Niniejszy Dodatek dotyczący ochrony danych („Dodatek”) stanowi uzupełnienie warunków Umowy głównej i jest do niej włączony. W przypadku sprzeczności pomiędzy postanowieniami niniejszego Dodatku a wszelkimi innymi umowami pomiędzy stronami w kwestiach określonych w niniejszym Dodatku, postanowienia tego Dodatku będą miały znaczenie nadrzędne.
DODATEK DOTYCZĄCY OCHRONY DANYCH
1. DEFINICJE
1.1. Terminy niezdefiniowane w niniejszym dokumencie mają znaczenie określone w Umowie ramowej o świadczenie usług. Następujące słowa w niniejszym Dodatku mają następujące znaczenie:
1.2. „Upoważniony użytkownik” oznacza osobę, której Klient może zezwolić na dostęp do Platformy i korzystanie z niej w imieniu Klienta, w tym pracownika lub wykonawcy Klienta, zgodnie z postanowieniami Umowy ramowej.
1.3. „CCPA” oznacza kalifornijską ustawę o ochronie prywatności konsumentów.
1.4. „Dane klienta” oznaczają wszelkie Dane osobowe lub Dane osobowe związane z dowolnym Upoważnionym użytkownikiem lub możliwą do zidentyfikowania osobą fizyczną, które są przekazywane, przetwarzane lub przechowywane przez Globalization Partners w imieniu Klienta w celu korzystania z Platformy przez Klienta.
1.5. „Przepisy o ochronie danych” oznaczają wszelkie przepisy dotyczące ochrony danych i prywatności, którym podlega strona niniejszej Umowy i które mają zastosowanie do świadczonych Usług, w tym w stosownych przypadkach RODO, brytyjskie RODO, amerykańskie przepisy o ochronie prywatności (w tym przepisy stanowe i federalne) oraz singapurską Ustawę o ochronie danych osobowych .
1.6. „RODO” oznacza ogólne rozporządzenie o ochronie danych (UE) 2016/679 i/lub brytyjskie rozporządzenie RODO.
1.7. „EOG” oznacza Europejski Obszar Gospodarczy.
1.8. „Standardowe klauzule umowne UE” oznaczają standardowe klauzule umowne dotyczące przekazywania danych osobowych do państw trzecich zgodnie z rozporządzeniem Parlamentu 2016/679 Europejskiego i Rady (UE) zatwierdzonym przez Komisję Europejską w sprawie decyzji wykonawczej (UE) 2021/914 z dnia 4 czerwiec 2021.
1.9. „Usługi pracodawcy formalnego” oznaczają usługi pracodawcy formalnego świadczone Klientowi przez Globalization Partners zgodnie z Umową ramową.
1.10. „Umowa główna” oznacza umowę zawartą pomiędzy Klientem a Globalization Partners dotyczącą świadczenia Usług pracodawcy formalnego.
1.11. „Platforma” oznacza zastrzeżone oprogramowanie Globalization Partners , w tym między innymi oprogramowanie, wersję mobilną, wszelkie zawarte w nim oprogramowanie oraz wszelkie dane udostępniane za pośrednictwem zastrzeżonego oprogramowania Globalization Partners lub usług stron trzecich, w tym ich aktualizacje, aktualizacje, platformę jako usługę, dokumentację, której opis znajduje się na stronie https://www.globalization-partners.com/employer-of-record-solutions/.
1.12. „Dodatek brytyjski” oznacza aneks do standardowych klauzul umownych UE dotyczący międzynarodowego przekazywania danych, wydany przez brytyjskiego komisarza ds. informacji, załączony do niniejszego dokumentu jako Załącznik IV.
1.13. „Administrator”, „Osoba, której dane dotyczą”, „Dane osobowe”, „Dane osobowe”, „Naruszenie ochrony danych”, „Podmiot przetwarzający”, „Przetwarzanie/Przetwarzanie”, „Ograniczone przekazywanie”, „Usługodawca” lub inne podobne terminy i koncepcje mają znaczenie określone w Przepisach o ochronie danych
2. RELACJA STRON I RÓL
2.1. Role Stron i Szczegóły Przetwarzania. Globalization Partners będzie przetwarzać Dane osobowe jako niezależny Administrator, gdy Globalization Partners będzie świadczyć Usługi pracodawcy formalnego. W żadnym wypadku Strony nie będą przetwarzać Danych osobowych na mocy niniejszego Dodatku jako współadministratorzy. W przypadku gdy Globalization Partners działa jako niezależny administrator danych, Globalization Partners będzie przestrzegać swoich obowiązków administratora wynikających z Przepisów o ochronie danych podczas Przetwarzania Danych osobowych i będzie Przetwarzać Dane osobowe zgodnie z opisem w Polityce prywatności Globalization Partners dostępnej pod adresem https://www.globalization-partners.com/privacy-policy/. Klient będzie przestrzegać swoich zobowiązań wynikających z Przepisów o ochronie danych podczas Przetwarzania Danych osobowych jako Administrator. W zakresie, w jakim Globalization Partners działa w charakterze Podmiotu przetwarzającego podczas Przetwarzania Danych klienta, takie Przetwarzanie będzie prowadzone zgodnie z poniższym punktem 3 („Przetwarzanie Danych osobowych”).
2.2. Obowiązki i potwierdzenia. Każda ze Stron może przetwarzać Dane osobowe na mocy niniejszego Dodatku w odniesieniu do Danych osobowych jako niezależni Administratorzy danych. Strony zobowiązują się przestrzegać swoich odpowiednich zobowiązań i przetwarzać wszelkie Dane osobowe w sposób uczciwy i zgodny z prawem, zgodnie z niniejszym Aneksem i wszystkimi Przepisami dotyczącymi ochrony danych mającymi zastosowanie do operacji Przetwarzania Danych osobowych takich Stron. Każda ze Stron zapewni, że Przetwarzanie przez nią Danych osobowych będzie ograniczone do celu Usług pracodawcy formalnego świadczonych przez Globalization Partners i będzie oparte na podstawie prawnej do przetwarzania zgodnego z prawem. Strony będą pomagać sobie nawzajem w wywiązywaniu się ze swoich zobowiązań wynikających z Przepisów o ochronie danych, w tym między innymi w pomaganiu sobie nawzajem w przypadku Naruszenia ochrony danych, odpowiadaniu na żądania Osób, których dane dotyczą i/lub organów regulacyjnych.
3. PRZETWARZANIE DANYCH OSOBOWYCH
3.1. Zakres. Korzystanie z Platformy przez Klienta i zarządzanie relacjami z Klientem może wiązać się z Przetwarzaniem Danych Klienta przez Globalization Partners jako Podmiot przetwarzający lub Usługodawca w imieniu Klienta.
3.2. Instrukcje. Globalization Partners będzie przetwarzać Dane klienta zgodnie z udokumentowanymi instrukcjami Klienta. Klient zgadza się, że niniejszy Aneks, Umowa główna i Załącznik I do niniejszej Umowy stanowią kompletne instrukcje Klienta dla Globalization Partners dotyczące Przetwarzania Danych Klienta. Strony muszą uzgodnić na piśmie wszelkie dodatkowe lub alternatywne instrukcje, w tym koszty (jeśli takie istnieją) związane z przestrzeganiem takich instrukcji. Globalization Partners nie ponosi odpowiedzialności za ustalenie, czy polecenia Klienta są zgodne z obowiązującym prawem. Jeśli jednak Globalization Partners uzna, że instrukcja Klienta narusza obowiązujące Przepisy o ochronie danych, Globalization Partners powiadomi Klienta tak szybko, jak to możliwe i nie będzie zobowiązana do przestrzegania takich instrukcji.
3.3. Szczegóły Przetwarzania. Szczegóły dotyczące przedmiotu Przetwarzania, jego czasu trwania, charakteru i celu oraz rodzaju Danych Klienta i osób, których dane dotyczą, określono w Załączniku I załączonym do niniejszej Umowy.
3.4. Dział ds. zgodności z przepisami Klient i Globalization Partners zgadzają się przestrzegać swoich odpowiednich zobowiązań wynikających z Przepisów o ochronie danych mających zastosowanie do Danych Klienta, które są Przetwarzane zgodnie z Załącznikiem I. Klient ponosi wyłączną odpowiedzialność za przestrzeganie Przepisów o ochronie danych w zakresie zgodności z prawem Przetwarzania Danych Klienta przed ujawnieniem, przekazaniem lub udostępnieniem w inny sposób jakichkolwiek Danych Klienta spółce Globalization Partners. W celu uniknięcia wątpliwości, we wszystkich przypadkach Klient uzyska, w razie potrzeby, wszelkie zgody Osób, których dane dotyczą, na przetwarzanie Danych klienta przez Globalization Partners zgodnie z instrukcjami Klienta.
3.5. Podwykonawcy przetwarzania. Klient upoważnia Globalization Partners do wyznaczania i wykorzystywania Podmiotów przetwarzających („Podwykonawcy przetwarzania”) do Przetwarzania Danych Klienta w związku z Usługami. Podwykonawcy przetwarzania mogą obejmować osoby trzecie lub dowolnego członka grupy spółek Globalization Partners. Globalization Partners może nadal korzystać z usług tych Podwykonawców przetwarzania, którzy zostali już zatrudnieni przez Globalization Partners w dniu podpisania niniejszego Dodatku, a lista takich Podwykonawców przetwarzania jest dostępna w Załączniku III załączonym do niniejszej Umowy. W przypadku gdy Podwykonawca przetwarzania nie wywiąże się ze swoich zobowiązań w zakresie ochrony danych określonych powyżej, Globalization Partners ponosi odpowiedzialność wobec Klienta za realizację zobowiązań Podwykonawcy przetwarzania. Globalization Partners powiadomi Klienta o wszelkich zmianach w swojej liście Podwykonawców przetwarzania. Jeśli w ciągu 10 (dziesięciu) dni od otrzymania takiego powiadomienia Klient zgodnie z prawem sprzeciwi się dodaniu lub usunięciu Podwykonawcy przetwarzania z powodu ochrony danych, a Globalization Partners nie będzie w stanie w uzasadniony sposób przyjąć sprzeciwu Klienta, strony omówią wątpliwości Klienta w dobrej wierze w celu rozwiązania sprawy.
3.6. Techniczne i organizacyjne środki bezpieczeństwa. Uwzględniając standardy branżowe, koszty wdrożenia, natury, zakres, kontekst i cele Przetwarzania, oraz wszelkie inne istotne okoliczności związane z Przetwarzaniem Danych Klienta na Platformie, Globalization Partners wdroży odpowiednie techniczne i organizacyjne środki bezpieczeństwa w celu zapewnienia bezpieczeństwa, poufność, uczciwość, dostępność i odporność systemów przetwarzania i usług związanych z Przetwarzaniem Danych Klienta są współmierne do ryzyka związanego z takimi Danymi Klienta. Globalization Partners będzie okresowo (i) testować i monitorować skuteczność swoich zabezpieczeń, mechanizmów kontroli, systemów i procedur oraz (ii) identyfikować racjonalnie przewidywalne wewnętrzne i zewnętrzne zagrożenia dla bezpieczeństwa, poufności i integralności Danych klienta oraz zapewniać, że te zagrożenia zostaną rozwiązane.
3.7. Poufność. Globalization Partners zapewni, że osoby upoważnione do dostępu do Danych klienta (i) zobowiązały się do zachowania poufności lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania poufności oraz (ii) uzyskają dostęp do Danych klienta wyłącznie na udokumentowane polecenie Globalization Partners, chyba że wymagają tego obowiązujące przepisy prawa.
3.8. Naruszenie ochrony danych osobowych. Globalization Partners powiadomi Klienta bez zbędnej zwłoki po powzięciu wiedzy o Naruszeniu ochrony danych w związku z Przetwarzaniem Danych Klienta i dołoży uzasadnionych starań, aby pomóc Klientowi złagodzić, w miarę możliwości, negatywne skutki jakiegokolwiek Naruszenia ochrony danych.
3.9. Transfery międzynarodowe . Globalization Partners jest upoważniona, w ramach normalnej działalności, do przekazywania Danych klientów swoim podmiotom stowarzyszonym i/lub Podwykonawcom przetwarzania na całym świecie. Podczas dokonywania takich transferów Globalization Partners zapewni odpowiednią ochronę Danych klienta przekazywanych na mocy Umowy głównej lub w związku z nią, w następujący sposób:
- 3.9.1. W przypadku gdy Globalization przekazuje Dane Klienta do krajów spoza EOG (które nie podlegają decyzji stwierdzającej odpowiedni stopień ochrony na mocy Przepisów o ochronie prywatności), Globalization Partners podpisze i będzie przestrzegać swoich zobowiązań wynikających ze Standardowych klauzul umownych UE, które zostały włączone do niniejszego Dodatku przez odniesienie i wypełnione w następujący sposób:
-
- Moduł 2 (od administratora do podmiotu przetwarzającego) będzie mieć zastosowanie w przypadku, gdy Klient jest Administratorem Danych osobowych, a Globalization Partners jest Podmiotem przetwarzającym Dane osobowe;
- w klauzuli 7, zastosowanie będzie miała opcjonalna klauzula dokująca;
- w klauzuli 9, opcja 2 będzie miała zastosowanie z 10 dniami;
- w klauzuli nie będzie mieć zastosowania język 11opcjonalny;
- w pkt 12, wszelkie roszczenia wniesione na podstawie Standardowych klauzul umownych UE będą podlegać warunkom określonym w Umowie;
- w klauzuli 17, zastosowanie będzie miała Opcja 1, Standardowe klauzule umowne UE będą podlegać prawu irlandzkiemu;
- w klauzuli 18(b) spory będą rozstrzygane przed sądami Irlandii;
- Załącznik I do Standardowych klauzul umownych UE uznaje się za wypełniony informacjami określonymi w Załączniku I do niniejszego Dodatku;
- Załącznik II do Standardowych klauzul umownych UE uznaje się za wypełniony informacjami określonymi w Załączniku II do niniejszego Dodatku; oraz
- Załącznik III do Standardowych klauzul umownych UE uznaje się za wypełniony informacjami określonymi w Załączniku III do niniejszego Dodatku.
- 3.9.2. W odniesieniu do Danych klientów chronionych przez brytyjskie RODO Strony mogą zgodnie z prawem polegać na Standardowych klauzulach umownych UE dotyczących ograniczonych transferów z Wielkiej Brytanii, z zastrzeżeniem Aneksu brytyjskiego, który został włączony do niniejszego Dodatku przez odniesienie i wypełniony zgodnie z definicją w Załączniku IV załączonym do niniejszego Aneksu. Jeśli ta sekcja 3.9.2 nie ma zastosowania, Globalization Partners Exporting Company i Klient będą współpracować w dobrej wierze w celu wdrożenia odpowiednich zabezpieczeń w zakresie przekazywania takich Danych osobowych, zgodnie z wymogami lub zezwoleniami brytyjskiego RODO, bez zbędnej zwłoki.
- 3.9.3. Żadne z postanowień interpretacji zawartych w niniejszym punkcie nie 3.9 ma na celu sprzeczności z prawami lub obowiązkami którejkolwiek ze Stron wynikającymi ze Standardowych klauzul umownych UE lub Aneksu Wielkiej Brytanii, a w przypadku takiego konfliktu znaczenie nadrzędne mają Standardowe klauzule umowne UE lub Aneks brytyjski, w zależności od przypadku.
3.10. Usuwanie Danych osobowych. Po zakończeniu świadczenia Usług (z dowolnego powodu) i na pisemny wniosek Klienta Globalization Partners zwróci lub usunie Dane Klienta przechowywane na Platformie, chyba że obowiązujące prawo wymaga przechowywania Danych Klienta przez dłuższy okres. W przypadku takiego przechowywania postanowienia niniejszego Dodatku będą nadal obowiązywać w odniesieniu do takich Danych klienta.
3.11. Żądania osób, których dane dotyczą. Globalization Partners niezwłocznie poinformuje Klienta o wszelkich żądaniach Osób, których dane dotyczą, dotyczących Danych klienta. Klient jest odpowiedzialny za odpowiadanie na takie żądania. Globalization Partners w uzasadnionym zakresie pomoże Klientowi odpowiedzieć na takie żądania Osób, których dane dotyczą, w zakresie, w jakim Klient nie będzie w stanie uzyskać dostępu do odpowiednich Danych Klienta podczas korzystania z Platformy.
3.12. Prośby osób trzecich. Jeśli Globalization Partners otrzyma jakiekolwiek wnioski od stron trzecich lub nakaz jakiegokolwiek sądu, trybunału, organu regulacyjnego lub agencji rządowej właściwej jurysdykcji, któremu Globalization Partners podlega w związku z Przetwarzaniem Danych Klienta na mocy Umowy, Globalization Partners niezwłocznie przekieruje wniosek do Klienta. Globalization Partners nie będzie odpowiadać na takie żądania bez uprzedniej zgody Klienta, chyba że będzie to prawnie wymagane. Globalization Partners, o ile nie zabrania tego prawo, poinformuje Klienta z wyprzedzeniem o ujawnieniu Danych Klienta i będzie współpracować z Klientem w uzasadnionym zakresie w celu ograniczenia zakresu takiego ujawnienia do zakresu wymaganego prawem.
3.13. Ocena skutków dla ochrony danych i wcześniejsze konsultacje. W zakresie wymaganym przez Przepisy o ochronie danych Globalization Partners zapewni Klientowi uzasadnioną pomoc w przeprowadzeniu oceny skutków dla ochrony danych w związku z Przetwarzaniem Danych Klienta podejmowanych przez Globalization Partners i/lub wszelkich wymaganych wcześniejszych konsultacji (konsultacjach) z organami nadzorczymi. Globalization Partners zastrzega sobie prawo do naliczenia Klientowi uzasadnionej opłaty za udzielenie takiej pomocy.
3.14. Wykazywanie zgodności. Globalization Partners regularnie przeprowadza zewnętrzne audyty w zakresie bezpieczeństwa, dostępności, integralności przetwarzania, poufności i kontroli prywatności organizacji i na pisemny wniosek przekaże Klientowi kopię najnowszego podsumowania raportu z audytu lub certyfikacji. Jeśli Klient woli przeprowadzić własny audyt oprócz dostarczonych certyfikatów lub raportów stron trzecich, taki audyt będzie przeprowadzany: i) nie więcej niż raz na każdy 12 (dwanaście) miesięcy; ii) w normalnych godzinach pracy i bez zakłócania codziennej działalności Globalization Partners; iii) za trzydziestodniowym (30) pisemnym wypowiedzeniem; iv) na wyłączny koszt Klienta (w tym czas spędzony przez Globalization Partner na pomaganiu Klientowi podczas audytu w oparciu o dzienną stawkę kierownika ds. bezpieczeństwa); v) w oparciu o wzajemnie uzgodnione parametry i zakres, ograniczone do konkretnego zakresu usług, rozważane i specyficzne dla rzeczywistego wymagania systemy użytkowania i/lub przetwarzania; vi) w oparciu o wspólnie uzgodnioną datę z wyprzedzeniem, z zastrzeżeniem uzasadnionego odroczenia przez Klienta na uzasadnione żądanie Globalization Partners; oraz vii) zgodnie ze wszystkimi zobowiązaniami i ograniczeniami dotyczącymi poufności. Niezależnie od powyższego, po rozwiązaniu Umowy głównej nie udziela się żadnego prawa do audytu, z wyjątkiem zobowiązań prawnych, które muszą zostać wykazane przez Klienta. Żaden przedstawiciel zewnętrzny wybrany do przeprowadzenia audytu w imieniu Klienta nie może mieć udziałów własnościowych w agencji usług pracodawcy formalnego, powiązanej organizacji lub konsultanta ani być z nimi powiązany.
3.15. Brak sprzedaży informacji. Globalization Partners nie będzie czerpać ani korzystać z żadnych praw ani korzyści dotyczących Danych osobowych, z wyjątkiem przypadków określonych w niniejszym Dodatku. W celu uniknięcia wątpliwości Globalization Partners nie będzie przechowywać, wykorzystywać, udostępniać ani ujawniać Danych klienta w żadnym innym celu niż w konkretnym celu zapewnienia Platformy Klientowi zgodnie z Umową główną. Globalization Partners nie będzie sprzedawać żadnych Danych osobowych, zgodnie z definicją terminu „sprzedaż” zawartą w CCPA. Globalization Partners oświadcza i gwarantuje, że rozumie zasady, wymogi i definicje zawarte w ustawie CCPA oraz zgadza się powstrzymać od podejmowania jakichkolwiek działań, które mogłyby spowodować, że jakiekolwiek przekazywanie Danych osobowych do lub od Globalization Partners zakwalifikuje się jako „sprzedaż danych osobowych” zgodnie z ustawą CCPA.
Załącznik I — Opis przetwarzania danych
| Strony | Administrator / Podmiot przekazujący dane: Podmiot Klienta realizujący Głównego Podmiotu Przetwarzającego Rolnictwo / Podmiot odbierający dane: Podmiot Globalization Partners realizujący Umowę ramową. |
| Dane kontaktowe stron | Dane kontaktowe klienta określone w Umowie głównej. Dane kontaktowe Globalization Partners określone w Umowie głównej. |
| Działania związane z przekazanymi danymi | Działania związane z Platformą świadczoną jako usługa. |
| Działania związane z przetwarzaniem | Globalization Partners będzie przetwarzać Dane Klienta w ramach dostarczania Platformy jako usługi dla Klienta. |
| Czas trwania przetwarzania | Globalization Partners będzie przetwarzać Dane klientów przez cały okres obowiązywania Umowy głównej i na bieżąco. |
| Charakter i cel przetwarzania | Klient może przekazywać Dane Klienta do Globalization Partners, których zakres jest określany i kontrolowany przez Klienta według jego wyłącznego uznania. Globalization Partners będzie przetwarzać Dane klienta w zakresie niezbędnym do świadczenia Platformy jako usługi na rzecz Klienta zgodnie z Umową główną. |
| Kategorie Osób, których dane dotyczą | Dane Klienta dotyczą Upoważnionych Użytkowników Platformy, którzy mogą obejmować pracowników lub wykonawców Klienta, oprócz osób, których Dane osobowe są dostarczane przez Upoważnionych Użytkowników Platformy. |
| Rodzaje danych osobowych | Przekazywane Dane Klienta mogą obejmować następujące kategorie danych:
|
| Specjalne kategorie danych (jeśli dotyczy) | ND. |
| Zatrzymywanie pracowników | Dane klientów będą przechowywane co najmniej tak długo, jak długo będzie to wymagane przez prawo minimalne okresy przechowywania, zgodne z obowiązującymi ustawami o ograniczeniach i zgodne z dobrymi praktykami biznesowymi. |
| Właściwy organ nadzorczy | Irlandzka Komisja Ochrony Danych |
| Przekazywanie danych podwykonawcom przetwarzania | W przypadku przekazywania danych podmiotom przetwarzającym dane przedmiot, charakter i czas trwania przetwarzania danych są takie same jak powyżej zdefiniowane. |
| Dane kontaktowe Globalization Partners dotyczące prywatności | privacy@globalization-partners.com Do wiadomości: Globalne biuro ds. prywatności. |
Załącznik II – Środki techniczne i organizacyjne
Globalization Partners otrzymała certyfikat i poświadczenie potwierdzające zgodność ze 2 standardami SOC od niezależnych audytorów. Raporty Service Organization Controls (SOC) pokazują nasze zaangażowanie w ochronę danych klientów. Program bezpieczeństwa Globalization Partners ma na celu:
- Ochrona poufności, integralności i dostępności Danych klienta znajdujących się w posiadaniu Globalization Partners lub do których Globalization Partners ma dostęp;
- Ochrona przed wszelkimi przewidywanymi zagrożeniami dla poufności, integralności i dostępności Danych klienta;
- Ochrona przed nieuprawnionym lub bezprawnym dostępem, wykorzystaniem, ujawnieniem, zmianą lub zniszczeniem Danych Klienta;
- Ochrona przed przypadkową utratą, zniszczeniem lub uszkodzeniem Danych klienta; oraz
- Zabezpiecz informacje zgodnie z wszelkimi przepisami, które mogą podlegać regulacjom Globalization Partners.
Poniżej opisano funkcje, procesy, mechanizmy kontroli, systemy, procedury i środki, które Globalization Partners podjęła w celu zapewnienia bezpieczeństwa Przetwarzania Danych Klienta:
1) ŚRODKI TECHNICZNE W CELU ZAPEWNIENIA PRYWATNOŚCI I OCHRONY DANYCH
a) Prywatność w fazie projektowania i domyślna:
Globalization Partners bierze pod uwagę wymagania artykułu 25 RODO w fazie koncepcji i rozwoju rozwoju produktów. Procesy i funkcje są tak skonfigurowane, aby zasady ochrony danych, takie jak legalność, przejrzystość, ograniczenie celu, minimalizacja danych itp., jak również bezpieczeństwo przetwarzania danych były brane pod uwagę na wczesnym etapie.
b) Szyfrowanie Danych osobowych:
Zapewnienie, że dane osobowe są przechowywane w systemie wyłącznie w sposób uniemożliwiający osobom trzecim identyfikację osoby, której dane dotyczą.
- Szyfrowanie baz danych i pamięci masowej:
we wszystkich bazach danych używanych przez Globalization Partners stosowane jest szyfrowanie „w spoczynku” zgodnie z aktualnym stanem wiedzy, dzięki czemu dane z bazy danych można odczytać dopiero po prawidłowym uwierzytelnieniu w odpowiednim systemie bazy danych. - Szyfrowanie mobilnych nośników danych:
Korzystanie z mobilnych nośników danych do przechowywania danych klientów jest niedozwolone. - Szyfrowanie nośników danych na laptopach:
Na laptopach wszystkich pracowników instalowane jest odpowiednie, najnowocześniejsze szyfrowanie dysków twardych. - Szyfrowana wymiana informacji i plików:
W zasadzie wymiana informacji i plików jest bezpośrednio szyfrowana za pomocą specjalnej aplikacji. Jeśli dane osobowe lub informacje poufne muszą zostać przesłane na serwery, których nie można przesłać za pomocą protokołu HTTPS szyfrowanego TLS, zostaną one przesłane za pomocą protokołu Secure File Transfer Protocol (SFTP), zaszyfrowanej usługi koperty lub innego zaszyfrowanego mechanizmu zgodnie z aktualnym stanem wiedzy. - Szyfrowanie poczty elektronicznej:
Co do zasady wszystkie wiadomości e-mail wysyłane przez pracowników Globalization Partners są szyfrowane za pomocą TLS. Wyjątkiem może być sytuacja, w której serwer poczty odbierającej nie obsługuje TLS. Klient zapewni, że odpowiednie serwery pocztowe wykorzystywane w ramach zamówienia będą obsługiwać szyfrowanie TLS
c) Kontrola przyjęcia
Kontrole przyjęcia są przeznaczone i wdrażane w celu zapobiegania wykorzystywaniu i przetwarzaniu danych chronionych przez nieupoważnione osoby zgodnie z przepisami o ochronie danych.
- Korzystanie z metod uwierzytelniania
Dostęp do danych osobowych zawsze odbywa się za pośrednictwem szyfrowanych protokołów: SSH, SSL/TLS, HTTPS lub porównywalnych protokołów. Procedura uwierzytelniania dla systemu informatycznego: logowanie wieloskładnikowe do systemu informatycznego. - Automatyczne blokowanie w przypadku braku aktywności
Laptopy używane przez pracowników Globalization Partners, zablokowane hasłem lub kodem PIN, gdy nie są używane przez użytkownika. Ponadto po 15 minutach bezczynności ustawiana jest automatyczna blokada ekranu z ochroną hasłem. - Korzystanie z oprogramowania antywirusowego
Laptopy używane przez pracowników Globalization Partners są wyposażone w najnowocześniejsze oprogramowanie antywirusowe, które jest aktualizowane we wszystkich operacyjnych i biznesowych systemach informatycznych. Zasadniczo żadne komputery nie mogą być obsługiwane bez ochrony przed wirusami rezydenta, chyba że podjęto inne równoważne najnowocześniejsze środki bezpieczeństwa lub nie ma ryzyka. Nie wolno dezaktywować ani obchodzić domyślnych ustawień zabezpieczeń. - „Polityka czystego biurka”
Pracownicy Globalization Partners są poinstruowani, aby nie drukować ani nie przechowywać lokalnie danych osobowych osób, których dane dotyczą, nie zostawiać materiałów roboczych w miejscu, w którym mogą być przeglądane przez osoby trzecie, a także, aby prawidłowo przechowywać wszystkie materiały robocze. Dokumenty, które firma Globalization Partners jest prawnie zobowiązana przechowywać w formie papierowej, są przechowywane w zamkniętych szafkach.
d) Kontrola dostępu na platformie
Kontrola dostępu zapewnia, że osoby upoważnione do korzystania z systemu przetwarzania mają dostęp wyłącznie do danych osobowych objętych ich upoważnieniem dostępu.
- Role i autoryzacja
- Role i platforma autoryzacji – użytkownicy z dostępem klienta mogą przeglądać i edytować informacje o koncie klienta.
- Role i platforma autoryzacji – użytkownicy Professional Access Professional mogą przeglądać i edytować swoje własne informacje zawodowe.
Specjaliści mogą również uzyskać rolę dostępu do klienta po uzyskaniu wymogu + zatwierdzenia - Role i platforma autoryzacji – dostęp wewnętrzny
Użytkownicy dostępu wewnętrznego mają różne role. Mają zróżnicowany dostęp do tworzenia, wyświetlania, edytowania i zatwierdzania następujących elementów:- Informacje o kliencie
- Informacje rozliczeniowe
- Informacje o partnerze
- Profesjonalny personel rejestruje informacje
Dostęp do systemu administracyjnego jest generalnie ograniczony do przeszkolonych pracowników w zakresie obsługi klienta i rozwoju produktów.
e) Zapora sieciowa jako usługa
Globalization Partners wykorzystuje zewnętrzną zaporę sieciową jako usługę, która umożliwia jej przyznawanie lub blokowanie dostępu do witryn internetowych w celu zapewnienia, że systemy nie mają dostępu do złośliwych treści i ograniczenia dostępu do nieodpowiednich treści.
f) Rejestr logowania do Platformy
Globalization Partners prowadzi rejestr wszystkich działań związanych z logowaniem.
g) Rozdzielność
Zapewnienie, że dane osobowe zebrane do różnych celów mogą być przetwarzane oddzielnie i są oddzielone od innych danych i systemów w taki sposób, aby nie dopuścić do nieplanowanego wykorzystania tych danych do innych celów.
- Oddzielenie środowiska programistycznego, testowego i operacyjnego
Dane ze środowiska operacyjnego mogą być przekazywane do środowisk testowych lub programistycznych tylko wtedy, gdy przed przeniesieniem zostały całkowicie anonimowe. Przesyłanie zanonimizowanych danych musi być szyfrowane lub realizowane za pośrednictwem godnej zaufania sieci. - Separacja sieci
Globalization Partners rozdziela swoje sieci zgodnie z zadaniami. Następujące sieci są używane na stałe: środowisko operacyjne („Produkcja”), środowisko testowe („Samochłonność”, „Sandbox”), środowisko programistyczne („Dev”) – personel IT biura. Oprócz tych sieci tworzone są również inne, odrębne sieci, np. do testów przywracania i penetracji. W zależności od możliwości technicznych sieci są rozdzielane fizycznie lub za pomocą sieci wirtualnych.
h) Kontrola dostępności
Globalization Partners podejmuje następujące kroki w celu zapewnienia ochrony danych osobowych przed przypadkowym zniszczeniem lub utratą.
- Procedury/kopie zapasowe ochrony danych
Aby zapewnić odpowiednią dostępność, Globalization Partners wdraża codzienne migawki swojej bazy danych z replikacją do innego regionu. Podejmowane są również środki w celu zapewnienia, że pracownicy, którzy mają potrzebę weryfikacji danych na podstawie stanowiska, mają dostęp wyłącznie do replik zestawów danych. - Georedundancja w odniesieniu do infrastruktury serwerów danych produktywnych i kopii zapasowych
- Zarządzanie incydentami IT („Zarządzanie reakcjami na incydenty”)
Istnieje koncepcja i udokumentowane procedury postępowania w przypadku incydentów i zdarzeń związanych z bezpieczeństwem. Obejmuje to planowanie i przygotowanie reakcji na incydenty, procedury monitorowania, wykrywania i analizowania bezpieczeństwa – istotnych zdarzeń oraz definicję odpowiednich obowiązków i kanałów zgłaszania w przypadku naruszenia ochrony danych osobowych w ramach wymogów prawnych.
2) ŚRODKI ORGANIZACYJNE W CELU ZAPEWNIENIA PRYWATNOŚCI I OCHRONY DANYCH
Globalization Partners wdrożyła następujące środki organizacyjne, aby zapewnić, że organizacja działa w sposób spełniający wymogi dotyczące prywatności i ochrony danych.
a) Instrukcje organizacyjne
Globalization Partners opracowała i opracowuje program zarządzania danymi obejmujący polityki, procedury i wytyczne, których pracownicy powinni przestrzegać. Dokumentacja zawiera informacje o tym, jak identyfikować problemy związane z prywatnością danych i zarządzać nimi, najlepsze praktyki zapewniające zgodność z przepisami dotyczącymi prywatności oraz zasady rozwiązywania incydentów związanych z prywatnością.
b) Zobowiązanie do zachowania poufności i ochrony danych
Globalization Partners opracowała i opracowuje program zarządzania danymi obejmujący polityki, procedury i wytyczne, których pracownicy powinni przestrzegać. Wszyscy pracownicy i kontrahenci są zobowiązani na piśmie do zachowania poufności i ochrony danych, a także do przestrzegania innych stosownych przepisów. Wszyscy pracownicy przechodzą szkolenie w zakresie prywatności i bezpieczeństwa. Regularnie przeprowadzane są audyty wewnętrzne dotyczące ochrony danych i bezpieczeństwa informacji. Audyty są przeprowadzane na podstawie wspólnych kryteriów/schematów testów. Pracownicy i kontrahenci Globalization Partners są instruowani, aby przetwarzać dane osobowe wyłącznie w celach zgodnych z prawem, zgodnie z obowiązującymi umowami z klientem i specjalistą, z należytym uwzględnieniem wszelkich wyraźnych zgód udzielonych lub wstrzymanych przez osobę, której dane dotyczą, oraz zgodnie z wszelkimi zgodnymi z prawem obowiązkami organizacji.
c) Szkolenie w zakresie ochrony danych
Wszyscy pracownicy przechodzą szkolenie z zakresu prywatności i bezpieczeństwa, które jest dostępne do wglądu w dowolnym momencie na platformie szkoleniowej Globalization Partners.
d) Kontrola dostępu fizycznego
Globalization Partners stosuje następujące fizyczne środki kontroli w celu odmowy osobom nieupoważnionym dostępu do sprzętu IT wykorzystywanego do przetwarzania.
- Elektroniczna ochrona drzwi
Drzwi wejściowe do biur Globalization Partners są zawsze zamykane na klucz i zabezpieczane elektronicznie. Drzwi otwiera się za pomocą osobistego transpondera elektronicznego. - Kontrolowana dystrybucja kluczy
Odbywa się centralne, udokumentowane przydzielanie kluczy pracownikom Globalization Partners. Te elektroniczne transpondery/klucze mogą być dezaktywowane centralnie przez każdego kierownika biura lub dział zasobów ludzkich. - Nadzór i nadzór nad osobami trzecimi
Zewnętrzni usługodawcy i inne osoby trzecie mogą uzyskać dostęp do obiektu wyłącznie za uprzednią zgodą lub w towarzystwie pracownika Globalization Partners. Globalization Partners stosuje swoją pisemną Politykę dla gości, gdy osoby odwiedzające są zapraszane do obiektu. - Zabezpieczanie pomieszczeń o zwiększonym zapotrzebowaniu na ochronę
Lokal lub szafki o zwiększonych wymaganiach dotyczących ochrony, takich jak biura prawne i niektóre lokalizacje operacyjne, jest wyposażone w zamykane szafki i szuflady. Szafki i szuflady, w których przechowywane są dokumenty prawne, umowy i poufna dokumentacja, należy zawsze zamykać na klucz, z wyjątkiem sytuacji, gdy są używane. - Zamknięte drzwi i okna
Pracownicy są instruowani w organizacji, aby zamykać lub zamykać okna i drzwi poza godzinami pracy.
e) Odzyskiwalność
Globalization Partners zapewnia, że używane systemy mogą zostać przywrócone w przypadku awarii fizycznej lub technicznej.
- Regularne testy odzyskiwania danych („Testy przywracania”)
Regularne testy pełnego przywracania danych są przeprowadzane w celu zapewnienia możliwości odzyskania danych w razie awarii/katastrofy. - Plan awaryjny („Koncepcja odzyskiwania awaryjnego”)
Istnieje koncepcja leczenia nagłych wypadków/awarii oraz odpowiedni plan awaryjny. Globalization Partners zapewnia odzyskiwanie wszystkich systemów na podstawie kopii zapasowych danych, zwykle w ciągu 48 godzin. - Przegląd i ocena środków
Prezentacja procedur regularnego przeglądu, oceny i oceny skuteczności środków technicznych i organizacyjnych.
f) Zespół ds. prywatności
Organizacja posiada Globalne Biuro ds. Ochrony Prywatności Danych, którego zadaniem jest planowanie, wdrażanie, ocenianie i dostosowywanie środków ochrony danych.
g) Zarządzanie ryzykiem
Istnieje proces analizy, oceny i alokacji ryzyk oraz opracowywania środków opartych na tych zagrożeniach.
3) NIEZALEŻNY PRZEGLĄD BEZPIECZEŃSTWA INFORMACJI
a) Przeprowadzenie audytów
Regularnie przeprowadzane są audyty wewnętrzne dotyczące ochrony danych i bezpieczeństwa informacji. Audyty są przeprowadzane na podstawie wspólnych kryteriów/schematów testów.
b) Weryfikacja zgodności z zasadami i standardami bezpieczeństwa
Regularnie sprawdza się zgodność z obowiązującymi wytycznymi, standardami i innymi wymogami bezpieczeństwa dotyczącymi przetwarzania danych osobowych. Tam, gdzie to możliwe, kontrole te są przeprowadzane losowo i niespodziewanie.
c) Weryfikacja zgodności ze specyfikacjami technicznymi
Regularne automatyczne i ręczne skanowanie luk w zabezpieczeniach jest wykonywane przez dział IT lub inny wykwalifikowany personel w celu weryfikacji bezpieczeństwa aplikacji i infrastruktury, a także regularnego rozwoju produktu. Szczegółowe testy penetracyjne są przeprowadzane przez zewnętrznego dostawcę usług w celu szczegółowej analizy aplikacji i infrastruktury pod kątem luk w zabezpieczeniach.
d) Przetwarzanie zgodnie z instrukcjami
Pracownicy Globalization Partners są instruowani, aby przetwarzać dane osobowe wyłącznie w celach zgodnych z prawem, zgodnie z obowiązującymi umowami z klientem i specjalistą, z należytym uwzględnieniem wszelkich wyraźnych zgód udzielonych lub wstrzymanych przez osobę, której dane dotyczą, oraz zgodnie z wszelkimi zgodnymi z prawem obowiązkami organizacji.
e) Staranny dobór dostawców
Przy wyborze dostawców i dostawców, którzy mogą mieć do czynienia z chronionymi danymi, Globalization Partners stosuje się do swojego Procesu wstępnej kwalifikacji dostawców. Proces ten obejmuje informacje zwrotne z działów finansów i prawnego/prywatności oraz obejmuje ocenę ryzyka, wstępną kwalifikację bezpieczeństwa i etapy certyfikacji dokumentacji. Dostawcy, którzy będą przetwarzać chronione dane, będą zobowiązani do wykazania przestrzegania przez nich obowiązujących przepisów o ochronie danych, w tym art. 28 RODO w odniesieniu do danych objętych ochroną.
Załącznik III — Lista podwykonawców przetwarzania
| Podwykonawca przetwarzania | Dane kontaktowe | Opis przetwarzania | Lokalizacja |
|---|---|---|---|
| Jednostki zależne Globalization Partners | https://www.globalization- partners.com/contact-us/ | Zapewnienie zarządzania Platformą i relacjami z klientami | USA |
| Akumatyka | 3933 Lake Washington Blvd NE #350, Kirkland, WA 98033, Stany Zjednoczone | Usługi finansowe | USA |
| Usługa Amazon Web | P.O. Box 81226 Seattle, WA98108-1226, Stany Zjednoczone https://aws.amazon.com/contact-us/ |
Hosting – dostawca usług w chmurze | USA |
| Microsoft | Jeden telefon Microsoft Way Redmond, Washington 98052 USA: (+1) 425-882-8080. |
Komunikacja dotycząca wsparcia procesów biznesowych (e-mail); zarządzanie usługami | USA |
| Atlasski | 350 Bush Street Floor 13 San Francisco, CA94104, Stany Zjednoczone +1 415 701 1110 |
Wsparcie procesów biznesowych w zakresie zarządzania usługami | USA |
| Konga | https://conga.com/contact-us 62 Margaret St, 3. piętro Londyn W1W8TF Wielka Brytania |
Zarządzanie umowami | Wielka Brytania |
| DocuSign | DocuSign International (EMEA) Ltd, Attention: Zespół ds. prywatności, 5 Hanover Quay, Ground Floor, Dublin2, Republika Irlandii | Zarządzanie dokumentami | Irlandia |
| Piosenka | 265 Cambridge Ave, Suite 60717 Palo Alto, CA94306, Stany Zjednoczone | Usługi telekomunikacyjne | USA |
| iCertis | 2 Kingdom Street Paddington Londyn W2 6BD Wielka Brytania | Zarządzanie umowami | Wielka Brytania |
| Salesforce.com | Salesforce Tower, 415 Mission Street, 3. piętro, San Francisco, CA94105, USA 1-800-387-3285 |
Wsparcie procesów biznesowych w zakresie zarządzania relacjami z klientami (CRM) | USA |
| Zendesk | 989 Rynek St. San Francisco, CA 94103, USA zendesk.com 888-670-4887 |
Zapytania działu pomocy technicznej dotyczące obsługi klienta | USA |
Załącznik IV – Aneks brytyjski do standardowych klauzul umownych UE
CZĘŚĆ 1: TABELE
Tabela 1: Strony
| Data rozpoczęcia pracy | Data wejścia w życie niniejszego Dodatku | |
|---|---|---|
| Strony | Eksporter (kto wysyła Transfer ograniczony) | Importer (który otrzymuje Transfer zastrzeżony) |
| Dane stron | Dane jednostki Klienta określone w Umowie głównej. | Dane podmiotu Globalization Partners określone w Umowie głównej. |
| Kluczowe kontakty | Dane kontaktowe klienta określone w Umowie głównej. | Dane kontaktowe Globalization Partners określone w Umowie głównej oraz Dane kontaktowe Globalization Partners w zakresie prywatności określone w Załączniku I powyżej. |
Tabela 2: Wybrane SKU, Moduły i Wybrane klauzule
| Uzupełnienie Standardowych klauzul umownych UE | Wersja Zatwierdzonych Standardowych klauzul umownych UE zawarta w sekcji 3.9 Aneksu, w tym informacje zawarte w Załączniku dołączonym do niniejszego Aneksu. |
Tabela 3: Informacje o załączniku
„Informacje w Załączniku” oznaczają informacje, które muszą zostać podane dla wybranych modułów, jak określono w Załączniku do Zatwierdzonych SKU UE (innych niż Strony), a które dla niniejszego Dodatku zostały określone w:
- Załącznik 1A: Lista stron: Załącznik I
- Załącznik 1B : Opis przekazania: Załącznik I
- Załącznik II: Środki techniczne i organizacyjne, w tym środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych: Załącznik II
- Załącznik III: Wykaz podwykonawców przetwarzania: Załącznik III
Tabela 4: Kończenie niniejszego Dodatku po zmianie zatwierdzonego Dodatku
| Kończenie niniejszego Aneksu po zmianie Zatwierdzonego Aneksu | Które Strony mogą rozwiązać niniejszy Aneks zgodnie z postanowieniami punktu 19: ☐ Importer Ω Eksporter ☐ Żadna ze Stron |
CZĘŚĆ 2: KLAUZULE OBOWIĄZKOWE
| Klauzule obowiązkowe | Część 2: Klauzule obowiązkowe Zatwierdzonego Dodatku, stanowiące wzór Dodatku B.1.0 wydanego przez ICO i ustanowionego przed Parlamentem zgodnie z s119A Ustawą o ochronie danych 2018 z dnia 2 luty 2022, wraz z aktualizacją w punkcie 18 tych Klauzul Obowiązkowych. |