Hypertherm の EU 一般データ保護規則ステートメント

ステートメント

2018年5月25日に発効したEU 一般データ保護規則 (General Data Protection Regulation、「GDPR」) は、欧州連合 (「EU」) 内における個人データの安全と保護を強化することを目的として、欧州プライバシー指令および各国の関連法令に取って替わるものです。GDPR は、EU 加盟国住民の個人データを収集または保存する企業に追加条件を課すものです。

当社のコミットメント

Hypertherm では GDPR の到来を歓迎しています。当社では、当社が処理する個人情報の安全と保護が GDPR の要求を確実に満たすようにするために献身的な努力を注いでいます。当社の成功は、最高品質をお届けする当社の能力に対する社員、お客様、その他の利害関係者の信頼の上に築かれています。これには、当社の社員、お客様、および第三者から当社に託された個人データに関し、高いレベルのデータ保護とセキュリティを適用する当社の能力が含まれます。Hypertherm では、各国内および国際的なデータ保護法令に単に準拠してこれを実践するだけではなく、Hypertherm 全社で実施されている基準、プロセス、および手順を適用することで行うことも、その任務であると考えています。これによって当社は、利害関係者に要求される透明性、予測可能性、および一貫性を達成することができます。本ステートメントには GDPR への準拠に向けた当社の準備と対策が要約されています。これには同規則への最大限かつ継続的な準拠を確実にするための新しいデータ保護の準備、役割、ポリシー、手順、管理、および対策の開発と実施が含まれます。

準備

データ保護に関する当社のポリシーは、利害関係者にそのデータが安全な状態に保たれるという自信を提供することに焦点を合わせています。当社では、利害関係者とそのデータがプライバシー原則に従った方法で取り扱われるようにするため、多くの対策を講じています。そのため GDPR 要件に向けた当社の全社的な準備には以下が含まれます。

情報監査:当社で保管している個人情報の内容、その情報源、その処理方法と理由、およびその開示先を特定・評価するための、データマッピングおよびデータ目録を通じた GDPR の観点から行う情報監査の実行。
ポリシーと手順:GDPR および関連するすべてのデータ保護法の要件と基準を満たす、以下のようなデータ保護ポリシーと手順。-
- データ保護 - GDPR の基準と要件が満たされるように、当社のデータ保護に関する主なポリシーおよび手順文書を全面的に刷新しました。データ保護に対する当社の義務と責任理解し、これを十分に広め、それを証明するために、プライバシーと個人の権利に特に焦点を合わせた説明責任とガバナンスに関する対策が設置されています。
- データの保持と消去 - 「データ最小化」と「保管期限」の原理が満たされるようにするため、また規則に準拠する方法でかつ倫理的に個人情報が保管、アーカイブ、および破棄されるようにするため、当社のデータ保持ポリシーとスケジュールを更新しました。
- データ漏洩 - 当社のデータ漏洩手順により、個人データを可能な限り早期に特定、評価、調査、報告するための予防手段と対策が取られています。当社の手順は強力で、報告先および従うべき手順が全社員に伝達されています。
- 国際的なデータ転送と第三者への開示 - Hypertherm が EU 加盟国以外において個人情報を保管または転送する場合において、当社にはデータの完全性を確保、暗号化、および維持するための強力な手順と予防手段が設置されています。当社では、十分な決定事項のある国々についてはその継続的な審査、またそれがない国については拘束力のある会社規則や標準データ保護条項、または承認済みの行動規範の採用を促すシステムとプロセスの導入に努力を注いでいます。当社では、個人データの受領者すべてについてデューデリジェンス (適正評価) を行って、情報を保護するための適切な予防手段が設置されていることを評価・検証し、また行使可能なデータ主体権利があること、および該当する場合はデータ主体のための効果的な法的救済策があることを確認しています。
- データ主体のアクセス請求 (「SAR」) - 当社は、データ主体により請求された情報を無料で 30 日以内に提供するという修正された義務期間に対応するため、当社の SAR 手順を改訂しました。当社の新しい手順には、データ主体の検証方法やアクセス請求の処理に必要な手順、データ主体との通信が規則に準拠し、一貫して十分なものであることを確実にするためにどのような例外が適用されるかについて詳細が記されています。
処理の法的根拠:当社では、データ処理の法的根拠を特定し、その根拠が当該の活動に適切なものであることを確認するため、すべての処理活動を審査しています。該当する場合は GDPR 第 30 条に基づく当社の義務を確実に満たすため、処理活動の記録も維持しています。
プライバシーポリシー:当社には GDPR に準拠したプライバシーに関する通知を行っています。これには、当社が個人情報を処理するすべての個人に対して、当社がその情報を必要とする理由、その使用方法、個人の権利、その情報の開示先、およびその情報を保護するために取られている予防手段について確実に知らせるものです。https://www.hypertherm.com/policies/
同意の取得:当社では、個人が提供する情報、および当社がそれを使用する理由と方法について個人が確実に理解した上で、当社がその情報を処理することに明確かつ定義された方法で同意していただけるよう、個人データ取得に関する同意方法を改訂しました。個人がオプトインされたことを日時の記録と共に証明できるように、その同意を記録するための厳格なプロセスと、個人がいつでもその同意を撤回できる簡単な方法を開発しました。
ダイレクトマーケティング:当社は、ダイレクトマーケティングに関するプロセスを改定しました。これには、マーケティング購読に関する明確なオプトイン機能、オプトアウトに関する明確な通知とその方法のほか、その後すべてのマーケティング資料に購読解除機能を提供することが含まれます。
データ保護影響評価 (「DPIA」):危険性が高いとみなされる、大規模な処理が行われる、または特殊なカテゴリー/有罪判決データを含む個人情報を当社が処理する場合において、当社では GDPR の第 35 条の要件に完全準拠する、影響評価を実行するための厳格な手順および評価テンプレートを開発しています。各評価を記録し、処理活動のリスク格付けを行って、データ主体にもたらされるリスクを減らすための緩和措置の実行を可能にする文書化プロセスを実施しています。
特殊カテゴリーのデータ:特殊カテゴリーの情報を処理する場合、当社では GDPR の第 9 条の要件に完全に準拠してそれを行い、当該データをすべて暗号化して保護します。特殊カテゴリーのデータは、必要な場合のみ、また第 9(2) 条に基づいて適切であると最初に認められた場合に処理されます。当社が個人の同意に基づいて処理を行う場合、これは明確に行われ、同意を変更する権利や取り下げる権利を明確に示した上で署名により確認されます。

データ主体の権利

上記の手順に加え、Hypertherm では当社が個人に関して所有するすべての個人情報にアクセスする個人の権利、また以下に関する情報を請求する個人の権利について、数多くの通信手段により情報を提供しています。

個人について当社はどのような個人データを保持しているか
処理の目的
当該個人データのカテゴリー
個人データの予定保管期間
当社が当該データを個人から直接収集しなかった場合は、その情報源
個人に関する不完全または不正確なデータを訂正または完成させる権利、およびそれを要請するためのプロセス
データ保護法に従って個人データの消去 (該当する場合)、または処理の制限を要請する権利、および当社からのダイレクトマーケティングを拒否する権利、および当社が使用する自動的な意思決定に関する情報を提供してもらう権利
苦情を申し立てる権利と、その場合の連絡先

情報セキュリティ対策

Hypertherm では、個人およびその個人情報のプライバシーと安全を真摯に受け止めており、当社が処理する個人データの保護とその安全の確保にあらゆる妥当な対策と予防措置を講じています。当社では、不正なアクセス、変更、開示、または破棄から個人情報を保護するための強力な情報セキュリティポリシーと手順を設置しており、アクセス制御、パスワードポリシー、暗号化、慣行、制限、認証タイプなど複数レベルのセキュリティ対策を講じています。