top of page

ポリシー — GDPR データ保護ポリシー

 

以下に関する重要な情報が記載されているため、このポリシーを読む必要があります。

 

  • 当社が遵守しなければならないデータ保護原則。

  • 個人情報 (またはデータ) および機微な個人情報 (またはデータ) の意味;

  • データ保護の原則に従って、個人情報および機密性の高い個人情報を収集、使用、および (最終的には) 削除する方法。

  • より詳細なプライバシー情報を見つけることができる場所。たとえば、当社がお客様に関して収集および使用する個人情報、その使用方法、保存方法、転送方法、目的、情報を安全に保つために講じた手順、および保管期間など。

  • データ保護に関するお客様の権利と義務。と

  • このポリシーを遵守しなかった場合の結果。

 

  1. 序章

 

  1. 当事務所は、求職者、現在および元の従業員、一時的および派遣労働者、請負業者、インターン、ボランティア、見習いに関する個人情報 (データとも呼ばれる) を取得し、保持し、使用します。募集および雇用に関する当社のデータ保護プライバシー通知。

 

  1. このポリシーは、データ保護義務をどのように遵守し、従業員に関連する個人情報を保護するかを規定しています。その目的は、従業員が業務中にアクセスする可能性のある個人情報の収集、使用、および削除を管理する規則を理解し、遵守することを保証することでもあります。

 

  1. 当社は、データ保護義務を遵守し、従業員に関連する個人情報をどのように取得して使用するか、および不要になった情報をどのように (いつ) 削除するかについて、簡潔、明確かつ透明性を保つことに取り組んでいます。

 

  1. 当社のデータ保護責任者は、当社およびそのスタッフにデータ保護義務について通知および助言し、これらの義務および当社のポリシーの遵守を監視する責任を負います。このポリシーの内容について質問やコメントがある場合、またはさらに情報が必要な場合は、データ保護担当者の電子メールに連絡してください。dpo@confirmsend.co.

 

  1. 範囲

 

  1. このポリシーは、従業員、派遣社員、派遣社員、インターン、ボランティア、見習いを含む、求職者および現在および以前のスタッフの個人情報に適用されます。

 

  1. スタッフは、当社のデータ保護プライバシー通知を参照し、必要に応じて、インターネット、電子メールおよび通信、監視、ソーシャル メディア、情報セキュリティ、データ保持、および犯罪歴情報に関するその他の関連ポリシーを参照する必要があります。そのような状況における個人情報の保護。

 

  1. 当社は、データ保護義務に従い、定期的にこのポリシーを見直し、更新します。これは、従業員の雇用契約の一部を構成するものではなく、随時修正、更新、または補足する場合があります。新しいポリシーまたは変更されたポリシーは、採用される前にスタッフに配布されます。

 

  1. 定義

 

  1. 前科情報

有罪判決および犯罪、申し立て、手続き、および関連するセキュリティ対策に関連する個人情報を意味します。

 

  1. データ侵害

個人情報の偶発的または違法な破壊、紛失、改ざん、不正開示、または個人情報のアクセスにつながるセキュリティの侵害を意味します。

 

  1. データ主体

個人情報に関連する個人を意味します。

 

  1. 個人情報

(個人データと呼ばれることもあります) とは、その情報から (直接的または間接的に) 特定できる個人に関する情報を意味します。

 

  1. 処理情報

情報を取得、記録、整理、保存、修正、検索、開示および/または破棄すること、または情報を使用または実行することを意味します。

 

  1. 仮名化

追加情報を使用せずに個人を特定するために使用できないような方法で個人情報を処理するプロセスを意味し、追加情報は個別に保管され、個人情報が特定されないようにするための技術的および組織的措置の対象となります。識別可能な個人;

 

  1. センシティブな個人情報

(「特別なカテゴリの個人データ」または「機密性の高い個人データ」とも呼ばれます) とは、個人の人種、民族的出自、政治的意見、宗教的または哲学的信念、労働組合への加入 (または非加入)、遺伝情報、生体認証情報 (個人を識別するために使用される場合) および個人の健康、性生活または性的指向に関する情報。

 

  1. データ保護の原則

 

  1. 当社は、個人情報を処理する際、以下のデータ保護原則を遵守します。

 

  1. 個人情報を合法的、公正かつ透明な方法で処理します。

 

  1. 当社は、指定された明示的かつ正当な目的のためにのみ個人情報を収集し、それらの正当な目的と相容れない方法でそれを処理しません。

 

  1. 当社は、適切で、関連性があり、関連する目的に必要な個人情報のみを処理します。

 

  1. 当社は、正確かつ最新の個人情報を維持し、不正確な個人情報を遅滞なく削除または修正するための合理的な措置を講じます。

 

  1. 当社は、情報が処理される目的に必要な期間を超えて、データ主体の識別を可能にする形式で個人情報を保持します。と

 

  1. 当社は、適切な技術的および組織的措置を講じて、個人情報が安全に保たれ、不正または違法な処理、および偶発的な損失、破壊、損傷から保護されるようにします。

 

  1. 個人情報の処理の根拠

 

  1. 処理活動に関連して、処理が初めて開始される前、および処理が継続している間は定期的に次のことを行います。

 

  1. 特定の処理活動の目的を確認し、その処理に最も適切な法的根拠を選択します。

 

  1. データ主体が処理に同意したこと。

 

  1. データ主体が当事者である契約の履行のために、または契約を締結する前にデータ主体の要求に応じて措置を講じるために処理が必要であること。

 

  1. 当社が従うべき法的義務を遵守するために処理が必要であること。

 

  1. データ主体または他の自然人の重大な利益を保護するために処理が必要であること。

 

  1. 公共の利益のために実行されるタスクの実行に処理が必要であること

 

  1. 当社または第三者の正当な利益のために処理が必要であること。ただし、これらの利益がデータ主体の基本的権利および自由の利益によって無効にされる場合を除きます。以下の条項 5.2 を参照してください。

 

  1. 処理が同意に基づく場合を除き、関連する法的根拠の目的のために処理が必要であることを確認します (つまり、その目的を達成するための他の合理的な方法がないこと)。

 

  1. データ保護原則への準拠を示すために、どの法的根拠が適用されるかについての決定を文書化します。

 

 

  1. 関連するプライバシー通知に、処理の目的とその法的根拠の両方に関する情報を含めます。

 

  1. 機密性の高い個人情報が処理される場合、その情報を処理するための法的に特別な条件も特定し (以下の 6.2.2 項を参照)、それを文書化します。と

 

  1. 犯罪情報が処理される場合、その情報を処理するための合法的な条件も特定し、それを文書化します。

 

  1. 当社の正当な利益が合法的な処理の最も適切な根拠であるかどうかを判断する際、当社は次のことを行います。

 

  1. 正当な利益評価 (LIA) を実施し、その記録を保持して、決定を正当化できるようにします。

 

  1. LIA が重大なプライバシーへの影響を特定した場合は、データ保護影響評価 (DPIA) も実施する必要があるかどうかを検討してください。

 

  1. LIA のレビューを継続し、状況が変化した場合はそれを繰り返します。と

 

  1. 関連するプライバシー通知に当社の正当な利益に関する情報を含める。

 

  1. センシティブな個人情報

 

  1. 機密性の高い個人情報は、「特別なカテゴリの個人データ」または「機密性の高い個人データ」と呼ばれることがあります。

 

  1. 当社は、機密性の高い個人情報を処理する必要がある場合があります。次の場合にのみ、機密性の高い個人情報を処理します。

 

  1. 上記のパラグラフ 5.1.1 に規定されているように、当社がそうする法的根拠がある場合。たとえば、雇用契約の履行、当社の法的義務の遵守、または当社の正当な利益のために必要である。と

 

  1. 機密性の高い個人情報を処理するための特別な条件の 1 つが適用されます。

 

  1. データ主体が明示的な同意を与えている;

 

  1. 当社またはデータ主体の雇用法上の権利または義務を行使する目的で処理が必要な場合。

 

  1. データ主体の重要な利益を保護するために処理が必要であり、データ主体が物理的に同意を与えることができない場合。

 

  1. 処理は、データ主体によって明らかに公開されている個人データに関連しています。

 

  1. 法的請求の確立、行使、または弁護のために処理が必要な場合。また

 

  1. 実質的な公共の利益のために処理が必要な場合。

 

  1. 機密性の高い個人情報を処理する前に、データ保護担当者が処理が上記の基準に準拠しているかどうかを評価できるように、スタッフは提案された処理をデータ保護担当者に通知する必要があります。

 

  1. 機密性の高い個人情報は、次の時点まで処理されません。

 

  1. パラグラフ 6.3 で言及されている評価が行われている。と

 

  1. 個人は、処理の性質、処理が実行される目的、および処理の法的根拠について (プライバシー通知またはその他の方法で) 適切に通知されています。

 

  1. 当事務所は、個人の重要な個人情報に基づいて自動化された意思決定 (プロファイリングを含む) を実行しません。

 

  1. 当社のデータ保護プライバシー通知は、当社が処理する機密性の高い個人情報の種類、その使用目的、および処理の法的根拠を定めています。

 

  1. 機密性の高い個人情報に関して、当社は、上記のパラグラフ 4 に規定されているデータ保護原則に準拠していることを確認するために、以下のパラグラフ 6.8 および 6.9 に規定されている手順に従います。

 

  1. 採用プロセス中: オフィサー マネージャーは、データ保護オフィサーの指導を受けて、次のことを保証します (法律で別段の許可がある場合を除く)。

 

  1. 候補者リスト、面接、および意思決定の段階で、人種や民族的出身、労働組合への加入状況、健康状態など、機密性の高い個人情報に関する質問は一切行われません。

 

  1. 機密性の高い個人情報を受け取った場合、たとえば応募者が履歴書または面接中に求められずにそれを提供した場合、その記録は保持されず、それへの言及は直ちに削除または編集されます

 

  1. 記入済みの機会均等モニタリング フォームは、個人の申請フォームとは別に保管され、最終選考、面接、または採用決定を行う人物には見られません。

 

  1. 「働く権利」のチェックは、雇用の申し出が無条件で行われる前に実施され、初期の最終選考、面接、または意思決定の段階では実施されません。

 

  1. 採用に関連して健康に関する質問をしたり、雇用の申し出があった後にのみ健康に関する質問をしたりすることはありません。

 

  1. 雇用中: オフィス マネージャーは、データ保護責任者の指導を受けて、以下を処理します。

 

  1. 疾病手当の管理、疾病欠勤記録の保持、スタッフの出勤の監視、および雇用関連の健康および疾病手当の促進を目的とした健康情報。

 

  1. 機会均等の監視と賃金平等の報告を目的とした機密性の高い個人情報。可能な場合、この情報は匿名化されます。と

 

  1. スタッフ管理および「チェックオフ」の管理を目的とした労働組合会員情報。

 

 

  1. 前科情報

 

  1. 犯罪記録情報は、当社の犯罪記録情報ポリシーに従って処理されます。

 

  1. データ保護影響評価 (DPIA)

 

  1. 処理が個人のデータ保護権に高いリスクをもたらす可能性がある場合 (たとえば、当社が新しい形式の技術の使用を計画している場合)、処理を開始する前に、DPIA を実行して以下を評価します。

 

  1. 処理が必要であり、その目的に比例しているかどうか。

 

  1. 個人へのリスク;と

 

  1. これらのリスクに対処し、個人情報を保護するためにどのような対策を講じることができるか。

 

  1. したがって、新しい形式のテクノロジーが導入される前に、担当マネージャーはデータ保護責任者に連絡して、DPIA を実行できるようにする必要があります。

 

  1. DPIA の過程で、パートナーは、データ保護責任者の助言と、およびその他の関連する利害関係者の見解を求めます。

 

  1. 文書化と記録

 

  1. 当社は、リスクの高い処理活動、つまり、個人の権利と自由にリスクをもたらす可能性がある処理活動、または機密性の高い個人情報や犯罪歴情報を含む処理活動の記録を保持します。

 

  1. 雇用者の組織の名前と詳細 (および該当する場合は、他の管理者、雇用者の代表者、および DPO)

 

  1. 処理の目的;

 

  1. 個人のカテゴリーおよび個人データのカテゴリーの説明;

 

  1. 個人データの受信者のカテゴリ;

 

  1. 関連する場合、実施されている移転メカニズムのセーフガードの文書化を含む、第三国への移転の詳細。

 

  1. 可能であれば、保持スケジュール。と

 

  1. 可能であれば、技術的および組織的なセキュリティ対策の説明。

 

  1. 処理活動の記録の一部として、以下について文書化するか、文書にリンクします。

 

  1. プライバシー通知に必要な情報。

 

  1. 同意の記録;

 

  1. コントローラーとプロセッサーの契約;

 

  1. 個人情報の所在

 

  1. DPIA;と

 

  1. データ侵害の記録。

 

  1. 機密性の高い個人情報または犯罪歴情報を処理する場合、次の記録を書面で保持します。

 

  1. 処理が行われる関連する目的 (必要な場合は、その目的のために必要な理由を含む)。

 

  1. 当社の処理の法的根拠。と

 

  1. 当社がポリシー文書に従って個人情報を保持および消去するかどうか、そうでない場合は、当社のポリシーに従わない理由。

 

  1. 当社は、当社が処理する個人情報を定期的に見直し、それに応じて文書を更新します。これには以下が含まれる場合があります。

 

  1. 当事務所が保有する個人情報を把握するための情報監査の実施

 

  1. 当社の処理活動の全体像を把握するために、アンケートを配布し、当社全体のスタッフと話をする。と

 

  1. 保持、セキュリティ、データ共有などの分野に対処するためのポリシー、手順、契約、および合意を確認します。

 

  1. プライバシー通知

 

  1. 当事務所は、プライバシーに関する通知を随時発行し、当事務所が収集および保持するお客様の個人情報、お客様の個人情報の使用方法および目的についてお知らせします。

 

  1. 当社は、明確で平易な言葉を使用して、簡潔で透明性があり、理解しやすく、簡単にアクセスできる形式で、プライバシーに関する通知の情報を提供するための適切な措置を講じます。

 

  1. 個人の権利

 

  1. あなた (他のデータ主体と同様) は、あなたの個人情報に関して次の権利を有します。

 

  1. その情報がどのように、なぜ、どのような基準で処理されるかについて通知を受けるため。当社のデータ保護プライバシー通知を参照してください。

 

  1. サブジェクト アクセス要求を行うことにより、お客様の情報が処理されていることの確認を取得し、その情報およびその他の特定の情報へのアクセスを取得するため。当社のサブジェクト アクセス要求ポリシーを参照してください。

 

  1. データが不正確または不完全な場合にデータを修正する。

 

  1. データが収集/処理された当初の目的のために必要でなくなった場合、またはデータ処理に優先する正当な理由がない場合 (これは「忘れられる権利」として知られる場合があります)、データを消去すること。

 

  1. 情報の正確性が争われている場合、または処理が違法である場合 (ただし、データが消去されることを望まない場合)、または雇用者が個人情報を必要としなくなったが、データを必要とする場合に、個人情報の処理を制限するため法的請求を確立、行使、または弁護する。と

 

  1. 個人情報の処理が正確でないと思われる場合 (雇用主が正確かどうかを確認している場合)、または処理に反対した場合 (雇用者が組織の正当な理由があなたの利益を無効にするかどうかを検討している場合)、個人情報の処理を一時的に制限するため)。

 

  1. 第 11.1.3 項から第 11.1.6 項に記載されている権利のいずれかを行使したい場合は、データ保護責任者に連絡してください。

 

  1. 個人の義務

 

  1. 個人は、当事務所が個人情報を最新の状態に保つのを助ける責任があります。あなたが会社に提供した情報が変更された場合、例えば、家を移動したり、支払い先の銀行や住宅組合の口座の詳細を変更した場合は、オフィス マネージャーに知らせる必要があります。

 

  1. あなたは、雇用または契約の過程で、当事務所の他のスタッフ、サプライヤー、クライアントの個人情報にアクセスすることがあります。その場合、当社は、あなたがそれらの個人に対するデータ保護義務を果たすのを支援することを期待しています.たとえば、上記のパラグラフ 11.1 に記載されている権利も享受できる可能性があることに注意してください。

 

 

  1. 個人情報にアクセスできる場合は、次のことを行う必要があります。

 

  1. あなたがアクセスする権限を持っている個人情報にのみ、許可された目的のためにのみアクセスします。

 

  1. 適切な権限を持っている場合にのみ、他の事務所スタッフが個人情報にアクセスできるようにする。

 

  1. データ保護責任者から特定の権限を与えられている場合にのみ、当社のスタッフ以外の個人が個人情報にアクセスすることを許可する;

 

  1. 個人情報を安全に保つ (たとえば、施設へのアクセス、コンピューター アクセス、パスワード保護、安全なファイルの保管と破棄に関する規則、および当社の情報セキュリティ ポリシーに規定されているその他の予防措置を遵守することにより)。

 

  1. 個人情報、または個人情報を含む (または個人情報にアクセスするために使用できる) デバイスを、情報とデバイスを保護するための適切なセキュリティ対策 (仮名化、暗号化、またはパスワード保護など) が導入されていない限り、会社の施設から持ち出さない;と

 

  1. 業務目的で使用されるローカル ドライブまたは個人のデバイスに個人情報を保存しない。

 

  1. 次のいずれかが発生した (または発生している、または発生する可能性がある) ことに懸念がある場合、または疑わしい場合は、データ保護責任者に連絡する必要があります。

 

  1. 法的根拠のない個人データの処理、または機密性の高い個人情報の場合は、6.2.2 項の条件のいずれかが満たされない個人データの処理。

 

  1. 以下の第 15.1 項に規定されているデータ侵害。

 

  1. 適切な許可なしに個人情報にアクセスする。

 

  1. 安全に保管または削除されていない個人情報。

 

  1. 適切なセキュリティ対策を実施せずに、個人情報、または個人情報を含む (または個人情報にアクセスするために使用できる) デバイスを会社の施設から持ち出すこと。

 

  1. このポリシーまたは上記のパラグラフ 4.1 に規定されているデータ保護原則のいずれかに対するその他の違反。

 

  1. 情報セキュリティー

 

  1. 当事務所は、当事務所の情報セキュリティポリシーに従って、適切な技術的および組織的措置を講じて、個人情報を安全に保ち、特に、不正または違法な処理および偶発的な損失、破壊、損傷から保護します。これらには次のものが含まれます。

 

  1. 可能な場合、個人情報が仮名化または暗号化されていることを確認します。

 

  1. 処理システムとサービスの継続的な機密性、完全性、可用性、回復力を確保する。

 

  1. 物理的または技術的な事故が発生した場合に、個人情報への可用性とアクセスをタイムリーに復元できるようにする。と

 

  1. 処理のセキュリティを確保するための技術的および組織的対策の有効性を定期的にテスト、評価、および評価するためのプロセス。

 

  1. 当社が外部組織を使用して個人情報を処理する場合、個人情報のセキュリティを保護するために、それらの組織との契約で追加のセキュリティ対策を実施する必要があります。特に、外部組織との契約では、次のことを規定する必要があります。

 

  1. 組織は、会社の書面による指示に従ってのみ行動することができます。

 

  1. データを処理する者は守秘義務の対象となります。

 

  1. 処理のセキュリティを確保するために適切な措置が取られます。

 

  1. 下請け業者は、当事務所の事前の同意と書面による契約の下でのみ従事します。

 

  1. 組織は、対象者へのアクセスを提供し、個人がデータ保護に関連して権利を行使できるようにすることで、当事務所を支援します。

 

  1. 組織は、処理のセキュリティ、データ侵害の通知、およびデータ保護の影響評価に関連する義務を果たすために、会社を支援します。

 

  1. 組織は、契約の終了時に要求されたとおり、すべての個人情報を削除するか、会社に返却します。と

 

  1. 組織は、監査と検査に提出し、両者がデータ保護義務を満たしていることを確認するために必要な情報を会社に提供し、データ保護法に違反することを求められた場合は直ちに会社に通知します。

 

  1. 外部組織による個人情報の処理を含む新しい契約が締結される前、または既存の契約が変更される前に、関連するスタッフはデータ保護責任者によるその条件の承認を求める必要があります。

 

  1. 個人情報の保管と保持

 

  1. 個人情報 (および重要な個人情報) は、当事務所の情報セキュリティ ポリシーに従って安全に保管されます。

 

  1. 個人情報 (および機密性の高い個人情報) は、必要以上に長く保持してはなりません。データの保持期間は、個人情報を取得した理由などの状況によって異なります。スタッフは、関連する保存期間、または保存期間を決定するために使用する必要がある基準を定めた会社の記録保存ポリシーに従う必要があります。不確実な点がある場合、スタッフは[データ保護責任者;

 

  1. 不要になった個人情報 (および機密性の高い個人情報) は、当社の情報システムから完全に削除され、ハード コピーは安全に破棄されます。

 

  1. データ侵害

 

  1. データ侵害は、次のようにさまざまな形で発生する可能性があります。

 

  1. 個人情報が保存されているデータまたは機器の紛失または盗難。

 

  1. スタッフまたは第三者による個人情報への不正アクセスまたは使用。

 

  1. 機器またはシステム (ハードウェアおよびソフトウェアを含む) の障害に起因するデータの損失。

 

  1. データの偶発的な削除や改ざんなどの人為的ミス。

 

  1. 火災や洪水などの不測の事態。

 

  1. ハッキング、ウイルス、フィッシング詐欺など、IT システムに対する意図的な攻撃。と

 

  1. 情報を保持している組織をだまして情報を入手する「自慢」犯罪。

 

  1. 当事務所は:

 

  1. 個人の権利と自由にリスクが生じる可能性がある場合は、過度の遅滞なく、可能であれば 72 時間以内に情報コミッショナー オフィスにデータ侵害の必要な報告を行う。と

 

  1. データ侵害が彼らの権利と自由に高いリスクをもたらす可能性が高く、法律で通知が義務付けられている場合、影響を受ける個人に通知します。

 

  1. 国際送金

 

  1. 当社は、欧州経済地域 (EEA) (欧州連合およびアイスランド、リヒテンシュタイン、ノルウェーで構成される) の外に個人情報を転送する場合があります。これは、その国、地域、または組織が適切なレベルの保護または情報を受け取る組織が、拘束力のある企業規則または標準データ保護条項、または承認された行動規範への準拠、またはクライアントの明示的な同意により、適切な保護手段を提供していること。

 

  1. トレーニング

 

  1. 当社は、スタッフがデータ保護の責任について適切に訓練されていることを確認します。個人情報への定期的なアクセスを必要とする役割を持つ個人、またはこのポリシーの実装またはこのポリシーに基づく対象者のアクセス要求への対応を担当する個人は、その義務とその遵守方法を理解するのに役立つ追加のトレーニングを受けます。

 

  1. 遵守しなかった場合の結果

 

  1. 当事務所は、この方針の遵守を非常に真剣に受け止めています。ポリシーに違反した場合:

 

  1. 個人情報が処理されている個人を危険にさらす。と

 

  1. 個人および当社に対して重大な民事上および刑事上の制裁を受けるリスクがあります。と

 

  1. 状況によっては、個人による犯罪に相当する可能性があります。

 

  1. このポリシーの重要性のため、従業員がその要件を遵守しなかった場合、当社の手順に基づく懲戒処分につながる可能性があり、この行為は重大な違法行為による解雇につながる可能性があります。非従業員がこのポリシーに違反した場合、その契約は即時に終了する可能性があります。

 

  1. このポリシーの内容について質問や懸念がある場合は、遠慮なくデータ保護責任者にお問い合わせください。

 

 

 

私はこのポリシーを読んで理解し、その条件に従うことに同意します。

 

署名済み................................................................. ................................................................... .

bottom of page