GDPRクライアントプライバシー補遺
1. はじめに
本GDPRプライバシー補足条項は、Foley & Lardner LLPクライアントプライバシー通知に記載されている情報を補足するものであり、欧州経済領域(EEA)に所在するクライアントおよび関連団体に適用されます。
本GDPRクライアントプライバシー補足条項(以下「GDPRクライアントプライバシー補足条項」)は、Foley & Lardner LLPクライアントプライバシー通知に記載された情報を補足するものであり、欧州経済領域、英国、またはスイスに所在するすべてのクライアントおよび関連団体にのみ適用されます。 当方は、一般データ保護規則(2016/679)および欧州経済領域、英国、またはスイスのいずれかの加盟国による同規則の実施法令(総称して「GDPR」)に準拠するため、本GDPRクライアントプライバシー補遺を採用します。GDPRまたは当方のクライアントプライバシー通知で定義される用語は、本GDPRクライアントプライバシー補遺で使用される場合も同様の意味を有します。 本GDPRクライアントプライバシー補遺は、当社のクライアントプライバシー通知と矛盾する部分については優先して適用されます。
2. データ管理者、データ保護責任者、および代表者
フォリーおよび当社のクライアントは、案件に関連してフォリーに提供された個人データの独立したデータ管理者です。フォリーはデータ保護責任者および欧州連合内の代表者を任命しています。
フォーリー及びそのクライアントは、当社が処理する個人データの独立したデータ管理者です。フォーリーは、一般データ保護規則(GDPR)に準拠し、データ保護責任者及び欧州連合(EU)における代表者を任命しています。フォーリー、そのデータ保護責任者、またはその代表者への連絡は、本GDPRクライアントプライバシー補遺の「連絡先情報」セクションに記載されている方法により行うことができます。
3. 当社が収集するクライアント及び関連団体に関する情報とその収集方法
フォリーがクライアントおよび関連団体について収集する個人データについては、当社のプライバシー通知に記載されています。
当社が収集する個人データおよび当社がクライアントならびに関連団体について収集する方法については、当社のプライバシー通知に記載されています。当社がクライアントから収集する個人データは、当社のサービスに関する契約締結に必要となる場合があります。クライアントまたは関連団体に関する個人データの提供がない場合、当該案件におけるクライアントへの法的代理業務の提供に影響が生じる可能性があります。
4. 当社のお客様および関連団体の個人データを処理する法的根拠
当社が個人データを処理する法的根拠は、以下の通りです:- 当社の正当な利益に基づく処理(個人の権利と自由との均衡を考慮した場合)- クライアントとの契約に基づく義務の履行- 法令で要求される場合- クライアントまたは関連会社からの同意を得た場合
当社のお客様および関連団体の個人データの処理は、GDPRに基づき許可されている場合にのみ合法です。当社は、各処理活動について法的根拠を有しています(下記に説明する例外が適用される場合を除く):
- 同意。当社のクライアントまたは関連団体は、当社に個人データを提供する際、当社のクライアントプライバシー通知および本GDPRクライアントプライバシー補遺に記載された個人データの収集、利用、共有について同意するものとします。
- 正当な利益。当社は、当社の正当な利益またはクライアント、関連団体、その他の第三者の正当な利益のために必要な範囲で個人データを処理します。これらの正当な利益は、クライアントおよび関連団体の利益・権利・自由と均衡が図られており、影響を受ける個人の利益・権利・自由がこれらの正当な利益を上回る場合には個人データを処理しません。 当社の正当な利益は以下の通りです:・Foleyとクライアント及びその他の関連団体間のコミュニケーションの円滑化・弁護士費用の請求及び回収・適用される規則(クライアントの守秘義務に関する規則を含む)の遵守・クライアントへの法的サービスの提供
- 契約に基づくクライアントへの義務を履行するため。当社は、クライアントとの契約に基づき法的サービスを提供するという義務を履行するため、クライアントの個人データを処理します。
- 法令に基づく場合。 また、当社は、法令により要求または許可される場合、政府検査、監査、および政府またはその他の公的機関からのその他の正当な要請への対応、召喚状およびその他の類似の証拠開示請求などの法的手続きへの対応、または当社の利益を保護し、その他の法的権利および救済措置を追求するために必要な場合(例えば、詐欺その他の犯罪行為および不法行為の防止または検出、訴訟の防御、苦情または請求の管理に必要な場合など)に、個人データを処理することがあります。 また、適用される規則(クライアントの機密保持に関する規則を含む)を遵守するために必要な場合、個人データを処理することがあります。
5. 特別な種類の情報
当社は、クライアントの法的請求権の確立、行使、または防御のために必要である場合、またはその他の方法でクライアントに法的サービスを提供するために必要である場合、機微な個人データとみなされる個人データを処理することがあります。
Foleyが処理する個人データの一部は、個人の人種または民族的出身、政治的見解、宗教的または哲学的信条、労働組合への加入を明らかにする個人データ、当該個人の健康に関する個人データ、当該個人の性生活または性的指向に関するデータ、または刑事上の有罪判決歴に関するデータなど、機微なものとみなされる場合があります。 Foleyは、当該案件に関連する法的サービスの提供、または適用される法令で別途定められる場合を除き、クライアントの法的請求権の確立、行使、または防御に必要な範囲に限り、この情報を処理します。
6. 自動化された意思決定
当社は通常、個人データを自動化された意思決定プロセスに使用することはありません。
フォーリーは、個人データを用いて、個人に法的効果を及ぼす可能性のある、または同様に個人に重大な影響を与える可能性のある自動化された意思決定プロセス(プロファイリングを含む)を行いません。
7. 顧客及び関連団体が自らの情報に関して有する権利、並びに情報のアクセス及び修正
クライアントおよび関連団体は、GDPRに基づき一定の権利を有する場合があります。これには、個人データへのアクセスおよび更新の権利、その利用方法の制限、特定の個人データを別の管理者へ移転する権利、クライアントまたは関連団体の同意をいつでも撤回する権利、ならびに当社がクライアントまたは関連団体に関する特定の個人データを消去するよう求める権利が含まれます。 ただし、当社が弁護士としての役割を担う場合(法的特権の主張を含む)、クライアントおよび関連団体の権利は制限される可能性があります。クライアントおよび関連団体は、当社による個人データの処理について監督当局に苦情を申し立てる権利も有します。
GDPRは、当社がお客様の個人データを処理するにあたり、お客様および関連団体に一定の権利を付与する場合があります。ただし、弁護士としての立場において、法的特権の主張が適用される場合、または犯罪の防止、調査、発見、訴追、もしくは刑事罰の執行のために遵守が不可能な場合、これらの権利は全部または一部が制限されることがあります。また、当社の守秘義務という専門的義務の結果として、一部の法域においてこれらの権利が制限される場合もあります。 これらの制限を条件として、適用される法令に基づき、以下の権利の一部または全部が認められる場合があります:
- アクセスと更新。お客様および関連団体は、下記連絡先情報を通じて当社に連絡するか、またはお客様または関連団体に関する個人データの変更や誤りについてお客様の担当パートナーに連絡することにより、各自の個人データを閲覧・変更できます。これにより、当該データが完全かつ正確であり、可能な限り最新の状態に保たれることを保証します。 なお、お客様または関連会社からのご請求が法令または法的要件に違反すると当社が判断した場合、または情報の正確性を損なうおそれがある場合は、ご請求にお応えできない場合がございます。
- 制限事項。お客様および関連団体は、特定の状況下において、当社による個人データの処理を制限する権利を有する場合があります。 特に、お客様または関連団体が個人データの正確性に異議を唱える場合、お客様の個人データの処理が違法と認められる場合、または当社が処理目的で当該お客様の個人データを必要としなくなったにもかかわらず、法令に基づき当該データを保持している場合には、お客様および関連団体は当社に対し、当該データの利用制限を請求することができます。
- ポータビリティ。クライアントまたは関連団体が同意に基づき提供した個人データが、当社によって自動化された手段で処理される場合、クライアントおよび関連団体は、当該個人データの全部または一部について、構造化され、一般的に利用され、機械で読み取り可能な形式での提供またはアクセスを当社に要求する権利を有する場合があります。 また、技術的に実行可能な場合、クライアント及び関連会社は、当該個人データを他の管理者へ移転するよう当社に要求する権利を有します。
- 同意の撤回。当社がクライアントまたは関連団体の個人データを処理する根拠が当該者の同意に基づく場合、当該クライアントはフォリーとの契約を終了することにより、同意を撤回する権利を有します。 ただし、同意の撤回は、撤回前の同意に基づく処理の適法性に影響を与えず、また、当社がクライアントまたは関連会社の個人データを処理する他の法的根拠に基づく継続的な処理の適法性にも影響を与えません。
- 忘れられる権利。適用される法令で定められた状況下において、クライアントは当社に対し、当該クライアント及び関連する関連団体の個人データを全て削除するよう請求する権利を有する場合があります。当社は、当該事案におけるクライアントの代理業務を終了させる場合を除き、クライアント及び関連団体の個人データを削除することはできません。また、当該代理業務の終了は、適用される法令に基づき許可された場合にのみ行います。 情報の削除により内容が不正確となる場合、または法律・法的要件(利益相反防止目的や財務記録要件を含む、法律事務所がクライアント及び関連団体情報を保持する義務を含む)に違反すると当社が判断した場合、情報の消去要求には応じられないことがあります。また、当事務所が法的請求権の確立・行使・防御のために必要と判断した場合も、お客様の個人データを保持することがあります。 その他の全てのケースにおいて、当方は本ポリシーに定める通り、クライアント及び該当する関連団体の個人データを保持します。加えて、一部のデータが過去のバックアップに存在する可能性があるため、クライアント及び該当する関連団体の個人データを完全に削除することはできません。これらは、当方の文書保存及び情報ガバナンスポリシーに定められた期間保持されます。
- 苦情申立て。お客様および関連団体は、居住国、勤務国、または適用されるデータ保護法に基づく権利が侵害されたと考える国において、該当する監督当局に苦情を申し立てる権利を有する場合があります。ただし、その前に、お客様および関連団体には、当社が直接対応し、プライバシーに関する懸念事項を解決する機会をいただくため、当社に直接ご連絡いただくようお願いいたします。
- クライアントおよび関連団体が権利を行使する方法。上記の制限事項に従い、クライアントおよび関連団体は、連絡先情報に記載されているいずれかの方法を通じて当社に連絡することにより、上記の権利のいずれかを行使することができます。クライアントまたは関連団体が上記の権利のいずれかを行使するために当社に連絡した場合、当社は本人確認のために追加情報の提供を求めることがあります。 当社は、お客様または関連団体が本人確認に必要な十分な情報を提供しなかった場合、または当社の法的・業務上の要件(法的特権の主張、専門的守秘義務その他の同等の義務に基づく場合を含む)を満たさない場合、適用法令に基づき認められる範囲で、当該請求を制限または拒否する権利を留保します。 なお、お客様または関連団体が、当社が合理的に判断するところにより、根拠のない、反復的な、または過剰な個人データへのアクセス要求を行った場合、適用される法律で定められた上限額を上限として、手数料を請求する場合があることにご留意ください。
8. 米国における個人データの処理に関する同意
当社は、お客様および関連団体の個人データを、本国以外の地域(米国を含む)で処理する場合があります。これは、法的に許可されている場合、およびお客様および関連団体の個人データを保護するための適切な安全対策が講じられている場合にのみ行います。
クライアントまたは関連団体が欧州経済領域(「EEA」)に所在する場合、当社がクライアントに法的サービスを提供するため、クライアントおよび関連団体の個人データをEEA域外(米国を含む)に送信・保存することがあります。 したがって、お客様の個人データは、居住国または所在国以外の国(お客様の個人データに対して同等の保護水準を提供しない、または提供していない国を含む)に転送される可能性があります。お客様の個人データは米国で処理・保管される場合があり、米国連邦政府、州政府、地方政府、裁判所、法執行機関または規制当局は、米国の法律に基づき当該情報の開示を求める権限を有する場合があります。 当社の法律サービスを利用することにより、お客様は上記の内容を読み理解した上で、お客様または関連団体が居住または所在する国外(米国を含む)における個人データの保管および処理に同意し、また、フォリーに対し当該個人データを提供するために必要なすべての同意を取得し、必要なすべての権利を有していることを表明するものとします。
クライアントおよび関連団体の個人データは、適用されるデータ保護法に基づき必要または許可される場合、かつ当該個人データを保護するための適切な保護措置が講じられている場合に限り、Foleyによって他国へ移転されます。 第三者への移転時においても、クライアント及び関連団体の個人データが当社の「クライアントプライバシー通知」及び本GDPRクライアントプライバシー補遺に従って取り扱われることを確保するため、Foleyは適切かつ必要な場合に、Foleyと当該データの全ての受領者との間でデータ保護契約を締結します。これには、該当する場合、欧州委員会が採択した標準契約条項(「標準契約条項」)が含まれます。 欧州委員会は、標準契約条項に基づく個人データの移転が当社クライアント及び関連団体の個人データに対して十分な保護水準を提供し得るものの、ケースバイケースで追加措置による補完が必要となる場合があると判断しています。当社では適切かつ必要と判断した場合、標準契約条項をこの方法で補完しています。 本標準契約条項の下では、当社のクライアント及び関連会社は、データが当該第三国に転送されていない場合と同等の権利を有します。ただし、弁護士としての当社の役割、及び適用される法令や職業倫理規則により認められる範囲において、これらの権利が制限される場合があります。クライアント及び関連会社は、下記の連絡先情報を通じて当社に連絡することにより、データ保護契約書の写しの提供を請求することができます。
9. データ保持期間
当社は、内部文書保存方針に基づき、クライアントおよび関連団体の個人データを保持します。別途指示がない限り、案件終了後少なくとも10年間、当該案件に関連する全ての情報を保持する場合があります。また、以下の場合、クライアントおよび関連団体の情報をより長期間保持することがあります:
- 当社のバックアップおよび災害復旧システムにおいて;
- 当社または当社のクライアントの法的利益を保護するために必要な期間、
- その他の法的要件または弁護士職業倫理規則に基づく義務を遵守するため。
フォーリーは、当社の内部文書保存方針に従い、クライアント及び関連団体の個人データを保持します。これには、当該案件においてクライアントを代理する期間も含まれます。また、当該案件終了後、最低10年間は個人データを保持する場合があります。この期間経過後、当社はクライアント及び関連団体の個人データその他の情報を以下の目的で保持する場合があります:
- 法的要件を遵守するために必要な期間、
- 当社のバックアップおよび災害復旧ポリシーと手順に従い、当社のバックアップおよび災害復旧システムにおいて;
- 当社または当社のクライアントの法的利益を保護するため、またはその他の法的権利および救済措置を追求するために必要な期間。
- 弁護士職業倫理規定に基づく義務を遵守するため;および
- クライアント及び関連事業体が特定できなくなった形で集計された、またはその他の方法で匿名化されたデータについては、無期限に。
10. 本GDPRクライアントプライバシー補遺の変更
Foley & Lardner LLPは、当社の裁量により、また当社のクライアントプライバシー通知に記載されている通り、いつでも本GDPRクライアントプライバシー補遺を修正する権利を留保します。本GDPRクライアントプライバシー補遺 に変更を加えた場合、当社は更新された通知を本ウェブページに掲載し、通知の効力発生日を更新します。変更の掲載後もクライアントが当社の法律サービスを引き続き利用することは、当該変更への同意を構成します。
11. 連絡先情報
お客様および関連団体は、下記の連絡先を通じて当社のデータ保護責任者にご連絡いただけます。お客様または関連団体が当社に連絡を希望される場合は、下記の連絡先を通じて当社と当社の代理人の双方に連絡する必要があります。
お客様または関連団体が、当社による個人データの処理についてご質問がある場合、または適用法令に基づく個人データに関するご要望がある場合は、下記の連絡先情報より当社のデータ保護責任者までご連絡ください。 お客様または関連団体が、当社の「お客様プライバシー通知」または本GDPRクライアントプライバシー補遺に関して質問、懸念、苦情、提案がある場合、またはその他の理由で当社への連絡が必要な場合は、下記連絡先情報にて当社(または当社のデータ保護責任者)および欧州連合(EU)における当社の代表者双方までご連絡ください。
フォリー(管理者)への連絡先
Foley & Lardner LLP
宛先:法務部/プライバシー担当官
321 N. Clark Street, Suite 2800
Chicago, IL 60654
United States
+1 (833) 701-1071
[email protected]
当社のデータ保護責任者へのお問い合わせ
JosephEdmondson
Foley & Lardner LLP
777 E. Wisconsin Avenue
Milwaukee, WI 53202-5306
United States
+1 (414) 271-2400
[email protected]