PC およびモバイル ゲーム用の Xbox ネットワーク サービス データ処理補遺
この PC およびモバイル ゲーム用の Xbox ネットワーク サービス データ処理補遺 ("補遺") は、お客様と Microsoft の間のアプリ開発者契約 ("ADA") の一部であり、 Xbox ネットワーク サービスを組み込んだ PC およびモバイル アプリを通じてお客様に提供される個人データの処理。 ADA の条件と本補遺の条件の間に矛盾がある場合は、本補遺の条件が優先するものとします。
1. 定義。 この補遺で使用されている大文字で始まる用語は、ADA またはこの補遺で提供されている定義を持っています。
1.1 「データ エクスポーター」とは、(1) 国際データ転送メカニズムを必要とする法域に企業の存在またはその他の安定した協定を有する (2) 個人データを転送する、または個人データをデータ インポーターが利用できるようにする当事者を意味します。
1.2 「データ インポーター」とは、(1) データ エクスポーターの法域とは異なる法域に所在する当事者を意味し、(2) データ エクスポーターから個人データを受け取る、またはデータ エクスポーターによって提供された個人データにアクセスできます。
1.3 「データ保護法」 とは、データ セキュリティに関連して、お客様または Microsoft に適用される法律、規則、規制、命令、制定法、またはその他の制定法、命令、義務、決議を意味し、保護、処理および/またはプライバシー、および修正、拡張、廃止、置き換え、または再制定された、実装、派生、または関連する法律、規則、規制、および規制ガイダンスです。
1.4 「個人データ」 は、識別された、または識別可能な自然人 (「データ主体」) およびその他のデータに関する情報を、または、適用されるデータ保護法に基づく個人データまたは個人情報を構成する情報を意味します。
2. データ保護法の遵守。 ADA および本補遺に基づいて転送される個人データに関して、両当事者は、お客様と Microsoft の両方が独立したデータ管理者であり、一般データ保護規則 (GDPR) で定義されているように、それぞれの個人データの共同管理者ではないことに同意します。 独立してプロセスします。 この補遺で使用される「管理者」は、個人データの処理の目的と手段を決定するエンティティを意味し、「プロセス」または「処理」は、当事者が個人データに対して実行する操作または一連の操作を意味し、収集、記録、編成、保管、適応または変更、検索、相談、 使用、送信による開示、流布またはその他の方法で利用可能にすること、整列または組み合わせ、ブロック、制限、消去または破棄を含みます。 「処理済み」には、対応する意味があります。 個人データの独立した管理者として、両当事者は次のように同意します。
2.1 一般。 各当事者は、データ保護法 (例: GDPR 第 13 条および第 14 条、該当する場合) により要求されるデータ対象者への通知の提供、データ対象者の権利行使要求に対するデータ保護法 (例:GDPR 第 III 章) により要求される対応、および処理の合法的根拠 (例: 同意または正当な利益) の特定を含むがこれらに限定されない、データ保護法 (例: 管理者の義務) の遵守について独立して責任を負い、これを遵守するものとします。
2.2 協力。 いずれかの当事者が、政府、立法、司法、法執行機関、または規制機関 (連邦取引委員会、米国州の司法長官、または欧州のデータ保護機関など) から何らかの種類の要求または問い合わせを受けた場合、または直面した場合 ADA および本補遺に基づいて共有される当事者の個人データの処理に関連する実際のまたは潜在的な請求、問い合わせ、または苦情 (総称して、「問い合わせ」)、かかる当事者 そのような通知が適用法で禁止されていない限り、過度の遅滞なく相手方に通知します。 受領当事者は、当該当事者が照会に応答できるようにするために、請求の弁護に関連する情報を含む、照会に関連する情報を相手方当事者に速やかに提供します。 要求に応じて、当事者は、データ保護影響評価またはデータ保護当局との事前協議を実施する義務 (存在する場合) を履行するために、関連情報を相手方当事者に提供します。
2.3 データ セキュリティ。 ネットワーク、オペレーティング システム、ソフトウェア、データベース、およびその他の関連するコンピューター システムが適切に構築、構成、運用されていることを確認して、Microsoft から受信または取得した個人データを安全な方法ですべての要件に準拠して保存、管理、および保護する必要があります。 Xbox の要件 (「XR」) に含まれているもの。 各当事者は、業界の優良慣行に従って、およびデータ セキュリティに関連するデータ保護法 (GDPR の第 32 条に従うものを含む) に従って、必要なすべての措置を講じます。
2.4 機密保持。 各当事者は、個人データを処理する権限を与えられた人物が、NDA に規定されている守秘義務または適切な法定の守秘義務に劣らない守秘義務を遵守していることを確認します。
2.5 個人データの販売の禁止。 顧客の追加の承認または反対の指示に従うことを条件として、(i) ゲームおよびゲーム関連サービスの提供に関連してのみ個人データを使用し、(ii) 個人データを第三者に転送、共有、または販売しないものとします。ただし、契約によって拘束される、お客様に代わって運営する処理者または復処理者 (「共有」および「販売」は、カリフォルニア州消費者プライバシー法またはその他の該当するデータ保護法によって定義されています)。 Microsoft が、適用されるデータ保護法の下で匿名化されたデータと見なされるデータを転送する場合、お客様は、個人データになるようにデータを再識別しようとしない (また、お客様の復処理者がそうしないことを保証する) ものとします。 カリフォルニア州消費者プライバシー法が個人データに適用される範囲において、お客様は、上記の制限を理解し、それらを遵守することを保証します。 適用されるデータ保護法に基づく義務を果たせなくなったと判断した場合は、Microsoft に通知するものとします。
2.6 お客様は、顧客からデータ主体の権利要求を受け取る際の Microsoft の指示、および ADA に規定されている個人データの使用を管理するその他の合理的な要件を遵守するものとします。
2.7 お客様は、本補遺の条件に基づき、適用法で義務付けられているとおり、プライバシー義務の順守および/または履行に関するコンプライアンス レビューを実施するという Microsoft の要求に従うものとします。 マイクロソフトは、1 暦年に 1 回、またはお客様の苦情に応じて、かかるレビューを要求することができます。 顧客からの苦情の場合を除き、コンプライアンス レビューに参加する代わりに、コンプライアンスの証明書を提出することができます。
2.8 正当な理由により ADA が終了した場合、データの取り扱いを誤っていることがコンプライアンス レビューによって認められた場合、または調査が開始された場合、Microsoft の要求により、お客様は、個人のすべてのコピーを直ちに削除するか、Microsoft に返却するものとします。 ADA および本補遺に基づいて共有されるデータ。適用されるデータ保護法に基づいて、終了後に個人データを保持する権利または義務がある場合を除きます。 Microsoft から要求された場合、お客様は 30 日以内に書面で削除を確認するものとします。
2.9 国際個人データ転送要件。 一部の法域では、別の法域の受信者に個人データを転送する事業体は、受信者の法域の法律が転送事業体の法域と同等の方法で個人データを保護していない場合、個人データが特別な保護を受けるようにするために特別な措置を講じることを要求しています。「国際データ転送メカニズム」)。 両当事者は、標準契約条項を含む、適用されるデータ保護法によって要求される可能性のある国際データ転送メカニズムを遵守します。 「標準契約条項」とは、欧州経済領域から第三国への国際移転に関する欧州連合の標準契約条項、2021 年 6 月 4 日の委員会実施決定 (EU) 2021/914 を意味します。 両当事者は、さらに次のように同意します。
2.9.1 両当事者が依存している国際データ転送メカニズムが無効または置き換えられた場合、両当事者は適切な代替手段を見つけるために誠実に協力します。
2.9.2 Microsoft がお客様に転送する、またはお客様に許可する国際データ転送メカニズム (EEA、スイス、または英国など) を必要とする法域に所在するデータ主体の個人データに関して アクセスするには、両当事者は、この補遺を実行することにより、参照により組み込まれ、この補遺の不可欠な部分を形成する標準契約条項も実行することに同意するものとします。 両当事者は、両当事者の入力を必要とする標準契約条項の要素に関して、スケジュール 1 に標準契約条項の付属書に関連する情報が含まれていることに同意します。 両当事者は、該当する英国、スイス、またはスケジュール 1 で指定された他の国のデータ主体の個人データについて、標準契約条項を現地の法律に適合させるために、スケジュール 1 に記載されている標準契約条項の修正を採用することに同意します。
2.10 スケジュール 1. スケジュール 1 は、当事者の処理の目的、処理に関与する個人データの種類またはカテゴリ、処理によって影響を受けるデータ主体のカテゴリ、および関連するデータ保護法に基づく当事者のステータスを説明しています。
スケジュール 1 — 処理の説明
| 処理活動 | 当事者の状況 | 処理される可能性のある個人データのカテゴリ | 処理される可能性のある機密データのカテゴリ | 該当する SCC モジュール |
|---|---|---|---|---|
| お客様は管理者として個人データを収集または受け取ります。 | Microsoft はコントローラーです。 あなたはコントローラーです。 |
|
|
モジュール 1 |
注: リストされているカテゴリは説明的なものであり、必ずしも両当事者がリストされているデータの各カテゴリを処理していることを意味するものではありません。
1. 国際送金に関する情報:
1.1 転送の頻度: すべての個人データについて継続的。
1.2 保持期間: 管理者として、両当事者は、ビジネス上の目的がある限り、または適用法で許可される最長の期間、個人データを保持します。
2. 標準契約条項の目的で:
2.1 条項 7: 両当事者はオプションのドッキング条項を採用しません。
2.2 条項 11(a): 当事者は、独立した紛争解決オプションを選択しません。
2.3 第 17 条: 当事者はオプション 1 を選択します。 両当事者は、統治管轄がアイルランドであることに同意します。
2.4 第 18 条: 両当事者は、フォーラムがアイルランドであることに同意します。
2.5 附属書 I(A): データ エクスポーターはデータ エクスポーター (上で定義) であり、データ インポーターはデータ インポーター (上で定義) です。
2.6 附属書 I(B): 両当事者は、スケジュール 1 が譲渡について説明していることに同意する。
2.7 附属書 I(C): 管轄の監督機関は、アイルランドのデータ保護委員会です。
2.8 付属書 II: 両当事者は、このスケジュール 1、セクション 4 が、譲渡に適用される技術的および組織的措置を説明していることに同意します。
3. 標準契約条項をローカライズする目的で:
3.1 スイス
3.1.1 両当事者は、すべてのデータ転送に GDPR 標準を採用します。
3.1.2 第 13 条および附属書 I(C): 第 13 条および附属書 I(C) に基づく管轄当局は、連邦データ保護および情報コミッショナーであり、同時に EEA 加盟国の当局でもあります。 上記で識別されます。
3.1.3 第 17 条: 両当事者は、準拠法域がアイルランドであることに同意します。
3.1.4 第 18 条: 両当事者は、フォーラムがアイルランドであることに同意します。 両当事者は、スイスのデータ主体が第 18 条 (c) に従ってスイスでの権利を訴えることができるように、標準契約条項を解釈することに同意します。
3.1.5 両当事者は、データ保護に関する改正連邦法が施行されるまで、「データ主体」にスイスの法人に関する情報が含まれるように、標準契約条項を解釈することに同意します。
3.2 イギリス
3.2.1 両当事者は、標準契約条項が、英国から第三国への移転のために機能し、英国の一般データ保護規則 ("UK GDPR")第 46 条に従って移転に適切な保護を提供するために必要な範囲で修正されたと見なされることに同意します 。 このような修正には、GDPR への参照を英国 GDPR に変更すること、および EU 加盟国への参照を英国に変更することが含まれます。
3.2.2 第 17 条: 両当事者は、準拠法域が英国であることに同意します。
3.2.3 第 18 条: 両当事者は、法廷がイングランドおよびウェールズの裁判所であることに同意します。 両当事者は、データ主体が英国のいずれかの国の裁判所でいずれかの当事者に対して訴訟を起こすことができることに同意します。
3.2.4 英国からの転送は、Microsoft によって実装された IDTA によって管理されるものとします。 本契約の目的上、「IDTA」とは、英国データ保護法 2018 の S119A(1) に基づいて英国情報コミッショナー事務局によって発行された国際データ転送に関する欧州委員会の標準契約条項に対する国際データ転送補遺を意味します。
4. 技術的および組織的なセキュリティ対策。 お客様は、補遺のセクション 2.3 に規定されている技術的および組織的な措置を遵守するものとします。