לוגו G-P​​ 
בקש הצעה​​ 

שפת הפרטיות של MSA​​ 

עדכון אחרון: יוני 26, 2026​​ 

נספח הגנת מידע​​ 

הלקוח וה-G-P הם צדדים להסכם ראשי או להסכם בעל אופי ומטרה דומים (להלן "הסכם ראשי"). הסכם עיבוד נתונים זה משלים את התנאים וההגבלות בהסכם הראשי והוא משולב בו. במקרה של סתירה בין הסכם זכויות יוצרים זה, לבין כל הסכם אחר בין הצדדים בנושאים המפורטים במסמך זה, הסכם זכויות יוצרים זה יגבר. אם ללקוח כבר יש נספח הגנת מידע שנחתם בתוקף עם G-P, אז ההסכם הזה יגבור על ה-DPA הזה, ו-DPA זה לא יהיה תוקף או תוקפה, אלא אם כן הוסכם אחרת בכתב בין הלקוח ל-G-P.​​ 
 

1. הגדרות​​  

למונחים שאינם מוגדרים כאן יש את המשמעויות המפורטות בהסכם הראשי. למילים הבאות בהסכם זכויות יוצרים זה יש את המשמעויות הבאות:​​ 
1.1 "​​ משתמש מורשה​​ "פירושו אדם שמותר על ידי הלקוח, שיכול לכלול אחד או את עובד הלקוח ו/או קבלן, לגשת ולהשתמש ב-GPP מטעם הלקוח, בהתאם לחתימת הסכם המאסטר.​​ 
1.2 "​​ נתוני לקוחות​​ " פירושו כל מידע אישי הקשור לכל משתמש מורשה או אדם טבעי מזוהה שמועבר, מעובד או מאוחסן על ידי G-P מטעם הלקוח בקשר לשירותים לשימוש ה-GPP על ידי הלקוח.​​ 
1.3 "​​ הגנת נתונים​​  חוקים​​ " פירושו כל חוקי הגנת מידע ופרטיות שאליהם כפוף צד להסכם זה וחלים על השירותים הניתנים, כולל כאשר רלוונטי, אך לא מוגבל ל, האסדרה הכללית להגנה על מידע, UK האסדרה הכללית להגנה על מידע, חוקי הגנת המידע השווייצריים, חוקי הפרטיות של ארה"ב (כולל חוקים מדינתיים ופדרליים), ו-LGPD של ברזיל.​​ 
1.4 "​​ Employer of Record​​ " פירושו Employer of Record.​​ 
1.5 "​​ האסדרה הכללית להגנה על מידע​​ " פירושו האסדרה הכללית להגנה על מידע (EU) 2016/679.​​ 
1.6 "​​ GPP​​ " פירושו התוכנה הקניינית של G-P, כולל ללא הגבלה, את התוכנה, הגרסה הניידת, כל תוכנה הכלולה בה, וכל נתונים שהפכו זמינים באמצעות התוכנה הקניינית של G-P או שירותי צד שלישי, כולל עדכונים, שדרוגים, פלטפורמה כשירות ותיעוד.​​ 
1.7 "​​ EEA​​ "פירושו האזור הכלכלי האירופי.​​ 
1.8 "​​ LGPD​​ "פירושו חוק ברזיל מס' 13.709, החוק הכללי להגנה על נתונים אישיים, כפי שעשוי להיות מתוקן, מוחלף או מוחלף.​​ 
1.9 "​​ מדיניות פרטיות​​ " פירושו מדיניות הפרטיות של G-P, כפי שמתעדכנת מעת לעת, זמינה ב​​   
1.10 "​​ נתוני אנשי מקצוע​​ " פירושו מידע אישי של אנשי מקצוע המעובד על ידי G-P במהלך מתן שירותי מעסיק לרשום ללקוח.​​ 
1.11 "​​ העברה מוגבלת​​  פירושו כל העברה של נתונים אישיים למדינה מחוץ לאזור הכלכלי האירופי, בריטניה, שוויץ או ברזיל שאינה כפופה להחלטת נאותות במסגרת חוקי הגנת המידע הרלוונטיים, ולכן דורשת אמצעי הגנה מתאימים במסגרת חוקי הגנת המידע הרלוונטיים.​​ 
1.12 "​​ שירותים​​  מְמוּצָע​​  השירותים​​  שיסופקו על ידי G-P ללקוח במסגרת הסכם המאסטר, אשר עשוי לכלול מתן שירותי מעסיק רישום וגישה ושימוש ב-GPP.​​ 
1.13 "​​ סעיפים חוזיים סטנדרטיים​​  אוֹ​​  "SCCs"​​  כלומר (i) כאשר האסדרה הכללית להגנה על מידע חלה, הסעיפים החוזיים הסטנדרטיים המצורפים להחלטת היישום של הנציבות האירופית (EU) 2021/914 מיום 4 ביוני 2021 סעיפים חוזיים סטנדרטיים להעברת נתונים אישיים למדינות שלישיות בהתאם לתקנות (EU) 2016/679 של הפרלמנט האירופי ושל המועצה, זמין ב​​   ("SCCs של האיחוד האירופי"); (ii) כאשר האסדרה הכללית להגנה על מידע בבריטניה חלה, סעיפי הגנת המידע הסטנדרטיים החלים שאומצו בהתאם לסעיף 46(2)(c), או (ד) כאשר האסדרה הכללית להגנה על מידע בבריטניה משמעותה נספח העברת נתונים בינלאומית ("תוספת בריטניה") לסעיפי החוזה התקניים של האיחוד האירופי שהונפקו על ידי משרד נציב המידע לפי סעיף119A(1) לחוק הגנת המידע 2018, לכן ניתן לעדכן את נספח בריטניה לפי סעיף 18 בו ("SCCs בריטיים"); (iii) כאשר חלים חוקי הגנת המידע השווייצריים, סעיפי הגנת המידע התקניים החלים שהונפקו, אושרו או הוכרו על ידי רשות הגנת המידע הפדרלית השווייצרית ומשרד נציב המידע ("SCCs השווייצריים); כאשר חלה ה-LGPD הברזילאי, הסעיפים החוזיים הסטנדרטיים החלים, המצורפים להחלטה CD/ANPD מס' 19/2024 פורסמו על ידי הרשות הלאומית להגנת מידע בברזיל ("ANPD"), כפי שניתן לשנות אותם מעת לעת ("SCCs ברזיל").​​ 
1.14 "​​ חוקי הגנת המידע השוויצריים​​ "או​​  "FADP"​​  פירושו (i) חוק הגנת המידע הפדרלי השוויצרי (“​​ FDPA​​ "); (ii) הפקודה על החוק הפדרלי להגנת מידע (“​​ FODP​​ "); ו-(iii) כל חוק לאומי להגנת מידע שנקבע במסגרת, מכוח, מחליף או יורש וכל חקיקה המחליפה או מעדכנת כל אחד מהאמור לעיל.​​ 
1.15 "​​ נספח בריטניה​​ "" פירושו התוספת להעברת נתונים בינלאומית של בריטניה לתניות החוזיות הסטנדרטיות של האיחוד האירופי שהונפקה על ידי נציב המידע של בריטניה.​​ 
1.16 "​​ חוקי הגנת המידע של בריטניה​​  הכוונה היא האסדרה הכללית להגנה על מידע כפי שנשמרה בחוק הממלכה המאוחדת מכוח סעיף 3 בחוק האיחוד האירופי (פרישה) 2019 ("UK האסדרה הכללית להגנה על מידע") וחוק הגנת המידע 2018 (יחד, "חוקי הגנת המידע של בריטניה").​​ 
1.17 "​​ חוקי הפרטיות של ארה"ב​​ "" פירושו חוקים, צווים, תקנות והנחיות רגולטוריות רלוונטיים של מדינות ארצות הברית (US) בנוגע לעיבוד נתונים אישיים, לרבות בין היתר: (א) ה-CCPA; (ב) חוק הגנת נתוני הצרכן של וירג'יניה; (ג) חוק הפרטיות של קולורדו; (ד) חוק קונטיקט בנוגע לפרטיות נתונים וניטור מקוון; (ה) חוק הפרטיות של צרכן ביוטה; ו-(ו) כל חוקי המדינה הדומים.​​ 
1.18 "​​ "בקר" "נושא המידע", "נתונים אישיים", "מידע אישי", "דליפת נתונים", "מעבד", "תהליך/עיבוד", "העברה מוגבלת", "ספק שירות"​​  ו/או לכל מונחים ומושגים דומים אחרים תהיה המשמעויות כפי שמוגדרות בחוקי הגנת המידע.​​ 
 
 

2. יחסי בקר עצמאי - בקר​​  

2.1​​  תפקידי הצדדים.​​  כאשר G-P מספקת ללקוח שירותי מעסיק רשום, G-P לוקחת על עצמה את תפקיד מעסיק המשפטי עבור כל אדם שנבחר על ידי הלקוח ("אנשי מקצוע") לגייס. לגבי הנתונים האישיים של אנשי מקצוע כאלה, G-P הוא מבקר עצמאי במהלך מערכת היחסים בעבודה. בנוגע למידע האישי של איש המקצוע שנאסף ומשמש את הלקוח למטרותיו האישיות, הלקוח הוא גם בקר עצמאי עם חובות פרטיות עצמאיות. בעת מתן שירותי מעסיק הרשומה, החלפת הנתונים האישיים של אנשי מקצוע בין G-P ללקוח מתבצעת תחת מערכת יחסים עצמאית בין בקר, והוראות סעיף 2 זה ("יחסי בקר עצמאיים-בקר"), יחולו על כך. בשום מקרה לא הצדדים יעבדו נתונים אישיים במסגרת הסכם עיבוד מידע זה כבעלי אחריות משותפת.​​ 
2.2​​  אחריות ותודות​​ הצדדים, בתפקידם כבעלי אחריות, יבצעו את הפעולות הבאות:​​ 
2.2.1 לציית לחוקי הגנת המידע הרלוונטיים בנוגע לעיבוד נתונים אישיים של אנשי מקצוע.​​ 
2.2.2 לעבד ולשתף את המידע האישי של אנשי המקצוע בצורה הוגנת וחוקית, לצורך (לפי המקרה) לבצע או לקבל את שירותי המעסיק הרשומות לטובת האינטרסים הלגיטימיים שלו.​​ 
2.2.3 יש לוודא שחלה עילת עיבוד חוקית על כל שיתוף של נתונים אישיים של איש מקצוע בין הצדדים.​​ 
2.2.4 לסייע זה לזה במילוי חובותיהם במסגרת חוקי הגנת המידע, לרבות, אך לא רק, סיוע זה לזה במקרה של פרצת נתונים, תגובה לבקשות של נושאי נתונים ו/או רגולטורים.​​  
 

3. יחסי בקר - מעבד​​ 

3.1​​  תפקידי הצדדים​​ . G-P מציעה גם מגוון מוצרי תוכנה כשירות דרך GPP, שבאמצעותם G-P מאפשרת ללקוח לנהל את הקשר עם אותם אנשי מקצוע. כאשר G-P מעניק ללקוח גישה ל-GPP, G-P הוא המעבד של הנתונים האישיים הקשורים לחשבון שהועלו ל-GPP על ידי המשתמשים המורשים שמונו על ידי הלקוח, והלקוח הוא המבקר של הנתונים הללו, והוראות סעיף זה 3 ("יחסי בקר-מעבד"), יחולו.​​ 
3.2​​  הוראות.​​  G-P תעבד את נתוני הלקוח בהתאם להוראות המתועדות של הלקוח.  הלקוח מסכים כי הסכם ה-DPA הזה, הסכם המאסטר והנספח I המצורף להלן, כוללים את כל ההוראות של הלקוח ל-G-P בנוגע לעיבוד נתוני הלקוח.  כל הוראה נוספת או חלופית חייבת להיות מוסכמת בין הצדדים בכתב, לרבות העלויות (אם ישנן) הכרוכות במילוי הוראות כאמור.  הלקוח יבטיח כי הוראותיו תואמות את חוקי הגנת המידע הרלוונטיים. הלקוח מודה כי G-P אינו אחראי לקבוע אילו חוקים חלים על עסקי הלקוח. הלקוח יוודא שעיבוד נתוני הלקוח על ידי G-P, כאשר יתבצע בהתאם להוראות הלקוח, לא יגרום ל-G-P להפר כל חוק חל, כולל חוקי הגנת המידע החלים. עם זאת, אם G-P סבור כי הוראה של לקוח מפרה את חוקי הגנת המידע החלים, G-P תודיע ללקוח בהקדם האפשרי ולא תידרש לציית להנחיה המפרה.​​  
3.3​​  פרטי העיבוד​​ פרטי נושא העיבוד, משכו, אופיו ומטרתו, וסוג נתוני הלקוח ונושאי הנתונים כמפורט בנספח I המצורף בזאת.​​   
3.4​​  תאימות.​​  הלקוח ו-G-P מסכימים לעמוד בהתחייבויותיהם לפי חוקי הגנת המידע החלים על נתוני הלקוח המעובדים כפי שמפורט בנספח I. ללקוח יש אחריות בלעדית לעמוד בחוקי הגנת המידע בנוגע לחוקיות עיבוד נתוני הלקוח לפני גילוי, העברה או הפיכת נתוני לקוח ל-G-P.  למען הימנעות מהספק, בכל המקרים, הלקוח יקבל, במידת הצורך, כל הסכמה מנושאי הנתונים G-P לעיבוד נתוני הלקוחות לפי הוראות הלקוח.​​ 
3.5​​  מעבדי משנה​​ . הלקוח מאשר ל-G-P למנות ולהשתמש במעבדים ("תת-מעבדים") לעיבוד נתוני הלקוח בהקשר לשירותים.  תתי-מעבדים עשויים לכלול צדדים שלישיים או כל חבר בקבוצת החברות G-P. G-P רשאית להמשיך להשתמש באותם תת-מעבדים שכבר הועסקו על ידי G-P נכון למועד ה-DPA הזה, ורשימה של תתי-מעבדים כאלה זמינה בנספח III המצורף להלן. כאשר תת-מעבד לא עומד בהתחייבויות הגנת המידע שלו כפי שפורט לעיל, G-P תהיה אחראית כלפי הלקוח לביצוע התחייבויות תת-המעבד. G-P תודיע ללקוח על כל שינוי ברשימת תת-המעבדים שלה דרך GPP. אם, בתוך 10 (עשרה) ימים מקבלת ההודעה, הלקוח מתנגד באופן לגיטימי להוספה או הסרה של תת-מעבד מטעמי הגנת מידע ו-G-P אינו יכול להיענות באופן סביר להתנגדות הלקוח, הצדדים ידונו בדאגות הלקוח בתום לב במטרה לפתור את העניין.​​ 
3.6​​  אמצעי אבטחה טכניים וארגוניים​​ . בהתחשב בסטנדרטים התעשייתיים, עלויות היישום, טבע, היקף, הקשר ומטרות העיבוד, וכל נסיבה רלוונטית אחרת הקשורה לעיבוד נתוני הלקוח, G-P יישם אמצעי אבטחה טכניים וארגוניים מתאימים להבטחת אבטחה, סודיות, שלמות, זמינות ועמידות של מערכות העיבוד והשירותים המעורבים בעיבוד נתוני הלקוח, בהתאם לסיכון הנוגע ל נתוני לקוחות כאלה, כפי שמפורט בנספח II המצורף לכאן.  G-P תבדוק ותנטר מעת לעת (i) את יעילות אמצעי ההגנה, הבקרות, המערכות והנהלים שלה ו-(ii) תזהה סיכונים פנימיים וחיצוניים צפויים באופן סביר לביטחון, סודיות ושלמות נתוני הלקוח, ותוודא שסיכונים אלו מטופלים.​​  
3.7​​  סודיות​​ G-P תוודא כי אנשים המורשים לגשת לנתוני הלקוח (i) התחייבו לסודיות או כי הם תחת חובת סודיות חוקית מתאימה ו-(ii) ייגשו לנתוני הלקוח רק על פי הוראות מתועדות מ- G-P, אלא אם כן הדבר נדרש על פי חוק רלוונטי.​​ 
3.8​​  פרצת מידע אישי.​​  ה-G-P יידע את הלקוח ללא עיכוב מיותר, לאחר שיידע על פרצת נתונים הקשורה לעיבוד נתוני הלקוח, ויעשה מאמצים סבירים לסייע ללקוח בהפחתה, ככל האפשר, את ההשפעות השליליות של כל פרצת מידע​​ .​​ 
3.9​​  מחיקת נתונים אישיים.​​   עם סיום השימוש בשירותים (מכל סיבה שהיא), G-P תחזיר או תמחק, בהקדם האפשרי באופן סביר, את נתוני הלקוח המאוחסנים ב-GPP, אלא אם כן החוק החל דורש אחסון נתוני הלקוח לתקופה ארוכה יותר. עבור שמירה כאמור, הוראות הסכם עיבוד מידע זה ימשיכו לחול על נתוני הלקוח כאמור.​​ 
3.10​​  בקשות נושא נתונים​​ .  ה-G-P יעדכן את הלקוח במהירות על כל בקשת נבדק הנתונים בנוגע לנתוני הלקוח. הלקוח אחראי להגיב לבקשות כאלה. G-P תסייע באופן סביר ללקוח להגיב לבקשות נושא נתונים כאלה במידה שהלקוח אינו יכול לגשת לנתוני הלקוחות הרלוונטיים בשימושו ב-GPP.​​  
3.11​​  בקשות צד שלישי​​ אם G-P תקבל בקשות מצדדים שלישיים או צו של כל בית משפט, בית דין, רגולטור או סוכנות ממשלתית בעלת סמכות שיפוט מוסמכת אשר G-P כפופה לה בנוגע לעיבוד נתוני הלקוח במסגרת ההסכם, G-P תפנה את הבקשה באופן מיידי ללקוח. G-P לא תגיב לבקשות כאלה ללא אישור מראש של הלקוח, אלא אם כן היא מחויבת לעשות כן כדין. G-P , אלא אם כן נאסר עליה לעשות כן על פי חוק, תודיע ללקוח מראש על כל גילוי של נתוני הלקוח ותשתף פעולה באופן סביר עם הלקוח כדי להגביל את היקף הגילוי المستردم לנדרש על פי חוק.​​   
3.12​​  הערכת השפעה על הגנת מידע וייעוץ מראש​​ במידה הנדרשת על פי חוקי הגנת המידע, G-P תספק סיוע סביר ללקוח בביצוע הערכת השפעה על הגנת המידע בקשר לעיבוד נתוני הלקוח שמבצעת G-P ו/או כל התייעצות מוקדמת נדרשת עם רשויות פיקוח. G-P שומרת לעצמה את הזכות לגבות מהלקוח תשלום סביר עבור מתן סיוע כזה.​​ 
3.13​​  בְּדִיקָה.​​   Customer may audit G-P compliance with this DPA and Data Protection Laws by requesting a certificate issued for security verification reflecting the outcome of an audit conducted by a third party auditor (e.g., ISO27001 certification, SOC2 certificate), within twelve (12) months as of the date of Customer’s request. Alternatively, in the event the documentation provided subject to this Section 3.13 is not sufficient for the purpose of demonstrating compliance, the Customer may conduct its own audit in addition to the provided third party certifications or reports, provided that such audit shall be conducted: i) no more than once per each 12 (twelve) months period; ii) during normal business hours and without disrupting G-P’s day-to-day business; iii) with thirty (30) days prior written notice; iv) at the Customer’s sole expense; v) based upon mutually agreed parameters and scope, limited to the specific scope of services, systems in use and/or Processing activities contemplated hereunder; vi) based upon mutually agreed in advance date, subject to reasonable postponement by Customer upon G-P’s reasonable request; and vii) in accordance with all confidentiality obligations and restrictions. Notwithstanding the forgoing, no audit right is granted after termination of the Master Agreement, except for legal obligations that will have to be demonstrated by the Customer. Any third-party representative selected to perform an audit on behalf of Customer must not have an ownership interest in or affiliation with an EOR services company, agency, a related organization or consultant. Nothing in this DPA will require G-P to either disclose to Customer or its third-party auditor, or to allow Customer or its third-party auditor to access: (i) any data of any other G-P’s customer; (ii) G-P’ internal accounting or financial information; (iii) any trade secret of G-P or its affiliates; (iv) any information that, in G-P’ reasonable opinion, could compromise the security of any G-P’s systems or cause any breach of its obligations under applicable law or its security or privacy obligations to any third party; or (v) any information that Customer or its third-party auditor seeks to access for any reason other than the good faith fulfillment of Customer’s obligations under the Data Protection Laws.​​ 
3.14​​  חוקי הפרטיות של ארה"ב.​​  על פי סעיף זה 3, הצדדים מסכימים כי G-P הוא "ספק שירות" או "מעבד" כפי שמוגדרים בחוקי הפרטיות בארה"ב. בהתאם לכך, ככל שחוקי הפרטיות בארה"ב חלים על עיבוד נתוני לקוחות על ידי G-P, G-P לא (א) ישמור, ישתמש או יחשוף כל נתוני לקוח מחוץ למערכת היחסים העסקית הישירה בין G-P ללקוח, או לכל מטרה אחרת מלבד המטרה המפורטת בנספח I המצורף לכאן, ו-G-P תעבד נתוני לקוחות רק כל עוד הם מספקים שירותים ללקוח; (ב) למכור כל נתוני לקוח; (ג) לשתף כל נתוני לקוחות; או (ד) לשלב את נתוני הלקוח ש-G-P מקבל מלקוח או מטעמו עם "נתונים אישיים" (כפי שמוגדר מונח או שווה ערך לפי חוקי הגנת המידע החלים) שהוא מקבל מאדם אחר או מטעמו, או אוסף מהאינטראקציה שלו עם צרכן, בתנאי ש-G-P רשאי לשלב את נתוני הלקוח אם זה בתחום מתן השירותים ללקוח. במידת הצורך, כל צד יודיע לצד השני אם יקבע כי אינו יכול עוד לעמוד בהתחייבויותיו על פי חוקי הפרטיות של ארה"ב.​​ 
 

4. העברות נתונים בינלאומיות​​ 

4.1​​  הגנה מתאימה​​ . G-P מורשית, במהלך העסק הרגיל, לבצע העברות עולמיות של נתוני לקוחות לשותפים ו/או לתת-מעבדים שלה.  בעת ביצוע העברות כאלה לטריטוריה שלא הוכרה על ידי רשויות הגנת המידע הרלוונטיות כמספקת רמת הגנה מספקת לנתונים אישיים בהתאם לחוקי הגנת המידע, G-P תוודא שיש הגנה מתאימה להגנה על נתוני הלקוחות שהועברו במסגרת או בקשר להסכם האב.​​ 
4.2​​  מסגרת פרטיות נתונים.​​  אנשי מקצוע​​  ונתוני הלקוחות נשמרים ב-GPP המאוחסן בארה"ב. G-P מוסמכת תחת מסגרת פרטיות הנתונים של האיחוד האירופי-ארה"ב (EU-U.S. DPF) ולפי הצורך, ההרחבה הבריטית ל-DPF של האיחוד האירופי-ארה"ב, וה-Swiss-U.S. מסגרת פרטיות נתונים (שווייץ-ארה"ב) DPF). הסמכת G-P יכולה להיות מאושרת בפומבי באתר ה-DPF​​   . מסגרת פרטיות המידע של האיחוד האירופי-ארה"ב נחשבה מספקת על ידי הנציבות האירופית, שכן הייתה מנגנון להעברת נתונים חוקי בהתאם לסעיף 45 של האסדרה הכללית להגנה על מידע, בריטניה האסדרה הכללית להגנה על מידע, ו-FADP, בהתאמה. אם מסגרת/ות ה-DPF יבוטלו, יושעו או לא יוכרו עוד כמספקים הגנה נאותה להעברות נתונים בינלאומיות, המעבד מסכים להיכנס להסכם ה-SCCs שהונפקו או אושרו על ידי הנציבות האירופית, משרד נציב המידע של בריטניה (ICO) או נציב הגנת המידע והמידע הפדרלי של שוויץ (FDPIC), לפי העניין, ולציית לו. הצדדים ישתפו פעולה בתום לב כדי ליישם כל אמצעי משלים הנדרשים כדי להבטיח רמת הגנה שווה ערך במהותה עבור הנתונים המועברים.​​ 
4.3​​  סעיפים חוזיים סטנדרטיים.​​  הצדדים מסכימים שכאשר העברת נתונים אישיים מלקוח (כ"מייצא נתונים") ל-G-P (כ"מייבוא נתונים") היא העברה מוגבלת, וחוקי הגנת המידע החלים מחייבים ייקמו אמצעי הגנה מתאימים, העברה זו תהיה כפופה לסעיפים החוזיים התקניים המתאימים, אשר ייחשבו כמשולבים ומהווים חלק מ-DPA זה, כדלקמן:​​ 
א. בנוגע להעברות של נתונים אישיים המוגנים על ידי האסדרה הכללית להגנה על מידע, ה-SCCs של האיחוד האירופי יחולו על כך, כפי שמתבצע כדלקמן:​​ 
i. מודולים ראשון ושני יחולו;​​ 
ii. בסעיף 7, סעיף העגינה האופציונלי יחול;​​ 
iii. בסעיף 9 של מודול שני, אפשרות 2 תחול, ותקופת הזמן להודעה מוקדמת על שינויים במעבד משנה תהיה כמפורט בסעיף 3.5 של הסכם עיבוד נתונים זה;​​ 
iv. בסעיף 11, הנוסח האופציונלי לא יחול;​​ 
ה. בסעיף 12, כל תביעה שתוגש במסגרת הסכמי הסטנדרט של האיחוד האירופי תהיה כפופה לתנאים ולהגבלות המפורטים בהסכם הראשי;​​ 
vi. בסעיף 17, אפשרות 1 תחול, וסכמי ה-SCC של האיחוד האירופי יהיו כפופים לחוק האירי;​​ 
vii. בסעיף 18(ב), סכסוכים ייפתרו בפני בתי המשפט של אירלנד;​​ 
שמונה נספח I של תקנות ה-SCC של האיחוד האירופי ייחשב כמושלם עם המידע המפורט בנספח 1 להסכם עיבוד נתונים זה; ו-​​ 
ט. נספח II של תקנות הסטנדרט של האיחוד האירופי ייחשב כמושלם עם המידע המפורט בנספח 2 להסכם עיבוד נתונים זה;​​ 
x. נספח III של מודול שני של תקנות ה-SCC של האיחוד האירופי ייחשב כמושלם עם המידע המפורט בנספח 3 להסכם עיבוד נתונים זה.​​ 
ב. ביחס להעברות של מידע אישי המוגן על ידי חוקי הגנת המידע של בריטניה או חוקי הגנת המידע של שוויץ, יחולו חוקי הגנת המידע השוויצריים של האיחוד האירופי כפי שהם מיושמים במסגרת סעיפי משנה (א) לעיל, בשינויים הבאים:​​ 
א. אזכורים ל"תקנה (EU) 2016/679" יתפרשו כהתייחסויות לחוקי הגנת המידע של בריטניה או לחוקי הגנת המידע של שוויץ (ככל שרלוונטי);​​ 
ii. הפניות לסעיפים ספציפיים של "תקנה (EU) 2016/679" יוחלפו בסעיף או בסעיף המקבילים בחוקי הגנת המידע של בריטניה או בחוקי הגנת המידע של שוויץ (ככל שרלוונטי);​​ 
iii. אזכורים ל"איחוד האירופי", "האיחוד", "מדינת חברה" ו"חוק מדינת חברה" יוחלפו באזכורים ל"בריטניה" או "שוויץ", או "חוק בריטניה" או "חוק שוויצרי" (ככל שרלוונטי);​​ 
iv. המונח "מדינה חברה" לא יתפרש באופן שישלול נושאי נתונים בבריטניה או בשוויץ מהאפשרות לתבוע את זכויותיהם במקום מגוריהם הרגיל (כלומר, בריטניה או שוויץ);​​ 
ה. סעיף 13(א) וחלק ג' של נספח I אינם בשימוש ו"רשות הפיקוח המוסמכת" היא נציב המידע של בריטניה או נציב המידע הפדרלי של שוויץ להגנת נתונים (ככל שרלוונטי);​​ 
vi. אזכורים ל"רשות הפיקוח המוסמכת" ול"בתי המשפט המוסמכים" יוחלפו באזכורים ל"נציב המידע" ול"בתי המשפט של אנגליה וויילס" או ל"נציב המידע הפדרלי השוויצרי להגנת נתונים" ול"בתי המשפט הרלוונטיים של שוויץ" (ככל שרלוונטי);​​ 
vii. בסעיף 17, סעיפי החוזה הסטנדרטיים יחולו על חוקי אנגליה וויילס או שוויץ (ככל שרלוונטי); ו-​​ 
viii. בנוגע להעברות עליהן חלים חוקי הגנת המידע של בריטניה, סעיף 18 יתוקן כך שיקבע "כל מחלוקת הנובעת מסעיפים אלה תיפתר על ידי בתי המשפט של אנגליה וויילס." נושא מידע רשאי להגיש הליכים משפטיים נגד יצואן הנתונים ו/או יבואן הנתונים בפני בתי המשפט של כל מדינה בבריטניה. "הצדדים מסכימים להיכנע לסמכות השיפוט של בתי משפט כאמור", וביחס להעברות עליהן חלים חוקי הגנת המידע השוויצריים, סעיף 18(ב) יקבע כי סכסוכים ייפתרו בפני בתי המשפט הרלוונטיים של שוויץ.​​ 
ט'. ביחס לנתונים המוגנים על ידי האסדרה הכללית להגנה על מידע, ה-SCC של האיחוד האירופי יחולו כדלקמן: (i) יגישו כפי שהושלם בהתאם לפסקאות (i) עד (viii) לעיל; ו-(ii) ייחשב מתוקן כפי שמוגדר בחלק 2 של נספח בריטניה, אשר ייחשב כמשולב ומהווה חלק אינטגרלי מ-DPA זה. בנוסף, טבלאות 1 עד 3 בחלק 1 של הנספח לבריטניה ימולאו בהתאמה עם המידע המפורט בנספח I ובנספח II של הסכם עיבוד נתונים זה, וטבלה 4 בחלק 1 של הנספח לבריטניה תיחשב כלא הושלמה על ידי בחירה ב"אף אחד מהצדדים".​​ 
ג. ביחס להעברות של מידע אישי המוגן על ידי חוק ה-LGPD של ברזיל, בין ישירות ובין באמצעות העברה נוספת, למדינה מחוץ לברזיל שאינה כפופה להחלטת נאותות שהונפקה על ידי חוק ה-ANPD, הסכמי ה-SCC של ברזיל ייחשבו ככאלה שנכנסו ושולבו ב-DPA זה באמצעות הפניה זו, והושלמו כדלקמן:​​ 
סעיף 2 של תנאי ה-SCC של ברזיל מתקיים על ידי המידע המפורט בנספח I, המתאר את העברת הנתונים;​​ 
ב. בסעיף 3 של תנאי ה-SCC של ברזיל, אפשרות ב' תחול, כאשר העברות הלאה מותרות בהתאם לסעיף 3.5 ("מעבדי משנה") של הסכם עיבוד נתונים זה. נושא העיבוד, אופיו ומשכו מפורטים בנספח I להסכם זה למידע אישי;​​ 
ג. סעיף 4 של תנאי ה-SCC של ברזיל מתקיים על ידי המידע המפורט בנספח I של הסכם עיבוד נתונים זה. כאשר G-P הוא מבקר, הוא יהיה "הצד המיועד", כפי שמוגדר ב-SCCs של ברזיל, ולצורך סעיף 14 (שקיפות), סעיף 15 (זכויות נושא נתונים) וסעיף 16 (דיווח אירועים) של ה-SCC בברזיל. הלקוח נשאר אחראי לתאימות באמצעות סעיף 14 (שקיפות), סעיף 15 (זכויות נושא נתונים) וסעיף 16 דיווח על אירועים) של רשויות ה-SCC בברזיל, עבור כל מידע אישי שעליו עשוי להיות בקר;​​ 
ד. בסעיף 9 של תנאי ה-SCC של ברזיל, סעיף העגינה האופציונלי לא יחול; ו-​​ 
סעיף III (אמצעי אבטחה) של הסכם השוויון והשתלטות של ברזיל ייחשב כהושלם עם המידע המפורט בנספח II להסכם עיבוד נתונים זה.​​ 
4.4​​  העברות נתונים בלתי צפויות​​ אם, במהלך מתן השירותים, מי מהצדדים יזהה כי מתרחשת או צפויה להתרחש העברה של נתונים אישיים שלא טופלה כבר על ידי המנגנונים המפורטים בסעיפים 4.1 עד 4.3 של הסכם הגנת מידע זה, הצדדים יודיעו זה לזה באופן מיידי וישתפו פעולה בתום לב כדי ליישם, ללא עיכוב בלתי סביר, מנגנוני העברה נוספים או אמצעים משלימים כפי שיידרשו על פי חוקי הגנת המידע הרלוונטיים כדי להבטיח את חוקיות ההעברה האמורה. אף צד לא יידרש להמשיך בהעברה בלתי צפויה כאמור עד שיוסכם ויושם המנגנון המתאים.​​ 
 

נספח א'​​  

תיאור עיבוד נתונים​​ 
פרטי קשר בין בקר עצמאי לבעל שליטה​​ 
(סעיף זה מתייחס לפרטי המידע האישי המשותף בין הצדדים בתפקידם כבעלי אחריות)​​ 
מסיבות​​ 
ייצוא נתונים: ישות לקוח המבצעת את הסכם האב​​ 
מייבא נתונים: Globalization Partners LLC.​​ 
פרטי יצירת קשר עם הצדדים​​ 
פרטי התקשרות כפי שנקבעו בהסכם הראשי.​​ 
פעילויות הרלוונטיות לנתונים המועברים​​ 
פעילויות הקשורות לשירותי מעסיק הרישום.​​ 
תפקידים​​ 
ייצוא נתונים: בקר.​​ 
יבואן נתונים: בקר.​​ 
פעילויות עיבוד​​ 
הנתונים האישיים המעובדים/המועברים עשויים להיות כפופים לפעילויות העיבוד הבאות: כל פעולה הנוגעת לנתונים אישיים ללא תלות באמצעים ובנהלים, ובפרט באיסוף, ארגון, אחסון, שמור, שימוש, שליפה, ייעוץ, ארכוב, העברה, חסימה, מחיקה או השמדה של נתונים, הפעלה ותחזוקה של מערכות, תאימות, פונקציות משפטיות וביקורתיות.​​ 
משך העיבוד​​ 
תקופת הסכם המכרז ובאופן רציף.​​ 
אופי ומטרת העיבוד​​ 
הלקוח רשאי להעביר נתוני לקוח ל-G-P, והיקף הנתונים נקבע ונשלט על ידי הלקוח לפי שיקול דעתו הבלעדי. מטרת העיבוד היא לספק למעסיק הרשומות שירותים בהתאם להסכם הראשי.​​ 
קטגוריות של נושאי נתונים​​ 
אנשי מקצוע.​​ 
סוגי נתונים אישיים​​ 
פרטי קשר (שעשויים לכלול שם, כתובת, כתובת דוא"ל, טלפון, פקס, פרטי קשר לחירום ומידע על אזור זמן מקומי).​​ 
פרטי תעסוקה (שיכולים לכלול השכלה, קורות חיים, כותרת תפקיד, דרגה, דמוגרפיה, נתוני מיקום, לאום וסטטוס תאימות ייצוא, משכורת, בונוס).​​ 
תוכן הדוא"ל של נושאי הנתונים.​​ 
פרטים על שירותים הניתנים לבעלי מידע או לטובתם.​​ 
קטגוריות מיוחדות של נתונים (אם רלוונטי)​​  
לא רלוונטי​​ 
הַחזָקָה​​ 
נתונים אישיים יישמרו לפחות כל עוד תקופת השמירה המינימלית הנדרשת על פי חוק רלוונטית, בהתאם לחוקי ההתיישנות הרלוונטיים ולנהלים עסקיים תקינים.​​ 
רשות פיקוח מוסמכת​​ 
הרשות הפיקוחית המוסמכת תיקבע בהתאם לחוקי הגנת המידע החלים ותכלול: נציבות הגנת המידע האירית (עבור האיחוד האירופי האסדרה הכללית להגנה על מידע); נציב הגנת המידע והמידע הפדרלי השווייצרי / FDPIC (עבור FADP שווייצרי); משרד נציב המידע הבריטי / ICO (עבור UK האסדרה הכללית להגנה על מידע); ו-Autoridade Nacional de Proteção de Dados / ANPD (עבור ברזיל LGPD).​​ 
העברות למעבדי משנה​​  
עבור העברות למעבדים, נושא העיבוד, אופיו ומשכו זהים לאלה שהוגדרו לעיל.​​ 
פרטי יצירת קשר G-P​​  
 
לידיעת: משרד הפרטיות הגלובלי.​​  
 
 
 
פרטי קשר בין בקר למעבד​​ 
(סעיף זה עוסק בפרטי הנתונים האישיים המעובדים על ידי G-P מטעם הלקוח)​​ 
מסיבות​​ 
ייצוא נתונים: ישות לקוח המבצעת את הסכם האב​​ 
מייבא נתונים: Globalization Partners LLC.​​ 
פרטי יצירת קשר עם הצדדים​​ 
פרטי התקשרות כפי שנקבעו בהסכם הראשי.​​ 
פעילויות הרלוונטיות לנתונים המועברים​​ 
פעילויות הקשורות למעסיק שירותי הרישומים ולשימוש ב-GPP המסופק ללקוח כשירות.​​ 
תפקידים​​ 
ייצוא נתונים: בקר​​ 
יבואן נתונים: מעבד​​ 
פעילויות עיבוד​​ 
הנתונים האישיים המעובדים / מועברים עשויים להיות כפופים לפעילויות העיבוד הבאות: כל פעולה הקשורה לנתונים אישיים ללא קשר לאמצעים ולנהלים המופעלים, ובפרט איסוף, ארגון, אחסון, החזקה, שימוש, אחזור, עיון, אחסון בארכיון, העברה, חסימה, מחיקה או השמדה של נתונים, תפעול ותחזוקה של מערכות, תפקודי תאימות, משפט וביקורת.​​ 
משך העיבוד​​ 
תקופת הסכם המכרז ובאופן רציף.​​ 
אופי ומטרת העיבוד​​ 
הלקוח רשאי להעביר נתוני לקוח ל-G-P, והיקף הנתונים נקבע ונשלט על ידי הלקוח לפי שיקול דעתו הבלעדי. מטרת העיבוד היא לספק שירות GPP ללקוח בהתאם להסכם הראשי.​​ 
קטגוריות של נושאי נתונים​​ 
משתמשים מורשים של ה-GPP שעשויים לכלול עובדי הלקוח ו/או קבלנים.​​ 
סוגי נתונים אישיים​​ 
פרטי קשר (כגון מספר טלפון ודוא"ל).​​ 
נתוני עובדים / קבלנים (כגון שם תפקיד ושם החברה).​​ 
נתוני שימוש (כגון נתונים על המכשיר של המשתמש המורשה וכיצד מכשיר זה מקיים אינטראקציה עם ה-GPP).​​ 
נתוני מיקום (כגון מיקום הנגזר מכתובת ה-IP).​​ 
נתוני תוכן (כגון תוכן קבצי הלקוח בנוגע לאנשי המקצוע ותקשורת קשורה).​​ 
אישורים (כגון סיסמאות, רמזים לסיסמאות ומידע אבטחה דומה המשמש לאימות וגישה לחשבון ל-GPP).​​ 
כל מידע אישי המסופק על ידי משתמשים מורשים.​​ 
קטגוריות מיוחדות של נתונים (אם רלוונטי)​​  
לא רלוונטי​​ 
הַחזָקָה​​ 
נתונים אישיים יישמרו לפחות כל עוד תקופת השמירה המינימלית הנדרשת על פי חוק רלוונטית, בהתאם לחוקי ההתיישנות הרלוונטיים ולנהלים עסקיים תקינים.​​ 
רשות פיקוח מוסמכת​​ 
הרשות הפיקוחית המוסמכת תיקבע בהתאם לחוקי הגנת המידע החלים ותכלול: נציבות הגנת המידע האירית (עבור האיחוד האירופי האסדרה הכללית להגנה על מידע); נציב הגנת המידע והמידע הפדרלי השווייצרי / FDPIC (עבור FADP שווייצרי); משרד נציב המידע הבריטי / ICO (עבור UK האסדרה הכללית להגנה על מידע); ו-Autoridade Nacional de Proteção de Dados / ANPD (עבור ברזיל LGPD).​​ 
העברות למעבדי משנה​​  
עבור העברות למעבדים, נושא העיבוד, אופיו ומשכו זהים לאלה שהוגדרו לעיל.​​ 
פרטי יצירת קשר G-P​​  
 
לידיעת: משרד הפרטיות הגלובלי.​​  
 

נספח II​​ 

אמצעים טכניים וארגוניים​​ 

G-P אושר ואושר לאישור תאימות עם תקני SOC 2 ו-ISO 27001 , על ידי מבקרים עצמאיים. הסמכות כאלה מדגימות את מחויבותנו לאבטחת נתוני לקוחות. תוכנית האבטחה של G-P מיועדת ל:​​ 

להגן על סודיות, שלמות וזמינות נתוני לקוחות שבבעלות G-P או שאליהם יש גישה ל-G-P;​​ 

להגן מפני כל איום או סכנה צפויים לסודיות, לשלמות ולזמינות של נתוני הלקוח;​​ 

להגן מפני גישה, שימוש, גילוי, שינוי או השמדה בלתי מורשית או בלתי חוקית של נתוני לקוח;​​ 

להגן מפני אובדן, הרס או נזק מקריים של נתוני לקוחות; ו​​ 

מידע הגנה כפי שנקבע בכל תקנה שעל פיה G-P עשויים להיות מפוקחים.​​ 

להלן תיאור הפונקציות, התהליכים, הבקרות, המערכות, הנהלים והאמצעים שנקטה G-P כדי להבטיח את אבטחת עיבוד נתוני הלקוחות:​​ 

1) אמצעים טכניים להבטחת פרטיות והגנה על נתונים​​ 

פרטיות מעוצבת וברירת מחדל:​​ 

G-P לוקחת בחשבון את דרישות סעיף 25 האסדרה הכללית להגנה על מידע בשלב הרעיון והפיתוח של פיתוח המוצר. תהליכים ופונקציונליות מוגדרים באופן כזה שעקרונות הגנת המידע כגון חוקיות, שקיפות, הגבלת מטרה, מזעור נתונים וכו', כמו גם אבטחת העיבוד, נלקחים בחשבון בשלב מוקדם.​​ 

ב) הצפנת נתונים אישיים:​​ 

להבטיח כי נתונים אישיים נשמרים במערכת אך ורק באופן שאינו מאפשר לצדדים שלישיים לזהות את נושא המידע.​​ 

הצפנת מסד נתונים ואחסון:​​ 

בכל מסדי הנתונים בהם משתמשת G-P נעשה שימוש בהצפנה "במנוחה" לפי מצב הטכנולוגיה, כך שניתן לקרוא את הנתונים ממסד הנתונים רק לאחר אימות תקין במערכת המסד הרלוונטית.​​ 

הצפנת מדיה של נתונים ניידים:​​ 

השימוש בספקי נתונים ניידים לאחסון נתוני לקוחות אינו מותר.​​ 

הצפנת נשאי נתונים במחשבים ניידים:​​ 

הצפנת דיסק קשיח מתקדמת ומתקדמת מותקנת בכל המחשבים הניידים של העובדים.​​ 

חילופי מידע וקבצים מוצפנים:​​ 

בעיקרון, החלפת מידע וקבצים מוצפנת ישירות באמצעות מועמדות מיוחדת. אם יש להעביר נתונים אישיים או מידע סודי לשרתים שלא ניתן לשלוח אותם באמצעות העלאות HTTPS מוצפנות TLS, אלה יועברו באמצעות פרוטוקול העברת קבצים מאובטח (SFTP), שירות מעטפה מוצפן או מנגנון מוצפן אחר בהתאם לתקדמות הטכנולוגיה.​​ 

הצפנת דוא"ל:​​ 

בעיקרון, כל המיילים שנשלחים על ידי עובדי G-P מוצפנים ב-TLS. ייתכן שיהיו יוצאים מן הכלל אם שרת הדואר המקבל אינו תומך ב-TLS. על הלקוח לוודא ששרתי הדואר המתאימים בהם נעשה שימוש במסגרת ההזמנה תומכים בהצפנת TLS.​​ 

ג) בקרת כניסה​​ 

בקרות כניסה נועדו ומוטמעות על מנת למנוע שימוש ועיבוד של נתונים המוגנים על ידי חוקי הגנת המידע על ידי אנשים בלתי מורשים.​​ 

שימוש בשיטות אימות​​ 

הגישה למידע אישי מתבצעת תמיד באמצעות פרוטוקולים מוצפנים: SSH, SSL/TLS, HTTPS או פרוטוקולים דומים. הליך אימות עבור מערכת IT: כניסה למערכת IT באמצעות אימות רב-גורמי.​​ 

חסימה אוטומטית במקרה של חוסר פעילות​​ 

מחשבים ניידים בהם משתמשים עובדי G-P נעולים עם סיסמה או קוד PIN כאשר המשתמש אינו בשימוש. בנוסף, נעילת מסך אוטומטית עם הגנה בסיסמה מוגדרת לאחר 15 דקות של חוסר פעילות.​​ 

שימוש בתוכנת אנטי-וירוס​​ 

המחשבים הניידים בהם משתמשים עובדי G-P מצוידים בתוכנת אנטי-וירוס מתקדמת שמעדכנת בכל מערכות ה-IT התפעוליות או העסקיות. כעיקרון, אין להפעיל מחשבים ללא הגנה מפני וירוסים מותקנת אלא אם כן ננקטו אמצעי אבטחה חדישים אחרים או שאין סיכון. אסור להשבית או לעקוף את הגדרות האבטחה המוגדרות כברירת מחדל.​​ 

"מדיניות שולחן עבודה נקי"​​ 

עובדי G-P מתבקשים לא להדפיס או לאחסן מקומית מידע אישי של נושאי נתונים, לא להשאיר חומרי עבודה במקום שבו ניתן לצפות בהם על ידי צדדים שלישיים, ולשמור את כל חומרי העבודה כראוי. מסמכים ש-G-P מחויב על פי חוק להחזיק בעותק מודפס נשמרים בארונות נעולים.​​ 

ד) בקרות גישה בתוך הפלטפורמה​​ 

בקרות גישה מבטיחות כי לאנשים המורשים להשתמש במערכת עיבוד תהיה גישה רק למידע האישי המכוסה על ידי הרשאת הגישה שלהם.​​ 

תפקידים והרשאות​​ 

תפקידים והרשאות פלטפורמה – גישת לקוחות משתמשי לקוחות יכולים לצפות ולערוך את פרטי חשבון הלקוח עצמם.​​ 

תפקידים והרשאות פלטפורמה – גישה מקצועית משתמשים מקצועיים יכולים לצפות ולערוך את המידע המקצועי שלהם.​​ 

אנשי מקצוע יכולים גם לקבל תפקיד גישת לקוח לפי דרישה + אישור​​ 

תפקידים והרשאות פלטפורמה – גישה פנימית​​ 

למשתמשי גישה פנימית יש תפקידים מגוונים. יש להם גישה מגוונת ליצירה, צפייה, עריכה ואישור של הפריטים הבאים:​​ 

מידע על הלקוח​​ 

פרטי חיוב​​ 

מידע על שותפים​​ 

מידע על רישומי כוח אדם מקצועי​​ 

הגישה למערכת הניהול מוגבלת בדרך כלל לעובדים מיומנים בתחומי תמיכת לקוחות ופיתוח מוצרים.​​ 

ה) חומת אש כשירות​​ 

שימושי G-P משתמשים בחומת אש חיצונית כשירות שמאפשר לה להעניק או לחסום גישה לאתרים כדי לוודא שמערכות לא יכולות לגשת לתוכן זדוני ולהגביל גישה לתוכן לא הולם.​​ 

ו) רשומת ההתחברות לפלטפורמה​​ 

G-P שומר תיעוד של כל פעילות ההתחברות.​​ 

ז) הפרדה​​ 

הבטחה שניתן לעבד נתונים אישיים שנאספו למטרות שונות בנפרד ולהפריד אותם מנתונים ומערכות אחרות באופן שאי אפשר להשתמש בהם באופן לא מתוכנן למטרות אחרות.​​ 

הפרדת סביבות פיתוח, בדיקה ותפעול​​ 

ניתן להעביר נתונים מסביבת ההפעלה לסביבות בדיקה או פיתוח רק אם הם הפכו אנונימיים לחלוטין לפני ההעברה. העברת הנתונים האנונימיים חייבת להיות מוצפנת או דרך רשת אמינה.​​ 

תוכנה שתועבר לסביבת ההפעלה חייבת להיבדק תחילה בסביבת בדיקה זהה ("staging"). תוכנות לניתוח שגיאות או ליצירה/קומפילציה של תוכנה מותר להשתמש בסביבת ההפעלה רק אם לא ניתן להימנע מכך. זה נכון במיוחד אם מצבי שגיאה תלויים בנתונים שיזויפו עקב דרישות האנונימיזציה בעת העברה לסביבות בדיקה.​​ 

הפרדה ברשתות​​ 

G-P מפריד בין הרשתות שלו לפי משימות. הרשתות הבאות נמצאות בשימוש קבוע: סביבת הפעלה ("Production"), סביבת בדיקה ("Staging", "Sandbox"), סביבת פיתוח ("Dev") וצוות IT במשרד. בנוסף לרשתות אלו, נוצרות רשתות נפרדות נוספות לפי הצורך, למשל, עבור בדיקות שחזור ומבחני חדירה. בהתאם לאפשרויות הטכניות, הרשתות מופרדות פיזית או באמצעות רשתות וירטואליות.​​ 

ח) בקרת זמינות​​ 

G-P נוקטת בצעדים הבאים כדי להבטיח שנתונים אישיים מוגנים מפני הרס או אובדן מקרי.​​ 

נהלי הגנת מידע/גיבויים​​ 

כדי להבטיח זמינות מספקת, G-P מיישמת תמונות מצב יומיות של מסד הנתונים שלה עם שכפול לאזור אחר. כמו כן, ננקטים אמצעים על מנת להבטיח שעובדים בעלי צורך עבודה לעיין בנתונים יוכלו לגשת רק למערכי נתונים משוכפלים.​​ 

יתירות גיאוגרפית בכל הנוגע לתשתית שרתים של נתונים פרודוקטיביים וגיבויים​​ 

ניהול אירועי IT ("ניהול תגובה לאירועים")​​ 

קיימת תפיסה ונהלים מתועדים לטיפול באירועים ובאירועים הרלוונטיים לבטיחות. זה כולל את התכנון וההכנה של התגובה לאירועים, נהלים לניטור, גילוי וניתוח אירועים רלוונטיים לאבטחה והגדרת תחומי אחריות וערוצי דיווח תואמים במקרה של הפרת הגנת מידע אישי במסגרת הדרישות החוקיות.​​ 

2) אמצעים ארגוניים להבטחת פרטיות והגנה על נתונים​​ 

G-P יישמה את האמצעים הארגוניים הבאים כדי להבטיח שהארגון יפעל באופן העומד בדרישות פרטיות והגנה על נתונים.​​ 

א) הוראות ארגוניות​​ 

G-P פיתחה ומפתחת תוכנית ממשל נתונים הכוללת מדיניות, נהלים והנחיות עבור העובדים. התיעוד כולל כיצד לזהות ולנהל סוגיות פרטיות נתונים, שיטות עבודה מומלצות להבטחת פרטיות תאימות, ומדיניות לטיפול באירועי פרטיות.​​ 

ב) מחויבות לסודיות ולהגנה על נתונים​​ 

G-P פיתחה ומפתחת תוכנית ממשל נתונים הכוללת מדיניות, נהלים והנחיות עבור העובדים. כל העובדים והקבלנים מחויבים בכתב לסודיות ולהגנת מידע, כמו גם לחוקים רלוונטיים אחרים. כל העובדים עוברים הדרכה בנושא פרטיות ואבטחה. ביקורות פנימיות בנושא הגנת נתונים ואבטחת מידע נערכות באופן קבוע. ביקורות מתבצעות על בסיס קריטריונים/תוכניות בדיקה משותפות. העובדים והקבלנים של G-P מתבקשים לעבד נתונים אישיים מסיבות חוקיות בלבד, בהתאם לחוזים החלים עם הלקוח והמקצוען, תוך התחשבות בכל הסכמה מפורשת שניתנה או נמנעת על ידי נושא המידע, ובהתאם לכל חובה חוקית של הארגון.​​ 

ג) הכשרה להגנה על מידע​​ 

כל העובדים עוברים הכשרה בפרטיות ואבטחה, שנשארת זמינה לסקירה בכל עת בפלטפורמת ההדרכה של G-P.​​ 

ד) בקרות גישה פיזיות​​ 

ל-G-P יש את הבקרות הפיזיות הבאות כדי למנוע מאנשים לא מורשים גישה לציוד מערכות IT המשמש לעיבוד.​​ 

הגנה אלקטרונית לדלת​​ 

דלתות הכניסה למשרדי G-P תמיד נעולות ומאובטחות אלקטרונית. הדלתות נפתחות באמצעות משיב אלקטרוני אישי.​​ 

חלוקה מבוקרת של מפתחות​​ 

מתבצעת הקצאה מרכזית ומתועדת של מפתחות לעובדי G-P. המשדרים/מפתחות האלקטרוניים הללו יכלו להיות מושבתים באופן מרכזי על ידי כל מנהל משרד או מחלקת משאבים של האנשים.​​ 

פיקוח וליווי של גורמים חיצוניים​​ 

ספקי שירותים חיצוניים וצדדים שלישיים אחרים עשויים לקבל גישה למקום רק באישור מוקדם או כאשר הם מלווים על ידי עובד של G-P. G-P מיישמת את מדיניות המבקרים הכתובה שלה כאשר מוזמנים מבקרים למתחם.​​ 

אבטחת מבנים עם צורך מוגבר בהגנה​​ 

מבנים או ארונות עם דרישות הגנה מוגברות, כגון משרדים משפטיים ואתרי תפעול מסוימים, מצוידים בארונות ומגירות ננעלים. ארונות ומגירות בהם מוחזקים מסמכים משפטיים, חוזים ומסמכים סודיים יש לנעול בכל עת, למעט כאשר הם בשימוש.​​ 

דלתות וחלונות סגורים​​ 

העובדים מקבלים הנחיות ארגוניות לסגור או לנעול חלונות ודלתות מחוץ לשעות העבודה.​​ 

ה) יכולת השבה​​ 

G-P מבטיחה שניתן לשחזר מערכות בשימוש במקרה של כשל פיזי או טכני.​​ 

בדיקות תקופתיות של שחזור הנתונים ("בדיקות שחזור")​​ 

בדיקות שחזור מלאות באופן קבוע מבוצעות כדי להבטיח יכולת שחזור במקרה חירום/אסון.​​ 

תוכנית חירום ("קונספט התאוששות מאסון")​​ 

ישנה תפיסה לטיפול במצבי חירום/אסונות ותוכנית חירום תואמת. G-P מבטיחה את שחזור כל המערכות על בסיס גיבויי הנתונים / הגיבויים, בדרך כלל בתוך 48 שעות.​​ 

אמצעי סקירה והערכה​​ 

הצגת הנהלים לבדיקה, הערכה והערכה שוטפים של יעילות האמצעים הטכניים והארגוניים.​​ 

ו) צוות הפרטיות​​ 

לארגון יש משרד פרטיות נתונים גלובלית האחראי לתכנון, יישום, הערכה והתאמת אמצעים בתחום הגנת המידע.​​ 

ז) ניהול סיכונים​​ 

קיים תהליך לניתוח, הערכה והקצאת סיכונים ולגזירת צעדים על סמך סיכונים אלה.​​ 

3) סקירה בלתי תלויה של אבטחת מידע​​ 

ביצוע ביקורות​​ 

ביקורות פנימיות בנושא הגנת נתונים ואבטחת מידע נערכות באופן קבוע. ביקורות מתבצעות על בסיס קריטריונים/תוכניות בדיקה משותפות.​​ 

ב) סקירת תאימות עם מדיניות ותקני אבטחה​​ 

עמידה בהנחיות האבטחה, הסטנדרטים ודרישות אבטחה אחרות הרלוונטיות לעיבוד נתונים אישיים נבדקת באופן קבוע. במידת האפשר, בדיקות אלו מבוצעות באופן אקראי ובלתי צפוי.​​ 

ג) אימות תאימות עם מפרטים טכניים​​ 

סריקות פגיעויות אוטומטיות וידניות באופן קבוע מבוצעות על ידי מחלקת ה-IT או אנשי צוות מוסמכים אחרים כדי לאמת את אבטחת היישומים והתשתית, כמו גם את הפיתוח השוטף של המוצר. בדיקות חדירה מפורטות מבוצעות על ידי ספק שירות חיצוני כדי לבחון באופן ספציפי את היישומים והתשתית לאיתור פגיעויות.​​ 

ד) עיבוד לפי הוראה​​ 

עובדי G-P מתבקשים לעבד נתונים אישיים מסיבות חוקיות בלבד, בהתאם לחוזים החלים עם הלקוח והמקצוען, תוך התחשבות בכל הסכמה מפורשת שניתנה או נמנעת על ידי נושא המידע, ובהתאם לכל חובה חוקית של הארגון.​​ 

ה) בחירת ספקים קפדנית​​ 

G-P פועלת לפי תהליך הסמכת הספק המוקדמת שלה כאשר היא בוחרת ספקים וספקים שעשויים להיתקל בנתונים מוגנים. תהליך זה כולל משוב ממחלקות הכספים והמשפט/פרטיות ומשלב הערכת סיכונים, מיון מוקדם לאבטחה ושלבי אישור תיעוד. ספקים שיעבדו נתונים מוגנים יידרשו להוכיח את עמידתם בחוקי פרטיות הנתונים החלים, כולל סעיף 28 האסדרה הכללית להגנה על מידע עבור נתונים מכוסים​​ 

נספח ג'​​ 

רשימת מעבדי משנה​​ 
מעבד משנה​​ 
מיקום ופרטי קשר​​ 
תיאור העיבוד​​ 
3933 Lake Washington Blvd NE #350, Kirkland, WA 98033, ארה"ב​​ 
שירותים פיננסיים​​ 
ת.ד. תיבה 81226​​ 
סיאטל, וושינגטון 98108-1226, ארה"ב​​ 
אירוח – ספק שירותי ענן​​ 
תאגיד מיקרוסופט דרך אחת של מיקרוסופט​​ 
רדמונד, וושינגטון 98052 ארה"ב טלפון: (+1) 425-882-8080.​​ 
תמיכה בתהליכים עסקיים לתקשורת (דוא"ל) וניהול שירותים​​ 
350 קומת רחוב בוש 13​​ 
סן פרנסיסקו, קליפורניה 94104, ארה"ב​​ 
+1 415 701 1110​​ 
תמיכה בתהליכים עסקיים לניהול שירותים​​ 
DocuSign International (EMEA) Ltd, לידי: צוות הפרטיות, 5 Hanover Quay, קומת קרקע, דבלין 2, רפובליקת אירלנד​​ 
ניהול מסמכים​​ 
מגדל סיילספורס, רחוב מישן 415 , קומה 3 , סן פרנסיסקו, קליפורניה 94105, ארה"ב​​ 
1-800-387-3285​​ 
תמיכה בתהליכים עסקיים לניהול קשרי לקוחות (CRM)​​ 
רחוב מרקט 989​​ 
סן פרנסיסקו, קליפורניה 94103, ארה"ב​​ 
888-670-4887​​ 
פניות למוקד התמיכה של תמיכת לקוחות​​ 
2225 לוסון ליין סנטה קלרה, קליפורניה, 95054​​ 
אַרצוֹת הַבְּרִית​​ 
תמיכה בתהליכים עסקיים לשירותי IT וניהול תפעול, חוויות העובדים והלקוח דרך (​​ זרימת עבודה אוטומטית מבוססת ענן)​​ 
160 רחוב ספיר, קומה 15סן פרנסיסקו, קליפורניה 94105 1-866-330-0121​​ 
אַרצוֹת הַבְּרִית​​ 
תשתית מחסן נתונים בענן.​​ 
620 8ה​​  שדרה 45​​ ה​​  קוֹמָה​​ 
ניו יורק, ניו יורק 10018​​ 
אַרצוֹת הַבְּרִית​​ 
כלי לניטור וניפוי שגיאות שירות​​ 
שדרת לואיז 54, חדרים52,​​ 
1050 בריסל​​ 
בלגיה​​ 
מעבד תשלומים מקוון​​ 
1600 אמפיתיאטרון פארקווי, מאונטיין וויו, קליפורניה 94043​​ 
תמיכה בתהליכים עסקיים לתקשורת (דוא"ל) ואחסון מסמכים פנימי​​