GDPRの適用を受ける社員等の個人データの保護に関する方針(以下「本方針」)は、EUの「一般データ保護規則(2016/679)」(以下「GDPR」)の適用を受ける社員等の個人データの処理に関してのみ適用されます。
本方針は、ソフトバンクロボティクス株式会社(以下「当社」)が、GDPRによって保護される欧州経済領域(以下「EEA」)所在の当社の役員および従業員(社員、嘱託社員、臨時社員、受入出向社員、派遣社員)、当社の役員もしくは従業員になろうとする者またはなろうとした者(以下「採用応募者等」)および退職者(以下、総称して「社員等」)から、個人データ(以下「社員等個人データ」)の提供もしくは開示を受けた場合または第三者を通じて社員等個人データの受領もしくは取得をした場合に、当社が管理者として当該社員等個人データをどのように収集し、処理するかについて社員等に説明するものです。当社では、GDPR(および適用されるその他のEUおよび加盟国のデータ保護に関する規制がある場合は当該規制)に従って社員等個人データを処理します。
本方針における「社員等個人データ」の処理とは、以下のいずれかの場合に行われるEEAに所在する社員等の個人データの処理をいいます。
当社は常に、社員等個人データをGDPR(第6条および第7条)に規定された法的根拠のいずれかに基づいて処理します。さらに当社は、特別に配慮が必要な社員等個人データを処理する場合は、GDPR(第9条および第10条)に規定された特別な基準に従って行います。
当社では、(ⅰ)当社の事業および社員等の管理等のために必要な場合その他当社に正当な利益がある場合、(ⅱ)社員等と当社との契約の履行もしくは締結前手続きに必要な場合、または(ⅲ)社員等の明確な同意を事前に得た場合に、社員等個人データを収集し、処理することがあります。
社員等は、社員等個人データの収集および処理について同意した場合、同意をいつでも撤回する権利があります。しかし、撤回前の同意に基づく処理の適法性がこれにより影響されることはありません。
当社は、当社の法的義務の遵守、社員等との契約の履行、および当社の事業活動を維持するために必要な期間、社員等個人データを保存します(GDPR第5条および第25条第2項)。
以下の目的のために、当社は以下の種類の社員等個人データを収集する必要があります。
当社は、社員等に対し、同意を得る際の通知文、契約その他の適切な手段によって、当該個人データを収集し、処理する目的、法的根拠その他の情報についてお知らせします。
当社では、社員等個人データを特定された、明確かつ正当な目的のために処理し、社員等個人データをこれらの目的に適合しない方法でさらに処理することはありません。当社が、当初ある目的のために収集した社員等個人データをその他の目的の達成のために処理しようとする場合、当該処理について必ず社員等にお知らせします。
当社は、処理対象の社員等個人データが処理の目的との関係において、関連性および必要性のあるものに限られるよう徹底します。
当社はGDPRに従い、社員等個人データを当社グループ各社および第三者と共有することがあります。社員等個人データをデータ処理者と共有する場合、当社はデータの移転および処理を対象とする適切な法的対策を適切に実施します(GDPR第26条、第28条および第29条)。さらに、社員等個人データをEEA外の企業と共有する場合、当社はその移転を対象とする適切な法的対策、とりわけ、欧州委員会により承認された管理者間(2004/915/EC)および管理者と処理者との間(2010/87/EU)の標準契約条項を適切に締結します(GDPR第5章)。
業務委託契約を締結している業務委託先に社員等個人データの処理の全部または一部を委託する場合があります。業務委託契約を締結する際には、業務委託の相手としての適格性を十分に審査します。業務委託契約においては、安全管理措置、秘密保持、再委託の条件、その他の社員等個人データの適正な処理に関する事項について定め、定期的な委託業務状況のモニタリング等を実施することによって当社の業務委託先を適切に監督します。
当社では、社員等個人データを当社の全ての関係会社と共有することがあります。当社の事業の全部または一部に関して企業合併、会社更生・民事再生、買収、合弁、譲渡、移転、売却または処分(破産手続または同様の手続に関連する場合も含みます。)等が発生した場合、当社は関連する第三者にあらゆる社員等個人データを譲渡する場合があります。
法律、法的手続、訴訟、社員等の居住国内外の公的機関・政府当局の要請により、当社が社員等個人データを開示する必要が生じる場合があります。また、当社は、国家の安全保障、法執行その他社会上重要な問題により、開示が必要または適切であると判断した場合にも社員等個人データを開示することがあります。
当社はこのほか、当社の権利の保護、利用可能な救済措置の実行、当社の内部規程の執行、不正調査、または当社の事業やユーザーの保護のために、開示が合理的に必要であると誠実に判断した場合にも社員等個人データを開示することがあります。
上記のような共有および開示等を行う場合、社員等個人データをEEA外の国に移転することが必要となる場合があります。このような移転を実行する度に、当社では移転対象データを適切なレベルで確実に保護します。特に、欧州委員会決定2001/497/EC、2002/16/EC、2004/915/ECおよび2010/87/EUの定義に従って標準契約条項を締結することにより移転対象データの保護を徹底します。
当社が社員等個人データを処理する場合、社員等個人データの処理に関する記録をGDPRに規定された義務に従って取り扱います(GDPR第30条)。当社は、GDPRを遵守し、かつGDPRに基づき監督当局に協力するために必要な全ての情報をこの記録に反映します(GDPR第31条)。
当社が社員等個人データを処理する際、適切な技術的かつ組織的な対策を講じ、適切なセキュリティ(無許可・不法な処理、偶発的な喪失や破棄破損に対する保護等)を確保して処理します(GDPR第25条第1項および第32条)。
移転、保存その他の処理の対象となる社員等個人データの偶発的・不法な破棄、喪失、改変、無許可の開示・アクセスにつながるセキュリティ侵害が発生した場合に備え、当社は侵害内容を速やかに検出し、評価するための制度および方策を整備しています。評価の結果に応じて、所管のデータ保護監督当局に必要な通知を行い、影響を受ける社員等に連絡します(GDPR第33条および第34条)。
当社は、社員等の権利および自由に高度なリスクをもたらす可能性のあるデータ処理行為を検出するための制度および方策を整備しています(GDPR第35条)。そのようなデータ処理行為が検出された場合、当社内でそれを評価した上で、当該処理行為を停止し、またはその処理行為がGDPRに準拠するよう確保するか、当該処理行為を続行するための適切な技術的かつ組織的な保護措置を整備するよう徹底します。
疑義がある場合には、当社は所管のデータ保護監督当局に連絡し、その助言および提案を受けます(GDPR第36条)。
社員等には、当社が収集し処理する社員等個人データについて以下の権利があります。ただし、以下の権利には、一定の要件が存在する場合や、制約が課される場合があります。
上記の権利を社員等が行使する場合は、下記11の連絡先を確認してください。
社員等からの要請に対する当社の対応に不満がある場合、または当社による社員等個人データの処理方法について苦情がある場合、データ保護監督当局に苦情を申し立てることができます。
当社は、本方針を変更することがあります。本方針のあらゆる変更は、本方針の改訂版を当社のウェブサイト経由で掲示すると同時に有効となります。当社が重大と考える変更を行う場合、社員等に対して当社のウェブサイトを通じて可能な範囲でお知らせし、場合によっては社員等の同意の提供をお願いすることがあります。
本方針に関する質問または要請については、以下の連絡先にご連絡ください。