法律関連

1. マーケンとお客様は、一般データ保護規則2016/679(以下「GDPR」)、英国GDPR、医療保険の携行性と責任に関する法律(以下「HIPAA」)、およびその他の適用法(以下、総称して「データ保護法」)を含む、適用される現地の法律、制定法、規制、命令、基準、およびその他の同様の文書に従って個人データを処理します。

2. 本契約において、「データ主体」、「個人データ」、「処理」、「処理者」、「管理者」、「健康に関するデータ」、「機密データ」、または「保護対象保健情報(PHI)」という用語は、データ保護法で定義されている通りであり、「サービスデータ」とは、マーケンがお客様に代わって処理する患者様の個人データを意味します。

3. マーケンとお客様は、以下の事項に同意します。

• お客様が管理者または管理者の代理として行動し、マーケンがサービスデータに関する処理者として行動すること。
• お客様は、サービスデータを処理する目的と方法の決定について単独で責任を負うものとし、お客様はマーケンに対し、本サービスを提供する目的に照らして必要、正確、かつ適切で、関連性があり、過剰ではないサービスデータのみを処理するよう要求します。
• マーケンまたはお客様が、サービスデータに関して、データ保護法に基づきデータ主体または当局/規制当局から、マーケンによるサービスデータの処理またはサービスの提供を禁止する要求または苦情を受け取った場合、マーケンは、有効な要求、指示、または命令に従ったとしても、本契約に違反したとはみなされないものとします。

4. マーケンは以下を行います。

• お客様の書面による指示に従い、本サービスの履行に合理的に必要な範囲でのみサービスデータを処理します。
• サービスの履行に必要な場合、適用法を遵守する場合、またはお客様の事前の同意がある場合を除き、サービスデータを第三者に開示しません。
• お客様がデータ保護法に基づくデータ管理者としての責任を適切に果たせるよう、適用可能かつ合理的に必要な範囲でお客様に協力します。
• 適切な技術的および組織的対策を実施して、次のことを行います。
  • 偶発的または違法な破壊、偶発的な損失、改ざん、不正な開示、アクセス、または処理からサービスデータを保護します。
  • サービスデータへのアクセスを、マーケンがお客様にサービスを提供する上でサービスデータへのアクセスを必要とする担当者に限定します。マーケンは、サービスデータを処理する担当者が合理的に適切なデータ保護義務に拘束され、秘密保持義務の対象となることを保証します。
• 以下について、速やかにお客様に書面で通知します。
  • マーケンがお客様に代わって処理したサービスデータに関連して、データ保護法に基づきデータ主体または当局/規制当局が行った要求または苦情。マーケンは、データ保護法に従って受け取った要求または苦情に関して、お客様に協力し、合理的に支援します。
  • サービスデータの実際の損失、偶発的または違法な破壊、損害、および/または不正な開示、アクセス、または処理(これらの合理的な詳細を含む)。
• 本DPAに関連して、マーケンがお客様に代わって処理したすべてのサービスデータを削除または返却すること(ただし、法律、規制、お客様の書面による指示により別段の定めがある場合を除きます)。

5. お客様は、以下を表明し保証します。

• マーケン(およびその下請け業者)がデータ保護法に従ってサービスデータを処理するために依拠する法的根拠により、マーケン(およびその下請け業者)は、合法的に(i)マーケンによるお客様へのサービスの提供に応じてサービスデータを処理し、(ii) サービスデータの提供を目的として、またはマーケンの内部データ保存手順の一環として、サービスデータが収集された法域外にそのデータを転送して保存することができます(当該個人データは西ヨーロッパにあるサーバーに保存されます)。お客様がサービスデータの処理に適用される法的根拠として同意に依拠する場合、お客様は、ご自身の個人データをマーケンが処理することについて、有効で明示的、かつ自由意志で示された同意を得ており、データ主体には、マーケンに個人データの処理を許可するかどうかについて十分な情報に基づいた客観的な決定を下すために必要なすべての情報が提供されることを認めます。これには、サービスデータが作成された国と同じくらい厳格なデータ保護義務を課さない国に個人データが転送される場合がある旨を通知することが含まれます。
• サービスデータにPHIが含まれる(またはその他の方法で含まれる)場合、各患者様は、サービスを提供する目的で自身の保護対象保健情報の処理を許可する有効なHIPAA承認を提供しています。

6. お客様は、マーケンが本サービスを履行するために必要な場合を除き、マーケンにサービスデータを送信またはその他の方法で開示しないものとします。

7. マーケンは、マーケンが個人データを使用および処理できる範囲に関する指示をお客様に依拠します。したがって、マーケンは、マーケンの作為または不作為に起因するデータ主体によるいかなる請求に対しても、かかる作為または不作為がお客様の指示に直接起因する範囲において、責任を負わないものとします。

8. お客様が、個人データ(マーケンの従業員または請負業者のデータを除く)を含む本サービスに関する報告書、記録、リスト、または概要の提供をマーケンに要求する場合、お客様は、当該報告書の作成および交付に有効な法的根拠があること、およびお客様による当該報告書の使用が適用法に準拠することを保証します。

9. お客様がマーケンに代わって、従業員、作業員、下請け業者の個人データを含みますが、これらに限定されない個人データ(以下「マーケンのデータ」)を処理する場合、お客様は、(a)マーケンのデータを保護するための適切なセキュリティ対策を講じていること、および(b)マーケンの同意なしにマーケンのデータが収集された法域外にそのデータを転送しないことを保証するものとします。お客様は、マーケンのデータに影響を与えるデータ侵害またはその疑いがある場合、データ侵害に気付いた時点で、あるいはその疑いが生じた時点で直ちにマーケンに通知するものとします。

2024年5月更新