データ保護ポリシーの目標は、法的なデータ保護の側面を 1 つの要約文書にまとめることです。また、委託された処理の範囲内で顧客が法定データ保護検査を行う際の基準としても使用できます。これは、欧州一般データ保護規則 (GDPR) およびデータ保護法 (DPA) 2018 への準拠を保証するだけでなく、準拠の証明も提供します。
Hodfords Solutions Ltd は、クライアント向けのソフトウェア開発機能とチーム増強のサプライヤーです。当社は、プロジェクトの期間中、データ処理者となることを必要とするソフトウェアを構築することがよくあります。通常、当社はソフトウェアの IP を所有しておらず、クライアントとの関係においてのみデータ処理の立場にあります。
当社のセキュリティおよびリスク管理ポリシー ドキュメントには、情報システム セキュリティおよびリモート アクセス制御に関する詳細なポリシーが記載されています。
データ処理者としての GDPR における当社の役割では、当社はコントローラー (当社のクライアント) に代わって個人データを処理します。プロセッサーは、関連するコントローラーに代わって、その権限の下で行動します。当社は、データ処理者として従う義務があります。それらは以下のとおりです:
説明責任 - 記録を保持し、データ保護の責任者を任命する必要があります
国際転送 - 英国の個人データの他者への転送禁止は、EU の個人データの他者への転送禁止と一致しています。英国外への転送は、管理者の承認を得て、英国 GDPR の転送規定に準拠していることを確認する必要があります。
監督当局との協力 - 情報コミッショナー事務局 (ICO) などの当局と協力して、当局の職務遂行を支援する義務があります。
GDPR では、データの合法的な処理には 6 つの正当な理由のいずれかが必要です。6 つの目的は次のとおりです。
目的の制限。個人データの処理は、その個人データがデータ主体から最初に収集された正当な目的に限定する必要があります。これにより、個人データが収集された正当な目的以外での個人データの処理が事実上禁止されます。
データの最小化。データを収集する場合、その目的に絶対に必要な個人データのみが要求されます。つまり、必要なデータ以外は要求または保存できません。これは、企業がデータを分析する際に重要です。データの分析を、匿名化されたデータセット、または同意が得られたデータセット、または明確な正当な処理目的があるデータセットに限定することが重要です。
正確性。データ主体の個人データは常に正確で最新の状態に保たれている必要があります。これは単純明快であり、つまり、コントローラーはデータが正確であることを確認するよう求められ、データ主体は必要に応じてデータを更新できます。
完全性と機密性。個人データは、不正または違法な処理からの保護を含む適切なセキュリティを確保する方法で処理する必要があります。また、管理者は、データが権限のない人物によって変更されないようにする必要があります。
保存制限。個人データは必要な場合にのみ保持する必要があります。つまり、個人データは、収集された正当な目的が達成されたら削除する必要があります。これは簡単ではなく、当初想定された処理目的よりも長い期間個人データを保持することを要求する可能性がある適用法に従って決定する必要があります。
公正で透明性。GDPR では、すべての個人データ処理が公正である必要があるとしています。つまり、企業は正当でない処理を実行しません。また、企業は個人データの処理に関して透明性を保ち、データ主体にオープンで透明性のある方法で通知する必要があります。これは、個人データが、正当な理由がある場合にのみ処理される必要があることを意味します。個人データの処理の正当な目的。EU GDPR では、データ主体が個人データの処理について十分に情報を得られるように、企業に透明性の実践を求めています。
Hodfords は、データ処理者として最高レベルのデータ保護を達成することを目指しています。当社は、ビジネス内のデータ保護管理の継続的な改善に取り組んでおり、毎年プロセスを見直します。
目標を定義し、文書化する必要があります。データ保護の目標はデータ保護の原則に基づいており、各企業ごとに個別に変更する必要があります。
役割と責任
Hodfords は小規模企業であり、データ処理のみを行っているため、DPO はいません。Hodfords Solutions Ltd で GDPR とデータ保護を担当する指定担当者は Charlotte Ford です。
Charlotte Ford の責任は次のとおりです。
すべての従業員がセキュリティとデータ保護のポリシーを読んでいることを確認する
要求する従業員に対する GDPR のトレーニング
当社が行う作業に、データ処理者とデータ管理者が明確かつ定義されていることを確認する管理者契約の締結
サプライヤーとの関係: データ処理の定期的な検査と評価、特に実施された技術的および組織的対策の有効性に注意を払います。