個人データを管理する外部のビジネスパートナー

P&Gに対するサービスの一環として個人データを収集、使用または処理する外部ビジネスパートナー向けのプライバシーおよびセキュリティ要件。

プライバシーに関する別紙

次の別紙は、外部ビジネスパートナー向けのP&Gのプライバシーおよびセキュリティ要件をまとめたものです。P&Gは、適用されるデータプライバシー法に基づくパートナーの分類や、個人データの越境移転の有無に応じて、パートナーに異なる要件を適用することに留意してください。

データ処理業者向け別紙

通常、データ処理業者はP&Gの代理として 個人データを収集、使用、処理します。適用されるデータプライバシー法では異なる名称（データ処理業者ではなくサービス提供業者と呼ぶなど）が使われる場合がありますが、通常、契約上の要件は同じです。P&Gは、データ処理業者に対し以下の契約書を要請します。

• 別紙A P&Gプライバシー要件
• 別紙C P&G情報セキュリティ要件

データ管理業者向け別紙

通常、データ管理業者は、個人データの収集、使用または処理の目的および方法（「なぜ」および「いかに」）を決定 します。適用されるデータプライバシー法では、データ管理業者を指す際に異なる名称が使われる場合がありますが、通常、契約上の要件は同じです。P&Gがデータ管理者と個人データを共有する場合、データ管理者がP&Gと個人データを共有する場合、またはP&Gとデータ管理者の両者が相互に個人データを交換する場合、P&Gは適宜以下の契約書を要請します。

• データ管理者契約書（P&Gが個人データを共有する場合）
• データ管理者契約書（P&Gが個人データを受領する場合）
• データ管理者契約書（個人データを交換する場合）

個人データの越境移転に関する別紙

上記の別紙に加えて、個人データが当初収集された国から越境移転される場合、データプライバシー法により契約上の追加措置が必要になる場合があります。該当する場合、P&Gは適宜以下のデータの越境移転契約書を義務付けます。

• 別紙B 標準契約条項（モジュール 1—管理者から管理者）
• 別紙B（モジュール 2—データ移転に関する補遺 + 管理者から処理者への標準契約条項）

データの越境移転に関する追加情報

欧州経済領域（EEA）/英国/スイスからの個人データの越境転送 – P&Gのデータ輸出エンティティ

P&Gが、欧州経済領域（EEA）、英国、スイスから個人データを不適切な第三国に拠点を置くベンダーまたはビジネスパートナー（「第三者」）にエクスポートする場合、有効な転送メカニズムとして標準契約条項（「SCC」）に依存する場合があります。このセクションではP&Gのデータ輸出エンティティを特定する目的で、データ輸出業者として事業を運営し、EEA、英国、スイスから他の管轄区域に個人データを越境輸出する可能性があるP&G関連会社のリストを提供します。これらのエンティティは、PGのデータ転送メカニズム（SCCなど）ではデータ輸出エンティティになります。

なお、「不適切な第三国」とは、欧州委員会から適切な認定を受けていない国のことです。欧州委員会の適切な認定を受けた国の公式リストは、こちらで確認できます： https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy- decision_en

EUの個人データのP&Gへの移転に関する評価（Schrems II事件判決）

P&Gは、欧州司法裁判所のSchrems II判決とその後の欧州データ保護委員会（「EDPB」）の規制およびEU委員会が発表した新しい標準契約条項に従い、EUデータをP&Gに移転する当社の一部の第三者が、P&Gに対して、当社のデータの保護と保護措置についての情報を提供するよう要請することを認めます。かかる要請がある場合は、本件が適切なP&Gの部署で扱われるよう、要請を直接次のEメールアドレスに送ってください：corporateprivacy.im@pg.com

これらの要請はP&Gの法務チームが確認し、該当する第三者と直接やり取りします。