GDPR

個人データの処理に関するポリシー

1. 一般条項

この個人データ処理ポリシーは、エストニアの法令「個人データに関する法律」（以下、個人データ法という）の要件に従って作成され、Company in Estonia OÜ（以下、オペレーターという）が実施する個人データの処理手続きおよび個人データのセキュリティを確保するための措置を定めています。

1.1. オペレーターは、個人データの処理において人と市民の権利と自由を尊重し、プライバシー、個人情報および家族の秘密の権利を保護することを最重要な目標と条件とします。

1.2. このオペレーターの個人データ処理ポリシー（以下、「ポリシー」という）は、オペレーターが rue.ee ウェブサイトの訪問者に関する情報を取得する可能性があるすべての情報に適用されます。

2. ポリシーで使用される基本概念

2.1. 個人データの自動処理 – コンピュータツールを使用して個人データを処理すること。

2.2. 個人データのブロック – 個人データの処理を一時的に停止すること（処理が個人データを明らかにする必要がある場合を除く）。

2.3. ウェブサイト – rue.ee でインターネット上で提供されているグラフィックや情報資料、およびコンピュータやデータベースのためのソフトウェアの集合。

2.4. 個人データ情報システム – データベースに含まれる個人データのセットであり、それらの処理を提供する情報技術および技術手段。

2.5. 個人データの匿名化 – 追加情報を使用せずに個人データを特定のユーザーまたはその他の個人データの主体に帰属させることができない行動。

2.6. 個人データの処理 – 個人データを使用して行われるあらゆるアクション（トランザクション）または自動化を使用して行われるあらゆるアクション（トランザクション）を含む、個人データの収集、記録、体系化、蓄積、保管、明確化（更新、修正）、抽出、使用、転送（伝達、提供、アクセス）、匿名化、ブロック、削除、個人データの破壊。

2.7. オペレーター – 個人データの処理を組織し（または）実施し、個人データの処理の目的、処理される個人データの構成、個人データと実行されるアクション（トランザクション）を決定する、国、地方自治体、法人または個人、他の人と共同である場合もあります。

2.8. 個人データ – rue.ee ウェブサイトの特定のユーザーまたは特定されたユーザーに直接または間接的に関連するすべての情報。

2.9. 個人データの開示を許可された個人データ – 個人データにアクセス権を与えた個人データの主体が許可した個人データは、個人データ法で定められた方法に従って個人データの処理に同意したことを指します（以下、開示許可された個人データという）。

2.10. ユーザー – rue.ee ウェブサイトの訪問者のいずれか。

2.11. 個人データの提供 – 特定の人物または特定のグループの人々に個人データを開示するための行動。

2.12. 個人データの拡散 – 個人データを特定の人々の範囲に開示するためのあらゆる行動（個人データの伝送）または無制限の数の人々が個人データを知ることを目的とした行動、個人データのマスメディアでの公表、情報および通信ネットワークでの掲示または個人データへのアクセスを他の方法で提供することを含みます。

2.13. 個人データの国境を越えた転送 – 個人データを外国の権限、外国の自然人または外国の法人の管轄地域に転送すること。

2.14. 個人データの破壊 – 個人データの情報システムおよび（または）個人データの物質的な保持者における個人データの内容の以後の回復の不可能な破壊をもたらすあらゆる行動。

3. オペレーターの基本的な権利と義務

3.1. オペレーターは次の権利を有します：

• 個人データの主体から個人データを含む信頼性のある情報や/または文書を受け取ること。
• 個人データの主体が個人データの処理に対する同意を取り下げた場合、個人データ法で定められた根拠に基づいて、個人データの処理を同意なしで継続する権利を有します。
• 個人データ法または他の連邦法で定められていない限り、個人データ法およびそれに基づく法規定によって規定される義務を履行するために必要かつ十分な措置の構成とリストを独自に決定する権利を有します。

3.2. オペレーターは次の義務を負います：

• 要求があれば、個人データの処理に関連する情報を個人データの主体に提供すること。
• エストニアの現行法に従って個人データの処理を組織すること。
• 個人データの主体およびその法定代理人の要求や請求に対応すること。
• 個人データの主体の権利を保護する権限のある機関に、そのような要求の受領日から 30 日以内に必要な情報を通知すること。
• 個人データの処理に関するこのポリシーを公開または他の方法で無制限のアクセスを提供すること。
• 個人データへの不適切なまたは偶発的なアクセス、破壊、変更、ブロック、コピー、提供、拡散などから個人データを保護するための法的、組織的および技術的措置を講じること。
• 個人データの伝送（拡散、提供、アクセス）、処理の中止、および個人データの破壊を個人データ法で定められた方法および場合に従って行うこと。
• 個人データに関する法律で定められたその他の義務を履行すること。

4. 個人データの主体の基本的な権利と義務

4.1. 個人データの主体は以下の権利を有します：

• 連邦法で定められている場合を除き、自分の個人データの処理に関する情報を受け取る権利があります。情報は、オペレーターから個人データの主体に対してアクセス可能な形式で提供され、他の個人データの主体に関連する個人データを含まず、そのような個人データの開示の正当な理由がある場合を除きます。情報のリストおよび取得手順は、個人データ法によって定められています。
• 個人データが不完全、時代遅れ、不正確、違法に取得されたものであり、または処理の目的に必要でない場合、および彼らの権利を保護するための法律で定められた措置を取るために、オペレーターに自分の個人データを明確にする、ブロックする、または破壊するよう要求する権利があります。
• 市場で商品、作品、サービスを宣伝するために個人データを処理する際には、事前の同意を要求する権利があります。
• 個人データの処理への同意を撤回する権利があります。
• 自分の個人データの処理におけるオペレーターの違法な行為または怠慢に対して、個人データの主体の権利を保護する権限を持つ機関または司法手続きに申し立てる権利があります。
• エストニアの法律で定められた他の権利を行使する権利があります。

4.2. 個人データの主体は以下の義務を負います：

• オペレーターに自分自身に関する信頼性のあるデータを提供すること。
• 自分の個人データの明確化（更新、修正）についてオペレーターに通知すること。

4.3. 自分自身に関する虚偽の情報をオペレーターに提供したり、後者の同意なしに他の個人データの主体に関する情報を提供したりする人は、エストニアの法律に従って責任を負います。

5. オペレーターはユーザーの以下の個人データを処理することができます

5.1. 姓、名、および父称。

5.2. メールアドレス。

5.3. 電話番号。

5.4. サイトはまた、インターネット統計サービス（Google Analytics など）の助けを借りて、訪問者に関する匿名化されたデータ（ファイル「cookies」を含む）を収集および処理します。

5.5. 上記のデータは、以降、ポリシーにおいて個人データとして言及されます。

5.6. オペレーターは、人種、国籍、政治的見解、宗教的または哲学的信念、親密な生活などに関する特別なカテゴリの個人データの処理を行いません。

5.7. 個人データ法で指定された特別なカテゴリの個人データの中から、開示が許可された個人データの処理が許可されます。個人データ法で定められた禁止事項および条件が満たされている場合に限ります。

5.8. ユーザーが個人データの処理に同意する場合、開示が許可された個人データを処理する同意は、他の個人データの処理に関する同意とは別に発行されます。個人データ法で定められた条件が遵守されます。このような同意の内容の要件は、個人データの主体の権利を保護する権限によって定められます。

5.8.1. ユーザーは、開示が許可された個人データの処理に関する同意を直接オペレーターに与える必要があります。

5.8.2. オペレーターは、上記のユーザーの同意を受け取ってから 3 営業日以内に、無制限の人数による個人データの処理の条件、禁止事項、および条件に関する情報を公開する必要があります。開示が許可された個人データ。

5.8.3. 個人データの主体の要求に応じて、個人データの処理を中止し、開示が許可された個人データの伝送（配布、提供、アクセス）をいつでも中止する必要があります。この要件には、個人データの主体の姓、名、および父称（ある場合）、連絡先情報（電話番号、メールアドレス、または郵送先住所）が含まれ、処理の中止の対象となる個人データのリストが含まれています。この要求で指定された個人データは、それが送信されたオペレーターによってのみ処理されることができます。

5.8.4. オペレーターが 5.8.3. このポリシーの項で言及されている要求を受け取った場合、開示が許可された個人データの処理に関する同意は中止されます。

6. 個人データ処理の原則

6.1. 個人データの処理は合法で公正である。

6.2. 個人データの処理は、特定の、事前に定義された合法な目的の達成に限定されます。個人データの収集の目的と矛盾する個人データの処理は許可されません。

6.3. 互いに互換性のない目的のために処理される個人データを含むデータベースを統合することは許可されません。

6.4. 処理の目的を満たす個人データのみが処理されます。

6.5. 処理される個人データの内容と量は、処理の目的に対応しています。処理の目的に対する個人データの冗長性は許可されません。

6.6. 個人データの処理は、個人データの正確性、その充足性、および、必要に応じて、処理の目的に関連して適合性を確保します。オペレーターは、不完全または不正確なデータを削除または明確にするために必要な措置を講じるか、または講じるようにします。

6.7. 個人データは、個人データの処理の目的に応じて、個人データの主体を特定することができる形式で保存されます。個人データの保持期間が個人データの主体であるか、その利益者または保証人である個人データの主体が定める連邦法または条約によって確立されていない限り、個人データは、処理の目的が達成された場合、またはこれらの目的を達成する必要がない場合に、破棄されるか匿名化されます。

7. 個人データ処理の目的

7.1. ユーザーの個人データの処理の目的：

• メールによるユーザーへの通知
• 民事契約の締結、履行、および終了
• ウェブサイト上に含まれるサービス、情報、および/または資料へのユーザーへのアクセスの提供

7.2. オペレーターはまた、ユーザーに新製品やサービス、特別オファー、さまざまなイベントについて通知する権利を有します。ユーザーは、いつでも [email protected] に電子メールを送信して、「新製品やサービス、特別オファーに関する通知の拒否」をマークすることで、情報メッセージの受信を拒否することができます。

7.3. インターネット統計サービスを利用して収集されたユーザーの匿名化されたデータは、サイト上のユーザーの行動に関する情報を収集し、サイトの品質とコンテンツを改善するために役立ちます。

8. 個人データ処理の法的根拠

8.1. オペレーターによる個人データの処理の法的根拠は以下のとおりです：

• オペレーターの法定文書
• オペレーターと個人データの主体との間で締結された契約
• 個人データ保護の範囲での法律、その他の規制および法的行為
• ユーザーの個人データの処理、個人データの処理が許可されている個人データの処理へのユーザーの同意

8.2. オペレーターは、ユーザーが特別なフォームを通じてまたは電子メールでオペレーターに独自に送信した場合にのみ、ユーザーの個人データを処理します。関連するフォームに記入したり、オペレーターに個人データを送信することにより、ユーザーはこのポリシーに同意したものとみなされます。

8.3. オペレーターは、ユーザーのブラウザの設定で許可されている場合に限り、ユーザーに関する匿名化されたデータを処理します（「cookies」の保存および JavaScript 技術の使用を含む）。

8.4. 個人データの主体は、自分の個人データの提供について自主的に決定し、自分の意思により自由に同意を与えます。

9. 個人データ処理の条件

9.1. 個人データの処理は、その個人データの主体が処理のために同意した場合に行われます。

9.2. 個人データの処理は、エストニアの国際条約または法律によって定められた目的を達成するために必要であり、オペレーターがエストニアの法律によって割り当てられた機能、権限、および義務を履行するために行われます。

9.3. 個人データの処理は、司法行政、裁判所の判決の執行、またはエストニアの執行手続き法に基づき執行される他の機関または公務員の行為のために必要です。

9.4. 個人データの処理は、個人データの主体が受益者または保証人である場合の契約の履行、および個人データの主体による契約の締結、個人データの主体が受益者または保証人となる契約の主導に必要です。

9.5. 個人データの処理は、オペレーターまたは第三者の権利および正当な利益の行使、または社会的に重要な目的の達成のために必要であり、個人データの主体の権利と自由が侵害されない場合に行われます。

9.6. 個人データの処理は、個人データの主体またはその要求によって（以下「公開された個人データ」という）無制限の人々へのアクセスを含む、個人データの処理に必要です。

9.7. 個人データの処理は、連邦法に従って公表または強制的に開示する必要がある場合に行われます。

10. 個人データの収集、保管、伝送、およびその他の処理の手順

オペレーターによって処理される個人データのセキュリティは、個人データ保護の現行法の要件を完全に満たすために必要な法的、組織的、および技術的な措置の実施によって確保されます。

10.1. オペレーターは、個人データの保全を確保し、不正なアクセスが個人データにアクセスしないようにするためのすべての可能な措置を講じます。

10.2. ユーザーの個人データは、いかなる場合も第三者に転送されることはありません。ただし、既存の法律の実施に関連する場合または個人データの主体が民事契約の義務を果たすためにデータを第三者に転送することに同意した場合を除きます。

10.3. 個人データに不正確な点がある場合、ユーザーはオペレーターの [email protected] 宛に「個人データの更新」という表記の通知を送信することで更新できます。

10.4. 個人データの処理期間は、個人データの収集の目的の達成によって決定されます。ただし、契約または現行の法律によって別の期間が定められている場合を除きます。

ユーザーは、いつでもオペレーターに [email protected] へメールを送信することで、「個人データの処理に対する同意の撤回」を示すことで、個人データの処理に対する同意を取り消すことができます。

10.5. 支払システム、通信手段、およびその他のサービスプロバイダーを含むサードパーティサービスによって収集されるすべての情報は、指定された者（オペレーター）によってそのユーザー契約およびプライバシーポリシーに従って保管および処理されます。個人データの主体またはユーザーは、これらの文書を適時に熟読する義務があります。オペレーターは、この段落で指定されたサービスプロバイダーを含む第三者の行動について責任を負いません。

10.6. 個人データの主体が公共の、公共の、またはエストニア法で定義されたその他の公共の利益に関連する場合、個人データの主体が処理または処理（アクセスを除く）に対する転送（アクセスの付与を除く）および個人データの処理に対する個人データの主体による制限（アクセスを除く）は適用されません。

10.7. オペレーターは、個人データの処理時に個人データの機密性を確保します。

10.8. オペレーターは、個人データの目的に応じて、個人データの保持期間が連邦法、受益者または保証人が提供されている契約によって確立されていない場合に、個人データの主体を特定することができる形式で個人データを保存します。

10.9. 個人データの処理の終了条件は、個人データの処理の目的の達成、個人データの主体の同意の有効期限または個人データの主体による同意の撤回、および個人データの不法な処理の発見である可能性があります。

11. 受信した個人データを使用するオペレーターの行動のリスト

11.1. オペレーターは、個人データを収集し、記録し、体系化し、蓄積し、保存し、明確にします（更新、変更）、抽出し、使用し、転送します（拡散、提供、アクセス）、匿名化し、ブロックし、削除し、破壊します。

11.2. オペレーターは、個人データの自動処理と/または情報通信ネットワークを介した受信情報の転送を行います。またはなしで。

12. 個人データのクロスボーダー転送

12.1. 個人データのクロスボーダー転送を開始する前に、オペレーターは、個人データの転送先となる外国の国が、その個人データの主体のデータのセキュリティを提供することを確認しなければなりません。

12.2. 上記の要件を満たさない外国の国の領土での個人データのクロスボーダー転送は、その個人データの主体が自身の個人データのクロスボーダー転送および/または個人データの主体が当事者である契約の履行に書面で同意した場合にのみ行われることができます。

13. 個人データの機密保持

オペレーターおよび個人データにアクセス権を持つその他の人物は、第三者に個人データを開示したり配布したりしてはなりません。

個人データは、連邦法で定められていない限り、個人データの主体の同意なしに公開されてはなりません。

14. 最終規定

14.1. ユーザーは、[email protected] 宛に連絡することで、自身の個人データの処理に関する任意の説明を入手することができます。

14.2. この文書には、オペレーターの個人データ処理ポリシーの変更が反映されます。このポリシーは、新しいバージョンに置き換えられるまで、無期限で有効です。

14.3. 現在のフリーアクセスポリシーのバージョンは、インターネット上で rue.ee で利用できます。