チームメンバープライバシーポリシー
最終更新日:2025年12月12日
チームメンバープライバシーポリシー
このチームメンバープライバシーポリシー(「プライバシーポリシー」)は、従業員、コンサルタント、個人契約者、派遣社員(「チームメンバー」)について収集する可能性のある個人データの種類とその使用方法を説明しています。
詳細を読む前に、GitLabが正当な利益を法的根拠として処理する場合に、お客様の個人データの処理に異議を申し立てる権利があることをご注意ください。この権利については以下で詳しく説明しており、[email protected]に連絡することで行使できます。
このプライバシーポリシーはグローバルなデータ処理活動の最も広い範囲を説明することを意図していますが、それらの処理活動は各法域の法律の制限に基づいていくつかの法域では制限される場合があります。例えば、ある国の法律は収集できる個人データの種類またはその処理方法を制限する場合があります。そのような場合には、地域の法律要件を反映するよう社内ポリシーと慣行を調整します。
個人データを収集するのは誰ですか(データ管理者は誰ですか)?
このプライバシーポリシーの下で収集される個人データについて、管理者はあなたを雇用しているか、雇用契約またはサービス契約の当事者であるGitLabエンティティです。個人データの管理者として機能するGitLabエンティティ(総称して「GitLab」)のリストはこちらでご確認いただけます。
Professional Employment Organization(「PEO」)に雇用されている場合、お客様の個人データはこのプライバシーポリシーと、雇用主代行またはエージェンシー代行としてPEOが公開する別個のプライバシーポリシーの両方に従って処理される場合があります。
GitLabエンティティは、他のGitLabエンティティおよび/または管理者のために管理者または処理者として機能する場合があります。さらに、GitLab Inc.、その関連エンティティ、子会社はGitLabのITインフラとその使用を調和させるためにグループ全体の情報技術(IT)システムに参加しています。これらのシステムはすべてのチームメンバーに関する個人データを保持する場合があります。これらのシステムが会社内のPeople Groupプロセスを改善・調和させる限りにおいて、米国のGitLab Inc.がこれらのシステムに責任を持ちます。
他のGitLabプライバシーポリシーの適用
GitLabのウェブサイト(例:about.gitlab.com)には、使用に適用される別個のプライバシーポリシーと利用規約があります。採用プロセスの一環として個人データを収集、保存、処理する場合、採用プライバシーポリシーがその処理に適用されます。
さらに、一部のサードパーティ製品とサービスには、使用に適用される別個のプライバシーポリシーがある場合があります。これらのウェブサイトまたは製品・サービスの使用に関連して収集される個人データはこのプライバシーポリシーの対象外です。このプライバシーポリシーがあなたに適用されるかどうかについて不明な点がある場合は、[email protected]でプライバシーチームにお問い合わせください。
サードパーティサービス
場合によっては、GitLabが協力しているまたはGitLabにサービスを提供しているサードパーティに個人データを提供する場合があります。これにはテクスタックアプリケーションに記載されている当事者またはシステムが含まれます。
テクスタックはGitLabで使用されるチームメンバーおよび顧客のサードパーティアプリケーションの正確かつ最新の開示を確保するために定期的に更新されます。このプライバシーポリシーは、そのようなアプリケーションがお客様のデータの独立した管理者として法的に指定されているエンティティによって提供されていない場合(例:Modern Health)に限り、チームメンバーアプリケーションに関連するものとして特定されたアプリケーションに適用されます。
一部のサードパーティウェブサイトとアプリケーションの使用は、私たちの管理下になく、このプライバシーポリシーの対象外となる別個の利用規約とプライバシーポリシーによって管理される場合があります。個人データの修正、削除、移送、またはアクセスの提供を希望する場合のプライバシー慣行に関するご質問については、各サードパーティにお問い合わせください。雇用に関連する個人データの権利には例外があることをご理解ください。例えば、サードパーティは法律によって特定の雇用情報を保持することを求められる場合があります(例:E-Trade)。
個人データとは何ですか?
このプライバシーポリシーの目的における個人データとは、(i)個人を直接かつ明確に識別する、または(ii)他の情報と組み合わせて個人を間接的に識別するために使用できる情報を意味します。個人識別子を削除することによって不可逆的に非識別化された匿名化または集計された個人データは、法的に個人データであることをやめ、このプライバシーポリシーの対象ではなくなります。
個人データの例:
- 個人の氏名
- 従業員ID番号
- 自宅の住所
- 自宅の電話番号
- 個人のメールアドレス
- 家族の名前
- 生年月日
機密個人データとは何ですか?
機密個人データは、関係する個人にとってより機密性の高い性質を持つ可能性のある、法定で定義された個人データのサブセットです。
機密個人データの例:
- 人種と民族
- 性的指向または性生活
- 政治的または宗教的信条
- 健康または医療情報
- 犯罪記録
- 遺伝および生体認証情報
どのような個人データおよび機密個人データを収集していますか?
GitLabは、直接または当社のサービスプロバイダーを通じて、適用法に従ってあなたに関する以下のカテゴリの個人データを収集・維持します。
- 連絡先情報:名前、メール、電話番号、住所、緊急連絡先情報、ソーシャルメディアハンドルなど。
- 個人識別子:写真、性別、生年月日、在住地、性別、性別アイデンティティ、従業員番号、パスポート情報、ビザ情報、運転免許証、退役軍人ステータス、身分証明書など。
- さらに、(地域の法律で許可される場合)人種、民族、性的指向、障害ステータスなどの機密個人データとみなされる個人識別子を収集する場合があります。
- 世帯データ:緊急連絡先情報、婚姻状況、家族のメンバーと扶養家族の名前、家族のメンバーと扶養家族の連絡先情報など。
- システム管理データ:ユーザー名、パスワード、ログインと認証記録、デバイスの場所、ネットワーク活動データ、IPアドレス、アプリケーション使用データ、ブラウザとオペレーティングシステムデータ、閲覧履歴(地域の法律で許可される場合)、ダウンロード履歴、関連するメタデータなど。
- 通信データ:メール、会議アジェンダ、ボイスメール、ビデオ会議の録画、カレンダーイベント、勤務スケジュール、アクセスリクエスト、ネットワーク、アプリケーション、デバイス、通信機器を使用して専門的またはジョブ関連の目的で作成、保存、送信されたその他の通信など。
- 業務データ:アンケートの回答、エンゲージメントメトリクス、業務支援リクエスト、人員数、離職率メトリクスなど。
- 雇用資格:職歴、雇用契約、職種、履歴書、語学能力、専門資格、求人申請書、面接ノート、リファレンス、バックグラウンドチェック、トレーニング記録、本人確認、就労許可、政府識別番号など。
- パフォーマンスおよびチームメンバー関係データ:パフォーマンスレビュー、パフォーマンスメトリクス、プロジェクト貢献、改善計画、昇進文書、クレーム文書、成長計画、会議議事録、苦情、調査記録、懲戒記録、その他の人事記録など。
- 給与と福利厚生データ:給与、ボーナス、ストックプラン報酬、報酬ベンチマーキング、銀行詳細、病気または家族休暇、有給休暇、退職金制度、保険ポリシー、福利厚生加入、福利厚生選択、受益者選択、納税者情報など。
- 規制コンプライアンスデータ:ポリシー承認、インサイダーステータス、必須トレーニング記録、機会均等メトリクス、法律準拠のために必要なその他の情報など。
- 職場安全データ:犯罪記録(地域の法律で許可される場合)、支援リクエスト、フィッシングまたはマルウェア調査、その他のセキュリティ関連クレームなど。
データはどのように収集されますか?
主として、採用プロセス中などの雇用の通常の過程でお客様から直接個人データを収集します。一般データ保護規則(「GDPR」)の対象となる法域のチームメンバーについては、税務報告と源泉徴収義務、社会保障と福利厚生管理、雇用適格性の確認、健康と安全のコンプライアンス要件に関連する個人データなど、雇用契約を履行するか地域の規制を遵守するために特定の個人データを収集することが求められます。この個人データを収集できない場合、地域の規制または雇用契約に準拠できず、ITシステムへのアクセスの制限、会社プログラムやキャリア開発機会への参加不能、給与または福利厚生管理の遅延、職場での業務支援やサポートを提供する能力の低下につながる可能性があります。場合によっては、必要な個人データカテゴリを収集できないことが雇用関係の終了につながる可能性があります。
特定の状況では、サードパーティを含む間接的な方法でお客様から個人データを収集する場合があります。サードパーティからお客様の個人データを収集する場合、適用法で必要な場合にお客様の同意に基づいて行います。さらに、お客様が私たちによって利用可能にされたサードパーティのチームメンバーサービスに個人データを自発的に送信した場合や、このような個人データの収集が適用法または規制要件によって必要な場合にも、サードパーティからお客様の個人データを収集する場合があります。
以下の表はサードパーティから取得する可能性のある個人データのカテゴリを概説しています。
| 個人データのカテゴリ | サードパーティソース |
|---|---|
| システム管理データ | • 企業のセキュリティおよびIT管理者 • アプリケーションプロバイダー |
| 通信データ | • あなたのマネージャー • チームメンバー • 顧客 • アプリケーションプロバイダー • 企業のセキュリティおよびIT管理者 |
| 雇用資格 | • 前職の雇用主 • 教育機関 • 専門的なリファレンスと紹介 • アプリケーションプロバイダー • 信用調査機関 • 政府機関 |
| パフォーマンスおよびチームメンバー関係データ | • あなたのマネージャー • チームメンバー • 顧客 • アプリケーションプロバイダー • 企業のセキュリティおよびIT管理者 • 販売レポート • 前職の雇用主 • 教育機関 • 専門的なリファレンスと紹介 |
| 給与と福利厚生データ | • 家族のメンバーまたは受益者指定者 • 政府機関 • アプリケーションプロバイダー |
| 職場安全データ | • 企業のセキュリティおよびIT管理者 • アプリケーションプロバイダー • セキュリティ研究者 • 政府機関 |
家族またはその他のサードパーティに関する情報をどのように収集しますか?
前述のように、チームメンバーの福利厚生を管理したり、緊急時に最近親者に連絡するために、扶養家族やその他の家族のメンバーに関する個人データを提供することが求められる場合があります。このようなサードパーティの個人データを私たちに提供する前に、まず提供を意図するデータと私たちが実施する処理についてこれらのサードパーティに通知する必要があります。これらのサードパーティがデータが私たちと共有される理由についてより多くの情報を知りたい場合は、このプライバシーポリシーに案内するか、[email protected]の連絡先情報を提供してください。
個人データをどのように処理・使用しますか?
以下の表に記載されているさまざまな目的のためにシステムで個人データを収集・処理する場合があります。GDPRの対象となるまたは個人データの処理を法定で列挙された法的根拠に帰属させることを求める法域のチームメンバーについても、その情報は以下の表に記載されています。
これらの法的根拠には以下が含まれます。
- GitLabが当事者である雇用契約またはその他の有効な契約の履行
- GitLabが遵守しなければならない法的義務
- 適用法で必要な場合のチームメンバーからの同意
- チームメンバーの利益または基本的権利と自由によって上書きされないGitLabの正当なビジネス上の利益
適用可能な場合、現地の法律および適用可能な団体交渉協定、労使協定、または従業員代表との合意に従って個人データを処理します。
| 処理の目的 | 個人データのカテゴリ | 法的根拠 |
|---|---|---|
| 本人確認 | • 連絡先情報 • 個人識別子 | • 雇用契約の履行 • 法的義務 |
| 報酬と福利厚生の管理 | • 連絡先情報 • 個人識別子 • 世帯データ • 雇用資格 • パフォーマンスおよびチームメンバー関係データ • 給与と福利厚生データ | • 雇用契約の履行 • 法的義務 |
| 職業上の健康と職場での業務支援 | • 連絡先情報 • 個人識別子 • 業務データ • 給与と福利厚生データ • 規制とコンプライアンスデータ | • 雇用契約の履行 • 法的義務 • 同意 |
| ビジネスアナリティクスと人員計画 | • 連絡先情報 • 業務データ • パフォーマンスおよびチームメンバー関係データ | • 雇用契約の履行 • 法的義務 • 正当な利益 • 同意 |
| 販売管理と戦略 | • 連絡先情報 • 通信データ • パフォーマンスおよびチームメンバー関係データ | • 雇用契約の履行 • 正当な利益 • 同意 |
| 社内コミュニケーションの促進 | • 連絡先情報 • 個人識別子 • システム管理データ • 通信データ • 雇用資格 | • 雇用契約の履行 • 正当な利益 |
| 有給休暇、病欠、その他の欠勤の計算 | • 連絡先情報 • 個人識別子 • 世帯データ • 給与と福利厚生データ • 規制とコンプライアンスデータ | • 雇用契約の履行 • 法的義務 |
| エンタープライズアプリケーションのセキュリティとアクセス | • システム管理データ • 通信データ • 職場安全データ | • 雇用契約の履行 • 法的義務 • 正当な利益 • 同意 |
| 人事ファイル管理 | • 連絡先情報 • 個人識別子 • 通信データ • 雇用資格 • パフォーマンスおよびチームメンバー関係データ • 給与と福利厚生データ • 規制とコンプライアンスデータ | • 雇用契約の履行 • 法的義務 |
| トレーニングと学習機会 | • 連絡先情報 • パフォーマンスおよびチームメンバー関係データ • 規制とコンプライアンスデータ | • 法的義務 • 正当な利益 |
| 税務報告と源泉徴収義務 | • 給与と福利厚生データ • 規制とコンプライアンスデータ | • 法的義務 |
| スケジュールとカレンダー管理 | • 連絡先情報 • 通信データ | • 雇用契約の履行 • 正当な利益 |
| 報酬ベンチマーキング | • 個人識別子 • 業務データ • 雇用資格 • 給与と福利厚生データ • 規制とコンプライアンスデータ | • 法的義務 • 正当な利益 |
| 会社アンケート | • 個人識別子 • 業務データ | • 正当な利益 |
| パフォーマンス管理、社内調査、懲戒手続き | • 連絡先情報 • 雇用資格 • パフォーマンスおよびチームメンバー関係データ • 給与と福利厚生データ • 職場安全データ | • 雇用契約の履行 • 法的義務 • 正当な利益 |
| 会社のハンドブックとポリシーの更新 | • 連絡先情報 • 通信データ • システム管理データ • 規制とコンプライアンスデータ | • 法的義務 • 正当な利益 |
| イベントの調整 | • 連絡先情報 • 個人識別子 • 通信データ | • 雇用契約の履行 • 正当な利益 • 同意 |
| 社会保障と退職給付の拠出 | • 連絡先情報 • 個人識別子 • 世帯データ • 給与と福利厚生データ | • 雇用契約の履行 • 法的義務 |
| 昇進と成長計画 | • 通信データ • パフォーマンスおよびチームメンバー関係データ | • 正当な利益 • 同意 |
| チームメンバーの安全、旅行支援、災害計画 | • 連絡先情報 • 個人識別子 • 世帯データ • 通信データ • 職場安全データ | • 法的義務 • 正当な利益 |
| 多様性プログラムと機会均等モニタリング | • 個人識別子 • 業務データ • 規制コンプライアンスデータ | • 法的義務 • 同意 |
| IT管理、ネットワークモニタリング、デバイスバックアップ、アプリケーションテスト | • 通信データ • システム管理データ • 職場安全データ | • 法的義務 • 正当な利益 • 同意 |
| 公的機関からの要請 | • 連絡先情報 • 個人識別子 • 世帯データ • 通信データ • システム管理データ • 雇用資格 • パフォーマンスおよびチームメンバー関係データ • 給与と福利厚生データ • 規制とコンプライアンスデータ • 職場安全データ | • 法的義務 |
| 知的財産と作業成果物の保護 | • システム管理データ • 規制とコンプライアンスデータ • 職場安全データ | • 法的義務 • 正当な利益 |
| 訴訟と法的クレーム | • 連絡先情報 • 個人識別子 • 世帯データ • 通信データ • システム管理データ • 雇用資格 • パフォーマンスおよびチームメンバー関係データ • 給与と福利厚生データ • 規制とコンプライアンスデータ • 職場安全データ | • 法的義務 • 正当な利益 |
| マーケティングと宣伝資料 | • 連絡先情報 • 個人識別子 • 雇用資格 | • 正当な利益 • 同意 |
| ソーシャルメディアコンテンツと外部コミュニケーション | • 連絡先情報 • 個人識別子 • 雇用資格 | • 正当な利益 • 同意 |
| AIの活用と効率性レポート | • システム管理データ | • 正当な利益 |
機密個人データの直接収集など、個人データの処理に同意が法的根拠となる場合は、[email protected]のGitLabのPeople Operationsチームと[email protected]のプライバシーチームに連絡することでいつでも同意を撤回できます。さらに、多様性や障害メトリクスなどの機密個人データ要素に基づくレポートには、匿名化または集計されたデータのみが含まれます。
同意を撤回したがGitLabが機密個人データを保持する場合、雇用に関連する法的義務への準拠に必要な処理など、別の適切な法的根拠がある場合にのみその機密個人データの処理を継続します。
Workdayへの機密個人データの入力など、システムへの機密個人データの自発的な提出は、機密個人データを処理する明示的な同意の表明として受け取られます。
GitLabによるチームメンバーのモニタリング方法
法律で禁止されない限り、設備、デバイス、コンピュータ、ネットワーク、アプリケーション、ソフトウェア、および類似の資産とリソースの使用を監視します。このモニタリングにより、個人データが収集される可能性があります(収集する個人データおよび機密個人データは何ですか? を参照)。地域の要件に完全に準拠し、禁止されている場合を除き、チームメンバーはGitLabが所有または発行したデバイスに保存された通信またはファイルに対してプライバシーを期待すべきではありません。会社のデバイスのモニタリングは、正当な利益に基づいて、または必要な場合はお客様の同意に基づいて行われます。
GitLabでの雇用に関連する個人デバイスの使用の詳細については、社内許容使用ポリシーのBring-Your-Own-Deviceセクションをご参照ください。
国際データ転送
GitLabはグローバルな企業であるため、個人データはチームメンバーの居住国または地域で収集され、欧州経済領域外の国など、同等レベルのデータ保護を提供しない可能性のある別の国または地域に転送される場合があります。これらのデータ転送は雇用の文脈でサービスを提供し、グローバルビジネスを運営するために不可欠です。
お客様の情報は以下の国に転送またはアクセスされる場合があります。
- GitLab Inc.が本社を置く米国
- GitLabが関連エンティティまたは事業を持つ国
- 当社のサービスプロバイダーが業務を行う国
- データセンターを維持している国
欧州経済領域、英国、またはデータ転送制限のあるその他の法域からお客様の個人データを転送する場合、お客様のデータに適切な保護を提供するために設計された特定の法的転送メカニズムを使用します。例えば:
- 適切性決定(GDPR第45条):欧州委員会が適切な保護を提供していると決定した国への転送、以下を含む:
- カナダ(委員会決定2002/2/EC)
- イスラエル(委員会決定2011/61/EU)
- 日本(委員会決定2019/419)
- 大韓民国(委員会決定2022/254)
- 英国(委員会決定2021/1772)
- 標準契約条項(GDPR第46.2条):適切性決定のない国(例:米国、オーストラリア、シンガポール)への転送を可能にする欧州委員会承認のモデル契約、以下を含む:
- GitLab関連エンティティ間および独立した管理者として機能するサードパーティへの転送に対するモジュール1(管理者から管理者へ);および
- GitLab関連エンティティ間および当社に代わってデータを処理するサービスプロバイダーへの転送に対するモジュール2(管理者から処理者へ)。
- 英国国際データ転送協定:適切性決定のない国(例:米国、オーストラリア、シンガポール)への英国ベースの転送を可能にする欧州標準契約条項への承認済み改訂協定。
さらに、GitLabは適用データ保護法で必要に応じてお客様の個人データを保護するための追加措置またはセーフガードが整備されていることを確保します。特定の転送メカニズムを含む国際転送の記録を維持しています。リクエストに応じて、特定の個人データ転送に使用した具体的な保護についての詳細情報を提供できます。
GitLabは収集後に個人データをどのように取り扱いますか?
個人データの共有
以下の表は、個人データを共有する受信者のカテゴリ、共有される個人データのカテゴリ、共有の目的に関する詳細情報を提供しています。
| 受信者カテゴリ | 共有される個人データのカテゴリ | 共有の目的 |
|---|---|---|
| People Team Applications Providers | • 連絡先情報 • 個人識別子 • 世帯データ • システム管理データ • 通信データ • 業務データ • 雇用資格 • パフォーマンスおよびチームメンバー関係データ • 給与と福利厚生データ • 規制とコンプライアンスデータ • 職場安全データ | • 本人確認 • 職業上の健康と職場での業務支援 • ビジネスアナリティクスと人員計画 • 社内コミュニケーションの促進 • 有給休暇、病欠、その他の欠勤の計算 • 人事ファイル管理 • 報酬ベンチマーキング • 会社アンケート • パフォーマンス管理、社内調査、懲戒手続き • 会社のハンドブックとポリシーの更新 • 昇進と成長計画 • チームメンバーの安全、旅行支援、災害計画 • 多様性プログラムと機会均等モニタリング |
| 給与アプリケーションと福利厚生プロバイダー | • 連絡先情報 • 個人識別子 • 世帯データ • 業務データ • 給与と福利厚生データ | • 報酬と福利厚生の管理 • 職業上の健康と職場での業務支援 • 有給休暇、病欠、その他の欠勤の計算 • 税務報告と源泉徴収義務 • 社会保障と退職給付の拠出 |
| セキュリティとアクセス管理アプリケーションプロバイダー | • システム管理データ • 通信データ • 職場安全データ | • 社内コミュニケーションの促進 • エンタープライズアプリケーションのセキュリティとアクセス • IT管理、ネットワークモニタリング、デバイスバックアップ、アプリケーションテスト • 知的財産と作業成果物の保護 |
| トレーニングと学習アプリケーションプロバイダー | • 連絡先情報 • パフォーマンスおよびチームメンバー関係データ • 規制とコンプライアンスデータ | • トレーニングと学習機会 • スケジュールとカレンダー管理 • 会社のハンドブックとポリシーの更新 • イベントの調整 |
| 生産性ツールとAI LLMモデルプロバイダー | • 連絡先情報 • システム管理データ • 通信データ | • 販売管理と戦略 • 社内コミュニケーションの促進 • トレーニングと学習機会 • スケジュールとカレンダー管理 • パフォーマンス管理、社内調査、懲戒手続き • チームメンバーの安全、旅行支援、災害計画 • マーケティングと宣伝資料 • ソーシャルメディアコンテンツと外部コミュニケーション • AIの活用と効率性レポート |
| クラウドホスティングとデータウェアハウスプロバイダー | • 連絡先情報 • システム管理データ • 通信データ | • ビジネスアナリティクスと人員計画 • 社内コミュニケーションの促進 • 人事ファイル管理 • 報酬ベンチマーキング • パフォーマンス管理、社内調査、懲戒手続き • 会社のハンドブックとポリシーの更新 • 昇進と成長計画 • 多様性プログラムと機会均等モニタリング • IT管理、ネットワークモニタリング、デバイスバックアップ、アプリケーションテスト • 公的機関からの要請 • 訴訟と法的クレーム • マーケティングと宣伝資料 • ソーシャルメディアコンテンツと外部コミュニケーション • AIの活用と効率性レポート |
| 通信とビデオ会議プロバイダー | • 連絡先情報 • システム管理データ • 通信データ | • 販売管理と戦略 • 社内コミュニケーションの促進 • トレーニングと学習機会 • スケジュールとカレンダー管理 • イベントの調整 • 昇進と成長計画 • チームメンバーの安全、旅行支援、災害計画 • マーケティングと宣伝資料 • ソーシャルメディアコンテンツと外部コミュニケーション |
| 政府機関と法執行機関 | • 連絡先情報 • 個人識別子 • 世帯データ • システム管理データ • 通信データ • 業務データ • 雇用資格 • パフォーマンスおよびチームメンバー関係データ • 給与と福利厚生データ • 規制とコンプライアンスデータ • 職場安全データ | • 職業上の健康と職場での業務支援 • ビジネスアナリティクスと人員計画 • 販売管理と戦略 • 有給休暇、病欠、その他の欠勤の計算 • 税務報告と源泉徴収義務 • 報酬ベンチマーキング • 社会保障と退職給付の拠出 • チームメンバーの安全、旅行支援、災害計画 • 多様性プログラムと機会均等モニタリング • 公的機関からの要請 |
| 監査人 | • 連絡先情報 • 個人識別子 • 雇用資格 • 給与と福利厚生データ • 規制とコンプライアンスデータ • 職場安全データ | • 職業上の健康と職場での業務支援 • ビジネスアナリティクスと人員計画 • 販売管理と戦略 • 有給休暇、病欠、その他の欠勤の計算 • エンタープライズアプリケーションのセキュリティとアクセス • 税務報告と源泉徴収義務 • 報酬ベンチマーキング • 会社のハンドブックとポリシーの更新 • 社会保障と退職給付の拠出 • 多様性プログラムと機会均等モニタリング • IT管理、ネットワークモニタリング、デバイスバックアップ、アプリケーションテスト • 公的機関からの要請 |
| 金融機関、会計士、投資家 | • 連絡先情報 • 個人識別子 • 雇用資格 • 給与と福利厚生データ | • ビジネスアナリティクスと人員計画 • 販売管理と戦略 • 税務報告と源泉徴収義務 • 報酬ベンチマーキング • 社会保障と退職給付の拠出 • チームメンバーの安全、旅行支援、災害計画 • 公的機関からの要請 |
| 法律事務所と専門的アドバイザー | • 連絡先情報 • 個人識別子 • 雇用資格 • パフォーマンスおよびチームメンバー関係データ • 給与と福利厚生データ • 規制とコンプライアンスデータ • 職場安全データ | • 職業上の健康と職場での業務支援 • ビジネスアナリティクスと人員計画 • 販売管理と戦略 • 有給休暇、病欠、その他の欠勤の計算 • 税務報告と源泉徴収義務 • パフォーマンス管理、社内調査、懲戒手続き • 昇進と成長計画 • チームメンバーの安全、旅行支援、災害計画 • 多様性プログラムと機会均等モニタリング • 公的機関からの要請 • 知的財産と作業成果物の保護 • 訴訟と法的クレーム |
| イベントコーディネーターとホスト | • 連絡先情報 • 個人識別子 • 雇用資格 | • 職業上の健康と職場での業務支援 • トレーニングと学習機会 • イベントの調整 • チームメンバーの安全、旅行支援、災害計画 |
| 宿泊と旅行プロバイダー | • 連絡先情報 • 個人識別子 • 雇用資格 | • 職業上の健康と職場での業務支援 • トレーニングと学習機会 • イベントの調整 • チームメンバーの安全、旅行支援、災害計画 |
| 潜在的な合併・買収における関係エンティティ | • 連絡先情報 • 個人識別子 • 雇用資格 • 給与と福利厚生データ | • ビジネスアナリティクスと人員計画 • 販売管理と戦略 • 有給休暇、病欠、その他の欠勤の計算 • 税務報告と源泉徴収義務 • 報酬ベンチマーキング • 社会保障と退職給付の拠出 • 公的機関からの要請 |
| GitLab関連エンティティ | • 連絡先情報 • 個人識別子 • 世帯データ • システム管理データ • 通信データ • 業務データ • 雇用資格 • パフォーマンスおよびチームメンバー関係データ • 給与と福利厚生データ • 規制とコンプライアンスデータ • 職場安全データ | • 職業上の健康と職場での業務支援 • ビジネスアナリティクスと人員計画 • 販売管理と戦略 • 有給休暇、病欠、その他の欠勤の計算 • 人事ファイル管理 • 税務報告と源泉徴収義務 • 報酬ベンチマーキング • パフォーマンス管理、社内調査、懲戒手続き • 社会保障と退職給付の拠出 • 昇進と成長計画 • 多様性プログラムと機会均等モニタリング • 公的機関からの要請 |
カリフォルニア在住のチームメンバーへ
カリフォルニア州プライバシー権利法は、個人データの販売の定義を広く解釈し、チームメンバーの個人データをサービスプロバイダー契約を締結せずにサードパーティのビジネスに開示することを含みます。これが発生した場合、チームメンバーにデータ販売のオプトアウト権が提供される必要があります。
GitLabは、業界の報酬と人員メトリクスのベンチマーキングに関する情報を受け取るために、特定のベンダーにチームメンバーの個人的な詳細と報酬データを送信します。これらのベンダーには、Radford、Comptryx、Compass、および他の可能性のあるベンチマーキング調査ベンダーが含まれており、それぞれがベンチマーキングデータを最新の状態に保つことを含む独自の目的でこのデータを保持します。このデータは多くの場合集計形式で共有されますが、カリフォルニア州法ではデータ販売とみなされる場合があります。カリフォルニア州在住で、これらのベンチマーキングベンダーとの報酬データの共有を望まない場合は、[email protected]のPeople Operationsチームと[email protected]のTotal Rewardsチームの両方にメールをお送りください。また、[email protected]のプライバシーチームに連絡して、このデータ共有のオプトアウト権について詳しく知ることもできます。
個人データの保管
GitLabはチームメンバーの記録を以下の場所に保管します:Workday、Greenhouse、給与プロバイダー(HR Savvy、SD Worx、iiPay、ADP、CloudPay、Papaya Global)、およびその他の必要なシステム(Google Workspace、Docusignなど)。チームメンバーはWorkday、適切な給与プロバイダー、Okta経由でプロビジョニングされたその他のチームメンバー向けソフトウェアへのセルフサービスアクセスができます。GitLabはまた、バックグラウンドチェックや雇用適格性確認などの採用前審査に関連する情報を実施・保管するためにFirst AdvantageとLawLogixと契約しています。利用可能な場合、それらの会社に保管された文書と情報はあなたと共有される場合があります。
最後に、GitLabがチームメンバーを採用するためにGX、Remote、CXCなどのPEOを利用する場合、雇用主代行またはエージェンシー代行として(該当する場合)の適用PEOがそれぞれの採用の人事ファイルを保持します。個人データへのアクセスは、正当かつ合法的な根拠がある場合にのみ許可され、適切な担当者にのみアクセスが付与されます。いかなる状況においても、会社外部のいかなる人物からの機密チームメンバーデータのリクエストは、適用地域の法律に従って承認される必要があります。
収集された個人データの保持
記録保持ポリシーに定義されているように、「記録」とは重要なビジネス上の価値を含む取引の過程でGitLabエンティティまたは個人によって作成または受領された文書です。多くの場合、チームメンバーの医療記録と人事記録はGitLabによって所定の期間保持される必要があります。
適用法または規制要件によって別段の許可または要求がある場合を除き、個人データが収集された目的を果たすために必要と考えられる期間のみ個人データを保持します。
人事ファイルのみのGitLabの保持基準の詳細については、チームメンバー人事ファイル保持ポリシーをご参照ください。
収集された個人データのセキュリティ
収集された個人データのセキュリティを保護することに尽力しており、個人データを不正なまたは不適切なアクセスや使用から保護するために合理的な物理的、電子的、行政的なセーフガードを講じています。例えば、People Operations Groupは企業システムへのアクセスをプロビジョニングする前にアクセスリクエストプロセスを厳守しています。さらに、コアITおよびPeople GroupシステムはGitLabのサードパーティリスク管理プログラムの下で適切なコントロール(WorkdayのSecurity Exhibitに記載されているセキュリティ対策など)について評価されています。
チームメンバーのデータ主体権利
収集した個人データへのアクセス
適用法で許可されている範囲で、私たちが保持するお客様の個人データへのアクセスをリクエストできます。個人データへのアクセスを取得するための2つの別個のプロセスがあります。アクティブなGitLabチームメンバーの場合、Workdayでセルフサービスを通じて人事文書にアクセスできます(および該当する場合は各種給与システム)。人事ファイルの取得に関するその他のサポートについては、GitLabチームメンバーはHelpLabを通じてご連絡ください。元チームメンバーは人事ファイルをリクエストするためにpeople_[email protected]にメールを送ることができます。人事ファイルに含まれる個人データの種類はこちらでご確認いただけます。人事ファイルに含まれる以上の個人データを確認したい場合は、データアクセスリクエストフォームを送信してください。
個人データへのアクセスをリクエストする際、お客様のアイデンティティとアクセス権を確認し、お客様に関する個人データを検索・提供するために特定の情報を求める場合があることにご注意ください。
適用法でアクセスが必要とされない場合、私たちが保持するお客様の個人データへのアクセスを付与しない権利を留保します。また、適用法または規制要件が私たちが保持するお客様の個人データの一部またはすべてを提供することを拒否することを許可または要求する場合があります。さらに、個人データが削除、消去、または匿名化されている場合もあります。お客様の個人データへのアクセスを提供できない場合、法律または規制上の制限に従って、その理由をお知らせします。
収集された個人データの訂正
私たちが保有する個人データが正確、最新かつ完全であることを確保するよう努めています。個人が自分に関する個人データが不正確、不完全または古いと考える場合、そのデータの改訂または訂正をリクエストするか、Workday内のセルフサービス機能を通じてデータを自ら訂正できます。正確と考えるいかなる個人データも変更しない権利を留保します。
収集された個人データの削除
私たちが保持するお客様の個人データの削除をリクエストできます。ただし、適用法によって個人データの削除が求められない場合、そのようなリクエストに応じない権利を留保します。適用法または規制要件が特定の個人データの削除を拒否することを許可または要求する場合があります。お客様の個人データを削除できない場合、法律または規制上の制限に従って、その理由をお知らせします。
個人データの削除をリクエストするには、この削除リクエストフォームからリクエストを提出してください。
データポータビリティ
処理の適法な根拠によっては、一般的に使用される機械可読形式で、技術的に可能であれば別の管理組織にそのような個人データを送信することをGitLabに求める権利があります。
処理制限の権利
以下の場合に個人データの処理を制限する権利があります。
- 正確性を訂正または確認するための十分な措置を講じるまでの間、個人データの正確性に異議を申し立てる場合
- 処理が違法だが情報の消去は望まない場合
- 処理目的にはもはや個人データが不要だが、法的クレームの確立、行使、防御のために必要な場合
- 正当な利益に基づく処理(下記参照)に異議を申し立て、GitLabが処理を継続する説得力のある正当な根拠を持っているかどうかの確認を待っている場合
適用法で要求されている範囲で、個人データがこのように制限されている場合、同意があるか、法的クレームまたは規制上の義務の確立、行使、防御のためにのみ処理します。
同意撤回の権利
データ処理にお客様の同意を依拠している場合、いつでもその同意を撤回する権利があります。多くのシステムはセルフサービス機能を提供しており、任意のデータフィールドを削除して同意を撤回できます。また、[email protected]のGitLabのPeople Operationsチームまたは[email protected]のプライバシーチームに連絡して撤回の支援をリクエストすることもできます。
限られた状況では、同意の撤回により特定のサービスを提供できなくなる可能性があることにご注意ください。例えば、二次緊急連絡先情報の処理への同意を撤回した場合、撤回の同意に優先する法的義務がない限り、緊急時に次の近親者に連絡できない可能性があります。この場合、撤回がいかなるサービスや福利厚生に影響するかをお知らせします。
同意の撤回は撤回前の処理の合法性に影響せず、特定の処理は異なる法的根拠の下で継続される可能性があります。
正当な利益に基づく処理への異議申し立て権
個人データの処理に正当な利益を依拠している場合、そのような処理に異議を申し立てる権利があり、お客様の利益、権利、自由を優先する処理に説得力のある正当な根拠を実証できない限り、その処理を停止しなければなりません。通常、正当な利益を処理根拠とする場合、そのような説得力のある正当な根拠を実証できると考えていますが、各ケースを個別に検討します。異議申し立てには、[email protected]のGitLabのPeople Operationsチームまたは[email protected]のプライバシーチームにお問い合わせください。
自動的な意思決定の対象とならない権利
管轄によっては、法的または同様の重大な影響をもたらす自動処理のみに基づく決定の対象とならない権利があります。現時点では、この定義に合致する自動的な意思決定プロセスでチームメンバーの個人データを使用していないと考えています。ただし、チームメンバーの個人データの処理を継続的に評価し、このような自動的な意思決定に関与する場合はこの規定を更新します。
苦情申し立て権
管轄によっては、居住国、勤務場所、または申し立てられた違反が発生した場所の監督機関に苦情を申し立てる権利があります。関連する監督機関の例:
- フランス:Commission Nationale de l’Informatique et des Libertés(CNIL)
- ドイツ:Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit(BfDI)
- オランダ:Autoriteit Persoonsgegevens(AP)
- 英国:Information Commissioner’s Office(ICO)
苦情申し立ての手順については、関連当局のウェブサイトをご参照いただくか、[email protected]のプライバシーチームにサポートをご依頼ください。
懸念事項の解決
チームページまたは録画
GitLabはデフォルトで公開されていますが、チームメンバーは職務内容で公開が必要とされない限り、ほとんどの公開露出をオプトアウトできます。例えば、チームページでは、チームメンバーはページから自分を削除したり、利用可能なコンテンツを変更したり、名前の代わりにイニシャルやエイリアスを使用したりできます。非同期の作業環境を実現するために、GitLabでのほとんどのミーティングを録画し、多くをGitLab Unfilteredに投稿することを目指しています。したがって、これらのビデオからの望ましくない露出を制限する唯一の方法は、カメラをオフにしてZoomプロフィールにエイリアスまたはイニシャルを追加することですが、それでも声とエイリアスによって識別可能な場合があります。Zoom通話が録画されている場合、画面左上隅に録画アイコンが表示されます。GitLabのYouTubeライブストリームについては、チームメンバーは内部ビデオリンクではなくYouTubeを通じて視聴およびコメントできます。
その他のお問い合わせや懸念
個人データの取り扱いについてご質問や懸念がある場合は、[email protected]のGitLabのPeople Operationsチームまたは[email protected]のGitLab プライバシーチームにお問い合わせください。また、Legal and Corporate Affairsチームに懸念や苦情を報告することもできます。
サードパーティが管理するコンプライアンス・不正防止ホットラインを使用して、ポリシーや法律の違反を匿名で報告することもできます。ホットラインへのアクセスは、行動規範倫理綱領の質問、報告、違反の影響セクションにアクセスすることで行えます。
プライバシーポリシーの変更
このプライバシーポリシーは随時変更することがあります。変更する際は、このプライバシーポリシー上部の日付を更新し、直接のメール通知、Slack上の社内アナウンス、またはPeople Groupシステムでの必須の確認応答を通じて変更を積極的に通知します。重要な変更は適切な通知なく、また必要に応じて労働組合または他の従業員代表との協議なく実施されることはありません。
