1. 個人データの国境を越えた移転
1.1 TDCX Singapore(以下「当社」または「TDCX」という)は、PDPAの要件に従う場合を除き、個人データをシンガポール国外に転送してはなりません。 このような転送(転送前)には、適切な同意条項を使用して、転送される個人データの個人および顧客から同意を得る必要があります。 シンガポール国外の個人��の個人データを他の法人(グループ会社を含む)に転送する場合は、付録1に示されている例を使用して、個人の同意を得るようにしてください。
1.2 個人からの同意がない場合は、その個人の個人データを海外に転送してはなりません。 同意の要件に適用される可能性のある法定例外があるかどうかについて相談するため、直ちにDPOに連絡してください。
1.3 個人または顧客からの同意は自由意志に基づいて与えられなければならず、その後本人によって撤回することができます。
2.法的拘束力のある文書
2.1 シンガポール国外への個人データの移転は、PDPAに基づく当社の義務に合致し、適切な保護措置を提供する法的拘束力のある文書(すなわち、当社と第三者受領者との間の契約、またはグループ会社に対する拘束力のある企業規則)に従って行われなければなりません。
2.2 シンガポール国外の第三者への個人データの移転は、移転される個人データに対する適切な保護措置を提供する法的拘束力のある文書に従って行われなければなりません。 第三者が上記の義務に合致する法的拘束力のある契約を締結し、それに拘束されることに同意するまで、シンガポール国外の第三者に個人データを移転してはなりません。このような個人データの移転については、付録1を参照してください。 このような取り決めを行う前に、DPOにご連絡ください。
2.3 シンガポール国外のグループ会社への個人データの移転は、当グループ会社の個人データ移転に関する拘束力のある企業規則に従います。 このような拘束力のある企業規則は法的拘束力があり、当グループ内のす��べての組織に適用され、執行可能です。 さらに、当社のグループ会社内でのすべてのデータ移転は、TDCX BCR付録1に記載されている拘束力のある企業規則に従うものとします。 TDCX BCRの付録1に記載されている拘束的企業規則の使用については、DPOを参照してください。
付録1
パート1 – 拘束的企業規則の概要と範囲
1.1 当社は、従業員およびお客様からの個人情報の適切な取り扱いに関する信頼と信用を大切にしています。
1.2 当社は、当社グループ会社間(総称して「グループ」、各グループ会社を「グループ」と呼ぶ)で個人情報を国境を越えて移転する場合、国境を越えたデータフローの制限に関する適用法を遵守することを約束します。当社経営陣は、これらの拘束力のある企業規則(以下「規則」といいます)が、グループ内のすべての組織(グループ内の各組織を「メンバー」といいます)間のすべての国際的な個人データ移転に適用されることを意図しています。これらの規則は、すべてのメンバーに対して法的拘束力を持ちます。各メンバーは、これらの規則を遵守するために、独自の内部プロセスを実施する責任があります。これらの規則(本規則の各部分を含みます)は、各メンバーであり、各メンバーはこれらの規則を完全に遵守しなければなりません。本規則の第II部では、会員間の個人データの国境を越えた移転に関する最低限の必須基準を定めています。
第30部 – データ保護法規の遵守
第31部。第32部 すべての会員は、会員間で国境を越えて移転するすべての個人データ(データ保護法規で定義されるもの��)および会員が本規則に従って他の会員から受け取る個人データに関して、シンガポールのPDPAおよびこれに関連するすべての下位法令(総称して「データ保護法規」)を含むがこれらに限定されない、会員に適用されるプライバシーおよびデータ保護に関するすべての法令(基本法および下位法規)および規則を遵守しなければなりません。
第33部 – 個人データの移転データ
第34項.第35項 メンバーは、個人データの移転は、地域、個人および個人データのカテゴリー、および必要な目的に関して、特定されたメンバー間でのみ行われることに同意します。
第36項 – メンバーの義務
第37項.第38項 第39項.第40項の一般性を制限することなく、グループの各メンバー(「受領メンバー」)は、他のメンバー(「開示メンバー」)から受け取った個人データを取り扱う場合、次の事項を行うことに同意します。
(a) 開示メンバーが個人データを開示した目的に従って、開示メンバーの指示に従って、かつ開示メンバーが個人データを開示するために必要な場合にのみ、個人データを使用すること。データ保護法に基づく義務を履行する。
(b) 個人データが偶発的または違法に破壊されたり、偶発的に紛失したり、改ざんされたり、不正に開示またはアクセスされたり、その他すべての違法な処理形態から保護されるよう、適切な技術的および組織的措置を講じる。かかる措置は、最新技術および実施コストを考慮し、処理によって生じるリスクおよび保護対象データの性質に見合ったセキュリティレベルを確保するものとする�。
(c) 規則 4.1(b) に記載されている事象のいずれかが発生したことを認識した場合、または合理的に疑う場合は、開示メンバーに書面で通知し、当該事象を是正し、再発を防止するために必要なすべての措置を速やかに講じるものとする。
(d) 処理する個人データが正確かつ完全であることを確保するために合理的な努力を払うものとする。
(e) 開示メンバーが個人データを開示した目的のために必要な期間を超えて個人データを保持せず、また、法的またはビジネス上の目的で保持がもはや必要でなくなった場合は、保持しないものとする。したがって、受領会員は、個人データが収集された目的がもはや関連性がなくなり、法的またはビジネス上の目的で保持する必要がなくなった時点で、個人データの保持または匿名化を停止するものとします。
(f) 開示会員から受け取った個人データに対して、個人データの保護に関する内部ポリシーを適用する。この点に関して、受領会員は開示会員に対し、受領会員が個人データの保護に関する適切な内部方針を策定しており、当該方針がデータ保護法によって付与される保護と同等またはそれに匹敵するレベルの保護を規定していることを保証する。
(g) 受領会員が開示会員から個人データを受け取った個人の要求に応じて、当該個人に付与され、かつPDPAの条件および要件に準拠した、当該個人の個人データへのアクセス権および訂正権を要求した個人に提供する。
(h) (g)項の一般性を制限することなく、アクセス権に関して、とりわ��け、PDPAに基づく権利を有する個人の要求に応じて、受領会員は、合理的に可能な限り速やかに、当該個人に提供する。受領メンバーは、以下の情報を提供するものとする。
(i) 受領メンバーが保有または管理している個人に関する個人データ、および
(ii) 受領メンバーが要求日の1年前までに個人データを使用した、または使用する可能性がある方法に関する情報、
(iii) PDPAおよびそこに規定されている個人のアクセス権に関するその他の要件を遵守すること。
(i) 訂正権に関する小項(g)の一般性を制限することなく、PDPAに基づきその個人の個人データの誤りまたは欠落を訂正する権利を有する個人の要求があった場合、受領メンバーは、とりわけ、以下の事項を行うものとする。
(i) 個人データを可能な限り速やかに訂正すること。 (ii) 訂正された個人データを、訂正が行われた日から 1 年以内に受領メンバーによって開示された他のすべての組織に送信すること。ただし、他の組織が訂正された個人データを法的またはビジネス上の目的で必要としない場合は除く。(iii) PDPA およびそこに規定されている個人の訂正権に関するその他の要件を遵守すること。
(j) 当該個人データの開示を、従業員、代理人、および専門アドバイザーに限定すること。
(i) 知る必要のある者のみに限定し、開示メンバーによって当該個人データが開示された処理の目的に限ること。 (ii) 本規則に規定された義務を認識し、これを遵守することに同意する者。
(k) 規則 4.1(e) を損なうことなく、開示会員から受け取った個人データを、開示会員の事前の書面による承認なしに他の第三者に開示または移転しないこと。また、かかる開示は、開示会員が個人データを開示する能力と、開示会員が当該開示または移転に関して課す追加の条件と整合していなければならない。 (l) 個人データまたはその一部を他の国に転送しないこと(データ保存、バックアップ、その他を問わず)。ただし、転送される個人データの所有者である個人の同意が得られている場合(データ保護法に基づく当該個人からの同意の例外が適用される場合を除く)および開示メンバーが書面でこれを承認している場合はこの限りではない。さらに、上記に従い、個人データが他の国に転送される場合は、個人データがデータ保護法の要件に従って転送されることを確実にするために必要な追加措置を講じること。 適切な場合、または法律で義務付けられている場合、個人データを他の国の第三者(本規則が適用される他のメンバーを除く)に転送する場合は、個人データが適切に保護されることを保証するために、当事者間の書面による合意に従うものとします。
4.2 受領メンバーは、開示メンバーから受け取った個人データの処理に関して苦情を受けた場合、速やかに開示メンバーに通知するものとします。受領会員は、かかる苦情の弁護または解決に不利となるような承認や行為を行ってはならず、また、かかる苦情に関連して開示会員が必要とする合理的な支援を提供するものとする。
4.3 各受領会員は、個人データを受け取る各開示会員に対し、本規則に法的に拘束され、これを遵守すること、および受領会員による本規則の��違反は、開示会員が当該違反から生じる損失および損害を受領会員に請求することを認めることを約束する。これらの規則により、すべての会員は、開示会員が、開示会員から個人データを受領する受領会員に対してこれらの規則を執行する権利、および受領会員によるこれらの規則の違反から生じる損失および損害を受領会員に対して請求する権利を、これらの規則に基づいて有することに同意するものとします。
第5 – 従業員の誓約
5.1 受領会員は、開示会員から個人データを受領する前に、開示会員から受領した個人データを開示する、または何らかの方法で当該個人データにアクセスする可能性のある従業員および代理人から、受領会員が開示会員に対して負う義務と同等以上の拘束力を持つ強制力のある誓約を取得しなければなりません。以下に定める。
5.2 受領会員は、個人データが開示される、または個人データにアクセスする可能性のある受領会員の従業員および代理人の信頼性を確保するために、あらゆる合理的な措置を講じるものとする。
5.3 受領会員は、個人データの処理に関与するすべての従業員および代理人が、個人データの取り扱いおよび管理に関して、合理的に適切な研修および試験を受けていることを保証するものとする。
5.4 疑義を避けるため、受領会員は、開示会員から受領する個人データへのアクセスおよび/または処理に関する従業員および代理人の義務について、引き続き責任を負うものとする。
パート 6 – 個人データの返還データ
6.1 開示会員からの書面による要請があった場合、受領会員は、個人データの処理を直ちにすべて停止し、開示会員の要請に応じて、個人データを安全に破棄するか、または受領会員もしくは受領会員が本規則に従って当該個人データを開示した第三者が保有するあらゆる形式の個人データのすべてのコピーを、適切な媒体で速やかに安全に開示会員に返却するよう手配するものとします。開示メンバーからの要請があった場合、受領メンバーは当該破棄が行われたことを証明するものとします。
第 7 項 – グループおよびそのメンバーの組織構造と連絡先
7.1 グループおよびそのメンバーの組織構造と連絡先については、DPO にお問い合わせください。
第 8 項 – 本規則の例外
8.1 メンバーは、[グループコンプライアンス] の事前の書面による許可がない限り、本規則に反する行為を行うことは禁止されています。当該書面による許可は、各メンバーの DPO を通じて取得するものとします。
第 9 項 – 報告違反
9.1 各会員は、これらの法的拘束力のある規則を完全に遵守しなければなりません。
9.2 会員およびそのスタッフは、これらの規則の違反を、それぞれの会員のコンプライアンス問題を管理するよう指定されたスタッフに報告することが推奨されます。
9.3 経営陣は、これらの規則、適用法、およびその他のグループポリシーの実際の違反または疑われる違反について誠実に報告したスタッフに対する報復を禁止します。
パート 10 – 監査
10.1 グループ内部監査部門は、会員の監査中にこれらの規則の遵守状況を確認します。監査の目的は、会員の内部統制、ガバナンスプロ��セス、内部方針および手順の遵守レベル、ならびに関連する規制要件の有効性と適切性を調査および評価することです。
パート 11 – 詳細情報
これらの規則および/または個人データ保護に関するその他のポリシーの詳細については、データ保護責任者(DPO)にお問い合わせください。
Last updated: 18 October 2024