パート A: 一般
適用性
この文書は、2021 年 5 月 25 日から発効する GDPR コンプライアンス ポリシーの現在の運用版であり、以下の組織で構成される InfoBytes Daily の活動に適用されます。
2 International Drive、ライブルック、ニューヨーク 10573、米国
導入
InfoBytes Daily の中心的な活動は、ターゲット市場から効果的なリードを生み出すことで顧客にサポートを提供することです。
見込み顧客の発掘は、ソーシャル メディア マーケティング、Web マーケティング、電子メール マーケティング、テレマーケティングなどの関連テクノロジーを使用するビジネス パートナーなどのさまざまなチャネルを通じて、関連データを収集するインテリジェントな市場調査を通じて行われ、企業の信頼できる購入意図を特定します。
これらの活動の過程で、InfoBytes Daily は B2B マーケティング チェーンに価値を加える仲介者として機能します。キャンペーン情報は顧客によって提供され、微調整され、潜在的な市場領域に配布するためのキャンペーン資料に変換されます。
キャンペーン資料を関連メディアに掲載することによる最終ターゲット顧客への配信は、リードを生成する外部のパブリッシャーを通じて行われます。リードの一部は、社内の出版活動と、InfoBytes Daily の研究開発チームが開発した革新的な企業意図マーケティング ツールの使用によって生成されます。
パブリッシャーによって生成されたリードは、品質を向上させるためにインテリジェントにフィルタリングされ、顧客に渡される前に実行可能なマーケティング目標に変換されます。
InfoBytes Daily は、信頼できるベンダーと訓練を受けた人材の開発を含む独自の製品、プロセス、情報生成システムを開発してきました。これらは、InfoBytes Daily が世界中の B2B マーケティング エコシステムにもたらす価値提案を反映しています。この専門知識を維持および育成し、それを商業機会の活用に利用することは、InfoBytes Daily の正当な利益を表しています。
InfoBytes Daily が採用したこの GDPR 遵守規範は、InfoBytes Daily が世界中で「民主主義社会の国民の基本的権利としてのプライバシー」という概念に取り組み、GDPR で義務付けられているすべてのプライバシー原則を誠意を持って実装することを宣言します。それは当てはまります。
しかし、InfoBytes Daily は、B2B 市場仲介者として世界中で合法的な事業運営を行うことが自社の正当な利益であり、権利に抵触することなく誠実に事業を継続することが InfoBytes Daily の民主的権利であることを明らかにしています。 GDPR に基づいてプライバシーの保護が求められている個々の自然人の個人。
InfoBytes Daily はまた、そのビジネス モデルでは、GDPR の範囲外にある事業体のデータと、個人データではないが部分的に個人を特定できる情報が含まれる可能性があるビジネス連絡先データのみの収集が必要であることも明らかにしていますが、子供の個人データは含まれていませんおよび GDPR に基づいて「特別カテゴリ」に分類される個人データ。
GDPR の暴露
InfoBytes Daily Group は基本的に「B2B マーケティング仲介業者」であり、世界中で事業を展開し、マーケティング リードを創出し、多くの国のクライアントにサービスを提供しています。 InfoBytes Daily は消費者市場では活動していないため、EU データ主体の個人情報を直接的または間接的に収集しません。 InfoBytes Daily が収集するデータは通常、企業従業員のビジネス連絡先データのカテゴリに属し、特に名前、勤務先電子メール、勤務先電話番号が含まれます。
B2B マーケティング リードの一部は EU 諸国と英国で生成されます。 EU/英国に居住する一部の顧客は、InfoBytes Daily のサービスを利用することもできます。現在、顧客とのやり取りの大部分は米国で行われ、見込み顧客発掘ビジネス パートナーとのやり取りの大部分はインドで行われています。
したがって、EU/英国地域で活動する企業組織からビジネス連絡先データが収集される場合、InfoBytes Daily の GDPR への露出が認識されます。
GDPR準拠への取り組み
GDPR コンプライアンス リスクにさらされるデータの処理に可能な限り厳しい基準を適用できるようにするために、InfoBytes Daily は、GDPR 機密データ (GSD) を InfoBytes Daily のリソースを流れる「機密データ」として扱うポリシーを採用しています。受信データに適切なタグを付けて、該当する場合は GSD として分類します。
データ主体のプライバシー保護と、GSD タグ付きデータに関するプライバシー保護に関連する情報のセキュリティは、サポート構造の設計に組み込まれています。
データは特定の場所で処理され、GSD を処理するための技術インフラストラクチャもその特定の場所にありますが、企業レベルの GDPR 認識が確立されており、この GDPR 行動規範の原則が全社に浸透するように引き続き追求されます。 GSD 処理を超えた組織には、独自の技術的および管理インフラストラクチャを備えた別の場所に配置されるマーケティング、財務、および管理機能が含まれます。
データ処理インフラストラクチャ全体のセキュリティを効果的に実装するために、当社は、データアクセス、処理保管、送信などに関する複数のサブポリシーを含む包括的な情報セキュリティポリシーを採用しています。
プライバシーへの取り組み
InfoBytes Daily は、「プライバシー」が市民社会における重要な民主的権利であることを認識しています。 InfoBytes Daily は、責任ある企業体として、処理のために企業データ リポジトリに個人データが取り込まれるすべての個人のプライバシーの保護に取り組んでいます。
EU/英国に顧客が存在すること、および EU/英国に居住する企業従業員の活動を監視することを考慮して、InfoBytes Daily は、顧客とやり取りする可能性のあるすべての自然人のプライバシーを保護するために GDPR 準拠基準を採用することを選択しました。たとえそのような交流が、それぞれの事業組織の事業目標を追求する異なる事業体の従業員としての立場でのみ行われる場合であっても、グループは同様です。
正当な利益
InfoBytes Daily の中核的な活動には、企業用途のさまざまな製品の購入に関連するデータの処理が含まれます。アクティビティの範囲には、収集、集計、分析、セグメンテーション、および意図の監視が含まれます。このような処理の過程で、InfoBytes Daily はビジネス環境から収集された生データに付加価値を加え、付加価値のあるビジネス上の意思決定を支援する情報に変換します。
収集された生データは、データ主体に属するデータとして認識され、GDPR に基づくデータ主体の権利が適用されます。プロセス中に発生するデータに付加される価値は、InfoBytes Daily が一定レベルの知的財産権を主張している、InfoBytes Daily の独自のデータ処理能力から生じます。
データが仮名化されている場合、付加価値のある仮名化データは、InfoBytes Daily がさらなる調査に使用する正当な利益を有するデータとみなされます。仮名化されていないデータは、付加価値のある状態であっても、アクセス、修正、制限、移植性、消去などのデータ主体の権利の行使の対象となります。仮名化されたデータが存在する場合、そのデータは GDPR の機密データとして分類されません。
InfoBytes Daily は、企業組織の意思決定担当者の企業情報や業務連絡先データなどのビジネス関連データの収集と処理において、EU GDPR 規制の第 6 条 (1) (f) で認められる正当なビジネス上の利益を保有しています。
また、InfoBytes Daily の事業には EU 諸国内外での事業が含まれるため、データ処理に関連するさまざまな国の法的義務や、第 1 条で想定されているビジネス全般および特に IT 関連の活動に適用されるその他の法律にさらされます。 EU GDPR 規制の 6(1)(c)。
さらに、InfoBytes Daily は、第 6 条に規定されている EU GDPR の原則を組み込んだ合法的処理の商慣行を採用しています。これには、必要に応じてインフォームド明示的な同意を取得することや、データ主体との契約上の義務がある場合にはその要件を遵守することが含まれます。
したがって、プライバシーとデータ保護に関する InfoBytes Daily のポリシーは、GDPR の機密データをその生成段階と InfoBytes Daily システムへの入力段階で特定し、そのライフ サイクル全体にわたってタグ付けするという問題に対処する、特定のプライバシーと情報セキュリティ管理で構成されています。処理。
コンプライアンスの範囲をデータ処理エコシステムに拡大
さらに、EU GDPR で規定されている、個人のプライバシーに対する基本的な権利を保護するという立法の意図を維持し、適切な技術的および組織的/管理的管理が維持され、GDPR の機密データにアクセスする可能性のあるすべての下流のビジネス関係者が、企業に代わって処理することが保証されます。 InfoBytes Daily も GDPR に準拠しています。
InfoBytes Daily は、その業務の大部分において、GDPR の目的において、自社が「データ管理者」ではなく「データ処理者」であることを認識しています。処理の一部において下請け業者のサービスを使用する場合、同社は「共同管理者」の役割を担うことがあります。
これらの役割を念頭に置いて、InfoBytes Daily のポリシーと管理は、ビジネス パートナーの GDPR 準拠活動について適切な情報を常に提供し、InfoBytes Daily 独自の情報を共有するための適切な技術的および組織的/管理的管理の維持を含め、GDPR 準拠を確保するように構成されています。必要に応じて GDPR コンプライアンス措置を講じます。
この文書の制限事項
以下の段落では、企業レベルでの GDPR 準拠に関する InfoBytes Daily の包括的なポリシーを示し、業務における GDPR 原則の満足のいくレベルの準拠を達成するための InfoBytes Daily のアプローチを強調します。
このポリシー文書は、InfoBytes Daily 社外の事業体を含む関係者との限定的な共有を目的としており、組織の知的財産を保護するために不可欠な処理に関する機密情報は除外されています。
ここに記載されている内容を超える情報開示の要求は、InfoBytes Daily のデータ開示ポリシーに基づいて処理され、そのような要求は信頼性の低い認証済み電子メールを通じてプライバシー マネージャーに送信される場合があります。
パート B: 具体的な政策の概要
1. 割り当てられた責任
InfoBytes Daily は、すべてのデータ主体の要求と苦情を処理する連絡担当者となるプライバシー マネージャーを指名しました。 InfoBytes Daily における GDPR の機密データに対する現在のリスク レベルを考慮すると、InfoBytes Daily の中核的な活動には EU データ主体の大規模かつ体系的な監視や EU 内の個人へのサービスの提供は含まれていないと考えられます。 GDPR で想定されている「データ保護責任者」を任命する必要はありません。
情報セキュリティガバナンス委員会(ISGC)は、GDPR遵守を含む情報セキュリティ全般を担当します。これは、GDPR ポリシーを含むすべての情報セキュリティ ポリシーの策定を担当する InfoBytes Daily の最高の政策決定機関となり、やがて個人またはコンサルタントをデータ保護責任者に任命する必要性を監視します。
2. データの分類
InfoBytes Daily は、いかなる自然人に対するマーケティングにも関与していないため、通常は GDPR の規制規定に基づく個人を特定できるデータを収集しません。ただし、組織の従業員の電子メール アドレスや電話番号など、個人を特定できる可能性のあるすべての個人データは、事業部門または従業員が単独で EU/英国に拠点を置いている場合、「GDPR 機密データ」として分類されます。
したがって、EU/英国の物理的な所在地住所に関連付けられたビジネス連絡先データ セット全体が GDPR 機密データ (GSD) として識別され、組織内でのさらなる処理中にタグ付けされます。
データ主体の物理的位置情報が存在しない場合、関連する事業組織の物理的位置が関連すると考えられます。
3. データ監査
2018 年 5 月 25 日までに 1 回、その後は毎月、または ISGC の決定に応じて、保存されたデータ セットが検証されて GSD が特定され、データのアーカイブ、削除、その他の必要があるかどうかなど、それに関連するコンプライアンス要件が検証されます。特別に確保されています。
適切な「同意」または「正当な利益に関する注記」が伴わない GSD データ セットは削除することが推奨されます。
確認次第、そのようなデータは法医学的に削除されます。
4. GDPRの影響評価
2018 年 5 月 25 日までに GDPR ギャップ評価が実施され、必要に応じて是正措置が実施されました。2018 年 5 月 25 日以降は、ISGC が問題を特定した時点で重要な新規プロジェクトが実施されるたびに、データ保護影響評価 (DPIA) が実施されます。必要性。
5. 新規取引受付方針
2018 年 5 月 25 日以降、データ処理を伴うまったく新しいビジネスのコミットメントは、処理を担当する技術チームと協議して DPO から提出された特定の GDPR 影響評価ノートによる ISGC の承認が条件となります。
6. GSD データストレージポリシー
GSD は、厳格な「知る必要があること」に基づいて、指定された人物のみがアクセスできるシステムに保管されるものとします。
すべての GSD セットには、そのソース元であり、同意または契約に基づいてデータの収集に責任を負うデータ管理者のタグが付けられるものとします。
そのようなデータセットに関連する特定の制限も、データセットにタグ付けされるものとします。
データストレージにより、ライフサイクル中いつでも、データ修正、データポータビリティ、データ消去、データアクセスなどのデータ主体の権利を実行するために、個々のデータセットを見つけて処理できるようになります。
7. GSD データアクセスポリシー
GSD は、各 GSD データ セットがデータにアクセスできるユーザーとデータへのアクセス方法を定義する特定のアクセス パラメーターを持つことを保証するアクセス コントロール ポリシーに従ってアクセスされます。 GSD 労働力として指定された人のみが GSD データセットへのアクセスを許可されます。
パスワードなどのアクセス パラメータの使用は、必要に応じてある程度の複雑さと一意性を持って定義され、許可された GSD 従業員に割り当てられた特定のハードウェアからのみ GSD データにアクセスできるように、暗号化タグとマシン ID タグで補足されます。
データ ストレージがクラウドにある場合、GDPR に準拠したクラウド サービスのみが、保管時および転送時のデータが不正アクセスから保護されることを保証するために必要な追加の制御とともに使用されるものとします。
プロジェクト固有の GSD は、特定のプロジェクトに関連する従業員のみがデータにアクセスできる方法で保存されます。プロジェクト間のアクセスは、必要に応じて規制されるものとします。
8. GSD データ保持ポリシー
GSD は、処理に必要な最小限の期間のみ、アクティブなプロセス環境に保持されます。その後、データは、たとえばプロジェクトの請求サイクルが完了するまで、正当な利益に基づいて特定された要件に従って安全にアーカイブされるものとします。
その後、データは安全なアーカイブで継続されるか、会社の特定された正当な利益の要件に従って破棄されます。
アーカイブされたデータは毎月レビューされ、不要になったデータを特定し、廃棄指示のために ISGC に問い合わせるものとします。
法律の重複により生じる可能性のあるデータ保持に関する法的義務は、正当な利益の評価に考慮されるものとします。
9. GSD データ開示ポリシー
GSD の開示要求は、通常、ソース データ管理者からのみ受け付けられるものとします。
データ主体から直接受け取ったリクエストにはフィッシングのリスクがあることが認識されており、そのようなリクエストがある場合は、それらの間で存在する同意または契約に基づいてデータ主体からデータを収集した対応するデータ管理者に照会されるものとします。
開示されるデータは、要求を行ったデータ管理者の代表者の身元を適切に認証した後、データ主体に転送するためにデータ管理者にのみ送信されるものとします。
データ主体、その権限のある代理人、または法執行機関にデータを直接開示する必要がある例外的な状況では、要求を行った人の身元の適切な認証が保証されるものとします。
すべてのデータ開示要求は、データの公開前に ISGC によって承認される必要があり、その要求および評価文書は、必須の GDPR 準拠文書とみなされます。
10. GSD データインシデント管理ポリシー
この規範に基づく「インシデント」とは、データが侵害された疑いがあるかどうかにかかわらず、GSD コンプライアンス規範またはそれに基づくポリシーや手順に違反したことを示す可能性のある観察を指します。
内部告発者のポリシーは、社内または社外の観察者によってインシデントが迅速に報告されることを保証するために使用される場合があります。
InfoBytes Daily が知ることになったそのようなインシデントはすべて、GSD インシデント管理登録簿に記録され、即時の措置のために DPO に照会されるものとします。
DPO はインシデント報告書を検討し、インシデントを解決するための措置を直ちに講じ、またインシデントを ISGC に報告するものとします。
ISGC は速やかに会議を招集し、インシデントを評価してデータ侵害の疑いがあるかどうかを特定します。必要に応じて、ISGC はインシデントのリスク評価のため、即時技術法的監査を命令することがあります。リスク評価に基づいて、ISGC は、データに関連付けられたデータ管理者にデータ侵害通知を送信するなど、さらなる措置の必要性を決定するものとします。
組織の別の従業員が GSD にアクセスしたインシデントはセキュリティ インシデントとみなされ、必ずしも「侵害」とは限りません。ただし、このようなインシデントは不正アクセスの原因を調査し、意図的ではない偶発的なアクセスである場合は、人事ポリシーに従って適切な社内懲戒処分で解決する場合があります。データが外部に移動されていない、または外部者によってアクセスされていない場合、インシデントは侵害には該当しない内部データ事故として分類される可能性があります。
アクセスまたは外部に移動されたデータが暗号化された形式であることがわかっており、受信者が解読できない状態にあった場合は、関連する復号キーのセキュリティに関する適切な内部調査を条件として、アクセスが機密扱いになる可能性があります。侵害には至らない内部データ事故として。
11. GSD データ侵害通知ポリシー
「データ侵害」インシデントとは、InfoBytes Daily が必要な調査を行った結果、GSD に基づく特定のデータ セットへのアクセスが侵害され、外部エンティティが GSD セットにアクセスまたは送信するようになったことが判明したインシデントです。
このようなデータ侵害事件は直ちに ISGC に報告され、ISGC は遅滞なく事件の関連詳細とともにデータセットに関連付けられたデータ管理者に通知するものとします。
このような報告書には、侵害の性質と範囲、侵害の日時、影響を受けるデータ主体の詳細、侵害に気付いた際にとられた措置などが明記されます。必要に応じて、データ侵害も報告される場合があります。監督当局に。
12. GSD データ主体の権利管理ポリシー
InfoBytes Daily データ処理システムには、特に GDPR に基づいて提供されるデータ主体の権利に関する GDPR 要件の遵守を可能にするために、「プライバシーとセキュリティを設計上」組み込んでいます。
「アクセス」、「修正」、「消去」、「移植性」、および「制限」を課す権利などのデータ主体のこれらの権利を満たすために、InfoBytes Daily は、次のような方法で GSD ストレージおよびアクセス システムを有効にしました。指定されたデータ主体に属するデータセットを個別に抽出して処理することができます。
したがって、このシステムは、GDPR の最も厳しい要件に準拠するように設計されています。
データ開示ポリシーに従って、そのような権利の行使の要求をデータ主体から受け取るたびに、その要求はまず検証され、その後、データがデータ管理者から受け取った場合には、データ管理者は、データ開示。
通常、リクエストはデータ コントローラーとの通信で処理され、移植される場合はデータ コントローラーに返されます。
InfoBytes Daily がデータ管理者の協力なしにデータ主体の要求を処理しなければならない例外的な状況では、不当な開示を防ぐために適切な予防措置が講じられます。これは、あらゆる可能性に対して補償されることが InfoBytes Daily の正当な利益となるためです。不当な開示。
13. GSD データ送信ポリシー
GSD データは通常、アプリケーション インターフェイス (API) を通じてシステムに流入します。インターフェイスへのアクセスは、重大な GSD リスクが特定された場合、適切な 2 要素認証を強化した安全なパスワード アクセス システムを通じて行われます。
データ送信は暗号化ベースで行われ、既知の脆弱性をカバーする送信セキュリティの管理が行われます。
アプリケーション自体、その固有のストレージおよび処理要素、API は、適切なマルウェアおよび安全なアクセス管理システムによって、不正アクセスや悪意のある攻撃から保護されています。
GSD セットが顧客または下請け業者に送信される場合も、送信は API または暗号化された電子メールを介した暗号化された通信チャネルを通じて管理されます。
14. GSD マーケティング使用ポリシー
InfoBytes Daily が電子メールや電話通話などを通じたマーケティング目的で GSD を使用する場合、そのような通信を可能にするための適切な同意または契約があることを確認するように注意が払われます。
InfoBytes Daily はまた、パートナーであるリードジェネレータ、下請け処理業者、および顧客の両方に対し、利用可能な許可に従っている場合を除き、GSD を使用しないよう主張しています。
明確な同意が得られない場合、ビジネス連絡先データはリードジェネレータから収集されたり、顧客に渡されたり、下請け業者を通じて処理されたりすることはありません。
このようなデータは、InfoBytes Daily システムに入力されると最初に破棄され、「適切な処理の同意がない GSD」として識別されます。
15. GSD 同意ポリシー
データ主体が EU/英国に所在すること、またはデータ主体の雇用主が EU/英国に所在することを理由に GSD として分類されたすべての情報は、データ主体が GDPR で要求される形式に基づいて明示的な同意を提供した場合にのみ受け入れられます。
GDPR 以前のシナリオでは、そのような同意は通常、プライバシー通知を含む個人データ処理の原則に基づいて収集されていました。このようなプライバシー通知には、収集される情報、収集の目的、情報の保存期間、情報の安全性、情報が正確かどうか、処理のために EU 国外に転送されるかどうかなどが示されています。同意の一部は、デフォルト設定として「オプトイン」原則に基づいていました。
GDPR では、「オプトアウト」がデフォルトのオプションである明示的な同意に基づいてのみ個人データが収集されることが重要であり、同意は受け入れを示す積極的行動に基づいてのみ収集されます。
さらに、プライバシーに関する通知には、データ主体が「ダウンストリーム処理者の身元を知らされる権利」、「アクセスおよび修正の権利」、「移植性および消去の権利」などの特定の権利があることも示す必要があります。
新しい要件を考慮すると、GDPR 以前の形式で取得されたすべての同意は無効とみなされ、そのようなデータは InfoBytes Daily によって破棄されます。
InfoBytes Daily のリードを生成する外部パブリッシャーは、データ主体が EU/英国に所在する場合に、新しい形式の同意を得て生成されたリードのみを提供することを契約を通じて確認するものとします。
16. GSD ステークホルダーコミュニケーションポリシー
InfoBytes Daily は、InfoBytes Daily GDPR コンプライアンス プログラムの利害関係者である多くの外部組織を通じて運営されています。このような組織には、顧客、見込み顧客発掘者、下請け業者などが含まれます。
効果的にコンプライアンスを遵守するために、安全な送信による場合を除き、関係者との通信において、許可された代表者とのみ GSD データを交換してはなりません。
API を介した通信はアクセス ポリシーによって制御されますが、電子メールを介したその他の通信は電子メール通信ポリシーによって制御される必要があります。
基本的に、電子メール通信ポリシーでは、GSD または GDPR 準拠情報を利害関係者と共有する場合は、通知された連絡先電子メール アドレスを通じてのみ行うものとし、その電子メール アドレスは、ほとんどの場合、他の組織の DPO になります。必要に応じて、電子メール通信は暗号化および認証される場合があります。デジタル署名付き。
17. GSD の正当な利益の特定ポリシー
InfoBytes Daily は、データ消去やデータ修正などのデータ主体の特定の権利が、InfoBytes Daily の正当な利益の要件と矛盾する可能性があること、または、以下の観点からデータに適用されるデータ保持法と矛盾する可能性があることを認識しています。その他の法的義務。
データ主体の権利が実装されているすべての場合において、InfoBytes Daily はさらなる措置を講じる前にリクエストを評価します。 InfoBytes Daily がリクエストを拒否するか、受け入れるためにリクエストを変更する必要があると認識した場合、その理由が文書化され、ISGC によって GSD 正当な利息通知書が作成されます。
データがアクティブである必要がない場合は、正当な利益が期限切れになるまで安全にアーカイブできます。
データ主体の要求を処理するために正当な利益の主張を行使する理由は、データ主体へのその後の送信のためにデータ主体を担当するデータ管理者に伝えられるものとします。
18. GSD 人材管理方針
GSD は、InfoBytes Daily の管理下にある間、情報セキュリティの観点から独占的かつ特別な注意を必要とするデータセットとみなされます。
したがって、GSD は、特別な訓練を受けた従業員によって、必要に応じて適切にタグ付けされ、処理されることになります。
これらの従業員と、GSD が保存、アクセス、処理されるシステムは、GSD に関連するリスクのレベルを考慮して安全に管理されます。
この GSD 処理への人の割り当てとその削除は、より高いレベルの身元確認、トレーニング、物理的アクセス ID、制裁ポリシーなどを含む適切なセキュリティ対策によって管理されるものとします。
必要に応じて、GSD 従業員向けに人事ポリシーを適切にアップグレードする必要があります。
19. GSD 仮名化ポリシー
仮名化は、GSD の処理におけるリスクを軽減するための戦略であると認識されています。
仮名化プロセスが適切に構成されている限り、仮名化された個人データは、GDPR 規制の目的では「個人データ」とみなされません。
GDPR リスクに対する業務の現在のリスクレベルを考慮して、 InfoBytes Daily は、現時点ではリスク軽減戦略として仮名化を使用する必要があるとは考えていません。
20. GSD DRP-BCP ポリシー
InfoBytes Daily は、GSD 処理を伴う業務を含む自社の業務における効果的な災害復旧および事業継続計画の重要性を認識しています。
InfoBytes Daily は、GSD データの適切なバックアップと、不測の事態が発生した場合に事業継続性を維持するための合理的な能力を維持します。
21. GSD コンプライアンス文書ポリシー
GDPR 準拠の措置は、レビューできるように文書化されるものとします。コンプライアンス文書は、作成されてから最低 6 年間保存されるものとします。
何らかの文書が法執行要件または InfoBytes Daily の正当な利益を擁護するための潜在的な証拠である場合、そのような文書は要件が存続する限り保持されます。
22. GSD監査ポリシー
InfoBytes Daily の内部セキュリティ監査チームは、InfoBytes Daily の情報資産を少なくとも年に 1 回監査し、セキュリティのレベルと GDPR およびその他の規制要件への準拠を評価するものとします。
ビジネスプロファイルに大きな変化が生じた場合には、ISGC による評価に基づいて外部監査が検討される場合があります。
InfoBytes Daily は、契約上の義務に従ってコンプライアンスを確保するために、下請け業者の施設の監査を実施する権利を留保します。
ただし、InfoBytes Daily は、下請け業者の施設を監査する権限は有効であり、例外的な状況でのみ使用されるものであることを認識しています。これは、提供された契約上の保証に従って、下請業者が末端でのコンプライアンス要件を満たす責任を軽減するものではありません。
23. GSD 苦情救済ポリシー
InfoBytes Daily は、データ主体との紛争を是正するために、複数レベルの苦情是正ポリシーを提供します。このような苦情は、第 1 レベルの DPO、第 2 レベルの ISGC、および第 3 レベルの理事会によって目的のために設立されたオンライン紛争解決委員会によって処理されます。
GDPR 監督当局からの問い合わせはすべて DPO によって処理され、必要に応じて ISGC にエスカレーションされます。
顧客、出版社、または下請業者との紛争は、それぞれの契約合意に従って処理されるものとします。
24. ネットワークセキュリティポリシー
当社が使用する IT インフラストラクチャの安全性を確保するために、InfoBytes Daily は、必要に応じて、ファイアウォール、侵入検知システム、マルウェア防御システム、システム パッチ適用などを含む堅牢な情報セキュリティ ポリシーを採用するものとします。
指定された情報セキュリティ管理者がネットワークのセキュリティの維持に責任を負います。
PS: この規範は随時改訂されることがあります。