プライバシーポリシー
[ドラフト] gettsleep.esの個人データ処理ポリシー。版2.0。
1. 総則
1.1. 本プライバシーポリシー(以下「本ポリシー」)は、データ管理者であるREST&LEISURE CONCEPT, S.L.(CIF B75552901、登記上の所在地 Avenida Manuel Fraga Iribarne 141, 28055 Madrid)(以下「管理者」)による、ウェブサイトgettsleep.es(以下「本ウェブサイト」)の利用者の個人データの処理手続きを定めるものです。
1.2. 本ポリシーは、個人データの処理に関する自然人の保護に関する2016年4月27日の規則(EU)2016/679(RGPD)、および個人データ保護とデジタル権利の保証に関する2018年12月5日の組織法3/2018(LOPDGDD)に従って策定されています。
1.3. 本ウェブサイトを利用し注文を行うことにより、利用者は、本ポリシーを読んだことを確認し、以下に定める条件での個人データの処理に同意するものとします。
2. 当社が処理するデータ
| データのカテゴリ | 具体的なデータ | 目的 |
|---|---|---|
| 識別 | 名、姓 | 注文の実行、チェックイン時の本人確認 |
| 連絡先 | メールアドレス、電話番号 | バウチャー、請求書または領収書、および注文に関する通知の送付 |
| 個人情報(任意) | 生年月日 | ロイヤルティプログラムの一環としての誕生日クーポン |
| 支払い | カードの種類、下4桁(カードの完全な情報は保存されません) | 支払いおよび返金の処理 |
| 技術情報 | IPアドレス、ブラウザの種類、クッキー | ウェブサイトの運用、分析、セキュリティ |
| 注文データ | 施設、日付、料金、ステータス、予約履歴 | 契約の履行、ロイヤルティプログラム、紛争の解決 |
3. 処理の法的根拠
3.1. 契約の履行 — 注文の実行および履行に必要なデータ(氏名、連絡先、注文のパラメータ)の処理。個別の同意は必要ありません(RGPD第6条1項(b))。
3.2. データ主体の同意 — マーケティングコミュニケーションおよびロイヤルティプログラムのためのデータの処理。同意は、個人アカウントへの登録時に個別に与えられます。ユーザーはいつでも同意を撤回することができます(RGPD第6条1項(a))。
3.3. 法的義務 — スペインの税務および会計に関する法令の遵守を目的としたデータの保管(RGPD第6条1項(c))。
4. データの提供
| 受領者 | 提供されるデータ | 法的根拠 |
|---|---|---|
| 当該注文のサービス提供者(名称および詳細は、決済ページの「サービス提供者情報」ポップアップに表示されます) | 宿泊者の氏名、連絡先、注文のパラメータ | 契約の履行(RGPD第6条1項(b))。サービス提供者は独立したデータ管理者であり、データ受領後の処理について自らの責任を負います。 |
| 決済サービス提供者 | 銀行カードのデータ(安全なゲートウェイを介して) | 支払いの処理(RGPD第6条1項(b)) |
| 請求書作成ソフトウェアの提供者 | 請求書または領収書の送付用メールアドレス | 法的義務 — スペインのIVA(付加価値税)および請求に関する規定(RGPD第6条1項(c)) |
| Google Analytics — Google Ireland Limited(EU-US Data Privacy Frameworkに基づき、米国のGoogle LLCへの後続移転を含む)。これがEEA域外への唯一のデータ移転です。 | 仮名化された技術データ(クッキー識別子、切り詰められたIP) | 同意(RGPD第6条1項(a))— クッキーバナーでの承認後にのみ読み込まれます |
管理者は、データ主体の同意なしに、商業目的で個人データを第三者に提供することはありません。
5. データの保管期間
| データのカテゴリ | 保管期間 |
|---|---|
| 注文データおよび支払い関連書類 | スペインの税務法令に従う — Ley 58/2003(一般税法)(草案:正確な期間は法的確認待ち) |
| 契約履行のための個人データ | 注文実行日から3年以上 |
| アカウントデータ | アカウント削除まで+1年 |
| マーケティングデータ(同意に基づく) | 同意の撤回まで、または最後の活動から3年 |
| 技術データ(ログ、クッキー) | 最長1年 |
6. データ主体の権利
ユーザーは、以下の権利を有します(RGPD第15条〜第22条):
- 情報を請求する — 処理されているデータおよび処理の法的根拠について;
- 訂正する — 不正確または不完全なデータ(個人アカウントを通じてを含む);
- 削除する — ご自身のデータ/アカウントの閉鎖(法律により処理が義務付けられている場合を除く);
- 制限する — ご自身のデータの処理を;
- 同意を撤回する — 任意に提供されたデータ処理について;
- 苦情を申し立てる — スペインデータ保護庁(AEPD、www.aepd.es)に対して。
権利を行使するには、次の宛先に請求をお送りください:t4s@gettsleep.es、または管理者の登記上の住所への郵送によって。回答期限:暦日30日。
7. データのセキュリティ
7.1. 管理者は、RGPD第32条の要件に従い、個人データを保護するために適切な技術的および組織的措置を講じます。
7.2. 支払いデータは、PCI DSS認証を受けたゲートウェイを介して送信されます。銀行カードの完全な情報は、管理者のサーバーには保存されません。
7.3. 個人データへのアクセスは、守秘義務を負う権限のある従業員にのみ許可されます。
8. クッキー
8.1. 本ウェブサイトは、機能の確保、分析、およびユーザーエクスペリエンスの向上のためにクッキーを使用します。
8.2. ユーザーは、ブラウザでクッキーの設定を管理することができます。クッキーを無効にすると、本ウェブサイトの特定の機能の動作に影響が及ぶ場合があります。
8.3. クッキーに関する通知が表示された後も本ウェブサイトの利用を継続することにより、ユーザーはクッキーポリシーに従ったクッキーの使用に同意するものとします。
9. ポリシーの変更
管理者は、事前の通知なく本ポリシーを変更することができます。最新版は常に次のURLでご利用いただけます:gettsleep.es/privacy。
データ管理者
REST&LEISURE CONCEPT, S.L.
CIF: B75552901
登記上の所在地:Avenida Manuel Fraga Iribarne 141, 28055 Madrid · Registro Mercantil de Madrid(マドリード商業登記所)
Email: t4s@gettsleep.es