BeHappy2Day EU/UK GDPRアウェアネス & コンプライアンスポリシーステートメント

1.0. 序章。

1.1. EU一般データ保護規則(以下、GDPR)は、2018年5月25日に欧州連合全域で施行され、データ保護法にこの20年間で最も大きな変更をもたらしました。プライバシー・バイ・デザインに基づき、リスクベースのアプローチをとるGDPRは、デジタル時代の要件に対応するよう設計されています。

1.2. 21世紀は、テクノロジーの幅広い活用、個人データの新しい定義、国境を越えた処理の大幅な増加などをもたらします。この新しい規則は、EU全域でデータ保護法とデータ処理を標準化し、個人が自分の個人情報にアクセスし、管理する権利をより強く、一貫した形で与えることを目的としています。

2.0. 当社のコミットメント

当社は、当社が処理する個人情報のセキュリティと保護を確保し、データ保護に対するコンプライアンスと一貫したアプローチを提供することを約束します。私たちは、既存の法律に準拠し、データ保護の原則を遵守する、堅牢で効果的なデータ保護プログラムを常に備えていると考えています。しかし、GDPRと英国のデータ保護法の要求を満たすために、このプログラムを更新し、拡大する義務があることを認識しています。

2.1. BeHappy2Dayは、当社の管轄下にある個人情報を保護し、効果的で目的に合ったデータ保護体制を構築し、新規則を理解し、理解することに尽力しています。GDPR遵守のための当社の準備と目標は、この声明に要約されており、最大かつ継続的な遵守を確実にするための新しいデータ保護の役割、ポリシー、手順、コントロール、手段の開発と実施が含まれています。

3.0. GDPRに向けた取り組み

3.1. 当社はすでに、組織全体で一貫したレベルのデータ保護とセキュリティを実現していますが、2018年5月25日までにGDPRに完全に準拠することを目標としています。当社の準備には以下が含まれます。

(a) 情報監査 - 全社的な情報監査を実施し、当社が保有する個人情報の種類、出所、処理方法、処理理由、開示先などを特定・評価します。

(b) ポリシーと手順 -GDPRおよび関連するデータ保護法の要件と基準を満たすための、以下を含む新しいデータ保護ポリシーと手順の見直し/実施。

(c) データ保護 - データ保護に関する当社の主要な方針および手順書は、GDPR の基準と要件に適合するように全面的に見直されました。説明責任とガバナンスは、プライバシー・バイ・デザインと個人の権利に焦点を当て、当社の義務と責任を理解し、適切に普及させ、証明するために実施されています。

(d) データの保持と消去 - 当社では、「データの最小化」と「保存の制限」の原則を満たし、個人情報がコンプライアンスと倫理に基づいて保存、保管、破棄されるように、保持方針とスケジュールを更新しました。また、新しい「データ消去の権利」義務に対応するため、専用の消去手順を設け、この権利およびその他のデータ主体の権利がいつ適用されるか、また免除、対応時間枠、通知責任についても認識しています。

(e) データ侵害 - 当社での侵害手続きは、個人データの侵害を可能な限り早い時期に特定、評価、調査、報告するための保護措置と手段を備えていることを保証するものです。当社の手順は堅牢で、全従業員に配布され、報告ラインと従うべき手順を認識させています。

(f) 国際的なデータ転送と第三者への開示 - BeHappy2DayがEU圏外で個人情報を保管または転送する場合、データの安全性、暗号化、完全性を維持するための強固な手順と保護措置をとっています。当社の手続きには、十分な妥当性の決定がなされた国の継続的な見直しと、そうでない国に対する拘束力のある企業規則、標準データ保護条項、承認された行動規範の規定が含まれています。当社では、個人データのすべての受領者に対して厳格なデューデリジェンスチェックを行い、受領者が情報を保護するための適切なセーフガードを備えていること、データ主体の権利に強制力があること、データ主体に対して有効な法的救済手段を備えていることを評価・検証しています(該当する場合)。

(g) データ主体アクセス要求 (SAR) - お客様には、当社がお客様に関してどのような情報を保有しているかを知る権利があります。当社は、要求された情報を提供するための30日間の時間枠の変更と、この提供を無償で行うために、当社のSAR手続きを改訂しました。新しい手順では、データ対象者の確認方法、アクセス要求の処理手順、適用除外、一連の回答テンプレートについて詳しく説明し、データ対象者とのコミュニケーションがコンプライアンス、一貫性、適切であることを保証しています。

(h) 処理の法的根拠 - 当社では、処理の法的根拠を特定するためにすべての処理活動を見直し、各基準が関連する活動にとって適切であることを確認しています。また、該当する場合、当社では処理活動の記録を保持し、GDPR第30条およびデータ保護法案の別表1に基づく当社の義務が満たされていることを保証しています。

(i) プライバシー通知/ポリシー - 当社は、GDPRに準拠するためにプライバシー通知を改訂し、当社が個人情報を処理するすべての個人が、当社が個人情報を必要とする理由、個人情報の使用方法、個人の権利、情報の開示先、個人情報を保護するために実施されている保護措置について通知されていることを確認しています。

(j) 同意の取得 - 当社では、個人情報を取得する際の同意の仕組みを見直し、個人が何を提供し、なぜ、どのようにそれを使用するかを理解し、私たちが情報を処理することに同意するための明確で明確な方法を提供することを徹底しています。私たちは、同意を記録するための厳格なプロセスを開発し、日時の記録とともに肯定的なオプトインを証明できるようにし、いつでも同意を撤回できるように、見やすくアクセスしやすい方法を用意しています。

(k) ダイレクトマーケティング - ダイレクトマーケティングの文言とプロセスを見直し、マーケティング購読のための明確なオプトインの仕組み、オプトアウトのための明確な通知と方法、その後のすべてのマーケティング資料への購読中止機能の提供などを行っています。

(l) データ保護影響評価(DPIA) - 高リスクと見なされる個人情報を処理する場合、大規模な処理を伴う場合、または特殊カテゴリー/犯罪歴データを含む場合、当社はGDPRの第35条の要件に完全に準拠した影響評価を実施するための厳格な手順と評価テンプレートを開発しました。当社では、各評価を記録し、処理活動によってもたらされるリスクを評価し、データ対象者にもたらされるリスクを低減するための緩和策を実施できるように、文書化プロセスを導入しています。

(m) 処理者契約 - 当社に代わって個人情報を処理するために第三者を利用する場合(給与計算、採用、ホスティングなど)、当社では処理者契約とデューディリジェンス手順を作成し、契約会社(当社同様)がGDPRの義務を満たし理解することを保証しています。これらの措置には、提供されるサービス、処理活動の必要性、実施されている技術的および組織的措置、GDPRへの準拠に関する初期および継続的なレビューが含まれます。

(n) 特殊カテゴリーデータ - 当社が特殊カテゴリー情報を取得し処理する場合、当社は第9条の要件を完全に遵守し、当該データすべてに高レベルの暗号化および保護を施しています。特別なカテゴリーデータは、必要な場合にのみ処理され、適切な第9条第2項の根拠またはデータ保護法案別表第1条件を最初に確認した場合にのみ処理されます。私たちが処理のために同意に頼る場合、これは明示的であり、署名によって確認され、同意を修正または削除する権利が明確に示されています。

4.0. データ対象者の権利

4.1. 個人がデータ保護の権利を行使できるようにする上記の方針と手続きに加え、BeHappy2Dayが処理するあらゆる個人情報にアクセスし、情報を要求する個人の権利について、当社のウェブサイトを通じて簡単にアクセスできる情報を提供します:

  • 当社が保有する個人情報について
  • 処理の目的
  • 対象となる個人情報のカテゴリー
  • 個人情報を開示する相手先、または開示する予定の相手先
  • お客様の個人情報を保存する期間について
  • 直接データを収集しなかった場合は、出所に関する情報
  • 自分に関する不完全または不正確なデータを修正または補完してもらう権利、およびその要求のためのプロセス
  • データ保護法に従い、個人情報の消去を要求する権利(該当する場合)、または処理を制限する権利、および当社からのダイレクトマーケティングに反対する権利、および当社が使用する自動意思決定について知らされる権利。
  • 苦情申し立てや法的救済を求める権利と、その場合の連絡先

5.0. 情報セキュリティと技術的・組織的な対策

5.1. BeHappy2Dayは、個人とその個人情報のプライバシーとセキュリティを非常に重要視し、当社が処理する個人データを保護し、安全に保つためにあらゆる妥当な措置と予防策を講じています。個人情報を不正アクセス、改ざん、開示、破壊から保護するために、強固な情報セキュリティ方針と手順を設け、SSL、アクセスコントロール、パスワードポリシー、暗号化、仮名化、実践、制限、IT、認証など、何重ものセキュリティ対策を行っています。

6.0. GDPRの役割と従業員について

6.1. 当社は、Marina Bushmarevaをデータ管理者に指定し、新しいデータ保護規則を遵守するためのロードマップを開発・実施するために、データプライバシーチームを任命しました。このチームは、組織全体でGDPRに対する意識を高め、当社のGDPRへの対応力を評価し、ギャップ領域を特定し、新しいポリシー、手順、対策を実施する責任を担っています。

6.2. BeHappy2Dayは、GDPRの継続的な遵守には、従業員の継続的な意識と理解が不可欠であると理解し、準備計画に従業員を巻き込みました。当社は、上記に特化した従業員意識向上プログラムを実施し、2018年5月25日以前に全従業員に展開する予定です。これは、当社の入社式および年次研修プログラムの継続的な部分を形成しています。

当社のGDPRへの対応についてご質問がある場合は、当社のデータ管理者であるMarina Bushmareva(admin@behappy2day.com)までご連絡ください。

フィーチャーされたユーザー

[ 0.0382 ]