ABBの会社規則 – まとめ
個人データの標準化された高レベルの保護を確保するABB社のグローバルなデータ保護基準
目次:
1.はじめに
1.1.公平性と合法性
1.2.敏感な個人データの処理
1.3.透明性
1.4.目的
1.5.比例性と品質
1.6.保存の制限
1.7.データセキュリティ
2.個人データの共有
2.1.データ処理者とのデータの共有
2.2.データ管理者との個人データの共有
2.3.第三者への転送
3.苦情
4.データ主体が利用できる第三者の権利
1.はじめに
ABB社では、データ保護の権利を尊重することが優先事項です。個人データの標準化された高レベルの保護を確保するには、ABB社はグローバルなデータ保護基準を採用しています。
ABBグループの会社が個人データのデータ管理者である場合は、ABBグループの会社は、以下に説明するデータプライバシーの原則を満たすことをお約束します。
1.1.公平性と合法性
個人データは、合理的に期待される方法で、以下の処理理由のいずれかに基づいて、常に公正かつ合法的に処理されるものとします。
- データ主体が個人データの処理に同意しました。
- データ主体との契約を履行する、またはデータ主体の要求に応じて契約前の措置を講じるには、処理が必要です。
- データ管理者が遵守すべき法的義務を遵守するには、処理が必要です。
- データ主体の重大な利益を保護するには、処理が必要です。
- または、データ主体の利益が正当な利益を無効にしない限り、データ管理者の正当な利益または第三者の正当な利益のために処理が必要です。
1.2.敏感な個人データの処理
ABBグループの会社が敏感な個人データを処理する場合は、合理的に期待される方法で、以下の処理理由のいずれかに基づいて、常に公正かつ合法的に処理されるものとします。
- データ主体が明示的な同意を与えました。
- 適切な保護手段を提供する国内法によって許可されている限り、雇用、社会保障、および医療に関連する国内法または欧州法の義務または行使権を満たすには、処理が必要です。
- 個人データは、データ主体によって明らかに公開されます。
- 法的請求を確立、行使、または弁護するには、処理が必要です。
- 従業員の作業能力を評価するには、処理が必要です。
- または、ABB社、スタッフ、および顧客の資産のセキュリティのために、たとえばビデオ録画や生体認証識別子の使用を通じて処理が必要です。
個人情報の性質および意図する処理に伴うリスクに応じて、適切なセキュリティ対策が講じられます。
1.3.透明性
ABBグループの会社は、収集の時点で、または収集の合理的な期間内に、特に次のような公正で透明な処理を確保するために必要な情報をデータ主体に提供するものとします。
- データ管理者の身元と連絡先の詳細、およびデータ保護責任者の連絡先の詳細;
- 処理の目的と法的根拠;;
- 個人データの受信者または受信者のカテゴリ;
- 個人データのソース(データ主体から直接収集された個人データでない限り);
- 個人データの処理およびそのような処理に関連して権利を行使する方法に関連するリスク、規則、保護措置および権利。
1.4.目的
ABBグループの会社は、明示的かつ合法的な目的でのみ個人データを処理するものとします。同時に、データ主体が同意を与え、透明性の原則によって要求される情報を受け取った場合、または適用法の下で処理が許可されている場合を除き、収集された個人データは互換性のない目的で処理されません。
1.5.比例性と品質
個人データは常に適切であり、処理の目的に関連しているものとします。特に、個人データは、処理の目的に必要なものに限定する必要があります。ABB社は、個人データが正確であり、必要に応じて最新の状態に保たれることを確保します。不正確または不完全な個人データが不当な遅延なしに消去、ブロック、または必要に応じて修正されることを確保するには、ABBグループの会社はあらゆる合理的な措置を講じます。
1.6.保存の制限
個人データは、処理される目的に必要な期間、または適用される時効を考慮して推奨される期間にのみ処理されるものとします。この期間の終わりに、データをより長く保存することを許可する適用法の下での免除がない限り、個人データは消去または匿名化されます。
1.7.データセキュリティ
ABBグループの会社は、以下の要素を考慮して、個人データの適切なセキュリティレベルを確保するための適切な技術的および組織的対策を維持します:個人データの性質; 個人データに影響を与える可能性のあるリスク; 個人データの処理の機密性、完全性、可用性、および回復性を確保する能力; 適用法の要件; およびお客様とのサービス契約で指定されたあらゆる措置。
ABBグループの会社は、ABB社の情報セキュリティ管理会社規則、指示、ポリシー、および基準に定められた情報セキュリティ要件を遵守する必要があります。(a)個人データの侵害の結果としてデータ主体が危害を被るリスクが高い場合、または(b)(データ主体が危害を被るリスクが高くない場合でも)適用される違反通知法がそのような通知を要求する場合、ABB社はデータ主体に個人情報に影響を与えるセキュリティ違反を通知します。
2.個人データの共有
2.1.データ処理者とのデータの共有
データ処理者が適切な技術的および組織的措置を実施することを十分に確保するには、ABBグループの一つの会社は、データ保護および情報セキュリティリスク評価が実施された個人データを処理するために一人の第三者データ処理者のみを任命します。ABBグループの会社は、適用法で要求される規定を含む適用法の下で有効であると認められるデータ処理者との書面による契約があることを確保します。
2.2.データ管理者との個人データの共有
ABBプライバシー原則を満たしていることを条件として、個人データに関してABB社がデータ管理者である場合、ABBグループの会社は、別のデータ管理者と個人データを共有することができます。
2.3. 第三者への転送
欧州の個人データは、他のABBグループの会社、または欧州連合、または欧州委員会が欧州の個人データの適切なレベルの保護を決定する有効な決定がある国または地域に所在する第三者と共有される場合がありますが、データを適切に保護するための要件はこれ以上ないことを前提とします。他のすべてのシナリオでは、EUモデル条項の使用など、GDPR第46条に規定されているように、欧州個人データの適切な保護措置が講じられている場合にのみ、欧州個人データを共有できます。ABBグループの会社が欧州の個人データに関するデータ管理者である場合、そのようなデータは、欧州の法律が転送の例外を規定している特定の状況でも共有される場合があります - たとえば、データ主体が明示的な同意を与えた場合、データ主体との契約を履行する、またはデータ主体によって要求された契約前の措置を講じるために第三者への転送が必要な場合。適用法の要件に従って、データを保護するための適切な保護措置が講じられている場合にのみ、欧州以外の個人データは他の実体と共有できます。
3.苦情
データ主体が、適用されるデータ保護法に違反してABBグループの会社によって個人データが処理されたことを懸念する場合は、abb.com/privacyの連絡フォームを送信するか、privacy@abb.comにメールを送信して、書面で苦情を提出することができます。
ABBは、不当な遅延なしに、通常、苦情を受け取った日から一か月以内に、苦情処理を促進します。苦情の複雑さまたはデータ主体による要求の数により、この期間は必要に応じてさらに二ヶ月延長される場合があります。上記の理由により苦情の処理が遅れた場合は、データ主体に通知されます。
4.データ主体が利用できる第三者の権利
データ管理者としてABBグループの会社が欧州の個人データを処理するときはいつでも、データ主体は以下の権利を有します。データ管理者としてABBグループの会社が欧州以外の個人データを処理するときはいつでも、データ主体は適用法の下で利用可能な権利を行使することができます。データ主体の正当な要求は、過度の遅延なしに、いかなる場合でも一か月以内に応答されます。
アクセス権と移植性 - データ主体には以下の権利を有します。
- ABBグループの会社が当該データ主体に関する個人データを処理するかどうかの確認を受け取ります。
- 構造化され、一般的に使用され、機械で読み取り可能な形式で個人データのコピーを受け取ります。
- 個人データがデータ主体によって提供され、自動的に処理され、個人データが個人の同意を得て、または個人との契約を履行するために処理される場合、構造化され、機械で読み取り可能な形式で、個人データを別の実体に転送するように依頼します。
修正の権利 - データ主体は、不正確または不完全な個人データの修正を要求する権利を有します。
消去の権利(「忘れられることを選択する権利」) - データ主体は、適用法によりデータの削去が義務付けられている場合、またはデータの処理が違法である場合、個人データが不要になったときに消去する権利を有します。
制限の権利 - データ主体は、特定の状況で個人データの処理を制限する権利を有します。
異議を申し立てる権利 - データ主体は、処理の基礎として当社の正当な利益に依存している場合、またはデータ保護権がABB社の正当な利益の推論を上回っている場合、個人データの処理に異議を申し立てる権利を有します。
自動化された意思決定 - データ主体は、ABB社に自動化された意思決定(つまり、決定に人間が関与しない)の対象とならないように依頼する権利を有します。
同意の撤回の権利 - ABB社が個人データを処理するための同意を求めた場合、データ主体はいつでも同意を撤回する権利を有します。同意の撤回は、それより前の時点での処理の合法性に対しては影響を及ぼしません。
ABB社に連絡して、個人データおよびABB社の処理方法の設定を確認、更新、変更、または削除したい場合は、 当社のデータ主体の権利要求フォームのウェブサイトにアクセスしてください。