Logotipo GP​​ 
Solicite uma proposta​​ 

Linguagem de Privacidade do MSA​​ 

Última atualização: junho 26, 2026​​ 

ADENDO DE PROTEÇÃO DE DADOS​​ 

O Cliente e a GP são Partes em um Contrato Principal ou em um contrato de natureza e finalidade semelhantes (doravante denominado “Contrato Principal”). Este DPA complementa os termos e condições do Contrato Principal e está incorporado a ele. Em caso de conflito entre este DPA e qualquer outro acordo entre as Partes sobre as questões aqui estabelecidas, este DPA prevalecerá. Caso o Cliente já possua um aditivo de proteção de dados vigente com a GP, esse acordo prevalecerá sobre este DPA, e este DPA não terá força ou efeito, a menos que seja acordado de outra forma por escrito entre o Cliente e a GP.​​ 
 

1. DEFINIÇÕES​​  

Os termos não definidos neste documento têm os significados estabelecidos no Contrato Principal. As seguintes palavras neste DPA têm os seguintes significados:​​ 
1.1 “​​ Usuário autorizado​​ ““GPP” significa um indivíduo autorizado pelo Cliente, que pode incluir um funcionário e/ou contratado do Cliente, a acessar e usar o GPP em nome do Cliente, de acordo com a execução do Contrato Principal.​​ 
1.2 “​​ Dados do cliente​​ “Dados Pessoais” significa quaisquer Dados Pessoais relacionados a qualquer Usuário Autorizado ou pessoa física identificável que sejam transferidos, processados ou armazenados pela GP em nome do Cliente em conexão com os Serviços para uso do GPP pelo Cliente.​​ 
1.3 “​​ Proteção dos dados​​  Leis​​ “Significa quaisquer leis de proteção de dados e privacidade às quais uma parte deste Contrato esteja sujeita e que sejam aplicáveis aos Serviços prestados, incluindo, quando aplicável, mas não se limitando a, GDPR, GDPR do Reino Unido, leis suíças de proteção de dados, leis de privacidade dos EUA (incluindo leis estaduais e federais) e LGPD do Brasil.​​ 
1.4 “​​ EOR​​ “Empregador Registrado” significa Empregador Oficial.​​ 
1.5 “​​ RGPD​​ “” significa o Regulamento Geral de Proteção de Dados (UE) 2016/679.​​ 
1.6 “​​ GPP​​ "Significa o software proprietário da G-P, incluindo, sem limitação, o software, a versão móvel, qualquer software nele contido e quaisquer dados disponibilizados através da utilização do software proprietário da G-P ou de serviços de terceiros, incluindo as suas atualizações, upgrades, plataforma como serviço e documentação."​​ 
1.7 “​​ EEA​​ “Significa o Espaço Econômico Europeu.”​​ 
1.8 “​​ LGPD​​ ““Lei Geral de Proteção de Dados Pessoais” significa a Lei nº 13.709 do Brasil, conforme alterada, revogada ou substituída.​​ 
1.9 “​​ política de Privacidade​​ “Política de privacidade da GP”, atualizada periodicamente, disponível em [link para a política de privacidade da GP].​​   
1.10 “​​ Dados dos profissionais​​ “Dados Pessoais de Profissionais” significa os Dados Pessoais dos Profissionais processados pela GP no âmbito da prestação de serviços de EOR ao Cliente.​​ 
1.11 "​​ Transferência Restrita"​​  Significa qualquer transferência de Dados Pessoais para um país fora do EEE, do Reino Unido, da Suíça ou do Brasil que não esteja sujeito a uma decisão de adequação nos termos das leis de proteção de dados aplicáveis e, portanto, exija salvaguardas apropriadas de acordo com as leis de proteção de dados aplicáveis.​​ 
1.12 “​​ Serviços”​​  significar​​  os serviços​​  a ser fornecido pela GP ao Cliente nos termos do Contrato Principal, o qual pode incluir a prestação de serviços de EOR e o acesso e utilização do GPP.​​ 
1.13 "​​ Cláusulas Contratuais Padrão"​​  ou​​  "SCCs"​​  significa (i) onde o RGPD se aplica, as cláusulas contratuais-tipo anexas à Decisão de Execução (UE) 2021/914 da Comissão Europeia, de 4 de junho 2021 cláusulas contratuais-tipo para a transferência de dados pessoais para países terceiros nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, disponíveis em​​   (“Cláusulas Contratuais Padrão da UE”); (ii) quando o RGPD do Reino Unido se aplica, as cláusulas padrão de proteção de dados aplicáveis adotadas de acordo com o Artigo 46(2)(c), ou (d) quando o RGPD do Reino Unido significa o Adendo de Transferência Internacional de Dados (“Adendo do Reino Unido”) às Cláusulas Contratuais Padrão da UE emitido pelo Gabinete do Comissário de Informação nos termos do art.119A(1) da Lei de Proteção de Dados 2018, conforme esse Adendo do Reino Unido possa ser revisado nos termos do Artigo 18 da mesma (“Cláusulas Contratuais Padrão do Reino Unido”); (iii) quando as Leis Suíças de Proteção de Dados se aplicam, as cláusulas padrão de proteção de dados aplicáveis emitidas, aprovadas ou reconhecidas pela Autoridade Federal Suíça de Proteção de Dados e pelo Gabinete do Comissário de Informação (as “Cláusulas Contratuais Padrão Suíças”); quando a LGPD brasileira se aplica, as cláusulas contratuais padrão aplicáveis, anexas à Resolução CD/ANPD nº 19/2024 promulgada pela Autoridade Nacional de Proteção de Dados do Brasil (“ANPD”), conforme possam ser alteradas de tempos em tempos (“Cláusulas Contratuais Padrão do Brasil”).​​ 
1.14 “​​ Leis Suíças de Proteção de Dados​​ " ou​​  “FADP”​​  significa (i) Lei Federal Suíça de Proteção de Dados (“​​ FDPA​​ ”); (ii) A Portaria sobre a Lei Federal de Proteção de Dados (“​​ FODP​​ “); e (iii) quaisquer leis nacionais de proteção de dados feitas ao abrigo, em conformidade com, substituindo ou sucedendo e qualquer legislação que substitua ou atualize qualquer uma das anteriores.​​ 
1.15 “​​ Adendo do Reino Unido​​ ““Aditivo à transferência internacional de dados do Reino Unido” significa o adendo do Reino Unido às Cláusulas Contratuais Padrão da UE, emitido pelo Comissário de Informação do Reino Unido.​​ 
1.16 “​​ Leis de Proteção de Dados do Reino Unido​​  significa o RGPD tal como incorporado na legislação do Reino Unido por força da secção 3 da Lei de Retirada da União Europeia do Reino Unido 2019 ("RGPD do Reino Unido") e da Lei de Proteção de Dados 2018 (em conjunto, "Leis de Proteção de Dados do Reino Unido").​​ 
1.17 “​​ Leis de privacidade dos EUA​​ “Significa as leis, ordens, regulamentos e orientações regulatórias aplicáveis dos Estados Unidos (EUA) relacionadas ao Processamento de Dados Pessoais, incluindo, sem limitação: (a) a CCPA; (b) a Lei de Proteção de Dados do Consumidor da Virgínia; (c) a Lei de Privacidade do Colorado; (d) a Lei de Privacidade de Dados e Monitoramento Online de Connecticut; (e) a Lei de Privacidade do Consumidor de Utah; e (f) todas as leis estaduais semelhantes.​​ 
1.18 "​​ Controlador, Titular dos Dados, Dados Pessoais, Informações Pessoais, Violação de Dados, Processador, Processamento, Transferência Restrita, Prestador de Serviços​​  e/ou quaisquer outros termos e conceitos semelhantes terão os significados definidos nas Leis de Proteção de Dados.​​ 
 
 

2. CONTROLADOR INDEPENDENTE - RELAÇÃO DE CONTROLADORES​​  

2.1​​  Funções das Partes.​​  Quando a GP fornece serviços de EOR ao Cliente, a GP assume o papel de empregador legal para quaisquer indivíduos selecionados pelo Cliente ("Profissionais") para serem contratados. Com relação aos Dados Pessoais desses Profissionais, a GP atua como Controladora independente durante o período da relação de trabalho. Com relação aos Dados Pessoais do Profissional coletados e utilizados pelo Cliente para seus próprios fins, o Cliente também é um Controlador independente com obrigações de privacidade independentes. Ao fornecer os serviços EOR, a troca de Dados Pessoais dos Profissionais entre a GP e o Cliente ocorre sob uma relação Controlador-para-Controlador independente e as disposições desta seção 2 (“Relação Controlador-Controlador Independente”) serão aplicáveis. Em hipótese alguma as Partes tratarão Dados Pessoais ao abrigo deste DPA como Controladores conjuntos.​​ 
2.2​​  Responsabilidades e Agradecimentos​​ As Partes, na qualidade de Controladores, deverão:​​ 
2.2.1 Cumprir as leis de proteção de dados aplicáveis em relação ao tratamento de dados pessoais de profissionais.​​ 
2.2.2 Processar e compartilhar os Dados Pessoais dos Profissionais de forma justa e lícita, com a finalidade de (conforme o caso) prestar ou receber os Serviços de EOR para seus próprios interesses legítimos.​​ 
2.2.3 Garantir que exista uma base legal para o processamento de dados pessoais de profissionais em qualquer compartilhamento entre as partes.​​ 
2.2.4 Auxiliar-se mutuamente no cumprimento das respectivas obrigações nos termos das Leis de Proteção de Dados, incluindo, entre outras, o auxílio mútuo em caso de violação de dados e a resposta às solicitações dos titulares dos dados e/ou dos órgãos reguladores.​​  
 

3. RELAÇÃO CONTROLADOR-PROCESSADOR​​ 

3.1​​  Funções das Partes​​ A GP também oferece diversos produtos de software como serviço através do GPP, por meio do qual a GP permite que o Cliente gerencie o relacionamento com esses Profissionais. Quando a GP fornece ao Cliente acesso ao GPP, a GP é a Processadora dos Dados Pessoais relacionados à conta carregados no GPP pelos Usuários Autorizados do GPP designados pelo Cliente e o Cliente é o Controlador de tais dados e, as disposições desta seção 3 (“Relação Controlador-Processador”) serão aplicáveis.​​ 
3.2​​  Instruções.​​  A GP processará os Dados do Cliente de acordo com as instruções documentadas do Cliente.  O Cliente concorda que este DPA, o Contrato Principal e o Anexo I anexo constituem as instruções completas do Cliente à GP relativamente ao Processamento dos Dados do Cliente.  Quaisquer instruções adicionais ou alternativas devem ser acordadas entre as Partes por escrito, incluindo os custos (se houver) associados ao cumprimento de tais instruções.  O cliente deverá garantir que suas instruções estejam em conformidade com as leis de proteção de dados aplicáveis. O Cliente reconhece que a GP não é responsável por determinar quais leis são aplicáveis ao negócio do Cliente. O Cliente garantirá que o Processamento dos Dados do Cliente pela G-P, quando realizado de acordo com as instruções do Cliente, não fará com que a G-P viole qualquer lei aplicável, incluindo as Leis de Proteção de Dados aplicáveis. Contudo, se a GP considerar que uma instrução do Cliente infringe as leis de proteção de dados aplicáveis, a GP notificará o Cliente assim que for razoavelmente possível e não será obrigada a cumprir tal instrução infratora.​​  
3.3​​  Detalhes do Processamento​​ Os detalhes relativos ao objeto do Processamento, sua duração, natureza e finalidade, bem como o tipo de Dados do Cliente e titulares dos dados, estão especificados no Anexo I em anexo.​​   
3.4​​  Conformidade.​​  O Cliente e a GP concordam em cumprir suas respectivas obrigações de acordo com as Leis de Proteção de Dados aplicáveis aos Dados do Cliente que são processados conforme especificado no Anexo I. O Cliente é o único responsável por cumprir as Leis de Proteção de Dados relativas à legalidade do Processamento de seus Dados antes de divulgá-los, transferi-los ou disponibilizá-los de qualquer outra forma à GP.  Para evitar dúvidas, em todos os casos, o Cliente deverá obter, quando necessário, o consentimento dos Titulares dos Dados para que a GP processe os Dados do Cliente conforme as instruções do Cliente.​​ 
3.5​​  Subprocessadores​​ O Cliente autoriza a GP a nomear e utilizar Processadores (“Subprocessadores”) para processar os Dados do Cliente em conexão com os Serviços.  Os subcontratados podem incluir terceiros ou qualquer membro do grupo de empresas GP. A GP poderá continuar a utilizar os Subprocessadores já contratados pela GP na data deste DPA, e uma lista desses Subprocessadores está disponível no Anexo III em anexo. Caso um Subprocessador não cumpra suas obrigações de proteção de dados conforme especificado acima, a GP será responsável perante o Cliente pelo cumprimento das obrigações do Subprocessador. A GP notificará o Cliente sobre quaisquer alterações em sua lista de Subprocessadores por meio do GPP. Se, dentro de 10 (dez) dias do recebimento dessa notificação, o Cliente se opuser legitimamente à adição ou remoção de um Subprocessador por motivos de proteção de dados e a GP não puder acomodar razoavelmente a objeção do Cliente, as Partes discutirão as preocupações do Cliente de boa fé com vista a resolver o assunto.​​ 
3.6​​  Medidas de segurança técnicas e organizacionais​​ Levando em consideração os padrões da indústria, os custos de implementação, a natureza, o escopo, o contexto e as finalidades do Processamento, bem como quaisquer outras circunstâncias relevantes relacionadas ao Processamento dos Dados do Cliente, a GP implementará medidas de segurança técnicas e organizacionais apropriadas para garantir que a segurança, a confidencialidade, a integridade, a disponibilidade e a resiliência dos sistemas e serviços de processamento envolvidos no Processamento dos Dados do Cliente sejam proporcionais ao risco inerente a esses Dados do Cliente, conforme detalhado no Anexo II anexo a este documento.  A GP irá periodicamente (i) testar e monitorar a eficácia de suas salvaguardas, controles, sistemas e procedimentos e (ii) identificar riscos internos e externos razoavelmente previsíveis à segurança, confidencialidade e integridade dos Dados do Cliente e garantir que esses riscos sejam tratados.​​  
3.7​​  Confidencialidade​​ A GP deverá garantir que as pessoas autorizadas a aceder aos Dados do Cliente (i) se comprometam com a confidencialidade ou estejam sujeitas a uma obrigação legal apropriada de confidencialidade e (ii) acedam aos Dados do Cliente apenas mediante instruções documentadas da GP, a menos que tal seja exigido pela legislação aplicável.​​ 
3.8​​  Violação de dados pessoais.​​  A GP notificará o Cliente sem demora indevida após tomar conhecimento de uma Violação de Dados relacionada ao Processamento de Dados do Cliente e envidará esforços razoáveis para auxiliar o Cliente a mitigar, sempre que possível, os efeitos adversos de qualquer Violação de Dados.​​ .​​ 
3.9​​  Exclusão de Dados Pessoais.​​   Após o término dos Serviços (por qualquer motivo), a GP deverá, assim que razoavelmente possível, devolver ou excluir os Dados do Cliente armazenados no GPP, a menos que a legislação aplicável exija o armazenamento dos Dados do Cliente por um período mais longo. Para esse período de retenção, as disposições deste DPA continuarão a ser aplicáveis a esses Dados do Cliente.​​ 
3.10​​  Solicitações do titular dos dados​​ A GP deverá informar prontamente o Cliente sobre quaisquer solicitações dos Titulares dos Dados relativas aos Dados do Cliente. O cliente é responsável por responder a tais solicitações. A GP prestará assistência razoável ao Cliente para responder a tais solicitações do Titular dos Dados, na medida em que o Cliente não consiga acessar os Dados do Cliente relevantes em sua utilização do GPP.​​  
3.11​​  Solicitações de terceiros​​ Caso a GP receba qualquer solicitação de terceiros ou uma ordem judicial, arbitral, reguladora ou agência governamental com jurisdição competente à qual a GP esteja sujeita, relacionada ao Processamento de Dados do Cliente nos termos do Contrato, a GP encaminhará prontamente a solicitação ao Cliente. A GP não responderá a tais solicitações sem a autorização prévia do Cliente, a menos que seja legalmente obrigada a fazê-lo. A GP, a menos que seja legalmente proibida de fazê-lo, informará o Cliente antes de divulgar quaisquer Dados do Cliente e cooperará razoavelmente com o Cliente para limitar o escopo de tal divulgação ao que for legalmente exigido.​​   
3.12​​  Avaliação de Impacto sobre a Proteção de Dados e Consulta Prévia​​ Na medida exigida pelas leis de proteção de dados, a GP prestará assistência razoável ao Cliente para a realização de uma avaliação de impacto sobre a proteção de dados em relação ao processamento de dados do Cliente realizado pela GP e/ou quaisquer consultas prévias necessárias com as autoridades de supervisão. A GP reserva-se o direito de cobrar ao Cliente uma taxa razoável pela prestação dessa assistência.​​ 
3.13​​  Auditoria.​​   Customer may audit G-P compliance with this DPA and Data Protection Laws by requesting a certificate issued for security verification reflecting the outcome of an audit conducted by a third party auditor (e.g., ISO27001 certification, SOC2 certificate), within twelve (12) months as of the date of Customer’s request. Alternatively, in the event the documentation provided subject to this Section 3.13 is not sufficient for the purpose of demonstrating compliance, the Customer may conduct its own audit in addition to the provided third party certifications or reports, provided that such audit shall be conducted: i) no more than once per each 12 (twelve) months period; ii) during normal business hours and without disrupting G-P’s day-to-day business; iii) with thirty (30) days prior written notice; iv) at the Customer’s sole expense; v) based upon mutually agreed parameters and scope, limited to the specific scope of services, systems in use and/or Processing activities contemplated hereunder; vi) based upon mutually agreed in advance date, subject to reasonable postponement by Customer upon G-P’s reasonable request; and vii) in accordance with all confidentiality obligations and restrictions. Notwithstanding the forgoing, no audit right is granted after termination of the Master Agreement, except for legal obligations that will have to be demonstrated by the Customer. Any third-party representative selected to perform an audit on behalf of Customer must not have an ownership interest in or affiliation with an EOR services company, agency, a related organization or consultant. Nothing in this DPA will require G-P to either disclose to Customer or its third-party auditor, or to allow Customer or its third-party auditor to access: (i) any data of any other G-P’s customer; (ii) G-P’ internal accounting or financial information; (iii) any trade secret of G-P or its affiliates; (iv) any information that, in G-P’ reasonable opinion, could compromise the security of any G-P’s systems or cause any breach of its obligations under applicable law or its security or privacy obligations to any third party; or (v) any information that Customer or its third-party auditor seeks to access for any reason other than the good faith fulfillment of Customer’s obligations under the Data Protection Laws.​​ 
3.14​​  Leis de privacidade dos EUA.​​  Nos termos desta seção 3, as Partes concordam que a GP é um “Prestador de Serviços” ou “Processador”, conforme esses termos são definidos pelas leis de privacidade aplicáveis dos EUA. Assim, na medida em que as Leis de Privacidade dos EUA se apliquem ao Processamento de Dados do Cliente pela GP, a GP não deverá (a) reter, usar ou divulgar quaisquer Dados do Cliente fora da relação comercial direta entre a GP e o Cliente, ou para qualquer finalidade que não seja a estabelecida no Anexo I anexo a este documento, e a GP somente processará os Dados do Cliente enquanto prestar serviços ao Cliente; (b) vender quaisquer Dados do Cliente; (c) compartilhar quaisquer Dados do Cliente; ou (d) combinar os Dados do Cliente que a GP recebe do Cliente ou em seu nome com “dados pessoais” (conforme definido pelas Leis de Proteção de Dados aplicáveis) que recebe de outra pessoa ou em seu nome, ou coleta de sua própria interação com um consumidor, desde que a GP possa combinar os Dados do Cliente se isso estiver dentro do escopo da prestação dos serviços ao Cliente. Quando aplicável, cada Parte deverá notificar a outra Parte caso determine que não pode mais cumprir suas obrigações de acordo com as leis de privacidade dos EUA.​​ 
 

4. TRANSFERÊNCIAS INTERNACIONAIS DE DADOS​​ 

4.1​​  Proteção adequada​​ A GP está autorizada, no curso normal dos negócios, a realizar transferências internacionais de Dados do Cliente para suas afiliadas e/ou Subprocessadores.  Ao efetuar tais transferências para um território que não tenha sido reconhecido pelas autoridades de proteção de dados competentes como oferecendo um nível adequado de proteção para Dados Pessoais, de acordo com as Leis de Proteção de Dados, a GP deverá assegurar que existam medidas de proteção adequadas para salvaguardar os Dados do Cliente transferidos ao abrigo do Contrato Principal ou em conexão com o mesmo.​​ 
4.2​​  Quadro de Privacidade de Dados.​​  Profissionais​​  Os dados dos clientes são armazenados no GPP, que está hospedado nos EUA. O GPP é certificado pelo Quadro de Privacidade de Dados UE-EUA (EU-US DPF) e, quando aplicável, pela Extensão do Reino Unido ao EU-US DPF e pelo Quadro de Privacidade de Dados Suíça-EUA (Swiss-US DPF). A certificação do GP pode ser confirmada publicamente no site da DPF.​​   O Quadro de Proteção de Dados UE-EUA foi considerado adequado pela Comissão Europeia, sendo um mecanismo lícito de transferência de dados nos termos do Artigo 45 do RGPD, do RGPD do Reino Unido e do FADP, respectivamente. Caso o(s) Quadro(s) DPF sejam invalidados, suspensos ou deixem de ser reconhecidos como fornecendo proteção adequada para transferências internacionais de dados, o Processador concorda em celebrar e cumprir as Cláusulas Contratuais Padrão (SCCs) emitidas ou aprovadas pela Comissão Europeia, pelo Gabinete do Comissário de Informação do Reino Unido (ICO) ou pelo Comissário Federal Suíço para a Proteção de Dados e Informação (FDPIC), conforme aplicável. As Partes cooperarão de boa-fé para implementar quaisquer medidas suplementares necessárias para garantir um nível de proteção essencialmente equivalente para os dados transferidos.​​ 
4.3​​  Cláusulas contratuais padrão.​​  As Partes concordam que, quando a transferência de dados pessoais do Cliente (como "exportador de dados") para a GP (como "importadora de dados") for uma Transferência Restrita e as Leis de Proteção de Dados aplicáveis exigirem a implementação de salvaguardas adequadas, tal transferência estará sujeita às Cláusulas Contratuais Padrão apropriadas, as quais serão consideradas incorporadas e farão parte deste DPA, conforme segue:​​ 
um. Em relação às transferências de Dados Pessoais protegidos pelo RGPD, aplicam-se as Cláusulas Contratuais Padrão da UE, preenchidas da seguinte forma:​​ 
i. Os módulos um e dois serão aplicados;​​ 
ii. na Cláusula 7, a cláusula de ancoragem opcional será aplicada;​​ 
iii. na Cláusula 9 do Módulo Dois, a Opção 2 será aplicada e o período de tempo para aviso prévio de alterações do Subprocessador será conforme estabelecido na seção 3.5 deste DPA;​​ 
iv. na Cláusula 11, a linguagem opcional não se aplicará;​​ 
v. na Cláusula 12, quaisquer reclamações apresentadas ao abrigo das Cláusulas Contratuais Padrão da UE estarão sujeitas aos termos e condições estabelecidos no Contrato Principal;​​ 
vi. na Cláusula 17, a Opção 1 será aplicada e as Cláusulas Contratuais Padrão da UE serão regidas pela lei irlandesa;​​ 
vii. na cláusula 18(b), as disputas serão resolvidas perante os tribunais da Irlanda;​​ 
viii. O Anexo I das Cláusulas Contratuais Padrão da UE considera-se completo com as informações constantes do Anexo 1 deste DPA; e​​ 
ix. O Anexo II das Cláusulas Contratuais Padrão da UE será considerado completo com as informações estabelecidas no Anexo 2 deste DPA;​​ 
x. O Anexo III do Módulo Dois das Cláusulas Contratuais Padrão da UE será considerado completo com as informações estabelecidas no Anexo 3 deste DPA.​​ 
b. Em relação às transferências de dados pessoais protegidos pelas leis de proteção de dados do Reino Unido ou pelas leis de proteção de dados da Suíça, as Cláusulas Contratuais Padrão da UE, conforme implementadas nos termos da alínea (a) acima, serão aplicadas com as seguintes modificações:​​ 
i. as referências ao "Regulamento (UE) 2016/679" devem ser interpretadas como referências às leis de proteção de dados do Reino Unido ou às leis de proteção de dados suíças (conforme aplicável);​​ 
ii. as referências a artigos específicos do "Regulamento (UE) 2016/679" serão substituídas pelo artigo ou secção equivalente das Leis de Proteção de Dados do Reino Unido ou das Leis de Proteção de Dados Suíças (conforme aplicável);​​ 
iii. As referências a "UE", "União", "Estado-Membro" e "legislação do Estado-Membro" serão substituídas por referências a "Reino Unido" ou "Suíça", ou "legislação do Reino Unido" ou "legislação suíça" (conforme aplicável);​​ 
iv. o termo "Estado-membro" não deve ser interpretado de forma a excluir os titulares de dados no Reino Unido ou na Suíça da possibilidade de exercerem os seus direitos no seu local de residência habitual (ou seja, o Reino Unido ou a Suíça);​​ 
v. A cláusula 13(a) e a Parte C do Anexo I não são utilizadas e a "autoridade supervisora competente" é o Comissário de Informação do Reino Unido ou o Comissário Federal Suíço de Informação sobre Proteção de Dados (conforme aplicável);​​ 
vi. as referências à "autoridade supervisora competente" e aos "tribunais competentes" serão substituídas por referências ao "Comissário de Informação" e aos "tribunais da Inglaterra e do País de Gales" ou ao "Comissário Federal Suíço de Proteção de Dados" e aos "tribunais aplicáveis da Suíça" (conforme o caso);​​ 
vii. na Cláusula 17, as Cláusulas Contratuais Padrão serão regidas pelas leis da Inglaterra e do País de Gales ou da Suíça (conforme aplicável); e​​ 
viii. No que diz respeito às transferências às quais se aplicam as leis de proteção de dados do Reino Unido, a cláusula 18 será alterada para declarar "Qualquer disputa decorrente destas cláusulas será resolvida pelos tribunais da Inglaterra e do País de Gales. O titular dos dados pode instaurar um processo judicial contra o exportador e/ou importador de dados perante os tribunais de qualquer país do Reino Unido. As Partes concordam em submeter-se à jurisdição de tais tribunais”, e com relação às transferências às quais se aplicam as Leis Suíças de Proteção de Dados, a Cláusula 18(b) deverá estipular que as disputas serão resolvidas perante os tribunais competentes da Suíça.​​ 
ix. Em relação aos dados protegidos pelo RGPD do Reino Unido, as Cláusulas Contratuais Padrão da UE serão aplicadas da seguinte forma: (i) serão aplicadas conforme preenchidas de acordo com os parágrafos (i) a (viii) acima; e (ii) serão consideradas alteradas conforme especificado na Parte 2 do Adendo do Reino Unido, que será considerado incorporado e fará parte integrante deste DPA. Além disso, as tabelas 1 a 3 na Parte 1 do Adendo do Reino Unido devem ser preenchidas respectivamente com as informações estabelecidas no Anexo I e no Anexo II deste DPA e a tabela 4 na Parte 1 do Adendo do Reino Unido deve ser considerada preenchida selecionando "nenhuma das partes".​​ 
c. Em relação às transferências de dados pessoais protegidos pela LGPD brasileira, seja diretamente ou por meio de transferência subsequente, para um país fora do Brasil que não esteja sujeito a uma decisão de adequação emitida pela ANPD, as Cláusulas Contratuais Padrão (SCCs) brasileiras serão consideradas celebradas e incorporadas a este DPA por esta referência, e completadas da seguinte forma:​​ 
i. A cláusula 2 das Cláusulas Contratuais Padrão do Brasil é satisfeita pelas informações estabelecidas no Anexo I, que descreve a transferência de dados;​​ 
ii. Na Cláusula 3 das Cláusulas Contratuais Padrão do Brasil, a Opção B será aplicada, com transferências subsequentes permitidas de acordo com a Seção 3.5 (“Subprocessadores”) deste DPA. O objeto, a natureza e a duração do processamento estão definidos no Anexo I deste DPA;​​ 
iii. A cláusula 4 das Cláusulas Contratuais Padrão do Brasil é satisfeita pelas informações estabelecidas no Anexo I deste DPA. Quando a GP for Controladora, ela será a “Parte Designada”, conforme definido nas Cláusulas Contratuais Padrão do Brasil, e para os fins da Cláusula 14 (Transparência), Cláusula 15 (Direitos do Titular dos Dados) e Cláusula 16 (Relatório de Incidentes) das Cláusulas Contratuais Padrão do Brasil. O Cliente permanece responsável pelo cumprimento da Cláusula 14 (Transparência), Cláusula 15 (Direitos do Titular dos Dados) e Cláusula 16 Relatório de Incidentes) das Cláusulas Contratuais Padrão do Brasil para quaisquer dados pessoais dos quais ele possa ser Controlador;​​ 
4. Na cláusula 9 das Cláusulas Contratuais Padrão do Brasil, a cláusula de acoplamento opcional não se aplicará; e​​ 
v. A Seção III (Medidas de Segurança) das Cláusulas Contratuais Padrão (SCCs) do Brasil será considerada completa com as informações estabelecidas no Anexo II deste DPA.​​ 
4.4​​  Transferências de dados imprevistas​​ Se, durante a prestação dos Serviços, qualquer das Partes identificar que ocorre ou é provável que ocorra uma transferência de Dados Pessoais que não esteja contemplada pelos mecanismos estabelecidos nas Seções 4,1 a 4 3 deste DPA, as Partes deverão notificar-se mutuamente de imediato e cooperar de boa-fé para implementar, sem demora injustificada, os mecanismos de transferência adicionais ou as medidas suplementares que possam ser exigidas pelas Leis de Proteção de Dados aplicáveis para garantir a legalidade de tal transferência. Nenhuma das Partes será obrigada a prosseguir com qualquer transferência imprevista até que o mecanismo apropriado tenha sido acordado e implementado.​​ 
 

Anexo I​​  

Descrição do Processamento de Dados​​ 
CONTROLADOR INDEPENDENTE - DETALHES DA RELAÇÃO DE CONTROLADORES​​ 
(Esta seção diz respeito aos detalhes dos Dados Pessoais que estão sendo compartilhados entre as Partes em suas capacidades de Controladores)​​ 
Festas​​ 
Exportador de dados: Entidade cliente que executa o Contrato Principal​​ 
Importador de dados: Globalization Partners LLC.​​ 
Detalhes de contato das partes​​ 
Os dados de contato estão definidos no Contrato Principal.​​ 
Atividades relevantes para os dados transferidos​​ 
Atividades relacionadas aos serviços de EOR (Recuperação Avançada de Engenharia).​​ 
Funções​​ 
Exportador de dados: Controlador.​​ 
Importador de dados: Controlador.​​ 
Atividades de processamento​​ 
Os Dados Pessoais tratados/transferidos podem estar sujeitos às seguintes atividades de tratamento: qualquer operação relacionada a Dados Pessoais, independentemente dos meios e procedimentos aplicados, em particular a coleta, organização, armazenamento, manutenção, uso, recuperação, consulta, arquivamento, transmissão, bloqueio, eliminação ou destruição de dados, a operação e manutenção de sistemas, o cumprimento de obrigações legais e de auditoria.​​ 
Duração do processamento​​ 
O prazo do Contrato Principal é de vigência contínua.​​ 
Natureza e Finalidade do Processamento​​ 
O Cliente poderá transferir os Dados do Cliente para a GP, sendo a extensão dessa transferência determinada e controlada pelo Cliente a seu exclusivo critério. A finalidade do processamento é fornecer os serviços de EOR (Recuperação Avançada de Petróleo) de acordo com o Contrato Principal.​​ 
Categorias de titulares de dados​​ 
Profissionais.​​ 
Tipos de Dados Pessoais​​ 
Dados de contato (que podem incluir nome, endereço, e-mail, telefone, fax, informações de contato de emergência e fuso horário local).​​ 
Informações sobre o emprego (que podem incluir formação acadêmica, currículo, cargo, nível hierárquico, dados demográficos, localização, nacionalidade e situação de conformidade com as normas de exportação, salário e bônus).​​ 
Conteúdo dos e-mails dos titulares dos dados.​​ 
Detalhes dos serviços prestados aos titulares dos dados ou em seu benefício.​​ 
Categorias Especiais de Dados (se aplicável)​​  
N / D​​ 
Retenção​​ 
Os dados pessoais serão conservados, no mínimo, pelo período mínimo de retenção legalmente exigido, em conformidade com os prazos de prescrição aplicáveis e que atenda às boas práticas comerciais.​​ 
Autoridade Supervisora Competente​​ 
A autoridade supervisora competente será determinada de acordo com as leis de proteção de dados aplicáveis e incluirá: a Comissão Irlandesa de Proteção de Dados (para o RGPD da UE); o Comissário Federal Suíço para a Proteção de Dados e Informação / FDPIC (para a FADP suíça); o Gabinete do Comissário de Informação do Reino Unido / ICO (para o RGPD do Reino Unido); e a Autoridade Nacional de Proteção de Dados / ANPD (para a LGPD brasileira).​​ 
Transferências para subprocessadores​​  
Para transferências a processadores, o objeto, a natureza e a duração do processamento são os mesmos definidos acima.​​ 
Informações de contato do médico de família sobre privacidade​​  
 
À atenção de: Escritório Global de Privacidade.​​  
 
 
 
DETALHES DA RELAÇÃO CONTROLADOR-PROCESSADOR​​ 
(Esta seção diz respeito aos detalhes dos Dados Pessoais que estão sendo processados pela GP em nome do Cliente)​​ 
Festas​​ 
Exportador de dados: Entidade cliente que executa o Contrato Principal​​ 
Importador de dados: Globalization Partners LLC.​​ 
Detalhes de contato das partes​​ 
Os dados de contato estão definidos no Contrato Principal.​​ 
Atividades relevantes para os dados transferidos​​ 
Atividades relacionadas aos serviços de EOR e ao uso do GPP fornecido ao Cliente como um serviço.​​ 
Funções​​ 
Exportador de dados: Controlador​​ 
Importador de dados: Processador​​ 
Atividades de processamento​​ 
Os Dados Pessoais tratados/transferidos podem estar sujeitos às seguintes atividades de tratamento: qualquer operação relacionada a Dados Pessoais, independentemente dos meios e procedimentos aplicados, em particular a coleta, organização, armazenamento, guarda, uso, recuperação, consulta, arquivamento, transmissão, bloqueio, eliminação ou destruição de dados, a operação e manutenção de sistemas, o cumprimento de obrigações legais e de auditoria.​​ 
Duração do processamento​​ 
O prazo do Contrato Principal é de vigência contínua.​​ 
Natureza e Finalidade do Processamento​​ 
O Cliente poderá transferir os Dados do Cliente para a GP, sendo a extensão dessa transferência determinada e controlada pelo Cliente a seu exclusivo critério. A finalidade do processamento é fornecer o GPP como um serviço ao Cliente, em conformidade com o Contrato Principal.​​ 
Categorias de titulares de dados​​ 
Usuários autorizados do GPP, que podem incluir funcionários e/ou contratados do Cliente.​​ 
Tipos de Dados Pessoais​​ 
Dados de contato (como número de telefone e e-mail).​​ 
Dados de funcionários/contratados (como cargo e nome da empresa).​​ 
Dados de utilização (como dados sobre o dispositivo do utilizador autorizado e a forma como esse dispositivo interage com a GPP).​​ 
Dados de localização (como a localização derivada do endereço IP).​​ 
Dados de conteúdo (como o conteúdo dos arquivos do Cliente referentes aos Profissionais e comunicações relacionadas).​​ 
Credenciais (como senhas, dicas de senhas e informações de segurança semelhantes usadas para autenticação e acesso à conta do GPP).​​ 
Quaisquer dados pessoais fornecidos por usuários autorizados.​​ 
Categorias Especiais de Dados (se aplicável)​​  
N / D​​ 
Retenção​​ 
Os dados pessoais serão conservados, no mínimo, pelo período mínimo de retenção legalmente exigido, em conformidade com os prazos de prescrição aplicáveis e que atenda às boas práticas comerciais.​​ 
Autoridade Supervisora Competente​​ 
A autoridade supervisora competente será determinada de acordo com as leis de proteção de dados aplicáveis e incluirá: a Comissão Irlandesa de Proteção de Dados (para o RGPD da UE); o Comissário Federal Suíço para a Proteção de Dados e Informação / FDPIC (para a FADP suíça); o Gabinete do Comissário de Informação do Reino Unido / ICO (para o RGPD do Reino Unido); e a Autoridade Nacional de Proteção de Dados / ANPD (para a LGPD brasileira).​​ 
Transferências para subprocessadores​​  
Para transferências a processadores, o objeto, a natureza e a duração do processamento são os mesmos definidos acima.​​ 
Informações de contato do médico de família sobre privacidade​​  
 
À atenção de: Escritório Global de Privacidade.​​  
 

Anexo II​​ 

Medidas técnicas e organizacionais​​ 

A GP foi certificada e atestada para confirmar a conformidade com as normas SOC 2 e ISO 27001 , por auditores independentes. Essas certificações demonstram nosso compromisso com a segurança dos dados do cliente. O programa de segurança da G-P foi concebido para:​​ 

Proteger a confidencialidade, integridade e disponibilidade dos Dados do Cliente que estejam em posse da G-P ou aos quais a G-P tenha acesso;​​ 

Proteger contra quaisquer ameaças ou riscos previstos à confidencialidade, integridade e disponibilidade dos Dados do Cliente;​​ 

Proteger contra acesso, uso, divulgação, alteração ou destruição não autorizados ou ilegais dos Dados do Cliente;​​ 

Proteger contra perda acidental, destruição ou dano aos Dados do Cliente; e​​ 

Proteger as informações conforme estabelecido em quaisquer regulamentos que regulem a prática de médicos de clínica geral.​​ 

A seguir, descrevemos as funções, processos, controles, sistemas, procedimentos e medidas que a GP adotou para garantir a segurança do processamento de dados do cliente:​​ 

1) MEDIDAS TÉCNICAS PARA GARANTIR A PRIVACIDADE E A PROTEÇÃO DE DADOS​​ 

Privacidade por design e por padrão:​​ 

A GP leva em consideração os requisitos do Artigo 25 do RGPD na fase de concepção e desenvolvimento do produto. Os processos e funcionalidades são configurados de forma a que os princípios de proteção de dados, tais como legalidade, transparência, limitação da finalidade, minimização de dados, etc., bem como a segurança do tratamento, sejam considerados numa fase inicial.​​ 

b) Criptografia de Dados Pessoais:​​ 

Garantir que os dados pessoais sejam armazenados no sistema apenas de forma que não permita a terceiros identificar o titular dos dados.​​ 

Criptografia de banco de dados e armazenamento:​​ 

Em todos os bancos de dados utilizados pela GP, é aplicada criptografia "em repouso" de acordo com o estado da arte, de forma que os dados do banco de dados só possam ser lidos após a devida autenticação no respectivo sistema de banco de dados.​​ 

Criptografia de mídia de dados móveis:​​ 

Não é permitido o uso de operadoras de dados móveis para armazenar dados de clientes.​​ 

Criptografia de dispositivos de armazenamento de dados em laptops:​​ 

Criptografia de disco rígido de última geração e adequada está instalada em todos os laptops dos funcionários.​​ 

Troca criptografada de informações e arquivos:​​ 

Em princípio, a troca de informações e arquivos é criptografada diretamente por meio de um aplicativo específico. Caso seja necessário transferir dados pessoais ou informações confidenciais para servidores que não suportem o envio via HTTPS com criptografia TLS, a transferência será realizada utilizando o Protocolo de Transferência Segura de Arquivos (SFTP), serviço de envelope criptografado ou outro mecanismo de criptografia, de acordo com o estado da arte.​​ 

Criptografia de e-mail:​​ 

Em princípio, todos os e-mails enviados por funcionários da GP são criptografados com TLS. Exceções podem ocorrer se o servidor de e-mail de destino não suportar TLS. O Cliente deverá garantir que os servidores de e-mail utilizados no âmbito da encomenda suportem a criptografia TLS.​​ 

c) Controle de Admissão​​ 

Os controles de acesso são concebidos e implementados para impedir o uso e o processamento de dados protegidos pelas leis de proteção de dados por pessoas não autorizadas.​​ 

Utilização de métodos de autenticação​​ 

O acesso a dados pessoais é sempre feito através de protocolos criptografados: SSH, SSL/TLS, HTTPS ou protocolos similares. Procedimento de autenticação para sistema de TI: Autenticação multifator para login no sistema de TI.​​ 

Bloqueio automático em caso de inatividade​​ 

Os computadores portáteis utilizados pelos funcionários da GP são bloqueados com senha ou proteção por PIN quando não estão sendo utilizados pelo usuário. Além disso, um bloqueio de tela automático com proteção por senha é configurado após 15 minutos de inatividade.​​ 

Utilização de software antivírus​​ 

Os laptops utilizados pelos funcionários da GP estão equipados com software antivírus de última geração, mantido atualizado em todos os sistemas de TI operacionais ou comerciais. Por princípio, nenhum computador pode ser operado sem proteção antivírus residente, a menos que outras medidas de segurança equivalentes e de última geração tenham sido tomadas ou que não haja risco. As configurações de segurança padrão não devem ser desativadas nem contornadas.​​ 

"Política de mesa limpa"​​ 

Os funcionários da GP são instruídos a não imprimir ou armazenar localmente dados pessoais de titulares de dados, a não deixar materiais de trabalho em locais onde possam ser visualizados por terceiros e a armazenar todos os materiais de trabalho adequadamente. Os documentos que o médico de clínica geral é obrigado por lei a manter em formato impresso são armazenados em armários trancados.​​ 

d) Controles de acesso dentro da plataforma​​ 

Os controles de acesso garantem que as pessoas autorizadas a usar um sistema de processamento tenham acesso apenas aos dados pessoais abrangidos por sua autorização de acesso.​​ 

Funções e Autorização​​ 

Plataforma de Funções e Autorização – Acesso do Cliente Os usuários clientes podem visualizar e editar as informações da conta do cliente.​​ 

Plataforma de Funções e Autorização – Acesso Profissional: Usuários profissionais podem visualizar e editar suas próprias informações profissionais.​​ 

Os profissionais também podem obter a função de acesso do cliente mediante solicitação e aprovação.​​ 

Plataforma de Funções e Autorizações – Acesso Interno​​ 

Os usuários com acesso interno desempenham funções variadas. Eles têm diferentes níveis de acesso para criar, visualizar, editar e aprovar o seguinte:​​ 

Informações do cliente​​ 

Informações de pagamento​​ 

Informações do parceiro​​ 

Informações de registros de pessoal profissional​​ 

O acesso ao sistema administrativo é geralmente limitado a funcionários treinados nas áreas de suporte ao cliente e desenvolvimento de produtos.​​ 

e) Firewall como serviço​​ 

O GP utiliza um firewall externo como serviço, o que lhe permite conceder ou bloquear o acesso a websites, garantindo que os sistemas não possam acessar conteúdo malicioso e restringindo o acesso a conteúdo inadequado.​​ 

f) Registro de login na plataforma​​ 

O GP mantém um registro de toda a atividade de login.​​ 

g) Separabilidade​​ 

Garantir que os dados pessoais coletados para diferentes finalidades possam ser processados separadamente e sejam mantidos isolados de outros dados e sistemas, de forma a excluir o uso não planejado desses dados para outras finalidades.​​ 

Separação dos ambientes de desenvolvimento, teste e operação​​ 

Os dados do ambiente operacional só podem ser transferidos para ambientes de teste ou desenvolvimento se tiverem sido completamente anonimizados antes da transferência. A transferência dos dados anonimizados deve ser criptografada ou realizada por meio de uma rede confiável.​​ 

O software a ser transferido para o ambiente operacional deve primeiro ser testado em um ambiente de teste idêntico ("staging"). Programas para análise de erros ou para criação/compilação de software só podem ser usados no ambiente operacional se isso for inevitável. Isso é especialmente relevante se as situações de erro dependerem de dados que seriam falsificados devido aos requisitos de anonimização na transferência para ambientes de teste.​​ 

Separação em redes​​ 

O GP separa suas redes de acordo com as tarefas. As seguintes redes são usadas permanentemente: ambiente operacional ("Produção"), ambiente de teste ("Staging", "Sandbox"), ambiente de desenvolvimento ("Dev") e equipe de TI do escritório. Além dessas redes, outras redes separadas são criadas conforme necessário, por exemplo, para testes de restauração e testes de penetração. Dependendo das possibilidades técnicas, as redes são separadas fisicamente ou por meio de redes virtuais.​​ 

h) Controle de disponibilidade​​ 

A GP adota as seguintes medidas para garantir que os dados pessoais estejam protegidos contra destruição ou perda acidental.​​ 

Procedimentos de proteção de dados/cópias de segurança​​ 

Para garantir a disponibilidade adequada, o GP implementa snapshots diários de seu banco de dados com replicação para uma região diferente. Também são tomadas medidas para garantir que os funcionários que, por razões profissionais, precisam revisar os dados, tenham acesso apenas a conjuntos de dados replicados.​​ 

Georredundância em relação à infraestrutura de servidores de dados produtivos e backups.​​ 

Gestão de incidentes de TI ("Gestão de Resposta a Incidentes")​​ 

Existe um conceito e procedimentos documentados para lidar com incidentes e eventos relevantes para a segurança. Isso inclui o planejamento e a preparação da resposta a incidentes, os procedimentos para monitoramento, detecção e análise de eventos relevantes para a segurança e a definição das responsabilidades e canais de comunicação correspondentes em caso de violação da proteção de dados pessoais, dentro do âmbito dos requisitos legais.​​ 

2) MEDIDAS ORGANIZACIONAIS PARA GARANTIR A PRIVACIDADE E A PROTEÇÃO DE DADOS​​ 

A GP implementou as seguintes medidas organizacionais para garantir que a organização opere de forma a cumprir os requisitos de privacidade e proteção de dados.​​ 

a) Instruções Organizacionais​​ 

A GP desenvolveu e continua a desenvolver um programa de governança de dados, incluindo políticas, procedimentos e diretrizes a serem seguidas pelos funcionários. A documentação inclui orientações sobre como identificar e gerenciar problemas de privacidade de dados, as melhores práticas para garantir a conformidade com a privacidade e as políticas para lidar com incidentes de privacidade.​​ 

b) Compromisso com a confidencialidade e a proteção de dados​​ 

A GP desenvolveu e continua a desenvolver um programa de governança de dados, incluindo políticas, procedimentos e diretrizes a serem seguidas pelos funcionários. Todos os funcionários e contratados estão legalmente obrigados a cumprir as normas de confidencialidade e proteção de dados, bem como outras leis aplicáveis. Todos os funcionários recebem treinamento em privacidade e segurança. Auditorias internas sobre proteção de dados e segurança da informação são realizadas regularmente. As auditorias são realizadas com base em critérios/esquemas de teste comuns. Os funcionários e contratados da GP são instruídos a processar dados pessoais apenas por motivos lícitos, de acordo com os contratos aplicáveis com o cliente e o profissional, levando em consideração qualquer consentimento expresso dado ou negado pelo titular dos dados e em conformidade com qualquer obrigação legal da organização.​​ 

c) Treinamento em proteção de dados​​ 

Todos os funcionários recebem treinamento em privacidade e segurança, que permanece disponível para consulta a qualquer momento na plataforma de treinamento da GP.​​ 

d) Controles de acesso físico​​ 

A GP implementou os seguintes controles físicos para impedir o acesso de pessoas não autorizadas aos equipamentos de TI utilizados para processamento.​​ 

Proteção eletrônica de portas​​ 

As portas de entrada dos consultórios médicos estão sempre trancadas e protegidas eletronicamente. As portas são abertas por meio de um transponder eletrônico pessoal.​​ 

Distribuição controlada de chaves​​ 

É realizada uma distribuição centralizada e documentada de chaves aos funcionários da GP. Esses transponders/chaves eletrônicos podem ser desativados centralmente por cada gerente de escritório ou pelo departamento de Recursos Humanos.​​ 

Supervisão e acompanhamento de pessoas externas​​ 

Prestadores de serviços externos e outros terceiros só poderão ter acesso às instalações mediante autorização prévia ou quando acompanhados por um funcionário da GP. A GP aplica sua Política de Visitantes por escrito quando visitantes são convidados às instalações.​​ 

Segurança de instalações com maior necessidade de proteção.​​ 

Instalações ou armários com requisitos de proteção reforçados, como escritórios de advocacia e determinados locais de operações, estão equipados com armários e gavetas com fechadura. Armários e gavetas onde são guardados documentos legais, contratos e documentação confidencial devem permanecer trancados o tempo todo, exceto quando estiverem em uso.​​ 

Portas e janelas fechadas​​ 

Os funcionários recebem instruções da empresa para manter as janelas e portas fechadas ou trancadas fora do horário de expediente.​​ 

e) Recuperabilidade​​ 

A GP garante que os sistemas em uso possam ser restaurados em caso de falha física ou técnica.​​ 

Testes regulares de recuperação de dados ("Restore-Tests")​​ 

Testes regulares de restauração completa são realizados para garantir a capacidade de recuperação em caso de emergência/desastre.​​ 

Plano de emergência ("Conceito de recuperação de desastres")​​ 

Existe um conceito para o tratamento de emergências/desastres e um plano de emergência correspondente. A GP garante a recuperação de todos os sistemas com base nos backups/cópias de segurança dos dados, geralmente dentro de 48 horas.​​ 

Medidas de revisão e avaliação​​ 

Apresentação dos procedimentos para revisão, avaliação e análise periódicas da eficácia das medidas técnicas e organizacionais.​​ 

f) Equipe de Privacidade​​ 

A organização possui um Escritório Global de Privacidade de Dados encarregado de planejar, implementar, avaliar e adaptar medidas na área de proteção de dados.​​ 

g) Gestão de Riscos​​ 

Existe um processo para analisar, avaliar e alocar riscos, bem como para derivar medidas com base nesses riscos.​​ 

3) REVISÃO INDEPENDENTE DA SEGURANÇA DA INFORMAÇÃO​​ 

Realização de auditorias​​ 

Auditorias internas sobre proteção de dados e segurança da informação são realizadas regularmente. As auditorias são realizadas com base em critérios/esquemas de teste comuns.​​ 

b) Revisão da conformidade com as políticas e normas de segurança​​ 

O cumprimento das diretrizes de segurança, normas e demais requisitos de segurança aplicáveis ao tratamento de dados pessoais é verificado regularmente. Sempre que possível, essas verificações são realizadas de forma aleatória e inesperada.​​ 

c) Verificação da conformidade com as especificações técnicas​​ 

O departamento de TI ou outro pessoal qualificado realiza varreduras de vulnerabilidades regulares, automatizadas e manuais, para verificar a segurança dos aplicativos e da infraestrutura, bem como o desenvolvimento contínuo do produto. Testes de penetração detalhados são realizados por um provedor de serviços externo para examinar especificamente as aplicações e a infraestrutura em busca de vulnerabilidades.​​ 

d) Processamento de instruções​​ 

Os funcionários da GP são instruídos a processar dados pessoais apenas por motivos lícitos, de acordo com os contratos aplicáveis com o cliente e o profissional, levando em consideração qualquer consentimento expresso dado ou negado pelo titular dos dados e em conformidade com qualquer obrigação legal da organização.​​ 

e) Seleção criteriosa de fornecedores​​ 

A GP segue seu Processo de Pré-qualificação de Fornecedores ao selecionar vendedores e prestadores de serviços que possam ter contato com dados protegidos. Este processo inclui o feedback dos Departamentos de Finanças e Jurídico/Privacidade e incorpora etapas de avaliação de risco, pré-qualificação de segurança e certificação de documentação. Os fornecedores que processarem dados protegidos deverão demonstrar sua conformidade com as leis de privacidade de dados aplicáveis, incluindo o Artigo 28 do RGPD para os dados abrangidos.​​ 

Anexo III​​ 

Lista de subprocessadores​​ 
Subprocessador​​ 
Informações de localização e contato​​ 
Descrição do Processamento​​ 
3933 Lake Washington Blvd NE #350, Kirkland, WA 98033, EUA​​ 
Serviços financeiros​​ 
PO Caixa 81226​​ 
Seattle, WA 98108-1226, EUA​​ 
Hospedagem – Provedor de Serviços em Nuvem​​ 
Microsoft Corporation Um Caminho Microsoft​​ 
Redmond, Washington 98052 EUA Telefone: (+1) 425-882-8080.​​ 
Suporte a processos de negócios para comunicações (e-mail) e gerenciamento de serviços.​​ 
350 Andar da Rua Bush 13​​ 
São Francisco, CA 94104, EUA​​ 
+1 415 701 1110​​ 
Suporte a processos de negócios para gestão de serviços​​ 
DocuSign International (EMEA) Ltd, A/C: Equipe de Privacidade, 5 Hanover Quay, Térreo, Dublin 2, República da Irlanda​​ 
Gestão de Documentos​​ 
415 Tower, Mission Street, 3andar, São Francisco, 94105, EUA​​ 
1-800-387-3285​​ 
Suporte a processos de negócios para gestão de relacionamento com o cliente (CRM)​​ 
989 Rua do Mercado​​ 
São Francisco, CA 94103, EUA​​ 
888-670-4887​​ 
Consultas ao helpdesk para suporte ao cliente​​ 
2225 Lawson Lane Santa Clara, CA , 95054​​ 
EUA​​ 
Suporte a processos de negócios para gerenciamento de serviços e operações de TI, experiências de funcionários e clientes por meio de (​​ fluxo de trabalho automatizado baseado em nuvem)​​ 
160 Spear Street, 15º andar San Francisco, CA 94105 1-866-330-0121​​ 
EUA​​ 
Infraestrutura de armazenamento de dados em nuvem.​​ 
620 8o​​  Média 45​​ o​​  Chão​​ 
Nova Iorque, NY 10018​​ 
EUA​​ 
Ferramenta de monitoramento e depuração de serviços​​ 
Avenida Louise 54, Sala s52,​​ 
1050 Bruxelas​​ 
Bélgica​​ 
Processador de pagamento online​​ 
1600 Amphitheatre Pkwy, Mountain View, CA 94043​​ 
Suporte a processos de negócios para comunicações (e-mail) e armazenamento interno de documentos.​​