Logo G-P​​ 
Zapytanie ofertowe​​ 

Język prywatności MSA​​ 

Ostatnia aktualizacja: czerwiec 26, 2026​​ 

UZUPEŁNIENIE DOTYCZĄCE OCHRONY DANYCH​​ 

Klient i G-P są stronami Umowy Głównej lub umowy o podobnym charakterze i celu (dalej "Umowa Główna Umowy"). Niniejsza Umowa ramowa uzupełnia postanowienia Umowy ramowej i zostaje do niej włączona. W przypadku sprzeczności pomiędzy niniejszą Umową o przetwarzaniu danych a jakąkolwiek inną umową między Stronami w kwestiach określonych w niniejszym dokumencie, pierwszeństwo ma niniejsza Umowa o przetwarzaniu danych. Jeśli Klient ma już podpisany aneks do ochrony danych w G-P, to ta umowa ma pierwszeństwo przed tym DPA i nie ma mocy ani skutku, chyba że Klient i G-P uzgodnią inaczej na piśmie.​​ 
 

1. DEFINICJE​​  

Terminy niezdefiniowane w niniejszym dokumencie mają znaczenie określone w Umowie Głównej. Następujące słowa w niniejszym DPA mają następujące znaczenie:​​ 
1.1 „​​ Autoryzowany użytkownik​​ " oznacza osobę uprawnioną przez klienta, która może obejmować pracownika i/lub wykonawcę klienta na dostęp do GPP i korzystanie z niego w imieniu klienta, na podstawie zawarcia umowy głównej.​​ 
1.2 „​​ Dane klienta​​ " oznacza wszelkie dane osobowe dotyczące jakiegokolwiek Upoważnionego Użytkownika lub identyfikowalnej osoby fizycznej, które są przekazywane, przetwarzane lub przechowywane przez G-P w imieniu Klienta w związku z Usługami do korzystania z GPP przez Klienta.​​ 
1.3 „​​ Ochrona danych​​  Prawa​​ " oznacza wszelkie przepisy dotyczące ochrony danych i prywatności, którym podlega strona niniejszej Umowy i które mają zastosowanie do świadczonych usług, w tym, gdzie to stosowne, ale nie tylko, Ogólne rozporządzenie o ochronie danych (RODO, UK Ogólne rozporządzenie o ochronie danych (RODO, Swiss Data Protection Laws, US Privacy Laws (w tym stanowe i federalne) oraz Brazylia LGPD.​​ 
1.4 „​​ pracodawca formalny​​ " oznacza pracodawca formalny.​​ 
1.5 „​​ Ogólne rozporządzenie o ochronie danych (RODO​​ " oznacza Ogólne rozporządzenie o ochronie danych (RODO (EU) 2016/679.​​ 
1.6 „​​ GPP​​ " oznacza własnościowe oprogramowanie G-P, w tym między innymi oprogramowanie, wersję mobilną, wszelkie oprogramowanie w nim zawarte oraz wszelkie dane udostępnione za pomocą oprogramowania G-P lub usług firm trzecich, w tym ich aktualizacje, aktualizacje, platformę jako usługę oraz dokumentację.​​ 
1.7 „​​ EEA​​ „oznacza Europejski Obszar Gospodarczy.​​ 
1.8 „​​ LGPD​​ " oznacza brazylijską ustawę nr 13.709, ogólną ustawę o ochronie danych osobowych, która może zostać zmieniona, zastąpiona lub zastąpiona.​​ 
1.9 „​​ Polityka prywatności​​ " oznacza politykę prywatności G-P, aktualizowaną od czasu do czasu, dostępną pod​​   
1.10 „​​ Dane profesjonalistów​​ " oznacza dane osobowe profesjonalistów przetwarzane przez G-P w ramach świadczenia usług pracodawca formalny dla klienta.​​ 
1.11 "​​ „Ograniczony transfer”​​  oznacza jakiekolwiek przekazanie Danych Osobowych do kraju spoza EOG, Zjednoczonego Królestwa, Szwajcarii lub Brazylii, które nie podlega decyzji stwierdzającej odpowiedni poziom ochrony na mocy obowiązujących przepisów o ochronie danych, a zatem wymaga odpowiednich zabezpieczeń na mocy obowiązujących przepisów o ochronie danych.​​ 
1.12 „​​ Usługi”​​  mieć na myśli​​  siły zbrojne​​  do świadczenia przez G-P Klientowi na mocy Umowy Głównej, która może obejmować świadczenie usług formalnych pracodawcy oraz dostęp i korzystanie z GPP.​​ 
1.13 "​​ Standardowe klauzule umowne​​  lub​​  „SCC”​​  oznaczają (i) gdzie Ogólne rozporządzenie o ochronie danych (RODO ma zastosowanie), standardowe klauzule umowne załączone do Decyzji Wykonawczej Komisji Europejskiej (UE) 2021/914 z 4 czerwca 2021 standardowe klauzule umowne dotyczące transferu danych osobowych do krajów trzecich na mocy rozporządzenia (UE) 2016/679 Parlamentu Europejskiego i Rady, dostępne na​​   ("SCCs UE"); (ii) gdy brytyjskie Ogólne rozporządzenie o ochronie danych (RODO ma zastosowanie obowiązujące standardowe klauzule ochrony danych przyjęte na podstawie artykułu 46(2)(c), lub (d) gdy brytyjskie Ogólne rozporządzenie o ochronie danych (RODO oznacza Międzynarodowy Aneks do Transferu Danych ("Załącznik Brytyjski") do Standardowych Klauzul Umownych UE wydany przez Biuro Komisarza ds. Informacji na podstawie art.119A(1) Ustawy o Ochronie Danych 2018roku , w taki Brytyjski Aneks może być zmieniony zgodnie z sekcją 18 ("UK SCCs"); (iii) w przypadku stosowania szwajcarskich przepisów o ochronie danych osobowych, obowiązujących standardowych klauzul ochrony danych wydanych, zatwierdzonych lub uznanych przez Szwajcarski Federalny Urząd Ochrony Danych oraz Biuro Komisarza ds. Informacji (tzw. "Szwajcarskie SCCs"); gdzie stosuje się brazylijskie LGPD, odpowiednie klauzule umowne standardu, dołączone do Rezolucji CD/ANPD nr 19/2024 ogłoszone przez Brazylijską Krajową Ochronę Danych ("ANPD"), ponieważ mogą być od czasu do czasu zmieniane ("Brazylijskie SCCs").​​ 
1.14 „​​ Szwajcarskie przepisy o ochronie danych​​ " Lub​​  „FADP”​​  oznacza (i) szwajcarską federalną ustawę o ochronie danych („​​ FDPA​​ ”); (ii) Rozporządzenie w sprawie federalnej ustawy o ochronie danych („​​ FODP​​ „); oraz (iii) wszelkie krajowe przepisy o ochronie danych wydane na podstawie, zgodnie z, zastępujące lub następujące po nich oraz wszelkie przepisy zastępujące lub aktualizujące którekolwiek z powyższych.​​ 
1.15 „​​ Dodatek dla Wielkiej Brytanii​​ " oznacza aneks do transferu danych Międzynarodowy w Wielkiej Brytanii do standardowych klauzul umownych UE wydany przez Brytyjskiego Komisarza ds. Informacji.​​ 
1.16 „​​ „Przepisy o ochronie danych w Wielkiej Brytanii”​​  oznacza Ogólne rozporządzenie o ochronie danych (RODO zapisane w prawie Zjednoczonego Królestwa na mocy artykułu 3 ustawy o wyjściu z Unii Europejskiej Zjednoczonego Królestwa 2019 ("UK Ogólne rozporządzenie o ochronie danych (RODO") oraz Ustawy o ochronie danych 2018 (razem "UK Constitutional Data Protection Laws").​​ 
1.17 „​​ Amerykańskie przepisy dotyczące prywatności​​ „oznacza obowiązujące prawa stanowe Stanów Zjednoczonych (USA), zarządzenia, regulacje i wytyczne regulacyjne dotyczące przetwarzania danych osobowych, w tym, bez ograniczeń: (a) CCPA; (b) ustawę stanu Wirginia o ochronie danych konsumentów; (c) ustawę stanu Kolorado o ochronie prywatności; (d) ustawę stanu Connecticut dotyczącą prywatności danych i monitorowania online; (e) ustawę stanu Utah o ochronie prywatności konsumentów; oraz (f) wszystkie podobne prawa stanowe.​​ 
1.18 "​​ Kontroler „Podmiot danych”, „Dane osobowe”, „Informacje osobowe” „Naruszenie danych”, „Podmiot przetwarzający”, „Przetwarzanie/Przetwarzanie”, „Ograniczone przekazywanie”, „Dostawca usług”​​  i/lub wszelkie inne podobne terminy i pojęcia mają znaczenie określone w przepisach o ochronie danych osobowych.​​ 
 
 

2. RELACJE MIĘDZY NIEZALEŻNYM ADMINISTRATOREM A ADMINISTRATOREM​​  

2.1​​  Role Stron.​​  Gdy G-P świadczy klientowi usługi formalne, G-P przejmuje rolę prawnego pracodawcy dla osób wybranych przez klienta ("Profesjonalistów") do zatrudnienia. Jeśli chodzi o dane osobowe takich profesjonalistów, G-P jest niezależnym kontrolerem w trakcie obowiązywania stosunku pracy. W odniesieniu do Danych osobowych Specjalisty gromadzonych i wykorzystywanych przez Klienta do własnych celów, Klient jest również niezależnym Administratorem z niezależnymi obowiązkami w zakresie ochrony prywatności. Podczas świadczenia usług pracodawca formalny, wymiana danych osobowych Profesjonalistów między G-P a Klientem odbywa się na niezależnej relacji Kontroler-Kontroler i stosuje się postanowienia niniejszego artykułu 2 ("Niezależna relacja Kontroler-Kontroler"), Strony nie będą w żadnym wypadku przetwarzać danych osobowych w ramach niniejszej umowy DPA jako współadministratorzy.​​ 
2.2​​  Obowiązki i podziękowania​​ Strony, działając w charakterze Kontrolerów, zobowiązane są do:​​ 
2.2.1 Przestrzegaj obowiązujących przepisów o ochronie danych w zakresie przetwarzania danych osobowych osób pracujących w zawodzie.​​ 
2.2.2 Przetwarzanie i udostępnianie danych osobowych Profesjonalistów uczciwie i zgodnie z prawem w celu (w zależności od przypadku) świadczenia lub otrzymywania usług pracodawca formalny w ich własnych uzasadnionych interesach.​​ 
2.2.3 Upewnij się, że w przypadku udostępniania Danych Osobowych Specjalisty pomiędzy Stronami, istnieje zgodna z prawem podstawa przetwarzania.​​ 
2.2.4 Wzajemna pomoc w wypełnianiu obowiązków wynikających z przepisów o ochronie danych, w tym m.in. udzielanie sobie wzajemnej pomocy w przypadku naruszenia ochrony danych oraz reagowanie na żądania osób, których dane dotyczą, i/lub organów regulacyjnych.​​  
 

3. RELACJE MIĘDZY ADMINISTRATOREM A PRZETWARZAJĄCYM​​ 

3.1​​  Role Stron​​ . G-P oferuje również różne produkty oprogramowania jako usługę za pośrednictwem GPP, dzięki czemu G-P umożliwia klientom zarządzanie relacjami z tymi profesjonalistami. Gdy G-P zapewnia Klientowi dostęp do GPP, G-P jest Procesorem danych osobowych związanych z kontem przesłanych do GPP przez wyznaczonych przez Upoważnionych Użytkowników GPP przez Klienta, a Klient jest Administratorem tych danych, a przepisy niniejszej sekcji 3 ("Relacja Kontroler-Procesor") mają zastosowanie.​​ 
3.2​​  Instrukcje.​​  G-P przetwarza dane klientów zgodnie z udokumentowanymi instrukcjami klienta.  Klient zgadza się, że ta DPA, Umowa Główna oraz załącznik I załączony poniżej stanowią pełne instrukcje Klienta dla G-P dotyczące przetwarzania danych klientów.  Wszelkie dodatkowe lub alternatywne instrukcje muszą zostać uzgodnione przez Strony w formie pisemnej, łącznie z kosztami (jeśli takie istnieją) związanymi z realizacją takich instrukcji.  Klient ma obowiązek zadbać o to, aby jego instrukcje były zgodne z obowiązującymi przepisami o ochronie danych. Klient przyznaje, że G-P nie ponosi odpowiedzialności za określenie, które przepisy mają zastosowanie do biznesu klienta. Klient zapewni, że przetwarzanie danych klientów przez G-P, zgodnie z instrukcjami klienta, nie spowoduje naruszenia przez G-P obowiązujących przepisów, w tym obowiązujących przepisów dotyczących ochrony danych. Jednak jeśli G-P uważa, że instrukcja klienta narusza obowiązujące przepisy dotyczące ochrony danych osobowych, G-P powiadomi klienta tak szybko, jak to rozsądnie możliwe i nie będzie zobowiązany do przestrzegania takich naruszeń.​​  
3.3​​  Szczegóły przetwarzania​​ . Szczegóły dotyczące przedmiotu Przetwarzania, jego czasu trwania, charakteru i celu oraz rodzaju Danych Klienta i osób, których dane dotyczą, są określone w Załączniku I do niniejszej Umowy.​​   
3.4​​  Zgodność.​​  Klient i G-P zobowiązują się do przestrzegania swoich obowiązków wynikających z przepisów o ochronie danych dotyczących danych klientów przetwarzanych zgodnie z załącznikiem I. Klient ponosi wyłączną odpowiedzialność za przestrzeganie przepisów o ochronie danych dotyczących legalności przetwarzania danych klientów przed ujawnieniem, przeniesieniem lub udostępnieniem jakichkolwiek danych klientów G-P.  Aby uniknąć wątpliwości, we wszystkich przypadkach Klient musi uzyskać, jeśli jest to konieczne, wszelkie zgody podmiotów danych na G-P przetwarzania danych Klienta zgodnie z poleceniami Klienta.​​ 
3.5​​  Podprocesory​​ . Klient upoważnia G-P do mianowania i korzystania z Procesorów ("Podprocesorów") do przetwarzania danych klienta w związku z Usługami.  Podprocesorami mogą być osoby trzecie lub dowolni członkowie grupy firm G-P. G-P może nadal korzystać z tych podprocesorów już zaangażowanych przez G-P na dzień niniejszego DPA, a lista takich podprocesorów jest dostępna w Załączniku III załączonym poniżej. Jeśli podprocesor nie spełni swoich zobowiązań dotyczących ochrony danych określonych powyżej, G-P ponosi odpowiedzialność wobec klienta za wykonanie zobowiązań podprocesora. G-P powiadomi klienta o wszelkich zmianach na liście podprocesorów za pośrednictwem GPP. Jeśli w ciągu 10 (dziesięciu) dni od otrzymania tego powiadomienia Klient uzasadnione sprzeciwi się dodaniu lub usunięciu Podprocesora ze względów ochrony danych, a G-P nie będzie w stanie rozsądnie uwzględnić sprzeciwu Klienta, Strony omówią obawy Klienta w dobrej wierze, aby rozwiązać sprawę.​​ 
3.6​​  Techniczne i organizacyjne środki bezpieczeństwa​​ . Biorąc pod uwagę standardy branżowe, koszty wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz wszelkie inne istotne okoliczności związane z przetwarzaniem danych klientów, G-P wstosuje odpowiednie techniczne i organizacyjne środki bezpieczeństwa w celu zapewnienia bezpieczeństwa, poufności, integralności, dostępności i odporności systemów przetwarzania oraz usług zaangażowanych w przetwarzanie danych klientów na poziomie ryzyka związanego z takie dane o klientach, szczegółowo opisane w załączniku II załączonym tutaj.  G-P będzie okresowo (i) testować i monitorować skuteczność swoich zabezpieczeń, kontroli, systemów i procedur oraz (ii) identyfikować rozsądnie przewidywalne ryzyka wewnętrzne i zewnętrzne dla bezpieczeństwa, poufności i integralności danych klientów oraz dbać o to, by te ryzyka zostały uwzględnione.​​  
3.7​​  Poufność​​ . G-P dopilnuje, aby osoby upoważnione do dostępu do Danych Klienta (i) zobowiązały się do zachowania poufności lub podlegały odpowiedniemu ustawowemu obowiązkowi zachowania poufności oraz (ii) uzyskiwały dostęp do Danych Klienta wyłącznie na podstawie udokumentowanych instrukcji G-P, chyba że wymaga tego obowiązujące prawo.​​ 
3.8​​  Naruszenie ochrony danych osobowych.​​  G-P powiadomi klienta bez zbędnej zwłoki po poinformowaniu o naruszeniu danych związanych z przetwarzaniem danych klientów i podejmie rozsądne działania, aby pomóc klientowi w ograniczeniu, jeśli to możliwe, negatywnych skutkach ewentualnego naruszenia danych​​ .​​ 
3.9​​  Usuwanie danych osobowych.​​   Po zwolnieniu Usług (z dowolnego powodu), G-P, tak szybko jak to możliwe, zwróci lub usunie Dane Klienta przechowywane w GPP, chyba że obowiązujące prawo wymaga przechowywania Danych Klienta przez dłuższy okres. W przypadku takiego zatrzymania postanowienia niniejszego DPA będą nadal miały zastosowanie do takich Danych Klienta.​​ 
3.10​​  Wnioski osób, których dane dotyczą​​ .  G-P niezwłocznie informuje Klienta o wszelkich żądaniach Podmiotów Danych dotyczących Danych Klientów. Klient jest odpowiedzialny za odpowiedź na takie prośby. G-P będzie rozsądnie pomagać Klientowi w odpowiadaniu na takie żądania Podmiotów Danych w zakresie, w jakim Klient nie będzie mógł uzyskać dostępu do odpowiednich danych klientów podczas korzystania z GPP.​​  
3.11​​  Żądania osób trzecich​​ . W przypadku otrzymania przez G-P jakichkolwiek żądań od osób trzecich lub nakazu jakiegokolwiek sądu, trybunału, organu regulacyjnego lub agencji rządowej o właściwej jurysdykcji, którym podlega G-P w związku z Przetwarzaniem Danych Klienta na podstawie Umowy, G-P niezwłocznie przekieruje żądanie do Klienta. G-P nie będzie odpowiadać na takie żądania bez uprzedniej zgody Klienta, chyba że zostanie do tego prawnie zmuszona. O ile nie jest to prawnie zabronione, G-P poinformuje Klienta z wyprzedzeniem o ujawnieniu Danych Klienta i będzie w rozsądnym zakresie współpracować z Klientem w celu ograniczenia zakresu takiego ujawnienia do tego, co jest prawnie wymagane.​​   
3.12​​  Ocena skutków dla ochrony danych i uprzednie konsultacje​​ . W zakresie wymaganym przez przepisy o ochronie danych G-P zapewni Klientowi uzasadnioną pomoc w przeprowadzeniu oceny wpływu na ochronę danych w związku z Przetwarzaniem Danych Klienta podejmowanym przez G-P i/lub wszelkimi wymaganymi wcześniejszymi konsultacjami z organami nadzorczymi. G-P zastrzega sobie prawo do obciążenia Klienta uzasadnioną opłatą za udzielenie takiej pomocy.​​ 
3.13​​  Audyt.​​   Customer may audit G-P compliance with this DPA and Data Protection Laws by requesting a certificate issued for security verification reflecting the outcome of an audit conducted by a third party auditor (e.g., ISO27001 certification, SOC2 certificate), within twelve (12) months as of the date of Customer’s request. Alternatively, in the event the documentation provided subject to this Section 3.13 is not sufficient for the purpose of demonstrating compliance, the Customer may conduct its own audit in addition to the provided third party certifications or reports, provided that such audit shall be conducted: i) no more than once per each 12 (twelve) months period; ii) during normal business hours and without disrupting G-P’s day-to-day business; iii) with thirty (30) days prior written notice; iv) at the Customer’s sole expense; v) based upon mutually agreed parameters and scope, limited to the specific scope of services, systems in use and/or Processing activities contemplated hereunder; vi) based upon mutually agreed in advance date, subject to reasonable postponement by Customer upon G-P’s reasonable request; and vii) in accordance with all confidentiality obligations and restrictions. Notwithstanding the forgoing, no audit right is granted after termination of the Master Agreement, except for legal obligations that will have to be demonstrated by the Customer. Any third-party representative selected to perform an audit on behalf of Customer must not have an ownership interest in or affiliation with an EOR services company, agency, a related organization or consultant. Nothing in this DPA will require G-P to either disclose to Customer or its third-party auditor, or to allow Customer or its third-party auditor to access: (i) any data of any other G-P’s customer; (ii) G-P’ internal accounting or financial information; (iii) any trade secret of G-P or its affiliates; (iv) any information that, in G-P’ reasonable opinion, could compromise the security of any G-P’s systems or cause any breach of its obligations under applicable law or its security or privacy obligations to any third party; or (v) any information that Customer or its third-party auditor seeks to access for any reason other than the good faith fulfillment of Customer’s obligations under the Data Protection Laws.​​ 
3.14​​  Amerykańskie przepisy dotyczące prywatności.​​  Na mocy niniejszej sekcji 3strony zgadzają się, że G-P jest "dostawcą usług" lub "procesorem", zgodnie z definicją tych warunków w obowiązujących amerykańskich przepisach dotyczących prywatności. W związku z tym, w zakresie stosowania amerykańskiego prawa dotyczącego prywatności do przetwarzania danych klientów przez G-P, G-P nie będzie (a) zatrzymywać, używać ani ujawniać żadnych danych klientów poza bezpośrednią relacją biznesową między G-P a Klientem, ani w żadnym innym celu niż wskazane w Załączniku I załączonym do niniejszego dokumentu, a G-P przetwarza dane klientów tylko tak długo, jak świadczy usługi klientowi; (b) sprzedawać jakiekolwiek dane klientów; (c) udostępnianie wszelkich danych klientów; lub (d) połączyć dane klienta, które G-P otrzymuje od klienta lub w jego imieniu, z "danymi osobowymi" (zgodnie z definicją tego terminu lub odpowiednika w obowiązujących przepisach o ochronie danych), które otrzymuje od lub w imieniu innej osoby lub zbiera w wyniku własnej interakcji z konsumentem, pod warunkiem, że G-P może łączyć dane klienta, jeśli mieści się w zakresie świadczenia usług Klientowi. W stosownych przypadkach każda ze Stron powiadomi drugą Stronę, jeżeli uzna, że nie jest już w stanie wypełniać swoich zobowiązań wynikających z amerykańskich przepisów o ochronie prywatności.​​ 
 

4. MIĘDZYNARODOWE PRZEKAZYWANIE DANYCH​​ 

4.1​​  Odpowiednia ochrona​​ . G-P jest upoważniony, w normalnym toku działalności, do dokonywania globalnych transferów danych klientów do swoich partnerów i/lub podprocesorów.  Podczas dokonywania takich transferów na terytorium, które nie zostało uznane przez odpowiednie organy ochrony danych osobowych za zapewniające odpowiedni poziom ochrony danych osobowych zgodnie z przepisami o ochronie danych, G-P zapewni odpowiednią ochronę w celu ochrony danych klientów przesyłanych na podstawie lub w związku z Umową Gospodarką.​​ 
4.2​​  Ramy ochrony prywatności danych.​​  Profesjonaliści​​  oraz Dane Klientów są przechowywane w GPP, który jest hostowany w USA. G-P jest certyfikowany zgodnie z EU-U.S. Data Privacy Framework (EU-U.S. DPF) oraz, w odpowiednim przypadku, brytyjskim rozszerzeniem EU-U.S. DPF oraz szwajcarsko-amerykańskim. Ramy ochrony danych (szwajcarsko-amerykańskie) DPF). Certyfikację G-P można publicznie potwierdzić na stronie internetowej DPF​​   . EU-USA Ramy Prywatności Danych zostały uznane przez Komisję Europejską za odpowiednie, stanowiąc legalny mechanizm transferu danych zgodnie z artykułem 45 Ogólne rozporządzenie o ochronie danych (RODO), brytyjskie Ogólne rozporządzenie o ochronie danych (RODO oraz FADP). Jeśli ramy DPF zostaną unieważnione, zawieszone lub w inny sposób przestaną być uznawane za zapewniające odpowiednią ochronę dla transferów danych Międzynarodowy, Procesor zgadza się na zawarcie i przestrzeganie SCC wydanych lub zatwierdzonych przez Komisję Europejską, Biuro Komisarza ds. Informacji Wielkiej Brytanii (ICO) lub Federalnego Komisarza ds. Ochrony Danych i Informacji Szwajcarskiej (FDPIC), w zależności od przypadku. Strony zobowiązują się do współpracy w dobrej wierze w celu wdrożenia wszelkich dodatkowych środków niezbędnych do zapewnienia zasadniczo równoważnego poziomu ochrony przekazywanych danych.​​ 
4.3​​  Standardowe klauzule umowne.​​  Strony zgadzają się, że gdy transfer danych osobowych od Klienta (jako "eksportera danych") do G-P (jako "importera danych") jest ograniczonym transferem, a obowiązujące przepisy dotyczące ochrony danych wymagają wprowadzenia odpowiednich zabezpieczeń, taki transfer będzie podlegał odpowiednim Standardowym Klauzulom Umownym, które są uznawane za włączone i stanowiące część niniejszego DPA, jak następuje:​​ 
A. W odniesieniu do transferów danych osobowych chronionych przez Ogólne rozporządzenie o ochronie danych (RODO, Sądy Najwyższego Sądu UE mają zastosowanie, wypełnione następująco:​​ 
i. Zastosowanie mają moduły pierwszy i drugi;​​ 
ii. w klauzuli 7 będzie miała zastosowanie opcjonalna klauzula dokowania;​​ 
iii. w Klauzuli 9 Modułu drugiego zastosowanie będzie miała Opcja 2 , a okres wcześniejszego powiadomienia o zmianach Podmiotu przetwarzającego będzie taki, jak określono w sekcji 3.5 niniejszej Umowy o przetwarzaniu danych;​​ 
iv. w punkcie 11 język opcjonalny nie będzie miał zastosowania;​​ 
v. w punkcie 12 wszelkie roszczenia zgłaszane na podstawie Standardowych Klauzul Umownych UE podlegają warunkom określonym w Umowie ramowej;​​ 
vi. w punkcie 17 zastosowanie będzie miała opcja 1 , a Standardy Ubezpieczeń UE będą regulowane prawem irlandzkim;​​ 
vii. w punkcie 18(b) wszelkie spory będą rozstrzygane przez sądy irlandzkie;​​ 
8. Załącznik I do Standardów Ubezpieczeń UE uznaje się za uzupełniony informacjami określonymi w załączniku 1 do niniejszej Umowy o ochronie danych osobowych; oraz​​ 
ix. Załącznik II do Standardów Ubezpieczeń UE uznaje się za uzupełniony informacjami określonymi w załączniku 2 do niniejszej umowy o ochronie danych osobowych;​​ 
x. Załącznik III do Modułu Drugiego Standardów Ubezpieczeń UE uznaje się za uzupełniony informacjami określonymi w Załączniku 3 do niniejszej Umowy o ochronie danych.​​ 
B. W odniesieniu do przekazywania danych osobowych chronionych przez brytyjskie przepisy o ochronie danych lub szwajcarskie przepisy o ochronie danych, standardowe klauzule umowne UE wdrożone zgodnie z lit. a) powyżej będą miały zastosowanie z następującymi modyfikacjami:​​ 
i. odniesienia do „Rozporządzenia (UE) 2016/679 ” należy interpretować jako odniesienia do brytyjskich przepisów o ochronie danych lub szwajcarskich przepisów o ochronie danych (w stosownych przypadkach);​​ 
ii. odniesienia do konkretnych artykułów „Rozporządzenia (UE) 2016/679 ” należy zastąpić odpowiednim artykułem lub sekcją brytyjskich lub szwajcarskich przepisów o ochronie danych (w stosownych przypadkach);​​ 
iii. odniesienia do „UE”, „Unii”, „państwa członkowskiego” i „prawa państwa członkowskiego” należy zastąpić odniesieniami do „Wielkiej Brytanii” lub „Szwajcarii” lub „prawa Wielkiej Brytanii” lub „prawa szwajcarskiego” (w zależności od przypadku);​​ 
iv. terminu „państwo członkowskie” nie należy interpretować w sposób wykluczający osoby, których dane dotyczą, w Wielkiej Brytanii lub Szwajcarii z możliwości dochodzenia swoich praw w miejscu ich zwykłego pobytu (tj. w Wielkiej Brytanii lub Szwajcarii);​​ 
v. Klauzula 13(a) i część C załącznika I nie są stosowane, a „właściwym organem nadzoru” jest brytyjski Komisarz ds. Informacji lub Szwajcarski Federalny Komisarz ds. Ochrony Danych Osobowych (w stosownych przypadkach);​​ 
vi. odniesienia do „właściwego organu nadzorczego” i „właściwych sądów” zastępuje się odniesieniami do „Komisarza ds. Informacji” i „sądów Anglii i Walii” lub „Szwajcarskiego Federalnego Komisarza ds. Ochrony Danych” i „właściwych sądów Szwajcarii” (w stosownych przypadkach);​​ 
vii. w punkcie 17 standardowe klauzule umowne podlegają prawu Anglii i Walii lub Szwajcarii (w stosownych przypadkach); i​​ 
viii. w odniesieniu do transferów, do których mają zastosowanie brytyjskie przepisy o ochronie danych, klauzula 18 zostanie zmieniona w taki sposób, aby stanowiła: „Wszelkie spory wynikające z niniejszych klauzul będą rozstrzygane przez sądy Anglii i Walii. Osoba, której dane dotyczą, może wszcząć postępowanie prawne przeciwko eksporterowi danych i/lub importerowi danych przed sądem dowolnego kraju w Wielkiej Brytanii. Strony zgadzają się poddać jurysdykcji tych sądów, a w odniesieniu do transferów, do których stosuje się szwajcarskie przepisy o ochronie danych, klauzula 18(b) stanowi, że spory będą rozstrzygane przez właściwe sądy Szwajcarii.​​ 
9. W odniesieniu do danych chronionych przez brytyjskie Ogólne rozporządzenie o ochronie danych (RODO), Kodeksy Sądu Wyższego Szczebla UE będą miały zastosowanie w następujący sposób: (i) mają zastosowanie zgodnie z ustępami (i) do (viii) powyżej; oraz (ii) są uznawane za zmienione zgodnie z Częścią 2 Dodatku Wielkiej Brytanii, które są uznawane za włączone i stanowiące integralną część niniejszego DPA. Ponadto tabele 1 do 3 w części 1 dodatku brytyjskiego należy uzupełnić odpowiednio informacjami określonymi w załączniku I i załączniku II do niniejszego DPA, a tabelę 4 w części 1 dodatku brytyjskiego uznaje się za uzupełnioną po wybraniu opcji „żadna ze stron”.​​ 
C. W odniesieniu do przekazywania danych osobowych chronionych przez brazylijską ustawę LGPD, bezpośrednio lub poprzez dalsze przekazywanie, do kraju spoza Brazylii, który nie podlega decyzji o odpowiednim poziomie ochrony wydanej przez ANPD, brazylijskie SCC będą uznawane za przyjęte i włączone do niniejszej umowy o ochronie danych osobowych poprzez niniejsze odniesienie i uzupełnione w następujący sposób:​​ 
i. Klauzula 2 brazylijskich Standardów Ubezpieczeń jest spełniona dzięki informacjom zawartym w Załączniku I, który opisuje przekazywanie danych;​​ 
ii. W punkcie 3 brazylijskich Standardów Ubezpieczeń stosuje się opcję B, przy czym dalsze przekazywanie danych jest dozwolone zgodnie z sekcją 3.5 („Podprocesorzy”) niniejszej Umowy o ochronie danych. Przedmiot, charakter i czas trwania przetwarzania określono w załączniku I do niniejszej umowy o przetwarzaniu danych osobowych;​​ 
iii. Klauzula 4 brazylijskich klauzul umownych spełnia wymogi zawarte w załączniku I do niniejszej umowy o partnerstwie publiczno-prywatnym. Gdy G-P jest kontrolerem, będzie on "wyznaczoną stroną", zgodnie z definicją brazylijskich SCC, oraz na potrzeby Klauzuli 14 (Przejrzystość), Klauzuli 15 (Prawa podmiotów danych) oraz Klauzuli 16 (Zgłaszanie incydentów) Brazylijskich SCC. Klient pozostaje odpowiedzialny za przestrzeganie postanowień Klauzuli 14 (Przejrzystość), Klauzuli 15 (Prawa osób, których dane dotyczą) i Klauzuli 16 Zgłaszanie incydentów) brazylijskich Standardów Ubezpieczeń w odniesieniu do wszelkich danych osobowych, których w innym przypadku mógłby być Administratorem;​​ 
iv. W punkcie 9 brazylijskich Standardów Ubezpieczeń nie będzie miała zastosowania opcjonalna klauzula dotycząca dokowania;​​ 
v. Sekcja III (Środki bezpieczeństwa) brazylijskich Standardów Ubezpieczeń będzie uważana za uzupełnioną informacjami określonymi w Załączniku II do niniejszej Umowy o ochronie danych.​​ 
4.4​​  Nieprzewidziane transfery danych​​ . Jeżeli w trakcie świadczenia Usług którakolwiek ze Stron stwierdzi, że nastąpiło lub może nastąpić przekazanie Danych Osobowych, które nie zostało już objęte mechanizmami określonymi w Sekcjach 4.1 do 4.3 niniejszej Umowy o ochronie danych osobowych, Strony niezwłocznie powiadomią się o tym nawzajem i będą współpracować w dobrej wierze w celu wdrożenia bez zbędnej zwłoki takich dodatkowych mechanizmów przekazywania lub środków uzupełniających, jakie mogą być wymagane na mocy obowiązujących przepisów o ochronie danych w celu zapewnienia zgodności z prawem takiego przekazania. Żadna ze Stron nie będzie zobowiązana do dokonania takiego nieprzewidzianego transferu, dopóki nie zostanie uzgodniony i wdrożony odpowiedni mechanizm.​​ 
 

Załącznik I​​  

Przetwarzanie danych Opis​​ 
NIEZALEŻNY ADMINISTRATOR – SZCZEGÓŁY RELACJI ADMINISTRATOR​​ 
(Niniejsza sekcja dotyczy szczegółów Danych Osobowych, które są udostępniane pomiędzy Stronami w ramach ich roli Administratorów)​​ 
Strony​​ 
Eksporter danych: podmiot klienta wykonujący Umowę Ramową​​ 
Importer danych: Globalization Partners LLC.​​ 
Dane kontaktowe stron​​ 
Dane kontaktowe określone w Umowie Ramowej.​​ 
Działania związane z przekazywanymi danymi​​ 
Działalność związana z usługami pracodawca formalny.​​ 
Role​​ 
Eksporter danych: Kontroler.​​ 
Importer danych: Kontroler.​​ 
Działania związane z przetwarzaniem​​ 
Przetwarzane/przekazywane Dane Osobowe mogą podlegać następującym czynnościom Przetwarzania: wszelkie operacje dotyczące Danych Osobowych, niezależnie od zastosowanych środków i procedur, w szczególności gromadzenie, organizowanie, przechowywanie, posiadanie, wykorzystywanie, odzyskiwanie, konsultowanie, archiwizowanie, przesyłanie, blokowanie, usuwanie lub niszczenie danych, obsługa i konserwacja systemów, zgodność, funkcje prawne i audytowe.​​ 
Czas trwania przetwarzania​​ 
Okres obowiązywania Umowy Ramowej i na zasadzie ciągłej.​​ 
Charakter i cel przetwarzania​​ 
Klient może przekazywać dane klienta do G-P, których zakres jest określany i kontrolowany przez klienta według własnego uznania. Celem Przetwarzania jest świadczenie usług formalnych dla pracodawcy zgodnie z Umową Generalną.​​ 
Kategorie podmiotów danych​​ 
Profesjonaliści.​​ 
Rodzaje danych osobowych​​ 
Dane kontaktowe (mogą obejmować imię i nazwisko, adres, adres e-mail, numer telefonu, numer faksu, dane kontaktowe w nagłych wypadkach oraz informacje o lokalnej strefie czasowej).​​ 
Szczegóły zatrudnienia (które mogą obejmować wykształcenie, życiory, tytuł stanowiska, stopień demograficzny, dane o lokalizacji, obywatelstwo i status zgodności eksportowej, płaca, premię).​​ 
Treść wiadomości e-mail osób, których dane dotyczą.​​ 
Szczegóły usług świadczonych na rzecz osób, których dane dotyczą.​​ 
Specjalne kategorie danych (jeśli dotyczy)​​  
NIE DOTYCZY​​ 
Zatrzymywanie pracowników​​ 
Dane osobowe będą przechowywane co najmniej tak długo, jak obowiązujący prawnie minimalny okres przechowywania, który jest zgodny z obowiązującymi przepisami o przedawnieniu i dobrymi praktykami biznesowymi.​​ 
Właściwy organ nadzoru​​ 
Właściwy organ nadzorujący jest ustalany zgodnie z obowiązującymi przepisami o ochronie danych i obejmuje: Irlandzką Komisję Ochrony Danych (dla UE Ogólne rozporządzenie o ochronie danych (RODO); Szwajcarski Federalny Komisarz ds. Ochrony Danych i Informacji / FDPIC (dla szwajcarskiego FADP); Biuro Komisarza ds. Informacji Wielkiej Brytanii / ICO (dla UK Ogólne rozporządzenie o ochronie danych (RODO); oraz Autoridade Nacional de Proteção de Dados / ANPD (dla Brazylii LGPD).​​ 
Przekazywanie danych podprzetwarzającym​​  
W przypadku przekazywania danych podmiotom przetwarzającym, przedmiot, charakter i czas trwania przetwarzania są takie same jak określone powyżej.​​ 
Dane kontaktowe G-P Privacy​​  
 
Attn: Globalne Biuro Ochrony Prywatności.​​  
 
 
 
SZCZEGÓŁY RELACJI MIĘDZY ADMINISTRATOREM A PRZETWARZAJĄCYM​​ 
(Ta sekcja dotyczy szczegółów danych osobowych przetwarzanych przez G-P w imieniu Klienta)​​ 
Strony​​ 
Eksporter danych: podmiot klienta wykonujący Umowę Ramową​​ 
Importer danych: Globalization Partners LLC.​​ 
Dane kontaktowe stron​​ 
Dane kontaktowe określone w Umowie Ramowej.​​ 
Działania związane z przekazywanymi danymi​​ 
Czynności związane z Usługami formalnymi Pracodawcy i korzystaniem z GPP świadczone na rzecz Klienta jako usługa.​​ 
Role​​ 
Eksporter danych: Kontroler​​ 
Importer danych: Przetwarzający​​ 
Działania związane z przetwarzaniem​​ 
Przetwarzane / przekazywane dane osobowe mogą podlegać następującym czynnościom przetwarzania: wszelkie operacje dotyczące danych osobowych, niezależnie od zastosowanych środków i procedur, w szczególności gromadzenie, organizowanie, przechowywanie, przechowywanie, wykorzystywanie, odzyskiwanie, przeglądanie, archiwizowanie, przesyłanie, blokowanie, usuwanie lub niszczenie danych, obsługa i konserwacja systemów, funkcje zgodności, prawne i audytowe.​​ 
Czas trwania przetwarzania​​ 
Okres obowiązywania Umowy Ramowej i na zasadzie ciągłej.​​ 
Charakter i cel przetwarzania​​ 
Klient może przekazywać dane klienta do G-P, których zakres jest określany i kontrolowany przez klienta według własnego uznania. Celem przetwarzania jest świadczenie GPP jako usługi na rzecz Klienta zgodnie z Umową Ramową.​​ 
Kategorie podmiotów danych​​ 
Upoważnieni Użytkownicy GPP, do których mogą należeć pracownicy i/lub kontrahenci Klienta.​​ 
Rodzaje danych osobowych​​ 
Dane kontaktowe (takie jak numer telefonu i adres e-mail).​​ 
Dane pracowników / kontrahentów (takie jak stanowisko i nazwa firmy).​​ 
Dane dotyczące użytkowania (takie jak dane dotyczące urządzenia Autoryzowanego Użytkownika i sposobu interakcji takiego urządzenia z GPP).​​ 
Dane dotyczące lokalizacji (takie jak lokalizacja pochodząca z adresu IP).​​ 
Dane dotyczące treści (takie jak zawartość plików Klienta dotyczących Profesjonalistów i powiązanej komunikacji).​​ 
Dane uwierzytelniające (takie jak hasła, podpowiedzi haseł i podobne informacje zabezpieczające używane do uwierzytelniania i dostępu do konta w GPP).​​ 
Wszelkie dane osobowe dostarczone przez Użytkowników Upoważnionych.​​ 
Specjalne kategorie danych (jeśli dotyczy)​​  
NIE DOTYCZY​​ 
Zatrzymywanie pracowników​​ 
Dane osobowe będą przechowywane co najmniej tak długo, jak obowiązujący prawnie minimalny okres przechowywania, który jest zgodny z obowiązującymi przepisami o przedawnieniu i dobrymi praktykami biznesowymi.​​ 
Właściwy organ nadzoru​​ 
Właściwy organ nadzorujący jest ustalany zgodnie z obowiązującymi przepisami o ochronie danych i obejmuje: Irlandzką Komisję Ochrony Danych (dla UE Ogólne rozporządzenie o ochronie danych (RODO); Szwajcarski Federalny Komisarz ds. Ochrony Danych i Informacji / FDPIC (dla szwajcarskiego FADP); Biuro Komisarza ds. Informacji Wielkiej Brytanii / ICO (dla UK Ogólne rozporządzenie o ochronie danych (RODO); oraz Autoridade Nacional de Proteção de Dados / ANPD (dla Brazylii LGPD).​​ 
Przekazywanie danych podprzetwarzającym​​  
W przypadku przekazywania danych podmiotom przetwarzającym, przedmiot, charakter i czas trwania przetwarzania są takie same jak określone powyżej.​​ 
Dane kontaktowe G-P Privacy​​  
 
Attn: Globalne Biuro Ochrony Prywatności.​​  
 

Załącznik II​​ 

Środki techniczne i organizacyjne​​ 

G-P został certyfikowany i poświadczony jako potwierdzający zgodność ze standardami SOC 2 i ISO 27001 przez niezależnych audytorów. Takie certyfikaty są dowodem naszego zaangażowania w ochronę danych klientów. Program bezpieczeństwa G-P został zaprojektowany tak, aby:​​ 

Chronić poufność, integralność i dostępność danych klientów znajdujących się w posiadaniu G-P lub do których G-P ma dostęp;​​ 

Ochrona przed wszelkimi przewidywanymi zagrożeniami dla poufności, integralności i dostępności Danych Klienta;​​ 

Ochrona przed nieuprawnionym lub bezprawnym dostępem, wykorzystaniem, ujawnieniem, zmianą lub zniszczeniem Danych Klienta;​​ 

Ochrona przed przypadkową utratą, zniszczeniem lub uszkodzeniem Danych Klienta; oraz​​ 

Proszę chronić informacje zgodnie z wszelkimi przepisami, które mogą być regulowane przez G-P.​​ 

Poniżej opisano funkcje, procesy, kontrole, systemy, procedury i środki podjęte przez G-P w celu zapewnienia bezpieczeństwa Przetwarzania Danych Klienta:​​ 

1) ŚRODKI TECHNICZNE ZAPEWNIAJĄCE PRYWATNOŚĆ I OCHRONĘ DANYCH​​ 

Prywatność w fazie projektowania i domyślna:​​ 

G-P uwzględnia wymagania artykułu 25 Ogólne rozporządzenie o ochronie danych (DO) w fazie koncepcji i rozwoju produktu. Procesy i funkcjonalności są tworzone w taki sposób, aby już na wczesnym etapie uwzględniać zasady ochrony danych, takie jak legalność, przejrzystość, ograniczenie celu, minimalizacja danych itp., a także bezpieczeństwo przetwarzania.​​ 

b) Szyfrowanie danych osobowych:​​ 

Zapewnienie, że dane osobowe będą przechowywane w systemie w sposób uniemożliwiający osobom trzecim zidentyfikowanie osoby, której dane dotyczą.​​ 

Szyfrowanie baz danych i pamięci masowej:​​ 

We wszystkich bazach danych używanych przez G-P stosuje się szyfrowanie "w spoczynku" zgodnie z aktualnym stanem techniki, dzięki czemu dane z bazy danych można odczytać dopiero po prawidłowej uwierzytelnieniu w danym systemie bazodanowym.​​ 

Szyfrowanie nośników danych mobilnych:​​ 

Nie jest dozwolone korzystanie z mobilnych operatorów danych do przechowywania danych klientów.​​ 

Szyfrowanie nośników danych w laptopach:​​ 

Na wszystkich laptopach pracowników zainstalowano odpowiednie, najnowocześniejsze szyfrowanie dysku twardego.​​ 

Szyfrowana wymiana informacji i plików:​​ 

W zasadzie wymiana informacji i plików jest bezpośrednio szyfrowana za pomocą specjalnego Podania / aplikacji. Jeżeli dane osobowe lub informacje poufne muszą zostać przesłane na serwery, których nie można przesłać za pomocą szyfrowanych protokołów TLS i HTTPS, zostaną one przesłane przy użyciu protokołu SFTP (Secure File Transfer Protocol), usługi szyfrowanej koperty lub innego szyfrowanego mechanizmu zgodnego ze stanem techniki.​​ 

Szyfrowanie poczty elektronicznej:​​ 

Zasadniczo wszystkie e-maile wysyłane przez pracowników G-P są szyfrowane za pomocą TLS. Wyjątkiem może być sytuacja, gdy serwer poczty odbiorczej nie obsługuje protokołu TLS. Klient zobowiązany jest zapewnić, że serwery pocztowe odpowiadające zakresowi zamówienia obsługują szyfrowanie TLS​​ 

c) Kontrola wstępu​​ 

Kontrole dostępu mają na celu zapobieganie wykorzystywaniu i przetwarzaniu danych chronionych przepisami o ochronie danych przez osoby nieupoważnione.​​ 

Wykorzystanie metod uwierzytelniania​​ 

Dostęp do danych osobowych odbywa się zawsze za pośrednictwem szyfrowanych protokołów: SSH, SSL/TLS, HTTPS lub porównywalnych protokołów. Procedura uwierzytelniania systemu informatycznego: Logowanie do systemu informatycznego odbywa się poprzez uwierzytelnianie wieloskładnikowe.​​ 

Automatyczne blokowanie w przypadku braku aktywności​​ 

Laptopy używane przez pracowników G-P są blokowane hasłem lub PIN-em, gdy nie są używane przez użytkownika. Dodatkowo po 15 minutach bezczynności włącza się automatyczna blokada ekranu chroniona hasłem.​​ 

Korzystanie z oprogramowania antywirusowego​​ 

Laptopy używane przez pracowników G-P są wyposażone w nowoczesne oprogramowanie antywirusowe, które jest aktualizowane we wszystkich operacyjnych i biznesowych systemach IT. Zasadniczo żaden komputer nie może być używany bez zainstalowanego oprogramowania antywirusowego, chyba że zastosowano inne równoważne, najnowocześniejsze środki bezpieczeństwa lub nie występuje żadne ryzyko. Nie wolno dezaktywować ani obchodzić domyślnych ustawień zabezpieczeń.​​ 

„Polityka czystego biurka”​​ 

Pracownicy G-P są instruowani, aby nie drukować ani lokalnie nie przechowywać danych osobowych podmiotów, nie zostawiać materiałów roboczych w miejscach, gdzie mogą być widoczne przez osoby trzecie, oraz aby prawidłowo przechowywać wszystkie materiały robocze. Dokumenty, które G-P zgodnie z prawem musi przechowywać w formie papierowej, są przechowywane w zamkniętych szafkach.​​ 

d) Kontrole dostępu w ramach platformy​​ 

Kontrola dostępu zapewnia, że osoby upoważnione do korzystania z systemu przetwarzania mają dostęp wyłącznie do danych osobowych objętych ich upoważnieniem.​​ 

Role i autoryzacja​​ 

Platforma ról i autoryzacji – Dostęp do klienta Użytkownicy klienci mogą przeglądać i edytować informacje o kontach klientów.​​ 

Platforma ról i autoryzacji – Dostęp profesjonalny Użytkownicy Profesjonalni mogą przeglądać i edytować własne informacje zawodowe.​​ 

Profesjonaliści mogą również uzyskać rolę dostępu klienta po spełnieniu wymagań i uzyskaniu zgody​​ 

Platforma rol i autoryzacji – dostęp wewnętrzny​​ 

Użytkownicy posiadający dostęp wewnętrzny mają różne role. Mają oni zróżnicowany dostęp do tworzenia, przeglądania, edytowania i zatwierdzania następujących dokumentów:​​ 

Informacje dla klientów​​ 

Informacje rozliczeniowe​​ 

Informacje o partnerze​​ 

Informacje dotyczące profesjonalnej dokumentacji pracowniczej​​ 

Dostęp do systemu administracyjnego jest zasadniczo ograniczony do przeszkolonych pracowników w zakresie wsparcia klienta i rozwoju produktu.​​ 

e) Zapora sieciowa jako usługa​​ 

G-P wykorzystuje zewnętrzną zaporę sieciową jako usługę, która pozwala mu przyznawać lub blokować dostęp do stron internetowych, aby zapobiec dostępowi systemów do złośliwych treści oraz ograniczyć dostęp do nieodpowiednich treści.​​ 

f) Zapis logowania na platformę​​ 

G-P prowadzi rejestr wszystkich aktywności logowania.​​ 

g) Rozdzielność​​ 

Zapewnienie, że dane osobowe zbierane w różnych celach mogą być przetwarzane oddzielnie i są oddzielone od innych danych i systemów w taki sposób, aby wykluczyć nieplanowane wykorzystanie tych danych w innych celach.​​ 

Rozdzielenie środowisk programistycznych, testowych i operacyjnych​​ 

Dane ze środowiska operacyjnego mogą zostać przeniesione do środowisk testowych lub programistycznych wyłącznie w przypadku, gdy przed transferem zostaną całkowicie zanonimizowane. Przesyłanie zanonimizowanych danych musi być szyfrowane lub odbywać się za pośrednictwem godnej zaufania sieci.​​ 

Oprogramowanie, które ma zostać przeniesione do środowiska operacyjnego, musi najpierw zostać przetestowane w identycznym środowisku testowym („środowisku przejściowym”). Programy służące do analizy błędów lub tworzenia/kompilowania oprogramowania mogą być używane w środowisku operacyjnym wyłącznie wtedy, gdy nie da się tego uniknąć. Dotyczy to w szczególności sytuacji, gdy sytuacje błędów zależą od danych, które uległyby sfałszowaniu ze względu na wymogi anonimizacji podczas transferu do środowisk testowych.​​ 

Separacja w sieciach​​ 

G-P rozdziela swoje sieci według zadań. Stałe wykorzystanie znajdują następujące sieci: środowisko operacyjne („Produkcyjne”), środowisko testowe („Testowe”, „Sandbox”), środowisko programistyczne („Dev”) pracowników biurowych działów IT. Oprócz tych sieci, w razie potrzeby tworzy się dalsze, oddzielne sieci, np. do testów przywracania i testów penetracyjnych. W zależności od możliwości technicznych sieci rozdzielane są albo fizycznie albo za pomocą sieci wirtualnych.​​ 

h) Kontrola dostępności​​ 

G-P podejmuje następujące kroki, aby zapewnić ochronę danych osobowych przed przypadkowym zniszczeniem lub utratą danych.​​ 

Procedury ochrony danych/kopie zapasowe​​ 

Aby zapewnić odpowiednią dostępność, G-P codziennie wdraża migawki swojej bazy danych z replikacją do innego regionu. Podejmowane są również działania mające na celu zapewnienie, że pracownicy, którzy ze względu na obowiązki służbowe muszą przeglądać dane, otrzymają dostęp wyłącznie do replik zestawów danych.​​ 

Geo-redundancja w odniesieniu do infrastruktury serwerowej danych produkcyjnych i kopii zapasowych​​ 

Zarządzanie incydentami informatycznymi („Zarządzanie reagowaniem na incydenty”)​​ 

Istnieje koncepcja i udokumentowane procedury postępowania w przypadku incydentów i zdarzeń mających wpływ na bezpieczeństwo. Obejmuje to planowanie i przygotowywanie reakcji na incydenty, procedury monitorowania, wykrywania i analizowania zdarzeń istotnych dla bezpieczeństwa oraz określenie odpowiednich obowiązków i kanałów raportowania w przypadku naruszenia ochrony danych osobowych w ramach wymogów prawnych.​​ 

2) ŚRODKI ORGANIZACYJNE ZAPEWNIAJĄCE PRYWATNOŚĆ I OCHRONĘ DANYCH​​ 

G-P wdrożyła następujące środki organizacyjne, aby zapewnić, że organizacja działa w sposób spełniający wymogi dotyczące prywatności i ochrony danych.​​ 

a) Instrukcje organizacyjne​​ 

G-P opracował i obecnie rozwija program zarządzania danymi, obejmujący polityki, procedury i wytyczne dla pracowników. Dokumentacja obejmuje informacje na temat sposobu identyfikowania i zarządzania problemami dotyczącymi prywatności danych, najlepszych praktyk zapewniających zgodność z przepisami dotyczącymi prywatności oraz zasad postępowania w przypadku incydentów związanych z prywatnością.​​ 

b) Zobowiązanie do zachowania poufności i ochrony danych​​ 

G-P opracował i obecnie rozwija program zarządzania danymi, obejmujący polityki, procedury i wytyczne dla pracowników. Wszyscy pracownicy i kontrahenci są zobowiązani na piśmie do zachowania poufności i ochrony danych, a także do przestrzegania innych stosownych przepisów prawa. Wszyscy pracownicy przechodzą szkolenie w zakresie prywatności i bezpieczeństwa. Regularnie przeprowadzane są wewnętrzne audyty w zakresie ochrony danych i bezpieczeństwa informacji. Audyty przeprowadzane są w oparciu o wspólne kryteria/schematy testowe. Pracownicy i wykonawcy G-P są zobowiązani do przetwarzania danych osobowych wyłącznie z powodów prawnych, zgodnie z obowiązującymi umowami z klientem i profesjonalistą, z należytą uwagą wobec wszelkich wyraźnych zgód udzielonych lub zatajonych przez podmiot danych oraz zgodnie z wszelkim prawnym obowiązkiem organizacji.​​ 

c) Szkolenie z zakresu ochrony danych​​ 

Wszyscy pracownicy przechodzą szkolenia z zakresu prywatności i bezpieczeństwa, które są dostępne do przeglądu w dowolnym momencie na platformie szkoleniowej G-P.​​ 

d) Kontrola dostępu fizycznego​​ 

G-P stosuje następujące fizyczne mechanizmy kontroli uniemożliwiające nieupoważnionym osobom dostęp do sprzętu IT używanego do przetwarzania.​​ 

Elektroniczna ochrona drzwi​​ 

Drzwi wejściowe do lokalu G-P są zawsze zamknięte i elektronicznie zabezpieczone. Drzwi otwiera się za pomocą osobistego transpondera elektronicznego.​​ 

Kontrolowana dystrybucja kluczy​​ 

Odbywa się centralny, udokumentowany przydział kluczy pracownikom G-P. Te elektroniczne transpondery/klucze mogły być dezaktywowane centralnie przez każdego kierownika biura lub dział People Zasobse.​​ 

Nadzór i towarzyszenie osobom zewnętrznym​​ 

Zewnętrzni dostawcy usług oraz inne podmioty trzecie mogą uzyskać dostęp do obiektu wyłącznie za wcześniejszą zgodą lub w towarzystwie pracownika G-P. G-P stosuje pisemną Politykę Zwiedzających, gdy odwiedzający są zapraszani na teren.​​ 

Zabezpieczanie obiektów o zwiększonym zapotrzebowaniu na ochronę​​ 

Pomieszczenia lub szafy o zwiększonych wymaganiach bezpieczeństwa, takie jak biura prawne i niektóre lokalizacje operacyjne, są wyposażone w zamykane szafy i szuflady. Szafki i szuflady, w których przechowywane są dokumenty prawne, umowy i poufna dokumentacja, muszą być zawsze zamykane na klucz, chyba że są używane.​​ 

Zamknięte drzwi i okna​​ 

Pracownicy są instruowani, aby poza godzinami pracy trzymać okna i drzwi zamknięte lub zablokowane.​​ 

e) Odzyskiwalność​​ 

G-P zapewnia, że używane systemy mogą zostać przywrócone w przypadku awarii fizycznej lub technicznej.​​ 

Regularne testy odzyskiwania danych ("Restore-Testy")​​ 

Regularnie przeprowadzane są pełne testy przywracania danych w celu zapewnienia możliwości odzyskania danych w przypadku awarii lub katastrofy.​​ 

Plan awaryjny („Koncepcja odzyskiwania po awarii”)​​ 

Istnieje koncepcja postępowania w sytuacjach kryzysowych/katastrof i odpowiadający jej plan awaryjny. G-P zapewnia odzyskanie wszystkich systemów na podstawie kopii zapasowych danych, zazwyczaj w ciągu 48 godzin.​​ 

Środki przeglądu i oceny​​ 

Przedstawienie procedur regularnego przeglądu, oceny i analizy skuteczności środków technicznych i organizacyjnych.​​ 

f) Zespół ds. prywatności​​ 

Organizacja posiada Biuro Prywatności danych na świecie, którego zadaniem jest planowanie, wdrażanie, ocena i dostosowywanie działań w dziedzinie ochrony danych.​​ 

g) Zarządzanie ryzykiem​​ 

Istnieje proces analizy, oceny i alokacji ryzyka oraz określania środków zaradczych na podstawie tego ryzyka.​​ 

3) NIEZALEŻNY PRZEGLĄD BEZPIECZEŃSTWA INFORMACJI​​ 

Wykonywanie audytów​​ 

Regularnie przeprowadzane są wewnętrzne audyty w zakresie ochrony danych i bezpieczeństwa informacji. Audyty przeprowadzane są w oparciu o wspólne kryteria/schematy testowe.​​ 

b) Przegląd zgodności z politykami i standardami bezpieczeństwa​​ 

Regularnie sprawdzane jest przestrzeganie obowiązujących wytycznych, standardów i innych wymogów bezpieczeństwa w zakresie przetwarzania danych osobowych. Jeżeli jest to możliwe, kontrole te przeprowadzane są losowo i niespodziewanie.​​ 

c) Weryfikacja zgodności ze specyfikacjami technicznymi​​ 

Dział IT lub inny wykwalifikowany personel regularnie przeprowadza automatyczne i ręczne skanowanie w poszukiwaniu luk w zabezpieczeniach, aby zweryfikować bezpieczeństwo aplikacji i infrastruktury, a także regularny rozwój produktu. Zewnętrzny dostawca usług przeprowadza szczegółowe testy penetracyjne, aby w szczególności zbadać aplikacje i infrastrukturę pod kątem luk w zabezpieczeniach.​​ 

d) Przetwarzanie na polecenie​​ 

Pracownicy G-P są zobowiązani do przetwarzania danych osobowych wyłącznie z powodów zgodnych z prawem, zgodnie z obowiązującymi umowami z klientem i profesjonalistą, z należytą uwagą wobec wyraźnej zgody udzielonej lub powstrzymanej przez podmiot danych oraz zgodnie z wszelkimi prawnymi obowiązkami organizacji.​​ 

e) Staranny wybór dostawców​​ 

G-P stosuje się do procesu wstępnej kwalifikacji dostawców przy wyborze dostawców i dostawców, którzy mogą napotkać chronione dane. Proces ten obejmuje informacje zwrotne od Działu Finansowego i Działu Prawnego/Prywatności i obejmuje ocenę ryzyka, wstępną kwalifikację bezpieczeństwa oraz etapy certyfikacji dokumentacji. Dostawcy przetwarzający chronione dane będą zobowiązani do wykazania przestrzegania obowiązujących przepisów dotyczących ochrony danych, w tym artykułu 28 Ogólne rozporządzenie o ochronie danych (RODO dla objętych danych​​ 

Załącznik III​​ 

Lista podprocesorów​​ 
Podprocesor​​ 
Lokalizacja i informacje kontaktowe​​ 
Opis przetwarzania​​ 
3933 Lake Washington Blvd NE #350, Kirkland, WA 98033, USA​​ 
Usługi finansowe​​ 
P.O. Box 81226​​ 
Seattle, WA 98108-1226, USA​​ 
Hosting - dostawca usług w chmurze​​ 
Microsoft Corporation One Microsoft Way​​ 
Redmond, Washington 98052 USA Telefon: (+1) 425-882-8080.​​ 
Wsparcie procesów biznesowych w zakresie komunikacji (e-mail) i zarządzania usługami​​ 
350 Bush Street Floor 13​​ 
San Francisco, CA 94104, USA​​ 
+1 415 701 1110​​ 
Wsparcie procesów biznesowych dla zarządzania usługami​​ 
DocuSign International (EMEA) Ltd, Attention: Privacy Team, 5 Hanover Quay, Ground Floor, Dublin 2, Republika Irlandii​​ 
Zarządzanie dokumentami​​ 
Salesforce Tower, 415 Mission Street, 3rd Floor, San Francisco, CA 94105, USA​​ 
1-800-387-3285​​ 
Wsparcie procesów biznesowych dla zarządzania relacjami z klientami (CRM)​​ 
989 Market St​​ 
San Francisco, CA 94103, USA​​ 
888-670-4887​​ 
Zapytania do działu pomocy technicznej dla klientów​​ 
2225 Lawson Lane Santa Clara, Kalifornia, 95054​​ 
USA​​ 
Wsparcie procesów biznesowych dla zarządzania usługami IT i operacjami, doświadczenia pracowników i klientów poprzez (​​ zautomatyzowany przepływ pracy w chmurze)​​ 
160 Spear Street, 15piętro San Francisco, CA 94105 1-866-330-0121​​ 
USA​​ 
Infrastruktura hurtowni danych w chmurze.​​ 
620 8ten​​  Aleja 45​​ ten​​  Podłoga​​ 
Nowy Jork, NY 10018​​ 
USA​​ 
Narzędzie do monitorowania i debugowania usług​​ 
Avenue Louise 54, Room s52,​​ 
1050 Bruksela​​ 
Belgia​​ 
Procesor płatności online​​ 
1600 Amfiteatr Pkwy, Mountain View, CA 94043​​ 
Wsparcie procesów biznesowych w zakresie komunikacji (e-mail) i wewnętrznego przechowywania dokumentów​​