データ処理契約 (DPA)
最終更新日: 2026-07-01
サブプロセッサーページの最終更新日: 2025-12-03
このデータ処理契約(DPA)は、当社があなたに代わって個人データを処理する条件を概説するものです。
このデータ処理契約(契約)は、オンライン請願ホスティングサービス(サービス)を提供する際に、Petitions.com Group Oy(サービス提供者)が請願作成者(請願作成者またはデータ管理者)に代わって個人データを処理する義務と条件を概説しています。
契約条件の変更
弊社は、事前の通知なしに、いつでもこれらの利用規約を変更または修正する権利を有します。
定義と役割
- サービス提供者: Petitions.com (Petitions.com Group Oy) は、データ処理者として、データ管理者のためにサービスを提供するために必要な個人データを処理します。
- データ管理者: 請願書の著者であり、請願書の署名者から収集された個人データの処理の目的と手段を決定する者。 Petitions.comでホストされている嘆願書の作者として、あなたはデータ管理者と見なされます。 あなたは請願書の内容、署名者に求められる内容、個人データ処理の目的、および個人データの保存期間を決定します。 Petitions.comは、署名運動の作成およびホスティングのためのオンラインプラットフォームを提供し、あなたがデータ管理者としての役割を果たしながら、目的や法的義務に従って署名運動のデータ収集および利用を形作るための自主性を促進します。
処理の範囲
The Service Provider will process personal data solely based on the Data Controller's instructions and only as necessary to provide the Services, unless required to do so by Union or Member State law to which the Service Provider is subject. In such a case, the Service Provider will inform the Data Controller of that legal requirement before processing, unless that law prohibits it on important grounds of public interest. 処理活動の範囲は、オンライン署名のホスティング、管理、促進に限られています。
As a Data Processor, the Service Provider does not erase signature data on its own initiative. Every erasure of signature data is carried out on the documented instructions of the Data Controller — whether given specifically or in advance through this Agreement.
The Data Controller's acceptance of this Agreement constitutes the Data Controller's documented instructions to the Service Provider, including the procedures for handling signatory erasure requests described below and any self-service tools the Service Provider makes available to signatories on the Data Controller's behalf.
データ保護
サービスプロバイダーは、個人データを不正アクセス、紛失、または損害から保護するために、技術的および組織的な対策を実施することを約束します。
禁止されたデータ収集
署名者から個人識別番号(国民ID番号など)を求めることは禁止されています。
転送先処理者
サービス提供者は、サービスの提供を支援するためにサブプロセッサーを従事させることができます。 サービスプロバイダーは、サブプロセッサーが本DPAと一致するデータ保護義務を遵守することを確実にします。 お客様は、サービスプロバイダーがサービスを効率的に提供するために必要に応じてサブプロセッサーを選定し、交替させる裁量を保持していることを認め、同意します。
サブプロセッサの一覧。 (最終更新日: 2025-12-03)
データコントローラーの責任
データ管理者は、個人データの収集、処理、および取り扱いがすべての適用される法律および規制に準拠することを保証する責任があります。
データ管理者の識別
一般データ保護規則(GDPR)に基づき、データ管理者の身元を明確にすることが求められます。 当ウェブサイトを利用する請願書作成者に対して、以下の条項が適用されます:
個別の請願作成者
個人として請願を作成する場合は、法的なフルネームを提供する必要があります。 これは、GDPRの目的のためのデータ管理者としてのあなたの身分証明となります。
組織的な請願書作成者
請願が組織の代理で作成される場合、組織の正式な法的名称を提供する必要があります。 さらに、組織はデータ処理活動に責任を持つ代表者、例えばデータ保護責任者(DPO)またはそれに準ずる者を指名し、その連絡先を提供する必要があります。
データ主体の権利
データコントローラは、GDPRに基づいて、データ主体(請願署名者)が、そのデータへのアクセス権、訂正権、または消去権、および監督機関に苦情を申し立てる権利を行使できるようにしなければなりません。
署名者からのデータ主体消去請求への対応
The roles differ depending on the data in question. For personal data collected through petition signatures, the Service Provider acts as the Data Processor and the Petition Author acts as the Data Controller. For the Service Provider's own operational data — such as account information, technical logs, and contact-form messages — the Service Provider acts as an independent Data Controller.
Because the Service Provider acts only on the Data Controller's documented instructions, the procedure below constitutes the Data Controller's standing instruction for handling such requests, authorising the Service Provider to act without seeking separate approval for each request.
When a signatory asks the Service Provider to erase personal data connected to a signature, the Service Provider will, without undue delay, hide the signature from public view and make information about the erasure available to the Petition Author within the Services (for example, on a data-protection overview page and through an in-account indicator). The Service Provider is not required to send a separate email for each erasure. The Petition Author is given 14 days to review the request and to erase any copies of the signatory's personal data that they have downloaded, exported, printed, or otherwise stored outside the Services. The Petition Author may object to the erasure only where there is a lawful ground to continue processing the data (for example, the establishment, exercise, or defence of legal claims); a mere preference to retain the signature is not a valid ground. Any such objection must be made by contacting the Service Provider within that period, stating the lawful ground; the Service Provider does not provide an automatic means for the Petition Author to reverse an erasure. If the Petition Author does not object on such grounds within that period, the Service Provider will permanently delete the signature data from the active database. The Service Provider aims to complete the process within the one-month period required by the GDPR.
The Service Provider may also make available a self-service tool — such as a removal link in signature confirmation messages or on the petition page — allowing signatories to remove their own signature directly. Where such a tool is used, the Service Provider acts on the Data Controller's behalf under the documented instructions set out in this Agreement.
Personal data may persist in routine backups for a limited period after deletion from the active database. Such backups are not used for day-to-day processing and are overwritten on a rolling cycle, after which the data is permanently removed.
技術ログには、IPアドレスやメール配信メタデータなどの個人データが含まれる場合があります。 These logs are deleted within 30 days. Contact-form messages may be retained for up to 5 years for audit, security, and dispute-resolution purposes.
The Service Provider keeps a minimal record that an erasure was carried out (without retaining the erased personal data) in order to demonstrate compliance.
Handling Rectification Requests from Signatories
The right to rectification is handled on the same basis as erasure: as a Data Processor, the Service Provider does not alter signature data on its own initiative, but only on the Data Controller's documented instructions, including any self-service tool the Service Provider makes available to signatories on the Data Controller's behalf for correcting their own data.
Once a correction is made, the live signature list maintained within the Services reflects the corrected value. In accordance with the obligation to use up-to-date signature data, the Data Controller must rely only on a freshly retrieved copy and update or discard any outdated copies accordingly; the Service Provider is not required to disclose the previous (incorrect) value to the Data Controller.
The Service Provider may keep an internal record of the change (for example, the previous and new values, and the time of the change) for fraud prevention, security, and dispute-resolution purposes. This record is not made available to the Data Controller by default and is retained only for as long as necessary for those purposes.
Notifying Recipients
Where the Data Controller has disclosed signature data to any recipient (such as a decision-maker or other third party), the Data Controller is responsible, under Article 19 of the GDPR, for communicating any subsequent erasure or rectification of that data to each such recipient, unless this proves impossible or involves a disproportionate effort. The Service Provider's removal or correction of data within the Services does not discharge this obligation in respect of copies the Data Controller has shared outside the Services.
説明責任とコンプライアンス
データ管理者はGDPRへの準拠を示すことができ、個人データに関するデータ主体の要求に対応する必要があります。
プライバシーポリシーまたは通知
個人データの処理方法、処理の目的、データ主体が権利を行使する方法を明示した明確で分かりやすいプライバシーポリシーまたは通知を提供する必要があります。
変更の通知
請願の著者は、データ管理者としてのステータスの変更やその代表者の連絡先の変更について、Petitions.com(Petitions.com Group Oy) に通知する必要があります。
データ処理の年次レビュー
請願の作成者は、署名者の個人データの処理を継続する正当な理由がまだ存在するかどうかを確認するために、毎年レビューを行う必要があります。 このレビューは、請願の目的に関連してデータの必要性と関連性を評価する必要があります。 もし請願書の著者がデータ処理を継続する妥当な理由がもはや存在しないと判断した場合、彼らは適用されるデータ保護法に従って処理を停止し、データの削除を開始するための適切な手続きを取らなければなりません。
Use of Up-to-Date Signature Data
Before the Data Controller discloses signature data to any third party (such as a decision-maker or other recipient of the petition), or otherwise processes the data outside the Services — including contacting signatories by email — the Data Controller must retrieve a fresh copy of the signature list from the Services and use only that current version. Signatories may exercise their right to erasure at any time, and only the live list maintained within the Services reflects such erasures. The Data Controller must not rely on previously downloaded, exported, or printed copies for these purposes, and must securely discard outdated copies.
データ保持および削除
データ管理者(請願の著者)がデータ処理契約(DPA)のいずれかの条件に違反した場合、例えば、データ処理活動の年次レビューを実施しなかったり、署名者の個人データの継続的な処理に対する有効な正当化を提供しなかったりした場合、サービス提供者はその請願に関連する個人データを削除または除去する権利を有します。
責任の制限
いかなる場合でも、本契約に基づきデータコントローラーがデータプロセッサーに支払った総額を超えて、契約、不法行為(過失を含む)その他の原因にかかわらず、データプロセッサーがデータコントローラーに対して負う総責任が超えることはありません。
適用法
本契約は、フィンランドの法律に準拠するものとします。