データ処理付録

このShoprocketデータ処理附属書（「附属書」）は、あなた（「あなた」）とShoprocket LTD（会社番号12656598、イングランドおよびウェールズに登録され、ロンドンのWenlock Road 20-22、NG 17Uに所在）との間のShoprocket利用規約（「合意」）を修正します。Shoprocketとの間に別途SLAがある場合、合意への言及はそのSLAを意味します。この附属書は合意に従い、それに組み込まれています。ここで定義されていない大文字の用語は、合意で与えられた意味を有します。

---

定義

• アカウント設定：Shoprocketアカウントの設定（セキュリティを含む）で、Shoprocketが個人データを処理する方法を管理できます。

• 営業目的: 合意で定義されたサービス。

• クライアントアカウントデータ: Shoprocketとの関係に関する個人データ（例：承認された連絡先、請求情報）、およびアカウント管理、本人確認、または法的要件のためにShoprocketが収集する情報。

• クライアント使用データ: サービスの利用に関連してShoprocketが処理する使用データ（例：ログ、パフォーマンス指標、悪用防止データ）。

• データ保護法: CCPA、EU GDPR、スイス連邦データ保護法、UK GDPR、DPA 2018、およびPECR 2003を含み、それぞれ更新されます。用語（例：「データ管理者」、「データ処理者」）はEU GDPRに従います。

• EEA: 欧州経済領域。

• EU SCCs: 委員会の決定2021/914に基づく標準契約条項。

• Ex-EEA転送: EU GDPRに基づく個人データのEEA外への転送で、EU GDPR第45条に基づく適合性の決定なしに行われます。

• Ex-UK転送: UK GDPRに基づく個人データのUK外への転送で、UKの国務長官による適合性の決定なしに行われます。

• サービスプロバイダー: CCPAで定義されたもの。

• サービス: オンラインストア（「Shoprocketストア」）を作成/管理するためのShoprocketのツール、製品の取り扱い、支払い、配送、マーケティング、およびShoprocketが提供する可能性のあるその他のツールまたはサービス。

• Shoprocketアカウント: サービスへのアクセスを提供するあなたのアカウントで、アカウント設定を含み、https://www.shoprocket.ioにあります。

• Shoprocketプライバシーポリシー: https://shoprocket.io/privacyにある通知、更新されます。

• Shoprocketストア: Shoprocketがホストまたは支援するあなたのeコマースサイト。

• 特別カテゴリデータ: EU/UK GDPRの第4条（13）、第4条（14）、第4条（15）、および第9条で定義されています（該当する場合）。

• 標準契約条項（SCCs）: 関連するEU SCCsおよびUK SCCs。

• UK SCCs: UK ICOのIDTA附属書によって改訂されたEU SCCs。

• 私たち/私たちの: Shoprocket LTD（「Shoprocket」と「Shoprocket.io」を含む）。

• あなた/あなたの: 合意に記載された契約当事者。

---

顧客の指示

この附属書と合意（アカウント設定における指示を含む）は、Shoprocketが個人データを処理する方法に関する文書による指示を形成します。Shoprocketは、指示に従ってのみ個人データを処理します。これらの条件以外の追加の指示には、事前の書面による合意が必要であり（追加料金が発生する場合があります）、事前の合意が必要です。

Shoprocketは、あなたの指示がデータ保護法に違反するか、合意された指示から逸脱している場合、この附属書と合意を終了することができます。処理の性質を考慮すると、Shoprocketは一般的にあなたの指示が法律に違反しているかどうかを判断できません。もしそのような意見を形成した場合、あなたに通知し、指示を修正または撤回することができます。

---

データ処理

1. Shoprocketの処理

   • データ処理者/サービスプロバイダー: クライアントアカウントデータおよびクライアント使用データを除き、Shoprocketは、あなたの代理として個人データ（EU/UK GDPRに基づく）または個人情報（CCPAに基づく）を処理します。

   • 独立データ管理者: Shoprocketは、ストアの顧客から直接収集された個人データおよびクライアントアカウントデータまたはクライアント使用データのデータ管理者です。

2. ストレージ

   • 個人データは以下に保存されます：

     1. アイルランドのAWSサーバー（またはその他のEEA地域）、

     2. ニュルンベルク/ファルケンシュタイン（ドイツ）のHetznerサーバー。

3. 範囲と目的

   • Shoprocketは、あなたが指定した営業目的のために（購入したサービスに一致する形で）必要に応じてのみ個人データを処理し、データ保護法に準拠します。

   • 法律によって異なる方法で処理する必要がある場合、Shoprocketは通知しますが、法律で禁止されている場合は除きます。

   • Shoprocketは、あなたの指示に従って迅速に個人データの修正、転送、削除、または無許可の処理を停止します。

   • Shoprocketは、開示が許可されているか法的に要求されない限り、個人データを機密に保持します。

   • Shoprocketは、あなたのコンプライアンス義務（例：データ主体からの要求、DPIA）を追加料金なしで支援します。

   • Shoprocketは、合意またはこの附属書に影響を与える法律の変更を通知します。

4. Shoprocketとしての独立データ管理者

   • クライアントアカウントデータおよびクライアント使用データについて、Shoprocketは共同管理者ではなく、そのデータをあなたとの関係管理、詐欺・セキュリティインシデントの防止、法的義務の遵守などのために処理します。これはShoprocketプライバシーポリシーに従います。

5. CCPA

   • クライアントアカウントデータおよびクライアント使用データを除き、ShoprocketはCCPAに基づくあなたのサービスプロバイダーです。個人情報を「販売」せず、サービスの実行または法律で許可される方法でのみ使用します。

6. アドオン

   • あなたは、各パブリッシャーとの別のEULAの下でサードパーティのアドオン（「アドオン」）を統合できます。Shoprocketは、アドオンパブリッシャーに必要な個人データを転送しますが、彼らの処理に対して責任を負いません。現在、Shoprocketが提供しているアドオンは次のとおりです：

     • Amazon、eBay、Facebook Marketplace、Google Shopping、Instagram Shopping: マルチチャネルフルフィルメントと同期。

     • Affirm、Afterpay、Alipay、Apple Pay、Click to Pay、GrabPay、GooglePay、iDEAL、Klarna、Microsoft Pay、PayPal、P24、Sofort、Stripe、WeChat Pay: 様々な方法/通貨をサポートする支払い統合。

     • Zapier: Shoprocketと他のアプリケーション間のデータ転送/ワークフローを自動化します。

   • ShoprocketとあなたがSCCを持っている場合、アドオンを統合する指示は、それらのアドオンパブリッシャーに個人データを転送することに対する同意を意味します。

7. あなたの責任

   • あなたは、Shoprocketがあなたのために収集または処理したすべての個人データのデータ管理者です。

   • あなたは、通知/同意要件を満たし、データ保護法を遵守する責任があります。

---

個人データの種類と処理目的

• 主題：あなたがサービスにアップロードする個人データ、あなたのShoprocketアカウントまたはストアを含みます。

• 期間：あなたが決定します（あなたがShoprocketのサブスクリプションや関連する統合を一時停止/終了するまで）。

• 目的：あなたの指示に従ってサービスを提供すること（例：あなたのShoprocketストア/アカウントを運営すること）。

• 処理の性質：Shoprocketのeコマースプラットフォーム（およびサブプロセッサ/アドオンパブリッシャー）は、個人データを保存または処理する場合があります。

• 個人データの種類：あなたがアップロードするデータ（例：連絡先、顧客情報、取引記録）。

• データ主体：あなた、あなたの顧客、従業員、契約者、代理人、供給者、またはベンダー。

---

データ処理のセキュリティ

Shoprocketは、個人データを無許可または違法な処理、偶発的な損失、または破壊から保護する適切な技術的および組織的措置を維持します。これはEU/UK GDPRの第32条に aligned しています。措置には（適切な場合）以下が含まれます：

• データの疑似化/暗号化;

• システムの機密性、完全性、可用性、および弾力性の確保;

• インシデント後のデータ可用性の適時の復元;

• これらの措置を定期的にテスト、評価、評価すること。

Shoprocketの従業員

• Shoprocketは、個人データを扱う従業員、契約者、代理人が訓練されており、守秘義務に束縛され、データ保護義務を十分に認識していることを保証します。

セキュリティ（再述）

• Shoprocketは、無許可の処理を防止するために、暗号化、システムの弾力性、復元可能性、および効果的なテストを含め、技術的/組織的な safeguards を継続的に更新します。

---

個人データ侵害

1. 通知

   • Shoprocketは、以下を認識した場合、72時間以内（および不必要な遅延なし）にあなたに通知します：

     1. 個人データの紛失/損傷;

     2. 偶発的、無許可、または違法な処理;

     3. 個人データの侵害。

2. 情報

   • Shoprocketは、事件の説明、影響を受けたデータのカテゴリ/数、影響を軽減するために取られたまたは提案された措置を提供します。

3. 協力

   • Shoprocketは、調査に関してあなたと協力し、法律で要求されない限り、あなたの書面による同意なしに第三者に通知しません。

4. コスト

   • Shoprocketは、これらの義務に関する合理的な費用を負担しますが、それがあなたの指示、不注意、または違反から生じた場合には、あなたがShoprocketの合理的な費用（専門顧問を含む）を負担します。

---

サブプロセッサ

Shoprocketは現在、データのホスティング/処理、インフラストラクチャ/ネットワークサービス、その他のサービス機能のために、次のサブプロセッサを使用しています：

名前	説明	場所
200OK LLC (Profitwell)	サブスクリプションレポーティング/分析。	MA, USA
Amazon Web Services EMEA SARL	クラウドホスティング、コンピューティング、ストレージ。	ルクセンブルク、EU
Automattic, Inc. (Gravatar)	ユーザーがShoprocketアカウントにプロフィール画像をアップロードできるようにします。	CA, USA
Cloudflare, Inc.	ネットワークセキュリティと接続性。	CA, USA
Crisp IM SAS	ユーザーサポート用のライブチャットおよび顧客メッセージングアプリ。	フランス、EU
Facebook Technologies Ireland	コンバージョン、広告最適化、オーディエンス構築のためのFacebookピクセル。	アイルランド、EU
Google Ireland Limited	Google Analytics（行動分析）、Adwords（広告配置/収益化）。	アイルランド、EU
GmbH	クラウドホスティング、コンピューティング、ストレージ。	ドイツ、EU
TPS Unlimited, Inc. (Taxjar)	ShoprocketストアにおけるEU VATおよび米国売上税の自動化。	CA, USA
Twilio, Inc. (Sendgrid)	マルチチャネルメッセージング（Eメール、SMS、WhatsApp）。	アイルランド、EU
Twitter, Inc.	コンバージョントラッキングおよび広告パフォーマンスメトリクスのためのTwitterピクセル。	CA, USA

あなたはShoprocketが上記のサブプロセッサを使用することを承認し、Shoprocketが他のサブプロセッサ（「承認されたサブプロセッサ」）を加えるための一般的な承認を与えます。Shoprocketは、新しいサブプロセッサを使用する前に少なくとも30日の通知を提供します（ウェブサイト、メール、またはアカウント通知を通じて）。あなたは、合理的なデータ保護の理由により、通知から10日以内に書面で異議を申し立てることができます。重要なサブプロセッサが関与し、90日以内に代替案が見つからない場合、該当するサービスを中止または終了することができます（未払いの料金は支払う必要があります）。

10日以内に異議を申し立てない場合、新しいサブプロセッサは承認されたものと見なされます。Shoprocketがサブプロセッサを利用する際、そのアクセスをサービス提供または改善に必要なものに制限し、同じデータ保護義務を課し、その遵守について責任を持ち続けます。

SCCが適用される場合、あなたの承認は第9条(c)または関連するUK SCC条項に基づく事前の書面による同意としてカウントされます。Shoprocketは、あなたにサブプロセッシング契約を共有する前に、非必須の商業的詳細を削除することがあります。

---

個人データの転送

Shoprocketは、サービスを提供するために、EEA、UK、またはスイスの外に個人データを転送することがあります（例：アメリカの一部のアドオンパブリッシャー/サブプロセッサ）。適合性の決定が適用されない場合、Shoprocketはデータ保護法に従って適切な保護措置を確保します。

• Ex-EEA転送: EU SCCsによって保護されています（Shoprocketが管理者の場合はモジュール1、Shoprocketが処理者の場合はモジュール2）。特定の条項（例：条項7のドッキング）は適用されず、紛争はアイルランドの法律/裁判所に従います。

• Ex-UK転送: IDTA附属書によって保護されています。

• スイスからの転送: EU SCCsに類似しており、スイスFADPの変更が加えられています。

• 補足措置：

  • この附属書の日付時点では、正式な政府によるデータアクセス要求はありません。

  • あなたのデータを開示するよう強制された場合、Shoprocketはあなたに通知し（禁止されていない限り）、保護措置を求める手助けをします。

  • Shoprocketとあなたは、輸入国の法律が同等の保護を提供するか、追加の措置を必要とするかどうかを定期的に議論します。

  • いずれかの転送メカニズムが有効でなくなる場合、または監督機関がそれを一時停止する場合、Shoprocketは代替の取り決めを実施するか、転送を一時停止します。

あなたがEEAの外でサブプロセッサ/アドオンを承認した場合、あなたはまた、Shoprocketがあなたの代理でSCCに署名することを承認します。

---

苦情、データ主体要求、第三者の権利

Shoprocketは、あなたが次のために必要な情報または支援を迅速に提供します：

1. データ主体の権利を履行すること（アクセス、訂正、消去、移植、異議申立てなど）。

2. 規制当局からの情報・評価の通知に対処または遵守すること。

Shoprocketは、処理についての苦情や通信を受け取った場合、直ちにあなたに通知し、データ主体からの要求を受けた場合は14日以内に通知します。Shoprocketは応答の手助けをし、法律またはあなたの指示で要求されない限り、第三者に個人データを開示しません。

---

期間および終了

この附属書は、合意が有効である限り、またはShoprocketが関連する個人データを保持する限り、効力を維持します。データ保護のために存続する必要がある 条項 は有効です。このDPAの重大な違反は、合意の重大な違反となり、あなたはさらなる責任なしで直ちに解除する権利を有します。

データ保護法の変更によっていずれかの当事者が義務を履行できなくなった場合、当事者は、コンプライアンスが達成されるまで処理を一時停止できます。解決しない場合は、90日以内にいずれかの当事者が通知により直ちに終了することができます。

---

データの返却および破壊

• 要求に応じて、Shoprocketは、あなた（または書面で指名された第三者）に、合理的に指定された形式での個人データのコピーまたはアクセスを提供します。

• 終了時、Shoprocketは、法的に必要な場合を除き、個人データを返却または削除します。削除が実行不可能または違法な場合、Shoprocketはさらなる処理をブロックし、データを保護し続けます。

• SCC証明書: SCCが適用される場合、Shoprocketは、あなたの書面による要求に基づいて、EU SCC (またはUK SCC) のClause 8.1(d)の下で削除を証明します。

• 法律/規制がShoprocketに特定のデータを保持することを要求する場合、Shoprocketは、その根拠、タイムラインを通知し、必要なくなった時点で削除します。

• Shoprocketは、完了後30日以内に削除を証明します。

---

記録

Shoprocketは、すべての個人データ処理に関する詳細、正確、最新の記録を保持します（例：セキュリティ措置、サブプロセッサ、処理目的、国際転送に関するもの）。これらの記録は、あなたがShoprocketのコンプライアンスを確認するためのものです。コピーは要求に応じて提供されます。

---

保証

Shoprocketは以下を保証します：

1. 個人データにアクセスできる従業員、下請け業者、または代理人は信頼できるものであり、適切に訓練されています。

2. 個人データをデータ保護法および関連する法律に完全に準拠して処理します。

3. 合意されたサービスの提供を妨げる法律はないと信じています。

4. 技術とコストを考慮し、無許可の処理または偶発的な損失/損傷を防止するための適切な措置を講じ、リスクおよびデータの機密性に応じたセキュリティを確保します。

---

執行および修正

合意に署名することにより、あなたはこの附属書に同意し、これに拘束されます。Shoprocketは、法的または規制上の理由に基づいて必要な場合、この附属書を30日間の書面による通知で更新できます。異議を唱え、相互に解決策が得られない場合、その期間内に書面で影響を受けたサービスを終了することができます（発生した手数料を払う必要があります）。そのような解除からは、さらなる請求は発生しません。

付属書A

Shoprocketセキュリティ基準

（ここで定義されていない大文字用語は、附属書で割り当てられた意味を有します。）

この付属書は、次のことに関するShoprocketの技術的および組織的措置を概説します：

1. 偶然または違法な喪失、アクセス、または開示から個人データを保護すること;

2. セキュリティに対する予見可能なリスクを特定し、サービス（あなたのShoprocketアカウントを含む）への無許可のアクセスを防ぐこと;

3. リスク評価とテストを通じてセキュリティリスクを最小限に抑えること。

Shoprocketは、これらの情報セキュリティ慣行を監督し、関連する問い合わせに応答するために、1人以上の従業員を指定します。

---

1. 共有責任モデル

Shoprocketは、次のクラウドベースでSaaSアプリケーションをホストしています：

• Amazon Web Services (AWS)のeu-west-1地域（アイルランド）

• Hetzner Onlineのファルケンシュタイン、ドイツ

AWSは、主なShoprocketプラットフォーム、インフラストラクチャ、データホスティングを運営します。Hetzner Onlineは、画像、デジタルダウンロード、ログ、請求書用の追加の専用サーバースペースを提供します。このモデルの下：

• Shoprocketは、アプリケーションレベルのセキュリティを管理します（例：ユーザーアクセス、アプリケーションパッチ）。

• AWS / Hetznerは、物理的なセキュリティと基盤となるクラウド環境を管理します。

AWSおよびHetznerのセキュリティに関する詳細については、それぞれの文書をご覧ください。

---

2. AWSおよびHetzner Onlineサーバー

AWS

Shoprocketは、UK GDPRの第28条（3）（c）および第32条に基づいて慎重にレビューした結果、AWSを選択しました。AWSは、多くの基準（例：SOC 1/2/3、ISO 27001/27017/27018、PCI DSS、FedRAMP、HITRUST）に基づいて認証されており、広範なコンプライアンス文書を提供します。Shoprocketは、個人データをEU/EEA内にのみ保存するようにAWSを構成しています。

Hetzner Online

Hetzner Onlineは、DIN ISO/IEC 27001に基づいて認証されており、特定のデータバックアップとログ用の専用サーバースペースを提供します。ニュルンベルクおよびファルケンシュタインのHetzner Onlineのデータセンターは、第三者によって監査され、認証されており、情報セキュリティ管理システム（ISMS）を実施しています。

---

3. Shoprocketアプリケーションの設計、整合性、および可用性

• アーキテクチャ: JavaScriptフレームワークで構築され、ShoprocketアプリケーションはMySQL用のAmazonのリレーショナルデータベースサービス（Amazon RDS）に依存します。

• 高性能および冗長性: AWSは自動的に負荷分散を行い、ShoprocketはAmazon S3に日次バックアップを維持します。バックアップは耐障害性のために異なるAWS地域に保存されます。さらに、バックアップはHetzner Onlineの専用サーバー（RAID-1ディスクシステムを使用）に保存されます。

• 設計によるセキュリティ: Shoprocketは定期的に既知のウェブ脆弱性（例：OWASP Top Ten）をチェックし、XSS保護およびサニタイズを実施しています。専門の第三者が年に一度脆弱性のコードとインフラストラクチャをテストし、これに第三者の脆弱性スキャンサービスが補完しています。

---

4. 暗号化

• 静止時: AWS/Hetznerの個人データは、AES-256以上の暗号化が行われます。

• キー管理: AWSキーマネジメントサービス（KMS）は、誰も（AWSのスタッフを含む）が平文キーにアクセスできないようにし、キーは年ごとにローテーション保証されます。Hetznerは、ディスク全体のAES-256暗号化と必須の認証を実施しています。

• 転送時: すべての外部データ転送はTLS 1.2+を使用します。APIおよびウェブインターフェースはHTTPSを要求し（暗号化されていない接続は不可）、

---

5. EEA/EUへのサーバーロケーションの制限

Shoprocketは、データをEEA内に限定して保存します（アイルランドのAWS、ドイツのHetzner）ことで、非EEAデータ転送に関連するリスクを最小限に抑えています（例：シュレムスII判決に対するコンプライアンス）。

---

6. 可用性ゾーン

Shoprocketのフロントエンド/バックエンドシステムは、複数の可用性ゾーンに冗長的に分散されています（AWSとHetznerの両方）。各ゾーンには複数のISP、電源供給、そして高速リンクがあり、高い可用性および最適なパフォーマンスを確保しています。

---

7.侵入検知

Shoprocketは、侵入検知システム（IDS）を使用して以下を監視します：

• 異常なエントリのためのログファイル、

• ファイル整合性の変更、

• ネットワークトラフィック（スプーフィング、既知の脆弱性、ルートキット）、

• ポートの変更、および

• AWSアカウントイベント（設定の変更など）。

重要な異常は自動的な予防措置を引き起こします。IDSはPCI DSS 3.0要件もサポートしています。

---

8. ロギング/監査証跡

Shoprocketは以下をログします：

• システムイベント、

• エラー、

• ユーザーアクティビティ、

• データベースのログイン/リクエスト、

• その他のセキュリティ関連イベント。

AWS CloudTrailを使用して、Shoprocketはそのクライアントエクスペリエンスの透明性とフォレンジックのために、クラウド環境内のすべてのイベントを記録します。

---

9. 監視

Shoprocketは、可用性とパフォーマンスを確保するために複数の監視ツールを使用し、以下を追跡します：

• 可用性：アプリケーションのアクセス可能性、バックエンド/システムの健康状態;

• リソース：CPU、ネットワークインターフェース、ストレージ使用量;

• パフォーマンス：アプリケーション/データベースの応答時間;

• セキュリティ：IDSの状態、システムの更新、エラー/アクセスログ。

Shoprocketのスタッフも、セキュリティ更新、脆弱性報告、関連するセキュリティブログ（OWASPなど）を監視します。

---

10. セキュリティ監査およびペネトレーションテスト

Shoprocketは、定期的に内部および外部のセキュリティテストを行います。外部業者が脆弱性を確認し、内部監査が効果のある技術的および組織的な措置を評価します。

---

11. 変更管理

Shoprocketは、コード変更のためにバージョン管理されたリポジトリを維持し、運用環境を模倣したステージング環境を持っています。変更はデプロイの前にテストされ、時間/コンテンツの追跡が保証されます。

---

12. アクセス制御

• 必要に応じての原則：システムへのアクセスが必要な役割の従業員のみにアクセスを提供します。

• IAMシステム：アクセス制御にAWS/Hetznerのアイデンティティ管理を使用します。

• セキュリティ：バックエンドシステムは、安全で認証された接続を介してのみアクセス可能です。診断目的のために直接データにアクセスできるのは非常に限られた数の人員であり、そのアクセスは記録され、監視されます。

付属書B

国境を越える転送

パート1 - ex-EEA転送

1. 標準契約条項（SCCs）の付属書I.A

   • データエクスポータ: あなた（合意に従って）。

     • 連絡先詳細：合意の通り。

     • 役割：データ管理者。

     • モジュール1: データインポータはデータ管理者（クライアントアカウントデータおよびクライアント使用データに関して）。

     • モジュール2: データインポータはデータ処理者（その他のすべての個人データに関して）。

     • 署名/日付：合意およびDPAに参加することにより、データエクスポータは発効日からSCCsに署名したものと見なされます。

   • データインポータ: Shoprocket。

     • 連絡先詳細：合意の通り。

     • 署名/日付：合意およびDPAに参加することにより、データインポータは発効日からSCCsに署名したものと見なされます。

2. SCCsの付属書I.B

   • データ主体：附属書の条項4.6に記載。

   • 個人データのカテゴリ：附属書の条項4.5に記載。

   • 転送を目的とする特別カテゴリデータはありません。

   • 頻度：合意の有効期間中、継続的に。

   • 性質：附属書の条項4.4を参照。

   • 目的：附属書の条項4.3を参照。

   • 保持：別段の定めがない限り、合意の期間。

   • サブプロセッサの転送：附属書の条項9に基づく主題、性質、期間。

3. SCCsの付属書I.C

   • 権限のある監督機関：附属書の条項10(e)の通り。

   • Shoprocketセキュリティ基準（付属書A）は、付属書II SCCの要件を満たします。

4. 矛盾

   • SCCsとDPAまたは合意の間に矛盾がある場合、SCCsが優先されます。

---

パート2 - ex-UK転送

1. IDTA附属書は、ex-UK転送に適用され、2022年3月21日に有効です。

2. 合意またはDPAで定義されていない用語は、付属書2のパート2の意味に従います（必須条項）。

パート1: テーブル

IDTA附属書のテーブル1

1. テーブル1

   • データエクスポータ: あなた（合意に従って）。

     • 連絡先詳細：合意の通り。

     • 署名/日付：合意および附属書に参加することにより、エクスポータは発効日からIDTA附属書に署名したものと見なされます。

   • データインポータ: Shoprocket。

     • 連絡先詳細：合意の通り。

     • 署名/日付：合意およびDPAに参加することにより、インポータは発効日からIDTA附属書に署名したものと見なされます。

IDTA附属書のテーブル2

1. テーブル2

   • 承認されたEU SCCs: この附属書に対して有効な承認されたEU SCCsの条項/モジュール。

   • 使用されるモジュール/条項：

     • モジュール1および2、条項7および条項11（オプション）は適用されず、条項9aは、附属書の条項9.2に基づく30日間の通知期間を持つ一般的な承認です。

     • インポータの個人データをエクスポータのデータと組み合わせることはありません。

IDTA附属書のテーブル3

1. 付属書I.A

   • データエクスポータ: あなた（管理者）。

   • データインポータ: Shoprocket（クライアントアカウント/使用データの管理者; その他の個人データの処理者）。

   • 署名/日付：合意およびDPAの参加時に署名されたものと見なされます。

2. 付属書I.B

   • データ主体、データカテゴリ、特別カテゴリデータの欠如、継続的な転送、処理の性質/目的、および保持は、附属書の条項4.4、4.3、4.5、4.6に一致します。

   • サブプロセッサ情報は附属書の条項9に基づきます。

   • 付属書III（サブプロセッサのリスト）は適用されません。Shoprocketは一般的な承認を使用しています。

IDTA附属書のテーブル4

1. インポータは、このIDTA附属書をIDTA附属書の条項26に基づいて終了できます。

パート2: 必須条項

1. 各当事者は、他の当事者の合意の対価としてこれらのIDTA附属書の条件に拘束され、データ主体が権利を執行できるようにします。

2. このIDTA附属書に参加することは、承認されたEU SCCsに署名することと同等です（付属書1A/条項7に基づく提携の署名を含む）。

解釈

1. 承認されたEU SCCsからの用語はここでも同じ意味を持ち、追加の関連する用語（例：「附属書EU SCCs」、「承認された附属書」、「UKデータ保護法」）はこのIDTA附属書内で定義されています。

2. このIDTA附属書はUKデータ保護法と一貫して解釈され、「適切な保護措置」を満たす必要があります。

3. 承認されたEU SCCsにおけるいかなる修正も、それらに基づくか、承認された付属書によるものは無効です。矛盾する条項は未修正のSCC条項に戻ります。

4. UKデータ保護法との矛盾がある場合は、後者が適用されます。

5. あらゆる曖昧さはUKデータ保護法と最も一致するように解決されます。

6. 法律への言及は、改訂版や統合版を含みます。

階層

1. 承認されたEU SCCsの条項5は、他の合意に優先すると規定していますが、制限付きの転送については以下のセクション17の階層が適用されます。

2. 承認されたEU SCCsと矛盾するか競合する場合は、承認された附属書が上書きされます。ただし、SCCsがデータ主体に対してより大きな保護を提供する場合は、その場合にSCCの条項が上書きされます。

3. こちらの内容は、両当事者がEU GDPRの遵守に使用する任意のSCCに影響を与えません。

EU SCCsへの組み込みおよび変更

1. IDTA附属書は、承認されたEU SCCsを必要な修正を施して組み込むので、UK関連の転送に機能し、条項5の階層を上書きし、イギリスの法律/裁判所によって支配されることを保証します（スコットランドまたは北アイルランドが別に選択されていない限り）。

2. 特別な代替案が合意されていない場合、セクション22が適用されます。

3. セクション19で必要なもの以外の承認されたEU SCCsに対するさらなる修正は許可されません。

4. 附属書EU SCCsへの修正には、UKデータ保護法への言及を明確にし、EU 2016/679号令の言及を「UKデータ保護法」に置き換え、EU 2018/1725号令の言及を削除し、条項17/18をイギリスの法律/裁判所に調整することなどが含まれます。脚注はIDTAの一部ではなく、脚注8、9、10、11を除きます。

このIDTAの修正

1. 当事者は、条項17または18をスコットランドまたは北アイルランドの裁判所に言及するために変更できます。

2. 当事者はまた、相互に書面による合意のもとでテーブルフォーマットを調整し、同じレベルの保護が維持されるようにすることができます。

3. ICOは、時折、改訂された承認された附属書を発行することができ、自動的にこのIDTA附属書をその発効日から修正し、当事者による見直しを要求する可能性があります。

4. ICOの変更が当事者のコストやリスクを実質的かつ不均衡に増加させ、コスト/リスクの削減が実現不可能な場合、その当事者は、このIDTAを相手方に合理的な通知を行った上で終了することができます。

5. 変更に対し第三者の同意は必要ありませんが、修正はこのIDTA附属書の条件を満たす必要があります。