EUデータ保護規則
EUデータ保護規則
Mercedes-Benz Group
目次
3 Mercedes-Benz Group 内での法的拘束力 4
5.5 自動処理に基づく個別事例の決定(プロファイリングを伴う場合ある) 8
5.10 プライバシーバイデザインとプライバシーバイデフォルト 9
15.1 Mercedes-Benz Group 外への転送 18
15.2 Mercedes-Benz Group 内の転送 18
1 本規程の目的
Mercedes-Benz Group は、データ保護の権利の遵守を社会的責任の一部と見なす。
欧州連合などの一部の国や地域では、法律により個人のデータを保護するための基準が確立されており(以下「個人情報」)、適切なレベルのデータ保護がある場合にのみ、そのようなデータを他の国に転送できるという要件を含む受信者の宛先に存在する。
本 EU データ保護規則では、以下に関してグループ内の統一された適切なデータ保護基準を定めている。
• (a) EU / 欧州経済領域(EWR) (以下「EU / EEA」)などの地域における個人情報の処理
• (b) EU / EEA 外のグループ会社への個人情報の国境を越えた転送(現地でのその後のデータ処理を含む)。
この点に関して、本規程は、Mercedes-Benz Group 内の EU/EEA を起源とする個人情報処理の拘束力のある規則を定めている。これによって、EU / EEA 外の個人情報を保護するための適切な保護措置が講じられ、Mercedes-Benz Group のいわゆる拘束的企業準則(拘束的企業準則管理者– BCR-C)が作成される。
2 免責事項
このEU データ保護ポリシーは、Mercedes-Benz Group AG、それが管理するグループ会社(以下「グループ会社」)およびその従業員と その執行機関のメンバー。この意味で管理されているということは、 Mercedes-Benz Group AG が直接または間接的に議決権の過半数、経営陣または合意の過半数を保有することにより、この方針の採用を要求できることを意味する。
本規程は、国内法がその適用範囲を拡大しない限り、データシステムにおける完全または一部が自動化された個人情報処理、 および非自動化処理に適用される。ドイツでは、本規程は紙形式のすべての従業員データ1に適用される。
本規程は以下の個人情報の処理に適用される。
• (a) EU / EEA 内または本規程が拡大適用されるその他の国に本拠地を置くグループ会社およびその子会社(「EU / EEA に本拠地を置く企業」)
• • (b) EU 外で設立されたグループ会社のうち、EU 内の自然人に製品またはサービスを提供するもの、または EU 内の自然人の行動をモニタリングするもの、またはその両方(「EU に製品またはサービスを提供する第三国の企業」)
1 本規程では文章を分かりやすくするため、男女を区別した記載はしない。内容はどれもあらゆる性別を対象としている。
本規程は、Mercedes-Benz Group の EU からの個人情報を処理するための統一された拘束力のある企業ルール(以下、「拘束力のある企業ルール- BCR」と呼ぶ)を確立する。
本規程は、以下の個人情報の処理に適用される。
• EU/EEA 居住企業
• EU に製品またはサービスを提供する第三国の企業
• EU からデータを受信する第三国の企業
• (c) EU / EEA 外に本拠地を置くグループ会社のうち、本規程の
a) または b) が適用される会社から直接または間接的に個人情報を受領した、またはそのようなデータの開示を受けたもの
(「EU / EEA のデータを受領する第三国企業」)
EU / EEA 外での処理について、本規程では以降「第三国での処理」という。
第三国企業が関与または処理の対象となるグループ会社は、該当する規制に記載されている。「EU データ保護ポリシーの対象となるグループ会社のリスト」。
本規程はEU / EEA 外の国にも拡大適用できる。法人情報が個人情報と同様に保護される国の場合、法人情報にも同様に本規程が適用される。
3 Mercedes-Benz Group 内での法的拘束力
本規程の規則および条項は、適用範囲内で事業を行うすべてのグループ会社に対して拘束力を持つ。従って、グループ会社およびその経営陣と従業員は、適用される EU 法および国内の情報保護法に加えて本規程を遵守する責任を負う。
法的要件として定められていない限り、グループ会社は本規程から逸脱した規則を採用する権限を持たない。
4 法的要件との関係性
本規程はEU 規則や国内法に代わるものではない。国内の情報保護法を補うものである。EU 法規則などの国内法が個人情報に対してより高度なレベルの保護を規定している場合、これらの規則は本規程の規定に優先して適用される。また、本規程の内容は対応する国内法がない場合にも遵守する必要がある。第三国の規制に関する監視と報告については、第 16 項に記載されている。
本規程の遵守が国内法の違反となる場合、または国内法が本規程から逸脱する規則を要求する場合、これはデータ保護監視の一環としてグループ最高データ保護責任者および中央コンプライアンス組織に報告されるものとする。国内法と本方針の間に矛盾がある場合、グループ最高データ保護責任者および中央コンプライアンス組織は、関連するグループ会社と協力して、本方針の目的を満たす実用的な解決策を見つける。
5 個人情報処理の一般原則
5.1 合法性
個人情報は、合法的かつ良心を持って処理する必要がある。データ処理は、それぞれの処理プロセスに対して適切な法的根拠が存在する場合などにのみ行うことができる。これは、グループ会社間のデータ処理にも当てはまる。送信会社と受信会社の両方がMercedes-Benz Group に属しているという事実は、データ処理を正当化するものではない。
個人情報の処理は、第 5.2 項または第 5.3 項に定められた下記の許可条件が適用される場合に合法的である。個人情報の処理目的を本来の目的から変更する場合にも、このような許可が必要である。
5.2 顧客およびパートナーのデータに関する法的根拠
5.2.1 契約関係に関するデータ処理
見込み顧客、顧客、またはパートナーの個人情報は、契約の締結、履行、終了のために処理できる。これには、契約の目的に関連する場合は、顧客またはパートナーのサポートも含まれる。
契約締結の前に、見積もりの作成、購入申込書の準備、その他契約の締結に関連する見込み顧客の要求を満たすために個人情報を処理できる。契約準備期間中、見込み顧客が提出した情報を使用し、この見込み顧客に連絡を取っても構わない。顧客候補者が何らかの制約を指定している場合には、これを守らなければならない。
5.2.2 宣伝目的でのデータ処理
の場合データ主体グループ会社に情報の要求(たとえば、製品に関する情報資料の送信要求)を連絡すると、データ処理はこの要求を満たすことができる。顧客獲得または宣伝目的の場合には、さらなる法的条件を満たさなければならない。広告または市場および世論調査の目的での個人情報の処理は、データが最初に収集された目的と互換性がある場合に許可される。個人情報を宣伝目的で使用する場合は、データ主体に事前の通知を行う必要がある。宣伝の目的でのみデータを収集する場合、データ主体はあくまでも任意でその情報を記入する。データ主体に対し、この目的のためのデータ提供は任意であることを通知する必要がある。コミュニケーションの一環として、データ主体の同意を得ることが必要である。同意に関しては、データ主体が電子メッセージや電話などの連絡方法を選択できるようにする必要がある
(第 5.2.3 項を参照)。データ主体が宣伝目的での個人情報の使用を拒否する場合、この目的で個人情報を使用することはできず、この目的での使用を制限または禁止する必要がある。さらに、国によっては宣伝を目的とした情報の使用を制限している場合もあるため、このような場合にはこれに従わなければならない。
個人情報の処理には、十分な法的根拠が必要である。
顧客およびパートナーのデータは、契約の確立、実装、および終了の目的で、また契約の開始のコンテキストで処理される場合がある。
顧客およびパートナーのデータが広告目的でのみ収集される場合は、データ処理を開始する前にデータ主体の同意が必要である。
5.2.3 データ処理への同意
情報処理は該当者本人の同意がなければ行なえない。同意の前に、データ主体に対して本 EU データ保護規則に従って情報を通知する必要がある。後日の証明を可能とするため、同意宣言は基本的に書式または電子方式で行なわれなければならない。特定の状況では、たとえば電話相談の場合、口頭で同意を与えることもできる。ただし、この場合にも同意を文書化しなければならない。
5.2.4 法的権限または義務に基づくデータ処理
個人情報処理は、国の法規則がデータ処理を要求、前提または許可している場合にも認められる。データ処理の方法と範囲については、法的に許可されたデータ処理に必要な範囲で可能であり、法規に従うものとする。
5.2.5 正当な利益に基づくデータ処理
また、正当な利益のために必要な場合も個人情報を処理できる。通常ここでいう正当な利益とは、法的な利益(未払い債権の回収など)または経済的な利益(契約不履行の回避など)を指す。正当な利益に基づくデータ処理は、データ保護の利益がデータ処理の利益を上回るような場合には行うことはできない。利害における保護の必要性は処理の度に確認しなければならない。
5.3 従業員データに関する法的根拠
5.3.1 雇用関係に関するデータ処理
雇用関係に関しては、雇用関係の確立、実施、終了に必要な個人情報が処理される場合がある。応募者の個人情報は、雇用関係を結ぶ判断のために処理できる。応募者が採用されなかった場合、応募者が将来の採用のための情報の記録に合意した場合を除き、応募者のデータは必要な保存期間を守った上で削除する必要がある。また、応募者の情報を今後の応募プロセスで使用したい場合、または他のグループ会社へこれを転送し、ここでの採用審査に使用したい場合にも事前にこの同意を得なければならない。既存の雇用関係については、以下の許可されるデータ処理のいずれにも該当しない場合、データ処理の目的は常に雇用関係に関連するものでなくてはならない。
採用準備中、または雇用関係が既存する場合に第三者から応募者に関する情報を収集しなければならなくなった場合には、各国の法的要求に考慮しなければならない。疑問がある場合は、可能な限りデータ主体の同意を得ること。
雇用関係に関連するが、本来は雇用関係の確立、履行、終了が目的ではなかった個人情報(従業員データ)を処理するには、以下に掲げる法的根拠のいずれかを満たす必要がある。
5.3.2 法的権限または義務に基づくデータ処理
州法がデータの処理を要求または許可している場合、従業員データの処理も許可される。データ処理の方法と範囲については、法的に許可
政府の規制に準拠するための顧客およびパートナーのデータの処理は許可されている。
顧客およびパートナーのデータは、データ主体にとってデータ保護の利益がデータ処理の利益を上回らない場合に限り、正当な利益に基づき処理が認められる。
従業員データは、雇用関係の確立、実施、終了のために、および申請プロセスの一部として処理される場合がある。
されたデータ処理に必要な範囲で可能であり、法規に従うものとす る。行動の余地が法的に約束されている場合、社員の利害の保護も考慮されなければならない。
5.3.3 データ処理に関する団体協約
データ処理活動が契約遂行の目的を超えている場合も、団体協約により承認されていれば認められる。規則は、対象処理の具体的な目的をカバーする必要があり、EU 規制および国内法の要件の枠組み内で定めることができる。
5.3.4 データ処理への同意
従業員データの処理には、データ主体の同意が必要となる。同意宣言は必ず任意で提出されるものとする。同意を拒否した場合に罰則を科すことはできない。強制的に行われた同意は無効とする。後日の証明を可能とするため、同意宣言は基本的に書式または電子方式で行なわれなければならない。例外的にこれが不可能な場合には、口頭での同意も可能である。このような同意は必ず適切に文書化されなければならない。同意の前に、データ主体に対して本 EU データ保護規則に従って情報を通知する必要がある。
5.3.5 正当な利益に基づくデータ処理
また、グループ会社の正当な利益のために必要な場合も個人情報を処理できる。正当な利益とは通常、法的な利益(法的請求権の主張、行使、弁護など)または経済的な利益(ビジネスプロセスの加速、企業の評価など)を指す。データ処理の前に、保護に値する利益がないか判断する必要がある。保護に値する従業員の利益が処理の利益を上回らない場合、個人情報は正当な利益に基づいて処理される場合があ る。
雇用関係上の業績の域(業績管理など)を超えて従業員データを処理する必要がある管理手段は、法的な義務または正当な理由がない限り実施できない。正当な理由がある場合にも、管理手段の均衡性を検討する必要がある。そのためには、管理措置の実施におけるグループ会社の正当な利益(例えば、法的規定や社内規則の遵守)を、当該従業員が措置を除外する際に考えられる正当な利益と比較検討する必要がある。特定の事例で適切な場合のみ措置を実行できる。措置を講じる前に、グループ会社の正当な利益と保護に値する従業員の考えられる利益を決定し、文書化する必要がある。さらに、適用法の下で存在するその他の要件(たとえば、従業員代表の共同決定権および影響を受ける者の情報権)を考慮に入れる必要がある。
労働協約で許可されている場合、従業員データの処理は許可される。
保護に値するデータ主体の利益が優先されない場合、正当な利益に基づく従業員データの処理は許可される。
5.4 極めて機密性の高いデータの処理
極めて機密性の高い個人情報の処理は、法的に規定または許可されている必要がある。グループ会社によるデータの処理は、特にデータ主体が処理に明確に同意した場合に許可される場合がある。この処理 は、データ主体に対する法的請求を主張、行使、弁護し、労働法または社会法に基づく権利および義務を遵守することが必須である。
極めて機密性の高い個人情報を処理する予定がある場合、コーポレートデータ保護責任者に事前に通知する必要がある。
5.5 自動処理に基づく個別事例の決定(プロファイリングを伴う場合ある)
データ主体は、契約の締結または履行に必要な場合、またはデータ主体が同意した場合、彼または彼女に法的または同様の悪影響を与える排他的に自動化された決定の対象となる場合がある。場合によって は、この自動化されたソリューションは、プロファイリング、つまり個人情報の処理に関連付けられている場合がある。これにより、個人の性格特性(信用度など)が評価される。この場合、データ主体にこの事実を通知し、責任者による自動個人決定および個人検証の結果を保証するものとする。
5.6 通知義務/透明性
責任を担う専門部署がデータ主体に対し、GDPR の第 13 条と第 14
条に基づき、個人情報を処理する目的および状況について通知する必要がある。情報は、正確で、透明性があり、理解しやすく、アクセスが容易な形式で、明確かつ平易な言葉で提供されなくてはならない。情報保護およびデータコンプライアンスについて、コーポレート最高責任者の指示を遵守すること。この情報は原則として、初めて個人情報を収集する際に常に提供する必要がある。グループ会社が第三者から個人情報を受領した場合、入手してから合理的な期間内に、以下の場合を除きデータ主体に対して情報を提供する必要がある。
• データ主体がすでに情報を受領している場合
• そのような情報の提供が不可能である場合
• 極めて不合理な費用が発生する場合
5.7 目的の限定
個人情報は、データを収集する前に定義された正当な目的のためにのみ処理することができる。情報処理目的の追加変更については、当該処理が当初の個人情報収集目的に適合可能な場合にのみ許可される。
5.8 データの最小化
個人情報の処理は、データが合法的に処理される目的を達成する
ために、量的にも質的にも必要なものに限定されていなければならない。これはデータ収集の開始前に考慮しておく必要がある。目的に適っており、必要な費用が目的に対して適切な場合であれば、匿名化されたデータまたは統計データを使用する必要がある。
極めて機密性の高いデータを処理するには、法的な許可またはデータ主体による同意の表明が必要である。
自動化された個々の決定とプロファイリングは、厳しい条件下でのみ可能である。
データ主体は、彼の個人情報の処理の目的と状況について知らされなければならない。
個人情報は、データを収集する前に定義された正当な目的のためにのみ処理することができる。
個人情報の処理は、目的を達成するために必要なものに限定する必要がある。
5.9 データの正確性
保存されている個人情報は事実上正確であり、必要に応じて最新のものでなければならない。担当部門は、不正確または不完全なデータが削除、修正、補足、または更新されるように適切な措置を講じる必要がある。
5.10 プライバシーバイデザインとプライバシーバイデフォルト
「プライバシーバイデザイン」の原則は、部門が最先端の内部戦略を定義し、データ保護の原則を概念と技術の部分の最初からビジネスモデル/プロセスの仕様とアーキテクチャに統合するための行動を起こすことを保証することを目的としている。設計段階で、IT データ処理システムを統合する。「プライバシーバイデザイン」の原則に従 い、個人情報を処理するための手順とシステムは、初期設定が目的を達成するために必要なデータの処理に限定されるように設計する必要がある(原則「デフォルトのプライバシー」)。 これには、処理の範囲、保存期間、アクセシビリティが含まれる。その他の措置には以下が含まれる場合がある。
• 個人情報をできる限り速やかに仮名化する
• 個人情報の機能と処理に関する透明性を確保する
• データ主体は、個人情報の処理を決定する能力を持っている
• 手続きまたはシステムのオペレーターが、セキュリティ機能の確立と改善が可能になる
全グループ会社は、処理プロセスのライフサイクル全体を通して、適切な技術的・組織的措置を実行し運用することにより、上記の原則が常に遵守されるようにする。
5.11 削除および匿名化
個人情報は、データの処理の目的に必要な期間保存できる。すなわち個人情報は、処理の目的が終了した場合、または何らかの理由で消滅した場合、保存義務が引き続き存在する場合を除き、すみやかに削除または匿名化しなければならない。各手続きの責任者は、それぞれの手続きで削除および匿名化のルーティンを確実に実行する必要があ る。各システムには、手動または自動のリセットプログラムが必要である。データ主体による個人識別情報の削除または破棄の要求を、システム上で技術的に可能にしておく必要がある。リセット手順(ソフトウェアツール、リセット要件を完了するための手順、ドキュメント要件など)を実行するには、Mercedes-Benz Group AG の仕様に従う必要がある。
5.12 処理のセキュリティ
個人情報は、不正アクセスや違法な処理や開示、および偶発的な紛 失、改ざん、破壊から保護する必要がある。新しいデータ処理手順、特に新しい IT システムを導入する前に、個人情報を保護するための技術的および組織的な対策を定義して実装する必要がある。これらの措置は、最新技術、処理のリスク、情報保護の必要性に基づくようにする。
情報保護の原則を、ビジネスモデル、プロセス、IT システムの設計に組み込む必要がある。
個人情報は、データの処理の目的に必要な期間保存でき る。
技術的および組織的な対策により、データ処理のセキュリティを確保する必要がある。
データ保護の影響評価とプロシージャディレクトリ、データ保護に関連する技術的および組織的対策は、責任者によって文書化されるものとする。
特に、担当部門は、ビジネス情報セキュリティ責任者(XXXX)、情報 セキュリティ責任者(ISO)、およびデータ保護ネットワーク。個人情報を保護するための技術的・組織的な措置の要件は、企業情報セキュリティ管理の一環であり、技術的な発展と組織の変化に応じて継続的に調整を行う必要がある。
5.13 (再)転送
グループ外の受信者またはグループ内の受信者への個人情報の転送 は、第 5 条に基づく個人情報の処理の許可に関する要件の対象とな る。データの受信者は、特定の目的でのみデータを使用する必要がある。さらに、EU / EEA から第三国への個人情報の転送には第 15 項が適用される。
この第 5 項に記載されている義務はすべて、データ主体にとって第三者への利益供与となる。
6 データ保護影響評価
グループ会社は、特に新しい技術を導入することで処理プロセスが新しくなる場合、または既存の処理に大幅な変更が生じる場合には、データ処理を行う前にその処理によってデータ主体のプライバシーが高いリスクにさらされる危険性を分析する必要がある。その際、データ処理の種類、範囲、文脈、目的も考慮する必要がある。リスク分析の一環として、担当部門は計画された処理が個人情報(データ保護の影響評価)。データ保護影響評価が実施され、リスク低減のための適切な措置が講じられ後にもデータ主体の権利と自由に対し高いリスクが存在する場合、コーポレートデータ保護責任者に通知し、当該責任者が管轄のデータ保護監督機関に相談できるようにしなければならな い。データ保護の影響評価を実施するために Mercedes-Benz Group AG が作成した仕様(ソフトウェアツール、評価の実行方法に関する指示など)を遵守する必要がある。
7 データ処理活動の文書化
各グループ会社は、個人情報が処理される手順を、手順ディレクトリで文書化する必要がある。手続き上の記録は書面で行うか、デジタル形式でも構わない。また、要求に応じてデータ保護監督機関に提供できるようにする。ドキュメント(ソフトウェアツール、ドキュメントの説明など)に関してMercedes-Benz Group AG が作成した仕様を遵守する必要がある。
プライバシー影響評価は、計画された処理が個人情報の保護に与える影響を評価する。
データ処理手順は、手順ディレクトリに文書化されてい る。
8 委託処理
8.1 全般
注文処理は、サービスプロバイダーとしての請負業者がクライアントに代わって、クライアントの指示で個人情報を処理するときに発生する。このような場合、外部請負業者との間だけでなく、Mercedes- Benz Group 内のグループ会社間においても、関連する法的要件(例えば、テンプレート「委託処理に関する合意」)に従って委託処理に関する合意を締結する必要がある。その場合、管理者はデータ処理の適切な実行について全責任を負う。
また、グループ会社ではない外部管理者には第 8.3 章の条項も適用される。
8.2 管理者に対する要件
注文するときは、次の要件を満たす必要がある。これは、試運転部門によって確認される必要がある。
• 受託業者は、要求される技術的および組織的な情報保護対策を講じることを保証する能力のある業者でなければならない。
• コーポレートデータ保護責任者が用意した契約基準が遵守されなければならない。
• 委任は書面または電子形式で行うこと。データ処理に関する指示、および委託側と受託側の責任者名を記録すること。
委託者はデータ処理の開始前に適切な精査を行い、受託業者が前述の義務を果たしていることを確認しておく必要がある。Mercedes-Benz Group AG の仕様(ソフトウェアツール、評価手順、契約テンプレートなど)を遵守する必要がある。処理者は、例えば認証を提示することなどにより、データ保護要件の遵守を記録することができる。データ処理のリスクに応じて、契約期間中は定期的な検査を繰り返し行うこと。
8.3 内部処理者に対する条件
処理者は、管理者による指示の範囲内でのみ、個人情報を処理することができる。
請負業者は、クライアントの事前の同意がある場合に限り、独自の
(下請け)契約に基づいて、他のグループ会社または第三者(「下請け業者」)に個人情報の処理を委託することができる。同意は、請負業者がグループ会社およびデータ主体に対して本規程に従って請負業者が対象とするのと同じデータ保護義務、ならびに適切な技術的および組織的保護措置を、契約上または同等の法的拘束力のある方法で下請業者に課す場合にのみ付与される。下請け関係が変更された場合の同意の形式と情報要件は、サービス契約によって規制されている。
請負業者は、特にこれを証明するために必要なすべての情報を提供することにより、クライアントに適用されるデータ保護規制を遵守するためにクライアントを適切にサポートする義務を負う。これは特に以下の保存に適用される。
注文処理には、顧客とサプライヤー間の書面による合意が必要である。
• 第 5 項に基づく処理の一般原則
• 第 10 項に基づくデータ主体の権利
• 第 12 項に基づくデータ保護インシデントの通知義務
• 第 8 項に基づく管理者と処理者に対する条件
• 監督機関からの問い合わせおよび調査への対応
適用される基準または法的規定により、請負業者が指示に反する処理を実行する必要がある場合、またはこれらの法的規定により、請負業者が本規程または注文処理契約に基づく義務を履行できない場合、請負業者は、関連する法的規定は、関連する通知を禁止している。これは、請負業者が他の理由でクライアントの指示に従わない場合に応じて適用される。そのような場合、管理者はデータ転送の保留、または委託処理契約の終了、もしくはその両方を実施できる。
請負業者は、特に禁止されていない限り、政府機関による個人情報の開示に関する法的拘束力のある要求をクライアントに通知する必要がある。
サービスの提供の終了時に、請負業者は、クライアントの裁量で、xxxxxxによって提供されたすべての個人情報を削除または返却するものとする。
請負業者は、影響を受ける人物によって提出された請求、声明、または苦情について、クライアントおよびその背後にあるクライアントに直ちに通知する必要がある。
グループ内のクライアントは、グループ外の請負業者にも上記の規制を遵守するよう義務付けるものとする。
クライアントに対する請負業者の具体的な義務は、データ主体の第三者受益者である。
9 共同管理
複数のグループ会社が個人情報の処理を行う手段と目的を共同で決定する場合(一人または複数の第三者と共に)(共同管理者/ジョイントコントローラー)、企業は、データを処理するデータ主体に対する義務と責任を定義する契約を、締結する必要がある。その際は、コーポレートデータ保護責任者が提供する契約書テンプレートを参照すること。
10 データ主体の法的xxxを有する権利
第 10 項に記載されたデータ主体の権利とグループ会社の義務はすべて、データ主体にとって第三者への利益供与となる。
第 10 項に基づいて提出された問い合わせおよび申し立てには、1 ヶ月以内に回答しなければならない。申請の複雑さと数を考慮した上
データ処理の手段と目的が複数のグループ会社によって共同で決定される場合、そのような「共同責任」について管理者間で書面による合意を締結する必要がある。
で、この期間は最長で 2 ヶ月まで延長でき、その場合はデータ主体に通知する必要がある。
10.1 データ主体の権利
EU / EEA 内のデータ主体は、責任を負う各グループ会社に対して、またはグループ会社が受託処理者の場合は委託管理者に対して、EU法で詳細に定められている通り以下の権利を有する。
• 彼の処理の状況に関する情報を受け取る権利個人的データ。そのような情報に関するグループ最高データ保護責任者の要件を遵守するものとする。
• データの種類と処理方法、データ主体に与えられている権利に関する情報提供を受ける権利。それぞれの労働法に基づく雇用関係において、雇用主の文書(人事ファイルなど)を検査する特定の権利が規定されている場合、これらは影響を受けないままであるものとする。データ主体が希望する場合、第三者の利益の保護に抵触しない限り、自身の個人情報のコピーを受け取ることができる(必要に応じて手数料を支払う)。
• 個人情報が不正確または不完全な場合修正または補足をする権利。
• 同意を撤回した、または法的根拠が効力を失った場合に、個人情報を削除させる権利。これは、時間の経過またはその他の理由でデータ処理の目的が消失した場合にも同様に該当する。ただし、既存の保存義務や削除と競合する保護に値する利益を考慮しなければならない。
• 彼が正確性に異議を唱えた場合、またはデータがグループ会社によってもはや必要とされなくなった場合に彼のデータの処理を制限する権利。ただし、データ主体は彼の法的要件のためにデータを必要とする。また、データ主体はグループ会社に対して、上記以外にもデータを削除すべきである場合、または会社がデータ主体による異議申し立てを精査する場合にも、データ処理の制限を要求できる。
• 同意に基づいて、または一般的なデジタル形式で締結または開始された契約の一部として提供された、個人情報を受け取る処理が、それらを第三者に転送する自動化された手順によって実行される。これは技術的に実現可能である。
• いつでもダイレクトマーケティングを断る権利。適切な同意および異議申し立て管理を保証する必要がある。
• データ主体の個人的状況に基づく理由がある場合、グループ会社または第三者の利益を優先するという法的根拠に基づく処理に異議を唱える権利。グループ会社は、データ主体の利益、権利および自由に優先する処理、もしくは法的請求の主張、行使または抗弁のための説得力ある正当な理由がない限り、これ以上当該個人情報の処理を行わない。正当な異議が申し立てられた場合は、データを削除する必要がある。
さらに、データ主体は、第三国のデータ輸入グループ会社に対して自分の権利を主張する権利もある。
EU のデータ主体には、次の権利がある。
• 情報受領権
• アクセス権
• 訂正権
• 削除権
• 制限権
• データの移植性に対する権利
• 異議権
• グループの最高データ保護責任者または管轄の監督当局に苦情を申し立てる権利。
10.2 異議申し立て手続き
データ主体は、本規程への違反があったと感じた場合にコーポレートデータ保護最高責任者に異議申し立てを行う権利を有する。このような異議申し立ては、E メールで提出することができる(第 13.3
項)。
EU / EEA 内に本拠地を置き、データ転送元となるグループ会社は、データ転送先のグループ会社に対し、EU / EEA 内で個人情報が収集されたデータ主体のために、事実関係を立証し、本規定に従ってデータ主体の権利を主張する支援を行う。
異議申し立ての正当性が確認された場合、グループ会社は適切な措置を講じて本規程の遵守を確保し、講じた措置およびデータ主体が有するその他の権利についてデータ主体に通知する。データ主体がグループ会社の対応に満足しない場合、または異議申し立てが却下された場合、データ主体は自己の権利を行使してその決定または対応に異議を唱えることができ、これについてデータ主体は通知を受けるものとする。これに関して、データ主体は管轄の監督機関、特に自分の居住 地、勤務地または侵害が疑われる場所が存在する国の監督機関に問い合わせるか、裁判所に提訴することができる(第 11.2 項)。その他の法的権利および責任は影響を受けない。このような内部異議申し立てプロセスとは別に、データ主体は監督機関に直接異議を申し立てる権利を有する。
11 法的責任および管轄地
11.1 責任条項
EU / EEA からデータを受け取る第三国の会社が、第三国での処理に関して犯した本規程の違反に対する責任は、個人情報を処理している EU / EEA ベースのグループ会社(「データエクスポーター」)が負うものとする。当初は第三国に拠点を置くグループ会社に送信した。この責任には、違法な状況を是正する義務、および第三国のグループ会社による本規程の違反によって生じた物質的および非物質的な損害を補償する義務が含まれる。
データ転送元は、EU / EEA からデータを受領する第三国のグループ会社が損害を引き起こした結果に対して責任がないことを立証できる場合のみ、これらの責任の一部またはすべてが免除される。
11.2 管轄地
データ主体は、責任機関または請負業者の登録住所、または通常の居住地で裁判所に対して申し立てることができる。
データ主体が、第三国でのデータ処理に関して本規程に対する違反を申し立てた場合、転送先と EU / EEA 内のデータ転送元の両方の企業に対して法的請求を行うことができる。従ってデータ主体は、主張する違反とその結果生じた法的請求を、責任機関の本部またはデータ主
データエクスポーターは、第三国の会社によって引き起こされた損害賠償および本規程の違反の排除に責任がある。
体の通常の居住地のいずれかにおいて、管轄裁判所および監督機関に対し申し立てることができる。
本章の責任条項と管轄地の規定は、データ主体にとっての第三者への利益供与となる。
12 データ保護インシデントの通知
データセキュリティ要件に違反する可能性がある場合(「データ保護インシデント」)、影響を受けるグループ会社は、調査、報告、および軽減の義務の対象となる。データ保護インシデントはデータ侵害、個人情報の削除、変更、不正開示、または使用を不法にもたらすデータ侵害があった場合。侵害が自然人の権利と自由にリスクをもたらす可能性がある場合に限り、グループ会社は、遅滞なく、可能であればグループ会社が侵害を認識してから 72 時間以内に、当該侵害を監督機関に通知する必要がある。加えて、データ主体の権利と自由に高いリスクをもたらす可能性のあるデータ保護違反の場合、遅滞なく当該データ保護侵害についてデータ主体に通知しなければならない。 第
8.2 項で定義されている処理者は、管理者に対して遅滞なくデータ保護インシデントを報告する義務がある。
データ保護インシデントがグループ会社の責任範囲内にあると特定または疑われる場合、各従業員は情報セキュリティインシデント管理プロセスの一環として遅滞なくMercedes-Benz Group AG に報告する必要がある。Mercedes-Benz Group AG の仕様(ソフトウェアツール、レポートガイドラインなど)を遵守する必要がある。
すべての情報保護違反は文書化し、その記録は要求に応じて監督機関に提供できるようにしておく必要がある。
13 データ保護組織および制裁
13.1 責任管轄
グループ会社の執行機関のメンバーは、それぞれの責任範囲でのデータの処理に責任を負うものとする。したがって、彼らは、法的データ保護要件およびこの EU データ保護ポリシーに含まれる要件(たとえば、国内通知要件)への準拠を保証する義務がある。各マネージャーの目的は、責任の範囲内で、組織的、個人的、および技術的な手段を通じて、データ保護に従ってデータを適切に処理することを保証することである。この基準の実施は、担当従業員の責任範囲に含まれる。当局によるデータ保護チェックの場合、グループの最高データ保護責任者は直ちに通知されるものとする。
13.2 意識向上とトレーニング
管理職は、従業員が個人情報に継続的または定期的にアクセスできる限り、またデータの収集や個人情報処理ツールの開発に関与する限 り、その従業員に本規程の内容と取り扱いを含む必要なデータ保護研修を確実に受講させる必要がある。情報保護およびデータコンプライアンスについて、コーポレート最高責任者の指示を遵守すること。
データ主体の権利と自由に対する高いリスクが予想されるデータ保護違反は、責任のある監督当局とデータ主体に報告されるものとする。
グループ会社の執行機関のメンバーは、責任のある分野でのデータの処理に責任を負 い、従業員がデータ保護について必要な知識を持っていることを確認するものとする。
13.3 組織
コーポレートデータ保護責任者は、職務の実行に関して、組織内において指示を受けない。コーポレートデータ保護最高責任者は、国内の情報保護法および国際的なデータ保護法の遵守を確保する必要があ る。コーポレートデータ保護責任者は本規程に関して責任を負い、その遵守を監視する。グループ会社がデータ保護に関する会社の規則を拘束するための国際認証システムに参加することを希望する場合、グループ会社はこの参加をグループ最高データ保護責任者と調整するものとする。
グループの最高データ保護責任者は、Mercedes-Benz Group AG の取締役会によって任命され、その職務の遂行において取締役会によってサポートされている。原則として、データ保護責任者を設置する法的義務があるグループ会社は、コーポレートデータ保護責任者を設置することになる。グループチーフデータプロテクションオフィサーは、 Mercedes-Benz Group AG の取締役会およびグループチーフデータプロテクションオフィサーが任命されたすべてのグループ会社のそれぞれの経営陣に直接報告する。特定の例外は、コーポレートデータ保護責任者の合意を得る必要がある。
Mercedes-Benz Group AG の監査役会は、既存の報告義務の範囲内
で、グループ最高データ保護責任者の年次報告について通知を受けるものとする。
すべてのデータ主体は、いつでもグループ最高データ保護責任者に連絡して、データ保護またはデータセキュリティの問題に関する懸念を提起したり、質問したり、情報を要求したり、苦情を申し立てたりすることができる。要望に応じて、懸念や苦情は秘密情報として扱われる。
コーポレートデータ保護責任者の連絡先情報を以下に示す。
Mercedes-Benz Group AG、グループチーフデータプロテクションオフィサー、HPC E600、
70546 Stuttgart, Germany
E メール:xxxx.xxxxxxxxxx@xxxxxxxx-xxxx.xxx
イントラネット: xxxxx://xxxxxx.xxxxx.xxxxxxxxx.xxx/xxxx/XXX-00000
Mercedes-Benz Group はコンプライアンス組織も設立しており、これについては別の内部規則で詳しく説明している。コンプライアンス組織は、データ保護要件へのコンプライアンスに関して、グループ会社をサポートおよび監視する。情報保護トレーニングの内容を定義し、参加者グループの基準を定める。
グループの最高データ保護責任者は、指示から独立している。
コンプライアンス組織:
• 情報保護法の遵守に関して、グループ会社の支援および監視を行う。
• データ保護トレーニングコースを開発する。
13.4 制裁
個人情報の違法処理またはその他のデータ保護法違反は、多くの国で行政および刑事訴追、ならびに損害賠償請求につながる可能性があ る。従業員個人の責任が認められる違反行為については労働法に基づく懲戒処分の可能性がある。本規程に違反した場合、社内規則に基づき処罰される。
13.5 監査および統制
本規程および適用される情報保護法が遵守されているか、グループレベルで少なくとも年 1 回定期的に、リスクに基づき精査する。これ は、内部コンプライアンスのリスク評価、特定のデータ保護テーマを含む監査、およびその他の審査によって行われる。コーポレートデータ保護責任者は、さらなる審査を要求する権利を有する。結果は、コーポレートデータ保護最高責任者、責任を負うグループ会社、および任命されている場合はそのデータ保護責任者に通知される。
Mercedes-Benz Group AG の取締役会は、既存の報告義務の枠内で結果を通知されるものとする。審査結果は、要求に応じて管轄のデータ保護監督機関に提供する必要がある。管轄のデータ保護監督機関は、 GDPR および国内法で認められている権限の範囲内で、各グループ会社に対して本規程の規定遵守についてデータ保護監査を実施することができる。
14 本規程の変更および官公庁との協力
14.1 変更時の責任者
本規程は、ポリシーを変更するための確立された手順の一環として、グループの最高データ保護責任者と協議した後に変更される場合がある(ポリシー管理ガイダンス、A 1)。本規程に重大な影響を及ぼ
す、または本規程に定められている保護レベルを侵害する可能性のある変更(拘束力を付与する変更)については、本規程を拘束的企業準則として承認する管轄の監督機関を経由して該当する監督機関に、遅滞なく報告する必要がある。
コーポレートデータ保護責任者は、本規程に拘束されるすべてのグループ会社のリスト(その他の適用規程「EU データ保護規則に拘束されるグループ会社のリスト」)を最新状態に保ち、本規程のすべての更新を監視・記録し、要求に応じてデータ主体または監督機関に必要な情報すべてを提供する。本規程に基づき、新しいグループ会社が本規程に効果的に拘束され、規程の遵守のためそれに応じたコンプライアンス措置が考慮されるまで、新しいグループ会社への個人情報の転送は行われない。
データ主体は、本規程に容易にアクセスできる権利がある。したがって、本規程の最新バージョンは、インターネットで公開されている。 xxxxx://xxx.xxxxx.xxxxxxxx-xxxx.xxx データ保護の下で。この要件 は、データ主体にとって第三者への利益供与となる。
データ保護の違反は、損害賠償請求および労働法に基づく措置につながる可能性があ る。
本規程の変更についてはコーポレートデータ保護責任者と協力して実施する必要があ る。
この方針またはグループの関連会社のリストに変更が加えられた場 合、Mercedes-Benz Group AG の主要子会社の監督当局は、グループの最高データ保護責任者から、更新理由の簡単な説明とともにこれを通知されるものとする。
14.2 官公庁との協力
第三国でデータ処理を実施する、またはこれに関与するグループ会社は、上記に照らして個人情報の処理に関する問題、質問、その他手続きに関して監督機関に協力する義務を負う。これには、GDPR およびその国内法で認められる範囲内で、監督機関による監査を受け入れる義務が含まれる。さらに、第三国での処理プロセスまたは本規程の規定から生じ、かつ GDPR に準拠する監督機関からの指示はすべて 遵守しなければならない。
官公庁との協力に関する第 14.2 項は、データ主体にとって第三者への利益供与となる。
15 EU / EEA から第三国への個人情報の転送
15.1 Mercedes-Benz Group 外への転送
グループ会社は、以下の場合に限り、EU / EEA から EU / EEA 外の第三者に個人情報を転送することができる(第三国からのアクセスを含む)。
• 第三国がEU 委員会が認めた適切なレベルの情報保護を提供している、または
• 転送が EU 標準契約条項を満たしている。グループ会社は、EU標準契約条項で規定されている保護措置を実際に遵守できる可能性について判断するため、必要に応じて第三者の助けを借 り、EU 法で要求される保護レベルが第三国で遵守されるかを評価する義務を負う。遵守されないと評価された場合、第三者は、EU / EEA で規定されている保護レベルと実質的に同等の保護レベルを確保するために、追加措置を講じる。または、
• GDPR 第 46 条第 2 項の意味での適切な保護措置が存在する。または、
• 例外的に(すなわち、上記の措置を講ずることができない場合に限り)、特定の状況下における例外が適用される(例えば、法的請求の主張、行使または抗弁のために転送が必要な場
合)。
グループ会社は、EU / EEA 外のグループ会社に個人情報を転送する前に、第三国の法規則および慣行が本規程の義務の履行を妨げる可能性について検討しなければならない。必要な場合は、第三国のグループ会社は、EU / EEA で規定されている保護レベルと実質的に同等の保護レベルを確保するために、契約上、技術上または組織上の追加保護措置を実装する必要がある。
官庁との協力義務には以下が含まれる。
• 監査の受け入れ
• 指示の遵守
転送の特殊状況(特に情報の種類、転送の性質、第三者への再転送)や、第三国のグループ会社に適用される法規則および慣行(公的機関に対するデータ開示の規定、または公的機関による当該データへのアクセス許可などを含む)を考慮しなければならない。
グループ会社は、第 15.1 項および第 15.2 項の評価を文書化し、要求に応じて管轄の監督機関に提供する。また、グループ会社が他のグループ会社すべてに対して評価および結果を完全に公開することで、他のグループ会社が同種の転送を行う場合、追加措置を特定して実装することができる。なお、有効な追加措置を講じることができない場 合、転送は中断または終了しなければならない。Mercedes-Benz Group AG がこの評価を実施するために定める要件(ツール、評価実施指示など)を遵守する必要がある。
16 第三国の規制の監視と報告
第三国のグループ会社は、適用される法規則により、グループ会社が本規程の義務を履行できない、または本規程に規定されている保護措置に重大な影響を与えると考えられる場合、コーポレートデータ保護責任者に通知しなければならない。
第三国のグループ会社は、適用される法規則により、グループ会社が本規程の義務を履行できない、または本規程に規定されている保護措置に重大な影響を与えると考えられる場合は、遅滞なくコーポレートデータ保護責任者に通知しなければならない。
コーポレートデータ保護責任者はその影響を評価し、本規程の目的を履行するための実用的な解決策を見つけ出すために、担当グループ会社と協力する。評価後であっても、適用される法的要件が本規程に規定されている保護措置に重大な悪影響を及ぼすと想定される場合、コーポレートデータ保護責任者は管轄の監督機関に遅滞なくその旨を報告する。行刑機関または国家安全保障機関からの法的拘束力を伴う個人情報の開示要請が、本規程に規定されている保護措置に重大な悪影響を与える場合、このような要請も管轄の監督機関への通知事項に含まれる。監督機関に対しては、(特別な禁止がない限り)開示する要請データ、要請機関、法的根拠について報告しなければならない。
第三国のグループ会社がデータ保護監督機関に個人情報開示の情報を提供しないよう公的機関から要求された場合、当該禁止を可能な限り緩和または解除し、問い合わせを受けた一般的な情報(例えば、開示請求の数、問い合わせデータの種類、該当する場合は要請機関)をデータ保護監督機関に自由裁量の範囲内で毎年提供するため、あらゆる合理的な努力を払うものとする。
官公庁への個人情報の転送は、大規模、無関係、無差別な方法で行ってはならない。これについては民主主義社会で必要と見なされ、過度でない場合に限り許可される。
本条項は、データ主体にとって第三者への利益供与となる。