このプライバシーポリシーは、当社のオンラインサービスおよびそれに関連するウェブサイト、機能、コンテンツにおける、個人データ(以下、簡単に「データ」)の処理の種類、範囲、および目的について説明するものです(以下、総称して「オンラインサービス」といいます)。使用される用語、たとえば「処理」や「管理者」については、一般データ保護規則(GDPR)第4条の定義をご参照ください。
管理者
Super Flexible Software GmbH & Co. KG
Buddenstr. 29-31
48143 ミュンスター
ドイツ
Eメールアドレス: info@syncovery.com
代表取締役: Claudia Giesen および Tobias Giesen
法的情報: https://ja.syncovery.com/contact/
Webサイト: syncovery.com, superflexible.de, tgtools.com, somusque.de
処理されるデータの種類:
-\t基本データ(氏名、住所)。
-\t連絡先データ(メールアドレス)。
-\tメタデータ/通信データ(例: デバイス情報、IP アドレス)。
対象者のカテゴリ
オンラインサービスの訪問者および利用者(以下、対象者を総称して「利用者」と呼びます)。
処理の目的
-\tオンライン提供、その機能およびコンテンツの提供
-\t問い合わせへの対応およびユーザーとのコミュニケーション
-\tセキュリティ対策
-\t注文の処理
使用される用語
「個人データ」とは、識別された、または識別可能な自然人(以下「データ主体」)に関するあらゆる情報をいいます。識別可能な自然人とは、特に氏名、識別番号、位置データ、オンライン識別子(例:Cookie)、またはその自然人の身体的、生理的、遺伝的、精神的、経済的、文化的、もしくは社会的な同一性を示す1つ以上の特性への関連付けにより、直接的または間接的に識別できる者をいいます。
「処理」とは、個人データに関して、自動化された手段によるか否かを問わず行われるあらゆる操作または一連の操作をいいます。この用語は広義であり、実質的にデータの取り扱いのすべてを含みます。
「仮名化」とは、追加情報を参照しない限り個人データを特定のデータ主体に帰属させることができないような方法で個人データを処理することをいいます。ただし、その追加情報は別に保管され、個人データが識別された、または識別可能な自然人に割り当てられないことを保証する技術的・組織的措置の対象となっている必要があります。
「プロファイリング」とは、自然人に関する特定の個人的側面を評価するために個人データを使用することを内容とする、あらゆる種類の個人データの自動処理をいいます。特に、その自然人の職務遂行能力、経済状況、健康、個人的嗜好、関心、信頼性、行動、所在、または移動の分析や予測を行うためのものをいいます。
「管理者」とは、単独で、または他者と共同して、個人データの処理の目的および手段を決定する自然人または法人、行政機関、機関、その他の組織をいいます。
「処理者」とは、管理者の委託により個人データを処理する自然人または法人、行政機関、機関、その他の組織をいいます。
適用される法的根拠
GDPR 第13条に基づき、当社のデータ処理の法的根拠をお知らせします。プライバシーポリシーに法的根拠の記載がない場合は、以下のとおりです。同意取得の法的根拠は GDPR 第6条第1項 a 号および第7条、当社のサービスの提供および契約上の措置の実施ならびにお問い合わせへの対応のための処理の法的根拠は GDPR 第6条第1項 b 号、当社の法的義務を履行するための処理の法的根拠は GDPR 第6条第1項 c 号、当社の正当な利益を保護するための処理の法的根拠は GDPR 第6条第1項 f 号です。対象者または他の自然人の生命的利益のために個人データの処理が必要となる場合は、GDPR 第6条第1項 d 号が法的根拠となります。
セキュリティ対策
当社は、GDPR第32条に従い、技術の現状、実装コスト、ならびに処理の性質、範囲、状況および目的、さらに自然人の権利および自由に対するリスクの発生可能性および重大性の違いを考慮のうえ、適切な技術的および組織的措置を講じ、リスクに見合った保護レベルを確保します。
これらの措置には特に、データへの物理的アクセス、データへのアクセス、入力、移転、可用性の確保、および分離に関する管理を通じて、データの機密性、完全性および可用性を保護することが含まれます。さらに、データ主体の権利の行使、データの削除、ならびにデータの危険に対する対応を確実にする手順を整備しています。加えて、個人データの保護は、ハードウェア、ソフトウェアおよび手順の開発または選定の段階から考慮し、技術による設計およびデータ保護に配慮した初期設定によるデータ保護の原則(GDPR第25条)に従っています。
委託処理業者および第三者との連携
当社が処理の一環として、他の個人または企業(処理者または第三者)に対してデータを開示し、これらに送信し、またはその他の方法でデータへのアクセスを許可する場合、それは法令上の許可がある場合(たとえば、決済サービス提供者などの第三者へのデータ送信が、GDPR第6条第1項(b)に基づき契約履行のために必要である場合)、お客様が同意した場合、法的義務が定めている場合、または当社の正当な利益に基づく場合(たとえば、業務委託先、Webホスト等の利用)に限られます。
いわゆる「データ処理契約」に基づいて第三者にデータ処理を委託する場合は、GDPR第28条に基づいて行います。
第三国への移転
当社が第三国(すなわち欧州連合(EU)または欧州経済領域(EEA)外)でデータを処理する場合、または第三者のサービスを利用する過程で、あるいは第三者へのデータの開示・移転が行われる場合は、それが当社の(契約前を含む)義務の履行、あなたの同意、法的義務、または当社の正当な利益に基づく場合に限ります。法令または契約上の許可がある場合を除き、当社は GDPR 第44条以下の特別な条件が満たされる場合にのみ、第三国でデータを処理させます。つまり、処理はたとえば、EU と同等のデータ保護水準が公式に認められていること(たとえば米国については「Privacy Shield」)、または公式に認められた特定の契約上の義務(いわゆる「標準契約条項」)の遵守など、特別な保証に基づいて行われます。
対象者の権利
お客様には、該当する個人データが処理されているかどうかについて確認を求める権利、および当該データに関する開示、並びにDSGVO第15条に基づく追加情報およびデータのコピーを請求する権利があります。
また、お客様には、DSGVO第16条に基づき、関係するデータの補完または不正確なデータの訂正を請求する権利があります。
さらに、お客様には、DSGVO第17条に従い、当該データの消去を直ちに請求する権利、または代替として、DSGVO第18条に従い、データ処理の制限を請求する権利があります。
お客様には、DSGVO第20条に従い、当社に提供したお客様に関するデータを受け取り、かつその他の管理者への移転を請求する権利があります。
さらに、お客様には、DSGVO第77条に基づき、所轄の監督機関に苦情を申し立てる権利があります。
撤回権
あなたは、GDPR 第7条第3項に基づき、将来に向けて、付与した同意を撤回する権利があります
異議申立て権
あなたは、GDPR 第21条に基づき、あなたに関するデータの将来の処理にいつでも異議を申し立てることができます。特に、ダイレクトマーケティングの目的での処理に対して異議を申し立てることができます。
Cookie
「Cookie」とは、利用者のコンピューターに保存される小さなファイルを指します。当社のウェブサイトでは Cookie を使用していません。 外部サイト(たとえば PayPal や SWREG/Digital River)経由で注文された場合は、各サイトのプライバシーポリシーが適用されます。
データの削除
当社が処理するデータは、DSGVO第17条および第18条に従って消去されるか、または処理が制限されます。本プライバシーポリシーで明示的に別段の定めがない限り、当社が保存するデータは、その目的上もはや必要でなくなり、かつ法令上の保存義務が消去に優先しない場合には、削除されます。データが、他の適法な目的のために必要であるために削除されない場合は、その処理が制限されます。すなわち、データはロックされ、他の目的には処理されません。これは、例えば商法上または税法上の理由により保存する必要があるデータに適用されます。
ドイツの法令に基づく保存期間は、特に、AO第147条第1項、HGB第257条第1項第1号および第4号ならびに同条第4項に従い10年(帳簿、記録、状況報告書、会計証憑、商業帳簿、税務上関連する書類など)、およびHGB第257条第1項第2号および第3号ならびに同条第4項に従い6年(商業書簡)です。
事業関連の処理
さらに、当社は
– 契約データ(例:契約内容、契約期間、顧客区分)
– 支払データ(例:銀行口座情報、支払履歴)
について、契約上のサービスの提供、顧客サポートおよび顧客管理のため、また最小限の範囲で広告のために処理します。
オンラインショップでの注文処理と顧客アカウント
当社は、オンラインショップにおける注文手続の一環として、お客様が選択した製品およびサービスの選択・注文、ならびにその支払および配送、または提供を可能にするために、お客様のデータを処理します。
処理されるデータには、基本データ、通信データ、契約データ、支払データが含まれ、処理の対象となる者には当社の顧客、見込み客、その他の取引先が含まれます。処理は、オンラインショップ運営の一環としての契約履行、請求、配送、および顧客サービスの提供を目的として行われます。
処理は、DSGVO第6条第1項b号(注文手続の実施)およびc号(法令により必要な保存)に基づいて行われます。この場合、必須として示された情報は、契約の成立および履行に必要です。当社は、配送、支払、または法律上認められた範囲および法律顧問や当局に対する義務に基づく場合を除き、第三者にデータを開示しません。データは、契約履行に必要な場合にのみ第三国で処理されます(例:配送または支払に関するお客様の要望による場合)。電話でのご注文、または当社のドイツのEメールアドレス info@syncovery.com 宛てのEメールによるご注文、ならびに銀行振込によるお支払いをご利用いただくことで、データがドイツ国内にのみ保存されることを確実にできます。PayPalまたはクレジットカードでSWREG/Digital Riverを通じてお支払いいただく場合は、各支払サービス提供者(PayPal)または販売事業者(SWREG/Digital River)のプライバシーポリシーが適用されます。
外部決済サービス事業者
当社は外部の決済サービス事業者を利用しており、そのプラットフォーム上で利用者および当社が支払い取引を行うことができます(例:それぞれのプライバシーポリシーへのリンク付きで、Paypal(https://www.paypal.com/de/webapps/mpp/ua/privacy-full)、Visa(https://www.visa.de/datenschutz)、Mastercard(https://www.mastercard.de/de-de/datenschutz.html)、American Express(https://www.americanexpress.com/de/content/privacy-policy-statement.html)。また、これらの外部事業者を利用したくない場合は、銀行振込により当社へ直接お支払いいただくこともできます。
契約の履行にあたっては、Art. 6 Abs. 1 lit. b. DSGVOに基づき決済サービス事業者を利用します。その他の場合には、利用者の皆様に効果的かつ安全な支払い方法を提供するという当社の正当な利益に基づき、Art. 6 Abs. 1 lit. b. DSGVOに基づいて外部の決済サービス事業者を利用します。
決済サービス事業者によって処理されるデータには、氏名や住所などの基本情報、口座番号やクレジットカード番号などの銀行情報、パスワード、TAN、チェックサム、ならびに契約内容、金額、受取人に関する情報が含まれます。これらの情報は取引を実行するために必要です。ただし、入力されたデータは決済サービス事業者によってのみ処理され、同事業者に保存されます。つまり、当社は口座情報やクレジットカード情報を受け取ることはなく、支払いの確認または否認に関する情報のみを受け取ります。場合によっては、決済サービス事業者がこれらのデータを信用情報機関に送信することがあります。この送信は、本人確認および与信審査を目的としています。詳細については、各決済サービス事業者の利用規約およびプライバシーに関する案内をご参照ください。
支払い取引については、各決済サービス事業者の利用条件およびプライバシーに関する案内が適用され、これらは各ウェブサイトまたは取引アプリケーション内で閲覧できます。さらに、撤回権、開示請求権その他のデータ主体の権利を行使する際の参考情報として、これらもご参照ください。
管理、財務会計、事務管理、連絡先管理
当社は、管理業務ならびに事業運営、財務・会計処理、法令上の義務の履行(例:保管・保存)に関連してデータを処理します。この際、当社は契約上のサービス提供のために処理するのと同じデータを処理します。処理の法的根拠は、Art. 6 Abs. 1 lit. c. DSGVO および Art. 6 Abs. 1 lit. f. DSGVOです。処理の対象となるのは、顧客、見込み顧客、取引先、およびウェブサイト訪問者です。処理の目的および当社の利益は、管理、財務・会計、事務所運営、データの保管・保存にあり、すなわち当社の事業活動の維持、業務の遂行、および当社サービスの提供に資する作業です。契約上のサービスおよび契約に関する যোগাযোগに関するデータの削除は、これらの処理活動で記載した内容に準じます。
当社はこの際、税務当局、税理士や会計監査人などの顧問、その他の請求先機関および決済サービス事業者に対してデータを開示または送信することがあります。
さらに当社は、業務上の利益に基づき、仕入先、イベント主催者、その他の取引先に関する情報を、たとえば後日の連絡のために保存します。これらの大半が企業に関するデータは、原則として恒久的に保存します。
ホスティングとEメール配信
当社が利用しているホスティングサービスは、以下のサービスを提供するために用いられます。インフラおよびプラットフォームサービス、計算資源、ストレージ、データベースサービス、メール送信、セキュリティサービス、ならびに本オンラインサービスの運営のために当社が使用する技術的保守サービスです。
この際、当社または当社のホスティング事業者は、顧客、見込み顧客、および本オンラインサービスの訪問者に関する基本データ、連絡先データ、コンテンツデータ、契約データ、利用データ、メタデータおよび通信データを、Art. 6 Abs. 1 lit. f DSGVOに基づく、本オンラインサービスを効率的かつ安全に提供するという当社の正当な利益および Art. 28 DSGVO(データ処理契約の締結)に基づいて処理します。
アクセスデータおよびログファイルの収集
当社、または当社のホスティング事業者は、GDPR 第6条第1項 f に基づく当社の正当な利益により、このサービスが設置されているサーバーへの各アクセスについてデータを収集します(いわゆるサーバーログファイル)。アクセスデータには、アクセスしたWebページ名、ファイル、アクセス日時、転送されたデータ量、正常にアクセスできた旨のメッセージ、ブラウザーの種類およびバージョン、ユーザーのオペレーティングシステム、Referrer URL(直前に訪問したページ)、IPアドレス、および要求元プロバイダーが含まれます。
ログファイル情報は、セキュリティ上の理由(例:不正使用や詐欺行為の解明)により、最長7日間保存され、その後削除されます。証拠保全のためにさらに保管が必要なデータは、各事案が最終的に解決されるまで削除対象から除外されます。