G-Pロゴ​​ 
提案要求​​ 

MSAプライバシー言語​​ 

最終更新日:6月26 、 2026​​ 

データ保護に関する補足事項​​ 

顧客とG-Pは、マスター契約または類似の性質と目的を持つ契約(以下「マスター契約」)の当事者です。本データ処理契約は、基本契約の諸条件を補足するものであり、基本契約に組み込まれる。本データ処理契約と、本契約に規定された事項に関する当事者間のその他の合意との間に矛盾が生じた場合は、本データ処理契約が優先するものとします。顧客がすでにG-Pと有効なデータ保護付録を有している場合、その合意が本DPAに優先し、顧客とG-Pの書面による合意がない限り、本DPAは効力を持たない。​​ 
 

1 。定義​​  

本契約で定義されていない用語は、基本契約に定められた意味を有するものとします。このDPAにおける以下の単語は、それぞれ以下の意味を持ちます。​​ 
1 . 1 “​​ 承認済みユーザー​​ 」とは、マスター契約の締結に基づき、顧客に代わってGPPにアクセスし使用することを顧客から許可された個人を意味し、顧客の および/または請負人を含む場合があります。​​ 
1 . 2 “​​ 顧客データ​​ 」とは、 G-Pが顧客に代わって、GPPの利用のためにサービスに関連して転送、処理、または保存する、承認済みユーザーまたは識別可能な自然人に関連する個人データを意味します。​​ 
1 . 3 “​​ データ保護​​  法律​​ 「本契約の当事者が適用され、提供されるサービスに適用されるデータ保護およびプライバシー法を意味します。これには、適用される場合は一般データ保護規則(GDPR)、英国一般データ保護規則(GDPR)、スイスのデータ保護法、米国のプライバシー法(州および連邦法を含む)、およびブラジルLGPDが含まれます。​​ 
1 . 4 “​​ 雇用代行業者(EOR)​​ 」とは雇用代行業者(EOR)を意味します。​​ 
1 . 5 “​​ 一般データ保護規則(GDPR)​​ 」は、一般データ保護規則(GDPR) (EU) 2016 / 679を意味します。​​ 
1 . 6 “​​ GPP​​ 「とは、G-Pの独自ソフトウェア、モバイル版、その中に含まれるソフトウェア、およびG-Pの独自ソフトウェアまたは第三者サービスを通じて提供されるすべてのデータ(アップデート、アップグレード、プラットフォーム・アズ・ア・サービス、ドキュメントを含む)を含みます。​​ 
1 . 7 “​​ EEA​​ 「」は欧州経済領域を意味する。​​ 
1 . 8 “​​ LGPD​​ 」とは、改正、代替、または置き換えられる可能性のある、ブラジル法第13 . 709 、個人データ保護に関する一般法を意味します。​​ 
1 . 9 “​​ プライバシーポリシー​​ 「とは、随時更新されるG-Pのプライバシーポリシーを指し、以下で利用可能である​​   
1 . 10 “​​ 専門家データ​​ 「雇用代行業者(EOR)サービス提供の過程で、 G-P が処理する専門家の個人データを意味します。​​ 
1 . 11 "​​ 譲渡制限あり​​  個人データの移転とは、適用されるデータ保護法に基づく十分性決定の対象とならない、EEA、英国、スイス、ブラジル以外の国への移転を意味し、したがって、適用されるデータ保護法に基づく適切な保護措置が必要となる。​​ 
1 . 12 “​​ サービス​​  平均​​  サービス​​  マスター契約に基づきG-Pが顧客に提供するもので、これには代行(EOR)サービスの提供、GPPへのアクセスおよび使用が含まれる場合があります。​​ 
1 . 13 "​​ 標準契約条項​​  または​​  「SCC」​​  (i)一般データ保護規則(GDPR)が適用される場合、欧州委員会の実施決定(EU) 2021 / 914 (2013年6月4 2021 )に付属する標準契約条項、欧州議会および理事会の規則(EU) 2016 / 679に基づく第三国への個人データ移転に関する標準契約条項(以下参照)​​   (「EU SCC」); (ii) 英国一般データ保護規則(GDPR)が適用される場合、条項46 ( 2 )(c) に従って採用された該当する標準データ保護条項、または (d) 英国一般データ保護規則(GDPR) が、s に基づいて情報コミッショナー局によって発行された EU 標準契約条項に対する国際データ転送補遺 (「英国補遺」) を意味します。 119データ保護法2018の A( 1 )。英国補遺は、その中のセクション18に基づいて改訂される可能性があります (「英国 SCC」)。 (iii)スイスのデータ保護法が適用される場合、スイス連邦データ保護庁および情報コミッショナー事務局が発行、承認または認定した該当する標準データ保護条項(「スイスSCC」)。ブラジルのLGPDが適用される場合、ブラジル国家データ保護庁(「ANPD」)が公布した決議CD/ANPD No. 19 / 2024に添付された該当する標準契約条項(随時修正される場合あり)(「ブラジルSCC」)。​​ 
1 . 14 “​​ スイスのデータ保護法​​ " または​​  「FADP」​​  (i)スイス連邦データ保護法(「​​ FDPA​​ (ii) 連邦データ保護法に関する政令(「​​ FODP​​ (iii) 上記の法律に基づいて、またはそれに従って、またはそれを置き換えたり後継したりする国内のデータ保護法、および上記の法律を置き換えたり更新したりする法律。​​ 
1 . 15 “​​ 英国補足資料​​ 「国際的」とは、英国情報委員会が発行したEU標準契約条項への英国のデータ転送付録を指します。​​ 
1 . 16 “​​ 英国のデータ保護法​​  英国の欧州連合 (離脱) 法2019 (「英国一般データ保護規則 (GDPR)」) およびデータ保護法2018 (合わせて「英国データ保護法」) のセクション3により英国法に保存された一般データ保護規則(GDPR)を意味します。​​ 
1 . 17 “​​ 米国のプライバシー法​​ 」とは、個人データの処理に関連する適用される米国(US)の州法、命令、規則、および規制ガイダンスを意味し、これには限定されず、(a) CCPA、(b) バージニア州消費者データ保護法、(c) コロラド州プライバシー法、(d) コネチカット州データプライバシーおよびオンライン監視に関する法、(e) ユタ州消費者プライバシー法、および (f) すべての同様の州法が含まれます。​​ 
1 . 18 "​​ 管理者」、「データ主体」、「個人データ」、「個人情報」、「データ侵害」、「処理者」、「処理」、「制限付き転送」、「サービスプロバイダー」​​  また、その他類似の用語や概念は、データ保護法で定義されている意味を持つものとします。​​ 
 
 

2 。独立監査役 - 監査役との関係​​  

2 . 1​​  当事者の役割。​​  G-Pが顧客に雇用代行業者(EOR)サービスを提供する場合、G-P顧客が選んだ個人(「専門家」)の法的雇用主の役割を担います。このような専門家の個人データに関しては、G-Pは雇用関係の過程で独立したコントローラーとして機能します。顧客が自社の目的のために収集および使用する専門家の個人データに関して、顧客もまた独立した管理者であり、独立したプライバシー義務を負います。雇用代行業者(EOR)サービスを提供する際、 G-P と顧客間の専門職の個人データの交換は独立したコントローラー間関係のもとにあり、本節 2 の規定(「独立コントローラー-コントローラー関係」)が適用されます。 いかなる場合においても、当事者は本データ処理契約に基づき、共同管理者として個人データを処理することはありません。​​ 
2 . 2​​  責任と謝辞​​ 当事者は、管理者としての立場において、以下の事項を行うものとする。​​ 
2 . 2 . 1専門家の個人データの処理に関して、適用されるデータ保護法を遵守すること。​​ 
2 . 2 . 2専門家の個人データを公正かつ合法的に処理および共有し、(場合に応じて)代行サービス(EOR)の履行または受領、および自身の正当な利益のために、代行サービス(EOR)の履行または受領の目的に使用します。​​ 
2 . 2 . 3当事者間で専門家の個人データを共有する際には、必ず合法的な処理根拠が適用されるようにしてください。​​ 
2 . 2 . 4データ保護法に基づくそれぞれの義務を遵守するために互いに協力する。これには、データ侵害が発生した場合の相互支援、データ主体および/または規制当局からの要請への対応などが含まれるが、これらに限定されない。​​  
 

3 。コントローラとプロセッサの関係​​ 

3 . 1​​  当事者の役割​​ . G-P また、GPPを通じてさまざまなソフトウェア・ア・ア・サービス(SaaS)製品を提供しており、 G-P 顧客がこれらの専門家との関係を管理できるようにします。 G-Pが顧客にGPPへのアクセスを提供する場合、G-PはGPPの顧客指定認可ユーザーによってアップロードされたアカウント関連個人データの処理者であり、顧客はそのデータの管理者であり、本節 3 の規定(「コントローラー-プロセッサ関係」)が適用されます。​​ 
3 . 2​​  説明書。​​  G-P 、顧客の文書化された指示に従って顧客データを処理します。 顧客は、本データ処理契約、基本契約、および本書に添付されている別紙Iが、顧客データの処理に関してG-Pに対する顧客の完全な指示を構成することに同意します。 追加または代替の指示については、当事者間で書面による合意が必要であり、その合意には、当該指示に従うことに伴う費用(もしあれば)も含まれる。顧客は、その指示が適用されるデータ保護法に準拠していることを保証するものとします。顧客は、 G-P顧客の事業に適用される法律を判断する責任を負わないことを承諾するものとします。 顧客は、G-Pによる顧客データの処理が、顧客の指示に従って行われる場合、適用されるデータ保護法を含む、適用されるいかなる法律にもG-Pが違反しないことを保証するものとします。ただし、 G-P顧客の指示が適用されるデータ保護法に違反すると判断した場合、 G-P合理的に可能な限り速やかに顧客に通知し、当該違反指示に従う義務を負わないものとします。​​  
3 . 3​​  処理の詳細​​ 処理の対象、期間、性質および目的、ならびに顧客データの種類およびデータ主体に関する詳細は、本書に添付されている別紙Iに記載されています。​​   
3 . 4​​  法令遵守。​​  顧客およびG-Pは、付録Iに指定された処理対象となる顧客データに適用されるデータ保護法に基づくそれぞれの義務を遵守することに同意します。顧客は、顧客データをG-Pに開示、移転、またはその他の方法で提供する前に、顧客データの処理の合法性に関するデータ保護法を遵守する単独の責任を負います。疑念を避けるため、いかなる場合においても、顧客は必要に応じてデータ主体から同意を得て、G-Pが顧客の指示に従って顧客データを処理する義務があります。​​ 
3 . 5​​  サブプロセッサ​​ 顧客は、 G-Pサービスに関連して顧客データを処理するために処理者(「サブプロセッサー」)を任命および使用することを承認します。 サブプロセッサーには、第三者またはG-Pグループ企業のいずれかの加盟企業が含まれる場合があります。 G-P 、本DPAの日付時点で既にG-Pが契約しているサブプロセッサーを引き続き利用することができ、そのようなサブプロセッサーのリストは、本書に添付されている別紙IIIに記載されています。 サブプロセッサーが上記に規定されたデータ保護義務を履行しない場合、 G-P顧客に対し、サブプロセッサーの義務の履行について責任を負うものとします。 G-P 、GPPを通じて、サブプロセッサーのリストに変更があった場合は顧客に通知するものとします。 通知の受領後10 (10)日以内に、顧客がデータ保護上の理由からサブプロセッサーの追加または削除に正当な異議を申し立て、 G-P顧客の異議に合理的に対応できない場合、両当事者は、問題を解決する目的で、顧客の懸念事項について誠意をもって協議するものとします。​​ 
3 . 6​​  技術的および組織的なセキュリティ対策​​ .業界標準、実施コスト、処理の性質、範囲、文脈および目的、および顧客データ処理に関連するその他の関連状況を考慮し、G-Pは顧客データの処理に関わる処理システムおよびサービスのセキュリティ、機密性、完全性、可用性およびレジリエンスをリスクに見合うものにするために、適切な技術的および組織的セキュリティ対策を実施します付録IIに詳細記載されている顧客データ。G-Pは定期的に(i)安全対策、管理、システムおよび手続きの有効性をテスト・監視し、(ii)顧客データのセキュリティ、機密性、完全性に関する合理的に予見可能な内部および外部リスクを特定し、これらのリスクが適切に対処されるようにします。​​  
3 . 7​​  機密保持​​ G-P 、顧客データへのアクセスを許可された者が、(i) 守秘義務を負っているか、または適切な法的守秘義務を負っていること、および (ii) 適用法によって要求される場合を除き、 G-Pからの文書化された指示に基づいてのみ顧客データにアクセスすることを保証しなければならない。​​ 
3 . 8​​  個人情報漏洩。​​  G-Pは、顧客データの処理に関するデータ漏洩を認識した後、不当な遅れなく顧客に通知し、可能な限り顧客がデータ漏洩の悪影響を軽減できるよう合理的な努力を用います​​ 。​​ 
3 . 9​​  個人データの削除。​​   サービスの終了(理由を問わず)に際し、 G-P 、適用法で顧客データのより長期間の保存が義務付けられている場合を除き、合理的に可能な限り速やかに、GPPに保存されている顧客データを返却または削除するものとします。 かかる保持に関して、本データ処理契約の規定は、当該顧客データに引き続き適用されるものとする。​​ 
3 . 10​​  データ主体からの要求​​ G-P 、顧客データに関するデータ主体の要求について、速やかに顧客に通知するものとする。 顧客は、そのような要求に対応する責任を負います。G-P 、顧客がGPPの使用において関連する顧客データにアクセスできない場合、データ主体の要求への対応に関して顧客を合理的に支援します。​​  
3 . 11​​  第三者からのリクエスト​​ G-P 、本契約に基づく顧客データの処理に関して、第三者からの要求、またはG-Pが従うべき管轄権を有する裁判所、審判所、規制当局、もしくは政府機関からの命令を受け取った場合、 G-P速やかにその要求を顧客に転送します。 G-P 、顧客の事前の許可がない限り、法的義務がある場合を除き、そのような要求には応じません。 G-P 、法律で禁止されている場合を除き、顧客データの開示を行う前に顧客に事前に通知し、開示の範囲を法律で義務付けられている範囲に限定するために顧客と合理的に協力します。​​   
3 . 12​​  データ保護影響評価および事前協議​​ データ保護法で要求される範囲において、 G-P 、 G-Pが行う顧客データの処理に関連するデータ保護影響評価の実施、および/または監督当局との必要な事前協議に関して、顧客に対して合理的な支援を提供するものとします。 G-P 、かかる支援の提供に対して顧客に妥当な料金を請求する権利を留保します。​​ 
3 . 13​​  監査。​​   Customer may audit G-P compliance with this DPA and Data Protection Laws by requesting a certificate issued for security verification reflecting the outcome of an audit conducted by a third party auditor (e.g., ISO27001 certification, SOC2 certificate), within twelve (12) months as of the date of Customer’s request. Alternatively, in the event the documentation provided subject to this Section 3.13 is not sufficient for the purpose of demonstrating compliance, the Customer may conduct its own audit in addition to the provided third party certifications or reports, provided that such audit shall be conducted: i) no more than once per each 12 (twelve) months period; ii) during normal business hours and without disrupting G-P’s day-to-day business; iii) with thirty (30) days prior written notice; iv) at the Customer’s sole expense; v) based upon mutually agreed parameters and scope, limited to the specific scope of services, systems in use and/or Processing activities contemplated hereunder; vi) based upon mutually agreed in advance date, subject to reasonable postponement by Customer upon G-P’s reasonable request; and vii) in accordance with all confidentiality obligations and restrictions. Notwithstanding the forgoing, no audit right is granted after termination of the Master Agreement, except for legal obligations that will have to be demonstrated by the Customer. Any third-party representative selected to perform an audit on behalf of Customer must not have an ownership interest in or affiliation with an EOR services company, agency, a related organization or consultant. Nothing in this DPA will require G-P to either disclose to Customer or its third-party auditor, or to allow Customer or its third-party auditor to access: (i) any data of any other G-P’s customer; (ii) G-P’ internal accounting or financial information; (iii) any trade secret of G-P or its affiliates; (iv) any information that, in G-P’ reasonable opinion, could compromise the security of any G-P’s systems or cause any breach of its obligations under applicable law or its security or privacy obligations to any third party; or (v) any information that Customer or its third-party auditor seeks to access for any reason other than the good faith fulfillment of Customer’s obligations under the Data Protection Laws.​​ 
3 . 14​​  米国のプライバシー法。​​  本条 3に基づき、当事者はG-Pが適用される米国プライバシー法に基づく「サービスプロバイダー」または「プロセッサー」であると合意しています。したがって、米国プライバシー法がG-Pによる顧客データの処理に適用される範囲において、G-Pは(a)G-Pと顧客の直接的なビジネス関係外、または添付の付属書Iに定められた目的以外の目的で顧客データを保持、使用、開示してはなりません。また、G-Pは顧客にサービスを提供する限りのみ顧客データを処理します。(b) 顧客データの販売;(c) 顧客データの共有;または(d) G-Pが顧客からまたは顧客を代表して受け取る顧客データと、他者からまたは他者のために受け取る「個人データ」(その用語または同等の定義)を、または消費者とのやり取りから収集したものを組み合わせること。ただし、G-Pは顧客にサービスを提供する範囲内であれば顧客データを統合できる。該当する場合、各当事者は、米国プライバシー法に基づく義務を履行できなくなったと判断した場合、相手方当事者に通知するものとする。​​ 
 

4 。国際データ転送​​ 

4 . 1​​  適切な保護​​ .G-Pは通常の業務過程において、顧客データをその関連会社および/またはサブプロセッサーに世界中で転送する権限を持っています。関連するデータ保護当局がデータ保護法に基づき個人データの十分な保護レベルを提供していない地域への移送を行う場合、G-Pはマスター契約に基づきまたは関連して移転された顧客データの適切な保護が整っていることを確実にします。​​ 
4 . 2​​  データプライバシーフレームワーク。​​  プロフェッショナル​​  顧客データは米国でホストされるGPPに保存されています。G-PはEU-米国データプライバシーフレームワーク(EU-U.S. DPF)および該当する場合はEU-米国DPFの英国拡張、スイス-米国の認証を受けています。データプライバシーフレームワーク(スイス・米国)DPF)。G-Pの認証はDPFのウェブサイトで公開で確認できます​​   。 EU-米国間のデータ プライバシー フレームワークは、それぞれ一般データ保護規則(GDPR)、英国一般データ保護規則(GDPR)、および FADP の第45条に準拠した合法的なデータ転送メカニズムであり、欧州委員会によって適切であると考えられています。 DPFフレームワークが無効化、停止、または国際的なデータ転送に対する適切な保護を提供するものとして認識されなくなった場合、処理者は、該当する場合、欧州委員会、英国情報コミッショナー事務局(ICO)、またはスイス連邦データ保護情報コミッショナー(FDPIC)が発行または承認したSCCを締結し、それに従うことに同意します。 両当事者は、移転されたデータに対して実質的に同等のレベルの保護を確保するために必要なあらゆる補足措置を実施するために、誠実に協力するものとする。​​ 
4 . 3​​  標準契約条項​​  顧客(「データ輸出者」)からG-P (「データ輸入者」)への個人データの移転が制限付き移転であり、適用されるデータ保護法により適切な保護措置を講じる必要がある場合、当該移転は、本データ処理契約に組み込まれ、その一部を構成するものとみなされる適切な標準契約条項に従うものとし、その内容は以下のとおりである。​​ 
a.一般データ保護規則(GDPR)で保護される個人データの移転に関しては、EUのSCCが適用され、以下のように完成します。​​ 
i. モジュール1およびモジュール2が適用される。​​ 
ii. 条項7では、オプションのドッキング条項が適用されます。​​ 
iii. モジュール2の条項9では、オプション2が適用され、サブプロセッサの変更に関する事前通知の期間は、このDPAのセクション3 . 5に定めるとおりとする。​​ 
iv. 条項11では、オプションの文言は適用されません。​​ 
v. 条項12において、EU SCC に基づいて提起された請求は、マスター契約に定められた条件に従うものとします。​​ 
vi. 条項17では、オプション1が適用され、EU標準契約条項はアイルランド法に準拠する。​​ 
vii. 条項18 (b)では、紛争はアイルランドの裁判所で解決されるものとする。​​ 
viii.EU標準契約条項の附属書Iは、本データ処理契約の附属書1に記載された情報をもって完成したものとみなされる。​​ 
ix. EU SCCの附属書IIは、このDPAの附属書2に記載されている情報で完成しているものとみなされる。​​ 
x. EU SCCsのモジュール2の附属書IIIは、このDPAの附属書3に記載されている情報で完成しているものとみなされる。​​ 
b.英国データ保護法またはスイスデータ保護法によって保護されている個人データの移転に関しては、上記の小項(a)に基づいて実施されるEU標準契約条項が、以下の修正を加えて適用されます。​​ 
i. 「規則(EU) 2016 / 679 」への言及は、英国データ保護法またはスイスデータ保護法(該当する場合)への言及として解釈されるものとする。​​ 
ii. 「規則(EU) 2016 / 679 」の特定の条項への言及は、英国データ保護法またはスイスデータ保護法(該当する場合)の同等の条項または節に置き換えられるものとする。​​ 
iii. 「EU」、「連合」、「加盟国」および「加盟国法」への言及は、「英国」または「スイス」、または「英国法」または「スイス法」(該当する場合)への言及に置き換えられるものとする。​​ 
iv.「加盟国」という用語は、英国またはスイスのデータ主体がその常居所地(すなわち、英国またはスイス)で権利を主張して訴訟を起こす可能性を排除するような方法で解釈されてはならない。​​ 
v. 条項13 (a)および附属書IのパートCは使用されず、「管轄監督機関」は英国情報コミッショナーまたはスイス連邦データ保護情報コミッショナー(該当する場合)である。​​ 
vi. 「管轄監督機関」および「管轄裁判所」への言及は、「情報コミッショナー」および「イングランドおよびウェールズの裁判所」または「スイス連邦データ保護情報コミッショナー」および「スイスの該当する裁判所」(該当する場合)への言及に置き換えられるものとする。​​ 
vii. 条項17において、標準契約条項は、イングランドおよびウェールズの法律またはスイスの法律(該当する場合)に準拠するものとする。​​ 
viii. 英国のデータ保護法が適用される移転に関しては、条項18は「これらの条項から生じる紛争は、イングランドおよびウェールズの裁判所によって解決されるものとする」と修正されるものとする。データ主体は、英国を含むいずれかの国の裁判所において、データ輸出者および/またはデータ輸入者に対して訴訟を起こすことができる。当事者は、当該裁判所の管轄権に服することに同意する」とし、スイスのデータ保護法が適用される移転に関しては、第18条(b)項に、紛争はスイスの該当する裁判所で解決される旨を規定するものとする。​​ 
ix.英国一般データ保護規則(GDPR)で保護されるデータに関しては、EUのSCCが以下の通りに適用されます:(i) 上記の段落(i)から(viii)に従って完了したまま適用される;および (ii) 英国付録第 2 部に定められた改正とみなされ、本DPAに組み込まれ、その不可分の一部を形成するものとする。 さらに、英国補足文書のパート1の表1から3は、それぞれこのDPAの附属書Iおよび附属書IIに記載されている情報で記入され、英国補足文書のパート1の表4は、「いずれの当事者も」を選択することによって記入されたものとみなされる。​​ 
c.ブラジルのLGPDによって保護される個人データの、直接または転送を介して、ANPDが発行した十分性決定の対象とならないブラジル国外の国への移転に関して、ブラジルのSCCは、この参照により締結され、このDPAに組み込まれ、以下のように完了したものとみなされます。​​ 
i. ブラジルSCCの条項2は、データ転送を説明する附属書Iに記載されている情報によって満たされます。​​ 
ii.ブラジルSCCの条項3では、オプションBが適用され、このDPAのセクション3 . 5 (「サブプロセッサー」)に従って転送が許可されます。処理の対象、性質、および期間は、本データ処理協定の附属書Iに規定されている。​​ 
iii.ブラジルSCCの条項4は、本DPAの付属書Iに記載されている情報によって満たされます。G-P管理者である場合、ブラジルSCCで定義されている「指定当事者」となり、ブラジルSCCの条項14 (透明性)、条項15 (データ主体の権利)、および条項16 (インシデント報告)の目的に該当します。 顧客は、自身が管理者となる可能性のある個人データに関して、ブラジルSCCの条項14 (透明性)、条項15 (データ主体の権利)、および条項16 (インシデント報告)を遵守する責任を負います。​​ 
iv.ブラジルSCCの条項9では、オプションのドッキング条項は適用されません。​​ 
v. ブラジルSCCの第III項(セキュリティ対策)は、本DPAの附属書IIに記載された情報をもって完了したものとみなされる。​​ 
4 . 4​​  予期せぬデータ転送​​ サービスの提供過程において、いずれかの当事者が、本DPAのセクション4 . 1から4 . 3に規定されたメカニズムによって既に対処されていない個人データの移転が発生した、または発生する可能性が高いことを特定した場合、両当事者は速やかに互いに通知し、当該移転の合法性を確保するために適用されるデータ保護法の下で要求される追加の移転メカニズムまたは補足措置を遅滞なく実施するために誠意をもって協力するものとします。いずれの当事者も、適切な仕組みが合意され、実施されるまでは、そのような予期せぬ移転を進める義務を負わないものとする。​​ 
 

附属書I​​  

データ処理の説明​​ 
独立支配者 - 支配者関係の詳細​​ 
(このセクションでは、データ管理者としての立場で当事者間で共有される個人データの詳細について説明します。)​​ 
政党​​ 
データ輸出者:マスター契約を締結する顧客企業​​ 
データインポート元:Globalization Partners LLC​​ 
関係者の連絡先​​ 
連絡先は基本契約書に記載されています。​​ 
転送されたデータに関連する活動​​ 
雇用代行業者(EOR)サービスに関する活動。​​ 
役割​​ 
データエクスポート元: コントローラー。​​ 
データインポーター:コントローラー。​​ 
処理活動​​ 
処理/転送される個人データは、以下の処理活動の対象となる場合があります。適用される手段や手順に関係なく、個人データに関するあらゆる操作、特にデータの収集、整理、保管、保持、使用、検索、参照、アーカイブ、送信、ブロック、消去、または破棄、システムの運用と保守、コンプライアンス、法的および監査機能。​​ 
処理期間​​ 
基本契約の期間および継続的に。​​ 
処理の性質と目的​​ 
顧客は顧客データをG-Pに移転することができ、その範囲は顧客が単独で決定・管理します。処理の目的は、マスター契約に従い雇用代行業者(EOR)サービスを提供することです。​​ 
データ主体のカテゴリー​​ 
プロフェッショナル。​​ 
個人データの種類​​ 
連絡先情報(氏名、住所、メールアドレス、電話番号、FAX番号、緊急連絡先、および関連する現地時間帯情報などが含まれる場合があります)。​​ 
雇用情報(学歴、履歴書、職種、階級、人口統計、居住地データ、国籍および輸出遵守状況、給与、ボーナスなどが含まれます)。​​ 
データ主体の電子メールの内容。​​ 
データ主体に対して提供される、またはデータ主体の利益となるサービスの詳細。​​ 
特別なデータカテゴリ(該当する場合)​​  
該当なし​​ 
人材補助​​ 
個人データは、適用される法律で定められた最低保存期間以上、適用される時効期間に準拠し、かつ適切なビジネス慣行を満たす期間、保持されます。​​ 
管轄監督機関​​ 
管轄監督機関は、適用されるデータ保護法に従って決定され、次のものが含まれるものとします。 アイルランドデータ保護委員会 (EU 一般データ保護規則(GDPR) の場合)。スイス連邦データ保護情報コミッショナー / FDPIC (スイス FADP の場合);英国情報コミッショナー局 / ICO (英国一般データ保護規則(GDPR)用)。およびダドス保護国立保護区 / ANPD (ブラジル LGPD)。​​ 
サブプロセッサへの転送​​  
処理者へのデータ移転の場合、処理の対象、性質、期間は上記で定義したものと同じである。​​ 
G-Pプライバシー連絡先​​  
 
宛先:グローバルプライバシーオフィス​​  
 
 
 
コントローラとプロセッサの関係の詳細​​ 
(この節は、G-Pが顧客を代表して処理している個人データの詳細に関するものです)​​ 
政党​​ 
データ輸出者:マスター契約を締結する顧客企業​​ 
データインポート元:Globalization Partners LLC​​ 
関係者の連絡先​​ 
連絡先は基本契約書に記載されています。​​ 
転送されたデータに関連する活動​​ 
雇用代行業者(EOR)サービスおよびお客様にサービスとして提供されるGPPの利用に関する活動。​​ 
役割​​ 
データエクスポート元: コントローラー​​ 
データインポーター:プロセッサー​​ 
処理活動​​ 
処理/転送される個人データは、以下の処理活動の対象となる場合があります。適用される手段や手順に関係なく、個人データに関するあらゆる操作、特にデータの収集、整理、保管、保持、使用、検索、参照、アーカイブ、送信、ブロック、消去、または破棄、システムの運用と保守、コンプライアンス、法的および監査機能。​​ 
処理期間​​ 
基本契約の期間および継続的に。​​ 
処理の性質と目的​​ 
顧客は顧客データをG-Pに移転することができ、その範囲は顧客が単独で決定・管理します。本処理の目的は、基本契約に従って、GPPをサービスとして顧客に提供することです。​​ 
データ主体のカテゴリー​​ 
GPPの承認済みユーザーには、顧客の従業員および/または請負業者が含まれる場合があります。​​ 
個人データの種類​​ 
連絡先情報(電話番号やメールアドレスなど)。​​ 
従業員/契約社員のデータ(役職名、会社名など)。​​ 
利用状況データ(認証済みユーザーのデバイスに関するデータや、当該デバイスがGPPとどのように連携するかなどのデータ)。​​ 
位置情報(IPアドレスから取得した位置情報など)。​​ 
コンテンツデータ(顧客が専門家に関して保有するファイルの内容や関連する通信内容など)。​​ 
認証情報(パスワード、パスワードのヒント、およびGPPへの認証とアカウントアクセスに使用される同様のセキュリティ情報など)。​​ 
承認されたユーザーから提供された個人データ。​​ 
特別なデータカテゴリ(該当する場合)​​  
該当なし​​ 
人材補助​​ 
個人データは、適用される法律で定められた最低保存期間以上、適用される時効期間に準拠し、かつ適切なビジネス慣行を満たす期間、保持されます。​​ 
管轄監督機関​​ 
管轄監督機関は、適用されるデータ保護法に従って決定され、次のものが含まれるものとします。 アイルランドデータ保護委員会 (EU 一般データ保護規則(GDPR) の場合)。スイス連邦データ保護情報コミッショナー / FDPIC (スイス FADP の場合);英国情報コミッショナー局 / ICO (英国一般データ保護規則(GDPR)用)。およびダドス保護国立保護区 / ANPD (ブラジル LGPD)。​​ 
サブプロセッサへの転送​​  
処理者へのデータ移転の場合、処理の対象、性質、期間は上記で定義したものと同じである。​​ 
G-Pプライバシー連絡先​​  
 
宛先:グローバルプライバシーオフィス​​  
 

附属書II​​ 

技術的および組織的措置​​ 

G-Pは独立した監査人によってSOC 2 およびISO 27001 基準の遵守を確認する認証および認証を受けています。これらの認証は、当社が顧客データの保護に尽力していることを示すものです。G-Pのセキュリティプログラムは以下の目的で設計されています:​​ 

G-Pが保有またはアクセス可能な顧客データの機密性、整合性、可用性を保護G-P。​​ 

顧客データの機密性、完全性、可用性に対するあらゆる想定される脅威や危険から保護する。​​ 

顧客データへの不正アクセス、使用、開示、改ざん、または破壊を防止する。​​ 

顧客データの偶発的な損失、破壊、または損傷から保護する。​​ 

G-P規制される可能性のあるあらゆる規則に定められたとおりに、情報を保護する。​​ 

以下では、 G-P顧客データの処理におけるセキュリティを確保するために講じた機能、プロセス、管理、システム、手順、および措置について説明します。​​ 

1 )データプライバシーと保護を確保するための技術的措置​​ 

設計段階およびデフォルト設定におけるプライバシー保護:​​ 

G-P 、製品開発の構想と開発段階で、 25一般データ保護規則(GDPR)条項の要件を考慮します。 プロセスと機能は、合法性、透明性、目的制限、データ最小化などのデータ保護原則、および処理のセキュリティが早期段階で考慮されるように構築されています。​​ 

b)個人データの暗号化:​​ 

個人データがシステム内に保存される際は、第三者がデータ主体を特定できないような方法で保存することを確実にする。​​ 

データベースとストレージの暗号化:​​ 

G-Pで使用されるすべてのデータベースでは、最新技術に応じた「静止」暗号化が使用されており、データベースからのデータは適切な認証後にのみ読み取れます。​​ 

モバイルデータ媒体の暗号化:​​ 

顧客データの保存にモバイルデータキャリアを使用することは許可されていません。​​ 

ノートパソコン上のデータキャリアの暗号化:​​ 

従業員全員のノートパソコンには、最新鋭の適切なハードディスク暗号化システムがインストールされています。​​ 

暗号化された情報およびファイルの交換:​​ 

原則として、情報やファイルのやり取りは特別な求人応募を通じて直接暗号化されます。 個人データまたは機密情報を、TLS暗号化HTTPSアップロードで送信できないサーバーに転送する必要がある場合は、最新の技術水準に従って、セキュアファイル転送プロトコル(SFTP)、暗号化エンベロープサービス、またはその他の暗号化メカニズムを使用して転送します。​​ 

電子メールの暗号化:​​ 

原則として、 G-Pの従業員が送信するすべての電子メールはTLSで暗号化されています。 受信側のメールサーバーがTLSをサポートしていない場合は例外となる可能性があります。顧客は、注文の範囲内で使用される該当するメールサーバーがTLS暗号化をサポートしていることを確認するものとします。​​ 

c)入退室管理​​ 

アクセス制御は、データ保護法によって保護されているデータが、権限のない者によって使用または処理されることを防止するために意図され、実施されるものです。​​ 

認証方法の使用​​ 

個人データへのアクセスは常に暗号化されたプロトコル(SSH、SSL/TLS、HTTPS、または同等のプロトコル)を介して行われます。ITシステムへの認証手順:ITシステムへのログインには多要素認証を使用します。​​ 

非アクティブ状態の場合、自動的にブロックされます。​​ 

G-Pの従業員が使用するノートパソコンは、使用していないときはパスワードまたはPINでロックされます。 さらに、 15分間操作がないと、パスワード保護付きの自動画面ロックが設定されます。​​ 

ウイルス対策ソフトウェアの使用​​ 

G-Pの従業員が使用するノートパソコンには、最新のウイルス対策ソフトウェアが搭載されており、すべての業務用ITシステムにおいて常に最新の状態に保たれています。 原則として、同等の最先端のセキュリティ対策が講じられているか、リスクが全くない場合を除き、常駐型のウイルス対策ソフトなしでコンピュータを運用してはならない。デフォルトのセキュリティ設定は無効化したり、回避したりしてはなりません。​​ 

「クリーンデスクポリシー」​​ 

G-Pの従業員は、データ主体の個人データを印刷したり現地に保管したりしないよう指示されており、作業資料を第三者が閲覧する可能性のある場所に置かないこと、そしてすべての作業資料を適切に保管するよう指示されています。G-Pが法律で紙のコピーで保管することが義務付けられている書類は、施錠されたキャビネットに保管されています。​​ 

d)プラットフォーム内のアクセス制御​​ 

アクセス制御により、処理システムの使用を許可された者は、自身のアクセス権限で保護された個人データのみにアクセスできることが保証されます。​​ 

役割と権限​​ 

役割と認証プラットフォーム – 顧客アクセス 顧客ユーザーは、顧客アカウント情報を表示および編集できます。​​ 

役割と認証プラットフォーム – プロフェッショナルアクセス プロフェッショナルユーザーは、自身の専門情報を閲覧および編集できます。​​ 

専門家は、要件と承認に基づいて顧客アクセス権限を取得することもできます。​​ 

役割と認可プラットフォーム – 内部アクセス​​ 

内部アクセスユーザーには様々な役割がある。彼らは、以下の項目の作成、閲覧、編集、承認に関して、それぞれ異なるアクセス権限を持っています。​​ 

顧客情報​​ 

請求情報​​ 

パートナー情報​​ 

専門職の人事記録情報​​ 

管理システムへのアクセスは、一般的に、顧客サポートおよび製品開発分野の訓練を受けた従業員に限定されています。​​ 

e)サービスとしてのファイアウォール​​ 

G-Pは外部ファイアウォールをサービスとして利用しており、これによりウェブサイトへのアクセスを許可またはブロックし、システムが悪意のあるコンテンツにアクセスできないようにし、不適切なコンテンツへのアクセスを制限しています。​​ 

f) プラットフォームへのログイン記録​​ 

G-Pすべてのログインアクティビティの記録を保持します。​​ 

g)分離可能性​​ 

異なる目的で収集された個人データは個別に処理され、他のデータやシステムから分離されることで、これらのデータが他の目的で意図せず使用されることが排除されるようにする。​​ 

開発環境、テスト環境、運用環境の分離​​ 

運用環境からのデータは、転送前に完全に匿名化されている場合に限り、テスト環境または開発環境に転送することができます。匿名化されたデータの転送は、暗号化するか、信頼できるネットワークを介して行う必要がある。​​ 

運用環境に移行するソフトウェアは、まず同一のテスト環境(「ステージング」)でテストする必要があります。エラー解析プログラムやソフトウェアの作成・コンパイルプログラムは、やむを得ない場合に限り、オペレーティング環境で使用することができます。これは特に、エラー状況が、テスト環境への移行時に匿名化の要件によって改ざんされる可能性のあるデータに依存している場合に当てはまります。​​ 

ネットワークにおける分離​​ 

G-Pはタスクごとにネットワークを分離しています。以下のネットワークは、運用環境(「本番環境」)、テスト環境(「ステージング」、「サンドボックス」)、開発環境(「Dev」)のオフィスITスタッフによって常時使用されています。これらのネットワークに加えて、必要に応じて、例えば復旧テストや侵入テストのために、さらに別のネットワークが作成されます。技術的な可能性に応じて、ネットワークは物理的に分離されるか、仮想ネットワークによって分離される。​​ 

h)可用性管理​​ 

G-P 、個人データが偶発的な破壊や紛失から保護されるよう、以下の措置を講じています。​​ 

データ保護手順/バックアップ​​ 

十分な可用性を確保するため、 G-Pデータベースのデイリースナップショットを作成し、別のリージョンにレプリケーションを行っています。 また、業務上データを確認する必要のある従業員には、複製データセットのみへのアクセス権限が付与されるように対策が講じられている。​​ 

本番データおよびバックアップのサーバーインフラストラクチャに関する地理的冗長性​​ 

ITインシデント管理(「インシデント対応管理」)​​ 

事故や安全に関わる事象に対処するための概念と文書化された手順が存在する。これには、インシデントへの対応の計画と準備、セキュリティ関連イベントの監視、検出、分析の手順、および法的要件の枠組み内での個人データ保護違反が発生した場合の対応する責任と報告チャネルの定義が含まれます。​​ 

2 )データプライバシーと保護を確保するための組織的措置​​ 

G-P 、組織がデータプライバシーおよび保護要件を満たす方法で運営されることを確実にするために、以下の組織的措置を講じています。​​ 

a)組織に関する指示​​ 

G-Pは、従業員が従うべき方針、手順、ガイドラインを含むデータガバナンスプログラムを開発し、現在も開発中です。ドキュメントには、データプライバシーの問題を特定して管理する方法、プライバシーコンプライアンスを確保するためのベストプラクティス、およびプライバシーインシデントに対処するためのポリシーが含まれています。​​ 

b)機密保持とデータ保護への取り組み​​ 

G-Pは、従業員が従うべき方針、手順、ガイドラインを含むデータガバナンスプログラムを開発し、現在も開発中です。すべての従業員および契約社員は、機密保持義務、データ保護義務、およびその他の関連法規を遵守する義務を文書で負う。全従業員はプライバシーとセキュリティに関する研修を受けます。データ保護および情報セキュリティに関する内部監査は定期的に実施されています。監査は、共通の試験基準/方式に基づいて実施されます。G-Pの従業員および契約者は、顧客および専門家との契約に従い、データ主体からの明示的な同意または拒否を十分に考慮し、組織の合法的義務に則って個人データを処理するよう指示されています。​​ 

c)データ保護に関する研修​​ 

すべての従業員はプライバシーおよびセキュリティ研修を受けており、G-P研修プラットフォーム上でいつでもレビュー可能です。​​ 

d)物理的なアクセス制御​​ 

G-P 、処理に使用されるITシステム機器への不正アクセスを防止するために、以下の物理的な対策を講じています。​​ 

電子ドアセキュリティ​​ 

G-Pオフィスの入口は常に施錠され、電子的に施錠されています。ドアは個人用の電子トランスポンダーで開閉する。​​ 

鍵の管理された配布​​ 

G-Pの従業員には中央で文書化された鍵の割り当てが行われます。これらの電子トランスポンダー/キーは、各オフィス管理者または人事部によって一元的に無効化できます。​​ 

外部関係者の監督および同行​​ 

外部サービスプロバイダーおよびその他の第三者は、事前の承認がある場合、またはG-Pの同伴がある場合にのみ施設への立ち入りが許可されます。 G-P 、来訪者を施設に招く際に、文書化された来訪者ポリシーを適用します。​​ 

保護の必要性が高まっている施設の安全確保​​ 

法律事務所や特定の業務拠点など、より高いセキュリティ要件が求められる施設やキャビネットには、施錠可能なキャビネットや引き出しが設置されています。法的文書、契約書、機密文書を保管する戸棚や引き出しは、使用時を除き、常に施錠しておかなければならない。​​ 

閉められたドアと窓​​ 

従業員は、勤務時間外は窓やドアを閉めるか施錠するように組織から指示されている。​​ 

e)回復可能性​​ 

G-P 、物理的または技術的な障害が発生した場合でも、使用中のシステムを復旧できることを保証します。​​ 

データ復旧の定期テスト(「復元テスト」)​​ 

緊急事態や災害発生時の復旧性を確保するため、定期的に完全復旧テストを実施しています。​​ 

緊急時対応計画(「災害復旧構想」)​​ 

緊急事態や災害への対応に関する概念と、それに対応する緊急時対応計画が存在する。G-P 、データバックアップに基づいて、通常48時間以内にすべてのシステムの復旧を保証します。​​ 

レビューおよび評価措置​​ 

技術的および組織的措置の有効性を定期的に見直し、評価するための手順を提示する。​​ 

f)プライバシーチーム​​ 

当該組織には、データ保護分野における対策の計画、実施、評価、および適応を担当するグローバルデータプライバシーオフィスが設置されている。​​ 

g)リスク管理​​ 

リスクを分析、評価、配分し、これらのリスクに基づいて対策を導き出すためのプロセスが存在する。​​ 

3 )情報セキュリティに関する独立レビュー​​ 

監査の実施​​ 

データ保護および情報セキュリティに関する内部監査は定期的に実施されています。監査は、共通の試験基準/方式に基づいて実施されます。​​ 

b)セキュリティポリシーおよび基準への準拠状況のレビュー​​ 

個人データの処理に関して適用されるセキュリティガイドライン、基準、その他のセキュリティ要件への準拠は定期的に確認されます。可能な限り、これらの検査は無作為かつ予告なしに実施されます。​​ 

c)技術仕様への準拠の検証​​ 

IT部門またはその他の資格を有する担当者は、アプリケーションとインフラストラクチャのセキュリティ、および製品の定期的な開発状況を確認するために、定期的な自動および手動の脆弱性スキャンを実施します。詳細な侵入テストは、外部のサービスプロバイダーによって実施され、アプリケーションとインフラストラクチャの脆弱性を具体的に調査します。​​ 

d)命令の処理​​ 

G-Pの従業員は、顧客および専門家との適用契約に基づき、データ主体が与えた、または拒否した明示的な同意を十分に考慮し、組織の法的義務に従って、合法的な理由のみで個人データを処理するよう指示されています。​​ 

e)サプライヤーの慎重な選定​​ 

G-P 、保護対象データに接する可能性のあるベンダーおよびサプライヤーを選定する際に、サプライヤー事前資格審査プロセスを遵守します。 このプロセスには、財務部門および法務・プライバシー部門からのフィードバックが含まれ、リスク評価、セキュリティ事前資格審査、文書認証の手順が組み込まれています。保護されたデータを処理するサプライヤーは、対象データに関する28一般データ保護規則(GDPR)条項を含む、適用されるデータ プライバシー法の遵守を証明する必要があります。​​ 

附属書III​​ 

サブプロセッサ一覧​​ 
サブプロセッサ​​ 
所在地および連絡先情報​​ 
処理内容の説明​​ 
3933 Lake Washington Blvd NE # 350 、カークランド、ワシントン州98033 、米国​​ 
金融サービス​​ 
POボックス81226​​ 
シアトル、ワシントン州98108 - 1226 、米国​​ 
ホスティング – クラウドサービスプロバイダー​​ 
マイクロソフトコーポレーション ワンマイクロソフトウェイ​​ 
アメリカ合衆国98052レドモンド 電話番号: (+ 1 ) 425 - 882 - 8080 。​​ 
コミュニケーション(電子メール)およびサービス管理に関するビジネスプロセスサポート​​ 
350ブッシュストリートフロア13​​ 
サンフランシスコ、カリフォルニア州94104 、アメリカ合衆国​​ 
+ 1 415 701 1110​​ 
サービス管理のためのビジネスプロセスサポート​​ 
DocuSign International (EMEA) Ltd、宛先:プライバシーチーム、 5ハノーバー・キー、1階、ダブリン2 、アイルランド共和国​​ 
文書管理​​ 
セールスフォース・タワー、 415ストリート、 3階、サンフランシスコ、カリフォルニア州、 94105​​ 
1 - 800 - 387 - 3285​​ 
顧客関係管理(CRM)のためのビジネスプロセスサポート​​ 
989マーケットストリート​​ 
サンフランシスコ、カリフォルニア州94103 、アメリカ合衆国​​ 
888-670-4887​​ 
カスタマーサポートに関するヘルプデスクへのお問い合わせ​​ 
2225ローソンレーン、サンタクララ、カリフォルニア州、 95054​​ 
アメリカ合衆国​​ 
ITサービスおよび運用管理のためのビジネスプロセスサポート、従業員および顧客エクスペリエンスを通じて(​​ 自動化されたクラウドベースのワークフロー)​​ 
160スピアストリート、 15階、サンフランシスコ、カリフォルニア州94105 1 - 866 - 330 - 0121​​ 
アメリカ合衆国​​ 
クラウドデータウェアハウスインフラストラクチャ。​​ 
620 8th​​  平均45​​ th​​  床​​ 
ニューヨーク州ニューヨーク市10018​​ 
アメリカ合衆国​​ 
サービス監視およびデバッグツール​​ 
アベニュー・ルイーズ54 、ルームs 52 、​​ 
1050ブリュッセル​​ 
ベルギー​​ 
オンライン決済処理業者​​ 
1600アンフィシアター・パークウェイ、マウンテンビュー、カリフォルニア州94043​​ 
コミュニケーション(電子メール)および社内文書保管に関する業務プロセスサポート​​