データ処理追補契約

最終更新日: 2026年5月28日

本データ処理追補契約(以下「DPA」といいます)は、以下に対する一部を構成し、参照により組み込まれます。利用規約および、OneCal SHPK(以下「OneCal」「当社」「弊社」といいます)と、アカウントにおいて特定される顧客(以下「お客様」「貴社」といいます)との間で、当社がサービスを提供するために締結されるその他一切の書面または電子的な契約(総称して「本契約」)。

本DPAは、お客様によるサービスの利用に関連して、データ管理者であるお客様に代わって処理者であるOneCalが行う個人データの処理を規律します。本DPAは、個人データの処理に関する両当事者の合意を反映するものであり、EU/英国/スイスのデータ保護法またはその他の適用されるデータ保護法が当該処理に適用される範囲において適用されます。

本DPAは、お客様が利用規約を承諾した時点で効力を生じます。サービスを利用することにより、お客様はご自身および該当する場合はお客様が代表する顧客企業のために本DPAを承諾するものとします。副署は不要ですが、副署された写しを必要とするお客様は contact@onecal.io にてご請求いただけます。

個人データの処理に関して本DPAと本契約の間に矛盾がある場合、本DPAが優先します。各附属書は本DPAの不可分の一部を構成します。

1. 定義

本DPAで定義されていない大文字の用語は、本契約で付与された意味を有します。本DPAにおいて以下のとおり定義します。

「顧客個人データ」とは、サービスを提供する過程において、OneCalがお客様に代わって処理する個人データをいい、附属書1で詳述します。
「データ保護法」とは、本契約に基づく個人データの処理に適用される一切の法令をいい、以下を含みます。(i) 規則(EU)2016/679(以下「GDPR」)、(ii) 2018年英国データ保護法および英国GDPR(以下「UK GDPR」)、(iii) スイス連邦データ保護法(以下「FADP」)、(iv) CPRAにより改正されたカリフォルニア消費者プライバシー法(以下「CCPA」)、ならびに(v) その他適用される同等または承継法。
「管理者」「処理者」「データ主体」「個人データ」「処理」および「特別な種類の個人データ」は、GDPRに定められた意味を有します。
「サブプロセッサー」とは、OneCalが委託する第三者であって、サービスに関連してOneCalに代わって顧客個人データを処理する者をいいます。
「セキュリティインシデント」とは、OneCalまたはそのサブプロセッサーが処理する顧客個人データの偶発的もしくは違法な破壊、消失、改ざん、無断開示またはアクセスをもたらすセキュリティ侵害をいいます。セキュリティインシデントには、顧客個人データの安全性を損なわない不成功の試みや活動(失敗したログイン試行、ピング、ポートスキャン、サービス妨害攻撃、ファイアウォールやネットワーク化されたシステムへのその他のネットワーク攻撃など)は含まれません。
「標準契約条項」または「SCC」とは、2021年6月4日付欧州委員会実施決定(EU)2021/914に定める、GDPRに基づく第三国への個人データ移転のための標準契約条項をいいます。
「UK Addendum」とは、英国情報コミッショナーが発行した、EU委員会標準契約条項に対する国際データ移転追補(2022年3月21日発効、バージョンB1.0)をいいます。
「エンドユーザー」とは、利用規約に定められた意味、すなわちお客様がサービスを通じて公開するコンテンツに関与する者(お客様の予約ページの招待者およびお客様の公開カレンダーフィードの閲覧者を含む)をいいます。

2. 適用範囲および両当事者の役割

お客様がサービスに提出または生成する個人データ(予約ページ、カレンダー同期、その他お客様がエンドユーザーに提供する機能を通じて収集する、お客様のエンドユーザーの個人データを含む)について、お客様が管理者であり、OneCalが処理者となります(以下「顧客個人データ」)。お客様自身が第三者である管理者に代わって行動する処理者である場合(例えば、お客様自身の顧客に代わって個人データを処理するためにサービスを利用する組織である場合)、OneCalはサブプロセッサーとして行動し、お客様は基礎となる管理者から本DPAを締結する権限を有することを保証します。

OneCalは、適用法により要求される場合を除き、国際移転に関するものを含め、お客様からの文書化された指示に基づいてのみ顧客個人データを処理します。本契約(本DPA、サービスドキュメント、お客様によるサービスの設定、およびサービスの管理者用コントロールを通じて発行された指示を含む)は、顧客個人データの処理に関するお客様からOneCalへの完全かつ最終的な文書化された指示を構成します。追加または代替の指示は書面で合意する必要があります。

OneCalは、その意見において指示が適用されるデータ保護法に違反していると判断した場合、お客様に通知します。ただし、お客様の当該法令の遵守を監視する義務を負うものではありません。

本DPAは、処理者としてOneCalがお客様に代わって行う顧客個人データの処理のみに適用されます。OneCalは、独立した管理者として個人データを別途処理します。これには、お客様自身のアカウント、請求、連絡先情報、サービスの運用および保護のために使用される認証、セキュリティ、不正防止のメタデータ、サービスの運用および改善のためにOneCalが使用する製品アナリティクス、ならびに受信者の個別の同意を得て送信されるOneCal自身のマーケティング通信が含まれます。当該別途の処理については、本DPAではなくOneCalのプライバシーポリシーに記載され、これに準拠します。

OneCalは、お客様の明示的な事前許可なく、顧客個人データを人工知能または機械学習モデルの訓練または微調整に使用しません。

3. お客様の義務

お客様は、顧客個人データの適法性およびお客様がそれを取得した手段について責任を負います。お客様は、本契約および本DPAに記載のとおり、顧客個人データを処理し、お客様に代わって顧客個人データを処理するようOneCalに指示するために必要な一切の権利、適法な根拠、同意および権限を有していることを保証します。これには、第三者のカレンダープロバイダーから同期されたカレンダーイベント、および予約招待者などのエンドユーザーの個人データに関連するものを含みます。

お客様は、サービスを通じてお客様が個人データを処理することに関し、データ主体(エンドユーザーを含む)に対する必要な一切の通知の提供および必要な一切の同意の取得について責任を負います。

お客様は、利用規約に記載のとおり、特別な種類の個人データ、またはサービスが取り扱うように設計されていない特別な法的制度の対象となるデータ(HIPAAやGLBAの対象データを含むがこれに限定されません)を提出してはならず、エンドユーザーがこれを提出することを防止するため合理的な努力を行うものとします。OneCalは、本制限に違反してサービスに提出された当該データの処理について責任を負いません。

お客様は、サービスが第三者のカレンダープロバイダーに依存しており、お客様による当該プロバイダーの認可、当該プロバイダーが提供するデータ、およびその継続的な可用性がOneCalの管理外であることを承認します。

4. サブプロセッサー

お客様は、サービスの提供に関連して顧客個人データを処理するため、サブプロセッサーを起用することについてOneCalに一般的書面による承認を付与します。

OneCalは、各サブプロセッサーの名称、役割および主要所在地を含む現時点のサブプロセッサー一覧を、サブプロセッサーページにて維持しています。お客様はいつでも当該一覧をご参照いただけます。サブプロセッサーページを見る.

OneCalは、サブプロセッサーの追加または交換について、変更が発効する少なくとも30日前にサブプロセッサーページを更新することにより、お客様に事前通知を行います。

お客様は、合理的なデータ保護上の根拠に基づき、当該通知から14日以内に contact@onecal.io 宛に書面で通知することにより、OneCalによる新たなサブプロセッサーの起用に異議を申し立てることができます。お客様が異議を申し立てた場合、両当事者は誠実に協力して異議の解決に努めます。合理的な期間内に解決に至らない場合、お客様は唯一の救済として、影響を受けるサブスクリプションを解約し、解約後の期間について前払いされたサブスクリプション料金の日割り返金を受けることができます。

OneCalは、各サブプロセッサーとの間で、本DPAの下でOneCalに課されるデータ保護義務と少なくとも同等に顧客個人データを保護する書面による契約を締結します。OneCalは、本契約に規定される範囲内で、当該契約の下での各サブプロセッサーの義務の履行について、お客様に対し責任を負い続けます。

5. 国際的データ移転

OneCalの顧客個人データに関する主要処理インフラはアメリカ合衆国に所在します。OneCalまたはそのサブプロセッサーが事業を維持する世界のその他の地域においても、OneCalは顧客個人データを処理する必要が生じる場合があります。サブプロセッサーページを見る.

OneCalが、欧州委員会の十分性決定の対象とならない国においてGDPRに服する顧客個人データを処理する場合、両当事者は、両当事者の詳細、移転の説明、および技術的・組織的措置を附属書3に定めるとおり完成させた上で、標準契約条項(モジュール2:管理者から処理者)を参照により本DPAに組み込みます。以下を選択するものとします。(i) 任意のドッキング条項(第7条)を適用する、(ii) サブプロセッサーの変更については、第4条に定める通知期間とともにオプション2(一般的書面承認)を適用する、(iii) 第17条(準拠法)はアイルランド法に準拠する、(iv) 第18条に基づく裁判管轄はアイルランドの裁判所とする、(v) 附属書I.Cはアイルランド・データ保護コミッションを所轄監督機関として指定する。

顧客個人データがUK GDPRに服する場合、両当事者はUK Addendumを本DPAに組み込み、上記のSCCをUK Addendumで参照される「Approved EU SCCs」とし、表1から表3を附属書3を参照して完成させます。いずれの当事者も、UK Addendumの第19条に定めるとおり、UK Addendumを終了させることができます。

顧客個人データがFADPに服する場合、SCCは以下の修正を加えて適用されます。(a) FADPが適用される場合、GDPRへの言及はFADPへの言及と読み替える、(b) スイス連邦データ保護・情報コミッショナーは、FADPのみに服する移転についての所轄監督機関である、(c) 「加盟国」という用語は、スイスにおけるデータ主体が常居所地で権利を行使することを排除しないものとして解釈する。

所轄監督機関または裁判所が、SCC、UK Addendum、または本DPAに基づき依拠されたその他の移転メカニズムを無効化または制限した場合、OneCalおよびお客様は、適用されるデータ保護法に準拠する代替の移転メカニズムを採用するため、誠実に協力します。

6. セキュリティ

OneCalは、最新技術、実装費用、処理の性質、範囲、文脈および目的、ならびにデータ主体へのリスクを考慮し、顧客個人データを偶発的もしくは違法な破壊、消失、改ざん、無断開示またはアクセスから保護するために設計された適切な技術的および組織的措置を実施し、維持します。当該措置の現時点の概要は附属書2に定めています。

OneCalは、顧客個人データを処理することを認可された人員が適切な守秘義務を負い、データ保護責任に関する研修を受けていることを確保し、顧客個人データへのアクセスを業務遂行上当該アクセスを必要とする人員に制限します。

OneCalは、更新された措置が顧客個人データの保護水準を実質的に低下させない限り、随時、技術的および組織的措置を更新することができます。

7. セキュリティインシデントの通知

OneCalは、顧客個人データに影響を及ぼすセキュリティインシデントを認識した後、不当な遅延なく、かつ実行可能な場合には認識後72時間以内に、お客様に通知します。

各通知には、OneCalにとってその時点で判明している範囲で以下を含めます。(a) セキュリティインシデントの性質の説明(可能な場合、関係するデータ主体および記録のカテゴリーおよび概数を含む)、(b) セキュリティインシデントの想定される影響、(c) セキュリティインシデントに対処し、その悪影響の可能性を緩和するために講じた、または提案された措置、(d) 追加情報を入手できるOneCalの連絡先。情報を同時に提供できない場合、OneCalはさらなる不当な遅延なく段階的に提供します。

OneCalは、お客様が適用されるデータ保護法に基づく自らの通知義務(監督機関および影響を受けるデータ主体への通知を含む)を遵守できるよう、合理的な支援を提供します。

本条に基づくOneCalによるセキュリティインシデントの通知または対応は、当該セキュリティインシデントに関する過失または責任をOneCalが認めるものではありません。

8. データ主体からの要求および協力

処理の性質を考慮し、OneCalは、適切な技術的および組織的措置を通じて、可能な限り、お客様が適用されるデータ保護法に基づく権利(アクセス、訂正、消去、制限、ポータビリティおよび異議の権利を含む)を行使するためのデータ主体からの要求に対応する義務を履行できるよう、お客様に合理的な支援を提供します。

データ主体が顧客個人データに関する要求についてOneCalに直接連絡した場合、OneCalは、不当な遅延なく、当該要求はお客様に提出すべき旨をデータ主体に通知するか、または、データ主体の身元情報によりそれが可能な場合、当該要求をお客様に転送します。OneCalは、お客様の文書化された指示に基づく場合を除き、お客様に代わって当該要求に対応しません。

処理の性質およびOneCalが利用可能な情報を考慮し、OneCalは、GDPR第32条から第36条(セキュリティ、侵害通知、データ保護影響評価、監督機関への事前協議)に基づく義務について、お客様に合理的な支援を提供します。サービスに合理的に含まれる範囲を超えてOneCalが負担する自己負担費用については、お客様の負担とします。

9. 記録および監査

OneCalは、GDPR第30条(2)で要求されるとおり、お客様に代わって実施した処理活動の記録を維持します。

OneCalは、本DPAおよびGDPR第28条に基づく処理者の義務の遵守を立証するために合理的に必要な一切の情報をお客様に提供します。第一に、お客様の監査権は、OneCalが以下を提供することにより満たされます。(a) 本DPA、ならびに附属書2およびOneCalのデータセキュリティページに定める技術的および組織的措置の説明、(b) 入手可能な場合、OneCalのその時点での第三者認証、証明、ペネトレーションテストの要約、または監査報告書の写し、(c) 附属書2に定める事項を網羅する標準的なセキュリティ・アンケートに対する合理的な書面回答。いずれの場合も、合理的な守秘義務に従うものとします。

前項に基づき提供された情報が、お客様の合理的な評価において、本DPAに基づく特定の義務の遵守を立証するのに十分でない場合、お客様は、対応すべき事項および必要とされる追加情報を特定して、contact@onecal.io 宛に書面で要請を提出することができます。OneCalは、合理的な期間内、かついかなる場合も受領から30日以内に書面で回答し、合理的な守秘義務、ならびに第三者に対するOneCalの義務、他の顧客のデータの保護、またはOneCalの営業秘密の保護から生じる制約に従い、OneCalが合理的に利用可能な追加情報、説明または証拠を提供します。

前各項のステップを完了した後、お客様が、提供された情報が本DPAに基づく特定の義務の遵守を立証するのに依然として不十分であると合理的に判断する場合、お客様は、自らの費用負担で、当該特定事項に限定したOneCalのデータ保護遵守の監査を、12ヶ月期間につき1回を超えない範囲で実施することができます(監督機関により要求された場合またはセキュリティインシデント後を除く)。ただし、以下を条件とします。(a) 少なくとも60日前の書面による事前通知、(b) OneCalが合理的に承諾し得る守秘契約の締結、(c) 監査は通常の営業時間内に、OneCalの業務に支障をきたさない方法で実施され、他のいかなる顧客のデータ、営業秘密、または第三者に対するOneCalの義務に違反するアクセスを伴うシステムには及ばないこと、(d) 監査人は、OneCalの競合他社ではなく、上記の守秘契約を締結した、評判の良い独立した第三者であること。両当事者は監査結果を共有し、誠実に所見について協議します。

10. 顧客個人データの返却および削除

お客様は、本契約の期間中いつでも、サービスの機能を通じて顧客個人データを削除することができます。データのエクスポート要求については、お客様は contact@onecal.io にてOneCalにご連絡いただけます。

本契約の終了または満了時、OneCalは、お客様の選択により、顧客個人データの全てを削除またはお客様に返却し、既存の写しを削除します。ただし、適用法によりOneCalが当該個人データを保持することが要求される範囲、または個人データが、OneCalの通常のバックアップ保管慣行に従って循環的に廃棄・削除される、定期的な暗号化バックアップに保持されている場合を除きます。

本契約が終了する場合(お客様がサービスを通じてアカウントを削除する場合を含む)、OneCalは速やかに本番稼働システムから顧客個人データを削除します。バックアップの写しは、OneCalの通常のバックアップ保管慣行に従って当該バックアップが循環的に廃棄されるにつれ消去されます(通常7日以内)。削除されたデータ主体についてOneCalが保持する唯一の個人データは、メールアドレスの一方向ハッシュであり、利用停止または削除されたアカウントの再登録を防止し、不正行為および濫用防止を支援するため、正当な利益を根拠として無期限に保持されます。記録上の財務記録は、OneCalの記録上の販売者が独自の法定保管期間に基づき保管しており、OneCalは保持しません。

11. 責任

本DPAから生じる、または本DPAに関連する各当事者の責任(契約上、不法行為またはその他の責任理論によるかを問わない)は、本契約に定める責任の制限に従うものとし、本契約における当事者の責任への言及は、本契約および本DPAに基づく当該当事者の責任の合計を意味するものとします。本DPAのいかなる規定も、適用法の下で制限または除外することができない責任(GDPR第82条に基づく責任を含む)を制限または除外するものではありません。

お客様は、同一の損失について、本契約と本DPAの双方に基づき重複した請求を行わないものとします。

12. カリフォルニア消費者プライバシー法

OneCalがお客様に代わってカリフォルニア州居住者の個人データを処理する場合、OneCalはCCPAの意味におけるお客様の「サービスプロバイダー」として行動します。OneCalは以下を行います。(a) 当該個人データを本DPAおよび本契約に定める限定的かつ特定された事業目的のためにのみ処理する、(b) 当該個人データを販売または共有しない(これらの用語はCCPAで定義されるとおり)、(c) CCPAで許可される場合を除き、お客様とOneCalの直接的な取引関係の外で、または本DPAに定める事業目的以外の商業目的のために、当該個人データを保持、使用または開示しない、(d) CCPAで許可される場合を除き、当該個人データを他の者から受領した個人データと組み合わせない。

OneCalは、本条に定める制限を理解しており、それを遵守することを証明します。

13. 一般条項

本DPAは、お客様が本契約を承諾した日に効力を生じ、OneCalが顧客個人データを処理する限り効力を有します。これには、第10条(返却および削除)を実施するために必要な継続的処理の範囲において、本契約の終了後も効力を有することを含みます。

OneCalは、適用されるデータ保護法、移転メカニズムまたはOneCalの事業の変更を反映するため、随時本DPAを更新することができます。当社は、利用規約に記載のとおり、重要な変更について通知します。適用法、監督機関により要求される更新、または代替移転メカニズムを反映する更新は、お客様によるさらなる行動を必要とせず、通知に指定された日に効力を生じます。

本DPAのいずれかの規定が管轄裁判所により無効または執行不能と判断された場合、残りの規定は完全に効力を維持します。

本DPAに関する質問、副署された写しの請求、SCCの締結済み写しの請求、または本DPAに基づき要求される通知は、contact@onecal.io にてOneCalまでお送りいただけます。EU所在のデータ主体は、OneCalのプライバシーポリシーの「EU/EEA GDPR代表」セクションに記載のチャネルもご利用いただけます。プライバシーポリシーを読む.

附属書1 — 処理の説明

対象事項

OneCal Processes Customer Personal Data as necessary to provide the Service in accordance with the Agreement and Customer's documented instructions, including any features and functionality made available to Customer from time to time.

期間

本契約の期間、および第10条に定める終了後の保管期間。

性質および目的

Processing activities include hosting, storing, transmitting, displaying, backing up, securing, and otherwise handling Customer Personal Data as reasonably necessary to deliver, support, and improve the Service in accordance with the Agreement and Customer's instructions.

データ主体のカテゴリー

Customer's Authorized Users: account holders and other individuals authorized by Customer to use the Service.
Customer's End Users: booking attendees and schedulers, workspace invitees, and other persons who interact with content the Customer publishes through the Service or who are invited to scheduled events.

個人データのカテゴリー

Identification and contact data: such as name, email address, time zone, and similar contact details of Authorized Users and End Users.
Account and workspace data: account and team-membership information for Authorized Users, such as role and permission assignments, invitation status, and team affiliations.
Calendar data: Personal Data contained in connected calendar event details as exposed by Customer's connected calendar providers. Customer may minimize what is mirrored to destination calendars through the privacy controls available in the Service.
Booking data: Booking Page and per-link configuration, and booking event data, including times, attendee details, and custom-field responses, which may contain arbitrary Customer-defined Personal Data.
Customer-published content: text, images, links, and other content Customer publishes on Booking Pages and similar surfaces.
Communications data sent through the Service on Customer's behalf: outbound transactional and service email content to End Users (such as booking confirmations, reminders, and calendar invites).
Support communications: messages, transcripts, and attachments exchanged with OneCal's support channel.
Device and mobile-application data: data necessary to operate OneCal's mobile applications, such as push notification tokens and device-level preferences.
Integration data: payload contents of outbound webhooks delivered to Customer-provided endpoints, and other Personal Data transmitted through Customer's use of OneCal APIs.

特別な種類の個人データ

本サービスは、特別な種類の個人データ(GDPR第9条)またはHIPAAもしくはGLBAの対象データを対象として意図されておらず、お客様はこれらを提出しないことを保証します。当該制限に違反して当該データが提出された範囲では、それは本DPAが想定する処理の一部ではありません。

処理の頻度

本契約の期間中、継続的に行います。

保管

本DPAの第10条およびOneCalのプライバシーポリシーに定めるとおりです。

附属書2 — 技術的および組織的措置

OneCalは、GDPR第32条に沿って顧客個人データを保護するために設計された技術的および組織的措置を実施しています。これには以下を含みます。送信中(TLS)および保存中の個人データの暗号化、AWS上にホストされたプライベートかつネットワーク分離された本番データベース、人員のためのロールベースアクセス制御および最小権限の原則、高リスク識別子(APIキー、削除後のアカウント識別子)のハッシュ化、受信プロバイダーイベントに対するWebhook署名検証、自動暗号化バックアップ、なりすましを含むセキュリティ関連の管理者操作のログ記録、IPベースのレート制限や使い捨てメールブロックリストなどの濫用防止コントロール、自動依存関係脆弱性スキャン、文書化されたインシデント対応手順、ならびに各サブプロセッサーとのデータ処理契約の締結。

OneCalのセキュリティ管理の現時点でのより詳細な説明は、 OneCalデータセキュリティページに公開されており、本DPAに基づき顧客個人データに適用される技術的および組織的措置の一部を構成します。OneCalは、当該更新が顧客個人データの保護の全体的水準を実質的に低下させない限り、随時、そこに記載された管理を更新することができます。

附属書3 — 標準契約条項の附属書

本附属書3は、本DPAの第5条に基づき組み込まれる場合の標準契約条項の附属書を完成させるものです。

A. 当事者リスト

データ輸出者:お客様、そのOneCalアカウントにおいて特定され、管理者として行動し、お客様がアカウントにて提供する連絡先詳細を有します。

データ輸入者:OneCal SHPK、Rruga Gjon Buzuku, Apartamenti nr.2, Kati 7, Tirana, Albania、処理者として行動。連絡先:contact@onecal.io。EU内代表者:Euverify Ltd, Unit 3D North Point House, North Point Business Park, New Mallow Road, Cork, T23 AT2P, Ireland。メール:gdpr@euverify.com。

B. 移転の説明

The categories of Data Subjects, categories of Personal Data, special categories of data (none, as set out in Annex 1), nature and purpose of the Processing, frequency, duration, and retention are set out in Annex 1.

C. 所轄監督機関

GDPRに服する移転について:アイルランド・データ保護コミッション(21 Fitzwilliam Square South, Dublin 2, D02 RD28, Ireland)。UK GDPRに服する移転について:英国情報コミッショナー事務局。FADPのみに服する移転について:スイス連邦データ保護・情報コミッショナー。

II. 技術的および組織的措置

データ輸入者が適用する技術的および組織的措置は、附属書2に定めています。

III. サブプロセッサーリスト

認可されたサブプロセッサーの現時点のリストは、OneCalサブプロセッサーページに公開されています。サブプロセッサーページを見る.