企業/団体向け 従業員、研修生および生徒に対するデータ保護規定

エンドユーザーのためのデータ保護通知

第三者ライセンス契約に同意した自然人の連絡先データおよび顧客データに関すること

VE Vision Education GmbH

FN 462915h
Lindengasse 56
1070 Wien/Vienna
AUSTRIA

(以下、「当社」または「責任者」といいます)

最終更新日:2021年1月25日

本規約が翻訳されている場合、疑義が生じた場合には、ドイツ語版が正式なバージョンとなります。

1. 前文

1.1. 個人データの処理における自然人の保護は、当社が非常に重要視する基本的な権利です。すべてのデータ処理は、EU一般データ保護規則(以下、「DSGVO」といいます)およびオーストリア共和国の関連法に準拠して行われます。

1.2.当社の事業運営においては、自然人の個人データが処理される様々なサービスを提供しています。ライセンス契約の場合、利益団体、トレーナー、企業または他の第三者（以下、「ライセンシー」または「データ保護責任者」といいます）は、自身の名前およびアカウントでライセンスを取得し、ユーザーコードを特定のグループの人（ライセンシーの学生または生徒、研修生、ライセンシーの従業員など、以下「エンドユーザー」といいます）に渡す権利を得ます。これらのユーザーコードにより、エンドユーザーはライセンシーに代わって当社が提供するサービスやオファーを利用することができます。

1.3.この文書では、エンドユーザーである当社がライセンス契約に基づいて処理する自然人の個人データの収集、使用および開示に関する当社の手順を説明します。

2. ライセンス契約のデータ保護法管理者

2.1. 処理者である当社は、ライセンシーに代わってライセンス契約に関連するすべてのデータを処理します。データ保護責任者（DSGVO第4条Z7参照）は、ライセンス契約でユーザーコードを受け取ったライセンシーを示します。

2.2. データ保護責任者は、ユーザーが当社のどのサービスおよびオファーを利用できるかを決定します。データ保護責任者は、DSGVOおよび適用される各国のデータ保護規則に基づくユーザーのデータ保護権を尊重する義務があります。

3. サービス履行のために処理されるデータについて

3.1. 当社のオファーを使用するためには、ユーザーの個人データを処理することが不可欠です（以下、「必須のデータ処理」といいます）。以下では、当社のサービスおよび提供品を使用するために処理が必要なデータのカテゴリーについてお知らせします。

ユーザーコード／ダイレクトリンク
ユーザーコードまたはダイレクトリンクとは、お客様がライセンシーから受け取ったコードまたはインターネットアドレスであり、このコードを使用して当社のソフトウェアオファーを有効化し、使用することができます。ユーザーのユーザーコードは、仮名の形で当社に提供されます。

IPアドレス
当社のソフトウェアオファーは、ユーザーのデバイス（タブレットコンピュータ、携帯電話など、以下「エンドデバイス」といいます）には保存されません。当社の提供するソフトウェアを使用するためには、当社のサーバーとの間でインターネット接続が維持されていることが不可欠です。インターネット上でデータパケットを送信するためには、送信者と受信者のそれぞれにIPアドレスが必要であり、このIPアドレスはデータ交換の過程で必ず処理・保存されます。

Eメールアドレス

電話番号

インタラクティブユーザーデータ
（スコア、学習の進捗状況、ゲームの結果など）

3.2. ライセンシーは、さらなるデータ処理(以下、「特別なデータ処理」)を当社に指示することもできます。例えば、ライセンシーは当社にインタラクティブユーザーデータの評価を指示し、その結果またはレポートの送信を義務付けることができます。当社が行う特別なデータ処理は、当社がライセンシーと締結している契約上の合意に基づいて行われます。当社が特別なデータ処理を委託された場合、データ保護責任者は、当該データ処理の目的、手段および法的根拠について、ユーザーに別途通知するものとします。

4. データ処理の目的および法的根拠

当社は、ライセンシーとの間で締結した契約処理の合意に基づき、ユーザーのデータを処理します。データ保護責任者は、データ処理の目的および法的根拠についてユーザーに通知する責任を負います。

5. データ処理の場所およびお客様の個人データの転送

5.1. 当社のサービスおよびオファーを提供できるようにするためには、本規約第3条で言及されたデータを外部のITサービスプロバイダー（下請処理業者）に転送する必要があります。データ処理活動は、少なくとも部分的には、EUまたはEEA圏外、すなわち米国で行われます。DSGVO第28条(4)に基づき、外部のITサービスプロバイダーへの委託は、DSGVO第V章の法律文書に基づいてのみ義務付けられています。

5.2. 各ケースにおけるデータ保護の適切なレベルは、以下の点の1つまたは複数によって決定されます。

• DSGVO第45条に基づく欧州委員会による妥当性の認定

• DSGVO第49条 (1)に基づく特定のケースに対する例外規定

• DSGVO第47条第１項と併せて第46条(2)bに基づく拘束力のある内部データ保護規則

• DSGVO第46条第2項cおよびdに基づく標準的なデータ保護条項

• DSGVO第46条第2項e と併せて第40条に基づく承認された行動規範

• DSGVO第42条と併せて第46条第2項fに基づく、承認された認証機構

• DSGVO第46条第3項aに基づいてデータ保護当局が承認した契約条項

5.3. 当社は現在、以下の外部ITサービスプロバイダーを利用しています。

Horizon Alpha GmbH (Fraunhoferstraße 8, D-82152 Planegg, Germany)
この委託先は、登録データ、レポート、コード管理、学習進捗データ、顧客データ管理のための顧客データの処理を行い、セカンドレベルの技術サポートを担当しています。

Google LLC (Google Data Protection Office, 1600 Amphitheatre Pkwy, Mountain View, California 94043)
このサービスプロバイダーは、当社の顧客データ、学習進捗データ、通信データ、データベースを保管しています。Google LLCは米国に拠点を置いています。当社によるGoogle LLCへのデータの転送は、DSGVO第46条第2項c およびdに準拠した標準的なデータ保護条項、およびDSGVO第46条第3項aに準拠して各データ保護当局により昇進された契約条項に基づいており、これらの条項は[https://firebase.google.com/terms/firebase-mcc]、[https://cloud.google.com/terms/eu-model-contract-clause]および[https://admin.google.com/terms/apps/1/5/en/mcc_terms.html]で公開されています。これにより、適切なレベルのデータ保護が確保され、Google LLCへのデータの流れが許可されます。

Branch.io (645 High Street Palo Alto, CA, 94301 United States)
このサービスプロバイダーは、ディープリンクの管理のためにIPアドレスと、必要に応じて、電話番号、iOS識別子、Android IDを一時的に保存します。Branch.ioは米国に拠点を置いています。当社によるBranch.ioへのデータの転送は、DSGVO第46条第2項cおよびdに従って標準的なデータ保護条項に基づいて行われ、https://www2.branch.io/rs/315-FTT-121/images/PDF-Branch-AppDPA.pdf より確認可能なDSGVO第46条第3項aに従って関連する管轄データ保護当局によって承認された契約条項に基づいて行われます。これにより、適切なレベルのデータ保護が確保され、この会社へのデータの流れが許可されています。
上記第5条第3項で言及されている場合を除き、データはデータ保護責任者の指示に基づいてのみ開示されます。また、以下の場合には、ユーザーのデータを第三者と共有することがあります。

データの提出を求める法的要請に応じるため、法的権利を確立または行使するため、あるいは法的請求を防御するために裁判所の命令または法的手続きに従うため。

違法行為、詐欺の疑い、人の身体的安全性が脅かされる可能性のある状況、利用規約の違反を調査するために情報の開示が必要であると当社が判断した場合、または法律で要求された場合。

当社または当社の一部が第三者に買収された場合や、当社または当社の一部が他社と合併した場合にも、データの転送が行われることがあります。ユーザーのデータが転送され、他のデータ保護方針に従う前に、当社のアプリおよび/またはユーザーの学習施設または雇用者を通じて、適時、個別に通知されます。

6. 保管期間

6.1. 原則として、当社は、ライセンシーとの契約関係が継続する間のみ、ユーザーのデータを保存および処理します。それ以上の期間の保管は、データ保護責任者の要請があった場合にのみ実施します。

6.2. 保管期間の詳細については、ライセンシーにお問い合わせください。

7. 個人情報に関連する権利

7.1. 適用される法律に基づき、ユーザーには以下の権利があります。

• 保存されている個人データの内容および種類を確認し、そのコピーを入手すること

• 不正確な個人情報、または法律に基づいて処理されていない個人情報の修正、追加、削除を要求すること

• ユーザーのデータの処理を制限すること

• 特定の状況下での個人データの処理に異議を唱えたり、処理に対して以前に与えられた同意を取り消すこと

• データポータビリティを要求すること

• 個人データが転送される第三者の身元を知ること

• 管轄当局（データ保護当局 www.dsb.gv.at）に連絡すること

7.2. ユーザーのデータの提供は、当社が提供するソフトウェアを利用するために絶対に必要なことです。ユーザーがデータの提供を拒否した場合、ユーザーは当社のソフトウェアオファーを利用することができません。データ処理は、当社とライセンシーの間で締結された第三者ライセンス契約に基づいて行われます。

7.3. ユーザーのデータは、DSGVO第22条に基づくプロファイリングを含む、自動化された意思決定によって処理されることはありません。

8. 責任者への連絡

ユーザーの個人データの処理についてご質問やご懸念がある場合は、データ保護責任者にご連絡ください。責任者とは、ユーザーがアクセスコードを受け取った機関/担当者を指します。また、お問い合わせをお送りいただければ、可能な限り速やかに適切な担当者に転送いたします。

VE Vision Education GmbH
c/o Impact Hub, Lindengasse 56
1070 Wien
Eメール： info@visioneducation.net

For companies: Data protection regulations for employees and trainees

DATA PROTECTION NOTICE FOR END CUSTOMERS

REGARDING THE CONTACT DATA AND CUSTOMER DATA OF NATURAL PERSONS
WHO HAVE AGREED TO THIRD-PARTY LICENSING AGREEMENTS

VE Vision Education GmbH

FN 462915h
Lindengasse 56
1070 Wien/Vienna
AUSTRIA

Version of 25th January 2021

(hereinafter “We” or the “Responsible Person”)

(In the event of any deviations resulting from the translation of these regulations, the German version shall prevail.)

1. Preamble

1.1. The protection of natural persons in the processing of personal data is a fundamental right that we take very seriously. All data processing is carried out in accordance with the EU General Data Protection Regulation (hereinafter “GDPR”) and the relevant laws of the Republic of Austria.

1.2. In the course of our business operations, we provide various services in which personal data of natural persons are processed. In the case of license agreements, interest groups, trainers, companies or similar other third parties (hereinafter the “Licensee” or the “data protection officer”) acquire licenses in their own name and on their own account and receive the right to pass on user codes to a specific group of persons (students or students of the licensee, trainees, employees of the Licensee, etc.; hereinafter “End User”). These User Codes allow end-users to use the services and offers that we provide on behalf of the Licensee.

1.3. In this document, we, as end-users, explain to you our procedures regarding the collection, use and disclosure of personal data of natural persons that we process under licensing agreements.

2. Data protection law controller for licensing agreements

2.1. As processor, we process all data relating to licensing agreements on behalf of the Licensee. The data protection officer see Art 4 Z 7 GDPR is the Licensee from whom you received the user code in your licensing agreements.

2.2. The data protection officer decides which of our services and offers you can use. The officer is obliged to respect your data protection rights under GDPR and applicable national data protection regulations.

3. What data is processed for the fulfilment of service

3.1. In order to be able to use our offers, it is imperative that we process personal data of users (hereinafter “mandatory data processing”). Below we inform you about those categories of data that must be processed in order to use our services and offers:

User code / direct link
The user code or direct link is the code or Internet address that you received from the Licensee and with which you can activate and use our software offers. Your user code is available to us in pseudonymous form.

IP address
Our software offer is not stored on your device (tablet computer, mobile phone, etc.; hereinafter “end device”). In order to be able to use our software offer, it is imperative that an Internet connection is maintained with our servers. In order for data packets to be sent on the Internet, each sender and receiver needs an IP address, which is necessarily processed and stored in the course of data exchange.

eMail Address

Telephone number

Interactive user data
(such as score, learning progress or game result)

3.2. The Licensee may also instruct us to carry out further data processing (hereinafter “extraordinary data processing”). For example, the Licensee may instruct us to evaluate interactive user data and oblige us to transmit the results or reports thereof. The extraordinary data processing carried out by us depends on our contractual agreement, which we have concluded with the licensee. If we have been entrusted with extraordinary data processing, the data protection officer shall inform you separately about the purpose, means and legal basis of such data processing.

4. Purpose of and legal basis for data processing

We process your data on the basis of the contract processing agreement that we have concluded with the Licensee. The data protection officer is responsible for informing you about the purpose and legal basis of data processing.

5. Place of data processing and transfer of your personal data

5.1. In order to be able to provide our services and offers, it is necessary to forward the data referred to in point 3 to external IT service providers (subcontract processors). Data processing activities are at least partially carried out outside the EU or eEA, namely in the USA. In accordance with Art 28(4) GDPR, such assignment of an external IT service provider is mandatory only in accordance with the legal instruments of Chapter V GDPR.

5.2. The appropriate level of data protection in each case results from one or more of the following points:

• an adequacy decision of the European Commission under Art 45 GDPR;
• an exception for the particular case under Art 49(1) GDPR;
• binding internal data protection rules under Art 47 i Vm Art 46(2) lit b GDPR;
• standard data protection clauses under Art 46 (2) lit c and d GDPR;
• approved Code of Conduct in accordance with Art 46 (2) lit e iVm Art 40 GDPR;
• an approved certification mechanism by type 46 paragraph 2 lit f iVm Art 42 GDPR;
• contractual clauses approved by the Data Protection Authority in accordance with Art 46 (3) lit a GDPR.

5.3. We currently involve the following external IT service providers:

Horizon Alpha GmbH, Fraunhoferstraße 8, D-82152 Planegg, Germany: This sub-processor is responsible for the processing of customer data for registration data, reporting, code management, learning progress data and customer data management and is also responsible for technical 2nd level support.

Google LLC, Google Data Protection Office, 1600 Amphitheatre Pkwy, Mountain View, California 94043 United States: This service provider stores our customer data, learning progress data, correspondence data and databases. Google LLC is based in the United States. The transfer of data by us to Google LLC is based on standard data protection clauses in accordance with Art 46Abs 2 lit c and d GDPR as well as on the basis of contractual clauses approved by the respective data protection authority in accordance with Art 46 (3) lit a GDPR, which are available at [https://firebase.google.com/terms/firebase-mcc], [https://cloud.google.com/terms/eu-model-contract-clause]and [https://admin.google.com/terms/apps/1/5/en/mcc_terms.html], thereby ensuring an adequate level of data protection and allowing the flow of data to this company.

Branch.io, 645 High Street Palo Alto, CA, 94301 United States: This service provider temporarily stores the IP addresses for managing the deep link and, if necessary, the phone number, iOS identifier and Android ID. Branch.io is based in the United States. The transfer of data by us to Branch.io is carried out on the basis of standard data protection clauses in accordance with Art 46Abs 2 lit c and d GDPR as well as on the basis of contractual clauses approved by the respective data protection authority in accordance with Art 46 (3) lit a GDPR, which are available at [https://www2.branch.io/rs/315-FTT-121/images/PDF-Branch-AppDPA.pdf], thereby ensuring an adequate level of data protection and that the flow of data to this company is permitted.

Apart from the cases referred to in point 5.3 above, data will only be disclosed on the instructions of the data protection officer. In addition, your data may be shared with third parties in the following cases:

• In order to comply with legal requests for the submission of the data, to comply with a court order or legal proceedings in order to establish or exercise legal rights or to defend against legal claims.
• If we believe that the disclosure of information is necessary to investigate unlawful activities, suspected fraud, situations with a potential threat to a person’s physical security, or violations of the Terms of Use, or in those cases where required by law.
• Data transmission may also occur if our company or parts of our company are taken over by a third party or if our company or parts of our company are merged with another company. Before your data is transferred and subject to other data protection policies, you will be  informed separately via our app and/or your training facility or employer in good time.

6. Duration of storage

6.1. In principle, we will only store and process your data for the duration of the contractual relationship with the Licensee. Longer storage is only carried out on request by the data protection officer.

6.2. For more information on the storage period, please contact the Licensee.

7. Rights in connection with personal data

7.1. Under applicable law, you are entitled to:

• verify that and what personal data has been stored about you and obtain copies of that data;
• request the correction, addition or deletion of your personal data that is incorrect or is not processed in accordance with the law;
• restrict the processing of your data;
• object to the processing of your personal data in certain circumstances or to revoke the consent previously given for the processing;
• require data portability;
• know the identity of third parties to which your personal data are transferred; and
• to the competent authority (data protection authority www.dsb.gv.at).

7.2. The provision of your data is absolutely necessary in order to be able to use our software offer. If you refuse to provide your data, you will not be able to use our software offering. Data processing takes place under the third-party license agreement, which was concluded between us and the Licensee.

7.3. Your data will not be processed by automated decision-making, including profiling in accordance with Article 22 GDPR.

8. Contacting the person responsible

If you have any questions or concerns about the processing of your personal data, please contact the data protection officer. The person responsible is the person/institution from whom you received your access code. You are also welcome to send us your enquiry and we will forward your request to the appropriate person as soon as possible:

VE Vision Education GmbH

c/o Impact Hub, Lindengasse 56

1070 Wien

Email: info@visioneducation.net