1. はじめに
当法人は、当法人が取得した個人情報の取扱いに関し、個人情報の保護に関する法律、個人情報保護に関するガイドライン等の指針、EU一般データ保護規則、同規則に関連する各国施行法、その他個人情報保護に関する関係法令を遵守しております。つきましては、当法人のウェブサイトのご利用をされる前に、本プライバシーポリシーを最後までよくお読みくださりますようお願いいたします。
2. 定義
本プライバシーポリシーにおける用語の定義は、以下のとおりです。
(1)「適用プライバシー法令」とは、個人情報の保護に関する法律、個人情報保護に関するガイドライン等の指針、EU一般データ保護規則、同規則に関連する各国施行法、その他個人情報保護に関する関係法令をいいます。
(2)「EU」とは、欧州連合加盟国及び欧州経済領域(EEA: European Economic Area)協定に基づきアイスランド、リヒテンシュタイン及びノルウェーを含む、欧州連合(European Union)をいいます。
(3)「管理者」とは、単独で又は他者と共同して、個人データの処理の目的及び手段の決定を行う自然人・法人・政府当局・機関、その他の者を言います。ただし、本プライバシーポリシーでは、当法人のことを意味します。
(4)「個人データ」とは、識別された自然人又は識別可能な自然人に関する情報をいいます。識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つ又は複数の要素を参照することによって、直接的又は間接的に、識別されうる者をいいます。
(5)「データ主体」とは、個人データが処理をする管理者によって処理される、識別されたまたは識別可能な自然人をいいます。
(6)「処理者」とは、管理者の代わりに個人データを取扱う自然人若しくは法人、公的機関、部局又はその他の組織をいいます。
(7)「取得者」とは、第三者であるか否かを問わず、個人データの開示を受ける自然人若しくは法人、公的機関、部局又はその他の組織をいいます。ただし、EU 法又は加盟国の国内法に従って特別の調査の枠組み内で個人データを取得できる公的機関は、取得者とはみなされません。公的機関によるそのデータの取扱いは、その取扱いの目的に従い、適用可能なデータ保護の規定を遵守するものといたします。
(8)「第三者」とは、データ主体、管理者、処理者、及び、管理者又は処理者の直接の承認の下で個人データの取扱いを承認されている者以外の自然人若しくは法人、公的機関、部局又はその他の組織をいいます。
(9)「処理」とは、自動的な手段によるか否かを問わず、収集、記録、編集、構成、記録保存、修正若しくは変更、検索、参照、使用、送信による開示、配布、又は、それら以外に利用可能なものとすること、整列若しくは結合、制限、消去若しくは破壊のような、個人データ若しくは一群の個人データに実施される業務遂行又は一群の業務遂行をいいます。
(10)「プロファイリング」とは、自然人と関連する一定の個人的側面を評価するための、特に、当該自然人の業務遂行能力、経済状態、健康、個人的嗜好、興味関心、信頼性、行動、位置及び移動に関する側面を分析又は予測するための、個人データの利用によって構成される、あらゆる形式の、個人データの自動的な処理をいいます。
(11)「同意」とは、自由に与えられ、特定され、事前に説明を受けた上での、不明瞭ではない、データ主体の意思の表示を意味し、それによって、データ主体が、その陳述又は明確な積極的行為により、自身に関連する個人データの取扱いの同意を表明するものをいいます。
3.個人データの処理の目的及び法的根拠
(1) 当法人は、以下の目的のためにのみ、適用プライバシー法令に従って個人データを処理いたします。かかる個人データ処理の法的根拠は、契約の履行、当法人の正当な利益(通常の業務の遂行)又はデータ主体の同意です。
(a) お客様、お取引先に関する個人情報
①当法人が関与するイベント、企画の実施及びメールニュース等による案内
②顧客及び取引先情報管理、支払、収入処理
③業務上の連絡、契約締結
④ご意見、ご感想の募集及びアンケートの実施
⑤問い合わせに対する対応
(b) 採用応募者の個人情報
①採用応募者への採用情報等の提供及び連絡
②当法人における採用業務管理
(c) 従業員等に関する個人情報
①人事・労務管理
②報酬、給与、賞与等の支払
③社会保険、税務等の手続
④健康保険組合、年金事務所、関係団体等への連絡・提供
⑤退職時の手続き
⑥緊急時等の連絡
⑦官公庁への届出及び報告
⑧担当業務におけるお客さま、お取引先への届出・報告・連絡
⑨業務上必要な諸手続及び連絡等
(2) 当法人は、上記(1)の処理の目的のため、以下の取得元から個人データを取得します。
①データ主体から直接的に取得
②データ主体から間接的に取得(データ主体の個人データが、データ主体の電子通信端末装置又はインターネットブラウザによって当法人に提供される場合を含みます。)
③公開情報
④Twitter、LinkedIn、Facebook等のソーシャルメディア
⑤第三者が提供する情報
(3) 当法人は、上記(1)の処理の目的のため、以下の種類の個人データを取得することがあります。
①氏名
②職業
③自宅住所
④所属先(学校又は勤務先)及び所属先(学校又は勤務先)住所
⑤位置データ
⑥電子メールアドレス(個人用/業務用)
⑦電話番号(個人用/業務用)
⑧オンライン識別子(IPアドレス、Cookie識別子)
⑨クレジットカード/銀行口座情報
⑩記録されたお客様の通話内容
11従業員の人事考課記録
12 採用情報(履歴書、証明書、生年月日、推薦状等)
(4) データ主体は、個人データの処理が同意に基づく場合、当法人に対してした同意をいつでも同意を撤回することができます。ただし、撤回前の同意に基づく個人データの処理の適法性が、同意の撤回により影響を受けることはありません。
(5) 当法人では、上記(1)の特定された、明確かつ正当な目的のためにデータ主体の個人データを処理し、これらの目的に適合しない方法でその個人データをさらに処理することはありません。当法人で、当初ある目的のために収集した個人データを別の目的のために処理しようとする場合、必ずこれをデータ主体にお知らせします。当法人は、当法人の法的義務を遵守するため、適切なサービスを確実に提供するため、そして当法人の事業活動を維持するために必要である限り、データ主体の個人データを保持いたします。
(6) 当法人は、処理される個人データが、処理の目的に関連して必要であるものに適し、関連し、および限られるよう徹底いたします。
4. 個人情報の第三者提供
(1) 当法人は、適用プライバシー法令に従い、データ主体の個人データを第三者と共有することがあります。データ主体のデータをデータ処理者と共有する場合、当法人は、データの移転及び処理を対象とする適切な法的枠組みを設けます。
(2) 当法人は、ホスティング、メンテナンス、サポートサービス、電子メールサービス、マーケティング、お客様のご注文への対応、支払処理、データ分析、カスタマーサービスの提供等のサービスを提供する企業とデータ主体の個人データを共有することがあります。
(3) 当法人は、法律、法的手続、訴訟又はデータ主体の居住国内外の公的機関及び政府当局の命令又は要請により、データ主体の個人データを必要最小限の範囲で開示する場合があります。
(4) 当法人は、データ主体の個人データをEU圏から日本を含むEU圏外に移転させることがあります。日本への個人データの移転は、日本国が取得した越境データ移転に関する十分性の認定に基づきます。日本及びEU圏以外の第三国(十分性認定を取得している国・地域を除く)への個人データの移転は、欧州委員会による標準契約条項(Standard Contractual Clauses)の締結の方法により、移転いたします。
5. 個人情報の安全管理
当法人は、管理者として、個人データの保護に関して、十分な技術的・組織的安全管理措置を講じています。データ主体が特定のデータ移転の方法等に関して不安を有する場合には、当法人は十分な代替的な措置を講じます。
6. 個人情報の廃棄
当法人は、法律上、より長期の保管期間が要求されている場合を除き、当社は、個人データの処理目的に照らし必要性が失われたときは、個人データを消去又は廃棄するものとし、当該消去及び廃棄は、外部流失等の危険を防止するために必要かつ適切な方法により行います。
7. クッキー(Cookie)
(1) 当法人は、当法人のウェブサイトが正しく機能するようにクッキー(Cookie)を使用しています。
(2) クッキーは、ブラウザーによりお客様のコンピュータ上に保存される小さな情報です。当法人は、当法人のウェブサイトが正しく機能するために必要なクッキーである機能性クッキー及びお客様による当法人のウェブサイトのご利用に関する情報を得て、当法人のウェブサイトを改善するための分析的クッキーを利用しています。
(3) データ主体は、いつでも、使用されるインターネットブラウザの対応する設定によって、クッキーを無効にすることが可能です。また、既定のクッキーは、インターネットブラウザ又は他のソフトウェアプログラムを介していつでも削除可能です。ただし、データ主体が、利用しているインターネットブラウザのクッキーの設定を無効にする場合、当法人のウェブサイトのすべての機能が完全に利用可能であるとは限りません。
8. Googleアナリティクスの使用
(1) 当サイトでは、Googleによるアクセス解析ツール「Googleアナリティクス」を使用しています。このGoogleアナリティクスはデータの収集のためにクッキーを使用しています。このデータは匿名で収集されており、データ主体を特定するものではありません。(2) この機能はクッキーを無効にすることで収集を拒否することが出来ますので、お使いのブラウザの設定をご確認ください。この規約に関しての詳細はGoogleアナリティクスサービス利用規約のページやGoogleポリシーと規約 ページをご覧ください。
9. データ主体の権利
適用プライバシー法令において、データ主体には以下の権利があります。これらの権利を主張するため、データ主体は、当法人が指名したデータ保護オフィサー(DPO)にいつでも連絡することができます。
(1)情報権:データ主体に関する当法人のデータ処理に関してすべての必要情報を当法人から取得する権利があります。
(2)アクセス権:処理が行われている個人データへのアクセスを管理者に請求し、個人データの写しを入手する権利があります。
(3)訂正権:データ主体は不正確な個人データを訂正することを管理者に求める権利があります。
(4)消去権:データ主体は一定の場合、管理者に自分に関する個人データの削除を遅滞なくさせる権利を有します。
(5)処理制限権:データ主体は一定の場合、管理者に個人データ処理の制限をさせる権利を有します。
(6)個人データの訂正、消去、処理の制限に関する通知権:上記(3)ないし(5)の場合、管理者は、個人データの取得者にこの処理を連絡すると共に、データ主体が要求する場合、取得者について通知いたします。
(7)データポータビリティ権:データ主体は自分に係わる個人データを、構造化され、一般的に使用され、機械によって読み取り可能な形式で受け取る権利を有します。また、当該データを、個人データが提供された管理者の妨害なしに、他の管理者に移行する権利があります。
(8)異議権:データ主体は管理者又は第三者によって追求される適法な利益の目的のための処理の必要性に基づく自己の個人データの処理に異議を唱える権利を有します。
(9)プロファイリングを含む自動化された処理を受けない権利:データ主体は、自己に関する法的効果をもたらすか又は当該データ主体に同様の重大な影響をもたらすプロファイリングなどの自動化された処理のみに基づいた決定に服しない権利を有します。
10. 苦情や相談の担当窓口
(1)ご質問や苦情がある場合、又は本プライバシーポリシー第 9 条に記載の権利を行使されることをご希望の場合は、以下の連絡先にお問い合わせください。
【特定非営利活動法人 芸術公社】事務局
artscommons.tokyo.inquiry@gmail.com
(2)当法人は以下の者をデータ保護オフィサーに指定しております。
氏名:相馬千秋
11.未成年者のデータについて
当法人は、未成年者に関する個人データを、親権者の同意なしに、故意に処理いたしません。 当法人は、未成年者の個人データを処理していたことを発見した場合は、できるだけ速やかに個人データを消去する措置を講じます。未成年者が当法人に個人データを提供したことにお気付きの場合は、本プライバシーポリシーに記載した連絡先を利用して直ちに当法人までご連絡ください。
12.他のサイトへのリンク
当法人は、当法人のウェブサイトから第三者のウェブサイト又はインターネットソースへのハイパーテキストリンクを提案することがあります。当法人は、第三者の個人データ保護に関する実際の取扱い及び内容を管理しておらず、また、それらに関して責任を負うことはできません。当該第三者の個人データ保護に関する方針を注意深くお読みいただき、当該第三者がお客様の個人データをどのように処理するかをご確認いただきますようお願いいたします。
13. 本プライバシーポリシーの改訂
本プライバシーポリシーは、2022年10月24日に最終改訂いたしました。当法人は、適用プライバシー法令に基づき、又は、当法人の方針により、本プライバシーポリシーを変更する可能性があります。