データ処理契約

本書は、英語の原文書を参考のために翻訳したものです。本翻訳と英語版との間に矛盾または不一致がある場合は、英語版が優先します。

本データ処理契約（以下「DPA」）は、署名ページにおいて「お客様」と特定される事業体（以下「お客様」）と、デラウェア州法人であり、主たる事務所を 8 The Green, STE A, Dover, DE 19901 に置く Saturday Inc.（以下「Saturday」）との間で締結されます。本 DPA は、Coach Terms of Service（以下「Coach Terms」）、およびお客様による Saturday Coach Portal の利用を規律するお客様と Saturday との間のその他の契約（総称して以下「本契約」）を補完し、その一部を構成します。

両当事者は、以下のとおり合意します。

1. 定義

本 DPA において定義されない大文字で始まる用語は、本契約においてそれらに付された意味を有します。本 DPA において：

「管理者」とは、お客様、すなわち単独でまたは他者と共同で、Saturday Coach Portal を通じた個人データの処理の目的および手段を決定する自然人もしくは法人、公的機関、団体その他の組織をいいます。

「データ主体」とは、個人データが関係する、識別されたまたは識別され得る自然人をいいます。

「EEA」とは、欧州経済領域をいいます。

「GDPR」とは、2016年4月27日付の欧州議会および理事会の規則（EU）2016/679（一般データ保護規則）であって、随時改正、補足または置換されるものをいいます。

「個人データ」とは、Coach Portal に関連してお客様に代わって Saturday によって処理される、識別されたまたは識別され得る自然人に関するあらゆる情報であって、別紙 1 にさらに記載されるものをいいます。「個人データ」は、GDPR 第 4(1) 条における「personal data（個人データ）」に付された意味を有します。

「個人データ侵害」とは、送信、保存またはその他の方法で処理された個人データの偶発的もしくは違法な破壊、滅失、改変、無権限の開示、またはこれらへの無権限のアクセスをもたらすセキュリティの侵害をいいます。

「処理」（およびその派生形である「処理する」「処理された」）とは、自動的な手段によるか否かを問わず、個人データに対して行われるあらゆる単一の操作または一連の操作をいい、収集、記録、編成、構造化、保存、適応もしくは改変、検索、参照、利用、送信による開示、頒布もしくはその他の利用可能化、整列もしくは結合、制限、消去、または破壊を含みます。

「処理者」とは、本 DPA に記載されるとおり、管理者に代わって個人データを処理する Saturday Inc. をいいます。

「特別な種類の個人データ」とは、人種的もしくは民族的出自、政治的意見、宗教的もしくは哲学的信条、または労働組合への加入を明らかにする個人データ、ならびに自然人を一意に識別する目的での遺伝データ、生体データの処理、健康に関するデータ、または自然人の性生活もしくは性的指向に関するデータであって、GDPR 第 9 条に記載されるものをいいます。

「標準契約条項」または「SCCs」とは、2021年6月4日付の欧州委員会の実施決定（EU）2021/914 に附属する標準契約条項であって、随時改正、補足または置換されるものをいいます。

「副処理者」とは、Coach Portal に関連してお客様に代わって個人データを処理するために Saturday が関与させる第三者をいいます。

「監督機関」とは、GDPR 第 51 条に従って EU 加盟国により設立される独立した公的機関をいいます。

「UK Addendum」とは、UK Information Commissioner が Data Protection Act 2018 の Section 119A に基づいて発行し、2022年2月2日に英国議会に提出した International Data Transfer Addendum to the EU Commission Standard Contractual Clauses（Version B1.0）であって、当該 Addendum の Mandatory Clauses の Section 18 に基づいて改訂されたものをいいます。

「UK GDPR」とは、European Union (Withdrawal) Act 2018 の Section 3 により、イングランドおよびウェールズ、スコットランドならびに北アイルランドの法の一部を構成する GDPR であって、Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019 により改正されたものをいいます。

2. 範囲および適用

2.1 本 DPA は、お客様による Saturday Coach Portal の利用に関連してお客様に代わって Saturday が行う個人データの処理に適用され、これにはアスリートの身元データ、健康および生体データ、アクティビティデータ、請求データ、監査データ、ならびに組織所属データが含まれます。

2.2 本 DPA は、両当事者による締結時に発効し、本契約に基づくお客様の Coach Portal サブスクリプションの期間中、効力を有します。本契約の終了または満了は、第 15 条（個人データの返却または削除）の義務を条件として、本 DPA を自動的に終了させます。

2.3 本 DPA と本契約との間に矛盾がある場合、個人データの処理に関しては本 DPA が優先します。

2.4 本 DPA は、Saturday が自らの権利において管理者である個人データ（例えば、お客様のアカウント登録データ、または Saturday が自らの事業目的のために収集するデータ）には適用されません。かかるデータの Saturday による処理は、Saturday のウェブサイトプライバシーポリシーおよびアプリプライバシーポリシーにより規律されます。

3. 役割および責任

3.1 管理者としてのお客様。 お客様は、Coach Portal を通じて処理される個人データの管理者です。お客様は処理の目的および手段を決定し、Coach Portal の利用が GDPR を含む適用あるデータ保護法を遵守することを確保する責任を負います。

3.2 処理者としての Saturday。 Saturday は個人データの処理者であり、お客様の文書化された指示に従い、かつお客様に代わってのみ個人データを処理するものとします。Saturday は、本 DPA、本契約、およびお客様の文書化された指示に記載されるとおりの Coach Portal サービスの提供、保護および監視以外のいかなる目的のためにも個人データを処理しません。

3.3 文書化された指示。 個人データの処理に関するお客様から Saturday への指示は、以下に文書化されています：(a) Coach Terms of Service、(b) Coach プライバシーポリシー、(c) 本 DPA、および (d) 両当事者により合意され署名された書面による追加条項または変更。Saturday は、Saturday の見解において、お客様からの指示が GDPR またはその他の適用あるデータ保護法に違反する場合、速やかにお客様に通知します。

3.4 指示外の処理。 Saturday は、Saturday が服する適用法により求められる場合を除き、お客様の文書化された指示の範囲外で個人データを処理しません。かかる場合、Saturday は、重要な公共の利益を理由として法がかかる通知を禁止する場合を除き、処理の前に当該法的要件をお客様に通知します。

4. 処理の記述

GDPR 第 28(3) 条に従い、以下の詳細は本 DPA に基づいて実施される処理を記述します：

• 主題： Saturday Coach Portal の提供であり、コーチおよび組織がアスリートとの関係を管理し、コンプライアンスデータを閲覧し、Stripe Connect を通じて請求を処理し、組織分析を生成し、管理上の操作の監査ログを維持することを可能にします。
• 期間： 本契約に基づくお客様の Coach Portal サブスクリプションの期間、ならびに第 15 条に定める終了後の保持期間。
• 性質および目的： Coach Portal サービスの提供に必要な範囲での個人データの保存、検索、表示、編成、構造化、適応、送信および消去であり、アスリート名簿管理、コンプライアンス監視、請求業務、監査ログ記録、サポート目的のなりすまし、ならびにコミュニケーションの円滑化を含みます。
• 個人データの種類： 第 5 条（データの種類）および別紙 1 に記載のとおり。
• データ主体の種類： アスリート（コーチのアクセスに同意した Saturday アプリのエンドユーザー）、コーチ（個々のコーチング専門家）、コーチ組織のメンバー（管理者、アシスタントコーチ、請求管理者、読み取り専用コーチ）、および Saturday のスタッフ（サポートまたは管理目的でなりすましを行使する場合）。
• 特別な種類： 健康データおよび生体データ（アスリートのアクティビティデータ、スポーツの種類、所要時間、およびコンプライアンス指標は、GDPR 第 9 条に基づく健康関連データを構成し得ます）。お客様は、特別な種類の個人データの処理について、GDPR 第 9(2) 条に基づく適法な根拠を確保する責任を負います。

5. データの種類

以下の表は、Coach Portal を通じて処理される個人データの種類および適用ある保持期間を記述します：

種類	データ要素	保持期間
身元	表示名、メールアドレス、Firebase UID	アカウントの期間 + 30 日
関係	コーチ・アスリートのリンク、組織所属、割り当てられた役割（9 つの定義された役割）、同意のタイムスタンプ、同意の出所、関係ごとの ACL 権限	関係の期間 + 90 日
コンプライアンス	アクティビティの新しさを示す指標（赤/黄/緑のステータス）、アクティビティ数、最後のアクティビティからの日数	リアルタイムで算出され、永続的には保存されません
アクティビティ	スポーツの種類、所要時間、アクティビティの日付	アカウントの期間 + 30 日
請求	請求金額、請求取り決めの条件、支払いステータス、プラットフォーム手数料、Stripe 顧客識別子、サブスクリプションのメタデータ	7 年（金融および税務規制）
監査	管理上の操作（40 以上の操作タイプ）、正当化理由を伴うなりすましイベント、実行者 UID、対象 UID、IP アドレス、ユーザーエージェント、タイムスタンプ、変更前/変更後の状態のスナップショット	無期限（GDPR 第 17(3)(e) 条に基づき保持：法的請求の確立、行使または防御）
組織	組織名、階層（親/子）、メンバー名簿、メンバーの役割、所有者 UID、解散ステータス	組織の期間 + 90 日

6. 副処理者

6.1 承認された副処理者。 お客様は、別紙 2 に記載される副処理者を Saturday が関与させることについて、一般的な書面による承認を与えます。発効日現在、Saturday は Coach Portal データについて以下の副処理者を使用しています：

副処理者	目的	所在地
Google Cloud Platform（Firebase、Firestore、Cloud Functions、Cloud Secret Manager）	データ保存、認証、サーバーレスコンピューティング、シークレット管理	米国（us-central1）
Stripe, Inc.	決済処理（コーチ請求のための Stripe Connect、サブスクリプション管理）	米国
Brevo（Sendinblue SAS）	トランザクションメール（招待通知、なりすまし通知）	欧州連合
Klaviyo, Inc.	マーケティングメールおよびライフサイクルコミュニケーション	米国
Cloudflare, Inc.	CDN、DNS、DDoS 保護、Coach Portal フロントエンドのエッジホスティング	グローバルエッジネットワーク

6.2 変更の通知。 Saturday は、新たな副処理者を関与させるか、または既存の副処理者を交代させる前に、お客様に対し少なくとも30日前に書面による事前通知を行います。当該通知は、副処理者を特定し、実施される処理を記述し、副処理者の所在地を示すものとします。

6.3 異議申立権。 お客様は、第 6.2 条に基づく通知の受領後14日以内に Saturday に書面で通知することにより、新たなまたは交代する副処理者に異議を申し立てることができます。異議は、データ保護に関する合理的な理由を述べなければなりません。Saturday は、異議の対象となった副処理者による個人データの処理を回避するため、Coach Portal の変更をお客様に利用可能とするか、または商業的に合理的な代替手段を推奨するよう、商業的に合理的な努力を行います。Saturday が異議の受領後30日以内にお客様の異議に対応できない場合、お客様は Saturday への書面による通知により Coach Portal サブスクリプションを終了することができ、Saturday は未使用の前払い料金がある場合これを按分して返金します。

6.4 副処理者の義務。 Saturday は、(a) 書面による契約により、各副処理者に対し、本 DPA に定めるものと同等以上の保護を有するデータ保護義務を課し、かつ (b) 各副処理者の義務の履行についてお客様に対し全責任を負い続けます。

7. セキュリティ対策

GDPR 第 28(3)(c) 条および第 32 条に従い、Saturday は個人データを保護するために以下の技術的および組織的対策を実装し維持します。これらの対策は別紙 3 にさらに詳述されています。

7.1 暗号化

• 転送中： すべての API およびウェブのトラフィックは TLS 1.3 を使用して暗号化されます。
• 保存時： 保存されるすべてのデータは、Google Cloud Platform のデフォルト暗号化により AES-256 を使用して暗号化されます。

7.2 アクセス制御

• データベースレベルのスコープ設定： Firestore Security Rules がドキュメントごとのアクセス制御を実施します。コーチのアクセスは、コーチのアクティブな名簿内のアスリートに限定されます。セキュリティルールは、読み取りまたは書き込みアクセスを許可する前にコーチ・アスリート関係のステータスを検証します。
• ロールベースアクセス制御（RBAC）： 9 つの定義された役割と23の個別の権限が Coach Portal の機能へのアクセスを規律します。権限の解決は API ミドルウェア層で実施され、無権限のリクエストに対しては HTTP 403 を返します。
• 知る必要の原則： Saturday の担当者は、書面による秘密保持義務を条件として、職務の遂行に必要な範囲でのみ個人データにアクセスします。

7.3 監査ログ記録

• すべての管理上の操作、なりすましイベント、およびデータアクセス操作は、追記専用の監査ログに記録されます。監査ログのエントリは決して更新または削除されません。
• 各監査エントリは、実行者の身元、操作タイプ（40 以上の定義された操作）、対象、変更前/変更後の状態、IP アドレス、ユーザーエージェント、およびタイムスタンプを記録します。

7.4 なりすまし制御

• 管理上のなりすましセッションは30分に制限され、書面による正当化理由を要します。
• なりすましイベントは監査証跡に記録され、なりすまされたユーザーへの通知をトリガーします。
• PermImpersonate 権限を有するユーザー（組織管理者、ヘッドコーチ、および Saturday スタッフ）のみがなりすましを開始できます。

7.5 認証

• 認証は Firebase Authentication を通じて管理されます。
• 多要素認証（MFA）はすべてのユーザーが利用可能であり、Enterprise ティアのお客様については、設定可能な猶予期間および許可される方式（TOTP、SMS）とともに組織レベルで強制することができます。

7.6 組織的対策

• 個人データにアクセスする Saturday の担当者は、書面による秘密保持義務に拘束されます。
• Saturday は、Coach Portal インフラストラクチャの脆弱性評価を定期的に実施します。
• Saturday は、第 11 条に記載される侵害通知プロセスを含むインシデント対応手順を維持します。
• Saturday は、その技術的および組織的対策の年次セキュリティレビューを実施します。

8. 秘密保持

8.1 Saturday は、GDPR 第 28(3)(b) 条に従い、自らに代わって個人データを処理することを許可された者が秘密保持義務を約束し、または適切な法定の秘密保持義務に服することを確保します。

8.2 Saturday は、以下の場合を除き、個人データを第三者に開示しません：(a) 別紙 2 に記載される承認された副処理者を通じて Coach Portal サービスを提供するために必要な場合、(b) 適用法、規制、または裁判所もしくは政府機関の拘束力のある命令により求められる場合、または (c) お客様により書面で明示的に承認された場合。

8.3 Saturday が公的機関から個人データの開示を求める法的拘束力のある要求を受領した場合、Saturday は、法により禁止される場合を除き、いかなる開示も行う前に速やかに当該要求をお客様に通知します。Saturday は、当該機関がお客様に直接データを要求するよう仕向けるための合理的な努力を行います。

9. 副処理者の関与

9.1 GDPR 第 28(2) 条および 28(4) 条に従い、Saturday は、第 6.2 条および 6.3 条の通知および異議申立メカニズムを条件として、お客様が第 6.1 条に基づいて与えるお客様の事前の一般的な書面による承認なしに副処理者を関与させません。

9.2 Saturday は、GDPR 第 28(4) 条に従った書面による契約により、各副処理者に対し、本 DPA に基づいて Saturday に課されるものと実質的に同等のデータ保護義務を課し、これには秘密保持、セキュリティ対策、国際データ移転、ならびに管理者および監督機関との協力に関する義務が含まれます。

9.3 Saturday は、自ら処理を行った場合に Saturday が負うであろう責任と同じ範囲において、その副処理者の作為および不作為についてお客様に対し全責任を負い続けます。

9.4 お客様の書面による要求に応じて、Saturday は、本条の遵守を検証できるようにするため、副処理者契約の写し（データ保護に関連しない商業上機微な情報を除去するために編集される場合があります）をお客様に提供します。

10. データ主体の権利に関する支援

10.1 GDPR 第 28(3)(e) 条に従い、Saturday は、適切な技術的および組織的対策により、かつ処理の性質を考慮して、GDPR 第 III 章に基づくデータ主体の権利（アクセス、訂正、消去、データポータビリティ、処理の制限、および異議の権利を含む）を行使するためのデータ主体の要求に対応するお客様の義務の履行において、お客様を支援します。

10.2 Saturday は、本条に基づくお客様の支援要求に営業日5日以内に対応します。支援には以下が含まれます：アスリートデータのエクスポートの提供、アカウント終了時のデータ削除の実行（即時のアクセス除去に続く30日のデータパージ）、お客様の通知に基づくデータの訂正、および指示に従った処理の制限。

10.3 Saturday が本 DPA に基づいて処理される個人データに関してデータ主体から直接要求を受領した場合、Saturday は速やかに当該データ主体をお客様に仕向けるか、または適切でありお客様の事前の書面による承認がある場合には、お客様に代わって要求を履行します。Saturday は、要求がお客様に付託された旨をデータ主体に通知する場合を除き、お客様の承認なしにデータ主体の要求に直接対応しません。

10.4 Coach Portal は、お客様がデータ主体に代わってアクセス、エクスポートおよび削除の要求を提出できるプライバシー要求インターフェースを提供し、履行のためのサービスレベルは30日です。

11. 個人データ侵害の通知

11.1 GDPR 第 28(3)(f) 条に従い、Saturday は、個人データ侵害を認識した後、不当な遅滞なく、いかなる場合も72時間以内に、個人データ侵害をお客様に通知します。

11.2 通知には、通知の時点で合理的に入手可能な範囲で、以下が含まれます：

1. 影響を受けるデータ主体の種類およびおおよその人数、ならびに影響を受ける個人データレコードの種類およびおおよその件数を含む、個人データ侵害の性質の記述；
2. さらなる情報を入手できる Saturday の連絡窓口の氏名および連絡先；
3. 個人データ侵害の起こり得る結果の記述；および
4. 個人データ侵害に対処するために Saturday が講じたまたは講じることを提案する対策（その起こり得る悪影響を軽減するための対策を含む）の記述。

11.3 すべての情報を同時に提供することが不可能な場合、Saturday は、さらなる不当な遅滞なく、段階的に情報を提供します。

11.4 Saturday は、個人データ侵害の調査、軽減および是正に関して、ならびに GDPR 第 33 条および 34 条に基づくお客様の義務の遵守において、お客様と協力し支援します。

11.5 本条に基づく Saturday の個人データ侵害の通知または対応は、当該侵害に関する Saturday の過失または責任の承認と解釈されないものとします。

12. データ保護影響評価に関する支援

12.1 GDPR 第 28(3)(f) 条に従い、Saturday は、GDPR 第 35 条に基づくデータ保護影響評価（以下「DPIAs」）の実施において、および該当する場合には GDPR 第 36 条に基づく関連する監督機関との協議において、いずれの場合も本 DPA に基づく個人データの処理に関してのみ、かつ処理の性質および Saturday が入手可能な情報を考慮して、お客様に合理的な支援を提供します。

12.2 Saturday は、第 7 条および別紙 3 に定める技術的および組織的対策の記述を含め、お客様が DPIA を実施するために合理的に必要な Coach Portal の処理活動に関する情報をお客様に利用可能とします。

13. 監査権

13.1 GDPR 第 28(3)(h) 条に従い、Saturday は、GDPR 第 28 条および本 DPA に定める義務の遵守を証明するために必要なすべての情報をお客様に利用可能とし、お客様またはお客様が委任した監査人が実施する監査（検査を含む）を可能とし、これに協力します。

13.2 お客様は、12か月の期間ごとに1回の監査を実施できます。監査は以下のとおり実施されます：(a) お客様の費用負担で、(b) Saturday の通常の営業時間中に、(c) Saturday への少なくとも30日前の書面による事前通知をもって、かつ (d) Saturday の業務を不合理に妨げない方法で。

13.3 Saturday は、本 DPA に基づく処理活動を対象とする関連する第三者監査報告書または認証（SOC 2 Type II 報告書、ISO 27001 認証、またはこれらと同等のものなど）の写しを提供することにより、お客様の監査要求に応じることができます。かかる報告書がお客様の合理的な懸念に適切に対処しない場合、お客様は第 13.2 条に基づき直接監査を実施する権利を保持します。

13.4 お客様が委任した監査人は、書面による秘密保持義務に拘束され、Saturday の競合相手であってはなりません。お客様は、監査の前に監査人の身元を Saturday に提供します。

13.5 監査により本 DPA の重大な不遵守が判明した場合、Saturday は速やかに自らの費用で不遵守を是正し、講じた是正措置をお客様に通知します。

14. 国際データ移転

14.1 データの所在地。 Saturday は、主として米国の Google Cloud の us-central1 リージョンに個人データを保存します。一部の副処理者（Brevo）は欧州連合にデータを保存し、一部の副処理者（Cloudflare）はグローバルエッジネットワーク全体でデータを処理します。

14.2 移転メカニズム — EEA。 個人データが EEA から米国または欧州委員会による十分性決定の対象とならないその他の国に移転される範囲において、両当事者は、2021年 EU 標準契約条項（委員会実施決定（EU）2021/914）のモジュール 2（管理者から処理者）が引用により本 DPA に組み込まれ、かかる移転に適用されることに合意します。SCCs の目的のため：

• 「データ輸出者」はお客様（管理者）です；
• 「データ輸入者」は Saturday（処理者）です；
• 第 7 条（ドッキング条項）：任意のドッキング条項は適用され、追加の事業体が SCCs に加入することを認めます；
• 第 9(a) 条（副処理者）：オプション 2（一般的な書面による承認）が適用され、副処理者の追加または交代の意図について30日前の事前通知を伴います；
• 第 17 条（準拠法）：SCCs はアイルランド法に準拠します；
• 第 18 条（裁判地および管轄の選択）：SCCs から生じる紛争はアイルランドの裁判所において解決されます；
• 附属書 I.A（当事者一覧）、附属書 I.B（移転の記述）、および附属書 I.C（管轄監督機関）は、本 DPA の別紙 1 において記入されます；
• 附属書 II（技術的および組織的対策）は、本 DPA の別紙 3 において記入されます；
• 附属書 III（副処理者一覧）は、本 DPA の別紙 2 において記入されます。

14.3 移転メカニズム — 英国。 個人データが英国から移転される範囲において、UK International Data Transfer Addendum to the EU Commission Standard Contractual Clauses（Version B1.0、ICO により発行され2022年2月2日に議会に提出され、当該 Mandatory Clauses の Section 18 に基づき改訂されたもの）がかかる移転に適用され、引用により本 DPA に組み込まれます。UK Addendum の Table 1 から Table 4 までで求められる情報は、第 14.2 条に基づき組み込まれた SCCs に定めるとおりであり、以下を条件とします：

• Table 2 で言及される Approved EU SCCs は、Appendix Information を含む、本 DPA の第 14.2 条に基づき組み込まれた SCCs です；
• いずれの当事者も、その条項に従って UK Addendum を終了させることができます；
• UK Information Commissioner's Office は、UK GDPR の対象となる移転についての管轄監督機関です。

14.4 移転メカニズム — スイス。 個人データがスイスから移転される範囲において、第 14.2 条に基づき組み込まれた SCCs は、以下の修正を伴って適用されます：(a) GDPR への言及は、該当する範囲でスイス連邦データ保護法（以下「FADP」）への言及として解釈されます；(b) 「加盟国」への言及は、スイスを含むものと解釈されます；(c) 「管轄監督機関」への言及は、スイス連邦データ保護および情報コミッショナー（以下「FDPIC」）への言及として解釈されます；かつ (d) 「EU」、「連合」および「加盟国法」への言及は、スイスのデータ主体がスイスの常居所地においてその権利を行使することを排除しないように解釈されます。

14.5 補完的対策。 Saturday は、個人データの EU レベルの保護の遵守を確保するために移転ツールを補完する対策に関する EDPB の勧告 01/2020（バージョン 2.0、2021年6月18日採択）に従い、米国の法律および慣行を評価しました。Saturday は以下の補完的対策を実装します：

• 技術的対策： 転送中（TLS 1.3）および保存時（AES-256）の個人データの暗号化；ドキュメントごとのアクセス制御；正当化理由の記録を伴う時間制限付きのなりすまし；
• 契約上の対策： 同等の保護を要求する副処理者契約；法的に許容される範囲で政府のアクセス要求に異議を申し立てる旨のコミットメント；受領した政府のアクセス要求（ある場合かつ法的に許容される範囲）に関する透明性；
• 組織的対策： 知る必要に基づくアクセス制限；すべての担当者の秘密保持義務；定期的なセキュリティレビュー；インシデント対応手順。

14.6 お客様の表明。 お客様は、国際的な国境を越える移転を含め、個人データを Saturday に移転する権限を有すること、およびかかる移転が適用あるデータ保護法を遵守して実施されることを表明し保証します。

15. 個人データの返却または削除

15.1 GDPR 第 28(3)(g) 条に従い、本契約の終了または満了に際し、Saturday は、お客様の選択および書面による要求に応じて、以下のいずれかを行います：(a) すべての個人データを一般的に使用される機械可読形式でお客様に返却する；または (b) すべての個人データおよび既存の写しを削除する。Saturday は、お客様の書面による要求の受領後30日以内にかかる返却または削除を完了します。

15.2 お客様が本契約の終了または満了後30日以内に指示を提供しない場合、Saturday は第 15.1(b) 条に従ってすべての個人データを削除します。

15.3 例外。 Saturday は、以下を含め、適用法により求められる範囲で、終了後に個人データを保持することができます：

• 請求記録： 適用ある金融および税務規制により求められるとおり、7年間保持されます；
• 監査ログのエントリ： GDPR 第 17(3)(e) 条に基づく法的請求の確立、行使または防御に必要な範囲で保持されます；
• 裁判所の命令または規制上の指令により求められるデータ。

Saturday は、かかる保持要件についてお客様に通知し、保持されたデータの処理を、保持が求められる特定の法的目的に限定します。

15.4 返却または削除の完了に際し、Saturday は、書面による要求に応じて、削除の書面による証明をお客様に提供します。

15.5 GDPR の意味における個人データを構成しなくなるように匿名化されたデータは、Saturday が制限なく保持することができます。

16. 責任および補償

16.1 本 DPA に基づく各当事者の責任は、本契約に定める責任の除外および制限の対象となります。ただし、かかる制限は、かかる制限が許容されない場合に、SCCs または適用あるデータ保護法に基づくデータ主体に対する当事者の責任を制限しないものとします。

16.2 各当事者は、補償当事者による本 DPA の違反に起因する第三者の請求から生じるかまたはこれに関連するすべての請求、損害、損失、費用および経費（合理的な弁護士費用を含む）について、相手方当事者を補償し、免責します。

16.3 本 DPA に基づいて生じるすべての請求についての Saturday の総責任は、契約、不法行為その他のいずれによるかを問わず、請求を生じさせる事象の直前12か月間に本契約に基づいてお客様が Saturday に支払った料金の総額を超えないものとします。この制限は、以下には適用されません：(a) SCCs に基づく Saturday の責任；(b) Saturday の故意の不正行為または重過失に起因する範囲での第 16.2 条に基づく Saturday の補償義務；または (c) 監督機関によりお客様に直接課される規制上の制裁金であって、お客様の単独の責任にとどまるもの。

17. 期間および終了

17.1 本 DPA は、締結の日に発効し、本契約に基づくお客様の Coach Portal サブスクリプションの期間中、効力を有します。

17.2 いずれの当事者も、違反当事者が当該通知期間内に違反を是正する機会を与えられていることを条件として、相手方当事者への30日前の書面による通知により、重大な違反について本 DPA を終了することができます。

17.3 本契約の終了（お客様の Coach Portal サブスクリプションの終了を含む）は、本 DPA を自動的に終了させます。

17.4 以下の条項は、本 DPA の終了または満了後も存続します：第 1 条（定義）、第 8 条（秘密保持）、第 11 条（個人データ侵害の通知）、第 13 条（監査権、終了後12か月の期間）、第 14 条（国際データ移転、個人データが Saturday の保有にとどまる範囲）、第 15 条（個人データの返却または削除）、第 16 条（責任および補償）、ならびに第 22 条（準拠法）。

18. 締結

18.1 本 DPA は、複数の副本により締結することができ、各副本は原本とみなされ、それらすべてが一体となって単一の同一の文書を構成します。

18.2 電子署名（DocuSign または同等の電子署名サービスを通じて提供されるものを含む）は、原本の自筆署名と同一の法的効力および効果を有します。

18.3 本 DPA の締結済みの写しについては、alex@saturdaymorning.fit にて Saturday までご連絡ください。DocuSign による電子署名はご要望に応じて利用可能です。

別紙 1: 処理の記述

本別紙は本 DPA の一部を構成し、標準契約条項（モジュール 2：管理者から処理者）の附属書 I の要件を満たします。

A. 当事者一覧

役割	当事者	詳細
データ輸出者（管理者）	お客様	署名ページにおいて特定されるとおり。移転に関連する活動：アスリートとの関係を管理し、コンプライアンスデータを閲覧し、請求を処理するための Saturday Coach Portal の利用。
データ輸入者（処理者）	Saturday Inc.	8 The Green, STE A, Dover, DE 19901, 米国。連絡先：alex@saturdaymorning.fit。移転に関連する活動：Coach Portal SaaS プラットフォームの提供。

B. 移転の記述

項目	記述
データ主体の種類	アスリート（Saturday アプリのエンドユーザー）；コーチ（個々のコーチング専門家）；組織のメンバー（管理者、アシスタントコーチ、請求管理者、ヘッドコーチ、読み取り専用コーチ）；Saturday のスタッフ（なりすましを行使する場合）。
個人データの種類	身元データ（表示名、メール、Firebase UID）；関係データ（コーチ・アスリートのリンク、組織所属、役割、同意記録）；コンプライアンスデータ（アクティビティの新しさ、アクティビティ数）；アクティビティデータ（スポーツの種類、所要時間、日付）；請求データ（請求金額、取り決めの条件、支払いステータス、Stripe 識別子）；監査データ（管理上の操作、なりすましイベント、IP アドレス、ユーザーエージェント、タイムスタンプ）；組織データ（名称、階層、メンバー名簿、役割）。
特別な種類の個人データ	健康データ：アスリートのアクティビティデータ（スポーツの種類、所要時間、およびコンプライアンス指標）は、GDPR 第 9 条に基づく健康関連データを構成し得ます。適用される制限および保護措置：ドキュメントごとのデータベースアクセス制御、ロールベースアクセス、保存時および転送中の暗号化、同意に基づくデータ共有。
移転の頻度	継続的、本契約の期間中。
処理の性質	収集、保存、構造化、検索、参照、利用、送信による開示、整列、結合、制限、消去、および破壊。
処理の目的	Coach Portal サービスの提供：アスリート名簿管理、コンプライアンス監視、Stripe Connect を通じた請求業務、組織分析、監査ログ記録、サポート目的の管理上のなりすまし、およびトランザクションコミュニケーション。
保持期間	本 DPA の第 5 条（データの種類）に定めるとおり：身元データおよびアクティビティデータはアカウントの期間に30日を加えた期間；関係データおよび組織データは期間に90日を加えた期間；請求データは7年間；監査データは無期限（第 17(3)(e) 条の根拠）；コンプライアンスデータはリアルタイムで算出され、永続的には保存されません。

C. 管轄監督機関

管轄監督機関は、SCCs の第 13 条に従って決定されます。データ輸出者が EU 加盟国に設立されている場合、当該加盟国の監督機関が管轄機関となります。データ輸出者が EU 加盟国に設立されていないものの、GDPR 第 3(2) 条に基づき GDPR の地理的適用範囲内にある場合、データ輸出者が署名ページにおいて指定した加盟国の監督機関が管轄機関となります。かかる指定がない場合、アイルランドデータ保護委員会が管轄監督機関を務めます。

別紙 2: 副処理者一覧

本別紙は本 DPA の一部を構成し、標準契約条項（モジュール 2：管理者から処理者）の附属書 III の要件を満たします。

副処理者	住所	処理の記述	所在地
Google LLC（Google Cloud Platform、Firebase、Firestore、Cloud Functions、Cloud Secret Manager）	1600 Amphitheatre Parkway, Mountain View, CA 94043, 米国	クラウドインフラストラクチャ：データ保存（Firestore）、ユーザー認証（Firebase Auth）、サーバーレスコンピューティング（Cloud Functions）、シークレット管理（Cloud Secret Manager）、およびホスティング。	米国（us-central1）
Stripe, Inc.	354 Oyster Point Blvd, South San Francisco, CA 94080, 米国	決済処理：コーチ・アスリート請求のための Stripe Connect、サブスクリプション管理、請求記録、返金処理、およびコーチの本人確認（KYC）。	米国
Sendinblue SAS（d/b/a Brevo）	106 boulevard Haussmann, 75008 Paris, France	トランザクションメール：コーチ招待通知、なりすましイベント通知、およびシステム生成のコミュニケーション。	欧州連合（フランス）
Klaviyo, Inc.	125 Summer Street, Boston, MA 02110, 米国	マーケティングメール：コーチのライフサイクルコミュニケーション、引き換えコードの配信、およびオンボーディングメールシーケンス。	米国
Cloudflare, Inc.	101 Townsend Street, San Francisco, CA 94107, 米国	コンテンツ配信、DNS 解決、DDoS 保護、および Coach Portal フロントエンドアプリケーションのエッジホスティング。	グローバルエッジネットワーク

別紙 3: 技術的および組織的対策

本別紙は本 DPA の一部を構成し、標準契約条項（モジュール 2：管理者から処理者）の附属書 II の要件を満たします。以下の対策は、Saturday（データ輸入者）が実装する技術的および組織的なセキュリティ対策を記述します。

個人データの暗号化

• 転送中のすべてのデータは TLS 1.3 を使用して暗号化されます。
• 保存されるすべてのデータは、Google Cloud Platform のデフォルト暗号化により AES-256 を使用して暗号化されます。Google は、Google の Key Management Service に従って暗号鍵を管理します。

機密性、完全性、可用性および回復力

• Firestore Security Rules がドキュメントごとのアクセス制御を実施し、コーチのアクセスをコーチのアクティブな名簿内のアスリートに限定します。
• 9 つの定義された役割と23の個別の権限がアプリケーションレベルのアクセスを規律します。
• Google Cloud Platform は、インフラストラクチャレベルの冗長性、バックアップ、および災害復旧の機能を提供します。
• Saturday は、可用性の障害の適時の特定および是正のためのインシデント対応手順を維持します。

可用性およびアクセスを復元する能力

• Saturday は、複数の可用性ゾーンにわたる Firestore の自動レプリケーションを含む、Google Cloud Platform のインフラストラクチャレベルのバックアップおよび復旧メカニズムに依拠します。

定期的な試験および評価

• Saturday は、その技術的および組織的対策の年次セキュリティレビューを実施します。
• Saturday は、Coach Portal インフラストラクチャの脆弱性評価を定期的に実施します。
• Saturday は、個人データ侵害シナリオへの備えを確保するため、そのインシデント対応手順を試験します。

ユーザーの識別および認可

• 認証は Firebase Authentication を通じて管理され、メール/パスワードおよび OAuth ベースのサインインをサポートします。
• 多要素認証（MFA）は利用可能であり、設定可能な猶予期間および許可される方式（TOTP、SMS）とともに、Enterprise ティアのお客様について組織ごとに強制可能です。
• API ミドルウェアは、すべてのエンドポイントでロールベースの権限を実施し、無権限のアクセス試行に対しては HTTP 403 を返します。
• セッション管理には、セッションの列挙、個々のセッションの取り消し、およびその他すべてのセッションの取り消しが含まれます。

送信および保存中のデータの保護

• クライアントと Saturday のサービスとの間のすべての API およびウェブのトラフィックに対する TLS 1.3 暗号化。
• すべての Firestore コレクション、Cloud Storage オブジェクト、およびその他の GCP ストレージサービスに対する保存時の AES-256 暗号化。
• Stripe は PCI-DSS 準拠のインフラストラクチャで決済カードデータを取り扱います；Saturday はカード所有者データを保存、処理または送信しません。

処理場所の物理的セキュリティ

• すべての個人データは Google Cloud Platform のデータセンターに保存されます。Google は、アクセス制限、監視、および環境制御を含む、SOC 2 Type II および ISO 27001 認証の物理的セキュリティ制御を維持します。

イベントのログ記録

• Saturday は、すべての管理上の操作（40 以上の定義された操作タイプ）、なりすましイベント（正当化理由を伴う）、実行者の身元、対象、変更前/変更後の状態のスナップショット、IP アドレス、ユーザーエージェント、およびタイムスタンプを記録する追記専用の監査ログを維持します。
• 監査ログのエントリは決して更新または削除されません。
• Google Cloud Logging は、アプリケーションレベルおよびインフラストラクチャレベルのイベントを含む、すべての構造化ログを取得します。

データ最小化

• コンプライアンス指標（アクティビティの新しさ、アクティビティ数）はリアルタイムで算出され、永続的には保存されません。
• コーチは、アスリートの統合トークン（TrainingPeaks や Intervals.icu などの第三者サービスの OAuth 認証情報）、生体の生データ、詳細な健康処方、または決済認証情報にアクセスできません。

データの保持および削除

• 保持期間は、本 DPA の第 5 条においてデータの種類ごとに定められています。
• アカウントの削除は、即時のアクセス除去および30日のデータパージをトリガーします。
• アスリートによる関係の取り消しは、Firestore Security Rules を通じてコーチのアクセスを直ちに終了させ、過去の記録は適用ある保持期間に従って保持されます。

アカウンタビリティ

• Saturday は、本 DPA、Coach プライバシーポリシー、および Coach Terms of Service を、そのデータ保護に関するコミットメントの文書化された記録として維持します。
• Saturday の Terms of Service の同意フローは、タイムスタンプ、IP アドレス、およびユーザーエージェントを含め、各ユーザーによる現行の ToS バージョンの同意を記録します。

副処理者のセキュリティ

• 各副処理者は、本 DPA に含まれるものと実質的に同等のデータ保護義務により契約上拘束されます。
• Google Cloud Platform は、SOC 2 Type II、ISO 27001、および ISO 27017 の認証を維持します。
• Stripe は、PCI-DSS Level 1 認証および SOC 2 Type II 報告書を維持します。
• Brevo は、欧州連合内で GDPR 準拠のインフラストラクチャを維持します。
• Cloudflare は、SOC 2 Type II および ISO 27001 の認証を維持します。

19. 一般条項

19.1 完全合意。 本 DPA は、本契約とともに、個人データの処理に関する両当事者間の完全な合意を構成し、これに関するすべての従前または同時期の合意、了解または表明に取って代わります。

19.2 変更。 本 DPA は、両当事者により署名された書面によってのみ変更することができます。前述にかかわらず、Saturday は、かかる更新が個人データに付与される保護の全体的な水準を実質的に低下させないことを条件として、第 7 条および別紙 3 に記載される技術的および組織的対策を随時更新することができます。

19.3 分離可能性。 本 DPA のいずれかの条項が無効または執行不能と判断された場合でも、残りの条項は完全に効力を有し続けます。

19.4 第三者受益者の不存在。 本 DPA は、両当事者ならびにそれぞれの承継人および許可された譲受人の利益のためにのみ存在します。ただし、データ主体は、本 DPA に組み込まれた SCCs の第三者受益者です。

19.5 通知。 本 DPA に基づくすべての通知は書面により行い、本契約に定める住所、または Saturday については alex@saturdaymorning.fit 宛てに送付されます。

20. 監督機関との協力

20.1 Saturday は、GDPR 第 31 条に従い、要求に応じて、その任務の遂行において管轄監督機関と協力します。

20.2 Saturday は、本 DPA に基づく個人データの処理に関する監督機関からの照会、苦情または調査を受領した場合、速やかにお客様に通知します。

21. 本契約との関係

21.1 本 DPA のいかなる規定も、個人データの保護に関する本契約に基づく Saturday の義務を軽減するものではなく、また本契約に基づき許容されない方法で Saturday が個人データを処理することを認めるものでもありません。

21.2 本 DPA によって行われる変更を除き、本契約は変更されず、完全に効力を有し続けます。

22. 準拠法

22.1 本 DPA、およびこれに起因しもしくは関連して生じる契約外の義務は、その抵触法の規定にかかわらず、米国デラウェア州法に準拠し、これに従って解釈されます。

22.2 第 22.1 条にかかわらず、SCCs により求められる範囲において、SCCs は、SCCs の第 17 条に定める法（アイルランド法）に準拠し、これに従って解釈され、SCCs に基づいて生じる紛争は、SCCs の第 18 条に定める裁判所（アイルランドの裁判所）において解決されます。

22.3 UK Addendum により求められる範囲において、UK Addendum は、イングランドおよびウェールズの法に準拠し、これに従って解釈されます。