3. RELAZIONE TRA CONTROLLORE E PROCESSORE
4. TRASFERIMENTI INTERNAZIONALI DI DATI
Allegato I
|
CONTROLLER INDIPENDENTE - DETTAGLI DELLA RELAZIONE CONTROLLER
(Questa sezione riguarda i dettagli sui dati personali condivisi tra le Parti in qualità di Responsabili del Servizio)
|
|
|
Partiti
|
Data Exporter: Entità cliente che firma il Contratto Quadro
Importatore di dati: Globalization Partners LLC.
|
|
Contatti delle parti
|
Dettagli di contatto come indicato nell'Accordo Quadro.
|
|
Attività rilevanti per i dati trasferiti
|
Attività relative ai servizi di Employer of Record.
|
|
Ruoli
|
Data Exporter: Controller.
Importatore dati: Controller.
|
|
Attività di elaborazione
|
I dati personali trattati / trasferiti possono essere soggetti alle seguenti attività di trattamento: qualsiasi operazione relativa ai dati personali indipendentemente dai mezzi applicati e dalle procedure, in particolare la raccolta, organizzazione, archiviazione, conservazione, utilizzo, recupero, consultazione, archiviazione, trasmissione, blocco, cancellazione o distruzione dei dati, funzionamento e manutenzione dei sistemi, conformità legale e funzioni di revisione.
|
|
Durata dell'elaborazione
|
La durata del Contratto Quadro e su base continuativa.
|
|
Natura e scopo della lavorazione
|
Il cliente può trasferire i dati del cliente a G-P, la cui estensione è determinata e controllata dal cliente a sua esclusiva discrezione. Lo Scopo del Trattamento è fornire al Datore di Lavoro i Servizi di Registrazione in conformità con l'Accordo Funebre.
|
|
Categorie di soggetti dati
|
Professionisti.
|
|
Tipi di dati personali
|
Dati di contatto (che possono includere nome, indirizzo, indirizzo e-mail, numero di telefono, numero di fax, recapiti per le emergenze e relative informazioni sul fuso orario locale).
Dettagli sull'impiego (che possono includere istruzione, curriculum vitae, titolo di lavoro, grado, demografia, dati di località, nazionalità e status di conformità all'esportazione, stipendio, bonus).
Contenuto delle email degli interessati.
Dettagli dei servizi forniti a o a beneficio dei soggetti dati.
|
|
Categorie Speciali di Dati (se opportuno)
|
N/A
|
|
Fidelizzazione
|
I dati personali saranno conservati almeno per tutto il periodo minimo di conservazione legalmente rimandato, che sia conforme ai termini di prescrizione applicabili e rispetti le buone pratiche commerciali.
|
|
Autorità di Supervisione Competente
|
L'autorità di controllo competente sarà determinata in conformità con le leggi sulla protezione dei dati applicabili e includerà: la Commissione irlandese per la protezione dei dati (per il Regolamento generale sulla protezione dei dati dell'UE); l'Incaricato federale della protezione dei dati e della trasparenza/IFPDT (per la LPD svizzera); l'Ufficio del Commissario per l'Informazione del Regno Unito/ICO (per il Regolamento generale sulla protezione dei dati del Regno Unito); e l'Autoridade Nacional de Proteção de Dados / ANPD (per il Brasile LGPD).
|
|
Trasferimenti ai sottoprocessori
|
Per i trasferimenti ai responsabili del trattamento, l'oggetto, la natura e la durata del trattamento sono gli stessi definiti in precedenza.
|
|
Dettagli di contatto G-P Privacy
|
Attenzione: Ufficio Globale per la Privacy.
|
|
DETTAGLI SULLE RELAZIONI TRA CONTROLLER E PROCESSORE
(Questa sezione riguarda i dettagli dei Dati Personali che vengono trattati da G-P per conto del Cliente)
|
|
|
Partiti
|
Data Exporter: Entità cliente che firma il Contratto Quadro
Importatore di dati: Globalization Partners LLC.
|
|
Contatti delle parti
|
Dettagli di contatto come indicato nell'Accordo Quadro.
|
|
Attività rilevanti per i dati trasferiti
|
Attività relative al Datore di Lavoro dei Servizi di Registrazione e all'uso del GPP fornito al Cliente come servizio.
|
|
Ruoli
|
Data Exporter: Controller
Data Importer: Processore
|
|
Attività di elaborazione
|
I dati personali trattati / trasferiti possono essere soggetti alle seguenti attività di elaborazione: qualsiasi operazione relativa ai dati personali indipendentemente dai mezzi applicati e dalle procedure, in particolare la raccolta, organizzazione, archiviazione, conservazione, utilizzo, recupero, consultazione, archiviazione, trasmissione, blocco, cancellazione o distruzione dei dati, funzionamento e manutenzione dei sistemi, conformità, funzioni legali e di revisione.
|
|
Durata dell'elaborazione
|
La durata del Contratto Quadro e su base continuativa.
|
|
Natura e scopo della lavorazione
|
Il cliente può trasferire i dati del cliente a G-P, la cui estensione è determinata e controllata dal cliente a sua esclusiva discrezione. La finalità del trattamento è quella di fornire GPP come servizio al Cliente in conformità con l'Accordo Quadro.
|
|
Categorie di soggetti dati
|
Utenti autorizzati del GPP, che possono includere dipendenti e/o collaboratori del Cliente.
|
|
Tipi di dati personali
|
Dati di contatto (come numero di telefono e indirizzo e-mail).
Dati dei dipendenti / appaltatori (come il titolo del lavoro e il nome dell'azienda).
Dati di utilizzo (come dati sul dispositivo dell'Utente Autorizzato e su come tale dispositivo interagisce con il GPP).
Dati di localizzazione (come la posizione derivata dall'indirizzo IP).
dati di contenuto (come il contenuto dei file del Cliente riguardanti i Professionisti e le comunicazioni correlate).
Credenziali (come password, password, suggerimenti e informazioni di sicurezza simili utilizzate per l'autenticazione e l'accesso all'account al GPP).
Qualsiasi dato personale fornito dagli utenti autorizzati.
|
|
Categorie Speciali di Dati (se opportuno)
|
N/A
|
|
Fidelizzazione
|
I dati personali saranno conservati almeno per tutto il periodo minimo di conservazione legalmente rimandato, che sia conforme ai termini di prescrizione applicabili e rispetti le buone pratiche commerciali.
|
|
Autorità di Supervisione Competente
|
L'autorità di controllo competente sarà determinata in conformità con le leggi sulla protezione dei dati applicabili e includerà: la Commissione irlandese per la protezione dei dati (per il Regolamento generale sulla protezione dei dati dell'UE); l'Incaricato federale della protezione dei dati e della trasparenza/IFPDT (per la LPD svizzera); l'Ufficio del Commissario per l'Informazione del Regno Unito/ICO (per il Regolamento generale sulla protezione dei dati del Regno Unito); e l'Autoridade Nacional de Proteção de Dados / ANPD (per il Brasile LGPD).
|
|
Trasferimenti ai sottoprocessori
|
Per i trasferimenti ai responsabili del trattamento, l'oggetto, la natura e la durata del trattamento sono gli stessi definiti in precedenza.
|
|
Dettagli di contatto G-P Privacy
|
Attenzione: Ufficio Globale per la Privacy.
|
Allegato II
Misure tecniche e organizzative
G-P è stata certificata e attestata da revisori indipendenti per confermare la conformità agli standard SOC 2 e ISO 27001 . Tali certificazioni dimostrano il nostro impegno a proteggere i dati dei clienti. Il programma di sicurezza di G-P è progettato per:
Proteggere la riservatezza, l'integrità e la disponibilità dei Dati Clienti in possesso di G-P o a cui G-P ha accesso;
Proteggere da eventuali minacce o pericoli previsti alla riservatezza, integrità e disponibilità dei dati dei clienti;
Proteggere contro accessi, utilizzi, divulgazioni, modifiche o distruzioni non autorizzate o illegali dei Dati dei Clienti;
Proteggere contro la perdita accidentale, la distruzione o il danno ai dati del cliente; e
Salvaguardare le informazioni come stabilito in qualsiasi regolamento con cui il G-P possa essere regolamentato.
Di seguito descrive le funzioni, i processi, i controlli, i sistemi, le procedure e le misure che G-P ha adottato per garantire la sicurezza dell'elaborazione dei dati dei clienti:
1) MISURE TECNICHE PER GARANTIRE LA PRIVACY E LA PROTEZIONE DEI DATI
Privacy fin dalla progettazione e per impostazione predefinita:
G-P tiene conto dei requisiti dell'articolo 25 Regolamento generale sulla protezione dei dati nella fase di ideazione e sviluppo del prodotto. I processi e le funzionalità sono strutturati in modo tale da tenere conto, fin dalle prime fasi, dei principi di protezione dei dati quali liceità, trasparenza, limitazione delle finalità, minimizzazione dei dati, ecc., nonché della sicurezza del trattamento.
b) Crittografia dei dati personali:
Garantire che i dati personali siano memorizzati nel sistema esclusivamente in modo tale da non consentire a terzi di identificare l'interessato.
Crittografia del database e dell'archiviazione:
Su tutti i database utilizzati da G-P viene utilizzata una crittografia "a riposo" secondo lo stato dell'arte, in modo che i dati del database possano essere letti solo dopo una corretta autenticazione sul rispettivo sistema di database.
Crittografia dei supporti dati mobili:
L'uso di operatori dati mobili per memorizzare i dati dei clienti non è consentito.
Crittografia dei fornitori di dati sui laptop:
Su tutti i computer portatili dei dipendenti è installato un sistema di crittografia del disco rigido all'avanguardia.
Scambio criptato di informazioni e file:
In linea di principio, lo scambio di informazioni e file è direttamente criptato tramite una domanda speciale. Se dati personali o informazioni riservate devono essere trasferiti a server che non possono essere inviati tramite upload HTTPS cifrato TLS, questi saranno trasferiti utilizzando il Secure File Transfer Protocol (SFTP), il servizio di inviluppo criptato o un altro meccanismo criptato secondo lo stato dell'arte.
Crittografia delle e-mail:
In linea di principio, tutte le e-mail inviate dai dipendenti di G-P sono crittografate con TLS. Un'eccezione può verificarsi se il server di posta ricevente non supporta TLS. Il Cliente si impegna a garantire che i server di posta elettronica utilizzati nell'ambito dell'ordine supportino la crittografia TLS.
c) Controllo degli accessi
I controlli di accesso sono concepiti e attuati al fine di impedire l'utilizzo e il trattamento di dati protetti dalle leggi sulla protezione dei dati da parte di persone non autorizzate.
Utilizzo di metodi di autenticazione
L'accesso ai dati personali avviene sempre tramite protocolli criptati: SSH, SSL/TLS, HTTPS o protocolli simili. Procedura di autenticazione per un sistema IT: autenticazione multifattore tramite accesso al sistema IT.
Blocco automatico in caso di inattività
I computer portatili utilizzati dai dipendenti G-P sono protetti da password o PIN quando non vengono utilizzati dall'utente. Inoltre, dopo 15 minuti di inattività viene impostato un blocco schermo automatico con protezione tramite password.
Utilizzo di software antivirus
I computer portatili utilizzati dai dipendenti G-P sono dotati di software antivirus all'avanguardia, costantemente aggiornato su tutti i sistemi informatici operativi e aziendali. In linea di principio, nessun computer può essere utilizzato senza un programma antivirus residente, a meno che non siano state adottate altre misure di sicurezza equivalenti e all'avanguardia o che non vi sia alcun rischio. Le impostazioni di sicurezza predefinite non devono essere disattivate o aggirate.
"Politica sulla Scrivania Pulita"
Ai dipendenti di G-P è stato richiesto di non stampare o archiviare localmente i dati personali degli interessati, di non lasciare materiali di lavoro in luoghi accessibili a terzi e di conservare correttamente tutti i materiali di lavoro. I documenti che G-P è tenuto per legge a conservare in formato cartaceo sono custoditi in armadietti chiusi a chiave.
d) Controlli di accesso all'interno della piattaforma
I controlli di accesso garantiscono che le persone autorizzate a utilizzare un sistema di trattamento abbiano accesso solo ai dati personali coperti dalla loro autorizzazione di accesso.
Ruoli e autorizzazioni
Piattaforma Ruoli e Autorizzazioni – Accesso Clienti Gli utenti clienti possono visualizzare e modificare le informazioni dell'account cliente.
Ruoli e Piattaforma di Autorizzazione – Accesso Professionale Gli utenti professionisti possono visualizzare e modificare le proprie informazioni professionali.
I professionisti possono anche ottenere un ruolo di accesso clienti su richiesta + approvazione
Piattaforma di Autorizzazione e Ruoli – Accesso Interno
Gli utenti con accesso interno hanno ruoli diversi. Hanno diversi livelli di accesso per creare, visualizzare, modificare e approvare i seguenti elementi:
Informazioni per i clienti
Informazioni di fatturazione
Informazioni sui partner
Informazioni sui registri del personale professionale
L'accesso al sistema amministrativo è generalmente limitato a dipendenti formati nelle aree di supporto clienti e sviluppo prodotto.
e) Firewall come servizio
G-P utilizza un firewall esterno come servizio che gli permette di concedere o bloccare l'accesso ai siti web per assicurarsi che i sistemi non possano accedere a contenuti dannosi e per limitare l'accesso a contenuti inappropriati.
f) Registrazione dell'accesso alla Piattaforma
G-P mantiene un registro di tutte le attività di accesso.
g) Separabilità
Garantire che i dati personali raccolti per scopi diversi possano essere trattati separatamente e siano distanziati da altri dati e sistemi in modo tale da escludere un utilizzo non pianificato di tali dati per altri scopi.
Separazione degli ambienti di sviluppo, test e operativi.
I dati dall'ambiente operativo possono essere trasferiti agli ambienti di test o sviluppo solo se sono stati resi completamente anonimi prima del trasferimento. Il trasferimento dei dati anonimizzati deve essere criptato o tramite una rete affidabile.
Il software da trasferire nell'ambiente operativo deve essere prima testato in un ambiente di test identico ("staging"). I programmi per l'analisi degli errori o per la creazione/compilazione di software possono essere utilizzati nell'ambiente operativo solo se ciò non può essere evitato. Ciò si verifica soprattutto se le situazioni di errore dipendono da dati che verrebbero falsificati a causa dei requisiti di anonimizzazione durante il trasferimento agli ambienti di test.
Separazione nelle reti
G-P suddivide le sue reti in base alle attività. Le seguenti reti sono utilizzate in modo permanente: ambiente operativo ("Produzione"), ambiente di test ("Staging", "Sandbox"), ambiente di sviluppo ("Dev") e personale IT dell'ufficio. Oltre a queste reti, vengono create ulteriori reti separate a seconda delle necessità, ad esempio per i test di ripristino e i test di penetrazione. A seconda delle possibilità tecniche, le reti vengono separate fisicamente o tramite reti virtuali.
h) Controllo della disponibilità
G-P adotta le seguenti misure per garantire che i dati personali siano protetti contro la distruzione o la perdita accidentali.
Procedure/backup di protezione dei dati
Per garantire un'adeguata disponibilità, G-P esegue snapshot giornalieri del proprio database con replica in una regione diversa. Vengono inoltre adottate misure per garantire che ai dipendenti che, per motivi lavorativi, hanno bisogno di esaminare i dati, venga concesso l'accesso solo ai set di dati di replica.
Geo-ridondanza riguardo all'infrastruttura server di dati produttivi e backup
Gestione degli incidenti IT ("Gestione della risposta agli incidenti")
Esiste un concetto e procedure documentate per la gestione degli incidenti e degli eventi rilevanti per la sicurezza. Ciò include la pianificazione e la preparazione della risposta agli incidenti, le procedure per il monitoraggio, l'individuazione e l'analisi degli eventi rilevanti per la sicurezza e la definizione delle relative responsabilità e dei canali di segnalazione in caso di violazione della protezione dei dati personali nel quadro dei requisiti di legge.
2) MISURE ORGANIZZATIVE PER GARANTIRE LA PRIVACY E LA PROTEZIONE DEI DATI
G-P ha adottato le seguenti misure organizzative per garantire che l'organizzazione operi in modo da rispettare i requisiti di privacy e protezione dei dati.
a) Istruzioni organizzative
G-P ha sviluppato e sta sviluppando un programma di governance dei dati che include politiche, procedure e linee guida che i dipendenti devono seguire. La documentazione include come identificare e gestire le problematiche relative alla privacy dei dati, le migliori pratiche per garantire la conformità alla privacy e le politiche per affrontare gli incidenti di privacy.
b) Impegno per la riservatezza e la protezione dei dati
G-P ha sviluppato e sta sviluppando un programma di governance dei dati che include politiche, procedure e linee guida che i dipendenti devono seguire. Tutti i dipendenti e i collaboratori sono vincolati per iscritto alla riservatezza, alla protezione dei dati e ad altre leggi pertinenti. Tutti i dipendenti ricevono formazione sulla privacy e sicurezza. Revisioni interne sulla protezione dei dati e sulla sicurezza delle informazioni vengono effettuate regolarmente. Gli audit vengono effettuati sulla base di criteri/schemi di test comuni. I dipendenti e i collaboratori di G-P sono istruiti a trattare i dati personali solo per motivi legittimi, ai sensi dei contratti applicabili con il cliente e il professionista, con la dovuta considerazione di qualsiasi espresso consenso dato o negato dal soggetto dei dati, e in conformità con qualsiasi dovere legale dell'organizzazione.
c) Addestramento alla protezione dei dati
Tutti i dipendenti ricevono formazione su privacy e sicurezza che rimane disponibile per la revisione in qualsiasi momento sulla piattaforma G-P.
d) Controlli di accesso fisico
G-P ha implementato i seguenti controlli fisici per impedire l'accesso di persone non autorizzate alle apparecchiature dei sistemi informatici utilizzate per l'elaborazione dei dati.
Protezione elettronica delle porte
Le porte d'ingresso degli uffici G-P sono sempre chiuse a chiave e fissate elettronicamente. Le porte si aprono tramite un transponder elettronico personale.
Distribuzione controllata delle chiavi
Viene effettuata un'assegnazione centralizzata e documentata delle chiavi ai dipendenti di G-P . Questi transponder/chiavi elettronici potrebbero essere disattivati centralmente da ciascun responsabile d'ufficio o dal dipartimento Risorse Umane.
Supervisione e accompagnamento di persone esterne
I fornitori di servizi esterni e altre terze parti possono ottenere l'accesso ai locali solo tramite autorizzazione preventiva o se accompagnati da un dipendente di G-P. G-P applica la sua Politica Scritta per i Visitatori quando i visitatori sono invitati nella struttura.
Messa in sicurezza di locali con maggiori necessità di protezione
I locali o gli armadi con maggiori requisiti di protezione, come gli uffici legali e alcune sedi operative, sono dotati di armadi e cassetti con serratura. Armadi e cassetti contenenti documenti legali, contratti e documenti riservati devono essere sempre chiusi a chiave, tranne quando vengono utilizzati.
Porte e finestre chiuse
I dipendenti sono istruiti organizzativamente a tenere finestre e porte chiuse o chiuse fuori dall'orario d'ufficio.
e) Recuperabilità
G-P garantisce che i sistemi in uso possano essere ripristinati in caso di guasto fisico o tecnico.
Test periodici del ripristino dei dati ("Test di ripristino")
Vengono effettuati regolari test di ripristino completo per garantire la recuperabilità in caso di emergenza o disastro.
Piano d'emergenza ("Concetto di Disaster Recovery")
Esiste un concetto per il trattamento delle emergenze/disastri e un piano di emergenza corrispondente. G-P garantisce il recupero di tutti i sistemi sulla base dei backup/backup dei dati, solitamente entro 48 ore.
Misure di revisione e valutazione
Presentazione delle procedure per la revisione, valutazione e valutazione regolari dell'efficacia delle misure tecniche e organizzative.
f) Team per la privacy
L'organizzazione dispone di un Ufficio Riservatezza globale dei dati incaricato della pianificazione, implementazione, valutazione e adattamento delle misure in materia di protezione dei dati.
g) Gestione del rischio
Esiste un processo per analizzare, valutare e assegnare i rischi e per derivare misure sulla base di questi rischi.
3) REVISIONE INDIPENDENTE DELLA SICUREZZA DELLE INFORMAZIONI
Esecuzione delle verifiche contabili
Revisioni interne sulla protezione dei dati e sulla sicurezza delle informazioni vengono effettuate regolarmente. Gli audit vengono effettuati sulla base di criteri/schemi di test comuni.
b) Revisione della conformità alle politiche e agli standard di sicurezza
La conformità alle linee guida di sicurezza, agli standard e agli altri requisiti di sicurezza applicabili per il trattamento dei dati personali viene regolarmente controllata. Quando possibile, questi controlli vengono effettuati in modo casuale e inaspettato.
c) Verifica della conformità alle specifiche tecniche
Scansioni automatiche e manuali regolari delle vulnerabilità vengono eseguite dal dipartimento IT o da altri professionisti qualificati per verificare la sicurezza delle applicazioni e dell'infrastruttura, nonché lo sviluppo regolare del prodotto. Test di penetrazione dettagliati vengono eseguiti da un fornitore di servizi esterno per esaminare specificamente le applicazioni e l'infrastruttura alla ricerca di vulnerabilità.
d) Elaborazione su istruzione
I dipendenti di G-P sono istruiti a trattare i dati personali solo per motivi legittimi, in conformità con i contratti applicabili con il cliente e il professionista, con la dovuta considerazione di qualsiasi consenso espresso dato o trattenuto dal soggetto e in conformità con qualsiasi dovere legale dell'organizzazione.
e) Selezione accurata dei fornitori
G-P rispetta il suo Processo di Prequalifica dei Fornitori nella selezione di fornitori e fornitori che potrebbero incontrare dati protetti. Questo processo include feedback dai Dipartimenti Finanza e Legale/Privacy e comprende la valutazione del rischio, la prequalifica della sicurezza e i passaggi di certificazione della documentazione. I fornitori che elaboreranno dati protetti dovranno dimostrare il rispetto delle leggi applicabili sulla privacy dei dati, incluso l'Articolo 28 Regolamento generale sulla protezione dei dati per i dati coperti
Allegato III
|
Subprocessore
|
Posizione e informazioni di contatto
|
Descrizione dell'elaborazione
|
|
3933 Lake Washington Blvd NE #350, Kirkland, WA 98033, USA
|
Servizi finanziari
|
|
|
P.O. Scatola 81226
Seattle, WA 98108-1226, USA
|
Hosting – Fornitore di servizi cloud
|
|
|
Microsoft Corporation One Microsoft Way
Redmond, Washington 98052 USA Telefono: (+1) 425-882-8080.
|
Supporto ai processi aziendali per la gestione delle comunicazioni (e-mail) e dei servizi.
|
|
|
350 Pavimento di Bush Street 13
San Francisco, CA 94104, USA
+1 415 701 1110
|
Supporto ai processi aziendali per la gestione dei servizi
|
|
|
DocuSign International (EMEA) Ltd, Attenzione: Team per la privacy, 5 Hanover Quay, piano terra, Dublino 2, Repubblica d'Irlanda
|
Gestione documentale
|
|
|
Salesforce Tower, 415 Mission Street, 3° piano, San Francisco, CA 94105, USA
1-800-387-3285
|
Supporto ai processi aziendali per la gestione delle relazioni con i clienti (CRM)
|
|
|
989 Market St
San Francisco, CA 94103, USA zendesk.com
888-670-4887
|
Richieste di assistenza clienti per l'assistenza clienti
|
|
|
2225 Lawson Lane Santa Clara, CA, 95054
USA
|
Supporto ai processi aziendali per la gestione dei servizi IT e delle operazioni, l'esperienza individuale e cliente attraverso ( flusso di lavoro automatizzato basato su cloud)
|
|
|
160 Spear Street, 15piano San Francisco, CA 94105 1-866-330-0121
USA
|
Infrastruttura cloud data warehouse.
|
|
|
620 8th Ave 45 th Pavimento
New York, NY 10018
USA
|
Strumento di monitoraggio e debug del servizio
|
|
|
Avenue Louise 54, Stanza s52,
1050 Bruxelles
Belgio
|
Processore di pagamenti online
|
|
|
1600 Anfiteatro Pkwy, Mountain View, CA 94043
|
Supporto ai processi aziendali per comunicazioni (email) e archiviazione interna dei documenti
|