Datenschutzrichtlinie

Bei dieser Datenschutzrichtlinie handelt es sich um eine Richtlinie zum Schutz wichtiger personenbezogener Daten und der Rechte der Benutzer der von Bioantibody Biotechnology Co., Ltd. (im Folgenden das „Unternehmen“) bereitgestellten Dienste sowie zur angemessenen Behandlung von Problemen des Benutzers in Bezug auf personenbezogene Daten.Diese Datenschutzrichtlinie gilt für den Nutzer der vom Unternehmen bereitgestellten Dienste.Das Unternehmen erhebt, nutzt und stellt personenbezogene Daten mit der Einwilligung des Nutzers und in Übereinstimmung mit den einschlägigen Gesetzen zur Verfügung.

1. Erhebung personenbezogener Daten

① Das Unternehmen erhebt nur die für die Erbringung der Dienste erforderlichen personenbezogenen Daten im Mindestmaß.

② Das Unternehmen verarbeitet die wesentlichen Informationen, die für die Bereitstellung der Dienste erforderlich sind, auf der Grundlage der Zustimmung des Benutzers.

③ Das ​​Unternehmen kann personenbezogene Daten sammeln, ohne die Zustimmung des Benutzers zur Erhebung und Nutzung personenbezogener Daten einzuholen, wenn eine besondere gesetzliche Bestimmung vorliegt oder das Unternehmen dies tun muss, um bestimmten gesetzlichen Verpflichtungen nachzukommen.

④ Das Unternehmen verarbeitet personenbezogene Daten während des Zeitraums der Speicherung und Nutzung personenbezogener Daten, wie in den einschlägigen Gesetzen festgelegt, oder während des Zeitraums der Speicherung und Nutzung personenbezogener Daten, wie vom Benutzer vereinbart, wenn personenbezogene Daten von diesem Benutzer erfasst werden gemacht.Das Unternehmen vernichtet diese personenbezogenen Daten unverzüglich, wenn der Nutzer den Austritt aus der Mitgliedschaft beantragt, die Einwilligung zur Erhebung und Nutzung personenbezogener Daten widerruft, der Zweck der Erhebung und Nutzung erfüllt ist oder die Aufbewahrungsfrist endet.

⑤ Die Arten personenbezogener Daten, die das Unternehmen während des Mitgliedschaftsregistrierungsprozesses vom Benutzer erfasst, sowie der Zweck der Erfassung und Verwendung dieser Informationen sind folgende:

- Obligatorische Informationen: Name, Adresse, Geschlecht, Geburtsdatum, E-Mail-Adresse, Mobiltelefonnummer und verschlüsselte Informationen zur Identitätsprüfung

- Zweck der Erhebung/Nutzung: Verhinderung des Missbrauchs der Dienste sowie Bearbeitung von Beschwerden und Beilegung von Streitigkeiten.

- Dauer der Aufbewahrung und Nutzung: unverzüglich vernichten, wenn der Zweck der Erhebung/Nutzung infolge des Austritts der Mitgliedschaft, der Beendigung des Nutzungsvertrags oder aus anderen Gründen erfüllt ist (sofern dies jedoch auf bestimmte erforderliche Informationen beschränkt ist). gemäß einschlägigen Gesetzen aufbewahrt werden (diese werden für einen bestimmten Zeitraum aufbewahrt).

2. Zweck der Nutzung personenbezogener Daten

Die vom Unternehmen erfassten personenbezogenen Daten werden ausschließlich für die folgenden Zwecke erfasst und verwendet.Persönliche Daten werden zu keinem anderen Zweck als den folgenden verwendet.Sollte sich jedoch der Verwendungszweck ändern, wird das Unternehmen erforderliche Maßnahmen ergreifen, wie zum Beispiel die gesonderte vorherige Einholung der Einwilligung des Nutzers.

① Bereitstellung der Dienste, Wartung und Verbesserung der Dienste, Bereitstellung neuer Dienste und Bereitstellung einer sicheren Umgebung für die Nutzung der Dienste.

② Verhinderung von Missbrauch, Verhinderung von Verstößen gegen das Gesetz und die Nutzungsbedingungen, Beratung und Bearbeitung von Streitigkeiten im Zusammenhang mit der Nutzung der Dienste, Aufbewahrung von Aufzeichnungen zur Beilegung von Streitigkeiten und individuelle Benachrichtigung der Mitglieder.

③ Bereitstellung maßgeschneiderter Dienste durch Analyse der statistischen Daten der Nutzung der Dienste, der Zugriffs-/Nutzungsprotokolle der Dienste und anderer Informationen.

④ Bereitstellung von Marketinginformationen, Teilnahmemöglichkeiten und Werbeinformationen.

3. Angelegenheiten im Zusammenhang mit der Bereitstellung personenbezogener Daten an Dritte

Das Unternehmen gibt die personenbezogenen Daten der Nutzer grundsätzlich nicht an Dritte weiter und gibt diese auch nicht nach außen weiter.Ausnahmen bilden jedoch folgende Fälle:

- Der Nutzer hat einer solchen Bereitstellung personenbezogener Daten für die Nutzung der Dienste im Voraus zugestimmt.

- Wenn eine gesetzliche Sonderregelung vorliegt oder eine solche zur Erfüllung der gesetzlichen Pflichten unumgänglich ist.

- Wenn die Umstände eine vorherige Einholung der Einwilligung des Nutzers nicht zulassen, es jedoch anerkannt wird, dass ein Risiko für das Leben oder die Sicherheit des Nutzers oder eines Dritten unmittelbar bevorsteht und die Bereitstellung personenbezogener Daten zur Lösung erforderlich ist solche Risiken.

4. Übermittlung personenbezogener Daten

① Unter der Beauftragung der Verarbeitung personenbezogener Daten versteht man die Übergabe personenbezogener Daten an einen externen Empfänger zur Bearbeitung der Arbeit der Person, die die personenbezogenen Daten bereitstellt.Auch nach der Übermittlung der personenbezogenen Daten trägt der Absender (die Person, die die personenbezogenen Daten bereitgestellt hat) die Verantwortung für die Verwaltung und Überwachung des Empfängers.

② Das Unternehmen kann die sensiblen Informationen des Benutzers für die Generierung und Bereitstellung von QR-Code-Diensten auf der Grundlage von COVID-19-Testergebnissen verarbeiten und übermitteln. In diesem Fall werden die Informationen zu dieser Übermittlung vom Unternehmen unverzüglich im Rahmen dieser Datenschutzrichtlinie offengelegt .

5. Bestimmungskriterien für die zusätzliche Nutzung und Bereitstellung personenbezogener Daten

Für den Fall, dass das Unternehmen personenbezogene Daten ohne Zustimmung der betroffenen Person verwendet oder bereitstellt, entscheidet der Datenschutzbeauftragte anhand der folgenden Kriterien, ob eine zusätzliche Nutzung oder Bereitstellung personenbezogener Daten erfolgt:

- Ob es mit dem ursprünglichen Zweck der Erhebung zusammenhängt: Die Feststellung erfolgt auf der Grundlage, ob der ursprüngliche Zweck der Erhebung und der Zweck der zusätzlichen Nutzung und Bereitstellung personenbezogener Daten hinsichtlich ihrer Art oder Tendenz miteinander in Zusammenhang stehen.

- Ob es möglich war, eine zusätzliche Nutzung oder Bereitstellung personenbezogener Daten anhand der Umstände, unter denen personenbezogene Daten erfasst wurden, oder der Verarbeitungspraktiken vorherzusagen: Die Vorhersehbarkeit wird anhand der Umstände gemäß den relativ spezifischen Situationen wie dem Zweck und Inhalt personenbezogener Daten bestimmt Informationssammlung, die Beziehung zwischen dem Verantwortlichen für die Verarbeitung personenbezogener Daten und der betroffenen Person sowie dem aktuellen Stand der Technik und der Geschwindigkeit der Entwicklung der Technologie oder den allgemeinen Umständen, unter denen die Verarbeitung personenbezogener Daten über einen relativ langen Zeitraum erfolgte Zeit.

- Ob die Interessen der Informationssubjekte ungerechtfertigt verletzt werden: Dies wird anhand der Frage bestimmt, ob der Zweck und die Absicht der zusätzlichen Nutzung der Informationen die Interessen der Informationssubjekte verletzen und ob der Verstoß ungerechtfertigt ist.

- Ob erforderliche Maßnahmen zur Gewährleistung der Sicherheit durch Pseudonymisierung oder Verschlüsselung ergriffen wurden: Dies wird auf der Grundlage der vom Personal Information Protection Committee veröffentlichten „Richtlinie zum Schutz personenbezogener Daten“ und „Richtlinie zur Verschlüsselung personenbezogener Daten“ ermittelt.

6. Rechte der Nutzer und Methoden zur Ausübung der Rechte

Als Betroffener der personenbezogenen Daten kann der Benutzer die folgenden Rechte ausüben.

① Der Benutzer kann sein Recht auf Zugriff, Berichtigung, Löschung oder Aussetzung der Verarbeitung der persönlichen Daten des Benutzers jederzeit durch eine schriftliche Anfrage, eine E-Mail-Anfrage oder auf andere Weise an das Unternehmen ausüben.Der Nutzer kann diese Rechte durch seinen gesetzlichen Vertreter oder eine bevollmächtigte Person ausüben.In solchen Fällen muss eine gültige Vollmacht nach den einschlägigen Gesetzen vorgelegt werden.

② Wenn der Benutzer die Korrektur eines Fehlers in personenbezogenen Daten oder die Aussetzung der Verarbeitung personenbezogener Daten beantragt, wird das Unternehmen die betreffenden personenbezogenen Daten nicht verwenden oder bereitstellen, bis die Korrekturen vorgenommen wurden oder der Antrag auf Aussetzung der Verarbeitung personenbezogener Daten gestellt wurde zurückgezogen.Wurden bereits unrichtige personenbezogene Daten an einen Dritten weitergegeben, wird das Ergebnis der vorgenommenen Korrektur dem Dritten unverzüglich mitgeteilt.

③ Die Ausübung der Rechte gemäß diesem Artikel kann durch Gesetze im Zusammenhang mit personenbezogenen Daten und andere Gesetze und Vorschriften eingeschränkt werden.

④ Der Benutzer darf die vom Unternehmen verwalteten persönlichen Daten und die Privatsphäre des Benutzers oder einer anderen Person nicht durch Verstöße gegen entsprechende Gesetze wie das Gesetz zum Schutz personenbezogener Daten verletzen.

⑤ Das Unternehmen prüft, ob die Person, die den Antrag auf Zugang zu Informationen, Berichtigung oder Löschung von Informationen oder Aussetzung der Informationsverarbeitung gemäß den Rechten des Benutzers gestellt hat, der Benutzer selbst oder der rechtmäßige Vertreter dieses Benutzers ist.

7. Ausübung der Rechte durch Benutzer, die Kinder unter 14 Jahren sind, und deren gesetzliche Vertreter

① Das Unternehmen benötigt die Zustimmung des gesetzlichen Vertreters des minderjährigen Nutzers, um personenbezogene Daten des minderjährigen Nutzers zu sammeln, zu verwenden und bereitzustellen.

② In Übereinstimmung mit den Gesetzen zum Schutz personenbezogener Daten und dieser Datenschutzrichtlinie können ein minderjähriger Benutzer und sein/ihr gesetzlicher Vertreter erforderliche Maßnahmen zum Schutz personenbezogener Daten verlangen, z. B. die Anforderung des Zugriffs, der Korrektur und der Löschung des Kindes personenbezogene Daten des Benutzers, und das Unternehmen wird auf solche Anfragen unverzüglich reagieren.

8. Vernichtung und Aufbewahrung personenbezogener Daten

① Das Unternehmen wird die personenbezogenen Daten des Nutzers grundsätzlich unverzüglich vernichten, wenn der Zweck der Verarbeitung dieser Daten erfüllt ist.

② Elektronische Dateien werden sicher gelöscht, sodass sie nicht wiederhergestellt oder wiederhergestellt werden können. In Bezug auf auf Papier aufgezeichnete oder gespeicherte persönliche Informationen wie Aufzeichnungen, Veröffentlichungen, Dokumente und andere wird das Unternehmen diese Materialien durch Schreddern oder Verbrennen vernichten.

③ Die Arten personenbezogener Daten, die für einen bestimmten Zeitraum aufbewahrt und anschließend gemäß den internen Richtlinien vernichtet werden, sind nachstehend aufgeführt.

④ Um einen Missbrauch der Dienste zu verhindern und Schäden für den Nutzer durch Identitätsdiebstahl zu minimieren, kann das Unternehmen die zur persönlichen Identifizierung erforderlichen Informationen bis zu 1 Jahr nach dem Austritt aus der Mitgliedschaft aufbewahren.

⑤ Falls die entsprechenden Gesetze eine bestimmte Aufbewahrungsfrist für personenbezogene Daten vorschreiben, werden die betreffenden personenbezogenen Daten für die gesetzlich vorgeschriebene Frist sicher gespeichert.

[Das Gesetz zum Verbraucherschutz im elektronischen Geschäftsverkehr usw.]

- Aufzeichnungen über Vertrags- oder Abonnementsrücktritt usw.: 5 Jahre

- Aufzeichnungen über Zahlungen, Bereitstellung von Waren usw.: 5 Jahre

- Aufzeichnungen über Kundenbeschwerden oder Streitbeilegung: 3 Jahre

- Aufzeichnungen über Etikettierung/Werbung: 6 Monate

[Gesetz über elektronische Finanztransaktionen]

- Aufzeichnungen über elektronische Finanztransaktionen: 5 Jahre

[Rahmengesetz über nationale Steuern]

- Alle Bücher und Beweismaterialien zu steuerrechtlich vorgeschriebenen Transaktionen: 5 Jahre

[Gesetz zum Schutz von Kommunikationsgeheimnissen]

- Aufzeichnungen über den Zugriff auf Dienste: 3 Monate

[Gesetz zur Förderung der Nutzung von Informations- und Kommunikationsnetzen und zum Informationsschutz usw.]

- Aufzeichnungen zur Benutzeridentifikation: 6 Monate

9. Änderungen der Datenschutzrichtlinie

Diese Datenschutzrichtlinie des Unternehmens kann in Übereinstimmung mit den entsprechenden Gesetzen und internen Richtlinien geändert werden.Im Falle einer Änderung dieser Datenschutzrichtlinie, beispielsweise einer Ergänzung, Änderung, Löschung oder anderer Änderungen, wird das Unternehmen 7 Tage vor dem Datum des Inkrafttretens einer solchen Änderung auf der Serviceseite, der Verbindungsseite, dem Popup-Fenster oder über benachrichtigen andere Mittel.Bei gravierenden Änderungen der Rechte des Nutzers wird das Unternehmen jedoch 30 Tage vor dem Inkrafttreten eine Mitteilung machen.

10. Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten

Das Unternehmen ergreift die folgenden technischen/administrativen und physischen Maßnahmen, die erforderlich sind, um die Sicherheit personenbezogener Daten gemäß den einschlägigen Gesetzen zu gewährleisten.

[Verwaltungsmaßnahmen]

① Minimierung der Anzahl der Mitarbeiter, die personenbezogene Daten verarbeiten, und Schulung dieser Mitarbeiter

Es wurden Maßnahmen zur Verwaltung personenbezogener Daten umgesetzt, wie z. B. die Minimierung der Anzahl der Manager, die personenbezogene Daten verarbeiten, die Bereitstellung eines separaten Passworts für den Zugriff auf personenbezogene Daten nur für den erforderlichen Manager und die regelmäßige Erneuerung dieses Passworts sowie die Betonung der Einhaltung der Datenschutzrichtlinie des Unternehmens durch regelmäßige Schulungen der verantwortlichen Mitarbeiter.

② Erstellung und Umsetzung des internen Managementplans

Für die sichere Verarbeitung personenbezogener Daten wurde ein interner Managementplan erstellt und umgesetzt.

[Technische Maßnahmen]

Technische Maßnahmen gegen Hacking

Um zu verhindern, dass personenbezogene Daten durch Hackerangriffe, Computerviren usw. verloren gehen oder beschädigt werden, hat das Unternehmen Sicherheitsprogramme installiert, führt regelmäßig Aktualisierungen/Inspektionen durch und führt häufig Datensicherungen durch.

Verwendung eines Firewall-Systems

Das Unternehmen kontrolliert den unbefugten externen Zugriff durch die Installation eines Firewall-Systems in Bereichen, in denen der externe Zugriff eingeschränkt ist.Das Unternehmen überwacht und schränkt diesen unbefugten Zugriff mit technischen/physischen Mitteln ein.

Verschlüsselung personenbezogener Daten

Das Unternehmen speichert und verwaltet wichtige persönliche Informationen der Benutzer durch Verschlüsselung dieser Informationen und nutzt separate Sicherheitsfunktionen wie die Verschlüsselung von Dateien und übertragenen Daten oder die Verwendung von Dateisperrfunktionen.

Aufbewahrung von Zugangsdaten und Verhinderung von Fälschungen/Änderungen

Das Unternehmen speichert und verwaltet die Zugriffsaufzeichnungen des Systems zur Verarbeitung personenbezogener Daten mindestens 6 Monate lang.Das Unternehmen setzt Sicherheitsmaßnahmen ein, um zu verhindern, dass die Zugangsdaten gefälscht, verändert, verloren gehen oder gestohlen werden.

[Physikalische Maßnahmen]

① Beschränkungen des Zugriffs auf personenbezogene Daten

Das Unternehmen ergreift die notwendigen Maßnahmen, um den Zugriff auf personenbezogene Daten zu kontrollieren, indem es Zugriffsrechte auf das Datenbanksystem, das personenbezogene Daten verarbeitet, gewährt, ändert und beendet.Das Unternehmen nutzt physisch ein Intrusion-Prevention-System, um unbefugten Zugriff von außen einzuschränken.

Nachtrag

Diese Datenschutzrichtlinie tritt am 12. Mai 2022 in Kraft.