เอกสารนี้แปลมาจากภาษาญี่ปุ่น ในกรณีที่มีความแตกต่างระหว่างฉบับแปลนี้กับต้นฉบับภาษาญี่ปุ่น ให้ยึดถือฉบับภาษาญี่ปุ่นเป็นหลัก
บริษัท 株式会社ELTエデュケーション (ต่อไปนี้เรียกว่า "บริษัท") กำหนดนโยบายความเป็นส่วนตัว (ต่อไปนี้เรียกว่า "นโยบายนี้") เกี่ยวกับการจัดการข้อมูลส่วนบุคคลของผู้ใช้งานบนเว็บไซต์พอร์ทัลข้อมูลโรงเรียนนานาชาติ "Schoozy" (https://schoozy.com ต่อไปนี้เรียกว่า "บริการนี้") ซึ่งดำเนินการโดยบริษัท ดังต่อไปนี้
1. ผู้ประกอบการจัดการข้อมูลส่วนบุคคล
ชื่อบริษัท: ELT Education Inc.
กรรมการผู้จัดการ: ทัตสึยะ ทานากะ
ที่อยู่: 5-32-12 ชิบะ มินาโตะ-คุ โตเกียว 108-0014 ประเทศญี่ปุ่น
ติดต่อ: แบบฟอร์มติดต่อบนบริการนี้
2. ประเภทของข้อมูลส่วนบุคคลที่เก็บรวบรวม
บริษัทเก็บรวบรวมข้อมูลส่วนบุคคลดังต่อไปนี้ในการให้บริการนี้
2-1. ข้อมูลที่ผู้ใช้งานให้โดยตรง
- ข้อมูลลงทะเบียนผู้ใช้งาน: อีเมล รหัสผ่าน (จัดเก็บในรูปแบบแฮช) ชื่อที่แสดง ข้อมูลอายุ
- กรณีผู้ใช้ลงทะเบียนอายุ 16 ปีขึ้นไปแต่ต่ำกว่า 18 ปี: อีเมลของผู้แทนโดยชอบธรรม
- ข้อมูลรีวิว: เนื้อหาที่โพสต์ คะแนนประเมิน วันที่และเวลาโพสต์ ข้อมูลเชิงคุณลักษณะ เช่น ปีการศึกษาที่เข้าเรียน
- ข้อมูลการติดต่อ: ชื่อ-นามสกุล อีเมล เนื้อหาการสอบถาม
- ข้อมูลการแจ้งการละเมิดสิทธิ์: ชื่อหรือชื่อองค์กรของผู้แจ้ง ช่องทางติดต่อ เนื้อหาการแจ้ง
- ข้อมูลการตอบกลับอย่างเป็นทางการของโรงเรียนที่ลงรายการ: สังกัดของผู้ตอบ ตำแหน่ง เนื้อหาการตอบกลับ
- ข้อมูลการชำระเงินเมื่อใช้บริการแบบเสียค่าใช้จ่าย: ข้อมูลบัตรเครดิต เป็นต้น (ประมวลผลผ่านผู้ให้บริการชำระเงิน บริษัทไม่ถือครองหมายเลขบัตรโดยตรง)
2-2. ข้อมูลที่เก็บรวบรวมโดยอัตโนมัติ
- บันทึกการเข้าถึง: ที่อยู่ IP ประเภทเบราว์เซอร์ ระบบปฏิบัติการ วันที่และเวลาเข้าถึง URL ที่มาจากการอ้างอิง
- ข้อมูลที่ได้รับผ่าน Cookie และเทคโนโลยีที่คล้ายคลึง: รหัสเซสชัน ข้อมูลการตั้งค่าผู้ใช้ การตั้งค่าภาษา
- ข้อมูลการใช้งาน: หน้าที่เข้าชม คำค้นหา ระยะเวลาอยู่บนหน้า ประวัติการคลิก
- ข้อมูลอุปกรณ์: ประเภทอุปกรณ์ ความละเอียดหน้าจอ เขตเวลา
สำหรับรายละเอียดเกี่ยวกับ Cookie และเทคโนโลยีที่คล้ายคลึง โปรดดูนโยบาย Cookie ที่บริษัทกำหนดแยกต่างหาก
3. วัตถุประสงค์ในการใช้ข้อมูลส่วนบุคคล
บริษัทใช้ข้อมูลส่วนบุคคลที่เก็บรวบรวมภายในขอบเขตของวัตถุประสงค์ดังต่อไปนี้
ในกรณีที่บริษัทเปลี่ยนแปลงวัตถุประสงค์การใช้งานข้างต้น บริษัทจะประกาศวัตถุประสงค์การใช้งานที่เปลี่ยนแปลงบนบริการนี้ หรือแจ้งให้ทราบเป็นรายบุคคล
4. การให้ข้อมูลส่วนบุคคลแก่บุคคลที่สาม
บริษัทจะไม่ให้ข้อมูลส่วนบุคคลของผู้ใช้งานแก่บุคคลที่สาม ยกเว้นในกรณีดังต่อไปนี้
- ได้รับความยินยอมจากผู้ใช้งาน
- ตามที่กฎหมายกำหนด
- กรณีที่จำเป็นเพื่อคุ้มครองชีวิต ร่างกาย หรือทรัพย์สินของบุคคล และยากที่จะได้รับความยินยอมจากเจ้าของข้อมูล
- กรณีที่จำเป็นอย่างยิ่งเพื่อส่งเสริมสาธารณสุขหรือส่งเสริมพัฒนาการที่ดีของเด็ก และยากที่จะได้รับความยินยอมจากเจ้าของข้อมูล
- กรณีที่จำเป็นต้องร่วมมือกับหน่วยงานของรัฐส่วนกลางหรือส่วนท้องถิ่น หรือผู้ที่ได้รับมอบหมายจากหน่วยงานดังกล่าวในการดำเนินงานตามที่กฎหมายกำหนด และการได้รับความยินยอมจากเจ้าของข้อมูลอาจเป็นอุปสรรคต่อการดำเนินงานดังกล่าว
- กรณีที่ปฏิบัติตามคำสั่งศาลหรือคำขอเปิดเผยข้อมูลผู้ส่งข้อมูลตามที่กฎหมายกำหนด
4-1. การให้ข้อมูลแก่ผู้รับจ้าง
บริษัทอาจมอบหมายการจัดการข้อมูลส่วนบุคคลทั้งหมดหรือบางส่วนให้แก่ผู้ประกอบการภายนอก ภายในขอบเขตที่จำเป็นเพื่อบรรลุวัตถุประสงค์การใช้งาน ในกรณีนี้ บริษัทจะดำเนินการกำกับดูแลผู้รับจ้างอย่างเหมาะสมและจำเป็นเพื่อให้มั่นใจในความปลอดภัยของการจัดการข้อมูลส่วนบุคคล ประเภทหลักของผู้รับจ้างมีดังนี้
- ผู้ให้บริการโครงสร้างพื้นฐานคลาวด์ (โฮสติ้งเซิร์ฟเวอร์ การจัดการฐานข้อมูล)
- ผู้ให้บริการชำระเงิน (การประมวลผลการชำระเงินของบริการแบบเสียค่าใช้จ่าย)
- ผู้ให้บริการส่งอีเมล (การส่งอีเมลแจ้งเตือน จดหมายข่าว)
- ผู้ให้บริการวิเคราะห์การเข้าถึง (Google Analytics เป็นต้น)
4-2. การใช้ร่วมกัน
ในปัจจุบัน บริษัทไม่ได้ดำเนินการใช้ข้อมูลส่วนบุคคลร่วมกัน ในกรณีที่จะเริ่มดำเนินการใช้ร่วมกัน บริษัทจะแก้ไขนโยบายนี้ล่วงหน้า โดยระบุวัตถุประสงค์ของการใช้ร่วมกัน รายการข้อมูลส่วนบุคคลที่ใช้ร่วมกัน ขอบเขตของผู้ใช้ร่วมกัน และผู้รับผิดชอบในการจัดการ
5. การให้ข้อมูลแก่บุคคลที่สามในต่างประเทศ (การถ่ายโอนข้อมูลข้ามพรมแดน)
โครงสร้างพื้นฐานบางส่วนของบริการนี้อาจให้บริการโดยใช้เซิร์ฟเวอร์ที่ตั้งอยู่นอกประเทศญี่ปุ่น ในกรณีนี้ ข้อมูลส่วนบุคคลของผู้ใช้งานอาจถูกจัดเก็บบนเซิร์ฟเวอร์ในประเทศดังกล่าว
ในกรณีที่บริษัทให้ข้อมูลส่วนบุคคลแก่บุคคลที่สามในต่างประเทศ บริษัทจะดำเนินมาตรการใดมาตรการหนึ่งดังต่อไปนี้ ตามมาตรา 28 ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
- กรณีที่บุคคลที่สามดังกล่าวตั้งอยู่ในประเทศที่ได้รับการยอมรับว่ามีระดับการคุ้มครองข้อมูลส่วนบุคคลเทียบเท่ากับญี่ปุ่น (ประเทศสมาชิก EU/EEA เป็นต้น ประเทศที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด)
- กรณีที่บุคคลที่สามดังกล่าวดำเนินมาตรการที่เทียบเท่ากับมาตรการที่ผู้ประกอบการจัดการข้อมูลส่วนบุคคลควรดำเนินอย่างต่อเนื่อง
- ได้รับความยินยอมจากผู้ใช้งาน
นอกจากนี้ เนื่องจากญี่ปุ่นได้รับการรับรองความเพียงพอจากคณะกรรมาธิการยุโรป การถ่ายโอนข้อมูลส่วนบุคคลจากภายในเขต EU/EEA ไปยังญี่ปุ่นสามารถดำเนินการได้โดยไม่ต้องมีมาตรการคุ้มครองเพิ่มเติมตาม GDPR
6. มาตรการจัดการความปลอดภัย
บริษัทดำเนินมาตรการดังต่อไปนี้เพื่อป้องกันการรั่วไหล สูญหาย หรือเสียหายของข้อมูลส่วนบุคคล และเพื่อการจัดการความปลอดภัยอื่นๆ
มาตรการจัดการความปลอดภัยเชิงองค์กร
- การแต่งตั้งผู้รับผิดชอบเกี่ยวกับการจัดการข้อมูลส่วนบุคคล
- การจัดทำระเบียบภายในเกี่ยวกับการจัดการข้อมูลส่วนบุคคล
- การตรวจสอบและตรวจประเมินสถานะการจัดการข้อมูลส่วนบุคคลเป็นประจำ
มาตรการจัดการความปลอดภัยด้านบุคลากร
- การจัดการฝึกอบรมและให้ความรู้เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลแก่พนักงาน
- การทำสัญญารักษาความลับเกี่ยวกับข้อมูลส่วนบุคคล
มาตรการจัดการความปลอดภัยทางกายภาพ
- การจัดการพื้นที่ที่ดำเนินการจัดการข้อมูลส่วนบุคคล
- การป้องกันการโจรกรรมอุปกรณ์และสื่ออิเล็กทรอนิกส์ที่มีข้อมูลส่วนบุคคล
มาตรการจัดการความปลอดภัยทางเทคนิค
- การควบคุมการเข้าถึงและการระบุตัวตน/ยืนยันผู้เข้าถึงข้อมูลส่วนบุคคล
- การป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตจากภายนอกระบบข้อมูลที่จัดการข้อมูลส่วนบุคคล
- การเข้ารหัสการสื่อสาร (SSL/TLS)
- การจัดเก็บรหัสผ่านในรูปแบบแฮช
7. ระยะเวลาเก็บรักษาข้อมูลส่วนบุคคล
บริษัทเก็บรักษาข้อมูลส่วนบุคคลเฉพาะในระยะเวลาที่จำเป็นเพื่อบรรลุวัตถุประสงค์การใช้งาน และหลังจากบรรลุวัตถุประสงค์แล้ว จะลบหรือทำให้ไม่สามารถระบุตัวตนได้ด้วยวิธีการที่ปลอดภัยภายในระยะเวลาที่เหมาะสม ระยะเวลาเก็บรักษาหลักมีดังนี้
8. สิทธิของผู้ใช้งาน (สิทธิตามกฎหมายญี่ปุ่น)
ผู้ใช้งานสามารถยื่นคำร้องต่อบริษัทตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลดังต่อไปนี้ บริษัทจะดำเนินการตอบสนองภายในระยะเวลาที่กฎหมายกำหนดหลังจากยืนยันตัวตน
- การแจ้งวัตถุประสงค์การใช้งาน: สามารถขอให้แจ้งวัตถุประสงค์การใช้งานของข้อมูลส่วนบุคคลที่บริษัทถือครอง
- การเปิดเผย: สามารถขอให้เปิดเผยข้อมูลส่วนบุคคลที่บริษัทถือครอง การเปิดเผยจะดำเนินการโดยหลักผ่านการให้บันทึกอิเล็กทรอนิกส์
- การแก้ไข เพิ่มเติม และลบ: ในกรณีที่เนื้อหาของข้อมูลส่วนบุคคลที่บริษัทถือครองไม่ตรงกับข้อเท็จจริง สามารถขอแก้ไข เพิ่มเติม หรือลบได้
- การระงับการใช้งาน ลบ: ในกรณีที่บริษัทใช้ข้อมูลส่วนบุคคลเกินขอบเขตวัตถุประสงค์การใช้งาน หรือได้มาโดยวิธีการที่ไม่ชอบด้วยกฎหมาย สามารถขอให้ระงับการใช้งานหรือลบได้
- การระงับการให้ข้อมูลแก่บุคคลที่สาม: ในกรณีที่บริษัทให้ข้อมูลส่วนบุคคลแก่บุคคลที่สามโดยไม่ชอบด้วยกฎหมาย สามารถขอให้ระงับการให้ข้อมูลแก่บุคคลที่สามได้
สำหรับคำร้องข้างต้น โปรดติดต่อผ่านแบบฟอร์มติดต่อบนบริการนี้หรือช่องทางติดต่อด้านล่าง ทั้งนี้ ในการตอบสนองต่อคำร้อง บริษัทจะดำเนินการยืนยันตัวตน
9. สิทธิเพิ่มเติมสำหรับผู้ใช้งานที่อาศัยอยู่ในเขตเศรษฐกิจยุโรป (EEA) สหราชอาณาจักร และสวิตเซอร์แลนด์
ในกรณีที่บริการนี้จัดการข้อมูลส่วนบุคคลของผู้ใช้งานที่อาศัยอยู่ใน EEA สหราชอาณาจักร หรือสวิตเซอร์แลนด์ นอกเหนือจากสิทธิที่กำหนดในข้อก่อนหน้า ผู้ใช้งานมีสิทธิเพิ่มเติมดังต่อไปนี้ตามข้อบังคับทั่วไปว่าด้วยการคุ้มครองข้อมูลของสหภาพยุโรป (GDPR) และกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง
9-1. ฐานทางกฎหมายของการประมวลผล
บริษัทประมวลผลข้อมูลส่วนบุคคลตามฐานทางกฎหมายใดฐานหนึ่งดังต่อไปนี้
- การปฏิบัติตามสัญญา (GDPR มาตรา 6(1)(b)): การประมวลผลที่จำเป็นสำหรับการให้บริการนี้ เช่น การลงทะเบียนผู้ใช้ การให้บริการฟังก์ชันโพสต์รีวิว การจัดการบัญชี
- ผลประโยชน์โดยชอบด้วยกฎหมาย (GDPR มาตรา 6(1)(f)): การปรับปรุงและวิเคราะห์บริการ การป้องกันการใช้งานโดยมิชอบ การรักษาความปลอดภัย ในกรณีนี้ จะดำเนินการประมวลผลภายในขอบเขตที่ไม่เหนือกว่าสิทธิและผลประโยชน์ของผู้ใช้งาน
- ความยินยอม (GDPR มาตรา 6(1)(a)): การส่งอีเมลเพื่อวัตถุประสงค์ทางการตลาด การใช้ Cookie ที่ไม่จำเป็น สามารถเพิกถอนความยินยอมได้ทุกเมื่อ
- การปฏิบัติตามข้อผูกพันทางกฎหมาย (GDPR มาตรา 6(1)(c)): การเก็บรักษาข้อมูลตามที่กฎหมายกำหนด การตอบสนองต่อคำขอเปิดเผยข้อมูลผู้ส่งข้อมูล
9-2. สิทธิเพิ่มเติม
นอกเหนือจากสิทธิที่กำหนดในข้อก่อนหน้า ผู้ใช้งานมีสิทธิเพิ่มเติมดังต่อไปนี้
- สิทธิในการเคลื่อนย้ายข้อมูล: สามารถขอรับข้อมูลส่วนบุคคลที่ผู้ใช้งานให้แก่บริษัทในรูปแบบที่มีโครงสร้าง ใช้งานทั่วไป และอ่านได้ด้วยเครื่อง หรือขอให้โอนโดยตรงไปยังผู้ควบคุมข้อมูลอื่นเมื่อเป็นไปได้ทางเทคนิค
- สิทธิในการจำกัดการประมวลผล: ภายใต้เงื่อนไขที่กำหนด สามารถขอให้จำกัดการประมวลผลข้อมูลส่วนบุคคลได้
- สิทธิในการคัดค้าน: สามารถคัดค้านการประมวลผลที่อิงตามผลประโยชน์โดยชอบด้วยกฎหมาย สำหรับการประมวลผลเพื่อวัตถุประสงค์ทางการตลาดทางตรง สามารถคัดค้านได้ทุกเมื่อ
- สิทธิที่จะไม่อยู่ภายใต้การตัดสินใจแบบอัตโนมัติ: ผู้ใช้งานมีสิทธิที่จะไม่ถูกกำหนดให้เป็นเป้าหมายของการตัดสินใจที่อิงจากการประมวลผลข้อมูลส่วนบุคคลแบบอัตโนมัติเพียงอย่างเดียว ซึ่งมีผลทางกฎหมายหรือมีผลกระทบอย่างมีนัยสำคัญในลักษณะเดียวกันต่อผู้ใช้งาน ในปัจจุบัน บริษัทไม่ได้ดำเนินการตัดสินใจแบบอัตโนมัติดังกล่าว
- การยื่นเรื่องร้องเรียนต่อหน่วยงานกำกับดูแล: ผู้ใช้งานสามารถยื่นเรื่องร้องเรียนเกี่ยวกับการจัดการข้อมูลส่วนบุคคลของบริษัทต่อหน่วยงานกำกับดูแลการคุ้มครองข้อมูลของประเทศสมาชิก EU/EEA ที่ผู้ใช้งานอาศัยอยู่
9-3. เจ้าหน้าที่คุ้มครองข้อมูล
ในปัจจุบัน บริษัทไม่มีสำนักงานใน EEA จึงไม่อยู่ภายใต้ข้อบังคับในการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (DPO) ตาม GDPR มาตรา 37 อย่างไรก็ตาม สำหรับการสอบถามเกี่ยวกับการจัดการข้อมูลส่วนบุคคล สามารถติดต่อได้ที่ช่องทางด้านล่าง
10. ความเป็นส่วนตัวของเด็กและผู้เยาว์
10-1. บริษัทจะไม่เก็บรวบรวมข้อมูลส่วนบุคคลของผู้ที่อายุต่ำกว่า 16 ปีโดยเจตนา โดยไม่ได้รับความยินยอมจากผู้ปกครองหรือผู้แทนโดยชอบธรรม หากพบว่าผู้ที่อายุต่ำกว่า 16 ปีได้ให้ข้อมูลส่วนบุคคลแก่บริษัท บริษัทจะดำเนินการลบข้อมูลดังกล่าวโดยเร็ว
10-2. ในกรณีที่ผู้ใช้งานอายุ 16 ปีขึ้นไปแต่ต่ำกว่า 18 ปีลงทะเบียนใช้บริการนี้ บริษัทจะยืนยันความยินยอมผ่านอีเมลของผู้แทนโดยชอบธรรม (ข้อกำหนดการใช้งาน มาตรา 4 วรรค 3)
10-3. ในกรณีที่นักเรียนปัจจุบันอายุ 16 ปีขึ้นไปแต่ต่ำกว่า 18 ปีโพสต์รีวิว บริษัทจะส่งคำขออนุมัติเนื้อหาที่โพสต์ไปยังผู้แทนโดยชอบธรรม และเผยแพร่หลังจากได้รับอนุมัติจากผู้แทนโดยชอบธรรม (ข้อกำหนดการใช้งาน มาตรา 9 วรรค 2) ผู้แทนโดยชอบธรรมสามารถขอให้ลบรีวิวดังกล่าวได้แม้ภายหลังการอนุมัติ
10-4. สำหรับรีวิวที่โพสต์โดยนักเรียนปัจจุบัน จะใช้วิธีการแสดงผลที่เพิ่มความเป็นนิรนามเพื่อลดความเสี่ยงในการระบุตัวตนของผู้โพสต์ภายในโรงเรียน บริษัทจะไม่เปิดเผยข้อมูลที่สามารถระบุตัวตนของนักเรียนปัจจุบันที่เป็นผู้โพสต์แก่โรงเรียนที่ลงรายการ เว้นแต่ตามที่กฎหมายหรือคำสั่งศาลกำหนด (ข้อกำหนดการใช้งาน มาตรา 9 วรรค 3 และวรรค 4)
11. การใช้ Cookie และเทคโนโลยีการส่งข้อมูลภายนอก
บริษัทใช้ Cookie และเทคโนโลยีที่คล้ายคลึง (เว็บบีคอน พื้นที่จัดเก็บข้อมูลท้องถิ่น เป็นต้น) ในการให้บริการนี้ สำหรับรายละเอียดเกี่ยวกับการใช้เทคโนโลยีเหล่านี้ (ประเภทของเทคโนโลยีที่ใช้ ปลายทางการส่ง วัตถุประสงค์การใช้งาน วิธีการยกเลิก เป็นต้น) โปรดดูนโยบาย Cookie ที่บริษัทกำหนดแยกต่างหาก
นอกจากนี้ บริษัทเปิดเผยเนื้อหาของข้อมูลที่ส่งจากอุปกรณ์ของผู้ใช้งานไปยังภายนอก ปลายทางการส่ง เป็นต้น ในนโยบาย Cookie ตามกฎระเบียบการส่งข้อมูลภายนอกตามมาตรา 27-12 ของพระราชบัญญัติธุรกิจโทรคมนาคม
12. ช่องทางติดต่อ
สำหรับการสอบถาม ร้องเรียน คำขอเปิดเผยข้อมูล เป็นต้น เกี่ยวกับการจัดการข้อมูลส่วนบุคคล สามารถติดต่อได้ที่ช่องทางดังต่อไปนี้
ELT Education Inc. — ศูนย์สอบถามข้อมูลส่วนบุคคล
ที่อยู่: 5-32-12 ชิบะ มินาโตะ-คุ โตเกียว 108-0014 ประเทศญี่ปุ่น
วิธีติดต่อ: แบบฟอร์มติดต่อบนบริการนี้
บริษัทจะพยายามตอบสนองภายในระยะเวลาที่เหมาะสมเมื่อได้รับการสอบถาม
13. การแก้ไขนโยบายนี้
บริษัทอาจแก้ไขนโยบายนี้ตามการแก้ไขกฎหมาย การเปลี่ยนแปลงสถานการณ์ทางสังคม การเปลี่ยนแปลงเนื้อหาบริการนี้ เป็นต้น นโยบายที่แก้ไขแล้วจะมีผลบังคับใช้ตั้งแต่เวลาที่เผยแพร่บนบริการนี้ ในกรณีที่มีการเปลี่ยนแปลงที่สำคัญ บริษัทจะแจ้งให้ผู้ใช้งานทราบด้วยวิธีการ เช่น การประกาศบนบริการนี้หรือการแจ้งเตือนทางอีเมล
14. กฎหมายที่ใช้บังคับ
นโยบายนี้อยู่ภายใต้และตีความตามกฎหมายญี่ปุ่น อย่างไรก็ตาม สำหรับผู้ใช้งานที่อาศัยอยู่ใน EEA สหราชอาณาจักร หรือสวิตเซอร์แลนด์ GDPR และกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้องจะบังคับใช้ร่วมด้วย