データブリッジ市場調査の GDPR 準拠に関する声明

2018年5月

GDPRについて

欧州一般データ保護規則（GDPR）は、2018 年 5 月 25 日に EU で施行され、過去 20 年間で最も称賛に値するデータ保護法の変更を確実にします。GDPR は、プライバシー バイ デザインとリスクベースのアプローチに基づいて、新しいデジタル時代の要件を満たすように設計されています。

我々のコミットメント

DataBridge Market Research Private Ltd (以下「当社」) は、当社が処理する個人情報のセキュリティと保護を確実にし、データ保護に関して準拠した一貫したアプローチを提供することに尽力しています。当社は、既存の法律に準拠し、データ保護の原則を順守する堅牢で効果的なデータ保護プログラムを導入するために常に最大限の努力をしてきました。しかし、当社は、GDPR およびプライバシーおよび電子通信規則 (PECR) の要求を満たすためにこのプログラムを更新および拡張する義務を認識しています。

DataBridge Market Research Private Ltd は、当社の権限の下で個人情報を保護し、効果的で目的に適合し、新しい規制への理解と評価を示すデータ保護体制の開発に専念しています。 GDPR コンプライアンスに対する当社の準備と目標は、この声明に要約されており、最大限かつ継続的にコンプライアンスを確保するための新しいデータ保護の役割、ポリシー、手順、管理および対策の開発と実装が含まれています。

GDPR への準備状況

DataBridge Market Research Private Ltd は、組織全体で一貫したレベルのデータ保護とセキュリティをすでに備えています。私たちの準備には以下が含まれます： –

• 情報監査 – 当社が保有する個人情報、その出所、処理方法と理由、保管場所、開示されるかどうか、および開示される個人情報を特定および評価するために、全社的な情報監査を実施します。
• ポリシーと手順 – GDPR および関連するデータ保護法の要件と基準を満たすために、次のような新しいデータ保護ポリシーと手順を実装します。
• データ保護 – データ保護に関する当社の主要なポリシーと手順の文書は、GDPR の基準と要件を満たすように全面的に改訂されました。当社の義務と責任を理解し、適切に周知し、証明するために、説明責任とガバナンスの措置が講じられており、設計上のプライバシーと個人の権利に重点が置かれています。
• データの保持と消去 – 当社は、「データの最小化」と「ストレージの制限」の原則を遵守し、個人情報が準拠して倫理的に保管、アーカイブ、および破棄されることを保証するために、保持ポリシーとスケジュールを更新中です。当社は、新しい「消去の権利」義務を満たすために専用の消去手順を導入することに積極的に取り組んでおり、この権利および他のデータ主体の権利がいつ適用されるかを認識しています。例外、対応期間、通知責任も含まれます。
•  データ侵害 – 当社の侵害手順では、個人データ侵害を認識してから 72 時間以内に個人データ侵害を特定、評価、調査、報告するための安全策と措置を講じていることを保証します。当社の手順は堅牢であり、すべての従業員に周知されており、報告ラインと従うべき手順が従業員に認識されています。

• 国際的なデータ転送と第三者への開示 – DataBridge Market Research が個人情報を EU 外に転送する場合、データの完全性を保護、暗号化、維持するための手順と保護措置を導入することに積極的に取り組んでいます。私たちの手順には、十分な十分性に関する決定を行った国の継続的な見直しと、拘束力のある企業規則の規定が含まれます。標準的なデータ保護条項または承認されていない国向けの行動規範。当社は、個人データの受信者すべてに対して厳格なデューデリジェンスチェックを実施し、情報を保護するための適切な保護措置が講じられていること、データ主体の権利の強制力を確保していること、および該当する場合にはデータ主体に対する効果的な法的救済策があることを評価および検証します。

• データ主体アクセス要求 (DSAR) – 当社は、要求された情報を提供し、この提供を無料にするための改訂された 30 日の期限に対応するために、SAR 手順を積極的に改訂しています。当社の新しい手順では、データ主体の検証方法、アクセス要求を処理するためにどのような手順を実行するか、適用される除外事項、およびデータ主体との通信が準拠し、一貫性があり、適切であることを保証するための一連の応答テンプレートについて詳しく説明します。

• 処理の法的根拠 – 当社はすべての処理活動をレビューして、処理の法的根拠を特定し、各根拠が関連する活動に適切であることを確認しています。該当する場合、当社は処理活動の記録も維持し、GDPR 第 30 条およびデータ保護法案のスケジュール 1 に基づく義務が確実に履行されるようにします。

• プライバシー通知/ポリシー – 当社は、GDPR に準拠するためにプライバシー通知を改訂し、当社が個人情報を処理するすべての個人に、個人情報が必要な理由、その使用方法、権利は何か、管理者は誰であるかを確実に通知します。情報が開示される対象と、その情報を保護するためにどのような保護措置が講じられているか。

• 同意の取得 – 当社は、個人データを取得するための同意メカニズムを改訂し、個人が提供する内容、当社がそれを使用する理由と方法を理解できるようにし、当社による個人情報の処理に同意するための明確で定義された方法を提供しました。当社は同意を記録するための厳格なプロセスを開発し、日時の記録とともに積極的なオプトインを証明できるようにしました。いつでも同意を撤回できる、見やすくアクセスしやすい方法です。

• ダイレクト マーケティング – マーケティング サブスクリプションの明確なオプトイン メカニズム、オプトアウトに関する明確な通知と方法、およびそれ以降のすべてのマーケティング資料での登録解除機能の提供など、ダイレクト マーケティングの文言とプロセスを改訂しました。

• データ保護影響評価 (DPIA) – 当社は、高リスクとみなされる個人情報、大規模な処理を伴う個人情報、または特別なカテゴリ/有罪判決データを含む個人情報を処理します。当社は、GDPR 第 35 条の要件に完全に準拠した影響評価を実行するための厳格な手順と評価テンプレートを開発しました。当社は、各評価を記録する文書化プロセスを実装しています。これにより、処理活動によってもたらされるリスクを評価し、データ主体に生じるリスクを軽減するための緩和策を実施できるようになります。

• 処理者契約 – 当社に代わって個人情報を処理するために第三者を使用する場合、当社は、準拠した処理者契約とデューデリジェンス手順の草案を作成中であり、彼ら（および私たち）が彼ら/当社の GDPR を満たし、理解していることを確認します。義務。これらの措置には、処理活動の必要性、実施されている技術的および組織的措置、および GDPR への準拠を条件としたサービスの初期および継続的なレビューが含まれます。

• 特別なカテゴリのデータ – 当社が特別なカテゴリの情報を取得して処理する場合、第 9 条の要件に完全に準拠して処理し、そのようなすべてのデータに対して高度な暗号化と保護を適用します。特別なカテゴリのデータは、必要な場合にのみ処理され、適切な第 9 条第 2 項の根拠またはデータ保護法案スケジュール 1 の条件を当社が最初に特定した場合にのみ処理されます。当社が処理の同意に依存する場合、これは明示的であり、署名によって確認され、同意を変更または削除する権利が明確に署名されています。

データ主体の権利

個人がデータ保護の権利を強制できるようにする上記のポリシーと手順に加えて、当社は、要求に応じて、また当社のプライバシー ポリシーを通じて、DataBridge Market Research Private Ltd が個人に関して処理する個人情報にアクセスする個人の権利に関する情報に簡単にアクセスできるように提供します。以下に関する情報を要求します。 –

• 当社が彼らに関して保持している個人データ
• 処理の目的
• 個人データが開示される/開示される予定の受信者
• 当社がお客様の個人データを保存する予定の期間
• 当社が彼らから直接データを収集しなかった場合、可能な限り、情報源に関する情報
• 彼らに関する不完全または不正確なデータを修正または完了させる権利、およびこれを要求するプロセス
• 個人データ (該当する場合) の消去を要求する権利、またはデータ保護法に従って処理を制限する権利、ならびに当社からのダイレクト マーケティングに反対し、当社が使用する自動化された意思決定について知らされる権利
• 苦情を申し立てたり司法的救済を求めたりする権利、およびそのような場合の連絡先

情報セキュリティと技術的・組織的対策

DataBridge Market Research Private Ltd は、個人およびその個人情報のプライバシーとセキュリティを非常に真剣に受け止めており、当社が処理する個人データを保護し安全に保つためにあらゆる合理的な措置と予防措置を講じています。当社は、個人情報を不正アクセス、改ざん、開示、または破壊から保護するための堅牢な情報セキュリティポリシーと手順を導入しており、次のような複数層のセキュリティ対策を講じています。

• サイバーエッセンシャル認定。
• 各場所に最新のパッチを適用した最新世代のファイアウォール。
• 地域と世界の拠点間の安全な VPN。
• ヨーロッパの主要オフィスを接続する MPLS ネットワーク。
• ファイルサーバー上のすべての領域に対する厳格なアクセス管理制御。
• すべてのサーバーとワークステーションに最新のパッチを適用して、市場をリードする脅威を検出します。
• ワークステーションとリムーバブルメディアの暗号化。
• 市場をリードするアプライアンスの Web セキュリティと制御保護。
• 会社所有のすべてのハンドヘルド デバイスのモバイル デバイス管理。
• 定期的な脆弱性と侵入テスト。
• DR 目的で別のサイトにクラスタ化されたメール サーバー。
• 完全なネットワーク フェイルオーバー復元力。
• IT インフラストラクチャは、セキュリティの施されたドアの後ろにあるエアコン完備の部屋にあります。
• メディアを耐火金庫またはオフサイトに保管する GFS バックアップ ローテーション システム。
• * IT 機器の耐用年数が終了したら、安全にデータを破棄します。

GDPR の役割と従業員

DataBridge Market Research Private Ltd は、新しいデータ保護規則に準拠するためのロードマップを作成および実装するためにデータ プライバシー担当者を任命しました。この担当者は、組織全体で GDPR の認識を促進し、GDPR への対応状況を評価し、ギャップ領域を特定し、新しいポリシー、手順、措置を導入する責任を負います。

DataBridge Market Research Private Ltd は、GDPR を継続的に遵守するには従業員の継続的な認識と理解が不可欠であることを理解しており、従業員を準備計画に参加させています。当社は、2018 年 5 月 25 日より前に全従業員に提供され、当社の中核事業機能に特化した従業員研修プログラムを導入しており、これは入社時および年次研修プログラムの一部となっています。