GDPRプライバシーポリシー

国立美術館は、適用されるEU及びEU加盟国のデータ保護に関する規制、特にGeneral Data Protection Regulation(以下「GDPR」といいます。)を遵守し、個人情報を取扱います。

このGDPRプライバシーポリシーは、国立美術館のプライバシーポリシーに加えて、特に、GDPRに関する方針を示すためのものです。 このGDPRプライバシーポリシーは、EU加盟国及び欧州経済領域(EEA)の一部であるアイスランド、ノルウェー、リヒテンシュタインに所在する方が、当ウェブサイトの利用を通じて国立美術館に対して個人データを提供する場合に適用されるものとします(この場合の当ウェブサイトの利用者を特に「データ主体」といいます。)。

1.個人データの定義

このGDPRプライバシーポリシーにおいて「個人データ」とは、次のものを指します。

識別された自然人又は識別可能な自然人(「データ主体」)に関する情報を意味する。識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つ又は複数の要素を参照することによって、直接的又は間接的に、識別されうる者をいう。

2.管理者の名称及び住所

名称:独立行政法人国立美術館 国立アートリサーチセンター
住所:東京都千代田区九段北1-13-12 北の丸スクエア2階
問い合わせフォーム

3.データ保護オフィサー(Data Protection Officer : DPO)の氏名及び住所

氏名:室屋 泰三
住所:東京都港区六本木7−22−2
Eメール:dpo@nact.jp

4.個人データの取扱いの目的、法的根拠及び期間

(1) 取扱いの目的

プライバシーポリシー「3.利用目的」に記載のとおりです。

(2) 取扱いの法的根拠

個人データの取扱いの法的根拠は以下のとおりです。

  1. データ主体が、一つ又は複数の特定の目的のために自己の個人データの取扱いに同意を与えた場合。
    ※取扱いが上記①のデータ主体の同意に基づく場合、当該データ主体はこの同意を撤回する権利を有します。
  2. データ主体が当事者となっている契約の履行のために取扱いが必要となる場合、又は契約締結の前にデータ主体の求めに応じて手段を講ずるために取扱いが必要となる場合。
  3. 管理者が服する法的義務を遵守するために取扱いが必要となる場合。
  4. データ主体又は他の自然人の重大な利益を保護するために取扱いが必要となる場合。
  5. 公共の利益又は管理者に与えられた公的権限の行使のために行われる職務の遂行において取扱いが必要となる場合。

(3) 取扱いの期間

国立美術館は、データ主体の個人データを、目的に応じて合理的に必要な期間の経過後、速やかに破棄いたします。

国立美術館が実施し、協力又は共催するイベント等への参加のために収集したデータ主体の個人データは、当該イベント等の終了時まで保管されます。連続したイベント等の場合には、最終回が終了するまで保管します。当該イベント等の終了後は、収集した個人データを合理的な期間内に廃棄又は匿名化し、データ主体を特定できないようにします。但し、データ主体が国立美術館に対して、個人データの取扱いについて別途同意した場合を除きます。

(4) 個人データの共有先

国立美術館は、データ主体の個人データのうちオンライン識別子を、当ウェブサイトのアクセス解析を委託することを目的として第三者と共有することがあります。国立美術館は、当該第三者との間でGDPR28条に準拠したデータ処理契約を締結し、当該第三者にデータセキュリティ及び機密保持の義務を課すことにより、個人データに関するデータ主体の権利を保護します。

(5) 特別な配慮を要する種類の個人データについて

本サービスは、本サービスの利用者から、GDPR9条及び10条に規定されている特別な配慮を要する種類の個人データを収集することはありません。

5.データ主体の権利

GDPRを含む適用プライバシー法令において、データ主体には以下の権利があります。これらの権利を主張するため、データ主体は、国立美術館が指名したデータ保護オフィサー(DPO)に連絡することができます。

(1) アクセス権 (GDPR15条)

データ主体は、管理者によって取扱いが行われている自己に関する個人データへアクセスする権利を有します。

(2) 訂正権(GDPR16条)

データ主体は、自己に関する不正確な個人データを訂正することを管理者に求めることができます。

(3) 消去権(忘れられる権利) (GDPR17条)

データ主体は一定の場合、自己に関する個人データの削除を遅滞なく管理者に求めることができます。

(4) 取扱い制限権 (GDPR18条)

データ主体は、一定の場合に管理者に個人データの取扱いの制限をすることを求めることができます。

(5) データポータビリティ権(GDPR20条)

データ主体は、自己に関する個人データを、管理者から、構造化され、一般的に使用され、機械によって読み取り可能な形式で受け取る権利を有します。また、当該データを、個人データが提供された管理者の妨害なしに、他の管理者に移行する権利があります。

(6) 異議権(GDPR21条)

データ主体は、一定の場合に自己に関する個人データの取扱いに対し、異議を述べる権利を有します。

(7) 監督機関への異議権(GDPR77条)

データ主体は、国立美術館の個人データの取扱いについて、EU加盟国によって設置される監督機関に対して異議を申し立てることができます。

6. プロファイリング等の自動化された意思決定について(GDPR22条)

国立美術館は、データ主体の個人データを取り扱うに際して、GDPR22条に定められるような、プロファイリング等の自動化処理に基づく意思決定の対象とすることはありません。