データ処理覚書

This Data Processing Addendum ("DPA") forms part of the Terms of Service between Prodia Systems Ltd ("Processor") and the Customer ("Controller") and applies where Prodia processes personal data on the Controller's behalf in connection with the Service. It is entered into in accordance with Article 28 GDPR.

1. Subject matter, duration, nature and purpose

Subject matter: provision of the Prodia platform. Duration: the term of the Agreement plus the period required to return or delete personal data. Nature and purpose: hosting, analysing and improving Customer code and related artefacts.

2. Categories of data subjects and personal data

• Data subjects: Controller's authorised users, contributors, end users and any individuals referenced in Customer Data.
• Personal data: identifiers, contact data, professional data, technical identifiers, any personal data incidentally contained in source code, logs or repositories.

3. Controller instructions

Prodia will process personal data only on documented instructions from the Controller, including the Agreement, the configuration of the Service and any instructions given via support. Prodia will notify the Controller if, in its opinion, an instruction infringes the GDPR or other applicable data-protection law.

4. Confidentiality

Prodia ensures that personnel authorised to process personal data are subject to appropriate confidentiality obligations.

5. Security (Art. 32 GDPR)

• Encryption of personal data in transit and at rest.
• Role-based access control and the principle of least privilege.
• Logging, monitoring and intrusion detection.
• Regular testing and assessment of technical and organisational measures.
• Business continuity and disaster recovery procedures.

6. 副処理者

管理者は、Prodiaが副処理者を雇用することを許可します。現在のリストは要求に応じて入手可能です。Prodiaは、意図された変更について管理者に通知し、データ保護に関連する合理的な理由に基づいて異議を唱える機会を管理者に与えます。Prodiaは、このDPAの規定と同等以上のデータ保護義務を各副処理者に課します。

7. データ主体からの要求

Prodiaは、処理の性質を考慮し、データ主体の権利を行使する要求に応じる管理者の義務の履行のために、可能な限り適切な技術的および組織的措置によって管理者を支援します。

8. 管理者への支援

Prodiaは、処理の性質および入手可能な情報を考慮し、GDPR第32条から第36条までの遵守を確保するために管理者を支援します。

9. 個人データ侵害

Prodiaは、顧客データに影響を与える個人データ侵害を認識した後、合理的に必要とされる管理者による通知義務の遵守に必要な情報とともに、不当な遅延なく管理者に通知します。

10. 返却または削除

サービスの終了時、Prodiaは、管理者の選択により、すべての個人データを削除または返却し、既存のコピーを削除します。ただし、EUまたはアイルランドの法律による保管が義務付けられている場合はこの限りではありません。

11. 監査

Prodiaは、GDPR第28条の遵守を実証するために必要なすべての情報を管理者に提供し、合理的な機密保持およびセキュリティ要件に従い、管理者または管理者が命じた他の監査人によって実施される検査を含む監査を許可し、それに協力します。

12. 国際転送

ProdiaがEEA外に個人データを転送する場合、Prodiaは、適切な補完的措置を講じた上で、十分性認定またはEU標準契約条項（2021/914）に基づいて転送を行います。

13. 準拠法

このDPAはアイルランドの法律に準拠し、基礎となる規約の管轄権条項に従います。