この管轄区域固有の補足条項(以下、「本補足条項」)は、当社が提供する製品および/またはサービスのお客様による使用に適用される補足条項を定めています。本補足条項はプライバシーポリシーに適用され、参照によりプライバシーポリシーに組み込まれます。Smartee Group およびその関連会社(以下、「Smartee」、「当社」、「当社の」または「このプラットフォーム」)が提供する製品および/またはサービスのお客様による使用が、本補足条項に規定される特定の管轄区域の法的要件の範囲内にある場合、本補足条項が適用されるものとします。
本補足条項とプライバシー ポリシーまたはその他の該当する添付文書との間に矛盾が生じた場合は、本補足条項が優先されます。
当社は、本補足条項を随時更新することがあります。更新の通知を受け取った場合、お客様の明示的な同意があった場合、またはお客様が当社の製品および/またはサービスを何らかの方法で継続して使用した場合、お客様は更新された補足条項に同意したものとみなされます。更新された補足条項に同意しない場合は、直ちに当社の製品および/またはサービスの使用を中止する必要があります。
----------------------------------------------------------------------------------------------------------------------
Smartee の製品および/またはサービスを EEA、英国、スイスで使用している場合、以下の追加条件が適用されます。
1.1 このパート A は、Smartee の製品および/またはサービス (またはそれらのいずれか) が GDPR の対象となる個人データを処理する範囲に適用されます。
1.2 お客様が EEA、英国、またはスイスにお住まいの場合、Smartee の事業体は、この補足条項に関連して処理されるお客様の情報の共同管理者となります。
1.3 このパート A では、以下の用語は以下の意味を持ちます。
Terms | Meanings |
EU GDPR | means Regulation 2016/679 of the European Parliament and of the Council on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation). |
GDPR | means, to the extent applicable to the relevant Processing of Products and/or services Data: (i) the EU GDPR; (ii) the UK GDPR; or (iii) the Swiss DPA, together (in each case) with any applicable national data protection laws made under, pursuant to or that apply in conjunction with any of (i), (ii) or (iii) (as may be amended or superseded from time to time). |
UK GDPR | means the EU GDPR as saved into United Kingdom law by virtue of section 3 of the United Kingdom's European Union (Withdrawal) Act 2018. |
Swiss DPA | means Switzerland’s Federal Act on Data Protection. Where the Swiss DPA is applicable to processing of personal information, references in this Part A and in the Swiss SCCs to Articles of the GDPR are to the equivalent provisions of the Swiss DPA. |
Personal data | means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person. |
Special categories of personal data | means personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person's sex life or sexual orientation. |
Controller | means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law. |
processor | means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller. |
Joint Controllers | means two or more controllers jointly determine the purposes and means of processing. “Joint Controller” shall be construed accordingly. |
processing | means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction. |
Standard Contractual Clauses | means: (i) where the EU GDPR applies, the contractual clauses annexed to the European Commission's Implementing Decision 2021/914 of 4 June 2021 on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council ("EU SCCs"); (ii) where the Swiss DPA applies, the EU SCCs are amended so that the term “Member State” will not be interpreted in such a way as to exclude data subjects in Switzerland from the possibility of suing for their rights in their place of habitual residence (Switzerland) in accordance with clause 18.c of the EU SCCs ("Swiss SCCs"); and (iii) where the UK GDPR applies, the EU SCCs as amended by the International Data Transfer Addendum to the EU SCCs issued by the UK Information Commissioner under s.119A(1) of the UK Data Protection Act 2018 (“UK Addendum”). |
2.1 お客様と Smartee との関係は、処理される個人データの性質と、それが処理される特定の目的によって次のように決定されます。
Purpose | Personal Information (data) | Processing role | |
a | You create a patient case management account on Smartee’s platform. | Name, Gender, Age, Dentition | You: Joint Controller Smartee: Joint Controller |
b | Smartee collaborates with suppliers, distributors, hospitals, clinics, doctors, other medical institutions, and professional orthodontic practitioners to provide Orthodontic Treatment (including, but not limited to, oral scanning, patient treatment data uploads, aligner design, post-production fine-tuning of aligner designs, or redesign initiation). | Imaging Data [Facial Photos, Oral Photos, X-ray Images (Radiographs)], Dental Scan Files, CBCT Files, STL Files | You: Joint Controller Smartee: Joint Controller |
c | Smartee partners with suppliers and/or other third-party business partners to provide invisible aligner design and/or manufacturing services to patients. | To provide patients with design and/or manufacturing services for invisible aligners:Name, Case Number, Age, Treatment Design Steps, Intraoral Scan Data, Occlusal Data, Manufacturing System Information (OEM), Imaging Data [Facial Photos, Oral Photos, X-ray Images (Radiographs)], STL Files To provide patients with manufacturing services for invisible aligners: Name, Case Number, Age, Treatment Design Steps, Intraoral Scan Data、Occlusal Data, Manufacturing System Information (OEM), STL Files | You: Joint Controller Smartee: Joint Controller |
d | Smartee facilitates financial settlement services for patients, suppliers, distributors, medical institutions, clinics, doctors, and other third parties. | Name, Products and Devices Used, contact information, bank account details, contact address, email address, tax-related codes (including but not limited to VAT, GST) | You: Joint Controller Smartee: Joint Controller |
e | Through distributors, hospitals, clinics, doctors, other medical institutions, and professional orthodontic practitioners, Smartee provides aligner delivery services to patients (where applicable). | Name, mobile phone number, landline, email, contact address, shipping information | You: Joint Controller Smartee: Joint Controller |
f | You provide marketing, recruitment, or related services to Smartee. | Service-Related Information | You: Joint Controller Smartee: Joint Controller |
g | You collaborate with Smartee to offer academic courses or training services. | Training Services-Related Information | You: Independent Controller Smartee: Independent Controller |
h | You cooperate with Smartee in conducting orthodontic-related research and testing. | Research and Testing-Related Information | You: Independent Controller Smartee: Independent Controller |
i | Smartee processes data solely in accordance with your instructions and does not autonomously determine the purposes of such processing. | Data Processed at Your Instruction | You: Controller Smartee: Processor |
j | Smartee provides data hosting or storage services and does not use such data for independent decision-making. | Data Hosted or Stored at Your Request | You: Controller Smartee: Processor |
k | You use Smartee’s platform to process data, but Smartee does not access or utilize that data. | Data You Process Using the Smartee Platform | You: Controller Smartee: Processor |
l | You instruct Smartee to process data pursuant to a Data Processing Agreement (DPA) executed between you and Smartee. | Data You Instruct Smartee to Process | You: Controller Smartee: Processor |
2.2 共同管理者の条件
2.2.1 あなたがサプライヤー、販売代理店、病院、診療所、医師、またはその他の第三者(以下「関連する第三者」)であり、Smartee の事業体と協力し、何らかの方法で EEA、英国、またはスイスの患者に製品および/またはサービスを提供する場合、あなたと Smartee の事業体は、この補足契約に関連して処理される個人情報の共同管理者となります。Smartee とあなたはそれぞれ、このパート A の条項 2.1 に指定されている共同処理に関して、GDPR 第 26 条に従って私たちが共同管理者であることを認め、同意します。
2.2.2 お客様が第 2.1 条の目的において Smartee との共同管理者である場合、かかる共同管理者の地位は、当該条項で特定される特定の処理活動 (「共同処理」) にのみ適用されます。第 2.1 条で特定される目的のための Smartee によるその後またはさらなる処理 (Smartee による関連会社または処理者への転送、歯列矯正用アライナーの処理および梱包を含む) は、GDPR 第 4 条 (7) に従い、お客様から独立した管理者としての立場で Smartee が行うものとします。
2.2.3 本共同管理者規約は、共同処理に関するお客様と Smartee の GDPR 遵守責任を規定します。
2.2.4 GDPR 責任の割り当て
共同処理に関するお客様と Smartee の GDPR 遵守責任は、次のとおりです。
GDPR compliance responsibility | Smartee's responsibility | Your responsibility | |
a | Article 6: Legal Basis | Smartee has the responsibility to establish a lawful basis in respect of its own Processing of Personal Data. | You have responsibility to establish a lawful basis in respect of your own Processing of Personal Data. |
b | Article 9: Legal Basis (Special categories of personal data) | Smartee has the responsibility to establish a lawful basis in respect of its own Processing of Special categories of personal data. | You have responsibility to establish a lawful basis in respect of your own Processing of Special categories of personal data. |
c | Articles 13, 14: Information | Smartee will display (or procure the display of) a publicly-available privacy notice describing its Processing activities (including the Joint Processing) that meets the requirements of Article 13 and 14 of the GDPR. | You must display (or procure the display of) a privacy notice (or any legal document of equivalent effect) describing your Processing activities (including the Joint Processing) to meet the requirements of Article 13 and 14. This includes as a minimum the provision of the following information: · That Smartee is a Joint Controller of the Joint Processing. · That you use Smartee Products as well as the purposes for which the collection and transmission of Personal Data that constitutes the Joint Processing takes place as set out in the Applicable Product Terms and Contract (Agreement). · That further information on how Smartee processes Personal Data, including the legal basis Smartee relies on and the ways to exercise Data Subject rights against Smartee, can be found in the relevant Smartee inventory privacy notice (with a hyperlink to such notice). |
d | Article 26(2): Making available Joint Controller Terms | This includes as a minimum the provision of the following information: That you and Smartee have: · entered into these Joint Controller Terms to determine the respective responsibilities for compliance with the obligations under the GDPR with regard to the Joint Processing (as specified in the Applicable Product Terms); · agreed that you are responsible for providing Data Subjects as a minimum with the information listed under point b in this table above; and · agreed that between the Parties, Smartee is responsible for enabling Data Subjects' rights under Articles 15-20 of the GDPR with regard to the Personal Data stored or otherwise Processed by Smartee after the Joint Processing. | |
e | Articles 15-20: Subject Rights | ||
f | Article 21: Right to object | Smartee will enable Data Subjects to exercise their right to object in respect of its own Processing of Personal Data. | You will enable Data Subjects to exercise their right to object in respect of your Processing of Personal Data. |
g | Article 32: Security | Smartee in respect of security of the Smartee’s Products and/or Services. | You in relation to your correct technical implementation and configuration of the Smartee’s Products and/or Services. |
h | Articles 33, 34: Personal Data Breaches | Smartee will comply with its obligations under the GDPR in respect of Personal Data Breaches insofar as any Personal Data Breach concerns Smartee's security obligations under these Joint Controller Terms | You will comply with your obligations under the GDPR in respect of Personal Data Breaches insofar as any Personal Data Breach concerns your security obligations under these Joint Controller Terms. |
2.2.5 共同処理に関する GDPR に基づく義務の遵守に関するその他のすべての責任は、Smartee とお客様のそれぞれが個別に負うものとします。
2.2.6 お客様は、Smartee が、以下の条件で、本共同管理者規約に基づくデータ処理義務を第三者のサブプロセッサー (Smartee グループ会社を含む) に下請け委託できることに同意するものとします。
(a) かかるサブプロセッサーは、本共同管理者規約および関連契約 (合意) と同等以上の負担となる義務をサブプロセッサーに課す条件で従事するものとします。
(b) サブプロセッサーが義務を履行しなかった場合、Smartee は、そのサブプロセッサーの義務の履行についてお客様に対して全責任を負います。
2.2.7 本共同管理者規約は、Smartee の製品および/またはサービスに関連して処理される Smartee ユーザーの個人データの開示を要求する権利をお客様に付与するものではありません。
2.2.8 Smartee は、Smartee が処理する個人データに関して、GDPR 第 15 条から第 21 条に基づくデータ主体の権利の行使に応じるものとします。データ主体が共同処理に関してお客様に対してそのような権利を行使した場合、または共同処理に関して監督当局から連絡を受けた場合 (それぞれ「リクエスト」)、お客様は直ちにprivacy_dpo@smarteealigners.com で Smartee に通知し、Smartee がそのようなリクエストに関して合理的に要求するすべてのタイムリーな情報、協力、支援を提供するものとします。お客様には Smartee に代わって行動したり回答したりする権限はありません。
2.2.9 お客様が Smartee の製品および/またはサービスをビジネスまたは商業目的でアクセスまたは使用する場合、お客様は、本共同管理者規約に起因または関連する、お客様が当社に対して有するあらゆる請求、訴訟原因または紛争はスペインの裁判所でのみ解決されなければならないこと、お客様はかかる請求を訴訟する目的でスペインの裁判所の管轄権に取消不能に服すること、および抵触法の規定にかかわらず、本共同管理者規約はスペインの法律に準拠することに同意するものとします。
2.2.10 当社は、本共同管理者規約を随時更新する場合があります。法律で義務付けられている変更を除き、当社は共同管理者規約に重大な変更があった場合は 30 日前にお客様に通知します (たとえば、電子メールまたは製品および/またはサービスのお客様のアカウントに通知します)。更新された共同管理者規約は、掲載時または更新された規約で指定されるそれ以降の日付から有効になります。本共同管理者規約の更新通知後も Smartee の製品および/またはサービスのいずれかにアクセスまたは使用し続けることにより、お客様はその規約に拘束されることに同意するものとします。更新された共同管理者規約に同意しない場合は、Smartee の製品および/またはサービスの使用をすべて停止してください。本共同管理者規約の一部が執行不能であると判明した場合、残りの部分は完全に効力を維持します。当社が本共同管理者規約の一部を執行しなかった場合、権利放棄とはみなされません。お客様から要求された本規約の修正または権利放棄は、書面で行い、当社が署名する必要があります。
2.3 データ処理条件
2.3.1 条項 2.1 に関連して、Smartee は以下の状況でプロセッサーとして機能するものとします:
(a) Smartee は、関連する第三者の指示のみに基づいてデータを処理し、データ処理の目的を独自に決定しません。言い換えれば、第三者が Smartee に個人データの分析、保存、または他の第三者への転送などの特定のデータ処理タスクを実行するように明示的に指示した場合、Smartee は個人データの使用方法や保持期間を決定しません。たとえば、
(i) 医療機関または医師が患者の個人データを Smartee にアップロードし、Smartee が厳密に指示に従ってそのデータを処理する場合。
(ii) 医療機関または医師が患者の個人データの使用と削除を完全に制御しながら Smartee に個人データの保存を要求する場合。
(iii) または、医療機関または医師が Smartee のシステムを使用して医療アドバイスを提供する場合、Smartee は個人データを他の決定に使用せずに技術サポートのみを提供する場合があります。
(b) Smartee はデータ管理者またはストレージ プロバイダーとしてのみ機能し、独立した意思決定のためにデータを使用することはありません。たとえば、
(i) Smartee は、製品の製造やその他の意思決定のために保存されたデータを使用することなく、データ ストレージ サービス (患者の医療記録のクラウド ストレージなど) を提供する場合があります。
(ii) 販売業者、医療機関、または医師によってアップロードされた患者の個人データは、アクセス、変更、削除に関してそれらの管理下にあり、Smartee はストレージのみを提供します。
(iii) または、医療機関または医師は、患者の個人データを後でダウンロードまたは分析するために Smartee にホストするよう要求する場合がありますが、Smartee は積極的にデータにアクセスしたり処理したりすることはありません。
(
c) 関連する第三者は Smartee のプラットフォームを使用してデータを処理しますが、Smartee 自体はデータを利用しません。たとえば、
(i) Smartee は、医療機関または医師が患者の個人データを独自にアップロードして管理する情報システムを提供する場合があります。Smartee の役割は、データに関するさらなる意思決定を行わない技術サポートに限定されます。
(ii) 医師は、Smartee がデータ処理に干渉しないまま、患者データ分析のためにシステムを使用する場合があります。
(d) 関連する第三者は、署名済みのデータ処理契約 (DPA) に基づいて Smartee にデータを処理するよう指示します。たとえば、
(i) 商業パートナーは、医療機関、医師、またはその他の協力する第三者によって承認された場合にのみデータ処理 (フォーマット変換や画像処理など) を必要とする DPA を Smartee と締結し、Smartee が処理の目的を独自に決定することを禁止する場合があります。
(ii) 代わりに、医療機関または医師は、データに対する制御と意思決定権限を保持しながら、Smartee に特定のデータ分析タスクを実行するよう要求する場合があります。
2.3.2 Smartee が本データ処理規約に従って個人データを処理する場合、お客様は当該個人データの管理者であり、Smartee は処理者です。したがって、Smartee は以下を行うものとします。
(a) 該当する製品および/またはサービス規約、契約、および合意に従ってのみ個人データを処理する。Smartee は、開示が以下の場合を除き、いかなる第三者にも個人データを開示しないものとします。
(i) 製品および/またはサービス規約、契約、および合意に従っている場合、
(ii) 条項 2.3.3 に従ってサブプロセッサーに対して開示されている場合、または
(iii) お客様が個人データを開示するよう指示したその他のプロセッサーを含む、お客様の文書化された指示に従っている場合。
(b) 個人データの処理を許可した人物が守秘義務 (契約上または法定) を負うことを保証する。
(c) 個人データ侵害から個人データを保護するために適切な技術的および組織的措置を実施する。
(d)GDPRに基づくデータ主体によるデータ主体の権利行使の要求に応じる義務を履行できるよう、可能な限り(処理の性質を考慮して)適切な技術的および組織的措置によりお客様を支援する。
(e) 個人データ侵害に気付いた場合、遅滞なくお客様に通知し、通知時または通知後できるだけ早く、個人データ侵害の性質、影響を受ける記録の数、影響を受けるデータ主体のカテゴリとおおよその数、個人データ侵害の予想される結果、個人データ侵害の可能性のある悪影響を軽減するための実際のまたは提案された救済策について詳細を提供します。
(f) お客様の要請と費用負担により、処理の性質と Smartee が利用できる情報を考慮し、GDPR に従ってお客様が実施する必要があるデータ保護影響評価および/または監督機関との協議に関して、合理的な支援を提供します。
(g) 製品および/またはサービスの条件、契約、合意の終了時に、該当する製品および/またはサービスの条件、契約、合意に定められた期間内に個人データを削除します。ただし、Smartee は、該当する製品および/またはサービスの条件、契約、合意に定められたその他のサービスを提供するために必要であれば、個人データを保持することがあります。EU GDPR が適用される場合、個人データの削除要件は、欧州連合または EU 加盟国の法律で個人データの継続的な保管が求められる範囲には適用されません。英国 GDPR が適用される場合、個人データの削除要件は、英国法で個人データの継続的な保管が求められる範囲には適用されません。スイス DPA が適用される場合、個人データの削除要件は、スイス法で個人データの継続的な保管が求められる範囲には適用されません。
(h) Smartee が GDPR 第 28 条に基づくプロセッサーとしての法的義務を遵守していることを示すために合理的に必要なすべての情報をお客様に提供します。そして
(i) 要請があれば、Smartee は、本データ処理規約の対象となる処理に関して保有している可能性のある、該当する情報セキュリティおよび/またはデータ保護監査証明書のコピーをお客様に提供するものとします。
2.3.3 お客様は、Smartee が本データ処理規約に基づくデータ処理義務を第三者のサブプロセッサー (Smartee グループ会社を含む) に下請け委託できることに同意します。ただし、次の条件に従います。
(a) かかるサブプロセッサーは、本データ処理規約と同等以上の負担となる義務をサブプロセッサーに課す条件で従事します。
(b) サブプロセッサーが義務を履行しなかった場合、Smartee は、そのサブプロセッサーの義務の履行についてお客様に対して全責任を負います。
2.3.4 個人データの国際転送に関する GDPR 要件への当事者の準拠が、当事者の制御外の状況 (個人データの国際転送に関する標準契約条項またはその他の法的手段が無効化、修正、または置き換えられた場合を含む) によって影響を受ける場合、当事者は誠意を持って協力し、かかる不遵守を合理的に解決します。
2.3.5 疑義を避けるために、EEA および/または英国内の Smartee の事業体への個人データの転送は、第 2.4 条の目的上、制限付き転送とはみなされません。EEA および/または英国内の Smartee の事業体がそのような個人データを転送し (その関連会社および処理者への転送を含む)、そのような転送が制限付き転送である場合、それらの事業体は、そのような転送が GDPR の要件に準拠していることを保証するものとします (必要な場合は、転送される個人データの受信者と標準契約条項を実施することを含む)。
2.4 標準契約条項
Smartee 製品および/またはサービスの使用に、お客様 (「データ エクスポーター」) から Smartee 関連会社 (「データ インポーター」) への個人データの制限付き転送が含まれる場合、およびその範囲において、標準契約条項は次のように適用されます:
2.4.1 EU GDPR によって保護される個人データに関しては、EU SCC が次のように適用されます:
(a) お客様と Smartee の両方がコントローラーである場合、モジュール 1 が適用されます。お客様がコントローラーで Smartee がプロセッサーである場合、モジュール 2 が適用されます。
(b) 第 7 条では、オプションのドッキング条項が適用されます。
(c) お客様がコントローラーで Smartee がプロセッサーである場合、第 9 条のオプション 2 が適用されます。さらに、サブプロセッサーの変更に関する通知は、少なくとも 7 日前に提供する必要があります。
(d) 第 11 条では、オプションの言語は適用されません。
(e) 第 17 条ではオプション 1 が適用され、EU SCC はスペインの法律に準拠します。
(f) 第 18 条 (b) では、紛争はスペインの裁判所で解決されます。
(g) EU SCC の付属書 I は、本共同管理者規約およびデータ処理規約の付属書 I に記載されている情報で完了したものとみなされます。
(h) EU SCC の付属書 II は、本共同管理者規約およびデータ処理規約の付属書 II に記載されている情報で完了したものとみなされます。
2.4.2 スイスのDPAによって保護されている個人データに関しては、スイスのSCCが上記第2.4.1項に定めるとおり適用されますが、スイスのSCCは、スイスのSCCの第17項の目的上、スイスの法律に準拠します。
2.4.3 英国GDPRによって保護されているデータに関しては、英国補足条項によって修正されたEUのSCCが適用され、英国補足条項は以下のように記入されます:
(a) 英国補足条項の表1~3は、EUのSCCからの関連情報で記入されます[上記第2.4.1項に定めるとおり]。
(b) 表4で「輸入者」オプションにチェックを入れます。
(c) 英国補足条項の開始日(表1に定めるとおり)は、当事者が本契約(条件)を締結した日とします。
2.4.4 本共同管理者規約およびデータ処理規約のいずれかの規定が直接的または間接的に標準契約条項と矛盾する場合、標準契約条項が優先するものとします。
3. お客様の権利
適用法に基づき、お客様は個人データにアクセスし、修正し、同意を撤回し、または削除する権利を有します。
同意の撤回。お客様はいつでも同意を撤回する権利を有します。ただし、同意の撤回は、撤回前の同意に基づく処理の合法性に影響を与えません。
お客様の情報へのアクセス。お客様は、当社がお客様に関して処理する情報の確認、処理に関する特定の情報の提供、およびお客様の情報のコピーの請求を、無料で当社に依頼できます。お客様の個人データが処理されている場合、お客様はその処理に関する特定の詳細について通知を受ける権利を有します。
(a) 処理の目的。(b) 関係する個人情報のカテゴリー。(c) 個人情報が開示された、または開示される予定の受信者、特に第三国または国際機関の受信者。(d) 個人情報が保管される予定の期間。(e) Smartee に対して、個人情報の訂正または消去、またはお客様に関する個人情報の処理の制限を要求する権利、またはそのような処理に異議を申し立てる権利の存在。(f) 監督当局に苦情を申し立てる権利。詳細については、お住まいの地域のデータ保護当局にお問い合わせください。(g) 個人情報がお客様から収集されていない場合、その情報源に関する入手可能な情報。
情報の修正。情報が正確でない場合、情報を変更したり、当社に変更または修正を依頼したりできます。
情報の消去(削除)。お客様には、Smartee からお客様に関する個人情報の消去を遅滞なく取得する権利があり、Smartee は、以下のいずれかの理由が当てはまる場合、遅滞なく個人情報を消去する義務を負います。(a) 個人情報が、収集またはその他の方法で処理された目的に関連して不要になった場合。(b) GDPR の第 6 条 (1) のポイント (a) および/または第 9 条 (2) のポイント (a) に従って処理の根拠となる同意をお客様が撤回し、処理のその他の法的根拠がない場合。(c) GDPR の第 21 条 (1) に従って処理に異議を唱え、処理の優先する正当な根拠がない場合、または GDPR の第 21 条 (2) に従って処理に異議を唱えた場合。(d) 個人情報が違法に処理された場合。 (e) 個人情報は、管理者が従うべきEU法または加盟国の法律上の義務を遵守するために消去される必要がある場合、(f) 個人情報はGDPR第8条(1)に規定する情報社会サービスの提供に関連して収集されたものである。
ただし、消去は、処理が必要な範囲では適用されません。(a) 表現および情報の自由の権利を行使するため。(b) Smartee が従う EU 法または加盟国の法律によって処理が義務付けられている法的義務を遵守するため、または公共の利益のために実行されるタスクの遂行のため、または Smartee に付与された公的権限の行使のため。(c) GDPR の第 9 条 (2) のポイント (h) および (i) ならびに第 9 条 (3) に従った公衆衛生の分野における公共の利益のため。(d) GDPR の第 89 条 (1) に従った公共の利益、科学的または歴史的研究目的または統計目的のアーカイブ目的のため (ただし、最後の段落で言及されている権利により、その処理の目的の達成が不可能になるか、または著しく損なわれる可能性がある場合)。(e) 法的請求の確立、行使、または防御のため。
情報の処理を制限します。お客様には、(a) 情報の正確性に異議がある場合、(b) 情報が違法に処理されたが、その情報の削除に反対している場合、(c) 法的請求の追求または防御のために情報を保持する必要がある場合、または (d) 処理に異議を唱えており、その異議申し立ての結果を待っている場合、情報の処理の制限を要求する権利があります。
情報の処理に異議を申し立てる。特定の状況下では、情報の処理に異議を申し立てる権利があります。この権利は、当社が公共の利益のために業務を遂行している場合、当社または第三者の正当な利益を追求する場合、または特定の状況下で科学的または歴史的研究を促進する目的でお客様のデータが処理されている場合に適用されます。異議申し立てのリクエストを提出する際には、異議を申し立てる処理活動、異議を申し立てる理由、処理活動がお客様に及ぼす影響、およびリクエストの検討に役立つと思われる追加情報など、すべての関連情報を提供してください。処理を継続する正当な根拠がない場合、または法的請求に必要ない場合は、特定の処理を停止します。
情報の移植。当社が法的根拠として契約上の必要性または同意に依拠している場合、お客様にはデータ移植の権利があります。つまり、構造化され、一般的に使用され、機械で読み取り可能な形式で情報を受け取り、第三者と共有する権利があります。この権利は、情報の処理に異議を申し立てることを妨げるものではありません。
この権利は、公共の利益のために実行されるタスクの遂行、または Smartee に付与された公的権限の行使に必要な処理には適用されません。この権利は、他者の権利および自由に悪影響を及ぼしてはなりません。
Smartee は AMAZON WEB SERVICES, INC. (AWS) と提携して、EEA、英国、スイスの医師と患者にクラウド ストレージ サービスを提供しています。この提携により、個人情報はローカルに保存されるか、適用される法律や規制に準拠して保存されます。AWS のサービス規定、プライバシー保護、セキュリティ対策の詳細については、AWS サービス条件を参照してください。
その他の方法で個人情報を保管する場合には、お客様の同意を得た上で、法令に準じた措置を講じます。
欧州経済領域 (EEA)、英国 (UK)、スイス在住の個人の個人データは、スペインに拠点を置く SMARTEE ALIGNERS SPAIN S.L. および英国に拠点を置く SMARTEE CLEAR ALIGNER (UK) LIMITED によって管理されます。当社がお客様の情報を EEA、英国、またはスイス国外に転送する場合、当社は以下の方法を採用して適切なレベルのデータ保護が確保されるようにします。
十分性決定。これは、GDPR第45条(または他の法律に基づく同等の決定)に基づく欧州委員会の決定であり、国が十分なレベルのデータ保護を提供していると認定するものです。したがって、Smarteeは、十分性決定に基づいて認められた国や地域にお客様の個人情報を合法的に転送する場合があります。収集される個人情報の種類の詳細については、「収集する情報」セクションを参照してください。
第49条。適格性決定がない場合、当社はGDPR第49条(1)(b)および(c)に基づき、「当社が収集する情報」に記載されている購入情報を、製品、商品、サービスの購入と配送を容易にするためのショッピング機能を提供するため、または注文を処理するために必要な場合に、適格性決定のない国の購入者および取引履行プロバイダーに転送します。
標準契約条項。欧州委員会は、GDPR の第 46 条に基づき、EEA 内の企業が EEA 外にデータを転送することを許可する契約条項を承認しました。これら (および英国とスイスで承認された同等の条項) は、標準契約条項と呼ばれます。当社は、「収集する情報」で説明されている情報を、当社の企業グループ内の特定の事業体 (こちらで説明) および十分性認定のない国の第三者に転送するために、標準契約条項に依存しています。標準契約条項のコピーについては、privacy_dpo@smarteealigners.com までお問い合わせください。
----------------------------------------------------------------------------------------------------------------------
Smartee の製品および/またはサービスを日本で使用している場合、以下の追加条件が適用されます。
このパートBにおいて、以下の用語は、以下の意味を有するものとする。
Terms | Meanings |
APPI (個人情報の保護に関する法律) | means the Act on Protection of Personal Information of Japan (Act No.57 of 2003, as amended) , including any subsidiary legislation, regulations and any codes of practice, standards of performance, advisories, guidelines, frameworks, or written directions issued thereunder, in each case as amended, consolidated, re-enacted or replaced from time to time. |
PPC (個人情報保護委員会) | means the Personal Information Protection Commission of Japan. |
Personal Information (個人情報) | refers to data that can identify a specific individual. |
Sensitive Personal Information (要配慮個人情報) | includes details regarding an individual’s race, beliefs, social identity, medical history, criminal record, history of being a crime victim, and any other information designated under Japanese government ordinances that may result in discrimination, bias, or unfair treatment, thereby requiring special handling. |
2.1 目的の特定
Smartee は、個人情報の処理目的を可能な限り明確に指定する必要があります。処理目的の変更は、合理的かつ関連性のある範囲内にとどまる必要があります。
2.2 目的制限の例外
Smartee は、以下の場合に、当初特定された目的を超えて個人情報を処理することがあります。
2.2.1 日本の法令(地方条例を含む)で要求される場合。
2.2.2 人の生命、身体または財産の保護のために必要がある場合で、同意を得ることが困難な場合。
2.2.3 公衆衛生の向上または児童の健全な育成の推進のために必要がある場合で、同意を得ることが困難な場合。
2.2.4 国の機関または地方公共団体が法定義務を遂行するために協力する必要がある場合で、同意を得ることがその遂行に支障をきたすおそれがある場合。
2.2.5 データ管理者が学術研究機関である場合、または処理の一部が学術研究目的である場合(個人の権利を不当に侵害しない限り)。
2.2.6 学術研究目的で個人データを必要とする学術研究機関に個人データを提供する場合(個人の権利を不当に侵害しない限り)。
Smartee は、以下の場合を除き、センシティブ個人情報を処理する前に、お客様の明示的な同意を取得します。
3.1 日本の法令により要求される場合。
3.2 個人の生命、身体または財産を保護するために必要な場合で、同意を得ることが困難な場合。
3.3 公衆衛生の向上または児童の福祉の増進に必要な場合で、同意を得ることが困難な場合。
3.4 政府機関または地方公共団体が法定義務を遂行するために協力する必要がある場合で、同意を得ることがその遂行に支障をきたすおそれがある場合。
3.5 学術研究機関が学術研究の目的で処理する場合(個人の権利を不当に侵害する場合を除きます)。
3.6 学術研究機関から学術研究の目的で取得し、Smartee と共同で研究を行う場合。
3.7 個人、政府機関、地方公共団体、学術研究機関、または APPI または PPC 規則の第 57 条第 1 項で指定されたその他の団体によって情報が公開されている場合。
3.8 その他日本国政府条例によりこれに準ずると認められる場合。
Smarteeは、個人情報および機微個人情報を取り扱う従業員に対する教育、研修等、従業員に対する必要かつ適切な監督を行います。データ漏洩が発生した場合、または当社もしくは当社のサービス提供者によるデータ漏洩が発生した可能性があるとSmarteeが判断した場合、Smarteeは速やかにお客様に事実を報告し、調査・報告を行い、再発防止策を実施します。
5.1 EEA、英国、スイスへの個人情報の移転
これらは、GDPR 第 45 条 (または他の法律に基づく同等の決定) に基づく欧州委員会および PPC の決定であり、国が適切なレベルのデータ保護を提供していると認められた場合に行われます。Smartee は、適格性決定に基づいて認められた国および地域に個人情報を転送することが法的に許可されています。当社が収集する個人データの詳細については、「当社が収集する情報」セクションを参照してください。
5.1.1 Smartee は、製品やサービスを提供する目的で、個人情報を英国の子会社および医療センターに転送する場合があります。
5.1.2 Smartee は、AMAZON WEB SERVICES, INC. (AWS) とも提携して、日本の医師と患者にクラウド ストレージ サービスを提供しています。この提携により、個人情報はローカルに保存されるか、適用される法律や規制に準拠して保存されます。AWS のサービス規定、プライバシー保護、セキュリティ対策の詳細については、AWS サービス条件を参照してください。
5.2 中国への個人情報の移転
5.2.1 Smartee は、製品および/またはサービスを提供する目的で、個人情報を中国の子会社に転送する場合があります。個人情報を Smartee China に転送する前に、転送の目的、関連する個人情報の種類、受信者の詳細、および中国の個人データ保護の枠組みについてお客様に通知し、お客様の明示的な同意を得ます。
5.2.2 PPCは、中国の個人データ保護システムがAPPIの要件に準拠しているかどうかを評価します。国外制度、中華人民共和国の個人情報の保護に関する制度等の調査
6.1 Smartee と提携し、個人情報および/またはセンシティブ個人情報を処理のために提供する第三者の場合、個人の同意を得ること、適切なセキュリティ管理を実施すること、個人情報を Smartee に送信する目的、Smartee が所在する国の個人データ保護フレームワーク、および Smartee が採用している個人情報保護対策について個人に通知することなど、APPI の要件に従って適切な措置を講じるものとします。
6.2 個人情報および/またはセンシティブ個人情報の処理を外部委託または下請けに出す場合、Smartee は、個人情報および/またはセンシティブ個人情報の全部または一部の処理のために当社が雇用している外部委託先/下請け業者と、規約に定められたものと同等の情報保護義務を課す契約 (合意) を締結し、外部委託先/下請け業者による契約 (合意) の履行を適切に監督し、責任を負うものとします。
15歳未満の場合は、保護者または法定後見人と一緒にこの規約を読んでください。保護者または法定後見人の同意がなく、保護者または法定後見人が自分の名前で製品および/またはサービスを使用したり受け取ったりすることを望まない場合は、製品および/またはサービスの使用および受け取りを中止する必要があります。
15歳未満のユーザーの保護者/法定後見人として本規約を確認する場合、そのユーザーが13歳以上であり、Smarteeのプライバシーポリシーと利用規約を読んで承認し、お子様による製品および/またはサービスの使用、およびSmarteeのプライバシーポリシーに従ってお子様の個人情報および/または機密性の高い個人情報をSmarteeが処理することに同意することをここに宣言します。
Smartee は、個人情報および/または機密個人情報の正確性、または削除、ならびに適用法および規制に基づく権利の主張に対応する権限について責任を負います。Smartee は、個人情報および/または機密個人情報の処理に関する開示を提供し、データ主体の権利の行使およびユーザーからの苦情に対応する責任を負います。
----------------------------------------------------------------------------------------------------------------------
Smartee の製品および/またはサービスをシンガポールで使用している場合、以下の追加条件が適用されます。
1.1 お客様には、通知を受ける権利、データの処理を制限または異議を申し立てる権利、個人データにアクセスして修正する権利、個人データを修正する権利、およびデータポータビリティの権利があります。
1.2 個人データが当初収集された目的に合わなくなり、法的またはビジネス上の目的で引き続き保持する必要がなくなった場合、Smartee はそのようなデータの保持を中止するか、個人データを特定の個人にリンクできる手段をすべて削除します。
2. データ保護責任者
データ保護責任者: Smartee のデータ保護責任者に連絡したい場合は、privacy_dpo@smarteealigners.com までご連絡ください。
お客様の同意は、「同意」または「みなし同意」のいずれかに分類されます。後者はさらに次のように細分化されます:
行為によるみなし同意。個人が自発的に合理的な方法で個人情報を提供する場合、Smartee はそれに応じて個人に通知する義務を負います。
契約上の必要性によるみなし同意。個人データが組織 A から組織 B に開示され、そのような開示が個人と組織 A の間の契約または取引の成立または履行に必要な場合。
通知によるみなし同意。Smartee が通知を通じて同意を取得する場合、データ保護影響評価 (DPIA) を実施し、個人に通知する義務を果たし、合理的なオプトアウト期間を提供する必要があります。
Smartee は、製品および/またはサービスの提供においてお客様に提供および/または協力するために、上記の同意形式に依拠する場合があります。
当社がお客様の個人データをシンガポール国外に転送する場合、当社は以下の 1 つ以上の方法を採用して、適用される法的要件に準拠します。
4.1 第三国へのデータ転送についてお客様の明示的またはみなし同意を得る。
4.2 受信者が、個人データ保護法 (PDPA) と同等の保護を提供する法的制度に準拠していることを確認する。
4.3 受信者とデータ処理契約を締結し、個人データがシンガポール国外の国または地域に転送される可能性があることを規定し、受信者に PDPA と同等の保護基準を遵守することを義務付ける。
4.4 Smartee グループ内で拘束力のある企業規則を実施し、すべての社内データ受信者に、シンガポールの法律で義務付けられているレベルと同等以上のデータ保護レベルを維持することを要求する。
5.1 データ侵害が発生した場合、Smartee はインシデントを評価するものとします。侵害が PDPA に基づいて通知対象とみなされる場合、Smartee は影響を受けた個人に 3 日以内に通知するものとします。通知には次の内容を含めるものとします:
5.1.1 データ侵害の説明。
5.1.2 データ侵害に対する Smartee の対応の詳細。
5.1.3 少なくとも 1 人の権限のある代表者 (データ保護責任者など) の連絡先情報。
5.2 データ侵害が影響を受けた個人に重大な損害を引き起こしたか、または引き起こす可能性がある場合、それは通知対象侵害とみなされ、Smartee は影響を受けた個人が適切な保護措置を講じるのを支援します。
----------------------------------------------------------------------------------------------------------------------
中国香港で Smartee の製品および/またはサービスを使用する場合、以下の追加条件が適用されます。
1.1 お客様には、個人データにアクセスして修正する権利、当該データを訂正する権利、および同意を撤回する権利があります。詳細については、個人データ(プライバシー)条例を参照してください。
1.2 Smartee は、データが使用された目的(直接関連する目的を含む)にデータが不要になった場合、Smartee が保有する個人データを消去するために実行可能なすべての手順を講じる必要があります。ただし、次の場合は除きます。
1.2.1 法律でそのような消去が禁止されている場合、または
1.2.2 データを消去しないことが公共の利益(歴史的利益を含む)にかなう場合。
同意することにより、お客様は、Smartee がお客様に製品および/またはサービスを提供するために、お客様の個人データを中国本土の Smartee 事業体に転送することを許可することになります。
----------------------------------------------------------------------------------------------------------------------
オーストラリアで Smartee の製品および/またはサービスを使用する場合、以下の追加条件が適用されます。
オーストラリア国外に所在する Smartee Group の特定の事業体は、「個人情報の共同利用」および「個人情報の提供と開示」のセクションで説明されているように、製品および/またはサービスを提供するためにお客様の情報へのアクセスを許可されます。オーストラリアから個人情報を受け取る当グループ事業体が所在する国の詳細については、こちらをご覧ください。
----------------------------------------------------------------------------------------------------------------------
メキシコで Smartee の製品および/またはサービスを使用する場合、以下の追加条件が適用されます。
メインのプライバシーポリシーのこのセクションに記載されている処理のすべての目的は、必要な目的です。
当社は、人的手段と自動化された手段の両方を使用してお客様のデータを処理します。
当社は、製品および/またはサービスを提供する目的で、お客様の個人情報を第三者と共有することがあります。当社は、適用法で義務付けられている共有についてお客様の同意を得ます。
当社に個人情報を提供し、当社の製品および/またはサービスを使用および受領することにより、お客様は同意を必要とする転送に同意するものとします。お客様はいつでも同意を取り消し、以下に記載されている権利を行使することができます。
お客様は、個人データに関して、アクセス、修正、キャンセル、異議申し立て、同意撤回、データの使用および開示の制限などの権利を有します。お客様は、privacy_dpo@smarteealigners.com にリクエストを送信することで、権利を行使できます。権利を行使するための適用要件と手順の詳細については、上記の電子メール アドレスまでお問い合わせください。お客様が 18 歳未満の場合は、親または保護者を通じて権利を行使できます。お客様の権利要求は、要求の内容に応じてできるだけ早く解決されます。
プライバシーポリシーの「児童の個人情報の取り扱い」セクションをご確認ください。
----------------------------------------------------------------------------------------------------------------------
Smartee の製品および/またはサービスをロシアで使用する場合、以下の追加条件が適用されます。
当社がお客様の個人情報を処理する場合、お客様の同意、契約の履行、合意、当社の正当な利益および個人情報を処理する義務、または法律で義務付けられている場合を根拠とします。
製品および/またはサービスを使用および受領することにより、お客様は本プライバシーポリシーに従って個人情報を処理することに同意するものとします。
あなたの個人データはロシアから中国に転送され、あなたが居住する国以外の場所に保管される可能性があります。
----------------------------------------------------------------------------------------------------------------------
Smartee の製品および/またはサービスをベトナムで使用する場合、以下の追加条件が適用されます。
当社は、お客様の個人情報を手動または自動の方法で処理することがあります。
一定の例外を除き、お客様には適用法に基づく法定権利と義務があります。特に、お客様には以下の法定権利があります:
• 知る権利
• 同意および同意撤回の権利
• アクセス権
• データを削除する権利
• データ処理を制限する権利
• データの提供を受ける権利
• データ処理に異議を申し立てる権利
• 苦情を申し立てる、告発する、または訴訟を起こす権利
• 損害賠償を請求する権利
• 自己防衛の権利
お客様は、お問い合わせセクションの詳細を通じて当社に連絡することでこれらの権利を行使することができ、お客様のデータが保存されている場所に関係なく、当社はお客様のリクエストに対応します。
お客様には以下の法定義務があります:
• ご自身の個人データを保護すること
• 他の関連組織および個人に個人データの保護を要求すること
• 他者の個人データを尊重し、保護すること
• 個人データの処理に同意する際に、完全かつ正確な個人データを提供すること。
• 適用法に基づくその他の義務。
お客様が16歳未満または保護者の監督下にある場合:
3.1 お客様は、お客様の親または法定後見人の承認を得る必要があります。
3.2 お客様の親または法定後見人は、(i) お客様の製品および/またはサービスへのアクセスおよび使用に関連するお客様のすべての行動、(ii) お客様の本ポリシーの遵守、および (iii) お客様の製品および/またはサービスへの参加が、いかなる場合でも児童保護に関する適用法および規制に違反しないことを確認することに責任を負います。
お客様が親または法定後見人の同意を得ておらず、お客様の親または法定後見人が自分の名前で製品および/またはサービスを使用したり受け取ったりすることを望まない場合、お客様が16歳以上でない場合は、製品および/またはサービスの使用および受け取りを中止する必要があります。
----------------------------------------------------------------------------------------------------------------------
ブラジルで Smartee の製品および/またはサービスを使用する場合、以下の追加条件が適用されます。
ブラジルの法律では、個人データに関して個人に一定の権利が与えられています。したがって、当社は、ユーザーが上記の権利を享受できるように、透明性とアクセス制御を確保するよう努めています。
当社は、適用法および該当する場合はブラジルの一般データ保護法 (LGPD) に従って、以下の権利の行使に関するお客様のリクエストに対応および/または履行します。
• お客様のデータが処理されているかどうかの確認。
• お客様のデータへのアクセス。
• 不完全、不正確、または古いデータの修正。
• データの匿名化、ブロック、または消去。
• 第三者への個人データの移植。
• 個人データの処理に異議を申し立てる。
• 当社がデータを共有した公的機関および民間団体の情報。
• 該当する場合、個人データの提供を拒否する可能性とそれに伴う結果に関する情報。
• お客様の同意の撤回。
• お客様の利益に影響を与える個人データの自動処理のみに基づいて行われた決定の見直しを要求する。これには、お客様の個人的、職業的、消費者的、または信用的なプロファイル、またはお客様の性格の側面を定義するために行われた決定が含まれます。
お客様の権利要求に対する当社の対応にご満足いただけない場合は、当社までご連絡ください。また、お客様にはブラジルデータ保護局 (ANPD) に苦情を申し立てる権利もあります。
お客様の安全のため、またお客様の個人情報を許可のない第三者に開示しないことを確実にし、お客様の身元を確認し、お客様の権利の適切な行使を保証するために、当社はお客様のデータに関して受け取ったリクエストに適切に対応する前に、特定の情報および/または文書を要求する場合があります。お客様のリクエストに対応する過程でお客様から受け取ったすべてのデータおよび文書は、お客様のリクエストを分析し、お客様の身元を認証し、最終的にお客様のリクエストに対応するという厳密な目的にのみ使用されます。
状況によっては、正当な理由によりお客様のリクエストの一部に応じられない場合があります。たとえば、当社の営業秘密または知的財産権が侵害されるリスクがある場合、開示が当社の事業に悪影響を及ぼす可能性がある場合、当社は特定の情報をお客様に開示しないことがあります。さらに、お客様のデータの維持が法律または規制上の義務を遵守するために必要な場合、または紛争が発生した場合に当社の権利と利益を保護するために必要な場合、当社は消去の要求に応じないことがあります。このような場合で、お客様のリクエストに応じられない場合は、必ず、リクエストに対応できない理由をお知らせします。
あなたのプライバシー、あなたの権利、またはそれらの行使方法について疑問がある場合は、「お問い合わせ」フォームからご連絡ください。あなたの個人データの処理についてご質問がある場合は、明確に説明させていただきます。
Smarteeのデータ保護責任者に連絡したい場合は、privacy_dpo@smarteealigners.comまでご連絡ください。
当社は、法的義務を遵守するために、お客様のアプリケーション アクセス ログを機密扱いで、管理された安全な環境に少なくとも 6 か月間保管します。
本ポリシーは英語で作成されている場合があります。
当社が製品やサービスを提供するためには、国際的なデータ転送が必要です。お客様がブラジルにお住まいの場合、当社は常に、適用されるデータ保護法および規制に基づく国際的なデータ転送メカニズムの 1 つに依存します。
データエクスポート者:
Name | You or any of your affiliates that make a Restricted Transfer to a Smartee affiliate. |
Address | When you use and accept the Products and/or Services provided by Smartee, the following data may be collected either directly from you or through other lawful means (e.g., shipment processing and bank transfers). |
Contact person’s name, position and contact details: | When you use and accept the Products and/or Services provided by Smartee, you may provide your name and contact details to Smartee, or Smartee may obtain your address details through other lawful means (such as shipment processing and bank transfers). |
Activities relevant to the data transferred under these Clauses: | A patient and/or doctor of Smartee’s Products and/or Services. |
Signature and date: | The Annex I shall be deemed executed upon acceptance of this Privacy Policy or any related Contract (Agreement) pertaining to Smartee’s Products and/or Services. |
Role (controller/processor): | Joint Controller /Controller/Processor |
Data importer(s):
Name | Shanghai Smartee Denti-Technology Co., Ltd. and/or SMARTEE ALIGNERS SPAIN SL and/or SMARTEE CLEAR ALIGNER (UK) LIMITED and/or any other Smartee affiliates when they receive Personal Data pursuant to a Restricted Transfer. |
Address | Shanghai Smartee Denti-Technology Co., Ltd., Building E, Jixian Center, Lane 565 Shengxia Road, Pudong New Area, Shanghai, China. SMARTEE ALIGNERS SPAIN SL, C/ BRONCE, NUMERO 10, PORTAL B, 1° B SMARTEE CLEAR ALIGNER (UK) LIMITED, First Floor, 2 Hampton Court Road, Birmingham, England, B17 9AE |
Contact person’s name, position and contact details: | Questions in connection with these Standard Contractual Clauses can contact at privacy_dpo@smarteealigners.com. |
Activities relevant to the data transferred under these Clauses: | Provision of Smartee’s Products and/or Services. |
Signature and date: | The Annex I shall be deemed executed upon acceptance of this Privacy Policy or any related Contract (Agreement) pertaining to Products and/or Services. |
Role (controller/processor): | Joint Controller /Controller/Processor |
Categories of data subjects whose personal data is transferred: | Individuals whose data are collected by Smartee’s Products and/or Services. |
Categories of personal data transferred: | Orthodontic Service (patient): Name, Gender, Age, Dentition, Products and Devices Used, Delivery Address, Email, Postal Code Orthodontic Service (doctor): Name, Mobile Phone Number, Landline Phone Number, Email Address, Contact Address, Qualifications Relevant to Orthodontic Diagnosis and Treatment, Third-party Doctor Registration Number, Shipping Information (please note: the multiple shipping details you provide may contain Additional Names, Phone Numbers, Addresses, etc.), Bank Account Details, Tax-Related Codes (including but not limited to VAT, GST), Qualifications Relevant to Orthodontic Diagnosis and Treatment, Third-Party Doctor Registration Number Smartee Academy Service: Full Name, Professional Role, Country of Residence, Organization, Email, Payment details |
Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialised training), keeping a record of access to the data, restrictions for onward transfers or additional security measures: | Case Number, Imaging Data [Facial Photos, Oral Photos, X-ray Images (Radiographs)], Dental Scan Files, CBCT Files, STL Files, Treatment Design Steps, Intraoral Scan Data, Occlusal Data, Manufacturing System Information (OEM) |
The frequency of the transfer (e.g. whether the data is transferred on a one-off or continuous basis): | Continuous throughout the provision of the Smartee’s Products and/or Services to the data exporter and/or doctor and/or patient. |
Nature of the processing: | The provision of the Smartee’s Products and/or Services for which Smartee (or its affiliates) are a Joint Controller and/or Controller and/or Processor, as identified in Clause 2.1 of Part A of these Jurisdiction Specific Addendum. |
Purpose(s) of the data transfer and further processing: | Transfers necessary for the provision of the Smartee’s Products and/or Services for which Smartee (or its affiliates) are a Joint Controller and/or Controller and/or Processor, as identified in Clause 2.1 of Part A of these Jurisdiction Specific Addendum. |
The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period: | For the duration of the relevant Smartee’s Products and/or Services, and as otherwise required by applicable law. |
For transfers to (sub-) processors, also specify subject matter, nature and duration of the processing: | As described above and in: (i) the Joint Controller Terms in clause 2.2 of Part A of these Jurisdiction Specific Addendum (ii) the Data Processing Terms in Clause 2.3 of Part A of these Jurisdiction Specific Addendum; and (iii) the relevant Terms and/or Contract and/or Agreement and/or any documents that apply to the Smartee’s Products and/or Services provided to the data exporter and/or doctor and/or patient. |
Identify the competent supervisory authority/ies in accordance (e.g. in accordance with Clause 13 SCCs) | Where the EU GDPR applies, the competent supervisory authority shall be determined in accordance with Clause 13 of the EU SCCs. Where the UK GDPR applies, the UK Information Commissioner's Office. Where the Swiss DPA applies, the Swiss Federal Data Protection and Information Commissioner. |
処理の性質、範囲、状況、目的、および自然人の権利と自由に対するリスクを考慮して、適切なレベルのセキュリティを確保するためにデータ輸入者が実施した技術的および組織的措置(関連する認証を含む)の説明。
Smartee システムはクラウド プラットフォーム上に導入され、物理環境はクラウド サービス プロバイダーによって保護されます。プロバイダーは、主要なネットワーク機器の業務処理能力も保証します。
Smartee システムは、クラウド サービス プロバイダーによって構成されたクラウド ファイアウォールとアクセス制御リスト (ACL) ポリシーを介して外部システムと通信し、すべての通信はデフォルトで拒否されます。重要なネットワーク領域は内部ネットワーク内に展開され、主要なネットワーク デバイス、セキュリティ機器、通信回線はプロバイダーによって保護されます。アプリケーション サーバーは冗長性を確保するためにアクティブ スタンバイ構成で動作し、データベースは高可用性を維持するためにマスター スレーブ (ホット バックアップ) モデルを採用しています。システムはリモート管理に HTTPS、RDP、および TIS プロトコルを使用し、暗号化技術によって転送中のデータの整合性と機密性を確保します。
ネットワーク境界は、クラウド サービス プロバイダーが提供するクラウド ファイアウォールと ACL ポリシーによって保護されており、すべての通信はデフォルトでブロックされます。セキュリティ対策には次のものが含まれます:
3.1 侵入防止モジュールを備えたクラウド ファイアウォール。
3.2 Web アプリケーション ファイアウォール (WAF) サービス。
3.3 クラウド セキュリティ センター (エンタープライズ エディション)。
3.4 ネットワーク攻撃や異常なトラフィックを検出して分析する監査機能。
Smartee サーバーは、サーバーとともに複雑な認証ポリシーに基づいてユーザー ID を認証する要塞ホストによって管理されます。各サーバーには、ホスト侵入検出用の Cloud Security Center (Enterprise Edition) エージェントが装備されています。さらに、悪意のあるコードの検出と削除用に Huorong 5.0 がインストールされています。認証データは暗号化され、整合性を確保するために保護されており、ユーザーは HTTPS 経由でログインします。
Smartee は、クラウド サービス プロバイダーのコントロール パネルを通じて、すべてのクラウド ホストとセキュリティ サービスを集中管理します。このシステムは、ネットワークの状態、セキュリティ コンポーネント、仮想マシンの状態を監視し、プロバイダーのログ サービスによって一元的な監査管理が可能になります。各仮想マシンには、セキュリティ ポリシーの管理、悪意のあるコードの検出、パッチ アップグレードの一元的な処理を行う Cloud Security Center (Enterprise Edition) エージェントが搭載されています。プロバイダーのセキュリティ グループ センターは、ネットワーク全体のセキュリティ インシデントを収集して分析し、必要に応じてアラートを発行します。
Smartee は、包括的な情報セキュリティ ポリシー フレームワークを確立しました。これには、次のものが含まれます。
6.1 サイバーセキュリティ管理システムの一般原則。目標、範囲、原則、フレームワークを含む全体的なサイバーセキュリティ ポリシーと戦略の概要を示します。
6.2 物理セキュリティ、ホスト セキュリティ、ネットワーク セキュリティ、アプリケーション セキュリティ、データ セキュリティ、システム開発、セキュリティ操作を網羅する詳細な管理要件と手順。
6.3 セキュリティ戦略、管理ポリシー、運用手順で構成される統合情報セキュリティ管理システム。
Smartee は、責任が明確に定義された、よく構造化されたセキュリティ管理組織を維持しています。
7.1 プライバシー オフィス: 最高レベルの情報セキュリティ管理機関として機能し、幹部が率い、指定されたデータ保護責任者 (DPO) が含まれます。
7.2 情報セキュリティ タスク フォース: 情報システムのセキュリティ管理活動を実行します。
7.3 専任のネットワークおよびセキュリティ管理者: ネットワークとシステムのセキュリティを確保する責任を負います。
Smartee の人事部は人材採用を担当しており、採用および退職時のセキュリティ ポリシーを厳格に遵守しています。サイバーセキュリティ トレーニング ポリシーでは、全従業員にセキュリティ意識向上トレーニングを義務付けており、従業員ハンドブックにはセキュリティ責任と懲戒処分が明確に記載されています。オフィス エリアへのアクセスには事前の承認が必要であり、許可された担当者が同伴する必要があります。
Smartee は、セキュリティ保護レベルとリスク分析の結果に基づいてセキュリティ対策を選択します。
9.1 ビジネス部門は、サイバーセキュリティ製品の調達要求を提案する権限を持ち、財務部門がそれを審査して承認します。このような製品はすべて、関連する国内規制に準拠しています。
9.2 開発環境はオフィス敷地内にあり、実稼働環境はクラウド プラットフォーム上に展開されます。テスト環境は、テスト データと結果を効果的に制御できるように、実稼働環境から物理的に分離されています。
9.3 セキュリティ管理者は、システムの実装を監督し、構築品質を確保し、システムの受け入れと展開を管理します。
Smartee は、厳格な運用セキュリティ対策を実施しています。これには、次のものが含まれます。
10.1 従業員に異動時にオフィスの鍵を返却するよう要求し、オフィスエリアで訪問者を受け入れることを禁止する。
10.2 従業員がワークステーションを離れるときに端末コンピューターからログアウトし、機密性の高い紙の文書を安全に保管することを義務付ける。
10.3 機器とネットワーク インフラストラクチャを保守するセキュリティ管理者を任命し、定期的な保守ログを記録する。
10.4 アカウントのリクエスト、作成、削除など、ユーザー アカウントを管理するシステム管理者を指名する。
10.5 重要なデバイスの構成と運用手順を概説したセキュリティ ポリシーを実装し、安全で最適化されたシステム設定を確保する。
10.6 セキュリティ侵害に効果的に対処するためのインシデント対応および緊急管理システムを確立する。
