LEGACY: データ処理補遺および標準契約条項

LEGACY: データ処理補遺および標準契約条項(有効期間:2024年5月20日〜2026年4月30日)

GitLab データ処理補遺

このデータ処理補遺(「DPA」)の条項は、顧客がエンタープライズを代表してサブスクリプション契約を締結する場合に、当該サブスクリプション契約を補完します。顧客によるサブスクリプション契約の承認は、本 DPA および該当する場合には標準契約条項の締結として扱われます。

両当事者は、本 DPA が GitLab が個人データを処理する範囲において、両当事者の個人データの処理およびセキュリティに関する義務を規定することに合意します。両当事者は、適用データ保護法(以下に定義)に基づく義務を遵守するために、本 DPA を締結します。

1. 定義

大文字の用語は以下の意味を持ちます:

a. 「適用データ保護法」とは、個人データに関連する適宜改正、拡張、再制定される適用法律、法令または規制、またはその後継法を意味し、以下を含みます:
(a) GDPR および EU(欧州経済領域(「EEA」))加盟国の GDPR 実施法律;
(b) カリフォルニア消費者プライバシー法(「CCPA」)(カリフォルニアプライバシー権利法(「CPRA」)による改正を含む)、およびカリフォルニア州司法長官規制;
(c) 改正された英国(「UK」)データ保護法 2018 年、および英国法に組み込まれた GDPR(「UK GDPR」);
(d) 1992 年 6 月 19 日のスイス連邦データ保護法および 2020 年 9 月 25 日改正版ならびにその関連規則(「スイス FADP」)。

b. **「データ侵害」**とは、サードパーティによる不正アクセスの確認または個人データの偶発的もしくは不法な破壊、損失、改ざんの確認を意味します。

c. **「顧客製品利用情報」**とは、顧客によるソフトウェアの使用から得られた集計または仮名化されたメトリクスであり、顧客コンテンツを含まないものを意味します。

d. **「GDPR」**とは、個人データの処理に関する自然人の保護および当該データの自由な移動に関する 2016 年 4 月 27 日の欧州議会・理事会規則(EU)2016/679(一般データ保護規則)を意味します。

e. **「個人データ」**とは、サービスで使用される GDPR の「個人データ」の定義に含まれるすべての情報を意味します。

f. **「処理」「処理すること」「処理者」「管理者」**は、GDPR に定義される意味を持ちます。

g. **「制限的移転」**とは、EEA、英国またはスイスから欧州委員会または英国もしくはスイス当局から適切性認定を受けていない国への個人データの移転を意味します。

h. **「サービス」**とは、サブスクリプション契約に基づいてライセンス供与されたソフトウェアおよびサービスを意味します。

i. 「標準契約条項」とは:
(i) GDPR が適用される場合、https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj で利用可能な欧州委員会の 2021 年 6 月 4 日付け実施決定 2021/914 に附属する契約条項(「EU SCC」);
(ii) UK GDPR が適用される場合、https://ico.org.uk/media2/migrated/4019538/international-data-transfer-agreement.pdf で利用可能な英国情報委員会事務所が EU 委員会の標準契約条項に対して発行した国際データ移転補遺(「UK SCC」);
(iii) スイス FADP が適用される場合、本 DPA のセクション 15.d に記載された条項(「スイス条項」)。

j. **「副処理者」**とは、GitLab がサブスクリプション契約に基づいて顧客にサービスを提供するために個人データを処理するために関与させたサードパーティの処理者を意味します。

k. **「サブスクリプション契約」**とは、https://about.gitlab.com/terms/ で一般公開されている GitLab の標準利用規約および提供条件、またはそれと同様の GitLab ソフトウェアおよびプロフェッショナルサービスの利用・提供を規定する両当事者間で書面により合意された別個の契約を意味します。

2. 当事者の立場

本 DPA は、GitLab がサービスの提供において個人データを処理する場合に適用されます。この文脈において、顧客は個人データの管理者、または特定の場合には管理者の代理で行動する処理者となる場合があります。顧客が処理者である場合、本 DPA は引き続き顧客を管理者として扱います。これは、GitLab が顧客の管理者の身元を知ることができず、GitLab と顧客の管理者との間に直接的な関係がないためです。GitLab は個人データの処理者であり、DPA のセクション 18.a で詳述される処理活動を除きます。

3. 処理および移転の詳細

サブスクリプション契約に基づいて GitLab が行う個人データ処理の主題、処理期間、処理の性質と目的、個人データの種類、および本条件の下で処理されるデータ主体のカテゴリは、付属書 A に詳細に記載されています。標準契約条項が適用される範囲において、付属書 A の情報は標準契約条項に基づく当該移転の根拠を規定します。

4. 処理指示

GitLab が処理者として行動する場合、GitLab は顧客に代わって、かつ顧客から受け取った文書化された指示に従ってのみ個人データを処理します。両当事者は、本 DPA、サブスクリプション契約、およびソフトウェアで使用される機能と設定が顧客の文書化された指示を構成することに合意します。GitLab は、顧客からの指示が適用データ保護法に違反すると判断した場合、顧客に速やかに通知し、指示の実行を停止する権利を有します。GitLab が欧州連合または加盟国の法律に基づき個人データを処理する必要がある場合、公益上の重要な理由により通知が禁止されていない限り、GitLab は当該処理を実施する前に顧客に速やかに通知します。

5. GitLab 担当者による守秘義務

GitLab は、サブスクリプション契約に基づく義務の履行に必要な担当者に個人データへのアクセスを制限します。GitLab は、個人データの機密性を維持するために担当者に適切な契約上の義務を課します。

6. セキュリティ対策

GitLab は、個人データへの偶発的または不法な破壊、損失、改ざん、不正な開示またはアクセスから個人データを保護するために、適切な技術的および組織的措置を実施・維持します。これらの措置は本 DPA の付属書 B に記載されています。当該措置は、技術の現状、実施コスト、処理の性質・範囲・文脈・目的を考慮します。GitLab は、付属書 B に記載の措置を変更する権利を留保しますが、かかる変更がセキュリティの実質的な低下をもたらすことはありません。

7. データ侵害

GitLab がデータ侵害を認識した場合、GitLab は:(i) データ侵害を認識した後、不当な遅延なく顧客に通知します;(ii) 通知の一環として、顧客が適用データ保護法に基づく通知要件を遵守できるよう、GitLab が利用可能な範囲でデータ侵害に関する情報を顧客に提供します;(iii) データ侵害の調査を速やかに開始し、生じ得る損害を防止・最小化するための適切な是正措置を講じます。疑義を避けるために明記しますが、データ侵害には、個人データのセキュリティを侵害しない試みや活動は含まれません。本条の義務は、顧客または顧客のユーザーによって引き起こされたインシデントには適用されません。

8. データ主体の権利

GitLab が処理者であり、顧客に関するデータ主体のリクエストを受け取った場合、GitLab は顧客に直接通知するか、ユーザーのリクエストを拒否して顧客に連絡するようユーザーに伝えます。顧客は、そのようなリクエストが適用データ保護法に従って処理されることを確保する責任を負います。GitLab はデータ主体のリクエストに関する顧客の義務を支援します。GitLab が管理者であり、データ主体のリクエストを受け取った場合、GitLab は適用データ保護法の要件を遵守します。

9. データ保護影響評価(DPIA)および事前協議

顧客の要求に応じて、GitLab は、サービスの顧客による使用に関連するデータ保護影響評価を実施するための顧客の適用データ保護法に基づく義務を履行するために合理的な協力と支援を提供します。GitLab は、本セクション 9 に関連する任務の遂行において監督当局との協力または事前協議における顧客への合理的な支援を提供します(適用データ保護法によって求められる範囲において)。

10. 当局からの要求

a. 一般的な義務。 GitLab は、法執行当局による調査の機密性を保持するために禁止されている場合を除き、(i) 法執行当局による個人データの開示に関する法的拘束力のある要求、および (ii) 個人データに関連する監督当局による関連する通知、照会または調査について、速やかに顧客に通知します。

b. 標準契約条項に基づいて移転された個人データに関する義務。 GitLab が標準契約条項に基づくデータ輸入者である場合、および個人データの開示に関する法的拘束力のある要求を受け取った場合、GitLab は:(i) 移転先国が GitLab による法的拘束力のある開示要求の顧客への通知を禁止している場合、免除を取得しようとすること;(ii) 当該国の法律により許可されている場合、受け取った要求に関する可能な限りの関連情報を顧客に提供することに合意します。開示された個人データに関して、GitLab は:(i) 慎重な評価の後、GitLab が開示要求が違法であると判断した場合、開示要求に異議を申し立てること;(ii) 開示要求に対応する際に許可される最小限の個人データを提供することに合意します。

11. 個人データの返還または削除

本セクションは、GitLab が処理者として行動する場合に適用されます。顧客は、契約期間中または契約終了時に、グループ削除機能を通じて個人データを含むグループをいつでも削除できます。さらに、GitLab は要求に応じて、適用法により許可される範囲で、すべての個人データ(すべてのコピーを含む)を安全に破棄するか、顧客の単独の裁量に従って返還し、かかる措置を講じたことを顧客に確認します。GitLab は、適用法に従って保持する個人データの機密性を保持することに合意し、サブスクリプション終了後の当該個人データの積極的な処理は、適用法を遵守するために必要な範囲に限定されることに合意します。GitLab は、本セクションに記載の義務が副処理者にも要求されることを確保します。

12. 管理者の義務

管理者として、または管理者の代理で行動する顧客は以下に同意します:

a. 適用データ保護法をすべて遵守し、顧客と GitLab との間で、サブスクリプション契約の下で処理される個人データの正確性、品質、および適法性、ならびに顧客が個人データを取得した手段に対して単独で責任を負うこと;

b. サブスクリプション契約の下で処理される個人データのデータ主体に対して、法律で要求されるすべての通知を行い、法律で要求されるすべての同意を取得したこと;

c. 個人データの処理に関する顧客から GitLab へのすべての指示は、適用データ保護法を遵守すること;

d. 本 DPA またはサブスクリプション契約の下で処理される個人データの保護に関する適用データ保護法の規定について、顧客、その従業員またはコントラクターによる非遵守を速やかに GitLab に通知すること;

e. サービスの技術的および組織的措置が顧客の要件(適用データ保護要件に基づくセキュリティ上の義務を含む)を満たすかどうかについて独立した判断を行う単独の責任を負うこと。顧客は、GitLab が実施・維持するセキュリティの実践とポリシーが、その個人データに関するリスクに適切なレベルのセキュリティを提供することを認め、同意します。顧客は、顧客が提供または管理するコンポーネントのプライバシー保護とセキュリティ対策を実施・維持する責任を負います。

13. 監査

a. GitLab 認証監査。 GitLab は、外部監査人を使用してセキュリティ措置の適切性を検証します(ただし、GitLab がサービスを提供するサードパーティの物理データセンターの物理的・環境的セキュリティは除外されます。これらの管理はサードパーティの副処理者によって継承されます)。この監査は:(a) 少なくとも年 1 回実施されます;(b) システムおよび組織管理(SOC)2 レポート ISO 27001 規格またはシステムおよび組織管理(SOC)2 レポート ISO 2701 と実質的に同等の代替規格に従って実施されます;(c) GitLab が選定・費用負担する独立したサードパーティのセキュリティ専門家によって実施されます;(d) 監査レポート(「レポート」)が生成され、GitLab の機密情報となります。顧客の書面による要求があり、かつ両当事者間に適用される機密保持条件が整っている場合、GitLab は顧客が本 DPA に基づく GitLab のコンプライアンスを合理的に検証できるよう、顧客にレポートのコピーを提供します。

b. GitLab 顧客監査。 GitLab は、顧客に GitLab 顧客保証パッケージおよび GitLab ハンドブックへのアクセスを提供することにより、顧客によるセキュリティプログラムのリモートセルフサービス監査を可能にします。顧客保証パッケージおよび GitLab ハンドブックには、GitLab のポリシー、手続きおよびセキュリティ対策を証明する文書、ならびにセクション 13.a に記載のサードパーティ監査レポートのコピーが含まれます。GitLab は、GitLab またはその顧客にセキュリティリスクをもたらす情報を顧客(またはその代表者)に提供することを拒否する権利を留保します。

c. フィードバック。 リモートセルフサービス監査の完了後、顧客は監査結果を書面で GitLab に提出することができます。GitLab は、その単独の裁量により、顧客の提案する改善策を実施するために商業的に合理的な努力を行う場合があります。

d. 標準契約条項に基づく監査権。 GitLab が処理者であり、標準契約条項または GDPR 第 28 条に基づく顧客の監査要件が上記のレポートおよびセルフサービス監査によって合理的に満たせない範囲において、顧客は追加の監査を要求することができます。監査開始前に、顧客と GitLab は、監査の範囲、タイミング、期間、管理および証拠要件、ならびに費用について相互に合意します。監査の実施に必要な範囲で、GitLab は処理システムおよび GitLab とその副処理者による個人データの処理に関連する補足文書を(サードパーティの機密情報へのアクセスは許可されない)利用可能にします。当該監査は、合理的な事前通知をもって、通常の営業時間中に顧客または独立した認定サードパーティ監査人によって実施され、合理的な機密手続きに従います。顧客は、当該監査に関連するすべての費用(GitLab が費やすすべての合理的な費用を含む)に対して責任を負います。顧客の監査の結果として生成された監査レポートに重大な非遵守の発見が含まれている場合、顧客は当該監査レポートを GitLab と共有します。本 DPA のこのセクションにある内容は、標準契約条項を変更もしくは修正するものでも、標準契約条項に基づく監督当局またはデータ主体の権利に影響を与えるものでもありません。

14. 副処理者

GitLab が処理者として行動する範囲において:

a. 顧客は、GitLab が https://about.gitlab.com/privacy/subprocessors/ に掲載されている副処理者をサービスのために使用することに同意します。GitLab が新しい副処理者をリストに追加したい場合、GitLab はウェブサイト上のリストを更新します。顧客は https://about.gitlab.com/privacy/subprocessors/#sign-up で購読してリストの更新に関するメール通知を受け取ることができ、これが顧客への書面による通知となります。顧客が新しい副処理者(https://about.gitlab.com/privacy/subprocessors/ に以前記載されていない組織またはエンティティ)の承認に異議を申し立てたい場合は、通知を受け取ってから 30 日以内に書面で GitLab に異議を申し立てる必要があります。顧客が副処理者の変更に異議を申し立てる場合、両当事者は、新しい副処理者による個人データの処理を回避するための顧客の設定またはサービスの利用方法の商業的に合理的な変更を含む、異議を解決するために誠実に協力します。顧客は、新しい副処理者の追加が顧客のデータ保護義務または他の適用法的要件に違反する原因となるという理由においてのみ異議を申し立てることができます。顧客が参照期間内に異議を申し立てない場合、当該副処理者は顧客によって承認されたものとみなされます。

i. GitLab の Dedicated ソフトウェアを含むサービスに、注文書またはサブスクリプション契約で相互に合意・記載された特定の地域ホスティング場所が含まれる顧客に適用される範囲において、そのホスティング場所は指定されたとおりとなります。したがって、https://about.gitlab.com/privacy/subprocessors/#third-party-sub-processors に記載されているクラウドホスティング副処理者のクラウドホスティング場所は、顧客と GitLab の間でリストされ合意された場所に修正されます。

ii. 顧客が GitLab プロフェッショナルサービス契約に定義されるサブスクリプションとは別にプロフェッショナルサービスを購入し、両当事者が GitLab に当該プロフェッショナルサービスの全部または一部を下請け業者経由で提供させることに同意した場合、顧客は GitLab による当該下請け業者の利用が https://about.gitlab.com/privacy/subprocessors/#professional-services-sub-processors に記載された承認済み副処理者となることに同意します。GitLab がプロフェッショナルサービス用の副処理者を追加したい場合、本 DPA のセクション 14.a に記載されているのと同じ通知手続きに従います。本セクション 14 のその他すべての規定および標準契約条項(該当する場合)は、本規定に基づいて任命された副処理者に適用されます。

b. セクション 14.a に記載されているとおり副処理者が任命された場合:(i) GitLab は副処理者の個人データへのアクセスを、サービスを維持または文書に従って顧客にサービスを提供するために必要なものに制限し、GitLab は副処理者が他の目的で個人データにアクセスすることを禁止します;(ii) GitLab は副処理者と書面による契約を締結し、副処理者が GitLab の提供するサービスを可能にするために個人データを処理する範囲において、GitLab は本 DPA における GitLab の義務と実質的に同様の契約上の義務を副処理者に課します;(iii) GitLab は本 DPA に基づく義務のコンプライアンスに対して責任を負い続け、副処理者の行為または不作為によって GitLab が本 DPA の義務に違反した場合についても責任を負います。

15. 国際データ移転

a. 顧客から GitLab への個人データの移転が制限的移転である場合、当該移転は EU SCC および/または UK SCC および/またはスイス条項に基づいて行われます。GitLab が EU-US データプライバシーフレームワーク(「EU-US DPF」)、EU-US DPF の英国拡張、またはスイス-US データプライバシーフレームワークの下で認証を取得した場合、GitLab はこれらの認証に基づいて米国への制限的移転を行うこともできます。両当事者は、標準契約条項または EU-US DPF に基づく義務は制限的移転にのみ適用されることに合意します。

b. EU SCC が適用される範囲において、両当事者は以下に合意します:

i. EU SCC のモジュール 1 が DPA のセクション 18.a に詳述される処理活動のために移転された個人データに適用される場合、顧客は管理者および「データ輸出者」として、GitLab は独立した管理者および「データ輸入者」として行動します;

ii. EU SCC のモジュール 2 が移転された個人データに適用される場合、顧客は管理者および「データ輸出者」として、GitLab は処理者および「データ輸入者」として行動します;

iii. EU SCC のモジュール 3 が移転された個人データに適用される場合、顧客は処理者および「データ輸出者」として、GitLab は処理者および「データ輸入者」として行動します;

iv. 第 7 条。 オプションのドッキング条項は適用されません;

v. 第 9 条(a)。 両当事者は、本 DPA のセクション 14 で特定された副処理者の関与について、モジュール 2 およびモジュール 3 の下で「オプション 2 一般書面承認」を選択し、変更の書面による事前通知期間は 30 日とします;

vi. 第 11 条。 オプションの言語は適用されません;

vii. 第 17 条。 オプション 2 が適用され、EU SCC はオランダの法律によって規律されます;

viii. 第 18 条(b)。 紛争はオランダの裁判所で解決されます;

ix. EU SCC の附属書 I.A および I.B は、本 DPA の付属書 A に記載された情報によって完全なものとみなされます;

x. EU SCC の附属書 I.C(データ輸出者が EEA 内に設立されている場合)は、データ移転に関してデータ輸出者による GDPR の遵守を確保する責任を持つ監督当局となります。データ輸出者が EEA 内に設立されていないが、GDPR 第 3 条(2) に従って GDPR の領域的適用範囲内にあり、第 27 条(1) に従って代表者を任命している場合、監督当局は、第 27 条(1) の意味における代表者が設立されている加盟国の監督当局となります。データ輸出者が EEA 内に設立されていないが、第 27 条(2) に従って代表者を任命することなく GDPR の領域的適用範囲に該当する場合は、オランダの監督当局が権限ある監督当局として機能します。

xi. EU SCC の附属書 II は、本 DPA の付属書 B に記載された情報によって完全なものとみなされます;

xii. EU SCC の附属書 III は、本 DPA のセクション 14 に記載された副処理者に付与された一般承認により完全なものとみなされます。

c. UK SCC が適用される範囲において、両当事者は以下に合意します:

i. EU SCC における「指令 95/46/EC」または「規則(EU)2016/679」への言及は、UK GDPR への言及として解釈されます;「規則(EU)2016/679」の特定の条項への言及は、UK GDPR の同等の条項またはセクションに置き換えられます;「EU」「連合」および「加盟国法」への言及はすべて「英国」に置き換えられます;

ii. EU SCC の第 13 条(a) は使用されません;

iii. 「権限ある監督当局」および「権限ある裁判所」への言及は、情報委員会および英国のイングランドとウェールズの裁判所への言及として解釈されます;

iv. EU SCC の第 17 条は「本条項はイングランドおよびウェールズの法律によって規律される」と述べるものに置き換えられます;

v. EU SCC の第 18 条は「本条項から生じる紛争はイングランドおよびウェールズの裁判所で解決されます。データ主体は、英国の任意の国の裁判所においてデータ輸出者および/またはデータ輸入者に対して法的手続きを開始できます。両当事者は当該裁判所の管轄権に服することに同意します」と述べるものに置き換えられます;

vi. UK SCC の関連附属書は、本 DPA の付属書 A に記載された情報によって完全なものとみなされます。

d. スイス条項が適用される範囲において、両当事者は以下に合意します:

i. 上記で実施された EU SCC は、「GDPR」をスイス FADP への言及として解釈することを前提として適用されます;

ii. 「EU」「連合」「加盟国法」への言及は、スイスおよびスイス法への言及として解釈されます;

iii. 「加盟国」という用語は、スイスのデータ主体が常居所地において権利を行使することを妨げるものではありません;

iv. 権限ある監督当局または裁判所への言及は、スイス連邦データ保護・情報委員会およびスイスの裁判所への言及として解釈されます。

e. 管轄固有の条項。 GitLab が本 DPA の付属書 C 管轄固有の条項に記載された管轄の一つからの適用データ保護法によって保護される個人データを処理する範囲において、付属書 C に記載された当該管轄に関する条項が本 DPA の条項に加えて適用されます。

f. 本 DPA と標準契約条項との間に矛盾または不一致がある場合、矛盾または不一致の範囲において標準契約条項が優先されます。

16. カリフォルニア消費者プライバシー法およびカリフォルニアプライバシー権利法

GitLab が CCPA または CPRA の範囲内にある個人データを処理している場合、以下が適用されます:

a. 両当事者は、GitLab が CCPA で定義されるサービスプロバイダーであり、GitLab に移転された個人データはサービスを提供するための正当な事業目的のために移転されることに合意します;

b. CCPA の例外を条件として、GitLab は、CCPA で定義される「販売」として、サブスクリプション契約に基づいて処理された個人データを販売しないことに合意します;

c. GitLab は、サブスクリプション契約に基づいて移転された個人データ、またはサービスを提供するための個人データを、クロスコンテキスト行動広告のためにサードパーティに共有、賃貸、リリース、開示、配布、利用可能にし、移転し、またはその他の方法で口頭、書面、または電子もしくは他の手段で通信しません(金銭が交換されない場合でも);

d. 顧客は、セクション 13 に記載された措置を通じて本 DPA への GitLab のコンプライアンスを監視することができますが、顧客はセクション 13.d に規定されるすべての要件および制限に従います;

e. GitLab は、顧客との直接的な事業関係の外で個人データを使用または開示しません;

f. GitLab は、サブスクリプション契約に基づいて移転された個人データ、またはサービスを提供するための個人データを、サードパーティから受け取った情報やカリフォルニア州住民から独立して収集した情報と組み合わせません。ただし、GitLab は CCPA および/または CPRA の下で許可された正当な事業目的を遂行するために個人データを組み合わせることができます。

17. 責任の制限

適用データ保護法の下で最大限に許可される範囲において、両当事者は、本 DPA から生じるまたはそれに関連する各当事者の責任が、契約、不法行為またはその他の責任理論のいずれかに基づくかにかかわらず、サブスクリプション契約の責任の制限セクションに従うことを意図し、同意します。また、当該セクションにおける当事者の責任への言及は、本契約および本 DPA に基づく当該当事者の総責任を意味します。

18. その他

a. GitLab の管理者としての役割。 顧客は、サービスの提供の一環として、GitLab が以下の正当なビジネス目的のために管理者として特定の個人データを処理することを認め、同意します:(i) 顧客関係アカウントの作成や請求・ライセンス管理などの顧客との関係管理;(ii) 会計、監査、税務、その他の財務報告目的などの内部ビジネス業務の実施;(iii) 身元確認サービスや不正防止・リスク軽減などのサービスのセキュリティの確保;(iv) 法的または規制上の義務の遵守;(v) 顧客製品利用情報の収集・処理による製品およびサービスの改善と開発。本セクションの下で処理されるデータが個人データである範囲において、GitLab は適用データ保護法に従い、本セクション 18.a に記載された目的と適合する目的のためにのみ当該個人データを処理することに合意します。適用法により要求される場合を除き、顧客コンテンツは本セクションに記載の目的のために処理されることはありません。GitLab は本セクションに記載の処理の独立した管理者となり、当該処理に対して単独で責任を負います。

b. 本 DPA(標準契約条項を含む)は、本書に規定された目的のための個人データの処理に関して、両当事者の完全な合意を構成し、両当事者間の以前の合意または了解に優先します。本 DPA とサブスクリプション契約との間に不一致がある場合、本 DPA が優先されます。

付属書 A – 処理および移転の詳細

A. 本 DPA のセクション 2 または EU SCC のモジュール 2/3

  1. データ輸出者:顧客
    連絡先: ウェブサイト購入ポータルに顧客が記載した情報、または注文書やサブスクリプション契約に記載された情報。
    署名および日付: 顧客は、GitLab.com での購入による受け入れの発効日、または注文書もしくはサブスクリプション契約が完全に締結された日付をもって、本 DPA および本書に組み込まれた制限的移転文書(付属書を含む)に署名したものとみなされます。
    役割: 管理者または処理者

    データ輸入者:GitLab, Inc.
    連絡先: 268 Bush St 350, San Francisco, CA, 94104-3503, USA; [email protected]
    署名および日付: GitLab は、GitLab.com での購入による受け入れの発効日、または注文書もしくはサブスクリプション契約が完全に締結された日付をもって、本 DPA および本書に組み込まれた制限的移転文書(付属書を含む)に署名したものとみなされます。
    役割: 処理者または副処理者

  2. 移転される個人データのデータ主体のカテゴリ

  • 顧客の見込み客、クライアント、ビジネスパートナー、ベンダー(自然人のもの)
  • 顧客の従業員、代理人、アドバイザーおよびフリーランサー(自然人のもの)
  • サービスを使用するために顧客が承認したユーザー
  • 顧客によるサービスの利用を通じて提供されたコンテンツから識別可能なその他の自然人
  1. 移転される個人データのカテゴリ
  • 名前、ユーザー名、メールアドレス、パスワードなどのアカウント情報
  • 名前、公開アバターや写真、雇用主、メールアドレス、役職、住所、ソーシャルメディアのハンドル、経歴などのプロフィール情報
  • 名前、住所、メールアドレス、電話番号などの連絡先情報
  • リポジトリ、Issue、コミット、プロジェクトコントリビューション、コメント、AI 機能に関連する入出力など、サービスの利用を通じて提供されたコンテンツ
  • リクエストの内容や提供されるサービスなどのカスタマーサポート情報
  • ユーザーレベルのメトリクスやソフトウェアとのインタラクションに関連するカウントなど、顧客が自社ユーザーのエンゲージメントを測定するための製品分析
  1. 機密または特殊カテゴリの個人データ

GitLab は、遺伝子データ、健康情報、宗教的情報などの機密または特殊カテゴリの個人データを意図的に収集しません。これらのデータ要素は、サブスクリプション契約のセクション 14 に基づいて GitLab の同意なくサービスに送信されるべきではありません。
顧客が GitLab の同意なくサービスに機密または特殊カテゴリの個人データを送信した場合、当該データは付属書 B に記載された GitLab の技術的・組織的セキュリティ措置の対象となります。

  1. 処理の性質

処理は、顧客が単独の裁量で決定・管理する目的のためのサービスの顧客による利用に関連します。

  1. データ移転および追加処理の目的

データ移転の目的は、GitLab エンティティが米国内のサーバーでホスト・処理されるサービスを提供できるようにするためです。さらに、GitLab はグローバルに分散した人員を有しており、カスタマーサポートを提供するために個人データの移転が必要な場合があります。

  1. データ移転の頻度

個人データは、本 DPA のサブスクリプション契約に基づくサブスクリプション期間中、継続的に移転されます。

  1. 個人データが保持される期間

個人データは、顧客が決定した期間保持されます。これにはサブスクリプション期間の終了までが含まれ、法律および顧客とのサブスクリプション契約により許可される例外に従います。

  1. 副処理者への移転

GitLab の副処理者は、クラウドホスティング、検索機能、アプリケーションロギングとデバッグ、コンテンツ配信、トランザクションメール、およびカスタマーサポートの目的で、標準契約条項または他の適法な移転メカニズムに基づいてデータを輸入します。GitLab は顧客にサービスを提供するために副処理者を使用します。

個人データは、顧客が決定した期間保持されます。これにはサブスクリプション期間の終了までが含まれ、法律および顧客とのサブスクリプション契約により許可される例外に従います。

B. 本 DPA のセクション 18.a または EU SCC のモジュール 1

  1. データ輸出者:顧客
    連絡先: ウェブサイト購入ポータルに顧客が記載した情報、または注文書やサブスクリプション契約に記載された情報。
    署名および日付: 顧客は、GitLab.com での購入による受け入れの発効日、または注文書もしくはサブスクリプション契約が完全に締結された日付をもって、本 DPA および本書に組み込まれた制限的移転文書(付属書を含む)に署名したものとみなされます。
    役割: 管理者

    データ輸入者:GitLab, Inc.
    連絡先: 268 Bush St 350, San Francisco, CA, 94104-3503, USA; [email protected]
    署名および日付: GitLab は、GitLab.com での購入による受け入れの発効日、または注文書もしくはサブスクリプション契約が完全に締結された日付をもって、本 DPA および本書に組み込まれた制限的移転文書(付属書を含む)に署名したものとみなされます。
    役割: 管理者

  2. 移転される個人データのデータ主体のカテゴリ

  • 顧客の従業員、代理人、アドバイザーおよびフリーランサー(自然人のもの)
  • サービスを使用するために顧客が承認したユーザー
  1. 移転される個人データのカテゴリ
  • ライセンスデータ、ユーザー履歴データ、アカウント管理者の連絡先情報などのアカウント管理情報
  • 顧客の請求先住所、請求連絡先、クレジットカードまたは銀行情報などの請求情報
  • 機能使用状況とエンゲージメントメトリクスなど、DPA で定義される顧客製品利用情報
  • ログデータ、デバイスデータ、IP アドレスなどのセキュリティおよび不正防止情報
  1. 機密または特殊カテゴリの個人データ

GitLab は、本付属書 A のサブセクション B に記載された目的のための機密または特殊カテゴリの個人データを収集しません。

  1. 処理の性質

処理により、GitLab はサービスの使用状況を把握し、サービスの支払いを処理し、サービスを管理し、法的義務を遵守し、GitLab と顧客の安全と財産を保護することができます。

  1. データ移転および追加処理の目的

GitLab は、米国および欧州経済領域、英国、スイス以外の国に所在する従業員を有するグローバルに分散した人員を抱えています。

  1. データ移転の頻度

個人データは、本 DPA のサブスクリプション契約に基づくサブスクリプション期間中、継続的に移転されます。

  1. 個人データが保持される期間

個人データは、GitLab プライバシーステートメントデータ保持セクションおよび記録保持ポリシーに従って保持されます。

付属書 B – 個人データのセキュリティを確保するための技術的・組織的措置

GitLab は以下のセキュリティ措置を実施・維持します:

付属書 C – 管轄固有の条項

  1. オーストラリア
    適用データ保護法の定義には、オーストラリアプライバシー原則およびオーストラリアプライバシー法(1988 年)ならびにその後続の改正または関連規則が含まれます。個人データの定義には、オーストラリアプライバシー原則およびオーストラリアプライバシー法(1988 年)で定義される「個人情報」が含まれます。

  2. ブラジル
    適用データ保護法の定義には、2018 年 8 月 14 日のブラジル一般個人データ保護法(「LGPD」)が含まれます。LGPD に基づいて適切と認められていない国への国境を越えたデータ移転には、EU SCC が使用されます。

  3. 日本
    適用データ保護法の定義には、個人情報の保護に関する法律およびその改正・関連規則(「APPI」)が含まれます。個人データの定義には、APPI で定義される「個人情報」が含まれます。APPI が適用される場合、顧客への GitLab の義務は、APPI で定義される「事業者」に代わって個人データを処理する際の「処理者」に対する APPI の明示的な義務となります。

  4. シンガポール
    適用データ保護法の定義には、2012 年のシンガポール個人データ保護法およびその改正・関連規則(「PDPA」)が含まれます。PDPA が適用される場合、顧客への GitLab の義務は、PDPA で定義される「組織」に代わって個人データを処理する際の「データ仲介者」に対して PDPA が課す明示的な義務となります。PDPA から生じるまたはそれに関連するクレームはシンガポールの法律によって規律され、紛争はシンガポールの一般管轄裁判所で解決されます。

レガシー版 有効期間:2024年5月20日〜2026年4月30日

最終更新 May 6, 2026: Merge pull request #100 from kyama0/fix/upload-images-tolerate-upstream-missing (70970e1a)
ページのソースコードを見る - ページの編集 - please contribute. Creative Commons License