MSAプライバシー言語

 データ保護に関する補足事項

お客様は、 G-Pとの間でマスター契約またはこれと類似の性質および目的を有する契約（以下「マスター契約」といいます）を締結しています。当該マスター契約の履行には、個人データの処理が含まれる場合があります。お客様およびG-P （以下、総称して「両当事者」といいます）は、本データ保護補足契約（以下「DPA」といいます）が、マスター契約に基づきG-Pがお客様に提供するサービスに関連する個人データの処理およびセキュリティに関する両当事者の義務を規定するものであることに同意し、両当事者は本DPAに拘束されることに同意します。本DPAは、マスター契約の条項を補足するものであり、マスター契約に組み込まれます。本DPAと、本契約に規定される事項に関する両当事者間のその他の契約との間に矛盾が生じた場合は、本DPAが優先するものとします。お客様が既にG-Pとの間で有効なデータ保護補足契約を締結している場合、お客様とG-Pが書面で別途合意しない限り、当該契約が本DPAに優先し、本DPAは効力を有しないものとします。

 

一方：

1. G-P顧客に雇用者記録サービス（「雇用代行業者（EOR）」）サービスを提供する場合、 G-P 顧客が雇用するために選定した個人（「専門家」）の法的雇用主としての役割を担う。。
2. 当該専門家の個人データに関して、 G-Pは雇用関係の期間中、データ管理者となります。
3. 顧客が自社の目的のために収集および使用する専門家の個人データに関して、顧客は独立したプライバシー義務を負うデータ管理者でもあります。
4. 代行（EOR）サービスを提供する際、 G-Pと顧客間の専門家の個人データの交換は独立した管理者間の関係の下で行われ、 以下のセクション2で定義されているコントローラ間条件が適用されます。
5. G-Pまた、 G-Pのプラットフォーム（「GPP」）を通じて様々なSaaS製品を提供しており、 G-Pこのプラットフォームを通じて顧客が専門家との関係を管理できるようにしている。
6. G-P 、顧客にGPPへのアクセスを提供することにより、顧客が指定したGPPの承認済みユーザーによってGPPにアップロードされたアカウント関連データの処理者となります。 以下のセクション3で定義されているコントローラとプロセッサ間の用語が適用されます。

 

G-Pと顧客は、以下のとおり合意しました。

 

1 。 DEFINITIONS

1 . 1 . 本契約で定義されていない用語は、基本契約に定められた意味を有するものとします。本データ処理契約における以下の用語は、以下の意味を有するものとします。

1 . 2 . 「承認済みユーザー」とは、マスター契約の締結に基づき、顧客に代わってGPPにアクセスし使用することを顧客から許可された個人を意味し、顧客の代理人および/または請負人を含む場合があります。

1 . 3 . 「顧客データ」とは、 G-Pが顧客に代わってGPPの利用のために転送、処理、または保存する、承認済みユーザーまたは識別可能な自然人に関連する個人データを意味します。

1 . 4 . 「データ保護法」とは、本契約の当事者が適用され、提供されるサービスに適用されるデータ保護法およびプライバシー法を意味します。これには、一般データ保護規則（GDPR）、英国一般データ保護規則（GDPR）、スイスのデータ保護法、米国のプライバシー法（州法および連邦法を含む）、およびブラジルのLGPDが含まれますが、これらに限定されません。

1 。 5 。 「一般データ保護規則（GDPR） 」とは、一般データ保護規則（GDPR） (EU) 2016 / 679を意味します。

1 . 6 . 「 GPP 」とは、 G-Pの独自ソフトウェアを意味し、これには、ソフトウェア、モバイル版、それに含まれるソフトウェア、およびG-Pの独自ソフトウェアまたはサードパーティサービスの使用を通じて利用可能になるデータ（それらの更新、アップグレード、サービスとしてのプラットフォーム、およびドキュメントを含む）が含まれますが、これらに限定されません。

1 . 7 . 「 EEA 」とは欧州経済領域を意味します。

1 . 8 . 「 LGPD 」とは、ブラジル法第13号、 709 、個人データ保護に関する一般法を意味し、改正、代替、または置き換えられる場合がある。

1 . 9 . 「マスター契約」とは、顧客とG-Pの間でサービス提供のために締結された契約を意味します。

1 . 10 . 「プライバシーポリシー」とは、 G-Pのプライバシーポリシーを意味し、随時更新され、 https://www.globalization-partners.com/privacy-policy/で入手可能です。

1 。 11 。 「専門家のデータ」とは、 G-Pが顧客に雇用代行業者（EOR）サービスを提供する過程で処理する専門家の個人データを意味します。

1 . 12 . 「制限付き移転」とは、適用されるデータ保護法に基づく十分性決定の対象とならない、EEA、英国、スイスまたはブラジル以外の国への個人データの移転を意味し、したがって、適用されるデータ保護法に基づく適切な保護措置が必要となります。

1 . 13 . 「サービス」とは、マスター契約に基づきG-Pが顧客に提供するサービスを意味し、これには代行（EOR）サービスおよびGPPへのアクセスと使用が含まれる場合があります。

1 . 14 . 「標準契約条項」または「SCC」とは、(i) 一般データ保護規則（GDPR）が適用される場合、欧州委員会の実施決定（EU） 2021 / 914 （ 4 6月） 2021に付属する、欧州議会および理事会の規則（EU） 2016 / 679に従って第三国に個人データを移転するための標準契約条項（ https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914&from=ENで入手可能）（「EU SCC」）を意味します。(ii) 英国の一般データ保護規則（GDPR）が適用される場合、第46条（ 2 ）（c）に従って採択された適用可能な標準データ保護条項、または(d) 英国の一般データ保護規則（GDPR）が、情報コミッショナー事務局が第 13 条に基づいて発行した EU 標準契約条項への国際データ転送補足（「英国補足」）を意味します。 ( 1 ) 119のデータ保護法が適用される場合、 2018 18データ保護庁および情報コミッショナー事務局が発行、承認または認識した適用可能な標準データ保護条項（「スイスSCC」） 。ブラジルのLGPDが適用される場合、ブラジル国家データ保護庁（「ANPD」）が公布した決議CD/ANPD No. 19 / 2024に添付された適用可能な 条項（随時修正される可能性がある）（「ブラジルSCC」）。

1 . 15 . 「スイスのデータ保護法」または「FADP」とは、(i) スイス連邦データ保護法（ 19 6月、 1992 6月、 1 3月、 2019年3月現在）（「 FDPA 」）、(ii) 連邦データ保護法に関する政令（「 FODP 」）、および (iii) 上記の法律に基づいて、またはこれに従って、またはこれらに取って代わる、もしくはこれらに続く国内のデータ保護法、ならびにこれらのいずれかに取って代わる、もしくはこれらを更新する法律を意味します。

1 . 16 . 「英国補足条項」とは、英国情報コミッショナーが発行した、EU標準契約条項に対する英国国際的データ転送補足条項を意味します。

1.17 . 「英国データ保護法」3 とは、英国の欧州連合 (離脱) 法2019 のセクション (「英国一般データ保護規則（GDPR）」) およびデータ保護法2018 (合わせて 「英国データ保護法」 ) の規定により英国法に保存された一般データ保護規則(GDPR ) を意味します。

1 . 18 . 「米国プライバシー法」とは、個人データの処理に関連する適用される米国（US）の州法、命令、規則、および規制ガイダンスを意味し、これには以下が含まれますが、これらに限定されません。（a）CCPA、（b）バージニア州消費者データ保護法、（c）コロラド州プライバシー法、（d）コネチカット州データプライバシーおよびオンライン監視に関する法、（e）ユタ州消費者プライバシー法、および（f）その他すべての類似の州法

1 . 19 . 「管理者」、「データ主体」、「個人データ」、「個人情報」、「データ侵害」、「処理者」、「処理」、「制限付き転送」、「サービスプロバイダー」および／またはその他の類似の用語と概念は、データ保護法で定義されている意味を持つものとします。

 

 

2 。 CONTROL OF PERSONAL DATA

2 . 1 . 当事者の役割。GP G-P独立した管理者として業務を行う場合、 G-P個人データの処理においてデータ保護法に基づく管理者としての義務を遵守しG-P https://www.globalization-partners.com/privacy-policy/で入手可能なGPのプライバシーポリシーに記載されているとおりに個人データを処理するものとします。顧客は、管理者として個人データを処理する際に、データ保護法に基づく義務を遵守するものとします。いかなる場合も、両当事者は本データ処理契約に基づき、共同管理者として個人データを処理することはありません。

2 . 2 . 責任と確認事項。各当事者は、独立したデータ管理者として、本データ処理契約に基づき、専門家のデータに関する個人データを処理することができます。各当事者は、それぞれの義務を遵守し、本データ処理契約および当該当事者の個人データ処理業務に適用されるすべてのデータ保護法に従って、個人データを公正かつ合法的に処理することに同意します。各当事者は、個人データの処理がG-Pが提供するGPPの目的に限定され、合法的な処理の法的根拠に基づいていることを保証するものとします。各当事者は、データ侵害が発生した場合の相互支援、データ主体および／または規制当局の要求への対応を含め、データ保護法に基づくそれぞれの義務を遵守するために相互に協力します。

 

3 。 PROCESSING OF PERSONAL DATA

 

3 . 1 . 適用範囲。GPPの使用には、 G-Pが顧客に代わって処理者またはサービスプロバイダーとして顧客データを処理することが伴う場合があります。

3 . 2 . 指示事項。GP G-P 、顧客の文書化された指示に従って顧客データを処理します。 顧客は、このDPA、マスター契約、および添付の別紙Iには、顧客データの処理に関して顧客がG-Pに指示する完全な指示が記載されています。 追加または代替の指示については、当事者間で書面による合意が必要であり、その合意には、当該指示に従うことに伴う費用（もしあれば）も含まれる。 顧客は、その指示が適用されるデータ保護法に準拠していることを保証するものとします。顧客は、 G-Pが顧客の事業に適用される法律を判断する責任を負わないことを承諾するものとします。顧客は、 G-Pが顧客の指示に従って顧客データを処理する場合に、適用されるデータ保護法を含む、いかなる適用法にもG-P違反しないことを保証するものとします。 ただし、 G-P G-P顧客の指示が適用されるデータ保護法に違反していると判断した場合、 G-P合理的に可能な限り速やかに顧客に通知し、違反する指示に従う義務を負わないものとします。

3 . 3 . 処理の詳細。処理の対象、期間、性質および目的、ならびに顧客データの種類およびデータ主体に関する詳細は、本書に添付されている別紙Iに記載されています。 

3 . 4 . コンプライアンス。顧客とG-P別紙Iに規定されているとおり処理される顧客データに適用されるデータ保護法に基づくそれぞれの義務を遵守することに同意します。顧客は、 G-Pに顧客データを開示、転送、またはその他の方法で提供する前に、顧客データの処理の合法性に関するデータ保護法を遵守する責任を単独で負います。 念のため申し添えますが、いかなる場合においても、顧客は、必要に応じて、 G-P顧客の指示に従って顧客データを処理するためのデータ主体からの同意を取得するものとします。

3 . 5 . サブプロセッサー。顧客は、 G-Pサービスに関連して顧客データを処理するためにプロセッサー（「サブプロセッサー」）を任命および使用することを承認します。 サブプロセッサーには、第三者またはG-Pグループ企業のいずれかのメンバーが含まれる場合があります。GP G-P 、本DPAの日付時点で既にG-Pが契約しているサブプロセッサーを引き続き使用することができます。そのようなサブプロセッサーのリストは、以下に添付されている別紙IIIに記載されています。サブプロセッサーが上記のとおりデータ保護義務を履行しない場合、 G-P顧客に対し、サブプロセッサーの義務の履行について責任を負います。GP G-P 、GPPを通じてサブプロセッサーのリストの変更を顧客に通知します。顧客が、当該通知の受領後10 （10）日以内に、データ保護上の理由によりサブプロセッサーの追加または削除に正当な異議を申し立て、 G-P顧客の異議に合理的に対応できない場合、両当事者は、問題を解決するために、顧客の懸念事項について誠意をもって協議します。

3 . 6 . 技術的および組織的なセキュリティ対策。業界標準、実装コスト、処理の性質、範囲、状況および目的、ならびに顧客データの処理に関連するその他の関連状況を考慮して、 G-P 、顧客データの処理に関与する処理システムおよびサービスのセキュリティ、機密性、完全性、可用性および回復力が、本契約に添付されている別紙IIに詳述されている顧客データに関するリスクに見合うように、適切な技術的および組織的なセキュリティ対策を実施するものとします。 G-Pは定期的に(i)その安全対策、管理、システム、手順の有効性をテストおよび監視し、(ii)顧客データのセキュリティ、機密性、完全性に対する合理的に予見可能な内部および外部のリスクを特定し、これらのリスクに対処することを保証する。

3 . 7 . 機密保持。GP G-P 、顧客データへのアクセスを許可された者が、(i) 機密保持を約束しているか、適切な法的機密保持義務を負っていること、および (ii) 適用法によって要求される場合を除き、 G-Pからの文書化された指示に基づいてのみ顧客データにアクセスすることを保証しなければなりません。

3 . 8 . 個人データ侵害。GP G-P 、顧客データの処理に関連するデータ侵害を認識した後、遅滞なく顧客に通知し、可能な限り、データ侵害の悪影響を軽減するために顧客を支援するために合理的な努力を尽くします。

3 . 9 . 個人データの削除。 サービスの終了（理由の如何を問わず）に際し、 G-P 、適用法令により顧客データのより長期間の保管が義務付けられている場合を除き、合理的に可能な限り速やかに、GPPに保存されている顧客データを返却または削除するものとします。かかる保管期間については、本データ処理契約の規定が当該顧客データに引き続き適用されます。

3 . 10 . データ主体からの要求。 G-P 、顧客データに関するデータ主体の要求があった場合、速やかに顧客に通知するものとします。顧客は、かかる要求への対応に責任を負います。GP G-P 、顧客がGPPの使用において関連する顧客データにアクセスできない場合に限り、顧客がデータ主体の要求に対応できるよう合理的な支援を行います。

3 . 11 . 第三者からの要求。GP G-P 、本契約に基づく顧客データの処理に関して、第三者からの要求、またはG-Pが管轄権を有する裁判所、審判所、規制当局、もしくは政府機関からの命令を受けた場合、 G-Pは速やかにその要求を顧客に転送します。GP G-P 、法的に義務付けられている場合を除き、顧客の事前の承認なしに、そのような要求には応じません。GP G-P 、法的に禁止されている場合を除き、顧客データの開示を行う前に顧客に事前に通知し、開示の範囲を法的に要求される範囲に限定するために、顧客と合理的に協力します。 

3 . 12 . データ保護影響評価および事前協議。データ保護法で義務付けられている範囲において、 G-P 、 G-Pが行う顧客データの処理に関するデータ保護影響評価の実施、および／または監督当局との必要な事前協議に関して、顧客に対し合理的な支援を提供します。GP G-P 、かかる支援の提供に対して顧客に合理的な料金を請求する権利を留保します。

3 . 13 . 監査。 顧客は、 G-P要求日から12ヶ月以内に第三者監査人によって実施された監査の結果を反映したセキュリティ検証用の証明書 (ISO 27001認証、SOC 2認証など) を要求することにより、GP が本 DPA およびデータ保護法に準拠していることを監査することができます。あるいは、本セクション3 . 13に従って提供された文書が準拠を証明するのに十分でない場合、顧客は、提供された第三者の認証またはレポートに加えて独自の監査を実施することができます。ただし、その監査は、i) 12ヶ月ごとに 1 回を超えないこと、ii) 通常の営業時間内に、 G-Pの日常業務を妨げないこと、iii) 30 日 ( 30 ) 前に書面で通知すること、iv) 顧客の費用負担のみで行うこと、v) 相互に合意したパラメータと範囲に基づいて、本契約で想定されている特定のサービス、使用中のシステム、および/または処理活動の範囲に限定されること、 vi) 事前に相互に合意した日付に基づき、 G-Pの合理的な要求に応じて顧客が合理的な延期を行うことができる。また、vii) すべての機密保持義務および制限に従う。上記にかかわらず、マスター契約の 終了後、監査権は付与されない。ただし、顧客が証明しなければならない法的義務は除く。顧客に代わって監査を実施するために選任された第三者代表者は、 代行 (EOR) サービス会社、代理店、関連組織、または との利害関係または提携関係を有してはならない。この DPA のいかなる条項も、 G-P顧客またはその第三者監査人に以下の情報を開示すること、または顧客またはその第三者監査人が以下の情報にアクセスすることを許可することを義務付けるものではない。(i) 他のG-P顧客のデータ。(ii) G-Pの内部会計または財務情報。(iii) G-Pまたはその関連会社の企業秘密。 （iv） G-Pの合理的な判断により、 G-Pのシステムのセキュリティを損なう可能性のある情報、または適用法に基づくGPの義務、もしくは第三者に対するセキュリティまたはプライバシー義務の違反を引き起こす可能性のある情報。または（v）顧客またはその第三者監査人が、データ保護法に基づく顧客の義務を誠実に履行する以外の理由でアクセスしようとする情報。

3 . 14 . 米国のプライバシー法。本セクション3 （「個人データの処理」）に基づき、当事者は、 G-Pが適用される米国のプライバシー法で定義される「サービスプロバイダー」または「処理者」であることに同意します。したがって、 G-Pによる顧客データの処理に米国のプライバシー法が適用される範囲において、 G-P 、(a) G-Pと顧客との直接的なビジネス関係外、または本契約に添付されている別紙Iに定める目的以外の目的で顧客データを保持、使用、または開示しないこと、また、 G-Pは顧客にサービスを提供している期間のみ顧客データを処理するものとします。(b) 顧客データを販売しないこと。(c) 顧客データを共有しないこと。(d) GPが顧客から、または顧客に代わって受け取る顧客データを、 G-P他の人物から、または他の人物に代わって受け取る、またはGP自身が消費者とのやり取りから収集する「個人データ」（適用されるデータ保護法で定義される用語または同等のもの）と組み合わせないこと。ただし、 G-P顧客へのサービス提供の範囲内であれば、顧客データを組み合わせることができます。該当する場合、各当事者は、米国プライバシー法に基づく義務を履行できなくなったと判断した場合、相手方当事者に通知するものとする。

 

 

4 。 International Data Transfers

4 . 1 . 適切な保護。GP G-P 、通常の業務過程において、顧客データを関連会社および/または下請け業者に世界規模で転送する権限を有します。 G-P 、関連するデータ保護当局によってデータ保護法に従って個人データに対する適切なレベルの保護を提供していると認められていない地域にそのような移転を行う場合、マスター契約に基づいてまたはマスター契約に関連して移転される顧客データを保護するために適切な保護措置が講じられていることを保証するものとします。

4 . 2 . データプライバシーフレームワーク。専門家および顧客データは、米国でホストされているGPPに保存されます。GP G-P 、EU-米国データプライバシーフレームワーク（EU-US DPF）および該当する場合はEU-US DPFの英国拡張、ならびにスイス-米国データプライバシーフレームワーク（Swiss-US DPF）の認証を受けています。 G-Pの認証は、DPFウェブサイトhttps://www.dataprivacyframework.gov/listで公開されています。 EU-米国データプライバシーフレームワークは、欧州委員会により、一般データ保護規則（GDPR）第45条、英国一般データ保護規則（GDPR）、およびFADPに準拠した合法的なデータ転送メカニズムとして適切であるとみなされました。DPFフレームワークが無効化、停止、または国際的なデータ転送に対する適切な保護を提供するものとして認められなくなった場合、処理者は、該当する場合、欧州委員会、英国情報コミッショナー事務局（ICO）、またはスイス連邦データ保護情報コミッショナー（FDPIC）が発行または承認したSCCを締結し、これに従うことに同意します。当事者は、転送されたデータに対して実質的に同等のレベルの保護を確保するために必要な補足措置を実施するために、誠実に協力するものとします。

4 . 3 . 標準契約条項。顧客（「データ輸出者」）からG-P （「データ輸入者」）への個人データの移転が制限付き移転であり、適用されるデータ保護法によって適切な保護措置を講じる必要がある場合、当該移転は、以下のとおり、本データ処理契約に組み込まれ、その一部を構成するものとみなされる適切な標準契約条項に従うことに、両当事者は合意する。

1. 個人データの移転に関して 一般データ保護規則（GDPR）によって保護されているデータには、次のように完了した EU SCC が適用されます。

1. モジュール1とモジュール2が適用されます。
2. 条項7では、オプションのドッキング条項が適用されます。
3. モジュール2の条項9では、オプション2が適用され、サブプロセッサの変更に関する事前通知の期間は、このDPAのセクション3 . 5に規定されているとおりとする。
4. 条項11では、オプションの言語は適用されません。
5. 条項12では、EU SCCに基づいて提起された請求は、マスター契約に定められた条件に従うものとします。
6. 条項17では、オプション1が適用され、EU標準契約条項はアイルランド法に準拠します。
7. 条項18 (b)では、紛争はアイルランドの裁判所で解決されるものとする。
8. EU標準契約条項の附属書Iは、本データ処理契約の附属書1に記載された情報をもって完成したものとみなされる。
9. EU標準契約条項の附属書IIは、本DPAの附属書2に記載されている情報によって完成したものとみなされる。
10. EU標準契約条項のモジュール2の附属書IIIは、このDPAの附属書3に記載されている情報によって完成したものとみなされる。

b.英国データ保護法またはスイスデータ保護法によって保護されている個人データの移転に関しては、上記の小項(a)に基づいて実施されるEU標準契約条項が、以下の修正を加えて適用される。

1. 「規則（EU） 2016 / 679 」への言及は、英国データ保護法またはスイスデータ保護法（該当する場合）への言及として解釈されるものとする。
2. 「規則（EU） 2016 / 679 」の特定の条項への言及は、英国データ保護法またはスイスデータ保護法（該当する場合）の同等の条項または節に置き換えられるものとします。
3. 「EU」、「連合」、「加盟国」および「加盟国法」への言及は、「英国」または「スイス」、あるいは「英国法」または「スイス法」（該当する場合）への言及に置き換えられるものとする。
4. 「加盟国」という用語は、英国またはスイスのデータ主体がその常居所地（すなわち、英国またはスイス）において権利を主張して訴訟を起こす可能性を排除するような解釈をしてはならない。
5. 条項13 (a)および附属書IのパートCは使用されず、「管轄監督機関」は英国情報コミッショナーまたはスイス連邦データ保護情報コミッショナー（該当する場合）である。
6. 「管轄監督機関」および「管轄裁判所」への言及は、「情報コミッショナー」および「イングランドおよびウェールズの裁判所」または「スイス連邦データ保護情報コミッショナー」および「スイスの該当する裁判所」（該当する場合）への言及に置き換えられるものとする。
7. 条項17において、標準契約条項は、イングランドおよびウェールズの法律またはスイスの法律（該当する場合）に準拠するものとする。
8. 英国のデータ保護法が適用される移転に関しては、条項18は「これらの条項から生じる紛争は、イングランドおよびウェールズの裁判所によって解決されるものとする」と修正されるものとする。データ主体は、英国を含むいずれかの国の裁判所において、データ輸出者および／またはデータ輸入者に対して訴訟を起こすことができる。当事者は、当該裁判所の管轄権に服することに同意する」とし、スイスのデータ保護法が適用される移転に関しては、第18条(b)項に、紛争はスイスの該当する裁判所で解決される旨を規定するものとする。
9. 英国の一般データ保護規則（GDPR）によって保護されているデータに関しては、EU SCCは次のように適用されます。(i) 上記の(i)から(viii)までの項に従って完了した状態で適用され、(ii) 英国補足文書のパート2で指定されているように修正されたものとみなされ、この補足文書は本DPAに組み込まれ、その不可欠な一部を構成するものとみなされます。 さらに、英国補足文書のパート1の表1から3は、それぞれこのDPAの附属書Iおよび附属書IIに記載されている情報で記入され、英国補足文書のパート1の表4は、「いずれの当事者も」を選択することによって記入されたものとみなされる。

c. ブラジルのLGPDによって保護される個人データの、 直接または転送を介して、ANPDが発行した十分性決定の対象とならないブラジル国外の国への 移転に関して 、ブラジルのSCCは 、この参照により締結され、このDPAに組み込まれ、次のように完了したものとみなされます 。

1. ブラジルSCCの条項2は、データ転送を説明する附属書Iに記載されている情報によって満たされます。
2. 私ブラジルSCCの条項3では、オプションBが適用され、このDPAのセクション3 . 5 （「サブプロセッサー」）に従って転送が許可されます。処理の対象、性質、および期間は、本データ処理協定の附属書Iに規定されている。
3. ブラジルSCCの条項4は、本DPAの付属書Iに記載されている情報によって満たされます。G-P管理者である場合、ブラジルSCCで定義されている「指定当事者」となり、ブラジルSCCの条項14 （透明性）、条項15 （データ主体の権利）、および条項16 （インシデント報告）の目的に該当します。 顧客は、自身が管理者となる可能性のある個人データに関して、ブラジルSCCの条項14 （透明性）、条項15 （データ主体の権利）、および条項16 （インシデント報告）を遵守する責任を負います。
4. ブラジルSCCの条項9では、オプションのドッキング条項は適用されません。
5. ブラジルSCCの第III項（セキュリティ対策）は、本DPAの附属書IIに記載された情報をもって完了したものとみなされる。

 

附属書I

データ処理の説明

 

政党	データ輸出者：マスター契約を締結する顧客企業 データインポーター：マスター契約を締結するG-Pエンティティ。
関係者の連絡先	連絡先は基本契約書に記載されています。
転送されたデータに関連する活動	雇用代行業者（EOR）サービスおよびお客様にサービスとして提供されるGPPの利用に関する活動。
処理活動	処理／転送される個人データは、以下の処理活動の対象となる場合があります。適用される手段や手順に関係なく、個人データに関するあらゆる操作、特にデータの収集、整理、保管、保持、使用、検索、参照、アーカイブ、送信、ブロック、消去、または破棄、システムの運用と保守、コンプライアンス、法的および監査機能。
処理期間	G-P 、マスター契約の期間中、継続的に顧客データを処理します。
処理の性質と目的	顧客は、顧客データをG-Pに転送することができます。転送範囲は、顧客が独自の裁量で決定および管理します。データ処理の目的は、基本契約に従ってサービスを提供することです。
データ主体の カテゴリー	a) 当事者が独立したデータ管理者として交換する個人データは、専門家の個人データに関するものです。 b) G-Pがデータ処理者として処理する顧客データは、 GPPには、顧客の従業員および/または請負業者が含まれる場合があります。
個人 データ の種類	・ 連絡先情報（電話番号やメールアドレスなど）。 ・ 従業員／契約社員のデータ（役職名、会社名など）。 ・ 利用状況データ（認証済みユーザーのデバイスに関するデータや、当該デバイスがGPPとどのように連携するかなどのデータ）。 ・ 位置情報（IPアドレスから取得した位置情報など）。 ・ コンテンツデータ（顧客が専門家に関して保有するファイルの内容や関連する通信内容など）。 ・ 認証情報（パスワード、パスワードのヒント、およびGPPへの認証とアカウントアクセスに使用される同様のセキュリティ情報など）。 ・ 承認されたユーザーによって提供された個人データ。
特別なデータカテゴリ（該当する場合）	該当なし
人材補助	個人データは、適用される法律で定められた最低保存期間以上、適用される時効期間に準拠し、かつ適切なビジネス慣行を満たす期間、保持されます。
管轄監督機関	アイルランドデータ保護委員会
サブプロセッサへの転送	処理者へのデータ移転の場合、処理の対象、性質、期間は上記で定義したものと同じである。
G-Pプライバシー連絡先	privacy@G-P.com 宛先：グローバルプライバシーオフィス

 

 

附属書II

技術的および組織的措置

 

G-P 、独立監査機関によりSOC 2およびISO 27001規格への準拠が認証され、証明されています。これらの認証は、顧客データの保護に対する当社の取り組みを示すものです。GP G-Pセキュリティプログラムは、以下の目的で設計されています。

• G-Pが保有する、またはG-Pがアクセスできる顧客データの機密性、完全性、および可用性を保護する。
• 顧客データの機密性、完全性、可用性に対するあらゆる想定される脅威や危険から保護する。
• 顧客データへの不正アクセス、使用、開示、改ざん、または破壊を防止する。
• 顧客データの偶発的な損失、破壊、または損傷から保護する。
• G-P規制される可能性のあるあらゆる規則に定められたとおりに、情報を保護する。

 

以下では、 G-P顧客データの処理におけるセキュリティを確保するために講じた機能、プロセス、管理、システム、手順、および措置について説明します。

1 )データプライバシーと保護を確保するための技術的措置 

1. 設計およびデフォルトによるプライバシー: G-P 、製品開発の構想および開発段階で、 25一般データ保護規則（GDPR）条項の要件を考慮します。 プロセスと機能は、合法性、透明性、目的制限、データ最小化などのデータ保護原則、および処理のセキュリティが早期段階で考慮されるように構築されています。

2. 個人データの暗号化：個人データが、第三者がデータ主体を特定できない方法でのみシステムに保存されるようにします。

   1. データベースおよびストレージの暗号化： G-Pが使用するすべてのデータベースでは、最新技術に基づいた「保存時」の暗号化が使用されており、データベースのデータは、それぞれのデータベースシステム上で適切な認証を受けた後にのみ読み取ることができます。

   2. モバイルデータ媒体の暗号化：顧客データの保存にモバイルデータ通信事業者を使用することは許可されていません。

   3. ノートパソコン上のデータ媒体の暗号化：すべての従業員のノートパソコンには、適切な最新鋭のハードディスク暗号化機能がインストールされています。

   4. 暗号化された情報とファイルの交換: 原則として、情報とファイルの交換は特別な 求人 クーポンを介して直接暗号化されます。 個人データまたは機密情報を、TLS暗号化HTTPSアップロードで送信できないサーバーに転送する必要がある場合は、最新の技術水準に従って、セキュアファイル転送プロトコル（SFTP）、暗号化エンベロープサービス、またはその他の暗号化メカニズムを使用して転送します。

   5. 電子メールの暗号化：原則として、 G-Pの従業員が送信するすべての電子メールはTLSで暗号化されます。 受信側のメールサーバーがTLSをサポートしていない場合は例外となる可能性があります。顧客は、注文の範囲内で使用される該当するメールサーバーがTLS暗号化をサポートしていることを確認するものとします。

3. アクセス制御：アクセス制御は、データ保護法によって保護されているデータが、権限のない者によって使用および処理されることを防止するために意図され、実施されます。

   1. 認証方法の使用：個人データへのアクセスは常に暗号化されたプロトコル（SSH、SSL/TLS、HTTPS、または同等のプロトコル）を介して行われます。ITシステムへの認証手順：ITシステムへのログインには多要素認証を使用します。

   2. 非アクティブ時の自動ブロック： G-P従業員が使用するノートパソコンは、ユーザーが使用していないときはパスワードまたはPINで保護され、ロックされます。 さらに、 15分間操作がないと、パスワード保護付きの自動画面ロックが設定されます。

   3. ウイルス対策ソフトウェアの使用： G-Pの従業員が使用するノートパソコンには、最新のウイルス対策ソフトウェアが搭載されており、すべての業務用ITシステムにおいて常に最新の状態に保たれています。 原則として、同等の最先端のセキュリティ対策が講じられているか、リスクが全くない場合を除き、常駐型のウイルス対策ソフトなしでコンピュータを運用してはならない。デフォルトのセキュリティ設定は無効化したり、回避したりしてはなりません。

   4. 「クリーンデスクポリシー」： G-Pの従業員は、データ主体の個人データを印刷したりローカルに保存したりしないこと、第三者が閲覧できる場所に作業資料を放置しないこと、およびすべての作業資料を適切に保管することを指示されています。 法律でG-Pが義務付けられている書類は、施錠されたキャビネットに保管されます。

4. プラットフォーム内のアクセス制御：アクセス制御により、処理システムの使用を許可されたユーザーは、アクセス権限で指定された個人データのみにアクセスできるようになります。

   1. 役割と権限

      1. 役割と認証プラットフォーム – 顧客アクセス：顧客ユーザーは、顧客アカウント情報を表示および編集できます。

      2. 役割と認証プラットフォーム – プロフェッショナルアクセス：プロフェッショナルユーザーは、自身の専門情報を閲覧および編集できます。専門家は、要件と承認に基づいて顧客アクセス権限を取得することもできます。

      3. 役割と認証プラットフォーム – 内部アクセス：内部アクセスユーザーには、さまざまな役割があります。彼らは、以下の項目の作成、閲覧、編集、承認に関して、それぞれ異なるアクセス権限を持っています。

         • 顧客情報

         • 請求情報

         • パートナー情報

         • 専門職の人事記録情報

      4. 管理システムへのアクセスは、一般的に、顧客サポートおよび製品開発分野の訓練を受けた従業員に限定されています。

5. ファイアウォール・アズ・ア・サービス： G-P外部ファイアウォールをサービスとして利用し、ウェブサイトへのアクセスを許可またはブロックすることで、システムが悪意のあるコンテンツにアクセスできないようにし、不適切なコンテンツへのアクセスを制限します。

6. プラットフォームへのログインの記録: G-Pすべてのログイン アクティビティの記録を保持します。

7. 分離可能性：異なる目的で収集された個人データが個別に処理され、他のデータやシステムから分離されるようにすることで、これらのデータが他の目的で意図せず使用されることを排除する。

   1. 開発環境、テスト環境、運用環境の分離：運用環境のデータは、転送前に完全に匿名化された場合にのみ、テスト環境または開発環境に転送できます。匿名化されたデータの転送は、暗号化するか、信頼できるネットワークを介して行う必要がある。運用環境に移行するソフトウェアは、まず同一のテスト環境（「ステージング」）でテストする必要があります。エラー解析プログラムやソフトウェアの作成・コンパイルプログラムは、やむを得ない場合に限り、オペレーティング環境で使用することができます。これは特に、エラー状況が、テスト環境への移行時に匿名化の要件によって改ざんされる可能性のあるデータに依存している場合に当てはまります。

   2. ネットワークの分離： G-Pタスクに応じてネットワークを分離します。 以下のネットワークは、運用環境（「本番環境」）、テスト環境（「ステージング」、「サンドボックス」）、開発環境（「Dev」）のオフィスITスタッフによって常時使用されています。これらのネットワークに加えて、必要に応じて、例えば復旧テストや侵入テストのために、さらに別のネットワークが作成されます。技術的な可能性に応じて、ネットワークは物理的に分離されるか、仮想ネットワークによって分離される。

8. 可用性 管理： G-P 、個人データが偶発的な破壊や損失から保護されるように、以下の措置を講じます。

   1. データ保護手順／バックアップ：十分な可用性を確保するため、 G-Pデータベースのデイリースナップショットを作成し、別のリージョンにレプリケーションを行っています。 また、業務上データを確認する必要のある従業員には、複製データセットのみへのアクセス権限が付与されるように対策が講じられている。

   2. 本番データおよびバックアップのサーバーインフラストラクチャに関する地理的冗長性

   3. ITインシデント管理（「インシデント対応管理」）：インシデントや安全に関わる事象に対処するための概念と文書化された手順が存在する。これには、インシデントへの対応の計画と準備、セキュリティ関連イベントの監視、検出、分析の手順、および法的要件の枠組み内での個人データ保護違反が発生した場合の対応する責任と報告チャネルの定義が含まれます。

2 )データプライバシーと保護を確保するための組織的措置

G-P 、組織がデータプライバシーおよび保護要件を満たす方法で運営されることを確実にするために、以下の組織的措置を講じています。

1. 組織上の指示： G-P 、従業員が従うべきポリシー、手順、ガイドラインを含むデータガバナンスプログラムを策定済みであり、現在も策定中です。 ドキュメントには、データプライバシーの問題を特定して管理する方法、プライバシーコンプライアンスを確保するためのベストプラクティス、およびプライバシーインシデントに対処するためのポリシーが含まれています。
2. 機密保持とデータ保護への取り組み： G-P 、従業員が遵守すべき方針、手順、ガイドラインを含むデータガバナンスプログラムを策定済みであり、現在も策定中です。 すべての従業員および契約社員は、機密保持義務、データ保護義務、およびその他の関連法規を遵守する義務を文書で負う。全従業員はプライバシーとセキュリティに関する研修を受けます。データ保護および情報セキュリティに関する内部監査は定期的に実施されています。監査は、共通の試験基準／方式に基づいて実施されます。G-Pの従業員および契約者は、顧客および専門家との適用契約に従い、データ主体によって与えられた、または拒否された明示的な同意を十分に考慮し、組織の法的義務に従って、合法的な理由のみで個人データを処理するよう指示されています。
3. データ保護研修：全従業員はプライバシーとセキュリティに関する研修を受け、その内容はG-P研修プラットフォームでいつでも確認できるようになっています。
4. 物理的アクセス制御： G-P 、処理に使用されるITシステム機器への不正アクセスを防止するために、以下の物理的制御を実施しています。
   1. 電子ドアセキュリティ： G-Pの診療所の入り口ドアは常に施錠され、電子的にセキュリティが確保されています。 ドアは個人用の電子トランスポンダーで開閉する。
   2. 鍵の管理された配布： G-Pの従業員への鍵の割り当ては、中央で文書化された方法で行われます。 これらの電子トランスポンダー/キーは、各オフィス管理者または人事部によって一元的に無効化できます。
   3. 外部者の監督と同伴：外部サービス提供者およびその他の第三者は、事前の許可がある場合、またはG-Pの が同伴している場合にのみ、施設への立ち入りが許可されます。 G-P 、来訪者を施設に招く際に、文書化された来訪者ポリシーを適用します。
   4. 保護の必要性が高い施設のセキュリティ対策：法律事務所や特定の業務拠点など、保護の必要性が高い施設やキャビネットには、施錠可能なキャビネットや引き出しが設置されています。法的文書、契約書、機密文書を保管する戸棚や引き出しは、使用時を除き、常に施錠しておかなければならない。
   5. ドアと窓を閉める：従業員は、勤務時間外は窓とドアを閉めるか施錠するように組織から指示されています。
5. 復旧性： G-P 、物理的または技術的な障害が発生した場合でも、使用中のシステムを復旧できることを保証します。

   1. データ復旧の定期テスト（「復元テスト」）：緊急事態や災害発生時に復旧可能であることを確認するため、定期的に完全な復元テストを実施します。

   2. 緊急時対応計画（「災害復旧構想」）：緊急事態／災害への対応に関する構想と、それに対応する緊急時対応計画が存在する。G-P 、データバックアップに基づいて、通常48時間以内にすべてのシステムの復旧を保証します。

   3. レビューおよび評価措置：技術的および組織的措置の有効性を定期的にレビュー、評価、査定するための手順の説明。

6. プライバシーチーム：当組織には、データ保護分野における対策の計画、実施、評価、および適応を担当するグローバルデータプライバシーオフィスがあります。

7. リスク管理：リスクを分析、評価、配分し、これらのリスクに基づいて対策を導き出すためのプロセスが存在する。

3 )情報セキュリティに関する独立レビュー

1. 監査の実施：データ保護および情報セキュリティに関する内部監査は定期的に実施されています。監査は、共通の試験基準／方式に基づいて実施されます。
2. セキュリティポリシーおよび基準への準拠状況の確認：個人データの処理に関する適用されるセキュリティガイドライン、基準、およびその他のセキュリティ要件への準拠状況は定期的に確認されます。可能な限り、これらの検査は無作為かつ予告なしに実施されます。
3. 技術仕様への準拠の検証：アプリケーションとインフラストラクチャのセキュリティ、および製品の定期的な開発を検証するために、IT部門またはその他の資格のある担当者によって、定期的な自動および手動の脆弱性スキャンが実施されます。詳細な侵入テストは、外部のサービスプロバイダーによって実施され、アプリケーションとインフラストラクチャの脆弱性を具体的に調査します。
4. 指示に基づく処理： G-Pの従業員は、顧客および専門家との適用契約に従い、データ主体によって与えられた、または拒否された明示的な同意を十分に考慮し、組織の法的義務に従って、合法的な理由のみで個人データを処理するよう指示されています。
5. サプライヤーの慎重な選定： G-P 、保護対象データに接する可能性のあるベンダーおよびサプライヤーを選定する際に、サプライヤー事前資格審査プロセスを遵守します。 このプロセスには、財務部門および法務・プライバシー部門からのフィードバックが含まれ、リスク評価、セキュリティ事前資格審査、文書認証の手順が組み込まれています。保護されたデータを処理するサプライヤーは、対象データに関する28一般データ保護規則（GDPR）条項を含む、適用されるデータ プライバシー法を遵守していることを証明する必要があります。

 

附属書III 

サブプロセッサ一覧

 

サブプロセッサ	所在地および連絡先情報	処理内容の説明
G-P子会社	https://www.globalization- partners.com/contact-us/	プラットフォームの提供と顧客関係管理
アキュマティカ	3933 Lake Washington Blvd NE # 350 、カークランド、ワシントン州98033 、米国	金融サービス
アマゾンウェブサービス	POボックス81226 シアトル、ワシントン州98108 - 1226 、米国	ホスティング – クラウドサービスプロバイダー
マイクロソフト	マイクロソフトコーポレーション ワンマイクロソフトウェイ アメリカ合衆国98052レドモンド 電話番号: (+ 1 ) 425 - 882 - 8080 。	コミュニケーション（電子メール）およびサービス管理に関するビジネスプロセスサポート
アトラシアン	350ブッシュストリートフロア13 サンフランシスコ、カリフォルニア州94104 、アメリカ合衆国 + 1 415 701 1110	サービス管理のためのビジネスプロセスサポート
DocuSign	DocuSign International (EMEA) Ltd、宛先：プライバシーチーム、 5ハノーバー・キー、1階、ダブリン2 、アイルランド共和国	文書管理
Salesforce.com	セールスフォース・タワー、 415ストリート、 3階、サンフランシスコ、カリフォルニア州、 94105 1 - 800 - 387 - 3285	顧客関係管理（CRM）のためのビジネスプロセスサポート
Zendesk	989マーケットストリート カリフォルニア州サンフランシスコ94103 、米国zendesk.com 888-670-4887	カスタマーサポートに関するヘルプデスクへのお問い合わせ
Workday	6110ストーナーリッジ・モール・ロード プレザントン、カリフォルニア州94588 、アメリカ合衆国	給与、福利厚生、人事、人事部、従業員データの管理のためのビジネス プロセス サポート。
ServiceNow	2225ローソンレーン カリフォルニア州サンタクララ、 95054 アメリカ合衆国	ITサービスおよび運用管理、従業員および顧客体験（自動化されたクラウドベースのワークフローによる）のためのビジネスプロセスサポート
データブリックス	160スピアストリート、 15階 サンフランシスコ、カリフォルニア州94105 1 - 866 - 330 - 0121 アメリカ合衆国	クラウドデータウェアハウスインフラストラクチャ。
データドッグ	620 8番街45階 ニューヨーク州ニューヨーク市10018 アメリカ合衆国	サービス監視およびデバッグツール
Wise	アベニュー・ルイーズ54 、ルームs 52 、 1050ブリュッセル ベルギー	オンライン決済処理業者
グーグル	1600アンフィシアター・パークウェイ、マウンテンビュー、カリフォルニア州94043	コミュニケーション（電子メール）および社内文書保管に関する業務プロセスサポート