データ処理補遺 (DPA) — MultiLipi

発効日: 2025年9月10日

この DPA は、 マルチリピ・テクノロジーズ・プライベート・リミテッド ("マルチリピ ")および注文/サブスクリプションで特定されたエンティティ(" 顧客 ").これは、GDPRおよび英国GDPRを含む適用されるデータ保護法に基づいて、お客様に代わってMultiLipiによる個人データの処理を規定します。こちらもご覧ください プライバシーポリシー そして現在 サブプロセッサー .

1) 定義

ここで定義されていない大文字の用語は、本契約において意味を持ちます。" データ保護法 「 とは、GDPR (EU) 2016/679 および英国 GDPR を含む、本契約に基づく個人データの処理に適用されるすべての法律および規制、および現地の施行法を意味します。 個人データ ", " コントローラ ", " プロセッサー ", " データ主体 ", " 加工 "、および" 監督当局 」はGDPRの意味を持ちます。

「機密データ」 特別な保護を必要とする情報、または特別な規則の対象となる情報(例:健康/生体認証/遺伝データ、16歳未満の子供の個人データ、政府発行の識別子、金融口座または支払いデータ、正確な地理位置情報、または資格情報/パスワード/APIキー/秘密など、GDPR第9条に基づく特別なカテゴリのデータ)を意味します。本サービスは、機密データを処理するようには設計されていません。

2) 範囲と役割

  1. 顧客は コントローラ で、MultiLipiは プロセッサー に記載されている個人データに関連して 附属書I .
  2. お客様が第三者のコントローラーの処理者として機能する場合、MultiLipiはお客様の サブプロセッサ .お客様は、MultiLipiを任命する管理者の権限を持っていることを保証します。
  3. MultiLipiは、(a)サービスを提供するため。(b) お客様が本契約および本 DPA に文書化したとおり。(c)法律で義務付けられている場合。

3) お客様の指示

  1. お客様は、翻訳、言語によるルーティング、用語集/TM、メディア翻訳、分析、およびお客様が有効にするSEO機能を含む、サービスを提供および改善するために(プライバシーを保護する方法で)個人データを処理するようMultiLipiに指示します。
  2. お客様は、本サービスを提出したり、本サービスの処理を行わなかったりするものとします。 機密データ .それにもかかわらず、お客様が機密データを提出した場合、お客様は、必要なすべての同意と保護措置を取得する責任を単独で負います。MultiLipiは、機密データを監視する義務を負いません。
  3. MultiLipiは、禁止されていない限り、法的要件により指示に従うことができない場合、お客様に通知します。
  4. MultiLipiは、お客様の明示的なオプトインなしに個人データを販売したり、一般化されたAIモデルを構築またはトレーニングするために個人データを使用したりすることはありません。

4) 守秘義務

MultiLipiは、個人データを処理する権限を与えられた人物が守秘義務に拘束され、適切なデータ保護トレーニングを受けることを保証します。

5) 安全対策

MultiLipiは、適切な技術的および組織的対策を実施および維持します(" トムズ ") に記載されている個人データを保護するため 附属書II 、最先端の技術、実装コスト、処理の性質、範囲、コンテキスト、目的、ならびに自然人の権利と自由に対するリスクを考慮に入れます。

6) サブプロセッサー

  1. お客様は、MultiLipiがサービスを提供するために副処理者を雇うための一般的な許可を提供します。現在のサブプロセッサーは、 /legal/サブプロセッサー .
  2. MultiLipiは、本DPAと同等のデータ保護義務をサブプロセッサーに課し、その履行に対して引き続き責任を負います。
  3. サブプロセッサーに満足できない場合、お客様はMultiLipiに連絡し、データ保護に関連する合理的な理由で異議を唱える機会を提供する必要があります。善意の解決策が得られない場合、お客様は、影響を受けるサービスを一時停止または終了することができます(前払い料金の日割り計算による返金)。

7) 支援、DPIA、事前相談

処理の性質とMultiLipiが利用できる情報を考慮して、弊社のTOMおよびサブプロセッサーに関する関連文書の提供などにより、お客様がGDPR第32条から第36条(セキュリティ、違反通知、DPIAおよび事前協議)に基づく義務を確実に遵守できるよう支援します。

8) 個人データ侵害の通知

  1. MultiLipiはお客様に通知します 不当な遅滞なく 顧客データに影響を与える個人データ侵害に気付いた後。通知には、侵害の性質、データ主体と記録のカテゴリとおおよその数、起こり得る結果、侵害に対処するために講じられた、または提案された措置など、その時点でMultiLipiが合理的に入手可能な情報が含まれます。
  2. MultiLipiは、悪影響を軽減するための措置を速やかに講じ、違反通知義務を果たすためのお客様の合理的な要求に協力します。

9) データ主体の要求

法的に許可される範囲で、MultiLipiは、顧客データに関連するデータ保護法に基づく権利を行使するデータ主体から要求を受けた場合、速やかにお客様に通知します。MultiLipiは、お客様の文書化された指示がある場合を除き、応答せず、お客様がそのような要求に対応するために合理的な支援を提供します。

10) データの返却と削除

  1. お客様の文書化された要求に応じて、MultiLipiは、法律で保持が義務付けられている場合を除き、商業的に合理的な期間内にすべての個人データを削除または返却します(および既存のコピーを削除します)。
  2. バックアップはスケジュールされたサイクルで上書きされます。バックアップからの削除は、通常のコースで行われます。

11) 国際データ転送 (SCC/英国補遺)

  1. EEA転送。 処理に、十分性の決定なしにGDPRの対象となる個人データの第三国への転送が含まれる場合、両当事者は、 標準契約条項 決定(EU)2021/914で欧州委員会によって承認されました(「 SCCの ")は参照により組み込まれ、以下に定めるように本DPAの一部を形成します。
    • モジュール 2 (コントローラからプロセッサ) および/またはモジュール 3 (プロセッサからサブプロセッサ) (該当する場合)。
    • 第7条(ドッキング条項): 適用 .
    • 第11条(救済): しない 申し込む。
    • 第17条(準拠法):の法律 アイルランド .
    • 第18条(法廷地および管轄権):の裁判所 アイルランド .
    • SCCの附属書I〜IIIは、次の情報によって完成されます。 附属書I , 附属書II そして 附属書III このDPAの。
  2. 英国への送金。 英国GDPRの対象となる転送については、両当事者は、参照により組み込まれたEU SCCに対するICOの国際データ転送補遺(IDTA)補遺Bに同意します。紛争が発生した場合、英国の譲渡には英国の補遺が優先されます。
  3. スイス送迎。 スイスのFADPの対象となる転送の場合、SCCにおけるGDPRへの言及は、FADPへの言及として解釈されるものとします。EU加盟国への言及はスイスになります。管轄当局はFDPICです。

13) 責任と補償

本DPAに基づく責任は、適用法で禁止されている範囲を除き、本契約の責任の制限および除外の対象となります。各当事者は、データ保護法に基づく独自の作為および不作為に対して責任を負うものとします。

14) その他

  1. 本DPAと本契約の間に矛盾がある場合、データ保護に関する矛盾の範囲で本DPAが優先されます。
  2. このDPAのいずれかの条項が無効と判断された場合でも、残りの条項は引き続き有効です。
  3. MultiLipiは、法律または当社のサービスの変更を反映するために、このDPAを更新する場合があります。

附属書I — 処理の説明

A. 当事者

データエクスポーター 顧客(管理者) — 注文/サブスクリプションの詳細。
データインポーター MultiLipi Technologies Private Limited (プロセッサー)。接触: privacy@multilipi.com

B. 処理内容

そざい MultiLipi多言語SEO・翻訳サービスの提供
期間 本契約の期間中、および削除/返却およびバックアップに必要な場合。
性質と目的 お客様が選択した機能(翻訳、言語ルーティング、用語集/TM、メディア翻訳、分析、SEO)、サポート、請求、およびセキュリティを提供するための処理。 翻訳ワークフロー: 翻訳を提供するために、お客様の Web ページのテキスト コンテンツは、MultiLipi のサーバーと、当社の副処理者として機能するサードパーティの翻訳プロバイダー (Azure Translation Services など) に送信されます。パフォーマンスの最適化とキャッシュのために、MultiLipiは元のテキストとそれに対応する翻訳を保存する場合があります。
データ主体のカテゴリー 顧客の担当者 (管理者、ユーザー)、顧客のエンド ユーザー/訪問者、および顧客から提供されたコンテンツにデータが表示される個人。
個人データのカテゴリー 連絡先データ(名前、電子メール)、アカウント識別子、使用ログ(IP、ユーザーエージェント、タイムスタンプ)、翻訳/ローカリゼーションのために提供されるコンテンツ(偶発的に個人データを含む場合があります)、設定(言語など)、請求識別子(支払い処理業者を介して処理)。
機密データ(存在する場合) 本サービスには必要ありません。お客様は提出してはなりません 機密データ ;本サービスは、それを処理するようには設計されていません。
周波数 お客様による本サービスの使用によって開始された継続的。
保持 プライバシーポリシーおよび契約に指定されているとおり。目的に必要な期間を超えて保持され、その後削除または匿名化されます。
転送 このDPAのセクション12に記載されているとおり。

C. 所轄監督官庁

SCCの場合、管轄当局はSCCの第13条に従って決定されます(例:お客様の主要なEU施設またはデータ主体の加盟国の権限)。

附属書 II — 技術的および組織的措置 (TOM)

  1. 情報セキュリティプログラム。 アクセス制御、データ処理、インシデント対応、変更管理、ベンダーリスク、安全な開発をカバーする書面によるポリシー。
  2. アクセス制御。 ロールベースのアクセス、最小権限、強力な認証、管理者向けの MFA、セッション管理、定期的なアクセス レビュー、ロールの変更/終了時の即時失効。
  3. 暗号化。 転送中のデータに対するTLS。保存されている秘密とキーの暗号化。キーのローテーションとキー素材へのアクセスの制限。
  4. ネットワークとアプリケーションのセキュリティ。 セグメント化されたネットワーク。ファイアウォール/WAF;DDoS 保護 (該当する場合は CDN/エッジ経由)。ベースラインの強化。コードレビューと依存関係スキャンを含む安全なSDLC。
  5. ログ記録と監視。 セキュリティ関連イベントの一元的なログ記録。異常に関する警告。時刻同期;改ざん防止ログストレージ。
  6. 脆弱性とパッチ管理。 定期的な脆弱性スキャン。タイムリーな修復;必要に応じて第三者によるテスト。
  7. ビジネス継続性と災害復旧。 重要なコンポーネントのための冗長インフラストラクチャ。テストされたバックアップ。文書化された RTO/RPO 目標。
  8. データの分離。 顧客環境とデータの論理的な分離。
  9. 人員のセキュリティとトレーニング。 法律で許可されている身元調査。オンボーディング/年次セキュリティおよびプライバシートレーニング。守秘義務の約束。
  10. インシデント対応。 定義された役割、トリアージ、封じ込め、根絶、回復、教訓、顧客通知ワークフローを含む文書化された計画。
  11. ベンダーとサブプロセッサーの管理。 リスクベースの評価、契約上のセキュリティ/プライバシー義務、継続的な監視。
  12. 物理的なセキュリティ。 業界標準の管理(バッジ、CCTV、訪問者ログ)を備えた精査されたプロバイダーによって運営されるデータセンター。
  13. データの最小化。 必要なものだけを集めてください。保持制限;必要に応じて匿名化/仮名化。
  14. 顧客コントロール。 アクセス管理のための管理ツール。ダッシュボードの監査証跡 (利用可能な場合)。APIキー管理;MFA のサポート。

附属書III — サブプロセッサー

承認されたサブプロセッサーの現在のリストは、 https://multilipi.com/legal/subprocessors.MultiLipiは、サブプロセッサごとに、名前、目的、処理の場所、および転送メカニズム(SCCなど)を開示します。

署名

顧客 マルチリピ・テクノロジーズ・プライベート・リミテッド
名前:___________________________
タイトル:___________________________
日付:___________________________
署名:______________________ 		名前:Kunal Singh Shekhawat
肩書: 共同創業者 @MultiLipi
日付: 10/09/2025
署名: クナル・シン・シェカワットの署名

署名することにより、両当事者は、EU SCC (決定 (EU) 2021/914) および該当する場合は英国国際データ転送補遺が参照により組み込まれ、本 DPA に規定されているとおりに完成することに同意します。