שפת הפרטיות של MSA

 נספח הגנת מידע

הלקוח חתם על הסכם ראשי או על הסכם בעל אופי ומטרה דומים (להלן "הסכם ראשי") עם G-P. חתימה על הסכם ראשי כאמור עשויה לכלול עיבוד של נתונים אישיים. הלקוח ו- G-P (יחד "הצדדים") מסכימים כי נספח הגנת מידע זה ("DPA") קובע את חובותיהם ביחס לעיבוד ואבטחת נתונים אישיים בקשר לשירותים המסופקים על ידי G-P ללקוח במסגרת הסכם הראשי, והצדדים מסכימים להיות מחויבים ל-DPA זה. הסכם DPA זה משלים את התנאים וההגבלות בהסכם הראשי ומשולב בו. במקרה של סתירה בין הסכם DPA זה לבין כל הסכם אחר בין הצדדים בנושאים המפורטים כאן, הסכם DPA זה יגבר. אם ללקוח כבר יש נספח הגנת מידע חתום בתוקף עם G-P, אזי הסכם זה יגבר על הסכם DPA זה, ול-DPA זה לא יהיה תוקף או תוקף, אלא אם כן סוכם אחרת בכתב על ידי הלקוח ו- G-P.

 

והואיל ו:

1. כאשר G-P מספקת ללקוח שירותי מעסיק רשומות ("מעסיק רשומות"), G-P נוטל על עצמו את תפקיד המעסיק החוקי עבור כל אדם שנבחר על ידי הלקוח ("אנשי מקצוע") להעסקה.
2. בנוגע למידע האישי של אנשי מקצוע כאלה, G-P משמשת כגורם בקרה במהלך יחסי העבודה.
3. בכל הנוגע למידע אישי של אנשי מקצוע שנאסף ומשמש את הלקוח למטרותיו האישיות, הלקוח הוא גם בעל חובות פרטיות עצמאיות.
4. בעת מתן שירותי מעסיק רשום, חילופי הנתונים האישיים של אנשי המקצוע בין G-P ללקוח מתבצעים תחת מערכת יחסים עצמאית של בקר-לבקר, ו... מונחי בקרה-לבקר המוגדרים בסעיף 2 להלן, יחולו.
5. G-P מציעה גם מגוון מוצרי תוכנה כשירות דרך פלטפורמת G-P("GPP"), שבאמצעותה G-P מאפשרת ללקוח לנהל את הקשר עם אנשי המקצוע הללו.
6. על ידי מתן גישה ללקוח ל-GPP, G-P היא המעבדת של נתונים הקשורים לחשבון המועלים ל-GPP על ידי המשתמשים המורשים שמונו על ידי הלקוח ב-GPP ושל מונחי בקר-למעבד המוגדרים בסעיף 3 להלן, יחולו.

 

G-P והלקוח הסכימו כדלקמן:

 

1. DEFINITIONS

1.1. למונחים שאינם מוגדרים כאן יש את המשמעויות המפורטות בהסכם הראשי. למילים הבאות בהסכם עיבוד מידע זה יש את המשמעויות הבאות:

1.2. "משתמש מורשה " פירושו אדם שהלקוח מורשה, לרבות עובד ו/או קבלן של הלקוח, לגשת ולהשתמש ב- GPP מטעם הלקוח, בהתאם לחתימת הסכם האב.

1.3. ""נתוני לקוח "" פירושם כל מידע אישי הקשור לכל משתמש מורשה או אדם טבעי מזהה המועבר, מעובד או מאוחסן על ידי G-P מטעם הלקוח לשימוש הלקוח ב-GPP.

1. .4 " חוקיהגנת מידע " פירושם כל חוקי הגנת מידע ופרטיות שאליהם כפוף צד להסכם זה ואשר חלים על השירותים הניתנים, לרבות במקרה הרלוונטי, אך לא רק, הסדרה הכללית להגנה על מידע, בריטניה האסדרה הכללית להגנה על מידע, חוקי הגנת נתונים בשווייץ, חוקי הפרטיות בארה"ב (כולל חוקי המדינה והפדרליים), וברזיל LGPD.

1.5. "הסדרה הכללית להגנה על מידע " פירושו הסדרה הכללית להגנה על מידע (EU) 2016/679.

1.6. "GPP " פירושו תוכנה קניינית של G-P, לרבות, בין היתר, התוכנה, הגרסה המובייל, כל תוכנה הכלולה בה וכל נתונים הזמינים באמצעות שימוש בתוכנה קניינית של G-P או בשירותי צד שלישי, לרבות עדכונים, שדרוגים, פלטפורמה כשירות ותיעוד שלהם.

1.7. "EEA " פירושו האזור הכלכלי האירופי.

1.8. "LGPD" פירושו חוק ברזיל מס' 13 ו- 709, החוק הכללי להגנה על מידע אישי, כפי שעשוי להיות מתוקן, מוחלף או מוחלף.

1. .9 " הסכם ראשי " פירושו ההסכם שנחתם ביןהלקוח לבין למתן השירותים. G-P

1.10. "מדיניות פרטיות " פירושה מדיניות הפרטיות שלG-P , כפי שהיא מתעדכנת מעת לעת, הזמינה בכתובת https://www.globalization-partners.com/privacy-policy/

1.11. "נתוני אנשי מקצוע " פירושם הנתונים האישיים של אנשי מקצוע המעובדים על ידי G-P במסגרת מתן שירותי המעסיק הרשום ללקוח.

1.12. "העברה מוגבלת" פירושה כל העברה של נתונים אישיים למדינה מחוץ לאזור הכלכלי האירופי, בריטניה, שוויץ או ברזיל שאינה כפופה להחלטת נאותות במסגרת חוקי הגנת המידע הרלוונטיים, ולכן דורשת אמצעי הגנה מתאימים במסגרת חוקי הגנת המידע הרלוונטיים.

1.13. "שירותים" משמעם השירותים שיסופקו על ידי G-P ללקוח במסגרת הסכם המסגרת, אשר עשויים לכלול את שירותי המעסיק הרשום ואת הגישה והשימוש ב-GPP.

1.14. "סעיפים חוזיים סטנדרטיים" או "סעיפים חוזיים סטנדרטיים" פירושם (i) כאשר חלה האסדרה הכללית להגנת מידע, סעיפי החוזה הסטנדרטיים המצורפים להחלטת היישום של הנציבות האירופית (EU) 2021/914 מיום 4 יוני 2021 להעברת נתונים אישיים למדינות שלישיות בהתאם לתקנה (EU) 2016/679 של הפרלמנט האירופי ושל המועצה, הזמינה בכתובת https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914&from=EN ("סעיפי חוזים סטנדרטיים של האיחוד האירופי"); (ii) כאשר חלה הסדרה הכללית להגנה על מידע בבריטניה, סעיפי הגנת הנתונים הסטנדרטיים החלים שאומצו בהתאם לסעיף 46(2)(c), או (ד) כאשר האסדרה הכללית להגנה על מידע בבריטניה פירושה התוספת הבינלאומית להעברת נתונים ("נספח בריטניה") לסעיפים החוזים הסטנדרטיים של האיחוד האירופי שהונפקו על ידי משרד נציב המידע.119A(1) של חוק הגנת הנתונים 2018, שכן נספח בריטניה עשוי להשתנות לפי סעיף 18 בו ("SCCs UK");(iii) במקרים בהםחוקי הגנת המידעהשוויצריים חלים, סעיפי הגנת המידע הסטנדרטיים הרלוונטיים שהונפקו, אושרו או הוכרו על ידי רשות הגנת המידע הפדרלית השוויצרית ומשרד נציב המידע ("ה-SCCs השוויצריים"); במקרים בהם חל ה-LGPD הברזילאי,סעיפי החוזה הסטנדרטיים הרלוונטיים, המצורפים להחלטה CD/ANPD מס' 19/2024 שפורסמה על ידי הרשות הלאומית הברזילאית להגנת מידע ("ANPD"), כפי שיתוקנו מעת לעת ("ה-SCCs ברזיל").

1.15. "חוקי הגנת המידע השוויצריים" או "FADP" משמעם (i) חוק הגנת המידע הפדרלי השוויצרי (מיום 19 ביוני 1992, נכון ל 1 במרץ 2019) ("FDPA "); (ii) הפקודה על החוק הפדרלי להגנת מידע ("FODP "); ו-(iii) כל חוק הגנת המידע הלאומי שנקבע במסגרת, מכוח, מחליף או יורש וכל חקיקה המחליפה או מעדכנת כל אחד מהאמור לעיל.

1.16. "תוספת בריטניה " פירושה התוספת להעברת נתונים בינלאומית של בריטניה לתניות החוזיות הסטנדרטיות של האיחוד האירופי שהונפקה על ידי נציב המידע של בריטניה.

1.17. "חוקי הגנת מידע בבריטניה" פירושם הסדרה הכללית להגנה על מידע כפי שנשמר בחוק בריטניה מכוח סעיף 3 של חוק האיחוד האירופי של בריטניה (Withdrawal) 2019 ("הסדרה הכללית להגנה על מידע") וחוק הגנת המידע 2018 (יחד, "חוקי הגנת המידע בבריטניה").

1.18. "חוקי הפרטיות של ארה"ב" משמעם חוקים, צווים, תקנות והנחיות רגולטוריות רלוונטיים של מדינות ארצות הברית (US) בנוגע לעיבוד נתונים אישיים, לרבות, בין היתר: (א) ה-CCPA; (ב) חוק הגנת נתוני הצרכן של וירג'יניה; (ג) חוק הפרטיות של קולורדו; (ד) חוק קונטיקט בנוגע לפרטיות נתונים וניטור מקוון; (ה) חוק הפרטיות של צרכן ביוטה; ו-(ו) כל חוקי המדינה הדומים.

1.19. "בקר", "נושא המידע", "נתונים אישיים", "מידע אישי", "דליפת נתונים", "מעבד", "תהליך/עיבוד", "העברה מוגבלת", "ספק שירות" ו/או כל מונחים ומושגים דומים אחרים יהיו בעלי המשמעויות כפי שמוגדרות בחוקי הגנת המידע.

 

 

2. CONTROL OF PERSONAL DATA

2.1. תפקידי הצדדים. כאשר G-P פועלת כגורם בקרה עצמאי, G-P תעמוד בחובותיה כגורם בקרה במסגרת חוקי הגנת המידע בעת עיבוד נתונים אישיים ותעבד את הנתונים האישיים כמתואר במדיניות הפרטיות של G-Pהזמינה בכתובת https://www.globalization-partners.com/privacy-policy/. הלקוח יעמוד בחובותיו במסגרת חוקי הגנת המידע בעת עיבוד נתונים אישיים כגורם בקרה. בשום מקרה לא יעבדו הצדדים נתונים אישיים במסגרת הסכם הגנת המידע הזה כגורמי בקרה משותפים.

2.2. אחריות והכרות. כל צד רשאי לעבד נתונים אישיים במסגרת הסכם הגנת מידע זה ביחס לנתוני אנשי מקצוע כבקרי נתונים עצמאיים. הצדדים מסכימים לעמוד בהתחייבויותיהם ולעבד כל נתונים אישיים באופן הוגן וכחוק, בהתאם להסכם הגנת מידע זה ולכל חוקי הגנת המידע החלים על פעולות עיבוד הנתונים האישיים של צד זה. כל צד יבטיח כי עיבוד הנתונים האישיים שלו מוגבל למטרת הסכם הגנת המידע המסופק על ידי G-P ומבוסס על עילה משפטית לעיבוד חוקי. הצדדים יסייעו זה לזה בציות לחובותיהם במסגרת חוקי הגנת המידע, לרבות, אך לא רק, סיוע זה לזה במקרה של הפרת נתונים, תגובה לבקשות נושאי נתונים ו/או רגולטורים. 

 

3. PROCESSING OF PERSONAL DATA

 

3.1. היקף. השימוש ב-GPP עשוי לכלול עיבוד של נתוני לקוח על ידי G-P כמעבד או ספק שירות מטעם הלקוח.

3.2. הוראות. G-P תעבד את נתוני הלקוח בהתאם להוראות המתועדות של הלקוח. הלקוח מסכים כי הסכם שיתוף הפעולה הזה, הסכם האב ו נספח א' המצורף להלן, כולל את ההוראות המלאות של הלקוח ל- G-P בנוגע לעיבוד נתוני הלקוח. כל הוראה נוספת או חלופית חייבת להיות מוסכמת בין הצדדים בכתב, לרבות העלויות (אם ישנן) הכרוכות במילוי הוראות אלה. הלקוח יבטיח כי הוראותיו תואמות את חוקי הגנת המידע הרלוונטיים. הלקוח מאשר כי G-P אינה אחראית לקביעת אילו חוקים חלים על עסקיו של הלקוח. הלקוח יבטיח כי עיבוד נתוני הלקוח על ידי G-P , כאשר הוא נעשה בהתאם להוראות הלקוח, לא יגרום ל- G-P להפר כל חוק רלוונטי, לרבות חוקי הגנת מידע רלוונטיים. עם זאת, אםG-P סבורה כי הוראה של הלקוח מפרה G-P חוקי הגנת המידע הרלוונטיים, G-P תודיע על כך ללקוח בהקדם האפשרי באופן סביר ולא תהיה נדרשת לציית להוראה מפרה כזו.

3.3. פרטי העיבוד. פרטי נושא העיבוד, משכו, אופיו ומטרתו, וסוג נתוני הלקוח ונושאי הנתונים כמפורט בנספח א' המצורף בזאת. 

3.4. תאימות. הלקוח ו- G-P מסכימים לעמוד בהתחייבויותיהם במסגרת חוקי הגנת המידע החלים על נתוני הלקוח המעובדים כמפורט בנספח I. הלקוח נושא באחריות בלעדית לעמוד בחוקי הגנת המידע בנוגע לחוקיות עיבוד נתוני הלקוח לפני גילוי, העברה או העמדה לרשות G-P של נתוני לקוח כלשהם. למען הסר ספק, בכל המקרים, הלקוח יקבל, במידת הצורך, את כל ההסכמות מנושאי הנתונים כדי ש- G-P תעבד את נתוני הלקוח בהתאם להנחיות הלקוח.

3.5. מעבדי משנה. הלקוח מאשר ל- G-P למנות ולהשתמש במעבדים ("מעבדי משנה") לעיבוד נתוני הלקוח בקשר לשירותים. מעבדי משנה עשויים לכלול צדדים שלישיים או כל חבר בקבוצת החברות של G-P . G-P רשאית להמשיך להשתמש במעבדי משנה שכבר הועסקו על ידי G-P נכון לתאריך הסכם הגנת מידע זה, ורשימה של מעבדי משנה כאלה זמינה בנספח III המצורף להלן. במקרה שמעבד משנה אינו ממלא את התחייבויות הגנת המידע שלו כמפורט לעיל, G-P תהיה אחראית כלפי הלקוח לביצוע התחייבויותיו של מעבד המשנה. G-P תודיע ללקוח על כל שינוי ברשימת מעבדי המשנה שלה באמצעות GPP. אם, תוך 10 (עשרה) ימים מקבלת הודעה זו, הלקוח מתנגד באופן לגיטימי להוספה או להסרה של מעבד משנה מטעמי הגנת מידע ו- G-P אינה יכולה להיענות באופן סביר להתנגדות הלקוח, הצדדים ידונו בחששות הלקוח בתום לב במטרה לפתור את העניין.

3.6. אמצעי אבטחה טכניים וארגוניים. בהתחשב בתקני התעשייה, בעלויות היישום, אופי, היקף, הקשר ומטרות העיבוד, וכל נסיבות רלוונטיות אחרות הקשורות לעיבוד נתוני הלקוח, G-P תיישם אמצעי אבטחה טכניים וארגוניים מתאימים על מנת להבטיח שהאבטחה, הסודיות, השלמות, הזמינות והחוסן של מערכות ושירותי העיבוד המעורבים בעיבוד נתוני הלקוח תואמים את הסיכון ביחס לנתוני לקוח אלה, כמפורט בנספח II המצורף בזאת. G-P תבחן ותנטר מעת לעת את יעילות אמצעי ההגנה, הבקרות, המערכות והנהלים שלה, ו-(ii) תזהה סיכונים פנימיים וחיצוניים הניתנים לחיזוי סביר לאבטחה, לסודיות ולשלמות נתוני הלקוח, ותבטיח כי סיכונים אלה יטופלו.

3.7. סודיות. G-P תוודא כי אנשים המורשים לגשת לנתוני הלקוח (i) התחייבו לסודיות או נמצאים תחת חובת סודיות חוקית מתאימה ו-(ii) ייגשו לנתוני הלקוח רק על פי הוראות מתועדות מ- G-P, אלא אם כן הדבר נדרש על פי חוק רלוונטי.

3.8. פרצת נתונים אישיים. G-P תודיע ללקוח ללא דיחוי בלתי סביר לאחר שיוודע לה על פרצת נתונים בקשר לעיבוד נתוני הלקוח ותנקוט במאמצים סבירים כדי לסייע ללקוח לצמצם, במידת האפשר, את ההשפעות השליליות של כל פרצת נתונים.

3.9. מחיקת נתונים אישיים. עם סיום השימוש בשירותים (מכל סיבה שהיא), G-P תחזיר או תמחק, בהקדם האפשרי באופן סביר, את נתוני הלקוח המאוחסנים ב-GPP, אלא אם כן החוק החל דורש אחסון נתוני הלקוח לתקופה ארוכה יותר. הוראות הסכם עיבוד מידע זה ימשיכו לחול על נתוני הלקוח הללו.

3.10. בקשות של נושאי נתונים. G-P תודיע ללקוח באופן מיידי על כל בקשה של נושאי נתונים בנוגע לנתוני לקוח. הלקוח אחראי להגיב לבקשות כאלה. G-P תסייע באופן סביר ללקוח להגיב לבקשות נושאי נתונים כאלה במידה שהלקוח אינו יכול לגשת לנתוני הלקוח הרלוונטיים במסגרת השימוש שלו ב-GPP.

3.11. בקשות צד שלישי. אם G-P תקבל בקשות מצדדים שלישיים או צו של כל בית משפט, בית דין, רגולטור או סוכנות ממשלתית בעלת סמכות שיפוט מוסמכת אשר G-P כפופה לה בנוגע לעיבוד נתוני הלקוח במסגרת ההסכם, G-P תפנה את הבקשה באופן מיידי ללקוח. G-P לא תגיב לבקשות כאלה ללא אישור מראש של הלקוח אלא אם כן היא מחויבת לעשות כן על פי חוק. G-P , אלא אם כן היא אסורה לעשות כן על פי חוק, תודיע ללקוח מראש על כל גילוי של נתוני הלקוח ותשתף פעולה באופן סביר עם הלקוח כדי להגביל את היקף הגילוי לנדרש על פי חוק. 

3.12. הערכת השפעה על הגנת מידע וייעוץ מוקדם. במידה הנדרשת על פי חוקי הגנת המידע, G-P תספק סיוע סביר ללקוח בביצוע הערכת השפעה על הגנת מידע בקשר לעיבוד נתוני הלקוח שמבצעת G-P ו/או כל התייעצות מוקדמת נדרשת עם רשויות פיקוח. G-P שומרת לעצמה את הזכות לגבות מהלקוח תשלום סביר עבור מתן סיוע כזה.

3.13. בְּדִיקָה. הלקוח רשאי לבצע ביקורת G-P תאימות במסגרת הסכם הגנת מידע זה וחוקי הגנת המידע על ידי בקשת תעודה לאימות אבטחה המשקפת את תוצאות הביקורת שבוצעה על ידי מבקר צד שלישי (למשל, הסמכת ISO27001 , תעודת SOC2 ), תוך שנים עשר (12) חודשים ממועד בקשת הלקוח. לחלופין, במקרה שהתיעוד שסופק בכפוף לסעיף 3.13 זה אינו מספיק לצורך הוכחת תאימות, הלקוח רשאי לבצע ביקורת משלו בנוסף לאישורים או דוחות של צד שלישי שסופקו, ובלבד שביקורת כזו תבוצע: i) לא יותר מפעם אחת בכל תקופה של 12 (שנים עשר) חודשים; ii) במהלך שעות העבודה הרגילות ומבלי להפריע לעסקיה השוטפים של G-P ; iii) עם הודעה בכתב של שלושים (30) יום מראש; iv) על חשבון הלקוח בלבד; v) בהתבסס על פרמטרים והיקף מוסכמים הדדית, מוגבלים להיקף הספציפי של שירותים, מערכות בשימוש ו/או פעילויות עיבוד המפורטות להלן; vi) בהתבסס על תאריך מוסכם מראש על ידי הלקוח, בכפוף לדחייה סבירה על ידי הלקוח לפי בקשה סבירה של G-P ; ו-vii) בהתאם לכל התחייבויות וההגבלות של סודיות. על אף האמור לעיל, לא מוענקת זכות ביקורת לאחר סיום הסכם הבסיס, למעט התחייבויות משפטיות שיהיו חייבות להיות מוכחות על ידי הלקוח. כל צד שלישי שנבחר לבצע ביקורת מטעם הלקוח אסור שיהיה לו עניין בעלות או קשר עם מעסיק שירותי רשומה, סוכנות, ארגון קשור או יועץ. שום דבר בהסכם עיבוד נתונים זה לא יחייב G-P לחשוף ללקוח או לרואה החשבון השלישי שלו, או לאפשר ללקוח או לרואה החשבון השלישי שלו גישה ל: (i) כל נתונים של כל לקוח אחר של G-P ; (ii) מידע חשבונאי או פיננסי פנימי של G-P ; (iii) כל סוד מסחרי של G-P או חברות קשורות אליה; (ד) כל מידע אשר, לדעתה הסבירה של G-P , עלול לפגוע באבטחת מערכות כלשהן של G-Pאו לגרום להפרה של התחייבויותיה על פי החוק החל או התחייבויותיה בנוגע לאבטחה או פרטיות כלפי צד שלישי כלשהו; או (ה) כל מידע שהלקוח או רואה החשבון החיצוני שלו מבקשים גישה אליו מכל סיבה שאינה מילוי בתום לב של התחייבויות הלקוח על פי חוקי הגנת המידע.

3.14. חוקי הפרטיות של ארה"ב. תחת סעיף זה 3 ("עיבוד נתונים אישיים"),הצדדים מסכימים כי G-P היא "ספקית שירות" או "מעבד" כהגדרתם בחוקי הפרטיות של ארה"ב הרלוונטיים. בהתאם לכך, במידה שחוקי הפרטיות של ארה"ב חלים על עיבוד נתוני לקוח על ידי G-P, G-P לא (א) תשמור, תשתמש או תחשוף נתוני לקוח כלשהם מחוץ לקשר העסקי הישיר בין G-P ללקוח, או לכל מטרה אחרת מלבד המטרה המפורטת בנספח I המצורף בזאת, ו- G-P תעבד נתוני לקוח רק כל עוד היא מספקת שירותים ללקוח; (ב) תמכור נתוני לקוח כלשהם; (ג) תשתף נתוני לקוח כלשהם; או (ד) תשלב את נתוני הלקוח ש- G-P מקבלת מהלקוח או מטעם הלקוח עם "נתונים אישיים" (כהגדרתם במונח זה או שווה ערך בחוקי הגנת המידע הרלוונטיים) שהיא מקבלת מאדם אחר או מטעם אדם אחר, או אוספת מהאינטראקציה שלה עם צרכן, ובלבד ש- G-P רשאית לשלב נתוני לקוח אם זה במסגרת מתן השירותים ללקוח. במידת הצורך, כל צד יודיע לצד השני אם יקבע כי אינו יכול עוד לעמוד בהתחייבויותיו על פי חוקי הפרטיות של ארה"ב.

 

 

4. International Data Transfers

4.1. הגנה מתאימה. G-P מורשית, במהלך העסקים הרגיל, לבצע העברות ברחבי העולם של נתוני לקוחות לחברות הבת שלה ו/או למעבדי המשנה שלה. בעת ביצוע העברות כאלה לטריטוריה שלא הוכרה על ידי רשויות הגנת המידע הרלוונטיות כמספקת רמת הגנה נאותה למידע אישי בהתאם לחוקי הגנת המידע, G-P תוודא כי קיים הגנה מתאימה כדי להגן על נתוני הלקוח המועברים במסגרת הסכם האב או בקשר אליו.

4.2. מסגרת פרטיות נתונים. נתוני אנשי מקצוע ולקוחות מאוחסנים ב-GPP, אשר מתארח בארה"ב. G-P מוסמך תחת מסגרת פרטיות הנתונים של האיחוד האירופי-ארה"ב (EU-US DPF), וככל שרלוונטי, ההרחבה של בריטניה ל-DPF של האיחוד האירופי-ארה"ב, ולמסגרת פרטיות הנתונים של שוויץ-ארה"ב (Swiss-US DPF). ניתן לאשר את הסמכת G-Pבפומבי באתר האינטרנט של DPF בכתובתhttp://www.dataprivacyframework.gov/list. מסגרת פרטיות הנתונים בין האיחוד האירופי לארה"ב נחשבה למספקת על ידי הנציבות האירופית, בהיותה מנגנון חוקי להעברת נתונים בהתאם לסעיף 45 של האסדרה הכללית להגנת המידע של בריטניה, וה-FADP, בהתאמה. אם מסגרת/ות ה-DPF יבוטלו, יושעו, או לא יוכרו עוד כמספקות הגנה נאותה להעברות נתונים בינלאומיות, המעבד מסכים להיכנס ולציית לתקנות ה- SCC שהונפקו או אושרו על ידי הנציבות האירופית, משרד נציב המידע של בריטניה (ICO) או נציב הגנת הנתונים והמידע הפדרלי השוויצרי (FDPIC), לפי העניין. הצדדים ישתפו פעולה בתום לב כדי ליישם כל אמצעי משלים הנדרש כדי להבטיח רמת הגנה שווה ערך במהותה עבור הנתונים המועברים.

4.3. סעיפים חוזיים סטנדרטיים. הצדדים מסכימים כי כאשר העברת נתונים אישיים מהלקוח (כ"יצואן נתונים") ל- G-P (כ"יבואן נתונים") מהווה העברה מוגבלת וחוקי הגנת המידע הרלוונטיים דורשים נקיטת אמצעי הגנה מתאימים, העברה כזו תהיה כפופה לסעיפים חוזיים סטנדרטיים מתאימים, אשר ייחשבו כחלק מהסכם הגנת מידע זה, כדלקמן:

1. בקשר להעברות של נתונים אישיים המוגן על ידי האסדרה הכללית להגנה על מידע, יחולו ה-SCCs של האיחוד האירופי, עם השלמה כדלקמן:

1. מודולים ראשון ושני יחולו;
2. בסעיף 7, סעיף העגינה האופציונלי יחול;
3. בסעיף 9 של מודול שני, אפשרות 2 תחול, ותקופת הזמן להודעה מוקדמת על שינויים במעבד משנה תהיה כמפורט בסעיף 3.5 של הסכם עיבוד נתונים זה;
4. בסעיף 11, השפה האופציונלית לא תחול;
5. בסעיף 12, כל תביעה שתוגש במסגרת הסכמי הסטנדרט של האיחוד האירופי תהיה כפופה לתנאים ולהגבלות המפורטים בהסכם הראשי;
6. בסעיף 17, אפשרות 1 תחול, וסכמי ה-SCC של האיחוד האירופי יהיו כפופים לחוק האירי;
7. בסעיף 18(ב), סכסוכים ייפתרו בפני בתי המשפט של אירלנד;
8. נספח I של תקנות ה-SCC של האיחוד האירופי ייחשב כמושלם עם המידע המפורט בנספח 1 להסכם עיבוד נתונים זה; ו-
9. נספח II של תקנות ה-SCC של האיחוד האירופי ייחשב כמושלם עם המידע המפורט בנספח 2 להסכם עיבוד נתונים זה;
10. נספח III של מודול שני של תקנות ה-SCC של האיחוד האירופי ייחשב כמושלם עם המידע המפורט בנספח 3 להסכם עיבוד נתונים זה.

ב. ביחס להעברות של מידע אישי המוגן על ידי חוקי הגנת המידע של בריטניה או חוקי הגנת המידע של שוויץ, יחולו חוקי הגנת המידע של האיחוד האירופי כפי שהם מיושמים במסגרת סעיפי משנה (א) לעיל, בשינויים הבאים:

1. הפניות ל"תקנה (EU) 2016/679" יתפרשו כהפניות לחוקי הגנת המידע של בריטניה או לחוקי הגנת המידע של שוויץ (ככל שרלוונטי);
2. הפניות לסעיפים ספציפיים של "תקנה (EU) 2016/679" יוחלפו בסעיף או בסעיף המקבילים בחוקי הגנת המידע של בריטניה או בחוקי הגנת המידע של שוויץ (ככל שרלוונטי);
3. הפניות ל"איחוד האירופי", "האיחוד", "מדינת חברה" ו"חוק מדינת חברה" יוחלפו בהפניות ל"בריטניה" או "שוויץ", או "חוק בריטניה" או "חוק שוויצרי" (ככל שרלוונטי);
4. אין לפרש את המונח "מדינה חברה" באופן שישלול נושאי נתונים בבריטניה או בשוויץ מהאפשרות לתבוע את זכויותיהם במקום מגוריהם הרגיל (כלומר, בריטניה או שוויץ);
5. סעיף 13(א) וחלק ג' של נספח I אינם בשימוש ו"רשות הפיקוח המוסמכת" היא נציב המידע של בריטניה או נציב המידע הפדרלי של שוויץ להגנת נתונים (ככל שרלוונטי);
6. הפניות ל"רשות הפיקוח המוסמכת" ול"בתי המשפט המוסמכים" יוחלפו בהפניות ל"נציב המידע" ול"בתי המשפט של אנגליה וויילס" או ל"נציב המידע הפדרלי השוויצרי להגנת נתונים" ול"בתי המשפט הרלוונטיים של שוויץ" (ככל שרלוונטי);
7. בסעיף 17, סעיפי החוזה הסטנדרטיים יחולו על חוקי אנגליה וויילס או שוויץ (ככל שרלוונטי); ו
8. בנוגע להעברות אשר עליהן חלים חוקי הגנת המידע של בריטניה, סעיף 18 יתוקן כך שיקבע "כל מחלוקת הנובעת מסעיפים אלה תיפתר על ידי בתי המשפט של אנגליה ווילס." נושא מידע רשאי להגיש הליכים משפטיים נגד יצואן הנתונים ו/או יבואן הנתונים בפני בתי המשפט של כל מדינה בבריטניה. "הצדדים מסכימים להיכנע לסמכות השיפוט של בתי משפט כאמור", וביחס להעברות עליהן חלים חוקי הגנת המידע השוויצריים, סעיף 18(ב) יקבע כי סכסוכים ייפתרו בפני בתי המשפט הרלוונטיים של שוויץ.
9. בנוגע לנתונים המוגנים על ידי האסדרה הכללית להגנת הציבור של האיחוד האירופי (HSA) בבריטניה, יחולו תנאי הסטנדרט הסופיים של האיחוד האירופי כדלקמן: (i) יחולו כפי שהושלמו בהתאם לפסקאות (i) עד (viii) לעיל; ו-(ii) ייחשבו כמתוקנים כפי שצוין בחלק 2 של הנספח לבריטניה, אשר ייחשב כמשולב בהסכם זה ומהווה חלק בלתי נפרד ממנו. בנוסף, טבלאות 1 עד 3 בחלק 1 של הנספח לבריטניה ימולאו בהתאמה עם המידע המפורט בנספח I ובנספח II של הסכם עיבוד נתונים זה, וטבלה 4 בחלק 1 של הנספח לבריטניה תיחשב כלא הושלמה על ידי בחירה ב"אף אחד מהצדדים".

ג. ביחס להעברות של מידע אישי המוגן על ידי חוק ה-LGPD של ברזיל, בין אם באופן ישיר ובין אם באמצעות העברה נוספת, למדינה מחוץ לברזיל שאינה כפופה להחלטת נאותות שהונפקה על ידי חוק ה-ANPD,ייחשבו הסכמי ה-SCC של ברזיל ככאלה שנכנסו ושולבו ב-DPA זה באמצעות הפניה זו, והושלמו כדלקמן :

1. סעיף 2 של תנאי ה-SCC של ברזיל מתקיים על ידי המידע המפורט בנספח I, המתאר את העברת הנתונים;
2. אֲנִיסעיף 3 של תנאי ה-SCC של ברזיל, אפשרות ב', יחול, כאשר העברות הלאה מותרות בהתאם לסעיף 3.5 ("מעבדי משנה") של הסכם עיבוד נתונים זה. נושא העיבוד, אופיו ומשכו מפורטים בנספח I להסכם זה למידע אישי;
3. סעיף 4 של תנאי ה-SCC של ברזיל מתקיים על ידי המידע המפורט בנספח I של הסכם עיבוד נתונים זה. כאשר G-P היא בעלת אחריות, היא תהיה "הצד המיועד", כהגדרתה בתקנות ה-SCC של ברזיל, ולצורך סעיף 14 (שקיפות), סעיף 15 (זכויות נושא המידע) וסעיף 16 (דיווח על אירועים) של תקנות ה-SCC של ברזיל. הלקוח נשאר אחראי לתאימות לפי סעיף 14 (שקיפות), סעיף 15 (זכויות נושא המידע) וסעיף 16 דיווח על אירועים) של תקנות ה-SCC של ברזיל עבור כל מידע אישי שהוא עשוי להיות אחראי עליו;
4. בסעיף 9 של תנאי ה-SCC של ברזיל, סעיף העגינה האופציונלי לא יחול; ו-
5. סעיף III (אמצעי אבטחה) של הסכם השוויון והשתלטות של ברזיל ייחשב כהשלמה עם המידע המפורט בנספח II להסכם עיבוד נתונים זה.

 

נספח א'

תיאור עיבוד נתונים

 

מסיבות	ייצוא נתונים: ישות לקוח המבצעת את הסכם האב יבואן נתונים: ישות G-P המבצעת את הסכם האב.
פרטי יצירת קשר עם הצדדים	פרטי התקשרות כפי שנקבעו בהסכם הראשי.
פעילויות הרלוונטיות לנתונים המועברים	פעילויות הקשורות למעסיק שירותי הרישומים ולשימוש ב-GPP המסופק ללקוח כשירות.
פעילויות עיבוד	הנתונים האישיים המעובדים / מועברים עשויים להיות כפופים לפעילויות העיבוד הבאות: כל פעולה הקשורה לנתונים אישיים ללא קשר לאמצעים ולנהלים המופעלים, ובפרט איסוף, ארגון, אחסון, החזקה, שימוש, אחזור, עיון, אחסון בארכיון, העברה, חסימה, מחיקה או השמדה של נתונים, תפעול ותחזוקה של מערכות, תפקודי תאימות, משפט וביקורת.
משך העיבוד	G-P תעבד נתוני לקוחות למשך תקופת הסכם ההסכם הראשי ובאופן רציף.
אופי ומטרת העיבוד	הלקוח רשאי להעביר נתוני לקוח ל- G-P, כאשר היקף העיבוד ייקבע וניתן לשליטתו הבלעדית על ידי הלקוח. מטרת העיבוד היא לספק את השירותים בהתאם להסכם הראשי.
קטגוריות של נושאי נתונים	א) הנתונים האישיים המוחלפים על ידי הצדדים כבעלי אחריות עצמאית בנוגע לנתונים אישיים של אנשי מקצוע. ב) נתוני הלקוח המעובדים על ידי G-P כמעבד נתונים נוגעים למשתמשים מורשים של GPP אשר עשויים לכלול עובדי הלקוח ו/או קבלנים.
סוגי נתונים אישיים	· פרטי קשר (כגון מספר טלפון ודוא"ל). · נתוני עובדים / קבלנים (כגון שם תפקיד ושם החברה). · נתוני שימוש (כגון נתונים על המכשיר של המשתמש המורשה וכיצד מכשיר זה מקיים אינטראקציה עם ה-GPP). · נתוני מיקום (כגון מיקום הנגזר מכתובת ה-IP). · נתוני תוכן (כגון תוכן קבצי הלקוח בנוגע לאנשי המקצוע ותקשורת קשורה). · אישורים (כגון סיסמאות, רמזים לסיסמאות ומידע אבטחה דומה המשמש לאימות וגישה לחשבון ל-GPP). · כל מידע אישי המסופק על ידי משתמשים מורשים.
קטגוריות מיוחדות של נתונים (אם רלוונטי)	לא רלוונטי
הַחזָקָה	נתונים אישיים יישמרו לפחות כל עוד תקופת השמירה המינימלית הנדרשת על פי חוק רלוונטית, בהתאם לחוקי ההתיישנות הרלוונטיים ולנהלים עסקיים תקינים.
רשות פיקוח מוסמכת	הוועדה האירית להגנת מידע
העברות למעבדי משנה	עבור העברות למעבדים, נושא העיבוד, אופיו ומשכו זהים לאלה שהוגדרו לעיל.
פרטי יצירת קשר G-P	privacy@G-P.com לידיעת: משרד הפרטיות הגלובלי.

 

 

נספח II

אמצעים טכניים וארגוניים

 

G-P הוסמכה ואושרה על ידי מבקרים בלתי תלויים לאשר את אבטחת נתוני הלקוחות שלנו בתקני SOC 2 ו-ISO 27001 . הסמכות כאלה מדגימות את מחויבותנו לאבטחת נתוני לקוחות. תוכנית האבטחה של G-Pנועדה:

• להגן על הסודיות, השלמות והזמינות של נתוני הלקוח הנמצאים ברשות G-Pאו שיש ל- G-P גישה אליהם;
• להגן מפני כל איום או סכנה צפויים לסודיות, לשלמות ולזמינות של נתוני הלקוח;
• להגן מפני גישה, שימוש, גילוי, שינוי או השמדה בלתי מורשית או בלתי חוקית של נתוני לקוח;
• להגן מפני אובדן, הרס או נזק מקריים של נתוני לקוחות; ו
• מידע הגנה כפי שנקבע בכל תקנה שעל פיה G-P עשויים להיות מפוקחים.

 

להלן תיאור הפונקציות, התהליכים, הבקרות, המערכות, הנהלים והאמצעים שנקטה G-P כדי להבטיח את אבטחת עיבוד נתוני הלקוחות:

1) אמצעים טכניים להבטחת פרטיות והגנה על נתונים 

1. פרטיות לפי עיצוב וברירת מחדל: G-P לוקח בחשבון את הדרישות של מאמר 25 האסדרה הכללית להגנה על מידע בשלב התפיסה והפיתוח של פיתוח המוצר. תהליכים ופונקציונליות מוגדרים באופן כזה שעקרונות הגנת המידע כגון חוקיות, שקיפות, הגבלת מטרה, מזעור נתונים וכו', כמו גם אבטחת העיבוד, נלקחים בחשבון בשלב מוקדם.

2. הצפנת נתונים אישיים: הבטחה כי נתונים אישיים מאוחסנים במערכת אך ורק באופן שאינו מאפשר לצדדים שלישיים לזהות את נושא הנתונים.

   1. הצפנת מסדי נתונים ואחסון: בכל מסדי הנתונים שבהם משתמשת G-P , נעשה שימוש בהצפנה "במנוחה" בהתאם לטכנולוגיה העדכנית ביותר, כך שניתן יהיה לקרוא את הנתונים ממסד הנתונים רק לאחר אימות תקין במערכת מסד הנתונים הרלוונטית.

   2. הצפנת מדיה של נתונים ניידים: השימוש בספקי נתונים ניידים לאחסון נתוני לקוחות אינו מותר.

   3. הצפנת נשאי נתונים במחשבים ניידים: בכל המחשבים הניידים של העובדים מותקנת הצפנת דיסק קשיח מתקדמת ומתקדמת.

   4. חילופי מידע וקבצים מוצפנים: באופן עקרוני, חילופי מידע וקבצים מוצפנים ישירות באמצעות מעגל מיוחד. אם יש להעביר נתונים אישיים או מידע סודי לשרתים שלא ניתן לשלוח אותם באמצעות העלאות HTTPS מוצפנות TLS, אלה יועברו באמצעות פרוטוקול העברת קבצים מאובטח (SFTP), שירות מעטפה מוצפן או מנגנון מוצפן אחר בהתאם לתקדמות הטכנולוגיה.

   5. הצפנת דוא"ל: באופן עקרוני, כל הדוא"ל הנשלח על ידי עובדי G-P מוצפן באמצעות TLS. ייתכן שיהיו יוצאים מן הכלל אם שרת הדואר המקבל אינו תומך ב-TLS. על הלקוח לוודא ששרתי הדואר המתאימים בהם נעשה שימוש במסגרת ההזמנה תומכים בהצפנת TLS.

3. בקרת כניסה: בקרות כניסה נועדו ומיושמות על מנת למנוע שימוש ועיבוד של נתונים המוגנים על ידי חוקי הגנת המידע על ידי אנשים בלתי מורשים.

   1. שימוש בשיטות אימות: הגישה לנתונים אישיים מתבצעת תמיד באמצעות פרוטוקולים מוצפנים: SSH, SSL/TLS, HTTPS או פרוטוקולים דומים. הליך אימות עבור מערכת IT: כניסה למערכת IT באמצעות אימות רב-גורמי.

   2. חסימה אוטומטית במקרה של חוסר פעילות: מחשבים ניידים המשמשים עובדי G-P נעולים באמצעות סיסמה או קוד סודי כאשר אינם בשימוש על ידי המשתמש. בנוסף, נעילת מסך אוטומטית עם הגנה בסיסמה מוגדרת לאחר 15 דקות של חוסר פעילות.

   3. שימוש בתוכנת אנטי-וירוס: מחשבים ניידים בהם משתמשות עובדי G-P מצוידים בתוכנת אנטי-וירוס חדישה המתעדכנת בכל מערכות ה-IT התפעוליות או העסקיות. כעיקרון, אין להפעיל מחשבים ללא הגנה מפני וירוסים מותקנת אלא אם כן ננקטו אמצעי אבטחה חדישים אחרים או שאין סיכון. אסור להשבית או לעקוף את הגדרות האבטחה המוגדרות כברירת מחדל.

   4. "מדיניות שולחן עבודה נקי": עובדי G-P מתבקשים לא להדפיס או לאחסן באופן מקומי נתונים אישיים של נושאי מידע, לא להשאיר חומרי עבודה במקום בו צדדים שלישיים עלולים לצפות בהם, ולאחסן את כל חומרי העבודה כראוי. מסמכים שרופא G-P מחויב על פי חוק לשמור בעותק פיזי מאוחסנים בארונות נעולים.

4. בקרות גישה בתוך הפלטפורמה: בקרות גישה מבטיחות שאנשים המורשים להשתמש במערכת עיבוד יוכלו לגשת רק למידע האישי המכוסה על ידי הרשאת הגישה שלהם.

   1. תפקידים והרשאות

      1. תפקידים והרשאות פלטפורמה – גישת לקוח: משתמשי לקוח יכולים להציג ולערוך פרטי חשבון לקוח.

      2. תפקידים והרשאות פלטפורמה – גישה מקצועית: משתמשים מקצועיים יכולים לצפות ולערוך את המידע המקצועי שלהם. אנשי מקצוע יכולים גם לקבל תפקיד גישת לקוח לפי דרישה + אישור

      3. תפקידים והרשאות פלטפורמה – גישה פנימית: למשתמשי גישה פנימית יש תפקידים מגוונים. יש להם גישה מגוונת ליצירה, צפייה, עריכה ואישור של הפריטים הבאים:

         • מידע על הלקוח

         • פרטי חיוב

         • מידע על שותפים

         • מידע על רישומי כוח אדם מקצועי

      4. הגישה למערכת הניהול מוגבלת בדרך כלל לעובדים מיומנים בתחומי תמיכת לקוחות ופיתוח מוצרים.

5. חומת אש כשירות: G-P משתמשת בחומת אש חיצונית כשירות המאפשרת לה להעניק או לחסום גישה לאתרי אינטרנט כדי לוודא שמערכות לא יוכלו לגשת לתוכן זדוני ולהגביל את הגישה לתוכן לא הולם.

6. רישום כניסה לפלטפורמה: G-P שומר רישום של כל פעילות הכניסה.

7. הפרדה: הבטחה שניתן לעבד נתונים אישיים שנאספו למטרות שונות בנפרד ולהפריד אותם מנתונים ומערכות אחרות באופן שאי אפשר להשתמש בהם באופן לא מתוכנן למטרות אחרות.

   1. הפרדת סביבות פיתוח, בדיקה ותפעול: ניתן להעביר נתונים מסביבת ההפעלה לסביבות בדיקה או פיתוח רק אם הם הפכו אנונימיים לחלוטין לפני ההעברה. העברת הנתונים האנונימיים חייבת להיות מוצפנת או דרך רשת אמינה. תוכנה שתועבר לסביבת ההפעלה חייבת להיבדק תחילה בסביבת בדיקה זהה ("staging"). תוכנות לניתוח שגיאות או ליצירה/קומפילציה של תוכנה מותר להשתמש בסביבת ההפעלה רק אם לא ניתן להימנע מכך. זה נכון במיוחד אם מצבי שגיאה תלויים בנתונים שיזויפו עקב דרישות האנונימיזציה בעת העברה לסביבות בדיקה.

   2. הפרדה ברשתות: G-P מפרידה את הרשתות שלה לפי משימות. הרשתות הבאות נמצאות בשימוש קבוע: סביבת הפעלה ("Production"), סביבת בדיקה ("Staging", "Sandbox"), סביבת פיתוח ("Dev") וצוות IT במשרד. בנוסף לרשתות אלו, נוצרות רשתות נפרדות נוספות לפי הצורך, למשל, עבור בדיקות שחזור ומבחני חדירה. בהתאם לאפשרויות הטכניות, הרשתות מופרדות פיזית או באמצעות רשתות וירטואליות.

8. זְמִינוּת בקרה: G-P נוקטת בצעדים הבאים כדי להבטיח כי מידע אישי מוגן מפני השמדה או אובדן מקריים.

   1. נהלי הגנת נתונים/גיבוי: כדי להבטיח זמינות נאותה, G-P מיישמת תמונות מצב יומיות של מסד הנתונים שלה עם רפליקציה לאזור אחר. כמו כן, ננקטים אמצעים על מנת להבטיח שעובדים בעלי צורך עבודה לעיין בנתונים יוכלו לגשת רק למערכי נתונים משוכפלים.

   2. יתירות גיאוגרפית בכל הנוגע לתשתית שרתים של נתונים פרודוקטיביים וגיבויים

   3. ניהול אירועי IT ("ניהול תגובה לאירועים"): קיים קונספט ונהלים מתועדים לטיפול באירועים ובאירועים רלוונטיים לבטיחות. זה כולל את התכנון וההכנה של התגובה לאירועים, נהלים לניטור, גילוי וניתוח אירועים רלוונטיים לאבטחה והגדרת תחומי אחריות וערוצי דיווח תואמים במקרה של הפרת הגנת מידע אישי במסגרת הדרישות החוקיות.

2) אמצעים ארגוניים להבטחת פרטיות והגנה על נתונים

G-P יישמה את האמצעים הארגוניים הבאים כדי להבטיח שהארגון יפעל באופן העומד בדרישות פרטיות והגנה על נתונים.

1. הוראות ארגוניות: G-P פיתחה ומפתחת תוכנית לניהול נתונים הכוללת מדיניות, נהלים והנחיות שעל העובדים לפעול לפיהם. התיעוד כולל כיצד לזהות ולנהל בעיות פרטיות נתונים, שיטות עבודה מומלצות להבטחת תאימות לדרישות הפרטיות ומדיניות לטיפול באירועי פרטיות.
2. מחויבות לסודיות ולהגנת מידע: G-P פיתחה ומפתחת תוכנית ניהול מידע הכוללת מדיניות, נהלים והנחיות שעל העובדים לפעול לפיהם. כל העובדים והקבלנים מחויבים בכתב לסודיות ולהגנת מידע, כמו גם לחוקים רלוונטיים אחרים. כל העובדים עוברים הכשרה בנושא פרטיות ואבטחה. ביקורות פנימיות בנושא הגנת נתונים ואבטחת מידע נערכות באופן קבוע. ביקורות מתבצעות על בסיס קריטריונים/תוכניות בדיקה משותפות. עובדי וקבלני G-P מתבקשים לעבד מידע אישי מסיבות חוקיות בלבד, בהתאם לחוזים הרלוונטיים עם הלקוח והמקצוען, תוך התחשבות בכל הסכמה מפורשת שניתנה או נמנעה על ידי נושא המידע, ובהתאם לכל חובה חוקית של הארגון.
3. הדרכת הגנת מידע: כל העובדים מקבלים הדרכת פרטיות ואבטחה, אשר זמינה לעיון בכל עת בפלטפורמת ההדרכה G-P .
4. בקרות גישה פיזיות: G-P יש את הבקרות הפיזיות הבאות כדי למנוע גישה של אנשים לא מורשים לציוד מערכות IT המשמש לעיבוד.
   1. הגנה אלקטרונית על דלתות: דלתות הכניסה למשרדי G-P המשפחה תמיד נעולות ומאובטחות אלקטרונית. הדלתות נפתחות באמצעות משיב אלקטרוני אישי.
   2. חלוקה מבוקרת של מפתחות: מתבצעת הקצאה מרכזית ומתועדת של מפתחות לעובדי G-P . ניתן לנטרל משיבים/מפתחות אלקטרוניים אלה באופן מרכזי על ידי כל מנהל משרד או על ידי מחלקת אנשים משאבים.
   3. פיקוח וליווי של אנשים חיצוניים: גישה לספקי שירותים חיצוניים וצדדים שלישיים אחרים למקום תתבצע רק לאחר אישור מראש או בליווי G-P משפחה. G-P מיישמת את מדיניות המבקרים הכתובה שלה כאשר מבקרים מוזמנים למקום.
   4. אבטחת מבנים עם צורך מוגבר בהגנה: מבנים או ארונות עם דרישות הגנה מוגברות, כגון משרדים משפטיים ואתרי תפעול מסוימים, מצוידים בארונות ומגירות ננעלים. ארונות ומגירות בהם מוחזקים מסמכים משפטיים, חוזים ומסמכים סודיים יש לנעול בכל עת, למעט כאשר הם בשימוש.
   5. דלתות וחלונות סגורים: העובדים מקבלים הנחיות ארגוניות לסגור או לנעול חלונות ודלתות מחוץ לשעות הפעילות.
5. יכולת שחזור: G-P מבטיחה שניתן יהיה לשחזר מערכות בשימוש במקרה של כשל פיזי או טכני.

   1. בדיקות שחזור תקופתיות ("בדיקות שחזור"): בדיקות שחזור מלאות תקופתיות מבוצעות כדי להבטיח יכולת שחזור במקרה חירום/אסון.

   2. תוכנית חירום ("קונספט התאוששות מאסון"): קיימת קונספט לטיפול במצבי חירום/אסונות ותוכנית חירום תואמת. G-P מבטיחה שחזור של כל המערכות על סמך גיבויי הנתונים/גיבויים, בדרך כלל תוך 48 שעות.

   3. אמצעי סקירה והערכה: הצגת הנהלים לסקירה, הערכה והערכה שוטפים של יעילות האמצעים הטכניים והארגוניים.

6. צוות פרטיות: לארגון יש משרד פרטיות נתונים גלובלית הממונה על תכנון, יישום, הערכה והתאמת אמצעים בתחום הגנת המידע.

7. ניהול סיכונים: קיים תהליך לניתוח, הערכה והקצאת סיכונים ולגזירת צעדים על סמך סיכונים אלה.

3) סקירה בלתי תלויה של אבטחת מידע

1. ביצוע ביקורות: ביקורות פנימיות בנושא הגנת נתונים ואבטחת מידע נערכות באופן קבוע. ביקורות מתבצעות על בסיס קריטריונים/תוכניות בדיקה משותפות.
2. סקירת תאימות מול מדיניות ותקני אבטחה: נבדקת באופן קבוע עמידה בהנחיות האבטחה, התקנים ודרישות אבטחה אחרות הרלוונטיות לעיבוד נתונים אישיים. במידת האפשר, בדיקות אלו מבוצעות באופן אקראי ובלתי צפוי.
3. אימות תאימות למפרטים טכניים: סריקות פגיעויות אוטומטיות וידניות באופן קבוע מבוצעות על ידי מחלקת ה-IT או אנשי צוות מוסמכים אחרים כדי לאמת את אבטחת היישומים והתשתית, כמו גם את הפיתוח השוטף של המוצר. בדיקות חדירה מפורטות מבוצעות על ידי ספק שירות חיצוני כדי לבחון באופן ספציפי את היישומים והתשתית לאיתור פגיעויות.
4. עיבוד בהוראה: עובדי G-P מונחים לעבד מידע אישי מסיבות חוקיות בלבד, בהתאם לחוזים הרלוונטיים עם הלקוח והמקצוען, תוך התחשבות בכל הסכמה מפורשת שניתנה או נמנעה על ידי נושא המידע, ובהתאם לכל חובה חוקית של הארגון.
5. בחירת ספקים קפדנית: G-P מקפידה על תהליך המיון המקדים של הספקים שלה בעת בחירת ספקים וספקים שעשויים להיתקל במידע מוגן. תהליך זה כולל משוב ממחלקות הכספים והמשפט/פרטיות ומשלב הערכת סיכונים, מיון מוקדם לאבטחה ושלבי אישור תיעוד. ספקים שיעבדו נתונים מוגנים יידרשו להוכיח את עמידתם בחוקי פרטיות הנתונים החלים, לרבות סעיף 28 האסדרה הכללית להגנה על מידע עבור נתונים מכוסים.

 

נספח ג' 

רשימת מעבדי משנה

 

מעבד משנה	מיקום ופרטי קשר	תיאור העיבוד
חברות בנות של G-P	https://www.globalization- partners.com/contact-us/	אספקת הפלטפורמה וניהול קשרי לקוחות
אקומטיקה	3933 Lake Washington Blvd NE #350, Kirkland, WA 98033, ארה"ב	שירותים פיננסיים
שירות האינטרנט של אמזון	ת.ד. תיבה 81226 סיאטל, וושינגטון 98108-1226, ארה"ב	אירוח – ספק שירותי ענן
מיקרוסופט	תאגיד מיקרוסופט דרך אחת של מיקרוסופט רדמונד, וושינגטון 98052 ארה"ב טלפון: (+1) 425-882-8080.	תמיכה בתהליכים עסקיים לתקשורת (דוא"ל) וניהול שירותים
אטלסיאן	350 קומת רחוב בוש 13 סן פרנסיסקו, קליפורניה 94104, ארה"ב +1 415 701 1110	תמיכה בתהליכים עסקיים לניהול שירותים
דוקו סיין	DocuSign International (EMEA) Ltd, לידי: צוות הפרטיות, 5 Hanover Quay, קומת קרקע, דבלין 2, רפובליקת אירלנד	ניהול מסמכים
Salesforce.com	מגדל סיילספורס, רחוב מישן 415 , קומה 3 , סן פרנסיסקו, קליפורניה 94105, ארה"ב 1-800-387-3285	תמיכה בתהליכים עסקיים לניהול קשרי לקוחות (CRM)
זנדסק	רחוב מרקט 989 סן פרנסיסקו, קליפורניה 94103, ארה"ב zendesk.com 888-670-4887	פניות למוקד התמיכה של תמיכת לקוחות
Workday	6110 דרך סטונרידג' מול פלזנטון, קליפורניה 94588, ארה"ב	תמיכה בתהליכים עסקיים לניהול שכר, הטבות, משאבי אנוש ונתוני עובדים.
שירות עכשיו	2225 לוסון ליין סנטה קלרה, קליפורניה, 95054 אַרצוֹת הַבְּרִית	תמיכה בתהליכים עסקיים עבור שירותי IT וניהול תפעול, חוויית העובד והלקוח באמצעות (זרימת עבודה אוטומטית מבוססת ענן)
דאטבריקס	160 רחוב ספיר, קומה 15 סן פרנסיסקו, קליפורניה 94105 1-866-330-0121 אַרצוֹת הַבְּרִית	תשתית מחסן נתונים בענן.
דאטדוג	620 שדרה 8קומה 45 ניו יורק, ניו יורק 10018 אַרצוֹת הַבְּרִית	כלי לניטור וניפוי שגיאות שירות
חָכָם	שדרת לואיז 54, חדרים52, 1050 בריסל בלגיה	מעבד תשלומים מקוון
גוגל	1600 אמפיתיאטרון פארקווי, מאונטיין וויו, קליפורניה 94043	תמיכה בתהליכים עסקיים לתקשורת (דוא"ל) ואחסון מסמכים פנימי