Dieser Datenschutznachtrag („Nachtrag“) ergänzt die Bedingungen des Rahmenvertrags und ist darin aufgenommen. Im Falle eines Widerspruchs zwischen diesem Nachtrag und einer anderen Vereinbarung zwischen den Parteien zu den hierin dargelegten Fragen hat dieser Nachtrag Vorrang.
DATENSCHUTZ-ERGÄNZUNG
1. DEFINITIONEN
1.1. Begriffe, die hierin nicht definiert sind, haben die im Dienstleistungsrahmenvertrag festgelegte Bedeutung. Die folgenden Wörter in diesem Nachtrag haben die folgenden Bedeutungen:
1.2. „Autorisierter Benutzer“ bezeichnet eine Person, die vom Kunden gemäß der Unterzeichnung der Rahmenvereinbarung entweder den Mitarbeiter und/oder Auftragnehmer des Kunden einschließen kann, um auf die Plattform zuzugreifen und sie im Namen des Kunden zu nutzen.
1.3. „CCPA“ bezeichnet den California Consumer Privacy Act.
1.4. „Kundendaten“bezeichnet alle personenbezogenen Daten oder personenbezogenen Daten, die sich auf einen autorisierten Benutzer oder eine identifizierbare natürliche Person beziehen, die von Globalization Partners im Namen des Kunden zur Nutzung der Plattform durch den Kunden übertragen, verarbeitet oder gespeichert werden.
1.5. „Datenschutzgesetze“ bezeichnet alle Datenschutzgesetze, denen eine Partei dieser Vereinbarung unterliegt und die für die erbrachten Dienstleistungen gelten, einschließlich, wo zutreffend, aber nicht beschränkt auf, die DSGVO, die britische DSGVO, die US-Datenschutzgesetze (einschließlich Landes- und Bundesgesetze) und Singapurs Personal Data Protection Act.
1.6. „DSGVO“ bezeichnet die Datenschutz-Grundverordnung (EU) 2016/679 und/oder die britische DSGVO.
1.7. „EWR“ bezeichnet den Europäischen Wirtschaftsraum.
1.8. „EU-SCCs“ bezeichnet die Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, die von der Durchführungsentscheidung (EU) 2021/914 der Europäischen Kommission vom genehmigt wurden4 Juni 2021.
1.9. „EOR-Dienstleistungen“ bezeichnet den Arbeitgeber von Aufzeichnungsdienstleistungen, die von Globalization Partners dem Kunden gemäß dem Rahmenvertrag zu erbringen sind.
1.10. „Rahmenvereinbarung“ bezeichnet die zwischen dem Kunden und Globalization Partners abgeschlossene Vereinbarung zur Erbringung der EOR-Dienstleistungen.
1.11. „Plattform“ bezeichnet die proprietäre Software von Globalization Partners, einschließlich, aber nicht beschränkt auf die Software, die mobile Version, die darin enthaltene Software und alle Daten, die durch die Nutzung der proprietären Software von Globalization Partners oder der Dienste von Drittanbietern zur Verfügung gestellt werden, einschließlich deren Updates, Upgrades, Plattform als Dienstleistung, Dokumentation, eine Beschreibung davon ist unter aufgeführthttps://www.globalization-partners.com/employer-of-record-solutions/.
1.12. „GB-Ergänzung“ bezeichnet die Ergänzung zur internationalen Datenübertragung in Großbritannien zu den EU-Standardvertragsklauseln, die vom britischen Informationsbeauftragten herausgegeben und diesem als Anhang IV beigefügt werden.
1.13. „Verantwortlicher“, „betroffene Person“, „personenbezogene Daten“, „personenbezogene Daten“, „Datenschutzverletzung“, „Auftragsverarbeiter“, „Verarbeitung/Verarbeitung“, „Eingeschränkte Übermittlung“, „Dienstleister“ und/oder andere ähnliche Begriffe und Konzepte haben die in den Datenschutzgesetzen definierte Bedeutung
2. BEZIEHUNG VON PARTEIEN UND ROLLEN
2.1. Rollen der Parteien und Details der Verarbeitung. Globalization Partners verarbeiten personenbezogene Daten als unabhängiger Verantwortlicher, wenn Globalization Partners EOR-Dienstleistungen erbringen. In keinem Fall verarbeiten die Parteien personenbezogene Daten im Rahmen dieses Nachtrags als gemeinsame Verantwortliche. Wenn Globalization Partners als unabhängiger Verantwortlicher tätig sind, müssen Globalization Partners bei der Verarbeitung personenbezogener Daten ihre Pflichten des Verantwortlichen gemäß den Datenschutzgesetzen einhalten und die personenbezogenen Daten gemäß der Datenschutzrichtlinie von Globalization Partners verarbeiten, die unter verfügbar isthttps://www.globalization-partners.com/privacy-policy/. Der Kunde muss seine Verpflichtungen gemäß den Datenschutzgesetzen bei der Verarbeitung personenbezogener Daten als Verantwortlicher erfüllen. Soweit Globalization Partners während der Verarbeitung von Kundendaten als Auftragsverarbeiter fungiert, wird diese Verarbeitung in Übereinstimmung mit dem nachstehenden Abschnitt 3 („Verarbeitung personenbezogener Daten“) durchgeführt.
2.2. Verantwortlichkeiten und Bestätigungen. Jede Partei kann personenbezogene Daten im Rahmen dieses Nachtrags in Bezug auf personenbezogene Daten als unabhängige Datenverantwortliche verarbeiten. Die Parteien verpflichten sich, ihren jeweiligen Verpflichtungen nachzukommen und personenbezogene Daten fair und rechtmäßig in Übereinstimmung mit diesem Nachtrag und allen Datenschutzgesetzen zu verarbeiten, die für die Verarbeitung personenbezogener Daten dieser Partei gelten. Jede Partei stellt sicher, dass ihre Verarbeitung personenbezogener Daten auf den Zweck der von Globalization Partners erbrachten EOR-Dienstleistungen beschränkt ist und auf einem rechtlichen Grund für die rechtmäßige Verarbeitung basiert. Die Parteien unterstützen sich gegenseitig bei der Erfüllung ihrer jeweiligen Verpflichtungen gemäß den Datenschutzgesetzen, einschließlich, aber nicht beschränkt auf die gegenseitige Unterstützung bei einer Datenschutzverletzung, die Beantwortung von Anfragen betroffener Personen und/oder Aufsichtsbehörden.
3. VERARBEITUNG PERSONENBEZOGENER DATEN
3.1. Umfang. Die Nutzung der Plattform durch den Kunden und die Kundenbeziehung können die Verarbeitung von Kundendaten durch Globalization Partners als Auftragsverarbeiter oder Dienstleister im Namen des Kunden beinhalten.
3.2. Anweisungen. Globalization Partners verarbeiten Kundendaten in Übereinstimmung mit den dokumentierten Anweisungen des Kunden. Der Kunde erklärt sich damit einverstanden, dass dieser Nachtrag, der Rahmenvertrag und Anhang I, die hierunter beigefügt sind, die vollständigen Anweisungen des Kunden an Globalization Partners bezüglich der Verarbeitung von Kundendaten umfassen. Zusätzliche oder alternative Anweisungen müssen zwischen den Parteien schriftlich vereinbart werden, einschließlich der Kosten (falls vorhanden), die mit der Einhaltung dieser Anweisungen verbunden sind. Globalization Partners sind nicht dafür verantwortlich, festzustellen, ob die Anweisungen des Kunden mit den geltenden Gesetzen übereinstimmen. Wenn Globalization Partners jedoch der Meinung ist, dass eine Kundenanweisung gegen geltende Datenschutzgesetze verstößt, müssen Globalization Partners den Kunden so schnell wie vernünftigerweise möglich benachrichtigen und nicht verpflichtet sein, diese verletzenden Anweisungen einzuhalten.
3.3. Details der Verarbeitung. Einzelheiten zum Gegenstand der Verarbeitung, deren Dauer, Art und Zweck sowie die Art der Kundendaten und betroffenen Personen sind in Anhang I zu diesem Vertrag angegeben.
3.4. Compliance. Der Kunde und die Globalization Partners verpflichten sich, ihre jeweiligen Verpflichtungen gemäß den für die Kundendaten geltenden Datenschutzgesetzen einzuhalten, die gemäß Anhang I verarbeitet werden. Der Kunde trägt die alleinige Verantwortung für die Einhaltung der Datenschutzgesetze hinsichtlich der Rechtmäßigkeit der Verarbeitung von Kundendaten, bevor Kundendaten an Globalization Partners weitergegeben, übertragen oder anderweitig verfügbar gemacht werden. Zur Klarstellung sei angemerkt, dass der Kunde in allen Fällen, falls erforderlich, die Zustimmungen der betroffenen Personen für Globalization Partners zur Verarbeitung von Kundendaten gemäß den Anweisungen des Kunden einholen muss.
3.5. Unterauftragsverarbeiter. Der Kunde ermächtigt Globalization Partners, Auftragsverarbeiter („Unterauftragsverarbeiter“) zu ernennen und einzusetzen, um die Kundendaten in Verbindung mit den Dienstleistungen zu verarbeiten. Unterauftragsverarbeiter können Dritte oder Mitglieder der Globalization Partners-Unternehmensgruppe sein. Globalization Partners können die von Globalization Partners zum Zeitpunkt dieses Nachtrags bereits beauftragten Unterauftragsverarbeiter weiterhin einsetzen, und eine Liste dieser Unterauftragsverarbeiter ist in Anhang III dieser Vereinbarung verfügbar. Wenn ein Unterauftragsverarbeiter seine oben genannten Datenschutzverpflichtungen nicht erfüllt, haften Globalization Partners dem Kunden gegenüber für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters. Globalization Partners müssen den Kunden über alle Änderungen an seiner Liste der Unterauftragsverarbeiter informieren. Wenn der Kunde innerhalb von 10 (zehn) Tagen nach Erhalt dieser Mitteilung rechtmäßig der Hinzufügung oder Entfernung eines Unterauftragsverarbeiters aus Datenschutzgründen widerspricht und Globalization Partners dem Widerspruch des Kunden nicht angemessen nachkommen können, werden die Parteien die Bedenken des Kunden in gutem Glauben mit dem Ziel der Lösung der Angelegenheit besprechen.
3.6. Technische und organisatorische Sicherheitsmaßnahmen. Unter Berücksichtigung der Industriestandards die Kosten der Umsetzung, die Natur, Umfang, Kontext und Zwecke der Verarbeitung, und alle anderen relevanten Umstände im Zusammenhang mit der Verarbeitung der Kundendaten innerhalb der Plattform, Globalization Partners müssen geeignete technische und organisatorische Sicherheitsmaßnahmen ergreifen, um die Sicherheit zu gewährleisten, Vertraulichkeit, Integrität, die Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten, die an der Verarbeitung der Kundendaten beteiligt sind, dem Risiko in Bezug auf diese Kundendaten entspricht. Globalization Partners werden in regelmäßigen Abständen (i) die Wirksamkeit ihrer Schutzmaßnahmen, Kontrollen, Systeme und Verfahren testen und überwachen und (ii) vernünftigerweise vorhersehbare interne und externe Risiken für die Sicherheit, Vertraulichkeit und Integrität der Kundendaten identifizieren und sicherstellen, dass diese Risiken angegangen werden.
3.7. Vertraulichkeit. Globalization Partners stellen sicher, dass Personen, die befugt sind, auf die Kundendaten zuzugreifen, (i) sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verpflichtung zur Vertraulichkeit unterliegen und (ii) nur auf dokumentierte Anweisungen von Globalization Partners zugreifen, es sei denn, dies ist nach geltendem Recht erforderlich.
3.8. Verletzung des Schutzes personenbezogener Daten. Globalization Partners werden den Kunden unverzüglich benachrichtigen, nachdem sie von einer Datenschutzverletzung in Bezug auf die Verarbeitung von Kundendaten erfahren haben, und werden angemessene Anstrengungen unternehmen, um den Kunden bei der Minderung der nachteiligen Auswirkungen einer Datenschutzverletzung zu unterstützen, wenn möglich.
3.9. Internationale Transfers . Globalization Partners ist berechtigt, im normalen Geschäftsverlauf weltweite Übertragungen von Kundendaten an seine verbundenen Unternehmen und/oder Unterauftragsverarbeiter vorzunehmen. Bei solchen Übertragungen stellen Globalization Partners sicher, dass ein angemessener Schutz besteht, um die im Rahmen oder in Verbindung mit dem Rahmenvertrag übermittelten Kundendaten wie folgt zu schützen:
- 3.9.1. Wenn Globalisierung Kundendaten in Länder außerhalb des EWR übermittelt (die keiner Angemessenheitsentscheidung gemäß den Datenschutzgesetzen unterliegen), müssen Globalization Partners ihre Verpflichtungen gemäß den EU-SCCs, die durch diese Bezugnahme in diesen Nachtrag aufgenommen und wie folgt ausgefüllt werden, erfüllen und erfüllen:
-
- Das Modul 2 (Verantwortlicher für Auftragsverarbeiter) gilt, wenn der Kunde ein Verantwortlicher für personenbezogene Daten ist und Globalization Partners ein Auftragsverarbeiter für personenbezogene Daten sind;
- in Klausel gilt 7die optionale Andockklausel;
- in Klausel 2 gilt die 9Option mit 10 Tagen;
- in Klausel findet 11die optionale Sprache keine Anwendung;
- in Klausel unterliegen alle Ansprüche12, die im Rahmen der EU-SCCs geltend gemacht werden, den in der Vereinbarung festgelegten Bedingungen;
- in Klausel gilt 17Option 1, EU-SCCs unterliegen irischem Recht;
- in Klausel 18(b) werden Streitigkeiten vor den Gerichten Irlands beigelegt;
- Anhang I der EU-SCCs gilt mit den in Anhang I zu diesem Nachtrag dargelegten Informationen als abgeschlossen;
- Anhang II der EU-SCCs gilt mit den in Anhang II zu diesem Nachtrag dargelegten Informationen als abgeschlossen; und
- Anhang III der EU-SCCs gilt mit den in Anhang III zu diesem Nachtrag dargelegten Informationen als abgeschlossen.
- 3.9.2. In Bezug auf Kundendaten, die durch die britische DSGVO geschützt sind, ist es den Parteien gesetzlich gestattet, sich auf die EU-SCCs für eingeschränkte Übertragungen aus dem Vereinigten Königreich zu verlassen, vorbehaltlich des britischen Nachtrags, der durch diese Bezugnahme in diesen Nachtrag aufgenommen und gemäß der Definition in Anhang IV dieser Vereinbarung ausgefüllt wird. Wenn dieser Abschnitt 3.9.2 nicht zutrifft, kooperieren Globalization Partners Exporting Company und der Kunde in gutem Glauben, um angemessene Sicherheitsvorkehrungen für die Übermittlung solcher personenbezogenen Daten zu treffen, wie es die britische DSGVO verlangt oder erlaubt, ohne unangemessene Verzögerung.
- 3.9.3. Nichts in den Auslegungen in diesem Abschnitt 3.9 soll im Widerspruch zu den Rechten oder Verantwortlichkeiten einer der Parteien gemäß den EU-SCCs und/oder dem UK-Nachtrag stehen, und im Falle eines solchen Konflikts haben die EU-SCCs und/oder der UK-Nachtrag, wie jeweils zutreffend, Vorrang.
3.10. Löschung personenbezogener Daten. Nach Beendigung der Dienstleistungen (aus beliebigem Grund) und auf schriftliche Aufforderung des Kunden werden Globalization Partners die auf der Plattform gespeicherten Kundendaten so bald wie vernünftigerweise möglich zurückgeben oder löschen, es sei denn, das geltende Recht verlangt die Speicherung der Kundendaten für einen längeren Zeitraum. Für eine solche Aufbewahrung gelten die Bestimmungen dieses Nachtrags weiterhin für diese Kundendaten.
3.11. Anfragen betroffener Personen. Globalization Partners müssen den Kunden unverzüglich über alle Anfragen von betroffenen Personen in Bezug auf Kundendaten informieren. Der Kunde ist für die Beantwortung solcher Anfragen verantwortlich. Globalization Partners unterstützen den Kunden in angemessener Weise bei der Beantwortung solcher Anfragen betroffener Personen, soweit der Kunde bei seiner Nutzung der Plattform nicht auf die relevanten Kundendaten zugreifen kann.
3.12. Anfragen Dritter. Wenn Globalization Partners Anfragen von Dritten oder eine Anordnung eines Gerichts, Gerichts, einer Aufsichtsbehörde oder einer Regierungsbehörde mit zuständiger Gerichtsbarkeit erhält, der Globalization Partners im Zusammenhang mit der Verarbeitung von Kundendaten im Rahmen der Vereinbarung unterliegt, werden Globalization Partners die Anfrage unverzüglich an den Kunden weiterleiten. Globalization Partners werden solche Anfragen nicht ohne die vorherige Genehmigung des Kunden beantworten, es sei denn, sie sind gesetzlich dazu gezwungen. Globalization Partners werden den Kunden, sofern dies nicht gesetzlich verboten ist, im Voraus über eine Offenlegung von Kundendaten informieren und angemessen mit dem Kunden zusammenarbeiten, um den Umfang einer solchen Offenlegung auf das gesetzlich Erforderliche zu beschränken.
3.13. Datenschutz-Folgenabschätzung und vorherige Konsultation. Soweit dies nach den Datenschutzgesetzen erforderlich ist, werden Globalization Partners den Kunden in angemessener Weise bei der Durchführung einer Datenschutz-Folgenabschätzung in Bezug auf die Verarbeitung von Kundendaten durch Globalization Partners und/oder bei allen erforderlichen vorherigen Konsultation(en) mit Aufsichtsbehörden unterstützen. Globalization Partners behält sich das Recht vor, dem Kunden eine angemessene Gebühr für die Bereitstellung solcher Unterstützung zu berechnen.
3.14. Compliance demonstrieren. Globalization Partners führt regelmäßig externe Prüfungen der Sicherheits-, Verfügbarkeits-, Verarbeitungsintegritäts-, Vertraulichkeits- und Datenschutzkontrollen der Organisation durch und stellt dem Kunden auf schriftliche Anfrage eine Kopie des aktuellsten zusammenfassenden Prüfungsberichts oder der Zertifizierung zur Verfügung. Wenn der Kunde es vorzieht, zusätzlich zu den bereitgestellten Zertifizierungen oder Berichten Dritter eine eigene Prüfung durchzuführen, ein solches Audit durchgeführt wird: i) nicht mehr als einmal pro 12 (zwölf) Monate; ii) während der normalen Geschäftszeiten und ohne Unterbrechung des Tagesgeschäfts von Globalization Partners; iii) mit dreißig (30) Tagen schriftlicher Vorankündigung; iv) auf alleinige Kosten des Kunden (einschließlich der Zeit, die der Globalisierungspartner für die Unterstützung des Kunden während der Prüfung auf der Grundlage des Tagessatzes eines Sicherheitsmanagers aufgewendet hat); v) auf der Grundlage einvernehmlich vereinbarter Parameter und des Umfangs, beschränkt auf den konkreten Leistungsumfang, Systeme, die verwendet werden und/oder Verarbeitungsaktivitäten in Betracht ziehen und spezifisch für die tatsächliche Anforderung sind; vi) nach einvernehmlich im Voraus vereinbartem Termin, vorbehaltlich einer angemessenen Verschiebung durch den Kunden auf angemessene Anfrage von Globalization Partners; und vii) in Übereinstimmung mit allen Vertraulichkeitsverpflichtungen und -beschränkungen. Unbeschadet des Vorstehenden wird nach Beendigung des Rahmenvertrages kein Prüfungsrecht eingeräumt, außer für gesetzliche Verpflichtungen, die vom Kunden nachzuweisen sind. Jeder externe Vertreter, der ausgewählt wurde, um eine Prüfung im Namen des Kunden durchzuführen, darf keine Eigentumsanteile an oder Zugehörigkeit zu einer EOR Services-Agentur, einer verbundenen Organisation oder einem Berater haben.
3.15. Keine Informationen verkaufen. Globalization Partners dürfen keine Rechte oder Vorteile in Bezug auf personenbezogene Daten ableiten oder ausüben, es sei denn, dies ist in diesem Nachtrag vorgesehen. Zur Klarstellung sei angemerkt, dass Globalization Partners Kundendaten nicht für andere Zwecke als für den spezifischen Zweck der Bereitstellung der Plattform an den Kunden gemäß der Rahmenvereinbarung aufbewahren, verwenden, weitergeben oder offenlegen werden. Globalization Partners dürfen keine personenbezogenen Daten verkaufen, wie der Begriff „Verkauf“ im CCPA definiert ist. Globalization Partners sichert zu und garantiert, dass es die Regeln, Anforderungen und Definitionen des CCPA versteht und verpflichtet sich, keine Maßnahmen zu ergreifen, die dazu führen würden, dass Übermittlungen personenbezogener Daten an oder von Globalization Partners als „Verkauf personenbezogener Daten“ gemäß dem CCPA gelten.
Anhang I - Beschreibung der Datenverarbeitung
| Parteien | Verantwortlicher / Datenexporteur: Kundeneinheit, die den Master Agrement Processor / Datenimporteur ausführt: Globalization Partners-Einheit, die den Master Agreement ausführt. |
| Kontaktdaten der Parteien | Kontaktdaten des Kunden, wie im Rahmenvertrag dargelegt. Kontaktdaten von Globalization Partners, wie im Rahmenvertrag dargelegt. |
| Aktivitäten, die für die übertragenen Daten relevant sind | Aktivitäten im Zusammenhang mit der Plattform, die als Dienstleistung bereitgestellt wird. |
| Verarbeitungstätigkeiten | Globalization Partners verarbeiten Kundendaten bei der Bereitstellung der Plattform als Dienstleistung für den Kunden. |
| Dauer der Verarbeitung | Globalization Partners verarbeiten Kundendaten für die Dauer der Rahmenvereinbarung und kontinuierlich. |
| Art und Zweck der Verarbeitung | Der Kunde kann Kundendaten an Globalization Partners übermitteln, deren Umfang vom Kunden nach eigenem Ermessen festgelegt und kontrolliert wird. Globalization Partners verarbeiten Kundendaten, soweit dies für die Zwecke der Bereitstellung der Plattform als Dienstleistung für den Kunden gemäß dem Rahmenvertrag erforderlich ist. |
| Kategorien betroffener Personen | Die Kundendaten betreffen autorisierte Nutzer der Plattform, zu denen auch Mitarbeiter und/oder Auftragnehmer des Kunden gehören können, zusätzlich zu Personen, deren personenbezogene Daten von autorisierten Nutzern der Plattform bereitgestellt werden. |
| Arten personenbezogener Daten | Die übermittelten Kundendaten können die folgenden Datenkategorien umfassen:
|
| Besondere Datenkategorien (falls zutreffend) | n. z. |
| Mitarbeiterbindung | Kundendaten werden mindestens so lange aufbewahrt, wie eine geltende gesetzlich vorgeschriebene Mindestaufbewahrungsfrist, die mit den geltenden Verjährungsfristen übereinstimmt und die guten Geschäftspraktiken erfüllt. |
| Zuständige Aufsichtsbehörde | Die irische Datenschutzkommission |
| Übertragungen an Unterauftragsverarbeiter | Bei Übermittlungen an Auftragsverarbeiter sind Gegenstand, Art und Dauer der Verarbeitung gleich wie oben definiert. |
| Datenschutz-Kontaktdaten von Globalization Partners | privacy@globalization-partners.com Attn: Global Privacy Office. |
Anhang II – Technische und organisatorische Maßnahmen
Globalization Partners wurde von unabhängigen Prüfern zertifiziert und bescheinigt, die Einhaltung der SOC-2Standards zu bestätigen. Berichte über Service Organization Controls (SOC) zeigen unser Engagement für die Sicherung von Kundendaten. Das Sicherheitsprogramm von Globalization Partners wurde entwickelt, um:
- die Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten im Besitz von Globalization Partners zu schützen oder auf die Globalization Partners Zugriff hat;
- Schutz vor erwarteten Bedrohungen oder Gefahren für die Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten;
- Schutz vor unbefugtem oder unrechtmäßigem Zugriff, Verwendung, Offenlegung, Änderung oder Vernichtung von Kundendaten;
- Schutz vor versehentlichem Verlust, versehentlicher Zerstörung oder Beschädigung von Kundendaten; und
- Schützen Sie Informationen, wie in allen Vorschriften dargelegt, durch die Globalization Partners reguliert werden können.
Im Folgenden werden die Funktionen, Prozesse, Kontrollen, Systeme, Verfahren und Maßnahmen beschrieben, die Globalization Partners ergriffen haben, um die Sicherheit der Verarbeitung von Kundendaten zu gewährleisten:
1) TECHNISCHE MAßNAHMEN ZUR GEWÄHRLEISTUNG DES DATENSCHUTZES
a) Datenschutz durch Design und Standard:
Globalization Partners berücksichtigen die Anforderungen des Artikels 25 DSGVO in der Konzeption und Entwicklungsphase der Produktentwicklung. Prozesse und Funktionalitäten sind so eingerichtet, dass die Datenschutzgrundsätze wie Legalität, Transparenz, Zweckbindung, Datenminimierung etc. sowie die Sicherheit der Verarbeitung frühzeitig berücksichtigt werden.
b) Verschlüsselung personenbezogener Daten:
Sicherstellung, dass personenbezogene Daten nur so im System gespeichert werden, dass Dritte die betroffene Person nicht identifizieren können.
- Datenbank- und Speicherverschlüsselung:
Bei allen von Globalization Partners genutzten Datenbanken wird eine Verschlüsselung „at rest“ nach dem Stand der Technik verwendet, so dass die Daten aus der Datenbank erst nach ordnungsgemäßer Authentifizierung auf dem jeweiligen Datenbanksystem gelesen werden können. - Verschlüsselung mobiler Datenträger:
Die Verwendung mobiler Datenträger zur Speicherung von Kundendaten ist nicht zulässig. - Verschlüsselung von Datenträgern auf Laptops:
Angemessene, hochmoderne Festplattenverschlüsselung ist auf den Laptops aller Mitarbeiter installiert. - Verschlüsselter Austausch von Informationen und Dateien:
Grundsätzlich wird der Austausch von Informationen und Dateien direkt über eine spezielle Anwendung verschlüsselt. Müssen personenbezogene Daten oder vertrauliche Informationen auf Server übertragen werden, die nicht über TLS-verschlüsselte HTTPS-Uploads gesendet werden können, werden diese mittels Secure File Transfer Protocol (SFTP), verschlüsseltem Umschlagdienst oder einem anderen verschlüsselten Mechanismus nach dem Stand der Technik übertragen. - E-Mail-Verschlüsselung:
Grundsätzlich werden alle von Mitarbeitern von Globalization Partners versendeten E-Mails mit TLS verschlüsselt. Ausnahmen können sein, wenn der empfangende Mailserver TLS nicht unterstützt. Der Kunde stellt sicher, dass die im Rahmen der Bestellung eingesetzten entsprechenden Mailserver die TLS-Verschlüsselung unterstützen
c) Zutrittskontrolle
Zulassungskontrollen sind vorgesehen und eingerichtet, um die Nutzung und Verarbeitung von Daten zu verhindern, die durch Datenschutzgesetze durch Unbefugte geschützt sind.
- Verwendung von Authentifizierungsmethoden
Der Zugriff auf personenbezogene Daten erfolgt immer über verschlüsselte Protokolle: SSH, SSL/TLS, HTTPS oder vergleichbare Protokolle. Authentifizierungsverfahren für das IT-System: Anmeldung bei der Multifaktor-Authentifizierung im IT-System. - Automatische Sperrung im Falle von Inaktivität
Laptops, die von Mitarbeitern von Globalization Partners verwendet werden, die mit Passwort- oder PIN-Schutz gesperrt sind, wenn sie nicht vom Benutzer verwendet werden. Zusätzlich wird nach 15 Minuten Inaktivität eine automatische Bildschirmsperre mit Passwortschutz eingerichtet. - Die Verwendung von Antivirensoftware
Laptops, die von Mitarbeitern von Globalization Partners verwendet werden, sind mit modernster Antivirensoftware ausgestattet, die auf allen betrieblichen oder geschäftlichen IT-Systemen auf dem neuesten Stand gehalten wird. Grundsätzlich dürfen keine Computer ohne residenten Virenschutz betrieben werden, es sei denn, es wurden andere gleichwertige, hochmoderne Sicherheitsmaßnahmen ergriffen oder es besteht kein Risiko. Standard-Sicherheitseinstellungen dürfen nicht deaktiviert oder umgangen werden. - „Clean Desk Policy“
Mitarbeiter von Globalization Partners werden angewiesen, personenbezogene Daten von betroffenen Personen nicht auszudrucken oder lokal zu speichern, Arbeitsmaterialien nicht an einem Ort zu hinterlassen, an dem sie von Dritten eingesehen werden können, und alle Arbeitsmaterialien ordnungsgemäß zu lagern. Dokumente, die Globalization Partners gesetzlich in Papierform aufbewahren muss, werden in verschlossenen Schränken aufbewahrt.
d) Zugangskontrollen innerhalb der Plattform
Zugangskontrollen stellen sicher, dass Personen, die zur Nutzung eines Verarbeitungssystems berechtigt sind, nur Zugriff auf die personenbezogenen Daten haben, die von ihrer Zugangsberechtigung abgedeckt sind.
- Rollen und Autorisierung
- Rollen- und Autorisierungsplattform – Kundenzugriff Kundenbenutzer können Kundenkontoinformationen anzeigen und bearbeiten.
- Rollen- und Autorisierungsplattform – Professional Access Professional-Benutzer können ihre eigenen beruflichen Informationen anzeigen und bearbeiten.
Fachleute können auch die Rolle des Kundenzugangs nach Anforderung + Genehmigung erlangen - Rollen- und Autorisierungsplattform – Interner Zugriff
Benutzer mit internem Zugriff haben verschiedene Rollen. Sie haben unterschiedlichen Zugriff, um Folgendes zu erstellen, anzuzeigen, zu bearbeiten und zu genehmigen:- Kundeninformationen
- Informationen zur Abrechnung
- Informationen zum Partner
- Professionelles Personal zeichnet Informationen auf
Der Zugriff auf das Admin-System ist grundsätzlich auf geschulte Mitarbeiter in den Bereichen Kundenbetreuung und Produktentwicklung beschränkt.
e) Firewall als Service
Globalization Partners verwendet eine externe Firewall als Dienst, der es ihm ermöglicht, den Zugriff auf Websites zu gewähren oder zu blockieren, um sicherzustellen, dass Systeme nicht auf bösartige Inhalte zugreifen können und um den Zugriff auf unangemessene Inhalte einzuschränken.
f) Aufzeichnung der Anmeldung auf der Plattform
Globalization Partners führt Aufzeichnungen über alle Anmeldeaktivitäten.
g) Trennbarkeit
Sicherstellung, dass personenbezogene Daten, die zu verschiedenen Zwecken erhoben werden, getrennt verarbeitet werden können und von anderen Daten und Systemen so getrennt werden, dass eine ungeplante Nutzung dieser Daten für andere Zwecke ausgeschlossen ist.
- Trennung von Entwicklungs-, Test- und Betriebsumgebungen
Daten aus der Betriebsumgebung dürfen nur in Test- oder Entwicklungsumgebungen übertragen werden, wenn sie vor der Übertragung vollständig anonymisiert wurden. Die Übertragung der anonymisierten Daten muss verschlüsselt oder über ein vertrauenswürdiges Netzwerk erfolgen. - Trennung in Netzwerken
Globalization Partners trennen ihre Netzwerke nach Aufgaben. Die folgenden Netzwerke werden dauerhaft genutzt: Betriebsumgebung („Produktion“), Testumgebung („Staging“, „Sandbox“), IT-Mitarbeiter der Entwicklungsumgebung („Dev“) im Büro. Zusätzlich zu diesen Netzwerken werden bei Bedarf weitere separate Netzwerke erstellt, z.B. für Wiederherstellungstests und Penetrationstests. Abhängig von den technischen Möglichkeiten werden die Netzwerke entweder physisch oder mittels virtueller Netzwerke getrennt.
h) Verfügbarkeitskontrolle
Globalization Partners unternimmt die folgenden Schritte, um sicherzustellen, dass personenbezogene Daten vor versehentlicher Vernichtung oder Verlust geschützt sind.
- Datenschutzverfahren/-sicherungen
Um eine angemessene Verfügbarkeit zu gewährleisten, implementiert Globalization Partners tägliche Snapshots seiner Datenbank mit Replikation in eine andere Region. Es werden auch Maßnahmen ergriffen, um sicherzustellen, dass Mitarbeitern mit aufgabenbasierter Notwendigkeit, Daten zu überprüfen, nur Zugriff auf Replikat-Datensätze gewährt wird. - Georedundanz hinsichtlich Serverinfrastruktur produktiver Daten und Backups
- IT Incident Management („Incident Response Management“)
Es gibt ein Konzept und dokumentierte Verfahren für den Umgang mit Vorfällen und sicherheitsrelevanten Ereignissen. Dies umfasst die Planung und Vorbereitung der Reaktion auf Vorfälle, Verfahren zur Überwachung, Aufdeckung und Analyse sicherheitsrelevanter Ereignisse sowie die Definition entsprechender Verantwortlichkeiten und Meldewege bei einem Verstoß gegen den Schutz personenbezogener Daten im Rahmen der gesetzlichen Anforderungen.
2) ORGANISATORISCHE MAßNAHMEN ZUR GEWÄHRLEISTUNG DES DATENSCHUTZES UND -SCHUTZES
Globalization Partners hat die folgenden organisatorischen Maßnahmen ergriffen, um sicherzustellen, dass die Organisation auf eine Weise arbeitet, die die Datenschutz- und Schutzanforderungen erfüllt.
a) Organisationsanweisungen
Globalization Partners hat ein Data-Governance-Programm entwickelt, das Richtlinien, Verfahren und Leitfäden enthält, die Mitarbeiter befolgen müssen. Die Dokumentation umfasst die Identifizierung und Verwaltung von Datenschutzproblemen, bewährte Verfahren zur Gewährleistung der Einhaltung der Datenschutzbestimmungen und Richtlinien zur Behebung von Datenschutzvorfällen.
b) Verpflichtung zur Vertraulichkeit und zum Datenschutz
Globalization Partners hat ein Data-Governance-Programm entwickelt, das Richtlinien, Verfahren und Leitfäden enthält, die Mitarbeiter befolgen müssen. Alle Mitarbeiter und Auftragnehmer sind schriftlich zur Vertraulichkeit und zum Datenschutz sowie zu anderen relevanten Gesetzen verpflichtet. Alle Mitarbeiter erhalten Datenschutz- und Sicherheitsschulungen. Interne Audits zum Datenschutz und zur Informationssicherheit werden regelmäßig durchgeführt. Audits werden auf der Grundlage gängiger Prüfkriterien/-chemikalien durchgeführt. Die Mitarbeiter und Auftragnehmer von Globalization Partners werden angewiesen, personenbezogene Daten nur aus rechtmäßigen Gründen gemäß den geltenden Verträgen mit dem Kunden und der Fachkraft unter Berücksichtigung einer ausdrücklichen Zustimmung der betroffenen Person und im Einklang mit einer rechtmäßigen Verpflichtung der Organisation zu verarbeiten.
c) Datenschutzschulung
Alle Mitarbeiter erhalten Datenschutz- und Sicherheitsschulungen, die jederzeit auf der Schulungsplattform von Globalization Partners zur Überprüfung verfügbar bleiben.
d) Physische Zugangskontrollen
Globalization Partners verfügt über die folgenden physischen Kontrollen, um unbefugten Personen den Zugriff auf IT-Systemausrüstung zu verweigern, die für die Verarbeitung verwendet wird.
- Elektronischer Türschutz
Die Eingangstüren zu den Räumlichkeiten der Büros von Globalization Partners sind immer verschlossen und elektronisch gesichert. Die Türen werden über einen persönlichen elektronischen Transponder geöffnet. - Kontrollierte Verteilung von Schlüsseln
Eine zentrale, dokumentierte Zuordnung von Schlüsseln zu den Mitarbeitern von Globalization Partners erfolgt. Diese elektronischen Transponder/Schlüssel könnten zentral von jedem Büroleiter oder der Abteilung People Resources deaktiviert werden. - Beaufsichtigung und Begleitung externer Personen
Externe Dienstleister und sonstige Dritte dürfen nur durch vorherige Genehmigung oder in Begleitung eines Mitarbeiters von Globalization Partners Zutritt zu den Räumlichkeiten erhalten. Globalization Partners wenden ihre schriftliche Besucherrichtlinie an, wenn Besucher in die Räumlichkeiten eingeladen werden. - Die Sicherung von Räumlichkeiten mit erhöhtem Schutzbedarf
Räumlichkeiten oder Schränke mit erhöhtem Schutzbedarf, wie z.B. Anwaltskanzleien und bestimmte Betriebsstandorte, sind mit Schließschränken und Schubladen ausgestattet. Schränke und Schubladen, in denen rechtliche Dokumente, Verträge und vertrauliche Dokumente aufbewahrt werden, müssen jederzeit verschlossen werden, außer wenn sie verwendet werden. - Geschlossene Türen und Fenster
Mitarbeiter sind organisatorisch angewiesen, Fenster und Türen außerhalb der Bürozeiten geschlossen oder verschlossen zu halten.
e) Wiederherstellbarkeit
Globalization Partners stellen sicher, dass die verwendeten Systeme im Falle eines physischen oder technischen Ausfalls wiederhergestellt werden können.
- Regelmäßige Tests der Datenwiederherstellung („Wiederherstellungstests“)
Regelmäßige vollständige Wiederherstellungstests werden durchgeführt, um die Wiederherstellbarkeit im Notfall/Katastrophenfall sicherzustellen. - Notfallplan („Disaster Recovery Concept“)
Es gibt ein Konzept zur Behandlung von Notfällen/Katastrophen und einen entsprechenden Notfallplan. Globalization Partners stellen die Wiederherstellung aller Systeme auf der Grundlage der Datensicherungen/Backups sicher, in der Regel innerhalb von 48 Stunden. - Überprüfungs- und Bewertungsmaßnahmen
Darstellung der Verfahren zur regelmäßigen Überprüfung, Bewertung und Bewertung der Wirksamkeit der technischen und organisatorischen Maßnahmen.
f) Datenschutz-Team
Die Organisation verfügt über ein Global Data Privacy Office, das mit der Planung, Umsetzung, Bewertung und Anpassung von Maßnahmen im Bereich Datenschutz beauftragt ist.
g) Risikomanagement
Es gibt einen Prozess zur Analyse, Bewertung und Zuweisung von Risiken und zur Ableitung von Maßnahmen auf der Grundlage dieser Risiken.
3) UNABHÄNGIGE ÜBERPRÜFUNG DER INFORMATIONSSICHERHEIT
a) Durchführung von Audits
Interne Audits zum Datenschutz und zur Informationssicherheit werden regelmäßig durchgeführt. Audits werden auf der Grundlage gängiger Prüfkriterien/-chemikalien durchgeführt.
b) Überprüfung der Einhaltung von Sicherheitsrichtlinien und -standards
Die Einhaltung der geltenden Sicherheitsrichtlinien, -standards und anderer Sicherheitsanforderungen für die Verarbeitung personenbezogener Daten wird regelmäßig überprüft. Wenn möglich, werden diese Prüfungen zufällig und unerwartet durchgeführt.
c) Überprüfung der Einhaltung der technischen Spezifikationen
Regelmäßige automatisierte und manuelle Schwachstellenscans werden von der IT-Abteilung oder anderen qualifizierten Mitarbeitern durchgeführt, um die Sicherheit der Anwendungen und Infrastruktur sowie die regelmäßige Entwicklung des Produkts zu überprüfen. Detaillierte Penetrationstests werden von einem externen Dienstleister durchgeführt, um die Anwendungen und die Infrastruktur speziell auf Schwachstellen zu untersuchen.
d) Bearbeitung auf Anweisung
Die Mitarbeiter von Globalization Partners werden angewiesen, personenbezogene Daten nur aus rechtmäßigen Gründen gemäß den geltenden Verträgen mit dem Kunden und der Fachkraft zu verarbeiten, unter Berücksichtigung einer ausdrücklichen Einwilligung, die von der betroffenen Person erteilt oder verweigert wird, und im Einklang mit jeder rechtmäßigen Verpflichtung der Organisation.
e) Sorgfältige Lieferantenauswahl
Globalization Partners hält sich bei der Auswahl von Anbietern und Lieferanten, die auf geschützte Daten treffen können, an den Vorqualifizierungsprozess für Lieferanten. Dieser Prozess umfasst Feedback von den Abteilungen Finanzen und Recht/Datenschutz und umfasst Schritte zur Risikobewertung, Sicherheitsvorqualifizierung und Dokumentationszertifizierung. Lieferanten, die geschützte Daten verarbeiten, müssen nachweisen, dass sie die geltenden Datenschutzgesetze einhalten, einschließlich der Artikel-28DSGVO für abgedeckte Daten.
Anhang III - Liste der Unterauftragsverarbeiter
| Unterauftragsverarbeiter | Kontaktinformationen | Beschreibung der Verarbeitung | Standort |
|---|---|---|---|
| Tochtergesellschaften von Globalization Partners | https://www.globalization- partners.com/contact-us/ | Bereitstellung der Plattform und des Kundenbeziehungsmanagements | USA |
| Akumatika | 3933 Lake Washington Blvd NE #350, Kirkland, WA98033, USA | Finanzdienstleistungen | USA |
| Amazon Web Service | P.O. Box 81226 Seattle, WA98108-1226, USA https://aws.amazon.com/contact-us/ |
Hosting – Anbieter von Cloud-Services | USA |
| Microsoft | One Microsoft Way Redmond, Washington 98052 USA Telefon: (+1) 425-882-8080. |
Kommunikation zur Unterstützung von Geschäftsprozessen (E-Mail); Servicemanagement | USA |
| Atlassisch | 350 Bush Street Floor 13 San Francisco, CA94104, USA +1 415 701 1110 |
Business Process Support für das Service Management | USA |
| Conga | https://conga.com/contact-us 62 Margaret St, 3. Etage London W1W8TF Vereinigtes Königreich |
Vertragsmanagement | Großbritannien |
| DocuSign | DocuSign International (EMEA) Ltd, Achtung: Privacy Team, 5 Hanover Quay, Ground Floor, Dublin2, Republik Irland | Dokumentenverwaltung | Irland |
| Gong | 265 Cambridge Ave, Suite 60717 Palo Alto, CA94306, USA | Telekommunikationsdienste | USA |
| iCertis | 2 Kingdom Street Paddington London W2 6BD Vereinigtes Königreich | Vertragsmanagement | Großbritannien |
| Salesforce.com | Salesforce Tower, 415 Mission Street, 3rd Floor, San Francisco, CA94105, USA 1-800-387-3285 |
Business Process Support für Customer Relationship Management (CRM) | USA |
| Zendesk | 989 Markt St. San Francisco, CA94103, USA zendesk.com 888-670-4887 |
Helpdesk-Anfragen für Kundensupport | USA |
Anhang IV - UK-Ergänzung zu EU-Standardvertragsklauseln
TEIL 1: TABELLEN
Tabelle 1: Parteien
| Aufnahme der Tätigkeit (Beginn) | Datum des Inkrafttretens dieses Nachtrags | |
|---|---|---|
| Die Parteien | Exporteur (der die eingeschränkte Übertragung sendet) | Importeur (der die eingeschränkte Übertragung erhält) |
| Details der Parteien | Angaben zur Kundeneinheit, wie im Rahmenvertrag dargelegt. | Details der Einheit von Globalization Partners, wie im Rahmenvertrag dargelegt. |
| Wichtige Kontakte | Kontaktdaten des Kunden, wie im Rahmenvertrag dargelegt. | Kontaktdaten von Globalization Partners, wie im Rahmenvertrag dargelegt, und Kontaktdaten von Globalization Partners zum Datenschutz, wie in Anhang I oben definiert. |
Tabelle 2: Ausgewählte SCCs, Module und ausgewählte Klauseln
| Ergänzung EU SCCs | Die Version der genehmigten EU-SCCs, die in Abschnitt 3.9 des Nachtrags aufgenommen wurden, einschließlich der diesem Nachtrag beigefügten Anhangsinformationen. |
Tabelle 3: Anhang Informationen
„Anhangsinformationen“ bezeichnet die Informationen, die für die ausgewählten Module bereitgestellt werden müssen, wie im Anhang der genehmigten EU-SCCs (außer den Parteien) dargelegt, und die für diesen Nachtrag dargelegt sind in:
- Anlage 1A: Liste der Parteien: Anlage I
- Anlage 1B : Beschreibung der Übertragung: Anlage I
- Anhang II: Technische und organisatorische Maßnahmen einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Daten: Anhang II
- Anhang III: Liste der Unterauftragsverarbeiter: Anhang III
Tabelle 4: Beenden dieses Nachtrags, wenn sich der genehmigte Nachtrag ändert
| Beenden dieses Nachtrags, wenn sich der genehmigte Nachtrag ändert | Welche Parteien können diesen Nachtrag gemäß Abschnitt 19: ☐ Importeur ☒ Exporteur ☐ keine Partei beenden? |
TEIL 2: ZWINGENDE KLAUSELN
| Obligatorische Klauseln | Teil 2: Obligatorische Klauseln des genehmigten Nachtrags, die das vom ICO herausgegebene und dem Parlament gemäß s119A dem Datenschutzgesetz 2018 vom , wie es im Abschnitt 18 dieser Obligatorischen Klauseln überarbeitet wird2 Februar 2022, vorgelegte Addendum B1.0 darstellen. |