今すぐ作成を開始
今すぐ作成を開始
法的情報

QR Code AI データ処理契約

本DPAは、QR Code AIがお客様に代わって個人データを処理する方法を定義し、GDPRおよび適用されるデータ保護規制に準拠します。

データ処理契約(DPA)

最終更新日:2026年3月2日

本データ処理契約(「DPA」)は、フランス・ユヴィシー=シュル=オルジュ(住所:27 Rue Wurtz, 91260)、VAT番号FR67948452891に登録されたSupernovae(以下「プロセッサー」、「当社」、「弊社」)と、本DPAに同意する事業体(以下「コントローラー」、「お客様」)との間で締結される利用規約(「契約」)の一部を構成します。両者は総称して「当事者」と呼ばれます。

本DPAは、当社がAPIを含むQR Code AIサービスに関連してお客様に代わって個人データを処理する場合に適用されます。

1. 定義

  • **「個人データ」**とは、GDPR第4条(1)に定義される、識別されたまたは識別可能な自然人に関するあらゆる情報を指します。
  • **「処理」**とは、GDPR第4条(2)に定義される、個人データに対して実行される操作または一連の操作を指します。
  • **「データ主体」**とは、個人データに関連する識別されたまたは識別可能な自然人を指します。
  • **「サブプロセッサー」**とは、プロセッサーがコントローラーに代わって個人データを処理するために関与させる第三者を指します。
  • **「GDPR」**とは、欧州議会および理事会規則(EU)2016/679を指します。
  • **「UK GDPR」**とは、2018年データ保護法により英国法に組み込まれたGDPRを指します。
  • **「SCCs」**とは、欧州委員会が第三国への個人データ移転のために承認した標準契約条項を指します。
  • **「データ違反」**とは、個人データの偶発的または違法な破壊、喪失、改変、不正開示またはアクセスを引き起こすセキュリティ侵害を指します。

2. 適用範囲および役割

2.1 コントローラーおよびプロセッサー

本DPAの目的において:

  • お客様(コントローラー):お客様は、当社のサービスをご利用になる際に、特にAPIを使用してご自身の顧客向けにQRコードを生成したり、当社のサービスを自社製品に統合したりする際に、個人データの処理目的および手段を決定します。
  • 当社(プロセッサー):当社は、本DPAおよび契約に記載されている通り、お客様の指示に従ってお客様に代わって個人データを処理します。

2.2 本DPAの適用条件

本DPAは以下の状況に適用されます:

  • お客様がQR Code AI APIを使用して、エンドユーザーのデータ(例:個人情報を含むURL、vCardデータ、QRコードにエンコードされた連絡先情報)を処理するQRコードを生成する場合。
  • お客様がQR Code AIのトラッキングおよびアナリティクス機能を使用して、エンドユーザーからのスキャンデータを収集する場合。
  • 当社がデータプロセッサーとしてお客様に代わって個人データを処理するその他のすべてのシナリオ。

お客様が個人ユーザーとしてご自身の目的でQR Code AIをご利用になる場合は、当社は独立したデータコントローラーとして行動し、データ処理は当社のプライバシーポリシーに従って行われます。

3. データ処理の詳細

3.1 処理の対象および期間

当社は、QRコード生成、トラッキング、アナリティクスおよび関連機能を含むQR Code AIサービスを提供するために、契約期間中個人データを処理します。

3.2 処理の性質および目的

  • コントローラーから提供された入力データに基づくQRコードの生成
  • QRコードスキャンのトラッキングおよびアナリティクスデータの収集
  • QRコード設定および関連メタデータの保存
  • AI生成アートQRコードリクエストの処理
  • レポートおよびアナリティクスダッシュボードの提供

3.3 処理される個人データの種類

処理される個人データの種類には以下が含まれる場合があります:

  • QRコードにエンコードされた連絡先情報(氏名、メールアドレス、電話番号)
  • URLおよびウェブアドレス
  • QRコードスキャンからの位置情報
  • QRコードスキャンからのデバイス情報およびIPアドレス
  • AI QRコード生成用に提供されたテキストプロンプトおよび画像
  • コントローラーがQRコードにエンコードすることを選択したその他のデータ

3.4 データ主体のカテゴリ

  • コントローラーが作成したQRコードをスキャンするエンドユーザー
  • QRコードに連絡先情報がエンコードされている個人
  • QRコードとやり取りするコントローラーの製品またはサービスのユーザー

4. プロセッサーの義務

4.1 処理指示

当社は、EUまたは加盟国の法律により当社が従うことが義務付けられている場合を除き、お客様の文書化された指示に従ってのみ個人データを処理します。そのような場合、当社は処理前にその法的義務についてお客様に通知します。ただし、公共の利益に関する重要な理由によりそのような情報提供が法律で禁止されている場合はこの限りではありません。

4.2 機密保持

当社は、個人データの処理を許可された者が機密保持にコミットしていること、または適切な法的義務に基づいて機密保持義務を負っていることを確保します。

4.3 セキュリティ対策

当社は、リスクに見合うレベルのセキュリティを確保するために、以下の技術的および組織的措置を実施します:

  • 転送中(TLS/HTTPS)および保存中の個人データの暗号化
  • 内部システムへのアクセス制御およびロールベース認証
  • 定期的なセキュリティ評価および脆弱性スキャン
  • ISO 27001認証取得プロバイダーによるインフラストラクチャのホスティング
  • DDoS保護およびWebアプリケーションファイアウォール(Cloudflare)
  • 暗号化ストレージによる定期的なバックアップ
  • 個人データへのアクセスのログ記録および監視

4.4 サブプロセッサー

当社はサブプロセッサーページに記載されているサブプロセッサーを使用します。サブプロセッサーの変更を予定する場合は、そのページを更新することでお客様に通知します。お客様は、更新後30日以内に[email protected]までご連絡いただくことで、新しいサブプロセッサーに異議を申し立てることができます。お客様が異議を申し立てられ、当社が合理的にその異議に対応できない場合は、いずれの当事者も該当するサービスの一部を終了することができます。

当社は、すべてのサブプロセッサーと、本DPAに記載されたものと同等以上に保護的なデータ保護義務を課す書面による契約を締結します。

4.5 データ主体の権利

当社は、適用されるデータ保護法に基づきデータ主体が行使する権利(アクセス、修正、消去、制限、ポータビリティ、異議申し立て)に関するリクエストに対応する際、お客様を支援します。当社がデータ主体から直接リクエストを受け取った場合は、別途指示がない限り、速やかに当該データ主体をお客様に誘導します。

4.6 コンプライアンス支援

当社は、処理の性質および当社が保有する情報に基づき、お客様がGDPR第32条から第36条までの義務を遵守できるよう支援します。

5. データ違反の通知

5.1 通知期限

当社は、データ違反を認識した後、不当に遅滞することなく、いかなる場合でも72時間以内にお客様に通知します。通知は、お客様のアカウントに関連付けられたメールアドレス宛てに送信されます。

5.2 通知内容

通知には、入手可能な範囲で以下の情報が含まれます:

  • データ違反の性質の説明(影響を受けるデータ主体および記録のカテゴリと概算数を含む)
  • 当社のデータ保護担当者の氏名および連絡先情報
  • データ違反の可能性のある結果の説明
  • データ違反に対処するために講じたまたは提案した措置の説明(その悪影響を軽減するための措置を含む)

5.3 継続的な協力

当社は、お客様と協力し、データ違反の調査、軽減および是正、ならびにお客様が監督当局またはデータ主体に対して行う必要がある通知に関して、合理的な支援を提供します。

6. 国際的なデータ移転

6.1 データの保管場所

個人データは主に欧州連合内で保管および処理されます:

  • フランス(EU):Scaleway経由
  • オランダ(EU):DigitalOcean経由

6.2 EU/EEA外への移転

当社の一部のサブプロセッサーはEU/EEA外、主に米国に所在しています。これらの移転については、以下を根拠としています:

  • EU-USデータプライバシーフレームワーク:適用可能な場合、フレームワークに基づき認証を受けた米国ベースのプロバイダーへの移転。
  • 標準契約条項(SCCs):データプライバシーフレームワークが適用されないEU/EEA外に所在するサブプロセッサーとの契約に、欧州委員会承認のSCCs(欧州委員会実施決定(EU)2021/914)を組み込んでいます。

6.3 移転影響評価

当社は第三国への移転について移転影響評価を実施し、適切なレベルのデータ保護を確保するために必要な補足措置を講じます。

7. 監査および検査

7.1 監査権

お客様は、本DPAの遵守状況を監査する権利を有します。当社は、お客様が監査(検査を含む)を実施できるようにするために必要なすべての情報を提供し、お客様またはお客様が指定する監査人に監査を許可し、これに協力します。

7.2 監査プロセス

監査は以下の条件に従います:

  • 監査の少なくとも30日前までに書面による通知を行うこと。
  • 監督当局の要求がある場合またはデータ違反が発生した場合を除き、監査は年1回を超えて実施しないこと。
  • 監査は通常の営業時間内に行い、当社の業務を不当に妨げないこと。
  • 監査費用はお客様が負担すること。ただし、監査により本DPAの重大な違反が明らかになった場合はこの限りではありません。
  • 監査中に他のお客様の機密情報が漏洩しないこと。

8. データの保持および削除

8.1 契約期間中

当社は、サービスを提供するために必要な期間、契約期間中に個人データを保持します。

8.2 契約終了時

契約が終了した場合またはお客様から書面による要請があった場合:

  • 当社は30日以内にアクティブシステムから個人データを削除します。
  • バックアップアーカイブ内の個人データは6か月以内に完全に削除されます。
  • 適用される法律(例:税務、会計上の義務)により個人データの保持が求められる場合、当社はそのデータを隔離および保護し、法律で求められる範囲に限定してさらなる処理を行います。

8.3 証明書

お客様のご要請により、当社は本項に従って個人データが削除されたことを書面で確認いたします。

9. 責任

本DPAに基づく各当事者の責任は、契約に記載された責任制限に従います。本DPAのいかなる規定も、適用されるデータ保護法に基づくデータ主体または監督当局に対するいずれかの当事者の責任を制限するものではありません。

10. 準拠法

本DPAはフランス法に準拠します。EU在住のデータ主体についてはGDPRが適用され、英国在住のデータ主体についてはUK GDPRが適用されます。本DPAから生じる紛争は、契約の紛争解決規定に従って解決されます。

11. 本DPAの締結方法

本DPAは利用規約に組み込まれ、その一部を構成します。QR Code AIサービスをご利用になることにより、お客様は本DPAに同意されたものとみなされます。

記録用に個別に署名された本DPAのコピーが必要な場合は、[email protected]までご連絡ください。10営業日以内に提供いたします。

12. お問い合わせ先

本DPAまたは当社のデータ処理慣行に関するご質問は、以下までお問い合わせください:

Supernovae 27 Rue Wurtz Juvisy-sur-Orge, Ile-de-France 91260 フランス [email protected]

QR Code AIでQRコード作成を始めましょう

QR Code AIでは、AI搭載デザイン、ブランドカラー、リアルタイムスキャン解析機能を備えたカスタムQRコードを生成できます。1,200以上のテンプレートから選択し、PNG、SVG、PDF形式でダウンロード。109のロケールでスキャンを追跡できます。

無料でQRコードを作成