3. BEZIEHUNG ZWISCHEN STEUERUNG UND PROZESSOR
4. INTERNATIONALE DATENÜBERTRAGUNGEN
Anhang I
|
DETAILS DER UNABHÄNGIGEN CONTROLLER – CONTROLLER-BEZIEHUNGEN
(Dieser Abschnitt betrifft die Details der personenbezogenen Daten, die zwischen den Parteien in ihrer Funktion als Verantwortliche geteilt werden.)
|
|
|
Parteien
|
Datenexporteur: Kundenunternehmen, das den Rahmenvertrag ausführt
Datenimporteur: Globalization Partners LLC.
|
|
Kontaktdaten der Parteien
|
Die Kontaktdaten sind im Rahmenvertrag festgelegt.
|
|
Aktivitäten im Zusammenhang mit den übertragenen Daten
|
Tätigkeiten im Zusammenhang mit den Employer of Record Services.
|
|
Rollen
|
Datenexporteur: Controller.
Datenimporteur: Controller.
|
|
Verarbeitungstätigkeiten
|
Die verarbeiteten bzw. übertragenen personenbezogenen Daten können folgenden Verarbeitungsaktivitäten unterliegen: jeder Operation im Zusammenhang mit personenbezogenen Daten unabhängig von den angewandten Mitteln und Verfahren, insbesondere der Erhebung, Organisation, Speicherung, Lagerung, Nutzung, Abruf, Konsultation, Archivierung, Übertragung, Blockierung, Löschung oder Vernichtung von Daten, Betrieb und Wartung von Systemen, Compliance, Rechts- und Prüfungsfunktionen.
|
|
Dauer der Bearbeitung
|
Die Laufzeit des Rahmenvertrags und auf fortlaufender Basis.
|
|
Art und Zweck der Verarbeitung
|
Der Kunde kann Kundendaten an G-P übermitteln; der Umfang dieser Übermittlung wird vom Kunden nach eigenem Ermessen festgelegt und kontrolliert. Zweck der Datenverarbeitung ist die Erbringung von Dienstleistungen für den eingetragenen Arbeitgeber gemäß dem Rahmenvertrag.
|
|
Kategorien von Datenpersonen
|
Fachleute.
|
|
Arten von personenbezogenen Daten
|
Kontaktdaten (die Name, Adresse, E-Mail-Adresse, Telefon, Fax, Notfallkontaktdaten und zugehörige lokale Zeitzoneninformationen umfassen können).
Beschäftigungsdetails (einschließlich Ausbildung, Lebenslauf, Berufsbezeichnung, Gehaltsstufe, demografische Daten, Standortdaten, Nationalität und Exportkonformitätsstatus, Vergütung, Bonus).
E-Mail-Inhalte der betroffenen Personen.
Details zu Dienstleistungen, die für oder zum Nutzen von betroffenen Personen erbracht werden.
|
|
Besondere Datenkategorien (falls zutreffend)
|
N / A
|
|
Mitarbeiterbindung
|
Personenbezogene Daten werden mindestens so lange aufbewahrt, wie es die gesetzlich vorgeschriebene Mindestaufbewahrungsfrist vorschreibt, die mit den geltenden Verjährungsfristen vereinbar ist und den Grundsätzen guter Geschäftspraxis entspricht.
|
|
Zuständige Aufsichtsbehörde
|
Die zuständige Aufsichtsbehörde wird gemäß den anwendbaren Datenschutzgesetzen bestimmt und umfasst: die irische Datenschutzkommission (für die EU-Datenschutz-Grundverordnung); den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) der Schweiz (für die Schweizer Datenschutz-Grundverordnung); das Information Commissioner's Office des Vereinigten Königreichs (für die britische Datenschutz-Grundverordnung); und die Autoridade Nacional de Proteção de Dados (ANPD) (für das brasilianische Datenschutzgesetz).
|
|
Übertragungen an Unterprozessoren
|
Bei Übermittlungen an Auftragsverarbeiter gelten die gleichen Bestimmungen hinsichtlich Gegenstand, Art und Dauer der Verarbeitung wie oben definiert.
|
|
Datenschutzhinweise G-P
|
Zu Händen des globalen Datenschutzbüros.
|
|
DETAILS ZUR BEZIEHUNG ZWISCHEN STEUERUNG UND PROZESSOR
(Dieser Abschnitt bezieht sich auf die Einzelheiten der personenbezogenen Daten, die von G-P im Auftrag des Kunden verarbeitet werden.)
|
|
|
Parteien
|
Datenexporteur: Kundenunternehmen, das den Rahmenvertrag ausführt
Datenimporteur: Globalization Partners LLC.
|
|
Kontaktdaten der Parteien
|
Die Kontaktdaten sind im Rahmenvertrag festgelegt.
|
|
Aktivitäten im Zusammenhang mit den übertragenen Daten
|
Tätigkeiten im Zusammenhang mit den Employer of Record Services und der Nutzung von GPP, die dem Kunden als Dienstleistung bereitgestellt werden.
|
|
Rollen
|
Datenexporteur: Controller
Datenimporteur: Prozessor
|
|
Verarbeitungstätigkeiten
|
Die verarbeiteten/übermittelten personenbezogenen Daten können folgenden Verarbeitungstätigkeiten unterliegen: jegliche Vorgänge im Zusammenhang mit personenbezogenen Daten unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Erheben, Organisieren, Speichern, Aufbewahren, Verwenden, Abrufen, Abfragen, Archivieren, Übermitteln, Sperren, Löschen oder Vernichten von Daten, der Betrieb und die Wartung von Systemen, die Einhaltung gesetzlicher Bestimmungen sowie die Durchführung von Rechts- und Prüfungsfunktionen.
|
|
Dauer der Bearbeitung
|
Die Laufzeit des Rahmenvertrags und auf fortlaufender Basis.
|
|
Art und Zweck der Verarbeitung
|
Der Kunde kann Kundendaten an G-P übermitteln; der Umfang dieser Übermittlung wird vom Kunden nach eigenem Ermessen festgelegt und kontrolliert. Zweck der Verarbeitung ist die Bereitstellung von GPP als Dienstleistung für den Kunden gemäß dem Rahmenvertrag.
|
|
Kategorien von Datenpersonen
|
Autorisierte Nutzer des GPP, zu denen auch Mitarbeiter und/oder Auftragnehmer des Kunden gehören können.
|
|
Arten von personenbezogenen Daten
|
Kontaktdaten (wie Telefonnummer und E-Mail-Adresse).
Mitarbeiter-/Auftragnehmerdaten (z. B. Berufsbezeichnung und Name des Unternehmens).
Nutzungsdaten (z. B. Daten über das Gerät des autorisierten Benutzers und wie dieses Gerät mit dem GPP interagiert).
Standortdaten (z. B. der aus der IP-Adresse abgeleitete Standort).
Inhaltsdaten (wie zum Beispiel der Inhalt der Kundendateien bezüglich der Fachkräfte und der damit verbundenen Kommunikation).
Anmeldeinformationen (wie Passwörter, Passwort-Hinweise und ähnliche Sicherheitsinformationen, die zur Authentifizierung und zum Kontozugriff auf das GPP verwendet werden).
Alle von autorisierten Benutzern bereitgestellten personenbezogenen Daten.
|
|
Besondere Datenkategorien (falls zutreffend)
|
N / A
|
|
Mitarbeiterbindung
|
Personenbezogene Daten werden mindestens so lange aufbewahrt, wie es die gesetzlich vorgeschriebene Mindestaufbewahrungsfrist vorschreibt, die mit den geltenden Verjährungsfristen vereinbar ist und den Grundsätzen guter Geschäftspraxis entspricht.
|
|
Zuständige Aufsichtsbehörde
|
Die zuständige Aufsichtsbehörde wird gemäß den anwendbaren Datenschutzgesetzen bestimmt und umfasst: die irische Datenschutzkommission (für die EU-Datenschutz-Grundverordnung); den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) der Schweiz (für die Schweizer Datenschutz-Grundverordnung); das Information Commissioner's Office des Vereinigten Königreichs (für die britische Datenschutz-Grundverordnung); und die Autoridade Nacional de Proteção de Dados (ANPD) (für das brasilianische Datenschutzgesetz).
|
|
Übertragungen an Unterprozessoren
|
Bei Übermittlungen an Auftragsverarbeiter gelten die gleichen Bestimmungen hinsichtlich Gegenstand, Art und Dauer der Verarbeitung wie oben definiert.
|
|
Datenschutzhinweise G-P
|
Zu Händen des globalen Datenschutzbüros.
|
Anhang II
Technische und organisatorische Maßnahmen
G-P wurde von unabhängigen Prüfern zertifiziert und beglaubigt, um die Einhaltung der SOC- 2 - und ISO 27001 -Standards zu bestätigen. Solche Zertifizierungen zeigen unser Engagement für die Sicherung von Kundendaten. Das Sicherheitsprogramm von G-P ist darauf ausgelegt,
Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten, die sich im Besitz von G-P befinden oder auf die G-P Zugriff hat;
Schutz vor vorhersehbaren Bedrohungen oder Gefahren für die Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten;
Schutz vor unbefugtem oder rechtswidrigem Zugriff, Nutzung, Offenlegung, Änderung oder Zerstörung von Kundendaten;
Schutz vor versehentlichem Verlust, Zerstörung oder Beschädigung von Kundendaten; und
Schutz von Informationen gemäß den in den für die Regulierung G-P geltenden Vorschriften festgelegten Bestimmungen.
Im Folgenden werden die Funktionen, Prozesse, Kontrollen, Systeme, Verfahren und Maßnahmen beschrieben, die G-P ergriffen hat, um die Sicherheit der Verarbeitung von Kundendaten zu gewährleisten:
1) TECHNISCHE MASSNAHMEN ZUR GEWÄHRLEISTUNG DES DATENSCHUTZES UND -SCHUTZES
Privatsphäre durch Design und Standard:
G-P berücksichtigt die Anforderungen des Artikels 25 der Datenschutz-Grundverordnung bereits in der Konzeptions- und Entwicklungsphase der Produktentwicklung. Prozesse und Funktionalitäten sind so gestaltet, dass die Datenschutzgrundsätze wie Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung usw. sowie die Sicherheit der Verarbeitung frühzeitig berücksichtigt werden.
b) Verschlüsselung personenbezogener Daten:
Sicherstellen, dass personenbezogene Daten nur so im System gespeichert werden, dass Dritte die betroffene Person nicht identifizieren können.
Datenbank- und Speicherverschlüsselung:
Auf allen von G-P verwendeten Datenbanken wird gemäß dem Stand der Technik eine Verschlüsselung "im Ruhestand" verwendet, sodass die Daten aus der Datenbank erst nach ordnungsgemäßer Authentifizierung im jeweiligen Datenbanksystem gelesen werden können.
Verschlüsselung mobiler Datenmedien:
Die Nutzung von Mobilfunknetzen zur Speicherung von Kundendaten ist nicht gestattet.
Verschlüsselung von Datenträgern auf Laptops:
Auf allen Laptops der Mitarbeiter ist eine angemessene, dem neuesten Stand der Technik entsprechende Festplattenverschlüsselung installiert.
Verschlüsselter Austausch von Informationen und Dateien:
Prinzipiell wird der Austausch von Informationen und Dateien direkt über eine spezielle Bewerbung verschlüsselt. Wenn personenbezogene Daten oder vertrauliche Informationen an Server übertragen werden müssen, die nicht über TLS-verschlüsselte HTTPS-Uploads gesendet werden können, werden diese unter Verwendung des Secure File Transfer Protocol (SFTP), eines verschlüsselten Envelope-Dienstes oder eines anderen dem Stand der Technik entsprechenden Verschlüsselungsmechanismus übertragen.
E-Mail-Verschlüsselung:
Grundsätzlich sind alle von Mitarbeitern von G-P gesendeten E-Mails mit TLS verschlüsselt. Ausnahmen können sein, wenn der empfangende Mailserver TLS nicht unterstützt. Der Kunde stellt sicher, dass die entsprechenden Mailserver, die im Rahmen der Bestellung verwendet werden, TLS-Verschlüsselung unterstützen
c) Zulassungskontrolle
Die Zugangskontrollen dienen dazu, die Nutzung und Verarbeitung von Daten, die dem Datenschutz unterliegen, durch unbefugte Personen zu verhindern.
Verwendung von Authentifizierungsmethoden
Der Zugriff auf personenbezogene Daten erfolgt stets über verschlüsselte Protokolle: SSH, SSL/TLS, HTTPS oder vergleichbare Protokolle. Authentifizierungsverfahren für das IT-System: Anmeldung am IT-System mittels Multifaktor-Authentifizierung.
Automatische Sperrung bei Inaktivität
Laptops, die von G-P-Mitarbeitern genutzt werden, sind mit Passwort- oder PIN-Schutz gesperrt, wenn sie nicht vom Nutzer genutzt werden. Zusätzlich wird nach 15 Minuten Inaktivität eine automatische Bildschirmsperre mit Passwortschutz eingerichtet.
Einsatz von Antivirensoftware
Die von den Mitarbeitern von G-P verwendeten Laptops sind mit modernster Antivirensoftware ausgestattet, die auf allen betrieblichen IT-Systemen stets auf dem neuesten Stand gehalten wird. Grundsätzlich dürfen Computer nicht ohne eingebauten Virenschutz betrieben werden, es sei denn, es wurden andere gleichwertige, dem Stand der Technik entsprechende Sicherheitsmaßnahmen getroffen oder es besteht kein Risiko. Die Standard-Sicherheitseinstellungen dürfen nicht deaktiviert oder umgangen werden.
"Saubere Schreibtisch-Richtlinie"
Mitarbeiter von G-P sind angewiesen, keine persönlichen Daten von betroffenen Personen auszudrucken oder lokal zu speichern, Arbeitsmaterialien nicht an einem Ort zu hinterlassen, an dem sie von Dritten eingesehen werden können, und alle Arbeitsmaterialien ordnungsgemäß zu lagern. Dokumente, die G-P gesetzlich in gedruckter Form aufbewahren muss, werden in verschlossenen Schränken aufbewahrt.
d) Zugriffskontrollen innerhalb der Plattform
Zugriffskontrollen gewährleisten, dass Personen, die zur Nutzung eines Verarbeitungssystems berechtigt sind, nur auf die personenbezogenen Daten zugreifen können, die unter ihre Zugriffsberechtigung fallen.
Rollen und Berechtigungen
Rollen- und Autorisierungsplattform – Kundenzugriff Kundenbenutzer können Kundenkontoinformationen einsehen und bearbeiten.
Rollen- und Berechtigungsplattform – Professioneller Zugriff Professionelle Benutzer können ihre eigenen beruflichen Informationen einsehen und bearbeiten.
Fachkräfte können nach Bedarf und Genehmigung auch die Kundenzugriffsrolle erhalten.
Rollen und Autorisierungsplattform – Interner Zugriff
Nutzer des internen Zugangs haben unterschiedliche Rollen. Sie haben unterschiedliche Zugänge, um Folgendes zu erstellen, anzuzeigen, zu bearbeiten und zu genehmigen:
Kundeninformationen
Abrechnungsdaten
Partnerinformationen
Informationen zu Personalakten
Der Zugriff auf das Administrationssystem ist grundsätzlich auf geschulte Mitarbeiter in den Bereichen Kundensupport und Produktentwicklung beschränkt.
e) Firewall als Dienst
G-P nutzt eine externe Firewall als Dienst, die es ermöglicht, Zugang zu Webseiten zu gewähren oder zu blockieren, um sicherzustellen, dass Systeme keinen Zugriff auf bösartige Inhalte haben und um den Zugriff auf unangemessene Inhalte zu beschränken.
f) Protokoll der Anmeldung auf der Plattform
G-P führt eine Aufzeichnung aller Login-Aktivitäten.
g) Trennbarkeit
Sicherzustellen, dass personenbezogene Daten, die zu unterschiedlichen Zwecken erhoben werden, separat verarbeitet und von anderen Daten und Systemen getrennt werden, sodass eine ungeplante Nutzung dieser Daten für andere Zwecke ausgeschlossen wird.
Trennung von Entwicklungs-, Test- und Betriebsumgebungen
Daten aus der Betriebsumgebung dürfen nur dann in Test- oder Entwicklungsumgebungen übertragen werden, wenn sie vor der Übertragung vollständig anonymisiert wurden. Die Übertragung der anonymisierten Daten muss verschlüsselt oder über ein vertrauenswürdiges Netzwerk erfolgen.
Software, die in die Betriebsumgebung übertragen werden soll, muss zunächst in einer identischen Testumgebung („Staging“) getestet werden. Programme zur Fehleranalyse oder zur Erstellung/Kompilierung von Software dürfen nur dann in der Betriebsumgebung eingesetzt werden, wenn dies unvermeidbar ist. Dies ist insbesondere dann der Fall, wenn Fehlersituationen von Daten abhängen, die aufgrund der Anonymisierungsanforderungen bei der Übertragung in Testumgebungen verfälscht würden.
Trennung in Netzwerken
G-P unterteilt seine Netzwerke nach Aufgaben. Folgende Netzwerke werden permanent genutzt: Betriebsumgebung („Produktion“), Testumgebung („Staging“, „Sandbox“), Entwicklungsumgebung („Dev“), Büro-IT-Personal. Zusätzlich zu diesen Netzwerken werden bei Bedarf weitere separate Netzwerke erstellt, z. B. für Wiederherstellungstests und Penetrationstests. Je nach den technischen Möglichkeiten werden die Netzwerke entweder physisch oder mittels virtueller Netzwerke getrennt.
h) Verfügbarkeitskontrolle
G-P ergreift folgende Maßnahmen, um sicherzustellen, dass personenbezogene Daten vor versehentlicher Zerstörung oder Verlust geschützt sind.
Datenschutzverfahren/Datensicherungen
Um eine ausreichende Verfügbarkeit zu gewährleisten, implementiert G-P tägliche Snapshots seiner Datenbank mit Replikation in eine andere Region. Es werden auch Maßnahmen ergriffen, um sicherzustellen, dass Mitarbeiter mit arbeitsbezogenem Bedürfnis, Daten zu überprüfen, nur Zugriff auf Repliken-Datensätze erhalten.
Georedundanz in Bezug auf die Serverinfrastruktur für Produktivdaten und Backups
IT-Incident-Management („Incident Response Management“)
Es gibt ein Konzept und dokumentierte Verfahren für den Umgang mit Zwischenfällen und sicherheitsrelevanten Ereignissen. Dies umfasst die Planung und Vorbereitung der Reaktion auf Vorfälle, Verfahren zur Überwachung, Erkennung und Analyse sicherheitsrelevanter Ereignisse sowie die Festlegung entsprechender Verantwortlichkeiten und Meldewege im Falle einer Verletzung des Schutzes personenbezogener Daten im Rahmen der gesetzlichen Bestimmungen.
2) ORGANISATORISCHE MASSNAHMEN ZUR GEWÄHRLEISTUNG DES DATENSCHUTZES UND DER DATENSICHERHEIT
G-P hat die folgenden organisatorischen Maßnahmen ergriffen, um sicherzustellen, dass die Organisation in einer Weise arbeitet, die den Anforderungen an Datenschutz und Datensicherheit entspricht.
a) Organisatorische Anweisungen
G-P hat ein Daten-Governance-Programm entwickelt und entwickelt es in Arbeit, das Richtlinien, Verfahren und Richtlinien für Mitarbeiter umfasst. Die Dokumentation umfasst Anleitungen zur Identifizierung und zum Umgang mit Datenschutzproblemen, bewährte Verfahren zur Sicherstellung der Einhaltung der Datenschutzbestimmungen sowie Richtlinien für den Umgang mit Datenschutzvorfällen.
b) Verpflichtung zur Vertraulichkeit und zum Datenschutz
G-P hat ein Daten-Governance-Programm entwickelt und entwickelt es in Arbeit, das Richtlinien, Verfahren und Richtlinien für Mitarbeiter umfasst. Alle Mitarbeiter und Auftragnehmer sind schriftlich an Vertraulichkeit und Datenschutz sowie an andere relevante Gesetze gebunden. Alle Mitarbeiter erhalten Schulungen zu Datenschutz und Sicherheit. Interne Audits zu Datenschutz und Informationssicherheit werden regelmäßig durchgeführt. Prüfungen werden auf Grundlage gemeinsamer Testkriterien/-systeme durchgeführt. Die Mitarbeiter und Auftragnehmer von G-P sind angewiesen, personenbezogene Daten ausschließlich aus rechtmäßigen Gründen gemäß geltenden Verträgen mit dem Kunde und dem Fachmann zu verarbeiten, unter gebührender Berücksichtigung jeglicher ausdrücklicher Zustimmung des betroffenen Betroffenen und im Einklang mit jeglicher rechtmäßigen Pflichten der Organisation.
c) Datenschutzschulungen
Alle Mitarbeiter erhalten Datenschutz- und Sicherheitsschulungen, die jederzeit auf der G-P-Schulungsplattform zur Einsicht verfügbar sind.
d) Physische Zugangskontrollen
G-P verfügt über folgende physische Kontrollen, um unbefugten Personen den Zugang zu IT-Systemgeräten zu verwehren, die für die Verarbeitung verwendet werden.
Elektronischer Türschutz
Die Eingangstüren zu den Räumlichkeiten der G-P-Büros sind stets verschlossen und elektronisch gesichert. Die Türen werden über einen persönlichen elektronischen Transponder geöffnet.
Kontrollierte Schlüsselverteilung
Es findet eine zentrale, dokumentierte Zuteilung der Schlüssel an die Mitarbeiter von G-P statt. Diese elektronischen Transponder/Schlüssel konnten zentral von jedem Büroleiter oder der Personalabteilung deaktiviert werden.
Überwachung und Begleitung externer Personen
Externe Dienstleister und andere Dritte erhalten nur nach vorheriger Genehmigung oder in Begleitung eines Mitarbeiters von G-P Zutritt zu den Räumlichkeiten. G-P wendet seine schriftliche Besucherrichtlinie an, wenn Besucher in die Räumlichkeiten eingeladen werden.
Sicherung von Räumlichkeiten mit erhöhtem Schutzbedarf
Räumlichkeiten oder Schränke mit erhöhten Sicherheitsanforderungen, wie z. B. Anwaltskanzleien und bestimmte Betriebsstätten, sind mit abschließbaren Schränken und Schubladen ausgestattet. Schränke und Schubladen, in denen Rechtsdokumente, Verträge und vertrauliche Unterlagen aufbewahrt werden, müssen stets verschlossen sein, außer wenn sie benutzt werden.
Geschlossene Türen und Fenster
Die Mitarbeiter sind organisatorisch angewiesen, Fenster und Türen außerhalb der Bürozeiten geschlossen oder verschlossen zu halten.
e) Wiederherstellbarkeit
G-P stellt sicher, dass die in Betrieb befindlichen Systeme im Falle eines physischen oder technischen Ausfalls wiederhergestellt werden können.
Regelmäßige Tests der Datenwiederherstellung („Wiederherstellungstests“)
Regelmäßige vollständige Wiederherstellungstests werden durchgeführt, um die Wiederherstellbarkeit im Notfall oder einer Katastrophe sicherzustellen.
Notfallplan („Katastrophenbewältigungskonzept“)
Es gibt ein Konzept für die Behandlung von Notfällen/Katastrophen und einen entsprechenden Notfallplan. G-P stellt die Wiederherstellung aller Systeme auf Basis der Daten-Backups / Backups sicher, in der Regel innerhalb von 48 Stunden.
Überprüfungs- und Bewertungsmaßnahmen
Vorstellung der Verfahren zur regelmäßigen Überprüfung, Beurteilung und Bewertung der Wirksamkeit der technischen und organisatorischen Maßnahmen.
f) Datenschutzteam
Die Organisation verfügt über ein globales Datenschutzbüro, das mit der Planung, Umsetzung, Bewertung und Anpassung von Maßnahmen im Bereich des Datenschutzes beauftragt ist.
g) Risikomanagement
Es gibt einen Prozess zur Analyse, Bewertung und Zuweisung von Risiken sowie zur Ableitung von Maßnahmen auf der Grundlage dieser Risiken.
3) Unabhängige Überprüfung der Informationssicherheit
Durchführung von Prüfungen
Interne Audits zum Datenschutz und zur Informationssicherheit werden regelmäßig durchgeführt. Die Audits werden auf der Grundlage gemeinsamer Testkriterien/Testschemata durchgeführt.
b) Überprüfung der Einhaltung der Sicherheitsrichtlinien und -standards
Die Einhaltung der geltenden Sicherheitsrichtlinien, -standards und sonstigen Sicherheitsanforderungen für die Verarbeitung personenbezogener Daten wird regelmäßig überprüft. Soweit möglich, werden diese Kontrollen stichprobenartig und unangekündigt durchgeführt.
c) Überprüfung der Einhaltung der technischen Spezifikationen
Regelmäßige automatisierte und manuelle Schwachstellenscans werden von der IT-Abteilung oder anderem qualifizierten Personal durchgeführt, um die Sicherheit der Anwendungen und der Infrastruktur sowie die regelmäßige Weiterentwicklung des Produkts zu überprüfen. Detaillierte Penetrationstests werden von einem externen Dienstleister durchgeführt, um die Anwendungen und die Infrastruktur gezielt auf Schwachstellen zu untersuchen.
d) Verarbeitung gemäß Anweisung
Die Mitarbeiter von G-P sind angewiesen, personenbezogene Daten ausschließlich aus rechtmäßigen Gründen gemäß den geltenden Verträgen mit dem Kunde und dem Fachmann zu verarbeiten, unter gebührender Berücksichtigung jeglicher ausdrücklicher Zustimmung, die vom betreffenden Betroffenen gegeben oder zurückgehalten wurde, und im Einklang mit jeglicher rechtmäßigen Pflicht der Organisation.
e) Sorgfältige Lieferantenauswahl
G-P hält sich bei der Auswahl von Anbietern und Lieferanten, die möglicherweise mit geschützten Daten in Berührung kommen, an seinen Lieferanten-Vorqualifizierungsprozess. Dieser Prozess beinhaltet Rückmeldungen der Finanz- und Rechts-/Datenschutzabteilung und umfasst Risikobewertung, Sicherheitsvorqualifizierung und Dokumentationszertifizierung. Lieferanten, die geschützte Daten verarbeiten, müssen ihre Einhaltung der geltenden Datenschutzgesetze, einschließlich Artikel 28 der Datenschutz-Grundverordnung für erfasste Daten, nachweisen.
Anhang III
|
Subprozessor
|
Standort- und Kontaktinformationen
|
Beschreibung der Verarbeitung
|
|
3933 Lake Washington Blvd NE #350, Kirkland, WA 98033, USA
|
Finanzdienstleistungen
|
|
|
PO Box 81226
Seattle, WA 98108-1226, USA
|
Hosting – Cloud-Dienstleister
|
|
|
Microsoft Corporation – Ein Microsoft-Weg
Redmond, Washington 98052 USA Telefon: (+1) 425-882-8080.
|
Unterstützung von Geschäftsprozessen für die Kommunikation (E-Mail) und das Servicemanagement
|
|
|
350 Bush Street Etage 13
San Francisco, CA 94104, USA
+1 415 701 1110
|
Geschäftsprozessunterstützung für das Dienstleistungsmanagement
|
|
|
DocuSign International (EMEA) Ltd, z. Hd.: Datenschutzteam, 5 Hanover Quay, Erdgeschoss, Dublin 2, Republik Irland
|
Dokumentenmanagement
|
|
|
Salesforce Tower, 415 Mission Street, 3rd Floor, San Francisco, CA 94105, USA
1-800-387-3285
|
Geschäftsprozessunterstützung für das Kundenbeziehungsmanagement (CRM)
|
|
|
989 Marktstraße
San Francisco, CA 94103, USA zendesk.com
888-670-4887
|
Helpdesk-Anfragen für den Kundensupport
|
|
|
2225 Lawson Lane Santa Clara, CA, 95054
USA
|
Unterstützung von Geschäftsprozessen für IT-Service- und Betriebsmanagement, die Mitarbeiter- und Kundenerfahrungen durch ( automatisierter cloudbasierter Workflow)
|
|
|
160 Spear Street, 15th Floor San Francisco, CA 94105 1-866-330-0121
USA
|
Cloud-Data-Warehouse-Infrastruktur.
|
|
|
620 8th Ave 45 th Boden
New York, NY 10018
USA
|
Serviceüberwachungs- und Debugging-Tool
|
|
|
Avenue Louise 54, Zimmer s52,
1050 Brüssel
Belgien
|
Online-Zahlungsabwickler
|
|
|
1600 Amphitheatre Pkwy, Mountain View, CA 94043
|
Unterstützung von Geschäftsprozessen für die Kommunikation (E-Mail) und die interne Dokumentenablage
|