Język ochrony prywatności MSA

 DODATEK DOTYCZĄCY OCHRONY DANYCH

Klient zawarł Umowę Ramową lub umowę o podobnym charakterze i celu (zwaną dalej „Umową Ramową”) z . G-P Podpisanie takiej Umowy Ramowej może wiązać się z Przetwarzaniem Danych Osobowych. Klient i G-P (łącznie zwani „Stronami”) zgadzają się, że niniejszy Dodatek dotyczący ochrony danych („DPA”) określa ich obowiązki w odniesieniu do przetwarzania i bezpieczeństwa Danych osobowych w związku z Usługami świadczonymi G-P przez Klienta na mocy Umowy ramowej, a Strony zgadzają się związać niniejszym DPA. Niniejsza Umowa powierzenia przetwarzania danych uzupełnia warunki zawarte w Umowie ramowej i stanowi jej integralną część. W przypadku sprzeczności między niniejszym DPA a jakąkolwiek inną umową między stronami w kwestiach określonych w niniejszym dokumencie, pierwszeństwo ma niniejszy DPA. Jeśli Klient posiada już podpisany dodatek dotyczący ochrony danych obowiązujący w , wówczas umowa ta G-Pbędzie miała pierwszeństwo przed niniejszą Umową powierzenia przetwarzania danych, a niniejsza Umowa powierzenia przetwarzania danych nie będzie miała mocy ani skutku, chyba że Klient uzgodni inaczej na piśmie z . G-P

 

Podczas gdy:

1. G-P W przypadku świadczenia przez Klienta usług pracodawcy formalnego („EOR G-P”) przyjmuje rolę pracodawcy prawnego dla wszystkich osób wybranych przez Klienta („Profesjonaliści”) do zatrudnienia.
2. W odniesieniu do Danych osobowych takich Specjalistów G-P , jest Administratorem w trakcie trwania stosunku pracy.
3. W odniesieniu do Danych Osobowych Profesjonalistów gromadzonych i wykorzystywanych przez Klienta do własnych celów, Klient jest również Administratorem z niezależnymi zobowiązaniami w zakresie prywatności.
4. When delivering the EOR services, the exchange of Professionals' Personal Data between G-P and the Customer is under an independent Controller-to-Controller relationship and the Controller-to-Controller terms defined in section 2 below, shall apply.
5. G-P oferuje również różne oprogramowanie jako produkty usługowe za pośrednictwem G-Pplatformy („GPP”), G-P za pośrednictwem której Klient może zarządzać relacjami z tymi Profesjonalistami.
6. Zapewniając Klientowi dostęp do GPP G-P , Podmiot przetwarzający dane związane z kontem przesłane do GPP przez wyznaczonych przez Klienta Upoważnionych użytkowników GPP oraz zastosowanie mają warunki między Administratorem a Podmiotem przetwarzającym określone w punkcie 3 poniżej.

 

G-P a Klient zgodził się, co następuje:

 

1 .DEFINICJE

1.1 .Warunki niezdefiniowane w niniejszym dokumencie mają znaczenie określone w Umowie Ramowej. Następujące słowa w niniejszej Umowie powierzenia przetwarzania danych mają następujące znaczenie:

1.2. “„Upoważniony użytkownik ” oznacza osobę upoważnioną przez Klienta, która może obejmować pracownika lub wykonawcę Klienta w celu uzyskania dostępu do GPP i korzystania z nich w imieniu Klienta, zgodnie z postanowieniami Umowy Ramowej.

1.3. “„Dane Klienta” oznaczają wszelkie Dane osobowe związane z dowolnym Upoważnionym użytkownikiem lub możliwą do zidentyfikowania osobą fizyczną, które są przekazywane, przetwarzane lub przechowywane przez Klienta G-P w imieniu Klienta w celu korzystania z GPP przez Klienta.

1.4. “ „Przepisy o ochronie danych” oznaczają wszelkie przepisy dotyczące ochrony danych i prywatności, którym podlega strona niniejszej Umowy i które mają zastosowanie do świadczonych Usług, w tym, w stosownych przypadkach, RODO, brytyjskie RODO, szwajcarskie przepisy o ochronie danych, amerykańskie przepisy o ochronie prywatności (w tym przepisy stanowe i federalne) oraz brazylijską LGPD.

1.5. „RODO” oznacza Ogólne rozporządzenie o ochronie danych (UE) 2016/679.

1.6. “GPP” oznacza G-P„oprogramowanie własnościowe, w tym między innymi oprogramowanie, wersję mobilną, wszelkie oprogramowanie w nim zawarte oraz wszelkie dane udostępnione za pośrednictwem G-Poprogramowania własnościowego lub usług stron trzecich, w tym ich aktualizacje, uaktualnienia, platforma jako usługa i dokumentacja.

1.7. “„EOG” oznacza Europejski Obszar Gospodarczy.

1.8. “LGPD” oznacza brazylijską ustawę nr 13.709, ogólną ustawę o ochronie danych osobowych, która może zostać zmieniona, zastąpiona lub zastąpiona.

1.9. „Master Agreemen t” oznacza umowę zawartą między Klientem a G-P świadczeniem Usług.

1.10. „Polityka prywatności” oznacza politykę G-Pprywatności, aktualizowaną od czasu do czasu, dostępną pod adresem https://www.globalization-partners.com/privacy-policy/

1.11. „Dane zawodowe ” oznaczają Dane osobowe zawodowe przetwarzane przez w G-P ramach świadczenia usług na rzecz Klienta przez EOR.

1.12. „Ograniczone przekazywanie” oznacza wszelkie przekazywanie Danych osobowych do kraju spoza EOG, Wielkiej Brytanii, Szwajcarii lub Brazylii, które nie podlega decyzji stwierdzającej odpowiedni stopień ochrony zgodnie z obowiązującymi Przepisami o ochronie danych, a zatem wymaga odpowiednich zabezpieczeń zgodnie z obowiązującymi przepisami o ochronie danych.

1.13. „Usługi” oznaczają usługi, które mają być świadczone G-P przez Klienta na mocy Umowy Ramowej, która może obejmować usługi pracodawcy formalnego oraz dostęp i korzystanie z GPP.

1.14. „Standardowe Klauzule Umowne ” lub„ SKU ”średnia (i) w przypadku, gdy ma zastosowanie RODO, standardowe klauzule umowne załączone do decyzji wykonawczej Komisji Europejskiej (UE) 2021/914 4 czerwiec 2021 dotyczące standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 , dostępne pod adresem https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914&from=EN („SKU UE”); (ii) w przypadku, gdy zastosowanie ma brytyjskie RODO, mające zastosowanie standardowe klauzule ochrony danych przyjęte zgodnie z art. 46(2)(c), lub (d) w przypadku gdy RODO w Wielkiej Brytanii oznacza Dodatek dotyczący międzynarodowego przekazywania danych („Aneks w Wielkiej Brytanii”) do Standardowych klauzul umownych UE wydany przez Biuro Komisarza ds. Informacji zgodnie z s.119A(1) Ustawy o ochronie danych 2018, jako taki Dodatek brytyjski może zostać zmieniony zgodnie z punktem 18 w nim („Kodeksy SKU Wielkiej Brytanii”); (iii) w przypadku gdy zastosowanie mają szwajcarskie przepisy

1.15. “Szwajcarskie przepisy o ochronie danych ” lub

1.16. “„Aneks brytyjski ” oznacza aneks dotyczący międzynarodowego przekazywania danych do Standardowych klauzul umownych UE wydany przez brytyjskiego komisarza ds. informacji.

1.17. “Brytyjskie przepisy o ochronie danych” oznaczają RODO zapisane w prawie brytyjskim na mocy art. 3 brytyjskiej ustawy o Unii Europejskiej (wycofanie) 2019 („UK RODO”) i ustawy o ochronie danych 2018 (łącznie „ UK Przepisy o ochronie danych”).

1.18. “Amerykańskie przepisy o ochronie prywatności” oznaczają obowiązujące w Stanach Zjednoczonych (USA) stanowe przepisy, nakazy, regulacje i wytyczne regulacyjne dotyczące Przetwarzania Danych osobowych, w tym między innymi: (a) ustawę CCPA; (b) ustawę o ochronie danych konsumentów stanu Wirginia; (c) ustawę o ochronie prywatności stanu Kolorado; (d) ustawę stanu Connecticut dotyczącą prywatności danych i monitorowania online; (e) ustawę o ochronie prywatności konsumentów stanu Utah; oraz (f) wszystkie podobne przepisy stanowe

1.19. "„Administrator danych”, „Osoba, której dane dotyczą”, „Dane osobowe”, „Naruszenie ochrony danych”, „Podmiot przetwarzający”, „Przetwarzanie/przetwarzanie”, „Ograniczone przekazywanie”, „ Usługodawca” i/lub wszelkie inne podobne terminy i pojęcia mają znaczenie określone w Przepisach o ochronie danych.

 

 

2 .KONTROLA DANYCH OSOBOWYCH

2.1 .Roles of the Parties .W G-P przypadku gdy działa jako niezależny Administrator, G-P będzie przestrzegać swoich obowiązków Administratora wynikających z Przepisów o ochronie danych podczas Przetwarzania Danych osobowych i będzie Przetwarzać Dane osobowe zgodnie z opisem w Polityce G-Pprywatności , dostępnej pod adresem . https://www.globalization-partners.com/privacy-policy/ Klient będzie przestrzegać swoich zobowiązań wynikających z Przepisów o ochronie danych podczas Przetwarzania Danych osobowych jako Administrator. W żadnym wypadku Strony nie będą Przetwarzać Danych osobowych na mocy niniejszej Umowy o ochronie danych jako współadministratorzy danych.

2.2 . Obowiązki i potwierdzenia. Każda ze Stron może przetwarzać Dane osobowe na mocy niniejszej Umowy powierzenia przetwarzania danych w odniesieniu do Danych zawodowych jako niezależni administratorzy danych. Strony zobowiązują się do przestrzegania swoich zobowiązań oraz do przetwarzania wszelkich Danych osobowych w sposób uczciwy i zgodny z prawem, zgodnie z niniejszą Umową powierzenia przetwarzania danych oraz wszystkimi Przepisami o ochronie danych mającymi zastosowanie do operacji przetwarzania danych osobowych Strony. Każda ze Stron zapewni, że jej Przetwarzanie Danych osobowych jest ograniczone do celu GPP zapewnianego przez i G-P opiera się na podstawie prawnej do zgodnego z prawem przetwarzania. Strony będą pomagać sobie nawzajem w wypełnianiu swoich zobowiązań wynikających z Przepisów o ochronie danych, w tym między innymi pomagać sobie nawzajem w przypadku wystąpienia Naruszenia ochrony danych, odpowiadając na wnioski Osób, których dane dotyczą i/lub organów regulacyjnych. 

o ochronie danych, obowiązujące standardowe klauzule ochrony danych, zatwierdzone lub uznane przez Szwajcarski Federalny Urząd Ochrony Danych i Biuro Komisarza ds. Informacji („Szwajcarskie SKU); w przypadku gdy zastosowanie ma brazylijska LGPD, obowiązujące standardowe  klauzule umowne, załączony do Uchwały CD/ANPD nr 19/2024 ogłoszonej przez Brazylijski Krajowy Urząd Ochrony Danych („ANPD”), które mogą być okresowo zmieniane („Kryteria SCB obowiązujące w Brazylii”).

 

3 .PRZETWARZANIE DANYCH OSOBOWYCH

 

3.1 .Zakres. Korzystanie z GPP może wiązać się z Przetwarzaniem Danych Klienta G-P przez Podmiot przetwarzający lub Usługodawcę w imieniu Klienta .

3.2 .Instrukcje. G-P będzie przetwarzać Dane Klienta zgodnie z udokumentowanymi instrukcjami Klienta .Klient zgadza się, że niniejsza Umowa powierzenia przetwarzania danych, Umowa ramowa, oraz Załącznika I dołączonego do niniejszej Umowy, zawierają kompletne instrukcje Klienta G-P dotyczące Przetwarzania Danych Klienta . Wszelkie dodatkowe lub alternatywne instrukcje muszą zostać uzgodnione na piśmie między stronami, w tym koszty (jeśli takie istnieją) związane z przestrzeganiem takich instrukcji. Klient dopilnuje, aby jego instrukcje były zgodne z obowiązującymi Przepisami o ochronie danych. Klient przyjmuje do wiadomości, że nie G-P ponosi odpowiedzialności za określenie, które przepisy mają zastosowanie do działalności Klienta. Klient dopilnuje, aby przetwarzanie Danych Klienta przez G-P, gdy zostanie przeprowadzone zgodnie z instrukcjami Klienta, nie spowodowało G-P naruszenia jakichkolwiek obowiązujących przepisów prawa, w tym obowiązujących Przepisów o ochronie danych. G-P Jeśli G-P jednak uzna, że instrukcja Klienta narusza obowiązujące Przepisy o ochronie danych, G-P powiadomi Klienta tak szybko, jak to możliwe i nie będzie zobowiązany do przestrzegania takich instrukcji naruszających prawo.

3.3 .Szczegóły przetwarzania. Szczegóły dotyczące przedmiotu Przetwarzania, jego czasu trwania, charakteru i celu oraz rodzaju Danych Klienta i osób, których dane dotyczą, zostały określone w Załączniku I załączonym do niniejszego dokumentu. 

3.4 .Zgodność. Klient i G-P wyraża zgodę na przestrzeganie swoich zobowiązań wynikających z Przepisów o ochronie danych mających zastosowanie do Danych Klienta, które są Przetwarzane zgodnie z Załącznikiem I. Klient ponosi wyłączną odpowiedzialność za przestrzeganie Przepisów o ochronie danych dotyczących zgodności z prawem Przetwarzania Danych Klienta przed ujawnieniem, przenoszenie, lub udostępnianie w inny sposób, wszelkie Dane Klienta do G-P .W celu uniknięcia wątpliwości, we wszystkich przypadkach, Klient uzyska, tam, gdzie jest to wymagane, wszelkie zgody Osób, których dane dotyczą G-P , na przetwarzanie Danych Klienta zgodnie z instrukcjami Klienta.

3.5 .Podwykonawcy przetwarzania. Klient upoważnia do G-P wyznaczania i wykorzystywania Podmiotów przetwarzających („Podwykonawcy przetwarzania”) do Przetwarzania Danych Klienta w związku z Usługami .Podwykonawcy przetwarzania mogą obejmować osoby trzecie lub dowolnego członka G-P grupy spółek. G-P mogą nadal korzystać z usług tych Podwykonawców przetwarzania, którzy zostali już zaangażowani G-P do dnia zawarcia niniejszej Umowy powierzenia przetwarzania danych, a lista takich Podwykonawców przetwarzania jest dostępna w Załączniku III załączonym do niniejszej Umowy. W przypadku gdy Podwykonawca Przetwarzania nie wywiąże się ze swoich obowiązków w zakresie ochrony danych, jak określono powyżej, ponosi G-P odpowiedzialność wobec Klienta za wykonanie obowiązków Podwykonawcy Przetwarzania. G-P powiadomi Klienta o wszelkich zmianach w wykazie Podwykonawców przetwarzania za pośrednictwem GPP. Jeśli w ciągu 10 (dziesięciu) dni od otrzymania tego powiadomienia Klient zgodnie z prawem sprzeciwi się dodaniu lub usunięciu Podwykonawcy przetwarzania z powodów związanych z ochroną danych i nie G-P będzie w stanie w uzasadniony sposób uwzględnić sprzeciwu Klienta, strony omówią obawy Klienta w dobrej wierze w celu rozwiązania sprawy.

 3.6.Techniczne i organizacyjne środki bezpieczeństwa. Biorąc pod uwagę standardy branżowe, koszty wdrożenia, natury, zakres, kontekst i cele Przetwarzania, oraz wszelkie inne istotne okoliczności związane z Przetwarzaniem Danych Klienta, G-P wdroży odpowiednie techniczne i organizacyjne środki bezpieczeństwa w celu zapewnienia bezpieczeństwa, poufność, uczciwość, dostępność i odporność systemów przetwarzania i usług związanych z przetwarzaniem Danych Klienta są współmierne do ryzyka związanego z takimi Danymi Klienta, zgodnie z załącznikiem II do niniejszej Umowy G-P . będzie okresowo (i) testować i monitorować skuteczność swoich zabezpieczeń, kontrole, systemy i procedury oraz (ii) identyfikują możliwe do przewidzenia wewnętrzne i zewnętrzne zagrożenia dla bezpieczeństwa, poufność i integralność Danych Klienta, i upewnić się, że te zagrożenia zostały wyeliminowane.

3.7. Poufność. G-P zapewni, że osoby upoważnione do uzyskiwania dostępu do Danych Klienta (i) zobowiązały się do zachowania poufności lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania poufności oraz (ii) uzyskają dostęp do Danych Klienta wyłącznie na podstawie udokumentowanych instrukcji od G-P, chyba że wymagają tego obowiązujące przepisy prawa.

3.8 .Naruszenie ochrony danych osobowych .G-P powiadomi Klienta bez zbędnej zwłoki po powzięciu wiedzy o Naruszeniu ochrony danych w związku z Przetwarzaniem Danych Klienta i dołoży uzasadnionych starań, aby pomóc Klientowi w złagodzeniu, w miarę możliwości, negatywnych skutków jakiegokolwiek Naruszenia ochrony danych.

3.9 .Usunięcie Danych osobowych .Po zakończeniu świadczenia Usług (z dowolnego powodu) zwróci lub usunie Dane Klienta przechowywane w GPP G-P , o ile obowiązujące przepisy prawa nie wymagają przechowywania Danych Klienta przez dłuższy okres. W przypadku takiego przechowywania postanowienia niniejszego DPA będą nadal miały zastosowanie do takich Danych Klienta.

3.10.Żądania  Osób, których dane dotyczą. G-P niezwłocznie poinformuje Klienta o wszelkich żądaniach Osób, których dane dotyczą, dotyczących Danych Klienta. Klient jest odpowiedzialny za odpowiadanie na takie żądania. G-P w uzasadnionym zakresie pomoże Klientowi odpowiedzieć na takie żądania Osób, których dane dotyczą, w zakresie, w jakim Klient nie jest w stanie uzyskać dostępu do odpowiednich Danych Klienta podczas korzystania z GPP.

3.11.Prośby  osób trzecich. W przypadku otrzymania G-P jakichkolwiek wniosków od osób trzecich lub nakazu jakiegokolwiek sądu, trybunału, organu regulacyjnego lub agencji rządowej o właściwej jurysdykcji G-P , którym podlega przetwarzanie danych klienta na mocy Umowy, niezwłocznie G-P przekieruje żądanie do Klienta. G-P nie będzie odpowiadać na takie żądania bez uprzedniej zgody Klienta, chyba że będzie to prawnie wymagane. G-P będzie, o ile nie będzie to prawnie zabronione, informować Klienta z wyprzedzeniem o jakimkolwiek ujawnieniu Danych Klienta i będzie w uzasadnionym zakresie współpracować z Klientem w celu ograniczenia zakresu takiego ujawnienia do tego, co jest wymagane przez prawo. 

3.12. Data Protection Impact Assessment and Prior Consultation. W zakresie wymaganym przez Przepisy o ochronie danych G-P udzieli Klientowi uzasadnionej pomocy w przeprowadzeniu oceny skutków dla ochrony danych w związku z Przetwarzaniem Danych Klienta przez i/lub G-P wszelkimi wymaganymi wcześniejszymi konsultacjami (konsultacjami) z organami nadzorczymi. G-P zastrzega sobie prawo do naliczenia Klientowi uzasadnionej opłaty za udzielenie takiej pomocy.

3.13 .Audyt. Klient może przeprowadzić audyt G-P zgodności z niniejszym DPA i Przepisami o ochronie danych, żądając certyfikatu wydanego w celu weryfikacji bezpieczeństwa odzwierciedlającego wynik audytu przeprowadzonego przez audytora zewnętrznego (np. ISO27001 certyfikat, SOC2 certyfikat) w ciągu dwunastu (12) miesięcy od daty złożenia wniosku przez Klienta. Alternatywnie, w przypadku gdy dokumentacja dostarczona zgodnie z niniejszym punktem 3.13 nie jest wystarczająca do wykazania zgodności, Klient może przeprowadzić własny audyt oprócz dostarczonych certyfikatów lub raportów osób trzecich, pod warunkiem, że taki audyt zostanie  przeprowadzony: i) nie więcej niż raz na okres 12 (dwunastu) miesięcy; ii) w normalnych godzinach pracy i bez zakłócania G-Pcodziennej działalności; iii) za trzydziestodniowym (30) pisemnym wypowiedzeniem; iv) na wyłączny koszt Klienta; v) w oparciu o wspólnie uzgodnione parametry i zakres, ograniczone do konkretnego zakresu usług, systemów używanych i/lub działań związanych z przetwarzaniem, o których mowa w niniejszej Umowie; vi) w oparciu o wspólnie uzgodnioną datę, z zastrzeżeniem uzasadnionego odroczenia przez Klienta na G-Puzasadniony wniosek ; i vii) zgodnie ze wszystkimi zobowiązaniami i ograniczeniami dotyczącymi poufności. Niezależnie od powyższego, po rozwiązaniu Umowy głównej nie udziela się żadnego prawa do audytu, z wyjątkiem zobowiązań prawnych, które muszą zostać wykazane przez Klienta. Żaden przedstawiciel zewnętrzny wybrany do przeprowadzenia audytu w imieniu Klienta nie może mieć udziałów własnościowych ani powiązań z firmą usługową, agencją, powiązaną organizacją lub konsultantem pracodawcy formalnego. Żadne z postanowień niniejszej Umowy powierzenia przetwarzania danych nie będzie wymagać G-P ujawnienia Klientowi ani jego audytorowi zewnętrznemu, lub w celu umożliwienia Klientowi lub jego audytorowi zewnętrznemu dostępu do: (i) wszelkie dane innych G-Pklientów; (ii) G-Pwewnętrzne informacje księgowe lub finansowe; (iii) tajemnic handlowych G-P firmy lub jej podmiotów stowarzyszonych; (iv) wszelkie informacje, które, w „ G-Prozsądnej opinii”, mogą zagrażać bezpieczeństwu G-Pjakichkolwiek systemów lub powodować naruszenie ich zobowiązań wynikających z obowiązującego prawa lub zobowiązań w zakresie bezpieczeństwa lub prywatności wobec jakiejkolwiek strony trzeciej; lub (v) wszelkich informacji, do których Klient lub jego audytor zewnętrzny chce uzyskać dostęp z jakiegokolwiek powodu innego niż wypełnienie w dobrej wierze zobowiązań Klienta wynikających z Przepisów o ochronie danych.

3.14 .Przepisy dotyczące prywatności w USA.Na mocy niniejszego punktu 3 („Przetwarzanie danych osobowych”) Strony uzgadniają, że G-P są „Usługodawcą” lub „Podmiotem przetwarzającym”, ponieważ takie terminy są zdefiniowane w obowiązujących amerykańskich przepisach o ochronie prywatności. W związku z tym w zakresie, w jakim amerykańskie przepisy dotyczące ochrony prywatności mają zastosowanie do Przetwarzania Danych Klienta przez G-P, G-P nie będzie (a) zatrzymywał, użytkowania, ani nie ujawniają żadnych Danych Klienta poza bezpośrednią relacją biznesową G-P pomiędzy a Klientem, lub do celów innych niż określone w Załączniku I załączonym do niniejszej Umowy, i G-P będą Przetwarzać Dane Klienta tylko tak długo, jak będzie świadczyć usługi na rzecz Klienta; (b) sprzedawania jakichkolwiek Danych Klienta; (c) udostępniać jakichkolwiek Danych Klienta; lub (d) połączyć Dane Klienta G-P , które otrzymują od, lub w imieniu, Klient posiadający „dane osobowe” (zgodnie z definicją takiego terminu lub jego odpowiednika zawartą w obowiązujących przepisach o ochronie danych), które otrzymuje od: lub w imieniu, inną osobę, lub zbiera z własnej interakcji z konsumentem, pod warunkiem, że G-P może łączyć Dane Klienta, jeśli jest to w zakresie świadczenia usług na rzecz Klienta. W stosownych przypadkach każda ze Stron powiadomi drugą stronę, jeżeli stwierdzi, że nie może już wypełniać swoich zobowiązań wynikających z amerykańskich przepisów o ochronie prywatności.

 

 

4 .Transfer danych międzynarodowych

4.1 .Odpowiednia ochrona. G-P jest upoważniony, w ramach normalnej działalności, do przekazywania Danych Klienta na całym świecie swoim podmiotom stowarzyszonym i/lub Podwykonawcom przetwarzania. Podczas dokonywania takich transferów na terytorium, które nie zostało uznane przez odpowiednie organy ochrony danych za zapewniające odpowiedni poziom ochrony Danych osobowych zgodnie z Przepisami o ochronie danych, G-P zapewni odpowiednią ochronę w celu zabezpieczenia Danych Klienta przekazywanych na mocy lub w związku z Umową ramową.

4.2 .Ramy prywatności danych. Dane zawodowe i dane klientów są przechowywane w GPP, który jest hostowany w Stanach Zjednoczonych G-P , jest certyfikowany w ramach UE-USA. Ramy prywatności danych (UE-USA DPF) oraz, w stosownych przypadkach, rozszerzenie Wielkiej Brytanii na UE-USA. DPF oraz Szwajcaria-USA. Ramy prywatności danych (Szwajcaria-USA DPF). G-Pcertyfikację można potwierdzić publicznie na stronie internetowej  DPFhttps://www.dataprivacyframework.gov/list. UE-USA Komisja Europejska uznała, że ramy ochrony danych osobowych są adekwatne i stanowią zgodny z prawem mechanizm przekazywania danych zgodnie odpowiednio z art. 45 RODO, brytyjskim RODO i FADP. Jeżeli Schemat(y) DPF zostaną unieważnione, zawieszone lub w inny sposób nie będą już uznawane za zapewniające odpowiednią ochronę międzynarodowych transferów danych, Podmiot przetwarzający zobowiązuje się do zawarcia i przestrzegania SKU wydanych lub zatwierdzonych przez Komisję Europejską, Biuro Komisarza ds. Informacji Wielkiej Brytanii (ICO) lub Szwajcarskiego Federalnego Komisarza ds. Ochrony Danych i Informacji (FDPIC), w zależności od przypadku. Strony współpracują w dobrej wierze w celu wdrożenia wszelkich dodatkowych środków wymaganych do zapewnienia zasadniczo równoważnego poziomu ochrony przekazywanych danych.

4.3 .Standardowe klauzule umowne. Strony uzgadniają, że w przypadku gdy przekazanie danych osobowych od Klienta (jako „podmiot przekazujący dane”) do (jako „podmiot odbierający G-P dane”) jest Ograniczonym przekazywaniem, a obowiązujące Przepisy o ochronie danych wymagają wprowadzenia odpowiednich zabezpieczeń, takie przekazanie podlega odpowiednim Standardowym klauzulom umownym, które uznaje się za włączone do niniejszej Umowy powierzenia przetwarzania danych i stanowią jej część, w następujący sposób:

1. W odniesieniu do przekazywania Danych osobowych  chronionych przez RODO zastosowanie mają SKU UE, wypełnione w następujący sposób:

1. Moduły pierwszy i drugi mają zastosowanie;
2. w klauzuli 7, zastosowanie będzie miała opcjonalna klauzula dokująca;
3. w klauzuli 9 Modułu drugiego zastosowanie będzie miała Opcja 2 , a okres wcześniejszego powiadomienia o zmianach Podwykonawcy przetwarzania będzie taki, jak określono w punkcie 3.5 niniejszej Umowy powierzenia przetwarzania danych;
4. w klauzuli nie będzie mieć zastosowania język 11opcjonalny;
5. w klauzuli 12 wszelkie roszczenia wniesione na mocy SKU UE podlegają warunkom określonym w Umowie Ramowej;
6. w klauzuli 17 zastosowanie będzie miała Opcja 1, a SKU UE będą podlegać prawu irlandzkiemu;
7. w klauzuli 18(b) spory będą rozstrzygane przed sądami Irlandii;
8. Załącznik I do SKU UE uznaje się za uzupełniony informacjami określonymi w Załączniku 1 do niniejszej Umowy powierzenia przetwarzania danych; oraz
9. Załącznik II do SKU UE uznaje się za uzupełniony informacjami określonymi w załączniku 2 do niniejszego DPA;
10. Załącznik III do drugiego modułu SKU UE uznaje się za uzupełniony informacjami określonymi w załączniku 3 do niniejszego DPA.

b. W odniesieniu do przekazywania danych osobowych chronionych przez brytyjskie przepisy o ochronie danych lub szwajcarskie przepisy o ochronie danych, SKU UE wdrożone zgodnie z punktami (a) powyżej będą miały zastosowanie z następującymi zmianami:

1. odniesienia do „Rozporządzenie (UE) 2016/679” będą interpretowane jako odniesienia do brytyjskich przepisów o ochronie danych lub szwajcarskich przepisów o ochronie danych (w stosownych przypadkach);
2. odniesienia do konkretnych artykułów „Rozporządzenie (UE) 2016/679” zastępuje się równoważnym artykułem lub punktem brytyjskich przepisów o ochronie danych lub szwajcarskich przepisów o ochronie danych (w zależności od przypadku);
3. odniesienia do „UE”, „Unii”, „państwa członkowskiego” i „państwa członkowskiego” zastępuje się odniesieniami do „Wielkiej Brytanii” lub „Szwajcarii”, „prawa brytyjskiego” lub „prawa szwajcarskiego” (w stosownych przypadkach);
4. termin „państwo członkowskie” nie może być interpretowany w taki sposób, aby wykluczyć osoby, których dane dotyczą w Wielkiej Brytanii lub Szwajcarii, z możliwości pozwania ich za prawa w miejscu ich zwykłego pobytu (tj. Wielkiej Brytanii lub Szwajcarii);
5. Klauzula 13(a) i część C Załącznika I nie są wykorzystywane, a „właściwy organ nadzorczy” to brytyjski komisarz ds. informacji lub szwajcarski federalny komisarz ds. informacji o ochronie danych (w stosownych przypadkach);
6. odniesienia do „właściwych organów nadzorczych” i „właściwych sądów” zastępuje się odniesieniami do „komisarza ds. informacji” i „sądów Anglii i Walii” lub „szwajcarskiego federalnego komisarza ds. informacji o ochronie danych” i „sądów właściwych Szwajcarii” (w stosownych przypadkach);
7. w klauzuli 17 Standardowe klauzule umowne podlegają prawu Anglii i Walii lub Szwajcarii (w stosownych przypadkach); oraz
8. w odniesieniu do przekazywania danych, do którego mają zastosowanie brytyjskie przepisy o ochronie danych, klauzula 18 zostanie zmieniona w celu wskazania „Każdy spór wynikający z niniejszych klauzul będzie rozstrzygany przez sądy Anglii i Walii. Osoba, której dane dotyczą, może wszcząć postępowanie sądowe przeciwko podmiotowi przekazującemu dane i/lub podmiotowi odbierającemu dane przed sądami dowolnego kraju w Wielkiej Brytanii. Strony zgadzają się poddać jurysdykcji takich sądów”, a w odniesieniu do przekazywania danych, do których mają zastosowanie szwajcarskie przepisy o ochronie danych, klauzula 18(b) stanowi, że spory będą rozstrzygane przed właściwymi sądami Szwajcarii.
9. W odniesieniu do danych chronionych przez brytyjskie RODO SKU UE będą miały zastosowanie w następujący sposób: (i) mają zastosowanie zgodnie z powyższymi punktami od (i) do (viii) oraz (ii) zostaną uznane za zmienione zgodnie z częścią 2 brytyjskiego dodatku, który zostanie uznany za włączony do niniejszej Umowy powierzenia przetwarzania danych i stanowi jej integralną część. Ponadto tabele od 1 do 3 w części 1 Dodatku brytyjskiego uzupełnia się odpowiednio o informacje określone w załączniku I i załączniku II do niniejszego Dodatku dotyczącego przetwarzania danych, a tabelę 4 w części 1 Dodatku brytyjskiego uznaje się za uzupełnioną przez wybranie „żadnej ze stron”.

c. W odniesieniu do przekazywania danych osobowych chronionych przez Brazylijską LGPD , bezpośrednio lub poprzez dalsze przekazywanie, do kraju poza Brazylią, który nie podlega decyzji stwierdzającej odpowiedni stopień ochrony wydanej przez ANPD, Brazylijskie SKU uznaje się za zawarte i włączone do niniejszej DPA przez niniejsze odniesienie i wypełnione w następujący sposób:

1. Klauzula 2 Brazylijskich SKU jest spełniony przez informacje określone w Załączniku I, który opisuje przekazywanie danych;
2. I n Klauzula 3 Brazylijskich SKU, Opcja B będzie miała zastosowanie, przy czym dalsze przekazywanie danych będzie dozwolone zgodnie z punktem 3.5 („Podwykonawcy przetwarzania”) niniejszej Umowy powierzenia przetwarzania danych. Przedmiot, charakter i czas trwania przetwarzania określono w Załączniku I do niniejszej Umowy powierzenia przetwarzania danych;
3. Klauzula 4 SKU Brazylii jest zadowalająca w świetle informacji określonych w Załączniku I do niniejszej Umowy powierzenia przetwarzania danych. W G-P przypadku Administratora będzie on „Wyznaczoną Stroną”, zgodnie z definicją zawartą w SKU Brazylii, oraz na potrzeby Klauzuli 14 (Przejrzystość), Klauzuli 15 (Prawa osób, których dane dotyczą) i Klauzuli 16 (Zgłaszanie incydentów) Brazylijskich SKU. Klient pozostaje odpowiedzialny za przestrzeganie klauzuli 14 (Przejrzystość), klauzuli 15 (Prawa osób, których dane dotyczą) i klauzuli 16 Zgłaszanie incydentów) brazylijskich SKU w odniesieniu do wszelkich danych osobowych, których może być Administratorem;
4. W klauzuli 9 Brazylijskich SKU nie obowiązuje opcjonalna klauzula dokowania; oraz
5. Sekcja III (Środki bezpieczeństwa) Brazylijskich SKU zostanie uznana za uzupełnioną o informacje określone w Załączniku II do niniejszej Umowy powierzenia przetwarzania danych.

 

Załącznik I

Opis przetwarzania danych

 

Strony	Podmiot przekazujący dane: podmiot klienta zawierający Umowę ramową Podmiot odbierający dane: G-P podmiot wykonujący Umowę ramową.
Dane kontaktowe stron	Dane kontaktowe określone w Umowie ramowej.
Działania istotne dla przekazywanych danych	Czynności związane z Usługami pracodawcy formalnego i korzystaniem z GPP świadczonych na rzecz Klienta jako usługi.
Czynności przetwarzania	Przetwarzane/przekazywane Dane Osobowe mogą podlegać następującym czynnościom przetwarzania: każda operacja w odniesieniu do Danych Osobowych, niezależnie od zastosowanych środków i procedur, w szczególności gromadzenie, organizowanie, przechowywanie, przechowywanie, wykorzystywanie, pobieranie, przeglądanie, archiwizowanie, przesyłanie, blokowanie, kasowanie lub niszczenie danych, obsługa i konserwacja systemów, zgodność, funkcje prawne i audytowe.
Czas trwania przetwarzania	G-P będzie przetwarzać Dane Klienta przez okres obowiązywania Umowy Ramowej i w sposób ciągły.
Charakter i cel przetwarzania	Klient może przekazywać Dane Klienta do , których G-Pzakres jest określony i kontrolowany przez Klienta według własnego uznania. Celem przetwarzania jest świadczenie Usług zgodnie z Umową Ramową.
Kategorie Osób, których dane dotyczą	a) Dane osobowe wymieniane przez Strony jako niezależni administratorzy odnoszą się do Danych osobowych pracowników służby zdrowia. b) Dane Klienta przetwarzane G-P przez jako Podmiot przetwarzający dane dotyczą Upoważnionych użytkowników GPP , którzy mogą obejmować pracowników i/lub wykonawców Klienta.
Rodzaje danych osobowych	·Dane  kontaktowe (takie jak numer telefonu i adres e-mail). · Dane pracowników/wykonawców (takie jak stanowisko i nazwa firmy). · Dane dotyczące użytkowania (takie jak dane dotyczące urządzenia Upoważnionego użytkownika i sposobu interakcji takiego urządzenia z GPP). ·Dane  lokalizacji (takie jak lokalizacja pochodząca z adresu IP). ·Dane  dotyczące treści (takie jak zawartość plików Klienta dotyczących Specjalistów i powiązanej komunikacji).  ·Uwierzytelnienia (takie jak hasła, wskazówki dotyczące haseł i podobne informacje dotyczące bezpieczeństwa wykorzystywane do uwierzytelniania i dostępu do GPP). · Wszelkie Dane osobowe przekazane przez Upoważnionych użytkowników.
Specjalne kategorie danych (jeśli dotyczy)	ND.
Przechowywanie	Dane osobowe będą przechowywane co najmniej tak długo, jak długo obowiązuje minimalny wymagany prawem okres przechowywania, który jest zgodny z obowiązującymi przedawnieniami i spełnia dobre praktyki biznesowe.
Właściwy organ nadzorczy	Irlandzka Komisja Ochrony Danych
Przekazywanie danych do podwykonawców przetwarzania	W przypadku przekazywania danych podmiotom przetwarzającym dane przedmiot, charakter i czas trwania przetwarzania danych są takie same jak powyżej zdefiniowane.
G-P Dane kontaktowe dotyczące prywatności	prywatność@G-P.com Attn: Globalne Biuro ds. Ochrony Prywatności.

 

 

Załącznik II

Środki techniczne i organizacyjne

 

G-P został certyfikowany i potwierdzony w celu potwierdzenia zgodności z normami SOC 2 i ISO 27001 przez niezależnych audytorów. Takie certyfikaty świadczą o naszym zaangażowaniu w zabezpieczanie Danych Klienta. G-PProgram bezpieczeństwa ' ma na celu:

• ochrony poufności, integralności i dostępności Danych Klienta G-Pznajdujących się w posiadaniu lub do których ma dostęp; G-P
• Ochrona przed wszelkimi przewidywanymi zagrożeniami dla poufności, integralności i dostępności Danych klienta;
• Ochrona przed nieuprawnionym lub bezprawnym dostępem, wykorzystaniem, ujawnieniem, zmianą lub zniszczeniem Danych Klienta;
• Ochrona przed przypadkową utratą, zniszczeniem lub uszkodzeniem Danych klienta; oraz
• Zabezpieczać informacje zgodnie z wszelkimi przepisami, które mogą podlegać regulacjom G-P.

 

Poniżej opisano funkcje, procesy, mechanizmy kontroli, systemy, procedury i środki, które G-P zostały podjęte w celu zapewnienia bezpieczeństwa Przetwarzania Danych Klienta:

1) ŚRODKI TECHNICZNE W CELU ZAPEWNIENIA PRYWATNOŚCI I OCHRONY DANYCH 

1. Prywatność w fazie projektowania i domyślnej: G-P uwzględnia wymogi art. 25 RODO w fazie projektowania i rozwoju produktu. Procesy i funkcje są tak skonfigurowane, aby zasady ochrony danych, takie jak legalność, przejrzystość, ograniczenie celu, minimalizacja danych itp., jak również bezpieczeństwo przetwarzania danych były brane pod uwagę na wczesnym etapie.

2. Szyfrowanie danych osobowych : zapewnienie, że dane osobowe są przechowywane w systemie tylko w sposób, który nie pozwala stronom trzecim na identyfikację osoby, której dane dotyczą.

   1. Szyfrowanie bazy danych i przechowywania: We wszystkich bazach danych wykorzystywanych G-P przez szyfrowanie "w spoczynku" zgodnie z aktualnym stanem wiedzy jest używany tak, że dane z bazy danych mogą być odczytywane tylko po odpowiednim uwierzytelnieniu w odpowiednim systemie bazy danych.

   2. Szyfrowanie mobilnych nośników danych: Używanie mobilnych nośników danych do przechowywania danych klientów jest niedozwolone.

   3. Szyfrowanie nośników danych na laptopach: Na wszystkich laptopach pracowników instalowane jest najnowocześniejsze szyfrowanie dysku twardego.

   4. Szyfrowana wymiana informacji i plików: Zasadniczo wymiana informacji i plików jest bezpośrednio szyfrowana za pomocą specjalnej aplikacji. Jeśli dane osobowe lub informacje poufne muszą zostać przesłane na serwery, których nie można przesłać za pomocą protokołu HTTPS szyfrowanego TLS, zostaną one przesłane za pomocą protokołu Secure File Transfer Protocol (SFTP), zaszyfrowanej usługi koperty lub innego zaszyfrowanego mechanizmu zgodnie z aktualnym stanem wiedzy.

   5. Szyfrowanie poczty elektronicznej: Zasadniczo wszystkie wiadomości e-mail wysyłane przez pracowników G-P są szyfrowane za pomocą TLS. Wyjątkiem może być sytuacja, w której serwer poczty odbierającej nie obsługuje TLS. Klient zapewni, że odpowiednie serwery pocztowe używane w ramach zamówienia obsługują szyfrowanie TLS.

3. Kontrola przyjęć : Środki kontroli przyjęć mają na celu zapobieganie wykorzystywaniu i przetwarzaniu danych chronionych przez przepisy o ochronie danych przez osoby nieupoważnione.

   1. Korzystanie z metod uwierzytelniania : Dostęp do danych osobowych odbywa się zawsze za pomocą zaszyfrowanych protokołów: SSH, SSL / TLS, HTTPS lub porównywalnych protokołów. Procedura uwierzytelniania dla systemu informatycznego: logowanie wieloskładnikowe do systemu informatycznego.

   2. Automatyczne blokowanie w przypadku braku aktywności :laptopy G-P używane przez pracowników zablokowane hasłem lub zabezpieczone kodem PIN, gdy nie są używane przez użytkownika. Ponadto po 15 minutach bezczynności ustawiana jest automatyczna blokada ekranu z ochroną hasłem.

   3. Korzystanie z oprogramowania antywirusowego :laptopy G-P używane przez pracowników są wyposażone w najnowocześniejsze oprogramowanie antywirusowe, które jest na bieżąco aktualizowane we wszystkich operacyjnych lub biznesowych systemach informatycznych. Zasadniczo żadne komputery nie mogą być obsługiwane bez ochrony przed wirusami rezydenta, chyba że podjęto inne równoważne najnowocześniejsze środki bezpieczeństwa lub nie ma ryzyka. Nie wolno dezaktywować ani obchodzić domyślnych ustawień zabezpieczeń.

   4. „Polityka czystego biurka” :Pracownicy G-P otrzymują instrukcje, aby nie drukować ani nie przechowywać lokalnie danych osobowych osób, których dane dotyczą, nie pozostawiać materiałów roboczych w miejscu, w którym mogą być przeglądane przez osoby trzecie, oraz aby odpowiednio przechowywać wszystkie materiały robocze. Dokumenty G-P , które zgodnie z prawem muszą być przechowywane w formie papierowej, są przechowywane w zamkniętych szafkach.

4. Kontrola dostępu w ramach Platformy : Kontrola dostępu zapewnia, że osoby upoważnione do korzystania z systemu przetwarzania mają dostęp tylko do danych osobowych objętych ich autoryzacją dostępu.

   1. Role i autoryzacja

      1. Platforma ról i autoryzacji – Dostęp klienta: użytkownicy klienta mogą wyświetlać i edytować informacje o koncie klienta.

      2. Platforma ról i autoryzacji – dostęp profesjonalny: użytkownicy profesjonalni mogą wyświetlać i edytować własne informacje zawodowe. Specjaliści mogą również uzyskać rolę dostępu do klienta po uzyskaniu wymogu + zatwierdzenia

      3. Platforma ról i autoryzacji – dostęp wewnętrzny:Użytkownicy dostępu  wewnętrznego mają różne role. Mają zróżnicowany dostęp do tworzenia, wyświetlania, edytowania i zatwierdzania następujących elementów:

         • Informacje o kliencie

         • Informacje rozliczeniowe

         • Informacje o partnerze

         • Profesjonalny personel rejestruje informacje

      4. Dostęp do systemu administracyjnego jest generalnie ograniczony do przeszkolonych pracowników w zakresie obsługi klienta i rozwoju produktów.

5. Firewall as a G-P Service: używa zewnętrznej zapory sieciowej jako usługi, która umożliwia jej przyznawanie lub blokowanie dostępu do stron internetowych, aby upewnić się, że systemy nie mogą uzyskać dostępu do złośliwej zawartości i ograniczyć dostęp do nieodpowiednich treści.

6. Rejestr logowania do Platformy G-P : prowadzi rejestr wszystkich działań związanych z logowaniem.

7. Odrębność : zapewnienie, że dane osobowe zebrane w różnych celach mogą być przetwarzane oddzielnie i są oddzielone od innych danych i systemów w taki sposób, że nieplanowane wykorzystanie tych danych do innych celów jest wykluczone.

   1. Separacja środowisk programistycznych, testowych i operacyjnych: Dane ze środowiska operacyjnego mogą być przekazywane do środowisk testowych lub programistycznych tylko wtedy, gdy zostały całkowicie zanonimizowane przed transferem. Przesyłanie zanonimizowanych danych musi być szyfrowane lub realizowane za pośrednictwem godnej zaufania sieci. Oprogramowanie, które ma zostać przeniesione do środowiska operacyjnego, musi najpierw zostać przetestowane w identycznym środowisku testowym („staging”). Programy do analizy błędów lub tworzenia/kompilacji oprogramowania mogą być używane tylko w środowisku operacyjnym, jeśli nie można tego uniknąć. Dzieje się tak zwłaszcza wtedy, gdy sytuacje błędów zależą od danych, które zostałyby sfałszowane ze względu na wymagania dotyczące anonimizacji podczas przesyłania do środowisk testowych.

   2. Separacja w G-P sieciach: rozdziela swoje sieci zgodnie z zadaniami. Następujące sieci są używane na stałe: środowisko operacyjne („Produkcja”), środowisko testowe („Staging”, „Sandbox”), środowisko programistyczne („Dev”) personel IT biura. Oprócz tych sieci tworzone są również inne, odrębne sieci, np. do testów przywracania i penetracji. W zależności od możliwości technicznych sieci są rozdzielane fizycznie lub za pomocą sieci wirtualnych.

8. Kontroladostępności G-P : podejmuje następujące kroki w celu zapewnienia ochrony danych osobowych przed przypadkowym zniszczeniem lub utratą.

   1. Procedury ochrony danych/kopia zapasowa: Aby zapewnić odpowiednią dostępność G-P , wdraża się codzienne migawki bazy danych z replikacją do innego regionu. Podejmowane są również środki w celu zapewnienia, że pracownicy, którzy mają potrzebę weryfikacji danych na podstawie stanowiska, mają dostęp wyłącznie do replik zestawów danych.

   2. Georedundancja w odniesieniu do infrastruktury serwerów danych produktywnych i kopii zapasowych

   3. Zarządzanie incydentami IT („Zarządzanie reagowaniem na incydenty”): Istnieje koncepcja i udokumentowane procedury postępowania z incydentami i zdarzeniami związanymi z bezpieczeństwem. Obejmuje to planowanie i przygotowanie reakcji na incydenty, procedury monitorowania, wykrywania i analizowania bezpieczeństwa – istotnych zdarzeń oraz definicję odpowiednich obowiązków i kanałów zgłaszania w przypadku naruszenia ochrony danych osobowych w ramach wymogów prawnych.

2 ) ŚRODKI ORGANIZACYJNE W CELU ZAPEWNIENIA PRYWATNOŚCI I OCHRONY DANYCH

G-P wdrożyła następujące środki organizacyjne w celu zapewnienia, że organizacja działa w sposób spełniający wymogi dotyczące prywatności i ochrony danych.

1. Instrukcje organizacyjne G-P : opracował i opracowuje program zarządzania danymi, w tym polityki, procedury i wytyczne dla pracowników. Dokumentacja zawiera informacje o tym, jak identyfikować problemy związane z prywatnością danych i zarządzać nimi, najlepsze praktyki zapewniające zgodność z przepisami dotyczącymi prywatności oraz zasady rozwiązywania incydentów związanych z prywatnością.
2. Zobowiązanie do zachowania poufności i ochrony danych G-P : opracował i opracowuje program zarządzania danymi, w tym polityki, procedury i wytyczne, których pracownicy muszą przestrzegać. Wszyscy pracownicy i kontrahenci są zobowiązani na piśmie do zachowania poufności i ochrony danych, a także do przestrzegania innych stosownych przepisów. Wszyscy pracownicy przechodzą szkolenie w zakresie prywatności i bezpieczeństwa. Regularnie przeprowadzane są audyty wewnętrzne dotyczące ochrony danych i bezpieczeństwa informacji. Audyty są przeprowadzane na podstawie wspólnych kryteriów/schematów testów. Pracownicy i wykonawcy G-P są zobowiązani do przetwarzania danych osobowych wyłącznie z przyczyn zgodnych z prawem, zgodnie z obowiązującymi umowami z klientem i profesjonalistą, z należytym uwzględnieniem wyraźnej zgody udzielonej lub wstrzymanej przez osobę, której dane dotyczą, oraz zgodnie z wszelkimi obowiązkami prawnymi organizacji.
3. Szkolenie w zakresie ochrony danych : Wszyscy pracownicy przechodzą szkolenie w zakresie prywatności i bezpieczeństwa, które pozostaje dostępne do wglądu w dowolnym momencie na platformie G-P szkoleniowej.
4. Kontrola dostępu fizycznego: G-P stosuje następujące fizyczne środki kontroli w celu uniemożliwienia osobom nieupoważnionym dostępu do sprzętu systemów informatycznych wykorzystywanego do przetwarzania.
   1. Elektroniczna ochrona drzwi: drzwi  wejściowe do pomieszczeń G-P biur są zawsze zamknięte i zabezpieczone elektronicznie. Drzwi otwiera się za pomocą osobistego transpondera elektronicznego.
   2. Kontrolowana dystrybucja kluczy : odbywa się centralna, udokumentowana alokacja kluczy do pracowników. G-P Te elektroniczne transpondery/klucze mogą być dezaktywowane centralnie przez każdego kierownika biura lub dział zasobów ludzkich.
   3. Nadzór i towarzyszenie osobom z zewnątrz: Zewnętrzni usługodawcy i inne osoby trzecie mogą mieć dostęp do obiektu wyłącznie za uprzednią zgodą lub w towarzystwie pracownika . G-P G-P stosuje swoją pisemną politykę dotyczącą gości, gdy goście są zapraszani do lokalu.
   4. Zabezpieczanie pomieszczeń o zwiększonej potrzebie ochrony:Pomieszczenia  lub szafki o podwyższonych wymaganiach w zakresie ochrony, takie jak biura prawne i niektóre lokalizacje operacyjne, są wyposażone w szafki i szuflady blokujące. Szafki i szuflady, w których przechowywane są dokumenty prawne, umowy i poufna dokumentacja, należy zawsze zamykać na klucz, z wyjątkiem sytuacji, gdy są używane.
   5. Zamknięte drzwi i okna: Pracownicy są poinstruowani przez organizatora, aby trzymać okna i drzwi zamknięte lub zamknięte poza godzinami pracy.
5. Odzyskiwanie G-P : zapewnia możliwość przywrócenia używanych systemów w przypadku awarii fizycznej lub technicznej.

   1. Regularne testy odzyskiwania danych ("Restore-Tests"): Regularne pełne testy przywracania są przeprowadzane w celu zapewnienia możliwości odzyskania w przypadku awarii.

   2. Plan awaryjny („Koncepcja powrotu do normalnej działalności”): Istnieje koncepcja leczenia sytuacji kryzysowych/katastrof oraz odpowiedni plan awaryjny. G-P zapewnia odzyskiwanie wszystkich systemów na podstawie kopii zapasowych danych / kopii zapasowych, zwykle w ciągu 48 godzin.

   3. Środki przeglądu i oceny: Przedstawienie procedur regularnego przeglądu, oceny i oceny skuteczności środków technicznych i organizacyjnych.

6. Zespół ds. ochrony prywatności: Organizacja posiada Globalne Biuro ds. Ochrony Prywatności Danych, którego zadaniem jest planowanie, wdrażanie, ocena i dostosowywanie środków w zakresie ochrony danych.

7. Zarządzanie ryzykiem: Istnieje proces analizy, oceny i alokacji ryzyka oraz czerpania środków na podstawie tych zagrożeń.

3)NIEZALEŻNY  PRZEGLĄD BEZPIECZEŃSTWA INFORMACJI

1. Audyty wewnętrzne  w zakresie ochrony danych i bezpieczeństwa informacji są przeprowadzane regularnie. Audyty są przeprowadzane na podstawie wspólnych kryteriów/schematów testów.
2. Przegląd zgodności z politykami i standardami bezpieczeństwa : Zgodność z obowiązującymi wytycznymi bezpieczeństwa, standardami i innymi wymogami bezpieczeństwa dotyczącymi przetwarzania danych osobowych jest regularnie sprawdzana. Tam, gdzie to możliwe, kontrole te są przeprowadzane losowo i niespodziewanie.
3. Weryfikacja zgodności ze specyfikacjami technicznymi: Regularne automatyczne i ręczne skanowanie luk w zabezpieczeniach są wykonywane przez dział IT lub inny wykwalifikowany personel w celu weryfikacji bezpieczeństwa aplikacji i infrastruktury, a także regularnego rozwoju produktu. Szczegółowe testy penetracyjne są przeprowadzane przez zewnętrznego dostawcę usług w celu szczegółowej analizy aplikacji i infrastruktury pod kątem luk w zabezpieczeniach.
4. Przetwarzanie na polecenie : Pracownicy G-P są poinstruowani, aby przetwarzać dane osobowe wyłącznie z powodów zgodnych z prawem, zgodnie z obowiązującymi umowami z klientem i specjalistą, z należytym uwzględnieniem wyraźnej zgody udzielonej lub wstrzymanej przez osobę, której dane dotyczą, oraz zgodnie z wszelkimi obowiązkami prawnymi organizacji.
5. Staranny dobór dostawców: G-P przestrzega procesu wstępnej kwalifikacji dostawców przy wyborze dostawców i dostawców, którzy mogą napotkać chronione dane. Proces ten obejmuje informacje zwrotne z działów finansów i prawnego/prywatności oraz obejmuje ocenę ryzyka, wstępną kwalifikację bezpieczeństwa i etapy certyfikacji dokumentacji. Dostawcy, którzy będą przetwarzać chronione dane, będą zobowiązani do wykazania przestrzegania przez nich obowiązujących przepisów o ochronie danych, w tym art. 28 RODO w odniesieniu do danych objętych ochroną.

 

Załącznik III 

Lista podwykonawców przetwarzania

 

Podwykonawca przetwarzania	Lokalizacja i dane kontaktowe	Opis przetwarzania
G-P spółki zależne	https://www.globalization- partners.com/contact-us/	Zapewnienie zarządzania Platformą i relacjami z klientami
Acumatica	3933 Lake Washington Blvd NE #350, Kirkland, WA 98033, Stany Zjednoczone	Usługi finansowe
Amazon  WebService	Pudełko 81226 Seattle, WA 98108-1226, Stany Zjednoczone	Hosting – dostawca usług w chmurze
Microsoft	Microsoft Corporation One Microsoft Way Redmond, Waszyngton 98052 USA Telefon: (+1) 425-882-8080.	Wsparcie procesów biznesowych w zakresie komunikacji (e-mail) i zarządzania usługami
Atlassian	Restauracje w pobliżu 350 Bush Street Floor 13 San Francisco, CA 94104, Stany Zjednoczone +1 415 701 1110	Wsparcie procesów biznesowych w zakresie zarządzania usługami
DocuSign	DocuSign International (EMEA) Ltd, Attention: Zespół ds. prywatności, 5 Hanover Quay, Ground Floor, Dublin2, Republika Irlandii	Zarządzanie dokumentami
Salesforce.com	Salesforce Tower, 415 Mission Street, 3. piętro, San Francisco, CA 94105, Stany Zjednoczone 1-800-387-3285	Wsparcie procesów biznesowych w zakresie zarządzania relacjami z klientami (CRM)
Zendesk	989 Rynek San Francisco, CA 94103, USA zendesk.com 888-670-4887	Zapytania działu pomocy technicznej dotyczące obsługi klienta
Workday	6110 Stoneridge Mall Road Pleasanton, CA 94588, Stany Zjednoczone	Wsparcie procesów biznesowych w zakresie zarządzania listą płac, świadczeniami, danymi kadrowymi i danymi pracowników.
Usługa teraz	2225 Lawson Lane Santa Clara, Kalifornia, 95054 USA	Wsparcie procesów biznesowych w zakresie zarządzania usługami i operacjami IT, doświadczeniami pracowników i klientów poprzez (automatyczny przepływ pracy w chmurze)
Klocki danych	160 Spear Street, 15th Floor San Francisco, CA 94105 1-866-330-0121 USA	Infrastruktura hurtowni danych w chmurze.
Datadog	620 8th Ave 45th piętro Nowy Jork, NY 10018 USA	Narzędzie do monitorowania i debugowania usług
Mądry	Avenue Louise 54, pokój s52, 1050 Bruksela Belgia	Procesor płatności online
Google	1600 Amfiteatr Pkwy, widok na góry, CA 94043	Wsparcie procesów biznesowych w zakresie komunikacji (e-mail) i wewnętrznego przechowywania dokumentów