Sudah resmi! G-P Gia™ sekarang tersedia untuk semua orang. Memberikan AI agentik untuk kepatuhan SUMBER DAYA MANUSIA global dalam skala besar. Coba sekarang!
Lupakan visa H-1B. Akses talenta terbaik dengan G-P Employer of Record™.
Logo G-P
Ajukan Proposal

Bahasa Privasi MSA

Pembaruan terakhir: Maret 4, 2026

 ADENDUM PERLINDUNGAN DATA

Pelanggan telah menandatangani Perjanjian Induk atau perjanjian dengan sifat dan tujuan serupa (selanjutnya disebut “Perjanjian Induk”) dengan G-P. Pelaksanaan Perjanjian Induk tersebut dapat melibatkan Pemrosesan Data Pribadi. Pelanggan dan G-P (selanjutnya disebut sebagai “Para Pihak”) setuju bahwa Addendum Perlindungan Data (“DPA”) ini menetapkan kewajiban mereka sehubungan dengan pemrosesan dan keamanan Data Pribadi terkait dengan Layanan yang diberikan oleh G-P kepada Pelanggan berdasarkan Perjanjian Induk dan Para Pihak setuju untuk terikat oleh DPA ini. DPA ini melengkapi syarat dan ketentuan dalam Perjanjian Induk dan dimasukkan ke dalamnya. Jika terjadi konflik antara DPA ini dan perjanjian lain antara para pihak mengenai masalah yang tercantum di sini, DPA ini akan berlaku. Jika Pelanggan telah memiliki addendum perlindungan data yang berlaku dengan G-P, maka perjanjian tersebut akan berlaku di atas DPA ini, dan DPA ini tidak akan memiliki kekuatan atau efek apa pun, kecuali disepakati lain secara tertulis oleh Pelanggan dan G-P.

 

Sedangkan:

  1. Ketika G-P menyediakan layanan Pemberi Kerja Tercatat (“Pemberi Kerja Tercatat”) kepada Pelanggan, G-P Bertindak sebagai badan hukum bagi setiap individu yang dipilih oleh Pelanggan (“Profesional”) untuk dipekerjakan..
  2. Sehubungan dengan Data Pribadi Para Profesional tersebut, G-P bertindak sebagai Pengendali selama berlangsungnya hubungan kerja.
  3. Sehubungan dengan Data Pribadi Profesional yang dikumpulkan dan digunakan oleh Pelanggan untuk tujuannya sendiri, Pelanggan juga merupakan Pengendali dengan kewajiban privasi independen.
  4. Saat memberikan layanan Employer of Record, pertukaran Data Pribadi Profesional antara G-P dan Pelanggan berada di bawah hubungan Controller-to-Controller yang independen dan Ketentuan-ketentuan Controller-to-Controller yang didefinisikan di bagian 2 di bawah ini, akan berlaku.
  5. G-P juga menawarkan berbagai produk perangkat lunak sebagai layanan melalui platform G-P(“GPP”), di mana G-P memungkinkan Pelanggan untuk mengelola hubungan dengan para Profesional tersebut.
  6. Dengan memberikan akses GPP kepada Pelanggan, G-P bertindak sebagai Pemroses data terkait akun yang diunggah ke GPP oleh Pengguna Resmi GPP yang ditunjuk oleh Pelanggan dan Ketentuan Kontroler-ke-Prosesor yang didefinisikan di bagian 3 di bawah ini, akan berlaku.

 

G-P dan Pelanggan telah menyepakati hal-hal berikut:

 

1. DEFINITIONS

1.1. Istilah-istilah yang tidak didefinisikan di sini memiliki arti yang ditetapkan dalam Perjanjian Induk. Kata-kata berikut dalam DPA ini memiliki arti sebagai berikut:

1.2. Pengguna Resmiberarti individu yang diizinkan oleh Pelanggan, yang dapat mencakup karyawan dan/atau kontraktor Pelanggan, untuk mengakses dan menggunakan GPP atas nama Pelanggan, sesuai dengan pelaksanaan Perjanjian Utama.

1.3. Data Pelanggan” berarti setiap Data Pribadi yang berkaitan dengan Pengguna Resmi atau orang perseorangan yang dapat diidentifikasi yang ditransfer, diproses, atau disimpan oleh G-P atas nama Pelanggan untuk penggunaan GPP oleh Pelanggan.

1.4.“ Hukum Perlindungan Data ” berarti setiap hukum perlindungan data dan privasi yang berlaku bagi salah satu pihak dalam Perjanjian ini dan yang berlaku untuk Layanan yang diberikan, termasuk, jika berlaku, tetapi tidak terbatas pada, Peraturan Perlindungan Data Umum, Peraturan Perlindungan Data Umum Inggris, Hukum Perlindungan Data Swiss, Hukum Privasi AS (termasuk hukum negara bagian dan federal), dan LGPD Brasil.

1.5. Peraturan Pelindungan Data Umum” berarti Peraturan Pelindungan Data Umum (EU) 2016/679.

1.6. GPP” berarti perangkat lunak milik G-P, termasuk namun tidak terbatas pada, perangkat lunak, versi seluler, perangkat lunak apa pun yang terdapat di dalamnya, dan data apa pun yang tersedia melalui penggunaan perangkat lunak milik G-P atau layanan pihak ketiga, termasuk pembaruan, peningkatan, platform sebagai layanan, dan dokumentasinya.

1.7. "EEA" berarti Wilayah Ekonomi Eropa.

1.8. "LGPD" berarti Undang-Undang Brasil No. 13.709, Undang-Undang Umum tentang Perlindungan Data Pribadi, sebagaimana yang dapat diubah, digantikan, atau diganti.

1.9.“ PerjanjianInduk ” berarti perjanjian yang ditandatangani antara Pelanggan dan G-P untuk penyediaan Layanan.

1.10. Kebijakan Privasi” berarti kebijakan privasiG-P , sebagaimana diperbarui dari waktu ke waktu, tersedia di https://www.globalization-partners.com/privacy-policy/

1.11. Data Profesionalberarti Data Pribadi Profesional yang diproses oleh G-P dalam rangka penyediaan layanan sebagai Pemberi Kerja Resmi kepada Pelanggan.

1.12. "Transfer Terbatas" berarti setiap transfer Data Pribadi ke negara di luar EEA, Inggris Raya, Swiss, atau Brasil yang tidak tunduk pada keputusan kecukupan berdasarkan Hukum perlindungan Data yang berlaku, dan oleh karena itu memerlukan perlindungan yang sesuai berdasarkan hukum perlindungan data yang berlaku.

1.13. “Layanan” berarti layanan yang akan diberikan oleh G-P kepada Pelanggan berdasarkan Perjanjian Utama yang dapat mencakup layanan Pemberi Kerja Tercatat dan akses serta penggunaan GPP.

1.14. "Klausul Kontrak Standar" atau "SCC" berarti (i) jika Peraturan Pelindungan Data Umum berlaku, klausul kontrak standar yang dilampirkan pada Keputusan Pelaksanaan Komisi Eropa (UE) 2021/914 tanggal 4 Juni 2021 klausul kontrak standar untuk transfer data pribadi ke negara ketiga sesuai dengan Peraturan (UE) 2016/679 Parlemen Eropa dan Dewan, tersedia di https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914&from=EN ("SCC UE"); (ii) jika Peraturan Pelindungan Data Umum Inggris berlaku, klausul perlindungan data standar yang berlaku yang diadopsi sesuai dengan Pasal 46(2)(c), atau (d) jika Peraturan Pelindungan Data Umum Inggris berarti Addendum Transfer Data Internasional (“Addendum Inggris”) untuk Klausul Kontrak Standar UE yang dikeluarkan oleh Kantor Komisioner Informasi berdasarkan s.119A(1) dari Undang-Undang Perlindungan Data 2018, sebagaimana Addendum Inggris tersebut dapat direvisi berdasarkan Bagian 18 di dalamnya ("UK SCCs"); (iii) jika Hukum Perlindungan DataSwiss berlaku, klausul perlindungan data standar yang berlaku yang dikeluarkan, disetujui atau diakui oleh Otoritas Perlindungan Data Federal Swiss dan Kantor Komisioner Informasi ("Swiss SCCs" ); jika LGPD Brasil berlaku,klausul kontraktual standar yang berlaku, yang dilampirkan pada Resolusi CD/ANPD No. 19/2024 yang diumumkan oleh Otoritas Perlindungan Data Nasional Brasil (“ANPD”), sebagaimana dapat diubah dari waktu ke waktu (“Brazil SCCs”).

1.15. “Hukum Perlindungan Data Swiss” atau “FADP” berarti (i) Undang-Undang Perlindungan Data Federal Swiss (tertanggal Juni 19, 1992, per Maret 1, 2019) (“FDPA”); (ii) Peraturan tentang Undang-Undang Federal tentang Perlindungan Data (“FODP”); dan (iii) setiap hukum perlindungan data nasional yang dibuat berdasarkan, sesuai dengan, menggantikan atau mengikuti dan setiap peraturan perundang-undangan yang menggantikan atau memperbarui salah satu dari hal-hal tersebut di atas.

1.16. Tambahan Inggrisberarti tambahan transfer data internasional Inggris Raya terhadap Klausul Kontrak Standar Uni Eropa yang dikeluarkan oleh Komisioner Informasi Inggris.

1.17. “Hukum Perlindungan Data Inggris” berarti Peraturan Pelindungan Data Umum sebagaimana yang diabadikan dalam hukum Inggris berdasarkan pasal 3 Undang-Undang Penarikan Diri dari Uni Eropa Inggris 2019 (“Peraturan Pelindungan Data Umum Inggris”) dan Undang-Undang Perlindungan Data 2018 (bersama-sama, “Hukum Perlindungan Data Inggris”).

1.18. "Hukum Privasi AS" berarti hukum, perintah, peraturan, dan panduan peraturan negara bagian Amerika Serikat (AS) yang berlaku terkait Pemrosesan Data Pribadi, termasuk namun tidak terbatas pada: (a) CCPA; (b) Undang-Undang Perlindungan Data Konsumen Virginia; (c) Undang-Undang Privasi Colorado; (d) Undang-Undang Connecticut tentang Privasi Data dan Pemantauan Daring; (e) Undang-Undang Privasi Konsumen Utah; dan (f) semua undang-undang negara bagian yang serupa

1.19. "Pengendali" " Subjek Data", "Data Pribadi", "Informasi Pribadi" "Pelanggaran Data", "Pemroses", "Proses/Pemrosesan", "Pemindahan Terbatas", "Penyedia Layanan", dan/atau istilah dan konsep lain yang serupa akan memiliki arti sebagaimana didefinisikan dalam Undang-Undang Perlindungan Data.

 

 

2. CONTROL OF PERSONAL DATA

2.1. Peran Para Pihak. Apabila G-P bertindak sebagai Pengendali Data independen, G-P wajib mematuhi kewajibannya sebagai Pengendali Data berdasarkan Undang-Undang Perlindungan Data ketika Memproses Data Pribadi dan wajib Memproses Data Pribadi sebagaimana dijelaskan dalam Kebijakan Privasi G-Pyang tersedia di https://www.globalization-partners.com/privacy-policy/. Pelanggan wajib mematuhi kewajibannya berdasarkan Undang-Undang Perlindungan Data ketika Memproses Data Pribadi sebagai Pengendali Data. Dalam keadaan apa pun Para Pihak tidak akan Memproses Data Pribadi berdasarkan DPA ini sebagai Pengendali Data bersama.

2.2. Tanggung Jawab dan Pengakuan. Masing-masing Pihak dapat memproses Data Pribadi berdasarkan Perjanjian Perlindungan Data ini sehubungan dengan Data Profesional sebagai Pengendali Data independen. Para Pihak setuju untuk mematuhi kewajiban masing-masing dan memproses Data Pribadi secara adil dan sah sesuai dengan Perjanjian Perlindungan Data ini dan semua Hukum Perlindungan Data yang berlaku untuk operasi Pemrosesan Data Pribadi Pihak tersebut. Masing-masing Pihak harus memastikan bahwa Pemrosesan Data Pribadi mereka terbatas pada tujuan GPP yang disediakan oleh G-P dan didasarkan pada dasar hukum untuk pemrosesan yang sah. Para Pihak akan saling membantu dalam mematuhi kewajiban masing-masing berdasarkan Hukum Perlindungan Data, termasuk, tetapi tidak terbatas pada, saling membantu jika terjadi Pelanggaran Data, menanggapi permintaan Subjek Data dan/atau regulator. 

 

3. PROCESSING OF PERSONAL DATA

 

3.1. Ruang Lingkup. Penggunaan GPP dapat mencakup Pemrosesan Data Pelanggan oleh G-P sebagai Pemroses atau Penyedia Layanan atas nama Pelanggan.

3.2. Instruksi. G-P akan memproses Data Pelanggan sesuai dengan instruksi tertulis dari Pelanggan. Pelanggan setuju bahwa DPA ini, Perjanjian Utama, dan Lampiran I yang terlampir di bawah ini, berisi instruksi lengkap Pelanggan kepada G-P mengenai Pemrosesan Data Pelanggan. Instruksi tambahan atau alternatif apa pun harus disepakati secara tertulis antara para pihak, termasuk biaya (jika ada) yang terkait dengan kepatuhan terhadap instruksi tersebut. Pelanggan akan memastikan bahwa instruksinya sesuai dengan Hukum Perlindungan Data yang berlaku. Pelanggan mengakui bahwa G-P tidak bertanggung jawab untuk menentukan hukum mana yang berlaku untuk bisnis Pelanggan. Pelanggan akan memastikan bahwa pemrosesan Data Pelanggan oleh G-P , bila dilakukan sesuai dengan instruksi Pelanggan, tidak akan menyebabkan G-P melanggar hukum yang berlaku, termasuk Hukum Perlindungan Data yang berlaku. G-P G-P bahwa instruksi Pelanggan melanggar Hukum Perlindungan Data yang berlaku, G-P wajib memberi tahu Pelanggan sesegera mungkin dan tidak diwajibkan untuk mematuhi instruksi yang melanggar tersebut.

3.3. Rincian Pemrosesan. Rincian pokok bahasan Pemrosesan, durasi, sifat dan tujuannya, serta jenis Data Pelanggan dan subjek data adalah sebagaimana tercantum dalam Lampiran I yang dilampirkan pada Perjanjian ini.

3.4. Kepatuhan. Pelanggan dan G-P setuju untuk mematuhi kewajiban masing-masing berdasarkan Undang-Undang Perlindungan Data yang berlaku untuk Data Pelanggan yang Diproses sebagaimana ditentukan dalam Lampiran I. Pelanggan bertanggung jawab penuh untuk mematuhi Undang-Undang Perlindungan Data terkait legalitas Pemrosesan Data Pelanggan sebelum mengungkapkan, mentransfer, atau menyediakan Data Pelanggan apa pun kepada G-P. Untuk menghindari keraguan, dalam semua kasus, Pelanggan wajib memperoleh, jika diperlukan, persetujuan dari Subjek Data agar G-P dapat Memproses Data Pelanggan sesuai arahan Pelanggan.

3.5. Subprosesor. Pelanggan memberi wewenang kepada G-P untuk menunjuk dan menggunakan Prosesor (“Subprosesor”) untuk Memproses Data Pelanggan sehubungan dengan Layanan. Subprosesor dapat mencakup pihak ketiga atau anggota mana pun dari grup perusahaan G-P . G-P dapat terus menggunakan Subprosesor yang telah dipekerjakan oleh G-P pada tanggal Perjanjian Perlindungan Data ini, dan daftar Subprosesor tersebut tersedia di Lampiran III yang terlampir di bawah ini. Apabila Subprosesor gagal memenuhi kewajiban perlindungan datanya sebagaimana ditentukan di atas, G-P akan bertanggung jawab kepada Pelanggan atas pelaksanaan kewajiban Subprosesor tersebut. G-P akan memberitahukan kepada Pelanggan tentang setiap perubahan pada daftar Subprosesornya melalui GPP. Jika, dalam waktu 10 (sepuluh) hari sejak diterimanya pemberitahuan tersebut, Pelanggan secara sah keberatan terhadap penambahan atau penghapusan Subprosesor berdasarkan alasan perlindungan data dan G-P tidak dapat mengakomodasi keberatan Pelanggan secara wajar, para pihak akan membahas kekhawatiran Pelanggan dengan itikad baik dengan tujuan untuk menyelesaikan masalah tersebut.

3.6. Langkah-langkah keamanan teknis dan organisasi. Dengan mempertimbangkan standar industri, biaya implementasi, sifat, ruang lingkup, konteks dan tujuan Pemrosesan, dan keadaan relevan lainnya yang berkaitan dengan Pemrosesan Data Pelanggan, G-P akan menerapkan langkah-langkah keamanan teknis dan organisasi yang sesuai untuk memastikan keamanan, kerahasiaan, integritas, ketersediaan, dan ketahanan sistem dan layanan pemrosesan yang terlibat dalam Pemrosesan Data Pelanggan sebanding dengan risiko terkait Data Pelanggan tersebut, sebagaimana dirinci dalam Lampiran II yang terlampir di sini. G-P secara berkala akan (i) menguji dan memantau efektivitas pengamanan, kontrol, sistem dan prosedur yang dimilikinya dan (ii) mengidentifikasi risiko internal dan eksternal yang dapat diperkirakan secara wajar terhadap keamanan, kerahasiaan dan integritas Data Pelanggan, dan memastikan risiko-risiko tersebut ditangani.

3.7. Kerahasiaan. G-P akan memastikan bahwa orang-orang yang berwenang mengakses Data Pelanggan (i) telah berkomitmen untuk menjaga kerahasiaan atau berada di bawah kewajiban kerahasiaan hukum yang sesuai dan (ii) mengakses Data Pelanggan hanya berdasarkan instruksi tertulis dari G-P, kecuali diwajibkan oleh hukum yang berlaku.

3.8. Pelanggaran Data Pribadi. G-P akan memberitahukan Pelanggan tanpa penundaan yang tidak semestinya setelah mengetahui adanya Pelanggaran Data terkait Pemrosesan Data Pelanggan dan akan menggunakan upaya yang wajar untuk membantu Pelanggan dalam mengurangi, jika memungkinkan, dampak buruk dari Pelanggaran Data tersebut.

3.9. Penghapusan Data Pribadi. Setelah penghentian Layanan (untuk alasan apa pun), G-P akan, sesegera mungkin, mengembalikan atau menghapus Data Pelanggan yang tersimpan di GPP kecuali jika hukum yang berlaku mengharuskan penyimpanan Data Pelanggan untuk jangka waktu yang lebih lama. Untuk penyimpanan tersebut, ketentuan DPA ini akan terus berlaku untuk Data Pelanggan tersebut.

3.10. Permintaan Subjek Data. G-P akan segera memberitahukan Pelanggan tentang setiap permintaan Subjek Data terkait Data Pelanggan. Pelanggan bertanggung jawab untuk menanggapi permintaan tersebut. G-P akan membantu Pelanggan secara wajar untuk menanggapi permintaan Subjek Data tersebut sejauh Pelanggan tidak dapat mengakses Data Pelanggan yang relevan dalam penggunaan GPP-nya.

3.11. Permintaan pihak ketiga. Jika G-P menerima permintaan apa pun dari pihak ketiga atau perintah dari pengadilan, tribunal, regulator, atau badan pemerintah mana pun yang memiliki yurisdiksi yang berwenang yang tunduk pada G-P terkait dengan Pemrosesan Data Pelanggan berdasarkan Perjanjian ini, G-P akan segera meneruskan permintaan tersebut kepada Pelanggan. G-P tidak akan menanggapi permintaan tersebut tanpa otorisasi sebelumnya dari Pelanggan kecuali diwajibkan secara hukum untuk melakukannya. G-P akan, kecuali dilarang secara hukum untuk melakukannya, memberi tahu Pelanggan terlebih dahulu sebelum melakukan pengungkapan Data Pelanggan dan akan bekerja sama secara wajar dengan Pelanggan untuk membatasi ruang lingkup pengungkapan tersebut pada apa yang diwajibkan secara hukum. 

3.12. Penilaian Dampak Perlindungan Data dan Konsultasi Awal. Sejauh yang dipersyaratkan oleh Hukum Perlindungan Data, G-P akan memberikan bantuan yang wajar kepada Pelanggan untuk melakukan penilaian dampak perlindungan data terkait dengan Pemrosesan Data Pelanggan yang dilakukan oleh G-P dan/atau konsultasi awal yang diperlukan dengan otoritas pengawas. G-P berhak untuk membebankan biaya yang wajar kepada Pelanggan atas penyediaan bantuan tersebut.

3.13. Audit. Pelanggan dapat mengaudit kepatuhan G-P terhadap DPA ini dan Undang-Undang Perlindungan Data dengan meminta sertifikat yang diterbitkan untuk verifikasi keamanan yang mencerminkan hasil audit yang dilakukan oleh auditor pihak ketiga (misalnya, sertifikasi ISO27001 , sertifikat SOC2 ), dalam waktu dua belas (12) bulan sejak tanggal permintaan Pelanggan. Sebagai alternatif, jika dokumentasi yang diberikan sesuai dengan Bagian 3.13 ini tidak cukup untuk tujuan menunjukkan kepatuhan, Pelanggan dapat melakukan audit sendiri selain sertifikasi atau laporan pihak ketiga yang diberikan, dengan ketentuan bahwa audit tersebut harus dilakukan: i) tidak lebih dari sekali per periode 12 (dua belas) bulan; ii) selama jam kerja normal dan tanpa mengganggu kegiatan bisnis sehari-hari G-P ; iii) dengan pemberitahuan tertulis tiga puluh (30) hari sebelumnya; iv) dengan biaya sepenuhnya ditanggung oleh Pelanggan; v) berdasarkan parameter dan ruang lingkup yang disepakati bersama, terbatas pada ruang lingkup layanan, sistem yang digunakan, dan/atau aktivitas pemrosesan yang diatur dalam perjanjian ini; vi) berdasarkan tanggal yang disepakati bersama sebelumnya, dengan ketentuan penundaan yang wajar oleh Pelanggan atas permintaan wajar G-P ; dan vii) sesuai dengan semua kewajiban dan batasan kerahasiaan. Terlepas dari hal tersebut di atas, tidak ada hak audit yang diberikan setelah audit Perjanjian Induk, kecuali untuk kewajiban hukum yang harus dibuktikan oleh Pelanggan. Perwakilan pihak ketiga mana pun yang dipilih untuk melakukan audit atas nama Pelanggan tidak boleh memiliki kepentingan kepemilikan atau afiliasi dengan perusahaan jasa Employer of Record, agensi, organisasi terkait, atau konsultan. Tidak ada dalam DPA ini yang mengharuskan G-P untuk mengungkapkan kepada Pelanggan atau auditor pihak ketiganya, atau mengizinkan Pelanggan atau auditor pihak ketiganya untuk mengakses: (i) data Pelanggan G-Plainnya; (ii) informasi akuntansi atau keuangan internal G-P ; (iii) rahasia dagang G-P atau afiliasinya; (iv) informasi apa pun yang, menurut pendapat wajar G-P , dapat membahayakan keamanan sistem G-Patau menyebabkan pelanggaran kewajibannya berdasarkan hukum yang berlaku atau kewajiban keamanan atau privasinya kepada pihak ketiga mana pun; atau (v) informasi apa pun yang ingin diakses oleh Pelanggan atau auditor pihak ketiganya dengan alasan apa pun selain pemenuhan kewajiban Pelanggan dengan itikad baik berdasarkan Undang-Undang Perlindungan Data.

3.14. Hukum Privasi AS. Berdasarkan bagian ini 3 (“Pemrosesan Data Pribadi”), ParaPihak setuju bahwa G-P adalah “Penyedia Layanan” atau “Pemroses” sebagaimana istilah tersebut didefinisikan berdasarkan Hukum Privasi AS yang berlaku. Oleh karena itu, sejauh Hukum Privasi AS berlaku untuk Pemrosesan Data Pelanggan oleh G-P, G-P tidak akan (a) menyimpan, menggunakan, atau mengungkapkan Data Pelanggan apa pun di luar hubungan bisnis langsung antara G-P dan Pelanggan, atau untuk tujuan apa pun selain tujuan yang tercantum dalam Lampiran I yang terlampir di sini, dan G-P hanya akan Memproses Data Pelanggan hanya selama GP menyediakan layanan kepada Pelanggan; (b) menjual Data Pelanggan apa pun; (c) membagikan Data Pelanggan apa pun; atau (d) menggabungkan Data Pelanggan yang diterima G-P dari, atau atas nama, Pelanggan dengan “data pribadi” (sebagaimana istilah tersebut atau yang setara didefinisikan berdasarkan Hukum Perlindungan Data yang berlaku) yang diterimanya dari, atau atas nama, orang lain, atau dikumpulkan dari interaksinya sendiri dengan konsumen, dengan ketentuan bahwa G-P dapat menggabungkan Data Pelanggan jika hal itu berada dalam lingkup penyediaan layanan kepada Pelanggan. Apabila berlaku, masing-masing Pihak wajib memberitahukan kepada pihak lain jika memutuskan bahwa mereka tidak lagi dapat memenuhi kewajibannya berdasarkan Undang-Undang Privasi AS.

 

 

4. International Data Transfers

4.1. Perlindungan yang memadai. G-P berwenang, dalam menjalankan bisnisnya secara normal, untuk melakukan transfer Data Pelanggan ke seluruh dunia kepada afiliasinya dan/atau Subprosesor. Saat melakukan transfer tersebut ke wilayah yang belum diakui oleh otoritas perlindungan data terkait sebagai wilayah yang menyediakan tingkat perlindungan yang memadai untuk Data Pribadi sesuai dengan Hukum Perlindungan Data, G-P wajib memastikan bahwa perlindungan yang tepat telah diterapkan untuk melindungi Data Pelanggan yang ditransfer berdasarkan atau terkait dengan Perjanjian Utama.

4.2. Kerangka Kerja Privasi Data .Data Profesional dan Pelanggan disimpan di GPP yang dihosting di AS. G-P disertifikasi berdasarkan Kerangka Kerja Privasi Data Uni Eropa-AS (EU-US DPF) dan, jika berlaku, Perluasan Inggris untuk EU-US DPF, dan Kerangka Kerja Privasi Data Swiss-AS (Swiss-US DPF). G-PSertifikasi dapat dikonfirmasi secara publik di situs web DPF https://www.dataprivacyframework.gov/list. Kerangka Kerja Perlindungan Data Uni Eropa-AS dianggap memadai oleh Komisi Eropa, sebagai mekanisme transfer data yang sah sesuai dengan Pasal 45 Peraturan Perlindungan Data Umum, Peraturan Perlindungan Data Umum Inggris, dan FADP. Jika Kerangka Kerja Perlindungan Data (DPF) dibatalkan, ditangguhkan, atau tidak lagi diakui sebagai memberikan perlindungan yang memadai untuk transfer data internasional, Pengolah Data setuju untuk menandatangani dan mematuhi Klausul Kontrak Standar (SCC) yang dikeluarkan atau disetujui oleh Komisi Eropa, Kantor Komisioner Informasi Inggris (ICO), atau Komisioner Perlindungan Data dan Informasi Federal Swiss (FDPIC), sebagaimana berlaku. Para pihak akan bekerja sama dengan itikad baik untuk menerapkan langkah-langkah tambahan yang diperlukan untuk memastikan tingkat perlindungan yang pada dasarnya setara untuk data yang ditransfer.

4.3. Klausul Kontrak Standar. Para pihak sepakat bahwa ketika transfer data pribadi dari Pelanggan (sebagai "pengekspor data") ke G-P (sebagai "pengimpor data") merupakan Transfer Terbatas dan Hukum Perlindungan Data yang berlaku mensyaratkan adanya pengamanan yang memadai, maka transfer tersebut akan tunduk pada Klausul Kontrak Standar yang sesuai, yang akan dianggap tergabung dan menjadi bagian dari Perjanjian Perlindungan Data ini, sebagai berikut:

  1. Berkaitan dengan transfer Data Pribadi yang dilindungi oleh Peraturan Pelindungan Data Umum, maka SCC Uni Eropa berlaku, yang dilengkapi sebagai berikut:
  1. Modul Satu dan Dua akan berlaku;
  2. dalam Klausul 7, klausul docking opsional akan berlaku;
  3. dalam Klausul 9 dari Modul Dua, Opsi 2 akan berlaku, dan jangka waktu untuk pemberitahuan sebelumnya mengenai perubahan Sub-pemroses akan ditetapkan dalam bagian 3.5 DPA ini;
  4. dalam Klausul 11, bahasa opsional tidak akan berlaku;
  5. dalam Klausul 12, setiap klaim yang diajukan berdasarkan SCC Uni Eropa harus tunduk pada syarat dan ketentuan yang ditetapkan dalam Perjanjian Induk;
  6. dalam Klausul 17, Opsi 1 akan berlaku, dan SCC Uni Eropa akan diatur oleh hukum Irlandia;
  7. dalam Klausul 18(b), perselisihan akan diselesaikan di pengadilan Irlandia;
  8. Lampiran I SCC Uni Eropa akan dianggap lengkap dengan informasi yang ditetapkan dalam Lampiran 1 pada DPA ini; dan
  9. Lampiran II SCC Uni Eropa akan dianggap lengkap dengan informasi yang ditetapkan dalam Lampiran 2 pada DPA ini;
  10. Lampiran III dari Modul Dua SCC Uni Eropa akan dianggap lengkap dengan informasi yang ditetapkan dalam Lampiran 3 pada DPA ini.

b. Sehubungan dengan transfer data pribadi yang dilindungi oleh Undang-Undang Perlindungan Data Inggris atau Undang-Undang Perlindungan Data Swiss, SCC UE sebagaimana diimplementasikan di bawah sub-paragraf (a) di atas akan berlaku dengan modifikasi sebagai berikut:

  1. referensi ke "Regulation (EU) 2016/679" akan ditafsirkan sebagai referensi ke Hukum Perlindungan Data Inggris atau Hukum Perlindungan Data Swiss (sebagaimana berlaku);
  2. referensi ke Pasal tertentu dari "Regulasi (UE) 2016/679" akan diganti dengan artikel atau bagian yang setara dari Hukum Perlindungan Data Inggris atau Hukum Perlindungan Data Swiss (sebagaimana berlaku);
  3. referensi ke "Uni Eropa", "Union", "Negara Anggota" dan "hukum Negara Anggota" harus diganti dengan referensi ke "Inggris" atau "Swiss", atau "hukum Inggris" atau "hukum Swiss" (jika ada);
  4. Istilah "negara anggota" tidak boleh ditafsirkan sedemikian rupa sehingga mengecualikan subjek data di Inggris atau Swiss dari kemungkinan untuk menuntut hak-hak mereka di tempat tinggal tetap mereka (yaitu, Inggris atau Swiss);
  5. " Klausul 13(a) dan Bagian C dari Lampiran I tidak digunakan dan otoritas pengawas yang kompeten "adalah Komisioner Informasi Inggris atau Komisioner Informasi Perlindungan Data Federal Swiss (sebagaimana berlaku);
  6. referensi ke "otoritas pengawas yang kompeten" dan "pengadilan yang kompeten" harus diganti dengan referensi ke "Komisaris Informasi" dan "pengadilan Inggris dan Wales" atau "Komisioner Informasi Perlindungan Data Federal Swiss" dan "pengadilan yang berlaku di Swiss" (jika ada);
  7. dalam Klausul 17, Klausul Kontrak Standar akan diatur oleh hukum Inggris dan Wales atau Swiss (sebagaimana berlaku); dan
  8. sehubungan dengan transfer yang berlaku Hukum Perlindungan Data Inggris, Klausul 18 akan diubah untuk menyatakan "Setiap perselisihan yang timbul dari Klausul ini akan diselesaikan oleh pengadilan Inggris dan Wales. Subjek data dapat mengajukan tuntutan hukum terhadap pengekspor data dan/atau pengimpor data ke pengadilan di negara mana pun di Inggris. Para Pihak setuju untuk tunduk pada yurisdiksi pengadilan tersebut", dan sehubungan dengan transfer yang berlaku Hukum Perlindungan Data Swiss, Klausul 18(b) akan menyatakan bahwa perselisihan akan diselesaikan di hadapan pengadilan yang berlaku di Swiss.
  9. Sehubungan dengan data yang dilindungi oleh Peraturan Perlindungan Data Umum Inggris, SCC Uni Eropa akan berlaku sebagai berikut: (i) berlaku sebagaimana telah dilengkapi sesuai dengan paragraf (i) hingga (viii) di atas; dan (ii) dianggap telah diubah sebagaimana ditentukan oleh Bagian 2 dari Addendum Inggris, yang akan dianggap tergabung ke dalam dan menjadi bagian integral dari DPA ini. Selain itu, tabel 1 hingga 3 pada Bagian 1 dari Adendum Inggris harus dilengkapi masing-masing dengan informasi yang ditetapkan dalam Lampiran I dan Lampiran II DPA ini dan tabel 4 pada Bagian 1 dari Adendum Inggris dianggap telah dilengkapi dengan memilih "kedua belah pihak".

c. Sehubungan dengan transfer data pribadi yang dilindungi oleh LGPD Brasil, baik secara langsung maupun melalui transfer lanjutan, ke negara di luar Brasil yang tidak tunduk pada keputusan kecukupan yang dikeluarkan oleh ANPD, SCC Brasil akan dianggap telah ditandatangani dan dimasukkan ke dalam DPA ini melalui referensi ini, dan dilengkapi sebagai berikut:

  1. Klausul 2 dari SCC Brasil dipenuhi oleh informasi yang ditetapkan dalam Lampiran I, yang menjelaskan transfer data;
  2. IDalam Klausul 3 dari SCC Brasil, Opsi B akan berlaku, dengan transfer selanjutnya yang diizinkan sesuai dengan Bagian 3.5 ("Subprosesor") dari DPA ini. Pokok bahasan, sifat, dan durasi pemrosesan ditetapkan pada Lampiran I DPA ini;
  3. Klausul 4 dari SCC Brasil dipenuhi oleh informasi yang ditetapkan dalam Lampiran I DPA ini. Apabila G-P bertindak sebagai Pengendali, maka GP akan menjadi “Pihak yang Ditunjuk”, sebagaimana didefinisikan dalam SCC Brasil, dan untuk tujuan Klausul 14 (Transparansi), Klausul 15 (Hak Subjek Data), dan Klausul 16 (Pelaporan Insiden) dari SCC Brasil. Pelanggan tetap bertanggung jawab atas kepatuhan terhadap Klausul 14 (Transparansi), Klausul 15 (Hak Subjek Data), dan Klausul 16 Pelaporan Insiden) dari SCC Brasil untuk setiap data pribadi yang mungkin dikendalikan olehnya;
  4. Dalam Klausul 9 dari SCC Brasil, klausul docking opsional tidak akan berlaku; dan
  5. Bagian III (Tindakan Keamanan) dari SCC Brasil akan dianggap selesai dengan informasi yang tercantum dalam Lampiran II DPA ini.

 

Lampiran I

Deskripsi Pengolahan Data

 

Pesta

Eksportir Data: Entitas pelanggan yang melaksanakan Perjanjian Induk

Pengimpor Data: Entitas G-P yang melaksanakan Perjanjian Utama.

Rincian Kontak Pihak-pihak terkait

Rincian kontak sebagaimana tercantum dalam Perjanjian Induk.

 

Aktivitas yang Relevan dengan Data yang Ditransfer

Aktivitas yang berkaitan dengan Layanan Pemberi Kerja Tercatat dan penggunaan GPP yang diberikan kepada Pelanggan sebagai layanan.

Kegiatan Pengolahan

Data Pribadi yang diproses/ditransfer dapat menjadi subjek aktivitas pemrosesan berikut: setiap operasi terkait Data Pribadi terlepas dari cara dan prosedur yang diterapkan, khususnya pengumpulan, pengorganisasian, penyimpanan, penguasaan, penggunaan, pengambilan, konsultasi, pengarsipan, transmisi, pemblokiran, penghapusan, atau penghancuran data, pengoperasian dan pemeliharaan sistem, kepatuhan, fungsi hukum dan audit.

Durasi Pemrosesan

G-P akan memproses data pelanggan selama jangka waktu Perjanjian Utama dan secara berkelanjutan.

Sifat dan Tujuan Pemrosesan

Pelanggan dapat mentransfer Data Pelanggan ke G-P, yang cakupannya ditentukan dan dikendalikan oleh Pelanggan atas kebijakannya sendiri. Tujuan pemrosesan adalah untuk menyediakan Layanan sesuai dengan Perjanjian Utama.

Kategori Subjek Data

a) Data Pribadi yang dipertukarkan oleh Para Pihak sebagai Pengendali independen terkait dengan Data Pribadi Profesional.

B) Data Pelanggan yang diproses oleh G-P sebagai Pengolah Data menyangkut Pengguna Resmi dari GPP yang mungkin termasuk karyawan dan/atau kontraktor Pelanggan.

Jenis Data Pribadi

- Rincian kontak (seperti nomor telepon dan email).

· Data karyawan/kontraktor (seperti jabatan dan nama perusahaan).

- Data penggunaan (seperti data tentang perangkat Pengguna Resmi dan bagaimana perangkat tersebut berinteraksi dengan GPP).

- Data lokasi (seperti lokasi yang berasal dari alamat IP).

- Data konten (seperti konten file Pelanggan mengenai Profesional dan komunikasi terkait).

- Kredensial (seperti kata sandi, petunjuk kata sandi, dan informasi keamanan serupa yang digunakan untuk otentikasi dan akses akun ke GPP).

- Setiap Data Pribadi yangdiberikan oleh Pengguna Resmi.

Kategori Data Khusus (jika sesuai)

N/A

Retensi

Data Pribadi akan disimpan setidaknya selama periode penyimpanan minimum yang diamanatkan secara hukum yang berlaku, yang konsisten dengan undang-undang pembatasan yang berlaku dan memenuhi praktik bisnis yang baik.

Otoritas Pengawas yang Kompeten

Komisi Perlindungan Data Irlandia

Transfer ke Subprosesor

Untuk transfer ke prosesor, subjek, sifat, dan durasi pemrosesan sama dengan yang dijelaskan di atas.

Rincian kontak privasi G-P

 

privacy@G-P.com

Kepada: Kantor Privasi Global.

 

 

 

Lampiran II

Langkah-langkah Teknis dan Organisasi

 

G-P telah disertifikasi dan dibuktikan kepatuhannya terhadap standar SOC 2 dan ISO 27001 oleh auditor independen. Sertifikasi tersebut menunjukkan komitmen kami untuk mengamankan Data Pelanggan. Program keamanan G-Pdirancang untuk:

  • Melindungi kerahasiaan, integritas, dan ketersediaan Data Pelanggan yang dimiliki G-P atau yang dapat diakses oleh G-P;
  • Melindungi dari ancaman atau bahaya yang diantisipasi terhadap kerahasiaan, integritas, dan ketersediaan Data Pelanggan;
  • Melindungi dari akses, penggunaan, pengungkapan, pengubahan, atau penghancuran Data Pelanggan yang tidak sah atau melanggar hukum;
  • Melindungi dari kehilangan atau kerusakan yang tidak disengaja, atau kerusakan pada Data Pelanggan; dan
  • Informasi perlindungan sebagaimana diatur dalam peraturan apa pun yang mengatur G-P .

 

Berikut ini menjelaskan fungsi, proses, kontrol, sistem, prosedur, dan langkah-langkah yang telah diambil G-P untuk memastikan keamanan Pemrosesan Data Pelanggan:

1) LANGKAH-LANGKAH TEKNIS UNTUK MEMASTIKAN PRIVASI DAN PERLINDUNGAN DATA 

  1. Privasi Berdasarkan Desain dan Secara Default: G-P mempertimbangkan persyaratan Pasal 25 Peraturan Pelindungan Data Umum dalam tahap konsepsi dan pengembangan produk. Proses dan fungsionalitas diatur sedemikian rupa sehingga prinsip-prinsip perlindungan data seperti legalitas, transparansi, pembatasan tujuan, minimalisasi data, dll., serta keamanan pemrosesan dipertimbangkan sejak tahap awal.

  2. Enkripsi Data Pribadi: Memastikan bahwa data pribadi hanya disimpan dalam sistem dengan cara yang tidak memungkinkan pihak ketiga mengidentifikasi subjek data.

    1. Enkripsi basis data dan penyimpanan: Pada semua basis data yang digunakan oleh G-P enkripsi "saat data diam" sesuai dengan teknologi terkini digunakan sehingga data dari basis data hanya dapat dibaca setelah otentikasi yang tepat pada sistem basis data yang bersangkutan.

    2. Enkripsi media data seluler: Penggunaan operator data seluler untuk menyimpan data Pelanggan tidak diizinkan.

    3. Enkripsi pembawa data pada laptop: Enkripsi hard disk canggih yang sesuai dipasang pada semua laptop karyawan.

    4. Pertukaran informasi dan file terenkripsi: Pada prinsipnya, pertukaran informasi dan file dienkripsi langsung melalui lamaran kerja khusus. Jika data pribadi atau informasi rahasia harus ditransfer ke server yang tidak dapat dikirim melalui unggahan HTTPS terenkripsi TLS, data tersebut akan ditransfer menggunakan Secure File Transfer Protocol (SFTP), layanan amplop terenkripsi, atau mekanisme terenkripsi lainnya sesuai dengan keadaan terkini.

    5. Enkripsi Email: Pada prinsipnya, semua email yang dikirim oleh karyawan G-P dienkripsi dengan TLS. Pengecualian mungkin terjadi jika server email penerima tidak mendukung TLS. Pelanggan harus memastikan bahwa server email terkait yang digunakan dalam lingkup pesanan mendukung enkripsi TLS.

  3. Kontrol Penerimaan: Kontrol penerimaan dimaksudkan dan diterapkan untuk mencegah penggunaan dan pemrosesan data yang dilindungi oleh undang-undang perlindungan data oleh orang yang tidak berwenang.

    1. Penggunaan metode otentikasi: Akses ke data pribadi selalu melalui protokol terenkripsi: SSH, SSL/ TLS, HTTPS, atau protokol yang sebanding. Prosedur otentikasi untuk sistem TI: Autentikasi multifaktor untuk masuk ke sistem TI.

    2. Pemblokiran otomatis jika tidak aktif: Laptop yang digunakan oleh karyawan G-P dikunci dengan kata sandi atau PIN saat tidak digunakan oleh pengguna. Selain itu, kunci layar otomatis dengan perlindungan kata sandi diatur setelah 15 menit tidak ada aktivitas.

    3. Penggunaan perangkat lunak antivirus: Laptop yang digunakan oleh karyawan G-P dilengkapi dengan perangkat lunak antivirus canggih yang selalu diperbarui pada semua sistem TI operasional atau bisnis. Pada prinsipnya, tidak ada komputer yang boleh dioperasikan tanpa perlindungan virus residen kecuali jika tindakan keamanan canggih lainnya yang setara telah diambil atau tidak ada risiko. Pengaturan keamanan default tidak boleh dinonaktifkan atau dielakkan.

    4. "Kebijakan Meja Kerja Bersih": Karyawan G-P diinstruksikan untuk tidak mencetak atau menyimpan data pribadi subjek data secara lokal, tidak meninggalkan materi kerja di lokasi yang dapat dilihat oleh pihak ketiga, dan menyimpan semua materi kerja dengan benar. Dokumen-dokumen yang menurut hukum wajib disimpan oleh G-P dalam bentuk fisik disimpan di dalam lemari terkunci.

  4. Kontrol Akses dalam Platform: Kontrol akses memastikan bahwa orang yang berwenang menggunakan sistem pemrosesan hanya memiliki akses ke data pribadi yang tercakup dalam otorisasi akses mereka.

    1. Peran dan Wewenang

      1. Platform Peran dan Otorisasi – Akses Pelanggan: Pengguna pelanggan dapat melihat dan mengedit informasi akun pelanggan.

      2. Platform Peran dan Otorisasi – Akses Profesional: Pengguna profesional dapat melihat dan mengedit informasi profesional mereka sendiri. Para profesional juga dapat memperoleh peran akses Pelanggan berdasarkan persyaratan + persetujuan

      3. Platform Peran dan Otorisasi – Akses Internal: Pengguna akses internal memiliki berbagai peran. Mereka memiliki beragam akses untuk membuat, melihat, mengedit, dan menyetujui hal-hal berikut ini:

        • Informasi pelanggan

        • Informasi penagihan

        • Informasi mitra

        • Informasi catatan personel profesional

      4. Akses ke sistem admin umumnya dibatasi untuk karyawan terlatih di bidang dukungan pelanggan dan pengembangan produk.

  5. Firewall sebagai Layanan: G-P menggunakan firewall eksternal sebagai layanan yang memungkinkannya untuk memberikan atau memblokir akses ke situs web guna memastikan sistem tidak dapat mengakses konten berbahaya dan untuk membatasi akses ke konten yang tidak pantas.

  6. Catatan Login ke Platform: G-P menyimpan catatan semua aktivitas login.

  7. Keterpisahan: Memastikan bahwa data pribadi yang dikumpulkan untuk tujuan yang berbeda dapat diproses secara terpisah dan dipisahkan dari data dan sistem lain sedemikian rupa sehingga penggunaan data tersebut untuk tujuan lain yang tidak direncanakan tidak dapat dilakukan.

    1. Pemisahan lingkungan pengembangan, pengujian, dan pengoperasian: Data dari lingkungan operasi hanya dapat ditransfer ke lingkungan pengujian atau pengembangan jika data tersebut telah dibuat sepenuhnya anonim sebelum ditransfer. Transfer data yang dianonimkan harus dienkripsi atau melalui jaringan yang dapat dipercaya. Perangkat lunak yang akan ditransfer ke lingkungan operasi harus terlebih dahulu diuji dalam lingkungan pengujian yang identik ("staging"). Program untuk analisis kesalahan atau pembuatan/kompilasi perangkat lunak hanya dapat digunakan di lingkungan operasi jika hal ini tidak dapat dihindari. Hal ini terutama terjadi jika situasi kesalahan bergantung pada data yang akan dipalsukan karena persyaratan anonimisasi saat mentransfer ke lingkungan pengujian.

    2. Pemisahan dalam jaringan: G-P memisahkan jaringannya berdasarkan tugas. Jaringan berikut ini digunakan secara permanen: lingkungan operasi ("Production"), lingkungan pengujian ("Staging", "Sandbox"), lingkungan pengembangan ("Dev") staf TI kantor. Selain jaringan ini, jaringan terpisah lainnya dibuat sesuai kebutuhan, misalnya, untuk tes pemulihan dan tes penetrasi. Tergantung pada kemungkinan teknisnya, jaringan dipisahkan baik secara fisik maupun melalui jaringan virtual.

  8. Tersedianya Kontrol: G-P mengambil langkah-langkah berikut untuk memastikan bahwa data pribadi dilindungi dari kerusakan atau kehilangan yang tidak disengaja.

    1. Prosedur perlindungan data/pencadangan: Untuk memastikan ketersediaan yang memadai, G-P menerapkan snapshot harian basis datanya dengan replikasi ke wilayah yang berbeda. Langkah-langkah juga diambil untuk memastikan karyawan yang memiliki kebutuhan berbasis pekerjaan untuk meninjau data hanya diberikan akses ke set data replika.

    2. Geo-redundansi sehubungan dengan infrastruktur server untuk data produktif dan cadangan

    3. Manajemen insiden TI ("Manajemen Tanggap Insiden"): Terdapat konsep dan prosedur terdokumentasi untuk menangani insiden dan kejadian yang berkaitan dengan keselamatan. Hal ini mencakup perencanaan dan persiapan respons terhadap insiden, prosedur untuk memantau, mendeteksi, dan menganalisis peristiwa yang terkait dengan keamanan, serta definisi tanggung jawab yang sesuai dan saluran pelaporan jika terjadi pelanggaran terhadap perlindungan data pribadi dalam kerangka persyaratan hukum.

2) LANGKAH-LANGKAH ORGANISASI UNTUK MEMASTIKAN PRIVASI DAN PERLINDUNGAN DATA

G-P telah menerapkan langkah-langkah organisasi berikut untuk memastikan organisasi beroperasi dengan cara yang memenuhi persyaratan privasi data dan perlindungan.

  1. Instruksi Organisasi: G-P telah mengembangkan dan sedang mengembangkan program tata kelola data termasuk kebijakan, prosedur, dan pedoman yang harus diikuti oleh karyawan. Dokumentasi ini mencakup cara mengidentifikasi dan mengelola masalah privasi data, praktik terbaik untuk memastikan kepatuhan privasi, dan kebijakan untuk menangani insiden privasi.
  2. Komitmen terhadap kerahasiaan dan perlindungan data: G-P telah mengembangkan dan sedang mengembangkan program tata kelola data termasuk kebijakan, prosedur, dan pedoman yang harus diikuti oleh karyawan. Semua karyawan dan kontraktor terikat secara tertulis pada kerahasiaan dan perlindungan data serta hukum-hukum terkait lainnya. Semua karyawan menerima pelatihan keamanan & privasi. Audit internal terkait perlindungan data dan keamanan informasi dilakukan secara berkala. Audit dilakukan berdasarkan kriteria/skema pengujian yang umum. Para karyawan dan kontraktor G-P diinstruksikan untuk memproses data pribadi hanya untuk alasan yang sah, sesuai dengan kontrak yang berlaku dengan Pelanggan dan profesional, dengan mempertimbangkan persetujuan yang diberikan atau ditolak secara tegas oleh subjek data, dan sesuai dengan kewajiban hukum organisasi.
  3. Pelatihan perlindungan data: Semua karyawan menerima pelatihan privasi & keamanan yang tetap tersedia untuk ditinjau kapan saja di platform pelatihan G-P .
  4. Kontrol Akses Fisik: G-P memiliki kontrol fisik berikut untuk mencegah orang yang tidak berwenang mengakses peralatan sistem TI yang digunakan untuk pemrosesan.
    1. Pengamanan pintu elektronik: Pintu masuk ke ruang praktik G-P selalu terkunci dan diamankan secara elektronik. Pintu-pintu dibuka melalui transponder elektronik pribadi.
    2. Distribusi kunci yang terkontrol: Alokasi kunci kepada karyawan G-P dilakukan secara terpusat dan terdokumentasi. Transponder/kunci elektronik ini dapat dinonaktifkan secara terpusat oleh setiap manajer kantor atau departemen Sumber Daya Manusia.
    3. Pengawasan dan pendampingan pihak eksternal: Penyedia layanan eksternal dan pihak ketiga lainnya hanya dapat diberikan akses ke lokasi melalui otorisasi sebelumnya atau dengan didampingi oleh karyawan G-P. G-P menerapkan Kebijakan Pengunjung tertulisnya ketika pengunjung diundang ke tempat tersebut.
    4. Pengamanan tempat dengan kebutuhan perlindungan yang lebih tinggi: Tempat atau lemari dengan kebutuhan perlindungan yang lebih tinggi, seperti kantor hukum dan lokasi Operasi tertentu, dilengkapi dengan lemari dan laci pengunci. Lemari dan laci tempat menyimpan dokumen hukum, kontrak, dan dokumentasi rahasia harus dikunci setiap saat kecuali saat digunakan.
    5. Menutup pintu dan jendela: Karyawan diinstruksikan secara organisasi untuk menutup atau mengunci jendela dan pintu di luar jam kerja.
  5. Kemampuan pemulihan: G-P memastikan bahwa sistem yang sedang digunakan dapat dipulihkan jika terjadi kegagalan fisik atau teknis.

    1. Tes reguler pemulihan data ("Restore-Tests"): Tes pemulihan penuh secara teratur dilakukan untuk memastikan kemampuan pemulihan jika terjadi keadaan darurat/bencana.

    2. Rencana darurat ("Konsep Pemulihan Bencana"): Terdapat konsep untuk penanganan keadaan darurat/bencana dan rencana darurat yang sesuai. G-P memastikan pemulihan semua sistem berdasarkan cadangan data/backup, biasanya dalam waktu 48 jam.

    3. Langkah-langkah peninjauan dan evaluasi: Penyajian prosedur untuk tinjauan, penilaian, dan evaluasi rutin terhadap efektivitas langkah-langkah teknis dan organisasi.

  6. Tim Privasi: Organisasi ini memiliki Kantor Privasi Data Global yang bertugas merencanakan, menerapkan, mengevaluasi, dan menyesuaikan langkah-langkah di bidang perlindungan data.

  7. Manajemen Risiko: Terdapat proses untuk menganalisis, mengevaluasi, dan mengalokasikan risiko serta untuk menentukan tindakan berdasarkan risiko-risiko tersebut.

3) TINJAUAN INDEPENDEN ATAS KEAMANAN INFORMASI

  1. Pelaksanaan audit: Audit internal tentang perlindungan data dan keamanan informasi dilakukan secara berkala. Audit dilakukan berdasarkan kriteria/skema pengujian yang umum.
  2. Tinjauan kepatuhan terhadap kebijakan dan standar keamanan: Kepatuhan terhadap pedoman keamanan, standar, dan persyaratan keamanan lainnya yang berlaku untuk pemrosesan data pribadi diperiksa secara berkala. Jika memungkinkan, pemeriksaan ini dilakukan secara acak dan tidak terduga.
  3. Verifikasi kepatuhan terhadap spesifikasi teknis: Pemindaian kerentanan otomatis dan manual secara berkala dilakukan oleh departemen TI atau personel berkualifikasi lainnya untuk memverifikasi keamanan aplikasi dan infrastruktur, serta pengembangan produk secara berkala. Tes penetrasi terperinci dilakukan oleh penyedia layanan eksternal untuk secara khusus memeriksa aplikasi dan infrastruktur untuk mengetahui adanya kerentanan.
  4. Pemrosesan berdasarkan instruksi: Karyawan G-P diinstruksikan untuk memproses data pribadi hanya untuk alasan yang sah, sesuai dengan kontrak yang berlaku dengan Pelanggan dan profesional, dengan mempertimbangkan persetujuan yang diberikan atau ditolak secara tegas oleh subjek data, dan sesuai dengan kewajiban hukum organisasi.
  5. Pemilihan pemasok yang cermat: G-P mematuhi Proses Pra-Kualifikasi Pemasoknya saat memilih vendor dan pemasok yang mungkin menangani data yang dilindungi. Proses ini mencakup umpan balik dari Departemen Keuangan dan Departemen Hukum/Privasi dan menggabungkan penilaian risiko, prakualifikasi keamanan, dan langkah-langkah sertifikasi dokumentasi. Pemasok yang akan memproses data yang dilindungi wajib menunjukkan kepatuhan mereka terhadap hukum perlindungan data yang berlaku, termasuk Pasal 28 Peraturan Perlindungan Data Umum untuk data yang tercakup.

 

Lampiran III 

Daftar Subprosesor

 

Subprosesor

Informasi Lokasi dan Kontak

Deskripsi Pemrosesan

anak perusahaan G-P

https://www.globalization- partners.com/contact-us/

Menyediakan Platform dan Manajemen Hubungan Pelanggan

Acumatica

3933 Lake Washington Blvd NE #350, Kirkland, WA 98033, USA

Jasa Keuangan

Layanan Web Amazon

P.O. Kotak 81226

Seattle, WA 98108-1226, AS

Hosting - Penyedia Layanan Cloud

Microsoft

Microsoft Corporation Satu Cara Microsoft

Redmond, Washington 98052 USA Telepon: (+1) 425-882-8080.

Dukungan Proses Bisnis untuk komunikasi (email) dan manajemen layanan

Atlassian

350 Lantai Jalan Semak 13

San Francisco, CA 94104, AS

+1 415 701 1110

Dukungan Proses Bisnis untuk manajemen layanan

DocuSign

DocuSign International (EMEA (Eropa, Timur Tengah, dan Afrika)) Ltd, Perhatian: Tim Privasi, 5 Hanover Quay, Ground Floor, Dublin 2, Republik Irlandia

Manajemen Dokumen

Salesforce.com

Salesforce Tower, 415 Mission Street, 3rd Floor, San Francisco, CA 94105, USA

1-800-387-3285

Dukungan Proses Bisnis untuk manajemen Hubungan Pelanggan (CRM)

Zendesk

989 Market St

San Francisco, CA 94103, Amerika Serikat zendesk.com

888-670-4887

Pertanyaan helpdesk untuk dukungan Pelanggan

Workday

6110 Stoneridge Mall Road
Pleasanton, CA 94588, AS

Dukungan Proses Bisnis untuk mengelola penggajian, tunjangan, SUMBER DAYA MANUSIA dan data karyawan.

Layanan Sekarang

2225 Lawson Lane
Santa Clara, CA, 95054

AMERIKA SERIKAT

 

Dukungan Proses Bisnis untuk manajemen layanan dan operasional TI, pengalaman karyawan dan pelanggan melalui (alur kerja berbasis cloud otomatis)

Databricks

160 Spear Street, 15th Floor
San Francisco, CA 94105
1-866-330-0121

AMERIKA SERIKAT

Infrastruktur gudang data cloud.

Datadog

620 8th Ave 45th Floor

New York, NY 10018

AMERIKA SERIKAT

 Alat pemantauan dan debugging layanan

Wise

Avenue Louise 54, Kamar s52,

1050 Brussels

Belgia

Pemroses pembayaran online

Google

1600 Amphitheatre Pkwy, Mountain View, CA 94043

Dukungan Proses Bisnis untuk komunikasi (email) dan penyimpanan dokumen internal