ニュースレターにご登録いただくと、初回のご注文が10%割引になります
虫歯 虫歯
検索
サインイン
検索
検索
私の鞄
私の鞄
私の鞄
検索
Close

序文

当社のコーポレートデータ保護方針は、顧客、見込み客、ビジネスパートナーおよび従業員に関する個人データの処理に関して厳格な要件を定めています。欧州データ保護指令(GDPR)の要件を満たし、国内外のデータ保護法の原則に準拠しています。

本方針は、当社に適用されるデータ保護およびセキュリティ基準を定め、グループ会社間の情報共有を規制します。透明性、データ経済性、データセキュリティなど、7つのデータ保護原則を指針として確立しています。

当社の管理者および従業員は、本方針を遵守し、各自の地域のデータ保護法を守る義務があります。

コーポレートデータ保護責任者として、Dentsにおけるデータ保護の規則と原則が遵守されるよう努める義務があります。 遵守されます。

ロバート・イェントブ

会長

23/5/18

目次

I. データ保護方針の目的

II. データ保護方針の適用範囲

III. 国内法の適用

IV. 個人データ処理の原則

1. 公正性と合法性

特定の目的への制限

3. 透明性

4. データ削減およびデータ経済

5. 削除

6. 事実の正確性;最新のデータ

7. 機密保持およびデータセキュリティ

V. データ処理の信頼性

1. 顧客およびパートナーデータ

1.1 契約関係のためのデータ処理

1.2 広告目的のためのデータ処理

1.3 データ処理への同意

1.4 法的許可に基づくデータ処理

1.5 正当な利益に基づくデータ処理

1.6 高度に機微なデータの処理

1.7 自動化された個別決定

1.8 ユーザーデータとインターネット

2. 従業員データ

2.1 雇用関係におけるデータ処理

2.2 法的許可に基づくデータ処理

2.3 データ処理に対する同意

2.4 正当な利益に基づくデータ処理

2.5 高度に機微なデータの処理

2.6 自動意思決定

2.7 電気通信およびインターネット

VI. 個人データの伝送

VII. 契約に基づくデータ処理

VIII. データ主体の権利

IX. 処理の機密性

X. 処理の安全性

XI. データ保護監査

XII. データ保護インシデント

XIII. 責任および制裁

  1. I. データ保護方針の目的

社会的責任の一環として、Dewhurst Dent Group(以下「グループ」)はデータ保護法の遵守にコミットしています。本データ保護方針は、グループに対して世界中で適用されます および世界的に受け入れられている基本的なデータ保護の原則に基づいています。データ保護の確保は、信頼できるビジネス関係の基盤であり、グループ内すべての企業の魅力的な雇用主としての評判の基礎です。

データ保護方針は、国境を越えたために必要な枠組み条件の一つを提供します

グループ会社間のデータ伝送。適切なデータ保護レベルを確保します

GDPRおよび国境を越えたデータ伝送に関する国内法、適切なデータ保護法がまだ整備されていない国を含む、により規定されています。

  1. II. データ保護ポリシーの適用範囲

本データ保護ポリシーは、グループのすべての会社および部門、すなわちDents、Gaby、Dents Australia Pty、Corgi Hosiery Ltd、D.Charles Astle (Auctioneers)、およびHersil Fabricsに適用されます。

データ保護ポリシーは、個人データのすべての処理に適用されます。

  1. III. 国内法の適用

本データ保護ポリシーは、国際的に受け入れられているデータプライバシーの原則を含みます。

既存の国内法を置き換えることなく補完します。これは国内のデータプライバシー法を補足します。

関連する国内法が本データ保護ポリシーと矛盾する場合、国内法が優先されます。

ポリシー、または本ポリシーより厳しい要件を持つ場合があります。本データ保護ポリシーの内容は

対応する国内法がない場合でも遵守しなければなりません。報告

国内法に基づくデータ処理の要件を遵守しなければなりません。

グループの各社は、本データ保護ポリシーおよび法的義務の遵守に責任を負います。すべての従業員は、個人データを処理する際に本ポリシーおよび関連ポリシーを読み、理解し、遵守しなければならず、違反した場合は懲戒処分の対象となることがあります。

  1. IV. 個人データ処理の原則

1. 公正性と合法性

個人データを処理する際には、データ主体の個々の権利を保護しなければなりません。

個人データは合法かつ公正な方法で収集および処理されなければなりません。データ保護法は、本ポリシーに記載された特定の目的のための処理を許可しています。データ主体は、個人データ処理の目的について通知され、その詳細は会社の従業員プライバシー通知で確認できます。

2. 特定され明確かつ正当な目的への制限

個人データは、特定され明確かつ正当な目的のためにのみ処理され、それらの目的に反する方法で処理されることはありません。目的の後続の変更は限定的にのみ可能であり、根拠が必要です。


3. 透明性

データ主体は、自身のデータがどのように取り扱われているかを通知されなければなりません。[従業員には、データがどのように処理されているかを知らせるプライバシー通知が提供されます。] 情報は簡潔で透明性があり、容易にアクセスでき、明確で平易な言葉で提供されます。

一般的に、個人データは対象となる個人から直接収集されます。データが収集される際、データ主体は以下を認識しているか、または通知されなければなりません:

» データ管理者の身元

» データ処理の目的

» データが転送される可能性のある第三者または第三者のカテゴリ

個人データは間接的に収集されることもあります(例えば、第三者や公開されている情報源から)。データ主体には、データ収集または受領後できるだけ早く上記の情報が通知されます。

4. データ削減およびデータ経済

個人データは、処理される目的に関連して適切かつ必要な範囲に限定されなければなりません。個人データを処理する前に、その処理が目的達成のために必要かつどの程度必要かを判断しなければなりません。

目的が許す場合、かつ費用が追求される目標に見合う場合には、匿名化または統計データを使用しなければなりません。個人データは、国の法律で要求または許可されていない限り、将来の潜在的な目的のために事前に収集および保存してはなりません。

5. 削除

個人データがもはや必要でなくなった場合、当社のデータ保持ガイドラインおよび方針に従って削除されます。データ主体には、データが保存される期間およびその期間の決定方法がプライバシーポリシーで通知されます。

第三者には、該当する場合、もはや必要でないデータを削除するよう要求しなければなりません。

6. 事実の正確性;最新のデータ

保管されている個人データは正確でなければならず、必要に応じて最新の状態に保たれなければなりません。不正確または不完全なデータは削除、訂正、補足または更新されるよう適切な措置を講じる必要があります。

7. 機密保持およびデータセキュリティ

個人データは機密扱いとされます。個人的なレベルで機密として扱われ、不正アクセス、違法な処理や配布、ならびに偶発的な紛失、損傷、改変または破壊を防ぐために適切な組織的および技術的措置で保護されなければなりません。当社は、規模、範囲、リソースおよび特定されたリスクに適した保護措置を講じており、これらは定期的に評価およびテストされます。疑わしい個人データ侵害に対処する手順を整備しており、法的に義務付けられている場合には、データ主体または適用される規制当局に通知します。

個人データは、当社の必要な方針および手順を遵守することに同意し、データセキュリティを維持するための適切な措置を講じることに同意した第三者サービスプロバイダーにのみ転送されます。適切な保護措置が講じられていない限り、個人データは他国に転送されません。

  1. V. データ処理の信頼性

個人データの収集、処理および使用は、以下の法的根拠の下でのみ許可されます。

個人データの収集、処理および使用の目的を元の目的から変更する場合にも、これらの法的根拠のいずれかが必要です。

1. 顧客およびパートナーデータ

1.1 契約関係のためのデータ処理

関連する見込み客、顧客、パートナーの個人データは、契約の成立、履行および終了のために処理されることがあります。これには、契約目的に関連する場合のパートナーへの助言サービスも含まれます。契約前の段階、すなわち契約開始フェーズでは、見積もりや注文書の準備、または契約締結に関連する見込み客のその他の要求を満たすために個人データが処理されることがあります。見込み客が提供した情報を用いて契約準備の過程で連絡を取ることができます。見込み客からの制限要望は遵守しなければなりません。

1.2 広告目的のためのデータ処理

データ主体がグループ会社に連絡して情報を求めた場合(例:製品に関する情報資料の請求)、この要求に応じるためのデータ処理は許可されます。

顧客ロイヤルティや広告施策にはさらなる法的要件が適用されます。個人データは、元々収集された目的と整合する場合に限り、広告目的や市場・意見調査のために処理されることがあります。データ主体は、広告目的でのデータ使用について通知されなければなりません。データが広告目的のみに収集される場合、データ主体からの開示は任意です。データ主体には、この目的のためのデータ提供が任意であることが通知されなければなりません。データ主体と連絡を取る際には、広告目的でのデータ処理について同意を得なければなりません。同意を与える際には、通常郵便、電子メール、電話など利用可能な連絡手段の中から選択肢を提供すべきです(同意についてはV.1.3参照)。データ主体が広告目的でのデータ使用を拒否した場合、そのデータはこれらの目的で使用できなくなり、使用をブロックしなければなりません。広告目的でのデータ使用に関して特定の国からのその他の制限がある場合は、それを遵守しなければなりません。

1.3 データ処理への同意

データは、データ主体の同意に従って処理されます。同意を与える前に、データ主体は本データ保護方針のIV.3.に従って情報提供を受けなければなりません。同意の宣言は、記録の目的で書面または電子的に取得されなければなりません。電話での会話など、状況によっては口頭で同意を与えることも可能です。同意の付与は文書化されなければなりません。

1.4 法的許可に基づくデータ処理

個人データの処理は、国内法がこれを要求、義務付け、または許可する場合にも認められます。データ処理の種類と範囲は、法的に認められたデータ処理活動に必要でなければならず、関連する法令に準拠していなければなりません。

1.5 正当な利益に基づくデータ処理

個人データは、グループの正当な利益のために必要な場合にも処理できます。正当な利益は一般的に法的(例:未収債権の回収)または商業的性質(例:契約違反の回避)を持ちます。個別のケースでデータ主体の利益が保護に値し、それが優先される証拠がある場合、正当な利益の目的で個人データを処理してはなりません。データ処理の前に、保護に値する利益が存在するかどうかを判断する必要があります。

1.6 高度に機微なデータの処理

高度に機微な個人データは、法律で要求される場合か、データ主体が明示的に同意した場合にのみ処理できます。このデータは、データ主体に関する法的請求権の主張、行使、または防御のために必須である場合にも処理可能です。高度に機微なデータを処理する計画がある場合、該当する会社の会長またはCEO(データ保護責任者)が事前に通知されなければなりません。

1.7 自動化された個別決定

特定の側面(例:信用度)を評価するために使用される個人データの自動処理は、法的に不利益をもたらす決定やデータ主体に重大な影響を与える可能性のある決定の唯一の根拠にはなりえません。データ主体には、自動化された個別決定の事実と結果、および対応の可能性について通知しなければなりません。誤った決定を避けるために、従業員によるテストおよび妥当性チェックが行われなければなりません。

1.8 ユーザーデータとインターネット

個人データがウェブサイトやアプリで収集、処理、使用される場合、データ主体にはプライバシーステートメントでこれを通知し、該当する場合はクッキーに関する情報も提供しなければなりません。プライバシーステートメントおよびクッキー情報は、データ主体が容易に識別でき、直接アクセス可能で、一貫して利用可能な形で統合されていなければなりません。ウェブサイトやアプリの利用状況を評価するために利用プロファイル(トラッキング)が作成される場合、データ主体には常にプライバシーステートメントでその旨が通知されなければなりません。個人トラッキングは、国内法で許可されている場合か、データ主体の同意がある場合にのみ行うことができます。トラッキングが仮名を使用する場合、データ主体にはプライバシーステートメントでオプトアウトの機会が与えられるべきです。ウェブサイトやアプリが登録ユーザー限定のエリアで個人データにアクセスできる場合、データ主体の識別および認証はアクセス時に十分な保護を提供しなければなりません。

2. 従業員データ

2.1 雇用関係におけるデータ処理

雇用関係においては、雇用契約の履行に必要な場合に個人データを処理できます。これには雇用の開始、実施、終了が含まれます。雇用関係の開始時には、応募者の個人データを処理できます。候補者が不採用となった場合、応募者が将来の選考プロセスのためにデータの保存に同意していない限り、そのデータは6ヶ月以内に削除されなければなりません。

既存の雇用関係においては、雇用契約の履行の目的でデータ処理が必要な場合がありますが、以下に示すように他の合法的な処理根拠も存在する可能性があります。応募者に関する情報を第三者から収集する必要がある場合は、該当する国内法の要件を遵守しなければなりません。疑義がある場合は、データ主体の同意を得る必要があります。雇用関係に関連する個人データを処理するための代替的な法的根拠が存在する場合があります。これには法的要件、従業員の同意、または会社の正当な利益が含まれます。

2.2 法的義務に基づくデータ処理

個人従業員データの処理は、国内法がこれを要求、義務付け、または許可する場合にも認められます。データ処理の種類と範囲は、法的に認められたデータ処理活動に必要でなければならず、関連する法令の規定に準拠しなければなりません。

2.3 データ処理に対する同意

従業員データは、本人の同意に基づいて処理されることがあります。同意の宣言は自発的に提出されなければなりません。強制的な同意は無効です。同意の宣言は、記録の目的で書面または電子的に取得されなければなりません。特定の状況では口頭で同意が与えられることもあり、その場合は適切に記録されなければなりません。

従業員は、処理に対して明確な同意を示す声明または積極的な行動によって個人データの処理に同意します。同意が他の事項を扱う文書で与えられる場合、その同意は他の事項から分離して保持されなければなりません。従業員はいつでも簡単に同意を撤回できる必要があります。

他の法的根拠がない限り、特別なカテゴリーのデータの処理には明示的な同意が必要です(以下の2.5項参照)。通常、会社は他の法的根拠に依拠しており、特別なカテゴリーのデータの処理に明示的な同意を必要としません。

2.4 正当な利益に基づくデータ処理

個人データは、グループまたは第三者の正当な利益の目的で必要な場合にも処理されることがあります。正当な利益は一般的に法的な性質(例:法的請求の提出、執行、または防御)、財務的な性質(例:企業の評価)、またはその他の性質(例:個人または他の人の生命の利益を保護するために必要である場合、または公益のために行われる任務の遂行に必要である場合)を指します。

個人データは、個別のケースで、個人データの保護を必要とするデータ主体の利益または基本的権利および自由が正当な利益を上回る場合、正当な利益に基づいて処理してはなりません。依拠される正当な利益は、適用されるプライバシー通知に記載されます。さらに、国内法の追加要件(例:従業員代表の共同決定権およびデータ主体の情報権)も考慮しなければなりません。

2.5 高度に機微なデータの処理

高度に機微な個人データは特定の条件下でのみ処理できます。高度に機微なデータとは、人種および民族的出自、政治的意見、宗教的または哲学的信念、労働組合員資格、遺伝データ、生体認証データ、健康データおよびデータ主体の性生活および性的指向に関するデータを指します。国内法により、さらに多くのデータカテゴリが高度に機微と見なされる場合や、データカテゴリの内容が異なる場合があります。さらに、犯罪の有罪判決および犯罪に関するデータは、国内法の特別な要件の下でのみ処理できることが多いです。処理は国内法で明示的に許可または規定されている必要があります。加えて、処理は責任ある当局が雇用法の分野でその権利および義務を履行するために必要な場合に許可されることがあります。従業員も処理に明示的に同意することができます。高度に機微なデータを処理する計画がある場合は、事前にデータ保護マネージャーに通知しなければなりません。

高度に機微なデータは以下の状況で処理することができます:

  • データ主体からの明示的な同意がある場合
  • 処理が、雇用、社会保障または社会保護に関連して、データ管理者またはデータ主体に法律で課せられた義務または権利を履行または行使するために必要であり、かつ雇用者が適切な方針文書および追加の保護措置を備えている場合
  • 処理が個人または他の人の生命の利益を保護するために必要であり、かつ個人が同意を与えることができない場合
  • 処理が個人が公開した個人データに関連する場合
  • 処理が法的請求の確立、行使または防御のために必要な場合
  • 処理が重大な公共の利益のために必要であり、かつ雇用者が適切な方針文書および追加の保護措置を備えている場合。これには、待遇の平等を促進する目的でのデータ処理が含まれることがあります。
  • 処理が個人の労働能力の評価のため、または医療専門家との契約に基づく場合で、機密保持の保障がある場合

2.6 自動意思決定

雇用関係の一環として個人データが自動的に処理され、特定の個人情報が評価される場合(例:人材選考やスキルプロファイルの評価の一環として)、この自動処理のみを根拠にして、影響を受ける従業員に不利益または重大な影響を与える決定を行うことはできません。誤った決定を避けるために、自動処理は自然人が状況の内容を評価し、その評価を決定の根拠とすることを保証しなければなりません。データ主体には、自動処理の事実および結果と応答の可能性についても通知されなければなりません。会社は自動意思決定の使用を想定していませんが、方針が変更された場合は従業員に書面で通知します。

2.7 電気通信およびインターネット

電話機器、電子メールアドレス、イントラネットおよびインターネット、ならびに社内ソーシャルネットワークは、主に業務関連の課題のために会社が提供しています。これらはツールであり、会社の資源です。適用される法規制および社内規定の範囲内で使用できます。私的利用が許可されている場合は、通信の秘密に関する法律および関連する国内の電気通信法を遵守しなければなりません。電話および電子メール通信やイントラネット/インターネットの使用について一般的な監視は行いません。ITインフラや個々のユーザーへの攻撃に対抗するため、グループ会社のネットワーク接続に対して技術的に有害なコンテンツをブロックしたり攻撃パターンを分析したりする保護措置を実施することがあります。セキュリティ上の理由から、電話機器、電子メールアドレス、イントラネット/インターネットおよび社内ソーシャルネットワークの使用は一時的にログ記録されることがあります。特定の人物に関するこれらのデータの評価は、法律またはグループの規定違反の疑いがある場合にのみ行われます。関連する国内法はグループ規定と同様に遵守されなければなりません。

  1. VI. 個人データの送信

個人データのグループ内外の受取人への送信は、第V節の個人データ処理に関する承認要件の対象となります。個人データは、特定の保護措置および契約上の取り決めが整っていない限り、第三者と共有されません。データ受取人は、定義された目的のためにのみ、かつ当社の指示に従ってデータを使用することが求められます。

データがグループ外の受取人、第三国(EU外の国を含む)に送信される場合、当該国において本データ保護方針に定める保護レベルと同等の個人データ保護の適切なレベルが確保されていることを保証します。第三者がデータをグループ会社に送信する場合、そのデータが意図された目的のために使用されることを確実にしなければなりません。

  1. VII. 契約に基づくデータ処理

代理によるデータ処理とは、プロバイダーが個人データを処理するために雇われることを意味しますが、

関連する業務プロセスの責任を割り当てられている場合。このような場合、契約が必要です

外部提供者および企業間で締結される委託データ処理に関する契約

グループ内で。クライアントはデータ処理の正確な実行に対して完全な責任を保持します。提供者はクライアントの指示に従ってのみ個人データを処理できます。注文を発行する際には、以下の要件を遵守しなければなりません;注文を出す部門はそれらが満たされていることを確認しなければなりません。

  1. 提供者は、必要な技術的および組織的保護措置をカバーできる能力に基づいて選ばれなければなりません。
  2. 注文は書面で行わなければなりません。データ処理に関する指示およびクライアントと提供者の責任は文書化されなければなりません。
  3. データ保護マネージャーによって提供されるデータ保護の契約基準を考慮しなければなりません。
  4. データ処理開始前に、クライアントは提供者が義務を遵守することに自信を持つ必要があります。提供者はデータセキュリティ要件の遵守を以下のように文書化できます

特に適切な認証を提示することによって。データ処理のリスクに応じて、契約期間中に定期的にレビューを繰り返す必要があります。

  1. データに関して守秘義務を負うスタッフおよびその他の者のみを使用すること。
  2. GDPRに基づき雇用者に課せられたものと同等のセキュリティ義務を遵守すること。
  3. 雇用者が共有した個人データに関する違反があった場合、雇用者に通知すること。
  4. 下請業者を雇う場合は、事前に雇用者の許可を得ること。
    1. 国境を越えた契約データ処理の場合、個人データを国外に開示するための関連する国内要件を満たす必要があります。特に、欧州経済領域からの個人データは、提供者が本データ保護方針と同等のデータ保護基準を有していることを証明できる場合にのみ第三国で処理できます。適切な手段としては以下が考えられます:
      1. 第三国における契約データ処理のためのEU標準契約条項に関する提供者およびすべての下請業者との合意。
      2. 十分なデータ保護レベルを提供するためにEUに認定された認証システムへの提供者の参加。
      3. 責任ある監督当局によって適切なデータ保護レベルを確立するための提供者の拘束力のある企業規則の承認。

  1. VIII. データ主体の権利

すべてのデータ主体は以下の権利を有します;

  1. データ主体は、自分に関するどの個人データが保存されているか、そのデータがどのように収集されたか、そしてその目的についての情報を要求することができます。さらに権利がある場合は

雇用関係に関する雇用主の書類(例:人事ファイル)を閲覧することができます。

関連する雇用法は影響を受けません。

  1. 個人データが第三者に送信される場合、受取人の身元についての情報が提供されなければなりません。

受取人または受取人のカテゴリーについて。

  1. 個人データが不正確または不完全な場合、データ主体は訂正を要求できます。

または補足されます。

  1. データ主体は、広告や市場・意見調査の目的での自身のデータ処理に異議を唱えることができます。これらの用途に対してデータはブロックされなければなりません。
  2. データ主体は、処理に法的根拠がない場合、または法的根拠が失効した場合に自身のデータの削除を要求できます。同様に、データ処理の目的が消滅したか、その他の理由で適用されなくなった場合も同様です。既存の保存期間および保護すべき相反する利益は遵守されなければなりません。
  3. データ主体は、処理の根拠が正当な利益(または第三者の利益)に基づく場合で、そのデータ主体の特定の状況によりこの理由での処理に異議を唱えたい場合、一般的に自身のデータ処理に対して異議を申し立てる権利があります。特定の個人的状況により、データ管理者の利益よりも彼/彼女の利益の保護が優先される場合は、これを考慮しなければなりません。法的規定によりデータの処理が要求される場合や、法的請求の確立、行使または防御のために処理が必要な場合は、これに該当しません。
  4. データ主体は、自身の個人情報の処理制限を要求できます。これにより、例えば雇用主に情報の正確性や処理理由の確認を求めるために、個人情報の処理の一時停止を要求することが可能になります。
  5. データ主体は、特定の状況下で自身の個人情報を他の当事者に移転するよう要求できます。

  1. IX. 処理の機密保持

個人データは機密扱いとされます。従業員によるこれらのデータの無許可の収集、処理、使用は禁止されています。従業員が正当な職務の一環として許可されていないデータ処理は無許可のものとみなされます。「知る必要がある」原則が適用されます。従業員は、該当する業務の種類と範囲に応じてのみ個人情報にアクセスできます。これには、役割と責任の慎重な分解と分離、および実施が必要です。従業員は、個人データを私的または商業的目的で使用したり、無許可の者に開示したり、その他の方法で提供したりすることを禁じられています。上司は、雇用開始時に従業員に対してデータ秘密保持義務を通知しなければなりません。この義務は、雇用終了後も継続します。

  1. X. 処理の安全性

個人データは、不正アクセスや不法な処理・開示、ならびに偶発的な紛失、改ざん、破壊から保護されなければなりません。これは、データが電子的に処理される場合でも紙媒体の場合でも同様です。新しいデータ処理方法、特に新しいITシステムの導入前には、個人データを保護するための技術的および組織的措置を定義し実施しなければなりません。これらの措置は、最新の技術水準、処理のリスク、および情報分類プロセスによって決定されるデータ保護の必要性に基づく必要があります。特に、責任部署はデータ保護責任者と相談することができます。

  1. XI. データ保護監査

データ保護方針および適用されるデータ保護法の遵守 法令は定期的に確認されます. データ保護監査の結果は、データ保護責任者に報告しなければなりません。

  1. XII. データ保護インシデント

すべての従業員は、このデータ保護方針または個人データ保護に関するその他の規則の違反(データ保護インシデント)について、直ちに上司またはデータ保護責任者に報告しなければなりません。機能または部門の責任者は、データ保護インシデントについて責任あるデータ保護責任者に直ちに報告する義務があります。

以下の場合

» 個人データの第三者への不正な送信、

» 第三者による個人データへの不正アクセス、または

» 個人データの紛失

必要な会社報告(情報セキュリティインシデント管理)を行わなければなりません。

国内法に基づく報告義務を遵守できるよう、直ちに。

  1. XIII. 責任と制裁

グループ会社の執行機関は、それぞれの責任範囲におけるデータ処理に責任を負います。したがって、法的要件およびデータ保護方針に含まれるデータ保護に関する要件(例:国内の報告義務)が満たされるよう確保する必要があります。管理職は、組織的、人事的、技術的措置が整備され、いかなるデータ処理もデータ保護に従って実施されるようにする責任があります。これらの要件の遵守は、該当する従業員の責任です。公的機関がデータ保護の監査を行う場合、データ保護責任者に直ちに通知しなければなりません。個人データの不適切な処理やその他のデータ保護法違反は、多くの国で刑事訴追の対象となり、損害賠償請求につながる可能性があります。個々の従業員が責任を負う違反は、労働法上の制裁につながることがあります。