Genesys CloudとGDPRコンプライアンス


Genesys CloudがGDPRにどのように対応しているか、およびGenesys Cloud GDPRの実装について組織が知っておくべきことについては、この記事をお読みください。GDPRの一般的な概要については、 GDPR 概要.

GDPR教育

一般データ保護規則(GDPR)は、データプライバシー規制の重要な変更です。Genesys Genesys Cloudは、セキュリティおよびコンプライアンスチーム向けのGDPRトレーニングにかなりの時間を費やしました。からのトレーニングと認定 国際プライバシー専門家協会(IAPP) 2017年初めに始まりました。GDPRの詳細については、 GDPRコンプライアンス

GDPRプロジェクト

Genesys CloudはGDPRプロジェクトを次の目的で委託しました。

  • 更新されたデータインベントリを完了し、Genesys CloudがPIIを保存/処理/送信するすべての場所を決定する
  • カスタマーの要求を実行するためのカスタマーの要求を実装するために、カスタマーのためのGDPR APIを設計および実装します。 基本データ主体権
  • データ保護の影響評価を完了する

Genesys Cloud GDPRは準拠していますか?

Genesys Cloudの法務および技術の専門家はGDPRを確認し、国際プライバシー専門家協会(IAPP)。 データ処理者としてのGenesys Cloudの役割において、Genesys Cloudは規制の要件を満たすための措置を講じています。

GDPRは第28条で、データ管理者は「適切な技術的および組織的措置を実施するために十分な保証を提供するプロセッサのみを使用すること」を要求しています。Genesys Cloudは、これらの対策を実施しています。当社の専門家があなたとそれらについて議論することができます。詳細については、 お問い合わせ

Genesys Cloud GDPRは認定されていますか?

Genesys CloudなどのクラウドサービスプロバイダーのGDPR認定はありません。しかし、Genesys Cloudは、以下のような他のデータ保護規制について、当社の管理上、物理的、および技術的な管理について、複数の独立した審査を受けています。 HIPAA.

データ処理者として、Genesys Cloudは適切な技術的および組織的対策を実施します。詳細については、 セキュリティとコンプライアンスについて

Genesys CloudはGDPRコンプライアンスをどこでサポートしていますか?

Genesys Cloudは、Amazon Web Services(AWS)を導入したすべてのGenesys Cloud地域でGDPRコンプライアンスをサポートしています。

GDPRコンプライアンスを有効にする必要がありますか?

GDPRコンプライアンスのためにGenesys Cloud内で有効化や設定を行う必要はありません。ただし、GDPRはお客様とGenesys Cloudとの間のデータ処理契約(DPA)を要求する場合があります。DPAは個人データの処理を対象としています。

AltocloudのGDPR要件はAltocloudですか?

組織が使用する予定がある場合 Altocloud ウェブサイトでの訪問者のアクティビティに関するデータを収集するには、GDPRコンプライアンスの手順に従う必要があります。詳細については、 AltocloudとGDPR

DPAまたはデータ処理契約とは何ですか?

GDPRは、第28条において、「加工業者による処理は、連合または加盟国の法律に基づく契約またはその他の法的行為によって管理されるものとし、これは、管理者に関して加工業者を拘束し、主題と期間処理の内容、処理の性質と目的、個人データの種類とデータ主体のカテゴリ、そして管理者の義務と権利

GDPRの対象であると思われる場合は、Genesys Cloudがこれらの要件を満たすDPAについて話し合う準備が整っています。Genesys Cloud DPAを受け取るには、 お問い合わせ.

GDPRデータリクエストにどのように対応すればよいですか?

Genesys Cloudは、 GDPR API GDPRリクエストに対応する、Genesys Cloud顧客向けのセルフサービスソリューションとして推奨されています。GDPR APIは、データ主体のGenesys Cloudにおける個人データへのアクセス、修正、または削除の要求への対応を可能にします。

Genesys Cloud GDPRサービスの仕組みは? 

Genesys Cloud GDPR APIについて知っておくべきこと。

GDPRサービスエンドポイント

GDPRサービスは2つのエンドポイントを識別します。 科目 特定の検索語が一致すること、および実際にGDPRを開始するための2番目のエンドポイント リクエスト。これは 被験者 エンドポイントは、名前の単一検索用語を受け入れます。, 住所, 電話番号, またはEメールアドレス, ソーシャルメディアハンドル, ユーザーIDから構成される0以上の一致する被験者のリストを返します。, 外部ContActid, コンタクトコンタクトの リクエスト エンドポイントは、第15条(アクセス)、第16条(修正)、および第17条(消去)の要求に応答するために、単一の検索語と要求タイプGet、Export、Update、またはDeleteを受け入れます。要求エンドポイントは、名前の単一検索用語を受け入れます。, 住所, 電話番号, Eメールアドレス, ソーシャルメディアハンドル, ユーザID, 外部接触ID, 指定されたGDPRリクエストタイプを開始するためのダイアラーコンタクトIDです。用語がidの場合、サービスはまずそれを対応するリソース(ユーザー、外部連絡先)に解決し、GDPR要求に既知のフィールドを含めます。

主題のエンドポイントは主題と検索語の一致を識別します

科目 エンドポイントは、4つのタイプの単一の検索語を受け入れます。名前、住所、電話番号、または電子メールアドレスを入力し、検索語に一致するすべての件名のリストを返します。件名は、userId、externalContactId、またはdialerContactIdのいずれかです。返されるリストには、0件の件名、単一の件名、または多数の件名を含めることができます。

Genesys Cloudは、GDPRの潜在的なすべてのリクエストに対して、被験者のエンドポイントを使用して、後続のリクエストエンドポイントがどの個人に影響するかを特定することを推奨します。 検索用語に一致するサブジェクトを見つけることで、Genesys Cloudのお客様は、特定のGDPRリクエストの予期せぬ影響のリスクを軽減できます。対象のエンドポイントは、特定の検索語が複数の対象に一致する場合に結果を明確にするためにも使用できます。具体的には、サブジェクトエンドポイントは特定の検索語に対してすべての一致するサブジェクトを返すので、APIユーザーは後続のGDPR要求に対してより正確な検索基準を見つけることができます。

要求エンドポイントは単一の検索語と特定の要求タイプを受け入れます

リクエスト エンドポイントは、任意のタイプ(名前、住所、電話番号、Eメール、ユーザーID、外部連絡先ID)の単一検索語と、Get、Export、Update、またはDeleteの単一要求タイプを受け入れ、作成および開始されたGDPR要求を返します。 。エクスポートは第15条(アクセス)要求に対応し、更新は第16条(修正)要求に対応し、削除は第17条(消去)要求に対応します。要求タイプが「削除」である間、いくつかのサービスは削除よりもむしろ個人データを匿名化するかもしれません。その要求の実際の処理は非同期的に行われます。指定された用語がユーザーIDまたは外部連絡先IDの場合、GDPRサービスはまずそのIDを対応するユーザーまたは外部連絡先にそれぞれ解決し、要求に応じてユーザーまたは外部連絡先からの既知のフィールドをすべて含めます。 id。

カスタマーは要求エンドポイントを使用して実際のGDPR要求を作成します。彼らが使用する検索語が意図したデータ主題だけに影響を与えることを確実にするために、彼らは最初に主題の終点を使うべきです。複数の基準が知られている場合、それらは用語ごとに1つずつ、複数の要求を送信する必要があります。個人について既知のすべての識別子について、顧客がリクエストを送信することを強く推奨します。 たとえば、個人やデータ主体が顧客にリクエストを送信する場合、顧客は個人の名前、電話番号、電子メールアドレスを収集し、それぞれについてGDPRリクエストをGenesys Cloudに送信する必要があります。

Genesys Cloud GDPR APIレート制限

GDPRは欧州連合のデータ主体に適用されますが、Genesys Cloud GDPR APIはすべてのGenesys Cloud地域のお客様にご利用いただけます。ただし、GDPR APIには、ソリューションのパフォーマンスを維持するための厳密なレート制限があります。

あなたはGDPRデータ対象要求の例を提供することができ応答 ?

この例は、 Genesys Cloud GDPR API

要求

データ主体からデータを削除する有効なリクエストを受け取ります。データ主体は名前とメールアドレスを提供しました。

応答

  1. データサブジェクトが提供した2つの個別の識別子(名前とメールアドレス)を使用して、2つの個別のサブジェクトAPI呼び出しを行います。
  2. サブジェクトエンドポイントリクエストの結果を確認して、結果を明確にし、一致するサブジェクトを見つけます。データサブジェクトによって提供される識別子と相関できるサブジェクトのみが、一致するサブジェクトと見なされます。
  3. ステップ2で識別された一致するサブジェクトごとに個別のリクエストAPI呼び出しを行います。2つのサブジェクトエンドポイントコールが複数のオブジェクトを返した場合は、一致するサブジェクトごとに1つずつ、複数のリクエストAPI呼び出しを行ってください。そうでない場合、 応答は不完全になります。

Genesys Cloud GDPR APIを使用できない場合は?

Genesys Cloudは、GDPRリクエストに対応するセルフサービスオプションとして、GDPR APIを使用することを推奨します。 ただし、GDPR APIを使用できず、GDPRリクエストへの対応に支援が必要な場合は、お問い合わせ.

GDPRデータ主体の要求にGenesys Cloudが対応するのにどのくらいの時間がかかりますか?

アクセスまたはポータビリティ要求に対するGenesys Cloudによるすべての個人データの読み出しの典型的な応答時間は1~2日です。GDPRに基づく削除または「忘れる」リクエストについては、Genesys Cloudは、個人データの削除または要請による匿名化に14日を超える日数を要しません。

従業員が第17条の消去要求を提出した場合はどうなりますか?

Genesys製品を使用するには、Genesysソリューションを適切に機能させるために、従業員の個人データ(ユーザー名、勤務先電話番号、勤務先Eメール)の処理が必要です。 従業員に関連する個人データを保存せずに、 Genesys Cloudは、その機能の実行を停止できます。 したがって、現在の従業員については、顧客が追求する正当な利益のために、個人データの処理が必要です。 さらに、顧客は、他の規制要件を満たすために、従業員とのやり取りの記録を保持しなければならない場合があります。 この処理の合法性およびGenesys製品の設計に基づき、Genesysは、継続ユーザーに関連する個人データを消去することは推奨しません。

カスタマーは個人データを削除するか匿名にするかを指定できますか?

いいえ。一部のGenesys Cloudサービスは、要請に応じて個人データを削除します。他のサービスは、要求に応じて個人データを匿名にします。

GDPRに準拠した形でGenesys Cloudを使用する責任はありますか?

はい。個人データを保存する特定のサービスを誤って構成することができます。これにより、Genesys Cloudがそのデータを検索、アクセス、または削除できなくなります。

  • Architect: 個人データをフロー名、フローの説明、状態名、 タスク名、アクション名、VXML操作またはパラメーター名、またはプロンプトテキストから音声値に保存しないでください。
  • ディレクトリ:個人データを個人ステータス保存しないでください。
  • Webチャットの相互作用: 個人データを含むすべてのWeb チャット相互作用は、 連絡先プロファイル に保存 外部連絡先. 外部の連絡先に関係なく、 Web チャットやり取りに保存されている個人データを検索方法はありません。個人データが格納されている場合Web チャットのカスタム変数を介して、それはGDPR APIを介して見つけることができない場合を除きWeb チャット接触プロファイルに関連付けられています。

GenesysでのGDPRの役割

GDPRに関連する役割を持つGenesysの従業員:

  • 最高プライバシー責任者 - William Dummett
  • 欧州データプライバシー責任者 - Shahzad Muhammad Naveed Ahmad 
  • Genesys Cloudセキュリティ&コンプライアンス担当シニアディレクター – Eric Cohen CISSP、CIPM、CIPP/E