データ保護ポリシー

Façade Creations Ltd データ保護ポリシー

導入

、英国一般データ保護規則（UK GDPR） 、 2018年データ保護法、およびその他適用されるすべてのデータ保護法を遵守し、個人データのプライバシーとセキュリティの保護に努めています 2006年会社法ファサードの設計、製造、設置を専門とする企業として、Façade Creationsが事業運営において個人データを収集、使用、保管、保護する方法を概説しています。当社の従業員、顧客、サプライヤー、ウェブサイト利用者、その他の利害関係者に関する個人データを網羅し、個人がデータに関して有する権利について説明します。

データ管理者

Façade Creations Ltdは、当社における個人データの処理方法と理由を決定する「データ管理者」です。個人データまたは本ポリシーに関するご質問、ご要望、ご懸念事項は、当社のデータ保護担当者までお問い合わせください。

• メールアドレス: info@facadecreations.co.uk
• 郵便住所: Façade Creations Ltd, 124 City Road, London, England, EC1V 2NX find-and-update.company-information.service.gov.uk

役割と責任

Façade Creationsにおけるデータ保護コンプライアンスの最終責任は、本データ保護ポリシーの監督と施行を担当する取締役のHashim Choksi。当社は、データ処理の性質と規模を考慮し、法的に義務付けられていないため、現時点では正式なデータ保護責任者（DPO）を任命していません。ただし、データ保護の責任は、社内の上級管理職が担っています。全従業員は、入社オリエンテーションおよび継続教育プログラムの一環として、GDPRとデータ保護に関する基本的なトレーニングを受けています。従業員は、本ポリシーを理解して遵守し、潜在的なデータ保護上の問題を経営陣に報告することが求められています。コンプライアンスを確保し、ギャップに対処するため、定期的なレビューと監査（「レビューと更新）が実施されています。

定義

このポリシーでは、次の定義が適用されます。

• 個人データ：特定された、または特定可能な個人（以下「データ主体」といいます）に関するあらゆる情報。これには、氏名、連絡先情報（メールアドレス、電話番号、住所）といった明確な識別情報に加え、従業員ID、IPアドレスといった識別情報、あるいは個人に結び付けられるあらゆる情報が含まれます。
• 処理：個人データに対して実行されるあらゆる操作（自動または手動）。処理には、個人データの収集、記録、整理、保管、変更、取得、使用、開示、送信、結合、制限、消去、または破棄が含まれます。
• データ主体：個人データの対象となる個人。例えば、当社の従業員、顧客、ウェブサイト利用者などはすべて、本ポリシーにおけるデータ主体となり得ます。
• データ管理者:個人データを処理する目的と手段を決定する主体 (この場合は、Façade Creations Ltd)。
• データ処理者：データ管理者の指示に基づき、データ管理者に代わって個人データを処理する第三者（当社従業員以外）。（例えば、当社のデータをホストするクラウドサービスプロバイダーがデータ処理者となる場合があります。）

データの収集と処理

当社は、事業運営に必要な、特定かつ明確で正当な目的のためにのみ、個人データを収集および処理します。以下は、当社が取り扱う個人データの種類と、それぞれの処理の目的および法的根拠の概要です。

1. 従業員（HR）データ–目的：従業員の募集、雇用、管理、および雇用主としての法的義務の履行。これには、人事管理、給与計算、福利厚生、業績評価、職場の健康と安全のコンプライアンスに関するデータの処理が含まれます。
   データ カテゴリ：従業員の個人情報（氏名、連絡先、生年月日、国民保険番号）、求職書類および雇用記録（履歴書、推薦状、雇用契約、役割および雇用期間）、給与支払いのための給与および銀行口座の詳細、および必要な認定または就労権文書。また、必要に応じて、トレーニング、業績評価、懲戒手続きの記録を保管することもあります。
   法的根拠： 契約上の必要性（給与の支払いなど、雇用契約を履行するため）、法的義務（雇用法、税務要件、HMRC給与計算記録や2006年会社法の要件などの法定記録保持を遵守するため）、正当な利益（従業員の権利とこれらの利益のバランスを取りながら、従業員を効率的に管理し、事業継続を確保するため）。
2. 顧客およびプロジェクトデータ–目的:顧客との関係を管理し、ファサードの設計および設置サービスを提供するため。これには、問い合わせへの対応、見積りの提供、契約の締結、プロジェクトの実行、法的および契約上の義務の遵守 (例: 健康および安全規制、建築規制) が含まれます。
   データ カテゴリ:顧客の連絡先の詳細 (個人名、役職、会社住所、電話番号、電子メール アドレス)、顧客から提供されたプロジェクト関連情報 (プロジェクト要件、仕様、現場住所)、顧客との通信記録、契約および財務の詳細 (見積もり、契約書、請求書、支払記録)。
   法的根拠: 契約上の必要性(契約締結前に顧客の要求に応じて手順を実行し、ファサードの設計、供給、設置に関する契約を履行するため)、法的義務(顧客との取引に関連する建築規制、建築基準法、税法などの法律の遵守)、正当な利益(効果的なプロジェクト管理の確保、顧客との関係の維持、当社の事業に関連して顧客とコミュニケーションをとること (例: プロジェクトの最新情報の提供)、顧客が合理的に期待する方法で)。限られたケースでは、同意。たとえば、見込み顧客がマーケティングニュースレターの受信を申し込む場合などです (以下のマーケティングコミュニケーションを参照)。
3. サプライヤーおよび請負業者のデータ–目的:商品およびサービスの調達を管理し、下請業者およびサプライヤーと調整し、これらの取引の支払いおよび文書化の義務を履行するため。これには、プロジェクトで一緒に働くベンダー、下請業者、コンサルタント、およびその他の第三者に関連するデータが含まれます。
   データ カテゴリ:サプライヤーまたは請負業者の連絡先の詳細 (担当者の名前、会社名、住所、電子メール、電話)、契約および合意、支払いに必要な銀行および支払い情報 (口座番号、ソート コードまたは IBAN、VAT または会社番号)、および関連する資格または保険の詳細 (請負業者の審査プロセスで必要な場合は、専門職賠償責任保険の証拠または証明書など)。
   法的根拠: 契約上の必要性(サプライヤーおよび下請業者との契約の締結および履行、例: 注文書の発行、請求書の支払い)、法的義務(例: 税務および監査目的での取引記録の保持、該当する場合は詐欺または贈収賄防止法の遵守)な利益（サプライヤーの品質と信頼性の審査、プロジェクトのサプライチェーンの効率性の確保、事業継続性の維持など）。これらの利益はプライバシーへの影響とバランスが取られており、通常、この文脈で収集するデータはビジネス指向であり、過度に個人的なものではありません。
4. マーケティング コミュニケーション データ–目的:当社のサービスに関する最新情報、ニュース、またはマーケティング コミュニケーションを、そのような情報の受信を希望した個人に送信するため。これにより、当社の事業を促進し、関心のある関係者に当社が提供するサービス (新しいファサード ソリューション、プロジェクトのケース スタディ、イベントなど) に関する情報を継続的に提供できるようになります。
   データ カテゴリ:当社のサービスに関心を示した、またはメーリング リストに登録したクライアントまたは見込み客の名前と連絡先の詳細 (電子メール アドレスや会社名など)。また、コミュニケーションの設定 (オプトイン同意記録、優先連絡方法など) やインタラクション履歴 (電子メールの開封率やイベント出席状況など、集計レベルで) を記録する場合もあります。
   法的根拠: 同意– すべての電子メール マーケティング コミュニケーションは、明示的なオプトイン同意に基づいています。個人が当社のマーケティング メーリング リストに追加されるのは、明確な同意 (フォームのオプトイン ボックスにチェックを入れる、または Web サイトから登録するなど) があった場合のみです。同意なしに大量のマーケティング メールを送信することはありません。データ主体はいつでも同意を撤回する権利を有します。当社が送信するすべてのマーケティングメールには配信停止リンクが含まれており、お客様はいつでも当社にご連絡いただければ、マーケティングリストからの配信停止を希望されます。配信停止のご要望には速やかに対応いたします。
5. ウェブサイトのユーザーデータとCookie –目的:当社のウェブサイトを運営および改善し、ユーザーがどのようにウェブサイトを利用しているかを把握するため。お客様が当社のウェブサイト (www.facadecreations.co.uk) にアクセスすると、機能性と分析のためにCookieや同様のテクノロジーを介して特定のデータが収集されます。
   データカテゴリ:Cookieを使用しています。分析データ (Google Analytics経由など) は通常、集約され匿名化されているため、個々の訪問者を直接特定することなく、ウェブサイトのトラフィックと使用パターンを追跡できます。当社は、分析Cookieを通じて個人を特定できる情報を収集しません。また、広告目的でCookieを使用することはありません。当社のウェブサイトに連絡先または問い合わせフォームがある場合、お客様が提供する個人データ (名前、メールアドレス、電話番号、問い合わせの詳細など) は、お客様のリクエストに応えるためにのみ使用され (上記のクライアントデータの一部として)、このポリシーに従って取り扱われます。
   法的根拠： 正当な利益– 当社のウェブサイトが円滑に機能し、ユーザーのプライバシーを尊重しつつ（分析データは匿名化されます）、利用状況を把握して改善に役立てることは、当社の利益です。また、同意（初回アクセス時に、必須ではないCookieの使用に関する同意を求めるCookie通知が表示されます）。必須ではないCookieは、ブラウザの設定からいつでも無効にできますが、これにより一部のサイト機能に影響が出る可能性があることにご注意ください。

データの共有と転送

当社は個人情報を機密情報として取り扱い、第三者と共有することはありません。共有が必要な場合は、データ最小化の原則を適用し、必要な情報のみを共有します。当社が個人情報を共有する主なケースは以下のとおりです。

• 下請業者およびサプライヤー：当社は、プロジェクト遂行に必要な範囲で、下請業者、下請コンサルタント、サプライヤーと関連データを共有します。例えば、下請業者には安全衛生上の理由から現場へのアクセス情報や作業員の氏名を提供する場合があります。また、配送の調整のため、顧客の連絡先情報を配送パートナーと共有する場合があります。いずれの場合も、第三者にはそれぞれの業務に必要なデータのみが提供され、安全に取り扱うことが求められます。
• 専門アドバイザー：当社は保険会社、会計士、弁護士、その他の専門アドバイザーとデータを共有する場合があります。例えば、保険会社は個人データを含む請求の詳細を受け取る場合があり、また、当社の会計士は給与計算や財務監査の支援を行う際に、従業員や請負業者の支払い情報を閲覧する場合があります。これらの関係者は、専門的守秘義務またはデータ保護に関する契約上の合意に拘束されます。
• コンサルタントおよびビジネスパートナー：プロジェクトにおいて外部コンサルタントまたは合弁パートナーと契約する場合、協働を円滑に進めるため、特定のデータ（例：プロジェクトチームの連絡先、関連する経験プロファイル）を共有する必要が生じる場合があります。こうしたデータ共有は、必要に応じて秘密保持契約およびデータ処理契約に基づいて行われます。
• 規制および法的要件：当社は、法律により要求された場合、政府機関、規制当局、法執行機関、または裁判所に個人データを開示します。例えば、税務上の目的で歳入関税庁（HMRC）、苦情調査中の情報コミッショナー事務局（ICO）、裁判所命令または召喚状に従うために情報を提供する必要がある場合があります。いずれの場合も、当社は要求の正当性を検証し、法律で義務付けられているデータのみを共有します。

Façade Creations は、マーケティングやその他の目的で個人データを第三者に販売することありません

国際転送：英国を拠点とする当社は、データの保管と処理を主に英国国内で行っています。ただし、信頼できるクラウドベースのサービス（メールやドキュメントの保管にはMicrosoft 365 Googleアナリティクスツール、Xeroなど）も利用しており、英国外のサーバーにデータを保管する場合があります。個人データが英国（または欧州経済地域）外（米国やその他の地域のデータセンターなど）に転送される場合は、必ず法的保護措置が講じられています。これらの保護措置には、標準契約条項（SCC）や英国政府による十分性認定への依拠が含まれる場合があり、当社のサービスプロバイダーがGDPRと同等のデータ保護基準の認定を受けているか、契約でその基準を遵守していることを保証しています。当社は、サードパーティプロバイダーのデータ保護コンプライアンスを厳しく審査し、強力なセキュリティ対策を講じている国際的に認められた企業のみを使用しています。当社の目標は、個人データがどこで処理されても、同じレベルの保護

データセキュリティ

Façade Creationsは、個人データを不正アクセス、紛失、破壊、改ざんから保護するため、適切な技術的および組織的なセキュリティ対策。当社は、業界標準に沿ってセキュリティ対策を継続的に見直し、強化しています。当社が実施している主な対策は以下のとおりです。

• 安全な保管：電子形式の個人データは、アクセス制御された安全なシステムに保管されます。機密データは保存時および転送時に暗号化されます（例えば、データベースとラップトップはディスク暗号化を採用しています）。サーバーはパスワードとファイアウォールで保護されており、クラウドストレージ（Microsoft 365内のSharePoint/OneDriveなど）は暗号化され、監視されています。個人データを含む紙の記録は、施錠されたキャビネットまたはアクセスが制限された安全なオフィスエリアに保管されます。
• アクセス制御：個人データへのアクセスは、職務上必要な権限を持つ担当者のみに厳格に制限しています。役割に基づいて異なるレベルのアクセス権限が付与されます（最小権限の原則）。例えば、人事データは権限を持つ人事部と管理職のみがアクセスでき、プロジェクトデータはプロジェクトチームと関係する管理者のみがアクセスできます。全従業員は、社内システムにおいて強力で固有のパスワードを使用することが義務付けられており、リモートアクセスでは可能な限り多要素認証が有効になっています。
• 安全な通信：個人データを第三者に送信する場合（例えば、会計担当者への給与情報の送信や、プロジェクトデータの下請業者への共有など）、安全なチャネルを使用します。メールはデフォルトで暗号化されたTLS接続を介して送信され、特に機密性の高いデータを含むファイルにはパスワード保護または暗号化を使用します。個人情報の転送において、安全でないチャネルの使用は推奨しません。
• 物理的セキュリティ：当社のオフィスは不正な立ち入りを防止するため、厳重なセキュリティ対策を講じています。オフィスおよびファイル保管エリアへのアクセスは、鍵またはアクセスカードを使用したスタッフのみに制限されており、来訪者には付き添いがつきます。個人データを含む文書やデバイスは、共用エリアに放置されることはありません。また、個人データを含む紙文書はシュレッダーで廃棄し、機密文書の露出を最小限に抑えるため、クリーンデスクポリシーを遵守しています。
• デバイスとITセキュリティ：会社のノートパソコンとデバイスはすべて最新のウイルス対策／マルウェア対策ソフトウェアがインストールされ、定期的に最新のセキュリティアップデートが適用されます。IT資産管理プロセスを維持し、会社のデバイスを追跡し、デバイスを廃棄する際には安全な廃棄を確実に実施しています。個人データが保存されているポータブルドライブやUSBストレージは、暗号化するか、可能な限り使用を避けています。
• サードパーティサービス：当社は、信頼できるクラウドおよびITサービスプロバイダー（MicrosoftやXeroなど）を利用して事業を展開しています。個人データを取り扱うプロバイダーと契約する前に、そのセキュリティ認証とプライバシーポリシーを評価し、GDPR基準を満たしていることを確認しています。また、これらのプロバイダーとデータ処理契約を締結し、当社に代わってデータを保護することを確約しています。
• 監視とテスト：システムのセキュリティ監査とリスク評価を定期的に実施しています。従業員のアクセス権は定期的に見直され、必要なアクセスのみが保持されていることを確認しています。また、サイバーセキュリティのベストプラクティス（フィッシング攻撃の検知や情報の保護など）に関する継続的なトレーニングを従業員に提供しています。

上記の対策を実施することで、高いレベルのセキュリティを維持し、データ漏洩や不正なデータ開示のリスクを軽減するよう努めます。

データ保持

当社は、個人データを、に必要な期間のみ。保持期間は、データの種類と適用される法的/規制上の義務に基づいて決定されます。当社の一般的な保持ポリシーは次のとおりです。

• 従業員（人事）記録：当社は、雇用終了後最大6年間、従業員の個人データを保管します。これには、基本的な身分証明書情報、雇用契約、給与記録の保管が含まれます。特定の記録は必要に応じてさらに長期間保管する場合があります（例えば、年金制度の情報や傷害記録は、特定の規制に基づき、より長期間保管される場合があります）。ただし、人事ファイル全体を無期限に保管することはありません。
• 財務記録：個人データが含まれる可能性のある財務記録（請求書、支払記録、経費報告書など）は、関税庁（HMRC）の税法および2006年会社法のを遵守するため、会計年度終了後6年間。これにより、監査や財務に関する問い合わせの際に必要な記録が確保されます。6年経過後、特定の項目についてより長期の保管が法的に義務付けられている場合を除き、これらの記録は安全に廃棄されます。
• プロジェクトおよびクライアントファイル：プロジェクト関連文書（クライアントとのやり取り、契約書、プロジェクト計画書などを含む）は、プロジェクト期間、そして通常は6～10年間。具体的な期間は契約上の義務や責任に関する考慮事項によって異なります。例えば、契約書では特定の記録を数年間保管することが規定されていることがよくあります。建設業界では、6～12年（封印されている場合は12年）が一般的です。当社では、潜在的な瑕疵担保責任期間をカバーするため、主要なプロジェクトファイルについては10年間という一般的なガイドラインを採用しています。これらのファイルは安全にアーカイブされ、参照または法的理由が必要な場合にのみアクセスされます。
• お問い合わせおよび見込み顧客データ：お問い合わせいただいたものの、契約に至らなかった場合は、お問い合わせ内容と連絡先情報を最後のやり取りから最大2年間。これは、潜在的なビジネスのフォローアップや過去のやり取りの把握に役立てるためです。2年間ご利用がない場合（またはご要望があれば直ちに）、お問い合わせデータは削除または匿名化いたします。マーケティングコミュニケーションの受信に同意したお客様については、配信停止または同意撤回まで情報を保管いたします。同意撤回後は、速やかにアクティブなメーリングリストから削除いたします（ただし、ご連絡を差し控えるご要望にお応えできるよう、配信停止リストは維持いたします）。
• その他のカテゴリー： CCTV映像（当社が敷地内にCCTVを設置する場合）は、調査に必要な場合を除き、通常、短期間（例：30日間）保管されます。採用に至らなかった応募者の採用データ（求職者データ）は、応募者が将来の機会に備えてより長期間の保管に同意しない限り、通常最大6か月間保管されます。

いずれの場合も、保持期間が経過した個人データは安全に削除する匿名化（個人との関連付けが不可能になるよう）します。安全な削除には、適切なソフトウェアツールを用いた電子ファイルの永久消去や、紙文書のシュレッダー処理が含まれる場合があります。当社は、個人データを必要以上に長く保持しないよう、データ保持スケジュールを維持し、保有データを定期的に確認しています。

個人の権利

データ主体（当社が保有するデータの所有者）は、英国GDPRに基づき、いくつかの権利を有します。Façade Creationsはこれらの権利を尊重し、擁護します。要約すると、個人は以下の権利を有します。

• アクセス権：お客様は、当社がお客様の個人データを処理しているかどうかの確認を求めることができます。また、処理している場合は、当社が保有するお客様の個人データのコピーとその利用方法に関する情報を要求することができます。これは一般に「本人アクセス要求」と呼ばれます。当社は、有効な要求を受領してから通常1ヶ月以内に、簡潔かつ透明性のある方法で情報を提供します。
• 訂正権：当社が保有するお客様の個人情報に不正確または不完全な点がある場合、お客様は当社に対し、当該情報の訂正または更新を要求する権利を有します。当社は、確認後、速やかに不正確な点を訂正いたします。
• 消去権：お客様は、特定の状況において、個人データの削除を要求する権利を有します。例えば、データが収集目的に不要になった場合、または同意を撤回し、当社が処理する他の法的根拠がない場合などです。これは「忘れられる権利」と呼ばれることもあります。ただし、この権利は絶対的なものではないことにご注意ください。当社は、法的義務または優先する正当な利益に基づき、特定の情報を保管する必要がある場合があります（その場合はお客様にお知らせいたします）。
• 処理制限権：お客様は、一定の条件下で、お客様のデータの処理を制限するよう当社に要請することができます。例えば、データの正確性に異議がある場合、または当社の処理に異議がある場合（下記参照）、問題解決までの間、処理の制限を要求することができます。処理が制限された場合でも、当社はお客様のデータを引き続き保管しますが、お客様の同意がある場合や法的請求がある場合など、限られた状況を除き、お客様のデータを使用または共有することはありません。
• 異議申し立て権：正当な利益に基づいてお客様の個人データを処理する場合、お客様は当該処理に異議を申し立てる権利を有します。異議申し立てをされた場合、当社は、お客様の権利に優先する正当な理由を証明できる場合、または当該処理が法的請求の確立、行使、もしくは防御を目的とする場合を除き、当該データの処理を停止します。また、お客様は、お客様の個人データがダイレクトマーケティング目的で使用されることに無条件で異議を申し立てる権利を有します。異議申し立てがあった場合、当社は直ちに当該使用を停止します。
• データポータビリティに関する権利：お客様が当社にデータを提供し、お客様の同意に基づき、または契約履行のために自動化された手段によって処理が行われる場合、お客様は、当該データのコピーを一般的な機械可読形式で要求する権利、および／または（技術的に実行可能な場合）別のデータ管理者に移転する権利を有します。この権利は、主にお客様が自発的に提供したデータに適用されます。当社は、可能な限り、このような要求に対応いたします。

これらの権利を行使するには、 info@facadecreations.co.uk、ご要望の詳細を添えてご連絡ください。当社は、データを誤った相手に開示しないよう、お客様の本人確認を行う場合があります。また、場合によっては、ご要望の範囲について明確に説明をお願いすることがあります（例：当社と複数回のやり取りがあった場合）。当社は、すべての有効なご要望にできるだけ早く、遅くとも受領後1か月以内に対応いたします。さらに時間が必要な場合（複雑なご要望の場合はさらに2か月かかる場合があります）、延長期間とその理由をお知らせいたします。通常、当社はご要望の処理に対して手数料を請求しません。ただし、ご要望が明らかに根拠がない、または過度な場合は、合理的な手数料を請求するか、（正当な理由を提示した上で）ご要望をお断りすることがあります。

データ侵害手順

当社は強固なセキュリティ対策を講じていますが、データ侵害（個人データの偶発的または違法な破壊、紛失、改ざん、不正開示、またはアクセスにつながるインシデント）が発生する可能性は依然としてあります。Façade Creationsは、このようなインシデントに迅速かつ効果的に対応できるよう、明確なデータ侵害対応計画。当社の手順は以下のとおりです。

1. 検知と封じ込め：従業員は、データ侵害の疑い（デバイスの紛失、不審なシステムアクティビティ、誤った宛先への誤送信など）が発生した場合、直ちに経営陣に報告するよう訓練されています。潜在的な侵害が報告または検知された場合は、迅速に封じ込め。例えば、侵害を受けたシステムの隔離、誤って送信されたメールの回収、さらなる不正アクセスを防止するためのアクセス認証情報の変更などを行います。また、インシデントの発生状況、発生時刻、および対応策の記録を開始します。
2. 評価：担当チーム（上級管理職とIT部門が主導し、データ保護責任者を含む）が、を調査・評価します。対象となる個人データ、影響を受ける人数、影響を受ける個人への潜在的な影響、そしてデータが回復されたか、あるいは依然として危険にさらされているかを判断します。このリスク評価は、通知に関する次のステップを決定するため、迅速に実施されます。
3. 通知：侵害が権利と自由に対するリスク（例えば、個人情報の盗難、金銭的損失、個人の安全、その他の重大な危害のリスク）につながる可能性がある場合、当社は72時間以内に英国情報コミッショナー事務局（ICO）に通知します。ICOへの通知には、侵害の性質、影響を受ける個人および記録のカテゴリと概算数、予想される結果、および対処のために講じたまたは提案された措置に関する詳細が含まれます。72時間の期限が過ぎてもこれらの情報がすべて収集されていない場合は、最初の通知を提出し、詳細が判明次第、フォローアップいたします。さらに、侵害が影響を受ける個人に高いリスク遅滞なく明確な言葉で通知します。当社は、影響を受けた個人に対し、悪影響を軽減するためのガイダンス（パスワードのリセット、不審な活動の監視など）を提供します。侵害が重大なリスクをもたらさない場合（たとえば、データが暗号化されていたり、すぐに回復されていたりする場合）、個人に通知する必要はないかもしれませんが、その場合でもインシデントを社内で文書化します。
4. 検証と予防：直近のインシデントへの対応後、事後検証を実施し、原因を徹底的に解明し、改善点を特定します。また、手順の見直し、セキュリティ対策の強化、従業員への追加トレーニングなど、同様のインシデントを将来的に再発防止するために必要な是正措置を講じます。すべての違反およびニアミスは、当社の説明責任に基づき、対応および結果の詳細とともに社内の違反記録簿に記録されます。

当社は、あらゆるデータ侵害を重大な問題と捉えています。この手順に従うことで、個人への被害を最小限に抑え、インシデントから学び、データ保護対策を継続的に強化することを目指しています。

レビューとアップデート

当社は、本データ保護ポリシーを定期的、変化する法規制や当社の事業運営に合わせて最新の状態に保つよう努めています。本ポリシーは少なくとも年1回。また、新たなデータ処理活動の導入、規制の変更、データ保護監査や違反調査で重要な知見が得られた場合など、重要な変更があった場合にも見直しを実施します。

本ポリシーの更新は、会社の経営陣によって承認されます。ディレクター（Hashim Choksi）は、すべての改訂版を正式に承認し、組織全体における本ポリシーの継続的な遵守状況を監視する責任を負います。変更が行われた場合、改訂版ポリシーは当社のウェブサイトに掲載され、「最終更新日」はそれに応じて調整されます。重要な変更については、特にその変更が従業員またはその他影響を受ける個人（データや権利の取り扱い方法に影響を与える場合）に直接（例えば、メールや社内メモなどを通じて）通知する場合もあります。

当社は、実際の業務が本ポリシーに準拠していることを確認するため、定期的にデータ保護監査とコンプライアンスチェック（社内または外部アドバイザーの協力を得て）を実施しています。これらの監査で得られた知見は、当社のプロセス改善に活用され、ポリシーの更新や追加トレーニングの実施につながる場合があります。

Façade Creations は、ポリシーと実践を定期的に見直し、更新することで、データ保護の高水準への取り組みを再確認し、新たな展開に積極的に適応します。

ICOと苦情

当社は、個人データの取り扱いについて、皆様に安心していただけるよう努めております。当社のデータ保護方針についてご懸念やご不満がございましたら、直接当社までご連絡ください。問題解決に努めさせていただきます。また、お客様には、英国のデータ保護監督機関である英国情報コミッショナー事務局（ICO）苦情を申し立てる権利が。ICOへのご連絡は、ウェブサイト（ico.org.uk）またはお電話にて承っております。

ICOへの連絡に関する個人の権利については、当社のプライバシーに関するお知らせ（ウェブサイトや契約上の個人情報保護条項など）に記載しています。ICOによる調査が行われた場合、当社は全面的に協力いたします。もちろん、皆様と直接ご相談の上、懸念事項を解決できるよう努めてまいります。皆様の信頼は当社にとって極めて重要です。

お問い合わせ

本データ保護ポリシーについてご質問がある場合、またはデータ保護の権利を行使したい場合は、お気軽にお問い合わせください。

メールアドレス: info@facadecreations.co.uk
郵送先:データ保護に関するお問い合わせ – Façade Creations Ltd, 124 City Road, London, EC1V 2NX, United Kingdom

当社は喜んでお手伝いし、すべての正当なリクエストに迅速に対応するよう努めます。

Façade Creations Ltd – イングランドおよびウェールズで登録（会社番号16267073）

最終更新日: 2025年10月