公式版です! G-P Gia™がどなたでもご利用いただけるようになりました。 規模の大きなグローバル人事コンプライアンスのためのエージェント型人工知能(AI)をご提供します。 今すぐお試しください!
H-1Bビザはもはや過去のもの。 G-P EOR™で超一流の人材にアクセス
G-Pのロゴ
提案を要求

MSAプライバシー言語

最終更新日: 3月 4, 2026

 データ保護に関する補遺

貴社は、 との間で基本契約を締結し、または同様の性質および目的を有する契約を締結しています(以下、基本契約といいます) G-P。 かかる基本契約の締結には、個人データの処理を伴う場合があります。 お客様および G-P (共同で“当事者”と呼ぶ)は、本データ保護補遺(DPA)が、マスター契約に基づいてお客様に提供されるサービスに関連する個人データの処理およびセキュリティに関する義務を定めることに同意し G-P、両当事者は本DPAに拘束されることに同意します本DPAは、マスター契約の諸条件を補足し、その中に組み込まれる。 本DPAと、本DPAに定める問題に関する両当事者間のその他の合意との間に矛盾が生じた場合、本DPAが優先するものとする。 貴社が既に との間でデータ保護に関する追加契約を締結している場合 G-P、当該契約は本 DPA に優先するものとし、本 DPA は貴社および が別途書面で合意しない限り、効力を有さないものとします G-P。

 

一方、

  1. G-P がお客様に記録の雇用主(EOR)サービスを提供する場合、 G-P は、お客様が雇用する個人(プロフェッショナル)の法的雇用主の役割を引き継ぎます。
  2. かかる専門家の個人データに関して、 G-P は雇用関係の過程で管理者です。
  3. 顧客が自身の目的のために収集および使用する専門家の個人データに関しては、顧客は独立したプライバシー義務を有する管理者でもあります。
  4. EORサービスを提供する場合、専門家の個人データ G-P と顧客との間の交換は、独立した管理者間の関係にあり 、以下の第 2 条に定義される管理者間の条件が適用されるものとする。
  5. G-P は、 G-Pのプラットフォーム (GPP) を介してさまざまなソフトウェア アズ ア サービス製品も提供しており、これにより、お客様はこれらのプロフェッショナルとの関係を管理 G-P できます。
  6. お客様にGPPへのアクセスを提供することにより、は、お客様が指名したGPPの認定ユーザーによってGPPにアップロードされたアカウント関連データの処理者 G-P であり 、後述の第 3 条に定義される管理者間の条件が適用されるものとします。

 

G-P 顧客は、以下のとおり合意している。

 

1. 定義

1.1.本契約で定義されていない 用語は、基本契約に定める意味を有する。 本DPAにおける以下の用語は、以下の意味を有する。

1.2. 認定ユーザー とは、マスター契約の締結に基づき、顧客に代わって GPP にアクセスし、これを使用するために、顧客または顧客の従業員および/または請負業者のいずれかを含めることができる、顧客が許可する個人を意味する。

1.3. 顧客データとは、顧客によるGPPの使用のために顧客 G-P に代わって転送、処理、または保存される、認定ユーザーまたは特定可能な自然人に関連する個人データを意味します。

1.4. データ保護法 とは、本契約の当事者が対象となり、提供されるサービスに適用されるデータ保護法およびプライバシー法を意味し、GDPR、英国GDPR、スイスデータ保護法、米国プライバシー法(州法および連邦法を含む)、 ブラジルLGPDを含みますが、これらに限定されません

1.5. GDPRとは、General Data Protection Regulation (EU) 2016/679の略。

1.6. GPPとは、 G-Pソフトウェア、モバイルバージョン、そこに含まれるソフトウェア、およびアップデート、アップグレード、サービスとしてのプラットフォーム、および文書を含む、の専有ソフトウェアまたは第三者サービスの使用を通じて利用可能となったデータを含むがこれらに限定されない、 G-Pの専有ソフトウェアを意味します。

1.7. EEAとは、 European Economic Areaの略。

1.8. LGPDとは、ブラジルの法律第 13.709号、個人データの保護に関する一般法を意味し、修正、置き換え、または置き換えられる場合があります。

1.9. Master Agreemen t” とは、顧客間で締結された、本サービスの提供 G-P に関する契約を意味します。

1.10. プライバシーポリシーとは、随時更新される G-Pのプライバシーポリシーを意味し、 https://www.globalization-partners.com/privacy-policy/

1.11. \"プロフェッショナルのデータ\" とは、EORサービスの提供の過程 G-P で によって処理される プロフェッショナルの個人データをお客様に意味します。

1.12. 制限付き転送 とは、EEA、英国、スイス、またはブラジル以外の国に個人データを転送することを意味し、適用されるデータ保護法に基づく適切な決定

1.13. サービスとは、基本契約に基づき顧客 G-P に提供されるサービスを意味し、これにはEORサービスおよびGPPへのアクセスと使用が含まれる場合があります。

1.14. 和解標準契約条項和解 または 和解SCC和解 案GDPRが適用される場合、(i) 欧州議会および理事会の規則(EU) 2016/679 に従って第三国に個人データを移転するための標準契約条項の欧州委員会の実施決定(EU)2021/914 に添付された4 2021年6月 標準契約条項 以下から入手可能: https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914&from=EN (EU SCCsの勾配) (ii) 英国のGDPRが適用される場合、 第 46条(2)(c)に従って採択された適用される標準データ保護条項、 または(d)英国GDPRが、データ保護法 2018のs.119A(1)に基づき情報コミッショナー事務所が発行するEU標準契約条項の国際データ転送補遺(英国補遺)を意味する場合、 かかる英国補遺は、その第 18 条に基づき改訂される場合がある(米国SCCs凡庸)。 (iii) スイスのデータ保護法 が適用される場合 発行された適用される標準データ保護条項 スイス連邦データ保護局および情報コミッショナー事務所(The NuncSwiss SCCs)による承認または認定 ブラジルのLGPDが適用される場合、 適用される 標準契約条項 ブラジル国家データ保護機関(ANPD)が公布した決議CD/ANPD No. 19/2024 に添付。 随時修正される場合がある(ブラジルSCC)。

1.15. “スイスデータ保護法または FADP とは 6月 19, 1992、(i) スイス連邦データ保護法(日付 3月1日:年 2019日現在)(FDPA)、(ii) 連邦データ保護法 (FODP)の 条例、および (iii) 上記のいずれかに取って代わる、または更新する、またはこれらに従って制定された国内データ保護法を意味します。

1.16. 英国補遺とは、英国情報コミッショナーが発行するEU標準契約条項の英国国際データ転送補遺 を意味する。

1.17. “UK Data Protection Laws” mean the GDPR as saved into United Kingdom law by virtue of section 3 of the United Kingdom's European Union (Withdrawal) Act 2019 ("UK GDPR") and the Data Protection Act 2018 (together, "UK Data Protection Laws").

1.18. “米国プライバシー法とは、(a)CCPA、(b)バージニア州消費者データ保護法、(c)コロラド州プライバシー法、(d)データプライバシーおよびオンラインモニタリングに関するコネチカット州法、(e)ユタ州消費者プライバシー法、および(f)同様の州法を含むがこれらに限定されない、個人データの処理に関する米国(US)州の適用法、命令、規制および規制ガイダンスを意味します。

1.19. "Controller−(*−(*Data Subject−(*,−(*Personal Data−(*, \"Personal Information\" \"Data Breach\",−(*Processor−(*, \"Restricted Transfer\", \"Service Provider\" および/またはその他の同様の用語および概念は、データ保護法で定義された意味を持つものとします。

 

 

2. 個人データの管理

2.1.両当事者 の役割。独立した管理者として G-P 業務を行う 場合、個人データを処理する際にはデータ保護法に基づく管理者の義務を遵守する G-P ものとし、また、で利用可能な G-Pのプライバシーポリシーに記載されているとおりに個人データを処理するものとします https://www.globalization-partners.com/privacy-policy/。 お客様は、管理者として個人データを処理する際に、データ保護法に基づく義務を遵守するものとします。 いかなる場合も、両当事者は、共同管理者として本DPAに基づく個人データを処理しない。

2.2. 責任および承認。 各当事者は、独立したデータ管理者として、 専門家のデータ に関して本DPAに基づいて個人データを処理することができます。 両当事者は、それぞれの義務を遵守し、本DPAおよび当該当事者の個人データ処理業務に適用されるすべてのデータ保護法を遵守して、個人データを公正かつ合法的に処理することに同意する。 各当事者は、自身の個人データの処理が、GPPによって提供されるGPPの目的に限定 G-P され、合法的な処理の法的根拠に基づいていることを保証するものとします。 両当事者は、データ保護法に基づくそれぞれの義務の遵守において相互に支援する。これには、データ侵害が発生した場合に相互に支援し、データ主体および/または規制当局の要請に対応することが含まれるが、これらに限定されない。 

の対象とはならず、したがって適用されるデータ保護法に基づく適切な保護措置 を必要とします。

 

3. 個人データの処理

 

3.1. 範囲GPPの使用 には、お客様に代わって処理者またはサービスプロバイダー G-P としてによるお客様データの処理が含まれる場合があります。

3.2. 指示 G-P は、お客様の書面による指示に従ってお客様データを処理します。 お客様は、本DPA、 基本契約、 および本書に添付される 付属書I、 は、顧客データの処理 G-Pに関する顧客の完全な指示を構成します。 追加または代替の指示については、両当事者間で書面で合意する必要があります。 かかる指示の遵守に関連する費用(該当する場合)を含みます。 お客様は、その指示が適用されるデータ保護法に準拠していることを確認するものとします。 顧客は G-P 、が顧客の事業に適用される法律を決定する責任を負わないことを認めます。 お客様は、お客様の指示に従って行われる場合、 G-Pによるお客様データの処理が、適用されるデータ保護法を含む適用法 G-P に違反しないようにするものとします。 G-P ただし、顧客の指示 G-P が該当するデータ保護法を侵害しているという意見がある場合、合理的に実行可能な限り速やかに顧客に通知する G-P ものとし、かかる侵害の指示を遵守するよう求められないものとする。

3.3.処理 の詳細 処理の主題、その期間、性質および目的、ならびに顧客データおよびデータ主体の種類の詳細は、本書に添付される付属書Iに定めるとおりである。 

3.4. コンプライアンス 顧客は、付録Iに明記されるとおりに処理される顧客データに適用されるデータ保護法に基づくそれぞれの義務を遵守する G-P ことに同意する。顧客は、開示前に顧客データの処理の合法性に関してデータ保護法を遵守する単独の責任を負う。 転送、 その他の方法で利用可能にすること、 顧客データ G-P。疑義を避けるため に付言すると、 いずれの場合も お客様は、 必要に応じて 顧客の指示に従って顧客データを処理 G-P することに対するデータ主体からの同意。

3.5. 復処理者 顧客は G-P、本サービスに関連して顧客データを処理するための処理者(“下請処理者”)を任命し、使用することを承諾します。 下請処理者には、第三者または G-P グループ会社のメンバーが含まれる場合があります。 G-P は、本DPAの日付 G-P 時点で既に起用されている下請処理者を引き続き使用することができ、かかる下請処理者の一覧は、本書に添付される付属書IIIで入手可能である。 復処理者が上記のデータ保護義務を履行しない場合、復処理者の義務の履行について顧客に対して責任を負う G-P ものとします。 G-P GPPを通じて復処理者リストに変更があった場合は、お客様に通知するものとします。 当該通知の受領から 10 (10) 日以内に、お客様がデータ保護の理由で下請処理者の追加または削除に正当に異議を唱え、お客様の異議に合理的に対応 G-P できない場合、両当事者は、問題を解決するために、お客様の懸念を誠実に協議します。

3.6. 技術的および組織的なセキュリティ対策 業界標準を考慮すると、 実装コスト、 自然、 範囲、 処理の背景と目的 および顧客データの処理に関連するその他の状況 G-P セキュリティを確保するために、適切な技術的および組織的セキュリティ対策を実施するものとします。 機密性、 誠実さ、 顧客データの処理に関与する処理システムおよびサービスの可用性および回復力は、かかる顧客データに関するリスクに見合っている。 本書に添付される付属書IIに詳述されているとおり、 G-P は、定期的に(i)その保護措置の有効性をテストおよび監視する。 コントロール システムおよび手順、および (ii) セキュリティに対する合理的に予見可能な内部および外部リスクの特定 顧客データの機密性および完全性 これらのリスクが確実に対処されるようにします。

3.7. 機密保持 G-P は、顧客データへのアクセスを許可された人物が、(i) 秘密保持を確約しているか、または適切な法定秘密保持義務下にあること、および (ii) 適用法により義務付けられていない限り G-P、からの書面による指示に従ってのみ顧客データにアクセスすることを保証するものとします。

3.8. 個人データ侵害 G-P は、顧客データの処理に関するデータ侵害に気付いた後、不当な遅延なく顧客に通知し、可能な限り、データ侵害の悪影響を軽減するために合理的な努力を払います

3.9.個人データ の削除。本サービスの 終了時に(理由を問わず)、適用法により、より長期間の顧客データの保管が義務付けられていない限り、合理的に実行可能な限り速やかに、GPPに保存された顧客データを返却または削除 G-P するものとします。 かかる保持のために、本DPAの規定はかかる顧客データに引き続き適用されるものとする。

3.10. データ主体の要求 G-P は、顧客データに関するデータ主体の要求を速やかに顧客に通知するものとします。 お客様は、かかる要求に対応する責任を負います。 G-P は、お客様が GPP の使用において関連するお客様データにアクセスできない範囲で、かかるデータ主体の要求に対応するよう合理的にお客様を支援します。

3.11. 第三者からの要請 本契約に基づく顧客データの処理 G-P に関して、第三者からの要求、または管轄権を有する裁判所、裁判所、規制当局、政府機関の命令 G-P を受けた場合、 G-P は、速やかにその要求を顧客に転送します。 G-P は、法的に強制されない限り、お客様の事前の許可なくかかる要求に応じません。 G-P は、法的に禁止されていない限り、顧客データの開示を行う前に顧客に通知し、かかる開示の範囲を法的に要求される範囲に限定するために合理的に顧客と協力します。 

3.12. データ保護影響評価および事前相談。 データ保護法で要求される範囲で、は、監督当局による顧客データの処理 G-P および/または監督当局との必要な事前協議(複数可)に関連して、データ保護影響評価を実施するために、合理的な支援を顧客に提供する G-P ものとします。 G-P は、かかる支援の提供に対して合理的な料金をお客様に請求する権利を留保します。

3.13. 監査. お客様は、第三者監査人( ISO27001 認証、SOC2 認証など)が実施した監査の結果を反映したセキュリティ検証のために発行された証明書を、お客様の要請の日付から十二(12)か月以内に要請することにより、本DPAおよびデータ保護法 G-Pの遵守を監査することができます。 あるいは、 本第 3.13 条に従って提供される文書が、遵守を証明する目的で十分でない場合、 お客様は、提供された第三者の証明書または報告書に加えて、独自の監査を実施することができます。 但し、当該監査は、 i) 12 (12)カ月ごとに1回以下 とする。 ii) 通常の営業時間内、および G-Pの日常業務を中断することなく、 iii) 三十(30)日前の書面による通知 iv) お客様の単独の費用負担で v) 相互に合意されたパラメータおよび範囲に基づき、 特定のサービス範囲に限定され、 本書に基づき意図される使用および/または処理活動中のシステム vi) 相互に合意した事前の日付に基づき、 G-Pの合理的な要求に応じて、顧客による合理的な延期を条件とする。 vii) すべての機密保持義務および制限に従う。 上記にかかわらず、マスター契約の終了後は、お客様が証明しなければならない法的義務を除き、監査権は付与されません。 顧客に代わって監査を実施するために選定された第三者代理人は、EORサービス会社、代理店、関連組織またはコンサルタントに所有権または提携関係を有してはなりません。 本DPAのいかなる規定も、顧客またはその第三者監査人に開示 G-P することを要求しない。 または、お客様または第三者の監査人が以下にアクセスすることを許可すること。 (i) その他の G-P顧客のデータ (ii) G-Pの社内会計または財務情報 (iii) G-P またはその関連会社の営業秘密 (iv) 情報 G-Pの合理的な意見において、 G-Pのシステムのセキュリティを侵害する、または適用法に基づく義務もしくは第三者に対するセキュリティもしくはプライバシー義務の違反を引き起こす可能性がある。 または (v) データ保護法に基づくお客様の義務の誠実な履行以外の理由で、お客様または第三者の監査人がアクセスしようとする情報。

3.14. 米国プライバシー法 本第 3 条(個人データの処理)に基づき、両当事者は、適用される米国プライバシー法で定義されるサービスプロバイダー G-P または処理者であることに同意する。 したがって、 による顧客データの処理に米国のプライバシー法が適用される場合 G-P、 G-P (a) 保持してはならない。 使用、 または、 G-P と顧客との間の直接的な取引関係外で顧客データを開示すること。 または、本書に添付される付属書Iに定める目的以外の目的のため、 顧客データを処理する G-P のは、顧客にサービスを提供する場合に限ります。 (b) 顧客データを販売すること。 (c) 顧客データの共有 または (d) 以下から G-P 受領した顧客データを組み合わせること。 または お客様から受領した個人データ(該当するデータ保護法で定義) または 別の人、 または、消費者との独自のやり取りから収集し、 ただし、顧客へのサービス提供の範囲内である場合は、顧客データを組み合わせる G-P ことができます。 該当する場合、各当事者は、米国プライバシー法に基づく義務を果たすことができないと判断した場合、他方当事者に通知するものとする。

 

 

4. 国際データ転送

4.1. 適切な保護 G-P は、通常の業務過程において、顧客データをその関連会社および/または下請処理者に世界的に転送する権限を付与されています。関連するデータ保護当局によって、データ保護法に従って個人データに適切なレベルの保護を提供していると認識されていない地域にそのような転送 を行う場合、マスター契約に基づいて、またはマスター契約に関連して転送された顧客データを保護するために適切な保護が確実に実施される G-P ようにします。

4.2. データプライバシーフレームワーク。 プロフェッショナルおよび顧客データは、米国でホストされているGPPに保存され G-P 、EU-米国 データプライバシーフレームワーク(EU-米国 DPF)、および該当する場合は英国のEU-米国への延長 DPF、スイス-米国 データプライバシーフレームワーク(スイス-米国 DPF)。 G-Pの認証は、DPFウェブサイト https://www.dataprivacyframework.gov/list。 EU - 米国 データプライバシーフレームワークは、欧州委員会によって適切であるとみなされ 、GDPR第45 条、英国GDPR、FADPにそれぞれ準拠する合法的なデータ転送メカニズムです。 DPFフレームワークが無効化、停止、または国際データ転送に十分な保護を提供すると認識されなくなった場合、処理者は、欧州委員会、英国情報コミッショナーオフィス(ICO)、またはスイス連邦データ保護情報コミッショナー(FDPIC)が発行または承認した SCC を締結し、これを遵守することに同意します。 両当事者は、転送されたデータに対して本質的に同等のレベルの保護を確保するために必要な補足措置を実施するために誠意をもって協力するものとする。

4.3. 標準契約条項。 両当事者は、顧客からの個人データの移転が G-P 制限された移転であり、適用されるデータ保護法が適切な保護措置を講じることを義務付ける場合、かかる移転は、本DPAに組み込まれ、本DPAの一部を構成するとみなされる適切な標準契約条項の対象となることに合意する。

  1. GDPRによって保護 される個人データの移転に関しては、EU SCCが適用され、以下のように完了するものとします。
  1. モジュール1および2が適用されるものとします。
  2. 第 項では7、オプションのドッキング条項が適用されます。
  3. モジュール2の第 9 条では、オプション2 が適用され、復処理者変更の事前通知の期間は、本DPAの第3.5 条に規定されているとおりとします。
  4. 第 条において11、任意の文言は適用されない。
  5. 第 12条において、EU SCCに基づき提起される請求は、基本契約に定める条件に従うものとする。
  6. 第 17条では、オプション1が適用され、EU SCCはアイルランド法に準拠する。
  7. 第18(b)条において、紛争はアイルランドの裁判所で解決されるものとする。
  8. EU SCCの付属書Iは、本DPAの付属書1に記載された情報で完了したものとみなされるものとする。
  9. EU SCCの付属書IIは、本DPAの付属書 2 に定められた情報で完成したものとみなされるものとする。
  10. EU SCCのモジュール2の付属書IIIは、本DPAの付属書 3 に定められた情報で完了したとみなされるものとする。

b. 英国データ保護法またはスイスデータ保護法によって保護される個人データの移転に関しては、上記の(a)項に基づき実施されるEU SCCが、以下の修正と共に適用されます。

  1. BallroomRegulation (EU) 2016/679への言及は、英国データ保護法またはスイスデータ保護法(該当する場合)への言及として解釈されるものとします。
  2. 特定の規則(EU) 2016/679の規則への言及は、英国データ保護法またはスイスデータ保護法(該当する場合)の同等の条項に置き換えられるものとします。
  3. アベニューアベニュー、アベニューアベニュー、アベニューアベニュー、アベニューメンバーステートのアベニューとアベニューメンバーステートのアベニューのアベニューは、アベニューアベニューUKのアベニューまたはアベニューSwitzerlandのアベニュー、またはアベニューUKのアベニューまたはアベニューSwissのアベニュー(該当する場合)のアベニューアベニューと置き換えるものとする。
  4. 本会員州という用語は、英国またはスイスのデータ主体が居住地(英国またはスイス)でその権利について訴える可能性を排除するような解釈をしてはなりません。
  5. 付属書Iの第 13条(a)およびパートCは使用されておらず、また、その能力を有する監督当局であるアトランティスは、英国情報コミッショナーまたはスイス連邦データ保護情報コミッショナー(該当する場合)である。
  6. 管轄権を有する管制官庁への言及、管轄権を有する裁判所への言及、管轄権を有する裁判所への言及、管轄権を有する裁判所への言及、管轄権を有する裁判所、管轄権を有する裁判所、管轄権を有する裁判所、管轄権を有する裁判所、管轄権を有する裁判所、管轄権を有する裁判所、管轄権を有する裁判所、管轄権を有する裁判所、管轄権を有する裁判所、管轄権を有する裁判所(該当する場合)への言及、
  7. 第 17条において、標準契約条項は、イングランドおよびウェールズまたはスイス(該当する場合)の法律に準拠するものとする。
  8. 英国データ保護法が適用される移転に関して、第 18 条は州の州に修正されるものとする。本条項に起因する紛争は、イングランドおよびウェールズの裁判所により解決されるものとする。 データ主体は、データ輸出者および/またはデータ輸入者に対して、英国の任意の国の裁判所に訴訟を起こすことができます。 両当事者は、かかる裁判所の管轄権に服することに同意し、スイスデータ保護法が適用される移転に関しては、第 18(b)条は、紛争はスイスの該当する裁判所で解決されるものとすると述べているものとする。
  9. 英国GDPRによって保護されるデータに関して、EU SCCは、(i)上記(i)~(viii)の段落に従って完了して適用される、および(ii)本DPAに組み込まれ、本DPAの不可欠な部分を形成するとみなされる英国補遺の第 2 部で指定されたとおり修正されたとみなされる。 さらに、英国補遺パート1の表1~ 3 はそれぞれ、本DPAの付属書Iおよび付属書IIに定められた情報とともに記入するものとし、英国補遺パート1の表4 は、どちらの当事者も君臨することを選択することにより記入されたものとみなされるものとする。

c. 直接または転送を介して、ブラジルLGPDによって保護されている個人データを 、ANPDが発行した十分性決定の対象とならないブラジル国外に転送する場合、ブラジルSCC は、この参照により本DPAを締結し、これに組み込まれたとみなされ、以下のように完了 します。

  1. ブラジルSCCの第 2 条は、データ転送について記載する付属書Iに記載された情報によって満たされている。
  2. ブラジルSCCの第 3条、オプションBが適用され、本DPAの第 3.5 条(復処理者)に従って転送が許可されます。 処理の主題、性質、および期間は、本DPAの付属書Iに記載されている。
  3. ブラジルSCCの第 4 条は、本DPAの付属書Iに規定された情報によって満たされている。 管財人 G-P である場合、ブラジルSCCに定義されているとおり、ブラジルSCCの第 14 条(透明性)、第15 条(データ主体の権利)、および第16 条(インシデント報告)の目的上、指名当事者となります。 お客様は、自身が管理者である可能性のある個人データについて、ブラジルSCCの第 14 条(透明性)、第15 条(データ主体の権利)、および第16 条インシデント報告)を遵守する責任を負います。
  4. ブラジルSCC第 9 条では、オプションのドッキング条項は適用されません。
  5. ブラジルSCCの第III条(セキュリティ対策)は、本DPAの付属書IIに定める情報で完了したとみなされる。

 

付属書I

データ処理の説明

 

当事者

データ輸出者:マスター契約を締結する顧客事業体

データ輸入者:マスター契約を締結する G-P 事業体。

当事者の連絡先情報

基本契約に定める連絡先の詳細。

 

転送されたデータに関連する活動

EORサービスおよびサービスとして顧客に提供されるGPPの使用に関連する活動。

処理アクティビティ

処理/転送される個人データは、適用される手段および手順に関係なく、個人データに関するあらゆる操作、特にデータの収集、整理、保管、保持、使用、検索、相談、アーカイブ、送信、ブロック、消去、または破棄、システムの操作および保守、コンプライアンス、法務、監査などの処理活動の対象となる場合があります。

処理期間

G-P は、マスター契約の期間中、継続的に顧客データを処理します。

処理の性質と目的

貴社は、貴社データを に転送することができます。その範囲は G-P、貴社独自の裁量により決定および管理されます。 処理の目的は、基本契約 に従ってサービスを提供することです。

データ主体のカテゴリー

a) 両当事者が、専門家の個人データに関して独立した管理者として交換した個人データ。

b)  G-Pデータ処理者として処理される顧客データは、GPPの 認定ユーザー に関するものであり、これには顧客の従業員および/または請負業者が含まれる場合があります

個人データの種類

· 連絡先の詳細(電話番号や電子メールなど)

· 従業員/請負業者のデータ(役職や会社名など)

· 使用データ(認定ユーザーのデバイスに関するデータ、およびかかるデバイスがGPPとどのように相互作用するかなど)

· 位置データ(IPアドレスから派生した位置など)

· コンテンツデータ(専門家に関するお客様のファイルの内容および関連するコミュニケーションなど)

· 認証情報(パスワード、パスワードのヒント、GPPへの認証およびアカウントアクセスに使用される同様のセキュリティ情報など)

· 認定ユーザーが提供した個人データ

特別なデータカテゴリー(該当する場合)

該当なし

リテンション

個人データは、少なくとも、適用される法的に義務付けられた、適用される制限の制定法に合致し、優良なビジネス慣行を満たす、適用される最低保持期間に限り保持されます。

所轄監督機関

アイルランドデータ保護委員会

復処理者への転送

処理者への転送の場合、処理の主題、性質、および期間は上記で定義されたものと同じです。

G-P プライバシー連絡先の詳細

 

プライバシー@G-P.com

宛先:グローバルプライバシーオフィス

 

 

 

付属書II

技術的および組織的対策

 

G-P は、独立監査人により、SOC 2 およびISO 27001 規格への準拠が確認されています。 このような認証は、顧客データを保護するという当社のコミットメント を示しています。 G-Pのセキュリティプログラムは、以下を目的として設計されています。

  • G-P所有またはアクセス権 G-P のある顧客データの機密性、完全性、および可用性を保護する。
  • 顧客データの機密性、完全性、および可用性に対する予想される脅威または危険から保護する。
  • 顧客データの不正なまたは違法なアクセス、使用、開示、改変、または破壊から保護する。
  • 顧客データの偶発的な損失、破壊、または損害から保護する。
  • G-Pが規制される可能性のある規制で定められた情報を保護します。

 

顧客データの処理のセキュリティを確保するために講じ G-P た機能、プロセス、統制、システム、手順、および対策を以下に示します。

1) データのプライバシーと保護を確保するための技術的対策 

  1. プライバシー・バイ・デザインおよびデフォルト: G-P 製品開発の構想および開発フェーズにおいて、GDPR第 25 条の要件を考慮します。 プロセスと機能は、合法性、透明性、目的の制限、データ最小化などのデータ保護原則、および処理のセキュリティが早期に考慮されるように設定されています。

  2. 個人データの暗号化個人データが、第三者がデータ主体を特定できない方法でのみシステムに保管されるようにします。

    1. データベースとストレージ G-P の暗号化:暗号化により使用されるすべてのデータベースでは、最新技術に従って rest−(* が使用され、データベースからのデータは、それぞれのデータベースシステムで適切な認証を受けた後にのみ読み取ることができます。

    2. モバイルデータメディアの暗号化:顧客データの保存にモバイルデータキャリアを使用することは許可されていません。

    3. ノートパソコン上のデータ通信事業者の暗号化:全従業員のノートパソコンには、適切な最先端のハードディスク暗号化がインストールされています。

    4. 情報とファイルの暗号化された交換:情報とファイルの交換は、原則として、特別なアプリケーションを介して直接暗号化されます。 個人データまたは機密情報を TLS 暗号化 HTTPS アップロード経由で送信できないサーバーに転送する必要がある場合、これらは、セキュア ファイル転送プロトコル (SFTP)、暗号化されたエンベロープ サービス、または最新技術に従った別の暗号化されたメカニズムを使用して転送されます。

    5. 電子メールの暗号化: 従業員が送信する電子メール G-P はすべて、原則として TLS で暗号化されます。 受信メールサーバーが TLS をサポートしていない場合は例外となる場合があります。 顧客は、注文の範囲内で使用される対応するメールサーバーがTLS暗号化をサポートしていることを保証するものとします。

  3. 入館管理入館管理は、権限のない人物がデータ保護法で保護されているデータの使用と処理を防止するために意図され、導入されています。

    1. 認証方法の使用:個人データ へのアクセスは、SSH、SSL/TLS、HTTPS、または同等のプロトコルで常に暗号化されています。 ITシステムの認証手順:ITシステムへの多要素認証ログイン。

    2. 非アクティブ時の自動ブロック:ユーザーが使用していないときにパスワードまたはPINでロックされた G-P 従業員が使用する ノートパソコン。 さらに、パスワード保護付きの自動画面ロックは、無操作状態が15分間続くと設定されます。

    3. ウイルス対策ソフトウェアの使用: G-P 従業員が使用する ノートパソコンには、すべての運用またはビジネスITシステムに関する最新の最新のウイルス対策ソフトウェアが搭載されています。 原則として、他の同等の最先端のセキュリティ対策が講じられていないか、リスクがない場合を除き、常駐ウイルス保護なしでコンピュータを操作することはできません。 デフォルトのセキュリティ設定を無効にしたり、回避したりしないでください。

    4. の 従業員は、データ主体の個人データを印刷したり、ローカルに保存したりせず、作業資料を第三者が閲覧できる場所に放置したり、すべての作業資料を適切に保存したりしないように指示 G-P されます。 ハードコピーで保管することが法律で G-P 義務付けられている文書は、施錠されたキャビネットに保管されます。

  4. プラットフォーム内のアクセス制御アクセス制御は、処理システムを使用する権限を与えられた人物が、アクセス権限の対象となる個人データにのみアクセスできるようにします。

    1. 役割と権限

      1. 役割および承認プラットフォーム – 顧客アクセス:顧客ユーザーは、顧客アカウント情報を表示および編集できます。

      2. 役割および承認プラットフォーム – プロフェッショナルアクセス:プロフェッショナルユーザーは、自分のプロフェッショナル情報を表示および編集できます。 プロフェッショナルは、要件 + 承認時に顧客アクセスの役割も得ることができます。

      3. 役割と承認プラットフォーム – 内部アクセス: 内部アクセスユーザーにはさまざまな役割があります。 これらのユーザーは、以下を作成、表示、編集、承認するためのさまざまなアクセス権を持っています。

        • 顧客情報

        • 請求情報

        • パートナー情報

        • 専門職員が情報を記録する

      4. 管理者システムへのアクセスは、通常、カスタマーサポートおよび製品開発の分野でトレーニングを受けた従業員に限定されます。

  5. サービスとしてのファイアウォール G-P は、外部ファイアウォールをサービスとして使用します。これにより、システムが悪意のあるコンテンツにアクセスできないようにしたり、不適切なコンテンツへのアクセスを制限したりするために、ウェブサイトへのアクセスを許可またはブロックすることができます。

  6. プラットフォームへのログイン記録 G-P すべてのログイン活動の記録を維持します。

  7. 分離性異なる目的で収集された個人データが別々に処理され、他の目的でのこれらのデータの予定外の使用が除外されるように、他のデータおよびシステムと分離されることを確実にする。

    1. 開発環境、テスト環境、および運用環境の分離:運用環境からのデータは、転送前に完全に匿名化された場合にのみ、テスト環境または開発環境に転送できます。 匿名化されたデータの転送は、暗号化するか、信頼できるネットワークを介して行う必要があります。 運用環境に転送するソフトウェアは、まず同一のテスト環境(Purtagestagingの)でテストする必要があります。 エラー分析またはソフトウェアの作成/コンパイルのためのプログラムは、それが回避できない場合のみ、動作環境で使用できます。 これは特に、テスト環境に転送する際の匿名化の要件により、エラー状況が改ざんされるデータに依存する場合に当てはまります。

    2. ネットワーク内の分離: タスクに従ってネットワークを G-P 分離します。 次のネットワークが恒久的に使用されています:運用環境(Production−(*)、テスト環境(−(*Staging−(*、“Sandbox”)、開発環境(“Dev”)のオフィスITスタッフ。 これらのネットワークに加えて、例えば、復元テストおよびペネトレーションテストのために、必要に応じてさらに別個のネットワークが作成される。 技術的な可能性に応じて、ネットワークは物理的に、または仮想ネットワークによって分離されます。

  8. 可用性 管理 G-P 個人データを偶発的な破壊や紛失から保護するために、以下の手順を実行します。

    1. データ保護手順/バックアップ:適切な可用性を確保するために、データベースのスナップショットを毎日 G-P 実装し、異なる地域にレプリケーションします。 また、業務ベースでデータをレビューする必要がある従業員が、レプリカデータセットにのみアクセスできるようにする措置も講じられます。

    2. 生産的なデータとバックアップのサーバーインフラストラクチャに関する地理的冗長性

    3. ITインシデント管理(Incident Response Management):インシデントや安全性に関連するイベントを処理するための概念と文書化された手順があります。 これには、法的要件の枠組み内で個人データの保護に違反した場合のインシデントへの対応、セキュリティ関連のイベントの監視、検出、分析の手順、対応する責任の定義、報告チャネルの計画と準備が含まれます。

2) データのプライバシーと保護を確保するための組織的対策

G-P は、組織がデータプライバシーおよび保護要件を満たす方法で運用されるよう、以下の組織的対策を導入しています。

  1. 組織に関する指示 G-P 従業員が従うべきポリシー、手順、ガイドラインを含むデータガバナンスプログラムを開発し、現在開発中である。 文書には、データプライバシーの問題の特定および管理方法、プライバシーコンプライアンスを確保するためのベストプラクティス、プライバシーインシデントに対処するためのポリシーが含まれます。
  2. 機密性とデータ保護へのコミットメント G-P 従業員が従うべきポリシー、手順、ガイドラインを含むデータガバナンスプログラムを開発し、現在開発中です。 すべての従業員および請負業者は、機密保持およびデータ保護、ならびにその他の関連法に書面で拘束されます。 すべての従業員は、プライバシーおよびセキュリティに関するトレーニングを受けます。 データ保護および情報セキュリティに関する内部監査を定期的に実施している。 監査は、一般的な試験基準/スキームに基づいて実施される。 の社員および請負業者 G-P は、顧客および専門家と適用される契約に従い、データ主体が付与または保留する明示的な同意に十分配慮し、組織の合法的な義務に従って、合法的な理由のみで個人データを処理するよう指示されます。
  3. データ保護トレーニングすべての従業員はプライバシーおよびセキュリティトレーニングを受け、 G-P トレーニングプラットフォームでいつでもレビューできます。
  4. 物理的アクセス制御G-P では、処理に使用されるITシステム機器への権限のない人物のアクセスを拒否するために、以下の物理的管理が整備されています。
    1. 電子ドア保護: G-P オフィスの敷地への 入口ドアは、常に施錠され、電子的に保護されています。 ドアは、個人用電子トランスポンダを介して開かれます。
    2. 鍵の管理された配布: の従業員に鍵を 集中的に、文書化して割り当て G-P ます。 これらの電子トランスポンダ/キーは、各オフィスマネージャーまたは人事部門によって一元的に無効化することができます。
    3. 外部人物の監視および同行: 外部サービスプロバイダーおよびその他の第三者は、事前の承認またはの従業員が同行する場合にのみ、施設へのアクセスを許可されます G-P。 G-P は、訪問者が施設に招待された場合に、書面による訪問者ポリシーを適用します。
    4. 保護の必要性が増した施設の保護:法律事務所や特定の業務場所など、保護要件が増した 施設またはキャビネットには、ロックキャビネットと引き出しが装備されています。 法的文書、契約書、機密文書が保管されているキャビネットや引き出しは、使用中を除き、常に施錠してください。
    5. 閉鎖されたドアと窓:従業員は、営業時間外に窓とドアを閉鎖または施錠しておくよう組織的に指示されます。
  5. 回復性:物理的または技術的な障害が発生した場合に、使用中の G-P システムを復元できるようにします。

    1. データ復旧の定期テスト(以下、以下、以下、以下、以下、以下、以下、以下、以下、以下、以下、以下、以下、以下、以下、以下、以下、各号の定期テスト):緊急事態/災害発生時の復旧可能性を確保するため、定期的完全復旧テストを実施する。

    2. 緊急対応計画(Disaster Recovery Concept):緊急時・災害対応のための考え方とそれに対応する緊急対応計画がある。 G-P データバックアップ/バックアップに基づいて、通常は 48 時間以内にすべてのシステムの復旧を確実にします。

    3. 審査・評価措置:技術的・組織的措置の有効性の定期的な審査・評価・評価の手順の提示。

  6. プライバシーチーム:データ保護の分野における対策の計画、実施、評価、適応を担当するグローバルデータプライバシーオフィスがあります。

  7. リスク管理:リスクの分析、評価、配分、およびこれらのリスクに基づく対策の策定のためのプロセスがあります。

3) 情報セキュリティの独立レビュー

  1. 監査の実施:データ保護および情報セキュリティに関する 内部監査を定期的に実施している。 監査は、一般的な試験基準/スキームに基づいて実施される。
  2. セキュリティポリシーおよび基準の遵守状況の確認個人データの処理に関して適用されるセキュリティガイドライン、基準、およびその他のセキュリティ要件の遵守状況を定期的にチェックします。 可能な場合、これらのチェックはランダムかつ予想外に実行されます。
  3. 技術仕様への準拠の検証IT部門またはその他の有資格者が定期的な自動および手動の脆弱性スキャンを実施し、アプリケーションとインフラストラクチャのセキュリティ、ならびに製品の定期的な開発を検証します。 詳細なペネトレーションテストは、アプリケーションとインフラストラクチャの脆弱性を具体的に調査するために、外部サービスプロバイダーによって実施されます。
  4. 指示に基づく処理: の従業員は、顧客および専門家と適用される契約に従い、データ主体による明示的な同意に十分配慮し、組織の法的義務に従って、合法的な理由のみのために個人データを処理するよう指示 G-P されます。
  5. サプライヤーの慎重な選択:保護されたデータに遭遇する可能性のあるベンダーやサプライヤーを選択する際には、サプライヤーの事前資格審査プロセス G-P に従います。 このプロセスには、財務および法務/プライバシー部門からのフィードバックが含まれ、リスク評価、セキュリティ事前認定、および文書認証の各ステップが組み込まれています。 保護されたデータを処理するサプライヤーは、対象となるデータの28GDPR条を含む、適用されるデータプライバシー法の遵守を証明する必要があります。

 

付属書III 

復処理者一覧

 

サブプロセッサ

所在地と連絡先情報

処理の説明

G-P 子会社

https://www.globalization- partners.com/contact-us/

プラットフォームおよび顧客関係管理の提供

アキュマティカ

3933 Lake Washington Blvd NE #350, カークランド, アメリカ98033, アメリカ

金融サービス

Amazon  Web サービス

私書箱 81226

シアトル、WA 98108-1226、米国

ホスティング – クラウドサービスプロバイダー

マイクロソフト

Microsoft Corporation One マイクロソフト ウェイ

Redmond, Washington 98052 USA 電話:(+1) 425-882-8080.

コミュニケーション(電子メール)およびサービス管理のためのビジネスプロセスサポート

アトラシアン

350 Bush Street 13階

サンフランシスコ、CA 94104、米国

+1 415 701 1110

サービス管理のビジネスプロセスサポート

DocuSign

DocuSign International (EMEA) Ltd、注意:プライバシーチーム、5ハノーバーキー、1階、ダブリン2、アイルランド共和国

文書管理

Salesforce.com

Salesforce Tower, 415 Mission Street, 3rd Floor, サンフランシスコ, CA 94105, アメリカ

1-800-387-3285

顧客関係管理(CRM)のビジネスプロセスサポート

Zendesk

989 マーケット セント

サンフランシスコ、CA 94103、米国 zendesk.com

888-670-4887

カスタマー サポートに関するヘルプデスクのお問い合わせ

Workday

6110 Stoneridge Mall Road
Pleasanton, CA 94588, アメリカ

給与、福利厚生、人事、従業員データを管理するビジネスプロセスサポート。

今すぐサービス

2225 Lawson Lane
Santa Clara, アメリカ, 95054

USA

 

IT サービスおよび運用管理、従業員および顧客体験に対するビジネスプロセスサポート(自動化されたクラウドベースのワークフロー)

データブリック

160 Spear Street, 15th Floor
サンフランシスコ, CA 94105
1-866-330-0121, アメリカ

USA

クラウド データ ウェアハウス インフラストラクチャ。

データドッグ

620 8th Ave 45th 階

ニューヨーク、NY 10018

USA

 サービス監視およびデバッグツール

賢明

Avenue Louise 54、 s52号室、

1050 ブリュッセル

ベルギー

オンライン決済処理

Google

1600 Amphitheatre Pkwy、マウンテンビュー、CA 94043

コミュニケーション(電子メール)および社内文書保管のためのビジネスプロセスサポート