1.2. 本第1条または本C2C DPAの他の場所のいずれにも定義されていないその他の用語については、データ保護法が定める定義を参照するものとします。
1.3. C2C DPAまたは本規約の補遺と本契約との間に矛盾がある場合、C2C DPAおよび補遺が優先すされるものとします。
1.4. 本C2C DPAと本C2C DPAの補遺(SCCを含む)との間に矛盾がある場合、最も厳しい規定が優先されるものとします。
2. 処理の目的
2.1. 本契約もしくは本C2C DPAにおいて別途合意されていない限り、またはいずれかの当事者がデータ主体の有効な同意を得ている場合を除き、各当事者は、本契約および本C2C DPA(SCCを含む)に基づく義務を遵守するために必要な範囲で、他方当事者から受け取った個人データのみを処理するものとします。
3. 期間
3.1. C2C DPAは、本契約の発効日に発効し、本契約の期間中有効です。
3.2. ただし、本C2C DPAのすべての条項は、本契約の期間中に処理された個人データに関する限り、本契約の満了および終了後も存続するものとします。
4. 当事者の義務
4.1. 本C2C DPAの実施において、各当事者は、互いに独立した管理者にとどまるものとする。CCPAのの適用上、かつ適用される範囲に限り、両当事者は、(i) 各当事者はサードパーティとして行動し、他方の当事者がビジネスとして行動する、(ii) 当事者間の個人データの移転は、金銭的またはその他の有価約因のためではなく、カリフォルニア民法1798.140(ad)(2)(A)の例外を満たすため、販売ではないことに同意するものとします。
4.2. その点で、各当事者は、本C2C DPAおよびデータ保護法に従って個人データを処理することを約束します。特に、データ主体に連絡し、その権利の保護を徹底すること、処理された個人データのセキュリティと機密性を保証すること、特に、内部で組織的措置およびセキュリティ対策を導入すること、処理の合法性を確保すること、カナダの個人データの処理に対するデータ主体の有効な同意を取得し、かかる同意の証拠を保持することを約束します。
4.3. 各当事者は、(i) 他方当事者がデータ保護法に基づく義務に則って個人データを使用するよう合理的な措置を講じる権利を有し、(ii) データ保護法に基づく義務を果たすことができないと判断した場合は、他方の当事者に通知するものとし、(iii) 他方当事者に通知した後で、個人データの不正使用を防止し、是正するための合理的かつ適切な措置を講じる権利を有します。
4.4. 各当事者は、自らが他方の当事者から受領した個人データに関して、データ主体から受けた苦情、要求または問い合わせを他方の当事者に通知するものとします。これには、アクセス、修正、消去、制限、情報、データポータビリティ、同意の撤回の権利の行使、または自動化された決定システムの場合の個人情報の観測の提供が含まれますが、これらに限定されません。苦情、要求、問い合わせを受けた当事者は、SCCおよびデータ保護法に従ってデータ主体に対応するものとします。他方の当事者は、合理的に要求されたすべての情報および支援を提供するものとします。
4.5. 各当事者は、セキュリティインシデントについて、遅延なく他方の当事者に通知するものとします。セキュリティインシデントが発生した場合、セキュリティインシデントに遭遇している当事者は、適切な是正措置を速やかに講じるものとします。各当事者は、監督機関またはその他の管轄のプライバシー委員会もしくは機関、および影響を受けるデータ主体に適切に通知するなど、SCCおよびデータ保護法に従ってセキュリティインシデントに対処するために合理的に必要なすべての協力を他方の当事者に提供するものとします。
5. 個人データの移転
5.1. 両当事者は、データ保護法に個人データの移転に関する制限が含まれることを認めます。適用可能な範囲において、各当事者は、適用されるデータ保護法に従い、本第5条を条件として、本契約に関する個人データのみを移転するものとします。
5.2. EEAからの移転。EEAからの移転の場合、SCCは本DPAに組み込まれ、以下のとおり移転に適用されます。
(i) モジュール1が適用されます。
(ii) 第7条において、任意のドッキング条項が適用されます。
(iii) 第11(a)条において、任意の文言は適用されません。
(iv) 第17条において、オプション1にはフランスの準拠法が適用されます。
(v) 第18条(b)において、紛争はフランスの裁判所において解決されます。
(vi) SCCの付属書Iは、本DPAの付属書Iに記載の情報に補足されます。
(vii) SCCの付属書IIは、本DPAの付属書IIに記載の情報に補足されます。
5.3. スイスからの移転。スイスから移転される場合、SCCは本DPAに組み込まれ、第5.2条で修正された移転に適用されます。ただし、以下の場合はこの限りではありません。
(i) 本SCCにおける「加盟国」とはスイスを指し、スイスに所在するデータ主体は、スイスにおいて、SCCに基づく権利を行使および執行できます。
(ii) SCCの「一般データ保護規則」、「規制2016/679」、および「EU一般データ保護規則」とは、(修正または変更版の)スイス連邦データ保護法を指します。
5.4. 英国からの移転。英国から移転される場合、英国国際データ移転補遺は本DPAに組み込まれ、移転に適用されます。表1には付属書Iに記載された情報で補足され、表2は第5.2条に記載された情報で補足されます。表3は、付属書IおよびIIに記載された情報に補足されます。表4は、選択された「インポーター」と「エクスポーター」の両方に補足されます。パート2が選択されています。
5.5. 別途合意がない限り、データ保護法が要求する範囲において、ホテルは、グループがデータの移転影響評価を実施するために合理的に必要な支援および情報をすべてグループに提供するものとします。両当事者は、データの移転影響評価の結果、本C2C DPAの修正が必要になる場合があることに同意します。本条における本ホテルの義務は、SCC第14条に基づく本ホテルの保証および義務に影響を与えません。
5.6. 「移転影響評価」に基づき、グループが十分なデータ保護水準を確保していない国の法律または慣行のため、ホテルが、SCCまたは英国国際データ移転補遺に基づく義務の履行を妨げられる、または妨げる可能性があると見なし、グループが、特定の移転について、基本的に同等レベルの保護を十分確保する追加措置が存在しない、またはそのような措置が許容されない(これらの措置の費用のため、またはグループへの悪影響により)とみなす場合、グループは、ホテルに書面で通知することにより、移転を拒否または停止することができます。その場合、第5.8条が適用されます。
5.7. SCCまたは英国国際データ移転補遺に従って、ホテルがSCCまたは英国国際データ移転補遺に基づく義務の履行を妨げる法律または慣行の対象となっていると考える理由があることをグループに通知する場合、ホテルは、グループまたはホテルが状況に対処するために追加措置を実施できるかどうかをグループが評価できるよう、合理的に必要なすべての支援および情報を速やかにグループに提供するものとします。グループが、特定の移転について基本的に同等レベルの保護を十分確保できる追加措置が存在しない、またはかかる措置が受け入れられない(これらの措置の費用のため、またはグループへの悪影響により)と判断した場合、グループは、ホテルに書面で通知することにより、移転を停止することができます。その場合、第5.8条が適用されます。ホテルは、通知の受領をもって、かかる停止を実施するためにあらゆる措置を講じます。本条項は、グループが、その他、ホテルがSCCまたは英国国際データ移転補遺に準拠できなくなったと考える理由がある場合に準用されます。
5.8. 本第5条に基づくグループのこれらの権利は、本契約、本C2C DPAまたは法に基づく本グループのその他の権利を侵害するものではありません。
6. セキュリティ対策
6.1. 各当事者は、(a) 各当事者の事業の規模、範囲、および種類、(b) 当事者が処理する情報の種類および機密性レベル、ならびに(c) かかる情報のセキュリティおよび機密性の必要性に適切な、管理上、技術上および物理的な保護措置を含む、包括的かつ書面による情報セキュリティプログラム(以下「セキュリティプログラム」)を維持するものとします。ホテルセキュリティプログラムには、付属文書IIに詳述される、以下を目的として設計された措置が含まれるものとします。(a) 個人情報の機密性、完全性および可用性を保護する、(b) 個人情報の機密性機密性、完全性および可用性に対して予期される脅威または危険から保護する、(c) 個人情報の不正または違法なアクセス、開示、変更、または破棄から保護する、(d) 個人情報の偶発的な紛失や破壊、または破損から保護する、(e)データ保護法に従って個人情報を保護する。
7. 保持
7.1. 本契約または本C2C DPAにおいて明示的に別途合意されない限り、各当事者は、他方の当事者から受領した個人データを、本契約に基づく義務を履行するために必要な期間に限り保持するものとします。本契約の終了後に保持される。かかる個人データに関して、当該当事者は引き続き、本契約の条項および本C2C DPAに従って当該個人データを保護するものとします。
8. 通知
8.1. 本C2C DPAに基づくすべての通知、要望、要求および決定(通常の運営上の連絡を除く)は、書面にて行うものとし、データ保護法に従って、DPOに送付されるものとします。または、当社において個人データの保護を担当するその他の人物に、本契約に定める住所(ccの通知の宛先を含む)に送付されるものとします。
8.2. 一方の当事者は、新しい住所または被指名人の事前の書面による通知と、その発効日を相手方当事者に通知することで、通知の目的で、その住所または被指名人を随時変更することができます。住所または被指名人の変更に関するかかる通知は、本条項の規定に従って行うものとします。
9. データ保護法の変更
9.1. データ保護法の遵守、データ保護法の法的解釈への対処、またはデータ保護法の変更への対処のため、本C2C DPAを変更する必要が生じた場合に、両当事者は誠実に交渉することに同意するものとします。
10. 準拠法
10.1. 本C2C DPAはフランスの法律に準拠します。
付属書I
A.当事者一覧
データエクスポーター
お名前
| グループ
|
本契約に定めるとおり
| 本契約に定めるとおり
|
本条項に基づき移転されるデータに関連する活動
| 客室予約や宿泊リクエスト、ホテル滞在。
|
役割(管理者/処理者)
| 管理者
|
データインポーター
お名前
| ホテル
|
本契約に定めるとおり
| 本契約に定めるとおり
|
本条項に基づき移転されるデータに関連する活動
| 客室予約および宿泊リクエストを管理し、ホテルサービスを提供するための個人データの処理。
|
役割(管理者/処理者)
| 管理者
|
B.移転の説明
処理業務の性質
[データ処理者が行う処理業務を明記してください]
| 宿泊および/またはホテル滞在活動を整理するためのデータの提供
|
処理の目的:
[個人データがデータ処理者によって処理される目的をすべて明記してください〕
|
ゲスト予約とホテルサービスの円滑化
|
個人データのカテゴリー
非機密データ:氏名、生年月日、旅行日、性別、パスポート番号、Eメールアドレスなど
機密データ:人種または民族的出自、政治的見解、宗教的または哲学的信条、労働組合への加入状況、自然人を固有に特定するために使用される遺伝情報または生体データ、自然人の身体的または精神的な健康状態または状態、性生活または性的指向に関するデータ]]
|
ホテルが収集する個人情報には以下のものが含まれます:
連絡先の詳細(姓、名、電話番号、Eメールなど)
個人情報(生年月日、国籍など)
お子様に関する情報(下の名前、生年月日、年齢など)
クレジットカード番号(取引およびご予約用)
本人確認できる情報(IDカード、パスポート、運転免許証など)
Accorロイヤルティプログラムまたはその他のパートナープログラム(航空会社のロイヤルティプログラムなど)の会員番号、およびロイヤルティプログラムのなかでのアクティビティに関する情報
ご到着日/ご出発日
ご希望や興味(喫煙ルームまたは禁煙ルーム、ご希望フロア、寝具の種類、新聞/雑誌の種類、スポーツ、文化的関心、お食事やお飲み物のご希望など)
ホテル滞在中または滞在後の質問/コメント
ウェブサイトやアプリケーションの使用の結果、生成される技術データおよび位置情報データ。
|
データ主体のカテゴリー
| グループ参加者
|
処理作業の期間
[個人データ処理活動が実施される期間を明記してください。]
| ホテルは、本契約の期間中および適用法で求められる期間、個人データを処理します。
|
データ移転の頻度
| サービスを提供するため必要に応じて、継続的に移転されます。
|
保持期間(または保持基準)[保持期間を明記してください、それが不可能な場合は、その期間を決定するために使用される基準を明記してください。
| ホテルは、本契約の期間中および適用法で求められる範囲で個人データを保持します。
|
機微なデータに関する制限/保護(該当する場合)[厳格な目的制限、アクセス制限、データへのアクセス記録、再移転の制限、追加のセキュリティ対策など、データの性質とそれに伴うリスクを十分に考慮して適用される制限または保護策を明記してください。
| なし
|
C. 管轄監督機関
Commission Nationale de l'Informatique et des Libertés (CNIL) (フランスの監督機関)
付属書II
データの安全性を確保するための技術的および組織的な対策を含む技術的および組織的な対策
両当事者は、それぞれの責任の範囲内で、本契約の主題に関して、一般的に受け入れられている最先端の技術を使用し、以下に記載するすべての措置(すなわち、フランスデータ保護局のセキュリティおよび秘密保持基準措置に関する推奨事項)などの監督機関の推奨に従って、必要なすべての標準的かつ適切な技術的および組織的措置を実施することを約束します。ホテルが定める、および実施する措置は、一部、所在地によって決まり、したがって異なる場合がありますが、必要なセキュリティレベルには影響しません。両当事者は、下記に加え、実施すべきその他の措置について合意することができます。
ホテルは、そのポリシーおよび基準に従って、さらなる措置を実施する場合もあります。
承認された行動規範(EU一般データ保護規則第40条に記載)または承認された認定機構(EU一般データ保護規則第42条に記載)をホテルが遵守することは、十分な保証を示す要素として使用される場合があります。
ホテルは、かかる個人データ処理の最新技術、実施費用、性質、範囲、状況および目的、ならびにデータ主体の権利および自由に関するリスクの可能性および重大性を考慮して、個人データの処理によって提示されるリスクに適切なレベルのセキュリティを確保するために設計された、特定の管理的、技術的および組織的なセキュリティ対策を実施および維持するものとします。ホテルは、lawdept@accor.comまでEメールをお送りいただければ、グループからの要請に応じて、技術的および組織的なセキュリティ対策に関する一般的な説明を提供いたします。
フランス語で表示するには、こちらをクリックしてください。
スペイン語で表示するには、こちらをクリックしてください。
