データ処理 契約

1. 紹介

This Data Processing Agreement ("DPA") supplements the Terms of Service and Privacy Policy of Mewayz Global, Corp. ("Mewayz", "we", "us", or "our"). This DPA applies when Mewayz processes Personal Data on behalf of the Customer in the course of providing the Mewayz platform services.

本DPAは、一般データ保護規則（GDPR）（EU）2016/679およびその他の適用されるデータ保護法規に従い、お客様とMewayzの間の管理者-処理者の関係を確立します。

Mewayzサービスを利用することにより、顧客は本DPAの条件に拘束されることに同意するものとします。本DPAは、顧客が当社の利用規約を受け入れた日、または当社のサービスの利用を開始した日から効力を生じます。

2. 定義

本DPAには、GDPR第4条に従い、以下の定義が適用されます：

• 管理者 — 単独または他者と共同で、個人データの処理の目的および手段を決定する自然人、法人、公的機関、庁、その他の団体。
• プロセッサ — 管理者に代わって個人データを処理する自然人、法人、公的機関、庁、その他の団体。
• サブプロセッサー — أي طرف ثالث يستعين به المعالج للمساعدة في معالجة البيانات الشخصية نيابة عن المراقب.
• 個人データ — Any information relating to an identified or identifiable natural person ("Data Subject"). An identifiable natural person is one who can be identified, directly or indirectly, by reference to an identifier.
• 処理中 — أي عملية أو مجموعة عمليات تُجرى على البيانات الشخصية، سواءً كانت آلية أم لا، مثل الجمع، التسجيل، التنظيم، الهيكلة، التخزين، التكيف، التعديل، الاسترجاع، الاستشارة، الاستخدام، الإفصاح عن طريق النقل، النشر، أو جعلها متاحة بطريقة أخرى، المحاذاة، الدمج، التقييد، المحو، أو الإتلاف.
• データ主体 — 個人データが処理されている、識別されたまたは識別可能な自然人。

3. 範囲と役割

本DPAに基づき、顧客は管理者として、MewayzはMewayzプラットフォームを通じて処理される個人データに関して処理者として行動します。

Mewayzは、管理者からの文書化された指示に基づいてのみ個人データを処理します。これには、個人データの第三国または国際機関への移転に関する指示も含まれます。ただし、処理者が従う欧州連合または加盟国の法律で要求される場合は除きます。

Mewayzは、指示が適用されるデータ保護法に違反すると判断した場合、直ちに管理者に通知します。

4. データ処理詳細

以下は、Mewayzによって行われるデータ処理活動の性質、目的、および範囲について説明します：

個人データのカテゴリ:

• アカウントデータ — 名前、メールアドレス、電話番号、会社名、役職、ログイン資格情報。
• 連絡先データ — Contact information of the Customer's end users, clients, or leads stored within the Mewayz platform.
• 使用データ — プラットフォーム操作ログ、機能利用分析、IPアドレス、ブラウザおよびデバイス情報。
• コンテンツデータ — 顧客がプラットフォーム内でアップロードまたは作成したファイル、文書、メッセージ、メモ、およびその他のコンテンツ。

データ主体のカテゴリ:

• The Customer's end users and platform users
• The Customer's employees and team members
• The Customer's contacts, clients, and leads

処理目的:

利用規約に記載されている Mewayz プラットフォームサービス（CRM、プロジェクト管理、請求書作成、ヘルプデスク、およびプラットフォーム内で利用可能なその他全てのモジュールを含む）の提供、維持、改善。

5. セキュリティ対策

Mewayzは、リスクに見合ったセキュリティレベルを確保するために、適切な技術的および組織的対策を実施します。これには以下が含まれます：

• 保存時の暗号化 — 当社サーバーに保存されるすべての個人データはAES-256暗号化標準を使用して暗号化されています。
• 転送中の暗号化 — 顧客とMewayz間で送信されるすべてのデータはTLS 1.2以上の暗号化プロトコルで保護されています。
• アクセス制御 — 厳格なロールベースのアクセス制御により、許可された担当者のみが個人データにアクセスできます。すべての管理アクセスには多要素認証が必須です。
• 定期的なセキュリティレビュー — 潜在的なセキュリティリスクを特定し是正するため、定期的なセキュリティ評価、脆弱性スキャン、コードレビューを実施しています。
• インシデント対応手順 — 当社は、特定、封じ込め、根絶、復旧、および事後レビュープロセスを含む、文書化されたインシデント対応手順を維持しています。
• バックアップと復旧 — 定期的な自動バックアップが実行され、安全に保管されます。復旧手順は定期的にテストされ、データの完全性と可用性が保証されます。

6. サブプロセッサー

Mewayzは、サービス提供を支援するために以下のサブプロセッサーを利用しています。各サブプロセッサーは、適用されるデータ保護要件への準拠について審査済みです：

• Stripe, Inc. — 決済処理。所在地：アメリカ合衆国。処理データ：支払いおよび請求情報。
• Cloudflare, Inc. — コンテンツ配信ネットワーク（CDN）およびセキュリティサービス。所在地：米国（グローバルエッジネットワーク）。処理されるデータ：トラフィックデータ、IPアドレス。
• Hetzner Online GmbH — サーバーホスティングおよびインフラストラクチャ。所在地：欧州連合 / アメリカ合衆国。処理データ：サーバーに保存されているすべてのプラットフォームデータ。

Mewayzは、下位処理者を追加または交換する前に顧客に通知し、顧客がそのような変更に異議を唱える機会を提供します。顧客が合理的に異議を唱えた場合、Mewayzは代替ソリューションを提供するために合理的な努力を払い、または顧客は影響を受けるサービスを終了することができます。

Mewayzは、契約により、このDPAに定められたものと同等以上のデータ保護義務を各下位処理者に課します。

7. データ主体の権利

Mewayzは、データ主体がGDPRに基づく権利を行使する請求に対応するための管理者の義務履行を支援します。これには以下が含まれます：

• アクセス権 (Artikel 15) — 個人データの確認およびアクセスを求める権利。
• 修正権 (Artikel 16) — 不正確な個人データを修正する権利。
• 消去権 (Artikel 17) — 特定の状況下で個人データの削除を求める権利。
• 制限権 (Artikel 18) — 個人データの処理を制限する権利。
• データ移植権 (Artikel 20) — 構造化され、一般的に使用され、機械可読形式で個人データを受け取る権利。

Mewayzは、データ主体からの請求を受領したら速やかに管理者に通知し、管理者から許可されない限り、そのような請求に直接応答しません。

8. データ侵害通知

個人データ侵害が発生した場合、MewayzはGDPR第33条に従い、不当な遅延なく、かつ侵害を認識してから72時間以内に管理者に通知します。

通知には以下を含むものとします：

• 個人データ侵害の性質の説明。影響を受けたデータ主体および個人データレコードのカテゴリとおおよその数を含む。
• データ保護責任者または詳細情報の入手が可能なその他の連絡先の氏名および連絡先詳細。
• 個人データ侵害の発生した可能性のある結果の説明。
• 侵害に対処するため、講じられた、または講じられる予定の措置（悪影響を軽減するための措置を含む）の説明。

Mewayzは管理者と協力し、合理的な商業的措置を講じて、各違反の調査、緩和、是正を支援します。

9. データ転送

個人データが欧州経済領域（EEA）から、十分なレベルのデータ保護が確保されていないEEA外の国に転送される場合、Mewayzは以下のような適切な保護措置を講じます。

• EU-USおよびその他の国際データ移転のために欧州委員会が採択した標準契約条項（SCCs）。
• Additional technical and organizational measures to supplement the SCCs where necessary, based on transfer impact assessments.

Mewayzは、データ移転メカニズムの変更について管理者に通知し、あらゆる移転が適用されるデータ保護法に準拠することを保証します。

10. データ保持と削除

顧客とMewayz間の契約の終了または満了時、Mewayzは管理者の選択に応じて、以下のいずれかの措置を講じます：

• 書面による請求を受領後30日以内に、管理者に代わって処理したすべての個人データを削除する。または
• 書面による請求を受領後30日以内に、個人データを構造化され、一般的に使用され、機械可読形式で管理者に返却する

Mewayzは、欧州連合または加盟国の法律で個人データの保存が要求されない限り、個人データの既存のコピーを削除します。要求に応じて、Mewayzはデータ削除の書面による確認を提供します。

11. 監査

Mewayzは、このDPAおよびGDPR第28条に定められた義務の遵守を実証するために必要なすべての情報を管理者に提供します。

The Controller, or an independent third-party auditor mandated by the Controller, may conduct audits to verify Mewayz's compliance with this DPA, subject to the following conditions:

• 管理者は、監査を実施する前に少なくとも30日前までに合理的な事前書面通知を提供するものとします。
• Audits shall be conducted during normal business hours and shall not unreasonably interfere with Mewayz's operations.
• 監査の費用は管理者が負担するものとします。ただし、監査の結果Mewayzによる重大な不遵守が明らかになった場合は除きます。
• يجب التعامل مع نتائج التدقيق وأي معلومات يتم الحصول عليها بسرية.

12. 接触

このデータ処理契約またはデータ保護に関するお問い合わせは、以下までご連絡ください：

• 会社： Mewayz Global, Corp.
• 住所: 131 Continental Dr, Suite 305, Newark, DE 19713, USA
• データ保護メール: [email protected]
• EIN: 38-4374855
• ウェブサイト： https://mewayz.com