データ主体の権利に関するポリシー
Chaos Group(「Chaos Group」、「当社」)が取り扱う個人データのデータ主体は、個人データ保護法令に基づいて自身の権利を行使できますが、その際に適用される条件がこのポリシー(「本ポリシー」)に記述されています。
パート1: 一般原則
1.1. Chaos Groupは、自身の活動を通して収集された個人データを、透明性をもって、合法的に、また個人データが収集された目的に沿って取り扱うとともに、これを保護します。
1.2. Chaos Groupのユーザーや顧客に対してソフトウェア製品、サービスやクライアント向けサポートを販売するために自身の雇用関係の一部として個人データを取り扱う従業員は、次のデータ取り扱い原則を順守するよう義務付けられます:
i) 個人データは合法的に誠意を持って取り扱われる;
ii) 個人データは、特定の明確な目的と合法的な目的のために収集され、そうした目的に適合しない方法でさらなる取り扱いはなされない;
iii) Chaos Groupが収集し取り扱う個人データは、それらのデータが取り扱われる目的に適合しており、そうした目的に関連しており、そうした目的に限定される;
iv) 個人データは正確であり、必要な場合はアップデートされる;
v) 個人データは、それらが不正確であるか、またはそれらが取り扱われている目的に限定されていないことが証明された場合は消去または修正されている。
vi) 個人データは、そのデータが収集された目的のために必要な期間を超えない期間にわたって個々の自然人を識別することが可能なフォーマットで維持される;
1.3. 個人データを取り扱う従業員は、初期および定期的なデータプライバシー研修の対象であり、適用されるデータプライバシーに関する法令を熟知しています。
パート2: 定義
以下に記載されている用語は次の意味を持ちます:
「個人データ」とは、識別された、または識別可能な自然人(「データ主体」)に関する情報のことを指します。識別可能な自然人とは、特に、その自然人の名前、識別番号、位置データ、オンライン識別子などの識別子を参照することにより または身体的な、生理的な、遺伝子上の、精神的な、経済上の、文化的または社会的なアイデンティティに特有の一つ以上の要因を参照することにより直接的に、または間接的に識別できる人のことです。
「適用される法令」とは、個人データの保護に適用される欧州連合(EU)の法令とブルガリア共和国の法令(特に重視されます)のことを指します。
「プロファイリング」とは、自然人に関連する特定の個人的な側面を評価するための個人データ、とりわけその自然人の職場での成績、経済状態、健康、個人的選好、関心、信頼性、行動、場所や移動に関する側面を分析または予想するための個人データの利用で構成される個人データの自動処理の形態を指します。
「データ主体」とは、特に、個人の名前、識別番号、位置データ、オンライン識別子などの識別子や、身体的な、生理的な、遺伝子上の、精神的な、経済上の、文化的または社会的な識別子により、直接的に、または間接的に識別できる個人(自然人)のことを指すます。
「規則・(EU) 2016/679“ または“GDPR」とは、個人データの取り扱いに関連する自然人の保護とそのデータの自由な移転に関する2016年4月27日付け規則・(EU) 2016/679(一般データ保護規則) のことを指します(この規則によりEC指令95/46が廃止されました)。
パート3: データ主体の権利
データ主体は、Chaos Groupが取り扱う自身の個人データに関して次の権利を有します:
i) アクセスする権利;
ii) 修正する権利;
iii) データの可搬性に関する権利;
iv) 消去する権利(「忘れ去られる権利」);
v) 取り扱いを制限する権利;
vi) 個人データの取り扱いを拒否する権利;
vii) プロファイリングを含め、自動化された処理のみに基づく意思決定の対象にならない権利;
アクセスする権利
2.1. Chaos Groupは、要求があった場合、データ主体に対して次の情報を提供します:
i) 当該要求をしたデータ主体の個人データをChaos Groupが処理したか否かについての情報;
ii) Chaos Groupが処理したデータ主体の個人データのコピー; および、
iii) 処理される個人データに関する説明。
2.2.上記の2.1. 項 (iii) に基づく説明には、Chaos Groupが処理した個人データに関する次の情報が含まれています:
i) 処理の目的;
ii) 個人データの個別カテゴリー
iii) 個人データが開示された、または開示される可能性がある受領者、もしくは受領者のカテゴリー。特に、EU/欧州経済領域の域外の国の受領者についての情報が明示されます;
iv) 可能な場合は、個人データが保管されなければならない想定保管期間。それが不可能な場合は、当該の期間を判断するために使われる基準。
v) データ主体に関する個人データの補正、修正、消去を要求する権利や当該データの取り扱いを制限する権利、および個人データの取り扱いを拒否する権利の有無;
vi) それぞれの当局に苦情を提出する権利;
vii) 個人データがその個人を通して収集されない場合は、収集される個人データのソースに関する完全な情報が提供されます;
viii) 自動化された意思決定の有無。ただし、この処理に意思決定のロジック、およびデータ主体に対するこの処理によって予想される影響に関連するプロファイルおよび情報が含まれているかどうかは問いません;
ix) 個人データが第三者や国際機関に移転される場合、データ主体は、その移転に関連して当人の個人データに適用される保護措置について通知を受ける権利を有します。
2.3. 処理された個人データに関する説明には、Chaos Groupが自身のプライバシー・ポリシーに基づいてデータ主体に提供する情報が含まれます。
3.1. Chaos Groupは、データ主体の要求に基づいて、Chaos Groupがそれぞれのデータ主体に関して取り扱う個人データのコピーを提供することがあります。
3.2. Chaos Groupは、個人データのコピーを提供する際に、次のカテゴリーのデータはデータ主体に開示しません:
i) 第三者の個人データ(開示に関してその第三者から明確な承諾がない場合);
ii) 営業秘密、知的財産や機密情報であると認定され得るデータ;
iii) 適用される法令に基づいて保護される他の情報。
3.3. アクセスする権利をデータ主体に与えることにより第三者の権利が阻害されることや、Chaos Groupの法令上の義務に対する違反につながることがあってはならないものとします。
4.1. アクセス権の要求に正当な理由がないことや、それが過大なものであることが明らかな場合(特に、そうした要求の頻度が高いことによります)、Chaos Groupは、情報提供に関する管理コストをベースとする妥当な料金を請求できるか、またはアクセス権の要求に対する対応を拒否することができます。
4.2. Chaos Groupは、アクセス権の要求が明らかに正当な理由がないものであるか、または過大なものであるか否かをケースバイケースで判断します。
4.3. 個人データへのアクセスを拒否する場合、Chaos Groupは、そうした拒否に関して正式な説明書を発行するとともに、個人データ保護委員会(PDPC)に苦情を提出する権利があることをデータ主体に通知します。
修正する権利
5.1. データ主体は、Chaos Groupが処理している自身の個人データが不正確または不完全である場合はそのデータの修正を要求できます。
5.2. 個人データの修正に関して適切な要求があり次第、Chaos Groupは、個人データが開示された他の受領者(政府機関、サービスプロバイダなど)が変更点を反映できるよう、その受領者に通知します。
消去する権利(「忘れ去られる権利」)
6.1. Chaos Groupは、要求があり次第、次のいずれかに該当する理由がある場合は、要求を行なったデータ主体の個人情報のすべてを消去します:
i) 個人データが収集された目的や他の方法で処理された目的から見て、すでにその個人データの必要性がなくなっている場合;
ii) 個人データの取り扱いの根拠となる承諾をデータ主体が撤回し、その取り扱いに関する他の法的根拠がない場合;
iii) データ主体が個人データの取り扱いを拒否し、それを取り扱うためのその拒否に優先する合法的な根拠がない場合;
iv) データ主体がダイレクトマーケティングを目的とする個人データの取り扱いを拒否した場合;
v) 個人データが不法に取り扱われた場合;
vi) Chaos Group に課せられているEUの法律や加盟国の法律に記載されている法的義務を順守するために個人データの消去が避けられない場合;
vii) GDPRの第8条(1)に言及されている情報社会サービスの提供に関連して個人データが収集された場合。
6.2. 次の理由の1つを満たすために個人データの取り扱いが必要である場合に限り、Chaos Groupには個人データを消去する義務はなく、そのデータを継続して取り扱うことができます:
i) 表現や情報の自由に関する権利を行使するため;
ii) Chaos Groupの法的義務を順守するため;
iii) GDPRの9(2)条・(h)と(i)項および9(3)条に準拠する公衆衛生の分野における公共利益の理由のため;
iv) または、パラグラフ1で言及されている権利が、個人データの取り扱いの目的を達成できないようにする可能性ある場合、またはその達成を深刻に阻害する可能性がある場合に限り、GDPRの第89条(1)に準拠する公共利益における目的、科学的調査や歴史上の調査の目的、または統計上の目的を達成するため; または、
v) 法的な申し立ての根拠の確立、申し立ての実行、または申し立てに対する防御のため。
取り扱いを制限する権利
7.1. データ主体は、次の一つに該当する理由がある場合は、取り扱いの制限を要求する権利を有します:
i) データ主体が個人データの正確性に意義を唱えた。この場合、Chaos Groupが個人データの正確性を確認することが可能になる期間にわたり取り扱いが制限されます;
ii) 個人データの取り扱いが違法であり、データ主体が個人データの消去に反対し、その代わりに個人データ利用の制限を要求した;
iii) Chaos Groupにとって個人データを取り扱う目的のためにそれを引き続き保管する必要がなくなったが、データ主体が法的な申し立ての根拠の確立、申し立ての実行、または申し立てに対する防御のためにChaos Groupに保管を要求した。
iv) データ主体が、データコントローラの正当な根拠の方がデータ主体の正当な根拠よりも優先するかどうかの確認を待つ間、Chaos Groupの正当な利益に基づく取り扱いに反対している。
7.2. Chaos Groupは、次のことを唯一の目的として、取り扱いが制限されている個人データを取り扱うことができます:
i) 保管目的;
ii) データ主体から明確な承諾を受けた場合;
iii) または、法的な申し立ての根拠の確立、申し立ての実行、または申し立てに対する防御;
iv) 他の自然人や法人の権利を保護するため;
v) または、EUやその加盟国の重要な公共利益の理由のため。
7.3. データ主体が個人データ取り扱いの制限を要求した場合に上記の7.1.条に基づく理由の1つが残っているときは、Chaos Groupは、取り扱いの制限が解除される前にデータ主体に通知します。
データの可搬性に関する権利
8.1. データ主体は、自身がChaos Groupに提供した自身に関する個人データを、構造化された、一般的に使用される、機械で読み取り可能なフォーマットで受け取る権利、および個人データが提供されたコントローラから妨害を受けることなく、他のコントローラにそれらのデータを送信する権利を有します。
8.2. 個人データは、要求があり次第、技術面で実行可能な場合はデータ主体が指定した他の管理者に移転されます。
8.3. データ主体は、次の場合に可搬性に関する権利を行使できます:
i) 個人データの取り扱いがデータ主体の承諾に基づいている;
ii) 個人データの取り扱いが契約上の義務に基づいている;
iii) 個人データの取り扱いが自動化された方法で実行されている。
8.4. データの可搬性に関する権利が他の人の権利や自主性に悪影響を及ぼすことはできません。
拒否する権利
9.1. データ主体は、自身の個人データが次の理由の一つに基づいて取り扱われる場合は、Chaos Groupがそのデータを取り扱うことを拒否する権利を有します:
i) 公共の利益により、またはコントローラに与えられた正式な権限の行使により実行されるタスクのパフォーマンスのために個人データの取り扱いが必要な場合;
ii) Chaos Groupが追求する正当な利益のために個人データの取り扱いが必要な場合;
iii) 個人データの取り扱いにプロファイリングが含まれている場合。
9.2. Chaos Groupは、個人データを取り扱うために不可避の正当な根拠(データ主体の利益、権利、自主性よりも優位性がある根拠)や、法的な申し立ての根拠の確立、申し立ての実行、または申し立てに対する防御のために不可避の正当な根拠を当社が明示していない場合に、拒否する権利をデータ主体が行使したときは個人データの取り扱いを続行しません。
ダイレクトマーケティングを目的とする個人データ取り扱いを拒否する権利
10.1. 個人データがダイレクトマーケティングを目的として取り扱われる場合、データ主体は、当該のマーケティングのために自身に関する個人データを取り扱うことをいつでも拒否する権利を有します。プロファイリングが当該のマーケティングと関連するものである場合は、そのプロファイリングがそうした個人データの取り扱いに含まれます。
10.2. データ主体がダイレクトマーケティングを目的とする個人データの取り扱いを拒否した場合、その個人データがそうした目的のために継続して取り扱われることはありません。
自動化された意思決定のプロセスに人間が介入する権利
11.1. Chaos Groupが自動化された意思決定を使用する場合は、それにプロファイリングが含まれているか否かを問わず、またその意思決定プロセスが自然人に対する法的な影響力を持っているか、または同様な方法で自然人に重大な影響を及ぼすかを否かを問わず、その自然人は、人間が介入して意思決定をレビューすることを要求でき、また自身の見解を述べることができます。
11.2. Chaos Groupは、自動化された意思決定の対象である自然人に対して、意思決定のロジックに加えて当該の処理の意味や想定される影響に関する情報を要求に応じて提供します。
パート4: データ主体の権利行使に関する手続
12.1. すべてのデータ主体は、関連性のある権利を行使するための要求書を提出することにより、本ポリシーに基づく権利を行使できます。
12.2. データ主体の権利を行使するための要求書は、次に記載するうちの一つの方法でなされることが必要です:
i) eメールアドレスdpo@chaosgroup.comにeメールする;
ii) Chaos Groupの事務所で手渡す;
iii) 147 Tsarigradsko Shose Blvd., fl. 4, Sofia Bulgaria, 1784. に郵送する。
12.3. データ主体の個人データに関する権利の行使の要求には、次の情報が含まれていることが必要です:
1. 疑う余地のない当該人についての識別情報 -- 名前や個人識別番号(該当する場合)
2. 連絡先の詳細情報: 住所、電話番号、eメールアドレス
3. 要求事項 -- 要求内容
12.3. Chaos Groupは、データ主体の権利行使に関する要求に関連して講じられる措置に関する情報を、その要求を受け取ってから1か月以内に提供します。
12.4. その期間は、当該要求の複雑性や件数を考慮して、必要に応じてさらに2か月延長されることがあります。Chaos Groupは、当該の要求を受け取ってから1か月以内に、遅延理由を添えてそうした延長をデータ主体に通知します。
12.5. Chaos Groupは、データ主体を識別することができない場合、その要求に対して対応する義務を負いません。
12.6. Chaos Groupは、要求書を提出した個人のアイデンティティについて合理性のある懸念がある場合、データ主体のアイデンティティを確認するために必要な追加情報を提供するよう要求することができます。
12.7. データ主体が電子的な形態の方法で要求書を提出した場合、データ主体から他の方法を要求されない限り、当該の情報は可能な範囲で電子的な方法により提供されます。
