最終更新日: 2024年12月1日
このデータ処理補足契約(「DPA」)は、Black Eagle Group LLC(「Whispie」、「当社」、「私たち」)とお客様(「カスタマー」、「お客様」)との間で、サービスの購入に関する書面または電子的な合意(「本契約」)の一部を構成し、これに従うものです。
このDPAは、データ保護法および規制の要件に従って個人データの処理に関する当事者の合意を反映しています。
このDPAの目的のために、以下の用語は以下に規定する意味を持つものとします:
| 用語 | 定義 |
|---|---|
| データ保護法 | GDPR、UK-GDPR、CCPA/CPRA、KVKK、およびその他のグローバルデータ保護規制を含むすべての適用データ保護およびプライバシー法 |
| 個人データ | 特定された、または特定可能な自然人に関するあらゆる情報 |
| 処理 | 個人データに対して行われるあらゆる操作 |
| データ管理者 | 処理の目的と手段を決定するエンティティ |
| データ処理者 | 管理者に代わって個人データを処理するエンティティ |
| データ主体 | 個人データが関係する個人 |
| サブプロセッサー | 個人データを処理するために処理者が関与するサードパーティ |
Whispieはカスタマーを代理して個人データを処理する場合にデータ処理者として機能します。Whispieは以下を行います:
カスタマーはデータ管理者として機能し、以下に責任を負います:
処理の主題は赤ちゃんと家族のデータ管理サービスを含みます。処理の期間は本契約の期間に対応します。
処理操作には、Whispieサービスを提供する目的のための赤ちゃんの発達データ、健康情報、および家族管理データの収集、保存、分析、および共有が含まれます。
サービスには以下を含む特別カテゴリのデータの処理が含まれます:
Whispieは以下のセキュリティ措置を実施します:
| 措置カテゴリ | 実施内容 |
|---|---|
| 暗号化 | 転送中のデータ(TLS 1.2+)および保存中のデータ(AES-256)の暗号化 |
| アクセス制御 | ロールベースのアクセス、多要素認証、最小権限の原則 |
| ネットワークセキュリティ | ファイアウォール、不正侵入検知、DDoS保護、定期的なセキュリティ評価 |
| 物理的セキュリティ | セキュアなデータセンター、24時間365日の監視、アクセスログ |
| 組織的措置 | 従業員トレーニング、守秘義務契約、セキュリティポリシー |
Whispieはデータ保護法で要求される場合に、データ保護影響評価の実施においてカスタマーに合理的な支援を提供します。
カスタマーは以下のサブプロセッサーを関与させることにWhispieへの一般的な承認を提供します:
| サブプロセッサー | サービス | 所在地 | DPA |
|---|---|---|---|
| Supabase | データベースおよび認証 | 米国 | あり |
| Stripe | 決済処理 | 米国 | あり |
| Twilio | SMS認証 | 米国 | あり |
| Resend | メール配信 | 米国 | リクエストに応じて利用可能 |
| Sentry | エラー監視 | 米国 | あり |
| Cloudflare | DNSおよびセキュリティ | グローバル | あり |
Whispieは以下を行います:
カスタマーはデータ保護に関する合理的な理由で新しいサブプロセッサーの指定に異議を申し立てることができます。Whispieはカスタマーと協力して懸念に対処します。
個人データがEEA、英国、スイス、または十分性要件を持つその他の法域の外に移転される場合、Whispieは適切な保護措置が整っていることを確保します:
Whispieは以下を含む補足措置を実施します:
Whispieは、処理の性質を考慮して、データ保護法に基づくデータ主体のリクエストへの応答に関するカスタマーの義務を果たすために、適切な技術的・組織的措置によりカスタマーを支援します。
Whispieは以下を行います:
Whispieは個人データ侵害を認識した後、不合理な遅延なくカスタマーに通知します。通知には以下を含める必要があります:
Whispieはカスタマーと協力し、各個人データ侵害の調査、軽減、および修復を支援するためにカスタマーが指示する合理的な商業的ステップを踏みます。
カスタマーは年に1回を上限としてWhispieのこのDPAへの準拠を監査することができます。監査は以下に従います:
監査の代わりに、Whispieは以下を提供することができます:
本契約の終了時に、Whispieはカスタマーの選択に応じて、すべての個人データをカスタマーに削除または返却し、適用法がその個人データの保存を要求しない限り既存のコピーを削除します。
個人データは、サービスを提供するために必要な期間のみ、および付属書1に規定された保持期間に従って保持されます。
| データカテゴリ | 例 | 機密レベル |
|---|---|---|
| 識別データ | 氏名、生年月日、性別 | 標準 |
| 連絡先データ | メール、電話番号、住所 | 標準 |
| 健康データ | 予防接種、既往症、アレルギー | 特別カテゴリ |
| 発達データ | 成長指標、節目、活動 | 特別カテゴリ |
| 家族データ | 関係、権限、アクセスログ | 標準 |
| データ種類 | 保持期間 | 法的根拠 |
|---|---|---|
| アカウントデータ | アカウント削除後6年間 | 法的義務 |
| 赤ちゃんの健康データ | 出生から18年間 | 法的義務、同意 |
| 決済データ | 10年間 | 法的義務 |
| 分析データ | 2年間(匿名化) | 正当な利益 |
GDPRの対象となる個人データについては、EU標準契約条項が適用され、参照により組み込まれます。
UK-GDPRの対象となる個人データについては、英国国際データ移転補足契約が適用されます。
KVKKの対象となる個人データについては、Whispieは法律第6698号および関連規制に基づくデータ管理者の義務に準拠します。
CCPA/CPRAの対象となる個人データについては、Whispieはサービスプロバイダーの義務に準拠し、個人データを販売または共有しません。
Whispieは以下を含む(ただしこれらに限らない)すべての事業地域のデータ保護法に準拠します:
このDPAと本契約の間に矛盾または不一致がある場合、矛盾する範囲においてこのDPAが優先します。
このDPAから生じるまたは関連する各当事者の責任は、本契約の責任制限に従います。
このDPAは法律の抵触規定を考慮せず、デラウェア州の法律に準拠します。
このデータ処理補足契約は本契約に組み込まれ、その一部を構成します。
Whispie(データ処理者)について:
Black Eagle Group LLC
30 N Gould St Ste N
Sheridan, WY 82801, USA
メール: [email protected]
カスタマー(データ管理者)について:
Whispieサービスを利用することにより、カスタマーはこのデータ処理補足契約の条件を承認し同意します。
発効日:2024年12月1日