企業方針: グローバルプライバシーポリシー

A.一般情報

Sonova AG は、スイスの法律に基づく法人で、データ管理者として登録住所をスイスの Laubisrütistrasse 28, 8712 Stäfa に置いています。同社は、世界各地に拠点を置く関連会社(総称して 「当社」または「会社」と呼ばれます)と提携しています。

当社が日常業務で個人データを処理するに当たっては、お客様、請負業者、パートナー(「データ主体」) に関する個人データの使用に関する当社の慣行について説明するために、本グローバルプライバシーポ リシー(「ポリシー」)が作成され、実施されています。当社は、プライバシーおよび個人データの尊重に 特に注意を払い、適用される現地の法律に従って、本ポリシーを遵守することにコミットしています。

「個人データ」とは、特定された、または識別可能な自然人に関する情報を意味します。

「処理」とは、収集、記録、組織、構造化、保管、適応または変更、取得、相談、使用、送信による開 示、配布または提供、調整または組み合わせ、制限、消去または破壊などの自動化された手段によって、 個人データまたは個人データのセットに対して実行される操作または一連の操作を意味します。

 

B. ポリシー適用法

当社は、適用されるデータ保護法(「適用法」)を遵守することを約束します。したがって、当社が設立さ れた国に応じて、個人データの処理は現地の適用法の対象となります。一定の要件は国によって異なる 場合がありますが、当社は特にデータ主体のプライバシーを懸念しており、本ポリシーは当社がコミッ トするグローバルガイドラインを構成しています。

特に、当社は、該当する場合には、以下の法律を遵守することにコミットしています。

  • 個人データの処理および個人データの自由な移動に関わる自然人の保護、および指令 95/46/EC(一般 データ保護規則) の廃止に関する、2016 年 4 月 27 日付欧州議会および欧州理事会規則 (EU)2016/679。(「GDPR」) GDPR は、専門家に単一の法的枠組みを提供するために、欧州連合(EU)の領土における個人データの処理に関する規則を調和して構成することを目的とし、それらに関する 個人データを使用する可能性のある市民による管理を強化することを目指しています。 この規則は、 UE 市民または居住者の個人データの処理および UE 地域における管理者または処理者の活動に適用 されます。
  • 1992 年 6 月 19 日のデータ保護に関するスイス連邦法(「FADP」)は、現在の技術に適応し、GDPR およびその他の最近の欧州規制に適合するために、2020 年に改訂されました。
  • 2018 年カリフォルニア消費者プライバシー法(以下「CCPA」)は、より透明性を提供し、個人データ が企業によって処理されるカリフォルニア州に居住する消費者により多くの権利を保証することを 目的としています。
  • 医療主体およびビジネスパートナーによる医療データの電子処理に関する米国の規則を定義する 1996 年医療保険の相互運用性と責任に関する法律(「HIPAA」)。

 

C. 収集された個人データ

当社は、以下の個人データを処理することがあります。

  • 本人情報:姓、名、国籍、生年月日
  • 詳細な連絡先データ: 住所、個人電話番号、個人電子メールアドレス、および緊急連絡先
  • 社会保障番号および保険会社
  • 支払関連データ: 支払方法、金融機関、IBAN
  • ユーザーの健康状態に関するデータ:体重、身長、健康上の問題、医師の処方、聴覚能力、身体活動 の記録(歩数、運動強度、運動時間)、フィットネスデータ(心拍数、エネルギー消費量、血圧)
  • ウェブサイト上のユーザーの行動に関するデータ
  • 顧客が購入した製品に関するデータ: モデル、シリアル番号、使用状況データ
  • 提供サービスに関するデータ
  • お客様が当社の製品およびサービスについて提供するフィードバックに関するデータ:コメントおよ びメモ

さらに、当社の活動は主に補聴器用の革新的なソリューションの製造に焦点を当てているため、機密性 の高い個人データと、より具体的には健康データを収集する必要があります。 データ主体の居住国によ っては、特にセキュリティおよび機密保持対策の観点から、機密性の高い個人データに対して特別な保 護が与えられる場合があります。

 

D. 個人データの処理目的

以下の法的根拠は、当社が個人データの処理を行うために当社が依存する基盤を構成します。その他の 法的根拠は、データ主体の所在地および関連する適用法に応じて使用される場合があります。

第一に、個人データの処理の一部は、データ主体の同意に基づく場合があります。この目的での個人デ ータの処理には、以下の処理が含まれる場合があります。:

  • 当社が提供する商品・サービスに関するニュースレターや情報の送付などのマーケティング目的
  • 当社のウェブサイトのパフォーマンスの向上
  • お客様のアカウントの作成、お問い合わせフォームによる当社へのお問い合わせ、Sonova からお客 様への回答、オンライン聴覚テストを受ける場合に、お客様にアドバイスを提供し、お客様と対話 するため。

また、当社が行う個人データの処理は、データ主体との契約または契約前の措置の実行に基づく場合も あります。この目的での個人データの処理には、以下が含まれます。

  • データ主体に対する当社の契約上の義務の履行
  • 顧客による製品購入後のアフターサービスの提供
  • 社会保障/保険処理
  • クレーム管理

当社はまた、特に当社の製品およびサービス、顧客体験および内部プロセスを改善するために、その正 当な利益に基づいて個人データを処理する場合があります。この目的での個人データの処理には、以下 が含まれます。

  • 統計/利用状況分析の実施
  • 内部管理機能の実行
  • 顧客要求の処理
  • 不正行為の防止とセキュリティの向上
  • データ主体との関係管理
  • 当社の製品・サービスの関連性評価

また、法的要件に対応するために個人データを処理する場合もあります。 法的要件に基づく処理は、適 用法によって異なります。

 

E. 個人データの保存

個 人 情 報 は 、 上 記 目 的 の た め に 必 要 以 上 に 長 く 保 管 さ れ ま せ ん 。 つまり、個人データの処理目的が達成されるとすぐに、個人データは削除されます。ただし、当社は、 適用法を遵守するために必要な場合、または適用されるデータ保護法で認められている範囲で、当社の 権利を保護または行使するために必要な場合は、個人情報を長期間保持する場合があります。

保存期間の終了時に、当社は、適用法を遵守するために、期間とアクセスに制限を設けて、個人データ をアーカイブする必要がある場合があります。

これらの保存期間は、データ主体の居住国や適用法に従って異なります。

 

F. 個人データの開示

当社は、お客様の同意またはその他の関連する法的根拠に従って、以下の第三者と個人データを共有す ることがあります。

  • 子会社、関連会社など当社グループのその他の会社
  • テクニカルサポート、マーケティング目的、その他のサービス提供など、当社に代わってサービス を提供する信頼できるビジネスパートナー
  • 政府当局および公的機関。これは、要求または認可されたサービスを提供するため、お客様、請負 業者およびパートナーの権利、または当社もしくは他社の権利、資産もしくは安全を保護するため、当社のサービスの安全性を維持するために必要な場合、または適用法、裁判所規則もしくはその他 の政府の規制により要求された場合、または、そのような開示が、法的捜査、犯罪捜査または法的 手続きを支援するために必要である場合に限ります。

適用法に応じて、当社は、当社の指示に基づき、本ポリシーおよびその他の適切な機密保持およびセキ ュリティ対策に従って個人データが処理されることを保証するために、一部の第三者との契約を実施し ます。

 

G.個人データの転送

当社が個人データを開示する可能性のある関連会社や子会社などのサードパーティ、およびビジネスパ ートナー、公的機関は、データ主体の居住国外に所在する場合があり、これには、データ保護法がデー タ主体の居住国とは異なる国が含まれる可能性があります。

 

個人データが欧州連合/欧州経済地域内で処理される場合で、欧州委員会により適切とされるレベルの保 護を提供するとは考えられない国の第三者に個人データが開示された場合、当社は以下のことを保証し ます。

  • 適用法を遵守するための適切な手続きの実施、特に管轄監督当局からの承認要求が必要な場合
  • 当該転送を管理し、適用法に基づく必要かつ適切なレベルの保護を確保するための適切な組織的、 技術的、法的保護措置の実施
  • 必要な場合には、欧州委員会が採択する標準契約条項の実施
  • 転送状況の評価および第三国の法律の評価を行った後に、転送された個人データの保護が必要な場 合には、必要に応じて、データ転送妥当性評価を完了するなどの補足措置を講じる。

個人データが欧州連合/欧州経済地域内で処理されず、個人データがデータ主体の法域外の第三者に開示 された場合、当社は適切な保護措置を講じ、適切な法的メカニズムを実施することにより個人データを 保護します。これらのメカニズムは、国や関連する適用法によって異なる場合があります。

 

H.個人データのセキュリティ

当社は、個人情報をセキュリティインシデントや不正開示から保護するため、また、一般的に個人デー タの侵害から保護するために、適用法に従って、さまざまなセキュリティ対策を実施しています。 これ らのセキュリティ対策は、業界で適切なセキュリティ基準として認識され、とりわけ、アクセス制御、 パスワード、暗号化、および定期的なセキュリティ評価が含まれます。

個人データの侵害が発生した場合、特に誤ってまたは不法に、送信、保存、またはその他の処理が行わ れた個人データの破壊、紛失、改ざん、不正な開示またはアクセスに、誤ってまたは不法につながるよ うなセキュリティの侵害がある場合、当社は以下のような適切な措置を講じます。

  • 個人データ漏洩の結果、特にその影響を受ける人々の権利と自由に対するリスクが生じる可能性が あるかどうかを判断するための調査および分析を行う。
  • 影響を受ける人々の権利と自由に対するリスクがあることが、この分析によって示された場合、当 社は管轄当局に通知し、リスクが高い場合は影響を受ける人々にも連絡します。
  • 個人データの漏洩を修復し、軽減するために必要な措置をできるだけ早く実施する
  • 個人データの侵害を文書化し、そのトレーサビリティを確保する

個人データの侵害が発生した場合の適切な措置と手順は、侵害が発生した国、違反の種類、および関連 する適用法によって異なる場合があります。

 

I. 個人データに関連するプライバシー権

関連する適用法に基づいて異なる場合がありますが、データ主体は、アクセスを要求する権利、訂正、 個人データの消去、処理の制限を求める権利、処理に反対する権利、データ携行性を要求する権利、詳 細な情報を得る権利、同意に基づく個人データの処理に関する同意を取り消す権利など、個人データに 関連する権利を有します。データ主体は、そのような処理に懸念がある場合、自動化された個々の意思 決定に反対することができます。

さらに、一部の管轄区域では、お客様は、死後の個人データの保持、伝達および消去に関する指示を行 うことができます。

このような権利の行使は絶対的なものではなく、適用法によって定める制限の対象となります。

データ主体は、個人データの処理が適用法を侵害していると考える場合、現地の監督当局または管轄当 局に苦情を申し立てる権利を有する場合があります。

これらのプライバシー権を行使するには、データ主体は下記の「お問い合わせ方法」の記載に従って、 当社に問い合わせることができます。当社は、ご要望に応えるために身元の証明を求める場合がありま す。お客様のご要望を満たすことができなかった場合は(拒否または制限)、当社からその決定について書 面で説明します。

 

J. 本ポリシーの更新

必要に応じて、新しいまたは異なるプライバシー慣行を反映するために、本ポリシーを随時更新する場 合があります。この場合、このページにこのポリシーの更新版を掲載します。改訂されたポリシーは、 発効日以降に収集されたデータにのみ適用されます。当社のプライバシー慣行に関する最新情報につい ては、このページを定期的に確認することをお勧めします。

 

K. お問い合わせ方法

本ポリシーに関するご質問、コメント、懸念事項、または個人データに関する適用法で認められるプラ イバシー権を行使する場合は、データ保護担当者あてに以下の住所にお問い合わせいただくか、 電子メールを送信してください:Sonova AG, Laubisruetistrasse 28, 8712 Stäfa, Switzerland電子メール アドレス:privacy@sonova.com

有効期間: 2022 年 2 月

オーナー: Head, Global Compliance & Data Privacy

D000031163