GDPRの遵守
私たちの取り組み
Intuitive Security Systems Pty. Ltd.(以下"私たち"または"弊社")は、私たちが処理する個人情報のセキュリティと保護を確保し、データ保護に関して適切かつ一貫したアプローチを提供することに取り組んでいます。私たちは、既存の法律に準拠し、データ保護の原則に従って、堅牢で効果的なデータ保護プログラムを常に実施してきました。しかし、私たちは、GDPRの要求に対応するために、このプログラムを継続的に更新および拡張する義務を認識しています。
Intuitive Security Systems Pty. Ltd.は、私たちの責任範囲内の個人情報を保護し、効果的で適切なデータ保護体制を確立し、新しい規制に対する理解と感謝を示すことを目指しています。当社のGDPRへの対応と詳細については、この声明にまとめて記載しており、データ保護の役割、ポリシー、手順、コントロール、および合意された規則の開発と実施を含む、最大限の継続的な準拠を保証しています。
GDPRへの準備
情報監査の実施- 私たちは、GDPRによって定義されるような機密情報を保管していないことを特定しました。私たちは、ビジネスを行うために必要な非機密の個人情報のみを保管しています。保有している個人情報、その情報の入手元、処理方法と理由、および開示の有無、および下流のデータ処理業者のGDPRの準拠状況を特定しました。
見直されたポリシーと手順- 当社は、GDPRおよび関連するデータ保護法の要求と基準に合致するよう、データ保護ポリシーと手順を見直しました。以下のポリシーと手順が該当します。
- データ保護- データ保護に関する当社の主要なポリシーと手順の文書は、GDPRの要求と基準に合致するように見直されています。当社は、当社の義務と責任を十分に理解し、適切に伝達し証明するための責任制とガバナンス手法を採用しており、プライバシーバイデザインと個人の権利に重点を置いています。
- データの保持と削除- 当社は、データの最小化と保存の制限の原則を満たすために、保持ポリシーとスケジュールを更新しました。個人情報は、適切で倫理的な方法で保存、保管、および廃棄されます。私たちは、"アクセスの権利"(第15条)、"訂正の権利"(第16条)、"消去の権利"(第17条)の遵守を確保するための手順を持ち、これらおよびその他のデータ主体の権利が適用される場合、免除、応答期限、および通知の責任を把握しています。
- データ侵害- 当社の侵害手順により、個人データの侵害を最も早い時期に特定し、評価し、調査し、報告するための保護措置と手段が確保されています。当社の手順は堅牢であり、すべての従業員に配布され、報告ラインと従うべき手順を認識させています。
- 国際データ転送と第三者への開示- Intuitive Security Systems Pty. Ltd.は、クライアントと企業の間の契約の実行に必要な個人情報を収集し、転送し、保管しますが、これはオーストラリアのサーバーのみです。私たちは、データの安全性と整合性を確保するために、堅牢な手順と保護措置を実施しており、データの国に対する十分な適合性決定や、適用されない場合には拘束力のある企業内規則、標準的なデータ保護条項、または承認された行動規範に対する規定も含まれています。私たちは、個人データの受取人全員に対して厳格なデューディリジェンスチェックを実施し、情報を保護するための適切な保護措置が取られていること、データ主体の権利が適用される場合には法的手段が有効であることを確認しています。
処理の法的根拠- 当社の処理活動は、GDPRの第6条に準拠しています。
処理活動の記録- Intuitive Security Systems Pty. Ltd.は、データの条件のサイズと性質により、第30条に基づく処理活動の記録の維持義務から除外されています。
プライバシーポリシー- 当社のプライバシーポリシー(各製品ファミリーごとに別個)は、GDPRに準拠しています。
データ保護影響評価(DPIA)- 当社は、機密個人情報の処理や非機密個人情報の大規模な処理を行っていません。当社は、GDPRの第35条の要件に完全に準拠する影響評価を実施するための厳格な手順と評価テンプレートを開発しました。私たちは、各評価を記録し、処理活動によって引き起こされるリスクを評価し、データ主体のリスクを軽減するための緩和措置を実施するための文書化プロセスを導入しています。
プロセッサ契約- 私たちは、当社の代わりに個人情報を処理するためにいかなる第三者も使用する場合(たとえば、支払い処理など)、プロセッサ契約とデューディリジェンス手順を確実に実施していることを確認しています。これらの措置には、提供されるサービスの初回および定期的なレビュー、処理活動の必要性、導入されている技術的および組織的な措置、およびGDPRの遵守が含まれます。
特別カテゴリのデータ- 当社は、特別カテゴリの個人データを処理していないことを特定しました。
データ主体の権利
データ主体は、GDPRに関連する質問や要求について、ウェブポータルを通じて私たちに連絡することができます。そのポータルを通じて、データ主体は、Intuitive Security Systems Pty. Ltd.が彼らに関して処理する個人情報に関連するGDPRによって彼らに提供される権利に関する要求を私たちに送ることができます:
- 私たちが彼らについて保持している個人データ。
- 処理の目的。
- 関連する個人データのカテゴリ。
- 個人データが/される受取人。
- 個人データを保存する期間。
- データを直接収集しなかった場合、情報源に関する情報。
- 彼らに関する不完全または不正確なデータを訂正または補完する権利、およびそれを要求するプロセス。
- 個人データの消去(適用される場合)またはデータ保護法に準拠して処理の制限を要求する権利、および私たちからの直接マーケティングに対する異議、および私たちが使用するすべての自動的な意思決定について知らされる権利。
- 苦情を申し立てたり司法救済を求めたりする権利、およびそのような場合に連絡を取るべき担当者。
情報セキュリティ、技術的および組織的な対策
Intuitive Security Systems Pty. Ltd.は、個人とその個人情報のプライバシーとセキュリティに非常に重要視し、処理する個人データを保護し、安全にするために合理的な措置を講じます。私たちは堅牢な情報セキュリティポリシーと手順を導入しており、個人情報への不正アクセス、改ざん、開示、破壊から保護します。従業員のトレーニング、データの転送と保存の暗号化、パスワードポリシー、ワンタイムパスワードや二要素認証の仕組み、その他の技術的および組織的な予防、検出、訂正の制御など、複数のレイヤーのセキュリティ対策があります。
GDPRの役割と従業員
Intuitive Security Systems Pty. Ltd.は、GDPRの法令遵守を常に監視するためのデータプライバシーチームを任命しています。チームは組織全体でのGDPRの意識向上、GDPRへの準備状況の評価、潜在的なギャップ領域の特定、新しいポリシー、手順、および矯正措置の実施を担当しています。
Intuitive Security Systems Pty. Ltd.は、継続的な従業員の意識と理解がGDPRの継続的な遵守に不可欠であることを認識し、従業員を準備計画に参加させています。GDPRに特化した従業員トレーニングプログラムを導入しており、すべての従業員に提供され、入社時および年次トレーニングプログラムの一部となっています。