コントローラー間データ保護に関する補足条項（ライセンシー向け）

本データ保護補遺（以下「本補遺」という）は、(1) 本契約の当事者であるStats Performの事業体（以下「Stats Perform」という）と、(2) 本契約に基づきStats Performから提供される資料のライセンシーであり、かつ本契約の当事者である者（以下「ライセンシー」という）との間の主たる契約（およびそこに組み込まれた規定）（以下「本契約」という）に組み込まれ、その一部を構成するものである。本補遺の規定は、データ保護法上の目的において、Stats Performが本契約に基づきライセンシーと個人データを共有し、かつ本契約の各当事者がデータ管理者として行動する場合に適用される。

本契約の条項と本付則の条項との間に矛盾がある場合、本付則の条項が優先するものとします。これを条件として、本契約はその他の点において引き続き完全に効力を有するものとします。

1. 定義

本補遺において、「管理者」、「個人データ」および「処理」という用語は、英国GDPRにおいて定義された意味を有するものとし、さらに：

データ保護法

当事者に適用される、プライバシーおよび／または個人データの保護に関するすべての法令、法律、二次法規および規則を意味し、該当する場合、以下を含む：(i) EUに関しては、一般データ保護規則（EU）2016/679（「EU GDPR」）およびこれを施行し、これに取って代わり、またはこれを補完するすべての関連する加盟国の法律または規則； (ii) 英国に関しては、2018年データ保護法（「UK DPA」）、UK GDPR（UK DPAにおいて定義される意味を有するもの）（「UK GDPR」）、および2003年プライバシー・電子通信（EC指令）規則（SI 2003/2426）；および (iii) これらを随時施行、改正、拡大、再制定、置き換え、統合または補足する適用される法令。

EU標準契約条項

2021年6月4日付の欧州委員会実施決定（EU）2021/914の附属書に規定され（リンク先から入手可能）、その関連する付属書は本付録に記載されており、またはこれらを修正、置換、または優先する欧州委員会により承認された条項のセットをいう。

ICO UK 補遺

2022年3月21日に発効した、英国データ保護法（UK DPA）第119A条に基づき英国情報コミッショナーが発行した、EU標準契約条項（SCCs）の「国際データ移転に関する補遺」を指す（リンク先から閲覧可能）。

国際移籍

EU一般データ保護規則（GDPR）または英国一般データ保護規則（GDPR）（いずれか適用されるもの）の第5章の適用対象となる移転をいう。

国際移籍条項

EU標準契約条項（SCC）および（該当する場合）英国情報コミッショナー事務局（ICO）の補足条項を意味します。

2. データ保護関連法規の遵守

各当事者は、データ保護法に基づく管理者としてのそれぞれの義務を遵守することに同意し、また、その従業員、代理人、および請負業者がデータ保護法に基づくすべての適用される義務を遵守するよう確保するものとします。

3. 国際移籍条項

a)Stats Perform またはその企業グループ内の関連会社が EU GDPR の適用対象となり、欧州経済領域（EEA）外での処理を目的としてライセンシーに個人データを移転する場合において、当該移転が「国際移転」に該当し、かつ EU GDPR 第 45 条に規定される十分性認定に基づかないものであるときは、当事者は、本付録に組み込まれ、その一部を構成するとみなされる EU SCCs のモジュール 1 版を遵守するものとする。本付録に組み込まれ、その一部を構成するものとみなされ、以下のように補完されるものとする：(a) EU標準契約条項第11条(a)項に基づく任意の救済条項は適用されない；(b) EU標準契約条項第17条に関してはオプション1が適用され、準拠法はアイルランド共和国とする； (c) EU標準契約条項第18条(b)に基づく裁判地および管轄は、アイルランド共和国の裁判所とする；(d) EU標準契約条項の附属書IおよびIIには、以下のEU標準契約条項付録に記載された情報が記載されたものとみなす；および(e) EU標準契約条項の附属書IIIは適用されない。

b)Stats Perform またはその企業グループ内の関連会社が英国GDPRの適用を受け、英国国外での処理を目的としてライセンシーに個人データを移転する場合、かつ、当該移転が国際移転であり、かつ英国GDPR第45条に規定される十分性認定に基づくものでない場合、EU標準契約条項（EU SCCs）は上記(a)項に従って適用され、ICO英国補遺書に規定される通り修正されたものとみなされる。当該ICO英国補遺書は、当事者によって締結されたものとみなされ、本補遺書に組み込まれ、その一部を構成するものとする。本号に基づきICO UK付録が適用される場合：(i) ICO UK付録の第1部の表1および表3は、EU標準契約条項の付録および（したがって）以下のEU標準契約条項の付録に記載された関連情報をもって記入されたものとみなされる； (ii) 第1部の表2において、「付録EU SCCs」は、本付録に組み込まれたEU SCCs（前述の段落に従い）であり、付録情報（ICO UK付録に定義されるもの）を含むものとみなされる； (iii) 第1部の表4は、「いずれの当事者も該当しない」を選択することにより、記入済みとみなされる；および(iv) EU SCCsの条項とICO UK Addendumの条項との間に矛盾がある場合は、ICO UK Addendumの第9条、第10条および第11条に従って解決されるものとする。

c)国際移転条項が（全部または一部）改正、廃止、置き換え、または無効化された場合、あるいはデータ保護法に基づきライセンシーへの個人データの移転について、同条項がもはや適法な手段を提供しなくなった場合、当事者は、適用されるデータ保護法に基づく継続的なコンプライアンスを確保するために必要な保護措置を講じるよう協力するものとします。

d)「国際データ移転条項」の規定と本付則または本契約の規定との間に矛盾が生じた場合、国際データ移転条項が優先する。本契約の条項および本付則の条項は、国際データ移転条項をいかなる形でも変更するものではなく、またその意図もない。

EU標準契約条項（SCC）の付録

附属書I

A. 当事者

データ提供者（管理者）：Stats Perform。その住所、連絡先情報、事業内容および署名（該当する場合）は、本契約に記載のとおりとする（ただし、EU標準契約条項（SCC）の目的上、連絡用メールアドレスはprivacy@statsperform.com とする）。

データインポーター（管理責任者）：本契約に住所、連絡先、事業内容および署名（該当する場合）が記載されているライセンシー。

本契約の条項に同意することにより、当事者は、本付則の条項および適用される国際移転条項に拘束されることに同意し、これを承諾するものとします。

B. 譲渡の概要

個人データが移転されるデータ主体の区分：(i) アスリート、プロスポーツ選手、および関連するスポーツ専門家、ならびに (ii) Stats Perform および／またはその関連会社の従業員。

転送される個人データの区分：アスリート／スポーツ選手に関して：これらは、データ輸出者が統計データや一般的な情報を集計したり、本契約に詳述されているとおり、ライセンシーに対してその他の関連する商業サービスを提供したりするために利用される情報である可能性が高い。これには、氏名、身体的特徴、国籍、およびスポーツへの参加に関する統計的詳細が含まれる。職員に関して：氏名および連絡先情報（メールアドレスなど）。

転送された機微なデータ（該当する場合）および、データの性質や関連するリスクを十分に考慮した制限や保護措置。これには、例えば、厳格な利用目的の限定、アクセス制限（専門的な研修を受けたスタッフのみがアクセスできることを含む）、データへのアクセス記録の保持、第三者への転送に関する制限、または追加のセキュリティ対策などが含まれる。データ輸出者は、原則として機微な（または特別の種類の）データの収集を行わないが、選手の競技参加に影響を及ぼす可能性のあるスポーツ傷害に関しては、収集を行う場合がある。かかる特別の種類の個人データについては、以下の附属書IIに定める技術的および組織的措置が適用される。

データの移転頻度（例：データが単発的に移転されるか、継続的に移転されるか）：本契約の有効期間中は継続的に移転されます。

移転および処理の性質および目的：データ輸出者は、データ輸入者を含む顧客に対し、当該サービスを利用できるようにするため、スポーツコンテンツ関連サービスを提供しています。本移転の目的は、かかるスポーツコンテンツ関連サービスの提供（これには個人データの共有が含まれる場合があります）です。

個人データの保存期間、またはそれが不可能な場合は、その期間を決定するための基準：データ輸出者とデータ輸入者は、それぞれ独自の個人データ保存方針を適用するものとする。

C. 管轄監督当局

（該当する場合）ICO UK 補遺に従い、EU標準契約条項（SCC）の第13条に基づく管轄監督当局は、アイルランドデータ保護委員会となります。

附属書II– データのセキュリティを確保するための技術的および組織的措置を含む技術的および組織的措置

本契約に定めるその他のセキュリティ上の義務を損なうことなく、データ受入者は、以下の義務を負うものとする：

(i)本契約に基づき処理される個人データを保護するため、適切な技術的および組織的措置を講じる；

(ii)適切な研修を受け、かつ許可を得た者に対してのみ、個人データへのアクセスを許可すること；

(iii)処理システムおよびサービスの継続的なセキュリティの完全性、可用性、および回復力を確保するための、確実かつ確立された管理措置を講じること；

(iv)情報セキュリティおよび／または個人データに関するインシデントに対し、適時な通知と対応を確実にする、確立された組織的なインシデント対応プロセスを有すること；

(v)データ保護法規を遵守し、とりわけ、個人データが偶発的または違法な紛失、アクセス、または開示から保護されるよう設計された内部方針、手順および評価を維持すること；および

(vi)本附属書IIに規定される措置が確実に実施されるよう、技術的および組織的措置（職員に対する研修および周知徹底を含む）の有効性を定期的に試験、評価および検証するための手順を整備していること。

附属書III– 該当なし

STATS PERFORMを代表して署名

Stats Performの事業体名：Perform Content Limited

署名：____________________________________

署名者名：____________________________________

日付：____________________________________

ライセンシー法人の名称：____________________________________