アスリートおよびプロスポーツ選手を対象とした特別カテゴリーデータに関する方針
1. 本ポリシーの概要
1.1本「適切なポリシー文書」(以下「APD」)は、Stats Performグループ各社(イリノイ州シカゴ、203 North LaSalle Street, Suite 2200, IL 60601に所在するStats LLC、および会社番号11584111、登録事務所をロンドン、WC2N 5HR、3rd Floor, 11 Strand, London, WC2N 5HR、データ保護登録番号 ZA497913)およびその各子会社を含む)に代わって発行される「適切なポリシー文書」(「APD」)です。(以下、総称して「Stats Perform」、「当社」、「私たち」または「当社の」といいます)。 当社は、お客様に関して収集するあらゆる個人情報のデータ管理者であり、以下の責任を負います:www.statsperform.com;www.soccerway.com;www.scoresway.com; automatedinsights.com; www.optasports.com および www.thuuz.com 、およびStats Performが随時所有・運営するその他のウェブサイト(以下、総称して「本ウェブサイト」といいます)。本APDは、当社が特別種類の個人データをどのように保護するかを定めたものです。
1.2本APDは、特別な種類の個人データを処理する場合および特定の状況において、適切な方針文書を整備しなければならないとする2018年データ保護法の要件を満たしています。
2. 定義
管理者:個人データの処理を行う時期、理由、および方法を決定する個人または組織。
データ保持方針:Stats Performが情報をどのように分類し、その保持および廃棄を管理しているかを説明しています。
データ主体:当社が個人データを保有する、生存し、特定されている、または特定可能な個人。データ主体は、いかなる国の国民または居住者であってもよく、自身の個人データに関して法的権利を有する場合があります。
データ保護影響評価(DPIA):データ処理活動に伴うリスクを特定し、軽減するために用いられるツールおよび評価手法。DPIAは「プライバシー・バイ・デザイン」の一環として実施することができ、個人データの処理を伴うすべての主要なシステム変更または業務変更プログラムにおいて実施されるべきである。
DPA 2018:2018年データ保護法。
データ保護責任者(DPO):GDPRに基づき、特定の状況下で任命が義務付けられている者。本APD作成日現在、Stats PerformのDPOはリリアン・パンです。
GDPR:一般データ保護規則((EU) 2016/679)。
個人データ:データ主体を特定する情報、または当該データのみ、あるいは当社が保有する、または合理的に保有し得る他の識別子と組み合わせて(直接的または間接的に)特定可能な、データ主体に関連する情報。個人データには、特別の種類の個人データが含まれます。
アスリートおよびプロスポーツ選手向けのプライバシーに関する通知:データ主体に提供される可能性のある情報を記載した別途の通知はこちらでご覧いただけます。
「処理」とは、個人データの利用を伴うあらゆる活動を指します。これには、データの取得、記録、保管、およびデータの整理、変更、検索、利用、開示、消去、破棄を含む、データに対するあらゆる操作または一連の操作の実施が含まれます。また、処理には、個人データを第三者に送信または移転することも含まれます。
特別な種類の個人データ:人種や民族的出身、政治的見解、宗教的または類似の信条、労働組合への加入状況、身体的または精神的な健康状態、性生活、性的指向、生体認証データまたは遺伝的データなどを明らかにする情報。
3. 当社が特別な種類の個人データを処理する理由
3.1当社は、アスリートおよびプロスポーツ選手がスポーツに参加する適格性を確認するため、以下の目的で特別カテゴリーの個人データを処理します。
4. 個人データ保護の原則
4.1GDPRでは、個人データは第5条第1項に定められた6つの原則に従って処理されなければならない。また、第5条第2項では、管理者は第5条第1項への準拠を証明できることが求められている。
4.2当社は、GDPRに定められた個人データの処理に関する原則を遵守しており、これによれば、個人データは以下の要件を満たす必要があります:
- 適法、公正かつ透明な方法で処理されること(適法性、公正性および透明性);
- 特定の、明示的かつ正当な目的のためにのみ収集されること(利用目的の限定);
- 処理の目的に照らして、適切かつ関連性があり、かつ必要最小限のものに限定されていること(データの最小化);
- 正確であり、必要に応じて最新の状態に保たれていること(正確性);
- データが処理される目的に必要な期間を超えて、データ主体を特定できる形で保持してはならない(保存期間の制限);および
- 不正または違法な処理、ならびに偶発的な紛失、破壊、または損傷から保護するため、適切な技術的および組織的措置を講じ、その安全性を確保する形で処理される(安全性、完全性、および機密性)。
4.3当社は、上記のデータ保護原則を遵守する責任を負い、その遵守を証明できなければならない(説明責任)。
5. データ保護原則の遵守
5.1適法性、公正性および透明性 個人データは、データ主体に対して、適法かつ公正に、かつ透明性のある方法で処理されなければなりません。当社は、個人データを公正かつ適法に、かつ特定の目的のためにのみ処理します。GDPRは、個人データに関する当社の行為を、特定の適法な目的に限定しています。当社は、処理の法的根拠があり、かつ個人データの特別カテゴリーに関連する特定の処理条件のいずれかが適用される場合に限り、個人データの特別カテゴリーを処理することができます。 当社は、各処理活動について、その根拠となる法的根拠および特定の処理条件を特定し、文書化します。データ主体から、直接または間接的に(例えば、第三者や公的に利用可能な情報源から)、特別な種類の個人データを収集する際、当社は、データ主体に対し、「アスリートおよびプロスポーツ選手向けプライバシー通知」を提供します。この通知には、GDPRでプライバシー通知に求められるすべての情報が、簡潔、透明、理解しやすく、容易にアクセス可能であり、容易に理解できる平易な言葉で記載されています。
| 適法な処理の根拠 | 特別カテゴリーの個人データの処理条件 |
| アスリートおよびプロスポーツ選手の競技参加適性に関するデータ
この情報は、一般に公開されている情報源から明らかに公表されたものです。 |
データ主体または第三者によって公表されたという要件を満たしている。
(2018年データ保護法(DPA 2018)別表1第32項) |
5.2 利用目的の限定
個人データは、特定され、明示され、かつ正当な目的のためにのみ収集されなければなりません。また、それらの目的と相容れないいかなる方法でも、さらに処理してはなりません。当社は、特定の目的のためにのみ個人データを収集し、その目的を「アスリートおよびプロスポーツ選手向けプライバシー通知」においてデータ主体に通知します。個人データを新たな相容れる目的のために利用する場合は、「アスリートおよびプロスポーツ選手向けプライバシー通知」を通じてデータ主体に通知します。
5.3 データの最小化
個人データは、その処理目的に照らして、適切かつ関連性があり、かつ必要な範囲に限定されなければならない。当社は、データの収集または開示の目的に必要な最小限の個人データのみを収集または開示する。当社は、過剰なデータを収集しないこと、および収集された個人データが意図された目的に対して適切かつ関連性のあるものであることを確保する。
5.4 正確性
個人データは正確でなければならず、必要に応じて最新の状態に保たれなければなりません。不正確な場合は、遅滞なく訂正または削除されなければなりません。当社は、保有および使用する個人データが正確かつ完全であり、最新の状態に保たれ、かつ当社が収集する目的に関連性のあるものであることを確保します。当社は、個人データの収集時およびその後定期的に、その正確性を確認します。 当社は、不正確または古くなった個人データを破棄または修正するために、あらゆる合理的な措置を講じます。
5.5 保存期間の制限
当社は、個人データを、その収集目的に必要な期間、または法的義務がある場合に限り、識別可能な形で保持します。個人データが不要となった時点で、当該データは削除されるか、または恒久的に匿名化されます。当社は、法的要件により当該データのより長期の保持が義務付けられている場合を除き、個人データが保持されていた目的のために合理的な期間が経過した後、当該データが削除されるよう、データ保持方針および関連手順を定めています。当社は、アスリートおよびプロスポーツ選手向けの適用されるプライバシー通知において、データの保存期間およびその期間の決定方法について、データ主体に確実に通知します。
5.6 セキュリティ、完全性、機密性
個人データは、適切な技術的または組織的措置を講じ、不正または違法な処理、ならびに偶発的な紛失、破壊、または損傷から保護することを含め、個人データの適切なセキュリティを確保する方法で処理されなければなりません。当社は、個人データの違法または不正な処理、および個人データの偶発的な紛失や損傷に対して、合理的かつ適切なセキュリティ対策を実施し、維持します。
5.7 説明責任の原則
当社は、これらの原則を遵守する責任を負い、その遵守状況を証明することができます。当社のデータ保護責任者(DPO)は、当社がこれらの原則を遵守していることを確保する責任を負います。本方針に関するご質問は、DPOまでお寄せください。当社は以下のことを行います:
- すべての個人データ処理活動について記録を保持し、情報コミッショナーからの要請に応じてこれを提供すること;
- 高リスクを伴う個人データの処理については、その処理がデータ主体にどのような影響を及ぼすかを把握するため、DPIAを実施し、必要に応じて情報コミッショナーに相談すること;
- 個人データの取り扱いについて独立した助言および監視を行うため、データ保護責任者(DPO)が任命され、かつ当該DPOが最高経営層に報告できる体制を確保すること;および
- 個人データが、データ保護法に準拠した方法でのみ収集、利用、または取り扱われるよう、内部プロセスを整備している。
6. 個人データの保存および消去に関する管理者の方針
当社は、特別種類の個人データのセキュリティを極めて重要視しています。当社は、個人データが違法または不正な処理、あるいは偶発的な紛失や毀損から保護されるよう、管理上、物理的、技術的な安全対策を講じています。特別種類の個人データを処理するにあたり、当社は以下の事項を確実に遵守します:
- 当該処理は記録され、その記録には、当社のデータ保持方針に従い、各データカテゴリを安全かつ完全に消去するための適切な期間が、可能な限り明記されます。
- 収集した目的のために特別カテゴリの個人データが不要となった場合、当社は速やかに当該データを削除するか、または恒久的に匿名化します;および
- 記録を破棄する際は、安全かつ確実に廃棄されるよう徹底します。
7. 確認
7.1本「特別種類の個人データの処理に関する方針」は、定期的に見直されます。
7.2当社が特別種類の個人データを処理する場合、当該方針は、当該処理の実施を停止した後も、少なくとも6か月間は保持されます。
7.3本方針の写しは、情報コミッショナーからの要請があった場合、無料で提供されます。
日付:2021年1月25日
改訂日:2021年1月25日
次回改訂:2021年6月1日
詳細情報:
当社のデータ保護法への準拠に関する詳細については、データ保護責任者(DPO)のリリアン・パンまでお問い合わせください。 lillian.pang@taceo.co.ukまでご連絡ください。
