データ保持ポリシー-MikeLane Mods

データ保持ポリシー

はじめに

このポリシーは、EU規則2016/679一般データ保護規則（「GDPR」）に従って会社が収集、保持、および処理する個人データの保持に関するMike Lane Mods Limited（「会社」）の義務を定めています。

GDPRでは、「個人データ」を、識別された、または識別可能な自然人（「データ主体」）に関連する情報として定義しています。識別可能な自然人とは、特に名前、識別番号、位置データ、オンライン識別子などの識別子、または身体的、生理学的に固有のXNUMXつ以上の要因を参照することにより、直接的または間接的に識別できる人のことです。、その自然人の遺伝的、精神的、経済的、文化的、または社会的アイデンティティ。

GDPRは、「特別なカテゴリ」の個人データ（「機密」の個人データとも呼ばれます）にも対応しています。このようなデータには、データ主体の人種、民族性、政治、宗教、労働組合への加入、遺伝学、生体認証（ID目的で使用される場合）、健康、性生活、または性的指向に関するデータが含まれますが、必ずしもこれらに限定されません。

GDPRの下では、個人データは、個人データが処理される目的に必要な期間を超えてデータ主体を識別できる形式で保持されるものとします。場合によっては、個人データは、公益のためのアーカイブ目的、科学的または歴史的研究、または統計目的（適切な技術的および組織的実施を条件とする）のために処理される長期間保存される場合があります。そのデータを保護するためにGDPRが要求する措置）。

さらに、GDPRには、消去する権利または「忘れられる権利」が含まれます。データ主体は、以下の状況において、個人データを消去する（およびその個人データの処理を防止する）権利を有します。
a）個人データが最初に収集または処理された目的のために不要になった場合（上記を参照）。
b）データ主体が同意を撤回したとき。
c）データ主体が個人データの処理に異議を唱え、当社が正当な利益を無効にすることはない場合。
d）個人データが違法に処理された場合（つまり、GDPRに違反した場合）。
e）法的義務を遵守するために個人データを消去する必要がある場合。また
f）子供に情報社会サービスを提供するために個人データが処理される場合。

このポリシーは、クライアントプロジェクトを管理するために会社が保持する個人データの種類、その個人データが保持される期間、そのような期間を確立およびレビューするための基準、および時期を定めています。そしてそれがどのように削除されるか、さもなければ処分されるか。

データ保護およびGDPRへの準拠の他の側面の詳細については、会社のデータ保護ポリシーを参照してください。

2.目的と目的

2.1このポリシーの主な目的は、個人データの保持に関する制限を設定し、それらの制限、および消去に対するさらなるデータ主体の権利が確実に遵守されるようにすることです。ひいては、このポリシーは、会社がGDPRに基づくデータ主体の義務と権利を完全に遵守することを保証することを目的としています。
2.2 GDPRに基づくデータ主体の権利を保護することに加えて、このポリシーは、過剰な量のデータが会社によって保持されないようにすることにより、データ管理の速度と効率を向上させることも目的としています。

3 範囲

3.1このポリシーは、当社および当社に代わって個人データを処理するサードパーティのデータ処理者が保有するすべての個人データに適用されます。
3.2当社が保有する個人データは、以下の方法および以下の場所に保管されます。
a）GDPR準拠のクラウドストレージサービスプロバイダーによって運営されているサードパーティのサーバー。
b）会社の敷地内に恒久的に設置されているコンピューター。と
c）会社の敷地内に保管されている物理的な記録。

4.データ主体の権利とデータの整合性

当社が保有するすべての個人データは、当社のデータ保護ポリシーに定められているように、GDPRの要件およびその下でのデータ主体の権利に従って保持されます。

4.1データ主体は、その権利、当社が保有する個人データ、当社のデータ保護ポリシーのパート12および13に規定されているようにその個人データがどのように使用されるか、および当社がそれを保持する期間について完全に通知されます。個人データ（または、固定の保持期間を決定できない場合は、データの保持を決定する基準）。
4.2データ主体は、誤ったデータを修正する権利、個人データの削除またはその他の方法での廃棄を要求する権利を含む、当社が保持する個人データを管理することができます（このデータ保持ポリシーで別途設定された保持期間にかかわらず）、当社の個人データの使用を制限する権利、および自動化された意思決定とプロファイリングに関連するさらなる権利。

5.技術的および組織的なデータセキュリティ対策

5.1電子的に保存されたすべての個人データは、オンサイトおよびオフサイトに保存されたバックアップとともに定期的にバックアップする必要があります。すべてのバックアップは、Advanced Encryption Standard（AES）256ビット暗号化を使用して暗号化する必要があります。ローカルエリアの災害やその他の通常のアクセス手順の中断が発生した場合に、リモートでデータを回復できるようにする必要があります。
a）個人データを含むすべての電子メールは暗号化する必要があります。
b）個人データを含むすべての電子メールは、「機密」とマークする必要があります。
c）個人データは安全なネットワークを介してのみ送信できます。
d）合理的な有線の代替手段がある場合、個人データをワイヤレスネットワーク経由で送信することはできません。
e）電子メールの本文に含まれる個人データは、送信または受信にかかわらず、その電子メールの本文からコピーして安全に保管する必要があります。電子メール自体と関連する一時ファイルを削除する必要があります。
f）個人データをファクシミリ送信で送信する場合は、受信者に事前に通知し、受信を待つ必要があります。
g）個人データをハードコピー形式で転送する場合は、受信者に直接渡すか、郵送の場合は受信者宛てに送信する必要があります。
h）物理的に転送されるすべての個人データは、「機密」とマークされた適切なコンテナに転送する必要があります。
i）個人データを非公式に共有することはできません。個人データへのアクセスが必要な場合は、当社のデータ保護責任者に正式に要求する必要があります。
j）個人データのすべてのハードコピー、および物理メディアに保存されている電子コピーは、安全に保存する必要があります。
k）従業員、代理人、請負業者、またはその他の当事者が会社を代表して働いているかどうかにかかわらず、許可なく個人データを転送することはできません。
l）個人データは常に注意して取り扱われる必要があり、放置したり、表示したりしないでください。
m）個人データの表示に使用されるコンピューターは、放置する前に常にロックする必要があります。
n）モバイルデバイスが会社のものであるかどうかにかかわらず、モバイルデバイスに個人データを保存しないでください。
o）電子的に保存されたすべての個人データは、定期的にバックアップし、バックアップをオンサイトとオフサイトに保存する必要があります。すべてのバックアップは暗号化する必要があります。
p）個人データのすべての電子コピーは、パスワードと暗号化を使用して安全に保管する必要があります。
q）個人データを保護するために使用されるすべてのパスワードは定期的に変更され、安全でなければなりません。
r）いかなる状況においても、パスワードを書き留めたり共有したりしてはなりません。パスワードを忘れた場合は、該当する方法でリセットする必要があります。
s）すべてのソフトウェアを最新の状態に保つ必要があります。セキュリティ関連のアップデートは、利用可能になってからできるだけ早くインストールする必要があります。
t）会社所有のコンピューターまたはデバイスに、承認なしにソフトウェアをインストールすることはできません。と
u）当社が保有する個人データをマーケティング目的で使用する場合、当社は、直接またはTPSなどのサードパーティサービスを介して、適切な同意が得られ、データ主体がオプトアウトしていないことを確認するものとします。

5.2個人情報のセキュリティを保護するため、社内では以下の組織的対策を講じています。詳細については、会社のデータ保護ポリシーのパート27を参照してください。
a）会社を代表して働くすべての従業員およびその他の当事者は、GDPRおよび会社のデータ保護ポリシーに基づく個人の責任と会社の責任の両方を十分に認識しているものとします。
b）仕事を遂行するために個人データへのアクセスおよび使用を必要とする、会社を代表して働く従業員およびその他の当事者のみが、会社が保有する個人データにアクセスできるものとします。
c）個人データを取り扱う会社を代表して働くすべての従業員およびその他の関係者は、そうするように適切に訓練されます。
d）個人データを取り扱う会社を代表して働くすべての従業員およびその他の関係者は、適切に監督されます。
e）個人データを取り扱う会社を代表して働くすべての従業員およびその他の関係者は、個人データに関連する作業について常に注意を払う必要があります。
f）個人データの収集、保持、および処理の方法は、定期的に評価およびレビューされるものとします。
g）個人データを取り扱う会社を代表して働く従業員およびその他の関係者の業績は、定期的に評価およびレビューされるものとします。
h）個人データを取り扱う会社を代表して働くすべての従業員およびその他の当事者は、GDPRおよび会社のデータ保護ポリシーを遵守するための契約に拘束されます。
i）個人データを取り扱う会社を代表して働くすべての代理人、請負業者、またはその他の当事者は、GDPRおよび会社のデータ保護から生じる会社の関連する従業員と同じ条件にすべての関連する従業員が保持されることを保証する必要がありますポリシー;
j）個人データを取り扱う会社を代表して働く代理人、請負業者、またはその他の当事者がGDPRおよび/または会社のデータ保護ポリシーに基づく義務を履行しない場合、その当事者は会社を補償し、費用、責任、その失敗から生じる可能性のある損害、損失、請求または手続き。

6.データの廃棄

本ポリシーのパート7に記載されているデータ保持期間の満了時、またはデータ主体が個人データを消去する権利を行使した場合、個人データは次のように削除、破棄、またはその他の方法で廃棄されるものとします。
6.1電子的に保存された個人データ（そのすべてのバックアップを含む）は削除されるものとします。
6.2ハードコピー形式で保存された個人データは、シュレッダーにかけられ、リサイクルまたは廃棄されるものとします。
6.3個人データを含む古いコンピューターまたはその他の機器を廃棄する場合は、データを完全に削除するために徹底的な手順を実行する必要があります。これには、デバイスからのすべてのデータの削除、工場出荷時のリセットの実行、および必要に応じてハードドライブの物理的な破壊と安全な廃棄が含まれる必要があります。

7.データの保持

7.1上記のとおり、また法律で義務付けられているように、当社は、個人データの収集、保持、および処理の目的に照らして、必要以上に個人データを保持しないものとします。
7.2さまざまな目的で使用されるさまざまな種類の個人データは、以下に示すように、必然的にさまざまな期間保持されます（およびその保持は定期的に確認されます）。
7.3保持期間を設定および/またはレビューする場合、以下を考慮に入れるものとします。
a）会社の目的と要件。
b）問題の個人データの種類。
c）問題のデータが収集、保持、および処理される目的。
d）そのデータを収集、保持、および処理するための会社の法的根拠。
e）データが関連するXNUMXつまたは複数のデータ主体のカテゴリー。
7.4特定の種類のデータについて正確な保持期間を確定できない場合は、データの保持を決定する基準を確立し、それによって問題のデータとそのデータの保持を定期的に確認できるようにするものとします。それらの基準に対して。
7.5以下の定義された保存期間にかかわらず、特定の個人データは、定義された保存期間が満了する前に削除またはその他の方法で処分される場合があります。それ以外は）。

データの種類：ウェブサイトお問い合わせフォームによるお客様の連絡先の詳細–名前、電子メールアドレス、メッセージ
データの目的：顧客への連絡方法として、また当社のウェブサイトを介した販売問い合わせの収集方法として機能します。
レビュー期間：XNUMX年
保持期間または基準：無期限–不要になるまで保持されます

データの種類：Webサイトストアを介した顧客の詳細–名前、会社名（オプション）、配送先住所、請求先住所、電話番号（オプション）、電子メールアドレス
データの目的：既存および将来の注文の処理、出荷、管理、サポート、クライアントとのコミュニケーション、財務、請求に不可欠
レビュー期間：XNUMX年
保持期間または基準：無期限–不要になるまで保持されます

データの種類：ダイレクトメッセージによる顧客の詳細–名前、住所、電子メールアドレス
データの目的：既存および将来の注文の処理、出荷、管理、サポート、クライアントとのコミュニケーション、財務、請求に不可欠
レビュー期間：XNUMX年
保持期間または基準：無期限–不要になるまで保持されます

8.ポリシーの実装

このポリシーは、1年2018月XNUMX日から有効と見なされます。このポリシーのいかなる部分も遡及的に効力を持たないため、この日付以降に発生した問題にのみ適用されます。