レイサム アンド ワトキンス グローバル データプライバシー基準

View in English.

本基準発効日:2016年9月

更新:2024年4月

はじめに

本書は、レイサム アンド ワトキンス(以下「当事務所」といいます。)におけるEU個人データ(以下に定義されます。)の取扱適用基準(以下、「本基準」といいます。)を規定するものです。レイサム アンド ワトキンスは、15か国にオフィスを有するグローバルな法律事務所であり、世界全体で一体として活動しています。その国際的業務の性質上、レイサム アンド ワトキンス内での個人データの移転が必要不可欠です。

レイサム アンド ワトキンスは、エグゼクティブ コミッティーを通じ、レイサム アンド ワトキンス内で取り扱われる個人データの保護をお約束します。特に本基準は、レイサム アンド ワトキンスが保有するEU個人データの移転が、EU規則2016/679(EU一般データ保護規則。以下、「GDPR」といいます。)に従って行われるよう策定するものです。

定義

(イ) 「適用法令」は、 L&W 事業体が所在する法域の法律およびL&W事業体が適用を受けるその他の法律を意味します。

(ロ) 「BCR合意」は、 EU個人データを取り扱う全てのL&W事業体が本基準を遵守することを確約する旨の合意を意味します。

(ハ) 「データ保護機関」は、特定国におけるデータ保護法遵守の監視・規制権限を有する当局を意味します。

(ニ) 「DPIA」は、 GDPR第35条に定義されるデータ保護影響評価を意味します。

(ホ) 「EEA」は、欧州経済領域を意味します。

(ヘ) 「EUプライバシー法」は、GDPR 、プライバシー保護指令2002/58(その後の変更を含みます。)およびヨーロッパにおけるプライバシー関連立法を、EEAの各国内で執行するための国内法令を意味します。

(ト) 「EU個人データ」は、EUプライバシー法の適用対象となるデータ管理者としてL&W事業体が次の目的で収集しまたは取り扱う次の個人データを意味します。( i )採用および人事管理に関連して収集され取り扱われる、スタッフ、弁護士、パートナー、コンサルタント、受託業者、およびこれらの者それぞれのその候補者の個人データ(ii)法律サービスの提供や広告宣伝および情報連絡の目的で取り扱われるクライアント、潜在的クライアントおよび旧在籍者の個人データならびに(iii)レイサム アンド ワトキンスとサプライヤー、ベンダー、受託業者およびアドバイザーのとの関係において取り扱われる、これらの者の個人データ(詳細は「All-Personnel Fair Data Processing Statement」、「Recruitment Privacy Policy」(https://www.lw.com/RecruitmentPrivacyPolicy)、「Alumni Privacy Policy」(https://www.lw.com/AlumniPrivacyPolicy)または「Client and Third Party Data Privacy Notice」(https://www.lw.com/ClientandThirdPartyPrivacyNotice)のいずれかを参照してください)。

(チ) 「GDPR」は、EU規則2016/679を意味します。

(リ) レイサム アンド ワトキンスは、デラウェア州(米国)の法律に基づいて設立された有限責任パートナーシップ(LLP)(以下「デラウェアLLP」)であり、英国、フランス、イタリア、シンガポール、香港およびサウジアラビアにおける関連有限責任パートナーシップならびに日本における関連パートナーシップと共に、全世界で法律業務を行っています。レイサム アンド ワトキンスは韓国では外国法諮問法律事務所として法律業務を行っており、レイサム アンド ワトキンスにはデラウェアLLPが完全所有するすべての法人や事業体も含まれます。

(ヌ) 「現地法」は、適用されるEUプライバシー法以外にL&W事業体が適用を受ける全ての国の法令、規制または各国により課されるその他の法的義務を意味しま

(ル) 「L&W事業体」は、レイサム アンド ワトキンスを構成する各有限責任パートナーシップ、パートナーシップおよび有限責任会社を意味します。

(ヲ) 「L&W ドイツ」は、レイサム アンド ワトキンス  フランクフルトオフィスを意味します。

(ワ) 「モデル条項」は、第三国で設置された処理者または管理者への個人データの移転のための、欧州委員会により随時発出・承認される標準契約条項を意味します

(カ) 「個人データ」は識別された、または識別され得る自然人(以下、「データ主体」といいます。)に関するすべての情報を意味します。識別され得る個人とは、特に名前、識別番号、位置情報、オンライン識別子のような識別子を参照することにより、または身体的、生理的、遺伝的、精神的、経済的、文化的もしくは社会的な同一性を示す一つのまたはそれ以上の要素を参照することにより、直接的または間接的に識別され得る者をいいます。適用されるEUプライバシー法が要求する場合、「個人データ」には自然人ではない者に関するすべての情報も含まれます。

(ヨ) 「構成員」は、レイサム アンド ワトキンスのパートナー、弁護士およびスタッフ(有期雇用と無期雇用とを問いません。)を意味します。

(タ) 「セキュリティ侵害」は、L&W事業体が取り扱うEU個人データに係る、偶発的もしくは違法な破壊、消失、変更、不正な開示、または不正アクセスにつながるセキュリティの侵害を意味します。

(レ) 「特別カテゴリーの個人データ」は、人種または民族、政治的見解、宗教または信条、労働組合の加盟状況、犯罪歴、有罪歴、健康、性的指向または性生活ならびに遺伝子データまたは生体データに関するEU個人データ、および適用されるEUプライバシー法により網羅されているその他の特別な種類のEU個人データを意味します。

(ソ) 「取り扱い(processing)」、「データ管理者(data controller)」および「処理者(processor)」はGDPRにて使用されている意味を有します。

本基準の適用範囲

レイサム アンド ワトキンスは現在、以下の国々で業務を行っています(EEA内の国々は太字で表示されています)。

事務所

各国の連絡先
アメリカ合衆国 オースティン、ボストン、センチュリーシティ、シカゴ、ヒューストン、ロサンゼルス、ニューヨーク、オレンジカウンティ、サンディエゴ、サンフランシスコ、シリコンバレー、ワシントン D.C. 1271 Avenue of the Americas, New York, NY 10020
英国 ロンドン、マンチェスター(法律業務は行わない) 99 Bishopsgate, London EC2M 3XF, United Kingdom
ベルギー ブリュッセル Boulevard du Régent, 43-44, B-1000 Brussels, Belgium
フランス パリ 45, rue Saint-Dominique, Paris 75007, France
イタリア ミラノ Corso Matteotti, 22, Milano, 20121, Italy 
ドイツ フランクフルト、ミュンヘン、ハンブルク、デュッセルドルフ Reuterweg 20, 60323 Frankfurt am Main, Germany 
スペイン マドリッド Plaza de la Independencia 6, Madrid 28001, Spain 
サウジアラビア リヤド Al-Tatweer Towers, 7th Floor, Tower 1, King Fahad Highway, PO Box 17411, Riyadh 11484, Saudi Arabia 
アラブ首長国連邦 ドバイ ICD Brookfield Place, Level 16, Dubai International Financial Centre, PO Box 506698, Dubai, United Arab Emirates 
イスラエル テルアビブ 28 HaArba’a Street, North Tower, 34th floor, Tel Aviv, 6473925, Israel 
韓国 ソウル 29F One IFC, 10 Gukjegeumyung-ro Yeongdeungpo-gu, Seoul 07326, Korea 
中国 北京 Unit 2318, China World Trade Office 2, 1 Jian Guo Men Wai Avenue, Beijing 100004, People's Republic of China 
香港 香港 18th Floor, One Exchange Square, 8 Connaught Place, Central, Hong Kong 
シンガポール シンガポール 9 Raffles Place, #42-02 Republic Plaza, Singapore 048619 
日本 東京 Marunouchi Building, 32nd Floor, 2-4-1 Marunouchi, Chiyoda-ku, Tokyo 100-6332, Japan 

本基準は、適用されるEUプライバシー法の対象となるL&W事業体によるEU個人データの取り扱いに適用されます。 本基準は、従業員、応募者、クライアントおよび第三者の個人データの転送にも適用されます。 従業員の個人データには、例えば以下のものが含まれます。

  • 識別情報(例:氏名、連絡先情報、緊急連絡先、写真、就労資格証明、識別番号)
  • 個人および家族の詳細(例:出生地、婚姻状況、国籍、市民権、家族構成、パスポートおよびビザの詳細)
  • 健康情報(例:障害、病欠記録、事故報告、健康診断情報、職業健康情報、食事の好みおよび食物アレルギー)
  • キャリア管理および開発に関するデータ(例:従業員カテゴリ、フルタイムまたはパートタイムのステータス、教育および資格、言語能力、推薦状、身元調査、職業経験)
  • 雇用契約または契約の遂行および終了に関するデータ(例:雇用期間、従業員ID、勤務時間記録、労働時間および休暇、業績評価、研修、懲戒処分および苦情、退職面接)
  • 財務データ(例:報酬、補償、給与、福利厚生、銀行口座の詳細、税番号や社会保障番号)
  • 音声および映像記録(例:防犯・監視カメラ記録、オンライン会議およびウェビナー、イベントおよび出版物)
  • 建物のアクセス制御システムの使用、およびオフィス機器や設備のアクセスと使用に関するデータ
  • 業務上の関係や従業員福利厚生プログラムの一環としての出張に関するデータ

応募者の個人データには、例えば以下のものが含まれます。

  • 応募書類に含まれる情報(例:氏名、連絡先情報、職務経歴および学歴、資格、就労資格証明、履歴書の追加情報)
  • 機微情報(例:人種や民族的出自、障害)
  • 面接および評価時に収集された情報(例:面接ノート、フィードバック、評価およびビデオ面接を通じて収集された情報)
  • 採用サイトおよびウェブサイトの利用に関する情報(例:クッキーを通じて収集されたIPアドレス情報)
  • 推薦者やリクルーターなどの第三者からの情報
  • 採用前のバックグラウンドチェックに必要な情報(例:犯罪歴の確認、資格や職歴の確認)
  • 建物のアクセスに関する情報やセキュリティカメラの映像

クライアントおよび第三者に関連する情報には、例えば以下のものが含まれます。

  • 識別情報(例:氏名、連絡先情報、識別番号)
  • 生体情報(例:写真)
  • 商業情報
  • 職業または雇用関連の情報
  • 公に利用可能なソーシャルメディアやニュース報道
  • 保護対象となる分類の特徴(例:国籍、政治的所属、市民権の状況)
  • 音声および映像記録(例:防犯・監視カメラ映像、オンライン会議やウェビナー)

EU個人データの処理は、適切な場合に以下に基づき行われます。

  • 同意 - GDPR第6条第1項aおよび第9条第2項a
  • 契約の履行 - GDPR第6条第1項b
  • 法的義務の遵守 - GDPR第6条第1項c
  • 正当な利益 - GDPR第6条第1項f
  • 雇用分野における義務の遂行および特定の権利の行使 - GDPR第9条第2項b
  • 法的請求の確立、行使または防御 - GDPR第9条第2項f

EU個人データは、当事務所のネットワークを通じて上記の表に記載された場所に転送される可能性があります。

また本基準は、L&W事業体によるEEA外へのEU個人データの輸出およびEEA外に位置するL&W事業体による輸出データの処理、ならびにEU個人データのEEA外のL&W事業体への再転送にも適用されます。

本基準の目的上、英国はGDPRの規定に基づき第三国と見なされることが確認されています。これに伴い、Latham & Watkins(London)LLP(以下「L&Wロンドン」といいます。)は、当事務所内の英国データの転送を対象とする独自のグローバル データプライバシー基準を実施します。これに関するデータ転送に関しては、L&Wロンドンが、EEA外に位置する他のL&W事業体の英国基準の違反行為や不作為を是正し、EEA外のL&W事業体による英国基準の違反から生じる損害に対して補償を行う唯一の責任を負います。したがって、英国データの処理に関して苦情を申し立てたいデータ主体は、L&Wロンドンに連絡する必要があります。

規則および原則

1. データ取扱原則

データ管理者として、各L&W事業体は、適用がある場合にはEU個人データを「All-Personnel Fair Data Processing Statement」、「Recruitment Privacy Policy」(https://www.lw.com/RecruitmentPrivacyPolicy)、「Alumni Privacy Policy」( https://www.lw.com/AlumniPrivacyPolicy)または「Client and Third Party Data Privacy Noticehttps://www.lw.com/ClientandThirdPartyPrivacyNoticeのいずれかに従い、かつ、以下の原則に従います。

1.1 EU個人データは、透明性がある形で、公正かつ適正に取り扱われます。データ主体は、当該データ主体がデータ管理者の身元についての情報、データ主体の個人データの利用目的(犯罪防止、法的手続または課税に関する情報提供制限、適用法令による情報提供制限その他、情報提供につき許容されている制限の範囲に限られます。)、取扱いの法的根拠、および、適用されるEUプライバシー法に基づき求められるその他の関連情報(EUプライバシー法に基づきデータ主体に与えられている権利の詳細を含みます。)についての情報を知らない、または受領していない場合には、当該情報の提供を受ける権利を有します。

1.2 EU個人データは明確かつ合法的な特定の事業目的のために収集されます。適用されるEUプライバシー法が認める場合を除き、当該目的に合致しない方法で取り扱われることはありません。

1.3 特別カテゴリーの個人データは、当事務所の事業目的に必要不可欠の場合にのみ取り扱われ、その場合、適用されるEUプライバシー法の要件に従って取り扱われます。

1.4 収集され取り扱われるEU個人データは、適正で過剰ではない情報量であり、また適切かつ正確な内容であり、必要に応じて最新の状態にあるように適切な処置が講じられます。また、個人データが不正確であると判明した場合、当該個人データに対し訂正や削除などの適切な処置が早急に講じられます。

1.5 EU個人データは、取り扱いの目的に必要な期間を超える長期にわたって保持されることはなく、また、当事務所の文書化されたデータ保持ポリシーに従って保持されます(但し、保持期間については、規制上の定めおよび適用されるEUプライバシー法上の定めに従います。)。

2. データセキュリティ

2.1 各L&W事業体は、事故または違法行為による破棄、事故による消失、改変、破損、不正な開示または不正アクセス(特にネットワークを介するデータ移転が含まれる場合について)およびその他の違法な取り扱いからEU個人データを保護するために、以下のものを含めた適切な技術的および組織的な措置を、技術水準および実施費用を考慮した上で、しかるべく講じます。かかる措置により、取り扱いにより生じるリスクと保護すべきEU個人データの性質に鑑みて適切なセキュリティレベルを確保し、特別カテゴリーの個人データおよびその他の秘密性の高い情報に対する保護を強化します。 
    (a) 仮名化 
    (b) 暗号化 
    (c) システムとサービスの秘密性、完全性、可用性および回復性 
    (d) バックアップおよび災害復旧用設備 
    (e) セキュリティ対策の有効性のテスト、診断および評価 

2.2各L&W事業体は、セキュリティ侵害につき、遅滞なく、当事務所のグローバル データプライバシー オフィスに通知する必要があります。グローバル データプライバシー オフィスは、セキュリティ侵害、当該セキュリティ侵害の結果データ主体に対して生じ得る影響、および講じられた対策を記録し、当該記録を保管します。さらに、グローバル データプライバシー オフィスは、EUプライバシー法に基づき求められる場合には、関係するデータ保護機関および影響を受けるデータ主体に対し通知を行う必要があります。データ保護機関から要請を受けた場合、グローバル データプライバシー オフィスは、L&W事業体がデータ管理者としてEEA域内で取り扱ったEU個人データに関するセキュリティ侵害の記録を、その所在国または法域のデータ保護機関との間で共有します。 

2.3 各L&W事業体は、EU個人データへのアクセス権を有する構成員またはEU個人データを担当する構成員の信頼性を確保するための措置を講じます。かかる措置には、当事務所の指示に従ってEU個人データを取り扱うことを含みます。 

3. データ処理者の関与する業務

3.1 L&W事業体が、当該L&W事業体に代わってEU個人データの取扱いを行うデータ処理者として、他のL&W事業体を起用する場合には、当該データ処理者は本基準の定めを遵守し、また、両当事者は、適用されるEUプライバシー法に基づき求められる場合には、追加の合意条項を整備し、これを遵守します。

3.2 L&W事業体が、当該L&W事業体に代わってEU個人データの取扱いを行うデータ処理者として、外部業者を起用する場合には、当該L&W事業体は、取り扱うEU個人データに適用されるセキュリティレベルにつき、適切な保証を提供しているデータ処理者を選定します。当該L&W事業体は、適用されるEUプライバシー法の定めを遵守する外部データ処理者と契約を締結します。

3.3 L&W事業体がEEA域内に所在し、当該L&W事業体に代わって行われるEU個人データの取り扱いのために、EEA域外に所在する外部データ処理者を起用する場合、当該L&W事業体は以下のいずれかを行います。

(a) データ処理者用のモデル条項と実質的に同一の様式による契約、または、当該モデル条項の内容が含まれる契約を、当該データ処理者との間で締結します(但し、適用されるEUプライバシー法において認められ得る範囲での修正がなされることがあり得ます。)。

(b) EU個人データを保護するために、適用されるEUプライバシー法に従い、その他の適切な保護措置を講じます。

2020年12月24日に締結されたEUと英国間の貿易協力協定(Trade and Cooperation Agreement)の第FINPROV.10A条第1項および第4項に記載された移行期間が終了した後、英国に設立された第三者データ処理者にも同じ基準が適用されます。移行期間終了後、L&W事業体は、GDPR第45条以降の意味において適切な法的保護措置に基づいてのみ、EU個人データを英国に転送します。これらの保護措置には、モデル条項や、英国がEUと同等のデータ保護レベルを保証できると判断する欧州委員会の適合性決定などが含まれる可能性があります。

3.4    データ管理者であるL&W事業体が当事務所以外の外部管理者にEU個人データを移転する場合、当該L&W事業体は、適用されるEUプライバシー法の定めに従いそのデータ移転を行います。適用されるEUプライバシー法により義務付けられる場合、または適用されるEUプライバシー法により認められており適切と考えられる場合、当該L&W事業体は、EU個人データおよび個人の権利を保護するための保護措置を講じます。かかる保護措置には、管理者間のデータ移転に関するモデル条項および十分な保護レベルを提供する他の契約の締結も含まれます。

4. 職員の教育

4.1 レイサム アンド ワトキンスでは、当事務所のプライバシーおよびセキュリティポリシー、ならびにプライバシーおよびセキュリティに対するベストプラクティスにつき、全スタッフ、弁護士およびパラリーガルへの教育を目的としたプライバシーおよびセキュリティに対する意識向上プログラムを継続的に行っています。 

4.2 プライバシーおよびセキュリティに対する意識向上に向けた情報を周知させるために、さまざまなコミュニケーション手段が活用されています。ベストプラクティス例、プライバシーおよびセキュリティに対する意識向上に向けた情報や取組指針は、全構成員がアクセス可能な、プライバシーおよびセキュリティ専用のイントラネット上で入手可能になっています。

4.3 また各L&W事業体において、個人データへのアクセス権を有しその取り扱いを担当する構成員に対し、適切なガイダンスおよび研修が確実に提供されています。

5. 適用される現地法との抵触

現地法上求められる保護レベルが、本基準で規定されるEU個人データの保護レベルを超える場合には、当該現地法の規定が優先されます。

6. 相互協力およびデータ保護機関との協力

6.1 各L&W事業体は、各国または各法域に所在するデータ保護機関発出の指示が、本基準に関連する場合またはEU個人データの取り扱い一般に関連するものである場合、当該指示に従います。またデータ保護機関による告示を勘案して本基準を解釈します。

6.2 各L&W事業体は、本基準に関するデータ保護機関からの照会または調査に関し互いに協力します。

6.3 各L&W事業体は、本基準またはEU個人データの取り扱いに関するデータ主体からの問い合わせまたは苦情の対応についても互いに協力します。 

7. データ転送 

7.1 L&W事業体は、GDPR第44条から第46条に従って、またはGDPR第49条に従った例外に基づき、データ処理業者およびその他の第三者に欧州個人データを転送します。

7.2 グローバルデータプライバシーオフィスは、L&W事業体に代わり以下の要素を考慮しながらEU個人データの転送に先立って転送影響評価を実施し、文書化します。

7.2.1 転送の特定の状況、処理チェーンの長さ、関与する関係者の数および使用される伝送チャネル、意図された後続転送、受領者の種類、処理の目的、転送される個人データのカテゴリおよび形式、転送が行われる経済部門、転送されたデータの保存場所。

7.2.2 転送の特定の状況に照らして関連する、第三国の法律および慣行(公的機関へのデータ開示を要求するものや、当該機関によるアクセスを許可するものを含む)および適用される制限および保護措置。

7.2.3 これらの条項の下での保護措置を補完するために実施された関連する契約上、技術上または組織上な保護措置ならびに転送中および転送先の国での個人データの処理に適用される措置。

8. レイサム アンド ワトキンスの方針、アカウンタビリティおよびプライバシー機能

8.1 EUプライバシー法に従って、L&Wドイツはデータ保護責任者(DPO)を任命しています。DPOの連絡先情報は、レイサム アンド ワトキンスのプライバシーポリシーに掲載されます。

9. コンプライアンスに対する責任

9.1レイサム アンド ワトキンスの全構成員は、本基準の遵守が義務付けられており、入所時、およびそれ以降年1回、当事務所の最新版のコミュニケーション システム利用規定(Acceptable Use of Communication Systems Policy)と併せて本基準の受諾を表明しなければなりません

9.2 当事務所は、BCR合意を締結しています。当事務所は、L&W ドイツを、EEAのデータ保護の責任を受託するL&W事業体に指定しています。L&W ドイツ はBCR合意に基づき本基準の違反を是正するための措置を取ります。

9.3 L&W ドイツは、EEA域外のその他のL&W事業体による本基準の違反となる行為および不作為を是正するための措置を講じ、当該違反の結果生じた損害を補償する義務を負います。したがって、EEA域外に所在するレイサム アンド ワトキンス オフィスに対する請求は、L&W ドイツに対して行う必要があります(英国に関する請求は除きます。これらの請求はL&Wロンドンに対して行う必要があります)。EEA域内に所在するレイサム アンド ワトキンス オフィスに対する請求は、当該オフィスに対して行う必要があります。

10. コンプライアンス検証の監査プログラム

レイサム アンド ワトキンスは、本基準および適用されるデータ保護法令の遵守状況を評価および検証するための以下の措置を講じることを保証します。

11. 更新

11.1 第7.3項に規定されるレイサム アンド ワトキンスのプライバシー コミッティーは、本基準を常にレビューし、定期的に更新し、関連性のある更新につき不当な遅滞なくL&W事業体に連絡します。また、当事務所の構成に変更が生じた場合、その旨を本基準に反映した上、新たにL&W事業体となった事業体に対して本基準の条項を受諾させ、かつ遵守させます。プライバシーコミッティーは、これらの基準に関する変更についてL&W事業体に通知します。

11.2 本基準のうち、秘密性のない条項(別紙1「データプライバシー苦情処理手続」の内容を含みます。)は、レイサム アンド ワトキンスの外部向けウェブサイトおよびレイサム アンド ワトキンスのイントラネット上に掲載されています。更新された基準は遅滞なく公開されます。本基準の全文は、別紙1のデータプライバシー苦情処理手続所定の、是正措置を受ける権利の行使を希望するデータ主体からの請求により入手可能です。

12. アクセス、訂正および異議の権利(宣伝広告およびプロファイリングを含む)

各L&W事業体は、EU個人データに係るデータ管理者として、データ主体が第三者受益者として当該L&W事業体に対して以下の権利を有することを認めます。

12.1 EU個人データのデータ管理者として当該L&W事業体が自分の個人データをどのように取り扱うかについて、本基準とデータプライバシーに関する苦情処理手続の写しも含め、情報を受け取る権利

12.2 適用されるEUプライバシー法が規定する時期および間隔で、L&W事業体がデータ主体につき保管しているEU個人データ(取扱いの目的および方法を含みます。)の写しを受領する権利。但し、L&W事業体には、適用されるEUプライバシー法上認められる範囲で、請求の全体または一部につきこれを拒否する権利があります。

12.3 適用されるEUプライバシー法の規定に基づき、EU個人データを更新、訂正し、または完全なものとさせる権利(特にEU個人データの不完全性または不正確性を理由として)。

12.4 適用されるEUプライバシー法の規定に従い、EU個人データを消去する権利

12.5 適用されるEUプライバシー法の規定に従い、EU個人データの取扱いを制限する権利

12.6 適用されるEUプライバシー法の規定に従い、EU個人データのデータ管理者としてのL&W事業体に対してデータ主体が提供したEU個人データを、構造化され、一般的に利用され、かつ機械可読性のある形式で受け取り、また、別のデータ管理者に対し、当該個人データを移行する権利

12.7 適用されるEUプライバシー法の規定上必要とされる場合、事前の同意のない限りダイレクト マーケティングの宣伝情報を受け取らない権利、およびダイレクト マーケティングを目的とした個人データの取り扱い(プロファイリングを含みます。)に対しいつの時点でも異議を述べることができる権利。

12.8 適用されるEUプライバシー法の規定に従い、EU個人データの取扱いについて、いつでも異議を述べることができる権

12.9 データ主体の個人的特徴や行動を評価するようなプロファイリングを含む、自動化された取扱いのみに基づく意思決定であって、かつ、データ主体に利害関係のある法的効果を発生させ、またはデータ主体に対して重大な影響を与える意思決定が、データ主体のEU個人データに関して行われた場合に、かかる意思決定に対して異議を述べる権利(かかる意思決定が、適用されるEUプライバシー法において許容され、適用されるプライバシー法に含まれる保護措置のもとでなされる場合を除きます。)。

13. 本基準の違反

レイサム アンド ワトキンスは、データ主体がEU個人データにつき第三者受益者として以下の権利を当事務所に対し行使する権利があることを認めます。

13.1 請求に基づき本基準の写しを入手できる権利。但し、当該請求に対応する当事務所またはL&W事業体が合理的に求める内容で秘密保持をお約束いただくことを条件とします。

13.2 データ主体のEEA域外におけるEU個人データの取り扱いに関する質問に、合理的な期間内遅くとも質問から1か月以内に(複雑な請求内容の場合は遅くとも3か月以内に)に回答を受ける権利。

13.3 L&W事業体による本基準違反に対し、適切な是正措置(適切な場合、損害の賠償を含みます。)を受ける権利および苦情を申し立てる権利。但し、職員教育、レイサム アンド ワトキンスのポリシーおよびプライバシー部門、本基準の監査プログラムおよび更新に関する規定違反を除きます。

13.4 データ主体の常居所もしくは勤務地、または本基準の違反が生じたとされる場所が所在する、EEA域内の国におけるデータ保護機関に対して、苦情を申し立てる権13.5    EEA域内の適切な裁判所(かかる裁判所は、当該L&W事業体が設立された場所またはデータ主体の常居所がある法域に所在する裁判所となる可能性があります。)に対し有効な司法救済を求める権利

14. データ主体の権利行使

14.1 14項記載の権利の行使方法については、本基準の別紙1「レイサム アンド ワトキンス データプライバシー苦情処理手続」に詳細を定めます。

14.2 上記の権利行使を希望するデータ主体は、グローバル データプライバシー オフィスにご連絡ください。フランクフルトに所在するプライバシー コミッティーのChairまたは関連するL&W事業体が所在する地域のデータ保護機関または裁判所に対し、苦情の申立てをすることもできます。

14.3 本基準に基づく権利行使をするデータ主体は、違反が生じたことを示す一応の証拠を提出しなければなりません。

14.4 L&W事業体は、データ主体がEUプライバシー法に従い、適切な委任状に基づいて非営利団体、組織または協会によって代表される場合があることを認識しています。

15. 終了

15.1 本基準の終了または転送の停止に伴い、該当するL&W事業体は、データ転送者の選択に基づき、EU個人データおよびそのコピーを保持、返却または削除することができます。

付録1
レイサム & ワトキンスのデータプライバシー苦情手続き