのデータ転送は、データ輸入者が本条項に基づく他のすべての保護措置、特に目的 の制限を遵守することを条件とします。

8.8 データ輸入者の権限に基づく処理
データ輸入者は、処理者を含むその権限に基づいて行動する者が、その指示に基づ いてのみデータを処理することを保証するものとする。

8.9 文書化および遵守
（a）各当事者は、本条項に基づく義務の遵守を証明できるものとする。特に、データ輸入者は、その責任の下で実行された処理活動に関する適切な文書 を保管するものとする。
(b) データ輸入者は、要求があった場合には、管轄の監督当局に当該文書を提供す るものとする。

モジュール 2管理者から処理者への転送
8.1 指示
(a) データ輸入者は、データ輸出者からの文書化された指示にのみ基づいて個人データを処理 するものとします。データ輸出者は契約期間中、そのような指示を与えることができる。
(b) データ輸入者は、その指示に従うことができない場合は、データ輸出者にただち に通知するものとします。

8.2 目的の制限
データ輸入者は、データ輸出者の更なる指示がない限り、契約書および PDH Annex に規定された特定の移転目的のためにのみ個人データを処理するものとする。

8.3 透明性
データ輸出者は、要求があれば、データ対象者が無料で利用できるように本条項の コピーを作成するものとする。PDH 付属書に記載された措置および個人情報を含む、業務上の秘密またはその他の機密情報 を保護するために必要な範囲において、データ輸出者は、本契約の本文および PDH 付属書のコピーを共有する前に、本条項の本文の一部を編集することができるものとし ますが、データ対象者がその内容を理解することまたはその権利を行使することができない 場合には、意味のある要約を提供するものとします。要求があれば、両当事者は、冗長化された情報を明らかにすることなく、可能な限 り、冗長化の理由をデータ当事者に提供するものとする。本条項は、規則（EU）2016/679の第13条および第14条に基づくデータ輸出者の義務を損なうものではありません。

8.4 正確性
データ輸入者は、受領した個人データが不正確であること、または古くなっているこ とを認識した場合、データ輸出者に過度の遅滞なく通知するものとする。この場合、データ輸入者はデータ輸出者と協力してデータの消去または修正 を行うものとします。

8.5 処理期間およびデータの消去または返却
データ輸入者による処理は、本契約および PDH 付属書で指定された期間のみ行われるものとする。処理サービスの提供終了後、データ輸入者は、データ輸出者の選択により、データ輸出者のために処理されたすべての個人データを消去し、その旨をデータ輸出者に証明するか、またはデータ輸出者のために処理されたすべての個人データをデータ輸出者に返却し、既存のコピーを消去するものとします。データが削除または返却されるまでは、データ輸入者は引き続き本条項を遵守するものとします。データ輸入者に適用される現地の法律が個人データの返却または削除を禁止している場合、データ輸入者は引き続き本条項を遵守することを保証し、当該現地の法律で義務付けられている範囲および期間のみ個人データを処理するものとします。これは、第 14 条、特に第 14 条(e)に基づくデータ輸入者が、第 14 条(a)に基づく要件と一致しない法律または慣行の適用を受ける、または受けるようになったと信じるに足る理由がある場合、契約期間中を通じてデータ輸出者に通知するという要件を損なうものではありません。

8.6 処理のセキュリティ
(a) データ輸入者及びデータ転送中はデータ輸出者は、偶発的又は不法なデータ の破壊、紛失、改ざん、無許可の開示又はデータへのアクセス（以下「個人データの侵害」とい う）につながるセキュリティの侵害からの保護を含む、データのセキュリティを確保するための 適切な技術的及び組織的措置を実施するものとする。適切なセキュリティ・レベルを評価する際、両当事者は、技術的な状況、実装のコスト、処理の性質、範囲、文脈および目的、ならびにデータ対象者の処理に伴うリスクを十分に考慮するものとする。両当事者は、特に、処理の目的がそのような方法で達成され得る場合には、送信中も含め、暗号化または仮名化を利用することを検討するものとする。偽名処理の場合、個人データを特定のデータ対象者に帰属させるための追加情報は、 可能な限り、データ輸出者の排他的管理下に置かれるものとする。本項に基づく義務を履行する場合、データ輸入者は少なくとも PDH 付 属書に規定された技術的および組織的措置を実施しなければならない。
(b) データ輸入者は、契約の履行、管理および監視のために厳密に必要な範囲に限り、 その従業員に個人データへのアクセスを許可するものとする。
(c) データ輸入者は、本条項に基づいてデータ輸入者が処理した個人情報の漏えいが 発生した場合、その悪影響を軽減する措置を含む、漏えいに対処するための適切な措置 を講じるものとします。また、データ輸入者は、違反に気づいた後、過度な遅滞なくデータ輸出者に通知するものとします。この通知には、詳細情報を入手できる連絡先の詳細、情報漏えいの性質（可能であれば、関係するデータ主体および個人データ記録のカテゴリーとおおよその数を含む）の説明、予想される結果、および適切な場合には、起こりうる悪影響を軽減するための措置を含む、情報漏えいに対処するために講じられた、または提案された措置を含むものとする。
(d) データ輸入者は、データ輸出者が規則(EU)2016/679 に基づく義務、特に管轄監督当局およ び影響を受けるデータ主体への通知を遵守できるよう、処理の性質およびデータ輸入者が 入手可能な情報を考慮して、データ輸出者に協力し支援するものとする。

8.7 センシティブデータ
人種的または民族的出身、政治的意見、宗教的または哲学的信条、または労働 組合員であることを明らかにする個人データ、遺伝子データ、または自然人を一意に 識別するためのバイオメトリクスデータ、健康、性生活または性的指向に関するデータ、 または前科および犯罪に関するデータ（以下「センシティブデータ」という。

8.8 上方移転
データ輸入者は、データ輸出者からの文書化された指示に基づいてのみ、個人デー タを第三者に開示するものとする。さらに、データは、第三者が適切なモジュールの下で、本条項に拘束されること に同意している場合、または以下の場合に限り、欧州連合(4)域外にある第三者（データ輸入者と 同一の国または別の第三国、以下「転送先」）に開示することができます：
(i) 前方移転が、前方移転をカバーする規則（EU）2016/679 の第 45 条に従った適切性決定の恩恵を受けている国への移転である場合、
(ii) 第三者が、問題の処理に関して、規則（EU）2016/679 の第 46 条または第 47 条に従った適切な保護措置をその他の方法で確保している場合；
(iii) 特定の行政手続、規制手続または司法手続に関連する法的請求の確立、行使または弁護のために転送が必要である場合、または
(iv) データ主体または他の自然人の重大な利益を保護するために転送が必要である場合。
データ転送は、データ輸入者が本条項に基づく他のすべての保護措置、特に目的 の制限を遵守することを条件とします。

8.9 文書化および遵守
（a）データ輸入者は、本条項に基づく処理に関連するデータ輸出者からの問い合わせに、 速やかかつ適切に対応するものとする。
（b）両当事者は、本条項の遵守を証明できるものとする。
(c) データ輸入者は、データ輸出者が本条項に定める義務を遵守していることを証明す るために必要なすべての情報をデータ輸出者に提供するものとし、データ輸出者の要 請に応じて、合理的な間隔で、または不遵守の兆候がある場合に、本条項が対象と する処理活動の監査を許可し、これに貢献するものとします。
(d) データ輸出者は、自ら監査を行うか、または独立した監査人に委任するかを 選択することができます。
(e) 締約国は、(b)項および(c)項に言及された情報（監査の結果を含む）を、管轄監督当局の 要請に応じて提供するものとする。

MODULE THREE: 処理者から処理者への転送
8.1 指示
(a) データ輸出者は、データ輸入者に対して、データ輸出者が処理前にデータ輸入者に 提供しなければならない管理者の指示の下で処理者として行動することを通知しています。
(b) データ輸入者は、データ輸出者からデータ輸入者に通知された管理者からの文書化された 指示、およびデータ輸出者からの文書化された追加指示に基づいてのみ、個人データを 処理するものとします。かかる追加の指示は、管理者からの指示と矛盾してはならない。管理者またはデータ輸出者は、契約期間中、データ処理に関してさらに文書化された指示を与えることができる。
(c) データ輸入者は、その指示に従うことができない場合は、データ輸出者に 直ちに通知するものとする。
(d) データ輸出者は、管理者とデータ輸出者との間の契約または連合法もしくは加盟国法に基づくその他の法律行為に規定されているのと同じデータ保護義務をデータ輸入者に課していることを保証するものとします(5)。

8.2 目的の制限
データ輸入者は、データ輸出者からデータ輸入者に通知された、またはデータ輸 出者からデータ輸入者に通知された、管理者からの更なる指示がない限り、契約および PDH 付属書に規定された特定の転送目的のためにのみ個人データを処理するものとします。

8.3 透明性
データ輸出者は、要求があった場合、データ対象者に対して本条項のコピーを 無料で提供するものとする。データ輸出者は、個人情報を含む企業秘密またはその他の機密情報を保護するために必 要な範囲で、コピーを共有する前に本契約および PDH 付属書の本文の一部を編集することができ ますが、データ対象者がその内容を理解することまたはその権利を行使することができな い場合には、意味のある要約を提供するものとします。要求があった場合、両当事者は、冗長化された情報を明らかにすることなく、可能な範囲で、冗長化の理由をデータ当事者に提供するものとする。

8.4 正確性
データ輸入者は、受領した個人データが不正確であること、または古くなっているこ とを認識した場合、データ輸出者に過度の遅滞なく通知するものとする。この場合、データ輸入者はデータ輸出者と協力してデータの修正または消去を行うものとします。

8.5 処理期間およびデータの消去または返却
データ輸入者による処理は、契約書および PDH 付属書で指定された期間のみ行われるものとする。処理サービスの提供が終了した後、データ輸入者は、データ輸出者の選択により、管理者のために処理されたすべての個人データを消去し、その旨をデータ輸出者に証明するか、または管理者のために処理されたすべての個人データをデータ輸出者に返却し、既存のコピーを消去するものとします。データが削除または返却されるまで、データ輸入者は引き続き本条項を遵守するものとします。データ輸入者に適用される現地の法律が個人データの返却または削除を禁止している場合、データ輸入者は引き続き本条項を遵守し、当該現地の法律で義務付けられている範囲内および期間においてのみ個人データを処理することを保証するものとします。これは、第 14 条、特に第 14 条(e)に基づくデータ輸入者が、第 14 条(a)に基づく要件と一致しない法律または慣行の適用を受ける、または受けるようになったと信じるに足る理由がある場合、契約期間中を通じてデータ輸出者に通知するという要件を損なうものではありません。

8.6 処理のセキュリティ
(a) データ輸入者及びデータ転送中はデータ輸出者も、偶発的または不法なデータ の破壊、紛失、改ざん、無許可の開示またはデータへのアクセス（以下「個人データの侵害」） につながるセキュリティ違反からの保護を含む、データのセキュリティを確保するための 適切な技術的及び組織的措置を実施するものとする。適切なセキュリティ・レベルを評価する際には、両当事者は、技術的な状況、実装のコスト、処理の性質、範囲、文脈および目的、ならびにデータ対象者の処理に伴うリスクを十分に考慮するものとする。両当事者は、特に、処理の目的がそのような方法で達成され得る場合には、伝送中も含め、暗号化または仮名化を利用することを検討するものとする。偽名処理の場合、個人データを特定のデータ対象者に帰属させるための追加情報は、 可能な限り、データ輸出者または管理者の排他的管理下に置かれるものとする。本項に基づく義務を履行する場合、データ輸入者は少なくとも PDH 付 属書に規定された技術的および組織的措置を実施しなければならない。
(b) データ輸入者は、契約の履行、管理および監視のために厳密に必要な範囲に限り、 その従業員にデータへのアクセスを許可するものとする。
(c) データ輸入者は、本条項に基づいてデータ輸入者によって処理された個人情報に ついて個人情報漏えいが発生した場合、その悪影響を軽減する措置を含む、漏えいに対 処するための適切な措置を講じるものとします。データ輸入者はまた、違反に気づいた後、データ輸出者、および適切かつ実行可能な場合は管理者に、過度な遅滞なく通知するものとします。この通知には、詳細情報を入手できる連絡先の詳細、情報漏えいの性質（可能な場合、関係するデータ主体および個人データ記録のカテゴリーおよびおおよその数を含む）、その起こりうる結果、およびデータ漏えいに対処するために講じられた、または提案された措置（その起こりうる悪影響を軽減するための措置を含む）を含むものとする。
(d) データ輸入者は、データ輸出者が規則(EU)2016/679 に基づく義務を遵守できるように、データ輸出者に協力し、これを支援するものとする。特に、データ輸入者が処理の性質および入手可能な情報を考慮して、データ輸出者が管轄監督当局および影響を受けるデータ主体に通知できるように、その管理者に通知するものとする。

8.7 機微（センシティブ）データ
人種的もしくは民族的出身、政治的意見、宗教的もしくは哲学的信条、または労働 組合員であることを明らかにする個人データ、遺伝子データ、または自然人を一意に識別 することを目的とするバイオメトリクスデータ、健康、性生活もしくは性的指向に関するデータ、 または前科および犯罪に関するデータ（以下「機微（センシティブ）データ」という。

8.8 上方移転
データ輸入者は、データ輸出者からデータ輸入者に通知された管理者の文書化された 指示に基づいてのみ、個人データを第三者に開示するものとする。さらに、データは、第三者が適切なモジュールのもとで、本条項に拘束されること に同意している場合、または以下の場合に限り、欧州連合(6)域外にある第三者（データ輸入者と 同一の国または別の第三国、以下「転送先」）に開示することができます：
(i) 前方移転が、当該前方移転を対象とする規則（EU）2016/679 の第 45 条に基づく適切性決定の恩恵を受けている国への移転である場合、
(ii) 第三者が規則（EU）2016/679 の第 46 条または第 47 条に従って適切な保護措置を確保する場合；
(iii) 特定の行政、規制、または司法手続きに関連する法的請求の確立、行使、または弁護のために転送が必要である場合、または
(iv) データ対象者または他の自然人の重大な利益を保護するために転送が必要である場合。
データ転送は、データ輸入者が本条項に基づく他のすべての保護措置、特に目的 の制限を遵守することを条件とします。

8.9 文書化および遵守
（a）データ輸入者は、データ輸出者または管理者からの、本条項に基づく処理に関 する問い合わせに迅速かつ適切に対応するものとする。
（b）両当事者は、本条項の遵守を証明できるものとする。
(c) データ輸入者は、本条項に定める義務の遵守を証明するために必要なすべての情 報をデータ輸出者が入手できるようにするものとし、データ輸出者はこれを管理者に提 供するものとします。
(d) データ輸入者は、合理的な間隔で、または不遵守の兆候がある場合に、 データ輸出者による本条項に定める処理活動の監査を許可し、これに貢献するものとしま す。データ輸出者が管理者の指示により監査を要求する場合も同様とします。
(e) 管理者の指示により監査が実施される場合、データ輸出者はその結果を管理者に提供 するものとします。
(f) データ輸出者は、自ら監査を実施するか、または独立した監査人に委任 するかを選択することができます。
(g) 当事者は、(b)および(c)項に記載された情報（監査結果を含む）を、管轄の監督当局の 要請に応じて利用できるようにするものとする。

MODULE FOUR: Transfer Processor to Controller
8.1 指示
(a) データ輸出者は、その管理者として行動するデータ輸入者からの文書化された指示 に基づいてのみ個人データを処理するものとします。
(b) データ輸出者は、その指示に従うことができない場合（その指示が規則（EU）2016/679 または他の連合国もしくは加盟国のデータ保護法を侵害する場合を含む）は、直ちにデータ輸入者に通知するものとします。
(c) データ輸入者は、データ輸出者が規則(EU)2016/679に基づく義務を履行することを妨げるような行為を、サブ処理との関連において、または管轄監督当局との協力に関しても含め、一切行わないものとする。
(d) 処理サービスの提供終了後、データ輸出者は、データ輸入者の選択により、データ輸入者のために処理されたすべての個人データを削除し、その旨をデータ輸入者に証明するか、またはデータ輸入者のために処理されたすべての個人データをデータ輸入者に返却し、既存のコピーを削除するものとします。

8.2 処理の安全性
(a)両当事者は、送信中を含むデータの安全性、及び偶発的又は不法な破壊、 紛失、改ざん、不正な開示又はアクセス（以下「個人データの侵害」）につながる安全性の 侵害からの保護を確保するために、適切な技術的及び組織的措置を実施するものとする。適切なセキュリティのレベルを評価する際には、技術的な状況、実施に要する費用、個人デー タの性質(7)、処理の性質、範囲、文脈および目的、ならびにデータ主体にとっての処理に 伴うリスクを十分に考慮するものとし、特に、処理の目的がそのような方法で達成され得る場合には、 送信中を含め、暗号化または仮名化を利用することを検討するものとする。
(b)データ輸出者は、(a)項に従ったデータの適切なセキュリティを確保するために、 データ輸入者を支援するものとする。本条項に基づいてデータ輸出者によって処理された個人データに関して個人情報漏えいが 発生した場合、データ輸出者はそれを認識した後、過度の遅滞なくデータ輸入者に通知し、 データ輸入者がその漏えいに対処するのを支援するものとします。
(c) データ輸出者は、個人データを処理する権限を与えられた者が守秘義務を負うか、 または適切な法的守秘義務を負っていることを保証するものとします。

8.3 文書化および遵守
（a）両当事者は、本条項を遵守していることを証明できるものとする。
（b）データ輸出者は、本条項に基づく義務の遵守を証明するために必要なすべての情報をデータ輸入者に提供し、 監査を許可し、監査に貢献するものとする。

第9条サブプロセッサーの使用

モジュール 2
(a) 書面による一般的な承認 データ輸入者は、合意されたリストからサブプロセッサーを選択することについて、 データ輸出者の一般的な承認を得ている。データ輸入者は、サブプロセッサーの追加または交換を通 じたリストの変更について、少なくとも 7 日前までにデータ輸出者に書面 で通知するものとし、これにより、データ輸出者がサブプロセッサーの 契約前にそのような変更に反対できる十分な時間を与えるものとする。
(b) データ輸入者が（データ輸出者に代わって）特定の処理活動を実行するためにサブ プロセッサを雇用する場合、データ主体の第三者受益権の面を含め、実質的に本条項に基づいて データ輸入者を拘束する義務と同じデータ保護義務を規定する書面による契約によってこれを 行なうものとします。(8) 両当事者は、本条項を遵守することにより、データ輸入者が第 8.8 条に基づく義務を 果たすことに同意するものとします。
(c) データ輸入者は、データ輸出者の要求に応じて、かかるサブプロセッサー 契約およびその後の変更のコピーをデータ輸出者に提供するものとします。業務上の秘密または個人情報を含むその他の機密情報を保護するために必要な限 り、データ輸入者はコピーを共有する前に契約書の本文を修正することができる。
(d) データ輸入者は、データ輸入者との契約に基づくサブプロセッサの義務の履行につい て、データ輸出者に対して引き続き全責任を負うものとする。
(e) データ輸入者は、データ輸入者が事実上消滅した場合、法律上存在しなくなった場合、 または支払不能になった場合、データ輸出者がサブプロセッサーとの契約を終了し、 サブプロセッサーに個人データの消去または返却を指示する権利を有する第三者受益条 項をサブプロセッサーと合意するものとします。
MODULE THREE: 処理者から処理者への転送
(a) 書面による一般的承認 データ輸入者は、合意されたリストからサブ処理者と契約するための管理者の一般的 承認を得るものとする。データ輸入者は、サブプロセッサーの追加または交換によるリストの変更について、少なくとも 7 日前までに管理者に書面で通知するものとします。データ輸入者は、管理者が異議を申し立てる権利を行使するために必要な情報を管理者に提供するものとします。
(b) データ輸入者が（管理者に代わって）特定の処理活動を実施するためにサブ プロセッサを雇用する場合、データ主体の第三者受益権の観点も含め、実質的に本条項 に基づきデータ輸入者を拘束する義務と同じデータ保護義務を規定する書面による契約 によってこれを行うものとします。(9) 両当事者は、本条項を遵守することにより、データ輸入者が第 8.8 条に基づく義務を 果たすことに同意するものとします。
(c) データ輸入者は、データ輸出者または管理者の要求に応じて、当該サブ プロセッサ契約およびその後の変更のコピーを提供するものとします。
(d) データ輸入者は、データ輸出者に対し、データ輸入者との契約に基づくサブプロセ ッサの義務の履行について引き続き全責任を負うものとします。
(e) データ輸入者は、データ輸入者が事実上消滅した場合、法律上存在しなくなった場合、または支払不能になった場合、データ輸出者がサブプロセッサー契約を解除し、サブプロセッサーに個人データの消去または返却を指示する権利を有する第三者受益者条項をサブプロセッサーと合意するものとします。

第10条データ主体の権利

MODULE ONE: Transfer controller to controller
(a) The data importer, where relevant with the assistance of the data exporter, shall deal with any enquiries and requests it receives from a data subject relating to the processing of his/her personal data and the exercise of his/her rights under these Clauses without undue delay and at the latest within one month of the receipt of the enquiry or request. (10) The data importer shall take appropriate measures to facilitate such enquiries, requests and the exercise of data subject rights. Any information provided to the data subject shall be in an intelligible and easily accessible form, using clear and plain language.
(b) In particular, upon request by the data subject the data importer shall, free of charge:
(i) provide confirmation to the data subject as to whether personal data concerning him/her is being processed and, where this is the case, a copy of the data relating to him/her and the information in the PDH Annex or the Agreement; if personal data has been or will be onward transferred, provide information on recipients or categories of recipients (as appropriate with a view to providing meaningful information) to which the personal data has been or will be onward transferred, the purpose of such onward transfers and their ground pursuant to Clause 8.7; and provide information on the right to lodge a complaint with a supervisory authority in accordance with Clause 12(c)(i);
(ii) rectify inaccurate or incomplete data concerning the data subject;
(iii) erase personal data concerning the data subject if such data is being or has been processed in violation of any of these Clauses ensuring third-party beneficiary rights, or if the data subject withdraws the consent on which the processing is based.
(c) Where the data importer processes the personal data for direct marketing purposes, it shall cease processing for such purposes if the data subject objects to it.
(d) The data importer shall not make a decision based solely on the automated processing of the personal data transferred (hereinafter ‘automated decision’), which would produce legal effects concerning the data subject or similarly significantly affect him/her, unless with the explicit consent of the data subject or if authorised to do so under the laws of the country of destination, provided that such laws lays down suitable measures to safeguard the data subject’s rights and legitimate interests. In this case, the data importer shall, where necessary in cooperation with the data exporter:
(i) inform the data subject about the envisaged automated decision, the envisaged consequences and the logic involved; and
(ii) implement suitable safeguards, at least by enabling the data subject to contest the decision, express his/her point of view and obtain review by a human being.
(e) Where requests from a data subject are excessive, in particular because of their repetitive character, the data importer may either charge a reasonable fee taking into account the administrative costs of granting the request or refuse to act on the request.
(f) The data importer may refuse a data subject’s request if such refusal is allowed under the laws of the country of destination and is necessary and proportionate in a democratic society to protect one of the objectives listed in Article 23(1) of Regulation (EU) 2016/679.
(g) If the data importer intends to refuse a data subject’s request, it shall inform the data subject of the reasons for the refusal and the possibility of lodging a complaint with the competent supervisory authority and/or seeking judicial redress.
MODULE TWO: Transfer controller to processor
(a) The data importer shall promptly notify the data exporter of any request it has received from a data subject. It shall not respond to that request itself unless it has been authorised to do so by the data exporter.
(b) The data importer shall assist the data exporter in fulfilling its obligations to respond to data subjects’ requests for the exercise of their rights under Regulation (EU) 2016/679. In this regard, the Parties shall set out in the PDH Annex the appropriate technical and organisational measures, taking into account the nature of the processing, by which the assistance shall be provided, as well as the scope and the extent of the assistance required.
(c) In fulfilling its obligations under paragraphs (a) and (b), the data importer shall comply with the instructions from the data exporter.
MODULE THREE: Transfer processor to processor
(a) The data importer shall promptly notify the data exporter and, where appropriate, the controller of any request it has received from a data subject, without responding to that request unless it has been authorised to do so by the controller.
(b) The data importer shall assist, where appropriate in cooperation with the data exporter, the controller in fulfilling its obligations to respond to data subjects’ requests for the exercise of their rights under Regulation (EU) 2016/679 or Regulation (EU) 2018/1725, as applicable. In this regard, the Parties shall set out in the PDH Annex the appropriate technical and organisational measures, taking into account the nature of the processing, by which the assistance shall be provided, as well as the scope and the extent of the assistance required.
(c) In fulfilling its obligations under paragraphs (a) and (b), the data importer shall comply with the instructions from the controller, as communicated by the data exporter.
MODULE FOUR: Transfer processor to controller
The Parties shall assist each other in responding to enquiries and requests made by data subjects under the local law applicable to the data importer or, for data processing by the data exporter in the EU, under Regulation (EU) 2016/679.

第11条救済

(a) データ輸入者は、個別通知またはそのウェブサイトを通じて、苦情を処理する 権限のある窓口を、透明性がありアクセスしやすい形式でデータ当事者に知らせな ければならない。データ輸入者はデータ主体から苦情を受けた場合、速やかに対処するものとする。
MODULE ONE：管理者から管理者への移転
MODULE TWO：
MODULE THREE: 処理者から処理者への移転
(b) 本条項の遵守に関して、データ主体と一方の当事者との間で紛争が生じた場 合、当該当事者は、適時に問題を友好的に解決するために最善の努力を払うものと します。
(c) データ主体が第 3 条に従って第三者受益権を行使する場合、データ輸入者はデータ主体 の決定を受け入れるものとします。
(i) データ主体が常居所地もしくは勤務する加盟国の監督当局、または第 13 条に従って管轄監督当局に苦情を申し立てる；
(ii) 第 18 条の意味において管轄裁判所に紛争を付託する。
(d) 両当事者は、データ対象者が規則（EU）2016/679 の第 80 条(1)に規定される条件の下で、非営利団体、組織または団体に よって代理される可能性があることを承諾するものとします。
(e) データ輸入者は、適用される EU または加盟国の法律に基づき拘束力を有する決定に従うものとします。
(f) データ輸入者は、データ対象者が行った選択が、適用される法律に従って救済を 求めるデータ対象者の実体上および手続き上の権利を損なわないことに同意するものとします。

第12条責任

第1モジュール
MODULE FOUR: Transfer Processor to Controller
(a) 各当事者は、本条項の違反によって他方の当事者または当事者に与えた損害につい て、他方の当事者または当事者に責任を負うものとします。
(b) 各当事者は、本条項に基づく第三者の受益者の権利に違反することによって、 当事者がデータ主体に与えた重大または非重要な損害について、データ主体に対 して責任を負うものとし、データ主体は補償を受ける権利を有するものとします。これは、規則（EU）2016/679 に基づくデータ輸出者の責任を損なうものではありません。
(c) 本条項違反の結果としてデータ主体に生じた損害について複数の当事者が責任を負う場合、すべての責任当事者は連帯して責任を負うものとし、データ主体はこれらの当事者のいずれに対しても裁判所に訴訟を提起する権利を有します。
(d) 当事者は、当事者の一方が(c)項に基づき責任を負う場合、損害に対する責任に対応 する補償の一部を他の当事者に請求する権利を有することに同意するものとします。
(e) データ輸入者は、自らの責任を回避するために処理者またはサブ処理者の行為を援用 することはできません。
MODULE TWO：
MODULE THREE: 処理業者から処理業者への転送
(a) 各当事者は、本条項の違反によって相手側当事者に与えた損害について、相手側当事者に 対して責任を負うものとします。
(b) データ輸入者は、データ輸入者またはそのサブ処理業者が本条項に基づく 第三者受益権に違反することによってデータ主体に与えた重大または非重要な損害に ついて、データ主体に対して責任を負うものとし、データ主体は補償を受ける権利を有 するものとします。
(c) (b)項にかかわらず、データ輸出者は、データ対象者に対して、データ輸出 者またはデータ輸入者（またはそのサブプロセッサー）が本条項に基づく第三者受益 権に違反することによってデータ対象者に与えた重大または非物質的な損害につい て責任を負うものとし、データ対象者は補償を受ける権利を有するものとします。これは、データ輸出者の責任、およびデータ輸出者が管理者の代理を務める処理者である場合、規則（EU）2016/679または規則（EU）2018/1725（該当する場合）に基づく管理者の責任を損なうものではありません。
(d) データ輸入者（またはそのサブ処理者）によって生じた損害についてデータ輸出者が第(c)項に基づく責任を負う場合、データ輸入者の損害に対する責任に対応する補償金の一部をデータ輸入者に返還請求する権利を有することに、両当事者は同意するものとします。
(e) 本条項違反の結果としてデータ対象者に生じた損害について複数の当事者が責 任を負う場合、すべての責任当事者は連帯して責任を負うものとし、データ対象 者はこれらの当事者のいずれに対しても裁判所に訴訟を提起する権利を有する。
(f) 当事者は、一方の当事者が(e)項に基づき責任を負う場合、他方の当事者に対 し、損害に対する自己の責任に対応する補償の一部を請求する権利を有することに同意するも のとします。
(g) データ輸入者は、自己の責任を回避するためにサブプロセッサーの行為を援用 することはできません。

第13条監督

モジュール1管理者から管理者への移転
MODULE 2：
MODULE THREE: 処理者から処理者への移転
(a) [データ輸出者が EU 加盟国に設立されている場合:] データ輸出者によるデータ移転に関する規則(EU) 2016/679 の遵守を確保する責任を有する監督当局は、付録 I に示されるとおり、管轄監督当局として行動するものとする。
[データ輸出者がEU加盟国に設立されていないが、規則(EU)2016/679の第3条(2)に従って規則(EU)2016/679の適用範囲内にあり、規則(EU)2016/679の第27条(1)に従って代表者を任命している場合]。
[データ輸出者がEU加盟国に設立されていないが、規則(EU)2016/679の第27条(2)に従って代表者を任命することなく、規則(EU)2016/679の第3条(2)に従って規則(EU)2016/679の適用範囲に含まれる場合]。
(b) データ輸入者は、本条項の遵守を確保するためのあらゆる手続きにおいて、管轄 監督当局の管轄に服し、管轄監督当局に協力することに同意するものとします。特に、データ輸入者は、照会に応じ、監査に応じ、是正措置および補償措置を含む監督当局が採用した措置を遵守することに同意するものとします。データ輸入者は、監督当局に対し、必要な措置が講じられたことを書面で確認するものとします。

セクション III - 現地の法律および公的機関によるアクセスの場合の義務

第14条本条項の遵守に影響を及ぼす現地の法律および慣行

モジュール1コントローラをコントローラに転送する
MODULE TWO：管理者から処理者への移転
MODULE THREE: 処理者から処理者への移転
MODULE FOUR：処理者から管理者への移転（EU 域内の処理者が第三国の管理者から受領した個人データを EU 域内の処理者が収集した個人データと結合する場合）
(a) 両当事者は、データ輸入者による個人データの処理に適用される第三国の法律および慣行（個 人データの開示要件または公的機関によるアクセスを許可する措置を含む）が、データ輸入者が本条項 に基づく義務を履行することを妨げると信じるに足る理由がないことを保証します。これは、基本的権利及び自由の本質を尊重し、規則（EU）2016/679 の第 23 条(1)に列挙された目的の 1 つを保護するために民主主義社会において必要かつ適切な範囲を超えない法律及び慣行は、本条項と矛盾しないという理解に基づくものである。
(b) 両当事者は、(a)項の保証を提供するにあたり、特に以下の要素を十分に考慮したことを宣言する：
(i) 処理連鎖の長さ、関与する関係者の数及び使用される転送経路を含む、転送の具体的な状況、意図される転送先、受領者のタイプ、処理の目的、転送される個人データのカテゴリー及び形式、転送が行われる経済分野、転送されるデータの保管場所；
(ii) 第三国における移転先の法律および慣行（公的機関へのデータ開示を要求 するもの、または当該当局によるアクセスを許可するものを含む）-移転の具体的な 状況に照らして関連するもの、および適用される制限および保護措置(12)、
(iii) 本条項に基づく保護措置を補完するために導入された関連する契約上、技術上、ま たは組織上の保護措置（移転中および移転先での個人データの処理に適用される措置を 含む）。
(c) データ輸入者は、(b)項に基づく評価を実施する際に、データ輸出者に関連情報を提 供するために最善の努力をしたことを保証し、本条項の遵守を確保するためにデータ輸出 者と引き続き協力することに同意するものとします。
(d) 両当事者は、(b)項に基づく評価を文書化し、要求があれば管轄の監督当局に提 供することに同意するものとします。
(e) データ輸入者は、本条項に同意した後、契約の期間中、第三国の法律の変更、または (a) 項の要件に沿わない当該法律の実際の適用を示す措置（開示要求など）の後を含め、(a) 項の要件に沿わない法律または慣行の適用を受ける、または受けるようになったと信じるに足る理由がある場合は、速やかにデータ輸出者に通知することに同意するものとします。[モジュール 3 の場合：
(f) (e)項に従った通知の後、またはデータ輸出者がデータ輸入者が本条項に基づく 義務を履行できなくなったと信じるに足る理由がある場合、データ輸出者はその状況に対処す るためにデータ輸出者および/またはデータ輸入者が採用すべき適切な措置（セキュリ ティおよび機密保持を確保するための技術的または組織的な措置など）を速やかに特定す るものとします［モジュール 3 の場合：適切であれば、管理者と協議の上］。データ輸出者は、データ移転のための適切な保護措置が確保されないと判断した場合、または [モジュール 3 の場合: 管理者または] 管轄監督当局からそのように指示された場合、データ移転を停止するものとします。この場合、データ輸出者は、本条項に基づく個人データの処理に関する限り、契約を終了する権利を有するものとします。契約が2つ以上の当事者にまたがる場合、データ輸出者は、当事者間で別段の合意がない限り、関連する当事者に関してのみこの契約解除権を行使することができます。本条項に従って契約が解除される場合、第16条(d)および(e)が適用されるものとします。

条項 15.公的機関によるアクセスの場合のデータ輸入者の義務

モジュール1管理者から管理者への移転
MODULE 2：
MODULE THREE: 処理者から処理者への移転
MODULE FOUR: 処理者から管理者への移転（EUの処理者が、第三国の管理者から受領した個人データを、EU内の処理者が収集した個人データと結合する場合）。

15.1 通知
(a) データ輸入者は、以下の場合、データ輸出者、および可能な場合はデータ主体 に（必要に応じてデータ輸出者の協力を得て）速やかに通知することに同意する：
(i) 本条項に従って移転された個人データの開示について、仕向け地国の法律に基 づき、司法当局を含む公的機関から法的拘束力のある要請を受けた場合。当該通 知には、要請された個人データ、要請機関、要請の法的根拠および提供された回答 に関する情報を含むものとする。または
(ii) 本条項に従って移転された個人データへの、仕向け地国の法律に基づ く公的機関による直接アクセスを知った場合。
[モジュール 3 の場合：データ輸出者はこの通知を管理者に転送するものとする。］
(b) データ輸入者がデータ輸出者および／またはデータ主体に通知することを仕向け地 の国の法律で禁じられている場合、データ輸入者は、可能な限り早く、可能な限 り多くの情報を伝達することを目的として、その禁止の免除を得るために最善の努力 を払うことに同意する。
(c) 仕向地の国の法律で許可されている場合、データ輸入者はデータ輸出者に対 し、契約期間中定期的に、受け取った要求に関する可能な限りの関連情報（特に、要 求の数、要求されたデータの種類、要求する機関／国、要求に対する異議申し立ての有無 およびその結果など）を提供することに同意する。[モジュール 3 の場合：
(d) データ輸入者は、契約期間中(a)から(c)項に従った情報を保存し、要求があれば管轄の監督当局に 提供することに同意するものとします。
(e) (a)から(c)項は、第 14 条(e)および第 16 条に従ったデータ輸入者の、これらの条項を 遵守できない場合にデータ輸出者に速やかに通知する義務を損なうものではありません。

15.2 適法性の検討およびデータの最小化
(a) データ輸入者は、開示要求の合法性、特にそれが要求元の公的機関に与えられた 権限の範囲内にあるかどうかを検討し、慎重に検討した結果、その要求が仕向け 国の法律、国際法の下で適用される義務、および国際衡平法上の原則の下で非合法であ ると考える合理的な根拠があると結論付けた場合には、その要求に異議を申し立てることに 同意します。データ輸入者は、同じ条件下で、上訴の可能性を追求するものとする。要請に異議を申し立てる場合、データ輸入者は、管轄の司法当局がその是非を決定するまで、要請の効果を停止することを目的とした暫定措置を求めるものとする。データ輸入者は、適用される手続規則に基づいて要求されるま で、要求された個人データを開示してはならない。これらの要件は、第 14 条(e)に基づくデータ輸入者の義務を損なうものではありません。
(b) データ輸入者は、その法的評価および開示要求に対する異議申し立てを文書化し、仕向け 国の法律で許される範囲で、その文書をデータ輸出者が利用できるようにすることに同意します。また、要求があれば管轄の監督当局にも提供するものとする。[モジュール 3 の場合：
(c) データ輸入者は、開示要求に応じる際、要求の合理的な解釈に基づき、許容され る最小限の情報を提供することに同意する。

第4節 - 最終規定

第16条条項の不履行および解除

(a) データ輸入者は、理由の如何を問わず、本条項を遵守することができない場合は、 速やかにデータ輸出者に通知するものとします。
(b) データ輸入者が本条項に違反した場合、または本条項を遵守できない場合、 データ輸出者は、遵守が再度確保されるか、または契約が解除されるまで、データ 輸入者への個人データの転送を停止するものとします。これは第 14 条(f)を損なうものではありません。
(c) データ輸出者は、本条項に基づく個人データの処理に関する限り、以下の場合に契約を 終了する権利を有するものとします：
(i) データ輸出者が(b)項に従ってデータ輸入者に対する個人データの転送を一時停止し、合理的な期間内、およびいかなる場合においても一時停止から 1 ヶ月以内に本条項への準拠が回復されない場合、
(ii) データ輸入者が本条項に対して実質的または持続的な違反を犯している場合、または
(iii) データ輸入者が本条項に基づく義務に関して管轄裁判所または監督当局の拘束力のある決定に従わない場合。
これらの場合、データ輸入者は管轄の監督当局［モジュール 3 の場合： および管理者］にそのような不順守を通知するものとします。契約が 2 つ以上の当事者に関係する場合、データ輸出者は、当事者間で別段の合意 がない限り、該当する当事者に関してのみこの解除権を行使することができます。
(d) [モジュール 1、2 および 3 の場合：(c)項に基づく契約の終了前に移転された個人データは、データ輸出者の選択により、直ちにデータ輸出者に返却されるか、またはその全体が削除されるものとします。データのコピーについても同様とする。］[モジュール4：モジュール 4 の場合：データ輸出者が EU 域内で収集した個人データのうち、(c) 項に従っ て契約が終了する前に移転されたものは、そのコピーを含め、直ちにその全体が削除されるものとする。］データ輸入者は、データ輸出者に対し、データの削除を証明するものとする。データが削除または返却されるまで、データ輸入者は引き続き本条項を遵守するものとします。データ輸入者に適用される現地の法律が、移転された個人データの返却または削除を禁止している場合、データ輸入者は、引き続き本条項を遵守し、当該現地の法律で義務付けられている範囲および期間のみデータを処理することを保証するものとします。
(e) いずれの当事者も、(i) 欧州委員会が、本条項が適用される個人データの移転をカバーする規則 (EU) 2016/679 の第 45 条(3)に従った決定を採択した場合、または (ii) 規則 (EU) 2016/679 が個人データの移転先の国の法的枠組みの一部となった場合、本条項に拘束される合意を取り消すことができます。これは、規則（EU）2016/679に基づき当該処理に適用されるその他の義務を損なうものではありません。

第17条（準拠法準拠法

モジュール1管理者から管理者への移転
MODULE TWO：
MODULE THREE: Transfer Processor to Processor
本条項は、第三者の受益権を認めるEU加盟国のいずれかの法律に準拠するものとします。
第四条：処理者から管理者への移転
本条項は、第三者の受益権を認める国の法律に準拠するものとします。両当事者は、これをスペイン法とすることに同意するものとします。

第18条裁判地および管轄権の選択

モジュール1管理者から管理者への移転
第二モジュール：
MODULE THREE: 処理者から処理者への移転
(a) 本条項に起因する紛争は EU 加盟国の裁判所で解決されるものとする。
(b) 両当事者は、スペイン、マドリードの裁判所とすることに合意する。
(
(d) 両当事者は、かかる裁判所の管轄権に服することに同意するものとします。
第四モジュール：処理者から管理者への移転
本条項に起因する紛争は、スペインのマドリッドの裁判所が解決するものとします。