Este Adendo de Proteção de Dados (“Adendo”) complementa os termos e condições do Contrato Principal e está incorporado a ele. Em caso de conflito entre este Adendo e qualquer outro acordo entre as partes sobre as questões aqui estabelecidas, este Adendo prevalecerá.
ADENDO À PROTEÇÃO DE DADOS
1. DEFINIÇÕES
1.1. Os termos não definidos neste documento têm os significados estabelecidos no Contrato Principal de Serviços. As seguintes palavras neste Adendo têm os seguintes significados:
1.2. “Usuário Autorizado” significa um indivíduo permitido pelo Cliente que pode incluir um funcionário e/ou contratado do Cliente para acessar e usar a Plataforma em nome do Cliente, de acordo com a assinatura do Contrato Principal.
1.3. “CCPA” significa a Lei de Privacidade do Consumidor da Califórnia.
1.4. “Dados do Cliente”significa quaisquer Dados Pessoais ou Informações Pessoais relacionados a qualquer Usuário Autorizado ou pessoa física identificável que seja transferida, processada ou armazenada pela Globalization Partners em nome do Cliente para o uso da Plataforma pelo Cliente.
1.5. “Leis de Proteção de Dados” significa quaisquer leis de privacidade e proteção de dados às quais uma parte deste Contrato esteja sujeita e que sejam aplicáveis aos Serviços prestados, incluindo, quando aplicável, entre outras, GDPR, GDPR do Reino Unido, leis de privacidade dos EUA (incluindo leis estaduais e federais) e a Lei de Proteção de Dados Pessoais de Cingapura.
1.6. “RGPD” significa o Regulamento Geral de Proteção de Dados (UE) 2016/679 e/ou o RGPD do Reino Unido.
1.7. “EEE” significa o Espaço Econômico Europeu.
1.8. “SCCs da UE” significa as Cláusulas Contratuais Padrão para a transferência de Dados Pessoais para países terceiros de acordo com a Regulamentação (UE) 2016/679 do Parlamento Europeu e o Conselho aprovado pela Comissão Europeia para a Decisão de Implementação (UE) 2021/914 de 4 junho de 2021.
1.9. “Serviços de Employer of Record” significa o empregador dos serviços de registros a serem prestados pela Globalization Partners ao Cliente de acordo com o Contrato Principal.
1.10. “Contrato Principal” significa o contrato celebrado entre o Cliente e a Globalization Partners para a prestação dos Serviços de Employer of Record.
1.11. “Plataforma” significa o software proprietário da Globalization Partners, incluindo, sem limitação, o software, a versão móvel, qualquer software nele contido e quaisquer dados disponibilizados por meio do uso do software proprietário da Globalization Partners ou dos serviços de terceiros, incluindo suas atualizações, upgrades, plataforma como serviço, documentação, cuja descrição está estabelecida em https://www.globalization-partners.com/employer-of-record-solutions/.
1.12. “Adendo do Reino Unido” significa o adendo de transferência internacional de dados do Reino Unido às Cláusulas Contratuais Padrão da UE emitido pelo Comissário de Informações do Reino Unido e anexado a este instrumento como Anexo IV.
1.13. “Controlador”, “Titular dos Dados”, “Dados Pessoais”, “Informações Pessoais”, “Violação de Dados”, “Processador”, “Processamento/Processamento”, “Transferência Restrita”, “Prestador de Serviços” e/ou quaisquer outros termos e conceitos semelhantes terão os significados definidos nas Leis de Proteção de Dados
2. RELACIONAMENTO DE PARTES E FUNÇÕES
2.1. Funções das Partes e Detalhes do Processamento. A Globalization Partners processará Dados Pessoais como um Controlador independente quando a Globalization Partners prestar Serviços de Employer of Record. Em nenhuma circunstância as Partes Processarão Dados Pessoais nos termos deste Adendo como Controladores conjuntos. Quando a Globalization Partners operar como Controladora independente, a Globalization Partners cumprirá suas obrigações de Controladora nos termos das Leis de Proteção de Dados ao Processar Dados Pessoais e Processará os Dados Pessoais conforme descrito na Política de Privacidade da Globalization Partners, disponível em https://www.globalization-partners.com/privacy-policy/. O Cliente cumprirá suas obrigações nos termos das Leis de Proteção de Dados ao Processar Dados Pessoais como Controlador. Na medida em que a Globalization Partners atuar como Processadora durante o Processamento de Dados do Cliente, esse Processamento será realizado de acordo com a Seção 3 (“Processamento de Dados Pessoais”) abaixo.
2.2. Responsabilidades e reconhecimentos. Cada Parte pode processar Dados Pessoais nos termos deste Adendo com relação aos Dados Pessoais como Controladores de dados independentes. As Partes concordam em cumprir suas respectivas obrigações e processar quaisquer Dados Pessoais de forma justa e legal, em conformidade com este Adendo e todas as Leis de Proteção de Dados aplicáveis às operações de Processamento de Dados Pessoais dessa Parte. Cada Parte garantirá que seu Processamento de Dados Pessoais seja limitado ao objetivo dos Serviços de Employer of Record fornecidos pela Globalization Partners e seja baseado em uma base legal para o processamento legal. As Partes auxiliarão umas às outras no cumprimento de suas respectivas obrigações nos termos das Leis de Proteção de Dados, incluindo, entre outras, auxiliar umas às outras se ocorrer uma Violação de Dados, respondendo às solicitações dos Titulares dos Dados e/ou reguladores.
3. PROCESSAMENTO DE DADOS PESSOAIS
3.1. Escopo. O uso da Plataforma pelo Cliente e o relacionamento de gerenciamento do Cliente podem implicar o Processamento de Dados do Cliente pela Globalization Partners como Processador ou Prestador de Serviços em nome do Cliente.
3.2. Instruções. A Globalization Partners processará os Dados do Cliente de acordo com as instruções documentadas do Cliente. O Cliente concorda que este Adendo, o Contrato Principal e o Anexo I anexado a este instrumento compreendem as instruções completas do Cliente para a Globalization Partners sobre o Processamento de Dados do Cliente. Quaisquer instruções adicionais ou alternativas devem ser acordadas entre as partes por escrito, incluindo os custos (se houver) associados ao cumprimento de tais instruções. A Globalization Partners não é responsável por determinar se as instruções do Cliente estão em conformidade com a lei aplicável. No entanto, se a Globalization Partners acreditar que uma instrução do Cliente viola as Leis de Proteção de Dados aplicáveis, a Globalization Partners notificará o Cliente assim que razoavelmente praticável e não será obrigada a cumprir essa instrução de violação.
3.3. Detalhes do processamento. Os detalhes do objeto do Processamento, sua duração, natureza e finalidade, e o tipo de Dados do Cliente e titulares de dados são conforme especificado no Anexo I anexado a este instrumento.
3.4. Conformidade. O Cliente e a Globalization Partners concordam em cumprir suas respectivas obrigações nos termos das Leis de Proteção de Dados aplicáveis aos Dados do Cliente Processados conforme especificado no Anexo I. O Cliente tem a responsabilidade exclusiva de cumprir as Leis de Proteção de Dados em relação à legalidade do Processamento de Dados do Cliente antes de divulgar, transferir ou disponibilizar quaisquer Dados do Cliente para a Globalization Partners. Para evitar dúvidas, em todos os casos, o Cliente obterá, quando necessário, quaisquer consentimentos dos Titulares dos Dados para que a Globalization Partners processe os Dados do Cliente conforme orientado pelo Cliente.
3.5. Subprocessadores. O Cliente autoriza a Globalization Partners a nomear e usar Processadores (“Subprocessadores”) para Processar os Dados do Cliente em conexão com os Serviços. Os subprocessadores podem incluir terceiros ou qualquer membro do grupo de empresas Globalization Partners. A Globalization Partners pode continuar a usar os Subprocessadores já contratados pela Globalization Partners na data deste Adendo, e uma lista desses Subprocessadores está disponível no Anexo III anexado a este instrumento. Quando um Subprocessador não cumprir suas obrigações de proteção de dados, conforme especificado acima, a Globalization Partners será responsável perante o Cliente pelo cumprimento das obrigações do Subprocessador. A Globalization Partners notificará o Cliente sobre quaisquer alterações em sua lista de Subprocessadores. Se, no prazo de 10 dez (10) dias a contar do recebimento dessa notificação, o Cliente se opor legitimamente à adição ou remoção de um Subprocessador por motivos de proteção de dados e a Globalization Partners não puder acomodar razoavelmente a objeção do Cliente, as partes discutirão as preocupações do Cliente de boa-fé com o objetivo de resolver o assunto.
3.6. Medidas de segurança técnicas e organizacionais. Levando em conta os padrões do setor, os custos de implementação, a natureza, escopo, contexto e finalidades do Processamento, e quaisquer outras circunstâncias relevantes relacionadas ao Processamento dos Dados do Cliente na Plataforma, A Globalization Partners implementará medidas de segurança técnicas e organizacionais adequadas para garantir a segurança, confidencialidade, integridade, disponibilidade e resiliência dos sistemas de processamento e serviços envolvidos no Processamento dos Dados do Cliente são proporcionais ao risco em relação a esses Dados do Cliente. A Globalization Partners testará e monitorará periodicamente a eficácia de suas proteções, controles, sistemas e procedimentos e (ii) identificará riscos internos e externos razoavelmente previsíveis para a segurança, confidencialidade e integridade dos Dados do Cliente, e garantirá que esses riscos sejam abordados.
3.7. Confidencialidade. A Globalization Partners garantirá que as pessoas autorizadas a acessar os Dados do Cliente (i) tenham se comprometido com a confidencialidade ou estejam sob uma obrigação estatutária apropriada de confidencialidade e (ii) acessem os Dados do Cliente somente mediante instruções documentadas da Globalization Partners, a menos que exigido pela lei aplicável.
3.8. Violação de dados pessoais. A Globalization Partners notificará o Cliente sem atraso indevido após tomar conhecimento de uma Violação de Dados em relação ao Processamento de Dados do Cliente e envidará esforços razoáveis para ajudar o Cliente a mitigar, quando possível, os efeitos adversos de qualquer Violação de Dados.
3.9. Transferências internacionais . A Globalization Partners está autorizada, no curso normal dos negócios, a fazer transferências mundiais de Dados do Cliente para suas afiliadas e/ou Subprocessadores. Ao fazer essas transferências, a Globalization Partners garantirá que a proteção adequada esteja em vigor para proteger os Dados do Cliente transferidos nos termos ou em conexão com o Contrato Principal, como segue:
- 3.9.1. Quando a Globalization transferir Dados do Cliente para países fora do EEE (que não estão sujeitos a uma decisão de adequação nos termos das Leis de Privacidade), a Globalization Partners executará e cumprirá suas obrigações nos termos das SCCs da UE, que são incorporadas a este Adendo por esta referência e concluídas da seguinte forma:
-
- O Módulo 2 (Controlador para Processador) será aplicado quando o Cliente for um Controlador de Dados Pessoais e a Globalization Partners for um Processador de Dados Pessoais;
- na Cláusula 7, a cláusula de ancoragem opcional será aplicada;
- na Cláusula 9, a opção 2 será aplicada com 10 dias;
- na Cláusula 11, o texto opcional não se aplicará;
- na Cláusula 12, quaisquer reivindicações apresentadas nos termos das SCCs da UE estarão sujeitas aos termos e condições estabelecidos no Contrato;
- na Cláusula 17, a Opção 1 será aplicada, as SCCs da UE serão regidas pela Lei Irlandesa;
- na Cláusula 18(b), as disputas serão resolvidas perante os tribunais da Irlanda;
- O Anexo I das SCCs da UE será considerado preenchido com as informações estabelecidas no Anexo I deste Adendo;
- O Anexo II das SCCs da UE será considerado preenchido com as informações estabelecidas no Anexo II deste Adendo; e
- O Anexo III das SCCs da UE será considerado preenchido com as informações estabelecidas no Anexo III deste Adendo.
- 3.9.2. Em relação aos Dados do Cliente que são protegidos pelo GDPR do Reino Unido, as Partes estão legalmente autorizadas a confiar nas SCCs da UE para Transferências Restritas do Reino Unido sujeitas ao Adendo do Reino Unido, que é incorporado a este Adendo por esta referência e preenchido conforme definido no Anexo IV anexado a este instrumento. Se esta seção 3.9.2 não se aplicar, então a Globalization Partners Exporting Company e o Cliente cooperarão de boa-fé para implementar salvaguardas apropriadas para transferências de tais Dados Pessoais, conforme exigido ou permitido pela GDPR do Reino Unido, sem atraso indevido.
- 3.9.3. Nada nas interpretações desta Seção 3.9 tem a intenção de entrar em conflito com os direitos ou responsabilidades de qualquer uma das Partes nos termos das SCCs da UE e/ou do Adendo do Reino Unido e, em caso de qualquer conflito, as SCCs da UE e/ou o Adendo do Reino Unido, conforme aplicável, prevalecerão.
3.10. Exclusão de dados pessoais. Após a rescisão dos Serviços (por qualquer motivo) e se solicitado pelo Cliente por escrito, a Globalization Partners deverá, assim que razoavelmente praticável, devolver ou excluir os Dados do Cliente armazenados na Plataforma, a menos que a lei aplicável exija o armazenamento dos Dados do Cliente por um período mais longo. Para tal retenção, as disposições deste Adendo continuarão a se aplicar a esses Dados do Cliente.
3.11. Solicitações do Titular de Dados. A Globalization Partners informará imediatamente o Cliente sobre quaisquer solicitações dos Titulares dos Dados referentes aos Dados do Cliente. O Cliente é responsável por responder a tais solicitações. A Globalization Partners ajudará o Cliente a responder às solicitações do Titular dos Dados na medida em que o Cliente não conseguir acessar os Dados do Cliente relevantes no uso da Plataforma.
3.12. Solicitações de terceiros. Se a Globalization Partners receber quaisquer solicitações de terceiros ou uma ordem de qualquer tribunal, órgão regulador ou agência governamental com jurisdição competente à qual a Globalization Partners esteja sujeita em relação ao Processamento de Dados do Cliente nos termos do Contrato, a Globalization Partners redirecionará imediatamente a solicitação ao Cliente. A Globalization Partners não responderá a tais solicitações sem a autorização prévia do Cliente, a menos que legalmente obrigada a fazê-lo. A Globalization Partners, a menos que legalmente proibida de fazê-lo, informará o Cliente antes de fazer qualquer divulgação dos Dados do Cliente e cooperará razoavelmente com o Cliente para limitar o escopo de tal divulgação ao que é legalmente exigido.
3.13. Avaliação do impacto da proteção de dados e consulta prévia. Na medida exigida pelas Leis de Proteção de Dados, a Globalization Partners fornecerá assistência razoável ao Cliente para realizar uma avaliação de impacto de proteção de dados em relação ao Processamento de Dados do Cliente realizado pela Globalization Partners e/ou qualquer consulta(s) prévia exigida com as autoridades de supervisão. A Globalization Partners reserva-se o direito de cobrar do Cliente uma taxa razoável pelo fornecimento de tal assistência.
3.14. Demonstrar conformidade. A Globalization Partners realiza regularmente auditorias externas sobre segurança, disponibilidade, integridade de processamento, confidencialidade e controles de privacidade da organização e fornecerá ao Cliente uma cópia do relatório de auditoria resumido ou certificação mais recente mediante solicitação por escrito. Se o Cliente preferir realizar sua própria auditoria, além das certificações ou relatórios de terceiros fornecidos, tal auditoria deve ser conduzida: i) não mais do que uma vez por cada período de 12 (doze) meses; ii) durante o horário comercial normal e sem interromper os negócios diários da Globalization Partners; iii) com aviso prévio por escrito de trinta (30) dias; iv) às custas do Cliente (incluindo o tempo gasto pela Globalization Partner auxiliando o Cliente durante a auditoria com base na taxa diária de um gerente de segurança); v) com base em parâmetros e escopo mutuamente acordados, limitado ao escopo específico dos serviços, sistemas em uso e/ou atividades de processamento contempladas e específicas para o requisito real; vi) com base em uma data de antecedência mutuamente acordada, sujeito ao adiamento razoável pelo Cliente mediante solicitação razoável da Globalization Partners; e vii) de acordo com todas as obrigações e restrições de confidencialidade. Não obstante o disposto acima, nenhum direito de auditoria é concedido após a rescisão do Contrato Principal, exceto para obrigações legais que terão de ser demonstradas pelo Cliente. Qualquer representante terceirizado selecionado para realizar uma auditoria em nome do Cliente não deve ter participação acionária ou afiliação com uma agência de Serviços EOR, uma organização ou consultor relacionado.
3.15. Nenhuma venda de informações. A Globalization Partners não derivará nem exercerá nenhum direito ou benefício em relação aos Dados Pessoais, exceto conforme disposto neste Adendo. Para evitar dúvidas, a Globalization Partners não reterá, usará, compartilhará ou divulgará os Dados do Cliente para qualquer finalidade que não seja para a finalidade específica de fornecer a Plataforma ao Cliente de acordo com o Contrato Principal. A Globalization Partners não venderá quaisquer Dados Pessoais, conforme o termo “venda” é definido na CCPA. A Globalization Partners declara e garante que compreende as regras, requisitos e definições da CCPA e concorda em abster-se de tomar qualquer medida que possa fazer com que quaisquer transferências de Dados Pessoais de ou para a Globalization Partners se qualifiquem como “venda de informações pessoais” nos termos da CCPA.
Anexo I - Descrição do processamento de dados
| Partes | Controlador/Exportador de dados: entidade do cliente que executa o Processador de agricultores mestres/Importador de dados: entidade da Globalization Partners que executa o Contrato mestre. |
| Detalhes de contato das partes | Detalhes de contato do cliente conforme estabelecido no Contrato Principal. Detalhes de contato da Globalization Partners, conforme estabelecido no Contrato Principal. |
| Atividades relevantes para os dados transferidos | Atividades relacionadas à Plataforma fornecidas como serviço. |
| Atividades de processamento | A Globalization Partners processará os Dados do Cliente em sua prestação da Plataforma como um serviço ao Cliente. |
| Duração do processamento | A Globalization Partners processará os Dados do Cliente pela duração do Contrato Principal e continuamente. |
| Natureza e finalidade do processamento | O Cliente poderá transferir os Dados do Cliente para a Globalization Partners, cuja extensão é determinada e controlada pelo Cliente a seu exclusivo critério. A Globalization Partners processará os Dados do Cliente conforme necessário para fins de fornecimento da Plataforma como um serviço ao Cliente de acordo com o Contrato Principal. |
| Categorias de Titulares de Dados | Os Dados do Cliente dizem respeito aos Usuários Autorizados da Plataforma que podem incluir funcionários e/ou contratados do Cliente, além de indivíduos cujos Dados Pessoais são fornecidos pelos Usuários Autorizados da Plataforma. |
| Tipos de dados pessoais | Os Dados do Cliente transferidos podem incluir as seguintes categorias de dados:
|
| Categorias especiais de dados (se apropriado) | N/A |
| Retenção | Os Dados do Cliente serão retidos pelo menos enquanto qualquer período de retenção mínimo exigido por lei for consistente com os estatutos de limitações aplicáveis e atender às boas práticas de negócios. |
| Autoridade de supervisão competente | A Comissão Irlandesa de Proteção de Dados |
| Transferências para subprocessadores | Para transferências para processadores, o assunto, a natureza e a duração do processamento são os mesmos definidos acima. |
| Detalhes de contato de privacidade da Globalization Partners | privacy@globalization-partners.com Attn: Global Privacy Office. |
Anexo II - Medidas técnicas e organizacionais
A Globalization Partners foi certificada e atestada para confirmar a conformidade com os 2 padrões SOC por auditores independentes. Os relatórios de Controles da Organização de Serviço (SOC) demonstram nosso compromisso em proteger os Dados do Cliente. O programa de segurança da Globalization Partners foi projetado para:
- Proteger a confidencialidade, integridade e disponibilidade dos Dados do Cliente em posse da Globalization Partners ou aos quais a Globalization Partners tenha acesso;
- Proteger contra quaisquer ameaças ou perigos previstos à confidencialidade, integridade e disponibilidade dos Dados do Cliente;
- Proteger contra acesso, uso, divulgação, alteração ou destruição não autorizada ou ilegal dos Dados do Cliente;
- Proteger contra perda, destruição ou dano acidental aos Dados do Cliente; e
- Proteja as informações conforme estabelecido em quaisquer regulamentos pelos quais a Globalization Partners possa ser regulamentada.
A seguir estão descritas as funções, processos, controles, sistemas, procedimentos e medidas que a Globalization Partners tomou para garantir a segurança do Processamento de Dados do Cliente:
1) MEDIDAS TÉCNICAS PARA GARANTIR A PRIVACIDADE E A PROTEÇÃO DOS DADOS
a) Privacidade desde a concepção e padrão:
A Globalization Partners leva em consideração os requisitos do Artigo 25 GDPR na fase de concepção e desenvolvimento do desenvolvimento de produtos. Processos e funcionalidades são configurados de tal forma que os princípios de proteção de dados, como legalidade, transparência, limitação de finalidade, minimização de dados, etc., bem como a segurança do processamento, são considerados em um estágio inicial.
b) Criptografia de dados pessoais:
Garantir que os dados pessoais sejam armazenados apenas no sistema de forma que não permita que terceiros identifiquem o titular dos dados.
- Criptografia de banco de dados e armazenamento:
em todos os bancos de dados usados pela Globalization Partners, uma criptografia “em repouso” de acordo com o estado da técnica é usada para que os dados do banco de dados só possam ser lidos após a autenticação adequada no respectivo sistema de banco de dados. - Criptografia de mídia de dados móveis:
O uso de operadoras de dados móveis para armazenar dados de clientes não é permitido. - Criptografia de portadoras de dados em laptops:
Criptografia de disco rígido de última geração apropriada está instalada em todos os laptops dos funcionários. - Troca criptografada de informações e arquivos:
Em princípio, a troca de informações e arquivos é criptografada diretamente por meio de um aplicativo especial. Se os dados pessoais ou informações confidenciais precisarem ser transferidos para servidores que não podem ser enviados por meio de uploads HTTPS criptografados por TLS, eles serão transferidos usando o protocolo de transferência segura de arquivos (Secure File Transfer Protocol, SFTP), serviço de envelope criptografado ou outro mecanismo criptografado de acordo com o estado da arte. - Criptografia de e-mail:
Em princípio, todos os e-mails enviados por funcionários da Globalization Partners são criptografados com TLS. As exceções podem ser se o servidor de recebimento de e-mail não suportar TLS. O Cliente deve garantir que os servidores de e-mail correspondentes usados no escopo do pedido suportem a criptografia TLS
c) Controle de admissão
Os controles de admissão são destinados e implementados para evitar o uso e o processamento de dados protegidos pelas leis de proteção de dados por pessoas não autorizadas.
- O uso de métodos de autenticação
O acesso a dados pessoais é sempre via protocolos criptografados: SSH, SSL/TLS, HTTPS ou protocolos comparáveis. Procedimento de autenticação para o sistema de TI: login de autenticação multifatorial para o sistema de TI. - Bloqueio automático em caso de inatividade
Laptops usados por funcionários da Globalization Partners bloqueados com proteção por senha ou PIN quando não estiverem em uso pelo usuário. Além disso, um bloqueio de tela automático com proteção por senha é configurado após 15 minutos de inatividade. - O uso de software antivírus
Laptops usados pelos funcionários da Globalization Partners é equipado com software antivírus de última geração que é mantido atualizado em todos os sistemas operacionais ou de TI de negócios. Por princípio, nenhum computador pode ser operado sem proteção contra vírus residente, a menos que outras medidas de segurança equivalentes de última geração tenham sido tomadas ou não haja risco. As configurações de segurança padrão não devem ser desativadas ou contornadas. - “Política de mesa limpa”
Os funcionários da Globalization Partners são instruídos a não imprimir ou armazenar localmente dados pessoais de titulares de dados, não deixar materiais de trabalho em um local onde possam ser visualizados por terceiros e armazenar todos os materiais de trabalho adequadamente. Os documentos que a Globalization Partners é obrigada por lei a manter em papel são armazenados em armários trancados.
d) Controles de acesso dentro da plataforma
Os controles de acesso garantem que as pessoas autorizadas a usar um sistema de processamento tenham acesso apenas aos dados pessoais cobertos por sua autorização de acesso.
- Funções e autorização
- Plataforma de funções e autorização – Acesso do cliente Os usuários do cliente podem visualizar e editar as informações da conta do cliente.
- Plataforma de funções e autorização – Os usuários profissionais de acesso profissional podem visualizar e editar suas próprias informações profissionais.
Os profissionais também podem obter a função de acesso do cliente mediante requisito + aprovação - Plataforma de funções e autorização – Acesso interno
Os usuários de acesso interno têm funções variadas. Eles têm acesso variado para criar, visualizar, editar e aprovar o seguinte:- Informações do cliente
- Informações de faturamento
- Informações do parceiro
- O pessoal profissional registra informações
O acesso ao sistema de administração é geralmente limitado a funcionários treinados nas áreas de suporte ao cliente e desenvolvimento de produtos.
e) Firewall como serviço
A Globalization Partners usa um firewall externo como um serviço que permite conceder ou bloquear acesso a sites para garantir que os sistemas não possam acessar conteúdo malicioso e restringir o acesso a conteúdo inadequado.
f) Registro de login na plataforma
A Globalization Partners mantém um registro de todas as atividades de login.
g) Separabilidade
Garantir que os dados pessoais coletados para diferentes fins possam ser processados separadamente e sejam separados de outros dados e sistemas de forma que o uso não planejado desses dados para outros fins seja excluído.
- Separação de ambientes de desenvolvimento, teste e operação
Os dados do ambiente operacional só podem ser transferidos para ambientes de teste ou desenvolvimento se tiverem sido completamente anônimos antes da transferência. A transferência dos dados anonimizados deve ser criptografada ou através de uma rede confiável. - A separação em redes
que a Globalization Partners separa suas redes de acordo com as tarefas. As seguintes redes são usadas permanentemente: ambiente operacional (“Produção”), ambiente de teste (“Preparação”, “Sandbox”), equipe de TI do escritório do ambiente de desenvolvimento (“Desenvolvimento”). Além dessas redes, outras redes separadas são criadas conforme necessário, por exemplo, para testes de restauração e testes de penetração. Dependendo das possibilidades técnicas, as redes são separadas fisicamente ou por meio de redes virtuais.
h) Controle de disponibilidade
A Globalization Partners toma as seguintes medidas para garantir que os dados pessoais sejam protegidos contra destruição ou perda acidental.
- Procedimentos/cópias de segurança de proteção de dados
Para garantir disponibilidade adequada, a Globalization Partners implementa instantâneos diários de seu banco de dados com replicação para uma região diferente. Também são tomadas medidas para garantir que os funcionários com necessidade baseada no trabalho de revisar dados tenham acesso apenas a conjuntos de dados replicados. - Georedundância em relação à infraestrutura de servidor de dados produtivos e backups
- Gerenciamento de incidentes de TI (“Gestão de Resposta a Incidentes”)
Há um conceito e procedimentos documentados para lidar com incidentes e eventos relevantes à segurança. Isso inclui o planejamento e a preparação da resposta a incidentes, procedimentos para monitorar, detectar e analisar eventos relevantes à segurança e a definição de responsabilidades e canais de comunicação correspondentes no caso de uma violação da proteção de dados pessoais dentro da estrutura dos requisitos legais.
2) MEDIDAS ORGANIZACIONAIS PARA GARANTIR A PRIVACIDADE E PROTEÇÃO DE DADOS
A Globalization Partners implementou as seguintes medidas organizacionais para garantir que a organização opere de uma maneira que atenda aos requisitos de privacidade e proteção de dados.
a) Instruções organizacionais
A Globalization Partners desenvolveu e está desenvolvendo um programa de governança de dados, incluindo políticas, procedimentos e diretrizes para os funcionários seguirem. A documentação inclui como identificar e gerenciar problemas de privacidade de dados, melhores práticas para garantir a conformidade com a privacidade e políticas para abordar incidentes de privacidade.
b) Compromisso com a confidencialidade e proteção de dados
A Globalization Partners desenvolveu e está desenvolvendo um programa de governança de dados, incluindo políticas, procedimentos e diretrizes para os funcionários seguirem. Todos os funcionários e contratados estão vinculados por escrito à confidencialidade e proteção de dados, bem como a outras leis relevantes. Todos os funcionários recebem treinamento de privacidade e segurança. Auditorias internas sobre proteção de dados e segurança da informação são realizadas regularmente. As auditorias são realizadas com base em critérios/esquemas de teste comuns. Os funcionários e contratados da Globalization Partners são instruídos a processar dados pessoais apenas por motivos legais, de acordo com os contratos aplicáveis com o cliente e profissional, com a devida consideração a qualquer consentimento expresso dado ou retido pelo titular dos dados, e de acordo com qualquer dever legal da organização.
c) Treinamento de proteção de dados
Todos os funcionários recebem treinamento de privacidade e segurança que permanece disponível para análise a qualquer momento na plataforma de treinamento da Globalization Partners.
d) Controles de acesso físico
A Globalization Partners tem os seguintes controles físicos em vigor para negar o acesso de pessoas não autorizadas a equipamentos de sistemas de TI usados para processamento.
- Proteção eletrônica de portas
As portas de entrada das instalações dos escritórios da Globalization Partners estão sempre trancadas e protegidas eletronicamente. As portas são abertas através de um transponder eletrônico pessoal. - Distribuição controlada de chaves
Uma alocação central e documentada de chaves para os funcionários da Globalization Partners ocorre. Esses transponders/chaves eletrônicos podem ser desativados centralmente por cada gerente de escritório ou pelo departamento de Recursos Humanos. - Supervisão e acompanhamento de pessoas externas
Prestadores de serviços externos e outros terceiros só podem receber acesso às instalações por meio de autorização prévia ou quando acompanhados por um funcionário da Globalization Partners. A Globalization Partners aplica sua Política de visitantes por escrito quando os visitantes são convidados para as instalações. - A proteção de instalações com maior necessidade de proteção
Instalações ou gabinetes com maiores requisitos de proteção, como escritórios jurídicos e determinados locais de operações, são equipados com armários e gavetas com travamento. Armários e gavetas onde documentos legais, contratos e documentação confidencial são mantidos devem ser trancados em todos os momentos, exceto quando estiverem em uso. - Portas e janelas fechadas
Os funcionários são instruídos organizacionalmente a manter as janelas e portas fechadas ou trancadas fora do horário comercial.
e) Recuperabilidade
A Globalization Partners garante que os sistemas em uso possam ser restaurados em caso de falha física ou técnica.
- Testes regulares de recuperação de dados (“Testes de restauração”)
Testes regulares de restauração completa são realizados para garantir a recuperabilidade em caso de emergência/desastre. - Plano de emergência (“Conceito de Recuperação de Desastres”)
Existe um conceito para o tratamento de emergências/desastres e um plano de emergência correspondente. A Globalization Partners garante a recuperação de todos os sistemas com base nos backups de dados, geralmente dentro de 48 horas. - Análise e avaliação das medidas
Apresentação dos procedimentos para análise, avaliação e avaliação regulares da eficácia das medidas técnicas e organizacionais.
f) Equipe de Privacidade
A organização tem um escritório global de privacidade de dados encarregado de planejar, implementar, avaliar e adaptar medidas no campo da proteção de dados.
g) Gestão de risco
Existe um processo para analisar, avaliar e alocar riscos e para derivar medidas com base nesses riscos.
3) ANÁLISE INDEPENDENTE DA SEGURANÇA DA INFORMAÇÃO
a) Realização de auditorias
Auditorias internas sobre proteção de dados e segurança da informação são realizadas regularmente. As auditorias são realizadas com base em critérios/esquemas de teste comuns.
b) Revisão da conformidade com as políticas e normas de segurança
A conformidade com as diretrizes, normas e outros requisitos de segurança aplicáveis para o processamento de dados pessoais é verificada regularmente. Sempre que possível, essas verificações são realizadas de forma aleatória e inesperada.
c) Verificação de conformidade com especificações técnicas
Verificações regulares de vulnerabilidade automatizadas e manuais são realizadas pelo departamento de TI ou outro pessoal qualificado para verificar a segurança dos aplicativos e infraestrutura, bem como o desenvolvimento regular do produto. Testes detalhados de penetração são realizados por um provedor de serviços externo para examinar especificamente os aplicativos e a infraestrutura quanto a vulnerabilidades.
d) Processamento na instrução
Os funcionários da Globalization Partners são instruídos a processar dados pessoais apenas por motivos legais, de acordo com os contratos aplicáveis com o cliente e profissional, com a devida consideração a qualquer consentimento expresso dado ou retido pelo titular dos dados, e de acordo com qualquer dever legal da organização.
e) Seleção cuidadosa de fornecedores
A Globalization Partners adere ao seu Processo de Pré-qualificação de Fornecedores ao selecionar fornecedores que possam encontrar dados protegidos. Esse processo inclui feedback dos departamentos financeiro e jurídico/de privacidade e incorpora as etapas de avaliação de risco, pré-qualificação de segurança e certificação de documentação. Os fornecedores que processarem dados protegidos deverão demonstrar sua adesão às leis de privacidade de dados aplicáveis, incluindo o Artigo 28 GDPR para dados cobertos.
Anexo III - Lista de Subprocessadores
| Subprocessador | Informações de contato | Descrição do processamento | Location |
|---|---|---|---|
| Subsidiárias da Globalization Partners | https://www.globalization- partners.com/contact-us/ | Fornecer a plataforma e o gerenciamento do relacionamento com o cliente | EUA |
| Acumatica | 3933 Lake Washington Blvd NE #350, Kirkland, WA 98033, EUA | Serviços financeiros | EUA |
| Amazon Web Service | Caixa Postal 81226 Seattle, WA 98108-1226, EUA https://aws.amazon.com/contact-us/ |
Hospedagem – Provedor de serviços em nuvem | EUA |
| Microsoft | One Microsoft Way Redmond, Washington 98052 EUA Telefone: (+1) 425-882-8080. |
Comunicações de suporte a processos de negócios (e-mail); gerenciamento de serviços | EUA |
| Atlassiano | 350 Bush Street Floor 13 San Francisco, CA 94104, EUA +1 415 701 1110 |
Suporte a processos de negócios para gerenciamento de serviços | EUA |
| Conga | https://conga.com/contact-us 62 Margaret St, 3.o andar Londres W1W8TF Reino Unido |
Gestão de contratos | Reino Unido |
| DocuSign | DocuSign International (EMEA) Ltd, Atenção: Equipe de privacidade, 5 Hanover Quay, Andar térreo, Dublin2, República da Irlanda | Gerenciamento de documentos | Irlanda |
| Gongo | 265 Cambridge Ave, Suíte 60717 Palo Alto, CA 94306, EUA | Serviços de telecomunicações | EUA |
| iCertis | 2 Kingdom Street Paddington London W2 6BD Reino Unido | Gestão de contratos | Reino Unido |
| Salesforce.com | Salesforce Tower, 415 Mission Street, 3.o andar, São Francisco, CA 94105, EUA 1-800-387-3285 |
Suporte a processos de negócios para gestão de relacionamento com o cliente (CRM) | EUA |
| Zendesk | 989 Market St. San Francisco, CA 94103, EUA zendesk.com 888-670-4887 |
Consultas do Helpdesk para suporte ao cliente | EUA |
Anexo IV - Adendo do Reino Unido às Cláusulas Contratuais Padrão da UE
PARTE 1: TABELAS
Tabela 1: Partes
| Data de início | Data de vigência deste Adendo | |
|---|---|---|
| As Partes | Exportador (que envia a Transferência Restrita) | Importador (que recebe a transferência restrita) |
| Detalhes das partes | Detalhes da entidade do cliente, conforme estabelecido no Contrato Principal. | Detalhes da entidade da Globalization Partners conforme estabelecido no Contrato Principal. |
| Principais contatos | Detalhes de contato do cliente conforme estabelecido no Contrato Principal. | Detalhes de contato da Globalization Partners, conforme estabelecido no Contrato Principal, e detalhes de contato de Privacidade da Globalization Partners, conforme definido no Anexo I acima. |
Tabela 2: CCSs, módulos e cláusulas selecionadas
| Adendo às SCCs da UE | A versão das SCCs da UE aprovadas incorporadas na Seção 3.9 do Adendo, incluindo as informações do Anexo anexadas a este Adendo. |
Tabela 3: Informações do Anexo
“Informações do Anexo” significa as informações que devem ser fornecidas para os módulos selecionados, conforme estabelecido no Anexo das SCCs da UE aprovadas (exceto as Partes), e que, para este Adendo, estão estabelecidas em:
- Anexo 1A: Lista de Partes: Anexo I
- Anexo 1B: Descrição da transferência: Anexo I
- Anexo II: Medidas técnicas e organizacionais, incluindo medidas técnicas e organizacionais para garantir a segurança dos dados: Anexo II
- Anexo III: Lista de subprocessadores: Anexo III
Tabela 4: Encerrando este adendo quando o adendo aprovado for alterado
| Encerrando este Adendo quando o Adendo Aprovado for alterado | Quais Partes podem rescindir este Adendo conforme estabelecido na Seção 19: ☐ Importador Exportador ☐ nenhuma das Partes |
PARTE 2: CLÁUSULAS OBRIGATÓRIAS
| Cláusulas obrigatórias | Parte 2: Cláusulas Obrigatórias do Adendo Aprovado, sendo o modelo do Adendo B.1.0 emitido pelo ICO e apresentado perante o Parlamento de acordo com a Lei s119A de Proteção de Dados 2018 em 2 fevereiro de 2022, conforme revisado na Seção 18 dessas Cláusulas Obrigatórias. |