Try   HackMD

一般データ保護規則(GDPR)対応

GDPR遵守のためには、お客様と弊社(FUJITSU及びPersonium)の協調が必要です。Personiumで扱われる個人情報について、弊社はプロセッサないしサブプロセッサとしての位置づけとして必要となる業務を遂行いたします。お客様がコントローラとなる様態で扱われれるデータに関して弊社はプロセッサとなり、お客様がプロセッサとなる場合は弊社はサブプロセッサとなります。

FUJITSUのプレスリリース
What is a data controller or a data processor?

よくある質問(FAQ)

  1. 個人データ主体に関する「データポータビリティの権利」(GDPR 第20条)について、どのように対処したらよいですか?
    データポータビリティーの権利(Data Portability)とは、データ主体が自らのデータについて、構造化され、一般的に利用され機械可読性のある形式で受け取る権利を有することを定めるものです。

    PDSとしてセルを払い出した個人から、その格納データに関してのデータ主体として「データポータビリティーの権利」の通告を受けた場合、本サービスでは、セルエクスポートAPIを利用したアプリケーションを作成することで、データ主体が自らセル内の全データのエクスポートを行うことができることを、ご案内ください。

  2. 個人データ主体に関する「忘れられる権利」(GDPR 第17条)について、どのように対処したらよいですか?
    忘れられる権利(Right to be Forgotten)とは、データ主体が自らのデータについて、管理者に不当に遅滞することなく消去させる権利を有することを定めるものです。

    PDSとしてセルを払い出した個人から、その格納データに関してのデータ主体として「忘れられる権利」の通告を受けた場合、本サービスでは、セル再帰削除APIを利用したアプリケーションを作成することで、データ主体が自らセルおよびセル内データの削除を行うことができます。

  3. PDSの内容をPersoniumサービスが活用するためにアクセスしたり処理することはありますか?
    (GDPR コントローラの指示以外で処理しない「GDPR 第29条」の対応、GDPR 処理の記録「GDPR 第30条」の対応)

    Personiumサービスではお客様ユニット内の情報についてアクセスすることはございません。従ってこれを処理することもございません。万一障害発生時に、復旧のため例外的にアクセスする必要がある場合は、お客様に事前にご連絡し、お客様の承諾を得た上で指示に従いアクセスするものとします。この時、お客様ユニット内のアクセス範囲は必要最小限とし、障害復旧の目的のために行ったすべてのアクセスや処理については処理の記録(ログ)を取得・保管し、必要に応じてお客様に提供いたします。またアクセスに当たって知りえた情報については速やかに破棄いたします。