הכירו את G-P Gia™‎ — סוכנת משאבי האנוש הגלובלית המהימנה שלכם. Gia זמינה כעת בגרסת בטא. הירשמו לגישה ללא תשלום
הכירו את G-P Gia™‎ — סוכנת משאבי האנוש הגלובלית המהימנה שלכם. Gia זמינה כעת בגרסת בטא. הירשמו לגישה ללא תשלום
לוגו G-P
בקשו הצעה

שפת הפרטיות של MSA

עדכון אחרון:

נספח להגנה על נתונים

נספח זה להגנה על נתונים ("נספח") משלים את התנאים וההתניות בהסכם הראשי והוא משולב בו. במקרה של סתירה בין תוספת זו לבין כל הסכם אחר בין הצדדים בנושאים המפורטים כאן, תוספת זו תגבר.

1. הגדרות

1.1. למונחים שאינם מוגדרים בזאת יש את המשמעויות המפורטות בהסכם השירותים הראשיים. למילים הבאות בנספח זה יש את המשמעויות הבאות:

1.2. "משתמש מורשה" פירושו אדם המורשה על ידי הלקוח, אשר עשוי לכלול עובד ו/או קבלן של הלקוח, לגשת לפלטפורמה ולהשתמש בה בשם הלקוח, בכפוף לביצוע ההסכם הראשי.

1.3. "CCPA" פירושו חוק פרטיות הצרכן של קליפורניה.

1.4. "נתוני לקוח" פירושם כל מידע אישי או מידע אישי הקשור לכל משתמש מורשה או אדם טבעי הניתן לזיהוי שמועבר, מעובד או מאוחסן על ידי Globalization Partners מטעם הלקוח לשימוש בפלטפורמה על ידי הלקוח.

1.5. "חוקי הגנת המידע" פירושם כל חוקי הגנת המידע והפרטיות שאליהם כפוף צד להסכם זה ואשר חלים על השירותים המסופקים, כולל כאשר הדבר רלוונטי, בין היתר, GDPR, GDPR בבריטניה, חוקי הפרטיות של ארה"ב (כולל חוקי מדינה וחוקים פדרליים) וחוק הגנת המידע האישי של סינגפור.

1.6. "GDPR" פירושו התקנה הכללית להגנה על נתונים (EU) 2016/679 ו/או ה-GDPR הבריטי.

1.7. "EEA" פירושו האזור הכלכלי האירופי.

1.8. "SCCs של האיחוד האירופי" פירושם סעיפים חוזיים סטנדרטיים להעברת נתונים אישיים למדינות שלישיות בהתאם לתקנה (EU) 2016/679 של הפרלמנט האירופי והמועצה שאושרה על ידי הנציבות האירופית המיישם החלטה (EU) 2021/914 של 4 יוני 2021.

1.9. "שירותי EOR" פירושם מעסיק של שירותי רשומות שיסופקו על ידי Globalization Partners ללקוח בהתאם להסכם הראשי.

1.10. "הסכם ראשי" פירושו ההסכם שבוצע בין הלקוח לבין Globalization Partners לאספקת שירותי EOR.

1.11. "פלטפורמה" פירושה תוכנה קניינית של Globalization Partners , לרבות, בין היתר, התוכנה, הגרסה לנייד, כל תוכנה הכלולה בה, וכל מידע הזמין באמצעות שימוש בתוכנה קניינית של Globalization Partners או בשירותי צד שלישי, כולל העדכונים, השדרוגים, הפלטפורמה שלהם כשירות, התיעוד, שתיאורו מוגדר בכתובת https://www.globalization-partners.com/goglobal/.

1.12. "נספח בריטניה" פירושו נספח העברת הנתונים הבינלאומי של בריטניה לסעיפים החוזיים הסטנדרטיים של האיחוד האירופי שהונפקו על ידי נציב המידע הבריטי וצורפו בזאת כנספח IV.

1.13. "מבקר" "מושא הנתונים", "נתונים אישיים", "מידע אישי" "פריצת נתונים", "מעבד", "עיבוד/עיבוד", "העברה מוגבלת", "ספק השירותים" ו/או כל תנאי ומושג דומים אחרים יהיו בעלי המשמעויות כפי שהוגדרו בחוקי הגנת המידע

2. יחסים בין הצדדים והתפקידים

2.1. תפקידי הצדדים ופרטי העיבוד. Globalization Partners יעבדו נתונים אישיים כמבקר עצמאי כאשר Globalization Partners מספקים שירותי EOR. בשום מקרה הצדדים לא יעבדו נתונים אישיים על פי נספח זה כמבקרים משותפים. כאשר Globalization Partners פועלים כמבקרים עצמאיים, Globalization Partners יצייתו למחויבויות החשבים שלהם על פי חוקי הגנת המידע בעת עיבוד נתונים אישיים ויעבדו את הנתונים האישיים כמתואר במדיניות הפרטיות של Globalization Partners הזמינה בכתובת https://www.globalization-partners.com/privacy-policy/. הלקוח יציית להתחייבויותיו על פי חוקי הגנת המידע בעת עיבוד נתונים אישיים כמבקר. במידה Globalization Partners פועלים כמעבדים בזמן עיבוד נתוני הלקוח, עיבוד כזה יתבצע בהתאם לסעיף 3 ("עיבוד נתונים אישיים") להלן.

2.2. אחריות והכרה. כל צד רשאי לעבד נתונים אישיים במסגרת נספח זה ביחס לנתונים אישיים כמבקרי נתונים עצמאיים. הצדדים מסכימים לציית להתחייבויותיהם המתאימות ולעבד כל מידע אישי באופן הוגן וחוקי בהתאם לנספח זה ולכל חוקי הגנת המידע החלים על פעולות עיבוד המידע האישי של אותו צד. כל צד יוודא כי עיבוד המידע האישי שלו מוגבל למטרת שירותי EOR המסופקים על ידי Globalization Partners ומבוסס על עילה משפטית לעיבוד חוקי. הצדדים יסייעו זה לזה בציות להתחייבויותיהם המתאימות על פי חוקי הגנת המידע, כולל, בין היתר, סיוע זה לזה במקרה של הפרת נתונים, מענה לבקשותיהם של מושאי הנתונים ו/או הרגולטורים.

3. עיבוד נתונים אישיים

3.1. היקף. השימוש בפלטפורמה על ידי הלקוח וקשר ניהול הלקוח עשוי להיות כרוך בעיבוד נתוני הלקוח על ידי Globalization Partners כמעבד או כספק שירות מטעם הלקוח.

3.2. הוראות. Globalization Partners יעבדו את נתוני הלקוח בהתאם להוראות המתועדות של הלקוח. הלקוח מסכים שנספח זה, ההסכם הראשי והנספח שצירפתי להלן, מהווים את ההוראות המלאות של הלקוח Globalization Partners בנוגע לעיבוד נתוני הלקוח. יש להסכים בכתב על כל הוראה נוספת או חלופית בין הצדדים, כולל העלויות (אם קיימות) הקשורות לציות להוראות אלה. Globalization Partners אינם אחראים לקבוע אם הוראות הלקוח תואמות לחוק החל. עם זאת, אם Globalization Partners סבורים כי הוראת הלקוח מפרה את החוקים החלים להגנה על נתונים, Globalization Partners יודיעו ללקוח בהקדם האפשרי, באופן סביר ולא יידרשו לציית להוראה המפרה זו.

3.3. פרטי העיבוד. פרטי נושא העיבוד, משך העיבוד, אופיו ומטרתו וסוג נתוני הלקוח ונושאי הנתונים הם כמפורט בנספח 1 המצורף בזאת.

3.4. תאימות. הלקוח Globalization Partners מסכימים לציית להתחייבויות שלהם בהתאם לחוקי הגנת המידע החלים על נתוני הלקוח המעובדים כמפורט בנספח I. הלקוח נושא באחריות הבלעדית לציות לחוקי הגנת המידע בנוגע לחוקיות העיבוד של נתוני הלקוח לפני חשיפתם, העברתם או הפיכתם לזמינים בכל דרך אחרת, של כל נתוני הלקוח Globalization Partners. למען הסר ספק, בכל המקרים, הלקוח ישיג, במידת הצורך, כל הסכמה מבעלי הנתונים עבור Globalization Partners לעיבוד נתוני הלקוח בהתאם להוראות הלקוח.

3.5. מעבדי משנה. הלקוח מאשר Globalization Partners למנות מעבדים ("מעבדי משנה") ולהשתמש בהם לעיבוד נתוני הלקוח בקשר לשירותים. מעבדי משנה עשויים לכלול צדדים שלישיים או כל חבר בקבוצת החברות של Globalization Partners. Globalization Partners רשאים להמשיך להשתמש במעבדי משנה אלה שכבר הועסקו על ידי Globalization Partners נכון לתאריך נספח זה, ורשימה של מעבדי משנה אלה זמינה בנספח III המצורף להלן. כאשר מעבד משנה אינו ממלא את התחייבויותיו להגנה על נתונים כמפורט לעיל, Globalization Partners יהיו אחראים כלפי הלקוח על ביצוע התחייבויותיו של מעבד המשנה. Globalization Partners יודיעו ללקוח על כל שינוי ברשימת מעבדי המשנה שלו. אם, בתוך 10 (עשרה) ימים מקבלת הודעה זו, הלקוח מתנגד באופן לגיטימי לתוספת או להסרה של מעבד משנה מטעמי הגנה על נתונים Globalization Partners אינם יכולים להתאים באופן סביר להתנגדות הלקוח, הצדדים ידונו בחששות הלקוח בתום לב במטרה לפתור את העניין.

3.6. אמצעי אבטחה טכניים וארגוניים. תוך התחשבות בסטנדרטים בתעשייה, עלויות היישום, הטבע, היקף, ההקשר והמטרות של העיבוד, וכל נסיבות רלוונטיות אחרות הקשורות לעיבוד נתוני הלקוח בתוך הפלטפורמה, Globalization Partners יטמיעו אמצעי אבטחה טכניים וארגוניים מתאימים כדי להבטיח אבטחה, סודיות, יושרה, זמינות ועמידות של מערכות עיבוד ושירותים המעורבים בעיבוד נתוני הלקוח תואמים את הסיכון ביחס לנתוני לקוח אלה. Globalization Partners יבדקו ויפקחו מעת לעת על יעילות אמצעי ההגנה, הבקרות, המערכות והנהלים שלה, וכן (ii) יזהו סיכונים פנימיים וחיצוניים שניתן לחזותם באופן סביר לאבטחה, לחיסיון ולשלמות של נתוני הלקוח, ויוודאו שסיכונים אלה יטופלו.

3.7. חיסיון. Globalization Partners יבטיחו כי אנשים המורשים לגשת לנתוני הלקוח (i) התחייבו לסודיות או שהם כפופים למחויבות חוקית הולמת של חיסיון, וכן (ii) לגשת לנתוני הלקוח רק על פי הוראות מתועדות Globalization Partners, אלא אם כן הדבר נדרש על פי החוק החל.

3.8. הפרת נתונים אישיים. Globalization Partners יודיעו ללקוח ללא עיכוב מיותר לאחר שנודע להם על הפרת נתונים ביחס לעיבוד נתוני הלקוח ויעשו מאמצים סבירים כדי לסייע ללקוח להפחית, במידת האפשר, את ההשפעות השליליות של הפרת נתונים כלשהי.

3.9. העברות בינלאומיות. Globalization Partners מורשים, במהלך העסקים הרגיל, לבצע העברות כלל-עולמיות של נתוני הלקוח לחברות המסונפות ו/או למעבדי המשנה שלה. בעת ביצוע העברות מסוג זה, Globalization Partners יוודאו שקיימת הגנה מתאימה על נתוני הלקוח המועברים במסגרת ההסכם הראשי או בקשר אליו, כדלקמן:

  • 3.9.1. כאשר הגלובליזציה מעבירה את נתוני הלקוח למדינות מחוץ ל-EEA (שאינן כפופות להחלטת התאמה על פי חוקי הפרטיות), Globalization Partners יבצעו ויצייתו להתחייבויותיה על פי SCCs של האיחוד האירופי, המשולבות בנספח זה על ידי אזכור זה ומשלימות כדלהלן:
    • מודול 2 (בקר למעבד) יחול כאשר הלקוח הוא מבקר של נתונים אישיים Globalization Partners הם מעבד של נתונים אישיים;
    • בסעיף 7, יחול סעיף העגינה האופציונלי;
    • בסעיף 9, האפשרות 2 תחול עם 10 ימים;
    • בסעיף 11, השפה האופציונלית לא תחול;
    • בסעיף 12, כל תביעה שתובא במסגרת SCCs של האיחוד האירופי תהיה כפופה לתנאים ולהתניות המפורטים בהסכם;
    • בסעיף 17, אפשרות 1 תחול, SCCs של האיחוד האירופי יהיו כפופים לחוק האירי;
    • בסעיף 18(ב), סכסוכים ייפתרו בפני בתי המשפט של אירלנד;
    • נספח I של SCCs האיחוד האירופי ייחשב כאילו הושלם עם המידע המפורט בנספח I לתוספת זו;
    • נספח II של SCCs האיחוד האירופי ייחשב כאילו הושלם עם המידע המפורט בנספח II לתוספת זו; וכן
    • נספח III של SCCs של האיחוד האירופי ייחשב כאילו הושלם עם המידע המפורט בנספח III לתוספת זו.
  • 3.9.2. ביחס לנתוני הלקוח המוגנים על ידי התמ"ג הבריטי, הצדדים רשאים כדין להסתמך על SCCs של האיחוד האירופי עבור העברות מוגבלות מבריטניה בכפוף לתוספת הבריטית המשולבת בנספח זה על ידי אזכור זה והושלמה כמוגדר בנספח IV המצורף בזאת. אם סעיף זה 3.9.2 אינו חל, אזי Globalization Partners Exporting Company והלקוח ישתפו פעולה בתום לב כדי ליישם אמצעי הגנה מתאימים להעברות של נתונים אישיים כאלה כנדרש או המותר על ידי ה-GDPR הבריטי ללא עיכוב מיותר.
  • 3.9.3. דבר מהפרשנויות בסעיף זה 3.9 לא נועד להתנגש עם הזכויות או תחומי האחריות של אחד הצדדים על פי ה-SCCs של האיחוד האירופי ו/או התוספת הבריטית, ובמקרה של סתירה כזו, ה-SCCs של האיחוד האירופי ו/או התוספת הבריטית, לפי העניין, יגברו.

3.10. מחיקת נתונים אישיים. עם סיום השירותים (מכל סיבה שהיא) ואם יתבקש על ידי הלקוח בכתב, Globalization Partners, בהקדם האפשרי הסביר, יחזירו או ימחקו את נתוני הלקוח המאוחסנים בפלטפורמה, אלא אם כן החוק החל דורש אחסון של נתוני הלקוח לתקופה ארוכה יותר. לצורך שמירה כאמור, הוראות נספח זה ימשיכו לחול על נתוני הלקוח האמורים.

3.11. בקשות של מושא הנתונים. Globalization Partners יודיעו ללקוח באופן מיידי על כל בקשה של מושאי הנתונים בנוגע לנתוני הלקוח. הלקוח אחראי להגיב לבקשות כאלה. Globalization Partners יסייעו באופן סביר ללקוח להגיב לבקשות אלה של מושא הנתונים במידה שהלקוח אינו מסוגל לגשת לנתוני הלקוח הרלוונטיים בשימושו בפלטפורמה.

3.12. בקשות של צד שלישי. אם Globalization Partners מקבלים בקשות כלשהן מצדדים שלישיים או צו של בית משפט, בית דין, רגולטור או סוכנות ממשלתית כלשהם בעלי סמכות שיפוטית מוסמכת שאליה כפופים Globalization Partners הקשורים לעיבוד נתוני הלקוח במסגרת ההסכם, Globalization Partners יפנו את הבקשה ללקוח באופן מיידי. Globalization Partners לא יגיבו לבקשות כאלה ללא אישור מראש של הלקוח, אלא אם כן הם מחויבים לעשות כן על פי חוק. Globalization Partners יודיעו ללקוח מראש על כל חשיפה של נתוני הלקוח, אלא אם כן הדבר אסור על פי חוק, וישתפו פעולה באופן סביר עם הלקוח כדי להגביל את היקף החשיפה לנדרש על פי חוק.

3.13. הערכת ההשפעה של הגנת הנתונים וייעוץ קודם. במידה הנדרשת על פי חוקי הגנת המידע, Globalization Partners יספקו ללקוח סיוע סביר לביצוע הערכת השפעת הגנת המידע ביחס לעיבוד נתוני הלקוח המתבצע על ידי Globalization Partners ו/או כל התייעצות(ות) קודמת נדרשת עם רשויות הפיקוח. Globalization Partners שומרים לעצמם את הזכות לחייב את הלקוח בתשלום סביר עבור מתן סיוע כזה.

3.14. הפגנת ציות. Globalization Partners עורכים באופן קבוע ביקורות חיצוניות על האבטחה, הזמינות, שלמות העיבוד, הסודיות ובקרת הפרטיות של הארגון, ויספקו ללקוח עותק של דוח ביקורת הסיכום או ההסמכה העדכניים ביותר על פי בקשה בכתב. אם הלקוח מעדיף לבצע ביקורת משלו בנוסף להסמכות או לדוחות צד שלישי שסופקו, ביקורת כזו תתבצע: 1) לא יותר מפעם אחת לכל תקופה 12 (שנים עשר) של כל חודש; 2) במהלך שעות העבודה הרגילות ומבלי להפריע לעסק היומיומי של Globalization Partners; 3) עם שלושים (30) ימים מראש ובכתב; 4) על חשבונו הבלעדי של הלקוח (כולל הזמן שהקדיש שותף הגלובליזציה לסיוע ללקוח במהלך הביקורת בהתבסס על השיעור היומי של מנהל אבטחה); v) בהתבסס על פרמטרים והיקף מוסכמים הדדית, מוגבל להיקף השירותים הספציפי, מערכות בשימוש ו/או פעילויות עיבוד שנבחנו והיו ספציפיות לדרישה בפועל; 6) בהתבסס על תאריך מוסכם מראש, בכפוף לדחייה סבירה מצד הלקוח על פי בקשתם הסבירה של Globalization Partners; ו-vii) בהתאם לכל ההתחייבויות וההגבלות בנושא סודיות. על אף האמור לעיל, לא מוענקת זכות ביקורת לאחר סיום ההסכם הראשי, למעט התחייבויות משפטיות שיהיה על הלקוח להפגין. כל נציג צד שלישי שנבחר לבצע ביקורת מטעם הלקוח חייב שלא להיות בעל אינטרס בעלות בסוכנות שירותי EOR, ארגון או יועץ קשור או שיוך אליהם.

3.15. אין מכירת מידע. Globalization Partners לא יממשו או יפיקו זכויות או הטבות כלשהן בנוגע למידע אישי, למעט כמפורט בנספח זה. למען הסר ספק, Globalization Partners לא ישמרו, ישתמשו, ישתפו או יחשפו את נתוני הלקוח לכל מטרה אחרת מלבד למטרה הספציפית של אספקת הפלטפורמה ללקוח בהתאם להסכם הראשי. Globalization Partners לא ימכרו נתונים אישיים כלשהם, כפי שהמונח "מכירה" מוגדר ב-CCPA. Globalization Partners מצהירים ומתחייבים כי הם מבינים את הכללים, הדרישות וההגדרות של ה-CCPA, והם מסכימים להימנע מנקיטת כל פעולה שתגרום להעברות כלשהן של נתונים אישיים אל Globalization Partners או מהם להיחשב כ"מכירת מידע אישי" במסגרת ה-CCPA.

נספח I - תיאור עיבוד הנתונים

צדדים בקר / מייצא נתונים: ישות לקוח המבצעת את מעבד האגרמנט
הראשי / מייבא הנתונים: ישות Globalization Partners המבצעת את ההסכם הראשי.
פרטי הקשר של הצדדים פרטי הקשר של הלקוח כפי שנקבעו בהסכם הראשי. פרטי הקשר של Globalization Partners כמפורט בהסכם הראשי.
פעילויות רלוונטיות לנתונים שהועברו פעילויות הקשורות לפלטפורמה המסופקת כשירות.
פעילויות עיבוד Globalization Partners יעבדו את נתוני הלקוח בהספקת הפלטפורמה שלה כשירות ללקוח.
משך העיבוד Globalization Partners יעבדו את נתוני הלקוח למשך ההסכם הראשי ועל בסיס מתמשך.
טבע ומטרת העיבוד הלקוח רשאי להעביר את נתוני הלקוח Globalization Partners שהיקף הנתונים נקבע ונשלט על ידי הלקוח על פי שיקול דעתו הבלעדי. Globalization Partners יעבדו את נתוני הלקוח לפי הצורך למטרות אספקת הפלטפורמה כשירות ללקוח בהתאם להסכם הראשי.
קטגוריות של מושאי נתונים נתוני הלקוח נוגעים למשתמשים מורשים בפלטפורמה שעשויים לכלול את עובדי הלקוח ו/או קבלנים, בנוסף לאנשים שהמידע האישי שלהם מסופק על ידי משתמשים מורשים בפלטפורמה.
סוגי מידע אישי נתוני הלקוח המועברים עשויים לכלול את קטגוריות הנתונים הבאות:

  • פרטים ליצירת קשר (כגון כתובת למשלוח דואר, מספר טלפון ודוא"ל).
  • נתוני עובדים / קבלנים (כגון שם התפקיד ושם החברה).
  • פרטי הלקוח (כגון חשבוניות ונתונים הקשורים לאשראי).
  • נתוני שימוש (כגון נתונים על המכשיר של המשתמש המורשה וכיצד מכשיר כזה מתקשר עם הפלטפורמה).
  • נתוני מיקום (כגון מיקום הנגזר מכתובת ה-IP).
  • נתוני תוכן (כגון תוכן קובצי הלקוח בנוגע לאנשי המקצוע והתקשורת).
  • אישורים (כגון סיסמאות, רמזים לסיסמאות ומידע אבטחה דומה המשמש לאימות וגישה לחשבון לפלטפורמה).
  • כל מידע אישי המסופק על ידי משתמשים מורשים.
קטגוריות נתונים מיוחדות (אם רלוונטי) לא רלוונטי
שימור נתוני הלקוח יישמרו לפחות כל עוד כל תקופת שמירה מינימלית נדרשת על פי חוק, העולה בקנה אחד עם חוקי ההתיישנות החלים ועומדת בנהלים עסקיים נאותים.
רשות מפקחת מוסמכת הוועדה האירית להגנה על נתונים
העברות למעבדי משנה עבור העברות למעבדים, הנושא, אופי ומשך העיבוד זהים לאלו שהוגדרו לעיל.
פרטי יצירת קשר עם Globalization Partners privacy@globalization-partners.com
Attn: משרד הפרטיות הגלובלי.

נספח II - אמצעים טכניים וארגוניים

Globalization Partners קיבלו אישור והוכחו כדי לאשר עמידה 2 בתקני הטיפול המקובל, על ידי מבקרים בלתי תלויים. דוחות של בקרות ארגוני שירות (SOC) מדגימים את המחויבות שלנו לאבטחת נתוני הלקוח. תוכנית האבטחה של Globalization Partners נועדה:

  • להגן על הסודיות, השלמות והזמינות של נתוני הלקוח ברשות Globalization Partners או שאליהם יש Globalization Partners גישה;
  • להגן מפני כל איום או סכנה צפויים לסודיות, לשלמות ולזמינות של נתוני הלקוח;
  • להגן מפני גישה, שימוש, חשיפה, שינוי או השמדה בלתי מורשים או בלתי חוקיים של נתוני הלקוח;
  • להגן מפני אובדן או השמדה מקריים של נתוני הלקוח או נזק להם; וכן
  • יש להגן על מידע כפי שנקבע בתקנות כלשהן שבאמצעותן Globalization Partners עשויים להיות מוסדרים.

להלן תיאור הפונקציות, התהליכים, הבקרות, המערכות, הנהלים והאמצעים שנקטו Globalization Partners כדי להבטיח את אבטחת עיבוד נתוני הלקוח:

1) אמצעים טכניים להבטחת פרטיות והגנה על נתונים

א) פרטיות לפי עיצוב וברירת מחדל:

Globalization Partners לוקחים בחשבון את הדרישות של סעיף 25 GDPR בשלב ההתעברות והפיתוח של פיתוח המוצר. תהליכים ופונקציות מוגדרים באופן כזה שעקרונות הגנת המידע כגון חוקיות, שקיפות, הגבלת מטרה, מזעור נתונים וכו' וכן אבטחת העיבוד נחשבים בשלב מוקדם.

ב) הצפנת נתונים אישיים:

לוודא שהנתונים האישיים מאוחסנים במערכת רק באופן שאינו מאפשר לצדדים שלישיים לזהות את מושא הנתונים.

  • הצפנת מסד נתונים ואחסון:
    בכל מסדי הנתונים שבהם משתמשת Globalization Partners נעשה שימוש בהצפנה "במנוחה" בהתאם למצב האמנות, כך שניתן יהיה לקרוא את הנתונים ממסד הנתונים רק לאחר אימות נכון במערכת מסד הנתונים המתאימה.
  • הצפנה של מדיית נתונים ניידים:
    השימוש בנשאי נתונים ניידים לאחסון נתוני לקוחות אינו מותר.
  • הצפנה של ספקי נתונים במחשבים ניידים:
    הצפנת דיסק קשיח מתקדמת מותקנת על כל המחשבים הניידים של העובדים.
  • חילופי מידע וקבצים מוצפנים:
    באופן עקרוני, חילופי מידע וקבצים מוצפנים ישירות באמצעות יישום מיוחד. אם יש להעביר נתונים אישיים או מידע סודי לשרתים שלא ניתן לשלוח באמצעות העלאות HTTPS מוצפנות TLS, אלה יועברו באמצעות פרוטוקול העברת קבצים מאובטח (SFTP), שירות מעטפה מוצפן או מנגנון מוצפן אחר בהתאם למצב האמנות.
  • הצפנת דוא"ל:
    באופן עקרוני, כל הודעות הדוא"ל הנשלחות על ידי עובדים של Globalization Partners מוצפנות באמצעות TLS. חריגות עשויות להיות אם שרת הדואר המקבל אינו תומך ב-TLS. הלקוח יוודא ששרתי הדואר המתאימים המשמשים במסגרת ההזמנה תומכים בהצפנת TLS

ג) בקרת כניסה

בקרות הקבלה מיועדות ומונחות על מנת למנוע שימוש ועיבוד של נתונים המוגנים על ידי חוקי הגנת נתונים על ידי אנשים בלתי מורשים.

  • השימוש בשיטות אימות
    גישה לנתונים אישיים הוא תמיד באמצעות פרוטוקולים מוצפנים: SSH, SSL/ TLS, HTTPS או פרוטוקולים דומים. הליך אימות עבור מערכת טכנולוגיית מידע: התחברות לאימות רב-גורמי למערכת טכנולוגיית מידע.
  • חסימה אוטומטית במקרה של מחשבים ניידים שאינם פעילים
    המשמשים את עובדי Globalization Partners הנעולים באמצעות סיסמה או הגנת קוד כאשר הם אינם בשימוש על ידי המשתמש. בנוסף, נעילת מסך אוטומטית עם הגנת סיסמה מוגדרת לאחר 15 דקות של חוסר פעילות.
  • השימוש במחשבים ניידים של תוכנת אנטי-וירוס
    המשמשים את עובדי Globalization Partners מצוידים בתוכנת אנטי-וירוס עדכנית, אשר נשמרת עדכנית בכל מערכות ה-טכנולוגיית מידע התפעוליות או העסקיות. כעניין עקרוני, אין להפעיל מחשבים ללא הגנת נגיף תושב אלא אם ננקטו אמצעי אבטחה מקבילים אחרים או אם לא קיים סיכון. אין להשבית או לעקוף את הגדרות האבטחה המוגדרות כברירת מחדל.
  • "מדיניות שולחן נקי"
    עובדי Globalization Partners מונחים שלא להדפיס או לאחסן באופן מקומי נתונים אישיים של נושאי נתונים, שלא להשאיר חומרי עבודה במקום שבו צדדים שלישיים עשויים לצפות בהם, ולאחסן את כל חומרי העבודה כראוי. מסמכים Globalization Partners נדרשים על פי חוק להחזיק בעותק קשיח מאוחסנים בארונות נעולים.

ד) בקרות גישה בתוך הפלטפורמה

בקרות גישה מבטיחות שלאנשים המורשים להשתמש במערכת עיבוד תהיה גישה רק לנתונים האישיים המכוסים באישור הגישה שלהם.

  • תפקידים והרשאה
    • תפקידים ופלטפורמת הרשאה - משתמשי לקוח יכולים להציג ולערוך את פרטי חשבון הלקוח.
    • תפקידים ופלטפורמת הרשאה – משתמשים מקצועיים יכולים להציג ולערוך מידע מקצועי משלהם.
      אנשי מקצוע יכולים גם לקבל תפקיד גישה ללקוח על פי דרישה + אישור
    • תפקידים ופלטפורמת הרשאה – גישה פנימית
      למשתמשים בגישה פנימית יש תפקידים שונים. יש להם גישה מגוונת ליצור, להציג, לערוך ולאשר את הדברים הבאים:

      • פרטי הלקוח
      • פרטי חיוב
      • פרטי שותף
      • מידע על רשומות אנשי צוות מקצועיים

      הגישה למערכת הניהול מוגבלת בדרך כלל לעובדים מיומנים בתחומי תמיכת הלקוחות ופיתוח המוצר.

ה) חומת אש כשירות

Globalization Partners משתמשים בחומת אש חיצונית כשירות המאפשר לה להעניק או לחסום גישה לאתרי אינטרנט כדי לוודא שמערכות לא יכולות לגשת לתוכן זדוני ולהגביל את הגישה לתוכן לא הולם.

ו) תיעוד ההתחברות לפלטפורמה

Globalization Partners שומרים תיעוד של כל פעילות ההתחברות.

ז) הפרדה

להבטיח שניתן יהיה לעבד נתונים אישיים שנאספו למטרות שונות בנפרד והם מופרדים מנתונים ומערכות אחרים באופן כזה ששימוש לא מתוכנן בנתונים אלה למטרות אחרות לא ייכלל.

  • הפרדת סביבות פיתוח, בדיקה ותפעול
    נתונים מסביבת ההפעלה יכולה להיות מועברת לסביבות בדיקה או פיתוח רק אם היא נעשתה אנונימית לחלוטין לפני ההעברה. העברת הנתונים האנונימיים חייבת להיות מוצפנת או באמצעות רשת אמינה.
  • הפרדה ברשתות
    Globalization Partners מפרידה בין הרשתות שלה בהתאם למשימות. הרשתות הבאות משמשות באופן קבוע: סביבת הפעלה ("ייצור"), סביבת בדיקה ("שלב", "ארגז חול"), סביבת פיתוח ("Dev") צוות טכנולוגיית מידע המשרדי. בנוסף לרשתות אלה, נוצרות רשתות נפרדות נוספות כנדרש, למשל, לצורך שחזור בדיקות ובדיקות חדירה. בהתאם לאפשרויות הטכניות, הרשתות מופרדות פיזית או באמצעות רשתות וירטואליות.

ח) בקרת זמינות

Globalization Partners נוקטים בצעדים הבאים כדי להבטיח שהנתונים האישיים מוגנים מפני השמדה או אובדן בשוגג.

  • נהלים/גיבויים להגנה על נתונים
    כדי להבטיח זמינות נאותה Globalization Partners מיישמים תמונות יומיות של מסד הנתונים שלה עם שכפול לאזור אחר. ננקטים אמצעים גם כדי להבטיח שעובדים בעלי צורך מבוסס-עבודה לסקור נתונים יקבלו גישה רק למערכי נתונים של העתקים.
  • יתירות גיאוגרפית ביחס לתשתית שרת של נתונים פרודוקטיביים וגיבויים
  • ניהול תקריות טכנולוגיית מידע ("ניהול תגובה לאירועים")
    קיים מושג ונהלים מתועדים לטיפול באירועים ובאירועים הרלוונטיים לבטיחות. הדבר כולל תכנון והכנת התגובה לאירועים, נהלים לניטור, איתור וניתוח אירועי אבטחה-רלוונטיים והגדרת תחומי אחריות וערוצי דיווח מתאימים במקרה של הפרה של ההגנה על נתונים אישיים במסגרת הדרישות החוקיות.
2) אמצעים ארגוניים להבטחת פרטיות והגנה על נתונים

Globalization Partners נוקטת באמצעים הארגוניים הבאים כדי להבטיח שהארגון פועל באופן העומד בדרישות פרטיות והגנה על נתונים.

א) הוראות ארגוניות

Globalization Partners פיתחה ומפתחת תוכנית ממשל נתונים כולל מדיניות, נהלים והנחיות לעובדים שיש לפעול לפיהם. התיעוד כולל כיצד לזהות בעיות פרטיות נתונים ולנהל אותן, שיטות עבודה מומלצות להבטחת ציות לפרטיות ומדיניות לטיפול בתקריות פרטיות.

ב) מחויבות לחיסיון ולהגנה על נתונים

Globalization Partners פיתחה ומפתחת תוכנית ממשל נתונים כולל מדיניות, נהלים והנחיות לעובדים שיש לפעול לפיהם. כל העובדים והקבלנים מחויבים בכתב לסודיות ולהגנה על נתונים וכן לחוקים רלוונטיים אחרים. כל העובדים מקבלים הדרכה בנושאי פרטיות ואבטחה. ביקורות פנימיות על הגנת מידע ואבטחת מידע מתבצעות באופן קבוע. ביקורות מתבצעות על בסיס קריטריונים/ערכות בדיקה נפוצים. העובדים והקבלנים של Globalization Partners מונחים לעבד נתונים אישיים מסיבות חוקיות בלבד, בהתאם לחוזים הרלוונטיים עם הלקוח ועם איש המקצוע, תוך התחשבות ראויה בכל הסכמה מפורשת שניתנה או נמנעה על ידי מושא הנתונים, ובהתאם לכל חובה חוקית של הארגון.

ג) הדרכה בנושא הגנת נתונים

כל העובדים מקבלים הדרכה בנושאי פרטיות ואבטחה אשר נותרה זמינה לבדיקה בכל עת בפלטפורמת ההדרכה של Globalization Partners.

ד) בקרות גישה פיזית

Globalization Partners יש את הבקרות הפיזיות הבאות שנועדו למנוע מאנשים בלתי מורשים גישה לציוד מערכות טכנולוגיית מידע המשמש לעיבוד.

  • הגנת דלת אלקטרוניתדלתות
    הכניסה למתחם משרדי Globalization Partners נעולות תמיד ומאובטחות באופן אלקטרוני. הדלתות נפתחות באמצעות משיב אלקטרוני אישי.
  • חלוקה מבוקרת של מפתחות
    מתבצעת הקצאה מרכזית ומתועדת של מפתחות לעובדי Globalization Partners. כל מנהל משרד או מחלקת משאבי אנוש יכולים להשבית באופן מרכזי את המשיבים/מפתחות האלקטרוניים הללו.
  • פיקוח וליווי של אנשים חיצוניים
    ספקי שירות חיצוניים וצדדים שלישיים אחרים רשאים לקבל גישה לשטח רק באמצעות אישור מראש או כאשר מלווה עובד של Globalization Partners. Globalization Partners מיישמת את מדיניות המבקרים הכתובה שלה כאשר המבקרים מוזמנים לשטח.
  • אבטחת הנחות עם צורך מוגבר בהגנה
    על החצרים או הארונות עם דרישות הגנה מוגברות, כגון משרדים משפטיים ומיקומי תפעול מסוימים, מצוידים בארונות נעילה ומגירות. ארונות ומגירות שבהם מוחזקים מסמכים משפטיים, חוזים ותיעוד סודי יינעלו בכל עת, למעט כאשר הם בשימוש.
  • עובדים בדלתות סגורות ובחלונות
    מקבלים הנחיה ארגונית לשמור על חלונות ודלתות סגורים או נעולים מחוץ לשעות העבודה.

ה) יכולת שחזור

Globalization Partners מבטיחים שניתן יהיה לשחזר מערכות בשימוש במקרה של כשל פיזי או טכני.

  • בדיקות סדירות של שחזור הנתונים ("בדיקות שחזור")
    בדיקות שחזור מלאות רגילות מבוצעות כדי להבטיח יכולת שחזור במקרה חירום/אסון.
  • תוכנית חירום ("מושג התאוששות מאסון")
    יש מושג לטיפול במקרי חירום/אסונות ותוכנית חירום מתאימה. Globalization Partners מבטיחים את שחזור כל המערכות על בסיס גיבויי/גיבויי הנתונים, בדרך כלל תוך 48 שעות.
  • סקירה והערכה מודדות
    הצגה של ההליכים לסקירה, הערכה והערכה סדירות של יעילות האמצעים הטכניים והארגוניים.

ו) צוות הפרטיות

לארגון יש משרד פרטיות נתונים גלובלי שמוטלת עליו המשימה לתכנן, ליישם, להעריך ולהתאים אמצעים בתחום הגנת הנתונים.

ז) ניהול סיכונים

קיים תהליך לניתוח, הערכה והקצאת סיכונים וליצירת אמצעים על בסיס סיכונים אלה.

3) סקירה עצמאית של אבטחת מידע

א) ביצוע ביקורות

ביקורות פנימיות על הגנת מידע ואבטחת מידע מתבצעות באופן קבוע. ביקורות מתבצעות על בסיס קריטריונים/ערכות בדיקה נפוצים.

ב) סקירת הציות למדיניות ולסטנדרטי האבטחה

הציות להנחיות האבטחה, לתקנים ולדרישות אבטחה אחרות הרלוונטיות לעיבוד נתונים אישיים נבדק באופן קבוע. במידת האפשר, בדיקות אלה מתבצעות על בסיס אקראי ובלתי צפוי.

ג) אימות תאימות למפרטים טכניים

סריקות פגיעות אוטומטיות וידניות רגילות מבוצעות על ידי מחלקת ה-טכנולוגיית מידע או אנשי צוות מוסמכים אחרים כדי לאמת את אבטחת היישומים והתשתית, כמו גם את הפיתוח הרגיל של המוצר. בדיקות חדירה מפורטות מתבצעות על ידי ספק שירות חיצוני כדי לבחון באופן ספציפי את היישומים והתשתית לפגיעויות.

ד) עיבוד על פי הוראה

עובדי Globalization Partners מקבלים הנחיה לעבד נתונים אישיים מסיבות חוקיות בלבד, בהתאם לחוזים הרלוונטיים עם הלקוח ועם איש המקצוע, תוך התחשבות ראויה בכל הסכמה מפורשת שניתנה או נמנעה על ידי נשוא המידע, ובהתאם לכל חובה חוקית של הארגון.

ה) בחירת ספקים זהירה

Globalization Partners דבקים בתהליך הסמכת הספקים שלה בעת בחירת ספקים וספקים שעשויים להיתקל בנתונים מוגנים. תהליך זה כולל משוב מהמחלקות הפיננסיות והמשפטיות/הפרטיות ומשלב שלבי הסמכת הערכת סיכונים, הסמכת אבטחה ותיעוד. ספקים שיעבדו נתונים מוגנים יידרשו להפגין את דבקותם בחוקי פרטיות הנתונים החלים, כולל סעיף 28 GDPR עבור נתונים מכוסים.

נספח III - רשימת מעבדי המשנה

מעבד משנה פרטי יצירת קשר תיאור העיבוד מיקום
חברות בת של Globalization Partners https://www.globalization- partners.com/contact-us/ אספקת הפלטפורמה וניהול קשרי לקוחות ארה"ב
אקומטיקה 3933 אגם וושינגטון Blvd NE #350, קירקלנד, וושינגטון98033, ארצות הברית שירותים פיננסיים ארה"ב
שירות האינטרנט של אמזון P.O. Box 81226 Seattle, WA98108-1226, ארה"ב
https://aws.amazon.com/contact-us/		 אירוח – ספק שירותי ענן ארה"ב
Microsoft One Microsoft Way Redmond, Washington 98052 USA

טלפון: (+1) 425-882-8080.		 תקשורת תמיכה בתהליכים עסקיים (דוא"ל); ניהול שירותים ארה"ב
אטלסית 350 Bush Street Floor 13סן פרנסיסקו, קליפורניה94104, ארה"ב
+1 415 701 1110		 תמיכה בתהליכים עסקיים לניהול שירותים ארה"ב
קונגה https://conga.com/contact-us
62 מרגרט סטריט, קומה שלישית לונדון W1W8TF בריטניה		 ניהול חוזים בריטניה
DocuSign DocuSign International (EMEA) Ltd, תשומת לב: צוות פרטיות, 5 Hanover Quay, קומת קרקע, דבלין2, אירלנד ניהול מסמכים אירלנד
גונג 265 Cambridge Ave, Suite 60717 Palo Alto, CA94306, ארצות הברית שירותי טלקומוניקציה ארה"ב
iCertis 2 Kingdom Street Paddington לונדון W2 6BD בריטניה ניהול חוזים בריטניה
Salesforce.com Salesforce Tower, 415 Mission Street, קומה שלישית, סן פרנסיסקו, CA 94105, ארה"ב

1-800-387-3285		 תמיכה בתהליכים עסקיים לניהול קשרי לקוחות (CRM) ארה"ב
זנדסק 989 Market St San Francisco, CA94103, ארה"ב
zendesk.com
888-670-4887		 פניות למוקד התמיכה לתמיכה בלקוחות ארה"ב

נספח IV - נספח בריטניה לסעיפים חוזיים סטנדרטיים של האיחוד האירופי

חלק 1: טבליות

טבלה 1: מסיבות

תאריך התחלה תאריך התוקף של תוספת זו
הצדדים יצואן (ששולח את ההעברה המוגבלת) יבואן (אשר מקבל את ההעברה המוגבלת)
פרטי הצדדים פרטי ישות הלקוח כמפורט בהסכם הראשי. פרטי ישות Globalization Partners כמפורט בהסכם הראשי.
אנשי קשר עיקריים פרטי הקשר של הלקוח כפי שנקבעו בהסכם הראשי. פרטי הקשר של Globalization Partners כמפורט בהסכם הראשי ופרטי הקשר של Globalization Partners כמוגדר בנספח I לעיל.

טבלה 2: SCCs, מודולים וסעיפים נבחרים שנבחרו

תוספת SCCs של האיחוד האירופי הגרסה של SCCs מאושרים של האיחוד האירופי המשולבים בסעיף 3.9 התוספת, כולל מידע נספח המצורף לתוספת זו.

טבלה 3: מידע על נספח

"מידע על הנספח" פירושו המידע שיש לספק עבור המודולים שנבחרו כמפורט בנספח של SCCs מאושרים של האיחוד האירופי (מלבד הצדדים), ואשר עבור נספח זה מפורט ב:

  • נספח 1A: רשימת הצדדים: נספח 1
  • נספח 1B תיאור ההעברה: נספח 1
  • נספח II: אמצעים טכניים וארגוניים, כולל אמצעים טכניים וארגוניים להבטחת אבטחת הנתונים: נספח II
  • נספח III: רשימת מעבדי המשנה: נספח III

טבלה 4: סיום תוספת זו כאשר התוספת המאושרת משתנה

סיום תוספת זו כאשר התוספת המאושרת משתנה אילו צדדים רשאים לסיים תוספת זו כמפורט בסעיף ‎19:
☐ יבואן
☒ יצואן
☐ אף אחד מהצדדים
חלק 2: הפסקות חובה
סעיפי חובה חלק 2: סעיפי חובה של התוספת המאושרת, בהיותם נספח ב' לתבנית שהונפק1.0 על ידי ה-ICO והונח בפני הפרלמנט בהתאם לחוק הגנת s119A הנתונים 2018 ב-2 פברואר 2022, כפי שהוא מתוקן תחת סעיף 18 של סעיפי חובה אלה.