Ostatnia aktualizacja: 14 maj 2025
Niniejszy Dodatek dotyczący ochrony danych („Dodatek”) stanowi uzupełnienie warunków Umowy głównej i jest do niej włączony. W przypadku sprzeczności pomiędzy postanowieniami niniejszego Dodatku a wszelkimi innymi umowami pomiędzy stronami w kwestiach określonych w niniejszym Dodatku, postanowienia tego Dodatku będą miały znaczenie nadrzędne.
1.1. Terminy niezdefiniowane w niniejszym dokumencie mają znaczenie określone w Umowie ramowej o świadczenie usług. Następujące słowa w niniejszym Dodatku mają następujące znaczenie:
1.2. „Upoważniony użytkownik” oznacza osobę, której Klient może zezwolić na dostęp do Platformy i korzystanie z niej w imieniu Klienta, w tym pracownika lub wykonawcy Klienta, zgodnie z postanowieniami Umowy ramowej.
1.3. „CCPA” oznacza kalifornijską ustawę o ochronie prywatności konsumentów.
1.4. „Dane klienta” oznaczają wszelkie Dane osobowe lub Dane osobowe związane z dowolnym Upoważnionym użytkownikiem lub możliwą do zidentyfikowania osobą fizyczną, które są przekazywane, przetwarzane lub przechowywane przez Globalization Partners w imieniu Klienta w celu korzystania z Platformy przez Klienta.
1.5. „Przepisy o ochronie danych” oznaczają wszelkie przepisy dotyczące ochrony danych i prywatności, którym podlega strona niniejszej Umowy i które mają zastosowanie do świadczonych Usług, w tym w stosownych przypadkach RODO, brytyjskie RODO, amerykańskie przepisy o ochronie prywatności (w tym przepisy stanowe i federalne) oraz singapurską Ustawę o ochronie danych osobowych .
1.6. „RODO” oznacza ogólne rozporządzenie o ochronie danych (UE) 2016/679 i/lub brytyjskie rozporządzenie RODO.
1.7. „EOG” oznacza Europejski Obszar Gospodarczy.
1.8. „Standardowe klauzule umowne UE” oznaczają standardowe klauzule umowne dotyczące przekazywania danych osobowych do państw trzecich zgodnie z rozporządzeniem Parlamentu 2016/679 Europejskiego i Rady (UE) zatwierdzonym przez Komisję Europejską w sprawie decyzji wykonawczej (UE) 2021/914 z dnia 4 czerwiec 2021.
1.9. „Usługi pracodawcy formalnego” oznaczają usługi pracodawcy formalnego świadczone Klientowi przez Globalization Partners zgodnie z Umową ramową.
1.10. „Umowa główna” oznacza umowę zawartą pomiędzy Klientem a Globalization Partners dotyczącą świadczenia Usług pracodawcy formalnego.
1.11. „Platforma” oznacza oprogramowanie należące do firmy Globalization Partners, w tym między innymi oprogramowanie, wersję mobilną, wszelkie oprogramowanie w nim zawarte oraz wszelkie dane udostępnione w wyniku korzystania z zastrzeżonego oprogramowania firmy Globalization Partners lub usług stron trzecich, w tym ich aktualizacje, uaktualnienia, platforma jako usługa, dokumentacja, których opis znajduje się na stronie . https://www.globalization-partners.com/employer-of-record-solutions/
1.12. „Dodatek brytyjski” oznacza aneks do standardowych klauzul umownych UE dotyczący międzynarodowego przekazywania danych, wydany przez brytyjskiego komisarza ds. informacji, załączony do niniejszego dokumentu jako Załącznik IV.
1.13. „Administrator”, „Osoba, której dane dotyczą”, „Dane osobowe”, „Dane osobowe”, „Naruszenie ochrony danych”, „Podmiot przetwarzający”, „Przetwarzanie/Przetwarzanie”, „Ograniczone przekazywanie”, „Usługodawca” lub inne podobne terminy i koncepcje mają znaczenie określone w Przepisach o ochronie danych
2.1. Role Stron i Szczegóły Przetwarzania. Globalization Partners będzie przetwarzać Dane osobowe jako niezależny Administrator, gdy Globalization Partners będzie świadczyć Usługi pracodawcy formalnego. W żadnym wypadku Strony nie będą przetwarzać Danych osobowych na mocy niniejszego Dodatku jako współadministratorzy. W przypadku gdy Globalization Partners działa jako niezależny administrator danych, Globalization Partners będzie przestrzegać swoich zobowiązań wobec administratora danych wynikających z przepisów o ochronie danych podczas Przetwarzania danych osobowych i będzie przetwarzać dane osobowe zgodnie z opisem w Polityce prywatności Globalization Partners dostępnej pod adresem . https://www.globalization-partners.com/privacy-policy/ Klient będzie przestrzegać swoich zobowiązań wynikających z Przepisów o ochronie danych podczas Przetwarzania Danych osobowych jako Administrator. W zakresie, w jakim Globalization Partners działa w charakterze Podmiotu przetwarzającego podczas Przetwarzania Danych klienta, takie Przetwarzanie będzie prowadzone zgodnie z poniższym punktem 3 („Przetwarzanie Danych osobowych”).
2.2. Obowiązki i potwierdzenia. Każda ze Stron może przetwarzać Dane osobowe na mocy niniejszego Dodatku w odniesieniu do Danych osobowych jako niezależni Administratorzy danych. Strony zobowiązują się przestrzegać swoich odpowiednich zobowiązań i przetwarzać wszelkie Dane osobowe w sposób uczciwy i zgodny z prawem, zgodnie z niniejszym Aneksem i wszystkimi Przepisami dotyczącymi ochrony danych mającymi zastosowanie do operacji Przetwarzania Danych osobowych takich Stron. Każda ze Stron zapewni, że Przetwarzanie przez nią Danych osobowych będzie ograniczone do celu Usług pracodawcy formalnego świadczonych przez Globalization Partners i będzie oparte na podstawie prawnej do przetwarzania zgodnego z prawem. Strony będą pomagać sobie nawzajem w wywiązywaniu się ze swoich zobowiązań wynikających z Przepisów o ochronie danych, w tym między innymi w pomaganiu sobie nawzajem w przypadku Naruszenia ochrony danych, odpowiadaniu na żądania Osób, których dane dotyczą i/lub organów regulacyjnych.
3.1. Zakres. Korzystanie z Platformy przez Klienta i zarządzanie relacjami z Klientem może wiązać się z Przetwarzaniem Danych Klienta przez Globalization Partners jako Podmiot przetwarzający lub Usługodawca w imieniu Klienta.
3.2. Instrukcje. Globalization Partners będzie przetwarzać Dane klienta zgodnie z udokumentowanymi instrukcjami Klienta. Klient zgadza się, że niniejszy Aneks, Umowa główna i Załącznik I do niniejszej Umowy stanowią kompletne instrukcje Klienta dla Globalization Partners dotyczące Przetwarzania Danych Klienta. Strony muszą uzgodnić na piśmie wszelkie dodatkowe lub alternatywne instrukcje, w tym koszty (jeśli takie istnieją) związane z przestrzeganiem takich instrukcji. Globalization Partners nie ponosi odpowiedzialności za ustalenie, czy polecenia Klienta są zgodne z obowiązującym prawem. Jeśli jednak Globalization Partners uzna, że instrukcja Klienta narusza obowiązujące Przepisy o ochronie danych, Globalization Partners powiadomi Klienta tak szybko, jak to możliwe i nie będzie zobowiązana do przestrzegania takich instrukcji.
3.3. Szczegóły Przetwarzania. Szczegóły dotyczące przedmiotu Przetwarzania, jego czasu trwania, charakteru i celu oraz rodzaju Danych Klienta i osób, których dane dotyczą, określono w Załączniku I załączonym do niniejszej Umowy.
3.4. Dział ds. zgodności z przepisami Klient i Globalization Partners zgadzają się przestrzegać swoich odpowiednich zobowiązań wynikających z Przepisów o ochronie danych mających zastosowanie do Danych Klienta, które są Przetwarzane zgodnie z Załącznikiem I. Klient ponosi wyłączną odpowiedzialność za przestrzeganie Przepisów o ochronie danych w zakresie zgodności z prawem Przetwarzania Danych Klienta przed ujawnieniem, przekazaniem lub udostępnieniem w inny sposób jakichkolwiek Danych Klienta spółce Globalization Partners. W celu uniknięcia wątpliwości, we wszystkich przypadkach Klient uzyska, w razie potrzeby, wszelkie zgody Osób, których dane dotyczą, na przetwarzanie Danych klienta przez Globalization Partners zgodnie z instrukcjami Klienta.
3.5. Podwykonawcy przetwarzania. Klient upoważnia Globalization Partners do wyznaczania i wykorzystywania Podmiotów przetwarzających („Podwykonawcy przetwarzania”) do Przetwarzania Danych Klienta w związku z Usługami. Podwykonawcy przetwarzania mogą obejmować osoby trzecie lub dowolnego członka grupy spółek Globalization Partners. Globalization Partners może nadal korzystać z usług tych Podwykonawców przetwarzania, którzy zostali już zatrudnieni przez Globalization Partners w dniu podpisania niniejszego Dodatku, a lista takich Podwykonawców przetwarzania jest dostępna w Załączniku III załączonym do niniejszej Umowy. W przypadku gdy Podwykonawca przetwarzania nie wywiąże się ze swoich zobowiązań w zakresie ochrony danych określonych powyżej, Globalization Partners ponosi odpowiedzialność wobec Klienta za realizację zobowiązań Podwykonawcy przetwarzania. Globalization Partners powiadomi Klienta o wszelkich zmianach w swojej liście Podwykonawców przetwarzania. Jeśli w ciągu 10 (dziesięciu) dni od otrzymania takiego powiadomienia Klient zgodnie z prawem sprzeciwi się dodaniu lub usunięciu Podwykonawcy przetwarzania z powodu ochrony danych, a Globalization Partners nie będzie w stanie w uzasadniony sposób przyjąć sprzeciwu Klienta, strony omówią wątpliwości Klienta w dobrej wierze w celu rozwiązania sprawy.
3.6. Techniczne i organizacyjne środki bezpieczeństwa. Uwzględniając standardy branżowe, koszty wdrożenia, natury, zakres, kontekst i cele Przetwarzania, oraz wszelkie inne istotne okoliczności związane z Przetwarzaniem Danych Klienta na Platformie, Globalization Partners wdroży odpowiednie techniczne i organizacyjne środki bezpieczeństwa w celu zapewnienia bezpieczeństwa, poufność, uczciwość, dostępność i odporność systemów przetwarzania i usług związanych z Przetwarzaniem Danych Klienta są współmierne do ryzyka związanego z takimi Danymi Klienta. Globalization Partners będzie okresowo (i) testować i monitorować skuteczność swoich zabezpieczeń, mechanizmów kontroli, systemów i procedur oraz (ii) identyfikować racjonalnie przewidywalne wewnętrzne i zewnętrzne zagrożenia dla bezpieczeństwa, poufności i integralności Danych klienta oraz zapewniać, że te zagrożenia zostaną rozwiązane.
3.7. Poufność. Globalization Partners zapewni, że osoby upoważnione do dostępu do Danych klienta (i) zobowiązały się do zachowania poufności lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania poufności oraz (ii) uzyskają dostęp do Danych klienta wyłącznie na udokumentowane polecenie Globalization Partners, chyba że wymagają tego obowiązujące przepisy prawa.
3.8. Naruszenie ochrony danych osobowych. Globalization Partners powiadomi Klienta bez zbędnej zwłoki po powzięciu wiedzy o Naruszeniu ochrony danych w związku z Przetwarzaniem Danych Klienta i dołoży uzasadnionych starań, aby pomóc Klientowi złagodzić, w miarę możliwości, negatywne skutki jakiegokolwiek Naruszenia ochrony danych.
3.9. Transfery międzynarodowe . Globalization Partners jest upoważniona, w ramach normalnej działalności, do przekazywania Danych klientów swoim podmiotom stowarzyszonym i/lub Podwykonawcom przetwarzania na całym świecie. Podczas dokonywania takich transferów Globalization Partners zapewni odpowiednią ochronę Danych klienta przekazywanych na mocy Umowy głównej lub w związku z nią, w następujący sposób:
3.9.1. W przypadku gdy Globalization przekazuje Dane Klienta do krajów spoza EOG (które nie podlegają decyzji stwierdzającej odpowiedni stopień ochrony na mocy Przepisów o ochronie prywatności), Globalization Partners podpisze i będzie przestrzegać swoich zobowiązań wynikających ze Standardowych klauzul umownych UE, które zostały włączone do niniejszego Dodatku przez odniesienie i wypełnione w następujący sposób:
Moduł 2 (od administratora do podmiotu przetwarzającego) będzie mieć zastosowanie w przypadku, gdy Klient jest Administratorem Danych osobowych, a Globalization Partners jest Podmiotem przetwarzającym Dane osobowe;
w klauzuli 7, zastosowanie będzie miała opcjonalna klauzula dokująca;
w klauzuli 9, opcja 2 będzie miała zastosowanie z 10 dniami;
w klauzuli nie będzie mieć zastosowania język 11opcjonalny;
w pkt 12, wszelkie roszczenia wniesione na podstawie Standardowych klauzul umownych UE będą podlegać warunkom określonym w Umowie;
w klauzuli 17, zastosowanie będzie miała Opcja 1, Standardowe klauzule umowne UE będą podlegać prawu irlandzkiemu;
w klauzuli 18(b) spory będą rozstrzygane przed sądami Irlandii;
Załącznik I do Standardowych klauzul umownych UE uznaje się za wypełniony informacjami określonymi w Załączniku I do niniejszego Dodatku;
Załącznik II do Standardowych klauzul umownych UE uznaje się za wypełniony informacjami określonymi w Załączniku II do niniejszego Dodatku; oraz
Załącznik III do Standardowych klauzul umownych UE uznaje się za wypełniony informacjami określonymi w Załączniku III do niniejszego Dodatku.
3.9.2. W odniesieniu do Danych klientów chronionych przez brytyjskie RODO Strony mogą zgodnie z prawem polegać na Standardowych klauzulach umownych UE dotyczących ograniczonych transferów z Wielkiej Brytanii, z zastrzeżeniem Aneksu brytyjskiego, który został włączony do niniejszego Dodatku przez odniesienie i wypełniony zgodnie z definicją w Załączniku IV załączonym do niniejszego Aneksu. Jeśli ta sekcja 3.9.2 nie ma zastosowania, Globalization Partners Exporting Company i Klient będą współpracować w dobrej wierze w celu wdrożenia odpowiednich zabezpieczeń w zakresie przekazywania takich Danych osobowych, zgodnie z wymogami lub zezwoleniami brytyjskiego RODO, bez zbędnej zwłoki.
3.9.3. Żadne z postanowień interpretacji zawartych w niniejszym punkcie nie 3.9 ma na celu sprzeczności z prawami lub obowiązkami którejkolwiek ze Stron wynikającymi ze Standardowych klauzul umownych UE lub Aneksu Wielkiej Brytanii, a w przypadku takiego konfliktu znaczenie nadrzędne mają Standardowe klauzule umowne UE lub Aneks brytyjski, w zależności od przypadku.
3.10. Usuwanie Danych osobowych. Po zakończeniu świadczenia Usług (z dowolnego powodu) i na pisemny wniosek Klienta Globalization Partners zwróci lub usunie Dane Klienta przechowywane na Platformie, chyba że obowiązujące prawo wymaga przechowywania Danych Klienta przez dłuższy okres. W przypadku takiego przechowywania postanowienia niniejszego Dodatku będą nadal obowiązywać w odniesieniu do takich Danych klienta.
3.11. Żądania osób, których dane dotyczą. Globalization Partners niezwłocznie poinformuje Klienta o wszelkich żądaniach Osób, których dane dotyczą, dotyczących Danych klienta. Klient jest odpowiedzialny za odpowiadanie na takie żądania. Globalization Partners w uzasadnionym zakresie pomoże Klientowi odpowiedzieć na takie żądania Osób, których dane dotyczą, w zakresie, w jakim Klient nie będzie w stanie uzyskać dostępu do odpowiednich Danych Klienta podczas korzystania z Platformy.
3.12. Prośby osób trzecich. Jeśli Globalization Partners otrzyma jakiekolwiek wnioski od stron trzecich lub nakaz jakiegokolwiek sądu, trybunału, organu regulacyjnego lub agencji rządowej właściwej jurysdykcji, któremu Globalization Partners podlega w związku z Przetwarzaniem Danych Klienta na mocy Umowy, Globalization Partners niezwłocznie przekieruje wniosek do Klienta. Globalization Partners nie będzie odpowiadać na takie żądania bez uprzedniej zgody Klienta, chyba że będzie to prawnie wymagane. Globalization Partners, o ile nie zabrania tego prawo, poinformuje Klienta z wyprzedzeniem o ujawnieniu Danych Klienta i będzie współpracować z Klientem w uzasadnionym zakresie w celu ograniczenia zakresu takiego ujawnienia do zakresu wymaganego prawem.
3.13. Ocena skutków dla ochrony danych i wcześniejsze konsultacje. W zakresie wymaganym przez Przepisy o ochronie danych Globalization Partners zapewni Klientowi uzasadnioną pomoc w przeprowadzeniu oceny skutków dla ochrony danych w związku z Przetwarzaniem Danych Klienta podejmowanych przez Globalization Partners i/lub wszelkich wymaganych wcześniejszych konsultacji (konsultacjach) z organami nadzorczymi. Globalization Partners zastrzega sobie prawo do naliczenia Klientowi uzasadnionej opłaty za udzielenie takiej pomocy.
3.14. Wykazywanie zgodności. Globalization Partners regularnie przeprowadza zewnętrzne audyty w zakresie bezpieczeństwa, dostępności, integralności przetwarzania, poufności i kontroli prywatności organizacji i na pisemny wniosek przekaże Klientowi kopię najnowszego podsumowania raportu z audytu lub certyfikacji. Jeśli Klient woli przeprowadzić własny audyt oprócz dostarczonych certyfikatów lub raportów stron trzecich, taki audyt będzie przeprowadzany: i) nie więcej niż raz na każdy 12 (dwanaście) miesięcy; ii) w normalnych godzinach pracy i bez zakłócania codziennej działalności Globalization Partners; iii) za trzydziestodniowym (30) pisemnym wypowiedzeniem; iv) na wyłączny koszt Klienta (w tym czas spędzony przez Globalization Partner na pomaganiu Klientowi podczas audytu w oparciu o dzienną stawkę kierownika ds. bezpieczeństwa); v) w oparciu o wzajemnie uzgodnione parametry i zakres, ograniczone do konkretnego zakresu usług, rozważane i specyficzne dla rzeczywistego wymagania systemy użytkowania i/lub przetwarzania; vi) w oparciu o wspólnie uzgodnioną datę z wyprzedzeniem, z zastrzeżeniem uzasadnionego odroczenia przez Klienta na uzasadnione żądanie Globalization Partners; oraz vii) zgodnie ze wszystkimi zobowiązaniami i ograniczeniami dotyczącymi poufności. Niezależnie od powyższego, po rozwiązaniu Umowy głównej nie udziela się żadnego prawa do audytu, z wyjątkiem zobowiązań prawnych, które muszą zostać wykazane przez Klienta. Żaden przedstawiciel zewnętrzny wybrany do przeprowadzenia audytu w imieniu Klienta nie może mieć udziałów własnościowych w agencji usług pracodawcy formalnego, powiązanej organizacji lub konsultanta ani być z nimi powiązany.
3.15. Brak sprzedaży informacji. Globalization Partners nie będzie czerpać ani korzystać z żadnych praw ani korzyści dotyczących Danych osobowych, z wyjątkiem przypadków określonych w niniejszym Dodatku. W celu uniknięcia wątpliwości Globalization Partners nie będzie przechowywać, wykorzystywać, udostępniać ani ujawniać Danych klienta w żadnym innym celu niż w konkretnym celu zapewnienia Platformy Klientowi zgodnie z Umową główną. Globalization Partners nie będzie sprzedawać żadnych Danych osobowych, zgodnie z definicją terminu „sprzedaż” zawartą w CCPA. Globalization Partners oświadcza i gwarantuje, że rozumie zasady, wymogi i definicje zawarte w ustawie CCPA oraz zgadza się powstrzymać od podejmowania jakichkolwiek działań, które mogłyby spowodować, że jakiekolwiek przekazywanie Danych osobowych do lub od Globalization Partners zakwalifikuje się jako „sprzedaż danych osobowych” zgodnie z ustawą CCPA.
|
Strony |
Administrator / Podmiot przekazujący dane: Podmiot klienta wykonujący Master Agrement |
|
Dane kontaktowe stron |
Dane kontaktowe klienta określone w Umowie głównej. Dane kontaktowe Globalization Partners określone w Umowie głównej. |
|
Działania związane z przekazanymi danymi |
Działania związane z Platformą świadczoną jako usługa. |
|
Działania związane z przetwarzaniem |
Globalization Partners będzie przetwarzać Dane Klienta w ramach dostarczania Platformy jako usługi dla Klienta. |
|
Czas trwania przetwarzania |
Globalization Partners będzie przetwarzać Dane klientów przez cały okres obowiązywania Umowy głównej i na bieżąco. |
|
Charakter i cel przetwarzania |
Klient może przekazywać Dane Klienta do Globalization Partners, których zakres jest określany i kontrolowany przez Klienta według jego wyłącznego uznania. Globalization Partners będzie przetwarzać Dane klienta w zakresie niezbędnym do świadczenia Platformy jako usługi na rzecz Klienta zgodnie z Umową główną. |
|
Kategorie Osób, których dane dotyczą |
Dane Klienta dotyczą Upoważnionych Użytkowników Platformy, którzy mogą obejmować pracowników lub wykonawców Klienta, oprócz osób, których Dane osobowe są dostarczane przez Upoważnionych Użytkowników Platformy. |
|
Rodzaje danych osobowych |
Przekazywane Dane Klienta mogą obejmować następujące kategorie danych: Dane kontaktowe (takie jak adres pocztowy, numer telefonu i adres e-mail). Dane pracowników/wykonawców (takie jak stanowisko i nazwa firmy). Dane klienta (takie jak fakturowanie i dane związane z kredytami). Dane dotyczące użytkowania (takie jak dane dotyczące urządzenia Upoważnionego użytkownika i sposobu interakcji takiego urządzenia z Platformą). Dane dotyczące lokalizacji (takie jak lokalizacja pochodząca z adresu IP). Dane dotyczące treści (takie jak treść plików Klienta dotyczących Profesjonalistów i komunikacji). Dane uwierzytelniające (takie jak hasła, podpowiedzi dotyczące haseł i podobne informacje zabezpieczające wykorzystywane do uwierzytelniania i dostępu do konta na Platformie). Wszelkie Dane osobowe dostarczone przez Upoważnionych użytkowników. |
|
Specjalne kategorie danych (jeśli dotyczy) |
ND. |
|
Zatrzymywanie pracowników |
Dane klientów będą przechowywane co najmniej tak długo, jak długo będzie to wymagane przez prawo minimalne okresy przechowywania, zgodne z obowiązującymi ustawami o ograniczeniach i zgodne z dobrymi praktykami biznesowymi. |
|
Właściwy organ nadzorczy |
Irlandzka Komisja Ochrony Danych |
|
Przekazywanie danych podwykonawcom przetwarzania |
W przypadku przekazywania danych podmiotom przetwarzającym dane przedmiot, charakter i czas trwania przetwarzania danych są takie same jak powyżej zdefiniowane. |
|
Dane kontaktowe Globalization Partners dotyczące prywatności |
privacy@globalization-partners.com
|
Globalization Partners otrzymała certyfikat i poświadczenie potwierdzające zgodność ze 2 standardami SOC od niezależnych audytorów. Raporty Service Organization Controls (SOC) pokazują nasze zaangażowanie w ochronę danych klientów. Program bezpieczeństwa Globalization Partners ma na celu:
Ochrona poufności, integralności i dostępności Danych klienta znajdujących się w posiadaniu Globalization Partners lub do których Globalization Partners ma dostęp;
Ochrona przed wszelkimi przewidywanymi zagrożeniami dla poufności, integralności i dostępności Danych klienta;
Ochrona przed nieuprawnionym lub bezprawnym dostępem, wykorzystaniem, ujawnieniem, zmianą lub zniszczeniem Danych Klienta;
Ochrona przed przypadkową utratą, zniszczeniem lub uszkodzeniem Danych klienta; oraz
Zabezpiecz informacje zgodnie z wszelkimi przepisami, które mogą podlegać regulacjom Globalization Partners.
Poniżej opisano funkcje, procesy, mechanizmy kontroli, systemy, procedury i środki, które Globalization Partners podjęła w celu zapewnienia bezpieczeństwa Przetwarzania Danych Klienta:
a) Prywatność w fazie projektowania i domyślnejGlobalization Partners uwzględnia wymogi art. 25 RODO w fazie projektowania i rozwoju produktu. Procesy i funkcje są tak skonfigurowane, aby zasady ochrony danych, takie jak legalność, przejrzystość, ograniczenie celu, minimalizacja danych itp., jak również bezpieczeństwo przetwarzania danych były brane pod uwagę na wczesnym etapie.
b) Szyfrowanie danych osobowych:Zapewnienie, że dane osobowe są przechowywane w systemie tylko w sposób, który nie pozwala stronom trzecim na identyfikację osoby, której dane dotyczą.
Szyfrowanie bazy danych i pamięci masowej:
We wszystkich bazach danych używanych przez Globalization Partners stosuje się szyfrowanie „w spoczynku” zgodnie z aktualnym stanem wiedzy, aby dane z bazy danych mogły być odczytywane tylko po odpowiednim uwierzytelnieniu w odpowiednim systemie baz danych.
Szyfrowanie mobilnych nośników danych:
Wykorzystywanie mobilnych nośników danych do przechowywania danych klientów jest niedozwolone.
Szyfrowanie nośników danych na laptopach:
Na wszystkich laptopach pracowników zainstalowano odpowiednie, najnowocześniejsze szyfrowanie dysku twardego.
Szyfrowana wymiana informacji i plików:
Zasadniczo wymiana informacji i plików jest bezpośrednio szyfrowana za pomocą specjalnej aplikacji. Jeśli dane osobowe lub informacje poufne muszą zostać przesłane na serwery, których nie można przesłać za pomocą protokołu HTTPS szyfrowanego TLS, zostaną one przesłane za pomocą protokołu Secure File Transfer Protocol (SFTP), zaszyfrowanej usługi koperty lub innego zaszyfrowanego mechanizmu zgodnie z aktualnym stanem wiedzy.
Szyfrowanie poczty e-mail:
Zasadniczo wszystkie wiadomości e-mail wysyłane przez pracowników Globalization Partners są szyfrowane za pomocą TLS. Wyjątkiem może być sytuacja, w której serwer poczty odbierającej nie obsługuje TLS. Klient zapewni, że odpowiednie serwery pocztowe wykorzystywane w ramach zamówienia będą obsługiwać szyfrowanie TLS
c) Kontrole przyjęć są przeznaczone i wprowadzone w celu zapobiegania wykorzystywaniu i przetwarzaniu danych chronionych przez przepisy o ochronie danych przez osoby nieupoważnione.
Korzystanie z metod uwierzytelniania
Dostęp do danych osobowych odbywa się zawsze za pomocą zaszyfrowanych protokołów: SSH, SSL/TLS, HTTPS lub porównywalnych. Procedura uwierzytelniania dla systemu informatycznego: logowanie wieloskładnikowe do systemu informatycznego.
Automatyczne blokowanie w przypadku braku aktywności
Laptopy używane przez pracowników firmy Globalization Partners są zabezpieczone hasłem lub kodem PIN, gdy nie są używane przez użytkownika. Ponadto po 15 minutach bezczynności ustawiana jest automatyczna blokada ekranu z ochroną hasłem.
Korzystanie z oprogramowania antywirusowego
Laptopy używane przez pracowników Globalization Partners są wyposażone w najnowocześniejsze oprogramowanie antywirusowe, które jest na bieżąco aktualizowane we wszystkich operacyjnych lub biznesowych systemach informatycznych. Zasadniczo żadne komputery nie mogą być obsługiwane bez ochrony przed wirusami rezydenta, chyba że podjęto inne równoważne najnowocześniejsze środki bezpieczeństwa lub nie ma ryzyka. Nie wolno dezaktywować ani obchodzić domyślnych ustawień zabezpieczeń.
„Polityka czystego biurka”
Pracownicy Globalization Partners są instruowani, aby nie drukować ani nie przechowywać lokalnie danych osobowych osób, których dane dotyczą, nie pozostawiać materiałów roboczych w miejscu, w którym mogą być przeglądane przez osoby trzecie, oraz aby odpowiednio przechowywać wszystkie materiały robocze. Dokumenty, które firma Globalization Partners jest prawnie zobowiązana przechowywać w formie papierowej, są przechowywane w zamkniętych szafkach.
d) Kontrola dostępu w ramach kontroli dostępu do platformy zapewnia, że osoby upoważnione do korzystania z systemu przetwarzania mają dostęp tylko do danych osobowych objętych ich autoryzacją dostępu.
Role i autoryzacja
Role i platforma autoryzacji – użytkownicy z dostępem klienta mogą przeglądać i edytować informacje o koncie klienta.
Platforma ról i autoryzacji – użytkownicy Professional Access Professional mogą przeglądać i edytować własne informacje zawodowe
.Profesjonaliści mogą również uzyskać rolę dostępu klienta po spełnieniu wymagań + zatwierdzeniu
Platforma ról i autoryzacji – użytkownicy
dostępu wewnętrznego mają różne role. Mają zróżnicowany dostęp do tworzenia, wyświetlania, edytowania i zatwierdzania następujących elementów:
Informacje o kliencie
Informacje rozliczeniowe
Informacje o partnerze
Profesjonalny personel rejestruje informacje
Dostęp do systemu administracyjnego jest generalnie ograniczony do przeszkolonych pracowników w zakresie obsługi klienta i rozwoju produktów.
e) Zapora sieciowa jako Globalization Partners wykorzystuje zewnętrzną zaporę sieciową jako usługę, która umożliwia jej udzielanie lub blokowanie dostępu do stron internetowych w celu upewnienia się, że systemy nie mają dostępu do złośliwych treści i ograniczenia dostępu do nieodpowiednich treści.
f) Zapis logowania do PlatformyGlobalizacjaGlobalization Partners prowadzi rejestr wszystkich działań związanych z logowaniem.
g) Odrębność Zapewnianie, że dane osobowe gromadzone w różnych celach mogą być przetwarzane oddzielnie i są oddzielone od innych danych i systemów w taki sposób, że nieplanowe wykorzystanie tych danych do innych celów jest wykluczone.
Rozdzielenie środowisk programistycznych, testowych i operacyjnych
Dane ze środowiska operacyjnego mogą być przekazywane do środowisk testowych lub programistycznych tylko wtedy, gdy zostały całkowicie zanonimizowane przed przekazaniem. Przesyłanie zanonimizowanych danych musi być szyfrowane lub realizowane za pośrednictwem godnej zaufania sieci.
Separacja w sieciach
Globalization Partners Dzieli swoje sieci zgodnie z zadaniami. Następujące sieci są używane na stałe: środowisko operacyjne („Produkcja”), środowisko testowe („Samochłonność”, „Sandbox”), środowisko programistyczne („Dev”) – personel IT biura. Oprócz tych sieci tworzone są również inne, odrębne sieci, np. do testów przywracania i penetracji. W zależności od możliwości technicznych sieci są rozdzielane fizycznie lub za pomocą sieci wirtualnych.
h) Kontrola dostępnościGlobalizacjaGlobalization Partners podejmuje następujące kroki w celu zapewnienia ochrony danych osobowych przed przypadkowym zniszczeniem lub utratą.
Procedury/kopie zapasowe dotyczące ochrony danych
Aby zapewnić odpowiednią dostępność, Globalization Partners wdraża codzienne migawki swojej bazy danych z replikacją do innego regionu. Podejmowane są również środki w celu zapewnienia, że pracownicy, którzy mają potrzebę weryfikacji danych na podstawie stanowiska, mają dostęp wyłącznie do replik zestawów danych.
Georedundancja w odniesieniu do infrastruktury serwerów danych produktywnych i kopii zapasowych
Zarządzanie incydentami IT („Zarządzanie reagowaniem na incydenty”)
Istnieje koncepcja i udokumentowane procedury postępowania z incydentami i zdarzeniami związanymi z bezpieczeństwem. Obejmuje to planowanie i przygotowanie reakcji na incydenty, procedury monitorowania, wykrywania i analizowania bezpieczeństwa – istotnych zdarzeń oraz definicję odpowiednich obowiązków i kanałów zgłaszania w przypadku naruszenia ochrony danych osobowych w ramach wymogów prawnych.
Globalization Partners wdrożyła następujące środki organizacyjne, aby zapewnić, że organizacja działa w sposób spełniający wymogi dotyczące prywatności i ochrony danych.
a) Instrukcje organizacyjneGlobalizacjaGlobalization Partners opracowała i opracowuje program zarządzania danymi, w tym polityki, procedury i wytyczne, których muszą przestrzegać pracownicy. Dokumentacja zawiera informacje o tym, jak identyfikować problemy związane z prywatnością danych i zarządzać nimi, najlepsze praktyki zapewniające zgodność z przepisami dotyczącymi prywatności oraz zasady rozwiązywania incydentów związanych z prywatnością.
b) Zobowiązanie do zachowania poufności i ochrony danychGlobalizacjaGlobalization Partners opracowała i opracowuje program zarządzania danymi, w tym polityki, procedury i wytyczne, których pracownicy muszą przestrzegać. Wszyscy pracownicy i kontrahenci są zobowiązani na piśmie do zachowania poufności i ochrony danych, a także do przestrzegania innych stosownych przepisów. Wszyscy pracownicy przechodzą szkolenie w zakresie prywatności i bezpieczeństwa. Regularnie przeprowadzane są audyty wewnętrzne dotyczące ochrony danych i bezpieczeństwa informacji. Audyty są przeprowadzane na podstawie wspólnych kryteriów/schematów testów. Pracownicy i kontrahenci Globalization Partners są instruowani, aby przetwarzać dane osobowe wyłącznie w celach zgodnych z prawem, zgodnie z obowiązującymi umowami z klientem i specjalistą, z należytym uwzględnieniem wszelkich wyraźnych zgód udzielonych lub wstrzymanych przez osobę, której dane dotyczą, oraz zgodnie z wszelkimi zgodnymi z prawem obowiązkami organizacji.
c) Szkolenie w zakresie ochrony danych Wszyscy pracownicy przechodzą szkolenie w zakresie prywatności i bezpieczeństwa, które pozostaje dostępne do wglądu w dowolnym momencie na platformie szkoleniowej Globalization Partners .
d) Środki kontroli dostępu Globalization Partners stosuje następujące fizyczne środki kontroli w celu uniemożliwienia osobom nieupoważnionym dostępu do sprzętu systemów informatycznych wykorzystywanego do przetwarzania.
Elektroniczna ochrona drzwi
Drzwi wejściowe do pomieszczeń biur Globalization Partners są zawsze zamknięte i zabezpieczone elektronicznie. Drzwi otwiera się za pomocą osobistego transpondera elektronicznego.
Kontrolowana dystrybucja kluczy
Centralna, udokumentowana alokacja kluczy do pracowników Globalization Partners ma miejsce. Te elektroniczne transpondery/klucze mogą być dezaktywowane centralnie przez każdego kierownika biura lub dział zasobów ludzkich.
Nadzór i towarzyszenie osobom z zewnątrz
Zewnętrzni dostawcy usług i inne osoby trzecie mogą uzyskać dostęp do obiektu wyłącznie za uprzednią zgodą lub w towarzystwie pracownika Globalization Partners. Globalization Partners stosuje swoją pisemną Politykę dla gości, gdy osoby odwiedzające są zapraszane do obiektu.
Zabezpieczanie pomieszczeń o zwiększonej potrzebie ochrony
Obiekty lub szafki o podwyższonych wymaganiach dotyczących ochrony, takie jak biura prawne i niektóre lokalizacje operacyjne, są wyposażone w szafki i szuflady blokujące. Szafki i szuflady, w których przechowywane są dokumenty prawne, umowy i poufna dokumentacja, należy zawsze zamykać na klucz, z wyjątkiem sytuacji, gdy są używane.
Zamknięte drzwi i okna
Pracownicy są poinstruowani organizacyjnie, aby zamykać lub zamykać okna i drzwi poza godzinami pracy.
e) Możliwość odzyskaniaGlobalization Partners zapewnia, że używane systemy mogą zostać przywrócone w przypadku awarii fizycznej lub technicznej.
Regularne testy odzyskiwania danych („Przywracanie-Testy”)
Regularne pełne testy przywracania są przeprowadzane w celu zapewnienia możliwości odzyskania w przypadku awarii.
Plan awaryjny („Koncepcja powrotu do normalnej działalności”)
Istnieje koncepcja postępowania w sytuacjach awaryjnych i odpowiedniego planu awaryjnego. Globalization Partners zapewnia odzyskiwanie wszystkich systemów na podstawie kopii zapasowych danych, zwykle w ciągu 48 godzin.
Przegląd i ocena środków
Przedstawienie procedur regularnego przeglądu, oceny i oceny skuteczności środków technicznych i organizacyjnych.
f) Zespół ds. ochrony prywatności Organizacja posiada Globalne Biuro ds. Ochrony Danych, którego zadaniem jest planowanie, wdrażanie, ocena i dostosowywanie środków w zakresie ochrony danych.
g) Zarządzanie ryzykiem Istnieje proces analizy, oceny i alokacji ryzyka oraz określania środków na podstawie tych rodzajów ryzyka.
a) Regularne przeprowadzanie audytów wewnętrznych w zakresie ochrony danych i bezpieczeństwa informacji. Audyty są przeprowadzane na podstawie wspólnych kryteriów/schematów testów.
b) Regularnie sprawdzana jest zgodność z politykami i standardami bezpieczeństwa Zgodność z obowiązującymi wytycznymi bezpieczeństwa, standardami i innymi wymogami bezpieczeństwa dotyczącymi przetwarzania danych osobowych. Tam, gdzie to możliwe, kontrole te są przeprowadzane losowo i niespodziewanie.
c) Weryfikacja zgodności ze specyfikacjami technicznymi Regularne automatyczne i ręczne skanowanie luk w zabezpieczeniach jest wykonywane przez dział IT lub inny wykwalifikowany personel w celu weryfikacji bezpieczeństwa aplikacji i infrastruktury, a także regularnego rozwoju produktu. Szczegółowe testy penetracyjne są przeprowadzane przez zewnętrznego dostawcę usług w celu szczegółowej analizy aplikacji i infrastruktury pod kątem luk w zabezpieczeniach.
d) Przetwarzanie na polecenie Pracownicy Globalization Partners są instruowani, aby przetwarzać dane osobowe wyłącznie z powodów zgodnych z prawem, zgodnie z obowiązującymi umowami z klientem i specjalistą, z należytym uwzględnieniem wszelkich wyraźnych zgód udzielonych lub wstrzymanych przez osobę, której dane dotyczą, oraz zgodnie z wszelkimi obowiązkami prawnymi organizacji.
e) Staranny dobór dostawcówGlobalizacjaGlobalization Partners przestrzega swojego Procesu wstępnej kwalifikacji dostawców przy wyborze dostawców, którzy mogą napotkać chronione dane. Proces ten obejmuje informacje zwrotne z działów finansów i prawnego/prywatności oraz obejmuje ocenę ryzyka, wstępną kwalifikację bezpieczeństwa i etapy certyfikacji dokumentacji. Dostawcy, którzy będą przetwarzać chronione dane, będą zobowiązani do wykazania przestrzegania przez nich obowiązujących przepisów o ochronie danych, w tym art. 28 RODO w odniesieniu do danych objętych ochroną.
|
Podwykonawca przetwarzania |
Dane kontaktowe |
Opis przetwarzania |
Lokalizacja |
|---|---|---|---|
|
|
|
Zapewnienie zarządzania Platformą i relacjami z klientami |
USA |
|
|
3933 Lake Washington Blvd NE #350, Kirkland, WA 98033, Stany Zjednoczone |
Usługi finansowe |
USA |
|
|
P.O. Box 81226 Seattle, WA98108-1226, Stany Zjednoczone |
Hosting – dostawca usług w chmurze |
USA |
|
|
One Microsoft Way Redmond, Washington 98052 USA |
Komunikacja dotycząca wsparcia procesów biznesowych (e-mail); zarządzanie usługami |
USA |
|
|
350 Bush Street Floor 13 San Francisco, CA94104, Stany Zjednoczone |
Wsparcie procesów biznesowych w zakresie zarządzania usługami |
USA |
|
|
|
Zarządzanie umowami |
Wielka Brytania |
|
|
DocuSign International (EMEA) Ltd, Attention: Zespół ds. prywatności, 5 Hanover Quay, Ground Floor, Dublin2, Republika Irlandii |
Zarządzanie dokumentami |
Irlandia |
|
|
265 Cambridge Ave, Suite 60717 Palo Alto, CA94306, Stany Zjednoczone |
Usługi telekomunikacyjne |
USA |
|
|
2 Kingdom Street Paddington Londyn W2 6BD Wielka Brytania |
Zarządzanie umowami |
Wielka Brytania |
|
|
Salesforce Tower, 415 Mission Street, 3. piętro, San Francisco, CA 94105, USA1-800-387-3285 |
Wsparcie procesów biznesowych w zakresie zarządzania relacjami z klientami (CRM) |
USA |
|
|
989 Market St San Francisco, CA 94103, USA |
|
|
Tabela 1: Strony
|
Data rozpoczęcia pracy |
Data wejścia w życie niniejszego Dodatku |
|
|
Strony |
Eksporter (kto wysyła Transfer ograniczony) |
Importer (który otrzymuje Transfer zastrzeżony) |
|
Dane stron |
Dane jednostki Klienta określone w Umowie głównej. |
Dane podmiotu Globalization Partners określone w Umowie głównej. |
|
Kluczowe kontakty |
Dane kontaktowe klienta określone w Umowie głównej. |
Dane kontaktowe Globalization Partners określone w Umowie głównej oraz Dane kontaktowe Globalization Partners w zakresie prywatności określone w Załączniku I powyżej. |
Tabela 2: Wybrane SKU, Moduły i Wybrane klauzule
|
Uzupełnienie Standardowych klauzul umownych UE |
Wersja Zatwierdzonych Standardowych klauzul umownych UE zawarta w sekcji 3.9 Aneksu, w tym informacje zawarte w Załączniku dołączonym do niniejszego Aneksu. |
Tabela 3: Informacje Załącznika„Informacje Załącznika” oznaczają informacje, które należy podać dla wybranych modułów określonych w Załączniku do Zatwierdzonych SKU UE (innych niż Strony), a które dla niniejszego Dodatku określono w:
Załącznik 1A: Lista stron: Załącznik I
Załącznik 1B : Opis przekazania: Załącznik I
Załącznik II: Środki techniczne i organizacyjne, w tym środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych: Załącznik II
Załącznik III: Wykaz podwykonawców przetwarzania: Załącznik III
Tabela 4: Kończenie niniejszego Dodatku po zmianie zatwierdzonego Dodatku
|
Kończenie niniejszego Aneksu po zmianie Zatwierdzonego Aneksu |
Które Strony mogą zakończyć niniejszy Aneks zgodnie z postanowieniami punktu 19: |
|
Klauzule obowiązkowe |
Część 2: Klauzule obowiązkowe Zatwierdzonego Dodatku, stanowiące wzór Dodatku B.1.0 wydanego przez ICO i ustanowionego przed Parlamentem zgodnie z s119A Ustawą o ochronie danych 2018 z dnia 2 luty 2022, wraz z aktualizacją w punkcie 18 tych Klauzul Obowiązkowych. |
