Pembaruan terakhir: Mei 14, 2025
Adendum Perlindungan Data (“Adendum”) ini melengkapi syarat dan ketentuan dalam Perjanjian Induk dan tercakup di dalamnya. Apabila terjadi perbedaan antara Adendum ini, dan perjanjian lain antara para pihak mengenai masalah yang ditetapkan dalam Adendum ini, Adendum ini yang akan berlaku.
1.1. Istilah yang tidak didefinisikan di sini memiliki makna yang ditetapkan dalam Perjanjian Layanan Utama. Kata-kata berikut dalam Adendum ini memiliki arti sebagai berikut:
1.2. “Pengguna Resmi” berarti individu yang diizinkan oleh Pelanggan yang dapat mencakup karyawan dan/atau kontraktor Pelanggan, untuk mengakses dan menggunakan Platform atas nama Pelanggan, sesuai dengan pelaksanaan Perjanjian Induk.
1.3. “CCPA” berarti Undang-Undang Privasi Konsumen California.
1.4. “Data Pelanggan”berarti Data Pribadi atau Informasi Pribadi terkait Pengguna yang Diizinkan atau orang perseorangan yang dapat diidentifikasi yang dialihkan, diproses, atau disimpan oleh Globalization Partners atas nama Pelanggan untuk penggunaan Platform oleh Pelanggan.
1.5. “Undang-Undang Perlindungan Data” berarti undang-undang perlindungan data dan privasi yang mengatur salah satu pihak dalam Perjanjian ini dan yang berlaku untuk Layanan yang disediakan, termasuk jika berlaku, namun tidak terbatas pada GDPR, GDPR Inggris, undang-undang privasi AS (termasuk undang-undang negara bagian dan federal), dan Undang-Undang Perlindungan Data Pribadi Singapura.
1.6. “GDPR” berarti Peraturan Perlindungan Data Umum (UE) 2016/679 dan/atau GDPR Inggris.
1.7. “EEA” berarti Wilayah Ekonomi Eropa.
1.8. “SCC UE” berarti Klausul Kontrak Standar untuk pengalihan Data Pribadi ke negara ketiga sesuai dengan Peraturan (UE) Parlemen dan Dewan 2016/679 Eropa yang disetujui oleh Keputusan Pelaksanaan Komisi Eropa (UE) 2021/914 dari 4 Juni 2021.
1.9. “Layanan EOR” berarti perusahaan layanan catatan yang akan disediakan oleh Globalization Partners kepada Pelanggan sesuai dengan Perjanjian Induk.
1.10. “Perjanjian Induk” berarti perjanjian yang ditandatangani antara Pelanggan dan Globalization Partners untuk penyediaan Layanan EOR.
1.11. “Platform” berarti perangkat lunak berhak milik Globalization Partners, termasuk namun tidak terbatas pada perangkat lunak, versi seluler, perangkat lunak yang terkandung di dalamnya, dan data apa pun yang tersedia melalui penggunaan perangkat lunak berhak milik Globalization Partners atau layanan pihak ketiga, termasuk pembaruan, peningkatan, platform sebagai layanan, dokumentasi, dan deskripsinya ditetapkan di https://www.globalization-partners.com/employer-of-record-solutions/ .
1.12. “Adendum Inggris” berarti adendum transfer data internasional Inggris untuk Klausul Kontraktual Standar UE yang diterbitkan oleh Komisaris Informasi Inggris dan terlampir dalam Perjanjian ini sebagai Lampiran IV.
1.13. “Pengendali” “Subjek Data”, “Data Pribadi”, “Informasi Pribadi”, “Pelanggaran Data”, “Pemroses”, “Proses/Pemrosesan”, “Pengalihan Terbatas”, “Penyedia Layanan”, dan/atau istilah dan konsep serupa lainnya akan memiliki makna sebagaimana didefinisikan dalam Undang-Undang Perlindungan Data
2.1. Peran Para Pihak dan Perincian Pemrosesan. Globalization Partners akan memproses Data Pribadi sebagai Pengontrol independen saat Globalization Partners menyediakan Layanan EOR. Para Pihak tidak akan Memproses Data Pribadi berdasarkan Adendum ini sebagai Pengendali bersama. Apabila Globalization Partners beroperasi sebagai Pengendali independen, Globalization Partners akan mematuhi kewajiban Pengendalinya berdasarkan Undang-Undang Perlindungan Data saat Memproses Data Pribadi dan akan Memproses Data Pribadi sebagaimana dijelaskan dalam Kebijakan Privasi Globalization Partners yang tersedia di https://www.globalization-partners.com/privacy-policy/ . Pelanggan akan mematuhi kewajibannya berdasarkan Undang-Undang Perlindungan Data saat Memproses Data Pribadi sebagai Pengendali. Sejauh Globalization Partners bertindak sebagai Pemroses saat Memproses Data Pelanggan, Pemrosesan tersebut akan dilakukan sesuai dengan Bagian 3 (“Pemrosesan Data Pribadi”) di bawah ini.
2.2. Tanggung Jawab dan Pengakuan. Masing-masing Pihak dapat memproses Data Pribadi berdasarkan Adendum ini sehubungan dengan Data Pribadi sebagai Pengendali data independen. Para Pihak setuju untuk mematuhi kewajiban mereka masing-masing dan memproses Data Pribadi apa pun secara adil dan sah sesuai dengan Adendum ini dan semua Undang-Undang Perlindungan Data yang berlaku untuk operasi Pemrosesan Data Pribadi Pihak tersebut. Setiap Pihak harus memastikan bahwa Pemrosesan Data Pribadinya terbatas pada tujuan Layanan EOR yang disediakan oleh Globalization Partners dan didasarkan pada dasar hukum untuk pemrosesan yang sah. Para Pihak akan saling membantu dalam mematuhi kewajiban masing-masing berdasarkan Undang-Undang Perlindungan Data, termasuk, namun tidak terbatas pada, membantu satu sama lain jika Pelanggaran Data terjadi, menanggapi permintaan Subjek Data dan/atau badan pengatur.
3.1. Cakupan. Penggunaan Platform oleh Pelanggan dan hubungan manajemen Pelanggan dapat melibatkan Pemrosesan Data Pelanggan oleh Globalization Partners sebagai Pemroses atau Penyedia Layanan atas nama Pelanggan.
3.2. Instruksi. Globalization Partners akan memproses Data Pelanggan sesuai dengan instruksi terdokumentasi Pelanggan. Pelanggan menyetujui bahwa Adendum ini, Perjanjian Induk, dan Lampiran I yang terlampir di sini, terdiri atas instruksi lengkap Pelanggan kepada Globalization Partners terkait Pemrosesan Data Pelanggan. Setiap instruksi tambahan atau alternatif harus disepakati antara para pihak secara tertulis, termasuk biaya (jika ada) yang terkait dengan kepatuhan terhadap instruksi tersebut. Globalization Partners tidak bertanggung jawab untuk menentukan apakah instruksi Pelanggan sesuai dengan hukum yang berlaku. Namun demikian, jika Globalization Partners berpendapat bahwa instruksi Pelanggan melanggar Undang-Undang Perlindungan Data yang berlaku, Globalization Partners akan memberi tahu Pelanggan sesegera mungkin dan tidak akan diwajibkan untuk mematuhi instruksi pelanggaran tersebut.
3.3. Detail Pemrosesan. Perincian pokok persoalan Pemrosesan, durasi, sifat, dan tujuannya, serta jenis Data Pelanggan dan subjek data sebagaimana ditetapkan dalam Lampiran I yang terlampir di sini.
3.4. Kepatuhan. Pelanggan dan Globalization Partners setuju untuk mematuhi kewajiban masing-masing berdasarkan Undang-Undang Perlindungan Data yang berlaku untuk Data Pelanggan yang Diproses sebagaimana ditetapkan dalam Lampiran I. Pelanggan bertanggung jawab penuh untuk mematuhi Undang-Undang Perlindungan Data terkait keabsahan Pemrosesan Data Pelanggan sebelum mengungkapkan, memindahkan, atau menyediakan Data Pelanggan kepada Globalization Partners. Untuk menghindari keraguan, dalam semua kasus, Pelanggan akan memperoleh, jika diperlukan, setiap persetujuan dari Subjek Data untuk Globalization Partners untuk Memproses Data Pelanggan sebagaimana diarahkan oleh Pelanggan.
3.5. Subpemroses. Pelanggan mengizinkan Globalization Partners untuk menunjuk dan menggunakan Pemroses (“Subpemroses”) untuk Memproses Data Pelanggan sehubungan dengan Layanan. Subpemroses dapat mencakup pihak ketiga atau anggota grup perusahaan Globalization Partners. Globalization Partners dapat terus menggunakan Subpemroses yang telah dilibatkan oleh Globalization Partners sejak tanggal Adendum ini, dan daftar Subpemroses tersebut tersedia dalam Lampiran III yang terlampir dalam Perjanjian ini. Apabila Subpemroses gagal memenuhi kewajiban perlindungan datanya sebagaimana ditetapkan di atas, Globalization Partners akan bertanggung jawab kepada Pelanggan atas pelaksanaan kewajiban Subpemroses. Globalization Partners akan memberi tahu Pelanggan tentang perubahan apa pun pada daftar Subpemrosesnya. Apabila, dalam 10 (sepuluh) hari sejak diterimanya pemberitahuan tersebut, Pelanggan secara sah menolak penambahan atau penghapusan Subpemroses dengan alasan perlindungan data dan Globalization Partners tidak dapat mengakomodasi keberatan Pelanggan secara wajar, para pihak akan membahas kekhawatiran Pelanggan dengan iktikad baik dengan maksud untuk menyelesaikan masalah tersebut.
3.6. Langkah-langkah keamanan teknis dan organisasi. Dengan mempertimbangkan standar industri, biaya implementasi, sifatnya, ruang lingkup, konteks dan tujuan Pemrosesan, dan keadaan relevan lainnya yang berkaitan dengan Pemrosesan Data Pelanggan dalam Platform, Globalization Partners akan menerapkan langkah keamanan teknis dan organisasi yang sesuai untuk memastikan keamanan, kerahasiaan, integritas, ketersediaan dan ketahanan sistem dan layanan pemrosesan yang terlibat dalam Pemrosesan Data Nasabah sepadan dengan risiko sehubungan dengan Data Nasabah tersebut. Globalization Partners akan secara berkala (i) menguji dan memantau efektivitas perlindungan, kontrol, sistem, dan prosedurnya dan (ii) mengidentifikasi risiko internal dan eksternal yang dapat diperkirakan secara wajar terhadap keamanan, kerahasiaan, dan integritas Data Pelanggan, dan memastikan risiko ini ditangani.
3.7. Kerahasiaan. Globalization Partners akan memastikan bahwa pihak yang berwenang untuk mengakses Data Pelanggan (i) telah berkomitmen terhadap kerahasiaan atau berdasarkan kewajiban kerahasiaan menurut undang-undang yang sesuai dan (ii) mengakses Data Pelanggan hanya berdasarkan instruksi terdokumentasi dari Globalization Partners kecuali jika diwajibkan untuk melakukannya oleh hukum yang berlaku.
3.8. Pelanggaran Data Pribadi. Globalization Partners akan memberi tahu Pelanggan tanpa penundaan yang tidak semestinya setelah mengetahui Pelanggaran Data sehubungan dengan Pemrosesan Data Pelanggan dan akan menggunakan upaya wajar untuk membantu Pelanggan dalam menanggulangi, jika memungkinkan, dampak merugikan dari Pelanggaran Data apa pun.
3.9. Transfer Internasional . Globalization Partners berwenang, dalam kegiatan bisnis normal, untuk melakukan transfer Data Pelanggan di seluruh dunia ke afiliasi dan/atau Subpemrosesnya. Saat melakukan pengalihan tersebut, Globalization Partners akan memastikan adanya perlindungan yang sesuai untuk melindungi Data Pelanggan yang dialihkan berdasarkan atau sehubungan dengan Perjanjian Induk, sebagai berikut:
3.9.1. Apabila Globalisasi mengalihkan Data Pelanggan ke negara di luar EEA (yang tidak tunduk pada keputusan kecukupan berdasarkan Undang-Undang Privasi), Globalization Partners akan melaksanakan dan mematuhi kewajibannya berdasarkan SCC UE, yang tercakup dalam Adendum ini melalui penyebutan ini dan dilengkapi sebagai berikut:
Modul 2 (Pengendali ke Pemroses) akan berlaku jika Pelanggan adalah Pengendali Data Pribadi dan Globalization Partners adalah Pemroses Data Pribadi;
dalam Klausul 7, klausul docking opsional akan berlaku;
dalam Klausul 9, opsi 2 akan berlaku dengan 10 hari;
dalam Klausul 11, bahasa opsional tidak akan berlaku;
dalam Klausul 12, setiap klaim yang diajukan berdasarkan SCC UE akan tunduk pada syarat dan ketentuan yang ditetapkan dalam Perjanjian;
dalam Klausul 17, Opsi 1 akan berlaku, SCC UE akan diatur oleh Hukum Irlandia;
dalam Klausul 18(b), sengketa akan diselesaikan di hadapan pengadilan Irlandia;
Lampiran I SCC UE akan dianggap telah dilengkapi dengan informasi yang ditetapkan dalam Lampiran I Adendum ini;
Lampiran II SCC UE akan dianggap telah dilengkapi dengan informasi yang ditetapkan dalam Lampiran II Adendum ini; dan
Lampiran III SCC UE akan dianggap telah dilengkapi dengan informasi yang ditetapkan dalam Lampiran III Adendum ini.
3.9.2. Sehubungan dengan Data Pelanggan yang dilindungi oleh GDPR Inggris, Para Pihak diizinkan secara hukum untuk mengandalkan SCC UE untuk Pemindahan Terbatas dari Inggris sesuai dengan Adendum Inggris yang disertakan ke dalam Adendum ini melalui referensi ini dan diselesaikan sebagaimana didefinisikan dalam Lampiran IV yang terlampir dalam Adendum ini. Jika bagian ini 3.9.2 tidak berlaku, maka Globalization Partners Mengekspor Perusahaan dan Pelanggan akan bekerja sama dengan iktikad baik untuk menerapkan pengamanan yang sesuai untuk pengalihan Data Pribadi sebagaimana diwajibkan atau diizinkan oleh GDPR Inggris tanpa penundaan yang tidak semestinya.
3.9.3. Tidak ada penafsiran dalam Bagian ini yang 3.9 dimaksudkan untuk bertentangan dengan hak atau tanggung jawab salah satu Pihak berdasarkan SCC UE dan/atau Adendum Inggris dan, jika terjadi konflik tersebut, SCC UE dan/atau Adendum Inggris, sebagaimana berlaku, yang akan berlaku.
3.10. Penghapusan Data Pribadi. Setelah pengakhiran Layanan (untuk alasan apa pun) dan jika diminta oleh Pelanggan secara tertulis, Globalization Partners akan, sesegera mungkin, mengembalikan atau menghapus Data Pelanggan yang disimpan dalam Platform kecuali jika hukum yang berlaku mewajibkan penyimpanan Data Pelanggan untuk jangka waktu yang lebih lama. Untuk penyimpanan tersebut, ketentuan Adendum ini akan terus berlaku terhadap Data Pelanggan tersebut.
3.11. Permintaan Subjek Data. Globalization Partners akan segera memberi tahu Pelanggan tentang permintaan Subjek Data terkait Data Pelanggan. Pelanggan bertanggung jawab untuk menanggapi permintaan tersebut. Globalization Partners akan membantu Pelanggan secara wajar untuk menanggapi permintaan Subjek Data tersebut sejauh Pelanggan tidak dapat mengakses Data Pelanggan terkait dalam penggunaan Platform.
3.12. Permintaan pihak ketiga. Jika Globalization Partners menerima permintaan dari pihak ketiga atau perintah pengadilan, tribunal, regulator, atau lembaga pemerintah dengan yurisdiksi yang kompeten yang mengatur Globalization Partners terkait Pemrosesan Data Pelanggan berdasarkan Perjanjian, Globalization Partners akan segera mengalihkan permintaan tersebut kepada Pelanggan. Globalization Partners tidak akan menanggapi permintaan tersebut tanpa izin sebelumnya dari Pelanggan kecuali jika diwajibkan secara hukum untuk melakukannya. Globalization Partners akan, kecuali jika dilarang oleh hukum, memberi tahu Pelanggan sebelum melakukan pengungkapan Data Pelanggan dan akan bekerja sama secara wajar dengan Pelanggan untuk membatasi ruang lingkup pengungkapan tersebut pada hal yang diwajibkan oleh hukum.
3.13. Penilaian Dampak Perlindungan Data dan Konsultasi Sebelumnya. Sejauh diwajibkan oleh Undang-Undang Perlindungan Data, Globalization Partners akan memberikan bantuan wajar kepada Pelanggan untuk melaksanakan penilaian dampak perlindungan data sehubungan dengan Pemrosesan Data Pelanggan yang dilakukan oleh Globalization Partners dan/atau konsultasi(-konsultasi) sebelumnya yang diwajibkan dengan otoritas pengawas. Globalization Partners berhak untuk mengenakan biaya yang wajar kepada Pelanggan atas penyediaan bantuan tersebut.
3.14. Mendemonstrasikan Kepatuhan. Globalization Partners secara berkala melakukan audit eksternal terkait keamanan, ketersediaan, integritas pemrosesan, kerahasiaan, dan pengendalian privasi organisasi serta akan memberikan salinan laporan ringkasan audit atau sertifikasi terbaru kepada Pelanggan jika diminta secara tertulis. Jika Pelanggan memilih untuk melakukan audit sendiri selain sertifikasi atau laporan pihak ketiga yang disediakan, audit tersebut harus dilakukan: i) tidak lebih dari sekali per masing-masing 12 (dua belas) bulan; ii) selama jam kerja normal dan tanpa mengganggu bisnis harian Globalization Partners; iii) dengan pemberitahuan tertulis tiga puluh (30) hari sebelumnya; iv) dengan biaya Pelanggan sendiri (termasuk waktu yang dihabiskan Mitra Globalisasi untuk membantu Pelanggan selama audit berdasarkan tarif harian manajer keamanan); v) berdasarkan parameter dan ruang lingkup yang disepakati bersama, terbatas pada cakupan layanan tertentu, sistem yang digunakan dan/atau aktivitas pemrosesan yang dimaksudkan dan bersifat spesifik terhadap persyaratan aktual; vi) berdasarkan tanggal yang disepakati bersama sebelumnya, tunduk pada penundaan wajar oleh Pelanggan atas permintaan wajar Globalization Partners; dan vii) sesuai dengan semua kewajiban dan pembatasan kerahasiaan. Terlepas dari hal-hal tersebut di atas, tidak ada hak audit yang diberikan setelah pengakhiran Perjanjian Induk, kecuali untuk kewajiban hukum yang harus ditunjukkan oleh Pelanggan. Setiap perwakilan pihak ketiga yang dipilih untuk melakukan audit atas nama Pelanggan tidak boleh memiliki kepentingan kepemilikan atau afiliasi dengan lembaga Layanan EOR, organisasi terkait, atau konsultan.
3.15. Tidak Ada Penjualan Informasi. Globalization Partners tidak akan memperoleh atau menggunakan hak atau manfaat apa pun terkait Data Pribadi kecuali sebagaimana ditetapkan dalam Adendum ini. Untuk menghindari keraguan, Globalization Partners tidak akan menyimpan, menggunakan, membagikan, atau mengungkapkan Data Pelanggan untuk tujuan apa pun selain untuk tujuan tertentu menyediakan Platform kepada Pelanggan sesuai dengan Perjanjian Induk. Globalization Partners tidak akan menjual Data Pribadi apa pun, sebagaimana istilah “penjualan” didefinisikan dalam CCPA. Globalization Partners menyatakan dan menjamin bahwa mereka memahami aturan, persyaratan, dan definisi CCPA dan setuju untuk tidak mengambil tindakan apa pun yang akan menyebabkan pengalihan Data Pribadi ke atau dari Globalization Partners untuk memenuhi syarat sebagai “menjual informasi pribadi” berdasarkan CCPA.
|
Pihak |
Pengendali / Pengekspor Data: Entitas pelanggan yang menandatangani |
|
Detail Kontak Pihak |
Perincian kontak pelanggan sebagaimana ditetapkan dalam Perjanjian Induk. Perincian kontak Globalization Partners sebagaimana ditetapkan dalam Perjanjian Induk. |
|
Aktivitas yang Relevan dengan Data yang Ditransfer |
Kegiatan terkait Platform yang disediakan sebagai layanan. |
|
Aktivitas Pemrosesan |
Globalization Partners akan memproses Data Pelanggan dalam penyediaan Platform sebagai layanan bagi Pelanggan. |
|
Durasi Pemrosesan |
Globalization Partners akan Memproses Data Pelanggan selama durasi Perjanjian Induk dan secara berkelanjutan. |
|
Sifat dan Tujuan Pemrosesan |
Pelanggan dapat mentransfer Data Pelanggan ke Globalization Partners, sejauh ditentukan dan dikendalikan oleh Pelanggan atas kebijakannya sendiri. Globalization Partners akan Memproses Data Pelanggan sebagaimana diperlukan untuk tujuan menyediakan Platform sebagai layanan kepada Pelanggan sesuai dengan Perjanjian Induk. |
|
Kategori Subjek Data |
Data Pelanggan menyangkut Pengguna Resmi Platform yang mungkin mencakup karyawan dan/atau kontraktor Pelanggan, selain individu yang Data Pribadinya disediakan oleh Pengguna Resmi Platform. |
|
Jenis Data Pribadi |
Data Pelanggan yang dialihkan dapat mencakup kategori data berikut: Detail kontak (seperti alamat pos, nomor telepon, dan email). Data Karyawan/Kontraktor (seperti jabatan pekerjaan dan nama perusahaan). Perincian pelanggan (seperti penagihan dan data terkait kredit). Data penggunaan (seperti data tentang perangkat Pengguna yang Diizinkan dan cara perangkat tersebut berinteraksi dengan Platform). Data lokasi (seperti lokasi yang berasal dari alamat IP). Data konten (seperti konten file Pelanggan terkait Profesional dan komunikasi). Kredensial (seperti kata sandi, petunjuk kata sandi, dan informasi keamanan serupa yang digunakan untuk autentikasi dan akses akun ke Platform). Setiap Data Pribadi yang disediakan oleh Pengguna yang Diizinkan. |
|
Kategori Data Khusus (jika sesuai) |
T/A |
|
Retensi |
Data Pelanggan akan disimpan setidaknya selama periode penyimpanan minimum yang diwajibkan secara hukum yang berlaku, yang sejalan dengan undang-undang pembatasan yang berlaku dan memenuhi praktik bisnis yang baik. |
|
Otoritas Pengawasan yang Kompeten |
Komisi Perlindungan Data Irlandia |
|
Transfer ke Subpemroses |
Untuk transfer ke prosesor, pokok bahasan, sifat, dan durasi pemrosesan adalah sama seperti yang dijelaskan di atas. |
|
Perincian kontak Privasi Globalization Partners |
privacy@globalization-partners.com
|
Globalization Partners telah disertifikasi dan dibuktikan untuk mengonfirmasi kepatuhan terhadap 2 standar SOC, oleh auditor independen. Laporan Kontrol Organisasi Layanan (SOC) menunjukkan komitmen kita untuk mengamankan Data Pelanggan. Program keamanan Globalization Partners dirancang untuk:
Melindungi kerahasiaan, integritas, dan ketersediaan Data Pelanggan yang dimiliki oleh Globalization Partners atau yang dapat diakses oleh Globalization Partners;
Melindungi dari ancaman atau bahaya yang diantisipasi terhadap kerahasiaan, integritas, dan ketersediaan Data Pelanggan;
Melindungi dari akses, penggunaan, pengungkapan, perubahan, atau pemusnahan Data Pelanggan yang tidak sah atau melanggar hukum;
Melindungi dari kehilangan atau pemusnahan Data Pelanggan yang tidak disengaja, atau kerusakan terhadap Data Pelanggan; dan
Melindungi informasi sebagaimana ditetapkan dalam peraturan apa pun yang mengatur Globalization Partners.
Hal berikut menjelaskan fungsi, proses, pengendalian, sistem, prosedur, dan langkah yang telah diambil Globalization Partners untuk memastikan keamanan Pemrosesan Data Pelanggan:
a) Privasi dalam Desain dan Default:Globalization Partners mempertimbangkan persyaratan Pasal 25 GDPR dalam fase konsepsi dan pengembangan pengembangan produk. Proses dan fungsionalitas diatur sedemikian rupa sehingga prinsip-prinsip perlindungan data seperti legalitas, transparansi, batasan tujuan, minimalisasi data, dll. serta keamanan pemrosesan dipertimbangkan pada tahap awal.
b) Enkripsi Data Pribadi:Memastikan bahwa data pribadi hanya disimpan dalam sistem dengan cara yang tidak memungkinkan pihak ketiga untuk mengidentifikasi subjek data.
Basis data dan enkripsi penyimpanan:
Pada semua basis data yang digunakan oleh Globalization Partners , enkripsi “sedang beristirahat” menurut bidang seni digunakan sehingga data dari basis data hanya dapat dibaca setelah autentikasi yang tepat pada masing-masing sistem basis data.
Enkripsi media data seluler:
Penggunaan operator data seluler untuk menyimpan data pelanggan tidak diizinkan.
Enkripsi operator data di laptop:
Enkripsi hard disk tercanggih yang sesuai diinstal di semua laptop karyawan.
Pertukaran informasi dan file terenkripsi:
Pada prinsipnya, pertukaran informasi dan file dienkripsi secara langsung melalui aplikasi khusus. Jika data pribadi atau informasi rahasia harus ditransfer ke server yang tidak dapat dikirim melalui unggahan HTTPS terenkripsi TLS, data pribadi atau informasi rahasia tersebut akan ditransfer menggunakan Secure File Transfer Protocol (SFTP), layanan amplop terenkripsi, atau mekanisme terenkripsi lainnya sesuai dengan keadaan Seni.
Enkripsi Email:
Pada prinsipnya, semua email yang dikirim oleh karyawan Globalization Partners dienkripsi dengan TLS. Pengecualian dapat dilakukan jika server penerima tidak mendukung TLS. Pelanggan harus memastikan bahwa server surat terkait yang digunakan dalam lingkup pesanan mendukung enkripsi TLS
c) Kontrol Penerimaan Kontrol dimaksudkan dan diberlakukan untuk mencegah penggunaan dan pemrosesan data yang dilindungi oleh undang-undang perlindungan data oleh orang yang tidak berwenang.
Penggunaan metode autentikasi
Akses ke data pribadi selalu melalui protokol terenkripsi: SSH, SSL/ TLS, HTTPS, atau protokol yang sebanding. Prosedur autentikasi untuk sistem TI: Login autentikasi multifaktor ke sistem TI.
Pemblokiran otomatis jika tidak ada aktivitas
Laptop yang digunakan oleh karyawan Globalization Partners dikunci dengan kata sandi atau perlindungan PIN saat tidak digunakan oleh pengguna. Selain itu, kunci layar otomatis dengan perlindungan kata sandi diatur setelah tidak aktif selama 15 beberapa menit.
Penggunaan perangkat lunak antivirus
Laptop yang digunakan oleh karyawan Globalization Partners dilengkapi dengan perangkat lunak antivirus canggih yang selalu diperbarui pada semua sistem TI operasional atau bisnis. Pada prinsipnya, tidak ada komputer yang dapat dioperasikan tanpa perlindungan virus penduduk kecuali tindakan keamanan mutakhir lainnya telah diambil atau tidak ada risiko. Pengaturan keamanan default tidak boleh dinonaktifkan atau digagalkan.
“Kebijakan Meja Bersih”
Karyawan Globalization Partners diinstruksikan untuk tidak mencetak atau menyimpan data pribadi subjek data secara lokal, tidak meninggalkan materi kerja di lokasi tempat mereka dapat dilihat oleh pihak ketiga, dan menyimpan semua materi kerja dengan benar. Dokumen yang diwajibkan oleh hukum untuk disimpan oleh Globalization Partners dalam salinan cetak disimpan dalam lemari terkunci.
d) Kontrol Akses dalam kontrol Akses Platform memastikan bahwa orang yang berwenang untuk menggunakan sistem pemrosesan hanya memiliki akses ke data pribadi yang tercakup dalam otorisasi akses mereka.
Peran dan Otorisasi
Platform Peran dan Otorisasi – Pengguna Pelanggan Akses Nasabah dapat melihat dan mengedit informasi akun pelanggan.
Platform Peran dan Otorisasi – Pengguna Profesional Akses dapat melihat dan mengedit informasi profesional mereka sendiri.
Profesional juga dapat memperoleh peran akses Pelanggan sesuai persyaratan + persetujuan
Platform Peran dan Otorisasi – Akses Internal Pengguna akses
internal memiliki peran yang bervariasi. Mereka memiliki beragam akses untuk membuat, melihat, mengedit, dan menyetujui hal berikut:
Informasi pelanggan
Informasi penagihan
Informasi mitra
Informasi catatan personel profesional
Akses ke sistem admin umumnya terbatas pada karyawan terlatih di bidang dukungan pelanggan dan pengembangan produk.
e) Firewall sebagai ServiceGlobalizationGlobalization Partners menggunakan firewall eksternal sebagai layanan yang memungkinkannya memberikan atau memblokir akses ke situs web untuk memastikan sistem tidak dapat mengakses konten berbahaya dan membatasi akses ke konten yang tidak pantas.
f) Catatan Login ke PlatformGlobalisasiGlobalization Partners menyimpan catatan semua aktivitas login.
g) Pemisahan Memastikan bahwa data pribadi yang dikumpulkan untuk tujuan yang berbeda dapat diproses secara terpisah dan dipisahkan dari data dan sistem lain sedemikian rupa sehingga penggunaan data ini yang tidak direncanakan untuk tujuan lain dikecualikan.
Pemisahan pengembangan, pengujian, dan lingkungan operasi
Data dari lingkungan operasi hanya dapat ditransfer ke lingkungan pengujian atau pengembangan jika telah dibuat sepenuhnya anonim sebelum transfer. Pemindahan data anonim harus dienkripsi atau melalui jaringan tepercaya.
Pemisahan dalam jaringan
Globalization Partners memisahkan jaringannya berdasarkan tugas. Jaringan berikut digunakan secara permanen: lingkungan operasi (“Produksi”), lingkungan pengujian (“Penahapan”, “Kotak pasir”), staf TI kantor lingkungan pengembangan (“Dev”). Selain jaringan ini, jaringan terpisah lebih lanjut dibuat sesuai kebutuhan, misalnya untuk memulihkan uji dan uji penetrasi. Tergantung pada kemungkinan teknis, jaringan dipisahkan secara fisik atau melalui jaringan virtual.
h) Pengendalian ketersediaanGlobalisasiGlobalization Partners mengambil langkah berikut untuk memastikan data pribadi dilindungi dari pemusnahan atau kehilangan yang tidak disengaja.
Prosedur/pencadangan perlindungan data
Untuk memastikan ketersediaan yang memadai Globalization Partners menerapkan tangkapan harian basis datanya dengan replikasi ke wilayah yang berbeda. Langkah-langkah juga diambil untuk memastikan bahwa karyawan dengan kebutuhan berbasis pekerjaan untuk meninjau data diberi akses hanya untuk mereplikasi set data.
Geo-redundansi sehubungan dengan infrastruktur server data produktif dan cadangan
Manajemen insiden TI (“Manajemen Tanggapan Insiden”)
Terdapat konsep dan prosedur terdokumentasi untuk menangani insiden dan kejadian terkait keselamatan. Ini termasuk perencanaan dan persiapan tanggapan terhadap insiden, prosedur untuk memantau, mendeteksi dan menganalisis peristiwa terkait keamanan dan definisi tanggung jawab yang sesuai dan saluran pelaporan jika terjadi pelanggaran perlindungan data pribadi dalam kerangka persyaratan hukum.
Globalization Partners telah menerapkan langkah-langkah organisasi berikut untuk memastikan organisasi beroperasi dengan cara yang memenuhi persyaratan privasi dan perlindungan data.
a) Instruksi OrganisasiGlobalisasiGlobalization Partners telah mengembangkan dan sedang mengembangkan program tata kelola data, termasuk kebijakan, prosedur, dan pedoman yang harus diikuti karyawan. Dokumentasi mencakup cara mengidentifikasi dan mengelola masalah privasi data, praktik terbaik untuk memastikan kepatuhan privasi, dan kebijakan untuk mengatasi insiden privasi.
b) Komitmen terhadap kerahasiaan dan perlindungan dataGlobalisasiGlobalization Partners telah mengembangkan dan sedang mengembangkan program tata kelola data, termasuk kebijakan, prosedur, dan pedoman yang harus diikuti karyawan. Semua karyawan dan kontraktor terikat secara tertulis pada kerahasiaan dan perlindungan data serta undang-undang terkait lainnya. Semua karyawan menerima pelatihan privasi & keamanan. Audit internal tentang perlindungan data dan keamanan informasi dilakukan secara rutin. Audit dilakukan berdasarkan kriteria/skema pengujian umum. Karyawan dan kontraktor Globalization Partners diinstruksikan untuk memproses data pribadi hanya untuk alasan yang sah, sesuai dengan kontrak yang berlaku dengan pelanggan dan profesional, dengan mempertimbangkan setiap persetujuan tegas yang diberikan atau ditangguhkan oleh subjek data, dan sesuai dengan tugas organisasi yang sah.
c) Pelatihan perlindungan data Semua karyawan menerima pelatihan privasi & keamanan yang tetap tersedia untuk ditinjau kapan saja di platform pelatihan Globalization Partners .
d) Pengendalian Akses FisikGlobalisasiGlobalization Partners menerapkan pengendalian fisik berikut untuk menolak akses orang yang tidak berwenang ke peralatan sistem TI yang digunakan untuk pemrosesan.
Pelindung pintu elektronik
Pintu masuk ke lokasi kantor Globalization Partners selalu terkunci dan diamankan secara elektronik. Pintu dibuka melalui transponder elektronik pribadi.
Distribusi kunci yang dikontrol
Alokasi kunci yang terpusat dan terdokumentasi untuk karyawan Globalization Partners berlangsung. Transponder/kunci elektronik ini dapat dinonaktifkan secara terpusat oleh setiap manajer kantor atau departemen Sumber Daya Manusia.
Pengawasan dan pendampingan orang eksternal
Penyedia layanan eksternal dan pihak ketiga lainnya hanya dapat diberikan akses ke lokasi melalui otorisasi sebelumnya atau jika didampingi oleh karyawan Globalization Partners. Globalization Partners menerapkan Kebijakan tertulis Pengunjung saat pengunjung diundang ke lokasi.
Mengamankan lokasi dengan peningkatan kebutuhan akan perlindungan
Gedung atau kabinet dengan persyaratan perlindungan tambahan, seperti kantor hukum dan lokasi Operasi tertentu, dilengkapi dengan lemari dan laci pengunci. Kabinet dan laci tempat dokumen hukum, kontrak, dan dokumentasi rahasia disimpan harus dikunci setiap saat kecuali saat sedang digunakan.
Pintu dan jendela tertutup
Karyawan diinstruksikan secara organisasi untuk menjaga jendela dan pintu tetap tertutup atau terkunci di luar jam kantor.
e) PemulihanGlobalisasiGlobalization Partners memastikan bahwa sistem yang digunakan dapat dipulihkan jika terjadi kegagalan fisik atau teknis.
Pengujian rutin terhadap pemulihan data (“Pengembalian Pengujian”)
Tes pemulihan penuh rutin dilakukan untuk memastikan pemulihan jika terjadi keadaan darurat/bencana.
Rencana darurat (“Konsep Pemulihan Bencana”)
Ada konsep untuk pengobatan keadaan darurat/bencana dan rencana darurat yang sesuai. Globalization Partners memastikan pemulihan semua sistem berdasarkan backup / backup data, biasanya dalam hitungan 48 jam.
Langkah peninjauan dan evaluasi
Penyajian prosedur untuk peninjauan, penilaian, dan evaluasi berkala atas keefektifan langkah teknis dan organisasi.
f) Tim Privasi Organisasi memiliki Kantor Privasi Data Global yang bertugas merencanakan, menerapkan, mengevaluasi, dan menyesuaikan langkah dalam bidang perlindungan data.
g) Manajemen Risiko Terdapat proses untuk menganalisis, mengevaluasi, dan mengalokasikan risiko serta mengambil langkah berdasarkan risiko tersebut.
a) Pelaksanaan audit Internal audit perlindungan data dan keamanan informasi dilakukan secara rutin. Audit dilakukan berdasarkan kriteria/skema pengujian umum.
b) Peninjauan kepatuhan terhadap kebijakan dan standar keamanan Kepatuhan terhadap pedoman, standar, dan persyaratan keamanan lain yang berlaku untuk pemrosesan data pribadi diperiksa secara berkala. Bila memungkinkan, pemeriksaan ini dilakukan secara acak dan tidak terduga.
c) Verifikasi kepatuhan terhadap spesifikasi teknis Pemindaian kerentanan otomatis dan manual reguler dilakukan oleh departemen TI atau personel berkualifikasi lainnya untuk memverifikasi keamanan aplikasi dan infrastruktur, serta pengembangan rutin produk. Pengujian penetrasi terperinci dilakukan oleh penyedia layanan eksternal untuk secara khusus memeriksa kerentanan aplikasi dan infrastruktur.
d) Pemrosesan instruksi Karyawan Globalization Partners diinstruksikan untuk memproses data pribadi hanya untuk alasan yang sah, sesuai dengan kontrak yang berlaku dengan pelanggan dan profesional, dengan mempertimbangkan setiap persetujuan tegas yang diberikan atau ditangguhkan oleh subjek data, dan sesuai dengan setiap tugas organisasi yang sah.
e) Pemilihan pemasok secara cermatGlobalisasiGlobalization Partners mematuhi Proses Prakualifikasi Pemasok saat memilih vendor dan pemasok yang mungkin menemukan data yang dilindungi. Proses ini meliputi umpan balik dari Departemen Keuangan dan Hukum/Privasi serta menggabungkan penilaian risiko, prakualifikasi keamanan, dan langkah sertifikasi dokumentasi. Pemasok yang akan memproses data yang dilindungi akan diwajibkan untuk menunjukkan kepatuhan mereka terhadap undang-undang privasi data yang berlaku, termasuk Pasal 28 GDPR untuk data yang tercakup.
|
Subpemroses |
Informasi Kontak |
Deskripsi Pemrosesan |
Lokasi |
|---|---|---|---|
|
|
|
Menyediakan Platform dan manajemen hubungan Pelanggan |
AS |
|
|
3933 Danau Washington Blvd NE #350, Kirkland, WA 98033, AS |
Layanan Keuangan |
AS |
|
|
P.O. Box 81226 Seattle, WA 98108-1226, AS |
Hosting – Penyedia Layanan Cloud |
AS |
|
|
|
Komunikasi Pendukung Proses Bisnis (email); manajemen layanan |
AS |
|
|
350 Lantai Bush Street 13 San Francisco, CA 94104, AS |
Dukungan Proses Bisnis untuk manajemen layanan |
AS |
|
|
|
Manajemen Kontrak |
Inggris Raya |
|
|
DocuSign International (EMEA) Ltd, Perhatian: Tim Privasi, 5 Hanover Quay, Lantai Dasar, Dublin2, Republik Irlandia |
Manajemen Dokumen |
Irlandia |
|
|
265 Cambridge Ave, Suite 60717 Palo Alto, CA 94306, AS |
Layanan Telekomunikasi |
AS |
|
|
2 Kingdom Street Paddington London W2 6BD Inggris |
Manajemen Kontrak |
Inggris Raya |
|
|
Salesforce Tower, 415 Mission Street, Lantai 3, San Francisco, CA 94105, USA |
Dukungan Proses Bisnis untuk manajemen Hubungan Pelanggan (CRM) |
AS |
|
|
989 Market St San Francisco, CA 94103, AS |
|
|
Tabel 1: Para Pihak
|
Tanggal mulai |
Tanggal Berlaku Adendum ini |
|
|
Para Pihak |
Eksportir (yang mengirimkan Pengalihan Terbatas) |
Importir (yang menerima Transfer Terbatas) |
|
Detail Para Pihak |
Perincian entitas pelanggan sebagaimana ditetapkan dalam Perjanjian Induk. |
Perincian entitas Globalization Partners sebagaimana ditetapkan dalam Perjanjian Induk. |
|
Kontak Utama |
Perincian kontak pelanggan sebagaimana ditetapkan dalam Perjanjian Induk. |
Perincian kontak Globalization Partners sebagaimana ditetapkan dalam Perjanjian Induk dan perincian kontak Privasi Globalization Partners sebagaimana ditetapkan dalam Lampiran I di atas. |
Tabel 2: SCC, Modul, dan Klausul yang Dipilih
|
Adendum SCC UE |
Versi SCC UE yang Disetujui yang tercakup dalam Bagian 3.9 Adendum, termasuk informasi Lampiran yang terlampir dalam Adendum ini. |
Tabel 3: Informasi Lampiran“Informasi Lampiran” berarti informasi yang harus diberikan untuk modul yang dipilih sebagaimana ditetapkan dalam Lampiran SCC UE yang Disetujui (selain Para Pihak), dan yang untuk Adendum ini ditetapkan dalam:
Lampiran 1A: Daftar Pihak: Lampiran I
Lampiran 1B : Deskripsi Pengalihan: Lampiran I
Lampiran II: Langkah teknis dan organisasi termasuk langkah teknis dan organisasi untuk memastikan keamanan data: Lampiran II
Lampiran III: Daftar Subpemroses: Lampiran III
Tabel 4: Mengakhiri Adendum ini saat Adendum yang Disetujui Berubah
|
Mengakhiri Adendum ini saat Adendum yang Disetujui berubah |
Pihak mana yang dapat mengakhiri Adendum ini sebagaimana ditetapkan dalam Bagian 19: |
|
Klausul Wajib |
Bagian 2: Klausul Wajib Adendum yang Disetujui, yang merupakan templat Adendum B.1.0 yang diterbitkan oleh ICO dan diletakkan di hadapan Parlemen sesuai dengan Undang-Undang Perlindungan s119A Data 2018 pada 2 Februari 2022, sebagaimana direvisi berdasarkan Bagian Klausul Wajib 18 tersebut. |
