背景:

Establishment Labs（「ESTA、当社」） は、お客様にとって、お客様自身のプライバシーが大切であり、個人データがどのように用いられるのかを気にかけていることを理解しています。当社は、すべてのお客様、クライアント、ウェブサイトの訪問者のプライバシーを尊重し、重んじます。個人データは、当社のプライバシー告知（privacy policy）に規定されている通りに、合法的かつ透明性のある方法でのみ収集および使用されます。

お客様の個人データを当社が使用することに関して、お客様には「データ主体」として法律の下に様々な権利があります。本方針は、そのような権利を規定し、明確な言葉で説明し、権利の行使方法に関するガイドラインを提供します。

1. 当社に関する情報

Establishment Labs^® S.A.
Coyol Free Zone, B15
Alajuela, Costa Rica
+506 2434-2400

欧州流通センター Center Motiva BV
Nijverheidsstraat 96
2160 Wommelgem
Belgium
VAT BE 0881.512.541 RPM/RPR Antwerp
+32 3 432 41 70

2. 本方針の範囲

英国の一般データ保護規則、2018 年度データ保護法、およびあらゆる継承法を含むデータ保護法（総称して「データ保護法」）の下、個人は自身および自身の個人データを守るために重要な権利を有しています。

3. 個人データとは

個人データとは、データ保護法により「言及されることにより特定者に直接的または間接的に特定される可能性のある個人に関連するあらゆる情報」と定義されています。

簡潔に言うと、個人データとは、お客様が特定されてしまうようなお客様に関するあらゆる情報のことです。個人データには、お客様の名前や連絡先といった明らかな情報だけでなく、ID 番号、電子位置情報データ、およびその他のオンライン識別子といったあまり明確でない情報も含まれます。当社が使用する個人データは、当社のプライバシー告知に規定されています。

4. お客様の持つ権利（要約）

1. 通知される権利
2. アクセスする権利
3. 修正する権利
4. 消去する権利
5. 処理を制限する権利
6. データポータビリティの権利
7. 反対する権利
8. 自動的な意思決定およびプロファイリングに関連する権利

データ保護法におけるご自身の権利に関して質問がある場合、もしくはより詳細な情報を求める場合は、当社のデータ保護担当者（dpo@establishmentlabs.com）までご連絡ください。

5. 通知される権利

お客様には、ご自身の個人データを当社が収集および使用することに関して、知らされる権利があります。当社が提供する情報には、お客様のデータが使用される目的、データの保有期間、および（いる場合は）共有相手が含まれている必要があります。

この重要なプライバシーに関する情報は、当社のプライバシー告知にて説明されています。お客様の権利に関する追加情報は、本方針にも記載されています。

当社がお客様から直接データを得た場合、このプライバシー情報はデータ収集時に提供されます。当社のウェブサイトを訪問する際、またはアカウントの登録を行う際に、当社のプライバシー告知をお読みいただき、告知を読んだうえで承認いただくことを示す同意を提供していただきます。

6. アクセスする権利

この権利は「主体アクセス」としても知られていますが、当社が保有するお客様に関するあらゆる個人データ、およびその他の補助的情報の写しを入手する権利です。

この権利は、当社がお客様のデータを使用する方法と理由をお客様が理解できるようにし、当社が合法的にデータを使用しているかを確認するためのものです。

この権利は、「主体アクセスリクエスト」を申請していただくことで行使できます。主体アクセスリクエストは、口頭でも書面でも申請できます。お客様から提供していただく情報が詳細であればあるほど、当社は迅速に対応しやすくなります。このリクエストに既定の様式はありませんが、リクエストを申請する際にお客様が使用できる「主体アクセスリクエスト用紙」（https://establishment-labs.privacy.saymine.io/Motiva）をご用意しております。また、dpo@establishmentlabs.comまでリクエストを提出いただくこともできます。

法律により、当社は主体アクセスリクエストを受領してから 1 暦月以内（または、当社が身分証明書や手数料（以下参照）を求めた場合は、それらを受領してから 1 暦月以内）に返事をしなければなりません。お客様のリクエストの範囲や性質を理解するために、当社からさらに情報を求める場合があります。その場合の当社の回答期限は、お客様が必要な情報を提供するまで停止されます。お客様のリクエストが複雑である場合、または複数のリクエストを申請しているといった特定の限定的な場合では、この回答期間は最大 2 か月まで延長される場合があります。しかし、その場合もお客様は常時通知を受けます。

通常、主体アクセスリクエストに料金はかかりません。ただし、「明らかに無根拠または過度」なリクエストに対しては、当社にかかる費用を賄うための「合理的な料金」を請求することが認められています。また、特定の限定的な場合において、お客様のリクエストを拒否することが認められている場合があります。

7. 修正する権利

データ保護法の下、お客様は自分自身に関する不正確な個人データを修正する権利、あるいは不完全な個人データを完全にする権利を有しています。

当社は「データ操作者」として、当社が有する個人データが正確であり、必要に応じて最新のものとなっているよう、あらゆる合理的なステップを踏みます。修正する権利は、この義務に密接に結びついています。

この権利は、お客様のデータが不正確であったり、古かったり、不完全であると信じる場合に、お客様が当社に連絡し、データを修正するよう求めることで行使できます。また、当社のウェブサイト上のお客様アカウントにログインし、情報を更新することでも、お客様の個人データを更新できます。

8. 消去する権利

この権利は、「忘れられる権利」としても知られていますが、お客様の個人データを削除（または、データが電子的ではなく紙媒体の記録として保管されている場合は、「その他の処分」）してもらう権利です。

この権利は、お客様が当社に連絡し、データを消去するよう求めることで行使できます。

消去する権利は絶対的権利ではなく、データ保護法に規定される特定の状況下ではこの権利が適用されない場合があるということに留意してください。例えば、法的義務に準拠する必要がある場合、お客様の個人データの消去依頼に沿えない場合があります。このような状況に該当する場合は、お客様の消去リクエストに回答する際に、お客様の個人データを消去できない理由を説明します。

9. 処理を制限する権利

お客様には、お客様の個人データを制限または抑制するよう当社に要求する権利があります。実際には、これがお客様のデータ消去に対する代替的な手段となります。つまり、当社がお客様の個人データを保持しながら、当社がその個人データを使用する方法を制限できるのです。

処理を制限する権利は絶対的権利ではなく、次のような特定の状況下でのみ適用されます。

1. お客様が個人データの正確性に異議を唱え、当社がその正確性を検証している場合
2. お客様の個人データが違法に処理されており、お客様が個人データを消去するのではなく処理を制限して欲しいと考えている場合
3. 当社はその個人データをもう必要としていないが、お客様が法的要求を確立、行使、弁護するために当社に保管してもらう必要がある場合
4. お客様が反対する権利を行使しており（以下のパート10参照）、当社は、お客様の個人データを処理する当社の正当な根拠が、当社によるその使用に異議を唱えるお客様の権利を無効にするかどうかを検討している場合

処理が制限されると、当社はお客様の個人データを保管すること以外に何もできなくなります。ただし、お客様が同意する場合や、以下のいずれかに該当する場合を除きます。

1. 法的要求の確立、行使、弁護のために、お客様の個人データを使用する必要がある場合
2. 他者の権利を守るために、お客様の個人データを使用する必要がある場合
3. 重要な公共利益に関する理由により、個人データの使用が正当化される場合

この権利は、お客様が当社に連絡し、データの処理を制限するよう求めることで行使できます。

10. データポータビリティの権利

お客様の同意を得た場合、または当社とお客様との間の契約の履行のためにお客様の個人データを処理しており、自動化された処理手段を使用している場合（つまり、紙のファイルを使用していない場合）、お客様は別の組織で使用するために、一般的に使用される形式での個人データの写しを取得する権利を有しています。また、当社から他の組織へお客様の個人データを直接送信するようリクエストすることもできます。

この権利は、お客様の個人データを、その使いやすさを損ねることなく、ある組織の IT システムから他の組織の IT システムへと安全で確実に移動、コピー、転送しやすくするためのものです。

この権利は、お客様が当社に提供する個人データのみに適用されることにご注意ください。つまり、お客様のアカウントまたはプロフィール上の情報、および当社のウェブサイトでのお客様の活動（使用履歴や位置情報といったその他の要因）から得られる可能性のあるデータを含みます。お客様が提供したデータに基づき当社が作成する可能性のある追加データや、匿名化されたデータは含まれません。一部の状況では、お客様のアクセス権の下、お客様に関連する個人データがさらに入手できる場合があります（上記パート 6 参照）。

この権利は、お客様が当社に連絡し、他の組織で使用するためにお客様の個人データの写しを求めるか、その組織へと個人データを転送するよう求めることで行使できます。

11. 反対する権利

お客様の個人データを当社の「正当な利益」に基づき、または公共の利益のために行われる作業を実施する上でお客様の個人データを処理する場合、お客様には、ご自身の個人データを当社が処理することに反対する権利があります。 また、ダイレクトマーケティング目的でお客様の個人データを使用することに対し、当社に反対する絶対的な権利も有しています。

当社がダイレクトマーケティング目的でお客様の個人データを使用することに反対する場合、お客様が反対する権利は絶対的であり、当社がそれを拒否する根拠はありません。

当社がお客様の個人データを当社の「正当な利益」に基づき、または公共の利益のために行われる作業を実施する上でお客様の個人データを使用することに反対する場合は、その権利は絶対的ではないことにご注意ください。この権利を行使するリクエストを申請する際、ご自身の特定の状況に基づく具体的な反対理由を述べる必要があります。当社がお客様の利益、権利、および自由に優先する「やむを得ない正当な理由」を示すことができる場合、または、法的要求の確立、行使、または弁護のために処理が必要な場合、当社はお客様の個人データを引き続き使用することができます。研究目的でお客様の個人データが処理される場合、追加の制限事項が適用されます。

この権利は、お客様が当社に連絡し、関連する目的に対するお客様の個人データの処理に反対する旨を述べ、必要な場合は説明も加えることで行使できます。

12. 自動的な意思決定（プロファイリングを含む）

当社は、当社のプライバシー告知で説明されている通り、お客様の個人データを使用して特定の自動意思決定を実施しています（すなわち、人間が関与せず、自動的な手段のみで意思決定を行います）。

お客様には、その決定事項により法的または「類似する重大な」影響が生じるようなプロファイリングなど、自動的な処理のみに基づく決定事項の対象とならないようにする権利があります。

お客様はこのような方法でなされた決定事項に異議を唱える権利を持ち、以下の行動を起こすことができます。

1. 人間による介入を要求する
2. ご自身の観点を説明する
3. 決定事項に関する当社からの説明を受け、異議を唱える

この権利は、お客様が当社に連絡し、お客様の個人データを使用して自動的な手段のみによりなされた決定事項に関して尋ねたいのか、異議を唱えたいのかを伝え、上記（a、b、もしくは c）のいずれを行いたいかを当社に伝えることで、行使できます。（前段落参照）

13. 権利の行使

データ主体としてご自身の権利を行使するには、データ保護担当者（DPO）宛て（dpo@establishmentlabs.com）にご連絡ください。

• 郵送：Establishment Labs^® S.A., Coyol Free Zone, B15, Alajuela, Costa Rica
• オンラインフォーム：https://establishment-labs.privacy.saymine.io/Motiva
• 電話：+506 2434-2400

権利を行使するために当社にご連絡される際、どの権利を行使したいのかを、上記に示されている通りに説明してください。

14. 承認と回答

当社は、お客様の個人データに関連する権利行使リクエストに対し、常に迅速に回答します。過度に遅れることなくリクエストの受領を承認し、リクエストに対する完全な回答を可能な限り迅速に提供いたします。通常、上記に述べているように、回答はリクエスト受領から 1 暦月以内に提供されます。さらに時間が必要な場合は、遅延が必要な理由を説明するため、初暦月以内にご連絡いたします。

15. 苦情を言う権利

当社によるお客様の個人データの使用に関して、または本方針に基づくお客様の権利行使リクエストの扱いに関して不満がある場合、お客様の地域の監督機関に苦情を申し立てる権利があります。

お客様の懸念を解決する機会は是非とも歓迎いたします。そのため、まずは上記のパート 13 に規定されている詳細情報を使用して、当社にご連絡くださいませ。

16. 本方針への変更

本方針は、時折変更される可能性があります。この変更は、例えば法律が変わった場合や、個人データの保護に影響するような形で当社の事業が変化する場合などに必要となります。また、本方針は少なくとも年に 1 度、定期的に見直されます。

変更点は miafemtech.com/ja にてご確認いただけます。本方針の最終見直し日は 2023 年 2 月 28 日、 最後に更新された日は 2023 年 2 月 28 日です。