1. はじめに
このプライバシーポリシー(以下、「本ポリシー」)は、Lepta Payment Solutions Limited(以下、「Lepta」「私たち」「当社」)が、Event Donations モバイルアプリ(以下、「本アプリ」)に関連して個人データをどのように収集、使用、保存、共有するかについて説明しています。本アプリは、認定されたボランティアが、Tap-to-Pay技術を使用して指定された法人に代わり寄付を募集することを可能にします。
本ポリシーは、以下の2つのカテゴリーの個人に適用されます:
- ボランティア: 本アプリを使用して寄付を募集する権限を持つ個人;および
- 寄付者: 本アプリを通じて寄付をする個人
支払処理はStripe, Inc.(「Stripe」)により提供されています。Stripeによるあなたの個人データの処理はStripeのプライバシーポリシー(stripe.com/privacy で入手可能)に適用されます。寄付を受け取る法人も、寄付の時点であなたに提供される独自のプライバシーポリシーを持つ場合があります。
2. あなたのデータについて誰が責任を負っているのか
活動によって、異なる当事者があなたの個人データについて責任を負っています:
- 法人(データ管理者): 寄付を受け取る組織は、寄付トランザクションフロー(寄付者の個人データの収集および処理を含む)のデータ管理者であり、寄付の受け取りおよび税務控除領収書の発行を目的とします。法人は、Leptaに自社に代わってこのデータを収集および送信するよう指示しています。
- Leptaはデータ処理者: 寄付トランザクションフロー(本アプリ経由の寄付者の個人データの収集および送信、ならびに取引記録の法人のシステムへの転送を含む)に対し、Leptaは法人に代わってデータ処理者として機能します。Leptaは、法人の文書化された指示に基づいてのみこのデータを処理します。
- Leptaはデータ管理者: Leptaは、限定された一連の内部活動の処理目的と手段を決定します:Leptaプラットフォームの運用、セキュリティ、保守(サーバーログおよびインシデント対応を含む)、管理ユーザーアカウントの管理、Leptaの独自のサービスプロバイダーの選択および管理、ならびにLeptaの法的義務への遵守。Leptaは、不正監視、マネーロンダリング対策スクリーニング、または複数の法人のデータ全体の分析に対してデータ管理者として機能しません。
- Stripe: Stripeは、独立した支払いサービスプロバイダーとしてのいかなる立場においても、支払いカードデータおよび寄付者の個人データを処理します。StripeはLeptaの二次処理者ではありません。Stripeの役割および義務はStripeのプライバシーポリシーおよびLeptaとの契約によって支配されます。StripeはEU–U.S. Data Privacy Frameworkの下で自己認証されています。
- Google: 本アプリがGoogle Places API をアドレスオートコンプリートに使用する場合、本アプリは寄付者の部分的なアドレスクエリおよびデバイスロケーションデータをLeptaのサーバーに送信し、このサーバーがリクエストをGoogleに転送します。Googleはこの目的のためにLeptaの二次処理者として機能します。Google, LLCはEU–U.S. Data Privacy Frameworkの下で自己認証されています。Googleの処理はGoogleのプライバシーポリシーによって支配されます。
3. 当社が収集する個人データ
3.1 ボランティアデータ
認可コードで本アプリにサインインする際、当社は以下を収集します:
- あなたの名前(姓および名)
- あなたのメールアドレス
このデータはあなたのデバイス上の暗号化されたセキュアストレージに保存され、サインアウト時にクリアされます。また、支払処理に関連してStripeに送信されます。
本アプリをダウンロードしても認可コードを入力しない場合、本アプリまたはLeptaによってあなたに関する個人データは収集、保存、送信されません。
3.2 寄付者データ
寄付者が本アプリを通じて寄付をする場合、セッション設定に応じて、以下のデータが収集される可能性があります:
- メールアドレス(寄付領収書の配信に使用)
- 名前(姓および名)
- 郵送先住所(番地、市区町村、都道府県、郵便番号、国)—税務控除領収書の発行が法律で要求される地域でのみ収集
この寄付者データはStripe APIを経由してStripeのサーバーに直接送信されます。Leptaの独自のデータベースまたは本アプリのポータルに書き込まれたり、保存されたりすることはありません。
3.3 支払いカードデータ
支払いカードデータ(カード番号、有効期限、CVC)は、本アプリに統合されたStripe SDKによって全面的に処理されます。Leptaは、いかなる時点においても、支払いカードデータにアクセスしたり、処理したり、保存したりすることはありません。
3.4 デバイスロケーションデータ
認可コードを入力して Tap-to-Pay オンボーディングプロセスを開始した後、本アプリはあなたのデバイスの正確なロケーションにアクセスする権限をリクエストします。これは以下の2つの目的のために必要です:
- Stripe Terminal SDK要件: Stripeは、Tap-to-Payが承認された国で使用されていることを確認するためにデバイスの正確なロケーションの確認を要求します。これはStripe Terminal SDKの必須前提条件であり、これがなければ本アプリは初期化したり、支払いを受け入れたりすることはできません。
- アドレスオートコンプリート: 本アプリは、寄付者が郵送先住所を入力する際に、Google Places APIを使用して高品質のアドレスオートコンプリート結果を提供します。デバイスロケーションデータは、これらの提案の関連性を向上させるために使用されます。
ロケーションデータはLeptaによって本アプリのポータルまたはデータベースに保存されません。
3.5 収集されないデータ
本アプリは、以下を収集、使用、送信しません:
- 広告識別子(IDFA または GAID)
- クラッシュデータ、パフォーマンスデータ、または診断テレメトリ(本アプリにクラッシュレポートまたはパフォーマンス監視SDKは含まれていません)
- クロスアプリまたはクロスサイト追跡データ
- バイオメトリクスデータ(顔認識データを含む)
本アプリは、開発診断用のローカルのみのロギングライブラリを使用しています。本番ビルドでは、情報レベルのメッセージのみがログに記録され、これらのログはデバイス上に留まり、サーバーに送信されることはありません。
4. あなたの個人データをどのように使用しているか
| 目的 | 使用されるデータ | 法的根拠(GDPR) | 保持期間 |
|---|---|---|---|
| ボランティアのオンボーディングおよび認証 | ボランティアの名前、メールアドレス、認可コード | 正当な利益(第6条第1項(f))—寄付募集サービスを運用するために必要 | デバイス上:サインアウトまで。 |
| Stripeでは:Stripeの保持ポリシーに従う | |||
| 寄付の処理 | 寄付者の名前、メールアドレス、支払いカードデータ(Stripe SDK経由)、寄付額 | 契約の履行(第6条第1項(b))—寄付トランザクション処理のために必要 | Stripe:Stripeの保持ポリシーに従う。 |
| 法人:その財務記録保持義務に従う | |||
| 税務控除領収書の発行 | 寄付者の名前、メールアドレス、郵送先住所 | 法的義務(第6条第1項(c)))—指定された地域の国内税法により要求される | 法人:適用される税務記録保持要件に従う |
| 税務控除領収書の発行 | 寄付者の名前、メールアドレス、郵送先住所 | 法的義務(第6条第1項(c))—指定された地域の国内税法により要求される | 法人:適用される税務記録保持要件に従う |
| Tap-to-Pay国の確認 | デバイスの正確なロケーション | 正当な利益(第6条第1項(c)、(f))—Stripe Terminal SDK要件および支払いネットワークルールへの準拠のために必要;および承認された国で使用されているかを判断するため | 保存されない |
| アドレスオートコンプリート | デバイスロケーション | 正当な利益(第6条第1項(f))—寄付者のアドレス入力精度の向上 | 保存されない |
| サーバー運用 | IPアドレス、ユーザーエージェント文字列、URLパラメータ(標準サーバーログ) | 正当な利益(第6条第1項(f))—セキュリティおよびシステム完全性 | 一時的;60日 |
| 宗教的背景 | 法人が宗教的結社である場合、寄付データは文脈において寄付者の宗教的または哲学的信念を明かす可能性があります(GDPR第9条第1項) | 第9条第2項(d)—宗教的結社の正当な活動の過程で行われる処理であり、適切な保護措置を伴います。法人は本条件への依拠を保証します。 | 上記の保持期間に従う |
5. 領収書および感謝の手紙の受け取りについて
本アプリが寄付者に寄付領収書または感謝の手紙を受け取るオプションを提供する場合、これは寄付者の自由に与えられた同意に基づいています。同意メカニズムは以下のように動作します:
- オプトインは、デフォルトでオフになっている個別の明確にラベル付けされたトグルまたはチェックボックスとして提示されます。
- 寄付自体はオプトインを条件としていません—寄付者は領収書または手紙の受け取りに同意することなく寄付を完了することができます。
- 寄付者は、オプトインの時点で、寄付を受け取る法人と領収書または手紙の目的でシェアされることになる自分の連絡先(名前、メールアドレス、該当する場合は郵送先住所)についての情報が提供されます。
- 同意はいつでも、Leptaまたは法人に連絡することによって撤回することができます(以下の第9項を参照)。
6. データが保存される場所およびそれが誰と共有されるか
Leptaは、寄付者の個人データの独自のデータベースを保持していません。データフローは以下のとおりです:
- デバイス上: ボランティアの名前およびメールアドレスは、デバイス上の暗号化されたセキュアストレージに保存され、サインアウト時にクリアされます。
- Stripe: 寄付者の名前、メールアドレス、郵送先住所(収集された場合)、および支払いデータはStripeのサーバーに保持されます。StripeはPCI DSS Level 1認証支払いサービスプロバイダーです。Stripeのデータ保持、セキュリティ対策、およびプライバシー慣行はStripeのプライバシーポリシー(stripe.com/privacy)によって支配されます。StripeはEU–U.S. Data Privacy Frameworkの下で自己認証されています。
- 法人: 法人の財務記録に必要なトランザクションデータはStripeから法人のITシステムに転送されます。これは、donate.jw.orgで使用される既存のデータフローを反映しています。
- Watchtower Bible and Tract Society of New York, Inc.(「WTNY」): WTNYはITサービス契約に基づいてLeptaのより広いIT環境を提供しており、これには、HuB企業資源計画システム、Microsoft 365/SharePoint Online(Leptaのクライアントリソースプラットフォーム)、Microsoft Azureクラウドサービス、Microsoft Power BI、Microsoft Exchange(メール)、バックアップサービス、ドメインホスティングなどが米国から含まれます。WTNYはLeptaの処理者および二次処理者として機能し、個人データはLeptaの文書化された指示に基づいてのみ処理されます。WTNYはEU–U.S. Data Privacy Frameworkの下で認証されていません;Leptaからwtnyへの転送に対する適切な保護措置は以下の第7項に記載されています。Leptaから送信された寄付者およびボランティアの個人データは、WTNYには送信されません:本アプリデータフローによると、寄付者およびボランティアデータは本アプリからLepta Portal(Amazon Web Services, Inc. の米国でホストされている)に送信され、そこからStripeに送信されます。
- Amazon Web Services, Inc.(サーバーログ、米国—二次処理者): 本アプリのバックエンドは米国(us-east-1リージョン)のAmazon Web Services, Inc.(「AWS」)でホストされています。AWSはEU–U.S. Data Privacy Frameworkの下で自己認証されています。標準的なサーバーリクエストログには、IPアドレス、ユーザーエージェント文字列、URLパラメータなどのデータが一時的に含まれる可能性があります。これらのログは60日間保持された後、削除されます。
- Google(アドレスオートコンプリート): 寄付者が郵送先住所を入力する際、本アプリはGoogle Places APIを使用してオートコンプリート提案を提供します。このデータに関するGoogleの処理はGoogleのプライバシーポリシーによって支配されます。Google, LLCはEU–U.S. Data Privacy Frameworkの下で自己認証されています。
Leptaのポータル(管理ダッシュボード)は、寄付者の個人識別情報を独自のデータベースに保存しません。管理ダッシュボードは、Stripeの埋め込み支払いインターフェースを介して支払いおよび寄付データを表示し、Stripeからリアルタイムでデータを取得します。
ポータルの独自のデータベースに保存されている唯一の個人データは、管理ユーザーアカウント(名前、メールアドレス、ハッシュ化されたパスワード)で構成されており、これはシステムを管理する法人の代表者です。これらは寄付者の記録ではありません。
Leptaの二次処理者の完全なリストは、lepta.io/resources で入手可能です。
7. 国際データ転送
あなたの個人データは、あなたの居住国を含む国外に転送され、処理される可能性があります。そのような転送が欧州経済領域(EEA)、英国、またはスイスに由来する個人データを伴う場合、適切な保護措置が設けられています。転送メカニズムの完全な詳細は、Lepta Data Transfers Addendum(leptapay.com/legal/dta で入手可能)に記載されています。各転送に対する保護措置の概要を以下に示します。
- Stripe(米国—独立したデータ管理者): StripeはEU–U.S. Data Privacy Framework(DPF)およびDPFの英国拡張の下で自己認証されています。欧州委員会の適切性決定(2023年7月10日の実装決定(EU)2023/1795)がStripeへの個人データの転送に適用されます。Leptaはstripeの DPF認証状況を監視しています。
- WTNY(米国—二次処理者): WTNYはData Privacy Frameworkの下で認証されていません。LeptaからWTNYへの個人データの転送は、欧州委員会によって承認されたEU標準契約条項(モジュール2:管理者から処理者まで、Leptaが管理者として機能する場合;モジュール3:処理者から処理者まで、Leptaが処理者として機能する場合)によって保護されており、LeptaとWTNYの間のITサービス契約に組み込まれています。標準契約条項には、追加の保護措置ライダーが付属し、転送中のデータの暗号化、転送中および保存中のデータの暗号化、リクエストの転向、米国の監視法に基づくアクセス要求に抵抗し異議を唱える契約上の約束、個人データに対する一切の拘束力のある法的要求についてLeptaに通知する義務(適用可能な法的制限の対象)、およびのれんの一部のみを開示する義務などの補足的な措置が含まれています。WTNYの、Microsoft 365/SharePoint Online/Azure/Power BI/Exchangeサービス用の下流二次処理者は、Microsoft Ireland Operations Limited(アイルランド)です。Microsoft Customer Agreementに基づいて契約されています。Microsoft Ireland Operations Limitedはいわば、Microsoft Corporation(米国、EU–U.S. Data Privacy Frameworkの下で自己認証)に依存しており、米国のMicrosoftデータセンターから基礎となるサービスを提供しています。
- Google(米国—二次処理者): Google, LLCはEU–U.S. Data Privacy Frameworkの下で自己認証されています。適切性決定は、Google Places APIの DPF認証二次処理者としてGoogleへの転送に適用されます。
- AWS(米国—二次処理者): Leptaのバックエンドは、米国(us-east-1リージョン)のAWSでホストされています。AWSはEU–U.S. Data Privacy Frameworkの下で自己認証されています。適切性決定は、DPF認証二次処理者としてAWSへの転送に適用されます。
- 法人のHuBインスタンスへの転送: トランザクションデータはStripeから法人のHuBシステムのインスタンスに転送されます。この段階の転送メカニズムは各法人の位置によって異なり、法人の独自のデータ処理についての取り決めでカバーされます。
Leptaはアイルランドに設立されており(EEA)、Data Privacy Frameworkの下での認証対象ではありません。Data Privacy Frameworkは米国ベースの組織のみが利用できます。Leptaは、(DPF認証されていない米国の受取人に対して)EU SCCおよび補足的な措置、および(DPF認証された米国の受取人に対して)DPF適切性決定に依存しており、これらが制限転送の合法的なメカニズムです。
8. データ保持
Leptaは、本プライバシーポリシーで説明されている目的に必要な期間のみ個人データを保持しています:
| データカテゴリ | 保存場所 | 保持期間 |
|---|---|---|
| ボランティアの名前およびメールアドレス | デバイス(暗号化) | サインアウトまで |
| ボランティアの名前およびメールアドレス | Stripe | Stripeの保持ポリシーに従う |
| 寄付者の名前、メールアドレス、住所 | Stripe | Stripeの保持ポリシーに従う(サービスが継続される限り保持、ならびに適用法律により必要とされる期間) |
| 寄付者トランザクションデータ | 法人(HuB) | 適用法律に基づく法人の財務記録保持義務に従う |
| 支払いカードデータ | Stripe(専有) | Stripeの保持ポリシーおよびPCI DSS要件に従う |
| デバイスロケーション | 保存されない | 適用外—リアルタイムのみで使用 |
| サーバーログ(IP、ユーザーエージェント) | AWS | 60日 |
| Lepta IT環境データ(HuB ERP、Microsoft 365/SharePoint クライアントリソース、ファイル/プリント/メール/バックアップ) | WTNY(処理者/二次処理者) | Leptaの保持指示およびHuB利用規約第9.3項に従う(これは、構造化された、一般的に使用される、機械で読める形式での顧客データの復帰および契約終了後の最小90日の支援を提供します)。 |
9. あなたの権利
あなたの位置によって、あなたはあなたの個人データに関連して以下の権利を有する可能性があります:
- アクセス権: 当社が保持しているあなたの個人データのコピーをリクエストする権利があります。
- 改正権: 不正確またはまたは不完全な個人データの修正をリクエストする権利があります。
- 削除権: あなたの個人データの削除をリクエストする権利があります。ただし、その保持が必要な法的義務の対象となります。
- 処理制限権: 特定の状況においてあなたの個人データの処理の制限をリクエストする権利があります。
- データポータビリティ権: 処理が同意またはキンタクト履行に基づいている場合、構造化された、一般的に使用される、機械で読める形式であなたの個人データを受け取る権利があります。
- 異議を唱える権利: 処理が正当な利益に基づいている場合、そのような処理に異議を唱える権利があります。当社が説得力のある正当な根拠を実証できない限り、当社は処理を停止します。
- 同意撤回権: 処理が同意に基づいている場合(領収書オプトインなど)、いつでも同意を撤回することができます。撤回は、撤回前に行われた処理の合法性に影響しません。
寄付者の個人データはStripeおよび寄付を受け取った法人によって処理および保存されるため、アクセス、改正、削除、またはポータビリティなどの権利を行使するリクエストは、Stripeおよび/または関連する法人と調整される必要がある可能性があります。当社はそのようなリクエストを促進するのを支援します。
デバイスに保存されているボランティアデータに関しては、本アプリからサインアウトすることでいつでもこのデータを削除することができます。
10. 児童データ
本アプリは16歳未満の児童を対象としたものではありません。当社は、一般データ保護規則第8条の要件に応じて、親の許可なしに16歳未満の児童からの個人データを意図的に収集することはありません。未成年者(18歳未満またはその管轄区域の成人に達した年齢)による寄付は、親または保護者がそれを受け取った法人に連絡することでリクエストに応じて返金される場合があります。親または保護者は、第12項のLeptaの詳細を使用して連絡することにより、児童の代理人としてデータサブジェクト権を行使できます。児童が適切な許可なしに本アプリを通じて個人データを提供したと考える場合は、当社に連絡してください。当社はそのようなデータを削除するための措置を講じます。
11. プライバシーポリシーの変更
当社は本プライバシーポリシーを随時更新する場合があります。重大な変更を行う場合、変更が有効になる前に、本アプリを通じて、またはその他の適切な手段であなたに通知します。本ポリシーの上部にある「最後に更新された」日付は、最も最近改訂された時期を示しています。
12. お問い合わせ
本プライバシーポリシーについてご質問がある場合、データサブジェクト権を行使したい場合、または苦情がある場合は、以下にお問い合わせください:
Lepta Payment Solutions Limited
Watch Tower House, Blackditch, Newcastle, Co. Wicklow, A63 RF61 Ireland
[email protected]
データ保護官/プライバシー連絡先:Daniel Melinder
Leptaの主要な監督当局はアイルランドのデータ保護委員会です。
また、あなたは、EEA加盟国、勤務地、または違反が疑われる場所の監督当局に苦情を申し立てる権利もあります。