パート A: 一般

適用性

この文書は、2018 年 5 月 25 日から発効する GDPR コンプライアンス ポリシーの現在の運用版であり、次の組織で構成される TechVersions の活動に適用されます。

TechVersions、テクノロジー出版会社、8000 Towers Crescent Drive、13th Floor Vienna、VA 22182

導入

TechVersions の中心的な活動は、ターゲット市場から効果的なリードを生み出すことで、B2B 製品のマーケティングにおいて顧客にサポートを提供することです。

リード生成は、ソーシャル メディア マーケティング、Web マーケティング、電子メール マーケティング、テレマーケティングなどの関連テクノロジーを使用するビジネス パートナーなど、さまざまなチャネルを通じて企業の信頼できる購入意図を特定するための関連データを収集するインテリジェントな市場調査を通じて行われます。

これらの活動の過程で、TechVersions は B2B マーケティング チェーンに価値を加える仲介者として機能します。キャンペーン情報は顧客によって提供され、微調整され、潜在的な市場領域に配布するためのキャンペーン資料に変換されます。

キャンペーン資料を関連メディアに掲載することによる最終ターゲット顧客への配信は、リードを生成する外部のパブリッシャーを通じて行われます。リードの一部は、社内の出版活動と、TechVersions の研究開発チームが開発した革新的な企業意図マーケティング ツールの使用によって生成されます。

パブリッシャーによって生成されたリードは、品質を向上させるためにインテリジェントにフィルタリングされ、顧客に渡される前に実行可能なマーケティング目標に変換されます。

TechVersions は、信頼できるベンダーと訓練を受けた人材の開発を含む独自の製品、プロセス、情報生成システムを開発してきました。これらは、TechVersions が世界中の B2B マーケティング エコシステムにもたらす価値提案を反映しています。この専門知識を維持および育成し、それを商業機会の活用に利用することは、TechVersions の正当な利益を表します。

TechVersions が採用したこの GDPR 準拠規範は、TechVersions が世界中で「民主主義社会の国民の基本的権利としてのプライバシー」という概念に取り組み、GDPR で義務付けられているすべてのプライバシー原則を誠実に履行することを宣言します。該当する。

しかしながら、TechVersions は、B2B 市場仲介者として世界中で合法的な事業運営を行うことが自社の正当な利益であり、企業の権利と矛盾することなく誠実に事業を継続することが TechVersions の民主的権利であることを明らかにしています。 GDPR に基づいてプライバシーの保護が求められる個人の自然人。

TechVersions はまた、そのビジネス モデルでは、GDPR の範囲外にある事業体のデータと、個人データではないが部分的に個人を特定できる情報が含まれる可能性があるビジネス連絡先データのみの収集が必要であることも開示していますが、子供や子供などの個人データは含まれていません。 GDPR で「特別カテゴリ」に分類される個人データ。

GDPR の暴露

TechVersionsGroup は基本的に「B2B マーケティング仲介業者」であり、世界中で活動し、マーケティング リードを創出し、多くの国のクライアントにサービスを提供しています。 TechVersions は消費者市場では活動していないため、EU データ主体の個人情報を直接的または間接的に収集しません。 TechVersions が収集するデータは通常、企業従業員のビジネス連絡先データのカテゴリに属し、特に名前、勤務先電子メール、勤務先電話番号が含まれます。

B2B マーケティング リードの一部は EU 諸国と英国で生成されます。 EU/英国にお住まいの一部のお客様は、TechVersions のサービスを利用することもできます。現在、顧客とのやり取りの大部分は米国で行われ、見込み顧客発掘ビジネス パートナーとのやり取りの大部分はインドで行われています。

したがって、EU/英国地域で活動する企業組織からビジネス連絡先データが収集される場合、TechVersions の GDPR エクスポージャーが認識されます。

GDPR準拠への取り組み

GDPR コンプライアンス リスクにさらされるデータの処理に可能な限り厳しい基準を適用できるようにするために、TechVersions は、GDPR 機密データ (GSD) を TechVersions のリソースを流れる「機密データ」として扱うポリシーを採用しています。受信データには適切なタグが付けられ、該当する場合は GSD として分類されます。

データ主体のプライバシー保護と、GSD タグ付きデータに関するプライバシー保護に関連する情報のセキュリティは、サポート構造の設計に組み込まれています。

データは特定の場所で処理され、GSD を処理するための技術インフラストラクチャもその特定の場所にありますが、企業レベルの GDPR 認識が確立されており、この GDPR 行動規範の原則が全社に浸透するように引き続き追求されます。 GSD 処理を超えた組織には、独自の技術的および管理インフラストラクチャを備えた別の場所に配置されるマーケティング、財務、および管理機能が含まれます。

データ処理インフラストラクチャ全体のセキュリティを効果的に実装するために、当社は、データアクセス、処理保管、送信などに関する複数のサブポリシーを含む包括的な情報セキュリティポリシーを採用しています。

プライバシーへの取り組み

TechVersions は、「プライバシー」が市民社会における重要な民主的権利であることを認識しています。 TechVersions は、責任ある企業体として、処理のために企業データ リポジトリに個人データが取り込まれるすべての個人のプライバシーの保護に取り組んでいます。

EU/英国に顧客が存在すること、および EU/英国に居住する企業従業員の活動を監視することを考慮して、TechVersions は、グループとやり取りする可能性のあるすべての自然人のプライバシーを保護するために GDPR 準拠基準を採用することを選択しました。たとえそのような交流が、それぞれの事業組織の事業目標を追求する異なる事業体の従業員としての立場でのみ行われる場合であっても。

正当な利益

TechVersions の中核的な活動には、企業で使用するさまざまな製品の購入に関連するデータの処理が含まれます。アクティビティの範囲には、収集、集計、分析、セグメンテーション、および意図の監視が含まれます。このような処理の過程で、TechVersions はビジネス環境から収集された生データに付加価値を与え、付加価値のあるビジネス上の意思決定を支援する情報に変換します。

収集された生データは、データ主体に属するデータとして認識され、GDPR に基づくデータ主体の権利が適用されます。プロセス中に発生するデータに付加される価値は、TechVersions が一定レベルの知的財産権を主張する独自のデータ処理機能から生じます。

データが仮名化されている場合、付加価値のある仮名化データは、TechVersions がさらなる研究に使用する正当な利益を有するデータとみなされます。仮名化されていないデータは、付加価値のある状態であっても、アクセス、修正、制限、移植性、消去などのデータ主体の権利の行使の対象となります。仮名化されたデータが存在する場合、そのデータは GDPR の機密データとして分類されません。

TechVersions は、企業組織の意思決定担当者の企業情報やビジネス上の連絡先データなどのビジネス関連データの収集と処理において、EU GDPR 規制の第 6 条 (1) (f) で認められる正当なビジネス上の利益を保有しています。

また、TechVersions のビジネスには EU 内外での事業が含まれるため、第 6 条で想定されているように、データ処理に関連するさまざまな国の法的義務や、ビジネス全般および特に IT 関連の活動に適用されるその他の法律にさらされます。 EU GDPR 規制の (1)(c)。

さらに、TechVersions は、第 6 条に規定されている EU GDPR の原則を組み込んだ合法的な処理の商慣行を採用しています。これには、必要に応じてインフォームド明示的な同意を取得することや、データ主体との契約上の義務がある場合にはその要件を遵守することが含まれます。

したがって、プライバシーとデータ保護に関する TechVersions のポリシーは、GDPR の機密データをその生成段階と TechVersions システムへの入力段階で特定し、処理のライフ サイクル全体にわたってタグ付けするという問題に対処する、特定のプライバシーと情報セキュリティの管理で構成されています。

コンプライアンスの範囲をデータ処理エコシステムに拡大

さらに、EU GDPR で規定されている、個人のプライバシーに対する基本的な権利を保護するという立法の意図を維持し、適切な技術的および組織的/管理的管理が維持され、GDPR の機密データにアクセスする可能性のあるすべての下流のビジネス関係者が、企業に代わって処理することが保証されます。 TechVersions も GDPR に準拠しています。

TechVersions は、その業務の大部分において、GDPR の目的においては「データ管理者」ではなく「データ処理者」であることを認識しています。処理の一部において下請け業者のサービスを使用する場合、同社は「共同管理者」の役割を担うことがあります。

これらの役割を念頭に置いて、TechVersions のポリシーと管理は、ビジネス パートナーの GDPR 準拠活動について適切な情報を常に把握し、TechVersions 独自の GDPR 準拠を共有するための適切な技術的および組織的/管理的管理の維持を含め、GDPR 準拠を確保するように構成されています。必要に応じて措置を講じます。

この文書の制限事項

次の段落では、企業レベルでの GDPR 準拠に関する TechVersions の包括的なポリシーを示し、業務における GDPR 原則の満足のいくレベルの準拠を達成するための TechVersions のアプローチを強調します。

このポリシー文書は、TechVersions の外部の事業体を含む利害関係者との限定的な共有を目的としており、組織の知的財産を保護するために不可欠な処理に関する機密情報は除外されています。

ここに記載されている内容を超える情報開示の要求は、TechVersions のデータ開示ポリシーに基づいて処理され、そのような要求は信頼性の低い認証済み電子メールを通じてプライバシー マネージャーに送信される場合があります。

パート B: 具体的な政策の概要

1. 割り当てられた責任

TechVersions は、すべてのデータ主体の要求および苦情を処理する連絡担当者となるプライバシー マネージャーを指名しました。 TechVersions における GDPR の機密データに対する現在のリスク レベルを考慮すると、TechVersions の中核的な活動には EU データ主体の大規模かつ体系的な監視や EU 内の個人へのサービスの提供は含まれていないと考えられます。 GDPR で想定されている「データ保護責任者」を任命する必要はありません。

情報セキュリティガバナンス委員会（ISGC）は、GDPR遵守を含む情報セキュリティ全般を担当します。これは、GDPR ポリシーを含むすべての情報セキュリティ ポリシーの制定を担当する TechVersions の最高の政策決定機関となり、やがて個人またはコンサルタントをデータ保護責任者として任命する必要性を監視します。

2. データの分類

TechVersions は、いかなる自然人に対するマーケティングにも関与していないため、通常は GDPR の規制規定に基づく個人を特定できるデータを収集しません。ただし、事業部門または従業員が EU/英国に所在することがわかっている場合、組織の従業員の電子メール アドレスや電話番号など、個人を特定できる可能性のあるすべての個人データは「GDPR 機密データ」として分類されます。

したがって、EU/英国の物理的な所在地住所に関連付けられたビジネス連絡先データ セット全体が GDPR 機密データ (GSD) として識別され、組織内でのさらなる処理中にタグ付けされます。

データ主体の物理的位置情報が存在しない場合、関連する事業組織の物理的位置が関連すると考えられます。

3. データ監査

2018 年 5 月 25 日までに 1 回、その後は毎月、または ISGC の決定に応じて、保存されたデータセットが検証されて GSD が特定され、データのアーカイブ、削除、その他の特別な必要があるかどうかなど、それに関連するコンプライアンス要件が検証されます。確保された。

適切な「同意」または「正当な利益に関する注記」が伴わない GSD データ セットは削除することが推奨されます。
確認次第、そのようなデータは法医学的に削除されます。

4. GDPR の影響評価

2018 年 5 月 25 日までに GDPR ギャップ評価が実施され、必要に応じて是正措置が実施されました。2018 年 5 月 25 日以降は、ISGC が問題を特定した時点で重要な新規プロジェクトが実施されるたびに、データ保護影響評価 (DPIA) が実施されます。必要性。

5. 新規取引受付方針

2018 年 5 月 25 日以降、データ処理を伴うまったく新しいビジネスのコミットメントは、処理を担当する技術チームと協議して DPO から提出された特定の GDPR 影響評価ノートによる ISGC の承認が条件となります。

6. GSD データストレージポリシー

GSD は、厳格な「知る必要があること」に基づいて、指定された人物のみがアクセスできるシステムに保管されるものとします。

すべての GSD セットには、そのソース元であり、同意または契約に基づいてデータの収集に責任を負うデータ管理者のタグが付けられるものとします。

そのようなデータセットに関連する特定の制限も、データセットにタグ付けされるものとします。

データストレージにより、ライフサイクル中いつでも、データ修正、データポータビリティ、データ消去、データアクセスの要求などのデータ主体の権利を実行するために、個々のデータセットを見つけて処理できるようになります。

7. GSD データ アクセス ポリシー

GSD は、各 GSD データ セットがデータにアクセスできるユーザーとデータへのアクセス方法を定義する特定のアクセス パラメーターを持つことを保証するアクセス コントロール ポリシーに従ってアクセスされます。 GSD の従業員として指定された人のみが GSD データ セットへのアクセスを許可されます。

パスワードなどのアクセス パラメータの使用は、必要に応じてある程度の複雑さと一意性を持って定義され、許可された GSD 従業員に割り当てられた特定のハードウェアからのみ GSD データにアクセスできるように、暗号化タグとマシン ID タグで補足されます。

データ ストレージがクラウド上にある場合、GDPR に準拠したクラウド サービスのみが、保管中および転送中のデータが不正アクセスから保護されることを保証するために必要な追加の制御とともに使用されるものとします。

プロジェクト固有の GSD は、特定のプロジェクトに関連する従業員のみがデータにアクセスできる方法で保存されます。プロジェクト間のアクセスは、必要に応じて規制されるものとします。

8. GSD データ保持ポリシー

GSD は、処理に必要な最小限の期間のみ、アクティブなプロセス環境に保持されるものとします。その後、データは、たとえばプロジェクトの請求サイクルが完了するまで、正当な利益に基づいて特定された要件に従って安全にアーカイブされるものとします。

その後、データは安全なアーカイブで継続されるか、当社の特定された正当な利益の要件に従って破棄されます。

アーカイブされたデータは毎月レビューされ、不要になったデータを特定し、廃棄指示のために ISGC に問い合わせるものとします。

法律の重複により生じる可能性のあるデータ保持に関する法的義務は、正当な利益の評価に考慮されるものとします。

9. GSD データ開示ポリシー

GSD の開示要求は通常、ソース データ管理者からのみ受け付けられます。

データ主体から直接受け取ったリクエストにはフィッシングのリスクがあることが認識されており、そのようなリクエストがある場合は、それらの間で存在する同意または契約に基づいてデータ主体からデータを収集した対応するデータ管理者に照会されるものとします。

開示されるデータは、要求を行ったデータ管理者の代表者の身元を適切に認証した後、データ主体に転送するためにデータ管理者にのみ送信されるものとします。

データ主体、その権限のある代理人、または法執行機関にデータを直接開示する必要がある例外的な状況では、要求を行った人の身元の適切な認証が保証されるものとします。

すべてのデータ開示要求は、データを公開する前に ISGC によって承認される必要があり、要求および評価文書は、必須の GDPR 準拠文書とみなされます。

10. GSD データ インシデント管理ポリシー

この規範に基づく「インシデント」とは、データが侵害された疑いがあるかどうかにかかわらず、GSD コンプライアンス規範またはそれに基づくポリシーや手順に違反したことを示す可能性のあるあらゆる観察を指します。

内部告発者のポリシーは、社内または社外の観察者によってインシデントが迅速に報告されることを保証するために使用される場合があります。

TechVersions が知ることになったそのようなインシデントはすべて、GSD インシデント管理登録簿に記録され、即時の措置のために DPO に照会されるものとします。

DPO はインシデント報告書を検討し、インシデントを解決するための措置を直ちに講じ、またインシデントを ISGC に報告するものとします。

ISGC は速やかに会議を招集し、インシデントを評価してデータ侵害の疑いがあるかどうかを特定します。必要に応じて、ISGC はインシデントのリスク評価のため、即時技術法監査を命令する場合があります。リスク評価に基づいて、ISGC は、データに関連付けられたデータ管理者にデータ侵害通知を送信するなど、さらなる措置の必要性を決定するものとします。

組織の別の従業員が GSD にアクセスしたインシデントはセキュリティ インシデントとみなされ、必ずしも「侵害」とは限りません。ただし、このようなインシデントは不正アクセスの原因を調査し、意図的ではない偶発的なアクセスである場合は、人事ポリシーに従って適切な社内懲戒処分で解決する場合があります。データが外部に移動されていない、または外部者によってアクセスされていない場合、インシデントは侵害には該当しない内部データ事故として分類される可能性があります。

アクセスまたは外部に移動されたデータが暗号化された形式であることがわかっており、受信者が解読できない状態にあった場合は、関連する復号キーのセキュリティに関する適切な内部調査を条件として、アクセスが機密扱いになる可能性があります。侵害には至らない内部データ事故として。

11. GSD データ侵害通知ポリシー

「データ侵害」インシデントとは、TechVersions が必要な調査を行った結果、GSD に基づく特定のデータ セットへのアクセスが侵害され、外部エンティティが GSD セットにアクセスまたは送信したことを認識したインシデントです。

このようなデータ侵害事件は直ちに ISGC に報告され、ISGC は遅滞なく事件の関連詳細とともにデータセットに関連付けられたデータ管理者に通知するものとします。

このような報告書には、侵害の性質と程度、侵害の日時、影響を受けるデータ主体の詳細、侵害に気づいた際にとられた措置などが明記されます。必要に応じて、データ侵害は、データ侵害者に報告されることもあります。監督当局。

12. GSD データ主体の権利管理ポリシー

TechVersions データ処理システムには、特に GDPR に基づいて提供されるデータ主体の権利に関する GDPR 要件の遵守を可能にするために、「プライバシーとセキュリティを設計上」組み込んでいます。

「アクセス」、「修正」、「消去」、「移植性」、および「制限」を課す権利などのデータ主体のこれらの権利を満たすために、TechVersions は、GSD ストレージおよびアクセス システムを次のような方法で有効にしました。指定されたデータ主体に属するデータセットは、個別に抽出して処理できます。

したがって、このシステムは、GDPR の最も厳しい要件に準拠するように設計されています。

データ開示ポリシーに従って、そのような権利の行使の要求をデータ主体から受け取るたびに、その要求はまず検証され、その後、データがデータ管理者から受け取った場合には、データ管理者は、データ開示。

通常、リクエストはデータ コントローラーと通信して処理され、移植される場合はデータ コントローラーに返されます。

TechVersions がデータ管理者の協力なしにデータ主体の要求を処理しなければならない例外的な状況では、不法開示の可能性に対して補償を受けることが TechVersions の正当な利益となるため、不法開示を防ぐために適切な予防措置が講じられます。 。

13. GSD データ送信ポリシー

GSD データは通常、アプリケーション インターフェイス (API) を通じてシステムに流入します。インターフェイスへのアクセスは、重大な GSD リスクが特定された場合、適切な 2 要素認証を強化した安全なパスワード アクセス システムを通じて行われます。

データ送信は暗号化ベースで行われ、既知の脆弱性をカバーする送信セキュリティの管理が行われます。

アプリケーション自体、その固有のストレージおよび処理要素、API は、適切なマルウェアおよび安全なアクセス管理システムによって、不正アクセスや悪意のある攻撃から保護されています。

GSD セットが顧客または下請業者に送信される場合も、送信は API または暗号化された電子メールを介して暗号化された通信チャネルを通じて管理されます。

14. GSD マーケティング使用ポリシー

TechVersions が電子メールや電話通話などのマーケティング目的で GSD を使用する場合、そのような通信を可能にするための適切な同意または契約があることを確認するよう注意が払われます。

TechVersions はまた、リードジェネレータ、下請け処理業者、および顧客の両方のパートナーに対し、利用可能な許可に従っている場合を除き、GSD を使用しないよう主張しています。

明確な同意が得られない場合、ビジネス連絡先データはリードジェネレーターから収集されず、顧客に渡されたり、下請け業者を通じて処理されたりすることはありません。

このようなデータは、TechVersions システムに入ると最初に破棄され、「適切な処理の同意がない GSD」として識別されます。

15. GSD 同意ポリシー

データ主体が EU/英国に所在するか、その雇用主が EU/英国に所在することを理由に GSD として分類されたすべての情報は、データ主体が GDPR で要求される形式に基づいて明示的な同意を提供した場合にのみ受け入れられます。

GDPR 以前のシナリオでは、そのような同意は通常、プライバシー通知を含む個人データ処理の原則に基づいて収集されていました。このようなプライバシー通知には、収集される情報、収集の目的、情報の保存期間、情報の安全性、情報が正確かどうか、処理のために EU 国外に転送されるかどうかなどが示されています。同意の一部は、デフォルト設定として「オプトイン」原則に基づいていました。

GDPR では、「オプトアウト」がデフォルトのオプションである明示的な同意に基づいてのみ個人データが収集されることが重要であり、同意は受け入れを示す積極的行動に基づいてのみ収集されます。

さらに、プライバシーに関する通知には、データ主体が「ダウンストリーム処理者の身元を知らされる権利」、「アクセスおよび修正の権利」、「移植性および消去の権利」などの特定の権利があることも示す必要があります。

新しい要件を考慮すると、GDPR 以前の形式で取得されたすべての同意は無効とみなされ、そのようなデータは TechVersions によって破棄されます。

TechVersion のリードを生成する外部パブリッシャーは、データ主体が EU/英国に所在する場合に、新しい形式の同意を得て生成されたリードのみを提供することを契約を通じて確認するものとします。

16. GSD ステークホルダーコミュニケーションポリシー

TechVersions は、TechVersions GDPR コンプライアンス プログラムの利害関係者である多くの外部組織を通じて運営されています。このような組織には、顧客、見込み顧客発掘者、下請け業者などが含まれます。

効果的にコンプライアンスを遵守するために、安全な送信による場合を除き、関係者との通信において、許可された代表者とのみ GSD データを交換してはなりません。

API を介した通信はアクセス ポリシーによって制御されますが、電子メールを介したその他の通信は電子メール通信ポリシーによって制御される必要があります。

基本的に、電子メール通信ポリシーでは、GSD または GDPR 準拠情報を利害関係者と共有する場合は、通知された連絡先電子メール アドレスを通じてのみ行うものとし、その電子メール アドレスは、ほとんどの場合、他の組織の DPO になります。必要に応じて、電子メール通信は暗号化および認証される場合があります。デジタル署名付き。

17. GSD の正当な利益の特定ポリシー

TechVersions は、データ消去やデータ修正などのデータ主体の特定の権利が TechVersions の正当な利益要件と矛盾する可能性があること、または他の法的義務を考慮してデータに適用されるデータ保持法と矛盾する可能性があることを認識しています。 。

データ主体の権利が実装されるすべての場合において、TechVersions はさらなるアクションを起こす前にリクエストを評価します。 TechVersions がリクエストを拒否するか、受け入れるためにリクエストを変更する必要があると認識した場合、その理由が文書化され、ISGC によって GSD の正当な利子に関する通知が作成されます。

データがアクティブである必要がない場合は、正当な利益が期限切れになるまで安全にアーカイブできます。

データ主体の要求を処理するために正当な利益の主張を行使する理由は、データ主体へのその後の送信のためにデータ主体に対して責任を負うデータ管理者に伝えられるものとします。

18. GSD 人材管理ポリシー

GSD は、TechVersions の管理下にある間、情報セキュリティの観点から独占的かつ特別な注意を必要とするデータ セットとみなされます。

したがって、GSD は、特別な訓練を受けた従業員によって、必要に応じて適切にタグ付けされ、処理されることになります。

これらの従業員と、GSD が保存、アクセス、処理されるシステムは、GSD に関連するリスクのレベルを考慮して安全に管理されます。

この GSD 処理への人の割り当てとその削除は、より高いレベルの身元確認、トレーニング、物理的アクセス ID、制裁ポリシーなどを含む適切なセキュリティ対策によって管理されるものとします。

必要に応じて、GSD 従業員向けに人事ポリシーを適切にアップグレードする必要があります。

19. GSD 仮名化ポリシー

仮名化は、GSD の処理におけるリスクを軽減するための戦略であると認識されています。

仮名化プロセスが適切に構成されている限り、仮名化された個人データは、GDPR 規制の目的では「個人データ」とみなされません。

GDPR リスクに対する業務の現在のリスクレベルを考慮して、 TechVersions は、現時点ではリスク軽減戦略として仮名化を使用する必要があるとは考えていません。

20. GSD DRP-BCP ポリシー

TechVersions は、GSD 処理を伴う業務を含む自社の業務における効果的な災害復旧および事業継続計画の重要性を認識しています。

TechVersions は、GSD データの適切なバックアップを維持し、不測の事態が発生した場合に事業継続性を維持するための合理的な能力を維持します。

21. GSD コンプライアンス文書ポリシー

GDPR 準拠の措置は、レビューできるように文書化されるものとします。コンプライアンス文書は、作成されてから最低 6 年間保存されるものとします。

何らかの文書が法執行要件または TechVersions の正当な利益を擁護するための潜在的な証拠である場合、そのような文書は要件が存続する限り保持されます。

22. GSD監査ポリシー

TechVersions の内部セキュリティ監査チームは、TechVersions の情報資産を少なくとも年に 1 回監査し、セキュリティのレベルと GDPR およびその他の規制要件への準拠を評価するものとします。

ビジネスプロファイルに大きな変化が生じた場合には、ISGC による評価に基づいて外部監査が検討される場合があります。

TechVersions は、契約上の義務に従ってコンプライアンスを確保するために、下請け業者の施設の監査を実施する権利を留保します。

ただし、TechVersions は、下請け業者の施設を監査する権限は有効であり、例外的な状況でのみ使用されるものであることを認識しています。これは、提供された契約上の保証に従って、下請業者が末端でのコンプライアンス要件を満たす責任を軽減するものではありません。

23. GSD 苦情救済ポリシー

TechVersions は、データ主体との紛争があればそれを是正するために、マルチレベルの苦情是正ポリシーを提供します。このような苦情は、第 1 レベルの DPO、第 2 レベルの ISGC、および第 3 レベルの理事会によって目的のために設立されたオンライン紛争解決委員会によって処理されます。

GDPR 監督当局からの問い合わせはすべて DPO によって処理され、必要に応じて ISGC にエスカレーションされます。

顧客、出版社、または下請業者との紛争は、それぞれの契約合意に従って処理されるものとします。

24. ネットワークセキュリティポリシー

当社が使用する IT インフラストラクチャの安全性を確保するために、TechVersions は、必要に応じて、ファイアウォール、侵入検知システム、マルウェア防御システム、システム パッチ適用などを含む堅牢な情報セキュリティ ポリシーを採用するものとします。

指定された情報セキュリティ管理者がネットワークのセキュリティの維持に責任を負います。

PS: この規範は随時改訂されることがあります。