To już oficjalne! G-P Gia™ jest teraz dostępna dla wszystkich. Dostarczanie agentowej sztucznej inteligencji dla globalnej zgodności KADRY na dużą skalę. Proszę spróbować teraz!
Proszę zrezygnować z wizy H-1B. Dostęp do największych utalentowanych pracowników z G-P pracodawca formalny™.
Logo G-P
Zapytanie ofertowe

Język prywatności MSA

Ostatnia aktualizacja: marzec 4, 2026

 UZUPEŁNIENIE DOTYCZĄCE OCHRONY DANYCH

Klient zawarł z G-P Umowę główną lub umowę o podobnym charakterze i celu (zwaną dalej "Umową główną"). Wykonanie takiej Umowy Ramowej może wiązać się z Przetwarzaniem Danych Osobowych. Klient i G-P (zwane dalej łącznie "Stronami") uzgadniają, że niniejszy Dodatek dotyczący ochrony danych ("DPA") określa ich obowiązki w zakresie przetwarzania i bezpieczeństwa Danych osobowych w związku z Usługami świadczonymi przez G-P na rzecz Klienta w ramach Umowy głównej, a Strony zgadzają się przestrzegać niniejszego DPA. Niniejsza Umowa o partnerstwie biznesowym uzupełnia warunki Umowy głównej i jest do niej włączona. W przypadku sprzeczności między niniejszą Umową o partnerstwie i wszelkimi innymi umowami między stronami w kwestiach określonych w niniejszym dokumencie, niniejsza Umowa o partnerstwie ma pierwszeństwo. Jeśli Klient zawarł już z G-P aneks dotyczący ochrony danych, umowa ta będzie miała pierwszeństwo przed niniejszą Umową o partnerstwie i niniejsza Umowa o partnerstwie nie będzie miała mocy ani skutku, chyba że Klient i G-P uzgodnią inaczej na piśmie.

 

Zważywszy, że:

  1. W przypadku, gdy G-P świadczy na rzecz Klienta usługi pracodawcy formalnego, G-P przyjmuje rolę prawnego pracodawcy dla osób wybranych przez Klienta ("Profesjonaliści"), które mają zostać zatrudnione.
  2. W odniesieniu do Danych osobowych takich Specjalistów G-P jest Administratorem w trakcie trwania stosunku pracy.
  3. W odniesieniu do Danych Osobowych Profesjonalistów gromadzonych i wykorzystywanych przez Klienta do własnych celów, Klient jest również Administratorem, na którym spoczywają niezależne obowiązki w zakresie ochrony prywatności.
  4. W przypadku świadczenia usług pracodawcy formalnego, wymiana Danych Osobowych Profesjonalistów pomiędzy G-P a Klientem odbywa się w ramach niezależnej relacji Administrator - Administrator, zaś Zastosowanie mają terminy między kontrolerami zdefiniowane w sekcji 2 poniżej.
  5. G-P oferuje również różne produkty oprogramowania jako usługi za pośrednictwem platformy G-P ("GPP"), za pośrednictwem której G-P umożliwia Klientowi zarządzanie relacjami z tymi Specjalistami.
  6. Zapewniając Klientowi dostęp do GPP, G-P jest podmiotem przetwarzającym dane związane z kontem przesłane do GPP przez wyznaczonych przez Klienta Autoryzowanych Użytkowników GPP oraz przez Zastosowanie mają pojęcia kontroler-procesor zdefiniowane w sekcji 3 poniżej.

 

G-P i Klient uzgodnili, co następuje:

 

1. DEFINITIONS

1.1. Terminy niezdefiniowane w niniejszym dokumencie mają znaczenie określone w Umowie Ramowej. Następujące słowa w niniejszym DPA mają następujące znaczenie:

1.2. "Upoważniony Użytkownik" oznacza osobę fizyczną upoważnioną przez Klienta, która może być pracownikiem i/lub wykonawcą Klienta, do dostępu i korzystania z GPP w imieniu Klienta, zgodnie z Umową Główną.

1.3. "Dane Klienta" oznaczają wszelkie Dane Osobowe związane z jakimkolwiek Upoważnionym Użytkownikiem lub możliwą do zidentyfikowania osobą fizyczną, które są przekazywane, przetwarzane lub przechowywane przez G-P w imieniu Klienta w celu korzystania z GPP przez Klienta.

1.."4 Przepisy o ochronie danych " oznaczają wszelkie przepisy o ochronie danych i prywatności, którym podlega strona niniejszej Umowy i które mają zastosowanie do świadczonych Usług, w tym, w stosownych przypadkach, ale nie wyłącznie, Ogólne rozporządzenie o ochronie danych (RODO, brytyjskie Ogólne rozporządzenie o ochronie danych (RODO, szwajcarskie przepisy o ochronie danych, amerykańskie przepisy o ochronie prywatności (w tym przepisy stanowe i federalne) oraz brazylijskie LGPD.

1.5. "Ogólne rozporządzenie o ochronie danych (RODO" oznacza Ogólne rozporządzenie o ochronie danych (RODO (UE) 2016/679.

1.6. "GPP" oznacza oprogramowanie własne G-P, w tym między innymi oprogramowanie, wersję mobilną, wszelkie zawarte w nim oprogramowanie oraz wszelkie dane udostępniane za pośrednictwem oprogramowania własnego G-P lub usług stron trzecich, w tym ich aktualizacje, uaktualnienia, platformę jako usługę oraz dokumentację.

1.7. "EOG" oznacza Europejski Obszar Gospodarczy.

1.8. "LGPD" oznacza brazylijską ustawę nr 13.709, ogólną ustawę o ochronie danych osobowych, która może zostać zmieniona, zastąpiona lub zastąpiona.

1.."9 Umowa ramowa " oznacza umowę zawartą pomiędzy Klientem a G-P w celu świadczenia Usług.

1.10. "Polityka prywatności" oznacza politykę prywatności G-P, aktualizowaną od czasu do czasu, dostępną pod adresem https://www.globalization-partners.com/privacy-policy/

1.11. "Dane Profesjonalistów" oznaczają Dane Osobowe Profesjonalistów przetwarzane przez G-P w ramach świadczenia usług przez pracodawcę formalnego na rzecz Klienta.

1.12. "Ograniczony transfer" oznacza każde przekazanie Danych Osobowych do kraju spoza EOG, Wielkiej Brytanii, Szwajcarii lub Brazylii, które nie podlega decyzji stwierdzającej odpowiedni stopień ochrony zgodnie z obowiązującymi przepisami o ochronie danych, a zatem wymaga odpowiednich zabezpieczeń zgodnie z obowiązującymi przepisami o ochronie danych.

1.13. "Usługi" oznaczają usługi świadczone przez G-P na rzecz Klienta na podstawie Umowy Ramowej, które mogą obejmować usługi pracodawcy formalnego oraz dostęp i korzystanie z GPP.

1.14. "Standardowe klauzule umowne " lub "SCCs" oznaczają (i) w przypadku gdy zastosowanie ma Ogólne rozporządzenie o ochronie danych (RODO), standardowe klauzule umowne stanowiące załącznik do decyzji wykonawczej Komisji Europejskiej (UE) 2021/914 z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich na mocy rozporządzenia (UE) 2016 /679 Parlamentu Europejskiego i Rady, dostępne pod adresemhttps://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914&from=EN ("EU SCCs"); (ii) w przypadku gdy zastosowanie ma ogólne rozporządzenie UK o ochronie danych (RODO), mające zastosowanie standardowe klauzule ochrony danych przyjęte zgodnie z art. 46(2) lit. c), lub (d) w przypadku gdy ogólne rozporządzenie UK o ochronie danych (RODO) oznacza Międzynarodowego Transferu Danych ("Uzupełnienie brytyjskie") do Standardowych Klauzul Umownych UE wydane przez Biuro Komisarza ds.119A(1) ustawy o ochronie danych 2018, z zastrzeżeniem, że takie uzupełnienie brytyjskie może zostać zmienione zgodnie z sekcją 18 ("UK SCCs"); (iii) w przypadku zastosowania szwajcarskichprzepisów o ochronie danych , obowiązującestandardowe klauzule ochrony danych wydane, zatwierdzone lub uznane przez szwajcarski federalny organ ochrony danych i urząd komisarza ds. informacji ( "Swiss SCCs); w przypadku zastosowania brazylijskiej LGPD, obowiązujące standardowe klauzule umowne, załączone do rezolucji CD/ANPD No. 19/2024 ogłoszonej przez brazylijski Krajowy Urząd Ochrony Danych ("ANPD"), z późniejszymi zmianami ("brazylijskie SCC").

1.15. "Szwajcarskie Przepisy o Ochronie Danych" lub "FADP" oznaczają (i) Szwajcarską Federalną Ustawę o Ochronie Danych (z czerwca 19, 1992, z marca 1, 2019) ("FDPA"); (ii) Rozporządzenie w sprawie Federalnej Ustawy o Ochronie Danych ("FODP"); oraz (iii) wszelkie krajowe przepisy o ochronie danych ustanowione na mocy, zgodnie z, zastępujące lub zastępujące oraz wszelkie przepisy zastępujące lub aktualizujące którekolwiek z powyższych.

1.16. "Dodatek brytyjski" oznacza Dodatek Zjednoczonego Królestwa dotyczący międzynarodowego przekazywania danych do Standardowych Klauzul Umownych UE, wydany przez brytyjskiego komisarza ds. informacji.

1.17. "Brytyjskie przepisy o ochroniedanych" oznaczają Ogólne rozporządzenie o ochronie danych (RODO) zapisane w prawie Zjednoczonego Królestwa na mocy sekcji 3 brytyjskiej ustawy o Unii Europejskiej (o wystąpieniu) 2019 ("Brytyjskie Ogólne rozporządzenie o ochronie danych (RODO)") oraz Ustawę o ochronie danych 2018 (łącznie "Brytyjskie przepisy o ochronie danych" ).

1.18. "Amerykańskie przepisy dotyczące prywatności" oznaczają obowiązujące w Stanach Zjednoczonych (USA) stanowe przepisy, zarządzenia, regulacje i wytyczne regulacyjne dotyczące Przetwarzania Danych Osobowych, w tym między innymi: (a) CCPA; (b) Virginia's Consumer Data Protection Act; (c) Colorado Privacy Act; (d) Connecticut's Act Concerning Data Privacy and Online Monitoring; (e) Utah Consumer Privacy Act; oraz (f) wszystkie podobne przepisy stanowe.

1.19. "Administrator" " Osoba, której dane dotyczą", "Dane Osobowe", "Dane Osobowe" "Naruszenie Danych", "Podmiot Przetwarzający", "Przetwarzanie/Przetwarzanie", "Ograniczony Transfer", "Usługodawca" i/lub wszelkie inne podobne terminy i pojęcia mają znaczenie określone w przepisach o ochronie danych.

 

 

2. CONTROL OF PERSONAL DATA

2.1. Role Stron. W przypadku gdy G-P działa jako niezależny Administrator, G-P będzie przestrzegać swoich obowiązków Administratora wynikających z przepisów o ochronie danych podczas przetwarzania danych osobowych i będzie przetwarzać dane osobowe zgodnie z opisem w Polityce prywatności G-P dostępnej pod adresem https://www.globalization-partners.com/privacy-policy/. Klient będzie przestrzegać swoich obowiązków wynikających z przepisów o ochronie danych podczas przetwarzania danych osobowych jako administrator. W żadnym wypadku Strony nie będą przetwarzać Danych osobowych na mocy niniejszej Umowy o partnerstwie jako współadministratorzy.

2.2. Obowiązki i potwierdzenia. Każda ze Stron może przetwarzać Dane Osobowe na mocy niniejszego DPA w odniesieniu doDanych Profesjonalistów jako niezależni Administratorzy Danych. Strony zgadzają się przestrzegać swoich obowiązków i przetwarzać wszelkie Dane Osobowe w sposób rzetelny i zgodny z prawem, zgodnie z niniejszą Umową o partnerstwie i wszystkimi przepisami o ochronie danych mającymi zastosowanie do operacji Przetwarzania Danych Osobowych danej Strony. Każda ze Stron zapewni, że przetwarzanie przez nią Danych Osobowych jest ograniczone do celu GPP dostarczonych przez G-P i opiera się na podstawie prawnej zgodnego z prawem przetwarzania. Strony będą pomagać sobie nawzajem w wypełnianiu swoich obowiązków wynikających z przepisów o ochronie danych, w tym między innymi będą pomagać sobie nawzajem w przypadku naruszenia ochrony danych, odpowiadając na wnioski osób, których dane dotyczą, i/lub organów regulacyjnych.

 

3. PROCESSING OF PERSONAL DATA

 

3.1. Zakres. Korzystanie z GPP może wiązać się z Przetwarzaniem Danych Klienta przez G-P jako Podmiot Przetwarzający lub Usługodawcę w imieniu Klienta.

3.2. Instrukcje. G-P będzie przetwarzać Dane Klienta zgodnie z udokumentowanymi instrukcjami Klienta. Klient zgadza się, że niniejsze DPA, Umowa Ramowa oraz Załącznik I załączony do niniejszego dokumentu stanowią kompletne instrukcje Klienta dla G-P dotyczące Przetwarzania Danych Klienta. Wszelkie dodatkowe lub alternatywne instrukcje muszą zostać uzgodnione między stronami na piśmie, w tym koszty (jeśli występują) związane z przestrzeganiem takich instrukcji. Klient zapewni, że jego instrukcje są zgodne z obowiązującymi przepisami o ochronie danych. Klient przyjmuje do wiadomości, że G-P nie ponosi odpowiedzialności za określenie, które przepisy prawa mają zastosowanie do działalności Klienta. Klient zapewni, że przetwarzanie Danych Klienta przez G-P, gdy odbywa się zgodnie z instrukcjami Klienta, nie spowoduje naruszenia przez G-P żadnego obowiązującego prawa, w tym obowiązujących przepisów o ochronie danych. G-PJednakże, jeśli G-P uzna, że instrukcja Klienta narusza obowiązujące przepisy o ochronie danych, G-P powiadomi o tym Klienta tak szybko, jak to możliwe i nie będzie zobowiązana do wykonania takiej instrukcji naruszającej prawo.

3.3. Szczegóły Przetwarzania. Szczegóły dotyczące przedmiotu Przetwarzania, jego czasu trwania, charakteru i celu oraz rodzaju Danych Klienta i osób, których dane dotyczą, są określone w Załączniku I do niniejszego dokumentu.

3.4. Zgodność. Klient i G-P zgadzają się przestrzegać swoich zobowiązań wynikających z przepisów o ochronie danych mających zastosowanie do przetwarzanych Danych Klienta, jak określono w Załączniku I. Klient ponosi wyłączną odpowiedzialność za przestrzeganie Przepisów o ochronie danych w zakresie zgodności z prawem Przetwarzania Danych Klienta przed ujawnieniem, przekazaniem lub udostępnieniem w inny sposób jakichkolwiek Danych Klienta firmie G-P. W celu uniknięcia wątpliwości, we wszystkich przypadkach Klient uzyska, jeśli jest to wymagane, wszelkie zgody od Podmiotów danych na Przetwarzanie Danych Klienta przez firmę G-P zgodnie z poleceniami Klienta.

3.5. Podmioty przetwarzające. Klient upoważnia G-P do wyznaczania i korzystania z Podmiotów przetwarzających ("Podmioty podprzetwarzające") w celu przetwarzania Danych klienta w związku z Usługami. Podmiotami podprzetwarzającymi mogą być osoby trzecie lub dowolny członek grupy spółek G-P. G-P może nadal korzystać z Podprzetwarzających już zaangażowanych przez G-P na dzień niniejszego DPA, a lista takich Podprzetwarzających jest dostępna w Załączniku III załączonym do niniejszego dokumentu. W przypadku, gdy Podprzetwarzający nie wypełni swoich obowiązków w zakresie ochrony danych, jak określono powyżej, G-P ponosi odpowiedzialność wobec Klienta za wykonanie obowiązków Podprzetwarzającego. G-P powiadomi Klienta o wszelkich zmianach na liście Podprzetwarzających za pośrednictwem GPP. Jeżeli w ciągu 10 (dziesięciu) dni od otrzymania tego powiadomienia Klient zgłosi uzasadniony sprzeciw wobec dodania lub usunięcia Podprzetwarzającego ze względu na ochronę danych, a G-P nie będzie w stanie w rozsądny sposób uwzględnić sprzeciwu Klienta, strony omówią w dobrej wierze obawy Klienta w celu rozwiązania sprawy.

3.6. Techniczne i organizacyjne środki bezpieczeństwa. Biorąc pod uwagę standardy branżowe, koszty wdrożenia, charakter, zakres, kontekst i cele Przetwarzania oraz wszelkie inne istotne okoliczności związane z Przetwarzaniem Danych Klienta, G-P wdroży odpowiednie techniczne i organizacyjne środki bezpieczeństwa w celu zapewnienia, że bezpieczeństwo, poufność, integralność, dostępność i odporność systemów przetwarzania i usług związanych z Przetwarzaniem Danych Klienta są współmierne do ryzyka związanego z takimi Danymi Klienta, zgodnie z Załącznikiem II do niniejszej Umowy. G-P będzie okresowo (i) testować i monitorować skuteczność swoich zabezpieczeń, kontroli, systemów i procedur oraz (ii) identyfikować racjonalnie przewidywalne wewnętrzne i zewnętrzne zagrożenia dla bezpieczeństwa, poufności i integralności Danych klienta oraz zapewniać, że zagrożenia te zostaną uwzględnione.

3.7. Poufność. G-P zapewni, że osoby upoważnione do dostępu do Danych Klienta (i) zobowiązały się do zachowania poufności lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania poufności oraz (ii) uzyskują dostęp do Danych Klienta wyłącznie na podstawie udokumentowanych instrukcji G-P, chyba że wymaga tego obowiązujące prawo.

3.8. Naruszenie ochrony danych osobowych. G-P powiadomi Klienta bez zbędnej zwłoki po uzyskaniu informacji o Naruszeniu ochrony danych w związku z Przetwarzaniem danych Klienta i dołoży uzasadnionych starań, aby pomóc Klientowi w złagodzeniu, w miarę możliwości, negatywnych skutków jakiegokolwiek Naruszenia ochrony danych.

3.9. Usuwanie Danych Osobowych. Po zwolnieniu Usług (z dowolnego powodu), G-P, tak szybko jak to możliwe, zwróci lub usunie Dane Klienta przechowywane w GPP, chyba że obowiązujące prawo wymaga przechowywania Danych Klienta przez dłuższy okres. W przypadku takiego przechowywania postanowienia niniejszego DPA będą nadal miały zastosowanie do takich Danych Klienta.

3.10. Wnioski osób, których dane dotyczą. G-P niezwłocznie poinformuje Klienta o wszelkich wnioskach osób, których dane dotyczą, dotyczących Danych Klienta. Klient jest odpowiedzialny za udzielenie odpowiedzi na takie żądania. G-P w rozsądnym zakresie pomoże Klientowi odpowiedzieć na takie żądania Podmiotu danych w zakresie, w jakim Klient nie jest w stanie uzyskać dostępu do odpowiednich Danych Klienta podczas korzystania z GPP.

3.11. Żądania osób trzecich. W przypadku otrzymania przez G-P jakichkolwiek żądań od osób trzecich lub nakazu jakiegokolwiek sądu, trybunału, organu regulacyjnego lub agencji rządowej posiadającej właściwą jurysdykcję, którym podlega G-P w związku z Przetwarzaniem Danych Klienta na mocy Umowy, G-P niezwłocznie przekieruje żądanie do Klienta. G-P nie będzie odpowiadać na takie żądania bez uprzedniej zgody Klienta, chyba że zostanie do tego prawnie zmuszona. O ile nie jest to prawnie zabronione, G-P poinformuje Klienta z wyprzedzeniem o ujawnieniu Danych Klienta i będzie w rozsądnym zakresie współpracować z Klientem w celu ograniczenia zakresu takiego ujawnienia do tego, co jest prawnie wymagane.

3.12. Ocena wpływu na ochronę danych i uprzednie konsultacje. W zakresie wymaganym przez przepisy o ochronie danych, G-P zapewni Klientowi uzasadnioną pomoc w przeprowadzeniu oceny wpływu na ochronę danych w związku z Przetwarzaniem Danych Klienta podejmowanym przez G-P i/lub wszelkimi wymaganymi wcześniejszymi konsultacjami z organami nadzorczymi. G-P zastrzega sobie prawo do obciążenia Klienta uzasadnioną opłatą za udzielenie takiej pomocy.

3.13. Audyt. Klient może przeprowadzić audyt zgodności G-P z niniejszym DPA i przepisami o ochronie danych, żądając certyfikatu wydanego w celu weryfikacji bezpieczeństwa, odzwierciedlającego wynik audytu przeprowadzonego przez audytora zewnętrznego (np. certyfikat ISO27001, certyfikat SOC2 ), w ciągu dwunastu (12) miesięcy od daty żądania Klienta. Alternatywnie, w przypadku gdy dokumentacja dostarczona zgodnie z niniejszą sekcją 3.13 nie jest wystarczająca do celów wykazania zgodności, Klient może przeprowadzić własny audyt oprócz dostarczonych certyfikatów lub raportów stron trzecich, pod warunkiem, że taki audyt zostanie przeprowadzony: (i) nie częściej niż raz na 12 (dwanaście) miesięcy; (ii) w normalnych godzinach pracy i bez zakłócania G-Pcodziennej działalności; (iii) z trzydziestodniowym (30) uprzednim pisemnym powiadomieniem; (iv) na wyłączny koszt Klienta; v) w oparciu o wzajemnie uzgodnione parametry i zakres, ograniczone do określonego zakresu usług, używanych systemów i/lub czynności przetwarzania przewidzianych w niniejszej Umowie; vi) w oparciu o wzajemnie uzgodnioną z góry datę, z zastrzeżeniem uzasadnionego odroczenia przez Klienta na uzasadnione żądanie G-P; oraz vii) zgodnie ze wszystkimi zobowiązaniami i ograniczeniami dotyczącymi poufności. Niezależnie od powyższego, prawo do audytu nie jest przyznawane po zwolnieniu z pracy Umowy Ramowej, z wyjątkiem zobowiązań prawnych, które będą musiały zostać wykazane przez Klienta. Żaden przedstawiciel strony trzeciej wybrany do przeprowadzenia audytu w imieniu Klienta nie może mieć udziałów ani powiązań z firmą świadczącą usługi formalne, agencją, powiązaną organizacją lub konsultantem. Żadne z postanowień niniejszego DPA nie będzie wymagało od G-P ujawnienia Klientowi lub jego audytorowi zewnętrznemu ani umożliwienia Klientowi lub jego audytorowi zewnętrznemu dostępu do: (i) jakichkolwiek danych jakiegokolwiek innego klienta G-P; (ii) wewnętrznych informacji księgowych lub finansowych G-P; (iii) jakiejkolwiek tajemnicy handlowej G-P lub jej podmiotów stowarzyszonych; (iv) jakichkolwiek informacji, które w uzasadnionej opinii G-Pmogłyby zagrozić bezpieczeństwu jakichkolwiek systemów G-Plub spowodować jakiekolwiek naruszenie jej zobowiązań wynikających z obowiązującego prawa lub jej zobowiązań w zakresie bezpieczeństwa lub prywatności wobec jakiejkolwiek strony trzeciej; lub (v) wszelkie informacje, do których Klient lub jego zewnętrzny audytor chce uzyskać dostęp z jakiegokolwiek powodu innego niż wypełnienie w dobrej wierze obowiązków Klienta wynikających z przepisów o ochronie danych.

3.14. Amerykańskie przepisy dotyczące prywatności. Zgodnie z niniejszą sekcją 3 ("Przetwarzanie Danych Osobowych"), tStrony uzgadniają, że G-P jest "Dostawcą Usług" lub "Podmiotem Przetwarzającym", zgodnie z definicją tych terminów zawartą w obowiązujących amerykańskich przepisach o ochronie prywatności. W związku z tym, w zakresie, w jakim amerykańskie przepisy o ochronie prywatności mają zastosowanie do Przetwarzania Danych Klienta przez G-P, G-P nie będzie (a) przechowywać, wykorzystywać ani ujawniać żadnych Danych Klienta poza bezpośrednimi relacjami biznesowymi między G-P a Klientem ani w żadnym innym celu niż cel określony w Załączniku I do niniejszej Umowy, a G-P będzie przetwarzać Dane Klienta tylko tak długo, jak długo będzie świadczyć usługi na rzecz Klienta; (b) sprzedawać żadnych Danych Klienta; (c) udostępniać jakichkolwiek Danych Klienta; lub (d) łączyć Danych Klienta, które G-P otrzymuje od Klienta lub w jego imieniu, z "danymi osobowymi" (zgodnie z definicją takiego terminu lub jego odpowiednika w obowiązujących przepisach o ochronie danych), które otrzymuje od innej osoby lub w jej imieniu lub które gromadzi w ramach własnej interakcji z konsumentem, pod warunkiem, że G-P może łączyć Dane Klienta, jeśli mieści się to w zakresie świadczenia usług na rzecz Klienta. W stosownych przypadkach każda ze Stron powiadomi drugą Stronę, jeśli stwierdzi, że nie jest już w stanie wypełniać swoich zobowiązań wynikających z amerykańskich przepisów o ochronie prywatności.

 

 

4. International Data Transfers

4.1. Odpowiednia ochrona. G-P jest upoważniona, w normalnym toku działalności, do przekazywania na całym świecie Danych Klienta swoim podmiotom stowarzyszonym i/lub Podprzetwarzającym. W przypadku przekazywania takich danych na terytorium, które nie zostało uznane przez odpowiednie organy ochrony danych za zapewniające odpowiedni poziom ochrony Danych Osobowych zgodnie z przepisami o ochronie danych, G-P zapewni odpowiednią ochronę Danych Klienta przekazywanych na mocy Umowy Głównej lub w związku z nią.

4.2. Data Privacy Framework .Dane specjalistów i klientów są przechowywane w GPP, który jest hostowany w USA. G-P jest certyfikowany zgodnie z ramami ochrony prywatności danych UE-USA (EU-U.S. DPF) oraz, w stosownych przypadkach, brytyjskim rozszerzeniem ram ochrony prywatności danych UE-USA (UK Extension to the EU-U.S. DPF), a także szwajcarsko-amerykańskimi ramami ochrony prywatności danych (Swiss-U.S. DPF). Certyfikat G-P można potwierdzić publicznie na stronie internetowej DPF https://www.dataprivacyframework.gov/list. Unijno-amerykańskie ramy ochrony prywatności danych zostały uznane za odpowiednie przez Komisję Europejską, stanowiąc zgodny z prawem mechanizm przekazywania danych zgodnie z art. 45 Ogólnego rozporządzenia o ochronie danych (RODO), brytyjskiego Ogólnego rozporządzenia o ochronie danych (RODO) oraz FADP. Jeśli Ramy DPF zostaną unieważnione, zawieszone lub w inny sposób przestaną być uznawane za zapewniające odpowiednią ochronę międzynarodowych transferów danych, Przetwarzający zgadza się zawrzeć i przestrzegać SCC wydanych lub zatwierdzonych przez Komisję Europejską, brytyjskie Biuro Komisarza ds. Informacji (ICO) lub szwajcarskiego Federalnego Komisarza ds. Ochrony Danych i Informacji (FDPIC), w zależności od przypadku. Strony będą współpracować w dobrej wierze w celu wdrożenia wszelkich dodatkowych środków wymaganych do zapewnienia zasadniczo równoważnego poziomu ochrony przekazywanych danych.

4.3. Standardowe klauzule umowne. Strony uzgadniają, że w przypadku, gdy przekazanie danych osobowych od Klienta (jako eksportera danych "" ) do G-P (jako importera danych "" ) jest transferem ograniczonym, a obowiązujące przepisy o ochronie danych wymagają wprowadzenia odpowiednich zabezpieczeń, takie przekazanie będzie podlegać odpowiednim standardowym klauzulom umownym, które uznaje się za włączone do niniejszego DPA i stanowiące jego część, w następujący sposób:

  1. W odniesieniu do przekazywania danych osobowych , które są chronione przez Ogólne rozporządzenie o ochronie danych (RODO), zastosowanie mają unijne SCC, uzupełnione w następujący sposób:
  1. Zastosowanie mają moduły pierwszy i drugi;
  2. w klauzuli 7, zastosowanie będzie miała opcjonalna klauzula dokowania;
  3. w klauzuli 9 Modułu Drugiego, zastosowanie będzie miała Opcja 2, a okres uprzedniego powiadomienia o zmianach Podprzetwarzającego będzie zgodny z postanowieniami sekcji 3.5 niniejszego DPA;
  4. w klauzuli 11, język opcjonalny nie będzie miał zastosowania;
  5. w klauzuli 12, wszelkie roszczenia wniesione na podstawie SCC UE będą podlegać warunkom określonym w Umowie Ramowej;
  6. w klauzuli 17, zastosowanie będzie miała opcja 1, a SCC UE będą podlegać prawu irlandzkiemu;
  7. w Klauzuli 18(b), spory będą rozstrzygane przez sądy Irlandii;
  8. Załącznik I do standardowych klauzul umownych UE uznaje się za wypełniony informacjami określonymi w załączniku 1 do niniejszego dokumentu; oraz
  9. Załącznik II do standardowych klauzul umownych UE uznaje się za uzupełniony o informacje określone w załączniku 2 do niniejszego dokumentu;
  10. Załącznik III do Modułu Drugiego SCC UE uznaje się za wypełniony informacjami określonymi w załączniku 3 do niniejszego DPA.

b. W odniesieniu do przekazywania danych osobowych chronionych przez brytyjskie przepisy o ochronie danych lub szwajcarskie przepisy o ochronie danych, unijne SCC wdrożone zgodnie z podpunktami (a) powyżej będą miały zastosowanie z następującymi modyfikacjami:

  1. odniesienia do "Rozporządzenie (UE) 2016/679" należy interpretować jako odniesienia do brytyjskich przepisów o ochronie danych lub szwajcarskich przepisów o ochronie danych (w zależności od przypadku);
  2. odniesienia do konkretnych artykułów rozporządzenia "(UE) 2016/679" należy zastąpić równoważnym artykułem lub sekcją brytyjskich przepisów o ochronie danych lub szwajcarskich przepisów o ochronie danych (w zależności od przypadku);
  3. odniesienia do "UE", "Unii", "Państwa Członkowskiego" oraz "prawa Państwa Członkowskiego" zastępuje się odniesieniami do "Wielkiej Brytanii" lub "Szwajcarii", lub "prawa Wielkiej Brytanii" lub "prawa Szwajcarii" (w zależności od przypadku);
  4. terminu "państwo członkowskie" nie należy interpretować w sposób wykluczający osoby, których dane dotyczą w Wielkiej Brytanii lub Szwajcarii, z możliwości dochodzenia swoich praw w miejscu zwykłego pobytu (tj. w Wielkiej Brytanii lub Szwajcarii);
  5. Klauzula 13(a) i część C załącznika I nie są stosowane, a "właściwym organem nadzorczym" jest brytyjski komisarz ds. informacji lub szwajcarski federalny komisarz ds. ochrony danych (w zależności od przypadku);
  6. odniesienia do "właściwego organu nadzorczego" i "właściwych sądów" zastępuje się odniesieniami do "Information Commissioner" i "sądów Anglii i Walii" lub "Swiss Federal Data Protection Information Commissioner" i "właściwych sądów Szwajcarii" (w zależności od przypadku);
  7. w Klauzuli 17, Standardowe Klauzule Umowne podlegają prawu Anglii i Walii lub Szwajcarii (w zależności od przypadku); oraz
  8. w odniesieniu do transferów, do których mają zastosowanie brytyjskie przepisy o ochronie danych, klauzula 18 zostanie zmieniona na "Wszelkie spory wynikające z niniejszych klauzul będą rozstrzygane przez sądy Anglii i Walii. Osoba, której dane dotyczą, może wszcząć postępowanie sądowe przeciwko podmiotowi przekazującemu i/lub odbierającemu dane przed sądami dowolnego kraju w Wielkiej Brytanii. Strony zgadzają się poddać jurysdykcji takich sądów", a w odniesieniu do transferów, do których mają zastosowanie szwajcarskie przepisy o ochronie danych, klauzula 18(b) stanowi, że spory będą rozstrzygane przed właściwymi sądami Szwajcarii.
  9. W odniesieniu do danych, które są chronione przez Ogólne rozporządzenie UK o ochronie danych (RODO), SCC UE będą miały zastosowanie w następujący sposób: (i) będą miały zastosowanie w formie uzupełnionej zgodnie z punktami (i) do (viii) powyżej; oraz (ii) zostaną uznane za zmienione w sposób określony w części 2 Uzupełnienia dla Wielkiej Brytanii, które uznaje się za włączone do niniejszego DPA i stanowiące jego integralną część. Ponadto tabele od 1 do 3 w części 1 Uzupełnienia dotyczącego Zjednoczonego Królestwa należy wypełnić odpowiednio informacjami określonymi w Załączniku I i Załączniku II do niniejszego DPA, a tabelę 4 w części 1 Uzupełnienia dotyczącego Zjednoczonego Królestwa uznaje się za wypełnioną poprzez wybranie "żadna ze stron".

c. W odniesieniu do przekazywania danych osobowych chronionych przez brazylijską LGPD, bezpośrednio lub poprzez dalsze przekazywanie, do kraju spoza Brazylii, który nie podlega decyzji stwierdzającej odpowiedni stopień ochrony wydanej przez ANPD, brazylijskie SCC zostaną uznane za zawarte i włączone do niniejszego DPA przez niniejsze odniesienie oraz wypełnione w następujący sposób:

  1. Klauzula 2 brazylijskich SCC jest spełniona przez informacje określone w Załączniku I, który opisuje przekazywanie danych;
  2. IW klauzuli 3 brazylijskich SCC zastosowanie ma opcja B, przy czym dalsze przekazywanie danych jest dozwolone zgodnie z sekcją 3.5 ("Podmioty podprzetwarzające") niniejszego DPA. Przedmiot, charakter i czas trwania przetwarzania są określone w załączniku I do niniejszego DPA;
  3. Klauzula 4 brazylijskich SCC jest spełniona przez informacje określone w Załączniku I do niniejszego DPA. W przypadku, gdy G-P jest Administratorem, będzie on "Stroną wyznaczoną", zgodnie z definicją zawartą w brazylijskich SCC oraz do celów klauzuli 14 (Przejrzystość), klauzuli 15 (Prawa osób, których dane dotyczą) oraz klauzuli 16 (Zgłaszanie incydentów) brazylijskich SCC. Klient pozostaje odpowiedzialny za zgodność z klauzulą 14 (Przejrzystość), klauzulą 15 (Prawa osób, których dane dotyczą) oraz klauzulą 16 (Zgłaszanie incydentów) brazylijskich SCC w odniesieniu do wszelkich danych osobowych, których może być Administratorem;
  4. W klauzuli 9 brazylijskich SCC, opcjonalna klauzula dokowania nie będzie miała zastosowania; oraz
  5. Sekcja III (Środki bezpieczeństwa) brazylijskich SCC zostanie uznana za wypełnioną informacjami określonymi w Załączniku II do niniejszego DPA.

 

Załącznik I

Przetwarzanie danych Opis

 

Strony

Eksporter danych: podmiot klienta wykonujący Umowę Ramową

Importer danych: podmiot G-P wykonujący Umowę główną.

Dane kontaktowe stron

Dane kontaktowe określone w Umowie Ramowej.

 

Działania związane z przekazywanymi danymi

Czynności związane z Usługami formalnymi Pracodawcy i korzystaniem z GPP świadczone na rzecz Klienta jako usługa.

Działania związane z przetwarzaniem

Przetwarzane / przekazywane dane osobowe mogą podlegać następującym czynnościom przetwarzania: wszelkie operacje dotyczące danych osobowych, niezależnie od zastosowanych środków i procedur, w szczególności gromadzenie, organizowanie, przechowywanie, przechowywanie, wykorzystywanie, odzyskiwanie, przeglądanie, archiwizowanie, przesyłanie, blokowanie, usuwanie lub niszczenie danych, obsługa i konserwacja systemów, funkcje zgodności, prawne i audytowe.

Czas trwania przetwarzania

G-P będzie Przetwarzać Dane Klienta przez okres obowiązywania Umowy Głównej i w sposób ciągły.

Charakter i cel przetwarzania

Klient może przekazywać G-P Dane Klienta, których zakres jest określany i kontrolowany przez Klienta według jego wyłącznego uznania. Celem przetwarzania jest świadczenie Usług zgodnie z Umową główną.

Kategorie osób, których dane dotyczą

a) Dane Osobowe wymieniane przez Strony jako niezależnych Administratorów w odniesieniu do Danych Osobowych Profesjonalistów.

b) Dane Klienta przetwarzane przez G-P jako podmiot przetwarzający dane dotyczą Upoważnionych UżytkownikówGPP , którymi mogą być pracownicy i/lub kontrahenci Klienta.

Rodzaje danych osobowych

- Dane kontaktowe (takie jak numer telefonu i adres e-mail).

- Dane pracowników / kontrahentów (takie jak stanowisko i nazwa firmy).

- Dane dotyczące użytkowania (takie jak dane dotyczące urządzenia Autoryzowanego Użytkownika i sposobu interakcji takiego urządzenia z GPP).

- Dane dotyczące lokalizacji (takie jak lokalizacja uzyskana z adresu IP).

- Dane dotyczące treści (takie jak zawartość plików Klienta dotyczących Profesjonalistów i powiązanej komunikacji).

- Dane uwierzytelniające (takie jak hasła, podpowiedzi haseł i podobne informacje zabezpieczające używane do uwierzytelniania i dostępu do konta w GPP).

- Wszelkie dane osobowe dostarczone przez Autoryzowanych Użytkowników.

Specjalne kategorie danych (jeśli dotyczy)

NIE DOTYCZY

Zatrzymywanie pracowników

Dane osobowe będą przechowywane co najmniej tak długo, jak obowiązujący prawnie minimalny okres przechowywania, który jest zgodny z obowiązującymi przepisami o przedawnieniu i dobrymi praktykami biznesowymi.

Właściwy organ nadzoru

Irlandzka Komisja Ochrony Danych

Przekazywanie danych podprzetwarzającym

W przypadku przekazywania danych podmiotom przetwarzającym, przedmiot, charakter i czas trwania przetwarzania są takie same jak określone powyżej.

Dane kontaktowe G-P Privacy

 

privacy@G-P.com

Attn: Globalne Biuro Ochrony Prywatności.

 

 

 

Załącznik II

Środki techniczne i organizacyjne

 

G-P posiada certyfikaty i zaświadczenia potwierdzające zgodność z normami SOC 2 i ISO 27001 wydane przez niezależnych audytorów. Takie certyfikaty potwierdzają nasze zaangażowanie w zabezpieczanie danych klientów. Program bezpieczeństwa G-P ma na celu

  • Ochrona poufności, integralności i dostępności Danych Klienta będących w posiadaniu G-P lub do których G-P ma dostęp;
  • Ochrona przed wszelkimi przewidywanymi zagrożeniami dla poufności, integralności i dostępności Danych Klienta;
  • Ochrona przed nieuprawnionym lub bezprawnym dostępem, wykorzystaniem, ujawnieniem, zmianą lub zniszczeniem Danych Klienta;
  • Ochrona przed przypadkową utratą, zniszczeniem lub uszkodzeniem Danych Klienta; oraz
  • Proszę chronić informacje zgodnie z wszelkimi przepisami, które mogą być regulowane przez G-P.

 

Poniżej opisano funkcje, procesy, kontrole, systemy, procedury i środki podjęte przez G-P w celu zapewnienia bezpieczeństwa Przetwarzania Danych Klienta:

1) ŚRODKI TECHNICZNE ZAPEWNIAJĄCE PRYWATNOŚĆ I OCHRONĘ DANYCH 

  1. Prywatność w fazie projektowania i domyślnie: G-P uwzględnia wymogi artykułu 25 Ogólne rozporządzenie o ochronie danych (RODO) na etapie koncepcji i rozwoju produktu. Procesy i funkcje są skonfigurowane w taki sposób, aby zasady ochrony danych, takie jak zgodność z prawem, przejrzystość, ograniczenie celu, minimalizacja danych itp. oraz bezpieczeństwo przetwarzania były uwzględniane na wczesnym etapie.

  2. Szyfrowanie danych osobowych: Zapewnienie, że dane osobowe są przechowywane w systemie wyłącznie w sposób uniemożliwiający osobom trzecim identyfikację osoby, której dane dotyczą.

    1. Szyfrowanie bazy danych i pamięci masowej: We wszystkich bazach danych używanych przez G-P stosowane jest szyfrowanie "at rest" zgodne z aktualnym stanem wiedzy, dzięki czemu dane z bazy danych można odczytać tylko po odpowiednim uwierzytelnieniu w odpowiednim systemie bazy danych.

    2. Szyfrowanie mobilnych nośników danych: Wykorzystywanie mobilnych nośników danych do przechowywania danych klientów jest niedozwolone.

    3. Szyfrowanie nośników danych na laptopach: Na wszystkich laptopach pracowników zainstalowane jest odpowiednie, najnowocześniejsze szyfrowanie dysków twardych.

    4. Szyfrowana wymiana informacji i plików: Zasadniczo wymiana informacji i plików jest bezpośrednio szyfrowana za pośrednictwem specjalnego Podanie / aplikacja. Jeśli dane osobowe lub informacje poufne muszą zostać przesłane na serwery, które nie mogą zostać przesłane za pośrednictwem szyfrowanego protokołu HTTPS TLS, zostaną one przesłane za pomocą protokołu Secure File Transfer Protocol (SFTP), usługi szyfrowanej koperty lub innego szyfrowanego mechanizmu zgodnie z aktualnym stanem wiedzy.

    5. Szyfrowanie wiadomości e-mail: Zasadniczo wszystkie wiadomości e-mail wysyłane przez pracowników G-P są szyfrowane za pomocą TLS. Wyjątkiem może być sytuacja, gdy odbierający serwer pocztowy nie obsługuje protokołu TLS. Klient zapewni, że odpowiednie serwery pocztowe używane w ramach zamówienia obsługują szyfrowanie TLS.

  3. Kontrola dostępu: Kontrola dostępu ma na celu zapobieganie wykorzystywaniu i przetwarzaniu danych chronionych przepisami o ochronie danych przez osoby nieupoważnione.

    1. Stosowanie metod uwierzytelniania: Dostęp do danych osobowych odbywa się zawsze za pośrednictwem szyfrowanych protokołów: SSH, SSL/ TLS, HTTPS lub porównywalnych protokołów. Procedura uwierzytelniania w systemie informatycznym: Uwierzytelnianie wieloskładnikowe logowanie do systemu informatycznego.

    2. Automatyczne blokowanie w przypadku braku aktywności: Laptopy używane przez pracowników G-P zablokowane hasłem lub kodem PIN, gdy nie są używane przez użytkownika. Ponadto, automatyczna blokada ekranu z ochroną hasłem jest ustawiana po 15 minutach bezczynności.

    3. Korzystanie z oprogramowania antywirusowego: Laptopy używane przez pracowników G-P są wyposażone w najnowocześniejsze oprogramowanie antywirusowe, które jest aktualizowane we wszystkich operacyjnych lub biznesowych systemach informatycznych. Co do zasady, żadne komputery nie mogą być używane bez rezydentnej ochrony antywirusowej, chyba że zastosowano inne równoważne najnowocześniejsze środki bezpieczeństwa lub nie ma ryzyka. Nie wolno dezaktywować ani obchodzić domyślnych ustawień zabezpieczeń.

    4. „Polityka czystego biurka”: Pracownicy G-P zostali poinstruowani, aby nie drukować ani nie przechowywać lokalnie danych osobowych osób, których dane dotyczą, nie pozostawiać materiałów roboczych w miejscu, w którym mogłyby je przeglądać osoby trzecie, a także aby przechowywać wszystkie materiały robocze w prawidłowy sposób. Dokumenty, które zgodnie z prawem G-P jest zobowiązany przechowywać w formie papierowej, są przechowywane w zamkniętych szafach.

  4. Kontrole dostępu w ramach platformy: Kontrole dostępu zapewniają, że osoby upoważnione do korzystania z systemu przetwarzania danych mają dostęp wyłącznie do danych osobowych objętych ich upoważnieniem.

    1. Role i autoryzacja

      1. Role i autoryzacja Platforma - Dostęp klienta: Użytkownicy klienta mogą przeglądać i edytować informacje o koncie klienta.

      2. Role i autoryzacja Platforma - Dostęp profesjonalny: Użytkownicy profesjonalni mogą przeglądać i edytować własne informacje zawodowe. Specjaliści mogą również uzyskać rolę dostępu klienta po spełnieniu wymagań + zatwierdzeniu

      3. Role i platforma autoryzacji - dostęp wewnętrzny: Użytkownicy z dostępem wewnętrznym mają różne role. Mają oni zróżnicowany dostęp do tworzenia, przeglądania, edytowania i zatwierdzania następujących elementów:

        • Informacje dla klientów

        • Informacje rozliczeniowe

        • Informacje o partnerze

        • Informacje dotyczące profesjonalnej dokumentacji pracowniczej

      4. Dostęp do systemu administracyjnego jest zasadniczo ograniczony do przeszkolonych pracowników w zakresie wsparcia klienta i rozwoju produktu.

  5. Firewall jako usługa: G-P korzysta z zewnętrznej zapory sieciowej jako usługi, która umożliwia przyznawanie lub blokowanie dostępu do stron internetowych, aby upewnić się, że systemy nie mają dostępu do złośliwej zawartości i ograniczyć dostęp do nieodpowiednich treści.

  6. Rejestr logowań do platformy: G-P prowadzi rejestr wszystkich logowań.

  7. Rozdzielność: Zapewnienie, że dane osobowe gromadzone do różnych celów mogą być przetwarzane oddzielnie i są oddzielone od innych danych i systemów w taki sposób, że nieplanowane wykorzystanie tych danych do innych celów jest wykluczone.

    1. Rozdzielenie środowisk programistycznych, testowych i operacyjnych: Dane ze środowiska operacyjnego mogą być przenoszone do środowisk testowych lub rozwojowych tylko wtedy, gdy przed przeniesieniem zostały całkowicie zanonimizowane. Transfer zanonimizowanych danych musi być zaszyfrowany lub odbywać się za pośrednictwem godnej zaufania sieci. Oprogramowanie, które ma zostać przeniesione do środowiska operacyjnego, musi najpierw zostać przetestowane w identycznym środowisku testowym ("staging"). Programy do analizy błędów lub tworzenia/kompilacji oprogramowania mogą być używane w środowisku operacyjnym tylko wtedy, gdy nie można tego uniknąć. Dotyczy to w szczególności sytuacji, w których błędy zależą od danych, które zostałyby sfałszowane ze względu na wymogi anonimizacji podczas przenoszenia do środowisk testowych.

    2. Separacja w sieciach: G-P rozdziela swoje sieci według zadań. Na stałe wykorzystywane są następujące sieci: środowisko operacyjne ("Production"), środowisko testowe ("Staging", "Sandbox"), środowisko programistyczne ("Dev") pracowników biurowych IT. Oprócz tych sieci, w razie potrzeby tworzone są kolejne oddzielne sieci, np. na potrzeby testów przywracania i testów penetracyjnych. W zależności od możliwości technicznych, sieci są rozdzielone fizycznie lub za pomocą sieci wirtualnych.

  8. Dostępność kontrola: G-P podejmuje następujące kroki w celu zapewnienia ochrony danych osobowych przed przypadkowym zniszczeniem lub utratą.

    1. Procedury ochrony danych / tworzenie kopii zapasowych: Aby zapewnić odpowiednią dostępność, G-P wdraża codzienne migawki swojej bazy danych z replikacją do innego regionu. Podejmowane są również środki w celu zapewnienia, że pracownicy, którzy muszą przeglądać dane w związku z wykonywaną pracą, mają dostęp tylko do replikowanych zbiorów danych.

    2. Geo-redundancja w odniesieniu do infrastruktury serwerowej danych produkcyjnych i kopii zapasowych

    3. Zarządzanie incydentami IT ("Incident Response Management"): Istnieje koncepcja i udokumentowane procedury obsługi incydentów i zdarzeń istotnych dla bezpieczeństwa. Obejmuje to planowanie i przygotowanie reakcji na incydenty, procedury monitorowania, wykrywania i analizowania zdarzeń istotnych dla bezpieczeństwa oraz określenie odpowiednich obowiązków i kanałów zgłaszania w przypadku naruszenia ochrony danych osobowych w ramach wymogów prawnych.

2) ŚRODKI ORGANIZACYJNE ZAPEWNIAJĄCE PRYWATNOŚĆ I OCHRONĘ DANYCH

G-P wdrożyła następujące środki organizacyjne, aby zapewnić, że organizacja działa w sposób spełniający wymogi dotyczące prywatności i ochrony danych.

  1. Instrukcje organizacyjne: Firma G-P opracowała i opracowuje program zarządzania danymi, w tym zasady, procedury i wytyczne dla pracowników. Dokumentacja obejmuje sposób identyfikowania i zarządzania kwestiami prywatności danych, najlepsze praktyki w zakresie zapewniania zgodności z przepisami dotyczącymi prywatności oraz zasady postępowania w przypadku incydentów związanych z prywatnością.
  2. Zobowiązanie do zachowania poufności i ochrony danych: Firma G-P opracowała i rozwija program zarządzania danymi, w tym zasady, procedury i wytyczne, których pracownicy muszą przestrzegać. Wszyscy pracownicy i kontrahenci są pisemnie zobowiązani do zachowania poufności i ochrony danych, a także przestrzegania innych stosownych przepisów prawa. Wszyscy pracownicy przechodzą szkolenie w zakresie ochrony prywatności &. Wewnętrzne audyty dotyczące ochrony danych i bezpieczeństwa informacji są przeprowadzane regularnie. Audyty są przeprowadzane na podstawie wspólnych kryteriów/schematów testowych. Pracownicy i kontrahenci G-P są poinstruowani, aby przetwarzać dane osobowe wyłącznie w celach zgodnych z prawem, zgodnie z obowiązującymi umowami z klientem i profesjonalistą, z należytym uwzględnieniem wszelkich wyraźnych zgód udzielonych lub wstrzymanych przez osobę, której dane dotyczą, oraz zgodnie z wszelkimi zgodnymi z prawem obowiązkami organizacji.
  3. Szkolenie w zakresie ochrony danych: Wszyscy pracownicy przechodzą szkolenie z zakresu ochrony prywatności &, które jest dostępne do wglądu w dowolnym momencie na platformie szkoleniowej G-P.
  4. Fizyczna kontrola dostępu: G-P stosuje następujące kontrole fizyczne w celu uniemożliwienia osobom nieupoważnionym dostępu do sprzętu systemów IT wykorzystywanego do przetwarzania danych.
    1. Elektroniczna ochrona drzwi: Drzwi wejściowe do pomieszczeń gabinetów G-P są zawsze zamknięte na klucz i zabezpieczone elektronicznie. Drzwi otwierane są za pomocą osobistego elektronicznego transpondera.
    2. Kontrolowana dystrybucja kluczy: Odbywa się centralne, udokumentowane przydzielanie kluczy pracownikom G-P. Te elektroniczne transpondery / klucze mogą być dezaktywowane centralnie przez każdego kierownika biura lub dział People Zasoby.
    3. Nadzór i towarzyszenie osobom zewnętrznym: Zewnętrzni usługodawcy i inne osoby trzecie mogą uzyskać dostęp do pomieszczeń wyłącznie za uprzednią zgodą lub w towarzystwie pracownika G-P. G-P stosuje pisemne zasady dotyczące gości, gdy goście są zapraszani na teren zakładu.
    4. Zabezpieczanie pomieszczeń o podwyższonych wymogach ochrony: Pomieszczenia lub szafki o zwiększonych wymaganiach w zakresie ochrony, takie jak biura prawne i niektóre lokalizacje operacyjne, są wyposażone w zamykane szafki i szuflady. Szafki i szuflady, w których przechowywane są dokumenty prawne, umowy i poufna dokumentacja, muszą być zawsze zamknięte, chyba że są używane.
    5. Zamknięte drzwi i okna: Pracownicy są poinstruowani organizacyjnie, aby zamykać lub blokować okna i drzwi poza godzinami pracy.
  5. Możliwość odzyskania: G-P zapewnia, że używane systemy mogą zostać przywrócone w przypadku awarii fizycznej lub technicznej.

    1. Regularne testy odzyskiwania danych ("Restore-Tests"): Regularne testy pełnego przywracania danych są przeprowadzane w celu zapewnienia możliwości odzyskania danych w przypadku awarii/katastrofy.

    2. Plan awaryjny ("Disaster Recovery Concept"): Istnieje koncepcja postępowania w nagłych wypadkach/katastrofach i odpowiedni plan awaryjny. G-P zapewnia odzyskanie wszystkich systemów na podstawie kopii zapasowych danych / kopii zapasowych, zwykle w ciągu 48 godzin.

    3. Środki przeglądu i oceny: Przedstawienie procedur regularnego przeglądu, oceny i ewaluacji skuteczności środków technicznych i organizacyjnych.

  6. Zespół ds. prywatności: Organizacja posiada Biuro Prywatności danych na świecie, którego zadaniem jest planowanie, wdrażanie, ocena i dostosowywanie środków w zakresie ochrony danych.

  7. Zarządzanie ryzykiem: Istnieje proces analizy, oceny i alokacji ryzyka oraz określania środków na podstawie tego ryzyka.

3) NIEZALEŻNY PRZEGLĄD BEZPIECZEŃSTWA INFORMACJI

  1. Przeprowadzanie audytów: Wewnętrzne audyty dotyczące ochrony danych i bezpieczeństwa informacji są przeprowadzane regularnie. Audyty są przeprowadzane na podstawie wspólnych kryteriów/schematów testowych.
  2. Przegląd zgodności z politykami i standardami bezpieczeństwa: Zgodność z obowiązującymi wytycznymi dotyczącymi bezpieczeństwa, standardami i innymi wymogami bezpieczeństwa w zakresie przetwarzania danych osobowych jest regularnie sprawdzana. Tam, gdzie to możliwe, kontrole te są przeprowadzane w sposób losowy i niespodziewany.
  3. Weryfikacja zgodności ze specyfikacjami technicznymi: Regularne automatyczne i ręczne skanowanie luk w zabezpieczeniach jest wykonywane przez dział IT lub inny wykwalifikowany personel w celu weryfikacji bezpieczeństwa aplikacji i infrastruktury, a także regularnego rozwoju produktu. Szczegółowe testy penetracyjne są przeprowadzane przez zewnętrznego dostawcę usług w celu zbadania aplikacji i infrastruktury pod kątem luk w zabezpieczeniach.
  4. Przetwarzanie na polecenie: Pracownicy G-P są poinstruowani, aby przetwarzać dane osobowe wyłącznie w celach zgodnych z prawem, zgodnie z obowiązującymi umowami z klientem i profesjonalistą, z należytym uwzględnieniem wszelkich wyraźnych zgód udzielonych lub wstrzymanych przez osobę, której dane dotyczą, oraz zgodnie z wszelkimi zgodnymi z prawem obowiązkami organizacji.
  5. Staranny wybór dostawców: Przy wyborze sprzedawców i dostawców, którzy mogą mieć kontakt z chronionymi danymi, firma G-P stosuje proces wstępnej kwalifikacji dostawców. Proces ten obejmuje informacje zwrotne z działów finansowego i prawnego/prywatności oraz obejmuje ocenę ryzyka, wstępną kwalifikację bezpieczeństwa i etapy certyfikacji dokumentacji. Dostawcy, którzy będą przetwarzać chronione dane, będą musieli wykazać, że przestrzegają obowiązujących przepisów dotyczących prywatności danych, w tym art. 28 Ogólne rozporządzenie o ochronie danych (RODO dla danych objętych ochroną).

 

Załącznik III 

Lista podprocesorów

 

Podprocesor

Lokalizacja i informacje kontaktowe

Opis przetwarzania

Spółki zależne G-P

https://www.globalization- partners.com/contact-us/

Zapewnianie platformy i zarządzania relacjami z klientami

Acumatica

3933 Lake Washington Blvd NE #350, Kirkland, WA 98033, USA

Usługi finansowe

Amazon Web Service

P.O. Box 81226

Seattle, WA 98108-1226, USA

Hosting - dostawca usług w chmurze

Microsoft

Microsoft Corporation One Microsoft Way

Redmond, Washington 98052 USA Telefon: (+1) 425-882-8080.

Wsparcie procesów biznesowych w zakresie komunikacji (e-mail) i zarządzania usługami

Atlassian

350 Bush Street Floor 13

San Francisco, CA 94104, USA

+1 415 701 1110

Wsparcie procesów biznesowych dla zarządzania usługami

DocuSign

DocuSign International (EMEA) Ltd, Attention: Privacy Team, 5 Hanover Quay, Ground Floor, Dublin 2, Republika Irlandii

Zarządzanie dokumentami

Salesforce.com

Salesforce Tower, 415 Mission Street, 3rd Floor, San Francisco, CA 94105, USA

1-800-387-3285

Wsparcie procesów biznesowych dla zarządzania relacjami z klientami (CRM)

Zendesk

989 Market St

San Francisco, CA 94103, USA zendesk.com

888-670-4887

Zapytania do działu pomocy technicznej dla klientów

Workday

6110 Stoneridge Mall Road
Pleasanton, CA 94588, USA

Wsparcie procesów biznesowych w zakresie zarządzania płacami, świadczeniami, danymi KADRY i pracownika.

Usługa teraz

2225 Lawson Lane
Santa Clara, CA, 95054

USA

 

Wsparcie procesów biznesowych w zakresie zarządzania usługami i operacjami IT, doświadczeniami pracowników i klientów (zautomatyzowany przepływ pracy w chmurze)

Databricks

160 Spear Street, 15th Floor
San Francisco, CA 94105
1-866-330-0121

USA

Infrastruktura hurtowni danych w chmurze.

Datadog

620 8th Ave 45th Floor

Nowy Jork, NY 10018

USA

 Narzędzie do monitorowania i debugowania usług

Wise

Avenue Louise 54, Room s52,

1050 Bruksela

Belgia

Procesor płatności online

Google

1600 Amfiteatr Pkwy, Mountain View, CA 94043

Wsparcie procesów biznesowych w zakresie komunikacji (e-mail) i wewnętrznego przechowywania dokumentów