プライバシーに関する通知
弊社はデータ保護および機密性保持を極めて真剣に受け止めており、EU一般データ保護規則(以下「EU GDPR」という)の条項および適用される国内のデータ保護規則を忠実に守っています。以下、あなたが通報を送る場合に私たちがどのような情報を処理し、また該当する場合はどの個人データを処理するのかについて説明します。通報を送る前に、プライバシーに関する通知を注意深く読んで下さい。
責任者は誰ですか?
このプライバシーに関する通知は、以下によるデータ処理の実施に関して適用されます:
Deutsche Post AG
Global Compliance Office
Charles-de-Gaulle-Straße 20
53250 Bonn
ドイツ
gco@dpdhl.com
あなたの個人データの処理に関するご質問は、データ保護責任者に連絡してください:
Deutsche Post AG
Global Data Protection
53250 Bonn
ドイツ
datenschutz@dpdhl.com
どの個人データが処理されますか?
Deutsche Post AGは、DPDHL (Deutsche Post AG およびそのグループ会社)向けにIncident Reportingシステムを整備しています。Incident Reportingシステムの使用は任意です。Incident Reportingシステムを通じて通報を送る場合、私たちは以下の個人データおよび情報を収集します:
- 自分の身元を明らかにすることを選択した場合は、あなたの名前、
- あなたがDPDHLの社員であるかどうか、
- あなたが通報内で名指した人物の名前、およびその人物のその他個人データ。
あなたが電話で通報した場合、あなたの声は録音されます。それぞれの電話の開始時に、あなたが話す言葉が音声ファイルとして録音されることについて、同意するように求められます。さらにこの形式の通報提出において、上記に挙げられている個人データの種類が転写によって収集されます。
私たちが個人データを収集する理由と、その法的根拠は?
Incident Reporting System (BKMS® System) は、DPDHLのコンプライアンスルールの違反に関する通報を安全かつ内密に受け取り、処理し、管理するための目的で使用されます。とりわけ、法律違反またはDPDHL行動規範の違反、またその中に言及されている、DPDHL人権方針宣言またはDPDHL反汚職および事業倫理方針など、その他方針、ガイドライン、規制への違反に関する通報を受けとることを目的としています。私たちは特定の目的のため、また処理するための法的根拠がある場合に限って、あなたのデータを処理します。あなたがデータ違反に関する通報、またはその他データ保護に関する通知を行いたい場合、データ違反に関する通報のためのDPDHL社内プロセスに従うか、あるいはあなたのデータ保護職員やデータ保護責任者に連絡を取ってください。こちらに連絡先の詳細が記載されています。
当社ウェブサイトの訪問
BKMS® Systemは、EU告発指令に従って、ユーザーの匿名性を保証することを目的としています。例えばIPアドレスなど、あなたのコンピュータとIncident Reporting間のコミュニケーションを確立するために要求されるデータは、BKMS® System 内には保存されず、セッションが持続する間のインフラストラクチャーレベルに限って使用されます。また、セッションID(いわゆる空クッキー)を単に含むクッキーが、お使いのコンピュータに保存されます。このクッキーはセッションが終了するまでの間に限って有効であり、ブラウザを閉じると無効になります。クッキーには、ランダムに発生した値を持つidネームJSESSIONIDが含まれており、これはセッションの生成に必要なものです (告発者の身元に繋がる可能性があるその他情報は一切含まれません)。セッションの生成は幅広く使用されており、クライアントサーバー・アーキテクチャにおけるベストプラクティスです。ログアウトした場合、またはタイムアウトのリミットに到達した場合、クッキーが無効となり、セッションが無効化になります (終了)。これは、クッキー自体が「ゼロ」 (未定義の状態) にセッションバリューをセットすることで行われます。この時点では、セッションが再び開かれることはもうありません。上述の目的のため、私たちにはあなたのデータをGDPR第6条 (1) f) に基づいて処理するための正当な関心があります。
匿名または個人的な通報提出
あなたが使用する通報手段に関わらず、あなたは通報を匿名で、または個人的に送ることができます。あなたが意図的に匿名での通報を選択した場合でも、または意図的にあなたの身元を開示することを選択した場合でも、すべての社内手続きや司法手続きを経ていない法廷外の手続きを行う間、私たちはあなたの身元の機密性を維持します。当社は、基本方針として通報のさらなる調査を脅かさない限り、告発された人物に、当該人物に関する通報を受け取ったことを通知することが法律で義務付けられていることをお知らせします。こうすることで、あなたの告発者としての身元は法的に可能な限り開示されることはありません。通報の内容の中で、あなたが自覚して、意図的に身元開示することを決定された場合、データ補処理は、EU一般データ保護規則 (GDPR) 第6条 (1) a) に従ったあなたの同意に基づいています。あなたの同意は撤回することができますが、撤回が可能なのは通知から一ヵ月以内です。
ウェブベースの BKMS® System、セキュリティ保護されたメールボックスまたはその他コミュニケーション手段を使用した通報提出
BKMS® System、セキュリティ保護されたメールボックス、またはその他コミュニケーション手段を経由したIncident Reportingシステム内の個人データは、不正行為を発見・防止し、ひいてはDPDHL、その社員および顧客の名誉棄損を回避するために、会社の正当な利益に基づき処理されます。GDPRの第6条(1) f) が、使用可能なコミュニケーション手段経由でのデータ処理の法的根拠となります。
BKMS® System内で、あなたが個人的に選択する仮名/ユーザネームおよびパスワードによってセキュリティ保護されたメールボックスを設置することが可能です。最大レベルの匿名性を確実にするため、あなたの身元を突き止めることができないような仮名を選択してください。これによって、あなたの通報の補足情報を送ったり、また担当のDPDHL社員と通報事項についてコミュニケーションを取ることが可能です。あなたは実名をあげて、身元が確認できることを選択することもできます。セキュリティ保護されたメールボックスは、データをIncident Reportingシステム内にのみ保管するため、非常に安全です。通常の電子メールによる通信とは異なります。個人情報は、「私たちが個人データを保管する期間」の項目に記載されている一般的な削除コンセプトに従って、セキュリティ保護されたメールボックスから削除されます。通報された事件が終了した後、セキュリティ保護されたメールボックスは使用されない状態で180日後に完全に削除されます。
通報または補足情報を送る際、同時に添付ファイル付きの情報を補足することもできます。匿名で通報を送りたい場合は、以下の安全に関する注意事項に気を付けてください:ファイルには、匿名性を危うくする個人機密情報が含まれている可能性があります。ファイルを送信する前にそのデータを削除してください。このデータを削除できない場合や削除方法が分からない場合は、添付ファイルの内容をメッセージのテキストにコピーするか、または最初の通報プロセスの最後に受信した整理番号を明記した上で、印刷した文書を匿名でフッターに記載されている宛先に送ってください。その他手段 (例えば、手紙、Eメールなど) によって通報を送ることも可能です。そのような通報は、更なる手続きのため、BKMS® Systemへと手動で転送されます。
電話による通報
電話で通報する場合であっても、あなたの匿名性はBKMS® Systemによって保護されます。DPDHLも、またEQS Groupも、あなたの電話番号へアクセスすることはありません。またあなたの声によってあなたの身元確認をすることはありません。あなたの事案に関する説明は、BKMS® System内で録音されることになります。電話による通報は、あなたが話す言葉を録音することにあなたが同意する場合に限って実施されることにご注意ください。その後、暗号化された音声ファイルが担当のDPDHL社員によって転写されます。提出された通報を録音・転写するための法的根拠は、EU一般データ保護規則 (GDPR) 第6条 (1) a) です。電話による通報提出は、任意です。録音を希望されない場合、その他の通信手段を使って通報を送ってください。音声ファイルは、あなたの通報処理が終了した後に、速やかに削除されます。
電話での通報提出の最後に、あなたがセキュリティ保護されたメールボックスを設置した場合、DPDHLの担当社員が録音した音声形式で返信を受け取ることができます。また必要な場合は、情報を補足することも可能です。その代わりに、あなたのセキュリティ保護されたメールボックスにはウェブアプリケーション経由でアクセスして、返信を確認したり、書面による補足情報を追加できます。あなたの通報または補足情報の機密性を保護するため、これら情報をあなたの電話や、ウェブベースのセキュリティ保護されたメールボックスで聞くことは一切できません。
個人データが保持される期間は?
個人データは、状況を明らかにし、通報内容の評価を実施するために必要な限り、あるいは会社のその他正当な関心が存在する、または法律で義務付けられている限り保持されます。通報の処理が終了した後、このデータは法的要件に従って削除されます。通報された問題が、発見されなかったり、調査に繋がらないものとみなされた場合、私たちは通報によって受け取った個人情報を速やかに削除します。特に処罰または法的行為、あるいは現地法で許められているなど、その他手続きを完了するためにより長い保持期間が必要である場合を除いて、調査が開始された場合、個人情報は調査終了後二か月以内に削除されます。
個人データの安全はどうやって確保されるのですか?
お使いのコンピューターとIncident Reportingシステム間の通信は、暗号化された接続 (SSL) を介して行われます。通報システムを利用している間、あなたのIPアドレスは保存されません。
個人データは転送されますか?
送られた通報は、DPDHLのコンプライアンスまたは人事部門の明確に権限を与えられ、特別訓練を受けた社員の一部によって受領され、常に内密に取り扱われます。上述のDPDHLのコンプライアンスまたは人事部門の社員が問題を判定し、特別なケースにおいて必要とされる詳細調査を実施します。通報を処理する過程で、または特別調査を実施する中で、通報の事案が系列会社に関連したり、さらなる専門知識が必要であるといったような場合は、DPDHL社員と通報を共有する必要性が生じる場合があります。DPDHLの社員は、個人データのプライバシーに関して異なる規制があるEU非加盟国、または欧州経済領域圏外の国に所属している可能性があります。通報を共有する場合は、私たちは適用されるデータ保護規制が遵守されることを常に保証します。データへのアクセス権を得る人物はすべて、守秘義務を守ることが義務付けられています。
上述のその他グループ会社の社員への通報転送は、法律違反またはDPDHL行動規範の違反、またその中に言及されているその他方針、ガイドライン、規制への違反を発見することのみを目的としています。法的および社内の会社方針を遵守するため、通報による影響を受けるDeutsche Post AGおよびグルーブ会社に通報を転送する必要があります。法的根拠は、GDPR第6条 (1) f) です。
適用法律が必要としない限り、あなたの個人データは外部関係者に開示されることはありません。もし適用法律が要求する場合、通報する社員に関する身元情報を、調査または司法手続きに関与する関係当局に開示する必要が出ることがあります。
当社に代わってデータを処理する外部サービスプロバイダーは、GDPR第28条に従って機密性を厳密に守る義務があります。サービスプロバイダーは当社の指示に従います。このことは、技術および組織的対策によって確保され、また点検および管理手段によっても保証されます。
あなたのデータは、適用されるデータ保護法が認める場合、欧州経済圏 (EEA) 外のその他DPDHL会社、外部サービスプロバイダーまたは公官庁のみに転送されます。その場合は、私たちはあなたのデータ転送を確保するための適切な保護対策を確実に実施します (例えば、当社の拘束力のある企業ルール、標準契約条項)。
DPDHLデータプライバシーポリシーは、あなたのデータを処理するために、グループ全体の基準を規定しています。
あなたとその他データ主体が有する権利とは?
欧州データ保護法に従って、あなたおよび通報内で名指した人物は、以下の権利を有します:
- 情報にアクセスする権利:あなたは、処理されるあなたの個人データに関する情報を求めることができます。
- 修正権:あなたには、あなた自身に関する不正確なデータの修正を要求する権利があります。
- 異議申立権:処理に対する異議申立をする権利があります。
- 同意撤回の権利:あなたには、あなたの同意を撤回する権利があります。
- データ携帯の権利:あなたには、あなたのデータを別の会社へ受け渡す権利があります。
- 削除/忘れる権利:特定の状況において、あなたはあなたのデータの削除を要求する権利があります。
- 処理の制限権:あなたには、あなたのデータが使用される方法を制限することを要求する権利があります。
- プロファイリングも含めた、自動決定に関する権利:あなたには、自動処理の閲覧を要求する権利があります。この時点では、自動決定はおこなわれていません。
- 苦情提出の権利:あなたには、データ保護の監督機関に苦情を提出する権利があります。
当社の法的な関心に基づいて、データ処理に対する異議申し立ての権利が請求されると、私たちはあなたの異議が有効であるかどうかについて、速やかに調査を行います。これが該当する場合は、私たちはデータ処理を行いません。
上述の権利に基づいた要求や、その他プライバシーに関する通知についての質問は、上記の詳しい連絡先へお問い合わせいただけます。
プライバシーに関する通知の変更
当社のサービス、あなたのデータ処理、または適用法律が変更されるに従って、私たちは時間の経過と共にこのプライバシーに関する通知を変更する権利を留保します。このため、定期的に当社のプライバシーに関する通知を確認することを推奨します。
ステータス:2021年10月1日
