Tokiとは、Orion Arm Pte. Ltd.または当社の関連会社（以下「当社」といいます）が所有・運営するTokiサービスを指します。当社はお客様のプライバシーを尊重し、お客様から取得した、またはお客様に関して取得したあらゆる情報の安全性を保護することに努めています。本プライバシーポリシーは、シンガポール個人データ保護法（“PDPA”）および欧州連合一般データ保護規則（“GDPR”）に従い、お客様が当社のウェブサイト、アプリケーション、およびサービス（総称して「サービス」）を利用する際に、当社がお客様に関する個人情報を収集する取扱いについて定めるものです。GDPRおよびPDPAはいずれも域外適用されるものとされており、GDPRはEUまたはEEA域内のデータ主体に対してサービスを提供する非EU/EEAのデータ管理者にも適用され、PDPAはシンガポール国内でサービスを提供する非シンガポールのデータ管理者にも適用されます。

1. 当社が収集する個人情報

   当社は、お客様に関する個人情報（「個人情報」）を以下のとおり収集します。

   お客様から提供される個人情報：お客様が当社サービスを利用するためにアカウントを作成する場合、または以下の方法で当社と連絡を取る場合、当社は個人情報を収集します。

   • アカウント情報：お客様が当社でアカウントを作成する際、氏名、連絡先情報、アカウント認証情報（総称して「アカウント情報」）など、アカウントに関連する情報を収集します。

   • ユーザーコンテンツ：お客様が当社サービスを利用する際、当社サービスに対してお客様が提供する入力内容、ファイルのアップロード、またはフィードバック（「コンテンツ」）に含まれる個人情報を収集します。

   • 連絡情報：お客様が当社と連絡を取る場合、当社はお客様の氏名、連絡先情報、およびお客様が送信したメッセージの内容（「連絡情報」）を収集します。

   サービスの利用により自動的に取得する個人情報：お客様がサービスを閲覧、利用、またはサービスとやり取りする際、当社はお客様の閲覧、利用、またはやり取りに関して以下の情報（「技術情報」）を取得します。

   • ログデータ：お客様が当社サービスを利用する際に、ブラウザが自動的に送信する情報です。ログデータには、インターネットプロトコル（IP）アドレス、ブラウザの種類および設定、リクエストの日時、ならびに当社ウェブサイトとのやり取りの方法が含まれます。

   • 利用データ：当社は、サービスの利用に関する情報（閲覧または関与したコンテンツの種類、使用した機能、実行した操作など）に加え、タイムゾーン、国、アクセスの日時、ユーザーエージェントおよびそのバージョン、コンピュータまたはモバイル端末の種類、ならびにネットワーク接続情報等を自動的に収集する場合があります。

   • 端末情報：端末名、オペレーティングシステム、端末識別子、言語およびタイムゾーン設定、ならびに使用しているブラウザ等が含まれます。収集される情報は、お客様が使用する端末の種類およびその設定によって異なる場合があります。

   • Cookie：当社は、サービスの運用・管理およびお客様の体験向上のためにCookieを使用します。「Cookie」とは、お客様が閲覧したウェブサイトからブラウザに送信される情報の一部です。お客様は、ブラウザの設定により、すべてのCookieを受け入れる、すべてのCookieを拒否する、またはCookieが提供されるたびに通知を受けて都度受け入れるかどうか決定することができます。ただし、Cookieを拒否すると、場合によってはウェブサイトの利用ができなくなったり、ウェブサイトまたはその一部の表示や機能に悪影響が生じたりすることがあります。Cookieの詳細については、All About Cookiesをご覧ください。

   • アナリティクス：当社は、Cookieを使用する各種オンライン分析製品を利用し、ユーザーが当社サービスをどのように利用しているかを分析し、サービス利用時の体験を向上させる場合があります。

   • 位置情報：お客様の明示的な許可を得た場合、当社はお客様のおおよその位置情報または正確な位置情報データ（GPSデータや端末ベースの位置情報など）を収集・処理することがあります。この情報は、ローカライズされたリマインダー、時刻調整、天気の更新、状況に応じた提案など、位置情報に基づく機能を有効にするために使用されます。位置情報データの提供は任意であり、お客様は端末の設定からいつでもアクセスを無効にできます。

   • 健康・ウェルネス情報：お客様が提供を選択し、かつ明示的に同意した場合、当社は、サービス内のパーソナライズ機能を支援するために、限定的な健康またはウェルネス関連情報（活動パターン、習慣、ウェルビーイングに関する入力など）を収集することがあります。この情報は、サービスの中核機能を利用するために必須ではなく、お客様はいつでも同意を撤回できます。

   第三者から受領する個人情報：お客様が第三者アカウント（Google、Apple等）を使用して当社サービスに登録またはログインする場合、当社は以下のとおり一定の情報（「第三者情報」）にアクセスできる場合があります。

   • プロフィール情報：当社は、お客様の第三者プロバイダから、氏名、メールアドレス、プロフィール写真、ならびにお客様が第三者サービス上で公開することを選択したその他の情報を含む場合があるプロフィール情報を受領します。

   • 利用データ：当社は、第三者アカウントに関連して、サービスの利用に関する情報（閲覧または関与したコンテンツの種類、使用した機能、実行した操作など）に加え、タイムゾーン、国、言語設定等を自動的に収集する場合があります。当社はこのデータを用いて、サービスを改善し、個別最適化された推奨を提供し、全体的なユーザー体験を向上させます。

2. 個人情報の利用方法

   当社は、以下の目的のために個人情報を利用することがあります。

   • 本サービスを提供、運営、維持および／または分析するため。

   • 本サービスを改善し、調査研究を行うため。

   • お客様と連絡を取るため。

   • 新しいプログラムおよびサービスを開発するため。

   • 詐欺、犯罪行為、または本サービスの不正利用を防止し、当社のITシステム、アーキテクチャおよびネットワークの安全性を保護するため。

   • 事業移転を実施するため。

   • 法的義務および法的手続（規制当局を含みます）を遵守し、当社または当社の関連会社、お客様、またはその他の第三者の権利、プライバシー、安全もしくは財産を保護するため。

   • お客様が明示的に同意した場合に限り、お客様の位置情報または健康関連の入力に基づく、任意のパーソナライズされた状況認識機能を有効化するため。

   集計情報または非識別化情報。 当社は、お客様を識別できないように個人情報を集計または非識別化し、当該情報を本サービスの有効性の分析、本サービスの改善および機能追加、調査研究、その他これらに類する目的のために利用することがあります。さらに、当社は随時、本サービスの利用者の一般的な行動および特性を分析し、一般的なユーザー統計等の集計情報を第三者と共有し、当該集計情報を公表し、または一般に利用可能な状態にすることがあります。当社は、本サービスを通じて、Cookieを通じて、ならびに本プライバシーポリシーに記載されたその他の手段により、集計情報を収集することがあります。当社は、匿名化された形式又は非識別化された形式で非識別化情報を保持および利用し、法律により要求されない限り、当該情報の再識別を試みません。

   お客様の体験を向上させるため。 上記のとおり、当社は、お客様から提供されたコンテンツを、本サービス、製品、マーケティングおよびお客様の体験の改善のために利用することがあります。当社は、Google APIから受領した情報を利用して、お客様のメールおよびカレンダーから関連情報を表示することがあります。Toki がGoogle APIから受領した情報を他のアプリへ利用および移転する場合、Google API Services User Data Policy（限定使用要件を含みます）に従います。

3. 個人情報の開示

   特定の状況において、当社は、法律により要求されない限り、お客様に対する追加の通知なしに、お客様の個人情報を第三者に提供することがあります。

   • ベンダーおよびその他の第三者サービス提供者：当社は、当社のためにまたは当社に代わってサービスを提供し、その業務遂行のために当該情報へのアクセスを必要とする第三者ベンダー、サービス提供者、請負業者または代理人と、お客様のデータを共有することがあります。例として、カレンダー管理、決済処理、データ分析、メール配信、ホスティングサービス、カスタマーサービスおよびマーケティング活動が含まれます。当社は、選定された第三者に対し、本サービス上で追跡技術を使用することを許可する場合があり、これにより、当該第三者は、時間の経過に伴うお客様の本サービスとの関わり方について、当社に代わってデータを収集できるようになります。この情報は、例えば、データの分析および追跡、特定のコンテンツ、ページまたは機能の人気度の判定、オンライン上の活動のより良い理解等のために利用されることがあります。本通知に記載されている場合を除き、当社は、お客様の情報を第三者の販促目的のために共有、販売、貸与または取引しません。

   • 事業移転：当社が、戦略的取引、組織再編、破産、管財、または他の提供者へのサービス移管（総称して「取引」）に関与する場合、お客様の個人情報およびその他の情報は、相手方および取引を支援するその他の者とのデューデリジェンス過程で開示され、また、その他の資産とともに当該取引の一部として後継者または関連会社に移転されることがあります。

   • 法的要件：当社は、(i) 法律により要求される場合、または当該行為が法的義務を遵守するために必要であると誠実に信じる場合、(ii) 当社の権利または財産を保護し防御するため、(iii) 当社の単独の裁量により、当社の規約、方針または法律の違反があると判断した場合、(iv) 詐欺またはその他の違法行為を検知または防止するため、(v) 当社の製品、従業員もしくは利用者、または一般公衆の安全、セキュリティおよび完全性を保護するため、または (vi) 法的責任から保護するため、政府当局、業界の同業者、またはその他の第三者と、お客様の個人情報（本サービスとのお客様のやり取りに関する情報を含みます）を共有することがあります。

   • 関連会社：当社は、Toki を支配する、Toki に支配される、または Toki と共通の支配下にある事業体を意味する当社の関連会社に対し、個人情報を開示することがあります。当社の関連会社は、当社が共有する個人情報を、本プライバシーポリシーと整合する方法で利用することがあります。

   機微な個人データ。 適用されるデータ保護法の下で、正確な位置情報データや健康関連情報などの特定の種類のデータは、機微な情報とみなされる場合があります。当社は、お客様の明示的な同意がある場合に限り、かつ本サービス内の特定の機能を有効にする目的にのみ、そのようなデータを収集および処理します。Tokiの中核機能を利用するために、お客様は当該情報を提供する必要はありません。お客様は、端末の設定またはアプリケーション内でいつでも同意を撤回することができます。同意が撤回された場合、当社は以後当該データの処理を停止します。

4. Reliance on the Legitimate Interests Exception

   (a) Adhering to the guidelines outlined in the PDPA and GDPR, Toki reserves the right to gather, utilise, or reveal your personal information in specific cases without explicit consent, based on the legitimate interests of either Toki or another party. This entails a meticulous assessment by Toki to ascertain that any potential adverse impacts on individuals are thoroughly considered against the prevailing legitimate interests.

   (b) In alignment with the legitimate interests' exception, your personal data may be utilised for the following objectives:

   • i. Identification and mitigation of fraudulent activities;

   • ii. Detection and prevention of service misuse;

   • iii. Implementation of network analysis to deter fraud and financial misconduct, as well as to conduct credit assessments;

   • iv. Acquisition and utilization of personal data on company-provided devices to forestall data breaches;

   • v. Ensuring service provision to customers;

   • vi. Meeting legal requirements, such as anti-money laundering and anti-terrorism measures;

   • vii. Understanding and enhancing customer experiences;

   • viii. Recruiting and retaining suitable staff; and

   • ix. Safeguarding systems, premises, and preventing cyber threats.

   The aforementioned purposes retain their applicability even in scenarios where your association with us, such as contractual agreements, has ceased or undergone alterations, for a reasonable duration thereafter.

5. Your rights

   Depending on location, individuals in the EEA, the UK, Singapore and across the globe may have certain statutory rights in relation to their Personal Information. For example, you may have the right to:

   • Access and rectify your Personal Information —

     • i. To request access to or corrections of your personal data, please contact dpo@orionarm.ai via email using the provided contact details.
     • ii. Any applicable fees for access requests will be communicated to you prior to processing.
     • iii. We aim to respond as soon as reasonably possible. If unable to do so within thirty (30) days, we'll notify you in writing. If we can't fulfill your request, we'll generally provide reasons, unless not required under the PDPA and GDPR.

   • Delete your Personal Information from our records when —

     • i. The data is no longer necessary.
     • ii. You have withdrawn your consent for data usage with no other valid reason to continue.
     • iii. Your data has been processed unlawfully.
     • iv. Required erasure to comply with legal obligations.
     • v. You object to processing, with no overriding legitimate grounds.

   • Transfer your Personal Information to a third party (right to data portability).

   • Restrict how we process your Personal Information.

   • Withdraw your consent—

     • i. Your consent for us to collect, use, and disclose your personal data remains effective until you revoke it in writing. You can withdraw consent by contacting dpo@orionarm.ai via email.
     • ii. After receiving your written withdrawal request, we'll process it within a reasonable period of time.
     • iii. Please note that withdrawing consent may impact our ability to provide goods or services to you. We will notify you before making any changes.
     • iv. Withdrawal of consent doesn't affect our legal rights to collect, use, and disclose personal data when permitted or required by law.

   • Object to how we process your Personal Information.

   • Lodge a complaint with your local data protection authority. You can exercise some of these rights through your Toki account. If you are unable to exercise your rights through your account, please send your request to dpo@orionarm.ai. In order to protect your Personal Information from unauthorized access, change, or deletion, we may require you to verify your credentials before you can submit a request to know, correct, or delete Personal Information. If you do not have an account with us, or if we suspect fraudulent or malicious activity, we may ask you to provide additional Personal Information and proof of residency for verification. If we cannot verify your identity, we will not be able to honour your request.

6. Protection of Personal Data

   We employ various measures to protect your personal data from unauthorised access or misuse. These include limited data collection, password protection, encryption, antivirus software, regular updates, secure disposal of storage media, web security protocols, and additional authentication methods like one-time passwords or multi-factor authentication. While we continuously review and enhance our security measures, please note that no method of data transmission or storage is entirely foolproof.

   We do not use your Personal Information or user data for AI training.

7. International transfers of data

   Your personal data is stored and processed on servers located in the United States, specifically in the Commonwealth of Virginia.

   As a result, your data may be transferred to and processed in the United States and other jurisdictions where our service providers operate. These jurisdictions may have data protection laws that differ from those in your country of residence.

   We take appropriate measures to ensure that any international transfer of personal data is conducted in compliance with applicable data protection laws, including the Singapore Personal Data Protection Act (PDPA) and, where applicable, the General Data Protection Regulation (GDPR). Such measures may include contractual safeguards, data protection agreements with service providers, and the implementation of appropriate technical and organizational security controls.

   We take reasonable steps to ensure that your personal data remains protected and is handled in accordance with this Privacy Policy.

8. Children

   The Services are intended for a general user. If a minor is to use our Services and provides Personal Information, the minor must do so with the consent of his/her guardian. You represent and warrant that you have the right capacity and legal capacity required for using our Services. If you are a minor, you represent and warrant that you are using our Services with the consent of your guardian. We have voluntarily imposed age restrictions on certain Services in cases where we are unable to confirm that you are of a certain age. We understand the special necessity to protect the Personal Information collected from minors in the U.S., Europe, or Thailand (under the age of 13 in the U.S., under the age of 16 in Europe, and under the age of 11 in Thailand) using our Services, and we do not knowingly collect any Personal Information from minors.

   If, however, you believe that we have collected Personal Information from minors of the aforementioned countries or regions, then please email us at dpo@orionarm.ai. If we learn that we have inadvertently collected Personal Information from minors of the aforementioned countries or regions, we will deactivate the relevant account(s) and will take reasonable measures to promptly delete such Personal Information from our records.

9. Links to other websites

   The Service may contain links to other websites not operated or controlled by Toki, including social media services (“Third Party Sites”). The information that you share with Third Party Sites will be governed by the specific privacy policies and terms of service of the Third Party Sites and not by this Privacy Policy. By providing these links we do not imply that we endorse or have reviewed these sites. Please contact the Third Party Sites directly for information on their privacy practices and policies.

10. Security and Retention

    We implement commercially reasonable technical, administrative, and organizational measures to protect Personal Information both online and offline from loss, misuse, and unauthorised access, disclosure, alteration, or destruction. However, no Internet or email transmission is ever fully secure or error free. In particular, email sent to or from us may not be secure. Therefore, you should take special care in deciding what information you send to us via the Service or email. In addition, we are not responsible for circumvention of any privacy settings or security measures contained on the Service, or third-party websites.

    We’ll retain your Personal Information for only as long as we need in order to provide our Service to you, or for other legitimate business purposes such as resolving disputes, safety and security reasons, or complying with our legal obligations. How long we retain Personal Information will depend on a number of factors, such as the amount, nature, and sensitivity of the information, the potential risk of harm from unauthorized use or disclosure, our purpose for processing the information, and any legal requirements.

11. Changes to privacy policy

    We may update this Policy from time to time. When we do, we will post an updated version on this page, unless another type of notice is required by applicable law. If you do not agree to any of the changes and you no longer wish to use our Services, you may choose to close your Account. Continuing to use our Services after a notice of changes has been notified to you or published on our Services constitutes your acceptance of the changes and consent to the modified version of this Policy. We will seek your consent when required under Applicable Laws.

12. Contact Us

    If you have any questions or suggestions about our Privacy Policy, do not hesitate to contact us at dpo@orionarm.ai.

    EU & UK Representatives

    Our EU Representative: Under Article 27 of the GDPR, we have appointed an EU Representative to act as our data protection agent. Our nominated EU Representative is: Instant EU GDPR Representative Ltd. Adam Brogden contact@gdprlocal.com Tel +35315549700 INSTANT EU GDPR REPRESENTATIVE LTD Office 2, 12A Lower Main Street, Lucan Co. Dublin K78 X5P8 Ireland

    Our UK Representative: Under Article 27 of the UK Data Privacy Act, we have appointed a UK Representative to act as our data protection agent. Our nominated UK Representative is: GDPR Local Ltd. Adam Brogden contact@gdprlocal.com Tel +44 1772 217800 1st Floor Front Suite 27-29 North Street, Brighton England

13. Acknowledgement and consent

    By visiting our website, accessing or using any of our products, services, information, content, features or premises, you acknowledge that you have read and understood this Privacy Policy and you accept the practices and terms as set out in this Privacy Policy.

    For the purpose of complying with applicable data protection laws, the PDPA and GDPR, you also provide your consent for us to collect, use, disclose, share and otherwise process your personal data in accordance with this Privacy Policy.