Logo G-P​​ 
Ajukan Proposal​​ 

Bahasa Privasi MSA​​ 

Pembaruan terakhir: Juni 26, 2026​​ 

ADENDUM PERLINDUNGAN DATA​​ 

Pelanggan dan G-P adalah Pihak dalam Perjanjian Induk atau dalam perjanjian dengan sifat dan tujuan yang sama (selanjutnya disebut "Perjanjian Induk"). DPA ini melengkapi syarat dan ketentuan dalam Perjanjian Induk dan dimasukkan ke dalamnya. Jika terjadi konflik antara DPA ini, dan perjanjian lain antara Para Pihak tentang masalah yang ditetapkan di sini, DPA ini akan berlaku. Jika Pelanggan sudah memiliki adendum perlindungan data yang dilaksanakan yang berlaku dengan G-P, maka perjanjian tersebut akan berlaku atas DPA ini, dan DPA ini tidak akan memiliki kekuatan atau efek, kecuali disetujui lain secara tertulis oleh Pelanggan dan G-P.​​ 
 

1. DEFINISI​​  

Istilah-istilah yang tidak didefinisikan di sini memiliki arti yang ditetapkan dalam Perjanjian Induk. Kata-kata berikut dalam DPA ini memiliki arti sebagai berikut:​​ 
1.1 "​​ Pengguna Resmi​​ " berarti individu yang diizinkan oleh Pelanggan yang dapat mencakup salah satu atau karyawan dan/atau kontraktor Pelanggan, untuk mengakses dan menggunakan GPP atas nama Pelanggan, sesuai dengan pelaksanaan Perjanjian Induk.​​ 
1.2 "​​ Data Pelanggan​​ " berarti setiap Data Pribadi yang terkait dengan Pengguna Resmi atau orang perseorangan yang dapat diidentifikasi yang ditransfer, diproses, atau disimpan oleh G-P atas nama Pelanggan sehubungan dengan Layanan untuk penggunaan GPP oleh Pelanggan.​​ 
1.3 "​​ Perlindungan Data​​  Hukum​​ " berarti setiap undang-undang perlindungan data dan privasi yang tunduk pada salah satu pihak dalam Perjanjian ini dan yang berlaku untuk Layanan yang disediakan, termasuk jika berlaku, namun tidak terbatas pada, Peraturan Pelindungan Data Umum, Peraturan Pelindungan Data Umum, Undang-Undang Perlindungan Data Swiss, Undang-Undang Privasi AS (termasuk undang-undang negara bagian dan federal), dan LGPD Brasil.​​ 
1.4 "​​ Employer of Record​​ " berarti Employer of Record.​​ 
1.5 "​​ Peraturan Pelindungan Data Umum​​ " berarti Peraturan Pelindungan Data Umum (EU) 2016/679.​​ 
1.6 "​​ GPP​​ " berarti perangkat lunak milik G-P, termasuk namun tidak terbatas pada, perangkat lunak, versi seluler, perangkat lunak apa pun yang terkandung di dalamnya, dan data apa pun yang tersedia melalui penggunaan perangkat lunak milik G-P atau layanan pihak ketiga, termasuk pembaruan, peningkatan, platform sebagai layanan, dan, dokumentasi.​​ 
1.7 "​​ EEA​​ ” berarti Wilayah Ekonomi Eropa.​​ 
1.8 "​​ LGPD​​ " berarti Undang-Undang Brasil No. 13.709, Undang-Undang Umum tentang Perlindungan Data Pribadi, sebagaimana dapat diubah, digantikan, atau diganti.​​ 
1.9 "​​ Kebijakan Privasi​​ " berarti kebijakan privasi G-P, sebagaimana diperbarui dari waktu ke waktu, tersedia di​​   
1.10 "​​ Data Profesional​​ " berarti Data Pribadi Profesional yang diproses oleh G-P selama penyediaan layanan Pemberi Kerja Tercatat kepada Pelanggan.​​ 
1.11 "​​ Transfer Terbatas"​​  berarti setiap transfer Data Pribadi ke negara di luar EEA, Inggris Raya, Swiss, atau Brasil yang tidak tunduk pada keputusan kecukupan berdasarkan Undang-Undang perlindungan Data yang berlaku, dan oleh karena itu memerlukan perlindungan yang sesuai berdasarkan undang-undang perlindungan data yang berlaku.​​ 
1.12 "​​ Layanan”​​  kejam​​  layanan​​  untuk diberikan oleh G-P kepada Pelanggan berdasarkan Perjanjian Induk yang mungkin mencakup penyediaan layanan Pemberi Kerja Tercatat dan akses dan penggunaan GPP.​​ 
1.13 "​​ Klausul Kontrak Standar"​​  atau​​  " SCC "​​  berarti (i) di mana Peraturan Pelindungan Data Umum berlaku, klausul kontrak standar yang dilampirkan pada Keputusan Pelaksanaan Komisi Eropa (UE) 2021/914 tanggal 4 Juni 2021 klausul kontrak standar untuk transfer data pribadi ke negara ketiga sesuai dengan Peraturan (UE) 2016/679 Parlemen Eropa dan Dewan, Tersedia di​​   ("SCC UE"); (ii) jika Peraturan Pelindungan Data Umum Inggris berlaku, klausul data perlindungan standar yang berlaku yang berlaku yang diadopsi sesuai dengan Pasal 46(2(c), atau (d) di mana Peraturan Pelindungan Data Umum Inggris berarti Adendum Transfer Data Internasional ("Adendum Inggris") untuk Klausul Kontrak Standar UE yang dikeluarkan oleh Kantor Komisaris Informasi berdasarkan pasal119A(1) dari Undang-Undang Perlindungan Data 2018, dengan demikian Adendum Inggris dapat direvisi berdasarkan Bagian 18 di dalamnya ("SCC Inggris Raya"); (iii) jika Undang-Undang Perlindungan Data Swiss berlaku, klausul data perlindungan standar yang berlaku yang dikeluarkan, disetujui, atau diakui oleh Otoritas Perlindungan Data Federal Swiss dan Kantor Komisaris Informasi ("SCC Swiss); di mana LGPD Brasil berlaku, klausul kontrak standar yang berlaku, dilampirkan pada CD Resolusi / ANPD No. 19/2024 diumumkan oleh Otoritas Perlindungan Data Nasional Brasil ("ANPD"), sebagaimana dapat diubah dari waktu ke waktu ("SCC Brasil").​​ 
1.14 "​​ Hukum Perlindungan Data Swiss​​ " atau​​  "FADP"​​  berarti (i) Undang-Undang Perlindungan Data Federal Swiss ("​​ FDPA​​ ”); (ii) Ordonansi tentang Undang-Undang Federal tentang Perlindungan Data ("​​ FODP​​ “); dan (iii) undang-undang perlindungan data nasional yang dibuat di bawah, sesuai dengan, mengganti, atau menggantikan atau menggantikan dan setiap undang-undang yang menggantikan atau memperbarui salah satu hal di atas.​​ 
1.15 "​​ Tambahan Inggris​​ " berarti adendum transfer data internasional Inggris untuk Klausul Kontrak Standar UE yang dikeluarkan oleh Komisaris Informasi Inggris Raya.​​ 
1.16 "​​ Undang-Undang Perlindungan Data Inggris"​​  berarti Peraturan Pelindungan Data Umum sebagaimana disimpan ke dalam hukum Inggris berdasarkan bagian 3 dari Undang-Undang Uni Eropa (Penarikan) Inggris 2019 ("Peraturan Pelindungan Data Umum") dan Undang-Undang Perlindungan Data 2018 (bersama-sama, "Undang-Undang Perlindungan Data Inggris Raya").​​ 
1.17 "​​ Undang-Undang Privasi AS​​ ” berarti undang-undang, perintah, peraturan, dan panduan peraturan negara bagian Amerika Serikat (AS) yang berlaku terkait dengan Pemrosesan Data Pribadi termasuk tanpa batasan: (a) CCPA; (b) Undang-Undang Perlindungan Data Konsumen Virginia; (c) Undang-Undang Privasi Colorado; (d) Undang-Undang Connecticut Mengenai Privasi Data dan Pemantauan Online; (e) Undang-Undang Privasi Konsumen Utah; dan (f) semua undang-undang negara bagian yang serupa.​​ 
1.18 "​​ Pengontrol", "Subjek Data", "Data Pribadi", "Informasi Pribadi", "Pelanggaran Data", "Pemroses", "Pemrosesan", "Transfer Terbatas", "Penyedia Layanan"​​  dan/atau istilah dan konsep serupa lainnya memiliki arti sebagaimana didefinisikan dalam Hukum Perlindungan Data.​​ 
 
 

2. PENGONTROL INDEPENDEN - HUBUNGAN PENGONTROL​​  

2.1​​  Peran Para Pihak.​​  Ketika G-P menyediakan layanan Pemberi Kerja Tercatat kepada Pelanggan, G-P mengambil peran sebagai perusahaan hukum untuk setiap individu yang dipilih oleh Pelanggan ("Profesional") untuk dipekerjakan. Berkenaan dengan Data Pribadi Profesional tersebut, G-P adalah Pengontrol independen selama hubungan kerja. Mengenai Data Pribadi Profesional yang dikumpulkan dan digunakan oleh Pelanggan untuk tujuannya sendiri, Pelanggan juga merupakan Pengontrol independen dengan kewajiban privasi independen. Saat memberikan layanan Pemberi Kerja Catatan, pertukaran Data Pribadi Profesional antara G-P dan Pelanggan berada di bawah hubungan Pengontrol-ke-Pengendali independen dan ketentuan bagian ini 2 ("Hubungan Pengontrol-Pengendali Independen"), akan berlaku. Dalam keadaan apa pun Para Pihak tidak akan Memproses Data Pribadi berdasarkan DPA ini sebagai Pengendali bersama.​​ 
2.2​​  Tanggung Jawab dan Ucapan Terima Kasih​​ . Para Pihak dalam kapasitas mereka sebagai Pengendali harus:​​ 
2.2.1 Mematuhi Undang-Undang Perlindungan Data yang berlaku sehubungan dengan Pemrosesan Data Pribadi Profesional.​​ 
2.2.2 Memproses dan membagikan Data Pribadi Profesional secara adil dan sah untuk tujuan (sesuai keadaan) melakukan atau menerima Layanan Pemberi Kerja Catatan untuk kepentingan sahnya sendiri.​​ 
2.2.3 Memastikan dasar Pemrosesan yang sah berlaku untuk setiap pembagian Data Pribadi Profesional antara Para Pihak.​​ 
2.2.4 Saling membantu dalam mematuhi kewajiban masing-masing berdasarkan Undang-Undang Perlindungan Data, termasuk, namun tidak terbatas pada, saling membantu jika terjadi Pelanggaran Data, menanggapi permintaan Subjek Data dan/atau regulator.​​  
 

3. HUBUNGAN PENGONTROL – PROSESOR​​ 

3.1​​  Peran Para Pihak​​ . G-P juga menawarkan berbagai perangkat lunak sebagai produk layanan melalui GPP di mana G-P memungkinkan Pelanggan untuk mengelola hubungan dengan Profesional tersebut. Ketika G-P memberi Pelanggan akses ke GPP, G-P adalah Pemroses untuk Data Pribadi terkait akun yang diunggah ke GPP oleh Pengguna Resmi GPP yang ditunjuk oleh Pelanggan dan Pelanggan adalah Pengontrol data tersebut dan, ketentuan bagian ini 3 ("Hubungan Pengontrol-Pemroses"), akan berlaku.​​ 
3.2​​  Petunjuk.​​  G-P akan memproses Data Pelanggan sesuai dengan instruksi terdokumentasi Pelanggan.  Pelanggan setuju bahwa DPA ini, Perjanjian Induk, dan Lampiran I yang dilampirkan di bawah ini, terdiri dari instruksi lengkap Pelanggan kepada G-P mengenai Pemrosesan Data Pelanggan.  Setiap instruksi tambahan atau alternatif harus disepakati antara Para Pihak secara tertulis, termasuk biaya (jika ada) yang terkait dengan mematuhi instruksi tersebut.  Pelanggan akan memastikan bahwa instruksinya mematuhi Undang-Undang Perlindungan Data yang berlaku. Pelanggan mengakui bahwa G-P tidak bertanggung jawab untuk menentukan undang-undang mana yang berlaku untuk bisnis Pelanggan. Pelanggan akan memastikan bahwa Pemrosesan Data Pelanggan oleh G-P, bila dilakukan sesuai dengan instruksi Pelanggan, tidak akan menyebabkan G-P melanggar hukum yang berlaku, termasuk Undang-Undang Perlindungan Data yang berlaku. Namun, jika G-P berpendapat bahwa instruksi Pelanggan melanggar Undang-Undang Perlindungan Data yang berlaku, G-P akan memberi tahu Pelanggan sesegera mungkin dan tidak diharuskan untuk mematuhi instruksi yang melanggar tersebut.​​  
3.3​​  Rincian Pemrosesan​​ . Rincian pokok bahasan Pemrosesan, jangka waktu, sifat dan tujuannya, serta jenis Data Pelanggan dan subjek data adalah sebagaimana tercantum dalam Lampiran I yang dilampirkan pada Perjanjian ini.​​   
3.4​​  Kepatuhan.​​  Pelanggan dan G-P setuju untuk mematuhi kewajiban masing-masing berdasarkan Undang-Undang Perlindungan Data yang berlaku untuk Data Pelanggan yang Diproses sebagaimana ditentukan dalam Lampiran I. Pelanggan bertanggung jawab penuh untuk mematuhi Undang-Undang Perlindungan Data mengenai keabsahan Pemrosesan Data Pelanggan sebelum mengungkapkan, mentransfer, atau menyediakan, Data Pelanggan apa pun kepada G-P.  Untuk menghindari keraguan, dalam semua kasus, Pelanggan harus mendapatkan, jika diperlukan, persetujuan apa pun dari Subjek Data bagi G-P untuk Memproses Data Pelanggan sebagaimana diarahkan oleh Pelanggan.​​ 
3.5​​  Subprosesor​​ . Pelanggan memberi wewenang kepada G-P untuk menunjuk dan menggunakan Pemroses ("Subpemroses") untuk Memproses Data Pelanggan sehubungan dengan Layanan.  Subpemroses dapat mencakup pihak ketiga atau anggota grup perusahaan G-P. G-P dapat terus menggunakan Subpemroses tersebut yang telah dilibatkan oleh G-P pada tanggal DPA ini, dan daftar Subpemroses tersebut tersedia di Lampiran III terlampir di bawah ini. Jika Subpemroses gagal memenuhi kewajiban data perlindungannya sebagaimana ditentukan di atas, G-P bertanggung jawab kepada Pelanggan atas pelaksanaan kewajiban Subpemroses. G-P akan memberi tahu Pelanggan tentang setiap perubahan pada daftar Subpemrosesnya melalui GPP. Jika, dalam waktu 10 (sepuluh) hari sejak diterimanya pemberitahuan tersebut, Pelanggan secara sah keberatan dengan penambahan atau penghapusan Subpemroses dengan alasan perlindungan data dan G-P tidak dapat secara wajar mengakomodasi keberatan Pelanggan, Para Pihak akan mendiskusikan kekhawatiran Pelanggan dengan itikad baik dengan maksud untuk menyelesaikan masalah tersebut.​​ 
3.6​​  Langkah-langkah keamanan teknis dan organisasi​​ . Dengan mempertimbangkan standar industri, biaya implementasi, sifat, ruang lingkup, konteks dan tujuan Pemrosesan, dan keadaan relevan lainnya yang berkaitan dengan Pemrosesan Data Pelanggan, G-P akan menerapkan langkah-langkah keamanan teknis dan organisasi yang sesuai untuk memastikan keamanan, kerahasiaan, integritas, ketersediaan, dan ketahanan sistem dan layanan pemrosesan yang terlibat dalam Pemrosesan Data Pelanggan sepadan dengan risiko sehubungan dengan Data Pelanggan tersebut, sebagaimana dirinci dalam Lampiran II terlampir di sini.  G-P akan secara berkala (i) menguji dan memantau efektivitas perlindungan, kontrol, sistem, dan prosedurnya dan (ii) mengidentifikasi risiko internal dan eksternal yang dapat diperkirakan secara wajar terhadap keamanan, kerahasiaan, dan integritas Data Pelanggan, dan memastikan risiko ini ditangani.​​  
3.7​​  Kerahasiaan​​ G-P wajib memastikan bahwa orang-orang yang berwenang mengakses Data Pelanggan (i) telah berkomitmen untuk menjaga kerahasiaan atau berada di bawah kewajiban kerahasiaan hukum yang sesuai dan (ii) mengakses Data Pelanggan hanya berdasarkan instruksi tertulis dari G-P, kecuali diwajibkan oleh hukum yang berlaku.​​ 
3.8​​  Pelanggaran Data Pribadi.​​  G-P akan memberi tahu Pelanggan tanpa penundaan yang tidak semestinya setelah mengetahui Pelanggaran Data sehubungan dengan Pemrosesan Data Pelanggan dan akan menggunakan upaya yang wajar untuk membantu Pelanggan dalam mengurangi, jika memungkinkan, efek buruk dari Pelanggaran Data apa pun​​ .​​ 
3.9​​  Penghapusan Data Pribadi.​​   Setelah penghentian Layanan (untuk alasan apa pun), G-P akan, sesegera mungkin, mengembalikan atau menghapus Data Pelanggan yang tersimpan di GPP kecuali jika hukum yang berlaku mengharuskan penyimpanan Data Pelanggan untuk jangka waktu yang lebih lama. Untuk penyimpanan tersebut, ketentuan dalam DPA ini akan terus berlaku untuk Data Nasabah tersebut.​​ 
3.10​​  Permintaan Subjek Data​​ .  G-P akan segera memberi tahu Pelanggan tentang setiap permintaan Subjek Data terkait Data Pelanggan. Pelanggan bertanggung jawab untuk menanggapi permintaan tersebut. G-P akan secara wajar membantu Pelanggan untuk menanggapi permintaan Subjek Data tersebut sejauh Pelanggan tidak dapat mengakses Data Pelanggan yang relevan dalam penggunaan GPP.​​  
3.11​​  Permintaan pihak ketiga​​ Jika G-P menerima permintaan dari pihak ketiga atau perintah dari pengadilan, tribunal, regulator, atau badan pemerintah mana pun yang memiliki yurisdiksi yang berwenang yang tunduk pada G-P terkait dengan Pemrosesan Data Pelanggan berdasarkan Perjanjian ini, G-P akan segera mengalihkan permintaan tersebut kepada Pelanggan. G-P tidak akan menanggapi permintaan tersebut tanpa otorisasi sebelumnya dari Pelanggan kecuali diwajibkan secara hukum untuk melakukannya. Kecuali dilarang secara hukum, G-P akan memberitahukan Pelanggan terlebih dahulu sebelum melakukan pengungkapan Data Pelanggan dan akan bekerja sama secara wajar dengan Pelanggan untuk membatasi ruang lingkup pengungkapan tersebut hanya pada apa yang diwajibkan secara hukum.​​   
3.12​​  Penilaian Dampak Perlindungan Data dan Konsultasi Sebelumnya​​ Sejauh yang dipersyaratkan oleh Hukum Perlindungan Data, G-P akan memberikan bantuan yang wajar kepada Pelanggan untuk melakukan penilaian dampak perlindungan data terkait dengan Pemrosesan Data Pelanggan yang dilakukan oleh G-P dan/atau konsultasi sebelumnya yang diperlukan dengan otoritas pengawas. G-P berhak membebankan biaya yang wajar kepada Pelanggan atas penyediaan bantuan tersebut.​​ 
3.13​​  Audit.​​   Customer may audit G-P compliance with this DPA and Data Protection Laws by requesting a certificate issued for security verification reflecting the outcome of an audit conducted by a third party auditor (e.g., ISO27001 certification, SOC2 certificate), within twelve (12) months as of the date of Customer’s request. Alternatively, in the event the documentation provided subject to this Section 3.13 is not sufficient for the purpose of demonstrating compliance, the Customer may conduct its own audit in addition to the provided third party certifications or reports, provided that such audit shall be conducted: i) no more than once per each 12 (twelve) months period; ii) during normal business hours and without disrupting G-P’s day-to-day business; iii) with thirty (30) days prior written notice; iv) at the Customer’s sole expense; v) based upon mutually agreed parameters and scope, limited to the specific scope of services, systems in use and/or Processing activities contemplated hereunder; vi) based upon mutually agreed in advance date, subject to reasonable postponement by Customer upon G-P’s reasonable request; and vii) in accordance with all confidentiality obligations and restrictions. Notwithstanding the forgoing, no audit right is granted after termination of the Master Agreement, except for legal obligations that will have to be demonstrated by the Customer. Any third-party representative selected to perform an audit on behalf of Customer must not have an ownership interest in or affiliation with an EOR services company, agency, a related organization or consultant. Nothing in this DPA will require G-P to either disclose to Customer or its third-party auditor, or to allow Customer or its third-party auditor to access: (i) any data of any other G-P’s customer; (ii) G-P’ internal accounting or financial information; (iii) any trade secret of G-P or its affiliates; (iv) any information that, in G-P’ reasonable opinion, could compromise the security of any G-P’s systems or cause any breach of its obligations under applicable law or its security or privacy obligations to any third party; or (v) any information that Customer or its third-party auditor seeks to access for any reason other than the good faith fulfillment of Customer’s obligations under the Data Protection Laws.​​ 
3.14​​  Hukum Privasi AS.​​  Berdasarkan bagian ini 3, Para Pihak setuju bahwa G-P adalah "Penyedia Layanan" atau "Pemroses" sebagaimana istilah tersebut didefinisikan berdasarkan Undang-Undang Privasi AS yang berlaku. Oleh karena itu, sejauh Undang-Undang Privasi AS berlaku untuk Pemrosesan Data Pelanggan oleh G-P, G-P tidak akan (a) menyimpan, menggunakan, atau mengungkapkan Data Pelanggan apa pun di luar hubungan bisnis langsung antara G-P dan Pelanggan, atau untuk tujuan apa pun selain untuk tujuan yang ditetapkan dalam Lampiran I terlampir di sini, dan G-P hanya akan Memproses Data Pelanggan hanya selama menyediakan layanan kepada Pelanggan; (b) menjual Data Pelanggan apa pun; (c) membagikan Data Pelanggan apa pun; atau (d) menggabungkan Data Pelanggan yang diterima G-P dari, atau atas nama, Pelanggan dengan "data pribadi" (sebagaimana istilah tersebut atau setara didefinisikan berdasarkan Undang-Undang Perlindungan Data yang berlaku) yang diterimanya dari, atau atas nama, orang lain, atau dikumpulkan dari interaksinya sendiri dengan konsumen, asalkan G-P dapat menggabungkan Data Pelanggan jika berada dalam lingkup penyediaan layanan kepada Pelanggan. Jika berlaku, masing-masing Pihak harus memberi tahu pihak lain jika membuat keputusan bahwa mereka tidak dapat lagi memenuhi kewajibannya berdasarkan Undang-Undang Privasi AS.​​ 
 

4. TRANSFER DATA INTERNASIONAL​​ 

4.1​​  Perlindungan yang tepat​​ . G-P berwenang, dalam kegiatan bisnis normal, untuk melakukan transfer Data Pelanggan di seluruh dunia ke afiliasi dan/atau Subpemrosesnya.  Saat melakukan transfer tersebut ke wilayah yang belum diakui oleh otoritas perlindungan data terkait sebagai memberikan tingkat perlindungan yang memadai untuk Data Pribadi sesuai dengan Undang-Undang Perlindungan Data, G-P harus memastikan perlindungan yang tepat untuk melindungi Data Pelanggan yang ditransfer berdasarkan atau sehubungan dengan Perjanjian Induk.​​ 
4.2​​  Kerangka Privasi Data.​​  Profesional​​  dan Data Pelanggan disimpan di GPP yang dihosting di U.S. G-P disertifikasi di bawah UE-U.S. Data Privacy Framework (EU-U.S. DPF) dan, sebagaimana berlaku, Perpanjangan Inggris untuk UE-U.S. DPF, dan Swiss-A.S. Kerangka Kerja Privasi Data (Swiss-AS DPF). Sertifikasi G-P dapat dikonfirmasi secara publik di situs web DPF​​   . Kerangka Privasi Data UE-AS dianggap memadai oleh Komisi Eropa, sebagai mekanisme transfer data yang sah sesuai dengan Pasal 45 Peraturan Pelindungan Data Umum, Peraturan Pelindungan Data Umum, dan FADP, masing-masing. Jika Kerangka Kerja DPF dibatalkan, ditangguhkan, atau tidak lagi diakui sebagai memberikan perlindungan yang memadai untuk transfer data internasional, Pemroses setuju untuk masuk ke dalam dan mematuhi SCC yang dikeluarkan atau disetujui oleh Komisi Eropa, Kantor Komisaris Informasi Inggris (ICO), atau Komisaris Perlindungan Data dan Informasi Federal Swiss (FDPIC), sebagaimana berlaku. Para Pihak harus bekerja sama dengan itikad baik untuk menerapkan langkah-langkah tambahan yang diperlukan untuk memastikan tingkat perlindungan yang pada dasarnya setara untuk data yang ditransfer.​​ 
4.3​​  Klausul Kontrak Standar.​​  Para Pihak setuju bahwa ketika transfer data pribadi dari Pelanggan (sebagai "pengekspor data") ke G-P (sebagai "pengimpor data") adalah Transfer Terbatas dan Undang-Undang Perlindungan Data yang berlaku mengharuskan perlindungan yang sesuai diberlakukan, transfer tersebut harus tunduk pada Klausul Kontrak Standar yang sesuai, yang akan dianggap dimasukkan ke dalam dan menjadi bagian dari DPA ini, sebagai berikut:​​ 
a. Sehubungan dengan transfer Data Pribadi yang dilindungi oleh Peraturan Pelindungan Data Umum, SCC UE akan berlaku, dilengkapi sebagai berikut:​​ 
i. Modul Satu dan Dua berlaku;​​ 
ii. dalam Klausul 7, klausul docking opsional akan berlaku;​​ 
iii. dalam Klausul 9 Modul Dua, Opsi 2 akan berlaku, dan jangka waktu untuk pemberitahuan sebelumnya tentang perubahan Sub-pemroses adalah sebagaimana ditetapkan dalam bagian 3.5 DPA ini;​​ 
iv. dalam Klausul 11, bahasa opsional tidak akan berlaku;​​ 
v. dalam Klausul 12, setiap klaim yang diajukan di bawah SCC UE harus tunduk pada syarat dan ketentuan yang ditetapkan dalam Perjanjian Utama;​​ 
vi. dalam Klausul 17, Opsi 1 akan berlaku, dan SCC UE akan diatur oleh hukum Irlandia;​​ 
vii. dalam Klausul 18(b), perselisihan harus diselesaikan di hadapan pengadilan Irlandia;​​ 
viii. Lampiran I SCC UE dianggap lengkap dengan informasi yang ditetapkan dalam Lampiran 1 DPA ini; dan​​ 
ix. Lampiran II SCC UE dianggap lengkap dengan informasi yang ditetapkan dalam Lampiran 2 DPA ini;​​ 
x. Lampiran III Modul Dua SCC UE akan dianggap lengkap dengan informasi yang ditetapkan dalam Lampiran 3 DPA ini.​​ 
b. Sehubungan dengan transfer data pribadi yang dilindungi oleh Undang-Undang Perlindungan Data Inggris atau Undang-Undang Perlindungan Data Swiss, SCC UE sebagaimana diterapkan berdasarkan sub-paragraf (a) di atas akan berlaku dengan modifikasi berikut:​​ 
i. referensi ke "Peraturan (UE) 2016/679" akan ditafsirkan sebagai referensi ke Undang-Undang Perlindungan Data Inggris atau Undang-Undang Perlindungan Data Swiss (sebagaimana berlaku);​​ 
ii. referensi ke Artikel tertentu dari Peraturan " (UE) 2016/679" akan diganti dengan artikel atau bagian yang setara dari Undang-Undang Perlindungan Data Inggris atau Undang-Undang Perlindungan Data Swiss (sebagaimana berlaku);​​ 
iii. referensi ke "UE", "Uni", "Negara Anggota" dan "Hukum Negara Anggota" akan diganti dengan referensi ke "Inggris" atau "Swiss", atau "Hukum Inggris" atau "Hukum Swiss" (sebagaimana berlaku);​​ 
iv. istilah "negara anggota" tidak boleh ditafsirkan sedemikian rupa sehingga mengecualikan subjek data di Inggris atau Swiss dari kemungkinan menuntut hak-hak mereka di tempat kependudukan kebiasaan mereka (yaitu, Inggris atau Swiss);​​ 
v. Klausul 13(a) dan Bagian C Lampiran I tidak digunakan dan "otoritas pengawas yang kompeten" adalah Komisaris Informasi Inggris Raya atau Komisaris Informasi Perlindungan Data Federal Swiss (sebagaimana berlaku);​​ 
vi. referensi ke "otoritas pengawas yang kompeten" dan "pengadilan yang kompeten" akan diganti dengan referensi ke "Komisaris Informasi" dan "pengadilan Inggris dan Wales" atau "Komisaris Informasi Perlindungan Data Federal Swiss" dan "pengadilan Swiss yang berlaku" (sebagaimana berlaku);​​ 
vii. dalam Klausul 17, Klausul Kontrak Standar akan diatur oleh hukum Inggris dan Wales atau Swiss (sebagaimana berlaku); dan​​ 
viii. sehubungan dengan transfer yang berlaku Undang-Undang Perlindungan Data Inggris, Klausul 18 akan diubah menjadi negara " Setiap sengketa yang timbul dari Klausul ini akan diselesaikan oleh pengadilan Inggris dan Wales. Subjek data dapat mengajukan proses hukum terhadap pengekspor data dan/atau pengimpor data di pengadilan negara mana pun di Inggris. Para Pihak setuju untuk tunduk pada yurisdiksi pengadilan " tersebut, dan sehubungan dengan transfer yang berlaku Undang-Undang Perlindungan Data Swiss, Klausul 18(b) menyatakan bahwa perselisihan harus diselesaikan di hadapan pengadilan Swiss yang berlaku.​​ 
ix. Sehubungan dengan data yang dilindungi oleh Peraturan Pelindungan Data Umum Inggris, SCC UE akan berlaku sebagai berikut: (i) berlaku sebagaimana telah diisi sesuai dengan paragraf (i) hingga (viii) di atas; dan (ii) dianggap diubah sebagaimana ditentukan oleh Bagian 2 dari Adendum Inggris, yang akan dianggap dimasukkan ke dalam dan membentuk bagian integral dari DPA ini. Selain itu, tabel 1 hingga 3 di Bagian 1 Adendum Inggris harus dilengkapi masing-masing dengan informasi yang ditetapkan dalam Lampiran I dan Lampiran II DPA ini dan tabel 4 di Bagian 1 Adendum Inggris akan dianggap lengkap dengan memilih "tidak ada pihak".​​ 
c. Sehubungan dengan transfer data pribadi yang dilindungi oleh LGPD Brasil, baik secara langsung atau melalui transfer selanjutnya, ke negara di luar Brasil yang tidak tunduk pada keputusan kecukupan yang dikeluarkan oleh ANPD, SCC Brasil akan dianggap masuk, dan dimasukkan ke dalam DPA ini dengan referensi ini, dan dilengkapi sebagai berikut:​​ 
i. Klausul 2 SCC Brasil dipenuhi oleh informasi yang ditetapkan dalam Lampiran I, yang menjelaskan transfer data;​​ 
ii. Dalam Klausul 3 SCC Brasil, Opsi B akan berlaku, dengan transfer selanjutnya diizinkan sesuai dengan Bagian 3.5 ("Subpemroses") dari DPA ini. Pokok bahasan, sifat, dan durasi pemrosesan ditetapkan pada Lampiran I DPA ini;​​ 
iii. Klausul 4 SCC Brasil dipenuhi oleh informasi yang ditetapkan dalam Lampiran I DPA ini. Jika G-P adalah Pengontrol, itu akan menjadi "Pihak yang Ditunjuk", sebagaimana didefinisikan dalam SCC Brasil, dan untuk tujuan Klausul 14 (Transparansi), Klausul 15 (Hak Subjek Data), dan Klausul 16 (Pelaporan Insiden) dari SCC Brasil. Pelanggan tetap bertanggung jawab atas kepatuhan terhadap Klausul 14 (Transparansi), Klausul 15 (Hak Subjek Data), dan Klausul 16 Pelaporan Insiden) dari SCC Brasil untuk data pribadi apa pun yang mungkin menjadi Pengontrolnya;​​ 
iv. Dalam Klausul 9 SCC Brasil, klausul docking opsional tidak akan berlaku; dan​​ 
v. Bagian III (Tindakan Keamanan) SCC Brasil akan dianggap lengkap dengan informasi yang ditetapkan dalam Lampiran II DPA ini.​​ 
4.4​​  Transfer Data yang Tidak Terduga​​ . Jika, dalam proses penyediaan Layanan, salah satu Pihak mengidentifikasi bahwa transfer Data Pribadi terjadi atau kemungkinan akan terjadi yang belum ditangani oleh mekanisme yang ditetapkan dalam Bagian 4.1 hingga 4.3 DPA ini, Para Pihak harus segera memberi tahu satu sama lain dan akan bekerja sama dengan itikad baik untuk menerapkan, tanpa penundaan yang tidak semestinya, mekanisme transfer tambahan atau tindakan tambahan yang mungkin diperlukan berdasarkan Undang-Undang Perlindungan Data yang berlaku untuk memastikan keabsahan transfer tersebut. Tidak ada Pihak yang diwajibkan untuk melanjutkan pemindahan yang tidak terduga tersebut sampai mekanisme yang sesuai telah disepakati dan diberlakukan.​​ 
 

Lampiran I​​  

Deskripsi Pengolahan Data​​ 
DETAIL HUBUNGAN PENGONTROL INDEPENDEN - PENGONTROL​​ 
(Bagian ini berkaitan dengan rincian Data Pribadi yang dibagikan antara Para Pihak dalam kapasitas mereka sebagai Pengontrol)​​ 
Pesta​​ 
Eksportir Data: Entitas pelanggan yang melaksanakan Perjanjian Induk​​ 
Pengimpor Data: Globalization Partners LLC.​​ 
Rincian Kontak Pihak-pihak terkait​​ 
Rincian kontak sebagaimana tercantum dalam Perjanjian Induk.​​ 
Aktivitas yang Relevan dengan Data yang Ditransfer​​ 
Kegiatan yang terkait dengan Pemberi Kerja Layanan Catatan.​​ 
Peran​​ 
Pengekspor Data: Pengontrol.​​ 
Pengimpor Data: Pengontrol.​​ 
Kegiatan Pengolahan​​ 
Data Pribadi yang diproses/ditransfer dapat tunduk pada aktivitas Pemrosesan berikut: setiap operasi sehubungan dengan Data Pribadi terlepas dari cara dan prosedur yang diterapkan, khususnya pengumpulan, pengorganisasian, penyimpanan, penyimpanan, penggunaan, pengambilan, konsultasi, pengarsipan, transmisi, pemblokiran, penghapusan, atau penghancuran data, pengoperasian dan pemeliharaan sistem, kepatuhan, fungsi hukum dan audit.​​ 
Durasi Pemrosesan​​ 
Jangka waktu Perjanjian Utama dan secara berkelanjutan.​​ 
Sifat dan Tujuan Pemrosesan​​ 
Pelanggan dapat mentransfer Data Pelanggan ke G-P, yang sejauh mana ditentukan dan dikendalikan oleh Pelanggan atas kebijakannya sendiri. Tujuan Pemrosesan adalah untuk menyediakan Layanan Pemberi Kerja Catatan sesuai dengan Perjanjian Induk.​​ 
Kategori Subjek Data​​ 
Profesional.​​ 
Jenis Data Pribadi​​ 
Rincian kontak (yang mungkin termasuk nama, alamat, alamat email, telepon, faks, rincian kontak darurat, dan informasi zona waktu setempat terkait).​​ 
Rincian pekerjaan (yang dapat mencakup pendidikan, daftar riwayat hidup, jabatan, kelas, demografi, data lokasi, kewarganegaraan dan status kepatuhan ekspor, gaji, bonus).​​ 
Konten email subjek data.​​ 
Rincian layanan yang diberikan kepada atau untuk kepentingan subjek data.​​ 
Kategori Data Khusus (jika sesuai)​​  
N/A​​ 
Retensi​​ 
Data Pribadi akan disimpan setidaknya selama periode penyimpanan minimum yang diamanatkan secara hukum yang berlaku, yang konsisten dengan undang-undang pembatasan yang berlaku dan memenuhi praktik bisnis yang baik.​​ 
Otoritas Pengawas yang Kompeten​​ 
Otoritas pengawas yang kompeten harus ditentukan sesuai dengan Undang-Undang Perlindungan Data yang berlaku dan harus mencakup: Komisi Perlindungan Data Irlandia (untuk EU Peraturan Pelindungan Data Umum); Komisaris Perlindungan Data dan Informasi Federal Swiss / FDPIC (untuk FADP Swiss); Kantor Komisaris Informasi Inggris / ICO (untuk UK Peraturan Pelindungan Data Umum); dan Autoridade Nacional de Proteção de Dados / ANPD (untuk LGPD Brasil).​​ 
Transfer ke Subprosesor​​  
Untuk transfer ke prosesor, subjek, sifat, dan durasi pemrosesan sama dengan yang dijelaskan di atas.​​ 
Rincian kontak privasi G-P​​  
 
Kepada: Kantor Privasi Global.​​  
 
 
 
PENGONTROL - DETAIL HUBUNGAN PROSESOR​​ 
(Bagian ini berkaitan dengan rincian Data Pribadi yang sedang diproses oleh G-P atas nama Pelanggan)​​ 
Pesta​​ 
Eksportir Data: Entitas pelanggan yang melaksanakan Perjanjian Induk​​ 
Pengimpor Data: Globalization Partners LLC.​​ 
Rincian Kontak Pihak-pihak terkait​​ 
Rincian kontak sebagaimana tercantum dalam Perjanjian Induk.​​ 
Aktivitas yang Relevan dengan Data yang Ditransfer​​ 
Aktivitas yang berkaitan dengan Layanan Pemberi Kerja Tercatat dan penggunaan GPP yang diberikan kepada Pelanggan sebagai layanan.​​ 
Peran​​ 
Pengekspor Data: Pengendali​​ 
Pengimpor Data: Pemroses​​ 
Kegiatan Pengolahan​​ 
Data Pribadi yang diproses/ditransfer dapat menjadi subjek aktivitas pemrosesan berikut: setiap operasi terkait Data Pribadi terlepas dari cara dan prosedur yang diterapkan, khususnya pengumpulan, pengorganisasian, penyimpanan, penguasaan, penggunaan, pengambilan, konsultasi, pengarsipan, transmisi, pemblokiran, penghapusan, atau penghancuran data, pengoperasian dan pemeliharaan sistem, kepatuhan, fungsi hukum dan audit.​​ 
Durasi Pemrosesan​​ 
Jangka waktu Perjanjian Utama dan secara berkelanjutan.​​ 
Sifat dan Tujuan Pemrosesan​​ 
Pelanggan dapat mentransfer Data Pelanggan ke G-P, yang sejauh mana ditentukan dan dikendalikan oleh Pelanggan atas kebijakannya sendiri. Tujuan pemrosesan adalah untuk memberikan GPP sebagai Layanan kepada Pelanggan sesuai dengan Perjanjian Utama.​​ 
Kategori Subjek Data​​ 
Pengguna Resmi GPP yang mungkin termasuk karyawan dan/atau kontraktor Nasabah.​​ 
Jenis Data Pribadi​​ 
Rincian kontak (seperti nomor telepon dan email).​​ 
Data karyawan/kontraktor (seperti jabatan dan nama perusahaan).​​ 
Data penggunaan (seperti data tentang perangkat Pengguna Resmi dan bagaimana perangkat tersebut berinteraksi dengan GPP).​​ 
Data lokasi (seperti lokasi yang berasal dari alamat IP).​​ 
Data konten (seperti konten file Pelanggan mengenai Profesional dan komunikasi terkait).​​ 
Kredensial (seperti kata sandi, petunjuk kata sandi, dan informasi keamanan serupa yang digunakan untuk autentikasi dan akses akun ke GPP).​​ 
Setiap Data Pribadi yang diberikan oleh Pengguna Resmi.​​ 
Kategori Data Khusus (jika sesuai)​​  
N/A​​ 
Retensi​​ 
Data Pribadi akan disimpan setidaknya selama periode penyimpanan minimum yang diamanatkan secara hukum yang berlaku, yang konsisten dengan undang-undang pembatasan yang berlaku dan memenuhi praktik bisnis yang baik.​​ 
Otoritas Pengawas yang Kompeten​​ 
Otoritas pengawas yang kompeten harus ditentukan sesuai dengan Undang-Undang Perlindungan Data yang berlaku dan harus mencakup: Komisi Perlindungan Data Irlandia (untuk EU Peraturan Pelindungan Data Umum); Komisaris Perlindungan Data dan Informasi Federal Swiss / FDPIC (untuk FADP Swiss); Kantor Komisaris Informasi Inggris / ICO (untuk UK Peraturan Pelindungan Data Umum); dan Autoridade Nacional de Proteção de Dados / ANPD (untuk LGPD Brasil).​​ 
Transfer ke Subprosesor​​  
Untuk transfer ke prosesor, subjek, sifat, dan durasi pemrosesan sama dengan yang dijelaskan di atas.​​ 
Rincian kontak privasi G-P​​  
 
Kepada: Kantor Privasi Global.​​  
 

Lampiran II​​ 

Langkah-langkah Teknis dan Organisasi​​ 

G-P telah disertifikasi dan dibuktikan untuk mengonfirmasi kepatuhan terhadap standar SOC 2 dan ISO 27001 , oleh auditor independen. Sertifikasi semacam itu menunjukkan komitmen kami untuk mengamankan Data Pelanggan. Program keamanan G-P dirancang untuk:​​ 

Melindungi kerahasiaan, integritas, dan ketersediaan Data Pelanggan yang dimiliki G-P atau yang dapat diakses oleh G-P;​​ 

Melindungi dari ancaman atau bahaya yang diantisipasi terhadap kerahasiaan, integritas, dan ketersediaan Data Pelanggan;​​ 

Melindungi dari akses, penggunaan, pengungkapan, pengubahan, atau penghancuran Data Pelanggan yang tidak sah atau melanggar hukum;​​ 

Melindungi dari kehilangan atau kerusakan yang tidak disengaja, atau kerusakan pada Data Pelanggan; dan​​ 

Informasi perlindungan sebagaimana diatur dalam peraturan apa pun yang mengatur G-P .​​ 

Berikut ini menjelaskan fungsi, proses, kontrol, sistem, prosedur, dan langkah-langkah yang telah diambil G-P untuk memastikan keamanan Pemrosesan Data Pelanggan:​​ 

1) LANGKA H-LANGKAH TEKNIS UNTUK MEMASTIKAN PRIVASI DAN PERLINDUNGAN DATA​​ 

Privasi berdasarkan Desain dan Default:​​ 

G-P mempertimbangkan persyaratan Pasal 25 Peraturan Pelindungan Data Umum dalam tahap konsepsi dan pengembangan pengembangan produk. Proses dan fungsionalitas diatur sedemikian rupa sehingga prinsip-prinsip perlindungan data seperti legalitas, transparansi, batasan tujuan, minimalisasi data, dll. serta keamanan pemrosesan dipertimbangkan pada tahap awal.​​ 

b) Enkripsi Data Pribadi:​​ 

Memastikan bahwa data pribadi hanya disimpan dalam sistem dengan cara yang tidak memungkinkan pihak ketiga untuk mengidentifikasi subjek data.​​ 

Enkripsi database dan penyimpanan:​​ 

Pada semua database yang digunakan oleh G-P enkripsi "diam" sesuai dengan keadaan seni digunakan sehingga data dari database hanya dapat dibaca setelah otentikasi yang tepat pada sistem database masing-masing.​​ 

Enkripsi media data seluler:​​ 

Penggunaan operator data seluler untuk menyimpan data Pelanggan tidak diizinkan.​​ 

Enkripsi pembawa data pada laptop:​​ 

Enkripsi hard disk canggih yang sesuai diinstal pada laptop semua karyawan.​​ 

Pertukaran informasi dan file terenkripsi:​​ 

Pada prinsipnya, pertukaran informasi dan file langsung dienkripsi melalui lamaran kerja khusus. Jika data pribadi atau informasi rahasia harus ditransfer ke server yang tidak dapat dikirim melalui unggahan HTTPS terenkripsi TLS, ini akan ditransfer menggunakan Secure File Transfer Protocol (SFTP), layanan amplop terenkripsi atau mekanisme terenkripsi lainnya sesuai dengan keadaan Terkenal.​​ 

Enkripsi Email:​​ 

Pada prinsipnya, semua email yang dikirim oleh karyawan G-P dienkripsi dengan TLS. Pengecualian mungkin jika server email penerima tidak mendukung TLS. Pelanggan harus memastikan bahwa server email terkait yang digunakan dalam lingkup pesanan mendukung enkripsi TLS​​ 

c) Kontrol Penerimaan​​ 

Kontrol penerimaan dimaksudkan dan diberlakukan untuk mencegah penggunaan dan pemrosesan data yang dilindungi oleh undang-undang perlindungan data oleh orang yang tidak berwenang.​​ 

Penggunaan metode otentikasi​​ 

Akses ke data pribadi selalu melalui protokol terenkripsi: SSH, SSL/TLS, HTTPS atau protokol yang sebanding. Prosedur otentikasi untuk sistem TI: autentikasi multifaktor log-in ke sistem TI.​​ 

Pemblokiran otomatis jika tidak aktif​​ 

Laptop yang digunakan oleh karyawan G-P dikunci dengan perlindungan kata sandi atau PIN saat tidak digunakan oleh pengguna. Selain itu, kunci layar otomatis dengan perlindungan kata sandi diatur setelah 15 menit tidak aktif.​​ 

Penggunaan perangkat lunak anti-virus​​ 

Laptop yang digunakan oleh karyawan G-P dilengkapi dengan perangkat lunak anti-virus canggih yang selalu diperbarui pada semua sistem TI operasional atau bisnis. Pada prinsipnya, tidak ada komputer yang dapat dioperasikan tanpa perlindungan virus penduduk kecuali langkah-langkah keamanan canggih lainnya yang setara telah diambil atau tidak ada risiko. Pengaturan keamanan default tidak boleh dinonaktifkan atau dihindari.​​ 

" Kebijakan Meja Bersih "​​ 

Karyawan G-P diinstruksikan untuk tidak mencetak atau menyimpan data pribadi subjek data secara lokal, untuk tidak meninggalkan bahan kerja di lokasi di mana mereka dapat dilihat oleh pihak ketiga, dan untuk menyimpan semua bahan kerja dengan benar. Dokumen yang G-P wajib disimpan oleh hukum disimpan dalam bentuk cetak disimpan dalam lemari terkunci.​​ 

d) Kontrol Akses Dalam Platform​​ 

Kontrol akses memastikan bahwa orang yang berwenang untuk menggunakan sistem pemrosesan hanya memiliki akses ke data pribadi yang dicakup oleh otorisasi akses mereka.​​ 

Peran dan Wewenang​​ 

Platform Peran dan Otorisasi – Akses Pelanggan Pengguna pelanggan dapat melihat dan mengedit informasi akun pelanggan.​​ 

Platform Peran dan Otorisasi – Pengguna Professional Access Professional dapat melihat dan mengedit informasi profesional mereka sendiri.​​ 

Profesional juga dapat memperoleh peran akses Pelanggan berdasarkan persyaratan+persetujuan​​ 

Platform Peran dan Otorisasi – Akses Internal​​ 

Pengguna akses internal memiliki peran yang bervariasi. Mereka memiliki akses bervariasi untuk membuat, melihat, mengedit, dan menyetujui hal-hal berikut:​​ 

Informasi pelanggan​​ 

Informasi penagihan​​ 

Informasi mitra​​ 

Informasi catatan personel profesional​​ 

Akses ke sistem admin umumnya dibatasi untuk karyawan terlatih di bidang dukungan pelanggan dan pengembangan produk.​​ 

e) Firewall sebagai Layanan​​ 

G-P menggunakan firewall eksternal sebagai layanan yang memungkinkannya memberikan atau memblokir akses ke situs web untuk memastikan sistem tidak dapat mengakses konten berbahaya dan untuk membatasi akses ke konten yang tidak pantas.​​ 

f) Catatan Login ke Platform​​ 

G-P menyimpan catatan semua aktivitas login.​​ 

g) Pemisahan​​ 

Memastikan bahwa data pribadi yang dikumpulkan untuk tujuan yang berbeda dapat diproses secara terpisah dan dipisahkan dari data dan sistem lain sedemikian rupa sehingga penggunaan data ini yang tidak direncanakan untuk tujuan lain dikecualikan.​​ 

Pemisahan lingkungan pengembangan, pengujian dan operasi​​ 

Data dari lingkungan operasi hanya dapat ditransfer ke lingkungan pengujian atau pengembangan jika telah dibuat anonim sepenuhnya sebelum transfer. Transfer data anonim harus dienkripsi atau melalui jaringan yang dapat dipercaya.​​ 

Perangkat lunak yang akan ditransfer ke lingkungan operasi harus terlebih dahulu diuji dalam lingkungan pengujian yang identik (" staging "). Program untuk analisis kesalahan atau pembuatan/kompilasi perangkat lunak hanya dapat digunakan di lingkungan operasi jika ini tidak dapat dihindari. Ini terutama terjadi jika situasi kesalahan bergantung pada data yang akan dipalsukan karena persyaratan untuk anonimisasi saat mentransfer ke lingkungan pengujian.​​ 

Pemisahan dalam jaringan​​ 

G-P memisahkan jaringannya sesuai dengan tugas. Jaringan berikut digunakan secara permanen: lingkungan operasi ("Produksi"), lingkungan pengujian ("Pementasan", "Sandbox"), lingkungan pengembangan ("Dev") staf TI kantor. Selain jaringan ini, jaringan terpisah lebih lanjut dibuat sesuai kebutuhan, misalnya, untuk uji pemulihan dan uji penetrasi. Tergantung pada kemungkinan teknis, jaringan dipisahkan baik secara fisik atau melalui jaringan virtual.​​ 

h) Kontrol ketersediaan​​ 

G-P mengambil langkah-langkah berikut untuk memastikan bahwa data pribadi dilindungi dari kehancuran atau kehilangan yang tidak disengaja.​​ 

Prosedur/pencadangan perlindungan data​​ 

Untuk memastikan ketersediaan yang memadai, G-P mengimplementasikan snapshot harian databasenya dengan replikasi ke wilayah yang berbeda. Langkah-langkah juga diambil untuk memastikan karyawan dengan kebutuhan berbasis pekerjaan untuk meninjau data hanya diberikan akses ke himpunan data replika.​​ 

Geo-redundansi sehubungan dengan infrastruktur server untuk data produktif dan cadangan​​ 

Manajemen insiden TI (" Manajemen Respon Insiden ")​​ 

Ada konsep dan prosedur terdokumentasi untuk menangani insiden dan peristiwa yang relevan dengan keselamatan. Ini termasuk perencanaan dan persiapan tanggapan terhadap insiden, prosedur untuk memantau, mendeteksi dan menganalisis peristiwa yang relevan dengan keamanan dan definisi tanggung jawab yang sesuai dan saluran pelaporan jika terjadi pelanggaran perlindungan data pribadi dalam kerangka persyaratan hukum.​​ 

2) LANGKA H-LANGKAH ORGANISASI UNTUK MEMASTIKAN PRIVASI DAN PERLINDUNGAN DATA​​ 

G-P telah menerapkan langkah-langkah organisasi berikut untuk memastikan organisasi beroperasi dengan cara yang memenuhi persyaratan privasi data dan perlindungan.​​ 

a) Instruksi Organisasi​​ 

G-P telah mengembangkan dan sedang mengembangkan program tata kelola data termasuk kebijakan, prosedur, dan pedoman untuk diikuti karyawan. Dokumentasi mencakup cara mengidentifikasi dan mengelola masalah privasi data, praktik terbaik untuk memastikan kepatuhan privasi, dan kebijakan untuk mengatasi insiden privasi.​​ 

b) Komitmen terhadap kerahasiaan dan perlindungan data​​ 

G-P telah mengembangkan dan sedang mengembangkan program tata kelola data termasuk kebijakan, prosedur, dan pedoman untuk diikuti karyawan. Semua karyawan dan kontraktor terikat secara tertulis pada kerahasiaan dan perlindungan data serta undang-undang terkait lainnya. Semua karyawan menerima pelatihan privasi & keamanan. Audit internal tentang perlindungan data dan keamanan informasi dilakukan secara berkala. Audit dilakukan berdasarkan kriteria/skema pengujian umum. Karyawan dan kontraktor G-P diinstruksikan untuk memproses data pribadi hanya untuk alasan yang sah, sesuai dengan kontrak yang berlaku dengan Pelanggan dan profesional, dengan pertimbangan atas persetujuan tegas yang diberikan atau ditahan oleh subjek data, dan sesuai dengan kewajiban organisasi yang sah.​​ 

c) Pelatihan perlindungan data​​ 

Semua karyawan menerima pelatihan privasi & keamanan yang tetap tersedia untuk ditinjau kapan saja di platform pelatihan G-P.​​ 

d) Kontrol Akses Fisik​​ 

G-P memiliki kontrol fisik berikut untuk menolak akses orang yang tidak berwenang ke peralatan sistem TI yang digunakan untuk pemrosesan.​​ 

Perlindungan pintu elektronik​​ 

Pintu masuk ke lokasi kantor G-P selalu terkunci dan diamankan secara elektronik. Pintu dibuka melalui transponder elektronik pribadi.​​ 

Distribusi kunci yang terkontrol​​ 

Alokasi kunci terpusat dan terdokumentasi kepada karyawan G-P terjadi. Transponder/kunci elektronik ini dapat dinonaktifkan secara terpusat oleh setiap manajer kantor atau departemen Sumber Daya Manusia.​​ 

Pengawasan dan pendampingan orang eksternal​​ 

Penyedia layanan eksternal dan pihak ketiga lainnya hanya dapat diberikan akses ke tempat tersebut melalui otorisasi sebelumnya atau jika didampingi oleh karyawan G-P. G-P menerapkan Kebijakan Pengunjung tertulisnya ketika pengunjung diundang ke tempat tersebut.​​ 

Mengamankan tempat dengan meningkatnya kebutuhan akan perlindungan​​ 

Tempat atau lemari dengan persyaratan perlindungan yang meningkat, seperti kantor hukum dan lokasi Operasi tertentu, dilengkapi dengan lemari dan laci pengunci. Lemari dan laci tempat dokumen hukum, kontrak, dan dokumentasi rahasia disimpan harus dikunci setiap saat kecuali saat digunakan.​​ 

Pintu dan jendela tertutup​​ 

Karyawan diinstruksikan secara organisasi untuk menjaga jendela dan pintu tetap tertutup atau terkunci di luar jam kantor.​​ 

e) Pem ulihan​​ 

G-P memastikan bahwa sistem yang digunakan dapat dipulihkan jika terjadi kegagalan fisik atau teknis.​​ 

Tes reguler pemulihan data (" Restore-Tests ")​​ 

Tes pemulihan penuh reguler dilakukan untuk memastikan pemulihan jika terjadi keadaan darurat/bencana.​​ 

Rencana darurat (" Konsep Pemulihan Bencana ")​​ 

Ada konsep untuk penanganan keadaan darurat/bencana dan rencana darurat yang sesuai. G-P memastikan pemulihan semua sistem berdasarkan pencadangan / pencadangan data, biasanya dalam waktu 48 jam.​​ 

Tindakan tinjauan dan evaluasi​​ 

Presentasi prosedur untuk tinjauan rutin, penilaian dan evaluasi efektivitas langkah-langkah teknis dan organisasi.​​ 

f) Tim Privasi​​ 

Organisasi ini memiliki Kantor Privasi Data Global yang bertugas untuk merencanakan, menerapkan, mengevaluasi, dan mengadaptasi langkah-langkah di bidang perlindungan data.​​ 

g) Manajemen Risiko​​ 

Ada proses untuk menganalisis, mengevaluasi, dan mengalokasikan risiko dan untuk menurunkan langkah-langkah berdasarkan risiko ini.​​ 

3) TIN JAUAN INDEPENDEN KEAMANAN INFORMASI​​ 

Kinerja audit​​ 

Audit internal tentang perlindungan data dan keamanan informasi dilakukan secara berkala. Audit dilakukan berdasarkan kriteria/skema pengujian umum.​​ 

b) Tinjauan kepatuhan terhadap kebijakan dan standar keamanan​​ 

Kepatuhan terhadap pedoman keamanan, standar, dan persyaratan keamanan lainnya yang berlaku untuk pemrosesan data pribadi diperiksa secara berkala. Jika memungkinkan, pemeriksaan ini dilakukan secara acak dan tidak terduga.​​ 

c) Verifikasi kepatuhan terhadap spesifikasi teknis​​ 

Pemindaian kerentanan otomatis dan manual secara teratur dilakukan oleh departemen TI atau personel berkualifikasi lainnya untuk memverifikasi keamanan aplikasi dan infrastruktur, serta pengembangan produk secara teratur. Tes penetrasi terperinci dilakukan oleh penyedia layanan eksternal untuk secara khusus memeriksa aplikasi dan infrastruktur untuk kerentanan.​​ 

d) Pem rosesan berdasarkan instruksi​​ 

Karyawan G-P diinstruksikan untuk memproses data pribadi hanya untuk alasan yang sah, sesuai dengan kontrak yang berlaku dengan Pelanggan dan profesional, dengan pertimbangan yang tepat atas persetujuan tegas yang diberikan atau ditahan oleh subjek data, dan sesuai dengan kewajiban hukum organisasi.​​ 

e) Pemilihan pemasok yang cermat​​ 

G-P mematuhi Proses Prakualifikasi Pemasok saat memilih vendor dan pemasok yang mungkin menemukan data yang dilindungi. Proses ini mencakup umpan balik dari Departemen Keuangan dan Hukum/Privasi dan menggabungkan penilaian risiko, prakualifikasi keamanan, dan langkah-langkah sertifikasi dokumentasi. Pemasok yang akan memproses data yang dilindungi akan diminta untuk menunjukkan kepatuhan mereka terhadap undang-undang data privasi yang berlaku, termasuk Pasal 28 Peraturan Pelindungan Data Umum untuk data yang tercakup​​ 

Lampiran III​​ 

Daftar Subprosesor​​ 
Subprosesor​​ 
Informasi Lokasi dan Kontak​​ 
Deskripsi Pemrosesan​​ 
3933 Lake Washington Blvd NE #350, Kirkland, WA 98033, USA​​ 
Jasa Keuangan​​ 
P.O. Kotak 81226​​ 
Seattle, WA 98108-1226, AS​​ 
Hosting - Penyedia Layanan Cloud​​ 
Microsoft Corporation Satu Cara Microsoft​​ 
Redmond, Washington 98052 USA Telepon: (+1) 425-882-8080.​​ 
Dukungan Proses Bisnis untuk komunikasi (email) dan manajemen layanan​​ 
350 Lantai Jalan Semak 13​​ 
San Francisco, CA 94104, AS​​ 
+1 415 701 1110​​ 
Dukungan Proses Bisnis untuk manajemen layanan​​ 
DocuSign International (EMEA (Eropa, Timur Tengah, dan Afrika)) Ltd, Perhatian: Tim Privasi, 5 Hanover Quay, Ground Floor, Dublin 2, Republik Irlandia​​ 
Manajemen Dokumen​​ 
Salesforce Tower, 415 Mission Street, 3rd Floor, San Francisco, CA 94105, USA​​ 
1-800-387-3285​​ 
Dukungan Proses Bisnis untuk manajemen Hubungan Pelanggan (CRM)​​ 
989 Market St​​ 
San Francisco, CA 94103, AS​​ 
888-670-4887​​ 
Pertanyaan helpdesk untuk dukungan Pelanggan​​ 
2225 Lawson Lane Santa Clara, CA , 95054​​ 
AMERIKA SERIKAT​​ 
Dukungan Proses Bisnis untuk layanan IT dan manajemen operasional, karyawan dan pengalaman Pelanggan melalui (​​ alur kerja berbasis cloud otomatis)​​ 
160 Spear Street, lantai 15San Francisco, CA 94105 1-866-330-0121​​ 
AMERIKA SERIKAT​​ 
Infrastruktur gudang data cloud.​​ 
620 8th​​  Ave 45​​ th​​  Lantai​​ 
New York, NY 10018​​ 
AMERIKA SERIKAT​​ 
Alat pemantauan dan debugging layanan​​ 
Avenue Louise 54, Kamar s52,​​ 
1050 Brussels​​ 
Belgia​​ 
Pemroses pembayaran online​​ 
1600 Amphitheatre Pkwy, Mountain View, CA 94043​​ 
Dukungan Proses Bisnis untuk komunikasi (email) dan penyimpanan dokumen internal​​