G-P लोगो​​ 
एक प्रस्ताव का अनुरोध करें​​ 

MSA गोपनीयता भाषा​​ 

अंतिम अद्यतन: जून 26, 2026​​ 

डेटा सुरक्षा परिशिष्ट​​ 

ग्राहक और G-P एक मुख्य अनुबंध या समान प्रकृति और उद्देश्य वाले किसी अनुबंध (जिसे आगे "मुख्य अनुबंध" कहा जाएगा) के पक्षकार हैं। यह डीपीए मूल समझौते में उल्लिखित नियमों और शर्तों का पूरक है और उसमें समाहित है। इस डीपीए और इसमें उल्लिखित मुद्दों पर पक्षों के बीच किसी अन्य समझौते के बीच टकराव की स्थिति में, यह डीपीए प्रभावी होगा। यदि ग्राहक के पास पहले से ही G-P के साथ निष्पादित डेटा सुरक्षा अनुबंध है, तो वह समझौता इस डीपीए पर प्रभावी होगा, और यह डीपीए तब तक लागू नहीं होगा जब तक कि ग्राहक और G-P द्वारा लिखित रूप में अन्यथा सहमति न हो।​​ 
 

1. परिभाषाएं​​  

यहां परिभाषित नहीं किए गए शब्दों के अर्थ मास्टर समझौते में निर्धारित हैं। इस डीपीए में निम्नलिखित शब्दों के निम्नलिखित अर्थ हैं:​​ 
1.1 “​​ अधिकृत उपयोगकर्ता​​ "जीपीपी" का अर्थ है ग्राहक द्वारा अनुमत कोई व्यक्ति, जिसमें ग्राहक का कर्मचारी और/या ठेकेदार शामिल हो सकता है, जो मास्टर समझौते के निष्पादन के अनुसार ग्राहक की ओर से जीपीपी तक पहुंच और उसका उपयोग कर सकता है।​​ 
1.2 “​​ ग्राहक डेटा​​ "व्यक्तिगत डेटा" का अर्थ है किसी भी अधिकृत उपयोगकर्ता या पहचान योग्य प्राकृतिक व्यक्ति से संबंधित कोई भी व्यक्तिगत डेटा जिसे ग्राहक द्वारा जीपीपी के उपयोग के लिए सेवाओं के संबंध में ग्राहक की ओर से G-P द्वारा स्थानांतरित, संसाधित या संग्रहीत किया जाता है।​​ 
1.3 “​​ डेटा सुरक्षा​​  कानून​​ "इसका मतलब किसी भी डेटा सुरक्षा और गोपनीयता कानून से है, जिसके अधीन इस अनुबंध का एक पक्ष है और जो प्रदान की गई सेवाओं पर लागू होता है, जिसमें जहां लागू हो, लेकिन यहीं तक सीमित नहीं है, सामान्य डेटा सुरक्षा विनियमन, यूके सामान्य डेटा सुरक्षा कानून, स्विस डेटा संरक्षण कानून, यूएस गोपनीयता कानून (राज्य और संघीय कानूनों सहित), और ब्राजील एलजीपीडी।​​ 
1.4 “​​ एम्प्लॉयर ऑफ रिकॉर्ड​​ "का अर्थ है एम्प्लॉयर ऑफ रिकॉर्ड।​​ 
1.5 “​​ सामान्य डेटा संरक्षण विनियमन​​ ” का अर्थ है सामान्य डेटा संरक्षण विनियमन (ईयू) 2016/679 ।​​ 
1.6 “​​ जीपीपी​​ " G-Pके स्वामित्व वाले सॉफ़्टवेयर" से तात्पर्य है, बिना किसी सीमा के, सॉफ़्टवेयर, मोबाइल संस्करण, उसमें निहित कोई भी सॉफ़्टवेयर, और G-Pके स्वामित्व वाले सॉफ़्टवेयर या तृतीय-पक्ष सेवाओं के उपयोग के माध्यम से उपलब्ध कराया गया कोई भी डेटा, जिसमें उनके अपडेट, अपग्रेड, प्लेटफ़ॉर्म एज़ ए सर्विस और दस्तावेज़ीकरण शामिल हैं।​​ 
1.7 “​​ EEA​​ "यूरोपीय आर्थिक क्षेत्र" का अर्थ है।​​ 
1.8 “​​ एलजीपीडी​​ " का अर्थ है ब्राज़ील कानून संख्या। 13।709में, व्यक्तिगत डेटा के संरक्षण पर सामान्य कानून, जैसा कि संशोधित, अधिक्रमित या प्रतिस्थापित किया जा सकता है।​​ 
1.9 “​​ गोपनीयता नीति​​ "का अर्थ है G-Pकी गोपनीयता नीति, जिसे समय-समय पर अपडेट किया जाता है और जो यहां उपलब्ध है।​​   
1.10 “​​ पेशेवरों का डेटा​​ " का अर्थ है ग्राहक को नियोक्ता ऑफ रिकॉर्ड सेवाओं के प्रावधान के दौरान G-P द्वारा संसाधित पेशेवरों का व्यक्तिगत डेटा।​​ 
1.11 "​​ प्रतिबंधित स्थानांतरण​​  इसका अर्थ है व्यक्तिगत डेटा का ईईए, यूनाइटेड किंगडम, स्विट्जरलैंड या ब्राजील के बाहर किसी ऐसे देश में स्थानांतरण, जो लागू डेटा संरक्षण कानूनों के तहत पर्याप्तता निर्णय के अधीन नहीं है, और इसलिए लागू डेटा सुरक्षा कानूनों के तहत उचित सुरक्षा उपायों की आवश्यकता होती है।​​ 
1.12 “​​ सेवाएं​​  अर्थ​​  सेवाओं​​  मास्टर एग्रीमेंट के तहत G-P द्वारा ग्राहक को प्रदान की जाने वाली सेवाएं जिनमें क्रेडिट रिकॉर्ड सेवाओं का प्रावधान और जीपीपी तक पहुंच और उपयोग शामिल हो सकता है।​​ 
1.13 "​​ मानक संविदात्मक खंड"​​  या​​  "एससीसी"​​  मतलब (i) जहां सामान्य डेटा संरक्षण लागू होता है, यूरोपीय आयोग के कार्यान्वयन निर्णय (ईयू) 2021/914 दिनांक 4 जून 2021 से जुड़े मानक संविदात्मक खंड, यूरोपीय संसद और परिषद के विनियमन (ईयू) 2016/679 के अनुसार तीसरे देशों को व्यक्तिगत डेटा के हस्तांतरण के लिए मानक संविदात्मक खंड, उपलब्ध हैं​​   ("ईयू एससीसी"); (ii) जहां यूके सामान्य डेटा सुरक्षा प्रावधान लागू होता है, वहां लागू मानक डेटा सुरक्षा खंड अनुच्छेद 46(2)(सी), या (डी) के अनुसार अपनाया जाता है, जहां यूके सामान्य डेटा संरक्षण प्रावधान का अर्थ सूचना आयुक्त कार्यालय द्वारा जारी किए गए ईयू मानक संविदात्मक खंडों के लिए अंतर्राष्ट्रीय डेटा ट्रांसफर परिशिष्ट ("यूके परिशिष्ट") है। 119डेटा संरक्षण अधिनियम 2018 का ए(1), जैसे यूके परिशिष्ट को उसमें धारा 18 ("यूके एससीसी") के तहत संशोधित किया जा सकता है; (iii) जहां स्विस डेटा संरक्षण कानून लागू होते हैं, वहां स्विस संघीय डेटा संरक्षण प्राधिकरण और सूचना आयुक्त कार्यालय ("स्विस एससीसी") द्वारा जारी, अनुमोदित या मान्यता प्राप्त लागू मानक डेटा सुरक्षा खंड; जहां ब्राज़ीलियाई एलजीपीडी लागू होता है, वहां ब्राज़ीलियाई राष्ट्रीय डेटा संरक्षण प्राधिकरण ("एएनपीडी") द्वारा समय-समय पर संशोधित संकल्प सीडी/एएनपीडी संख्या 19/2024 से जुड़े लागू मानक संविदात्मक खंड ("ब्राज़ील एससीसी")।​​ 
1.14 “​​ स्विस डेटा संरक्षण कानून​​ " या​​  “एफएडीपी”​​  मतलब (i) स्विस संघीय डेटा संरक्षण अधिनियम (“​​ FDPA​​ ”); (ii) डेटा संरक्षण पर संघीय अधिनियम पर अध्यादेश (“​​ FODP​​ “); और (iii) इसके अंतर्गत, इसके अनुसरण में, इसके स्थान पर या इसके बाद बनाए गए कोई भी राष्ट्रीय डेटा सुरक्षा कानून और उपरोक्त में से किसी को भी प्रतिस्थापित या अद्यतन करने वाला कोई भी कानून।​​ 
1.15 “​​ यूके परिशिष्ट​​ "से तात्पर्य यूके सूचना आयुक्त द्वारा जारी यूरोपीय संघ के मानक संविदात्मक खंडों के लिए यूनाइटेड किंगडम के अंतर्राष्ट्रीय डेटा हस्तांतरण परिशिष्ट से है।​​ 
1.16 “​​ यूके डेटा संरक्षण कानून​​  यूनाइटेड किंगडम के यूरोपीय संघ (निकासी) अधिनियम 2019 ("यूके सामान्य डेटा संरक्षण संरक्षण") और डेटा संरक्षण अधिनियम 2018 (एक साथ, "यूके डेटा संरक्षण कानून") की धारा 3 के आधार पर यूनाइटेड किंगडम कानून में सहेजे गए सामान्य डेटा संरक्षण संरक्षण का मतलब है।​​ 
1.17 “​​ अमेरिकी गोपनीयता कानून​​ "से तात्पर्य संयुक्त राज्य अमेरिका (यूएस) के लागू राज्य कानूनों, आदेशों, विनियमों और नियामक मार्गदर्शन से है जो व्यक्तिगत डेटा के प्रसंस्करण से संबंधित हैं, जिनमें निम्नलिखित शामिल हैं, लेकिन इन्हीं तक सीमित नहीं हैं: (ए) सीसीपीए; (बी) वर्जीनिया का उपभोक्ता डेटा संरक्षण अधिनियम; (सी) कोलोराडो गोपनीयता अधिनियम; (डी) कनेक्टिकट का डेटा गोपनीयता और ऑनलाइन निगरानी संबंधी अधिनियम; (ई) यूटा उपभोक्ता गोपनीयता अधिनियम; और (एफ) सभी समान राज्य कानून।​​ 
1.18 "​​ नियंत्रक", "डेटा विषय", "व्यक्तिगत डेटा", "व्यक्तिगत जानकारी", "डेटा उल्लंघन", "प्रोसेसर", "प्रक्रिया/प्रसंस्करण", "प्रतिबंधित स्थानांतरण", "सेवा प्रदाता"​​  और/या किसी अन्य समान शब्दों और अवधारणाओं के अर्थ डेटा संरक्षण कानूनों में परिभाषित किए गए हैं।​​ 
 
 

2. स्वतंत्र नियंत्रक - नियंत्रक संबंध​​  

2।1​​  पार्टियों की भूमिकाएं।​​  जब G-P ग्राहक को रिकॉर्ड सेवाएँ प्रदान करता है, तो G-P ग्राहक द्वारा नियुक्त किए जाने वाले किसी भी व्यक्ति ("पेशेवर") के लिए कानूनी नियोक्ता की भूमिका निभाता है। ऐसे पेशेवरों के व्यक्तिगत डेटा के संबंध में, रोजगार संबंध की अवधि के दौरान G-P एक स्वतंत्र नियंत्रक है। ग्राहक द्वारा अपने स्वयं के उद्देश्यों के लिए एकत्रित और उपयोग किए गए पेशेवर के व्यक्तिगत डेटा के संबंध में, ग्राहक भी स्वतंत्र गोपनीयता दायित्वों के साथ एक स्वतंत्र नियंत्रक है। जब पेशेवर रिकॉर्ड सेवाएँ प्रदान की जाती हैं, तो G-P और ग्राहक के बीच पेशेवरों के व्यक्तिगत डेटा का आदान-प्रदान एक स्वतंत्र नियंत्रक-से-नियंत्रक संबंध के तहत होता है और इस अनुभाग 2 ("स्वतंत्र नियंत्रक-नियंत्रक संबंध") के प्रावधान लागू होंगे। किसी भी स्थिति में पक्षकार इस डेटा सुरक्षा समझौते के तहत संयुक्त नियंत्रक के रूप में व्यक्तिगत डेटा को संसाधित नहीं करेंगे।​​ 
2।2​​  जिम्मेदारियां और स्वीकृतियां​​ पक्षकार नियंत्रक के रूप में अपनी क्षमता में निम्नलिखित कार्य करेंगे:​​ 
2.2.1 पेशेवरों के व्यक्तिगत डेटा के प्रसंस्करण के संबंध में लागू डेटा संरक्षण कानूनों का अनुपालन करें।​​ 
2.2.2 पेशेवरों के व्यक्तिगत डेटा को निष्पक्ष और कानूनी रूप से संसाधित और साझा करना, (जैसा भी मामला हो) अपने वैध हितों के लिए प्रोमोशनलॉयर ऑफ रिकॉर्ड सेवाओं को निष्पादित करने या प्राप्त करने के उद्देश्य से।​​ 
2.2.3 यह सुनिश्चित करें कि पक्षों के बीच पेशेवर के व्यक्तिगत डेटा को साझा करने के लिए एक वैध प्रसंस्करण आधार लागू हो।​​ 
2.2.4 डेटा संरक्षण कानूनों के तहत अपने-अपने दायित्वों का पालन करने में एक-दूसरे की सहायता करें, जिसमें डेटा उल्लंघन होने पर एक-दूसरे की सहायता करना, डेटा विषयों और/या नियामकों के अनुरोधों का जवाब देना शामिल है, लेकिन यह इन्हीं तक सीमित नहीं है।​​  
 

3. नियंत्रक – प्रोसेसर संबंध​​ 

3।1​​  पक्षों की भूमिकाएँ​​ G-P जीपीपी के माध्यम से विभिन्न सॉफ्टवेयर-एज़-ए-सर्विस उत्पाद भी प्रदान करता है, जिसके माध्यम से G-P ग्राहकों को उन पेशेवरों के साथ संबंध प्रबंधित करने में सक्षम बनाता है। जब G-P ग्राहक को जीपीपी तक पहुंच प्रदान करता है, G-P ग्राहक द्वारा नियुक्त जीपीपी के अधिकृत उपयोगकर्ताओं द्वारा जीपीपी पर अपलोड किए गए खाते से संबंधित व्यक्तिगत डेटा के लिए प्रोसेसर होता है और ग्राहक ऐसे डेटा का नियंत्रक होता है, और इस खंड 3 ("नियंत्रक-प्रोसेसर संबंध") के प्रावधान लागू होंगे।​​ 
3।2​​  निर्देश।​​  G-P ग्राहक के लिखित निर्देशों के अनुसार ग्राहक डेटा को संसाधित करेगा।  ग्राहक इस बात से सहमत है कि यह डेटा प्रोसेसिंग समझौता (डीपीए), मुख्य समझौता और इसके साथ संलग्न अनुबंध I, ग्राहक डेटा के प्रसंस्करण के संबंध में G-P को ग्राहक के संपूर्ण निर्देशों को शामिल करते हैं।  किसी भी अतिरिक्त या वैकल्पिक निर्देशों पर दोनों पक्षों के बीच लिखित रूप में सहमति होनी चाहिए, जिसमें ऐसे निर्देशों का पालन करने से संबंधित लागतें (यदि कोई हो) भी शामिल हों।  ग्राहक यह सुनिश्चित करेगा कि उसके निर्देश लागू डेटा संरक्षण कानूनों का अनुपालन करते हैं। ग्राहक स्वीकार करता है कि G-P यह निर्धारित करने के लिए जिम्मेदार नहीं है कि ग्राहक के व्यवसाय पर कौन से कानून लागू होते हैं। ग्राहक यह सुनिश्चित करेगा कि ग्राहक के निर्देशों के अनुसार G-Pद्वारा ग्राहक डेटा का प्रसंस्करण करने से G-P किसी भी लागू कानून का उल्लंघन न करे, जिसमें लागू डेटा संरक्षण कानून भी शामिल हैं। हालांकि, यदि G-P का यह मत है कि ग्राहक का कोई निर्देश लागू डेटा संरक्षण कानूनों का उल्लंघन करता है, तो G-P यथाशीघ्र ग्राहक को सूचित करेगा और ऐसे उल्लंघनकारी निर्देश का पालन करने के लिए बाध्य नहीं होगा।​​  
3।3​​  प्रसंस्करण का विवरण​​ . प्रसंस्करण की विषय वस्तु, इसकी अवधि, प्रकृति और उद्देश्य, और ग्राहक डेटा और डेटा विषयों के प्रकार का विवरण इसके साथ संलग्न अनुलग्नक I में निर्दिष्ट है।​​   
3।4​​  कंप्लाएन्स.​​  ग्राहक और G-P अनुबंध I में निर्दिष्ट ग्राहक डेटा के प्रसंस्करण पर लागू डेटा संरक्षण कानूनों के तहत अपने-अपने दायित्वों का पालन करने के लिए सहमत हैं। G-P को किसी भी ग्राहक डेटा का खुलासा करने, स्थानांतरित करने या अन्यथा उपलब्ध कराने से पहले, ग्राहक डेटा के प्रसंस्करण की वैधता के संबंध में डेटा संरक्षण कानूनों का अनुपालन करने की एकमात्र जिम्मेदारी ग्राहक की है।  किसी भी संदेह से बचने के लिए, सभी मामलों में, ग्राहक को, जहां आवश्यक हो, G-P द्वारा ग्राहक के निर्देशानुसार ग्राहक डेटा को संसाधित करने के लिए डेटा विषयों से सहमति प्राप्त करनी होगी।​​ 
3।5​​  उपप्रोसेसर​​ ग्राहक, G-P सेवाओं के संबंध में ग्राहक डेटा को संसाधित करने के लिए प्रोसेसर ("उप-प्रोसेसर") नियुक्त करने और उनका उपयोग करने के लिए अधिकृत करता है।  सबप्रोसेसर में तृतीय पक्ष या G-P समूह की कंपनियों का कोई भी सदस्य शामिल हो सकता है। G-P इस डीपीए की तिथि तक G-P द्वारा पहले से ही नियुक्त किए गए सबप्रोसेसरों का उपयोग जारी रख सकता है, और ऐसे सबप्रोसेसरों की सूची नीचे संलग्न परिशिष्ट III में उपलब्ध है। यदि कोई सबप्रोसेसर ऊपर निर्दिष्ट अनुसार अपने डेटा सुरक्षा दायित्वों को पूरा करने में विफल रहता है, तो G-P सबप्रोसेसर के दायित्वों के निष्पादन के लिए ग्राहक के प्रति उत्तरदायी होगा। G-P जीपीपी के माध्यम से अपने सबप्रोसेसरों की सूची में किसी भी परिवर्तन की सूचना ग्राहक को देगा। यदि उस सूचना की प्राप्ति के 10 (दस) दिनों के भीतर, ग्राहक डेटा सुरक्षा के आधार पर किसी सबप्रोसेसर को जोड़ने या हटाने पर वैध रूप से आपत्ति करता है और G-P ग्राहक की आपत्ति को उचित रूप से समायोजित नहीं कर सकता है, तो पक्षकार मामले को सुलझाने के उद्देश्य से सद्भावनापूर्वक ग्राहक की चिंताओं पर चर्चा करेंगे।​​ 
3।6​​  तकनीकी और संगठनात्मक सुरक्षा उपाय​​ उद्योग मानकों, कार्यान्वयन की लागत, प्रसंस्करण की प्रकृति, दायरे, संदर्भ और उद्देश्यों तथा ग्राहक डेटा के प्रसंस्करण से संबंधित किसी भी अन्य प्रासंगिक परिस्थितियों को ध्यान में रखते हुए, G-P उचित तकनीकी और संगठनात्मक सुरक्षा उपायों को लागू करेगा ताकि ग्राहक डेटा के प्रसंस्करण में शामिल प्रसंस्करण प्रणालियों और सेवाओं की सुरक्षा, गोपनीयता, अखंडता, उपलब्धता और लचीलापन ऐसे ग्राहक डेटा के संबंध में जोखिम के अनुरूप हो, जैसा कि संलग्न परिशिष्ट II में विस्तार से बताया गया है।  G-P समय-समय पर (i) अपने सुरक्षा उपायों, नियंत्रणों, प्रणालियों और प्रक्रियाओं की प्रभावशीलता का परीक्षण और निगरानी करेगा तथा (ii) ग्राहक डेटा की सुरक्षा, गोपनीयता और अखंडता के लिए यथोचित रूप से अनुमानित आंतरिक और बाहरी जोखिमों की पहचान करेगा तथा यह सुनिश्चित करेगा कि इन जोखिमों का समाधान किया जाए।​​  
3।7​​  गोपनीयता​​ G-P यह सुनिश्चित करेगा कि ग्राहक डेटा तक पहुँचने के लिए अधिकृत व्यक्ति (i) गोपनीयता के लिए प्रतिबद्ध हों या गोपनीयता के उचित वैधानिक दायित्व के अधीन हों और (ii) लागू कानून द्वारा ऐसा करने की आवश्यकता न होने पर, G-P से दस्तावेजित निर्देशों पर ही ग्राहक डेटा तक पहुँच प्राप्त करें।​​ 
3।8​​  व्यक्तिगत डेटा उल्लंघन।​​  ग्राहक डेटा के प्रसंस्करण से संबंधित किसी भी डेटा उल्लंघन की जानकारी प्राप्त होने पर G-P बिना किसी अनावश्यक देरी के ग्राहक को सूचित करेगा और जहां तक संभव हो, डेटा उल्लंघन के प्रतिकूल प्रभावों को कम करने में ग्राहक की सहायता करने के लिए उचित प्रयास करेगा।​​ .​​ 
3।9​​  व्यक्तिगत डेटा को हटाना।​​   किसी भी कारण से सेवाओं के समाप्त होने पर, G-P यथाशीघ्र जीपीपी में संग्रहीत ग्राहक डेटा को वापस कर देगा या हटा देगा, जब तक कि लागू कानून के अनुसार ग्राहक डेटा को लंबी अवधि के लिए संग्रहीत करना आवश्यक न हो। इस तरह के प्रतिधारण के लिए इस डीपीए के प्रावधान ऐसे ग्राहक डेटा पर लागू होते रहेंगे।​​ 
3।10​​  डेटा विषय अनुरोध​​ G-P डेटा से संबंधित किसी भी डेटा विषय के अनुरोध के बारे में ग्राहक को तुरंत सूचित करेगा। ऐसे अनुरोधों का जवाब देने की जिम्मेदारी ग्राहक की है। G-P ग्राहक को ऐसे डेटा विषय अनुरोधों का जवाब देने में उचित सहायता प्रदान करेगा, उस हद तक जहां ग्राहक जीपीपी के उपयोग में संबंधित ग्राहक डेटा तक पहुंचने में असमर्थ है।​​  
3।11​​  तृतीय पक्ष अनुरोध​​ यदि G-P किसी तीसरे पक्ष से कोई अनुरोध या किसी सक्षम न्यायालय, न्यायाधिकरण, नियामक या सरकारी एजेंसी का कोई आदेश प्राप्त होता है जिसके अधीन G-P समझौते के तहत ग्राहक डेटा के प्रसंस्करण से संबंधित है, तो G-P तुरंत अनुरोध को ग्राहक को भेज देगा। जब तक कानूनी रूप से ऐसा करने के लिए बाध्य न किया जाए, G-P ग्राहक की पूर्व अनुमति के बिना ऐसे अनुरोधों का जवाब नहीं देगा। जब तक कानूनी रूप से ऐसा करने से मना न किया जाए, G-P ग्राहक के डेटा का कोई भी खुलासा करने से पहले ग्राहक को अग्रिम रूप से सूचित करेगा और ऐसे खुलासे के दायरे को कानूनी रूप से आवश्यक सीमा तक सीमित करने के लिए ग्राहक के साथ उचित सहयोग करेगा।​​   
3।12​​  डेटा संरक्षण प्रभाव आकलन और पूर्व परामर्श​​ डेटा संरक्षण कानूनों द्वारा अपेक्षित सीमा तक, G-P , G-P द्वारा किए गए ग्राहक डेटा के प्रसंस्करण के संबंध में डेटा सुरक्षा प्रभाव आकलन करने और/या पर्यवेक्षी अधिकारियों के साथ आवश्यक पूर्व परामर्श करने के लिए ग्राहक को उचित सहायता प्रदान करेगा। G-P इस प्रकार की सहायता प्रदान करने के लिए ग्राहक से उचित शुल्क लेने का अधिकार सुरक्षित है।​​ 
3।13​​  लेखा-परीक्षण।​​   Customer may audit G-P compliance with this DPA and Data Protection Laws by requesting a certificate issued for security verification reflecting the outcome of an audit conducted by a third party auditor (e.g., ISO27001 certification, SOC2 certificate), within twelve (12) months as of the date of Customer’s request. Alternatively, in the event the documentation provided subject to this Section 3.13 is not sufficient for the purpose of demonstrating compliance, the Customer may conduct its own audit in addition to the provided third party certifications or reports, provided that such audit shall be conducted: i) no more than once per each 12 (twelve) months period; ii) during normal business hours and without disrupting G-P’s day-to-day business; iii) with thirty (30) days prior written notice; iv) at the Customer’s sole expense; v) based upon mutually agreed parameters and scope, limited to the specific scope of services, systems in use and/or Processing activities contemplated hereunder; vi) based upon mutually agreed in advance date, subject to reasonable postponement by Customer upon G-P’s reasonable request; and vii) in accordance with all confidentiality obligations and restrictions. Notwithstanding the forgoing, no audit right is granted after termination of the Master Agreement, except for legal obligations that will have to be demonstrated by the Customer. Any third-party representative selected to perform an audit on behalf of Customer must not have an ownership interest in or affiliation with an EOR services company, agency, a related organization or consultant. Nothing in this DPA will require G-P to either disclose to Customer or its third-party auditor, or to allow Customer or its third-party auditor to access: (i) any data of any other G-P’s customer; (ii) G-P’ internal accounting or financial information; (iii) any trade secret of G-P or its affiliates; (iv) any information that, in G-P’ reasonable opinion, could compromise the security of any G-P’s systems or cause any breach of its obligations under applicable law or its security or privacy obligations to any third party; or (v) any information that Customer or its third-party auditor seeks to access for any reason other than the good faith fulfillment of Customer’s obligations under the Data Protection Laws.​​ 
3।14​​  अमेरिकी गोपनीयता कानून।​​  इस खंड 3 के तहत, पक्षकार सहमत हैं कि G-P एक "सेवा प्रदाता" या "प्रोसेसर" है जैसा कि लागू अमेरिकी गोपनीयता कानूनों के तहत ऐसे शब्दों को परिभाषित किया गया है। तदनुसार, जहां तक अमेरिकी गोपनीयता कानून G-P द्वारा ग्राहक डेटा के प्रसंस्करण पर लागू होते हैं, G-P (क) G-P और ग्राहक के बीच सीधे व्यावसायिक संबंध के बाहर या संलग्न परिशिष्ट I में उल्लिखित उद्देश्य के अलावा किसी अन्य उद्देश्य के लिए किसी भी ग्राहक डेटा को अपने पास नहीं रखेगा, उसका उपयोग नहीं करेगा या उसका खुलासा नहीं करेगा; और G-P ग्राहक डेटा का प्रसंस्करण केवल तभी तक करेगा जब तक वह ग्राहक को सेवाएं प्रदान करता है; (ख) किसी भी ग्राहक डेटा को बेचेगा नहीं; (ग) किसी भी ग्राहक डेटा को साझा नहीं करेगा; या (घ) G-P ग्राहक से या उसकी ओर से प्राप्त ग्राहक डेटा को किसी अन्य व्यक्ति से या उसकी ओर से प्राप्त "व्यक्तिगत डेटा" (जैसा कि यह शब्द या समकक्ष लागू डेटा संरक्षण कानूनों के तहत परिभाषित है) के साथ संयोजित नहीं करेगा, या उपभोक्ता के साथ अपनी स्वयं की बातचीत से एकत्र नहीं करेगा, बशर्ते कि G-P ग्राहक डेटा को संयोजित कर सकता है यदि यह ग्राहक को सेवाएं प्रदान करने के दायरे में आता है। जहां लागू हो, प्रत्येक पक्ष दूसरे पक्ष को सूचित करेगा यदि वह यह निर्धारित करता है कि वह अमेरिकी गोपनीयता कानूनों के तहत अपने दायित्वों को पूरा करने में सक्षम नहीं है।​​ 
 

4. अंतर्राष्ट्रीय डेटा स्थानांतरण​​ 

4।1​​  उचित सुरक्षा​​ सामान्य व्यावसायिक प्रक्रियाओं के तहत, G-P अपने सहयोगियों और/या उप-प्रोसेसरों को ग्राहक डेटा का विश्वव्यापी हस्तांतरण करने का अधिकार है।  जब किसी ऐसे क्षेत्र में डेटा का स्थानांतरण किया जाता है जिसे संबंधित डेटा सुरक्षा अधिकारियों द्वारा डेटा संरक्षण कानूनों के अनुसार व्यक्तिगत डेटा के लिए पर्याप्त स्तर की सुरक्षा प्रदान करने वाला क्षेत्र नहीं माना गया है, तो G-P यह सुनिश्चित करेगा कि मास्टर समझौते के तहत या उसके संबंध में स्थानांतरित किए गए ग्राहक डेटा की सुरक्षा के लिए उचित सुरक्षा उपाय मौजूद हों।​​ 
4।2​​  डेटा गोपनीयता ढांचा।​​  पेशेवरों​​  ग्राहक डेटा जीपीपी में संग्रहीत किया जाता है, जो यूएस में होस्ट किया जाता है G-P यूरोपीय संघ-यूएस डेटा गोपनीयता फ्रेमवर्क (ईयू-यूएस डीपीएफ) और, जहां लागू हो, यूरोपीय संघ-यूएस डीपीएफ के यूके एक्सटेंशन और स्विस-यूएस डेटा गोपनीयता फ्रेमवर्क (स्विस-यूएस डीपीएफ) के तहत प्रमाणित है। G-Pका प्रमाणन डीपीएफ वेबसाइट पर सार्वजनिक रूप से सत्यापित किया जा सकता है।​​   . ईयू-यूएस डेटा गोपनीयता फ्रेमवर्क को यूरोपीय आयोग द्वारा पर्याप्त माना गया था, जो क्रमशः सामान्य डेटा संरक्षण जनसंख्या, यूके सामान्य डेटा संरक्षण जनसंख्या और एफएडीपी के अनुच्छेद 45 के अनुसार एक वैध डेटा स्थानांतरण तंत्र है। यदि डीपीएफ फ्रेमवर्क को अमान्य घोषित कर दिया जाता है, निलंबित कर दिया जाता है, या अन्यथा अंतरराष्ट्रीय डेटा हस्तांतरण के लिए पर्याप्त सुरक्षा प्रदान करने के रूप में मान्यता नहीं दी जाती है, तो प्रोसेसर यूरोपीय आयोग, यूके सूचना आयुक्त कार्यालय (आईसीओ), या स्विस संघीय डेटा संरक्षण और सूचना आयुक्त (एफडीपीआईसी) द्वारा जारी या अनुमोदित एससीसी में प्रवेश करने और उनका अनुपालन करने के लिए सहमत होता है, जैसा भी लागू हो। पक्षकार हस्तांतरित डेटा के लिए अनिवार्य रूप से समतुल्य स्तर की सुरक्षा सुनिश्चित करने के लिए आवश्यक किसी भी पूरक उपाय को लागू करने के लिए सद्भावनापूर्वक सहयोग करेंगे।​​ 
4।3​​  मानक संविदात्मक खंड।​​  पक्षकार इस बात पर सहमत हैं कि जब ग्राहक ("डेटा निर्यातक") से G-P ("डेटा आयातक") को व्यक्तिगत डेटा का हस्तांतरण एक प्रतिबंधित हस्तांतरण है और लागू डेटा संरक्षण कानूनों के अनुसार उचित सुरक्षा उपाय किए जाने आवश्यक हैं, तो ऐसा हस्तांतरण उपयुक्त मानक संविदात्मक खंडों के अधीन होगा, जिन्हें इस डेटा संरक्षण समझौते में शामिल माना जाएगा और इसका हिस्सा माना जाएगा, जैसा कि नीचे दिया गया है:​​ 
एक। सामान्य डेटा संरक्षण एजेंसी द्वारा संरक्षित व्यक्तिगत डेटा के हस्तांतरण के संबंध में, ईयू एससीसी लागू होगी, जो निम्नानुसार पूरी होगी:​​ 
i. मॉड्यूल एक और दो लागू होंगे;​​ 
ii. खंड 7 में, वैकल्पिक डॉकिंग खंड लागू होगा;​​ 
iii. मॉड्यूल दो के खंड 9 में, विकल्प 2 लागू होगा, और उप-प्रोसेसर परिवर्तनों की पूर्व सूचना की समय अवधि इस डीपीए के खंड 3.5 में निर्धारित की जाएगी;​​ 
iv. खंड 11 में, वैकल्पिक भाषा लागू नहीं होगी;​​ 
खंड 12 में, ईयू एससीसी के तहत लाए गए किसी भी दावे को मास्टर समझौते में निर्धारित नियमों और शर्तों के अधीन किया जाएगा;​​ 
vi. खंड 17 में, विकल्प 1 लागू होगा, और ईयू एससीसी आयरिश कानून द्वारा शासित होंगे;​​ 
vii. खंड 18(ख) में विवादों का समाधान आयरलैंड की अदालतों के समक्ष किया जाएगा;​​ 
viii. इस डीपीए के अनुलग्नक 1 में दी गई जानकारी के साथ ईयू एससीसी का अनुलग्नक I पूर्ण माना जाएगा; और​​ 
ix. इस डीपीए के अनुलग्नक 2 में दी गई जानकारी के साथ ईयू एससीसी का अनुलग्नक II पूर्ण माना जाएगा;​​ 
x. ईयू एससीसी के मॉड्यूल दो का अनुलग्नक III इस डीपीए के अनुलग्नक 3 में दी गई जानकारी के साथ पूर्ण माना जाएगा।​​ 
बी। यूके डेटा संरक्षण कानूनों या स्विस डेटा संरक्षण कानूनों द्वारा संरक्षित व्यक्तिगत डेटा के हस्तांतरण के संबंध में, उपरोक्त उप-अनुच्छेद (ए) के तहत लागू किए गए यूरोपीय संघ के एससीसी निम्नलिखित संशोधनों के साथ लागू होंगे:​​ 
i. "विनियमन (ईयू) 2016/679" के संदर्भों को यूके डेटा संरक्षण कानूनों या स्विस डेटा संरक्षण कानूनों (जैसा लागू हो) के संदर्भों के रूप में समझा जाएगा;​​ 
ii. "विनियमन (ईयू) 2016/679" के विशिष्ट अनुच्छेदों के संदर्भों को यूके डेटा संरक्षण कानूनों या स्विस डेटा संरक्षण कानूनों (जैसा लागू हो) के समकक्ष अनुच्छेद या अनुभाग से प्रतिस्थापित किया जाएगा;​​ 
iii. "ईयू", "संघ", "सदस्य राज्य" और "सदस्य राज्य कानून" के संदर्भों को "यूके" या "स्विट्जरलैंड", या "यूके कानून" या "स्विस कानून" (जैसा लागू हो) के संदर्भों से प्रतिस्थापित किया जाएगा;​​ 
iv. "सदस्य राज्य" शब्द की व्याख्या इस प्रकार नहीं की जाएगी कि यूके या स्विट्जरलैंड में डेटा विषयों को उनके सामान्य निवास स्थान (अर्थात, यूके या स्विट्जरलैंड) में अपने अधिकारों के लिए मुकदमा करने की संभावना से बाहर रखा जाए;​​ 
v. खंड 13(ए) और अनुलग्नक I का भाग सी प्रयोग नहीं किया जाता है और "सक्षम पर्यवेक्षी प्राधिकरण" यूके सूचना आयुक्त या स्विस संघीय डेटा संरक्षण सूचना आयुक्त (जैसा लागू हो) है;​​ 
vi. "सक्षम पर्यवेक्षी प्राधिकरण" और "सक्षम न्यायालयों" के संदर्भों को "सूचना आयुक्त" और "इंग्लैंड और वेल्स के न्यायालय" या "स्विस संघीय डेटा संरक्षण सूचना आयुक्त" और "स्विट्जरलैंड के लागू न्यायालयों" (जैसा लागू हो) के संदर्भों से प्रतिस्थापित किया जाएगा;​​ 
vii. खंड 17 में, मानक संविदात्मक खंड इंग्लैंड और वेल्स या स्विट्जरलैंड (जैसा लागू हो) के कानूनों द्वारा शासित होंगे; और​​ 
viii. यूके डेटा संरक्षण कानूनों के लागू होने वाले स्थानान्तरणों के संबंध में, खंड 18 को संशोधित करके यह कहा जाएगा कि "इन खंडों से उत्पन्न कोई भी विवाद इंग्लैंड और वेल्स की अदालतों द्वारा हल किया जाएगा। डेटा का विषय डेटा निर्यातक और/या डेटा आयातक के खिलाफ यूके के किसी भी देश की अदालतों में कानूनी कार्यवाही शुरू कर सकता है। पक्षकार ऐसे न्यायालयों के अधिकार क्षेत्र के अधीन होने के लिए सहमत हैं, और उन स्थानान्तरणों के संबंध में जिन पर स्विस डेटा संरक्षण कानून लागू होते हैं, खंड 18(बी) में यह कहा जाएगा कि विवादों का समाधान स्विट्जरलैंड के लागू न्यायालयों के समक्ष किया जाएगा।​​ 
ix. यूके सामान्य डेटा संरक्षण द्वारा संरक्षित डेटा के संबंध में यूरोपीय संघ के एससीसी निम्नानुसार लागू होंगे: (i) उपरोक्त पैराग्राफ (i) से (viii) के अनुसार पूर्ण रूप से लागू होंगे; और (ii) यूके परिशिष्ट के भाग 2 द्वारा निर्दिष्ट अनुसार संशोधित माने जाएंगे, जिसे इस डीपीए में शामिल माना जाएगा और इसका अभिन्न अंग होगा। इसके अतिरिक्त, यूके परिशिष्ट के भाग 1 में तालिका 1 से 3 को क्रमशः इस डी.पी.ए. के अनुलग्नक I और अनुलग्नक II में दी गई जानकारी के साथ पूरा किया जाएगा और यूके परिशिष्ट के भाग 1 में तालिका 4 को "कोई पक्ष नहीं" का चयन करके पूरा माना जाएगा।​​ 
सी। ब्राजील एलजीपीडी द्वारा संरक्षित व्यक्तिगत डेटा के हस्तांतरण के संबंध में, चाहे प्रत्यक्ष रूप से या आगे हस्तांतरण के माध्यम से, ब्राजील के बाहर किसी ऐसे देश में जो एएनपीडी द्वारा जारी पर्याप्तता निर्णय के अधीन नहीं है, ब्राजील एससीसी को इस संदर्भ द्वारा इस डीपीए में दर्ज और शामिल माना जाएगा, और निम्नानुसार पूरा किया जाएगा:​​ 
i. ब्राजील एस.सी.सी. का खंड 2 अनुलग्नक I में दी गई जानकारी द्वारा संतुष्ट है, जो डेटा हस्तांतरण का वर्णन करता है;​​ 
ii. ब्राज़ील एस.सी.सी. के खंड 3 में, विकल्प बी लागू होगा, इस डी.पी.ए. के अनुभाग 3.5 (“उप-प्रक्रियाकर्ता”) के अनुसार आगे स्थानांतरण की अनुमति होगी। इस डीपीए के अनुबंध I में प्रक्रिया के विषय, प्रकृति और अवधि का उल्लेख किया गया है;​​ 
iii. ब्राजील एस.सी.सी. का खंड 4 इस डी.पी.ए. के अनुलग्नक I में दी गई जानकारी द्वारा संतुष्ट है। जहां G-P एक नियंत्रक है, वह ब्राजील एससीसी में परिभाषित "नामित पक्ष" होगा, और ब्राजील एससीसी के खंड 14 (पारदर्शिता), खंड 15 (डेटा विषय अधिकार), और खंड 16 (घटना रिपोर्टिंग) के प्रयोजनों के लिए। ग्राहक ब्राजील एससीसी के खंड 14 (पारदर्शिता), खंड 15 (डेटा विषय अधिकार), और खंड 16 घटना रिपोर्टिंग) के लिए किसी भी व्यक्तिगत डेटा के लिए जिम्मेदार रहता है जिसका वह अन्यथा नियंत्रक हो सकता है;​​ 
iv. ब्राज़ील एससीसी के खंड 9 में, वैकल्पिक डॉकिंग खंड लागू नहीं होगा; और​​ 
वी. ब्राजील एससीसी के खंड III (सुरक्षा उपाय) को इस डीपीए के अनुलग्नक II में दी गई जानकारी के साथ पूर्ण माना जाएगा।​​ 
4।4​​  अप्रत्याशित डेटा स्थानांतरण​​ यदि सेवाओं के प्रावधान के दौरान, किसी भी पक्ष को यह पता चलता है कि व्यक्तिगत डेटा का ऐसा स्थानांतरण होता है या होने की संभावना है जो इस डेटा संरक्षण समझौते की धारा 4.1 से 4.3 में उल्लिखित तंत्रों द्वारा पहले से ही संबोधित नहीं किया गया है, तो पक्ष एक दूसरे को तुरंत सूचित करेंगे और सद्भावनापूर्वक सहयोग करेंगे ताकि बिना किसी अनुचित देरी के, लागू डेटा संरक्षण कानूनों के तहत आवश्यक अतिरिक्त स्थानांतरण तंत्र या पूरक उपाय लागू किए जा सकें, ताकि ऐसे स्थानांतरण की वैधता सुनिश्चित हो सके। किसी भी पक्ष को इस तरह के अप्रत्याशित हस्तांतरण के साथ आगे बढ़ने के लिए तब तक बाध्य नहीं किया जाएगा जब तक कि उचित तंत्र पर सहमति न बन जाए और उसे लागू न कर दिया जाए।​​ 
 

अनुलग्नक I​​  

डेटा प्रोसेसिंग विवरण​​ 
स्वतंत्र नियंत्रक - नियंत्रक संबंध विवरण​​ 
(यह अनुभाग उन व्यक्तिगत डेटा के विवरण से संबंधित है जो नियंत्रक के रूप में पक्षों के बीच साझा किया जा रहा है।)​​ 
पार्टियां​​ 
डेटा निर्यातक: मुख्य समझौते पर हस्ताक्षर करने वाली ग्राहक इकाई​​ 
डेटा आयातक: Globalization Partners एलएलसी।​​ 
पार्टियों के संपर्क विवरण​​ 
मास्टर समझौते में निर्धारित संपर्क विवरण।​​ 
स्थानांतरित किए गए डेटा से संबंधित गतिविधियाँ​​ 
नियोक्ता ऑफ रिकॉर्ड सेवाओं से संबंधित गतिविधियाँ।​​ 
भूमिकाएँ​​ 
डेटा निर्यातक: नियंत्रक।​​ 
डेटा आयातक: नियंत्रक।​​ 
प्रसंस्करण गतिविधियाँ​​ 
संसाधित/स्थानांतरित व्यक्तिगत डेटा निम्नलिखित प्रसंस्करण गतिविधियों के अधीन हो सकता है: लागू किए गए साधनों और प्रक्रियाओं की परवाह किए बिना व्यक्तिगत डेटा के संबंध में कोई भी ऑपरेशन, विशेष रूप से डेटा का संग्रह, आयोजन, भंडारण, धारण, उपयोग, पुनर्प्राप्ति, परामर्श, संग्रह, प्रसारण, अवरोधन, मिटाना या नष्ट करना, सिस्टम का संचालन और रखरखाव, अनुपालन, कानूनी और लेखापरीक्षा कार्य।​​ 
प्रसंस्करण की अवधि​​ 
मुख्य समझौते की अवधि के दौरान और निरंतर आधार पर।​​ 
प्रसंस्करण की प्रकृति और उद्देश्य​​ 
ग्राहक अपने ग्राहक डेटा को G-P को हस्तांतरित कर सकता है, जिसकी सीमा ग्राहक द्वारा अपने विवेकानुसार निर्धारित और नियंत्रित की जाती है। प्रोसेसिंग का उद्देश्य मास्टर एग्रीमेंट के अनुसार ब्रोकरेज ऑफ रिकॉर्ड सेवाएं प्रदान करना है।​​ 
डेटा विषयों की श्रेणियाँ​​ 
पेशेवर।​​ 
व्यक्तिगत डेटा के प्रकार​​ 
संपर्क विवरण (जिसमें नाम, पता, ईमेल पता, टेलीफोन, फैक्स, आपातकालीन संपर्क विवरण और संबंधित स्थानीय समय क्षेत्र की जानकारी शामिल हो सकती है)।​​ 
रोजगार विवरण (जिसमें शिक्षा, बायोडेटा, नौकरी का शीर्षक, ग्रेड, जनसांख्यिकीय, स्थान डेटा, राष्ट्रीयता और निर्यात कंप्लान्स स्थिति, वेतन, बोनस शामिल हो सकते हैं)।​​ 
डेटा विषयों की ईमेल सामग्री।​​ 
डेटा विषयों को प्रदान की जाने वाली या उनके लाभ के लिए प्रदान की जाने वाली सेवाओं का विवरण।​​ 
डेटा की विशेष श्रेणियां (यदि उपयुक्त हो)​​  
एन / ए​​ 
अवधारण​​ 
व्यक्तिगत डेटा को कम से कम तब तक बनाए रखा जाएगा जब तक कि कोई भी लागू कानूनी रूप से अनिवार्य न्यूनतम अवधारण अवधि, जो सीमाओं के लागू क़ानूनों के अनुरूप है और अच्छी व्यावसायिक प्रथाओं को पूरा करता है।​​ 
सक्षम पर्यवेक्षी प्राधिकारी​​ 
सक्षम पर्यवेक्षी प्राधिकारी को लागू डेटा संरक्षण कानूनों के अनुसार निर्धारित किया जाएगा और इसमें शामिल होंगे: आयरिश डेटा संरक्षण आयोग (ईयू सामान्य डेटा संरक्षण के लिए); स्विस संघीय डेटा संरक्षण और सूचना आयुक्त / एफडीपीआईसी (स्विस एफएडीपी के लिए); यूके सूचना आयुक्त कार्यालय / आईसीओ (यूके सामान्य डेटा संरक्षण के लिए); और ऑटोरिडेड नैशनल डी प्रोटेकाओ डी दादोस / एएनपीडी (ब्राजील एलजीपीडी के लिए)।​​ 
सबप्रोसेसरों को स्थानान्तरण​​  
प्रोसेसरों को स्थानांतरण के लिए, प्रसंस्करण का विषय, प्रकृति और अवधि ऊपर परिभाषित के समान ही हैं।​​ 
G-P गोपनीयता संपर्क विवरण​​  
 
ध्यान दें: वैश्विक गोपनीयता कार्यालय।​​  
 
 
 
नियंत्रक-प्रोसेसर संबंध विवरण​​ 
(यह अनुभाग ग्राहक की ओर से G-P द्वारा संसाधित किए जा रहे व्यक्तिगत डेटा के विवरण से संबंधित है)​​ 
पार्टियां​​ 
डेटा निर्यातक: मुख्य समझौते पर हस्ताक्षर करने वाली ग्राहक इकाई​​ 
डेटा आयातक: Globalization Partners एलएलसी।​​ 
पार्टियों के संपर्क विवरण​​ 
मास्टर समझौते में निर्धारित संपर्क विवरण।​​ 
स्थानांतरित किए गए डेटा से संबंधित गतिविधियाँ​​ 
ग्राहक को सेवा के रूप में प्रदान की जाने वाली जीपीपी सेवाओं और उपयोग से संबंधित गतिविधियाँ।​​ 
भूमिकाएँ​​ 
डेटा निर्यातक: नियंत्रक​​ 
डेटा आयातक: प्रोसेसर​​ 
प्रसंस्करण गतिविधियाँ​​ 
संसाधित/स्थानांतरित व्यक्तिगत डेटा निम्नलिखित प्रसंस्करण गतिविधियों के अधीन हो सकता है: लागू किए गए साधनों और प्रक्रियाओं की परवाह किए बिना व्यक्तिगत डेटा के संबंध में कोई भी ऑपरेशन, विशेष रूप से डेटा का संग्रह, आयोजन, भंडारण, धारण, उपयोग, पुनर्प्राप्ति, परामर्श, संग्रह, प्रसारण, अवरोधन, मिटाना या नष्ट करना, सिस्टम का संचालन और रखरखाव, अनुपालन, कानूनी और लेखापरीक्षा कार्य।​​ 
प्रसंस्करण की अवधि​​ 
मुख्य समझौते की अवधि के दौरान और निरंतर आधार पर।​​ 
प्रसंस्करण की प्रकृति और उद्देश्य​​ 
ग्राहक अपने ग्राहक डेटा को G-P को हस्तांतरित कर सकता है, जिसकी सीमा ग्राहक द्वारा अपने विवेकानुसार निर्धारित और नियंत्रित की जाती है। इस प्रक्रिया का उद्देश्य मास्टर एग्रीमेंट के अनुसार ग्राहक को जीपीपी सेवा प्रदान करना है।​​ 
डेटा विषयों की श्रेणियाँ​​ 
जीपीपी के अधिकृत उपयोगकर्ताओं में ग्राहक के कर्मचारी और/या ठेकेदार शामिल हो सकते हैं।​​ 
व्यक्तिगत डेटा के प्रकार​​ 
संपर्क विवरण (जैसे फोन नंबर और ईमेल)।​​ 
कर्मचारियों/ठेकेदारों का डेटा (जैसे कि पदनाम और कंपनी का नाम)।​​ 
उपयोग डेटा (जैसे अधिकृत उपयोगकर्ता के डिवाइस के बारे में डेटा और ऐसा डिवाइस GPP के साथ कैसे इंटरैक्ट करता है)।​​ 
स्थान डेटा (जैसे आईपी पते से प्राप्त स्थान)।​​ 
सामग्री डेटा (जैसे पेशेवरों और संबंधित संचार के संबंध में ग्राहक की फाइलों की सामग्री)।​​ 
क्रेडेंशियल्स (जैसे पासवर्ड, पासवर्ड, संकेत और प्रमाणीकरण और GPP के लिए खाता एक्सेस के लिए उपयोग की जाने वाली समान सुरक्षा जानकारी)।​​ 
अधिकृत उपयोगकर्ताओं द्वारा प्रदान किया गया कोई भी व्यक्तिगत डेटा।​​ 
डेटा की विशेष श्रेणियां (यदि उपयुक्त हो)​​  
एन / ए​​ 
अवधारण​​ 
व्यक्तिगत डेटा को कम से कम तब तक बनाए रखा जाएगा जब तक कि कोई भी लागू कानूनी रूप से अनिवार्य न्यूनतम अवधारण अवधि, जो सीमाओं के लागू क़ानूनों के अनुरूप है और अच्छी व्यावसायिक प्रथाओं को पूरा करता है।​​ 
सक्षम पर्यवेक्षी प्राधिकारी​​ 
सक्षम पर्यवेक्षी प्राधिकारी को लागू डेटा संरक्षण कानूनों के अनुसार निर्धारित किया जाएगा और इसमें शामिल होंगे: आयरिश डेटा संरक्षण आयोग (ईयू सामान्य डेटा संरक्षण के लिए); स्विस संघीय डेटा संरक्षण और सूचना आयुक्त / एफडीपीआईसी (स्विस एफएडीपी के लिए); यूके सूचना आयुक्त कार्यालय / आईसीओ (यूके सामान्य डेटा संरक्षण के लिए); और ऑटोरिडेड नैशनल डी प्रोटेकाओ डी दादोस / एएनपीडी (ब्राजील एलजीपीडी के लिए)।​​ 
सबप्रोसेसरों को स्थानान्तरण​​  
प्रोसेसरों को स्थानांतरण के लिए, प्रसंस्करण का विषय, प्रकृति और अवधि ऊपर परिभाषित के समान ही हैं।​​ 
G-P गोपनीयता संपर्क विवरण​​  
 
ध्यान दें: वैश्विक गोपनीयता कार्यालय।​​  
 

अनुलग्नक II​​ 

तकनीकी और संगठनात्मक उपाय​​ 

G-P स्वतंत्र लेखा परीक्षकों द्वारा एसओसी 2 और आईएसओ 27001 मानकों के अनुरूप प्रमाणित और सत्यापित किया गया है। इस प्रकार के प्रमाणपत्र ग्राहक डेटा की सुरक्षा के प्रति हमारी प्रतिबद्धता को दर्शाते हैं। G-Pका सुरक्षा कार्यक्रम इस प्रकार डिज़ाइन किया गया है:​​ 

G-Pके पास मौजूद या जिस तक G-P की पहुंच है, ऐसे ग्राहक डेटा की गोपनीयता, अखंडता और उपलब्धता की रक्षा करना;​​ 

ग्राहक डेटा की गोपनीयता, अखंडता और उपलब्धता के लिए किसी भी प्रत्याशित खतरे या खतरों से सुरक्षा करें;​​ 

ग्राहक डेटा की अनधिकृत या गैरकानूनी पहुंच, उपयोग, प्रकटीकरण, परिवर्तन या विनाश से बचाएं;​​ 

ग्राहक डेटा के आकस्मिक नुकसान या विनाश, या क्षति से बचाएं; तथा​​ 

किसी भी ऐसे नियम के अनुसार जानकारी की सुरक्षा करें जिसके तहत G-P विनियमित किया जा सकता है।​​ 

निम्नलिखित में उन कार्यों, प्रक्रियाओं, नियंत्रणों, प्रणालियों, कार्यविधियों और उपायों का वर्णन किया गया है जिन्हें G-P ग्राहक डेटा के प्रसंस्करण की सुरक्षा सुनिश्चित करने के लिए अपनाया है:​​ 

1) डेटा गोपनीयता और सुरक्षा सुनिश्चित करने के लिए तकनीकी उपाय​​ 

डिजाइन और डिफ़ॉल्ट रूप से गोपनीयता:​​ 

G-P उत्पाद विकास की संकल्पना और विकास चरण में अनुच्छेद 25 सामान्य डेटा संरक्षण की आवश्यकताओं को ध्यान में रखता है। प्रक्रियाओं और कार्यप्रणालियों को इस तरह से स्थापित किया गया है कि डेटा सुरक्षा के सिद्धांत जैसे कि वैधता, पारदर्शिता, उद्देश्य सीमा, डेटा न्यूनीकरण आदि के साथ-साथ प्रसंस्करण की सुरक्षा को प्रारंभिक चरण में ही ध्यान में रखा जाए।​​ 

ख) व्यक्तिगत डेटा का एन्क्रिप्शन:​​ 

यह सुनिश्चित करना कि व्यक्तिगत डेटा को सिस्टम में केवल इस तरह से संग्रहीत किया जाए जिससे तीसरे पक्ष डेटा विषय की पहचान न कर सकें।​​ 

डेटाबेस और स्टोरेज एन्क्रिप्शन:​​ 

G-P द्वारा उपयोग किए जाने वाले सभी डेटाबेस पर अत्याधुनिक तकनीक के अनुसार "स्थिर अवस्था" में एन्क्रिप्शन का उपयोग किया जाता है ताकि डेटाबेस से डेटा को संबंधित डेटाबेस सिस्टम पर उचित प्रमाणीकरण के बाद ही पढ़ा जा सके।​​ 

मोबाइल डेटा मीडिया का एन्क्रिप्शन:​​ 

ग्राहक डेटा को संग्रहित करने के लिए मोबाइल डेटा प्रदाताओं का उपयोग करने की अनुमति नहीं है।​​ 

लैपटॉप पर डेटा वाहकों का एन्क्रिप्शन:​​ 

सभी कर्मचारियों के लैपटॉप में अत्याधुनिक हार्ड डिस्क एन्क्रिप्शन स्थापित किया गया है।​​ 

सूचनाओं और फाइलों का एन्क्रिप्टेड आदान-प्रदान:​​ 

सिद्धांत रूप में, सूचनाओं और फाइलों का आदान-प्रदान एक विशेष आवेदन पत्र के माध्यम से सीधे एन्क्रिप्ट किया जाता है। यदि व्यक्तिगत डेटा या गोपनीय जानकारी को ऐसे सर्वरों पर स्थानांतरित करना आवश्यक है जिन्हें टीएलएस-एन्क्रिप्टेड एचटीपीएस अपलोड के माध्यम से नहीं भेजा जा सकता है, तो इन्हें अत्याधुनिक तकनीक के अनुसार सुरक्षित फ़ाइल स्थानांतरण प्रोटोकॉल (एसएफटीपी), एन्क्रिप्टेड लिफाफा सेवा या किसी अन्य एन्क्रिप्टेड तंत्र का उपयोग करके स्थानांतरित किया जाएगा।​​ 

ई-मेल एन्क्रिप्शन:​​ 

सिद्धांत रूप में, G-P के कर्मचारियों द्वारा भेजे गए सभी ई-मेल टीएलएस के साथ एन्क्रिप्टेड होते हैं। अपवाद तब हो सकता है जब प्राप्तकर्ता मेल सर्वर टीएलएस का समर्थन न करता हो। ग्राहक यह सुनिश्चित करेगा कि ऑर्डर के दायरे में उपयोग किए जाने वाले संबंधित मेल सर्वर TLS एन्क्रिप्शन का समर्थन करते हों।​​ 

ग) प्रवेश नियंत्रण​​ 

प्रवेश नियंत्रण का उद्देश्य डेटा सुरक्षा कानूनों द्वारा संरक्षित डेटा का अनधिकृत व्यक्तियों द्वारा उपयोग और प्रसंस्करण को रोकना है।​​ 

प्रमाणीकरण विधियों का उपयोग​​ 

व्यक्तिगत डेटा तक पहुंच हमेशा एन्क्रिप्टेड प्रोटोकॉल के माध्यम से होती है: एसएसएच, एसएसएल/टीएलएस, एचटीपीएस या तुलनीय प्रोटोकॉल। आईटी सिस्टम के लिए प्रमाणीकरण प्रक्रिया: आईटी सिस्टम में मल्टीफैक्टर प्रमाणीकरण लॉग-इन।​​ 

निष्क्रियता की स्थिति में स्वचालित रूप से ब्लॉक हो जाना​​ 

G-P के कर्मचारियों द्वारा उपयोग किए जाने वाले लैपटॉप, उपयोगकर्ता द्वारा उपयोग में न होने पर पासवर्ड या पिन सुरक्षा से लॉक कर दिए जाते हैं। इसके अलावा, निष्क्रियता के 15 मिनट के बाद पासवर्ड सुरक्षा के साथ एक स्वचालित स्क्रीन लॉक सेट किया जाता है।​​ 

एंटीवायरस सॉफ़्टवेयर का उपयोग​​ 

G-P कर्मचारियों द्वारा उपयोग किए जाने वाले लैपटॉप अत्याधुनिक एंटीवायरस सॉफ़्टवेयर से लैस हैं, जिसे सभी परिचालन या व्यावसायिक आईटी सिस्टम पर अद्यतन रखा जाता है। सिद्धांत रूप में, किसी भी कंप्यूटर को तब तक स्थायी वायरस सुरक्षा के बिना संचालित नहीं किया जा सकता है जब तक कि अन्य समकक्ष अत्याधुनिक सुरक्षा उपाय नहीं किए गए हों या कोई जोखिम न हो। डिफ़ॉल्ट सुरक्षा सेटिंग्स को निष्क्रिय या दरकिनार नहीं किया जाना चाहिए।​​ 

"स्वच्छ डेस्क नीति"​​ 

G-P के कर्मचारियों को निर्देश दिया गया है कि वे डेटा विषयों के व्यक्तिगत डेटा को प्रिंट आउट न करें या स्थानीय रूप से संग्रहीत न करें, कार्य सामग्री को ऐसी जगह पर न छोड़ें जहां उन्हें तीसरे पक्ष द्वारा देखा जा सके, और सभी कार्य सामग्री को ठीक से संग्रहीत करें। जिन दस्तावेजों को कानून के अनुसार G-P हार्ड कॉपी में रखना अनिवार्य है, उन्हें ताले लगे अलमारियों में रखा जाता है।​​ 

d) प्लेटफ़ॉर्म के भीतर पहुँच नियंत्रण​​ 

पहुँच नियंत्रण यह सुनिश्चित करते हैं कि प्रसंस्करण प्रणाली का उपयोग करने के लिए अधिकृत व्यक्तियों को केवल उन्हीं व्यक्तिगत डेटा तक पहुँच प्राप्त हो, जो उनकी पहुँच प्राधिकरण के अंतर्गत आते हैं।​​ 

भूमिकाएँ और प्राधिकरण​​ 

भूमिकाएँ और प्राधिकरण प्लेटफ़ॉर्म – ग्राहक पहुँच ग्राहक उपयोगकर्ता ग्राहक खाता जानकारी देख और संपादित कर सकते हैं।​​ 

भूमिकाएँ और प्राधिकरण प्लेटफ़ॉर्म – पेशेवर पहुँच पेशेवर उपयोगकर्ता अपनी पेशेवर जानकारी देख और संपादित कर सकते हैं।​​ 

आवश्यकता और अनुमोदन होने पर पेशेवर ग्राहक पहुंच की भूमिका भी प्राप्त कर सकते हैं।​​ 

भूमिकाएँ और प्राधिकरण प्लेटफ़ॉर्म – आंतरिक पहुँच​​ 

आंतरिक पहुंच वाले उपयोगकर्ताओं की भूमिकाएँ भिन्न-भिन्न होती हैं। उनके पास निम्नलिखित को बनाने, देखने, संपादित करने और अनुमोदित करने के लिए विविध प्रकार की पहुंच है:​​ 

ग्राहक की जानकारी​​ 

बिलिंग जानकारी​​ 

पार्टनर की जानकारी​​ 

पेशेवर कार्मिक जानकारी रिकॉर्ड करते हैं​​ 

प्रशासनिक प्रणाली तक पहुंच आमतौर पर ग्राहक सहायता और उत्पाद विकास के क्षेत्रों में प्रशिक्षित कर्मचारियों तक ही सीमित होती है।​​ 

ई) फ़ायरवॉल एक सेवा के रूप में​​ 

G-P एक बाहरी फ़ायरवॉल का उपयोग सेवा के रूप में करता है जो उसे वेबसाइटों तक पहुंच प्रदान करने या अवरुद्ध करने की अनुमति देता है ताकि यह सुनिश्चित किया जा सके कि सिस्टम दुर्भावनापूर्ण सामग्री तक पहुंच न सकें और अनुचित सामग्री तक पहुंच को प्रतिबंधित किया जा सके।​​ 

f) प्लेटफ़ॉर्म पर लॉग-इन का रिकॉर्ड​​ 

G-P सभी लॉगिन गतिविधियों का रिकॉर्ड रखता है।​​ 

जी) पृथक्करणीयता​​ 

यह सुनिश्चित करना कि विभिन्न उद्देश्यों के लिए एकत्र किए गए व्यक्तिगत डेटा को अलग-अलग संसाधित किया जा सके और अन्य डेटा और सिस्टम से इस तरह अलग रखा जाए कि इन डेटा का अन्य उद्देश्यों के लिए अनियोजित उपयोग रोका जा सके।​​ 

विकास, परीक्षण और संचालन वातावरणों का पृथक्करण​​ 

ऑपरेटिंग वातावरण से डेटा को परीक्षण या विकास वातावरण में तभी स्थानांतरित किया जा सकता है जब स्थानांतरण से पहले इसे पूरी तरह से गुमनाम बना दिया गया हो। अनाम डेटा का स्थानांतरण एन्क्रिप्टेड होना चाहिए या किसी विश्वसनीय नेटवर्क के माध्यम से होना चाहिए।​​ 

ऑपरेटिंग वातावरण में स्थानांतरित किए जाने वाले सॉफ़्टवेयर का पहले एक समान परीक्षण वातावरण ("स्टेजिंग") में परीक्षण किया जाना चाहिए। त्रुटि विश्लेषण या सॉफ़्टवेयर के निर्माण/संकलन के लिए प्रोग्राम का उपयोग ऑपरेटिंग वातावरण में तभी किया जा सकता है जब इससे बचा न जा सके। यह स्थिति विशेष रूप से तब होती है जब त्रुटि की स्थितियां ऐसे डेटा पर निर्भर करती हैं जो परीक्षण वातावरण में स्थानांतरित करते समय गुमनामी की आवश्यकताओं के कारण गलत साबित हो सकता है।​​ 

नेटवर्क में पृथक्करण​​ 

G-P अपने नेटवर्क को कार्यों के अनुसार अलग करता है। निम्नलिखित नेटवर्क का उपयोग स्थायी रूप से किया जाता है: ऑपरेटिंग वातावरण ("प्रोडक्शन"), परीक्षण वातावरण ("स्टेजिंग", "सैंडबॉक्स"), विकास वातावरण ("डेव") और कार्यालय आईटी कर्मचारी। इन नेटवर्कों के अतिरिक्त, आवश्यकतानुसार अलग-अलग नेटवर्क बनाए जाते हैं, उदाहरण के लिए, पुनर्स्थापना परीक्षण और भेदन परीक्षण के लिए। तकनीकी संभावनाओं के आधार पर, नेटवर्क को भौतिक रूप से या आभासी नेटवर्क के माध्यम से अलग किया जाता है।​​ 

h) उपलब्धता नियंत्रण​​ 

व्यक्तिगत डेटा को आकस्मिक विनाश या हानि से बचाने के लिए G-P निम्नलिखित कदम उठाता है।​​ 

डेटा सुरक्षा प्रक्रियाएं/बैकअप​​ 

पर्याप्त उपलब्धता सुनिश्चित करने के लिए, G-P अपने डेटाबेस के दैनिक स्नैपशॉट लेता है और उन्हें एक अलग क्षेत्र में प्रतिकृति करता है। यह सुनिश्चित करने के लिए भी उपाय किए जाते हैं कि नौकरी के आधार पर डेटा की समीक्षा करने की आवश्यकता वाले कर्मचारियों को केवल प्रतिकृति डेटासेट तक ही पहुंच प्रदान की जाए।​​ 

उत्पादक डेटा और बैकअप के सर्वर बुनियादी ढांचे के संबंध में भू-अतिरेक​​ 

आईटी घटना प्रबंधन ("घटना प्रतिक्रिया प्रबंधन")​​ 

घटनाओं और सुरक्षा संबंधी मामलों से निपटने के लिए एक अवधारणा और दस्तावेजित प्रक्रियाएं मौजूद हैं। इसमें घटनाओं पर प्रतिक्रिया की योजना बनाना और तैयारी करना, सुरक्षा से संबंधित घटनाओं की निगरानी, पता लगाने और विश्लेषण करने की प्रक्रियाएं और कानूनी आवश्यकताओं के ढांचे के भीतर व्यक्तिगत डेटा की सुरक्षा के उल्लंघन की स्थिति में संबंधित जिम्मेदारियों और रिपोर्टिंग चैनलों को परिभाषित करना शामिल है।​​ 

2) डेटा गोपनीयता और सुरक्षा सुनिश्चित करने के लिए संगठनात्मक उपाय​​ 

G-P ने यह सुनिश्चित करने के लिए निम्नलिखित संगठनात्मक उपाय किए हैं कि संगठन डेटा निजता और सुरक्षा आवश्यकताओं को पूरा करने वाले तरीके से संचालित हो।​​ 

क) संगठनात्मक निर्देश​​ 

G-P ने डेटा गवर्नेंस प्रोग्राम विकसित किया है और इसे विकसित कर रहा है, जिसमें कर्मचारियों द्वारा पालन किए जाने वाले नियम, नीतियां, प्रक्रियाएं और दिशानिर्देश शामिल हैं। इस दस्तावेज़ में डेटा निजता संबंधी समस्याओं की पहचान और प्रबंधन, गोपनीयता सुनिश्चित करने के लिए सर्वोत्तम अभ्यास और गोपनीयता संबंधी घटनाओं से निपटने की नीतियां शामिल हैं।​​ 

ख) गोपनीयता और डेटा सुरक्षा के प्रति प्रतिबद्धता​​ 

G-P ने डेटा गवर्नेंस प्रोग्राम विकसित किया है और इसे विकसित कर रहा है, जिसमें कर्मचारियों द्वारा पालन किए जाने वाले नियम, नीतियां, प्रक्रियाएं और दिशानिर्देश शामिल हैं। सभी कर्मचारी और ठेकेदार लिखित रूप में गोपनीयता और डेटा सुरक्षा के साथ-साथ अन्य संबंधित कानूनों का पालन करने के लिए बाध्य हैं। सभी कर्मचारियों को गोपनीयता और सुरक्षा संबंधी प्रशिक्षण दिया जाता है। डेटा सुरक्षा और सूचना सुरक्षा पर आंतरिक ऑडिट नियमित रूप से आयोजित किए जाते हैं। लेखापरीक्षाएं सामान्य परीक्षण मानदंडों/योजनाओं के आधार पर की जाती हैं। G-P के कर्मचारियों और ठेकेदारों को निर्देश दिया जाता है कि वे ग्राहक और पेशेवर के साथ लागू अनुबंधों के अनुसार, केवल कानूनी कारणों से ही व्यक्तिगत डेटा को संसाधित करें, डेटा विषय द्वारा दी गई या रोकी गई किसी भी स्पष्ट सहमति पर उचित विचार करते हुए, और संगठन के किसी भी कानूनी कर्तव्य के अनुरूप कार्य करें।​​ 

ग) डेटा सुरक्षा प्रशिक्षण​​ 

सभी कर्मचारियों को गोपनीयता और सुरक्षा संबंधी प्रशिक्षण प्राप्त होता है, जिसकी समीक्षा G-P प्रशिक्षण प्लेटफॉर्म पर किसी भी समय की जा सकती है।​​ 

घ) भौतिक पहुँच नियंत्रण​​ 

G-P ने प्रोसेसिंग के लिए उपयोग किए जाने वाले आईटी सिस्टम उपकरणों तक अनधिकृत व्यक्तियों की पहुंच को रोकने के लिए निम्नलिखित भौतिक नियंत्रण लागू किए हैं।​​ 

इलेक्ट्रॉनिक डोर प्रोटेक्शन​​ 

G-P के कार्यालयों के प्रवेश द्वार हमेशा बंद रहते हैं और इलेक्ट्रॉनिक रूप से सुरक्षित होते हैं। दरवाजे एक व्यक्तिगत इलेक्ट्रॉनिक ट्रांसपोंडर के माध्यम से खोले जाते हैं।​​ 

कुंजियों का नियंत्रित वितरण​​ 

G-P के कर्मचारियों को चाबियों का एक केंद्रीय, दस्तावेजी आवंटन किया जाता है। इन इलेक्ट्रॉनिक ट्रांसपोंडर/कुंजियों को प्रत्येक कार्यालय प्रबंधक या मानव संसाधन विभाग द्वारा केंद्रीय रूप से निष्क्रिय किया जा सकता है।​​ 

बाहरी व्यक्तियों की निगरानी और उनका साथ देना​​ 

बाह्य सेवा प्रदाताओं और अन्य तृतीय पक्षों को परिसर में प्रवेश केवल पूर्व अनुमति से या G-P के किसी कर्मचारी के साथ होने पर ही दिया जा सकता है। परिसर में आगंतुकों को आमंत्रित किए जाने पर G-P अपनी लिखित आगंतुक नीति का पालन करता है।​​ 

सुरक्षा की बढ़ती आवश्यकता वाले परिसरों की सुरक्षा सुनिश्चित करना​​ 

जिन परिसरों या अलमारियों में सुरक्षा संबंधी अतिरिक्त आवश्यकताएं होती हैं, जैसे कि कानूनी कार्यालय और कुछ विशिष्ट परिचालन स्थल, उनमें ताला लगाने योग्य अलमारियां और दराजें लगाई जाती हैं। कानूनी दस्तावेजों, अनुबंधों और गोपनीय दस्तावेजों को रखने वाली अलमारियों और दराजों को उपयोग में होने के अलावा हर समय बंद रखा जाना चाहिए।​​ 

बंद दरवाजे और खिड़कियाँ​​ 

कर्मचारियों को संगठनात्मक रूप से निर्देश दिया गया है कि वे कार्यालय समय के बाहर खिड़कियां और दरवाजे बंद या ताला लगाकर रखें।​​ 

ई) पुनर्प्राप्ति क्षमता​​ 

G-P यह सुनिश्चित करता है कि भौतिक या तकनीकी खराबी की स्थिति में उपयोग में आने वाले सिस्टम को बहाल किया जा सके।​​ 

डेटा रिकवरी के नियमित परीक्षण ("रिस्टोर-टेस्ट")​​ 

आपातकालीन स्थिति/आपदा की स्थिति में पुनर्प्राप्ति सुनिश्चित करने के लिए नियमित रूप से पूर्ण पुनर्स्थापना परीक्षण किए जाते हैं।​​ 

आपातकालीन योजना ("आपदा पुनर्प्राप्ति अवधारणा")​​ 

आपात स्थितियों/आपदाओं के उपचार के लिए एक अवधारणा और उससे संबंधित एक आपातकालीन योजना मौजूद है। G-P डेटा बैकअप/बैकअप के आधार पर सभी सिस्टमों की रिकवरी सुनिश्चित करता है, आमतौर पर 48 घंटों के भीतर।​​ 

समीक्षा और मूल्यांकन उपाय​​ 

तकनीकी और संगठनात्मक उपायों की प्रभावशीलता की नियमित समीक्षा, आकलन और मूल्यांकन के लिए प्रक्रियाओं का प्रस्तुतीकरण।​​ 

f) गोपनीयता टीम​​ 

इस संगठन में एक वैश्विक डेटा गोपनीयता कार्यालय है जिसे डेटा सुरक्षा के क्षेत्र में उपायों की योजना बनाने, उन्हें लागू करने, उनका मूल्यांकन करने और उनमें अनुकूलन करने का कार्य सौंपा गया है।​​ 

जी) जोखिम प्रबंधन​​ 

जोखिमों का विश्लेषण, मूल्यांकन और आवंटन करने तथा इन जोखिमों के आधार पर उपाय निकालने की एक प्रक्रिया है।​​ 

3) सूचना सुरक्षा की स्वतंत्र समीक्षा​​ 

लेखापरीक्षाओं का निष्पादन​​ 

डेटा सुरक्षा और सूचना सुरक्षा पर आंतरिक ऑडिट नियमित रूप से आयोजित किए जाते हैं। लेखापरीक्षाएं सामान्य परीक्षण मानदंडों/योजनाओं के आधार पर की जाती हैं।​​ 

b) सुरक्षा नीतियों और मानकों के साथ कंप्लाएन्स की समीक्षा​​ 

व्यक्तिगत डेटा के प्रसंस्करण के लिए लागू सुरक्षा दिशानिर्देशों, मानकों और अन्य सुरक्षा आवश्यकताओं के अनुपालन की नियमित रूप से जांच की जाती है। जहां तक संभव हो, ये जांच यादृच्छिक और अप्रत्याशित आधार पर की जाती हैं।​​ 

ग) तकनीकी विशिष्टताओं के साथ कंप्लाएन्स का सत्यापन​​ 

आईटी विभाग या अन्य योग्य कर्मियों द्वारा नियमित रूप से स्वचालित और मैन्युअल भेद्यता स्कैन किए जाते हैं ताकि अनुप्रयोगों और बुनियादी ढांचे की सुरक्षा के साथ-साथ उत्पाद के नियमित विकास को सत्यापित किया जा सके। बाहरी सेवा प्रदाता द्वारा विस्तृत प्रवेश परीक्षण किए जाते हैं ताकि अनुप्रयोगों और बुनियादी ढांचे में मौजूद कमजोरियों की विशेष रूप से जांच की जा सके।​​ 

d) निर्देशानुसार प्रक्रिया​​ 

G-P के कर्मचारियों को निर्देश दिया जाता है कि वे ग्राहक और पेशेवर के साथ लागू अनुबंधों के अनुसार, केवल कानूनी कारणों से ही व्यक्तिगत डेटा को संसाधित करें, डेटा विषय द्वारा दी गई या रोकी गई किसी भी स्पष्ट सहमति पर उचित विचार करते हुए, और संगठन के किसी भी कानूनी कर्तव्य के अनुरूप कार्य करें।​​ 

ई) आपूर्तिकर्ता का सावधानीपूर्वक चयन​​ 

संरक्षित डेटा से संबंधित समस्याओं का सामना करने वाले विक्रेताओं और आपूर्तिकर्ताओं का चयन करते समय G-P अपनी आपूर्तिकर्ता पूर्व-योग्यता प्रक्रिया का पालन करता है। इस प्रक्रिया में वित्त और कानूनी/गोपनीयता विभागों से प्रतिक्रिया प्राप्त करना शामिल है और इसमें जोखिम मूल्यांकन, सुरक्षा पूर्व-योग्यता और दस्तावेज़ीकरण प्रमाणीकरण के चरण शामिल हैं। जो आपूर्तिकर्ता संरक्षित डेटा संसाधित करेंगे, उन्हें लागू डेटा निजता कानूनों का पालन प्रदर्शित करना होगा, जिसमें कवर किए गए डेटा के लिए अनुच्छेद 28 सामान्य डेटा संरक्षण सुरक्षा भी शामिल है।​​ 

अनुलग्नक III​​ 

सबप्रोसेसरों की सूची​​ 
सबप्रोसेसर​​ 
स्थान और संपर्क जानकारी​​ 
प्रसंस्करण का विवरण​​ 
3933 लेक वाशिंगटन बुलेवार्ड एनई #350, किर्कलैंड, डब्ल्यूए 98033, यूएसए​​ 
वित्तीय सेवाएं​​ 
पी.ओ. बॉक्स 81226​​ 
सिएटल, WA 98108-1226, यूएसए​​ 
होस्टिंग – क्लाउड सेवा प्रदाता​​ 
Microsoft Corporation One Microsoft Way​​ 
रेडमंड, वाशिंगटन 98052 संयुक्त राज्य अमेरिका टेलीफोन: (+1) 425-882-8080.​​ 
संचार (ईमेल) और सेवा प्रबंधन के लिए व्यवसाय प्रक्रिया समर्थन​​ 
350 बुश स्ट्रीट फ्लोर 13​​ 
सैन फ्रांसिस्को, सीए 94104, यूएसए​​ 
+1 415 701 1110​​ 
सेवा प्रबंधन के लिए व्यावसायिक प्रक्रिया समर्थन​​ 
डॉक्यूसाइन इंटरनेशनल (ईएमईए) लिमिटेड, ध्यान दें: गोपनीयता टीम, 5 हनोवर क्वे, भूतल, डबलिन 2, आयरलैंड गणराज्य​​ 
दस्तावेज़ प्रबंधन​​ 
सेल्सफोर्स टॉवर, 415 मिशन स्ट्रीट, 3आरडी फ्लोर, सैन फ्रांसिस्को, सीए 94105, यूएसए​​ 
1-800-387-3285​​ 
ग्राहक संबंध प्रबंधन (CRM) के लिए व्यवसाय प्रक्रिया समर्थन​​ 
989 मार्केट सेंट​​ 
सैन फ्रांसिस्को, सीए 94103, यूएसए​​ 
888-670-4887​​ 
ग्राहक सहायता के लिए हेल्पडेस्क पूछताछ​​ 
2225 लॉसन लेन सांता क्लारा, सीए , 95054​​ 
अमेरीका​​ 
आईटी सेवा और संचालन प्रबंधन के लिए व्यावसायिक प्रक्रिया समर्थन, कर्मचारी और ग्राहक अनुभव के माध्यम से (​​ स्वचालित क्लाउड-आधारित वर्कफ़्लो)​​ 
160 स्पीयर स्ट्रीट, 15वीं मंजिल सैन फ्रांसिस्को, सीए 94105 1-866-330-0121​​ 
अमेरीका​​ 
क्लाउड डेटा वेयरहाउस इंफ्रास्ट्रक्चर।​​ 
620 8वां​​  औसत 45​​ वां​​  ज़मीन​​ 
न्यूयॉर्क, एनवाई 10018​​ 
अमेरीका​​ 
सेवा निगरानी और डिबगिंग उपकरण​​ 
एवेन्यू लुईस 54, कमरा52,​​ 
1050 ब्रुसेल्स​​ 
बेल्जियम​​ 
ऑनलाइन भुगतान प्रोसेसर​​ 
1600 एम्फीथिएटर पक्की, माउंटेन व्यू, सीए 94043​​ 
संचार (ईमेल) और आंतरिक दस्तावेज़ संग्रहण के लिए व्यवसाय प्रक्रिया समर्थन​​