プライバシーポリシー privacy policy

本プライバシーポリシーは、当校のオンラインプレゼンス、ウェブサイト、その機能およびコンテンツ、ならびに当校のソーシャルメディア・プロファイルなどの外部オンラインプレゼンス(以下、総称して「オンラインプレゼンス」)における個人データの取扱いの種類、その範囲および目的についてお知らせするものです。「処理」または「管理者」など、使用される用語に関しては、EU一般データ保護規則(GDPR)第4条の定義をご参照ください。

GDPRに基づくデータ保護宣言

管理者の名前と住所

デュッセルドルフ日本人学校

学校長 寺村雅子

Niederkasseler Kirchweg 38 40547 Düsseldorf

電話番号+49-(0)211-5577-0
ファックス+49-(0)211-5577-155
電子メールj.schule@jisd.de

データ保護オフィサー

 

電子メールdpo@jisd.de

データ処理に関する一般情報

個人データの取り扱いの範囲

原則として当校は機能的なウェブサイトおよび当校のコンテンツやサービスを提供するために必要な範囲においてのみ、ユーザー(当サイト閲覧者)の個人データを処理します。ユーザー(当サイト閲覧者)の個人データの処理は、通常ユーザー(当サイト閲覧者)の同意がある場合にのみ実行されます。ただし、実際的理由から事前の同意を得ることができない場合、また法的規制によりデータの処理が認められている場合は、その限りではありません。

個人データの処理に関する法的根拠

  • 当校が個人データの処理業務についてデータ主体の同意を得る限り、EU一般データ保護規則(GDPR)第6条(1)項aが法的根拠となります。
  • データ主体が当事者の契約の履行に必要な個人データを処理する場合、法的根拠としてGDPR第6条(1)項(b)が適用されます。これは、契約前のやり取りの際、必要なデータ処理にも適用されます。
  • 当校が従うべき法的義務の履行において個人データの処理が必要な場合、第6条 (1) c GDPRが法的根拠となります。
  • データ主体または他の自然人の重大な利益のために個人データの処理が必要な場合、GDPR第6条(1)項(d)が法的根拠となります。
  • 当校または第三者の正当な利益を保護するために処理が必要であり、データ主体の利益、基本的人権および自由が前述の利益を上回らない場合、GDPR第6条(1)項(f)が処理の法的根拠となります。

データの削除及び保存期間

データ主体の個人データは、保存の目的がなくなり次第、削除されます。管理者が従うべき規則、法律その他規定において、EUまたはドイツ国内の立法者によって規定されている場合、それ以上の保存期間が制定されることがあります。前述の基準をもって定められた保存期間が経過した場合、契約の締結または履行のためにデータの保存を継続する必要がある場合を除き、データは削除されます。

ウェブサイトの提供およびログファイルの作成

データ処理の説明と範囲

当校のウェブサイトは、アクセスされる都度、当校のシステムにアクセスした端末のシステムから自動的にデータや情報を収集しています。

その場合、以下のデータを収集しています。

  • 氏名、住所(ユーザーの入力により)
  • 連絡先(ユーザーの入力により)
  • ユーザーによる入力内容
  • アクセス日時
  • ユーザー(当サイト閲覧者)のIPアドレス

また、このデータは、当校のシステムのログファイルにも保存されます。これらデータは、ユーザー(当サイト閲覧者)の他の個人データと合わせて保存されることはありません。

データ処理の法的根拠

データおよびログファイルの一時的保存における法的根拠は、6条1項(f) GDPRです。

データ処理の目的

システムにおけるIPアドレスの一時的保存は、ユーザー(当サイト閲覧者)の端末にウェブサイトを配信できるようにするために必要なものです。この目的のために、ユーザー(当サイト閲覧者)のIPアドレスはセッションの間、保存され続けなければなりません。

その他のデータの保存は、ユーザー(当サイト閲覧者)からのお問合せや連絡に対応するためのものです。マーケティング目的など、他の目的のためのデータ評価は、それに関連して行われません。 

当校のホスティングサービスは、以下のサービスを提供するために利用されています。

  • インフラサービス
  • プラットフォームサービス。
  • データベースサービス
  • Eメール配信 
  • 安全保障サービス
  • テクニカルメンテナンスサービス

当校は、このオンライン・プレゼンスを運営するために、上記のサービスを利用しています。ここでは、顧客、利害関係者、このオンラインプレゼンスの訪問者のデータ、連絡先データ、コンテンツデータ、契約データ、使用データ、メタデータ、通信データの処理は、GDPR第6条1項f号とGDPR第28条(注文処理契約の締結)に基づき、このオンラインプレゼンスを効率的かつ安全に提供するという当校の正当な利益に基づいて行われるものです。

保管期間

データは、収集された目的を達成するための必要がなくなり次第、削除されます。ウェブサイト提供のためのデータ収集の場合は、その都度のセッションが終了した時点とします。

ログファイルへのデータ保存の場合、遅くとも7日後に削除しますと。この期間を超えての保存の可能ではあるものの、この場合、ユーザー(当サイト閲覧者)のIPアドレスは削除または疎外され、クライアントの割り当ては不可能になります。

異議申し立てと削除

ウェブサイト提供のためのデータ収集およびログファイルへのデータ保存は、ウェブサイト運営のために技術的に必要なものです。そのため、ユーザー(当サイト閲覧者)は異議を申し立てることはできません。

クッキーの使用について

a) データ処理の説明と範囲
当校のウェブサイトでは、クッキーを使用しています。クッキーとは、インターネットブラウザに保存されるテキストファイル、またはインターネットブラウザがユーザー(当サイト閲覧者)の端末システムに保存するものです。ユーザー(当サイト閲覧者)がウェブサイトを呼び出す際、ユーザー(当サイト閲覧者)のオペレーティングシステムにクッキーが保存されることがあります。

b) データ処理の法的根拠
クッキーを使用した個人データの処理に関する法的根拠は、GDPR第6条(1)項(f)です。

e) 保存期間、異議申し立てと削除
クッキーは、利用者の端末に保存され、利用者が当サイトに送信するものです。したがって、クッキーの使用については、ユーザー(当サイト閲覧者)が完全に管理することができます。ユーザーは、インターネット閲覧ソフト(ブラウザ)の設定を変更することにより、クッキーの送信を停止または制限することができます。すでに保存されているクッキーも、いつでも削除することができます。これを自動的に行うことも可能です。

データ主体の権利

ユーザーの個人データがお処理される場合、ユーザーはGDPRの意味におけるデータ主体であり、管理者に対して以下の権利を有するものとします。

アクセス権

ユーザーは関する個人データが当校によって処理されているか否かについて、管理者に確認を求めることができます。
このような処理がある場合、データ主体は管理者に対して、以下のような情報を要求することができます。

 

  1. 個人データを処理する目的。
  2. 処理される個人データのカテゴリー。
  3. データ主体に関する個人データが開示された、または開示される予定の受取人または受取人の種類。
  4. データ主体に関する個人データの想定される保存期間、またはこれに関する具体的な情報が不可能な場合には、保存期間を決定するための基準。
  5. お客様に関する個人データを修正または消去する権利、管理者による処理の制限を受ける権利、または当該処理に反対する権利の存在。
  6. 監督当局への不服申し立て権の存在。
  7. 個人データがデータ主体から収集されたものではない場合、情報の出所に関する利用可能なあらゆる情報。
  8. GDPR第22条1項及び4項に基づく、プロファイリングを含む自動意思決定の存在、及び少なくともこれらの場合、関係する論理、データ主体に対する当該処理の範囲及び意図する効果に関する意味のある情報。

データ主体は、データ主体に関する個人データが第三国または国際機関に移転されるかどうかについての情報を要求する権利を有します。それに関連て、データ主体は、移転に関連するGDPR第46条に基づく適切な保護措置について知らされるよう要求することができます。

修正権

データ主体は、データ主体に関する個人データが不正確または不完全である場合、管理者に対して修正および/または補完を求める権利を有します。管理運営者は、不当な遅延なく修正を行わなければならない。

c) データ処理の目的
これらの目的は、GDPR第6条1項f号に基づく、個人データの処理における当校の正当な利益でもあります。
これに基づき、当校または当校のホスティングプロバイダーは、それぞれ本サービスが置かれているサーバーへの各アクセスに関するデータ(いわゆるサーバーログファイル)を収集します。
アクセスしたウェブサイトの名前、アクセスしたファイルの名前、アクセスした日付、時間、転送されたデータ量、成功したアクセスに関するメッセージ、ブラウザの種類とバージョン情報、ユーザー(当サイト閲覧者)のオペレーティングシステム、前に訪れたページのURL、IPアドレス、要求元のプロバイダが含まれます。
ログファイルの情報は、セキュリティ上の理由(例:検察の調査など)で最大7日間保存され、その後削除されます。上記の調査において証拠資料として必要とされるデータは、最終的な解明がなされるまで削除されることはありません。

処理を制限する権利

データ主体は、以下の条件の下で、データ主体に関する個人データの処理の制限を要求することができます。

  1. 管理者が個人データの正確性を確認できる期間、データ主体に関する個人データの正確性に異議を唱えた場合。
  2. 処理が違法であり、データ主体が個人データの消去に異議を唱え、代わりに個人データの使用の制限を要求する場合。
  3. 管理者が処理の目的のために個人データを必要としなくなったが、データ主体が法的請求の確立、行使、または弁護のために個人データを必要とする場合、または
  4. データ主体が第21条(1) GDPRに従って処理に異議を唱え、管理者の正当な理由データ主体の理由に優先するかどうかがまだ明確でない場合。

データ主体に関する個人データの処理が制限されている場合、当該データは、データ主体の同意がある場合、または法的請求権の確立、行使、弁護のため、他の自然人または法人の権利保護のため、あるいは連合または加盟国の実質的な公益のためのみに処理することができます(保存は別)。

上記の条件に従って処理の制限が行われた場合、制限が解除される前に、管理者データ主体に通知されます。

消去の権利

a) 消去の義務

データ主体は、データ主体に関する個人データを不当に遅滞なく消去するよう管理者に要求することができ、管理者は、次のいずれかの理由に該当する場合、当該データを不当に遅滞なく消去する義務を負います。

  1. データ主体に関する個人データが、収集またはその他の方法で処理された目的に対して必要でなくなった場合。
  2. データ主体、GDPR 第6条 (1) aまたは9条 (2) aに従って処理の根拠となった同意を撤回し、処理に対する他の法的根拠が存在しない場合。
  3. データ主体がGDPR第21条第1項に従って処理に異議を唱え、処理に優先する正当な理由がない場合、またはGDPR第21条第2項に従って処理に異議を唱えた場合。
  4. データ主体に関する個人データが違法に処理された場合。
  5. 管理者が従うべき連邦法または加盟国法に基づく法的義務を遵守するために、データ主体に関する個人データの消去が必要である場合。
  6. データ主体に関する個人データは、GDPR第8条1項に基づき提供され、それに関連して収集されたものです。

b) 第三者への情報提供

管理者がデータ主体に関する個人データを公開し、GDPRの第17条(1)に従って消去する義務を負う場合、管理者は、利用可能な技術および実施に要する費用を考慮した上で、個人データを処理するデータ管理者に、データ主体としてお客様が当該個人データへのすべてのリンク、またはそのコピーもしくは複製を消去するよう要請したことを知らせるために、技術手段を含む妥当な措置を講じるものとします。

例外事項

消去の権利は、処理が必要である限り、適用されません。

  1. 表現と情報の自由の権利の行使のため。
  2. 管理者が従うべき連邦法またはEU加盟国法の下で処理を必要とする法的義務の遵守のため、または公共の利益のために、もしくは管理者に与えられた公的権限の行使のために実施されるタスクの実行のため。
  3. GDPR第9条2項(h)、(i)および第9条3項に基づく公衆衛生の分野における公益上の理由から。
  4. (a)項の権利が当該処理の目的の達成を不可能にするか著しく損ねる可能性がある限りにおいて、公益のためのアーカイブ目的、科学的もしくは歴史的研究目的またはGDPR第89条1項に基づく統計目的。
  5. 法的要求の主張、行使、弁護のため。

情報を得る権利

データ主体が管理者に対して修正、消去または処理制限の権利を主張した場合、管理者は、それが不可能であることが判明した場合または不相応な努力を伴う場合を除き、データ主体に関する個人データが開示されたすべての受領者に、当該データの修正、消去または処理制限を通知する義務を負うものとします。

データ主体は、管理者に対して、これらの受信者について知らされる権利を有します。

データポータビリティの権利

データ主体は、管理者に提供したお客様に関する個人データを、構造化された一般的かつ機械可読な形式で受け取る権利があります。また、データ主体は、以下の条件に基づき、個人データが提供された管理者の妨げになることなく、このデータを別の管理者に転送する権利を有します。

  1. 処理が、GDPR第6条1項a号またはGDPR第9条2項a号に基づく同意、またはGDPR第6条1項b号に基づく契約に基づく場合。
  2. 処理が自動化された手段をもって実行される場合。

この権利を行使する場合、データ主体は、技術的に可能な限り、データ主体に関する個人データをある管理者から別の管理者に直接転送してもらう権利も有します。これは、他の人の自由と権利に影響を及ぼしてはなりません。

データポータビリティの権利は、公共の利益のために実施される目的の遂行、または管理者に帰属する公的権限の行使に必要な個人データの処理には適用されません。

異議申立権

データ主体は、GDPR第6条1項(e)または(f)に基づいて行われるデータ主体に関する個人データの処理に対して、お客様の特定の状況に関連する根拠に基づいて、いつでも異議を唱える権利を有します。これは、これらの規定に基づくプロファイリングにも適用されます。

管理運営者は、データ主体の利益、権利および自由を凌駕する、処理に対する説得力のある正当な理由を証明できない限り、または処理が法的請求の主張、行使、弁護を目的としない限り、データ主体に関する個人データの処理を停止するものとします。

データ主体に関する個人データがダイレクトマーケティングの目的で処理される場合、データ主体は当該マーケティングを目的としたお客様に関する個人データの処理に対して、いつでも異議を唱える権利を有します。

データ主体がダイレクトマーケティング目的の処理に反対された場合、データ主体に関する個人データは、これらの目的のために処理されなくなります。

データ保護法に基づく同意の宣言を撤回する権利

データ主体は、データ保護法に基づく同意の宣言をいつでも撤回する権利を有します。同意の取り消しは、取り消しまでの間に同意に基づき実施された処理の適法性に影響を与えません。

プロファイリングを含む、個々のケースにおける自動化された意思決定

データ主体には、お客様に関する法的効果をもたらす、または同様にお客様に大きな影響を与える自動処理(プロファイリングを含む)のみに基づく決定の対象とならない権利があります。ただし、この決定は、次の場合を除きます。

  1. データ主体と管理者との間の契約の締結または履行のために必要である場合。
  2. 管理者が属する連合または加盟国の法的規定に基づいて許容され、これらの法的規定がお客様の権利と自由、およびデータ主体の正当な利益を保護する適切な手段を含んでいること
  3. または、データ主体の明示的な同意を得て作成されたものです。

ただし、これらの決定は、GDPR第9条第2項(a)または(g)が適用され、権利および自由ならびにお客様の正当な利益を保護するために適切な措置が講じられている場合を除き、GDPR第9条第1項に基づく個人データの特殊カテゴリーに基づくことはできません。

(1)および(3)に記載された場合に関して、管理者は、少なくとも管理者側の人間の介入を得る権利、自分の意見を表明する権利、および決定に異議を唱える権利を含む、データ主体の権利と自由、および正当な利益を保護するための妥当な措置を講じなければならないものとします。

監督当局に苦情を申し立てる権利

データ主体に関する個人データの処理がGDPRに違反していると考えられる場合、他の行政上または司法上の救済手段を損なうことなく、お客様は、特にデータ主体の居住地、勤務地または侵害の疑いがある場所の加盟国の監督当局に苦情を申し立てる権利を有します。

苦情の申し立て先である監督当局は、GDPR第78条に基づく司法救済の可能性を含め、苦情の状況および結果を申立人に通知します。