データ処理に関する補遺

発効日: 2024年3月5日

本Squarespaceデータ処理に関する補遺 (以下「本DPA」) は、Squarespaceサービス利用規約の一部を構成し、その規定の対象となります。本DPAで定義されていない用語は、サービス利用規約で定める意味を有します。

1.     その他の定義

以下の定義は、本DPAにのみ適用されます。

a.「管理者」、「データ主体」、「個人データ」、「プロセス」、「処理」、および「処理者」という用語は、GDPR中にあるこれらの用語と同じ意味を持ち、他のデータ保護法で使用される異なるが類似する用語も含まれるものとします。

b.「違反」とは、お客様の管理データを保管するSquarespaceの機器または施設へのアクセス、およびお客様に代わってSquarespaceが送信、保存、または処理したお客様の管理データおよび本サービスを通じての指示を偶発的または違法に破壊、紛失、改ざん、不正な開示またはアクセスにつながる、セキュリティ措置の違反を意味します。

c.「CCPA」とは、カリフォルニア州消費者プライバシー法 (カリフォルニア州民法§§ 1798.100～1798.199) を意味し、カリフォルニア州プライバシー権法を含め、随時変更される場合があります。

d.「対象データ」とは、テキスト、写真、画像、オーディオ、動画、コード、およびお客様またはエンド ユーザーから当社に提供されたその他の資料を含みますがこれらに限定されない、お客様のユーザー コンテンツを意味します。

e.「データ保護法」とは、個人データの処理に適用されるデータ保護またはデータ プライバシーに関する法律または規制、およびかかる法律を批准、実施、適用、または補足する法律または規制を意味し、上記のいずれも随時更新、修正、または置き換えられる場合があります。データ保護法には、次が含まれますが、これらに限定されません: (i) 欧州データ保護法、(ii) 米国のデータ保護法、(iii) カナダ連邦個人情報保護および電子文書法、および (iv) ブラジルのLei Geral de Proteção de Dados。いかなる場合も、データ保護法または本DPAには、業界固有の規制が含まれたり、適用されたりすることはありません。

f.「欧州データ保護法」とは、お客様の管理データに適用されるスイス、英国 (「UK」)、または欧州経済領域 (「EEA」) の国のデータ保護またはデータ プライバシーに関する法律または規制を意味し、次が含まれます: (i) GDPR、および (ii) eプライバシー指令2002/58/EC。

g.「GDPR」とは、EU一般データ保護規則2016/679を意味します。GDPRおよびその規定の参照には、改正および/または英国法に組み込まれたGDPRが含まれます。

h.「セキュリティ対策」とは、こちらに記載されている技術的および組織的なセキュリティ対策を意味します。

i.「復処理者」とは、Squarespaceがお客様の管理データの処理を契約している事業体を意味します。

j.「米国のデータ保護法」とは、お客様の管理データに適用される米国のデータ保護法またはデータ プライバシー法または規制を意味し、次が含まれます: (i) CCPA、(ii) バージニア州消費者データ プライバシー法 (バージニア州法§§ 59.1-575～59.1-584)、(iii) コロラド州プライバシー法 (コロラド州法改正法令§§ 6-1-1301～6-1-1313) および関連規制、(iv) 個人データのプライバシーおよびオンライン モニタリングに関するコネチカット州の法律 (コネチカット州法一般法令§§ 42-515～42-525)、および (v) ユタ州消費者プライバシー法 (ユタ州法 §§ 13-61-101～13-61-404)。

k.「お客様の管理データ」とは、対象データに含まれる個人データを意味します。お客様の管理データとは、お客様が処理の目的と手段を決定し、適用されるデータ保護法に基づき、Squarespaceが処理者、サービス プロバイダー、またはそれと同じような役割でお客様に代わって取り扱うデータです。

2.     適用可能性

本DPAは、Squarespaceおよび本サービスがお客様に代わってお客様の管理データを処理する場合、その範囲においてのみ適用されます。本DPAは、次の場合には適用されません: (a) 対象データに個人データが含まれていない場合、または (b) データ保護法が対象データには適用されない場合。

本DPAのセクション 6は、お客さまの管理データにEEA、英国、またはスイスに所在するデータ主体の個人データが含まれる範囲でのみ適用されます。

本サービスの一部は、ソーシャル メディアやオープン ウェブなど、ユーザー コンテンツおよびその他の対象データを公に共有できるようにすることを目的としています。さらに、本サービスには、サードパーティーによる対象データの保存またはその他の処理を可能にする、または必要とするサードパーティー サービスとの統合が含まれます。お客様は、お客様がサードパーティー サービスを通じて、または本サービスの外部 (他のサードパーティーのクラウド サービスのシステム、オフラインまたはオンプレミスのストレージを含みます) で処理することを選択した個人データについて、Squarespaceは責任を負わないことに同意するものとします。

3.     データ処理の詳細

3.1. 対象について: 本DPAに基づくデータ処理の対象は、お客様の管理データです。

3.2. 期間: お客様と当社との間における本DPAに基づくデータ処理の期間は、お客様が決定するものとします。  

3.3. 目的: 本DPAに基づくデータ処理の目的は、お客様が随時開始される本サービスを提供することです。本サービスの提供に関連して、当社は、次の業務上の目的でお客様の管理データを処理するものとします: (a) お客様のアカウントの維持およびサービス提供のため、(b) お客様のWebサイトをエンド ユーザーに提供し、レンダリングするため、(c) お客様がエンド ユーザーと取引・通信できるようにするため、(d) エンド ユーザーによるお客様のWebサイトへのアクセスに関連する分析、監査、または検証を提供するため、(e) 本サービスのセキュリティと完全性を確保するため、および (f) 本サービスのデバッグおよび改善のため。

3.4. 処理の性質: 本契約に記載され、お客様が随時開始する本サービス。

3.5. 個人データの種類: お客様、お客様のエンド ユーザー、または本サービスを通じて与えられた指示に従って本サービスの一部として処理される対象データに含まれる、その他のデータ主体に関するお客様の管理データ。

3.6. データ主体のカテゴリー: お客様、お客様のエンド ユーザー、および対象データに個人データが含まれるその他の個人。

4.    処理に関するロールとアクティビティ

4.1.  処理者としてのSquarespaceおよび管理者としてのお客様: お客様はお客様の管理データについて管理者であり、Squarespaceはその管理データの処理者です。

4.2. 管理者としてのSquarespace: Squarespaceは、お客様またはお客様のエンド ユーザーに関する一部の個人データの独立した管理者である場合もあります。当社が管理するこの個人データの詳細については、当社のプライバシー ポリシーおよびサービス利用規約をご参照ください。当社は、その個人データをどのように使用し、処理するのかを独自に決定するとともに、それを独自の目的のために使用します。当社が管理者として個人データを処理する場合、お客様は、本契約がお客様と当社の間に共同管理者としての関係を生じさせないことを確認するものとします。お客様のエンド ユーザーとお客様のサイトとのやり取りに関するデータへのアクセスなど、当社が管理する個人データを当社がお客様に提供する場合、お客様は独立したデータ管理者としてそれを受け取り、その点に関するデータ保護法を遵守する責任があります。

4.3. 処理について: 当社は、本サービス (セクション3.3に詳述) をお客様に提供する目的 (以下「目的」) で、本サービスを通じて使用、構成、または変更される可能性のあるお客様の管理データを処理します。たとえば、本サービスの利用方法に応じて、当社は、次の目的でお客様の管理データを処理する場合があります: (a) お客様のサイト上でソーシャル メディア プラットフォームからのコンテンツや機能の統合を有効化するため、または (b) お客様に代わってエンド ユーザーにメールを送信するため。

4.4. 法律の遵守: お客様は、お客様の指示がお客様の管理データ (データ保護法を含みます) に関連して適用されるすべての法律、規制、および規則に準拠していること、およびお客様の管理データがお客様またはお客様の代理人によって合法的に収集され、かかる法律、規則、規制に従ってお客様から当社に提供されることを保証するものとします。また、お客様は、お客様の指示に従ったお客様の管理データの処理が、当社またはお客様に対して、法律、規則、または規制 (データ保護法を含みます) の違反を引き起こさない、または、結果的に違反とならないことを保証するものとします。お客様は、本契約に従ってデータのセキュリティに関連する当社から入手可能な情報を確認し、本サービスがお客様の要件および法的義務、ならびに本DPAに基づくお客様の義務を満たしているかどうかについて、独立した判断を下す責任があります。Squarespaceは、本契約に規定されている場合、本サービスを維持または提供するために必要な場合、または法律または政府、法執行機関、または規制機関の拘束力のある命令を遵守するために必要な場合を除き、お客様の管理データにアクセスしたり使用したりすることはありません。

5.     処理に関する当社の義務事項

5.1. 処理方法: 当社は、お客様の管理データを本目的および本契約または本サービスを通じてお客様が当社に与える指示に従って処理します。当社は、お客様の管理データを「販売」または「共有」(米国のデータ保護法で定義されています) することはありません。お客様は、本契約および本サービスを通じて提供される指示が、お客様の管理データに関する当社に対する完全かつ最終的な文書化された指示であることに同意するものとします。本DPAの範囲外の追加指示には、かかる指示を実行するためにお客様が当社に支払うべき追加料金に関する合意を含め、お客様と当社との間の事前の書面による合意が必要です。お客様の指示がデータ保護法に違反していると当社が判断した場合、またはお客様の指示に従うことができない場合は、速やかに通知します。当社は、法執行機関の調査または要請の機密性を保持するために法律上で禁止されているなど、公共の利益に関する重要な理由により、適用法によってかかる開示が禁止されている場合を除き、適用法によりお客様の指示に従うことができない場合にはお客様に通知します。

5.2. CCPA: お客様およびお客様の管理データ (かかる個人データを「CCPAデータ」) に関して、次の範囲で、CCPAの対象となります: (a) Squarespaceが「サービス プロバイダー」として行動し、お客様が「事業者」(CCPAで定義される用語) の場合、および (b) Squarespaceとお客様がCCPAに基づく当社およびお客様のそれぞれの義務を遵守する場合。Squarespaceは、CCPAで別段の許可がない限り、お客様との直接的な取引関係以外で、または事業以外の目的でお客様の管理データを使用することはありません。上記にかかわらず、お客様は、CCPAに従い、Squarespaceが以下を行うことができることに同意するものとします: (i) 本サービスの構築および質の改善のために内部でCCPAデータを使用すること、または (ii) データ セキュリティ インシデントを検出したり、詐欺行為や違法行為から保護したりする目的で、お客様またはSquarespaceがサービス プロバイダーである他の企業のエンド ユーザーの個人データを組み合わせること。この組み合わせられた個人データには、IPアドレス、設定、お客様または他の企業のWebサイトにアクセスする前にアクセスしたWebページ、ブラウザー、ネットワーク、またはデバイスに関する情報 (ブラウザーの種類とバージョン、オペレーティング システム、インターネット サービス プロバイダー、設定、一意のデバイスID、言語、その他の地域設定など)、およびエンド ユーザーがお客様または別の企業のWebサイトとやり取りする方法に関する情報 (タイムスタンプ、クリック、スクロール、閲覧時間、読み込み時間など) が含まれます。 

5.3. 違反の通知: 当社は、データ保護法に基づきお客様への通知が義務付けられている違反の発生を認識し、確認した後、不当に遅滞することなくお客様に通知します。当社は、データ保護法 (GDPR第33条および第34条を含みます) に基づく通知義務の遵守を支援するために、サービスの性質、当社が入手可能な情報、および機密保持などの情報開示の制限を考慮して、合理的に開示できる違反に関する情報をお客様に提供します。本セクション5.3に基づく違反の報告または対応での当社の義務は、この違反に関するSquarespaceの過失または責任についてSquarespaceが認めるものではなく、その後も認めるものとして解釈されません。上記にかかわらず、本セクション5.3に基づくSquarespaceの義務は、お客様、お客様のアカウントおよび/またはサードパーティーのサービスでの活動に起因するインシデントには適用されません。

5.4. お問い合わせまたは苦情の通知: 当社は、適用法で認められている場合、以下を受け取った時点でお客様に通知します: (a) エンド ユーザーまたはお客様の管理データに個人データが含まれる、その他の個人からの問い合わせまたは苦情、または (b) お客様の管理データに関する政府、法執行機関、規制機関、またはその他の機関からの拘束力のある要請 (裁判所命令や召喚状など)。

5.5. コンプライアンスに関する合理的な支援: 当社は、お客様が本サービスを通じて合理的に行うことができない範囲で、データ保護法 (GDPR第3章を含みます) に基づくデータ主体の依頼に対応する管理者としての義務の履行に関して、本サービスの性質および当社が利用可能な情報を考慮して、お客様に合理的な支援を提供します。データ保護法で義務付けられている範囲で、お客様は、お客様に個人データの削除を合法的に依頼したデータ主体に関連するお客様の管理データを当社が保持または使用していないことの確認書の発行を当社に依頼することができます。お客様は、かかる支援の提供によって生じる合理的な費用について責任を負うものとします。

5.6. セキュリティ対策と保護措置: 当社は、こちらに定めるセキュリティ対策と保護措置を維持します。当社は、セキュリティ対策または保護手段を変更または更新することがありますが、お客様の管理データのセキュリティに悪影響を与えるような方法では行いません。当社は、お客様の管理データにアクセスできる当社の権限の下で行動する自然人が、適用法で義務付けられていない限り、そして当社の指示による場合を除き、そのデータを処理しないこと、および当社がお客様の管理データを処理する権限を付与した担当者が、関連する機密保持義務を負っているか、または適切な法定の守秘義務を負っていることを確認するための措置を講じます。

5.7. 復処理者: お客様は、お客様に本サービスを提供するために、お客様の管理データを復処理者と共有できることに同意するものとします。当社は、当社の復処理者に契約上の義務を課し、当社の復処理者に対し、お客様の管理データの処理を委託する追加の下請け業者に対して契約上の義務を課すよう契約上義務付けることを義務付け、かかる復処理者が提供するサービスの性質に適用される範囲で、本DPAで課される契約上の義務と同程度のデータ保護をお客様の管理データに対してすべての重要な点において提供します。当社の現在の復処理者の一覧をご希望の場合は、privacy@squarespace.com宛にメールにてご依頼ください。異議申し立てが合理的であり、データ保護に関する懸念に関連している場合、privacy@squarespace.com宛にメールを送信し、復処理者に異議を唱えることができます。復処理者に異議を唱え、その異議が合理的であり、データ保護の懸念に関連する場合、当社は、商業的に合理的な努力を払い、異議を唱えられた復処理者によるお客様の管理データの処理を回避する手段を提供します。当社が合理的な期間内に提案された変更を提供できない場合、お客様に通知し、お客様が当社による当該復処理者の使用に引き続き異議がある場合、本サービス、または可能であればかかる復処理者の使用に関連する本サービスの部分を解約または終了することができます。ただし、本セクション5.7に定める場合を除き、復処理者に異議を唱える場合、本サービスを使用またはアクセスすることはできません。お客様は、本セクション5.7に記載されている復処理者の使用に同意するものとします。ただし、本セクション5.7に定める場合を除き、またはお客様が別途許可した場合、当社は、いかなる復処理者もお客様の管理データにアクセスすることを許可しません。次の事項にご注意ください: (a) 米国以外のユーザーの場合、Squarespace, Inc.が当社の復処理者の1社であること、および (b) 米国のユーザーの場合、Squarespace Irelandが当社の復処理者の1社であること。Squarespaceは、本DPAの義務の遵守およびお客様の管理データを処理し、本DPAに基づくSquarespaceの義務事項に違反を引き起こすお客様の管理データを処理する復処理者またはそのさらなる下請け業者の作為または不作為について、作為または不作為がSquarespace自身のものである場合にSquarespaceが本契約に基づいて責任を負う範囲でのみ引き続き責任を負うものとします。 

5.8. Squarespace監査: Squarespaceは、(データ保護法で義務付けられている場合) 当社のセキュリティ対策の妥当性を確認するため、またはそれ以外にデータ保護法で義務付けられている場合に、外部または内部の監査人を使用する場合があります。

5.9. 顧客監査と情報の依頼: お客様は、Squarespaceにセクション5.8条に記載されている監査を実施するように指示して、監査または検査を実施しなければならない権利を行使することに同意するものとします。お客様は、当社がかかる報告書または監査の結果をお客様と共有する前に、Squarespaceとの秘密保持契約に同意する必要があること、および当社が適切と考える場合には、かかる報告書を編集する場合があることに同意するものとします。Squarespaceがかかる指示に従わない場合、またはかかる監査からの報告書を確認する以外の方法でデータ保護法の遵守を証明することが法的に義務付けられている場合、お客様は次の方法でのみ変更の依頼ができます。

a. まず、Squarespaceがこの依頼を効果的に確認するために、依頼されている情報、この取得に必要とする形式、および依頼の根本的な法的要件 (これらに限定されません) などの必要なすべての詳細情報 (以下「依頼」) を書面に明記のうえ、提出してください。お客様は、この依頼は当社のセキュリティ対策に関する情報、またはデータ保護法で義務付けられている情報に限定されることに同意するものとします。

b. 当社が依頼を受領し、確認した後、合理的な期間内に、お客様と当社は、依頼への対処方法の詳細を決定するための計画に合意するために、誠意を持って話し合い、取り組むものとします。お客様と当社は、適用される法的要件、お客様が入手可能な、または提供を受ける可能性のある情報、問題の緊急性、およびSquarespaceが中断のない事業運営と施設のセキュリティを維持し、当社とその顧客をリスクから保護し、Squarespaceの機密性または当社のユーザー情報を危険にさらす可能性のある情報の開示を防止する必要性を考慮して、Squarespaceが依頼に対処するために最も妨げとならない手段を使用することに同意するものとします。

お客様は、依頼を検討し、対処するためにかかる費用を支払うものとします。本セクション5.9に従ってSquarespaceまたはその監査人が提供する情報および文書にかかる費用はお客様のご負担でご用意いたします。監査または検査に関してお客様から依頼された指示に当社が従わない場合、お客様は、影響を受ける有料サービスを解約できます。

5.10. 質問: 本DPAに定める義務の遵守に関する情報をお客様が当社に合理的に依頼された場合、当社は、かかる情報がその他の方法で利用できない場合、暦年に1回を超えてこの権利を行使しないことに同意することを条件に、書面による回答を提供します (ただし、データ保護法を遵守するためにお客様がそうする必要がある場合を除きます)。本セクション5.10に基づきSquarespaceが提供する情報は、本サービスの性質およびSquarespaceが利用可能な情報を考慮し、データ保護影響評価および事前協議に関して、適用されるデータ保護法に基づきお客様が義務を遵守することを支援するために必要な情報のみに限定されます。お客様は、当社がかかる情報をお客様と共有する前に、Squarespaceとの秘密保持契約に同意する必要がある場合があることに同意するものとします。  

5.11. 依頼: お客様は、本サービスを通じて、お客様の管理データの一部を削除したり、そのコピーにアクセスしたりできます。本サービスを通じて削除またはアクセスできないお客様の管理データについて、当社は、書面による依頼に応じて、当社または当社の復処理者が保有するお客様の管理データのうち、データ主体と関連付けることができるものに関して、本契約に記載されている制限に従い、適用法または政府、法執行機関または規制機関の命令で禁止されていない限り、(a) 該当する有料サービスの解約後90日以内にかかる依頼を行うことを条件に、かかるデータおよびかかるデータのコピーをお客様に返却するか、または (b) かかるデータを削除し、当社の復処理者に削除を要請します (ただし、(a) または (b) の場合、適用法を遵守するために、または本契約に別途規定されているために維持する該当データを除きます)。それ以外の場合、当社は、当社のデータ保持ポリシーに従って、お客様の管理データを削除します。

6.     データ移転

6.1. 特に、本DPAに記載されているセキュリティ対策および保護措置、ならびに特定の状況を考慮して、お客様は、Squarespaceがお客様の管理データをかかるデータが最初に収集された国から、Squarespaceまたは復処理者が事業を行う他の国 (特に米国を含みます) に移転することを許可するものとします。

6.2. Squarespace, Inc.は、EU-米国間データ プライバシー フレームワーク、スイス-米国間データ プライバシー フレームワークおよびEU-米国間データ プライバシーフレームワークの英国拡張 (それぞれを個別に、および総称して「データ プライバシー フレームワーク」) に準拠しています。Squarespace, Inc.は、EEA、スイス、および/または英国から受け取った個人情報の処理に関するデータ プライバシー フレームワーク遵守の認定を米国商務省から受けています。Squarespace, Inc.の認定についてはこちらをご参照ください。Squarespace, Inc.では、EEA、スイス、および/または英国から取得した個人情報を、適用されるデータ プライバシー フレームワークに従って、その原則 (以下「DPF原則」) に基づいて取り扱うことを約束します。データ プライバシー フレームワークとDPF原則の詳細については、https://www.dataprivacyframework.gov/をご参照ください。

6.3. Squarespaceは、EEA、スイス、および/または英国から受け取った個人情報を合法的に移転するために、該当するデータ プライバシー フレームワークを使用し、少なくともDPF原則で要求されているのと同じレベルの保護をかかる個人情報に提供することを保証し、この要件を遵守できない場合はお客様に通知します。 

6.4. 欧州データ保護法により、適切な保護措置が講じられていることが義務付けられている場合 (たとえば、データ プライバシー フレームワークが米国のSquarespace, Inc.への移転を対象としていない場合、および/または該当するデータ プライバシー フレームワークが無効な場合)、2021年6月4日付けの欧州委員会の決定2021/914によって承認された、標準契約条項 (英国に関しては、2022年3月21日に発効し、個人情報保護監督機関によって承認された欧州委員会の標準契約条項の国際データ移転補遺) が参照により組み込まれ、本契約の一部を構成します。

6.5. かかる移転が欧州データ保護法で別段の許可がない限り、欧州データ保護法の下でお客様の管理データに適切なレベルの保護を提供すると認められていない国の復処理者への移転は、次に従い行われるものとします: (a) GDPRに従って、2021年6月4日付の欧州委員会の決定2021/914によって承認された第三国への個人データの移転に関する処理者間 (モジュール3) 標準契約条項 (英国に関しては、2022年3月21日発効の、個人情報保護監督機関によって承認された欧州委員会の標準契約条項の国際データ移転補遺)、または (b) EEA、英国、またはスイスで適用される欧州データ保護法の下で認められている第三国への個人データの移転に関するその他の標準契約条項。効率的かつ連係したサービスを促進するために、かかる標準契約条項に関連するSquarespaceおよび復処理者 (Squarespace, Inc.を含みます) とのすべての通信は、可能な限り、Squarespace Ireland Limitedを通じて調整および指示されます。

7.     責任

本DPAに基づく各当事者の責任については、本契約に定める責任の除外および制限が適用されます。お客様は、本契約、本DPAまたはデータ保護法に基づく義務を遵守しなかった結果または関連して発生する、管理データに関連してSquarespace IrelandまたはSquarespace, Inc.が被ったデータ主体またはその他の者による規制上の罰則または請求が該当する場合、Squarespace Irelandおよび/またはSquarespace, Inc.からお客様への適用可能な賠償責任の上限額は、結果として当社が被った規制上の罰則、請求、および/または賠償責任と同額に軽減されることに同意するものとします。

8.    矛盾

本DPAと本契約の残りの部分との間に矛盾がある場合は、本DPAが優先されます。 

9.    その他

お客様は、Squarespace IrelandおよびSquarespace, Inc.が本契約 (本DPAを含みます) に基づくお客様の指示または依頼を遵守することに起因する費用および経費について、本サービスを通じて一般的に利用可能になる標準機能の範囲外となる費用および経費について責任を負うものとします。

10.   本DPAの変更

当社は、本DPAを随時変更することがあり、当社のサイトに最新版を投稿します。変更によってお客様の権利が著しく減少する場合は、当社のサービス利用規約に定める手続きに従って通知します。お客様は変更が有効になった後も本サービスの使用またはアクセスを継続することにより、変更後のDPAにより法的拘束を受けることに同意したものとみなされます。当社の変更に同意されない場合は、該当するサービスの使用を中止し、該当する有料サービスを解約する必要があります。