Canyon Bicycles GmbHのデータ保護に関する声明

弊社、Canyon Bicycles GmbH(以下「"Canyon"」)のウェブサイトを訪問し、Canyonのバイクに関心をお持ちいただきありがとうございます。お客様のデータの保護とセキュリティは、弊社にとって非常に重要です。そこで、このデータ保護に関する声明をお知らせいたします。この声明では、弊社ウェブサイトとのやり取り中に処理されるデータの種類と処理の理由について説明します。これにより、Canyonがお客様の個人データをどのように処理するかについて常に把握することができます。

このデータ保護に関する声明は、法改正または社内プロセスの調整により定期的な更新が必要となる場合があるため、常に最新情報を維持するよう定期的にお読みください。このデータ保護に関する声明は、弊社ウェブサイトの"データ保護"ナビゲーションポイントからいつでもアクセス、保存および印刷することができます。

弊社のソーシャルメディア(Facebook、Instagramなど)でのプレゼンスに関するプライバシーポリシーは、このデータ保護に関する声明の末尾でご確認いただけます。

1. 担当者と適用範囲

EU一般データ保護規則(「GDPR」)、その他EU加盟国の国内データ保護法およびその他のデータ保護規則の意味における管理者は、以下のとおりです。

Canyon Bicycles GmbH

Karl-Tesche-Strasse 12

56073 Koblenz

電話番号:+49 (0)261 - 9490 300 0

電子メールアドレス:privacy@canyon.com

ウェブサイト:https://www.canyon.com/

このデータ保護に関する声明は、ドメイン(www.canyon.comおよびwww.career.canyon.com)ならびに様々なサブドメイン(以下総称して「"弊社ウェブサイト"」)で入手可能なCanyon Bicycles GmbHのウェブサイトに適用されます。

2. データ保護責任者

管理者の外部データ保護責任者は、以下のとおりです。

Dr. Karsten Kinast, LL.M.

KINAST Rechtsanwaltsgesellschaft mbH

Hohenzollernring 54

D-50672 Cologne

電話番号:+49 (0)221 - 222 183 0

電子メールアドレス:team-cgn1@kinast.eu、mail@kinast.eu

ウェブサイト:http://www.kinast.eu

他にも、データ保護に関するご質問やお問い合わせがあれば、弊社の外部データ保護責任者に直接ご連絡ください。

3. データ処理の原則

弊社は、個人データに関連する弊社ウェブサイトまたはカスタマーサポートサービスの提供、注文手続き、その他すべてのサービスに必要である場合に限り、または弊社が個々のデータ処理業務についてお客様の同意を受領した場合に限り、お客様のデータを収集し使用します。

データ保護について知っておくべき最も重要な基本と条件を以下に説明します。

3.1 個人データ

個人データとは、特定されたまたは特定可能な自然人に関する情報をいいます(GDPR第4条第1項参照)。個人データには、氏名、年齢、住所、電話番号、生年月日、電子メールアドレス、顧客番号、IPアドレス、または弊社ウェブサイトでのお客様の活動に関するデータなどが含まれます。弊社がお客様本人と関連付けられない(または相当な努力をもってのみ関連付けることができる)情報は、匿名化されたとみなされるため、個人データとはみなされません。個人データの処理(収集、検索、使用、保存、送信など)には、常に法的根拠またはお客様の同意が必要となります。

お客様の個人データは、処理の目的で不要になった時点で速やかに削除されます。法に定める保持期間を考慮に入れる必要はありません。

3.2 個人データの処理

個人データの"処理"という文言の意味は、非常に広範であり、GDPR第4条第2項に記載されています。定義上、個人データの処理には、収集、記録、組織化、構造化、保存、翻案または改変、検索、参照、使用、送信による開示、配布、その他の方法で利用可能にする、調整または組み合わせ、制限、消去または破壊など、自動化された手段によるか否かを問わず、個人データまたは個人データ一式に対して実行される操作または一連の操作が含まれます。

3.3 個人データを処理する法的根拠

個人データの処理には、法的根拠が必要となります。その都度、連邦データ保護法(BDSG)など、EUの各加盟国の法的根拠も考慮される場合があります。

ユーザーの個人データは、これに対する同意を取得した後に限り収集および使用され、この同意は、データ処理の法的根拠となります(GDPR第6条第1項(a)およびGDPR第7条参照)。

個人データの処理が別の法的根拠によって許可されている場合、状況は異なります。特に、契約または契約前の措置(GDPR第6条第1項(b))を根拠とする処理、法的または法定義務の履行を根拠とする処理(GDPR第6条第1項(c))、または弊社がデータ処理においていわゆる"正当な利益"(GDPR第6条第1項(f))を有することを根拠とする処理については、これを保護するためにデータ処理が必要な場合、およびその都度、データ処理の影響を受ける人の基本的な権利と自由は優先されません。

3.4 個人データの保存と削除

個人データは、それぞれの保存目的を達成するために関連する期間に限り処理されます。税法や商法の規制など、法定の保持義務および/または法定の保持権が存在する限り、データは最長10年間保存されます。保存目的が適用されなくなった場合(ニュースレターサービスからの配信停止の場合など)、または法に定める保存期間が満了した場合、関連する個人データは、法規定に従って定期的に削除されるか、その処理が制限されます(税法または商法の保持義務の範囲内での限られた処理など)。

3.5 第三者への個人データの開示

弊社は、弊社サービスのいずれかの提供または処理の目的の遂行に必要な場合、お客様が事前に同意した場合、または別の法的根拠が適用される場合に限り、お客様の個人データを引き渡します。例えば、弊社のシステム、郵便、支払い、マーケティングサービスプロバイダーのメンテナンスとケアを支援するホスティングサービスプロバイダーやITサービスプロバイダーなどです。これらの会社は、弊社により、適用されるデータ保護法に従ってお客様の個人データを保護することを義務付けられています。

これに関連して、個人データは、GDPRの規定が適用されないEU/EEA域外の国に移転されることもあります。ただし、弊社は、お客様のデータがデータ保護規制に従って移転されるよう、GDPRの規定に従い必要な予防措置を講じます。

そのため、弊社は特に、EU委員会が十分性判断を下した国の企業と協働しています。そのような国には、特に米国が含まれます。2023年7月10日、米国各企業が米国商務省の適切なデータ保護基準に適合している場合、米国へのデータ移転は、EUによりEU-米国間データプライバシーフレームワークに対するいわゆる十分性認定が採択されました。基準を満たしていない米国企業は、EU域外の他のグローバル企業と同様に扱われます(該当する国がEUの十分性認定を受けていない場合)。Canyonは、お客様のデータをこれらの国に適法に移転するために法的に義務付けられる措置が取られている企業とのみ連携します。この点で第三国が十分性認定を受けていない場合、通常、標準契約条項を締結し、追加の措置を実施することで、必要なレベルのデータ保護を確実に遵守します。

次に、こうしたいわゆる第三国に対する個人データの移転について、このデータ保護に関する声明の該当する条項において別途言及します。

4. 個別の処理業務

以下に、弊社ウェブサイトをご利用の際に必要になり得る個人データに関連するすべての処理業務のリストと詳細な説明を記載します。

4.1 ウェブサイトの提供と利用

まずは、登録時やオンラインショッピング中など、弊社ウェブサイトの一般的な使用に関連して(すなわち、データ送信が能動的にトリガーされることなく)開始されるデータ処理業務に関するすべての情報を提示します。

a. データ処理の種類と範囲

お客様が弊社ウェブサイトにアクセスし、これを利用する際に、弊社は、お客様のブラウザから弊社のサーバーに自動的に送信される個人データを収集します。この情報は、いわゆるログファイルに一時的に保存されます。

お客様が弊社ウェブサイトをご利用になる際、弊社は、以下のデータを収集します。このデータは、弊社ウェブサイトをお客様に表示し、安定性とセキュリティを確保するために技術的に必要であるために収集されます。

  • リクエスト元の端末のIPアドレス
  • アクセス日時
  • グリニッジ標準時(GMT)との時差
  • アクセスまたはリクエストされるウェブサイト
  • アクセス状況(httpステータスコード)
  • 1回に移転されるデータのサイズ
  • サイトにアクセスする際に用いるウェブサイト(いわゆるリファラーURL)
  • 使用するブラウザ、使用する端末、および該当する場合はオペレーティングシステムとお客様のアクセスプロバイダーの名前
  • ブラウザソフトウェアの言語とバージョン

さらに、弊社ウェブサイトでは、技術的に必要なCookieと任意のCookieの両方を使用しています。これらは、弊社ウェブサイトをご利用になる際に使用されることがあります。詳細については、第5条("Cookieの使用")およびCookieバナーでご確認いただけます。

弊社は、サービスプロバイダーを使用して、弊社ウェブサイトをホストしています。この目的で、弊社は、このサービスプロバイダーと注文手続契約を締結しました(GDPR第28条)。

b. 法的根拠

GDPR第6条第1項(f)は、上記データ処理の法的根拠となります。上記データの処理は、ウェブサイトを提供するために絶対的に必要であるため、弊社の正当な利益を保護するのに役立ちます。

c. 保存期間

上記データは、ウェブサイトを表示するのに不要になり次第、削除されます。ウェブサイトを提供するためのデータ収集と、ログファイルへのデータ保存は、ウェブサイトの運営に絶対的に必要です。法で義務付けられている場合、個別のケースにおいてより長い期間保存される場合があります。

4.2 登録/ユーザーアカウント

a. データ処理の種類と範囲

弊社ウェブサイトでは、個人データを提供していただくことで登録する機会が得られます。

処理されたデータを用いて、弊社は、お客様のために個別のユーザーアカウントを作成します。これによりお客様は、一部自己管理で、ウィッシュリスト、注文概要、優先配送先住所のリスト、メッセージの設定など、特定のコンテンツおよびサービスを作成することができ、その後弊社ウェブサイトで特定のコンテンツを使用することができます。

弊社は、お客様の電子メールアドレスを処理することで、お客様がアクセスデータを忘れた場合に新たに送信し、またはお客様のアカウント登録に直接関連する情報をお客様に送信することができるようにします。

ウィッシュリストに商品を追加することにより、ウィッシュリストに保存した商品を電子メールで知らせるほか、それに関する情報をお客様に送信する機会を弊社に与えたことになります。このことは、在庫のない商品のリマインダー機能を有効化する場合にも当てはまります。このため、商品がストアに再入荷次第、電子メールでお知らせします。

登録済みかつログイン済みのユーザープロフィールに基づいて注文することが推奨されます。これにより、お客様の注文をお客様のユーザープロフィールに割り当てることができるため、お客様に対するさらなるデジタルサービスの提供が可能になります。

以下で、お客様が登録する際に弊社が処理する個人データについて詳細に説明します。

  • 氏名
  • 電子メールアドレス
  • 生年月日(オプション)
  • 国と言語
  • IPアドレス
  • 性別

以下は、ユーザーアカウント内のお客様の情報またはカスタマーアカウントにリンクされた注文を通じて弊社が処理することができるデータの概要です。

  • 登録自転車("バイクガレージ")
  • オープンオーダー
  • 氏名
  • 生年月日
  • 住所
  • 別の配送先住所(該当する場合)
  • 身長および股下丈
  • 注文
  • 返品
  • ウィッシュリスト
  • ニュースレター設定
  • ウィッシュリスト
  • 身長および歩長
  • 言語設定

弊社は、英国のサービスプロバイダーを使用して、お客様の住所、電子メールアドレス、電話番号を確認して、弊社システムへの不正確なデータの侵入を防ぎます。

よって、処理の一環として、お客様のデータは、英国で処理され、またEUまたは欧州経済地域(EEA)以外で処理される場合があります。EU委員会は、英国でGDPRに匹敵する適切なレベルの保護が保証されていると判断しました。そのため、英国へのデータ移転は、GDPR第45条に基づき許可されています。データ処理の適法化を目的として、弊社は、注文手続きについての対応する契約をサービスプロバイダーとの間で締結しています。外部サービスプロバイダーによるお客様のデータの処理に関する詳細については、このデータ保護に関する声明の第3.5条でご確認いただけます。

b. 法的根拠

記載された個人データの処理は、GDPR第6条第1項(b)に従ったお客様とCanyonの間の契約履行または契約前措置の実施に資するものです。お客様が(ニュースレターの設定などにおいて)同意する限り、GDPR第6条第1項(a)が、これに基づくデータ処理の法的根拠となります。それ以外の場合、弊社は、正当な利益がある場合に限りこのデータを処理します(GDPR第6条第1項(f))。

c. 保存期間

弊社ウェブサイトでの登録の取消または変更次第、登録手続き中に処理されたデータは削除されます。法で義務付けられている場合、個別のケースにおいてより長い期間保存される場合があります。弊社は、特定の注文、顧客および契約データを、特に法定の保持義務(特に税法および商法の規制)に基づき、お客様との契約の終了後最長10年間保存します。お客様のデータは、適用される保持期間に従ってのみ処理されます。

d. 登録の解消

お客様は、ユーザーとして、いつでも登録を取り消す選択権を有します。お客様は、自身に関して保存されているデータをいつでも変更することができます。その最善の方法は、以下のとおりです。カスタマーアカウントにログインした後、自分で変更するか、privacy@canyon.comにメールを送信してください。

ただし、処理されたデータが契約の履行または契約前の措置もしくは類似の要求を実行するために依然として必要である場合は、契約上または法律上の権利または義務に抵触しない限り、データの早期削除が可能です。

4.3 商品購入の手続き

4.3.1 商品購入

a. データ処理の種類と範囲

弊社ウェブサイトでは、ユーザーは、個人データを提供することで商品を購入する機会が得られます。これに必要なデータは、入力マスクに入力され、弊社に送信され、保存されます。必須フィールドにはその旨が表示されます。この場合、注文手続きの一環としてデータが必要です。注文手続き中に、以下のデータが収集されます。

  • 敬辞
  • 氏名
  • 住所
  • 電話番号
  • 電子メールアドレス
  • お客様の注文
  • 支払方法および支払情報
  • 配送方法

お客様のデータは、商品の配送に必要な限りにおいて、配送を委託された配送会社に引き渡されます。支払いを処理するため、弊社は、お客様の支払データを、決済を委託された金融機関または決済サービスプロバイダーに引き渡します。これらの会社は、注文手続きにのみお客様のデータを使用することができ、その他の目的に使用することはできません。注文後、注文確認メールをお送りします。

お客様が弊社ウェブサイトで商品を購入し、電子メールアドレスを入力した場合、弊社は、後にこの電子メールアドレスを用いて同様の商品またはサービスに関する通知をお客様に送信することがあります。この通知は、弊社がお客様との顧客関係を維持することに関心を持っており、かつお客様が興味を持っていると思われる情報をお客様に送信することを希望する場合に行われます。お客様は、この目的で電子メールアドレスを使用することについて、いつでも異議を述べることができます。

お客様が、注文手続き中にこの手続きを中断する必要がある場合、または購入を完了させることができない場合、一定期間後にショッピングカートに入れた商品を電子メールでお知らせします。これにより、必要に応じて後日、ウェブストアで再度商品をまとめなくとも手続きを完了させることができます。この目的のためにCookieを使用します。Cookieの使用に関する詳細については、第5条("Cookieの使用")およびCookieバナーでご確認いただけます。

購入が完了次第、カスタマーサポートプラットフォームに入力されます。弊社は、外部の米国プロバイダーのソフトウェアを使用して、カスタマーサービスを最適化し、カスタマイズしたうえで、お客様に提供することができるようにしています。EU域外でデータを処理する場合、個人データの保護は特に重要です。従って、弊社は、このサービスプロバイダーがEU-米国間データプライバシーフレームワーク(第3.5条参照)に基づき認証を受けており、データ処理契約(GDPR第28条)がこのサービスプロバイダーと締結されていることを確認しました。

b. 法的根拠

弊社と締結した契約を履行するために必要な個人データを処理する場合、GDPR第6条第1項(b)が法的根拠となります。これは、契約前の措置を実施するために必要な処理業務にも適用されます。弊社は、BGB第312i条(1)第3号に従い、注文確認書を送付する義務を負っています。法的義務がある場合関連するデータ処理の法的根拠は、GDPR第6条第1項(c)となります。

商品購入の結果、類似の商品またはサービスに関する通知を送付する法的根拠は、UWG第7条第3項の要件に鑑みて、GDPR第6条第1項(f)となります。ニュースレターの末尾に張られた配信停止リンクをクリックすることで、いつでも通知の送信に異議を唱えることができます。それ以外の場合、弊社はお客様の同意(GDPR第6条第1項(a))に基づいてのみ通知を送信します。

商品購入に関連して送信される個人データのさらなる処理は、お客様の懸念に対して最適なカスタマーサービスと効率的なサポートを提供するという弊社の正当な利益を根拠に行われます(GDPR第6条第1項(f))。

c. 保存期間

契約手続きがすべて行われ、購入価格が全額支払われた後、お客様のデータは、今後使用されないようブロックされ、税法および商法に基づく保持期間の満了後に削除されます。ただし、お客様が今後もデータが使用されることに明示的に同意した場合はこの限りではありません。法で義務付けられている場合、個別のケースにおいてより長い期間保存される場合があります。

4.3.2 クレジットカード決済の3Dセキュア 2.0手順の使用

a. データ処理の種類と範囲

商品購入時にクレジットカード払いを選択していただくこともできます。金額は最初に引き当てられます。カードの最終引き落としと請求は、商品の発送時に行われます。クレジットカードでの支払いの場合、カード名義人の氏名、カード番号、有効期限、カードのセキュリティコードなどの個人データが処理されます。カードの詳細情報は、安全に保存・保管されます。

支払手続き時のセキュリティを高めるため、いわゆる3Dセキュア 2.0プロセスを使用しています。各取引について、データ要素がクレジットカード会社に転送されます。この会社は、お客様がクレジットカードの正当な所有者であることを特定するため、このデータを使用してリアルタイムのリスク評価を行います。クレジットカード払いの手続きに関連して、弊社は、オランダのサービスプロバイダーであるAdyen(Adyen N.V., Simo Carmiggelstraat 6-50, 1011 DJ)を使用しています。弊社は、注文手続契約により適切なレベルのデータ保護を提供する義務を負っています。お客様のデータは、このサービスプロバイダーにのみ送信され、第三者に引き渡されることはありません。

クレジットカードでの支払い時に、以下のデータが収集されます。

  • クレジットカード情報
  • 取引と加盟店の割り当てに必要な識別番号、購入金額、通貨などの取引関連データ
  • 使用した端末とユーザーの位置情報を提供する自動送信されたブラウザ情報。IPアドレス、画面の高さと幅、使用するブラウザ言語が含まれます。
  • 注文の正式な請求先住所と配送先住所
  • 既存のカスタマーアカウントの一部として収集されたカスタマーアカウントデータ。カスタマーアカウントの期間、特定の期間内に行われた取引数、パスワードと配送先住所の変更頻度に関する情報が含まれます。
  • 選択された配送方法、商品の在庫状況、配送期間、デジタル商品を配送する場合の電子メールアドレス、または未公開商品の初回入荷日など、配送の詳細に関するデータ。

このデータは、クレジットカード機関がリアルタイムのリスク評価を行うことができるようにするためにのみ収集されます。取引が低リスクに分類される場合、お客様は、それ以上のやり取りをすることなく、直接その旨を承認することができます。ただし、詐欺が疑われる場合は、お客様は、追加のセキュリティプロンプトで身元を再確認するよう求められます。このデータ処理の目的は、一方では、強力な顧客認証(「SCA」)の要件を満たすことで、詐欺に対して法的に必要な保護の改善を徹底すること、他方で購入プロセスを簡素化することです。

b. 法的根拠

クレジットカード払いの手続き中にデータを処理する法的根拠は、GDPR第6条第1項(b)です。支払義務の履行のために個人データの処理が必要となります。

3Dセキュア 2.0手順の使用におけるデータ処理の法的根拠は、GDPR第6条第1項(c)および(f)です。これに関してデータを処理する法的義務は、域内市場における決済サービスに関するEU指令(指令(EU)2015/2366)、および強力な顧客認証を必要とするEU規則2018/389の補足的な規制技術基準から生じます。さらに、決済サービス監督法(Zahlungsdiensteaufsichtsgesetz - ZAG)およびドイツ民法第675c条から第676c条に起因する法的義務があります。この義務を果たす1つの方法は、3Dセキュア 2.0プロセスを使用することです。さらに、弊社は、経済的利益という形で"正当な利益"を根拠としています。これは、購入放棄率の低減と注文手続きの簡素化で実現し得るものです。データに基づく個々のリスク評価によって、ほとんどの場合、取引は、購入者とのさらなるやり取りを要せずに直接承認されるため、ユーザーエクスペリエンスが向上します。

c. 保存期間

契約手続きがすべて行われ、購入価格が全額支払われた後、お客様のデータは、今後使用されないようブロックされ、税法および商法に基づく保持期間の満了後に削除されます。ただし、お客様が今後もデータが使用されることに明示的に同意した場合はこの限りではありません。法で義務付けられている場合、個別のケースにおいてより長い期間保存される場合があります。今後の注文のためにクレジットカード情報を保存することを選択した場合、Canyonアカウントから編集または削除されるまで、クレジットカード情報は安全に保存されます。

4.3.3 金融サービスプロバイダー

a. データ処理の種類と範囲

商品購入の一環として、弊社は、決済サービスプロバイダーを介して商品購入を処理するオプションを提供しています。弊社が使用する決済サービスプロバイダーは、BNP Paribas S. A.(ドイツでは、BNP Paribas S. A., Niederlassung Deutschland, Senckenberganlage 19, 60325 Frankfurt am Main、およびオーストリアでは、BNP PARIBAS PERSONAL FINANCE SA, Niederlassung Österreich, Vordere Zollamtsstraße 13, 3. Stock, 1030 Wien)の登録商標である"Consors Finanz"です。

特に、以下のデータがお客様から収集されます。

  • 氏名
  • 出生国、場所および生年月日
  • 国籍
  • 住所
  • 電話番号
  • 電子メールアドレス
  • 収入などの世帯データ

このデータは、契約関係の処理のためにのみ弊社が収集し、支払いの処理のために決済サービスプロバイダーに引き渡されます。決済サービスプロバイダーは、注文手続きにのみお客様のデータを使用することができ、その他の目的に使用することはできません。

b. 法的根拠

提示された個人データの処理は、契約締結に必要であるため、GDPR第6条第1項(b)を法的根拠とします。

c. 保存期間

契約手続きがすべて行われ、購入価格が全額支払われた後、お客様のデータは、今後使用されないようブロックされ、税法および商法に基づく保持期間の満了後に削除されます。ただし、お客様が今後もデータが使用されることに明示的に同意した場合はこの限りではありません。法で義務付けられている場合、個別のケースにおいてより長い期間保存される場合があります。

4.3.4 銀行振込による前払い

a. データ処理の種類と範囲

商品を購入する際に、弊社は、銀行振込による前払いのオプションを提供しています。この支払方法では、商品は、支払いが完了するまでお客様のためにリザーブされます。データは、以下の場合にのみ第三者に引き渡されます。

支払手続きの一環として、以下のデータが収集されます。

  • 口座名義人の氏名
  •  口座番号
  • 銀行コード
  • 請求金額
  • 通貨
  • 用途

b. 法的根拠

支払手続きのために口座データ(口座名義人の氏名、口座番号、銀行コード、請求金額、通貨、使用目的)を処理する場合、GDPR第6条第1項(b)が法的根拠となります。

これは、契約前の措置を実施するために必要な処理業務にも適用されます。場合によっては、弊社は、決済サービス指令(EU)2015/2366(PSD 2)または決済サービス指令IIを実施する法律(決済サービス実施法、ZDUG)に基づく強力な顧客認証の実施要件に従い、お客様に関するデータを移転する法的義務を負うこともあります。弊社がデータ移転を法的に義務付けられている限り、決済サービス指令(EU)2015/2366(PSD 2)または決済サービス実施法(Zahlungsdiensteumsetzungsgesetz、ZDUG)の対応する条項と併せて、GDPR第6条第1項(c)が法的根拠として使用されます。

c. 保存期間

契約手続きがすべて行われ、購入価格が全額支払われた後、お客様のデータは、今後使用されないようブロックされ、税法および商法に基づく保持期間の満了後に削除されます。ただし、お客様が今後もデータが使用されることに明示的に同意した場合はこの限りではありません。法で義務付けられている場合、個別のケースにおいてより長い期間保存される場合があります。

4.3.5 PayPalによる支払い/PayPal分割払い

a. データ処理の種類と範囲

決済サービスプロバイダーであるPayPalでお支払いいただくこともできます。PayPalを選択すると、支払情報を入力するために自動的にPayPalのウェブサイトにリダイレクトされます。金額は、商品が発送されるまで保留されます。発送後のみ、お客様のアカウントから引き落とされます。また、PayPalウェブサイトで分割払いを選択することもできます。

PayPalでの支払方法を選択した場合、PayPal(すなわち、PayPal(Europe)S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembourg)にデータが移転され、PayPal経由での支払いを承認することができます。(この場合、PayPalアカウントが必要です。) PayPalは、オンライン決済サービスプロバイダーおよび受託者の役割を果たし、購入者保護サービスを提供しています。

以下のデータは、支払手続きの一環として、該当する決済サービスプロバイダーおよび金融機関に転送されます。

  • 氏名
  • 電話番号
  • 電子メールアドレス
  • ユーザーの端末情報
  • 配送先住所と請求先住所
  • 注文番号と商品番号
  • 請求金額

PayPalは、購入者から個人データを収集する権利も留保します。PayPalによると、以下の情報が含まれる場合があります。

  • 氏名
  • 住所
  • 電話番号
  • 電子メールアドレス
  • 口座番号

PayPalは、契約上の義務を履行するために必要な場合、またはPayPalに代わってデータが処理される場合に限り、お客様の個人データを関係会社、サービスプロバイダーまたは下請業者に引き渡すことがあります。

弊社がPayPalに転送する個人データは、PayPalが信用調査機関に転送する場合があります。この転送の目的は、身元情報と信用度を確認することです。PayPalは、提供する各支払方法を決定する目的で、未払いの統計的確率に鑑みて、信用調査の結果を使用します。信用調査には、確率値(いわゆるスコア値)が含まれる場合があります。スコア値は、信用調査の結果に含まれている場合、科学的に認められた数学的-統計的手順に基づいています。

どの信用調査機関が関与しているかは、https://www.paypal.com/de/webapps/mpp/ua/privacy-full#rAnnex

でご確認いただけます。

お客様は、PayPalからの個人データの処理に対する同意をいつでも取り消すことができます。ただし、同意を撤回しても、撤回前の同意に基づく処理の適法性は影響を受けません。ただし、契約上の支払処理のために個人データを処理、使用または送信する必要があります。

PayPalのデータ保護に関する声明は、https://www.paypal.com/de/webapps/mpp/ua/privacy-full

でご確認いただけます。

b. 法的根拠

この個人データを処理する法的根拠は、GDPR第6条第1項(b)です。契約上の義務(この場合、購入価格を支払う義務)を履行するために処理が必要です。これは、契約前の措置を実施するために必要な処理業務にも適用されます。場合によっては、弊社は、決済サービス指令(EU)2015/2366(PSD 2)または決済サービス指令IIを実施する法律(決済サービス実施法、ZDUG)に基づく強力な顧客認証の実施要件に従い、お客様に関するデータを移転する法的義務を負うこともあります。弊社がデータ移転を法的に義務付けられている限り、決済サービス指令(EU)2015/2366(PSD 2)または決済サービス実施法(Zahlungsdiensteumsetzungsgesetz、ZDUG)の対応する条項と併せて、GDPR第6条第1項(c)が法的根拠として使用されます。

c. 保存期間

契約手続きがすべて行われ、購入価格が全額支払われた後、お客様のデータは、今後使用されないようブロックされ、税法および商法に基づく保持期間の満了後に削除されます。ただし、お客様が今後もデータが使用されることに明示的に同意した場合はこの限りではありません。法で義務付けられている場合、個別のケースにおいてより長い期間保存される場合があります。

4.3.6 Klarnaによる支払い(請求書)

a. データ処理の種類と範囲

サービスプロバイダーであるKlarna(Klarna AB, Sveavägen 46, 111 34 Stockholm, Sweden)を通じて、アカウントで購入を完了させることができます。この支払方法では、今後発送される商品であっても、注文に関する支払いは直接行われます。注文確認後、Klarnaに直接リダイレクトされます。支払いの一環として、お客様は、Klarnaと契約を締結し、同契約を通じてKlarnaがCanyonからお客様の氏名、住所、生年月日、性別、電子メールアドレス、IPアドレス、電話番号などの個人データを収集する場合があります。また、Klarnaは、商品数や商品番号など、アカウントでの購入手続きに必要な追加データをCanyonから収集する場合があります。Klarnaは、お客様の購入手続き、本人確認および信用調査を行うためにデータを処理します。Klarnaは、信用調査機関から情報を取得する場合があります。

信用調査機関のリストは、https://cdn.klarna.com/1.0/shared/content/legal/terms/0/de_de/credit_rating_agencies

でご確認いただけます。

Klarnaによるお客様のデータの処理の詳細については、Klarnaのデータ保護に関する声明(https://www.klarna.com/de/datenschutz/

)でご確認いただけます。

b. 法的根拠

お客様のデータ処理の法的根拠は、GDPR第6条第1項(b)です。お客様の契約上の支払義務を履行するために、処理が必要となります。

c. 保存期間

契約手続きがすべて行われ、購入価格が全額支払われた後、お客様のデータは、今後使用されないようブロックされ、税法および商法に基づく保持期間の満了後に削除されます。ただし、お客様が今後もデータが使用されることに明示的に同意した場合はこの限りではありません。法で義務付けられている場合、個別のケースにおいてより長い期間保存される場合があります。

4.3.7 Klarnaによる支払い(即時銀行振込)

a. データ処理の種類と範囲

Sofort GmbH(Theresienhöhe 12, 80339 Munich,Germany, part of Klarna since 2014、以下「"Klarna"」)を通じて、即時銀行振込による購入手続きも可能です。この支払方法により、お客様の氏名、電子メールアドレスと電話番号、住所とIPアドレスなどの個人データ、その他該当する場合は、支払手続きに関連するデータがKlarnaに転送されます。さらに、銀行コードや銀行名、口座番号、オンラインバンキングのアクセスデータなどの支払データも転送されます。即時銀行振込による支払いの場合、PINとTANがKlarnaに転送されます。決済業者がお客様のオンライン銀行口座にログインし、自動的に口座残高を確認し、送金を行います。この後、即時に取引確認が行われます。ログイン後、お客様のターンオーバー、当座貸越の与信限度額、その他の口座の有無とその残高の自動確認も行われます。

即時銀行振込の詳細については、https://www.klarna.com/sofort/でご確認いただけます。

b. 法的根拠

お客様のデータをKlarnaに転送する法的根拠は、GDPR第6条第1項(a)およびGDPR第6条第1項(b)に基づくお客様の同意であり、これは、お客様の支払義務を履行するために必要となります。同意はいつでも取り消すことができます。

c. 保存期間

契約手続きがすべて行われ、購入価格が全額支払われた後、お客様のデータは、今後使用されないようブロックされ、税法および商法に基づく保持期間の満了後に削除されます。ただし、お客様が今後もデータが使用されることに明示的に同意した場合はこの限りではありません。法で義務付けられている場合、個別のケースにおいてより長い期間保存される場合があります。

3.8 配達時の代金引換による支払い

a. データ処理の種類と範囲

ご注文の支払方法として、"配達時の代金引換"を選択することができます。この支払方法では、注文品がお客様に配達され、お客様が商品を受け取ったときにのみ現金でお支払いいただきます。その前提条件は、ドイツの配送先住所に注文品が配送されることと、3,500ユーロを超えないことです。配達時の代金引換で支払う場合、サプライヤーがお客様に注文品を配達し、お客様がその代金をサプライヤーに支払うことができるように、弊社は、お客様の氏名、住所などのデータ、商品の価格などの支払情報をサプライヤーに転送します。

b. 法的根拠

配達時の代金引換による支払いを行う状況において、個人データを処理する法的根拠は、GDPR第6条第1項(b)です。このデータ処理は、注文、関連する支払義務、配達義務の手続きのために必要となります。

c. 保存期間

契約手続きがすべて行われ、購入価格が全額支払われた後、お客様のデータは、今後使用されないようブロックされ、税法および商法に基づく保持期間の満了後に削除されます。ただし、お客様が今後もデータが使用されることに明示的に同意した場合はこの限りではありません。法で義務付けられている場合、個別のケースにおいてより長い期間保存される場合があります。

4.3.9 JobRadのリース

a. データ処理の種類と範囲

弊社が提携しているJobRad(JobRad GmbH, Heinrich-von-Stephan-Str.13, 79100 Freiburg, Germany)は、トップクラスの自転車リース業者です。お客様がドイツ企業の従業員またはドイツに拠点を置く自営業者であり、お客様またはお客様の雇用主がJobRadと提携している場合、バイクのリースを選択することができます。ご注文手続き中に、支払方法として"JobRad"を選択してください。注文確認書を受け取った後、Canyonバイクは3週間リザーブされます。その後、雇用主からリンクが送られ、そこからJobRadポータルにログインすることができます。JobRadは、そこで行われるデータ処理につき責任を負います。詳細については、https://www.jobrad.org/datenschutz.html

でご確認いただけます。

JobRadのリース手続きの一環として、弊社は、契約締結に必要なデータをJobRadに転送します。これには、お客様の氏名、住所、電子メールアドレス、選択したバイクの商品番号などが含まれます。JobRadは、リース手続きを完了させるために、サプライヤーや雇用主などの第三者とお客様のデータを共有する場合があります。これについては、JobRadのデータ保護に関する声明でも詳しく説明しています。

b. 法的根拠

お客様のデータ処理の法的根拠は、GDPR第6条第1項(b)です。Fahrrandのリース手続きを完了させるために、この処理が必要となります。

c. 保存期間

契約手続きがすべて行われ、購入価格が全額支払われた後、お客様のデータは、今後使用されないようブロックされ、税法および商法に基づく保持期間の満了後に削除されます。ただし、お客様が今後もデータが使用されることに明示的に同意した場合はこの限りではありません。法で義務付けられている場合、個別のケースにおいてより長い期間保存される場合があります。

3.10 バイクリース

a. データ処理の種類と範囲

BLS Bikeleasing-Service GmbH & Co. KG(Ernst-Reuter-Straße 2, 37170 Uslar, Germany)のバイクリースサービスを利用して、バイクのリースを選択することもできます。注文の支払手続き中にBikeleasingサービスを選択し、次のステップに従います。お客様が企業の従業員である場合、雇用主がBikeleasingに登録する必要があります。自営業の方は、ご自身でBikeleasingに登録する必要があります。Bikeleasingは、お客様の登録手続きの一環としてデータ処理を行う責任を負います。

バイクリースサービスの一環として、弊社は、お客様の氏名、住所、電子メールアドレス、および選択されたバイクの商品番号などの必要なデータを弊社のリースパートナーに転送します。Bikeleasingは、リース手続き中に、サプライヤーや雇用主などの第三者にお客様のデータを転送することがあります。Bikeleasingによるデータ処理と送信の詳細については、https://bikeleasing.de/datenschutzでご確認いただけます。

b. 法的根拠

お客様のデータ処理の法的根拠は、GDPR第6条第1項(b)です。Fahrrandリース手続きの準備または完了のために、処理が必要となります。

c. 保存期間

契約手続きがすべて行われ、購入価格が全額支払われた後、お客様のデータは、今後使用されないようブロックされ、税法および商法に基づく保持期間の満了後に削除されます。ただし、お客様が今後もデータが使用されることに明示的に同意した場合はこの限りではありません。法で義務付けられている場合、個別のケースにおいてより長い期間保存される場合があります。

4.4 ニュースレター

a. データ処理の種類と範囲

弊社ウェブサイトで無料ニュースレターを購読することができます。ニュースレターを定期的に送信するには、お客様の電子メールアドレスのみが必要となります。入力後、確認リンクを記載した電子メールをお送りし、お客様が実際に入力した電子メールアカウントの所有者であることを確認します(いわゆる"ダブルオプトイン"手順)。

電子メールに張られたリンクをクリックすると、ニュースレターの購読申し込みが不備なく完了したことを確認する弊社ウェブサイトにリダイレクトされます。ここで、ニュースレターをパーソナライズするために、追加情報を自発的に提供する機会が与えられます。以下は、必要な追加情報の概要です。

  • 性別
  • 氏名
  • 生年月日
  • 関心のあるバイクカテゴリ
  • 関心のあるニュースカテゴリ

また、アカウント設定で、お客様が共有する関心事項をカスタマイズすることもできます。弊社がお客様に送信するコンテンツはその影響を受ける場合があります。

ニュースレターの送信には、いわゆるダブルオプトイン手順を使用します。つまり、お客様が登録確認用の電子メールに記載されたリンクを介して登録を確認した場合に限り、お客様にニュースレターが送信されます。この手続きは、提供された電子メールアドレスの所有者であるお客様のみがニュースレターを購読できるようにするためのものです。この件に関するお客様の確認は、確認メールの受信後速やかに行う必要があります。確認が行われなかった場合、ニュースレターの登録は、自動的にデータベースから削除されます。ニュースレターの受信に対する同意は、いつでも取り消すことができ、ニュースレターの購読を解除することができます。特に、ニュースレターの電子メールに張られているリンクをクリックするか、privacy@canyon.de

宛に電子メールを送信することで、登録解除を申し出ることができます。

ニュースレターの送信に関連して、お客様のデータは、弊社が顧客関係管理の一部として使用するソフトウェアを提供している米国のサービスプロバイダーに転送されます。この目的で、弊社は、この会社と注文手続契約を締結しました。

米国へのデータ移転については、2023年7月10日以降、欧州委員会の十分性認定が採択されています。ただし、各サービスプロバイダーがEU/米国データプライバシーフレームワーク(DPF)に従って認証を提出することができることを条件とします。この認証は、個人データに対して当該会社が欧州連合と同等の適切なレベルの保護を導入していることを証明するものです。このような認証は、こちらから入手可能です。

b. 法的根拠

ニュースレターを送信するための電子メールアドレス、役職、生年月日、および関心のあるバイクやニュースのカテゴリの処理は、GDPR第6条第1項(a)に従いダブルオプトインの一部として付与された同意の宣言を根拠とします。ニュースレターが過去の商品購入に基づいて送信される場合、このような処理は、弊社の正当な利益を根拠として行われることがあります(UWG第7条第3項と併せて、GDPR第6条第1項(f))。

c. 保存期間

電子メールアドレスは、お客様がニュースレターに登録している限り保存されます。ニュースレターの登録解除後、お客様の電子メールアドレスは削除されます。法で義務付けられている場合、またはお客様が削除を要求していないユーザープロフィールが存在しているためにお客様の電子メールアドレスを保存する場合、その都度引き続き保存されることがあります。

4.5 保証、クラッシュリプレースメント、返品と修理に関するお問い合わせ、チャット、キャリアセクションに関するお問い合わせフォーム

4.5.1 フォーム

a. データ処理の種類と範囲

弊社ウェブサイトでは、所定のフォームを用いて弊社にお問い合わせいただけます。お問い合わせフォームまたはチャット前のフォームを介してリクエストを送信する手続きの一環として、このデータ保護に関する声明を参照してください。お問い合わせフォームを使用する場合、以下の個人データが処理されます。

  • 敬辞
  • 氏名
  • 電子メールアドレス
  • 電話番号
  • 居住国
  • 顧客番号(返品、修理またはCRPリクエストのため)
  • 注文番号(返品、修理またはCRPリクエストのため)
  • バイクのモデル名(返品、修理、またはCRPリクエストのため)
  • 住所(修理またはCRPリクエストのため)
  • 問題を説明する写真と詳細(修理またはCRPリクエストのため)
  • 弊社への連絡の過程でお客様から提供されたその他の個人データ

電子メールアドレスと居住国を提供する目的は、リクエストを割り当ててお客様に返信できるようにすることです。上記のその他のデータの提供は、お客様のリクエストおよびこれに応じたサービスの手続きを準備するために必要となります。お問い合わせフォームを使用する際、お客様の個人データが第三者に引き渡されることはありません。

お客様向けに最適化され、カスタマイズされたカスタマーサービスを提供するため、弊社は、外部の米国プロバイダーのソフトウェアを使用してお客様のお問い合わせに対応します。EU域外でデータを処理する場合、個人データの保護は特に重要です。従って、弊社は、このサービスプロバイダーがEU-米国間データプライバシーフレームワーク(第3.5条参照)に基づき認証を受けており、データ処理契約(GDPR第28条)がこのサービスプロバイダーと締結されていることを確認しました。

b. 法的根拠

連絡の確立を目的とした上記のデータ処理は、GDPR第6条第1項(b)、(f)に従って、(事前)契約上の措置を実施するため、または弊社の正当な利益を根拠として行われます。

c. 保存期間

お客様のリクエストへの対応が行われ、問題が最終的に明らかになり次第、お問い合わせフォームで処理された個人データは削除されます。法で義務付けられている場合、個別のケースにおいてより長い期間保存される場合があります。

4.5.2 チャットモジュールによる連絡

a. データ処理の種類と範囲

チャットモジュールを通じて、Canyonの専門家やCanyonコミュニティと連絡を取ることができます。弊社は、プロバイダーである"guuru"(GUURU Solutions GmbH, Rothusstraße 21, 6331 Hünenberg, Switzerland)のサービスを利用しています。このオプションを使用して弊社に連絡することをご希望の場合、お客様は、guuruの利用規約およびデータ保護に関する声明に同意していただきます。同意がない限り、チャットをご利用いただけません。

チャットでご連絡いただいた場合、お客様の氏名や電子メールアドレスなどのデータが処理されます。その後、チャットでの会話中にお客様が弊社と共有する情報とデータのみを処理します。

プロバイダーである"guuru"も、チャットを介してお客様が弊社と共有した個人データへのアクセスを受け取ります。詳細については、"guuru"のデータ保護に関する声明(https://www.guuru.com/de/privacy-policy/)でご確認いただけます。

お客様向けに最適化され、カスタマイズされたカスタマーサービスを提供するため、弊社はさらに、外部の米国プロバイダーのソフトウェアを使用してお客様のお問い合わせを割り当て、対処します。EU域外で処理業務を行う場合、個人データの保護は特に重要です。従って、弊社は、このサービスプロバイダーがEU-米国間データプライバシーフレームワーク(第3.5条参照)に基づき認証を受けており、データ処理契約(GDPR第28条)がこのサービスプロバイダーと締結されていることを確認しました。

b. 法的根拠

お客様の個人データの処理は、GDPR第6条第1項(f)に基づく弊社の正当な利益を根拠としています。購入契約の締結を目的とした場合、法的根拠はGDPR第6条第1項(b)です。

お客様の個人データを保護するため、GDPR第9条第1項の意味の範囲における特別なカテゴリの個人データ(健康データなど)を弊社に提供することは控えてください。

c. 保存期間

ご提供いただいたデータおよびサービスデスクへのメッセージ履歴は、フォローアップの質問とその後の連絡のために保存されます。保存目的が該当しなくなった場合(12か月後に定期的に想定されます)、このデータは、データ保護規則に従って削除されますが、保持期間が法に定められているためにこれが不可能な場合はこの限りではありません。

4.5.3 電子メールによる連絡

a. データ処理の種類と範囲

連絡の際には、お問い合わせフォームを使用せずに、お客様のリクエストを記載した電子メールを弊社の電子メールアドレスに送信することができます。このオプションを使用する場合、電子メールに記載されている内容に加えて、以下の個人データがデフォルトで処理されます。

  • 電子メールアドレス
  • 氏名

電子メールアドレスを提供する目的は、リクエストを割り当ててお客様に返信できるようにすることです。電子メールでご連絡いただく際、お客様の個人データが第三者に引き渡されることはありません。

お客様向けに最適化され、カスタマイズされたカスタマーサービスを提供するため、弊社はさらに、外部の米国プロバイダーのソフトウェアを使用してお客様のお問い合わせを割り当て、対処します。EU域外で処理業務を行う場合、個人データの保護は特に重要です。従って、弊社は、このサービスプロバイダーがEU-米国間データプライバシーフレームワーク(第3.5条参照)に基づき認証を受けており、データ処理契約(GDPR第28条)がこのサービスプロバイダーと締結されていることを確認しました。

b. 法的根拠

お客様のリクエストに対応するために一時的に説明されるデータ処理は、GDPR第6条第1項(b)および(f)を根拠とします。お問い合わせフォームと同様に、お客様と連絡するためのインターフェースの提供は、弊社の正当な利益に資するものであり、通常、弊社に迅速かつ容易に連絡することができる点でお客様の利益にもつながります。

c. 保存期間

お客様のリクエストへの対応が行われ、問題が最終的に明らかになり次第、電子メールで処理された個人データは削除されます。正当な利益がある場合はその限りにおいて、その都度さらに保存される場合があります(GDPR第6条第1項(f))。

4.5.4 電話連絡

a. データ処理の種類と範囲

ご懸念があれば、電話(0261 9490 30000)でお問い合わせください。お客様の電話番号に加えて、通話中にお客様から提供された個人データも処理されます。

お客様向けに最適化され、カスタマイズされたカスタマーサービスを提供するため、弊社はさらに、外部の米国プロバイダーのソフトウェアを使用してお客様のお問い合わせを割り当て、対処します。EU域外で処理業務を行う場合、個人データの保護は特に重要です。従って、弊社は、このサービスプロバイダーがEU-米国間データプライバシーフレームワーク(第3.5条参照)に基づき認証を受けており、データ処理契約(GDPR第28条)がこのサービスプロバイダーと締結されていることを確認しました。

b. 法的根拠

弊社への連絡の過程で送信されたデータを処理する法的根拠は、GDPR第6条第1項(f)です。 お客様が弊社に連絡した場合、データの処理に必要な正当な利益は、お客様のリクエストに対処することにあります。

契約の締結を目的とした場合、処理の法的根拠はGDPR第6条第1項(b)です。

お客様の個人データを保護するため、GDPR第9条第1項の意味の範囲における特別なカテゴリの個人データ(健康データなど)を弊社に提供することは控えてください。

c. 保存期間

データは、それが収集された目的を達成するために必要でなくなり次第削除されます。会話は、状況から該当する問題が最終的に明らかになったと推測できる時点で終了します。法で義務付けられている場合、またはGDPR第6条第1項(f)に従い正当な利益がある場合、その都度さらに保存されることがあります。

4.6 Canyonキャリア分野

a. データ処理の種類と範囲

弊社ウェブサイトでは、弊社が広告した求人にオンラインで応募してCanyonファミリーの一員になる機会を提供しています。オンラインで応募していただく場合、以下のデータがお客様から収集され、応募手続きの一部として処理されます。

  • キャリアレベル
  • 氏名
  • 電子メールアドレス
  • 電話番号
  • 住所
  • 対応可能な時間帯
  • 応募書類(応募レター、履歴書、紹介状、証明書など)
  • 該当する場合、XINGとLinkedInのオンラインプロフィールへのリンク
  • 登録可能な日付
  • 希望給与額
  • 該当する場合、応募手続きの一部としての個々のコメント

オンラインで入力されたデータは、Canyon Bicycles GmbHでの欠員補充のみを目的として収集され、処理されます。社内で応募手続きを担当する部署と役職のみがデータにアクセスすることができます。お客様の応募データは、その他の目的で使用されることも、第三者に譲渡されることもありません。

b. 法的根拠

応募において、個人データを処理する法的根拠は、GDPR第6条第1項(b)です。お客様が、コンテキストメニュー(c.参照)において、この応募手続き以外に(例えば、将来欠員が生じた場合に再度検討されるように)お客様の応募書類を弊社が保存することを明示的に許可する限りにおいて、これは、GDPR第6条第1項(a)を根拠として行われます。

c. 保存期間

お客様の応募データは、応募手続き完了から6か月後に自動的に削除されます。法規定により削除が妨げられた場合、または法的請求を主張する目的でもしくは証拠を提供する目的でさらなる保存が必要な場合はこの限りではありません。ただし、それ以外の場合は、お客様の同意に基づいてのみ、さらなる保存が可能です。これは、例えば、現在募集中の欠員がないものの、お客様のプロフィールにおいて将来欠員が生じた場合に応募する意図が示されている場合などに有用です。この手順は、特にお客様がそのような保存および使用に明示的に同意したことを条件として、自主応募に使用されます。この同意はいつでも取り消すことができます。可能であれば、キャリアセクションのお問い合わせフォームからメッセージを送信するか、karriere@canyon.com宛に電子メールでお問い合わせください。

技術的および組織的な観点から、お客様のデータを保護するためにさまざまな予防措置を講じています。オンラインアプリケーションの転送は暗号化されます。お客様のデータは、他のすべてのシステムとは別のデータベースに保存され、HRチームの関係者のみがアクセスすることができます。

4.7 出荷品の追跡

a. データ処理の種類と範囲

注文は、弊社ウェブサイトで追跡可能です。データベースを照会するには、以下の情報が必要になります。

  • 電子メールアドレス
  • 注文番号

お客様のデータは、出荷品の追跡時に第三者に引き渡されることはありません。

b. 法的根拠

お客様の注文を追跡することを目的としたデータの処理は、GDPR第6条第1項(f)に従い行われます。その根拠は、お客様が配達状況を追跡し、利用しやすい注文手続きを保証することを可能にするという弊社の正当な利益です。

c. 保存期間

契約手続きがすべて行われ、購入価格が全額支払われた後、お客様のデータは、今後使用されないようブロックされ、税法および商法に基づく保持期間の満了後に削除されます。ただし、お客様が今後もデータが使用されることに明示的に同意した場合はこの限りではありません。法で義務付けられている場合、個別のケースにおいてより長い期間保存される場合があります。

4.8 アンケート

a. データ処理の種類と範囲

お客様が弊社から購入した商品を受け取った後、弊社は、お客様にフィードバックを求めるためのフォローアップメールを送信する場合があります。このアンケートの一環として、弊社は、お客様の氏名、電子メールアドレス、注文に関連するデータ(商品番号など)を処理します。アンケートでのお客様からのフィードバックは、注文の手続きと手順を改善するのに役立ちます。弊社は、この目的のために以下の個人データを処理します。

  • 氏名
  • 電子メールアドレス
  • 注文または注文データ
  • 配送データ

b. 法的根拠

アンケートを送信する目的でお客様のデータを処理する法的根拠は、GDPR第6条第1項(f)の正当な利益であり、競争法の要件(UWG第7条参照)を考慮に入れています。

c. 保存期間

弊社は、上記の目的のために必要な期間のみ、このデータを処理します。法に別の保持期間が定められていない限り、このデータはその後削除されます。

5. Cookieの使用

a. データ処理の種類と範囲

弊社ウェブサイトでは、Cookieを使用しています。Cookieは、お客様が弊社ウェブサイトを訪問した際に、弊社がお客様の端末のブラウザに送信し、そこで保存される小さなファイルです。このウェブサイトは、お客様のエクスペリエンスを向上させ、パーソナライズされたコンテンツと機能を提供するためにCookieを使用しています。Cookieは、お客様の端末に損害を与えることはありません。プログラムを実行することも、ウイルスを封じ込めることもできません。この通知では、弊社が使用するCookieの各種類と、お客様がCookie設定を管理する方法についてお知らせします。個々のCookieの詳細については、Cookieバナーをご確認ください。

(1) 必須Cookie:

ウェブサイトが適切に機能するために不可欠なCookieです。例えば、ウェブサイトのナビゲーション、フォームの入力、ショッピングカートの利用などが可能になります。このCookieがなければ、弊社ウェブサイトで特定のサービスをご利用いただくことはできません。

(2) パフォーマンスCookieおよびマーケティングCookie:

これらのCookieは、お客様による弊社ウェブサイトの利用習慣に関する情報を収集します。統計と分析を提供することで、弊社ウェブサイトのパフォーマンスの測定と改善に役立ちます。弊社は、この情報を使用して、コンテンツの使いやすさと関連性を最適化しています。これにより、弊社ウェブサイトをより使いやすく、お客様にとって効果的なものにすることができます。

ただし、お客様は、弊社ウェブサイトのCookie設定オプションをクリックすることにより、いつでもCookie設定を変更することができます。Cookieプリファレンスは、お客様が管理することができます。

b. 法的根拠

お客様の端末上に情報を保存し、これを後に読むために技術的に必要とされるCookieを使用する法的根拠は、TDDDG第25条第2項第2号です。以下に記載するお客様の個人データの処理は、GDPR第6条第1項(f)に基づく弊社の正当な利益を根拠とします。

お客様の端末上に保存されているパフォーマンスCookieまたはマーケティングCookieを使用する法的根拠は、GDPR第25条(1)です。この根拠に基づいて収集された個人データの処理は、GDPR第6条第1項(a)に基づくお客様の同意に基づいてのみ行われます。

EU/EEA域外に拠点を置く企業へのデータ移転に関して、対応するCookieの使用に対する同意には、お客様の個人データを第三国に移転することに対する同意も含まれます(GDPR第49条第1項(a))。

c. 保存期間

Cookieを介して弊社に送信されたデータは、上記の目的を達成するのに不要になり次第、削除されます。法で義務付けられている場合、個別のケースにおいてより長い期間保存される場合があります。

各保存期間の詳細については、Cookieバナーでご確認いただけます。

d. ブラウザ設定の構成

大半のブラウザは、デフォルトでCookieを受け入れるように設定されています。ただし、一部のブラウザでは、特定のCookieのみを受け入れるか、またはCookieを一切受け入れないように構成することができます。なお、弊社ウェブサイトのブラウザ設定でCookieが無効になっている場合、ウェブサイトのすべての機能を使用することができなくなる可能性がありますのでご留意ください。ブラウザに保存済みのCookieについては、お客様のブラウザの設定から削除することもできます。また、Cookieを保存する前に通知を表示するようブラウザで設定することもできます。各ブラウザの機能が異なる場合があるため、構成オプションについては、ブラウザの各ヘルプメニューを使用してください。第三者によるインターネットブラウザへのアクセス全般の概要を希望される場合は、特別に開発されたプラグインをインストールすることをお勧めします。

6. ハイパーリンク

弊社ウェブサイトには、他のプロバイダーのウェブサイトへのいわゆるハイパーリンクが含まれています。これらのハイパーリンクを有効化すると、弊社ウェブサイトから他のプロバイダーのウェブサイトに直接転送されます。特にURLを変更することで、これを認識することができます。弊社は、こうした第三者ウェブサイト上でのお客様のデータの秘密保持について一切の責任を負いません。弊社には、適用されるデータ保護規制を当該第三者が遵守するかどうかに対し影響力がないためです。これに関して、弊社は、各ウェブサイト運営者が提供するデータ保護に関する声明およびその他の情報をお客様に紹介します。

弊社がウェブサイト運営者との特定のデータ処理業務に共同で責任を負う限り、これについては第10条で詳しく説明します。

7. データ主体の権利

GDPRにより、お客様は、処理される個人データのデータ主体として、以下の権利を付与されます。

  • GDPR第15条に従い、お客様は、弊社が処理するお客様の個人データに関する情報を求めることができます。特に、お客様が求めることができる情報は、処理の目的、個人データのカテゴリ、お客様のデータの開示を受けたまたは開示を受ける予定の受領者のカテゴリ、予定される保存期間、訂正の権利、消去の権利、処理の制限の権利または異議を述べる権利の存在、苦情を申し立てる権利の存在、弊社が収集しなかった場合のお客様のデータの出所、第三国または国際機関への移転、およびプロファイリングを含む自動意思決定の存在に関する情報、ならびに該当する場合は、その詳細についての有意義な情報です。
  • GDPR第16条に従い、お客様は、弊社が保存しているお客様の個人データに誤りがあれば、その訂正または完成を直ちに要求することができます。
  • GDPR第17条に従い、お客様は、弊社が保存している個人データの削除を要求することができます。ただし、表現の自由および情報公開の権利を行使するため、法的義務を履行するため、公益のため、または法的請求を主張、行使もしくは抗弁するために処理が必要な場合はこの限りではありません。
  • GDPR第18条に従い、データの正確性についてお客様が異議を述べた場合、処理が不法である場合、弊社がデータを必要としなくなった場合、お客様が法的請求を主張、行使または抗弁するために個人データを必要とするためにその削除を拒否する場合、お客様は、個人データの処理の制限を要求することができます。またお客様は、GDPR第21条に従い処理に異議を述べた場合、GDPR第18条に基づく権利を有します。
  • GDPR第20条に従い、お客様は、弊社に提供する個人データを、一般的に使用されている構造化された機械可読形式で受け取るよう要求するか、または当該個人データを別の管理者に移転するよう要求することができます。
  • GDPR第7条(3)に従い、お客様は、いつでも弊社に付与した同意を取り消すことができます。その結果、弊社は、この同意に基づくデータ処理を今後継続することができなくなります。
  • GDPR第77条に従い、お客様は、監督当局に苦情を申し立てる権利を有します。原則として、お客様は、通常の居住地、勤務地または弊社の本社の所在地の監督当局に連絡することができます。

9. データセキュリティとセキュリティ措置

弊社は、保存されているお客様のデータの不正操作、紛失または悪用を防止するため、広範な技術的および組織的なセキュリティ上の予防措置を講じており、これらは技術の進歩に適合するよう定期的に見直されています。そのような措置には、認められている暗号化方法(SSLまたはTLS)の使用が含まれます。ただし、注目すべき点として、インターネットの構造上、弊社の担当分野以外の者や機関がデータ保護規則や上記のセキュリティ措置を遵守しない可能性があります。特に、暗号化されていない形式で(例えば電子メールなどで)開示されたデータを第三者が目にする可能性があることは否定できません。弊社には、このような状況に対し技術的な影響力はありません。ユーザーは、自らが提供したデータを暗号化、その他の方法で悪用から保護するほか、機微データ/個人データの伝達を控える責任を負います。

10. 弊社のソーシャルメディアプレゼンスに関するデータ保護に関する声明

10.1 責任者

Canyon Bicycles GmbH(以下、「"弊社"」または「"Canyon"」)は、ソーシャルメディアでのプレゼンスの利用の一環として、一部責任を負い、各ソーシャルメディアチャンネルのプラットフォーム運営者が一部責任を負います。ただし、"Facebook Insights"などの個々の処理業務については、各ソーシャルメディアプロバイダーと弊社が共同で責任を負います(GDPR第26条参照)。以下では、どのようなデータが関係しているか、どのように処理されるか、また、これに関してお客様がどのような権利を有するかについて説明します。

Canyonにお問い合わせいただく際の宛先は、以下のとおりです。

Canyon Bicycles GmbH

Karl-Tesche-Strasse 12

56073 Koblenz

電話番号:+49 (0)261 - 9490 300 0

電子メールアドレス:privacy@canyon.com

ウェブサイト:https://www.canyon.com/

このデータ保護に関する声明は、Canyon Bicycles GmbHのソーシャルメディアでのプレゼンスに適用されます(第10.3条を参照)。

10.2 データ保護責任者

弊社の外部データ保護責任者は、以下のとおりです。

Dr. Karsten Kinast, LL.M.

KINAST Rechtsanwaltsgesellschaft mbH

Hohenzollernring 54

D-50672 Cologne

電話番号:+49 (0)221 - 222 183 0

電子メールアドレス:team-cgn1@kinast.eu、mail@kinast.eu

ウェブサイト:http://www.kinast.eu

他にも、データ保護に関するご質問やお問い合わせがあれば、弊社の外部データ保護責任者に直接ご連絡ください。

下記のソーシャルメディアプロバイダーのウェブサイトに掲載されているデータ保護責任者の連絡先情報は、プライバシーポリシーに記載されています。

10.3 ソーシャルメディアプレゼンス

弊社のソーシャルメディアウェブサイトは以下のとおりです。

10.4 個人データの処理

現時点では、弊社には、ソーシャルメディアプラットフォームの基本機能に対し影響力がないことにご留意ください。従って、各プラットフォームの操作と、後の個人データの処理方法は、主に各運営者の責任となります。詳細については、各運営者のプライバシーポリシーを参照してください。この点についてさらにご質問がある場合は、各プラットフォーム運営者にお問い合わせください。

また、ソーシャルメディアサイト上でのデータ処理手順について、以下に説明します。

a. 連絡とメッセージの送信

上記のソーシャルメディアチャンネルでは、ダイレクトメッセージで弊社に連絡することを選択できます。この場合、弊社は、弊社に送信された個人データをその都度処理します。このデータには通常、お客様の指定したユーザー名、メッセージの送信日時、および"既読/未読"ステータスが含まれます。現時点では、連絡が取られた時点で、データが各ソーシャルメディアの運営者にも必ず送信されることにご留意ください。そのため、これらのメッセージの秘密保持について懸念がある場合は、他の方法で弊社にご連絡ください。

このように弊社に伝えられた個人データの処理は、GDPR第6条第1項(b)および(f)を根拠とします。

弊社は、各処理目的に必要な期間に限り、このようにして弊社に送信されたメッセージを保存し、別の保持期間が法に定められていない限り、その後削除します。特に公の場での弊社宛てのメッセージには、ソーシャルメディア運営者のそれぞれの保持期間が適用され、弊社は、これに対して必ずしも影響力を有しないことにご留意ください。

b. 弊社の貢献との関わり

それぞれのソーシャルメディアプロバイダーは、そのプラットフォームに応じて、弊社の投稿と関わるための幅広いオプションを提供しています。これには特に、投稿に対する"いいね"、コメント、その他の反応の送信が含まれます。弊社のソーシャルメディアのプレゼンスは公開されているため、弊社の投稿との関わりは、プラットフォームの訪問者が簡単に閲覧することができることを常に把握しておく必要があります。

弊社のソーシャルメディア投稿との関わりの処理は、GDPR第6条第1項(f)の正当な利益を根拠としています。

通常、こうした関わりは、無期限に保存されます。そのため、ご自身でコンテンツを削除できない場合は、各プラットフォーム運営者にお問い合わせください。ただし、特定の投稿の削除を希望する場合は、弊社までご連絡いただければ、サポートいたします。それ以外の場合は、各プラットフォーム運営者の責任となります。

c. EU/EEA域外の国へのデータ移転

ソーシャルメディアプロバイダーの大半は、EU/EEA域外、すなわちGDPRの規定が直接適用されない国に拠点を置いています。ただし、弊社は、お客様のデータがデータ保護規制に従って移転されるよう、GDPRに定める予防措置を講じています。

そのため、弊社は特に、EU委員会が十分性判断を下した国の企業と協働しています。そのような国には、特に米国が含まれます。2023年7月10日、米国各企業が米国商務省の適切なデータ保護基準に適合している場合、米国へのデータ移転は、EUにより"EU-米国間データプライバシーフレームワーク"に対するいわゆる十分性認定が採択されました。基準を満たしていない米国企業は、EU域外の他のグローバル企業と同様に扱われます(該当する国がEUの十分性認定を受けていない場合)。Canyonは、お客様のデータをこれらの国に適法に移転するために法的に義務付けられる措置が取られている企業とのみ連携します。この点で第三国が十分性認定を受けていない場合、通常、標準契約条項を締結し、追加のデータ保護措置を実施することで、必要なレベルのデータ保護を確実に遵守します。

場合によっては、各プラットフォーム運営者によって弊社のソーシャルメディアチャンネルを通じて弊社に提供される個人追跡および分析データは、弊社のオファーおよびオンラインプレゼンスを最適化する目的で、弊社が顧客関係管理の一部として使用するソフトウェアを提供している外部の米国ソフトウェアサービスプロバイダーに転送されます。この目的で、弊社は、この会社と注文手続契約を締結しました。

お客様がこれに同意している場合、このデータ処理は、GDPR第6条第1項(a)(およびその都度、EU域外の国へのデータ転送についてはGDPR第49条第1項(a))を根拠としています。さらに、特定の場合に応じて、そのようなデータ処理は、オンラインプレゼンスの最適化における弊社の正当な利益を根拠とする場合があります。

弊社は、このデータを、それぞれの目的に必要な期間に限り、弊社の責任分野の範囲内でのみ保存します。このデータは、その後、別の保持期間が法に定められていない場合に削除されます。

d. 責任の共有:追跡と分析

プラットフォーム運営者のそれぞれの追跡および分析機能については、弊社は全般的に、いわゆる"共同管理者"としてそれらの運営者と協働します(GDPR第26条参照)。

各プラットフォームは、対応する個人データを収集し、サービスの最適化と広告の掲載を目的として処理する一方、弊社は全般的に、訪問者と弊社の各ページとの関わりに関する匿名化された統計情報を受け取ります。ソーシャルメディアでのプレゼンスとお客様の関わりの状況について理解を深めるため、収集され、弊社が利用できる情報に基づいて人口統計学的および地理的な分析が作成されることもあります。この情報を使用して、訪問者の身元を直接知ることなく、ターゲットを絞った興味・関心に基づく広告を表示することができます。例えば、訪問者が複数の端末でFacebookプラットフォームを使用している場合、訪問者が自らのプロフィールに登録され、ログインしている場合は、複数の端末でデータを収集して分析することもできます。弊社は、追跡方法には一切影響力を有さず、匿名の統計のみを受け取ります。各プラットフォーム運営者のこうしたメカニズムを防止するオプションは、設定とデータ保護情報に記載されています。

これの法的根拠は、GDPR第6条第1項(f)、弊社のソーシャルメディアプレゼンスの最適化における弊社の正当な利益、および追跡の支援を受けたカスタマーサービスです。

弊社がこのように処理するデータの保存期間は、各プラットフォーム運営者の責任となります。

10.5 お客様の権利

弊社が影響力を有する特定のデータ処理に関して、お客様が、いわゆるデータ主体の権利を行使することを希望する場合、上記の連絡先情報を使用して、非公式のメッセージでいつでも弊社または弊社のデータ保護責任者に連絡することができます。その後、お客様のリクエスト(情報の要求や異議申し立てなど)を確認するか、プラットフォーム運営者によるデータ処理に関連するリクエストの場合は、必要に応じて、責任あるソーシャルメディアプラットフォームに転送します。

この点に関して、お客様は、以下の権利を有します。

  • データ処理に関する情報および処理されたデータのコピーを取得する権利(いわゆるアクセス権、GDPR第15条)
  • 不正確なデータの訂正または不完全なデータの完成を要求する権利(いわゆる訂正権、GDPR第16条)
  • 個人データの消去を要求する権利、および個人データが公開されている場合は、消去の要求について他の管理者に通知する権利(いわゆる消去権、GDPR第17条)
  • データ処理の制限を要求する権利(いわゆる処理の制限の権利、GDPR第18条)
  • データ主体の個人データを、構造化された、一般的に使用される機械可読形式で受信する権利、および当該データの別の管理者への送信を要求する権利。ただし、ソーシャルメディアチャンネルの場合、通常、ソーシャルメディアプラットフォームの運営者のみが用のプロフィールデータにアクセスできるため、この権利を当該運営者に対してのみ主張することができます(いわゆるデータポータビリティの権利、GDPR第20条)
  • データ処理に対して異議を唱える権利(異議を唱える権利、GDPR第21条)。お客様のデータが正当な利益に基づいて処理される場合(GDPR第6条第1項(f))、お客様はこれに異議を唱える権利を有します。お客様の特定の状況により、さらなる処理を行う際の弊社の正当な利益を上回る理由がある場合、弊社は、お客様のデータの処理を中止します。お客様は、この件につきいつでもご連絡いただけます。可能であれば所定のお問い合わせ方法を利用してください。
  • お客様の同意に基づくデータ処理が行われないようにするため、いつでもお客様の同意を撤回する権利。撤回しても、撤回前の同意に基づく処理の適法性は影響を受けません(撤回権、GDPR第7条)。
  • データ処理がGDPRに違反していると思われる場合、監督当局に苦情を申し立てる権利(監督当局に苦情を申し立てる権利、GDPR第77条)

読み込み中
Loading animation image