プライバシーポリシー
I. ステートメントおよび目的
個人データの処理に関し、多数の義務が適用法によって課されます。Superior Essex Groupは、個人のプライバシーを尊重し、個人データの処理に関連する事業運営において、適用法により課される法的基準を遵守することを誓約します。
適用法に定められた重要なデータ保護原則と重要な要項を遵守する責任が当社にはあり、それを全うすることを誓約します。
このポリシーは、当社が従う重要なデータ保護原則を説明し、また個人のプライバシーの尊重と個人データの保護に関する当社のアプローチを反映するものです。
II. 範囲
このポリシーは、EU内のすべてのSuperior Essex Groupの組織、およびEUから個人データを受け取る範囲、または適用法の対象となる範囲内のその他すべてのSuperior Essex Groupの組織に適用されます。
個人データは、当ポリシーおよび適用法に準じて処理されます。
このポリシーは、当ポリシーのセクションXIIIに記載されているSuperior Essex Groupのその他のポリシーと併せてお読み下さい。Superior Essex Groupは、このポリシーまたは適用法を遵守するために必要となる場合、付加的なポリシー、手順、または慣行を実施することがあります。
データ保護は、すべてのSuperior Essex Groupの従業員および事業部が共有する責任であり、すべての従業員および事業部はこのポリシーに記載されている原則と要項をよく理解し、それに準じることが求められます。
III. 定義
- 「提携」とは、別の事業体に対して、部分的または全体的な管理下にある、自身が管理する、または共通の管理下にある、すべての事業体を差します。
- 「適用法」とは、EEA諸国においてGDPR(一般データ保護規則)が適用される各国の法令またはGDPRそのものを指します。
- 「自動化された意思決定」とは、プロファイリングを含む、個人データに対する自動化された処理のみに基づいた意思決定のプロセスを意味し、これはデータ対象者に関連する法的効力を生みます。
- 「管理者」とは、個人または他者と共同で、個人データの処理における目的と方法を決定する、自然人または法人、公的機関、代理機関、またはその他の機関を指します。
- 「データ主体」は、個人データに関連する、特定されたまたは特定可能な自然人を意味します。識別可能な人とは、直接的または間接的、特に名前、識別番号、ロケーションデータ、オンライン識別子などの識別子、またはその自然人の身体的、心理学的、遺伝子的、精神的、経済的、文化的もしくは社会的な識別情報に固有の1つ以上の要素を参照することによって特定できる人のことです。
- 「EEA」は欧州経済地域(European Economic Area)を意味し、すべてのEU加盟国に加え、アイスランド、リヒテンシュタイン、ノルウェーも含まれます。
- 「発効日」とは、2018年5月25日を指します。
- 「従業員」とは、正社員、非常勤社員、臨時社員、復職社員、再雇用された社員、退職済みおよび元社員、インターン、および研修生を指します。
- 「機関」とは、安定した取り決めを通した、効果的および実際的な活動の行使を意味します。このような取り決めの法的形態は、支店であっても、法人格を有する子会社であっても、これに無関係です。
- 「EU」は欧州連合(European Union)を意味します。
- 「GDPR」とは、個人データの処理および、そのようなデータの自由な移動に対する自然人の保護、および指令95/46/EC(一般データ保護規則)の廃止に関する2016年4月27日の欧州議会および理事会による規制(EU)2016/679を指します。
- 「個人データ」は、データ主体に関連する情報を意味します。個人データには、個人データの特殊なカテゴリが含まれます。
- 「ポリシー」は、この一般的なプライバシーポリシーを意味します。
- 「プライバシー責任者」は、以下のセクション12で指定された人を意味します。
- 「プロファイリング」は、個人データを使用して自然人に関する特定の個人の特徴を評価する作業、特にその自然人の仕事、経済状況、健康、個人の嗜好、興味、信頼性、行動、所在地または活動におけるパフォーマンスに関する特徴を分析または予測する作業で構成されている、あらゆる形態の、自動化された個人データ処理を意味します。
- 「処理」は、自動化された手段によるか否かを問わず、収集、記録、編集、構造化、保存、修正もしくは変更、復旧、参照、使用、伝送による開示、周知またはその他の方法による提供、整列もしくは結合、制限、消去または破棄など、個人データまたは一連の個人データに対して行われる操作または一連の操作を意味します。
- 「個人データ侵害」は、法人のシステムによって伝送、保存またはその他の方法で処理された個人データに対する偶発的もしくは違法な破壊、紛失、変更、不正な開示またはアクセスの元となるセキュリティの侵害を意味します。
- 「特殊カテゴリの個人データ」には、人種もしくは民族の出自、政治的意見、宗教的もしくは哲学的な信念または労働組合への加盟を示す個人データ、自然人を一意に特定する目的で処理された遺伝子データ、生体認証データ、健康に関するデータ、または自然人の性生活もしくは性的指向に関するデータが含まれます。
- 「Superior Essex Group」、「当社」、「私たち」は、Corporation Service Company(251 Little Falls Drive, Wilmington, DE 19808)に登記されているデラウェア州の法人であるSuperior Essex Inc.、Corporation Service Company(251 Little Falls Drive, Wilmington, DE 19808)に登記されているデラウェア州の法人であるEssex Solutions Inc.、Corporation Service Company(251 Little Falls Drive, Wilmington, DE 19808)に登記されているデラウェア州の法人であるSuperior Solutions Global Inc.、Corporation Service Company(251 Little Falls Drive, Wilmington, DE 19808)に登記されているデラウェア州の法人であるEssex Brownell Inc.、Corporation Service Company(251 Little Falls Drive, Wilmington, DE 19808)に登記されているデラウェア州の法人であるSuperior Essex International Inc.および各々の関連会社を意味します。
4. 重要なデータ保護原則
個人データを処理するとき、当社は、以下の重要なデータ保護の原則を適用します。
- 当社は、データ主体に関連して合法的、公平、透明性のある方法で個人データを処理します(以下、「適法性、公正性および透明性の原則」)。
- 当社は、指定された明示的かつ適法な目的でのみ個人データを収集します。当社は、これらの目的とは相容れない方法で個人データをさらに処理することはありません(以下、「目的制限の原則」)。
- 当社は、個人データが、処理される目的上必要なものに対して十分であり、関連性があり、これに制限されるようにします(以下、「データ最小化の原則」)。
- 当社は、個人データが正確であり、必要な場合には最新の状態が維持されるようにし、不正確な個人データが、処理される目的を考慮して、遅滞なく確実に消去または修正されるように合理的なあらゆる手順が取られるようにします(以下、「正確性の原則」)。
- 当社は、個人データが処理される目的上必要な期間よりも長い期間、データ主体の特定が可能な形態で個人データを維持することはありません(以下、 「保管制限の原則」」
- 当社は、データ主体の権利(以下、「データ主体の権利」)に従って個人データを処理します。
- 当社は、不正または違法な処理および偶発的な損失、破壊または損失に対する保護を含む処理が行われたときに、個人データを保護するために技術的、組織的、セキュリティ的かつ適切な措置を行います(以下、「完全性、機密性、セキュリティの原則」)。
A. 目的制限の原則
当社業務の過程で、当社は、多種多様な目的で、データ主体のさまざまなカテゴリから異なる種類の個人データを収集および処理します。当社は、特定の明示的な適法の目的を事前に識別し、これを当社の処理アクティビティの記録(セクション8を参照)に文書化します。当社は、関連する例外が適用されない限り、これらの目的を、個人データを最初に収集するときに、またはその後できるだけ速やかにデータ主体に知らせます。
当社は、準拠法で認められない限り、特定の目的で収集された個人データを、当該目的とは相容れない異なる目的では処理しません。
お客様が、当初に確認した目的とは異なる目的で個人データを処理することを想定している場合、処理アクティビティを開始する前にプライバシー責任者にお問い合わせください。
B. 適法性、公正性および透明性の原則
1. 適法性と公平性
個人データの処理は、準拠法によって許可される場合のみ適法です。
- 当社は、準拠法に定められた許容可能な法的根拠のいずれかに基づいてのみ個人データを処理します。当社が通常最も信頼を置いている個人データ処理の法的根拠は以下に含まれますが、この限りではありません。
- データ主体を当事者とした契約を履行する必要性。
- 当社が従う、EUが基となる法的義務に準拠する必要性。
- 当社が管理者としてまたは第三者が追求する正当な利益の目的における必要性。
- データ主体の同意。
- 当社は、当社が処理する個人データの特殊なカテゴリの量を最小化することを目指しています。当社は、準拠法で許容可能な場合、例えば、当社が個人データの特殊なカテゴリを処理する法的義務がある場合またはデータ主体の明示的な同意がある場合、個人データの特殊なカテゴリのみを処理します。
- 当社は、適切な法的根拠を事前に識別し、これを当社の処理アクティビティの記録(セクション8を参照)に文書化します。
- 該当する管理者であるSuperior Essex Groupの法人の識別情報および詳細情報。
- 当社が処理する個人データのカテゴリ。
- 当社が個人データを処理する目的とこれを行う法的根拠。
- 個人データの開示先となる人。
- 当社がEEA域外に個人データを移転するかどうか(移転先の国および使用する移転メカニズムを含む)。
- 当社が個人データを保存する期間(またはそれが不可能な場合、当社が当該期間を決定するために使用していた基準)。
- データ主体の個人データの処理に関してデータ主体が行使できる権利。
- 個人データの提供が法定上または契約上の要件であるのか、それとも契約の締結に必要な要件であるのか。そして、データ主体が個人データを提供する義務があるのか、それともかかるデータを提供しなかったために起こり得た結果であるのか。
- プロファイリングを含む、自動化された意思決定が存在すること、GDPRによって必要とされる場合は、含まれているロジックならびにデータ主体のかかる処理の重要性および想定される結果に関する有意な情報。
C. データ最小化の原則
当社は、当社が処理する個人データが、処理の目的に必要なことに対して十分であり、関連性があり、制限されるように、技術的、組織的かつ合理的な措置を行います。
D. 正確性の原則
当社は、当社が処理する個人データが正確であり、最新の状態に保たれるように、技術的、組織的かつ合理的な措置を行います。当社は、収集時点およびその後で定期的に個人データの正確性を確認します。当社は、あらゆる合理的な手順を踏んで、不正確または最新の状態ではないデータを破壊または修正します。
E. 保管制限の原則
当社は、合理的、技術的、組織的な措置を実施するので、当社は、収集された目的またはその他の準拠法によって必要とされた、もしくは許可された目的およびSuperior Essex Group記録保持ポリシーに準拠した目的として必要な期間よりも長い期間、個人データを保持することはありません。当社は、合理的なあらゆる手順を取って、必要としなくなったすべての個人データを当社のシステムおよび記録から確実に破壊または消去します。
F. データ主体の権利
当社は、準拠法、特に以下に基づいてデータ主体に与えられた権利を尊重します。
- アクセスの権利:データ主体は、当社に責任のあるデータ主体の個人データに関する情報を要求でき、当該データのコピーを要求できます。
- 修正の権利:データ主体は、不正確な個人データの修正および未完了のデータを完了させることを要求できます。
- 消去する権利:データ主体は、データ主体の個人データが不正確な場合または当社が追求する目的に合致しない方法で処理された場合、当該データの消去を要求できます。
- データポータビリティの権利:当社がデータ主体との契約または同意に基づいて個人データを処理した場合、データ主体は、構造化されて共通に使用される、機械で読み取り可能な形式で個人データを受け取り、技術的に実現可能な場合はかかるデータを第三者に移転することを当社に依頼できます。
- 制限に関する権利:データ主体は、データ主体の個人データを制限することを要求できます。
- 反対に関する権利: データ主体は、データ主体の個人データの処理に反対できます。
- 不満を申し立てる権利:データ主体は、常居所、職場または侵害が申し立てられた場所にあるEU域内で管轄の管理当局に不満を申し立てることができます。
- 同意を拒否または撤回する権利:データ主体は、不利益な結果を招くことなくいつでも、データ主体の個人データの処理に同意することを拒否することができ、当該同意を撤回することができます。
- 自動化された処理のみに基づいた決定に従わない権利:データ主体は、DGPRが定める例外に基づき、データ主体に法的効果をもたらす、またはデータ主体に著しい影響を与える、プロファイリングを含む自動化された処理のみに基づいた決定(すなわち自動化された意思決定)に従わない権利を有するものとします。
準拠法では、当社がデータ主体の妥当な要求に応じなければならない時間枠を課しています。データ主体からの要求は、直ちにプライバシー責任者(セクション12を参照)に転送されなければなりません。
G. 完全性、機密性、セキュリティの原則
当社が処理する個人データを保護するため、当社は、不正または違法な個人データの処理および偶発的な個人データの損失、破壊または損害に対して技術的、組織的かつ合理的な措置を行います。
かかる措置には適宜以下が含まれるものとします。
- 個人データの仮名化と暗号化
- 処理のシステムおよびサービスの継続的な機密性、完全性、可用性および回復性を確保する能力。
- 物理的または技術的なインシデントが発生した場合、適時な方法で、個人データの可用性およびそれに対するアクセスを復旧する能力。
- 処理の安全性を確保するための技術的および組織的措置の有効性の定期的なテスト、評価および評定のための手順。
5. データ保護バイ・デザインおよびバイ・デフォルト
当社は、処理の方法を決定する時点および処理自体を行う時点の両方で、準拠法の要件に適合するために、本ポリシーのセクション3に定める重要なデータ保護の原則を有効な方法で行うように、および必要な安全措置を処理に組み込むように設計された、仮名化などの技術的、組織的かつ適切な措置を取る合理的な取り組みを行います。
当社は、合理的な手順を踏んで技術的、組織的かつ適切な措置を行うので、デフォルトでは、処理の特定目的ごとに必要な個人データのみ処理されます。
当社が実施する処理の一部はプライバシーならびに個人の権利および自由にリスクをもたらし、当社は、準拠法が必要とする場合、データ保護の影響評価を実施して、個人データの保護に対して想定される処理オペレーションの影響、目的に関連する処理オペレーションの必要性および比例性、関連する個人の権利および自由のリスクならびに当該リスクの対処に想定される措置を評価します。
6. 個人データ開示の実施
当社は、合理的な注意を払って、適法な目的を持ち、職務上の義務を履行するためにかかるアクセスを必要とする者を、適切な保障措置の対象であり、適用可能な場合のみ、個人データにアクセスできるようにします。
A. グループ内
当社は、Superior Essex Group内で個人データを共有する際、本ポリシーのセクション4に定める重要なデータ保護の原則に準拠するように合理的な手順を取ります。この目的を履行するにあたり、グローバルグループ内データ処理および移転契約を適切に行っています。
B. 第三者
当社は、個人データを第三者に共有する場合は合理的な手順を踏み、適切な場合はデューディリジェンスを実施して、契約上またはその他の適切な保障措置、とりわけ完全性、可用性、機密性の保護が確実になる条項が含まれている保障措置を行います。
7. 国際的なデータ移転の実施
当社は、個人データを別の国または地域に移転する場合、移転元の国の個人データに与えられる保護が、このように移転された個人データに適用されるように、かつ転送が準拠法に従って行われるように合理的な手順を取ります。
A. グループ内
当社は、欧州委員会の標準的契約条項に基づいて当社が締結したグローバルグループ内データ処理および移転契約に従い、EEA域外に設立されたSuperior Essex Groupの法人に個人データを移転します。時として、EU標準的契約条項などの代替的なデータ移転メカニズムを使用して、または許容可能な法定上の逸脱に基づいて移転が行われることがあります。
B. 第三者
EEA域外に設立された第三者への移転は、自己認証済み米国組織への移転のために当該第三国で十分な水準の保護が行われている、もしくはEU-米国間のプライバシーシールド(EU-U.S. Privacy Shield)、欧州委員会の標準的契約条項、拘束的企業準則(Binding Corporate Rules)、承認済みの行動規範と認証などの許容可能な移転メカニズムを使用している、または許容可能な法定上の逸脱に基づいた例外的な環境にある場合のみ行われるものとします。
VIII. 処理記録
当社は、準拠法に従ってすべての処理アクティビティの記録を最新の状態に維持します。これらの記録には、少なくとも以下が含まれなければなりません。
- 管理者の名前および連絡先詳細。
- 処理の目的および法的根拠。
- データ主体および個人データのカテゴリの説明。
- 第三国または国際的な組織の受取人を含む、個人データが開示されたまたは開示される受取人のカテゴリ。
- 個人データを国際的に移転するために使用する移転メカニズムおよび個人データが移転された移転先の国/国際的組織。
- 個人データの異なるカテゴリの消去について想定される期限。
- 個人データを保護する、技術的および組織的なセキュリティ措置の一般的な説明。
9. トレーニング
当社は、当社のデータ保護のポリシーおよび手順に関して従業員を訓練します。
10. 監査
当社は、自己評価手順を開発および維持し、このポリシーおよび関連するポリシーの法令遵守を監査して、不履行を軽減および改善します。
11. 質問および不満
本ポリシーに関するいかなる質問も、プライバシー責任者に送付できます。
本ポリシーが違反していると考える、データ主体を含むいかなる人も、プライバシー責任者に不満を提出できます。
本プライバシーステートメントに関するご質問、ご不明点、ご意見がある場合はメール([email protected])、または電話(770.657.6485)でご連絡ください。次の宛先に書面でご送付いただくこともできます:Superior Essex Legal Department, 5770 Powers Ferry Road, Suite 400, Atlanta, GA 30327。
12. データ保護ネットワーク
当社は、事業ユニット、機能グループおよび地域全体にわたって経営レベルで準拠法に準拠する責任を割り当てています。本ポリシー、関連するデータ保護ポリシーまたは準拠法に関するいかなる要求、質問または不満を、グローバルヒューマンリソースの部門長(VP)に適宜送付していただくこともできます。グローバルヒューマンリソース部門長は、当該要求、質問または不満に関連するSuperior Essex Group法人において指定されたプライバシー責任者に相談することができます。
9.関連するポリシー、標準、ガイドラインおよび参照
当社は、関連するポリシー、標準、ガイドラインおよび参照をインターネット経由で使用できるようにします。
14. 不履行
15. 本ポリシーの変更
当社は、法律、当社の業務および手続きまたは監督官庁によって課された要件の変更を反映するために必要な、本ポリシーを修正する権利を留保します。