信頼できるグローバル人事エージェント、G-P Gia™の紹介。 Giaのベータ版をご利用いただけます。 登録して無料でお使いください
信頼できるグローバル人事エージェント、G-P Gia™の紹介。 Giaのベータ版をご利用いただけます。 登録して無料でお使いください
G-Pのロゴ
提案を要求

MSAプライバシー言語

最終更新日:

データ保護に関する補遺

本データ保護補遺(以下、補遺)は、基本契約書の諸条件を補足し、その中に組み込まれる。 本追加契約と、本追加契約に定める問題に関する両当事者間のその他の合意との間に矛盾が生じた場合、本追加契約が優先するものとする。

1. 定義

1.1. 本契約で定義されていない用語は、マスターサービス契約に定める意味を有する。 本補遺の以下の用語は、以下の意味を有する。

1.2. 認定ユーザーとは、本マスター契約の締結に基づき、本顧客に代わって本プラットフォームにアクセスし、本プラットフォームを使用するために、本顧客またはその従業員および/または請負業者のいずれかを含めることができる、本顧客が許可する個人を意味する。

1.3. CCPAとは、California Consumer Privacy Actの略。

1.4. 顧客データとは、認定ユーザーまたは特定可能な自然人に関連する個人データまたは個人情報で、顧客によるプラットフォームの使用のために、顧客に代わってGlobalization Partnersによって転送、処理、または保存されるものを指します。

1.5. データ保護法とは、本契約の当事者が対象となり、提供されるサービスに適用されるデータ保護法およびプライバシー法を意味し、GDPR、英国GDPR、米国のプライバシー法(州法および連邦法を含む)、シンガポールの個人情報保護法を含みますが、これらに限定されません。

1.6. GDPRとは、一般データ保護規則(EU)2016/679および/または英国のGDPRを意味します。

1.7. “EEA”とは、欧州経済領域を意味します。

1.8. EU SCCとは、の欧州議会および欧州委員会実施決定(EU)によって承認された理事会2016/679の規則(EU)に従って、個人データを第三国に転送するための標準契約条項を意味します2021/9144 2021年6月。

1.9. EORサービスとは、基本契約に従ってGlobalization Partnersお客様に提供する記録サービスの雇用主を意味します。

1.10. 基本契約とは、EORサービスの提供に関してお客様とGlobalization Partnersとの間で締結された契約を意味します。

1.11. プラットフォームとは、Globalization Partners専有ソフトウェアを意味します。これには、ソフトウェア、モバイルバージョン、そこに含まれるソフトウェア、およびGlobalization Partners専有ソフトウェアまたは第三者サービスのいずれかを使用して利用可能となった、アップデート、アップグレード、サービスとしてのプラットフォーム、ドキュメントを含むデータが含まれますが、これらに限定されません。これらのデータの説明は、に記載されていますhttps://www.globalization-partners.com/employer-of-record-solutions/

1.12. 英国補遺とは、英国情報コミッショナーが発行し、本書に付属書IVとして添付されるEU標準契約条項の英国国際データ転送補遺を意味する。

1.13. 管理者、“データ主体”、“個人データ”、“個人情報”、“データ侵害”、“処理者”、“処理/処理”、“制限付き移転”、“サービスプロバイダー”、および/またはその他の類似の用語および概念は、データ保護法で定義された意味を持つものとします。

2. 当事者と役割の関係

2.1. 当事者の役割および処理の詳細。 Globalization Partners、Globalization PartnersEORサービスを提供する際に、独立した管理者として個人データを処理するものとします。 いかなる場合も、両当事者は、共同管理者として本補遺に基づく個人データを処理しない。 Globalization Partners独立した管理者として事業を営む場合、Globalization Partners、個人データを処理する際、データ保護法に基づく管理者の義務を遵守するものとし、また、で入手可能なGlobalization Partnersプライバシーポリシーに記載されているとおりに個人データを処理するものとしますhttps://www.globalization-partners.com/privacy-policy/。 お客様は、管理者として個人データを処理する際に、データ保護法に基づく義務を遵守するものとします。 グローバルGlobalization Partners顧客データの処理中に処理者として行動する場合、かかる処理は、以下のセクション3(個人データの処理)に従って行われるものとします。

2.2. 責任と承認。 各当事者は、独立したデータ管理者として、個人データに関して本補遺に基づき個人データを処理することができる。 両当事者は、それぞれの義務を遵守し、本補遺および当該当事者の個人データ処理業務に適用されるすべてのデータ保護法を遵守して、個人データを公正かつ合法的に処理することに同意する。 各当事者は、個人データの処理がGlobalization Partnersが提供するEORサービスの目的に限定され、合法的な処理の法的根拠に基づくよう徹底するものとする。 両当事者は、データ保護法に基づくそれぞれの義務の遵守において相互に支援する。これには、データ侵害が発生した場合に相互に支援し、データ主体および/または規制当局の要請に対応することが含まれるが、これらに限定されない。

3. 個人データの処理

3.1. 範囲。 お客様によるプラットフォームの使用およびお客様の管理関係には、お客様に代わって処理者またはサービスプロバイダーとしてGlobalization Partnersによるお客様データの処理が含まれる場合があります。

3.2. 指示。 Globalization Partners、貴社の文書化された指示に従って貴社データを処理します。 顧客は、本補遺、基本契約、および本書に添付される付属書Iが、顧客データの処理に関するGlobalization Partnersに対する顧客の完全な指示を構成することに同意する。 追加または代替の指示は、かかる指示の遵守に関連する費用(もしあれば)を含め、両当事者間で書面で合意されなければならない。 Globalization Partners、お客様の指示が適用法を遵守しているかどうかを判断する責任を負いません。 ただし、Globalization Partners、お客様の指示が該当するデータ保護法を侵害していると判断した場合、Globalization Partners、合理的に可能な限り速やかにお客様に通知するものとし、かかる侵害の指示に従う義務を負わないものとします。

3.3. 処理の詳細 処理の主題、その期間、性質および目的、ならびに顧客データおよびデータ主体の種類の詳細は、本書に添付される付属書Iに定めるとおりである。

3.4. 法令順守。 顧客およびGlobalization Partners、付属書Iに明記されるとおりに処理される顧客データに適用されるデータ保護法に基づくそれぞれの義務を遵守することに同意します。顧客は、Globalization Partnersに顧客データを開示、移転、またはその他の方法で利用可能にする前に、顧客データの処理の合法性に関してデータ保護法を遵守する単独の責任を負います。 疑義を避けるために付言すると、すべての場合において、顧客は、顧客の指示に従って顧客データを処理するためのGlobalization Partnersについて、必要に応じてデータ主体から同意を得るものとする。

3.5. 復処理者。 貴社は、本サービスに関連して貴社データを処理するために、処理者(下請処理者)を指名し、使用することをGlobalization Partnersに許可します。 復処理者には、第三者またはGlobalization Partnersグループ企業が含まれます。 Globalization Partners、本追加契約の日付時点でGlobalization Partnersによって既に雇用されている下請処理者を引き続き使用することができる。かかる下請処理者のリストは、本書に添付される付属書IIIで入手可能である。 復処理者が上記のデータ保護義務の履行を怠った場合、Globalization Partners、復処理者の義務の履行について顧客に対して責任を負うものとします。 Globalization Partners、復処理者リストに変更があった場合、お客様に通知するものとします。 当該通知の受領から10(10)日以内に、データ保護の理由でお客様が復処理者の追加または削除に正当に異議を唱え、Globalization Partnersお客様の異議に合理的に対応できない場合、両当事者は、問題を解決するために、お客様の懸念を誠実に協議します。

3.6. 技術的および組織的なセキュリティ対策。 業界標準を考慮すると、 実装コスト、 自然、 範囲、 処理の背景と目的 プラットフォーム内での顧客データの処理に関連するその他の状況 Globalization Partners、セキュリティを確保するための適切な技術的および組織的セキュリティ対策を実施するものとします。 機密性、 誠実さ、 顧客データの処理に関与する処理システムおよびサービスの可用性および回復力は、かかる顧客データに関するリスクに相応する。 Globalization Partners、(i)その保護、管理、システムおよび手順の有効性を定期的にテストおよび監視し、(ii)顧客データのセキュリティ、機密性および完全性に対する合理的に予測可能な内部および外部リスクを特定し、これらのリスクが対処されるようにします。

3.7. 機密性。 Globalization Partners、顧客データへのアクセスを許可された人物が、(i) 秘密保持を確約しているか、または適切な法定秘密保持義務下にあること、および (ii) 適用法により義務付けられていない限り、Globalization Partnersからの書面による指示に従ってのみ、顧客データにアクセスすることを保証するものとします。

3.8. 個人データ侵害。 Globalization Partners、顧客データの処理に関するデータ侵害に気付いた後、不当な遅延なく顧客に通知し、可能な限り、データ侵害の悪影響を軽減するために合理的な努力を払うものとします。

3.9. 海外転勤。 Globalization Partners、通常の業務過程において、顧客データをその関連会社および/または下請処理者に世界的に転送する権限を有します。 かかる移転を行う際、Globalization Partners、基本契約に基づき、またはこれに関連して移転される顧客データを保護するために、以下のとおり適切な保護が講じられていることを確認するものとする。

  • 3.9.1. GlobalizationがEEA外の国に顧客データを移転する場合(プライバシー法に基づく適切な決定の対象とならない)、Globalization Partnersは、EU SCCに基づく義務を履行し、これを遵守するものとします。このSCCは、参照により本補遺に組み込まれ、以下のように完了します。
    • モジュール2(管理者から処理者)は、お客様が個人データの管理者であり、Globalization Partners個人データの処理者である場合に適用されます。
    • 第 項では7、オプションのドッキング条項が適用されます。
    • 第条では9、オプション2は10日間適用されます。
    • 第 条において11、任意の文言は適用されない。
    • 第条において12、EU SCCに基づき提起された請求は、本契約に定める条件に従うものとする。
    • 第 条では17、オプション 1 が適用され、EU SCC はアイルランド法に準拠します。
    • 第18(b)条において、紛争はアイルランドの裁判所で解決されるものとする。
    • EU SCCの付属書Iは、本付属書の付属書Iに記載された情報で完了したものとみなされるものとする。
    • EU SCCの付属書IIは、本付属書の付属書IIに記載された情報で完了したものとみなされるものとする。
    • EU SCCの付属書IIIは、本付属書の付属書IIIに定められた情報で完成したものとみなされるものとする。
  • 3.9.2. 英国のGDPRによって保護されている顧客データに関して、両当事者は、英国からの譲渡制限についてEU SCCに依拠することが合法的に許可されています。ただし、英国の補遺は、本補遺に参照により組み込まれ、本書に添付される付属書IVに定義されるとおりに完了します。 本条が適用され3.9.2ない場合、Globalization Partners輸出会社および顧客は、英国GDPRが要求または許可する個人データの移転について、不当な遅延なく適切な保護措置を実施するために誠実に協力するものとします。
  • 3.9.3. 本項の解釈のいかなる内容3.9も、EU SCCおよび/または英国補遺に基づくいずれかの当事者の権利または責任と矛盾することを意図しておらず、かかる矛盾が生じた場合、EU SCCおよび/または英国補遺が、該当する場合、優先するものとする。

3.10. 個人データの削除 本サービスの終了時(理由の如何を問わず)、および貴社から書面で要請があった場合、Globalization Partners、適用法により、より長期間の貴社データの保管が義務付けられていない限り、合理的に実行可能な限り速やかに、プラットフォームに保存されている貴社データを返却または削除するものとします。 かかる保持のために、本補遺の規定はかかる顧客データに引き続き適用されるものとする。

3.11. データ主体の要求。 Globalization Partners、顧客データに関するデータ主体の要請を速やかに顧客に通知するものとします。 お客様は、かかる要求に対応する責任を負います。 Globalization Partners、顧客がプラットフォームの使用において関連する顧客データにアクセスできない範囲で、かかるデータ主体の要請に顧客が対応できるよう合理的に支援する。

3.12. 第三者の要求 Globalization Partners、本契約に基づく顧客データの処理に関して、第三者から要請を受けた場合、またはGlobalization Partners対象となる管轄権を有する裁判所、裁判所、規制当局、政府機関の命令を受けた場合、Globalization Partners、当該要請を速やかに顧客に転送する。 Globalization Partners、法的に強制されない限り、お客様の事前の許可なくかかる要求に応じないものとします。 Globalization Partners、法的に禁止されていない限り、顧客データの開示を行う前に顧客に通知し、かかる開示の範囲を法的に要求される範囲に限定するために合理的に顧客に協力します。

3.13. データ保護影響評価および事前相談。 データ保護法で要求される範囲で、Globalization Partners、Globalization Partners行う顧客データの処理および/または監督当局との事前協議(または)に関連して、データ保護影響評価を実施するために合理的な支援を顧客に提供するものとします。 Globalization Partners、かかる支援の提供に対して合理的な料金を顧客に請求する権利を留保します。

3.14. コンプライアンスの実証。 Globalization Partners、組織のセキュリティ、可用性、処理の完全性、機密性、およびプライバシー管理に関する外部監査を定期的に実施し、書面による要請に応じて、最新のサマリー監査報告書または証明書のコピーを顧客に提供します。 お客様が、提供された第三者の証明書または報告書に加えて、独自の監査の実施を希望する場合、 かかる監査は、以下の場合に実施されるものとする。 i) 各12(12)カ月に1回以下 ii) 通常の営業時間内、かつGlobalization Partners日常業務を中断することなく、 iii) 三十(30)日前の書面による通知 iv) お客様の単独の費用負担(セキュリティマネージャーの日給に基づく、監査中にお客様を支援するためにグローバリゼーションパートナーが費やした時間を含む) v) 相互に合意されたパラメータおよび範囲に基づき、 特定のサービス範囲に限定され、 使用および/または処理活動が企図され、実際の要件に固有のシステム vi) 相互に合意した事前の日付に基づき、 Globalization Partners、顧客による合理的な延期を条件とする。 vii) すべての機密保持義務および制限に従う。 上記にかかわらず、マスター契約の終了後は、お客様が証明しなければならない法的義務を除き、監査権は付与されません。 顧客に代わって監査を実施するために選定された第三者代理人は、EORサービス代理店、関連組織またはコンサルタントに所有権または提携関係を有してはなりません。

3.15. 情報販売なし。 Globalization Partners、本補遺に定められている場合を除き、個人データに関する権利または利益を派生または行使しないものとします。 疑義を避けるために付言すると、Globalization Partners、本マスター契約に従って本プラットフォームを本顧客に提供する特定の目的以外の目的で、本顧客データを保持、使用、共有または開示しない。 Globalization Partners、販売という用語がCCPAで定義されているため、個人データを販売してはなりません。 Globalization Partnersは、CCPAの規則、要件、および定義を理解し、Globalization Partnersとの間で個人データの移転がCCPAに基づく“個人情報の販売”に該当することとなるような行為を行わないことを表明し保証します。

付録I - データ処理の説明

当事者 コントローラー/データエクスポーター:マスター・アグリメント
・プロセッサー/データ・インポーターを実行する顧客事業体:マスター契約を実行するGlobalization Partners事業体。
当事者の連絡先情報 マスター契約に定める顧客の連絡先情報。 Globalization Partners連絡先は、基本契約に定めるとおりです。
転送されたデータに関連する活動 サービスとして提供されるプラットフォームに関連する活動。
処理アクティビティ Globalization Partners、顧客へのサービスとしてプラットフォームを提供する際に顧客データを処理する。
処理期間 Globalization Partners、マスター契約の期間中、継続的に顧客データを処理する。
処理の性質と目的 貴社は、貴社の単独の裁量により貴社データを決定し、管理するGlobalization Partnersに貴社データを移転することができます。 Globalization Partners、本プラットフォームを顧客へのサービスとして提供する目的で、必要に応じて、基本契約に従って顧客データを処理する。
データ主体のカテゴリ 顧客データは、プラットフォームの認定ユーザーによって個人データが提供される個人に加えて、顧客の従業員および/または請負業者を含むプラットフォームの認定ユーザーに関するものです。
個人データの種類 移転される顧客データには、以下のカテゴリのデータが含まれる場合があります。

  • 連絡先情報(住所、電話番号、電子メールなど)。
  • 従業員/請負業者のデータ(役職や会社名など)。
  • 顧客の詳細(請求およびクレジット関連データなど)。
  • 使用データ(認定ユーザーのデバイスに関するデータ、およびかかるデバイスがプラットフォームとどのように相互作用するかなど)。
  • ロケーションデータ(IPアドレスから派生したロケーションなど)。
  • コンテンツデータ(専門家およびコミュニケーションに関する顧客のファイルの内容など)。
  • 認証情報(パスワード、パスワードのヒント、および認証やプラットフォームへのアカウントアクセスに使用される同様のセキュリティ情報など)。
  • 認定ユーザーから提供された個人データ。
特別なデータカテゴリー(該当する場合) 該当なし
人材保持 顧客データは、少なくとも、適用される法的に義務付けられた最低保存期間、適用される出訴期限に合致し、かつグッドビジネスプラクティスを満たす限り、保持されます。
所轄監督機関 アイルランドデータ保護委員会
サブプロセッサへの転送 処理者への転送の場合、処理の主題、性質、および期間は上記で定義されたものと同じです。
Globalization Partners プライバシーの連絡先情報 privacy@globalization-partners.com
宛先:グローバルプライバシーオフィス

付属書II - 技術的および組織的措置

Globalization Partners、独立監査人によってSOC2基準への準拠を確認する認定および証明を受けています。 Service Organization Controls(SOC)レポートは、顧客データを保護するという当社のコミットメントを示しています。 Globalization Partnersのセキュリティプログラムは、以下を目的としています。

  • Globalization Partners保有する、またはGlobalization Partnersアクセスできる顧客データの機密性、完全性、および可用性を保護する。
  • 顧客データの機密性、完全性、および可用性に対する予想される脅威または危険から保護する。
  • 顧客データの不正なまたは違法なアクセス、使用、開示、改変、または破壊から保護する。
  • 顧客データの偶発的な損失、破壊、または損害から保護する。
  • Globalization Partners規制を受ける可能性のある規制で定められた情報を保護します。

以下に、顧客データの処理のセキュリティを確保するためにGlobalization Partners講じた機能、プロセス、コントロール、システム、手順、および対策について説明します。

1)データのプライバシーと保護を確保するための技術的措置

a) プライバシー・バイ・デザインおよびデフォルト:

Globalization Partnersは、製品開発の構想と開発フェーズにおいて25、GDPR条の要件を考慮します。 プロセスと機能は、合法性、透明性、目的の制限、データ最小化などのデータ保護原則、および処理のセキュリティが早期に考慮されるように設定されています。

b) 個人データの暗号化:

個人データが、第三者がデータ主体を特定できない方法でのみシステムに保管されるようにする。

  • データベースとストレージの暗号化:
    Globalization Partners使用するすべてのデータベースでは、データベースからのデータは、それぞれのデータベースシステムで適切な認証を受けた後にのみ読み取ることができるように、最新技術に従った暗号化が \"保存\" されます。
  • モバイルデータメディアの暗号化:
    モバイルデータキャリアを使用して顧客データを保存することはできません。
  • ノートパソコン上のデータ通信事業者の暗号化:
    全従業員のノートパソコンには、適切な最先端のハードディスク暗号化がインストールされています。
  • 情報とファイルの暗号化された交換:
    情報とファイルの交換は、原則として特別なアプリケーションを介して直接暗号化されます。 個人データまたは機密情報を TLS 暗号化 HTTPS アップロード経由で送信できないサーバーに転送する必要がある場合、これらは、セキュア ファイル転送プロトコル (SFTP)、暗号化されたエンベロープ サービス、または最新技術に従った別の暗号化されたメカニズムを使用して転送されます。
  • 電子メールの暗号化:
    Globalization Partners従業員が送信する電子メールはすべて、原則としてTLSで暗号化されます。 受信メールサーバーが TLS をサポートしていない場合は例外となる場合があります。 顧客は、注文の範囲内で使用される対応するメールサーバーがTLS暗号化に対応していることを確認しなければなりません。

c) 入院管理

入館管理は、権限のない人物によってデータ保護法によって保護されているデータの使用と処理を防止するために意図され、導入されています。

  • 認証方法の使用
    個人データへのアクセスは、常に暗号化されたプロトコルを介して行われます:SSH、SSL/TLS、HTTPSまたは同等のプロトコル。 ITシステムの認証手順:ITシステムへの多要素認証ログイン。
  • ユーザーが使用していないときにパスワードまたはPIN保護でロックされたGlobalization Partners従業員が使用していないラップトップの自動ブロック
    。 さらに、パスワード保護付きの自動画面ロックは、無操作状態が15分間続くと設定されます。
  • Globalization Partnersの従業員が使用するウイルス対策ソフトウェアラップトップの使用
    には、すべての運用またはビジネスITシステムに関する最新の最新のウイルス対策ソフトウェアが搭載されています。 原則として、他の同等の最先端のセキュリティ対策が講じられていないか、リスクがない場合を除き、常駐ウイルス保護なしでコンピュータを操作することはできません。 デフォルトのセキュリティ設定を無効にしたり、回避したりしないでください。
  • “クリーンデスクポリシー”
    Globalization Partners従業員は、データ主体の個人データを印刷したり、現地で保管したりせず、作業資料を第三者が閲覧できる場所に放置したり、すべての作業資料を適切に保管したりしないよう指示されます。 Globalization Partnersハードコピーで保持することを法律で義務付けられている文書は、施錠されたキャビネットに保管されます。

d) プラットフォーム内のアクセス制御

アクセス制御は、処理システムの使用を許可された人物が、アクセス許可の対象となる個人データにのみアクセスできるようにします。

  • 役割と権限
    • ロールおよび承認プラットフォーム – 顧客アクセス 顧客ユーザーは、顧客アカウント情報を表示および編集できます。
    • 役割および承認プラットフォーム – Professional Access Professionalユーザーは、自分の職業情報を表示および編集できます。
      プロフェッショナルは、要件 + 承認時に顧客アクセスの役割も得ることができます。
    • 役割と承認プラットフォーム – 内部アクセス
      内部アクセスユーザーの役割はさまざまです。 これらのユーザーは、以下を作成、表示、編集、承認するためのさまざまなアクセス権を持っています。

      • 顧客情報
      • 請求情報
      • パートナー情報
      • 専門職員が情報を記録する

      管理者システムへのアクセスは、通常、カスタマーサポートおよび製品開発の分野でトレーニングを受けた従業員に限定されます。

e) サービスとしてのファイアウォール

Globalization Partnersは、外部ファイアウォールをサービスとして使用し、不正なコンテンツにアクセスできないようにしたり、不適切なコンテンツへのアクセスを制限したりするために、Webサイトへのアクセスを許可またはブロックできるようにします。

f) プラットフォームへのログイン記録

Globalization Partners、すべてのログインアクティビティの記録を保持します。

g) 分離性

異なる目的で収集された個人データが別々に処理され、他の目的でのこれらのデータの予定外の使用が除外されるように、他のデータおよびシステムと分離されることを確実にする。

  • 開発環境、テスト環境、および運用環境の分離
    運用環境からのデータは、転送前に完全に匿名化された場合にのみ、テスト環境または開発環境に転送できます。 匿名化されたデータの転送は、暗号化するか、信頼できるネットワークを介して行う必要があります。
  • ネットワーク内の分離
    Globalization Partners、タスクに従ってネットワークを分離します。 次のネットワークが恒久的に使用されています:運用環境(“Production”)、テスト環境(“Staging”、“Sandbox”)、開発環境(“Dev”)のオフィスITスタッフ。 これらのネットワークに加えて、例えば、復元テストおよびペネトレーションテストのために、必要に応じてさらに別個のネットワークが作成される。 技術的な可能性に応じて、ネットワークは物理的に、または仮想ネットワークによって分離されます。

h) 可用性の管理

Globalization Partners、個人データが偶発的な破壊や紛失から保護されるように、以下の措置を講じます。

  • データ保護手順/バックアップ
    適切な可用性を確保するため、Globalization Partners、データベースのスナップショットを毎日実装し、異なる地域にレプリケーションします。 また、業務ベースでデータをレビューする必要がある従業員が、レプリカデータセットにのみアクセスできるようにする措置も講じられます。
  • 生産的なデータとバックアップのサーバーインフラストラクチャに関する地理的冗長性
  • ITインシデント管理(Incident Response Management)
    インシデントや安全関連イベントを処理するための概念と文書化された手順があります。 これには、法的要件の枠組み内で個人データの保護に違反した場合のインシデントへの対応、セキュリティ関連のイベントの監視、検出、分析の手順、対応する責任の定義、報告チャネルの計画と準備が含まれます。
2)データのプライバシーと保護を確保するための組織的対策

Globalization Partners、組織がデータプライバシーおよび保護要件を満たす方法で運営されることを確実にするために、以下の組織的対策を実施しています。

a) 組織に関する指示

Globalization Partners、従業員が従うべきポリシー、手順、ガイドラインを含むデータガバナンスプログラムを開発し、開発しています。 文書には、データプライバシーの問題の特定および管理方法、プライバシーコンプライアンスを確保するためのベストプラクティス、プライバシーインシデントに対処するためのポリシーが含まれます。

b) 機密保持とデータ保護へのコミットメント

Globalization Partners、従業員が従うべきポリシー、手順、ガイドラインを含むデータガバナンスプログラムを開発し、開発しています。 すべての従業員および請負業者は、機密保持およびデータ保護、ならびにその他の関連法に書面で拘束されます。 すべての従業員は、プライバシーおよびセキュリティに関するトレーニングを受けます。 データ保護および情報セキュリティに関する内部監査を定期的に実施している。 監査は、一般的な試験基準/スキームに基づいて実施される。 Globalization Partners従業員および請負業者は、データ主体が与えるまたは差し控える明示的な同意を十分考慮し、かつ組織の法的義務に従って、顧客および専門家との契約に従って、合法的な理由のみのために個人データを処理するよう指示されます。

c) データ保護トレーニング

すべての従業員は、プライバシーおよびセキュリティに関するトレーニングを受け、Globalization Partnersのトレーニングプラットフォームでいつでも確認することができます。

d) 物理的アクセス制御

Globalization Partners、処理に使用されるITシステム機器への権限のない人物のアクセスを拒否するために、以下の物理的管理を実施しています。

  • 電子ドア保護
    Globalization Partnersオフィスの敷地への入口ドアは、常に施錠され、電子的に保護されています。 ドアは、個人用電子トランスポンダを介して開かれます。
  • 鍵の管理された配布
    Globalization Partners従業員への鍵の集中的な割り当てが文書化されています。 これらの電子トランスポンダ/キーは、各オフィスマネージャーまたは人事部門によって一元的に無効化することができます。
  • 外部関係者の監督および同行
    外部サービスプロバイダーおよびその他の第三者は、事前の承認によって、またはGlobalization Partners従業員が同行する場合にのみ、施設へのアクセスを許可されます。 Globalization Partners、訪問者が施設に招待された場合、書面による訪問者ポリシーを適用します。
  • 保護の必要性が高まっている施設の保護
    法律事務所や特定の業務場所など、保護要件が高まっている施設やキャビネットには、ロックキャビネットと引き出しが装備されています。 法的文書、契約書、機密文書が保管されているキャビネットや引き出しは、使用中を除き、常に施錠してください。
  • 閉鎖されたドアと窓
    従業員は、営業時間外に窓とドアを閉鎖または施錠しておくよう組織的に指示されます。

e) 回復性

Globalization Partners、物理的または技術的な障害が発生した場合に、使用中のシステムを復元できるようにします。

  • データ復旧の定期的なテスト(“Restore-Tests”)
    緊急時/災害時の復旧可能性を確保するため、定期的なフルリストアテストが実施されます。
  • 緊急計画(“災害復旧コンセプト”)
    緊急時・災害対応のためのコンセプトとそれに対応する緊急計画がある。 Globalization Partners、データバックアップ/バックアップに基づいて、通常48数時間以内にすべてのシステムの復旧を保証します。
  • レビューおよび評価措置
    技術および組織的措置の有効性の定期的なレビュー、評価および評価のための手順の提示。

f) プライバシーチーム

データ保護の分野における対策の計画、実施、評価、適応を担当するグローバルデータプライバシーオフィスがあります。

g) リスク管理

リスクの分析、評価、配分、およびこれらのリスクに基づく対策の策定のプロセスがあります。

3)情報セキュリティの独立レビュー

a) 監査の実施

データ保護および情報セキュリティに関する内部監査を定期的に実施している。 監査は、一般的な試験基準/スキームに基づいて実施される。

b) セキュリティポリシーおよび基準の遵守状況の確認

個人データの処理に関して適用されるセキュリティガイドライン、基準、およびその他のセキュリティ要件の遵守は、定期的にチェックされます。 可能な場合、これらのチェックはランダムかつ予想外に実行されます。

c) 技術仕様への準拠の検証

アプリケーションやインフラストラクチャのセキュリティ、および製品の定期的な開発を検証するために、IT部門またはその他の有資格者が定期的な自動および手動の脆弱性スキャンを実施します。 詳細なペネトレーションテストは、アプリケーションとインフラストラクチャの脆弱性を具体的に調査するために、外部サービスプロバイダーによって実施されます。

d) 指示の処理

Globalization Partnersの従業員は、顧客および専門家と適用される契約に従い、データ主体による明示的な同意、またはデータ主体が差し控えた同意を十分考慮し、組織の法的義務に従って、合法的な理由のみのために個人データを処理するよう指示されます。

e) 慎重なサプライヤー選定

Globalization Partners、保護されたデータに遭遇する可能性のあるベンダーおよびサプライヤーを選定する際に、サプライヤー事前認定プロセスを遵守します。 このプロセスには、財務および法務/プライバシー部門からのフィードバックが含まれ、リスク評価、セキュリティ事前認定、および文書認証の各ステップが組み込まれています。 保護されたデータを処理するサプライヤーは、対象となるデータの28GDPR条を含む、適用されるデータプライバシー法の遵守を証明する必要があります。

付属書III - 下請処理者リスト

サブプロセッサ 連絡先情報 処理の説明 所在地
Globalization Partners子会社 https://www.globalization- partners.com/contact-us/ プラットフォームおよび顧客関係管理の提供 US
アキュマティカ 3933 Lake Washington Blvd NE #350, カークランド, アメリカ98033, アメリカ 金融サービス US
Amazon Webサービス P.O. Box 98108-1226米国ワシントン州81226シアトル
https://aws.amazon.com/contact-us/		 ホスティング – クラウドサービスプロバイダー US
マイクロソフト One Microsoft Way Redmond, Washington 98052 USA

電話: (+1) 425-882-8080.		 ビジネスプロセスサポートコミュニケーション(電子メール)、サービス管理 US
アトラシアン 350 Bush Street Floor 13 サンフランシスコ, CA94104, USA
+1 415 701 1110		 サービス管理のビジネスプロセスサポート US
コンガ https://conga.com/contact-us
62 Margaret St、3階、ロンドンW1W8TF、英国		 契約管理 英国
DocuSign DocuSign International (EMEA) Ltd、注意:プライバシーチーム、5ハノーバーキー、1階、ダブリン2、アイルランド共和国 文書管理 アイルランド
ゴン 265 ケンブリッジアベニュー、スイート60717パロアルト、CA94306、USA 電気通信サービス US
iCertis 2 キングダム・ストリート・パディントン・ロンドン W2 6BD イギリス 契約管理 英国
Salesforce.com Salesforce Tower, 415 Mission Street, 3rd Floor, サンフランシスコ, CA 94105, アメリカ

1-800-387-3285		 顧客関係管理(CRM)のビジネスプロセスサポート US
Zendesk 989 Market St San Francisco, CA 94103, アメリカ
zendesk.com
888-670-4887		 カスタマー サポートに関するヘルプデスクのお問い合わせ US

付属書IV - EU標準契約条項の英国補遺

パート1:表

表1:当事者

就業開始日 本補遺の発効日
両当事者 輸出者(譲渡制限者) 輸入者(譲渡制限を受ける者)
当事者の詳細 マスター契約に定める顧客事業体の詳細。 基本契約に定めるGlobalization Partnersズの事業体の詳細。
主な連絡先 マスター契約に定める顧客の連絡先情報。 基本契約に定めるGlobalization Partnersズの連絡先情報および上記の付属書Iに定めるGlobalization Partnersズのプライバシー連絡先情報。

表2:選択したSCC、モジュール、選択した条項

補遺EU SCC 本補遺に添付される付属書情報を含む、補遺3.9のセクションに組み込まれた承認済みEU SCCのバージョン。

表3:付録情報

付録情報とは、承認されたEU SCCの付録(両当事者以外)に規定された、選択されたモジュールについて提供する必要がある情報、および本付録について以下に定める情報を意味する。

  • 附属書 1A: 締約国リスト : 附属書I
  • 附属書1B:譲渡の説明:附属書I
  • 附属書II:データのセキュリティを確保するための技術的及び組織的措置を含む技術的及び組織的措置:附属書II
  • 附属書III:サブプロセッサのリスト:附属書III

表 4:承認済みの補遺が変更された場合の本補遺の終了

承認済みの補遺が変更された場合の本補遺の終了 どの当事者が、セクション ‎19:
☐ 輸入者
☒ 輸出者
☐ いずれの当事者も、
パート2:必須条項
必須条項 パート 2:承認済み補遺の必須条項。1.0ICOが発行し2 2022年2月、2018データ保護s119A法に従って議会に付されたテンプレートの補遺B。これらの必須条項18のセクションに基づき改訂される。