MSA 隱私權語言

 資料保護附錄

客戶已與G-P簽訂主協議或性質和目的類似的協議（以下簡稱「主協議」）。此主協議的執行可能涉及個人資料的處理。客戶和G-P （以下統稱「雙方」）同意，本資料保護附錄（「DPA」）規定了雙方就G-P根據主協議向客戶提供的服務所涉及的個人資料處理和安全方面的義務，並且雙方同意受本DPA的約束。本DPA是對主協議條款和條件的補充，並已納入主協議。若本DPA與雙方就本文所述事項達成的任何其他協議之間存在衝突，則以本DPA為準。如果客戶已與G-P簽訂並生效的資料保護附錄，則該附錄優先於本DPA，除非客戶和G-P另有書面約定，否則本DPA無效。

 

鑒於：

1. 當G-P向客戶提供雇主記錄服務時， G-P 擔任任何由客戶選定的受聘人員（「專業人員」）的法定代理人。.
2. 對於此類專業人員的個人數據， G-P在僱傭關係期間是數據控制者。
3. 對於客戶為其自身目的而收集和使用的專業人員個人資料，客戶也是控制者，有獨立的隱私權義務。
4. 在提供名義雇主服務時， G-P與客戶之間專業人員個人資料的交換是在獨立的控制者對控制者關係下進行的，並且 以下2 小節中定義的「控制器對控制器」(Controller-to-Controller) 詞彙應適用。
5. G-P也透過G-P的平台（「GPP」）提供各種軟體即服務產品， G-P透過該平台使客戶能夠管理與這些專業人士的關係。
6. 透過向客戶提供GPP存取權限， G-P成為客戶指定的GPP授權使用者上傳至GPP的帳戶相關資料的處理者。 以下第 3 節定義的控制器至處理器相關術語適用。

 

G-P和客戶已達成以下協議：

 

1. DEFINITIONS

1.1. 此處未定義的詞彙具有主協議中規定的涵義。本 DPA 中的下列詞彙具有下列涵義：

1 . 2 . 「授權使用者」是指經客戶許可的個人，該個人可能包括客戶的員工和/或承包商，根據主協議的執行，代表客戶存取和使用GPP 。

1 . 3 . 「客戶資料」指與任何授權使用者或可識別的自然人相關的任何個人數據，這些資料由G-P代表客戶傳輸、處理或存儲，供客戶使用 GPP。

1 . 4 . 「資料保護法」指本協議一方所受約束的任何資料保護和隱私權法律，以及適用於所提供服務的任何資料保護和隱私權法律，包括但不限於《一般資料保障條例》、《英國通用資料保障條例》、《瑞士資料保護法》、《美國隱私權法》（包括州和聯邦法律）和《巴西LGPD》 。

1 。 5 。 「一般資料保障規範」指一般資料規則 (EU) 2016 / 679 。

1 . 6 . 「 GPP 」指G-P的專有軟體，包括但不限於該軟體、行動版本、其中包含的任何軟體，以及透過使用G-P的專有軟體或第三方服務提供的任何數據，包括其更新、升級、平台即服務和文件。

1.7. 「EEA」指歐洲經濟區。

1.8. 「LGPD」指第13.709 號巴西法律，即《個人資料保護一般法》，可能會修正、取代或更換。

1 . 9 . 「主協議」指客戶與G-P之間就提供服務而簽訂的協議。

1 。 10 。 「隱私權政策」指G-P的隱私權政策，該政策會不時更新，可在https://www.globalization-partners.com/privacy-policy/處查看。

1 . 11 . 「專業人士資料」是指G-P在向客戶提供姓名義僱主服務過程中處理的專業人士個人資料。

112 。 "受限制轉移" 指將個人資料轉移到歐洲經濟區、英國、瑞士或巴西以外的國家，而該國家不受適用資料保護法下的 充分性決定所規限，因此需要適用資料保護法下的適當保障措施。

1 . 13 . 「服務」是指G-P根據主協定提供給客戶的服務，其中可能包括名義雇主服務以及 GPP 的存取和使用。

1 。 14 。 「標準合約條款」或「SCC」是指：(i) 在適用《一般資料保障條款》的情況下，指歐盟委員會於4 6月2021日發布的實施決定(EU) 2021 / 914所附的標準合約條款，即根據歐洲議會和理事會2016 / 679條例(EU)傳送個人資料給第三國的標準合約條款，可在https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914&from=EN查閱（「歐盟標準合約條款」）；(ii) 在適用《英國通用資料保障條款》的情況下，指根據第46 ( 2 )(c)條通過的適用標準資料保護條款；或(d)在適用《英國通用資料保障條款》的情況下，指資訊專員辦公室依據第13條發布的歐盟標準合約條款國際資料傳輸附錄（「英國附錄」）。 《資料保護法》第119 A( 1 )條，以及根據2018法第18條修訂的英國附錄（「英國標準合約條款」）；(iii)如果適用瑞士資料保護法，則適用瑞士聯邦資料保護局和資訊專員辦公室發布、批准或認可的適用標準資料保護條款（「瑞士標準合約條款」）；如果適用巴西《通用資料保護法》(LGPD)，則適用巴西國家資料保護局（「ANPD」）頒布的第19 / 2024號決議所附的修訂標準條款（這些條款可能會被未使用標準條款）。

115. 「瑞士資料保護法」或「FADP」 是指(i) 瑞士聯邦資料保護法 (日期為 年 6 月19， 1992 ，截至 年 3 月， ) (「1 2019FDPA」)；(ii) 聯邦資料保護法條例 (「FODP」)；及 (iii) 根據、依據、取代或繼承而制定的任何國家資料保護法，以及取代或更新前述任何法律的任何立法。

1 . 16 . 「英國附加條款」指英國資訊專員發布的歐盟標準合約條款的英國國際資料傳輸附加條款。

1 . 17 . 「英國資料保護法」指根據英國《歐盟（撤回）法案》 2019 （ 「英國一般資料保障條例」）第3條和《資料保護法》 2018 （統稱為「英國資料保護法」）納入英國法律的一般資料保障條例。

118. 「美國隱私法」係指與個人資料處理相關之適用美國 (US) 州法律、命令、法規及法規指引，包括但不限於：(a) CCPA；(b) 維吉尼亞州消費者資料保護法；(c) 科羅拉多州隱私法；(d) 康乃狄克州資料隱私與線上監控法；(e) 猶他州消費者隱私法；及 (f) 所有類似的州法律。

1.19. "控制者" " 資料當事人","個人資料", 「個人資訊」 「資料外洩」,"處理者","處理/處理", 「限制傳輸」, 「服務供應商」 和/或任何其他類似詞彙和概念應具有資料保護法中定義的含義。

 

 

2. CONTROL OF PERSONAL DATA

2 . 1 . 各方角色。如果G-P是作為獨立資料控制者運作， G-P在處理個人資料時應遵守資料保護法規定的資料控制者義務，並依照G-P隱私權政策（見https://www.globalization-partners.com/privacy-policy/中所述處理個人資料。客戶作為資料控制者在處理個人資料時應遵守資料保護法律規定的義務。在任何情況下，雙方不得以共同資料控制者身分處理本資料處理協議項下的個人資料。

2 . 2 . 責任與確認。各方均可依本資料處理協議，作為獨立的資料控制者處理專業人員的個人資料。各方同意履行各自的義務，並根據本資料處理協議以及適用於各方個人資料處理操作的所有資料保護法律，公平合法地處理任何個人資料。各方應確保其對個人資料的處理僅限於G-P提供的通用個人資料保護協議（GPP）的目的，並基於合法處理的法律依據。各方將相互協助履行其在資料保護法律項下的各自義務，包括但不限於在發生資料外洩時相互協助，以及回應資料主體和/或監管機構的要求。

 

3. PROCESSING OF PERSONAL DATA

 

3 . 1 . 範圍。使用 GPP可能涉及G-P作為資料處理者或服務提供者代表客戶處理客戶資料。

3 . 2 . 說明。 GP G-P按照客戶提供的書面說明處理客戶資料。 客戶同意本資料處理協議、主協議以及附件一（見下文）包含客戶提供給G-P的所有關於處理客戶資料的完整指示。 任何附加或替代指示必須由雙方以書面形式達成一致，包括遵守此類指示所產生的費用（如有）。 客戶應確保其指示符合適用的資料保護法律。客戶知悉並同意， G-P不負責確定哪些法律適用於客戶的業務。客戶應確保G-P依照客戶指示處理客戶資料時，不會導致G-P違反任何適用法律，包括適用的資料保護法律。 但是，如果G-P認為客戶的指示違反了適用的資料保護法律， G-P應在合理可行的範圍內盡快通知客戶G-P並且 GP 無需遵守此類侵權指示。

3.3. 處理的詳情。處理標的事項、持續時間、性質和目的、客戶資料類型和資料當事人的詳細資料，請參閱隨附的附件一。

3 . 4 . 合規性。客戶和G-P同意遵守適用於附件一所述客戶資料處理的資料保護法規定的各自義務。客戶全權負責在向G-P披露、傳輸或以其他方式提供任何客戶資料之前，確保客戶資料處理的合法性符合資料保護法律的規定。 為避免疑義，在任何情況下，客戶應在必要時取得資料主體的同意，以便G-P依照客戶的指示處理客戶資料。

3 . 5 . 分包處理者。客戶授權G-P指定並使用處理者（「分包處理者」）處理與服務相關的客戶資料。 分包G-P可能包括第三方或G-P集團的任何成員公司。 GP可繼續使用截至本資料處理協議簽署之日已聘用的分包商，此類分包商的名單請參閱下文附件三。如分包商未能履行上述資料保護義務， G-P應就該分包商履行其義務的情況向客戶承擔責任。 GP應透過G-P通知G-P其分包商名單的任何變更。如客戶在收到該通知後10 （10）日內，基於資料保護理由對分包商的增減提出合理異議，且G-P無法合理滿足客戶的異議，則雙方應本著誠意協商解決客戶的疑慮。

3 . 6 . 技術和組織安全措施。考慮到行業標準、實施成本、處理的性質、範圍、背景和目的，以及與客戶資料處理相關的任何其他相關情況， G-P應實施適當的技術和組織安全措施，以確保處理客戶資料所涉及的處理系統和服務的安全性、保密性、完整性、可用性和彈性與此類客戶資料的風險相稱，詳見附件二。 G-P將定期 (i) 測試和監控其保障措施、控制措施、系統和程序的有效性，以及 (ii) 識別客戶資料安全、保密性和完整性方面可合理預見的內部和外部風險，並確保這些風險得到解決。

3 . 7 . 保密性G-P應確保獲授權存取客戶資料的人員 (i) 已承諾保密或負有適當的法定保密義務，並且 (ii) 僅在G-P的書面指示下存取客戶數據，除非適用法律要求這樣做。

3 . 8 . 個人資料外洩。 GP在知悉與客戶資料處理相關的資料外洩事件後，將立即通知G-P ，並盡合理努力協助客戶盡可能減輕任何資料外洩的不利影響。

3 . 9 . 刪除個人資料。 服務終止後（無論出於何種原因）， G-P應在合理可行的範圍內盡快返還或刪除儲存在GPP中的客戶數據，除非適用法律要求將客戶數據儲存更長時間。對於此類資料保留，本資料處理協議的條款應繼續適用於此等客戶資料。

3 . 10 . 資料主體請求。 G-P應及時將任何資料主體關於客戶資料的請求告知客戶。客戶負責回應此類請求。如果客戶在使用GPP時無法存取相關客戶數據， G-P將在合理範圍內協助客戶回應此類資料主體請求。

3 . 11 . 第三方請求。如果G-P收到任何第三方提出的請求，或任何具有管轄權的法院、仲裁機構、監管機構或政府G-P就本協議項下客戶資料處理事宜發出的命令， G-P將立即將該請求轉交給客戶。除非法律強制要求，否則未經客戶事先授權， G-P不會回應此類請求。除非法律禁止，否則G-P將在披露客戶資料前事先通知客戶，並將與客戶合理合作，將此類披露的範圍限制在法律要求的範圍內。 

3 . 12 . 資料保護影響評估和事先諮詢。在資料保護法律要求的範圍內， G-P應向客戶提供合理的協助，以進行與G-P處理客戶資料相關的資料保護影響評估，和/或與監管機構進行任何必要的事先諮詢。 GP G-P就提供此類協助向客戶收取合理費用的權利。

3 . 13 . 審計。 客戶可透過申請第三方審計機構（例如 ISO 27001認證、SOC 2認證）出具的安全驗證證書，對G-P遵守本資料處理協議 (DPA) 和資料保護法律的情況進行審計。此證書應在客戶提出申請之日起十二 ( 12 ) 個月內簽發。或者，如果根據本3 13條提供的文件不足以證明合規性，客戶除可獲得第三方認證或報告外，還可自行進行審計，但該審計應符合以下條件：i) 每12 （ 30 ）個月期間不得超過一次；ii) 在正常工作時間內進行，且不得乾擾G-P的日常業務；iii) 天；基於雙方商定的參數和範圍，且僅限於本協議項下擬進行的特定服務、正在使用的系統和/或處理活動。 vi) 基於雙方事先約定的日期，但客戶可應G-P的合理要求合理延期；以及 vii) 遵守所有保密義務和限制。儘管有上述規定，除客戶必須證明的法律義務外，主協議終止後，GP不授予任何審計權。任何被選定代表客戶執行審計的第三方業務代表不得與任何名譽主服務公司、代理機構、關聯組織或顧問有任何利益關係或隸屬關係。本資料處理協議中的任何內容均不要求G-P向客戶或其第三方審計師揭露，或允許客戶或其第三方審計師存取：(i) 任何其他G-P客戶的任何資料；(ii) G-P的內部會計或財務資訊；(iii) G-P或其關聯公司的任何商業機密。 （iv） G-P合理認為可能損害G-P任何系統安全或導致其違反適用法律規定的義務或對任何第三方承擔的安全或隱私義務的任何資訊；或（v）客戶或其第三方審計師出於除善意履行客戶在資料保護法下的義務之外的任何原因而尋求存取的任何資訊。

3 . 14 . 美國隱私權法。根據本第3條（「個人資料處理」），雙方同意， G-P是適用美國隱私法定義的「服務提供者」或「處理者」。因此，如果美國隱私法適用於G-P對客戶數據的處理， G-P不得：(a) 在G-P與客戶之間的直接業務關係之外保留、使用或披露任何客戶數據，或用於除本協議附件一所列目的之外的任何其他目的，且G-P僅在向客戶提供服務期間處理客戶數據；(b) 出售任何客戶數據；(c) 共享任何客戶數據；或 (d)將G-P從客戶或代表客戶接收的客戶資料與GP從他人或代表他人接收的，或從其自身與消費者互動中收集的「個人資料」（該術語或等效術語的定義見適用資料保護法）合併，但如果合併客戶資料屬於向客戶提供服務的範疇，則G-P可以合併客戶資料。在適用情況下，任何一方如認定自己無法再履行其在美國隱私權法項下的義務，應通知另一方。

 

 

4. International Data Transfers

4 . 1 . 適當的保護措施。在正常的業務過程中， G-P被授權將客戶資料傳輸給其關聯公司和/或子處理商。 當向相關資料保護機構尚未認定其能夠根據資料保護法為個人資料提供足夠保護水準的地區進行此類資料傳輸時， G-P應確保採取適當的保護措施，以保障根據主協議或與主協議相關的傳輸的客戶資料的安全。

4.2. 資料隱私權框架 。 專業人員和客戶資料儲存在 GPP 中， G-P託管於美國。 GP 已獲得歐盟-美國資料隱私框架 (EU-US DPF) 認證，並在適用情況下獲得歐盟-美國資料隱私框架的英國擴展以及瑞士-美國資料隱私框架 (Swiss-US DPF) 認證。 G-P的認證可以在 DPF 網站h ttps://www.dataprivacyframework.gov/list上公開確認。 歐盟委員會認為歐盟-美國資料隱私框架是充分的，它分別符合《一般資料保障條例》第45條、《英國通用資料保障條例》和《聯邦資料保護條例》（FADP）規定的合法資料傳輸機制。如果資料隱私框架失效、暫停或不再被認可為對國際資料傳輸提供充分保護，則資料處理者同意簽署並遵守由歐盟委員會、英國資訊專員辦公室（ICO）或瑞士聯邦資料保護和資訊專員（FDPIC）發布或批准的標準合約條款（SCC ）（視情況而定）。各方應本著誠信原則合作，實施任何必要的補充措施，以確保傳輸的資料獲得實質上同等的保護水準。

4 . 3 . 標準合約條款。雙方同意，當客戶（作為「資料匯出方」）向G-P （作為「資料導入方」）傳輸個人資料屬於受限傳輸，且適用的資料保護法律要求採取適當的保障措施時，此類傳輸應受相應的標準合約條款約束，這些條款應被視為已納入本資料處理協議並構成其一部分，具體如下：

1. 關於個人資料傳輸 受一般資料保障規則保護的，歐盟 SCC 應適用，填寫如下：

1. 單元一和單元二應適用；
2. 在7 條款中，可選的停靠條款將適用；
3. 9 2 子處理商變更的事先通知期限應如本 DPA 第3.5 條所規定；
4. 在第11 條中，選擇性語言將不適用；
5. 在12 條款中，根據歐盟 SCC 提出的任何索賠應受總協議中規定的條款和條件的約束；
6. 在條款17 中，選項1 將適用，歐盟 SCC 將受愛爾蘭法律管轄；
7. 18(b)條中，爭議應在愛爾蘭法院解決；
8. 歐盟SCC附件I應視為本DPA附件 1 中所述資訊已完成;以及
9. 歐盟 SCC 附件 II 應視為已完成本 DPA 附件2 所列資訊；
10. 歐盟 SCC 單元二的附件 III 應視為已完成本 DPA 附件3 所列資訊。

b.關於受英國資料保護法或瑞士資料保護法保護的個人資料的移轉，依據上述(a)分段實施的歐盟 SCC 將經過以下修改後適用：

1. "法規 (EU)2016/679" 應解釋為英國資料保護法或瑞士資料保護法（如適用）；
2. "法規 (EU)2016/679" 中特定條款的引用應以英國資料保護法或瑞士資料保護法（如適用）中的相應條款或章節取代；
3. "EU","Union","Member State" 及"Member State law" 的提述應以"UK" 或"Switzerland", 或"UK law" 或"Swiss law" （如適用）取代；
4. "成員國" 一詞不得解釋為排除英國或瑞士的資料當事人在其慣常居住地 (即英國或瑞士) 提出權利訴訟的可能性；
5. 不使用13(a) 條和附件 I 的 C 部分，且"主管監管機構" 為英國資訊專員或瑞士聯邦資料保護資訊專員 (如適用)；
6. "主管監督機構" 及"主管法院" 的提述，應以"資訊專員" 及"英格蘭及威爾斯法院" 或"瑞士聯邦資料保護資訊專員" 及"瑞士適用法院" (如適用) 的提述取代；
7. 在17 條款中，標準合約條款應受英格蘭和威爾斯或瑞士（如適用）法律管轄；且
8. 關於英國資料保護法適用的移轉，第18 條應修訂為"本條款引起的任何爭議應由英格蘭和威爾斯法院解決。資料當事人可在英國任何國家的法院對資料出口商和/或資料進口商提起法律訴訟。雙方同意接受該等法院的管轄權" ，而對於適用瑞士資料保護法的轉移，第18(b) 條應說明，爭議應在適用的瑞士法院解決。
9. 對於受英國通用資料保障條款保護的數據，歐盟標準合約條款將按以下方式適用：(i) 根據上文第 (i) 至 (viii) 段的規定完成適用；以及 (ii) 視為已按照英國附錄第2部分的規定進行修訂，該附錄應視為已納入本資料處理協議並構成其不可分割的一部分。 此外，英國附錄1 部分中的表1 至3 應分別填寫本 DPA 附件 I 和附件 II 所列資訊，英國附錄1 部分中的表4 應視為已填寫，選擇"的任何一方均不得選擇" 。

c. 關於 直接或透過轉移，將受 巴西 LGPD 保護的個人資料移 轉至不受 ANPD 發出的適足性決定所規範的巴西境外國家，巴西 SCC 將被視為已簽訂，並藉此併入本 DPA，且填寫 如下：

1. 巴西 SCC 的2 條款符合附件 I 所列的資訊，其中描述了資料傳輸；
2. I在巴西 SCC 的3 條款中，選項 B 應適用，並根據3 條款允許轉移。5 (「子處理者」)。處理的主題、性質和持續時間載於本 DPA 附件一；
3. 本 DPA 附件 I 所載資訊符合巴西 SCC 第4 條的規定。如果G-P是控制者，則它將是巴西標準合約條款中定義的“指定方”，並且就巴西標準合約條款第14條（透明度）、第15條（資料主體權利）和第16條（事件報告）而言，它是指定方。 客戶仍有責任遵守巴西 SCC 的14 條款 (透明度)、15 條款 (資料當事人權利) 和16 條款 (事故報告)，以處理其可能是控制方的任何個人資料；
4. 在巴西 SCC 的9 條款中，選擇性停靠條款將不適用；以及
5. 巴西 SCC 的第三部分（安全措施）將視為已完成本 DPA 附件 II 所列的資訊。

 

附錄一

資料處理說明

 

締約方	資料匯出者：執行主協議的客戶實體 資料導入方：執行主協定的G-P實體。
各方聯絡資訊	主協議中列明的詳細聯絡資訊。
與轉移資料相關的活動	與名義僱主服務相關的活動以及作為服務提供給客戶的 GPP 的使用。
加工活動	所處理/轉移的個人資料可能會受到下列處理活動的影響：與個人資料有關的任何操作，不論所使用的方式和程序為何，特別是資料的收集、組織、儲存、持有、使用、檢索、諮詢、存檔、傳輸、封鎖、刪除或銷毀，系統的操作和維護，合規、法律和審計功能。
處理期限	G-P將在主協議有效期內持續處理客戶資料。
處理的性質與目的	客戶可將客戶資料傳輸至G-P ，傳輸範圍由客戶自行決定及控制。處理資料的目的是根據主協議提供服務。
資料當事人 的類別	a) 雙方作為獨立控制者就專業人員個人資料交換的個人資料。 b) G-P作為資料處理者處理的客戶資料涉及授權使用者。 GPP可能包括客戶的員工和/或承包商。
個人 資料 類型	- 詳細聯絡資訊（如電話號碼和電子郵件）。 · 員工/承包商資料（例如職位名稱和公司名稱）。 - 使用資料 (例如授權使用者裝置的相關資料，以及該裝置與 GPP 的互動方式)。 - 位置資料 (例如從 IP 位址衍生的位置)。 - 內容資料（如客戶檔案中有關專業人士及相關通訊的內容）。 - 認證 (例如密碼、密碼提示和用於認證及帳戶存取 GPP 的類似安全資訊)。 - 授權使用者提供的任何個人資料。
特殊類別資料（如適用）	不適用
保留	個人資料的保留期限至少為任何適用法律規定的最短保留期限，符合適用的限制法規，並符合良好的商業實務。
主管監督機構	愛爾蘭資料保護委員會
轉移給次處理者	對於轉移給處理者，處理的主題、性質和期限與上述定義相同。
G-P隱私聯絡方式	privacy@G-P.com 收件人：全球隱私辦公室。

 

 

附件二

技術與組織措施

 

G-P已通過獨立審計機構的認證和證明，確認符合SOC 2和ISO 27001標準。這些認證G-P我們致力於保護客戶資料。 GP的安全計畫旨在：

• 保護G-P所擁有或G-P可以存取的客戶資料的機密性、完整性和可用性；
• 保護客戶資料的機密性、完整性和可用性免受任何預期的威脅或危害；
• 防止未經授權或非法存取、使用、揭露、更改或銷毀客戶資料;
• 防止客戶資料意外遺失、毀損或損壞;以及
• 依照G-P可能受監管的任何法規規定，保護資訊安全。

 

以下描述了G-P為確保客戶資料處理安全而採取的功能、流程、控制措施、系統、程序和措施：

1)確保資料隱私和保護的技術措施 

1. 隱私設計與預設設定： G-P在產品開發的構思和開發階段考慮了《一般資料保障規範》第25條的要求。 在設定流程和功能時，必須及早考慮資料保護原則，例如合法性、透明度、目的限制、資料最小化等，以及處理的安全性。

2. 個人資料的加密： 確保個人資料僅以不允許第三方識別資料當事人的方式儲存於系統中。

   1. 資料庫和儲存加密： G-P使用的所有資料庫均採用最先進的「靜態」加密技術，以便只有在對相應的資料庫系統進行適當身份驗證後才能讀取資料庫中的資料。

   2. 行動資料媒體加密：不允許使用行動資料載體儲存客戶資料。

   3. 筆記型電腦資料載具的加密：所有員工的筆記型電腦都安裝了適當的最先進硬碟加密技術。

   4. 資訊和文件的加密交換：原則上，資訊和文件的交換透過特殊的申請；求職申請直接加密。 如果個人資料或機密資訊必須傳輸至伺服器，且無法透過 TLS 加密的 HTTPS 上傳傳輸，則會使用安全檔案傳輸協定 (SFTP)、加密信封服務或其他符合技術現況的加密機制傳輸。

   5. 電子郵件加密：原則上， G-P員工發送的所有電子郵件都使用TLS加密。 如果接收郵件伺服器不支援 TLS，則可能出現例外。客戶應確保訂單範圍內使用的相應郵件伺服器支援 TLS 加密。

3. 准入控制： 准入控制的目的在於防止未經授權的人使用和處理受資料保護法保護的資料。

   1. 使用驗證方法：個人資料的存取總是透過加密通訊協定進行：SSH、SSL/ TLS、HTTPS 或類似協定。IT 系統的驗證程序：多因素認證登入 IT 系統。

   2. 閒置時自動鎖定： G-P員工使用的筆記型電腦在使用者不使用時，會自動啟用密碼或 PIN 碼保護進行鎖定。 此外，在15 分鐘未使用後，會設定自動螢幕鎖定，並提供密碼保護。

   3. 使用防毒軟體： G-P員工使用的筆記型電腦配備了最先進的防毒軟體，所有營運或業務 IT 系統均保持最新狀態。 原則上，除非已採取其他等效的最先進安全措施或不存在任何風險，否則不得在沒有駐留病毒防護的情況下操作任何電腦。預設安全設定不得停用或規避。

   4. 「桌面清潔政策」： G-P的員工被要求不得列印或在本地儲存資料主體的個人數據，不得將工作材料留在第三方可能看到的地方，並妥善保管所有工作材料。 G-P依法必須保存紙本文件的文件都存放在上鎖的櫃子裡。

4. 平台內的存取控制：存取控制確保獲得處理系統使用授權的人員只能存取其存取授權範圍內的個人資料。

   1. 角色與授權

      1. 角色和授權平台 – 客戶存取：客戶使用者可以查看和編輯客戶帳戶資訊。

      2. 角色和授權平台 – 專業存取權限：專業使用者可以檢視和編輯自己的專業資訊。專業人員也可根據需求 + 核准獲得客戶存取角色

      3. 角色與授權平台 – 內部存取：內部存取使用者有不同的角色。他們有不同的存取權限，可以建立、檢視、編輯和批准下列內容：

         • 客戶資訊

         • 帳單資訊

         • 合作夥伴資訊

         • 專業人事記錄資訊

      4. 通常只有經過培訓的客戶支援和產品開發領域的員工才能存取管理系統。

5. 防火牆即服務： G-P使用外部防火牆作為服務，允許其授予或阻止對網站的訪問，以確保系統無法存取惡意內容並限制對不當內容的存取。

6. 平台登入記錄： G-P會保留所有登入活動的記錄。

7. 可分離性： 確保為不同目的收集的個人資料可分開處理，並與其他資料和系統分離，以避免這些資料被意外用於其他目的。

   1. 開發、測試和作業環境的分離：只有在傳輸前已完全匿名的情況下，才可將作業環境的資料傳輸至測試或開發環境。匿名資料的傳輸必須加密或透過可信賴的網路。要轉移到作業環境的軟體必須先在相同的測試環境中進行測試 ("staging")。只有在無法避免的情況下，才可在作業環境中使用錯誤分析或軟體建立/編譯的程式。如果錯誤情況取決於轉移到測試環境時會因匿名化要求而被偽造的資料，情況尤其如此。

   2. 網路分離： G-P根據任務分離其網路。 以下網路會被永久使用：作業環境（「生產環境」）、測試環境（「暫存」、「沙盒」）、開發環境（「開發」）辦公室 IT 人員。除了這些網路外，還會根據需要建立更多獨立網路，例如用於還原測試與滲透測試。根據技術可能性，這些網路會被物理上或虛擬網路分隔。

8. 可用性 控制： G-P採取以下措施，以確保個人資料免受意外銷毀或遺失。

   1. 資料保護程序/備份：為確保足夠的可用性， G-P對其資料庫實施每日快照，並複製到不同的區域。 我們也採取了措施，以確保根據工作需要檢閱資料的員工，只能獲准存取複製資料集。

   2. 生產資料和備份伺服器基礎架構的地理備援

   3. IT 事件管理 ("Incident Response Management")：有處理事故和安全相關事件的概念和成文程序。這包括對事件回應的規劃和準備，監控、檢測和分析安全相關事件的程序，以及在法律要求的框架內，在發生違反個人資料保護的情況時，定義相應的責任和報告渠道。

2)確保資料隱私和保護的組織措施

G-P已採取以下組織措施，以確保本組織以符合資料隱私和保護要求的方式運作。

1. 組織指示： G-P已經制定並正在製定資料治理計劃，其中包括政策、程序和員工應遵循的指南。 文件包括如何識別和管理資料隱私權問題、確保隱私權合規的最佳實務，以及處理隱私權事件的政策。
2. 對保密性和資料保護的承諾： G-P已經制定並正在製定資料治理計劃，其中包括政策、程序和員工應遵循的指南。 所有員工和承包商都受到保密和資料保護以及其他相關法律的書面約束。所有員工都會接受隱私& 安全訓練。定期進行資料保護和資訊安全的內部稽核。稽核依據共同的測試標準/方案進行。G-P的員工和承包商被指示僅出於合法原因，根據與客戶和專業人員簽訂的適用合約處理個人數據，並適當考慮資料主體給予或拒絕的任何明確同意，以及遵守組織的任何合法義務。
3. 資料保護培訓：所有員工均接受隱私和安全培訓，可隨時在G-P培訓平台上進行回顧。
4. 實體存取控制： G-P已採取以下實體控制措施，以阻止未經授權的人員存取用於處理的 IT 系統設備。
   1. 電子門禁系統： G-P診所的入口大門始終處於鎖定狀態，並採用電子安全措施。 門是透過個人電子應答器開啟的。
   2. 金鑰的受控分發： G-P的員工將金鑰進行集中、有記錄的分配。 這些電子應答器/鑰匙可以由各辦公室經理或人力資源部門集中停用。
   3. 外部人員的監督和陪同：外部服務提供者和其他第三方只有在事先獲得授權或由G-P的工作人員陪同的情況下才能進入場所。 G-P在邀請訪客到訪診所時，會執行其書面訪客政策。
   4. 保護需求增加的處所的安全：有更高保護需求的場所或機櫃，例如法律事務所和某些營運地點，都會配備上鎖的機櫃和抽屜。存放法律文件、合約和機密文件的櫃子和抽屜，除非在使用中，否則必須隨時上鎖。
   5. 關閉門窗：組織指示員工在非辦公時間關閉或鎖上門窗。
5. 可恢復性： G-P確保正在使用的系統在發生實體或技術故障時可以恢復。

   1. 定期測試資料復原 ("Restore-Tests")：定期進行全面還原測試，以確保在緊急/災難事件中的可恢復性。

   2. 應急計畫("災害復原概念")：有處理緊急情況/災害的概念和相對應的緊急計畫。G-P確保所有系統都能根據資料備份/備份進行恢復，通常在48小時內完成。

   3. 審查和評估措施：介紹對技術和組織措施的有效性進行定期審查、評估和評價的程序。

6. 隱私團隊：本組織設有全球資料隱私保護辦公室，負責規劃、實施、評估和調整資料保護領域的措施。

7. 風險管理：有一個分析、評估和分配風險的流程，並根據這些風險制定措施。

3)資訊安全的獨立審查

1. 執行稽核：定期進行資料保護和資訊安全的內部稽核。稽核依據共同的測試標準/方案進行。
2. 審查安全政策和標準的遵守情況： 定期檢查個人資料處理是否符合適用的安全指引、標準及其他安全要求。在可能的情況下，這些檢查會以隨機和意外的方式進行。
3. 驗證是否符合技術規格： 由 IT 部門或其他合格人員定期執行自動和手動弱點掃描，以驗證應用程式和基礎架構的安全性，以及產品的定期開發。由外部服務供應商執行詳細的滲透測試，以特別檢查應用程式和基礎架構的弱點。
4. 按照指示進行處理： G-P的員工被指示僅出於合法原因，根據與客戶和專業人員簽訂的適用合約處理個人數據，並適當考慮數據主體給予或拒絕的任何明確同意，以及遵守組織的任何合法義務。
5. 謹慎選擇供應商： G-P在選擇可能接觸受保護資料的供應商時，會嚴格遵守其供應商資格預審流程。 此流程包括財務和法律/隱私部門的回饋，並包含風險評估、安全預審和文件認證步驟。處理受保護資料的供應商將被要求證明其遵守適用的資料隱私法律，包括《一般資料保障規範》第28條關於受保護資料的規定。

 

附錄三 

子處理器清單

 

次處理器	地點與聯絡資訊	加工說明
G-P子公司	https://www.globalization-partners.com/contact-us/	提供平台和客戶關係管理
Acumatica	3933 Lake Washington Blvd NE #350, Kirkland, WA98033, 美國	金融服務
亞馬遜網路 服務	P.O.盒子81226 西雅圖, WA98108-1226, 美國	寄存 - 雲端服務供應商
微軟	Microsoft Corporation One Microsoft Way Redmond, Washington98052 USA 電話: (+1)425-882-8080.	通訊（電子郵件）和服務管理的業務流程支援
曉	350 布希街樓層13 San Francisco, CA94104, 美國 +1 415 701 1110	服務管理的業務流程支援
DocuSign	DocuSign International (EMEA) Ltd, Attention：Privacy Team,5 Hanover Quay, Ground Floor, Dublin2, Republic of Ireland	文件管理
Salesforce.com	Salesforce Tower,415 Mission Street,3rd Floor, San Francisco, CA94105, USA 1-800-387-3285	客戶關係管理 (CRM) 的業務流程支援
Zendesk	989 市場街 美國加州舊金山94103zendesk.com 888-670-4887	客戶支援幫助台諮詢
Workday	6110 Stoneridge Mall Road Pleasanton, CA94588, 美國	用於管理薪資、福利、人力資源、人力資源和員工資料的業務流程支援。
立即服務	2225 勞森巷 加州聖克拉拉95054 美國	透過（基於雲端的自動化工作流程）為 IT 服務和營運管理、員工和客戶體驗提供業務流程支援
資料庫	160 Spear Street,15th Floor 加州舊金山94105 1-866-330-0121 美國	雲端資料倉庫基礎架構。
Datadog	620 8th Ave45th Floor 紐約10018 美國	服務監控與除錯工具
Wise	Avenue Louise54, Room s52 、 1050 布魯塞爾 比利時	線上付款處理器
Google	1600 Amphitheatre Pkwy, Mountain View, CA94043	通訊（電子郵件）及內部文件儲存的業務流程支援