『データ処理に関する補遺』

当社ポリシーアーカイブ(新しいタブまたはウィンドウで開く)にあるこのポリシーおよび他のポリシーの以前のバージョンを参照してください。

この『データ処理に関する補遺』(「補遺」)は、以下のURLで入手可能な随時更新される利用規約を補足するものであり、利用規約の一部を構成するものです。https://www.canva.com/policies/terms-of-use/(新しいタブまたはウィンドウで開く)または、Canva『サブスクリプションサービス契約』(新しいタブまたはウィンドウで開く)(以下「契約」)(Canva Pty Ltd (ABN 80 158 929 938) of Level 1, 110 Kippax St, Surry Hills, New South Wales, Australia 2010またはCanva US, Inc. with offices at 200 E 6th Street, Austin, TX, USA 78701(以下「Canva」)と、関連するカスタマーアカウントまたは本補遺を参照する注文(該当する場合)において顧客として特定される法人または個人(以下「お客様」)との間で締結)を補足し、一部を構成するものです。本補遺は、Canvaが契約に基づき、お客様のために個人データの処理者またはサービスプロバイダー(該当する場合)として行動する場合、およびその範囲において適用されます。本補遺と契約の間に齟齬がある場合、かかる齟齬の範囲においては、本補遺が優先するものとします。

1. 定義と解釈

本補遺において、以下の用語は以下の意味を有するものとします。

(a)適用される個人情報保護法」とは、該当する場合に以下を含む、当該個人データに適用されるすべての世界的なデータ保護および個人情報保護に関する法律および規制を意味します。(i)欧州プライバシー法、(ii)1988年オーストラリアプライバシー法(Cth)(以下「オーストラリアプライバシー法」)、(iii)2020年ニュージーランドプライバシー法、(iv)フィリピン共和国法No. 10173)、(v)ブラジルデータ保護法(ブラジル)第13,709/2018号(ポルトガル語、Lei Geral de Proteção de Dados Pessoais)(以下「LGPD」)、(vi)2018年カリフォルニア州消費者プライバシー法およびその規則(以下「CCPA」)、(vii)2021年バージニア州消費者データ保護法以下「VCDPA」)。いずれの場合も、随時修正、補足、または差し替えられます。

(b)データ対象者」とは、個人データが処理される、特定または識別可能な個人を意味します。

(c)欧州プライバシー法」とは以下を指します。(i)個人データの処理に関する自然人の保護および当該データの自由な移動に関する欧州議会および理事会の規則2016/679(一般データ保護規則)(以下「GDPR」)、(ii)欧州連合(離脱)法2018年第3条に基づき英国国内法に組み込まれたGDPR(以下「英国GDPR」)、(iii)1992年6月19日のスイス連邦データ保護法およびそれに対応する条例(以下「スイスDPA」)、(iv)プライバシーおよび電子通信に関するEU指令2002/58/EC、および(v)(i)から(iv)の下で、またはこれらに従って作成された国内法。いずれの場合も、随時修正、補足、または差し替えられます。

(d)個人データ」とは、特定もしくは識別可能な個人に関する情報、または適用される個人情報保護法において「個人情報」もしくは「個人情報」と定義されるその他の情報を意味します。

(e)制限つき移転」とは、以下を意味します。(i)EU GDPRが適用される場合、欧州委員会による適切性判断の対象とならない、EEAからEEA域外の国への個人データの移転、(ii)英国GDPRが適用される場合、英国GDPR第17A条に基づく適切性規制に基づかない、英国からその他の国への個人データの移転。(iii)スイスのDPAが適用される場合、スイス連邦データ保護・情報コミッショナーが公表した適切な司法管轄権リストに含まれていないスイス以外の国への個人データの移転。

(f)SCCs」とは、2021年6月4日付の欧州委員会決定(EU)2021/914に付属する標準契約条項(新しいタブまたはウィンドウで開く)を意味し、随時修正、補足、または差し替えられます。

(g) 「英国補遺」とは、情報委員会事務局が2018年英国データ保護法の第119条(A)に基づいて発行した国際データ転送補遺(バージョンB1.0)を指し、適宜修正、上書き、または差し替えが行われることがあります。

(h)管理者」、「処理者」、「データ対象者」および「処理」という用語は、適用される個人情報保護法またはそこに定義されていない場合はGDPRにおいて与えられる意味を有し(「処理」、「第三者による処理」および「処理済」はそれに従って解釈されるものとします)、「事業者」および「サービス提供者」という用語は、CCPAにおいて与えられる意味を有します。

(i) 本補遺書類で使用されているが定義されていない大文字(翻訳者注:英語原本において)の用語は、本契約に基づいて与えられた意味を持つものとします。

2. 個人データの処理

2.1 当事者の関係 お客様は、付属文書 1.Bに記載された個人データ(以下「データ」といいます)の管理者または事業者(該当する場合)であり、Canvaは、お客様のために処理者またはサービスプロバイダー(該当する場合)としてのみそのデータを処理します。補遺Canvaとお客様はそれぞれ、適用される個人情報保護法に基づくそれぞれの義務、および当該処理に関するデータ保護当局のその他の指示に従うものとします。適用個人情報保護法により管理者および処理者の概念が明示的に想定されていない場合、本補遺に関する当事者の義務は、適用個人情報保護法に基づき、これらの適用個人情報保護法を完全に遵守しつつ、これらの役割の範囲にできる限り一致するように解釈されるものとします。

2.2 目的制限 Canvaは、本契約に基づく義務を履行するために必要であり、お客様の文書化された指示(以下「許可された目的」)に厳格に従ってそのデータを処理するものとします。Canvaは、以下を行わないものとします。(i)Canvaに適用される法律により義務付けられている場合を除き、許可された目的以外の目的(Canva自身の商業目的を含む)でデータを保持、使用、開示、またはその他の処理すること、または(ii) CCPA、VCDPAまたはその他の意味においてそのデータを「販売」すること。Canvaは、お客様の処理指示が適用個人情報保護法に抵触することを認識した場合、直ちにお客様に通知しますが、お客様が適用個人情報保護法を遵守していることを積極的に監視する義務はありません。両当事者は、お客様によるCanvaへのデータの譲渡は、適用されるプライバシー法の意味における個人データの「売却」ではなく、Canvaはお客様に対し、データの対価として金銭その他の価値のある対価を提供しないことを了承するものとします。

2.3 国際的な移転 Canvaがデータを最初に収集した国以外の国にそのデータを移転する(またはそのデータの移転を許可する)場合、Canvaはまず、当該移転が適用される個人情報保護法を遵守して行われることを保証するために必要な措置を講じるものとします。このような措置には、欧州委員会、英国国務長官、情報委員会事務局またはブラジルデータ保護局(該当する場合)により採用された標準契約条項を締結している受領者にデータを転送すること、または適用プライバシー法により要求される基準でデータが保護されることを保証する契約をCanvaと締結している受領者にデータを転送することが含まれる可能性がありますが、これらに限定されるものではありません。また、Canvaは、データが最初に収集された国に準ずる保護措置を総合的に提供する方法でそのデータを保護します。

2.4 標準契約条項 お客様からCanvaへのデータの移転が制限された移転を伴う限りにおいて、SCCは参照により組み込まれ、お客様を「データ輸出者」、Canvaを「データ輸入者」として、本補遺契約の不可欠な一部を構成するものとします。SCCの目的上(i)第2項(管理者から処理者)の条項が適用され、第1項、第3項および第4項の全文が削除されます。(ii)第9項では、第2オプションが適用されます。(iii)第11項では、オプションの文言が削除されます。(iv)第17項では、第1オプションが適用され、SCCはアイルランド法に準拠するものとします。(v)第18条(b)において、紛争はアイルランドの裁判所で解決されるものとします。(vi)SCCの付属文書には、本DPAの付属文書に記載された情報が入力されるものとします。(vii)SCCが本契約(本DPAを含む)の規定と抵触する場合、および抵触する範囲において、SCCが優先するものとします。

2.4.a 英国での移転 英国GDPRによって保護されるデータに関しては、第2.4条に基づいて組み込まれるSCCが、以下の修正を加えて適用されるものとします。(i)SCCは、参照により組み込まれる英国補遺によって指定されるように修正されること。(ii)英国補遺の第1部の表1から表3は、本DPAの付属文書に含まれる情報を使用して記入されたものとみなすこと。(iii)英国補遺の第1部の表4は、「輸入者」を選択して記入されたものとみなすこと。および(iv)SCCとUK補遺の間に矛盾がある場合は、UK補遺の第10条および第11条に従って解決されること。

2.4.bスイスでの移転 スイスのDPA によって保護されているデータに関しては、第2.4条に基づき組み込まれたSCCが、以下の修正を加えて適用されるものとします。(i)『規則(EU)2016/679』への言及は、スイスのDPAへの言及と解釈されること、(ii)「EU」、「連合」、「加盟国」への言及は、「スイス」に置き換えられること、(iv)「管轄監督当局」および「管轄裁判所」への言及は、「スイス連邦データ保護・情報コミッショナー」および「管轄スイス裁判所」への言及と解釈されること、(v)SCCはスイス法に準拠し、紛争は管轄スイス裁判所で解決されること。

2.5 処理の機密性 Canvaは、データの処理を許可する者(Canvaのスタッフ、代理人、下請業者を含む)(以下「権限を有する者」)に対し、厳格な機密保持義務(契約上の義務であるか法令上の義務であるかを問わない)を課すものとします。Canvaは、すべての「権限を有する者」が、許可された目的のために必要な場合にのみデータを処理することを保証するものとします。

2.6 セキュリティ Canvaは、データを偶発的または違法な破壊、紛失、改ざん、不正な開示、データへのアクセス(以下「セキュリティインシデント」といいます)から保護するために、適切な技術的および組織的対策を実施するものとします。このような措置には、少なくとも、以下のURLで特定される措置が含まれるものとします。https://www.canva.com/policies/technical-and-organisational-measures(新しいタブまたはウィンドウで開く)お客様は、Canvaが以下のURLにてセキュリティ対策を公開することにより、随時セキュリティ対策を更新または修正する可能性があることを了承するものとします。https://www.canva.com/policies/technical-and-organisational-measures(新しいタブまたはウィンドウで開く)ただし、そのような更新や修正が全体的なセキュリティレベルの低下をもたらさないことを条件とします。

2.7 サブプロセッシング お客様は、Canva が以下の条件を満たす場合に限り、許可された目的のためにデータを処理する第三者処理者(以下「サブ処理者」といいます)を雇用する権限を付与します。

2.7.a Canvaは、お客様がデータ保護を理由に合理的な異議を申し立てることができるよう、サブプロセッサーの追加または交換が提案される少なくとも14日前に、以下のURLに詳細を掲載することにより、適切な事前通知を行います。https://www.canva.com/policies/subprocessors(新しいタブまたはウィンドウで開く)

2.7.b Canvaは、本補遺およびCanvaが関与するサブプロセッサーに対し、本補遺およびCanvaのサブプロセッサーの行為、過失、または不作為により発生した本補遺の違反について、実質的に同じ保護基準を保証するデータ保護条件を課し、全責任を負うものとします。

Canvaの現在のサブプロセッサーは以下のURLで確認できます。https://www.canva.com/policies/subprocessors(新しいタブまたはウィンドウで開く).SCC第9条(c)において、お客様は、Canvaが守秘義務によりサブプロセッサー契約をお客様に開示することを制限される場合があることを了承するものとします。Canvaがサブプロセッサー契約をお客様に開示できない場合、お客様は、当該契約に関連して合理的に提供できるすべての情報を守秘義務を条件に提供するものとします。

2.8 協力およびデータ主体の権利 Canvaは、お客様が以下に対応できるよう、合理的かつタイムリーなあらゆる支援をお客様に提供するものとします。(i)適用される個人情報保護法に基づく権利(アクセス、訂正、異議、抹消、データポータビリティの権利を含む)の行使に関するデータ対象者からの要求、および(ii)Canvaのデータ処理に関連してデータ主体、規制当局、その他の第三者から受領したその他の通信、問い合わせ、苦情。そのような要求、通信、問い合わせ、または苦情がCanvaに直接なされた場合、Canvaは速やかにその詳細をお客様に通知するものとします。

2.9 データ保護影響評価 Canvaは、適用されるプライバシー法に基づきデータ保護影響評価を実施し、必要に応じて関連するデータ保護当局と協議する義務を遵守するため、お客様が必要とする合理的かつ適時のあらゆる支援をお客様に提供するものとします。

2.10 セキュリティインシデント セキュリティインシデントを認識した場合、Canvaは、過度な遅滞なくお客様に通知し、お客様が適用されるプライバシー法に基づく(また、適用されるプライバシー法で要求されるタイムスケールに従って)データ侵害報告義務を果たすために、お客様が合理的に必要とするすべての適時情報および協力を提供するものとします。さらに、Canvaは、セキュリティインシデントの影響を是正または軽減するために合理的に必要なすべての対策および措置を講じ、セキュリティインシデントに関するすべての重要な進捗についてお客様に通知するものとします。お客様は、Canvaの事前の承認なく、直接または間接的にCanvaを特定するようなセキュリティインシデントに関する通知または責任の認否を(法的手続き、規制当局または影響を受けるデータ対象者への通知を含む)、適用される法律により強制される場合を除き、伝達または公開しません。いかなる場合においても、お客様は、そのような連絡または公表について、Canvaに合理的な事前の書面による通知を行うものとします。

2.11 データの削除または返却契約が終了または満了した場合、Canvaは(お客様の選択により)その所有または管理下にあるすべてのデータ(データのすべてのコピーを含む)を破棄またはお客様に返却するものとします。この要件は、Canvaがデータの一部または全部を保持することを法律で義務付けられている場合には適用されないものとし、その場合、Canvaは、削除が可能になるまで、当該法律で義務付けられている範囲を除き、データを隔離し、それ以上の処理から保護するものとします。

2.12 監査お客様は、Canvaが独立した第三者監査人によりISO 27001基準に照らして定期的に監査を受けていることを認めます。要求に応じて、Canva はその監査レポートの要約コピーをお客様に提供するものとし、当該報告書は本契約の秘密保持規定に従うものとします。また、Canvaは、お客様から提出された書面による監査に関する質問にも回答するものとします。ただし、お客様がこの権利を行使するのは、1年に1回を超えないものとします。お客様は、本第2.12条に記載される監査措置の遵守をCanvaに指示することにより、SCC第8.9条に基づく権利を行使することに同意するものとします。

付属文書

付属文書 I. A. 当事者リスト

データ輸出者

名前 注文書で「お客様」として指定された主体、またはお客様のアカウントに登録された名前。

住所 注文書に記載されたお客様の請求先住所またはお客様のアカウントに指定された住所。

担当者の氏名、役職、連絡先注文書に記載された主担当者の氏名、主担当者の役職、主担当者の電子メール、またはお客様のアカウントに指定された連絡先情報。

本条項に基づいて移転されるデータに関連する活動 データ輸出者は、データ輸入者の顧客であり、canva.com上のデータ輸入者のサービスを利用して、グラフィック、プレゼンテーション、ポスター、文書、その他のビジュアルコンテンツを作成しています。

役割(管理者/処理者) 管理者


データ輸入者

名前注文書に記載されたCanvaの法人名。

住所 注文書に記載されたCanvaの所在住所。

担当者の氏名、役職、連絡先:Privacy and Product Counsel責任者、Jacqueline Davy、legal@canva.com

代表連絡先 (EEA)European Data Protection Office(EDPO)、Regus Block 1、Blanchardstown Corporate Park、Ballycoolen Road、 Blanchardstown、Dublin、D15 AKK1、 Ireland。U.K.)European Data Protection Office(EDPO U.K.)、8 Northumberland Avenue、London WC2N 5BY、United Kingdom。

本条項に基づいて移転されるデータに関連する活動 データ輸入者は、グラフィック、プレゼンテーション、ポスター、文書、その他のビジュアルコンテンツの作成に使用されるグラフィックデザインプラットフォームを運用します。

役割(管理者/処理者) 処理者


付属文書1.B. 譲渡内容

データ対象者の分類

- Canvaとお客様間の契約に基づく本サービスのライセンスユーザー(お客様の従業員、請負業者または代理人を含む場合があります)。

- お客様または許諾ユーザーが本サービスにおいて作成したデザインに含まれる第三者の個人情報。

個人情報の分類個人情報の分類は、お客様が独自の裁量で決定し管理するものであり、以下を含む場合があります。

- ライセンスユーザーのアクセス資格情報

- ライセンスユーザーの連絡先(例:氏名、メールアドレス、電話番号)、および

- お客様またはライセンスユーザーが本サービスで作成されたデザインに含めるその他の個人情報。

移転される機微情報(該当する場合)および適用される制限または保護措置

お客様またはライセンスユーザーが本サービス内で作成したデザインに含まれる機微情報で、その範囲はお客様が独自の裁量で決定し、管理するもの。適用される制限と安全措置については付属文書2を参照のこと。

移転の頻度 継続的

処理の性質 本サービスへのアクセスおよび管理、ならびに本サービスへのデザインのアップロードのために、お客様およびライセンスユーザーのユーザー名、パスワード、および連絡先の詳細を処理すること。

データ移転およびさらなる処理の目的 契約に基づくサービスの提供。

個人情報の保有期間、またはそれが不可能な場合は、その期間を決定するために使用した基準 個人データは、本補遺2.11に従い、本契約の終了または失効まで保持される。

付属文書1.C. 管轄監督当局

お客様の設立国であるEEA加盟国、またはお客様がEEAに設立されていない場合は、お客様の代表者の設立国もしくはお客様のエンドユーザーの主な所在地であるEEA加盟国の監督当局。

付属文書2 - データの安全性を確保するための技術的および組織的措置を含む技術的および組織的措置

付属文書3 - サブプロセッサー一覧

お客様は、次のURLに記載されているサブプロセッサーの使用を許可しています。https://www.canva.com/policies/subprocessors(新しいタブまたはウィンドウで開く)

最終更新日 2023年5月24日