Adendum Perlindungan Data (“Adendum”) ini melengkapi syarat dan ketentuan dalam Perjanjian Induk dan tercakup di dalamnya. Apabila terjadi perbedaan antara Adendum ini, dan perjanjian lain antara para pihak mengenai masalah yang ditetapkan dalam Adendum ini, Adendum ini yang akan berlaku.
ADENDUM PERLINDUNGAN DATA
1. DEFINISI
1.1. Istilah yang tidak didefinisikan di sini memiliki makna yang ditetapkan dalam Perjanjian Layanan Utama. Kata-kata berikut dalam Adendum ini memiliki arti sebagai berikut:
1.2. “Pengguna Resmi” berarti individu yang diizinkan oleh Pelanggan yang dapat mencakup karyawan dan/atau kontraktor Pelanggan, untuk mengakses dan menggunakan Platform atas nama Pelanggan, sesuai dengan pelaksanaan Perjanjian Induk.
1.3. “CCPA” berarti Undang-Undang Privasi Konsumen California.
1.4. “Data Pelanggan”berarti Data Pribadi atau Informasi Pribadi terkait Pengguna yang Diizinkan atau orang perseorangan yang dapat diidentifikasi yang dialihkan, diproses, atau disimpan oleh Globalization Partners atas nama Pelanggan untuk penggunaan Platform oleh Pelanggan.
1.5. “Undang-Undang Perlindungan Data” berarti undang-undang perlindungan data dan privasi yang mengatur salah satu pihak dalam Perjanjian ini dan yang berlaku untuk Layanan yang disediakan, termasuk jika berlaku, namun tidak terbatas pada GDPR, GDPR Inggris, undang-undang privasi AS (termasuk undang-undang negara bagian dan federal), dan Undang-Undang Perlindungan Data Pribadi Singapura.
1.6. “GDPR” berarti Peraturan Perlindungan Data Umum (UE) 2016/679 dan/atau GDPR Inggris.
1.7. “EEA” berarti Wilayah Ekonomi Eropa.
1.8. “SCC UE” berarti Klausul Kontrak Standar untuk pengalihan Data Pribadi ke negara ketiga sesuai dengan Peraturan (UE) Parlemen dan Dewan 2016/679 Eropa yang disetujui oleh Keputusan Pelaksanaan Komisi Eropa (UE) 2021/914 dari 4 Juni 2021.
1.9. “Layanan EOR” berarti perusahaan layanan catatan yang akan disediakan oleh Globalization Partners kepada Pelanggan sesuai dengan Perjanjian Induk.
1.10. “Perjanjian Induk” berarti perjanjian yang ditandatangani antara Pelanggan dan Globalization Partners untuk penyediaan Layanan EOR.
1.11. “Platform” berarti perangkat lunak berhak milik Globalization Partners, termasuk namun tidak terbatas pada perangkat lunak, versi seluler, perangkat lunak yang terkandung di dalamnya, dan data apa pun yang tersedia melalui penggunaan perangkat lunak berhak milik Globalization Partners atau layanan pihak ketiga, termasuk pembaruan, peningkatan, platform sebagai layanan, dokumentasi, yang deskripsinya ditetapkan di https://www.globalization-partners.com/goglobal/.
1.12. “Adendum Inggris” berarti adendum transfer data internasional Inggris untuk Klausul Kontraktual Standar UE yang diterbitkan oleh Komisaris Informasi Inggris dan terlampir dalam Perjanjian ini sebagai Lampiran IV.
1.13. “Pengendali” “Subjek Data”, “Data Pribadi”, “Informasi Pribadi”, “Pelanggaran Data”, “Pemroses”, “Proses/Pemrosesan”, “Pengalihan Terbatas”, “Penyedia Layanan”, dan/atau istilah dan konsep serupa lainnya akan memiliki makna sebagaimana didefinisikan dalam Undang-Undang Perlindungan Data
2. HUBUNGAN PARA PIHAK DAN PERAN
2.1. Peran Para Pihak dan Perincian Pemrosesan. Globalization Partners akan memproses Data Pribadi sebagai Pengontrol independen saat Globalization Partners menyediakan Layanan EOR. Para Pihak tidak akan Memproses Data Pribadi berdasarkan Adendum ini sebagai Pengendali bersama. Apabila Globalization Partners beroperasi sebagai Pengendali independen, Globalization Partners akan mematuhi kewajiban Pengendalinya berdasarkan Undang-Undang Perlindungan Data saat Memproses Data Pribadi dan akan Memproses Data Pribadi sebagaimana dijelaskan dalam Kebijakan Privasi Globalization Partners tersedia di https://www.globalization-partners.com/privacy-policy/. Pelanggan akan mematuhi kewajibannya berdasarkan Undang-Undang Perlindungan Data saat Memproses Data Pribadi sebagai Pengendali. Sejauh Globalization Partners bertindak sebagai Pemroses saat Memproses Data Pelanggan, Pemrosesan tersebut akan dilakukan sesuai dengan Bagian 3 (“Pemrosesan Data Pribadi”) di bawah ini.
2.2. Tanggung Jawab dan Pengakuan. Masing-masing Pihak dapat memproses Data Pribadi berdasarkan Adendum ini sehubungan dengan Data Pribadi sebagai Pengendali data independen. Para Pihak setuju untuk mematuhi kewajiban mereka masing-masing dan memproses Data Pribadi apa pun secara adil dan sah sesuai dengan Adendum ini dan semua Undang-Undang Perlindungan Data yang berlaku untuk operasi Pemrosesan Data Pribadi Pihak tersebut. Setiap Pihak harus memastikan bahwa Pemrosesan Data Pribadinya terbatas pada tujuan Layanan EOR yang disediakan oleh Globalization Partners dan didasarkan pada dasar hukum untuk pemrosesan yang sah. Para Pihak akan saling membantu dalam mematuhi kewajiban masing-masing berdasarkan Undang-Undang Perlindungan Data, termasuk, namun tidak terbatas pada, membantu satu sama lain jika Pelanggaran Data terjadi, menanggapi permintaan Subjek Data dan/atau badan pengatur.
3. PEMROSESAN DATA PRIBADI
3.1. Cakupan. Penggunaan Platform oleh Pelanggan dan hubungan manajemen Pelanggan dapat melibatkan Pemrosesan Data Pelanggan oleh Globalization Partners sebagai Pemroses atau Penyedia Layanan atas nama Pelanggan.
3.2. Instruksi. Globalization Partners akan memproses Data Pelanggan sesuai dengan instruksi terdokumentasi Pelanggan. Pelanggan menyetujui bahwa Adendum ini, Perjanjian Induk, dan Lampiran I yang terlampir di sini, terdiri atas instruksi lengkap Pelanggan kepada Globalization Partners terkait Pemrosesan Data Pelanggan. Setiap instruksi tambahan atau alternatif harus disepakati antara para pihak secara tertulis, termasuk biaya (jika ada) yang terkait dengan kepatuhan terhadap instruksi tersebut. Globalization Partners tidak bertanggung jawab untuk menentukan apakah instruksi Pelanggan sesuai dengan hukum yang berlaku. Namun demikian, jika Globalization Partners berpendapat bahwa instruksi Pelanggan melanggar Undang-Undang Perlindungan Data yang berlaku, Globalization Partners akan memberi tahu Pelanggan sesegera mungkin dan tidak akan diwajibkan untuk mematuhi instruksi pelanggaran tersebut.
3.3. Detail Pemrosesan. Perincian pokok persoalan Pemrosesan, durasi, sifat, dan tujuannya, serta jenis Data Pelanggan dan subjek data sebagaimana ditetapkan dalam Lampiran I yang terlampir di sini.
3.4. Kepatuhan. Pelanggan dan Globalization Partners setuju untuk mematuhi kewajiban masing-masing berdasarkan Undang-Undang Perlindungan Data yang berlaku untuk Data Pelanggan yang Diproses sebagaimana ditetapkan dalam Lampiran I. Pelanggan bertanggung jawab penuh untuk mematuhi Undang-Undang Perlindungan Data terkait keabsahan Pemrosesan Data Pelanggan sebelum mengungkapkan, memindahkan, atau menyediakan Data Pelanggan kepada Globalization Partners. Untuk menghindari keraguan, dalam semua kasus, Pelanggan akan memperoleh, jika diperlukan, setiap persetujuan dari Subjek Data untuk Globalization Partners untuk Memproses Data Pelanggan sebagaimana diarahkan oleh Pelanggan.
3.5. Subpemroses. Pelanggan mengizinkan Globalization Partners untuk menunjuk dan menggunakan Pemroses (“Subpemroses”) untuk Memproses Data Pelanggan sehubungan dengan Layanan. Subpemroses dapat mencakup pihak ketiga atau anggota grup perusahaan Globalization Partners. Globalization Partners dapat terus menggunakan Subpemroses yang telah dilibatkan oleh Globalization Partners sejak tanggal Adendum ini, dan daftar Subpemroses tersebut tersedia dalam Lampiran III yang terlampir dalam Perjanjian ini. Apabila Subpemroses gagal memenuhi kewajiban perlindungan datanya sebagaimana ditetapkan di atas, Globalization Partners akan bertanggung jawab kepada Pelanggan atas pelaksanaan kewajiban Subpemroses. Globalization Partners akan memberi tahu Pelanggan tentang perubahan apa pun pada daftar Subpemrosesnya. Apabila, dalam 10 (sepuluh) hari sejak diterimanya pemberitahuan tersebut, Pelanggan secara sah menolak penambahan atau penghapusan Subpemroses dengan alasan perlindungan data dan Globalization Partners tidak dapat mengakomodasi keberatan Pelanggan secara wajar, para pihak akan membahas kekhawatiran Pelanggan dengan iktikad baik dengan maksud untuk menyelesaikan masalah tersebut.
3.6. Langkah-langkah keamanan teknis dan organisasi. Dengan mempertimbangkan standar industri, biaya implementasi, sifatnya, ruang lingkup, konteks dan tujuan Pemrosesan, dan keadaan relevan lainnya yang berkaitan dengan Pemrosesan Data Pelanggan dalam Platform, Globalization Partners akan menerapkan langkah keamanan teknis dan organisasi yang sesuai untuk memastikan keamanan, kerahasiaan, integritas, ketersediaan dan ketahanan sistem dan layanan pemrosesan yang terlibat dalam Pemrosesan Data Nasabah sepadan dengan risiko sehubungan dengan Data Nasabah tersebut. Globalization Partners akan secara berkala (i) menguji dan memantau efektivitas perlindungan, kontrol, sistem, dan prosedurnya dan (ii) mengidentifikasi risiko internal dan eksternal yang dapat diperkirakan secara wajar terhadap keamanan, kerahasiaan, dan integritas Data Pelanggan, dan memastikan risiko ini ditangani.
3.7. Kerahasiaan. Globalization Partners akan memastikan bahwa pihak yang berwenang untuk mengakses Data Pelanggan (i) telah berkomitmen terhadap kerahasiaan atau berdasarkan kewajiban kerahasiaan menurut undang-undang yang sesuai dan (ii) mengakses Data Pelanggan hanya berdasarkan instruksi terdokumentasi dari Globalization Partners kecuali jika diwajibkan untuk melakukannya oleh hukum yang berlaku.
3.8. Pelanggaran Data Pribadi. Globalization Partners akan memberi tahu Pelanggan tanpa penundaan yang tidak semestinya setelah mengetahui Pelanggaran Data sehubungan dengan Pemrosesan Data Pelanggan dan akan menggunakan upaya wajar untuk membantu Pelanggan dalam menanggulangi, jika memungkinkan, dampak merugikan dari Pelanggaran Data apa pun.
3.9. Transfer Internasional . Globalization Partners berwenang, dalam kegiatan bisnis normal, untuk melakukan transfer Data Pelanggan di seluruh dunia ke afiliasi dan/atau Subpemrosesnya. Saat melakukan pengalihan tersebut, Globalization Partners akan memastikan adanya perlindungan yang sesuai untuk melindungi Data Pelanggan yang dialihkan berdasarkan atau sehubungan dengan Perjanjian Induk, sebagai berikut:
- 3.9.1. Apabila Globalisasi mengalihkan Data Pelanggan ke negara di luar EEA (yang tidak tunduk pada keputusan kecukupan berdasarkan Undang-Undang Privasi), Globalization Partners akan melaksanakan dan mematuhi kewajibannya berdasarkan SCC UE, yang tercakup dalam Adendum ini melalui penyebutan ini dan dilengkapi sebagai berikut:
-
- Modul 2 (Pengendali ke Pemroses) akan berlaku jika Pelanggan adalah Pengendali Data Pribadi dan Globalization Partners adalah Pemroses Data Pribadi;
- dalam Klausul 7, klausul docking opsional akan berlaku;
- dalam Klausul 9, opsi 2 akan berlaku dengan 10 hari;
- dalam Klausul 11, bahasa opsional tidak akan berlaku;
- dalam Klausul 12, setiap klaim yang diajukan berdasarkan SCC UE akan tunduk pada syarat dan ketentuan yang ditetapkan dalam Perjanjian;
- dalam Klausul 17, Opsi 1 akan berlaku, SCC UE akan diatur oleh Hukum Irlandia;
- dalam Klausul 18(b), sengketa akan diselesaikan di hadapan pengadilan Irlandia;
- Lampiran I SCC UE akan dianggap telah dilengkapi dengan informasi yang ditetapkan dalam Lampiran I Adendum ini;
- Lampiran II SCC UE akan dianggap telah dilengkapi dengan informasi yang ditetapkan dalam Lampiran II Adendum ini; dan
- Lampiran III SCC UE akan dianggap telah dilengkapi dengan informasi yang ditetapkan dalam Lampiran III Adendum ini.
- 3.9.2. Sehubungan dengan Data Pelanggan yang dilindungi oleh GDPR Inggris, Para Pihak diizinkan secara hukum untuk mengandalkan SCC UE untuk Pemindahan Terbatas dari Inggris sesuai dengan Adendum Inggris yang disertakan ke dalam Adendum ini melalui referensi ini dan diselesaikan sebagaimana didefinisikan dalam Lampiran IV yang terlampir dalam Adendum ini. Jika bagian ini 3.9.2 tidak berlaku, maka Globalization Partners Mengekspor Perusahaan dan Pelanggan akan bekerja sama dengan iktikad baik untuk menerapkan pengamanan yang sesuai untuk pengalihan Data Pribadi sebagaimana diwajibkan atau diizinkan oleh GDPR Inggris tanpa penundaan yang tidak semestinya.
- 3.9.3. Tidak ada penafsiran dalam Bagian ini yang 3.9 dimaksudkan untuk bertentangan dengan hak atau tanggung jawab salah satu Pihak berdasarkan SCC UE dan/atau Adendum Inggris dan, jika terjadi konflik tersebut, SCC UE dan/atau Adendum Inggris, sebagaimana berlaku, yang akan berlaku.
3.10. Penghapusan Data Pribadi. Setelah pengakhiran Layanan (untuk alasan apa pun) dan jika diminta oleh Pelanggan secara tertulis, Globalization Partners akan, sesegera mungkin, mengembalikan atau menghapus Data Pelanggan yang disimpan dalam Platform kecuali jika hukum yang berlaku mewajibkan penyimpanan Data Pelanggan untuk jangka waktu yang lebih lama. Untuk penyimpanan tersebut, ketentuan Adendum ini akan terus berlaku terhadap Data Pelanggan tersebut.
3.11. Permintaan Subjek Data. Globalization Partners akan segera memberi tahu Pelanggan tentang permintaan Subjek Data terkait Data Pelanggan. Pelanggan bertanggung jawab untuk menanggapi permintaan tersebut. Globalization Partners akan membantu Pelanggan secara wajar untuk menanggapi permintaan Subjek Data tersebut sejauh Pelanggan tidak dapat mengakses Data Pelanggan terkait dalam penggunaan Platform.
3.12. Permintaan pihak ketiga. Jika Globalization Partners menerima permintaan dari pihak ketiga atau perintah pengadilan, tribunal, regulator, atau lembaga pemerintah dengan yurisdiksi yang kompeten yang mengatur Globalization Partners terkait Pemrosesan Data Pelanggan berdasarkan Perjanjian, Globalization Partners akan segera mengalihkan permintaan tersebut kepada Pelanggan. Globalization Partners tidak akan menanggapi permintaan tersebut tanpa izin sebelumnya dari Pelanggan kecuali jika diwajibkan secara hukum untuk melakukannya. Globalization Partners akan, kecuali jika dilarang oleh hukum, memberi tahu Pelanggan sebelum melakukan pengungkapan Data Pelanggan dan akan bekerja sama secara wajar dengan Pelanggan untuk membatasi ruang lingkup pengungkapan tersebut pada hal yang diwajibkan oleh hukum.
3.13. Penilaian Dampak Perlindungan Data dan Konsultasi Sebelumnya. Sejauh diwajibkan oleh Undang-Undang Perlindungan Data, Globalization Partners akan memberikan bantuan wajar kepada Pelanggan untuk melaksanakan penilaian dampak perlindungan data sehubungan dengan Pemrosesan Data Pelanggan yang dilakukan oleh Globalization Partners dan/atau konsultasi(-konsultasi) sebelumnya yang diwajibkan dengan otoritas pengawas. Globalization Partners berhak untuk mengenakan biaya yang wajar kepada Pelanggan atas penyediaan bantuan tersebut.
3.14. Mendemonstrasikan Kepatuhan. Globalization Partners secara berkala melakukan audit eksternal terkait keamanan, ketersediaan, integritas pemrosesan, kerahasiaan, dan pengendalian privasi organisasi serta akan memberikan salinan laporan ringkasan audit atau sertifikasi terbaru kepada Pelanggan jika diminta secara tertulis. Jika Pelanggan memilih untuk melakukan audit sendiri selain sertifikasi atau laporan pihak ketiga yang disediakan, audit tersebut harus dilakukan: i) tidak lebih dari sekali per masing-masing 12 (dua belas) bulan; ii) selama jam kerja normal dan tanpa mengganggu bisnis harian Globalization Partners; iii) dengan pemberitahuan tertulis tiga puluh (30) hari sebelumnya; iv) dengan biaya Pelanggan sendiri (termasuk waktu yang dihabiskan Mitra Globalisasi untuk membantu Pelanggan selama audit berdasarkan tarif harian manajer keamanan); v) berdasarkan parameter dan ruang lingkup yang disepakati bersama, terbatas pada cakupan layanan tertentu, sistem yang digunakan dan/atau aktivitas pemrosesan yang dimaksudkan dan bersifat spesifik terhadap persyaratan aktual; vi) berdasarkan tanggal yang disepakati bersama sebelumnya, tunduk pada penundaan wajar oleh Pelanggan atas permintaan wajar Globalization Partners; dan vii) sesuai dengan semua kewajiban dan pembatasan kerahasiaan. Terlepas dari hal-hal tersebut di atas, tidak ada hak audit yang diberikan setelah pengakhiran Perjanjian Induk, kecuali untuk kewajiban hukum yang harus ditunjukkan oleh Pelanggan. Setiap perwakilan pihak ketiga yang dipilih untuk melakukan audit atas nama Pelanggan tidak boleh memiliki kepentingan kepemilikan atau afiliasi dengan lembaga Layanan EOR, organisasi terkait, atau konsultan.
3.15. Tidak Ada Penjualan Informasi. Globalization Partners tidak akan memperoleh atau menggunakan hak atau manfaat apa pun terkait Data Pribadi kecuali sebagaimana ditetapkan dalam Adendum ini. Untuk menghindari keraguan, Globalization Partners tidak akan menyimpan, menggunakan, membagikan, atau mengungkapkan Data Pelanggan untuk tujuan apa pun selain untuk tujuan tertentu menyediakan Platform kepada Pelanggan sesuai dengan Perjanjian Induk. Globalization Partners tidak akan menjual Data Pribadi apa pun, sebagaimana istilah “penjualan” didefinisikan dalam CCPA. Globalization Partners menyatakan dan menjamin bahwa mereka memahami aturan, persyaratan, dan definisi CCPA dan setuju untuk tidak mengambil tindakan apa pun yang akan menyebabkan pengalihan Data Pribadi ke atau dari Globalization Partners untuk memenuhi syarat sebagai “menjual informasi pribadi” berdasarkan CCPA.
Lampiran I - Deskripsi Pemrosesan Data
| Pihak | Pengendali/Pengekspor Data: Entitas pelanggan yang menandatangani entitas Pengolah Agremen Master/Pengimpor Data: Globalization Partners yang menandatangani Perjanjian Master. |
| Detail Kontak Pihak | Perincian kontak pelanggan sebagaimana ditetapkan dalam Perjanjian Induk. Perincian kontak Globalization Partners sebagaimana ditetapkan dalam Perjanjian Induk. |
| Aktivitas yang Relevan dengan Data yang Ditransfer | Kegiatan terkait Platform yang disediakan sebagai layanan. |
| Aktivitas Pemrosesan | Globalization Partners akan memproses Data Pelanggan dalam penyediaan Platform sebagai layanan bagi Pelanggan. |
| Durasi Pemrosesan | Globalization Partners akan Memproses Data Pelanggan selama durasi Perjanjian Induk dan secara berkelanjutan. |
| Sifat dan Tujuan Pemrosesan | Pelanggan dapat mentransfer Data Pelanggan ke Globalization Partners, sejauh ditentukan dan dikendalikan oleh Pelanggan atas kebijakannya sendiri. Globalization Partners akan Memproses Data Pelanggan sebagaimana diperlukan untuk tujuan menyediakan Platform sebagai layanan kepada Pelanggan sesuai dengan Perjanjian Induk. |
| Kategori Subjek Data | Data Pelanggan menyangkut Pengguna Resmi Platform yang mungkin mencakup karyawan dan/atau kontraktor Pelanggan, selain individu yang Data Pribadinya disediakan oleh Pengguna Resmi Platform. |
| Jenis Data Pribadi | Data Pelanggan yang dialihkan dapat mencakup kategori data berikut:
|
| Kategori Data Khusus (jika sesuai) | T/A |
| Retensi | Data Pelanggan akan disimpan setidaknya selama periode penyimpanan minimum yang diwajibkan secara hukum yang berlaku, yang sejalan dengan undang-undang pembatasan yang berlaku dan memenuhi praktik bisnis yang baik. |
| Otoritas Pengawasan yang Kompeten | Komisi Perlindungan Data Irlandia |
| Transfer ke Subpemroses | Untuk transfer ke prosesor, pokok bahasan, sifat, dan durasi pemrosesan adalah sama seperti yang dijelaskan di atas. |
| Perincian kontak Privasi Globalization Partners | privacy@globalization-partners.com U.P.: Kantor Privasi Global. |
Lampiran II - Langkah Teknis dan Organisasi
Globalization Partners telah disertifikasi dan dibuktikan untuk mengonfirmasi kepatuhan terhadap 2 standar SOC, oleh auditor independen. Laporan Kontrol Organisasi Layanan (SOC) menunjukkan komitmen kita untuk mengamankan Data Pelanggan. Program keamanan Globalization Partners dirancang untuk:
- Melindungi kerahasiaan, integritas, dan ketersediaan Data Pelanggan yang dimiliki oleh Globalization Partners atau yang dapat diakses oleh Globalization Partners;
- Melindungi dari ancaman atau bahaya yang diantisipasi terhadap kerahasiaan, integritas, dan ketersediaan Data Pelanggan;
- Melindungi dari akses, penggunaan, pengungkapan, perubahan, atau pemusnahan Data Pelanggan yang tidak sah atau melanggar hukum;
- Melindungi dari kehilangan atau pemusnahan Data Pelanggan yang tidak disengaja, atau kerusakan terhadap Data Pelanggan; dan
- Melindungi informasi sebagaimana ditetapkan dalam peraturan apa pun yang mengatur Globalization Partners.
Hal berikut menjelaskan fungsi, proses, pengendalian, sistem, prosedur, dan langkah yang telah diambil Globalization Partners untuk memastikan keamanan Pemrosesan Data Pelanggan:
1) LANGKAH TEKNIS UNTUK MEMASTIKAN PRIVASI DAN PERLINDUNGAN DATA
a) Privasi berdasarkan Desain dan Default:
Globalization Partners mempertimbangkan persyaratan Pasal 25 GDPR dalam fase konsepsi dan pengembangan pengembangan produk. Proses dan fungsionalitas diatur sedemikian rupa sehingga prinsip-prinsip perlindungan data seperti legalitas, transparansi, batasan tujuan, minimalisasi data, dll. serta keamanan pemrosesan dipertimbangkan pada tahap awal.
b) Enkripsi Data Pribadi:
Memastikan bahwa data pribadi hanya disimpan dalam sistem dengan cara yang tidak memungkinkan pihak ketiga mengidentifikasi subjek data.
- Enkripsi basis data dan penyimpanan:
Pada semua basis data yang digunakan oleh Globalization Partners, enkripsi “diistirahatkan” menurut bidang seni digunakan sehingga data dari basis data hanya dapat dibaca setelah autentikasi yang tepat pada masing-masing sistem basis data. - Enkripsi media data seluler:
Penggunaan operator data seluler untuk menyimpan data pelanggan tidak diizinkan. - Enkripsi operator data di laptop:
Enkripsi hard disk mutakhir yang tepat diinstal di semua laptop karyawan. - Pertukaran informasi dan file terenkripsi:
Pada prinsipnya, pertukaran informasi dan file dienkripsi secara langsung melalui aplikasi khusus. Jika data pribadi atau informasi rahasia harus ditransfer ke server yang tidak dapat dikirim melalui unggahan HTTPS terenkripsi TLS, data pribadi atau informasi rahasia tersebut akan ditransfer menggunakan Secure File Transfer Protocol (SFTP), layanan amplop terenkripsi, atau mekanisme terenkripsi lainnya sesuai dengan keadaan Seni. - Enkripsi Email:
Pada prinsipnya, semua email yang dikirim oleh karyawan Globalization Partners dienkripsi dengan TLS. Pengecualian dapat dilakukan jika server penerima tidak mendukung TLS. Pelanggan harus memastikan bahwa server surat terkait yang digunakan dalam lingkup pesanan mendukung enkripsi TLS
c) Kontrol Masuk
Kontrol penerimaan dimaksudkan dan diberlakukan untuk mencegah penggunaan dan pemrosesan data yang dilindungi oleh undang-undang perlindungan data oleh pihak yang tidak berwenang.
- Penggunaan metode autentikasi
Akses ke data pribadi selalu melalui protokol terenkripsi: SSH, SSL/ TLS, HTTPS, atau protokol yang sebanding. Prosedur autentikasi untuk sistem TI: Login autentikasi multifaktor ke sistem TI. - Pemblokiran otomatis jika Laptop tidak aktif
digunakan oleh karyawan Globalization Partners yang terkunci dengan kata sandi atau perlindungan PIN saat tidak digunakan oleh pengguna. Selain itu, kunci layar otomatis dengan perlindungan kata sandi diatur setelah tidak aktif selama 15 beberapa menit. - Penggunaan Laptop perangkat lunak antivirus yang
digunakan oleh karyawan Globalization Partners dilengkapi dengan perangkat lunak antivirus canggih yang terus diperbarui pada semua sistem TI operasional atau bisnis. Pada prinsipnya, tidak ada komputer yang dapat dioperasikan tanpa perlindungan virus penduduk kecuali tindakan keamanan mutakhir lainnya telah diambil atau tidak ada risiko. Pengaturan keamanan default tidak boleh dinonaktifkan atau digagalkan. - “Kebijakan Meja Bersih”
Karyawan Globalization Partners diinstruksikan untuk tidak mencetak atau menyimpan data pribadi subjek data secara lokal, tidak meninggalkan materi kerja di lokasi tempat mereka dapat dilihat oleh pihak ketiga, dan menyimpan semua materi kerja dengan benar. Dokumen yang diwajibkan oleh hukum untuk disimpan oleh Globalization Partners dalam salinan cetak disimpan dalam lemari terkunci.
d) Kontrol Akses dalam Platform
Kontrol akses memastikan bahwa orang yang berwenang untuk menggunakan sistem pemrosesan hanya memiliki akses ke data pribadi yang tercakup dalam otorisasi akses mereka.
- Peran dan Otorisasi
- Platform Peran dan Otorisasi – Pengguna Pelanggan Akses Nasabah dapat melihat dan mengedit informasi akun pelanggan.
- Platform Peran dan Otorisasi – Pengguna Profesional Akses dapat melihat dan mengedit informasi profesional mereka sendiri.
Profesional juga dapat memperoleh peran akses Pelanggan sesuai persyaratan + persetujuan - Platform Peran dan Otorisasi – Akses Internal
Pengguna akses internal memiliki peran yang bervariasi. Mereka memiliki beragam akses untuk membuat, melihat, mengedit, dan menyetujui hal berikut:- Informasi pelanggan
- Informasi penagihan
- Informasi mitra
- Informasi catatan personel profesional
Akses ke sistem admin umumnya terbatas pada karyawan terlatih di bidang dukungan pelanggan dan pengembangan produk.
e) Firewall sebagai Layanan
Globalization Partners menggunakan firewall eksternal sebagai layanan yang memungkinkannya memberikan atau memblokir akses ke situs web untuk memastikan sistem tidak dapat mengakses konten berbahaya dan membatasi akses ke konten yang tidak pantas.
f) Catatan Masuk ke Platform
Globalization Partners menyimpan catatan semua aktivitas login.
g) Pemisahan
Memastikan bahwa data pribadi yang dikumpulkan untuk tujuan yang berbeda dapat diproses secara terpisah dan dipisahkan dari data dan sistem lain sedemikian rupa sehingga penggunaan data ini yang tidak direncanakan untuk tujuan lain dikecualikan.
- Pemisahan lingkungan pengembangan, pengujian, dan pengoperasian
Data dari lingkungan pengoperasian hanya dapat dipindahkan ke lingkungan pengujian atau pengembangan jika telah dibuat sepenuhnya anonim sebelum dipindahkan. Pemindahan data anonim harus dienkripsi atau melalui jaringan tepercaya. - Pemisahan jaringan
Globalization Partners memisahkan jaringannya berdasarkan tugas. Jaringan berikut digunakan secara permanen: lingkungan operasi (“Produksi”), lingkungan pengujian (“Penahapan”, “Kotak pasir”), staf TI kantor lingkungan pengembangan (“Dev”). Selain jaringan ini, jaringan terpisah lebih lanjut dibuat sesuai kebutuhan, misalnya untuk memulihkan uji dan uji penetrasi. Tergantung pada kemungkinan teknis, jaringan dipisahkan secara fisik atau melalui jaringan virtual.
h) Pengendalian ketersediaan
Globalization Partners mengambil langkah-langkah berikut untuk memastikan bahwa data pribadi dilindungi dari pemusnahan atau kehilangan yang tidak disengaja.
- Prosedur/cadangan perlindungan data
Untuk memastikan ketersediaan yang memadai Globalization Partners menerapkan tangkapan harian basis datanya dengan replikasi ke wilayah yang berbeda. Langkah-langkah juga diambil untuk memastikan bahwa karyawan dengan kebutuhan berbasis pekerjaan untuk meninjau data diberi akses hanya untuk mereplikasi set data. - Geo-redundansi sehubungan dengan infrastruktur server data produktif dan cadangan
- Manajemen insiden TI (“Manajemen Tanggapan Insiden”)
Terdapat konsep dan prosedur terdokumentasi untuk menangani insiden dan kejadian terkait keselamatan. Ini termasuk perencanaan dan persiapan tanggapan terhadap insiden, prosedur untuk memantau, mendeteksi dan menganalisis peristiwa terkait keamanan dan definisi tanggung jawab yang sesuai dan saluran pelaporan jika terjadi pelanggaran perlindungan data pribadi dalam kerangka persyaratan hukum.
2) TINDAKAN ORGANISASI UNTUK MEMASTIKAN PRIVASI DAN PERLINDUNGAN DATA
Globalization Partners telah menerapkan langkah-langkah organisasi berikut untuk memastikan organisasi beroperasi dengan cara yang memenuhi persyaratan privasi dan perlindungan data.
a) Instruksi Organisasi
Globalization Partners telah mengembangkan dan sedang mengembangkan program tata kelola data termasuk kebijakan, prosedur, dan pedoman untuk diikuti oleh karyawan. Dokumentasi mencakup cara mengidentifikasi dan mengelola masalah privasi data, praktik terbaik untuk memastikan kepatuhan privasi, dan kebijakan untuk mengatasi insiden privasi.
b) Komitmen terhadap kerahasiaan dan perlindungan data
Globalization Partners telah mengembangkan dan sedang mengembangkan program tata kelola data termasuk kebijakan, prosedur, dan pedoman untuk diikuti oleh karyawan. Semua karyawan dan kontraktor terikat secara tertulis pada kerahasiaan dan perlindungan data serta undang-undang terkait lainnya. Semua karyawan menerima pelatihan privasi & keamanan. Audit internal tentang perlindungan data dan keamanan informasi dilakukan secara rutin. Audit dilakukan berdasarkan kriteria/skema pengujian umum. Karyawan dan kontraktor Globalization Partners diinstruksikan untuk memproses data pribadi hanya untuk alasan yang sah, sesuai dengan kontrak yang berlaku dengan pelanggan dan profesional, dengan mempertimbangkan setiap persetujuan tegas yang diberikan atau ditangguhkan oleh subjek data, dan sesuai dengan tugas organisasi yang sah.
c) Pelatihan perlindungan data
Semua karyawan menerima pelatihan privasi & keamanan yang tetap tersedia untuk ditinjau kapan saja di platform pelatihan Globalization Partners.
d) Kontrol Akses Fisik
Globalization Partners memiliki kontrol fisik berikut untuk menolak akses orang yang tidak berwenang ke peralatan sistem TI yang digunakan untuk pemrosesan.
- Perlindungan pintu elektronik
Pintu masuk ke lokasi kantor Globalization Partners selalu terkunci dan diamankan secara elektronik. Pintu dibuka melalui transponder elektronik pribadi. - Distribusi kunci yang dikontrol
Alokasi kunci yang terpusat dan terdokumentasi untuk karyawan Globalization Partners terjadi. Transponder/kunci elektronik ini dapat dinonaktifkan secara terpusat oleh setiap manajer kantor atau departemen Sumber Daya Manusia. - Pengawasan dan pendampingan pihak eksternal
Penyedia layanan eksternal dan pihak ketiga lainnya hanya dapat diberikan akses ke properti melalui otorisasi sebelumnya atau jika didampingi oleh karyawan Globalization Partners Globalization Partners menerapkan Kebijakan tertulis Pengunjung saat pengunjung diundang ke lokasi. - Mengamankan lokasi dengan kebutuhan perlindungan yang lebih
tinggi, Gedung atau kabinet dengan persyaratan perlindungan yang lebih ketat, seperti kantor hukum dan lokasi Operasi tertentu, dilengkapi dengan lemari dan laci pengunci. Kabinet dan laci tempat dokumen hukum, kontrak, dan dokumentasi rahasia disimpan harus dikunci setiap saat kecuali saat sedang digunakan. - Pintu dan jendela tertutup
Karyawan diinstruksikan secara organisasi untuk menjaga jendela dan pintu tetap tertutup atau terkunci di luar jam kantor.
e) Kemampuan pemulihan
Globalization Partners memastikan bahwa sistem yang digunakan dapat dipulihkan jika terjadi kegagalan fisik atau teknis.
- Pengujian rutin terhadap pemulihan data (“Pengembalian Pemulihan”)
Pengujian pemulihan penuh rutin dilakukan untuk memastikan pemulihan jika terjadi keadaan darurat/bencana. - Rencana darurat (“Konsep Pemulihan Bencana”)
Ada konsep untuk pengobatan keadaan darurat/bencana dan rencana darurat terkait. Globalization Partners memastikan pemulihan semua sistem berdasarkan backup / backup data, biasanya dalam hitungan 48 jam. - Tindakan peninjauan dan evaluasi
Penyajian prosedur untuk peninjauan, penilaian, dan evaluasi berkala keefektifan tindakan teknis dan organisasi.
f) Tim Privasi
Organisasi memiliki Kantor Privasi Data Global yang bertugas merencanakan, menerapkan, mengevaluasi, dan mengadaptasi langkah dalam bidang perlindungan data.
g) Manajemen Risiko
Terdapat proses untuk menganalisis, mengevaluasi, dan mengalokasikan risiko serta mengambil langkah berdasarkan risiko tersebut.
3) TINJAUAN INDEPENDEN KEAMANAN INFORMASI
a) Pelaksanaan audit
Audit internal tentang perlindungan data dan keamanan informasi dilakukan secara rutin. Audit dilakukan berdasarkan kriteria/skema pengujian umum.
b) Peninjauan kepatuhan terhadap kebijakan dan standar keamanan
Kepatuhan terhadap pedoman keamanan, standar, dan persyaratan keamanan lain yang berlaku untuk pemrosesan data pribadi diperiksa secara berkala. Bila memungkinkan, pemeriksaan ini dilakukan secara acak dan tidak terduga.
c) Verifikasi kepatuhan terhadap spesifikasi teknis
Pemindaian kerentanan otomatis dan manual rutin dilakukan oleh departemen TI atau personel berkualifikasi lainnya untuk memverifikasi keamanan aplikasi dan infrastruktur, serta pengembangan rutin produk. Pengujian penetrasi terperinci dilakukan oleh penyedia layanan eksternal untuk secara khusus memeriksa kerentanan aplikasi dan infrastruktur.
d) Memproses instruksi
Karyawan Globalization Partners diinstruksikan untuk memproses data pribadi hanya karena alasan yang sah, sesuai dengan kontrak yang berlaku dengan pelanggan dan profesional, dengan mempertimbangkan setiap persetujuan tegas yang diberikan atau ditangguhkan oleh subjek data, dan sesuai dengan kewajiban organisasi yang sah.
e) Pemilihan pemasok yang cermat
Globalization Partners mematuhi Proses Prakualifikasi Pemasok saat memilih vendor dan pemasok yang mungkin menemukan data yang dilindungi. Proses ini meliputi umpan balik dari Departemen Keuangan dan Hukum/Privasi serta menggabungkan penilaian risiko, prakualifikasi keamanan, dan langkah sertifikasi dokumentasi. Pemasok yang akan memproses data yang dilindungi akan diwajibkan untuk menunjukkan kepatuhan mereka terhadap undang-undang privasi data yang berlaku, termasuk Pasal 28 GDPR untuk data yang tercakup.
Lampiran III - Daftar Subpemroses
| Subpemroses | Informasi Kontak | Deskripsi Pemrosesan | Lokasi |
|---|---|---|---|
| Anak perusahaan Globalization Partners | https://www.globalization- partners.com/contact-us/ | Menyediakan Platform dan manajemen hubungan Pelanggan | AS |
| Akumatika | 3933 Danau Washington Blvd NE #350, Kirkland, WA 98033, AS | Layanan Keuangan | AS |
| Layanan Web Amazon | P.O. Box 81226 Seattle, WA 98108-1226, AS https://aws.amazon.com/contact-us/ |
Hosting – Penyedia Layanan Cloud | AS |
| Microsoft | Telepon One Microsoft Way Redmond, Washington 98052 AS: (+1) 425-882-8080. |
Komunikasi Pendukung Proses Bisnis (email); manajemen layanan | AS |
| Atlassia | 350 Lantai Bush Street 13 San Francisco, CA 94104, AS +1 415 701 1110 |
Dukungan Proses Bisnis untuk manajemen layanan | AS |
| Conga | https://conga.com/contact-us 62 Margaret St, LondonW1W8TF, Lantai 3 Inggris |
Manajemen Kontrak | Inggris Raya |
| DocuSign | DocuSign International (EMEA) Ltd, Perhatian: Tim Privasi, 5 Hanover Quay, Lantai Dasar, Dublin2, Republik Irlandia | Manajemen Dokumen | Irlandia |
| Lagu | 265 Cambridge Ave, Suite 60717 Palo Alto, CA 94306, AS | Layanan Telekomunikasi | AS |
| iCertis | 2 Kingdom Street Paddington London W2 6BD Inggris | Manajemen Kontrak | Inggris Raya |
| Salesforce.com | Salesforce Tower, 415 Mission Street, Lantai 3, San Francisco, CA 94105, AS 1-800-387-3285 |
Dukungan Proses Bisnis untuk manajemen Hubungan Pelanggan (CRM) | AS |
| Zendesk | 989 Pasar St San Francisco, CA 94103, AS zendesk.com 888-670-4887 |
Permintaan bantuan untuk dukungan pelanggan | AS |
Lampiran IV - Adendum Inggris untuk Klausul Kontraktual Standar UE
BAGIAN 1: TABEL
Tabel 1: Para Pihak
| Tanggal mulai | Tanggal Berlaku Adendum ini | |
|---|---|---|
| Para Pihak | Eksportir (yang mengirimkan Pengalihan Terbatas) | Importir (yang menerima Transfer Terbatas) |
| Detail Para Pihak | Perincian entitas pelanggan sebagaimana ditetapkan dalam Perjanjian Induk. | Perincian entitas Globalization Partners sebagaimana ditetapkan dalam Perjanjian Induk. |
| Kontak Utama | Perincian kontak pelanggan sebagaimana ditetapkan dalam Perjanjian Induk. | Perincian kontak Globalization Partners sebagaimana ditetapkan dalam Perjanjian Induk dan perincian kontak Privasi Globalization Partners sebagaimana ditetapkan dalam Lampiran I di atas. |
Tabel 2: SCC, Modul, dan Klausul yang Dipilih
| Adendum SCC UE | Versi SCC UE yang Disetujui yang tercakup dalam Bagian 3.9 Adendum, termasuk informasi Lampiran yang terlampir dalam Adendum ini. |
Tabel 3: Informasi Lampiran
“Informasi Lampiran” berarti informasi yang harus diberikan untuk modul yang dipilih sebagaimana ditetapkan dalam Lampiran SCC UE yang Disetujui (selain Para Pihak), dan yang untuk Adendum ini ditetapkan dalam:
- Lampiran 1A: Daftar Pihak: Lampiran I
- Lampiran 1B : Deskripsi Pengalihan: Lampiran I
- Lampiran II: Langkah teknis dan organisasi termasuk langkah teknis dan organisasi untuk memastikan keamanan data: Lampiran II
- Lampiran III: Daftar Subpemroses: Lampiran III
Tabel 4: Mengakhiri Adendum ini saat Adendum yang Disetujui Berubah
| Mengakhiri Adendum ini saat Adendum yang Disetujui berubah | Pihak mana yang dapat mengakhiri Adendum ini sebagaimana ditetapkan dalam Bagian 19: ☐ Importir △ Eksportir ☐ Pihak mana pun |
BAGIAN 2: KLAUSUL WAJIB
| Klausul Wajib | Bagian 2: Klausul Wajib Adendum yang Disetujui, yang merupakan templat Adendum B.1.0 yang diterbitkan oleh ICO dan diletakkan di hadapan Parlemen sesuai dengan Undang-Undang Perlindungan s119A Data 2018 pada 2 Februari 2022, sebagaimana direvisi berdasarkan Bagian Klausul Wajib 18 tersebut. |