データ処理契約

翻訳版

下記はExit Games社の条件を日本語訳したものを参考までに記述してあります。
法的拘束力のある 英語バージョン は下部をご覧ください。

Exhibit Cデータ処理契約

111 SW 5th Ave. STE 3150, Portland OR 97204, USAを主たる事業所とするデラウェア州法人であるExit Games Inc.(以下、「Exit Games」という。)と、この条項に同意する相手(以下、「お客さま」という。)は、Exit Gamesが提供するネットワークエンジンおよびマルチプレイヤープラットフォーム(以下、総称して「サービス」という。)の提供に関して、主契約であるExit Gamesの利用規約(https://dashboard.photonengine.com/en-US/Account/LicenseTerms)、またはその他の書面または電子的な契約を締結しています(以下、「主契約」という。)。付属書を含む本データ処理契約(以下、「DPA」という。)は、主契約の一部を構成します。
本DPAでは、Exit Games およびお客さまのそれぞれを「当事者」と称し、双方を併せて「両当事者」と呼ぶことがあります。
本DPAは、お客さまがクリックして承諾した日、または両当事者が別の方法で本DPAに同意した日から有効となり、その主題に関連して従前から適用された条件(本サービスに関連するデータ処理に関する合意書または覚書を含む)に代わるものとします。
本 DPA にお客さまの代理人が同意される場合、代理人は以下を保証するものとします。(a) お客さまを本DPAに拘束する完全な法的権限を有していること、(b) 本DPAを読み理解していること、(c) お客さまの代わりに本DPAに同意すること。お客さまを拘束する法的権限をお持ちでない場合は、本DPAに同意しないでください。

前文
(A) 本サービスに関連して、両当事者は、EUデータ保護法及び英国のデータ保護法の下でお客さままたはお客さまグループのメンバーがデータ管理者となる可能性のある個人データを、Exit GamesがEEA域外で処理することを想定しています。
(B)両当事者は、EUデータ保護法、英国のデータ保護法およびその他の適用されるデータ保護法で要求される個人データの保護に関して、適用される限りにおいて適切な保護措置が講じられることを保証するために、本DPAを締結することに合意しました。


1.定義

1.1 本DPAでは、以下の定義を使用し、同義語もそれに応じて解釈されるものとします。
(a) 「十分性認定国」とは、(i) 情報コミッショナー事務所および/または適用される英国の法律(英国のGDPRを含む)、または (ii) EU GDPRに基づく欧州委員会によって随時行われる十分性認定に基づいて、個人データの適切なレベルの保護を提供すると認められる国または地域を意味します。
(b)「関連会社」とは、当事者に関して、直接、間接を問わずに当該当事者を支配するか当該当事者に支配される法人、または当該当事者と共通の支配下にある法人をいいます (ただし、当該支配関係が存在する場合に限る)。
(c) 「お客さまグループ」とは、お客さまおよび/または直接、間接を問わずにお客さまを支配するかお客さまに支配される事業体、または当該当事者と共通の支配下にある事業体をいいます。「支配」とは、当該事業体の取締役の過半数を任命又は解任する権限(直接又は間接に)を意味し、関連会社も含まれます。
(d) 「データ保護法」とは、以下の(i)または(ii)を意味します。(i)主契約に基づく個人データの処理に適用される欧州連合、欧州経済領域、その加盟国のすべての法律および規制をいい、(該当する場合)GDPR(個人データの処理およびその自由な移動に関する自然人の保護に関する2016年4月27日付けの欧州議会および欧州理事会の規則(EU)2016/679)を含む(ii) 主契約に基づく個人データの処理に適用される英国のすべての法律および規制をいい、データ保護、プライバシー及び電子通信(改正等)(EU離脱)規則2019及びデータ保護、プライバシー及び電子通信(改正等)(EU離脱)規則2020並びにデータ保護法2018により実施される英国一般データ保護規則2016/679(「英国GDPR」)を含む
(e) 「データ主体の要求」とは、データ保護法に基づく個人データに関する権利を行使するための、データ主体からの、またはデータ主体を代理した要求を意味します。
(f)「EEA」とは、欧州経済領域(European Economic Area)を意味します。
(g) "EU標準契約条項" とは、2021年6月4日の欧州委員会決定2021/914(http://data.europa.eu/eli/dec_impl/2021/914/oj)に示された、第三国への個人データの国際移転に関する標準契約条項であり、管理者から処理者への移転に関するモジュール2を組み込んだもので、別表2に従って本DPAの一部を構成します。
(h)「Exit Gamesグループ」とは、Exit Gamesおよびその関連会社をいいます。
(i) 「個人データ」とは、本 DPA に基づいてお客さまのために Exit Games が処理するお客さまの個人データまたは個人情報であり、データ保護法に定義されるとおりです。本DPAの第2.1条に従い、これにはお客さまのグループ会社の個人データが含まれる場合があります。
(j)「制限付き移転」とは、(i) お客さまのグループ会社から Exit Games への個人データの移転、または (ii) Exit Games から Exit Games の副処理者への個人データの転送(いずれの場合も、個人データを受け取る当事者が EEA 外で、かかる移転が EU GDPR または英国 GDPR で禁止される場合)を意味します。
(k) 「セキュリティ侵害」とは、Exit Games の従業員または副処理者、あるいはその他の特定または未特定の第三者による偶発的または違法な破壊、損失、改ざん、不正な開示、または個人データへのアクセスにつながるセキュリティまたはその他のアクションまたは不作為の違反を意味します。
(l)「監督機関 」とは、英国においては、情報コミッショナー事務所("ICO")(および場合によっては国務長官または政府)、EUにおいては、GDPRに従って設立された独立した公的機関を意味します。 
(m)「英国」とは、イギリスを意味します。 
(n)「英国承認済補足契約」とは、英国情報コミッショナー庁が発行し、2022年2月2日に英国のデータ保護法2018のs119Aに従って議会に提出され、2022年3月21日から効力を有するテンプレートの補足契約 B.1.0 を意味します;及び
(o)「英国必須条項」とは、英国承認済補足契約の必須条項で、随時更新されるもの、および/または情報コミッショナー事務局が公表する最終版に置き換わるものを意味します。

1.2事業体が他の事業体を「支配する」とは、次の場合をいいます。 (a) 当該事業体の議決権の過半数を保有していること、 (b) 当該事業体の構成員又は株主であり、かつ、当該事業体の取締役会又はそれに相当する管理機関の過半数を解任する権利を有していること、 (c) 当該事業体の構成員又は株主であって、単独で又は他の株主若しくは構成員との合意に基づき、当該事業体における議決権の過半数を支配していること、 (d) 当該事業体に対して定款又は契約に基づき支配的な影響力を行使する権利を有していること。2つの事業体が、他方の事業体を(直接又は間接に)支配しているか、または両方が同じ事業体によって(直接又は間接的に)支配されている場合、2つの事業体は「共通支配」されているものとして扱われます。

1.3「管理者」「データ主体」「処理者」及び「副処理者」という用語は、データ保護法においてそれぞれに付与された意味を有します。

1.4本DPAで定義されていない定義語は主契約において定義されているとおりです。


2. 役割とデータ保護法への対応

2.1.お客さまは、個人データの管理者であり、Exit Gamesは個人データの処理者です。各当事者は、個人データの処理において当該当事者に適用されるデータ保護法を遵守する(およびその職員に遵守させ、その副処理者に遵守させるために商業上合理的な努力をする)ものとします。両当事者間において、お客さまは、個人データの正確性、品質、適法性、および個人データを取得した手段に関して、単独で責任を負うものとします。

2.2.誤解を避けるため、お客さま以外のお客さまのグループ会社は、主契約の当事者ではなく、また当事者にはならず、下記に従い、本DPAの当事者のみとなります。

2.3本DPAは、引き続き完全な効力を有する主契約に基づく両当事者の権利および義務を損なうものではありません。本DPAの条件と主契約の条件との間に矛盾が生じた場合、個人データの処理が主題である限り、本DPAの条件が優先するものとします。


3.処理の内容

3.1データ処理の主題、性質及び目的、期間、個人データの種類並びにデータ主体の種類は、別表2の付属書Iに記載されているとおりです。

3.2 処理者として、Exit Gamesは、個人データを (i) 主契約で合意したサービスをお客さまに提供するために、または (ii) 書面または電子メールでのお客さまの指示による処理のためにのみ処理します。Exit Gamesは、お客さまの指示による以外の個人データの処理が、適用される法令の下で必要な場合はお客さまに通知します (適用される法令で禁止されている場合を除く)。お客さまの指示が、適用されるデータ保護法を侵害するとExit Gamesの判断において認識した場合、合理的に実行可能な限りすぐに、お客さまに通知します。主契約が終了し、お客さまの書面による要請があった場合、個人データのコピーを保存し続けることが法律で義務付けられている場合を除き、個人データを返却または削除するものとします。


4. 技術的・組織的安全管理措置

4.1 Exit Games は、主契約に基づき Exit Games のサービスを使用しているお客さまのために Exit Games が保持しアクセスする個人データの機密性、可用性、完全性を保護するために、商業的に合理的かつ適切な技術的、物理的、組織的な安全管理措置を実施し維持する責任を負います。  Exit Gamesが所有、保管、管理している間の当該個人データを保護するためのExit Gamesの安全管理措置は、必要に応じて、本DPAの別表2の付属書IIに記載されている対策を含むものとします。  Exit Gamesは、その裁量でこれらの措置を修正または更新することができますが、その修正または更新は、当該個人データの保護の低下をもたらさないことを条件とします。

4.2.Exit Gamesは、認証された職員のみが個人データへアクセスすること、また個人データへのアクセスを許可された職員に機密保持の義務があることを保証するため、合理的な手順を実行します。

4.3.お客さまは、個人データがインターネットまたはその他の第三者のネットワーク上で転送されている間を含め、当該データがお客さまの所有、保管または管理下にある間において、個人データの安全性に責任を負います。  安全対策義務を果たすため、お客さまは、以下の目的に必要な物理的、管理的、技術的な安全措置をすべて採用することに同意します。 (i) お客さまとその認証された担当者のすべてのアクセス資格を保護する。 (ii) お客さまが直接または第三者のサービスを使用して運営するかどうかにかかわらず、コンピュータ、ソフトウェア、データベース、電子システム(データベース管理システムなどを含む)、ネットワークなどのお客さまの情報技術インフラ(以下、「お客さま
システム」という。)を保護する。(iii) 直接的にもしくは間接的に、お客さまシステムを通じて、または認証された担当者のアクセス権限によってなされるサービスへの不正アクセス及び不正使用から保護する。 (iv)個人データが処理のためにExit Gamesに転送中(アップロードまたは他の方法でExit Gamesに提供されている間を含む)、すべての個人データの機密性、整合性、および可用性を保護する。

4.4お客さまは、Exit Gamesの安全管理措置が、お客さまの要件と適用される法律や規制の下でデータ保護の義務を満たすかどうか独立した判断を下すために単独で責任があります。  お客さまは、最新技術、実装のコスト、および個人データの処理の性質、範囲、コンテキスト、目的、個人へのリスクを考慮し、Exit Gamesによって実施され、維持される安全対策とセキュリティポリシーは、個人データに関するリスクに適切なレベルのセキュリティを提供することを認め、同意するものとします。


5.副処理者と監査

5.1.お客さまは、この章において、Exit Gamesが副処理者を任命する (及び、各副処理者が追加の副処理者を任命する許可)ことを承認します。  お客さまはここに、https://download.photonengine.com/subprocessors に記載されている副処理者(以下、「副処理者リスト」という。)を従事させることを処理者に許可し指示するものとします。 副処理者リストは随時更新され、現在の各副処理者の名前と所在地、および引き受けた処理の簡単な説明を含むものとします。お客さまは、Exit Gamesが追加の副処理者を任命する可能性があることを認識し、同意します。  お客さまは、新しい、または変更された副処理者に合理的な異議がある場合は、通知から 15 日以内に書面でその異議をExit Gamesに通知するものとし、両当事者は誠実に問題を解決するために努めるものとします。お客さまが副処理者の安全性とプライバシー保護に合理的に満足しない場合、その唯一の救済としていずれかの当事者は、上述の15日以内に、主契約を解約することができます。

5.2.Exit Games は、各副処理者との間で、本 DPA で Exit Games に課される条件(以下、「関連条件」という。)に劣らない個人データの保護条件を課す書面による契約を締結するものとします。Exit Games は、データ保護法またはその他の適用法で要求されない限り、第 13.3 項に規定される関連条項の副処理者による違反について、お客さまに対して責任を負うものとします。

5.3.お客さまの要求がある場合、主契約に定める守秘義務に従い、Exit Gamesは、本DPAに定められた義務の遵守に関する情報をお客さまに速やかに提供するものとします。この情報には、お客さまが要求する以下の一項目または複数の項目が含まれます:(i)情報セキュリティ関連の合理的なアンケートへの回答、(ii)第三者認証および遵守監査の関連する要旨のコピー(可能な限り)、(iii)データ保護および安全性に関するExit Gamesの運用方法の要旨。前述の方法に従って提供された情報が不十分であるとお客さまが判断した場合、お客さまは、Exit Gamesに連絡し、お客さまの個人データの保護の運用手順に関して、Exit Gamesの指定する施設における監査をスケジュールすることができます。お客さまは、お客さまの要求に応じて提供されるその時点のExit Gamesのプロフェッショナルサービス料金で、監査に費やされた時間の料金をExit Gamesに払い戻すものとします。監査の開始前に、お客さまとExit Gamesは監査の範囲、時期、および期間について相互に合意するものとします。お客さまは、監査の過程で発見されたコンプライアンス違反に関する情報を速やかに Exit Games に通知するものとします。なお、ここで言及されている監査は、Exit Gamesの副処理者の監査には適用されません。このような監査は、必要とされる範囲でデータ保護法の適用を受けます。


6.セキュリティ侵害、データ主体の要求とさらなる支援

6.1Exit Gamesは、セキュリティ侵害を認識した後 48 時間以内に、遅滞なくお客さまにセキュリティ侵害を通知します。

6.2法的に許される範囲内で、Exit Gamesはデータ主体からの要求を受け取った場合、速やかにお客さまに通知します。Exit Gamesは、お客さまが、Exit Gamesが自らの裁量でその要求がお客さまに関連していることを確認するために応答することができることに同意することを条件として、データ主体からの要求に応答しません。お客さまは、本サービスが、Exit Games からの追加支援なしに、お客さまが本サービスを通じて直接データ主体からの要求を管理できる機能を含む場合があることを認識し、同意するものとします。お客様がデータ主体からの要求に対応する能力を持たない場合、Exit Gamesは、お客さまの書面による要求に応じて、データ主体からの要求に対するお客さまの対応を促進するために、かかる支援がデータ保護法と一致する範囲において、合理的な支援を提供するものとします。

6.3処理の性質およびExit Gamesが利用可能な情報を考慮し、Exit Gamesは、(i) データ保護影響評価、(ii) データ保護法に基づく監督機関への通知および/またはセキュリティ侵害に対応したお客さまによるデータ主体への連絡、または (iii) EU GDPRまたは英国GDPR(該当する場合)に基づくデータ処理の安全性に関するお客さまの義務遵守に関し、お客さまが合理的に要求する支援を提供するものとします。

6.4Exit Games は、Exit Games が個人データの処理に関連してデータ保護法の下で処理者の義務を遵守していることを実証する目的で、お客さまが合理的に要求することができるような、Exit Games の所有または管理下の情報をお客さまが利用できるようにするものとします。


7.国際移転

7.1お客さまは、本サービスの使用は、 Exit Games の拠点国および十分性認定をされていない EEA 外の国を含むさまざまな国への個人データの転送、およびそれらの国での個人データの処理を伴うものであることに同意します。

7.2英国における転送
7.2.1個人データがExit Gamesに転送され、英国外(十分性認定国の場合を除く)でExit GamesによってまたはExit Gamesの代理で処理される範囲において、転送メカニズムがないことで英国GDPRによってそのような転送が禁止される状況の場合、両当事者は、英国承認済補足契約の対象となるEU条項が適用されることに同意します。英国承認済補足条約は、本DPAに組み込まれます。
7.2.2別表1は、英国承認済補足条約の表1~表4で要求される情報を示しています。

7.3 EUにおける転送
7.3.1個人データがExit Gamesに転送され、EEA外(十分性認定国の場合を除く)でExit GamesによってまたはExit Gamesの代理で処理される範囲において、転送メカニズムがないことでEU GDPRによってその転送が禁止される状況の場合、両当事者は、EU条項がその処理に関して適用され、別表2に従って本DPAに組み込まれることに同意します。
7.3.2別表2の付属書には、EU条項が要求する情報が記載されています。

7.4 EU条項または英国承認済補足条約と本DPAとの間に矛盾がある場合、第7.2項または第7.3項に従ってEU条項または英国承認済補足条約が適用されるときは、EU条項、または場合により英国承認済補足条約が優先されるものとします。

7.5お客さまがExit Gamesに対して EU 条項または英国承認済補足条約から任意の権利を主張する限り、Exit Gamesはそれによって発生したサービスのための合理的な手数料を請求できます。

7.6 Exit Gamesは、(i) EEAおよび/または英国(必要に応じて)に関して 、EU条項および/または英国承認済補足条約を、データ保護法に準拠した代替または置き換えられる転送のメカニズム(随時承認される追加または代替の標準契約条項を含む)に変更することがあります。  (ii) 新しい転送のメカニズムまたは新しい標準契約条項の内容(その内容が関連する決定または承認に準拠している場合)が適用される場合、お客さまに通知のうえ、本 DPA に対し合理的に必要な変更を行うことができます。


8. CCPA

8.1.本DPAの第8条に定める条件は、(i)Exit Gamesがお客さまのためにカリフォルニア州の消費者の個人情報を処理し、(ii)当該処理の時点で、2020年カリフォルニアプライバシー権法による改正後のカリフォルニア消費者プライバシー法(以下、「CCPA」という。)がお客さまに適用される場合にのみ適用されるものとします。

8.2.ただし、当事者および契約に関する言及(「お客さま」および「主契約」など)については、主契約または本DPAにおいて別途定義されるものとし、本項における定義語(太字の語)は、CCPAおよびCCPAの規則に基づき与えられた意味を有するものとします。  

8.3. CCPAがお客様に適用され、Exit Gamesがお客様に代わって個人情報を処理する場合、当該個人情報の処理に関して、お客様は事業者、Exit Gamesはサービスプロバイダとなります。 

8.4.	両当事者は、CCPA および CCPA 規則の下でそれぞれの義務を遵守することに同意します。  Exit Gamesは、CCPA および CCPA 規則のすべての適用セクションの下でその義務を遵守し、CCPA および CCPA 規則の下でお客さまに要求されるものと同じレベルのプライバシー保護を、主契約を結んでいるお客さまに応じて収集する個人情報に関して提供します。 (例:,CCPA に基づいて行われる消費者の要求への対応及びそれに従うこと、カリフォルニア州民法第 1798.81.5 条に基づき、個人情報を不正又は違法なアクセス、破壊、使用、修正又は開示から保護するために個人情報の性質に適した合理的なセキュリティ手順及び実務を実施すること。)

8.5.	Exit Games が主契約に基づき個人情報を処理する限定された特定の事業目的は、以下を含みます。  (i) 個人情報の使用がこれらの目的のために合理的に必要かつ適切である範囲において、安全性および完全性の確保を支援すること、(ii) 既存の意図した機能を損なうエラーを特定し修復するためのデバッグ、(iii) アカウントの維持またはサービス、顧客サービスの提供、ストレージの提供、またはお客さまに代わって同様のサービスを提供するなど、お客さまに代わって本サービスおよび関連サポートサービスを行うこと、 (iv) 技術開発およびデモンストレーションのために内部研究を行うこと、および (v) お客さまが管理するサービスの品質および安全性を検証または維持する活動を行うこと 。お客さまは、個人情報を限定された特定の目的 (すなわち、この規定に定める限定された特定の事業目的)のためのみExit Gamesに開示します。

8.6 Exit Gamesは、本DPAもしくは主契約に定められた事業目的以外の目的で個人情報を保持、使用、開示しません。上記の事業目的は以下を含みます。  (i) 個人情報の使用がこれらの目的のために合理的に必要かつ適切である範囲において、安全性および完全性の確保を支援すること、(ii) 既存の意図した機能を損なうエラーを特定し修復するためのデバッグ、(iii) アカウントの維持またはサービス、顧客サービスの提供、ストレージの提供、またはお客さまに代わって同様のサービスを提供するなど、お客さまに代わって本サービスおよび関連サポートサービスを行うこと、(iv) 技術開発およびデモンストレーションのために内部研究を行うこと、  (v) お客さまが管理するサービスの品質および安全性を検証または維持する活動を行うこと、 (vi) その他 CCPA および CCPA規則 で許可されるもの。本禁止事項は、本DPAおよび主契約で特定された事業目的又はその他CCPA及びCCPA規則で認められている営利目的のための個人情報の保持、使用又は開示にも適用されます。  

8.7. Exit Gamesは、CCPA と CCPA 規則によって明示的に許可されていない限り、主契約に従って収集した個人情報を保持、使用、またはお客さまとExit Games間の直接のビジネス関係の外に開示しません。

8.8. Exit Gamesは、主契約に従って収集した、又はお客さまもしくはお客さまの代理人から受領した個人情報を、別人もしくは別人の代理人、別の情報源、消費者とExit Gamesの独自のやりとりで受領した個人情報と組み合わせたり、更新したりすることはありません。(CCPAおよびCCPA規則で明示的に許可された事業目的を遂行するために個人情報を組み合わせる場合を除きます。)ただし、Exit Gamesは、お客さまもしくはお客さまの代理人から受領した個人情報の売却若しくは共有からオプトアウトしているお客さまの個人情報を、
別人もしくは別人の代理人、別の情報源から受領したり、消費者とExit Gamesの独自のやりとりで収集した個人情報と組み合わせたりすることはありません。

8.9. Exit Gamesは主契約に従って収集した個人情報を、売却もしくは共有(CCPA の下でそれらの用語が定義されているように)しません。

8.10. Exit Gamesは、Exit Gamesが主契約に従って収集した個人情報に関連して、CCPA に準拠して行われた消費者要求にお客さまが対応できるようにします。

8.11.お客さまは、Exit Gamesが主契約に従って収集した個人情報、またはお客さまがCCPA および CCPA 規則の下でお客さまに課せられた義務に合致する方法よってExit Gamesに転送した個人情報を使用することを保証するために本DPA の第 5.3 条に定めるプロセスを通じて、合理的かつ適切な措置を取ることができます。

8.12. Exit Games が CCPA および CCPA規則に基づく義務を果たせないと判断した場合、Exit Gamesはお客さまにその旨を通知します。 

8.13. Exit Games が CCPAに基づく義務を果たせなくなったという通知をお客さまが受け取った時、もしくは個人情報の不正使用を停止し、是正するための措置を講じることをお客さまがExit Gamesへ通知した時は、お客さまは個人情報の不正使用を停止し、是正するための合理的かつ適切な措置を講じる権利を有するものとします。

8.14両当事者は、適用される規制または自主規制ガイダンスを含むCCPAの修正、改正、または更新に対応するための追加または修正された契約条項を締結するために、誠意をもって協力するものとします。


9. VCDPA

9.1.本DPA第9条に定める条件は、(i) Exit Gamesがお客さまの代理でバージニア州消費者の個人データを処理し、(ii) 当該処理の時点でバージニア州消費者データ保護法(以下「VCDPA」という。)がお客さまに適用される場合にのみ適用されるものとします。 

9.2.本DPAにおいて別途定義される当事者および契約への言及(「お客さま」および「主契約」への言及等)を除き、本DPAの本条における定義語(太字の語)は、VCDPAに基づき与えられた意味を有するものとします。  

9.3. VCDPA がお客さまに適用され、Exit Games がお客さまの代理で個人データを処理する場合、顧客は管理者、Exit Games は当該個人データの処理に関する処理者とします。

9.4. 両当事者は、VDCPA、主契約、本DPAおよび両当事者が締結するその他の契約に基づく各自の義務を遵守することに同意します。  また、各当事者は、VDCPA、主契約、本DPA及び両当事者が締結するその他の契約に基づく他方当事者の権利を尊重することに同意します。  

9.5. Exit Gamesは、お客さまの処理指示を遵守することに同意します。 

9.6. Exit Gamesは、Exit Gamesがお客さまの代理で処理するバージニア州の消費者の個人データに関して、VDCPA の下でのお客さまの義務を満たすためにお客さまを支援することに同意します。このような支援には以下の内容が含まれます。(i)処理の性質とExit Gamesが利用可能な情報を考慮したうえで合理的に実行可能な限りにおいて、Exit Gamesの適切な技術的および組織的な措置を通じてお客さまが消費者権利要求に応える義務を満たすことを支援すること(ii) 個人データの処理のセキュリティおよびExit Gamesのセキュリティ システムの違反の通知に関連するお客さまの義務を満たすためにお客さまを支援すること(処理の性質とExit Gamesで利用可能な情報は考慮される)(iii)お客さまがExit Gamesによって処理されるバージニア州の消費者の個人データに関するデータ保護評価の実施と記録を実施するのに必要な情報を、本DPAの第5.3条に定められる方法によって提供すること

9.7. 処理される個人データの種類、当該処理の期間、当該処理の性質及び目的については、本DPAの別表2の付属書Ⅰに記載されています。  当該個人データの処理に関する指示は、主契約に規定されているとおりです。

9.8. Exit Gamesは、個人データを処理する各人がそのような個人データに関する機密保持の義務に従うことを保証します。 

9.9. お客様の合理的な要求に応じて、Exit Gamesは、Exit GamesがVCDPAで定められる義務を遵守していることを証明するのに必要な保有するすべての情報を、本DPAの第5.3条に定めるプロセスを通じてお客さまに提供します。

9.10. Exit Gamesは、個人データに関してExit GamesがVCDPAに従って負う義務と同等の義務を課す書面による契約に従って下請業者に再委託します。なお、そのような契約はVCDPAに基づく各当事者の責任を免除するものではありません。

9.11. Exit Games は、本DPA の第5.3条 に規定されたプロセスを通じて、お客さままたはお客さまの指定査定者による合理的な査定を許可し、協力するものとします。 

9.12. お客さまの指示により、Exit Games は、個人データの保持が法律によって要求されない限り、サービス提供の終了時に要求されたすべての個人データを削除または返却します。

9.13. 両当事者は、適用される規制上または自主規制上の指針を含むVCDPAの修正、改正または更新に対応するため、契約条項の追加または修正の締結に誠実に協力するものとします。


10. CPA

10.1本DPA第10条に定める条件は、(i) Exit Gamesがお客さまを代理してコロラド州消費者の個人データを処理する場合、および (ii) 当該処理の時点でコロラド州プライバシー法(以下、「CPA」という。)がお客さまに適用されている場合にのみ適用されるものとします。

10.2 本DPAにおいて別途定義される当事者及び契約への言及(例えば、「お客様」及び「主契約」への言及)を除き、DPAの本条における定義語(太字の語)は、CPA及びCPA規則において与えられた意味を有するものとします。

10.3 CPA がお客さまに適用され、Exit Games がお客さまの代理で個人データを処理する場合は、お客さまが管理者、Exit Games が当該個人データの処理に関する処理者とします。

10.4両当事者は、CPA、主契約、本DPA及び両当事者が締結するその他の契約に基づく各自の義務を遵守することに同意する。また、各当事者は、CPA、主契約、本DPA及び両当事者が締結するその他の契約に基づく他方当事者の権利を尊重することに同意する。

10.5処理される個人データの種類、当該処理の期間、及び当該処理の性質と目的を含む処理指示は、本DPAの別表2の付属書I及び主契約に記載されています。

10.6 Exit Gamesは、個人データを処理する各人がそのような個人データに関する機密保持の義務に従うことを保証します。

10.7お客さまがExit Gamesに異議を申し立てる機会を提供した後、Exit Gamesは、CPAに準じて個人データに関してExit Gamesが負う義務と同等の義務を課す契約に従って、下請業者に再委託します。

10.8要求に応じて、Exit Gamesは、Exit GamesがCPAで定められる義務を遵守していることを証明するのに必要なすべての情報を、本DPAの第5.3条に定めるプロセスを通じてお客さまに提供します。

10.9 Exit Games は、本DPA の第 5.3 項に規定されたプロセスを通じて、お客さままたはお客さまの指定した監査人による合理的な監査と検査を許可し、これに貢献します。

10.10お客さまの選択で、Exit Gamesは、個人データの保持が法律によって要求されない限り、主契約に記載されているサービス提供の終了時に、お客さまの要求に応じて、すべての個人データを削除または返却します。

10.11両当事者は、適用される規制上又は自主規制上の指針を含むCPAの修正、改正又は更新に対応するために、契約条項の追加又は修正の締結に誠実に協力するものとします。


11. CTDPA

11.1本DPA第11条に定める条件は、(i) Exit Gamesがお客様を代理してコネチカット州の消費者の個人データを処理し、(ii) 当該処理の時点でコネチカット州のデータプライバシー法(以下、「CTDPA」という。)がお客様に適用される場合にのみ適用されるものとします。

11.2 本DPAにおいて別途定義される当事者及び契約に関する言及(例えば、「お客さま」及び「主契約」に関する言及)を除き、本DPAの第11条における定義語(太字の語)は、CTDPAにおいて与えられた意味を有するものとします。

11.3 CTDPA がお客さまに適用され、Exit Games がお客様を代理して個人データを処理する場合、お客様は管理者、Exit Games は当該個人データの処理に関して処理者となります。

11.4両当事者は、CTDPA、主契約、本DPA及び両当事者が締結するその他の契約に基づく各自の義務を遵守することに同意するものとします。また、各当事者は、CTDPA、主契約、本DPA及び両当事者が締結するその他の契約に基づく他方の当事者の権利を尊重することに同意します。

11.5 Exit Gamesは、お客さまの処理指示を遵守することに同意します。

11.6 Exit Games は、Exit Games がお客さまを代理して処理するコネチカット州の消費者の個人データに関して、CTDPA の下でお客さまの義務を満たすためにお客さまを支援することに同意します。このような支援には、以下の内容が含まれます。(i)処理の性質とExit Gamesが利用可能な情報を考慮したうえで合理的に実行可能な限りにおいて、Exit Gamesの適切な技術的および組織的な措置を通じてお客さまが消費者権利要求に応える義務を満たすことを支援すること(ii) 個人データの処理のセキュリティおよびExit Gamesのセキュリティ システムの違反の通知に関連するお客さまの義務を満たすためにお客さまを支援すること(処理の性質とExit Gamesで利用可能な情報は考慮される)(iii)お客さまがExit Gamesによって処理される消費者の個人データに関するデータ保護評価の実施と記録を実施するのに必要な情報を、本DPAの第5.3条に定められる方法によって提供すること

11.7処理される個人データの種類、当該処理の期間、当該処理の性質及び目的については、本DPAの別表2の付属書Ⅰに記載されています。当該個人データの処理に関する指示は、主契約に規定されているとおりです。

11.8 Exit Gamesは、個人データを処理する各人が個人データに関する機密保持の義務に従うことを保証します。

11.9 Exit Gamesは、Exit GamesがCTDPAで定められる義務を遵守していることを証明するのに必要なすべての情報を、本DPAの第5.3条に定めるプロセスを通じてお客さまに提供します。

11.10お客さまがExit Gamesに異議を申し立てる機会を提供した後、Exit Gamesは、個人データに関してExit Gamesが負う義務と同等の義務を課す契約に従って、下請業者に再委託します。

11.11 Exit Games は、本DPA の第 5.3 項に定めるプロセスを通じて、お客さままたはお客さまの指定する査定者による合理的な査定を許可し、これに協力するものとします。

11.12お客さまの指示で、Exit Gamesは、個人データの保持が法律によって要求されない限り、主契約に記載されているサービス提供の終了時に、お客さまの要求に応じて、すべての個人データを削除または返却します。

11.13両当事者は、適用される規制上又は自主規制上の指針を含むCTDPAの修正、改正又は更新に対応するために、契約条項の追加又は修正の締結に誠実に協力するものとします。


12. UCPA

12.1本DPA第12条に定める条件は、(i) Exit Gamesがお客様を代理してユタ州の消費者の個人データを処理し、(ii) 当該処理の時点でユタ州の消費者プライバシー法(以下、「UCPA」という。)がお客様に適用される場合にのみ適用されるものとします。

12.2 本DPAにおいて別途定義される当事者及び契約に関する言及(例えば、「お客さま」及び「主契約」に関する言及)を除き、本DPAの第12条における定義語(太字の語)は、UCPAにおいて与えられた意味を有するものとします。

12.3 UCPA がお客さまに適用され、Exit Games がお客様を代理して個人データを処理する場合、お客様は管理者、Exit Games は当該個人データの処理に関して処理者となります。

12.4両当事者は、UCPA、主契約、本DPA及び両当事者が締結するその他の契約に基づく各自の義務を遵守することに同意するものとします。また、各当事者は、UCPA、主契約、本DPA及び両当事者が締結するその他の契約に基づく他方の当事者の権利を尊重することに同意します。

12.5 Exit Gamesは、お客さまの処理指示を遵守することに同意します。

12.6 Exit Games は、処理の性質とExit Gamesが利用可能な情報を考慮したうえで合理的に実行可能な限りにおいて、Exit Gamesの適切な技術的および組織的な措置を通じ、UCPA の下でお客さまが個人データの処理の安全性及びExit Gamesのシステムの安全性違反通知に関する義務を満たすためにお客さまを支援します。

12.7処理される個人データの種類、当該処理の期間、当該処理の性質及び目的については、本DPAの別表2の付属書Ⅰに記載されています。当該個人データの処理に関する指示は、主契約に規定されているとおりです。

12.8 Exit Gamesは、個人データを処理する各人が個人データに関する機密保持の義務に従うことを保証します。

12.9 Exit Gamesは、個人データに関してExit Gamesが負う義務と同等の義務を課す書面による契約に従って下請け業者に再委託先します。

12.10両当事者は、適用される規制上又は自主規制上の指針を含むUCPAの修正、改正又は更新に対応するために、契約条項の追加又は修正の締結に誠実に協力するものとします。


13 一般条項

13.1. 両当事者は、将来のデータ保護およびプライバシーに関する法律および規制に対応するために、追加または修正された契約条項を締結するために誠実に協力するものとします。

13.2. 本DPAは、本DPAの対象となる主題に関して両当事者の間で合意されたすべての条件を定めています。不正になされた陳述に関するものを除き、他のいかなる表明または条項も、本DPAに適用されず、本DPAの一部を構成しません。

13.3. 本DPAは、主契約に基づく両当事者の権利及び義務を害するものではなく、主契約は引き続き完全な効力を有するものとします。

13.4. 本DPAの条件と主契約の条件に矛盾がある場合、主題が個人データの処理に関係する限り、本DPAの条件(定義および別表を含む)が優先されるものとします。本DPAとEU条項(場合によっては、英国承認済補足条約の適用を受けるEU条項)の間に矛盾がある場合は、英国承認済補足条約を含む後者が優先されます(該当する場合のみ)。

13.5. 適用法の下で許される範囲において、本 DPA に基づき、または本 DPA に関連してお客さまに対して Exit Games が負う責任上限は、いかなる状況においても、主契約に定めるお客さまに対する Exit Games の責任上限を超えないものとします。

13.6 本DPAおよびこれに関連するすべての行為は、抵触法の原則の適用を排除して、ニューヨーク州法に準拠し、これに従って解釈されるものとします。両当事者は、ニューヨーク市の裁判所の対人管轄権および裁判地に同意するものとします。

13.7 本DPAは、第三者受益権を付与するものではなく、本DPAの両当事者ならびにその許可された承継者および譲受人のみの利益を目的とするものであり、他のいかなる者の利益にもならず、本DPAのいかなる条項も当事者以外の者によって執行することはできません。

13.8 本DPAは、本DPAの主題に関する両当事者の最終的、完全かつ排他的な合意であり、当該主題に関する両当事者間の従前のすべての協議および合意に優先されるものです。不正になされた陳述に関するものを除き、その他の表明や条項は本DPAに適用されず、本DPAの一部を構成しません。本DPAに基づくいかなる権利の変更、修正、または放棄も、各当事者の権限ある署名者が署名した書面によるものでない限り、効力を持ちません。

13.9両当事者は、本DPAの締結および交付、ならびに本DPAに基づく当該当事者の義務の履行が正式に承認されていること、および本DPAが各当事者にとって有効かつ法的拘束力のある契約であり、その条項に従って執行可能であることを、相手側に表明および保証します。

13.10 本DPAは、副本をもって締結することができ、各副本は、原本と見なされるものとしますが、すべてを併せて1つの同一の契約を構成するものとします。


別表1:英国における転送

英国承認済補足条約のために
1. 表1に必要な情報は、本DPAの別表2のANNEX Iに記載されており、開始日はEU条項と同じ日付とみなされるものとします。
2. 表2に関して、英国承認済補足条約が適用されるEU条項のバージョンは、管理者から処理者に関するモジュール2です。
3. 表3に関連して、当事者のリストおよび移転の説明は本DPAの別表2の付属書Iに記載、Exit Gamesの技術的および組織的措置は本DPAの別表2の付属書IIに記載、Exit Gamesの副処理者のリストは本DPAの別表2の付属書IIIに従って提供されるものとします。
4. 表4に関して、いずれの当事者も、英国強制条項第19項に従って、英国承認済補足条約を終了する権利を有しません。


別表2:EU条項

1. この別表2の目的のため、現在https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914&from=EN で入手可能なEU条項(モジュールII)は、参照によって本別表および本DPAに組み込まれ、その不可分の一部とみなされるものとし、本DPAにおける両当事者の署名は、EU条項への両当事者の署名と解釈されるものとします。本DPAとEU条項の間に矛盾がある場合、後者が優先されるものとします。 

2. EU条項において、以下のものが適用されるものとします。
▪お客さまは、データの輸出者とし、Exit Games は、データの輸入者とします。各当事者は、EU 条項で規定されている輸出者および輸入者としての役割にそれぞれ拘束され、その義務を遵守することに同意するものとします。
▪第7条(ドッキング条項)は含まれるものとします。
▪第9条(副処理者の使用)。オプション 2 – 
一般的な書面による承認 が適用されるものとします。データ輸入者は、データ輸出者に対し、副処理者の追加または変更によりそのリストを変更する場合は、少なくとも15日前までに書面で通知するものとします。
▪第 11 条(救済):任意条項(独立した紛争解決機関での任意の救済メカニズム)は含まれないものとします。 
▪第13条(a)(監督)。
oお客さまが EU 加盟国に設立されている場合、データ移転に関して、データ輸出者による規則(EU)2016/679の遵守を確保する責任を負う監督当局(付属書I.Cで示す)は、管轄監督当局として行動するものとします。
oお客さまがEU加盟国に設立されていないが、規則(EU)2016/679の第3条(2)に基づきその適用範囲内に入り、規則(EU)2016/679第27条(1)に基づき代表者を選任している場合、規則(EU)2016/679の第27条(1)の意味における代表者が設置されている加盟国の監督当局(附属書I.Cで示す)は、管轄監督当局として行動するものとします。  
oお客さまがEU加盟国に設立されていないが、規則(EU)2016/679の第27条(2)に従って代理人を任命することなく、同規則第3条(2)に従って同規則の適用範囲に含まれる場合、商品またはサービスの提供に関連して本条項に基づいて個人データが移転され、またはその行動が監視されるデータ主体が所在する加盟国のうち、付属書I.Cに示される加盟国の監督当局が、管轄監督当局として活動するものとします。
▪第17条(準拠法)。本条項は、データ輸出者が設立された EU 加盟国の法律に準拠するものとします。当該法律が第三者受益権を認めていない場合、第三者受益権を認めている他の EU 加盟国の法律に準拠するものとします。両当事者は、これをドイツの法律とすることに同意します。
▪第18条(b)(裁判地および管轄の選択)。  両当事者は、EU条項に起因する両当事者間の紛争は、ドイツの裁判所により解決されることに同意します。


別表2の付属書Ⅰ

A.当事者のリスト

データ輸出者:マルチプレイヤーゲームまたはその他のサービスを提供する本DPAの同意当事者(本DPAに記載されているお客さま)であり、管理者としての役割を果たします。
データ輸入者:

名前:Exit Games, Inc.
住所:111 SW 5th Ave. STE 3150, Portland OR 97204, USA
担当者の氏名、役職、連絡先:Christof Wegmann, CTO, 
privacy@photonengine.com
本条項に基づき移転されるデータに関連する活動:マルチプレイヤー向けオンラインサービスの提供(Photonengine)
役割(管理者/処理者):処理者

B.移転の説明

個人データが移転されるデータ主体のカテゴリー
- ネットワーキングオンラインプレーヤー
- アプリケーションユーザー

移転される個人データのカテゴリー
- ユーザーID
- IPアドレス
- チャット内容(オプションフィルター使用時)

転送される機密データ(該当する場合)および適用される制限事項または保護措置
→なし。

移転の頻度(例:データが単発的に転送されるのか、継続的に転送されるのか)。
→本サービスを提供している間継続的に移転されます。

処理の性質
→本サービスの提供

データ移転およびさらなる処理の目的
- Photonengineサービスの提供
 ・現在のネームサーバー、ロビーサーバー、ゲームサーバーへのユーザーの誘導/処理
 ・Photonengine.comのエラーの分析
- 児童オンライン保護法(COPPA)およびGDPRに準拠したチャットコンテンツのフィルタリング

個人データが保持される期間(それが不可能な場合は、その期間を決定するための基準)
→主契約の期間中。

データ処理者、もしくは副処理者へ転送する場合の、処理の対象、性質、期間
→補助的なサービス。

C.所轄監督当局

第13条に従って、管轄の監督当局を特定:
別表2で示したように、EU条項の第13条に関してオプション(A)、(B)、または(C)のいずれが適用されるかに応じて、お客さまの管轄監督当局が決定されます。


別表2の付属書II -技術的および組織的措置(データのセキュリティを確保するための技術的および組織的措置を含む)


Exit Gamesは、最新技術、導入コスト、処理の性質、範囲、状況、目的(付属書Ⅰを参照)、および自然人の権利と自由に対する様々な可能性と重大性を持つリスクを考慮し、リスクに見合ったセキュリティレベルを確保するための適切な技術的および組織的な措置を実施する(特に以下を含む)。
- 個人データの偽名化および暗号化。
- 処理システムおよびサービスの継続的な機密性、完全性、可用性、回復力を確保する能力。
- 物理的または技術的な事故が発生した場合に、個人データへのアクセスと可用性を適時に回復する能力
- 処理の安全性を確保するための技術的および組織的措置の有効性を定期的にテスト、評価、査定するプロセス

Exit Gamesは、お客さまのご要望に応じて、実際の技術的および組織的措置のリストを提供します。


別表2の付属書 III – 副処理者のリスト

管理者/データ輸出者は、以下の副処理者の使用を許可します:
https://download.photonengine.com/subprocessors

英語版


DATA PROCESSING ADDENDUM

Exit Games, Inc., a Delaware corporation, whose principal place of business is at 111 SW 5th Ave. STE 3150, Portland OR 97204, USA ("Exit Games") and the counterparty agreeing to this terms ("Customer") have entered into an Main Agreement, Exit Games' Terms of Use (available at https://dashboard.photonengine.com/en-US/Account/LicenseTerms), or other written or electronic agreement for the provision of Exit Games' networking engine and multiplayer platform (collectively, the "Services") provided by Exit Games (the "Main Agreement"). This Data Processing Addendum, including its Annexes, (the "DPA") forms part of the Main Agreement.
Each of Exit Games and Customer may be referred to herein as a "Party" and together as the "Parties".
This DPA will be effective and replace any previously applicable terms relating to their subject matter (including any data processing agreement or addendum relating to the Services), from the date on which Customer clicked to accept or the Parties agreed to this DPA otherwise.
If you are accepting this DPA on behalf of Customer, you warrant that: (a) you have full legal authority to bind Customer to this DPA; (b) you have read and understand this DPA; and (c) you agree, on behalf of Customer, to this DPA. If you do not have the legal authority to bind Customer, please do not accept this DPA.

RECITALS:
(A) In connection with the Services, the Parties anticipate that Exit Games may process outside of the EEA certain Personal Data in respect of which the Customer or any member of the Customer Group may be a Controller under applicable EU Data Protection Laws or UK Data Protection Laws.
(B) The Parties have agreed to enter into this DPA in order to ensure that adequate safeguards are put in place with respect to the protection of such Personal Data as required by EU Data Protection Laws, UK Data Protection Laws and other applicable data protection laws, to the extent applicable. 


1. Definitions

1.1 In this DPA, the following terms shall have the meanings set out below and cognate terms shall be construed accordingly:
(a) "Adequate Country" means a country or territory recognised as providing an adequate level of protection for Personal Data under an adequacy decision made, from time to time, by (as applicable) (i) the Information Commissioner's Office and/or under applicable UK law (including the UK GDPR), or (ii) the European Commission under the EU GDPR; 
(b) "Affiliate" means, with respect to a Party, any corporate entity that, directly or indirectly, Controls, is Controlled by, or is under Common Control with such Party (but only for so long as such Control exists; 
(c) "Customer Group" means the Customer and/or any entity that, directly or indirectly, controls, is controlled by, or is under common control with the Customer and is Party to this DPA, where "control" means the power (directly or indirectly) to appoint or remove a majority of the directors of that entity and includes Affiliates; 
(d) "Data Protection Laws" means (i) all laws and regulations of the European Union, the European Economic Area, their member states, applicable to the processing of Personal Data under the Main Agreement, including (where applicable) the General Data Protection Regulation (Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of Personal Data and on the free movement of such data ("EU GDPR"), or (ii) all laws and regulations of the UK, applicable to the processing of Personal Data under the Main Agreement, including the UK General Data Protection Regulation 2016/679, as implemented by the Data Protection, Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations 2019 and the Data Protection, Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations 2020 and the Data Protection Act 2018 (the "UK GDPR"); 
(e) "Data Subject Request" means a request from or on behalf of a data subject to exercise any rights in relation to his/her Personal Data under Data Protection Laws; 
(f) "EEA" means the European Economic Area; 
(g) "EU Clauses" means the standard contractual clauses for international transfers of Personal Data to third countries set out in the European Commission's Decision 2021/914 of 4 June 2021 (at http://data.europa.eu/eli/dec_impl/2021/914/oj) 
incorporating Module Two for Controller to Processor transfers and which form part of this DPA in accordance with Schedule 2; (h) "Exit Games Group" means Exit Games and any of its Affiliates;
(i) "Personal Data" means personal data or personal information of Customer processed by Exit Games on behalf of Customer under this DPA and as defined in the Data Protection Laws. In accordance with Section 2.1 of this DPA, this may include the Personal Data of a Customer Group Company; 
(j) "Restricted Transfer" means a (i) transfer of Personal Data from any Customer Group Company to Exit Games; or (ii) an onward transfer of Personal Data from Exit Games to a sub-processor of Exit Games, in each case, where and to the extent the Party receiving the transferred Personal Data is outside the EEA and such transfer would be prohibited under the EU GDPR or the UK GDPR; 
(k) "Security Breach" means any breach of security or other action or inaction leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, Personal Data by any of Exit Games' staff or sub-processors, or any other identified or unidentified third-party; 
(l) "Supervisory Authority" means in the UK, the Information Commissioner's Office ("ICO") (and, where applicable, the Secretary of State or the government), and in the EU, an independent public authority established pursuant to the GDPR; 
(m) "UK" means the United Kingdom; 
(n) "UK Approved Addendum" means the template Addendum B.1.0 issued by the UK's Information Commissioner's Office and laid before Parliament in accordance with s119A of the Data Protection Act 2018 of the UK on 2 February 2022, and in force since 21 March 2022; and
(o) "UK Mandatory Clauses" means the Mandatory Clauses of the UK Approved Addendum, as updated from time to time and/or replaced by any final version published by the Information Commissioner's Office.

1.2 An entity "Controls" another entity if it: (a) holds a majority of the voting rights in it; (b) is a member or shareholder of it and has the right to remove a majority of its board of directors or equivalent managing body; (c) is a member or shareholder of it and controls alone or pursuant to an agreement with other shareholders or members, a majority of the voting rights in it; or (d) has the right to exercise a dominant influence over it pursuant to its constitutional documents or pursuant to a contract; and two entities are treated as being in "Common Control" if either controls the other (directly or indirectly) or both are controlled (directly or indirectly) by the same entity.

1.3 The terms "Controller", "Data Subject", "Processor" and "sub-processor have the meanings ascribed to them in the Data Protection Laws.

1.4 Any defined terms which are not defined in this DPA are as defined in the Main Agreement.


2. Roles and Compliance with Data Protection Laws

2.1 Customer is the Controller of Personal Data, and Exit Games is the Processor of Personal Data. Each Party will comply (and will procure that any of its personnel comply and use commercially reasonable efforts to procure that its sub-processors comply), with Data Protection Laws applicable to such Party in the processing of Personal Data. As between the Parties, Customer shall have sole responsibility for the accuracy, quality, and legality of Personal Data and the means by which the Personal Data was acquired.

2.2 For the avoidance of doubt, a Customer Group Company other than the Customer is not and does not become a party to the Main Agreement and, subject to the following, is only a party to this DPA.

2.3 This DPA is without prejudice to the rights and obligations of the Parties under the Main Agreement which shall continue to have full force and effect. In the event of any conflict between the terms of this DPA and the terms of the Main Agreement, the terms of this DPA shall prevail so far as the subject matter concerns the processing of Personal Data.


3. Description of Processing

3.1 The subject matter, nature and purposes of the processing, duration, types of Personal Data and categories of Data Subject are as set out in ANNEX I to Schedule 2.

3.2 As a Processor, Exit Games will only process Personal Data (i) in order to provide the Services to Customer as agreed in the Main Agreement or (ii) per Customer's instructions in writing or via email. Exit Games will notify Customer (unless prohibited by applicable law) if it is required under applicable law to process Personal Data other than pursuant to Customer's instructions. As soon as reasonably practicable upon becoming aware, inform the Customer if, in Exit Games' opinion, any instructions provided by the Customer infringe applicable Data Protection Laws. Upon termination of the Main Agreement and upon written request of the Customer, return or delete the Personal Data, unless required by law to continue to store a copy of the Personal Data.


4. Technical and Organisational Security Measures

4.1 Exit Games is responsible for implementing and maintaining commercially reasonable and appropriate technical, physical, and organizational safeguards to protect the confidentiality, availability, and integrity of Personal Data that is maintained and accessed by Exit Games for a Customer using Exit Games' Services pursuant to the Main Agreement.  Exit Games' security measures for protecting such personal data while it is Exit Games' possession, custody, or control shall include, as appropriate, the measures described in ANNEX II to Schedule 2 of this DPA.  Exit Games may modify or update these measures at its discretion provided that such modification or update does not result in a degradation of its protection of such Personal Data. 

4.2 Exit Games will take reasonable steps to ensure that only authorised personnel have access to Personal Data and that any persons whom it authorizes to access the Personal Data are under obligations of confidentiality. 

4.3 Customer is responsible for the security of Personal Data throughout the time that such data is in Customer's possession, custody, or control, including while personal data is in transit over the Internet or other third-party network. In furtherance of meeting its security obligations, Customer agrees to employ all physical, administrative, and technical security measures necessary to (i) protect all of its and its Authorized Personnel's access credentials; (ii) protect Customer's information technology infrastructure, including computers, software, databases, electronic systems (including database management systems) and networks whether operated directly by Customer or through the use of third-party services (the 
"Customer Systems"); (iii) protect against any unauthorized access to or use of the Services directly or indirectly through Customer Systems or its Authorized Personnel's access credentials; and (iv) protect the confidentiality, integrity, and availability of all personal data while such data is in transit to Exit Games, including while such data is being uploading or otherwise provided to Exit Games for processing. 

4.4 Customer is solely responsible for making an independent determination whether Exit Games' security measures meet Customer's requirements and data protection obligations under applicable laws and regulations. Customer acknowledges and agrees that, taking into account the state of the art, cost of implementation, and the nature, scope, context and purposes of the processing of personal data, as well as the risks to individuals, the security practices and policies implemented and maintained by Exit Games provide a level of security appropriate to the risk with respect to Personal Data.


5. Sub-processing and Audits

5.1 Customer authorizes Exit Games to appoint sub-processors (and permits each sub-processor to appoint additional sub-processors) in accordance with this Section.  Customer hereby authorizes and instructs Processor to engage those sub-processors set out at https://download.photonengine.com/subprocessors (the "Sub-Processor List"). The Sub-Processor List may be updated from time to time and shall include the name and location of, and a brief description of the processing undertaken by, each current sub-processor. Customer acknowledges and agrees that Exit Games may engage additional sub-processors.  If Customer has a reasonable objection to any new or replacement sub-processor, it shall notify Exit Games of such objections in writing within 15 days of the notification and the Parties will seek to resolve the matter in good faith. If Customer is not reasonably satisfied that the sub-processor meets the security and privacy protections then either Party as its sole remedy may, within such 15-day period, terminate the Main Agreement. 

5.2 Exit Games will enter into a written contract with each sub-processor which imposes on such sub-processor terms no less protective of Personal Data than those imposed on Exit Games in this DPA (the "Relevant Terms2). Exit Games shall be liable to Customer for any breach by such sub-processor of any of the Relevant Terms as set out in Section 13.3 unless otherwise required under the Data Protection Laws or any other applicable laws.

5.3 Upon Customer's request, and subject to the confidentiality obligations set forth in the Main Agreement, Exit Games shall promptly make available to Customer information regarding Exit Games' compliance with the obligations set forth in this DPA, which may include one or more of the following as Customer may request: (i) responses to a reasonable information security-related questionnaire; (ii) copies of relevant executive summaries of the third-party certifications and compliance audits to the extent available; and (iii) a summary of Exit Games' operational practices related to data protection and security. If Customer determines that information provided in accordance with the preceding methods is insufficient, then Customer may contact Exit Games to schedule an on-site audit at Exit Games' designated facility of the procedures relevant to the protection of Customer Personal Data. Customer shall reimburse Exit Games for any time expended for any such on-site audit at the Exit Games' then-current professional services rates, which shall be made available to Customer upon request. Before the commencement of any such on-site audit, Customer and Exit Games shall mutually agree upon the scope, timing, and duration of the audit. Customer shall promptly notify Exit Games with information regarding any non-compliance discovered during the course of an audit. For clarity, the audits referenced hereunder do not apply to audits of Exit Games' sub-processors. Such audits are subject to the Data Protection Laws, to the extent required.


6. Security Breaches, Data Subject Requests and further Assistance

6.1 Exit Games will notify Customer of any Security Breach without undue delay and within 48 hours after becoming aware of the Security Breach.

6.2 To the extent legally permitted, Exit Games will promptly notify Customer if it receives a Data Subject Request. Exit Games will not respond to a Data Subject Request, provided that Customer agrees Exit Games may at its discretion respond to confirm that such request relates to Customer. Customer acknowledges and agrees that the Services may include features which will allow Customer to manage Data Subject Requests directly through the Services without additional assistance from Exit Games. If Customer does not have the ability to address a Data Subject Request, Exit Games will, upon Customer's written request, provide reasonable assistance to facilitate Customer's response to the Data Subject Request to the extent such assistance is consistent with the Data Protection Laws.

6.3 Taking into account the nature of processing and the information available to Exit Games, Exit Games will provide such assistance as Customer reasonably requests in relation to Customer's obligations under Data Protection Laws with respect to (i) data protection impact assessments, (ii) notifications to the Supervisory Authority under Data Protection Laws and/or communications to data subjects by the Customer in response to a Security Breach, or (iii) Customer's compliance with its obligations under the EU GDPR or UK GDPR (as applicable) with respect to the security of processing.

6.4 Exit Games shall make available to the Customer such information in Exit Games' possession or control as Customer may reasonably request with a view to demonstrating Exit Games' compliance with the obligations of Processors under Data Protection Laws in relation to its processing of Personal Data.


7. International Transfers

7.1 Customer agrees that its use of the Services can involve the transfer of Personal Data to, and processing of Personal Data in, various countries, including the country in which Exit Games is based and other countries outside the EEA that are not recognized as Adequate Country. 

7.2 UK transfers: 
7.2.1 To the extent Personal Data is transferred to Exit Games and processed by or on behalf of Exit Games outside the UK (except if in an Adequate Country) in circumstances where such transfer would be prohibited by the UK GDPR in the absence of a transfer mechanism, the Parties agree that the EU Clauses subject to the UK Approved Addendum will apply. The UK Approved Addendum is incorporated into this DPA.
7.2.2 Schedule 1 references the information required by Tables 1 to 4 inclusive of the UK Approved Addendum.

7.3 EU transfers: 
7.3.1 To the extent Personal Data is transferred to Exit Games and processed by or on behalf of Exit Games outside the EEA (except if in an Adequate Country) in circumstances where such transfer would be prohibited by EU GDPR in the absence of a transfer mechanism, the Parties agree that the EU Clauses will apply in respect of that processing and are incorporated into this DPA in accordance with Schedule 2.
7.3.2 The ANNEXES to Schedule 2 contain the information required by the EU Clauses.

7.4 In case of any discrepancies between the EU Clauses or UK Approved Addendum and the DPA, the EU Clauses or, as the case may be, the UK Approved Addendum shall take precedence when applicable pursuant to Section 7.2 or 7.3.

7.5 Insofar as Customer asserts any rights from the EU Clauses or the UK Approved Addendum against Exit Games, Exit Games may charge a reasonable fee for the services incurred thereby.

7.6 Exit Games may (i) replace the EU Clauses and/or the UK Approved Addendum generally or in respect of the EEA, and/or the UK (as appropriate) with any alternative or replacement transfer mechanism in compliance with applicable Data Protection Laws, including any further or alternative standard contractual clauses approved from time to time and (ii) make reasonably necessary changes to this DPA by notifying Customer of the new transfer mechanism or content of the new standard contractual clauses (provided their content is in compliance with the relevant decision or approval), as applicable.


8. CCPA

8.1 The terms set forth in this Section 8 of the DPA shall only apply to the extent that (i) Exit Games Processes Personal Information of California Consumers on behalf of Customer; and (ii) the California Consumer Privacy Act, as amended by the California Privacy Rights Act of 2020 ("CCPA"), is applicable to Customer at the time of such Processing.

8.2 With the exception of party and agreement references (e.g., references to "Customer" and the "Main Agreement"), which are separately defined in the DPA, or the Main Agreement the capitalized terms in this Section of the DPA shall have the meaning given to them under the CCPA, and the CCPA Regulations.

8.3 If the CCPA applies to Customer, and Exit Games Processes Personal Information on behalf of Customer, Customer shall be a Business and Exit Games shall be a Service Provider with respect to the Processing of such Personal Information. 

8.4 The Parties agree to comply with their respective obligations under the CCPA and the CCPA Regulations.  Exit Games will comply with its obligations under all applicable sections of the CCPA and CCPA regulations and will provide the same level of privacy protection regarding Personal Information it Collects pursuant to the Main Agreement Customer as is required of Customer under the CCPA and CCPA regulations (e.g., cooperating with Customer in responding to and complying with Consumers' requests made pursuant to the CCPA; implementing reasonable security procedures and practices appropriate to the nature of the Personal Information to protect the Personal Information from unauthorized or illegal access, destruction, use, modification, or disclosure in accordance with California Civil Code section 1798.81.5).

8.5 The limited and specified Business Purposes for which Exit Games is Processing Personal Information pursuant to the Main Agreement include:  (i) helping to ensure security and integrity to the extent the use of the Personal Information is reasonably necessary and proportionate for these purposes; (ii) debugging to identify and repair errors that impair existing intended functionality; (iii) performing the Services and related support services on behalf of Customer, including by maintaining or servicing accounts, providing customer service, providing storage, or providing similar services on behalf of Customer; (iv) undertaking internal research for technological development and demonstration; and (v) undertaking activities to verify or maintain the quality and safety of services controlled by Customer.  Personal Information is only disclosed by Customer to Exit Games for limited and specified purposes (i.e., the limited and specified Business Purposes set forth in this provision).

8.6 Exit Games will not retain, use, or disclose the Personal Information that it has Collected pursuant to the Main Agreement for any purpose other than the Business Purposes specified n this DPA or the Main Agreement, which shall include (i) helping to ensure security and integrity to the extent the use of the Personal Information is reasonably necessary and proportionate for these purposes; (ii) debugging to identify and repair errors that impair existing intended functionality; (iii) performing the Services and related support services on behalf of Customer, including by maintaining or servicing accounts, providing customer service, providing storage, or providing similar services on behalf of Customer; (iv) undertaking internal research for technological development and demonstration; and (v) undertaking activities to verify or maintain the quality and safety of services controlled by Customer,  or (vi) as otherwise permitted by the CCPA and CCPA Regulations. This prohibition extends to the retention, use, or disclosure of Personal Information for a commercial purpose other than the Business Purposes specified in this DPA, the Main Agreement, or as otherwise permitted by the CCPA and CCPA Regulations.

8.7 Exit Games will not retain, use, or disclose Personal Information that it Collects pursuant to the Main Agreement outside of the direct business relationship between Customer and Exit Games, unless expressly permitted by the CCPA and CCPA regulations.

8.8 Exit Games will not combine or update Personal Information that Exit Games Collects pursuant to the Main Agreement or otherwise receives from, or on behalf of, Customer with Personal Information that it received from, or on behalf of, another person or source or from its own interaction with a Consumer, other than combining Personal Information to perform any Business Purpose that is expressly permitted by the CCPA and CCPA Regulations. However, Exit Games will not combine the Personal Information of Consumers who have opted-out of the Sale or Sharing of Personal Information that Exit Games receives from, or on behalf of, Customer with Personal Information that Exit Games receives from, or on behalf 
of, another person or collects from its own interactions with Consumers.  

8.9 Exit Games will not Sell or Share, as such terms are defined under the CCPA, the Personal Info rmation it Collects pursuant to the Main Agreement.

8.10 Exit Games will enable Customer to comply with Consumer requests made pursuant to the CCPA that involve Personal Information Exit Games has Collected pursuant to the Main Agreement.

8.11 Customer may take reasonable and appropriate steps to help ensure that Exit Games uses Personal Information that is Collected pursuant to the Main Agreement, or otherwise transferred to Exit Games by Customer, in a manner consistent with the obligations imposed on Customer under the CCPA and CCPA Regulations, through the process set forth in Section 5.3 of the DPA.

8.12 In the event Exit Games ever determines that it can no longer meet its obligations under the CCPA and CCPA Regulations, Exit Games will notify Customer of such determination. 

8.13 Upon Customer's receipt of notice from Exit Games that it can no longer meet its CCPA obligations or Customer's provision of Exit Games with notice that it will be taking steps to stop and remediate any unauthorized use of Personal Information, Customer shall have the right to take reasonable and appropriate steps to stop and remediate any unauthorized use of Personal Information. 

8.14 The Parties will cooperate in good faith to enter into additional or modified contract terms to address any modifications, amendments, or updates to the CCPA, including any applicable regulatory or self-regulatory guidance.


9. VCDPA 

9.1 The terms set forth in this Section 9 of the DPA shall only apply to the extent that (i) Exit Games Processes Personal Data of Virginia Consumers on behalf of Customer; and (ii) the Virginia Consumer Data Protection Act ("VCDPA") is applicable to Customer at the time of such Processing. 

9.2 With the exception of party and agreement references (e.g., references to "Customer" and the "Main Agreement"), which are separately defined in the DPA, the capitalized terms in this Section of the DPA shall have the meaning given to them under the VDCPA.  

9.3 If the VCDPA applies to Customer, and Exit Games Processes Personal Data on behalf of Customer, Customer shall be a Controller and Exit Games shall be a Processor with respect to the Processing of such Personal Data. 

9.4 The Parties agree to comply with their respective obligations under the VDCPA, the Main Agreement, this DPA, and any other agreement into which the Parties enter.  Additionally, each Party agrees to respect the rights of the other Party under the VDCPA, the Main Agreement, this DPA, and any other agreement into which the Parties enter.  

9.5 Exit Games agrees to adhere to the Processing instructions of Customer. 

9.6 Exit Games agrees to assist Customer in meeting Customer's obligations under the VDCPA with respect to any Personal Data of Virginia Consumers that Exit Games Processes on behalf of Customer. Such assistance will include (i) assisting Customer in fulfilling its obligation to respond to Consumer rights requests through Exit Games' implementation of appropriate technical and organizational measures, insofar as is reasonably practicable (taking into account the nature of the Processing and the information available to Exit Games); (ii) assisting Customer in meeting Customer's obligations in relation to the security of Processing the Personal Data and in relation to the notification of a breach of security system of Exit Games (taking into account the nature of Processing and the information available to Exit Games); and (iii) providing necessary information to enable Customer to conduct and document data protection assessments relating to Personal Data of Virginia Consumers that is Processed by Exit Games through the measures set forth in Section 5.3 of the DPA.

9.7 The types of Personal Data being Processed, the duration of such Processing, and the nature and purpose(s) of such Processing, are described in ANNEX I to Schedule 2 of this DPA. The instructions for such Personal Data Processing are as set forth in the Main Agreement. 

9.8 Exit Games will ensure that each person Processing the Personal Data is subject to a duty of confidentiality with respect to such Personal Data. 

9.9 Upon the reasonable request of Customer, Exit Games will make available to Customer all information in its possession necessary to demonstrate Exit Game's compliance with its obligations under the VCDPA through the process set forth in Section 5.3 of the DPA.

9.10 Exit Games will engage each of its subcontractors pursuant to a written contract that requires the subcontractor to meet the obligations of Exit Games with respect to the Personal Data.  Such contract shall not relieve the Parties of their respective liabilities under the VCDPA.

9.11 Exit Games will allow, and cooperate with, reasonable assessments by Customer or the Customer's designated assessor through the process set forth in Section 5.3 of the DPA. 

9.12 At Customer's direction, Exit Games will either delete or return all Personal Data to Customer as requested at the end of the provision of services, unless retention of the Personal Data is required by law.

9.13 The Parties will cooperate in good faith to enter into additional or modified contract terms to address any modifications, amendments, or updates to the VCDPA, including any applicable regulatory or self-regulatory guidance.


10. CPA

10.1 The terms set forth in this Section 10 of the DPA shall only apply to the extent that (i) Exit Games Processes Personal Data of Colorado Consumers on behalf of Customer; and (ii) the Colorado Privacy Act ("CPA") is applicable to Customer at the time of such Processing. 

10.2 With the exception of party and agreement references (e.g., references to "Customer" and the "Main Agreement"), which are separately defined in the DPA, the capitalized terms in this Section of the DPA shall have the meaning given to them under the CPA and the CPA Rules.

10.3 If the CPA applies to Customer, and Exit Games Processes Personal Data on behalf of Customer, Customer shall be a Controller and Exit Games shall be a Processor with respect to the Processing of such Personal Data.

10.4 The Parties agree to comply with their respective obligations under the CPA, the Main Agreement, this DPA, and any other agreement into which the Parties enter.  Additionally, each Party agrees to respect the rights of the other Party under the CPA, the Main Agreement, this DPA, and any other agreement into which the Parties enter.

10.5 The type of Personal Data being Processed, the duration of such Processing, and the processing instructions, including the nature and purpose(s) of such Processing, are described in ANNEX I to Schedule 2of this DPA and in the Main Agreement. 

10.6 Exit Games will ensure that each person Processing the Personal Data is subject to a duty of confidentiality with respect to such Personal Data.

10.7 After providing Customer an opportunity to object, Exit Games will engage each of its subcontractors pursuant to a written contract in accordance with the CPA that requires the subcontractor to meet the obligations of Exit Games with respect to the Personal Data.

10.8 Upon request, Exit Games will make available to Customer all information necessary to demonstrate its compliance with the CPA in accordance with the process set forth in Section 5.3 of the DPA.

10.9 Exit Games will allow for, and contribute to, reasonable audits and inspections by Customer or Customer's designated auditor through the process set forth in Section 5.3 of the DPA.

10.10 At the choice of Customer, Exit Games will delete or return all Personal Data to Customer as requested by Customer at the end of the provision of services described in the Main Agreement, unless retention of the Personal Data is required by law.

10.11 The Parties will cooperate in good faith to enter into additional or modified contract terms to address any modifications, amendments, or updates to the CPA, including any applicable regulatory or self-regulatory guidance.


11. CTDPA

11.1 The terms set forth in this Section 11 of the DPA shall only apply to the extent that (i) Exit Games Processes Personal Data of Connecticut Consumers on behalf of Customer; and (ii) the Connecticut Data Privacy Act ("CTDPA") is applicable to Customer at the time of such Processing. 

11.2 With the exception of party and agreement references (e.g., references to "Customer" and the "Main Agreement"), which are separately defined in the DPA, the capitalized terms in this Section 11 of the DPA shall have the meaning given to them under the CTDPA. 

11.3 If the CTDPA applies to Customer, and Exit Games Processes Personal Data on behalf of Customer, Customer shall be a Controller and Exit Games shall be a Processor with respect to the Processing of such Personal Data.

11.4 The Parties agree to comply with their respective obligations under the CTDPA, the Main Agreement, this DPA, and any other agreement into which the Parties enter. Additionally, each Party agrees to respect the rights of the other Party under the CTDPA, the Main Agreement, this DPA, and any other agreement into which the Parties enter.

11.5 Exit Games agrees to adhere to the Processing instructions of Customer. 

11.6 Exit Games agrees to assist Customer in meeting Customer's obligations under the CTDPA with respect to any Personal Data of Connecticut Consumers that Exit Games Processes on behalf of Customer. Such assistance will include (i) assisting Customer in fulfilling its obligation to respond to Consumer rights requests through Exit Games' implementation of appropriate technical and organizational measures, insofar as is reasonably practicable (taking into account the nature of the Processing and the information available to Exit Games); (ii) assisting Customer in meeting Customer's Personal Data security obligations and obligations for notification of any breach of security of a system of Exit Games (taking into account the nature of Processing and the information available to Exit Games); and (iii) providing necessary information to enable Customer to conduct and document data protection assessments relating to Personal Data of Consumers that is Processed by Exit Games through the measures set forth in Section 5.3 of the DPA.

11.7 The types of Personal Data being Processed, the duration of such Processing, and the nature and purpose(s) of such Processing, are described in ANNEX I to Schedule 2 of this DPA. The instructions for such Personal Data Processing are as set forth in the Main Agreement. 

11.8 Exit Games will ensure that each person Processing the Personal Data is subject to a duty of confidentiality with respect to the Personal Data.

11.9 Upon the reasonable request of Customer, Exit Games will make available to Customer all information in its possession necessary to demonstrate Exit Game's compliance with the CTDPA in accordance with the process set forth in Section 5.3 of the DPA. 

11.10 After providing Customer an opportunity to object, Exit Games will engage each of its subcontractors pursuant to a written contract that requires the subcontractor to meet the obligations of Exit Games with respect to the Personal Data.

11.11 Exit Games will allow, and cooperate with, reasonable assessments by Customer or Customer's designated assessor through the process set forth in Section 5.3 of the DPA. 

11.12 At Customer's direction, Exit Games will either delete or return all Personal Data to Customer, as requested, at the end of Exit Games' provision of services, unless retention of the Personal Data is required by law.

11.13 The Parties will cooperate in good faith to enter into additional or modified contract terms to address any modifications, amendments, or updates to the CTDPA, including any applicable regulatory or self-regulatory guidance.


12. UCPA

12.1 The terms set forth in this Section 12 of the DPA shall only apply to the extent that (i) Exit Games Processes Personal Data of Utah Consumers on behalf of Customer; and (ii) the Utah Consumer Privacy Act ("UCPA") is applicable to Customer at the time of such Processing. 

12.2 With the exception of party and agreement references (e.g., references to "Customer" and the "Main Agreement"), which are separately defined in the DPA, the capitalized terms in this Section 12 of the DPA shall have the meaning given to them under the UCPA.

12.3 If the UCPA applies to Customer, and Exit Games Processes Personal Data on behalf of Customer, Customer shall be a Controller and Exit Games shall be a Processor with respect to the Processing of such Personal Data.

12.4 The Parties agree to comply with their respective obligations under the UCPA, the Main Agreement, this DPA, and any other agreement into which the Parties enter. Additionally, each Party agrees to respect the rights of the other Party under the UCPA, the Main Agreement, this DPA, and any other agreement into which the Parties enter.

12.5 Exit Games will adhere to the Processing instructions of Customer.

12.6 Taking into account the nature of the Processing and information available to the Exit Games, by appropriate technical and organizational measures, insofar as reasonably practicable, Exit Games will assist Customer in meeting Customer's obligations under the UCPA, including obligations relating to the security of Processing Personal Data and notification of a breach of system security of Exit Games.

12.7 The types of Personal Data being Processed, the duration of such Processing, and the nature and purpose(s) of such Processing, are described in ANNEX I to Schedule 2 of this DPA.  The instructions for such Personal Data Processing are as set forth in the Main Agreement.

12.8 Exit Games will ensure that each person Processing Personal Data is subject to a duty of confidentiality with respect to the Personal Data.

12.9 Exit Games will engage each of its subcontractors pursuant to a written contract that requires the subcontractor to meet the same obligations as Exit Games with respect to such Personal Data.

12.10 The Parties will cooperate in good faith to enter into additional or modified contract terms to address any modifications, amendments, or updates to the UCPA, including any applicable regulatory or self-regulatory guidance.


13. General

13.1 The Parties will cooperate in good faith to enter into additional or modified contract terms to address future data protection and privacy laws and regulations.

13.2 This DPA sets out all of the terms that have been agreed between the Parties in relation to the subjects covered by it. Other than in respect of statements made fraudulently, no other representations or terms shall apply or form part of this DPA.

13.3 This DPA is without prejudice to the rights and obligations of the Parties under the Main Agreement which shall continue to have full force and effect.

13.4 In the event of any conflict between the terms of this DPA and the terms of the Main Agreement, the terms (including definitions and the Schedules) of this DPA shall prevail so far as the subject matter concerns the processing of Personal Data. In the event of an inconsistency between the DPA and the EU Clauses (or, as the case may be, the EU Clauses subject to the UK Approved Addendum) the latter, including the UK Approved Addendum, if applicable, will prevail.

13.5 To the extent allowed under the applicable laws, Exit Games' maximum aggregate liability to Customer under or in connection with this DPA shall not under any circumstances exceed the maximum aggregate liability of Exit Games to the Customer as set out in the Main Agreement. 

13.6 This DPA and any action related thereto shall be governed by and construed in accordance with the laws of the State of New York, without giving effect to any conflicts of laws principles. The Parties consent to the personal jurisdiction of, and venue in, the courts of New York City.

13.7 This DPA does not confer any third-party beneficiary rights, it is intended for the benefit of the Parties hereto and their respective permitted successors and assigns only, and is not for the benefit of, nor may any provision hereof be enforced by, any other person.

13.8 This DPA is the final, complete and exclusive agreement of the Parties with respect to the subject matter hereof and supersedes and merges all prior discussions and agreements between the Parties with respect to such subject matter. Other than in respect of statements made fraudulently, no other representations or terms shall apply or form part of this DPA. No modification of, amendment to, or waiver of any rights under the DPA will be effective unless submitted electronically and electronically confirmed by each Party.

13.9 Each Party represents and warrants to the other that the execution and delivery of this DPA, and the performance of such Party's obligations hereunder, have been duly authorized and that this DPA is a valid and legally binding agreement on each such Party, enforceable in accordance with its terms.

13.10 This DPA may be executed in counterparts, each of which shall be deemed to be an original, but all of which, taken together, shall constitute one and the same agreement.


SCHEDULE 1: UK TRANSFERS

For the purposes of the UK Approved Addendum, 
1. the information required for Table 1 is contained in ANNEX I of Schedule 2 of this DPA and the start date shall be deemed dated the same date as the EU Clauses;
2. in relation to Table 2, the version of the EU Clauses to which the UK Approved Addendum applies is Module Two for Controller to Processor;
3. in relation to Table 3, the list of Parties and description of the transfer are as set out in ANNEX I of Schedule 2 of this DPA, Exit Games' technical and organisational measures are set 
in ANNEX II of Schedule 2 of this DPA, and the list of Exit Games' sub-processors shall be provided pursuant to ANNEX III of Schedule 2 of this DPA; and
4. in relation to Table 4, neither Party will be entitled to terminate the UK Approved Addendum in accordance with clause 19 of the UK Mandatory Clauses.


SCHEDULE 2: EU CLAUSES

1. For the purposes of this Schedule 2, the EU Clauses (Module II), currently available at https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914&from=EN, shall be incorporated by 
reference to this Schedule and the DPA and shall be considered an integral part thereof, and the Parties' signatures in the DPA shall be construed as the Parties' signature to the EU Clauses. In the event of an inconsistency between the DPA and the EU Clauses, the latter will prevail. 
2. For the purposes of the EU Clauses, the following shall apply:
- Customer shall be the data exporter and Exit Games shall be the data importer. Each Party agrees to be bound by and comply with its obligations in its role as exporter and importer respectively as set out in the EU Clauses.
- Clause 7 (Docking clause) shall be deemed as included.
- Clause 9 (Use of sub-processors): OPTION 2 - GENERAL WRITTEN AUTHORISATION shall apply. The data importer shall specifically inform the data exporter in writing of any intended changes to that list through the addition or replacement of sub-processors at least 15 days in advance.
- Clause 11 (Redress): optional clause (optional redress mechanism before an independent dispute resolution body) shall be deemed as not included. 
- Clause 13 (a) (Supervision):
o Where Customer is established in an EU Member State: The supervisory authority with responsibility for ensuring compliance by the data exporter with Regulation (EU) 2016/679 as regards the data transfer, as indicated in Annex I. C, shall act as competent supervisory authority.
o Where Customer is not established in an EU Member State but falls within the territorial scope of application of Regulation (EU) 2016/679 in accordance with its Article 3(2) and has appointed a representative pursuant to Article 27(1) of Regulation (EU) 2016/679: The supervisory authority of the Member State in which the representative within the meaning of Article 27(1) of Regulation (EU) 2016/679 is established, as indicated in Annex I. C, shall act as competent supervisory authority.  
o Where Customer is not established in an EU Member State, but falls within the territorial scope of application of Regulation (EU) 2016/679 in accordance with its Article 3(2) without however having to appoint a representative pursuant to Article 27(2) of Regulation (EU) 2016/679: The supervisory authority of one of the Member States in which the data subjects whose Personal Data is transferred under these Clauses in relation to the offering of goods or services to them, or whose behaviour is monitored, are located, as indicated in Annex I. C, shall act as competent supervisory authority.
- Clause 17 (Governing law): These Clauses shall be governed by the law of the EU Member State in which the data exporter is established. Where such law does not allow for third-party beneficiary rights, they shall be governed by the law of another EU Member State that does allow for third-party beneficiary rights. The Parties agree that this shall be the law of Germany.
- Clause 18 (b) (Choice of forum and jurisdiction):  The Parties agree that any dispute between them arising from the EU Clauses shall be resolved by the courts of Germany.


ANNEX I to Schedule 2

A. LIST OF PARTIES

Data exporter(s): is the agreeing Party to this DPA (Customer, as described in the DPA above), providing multiplayer games or other services, as controller. 
Data importer(s): 

Name: Exit Games, Inc.
Address: 111 SW 5th Ave. STE 3150, Portland OR 97204, USA
Contact person's name, position and contact details: Christof Wegmann, CTO, 
privacy@photonengine.com
Activities relevant to the data transferred under these Clauses:  Provision of online services for multiplayers (Photonengine)
Role (controller/processor): Processor

B. DESCRIPTION OF TRANSFER

Categories of data subjects whose Personal Data is transferred
- Networking Online Players
- Application Users

Categories of Personal Data transferred
- User ID
- IP address
- Chat content (while using optional filter) 

Sensitive data transferred (if applicable) and applied restrictions or safeguards 
- None.

The frequency of the transfer (eg. whether the data is transferred on a one-off or continuous basis).
Continuous while providing the Services.

Nature of the processing
Provision of the Services.

Purpose(s) of the data transfer and further processing
- Providing Photoengine Services:
 o Routing user to/ processing user on current Name-, Lobby- and Game-Server
 o Analyzing Photonengine.com errors
- Children's Online Protection Act (COPPA) and GDPR compliant chat content filtering

The period for which the Personal Data will be retained, or, if that is not possible, the criteria used to determine that period
Duration of the Main Agreement. 

For transfers to (sub-) processors, also specify subject matter, nature and duration of the processing
Auxiliary services.

C. COMPETENT SUPERVISORY AUTHORITY

Identify the competent supervisory authority/ies in accordance with Clause 13:
The competent supervisory for the Customer, depending on whether Option (A), (B) or (C) applies according to the specifications with regard to Clause 13 of the EU Clauses, as described in Schedule 2.


ANNEX II to Schedule 2 - TECHNICAL AND ORGANISATIONAL MEASURES INCLUDING TECHNICAL AND ORGANISATIONAL MEASURES TO ENSURE THE SECURITY OF THE DATA


Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing (see Annex I) as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, Exit Games implements appropriate technical and organizational measures to ensure a level of security appropriate to the risk, including inter alia as appropriate:
o the pseudonymization and encryption of Personal Data;
o the ability to ensure the ongoing confidentiality, integrity, availability and resilience of processing systems and services;
o the ability to restore the availability and access to Personal Data in a timely manner in the event of a physical or technical incident;
o a process for regularly testing, assessing and evaluating the effectiveness of technical and organizational measures for ensuring the security of the processing.

Exit Games will provide a list of the actual technical and organizational measures on request of the Customer.


ANNEX III to Schedule 2 - LIST OF SUB-PROCESSORS

The controller / data exporter has authorised the use of the following sub-processors: 
https://download.photonengine.com/subprocessors