最終更新日:2年2021月XNUMX日
世界中のユーザーが研究、奨学金、イノベーション活動に従事するために使用するグローバルプラットフォームとして、 ORCID ユーザーに影響を与えるプライバシーとセキュリティの要件の変更に対処することに取り組んでいます。
15年2020月XNUMX日、EU法制度の最高裁判所である欧州司法裁判所(「ECJ」)は、 シュレムスII、EUの一般データ保護規則(「GDPR」)に基づいて合法であるとしてEU-USプライバシーシールドを無効にし、データを第三国に転送するための標準契約条項(SCC)の継続的な使用を支持しました。 見る Facebook Ireland and Schrems、ケースC-311 / 18 (欧州連合司法裁判所(「CJEU」)で係属中)[以下、「シュレムスII"]。 ECJはその決定において、EUから米国に転送された個人データが米国内に保管された後も適切な保護を維持しているかどうかについて懸念を表明しました。 この決定に照らして、 ORCID の影響のレビューを実施するために外部の弁護士を雇った シュレムスII その事業運営について。 以下はに関する追加情報です ORCIDEUから米国への継続的な国境を越えたデータ転送に対するのアプローチ。
か ORCID 現在、EUから米国に個人データを転送していますか?
はい、 ORCID ネットワークインフラストラクチャの一部として、EUから米国に個人データを転送します。 ライブレジストリソフトウェアは、米国内にあるサーバーでホストされています。
ORCID GDPRに基づいて個人データを転送するためにXNUMXつのメカニズムに依存しています。 最初、 ORCID EUから米国への個人データの転送について、登録時にユーザーの同意を取得します。 第二に、 ORCID 必要に応じて、メンバー組織と標準契約条項(SCC)を締結します。
ORCID EU、EEA、または英国に所在し、個人データをに転送するメンバーと標準契約条項を締結できます。 ORCID メンバーAPIを使用します。 あなたに連絡してください ORCID メンバーシップ契約への標準契約条項の追加について話し合うためのエンゲージメントチームの連絡先。
はい、 ORCID プライバシーとセキュリティの慣行に関連する多くのドキュメントをWebサイトに保持しています。 それらのドキュメントは次のとおりです。
個人情報保護方針 - ORCID
ORCID 信頼– ORCID
ORCID、GDPR、およびユーザーとしてのあなたの権利
ORCID TRUSTe認証書
はい、上記のセーフガードに加えて、 ORCID データ保護に対処するために、以下の補足措置が組み込まれています。
データ主体の管理。 ユーザーは、共有される情報に関連する高度な透明性と制御を提供されます ORCID および他のユーザーまたはメンバー組織。 ORCID 確立するために必要な個人データの量を最小限に抑えるための措置を講じています ORCID レコード、名とメールアドレスのみが必要です。 加えて、 ORCID そのツールとサービスにより、ユーザーが登録、iDに接続されているもの、およびユーザー情報にアクセスできるユーザーを制御できることが明確になります。
サードパーティプロセッサ契約。 ORCID データのプライバシーとセキュリティの規定を組み込んだプロセッサとの契約を締結します。 加工業者と契約を結ぶ前に、 ORCID プライバシーとセキュリティの要素に対処するデューデリジェンスを実施します。 このデューデリジェンスを実施するには、 ORCID まず、サードパーティプロバイダーが個人データにアクセスしたり、そのコピーを受信したりするかどうかを決定します。 答えが「はい」の場合、 ORCID GDPRの要件およびその他の該当するデータ保護要件に沿ったデータ処理契約の交渉を進めます。
データ暗号化。 ORCID 保存中および転送中のすべてのデータに対して合理的な暗号化手段を実装します。 さらに、すべてのバックアップは暗号化されます。
技術的および組織的措置。 ORCID データベースとインフラストラクチャの安全な管理をサポートするために、さまざまなセキュリティ制御を実装します。 これらのセキュリティ制御には、セキュリティパッチ管理が含まれます。 システムアクセス監視; 監査ログ; アクセス制御; 変更管理メカニズム。 さらに、 ORCID インシデント対応計画と、災害およびデータ回復プロセスを維持します。
はい、 ORCID 政府のデータ要求を受け取った場合、「状況に応じて必要と思われるデータのみ」を提供することをユーザーに明確にします。 見る プライバシーポリシー、秒。 6.4。 さらに ORCID 許可された場合、「受け取った政府のデータ要求と影響を受けるアカウントに関する情報を関連する記録保持者に迅速に提供する」ことを明確にしています。
それはありそうにない ORCID SchremsIIの決定で強調された米国の監視法の要求の対象となります。 以来 ORCID セクション50USC§1881(b)(4)で定義されている「電子通信サービスプロバイダー」ではなく、外国情報サービス法(「FISA」)の対象ではありません。 ORCID メンバー組織から研究者を識別するために使用されるオンラインレジストリを提供します。 そのため、FISAのセクション702は適用されません ORCID とそのデータ。
はい、 ORCID は、EU 内または EU 外のユーザーを区別しません。特定の地域では異なるプライバシー法が維持されている場合がありますが、 ORCID にあるプライバシーポリシーに従って、すべてのユーザーにプライバシー保護を提供するよう努めています。 https://info.orcid.org/privacy-policy/.