GDPR への考え方

LINK-V が、当社の製品およびクライアント案件の中で個人データをどのように扱うか。TimelessGrace MailCustom の仕事を形作る原則です。

最終更新日:2026年1月1日

このページでは、LINK-V が当社の製品および案件、つまり Grace MailTimelessCustom 案件の中で個人データを扱う際に、GDPR にどのように向き合うかを説明します。このページは、契約書またはデータ処理契約が締結されている場合のデータ処理条件を補足するものであり、それらに置き換わるものではありません。

link-v.pro のサイト自体が訪問者データをどのように扱うかについては、当社の プライバシーポリシー をご覧ください。

1. 役割

LINK-V が管理者、処理者、またはそのどちらでもないかは、製品によって異なります:

  • Grace Mail Managed: LINK-V は処理者です。クライアントは自分たちのメールデータの管理者です。LINK-V はインフラを運用しますが、データはクライアントに属します。
  • Grace Mail Self-hosted: LINK-V は管理者でも処理者でもありません。クライアントが自分たちのインフラ上でソフトウェアを運用します。LINK-V はソフトウェア提供者であり、データ処理者ではありません。
  • Timeless: LINK-V は通常、クライアントサイトのデータについて処理者です。これには、クライアントが公開するコンテンツ、およびサイトが処理する訪問者データが含まれます。クライアントは自分たちのサイトデータの管理者であり続けます。
  • Custom 案件: LINK-V は開発中の処理者であり、継続保守が契約されている場合は運用中も処理者です。具体的な役割は、各案件の契約で定義されます。

2. 初期設定では EU ベース

本番インフラは初期設定では EU 内で稼働します。ホスティング、メールサーバー、運用システムは EU の法域内に置かれます。クライアント案件が明確に別地域でのホスティングを求める場合、たとえば米国ユーザーを持つ米国企業の場合は、適切な地域にデプロイします。データ所在地は案件ごとに文書化されます。

3. 当社が行わないこと

すべての製品および案件において:

  • 当社は、契約されたサービスの提供と関係のない広告、マーケティング、または商業目的のために、個人データを第三者へ販売、貸与、共有しません。
  • 当社は、Grace Mail を通じて処理されるメールボックスの内容を含め、クライアントデータで AI モデルを訓練しません。
  • 当社は、広告プロフィール、行動ターゲティング、商業的レコメンドのためにメッセージ内容をスキャンしません。
  • 当社は、運用上および法律上必要な範囲を超えてデータを保持しません。

4. セキュリティ

LINK-V インフラで扱われる個人データは、標準的な技術的および組織的対策によって保護されます。すべての接続に対する TLS 暗号化、適用可能な場合の AES-256 による保存時のディスク暗号化、暗号化されたバックアップ、運用上必要な範囲に制限されたアクセス制御、継続的なセキュリティ監視です。個別案件の具体的なセキュリティ設定は契約書に文書化されます。

5. 復処理者

LINK-V がサービス提供のために第三者プロバイダーを使用する場合、たとえばインフラのホスティングでは、当社は、そのプロバイダー自身の GDPR 対応姿勢が確かであり、データ処理条件が受け入れ可能な相手とのみ協力します。特定案件で使用される現在の復処理者一覧は、クライアントの請求に応じて提供され、データ処理契約が締結されている場合はそこに開示されます。

6. データ主体からの請求

LINK-V が処理者である場合、データ主体、つまり処理されているデータの本人からの請求は、管理者、通常は当社のクライアントが扱います。当社は、運用するシステム内で、データのエクスポート、削除、制限、訂正を可能にする技術的手段を提供し、クライアントによる対応を支援します。

データ主体が、クライアントの代理で処理されているデータについて LINK-V に直接連絡した場合、当社はその請求を適切な管理者に転送し、データ主体にもその旨を通知します。

7. 保持と削除

保持期間は契約条件および適用法に従います:

  • アクティブなクライアントは、サブスクリプションまたは案件が有効である間、運用データを保持します。
  • 終了時には、標準的で機械可読な形式でデータエクスポートを提供します。当社はクライアントデータを人質にしません。
  • 終了後、契約で定義された期間に従ってデータを削除または匿名化します。ただし、法定保存義務、たとえばチェコ税法上の会計記録などがある場合はそれに従います。

8. インシデント対応

当社はインフラ全体で監視を維持しています。クライアントデータに影響する個人データ侵害が確認された場合、当社は不当な遅延なく、通常はインシデント確認から 24 時間以内に、影響を受ける管理者へ通知し、初期評価と是正手順を共有します。必要な場合、管理者が GDPR 第33条に基づく通知義務を果たせるよう支援します。

9. 国際移転

初期設定では、個人データは EU 内に留まります。クライアントの請求、または特定の復処理者関係によって国際移転が発生する場合、それは適切な法的仕組み、たとえば標準契約条項またはその他の GDPR 準拠の保護措置に基づきます。移転の取り決めは案件ごとに文書化されます。

10. データ処理契約

LINK-V が処理者として行動するクライアント案件では、データ処理契約が具体的な処理条件を定義します。これには、データカテゴリー、処理目的、復処理者、セキュリティ対策、GDPR に基づく各当事者の義務が含まれます。データ処理契約は、請求に応じて案件契約の一部として交渉され、署名されます。

11. 変更

当社は、製品、プロセス、または適用法の変更を反映するために、このページを随時更新することがあります。上部の「最終更新日」は、このページが最後に改訂された日を示します。

12. 連絡先

LINK-V の製品および案件に関する GDPR 関連の質問は、privacy@link-v.pro までお問い合わせください。

サイト固有のプライバシーに関する質問については、当社の プライバシーポリシー をご覧ください。