Il presente Addendum sulla protezione dei dati (“Addendum”) integra i termini e le condizioni dell’Accordo quadro ed è ivi incorporato. In caso di conflitto tra il presente Addendum e qualsiasi altro accordo tra le parti sulle questioni quivi stabilite, prevarrà il presente Addendum.
ADDENDUM SULLA PROTEZIONE DEI DATI
1. DEFINIZIONI
1.1. I termini non definiti nel presente documento hanno il significato stabilito nel Contratto quadro di servizi. Le seguenti parole nel presente Addendum hanno i seguenti significati:
1.2. “Utente Autorizzato” indica un individuo autorizzato dal Cliente che può includere uno o un dipendente e/o appaltatore del Cliente, ad accedere e utilizzare la Piattaforma per conto del Cliente, ai sensi dell’esecuzione del Contratto Quadro.
1.3. “CCPA” indica il California Consumer Privacy Act.
1.4. Per “Dati del Cliente” si intendono tutti i Dati personali o le Informazioni personali relativi a qualsiasi Utente autorizzato o persona fisica identificabile che vengono trasferiti, trattati o archiviati da Globalization Partners per conto del Cliente per l’uso della Piattaforma da parte del Cliente.
1.5. “Leggi sulla protezione dei dati” indica qualsiasi legge sulla protezione dei dati e sulla privacy a cui una parte del presente Accordo è soggetta e che è applicabile ai Servizi forniti, inclusi, ove applicabile, a titolo esemplificativo ma non esaustivo, il GDPR, il GDPR del Regno Unito, le leggi sulla privacy degli Stati Uniti (comprese le leggi statali e federali) e il Personal Data Protection Act di Singapore.
1.6. “GDPR” indica il Regolamento generale sulla protezione dei dati (UE) 2016/679 e/o il GDPR del Regno Unito.
1.7. “SEE” indica lo Spazio economico europeo.
1.8. “CCT UE” indica le Clausole contrattuali tipo per il trasferimento di Dati personali a Paesi terzi ai sensi del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio approvato dalla Decisione di esecuzione (UE) della Commissione europea 2021/914 del 4 giugno 2021.
1.9. “Servizi EOR” indica il datore di lavoro dei servizi di registrazione che Globalization Partners deve fornire al Cliente in conformità con l’Accordo quadro.
1.10. “Accordo quadro” indica l’accordo stipulato tra il Cliente e Globalization Partners per la fornitura dei Servizi EOR.
1.11. “Piattaforma” indica il software proprietario di Globalization Partners, incluso, a titolo esemplificativo ma non esaustivo, il software, la versione mobile, qualsiasi software in esso contenuto e qualsiasi dato reso disponibile attraverso l’uso del software proprietario di Globalization Partners o dei servizi di terze parti, inclusi i loro aggiornamenti, aggiornamenti, piattaforma come servizio, documentazione, una descrizione del quale è riportata all’indirizzo https://www.globalization-partners.com/employer-of-record-solutions/.
1.12. “Addendum del Regno Unito” indica l’addendum al trasferimento internazionale dei dati del Regno Unito alle Clausole contrattuali tipo dell’UE emesse dal Commissario per le informazioni del Regno Unito e qui accluse come Allegato IV.
1.13. “Titolare del trattamento” “Interessato”, “Dati personali”, “Informazioni personali”, “Violazione dei dati”, “Responsabile del trattamento”, “Trattamento/Trattamento”, “Trasferimento limitato”, “Fornitore di servizi” e/o qualsiasi altro termine e concetto simile avranno il significato definito nelle Leggi sulla protezione dei dati
2. RAPPORTO DI PARTI E RUOLI
2.1. Ruoli delle Parti e dettagli del trattamento. Globalization Partners tratterà i Dati personali come Titolare del trattamento indipendente quando Globalization Partners fornisce Servizi EOR. In nessun caso le Parti tratteranno i Dati personali ai sensi del presente Addendum in qualità di contitolari del trattamento. Laddove Globalization Partners operi come Titolare del trattamento indipendente, Globalization Partners rispetterà i propri obblighi di Titolare del trattamento ai sensi delle Leggi sulla protezione dei dati durante il trattamento dei Dati personali e tratterà i Dati personali come descritto nell’Informativa sulla privacy di Globalization Partners disponibile all’indirizzo https://www.globalization-partners.com/privacy-policy/. Il Cliente dovrà rispettare i propri obblighi ai sensi delle Leggi sulla protezione dei dati quando tratta i Dati personali in qualità di Titolare del trattamento. Nella misura in cui Globalization Partners agisce in qualità di Responsabile del trattamento durante il trattamento dei Dati del cliente, tale trattamento sarà effettuato in conformità alla Sezione 3 (“Trattamento dei Dati personali”) di seguito.
2.2. Responsabilità e riconoscimenti. Ciascuna Parte può trattare i Dati personali ai sensi del presente Addendum in relazione ai Dati personali in qualità di Titolari autonomi del trattamento dei dati. Le Parti convengono di rispettare i rispettivi obblighi e di trattare i Dati personali in modo equo e legale in conformità al presente Addendum e a tutte le Leggi sulla protezione dei dati applicabili alle operazioni di trattamento dei dati personali di tale Parte. Ciascuna Parte dovrà garantire che il suo Trattamento dei Dati personali sia limitato allo scopo dei Servizi EOR forniti da Globalization Partners e si basi su una base giuridica per il trattamento legale. Le Parti si assisteranno reciprocamente nell’adempimento dei rispettivi obblighi ai sensi delle Leggi sulla protezione dei dati, tra cui, a titolo esemplificativo ma non esaustivo, l’assistenza reciproca in caso di Violazione dei dati, rispondendo alle richieste degli Interessati e/o delle autorità di regolamentazione.
3. TRATTAMENTO DEI DATI PERSONALI
3.1. Ambito. L’uso della Piattaforma da parte del Cliente e il rapporto di gestione del Cliente possono comportare il trattamento dei Dati del Cliente da parte di Globalization Partners in qualità di Responsabile del trattamento o Fornitore di servizi per conto del Cliente.
3.2. Istruzioni. Globalization Partners tratterà i Dati del cliente in conformità con le istruzioni documentate del Cliente. Il Cliente accetta che il presente Addendum, l’Accordo quadro e l’Allegato I qui accluso comprendano le istruzioni complete del Cliente a Globalization Partners in merito al trattamento dei Dati del Cliente. Eventuali istruzioni aggiuntive o alternative devono essere concordate tra le parti per iscritto, compresi i costi (se presenti) associati al rispetto di tali istruzioni. Globalization Partners non è responsabile di determinare se le istruzioni del Cliente sono conformi alla legge applicabile. Tuttavia, se Globalization Partners ritiene che un’istruzione del Cliente violi le Leggi applicabili in materia di protezione dei dati, Globalization Partners informerà il Cliente non appena ragionevolmente possibile e non sarà tenuta a rispettare tali istruzioni in violazione.
3.3. Dettagli del trattamento. I dettagli dell’oggetto del Trattamento, la sua durata, natura e finalità, nonché il tipo di Dati del Cliente e di interessati sono specificati nell’Allegato I qui allegato.
3.4. Conformità. Il Cliente e Globalization Partners accettano di rispettare i rispettivi obblighi ai sensi delle Leggi sulla protezione dei dati applicabili ai Dati del Cliente che vengono trattati come specificato nell’Allegato I. Il Cliente ha la responsabilità esclusiva di rispettare le Leggi sulla protezione dei dati in merito alla legittimità del trattamento dei Dati del Cliente prima di divulgare, trasferire o altrimenti rendere disponibili a Globalization Partners i Dati del Cliente. A scanso di equivoci, in tutti i casi, il Cliente dovrà ottenere, ove richiesto, qualsiasi consenso da parte degli Interessati affinché Globalization Partners tratti i Dati del Cliente come indicato dal Cliente.
3.5. Sub-responsabili del trattamento. Il Cliente autorizza Globalization Partners a nominare e utilizzare i Responsabili del trattamento (“Sub-responsabili del trattamento”) per trattare i Dati del Cliente in relazione ai Servizi. I sub-responsabili del trattamento possono includere terze parti o qualsiasi membro del gruppo di società Globalization Partners. Globalization Partners può continuare a utilizzare quei Sub-responsabili del trattamento già incaricati da Globalization Partners alla data del presente Addendum, e un elenco di tali Sub-responsabili del trattamento è disponibile nell’Allegato III qui allegato. Laddove un Sub-responsabile del trattamento non adempia ai propri obblighi di protezione dei dati come specificato sopra, Globalization Partners sarà responsabile nei confronti del Cliente per l’adempimento degli obblighi del Sub-responsabile del trattamento. Globalization Partners informerà il Cliente di eventuali modifiche al suo elenco di Sub-responsabili del trattamento. Se, entro 10 (dieci) giorni dalla ricezione di tale notifica, il Cliente si oppone legittimamente all’aggiunta o alla rimozione di un Sub-responsabile del trattamento per motivi di protezione dei dati e Globalization Partners non può ragionevolmente soddisfare l’obiezione del Cliente, le parti discuteranno le preoccupazioni del Cliente in buona fede al fine di risolvere la questione.
3.6. Misure di sicurezza tecniche e organizzative. Tenendo conto degli standard del settore, i costi di implementazione, la natura, ambito, contesto e finalità del Trattamento, e qualsiasi altra circostanza rilevante relativa al Trattamento dei Dati del Cliente all’interno della Piattaforma, Globalization Partners implementerà misure di sicurezza tecniche e organizzative appropriate per garantire la sicurezza, riservatezza, integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento coinvolti nel Trattamento dei Dati del Cliente sono commisurate al rischio in relazione a tali Dati del Cliente. Globalization Partners verificherà e monitorerà periodicamente (i) l’efficacia delle sue misure di salvaguardia, controlli, sistemi e procedure e (ii) identificherà i rischi interni ed esterni ragionevolmente prevedibili per la sicurezza, la riservatezza e l’integrità dei Dati del Cliente, e garantirà che tali rischi siano affrontati.
3.7. Riservatezza. Globalization Partners deve garantire che le persone autorizzate ad accedere ai Dati del cliente (i) si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza e (ii) accedano ai Dati del cliente solo su istruzioni documentate di Globalization Partners, a meno che non sia richiesto dalla legge applicabile.
3.8. Violazione dei dati personali. Globalization Partners informerà il Cliente senza indebito ritardo dopo essere venuta a conoscenza di una Violazione dei dati in relazione al Trattamento dei Dati del Cliente e compirà ogni ragionevole sforzo per aiutare il Cliente a mitigare, ove possibile, gli effetti avversi di qualsiasi Violazione dei dati.
3.9. Trasferimenti internazionali . Globalization Partners è autorizzata, nel normale svolgimento dell’attività, a effettuare trasferimenti globali di Dati del cliente alle sue affiliate e/o ai suoi Sub-responsabili del trattamento. Quando si effettuano tali trasferimenti, Globalization Partners deve garantire che sia in atto un’adeguata protezione per salvaguardare i Dati del Cliente trasferiti ai sensi o in relazione all’Accordo quadro, come segue:
- 3.9.1. Laddove Globalization trasferisca i Dati dei clienti in Paesi al di fuori del SEE (che non sono soggetti a una decisione di adeguatezza ai sensi delle Leggi sulla privacy), Globalization Partners dovrà eseguire e rispettare i propri obblighi ai sensi delle SCC dell’UE, che sono incorporate nel presente Addendum mediante questo riferimento e completate come segue:
-
- Il modulo 2 (da titolare del trattamento a responsabile del trattamento) si applicherà laddove il Cliente sia un titolare del trattamento dei dati personali e Globalization Partners sia un responsabile del trattamento dei dati personali;
- nella Clausola 7, si applicherà la clausola aggiuntiva facoltativa;
- nella Clausola 9, l’opzione 2 si applicherà con 10 giorni;
- nella Clausola 11, la lingua facoltativa non si applicherà;
- nella Clausola 12, qualsiasi rivendicazione presentata ai sensi delle SCC UE sarà soggetta ai termini e alle condizioni stabiliti nell’Accordo;
- nella Clausola 17, si applicherà l’Opzione 1, le SCC UE saranno disciplinate dalla Legge irlandese;
- nella Clausola 18(b), le controversie saranno risolte dinanzi ai tribunali irlandesi;
- L’Allegato I delle SCC UE sarà considerato completato con le informazioni di cui all’Allegato I al presente Addendum;
- L’Allegato II delle SCC dell’UE sarà considerato completato con le informazioni di cui all’Allegato II al presente Addendum; e
- L’Allegato III delle SCC dell’UE sarà considerato completato con le informazioni di cui all’Allegato III al presente Addendum.
- 3.9.2. In relazione ai Dati del Cliente protetti dal GDPR del Regno Unito, le Parti sono legittimamente autorizzate a fare affidamento sulle SCC UE per i Trasferimenti limitati dal Regno Unito, soggetto all’Addendum del Regno Unito che è incorporato nel presente Addendum mediante questo riferimento e completato come definito nell’Allegato IV qui allegato. Se questa sezione non 3.9.2 si applica, Globalization Partners Exporting Company e il Cliente collaboreranno in buona fede per implementare garanzie appropriate per i trasferimenti di tali Dati personali come richiesto o consentito dal GDPR del Regno Unito senza indebito ritardo.
- 3.9.3. Nulla di quanto contenuto nelle interpretazioni della presente Sezione 3.9 è inteso in conflitto con i diritti o le responsabilità di una delle Parti ai sensi delle SCC UE e/o dell’Addendum del Regno Unito e, in caso di tale conflitto, prevarranno le SCC UE e/o l’Addendum del Regno Unito, a seconda dei casi.
3.10. Eliminazione dei Dati personali. Alla cessazione dei Servizi (per qualsiasi motivo) e se richiesto dal Cliente per iscritto, Globalization Partners restituirà o eliminerà, non appena ragionevolmente possibile, i Dati del Cliente archiviati nella Piattaforma, a meno che la legge applicabile non richieda la conservazione dei Dati del Cliente per un periodo più lungo. Per tale conservazione, le disposizioni del presente Addendum continueranno ad applicarsi a tali Dati del Cliente.
3.11. Richieste dell’Interessato. Globalization Partners informerà tempestivamente il Cliente di eventuali richieste degli Interessati in merito ai Dati del Cliente. Il Cliente è responsabile di rispondere a tali richieste. Globalization Partners aiuterà ragionevolmente il Cliente a rispondere a tali richieste dell’Interessato nella misura in cui il Cliente non sia in grado di accedere ai Dati del Cliente pertinenti nel suo utilizzo della Piattaforma.
3.12. Richieste di terze parti. Se Globalization Partners riceve richieste da terze parti o un’ordinanza di qualsiasi tribunale, autorità di regolamentazione o agenzia governativa con giurisdizione competente a cui Globalization Partners è soggetta in relazione al trattamento dei Dati del cliente ai sensi dell’Accordo, Globalization Partners reindirizzerà tempestivamente la richiesta al Cliente. Globalization Partners non risponderà a tali richieste senza la previa autorizzazione del Cliente, a meno che non sia legalmente obbligata a farlo. Globalization Partners, a meno che ciò non sia legalmente vietato, informerà il Cliente prima di effettuare qualsiasi divulgazione dei Dati del Cliente e collaborerà ragionevolmente con il Cliente per limitare l’ambito di tale divulgazione a ciò che è legalmente richiesto.
3.13. Valutazione dell’impatto sulla protezione dei dati e consultazione preventiva. Nella misura richiesta dalle Leggi sulla protezione dei dati, Globalization Partners fornirà ragionevole assistenza al Cliente per eseguire una valutazione dell’impatto sulla protezione dei dati in relazione al trattamento dei Dati del Cliente effettuato da Globalization Partners e/o qualsiasi consultazione (o consultazioni) preventiva richiesta con le autorità di controllo. Globalization Partners si riserva il diritto di addebitare al Cliente una tariffa ragionevole per la fornitura di tale assistenza.
3.14. Dimostrare conformità. Globalization Partners conduce regolarmente verifiche esterne sulla sicurezza, la disponibilità, l’integrità del trattamento, la riservatezza e i controlli sulla privacy dell’organizzazione e fornirà al Cliente una copia del report o della certificazione di verifica riepilogativa più recente su richiesta scritta. Se il Cliente preferisce condurre la propria verifica in aggiunta alle certificazioni o ai rapporti forniti da terzi, tale verifica dovrà essere condotta: i) non più di una volta per ciascun 12 (dodici) mese di periodo; ii) durante il normale orario di lavoro e senza interrompere l’attività quotidiana di Globalization Partners; iii) con preavviso scritto di trenta (30) giorni; iv) a spese esclusive del Cliente (incluso il tempo dedicato da Globalization Partner ad assistere il Cliente durante la verifica in base alla tariffa giornaliera di un responsabile della sicurezza); v) in base a parametri e ambito reciprocamente concordati, limitatamente all’ambito specifico dei servizi, sistemi in uso e/o attività di trattamento contemplate ed essere specifici per il requisito effettivo; vi) in base alla data concordata di comune accordo in anticipo, soggetto a ragionevole rinvio da parte del Cliente su ragionevole richiesta di Globalization Partners; e vii) in conformità a tutti gli obblighi e le restrizioni di riservatezza. Fermo restando quanto sopra, non viene concesso alcun diritto di revisione dopo la risoluzione del Contratto Quadro, ad eccezione degli obblighi legali che dovranno essere dimostrati dal Cliente. Qualsiasi rappresentante terzo selezionato per eseguire una verifica per conto del Cliente non deve avere un interesse di proprietà o un’affiliazione con un’agenzia di servizi EOR, un’organizzazione o un consulente correlato.
3.15. Nessuna vendita di informazioni. Globalization Partners non potrà derivare o esercitare alcun diritto o beneficio relativo ai Dati personali, salvo quanto previsto nel presente Addendum. A scanso di equivoci, Globalization Partners non conserverà, utilizzerà, condividerà o divulgherà i Dati del Cliente per scopi diversi dallo scopo specifico di fornire la Piattaforma al Cliente in conformità con l’Accordo quadro. Globalization Partners non venderà alcun Dato personale, come definito nel CCPA nel termine “vendita”. Globalization Partners dichiara e garantisce di comprendere le regole, i requisiti e le definizioni del CCPA e accetta di astenersi dall’intraprendere qualsiasi azione che potrebbe far sì che qualsiasi trasferimento di Dati personali da o verso Globalization Partners si qualifichi come “vendita di informazioni personali” ai sensi del CCPA.
Allegato I - Descrizione del trattamento dei dati
| Parti | Titolare del trattamento/Esportatore dei dati: Entità cliente che esegue il Master Agrement Processor/Importatore dei dati: Entità Globalization Partners che esegue l’Accordo quadro. |
| Dettagli di contatto delle parti | Dati di contatto del Cliente come stabilito nel Contratto Quadro. I dettagli di contatto di Globalization Partners come stabilito nell’Accordo quadro. |
| Attività rilevanti per i dati trasferiti | Attività relative alla Piattaforma fornita come servizio. |
| Attività di trattamento | Globalization Partners elaborerà i Dati del cliente nella sua fornitura della Piattaforma come servizio al Cliente. |
| Durata del trattamento | Globalization Partners elaborerà i dati dei clienti per la durata dell’Accordo quadro e su base continua. |
| Natura e finalità del trattamento | Il Cliente può trasferire i Dati del Cliente a Globalization Partners, la cui portata è determinata e controllata dal Cliente a sua esclusiva discrezione. Globalization Partners tratterà i Dati del cliente come necessario ai fini della fornitura della Piattaforma come servizio al Cliente in conformità con l’Accordo quadro. |
| Categorie di Interessati | I Dati del Cliente riguardano gli Utenti autorizzati della Piattaforma che possono includere i dipendenti e/o gli appaltatori del Cliente, oltre alle persone i cui Dati personali sono forniti dagli Utenti autorizzati della Piattaforma. |
| Tipi di dati personali | I Dati del Cliente trasferiti possono includere le seguenti categorie di dati:
|
| Categorie speciali di dati (se appropriato) | N/D |
| Fidelizzazione | I Dati del Cliente saranno conservati almeno fino a quando qualsiasi periodo minimo di conservazione legalmente richiesto applicabile, che sia coerente con le leggi di prescrizione applicabili e soddisfi le buone pratiche aziendali. |
| Autorità di vigilanza competente | La Commissione irlandese per la protezione dei dati |
| Trasferimenti ai Sub-responsabili del trattamento | Per i trasferimenti ai responsabili del trattamento, l’oggetto, la natura e la durata del trattamento sono gli stessi di quelli sopra definiti. |
| Informazioni di contatto sulla privacy di Globalization Partners | privacy@globalization-partners.com Attn: Ufficio globale per la privacy. |
Allegato II - Misure tecniche e organizzative
Globalization Partners è stata certificata e attestata per confermare la conformità agli 2 standard SOC da revisori indipendenti. I rapporti SOC (Service Organization Controls) dimostrano il nostro impegno a proteggere i dati dei clienti. Il programma di sicurezza di Globalization Partners è progettato per:
- Proteggere la riservatezza, l’integrità e la disponibilità dei Dati dei clienti in possesso di Globalization Partners o a cui Globalization Partners ha accesso;
- Proteggere da eventuali minacce o pericoli previsti per la riservatezza, l’integrità e la disponibilità dei Dati del Cliente;
- Proteggere da accesso, uso, divulgazione, alterazione o distruzione non autorizzati o illeciti dei Dati del Cliente;
- Proteggere da perdita accidentale, distruzione o danneggiamento dei Dati del Cliente; e
- Salvaguardare le informazioni come stabilito in qualsiasi normativa in base alla quale Globalization Partners può essere regolamentata.
Quanto segue descrive le funzioni, i processi, i controlli, i sistemi, le procedure e le misure che Globalization Partners ha adottato per garantire la sicurezza del trattamento dei dati dei clienti:
1) MISURE TECNICHE PER GARANTIRE LA PRIVACY E LA PROTEZIONE DEI DATI
a) Privacy by Design e impostazione predefinita:
Globalization Partners tiene conto dei requisiti dell’Articolo 25 GDPR nella fase di concepimento e sviluppo dello sviluppo del prodotto. I processi e le funzionalità sono impostati in modo tale che i principi di protezione dei dati come legalità, trasparenza, limitazione delle finalità, minimizzazione dei dati, ecc., nonché la sicurezza del trattamento siano considerati in una fase precoce.
b) Crittografia dei Dati personali:
Garantire che i dati personali siano conservati nel sistema solo in modo da non consentire a terzi di identificare l’interessato.
- Crittografia di database e archiviazione:
su tutti i database utilizzati da Globalization Partners viene utilizzata una crittografia “a riposo” secondo lo stato dell’arte in modo che i dati del database possano essere letti solo dopo un’adeguata autenticazione sul rispettivo sistema di database. - Crittografia dei supporti dati mobili:
non è consentito l'uso di supporti dati mobili per l'archiviazione dei dati dei clienti. - Crittografia dei supporti dati sui laptop:
la crittografia appropriata e all'avanguardia del disco rigido è installata su tutti i laptop dei dipendenti. - Scambio crittografato di informazioni e file:
in linea di principio, lo scambio di informazioni e file viene crittografato direttamente tramite un'applicazione speciale. Se i dati personali o le informazioni riservate devono essere trasferiti a server che non possono essere inviati tramite caricamenti HTTPS crittografati con TLS, questi saranno trasferiti utilizzando il Secure File Transfer Protocol (SFTP), il servizio di buste crittografate o un altro meccanismo crittografato secondo lo stato dell’Art. - Crittografia delle e-mail:
in linea di principio, tutte le e-mail inviate dai dipendenti di Globalization Partners sono crittografate con TLS. Eccezioni possono verificarsi se il server di posta ricevente non supporta TLS. Il Cliente dovrà garantire che i server di posta corrispondenti utilizzati nell’ambito della crittografia TLS di supporto dell’ordine
c) Controllo delle ammissioni
I controlli delle ammissioni sono intesi e messi in atto al fine di prevenire l’uso e il trattamento di dati protetti dalle leggi sulla protezione dei dati da parte di persone non autorizzate.
- Uso di metodi di autenticazione
L’accesso ai dati personali avviene sempre tramite protocolli crittografati: SSH, SSL/TLS, HTTPS o protocolli comparabili. Procedura di autenticazione per il sistema IT: accesso di autenticazione multifattore al sistema IT. - Blocco automatico in caso di inattività
dei computer portatili utilizzati dai dipendenti di Globalization Partners bloccati con password o protezione con PIN quando non utilizzati dall’utente. Inoltre, dopo 15 minuti di inattività viene impostato un blocco automatico dello schermo con protezione tramite password. - L’uso di computer portatili software antivirus
utilizzati dai dipendenti di Globalization Partners è dotato di un software antivirus all’avanguardia che viene mantenuto aggiornato su tutti i sistemi IT operativi o aziendali. In linea di principio, nessun computer può essere utilizzato senza protezione antivirus residente, a meno che non siano state adottate altre misure di sicurezza all’avanguardia equivalenti o non vi sia alcun rischio. Le impostazioni di sicurezza predefinite non devono essere disattivate o aggirate. - “Politica sulla scrivania pulita”
I dipendenti di Globalization Partners sono istruiti a non stampare o archiviare localmente i dati personali degli interessati, a non lasciare materiali di lavoro in un luogo in cui possano essere visualizzati da terze parti e a conservare correttamente tutti i materiali di lavoro. I documenti che Globalization Partners è tenuta per legge a conservare in formato cartaceo sono conservati in armadi chiusi a chiave.
d) Controlli degli accessi all’interno della piattaforma
I controlli di accesso garantiscono che le persone autorizzate a utilizzare un sistema di trattamento abbiano accesso solo ai dati personali coperti dalla loro autorizzazione di accesso.
- Ruoli e autorizzazione
- Piattaforma Ruoli e autorizzazione – Accesso cliente Gli utenti del cliente possono visualizzare e modificare le informazioni dell'account cliente.
- Piattaforma di ruoli e autorizzazioni: gli utenti Professional Access Professional possono visualizzare e modificare le proprie informazioni professionali.
I professionisti possono anche ottenere il ruolo di accesso del cliente su richiesta + approvazione - Ruoli e piattaforma di autorizzazione – Accesso interno
Gli utenti con accesso interno hanno ruoli diversi. Hanno accesso variegato per creare, visualizzare, modificare e approvare quanto segue:- Informazioni sul cliente
- Informazioni di fatturazione
- Informazioni sui partner
- Il personale professionale registra le informazioni
L’accesso al sistema di amministrazione è generalmente limitato ai dipendenti formati nelle aree dell’assistenza clienti e dello sviluppo dei prodotti.
e) Firewall as a Service
Globalization Partners utilizza un firewall esterno come servizio che gli consente di concedere o bloccare l’accesso ai siti web per assicurarsi che i sistemi non possano accedere a contenuti dannosi e limitare l’accesso a contenuti inappropriati.
f) Registrazione dell’accesso alla piattaforma
Globalization Partners mantiene un registro di tutte le attività di accesso.
g) Separabilità
Garantire che i dati personali raccolti per scopi diversi possano essere trattati separatamente e siano separati da altri dati e sistemi in modo tale da escludere l’uso non pianificato di tali dati per altri scopi.
- Separazione degli ambienti di sviluppo, test e operativi
I dati provenienti dall’ambiente operativo possono essere trasferiti agli ambienti di test o sviluppo solo se sono stati resi completamente anonimi prima del trasferimento. Il trasferimento dei dati resi anonimi deve essere crittografato o tramite una rete affidabile. - Separazione delle reti
Globalization Partners separa le proprie reti in base alle attività. Le seguenti reti vengono utilizzate in modo permanente: ambiente operativo (“Produzione”), ambiente di test (“Staging”, “Sandbox”), ambiente di sviluppo (“Dev”) personale IT dell’ufficio. Oltre a queste reti, vengono create ulteriori reti separate come richiesto, ad esempio per i test di ripristino e i test di penetrazione. A seconda delle possibilità tecniche, le reti sono separate fisicamente o per mezzo di reti virtuali.
h) Controllo della disponibilità
Globalization Partners adotta le seguenti misure per garantire che i dati personali siano protetti contro la distruzione o la perdita accidentale.
- Procedure/backup di protezione dei dati
Per garantire un’adeguata disponibilità, Globalization Partners implementa snapshot giornaliere del proprio database con replica in una regione diversa. Vengono inoltre adottate misure per garantire che ai dipendenti con necessità basata sul lavoro di rivedere i dati sia concesso l’accesso solo ai set di dati duplicati. - Georidondanza per quanto riguarda l'infrastruttura server di dati produttivi e backup
- Gestione degli incidenti IT (“Gestione della risposta agli incidenti”)
Esiste un concetto e procedure documentate per la gestione degli incidenti e degli eventi rilevanti per la sicurezza. Ciò include la pianificazione e la preparazione della risposta agli incidenti, le procedure per il monitoraggio, il rilevamento e l’analisi degli eventi rilevanti per la sicurezza e la definizione delle responsabilità corrispondenti e dei canali di segnalazione in caso di violazione della protezione dei dati personali nell’ambito dei requisiti legali.
2) MISURE ORGANIZZATIVE PER GARANTIRE LA PRIVACY E LA PROTEZIONE DEI DATI
Globalization Partners ha messo in atto le seguenti misure organizzative per garantire che l’organizzazione operi in un modo che soddisfi i requisiti di privacy e protezione dei dati.
a) Istruzioni organizzative
Globalization Partners ha sviluppato e sta sviluppando un programma di governance dei dati che include politiche, procedure e linee guida che i dipendenti devono seguire. La documentazione include come identificare e gestire i problemi relativi alla privacy dei dati, le migliori pratiche per garantire la conformità alla privacy e le politiche per affrontare gli incidenti relativi alla privacy.
b) Impegno per la riservatezza e la protezione dei dati
Globalization Partners ha sviluppato e sta sviluppando un programma di governance dei dati che include politiche, procedure e linee guida che i dipendenti devono seguire. Tutti i dipendenti e gli appaltatori sono vincolati per iscritto alla riservatezza e alla protezione dei dati, nonché ad altre leggi pertinenti. Tutti i dipendenti ricevono formazione sulla privacy e sulla sicurezza. Le verifiche interne sulla protezione dei dati e sulla sicurezza delle informazioni vengono condotte regolarmente. Le verifiche vengono eseguite sulla base di criteri/schemi di test comuni. I dipendenti e gli appaltatori di Globalization Partners sono istruiti a trattare i dati personali solo per motivi legittimi, ai sensi dei contratti applicabili con il cliente e il professionista, tenendo in debita considerazione qualsiasi consenso esplicito fornito o negato dall’interessato, e nel rispetto di qualsiasi dovere legale dell’organizzazione.
c) Formazione sulla protezione dei dati
Tutti i dipendenti ricevono una formazione sulla privacy e sulla sicurezza che rimane disponibile per la revisione in qualsiasi momento nella piattaforma di formazione di Globalization Partners.
d) Controlli degli accessi fisici
Globalization Partners dispone dei seguenti controlli fisici per negare a persone non autorizzate l’accesso alle apparecchiature dei sistemi IT utilizzate per il trattamento.
- Protezione elettronica delle porte
Le porte di ingresso ai locali degli uffici di Globalization Partners sono sempre chiuse a chiave e protette elettronicamente. Le porte vengono aperte tramite un transponder elettronico personale. - Distribuzione controllata delle chiavi
Si verifica un’assegnazione centralizzata e documentata delle chiavi ai dipendenti di Globalization Partners. Questi transponder/chiavi elettronici possono essere disattivati centralmente da ciascun responsabile dell’ufficio o dal reparto Risorse umane. - Supervisione e accompagnamento di persone esterne
I fornitori di servizi esterni e altre terze parti possono avere accesso ai locali solo tramite previa autorizzazione o quando accompagnati da un dipendente di Globalization Partners. Globalization Partners applica la sua Politica per i visitatori scritta quando i visitatori sono invitati nei locali. - La protezione dei locali con maggiore necessità di protezione
I locali o gli armadi con maggiori requisiti di protezione, come gli uffici legali e alcune sedi operative, sono dotati di armadietti e cassetti di chiusura. Gli armadi e i cassetti in cui sono conservati documenti legali, contratti e documentazione riservata devono essere sempre chiusi a chiave, tranne quando sono in uso. - Porte e finestre chiuse
I dipendenti sono istruiti organizzativamente a tenere finestre e porte chiuse o chiuse a chiave al di fuori dell’orario di ufficio.
e) Recupero
Globalization Partners garantisce che i sistemi in uso possano essere ripristinati in caso di guasto fisico o tecnico.
- Test regolari del recupero dei dati (“Restore-Tests”)
Vengono eseguiti test regolari di ripristino completo per garantire la recuperabilità in caso di emergenza/disastro. - Piano di emergenza (“Concetto di disaster recovery”)
Esiste un concetto per il trattamento di emergenze/disaster e un corrispondente piano di emergenza. Globalization Partners garantisce il ripristino di tutti i sistemi sulla base dei backup/backup dei dati, di solito entro 48 poche ore. - Misure di revisione e valutazione
Presentazione delle procedure di revisione, valutazione e valutazione periodica dell’efficacia delle misure tecniche e organizzative.
f) Team per la privacy
L’organizzazione dispone di un Ufficio globale per la privacy dei dati incaricato di pianificare, implementare, valutare e adattare le misure nel campo della protezione dei dati.
g) Gestione del rischio
Esiste un processo per analizzare, valutare e allocare i rischi e per la derivazione di misure sulla base di tali rischi.
3) REVISIONE INDIPENDENTE DELLA SICUREZZA DELLE INFORMAZIONI
a) Esecuzione delle verifiche
Le verifiche interne sulla protezione dei dati e sulla sicurezza delle informazioni vengono condotte regolarmente. Le verifiche vengono eseguite sulla base di criteri/schemi di test comuni.
b) Revisione della conformità alle politiche e agli standard di sicurezza
La conformità alle linee guida, agli standard e ad altri requisiti di sicurezza applicabili per il trattamento dei dati personali viene controllata regolarmente. Ove possibile, questi controlli vengono eseguiti in modo casuale e inatteso.
c) Verifica della conformità alle specifiche tecniche
Il reparto IT o altro personale qualificato eseguono regolari scansioni automatiche e manuali delle vulnerabilità per verificare la sicurezza delle applicazioni e dell’infrastruttura, nonché il regolare sviluppo del prodotto. Test di penetrazione dettagliati vengono eseguiti da un fornitore di servizi esterno per esaminare specificamente le applicazioni e l'infrastruttura alla ricerca di vulnerabilità.
d) Trattamento su istruzione
I dipendenti di Globalization Partners sono istruiti a trattare i dati personali solo per motivi legittimi, ai sensi dei contratti applicabili con il cliente e il professionista, tenendo in debita considerazione qualsiasi consenso esplicito fornito o negato dall’interessato, e nel rispetto di qualsiasi dovere legale dell’organizzazione.
e) Selezione attenta del fornitore
Globalization Partners aderisce al proprio Processo di prequalifica dei fornitori quando seleziona fornitori che possono incontrare dati protetti. Questo processo include il feedback degli uffici Finanza e Legale/Privacy e comprende le fasi di valutazione del rischio, prequalifica della sicurezza e certificazione della documentazione. I fornitori che tratteranno i dati protetti dovranno dimostrare la loro adesione alle leggi applicabili sulla privacy dei dati, compreso l’Articolo 28 GDPR per i dati coperti.
Allegato III - Elenco dei Sub-responsabili del trattamento
| Sub-responsabile del trattamento | Informazioni di contatto | Descrizione del trattamento | Posizione |
|---|---|---|---|
| Consociate di Globalization Partners | https://www.globalization- partners.com/contact-us/ | Fornitura della Piattaforma e gestione delle relazioni con i clienti | USA |
| Acumatica | 3933 Lago Washington Blvd NE #350, Kirkland, WA 98033, Stati Uniti | Servizi finanziari | USA |
| Servizio Web Amazon | P.O. Box 81226 Seattle, WA 98108-1226, Stati Uniti https://aws.amazon.com/contact-us/ |
Hosting – Fornitore di servizi cloud | USA |
| Microsoft | One Microsoft Way Redmond, Washington 98052 USA Telefono: (+1) 425-882-8080. |
Comunicazioni di supporto ai processi aziendali (e-mail); gestione dei servizi | USA |
| Atlassiano | 350 Bush Street Floor 13 San Francisco, CA94104, Stati Uniti +1 415 701 1110 |
Supporto ai processi aziendali per la gestione dei servizi | USA |
| Conga | https://conga.com/contact-us 62 Margaret St, 3° piano Londra W1W8TF Regno Unito |
Gestione dei contratti | Regno Unito |
| DocuSign | DocuSign International (EMEA) Ltd, Attenzione: Privacy Team, 5 Hanover Quay, Ground Floor, Dublino2, Repubblica d’Irlanda | Gestione dei documenti | Irlanda |
| Gong | 265 Cambridge Ave, Suite 60717 Palo Alto, CA94306, Stati Uniti | Servizi di telecomunicazione | USA |
| iCertis | 2 Kingdom Street Paddington Londra W2 6BD Regno Unito | Gestione dei contratti | Regno Unito |
| Salesforce.com | Salesforce Tower, 415 Mission Street, 3° piano, San Francisco, CA 94105, Stati Uniti 1-800-387-3285 |
Supporto ai processi aziendali per la gestione delle relazioni con i clienti (Customer Relationship Management, CRM) | USA |
| Zendesk | 989 Market St San Francisco, CA 94103, Stati Uniti zendesk.com 888-670-4887 |
Richieste dell’Helpdesk per l’assistenza clienti | USA |
Allegato IV - Addendum del Regno Unito alle Clausole contrattuali tipo dell’UE
PARTE 1: TABELLE
Tabella 1: Parti
| Data di inizio; | Data di decorrenza del presente Addendum | |
|---|---|---|
| Le Parti | Esportatore (che invia il Trasferimento limitato) | Importatore (che riceve il trasferimento limitato) |
| Dettagli delle Parti | Dettagli dell'entità della Società come stabilito nel Contratto Quadro. | Dettagli dell’entità Globalization Partners come stabilito nell’Accordo quadro. |
| Contatti chiave | Dati di contatto del Cliente come stabilito nel Contratto Quadro. | I dettagli di contatto di Globalization Partners come indicato nell’Accordo quadro e i dettagli di contatto sulla privacy di Globalization Partners come definito nell’Allegato I di cui sopra. |
Tabella 2: SCC, moduli e clausole selezionati
| Addendum SCC UE | La versione delle SCC UE approvate incorporata nella Sezione 3.9 dell’Addendum, comprese le informazioni dell’Allegato allegate al presente Addendum. |
Tabella 3: Informazioni sull’Appendice
“Informazioni dell’Appendice” indica le informazioni che devono essere fornite per i moduli selezionati come stabilito nell’Appendice delle SCC UE approvate (diverse dalle Parti) e che per il presente Addendum sono indicate in:
- Allegato 1A: Elenco delle Parti: Allegato I
- Allegato 1B : Descrizione del trasferimento: Allegato I
- Allegato II: Misure tecniche e organizzative, comprese le misure tecniche e organizzative per garantire la sicurezza dei dati: Allegato II
- Allegato III: Elenco dei Sub-responsabili del trattamento: Allegato III
Tabella 4: Termine del presente Addendum quando l’Addendum approvato cambia
| Terminare il presente Addendum quando l’Addendum approvato cambia | Quali Parti possono risolvere il presente Addendum come stabilito nella Sezione 19: ☐ Importatore - Esportatore ☐ Nessuna Parte |
PARTE 2: CLAUSOLE OBBLIGATORIE
| Clausole obbligatorie | Parte 2: Clausole obbligatorie dell’Addendum approvato, che è il modello dell’Addendum B.1.0 emesso dall’ICO e disposto dinanzi al Parlamento in conformità con la Legge 2018 sulla protezione s119A dei dati del 2 febbraio 2022, come viene rivisto ai sensi della Sezione 18 di tali Clausole obbligatorie. |