データ処理追加資料(DPA) — MultiLipi

発効日: 2025年9月10日

このDPAは、以下の契約の一部を成しています。 マルチリピ・テクノロジーズ・プライベート・リミテッド ("マルチリピ 「)および注文書/サブスクリプションで特定された事業体(」 顧客 ").GDPRおよび英国GDPRを含む適用データ保護法に基づき、MultiLipiが顧客を代表して個人データを処理することを規定しています。関連項目 プライバシーポリシー そして現在 サブプロセッサ .

1) 定義

ここで定義されていない大文字の用語は、契約書の意味を意味します。" データ保護法 「本協定に基づく個人データ処理に適用されるすべての法律および規則、GDPR(EU)2016/679および英国GDPRを含む、ならびに現地の施行法を指す。」 個人情報 ", " コントローラー ", " プロセッサ ", " データ対象 ", " 加工 「、および」 監督機関 「GDPRの意味を含みます。」

「機密データ」 追加の保護が必要な情報や特別な規則の対象となる情報(例:GDPR第9条の特別カテゴリーデータ、例えば健康・バイオメトリクス・遺伝データ、16歳未満の子どもの個人データ、政府発行の識別子、金融口座や支払いデータ、正確な位置情報、または認証情報/パスワード/APIキー/秘密情報など)を意味します。サービスは機密データの処理を目的として設計されていません。

2) 範囲と役割

  1. 顧客は コントローラー 、そしてマルチリピは プロセッサ 以下に記載された個人データに関して 付属書I .
  2. カスタマーがサードパーティコントローラーのプロセッサとして機能するのに対し、マルチリピはカスタマーのプロセッサーとして機能します サブプロセッサ .顧客はマルチリピを任命する権限をコントローラーの許可を持っていると主張しています。
  3. MultiLipiは個人データのみを処理します:(a) サービス提供のため;(b) 顧客が契約および本DPAに記載したもの;および(c)法律で求められるもの。

3) 顧客への指示

  1. 顧客はMultiLipiに対し、翻訳、言語別ルーティング、用語集/TM、メディア翻訳、分析、SEO機能を含むサービス提供・改善のために個人データ処理を指示しています(プライバシー保護の方法で)。
  2. 顧客はサービスを提出したり、処理を起こさせたりしません 機密データ .それでも顧客が機密データを提出した場合、顧客は必要なすべての同意と安全措置の取得に単独で責任を負います。MultiLipiには機密データの監視義務はありません。
  3. MultiLipiは、法的義務により指示に従えない場合は、禁止されていない限り顧客に通知します。
  4. MultiLipiは、顧客の明示的なオプトインなしに個人データを販売したり、一般化されたAIモデルの構築や訓練に使用したりしません。

4) 機密保持

MultiLipiは、個人データの処理権限を持つ者が機密保持義務に拘束され、適切なデータ保護訓練を受けることを保証します。

5) セキュリティ対策

MultiLipiは適切な技術的および組織的措置を実装し、維持しています(「 TOMs(トムズ) 「) 以下に記載された個人データを保護すること 付属書II この要件は、技術の現状、実施コスト、処理の性質、範囲、文脈および目的、ならびに自然人の権利と自由に関するリスクを考慮したものです。

6) サブプロセッサ

  1. 顧客はMultiLipiに対し、サービス提供のためにサブプロセッサを雇う一般的な承認を提供します。現在のサブプロセッサは以下の通りです。 /legal/subprocessors .
  2. MultiLipiは、このDPAに相当するデータ保護義務をサブプロセッサに課し、その性能に対して責任を負います。
  3. サブプロセッサーに満足できない場合、顧客はMultiLipiに連絡し、データ保護に関する合理的な理由で異議申し立ての機会を提供しなければなりません。善意で解決されない場合、顧客は対象となるサービスを停止または終了することがあります(前払い料金の按分返金)。

7) 支援、DPIAおよび事前協議

処理の性質やMultiLipiが利用可能な情報を考慮し、私たちは顧客がGDPR第32条から第36条(セキュリティ、侵害通知、DPIA、事前協議)の遵守を確実にするよう支援し、TOMおよびサブプロセッサに関する関連書類の提供も行います。

8) 個人データ漏洩通知

  1. MultiLipiが顧客に通知します 不必要な遅延なく 顧客データに影響を与える個人データ漏洩を認識した後です。通知には、MultiLipiが当時合理的に入手可能な情報が含まれ、侵害の性質、データ主体および記録のカテゴリおよびおおよその数、予想される結果、侵害に対処するために取られたまたは提案された措置が含まれます。
  2. MultiLipiは迅速に悪影響を軽減し、顧客の合理的な要望に応じて違反通知義務を果たす措置を講じます。

9) データ主体請求

法的に許可される範囲内で、MultiLipiはデータ保護法に基づく権利を行使するデータ主体からのリクエストを受領した場合、速やかに顧客に通知します。MultiLipiは顧客の書面化された指示以外には応答せず、顧客がそのような要望に対応できるよう合理的な支援を提供します。

10) データの返却および削除

  1. 顧客の書面による要請に基づき、MultiLipiは法律で保持が義務付けられていない限り、商業的に合理的な期間内にすべての個人データを削除または返却(既存のコピーも削除)します。
  2. バックアップはスケジュールされたサイクル上で上書きされます。バックアップからの削除は通常のプロセスで行われます。

11) 国際データ転送(SCC/英国付録)

  1. EEAの移管。 処理がGDPRの対象となる個人データを適切性の決定なしに第三者に移転することを含む場合、当事者は以下の条件を満たすことに合意します。 標準契約条項 欧州委員会の決定(EU)2021/914で承認された SCC 「)は参照によって組み込まれ、以下に記載されたDPAの一部を構成しています。
    • モジュール2(コントローラからプロセッサへ)および/またはモジュール3(プロセッサからサブプロセッサへ)は、該当する場合に指定されます。
    • 第7条(ドッキング条項): 適用 .
    • 第11条(救済): そうではありません 応募してください。
    • 第17条(支配法):の法律 アイルランド .
    • 第18条(フォーラムおよび管轄権):裁判所 アイルランド .
    • SCCの付録I–IIIは以下の情報で補完されています。 付属書I , 付属書II そして 付属書III このDPAの。
  2. イギリスのトランスファー。 英国GDPRの対象となる移転については、当事者はICOの国際データ転送付録(IDTA)付録BをEU SCCに参照で組み込むことに同意します。利益相反の場合、UK譲渡にはUK付録が適用されます。
  3. スイスのトランスファーズ。 スイスFADPの対象となる移転の場合、SCCにおけるGDPRへの言及はFADPへの言及と読みます。EU加盟国への言及はスイスとなり、管轄機関はFDPICです。

13) 責任および賠償

本DPAに基づく責任は、適用法で禁止されている範囲を除き、契約における責任の制限および除外の対象となります。各当事者はデータ保護法に基づく自らの行為および不作為について責任を負います。

14) その他

  1. このDPAと協定の間に矛盾が生じた場合、このDPAがデータ保護に関する利益相反の範囲を管轄します。
  2. 本DPAのいずれかの条項が無効と判断された場合、残りは引き続き有効です。
  3. MultiLipiは法律や当社のサービスの変更を反映してこのDPAを更新する場合があります。

付録I — 処理の説明

A. 当事者

データエクスポート 顧客(コントローラー)— 注文・サブスクリプションごとに詳細を記載します。
Data Importer マルチリピ・テクノロジーズ・プライベート・リミテッド(プロセッサー)。連絡先: privacy@multilipi.com

B. 処理の詳細

主題 MultiLipiの多言語SEOおよび翻訳サービスの提供。
期間 契約期間中および削除・返還およびバックアップに必要な場合に。
性質と目的 顧客が選定した機能(翻訳、言語ルーティング、用語集/TM、メディア翻訳、分析、SEO)、サポート、請求、セキュリティを提供するための処理。 翻訳ワークフロー: 翻訳を提供するために、お客様のウェブページのテキスト内容はMultiLipiのサーバーおよび第三者翻訳プロバイダー(例:Azure Translation Services)に送信され、後者は当社のサブプロセッサとして機能します。パフォーマンス最適化やキャッシュのために、MultiLipiは原文と対応する翻訳を保存することができます。
データ主体のカテゴリ カスタマースタッフ(管理者、ユーザー)、顧客のエンドユーザー/訪問者、そして顧客が提供するコンテンツにデータが現れるすべての個人。
個人データの分類 連絡先データ(名前、メール)、アカウント識別子、使用履歴(IP、ユーザーエージェント、タイムスタンプ)、翻訳・ローカライズ用に提供されるコンテンツ(偶発的に個人データを含むこともあります)、設定(例:言語)、請求識別子(決済処理業者で処理)。
機密データ(あれば) サービスには必須ではありません。顧客は提出してはいけません 機密データ ;サービスはそれを処理するよう設計されていません。
頻度 継続的であり、顧客のサービス利用によって開始されます。
保持 プライバシーポリシーおよび契約書に明記されている通り;目的上必要以上に保持され、その後削除または匿名化されます。
移籍 本DPA第12条に記載されている通りです。

C. 有能監督機関

SCCに関しては、SCCの第13条(例:顧客加盟国の主要なEU機関またはデータ主体の権限)に従って権限が決定されます。

付属書II — 技術的および組織的措置(TOM)

  1. 情報セキュリティプログラム。 アクセス制御、データ処理、インシデント対応、変更管理、ベンダーリスク、安全な開発をカバーする書面ポリシー。
  2. アクセスコントロール。 ロールベースのアクセス、最小権限、強力な認証、管理者向けのMFA、セッション管理、定期的なアクセスレビュー、役割変更や終了時の即時取り消し。
  3. 暗号化。 データ転送時のTLS;保存された秘密や鍵の暗号化、キーの回転とキー素材へのアクセス制限。
  4. ネットワークおよびアプリケーションセキュリティ。 セグメント化されたネットワーク;ファイアウォール/WAF;DDoS対策(該当する場合はCDN/エッジによる);基準線の硬化;コードレビューや依存関係スキャンを含む安全なSDLC。
  5. ログとモニタリング。 セキュリティ関連イベントの集中ログ;異常現象に警戒し、時間同期;改ざん防止ログ保管。
  6. 脆弱性とパッチ管理。 定期的な脆弱性スキャン;適時の修復;適宜第三者のテストも行います。
  7. 事業継続と災害復旧。 重要部品のための冗長インフラ;バックアップのテスト;文書化されたRTO/RPO目標。
  8. データの分離。 顧客環境とデータの論理的な分離。
  9. 人事セキュリティおよび研修。 法律で許可された身元調査;オンボーディング/年次セキュリティおよびプライバシー研修;機密保持の約束。
  10. インシデント対応。 定義された役割、トリアージ、封じ込め、根絶、回復、教訓、顧客通知ワークフローを含む文書化された計画。
  11. ベンダーおよびサブプロセッサー管理。 リスクベースの評価、契約上のセキュリティ・プライバシー義務、継続的な監視。
  12. 物理的なセキュリティ。 業界標準の管理(バッジ、CCTV、訪問者記録)を備えた、検証済みのプロバイダーが運営するデータセンター。
  13. データ最小化。 必要なものだけを集めてください。保持上限;適切な場合は匿名化や仮名化も可能です。
  14. 顧客コントロール。 アクセス管理のための管理ツール;ダッシュボード上の監査記録(利用可能な場合)、API鍵管理;MFAサポート。

付録III — サブプロセッサ

現在の承認済みサブプロセッサのリストは以下の通りに管理されています。 https://multilipi.com/legal/subprocessors.各サブプロセッサについて、MultiLipiは名称、目的、処理場所、転送メカニズム(例:SCC)を開示します。

署名

顧客 マルチリピ・テクノロジーズ・プライベート・リミテッド
名前:___________________________
タイトル:___________________________
日付:___________________________
署名:______________________ 		名前:クナル・シン・シェカワット
タイトル:共同創業者@MultiLipi
日付:2025年10月9日
署名: クナル・シン・シェカワット署名

署名により、当事者はEU最高機密規約(決定(EU)2021/914)および該当する場合は英国国際データ転送付録が参照により組み込まれ、本DPAに定められた通りに完了することに合意します。