序文
当社の「企業データ保護方針」は、顧客、見込み客、ビジネスパートナー、および従業員に関する個人データを処理するための厳格な要件を定めています。この方針は、欧州データ保護指令(GDPR)の要件を満たし、国内および国際的なデータ保護法の原則を確実に遵守するものです。
このポリシーは、当社に適用されるデータ保護およびセキュリティの基準を定め、当社のグループ会社間での情報共有を規制するものです。私たちは、透明性、データ経済性、データセキュリティなど、7つのデータ保護原則をガイドラインとして定めています。
当社のマネージャーおよび従業員は、本ポリシーを遵守し、各地域のデータ保護法を遵守する義務があります。
企業データ保護の責任者として、Dents のデータ保護のルールと原則を確実に守ることが私の義務です。
ロバート・イェントブ
会長
23/5/18
コンテンツ
I.データ保護方針の目的
II.データ保護方針の範囲
III.国内法の適用
IV.個人データの処理に関する原則
1.公平性と適法性
2.特定目的のための制限
3.透明性
4.データ削減とデータエコノミー
5.削除
6.事実の正確さ、最新のデータ
7.機密保持とデータセキュリティ
V.データ処理の信頼性
1.お客様とパートナーのデータ
1.1 契約上の関係のためのデータ処理
1.2 広告目的のデータ処理
1.3 データ処理に対する同意
1.4 法的権限に基づくデータ処理
1.5 正当な利益に基づくデータ処理
1.6 機密性の高いデータの処理
1.7 個別判断の自動化
1.8 ユーザーデータとインターネット
2.社員データ
2.1 雇用関係のためのデータ処理
2.2 法的権限に基づくデータ処理
2.3 データ処理に対する同意
2.4 正当な利益に基づくデータ処理
2.5 機密性の高いデータの処理
2.6 自動決定
2.7 通信・インターネット
VI.個人データの送信
VII.契約データの処理
VIII.データ対象者の権利
IX.処理の機密性
X.セキュリティの処理
XI.データ保護管理
XII.データ保護インシデント
XIII.責任と制裁
- I. データ保護方針の目的
デューハースト・デント・グループ (以下、当グループ) は、その社会的責任の一環として、データ保護法の遵守に取り組んでいます。このデータ保護方針は、全世界のグループ に適用され、データ保護に関する世界的に認められた基本原則に基づいています。データ保護を確実に行うことは、信頼できるビジネス関係の基礎であり、魅力的な雇用主としてグループのすべての企業が評価されることになります。
データ保護方針は、国境を越えたビジネス展開に必要なフレームワーク条件のひとつです。
グループ会社間でのデータ転送これにより、適切なレベルのデータ保護が確保されます。
GDPRおよび国境を越えたデータ送信に関する国内法で規定されており、まだ十分なデータ保護法がない国も含みます。
- II. データ保護方針の範囲
このデータ保護方針は、デンツ、ギャビー、デンツ・オーストラリア・ピーティーイー、コーギー・ホシエリ・リミテッド、D.Charles Astle(Auctioneers)、ハーシル・ファブリックスなど、グループのすべての会社および部門に適用されます。
データ保護方針は、個人データのすべての処理に適用されます。
- III.です。 国内法の適用
このデータ保護方針は、国際的に認められたデータ・プライバシーの原則を構成しています。
既存の国内法に代わるものではありません。国内のデータプライバシー法を補完するものです。のです。
関連する国内法が本データ保護方針と抵触する場合は、その法律が優先されます。
または本ポリシーよりも厳しい要件を有しています。本データ保護方針の内容
また、対応する国内法がない場合は、遵守しなければなりません。報告
国内法に基づくデータ処理の要件を遵守する必要があります。
グループの各企業は、このデータ保護方針および法的義務の遵守に責任を負います。すべての従業員は、個人データを処理する際に、このポリシーおよび関連するポリシーを読み、理解し、遵守しなければならず、違反した場合は懲戒処分の対象となります。
- IV. 個人データの処理に関する原則
1.公平性と適法性
個人データを処理する際には、データ対象者の個々の権利を保護する必要があります。
個人データは、合法的かつ公正な方法で収集・処理されなければなりません。 データ保護法では、本ポリシーに記載された特定の目的のための処理が認められています。 データ対象者は、当社の「従業員プライバシー通知」に記載されている個人データの詳細を処理する目的について通知されます。
2.特定の明確かつ正当な目的のための制限
個人データは、明示された正当な目的のためにのみ処理することができ、これらの目的と矛盾する方法で処理することはありません。その後の目的の変更は、限られた範囲内でのみ可能であり、立証が必要です。
3.透明性
データ対象者は、自分のデータがどのように取り扱われているかを知らされなければなりません。[従業員には、自分のデータがどのように処理されているかを知らせるプライバシー通知が渡される] 。 その情報は、簡潔で、透明性があり、容易にアクセスでき、明確で計画的な言語である。
一般に、個人データは当該個人から直接収集されます。データが収集される際、データ対象者は以下のことを認識しているか、あるいは知らされている必要があります。
»データ管理者の身元について
»データ処理の目的
»データが送信される可能性のある第三者または第三者のカテゴリー
個人データは、間接的に(例えば、第三者または一般に入手可能な情報源から)収集されることもあります。 データ対象者には、データを収集/受領した後、可能な限り速やかに上記の情報が通知されます。
4.データ削減とデータエコノミー
個人データは、処理される目的に関連して、適切で、関連性があり、必要なものに限定されていなければなりません。 個人データを処理する前に、個人データの処理が行われる目的を達成するために必要であるかどうか、またどの程度まで必要であるかを判断しなければなりません。
目的が許す場合、また、かかる費用が追求される目的に比例する場合、匿名化されたデータまたは統計データを使用しなければなりません。国内法で要求または許可されている場合を除き、個人データを将来の潜在的な目的のために事前に収集し、保存することはできません。
5.削除
個人データが不要になった場合は、当社のデータ保持ガイドラインおよびポリシーに基づいて削除されます。データ対象者は、データが保存される期間およびその期間がどのように決定されるかについて、当社のプライバシーポリシーで通知されます。
第三者は、該当する場合、不要になったデータの削除を求められなければなりません。
6.事実の正確さ、最新のデータ
登録されている個人情報は正確でなければならず、必要に応じて最新の情報を提供しなければなりません。不正確または不完全なデータを削除、修正、補足、更新するための適切な措置を講じなければなりません。
7.機密保持とデータセキュリティ
個人データは機密性の対象となります。個人レベルの機密情報として扱われ、不正アクセス、違法な処理または配布、偶発的な損失、損傷、変更または破壊を防ぐために、適切な組織的および技術的手段で保護されなければなりません。 当社は、当社の規模、範囲、リソース、および特定のリスクに適した保護措置を講じており、これらは定期的に評価およびテストされます。当社は、個人データ侵害の疑いに対処するための手順を導入しており、法的に要求された場合には、データ対象者または該当する規制当局に通知します。
個人データは、当社が要求するポリシーおよび手順を遵守することに同意し、データセキュリティを維持するために適切な措置を講じることに同意する第三者サービスプロバイダーにのみ転送されます。 個人データは、適切な保護措置が講じられていない場合、他国に転送されることはありません。
- V. データ処理の信頼性
個人データの収集、処理、使用は、以下の法的根拠に基づいてのみ許可されます。
また、個人データの収集、処理、利用の目的が当初の目的から変更される場合は、これらの法的根拠のいずれかが必要となります。
1. お客様とパートナーのデータ
1.1 契約上の関係のためのデータ処理
関連する見込み客、顧客、パートナーの個人データは、契約の確立、実行、終了のために処理することができます。これには、契約の目的に関連する場合、契約に基づくパートナーへの助言サービスも含まれます。契約に先立って(契約開始段階)、入札や発注書を作成するため、または契約締結に関連する見込み客のその他の要求を満たすために、個人データを処理することができます。契約の準備段階では、見込み客が提供した情報を用いて連絡を取ることができます。見込み客から要求されたいかなる制限にも従わなければなりません。
1.2 広告目的のデータ処理
データ対象者がグループ会社に連絡して情報を要求する場合(例:製品に関する情報資料の送付依頼)、この要求に応えるためのデータ処理は許可されます。
顧客ロイヤルティまたは広告対策は、さらなる法的要件の対象となります。個人データは、データを最初に収集した目的と一致する場合に限り、広告目的、市場調査および意見調査のために処理することができます。データ対象者は、自分のデータを広告目的で使用することについて知らされなければなりません。広告目的でのみデータを収集する場合、データ対象者からの開示は任意です。データ対象者には、この目的のためにデータを提供することが任意であることを知らせるものとする。データ対象者と連絡を取る際には、広告目的でデータを処理することへの同意を得るものとする。同意を得る際、データ対象者には、通常の郵便、電子メール、電話など、利用可能な連絡方法の中から選択してもらうものとする(「同意」、V.1.3参照)。データ対象者が広告目的でのデータの使用を拒否した場合、そのデータは広告目的で使用することはできず、これらの目的での使用を阻止しなければなりません。広告目的でのデータの使用に関して、特定の国のその他の規制がある場合は、これを遵守しなければなりません。
1.3 データ処理に対する同意
データは、データ対象者の同意があれば処理することができます。同意を得る前に、データ対象者には本データ保護方針の IV.3.に従って通知する必要があります。同意の表明は、文書化を目的として、書面または電子的に得る必要があります。電話での会話など一部の状況では、口頭で同意を得ることができます。同意の付与は文書化されなければなりません。
1.4 法的権限に基づくデータ処理
個人データの処理は、国内法が要求、要請、または許可している場合にも認められます。データ処理の種類および範囲は、法的に認可されたデータ処理活動に必要なものでなければならず、関連する法令規定に準拠していなければなりません。
1.5 正当な利益に基づくデータ処理
個人データは、当グループの正当な利益のために必要な場合にも処理されます。正当な利益とは、一般的に法律上(未収金の回収など)または商業上(契約違反の回避など)の性質を持つものです。個々のケースにおいて、データ対象者の利益が保護に値するという証拠があり、それが優先される場合は、正当な利益の目的のために個人データを処理することはできません。データを処理する前に、保護に値する利益があるかどうかを判断することが必要です。
1.6 機密性の高いデータの処理
機密性の高い個人データは、法律で定められている場合、またはデータ対象者が明示的に同意した場合にのみ処理することができます。また、データ対象者に関する法的請求を主張、行使、または防御するために必須である場合にも、このデータを処理することができます。機密性の高いデータを処理する計画がある場合は、データ保護責任者である当該企業の会長またはCEOに事前に報告する必要があります。
1.7 個別判断の自動化
特定の側面(信用度など)を評価するために使用される個人データの自動処理を、法的に否定的な結果をもたらす、またはデータ対象者を著しく損なう可能性のある決定の唯一の根拠とすることはできません。データ対象者は、自動化された個人の意思決定の事実と結果、およびそれに対応する可能性について知らされなければなりません。誤った決定を避けるために、従業員によるテストおよび妥当性のチェックが行われなければなりません。
1.8 ユーザーデータとインターネット
ウェブサイトやアプリで個人データが収集、処理、使用される場合、データ主体は、プライバシーステートメントと、必要に応じてクッキーに関する情報で、その旨を知らされなければなりません。プライバシーステートメントとクッキーに関する情報は、データ対象者が識別しやすく、直接アクセスでき、一貫して利用できるように統合されていなければなりません。ウェブサイトおよびアプリケーションの使用を評価するために使用プロファイル(トラッキング)が作成される場合、データ対象者には常にプライバシーステートメントの中で適宜通知しなければなりません。個人情報の追跡は、国内法で認められている場合、またはデータ対象者の同意がある場合にのみ実施することができます。追跡に偽名を使用する場合は、データ対象者にプライバシーステートメントでオプトアウトする機会を与えなければなりません。ウェブサイトまたはアプリが、登録ユーザーに限定された領域で個人データにアクセスできる場合、データ対象者の識別および認証により、アクセス時に十分な保護が提供されなければならない。
2.社員データ
2.1 雇用関係のためのデータ処理
雇用関係においては、雇用の開始、遂行、終了など、雇用契約を履行するために必要な場合、個人データを処理することができます。雇用関係を開始する際には、応募者の個人データを処理することができます。候補者が不採用となった場合、そのデータは6ヶ月以内に削除されなければなりません。ただし、応募者が将来の選考プロセスのためにファイルを残しておくことに同意した場合はこの限りではありません。
既存の雇用関係においては、雇用契約を履行する目的でデータ処理が必要となる場合がありますが、以下に示すように、データ処理には他の合法的な根拠がある場合もあります。応募手続き中に、第三者から応募者に関する情報を収集する必要がある場合は、該当する国内法の要件を遵守しなければなりません。疑わしい場合には、データ対象者から同意を得なければなりません。雇用関係に関連する個人データを処理するために、別の法的根拠がある場合があります。これには、法的要求、従業員の同意、または会社の正当な利益が含まれます。
2.2 法的義務に基づくデータ処理
従業員の個人データの処理は、国の法律が要求、要請または承認している場合にも認められます。データ処理の種類および範囲は、法的に認可されたデータ処理活動に必要なものでなければならず、関連する法的規定に準拠していなければなりません。
2.3 データ処理に対する同意
従業員データは、関係者の同意があれば処理することができます。同意の表明は、自発的に提出されなければなりません。不本意な同意は無効です。同意の表明は、文書化を目的として、書面または電子的に取得する必要があります。状況によっては、口頭で同意を得ることもできますが、その場合は適切に文書化する必要があります。
従業員が自分の個人データの処理に同意するのは、処理に対する声明または積極的な行動によって明確に同意を示した場合です。 他の問題を扱う文書の中で同意がなされた場合は、その同意は他の問題とは別に保管されなければなりません。 従業員は、いつでも簡単に同意を取り消すことができなければなりません。
処理のための他の法的根拠がない限り、特別なカテゴリーのデータを処理するためには、明示的な同意が必要です(下記パラグラフ2.5参照)。 通常、当社は他の法的根拠に依拠し、特別なカテゴリーのデータを処理するための明示的な同意を必要としません。
2.4 正当な利益に基づくデータ処理
個人データは、当グループまたは第三者の正当な利益のために必要な場合にも処理することができます。正当な利益とは、一般的に、法的なもの(法的請求の提出、行使、弁護など)、財務的なもの(企業評価など)、その他の性質のもの(個人または他の人の重要な利益を保護するために必要であるとか、公益のために行われる業務の遂行のために必要であるなど)を指します。
個々のケースにおいて、正当な利益が、個人データの保護を必要とするデータ対象者の利益または基本的な権利および自由に優先する場合、個人データは正当な利益に基づいて処理されないことがあります。 依拠される正当な利益は、該当するプライバシーポリシーに記載されます。さらに、国内法に基づく追加要件(従業員代表の共同決定権およびデータ対象者の情報提供権など)を考慮しなければなりません。
2.5 機密性の高いデータの処理
機密性の高い個人データは、一定の条件の下でのみ処理することができます。機密性の高いデータとは、データ対象者の人種および民族的な出身、政治的意見、宗教的または哲学的な信念、労働組合への加盟、遺伝子データ、バイオメトリックデータ、健康データ、および性生活および指向に関するデータです。国内法では、さらなるデータカテゴリーを高感度とみなすことができ、またデータカテゴリーの内容を別の形で記入することもできます。さらに、刑事上の有罪判決および犯罪に関連するデータは、多くの場合、国の法律に基づく特別な要件の下でのみ処理することができます。処理は、国内法で明示的に許可または規定されていなければなりません。さらに、責任当局が雇用法の分野でその権利および義務を果たすために必要な場合には、処理が許可されます。また、従業員は処理に明示的に同意することができます。機密性の高いデータを処理する計画がある場合は、データ保護マネージャーに事前に報告する必要があります。
機密性の高いデータを処理できるのは、以下のような場合です。
- データ対象者からの明示的な同意がある場合
- 雇用、社会保障または社会保護に関連してデータ管理者またはデータ対象者に法律で課せられた義務または権利を履行または行使するために処理が必要であり、雇用主が適切な方針文書および追加の保護措置を講じている場合
- 本人または他の人の重要な利益を保護するために処理が必要であり、本人が同意を与えることができない場合
- 本人が公開した個人データに関連する処理の場合
- 法的主張の確立、行使、弁護のために処理が必要な場合
- 実質的な公共の利益のために処理が必要な場合、雇用者が適切な方針文書および追加の保護措置を講じていることが条件となります。 これには、待遇の平等を促進する目的でのデータ処理が含まれます。
- 個人の労働能力の評価に必要な場合、または医療専門家との連絡に必要な場合で、守秘義務を遵守する場合
2.6 自動決定
雇用関係の一環として個人データが自動的に処理され、特定の個人情報の詳細が評価される場合(例:人事選考やスキルプロファイルの評価の一環として)、この自動処理を、影響を受ける従業員に否定的な結果や重大な影響を与える決定の唯一の根拠とすることはできません。誤った決定を避けるために、自動処理では自然人が状況の内容を評価し、この評価が決定の根拠となるようにしなければなりません。また、データ対象者には、自動処理の事実と結果、および対応する可能性について通知しなければなりません。当社では、自動化された意思決定を使用することは想定していませんが、立場が変わった場合は書面でスタッフに通知します。
2.7 通信・インターネット
電話機、電子メールアドレス、イントラネット、インターネット、社内ソーシャルネットワークは、主に仕事に関連する業務のために会社が提供するものです。これらはツールであり、会社のリソースです。これらは、適用される法的規制および社内のポリシーの範囲内で使用することができます。個人的な目的で使用することが認められている場合は、電気通信の秘密に関する法律および該当する国の電気通信法を遵守する必要があります。電話や電子メールの通信、イントラネット/インターネットの利用を一般的に監視することはありません。ITインフラまたは個々のユーザーに対する攻撃を防御するために、技術的に有害なコンテンツをブロックしたり、攻撃パターンを分析したりする保護措置をグループ会社のネットワークへの接続に対して実施することができます。セキュリティ上の理由から、電話機、電子メールアドレス、イントラネット/インターネット、社内ソーシャルネットワークの利用状況を一時的に記録することができます。特定の個人からのこのデータの評価は、当グループの法律またはポリシーに違反している疑いがある場合にのみ行うことができます。関連する国内法は、当グループの規則と同様に遵守しなければなりません。
- VI. 個人データの送信
グループ内外の受取人への個人データの送信は、セクションVの個人データの処理に関する認可要件に従います。個人データは、一定の保護措置および契約上の取り決めが行われない限り、第三者と共有されることはありません。 データ受領者は、定義された目的のためにのみ、当社の指示に従ってデータを使用することが求められます。
データがグループ外の受信者にEU域外の国を含む第三国に送信される場合は、その国において、本データ保護方針に定められた保護レベルと同等の個人データを保護するための十分な保護レベルがあることを確認します。データが第三者によってグループ会社に送信される場合、データが意図された目的のために使用されることが保証されなければなりません。
- VIIです。 契約データの処理
代理でのデータ処理とは、個人データを処理するためにプロバイダーを雇うことです。
関連するビジネスプロセスの責任を負うことになります。このようなケースでは、契約
データ処理の代行については、外部プロバイダーや企業間で締結する必要があります。
グループ内でのデータ処理データ処理が正しく行われているかどうかの全責任はクライアントが負うものとします。提供者は、お客様からの指示に基づいてのみ個人データを処理することができます。注文を出す際には、以下の要件を満たす必要があります。注文を出す部門は、これらの要件が満たされていることを確認する必要があります。
- 提供者は、必要な技術的および組織的な保護手段をカバーする能力に基づいて選択しなければならない。
- 注文は書面で行わなければならない。データ処理に関する指示、お客様と提供者の責任を文書化する必要があります。
- データ保護マネージャーが提供するデータ保護の契約基準を考慮する必要があります。
- データ処理を開始する前に、クライアントはプロバイダが義務を遵守することを確信する必要があります。プロバイダは、データ・セキュリティ要件への準拠を以下の方法で文書化することができます。
特に、適切な証明書を提示することである。データ処理のリスクに応じて、契約期間中は定期的にレビューを繰り返す必要があります。
- データに関して守秘義務を負うスタッフやその他の人物のみを使用する。
- GDPRに基づいて雇用者に課せられるものと同等のセキュリティ義務を遵守すること。
- 雇用者が共有している個人データに関連して違反があった場合、雇用者に通知する。
- 使用者の事前の許可を得た場合のみ、サブプロセッサーを起用すること。
- 国境を越えて契約データを処理する場合は、個人データを海外に開示するための関連する国内要件を満たす必要があります。特に、欧州経済地域の個人データを第三国で処理できるのは、その提供者が本データ保護方針と同等のデータ保護基準を有していることを証明できる場合に限られます。適切なツールは次のとおりです。
- 第三国での契約データ処理に関するEU標準契約条項を提供者および下請業者と合意すること。
- 十分なデータ保護レベルを提供していることがEUによって認定された認証システムに提供者が参加していること。
- データ保護に関する責任ある監督機関による、適切なレベルのデータ保護を構築するためのプロバイダの拘束力のある企業規則の承認。
- 国境を越えて契約データを処理する場合は、個人データを海外に開示するための関連する国内要件を満たす必要があります。特に、欧州経済地域の個人データを第三国で処理できるのは、その提供者が本データ保護方針と同等のデータ保護基準を有していることを証明できる場合に限られます。適切なツールは次のとおりです。
- VIII. データ対象者の権利
すべてのデータ対象者は、以下の権利を有します。
- データ対象者は、自分に関連するどの個人データが保存されているか、そのデータがどのように収集されたか、そしてどのような目的で使用されたかについての情報を要求することができます。さらに次のような権利がある場合
雇用関係に関する雇用主の文書(人事ファイルなど)を閲覧することができます。
関連する雇用法の影響を受けることはありません。
- 個人データを第三者に送信する場合は、身元に関する情報を提供しなければなりません。
受信者または受信者のカテゴリの
- 個人データが不正確または不完全な場合、データ対象者はその修正を要求することができます。
または補っています。
- データ対象者は、広告または市場/意見調査を目的とした自分のデータの処理に異議を唱えることができます。この場合、データはこれらの用途に使用されないようにしなければなりません。
- データ対象者は、当該データの処理に法的根拠がない場合、または法的根拠の適用が終了した場合には、自分のデータの削除を要求することができます。データ処理の目的が消滅した場合、または他の理由で適用できなくなった場合も同様です。既存の保存期間および保護すべき相反する利益は遵守しなければなりません。
- データ対象者は、一般的に、当社が処理のために正当な利益(または第三者の利益)に依拠しており、データ対象者の特定の状況について、この根拠に基づいて処理に異議を唱えたいと思わせる何かがある場合、自分のデータが処理されることに異議を唱える権利があります。 データ対象者の利益の保護が、特定の個人的状況に起因するデータ管理者の利益に優先する場合は、この点を考慮しなければなりません。ただし、法律上の規定によりデータの処理が必要な場合、または法的請求権の確立、行使、弁護のために処理が必要な場合はこの限りではありません。
- データ対象者は、自分の個人情報の処理の制限を要求することができます。これにより、データ対象者は、雇用者がその正確性または処理の理由を立証することを望む場合などに、個人情報の処理の停止を要求することができます。
- データ対象者は、状況によっては、自分の個人情報を別の相手に転送することを要求することができます。
- IX. 処理の機密性
個人データは守秘義務の対象となります。従業員によるこのようなデータの不正な収集、処理、または使用は禁止されています。従業員が、正当な職務の一環として行うことを許可されていないデータ処理は、すべて不正です。知る必要がある」という原則が適用されます。従業員が個人情報にアクセスできるのは、問題となっている業務の種類と範囲に応じて適切な場合のみです。このためには、役割と責任を慎重に分解・分離し、実行する必要があります。従業員は、個人データを私的または商業的な目的で使用したり、権限のない人に開示したり、その他の方法で利用できるようにしたりすることを禁じられています。監督者は、雇用関係の開始時に、データ機密保護の義務について従業員に伝えなければなりません。この義務は、雇用が終了した後も有効である。
- X. セキュリティの処理
個人データは、不正なアクセス、不法な処理や開示、偶発的な損失、変更、破壊から保護されなければなりません。これは、データが電子的に処理されているか、紙媒体で処理されているかに関わらず適用されます。データ処理の新しい方法、特に新しい IT システムを導入する前に、個人データを保護するための技術的および組織的な手段を定義し、実施しなければなりません。これらの対策は、最新の技術、処理のリスク、およびデータ保護の必要性(情報分類のプロセスによって決定される)に基づいていなければなりません。特に、担当部署は、データ保護マネージャーに相談することができます。
- XI データ保護管理
データ保護方針および適用されるデータ保護法の遵守状況は、定期的にチェックされます。 データ保護法の遵守状況を定期的にチェックする.データ保護管理の結果は、データ保護マネージャーに報告されなければなりません。
- XII. データ保護インシデント
すべての従業員は、このデータ保護方針または個人データの保護に関するその他の規制に違反したケース(データ保護インシデント)について、上司またはデータ保護マネージャーに直ちに報告する必要があります。機能またはユニットの責任者は、データ保護インシデントについて、担当のデータ保護 マネージャに直ちに報告することが求められます。
の場合は
"個人データの第三者への不適切な送信。
"第三者による個人データへの不適切なアクセス、または
"個人情報の紛失
必要な会社報告(情報セキュリティインシデント管理)が行われていること。
国内法に基づく報告義務が果たせるよう、直ちに報告してください。
- XIII. 責任と制裁
グループ会社の執行機関は、それぞれの責任範囲におけるデータ処理に責任を負います。したがって、データ保護に関する法的要件および「データ保護方針」に記載されている要件を確実に満たすことが求められます(例:国への報告義務)。管理スタッフは、あらゆるデータ処理がデータ保護に則って行われるように、組織的、人事的、技術的な措置を講じる責任があります。これらの要件の遵守は、関連する従業員の責任である。公的機関がデータ保護管理を行う場合は、データ保護マネージャーに直ちに報告しなければなりません。個人データの不適切な処理、またはデータ保護法のその他の違反は、多くの国で刑事訴追され、損害賠償請求の対象となる可能性があります。個々の従業員が責任を負うべき違反は、雇用法に基づく制裁につながる可能性があります。