Last Updated: 15 October 2022

SmallizeとGDPR

2018年5月25日、欧州連合は一般データ保護規則（GDPR）の執行を開始しました。これは、企業が欧州の個人からデータを収集し処理する方法に影響を与えます。Smallizeは欧州のエンティティを持たないオーストラリアの企業ですが、ユーザーと顧客の権利、および彼らの個人データを重視しています。そのため、当社はすべてのシステムとプロセスでこれらの規則を遵守するために取り組んでいます。 このページは、GDPRで説明されている役割の概要、各当事者の責任、およびこれらの推奨事項をサポートするために行っている取り組みを示しています。

データプロセッサーとしての小ささ

当社のサービスを利用する際、当社のサービスプラットフォーム経由で処理のためのファイルをアップロードしたり、デバッグやサポート目的でサポートチームにファイルを送信することができます。製品やサービスの性質上、お客様やお客様に関する情報がファイルに含まれる可能性があります。機密保持規定により保護されていますが、利用規約とプライバシーポリシーの今後のアップデートにより、これらの権利がさらに強化されます。

これらはあなたのデータサブジェクトであり、あなたはこの個人データのデータコントローラーと見なされます。当社の利用規約とプライバシーポリシーは、このデータをクライアントデータと参照しています。

Smallizeのサービスを使用してクライアントデータを処理するということは、Smallizeをデータプロセッサーとして招聘し、あなたの代理で特定のデータ処理活動を実施することを意味します。GDPRの第28条によると、コントローラーとプロセッサーの間の関係は、書面で取り決める必要があります（第28条の第9項において電子形式も受け入れられます）。弊社の利用規約とプライバシーポリシーは、Smallizeとのデータ処理契約としても機能します。これらは、あなたがコントロールする個人データの処理に関するSmallizeへの指示と、両者の権利と責任を確立するものです。Smallizeは、あなたがデータコントローラーとして指示した通りにのみ、クライアントデータを処理します。

データ転送

データ処理者によってヨーロッパ経済地域（EEA）の外にデータが転送される場合、GDPRはその保護範囲の外にデータを移動する際の厳格な要件を設定しています。

Smallizeは、欧州にエンティティを持たないオーストラリアの企業であり、データコントローラーは、技術インフラが米国に拠点を置くSmallizeにデータを転送する唯一の決定を行います。サブプロセッサーと連携する場合は、転送の法的側面を各ステップで考慮しつつ慎重に行います。

利用規約にサブプロセッサーの最新リストを保持します。これにより、転送と使用するプロセッサーについて完全に透明になります。転送するデータとその目的について説明します。EU-USプライバシーシールドフレームワークに準拠したサブプロセッサーと、EU委員会の標準契約条項に署名したサブプロセッサーとだけ連携します。

これらのポイントに関する質問がある場合は、privacy@smallize.com までお問い合わせください。

Smallizeをデータコントローラーとしています

Smallizeは、私たちが収集した個人データのデータコントローラーとして機能します。これは、私たちのウェブアプリやウェブサイトのユーザー、そして私たちの製品やサービスの購入者に関するものです。

第二に、私たちは法律（GDPR条例6(1)(c)）に基づく義務を果たすためにデータを処理します。主にこれは財務データや情報に関係し、私たちが課せられた説明責任を果たすために必要なものです。

第三に、GDPR第6条（1）（f）に準拠して、当社の正当な利益のために個人データを処理しています。

「合法的な利益」とは何を意味するのですか？

あなたにとって役立つように製品とサービスを改善しています。 データとSmallizeのシステムが信頼性があり、安全で安全であることを確認します。 私たちの製品、サービス、およびそれらの特長の責任あるマーケティング。 お客様と結びつく契約のサービスを提供する能力。 個人データのコントローラーとして、SmallizeはGDPRの下でのあなたの権利を尊重することに取り組んでいます。ご質問がある場合は、弊社のデータ保護担当者までお問い合わせください。 dpo@smallize.com

SmallizeはGDPRのために何をしていますか？

Smallizeは、お客様とそのクライアントのプライバシーを尊重しています。このため、個人データの適切な処理を確保するために、GDPRに準拠した技術的および組織的措置を導入し、改善を継続しています。

内部プロセス、セキュリティ、およびデータ転送

私たちは、当社の内部プロセスと業務を見直し、当社システムを通過するデータをマッピングおよび監査することを確認しました。私たちは、プライバシーバイデザインの原則に対応するために、すべての主要な顧客向けシステムに機能を実装しています。クライアントデータへのアクセスは、常に顧客の許可を得て行われ、Smallizeとその顧客との契約の範囲内に厳密に限定されています。

私たちの内部手続きとログは、GDPRの説明責任要件を満たすことを確実にします。

新しいサードパーティサービスをオンボードする機会はまれですが、その際は、セキュリティおよびプライバシーに関する検討を行うための内部プロセスを有しています。可能な限り、自社の技術とインフラを使用してサブプロセッサの数を最小限に抑えています。

被験者アクセス要求の処理能力

データ主体の個人データの所有権は、GDPRの中心にあります。私たちは、データ主体からのデータの削除、変更、または移行のリクエストに対応する計画を進めています。これは、私たちのカスタマーサポートスペシャリストと、彼らの作業を手伝うエンジニアたちが、個人データに関わるあらゆる問題においてお手伝いできるように十分に準備されていることを意味します。

ドキュメント

私たちの利用規約とプライバシーポリシーは定期的に更新されており、この分野で常に行ってきた良い仕事をさらに発展させるために努めています。これらの文書は、私たちとあなたとの関係の基盤を示しているため、これらの文書におけるあなたの権利を明確かつ公開に説明することが非常に重要です。

トレーニングと意識

Smallizeビジネス全体にわたって、GDPRに関するトレーニングと認識、および個人データの取り扱いと処理について、伝えられています。各Smallizeチームメンバーは、GDPRの遵守やその他のプライバシー関連問題に関する問題やポリシーについて認識しています。私たちは、このトレーニングを新しいチームメンバーのトレーニング要件に組み込み、定期的なリフレッシュチェックを予定しています。

上記のアプローチがGDPRの順守において、それが本来の目的と達成しようとしていることの理念としっかりと一致していると信じています。