プライバシー通知

1. はじめに

本通知は、当団体が皆さま、第三者、その他の情報源から収集する個人データまたは皆さまから当団体に提供される個人データを処理する基準を定めています。当団体が皆さまの個人データをどのように取り扱うのかについてご理解いただくために、本通知をよくお読みください。

EU一般データ保護規則2016/679（以下「GDPR」といいます）およびUK GDPR（英国の2018年データ保護法第3条(10)で定義されています）との関係で、CDP Worldwide、 CDP Operations Limited、 CDP Europe AISBL、 CDP Worldwide (Europe) gGmbH、 CDP Europe-Services GmbH、 CDP Worldwide-Services GmbH、 CDP North America, Inc.、 CDP Worldwide-Japan、 Beijing Carbon Disclosure Project Environmental Consulting Co. Limited、 Carbon Disclosure Project India、 CDP Operations India Private Limited、 Carbon Disclosure Project Latin America および CDP Worldwide (Hong Kong) Limited（いずれも「CDPグローバルシステム」を構成する団体です）は、それぞれデータ管理者／管理者および／または共同管理者に位置付けられます。その詳細は、以下の第9条をご参照ください。本通知において「当団体」とは、CDPグローバルシステムを構成する団体で、皆さまの個人データの処理に関して管理者に位置付けられる団体を意味します。各団体の連絡先は、別紙1に記載されています。

「管理者」は、皆さまに関する個人情報を当団体がどのように保管および使用するのかについて決定する責任があり、またGDPRに従い本プライバシー通知に含まれる情報を皆さまにお知らせする必要があります。

本プライバシー通知における「GDPR」への参照は、UK GDPRにおける同等の規定への参照も含んでいます。

2. 当団体が皆さまから収集する個人データ

当団体は、以下のデータ主体カテゴリーに該当する個人を含むデータ主体の個人データを収集することがあります。

(i)CDPグローバルシステムが投資家およびサプライチェーンメンバーに代わって企業に対して開示を求める場合において、当該投資家およびサプライチェーンメンバーの役員、従業員、その他の担当者

(ii)CDPグローバルシステムが開示を求める企業および自治体の役員、従業員、その他の担当者

(iii)政策立案者、NGO、助成金提供者、その他CDPグローバルシステムと他の形で協働する企業および団体の役員、従業員、その他の担当者

(iv)当団体のサプライヤーおよびサービスプロバイダーの役員、従業員、その他の担当者、ならびに当該サプライヤーおよびサービスプロバイダーの代理人、従業員および担当者

(v)当団体サイトの訪問者

当団体は、皆さまに関する以下の個人データを収集し、処理する場合があります。

(a)氏名

(b)企業／団体の名称および種類

(c)CRM会社番号

(d)事務所の所在地

(e)国籍

(f)居住国

(g)職務／所属部門

(h)勤務先の電話番号

(i)勤務先のメールアドレス

(j)ソーシャルメディアのアカウント

(k)性別

(l)写真

(m)経歴

(n)CDPイベントへの参加

(o)皆さまが当団体に連絡するか、当団体のサイトwww.cdp.netおよびwww.cdsb.net（以下、合わせて当団体「当該サイト」といいます）または当該サイトから利用できる当団体のオンラインアプリケーションもしくはオンラインツール（以下、それぞれ「CDPオンラインオファリング」といいます）のフォームに記入することによって提供する情報。これには、当団体の当該サイトに利用登録する時、当団体が当該サイト上で提供するサービスに申し込み、もしくはユーザーとして登録する時、または当団体の当該サイト上で資料を投稿もしくは追加サービスを請求する時に提供する情報を含みます。皆さまが当団体の当該サイトに関する問題を報告された場合には、情報の提供をお願いすることがあります。また、皆さまからご連絡があった場合には、当該連絡内容を記録することがあります。

(p)皆さまのウェブブラウザまたはデバイスから自動的に送信される情報。例えば、皆さまのIPアドレス、デバイスの種類、ブラウザの種類、参照元サイト、皆さまが訪問中にアクセスしたサイト、訪問者による各要求の日時などです。

(q)（資金を調達している都市開発プロジェクトに関して）「マッチメーカー（Matchmaker）」プロジェクトの情報収集フォームにおいて皆さまが提供する個人データ（該当する場合のみ）

(r)支払データ。例えば、支払処理や詐欺防止に必要な、クレジットカード/デビットカード番号、セキュリティコード番号、その他の請求関連情報を含みます。

(s)CDPとのプロジェクトもしくは契約関係において必然的に処理される詳細情報、または皆さまから自発的に提供される詳細情報。例えば、発注、支払い、要求、プロジェクトの重要事項に関連する個人データなどです。

(t)公開されている情報源から収集された個人データ（当団体が当該公開データを特定の目的に使用することが合理的に予想される場合）、または第三者から受領した個人データ。

3. 皆さまの個人データの保管方法

当団体は、、皆さまの個人データが誤って紛失したり、不正な方法で使用またはアクセスされること等がないよう、皆さまの個人データを安全に保管するために適切な措置を講じます。皆さまの個人データへのアクセスは、正当な業務上の必要性がある者に限定します。

皆さまの個人データを処理する者は、許可された方法でのみ処理を行い、守秘義務を負います。

また、当団体は、データセキュリティ侵害の疑いがある場合、これに対処するための手順も整備しています。当団体は、法的に必要である場合には、データセキュリティ侵害の疑いについて、皆さまおよび関連規制当局に対して通知します。

当団体は、皆さまの個人データの保護に最善を尽くしますが、オンラインで送信される皆さまのデータのセキュリティを保証することはできません。

4. 皆さまの個人データの保管場所

当団体は、英国に所在する顧客関係管理（以下「CRM」といいます）システムに、大部分の個人データを保管します。また、英国と同様のデータ保護法を有する欧州経済領域（以下「EEA」といいます）内の国でも個人データを処理し、保管します。

英国／EEA以外の国では、英国／EEAとは異なるデータ保護法が制定されている場合があります。英国／EEA以外の特定の国（例えば、韓国など）については、英国／EUがデータ保護レベルが同等の国であると既に判定しているので、これらの国へのデータ移転には特別な承認や合意を必要としません。

適切な保護を行うために、皆さまの個人データを適切に保護するため、皆様の個人データは、次の場合にのみ、英国／EEAの外へ移転され、また英国／EEAの外で保管されます。(i)EU／EEA諸国から非EU/EEA諸国への移転に関しては、2021年6月4日付けの欧州委員会決定2021/914に基づく、個人データの第三国への移転に関するEU標準契約条項（以下「SCCs」といいます）の適用を規定する契約を当団体が締結している場合、(ii)英国から英国以外の国への移転に関しては、皆様の個人データが英国／EEA内と同等の保護を受けられるよう、英国情報コミッショナー事務局の推奨に従って修正されたSCCsの適用を規定する契約を当団体が締結している場合。このような方法で、当団体は、CDPグローバルシステム内の団体で働くスタッフ、当団体のパートナー組織、利害関係者、および第三者サービスプロバイダーが、本通知に記載されている用途のため、米国、ブラジル、中国、香港、インド、インドネシア、日本、韓国、台湾、およびトルコにおいて、皆さまの個人データにアクセスできるようにしています。当団体は、その他の方法で、皆さまの個人データを英国／EEAの外に移転することはありません。

5. 皆さまの個人データの利用方法

当団体は、皆さまに関する情報を、以下に定める方法で、下記第6条に規定する法的根拠に従って使用します。

(a)開示関連活動　- 法的根拠：正当な利益 -　当団体の正当な利益は、気候変動の削減に資する環境データの収集に関する、国際的な非営利団体としての活動に関連します。

例えば、CRMシステムへ連絡先を追加すること、開示を実施している、または開示の実施が見込まれる企業・自治体・その他の団体の連絡先に対して開示関連情報を送付すること、開示事業体と契約を締結すること、ダッシュボード／オンライン応答システムのユーザーとして連絡先を登録すること、レポーターサービスに関連するコミュニケーション、科学的根拠に基づく目標の設定、その他同様の活動などです。

(b)投資家関連活動　 - 法的根拠：正当な利益 -　当団体の正当な利益は、気候変動の削減に資する環境データの収集に関する、国際的な非営利団体としての活動に関連します。

例えば、CRMシステムへ連絡先を追加すること、新たな投資家の開拓（例えば、参加投資家またはサプライチェーンメンバーになるよう働きかけることなど）、企業および自治体政府が報告する環境データの販売、ならびに収支報告関連活動などです。

(c)サプライチェーンメンバー活動　- 法的根拠：正当な利益 -　当団体の正当な利益は、気候変動の削減に資する環境データの収集に関する、国際的な非営利団体としての活動に関連します。

例えば、CRMシステムへ連絡先を追加すること、サプライチェーンメンバーと契約を締結すること、メンバー特典を提供すること、サプライヤー連絡先をメンバーと共有すること、ならびにメンバーおよびメンバー候補者とその他のやり取りを行うことなどです。

(d)コミュニケーション活動　- 法的根拠：正当な利益 -　当団体の正当な利益は、気候変動の削減に資する環境データの収集に関する、国際的な非営利団体としての活動に関連します。

例えば、ニュースレター、メディアリリース、入手可能な報告書およびガイダンス資料の詳細、最新情報を諸団体に送付すること、イベント、キャンペーン、相談会、及び諸取組みへの参加を案内する招待状を送付すること、アンケートおよび調査フォームを送付すること、イベントを企画／主催すること（オンラインイベントやその他同様の活動のために第三者プラットフォームを使用することを含みます）などです。

(e)非開示活動　- 法的根拠：正当な利益 -　当団体の正当な利益は、気候変動の削減に資する環境データの収集に関する、国際的な非営利団体としての活動に関連します。

これは開示に関連しない活動で、例えば、第三者（各国における協力機関、プロジェクトパートナー、認定ソリューションプロバイダー、助成金提供者など）と契約を締結し、履行すること、当該契約を履行するために当該契約に従って個人データを共有すること、オンライン学習コースを実施すること、寄贈者や助成金提供者を募集すること、人事および従業員に関する活動を行うこと、システム管理、収支報告活動、技術サポートを行うこと、オンライン活動を行うことなどです。

(f)当団体のサイトのコンテンツが、皆さまおよび皆さまのコンピュータにとって最適な方法で表示されるようにすること　- 法的根拠：正当な利益 -　当団体の正当な利益は、気候変動の削減に役立つ環境データの収集に関する、国際的な非営利団体としての活動に関連します。

(g)皆さまの身元を確認すること（皆さまがCDPオンラインオファリングに登録する場合）、皆さまからの特定の要求に回答し、対応すること。　- 法的根拠は正当な利益 -　当団体の正当な利益は、気候変動の削減に役立つ環境データの収集に関する、国際的な非営利団体としての活動に関連します。

(h)CDPまたはCDPのパートナー団体の製品、サービス、プロジェクトについて、照会・要請に応じることなどにより、皆さまと連絡を取ること　- 法的根拠：正当な利益 -　当団体の正当な利益は、気候変動の削減に役立つ環境データの収集に関する、国際的な非営利団体としての活動に関連します。

(i)皆さまと当団体との間で締結された契約から生じる当団体の義務を履行すること　-法的根拠：皆さまとの契約の履行。

(j)皆さまが同意を撤回していない限り、情報、製品、サービスを皆さまに提供すること　- 法的根拠：皆さまとの契約の履行。

(k)法的義務（記録保管義務など）を遵守すること　-法的根拠：法的義務の履行。

(l)紛争を解決すること、当団体との契約上の合意を履行強制すること、ならびに法的な請求を立証、権利行使、または防御すること　- 法的根拠：法的義務の履行。

当団体は、皆さまの個人データを収集した目的以外の理由で使用する必要がある場合、その理由が本来の目的に適合する場合にのみ、皆さまの個人情報を使用します。

皆さまの個人データを新たな目的で使用する必要が生じた場合、新しい処理を開始する前に、皆さまに通知し、当団体が当該新たな目的で皆さまの個人データを使用できる法的根拠をお知らせします。

当団体は、場合によっては、個人データを匿名化して、皆さまとの関連性をなくすようにすることがあります。その場合には、皆さまに通知することなく、当該情報を使用することがあります。

当団体が要請する特定の情報を皆さまが提供しない場合には、当団体は、皆さまと締結した契約を履行できないことがあります。あるいは、法的または規制上の義務を遵守できない場合もあります。

また、法的に要求または許可されている場合には、当団体は、本通知に従って、皆さまの同意なしに皆さまの個人情報を処理することがあります。

当団体は、皆さまの個人データを処理することによって、自動化された処理（プロファイリングを含みます）のみに基づいて、皆さまに対して法的効果を生じさせ、または同様の方法で重大な不利益をもたらす決定を行うことはありません。

6. データ処理の法的根拠

CDPが皆さまに関するデータを処理する法的根拠は、当該処理が次の目的のために必要であることです。

CDPが、皆さまとの契約に関連して権利を行使し、義務を履行すること（GDPR第6条(1)(b))
CDPが、法的義務を遵守すること（GDPR第6条(1)(c)）、および／または
CDPが正当な利益を追求すること。ただし、皆さまの個人データの保護のための皆さま自身の利益、権利、自由を当該正当な利益によって侵害しないことを条件とします。(GDPR第6条(1)(f))。一般的に、当団体の正当な利益は、投資家、企業、自治体が真に持続可能な経済を構築するために必要な緊急の行動を取るよう集中してもらうという、国際的な非営利団体としての使命に関連しています。これには、マーケティング、事業開拓、統計および管理目的のための処理を含みます。

場合によっては、皆さまの個人データを上記に関連して使用することに同意していただけるよう、皆さまにお願いすることがあります。そのような場合、当団体は当該同意を皆さまに個別に求め、皆さまが同意したことが、当団体が皆さまに関するデータを処理する（追加または代替的な）法的根拠となることがあります（GDPR第6条(1)(a)）。その場合、皆さまは、当該特定の目的のための処理に対する同意を撤回する権利を有します。同意を撤回するためには、以下（第15条）に規定する連絡先までご連絡ください。当団体は、皆さまから同意を撤回したという通知を受け取った場合、それ以降、別途の正当な法的根拠がない限り、皆さまが当初同意した目的のために皆さまの情報を処理することはありません。

当団体は、皆さまのデータを使用する特定の目的に応じて、複数の適法な根拠に基づいて皆さまの個人データを処理する場合があることにご留意ください。

7. 皆さまの個人データの開示について

当団体は、法的条件、特にGDPR第6条が満たされた場合にのみ、皆さまのデータを開示します。当該規定に従い、移転は、特に次の場合に認められます。

皆さまとの契約の履行に必要である場合
法的義務を果たす必要がある場合
当団体の正当な利益のために処理が必要な場合
皆さまが同意した場合

当団体が皆さまの個人データを移転する際に、皆さまの母国の法律と同レベルのデータ保護を提供していない国に受領者が所在している場合があります。このような場合、当団体は、第4条（皆さまの個人データの保管場所）に記載されているように、皆さまの個人データを保護するために妥当かつ適切な保護を実施するための措置を講じます。

法的要件が満たされている場合、当団体は、皆さまの個人データを以下の者へ開示することがあります。

(a)皆さまによるCDPオンラインオファリングの利用または当団体と皆さまとのビジネス関係に関連して、CDPグローバルシステム内の他の団体または第三者（例えば、当団体のパートナー団体またはサプライヤー）。

(b)当団体からの質問に対する回答を受領するために当団体と契約している団体（参加投資家またはサプライチェーンメンバーを含みます）。

(c)皆さまがサプライチェーンメンバーの代表者である場合、当団体は、サプライヤー／サプライチェーンメンバーの関係およびコミュニケーションを促進すること等を目的として、皆さまの個人データを皆さまのサプライヤーに開示することがあります。また、皆さまがサプライヤーの代理人である場合、当団体は、サプライヤー／サプライチェーンメンバーの関係およびコミュニケーションを促進すること等を目的として、皆さまの個人データを当団体のサプライチェーンメンバーおよび参加投資家に開示することがあります。

(d) （資金を調達している都市開発プロジェクトに関して）「マッチメーカー（Matchmaker）」プロジェクトの情報収集フォームで提供される個人データを受け取る団体（投資家、プロジェクト開発者、エンジニアリング会社、および非営利団体を含みます）。

(e)当団体の使命に同調する第三者（当団体のパートナー団体を含みます）その他の団体。

(f)当団体のために個人データの処理を行う外部の第三者サービスプロバイダー(当該サービスに必要な範囲に限ります)。第三者サービスプロバイダーによるサービスには、ITおよびデータストレージに関するサービス、専門的な助言サービス、管理サービス、マーケティングサービス、銀行サービスなどがあります。

(g)法的義務もしくは規制当局による要件を遵守するため、皆さまとの契約や当団体の定める使用条件、およびその他の合意などを履行強制もしくは適用するため、またはCDPや当団体の顧客などの権利、財産、もしくは安全を保護するために、当団体が皆さまの個人データを開示または共有する必要がある場合。これには、詐欺防止、マネーロンダリング防止要件の遵守、信用リスクの軽減といった目的で、他の企業や団体と情報交換する場合を含みます。

8. 皆さまの個人データの保管期間

当団体は、皆さまの個人データを、当該個人データを収集した目的を達成するために必要な期間に限り、保管します。適切な保管期間を決定するために、当団体は、個人データの量・性質・機密性、不正な使用または開示による危害の潜在的リスク、目的、他の手段で当該目的を達成できるかどうかを検討します。個人データを収集した目的が達成された後は、法的請求に対する防御等、特定の目的のために当該データを保管し続けることが法律上認められていない限り、データを削除します。

9. 共同活動

皆さまの個人データがCDPグローバルシステム内の別の管理者と共有される場合には、データ管理者は共同管理者になります。以下の活動（共同活動）のいずれかに関連する場合を含みます。

(a)企業および自治体に対する開示関連活動

(b)マーケティング、ニュースレター、その他の情報伝達活動

(c)投資家およびサプライチェーンメンバーの活動

(d) 第三者との契約等の非開示関連活動

(e)CRMシステムへの個人データの追加および同システム内の個人データへの対するアクセス

共同ではない活動に関する限り、CDPオンラインオファリングによるデータ処理については、当該処理がCDP Worldwideによる活動であれば、CDP Worldwideが（GDPR第4条(7)に定めるデータ管理者として）責任を負います。

CDPグローバルシステム内の団体が共同活動に関して共同管理者として行動する場合の責任は、別紙2に記載されています。

GDPR第26条(3)および第32条(4)に基づき、各共同管理者は、損害全体について責任を負う場合があります。一社の共同管理者が責任を負う場合、GDPR第82条(5)が適用されます。

10. ソーシャルメディア機能

当団体のサイトでは、以下のソーシャルメディアプラグイン（以下「プラグイン」といいます）を使用しています。

ツイートボタン（795 Folsom St., Suite 600, San Francisco, CA 94107, USAに所在するTwitter Inc.が運営)
LinkedInのシェアボタン（2029 Stierlin Court, Mountain View, CA 94043, United Statesに所在するLinkedIn Corporationが運営）
YouTubeのプラグイン（Gordon House, Barrow Street, Dublin 4, Ireland に所在するGoogle Ireland Limitedが運営）

処理に関する法的根拠は、当団体の正当な利益です。 . すべてのプラグインは、各プロバイダー（すなわちGoogle、Twitter、およびLinkedIn（以下「プロバイダー」といいます）のブランド名で表示されます。当団体は、いわゆる2段階のクリックを必要とする方式（two-click solution）を採用しています。つまり、皆さまが当団体のサイトにアクセスしても、個人データがプラグインのプロバイダーに伝えられることはありません。プラグインを介してプラグインのプロバイダーと直接通信することができるようになっています。皆さまが印が付されたボックスをクリックすることによって起動した場合にのみ、当団体がオンラインで提供する当該ウェブサイトに皆さまがアクセスしたことが、プラグインプロバイダーに通知されます。

皆さまが埋め込まれたYouTubeビデオを再生するなどしてプラグインを利用すると、当該利用データが皆さまのブラウザからプロバイダーに直接転送され、プロバイダーによって保存されることになります。

データの収集、処理、使用に関する目的と範囲の詳細については、以下のプライバシーステートメントを参照してください。

当団体のCookieポリシーをお読みください。

11. 皆さまの権利

GDPRに基づき、皆さまは、いくつかの重要な権利を有します。要約すると、次のような権利です。

(a)皆さまの個人データにアクセスする権利

(b)当団体が保有する皆さまに関する情報の誤りを訂正するよう当団体に要求する権利

(c)特定の状況において、皆さまに関する個人データを消去するよう要求する権利

(d)特定の状況において、データを第三者に移転するよう要求する権利

(e)いかなる時点でも、ダイレクトマーケティングのために皆さまに関する個人データを処理することに異議を申し立てる権利

(f)その他の特定の状況において、当団体が皆さまの個人データの処理を継続することに対して異議を申し立てる権利

(g)その他、特定の状況において、当団体が皆さまの個人データを処理することを制限する権利

(h)データ主体は、いつでも同意を撤回する権利を有します。同意の撤回は、当該撤回前の同意に基づく処理の合法性に影響を及ぼすものではありません。

上記の権利を行使したい場合には、以下（第14条）に規定する連絡先までご連絡ください。

皆さまは、自己の個人情報にアクセスするため（またはその他の権利を行使するため）に料金を支払う必要はありません。ただし、皆さまからのアクセス要求が明らかに根拠に基づかない、または過剰なものである場合は、合理的な金額の料金を請求することがあります。あるいは、そのような状況では、要求をお断りすることもあります。

当団体は、皆さまの身元を確認し、皆さまの上記の情報アクセス権を確認するために（またはその他の権利を行使できるようにするために）、皆さまに特定の情報を提出していただくようお願いする場合があります。これは、個人情報を受け取る権利のない者に個人情報が開示されないようにするための適切なセキュリティ措置です。

当団体が保有する皆さまに関する個人情報が正確かつ最新のものであることは重要です。皆さまの個人情報に変更が生じた場合には、当団体が認識すべき変更について、以下（第15条）の連絡先までご連絡いただくことで、当団体へ通知してください。

12. 苦情の申立方法

当団体は、当団体による皆さまの個人データの使用について皆さまから提起されたいかなるご質問やご懸念も解決できることを願っています。

また、GDPRは、皆さまに対し、権限のあるデータ保護当局に苦情を申し立てる権利を付与しています。各地域におけるデータ保護当局の一覧と連絡先は、ここから入手可能です。英国に関しては、

情報コミッショナー事務局 Wycliffe House Water Lane Wilmslow Cheshire SK9 5AF

電子メール: dpo@ico.org.uk
ウェブサイト: https://ico.org.uk

ただし、皆さまがデータ保護機関に連絡する前に皆さまのご懸念に対処する機会をいただければ幸いですので、まずは当団体までご連絡ください。

13. 当団体のプライバシー通知の変更

今後当団体のプライバシー通知を変更する場合には、このページに掲載するとともに、必要に応じて皆さまへ電子メールでお知らせします。

14. 連絡先

CDPグローバルシステムを構成する団体で、EU／EEAの域外に所在する団体は、GDPR第27条に従って、CDP Worldwide - Services GmbHを自己の代理人として任命しています。

CDPグローバルシステムを構成する団体で、英国の域外に所在する団体は、UK GDPR第27条に従って、CDP Worldwideを自己の代理人として任命しています。

本プライバシー通知についてのご質問やご要望については、下記までご連絡ください privacy@cdp.net。

別紙1

CDP Worldwide, 4th Floor, 60 Great Tower Street, London EC3R 5AZ, UK

CDP Operations Limited, 4th Floor, 60 Great Tower Street, London EC3R 5AZ, UK;

CDP Worldwide – Services GmbH, WeWork, Potsdamer Platz -Kemperplatz 1, 10785 Berlin, Germany;

CDP Worldwide - Japan, GINZA ISHII Building, 5F 6-14-8, Ginza Chuo-Ku, Tokyo, 104 -0061, Japan;

Beijing Carbon Disclosure Project Environmental Consulting Co. Limited, Room 1902, Tower A, Beijing Wanda Plaza, No.93 Jianguo Rd, Chaoyang District, Beijing 100022;

Carbon Disclosure Project India, 3rd Floor, 315 Sant Nagar, East of Kailash, New Delhi 110065, India;

CDP Operations India Private Limited, Flat No 1203 and 1204, 12th Floor, Chiranjiv Tower, 43 Nehru Place, New Delhi 110019, India;

Carbon Disclosure Project Latin America, Rua Dr. Mauricio de Lacerda, 30; CEP 04303-190 -Sao Paulo/ SP, Brazil;

CDP Worldwide (Hong Kong) Limited, 9/F Asia Orient, 33 Lockhart Road, Wanchai, Hong Kong;

CDP Europe AISBL, Due Ducale 67, 1000 Bruxelles, Belgium;

CDP Worldwide (Europe) gemeinnützige GmbH, c/o WeWork, Potsdamer Platz, Kemperplatz 1, 10785 Berlin, Germany;

CDP Europe - Services GmbH, c/o WeWork Potsdamer Platz, Kemperplatz 1, 10785 Berlin, Germany;

CDP North America, Inc. 127 W 26th Street, Suite 300, New York, NY 1001, USA.

別紙２　

Processing activities	Providing information (Articles 13, 14 GDPR)	Right of access, rectification, erasure, data portability, objection (Articles 15-17, 20, 21 GDPR)	Commissioning sub-processors, Records of processing activities, Determination of security measures (Articles 28, 30, 32, 24 GDPR)	Notification of data breaches (Articles 33, 34 GDPR)
CENTRALISED ACTIVITIES IN UK
CDP Worldwide and CDP Operations Limited Coordination of the worldwide process for disclosure as follows:
a) Disclosure related activities adding contacts to CRM, sending disclosure-related e-mails to companies, cities, states and regions.	CDP Worldwide	CDP Worldwide	CDP Worldwide	CDP Worldwide
b) Investor related activities adding contacts to CRM, targeting new investors (eg to become signatories or members), and account related activities.	CDP Operations	CDP Operations	CDP Operations	CDP Operations
c) Supply chain member and reporter services activities receiving contact lists from members, entering into contracts with suppliers and sharing supplier contacts with members.	CDP Operations	CDP Operations	CDP Operations	CDP Operations
d) Communication activities Sending out newsletters and updates to organisations; hosting on-line events, including using third party platforms and other such activities.	CDP Worldwide	CDP Worldwide	CDP Worldwide	CDP Worldwide
e) Non-disclosure activities all other activities including contracts with third parties; HR and employee activities; systems administration and account activities; on-line activities including carried out by CDSB.	CDP Worldwide	CDP Worldwide	CDP Worldwide	CDP Worldwide
1. Activities carried out in Europe
a) Supply chain member and reporter services activities receiving contact lists from members, entering into contracts with suppliers and sharing contacts with members.	CDP Europe-Services GmbH	CDP Europe-Services GmbH	CDP Europe-Services GmbH	CDP Europe-Services GmbH
b) Investor related activities adding contacts to CRM, targeting new investors (eg to become signatories or members), and account related activities.	CDP Worldwide (Europe) gGmbH (Climetrics: CDP Europe-Services GmbH)	CDP Worldwide (Europe) gGmbH (Climetrics: CDP Europe-Services GmbH)	CDP Worldwide (Europe) gGmbH (Climetrics: CDP Europe-Services GmbH)	CDP Worldwide (Europe) gGmbH (Climetrics: CDP Europe-Services GmbH)
c) Communication activities Sending out newsletters and updates to organisations; hosting on-line events, including using third party platforms and other such activities.	CDP Worldwide (Europe) gGmbH	CDP Worldwide (Europe) gGmbH	CDP Worldwide (Europe) gGmbH	CDP Worldwide (Europe) gGmbH
d) Non-disclosure activities all other activities including contracts with third parties;	CDP Worldwide (Europe) gGmbH CDP Worldwide (Europe) is the sole controller of its HR database; CDP Worldwide is not a joint controller.	CDP Worldwide (Europe) gGmbH CDP Worldwide (Europe) is the sole controller of its HR database; CDP Worldwide is not a joint controller.	CDP Worldwide (Europe) gGmbH CDP Worldwide (Europe) is the sole controller of its HR database; CDP Worldwide is not a joint controller.	CDP Worldwide (Europe) gGmbH CDP Worldwide (Europe) is the sole controller of its HR database; CDP Worldwide is not a joint controller.
2. Activities carried out in North America
a) Supply chain member and reporter services activities receiving contact lists, entering into contracts with suppliers and sharing contact information with members.	CDP Worldwide (CDP North America remains responsible to comply with obligations under US law)	CDP Worldwide (CDP North America remains responsible to comply with obligations under US law)	CDP Worldwide (CDP North America remains responsible to comply with obligations under US law)	CDP Worldwide (CDP North America remains responsible to comply with obligations under US law)
b) Investor related activities adding contacts to CRM, targeting new investors (eg to become signatories or members), and account related activities.	CDP Worldwide (CDP North America remains responsible to comply with obligations under US law)	CDP Worldwide (CDP North America remains responsible to comply with obligations under US law)	CDP Worldwide (CDP North America remains responsible to comply with obligations under US law)	CDP Worldwide (CDP North America remains responsible to comply with obligations under US law)
c) Communication activities Sending out newsletters and updates to organisations; hosting on-line events, including using third party platforms and other such activities.	CDP Worldwide (CDP North America remains responsible to comply with obligations under US law)	CDP Worldwide (CDP North America remains responsible to comply with obligations under US law)	CDP Worldwide (CDP North America remains responsible to comply with obligations under US law)	CDP Worldwide (CDP North America remains responsible to comply with obligations under US law)
d) Other disclosure and non-disclosure activities all other disclosure related activities including adding contacts to CRM, sending out disclosure related emails and all other non-disclosure activities including, contracts with third parties.	CDP Worldwide (CDP North America remains responsible to comply with obligations under US law)	CDP Worldwide (CDP North America remains responsible to comply with obligations under US law)	CDP Worldwide (CDP North America remains responsible to comply with obligations under US law)	CDP Worldwide (CDP North America remains responsible to comply with obligations under US law)
3. Activities carried out in India
a) Supply chain member and reporter services activities receiving contact lists, entering into contracts with suppliers and sharing contact information with members.	CDP Operations India Private Limited	CDP Operations India Private Limited	CDP Operations India Private Limited	CDP Operations India Private Limited
b) Investor related activities adding contacts to CRM, targeting new investors (eg to become signatories or members), and account related activities.	CDP Operations India Private Limited	CDP Operations India Private Limited	CDP Operations India Private Limited	CDP Operations India Private Limited
c) Communication activities Sending out newsletters and updates to organisations; hosting on-line events, including using third party platforms and other such activities.	Carbon Disclosure Project India	Carbon Disclosure Project India	Carbon Disclosure Project India	Carbon Disclosure Project India
d) Other disclosure and non-disclosure activities all other disclosure related activities including adding contacts to CRM, sending out disclosure related emails and all other non-disclosure activities including contracts with third parties.	Carbon Disclosure Project India	Carbon Disclosure Project India	Carbon Disclosure Project India	Carbon Disclosure Project India
4. Activities carried out in South America
a) Supply chain member and reporter services activities receiving contact lists, entering into contracts with suppliers and sharing contact information with members.	Carbon Disclosure Project Latin America	Carbon Disclosure Project Latin America	Carbon Disclosure Project Latin America	Carbon Disclosure Project Latin America
b) Investor related activities adding contacts to CRM, targeting new investors (eg to become signatories or members), and account related activities	Carbon Disclosure Project Latin America	Carbon Disclosure Project Latin America	Carbon Disclosure Project Latin America	Carbon Disclosure Project Latin America
c) Communication activities Sending out newsletters and updates to organisations; hosting on-line events, including using third party platforms and other such activities.	Carbon Disclosure Project Latin America	Carbon Disclosure Project Latin America	Carbon Disclosure Project Latin America	Carbon Disclosure Project Latin America
d) Other disclosure and non-disclosure activities all other disclosure related activities including adding contacts to CRM, sending out disclosure related emails and all other non-disclosure activities including contracts with third parties.	Carbon Disclosure Project Latin America	Carbon Disclosure Project Latin America	Carbon Disclosure Project Latin America	Carbon Disclosure Project Latin America
4. Activities carried out in China
a) Supply chain member and reporter services activities receiving contact lists, entering into contracts with suppliers and sharing contact information with members.	Carbon Disclosure Project Environmental Consulting	Carbon Disclosure Project Environmental Consulting	Carbon Disclosure Project Environmental Consulting	Carbon Disclosure Project Environmental Consulting
b) Investor related activities adding contacts to CRM, targeting new investors (eg to become signatories or members), and account related activities	Carbon Disclosure Project Environmental Consulting	Carbon Disclosure Project Environmental Consulting	Carbon Disclosure Project Environmental Consulting	Carbon Disclosure Project Environmental Consulting
c) Communication activities Sending out newsletters and updates to organisations; hosting on-line events, including using third party platforms and other such activities.	Carbon Disclosure Project Environmental Consulting	Carbon Disclosure Project Environmental Consulting	Carbon Disclosure Project Environmental Consulting	Carbon Disclosure Project Environmental Consulting
d) Other disclosure and non-disclosure activities all other disclosure related activities including adding contacts to CRM, sending out disclosure related emails and all other non-disclosure activities including contracts with third parties.	Carbon Disclosure Project Environmental Consulting	Carbon Disclosure Project Environmental Consulting	Carbon Disclosure Project Environmental Consulting	Carbon Disclosure Project Environmental Consulting
5. Activities carried out in Japan
a) Supply chain member and reporter services activities receiving contact lists, entering into contracts with suppliers and sharing contact information with members.	CDP Worldwide Japan	CDP Worldwide Japan	CDP Worldwide Japan	CDP Worldwide Japan
b) Investor related activities adding contacts to CRM, targeting new investors (eg to become signatories or members), and account related activities.	CDP Worldwide Japan	CDP Worldwide Japan	CDP Worldwide Japan	CDP Worldwide Japan
c) Communication activities Sending out newsletters and updates to organisations; hosting on-line events, including using third party platforms and other such activities.	CDP Worldwide Japan	CDP Worldwide Japan	CDP Worldwide Japan	CDP Worldwide Japan
d) Other disclosure and non-disclosure activities all other disclosure related activities including adding contacts to CRM, sending out disclosure related emails and all other non-disclosure activities including contracts with third parties.	CDP Worldwide Japan	CDP Worldwide Japan	CDP Worldwide Japan	CDP Worldwide Japan
7. Activities carried out in Asia Pacific Region
a) Supply chain member and reporter services activities receiving contact lists, entering into contracts with suppliers and sharing contact information with members.	CDP Worldwide (Hong Kong) Ltd	CDP Worldwide (Hong Kong) Ltd	CDP Worldwide (Hong Kong) Ltd	CDP Worldwide (Hong Kong) Ltd
b) Investor related activities adding contacts to CRM, targeting new investors (eg to become signatories or members), and account related activities.	CDP Worldwide (Hong Kong) Ltd	CDP Worldwide (Hong Kong) Ltd	CDP Worldwide (Hong Kong) Ltd	CDP Worldwide (Hong Kong) Ltd
c) Communication activities Sending out newsletters and updates to organisations; hosting on-line events, including using third party platforms and other such activities.	CDP Worldwide (Hong Kong) Ltd	CDP Worldwide (Hong Kong) Ltd	CDP Worldwide (Hong Kong) Ltd	CDP Worldwide (Hong Kong) Ltd
d) Other disclosure and non-disclosure activities all other disclosure related activities including adding contacts to CRM, sending out disclosure related emails and all other non-disclosure activities including contracts with third parties.	CDP Worldwide (Hong Kong) Ltd	CDP Worldwide (Hong Kong) Ltd	CDP Worldwide (Hong Kong) Ltd	CDP Worldwide (Hong Kong) Ltd