データ保護に関する補遺

本データ保護補遺（以下、補遺）は、基本契約書の諸条件を補足し、その中に組み込まれる。 本追加契約と、本追加契約に定める問題に関する両当事者間のその他の合意との間に矛盾が生じた場合、本追加契約が優先するものとする。

1. 定義

1.1. 本契約で定義されていない用語は、マスターサービス契約に定める意味を有する。 本補遺の以下の用語は、以下の意味を有する。

1.2. 認定ユーザーとは、本マスター契約の締結に基づき、本顧客に代わって本プラットフォームにアクセスし、本プラットフォームを使用するために、本顧客またはその従業員および/または請負業者のいずれかを含めることができる、本顧客が許可する個人を意味する。

1.3. CCPAとは、California Consumer Privacy Actの略。

1.4. 顧客データとは、認定ユーザーまたは特定可能な自然人に関連する個人データまたは個人情報で、顧客によるプラットフォームの使用のために、顧客に代わってGlobalization Partnersによって転送、処理、または保存されるものを指します。

1.5. データ保護法とは、本契約の当事者が対象となり、提供されるサービスに適用されるデータ保護法およびプライバシー法を意味し、GDPR、英国GDPR、米国のプライバシー法（州法および連邦法を含む）、シンガポールの個人情報保護法を含みますが、これらに限定されません。

1.6. GDPRとは、一般データ保護規則（EU）2016/679および/または英国のGDPRを意味します。

1.7. “EEA”とは、欧州経済領域を意味します。

1.8. EU SCCとは、の欧州議会および欧州委員会実施決定（EU）によって承認された理事会2016/679の規則（EU）に従って、個人データを第三国に転送するための標準契約条項を意味します2021/9144 2021年6月。

1.9. EORサービスとは、基本契約に従ってGlobalization Partnersお客様に提供する記録サービスの雇用主を意味します。

1.10. 基本契約とは、EORサービスの提供に関してお客様とGlobalization Partnersとの間で締結された契約を意味します。

1.11. プラットフォームとは、ソフトウェア、モバイルバージョン、そこに含まれるソフトウェア、およびアップデート、アップグレード、サービスとしてのプラットフォーム、文書を含むグローGlobalization Partners専有ソフトウェアまたは第三者サービスの使用を通じて利用可能となったデータを含むがこれらに限定されないGlobalization Partners専有ソフトウェアを意味し、その説明は https://www.globalization-partners.com/employer-of-record-solutions/ に記載されています。

1.12. 英国補遺とは、英国情報コミッショナーが発行し、本書に付属書IVとして添付されるEU標準契約条項の英国国際データ転送補遺を意味する。

1.13. 管理者、“データ主体”、“個人データ”、“個人情報”、“データ侵害”、“処理者”、“処理/処理”、“制限付き移転”、“サービスプロバイダー”、および/またはその他の類似の用語および概念は、データ保護法で定義された意味を持つものとします。

2. 当事者と役割の関係

2.1. 当事者の役割および処理の詳細。 Globalization Partners、Globalization PartnersEORサービスを提供する際に、独立した管理者として個人データを処理するものとします。 いかなる場合も、両当事者は、共同管理者として本補遺に基づく個人データを処理しない。 Globalization Partners独立した管理者として事業を営む場合、Globalization Partners、個人データを処理する際、データ保護法に基づく管理者の義務を遵守するものとし、 https://www.globalization-partners.com/privacy-policy/ で閲覧可能なGlobalization Partnersプライバシーポリシーに記載されているとおりに個人データを処理するものとします。 お客様は、管理者として個人データを処理する際に、データ保護法に基づく義務を遵守するものとします。 グローバルGlobalization Partners顧客データの処理中に処理者として行動する場合、かかる処理は、以下のセクション3（個人データの処理）に従って行われるものとします。

2.2. 責任と承認。 各当事者は、独立したデータ管理者として、個人データに関して本補遺に基づき個人データを処理することができる。 両当事者は、それぞれの義務を遵守し、本補遺および当該当事者の個人データ処理業務に適用されるすべてのデータ保護法を遵守して、個人データを公正かつ合法的に処理することに同意する。 各当事者は、個人データの処理がGlobalization Partnersが提供するEORサービスの目的に限定され、合法的な処理の法的根拠に基づくよう徹底するものとする。 両当事者は、データ保護法に基づくそれぞれの義務の遵守において相互に支援する。これには、データ侵害が発生した場合に相互に支援し、データ主体および/または規制当局の要請に対応することが含まれるが、これらに限定されない。

3. 個人データの処理

3.1. 範囲。 お客様によるプラットフォームの使用およびお客様の管理関係には、お客様に代わって処理者またはサービスプロバイダーとしてGlobalization Partnersによるお客様データの処理が含まれる場合があります。

3.2. 指示。 Globalization Partners、貴社の文書化された指示に従って貴社データを処理します。 顧客は、本補遺、基本契約、および本書に添付される付属書Iが、顧客データの処理に関するGlobalization Partnersに対する顧客の完全な指示を構成することに同意する。 追加または代替の指示は、かかる指示の遵守に関連する費用（もしあれば）を含め、両当事者間で書面で合意されなければならない。 Globalization Partners、お客様の指示が適用法を遵守しているかどうかを判断する責任を負いません。 ただし、Globalization Partners、お客様の指示が該当するデータ保護法を侵害していると判断した場合、Globalization Partners、合理的に可能な限り速やかにお客様に通知するものとし、かかる侵害の指示に従う義務を負わないものとします。

3.3. 処理の詳細 処理の主題、その期間、性質および目的、ならびに顧客データおよびデータ主体の種類の詳細は、本書に添付される付属書Iに定めるとおりである。

3.4. 法令順守。 顧客およびGlobalization Partners、付属書Iに明記されるとおりに処理される顧客データに適用されるデータ保護法に基づくそれぞれの義務を遵守することに同意します。顧客は、Globalization Partnersに顧客データを開示、移転、またはその他の方法で利用可能にする前に、顧客データの処理の合法性に関してデータ保護法を遵守する単独の責任を負います。 疑義を避けるために付言すると、すべての場合において、顧客は、顧客の指示に従って顧客データを処理するためのGlobalization Partnersについて、必要に応じてデータ主体から同意を得るものとする。

3.5. 復処理者。 貴社は、本サービスに関連して貴社データを処理するために、処理者（下請処理者）を指名し、使用することをGlobalization Partnersに許可します。 復処理者には、第三者またはGlobalization Partnersグループ企業が含まれます。 Globalization Partners、本追加契約の日付時点でGlobalization Partnersによって既に雇用されている下請処理者を引き続き使用することができる。かかる下請処理者のリストは、本書に添付される付属書IIIで入手可能である。 復処理者が上記のデータ保護義務の履行を怠った場合、Globalization Partners、復処理者の義務の履行について顧客に対して責任を負うものとします。 Globalization Partners、復処理者リストに変更があった場合、お客様に通知するものとします。 当該通知の受領から10（10）日以内に、データ保護の理由でお客様が復処理者の追加または削除に正当に異議を唱え、Globalization Partnersお客様の異議に合理的に対応できない場合、両当事者は、問題を解決するために、お客様の懸念を誠実に協議します。

3.6. 技術的および組織的なセキュリティ対策。 業界標準を考慮すると、 実装コスト、 自然、 範囲、 処理の背景と目的 プラットフォーム内での顧客データの処理に関連するその他の状況 Globalization Partners、セキュリティを確保するための適切な技術的および組織的セキュリティ対策を実施するものとします。 機密性、 誠実さ、 顧客データの処理に関与する処理システムおよびサービスの可用性および回復力は、かかる顧客データに関するリスクに相応する。 Globalization Partners、（i）その保護、管理、システムおよび手順の有効性を定期的にテストおよび監視し、（ii）顧客データのセキュリティ、機密性および完全性に対する合理的に予測可能な内部および外部リスクを特定し、これらのリスクが対処されるようにします。

3.7. 機密性。 Globalization Partners、顧客データへのアクセスを許可された人物が、(i) 秘密保持を確約しているか、または適切な法定秘密保持義務下にあること、および (ii) 適用法により義務付けられていない限り、Globalization Partnersからの書面による指示に従ってのみ、顧客データにアクセスすることを保証するものとします。

3.8. 個人データ侵害。 Globalization Partners、顧客データの処理に関するデータ侵害に気付いた後、不当な遅延なく顧客に通知し、可能な限り、データ侵害の悪影響を軽減するために合理的な努力を払うものとします。

3.9. 海外転勤。 Globalization Partners、通常の業務過程において、顧客データをその関連会社および/または下請処理者に世界的に転送する権限を有します。 かかる移転を行う際、Globalization Partners、基本契約に基づき、またはこれに関連して移転される顧客データを保護するために、以下のとおり適切な保護が講じられていることを確認するものとする。

• 3.9.1. GlobalizationがEEA外の国に顧客データを移転する場合（プライバシー法に基づく適切な決定の対象とならない）、Globalization Partnersは、EU SCCに基づく義務を履行し、これを遵守するものとします。このSCCは、参照により本補遺に組み込まれ、以下のように完了します。

• モジュール2（管理者から処理者）は、お客様が個人データの管理者であり、Globalization Partners個人データの処理者である場合に適用されます。

• 第 項では7、オプションのドッキング条項が適用されます。

• 第条では9、オプション2は10日間適用されます。

• 第 条において11、任意の文言は適用されない。

• 第条において12、EU SCCに基づき提起された請求は、本契約に定める条件に従うものとする。

• 第 条では17、オプション 1 が適用され、EU SCC はアイルランド法に準拠します。

• 第18(b)条において、紛争はアイルランドの裁判所で解決されるものとする。

• EU SCCの付属書Iは、本付属書の付属書Iに記載された情報で完了したものとみなされるものとする。

• EU SCCの付属書IIは、本付属書の付属書IIに記載された情報で完了したものとみなされるものとする。

• EU SCCの付属書IIIは、本付属書の付属書IIIに定められた情報で完成したものとみなされるものとする。

• 3.9.2. 英国のGDPRによって保護されている顧客データに関して、両当事者は、英国からの譲渡制限についてEU SCCに依拠することが合法的に許可されています。ただし、英国の補遺は、本補遺に参照により組み込まれ、本書に添付される付属書IVに定義されるとおりに完了します。 本条が適用され3.9.2ない場合、Globalization Partners輸出会社および顧客は、英国GDPRが要求または許可する個人データの移転について、不当な遅延なく適切な保護措置を実施するために誠実に協力するものとします。

• 3.9.3. 本項の解釈のいかなる内容3.9も、EU SCCおよび/または英国補遺に基づくいずれかの当事者の権利または責任と矛盾することを意図しておらず、かかる矛盾が生じた場合、EU SCCおよび/または英国補遺が、該当する場合、優先するものとする。

3.10. 個人データの削除 本サービスの終了時（理由の如何を問わず）、および貴社から書面で要請があった場合、Globalization Partners、適用法により、より長期間の貴社データの保管が義務付けられていない限り、合理的に実行可能な限り速やかに、プラットフォームに保存されている貴社データを返却または削除するものとします。 かかる保持のために、本補遺の規定はかかる顧客データに引き続き適用されるものとする。

3.11. データ主体の要求。 Globalization Partners、顧客データに関するデータ主体の要請を速やかに顧客に通知するものとします。 お客様は、かかる要求に対応する責任を負います。 Globalization Partners、顧客がプラットフォームの使用において関連する顧客データにアクセスできない範囲で、かかるデータ主体の要請に顧客が対応できるよう合理的に支援する。

3.12. 第三者の要求 Globalization Partners、本契約に基づく顧客データの処理に関して、第三者から要請を受けた場合、またはGlobalization Partners対象となる管轄権を有する裁判所、裁判所、規制当局、政府機関の命令を受けた場合、Globalization Partners、当該要請を速やかに顧客に転送する。 Globalization Partners、法的に強制されない限り、お客様の事前の許可なくかかる要求に応じないものとします。 Globalization Partners、法的に禁止されていない限り、顧客データの開示を行う前に顧客に通知し、かかる開示の範囲を法的に要求される範囲に限定するために合理的に顧客に協力します。

3.13. データ保護影響評価および事前相談。 データ保護法で要求される範囲で、Globalization Partners、Globalization Partners行う顧客データの処理および/または監督当局との事前協議（または）に関連して、データ保護影響評価を実施するために合理的な支援を顧客に提供するものとします。 Globalization Partners、かかる支援の提供に対して合理的な料金を顧客に請求する権利を留保します。

3.14. コンプライアンスの実証。 Globalization Partners、組織のセキュリティ、可用性、処理の完全性、機密性、およびプライバシー管理に関する外部監査を定期的に実施し、書面による要請に応じて、最新のサマリー監査報告書または証明書のコピーを顧客に提供します。 お客様が、提供された第三者の証明書または報告書に加えて、独自の監査の実施を希望する場合、 かかる監査は、以下の場合に実施されるものとする。 i) 各12（12）カ月に1回以下 ii) 通常の営業時間内、かつGlobalization Partners日常業務を中断することなく、 iii) 三十（30）日前の書面による通知 iv) お客様の単独の費用負担（セキュリティマネージャーの日給に基づく、監査中にお客様を支援するためにグローバリゼーションパートナーが費やした時間を含む） v) 相互に合意されたパラメータおよび範囲に基づき、 特定のサービス範囲に限定され、 使用および/または処理活動が企図され、実際の要件に固有のシステム vi) 相互に合意した事前の日付に基づき、 Globalization Partners、顧客による合理的な延期を条件とする。 vii) すべての機密保持義務および制限に従う。 上記にかかわらず、マスター契約の終了後は、お客様が証明しなければならない法的義務を除き、監査権は付与されません。 顧客に代わって監査を実施するために選定された第三者代理人は、EORサービス代理店、関連組織またはコンサルタントに所有権または提携関係を有してはなりません。

3.15. 情報販売なし。 Globalization Partners、本補遺に定められている場合を除き、個人データに関する権利または利益を派生または行使しないものとします。 疑義を避けるために付言すると、Globalization Partners、本マスター契約に従って本プラットフォームを本顧客に提供する特定の目的以外の目的で、本顧客データを保持、使用、共有または開示しない。 Globalization Partners、販売という用語がCCPAで定義されているため、個人データを販売してはなりません。 Globalization Partnersは、CCPAの規則、要件、および定義を理解し、Globalization Partnersとの間で個人データの移転がCCPAに基づく“個人情報の販売”に該当することとなるような行為を行わないことを表明し保証します。

付属書II - 技術的および組織的措置

Globalization Partners、独立監査人によってSOC2基準への準拠を確認する認定および証明を受けています。 Service Organization Controls（SOC）レポートは、顧客データを保護するという当社のコミットメントを示しています。 Globalization Partnersのセキュリティプログラムは、以下を目的としています。

• Globalization Partners保有する、またはGlobalization Partnersアクセスできる顧客データの機密性、完全性、および可用性を保護する。

• 顧客データの機密性、完全性、および可用性に対する予想される脅威または危険から保護する。

• 顧客データの不正なまたは違法なアクセス、使用、開示、改変、または破壊から保護する。

• 顧客データの偶発的な損失、破壊、または損害から保護する。

• Globalization Partners規制を受ける可能性のある規制で定められた情報を保護します。

以下に、顧客データの処理のセキュリティを確保するためにGlobalization Partners講じた機能、プロセス、コントロール、システム、手順、および対策について説明します。

1）データのプライバシーと保護を確保するための技術的措置

a) プライバシー・バイ・デザインおよびデフォルト：Globalization Partners、製品開発の構想および開発フェーズにおいて、GDPR第25条の要件を考慮します。 プロセスと機能は、合法性、透明性、目的の制限、データ最小化などのデータ保護原則、および処理のセキュリティが早期に考慮されるように設定されています。

b) 個人データの暗号化：個人データが、第三者がデータ主体を特定できない方法でのみシステムに保管されるようにします。

1. データベースとストレージの暗号化：

   Globalization Partnersが使用するすべてのデータベースでは、データベースからのデータがそれぞれのデータベースシステムで適切な認証を受けた後にのみ読み取られるように、最新の技術に従って暗号化された\"保存\"が使用されます。

2. モバイルデータメディアの暗号化：

   顧客データを保存するためのモバイルデータ通信事業者の使用は許可されていません。

3. ノートパソコン上のデータ通信事業者の暗号化：

   全従業員のノートパソコンには、適切な最先端のハードディスク暗号化がインストールされています。

4. 情報とファイルの暗号化された交換：

   情報とファイルの交換は、原則として特別なアプリケーションを介して直接暗号化されます。 個人データまたは機密情報を TLS 暗号化 HTTPS アップロード経由で送信できないサーバーに転送する必要がある場合、これらは、セキュア ファイル転送プロトコル (SFTP)、暗号化されたエンベロープ サービス、または最新技術に従った別の暗号化されたメカニズムを使用して転送されます。

5. 電子メールの暗号化：

   Globalization Partnersの従業員から送信されるすべての電子メールは、原則としてTLSで暗号化されます。 受信メールサーバーが TLS をサポートしていない場合は例外となる場合があります。 顧客は、注文の範囲内で使用される対応するメールサーバーがTLS暗号化に対応していることを確認しなければなりません。

c) 入館管理入館管理は、権限のない者によってデータ保護法によって保護されているデータの使用と処理を防止するために意図され、実施されています。

• 認証方法の使用

  
  個人データへのアクセスは常に、SSH、SSL/TLS、HTTPS、または同等のプロトコルなどの暗号化されたプロトコルを介して行われます。 ITシステムの認証手順：ITシステムへの多要素認証ログイン。

• 非アクティブの場合の自動ブロック

  
  ユーザーが使用していないときにパスワードまたはPIN保護でロックされているGlobalization Partners従業員が使用するラップトップ。 さらに、パスワード保護付きの自動画面ロックは、無操作状態が15分間続くと設定されます。

• ウイルス対策ソフトの利用

  
  Globalization Partnersの従業員が使用するラップトップには、すべての運用またはビジネスITシステムに関する最新の最新のウイルス対策ソフトウェアが搭載されています。 原則として、他の同等の最先端のセキュリティ対策が講じられていないか、リスクがない場合を除き、常駐ウイルス保護なしでコンピュータを操作することはできません。 デフォルトのセキュリティ設定を無効にしたり、回避したりしないでください。

• クリーンデスクポリシー

  
  Globalization Partners従業員は、データ主体の個人データを印刷したり、ローカルに保存したりせず、作業資料を第三者が閲覧できる場所に放置したり、すべての作業資料を適切に保存したりしないよう指示されます。 Globalization Partnersハードコピーで保持することを法律で義務付けられている文書は、施錠されたキャビネットに保管されます。

d) プラットフォームアクセス制御内のアクセス制御は、処理システムを使用する権限を与えられた人物が、アクセス許可の対象となる個人データにのみアクセスできるようにする。

• 役割と権限

  • ロールおよび承認プラットフォーム – 顧客アクセス 顧客ユーザーは、顧客アカウント情報を表示および編集できます。

  • 役割および承認プラットフォーム – Professional Access Professionalユーザーは、自分の職業情報を表示および編集できます。
    また、要件 + 承認時に、Professionalsは顧客アクセスの役割を取得することもできます。

  • 役割と承認プラットフォーム – 内部アクセス
    内部アクセスのユーザーの役割はさまざまです。 これらのユーザーは、以下を作成、表示、編集、承認するためのさまざまなアクセス権を持っています。

    • 顧客情報

    • 請求情報

    • パートナー情報

    • 専門職員が情報を記録する

    管理者システムへのアクセスは、通常、カスタマーサポートおよび製品開発の分野でトレーニングを受けた従業員に限定されます。

e) Firewall as a ServiceGlobalization Partnersは、外部ファイアウォールをサービスとして使用します。これにより、システムが悪意のあるコンテンツにアクセスできないようにしたり、不適切なコンテンツへのアクセスを制限したりするために、ウェブサイトへのアクセスを許可またはブロックすることができます。

f) プラットフォームへのログイン記録Globalization Partners、すべてのログイン活動の記録を維持する。

g) 分離性 異なる目的で収集された個人データが別々に処理され、他の目的でのこれらのデータの予定外の使用が除外されるように、他のデータやシステムと分離されることを確実にする。

• 開発、テスト、運用環境の分離

  
  運用環境からのデータは、転送前に完全に匿名化された場合にのみ、テスト環境または開発環境に転送できます。 匿名化されたデータの転送は、暗号化するか、信頼できるネットワークを介して行う必要があります。

• ネットワークでの分離

  
  Globalization Partners、タスクに応じてネットワークを分離します。 次のネットワークが恒久的に使用されています：運用環境（“Production”）、テスト環境（“Staging”、“Sandbox”）、開発環境（“Dev”）のオフィスITスタッフ。 これらのネットワークに加えて、例えば、復元テストおよびペネトレーションテストのために、必要に応じてさらに別個のネットワークが作成される。 技術的な可能性に応じて、ネットワークは物理的に、または仮想ネットワークによって分離されます。

h) 可用性の管理Globalization Partners、個人データが偶発的な破壊や紛失から保護されるよう、以下の措置を講じます。

• データ保護手順/バックアップ

  
  適切な可用性を確保するために、Globalization Partners、データベースのスナップショットを毎日実装し、異なる地域にレプリケーションします。 また、業務ベースでデータをレビューする必要がある従業員が、レプリカデータセットにのみアクセスできるようにする措置も講じられます。

• 生産的なデータとバックアップのサーバーインフラストラクチャに関する地理的冗長性

• ITインシデント管理（Incident Response Management）

  
  インシデントおよび安全性に関連する事象を処理するための概念と文書化された手順があります。 これには、法的要件の枠組み内で個人データの保護に違反した場合のインシデントへの対応、セキュリティ関連のイベントの監視、検出、分析の手順、対応する責任の定義、報告チャネルの計画と準備が含まれます。

2）データのプライバシーと保護を確保するための組織的対策

Globalization Partners、組織がデータプライバシーおよび保護要件を満たす方法で運営されることを確実にするために、以下の組織的対策を実施しています。

a) 組織に関する指示Globalization Partners、従業員が従うべきポリシー、手順、ガイドラインを含むデータガバナンスプログラムを開発し、現在開発中です。 文書には、データプライバシーの問題の特定および管理方法、プライバシーコンプライアンスを確保するためのベストプラクティス、プライバシーインシデントに対処するためのポリシーが含まれます。

b) 機密保持とデータ保護へのコミットメントGlobalization Partners、従業員が従うべきポリシー、手順、ガイドラインを含むデータガバナンスプログラムを開発し、開発しています。 すべての従業員および請負業者は、機密保持およびデータ保護、ならびにその他の関連法に書面で拘束されます。 すべての従業員は、プライバシーおよびセキュリティに関するトレーニングを受けます。 データ保護および情報セキュリティに関する内部監査を定期的に実施している。 監査は、一般的な試験基準/スキームに基づいて実施される。 Globalization Partners従業員および請負業者は、データ主体が与えるまたは差し控える明示的な同意を十分考慮し、かつ組織の法的義務に従って、顧客および専門家との契約に従って、合法的な理由のみのために個人データを処理するよう指示されます。

c) データ保護トレーニング すべての従業員は、プライバシーおよびセキュリティに関するトレーニングを受け、Globalization Partnersトレーニングプラットフォームでいつでもレビューすることができます。

d) 物理的アクセス制御Globalization Partners、処理に使用されるITシステム機器への権限のない人物のアクセスを拒否するために、以下の物理的制御を実施しています。

• 電子ドア保護

  
  Globalization Partnersのオフィスの敷地への入り口は、常に施錠され、電子的に保護されています。 ドアは、個人用電子トランスポンダを介して開かれます。

• 鍵の配布管理

  
  Globalization Partners従業員へのキーの集中的、文書化された割り当てが行われます。 これらの電子トランスポンダ/キーは、各オフィスマネージャーまたは人事部門によって一元的に無効化することができます。

• 外部者の監督・同行

  
  外部のサービスプロバイダーおよびその他の第三者は、事前の承認によって、またはGlobalization Partners従業員が同行する場合にのみ、施設へのアクセスを許可されます。 Globalization Partners、訪問者が施設に招待された場合、書面による訪問者ポリシーを適用します。

• 保護の必要性が増す施設の保護

  
  法律事務所や特定の業務拠点など、保護要件が強化された施設またはキャビネットには、ロックキャビネットと引き出しが装備されています。 法的文書、契約書、機密文書が保管されているキャビネットや引き出しは、使用中を除き、常に施錠してください。

• ドアと窓が閉まっている

  
  従業員は、営業時間外に窓やドアを閉めたままにするか、鍵をかけておくよう組織的に指示されます。

e) 回復性Globalization Partners、物理的または技術的な障害が発生した場合に、使用中のシステムを復元できることを確認します。

• データ復旧の定期テスト（Restore-Tests）

  
  緊急時/災害時の復旧可能性を確保するため、定期的な完全復旧テストを実施します。

• 緊急計画（災害復旧コンセプト）

  
  緊急事態/災害の治療のための概念とそれに対応する緊急計画があります。 Globalization Partners、データバックアップ/バックアップに基づいて、通常48数時間以内にすべてのシステムの復旧を保証します。

• レビューと評価の対策

  
  技術的および組織的措置の有効性の定期的なレビュー、評価、評価のための手順の提示。

f) プライバシーチーム データ保護の分野における対策の計画、実施、評価、適応を担当するグローバルデータプライバシーオフィスを有する。

g) リスク管理 リスクの分析、評価、配分、およびこれらのリスクに基づく対策の策定のためのプロセスがある。

3）情報セキュリティの独立レビュー

a) 監査の実施 データ保護及び情報セキュリティに関する内部監査を定期的に実施している。 監査は、一般的な試験基準/スキームに基づいて実施される。

b) セキュリティポリシーおよび基準の遵守状況の確認 個人データの処理に適用されるセキュリティガイドライン、基準、およびその他のセキュリティ要件の遵守状況を定期的にチェックする。 可能な場合、これらのチェックはランダムかつ予想外に実行されます。

c) 技術仕様への準拠の検証 IT 部門またはその他の有資格者による定期的な自動および手動の脆弱性スキャンを実施し、アプリケーションおよびインフラストラクチャのセキュリティ、ならびに製品の定期的な開発を検証します。 詳細なペネトレーションテストは、アプリケーションとインフラストラクチャの脆弱性を具体的に調査するために、外部サービスプロバイダーによって実施されます。

d) 指示に基づく処理Globalization Partners従業員は、顧客および専門家との該当する契約に従い、データ主体が与えるまたは留保する明示的な同意に十分配慮し、組織の法的義務に従って、合法的な理由のみのために個人データを処理するよう指示されます。

e) 慎重なサプライヤー選択Globalization Partners、保護されたデータに遭遇する可能性のあるベンダーおよびサプライヤーを選択する際、サプライヤーの事前資格審査プロセスを遵守します。 このプロセスには、財務および法務/プライバシー部門からのフィードバックが含まれ、リスク評価、セキュリティ事前認定、および文書認証の各ステップが組み込まれています。 保護されたデータを処理するサプライヤーは、対象となるデータの28GDPR条を含む、適用されるデータプライバシー法の遵守を証明する必要があります。