MSA 隱私權用語

資料保護附錄

客戶已與訂立具有類似性質和目的（下稱“主協議”）的協議 G-P。簽立該等主協議可能需要處理個人資料。客戶及 G-P （又稱為“當事人”）同意，本資料保護附錄（“DPA”）規定了其在處理及安全個人資料方面的責任，而該等個人資料乃與根據主協議 G-P向客戶提供的服務有關，且雙方同意受本 DPA 約束。本資料處理協議補充主協議中的條款及條件，並納入其中。如本資料處理協議與訂約方就本資料處理協議所載事宜達成的任何其他協議發生衝突，概以本資料處理協議為準。倘若客戶已簽立與有效的資料保護附錄 G-P，則該協議將優先於本資料處理協議，且本資料處理協議不具任何效力或作用，除非客戶和另有書面協議 G-P。

而：

當向客戶 G-P 提供名義僱主（EOR）服務時， G-P 將承擔由客戶選擇的任何個人（“專業”）的法律僱主的角色。
就該等專業人士的個人資料而言， G-P 在僱傭關係過程中為控制者。
就客戶為自身目的而收集和使用的專業人士個人資料而言，客戶亦是具有獨立私隱義務的控制者。
在提供名義僱主服務時，在 G-P 與客戶之間交換專業人士的個人資料屬於獨立的控制者與控制者的關係，而下文第 2 節中定義的控制者與控制者術語應適用。
G-P 亦透過 G-P的平台（GPP）提供各種軟件作為服務產品，讓客戶 G-P 得以管理與這些專業人士的關係。
透過讓客戶存取 GPP， G-P 即客戶指定的 GPP 授權用戶上載至 GPP 的帳戶相關資料的處理者，且適用下文第 3 條中定義的控制者至處理者條款。

G-P 且客戶同意如下：

1. 定義

1.1.本協議中未定義的術語具有主協議中所載的含義。本資料處理協議中的以下詞語具有以下含義：

1.2. “授權用戶 指客戶允許的個人，其中可能包括客戶的員工和/或承包商，根據主協議的簽訂代表客戶存取和使用 GPP 。

1.3. “客戶資料指任何獲授權用戶或可識別自然人有關的任何個人資料，而該等個人資料由客戶 G-P 代表客戶轉移、處理或儲存，以供客戶使用 GPP。

1.4. “資料保護 法律“系指本協議一方受其約束且適用於提供的服務的任何資料保護和私隱法律，包括但不限於 GDPR、英國 GDPR、瑞士資料保護法律、美國私隱法律（包括州和聯邦法律）和 巴西 LGPD。

1.5. “GDPR”系指通用資料保護法規（歐盟） 2016/679。

1.6. “GPP 指 G-P的專有軟件，包括但不限於軟件、流動版本、其中包含的任何軟件，以及透過使用 G-P的專有軟件或第三方服務提供的任何數據，包括其更新、升級、平台即服務以及文件。

1.7. “歐洲經濟區是指歐洲經濟區。

1.8. “LGPD 指可能修訂、取代或取代的巴西保護個人資料一般法律第 13.709 號。

1.9. “Master Agreemen t”系指客戶之間簽訂的協議， G-P 以及為提供服務而簽訂的協議。

1.10. “私隱政策”系指不時更新的 G-P私隱政策，可在 https://www.globalization-partners.com/privacy-policy/

1.11. “專業資料” 系指專業人士 G-P 在其向客戶提供名義僱主服務過程中處理的個人資料。

1.12. “限制性傳輸” 系指將個人數據轉移到歐洲經濟區、英國、瑞士或巴西以外的國家，而這些國家不受適用數據保護法的充分性決定 所約束，因此根據適用數據保護法要求採取適當的保護措施 。

1.13. “服務”系指主協議項下 G-P 由客户提供的服務，可能包括名義僱主服務以及 GPP 的存取和使用。

1.14. “標準合約條款” 或 “SCC” 系指（i）在 GDPR 適用的情況下，根據歐洲議會及理事會第（EU） 2016/679 號規例，歐盟委員會實施決議（EU） 2021/914 4 2021 年 6 月標準合約條款所附的標準合約條款，將個人資料轉移至第三國；在 https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914&from=EN （"EU SCC"）提供；（ii）在英國 GDPR 適用的情況下，根據第 46（2）（c）條採用的適用標準資料保護條款，或（d）如果英國 GDPR 指資訊專員辦公室根據 2018 號資料保護法案第 119A（1）條發佈的歐盟標準合約條款的國際資料傳輸附錄（“英國附錄”），因為英國附錄可根據第 18 節（“英國 SCC”）進行修訂；（iii）在瑞士 資料保護法律 適用的情況下，發佈的適用標準資料保護條款，經瑞士聯邦資料保護局及資訊專員辦公室（瑞士 SCC）批准或認可；巴西 LGPD 適用的地方適用的標準合約條款，附於巴西國家資料保護局（“ANPD”）頒佈的 19/2024 號決議案CD/ANPD，（巴西 SCC）。

1.15. “瑞士資料保護法律或 “FADP” 系指（i）瑞士聯邦資料保護法案（日期： 1992 年 6 月 19 日，截至 3 月 1 日 2019）（“FDPA”）；（ii）聯邦資料保護條例（“FODP”）；及（iii）根據、根據、取代或成功制定的任何國家資料保護法律，以及取代或更新上述任何法律。

1.16. “英國附錄“ 指英國資訊專員發佈的歐盟標準合約條款之英國國際資料傳輸附錄。

1.17. “英國資料保護法律“ 指根據英國歐盟（撤回）法案2019 （“英國 GDPR”）和數據保護法 2018 （統稱 “英國數據保護法律”）第 3 條保存到英國法律中的GDPR。

1.18. “美國私隱法“系指有關處理個人資料的適用美國（US）州法律、命令、法規和監管指引，包括但不限於：（a） CCPA；（b）維珍尼亞州消費者資料保護法；（c）科羅拉多州私隱法；（d）康乃狄克州關於資料私隱和網上監控的法案；（e）猶他州消費者私隱法；及（f）所有類似的州法律

1.19. "控制者" "資料當事人"、"個人資料"、"個人資料" "資料洩露"、"處理者"、"處理/處理"、"限制傳輸"、"服務提供者" 及/或任何其他類似術語和概念應具有資料保護法律中定義的含義。

2. 個人資料的控制

2.1.當事方 角色。以獨立控制者身份 G-P 運作 時，在處理個人資料時 G-P 應遵守其資料保護法律下的控制者義務，並應按照 G-P的私隱政策所述處理個人資料，詳情請參閱 https://www.globalization-partners.com/privacy-policy/。作為控制者處理個人資料時，客戶應遵守其資料保護法下的義務。各方在任何情況下均不會以共同控制人的身份根據本資料處理協議處理個人資料。

2.2. 責任及確認。各方均可根據本資料處理協議處理與專業人士資料相關的個人資料，作為獨立資料控制者。雙方同意遵守其各自的義務，並公平合法地按照本資料處理協議及適用於該方個人資料處理操作的所有資料保護法律處理任何個人資料。各方應確保其處理個人資料僅限於 GPP 提供的目的， G-P 並基於合法處理的法律依據。雙方將協助彼此遵守其在資料保護法律下的各自義務，包括但不限於在發生資料洩露時互相協助，回應資料當事人及/或監管機構的要求。

3. 個人資料的處理

3.1. 範圍。 GPPmay 的使用需要 G-P 作為處理者或服務提供商代表客戶處理客戶資料。

3.2. 說明。 G-P 將按照客戶記錄在案的指示處理客戶資料。客戶同意本資料處理協議、主協議及附件 I，構成客戶 G-P關於處理客戶資料的完整指示。任何其他或替代指示必須經雙方書面同意，包括與遵守該等指示相關的成本（如有）。客戶將確保其指示符合適用的資料保護法律。客戶確認 G-P ，不負責確定哪些法律適用於客戶的業務。客戶將確保按照客戶的指示 G-P處理客戶資料時，不會 G-P 導致違反任何適用法律，包括適用的資料保護法律。 G-P 然而，如 G-P 客戶認為某指示違反了適用的資料保護法律， G-P 則應在合理可行的情況下盡快通知客戶，且不得被要求遵守該侵權指示。

3.3.處理詳情。有關處理的主題事項、其持續時間、性質和目的，以及客戶資料和資料當事人的類型的詳情載於附件 I 中。

3.4. 合規。客戶 G-P 並同意遵守適用於附件 I 中規定的客戶資料的資料保護法律下的各自義務。客戶全權負責在披露前遵守有關客戶資料處理合法性的資料保護法律，轉移、或以其他方式提供任何客戶資料 G-P。為免生疑問，在所有情況下客戶應取得、如有需要資料當事人同意按客戶指示 G-P 處理客戶資料。

3.5. 子處理器。客戶授權 G-P指定和使用處理者（“子處理者”）處理與服務相關的客戶資料。子處理者可能包括第三方或公司 G-P 集團的任何成員。 G-P 可繼續使用 G-P 截至本資料處理協議日期已聘任的該等子處理者，且該等子處理者名單載於本協議隨附的附件 III。如子處理者未能履行上述資料保護義務， G-P 須就子處理者義務的履行向客戶負責。 G-P 應透過 GPP 通知客戶其子處理者名單的任何變更。如在收到該通知的 10 （十）天內，客戶合法反對基於資料保護理由增加或移除子處理者，且 G-P 無法合理地解決客戶的異議，雙方將真誠討論客戶的疑慮，以解決問題。

3.6. 技術及組織安全措施。考慮到行業標準實施成本大自然範圍，處理的內容和目的，以及與處理客戶資料有關的任何其他相關情況， G-P 應實施適當的技術和組織安全措施以確保安全，保密性、誠信、處理客戶資料所涉及的處理系統及服務的可用性及彈性與該等客戶資料的風險相稱，如附件 II 所詳述。 G-P 將定期（i）測試和監控其保障措施的有效性，控制、系統及程序，及（ii）識別合理可預見的保安內外風險，客戶資料的保密性及完整性，並確保這些風險得到解決

3.7. 保密。 G-P 應確保獲授權存取客戶資料的人士（i）已承諾保密或受適當的法定保密義務約束，及（ii）僅在發出書面指示的情況下存取客戶資料 G-P，除非適用法律有所要求。

3.8. 個人資料洩露。 G-P 在知悉與處理客戶資料相關的資料洩露後，將通知客戶，並會盡合理努力協助客戶減輕任何資料洩露的不利影響。

3.9. 刪除個人資料。服務終止（出於任何原因） 後， G-P 應盡快在合理可行的情況下歸還或刪除存於 GPP 的客戶資料，除非適用法律要求儲存客戶資料更長時間。就此保留而言，本資料處理協議的條文將繼續適用於該等客戶資料。

3.10. 資料當事人請求。 G-P 應立即通知客戶有關客戶資料的任何資料當事人請求。客戶有責任回應此類要求。 G-P 將合理地協助客戶回應該等資料當事人的請求，前提是客戶在使用 GPP 時無法存取相關客戶資料。

3.11. 第三方請求。如果 G-P 收到第三方的任何請求或具有有效管轄權的任何法院、審裁處、監管機構或政府機構的命令，而該命令 G-P 涉及本協議項下的客戶資料的處理， G-P 將立即將請求重新發送給客戶。 G-P 除非法律有所規定，否則未經客戶的事先授權，不會回應該等要求。 G-P 除非法律禁止，否則在披露客戶資料前須事先通知客戶，並與客戶合理合作，將披露的範圍限制在法律要求的範圍內。

3.12. 資料保護影響評估及事先諮詢。在資料保護法律規定的範圍內， G-P 應向客戶提供合理協助，以就監管機構進行 G-P 及/或任何必要的事先諮詢，處理客戶資料進行資料保護影響評估。 G-P 保留就提供此類協助向客戶收取合理費用的權利。

3.13. Audit. Customer may audit G-P compliance with this DPA and Data Protection Laws by requesting a certificate issued for security verification reflecting the outcome of an audit conducted by a third party auditor (e.g., ISO27001 certification, SOC2 certificate), within twelve (12) months as of the date of Customer’s request. 或者如果根據本第 3.13 節提供的文件不足以證明合規性，除提供的第三方認證或報告外，客戶可自行進行審計；前提是該審計應進行： i）每 12 （十二）個月期間不超過一次； ii）在正常營業時間內，在不干擾 G-P日常業務的情況下； iii）提前三十（30）天發出書面通知； iv）由客戶獨自承擔費用； v）基於雙方同意的參數和範圍，僅限於特定服務範圍本協議預期使用及/或處理活動的系統； vi）基於雙方事先同意的日期，客戶在 G-P合理要求下合理推遲；及 vii）。不論前述條款如何規定，除客戶必須證明之法律義務外，主合約終止後不得授予任何稽核權利。任何選擇代表客戶進行審計的第三方代表不得擁有名義僱主服務公司、機構、相關組織或顧問的所有權權益或與之有聯繫。本資料處理協議中的任何內容均 G-P 不會要求向客戶或其第三方審計師披露，或允許客戶或其第三方核數師存取：（i）任何其他 G-P客戶的任何資料；（ii） G-P的內部會計或財務資料；（iii） G-P 或其聯屬公司的任何商業秘密；（iv）任何 G-P合理認為可能危及任何 G-P系統的安全性，或導致違反適用法律項下的義務，或違反其對任何第三方的安全或私隱義務；或（v）客戶或其第三方核數師出於真誠履行客戶在資料保護法律下的義務以外的任何原因尋求存取的任何資料。

3.14. 美國私隱法。 根據本節第 3 節（“個人資料處理”），他同意 G-P 作為“服務提供商”或“處理者”，因為該等條款根據適用的美國私隱法律定義。因此如美國私隱法律適用於處理客戶資料 G-P， G-P 不得（a）保留、使用、或在 G-P 與客戶之間的直接業務關係之外披露任何客戶資料，或用於附件 I 所載目的以外的任何目的，且僅 G-P 應在向客戶提供服務的情況下處理客戶資料；（b）出售任何客戶資料；（c）分享任何客戶資料；或（d）結合 G-P 接收自、或代表客戶收到“個人資料”（根據適用的資料保護法律定義），或代表另一個人或從與顧客的互動中收集惟倘客戶資料在向客戶提供服務的範圍內， G-P 則可能結合客戶資料。在適用的情況下，如各方確定其不再履行其在美國私隱法律下的義務，須通知另一方。

4. 國際數據傳輸

4.1. 適當保護。 G-P 在正常業務過程中，獲授權將客戶資料在全球範圍內傳輸至其聯屬公司及/或子處理者。在向相關資料保護機構未根據資料保護法律確認為個人資料提供充分保護的地區進行此類轉移時， G-P 應確保採取適當的保護，以保護根據主協議或與主協議或與之相關的客戶資料轉移。

4.2. 資料私隱框架。 專業人士和客戶資料儲存在在美國託管的 GPP 中 G-P ，獲得歐盟-美國認證。資料私隱框架（歐盟-美國 DPF）及在適用情況下，英國向歐盟-美國 DPF 及瑞士-美國資料私隱框架（瑞士-美國 DPF）。 G-P認證可在 DPF 網站 https：//www.dataprivacyframework.gov/list 公開確認。歐盟-美國歐盟委員會認為資料私隱框架足夠，是根據 GDPR、英國 GDPR 和 FADP 第 45 條的合法資料傳輸機制。如果 DPF 框架失效、暫停或以其他方式不再被確認為為國際資料傳輸提供充分保護，處理者同意訂立並遵守由歐盟委員會、英國資訊專員辦公室（ICO）或瑞士聯邦資料保護與資訊專員（FDPIC）簽發或批准的 SCC 。各方應真誠合作，實施所需的任何補充措施，以確保對傳輸數據的保護程度大致相等。

4.3. 標準合約條款。 雙方同意，當從客戶（作為“資料出口商”）傳輸個人資料至 G-P （作為“資料進口商”）是受限制的傳輸，且適用的資料保護法律要求實施適當的保護措施時，該傳輸應受適當的標準合約條款約束，該條款應被視為納入本資料處理協議並構成該資料處理協議的一部分，具體如下：

就傳輸受 GDPR 保護的個人資料而言，歐盟 SCC 應適用，並按以下方式完成：

單元一及單元二應適用；
第條中7，將適用選擇性停靠條款；
在模組二的第 9 條中，選項 2 將適用，且子處理者變更的事先通知期限應如本資料處理協議第 3.5 條所述；
在第條中11，選擇性語言將不適用；
在第 12 條中，根據歐盟 SCC 提出的任何申索須受主協議載列的條款及條件規限；
在第 17 條中，選項 1 將適用，而歐盟 SCC 將受愛爾蘭法律管轄；
第 18（b）條中，爭議應在愛爾蘭法院解決；
歐盟 SCC 的附件 I 應被視為已填妥本資料處理協議附件 1 所載的資料；及
歐盟 SCC 的附件 II 應被視為已填妥本 DPA 附件 2 所載的資料；
歐盟 SCC 模組二的附件三應視為已填妥本 DPA 附件 3 所載的資訊。

b. 就受英國資料保護法律或瑞士資料保護法律保護的個人資料轉移而言，上文第（a）分段下的歐盟 SCC 將適用於以下修訂：

“規則（歐盟） 2016/679”的引用應被解釋為引用英國數據保護法或瑞士數據保護法（如適用）；
對“規則（歐盟） 2016/679”特定條款的提述應以英國資料保護法或瑞士資料保護法（如適用）的同等條款或章節取代；
“歐盟”、“聯盟”、“成員國”和“成員國法律”的提述應以“英國”或“瑞士”、“英國法律”或“瑞士法律”（如適用）的提述取代；
不得解釋“會員國”一詞，以排除英國或瑞士的資料當事人在其居住地（即英國或瑞士）起訴其權利的可能性；
不使用附件 I 第 13（a）條和 C 部分，且“競爭對手監督機構”為英國資訊專員或瑞士聯邦資料保護資訊專員（如適用）；
提及“競業監管當局”和“競業法院”應以“信息專員”、“英格蘭和威爾士法院”或“瑞士聯邦數據保護信息專員”和“瑞士適用法院”（如適用）作為參考；
在第 17 條中，標準合約條款須受英格蘭、威爾士或瑞士法律（如適用）管轄；及
關於英國資料保護法適用的轉讓，第 18 條應修訂為“由該等條款引起的任何爭議應由英格蘭和威爾士法院解決。資料當事人可在英國任何國家法院對資料出口商及/或資料進口商提起法律訴訟。雙方同意服從該等法院的司法管轄權，就瑞士資料保護法適用的轉讓而言，第 18（b）條應說明爭議應在適用的瑞士法院解決。
就受英國 GDPR 保護的資料而言，歐盟 SCC 將應用如下：（i）根據上文（i）至（viii）段申請完成；及（ii）按英國附錄第 2 部分規定進行修訂，該附錄應被視為納入本資料處理協議並構成其組成部分。此外，英國附錄第 1 部分中的表 1 至 3 須分別填寫本資料處理協議附錄 I 和附件 II 中所載的資訊，而英國附錄第 1 部分中的表 4 應被視為完成，並應選擇“任何一方”。

c. 就直接或透過後續轉移將受巴西 LGPD 保護的個人資料轉移至不受 ANPD 簽發的充分性決定規限的巴西境外國家而言，巴西 SCC 將被視為由本參考訂立並納入本資料處理協議，並按以下方式完成：

巴西 SCC 第 2 條受附件 I 所載資料所滿足，其中描述了資料傳輸；
本人 n 巴西 SCC 第 3 條，選項 B 應適用，且根據本資料處理協議第 3.5 條（“子處理者”）允許後續轉移。主題事項、性質及處理時間載於本資料處理協議附件 I；
巴西 SCC 第 4 條受本資料處理協議附件 I 所載資料所滿足。 G-P 如為控制者，則其將是巴西 SCC 中定義的“指定方”，並用於巴西 SCC 第 14 條（透明度）、第 15 條（資料主體權利）和第 16 條（事故報告）。客戶仍須負責遵守巴西 SCC 第 14 條（透明度）、第 15 條（資料主體權利）及第 16 條事件報告）的任何個人資料；
在巴西 SCC 第 9 條中，可選裝卸條款將不適用；及
巴西 SCC 第 III 部分（安全措施）將視作完成本 DPA 附件 II 所載資訊。

附件 I

資料處理說明

派對	資料匯出者：執行主協議的客戶實體資料匯入者：執行主協議的 G-P 實體。
交易方聯絡資料	主協議所載的聯絡資料。
與數據傳輸相關的活動	與名義僱主服務以及作為服務提供給客戶之 GPP 的使用相關的活動。
處理活動	處理/轉移的個人資料可能受制於以下處理活動：任何有關個人資料的操作，不論應用方式和程序，特別是收集、組織、儲存、持有、使用、檢索、諮詢、存檔、傳輸、封鎖、清除或銷毀資料、系統運作和維護、合規、法律和審計職能。
處理時間	G-P 將在主協議期間及持續的基礎上處理客戶資料。
處理的性質和目的	客戶可將客戶資料轉移至 G-P，其程度由客戶全權酌情決定及控制。處理的目的是根據主協議提供服務。
資料當事人類別	a）雙方以獨立控制者身份交換的個人資料，有關專業人士的個人資料。 b） G-P作為資料處理者處理的客戶資料涉及 GPP 的授權用戶，當中可能包括客戶的僱員及/或承包商。
個人資料類型	· 聯絡資料（例如電話號碼及電郵）。 · 員工/承包商資料（例如職銜和公司名稱）。 · 使用資料（例如有關授權用戶裝置的資料，以及此類裝置與 GPP 的互動方式）。 · 位置資料（例如從 IP 位址衍生的位置）。 · 內容資料（例如客戶檔案的內容，有關專業人士及相關通訊）。 · 憑證（例如密碼、密碼提示以及用於驗證和帳戶存取 GPP 的類似安全資訊）。 · 授權用戶提供的任何個人資料。
特殊類別資料（如適用）	不適用
保留	個人資料將至少在符合適用限制法規及符合良好商業慣例的任何適用法律規定最短保留期期間保留。
主管當局	愛爾蘭資料保護委員會
轉移至子處理器	對於轉移至處理者，處理的主題、性質和持續時間與上述定義相同。
G-P 私隱聯絡資料	privacy@G-P.com 收件人：全球隱私權辦公室。

附件 II

技術和組織措施

G-P 經獨立審計師認證和證明，確認符合 SOC 2 和 ISO 27001 標準。此類認證證明了我們保護客戶資料的承諾。 G-P的保安計劃旨在：

保護 G-P所擁有或 G-P 有權存取的客戶資料的機密性、完整性和可用性；
防止客戶資料之機密性、完整性及可用性受到任何預期威脅或危害；
防止未經授權或非法存取、使用、揭露、修改或銷毀客戶資料；
防止客戶資料意外遺失或損毀或損毀；以及
按照 G-P 可能受監管的任何法規保護資訊。

下文描述 G-P 了為確保客戶資料處理安全而採取的功能、流程、控制、系統、程序和措施：

1）確保資料私隱及保護的技術措施

隱私設計與預設： G-P 將 GDPR 第 25 條的要求納入產品開發的構思與開發階段。流程和功能的設定方式，是在早期考慮資料保護原則，例如合法性、透明度、目的限制、資料最小化等，以及處理的安全性。
個人資料加密：確保個人資料僅以不允許第三方識別資料當事人的方式儲存在系統中。
1. 資料庫和儲存加密：根據最先進的技術 G-P ，在所有資料庫使用加密時，只可在各個資料庫系統進行適當驗證後讀取來自資料庫的資料。
2. 流動數據媒體加密：不允許使用流動數據載體儲存客戶資料。
3. 對手提電腦上的數據載體進行加密：所有員工的手提電腦均安裝了適當的先進硬碟加密。
4. 加密交換資料及檔案：原則上，交換資料及檔案會經由特殊應用程式直接加密。如果必須傳輸個人資料或機密資訊至無法透過 TLS 加密 HTTPS 上傳傳送的伺服器，則這些資料將使用安全檔案傳輸通訊協定（SFTP）、加密信封服務或其他根據技術狀態的加密機制進行傳輸。
5. 電子郵件加密：原則上，員工發送的所有電子郵件 G-P 都會以 TLS 加密。如果接收郵件伺服器不支援 TLS，則可能會有例外情況。客戶應確保在訂單範圍內使用的相應郵件伺服器支援TLS加密。
入場控制：為防止未經授權人士使用和處理受資料保護法律保護的資料，我們制定並實施入場控制。
1. 使用認證方法：存取個人資料時，務必透過加密協定：SSH、SSL/TLS、HTTPS 或類似協定。 IT 系統的驗證程序：多重要素驗證登入 IT 系統。
2. 非活動狀態自動封鎖： G-P 員工在不使用手提電腦時，會鎖上密碼或 PIN 碼保護功能。此外，在閒置 15 分鐘之後，會設定具有密碼保護功能的自動螢幕鎖定。
3. 使用防毒軟件： G-P 員工使用的手提電腦配備了最先進的防毒軟件，可在所有營運或業務 IT 系統上保持最新狀態。原則上，除非已採取其他等效的先進安全措施或沒有風險，否則在無常駐病毒保護的情況下不得操作電腦。不得停用或規避預設安全性設定。
4. “清潔桌面政策”：的僱員 G-P 獲指示不會列印或本地儲存數據主體的個人資料，不會將工作材料留在第三方可以查看的位置，並妥善儲存所有工作材料。 G-P 法律要求以硬拷貝保存的文件儲存在上鎖的櫃子中。
平台內的存取控制：存取控制確保獲授權使用處理系統的人士只能存取其存取授權涵蓋的個人資料。
1. 角色和授權
  1. 角色和授權平台 – 客戶存取：客戶用戶可以查看和編輯客戶帳戶資訊。
  2. 角色和授權平台 – 專業存取：專業用戶可以查看和編輯自己的專業資料。專業人員也可以在要求 + 核准時獲得客戶存取角色
  3. 角色和授權平台 – 內部存取：內部存取使用者有不同的角色。他們擁有建立、檢視、編輯和核准下列項目的各種存取權限：
    - 客戶資訊
    - 帳單資訊
    - 合作夥伴資訊
    - 專業人員記錄資訊
  4. 管理系統的存取權限通常僅限於受過客戶支援和產品開發領域訓練的員工。
防火牆即服務： G-P 使用外部防火牆作為服務，允許其授予或阻止對網站的存取，以確保系統無法存取惡意內容，並限制對不當內容的存取。
登入平台的記錄： G-P 保留所有登入活動的記錄。
可分割性：確保為不同目的收集的個人資料可以獨立處理，並與其他資料和系統分開處理，因此排除為其他目的意外使用這些資料的方式。
1. 分隔開發、測試和操作環境：只有完全匿名轉移前，才能將來自操作環境的資料轉移至測試或開發環境。匿名資料的傳輸必須加密，或透過值得信賴的網路進行。要傳輸至操作環境的軟件必須首先在相同的測試環境中（“階段”）進行測試。只有在無法避免的情況下，才可在操作環境中使用錯誤分析或軟件創建/編譯的程式。如果錯誤情況依賴因轉移至測試環境時匿名化的要求而偽造的數據，則尤其如此。
2. 網絡分隔：根據任務 G-P 分隔網絡。以下網絡永久使用：操作環境（“生產”）、測試環境（“階段”、“沙盒”）、開發環境（“開發”）、辦公室IT人員。除了這些網路之外，還會視需要建立其他獨立的網路，例如，用於還原測試和滲透測試。視技術可能性而定，網路會以實體方式或透過虛擬網路來分隔。
可用性 控制： G-P 採取以下步驟，以確保個人資料免受意外破壞或損失。
1. 數據保護程序/備份：確保充分可用性 G-P 實施其數據庫的每日快照，並複製至不同地區。我們也採取相關措施，確保有基於工作需要審查資料的員工，只能存取複製資料集。
2. 生產資料和備份的伺服器基礎架構的地理備援
3. IT 事故管理（“事故響應管理”）：有處理事故和安全相關事件的概念和記錄程序。這包括規劃和準備對事件的回應、監控、偵測和分析安全相關事件的程序，以及在違反法律要求框架內保護個人資料時，定義相應的責任和報告管道。

2） 確保資料私隱及保護的組織措施

G-P 已採取以下組織措施，以確保組織以符合資料私隱及保護要求的方式運作。

組織指示： G-P 已制定並正在制定數據管治計劃，包括政策、程序及指引，供員工遵循。文件包括如何識別和管理資料隱私問題、確保隱私合規的最佳做法，以及處理隱私事件的政策。
對保密和資料保護的承諾： G-P 已制定並正在制定數據管治計劃，包括政策、程序及指引，讓員工遵守。所有員工和承包商均受書面保密和資料保護以及其他相關法律約束。所有員工都會接受隱私與安全訓練。定期進行資料保護和資訊安全的內部稽核。稽核是根據常見的測試標準/方案進行。員工和承包商僅根據與客戶和專業人士簽訂的適用合約， G-P 根據指示處理個人資料，並應適當考慮資料當事人給予或扣留的任何明確同意，並遵守組織的任何合法義務。
資料保護培訓：所有員工均接受私隱及安全培訓，並可隨時在 G-P 培訓平台進行審查。
實體存取控制： G-P 採取以下實體控制措施，以拒絕未經授權人士存取用於處理的 IT 系統設備。
1. 電子門保護： G-P 辦公室入口始終鎖定並以電子方式安全。車門透過個人電子收發器開啟。
2. 受控的鑰匙分配： G-P 對的員工進行中央、有記錄的鑰匙分配。這些電子收發器/鑰匙可由每個辦公室經理或人力資源部門集中停用。
3. 外部人員的監督和陪同：外部服務提供商和其他第三方僅可透過事先授權或由的員工陪同的情況下獲准進入場所 G-P。 G-P 當訪客獲邀進入場所時，應用其書面訪客政策。
4. 保護場所的安全需要增加保護需求：保護要求增加的場所或櫥櫃，例如法律辦公室和某些營運地點，配備上鎖櫥櫃和抽屜。保存法律文件、合約和機密文件的櫃子和抽屜必須隨時上鎖，除非在使用中。
5. 封閉門窗：按照組織指示，員工必須在辦公時間以外保持門窗關閉或上鎖。
可恢復性： G-P 確保在發生物理或技術故障時，可以恢復使用中的系統。
1. 定期進行數據恢復測試（“恢復測試”）：定期進行全面恢復測試，以確保在緊急/災難發生時可恢復。
2. 應急計劃（“災難恢復概念”）：有一個關於治療緊急情況/災難的概念和相應的應急計劃。 G-P 確保根據數據備份/備份恢復所有系統，通常在 48 小時內完成。
3. 審查和評估措施：展示定期審查、評估和評估技術和組織措施有效性的程序。
私隱團隊：組織設有全球資料私隱辦公室，專責規劃、實施、評估和調整資料保護領域的措施。
風險管理：有分析、評估和分配風險的程序，以及根據這些風險制定措施。

3）獨立審查資訊安全

執行審計：定期進行有關資料保護及資訊安全的內部審計。稽核是根據常見的測試標準/方案進行。
審查是否遵守安全政策及標準：定期檢查是否遵守處理個人資料的適用安全指引、標準及其他安全要求。在可能的情況下，這些檢查是以隨機和非預期的方式進行。
驗證是否符合技術規格：由 IT 部門或其他合資格人員執行定期的自動化和手動漏洞掃描，以驗證應用程式和基礎設施的安全性，以及產品的定期開發。外部服務供應商會執行詳細的滲透測試，以特別檢查應用程式和基礎架構是否有漏洞。
按指示處理：的僱員僅根據與客戶和專業人士的適用合約，獲 G-P 指示處理個人資料，並應適當考慮資料當事人給予或扣留的任何明確同意，並遵守組織的任何合法義務。
謹慎選擇供應商：在選擇可能遇到受保護數據的供應商和供應商時， G-P 遵守其供應商預先資格程序。此流程包括財務和法律/隱私部門的回饋，並納入風險評估、安全預審和文件認證步驟。將處理受保護資料的供應商必須證明其遵守適用的資料隱私法律，包括涵蓋資料的 28 GDPR 條款。

附件三

子處理器列表

輔助處理者	地點及聯絡資料	處理說明
G-P 附屬公司	https://www.globalization- partners.com/contact-us/	提供平台和客戶關係管理
敏銳度	3933 Lake Washington Blvd NE #350，科克蘭，華盛頓州98033，美國	金融服務
Amazon WebService	郵政信箱 81226 美國華盛頓州西雅圖 98108-1226	主機服務 – 雲端服務供應商
Microsoft	Microsoft Corporation One Microsoft Way Redmond， Washington 98052 USA 電話：（+1） 425-882-8080。	通訊（電郵）及服務管理的業務流程支援
阿特拉斯西亞人	350 Bush Street 13 樓三藩市，CA 94104，美國 +1 415 701 1110	服務管理的業務流程支援
DocuSign 餐廳	DocuSign International （EMEA） Ltd，收件人：5Hanover Quay， Ground Floor， Dublin 2， Republic of Ireland 隱私團隊	文件管理
Salesforce.com	Salesforce Tower， 415 Mission Street， 3rd Floor， San Francisco， CA 94105， USA 1-800-387-3285	客戶關係管理（CRM）的業務流程支援
桑德斯克	989 Market St 三藩市，CA 94103，美國 zendesk.com 888-670-4887	服務台詢問客戶支援
Workday	6110 Stoneridge Mall Road Pleasanton， CA 94588， USA	用於管理薪資、福利、人力資源和員工數據的業務流程支援。
立即服務	2225 Lawson Lane Santa Clara， CA， 95054 USA	IT 服務和營運管理、員工和客戶體驗的業務流程支援（自動化雲端工作流程）
數據bricks	160 Spear Street， 15th Floor San Francisco， CA 94105 1-866-330-0121 USA	雲端資料倉庫基礎設施。
資料狗	620 8th Ave 45th 樓紐約， NY 10018 USA	服務監控及除錯工具
聰明	Avenue Louise 54，客房 s52， 1050 布魯塞爾比利時	網上付款處理商
Google	1600 Amphitheatre Pkwy，山景，CA 94043	通訊（電郵）及內部文件儲存的業務流程支援