プライバシー通知 - 行動規範

本プライバシー通知の目的は、行動規範の調査に関係するすべての個人（ASSA ABLOYの行動規範違反の疑いを報告する個人を含む）の権利を保護し、これらの個人の個人データの平等かつ安全な取り扱いを確保し、ASSA ABLOYの権利に関する情報を提供し、適用されるデータ保護法をASSA ABLOYが遵守することを保証することにあります。 ASSA ABLOYは、行動規範違反を検出し、報告された行動規範違反の疑いを調査し、是正措置を講じる必要があり、そのために行動規範の調査に関係する個人に関する特定の個人情報 (以下   「個人データ」）を処理する必要があります。

本通知には、ASSA ABLOYが 「データ管理者」 である場合に、当該個人に関連してASSA ABLOYが処理する個人データの種類についての情報が含まれています。個人データは、本通知およびデータ保護法に基づいて処理されます。 この通知をお読みいただくことにより、お客様は、お客様の個人データがどのように処理されているかについて通知されたことを確認したものとみなされます。 お客様は、当社がお客様の個人データをどのように取り扱うかについて、いくつかの権利を有しています。

お客様の権利には以下が含まれます。

• お客様の個人情報へのアクセスと修正の権利
• 個人情報の処理に異議を唱える権利
• 個人情報の処理を制限する権利
• 個人情報の削除を要求する権利
• 技術的に可能な場合、他の管理者へのデータポータビリティーの権利。

なお、状況によっては、お客様が権利を行使できない場合もありますので、ご了承ください。  お客様は、当社によるお客様の個人データの処理方法に不服がある場合、データ保護当局に異議を申し立てる権利を有します。 

お客様の権利については、以下で詳しく説明します。 

ASSA ABLOYは、Data Protection Manager（DPM）を任命しています。 ASSA ABLOY がお客様の個人情報をどのように取得、処理、保存するかについてご質問がある場合は、スケジュールBに記載されている DPM にお問い合わせください。

本通知で使用される 「個人データ」 という用語は、単独で、または他の情報と合わせて、生存する個人に関係するあらゆる情報、およびASSA ABLOYに適用されるデータ保護法に従って個人情報とみなされる、またはその他の関連情報を指します。 

この通知には、行動規範違反の疑いのある報告者であるお客様に関連して、関連法の下で処理されたとみなされるあらゆる形態の個人データに関する情報が含まれます。これには、保管、保存、取得、転送、開示、またはその他の方法で取り扱われる個人データが含まれます。 

当社は、行動規範違反の疑いを調査し、是正措置を講じるために、個人情報を処理します。 具体的には、当社は、行動規範違反の可能性を報告した個人に関する個人情報を、別表Aの 「データ処理マトリックス」 に記載されたとおりにのみ取得・処理します。当社は、この通知およびデータ処理マトリックスに記載された目的を果たすため、および適用される法律を遵守するためにのみ、この個人情報を処理します。

ASSA ABLOYは、個人情報を収集した目的およびデータ処理マトリックスに記載された目的のためにのみ処理します。 当社は、個人情報の保護のために適切な技術的および組織的措置を講じ、限られた権限を有する者（別表Bに記載）のみが個人情報にアクセスできるようにしています。 当社は、個人情報の不正使用を防止・回避するために、ファイアウォール、暗号化技術、パスワード、ウイルス対策プログラムなどの技術的セキュリティシステムを使用しています。 講じられた組織的措置は、データ保護コンプライアンスプログラムに詳細に記載されています。

当局

調査または法的手続きに関連して、ASSA ABLOYは個人情報を当局、規制当局、および裁判所に提供する必要がある場合があります。 このような開示は、法的な義務を履行するために、義務的な法律に従って行われます。

ASSA ABLOY グループ会社

さらに、ASSA ABLOYグループが多くの異なる国で事業活動を行っていることから、データ処理マトリックスに記載された目的のために個人情報を受け取る必要のあるお客様の母国以外のASSA ABLOY企業に個人データを転送する必要がある場合があります。

ASSA ABLOYが関与する企業

また、お客様の個人データは、ASSA ABLOYのためにサービスを提供する第三者のプロバイダーやサプライヤーに転送され、これらの企業が当社から依頼されたサービスを実行できるように処理されることがあります。 依頼されるサービスには、調査に関連するフォレンジックサービスやアドバイスの提供などがあります。 これらの企業には、データ処理マトリックスに記載されている目的を満たすために必要な個人データのみが提供されます。 すべての第三者プロバイダーおよびサプライヤーは、当社の指示および該当する書面によるデータ処理者契約、ならびにASSA ABLOYとその第三者プロバイダー／サプライヤーとの間で締結されているその他の契約に従わなければならず、当社の従業員の個人情報を保護するための適切な技術的および組織的措置を実施しなければなりません。

個人情報を受け取る法人は、お客様が所在する国または市民である国よりも個人情報の保護レベルが低い国に所在する場合があります。 個人情報の保護レベルが低い国に転送されたすべての個人情報は、個人情報の転送が法律に準拠していることを確認するために、随時適用されるASSA ABLOYの個人データの転送に関する現行の方針に従って転送されます。 個人情報の保護レベルが低い国に個人データを移転する場合、個人情報はスケジュールBに記載の 「個人データ移転マトリックス」  に基づいて転送されます。

個人データは、権限を与えられた従業員および/またはコンサルタントとしてASSA ABLOYに従事し、業務遂行のために個人情報の処理を必要とする立場にある個人のみが利用できます。 これらの従業員および/またはコンサルタントは、「最小特権」の原則に従ってのみアクセス権を与えられます。つまり、業務を遂行するために処理の目的上、厳密に必要な個人情報にのみアクセスできるということです。 したがって、個人情報にアクセスできる人物は、スケジュールBに記載されている役職をもつ個人に限られます。 個人情報は、第5項に記載されているように、ASSA ABLOYが個人情報を開示した第三者の従業員および/またはコンサルタントも利用できる場合があります。

当社は、データ処理マトリクスに記載された目的を果たすため、またはお客様の国の関連法を遵守するために必要な期間を超えて、個人情報を保存または処理しません。 したがって、特定の種類の個人情報に関して目的が達成された場合、その目的のための個人情報の使用を中止し、同じ情報が他の目的に関連しない場合は、合理的に可能な限り速やかに関連する個人情報を削除します。

アクセス権と修正権

行動規範違反の疑いのある報告者として、ご自身に関連する個人情報へのアクセスを要求する権利があります。 これには、ご自身に関する個人情報が処理されているかどうか、どのような個人情報が処理されているか、処理の目的について知らされる権利が含まれます。 また、お客様の個人情報が不正確または不完全である場合、お客様は個人情報を修正または追加する権利を有します。 不正確な個人情報が処理されていることに気づき次第、当社は常に可能な限り速やかに当該個人情報を修正し、それに応じてお客様に通知します。

消去権

また、お客様は、例えば以下のような場合に、ご自身の個人情報の削除を要求することができます。

• 個人情報が収集される目的のために必要でなくなった場合
• 当社と利害関係のない場合で、お客様が個人情報の処理に異議を唱える場合
• 処理が違法である場合、または 
• 当社が法的要件を遵守するために個人情報を削除する必要がある場合。 

消去権についてご質問がある場合は、DPMにご連絡ください（連絡先はスケジュールBをご参照ください）。 なお、処理が法律またはその他の関連する法的根拠に基づいて許可または要求されている場合には、お客様の要求を拒否することがありますのでご了承ください。 詳細については、11 項でリクエストを受けた場合の対応方法をご覧ください。 

異議を申し立てる権利 

また、お客様は、当社が正当な利益に基づいて行うお客様の個人情報の使用に異議を唱える権利を有します。 お客様が異議を唱えた場合、当社は、お客様の利益または権利のためやむを得ない正当な理由を示すことができない限り、あるいは法的請求を確立、行使、または弁護するために必要でない限り、お客様の個人情報を処理しません。

制限する権利

お客様は、以下の状況において、お客様の個人情報の処理を制限するよう当社に要求することができます。

• 収集またはその他の処理を行った目的のために処理が必要でなくなった場合
• お客様の同意に基づいたデータの使用に対するお客様の同意を撤回した場合
• 個人情報が正しくないと思われる場合
• 処理が違法であると思われる場合、または
• 当社が、当社の正当な利益に基づいてお客様の個人情報を処理する場合で、お客様のプライバシーに関する利益に優先する利益がない場合。 

データポータビリティの権利

お客様ご自身が提供されたご自身の個人情報へのアクセスを希望される場合で、その個人情報が自動的に処理されている場合には、構造化された、一般的に使用される、機械で読み取り可能な形式で提供されることを要求することができ、また、技術的に可能な場合には、その個人情報を別の管理者に転送することを要求することができます。 

ご自身の個人情報の処理に関連して要求がある場合は、スケジュール Bに記載されているDPM宛に電子メールをお送りください。 なお、お客様の個人情報を権限のない者に開示することがないように、お客様にご連絡してご本人確認をお願いすることや、何らかの行為を行う前にお客様の要求を具体的にお伺いすることがあります。 お客様がご本人であることを確認した後、当社は適用される法律に基づいて要求を処理します。 なお、お客様が個人情報の特定の処理に異議を唱えた場合でも、法律で許可されているか、または要求されている場合には、例えば法律上または契約上の要求を満たすために、処理を継続することがありますのでご了承ください。 

お客様がご本人であることを確認した上で、法律に基づいて対応させていただきます。 なお、お客様が個人情報の特定の処理に異議を唱えた場合でも、法律で認められている、または必要とされている場合には、処理を継続することがあります。例えば、法律上の要求を満たすため、雇用を管理するため、またはお客様との契約に基づく義務を果たすためなどです。

個人情報の処理方法について不服がある場合、またはさらなる情報をご希望の場合は、DPMにご連絡ください（連絡先はスケジュールBをご参照ください）。 また、データ処理に関する苦情は、居住地、勤務地、または適用されるデータ保護法の違反が疑われる場所など、関連する公的機関に申し立てることができます。詳細は、スケジュールBを参照してください。