私たちは誰ですか?

データ管理者の名前と連絡先の詳細を提供します。あなたが個人事業主の場合、これは通常、あなたのビジネスまたはあなたになります。該当する場合は、管理者の代表者および/またはデータ保護責任者の身元と連絡先の詳細を含める必要があります。

収集する情報

名前、住所、ユーザー名など、収集する個人情報の種類を指定します。具体的な詳細を含める必要があります。
データの収集方法 (例: ユーザーがサービスを登録、購入または使用するとき、連絡フォームに記入するとき、ニュースレターにサインアップするときなど)
各データ収集方法を通じて収集する特定のデータ
第三者からデータを収集する場合は、データのカテゴリとソースを指定する必要があります
機密性の高い個人データまたは財務情報を処理する場合、およびこれをどのように処理するか



個人データおよび機密個人データに関連する定義をユーザーに提供することが必要な場合があります。

個人情報の使用方法

データを処理するすべてのサービスおよびビジネス関連の目的を詳細に説明してください。たとえば、これには次のようなものが含まれる場合があります。
コンテンツ、ビジネス情報、またはユーザー エクスペリエンスのパーソナライズ
アカウントの設定と管理
マーケティングおよびイベント コミュニケーションの提供
世論調査の実施
内部研究開発目的
商品とサービスの提供
法的義務 (詐欺の防止など)
内部監査要件を満たす



このリストはすべてを網羅しているわけではないことに注意してください。個人データを処理するすべての目的を記録する必要があります。

あなたの個人データを処理する法的根拠は何ですか?

GDPR に含まれる関連する処理条件について説明します。考えられる法的根拠は次の 6 つです。
同意
契約する
正当な利益
重要な利益
公務
法的義務



処理に適用されるすべての根拠とその理由に関する詳細情報を提供してください。同意に依存している場合は、個人が同意を撤回および管理する方法を説明してください。正当な利益に依存している場合は、それが何であるかを明確に説明してください。



特別なカテゴリの個人データを処理する場合は、6 つの処理条件のうち少なくとも 1 つと、GDPR に基づく処理の追加要件を満たす必要があります。適用されるすべての追加の根拠に関する情報を提供してください。

いつ個人データを共有するのですか?

個人データを機密に扱うことを説明し、それを開示または共有する可能性がある状況を説明してください。たとえば、処理の目的で概説されているように、サービスを提供したり、事業運営を行ったりする必要がある場合。次の情報を提供する必要があります。
データの共有方法
どのような安全対策を講じますか
データを共有できる相手とその理由

個人データはどこに保存および処理されますか?

該当する場合は、データ主体の本国以外でデータを保存および処理する予定があるかどうかを説明してください。プライバシー ポリシーおよびデータが存在する国の適用法に従ってデータが処理されるようにするための手順の概要を説明します。

欧州経済領域外にデータを転送する場合は、適切なレベルのデータ プライバシー保護を提供するために実施する対策について概説してください。例: 契約条項、データ転送契約など。

個人データをどのように保護していますか?

データ セキュリティへのアプローチと、個人情報を保護するために使用するテクノロジと手順について説明してください。たとえば、次のような措置が考えられます。
偶発的な損失からデータを保護する
不正なアクセス、使用、破壊または開示を防止するため
ビジネス継続性と災害復旧を確保する
個人情報へのアクセスを制限する
法律およびお客様のビジネス ポリシーに従ってプライバシー影響評価を実施するため
データセキュリティに関するスタッフと請負業者のトレーニング
契約とセキュリティ レビューを使用して、サード パーティのリスクを管理するため



このリストはすべてを網羅しているわけではないことに注意してください。個人データを保護するために使用するすべてのメカニズムを記録する必要があります。また、組織が特定の承認された基準または規制要件に準拠しているかどうかも記載する必要があります。

個人データはどのくらいの期間保持されますか?

各処理目的に関連して情報を保持する期間に関する具体的な情報を提供してください。 GDPR では、合理的に必要な期間を超えてデータを保持しないよう求めています。データまたは記録の保持スケジュールの詳細を含めるか、これらが公開されている追加リソースへのリンクを含めます。



特定の期間を述べることができない場合は、データを保持する期間を決定するために適用する基準を設定する必要があります (例: 地域の法律、契約上の義務など)。



また、不要になったデータを安全に廃棄する方法についても概説する必要があります。

個人データに関するあなたの権利

GDPR の下では、データ主体が個人データにアクセスして管理する権利を尊重する必要があります。プライバシー通知では、次の点に関する彼らの権利を概説する必要があります。
個人情報へのアクセス
訂正と削除
同意の撤回（同意を条件にデータを処理する場合）
データの移植性
処理の制限と異議
情報コミッショナーオフィスに苦情を申し立てる

個人がどのように権利を行使できるか、および被験者データの要求にどのように対応する予定かを説明する必要があります。関連する免除が適用される可能性があるかどうかを述べ、信頼できる身元確認手順を設定します。

データ主体の権利が制限される可能性がある状況の詳細を含めます。たとえば、データ主体の要求を満たすことで別の人物に関する個人データが公開される可能性がある場合、または法律で保持する必要があるデータを削除するよう求められた場合などです。

自動化された意思決定とプロファイリングの使用

プロファイリングまたはその他の自動意思決定を使用する場合は、プライバシー ポリシーでこれを開示する必要があります。そのような場合、自動化された意思決定の存在に関する詳細を、関連するロジックに関する情報、および個人の処理の重要性と結果とともに提供する必要があります。

お問い合わせ方法

データ主体があなたのプライバシー慣行や個人情報について質問や懸念がある場合、または苦情を申し立てたい場合に、データ主体がどのように連絡を取ることができるかを説明してください。オンライン、電子メール、郵便など、彼らがあなたに連絡できる方法をすべて説明してください。



該当する場合は、次の情報も含めることができます。

Cookie およびその他のテクノロジーの使用

詳細情報へのリンクを含めるか、Cookie、追跡および同様の技術を設定および使用して、Web サイトでのユーザー設定の保存と管理、広告、コンテンツの有効化、またはユーザーおよび使用データの分析を行う場合は、ポリシー内に説明することができます。使用する Cookie と技術の種類、それらを使用する理由、個人がそれらをどのように制御および管理できるかについての情報を提供してください。



他のウェブサイトや第三者のコンテンツへのリンク
あなたのウェブサイトから外部のサイトやリソースにリンクする場合は、これが推奨を構成するかどうか、およびリンク先のウェブサイトのコンテンツ (またはそこに含まれる情報) について責任を負うかどうかを具体的に示してください。



ビジネスの状況に応じて、プライバシー ポリシーに他のオプション条項を追加することを検討することをお勧めします。