このドキュメントは英語から翻訳されました。 このドキュメントのこのバージョンと英語バージョンとの間に何らかの矛盾、曖昧さ、明らかな非一貫性があるばあい、英語バージョンが支配的なバージョンです。 翻訳の改善についての示唆があるなら、弊社のサイトポリシーリポジトリでIssueをオープンしてください。

GitHub Data Protection Agreement (Non-Enterprise Customers)

ここには以下の内容があります:

These terms apply to non-enterprise customers. They also apply to enterprise customers who licensed GitHub offerings prior to January 4, 2021. Enterprise customers who purchase GitHub offerings after that date are directed to https://www.github.com/enterprise-legal for current terms.

はじめに

The parties agree that the GitHub Data Protection Agreement (Non-Enterprise Customers) (“DPA”) sets forth their obligations with respect to the processing of Customer Personal Data in connection with the GitHub Enterprise Cloud hosted service (the “Service”). GitHub makes the commitments in this DPA to all non-enterprise customers using the Service. Separate terms, including different privacy terms, govern Customer’s use of non-GitHub products.

本DPAと、GitHubとお客様との契約の別の条項との間で矛盾または不一致が生じた場合、本DPAが優先されるものとします。 本特約で定義されているお客様の個人データの処理に適用される可能性のある、GitHubのプライバシーについての声明の規定とDPAの規定が矛盾する場合、DPAの規定が優先されます。 明確にするために記すと、添付1の標準契約条項10条に従い、標準契約条項がDPAのあらゆる規定より優先されます。

GitHubデータ保護

1. 定義

1.1 「適用されるデータ保護法」とは、お客様によるGitHubおよびGitHubサービスの利用に適用される、お客様の個人データの処理および利用に関する特定の法律、規制、規制の枠組み、またはその他の法令を言い、以下のものが該当します。

a. EU 一般データ保護規則 2016/679 (「GDPR」)、および施行されているまたはそれに準ずる、効力を有し適用される国家の法令

b. 2018年カリフォルニア州消費者プライバシー法 (Cal. Civ. Code §§1798.100 et seq.) (「CCPA」)

c. 2018年英国データ保護法およびそれに含まれるGDPRの実施

1.2 「コントローラー (管理者)」、「データ主体」、「加盟国」、「個人データ」、「個人データの侵害」、「処理」、「プロセッサー (処理者)」、および「監督官庁」の語はそれぞれ、「適用されるデータ保護法」で指定された意味を持ちます。 不一致がある場合は、GDPR で規定された意味が優先されます。

1.3 「お客様の個人データ」とは、GitHubによる処理のためにお客様から提供されるか、または本契約に基づく義務を履行する過程でGitHubによって生成されるものかを問わず、お客様がコントローラー (管理者) である個人データのことを言います。 これには、支払い情報、IPアドレス、法人のメールアドレスなど、お客様がコントローラー (管理者) であるあらゆる個人データが該当します。

1.4 「お客様のリポジトリデータ」とは、お客様がプライベートリポジトリにアップロードまたは作成した任意のデータまたは情報のことを言います。

1.5 「データ侵害」とは、個人データの侵害など、保護されているお客様のデータの侵害が確認された、または合理的に疑われる場合を差します。

1.6 「エンドユーザー」とは、GitHubアカウントを管理し、GitHub利用規約に同意していて、その個人データがGitHubによって転送、保存、処理されるデータ主体です。 たとえば、GitHubアカウントを持っている、お客様の各従業員や契約者も、GitHubのエンドユーザーです。

1.7 データ処理の「許可された目的」とは、本契約、GitHubのプライバシーについての声明、およびこの付属文書Aに規定されている「サービス」を提供する限定的で特定の目的、あるいはデータ主体がお客様の個人データの使用を承認した目的のことです。

1.8 「保護されたデータ」には、本契約に基づいてGitHubが顧客に代わって処理するお客様の個人データとお客様のリポジトリデータが含まれます。

1.9 「機密データ」とは、人種または民族的出自、政治上の意見、宗教的または哲学的な信念、あるいは労働組合への加入、自然人を一意に識別する遺伝子データまたはバイオメトリックデータの処理、健康状態や性生活、性的指向に関するデータ、および犯罪、前科、または保安に関するデータなどを明らかにするお客様の個人データを指します。

2. ステータスとコンプライアンス

2.1 データ処理。

GitHubは、本契約に関連して受領したお客様の個人データに関するプロセッサー (処理者) として機能し、本契約およびその他の書面による通知で示されるお客様の指示に従って、許可された目的でのみお客様の個人データを処理します。 適用されるデータ保護法との不一致などが理由で、GitHubがお客様の指示を遵守できない場合、または適用されるデータ保護法その他の法的要件によって処理が必要とされる場合、GitHubは許可される範囲でお客様に通知します。 GitHubは、お客様の個人データをすべて米国ならびに欧州連合で処理しますが、GitHubのサブプロセッサー (副処理者) はデータを米国または欧州連合以外で処理する可能性があります。 また、GitHubはお客様のリポジトリデータについて処理者として機能します。

2.2 データコントローラー (管理者)。

GitHubは、お客様の個人データをお客様から受け取ることも、またエンドユーザーアカウントを作成するデータ主体から直接受け取ることもあります。 お客様は、直接GitHubに移転する場合にお客様の個人データのコントローラー (管理者) となります。

2.3 GitHubによる順守、データ移転

GitHubは、お客様の個人データの処理に関して、適用されるデータ保護法に従います。

本サービスを提供するための、欧州連合、欧州経済領域、英国、およびスイス外でのお客様の個人データの移転はすべて、添付1の標準契約条項 (「標準契約条項」) に準拠するものとします。 GitHubは、欧州経済領域、英国、およびスイスからのお客様の個人情報の収集、使用、移転、保持、およびその他の処理に関する、欧州経済領域およびスイスデータ保護法の要件を順守します。 第三国または国際機関へのお客様の個人データの移転はすべて、GDPR第46条に記載されている適切な保護措置の対象となり、かかる転送および保護措置については、GDPR第30条 (2) に従って文書化されるものとします。

さらにGitHubは、EU-米国プライバシーシールドフレームワーク およびスイス-米国 プライバシーシールドフレームワークおよびそれに伴う義務について認証を受けています。ただしGitHubは、個人情報の移転についての法的根拠として、それらに依拠するものではありません。 GitHubは、プライバシーシールド原則で要求されているものと同水準の保護を提供する義務が果たせなくなったと判断した場合、お客様に通知することに同意します。

3. データ保護

3.1 目的限定。

GitHubは、当事者が目的の拡大に書面で合意する場合を除き、許可された目的でのみ、保護データを処理し通信します。

3.2 データの品質と均衡性。

GitHubはお客様の個人データを正確に、かつ最新の状態に保つか、お客様がそれを自ら実施できるようにします。 GitHubは商業的に妥当な手順で、お客様に代わって収集した保護データが適切、妥当であり、それが移転および処理される目的に関連して過剰でないことを保証します。 いかなる場合も、GitHubがお客様に代わって故意に機密データを集めることはありません。 お客様は、GitHubサービスが機密データの保存を目的にしないことに同意するものとします。お客様が選択して機密データをサービスにアップロードする場合、お客様はGDPRの第9条、または適用されるデータ保護法で該当する条項に従う必要があります。

3.3 データの保持と削除。

許可された目的に必要でなくなってから、お客様から合理的な請求があった場合、法律で禁じられている場合を除き、請求から30日以内に、GitHubはお客様の個人データすべてと関連データを、保存されているすべての場所で返却、破棄、または匿名化します。 適用されるデータ保護法が必要とする限りにおいて、また適用されるデータ保護法の定める範囲とその期間に限って、GitHubはお客様の個人データと関連データを保持する場合があります。ただし、お客様の個人データは適用されるデータ保護法に定められた目的上必要な場合に限って処理し、その他の目的では処理しないこと、またお客様の個人データは適用されるデータ保護法で引き続き保護されることをGitHubは保証するものとします。

3.4 データ処理。

GitHubは、お客様の個人データの処理に関するGDPRの第28条第3項に従って、以下の情報を提供します。

a. お客様の個人データの主題と処理期間は、本契約および本付属文書で定められています。

b. お客様の個人データの処理の性質と目的は、本付属文書のセクション3.1に記載されています。

c. 処理されるお客様の個人データのタイプは、GitHubのプライバシーについての声明に記載されており、ユーザ名、パスワード、メールアドレス、IPアドレスなどの個人データが含まれます。 GitHubは、お客様のアカウントに対する請求に必要な情報を処理しますが、クレジットカード情報は処理も保存もしません。 お客様は、お客様のプロフィール設定で、あるいはお客様の個人データをGitHubリポジトリにアップロードすることによって、追加の個人データをGitHubに提供することもできます。

d. お客様の個人データが関係するデータ主体のカテゴリは、お客様自体と、そのエンドユーザです。

e. お客様の義務の権利は、本契約および本付属文書で定められています。

4. セキュリティと監査の義務

4.1 技術的および組織的セキュリティ対策。

最新技術、実装のコスト、処理の性質や範囲、目的と、考えられる可能性ごとのリスク、自然人の権利と自由の重大度を考慮して、GitHubは個人データの処理によって生じる偶発的または違法な破壊、紛失、改変、不正な開示といったリスクに応じ適切なレベルのセキュリティを確保するために、適切な技術的および組織的対策を講じるものとします。 GitHubは、こうした対策の準拠状況を常に監視し、本契約の期間を通じて適切な安全対策をとり続けます。

4.2 インシデント対応と侵害通知。

GitHub will comply with Applicable Data Protection Laws.

4.3 GitHubのスタッフ。

GitHubは、保護データの処理に当たるGitHubスタッフ全員が保護データを機密として扱うことに合意し、本付属文書と適用されるデータ保護法の遵守について適切な訓練を受けていることを保証する合理的な手順を踏むことを、表明および保証します。

4.4 記録。

GitHubは、適用されるデータ保護法のもとで必要な情報を含め、お客様に代わって実行される全カテゴリの処理活動について完全、正確、最新の書面による記録を維持します。 支援がGitHubのセキュリティに、または個々のデータ主体のプライバシー権にリスクをもたらさない限り、GitHubはこれらの記録を、お客様が適用されるデータ保護法に準拠していることを証明するためなど合理的に必要とされる場合に、請求があればお客様に公開します。

4.5 支援。

GitHubは、データプライバシーの影響評価、データ主体の権利請求、監督機関との協議などに関して、いずれの場合も、お客様の個人データの処理についてのみ、また処理の性質を考慮して、合理的な支援をお客様に提供します。

5. 保護データの使用と開示

5.1 マーケティングでの不使用。

GitHubは、第三者のコンテンツの広告を目的として保護データを使用せず、また合併・吸収の一環の場合を除いて保護データを第三者に売却しません。

5.2 GitHubのプライバシーについての声明。

GitHubのプライバシーについての声明は https://docs.github.com/articles/github-privacy-statementで公開されており、Cookieの使用、紛争解決のプロセス、GitHubのGDPR順守に関する詳細など、GitHubのプライバシーおよびデータ使用の慣例について詳細を定めています。

6. 副処理とデータの委譲

6.1 データの保護。

GitHubは、第三者の決済プロセッサー (処理者) など、保護データをサブプロセッサー (副処理者) に委譲する際の責任を負います。 GitHubが実際に第三者のサブプロセッサーに保護データを移譲する場合、またはGitHubが第三者のサービスをインストール、使用、または有効化してGitHubに代わって保護データを処理させる場合、GitHubは本DPAおよび適用されるデータ保護法によって要求されている通り、その第三者サブプロセッサーが守秘義務、セキュリティ、ポリシー保護を遵守する、または少なくとも同レベルで提供するよう書面での契約により拘束されることを保証するものとします。

6.2 GitHubサブプロセッサーの承認。

お客様は、本契約のセクション6および他の規制に従って、GitHubがサブプロセッサー (副処理者) を任命することを承認 (また、セクション6に従って各サブプロセッサーが任命されることを許可) します。 GitHubは、本契約の発効日時点で契約している現行のサブプロセッサーをそのまま採用し続けることもできます。

お客様は、GitHubが以下の要件を満たしているという条件で、GitHubが後続のサブプロセッサー (副処理者) と契約することを一般的に合意します。

a. 後続のサブプロセッサーは、欧州委員会が「適切」なレベルの保護があると宣言した国のデータのみを処理することに書面で合意するか、あるいは標準契約条項に相当する条件で、または管轄の欧州データ保護当局によって付与される、拘束力のある企業規則の承認に従う、または適切なEU-米国プライバシーシールドおよび スイス-米国プライバシーシールドの認証に従うデータのみを処理することに書面で合意する必要があります。

b. GitHubは、後続のサブプロセッサーによるお客様の個人データへのアクセスを、そのサービスの実施に厳密に必要な内容のみに制限し、サブプロセッサーがそれ以外の目的でお客様の個人データを処理することを禁じます。

6.4 サブプロセッサーの契約の開示。

GitHubは、お客様の個人データを処理するために契約した後続のサブプロセッサーのリストをhttps://docs.github.com/articles/github-subprocessors-and-cookiesに保管しています。これには、処理されるお客様の個人データのカテゴリ、サブプロセッサーが実行する処理の種類の説明、処理の場所なども含まれています。 お客様から書面による請求があれば、GitHubはこのサブプロセッサーリストと、お客様の個人データが処理されるときの条項を提供します。 サブプロセッサーの守秘制限に従って、GitHubはリストと条項をお客様に提供する前に、機密情報や商売上重要な情報を削除する場合があります。 GitHubが機密または重要な情報お客様に開示できない場合、当事者はGitHubが副処理の契約に従って合理的に可能な情報を提供することに合意します。

6.5 サブプロセッサーに対する異議。

GitHubは、サブプロセッサーの追加と削除について、https://github.com/github/site-policyのサイトで、セクション6.4に挙げたカテゴリを含めて、30日前に書面で通知します。 GitHubと新しいサブプロセッサーとの契約に合理的な異議がある場合、お客様はただちに書面でGitHubに通知する必要があります。 可能な場合GitHubは、異議を受けたサブプロセッサーによるデータの処理を避けるために、商業的に相応の努力で、該当する「サービス」に代替策を講じるものとします。 90日以内にGitHubが代替策を講じられず、当事者も解決できない場合、お客様は本契約を解約することができます。

7. 解約

7.1 一時停止

GitHubが、適切なレベルのセキュリティまたはプライバシー保護を維持する義務に違反した場合、お客様はあらゆる個人データの委譲を一時的に停止し、違反が是正されるか本契約を解約するまで、お客様に代わってお客様の個人データを収集・処理することを禁じることができます。

7.2 理由のある解約。

お客様は、本契約のもとで有する解約の権利に加えて、以下の場合には、法律上または衡平法上の他の請求権を損なうことなく本契約を解約できるものとします。

a. GitHubがプライバシー義務を満たせなくなったとお客様に通達する。

b. お客様の個人データすべての委譲、収集、処理が、セクション7.1に従って1か月以上一時停止されている。

c. GitHubが、本付属文書での保証または代理を実質的に、または永続的に侵害している。

d. GitHubが、事業を継続しなくなった、解散した、財産管理に入った、あるいはGitHubに代わって清算命令が発令された。

e. セクション6.5に従ってお客様がサブフォルダに異議を申し立て、GitHubが90日以内に代替策を講じられなかった。

7.3 侵害。

本付属文書の重大な条項を遵守できなかった場合は、本契約のもとでの重大な違反と見なされます。

7.4 不履行。

法律または規制の変更によって、本付属文書の遂行が不可能になった、または商業的に妥当でなくなった場合、当事者は誠意をもって本付属文書を再交渉することができます。 再交渉しても解決に至らない、または当事者が合意に達しない場合、当事者は30日後に本契約を解約できます。

7.5 通知。

GitHubが本付属文書に定めるプライバシー義務を満たせなくなったと判断した場合、GitHubはただちに書面でお客様に通知します。

7.6 変更。

GitHubは、適用されるデータ保護法より必要な場合には随時、お客様に30日前に通知したうえで、本付属文書を変更できます。

7.7. 解約要件。

解約の際、GitHubは以下を行う必要があります。

a. 妥当かつ適切な手段を講じて、お客様の個人データの処理を停止する。

b. セクション3.3に従ってGitHubがお客様に代わって保存していたお客様の個人データを、解約後90日以内に削除または匿名化する。

c. gitHubがセクション7.7の義務に従っているという合理的な保証をお客様に提示する。

8. データ処理の責任

8.1 制限。

適用されるデータ保護法による制限を除き、本付属文書のもとで行われる請求は、責任の制限に関する本契約の条項に従うものとします。

添付1 – 標準契約条項 (プロセッサー)

お客様による該当する契約の履行には、GitHub, Inc.により連署された、GitHubデータ保護特約の本添付1の履行が含まれます。

本標準契約条項の使用に規制当局の承認が必要な国においては、お客様が規制当局から必要な証人を得ていない限り、欧州委員会2010/87/EU (2010年2月) に基づき、当該国からのデータ輸出を合法とするにあたり、本標準契約条項に依拠することはできません。

適切な水準のデータ保護を保証しない第三国に拠点を置く処理者に個人データを移転することについて定めた一般データ保護規則 (EU 2016/679) 第46条第2項において、お客様 (データ移転元) と、GitHub (データ移転先、本書下部に署名) との各「当事者」、総称して「両当事者」は、添付1に定めるデータ移転元からデータ移転先への個人データの移転のため、個人のプライバシー、基本的権利、および自由の保護に関する適切な保護措置に関する引証として、以下の契約条項 (「条項」または「標準契約条項」) に合意したものとします。

第1条: 定義

(a) 「個人データ」、「データの特別カテゴリ」、「処理」、「管理者」、「処理者」、「データ主体」、および「監督当局」という用語は、個人データの処理に関する保護およびかかるデータの自由な移動に関する一般データ保護規則 (EU 2016/679) と同じ意味を持つものとします。

(b) 「データ移転元」とは、個人情報を移転する管理者を意味します。

(c) 「データ移転先」とは、移転後に、データ移転元の指示および本条項の規定に従って処理するためにデータ移転元から個人データを受信することに合意し、かつ一般データ保護規則 (EU 2016/679) 第45条第2項の意味する範囲において適切な保護を保証しない第三国の機構の支配下にない処理者のことを意味します。

(d) 「サブプロセッサー」とは、データ移転元の指示、本条項の規定、および書面による請負契約の規定に従い、移転後にデータ移転元の代理として処理活動を実施することのみを目的として、データ移転先から、または データ移転先の別のサブプロセッサーから個人データを受信することに合意している、データ移転先またはデータ移転先の別のサブプロセッサーから業務を請け負う任意の処理者のことを意味します。

(e)「適用されるデータ保護法」とは、個人の基本的人権と自由、特に、データ移転元が存在する加盟国内におけるデータコントローラーに適用される、個人情報処理に関するプライバシーの権利を保護する法律のことを意味します。

(f) 特に処理がネットワークを介したデータの送信を伴う偶発的または違法な破壊、偶発的な紛失、改変、不正な開示またはアクセス、およびその他あらゆる違法な処理の形態に対して個人データを保護する対策のことを意味します。

Clause 2: Details of the transfer

The details of the transfer and in particular the special categories of personal data where applicable are specified in Appendix 1 below which forms an integral part of the Clauses.

Clause 3: Third-party beneficiary clause

  1. The data subject can enforce against the data exporter this Clause, Clause 4(b) to (i), Clause 5(a) to (e), and (g) to (j), Clause 6(1) and (2), Clause 7, Clause 8(2), and Clauses 9 to 12 as third-party beneficiary.

  2. The data subject can enforce against the data importer this Clause, Clause 5(a) to (e) and (g), Clause 6, Clause 7, Clause 8(2), and Clauses 9 to 12, in cases where the data exporter has factually disappeared or has ceased to exist in law unless any successor entity has assumed the entire legal obligations of the data exporter by contract or by operation of law, as a result of which it takes on the rights and obligations of the data exporter, in which case the data subject can enforce them against such entity.

  3. The data subject can enforce against the subprocessor this Clause, Clause 5(a) to (e) and (g), Clause 6, Clause 7, Clause 8(2), and Clauses 9 to 12, in cases where both the data exporter and the data importer have factually disappeared or ceased to exist in law or have become insolvent, unless any successor entity has assumed the entire legal obligations of the data exporter by contract or by operation of law as a result of which it takes on the rights and obligations of the data exporter, in which case the data subject can enforce them against such entity. Such third-party liability of the subprocessor shall be limited to its own processing operations under the Clauses.

  4. The parties do not object to a data subject being represented by an association or other body if the data subject so expressly wishes and if permitted by national law.

Clause 4: Obligations of the data exporter

The data exporter agrees and warrants:

(a) that the processing, including the transfer itself, of the personal data has been and will continue to be carried out in accordance with the relevant provisions of the applicable data protection law (and, where applicable, has been notified to the relevant authorities of the Member State where the data exporter is established) and does not violate the relevant provisions of that State;

(b) that it has instructed and throughout the duration of the personal data processing services will instruct the data importer to process the personal data transferred only on the data exporter's behalf and in accordance with the applicable data protection law and the Clauses;

(c) that the data importer will provide sufficient guarantees in respect of the technical and organisational security measures specified in Appendix 2 below;

(d) that after assessment of the requirements of the applicable data protection law, the security measures are appropriate to protect personal data against accidental or unlawful destruction or accidental loss, alteration, unauthorised disclosure or access, in particular where the processing involves the transmission of data over a network, and against all other unlawful forms of processing, and that these measures ensure a level of security appropriate to the risks presented by the processing and the nature of the data to be protected having regard to the state of the art and the cost of their implementation;

(e) that it will ensure compliance with the security measures;

(f) that, if the transfer involves special categories of data, the data subject has been informed or will be informed before, or as soon as possible after, the transfer that its data could be transmitted to a third country not providing adequate protection within the meaning of the General Data Protection Regulation (EU 2016/679);

(g) to forward any notification received from the data importer or any subprocessor pursuant to Clause 5(b) and Clause 8(3) to the data protection supervisory authority if the data exporter decides to continue the transfer or to lift the suspension;

(h) to make available to the data subjects upon request a copy of the Clauses, with the exception of Appendix 2, and a summary description of the security measures, as well as a copy of any contract for subprocessing services which has to be made in accordance with the Clauses, unless the Clauses or the contract contain commercial information, in which case it may remove such commercial information;

(i) that, in the event of subprocessing, the processing activity is carried out in accordance with Clause 11 by a subprocessor providing at least the same level of protection for the personal data and the rights of data subject as the data importer under the Clauses; and

(j) that it will ensure compliance with Clause 4(a) to (i).

Clause 5: Obligations of the data importer

The data importer agrees and warrants:

(a) to process the personal data only on behalf of the data exporter and in compliance with its instructions and the Clauses; if it cannot provide such compliance for whatever reasons, it agrees to inform promptly the data exporter of its inability to comply, in which case the data exporter is entitled to suspend the transfer of data and/or terminate the contract;

(b) that it has no reason to believe that the legislation applicable to it prevents it from fulfilling the instructions received from the data exporter and its obligations under the contract and that in the event of a change in this legislation which is likely to have a substantial adverse effect on the warranties and obligations provided by the Clauses, it will promptly notify the change to the data exporter as soon as it is aware, in which case the data exporter is entitled to suspend the transfer of data and/or terminate the contract;

(c) that it has implemented the technical and organisational security measures specified in Appendix 2 before processing the personal data transferred;

(d) that it will promptly notify the data exporter about:

(i) any legally binding request for disclosure of the personal data by a law enforcement authority unless otherwise prohibited, such as a prohibition under criminal law to preserve the confidentiality of a law enforcement investigation,

(ii) any accidental or unauthorised access, and

(iii) any request received directly from the data subjects without responding to that request, unless it has been otherwise authorised to do so;

(e) to deal promptly and properly with all inquiries from the data exporter relating to its processing of the personal data subject to the transfer and to abide by the advice of the supervisory authority with regard to the processing of the data transferred;

(f) at the request of the data exporter to submit its data processing facilities for audit of the processing activities covered by the Clauses which shall be carried out by the data exporter or an inspection body composed of independent members and in possession of the required professional qualifications bound by a duty of confidentiality, selected by the data exporter, where applicable, in agreement with the supervisory authority;

(g) to make available to the data subject upon request a copy of the Clauses, or any existing contract for subprocessing, unless the Clauses or contract contain commercial information, in which case it may remove such commercial information, with the exception of Appendix 2 which shall be replaced by a summary description of the security measures in those cases where the data subject is unable to obtain a copy from the data exporter;

(h) that, in the event of subprocessing, it has previously informed the data exporter and obtained its prior written consent;

(i) that the processing services by the subprocessor will be carried out in accordance with Clause 11; and

(j) to send promptly a copy of any subprocessor agreement it concludes under the Clauses to the data exporter.

Clause 6: Liability

  1. The parties agree that any data subject who has suffered damage as a result of any breach of the obligations referred to in Clause 3 or in Clause 11 by any party or subprocessor is entitled to receive compensation from the data exporter for the damage suffered.

  2. If a data subject is not able to bring a claim for compensation in accordance with paragraph 1 against the data exporter, arising out of a breach by the data importer or his subprocessor of any of their obligations referred to in Clause 3 or in Clause 11, because the data exporter has factually disappeared or ceased to exist in law or has become insolvent, the data importer agrees that the data subject may issue a claim against the data importer as if it were the data exporter, unless any successor entity has assumed the entire legal obligations of the data exporter by contract of by operation of law, in which case the data subject can enforce its rights against such entity. The data importer may not rely on a breach by a subprocessor of its obligations in order to avoid its own liabilities.

  3. If a data subject is not able to bring a claim against the data exporter or the data importer referred to in paragraphs 1 and 2, arising out of a breach by the subprocessor of any of their obligations referred to in Clause 3 or in Clause 11 because both the data exporter and the data importer have factually disappeared or ceased to exist in law or have become insolvent, the subprocessor agrees that the data subject may issue a claim against the data subprocessor with regard to its own processing operations under the Clauses as if it were the data exporter or the data importer, unless any successor entity has assumed the entire legal obligations of the data exporter or data importer by contract or by operation of law, in which case the data subject can enforce its rights against such entity. The liability of the subprocessor shall be limited to its own processing operations under the Clauses.

Clause 7: Mediation and jurisdiction

  1. The data importer agrees that if the data subject invokes against it third-party beneficiary rights and/or claims compensation for damages under the Clauses, the data importer will accept the decision of the data subject:

(a) to refer the dispute to mediation, by an independent person or, where applicable, by the supervisory authority;

(b) to refer the dispute to the courts in the Member State in which the data exporter is established.

  1. The parties agree that the choice made by the data subject will not prejudice its substantive or procedural rights to seek remedies in accordance with other provisions of national or international law.

Clause 8: Cooperation with supervisory authorities

  1. The data exporter agrees to deposit a copy of this contract with the supervisory authority if it so requests or if such deposit is required under the applicable data protection law.

  2. The parties agree that the supervisory authority has the right to conduct an audit of the data importer, and of any subprocessor, which has the same scope and is subject to the same conditions as would apply to an audit of the data exporter under the applicable data protection law.

  3. The data importer shall promptly inform the data exporter about the existence of legislation applicable to it or any subprocessor preventing the conduct of an audit of the data importer, or any subprocessor, pursuant to paragraph 2. In such a case the data exporter shall be entitled to take the measures foreseen in Clause 5(b).

第9条: 準拠法。

The Clauses shall be governed by the law of the Member State in which the data exporter is established.

Clause 10: Variation of the contract

The parties undertake not to vary or modify the Clauses. This does not preclude the parties from adding clauses on business related issues where required as long as they do not contradict the Clause.

Clause 11: Subprocessing

  1. The data importer shall not subcontract any of its processing operations performed on behalf of the data exporter under the Clauses without the prior written consent of the data exporter. Where the data importer subcontracts its obligations under the Clauses, with the consent of the data exporter, it shall do so only by way of a written agreement with the subprocessor which imposes the same obligations on the subprocessor as are imposed on the data importer under the Clauses. Where the subprocessor fails to fulfil its data protection obligations under such written agreement the data importer shall remain fully liable to the data exporter for the performance of the subprocessor's obligations under such agreement.

  2. The prior written contract between the data importer and the subprocessor shall also provide for a third-party beneficiary clause as laid down in Clause 3 for cases where the data subject is not able to bring the claim for compensation referred to in paragraph 1 of Clause 6 against the data exporter or the data importer because they have factually disappeared or have ceased to exist in law or have become insolvent and no successor entity has assumed the entire legal obligations of the data exporter or data importer by contract or by operation of law. Such third-party liability of the subprocessor shall be limited to its own processing operations under the Clauses.

  3. The provisions relating to data protection aspects for subprocessing of the contract referred to in paragraph 1 shall be governed by the law of the Member State in which the data exporter is established.

  4. The data exporter shall keep a list of subprocessing agreements concluded under the Clauses and notified by the data importer pursuant to Clause 5 (j), which shall be updated at least once a year. The list shall be available to the data exporter's data protection supervisory authority.

Clause 12: Obligation after the termination of personal data processing services

  1. The parties agree that on the termination of the provision of data processing services, the data importer and the subprocessor shall, at the choice of the data exporter, return all the personal data transferred and the copies thereof to the data exporter or shall destroy all the personal data and certify to the data exporter that it has done so, unless legislation imposed upon the data importer prevents it from returning or destroying all or part of the personal data transferred. In that case, the data importer warrants that it will guarantee the confidentiality of the personal data transferred and will not actively process the personal data transferred anymore.

  2. The data importer and the subprocessor warrant that upon request of the data exporter and/or of the supervisory authority, it will submit its data processing facilities for an audit of the measures referred to in paragraph 1.

Appendix 1 to the Standard Contractual Clauses

Data exporter: Customer is the data exporter.

Data importer: The data importer is GitHub, Inc., a global producer of software and services.

Data subjects: Data subjects include the data exporter’s representatives and end-users including employees, contractors, collaborators, and customers of the data exporter. Data subjects may also include individuals attempting to communicate or transfer personal information to users of the services provided by data importer. GitHub acknowledges that, depending on Customer’s use of the Service, Customer may elect to include personal data from any of the following types of data subjects in the Customer Personal Data:

  • Employees, contractors and temporary workers (current, former, prospective) of data exporter;
  • Dependents of the above;
  • Data exporter's collaborators/contact persons (natural persons) or employees, contractors or temporary workers of legal entity collaborators/contact persons (current, prospective, former);
  • Users (e.g., customers, clients, patients, visitors, etc.) and other data subjects that are users of data exporter's services;
  • Partners, stakeholders or individuals who actively collaborate, communicate or otherwise interact with employees of the data exporter and/or use communication tools such as apps and websites provided by the data exporter;
  • Stakeholders or individuals who passively interact with data exporter (e.g., because they are the subject of an investigation, research or mentioned in documents or correspondence from or to the data exporter); or
  • Professionals with professional privilege (e.g., doctors, lawyers, notaries, religious workers, etc.).

Categories of data: The personal data transferred that is included in e-mail, documents and other data in an electronic form in the context of the Service. GitHub acknowledges that, depending on Customer’s use of the Service, Customer may elect to include personal data from any of the following categories in the Customer Personal Data:

  • Authentication data (for example, username, email, password);
  • Contact information (for example, email);
  • Unique identification numbers and signatures (IP addresses, unique identifier in tracking cookies or similar technology).
  • Other unique identifying information. Data subjects may include more data such as real names, avatar images, and other personal information;

Special categories of data (if appropriate): The data importer does not intentionally collect or process any special categories of data in carrying out its services to the data exporter.

However, because the data importer provides storage services and does not control the categories of data it stores, the data exporter may choose to transfer special categories of data. Consequently, the data exporter is solely responsible for ensuring that it complies with all obligations imposed by applicable laws and regulations relating to the collection and processing of any special categories of data, including obtaining the explicit consent of the data subject prior to processing sensitive personal data.

Processing operations: The personal data transferred will be subject to the following basic processing activities: GitHub uses personal data for the limited purposes set forth in the GitHub Privacy Statement, available at https://docs.github.com/articles/github-privacy-statement, and the “Data Processing” section of the DPA. Subcontractors: In accordance with the DPA, the data importer may hire other companies to provide limited services on data importer’s behalf, such as providing customer support. Any such subcontractors will be permitted to obtain Customer Personal Data only to deliver the services the data importer has retained them to provide, and they are prohibited from using Customer Personal Data for any other purpose.

Appendix 2 to the Standard Contractual Clauses

Description of the technical and organizational security measures implemented by the data importer in accordance with Clauses 4(d) and 5(c):

1. Personnel. Data importer’s personnel will not process Customer Personal Data without authorization. Personnel are obligated to maintain the confidentiality of any Customer Personal Data and this obligation continues even after their engagement ends.

2. Data Privacy Contact. The data privacy officer of the data importer can be reached at the following address: GitHub, Inc. Attn: Privacy 88 Colin P. Kelly Jr. Street San Francisco, CA 94107 USA

3. Technical and Organization Measures. The data importer has implemented and will maintain appropriate technical and organizational measures, internal controls, and information security routines intended to protect Customer Personal Data against accidental loss, destruction, alteration, unauthorized disclosure or access or unlawful destruction.

Signature of GitHub, Inc. appears below.

Signing the Standard Contractual Clauses, Appendix 1 and Appendix 2 on behalf of the data importer

2020年7月20日、午後2:20:29のスクリーンショット

Lynn Hashimoto, Head of Product & Regulatory Legal

GitHub, Inc.

Did this doc help you?

Privacy policy

Help us make these docs great!

All GitHub docs are open source. See something that's wrong or unclear? Submit a pull request.

Make a contribution

OR, learn how to contribute.