データ処理契約 (DPA)

最終更新日: 2024-09-17

サブプロセッサーページの最終更新日: 2024-05-12

このデータ処理契約(DPA)は、当社があなたに代わって個人データを処理する条件を概説するものです。

このデータ処理契約(契約)は、オンライン請願ホスティングサービス(サービス)を提供する際に、Petitions24 Oy(サービス提供者)が請願作成者(請願作成者またはデータ管理者)に代わって個人データを処理する義務と条件を概説しています。

契約条件の変更

弊社は、事前の通知なしに、いつでもこれらの利用規約を変更または修正する権利を有します。

定義と役割

  • サービス提供者: Petitions.net (Petitions24 Oy) は、データ処理者として、データ管理者のためにサービスを提供するために必要な個人データを処理します。
  • データ管理者: 請願書の著者であり、請願書の署名者から収集された個人データの処理の目的と手段を決定する者。 Petitions.netでホストされている嘆願書の作者として、あなたはデータ管理者と見なされます。 あなたは請願書の内容、署名者に求められる内容、個人データ処理の目的、および個人データの保存期間を決定します。 Petitions.netは、署名運動の作成およびホスティングのためのオンラインプラットフォームを提供し、あなたがデータ管理者としての役割を果たしながら、目的や法的義務に従って署名運動のデータ収集および利用を形作るための自主性を促進します。

処理の範囲

サービスプロバイダーは、データ管理者の指示に基づいてのみ個人データを処理し、サービスを提供するために必要な範囲でのみこれを行います。 処理活動の範囲は、オンライン署名のホスティング、管理、促進に限られています。

データ保護

サービスプロバイダーは、個人データを不正アクセス、紛失、または損害から保護するために、技術的および組織的な対策を実施することを約束します。

Prohibited Data Collection

It is prohibited to request personal identification numbers (such as national ID numbers) from signatories.

転送先処理者

サービス提供者は、サービスの提供を支援するためにサブプロセッサーを従事させることができます。 サービスプロバイダーは、サブプロセッサーが本DPAと一致するデータ保護義務を遵守することを確実にします。 お客様は、サービスプロバイダーがサービスを効率的に提供するために必要に応じてサブプロセッサーを選定し、交替させる裁量を保持していることを認め、同意します。

List of the subprocessors. (最終更新日: 2024-05-12)

データコントローラーの責任

データ管理者は、個人データの収集、処理、および取り扱いがすべての適用される法律および規制に準拠することを保証する責任があります。

データ管理者の識別

一般データ保護規則(GDPR)に基づき、データ管理者の身元を明確にすることが求められます。 当ウェブサイトを利用する請願書作成者に対して、以下の条項が適用されます:

個別の請願作成者

個人として請願を作成する場合は、法的なフルネームを提供する必要があります。 これは、GDPRの目的のためのデータ管理者としてのあなたの身分証明となります。

組織的な請願書作成者

請願が組織の代理で作成される場合、組織の正式な法的名称を提供する必要があります。 さらに、組織はデータ処理活動に責任を持つ代表者、例えばデータ保護責任者(DPO)またはそれに準ずる者を指名し、その連絡先を提供する必要があります。

データ主体の権利

データコントローラは、GDPRに基づいて、データ主体(請願署名者)が、そのデータへのアクセス権、訂正権、または消去権、および監督機関に苦情を申し立てる権利を行使できるようにしなければなりません。

説明責任とコンプライアンス

データ管理者はGDPRへの準拠を示すことができ、個人データに関するデータ主体の要求に対応する必要があります。

プライバシーポリシーまたは通知

個人データの処理方法、処理の目的、データ主体が権利を行使する方法を明示した明確で分かりやすいプライバシーポリシーまたは通知を提供する必要があります。

変更の通知

請願の著者は、データ管理者としてのステータスの変更やその代表者の連絡先の変更について、Petitions.net(Petitions24 Oy) に通知する必要があります。

データ処理の年次レビュー

請願の作成者は、署名者の個人データの処理を継続する正当な理由がまだ存在するかどうかを確認するために、毎年レビューを行う必要があります。 このレビューは、請願の目的に関連してデータの必要性と関連性を評価する必要があります。 もし請願書の著者がデータ処理を継続する妥当な理由がもはや存在しないと判断した場合、彼らは適用されるデータ保護法に従って処理を停止し、データの削除を開始するための適切な手続きを取らなければなりません。

データ保持および削除

データ管理者(請願の著者)がデータ処理契約(DPA)のいずれかの条件に違反した場合、例えば、データ処理活動の年次レビューを実施しなかったり、署名者の個人データの継続的な処理に対する有効な正当化を提供しなかったりした場合、サービス提供者はその請願に関連する個人データを削除または除去する権利を有します。

責任の制限

いかなる場合でも、本契約に基づきデータコントローラーがデータプロセッサーに支払った総額を超えて、契約、不法行為(過失を含む)その他の原因にかかわらず、データプロセッサーがデータコントローラーに対して負う総責任が超えることはありません。

適用法

本契約は、フィンランドの法律に準拠するものとします。