データ処理契約

このデータ処理契約（「DPA」）は、お客様（「顧客」）とGetia AS（「処理者」）との間のサービス利用に関する契約の一部です。

• 個人データ: 識別された、または識別可能な自然人に関するあらゆる情報
• 処理: 個人データに対して行われるあらゆる操作
• 管理者: 処理の目的と手段を決定する主体
• 処理者: 管理者に代わって個人データを処理する主体

処理者は以下を行うものとします：

• 顧客の文書化された指示に基づいてのみ個人データを処理する
• データを処理する者が機密保持義務に従うことを確認する
• 適切な技術的・組織的セキュリティ対策を実施する
• データ主体の要求への対応について顧客を支援する
• サービス終了時にすべての個人データを削除または返却する

顧客は、処理者が以下に記載されたサブプロセッサーを使用することを承認します サブプロセッサーリスト.

当社のサブプロセッサーの一部は米国に所在しています。十分な水準のデータ保護を有しない欧州経済領域（EEA）外の国への個人データの移転について、当社は以下の法的メカニズムに依拠しています：

• 標準契約条項（SCCs）: 当社はサブプロセッサーとEU標準契約条項（実施決定（EU）2021/914）を締結し、EEA外に移転される個人データの適切な保護を確保しています。
• 補完的措置: SCCsに加え、転送中および保存時のデータ暗号化、アクセス制御、サブプロセッサーの契約上の義務を含む補完的な技術的・組織的措置を実施しています。
• データ保護フレームワーク: 該当する場合、当社の米国のサブプロセッサーはEU-USデータプライバシーフレームワークに参加しています。

適用されるSCCsのコピーは、以下までご連絡いただくことでリクエストできます dpo@attorly.ai.

• 転送中（TLS 1.2+）および保存時（AES-256）のデータ暗号化
• アクセス制御と認証
• 定期的なセキュリティ評価
• インシデント対応手順

個人データの侵害が発生した場合、処理者は72時間以内に顧客に通知するものとします。

当社は、収集目的の達成に必要な期間のみ個人データを保持します：

• アカウントデータ: アカウントの有効期間中保持され、アカウント閉鎖後30日以内に削除
• ドキュメント: ユーザーのリクエストにより即時、またはアカウント削除後30日以内に削除
• 分析結果: 関連ドキュメントの削除後90日間保持
• 監査ログ: セキュリティおよびコンプライアンスの目的で2年間保持
• 支払記録: ノルウェー簿記法（bokføringsloven）の規定に基づき、会計年度末から5年間保管。トライアルおよび支払い失敗のログは不正防止のため最大12ヶ月間保管

データ保護責任者: dpo@attorly.ai