MSA 隱私權語言

資料保護附錄

客戶已與 G-P 簽訂主協議或具有類似性質及目的之協議（以下稱「主協議」）。此類主協議的執行可能需要處理個人資料。客戶與 G-P（以下共同稱為「雙方」）同意，本資料保護附錄（以下稱為 "DPA"）規定了雙方在 G-P 根據主協議向客戶提供服務時，在個人資料處理與安全方面的義務，且雙方同意受本 DPA 的約束。本 DPA 对主协议中的条款和条件进行补充，并纳入其中。如果本 DPA 與雙方之間就本 DPA 所列問題達成的任何其他協議有衝突，則以本 DPA 為準。如果客户已经与 G-P 签订了有效的数据保护附录，则该协议应优先于本 DPA，本 DPA 不具有任何效力，除非客户和 G-P 另有书面约定。

鑒於：

當G-P 為客戶提供 Employer of Records (「名義雇主」) 服務時、G-P 對於客戶選擇僱用的任何個人（「專業人員」）擔任合法雇主的角色.
對於這些專業人員的個人資料，G-P 在僱傭關係期間是控制者。
對於客戶為其自身目的而收集和使用的專業人員個人資料，客戶也是控制者，有獨立的隱私權義務。
在提供名義雇主服務時，G-P 與客戶之間的專業人員個人資料交換是在獨立的控制者對控制者關係下進行，且以下2 小節中定義的「控制者對控制者」(Controller-to-Controller) 詞彙應適用。
G-P 也透過G-P的平台 (「GPP」) 提供各種軟體即服務產品，透過G-P ，客戶可以管理與這些專業人員的關係。
透過提供客戶存取 GPP，G-P 即為客戶指定的 GPP 授權使用者上載至 GPP 的帳戶相關資料之處理者，以及以下第3節定義的控制器到處理器術語適用。

G-P 與客戶達成以下協議：

1. DEFINITIONS

1.1. 此處未定義的詞彙具有主協議中規定的涵義。本 DPA 中的下列詞彙具有下列涵義：

12. 「授權使用者」是指客戶允許的個人，可能包括客戶的員工和／或約聘人員，根據總協議的執行，代表客戶存取和使用GPP。

1.3. 「客戶資料」係指與任何授權使用者或可識別之自然人有關之任何個人資料，由 G-P 代表客戶傳送、處理或儲存，供客戶使用 GPP。

14 。「資料保護規範」指本協議一方所遵守且適用於所提供服務的任何資料保護和隱私權法律，包括（如適用）：《一般資料保護規範》(GDPR)、英國《一般資料保護規範》(GDPR)但不限於《一般資料保護規範》(GDPR)、英國《一般資料保護規範》(GDPR)、瑞士資料保護法、美國隱私法 (包括州及聯邦法律) 及巴西 LGPD。

1.5. 「《一般資料保護規範》(GDPR)」指《一般資料保護規範》(GDPR) (EU)2016/679.

16. "GPP"是指 G-P 專有軟體，包括但不限於軟體、行動版本、其中包含的任何軟體，以及透過使用 G-P 專有軟體或第三方服務（包括其更新、升級、平台即服務及文件）所提供的任何資料。

1.7. 「EEA」指歐洲經濟區。

1.8. 「LGPD」指第13.709 號巴西法律，即《個人資料保護一般法》，可能會修正、取代或更換。

19。「主協議」是指客戶與 G-P 就提供服務所簽訂的協議。

110 。 「隱私權政策」是指 G-P 的隱私權政策，隨時更新，網址為 https://www.globalization-partners.com/privacy-policy/

111 。 「專業人士資料」指 G-P 在向客戶提供服務過程中處理的專業人士個人資料。

112 。 "受限制轉移" 指將個人資料轉移到歐洲經濟區、英國、瑞士或巴西以外的國家，而該國家不受適用資料保護法下的 充分性決定所規限，因此需要適用資料保護法下的適當保障措施。

113 。 「服務」指根據總協議向客戶提供的服務，其中可能包括名義雇主服務以及 GPP 的存取和使用。G-P

114. "標準合約條款" 或"SCCs "指 (i) 《一般資料保護規範》(GDPR) 適用的情況、根據歐洲議會及歐洲理事會的《一般資料保護範規條》(GDPR)， / 向第三國家轉移個人資料的標準合約條款，可於以下網址查閱： June 歐洲委員會執行決定 (EU) / 附件的標準合約條款。2016679 4 2021 2021914 https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914&from=EN ("EU SCCs")；(ii) 當英國《一般資料保護規範》(GDPR) 適用時，依據46(2)(c) 條採用的適用標準資料保護條款、或 (d) 當英國《一般資料保護規範》(GDPR) 適用時，指《歐盟標準合約》的國際資料傳輸附錄 (「英國附錄」)。資訊專員辦公室根據《資料保護法》第條發出的條款。119 2018 18""A(1) 條發出的條款；(iii) 在瑞士資料保護法適用的情況下，由瑞士聯邦資料保護局和資訊專員辦公室 ("SwissSCCs) 發出、批准或認可的適用標準資料保護條款；在巴西 LGPD 適用的情況下，由巴西國家資料保護局 (「ANPD」) 發布的CD/ANPD No.19/2024 ）所頒布的適用標準合約條款，這些條款可能會不時進行修訂（「巴西 SCC」）。

115. 「瑞士資料保護法」或「FADP」 是指(i) 瑞士聯邦資料保護法 (日期為年 6 月19， 1992 ，截至年 3 月， ) (「1 2019FDPA」)；(ii) 聯邦資料保護法條例 (「FODP」)；及 (iii) 根據、依據、取代或繼承而制定的任何國家資料保護法，以及取代或更新前述任何法律的任何立法。

1.16. 「英國附錄」是指英國資訊專員發佈的歐盟標準合約條款的英國國際化資料轉移附錄。

1.17 。 「英國資料保護 規範」(GDPR) 是指《一般資料保護規範》(GDPR) 依據《英國歐盟 (退出法案) 》第3 節保存為英國法律。2019 ("UK 《一般資料保護規範》(GDPR)") 和《資料保護法》 2018 (合稱。UK Data Protection Laws )、"英國資料保護規範》" ）。

118. 「美國隱私法」係指與個人資料處理相關之適用美國 (US) 州法律、命令、法規及法規指引，包括但不限於：(a) CCPA；(b) 維吉尼亞州消費者資料保護法；(c) 科羅拉多州隱私法；(d) 康乃狄克州資料隱私與線上監控法；(e) 猶他州消費者隱私法；及 (f) 所有類似的州法律。

1.19. "控制者" " 資料當事人","個人資料", 「個人資訊」「資料外洩」,"處理者","處理/處理", 「限制傳輸」, 「服務供應商」 和/或任何其他類似詞彙和概念應具有資料保護法中定義的含義。

2. CONTROL OF PERSONAL DATA

21. 各方的角色。當 G-P 以獨立控制者之身分運作時，G-P 在處理個人資料時，應遵守資料保護法所規定之控制者義務，並應依 G-P 隱私權政策所述處理個人資料，該隱私權政策可於以下網址取得：. https://www.globalization-partners.com/privacy-policy/.客戶作為控制者處理個人資料時，應遵守資料保護法所規定之義務。在任何情況下，雙方均不得以共同控制者的身份根據本 DPA 處理個人資料。

22. 責任與鳴謝。各方均可根據本 DPA 以獨立資料控制者的身份處理有關專業人士資料的個人資料。雙方同意遵守各自的義務，並遵照本 DPA 及適用於該方個人資料處理業務的所有資料保護法，公平合法地處理任何個人資料。各方應確保其個人資料處理僅限於 G-P 所提供之 GPP 的目的，且以合法處理的法律依據為基礎。各方將協助對方遵守資料保護法下之各自義務，包括但不限於在發生資料外洩時協助對方、回應資料當事人及/或監管機構之要求。

3. PROCESSING OF PERSONAL DATA

3.1. 範圍。使用 GPP 可能需要 G-P 作為處理者或服務供應商代表客戶處理客戶資料。

32. 指示。將根據客戶的成文指示處理客戶資料。G-P 客戶同意，本 DPA、主協議及附件一構成客戶就處理客戶資料向發出的完整指示。任何額外或替代指示必須經雙方書面同意，包括與遵守該等指示相關的費用（如有）。客戶將確保其指示符合適用的資料保護法律。客戶承認既不負責確定哪些法律適用於客戶的業務。 G-P G-P 客戶將確保G-P依照客戶指示處理客戶資料時，不會導致G-P 違反任何適用法律，包括適用的資料保護法。 G-P 但是，如果G-P 認為客戶的指示違反了適用的資料保護法，G-P 應在合理可行的情況下盡快通知客戶，且無需遵守該等違法指示。

3.3. 處理的詳情。處理標的事項、持續時間、性質和目的、客戶資料類型和資料當事人的詳細資料，請參閱隨附的附件一。

3.4. 遵守規定。客戶與 G-P 同意遵守各自在資料保護法下之義務，該義務適用於附件一中指定之客戶資料處理。在向 G-P 披露、转移或以其他方式提供任何客户数据之前，客户应自行负责遵守有关客户数据处理合法性的数据保护法。为避免疑义，在任何情况下，客户均应在必要时获得数据主体的任何同意，以便 G-P 按照客户的指示处理客户数据。

3.5. 次處理者。客戶授權 G-P 委任及使用處理者 (下稱「次處理者」) 處理與服務相關之客戶資料。次處理者可包括第三方或 G-P 公司集團之任何成員。G-P 可繼續使用 G-P 在本 DPA 簽訂當日已聘用的下屬處理商，該下屬處理商的名單見本協議附件 III。如果子處理商未能履行上述規定的資料保護義務，G-P 應對客戶負責履行子處理商的義務。G-P 应通过 GPP 通知客户其子处理方列表的任何变更。如果在收到该通知后的10 (十) 天内，客户以数据保护为由合法反对增加或删除子处理方，且 G-P 无法合理满足客户的反对意见，则双方将本着诚意讨论客户的疑虑，以期解决问题。

3.6. 技術與組織安全措施。考慮到行業標準、實施成本、處理的性質、範圍、背景和目的，以及與處理客戶資料有關的任何其他相關情況，G-P 應實施適當的技術和組織安全措施，以確保處理客戶資料所涉及的處理系統和服務的安全性、機密性、完整性、可用性和復原能力與此類客戶資料的風險相稱，詳情請參閱隨附的附件 II。 G-P 将定期 (i) 测试和监控其保障措施、控制、系统和程序的有效性，(ii) 识别客户数据的安全性、保密性和完整性面临的可合理预见的内部和外部风险，并确保这些风险得到解决。

37. 保密性。G-P 應確保獲授權存取客戶資料的人員 (i) 已承諾保密或負有適當的法定保密義務，且 (ii) 除非適用法律要求，否則僅能依據 G-P 的文件指示存取客戶資料。

38. 個人資料外洩。 G-P 在發現與客戶資料處理有關的資料外洩後，將立即通知客戶，並在可能的情況下，盡合理努力協助客戶減輕任何資料外洩的不利影響。

39. 刪除個人資料。 結束聘用服務後 (不論任何理由)，應在合理可行的情況下，盡快歸還或刪除儲存於 GPP 的客戶資料，除非適用法律規定客戶資料須儲存一段較長時間。就上述保留而言，本 DPA 的規定應繼續適用於該等客戶資料。G-P

3.10. 資料當事人要求。 G-P 應立即通知客戶任何資料當事人有關客戶資料的要求。客戶有責任回應該等要求。在客戶使用 GPP 時無法存取相關客戶資料的範圍內，G-P 將合理地協助客戶回應該等資料當事人之要求。

3.11. 第三方要求。如果 G-P 收到第三方的任何要求或任何法院、審裁處、監管機構或 G-P 受其管轄的有管轄權的政府機構的命令，與根據本協議處理客戶資料有關，G-P 將立即將該要求轉發給客戶。除非法律强制要求，否则未经客户事先授权，G-P 不会回应此类请求。除非法律禁止，否则 G-P 将在披露任何客户数据之前通知客户，并将与客户合理合作，将此类披露的范围限制在法律要求的范围内。

312. 資料保護影響評估及事前諮詢。在資料保護法規定之範圍內，G-P 應向客戶提供合理協助，以進行與 G-P 處理客戶資料相關之資料保護影響評估，及/或與監管機構進行任何所需之事先諮詢。G-P 保留就提供此类协助向客户收取合理费用的权利。

313. 審計。 自客戶提出請求之日起十二 (12) 個月內，客戶可要求簽發反映第三方稽核人員稽核結果的安全驗證證書 (例如 ISO27001 認證、SOC2 證書)，以稽核G-P 對本 DPA 和資料保護法的遵守情況。或者，如果根據本節提供的文件3.13 如果所提供的文件不足以證明合規性，，則客戶可在所提供的第三方認證或報告之外自行進行審核，前提是此類審核必須在以下情況下進行：i) 每12 (twelve) 個月不超過一次；ii) 在正常營業時間內且不影響G-P日常業務；iii) 提前三十 (30) 天書面通知；iv) 費用由客戶自行承擔；v) 基於雙方同意的參數和範圍，僅限於特定的服務範圍、使用中的系統和/或根據本協議預計的處理活動； vi) 基於雙方事先同意的日期，客戶可根據G-P的合理要求合理延遲；且 vii) 符合所有保密義務和限制。儘管有上述規定，在主協議結束聘用後，除客戶必須證明的法律義務外，不授予任何審計權。任何獲選代表客戶執行稽核的第三方不得與名義雇主服務公司、機構、相關組織或顧問有任何利益關係或從屬關係。本 DPA 不會要求G-P 向客戶或其第三方稽核人員披露或允許客戶或其第三方稽核人員存取以下資料(i) 任何其他G-P「顧客的任何資料；(ii)G-P」內部會計或財務資訊；(iii)G-P 或其關聯公司的任何商業機密；(iv)G-P「合理認為可能危及任何G-P」系統安全或導致違反其在適用法律下的義務或其對任何第三方的安全或隱私義務的任何資訊；或 (v) 客戶或其第三方稽核人員除善意履行客戶在資料保護法下之義務外，基於任何原因而尋求存取之任何資訊。

314. 美國隱私權法律。 根據本節 (「個人資料之處理」)，3 ，雙方同意 G-P 為「服務供應商」或「處理商」，該等詞彙之定義依適用之美國隱私權法律而定。因此，在美國隱私權法律適用於 G-P 處理客戶資料的範圍內，G-P 不得 (a) 在 G-P 與客戶之間的直接業務關係之外保留、使用或揭露任何客戶資料，或用於本協議附件 I 所列目的之外的任何目的，且 G-P 僅可在向客戶提供服務的期間內處理客戶資料；(b) 出售任何客戶資料；(c) 共享任何客户数据；或 (d) 将 G-P 从客户或代表客户收到的客户数据与 G-P 从他人或代表他人收到的「个人数据」（适用数据保护法对该术语或等同术语的定义），或 G-P 从其与消费者的互动中收集的「个人数据」进行合并，前提是 G-P 可以在向客户提供服务的范围内合并客户数据。在適用的情況下，如果每一方判定其無法再履行美國隱私權法律規定的義務，則應通知對方。

4. International Data Transfers

4.1. 適當的保護。G-P 獲授權可在正常業務過程中，在全球範圍內將客戶資料轉移給其關聯公司和/或次處理商。在將資料轉移到未被相關資料保護機構認可可根據資料保護法為個人資料提供足夠保護的地區時，G-P 應確保提供適當的保護，以保護根據總協議轉移或與總協議相關轉移的客戶資料。

4.2. 資料隱私權框架 。 G-P 已通過歐盟-美國資料隱私權框架 (EU-U.S. DPF) 以及歐盟-美國資料隱私權框架英國延伸條款 (如適用) 和瑞士-美國資料隱私權框架 (Swiss-U.S. DPF) 的認證。G-P 的認證可在 DPF 網站 https://www.dataprivacyframework.gov/list 上公開確認。歐盟-美國歐盟委員會認為「資料保護規範」(Data Privacy Framework) 已經足夠、根據《一般資料保護規範》(GDPR)第45 條、英國《一般資料保護規範》(GDPR) 和 FADP，分別是合法的資料轉移機制。如果 DPF 架構失效、暫停或不再被認可為國際化資料傳輸提供足夠的保護，處理者同意簽訂並遵從由歐盟委員會、英國資訊專員辦公室 (ICO) 或瑞士聯邦資料保護與資訊專員 (FDPIC) (如適用) 發出或核准的SCC。雙方應真誠合作，實施任何必要的補充措施，以確保對轉移資料提供基本等同的保護。

43. 標準合約條款。 雙方同意，當客戶（作為資料輸出方）向 G-P（作為資料輸入方）之個人資料轉移屬於受限制轉移，且適用之資料保護法規定須採取適當之保障措施時，該等轉移應受適當之標準契約條款約束，該等標準契約條款應視為已納入本 DPA，並成為本 DPA 之一部分，如下所示："" ""

關於受《一般資料保護規範》(GDPR) 保護的個人資料的轉移，應適用歐盟 SCC，完成方式如下：

單元一與單元二應適用；
在7 條款中，可選的停靠條款將適用；
9 2 子處理商變更的事先通知期限應如本 DPA 第3.5 條所規定；
在第11 條中，選擇性語言將不適用；
12 ，根據歐盟 SCC 提出的任何索賠應受總協議中規定的條款和條件約束；
在條款17 中，選項1 將適用，歐盟 SCC 將受愛爾蘭法律管轄；
18(b)條中，爭議應在愛爾蘭法院解決；
歐盟 SCC 附件 I 應視為已完成本 DPA 附件1 所列資訊；以及
歐盟 SCC 附件 II 應視為已完成本 DPA 附件2 所列資訊；
歐盟 SCC 單元二的附件 III 應視為已完成本 DPA 附件3 所列資訊。

b.關於受英國資料保護法或瑞士資料保護法保護的個人資料的移轉，依據上述(a)分段實施的歐盟 SCC 將經過以下修改後適用：

"法規 (EU)2016/679" 應解釋為英國資料保護法或瑞士資料保護法（如適用）；
凡提及「歐盟2016 / 679條例」具體條款之處，均應替換為英國資料保護法或瑞士資料保護法（如適用）的相應條款或章節；
"EU","Union","Member State" 及"Member State law" 的提述應以"UK" 或"Switzerland", 或"UK law" 或"Swiss law" （如適用）取代；
"成員國" 一詞不得解釋為排除英國或瑞士的資料當事人在其慣常居住地 (即英國或瑞士) 提出權利訴訟的可能性；
不使用13(a) 條和附件 I 的 C 部分，且"主管監管機構" 為英國資訊專員或瑞士聯邦資料保護資訊專員 (如適用)；
"主管監督機構" 及"主管法院" 的提述，應以"資訊專員" 及"英格蘭及威爾斯法院" 或"瑞士聯邦資料保護資訊專員" 及"瑞士適用法院" (如適用) 的提述取代；
在17 條款中，標準合約條款應受英格蘭和威爾斯或瑞士（如適用）法律管轄；且
關於英國資料保護法適用的轉移，第18 條應修訂為"由本條款引起的任何爭議應由英格蘭和威爾斯法院解決。資料當事人可在英國任何國家的法院對資料出口商和/或資料進口商提起法律訴訟。雙方同意接受該等法院的管轄權" ，而對於適用瑞士資料保護法的轉移，第18(b) 條應說明，爭議應在適用的瑞士法院解決。
關於受英國《一般資料保護規範》(GDPR) 保護的資料，歐盟 SCC 將適用如下：(i) 適用於根據上述第 (i) 至 (viii) 段完成的內容；以及 (ii) 視為根據英國附錄2 部分的規定進行修訂，該部分應視為納入本 DPA，並構成本 DPA 的組成部分。此外，英國附錄1 部分中的表1 至3 應分別填寫本 DPA 附件 I 和附件 II 所列資訊，英國附錄1 部分中的表4 應視為已填寫，選擇"的任何一方均不得選擇" 。

c. 關於直接或透過轉移，將受巴西 LGPD 保護的個人資料移轉至不受 ANPD 發出的適足性決定所規範的巴西境外國家，巴西 SCC 將被視為已簽訂，並藉此併入本 DPA，且填寫如下：

巴西 SCC 的2 條款符合附件 I 所列的資訊，其中描述了資料傳輸；
I在巴西 SCC 的3 條款中，選項 B 應適用，並根據3 條款允許轉移。5 (「子處理者」)。處理的主題、性質和持續時間載於本 DPA 附件一；
本 DPA 附件 I 所載資訊符合巴西 SCC 第4 條的規定。如果 G-P 是控制方，則其將是巴西 SCC 中定義的「指定方」，並且適用於巴西 SCC 的14 條款（透明度）、15 條款（資料當事人權利）和16 條款（事件報告）。客戶仍有責任遵守巴西 SCC 的14 條款 (透明度)、15 條款 (資料當事人權利) 和16 條款 (事故報告)，以處理其可能是控制方的任何個人資料；
在巴西 SCC 的9 條款中，選擇性停靠條款將不適用；以及
巴西 SCC 的第三部分（安全措施）將視為已完成本 DPA 附件 II 所列的資訊。

附件一

資料處理說明

締約方	資料匯出者：執行主協議的客戶實體資料輸入者：執行主協議的 G-P 實體。
各方聯絡資訊	主協議中列明的詳細聯絡資訊。
與轉移資料相關的活動	與名義雇主服務相關的活動，以及作為服務提供給客戶的 GPP 的使用。
加工活動	所處理/轉移的個人資料可能會受到下列處理活動的影響：與個人資料有關的任何操作，不論所使用的方式和程序為何，特別是資料的收集、組織、儲存、持有、使用、檢索、諮詢、存檔、傳輸、封鎖、刪除或銷毀，系統的操作和維護，合規、法律和審計功能。
處理期限	G-P 將在總協議期間持續處理客戶資料。
處理的性質與目的	客戶可將客戶資料傳輸至 G-P，傳輸範圍由客戶自行決定及控制。處理的目的是根據總協議提供服務。
資料當事人的類別	a) 雙方作為獨立控制者就專業人員個人資料交換的個人資料。 b) G-P 作為資料處理者所處理的客戶資料涉及 GPP 的授權使用者，其中可能包括客戶的員工及/或承包商。
個人資料類型	- 詳細聯絡資訊（如電話號碼和電子郵件）。 - 僱員 / 承包商資料 (例如工作職稱和公司名稱)。 - 使用資料 (例如授權使用者裝置的相關資料，以及該裝置與 GPP 的互動方式)。 - 位置資料 (例如從 IP 位址衍生的位置)。 - 內容資料（如客戶檔案中有關專業人士及相關通訊的內容）。 - 認證（例如密碼、密碼提示和用於認證和帳戶存取 GPP 的類似安全資訊）。 - 授權使用者提供的任何個人資料。
特殊類別資料（如適用）	不適用
留任	個人資料的保留期限至少為任何適用法律規定的最短保留期限，符合適用的限制法規，並符合良好的商業實務。
主管監督機構	愛爾蘭資料保護委員會
轉移給次處理者	對於轉移給處理者，處理的主題、性質和期限與上述定義相同。
G-P 隱私權聯絡資訊	privacy@G-P.com 收件人：全球隱私辦公室。

附件二

技術與組織措施

G-P 已通過獨立稽核人員的認證與證明，確認符合 SOC2 與 ISO27001 標準。這些認證證明了我們保護客戶資料安全的承諾。G-P 的安全計畫旨在

保護 G-P 持有或 G-P 可以存取的客戶資料的機密性、完整性及可用性；
保護客戶資料的機密性、完整性和可用性免受任何預期的威脅或危害；
防止未經授權或非法存取、使用、披露、變更或銷毀客戶資料；
防止客戶資料意外遺失、損毀或損壞；
保護 G-P 可能受到管制的任何法規所規定的資訊。

以下描述了 G-P 為確保客戶資料處理的安全性而採取的功能、流程、控制、系統、程序和措施：

1)確保資料隱私和保護的技術措施

Privacy by Design and Default:G-P 在產品開發的構想與開發階段，即考慮到25 《一般資料保護規範》(GDPR) 的要求。在設定流程和功能時，必須及早考慮資料保護原則，例如合法性、透明度、目的限制、資料最小化等，以及處理的安全性。
個人資料的加密：確保個人資料僅以不允許第三方識別資料當事人的方式儲存於系統中。
1. 資料庫和儲存加密：在 G-P 使用的所有資料庫上，都會使用符合最新技術的加密"at rest" ，因此資料庫的資料只有在各資料庫系統進行適當認證後才能讀取。
2. 行動數據媒體的加密：不允許使用行動資料載具儲存顧客資料。
3. 筆記型電腦資料載具的加密：所有員工的筆記型電腦都安裝了適當的最先進硬碟加密技術。
4. 資料與檔案的加密交換：原則上，資訊與檔案的交換是透過特殊的應徵直接加密。如果個人資料或機密資訊必須傳輸至伺服器，且無法透過 TLS 加密的 HTTPS 上傳方式傳送，則會使用安全檔案傳輸協定 (SFTP)、加密信封服務或其他符合最新技術的加密機制進行傳輸。
5. 電子郵件加密：原則上，G-P 員工發送的所有電子郵件均使用 TLS 加密。如果接收郵件伺服器不支援 TLS，則可能出現例外。客戶應確保訂單範圍內使用的相應郵件伺服器支援 TLS 加密。
准入控制：准入控制的目的在於防止未經授權的人使用和處理受資料保護法保護的資料。
1. 使用驗證方法：個人資料的存取總是透過加密通訊協定進行：SSH、SSL/ TLS、HTTPS 或類似協定。IT 系統的驗證程序：多因素認證登入 IT 系統。
2. 不使用時自動封鎖：G-P 員工使用的筆記型電腦，在使用者不使用時會以密碼或 PIN 碼保護鎖定。此外，在15 分鐘未使用後，會設定自動螢幕鎖定，並提供密碼保護。
3. 使用防毒軟體：G-P 員工使用的筆記型電腦均配備最先進的防毒軟體，並在所有作業或業務 IT 系統上保持更新。原則上，除非已採取其他等效的最先進安全措施或不存在任何風險，否則不得在沒有駐留病毒防護的情況下操作任何電腦。預設安全設定不得停用或規避。
4. "清潔辦公桌政策" ：G-P 的員工被指示不得列印或在本地儲存資料當事人的個人資料，不得將工作資料留在可能被第三方檢視的位置，並妥善儲存所有工作資料。法律規定 G-P 持有的硬複本文件會儲存在上鎖的櫃子中。
平台內的存取控制：存取控制可確保獲授權使用處理系統的人員只能存取其存取授權所涵蓋的個人資料。
1. 角色與授權
  1. 角色與授權平台 - 顧客存取：客戶使用者可以檢視和編輯顧客帳戶資訊。
  2. 角色與授權平台 - 專業存取：專業使用者可以檢視和編輯自己的專業資訊。專業人員也可根據需求 + 核准獲得客戶存取角色
  3. 角色與授權平台 - 內部存取：內部存取使用者擁有不同的角色。他們有不同的存取權限，可以建立、檢視、編輯和批准下列內容：
    - 客戶資訊
    - 帳單資訊
    - 合作夥伴資訊
    - 專業人事記錄資訊
  4. 一般而言，只有在顧客支援和產品開發領域受過訓練的員工才能存取管理系統。
防火牆服務： G-P 使用外部防火牆作為服務，允許其授予或封鎖網站存取，以確保系統無法存取惡意內容，並限制存取不當內容。
平台登入記錄： G-P 會保留所有登入活動的記錄。
可分離性：確保為不同目的收集的個人資料可以分開處理，並與其他資料和系統分開，從而排除將這些資料用於其他目的的非計劃使用。
1. 開發、測試和作業環境的分離：只有在傳輸前已完全匿名的情況下，才可將作業環境的資料傳輸至測試或開發環境。匿名資料的傳輸必須加密或透過可信賴的網路。要轉移到作業環境的軟體必須先在相同的測試環境中進行測試 ("staging")。只有在無法避免的情況下，才可在作業環境中使用錯誤分析或軟體建立/編譯的程式。如果錯誤情況取決於轉移到測試環境時會因匿名化要求而被偽造的資料，情況尤其如此。
2. 網路分離：G-P 根據任務區分其網路。永久使用下列網路：作業環境 ("Production")、測試環境 ("Staging", "Sandbox「) 、開發環境 (」Dev") 辦公室 IT 人員。除了這些網路之外，還會視需要建立其他獨立的網路，例如用於還原測試和滲透測試。根據技術上的可能性，網路會以實體或虛擬網路的方式分隔。
可用性 控制： G-P 採取下列步驟，以確保個人資料不會因意外破壞或遺失而受到保護。
1. 資料保護程序/備份：為了確保足夠的可用性，G-P 實施資料庫每日快照，並複製到不同區域。我們也採取了措施，以確保根據工作需要檢閱資料的員工，只能獲准存取複製資料集。
2. 生產資料和備份伺服器基礎架構的地理備援
3. IT 事件管理 ("Incident Response Management")：有處理事故和安全相關事件的概念和成文程序。這包括對事件回應的規劃和準備，監控、檢測和分析安全相關事件的程序，以及在法律要求的框架內，在發生違反個人資料保護的情況時，定義相應的責任和報告渠道。

2)確保資料隱私和保護的組織措施

G-P 已採取下列組織措施，以確保組織的營運方式符合資料隱私權和保護要求。

組織指示： G-P 已經制定並正在制定資料管理計畫，包括員工必須遵循的政策、程序和準則。文件包括如何識別和管理資料隱私權問題、確保隱私權合規的最佳實務，以及處理隱私權事件的政策。
致力於機密性和資料保護： G-P 已經制定並正在制定資料管理計畫，包括員工必須遵守的政策、程序和準則。所有員工和承包商都受到保密和資料保護以及其他相關法律的書面約束。所有員工都會接受隱私& 安全訓練。定期進行資料保護和資訊安全的內部稽核。稽核依據共同的測試標準/方案進行。G-P 的員工和承包商受命僅基於合法理由，根據與顧客和專業人士簽訂的適用合同處理個人資料，並充分考慮資料當事人給予或拒絕給予的任何明示同意，以及遵守組織的任何合法職責。
資料保護訓練：所有員工都會接受隱私& 安全訓練，並可隨時在 G-P 訓練平台中檢視。
實體存取控制： G-P 設有下列實體存取控制，以防止未經授權的人員存取用於處理的 IT 系統設備。
1. 電子門禁保護：G-P 辦事處的入口大門永遠上鎖，並採用電子安全保護。車門是透過個人電子轉發器打開的。
2. 受控的鑰匙分配：將鑰匙以文件形式集中分配給 G-P 的員工。這些電子轉發器/鑰匙可由各辦公室經理或人力資源部門集中停用。
3. 外部人員的監督與陪同：外部服務供應商和其他第三方只有在事先授權或有 G-P 員工陪同的情況下才能進入公司。當訪客被邀請到訪時，G-P 會執行其書面的訪客政策。
4. 保護需求增加的處所的安全：有更高保護需求的場所或機櫃，例如法律事務所和某些營運地點，都會配備上鎖的機櫃和抽屜。存放法律文件、合約和機密文件的櫃子和抽屜，除非在使用中，否則必須隨時上鎖。
5. 關閉門窗：組織指示員工在非辦公時間關閉或鎖上門窗。
可恢復性：G-P 確保使用中的系統在發生實體或技術故障時可以還原。
1. 定期測試資料復原 ("Restore-Tests")：定期進行全面還原測試，以確保緊急/災難事件發生時的可復原性。
2. 應急計畫 ("災害復原概念")：有處理緊急情況/災害的概念和相對應的緊急計畫。G-P 確保在資料備份 / 備份的基礎上恢復所有系統，通常在48 小時內完成。
3. 審查和評估措施：介紹對技術和組織措施的有效性進行定期審查、評估和評價的程序。
隱私權團隊：本組織設有全球資料隱私權辦公室，負責規劃、執行、評估和適應資料保護領域的措施。
風險管理：有一個分析、評估和分配風險的流程，並根據這些風險制定措施。

3)資訊安全的獨立審查

執行稽核：定期進行資料保護和資訊安全的內部稽核。稽核依據共同的測試標準/方案進行。
審查安全政策和標準的遵守情況：定期檢查個人資料處理是否符合適用的安全指引、標準及其他安全要求。在可能的情況下，這些檢查會以隨機和意外的方式進行。
驗證是否符合技術規格：由 IT 部門或其他合格人員定期執行自動和手動弱點掃描，以驗證應用程式和基礎架構的安全性，以及產品的定期開發。由外部服務供應商執行詳細的滲透測試，以特別檢查應用程式和基礎架構的弱點。
依指示處理： G-P 的員工受指示僅基於合法理由、依據與顧客和專業人士簽訂的適用合約、適當考慮資料當事人明示同意或拒絕同意，以及遵守組織的任何合法職責來處理個人資料。
謹慎選擇供應商： G-P 在選擇可能會接觸到受保護資料的廠商和供應商時，會遵守其供應商資格預審程序。此流程包括財務和法律/隱私部門的回饋，並包含風險評估、安全預審和文件認證步驟。將會處理受保護資料的供應商必須證明其遵守適用的資料隱私權法律，包括28 《一般資料保護規範》(GDPR) 條文中對受保護資料的規定。

附件三

子處理器清單

次處理器	地點與聯絡資訊	加工說明
G-P 子公司	https://www.globalization-partners.com/contact-us/	提供平台和客戶關係管理
Acumatica	3933 Lake Washington Blvd NE #350, Kirkland, WA98033, 美國	金融服務
亞馬遜網路服務	P.O.盒子81226 西雅圖, WA98108-1226, 美國	寄存 - 雲端服務供應商
微軟	Microsoft Corporation One Microsoft Way Redmond, Washington98052 USA 電話: (+1)425-882-8080.	通訊（電子郵件）和服務管理的業務流程支援
曉	350 布希街樓層13 San Francisco, CA94104, 美國 +1 415 701 1110	服務管理的業務流程支援
DocuSign	DocuSign International (EMEA) Ltd, Attention：Privacy Team,5 Hanover Quay, Ground Floor, Dublin2, Republic of Ireland	文件管理
Salesforce.com	Salesforce Tower,415 Mission Street,3rd Floor, San Francisco, CA94105, USA 1 - 800 - 387 - 3285	客戶關係管理 (CRM) 的業務流程支援
Zendesk	989 市場街舊金山，加州94103 ，美國zendesk.com 888-670-4887	服務台查詢顧客支援
Workday	6110 Stoneridge Mall Road Pleasanton, CA94588, 美國	管理薪資、福利、人力資源及員工資料的業務流程支援。
立即服務	2225 勞森巷加州聖克拉拉95054 美國	透過（自動化雲端工作流程）為 IT 服務與營運管理、員工與顧客體驗提供業務流程支援
資料庫	160 Spear Street,15th Floor 加州舊金山94105 1-866-330-0121 美國	雲端資料倉庫基礎架構。
Datadog	620 8th Ave45th Floor 紐約10018 美國	服務監控與除錯工具
Wise	Avenue Louise54, Room s52 、 1050 布魯塞爾比利時	線上付款處理器
Google	1600 Amphitheatre Pkwy, Mountain View, CA94043	業務流程支持，包括通訊（電子郵件）和內部文件存儲