グローバルデータ保護規則（GDPR）ポリシー

1 目的

Bruks Siwertellは、組織内の様々な部門において、個人に関する特定の情報を収集・利用しています。本ポリシーの目的は、Bruks Siwertellがこれらの情報を一般データ保護規則（GDPR）を含む適用法に準拠して取り扱うことを確保することです。本ポリシーは、個人情報が含まれるすべてのデジタル情報を対象としています。

GDPR は EU/EEA 市民にのみ適用されます。

このポリシーには、Bruks Siwertell の全従業員と、Bruks Siwertell に代わって働くすべての請負業者が含まれます。 

2 練習と復習

経営陣は、Bruks Siwertellが取り扱う個人データが本ポリシーに準拠していることを確認する責任を負います。本ポリシーは毎年見直し、改訂されます。 

HR ディレクターは、ポリシーの年次更新と、GDPR の変更がポリシーに確実に実装されるよう責任を負うものとします。
 

3 組織と責任

Bruks Siwertellグループ内の各部門のマネージングディレクターは、本ポリシーの内容に責任を負い、組織がその要件を遵守することを保証します。本ポリシーの実施は人事部長に委任されています。

Bruks Siwertell の従業員と Bruks Siwertell に代わって働く請負業者は両方とも、ポリシーの要件に従って行動することを保証する責任があります。 

3.1 全体的な責任 - GDPR
人事部長は、Bruks SiwertellがGDPRを遵守していることを保証する責任を負います。つまり、人事部長は毎年のレビュー後に、経営陣にセキュリティリスクを報告します。人事部長は、従業員がポリシーを遵守し、その実際の適用について周知徹底し、個人データの写しの提出を求められた場合は対応します。 

ITマネージャーは、個人データの保管に使用されるすべてのITシステム、サーバー、および機器が最新の状態に保たれ、セキュリティ要件を満たしていることを確認する責任を負います。また、ITマネージャーは定期的にソフトウェアとハ​​ードウェアを点検し、Bruks Siwertell傘下の第三者によって保管されている個人データを評価します。 

4つの定義

個人データ    
特定された、または特定可能な人物（「データ主体」）に直接的または間接的に関連する情報。特に、名前、識別番号、位置データ、オンライン識別子などの識別子を参照することにより特定されます。

データ件名    
個人データが関連する個人。 

処理    
個人データに対して実行されるあらゆる操作または一連の操作（自動的な手段によるかを問わず、収集、記録、整理、構造化、保管、適応または変更、検索、照会、使用、送信による開示、配布またはその他の方法による利用可能化、調整または組み合わせ、制限、消去または破壊など）。

同意    
データ主体の「同意」とは、データ主体が自由に与えた、特定の、情報に基づいた、明確な希望の表明であり、それによってデータ主体は声明によって、自分に関する個人データの処理に同意することを示します。

情報
保存されている個人データについてデータ主体に通知する Bruks Siwertell の義務。 

援助協定     
Bruks Siwertell（管理者）以外の、管理者の直接の権限の下で個人データを処理する権限を持つ自然人、法人、公的機関、代理店、または団体との契約。

データコントローラー    
個人データの処理目的および処理手段が法律で定められている場合、単独または共同で個人データの処理目的および処理手段を決定する自然人または法人、公的機関、代理機関、またはその他の機関。（本ポリシーでは、Bruks Siwertell がデータ管理者となります。）

5 個人データの処理

すべての個人データは以下の原則に従って処理されます。

5.1 合法性、公平性、透明性
すべての個人データは、データに関して合法的、公正かつ透明な方法で処理されなければなりません。
 
5.2 目的の制限
個人データは、特定の、明示的かつ正当な目的のために収集される必要があり、それらの目的と矛盾する方法でさらに処理されてはなりません。 

5.3 データの最小化 
個人データは、処理される目的に関連して適切かつ関連性があり、必要なものに限定される必要があります。 

5.4 精度
個人データは正確で、必要に応じて最新の状態に保たれなければなりません。また、処理の目的に関して不正確な個人データが遅滞なく削除または修正されるように、あらゆる合理的な措置を講じる必要があります。

5.5 ストレージの制限
データは、個人データが処理される目的に必要な期間を超えて、データ主体を識別できる形式で保存される必要はありません。保存制限は、「GDPR 中央文書」に記載されています。

5.6 完全性と機密性
個人データは、適切な技術的または組織的措置を使用して、不正または違法な処理、および偶発的な損失、破壊、損傷からの保護を含め、個人データの適切なセキュリティを確保する方法で処理されます。 

5.7 説明責任
Bruks Siwertell（データ管理者）は、法令遵守の責任を負い、その遵守を証明することができます。そのため、すべての個人データ登録は、「GDPRセントラル文書」と呼ばれる単一の中央文書に記録されます。すべての従業員とSiwertellの請負業者が規則を遵守するための手順が整備されています。   

5.8 新しいデータの処理と処理データの変更
新しいデータを処理したり、データの処理方法を変更したりする前に、いくつかの考慮事項を考慮する必要があります。個人データを収集する必要があるのか​​、そして、個人データを処理する個人に何らかのリスクはあるのか？ 

    5.8.1 必要性
管理者が最初に尋ねる必要がある質問は、特定の目的を達成するために必要な個人データは何か、プロセスはデータの最小化、正確性、保存の制限、完全性と機密性、説明責任という 6 つの原則に従っているかどうかです。

    5.8.2 影響
当該プロセスがデータ主体、または機密情報などの特別なカテゴリーの個人データにリスクをもたらす可能性がある場合、適切なデータセキュリティを確保するために、影響分析とデータリスクを防止または制限するための管理措置を実施する必要があります。詳細は5.11項をご覧ください。

5.9 非構造化情報の処理 
電子メールや文書、契約書、手紙内の個人データ、画像、ビデオなどの非構造化情報を処理する場合は、簡略化されたプロセスが適用されます。

これにより、個人データの完全性と自由性を損なうことなく、日常的な処理が容易になります。この簡素化されたプロセスは、ウェブサーバーに保存されている非構造化個人データ、文書や電子メールのやり取り、画像や動画に保存されている非構造化個人データの保護に適用されます。従業員の氏名と電話番号も含まれます。 

これは、データ主体の権利を侵害しない限り、日常的な個人データの処理は許可されることを意味します。データ主体の権利を侵害する個人データの処理は依然として禁止されています。

5.10 データ主体の権利／個人データをデータ主体に通知する権利
データ主体には、データ処理活動について通知する必要があります。GDPRの要件を満たすため、Bruks Siwertellはデータ主体にデータ処理情報を提示するためのテンプレートを用意しています。テンプレートには、当社が収集する個人データに関する情報と、当社がこれらのデータを処理する方法が記載されています。また、データ主体の権利とデータ管理者の連絡先情報も記載されています。 

通常、顧客、従業員、またはベンダーに割り当てられた主な連絡担当者が、データ主体に個人データ処理について通知する責任を負います。例えば、Bruks Siwertellの新入社員には、人事部長が会社の個人データ処理ポリシーについて通知する責任を負います。  

Bruks Siwertell の個人データ処理活動に関する情報は、www.bruks-siwertell.com でご覧いただけます。

    5.10.1 データ主体のアクセス権 
データ主体が自身の個人データへのアクセスを希望する場合、本人または有効な委任状を有する代理人は、データ抽出リクエストを送信することができます。リクエストされた情報は、データ主体または承認された連絡先に送信されます。データ主体は、フォローアップの質問や問い合わせをいつでもマネージング・ディレクターにエスカレーションする権利を有します。 

個人データに関する照会を受けた者は、アクセスを求める者の身元を確認する必要があります。照会が電子的に受信された場合、データ主体が希望する場合、個人データは電子的に送信することもできます。

個人データの送付は、暗号化またはパスワード保護された安全な方法、あるいは書留郵便で送付する必要があります。データ主体は、データ管理者が要求を受領してから30日以内に、個人データのコピーを無料で受け取ることができます。
 

    5.10.2 データ主体のその他の権利
データ主体が、個人情報が不正確または不完全であると判断した場合、データ管理者に連絡を取った場合、データ管理者は遅滞なく当該情報を修正します。また、該当する場合、データ主体は個人情報を削除する権利を有します。例えば、個人情報がもはや適用されなくなった場合などです。

データ主体は、利益に基づき、個人データの処理に異議を申し立てる権利を有します。データ管理者が個人情報の処理を継続する場合、データ主体の利益、権利、および自由よりも優先する理由を提示する必要があります。 

上記のデータ主体からのリクエストは、直ちに人事部長に転送され、処理されます。
 

5.11 個人情報の特別なカテゴリー 
人種や民族の起源、政治的意見、宗教的信念や哲学的信念、または労働組合の加入を明らかにする個人データの処理、および自然人を一意に識別するための遺伝情報や生体認証データ、健康に関するデータ、または自然人の性生活や性的指向に関するデータの処理は禁止されます。

特別なカテゴリーの個人情報は、データ主体が個人データの処理に明示的に同意した場合、または雇用、社会保障、社会保護法の分野におけるデータ管理者またはデータ主体の義務を履行し、特定の権利を行使する目的で処理が必要な場合に処理されることがあります。

5.12 子供の個人データ
保護者は、個人データに関して、お子様の同意なしに、自動的にお子様に代わって行動する権利を有しません。これは、お子様は個人であり、GDPRに基づく権利を有しているためです。

5.13 個人データ開示義務
場合によっては、データ管理者は個人データを開示する義務を負います。例えば、税務当局やその他の当局から照会を受けた場合などです。 
 

6 個人データアシスタント契約

個人データにアクセスし、その処理に関与するその他の企業は、個人データアシスタントと呼ばれます。場合によっては、第三者のシステムサプライヤーがデータ管理者の個人データにアクセスすることがあります。Bruks Siwertellは、これらのサプライヤーと個人データアシスタント契約を締結しており、契約に署名する権限を持つのは、マネージングディレクター、購買ディレクター、ITマネージャー、人事ディレクターです。 

7 ルーチンと指示

7.1 全従業員への情報
Bruks Siwertellの全従業員は、このポリシーを遵守する義務があります。手順は「GDPR - 全従業員向け指示」という文書に記載されています。 

7.2 保存制限 – 情報の削除
個人データは、データ主体の識別が可能な方法で、指定された目的に必要な期間のみ保管されます。個人データが不要になった場合は、削除または匿名化する必要があります。データ管理者は、個人情報が必要以上に長期間保管されないよう、適切な手順を定めています。各個人データの保管期限に関する情報は、「GDPR中央登録簿」に記載されています。人事部長は、個人データの保管期限に関するフォローアップの責任を負います。

7.3 処理の合法性
データ管理者が行う個人データ処理行為のすべてについて、処理の合法性を確立する必要があります。処理が合法となるのは、以下の場合です。データ主体との契約履行の一部である場合、法的義務の履行に必要である場合、企業がデータ主体から明示的な同意を得ている場合、または処理が「利益の秤量」に基づいて設定された要求を満たす場合です。すべての利益の秤量については、文書化して保管する必要があります。データ処理の合法性は、「GDPR中央登録簿」に記録されます。 

7.4 登録
個人データの処理は、「GDPR中央登録簿」に記録されています。GDPRに基づく個人データの処理に関する要件は、ITサービスおよびソリューションの開発および購入時に確保する必要があり、特定の要件およびあらゆる契約の一部となります。

7.5 フォローアップ
個人データ処理のフォローアップと評価は少なくとも年に 1 回実施されます。

7.6 個人データ侵害の通知
会社内で発生した個人データの漏洩は、直ちに人事部長に報告しなければなりません。人事部長は、個人データの漏洩が自然人の権利および自由にリスクをもたらす可能性が低い場合を除き、遅滞なく、かつ、漏洩を認識してから72時間以内に、監督機関に個人データの漏洩を通知します。監督機関への通知が72時間以内に行われない場合は、遅延の理由を添えて通知するものとします。 
 

GDPRに関する質問

GDPRポリシーに関してご質問がある場合は、人事部長のカタリナ・オーケソンまでお問い合わせください。 katarina.akesson@bruks-siwertell.com