Sudah resmi! G-P Gia™ sekarang tersedia untuk semua orang. Menghadirkan AI agentik untuk kepatuhan SDM global bernilai besar. Coba sekarang!
Singkirkan visa H-1B. Akses talenta terbaik dengan G-P EOR™.
Logo G-P
Minta proposal

Bahasa Privasi MSA

Pembaruan terakhir: Maret 4, 2026

 ADENDUM PERLINDUNGAN DATA

Pelanggan telah menandatangani Perjanjian Induk atau perjanjian dengan sifat dan tujuan yang serupa (selanjutnya disebut “Perjanjian Induk”) dengan G-P. Pelaksanaan Perjanjian Induk tersebut dapat melibatkan Pemrosesan Data Pribadi. Pelanggan dan G-P (secara bersama-sama disebut sebagai “Para Pihak”) setuju bahwa Adendum Perlindungan Data (“DPA”) ini menetapkan kewajiban mereka sehubungan dengan pemrosesan dan keamanan Data Pribadi sehubungan dengan Layanan yang disediakan G-P oleh Pelanggan berdasarkan Perjanjian Induk dan Para Pihak setuju untuk terikat dengan DPA ini. DPA ini melengkapi syarat dan ketentuan dalam Perjanjian Induk dan disertakan di dalamnya. Jika terjadi konflik antara DPA ini, dan perjanjian lain antara para pihak mengenai masalah yang ditetapkan dalam DPA ini, DPA ini yang akan berlaku. Jika Pelanggan sudah memiliki adendum perlindungan data yang berlaku dengan G-P, maka perjanjian tersebut akan berlaku atas DPA ini, dan DPA ini tidak akan memiliki kekuatan atau efek, kecuali jika disetujui lain secara tertulis oleh Pelanggan dan G-P.

 

Bahwa:

  1. Saat G-P memberikan layanan Pemberi Kerja Catatan (“EOR”) kepada Pelanggan, G-P mengambil peran pemberi kerja yang sah untuk setiap individu yang dipilih oleh Pelanggan (“Profesional”) yang akan direkrut.
  2. Sehubungan dengan Data Pribadi Profesional tersebut, G-P adalah Pengendali selama hubungan kerja.
  3. Sehubungan dengan Data Pribadi Profesional yang dikumpulkan dan digunakan oleh Pelanggan untuk tujuannya sendiri, Pelanggan juga merupakan Pengendali dengan kewajiban privasi independen.
  4. Saat memberikan layanan EOR, pertukaran Data Pribadi Profesional antara G-P dan Pelanggan berada dalam hubungan Pengendali-ke-Pengendali independen dan ketentuan  Pengendali-ke-Pengendali yang ditetapkan dalam bagian 2 di bawah ini, akan berlaku.
  5. G-P juga menawarkan berbagai perangkat lunak sebagai produk layanan melalui platform G-P’s (“GPP”), yang G-P memungkinkan Pelanggan mengelola hubungan dengan Profesional tersebut.
  6. Dengan memberikan akses ke GPP kepada Pelanggan, G-P adalah Pemroses untuk data terkait akun yang diunggah ke GPP oleh Pengguna Resmi GPP yang ditunjuk Pelanggan dan ketentuan Pengendali-ke-Pemroses yang ditetapkan di bagian 3 di bawah ini, akan berlaku.

 

G-P dan Pelanggan telah menyetujui hal-hal berikut:

 

1. DEFINISI

1.1. Istilah yang tidak didefinisikan di sini memiliki makna yang ditetapkan dalam Perjanjian Induk. Kata-kata berikut dalam DPA ini memiliki arti sebagai berikut:

1.2. Pengguna yang Diizinkanberarti individu yang diizinkan oleh Pelanggan yang dapat mencakup karyawan dan/atau kontraktor Pelanggan, untuk mengakses dan menggunakan GPP atas nama Pelanggan, sesuai dengan pelaksanaan Perjanjian Induk.

1.3. Data Pelanggan” berarti Data Pribadi terkait Pengguna Resmi atau orang perseorangan yang dapat diidentifikasi yang dialihkan, diproses, atau disimpan oleh atas G-P nama Pelanggan untuk penggunaan GPP oleh Pelanggan.

1.4. Undang-Undang Perlindungan Data” berarti undang-undang perlindungan data dan privasi yang mengatur salah satu pihak dalam Perjanjian ini dan yang berlaku untuk Layanan yang disediakan, termasuk jika berlaku, namun tidak terbatas pada GDPR, GDPR Inggris, Undang-Undang Perlindungan Data Swiss, Undang-Undang Privasi AS (termasuk undang-undang negara bagian dan federal), dan LGPD Brasil.

1.5. GDPR” berarti Peraturan Perlindungan Data Umum (UE) 2016/679.

1.6. GPP” berarti perangkat lunak G-Pberhak milik, termasuk tanpa batasan, perangkat lunak, versi seluler, perangkat lunak yang terkandung di dalamnya, dan data apa pun yang tersedia melalui penggunaan perangkat lunak G-Pberhak milik atau layanan pihak ketiga, termasuk pembaruan, peningkatan, platform sebagai layanan, dan dokumentasi.

1.7. EEA” berarti Wilayah Ekonomi Eropa.

1.8. LGPD” berarti Undang-Undang Brasil No. 13.709, Undang-Undang Umum tentang Perlindungan Data Pribadi, sebagaimana dapat diubah, diganti, atau diganti.

1.9. Master Agreemen t” berarti perjanjian yang ditandatangani antara Pelanggan dan G-P untuk penyediaan Layanan.

1.10. “Kebijakan Privasi” berarti kebijakan G-Pprivasi, sebagaimana diperbarui dari waktu ke waktu, tersedia di https://www.globalization-partners.com/privacy-policy/

1.11. “Data Profesionalberarti Data Pribadi Profesional yang diproses oleh G-P selama penyediaan layanan EOR kepada Pelanggan.

1.12. "Pengalihan Terbatas" berarti pengalihan Data Pribadi ke negara di luar EEA, Inggris, Swiss, atau Brasil yang tidak tunduk pada keputusan kecukupan berdasarkan Undang-Undang perlindungan Data yang berlaku, dan oleh karena itu memerlukan pengamanan yang sesuai berdasarkan undang-undang perlindungan data yang berlaku.

1.13. “Layanan” berarti layanan yang akan diberikan G-P kepada Pelanggan berdasarkan Perjanjian Utama yang dapat mencakup layanan EOR serta akses dan penggunaan GPP.

1.14. "Klausul Kontrak Standar" atau "SCC" berarti (i) jika GDPR berlaku, klausul kontrak standar yang dilampirkan pada Keputusan Pelaksanaan Komisi Eropa (UE) 2021/914 klausul kontrak 4 Juni 2021 standar untuk pengalihan data pribadi ke negara ketiga sesuai dengan Peraturan (UE) 2016/679 Parlemen dan Dewan Eropa, tersedia di https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914&from=EN ("SCC UE"); (ii) jika GDPR Inggris berlaku, klausul perlindungan data standar yang berlaku yang diterapkan sesuai dengan Pasal 46(2)(c), atau (d) jika GDPR Inggris berarti Adendum Transfer Data Internasional (“Adendum Inggris”) terhadap Klausul Kontrak Standar UE yang diterbitkan oleh Kantor Komisioner Informasi berdasarkan s.119A(1) Undang-Undang Perlindungan Data 2018, karena Adendum Inggris tersebut dapat direvisi berdasarkan Bagian 18 di dalamnya ("SCC Inggris"); (iii) apabila Undang-Undang

1.15. “Undang-Undang Perlindungan Data Swiss” atau “FADP” berarti (i) Undang-Undang Perlindungan Data Federal Swiss (tanggal Juni 19, 1992, per 1 Maret, 2019) (“FDPA”); (ii)  Undang-Undang Federal tentang Perlindungan Data  (“FODP“); dan (iii) undang-undang perlindungan data nasional yang dibuat berdasarkan, sesuai dengan, mengganti atau menggantikan dan undang-undang yang menggantikan atau memperbarui salah satu hal di atas.

1.16. Adendum Britania Rayaberarti adendum transfer data internasional Britania Raya untuk Klausul Kontrak Standar UE yang diterbitkan oleh Komisaris Informasi Britania Raya.

1.17. “Undang-Undang Perlindungan Data Inggris” berarti GDPR sebagaimana disimpan ke dalam hukum Inggris berdasarkan bagian 3 Undang-Undang Uni Eropa (Penarikan) Inggris 2019 (”GDPR Inggris”) dan Undang-Undang Perlindungan Data 2018 (secara bersama-sama disebut  “Undang-Undang Perlindungan Data Inggris”).

1.18. “Undang-Undang Privasi AS” berarti undang-undang, perintah, peraturan, dan panduan regulasi negara bagian Amerika Serikat (AS) yang berlaku terkait Pemrosesan Data Pribadi, termasuk tanpa batasan: (a) CCPA; (b) Undang-Undang Perlindungan Data Konsumen Virginia; (c) Undang-Undang Privasi Colorado; (d) Undang-Undang tentang Privasi Data dan Pemantauan Online Connecticut; (e) Undang-Undang Privasi Konsumen Utah; dan (f) semua undang-undang negara bagian serupa

1.19. "Pengendali" "Subjek Data", "Data Pribadi", "Informasi Pribadi" "Pelanggaran Data", "Pemroses", "Proses/Pemrosesan", "Pengalihan Terbatas", "Penyedia Layanan", dan/atau istilah dan konsep serupa lainnya memiliki makna sebagaimana didefinisikan dalam Undang-Undang Perlindungan Data.

 

 

2. PENGENDALIAN DATA PRIBADI

2.1. Peran Para Pihak. Apabila G-P beroperasi sebagai Pengendali independen, G-P akan mematuhi kewajiban Pengendalinya berdasarkan Undang-Undang Perlindungan Data saat Memproses Data Pribadi dan akan Memproses Data Pribadi sebagaimana dijelaskan dalam Kebijakan Privasi G-Pyang tersedia di https://www.globalization-partners.com/privacy-policy/. Pelanggan akan mematuhi kewajibannya berdasarkan Undang-Undang Perlindungan Data saat Memproses Data Pribadi sebagai Pengendali. Para Pihak tidak akan Memproses Data Pribadi berdasarkan DPA ini sebagai Pengendali bersama.

2.2. Tanggung Jawab dan Pengakuan. Masing-masing Pihak dapat memproses Data Pribadi berdasarkan DPA ini sehubungan dengan Data Profesional sebagai Pengontrol data independen. Para Pihak setuju untuk mematuhi kewajiban masing-masing dan memproses Data Pribadi apa pun secara adil dan sah sesuai dengan DPA ini dan semua Undang-Undang Perlindungan Data yang berlaku untuk operasi Pemrosesan Data Pribadi Pihak tersebut. Setiap Pihak harus memastikan bahwa Pemrosesan Data Pribadinya terbatas pada tujuan GPP yang disediakan oleh G-P dan didasarkan pada dasar hukum untuk pemrosesan yang sah. Para Pihak akan saling membantu dalam mematuhi kewajiban masing-masing berdasarkan Undang-Undang Perlindungan Data, termasuk, namun tidak terbatas pada, membantu satu sama lain jika Pelanggaran Data terjadi, menanggapi permintaan Subjek Data dan/atau badan pengatur. 

Perlindungan Data Swiss berlaku, klausul perlindungan data standar yang berlaku yang diterbitkan, disetujui atau diakui oleh Otoritas Perlindungan Data Federal Swiss dan Kantor Komisaris Informasi ("SCC Swiss); jika LGPD Brasil berlaku, klausul kontrak  standar yang berlaku, terlampir pada Resolusi CD/ANPD No. 19/2024 yang diumumkan oleh Otoritas Perlindungan Data Nasional Brasil (“ANPD”), sebagaimana dapat diubah dari waktu ke waktu (“SCC Brasil”).

 

3. PEMROSESAN DATA PRIBADI

 

3.1. Cakupan. Penggunaan GPPmungkin melibatkan Pemrosesan Data Pelanggan oleh G-P sebagai Pemroses atau Penyedia Layanan atas nama Pelanggan.

3.2. Instruksi. G-P akan memproses Data Pelanggan sesuai dengan instruksi terdokumentasi Pelanggan. Pelanggan menyetujui bahwa DPA ini, Perjanjian Induk, dan Lampiran I terlampir di bawah ini, terdiri atas instruksi lengkap Pelanggan G-P terkait Pemrosesan Data Pelanggan. Setiap instruksi tambahan atau alternatif harus disetujui oleh para pihak secara tertulis, termasuk biaya (jika ada) yang terkait dengan kepatuhan terhadap instruksi tersebut. Pelanggan akan memastikan bahwa instruksinya mematuhi Undang-Undang Perlindungan Data yang berlaku. Pelanggan mengakui bahwa mereka tidak G-P bertanggung jawab untuk menentukan undang-undang mana yang berlaku untuk bisnis Pelanggan. Pelanggan akan memastikan bahwa G-Ppemrosesan Data Pelanggan, jika dilakukan sesuai dengan instruksi Pelanggan, tidak akan G-P menyebabkan pelanggaran hukum yang berlaku, termasuk Undang-Undang Perlindungan Data yang berlaku. G-P Namun demikian, jika menurut pendapat G-P Anda instruksi Pelanggan melanggar Undang-Undang Perlindungan Data yang berlaku, G-P akan memberi tahu Pelanggan sesegera mungkin dan tidak akan diwajibkan untuk mematuhi instruksi pelanggaran tersebut.

3.3. Perincian Pemrosesan. Perincian pokok persoalan Pemrosesan, durasi, sifat, dan tujuannya, serta jenis Data Pelanggan dan subjek data adalah sebagaimana ditetapkan dalam Lampiran I yang terlampir di sini. 

3.4. Kepatuhan. Pelanggan dan G-P setuju untuk mematuhi kewajiban masing-masing berdasarkan Undang-Undang Perlindungan Data yang berlaku untuk Data Pelanggan yang Diproses sebagaimana ditetapkan dalam Lampiran I. Pelanggan bertanggung jawab penuh untuk mematuhi Undang-Undang Perlindungan Data terkait keabsahan Pemrosesan Data Pelanggan sebelum mengungkapkan, mentransfer, atau menyediakan, setiap Data Pelanggan kepada G-P. Untuk menghindari keraguan, dalam semua kasus, Pelanggan akan mendapatkan, jika diperlukan, setiap persetujuan dari Subjek Data G-P untuk Memproses Data Pelanggan sebagaimana diarahkan oleh Pelanggan.

3.5. Subpemroses. Pelanggan mengizinkan G-P untuk menunjuk dan menggunakan Pemroses (“Subpemroses”) untuk Memproses Data Pelanggan sehubungan dengan Layanan. Subpemroses dapat mencakup pihak ketiga atau anggota G-P grup perusahaan. G-P dapat terus menggunakan Subpemroses yang telah dilibatkan G-P sejak tanggal DPA ini, dan daftar Subpemroses tersebut tersedia dalam Lampiran III yang terlampir dalam Perjanjian ini. Apabila Subpemroses gagal memenuhi kewajiban perlindungan datanya sebagaimana ditetapkan di atas, G-P akan bertanggung jawab kepada Pelanggan atas pelaksanaan kewajiban Subpemroses. G-P harus memberi tahu Pelanggan tentang perubahan apa pun pada daftar Subpemrosesnya melalui GPP. Jika, dalam waktu 10 (sepuluh) hari sejak diterimanya pemberitahuan tersebut, Pelanggan secara sah mengajukan keberatan atas penambahan atau penghapusan Subpemroses dengan alasan perlindungan data dan G-P tidak dapat mengakomodasi keberatan Pelanggan secara wajar, para pihak akan mendiskusikan kekhawatiran Pelanggan dengan iktikad baik dengan maksud untuk menyelesaikan masalah tersebut.

3.6. Langkah-langkah keamanan teknis dan organisasi. Dengan mempertimbangkan standar industri, biaya implementasi, sifatnya, ruang lingkup, konteks dan tujuan Pemrosesan, dan keadaan relevan lainnya yang berkaitan dengan Pemrosesan Data Pelanggan, G-P akan menerapkan langkah keamanan teknis dan organisasi yang sesuai untuk memastikan keamanan, kerahasiaan, integritas, ketersediaan dan ketahanan sistem dan layanan pemrosesan yang terlibat dalam Pemrosesan Data Nasabah sepadan dengan risiko sehubungan dengan Data Nasabah tersebut, sebagaimana dijelaskan dalam Lampiran II yang terlampir di sini, G-P secara berkala akan (i) menguji dan memantau keefektifan pengamanannya, kontrol, sistem dan prosedur dan (ii) mengidentifikasi risiko internal dan eksternal yang dapat diperkirakan secara wajar terhadap keamanan, kerahasiaan dan integritas Data Pelanggan, dan memastikan risiko ini ditangani.

3.7. Kerahasiaan. G-P harus memastikan bahwa orang yang berwenang untuk mengakses Data Pelanggan (i) telah berkomitmen terhadap kerahasiaan atau berdasarkan kewajiban kerahasiaan menurut undang-undang yang sesuai dan (ii) mengakses Data Pelanggan hanya berdasarkan instruksi terdokumentasi dari G-P, kecuali jika diwajibkan untuk melakukannya oleh hukum yang berlaku.

3.8. Pelanggaran Data Pribadi. G-P akan memberi tahu Pelanggan tanpa penundaan yang tidak semestinya setelah mengetahui Pelanggaran Data sehubungan dengan Pemrosesan Data Pelanggan dan akan menggunakan upaya wajar untuk membantu Pelanggan dalam menanggulangi, jika memungkinkan, dampak merugikan dari Pelanggaran Data.

3.9. Penghapusan Data Pribadi. Setelah pengakhiran Layanan (karena alasan apa pun), G-P akan, sesegera mungkin, mengembalikan atau menghapus Data Pelanggan yang disimpan dalam GPP, kecuali jika hukum yang berlaku mewajibkan penyimpanan Data Pelanggan untuk jangka waktu yang lebih lama. Untuk penyimpanan tersebut, ketentuan DPA ini akan terus berlaku terhadap Data Pelanggan tersebut.

3.10.Permintaan Subjek  Data. G-P akan segera memberi tahu Pelanggan tentang permintaan Subjek Data terkait Data Pelanggan. Pelanggan bertanggung jawab untuk menanggapi permintaan tersebut. G-P akan membantu Pelanggan secara wajar untuk menanggapi permintaan Subjek Data tersebut sejauh Pelanggan tidak dapat mengakses Data Pelanggan terkait dalam penggunaan GPP.

3.11.Permintaan pihak  ketiga. Jika G-P menerima permintaan dari pihak ketiga atau perintah pengadilan, tribunal, regulator, atau lembaga pemerintah dengan yurisdiksi yang kompeten yang G-P berkaitan dengan Pemrosesan Data Pelanggan berdasarkan Perjanjian, G-P akan segera mengalihkan permintaan tersebut kepada Pelanggan. G-P tidak akan menanggapi permintaan tersebut tanpa izin sebelumnya dari Pelanggan kecuali jika diwajibkan secara hukum untuk melakukannya. G-P akan, kecuali jika dilarang oleh hukum, memberi tahu Pelanggan sebelum melakukan pengungkapan Data Pelanggan dan akan bekerja sama secara wajar dengan Pelanggan untuk membatasi cakupan pengungkapan tersebut pada hal yang diwajibkan oleh hukum. 

3.12.Penilaian Dampak Perlindungan  Data dan Konsultasi Sebelumnya. Sejauh diwajibkan oleh Undang-Undang Perlindungan Data, G-P akan memberikan bantuan wajar kepada Pelanggan untuk melaksanakan penilaian dampak perlindungan data sehubungan dengan Pemrosesan Data Pelanggan yang dilakukan oleh G-P dan/atau konsultasi(-konsultasi) sebelumnya yang diwajibkan dengan otoritas pengawas. G-P berhak untuk mengenakan biaya yang wajar kepada Pelanggan atas penyediaan bantuan tersebut.

3.13. Audit. Pelanggan dapat mengaudit G-P kepatuhan terhadap DPA ini dan Undang-Undang Perlindungan Data dengan meminta sertifikat yang diterbitkan untuk verifikasi keamanan yang mencerminkan hasil audit yang dilakukan oleh auditor pihak ketiga (misalnya, sertifikasi ISO27001 , sertifikat SOC2 ), dalam waktu dua belas (12) bulan sejak tanggal permintaan Pelanggan. Sebagai alternatif, apabila dokumentasi yang diberikan berdasarkan Bagian 3.13 ini tidak memadai untuk tujuan menunjukkan kepatuhan, Pelanggan dapat melakukan audit sendiri selain sertifikasi atau laporan pihak ketiga yang diberikan, dengan ketentuan audit tersebut dilakukan : i) tidak lebih dari sekali per jangka waktu 12 (dua belas) bulan; ii) selama jam kerja normal dan tanpa mengganggu bisnis G-Psehari-hari; iii) dengan pemberitahuan tertulis tiga puluh (30) hari sebelumnya; iv) atas biaya Pelanggan sendiri; v) berdasarkan parameter dan ruang lingkup yang disepakati bersama, terbatas pada cakupan layanan tertentu, sistem dalam penggunaan dan/atau kegiatan pemrosesan yang dimaksud dalam Perjanjian ini; vi) berdasarkan tanggal yang disepakati bersama sebelumnya, tunduk pada penundaan wajar oleh Pelanggan atas permintaan G-Pwajar; dan vii) sesuai dengan semua kewajiban dan pembatasan kerahasiaan. Terlepas dari hal-hal tersebut di atas, tidak ada hak audit yang diberikan setelah pengakhiran Perjanjian Induk, kecuali untuk kewajiban hukum yang harus ditunjukkan oleh Pelanggan. Setiap perwakilan pihak ketiga yang dipilih untuk melakukan audit atas nama Pelanggan tidak boleh memiliki kepentingan kepemilikan atau afiliasi dengan perusahaan, lembaga, organisasi, atau konsultan layanan EOR terkait. DPA ini tidak mewajibkan G-P pengungkapan kepada Pelanggan atau auditor pihak ketiganya, atau untuk memungkinkan Pelanggan atau auditor pihak ketiganya mengakses: (i) data G-Ppelanggan lain; (ii) informasi akuntansi atau keuangan G-Pinternal; (iii) rahasia dagang G-P atau afiliasinya; (iv) informasi apa pun yang, menurut pendapat G-Pwajar, dapat membahayakan keamanan G-Psistem apa pun atau menyebabkan pelanggaran kewajibannya berdasarkan hukum yang berlaku atau kewajiban keamanan atau privasinya kepada pihak ketiga mana pun; atau (v) informasi apa pun yang ingin diakses Pelanggan atau auditor pihak ketiganya untuk alasan apa pun selain pemenuhan kewajiban Pelanggan berdasarkan Undang-Undang Perlindungan Data dengan iktikad baik.

3.14. Undang-Undang Privasi AS. Berdasarkan bagian 3 ini (“Pemrosesan Data Pribadi”), Para Pihak setuju bahwa mereka G-P adalah “Penyedia Layanan” atau “Pemroses” sebagaimana istilah tersebut didefinisikan berdasarkan Undang-Undang Privasi AS yang berlaku. Dengan demikian, sejauh Undang-Undang Privasi AS berlaku untuk Pemrosesan Data Pelanggan oleh G-P, G-P tidak akan (a) mempertahankan, penggunaan, atau mengungkapkan Data Pelanggan di luar hubungan bisnis langsung antara G-P dan Pelanggan, atau untuk tujuan apa pun selain yang ditetapkan dalam Lampiran I terlampir, dan hanya G-P akan Memproses Data Pelanggan selama menyediakan layanan kepada Pelanggan; (b) menjual Data Pelanggan; (c) membagikan Data Pelanggan; atau (d) menggabungkan Data Pelanggan yang G-P diterima dari, atau atas nama, Pelanggan yang memiliki “data pribadi” (sebagaimana istilah tersebut atau yang setara didefinisikan berdasarkan Undang-Undang Perlindungan Data yang berlaku) yang diterimanya, atau atas nama, orang lain, atau mengumpulkan dari interaksinya sendiri dengan konsumen, dengan ketentuan bahwa Data Pelanggan G-P dapat digabungkan jika berada dalam cakupan penyediaan layanan kepada Pelanggan. Apabila berlaku, masing-masing Pihak akan memberi tahu pihak lain jika pihaknya memutuskan bahwa pihaknya tidak lagi dapat memenuhi kewajibannya berdasarkan Undang-Undang Privasi AS.

 

 

4. Transfer Data Internasional

4.1. Perlindungan yang tepat. G-P diizinkan, dalam kegiatan bisnis normal, untuk melakukan pengalihan Data Pelanggan ke afiliasi dan/atau Subpemrosesnya di seluruh dunia. Saat melakukan pengalihan tersebut ke wilayah yang belum diakui oleh otoritas perlindungan data terkait sebagai tingkat perlindungan Data Pribadi yang memadai sesuai dengan Undang-Undang Perlindungan Data, G-P akan memastikan adanya perlindungan yang sesuai untuk melindungi Data Pelanggan yang dialihkan berdasarkan atau sehubungan dengan Perjanjian Induk.

4.2. Kerangka Privasi Data. Data Profesional dan Pelanggan disimpan dalam GPP yang dikelola di A.S. G-P disertifikasi berdasarkan EU-U.S. Kerangka Privasi Data (UE-A.S. DPF) dan, sebagaimana berlaku, Perpanjangan Inggris ke UE-A.S. DPF, dan Swiss-A.S. Kerangka Privasi Data (Swiss-U.S. DPF). G-PSertifikasi dapat dikonfirmasi secara publik di situs web DPF  https://www.dataprivacyframework.gov/list. UE-AS. Kerangka Privasi Data dianggap memadai oleh Komisi Eropa, sebagai mekanisme transfer data yang sah sesuai dengan Pasal 45 GDPR, GDPR Inggris, dan FADP. Jika Kerangka(-Kerangka) DPF dinyatakan tidak sah, ditangguhkan, atau tidak lagi diakui memberikan perlindungan yang memadai untuk transfer data internasional, Pemroses setuju untuk menandatangani dan mematuhi SCC yang dikeluarkan atau disetujui oleh Komisi Eropa, Kantor Komisioner Informasi Inggris (ICO), atau Komisioner Perlindungan Data dan Informasi Federal Swiss (FDPIC), sebagaimana berlaku. Para pihak akan bekerja sama dengan iktikad baik untuk menerapkan langkah tambahan yang diperlukan guna memastikan tingkat perlindungan yang setara untuk data yang ditransfer.

4.3. Klausul Kontrak Standar. Para pihak setuju bahwa ketika pemindahan data pribadi dari Pelanggan (sebagai "pengekspor data") ke G-P (sebagai "pengimpor data") adalah Pengalihan Terbatas dan Undang-undang Perlindungan Data yang berlaku mewajibkan adanya pengamanan yang sesuai, pemindahan tersebut akan tunduk pada Klausul Kontrak Standar yang sesuai, yang akan dianggap tercakup dalam dan menjadi bagian dari DPA ini, sebagai berikut:

  1. Sehubungan dengan pengalihan Data Pribadi  yang dilindungi oleh GDPR, SCC UE akan berlaku dan dilengkapi sebagai berikut:
  1. Modul Satu dan Dua akan berlaku;
  2. dalam Klausul 7, klausul docking opsional akan berlaku;
  3. dalam Klausul 9 Modul Dua, Opsi 2 akan berlaku, dan periode waktu untuk pemberitahuan sebelumnya tentang perubahan Subpemroses adalah sebagaimana ditetapkan dalam bagian 3.5 DPA ini;
  4. dalam Klausul 11, bahasa opsional tidak akan berlaku;
  5. dalam Klausul 12, setiap klaim yang diajukan berdasarkan SCC UE akan tunduk pada syarat dan ketentuan yang ditetapkan dalam Perjanjian Induk;
  6. dalam Klausul 17, Opsi 1 akan berlaku, dan SCC UE akan diatur oleh hukum Irlandia;
  7. dalam Klausul 18(b), sengketa akan diselesaikan di hadapan pengadilan Irlandia;
  8. Lampiran I SCC UE akan dianggap telah dilengkapi dengan informasi yang ditetapkan dalam Lampiran 1 DPA ini; dan
  9. Lampiran II SCC UE akan dianggap telah dilengkapi dengan informasi yang ditetapkan dalam Lampiran 2 DPA ini;
  10. Lampiran III Modul Dua SCC UE akan dianggap telah dilengkapi dengan informasi yang ditetapkan dalam Lampiran 3 DPA ini.

b. Sehubungan dengan pengalihan data pribadi yang dilindungi oleh Undang-Undang Perlindungan Data Inggris atau Undang-Undang Perlindungan Data Swiss, SCC UE sebagaimana diterapkan dalam subparagraf (a) di atas akan berlaku dengan modifikasi berikut:

  1. penyebutan "Peraturan (UE) 2016/679" akan ditafsirkan sebagai penyebutan Undang-Undang Perlindungan Data Inggris atau Undang-Undang Perlindungan Data Swiss (sebagaimana berlaku);
  2. penyebutan Pasal-Pasal khusus "Peraturan (UE) 2016/679" akan diganti dengan pasal atau bagian yang setara dari Undang-Undang Perlindungan Data Inggris atau Undang-Undang Perlindungan Data Swiss (sebagaimana berlaku);
  3. penyebutan "UE", "Serikat", "Negara Anggota" dan "Hukum Negara Anggota" akan diganti dengan penyebutan "Inggris" atau "Swiss", atau "Hukum Inggris" atau "Hukum Swiss" (sebagaimana berlaku);
  4. istilah "negara anggota" tidak akan ditafsirkan sedemikian rupa untuk mengecualikan subjek data di Inggris atau Swiss dari kemungkinan menuntut hak-hak mereka di tempat tinggal mereka (yaitu, Inggris atau Swiss);
  5. Klausul 13(a) dan Bagian C Lampiran I tidak digunakan dan "otoritas pengawasan yang kompeten" adalah Komisaris Informasi Inggris atau Komisaris Informasi Perlindungan Data Federal Swiss (sebagaimana berlaku);
  6. penyebutan "otoritas pengawasan yang kompeten" dan "pengadilan yang kompeten" harus diganti dengan penyebutan "Komisaris Informasi" dan "pengadilan Inggris dan Wales" atau "Komisaris Informasi Perlindungan Data Federal Swiss" dan "pengadilan yang berlaku di Swiss" (sebagaimana berlaku);
  7. dalam Klausul 17, Klausul Kontrak Standar akan diatur oleh undang-undang Inggris dan Wales atau Swiss (sebagaimana berlaku); dan
  8. sehubungan dengan pengalihan yang diberlakukan oleh Undang-Undang Perlindungan Data Inggris, Klausul 18 akan diubah untuk menyatakan "Setiap sengketa yang timbul dari Klausul ini akan diselesaikan oleh pengadilan Inggris dan Wales. Subjek data dapat mengajukan proses hukum terhadap pengekspor data dan/atau pengimpor data di pengadilan negara mana pun di Inggris. Para Pihak setuju untuk tunduk pada yurisdiksi pengadilan tersebut", dan sehubungan dengan pengalihan yang diberlakukan oleh Undang-Undang Perlindungan Data Swiss, Klausul 18(b) akan menyatakan bahwa sengketa akan diselesaikan di hadapan pengadilan Swiss yang berlaku.
  9. Sehubungan dengan data yang dilindungi oleh GDPR Inggris, SCC UE akan berlaku sebagai berikut: (i) berlaku sebagaimana diselesaikan sesuai dengan ayat (i) hingga (viii) di atas; dan (ii) dianggap diubah sebagaimana ditetapkan dalam Bagian 2 Adendum Inggris, yang akan dianggap tercakup dalam dan merupakan bagian yang tidak terpisahkan dari DPA ini. Selain itu, tabel 1 hingga 3 dalam Bagian 1 Adendum Inggris akan dilengkapi masing-masing dengan informasi yang ditetapkan dalam Lampiran I dan Lampiran II DPA ini dan tabel 4 dalam Bagian 1 Adendum Inggris akan dianggap telah dilengkapi dengan memilih "pihak mana pun".

c. Sehubungan dengan pengalihan data pribadi yang dilindungi oleh LGPD Brasil, baik secara langsung maupun melalui pengalihan selanjutnya, ke negara di luar Brasil yang tidak tunduk pada keputusan kecukupan yang dikeluarkan oleh ANPD, SCC Brasil akan dianggap telah ditandatangani, dan dimasukkan ke dalam DPA ini melalui penyebutan ini, dan dilengkapi sebagai berikut:

  1. Klausul 2 SCC Brasil dipenuhi oleh informasi yang ditetapkan dalam Lampiran I, yang menjelaskan pengalihan data;
  2. I n Klausul 3 SCC Brasil, Opsi B akan berlaku, dengan transfer selanjutnya yang diizinkan sesuai dengan Bagian 3.5 (“Subpemroses”) DPA ini. Pokok bahasan, sifat, dan durasi pemrosesan ditetapkan dalam Lampiran I DPA ini;
  3. Klausul 4 SCC Brasil dipenuhi oleh informasi yang ditetapkan dalam Lampiran I DPA ini. Apabila G-P merupakan Pengontrol, maka ia akan menjadi “Pihak yang Ditunjuk”, sebagaimana ditetapkan dalam SCC Brasil, dan untuk tujuan Klausul 14 (Transparansi), Klausul 15 (Hak Subjek Data), dan Klausul 16 (Pelaporan Insiden) SCC Brasil. Nasabah tetap bertanggung jawab atas kepatuhan terhadap Klausul 14 (Transparansi), Klausul 15 (Hak Subjek Data), dan Klausul 16 Pelaporan Insiden) SCC Brasil untuk setiap data pribadi yang mungkin menjadi Pengawasnya;
  4. Dalam Klausul 9 SCC Brasil, klausul docking opsional tidak akan berlaku; dan
  5. Bagian III (Langkah Keamanan) SCC Brasil akan dianggap telah dilengkapi dengan informasi yang tercantum dalam Lampiran II DPA ini.

 

Lampiran I

Deskripsi Pemrosesan Data

 

Pihak

Pengekspor Data: Entitas pelanggan yang menandatangani Perjanjian Induk

Pengimpor Data: G-P entitas yang menandatangani Perjanjian Induk.

Detail Kontak Pihak

Perincian kontak sebagaimana ditetapkan dalam Perjanjian Induk.

 

Aktivitas yang Relevan dengan Data yang Ditransfer

Kegiatan terkait Layanan EOR dan penggunaan GPP yang diberikan kepada Pelanggan sebagai layanan.

Kegiatan Pemrosesan

Data Pribadi yang diproses/dipindahkan dapat tunduk pada aktivitas pemrosesan berikut: setiap operasi sehubungan dengan Data Pribadi terlepas dari cara yang diterapkan dan prosedur, khususnya pengumpulan, pengelolaan, penyimpanan, penyimpanan, penggunaan, pengambilan, konsultasi, pengarsipan, transmisi, pemblokiran, penghapusan, atau pemusnahan data, operasi dan pemeliharaan sistem, kepatuhan, fungsi hukum dan audit.

Durasi Pemrosesan

G-P akan Memproses Data Pelanggan selama durasi Perjanjian Induk dan secara berkelanjutan.

Sifat dan Tujuan Pemrosesan

Pelanggan dapat mengalihkan Data Pelanggan ke G-P, sejauh ditentukan dan dikendalikan oleh Pelanggan atas kebijakannya sendiri. Tujuan pemrosesan adalah untuk menyediakan Layanan sesuai dengan Perjanjian Induk.

Kategori Subjek Data

a) Data Pribadi yang dipertukarkan oleh Para Pihak sebagai Pengendali independen terkait Data Pribadi Profesional.

b) Data Pelanggan yang diproses oleh G-P sebagai pemroses Data menyangkut Pengguna Resmi dariGPP yang mungkin mencakup karyawan dan/atau kontraktor Pelanggan.

Jenis Data Pribadi

· Perincian kontak (seperti nomor telepon dan email).

· Data karyawan/Kontraktor (seperti jabatan pekerjaan dan nama perusahaan).

· Data penggunaan (seperti data tentang perangkat Pengguna yang Diizinkan dan cara perangkat tersebut berinteraksi dengan GPP).

· Data lokasi (seperti lokasi yang berasal dari alamat IP).

· Data konten (seperti konten file Pelanggan terkait Profesional dan komunikasi terkait).

· Kredensial (seperti kata sandi, petunjuk kata sandi, dan informasi keamanan serupa yang digunakan untuk autentikasi dan akses akun ke GPP).

· Setiap Data Pribadi yang diberikan oleh Pengguna yang Diizinkan.

Kategori Data Khusus (jika sesuai)

T/A

Retensi

Data Pribadi akan disimpan setidaknya selama periode penyimpanan minimum yang diwajibkan secara hukum yang berlaku, yang sejalan dengan undang-undang pembatasan yang berlaku dan memenuhi praktik bisnis yang baik.

Otoritas Pengawasan yang Kompeten

Komisi Perlindungan Data Irlandia

Transfer ke Subpemroses

Untuk transfer ke prosesor, pokok bahasan, sifat, dan durasi pemrosesan adalah sama seperti yang dijelaskan di atas.

G-P Detail kontak privasi

 

privasi@G-P.com

Attn: Kantor Privasi Global.

 

 

 

Lampiran II

Langkah Teknis dan Organisasi

 

G-P telah disertifikasi dan dibuktikan untuk mengonfirmasi kepatuhan terhadap standar SOC 2 dan ISO 27001 , oleh auditor independen. Sertifikasi tersebut menunjukkan komitmen kami untuk mengamankan Data Pelanggan. G-PProgram keamanan dirancang untuk:

  • Melindungi kerahasiaan, integritas, dan ketersediaan Data Pelanggan yang G-Pdimiliki atau G-P yang dapat diakses;
  • Melindungi dari ancaman atau bahaya yang diantisipasi terhadap kerahasiaan, integritas, dan ketersediaan Data Pelanggan;
  • Melindungi dari akses, penggunaan, pengungkapan, perubahan, atau pemusnahan Data Pelanggan yang tidak sah atau melanggar hukum;
  • Melindungi dari kehilangan atau pemusnahan Data Pelanggan yang tidak disengaja, atau kerusakan terhadap Data Pelanggan; dan
  • Melindungi informasi sebagaimana ditetapkan dalam peraturan apa pun yang mengatur G-P.

 

Hal berikut menjelaskan fungsi, proses, pengendalian, sistem, prosedur, dan langkah yang G-P telah diambil untuk memastikan keamanan Pemrosesan Data Pelanggan:

1) LANGKAH TEKNIS UNTUK MEMASTIKAN PRIVASI DAN PERLINDUNGAN DATA 

  1. Privasi dalam Desain dan Standar: G-P mempertimbangkan persyaratan Pasal 25 GDPR dalam fase konsepsi dan pengembangan pengembangan produk. Proses dan fungsionalitas diatur sedemikian rupa sehingga prinsip-prinsip perlindungan data seperti legalitas, transparansi, batasan tujuan, minimalisasi data, dll. serta keamanan pemrosesan dipertimbangkan pada tahap awal.

  2. Enkripsi Data Pribadi: Memastikan bahwa data pribadi hanya disimpan dalam sistem dengan cara yang tidak memungkinkan pihak ketiga untuk mengidentifikasi subjek data.

    1. Enkripsi basis data dan penyimpanan: Pada semua basis data G-P yang digunakan dengan enkripsi "diam" sesuai dengan keadaan terkini digunakan sehingga data dari basis data hanya dapat dibaca setelah autentikasi yang tepat pada masing-masing sistem basis data.

    2. Enkripsi media data seluler: Penggunaan operator data seluler untuk menyimpan data pelanggan tidak diizinkan.

    3. Enkripsi operator data di laptop: Enkripsi hard disk canggih yang tepat diinstal di semua laptop karyawan.

    4. Pertukaran informasi dan file terenkripsi: Pada prinsipnya, pertukaran informasi dan file dienkripsi secara langsung melalui aplikasi khusus. Jika data pribadi atau informasi rahasia harus ditransfer ke server yang tidak dapat dikirim melalui unggahan HTTPS terenkripsi TLS, data pribadi atau informasi rahasia tersebut akan ditransfer menggunakan Secure File Transfer Protocol (SFTP), layanan amplop terenkripsi, atau mekanisme terenkripsi lainnya sesuai dengan keadaan Seni.

    5. Enkripsi Email: Pada prinsipnya, semua email yang dikirim oleh karyawan G-P dienkripsi dengan TLS. Pengecualian dapat dilakukan jika server penerima tidak mendukung TLS. Pelanggan harus memastikan bahwa server surat terkait yang digunakan dalam ruang lingkup pesanan mendukung enkripsi TLS.

  3. Kontrol Penerimaan: Kontrol penerimaan dimaksudkan dan diberlakukan untuk mencegah penggunaan dan pemrosesan data yang dilindungi oleh undang-undang perlindungan data oleh orang yang tidak berwenang.

    1. Penggunaan metode autentikasi: Akses ke data pribadi selalu melalui protokol terenkripsi: SSH, SSL/ TLS, HTTPS, atau protokol yang sebanding. Prosedur autentikasi untuk sistem TI: Login autentikasi multifaktor ke sistem TI.

    2. Pemblokiran otomatis jika tidak ada aktivitas: Laptop yang digunakan oleh G-P karyawan yang dikunci dengan kata sandi atau perlindungan PIN saat tidak digunakan oleh pengguna. Selain itu, kunci layar otomatis dengan perlindungan kata sandi diatur setelah tidak aktif selama 15 beberapa menit.

    3. Penggunaan perangkat lunak anti-virus: Laptop yang digunakan oleh G-P karyawan dilengkapi dengan perangkat lunak anti-virus canggih yang selalu diperbarui pada semua sistem TI operasional atau bisnis. Pada prinsipnya, tidak ada komputer yang dapat dioperasikan tanpa perlindungan virus penduduk kecuali tindakan keamanan mutakhir lainnya telah diambil atau tidak ada risiko. Pengaturan keamanan default tidak boleh dinonaktifkan atau digagalkan.

    4. "Kebijakan Meja Bersih": Karyawan G-P diinstruksikan untuk tidak mencetak atau menyimpan data pribadi subjek data secara lokal, tidak meninggalkan materi kerja di lokasi tempat mereka dapat dilihat oleh pihak ketiga, dan menyimpan semua materi kerja dengan benar. Dokumen yang G-P diwajibkan oleh hukum untuk disimpan dalam salinan cetak disimpan dalam lemari terkunci.

  4. Kontrol Akses dalam Platform: Kontrol akses memastikan bahwa orang yang berwenang untuk menggunakan sistem pemrosesan hanya memiliki akses ke data pribadi yang tercakup dalam otorisasi akses mereka.

    1. Peran dan Otorisasi

      1. Platform Peran dan Otorisasi – Akses Pelanggan: Pengguna pelanggan dapat melihat dan mengedit informasi akun pelanggan.

      2. Platform Peran dan Otorisasi – Akses Profesional: Pengguna profesional dapat melihat dan mengedit informasi profesional mereka sendiri. Profesional juga dapat memperoleh peran akses Pelanggan sesuai persyaratan + persetujuan

      3. Platform Peran dan Otorisasi – Akses Internal:Pengguna akses  internal memiliki peran yang bervariasi. Mereka memiliki beragam akses untuk membuat, melihat, mengedit, dan menyetujui hal berikut:

        • Informasi pelanggan

        • Informasi penagihan

        • Informasi mitra

        • Informasi catatan personel profesional

      4. Akses ke sistem admin umumnya terbatas pada karyawan terlatih di bidang dukungan pelanggan dan pengembangan produk.

  5. Firewall sebagai Layanan: G-P menggunakan firewall eksternal sebagai layanan yang memungkinkannya memberikan atau memblokir akses ke situs web untuk memastikan sistem tidak dapat mengakses konten berbahaya dan membatasi akses ke konten yang tidak pantas.

  6. Catatan Login ke Platform: G-P menyimpan catatan semua aktivitas login.

  7. Pemisahan: Memastikan bahwa data pribadi yang dikumpulkan untuk tujuan yang berbeda dapat diproses secara terpisah dan dipisahkan dari data dan sistem lain sedemikian rupa sehingga penggunaan data ini yang tidak direncanakan untuk tujuan lain dikecualikan.

    1. Pemisahan lingkungan pengembangan, pengujian, dan pengoperasian: Data dari lingkungan pengoperasian hanya dapat dipindahkan ke lingkungan pengujian atau pengembangan jika telah dibuat sepenuhnya anonim sebelum dipindahkan. Pemindahan data anonim harus dienkripsi atau melalui jaringan tepercaya. Perangkat lunak yang akan dipindahkan ke lingkungan pengoperasian harus terlebih dahulu diuji dalam lingkungan uji yang identik ("tahapan"). Program untuk analisis kesalahan atau pembuatan/kompilasi perangkat lunak hanya dapat digunakan dalam lingkungan operasi jika hal ini tidak dapat dihindari. Hal ini terutama terjadi jika situasi kesalahan bergantung pada data yang akan dipalsukan karena persyaratan untuk penganoniman saat mentransfer ke lingkungan pengujian.

    2. Pemisahan dalam jaringan: G-P memisahkan jaringannya berdasarkan tugas. Jaringan berikut digunakan secara permanen: lingkungan pengoperasian ("Produksi"), lingkungan pengujian ("Penahapan", "Kotak pasir"), staf TI kantor lingkungan pengembangan ("Dev"). Selain jaringan ini, jaringan terpisah lebih lanjut dibuat sesuai kebutuhan, misalnya untuk memulihkan uji dan uji penetrasi. Tergantung pada kemungkinan teknis, jaringan dipisahkan secara fisik atau melalui jaringan virtual.

  8. Pengendalian ketersediaan : mengambil langkah-langkah berikut untuk memastikan bahwa data pribadi dilindungi dari kerusakan atau kehilangan yang tidak disengaja. G-P

    1. Prosedur/pencadangan perlindungan data: Untuk memastikan ketersediaan yang memadai G-P mengimplementasikan tangkapan layar harian basis datanya dengan replikasi ke wilayah yang berbeda. Langkah-langkah juga diambil untuk memastikan bahwa karyawan dengan kebutuhan berbasis pekerjaan untuk meninjau data diberi akses hanya untuk mereplikasi set data.

    2. Geo-redundansi sehubungan dengan infrastruktur server data produktif dan cadangan

    3. Manajemen insiden TI (“Manajemen Tanggapan Insiden”): Terdapat konsep dan prosedur terdokumentasi untuk menangani insiden dan kejadian terkait keselamatan. Ini termasuk perencanaan dan persiapan tanggapan terhadap insiden, prosedur untuk memantau, mendeteksi dan menganalisis peristiwa terkait keamanan dan definisi tanggung jawab yang sesuai dan saluran pelaporan jika terjadi pelanggaran perlindungan data pribadi dalam kerangka persyaratan hukum.

2) TINDAKAN ORGANISASI UNTUK MEMASTIKAN PRIVASI DAN PERLINDUNGAN DATA

G-P telah menerapkan langkah-langkah organisasi berikut untuk memastikan organisasi beroperasi dengan cara yang memenuhi persyaratan privasi dan perlindungan data.

  1. Instruksi Organisasi: G-P telah mengembangkan dan sedang mengembangkan program tata kelola data termasuk kebijakan, prosedur, dan pedoman untuk diikuti karyawan. Dokumentasi mencakup cara mengidentifikasi dan mengelola masalah privasi data, praktik terbaik untuk memastikan kepatuhan privasi, dan kebijakan untuk mengatasi insiden privasi.
  2. Komitmen terhadap kerahasiaan dan perlindungan data: G-P telah mengembangkan dan sedang mengembangkan program tata kelola data termasuk kebijakan, prosedur, dan pedoman untuk diikuti karyawan. Semua karyawan dan kontraktor terikat secara tertulis pada kerahasiaan dan perlindungan data serta undang-undang terkait lainnya. Semua karyawan menerima pelatihan privasi & keamanan. Audit internal tentang perlindungan data dan keamanan informasi dilakukan secara rutin. Audit dilakukan berdasarkan kriteria/skema pengujian umum. Karyawan dan kontraktor G-P diinstruksikan untuk memproses data pribadi hanya untuk alasan yang sah, sesuai dengan kontrak yang berlaku dengan pelanggan dan profesional, dengan mempertimbangkan setiap persetujuan tegas yang diberikan atau ditangguhkan oleh subjek data, dan sesuai dengan tugas organisasi yang sah.
  3. Pelatihan perlindungan data: Semua karyawan menerima pelatihan privasi & keamanan yang tetap tersedia untuk ditinjau kapan saja di platform G-P pelatihan.
  4. Kontrol Akses Fisik: G-P memiliki kontrol fisik berikut untuk menolak akses orang yang tidak berwenang ke peralatan sistem TI yang digunakan untuk pemrosesan.
    1. Perlindungan pintu elektronik: Pintu masuk ke lokasi G-P kantor selalu terkunci dan diamankan secara elektronik. Pintu dibuka melalui transponder elektronik pribadi.
    2. Distribusi kunci yang dikontrol: Alokasi kunci yang didokumentasikan dan terpusat kepada karyawan G-P terjadi. Transponder/kunci elektronik ini dapat dinonaktifkan secara terpusat oleh setiap manajer kantor atau departemen Sumber Daya Manusia.
    3. Pengawasan dan pendampingan pihak eksternal:Penyedia layanan  eksternal dan pihak ketiga lainnya hanya dapat diberikan akses ke properti melalui otorisasi sebelumnya atau jika didampingi oleh karyawan G-P. G-P menerapkan Kebijakan tertulis Pengunjung saat pengunjung diundang ke lokasi.
    4. Mengamankan lokasi dengan peningkatan kebutuhan akan perlindungan: Premis atau kabinet dengan peningkatan persyaratan perlindungan, seperti kantor hukum dan lokasi Operasi tertentu, dilengkapi dengan lemari dan laci pengunci. Kabinet dan laci tempat dokumen hukum, kontrak, dan dokumentasi rahasia disimpan harus dikunci setiap saat kecuali saat sedang digunakan.
    5. Pintu dan jendela tertutup: Karyawan diinstruksikan secara organisasi untuk menjaga jendela dan pintu tetap tertutup atau terkunci di luar jam kantor.
  5. Kemampuan pemulihan: G-P memastikan bahwa sistem yang digunakan dapat dipulihkan jika terjadi kegagalan fisik atau teknis.

    1. Pengujian rutin terhadap pemulihan data ("Tes Pemulihan"): Pengujian pemulihan penuh rutin dilakukan untuk memastikan pemulihan dalam keadaan darurat/bencana.

    2. Rencana darurat ("Konsep Pemulihan Bencana"): Ada konsep untuk pengobatan keadaan darurat/bencana dan rencana darurat yang sesuai. G-P memastikan pemulihan semua sistem berdasarkan cadangan data/cadangan, biasanya dalam waktu 48 jam.

    3. Langkah-langkah peninjauan dan evaluasi: Presentasi prosedur untuk peninjauan, penilaian, dan evaluasi berkala terhadap efektivitas langkah-langkah teknis dan organisasi.

  6. Tim Privasi: Organisasi memiliki Kantor Privasi Data Global yang bertugas merencanakan, menerapkan, mengevaluasi, dan menyesuaikan langkah dalam bidang perlindungan data.

  7. Manajemen Risiko: Ada proses untuk menganalisis, mengevaluasi, dan mengalokasikan risiko dan untuk mengambil langkah-langkah berdasarkan risiko ini.

3) PENINJAUAN INDEPENDEN TERHADAP KEAMANAN INFORMASI

  1. Pelaksanaan audit:Audit  internal mengenai perlindungan data dan keamanan informasi dilakukan secara rutin. Audit dilakukan berdasarkan kriteria/skema pengujian umum.
  2. Peninjauan kepatuhan terhadap kebijakan dan standar keamanan: Kepatuhan terhadap pedoman keamanan, standar, dan persyaratan keamanan lain yang berlaku untuk pemrosesan data pribadi diperiksa secara berkala. Bila memungkinkan, pemeriksaan ini dilakukan secara acak dan tidak terduga.
  3. Verifikasi kepatuhan terhadap spesifikasi teknis: Pemindaian kerentanan otomatis dan manual rutin dilakukan oleh departemen TI atau personel berkualifikasi lainnya untuk memverifikasi keamanan aplikasi dan infrastruktur, serta pengembangan rutin produk. Pengujian penetrasi terperinci dilakukan oleh penyedia layanan eksternal untuk secara khusus memeriksa kerentanan aplikasi dan infrastruktur.
  4. Pemrosesan instruksi: Karyawan G-P diinstruksikan untuk memproses data pribadi hanya untuk alasan yang sah, sesuai dengan kontrak yang berlaku dengan pelanggan dan profesional, dengan mempertimbangkan setiap persetujuan tegas yang diberikan atau ditangguhkan oleh subjek data, dan sesuai dengan tugas organisasi yang sah.
  5. Pemilihan pemasok yang cermat: G-P mematuhi Proses Prakualifikasi Pemasok saat memilih vendor dan pemasok yang mungkin menemukan data yang dilindungi. Proses ini meliputi umpan balik dari Departemen Keuangan dan Hukum/Privasi serta menggabungkan penilaian risiko, prakualifikasi keamanan, dan langkah sertifikasi dokumentasi. Pemasok yang akan memproses data yang dilindungi akan diwajibkan untuk menunjukkan kepatuhan mereka terhadap undang-undang privasi data yang berlaku, termasuk Pasal 28 GDPR untuk data yang tercakup.

 

Lampiran III 

Daftar Subpemroses

 

Subpemroses

Lokasi dan Informasi Kontak

Deskripsi Pemrosesan

G-P anak perusahaan

https://www.globalization- partners.com/contact-us/

Menyediakan Platform dan manajemen hubungan Pelanggan

Akumatika

3933 Danau Washington Blvd NE #350, Kirkland, WA 98033, AS

Layanan Keuangan

Layanan  Web Amazon

Kotak P.O. 81226

Seattle, WA 98108-1226, AS

Hosting – Penyedia Layanan Cloud

Microsoft

Microsoft Corporation Satu Cara Microsoft

Redmond, Washington 98052 Telepon AS: (+1) 425-882-8080.

Dukungan Proses Bisnis untuk komunikasi (email) dan manajemen layanan

Atlassia

350 Lantai 13 Bush Street

San Francisco, CA 94104, AS

+1 415 701 1110

Dukungan Proses Bisnis untuk manajemen layanan

DocuSign

DocuSign International (EMEA) Ltd, Perhatian: Tim Privasi, 5 Hanover Quay, Lantai Dasar, Dublin2, Republik Irlandia

Manajemen Dokumen

Salesforce.com

Salesforce Tower, 415 Mission Street, Lantai 3, San Francisco, CA 94105, AS

1-800-387-3285

Dukungan Proses Bisnis untuk manajemen Hubungan Pelanggan (CRM)

Zendesk

989 Pasar St

San Francisco, CA 94103, AS zendesk.com

888-670-4887

Permintaan bantuan untuk dukungan pelanggan

Workday

6110 Stoneridge Mall Road
Pleasanton, CA 94588, AS

Dukungan Proses Bisnis untuk mengelola penggajian, tunjangan, SDM, dan data karyawan.

Layanan Sekarang

2225 Lawson Lane
Santa Clara, CA, 95054

USA

 

Dukungan Proses Bisnis untuk layanan TI dan manajemen operasi, pengalaman karyawan dan pelanggan melalui (alur kerja berbasis cloud otomatis)

Batu bata data

160 Spear Street, 15th Lantai
San Francisco, CA 94105
1-866-330-0121

USA

Infrastruktur gudang data cloud.

Anjing data

Lantai 620 8th Ave 45th

New York, NY 10018

USA

 Alat bantu pemantauan layanan dan debugging

Bijak

Avenue Louise 54, Ruang s52,

1050 Brussel

Belgia

Prosesor pembayaran online

Google

1600 Amphitheatre Pkwy, Pemandangan Gunung, CA 94043

Dukungan Proses Bisnis untuk komunikasi (email) dan penyimpanan dokumen internal