拘束力のある企業規則

フレゼニウス カービ(フレゼニウス カービAGおよびその関連会社)およびフレゼニウスコーポレートのグループ会社間における個人データの取り扱いまたは処理方法を一貫して規制するため、当社は拘束力のある企業規則(BCR)を採択しました。これらのBCRは欧州のデータ保護当局によって承認されています。

 

BCRは、多国籍企業におけるデータ処理に関する内部規則であり、関連するセキュリティ・ポリシーおよび手順とともに、参加企業に対して世界的に統一された適切なレベルのデータ保護を実現することを目的としている。

 

個人データの処理に関する共通の基準と、データ保護コンプライアンスへの効果的なアプローチへのコミットメントは、グローバルおよびローカルレベルでお客様のプライバシーを保護するという私たちのコミットメントを強化するものです。

 

当社の拘束力のある会社規則にご関心をお持ちの方は、以下の文書または要約をご覧ください:

Fresenius Kabi Binding Corporate Rules Document

ファイル名
20220715_Binding_Corporate_Rules_Fresenius-Kabi.pdf
サイズ
415 KB
フォーマット
pdf
Fresenius Kabi Binding Corporate Rules Document

拘束力のある企業規則の概要

以下の要約は、拘束力のある企業規則(BCR)文書に代わるものではありません。いかなる場合においても、BCR文書が法的に適用される唯一の文書となります。

拘束力のある企業規則の概要(BCR)

ファイル名
210528_bcr.pdf
サイズ
335 KB
フォーマット
pdf
拘束力のある企業規則の概要( BCR)

適切かつ均一なレベルのデータ保護

フレゼニウスは世界中の多くのデータ保護法に従う必要があります。拘束力のある企業規則(BCR)はデータ保護の統一された適切なレベルを定めています。これにより、フレゼニウスの事業体間での個人データの内部交換が可能になります。

世界中で適用可能

BCRは以下のフレゼニウス社に適用されます:

  • Fresenius Kabi AG including (全子会社/関連会社を含む)
  • Fresenius Digital Technology GmbH
  • Fresenius SE & Co. KGaA

特定の活動に適用

BCRは、以下の個人データ処理活動に適用されます:

  • - ヨーロッパ事業体による全活動
    - ヨーロッパ以外の事業体の全活動
    • ヨーロッパFresenius事業体の代理で個人データを収集する場合、または
    • ヨーロッパFresenius事業体に協力する場合
    • ヨーロッパ事業体から個人データを受信する場合
    • 製品やサービスを提供するためにヨーロッパ在住の人からの個人データを収集する場合、またはモニタリング活動に関与する場合。
    BCRは、紙べースとITベースの両方のプロセスに適用されます。
    BCRは、個人データを構造的に検索可能なすべてのプロセスに適用されます。

BCRは最低限のレベルを設定します

現地のデータ保護法が、個人データの処理においてより厳格な/追加規則を要求するような場合、これらを遵守する必要があります。
現地の法律がBCRと矛盾する場合、データ保護オフィサー(DPO)に報告する必要があります。データ保護オフィサー(DPO)はその影響を評価して、問題を解決します。
当局からBCRの要件に反するような個人データの開示命令を受けた場合、事業体はこれをデータ保護オフィサー(DPO)に通知する必要があります。データ保護オフィサー(DPO)は、ドイツの監督当局に通知します。

BCRは、組織とその従業員を拘束します

BCRは義務付けられており、以下を拘束します。

  • 全事業体:契約書に署名します
  • 全従業員:雇用契約に基づく企業ポリシーに従う義務があります

組織と人々の権利は、これらの義務の下で発生します。
BCRの施行と違反による制裁は、他のポリシー違反と同じです。

 

Freseniusはデータ保護組織を設立し、Fresenius Groupは、以下の役割と責任を担う内部データ保護組織を設立しました:


  • データ保護オフィサー(DPO)は、データ処理がBCR、現地法、規則に準拠して行われているかどうかを確認・監督します。またデータ保護オフィサー(DPO)は、監査、レビュー、調査も行うことができます。データ保護オフィサー(DPO)は、ヨーロッパのデータ保護当局との窓口の役割も担当します。
  • データ保護担当者(DPO)

           Else-Kröner-Str. 1
          61352 Bad Homburg v.d.H.
          Germany

または電子メール

For Fresenius SE and Netcare: dataprotectionofficer@fresenius.com
For Fresenius Kabi 事業体: dataprotectionofficer@fresenius-kabi.com

  • 現地データ保護アドバイザー(LDPA)は、データ保護に関連した質問や懸念について、いつでも現地従業員やデータ処理担当者の相談にのりアドバイスを与えます。現地データ保護アドバイザー(LDPA)は、たとえばモニタリング業務での言語の問題を解決するために、リクエストにより監督当局と連絡をとるなど、適宜データ保護アドバイザー(DPA)やデータ保護オフィサー(DPO)をサポートします。
  • データ保護アドバイザー(DPA)は、現地データ保護アドバイザー(LDPA)へのサポートやコンサルティングを提供し、データ保護管理システムの管理を担当します。データ保護アドバイザー(DPA)は、たとえばモニタリング業務での言語の問題を解決するために、リクエストにより監督当局と連絡をとるなど、適宜データ保護オフィサー(DPO)をサポートします。

個人データを処理する際には、BCRに従い、個人の基本的権利と自由を保護するためのいくつかの原則に従います。各事業体は、個人データを処理する際、以下の原則を遵守しなければなりません:

原則1:合法性

個人データを収集、使用、処理する際には、文書化された法的根拠を有する。これらの法的根拠は限定的に列挙されている。例としては:

  • 従業員契約や販売契約など、個人との契約を履行するために必要な処理
  • 本人の同意
  • フレゼニウスの正当な利益は、個人への悪影響よりも大きい
  • 税法、自警要件、GxP要件など、その他の法的義務を果たす必要性

健康データなどの特別なカテゴリーのデータについては、追加の法的根拠が必要です。

現地の法律が追加規定または異なる規定を要求している場合は、それにも従わなければならない(これは例えば従業員データに関連するかもしれない)。

原則2:透明性と公平性

個人データを公正かつ透明性のある方法で取り扱う。個人データを収集し使用する前に、または使用する時点で、個人に対し以下の事項を通知する:

  • 責任者と連絡方法
  • 収集されるデータ
  • データの収集方法
  • データが必要な理由(目的)
  • データを共有する組織
  • 他国と共有する場合
  • データの保存期間
  • データの収集と使用の法的根拠とその説明(原則1)
  • 個人がプロファイルされている場合
  • 自動化された手段で意思決定を行う場合
  • データを提供しなければならない場合、またそれが行われなかった場合はどうなるか
  • DPOおよび当局の連絡先
  • 個人が持つ権利

これらの情報はすべて、包括的かつアクセスしやすい形で、明確かつ平易な言葉を用いて提供されなければならない。

原則3:目的の制限

個人データは、収集の際に明示された正当な目的のためにのみ使用する。それ以上の利用は、その利用が当初の目的に沿ったものであり、かつ/または追加的な措置が講じられたものでない限り、認められません。

一般的に当初の目的に沿ったものとみなされる、さらなる処理の目的は以下の通りです:

  • アーカイブ
  • 内部監査
  • 調査

(L)DPAは、目的の変更が許可される可能性がある場合、ガイダンスを提供することができる。目的の変更が許可された場合、そのような変更について個人に通知しなければならない。

原則4:データの最小化

個人情報の収集・利用は、本人に通知した利用目的の達成に必要な範囲に限定する。つまり、個人データが目的に照らして適切であり、過剰でないことを保証する。

原則5:正確さ

個人データを正確かつ最新の状態に保つこと。不正確なデータを遅滞なく削除、訂正、更新するための手順を実施しなければならない。

原則6:保管の制限

法律で義務付けられている場合を除き、収集目的に必要な期間、個人データを保管しない。その場合、個人データへのアクセスは制限されなければならない。法的な理由や目的がなくなった場合は、個人データを削除または匿名化する。

原則7:セキュリティ、完全性、機密性

個人データの破壊、紛失、改ざん、開示、または個人データへのアクセスから個人データを保護するための適切な技術的および組織的措置を講じる(適切な役割分担を行うなど

このような対策を実施する際には、個人に対するリスクを考慮しなければならない。ITシステムを導入・維持する際には、こうしたリスクに照らしてITシステムのセキュリティを評価しなければならない。

影響を受ける個人にリスクをもたらす可能性のあるセキュリティ違反は、 データ保護組織に文書化して報告する。状況に応じて、そのような違反は監督当局、個人または他の組織にも通知しなけ ればならない。

原則8:説明責任

BCRの遵守を証明できること。これは、以下のような適切な文書を作成し、維持することによって行われる:

  • 処理活動の記録
  • データ保護の原則を遵守し、リスクに対処するために講じられた技術的および組織的措置
  • データ保護リスクと管理評価

加工業者の関与

処理がBCRおよび現地のデータ保護法の要件を満たすように、適切な技術的お よび組織的措置を実施する十分な保証を提供する処理業者にのみ委託する。これは、各事業体と処理業者との間のデータ保護契約によって保証されなければならない。

個人データの移転

EEA域外にある他の組織への個人データの移転について、本BCRを遵守して適切に保護するための措置を実施すること。これは、欧州委員会が採用している標準的な契約条項を他の組織と合意することによって行うことができる。

データ保護リスク評価

データ処理活動ごとに、データ保護リスク評価を実施する必要がある。このアセスメントは、その活動が関係するデータ主体の権利と自由に与える影響を評価するための正式なプロセスです。

特定されたコントロール・ギャップおよび潜在的リスクは報告され、文書化 されなければならない。データ処理活動を開始する前に、技術的および組織的な緩和措置を実施しなければならない。

データ保護影響評価

データ保護リスクアセスメントの結果が高リスクの場合、データ保護影響アセスメント (DPIA)を実施する必要がある。DPOの助言を求める。

DPIA が特定のデータ処理活動の高リスクを特定した場合、処理活動の開始前に、 そのようなリスクを軽減するための適切な措置を講じなければならない。措置の実施後もなおDPIAが高リスクを示している場合は、データ処理 の前に関係監督当局に相談しなければならない。

個人がその権利(データ主体の権利)を行使できるようにしなければならない:

  • 個人情報にアクセスする権利: 本人は、フレゼニウスが処理する個人の個人データに関する情報(処理の目的、関係する個人データのカテゴリー、受領者、保存期間、自動意思決定の有無など)へのアクセス/受領を求めることができます。
  • 個人情報を修正する権利: 本人は、不正確または不完全な個人データの訂正を求めることができる。
  • 個人情報を消去する権利: ただし、法的な保持義務などにより、個人データを保持しなければならない場合はこの限りではありません。
  • 個人データの処理を制限する権利: 個人情報の正確性に異議がある場合、または処理が違法である場合(追求された目的に対してもはや必要でない場合)、個人情報の処理を制限するよう求めることができる。
  • 携帯可能な形式で個人データを受け取る権利: 本人は、以下の条件を満たす場合、一般的に使用され、機械が読み取り可能な形式による個人データの受領を求めることができる: 
    • 本人から提供された個人情報
    • 本人の同意または本人との契約に基づく処理
    • 処理は自動化された手段によって行われる
  • 個人情報の処理に異議を唱える権利: 個人は、その個人的状況により、正当な利益または公共の利益に基づく個人データの処理に反対することができます。このような要請は評価されなければならない。さらに、個人はダイレクト・マーケティングおよびプロファイリングに反対することができます。その場合、処理は停止されなければなりません。
  • 自動化された意思決定の対象とならない権利: 個人は、以下の場合を除き、法的または類似の重大な影響を個人に及ぼす可能性のある自動意思決定(プロファイリングを含む)の対象とならない権利を有する:
    • 個人と各事業者との間で契約を締結または履行するために必要な場合
    • これは個人の明確な同意に基づくものである

BCRへのアクセス

BCRは、適切な方法で個人が利用できなければならない。BCRはインターネットやイントラネットで公表される。

個人は、各DPOまたはデータ保護組織のメンバーに連絡することでもBCRにアクセスできる。

BCR苦情処理

各個人には権利がある:

  • BCR、現地のデータ保護法、監督当局による命令、社内の方針およびガイドライン、またはデータ保護に関する自主的な自己コミットメントに対する違反の主張
  • 個人の権利
  • BCRのその他の権利を行使する

このような苦情は、電話、電子メール、手紙、口頭などで、それぞれのDPO、それぞれの(L)DPA、またはコンプライアンス・ホットラインに申し出ることができます。

苦情が正当なものであると判断された場合、事業体は苦情に対処するための適切な措置を講じ、1ヶ月以内に本人に通知する。

責任と執行

個人情報の取り扱いの影響を受け、またはその結果損害を被った個人は、BCRのこれらの部分を行使する権利を有し、該当する場合は管轄裁判所において補償を受けることができます。

EU/EFA域外に設立された当事者による違反が証明された場合、FSEは個人に対する損害賠償の責任と義務を負うものとする。損害の原因となった当事者は、FSEに対し、当該苦情または要請に適時に対応するための合理的な支援を提供するものとします。

監督当局との協力

各企業は、監督当局に協力し、本BCRの解釈に関する助言を遵守し、関係監督当局による監査を受け入れることが求められる。

トレーニング

各事業体は、従業員にBCRおよびデータ保護に関する研修を受講させ、その受講を 義務付けるとともに、そのような研修を定期的に繰り返す。一般的な研修は、関連する全従業員に対して少なくとも年2回実施しなければならない。さらに、特定の役割/人の特定のニーズを考慮し、役割に特化した研修(人事部や調達部など)を実施する。

監査

すべての当事者は、(計画的または臨時の監査を通じて)定期的に監査を受け、BCR の遵守を評価・検証し、BCR に違反する当事者に適切かつ十分な是正措置を講じることを約束する。データ保護組織は、提案された是正措置が適切に実施されたかどうかを評価するために、実施された監査をフォローアップし、その結果を監査報告書に文書化する。各事業体は、監督当局の要求に応じて監査報告書を提供する。

BCRの更新

両当事者は現地のデータ保護法を検討し、BCR の変更が必要かどうかを示す。フレゼニウスは必要に応じて BCR を修正することができます。BCR に重大な変更があった場合は、各当事者および監督当局に速やかに報告されます。BCR に対するその他の実質的でない変更は、実務上可能な限り速やかに当事者に報告されます。