PureCloudおよびGDPRコンプライアンス


この記事を読んで、PureCloudがGDPRにどのように対処しているか、およびPureCloudのGDPR実装について組織が知っておくべきことを学んでください。GDPRの概要については、 GDPRコンプライアンス

GDPR教育

の 一般データ保護規制(GDPR) データプライバシー規制における重要な変化です。Genesys PureCloudはセキュリティとコンプライアンスチームのためにGDPRトレーニングにかなりの時間を費やしました。からのトレーニングと認定 国際プライバシー専門家協会(IAPP) 2017年初めに始まりました。GDPRの詳細については、 GDPRコンプライアンス

GDPRプロジェクト

PureCloudはGDPRプロジェクトに依頼しました。

  • 更新されたデータインベントリを完成させ、PureCloudがPIIを保存/処理/送信する場所をすべて特定します
  • カスタマーの要求を実行するためのカスタマーの要求を実装するために、カスタマーのためのGDPR APIを設計および実装します。 基本データ主体権
  • データ保護の影響評価を完了する

PureCloud GDPRに準拠していますか?

PureCloud法律および技術の専門家は、GDPRをレビューし、 国際プライバシー専門家協会(IAPP)。でPureCloudの役割のデータプロセッサとして、 PureCloud規制の要件を満たすための措置をとっています。

GDPRは第28条で、データ管理者は「適切な技術的および組織的措置を実施するために十分な保証を提供するプロセッサのみを使用すること」を要求しています。PureCloudはこれらの対策を実施しました。当社の専門家があなたとそれらについて議論することができます。詳細については、 お問い合わせ

PureCloud GDPR認定を受けていますか?

PureCloudなどのクラウドサービスプロバイダーに対するGDPR認定はありません。ただし、PureCloudは、以下のような他のデータ保護規制のために、管理上、物理上、および技術上の管理策について複数の独立したレビューを受けています HIPAA

データ処理者として、PureCloudは適切な技術的および組織的な対策を実行します。詳細については、 セキュリティとコンプライアンスについて

PureCloudはGDPR準拠をどこでサポートしていますか?

PureCloudは、アマゾンウェブサービス ( AWS )(AWS)地域のすべてのPureCloudでGDPR準拠をサポートします。

GDPRコンプライアンスを有効にする必要がありますか?

GDPRに準拠するためにPureCloud内で何かを有効にしたり設定したりする必要はありません。ただし、GDPRでは、あなたとPureCloudとの間でデータ処理契約(DPA)が必要になる場合があります。DPAは個人データの処理を対象としています。

AltocloudのGDPR要件はAltocloudですか?

組織が使用する予定がある場合 Altocloud ウェブサイトでの訪問者のアクティビティに関するデータを収集するには、GDPRコンプライアンスの手順に従う必要があります。詳細については、 AltocloudとGDPR

DPAまたはデータ処理契約とは何ですか?

GDPRは、第28条において、「加工業者による処理は、連合または加盟国の法律に基づく契約またはその他の法的行為によって管理されるものとし、これは、管理者に関して加工業者を拘束し、主題と期間処理の内容、処理の性質と目的、個人データの種類とデータ主体のカテゴリ、そして管理者の義務と権利

あなたがGDPRの対象となっていると思われる場合は、PureCloudでこれらの要件を満たすDPAについて話し合ってください。PureCloud DPAを受け取るには、 お問い合わせ

GDPRデータリクエストにどのように対応すればよいですか?

PureCloudは GDPR API 有利なセルフサービスなどのソリューションのためのPureCloud顧客はGDPR要求に応答します。GDPR APIは、PureCloud内の個人データへのアクセス、修正、または削除を要求するデータ主体への応答を可能にします。

PureCloud GDPRサービスはどのように機能しますか?

PureCloud GDPR APIについて知っておくべきこと。

GDPRサービスエンドポイント

GDPRサービスは2つのエンドポイントを識別します。 科目 特定の検索語が一致すること、および実際にGDPRを開始するための2番目のエンドポイント リクエスト。これは 被験者 エンドポイントは、名前の単一検索用語を受け入れます。, 住所, 電話番号, またはEメールアドレス, ソーシャルメディアハンドル, ユーザーIDから構成される0以上の一致する被験者のリストを返します。, 外部ContActid, コンタクトコンタクトの リクエスト エンドポイントは、第15条(アクセス)、第16条(修正)、および第17条(消去)の要求に応答するために、単一の検索語と要求タイプGet、Export、Update、またはDeleteを受け入れます。要求エンドポイントは、名前の単一検索用語を受け入れます。, 住所, 電話番号, Eメールアドレス, ソーシャルメディアハンドル, ユーザID, 外部接触ID, 指定されたGDPRリクエストタイプを開始するためのダイアラーコンタクトIDです。用語がidの場合、サービスはまずそれを対応するリソース(ユーザー、外部連絡先)に解決し、GDPR要求に既知のフィールドを含めます。

主題のエンドポイントは主題と検索語の一致を識別します

科目 エンドポイントは、4つのタイプの単一の検索語を受け入れます。名前、住所、電話番号、または電子メールアドレスを入力し、検索語に一致するすべての件名のリストを返します。件名は、userId、externalContactId、またはdialerContactIdのいずれかです。返されるリストには、0件の件名、単一の件名、または多数の件名を含めることができます。

PureCloudは、潜在的なGDPR要求ごとにサブジェクトエンドポイントを使用して、後続の要求エンドポイントがどの個人に影響を与えるかを識別することを推奨します。検索語に一致する主題を見つけることによって、PureCloudのカスタマーは、特定のGDPR要求による予期せぬ影響のリスクを減らすことができます。対象のエンドポイントは、特定の検索語が複数の対象に一致する場合に結果を明確にするためにも使用できます。具体的には、サブジェクトエンドポイントは特定の検索語に対してすべての一致するサブジェクトを返すので、APIユーザーは後続のGDPR要求に対してより正確な検索基準を見つけることができます。

要求エンドポイントは単一の検索語と特定の要求タイプを受け入れます

リクエスト エンドポイントは、任意のタイプ(名前、住所、電話番号、Eメール、ユーザーID、外部連絡先ID)の単一検索語と、Get、Export、Update、またはDeleteの単一要求タイプを受け入れ、作成および開始されたGDPR要求を返します。 。エクスポートは第15条(アクセス)要求に対応し、更新は第16条(修正)要求に対応し、削除は第17条(消去)要求に対応します。要求タイプが「削除」である間、いくつかのサービスは削除よりもむしろ個人データを匿名化するかもしれません。その要求の実際の処理は非同期的に行われます。指定された用語がユーザーIDまたは外部連絡先IDの場合、GDPRサービスはまずそのIDを対応するユーザーまたは外部連絡先にそれぞれ解決し、要求に応じてユーザーまたは外部連絡先からの既知のフィールドをすべて含めます。 id。

カスタマーは要求エンドポイントを使用して実際のGDPR要求を作成します。彼らが使用する検索語が意図したデータ主題だけに影響を与えることを確実にするために、彼らは最初に主題の終点を使うべきです。複数の基準が知られている場合、それらは用語ごとに1つずつ、複数の要求を送信する必要があります。カスタマーには、個人が知っているすべての識別子に対する要求を送信することを強くお勧めします。たとえば、個人またはデータ主体がカスタマーに要求を送信するとき、カスタマーは個人の名前、電話番号、およびEメールアドレスを収集し、それぞれについてGDPR要求をPureCloudに送信する必要があります。

PureCloud GDPR APIのレート制限

GDPRは欧州連合のデータ主体に適用されますが、PureCloud GDPR APIはすべてのPureCloud地域のカスタマーにご利用いただけます。ただし、GDPR APIには、ソリューションのパフォーマンスを維持するための厳密なレート制限があります。

あなたはGDPRデータ対象要求の例を提供することができ応答 ?

この例は、GDPRデータ主体への効果的な応答を示しています PureCloud GDPR API

要求

データ主体からデータを削除する有効なリクエストを受け取ります。データ主体は名前とメールアドレスを提供しました。

応答

  1. データサブジェクトが提供した2つの個別の識別子(名前とメールアドレス)を使用して、2つの個別のサブジェクトAPI呼び出しを行います。
  2. サブジェクトエンドポイントリクエストの結果を確認して、結果を明確にし、一致するサブジェクトを見つけます。データサブジェクトによって提供される識別子と相関できるサブジェクトのみが、一致するサブジェクトと見なされます。
  3. ステップ2で識別された一致するサブジェクトごとに個別のリクエストAPI呼び出しを行います。2つのサブジェクトエンドポイントコールが複数のオブジェクトを返した場合は、一致するサブジェクトごとに1つずつ、複数のリクエストAPI呼び出しを行ってください。そうでない場合、 応答は不完全になります。

PureCloud GDPR APIを使用できない場合はPureCloudなりますか?

PureCloudセルフサービスとしてGDPRのAPIを使用することをお勧めしますオプション GDPR要求に応答するため。ただし、GDPR APIを使用できず、GDPRリクエストへの対応が必要な場合は、 お問い合わせ

GDPRデータ件名要求に応答するのにPureCloudはどれぐらいかかりますか。

PureCloudがアクセスまたはポータビリティの要求に応答してすべての個人データを取得するための一般的な応答時間は1〜2日です。GDPRに基づく削除または「忘れた」要求については、PureCloudが個人データを削除したり、要求に応じて匿名にするのに14日以内に必要です。

従業員が第17条の消去要求を提出した場合はどうなりますか?

Genesys製品を使用するには、Genesysソリューションを正しく機能させるために従業員の個人データ(ユーザー名、勤務先電話番号、勤務先Eメール)を処理する必要があります。この個人情報を従業員に関連付けて保存しないと、 PureCloudは機能を実行できなくなる可能性があります。 したがって、現在の従業員にとっては、カスタマーが追求する正当な利益のためには、個人データの処理が必要です。さらに、他の規制要件を満たすために、カスタマーは従業員とのやり取り記録を保持することを要求される場合があります。この処理の合法性およびGenesys製品の設計に基づいて、Genesysは継続中のユーザーに関連付けられている個人データを消去することをお勧めしません。

カスタマーは個人データを削除するか匿名にするかを指定できますか?

いいえ。PureCloudサービスの中には、要求に応じて個人データを削除するものがあります。他のサービスは、要求に応じて個人データを匿名にします。

GDPRに準拠した方法でPureCloudを使用することについて何か責任がありますか?

はい。個人データを保存する特定のサービスを誤って構成することができます。これにより、PureCloudがそのデータを検索、アクセス、または削除することを防ぎます。

Architectを使用するときは、個人データをフロー名、フローの説明、状態名、タスク名、アクション名、VXML操作またはパラメータ名、またはプロンプトテキストからスピーチ値に格納しないでください。

ディレクトリを使用するときは、個人データを個人ステータスで保存しないでください。

GenesysでのGDPRの役割

GDPRに関連する役割を持つGenesysの従業員:

  • 最高プライバシー責任者 - William Dummett
  • 欧州データプライバシー責任者 - Shahzad Muhammad Naveed Ahmad 
  • PureCloudセキュリティ&コンプライアンス担当シニアディレクター - Eric Cohen CISSP、CIPM、CIPP / E