データプライバシーのフレームワークポリシー

本データプライバシーのフレームワークポリシー（「ポリシー」）では、Avetta, LLC（「Avetta」または「当社」）が米国内で受領する、欧州経済地域（「EEA」）、英国（「英国」）、およびスイスからの特定の個人を識別できる情報（「個人データ」）の収集、使用、および開示方法について説明します。本ポリシーは、当社のプライバシーポリシー（「プライバシーポリシー」）を補完するものです。また本ポリシーにおける用語は、本ポリシーにおいて別途定義されていない限り、プライバシーポリシーと同じ意味を有します。
‍

Avettaは、米国商務省が定めるEU-米国データプライバシーフレームワーク（「EU-米国DPF」）、EU-米国DPFの英国拡張版、スイス-米国データプライバシーフレームワーク（「スイス-米国DPF」）を遵守します。Avettaは、EU-米国DPFおよびEU-米国DPFの英国拡張版に依拠して欧州連合および英国から受領する個人データの処理について、EU-米国データプライバシーフレームワークの原則（「EU-米国DPF原則」）を遵守することを米国商務省に証明しています。またAvettaでは、スイス-米国DPFに依拠してスイスから受領する個人データの処理について、スイス-米国データプライバシーフレームの原則（「スイス-米国DPF原則」）を遵守することを米国商務省に証明しています。本ポリシーとEU-米国DPF原則および / またはスイス-米国DPF原則の間で矛盾が生じる際には、DPF原則が適用されるものとします。データプライバシーフレームワーク（「DPF」）プログラムの詳細や当社の証明書を参照する場合は、https://www.dataprivacyframework.gov/アクセスしてください。

米国連邦取引委員会が、AvettaによるEU-米国DPF、EU-米国DPFの英国拡張版、そしてスイス-米国DPFへの遵守に対する管轄権を有します。

個人情報の収集と使用

DPF原則に従い、当社はプライバシーポリシーの第3条（当社が収集するお客様に関するデータ）に記載されているカテゴリーの個人データを収集します。当社は、当社のプライバシーポリシーの第5条（個人データの処理方法）に記載されている目的のために個人データを処理します。

Avettaは、Avettaが収集した目的または個人が後で承認した目的に適合する方法でのみ、個人データを処理します。当社がお客様の個人データを、当社が収集した目的、またはクライアントが後に承認した目的とは大幅に異なる目的で使用する場合は、お客様に予め、オプトアウトの機会を提供します。Avettaは、個人データが使用目的に対して確実性があり、正確で完全、かつ最新のものであることを徹底するための合理的な手順を維持します。

当社が機密個人データを第三者に開示する場合、または当社が収集した目的やお客様が承認した目的とは異なる目的で機密個人データを使用する場合を含め、当社が機密個人データを収集する場合は、DPFの要求に応じてお客様からオプトインの同意を得るものとします。

第三者へのデータ移転

当社のプライバシーポリシーの第6条（個人データの開示）に記載されている通り、当社は、個人データを第三者の代理人またはサービスプロバイダーに譲渡することがあります。DPFが要求する場合、DPFが要求する保護と同レベルの保護を提供すること、およびデータの使用を指定されたサービスに限定することを要求する書面による契約を、これらの第三者の代理人およびサービスプロバイダーと締結します。当社は、第三者の代理人およびサービスプロバイダーがDPFの義務に従って個人データを処理し、不正な処理を停止および是正できるように、合理的かつ適切な措置を講じます。特定の状況においては、当社が移転した個人データを第三者の代理人またはサービスプロバイダーが取り扱う行為について、当社が引き続き責任を負う可能性があります。

クライアントとの契約上の義務を果たす以外の目的で、Avettaが個人データを第三者に譲渡することはありません。将来かかる譲渡が発生した際、お客様がかかる情報開示をオプトアウトしていない場合、または、機密個人データである場合については、DPFが同意を必要とし、お客様がオプトインしている場合に限り、当社はお客様の個人データを開示します。また当社は、DPFが要求する個人データの保護と同じレベルの保護を提供することを要求する書面契約をかかる第三者との間で締結します。あわせて、お客様が提供した同意およびお客様が受領した通知と一致するように、お客様の個人データの使用を制限します。

当社の企業グループの関連事業体にお客様の個人データを移転する場合、当社は、お客様の個人データがDPFの要求する保護レベルと同じレベルで保護されるようにするための措置を講じます。

特定の状況において、当社は、国家安全保障または法執行要件を満たすための要求など、公的機関による正当な要求に応じて、お客様の個人データを開示するよう請求される可能性があります。

セキュリティ

AvettaはDPFに従って、個人データを紛失、悪用、不正アクセス、開示、改ざん、破壊から保護するために、合理的かつ適切なセキュリティ対策を維持します。

アクセス権

お客様は、当社が保有するお客様に関する個人データにアクセスする権利、および個人データが不正確である場合またはDPFに違反して処理されている場合にその修正、変更、または削除を要求する権利を有します。これらのアクセス権は、アクセスを提供する状況における負担が不当に大きい場合や費用がかかる場合、アクセスを要求する個人以外の者の権利を侵害する場合など、適用されない場合があります。お客様がご自身の個人データへのアクセス、修正、変更、または削除を希望される場合、下記の連絡先に要望書を提出してください。本人確認のため、特定の情報の提供をお願いする場合があります。状況によっては、お客様の情報へのアクセスに合理的な手数料を請求する場合があります。

苦情および紛争解決

EU-米国DPF、EU-米国DPFの英国拡張版、スイス-米国DPFに依拠して受領した個人データの当社による取り扱いに質問または苦情がある場合は、privacy@avetta.comに直接お問い合わせください。当社は、お客様の個人データの収集、使用または開示に関する苦情または紛争を、苦情の受領から45日以内に調査し、解決を図ります。

Avettaは、EU-米国DPF、EU-米国DPFの英国拡張版、スイス-米国DPFに従い、EU-米国DPF、EU-米国DPFの英国拡張版、スイス-米国DPFに依拠して受領した個人データの取り扱いに対する未解決の苦情について、米国に拠点を置く独立紛争解決機関であるJAMSに解決を委託しています。DPF原則に関連するお客様の苦情について、当社からの通知が速やかに届かない場合や、DPF原則に関連する苦情に対して当社から満足のいく対応が得られなかった場合には、https://www.jamsadr.com/DPF-Dispute-Resolutionにアクセスし、詳細の確認や苦情の申し立てを行ってください。JAMSのサービスは無料で提供されます。

DPF原則の付属文書 Iに記載の条件に従い、お客様は、特定の状況下でお客様の苦情を解決するための拘束力のある仲裁を選択できます。その際にお客様は、以下のステップを含む、DPF原則の付属文書 Iで指定された手続きに従う必要があります。（１）Avettaに直接苦情を申し立て、問題解決の機会を当社に提供すること。そして （２）前述の独立した償還請求手段を利用すること。拘束力のある仲裁の詳細については、米国商務省のデータプライバシーフレームワーク原則の付属文書 I、「仲裁モデル」を参照してください。

お問い合わせ

本ポリシーについてご質問がある場合、またはお客様の個人データへのアクセスを希望される場合は、privacy@avetta.comまでお問い合わせください。その他のお問い合わせ先情報については、プライバシーポリシーの第16条（お問い合わせ方法）に記載されています。

本ポリシーの変更

当社は、DPFプログラムの要件に合わせて、本ポリシーを随時変更する権利を留保します。