最終更新日2023年10月 

      サプライヤー・プライバシー・エンゲージメント 

      Averna Technologies Inc.は、その関連会社および子会社(以下、総称して「Averna」という、 以下「Averna」という。は、カナダの個人情報保護電子文書法(PIPEDA)、欧州の一般データ保護規則(GDPR)、カリフォルニア州消費者プライバシー法(CCPA)、およびケベック州法第25号(個人情報の保護に関する立法規定を近代化するための法律)により改正された民間部門の個人情報保護に関する法律を含む(ただし、これらに限定されない)適用される法律に従い、個人データの保護に努めています。

      本サプライヤー・プライバシー契約(以下「本契約」という。 以下「本約款」という。は、下請業者、サプライヤー、第三者サービスプロバイダー、ベンダー、およびそれらの従業員や下請業者(以下、総称して「サプライヤー」といいます)に適用されます、 「サプライヤーは、Avernaと取引を行い、Avernaから受領した個人データを収集、使用、アクセス、開示、またはその他の方法で処理する者(すなわち、データ処理者)に適用されます。)

      本契約は、サプライヤーがAvernaと締結した商業契約の過程でAvernaから受領した個人データをどのように取り扱うかについて、期待される事項および最低限の要件を定めたものです。 契約に代わるものではなく、補足するものです、 補完するものです。本契約は、当該 を補完するものです。

      本約款において 「個人データ」とは、特定または識別可能な個人に関するあらゆる情報を指し、特定の個人と関連付けられていない匿名または非特定データは含まれません。

      1. 行動要件 

      サプライヤーは、アヴェルナから受領した個人データの収集、使用、開示、および保持に関与するその要員お よび下請業者全体に、本契約を周知徹底させ、そこに含まれる規定の遵守を達成するために必要な契約合意に拘束 させる責任を負います。サプライヤーは、Avernaから受領した個人データの収集、使用、開示、保持に関与する人員および下請業者全体が本契約を認識し、本契約に含まれる規定の遵守を達成するために必要な契約上の合意に拘束されるようにする責任を負うものとします。

      サプライヤーはさらに、データセキュリティ、データ侵害通知要件、データ保護影響評価、および個人データの処理に関するデータ主体からの要求の処理に関連する法的義務の遵守において、Avernaを支援するものとします。 

      本契約に従わない場合、Avernaに悪影響を及ぼす可能性があります。本約款を遵守しない場合、または本約款に違反したことを適時に報告しない場合、サプライヤーがAvernaとの取引を継続する能力に影響を与え、サプライヤー関係の終了につながる可能性があります。  

      2.データ処理原則 

      サプライヤーは、個人データの国境を越えた移転および国際的な移転に関しても含め、Avernaから受領した個人データを、Avernaから提供された文書化された指示に従ってのみ処理するものとします。   

      サプライヤーは、以下を行うものとします。個人データの収集、使用、開示、保持は、サプライヤーとAvernaの間で締結された商業契約において特定された目的に限定されるものとします。サプライヤーは、当該特定された目的によって必要とされる個人データの使用および開示について、適切な同意を得ることが期待されます。

      サプライヤーは、Avernaから受領した個人データへのアクセスを、「知る必要がある」ベースで個人データの処理に関与する担当者に限定するものとします。また、サプライヤーは、Avernaの書面による事前の同意なく、サブプロセッサーのサービスを使用しないものとします。   

      サプライヤーは、個人データ違反を直ちにアヴェルナに報告するものとします。サプライヤーは、アヴェルナから受領した個人データの不正確性または不規則性に気付いた場合、過度な遅滞なくアヴェルナに通知し、必要な修正が完了するようアヴェルナを支援するものとします。 

      サプライヤーは、データの完全性および保護を確保するために、常に適切な技術的および組織的措置を維持するものとします、特に、Avernaのために送信、保存、またはその他の方法で処理された個人データの偶発的または違法な破壊、紛失、改ざん、不正な開示、または個人データへのアクセスから保護するために、適切な技術的および組織的対策を常に維持するものとします。このような技術的・組織的対策には、包括的なデータ・プライバシー・プログラムおよびポリシー、コンプライアンスを証明するための容易に入手可能な文書、必要に応じてプライバシー影響評価を含むものとします。

      最低限、サプライヤーは以下の保護措置を維持し、確保するものとします: 個人データの 個人データの仮名化と暗号化; 処理システムおよびサービスの継続的な機密性、完全性、可用性、回復力の保証; 物理的または技術的なインシデントが発生した場合、個人データへの可用性とアクセスを適時に回復する能力;そして 処理の安全性を確保するための技術的および組織的措置の有効性を定期的にテストし、評価し、評価するプロセス。

      その場合、サプライヤーは、コンプライアンスを証明するために必要なすべての情報をAvernaに提供するものとし、AvernaまたはAvernaの委任を受けた第三者による検査を含む監査を許可し、監査に貢献するものとします。  

      アヴェルナと締結した商業契約が終了した場合、サプライヤーは、契約終了時にアヴェルナが指示した通り、アヴェルナに帰属する全ての個人データの返却または破棄を確実に行うものとします。