Det är officiellt! G-P Gia™ är nu tillgängligt för alla. Levererar agentisk AI för global HR-efterlevnad i stor skala. Prova det nu!
Skippa H-1B-visumet. Få tillgång till toppkompetens med G-P EOR™.
G-P-logotyp
Begär offert

MSA:s sekretessspråk

Senaste uppdatering: mars 4, 2026

 TILLÄGG TILL DATASKYDD

Kunden har ingått ett Huvudavtal eller ingått ett avtal med liknande karaktär och syfte (hädanefter ”Huvudavtal”) med G-P. Genomförandet av ett sådant Huvudavtal kan innebära Behandling av Personuppgifter. Kunden och G-P (gemensamt kallade ”parter”) samtycker till att detta dataskyddstillägg (”DPA”) framställer sina skyldigheter med avseende på behandling och säkerhet av personuppgifter i samband med de tjänster som tillhandahålls kunden enligt huvudavtalet och parterna samtycker G-P till att vara bundna av detta DPA. Detta DPA kompletterar villkoren i Huvudavtalet och införlivas däri. I händelse av en konflikt mellan detta DPA och något annat avtal mellan parterna om de frågor som anges häri ska detta DPA ha företräde. Om Kunden redan har ett verkställt dataskyddstillägg som gäller med G-P, ska detta avtal ha företräde framför detta DPA, och detta DPA ska inte ha någon kraft eller effekt, såvida inte annat skriftligen överenskommits av Kunden och G-P.

 

Medan:

  1. När G-P förser kunden med tjänster från Employer of Records (”EOR”) G-P antar den rollen som juridisk arbetsgivare för alla personer som kunden väljer (”yrkespersoner”) som ska anställas.
  2. När det gäller sådana yrkesutövares personuppgifter G-P är personuppgiftsansvarig under anställningsförhållandets gång.
  3. När det gäller professionella personuppgifter som samlas in och används av kunden för sina egna ändamål är kunden också en personuppgiftsansvarig med oberoende sekretessförpliktelser.
  4. Vid leverans av EOR-tjänsterna ska utbytet av Yrkespersoners Personuppgifter mellan G-P och Kunden ske under en oberoende relation mellan Personuppgiftsansvarig och  Personuppgiftsansvarig och de villkor för Personuppgiftsansvarig som definieras i avsnitt 2 nedan gälla.
  5. G-P erbjuder också olika programvaror som en serviceprodukt via G-Ps plattform (”GPP”), genom vilken Kunden G-P kan hantera relationen med dessa Professionella.
  6. Genom att ge Kunden tillgång till GPP, G-P ska Personuppgiftsbiträdet för kontorelaterade data som laddas upp till GPP av Kundens utsedda Behöriga Användare av GPP och villkoren för Personuppgiftsansvarig till Personuppgiftsbiträde som definieras i avsnitt 3 nedan gälla.

 

G-P och kunden har kommit överens om följande:

 

1. DEFINITIONER

1.1. Villkor som inte definieras häri har den betydelse som anges i Huvudavtalet. Följande ord i detta DPA har följande betydelser:

1.2. Auktoriserad användareavser en person som tillåts av Kunden och som kan inkludera antingen en eller en Kunds anställd och/eller entreprenör, för att få åtkomst till och använda GPP :n å Kundens vägnar, i enlighet med utförandet av Huvudavtalet.

1.3. Kunddata” avser alla Personuppgifter som är relaterade till en Auktoriserad Användare eller identifierbar fysisk person som överförs, behandlas eller lagras G-P av Kunden för Kundens användning av GPP.

1.4. Dataskyddslagar” avser alla dataskyddslagar och sekretesslagar som en part i detta avtal är föremål för och som är tillämpliga på de tjänster som tillhandahålls, inklusive i förekommande fall, men inte begränsat till, GDPR, Storbritanniens GDPR, schweiziska dataskyddslagar, amerikanska sekretesslagar (inklusive statliga och federala lagar) och Brasilien LGPD.

1.5. GDPR” avser den allmänna dataskyddsförordningen (EU) 2016/679.

1.6. GPP” avser G-Päganderättsskyddad programvara, inklusive men inte begränsat till programvaran, den mobila versionen, all programvara som finns däri och alla data som görs tillgängliga genom användning av antingen G-Päganderättsskyddad programvara eller tredjepartstjänster, inklusive deras uppdateringar, uppgraderingar, plattform som en tjänst och dokumentation.

1.7. EES” avser Europeiska ekonomiska samarbetsområdet.

1.8. LGPD” avser Brasiliens lag nr 13.709, den allmänna lagen om skydd av personuppgifter, som kan ändras, ersättas eller ersättas.

1.9. Med ”Master Agreemen t” avses det avtal som ingåtts mellan Kunden och G-P för tillhandahållandet av Tjänsterna.

1.10. Integritetspolicy” avser G-Psekretesspolicyn, som uppdateras då och då, som finns tillgänglig på https://www.globalization-partners.com/privacy-policy/

1.11. Professionella uppgifteravser professionella personuppgifter som behandlas av G-P under dess EOR-tjänster till kunden.

1.12. ”Begränsad överföring” avser all överföring av personuppgifter till ett land utanför EES, Storbritannien, Schweiz eller Brasilien som inte är föremål för ett beslut om adekvat skyddsnivå enligt tillämpliga dataskyddslagar och därför kräver lämpliga skyddsåtgärder enligt tillämpliga dataskyddslagar.

1.13. ”Tjänster” avser de tjänster som ska tillhandahållas G-P kunden enligt huvudavtalet, vilket kan omfatta registrerade arbetsgivares tjänster och åtkomst och användning av GPP.

1.14. ”Standardavtalsklausuler” eller  ”SCC”  avser (i) där GDPR gäller, de standardavtalsklausuler som bifogas Europeiska kommissionens genomförandebeslut (EU) 2021/914 av 4 juni 2021 standardavtalsklausuler för överföring av personuppgifter till tredjeländer i enlighet med Europaparlamentets och rådets förordning (EU) 2016/679 , tillgänglig på https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914&from=EN ("EU SCC:er") (ii) där Storbritanniens GDPR gäller, tillämpliga standardklausuler för dataskydd som antagits i enlighet med artikel 46(2)(c), eller (d) där Storbritanniens GDPR avser det internationella tillägget för dataöverföring (”UK-tillägget”) till EU:s standardavtalsklausuler som utfärdats av Information Commissioner’s Office enligt s.119A(1) i Data Protection Act 2018, som sådant tillägg till Storbritannien kan revideras enligt avsnitt 18 däri (”UK SCC:er”); (iii) där de schweiziska dataskyddslagarna gäller, tillämpliga standardklausuler för dataskydd utfärdade, godkänd eller erkänd av den schweiziska federala dataskyddsmyndigheten och informationskommissionärens kontor (”schweiziska SCC:er); där brasiliansk LGPD gäller, tillämpliga  standardavtalsklausuler, bifogas resolution CD/ANPD nr 19/2024 som utfärdats av den brasilianska nationella dataskyddsmyndigheten (”ANPD”), eftersom de kan ändras från tid till annan (”Brasiliens SCC:er”).

1.15. “Schweiziska dataskyddslagar” eller ”FADP” avser (i) Schweiz federala dataskyddslag (daterad juni 19, 1992, från och med 1 mars, 2019) (”FDPA”), (ii)  förordningen om den federala dataskyddslagen  (”FODP”) och (iii) alla nationella dataskyddslagar som har stiftats enligt, i enlighet med, ersätter eller efterträder och all lagstiftning som ersätter eller uppdaterar något av ovanstående.

1.16. Tillägg i Storbritannienavser det internationella dataöverföringstillägget i Storbritannien till EU:s standardavtalsklausuler som utfärdats av Storbritanniens informationskommissionär.

1.17. “Storbritanniens dataskyddslagar” avser GDPR som sparas i Storbritanniens lagstiftning enligt avsnitt 3 i Storbritanniens EU-lag (Uttag) 2019 (”UK GDPR”) och Dataskyddslagen 2018 ( tillsammans ”UK Data Protection Laws”).

1.18. “Amerikanska sekretesslagar” avser tillämpliga amerikanska (amerikanska) delstatliga lagar, beställningar, förordningar och tillsynsriktlinjer som rör behandling av personuppgifter, inklusive men inte begränsat till: (a) CCPA, (b) Virginias Consumer Data Protection Act, (c) Colorado Privacy Act, (d) Connecticuts lag om datasekretess och onlineövervakning, (e) Utah Consumer Privacy Act och (f) alla liknande delstatslagar

1.19. "Personuppgiftsansvarig ”Registrerad”, ”Personuppgifter”, ”Personuppgifter”, ”Personuppgiftsincident”, ”Personuppgiftsbiträde”, ”Behandling/Behandling”, ”Begränsad överföring”, ”Tjänsteleverantör” och/eller andra liknande termer och koncept ska ha den betydelse som definieras i Dataskyddslagar.

 

 

2. KONTROLL AV PERSONUPPGIFTER

2.1.Parternas  romaner. Om den G-P fungerar som en oberoende personuppgiftsansvarig G-P ska den personuppgiftsansvarige uppfylla sina skyldigheter enligt dataskyddslagarna vid behandling av personuppgifter och behandla personuppgifterna enligt beskrivningen i G-Ps sekretesspolicy som finns tillgänglig på  https://www.globalization-partners.com/privacy-policy/. Kunden ska uppfylla sina skyldigheter enligt dataskyddslagarna vid behandling av personuppgifter som personuppgiftsansvarig. Under inga omständigheter kommer parterna att behandla personuppgifter enligt detta DPA som gemensamt personuppgiftsansvariga.

2.2. Ansvar och bekräftelser. Varje part får behandla personuppgifter enligt detta DPA med avseende på yrkesutövares uppgifter som oberoende personuppgiftsansvariga. Parterna samtycker till att uppfylla sina respektive skyldigheter och att behandla alla personuppgifter rättvist och lagligt i enlighet med detta DPA och alla dataskyddslagar som gäller för sådan parts personuppgiftsbehandling. Varje part ska säkerställa att dess behandling av personuppgifter begränsas till syftet med den GPP som tillhandahålls av G-P och baseras på en rättslig grund för laglig behandling. Parterna kommer att hjälpa varandra att uppfylla sina respektive skyldigheter enligt dataskyddslagar, inklusive, men inte begränsat till, att hjälpa varandra om en personuppgiftsincident inträffar, svara på registrerade personers och/eller tillsynsmyndigheters begäran. 

 

3. BEHANDLING AV PERSONUPPGIFTER

 

3.1. Omfattning. Användningen av GPP kan innebära att Kunduppgifter behandlas av G-P som Personuppgiftsbiträde eller Tjänsteleverantör för Kundens räkning.

3.2. Instruktioner. G-P kommer att behandla Kunddata i enlighet med Kundens dokumenterade instruktioner. Kunden samtycker till att detta DPA, Huvudavtalet, och bilaga I som bifogas härunder, utgör Kundens fullständiga instruktioner G-P avseende Behandling av Kunddata. Alla ytterligare eller alternativa instruktioner måste avtalas skriftligen mellan parterna, inklusive de kostnader (om några) som är förknippade med att följa sådana instruktioner. Kunden ska säkerställa att dess instruktioner följer tillämpliga dataskyddslagar. Kunden bekräftar att kunden varken G-P ansvarar för att fastställa vilka lagar som gäller för kundens verksamhet. Kunden ska säkerställa att G-Ps behandling av Kunddata, när det görs i enlighet med Kundens instruktioner, inte kommer att leda G-P till brott mot någon tillämplig lag, inklusive tillämpliga Dataskyddslagar. G-P Men om G-P kunden anser att en instruktion bryter mot tillämpliga dataskyddslagar G-P ska kunden underrättas så snart som det är praktiskt möjligt och ska inte behöva följa sådan instruktion.

3.3. Detaljer om behandling. Uppgifter om ämnet för behandlingen, dess varaktighet, art och syfte samt typen av kunddata och registrerade personer anges i bilaga I som bifogas härtill. 

3.4. Efterlevnad. Kunden och G-P samtycker till att uppfylla sina respektive skyldigheter enligt Dataskyddslagar som är tillämpliga på Kunddata som behandlas enligt vad som anges i Bilaga I. Kunden har ensam ansvar för att följa Dataskyddslagar avseende lagenligheten av Behandlingen av Kunddata innan den avslöjas, överföring, eller på annat sätt tillgängliggöra, Kunddata till G-P. För att undvika tvivel, i samtliga fall, Kunden ska erhålla, vid behov, alla samtycken från de registrerade för G-P att behandla kunddata enligt kundens anvisningar.

3.5. Underbiträden. Kunden ger tillstånd G-P att utse och använda personuppgiftsbiträden (”underbiträden”) för att behandla kunddata i samband med tjänsterna. Underbiträden kan omfatta tredje parter eller någon medlem av G-P företagsgruppen. G-P kan fortsätta att använda de Underbiträden G-P som redan har anlitats per datumet för detta DPA, och en förteckning över sådana Underbiträden finns i bilaga III som bifogas nedan. Om ett Underbiträde inte uppfyller sina skyldigheter avseende dataskydd enligt ovan G-P , ska det vara ansvarigt gentemot Kunden för utförandet av Underbiträdets skyldigheter. G-P ska meddela Kunden om eventuella ändringar i sin lista över Underbiträden genom GPP. Om Kunden inom 10 (tio) dagar efter mottagandet av detta meddelande legitimt invänder mot tillägg eller borttagning av ett Underbiträde av dataskyddsskäl och inte rimligen G-P kan tillgodose Kundens invändning, ska parterna diskutera Kundens farhågor i god tro i syfte att lösa ärendet.

3.6. Tekniska och organisatoriska säkerhetsåtgärder. med beaktande av branschstandarder, kostnaderna för genomförandet, naturen, omfattning, sammanhang och ändamål med behandlingen, och andra relevanta omständigheter som rör Behandlingen av Kunddata, G-P ska vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att säkerställa säkerheten, sekretess, integritet, tillgänglighet och motståndskraft för behandlingssystem och tjänster som är involverade i behandlingen av kunddata står i proportion till risken med avseende på sådana kunddata, som beskrivs i bilaga II som bifogas härtill. G-P kommer regelbundet (i) att testa och övervaka effektiviteten hos dess skyddsåtgärder, kontroller, system och procedurer och (ii) identifiera rimligen förutsebara interna och externa risker för säkerheten, sekretess och integritet för Kunddata, och se till att dessa risker åtgärdas.

3.7. Sekretess. G-P ska säkerställa att personer som har behörighet att få tillgång till Kunddata (i) har åtagit sig att iaktta sekretess eller omfattas av en lämplig lagstadgad sekretessförpliktelse och (ii) endast får tillgång till Kunddata efter dokumenterade instruktioner från G-P, såvida det inte krävs enligt tillämplig lag.

3.8. Personuppgiftsincident. G-P kommer att meddela kunden utan onödigt dröjsmål efter att ha fått kännedom om en personuppgiftsincident i samband med behandlingen av kunduppgifter och kommer att vidta rimliga åtgärder för att hjälpa kunden att mildra, om möjligt, de negativa effekterna av eventuella personuppgiftsincidenter.

3.9. Radering av Personuppgifter. Vid uppsägning av Tjänsterna (av någon anledning), G-P ska, så snart det är praktiskt möjligt, returnera eller radera Kunddata som lagras i GPP om inte tillämplig lag kräver lagring av Kunddata under en längre period. För sådan lagring ska bestämmelserna i detta DPA fortsätta att gälla för sådana kunddata.

3.10.Begäran G-P från  registrerade ska omedelbart informera kunden om alla förfrågningar från registrerade om kunddata. Kunden ansvarar för att svara på sådana förfrågningar. G-P rimligen kommer att hjälpa Kunden att svara på sådana förfrågningar från Registrerade i den utsträckning Kunden inte kan komma åt relevanta Kunddata i sin användning av GPP.

3.11. Förfrågningar från tredje part. Om tar G-P emot några förfrågningar från tredje part eller ett beslut av någon domstol, domstol, tillsynsmyndighet eller myndighet med behörig jurisdiktion som G-P är föremål för behandling av kunddata enligt avtalet, G-P kommer omedelbart att omdirigera begäran till kunden. G-P kommer inte att svara på sådana förfrågningar utan kundens föregående godkännande såvida inte lagen har tvingat dem att göra det. G-P kommer, såvida det inte är förbjudet enligt lag, att informera Kunden i förväg om att lämna ut Kunddata och kommer rimligen att samarbeta med Kunden för att begränsa omfattningen av sådant utlämnande till vad som krävs enligt lag. 

3.12. Konsekvensbedömning avseende dataskydd och föregående samråd. I den utsträckning som krävs enligt dataskyddslagarna G-P ska tillhandahålla rimlig hjälp till kunden för att utföra en konsekvensbedömning avseende dataskydd i samband med behandlingen av kunddata som utförs av G-P och/eller eventuella nödvändiga tidigare samråd(n) med tillsynsmyndigheter. G-P förbehåller sig rätten att debitera Kunden en rimlig avgift för tillhandahållandet av sådan assistans.

3.13. Revision. Kunden kan granska G-P efterlevnaden av detta DPA och dataskyddslagar genom att begära ett certifikat utfärdat för säkerhetsverifiering som återspeglar resultatet av en revision som utförs av en tredjepartsrevisor (t.ex. ISO27001 -certifiering, SOC2 -certifikat), inom tolv (12) månader från datumet för kundens begäran. Alternativt, om den dokumentation som tillhandahålls enligt detta avsnitt 3.13 inte är tillräcklig för att visa efterlevnad, Kunden får utföra sin egen revision utöver de tillhandahållna tredjepartscertifieringarna eller rapporterna, under förutsättning att en sådan revision utförs : i) högst en gång per 12 (tolv) månadersperiod, ii) under normal kontorstid och utan att störa G-Pden dagliga verksamheten; iii) med trettio (30) dagars skriftligt varsel; iv) på kundens egen bekostnad, v) baserat på ömsesidigt överenskomna parametrar och omfattning, begränsas till tjänsternas specifika omfattning, system som används och/eller behandlar aktiviteter som avses härunder; vi) baserat på ömsesidigt överenskommet datum i förväg, med förbehåll för rimlig uppskjutning av Kunden på G-Primlig begäran; och vii) i enlighet med alla sekretessförpliktelser och restriktioner. Oaktat det föregående beviljas ingen revisionsrätt efter uppsägning av Huvudavtalet, med undantag för juridiska skyldigheter som måste visas av Kunden. En tredjepartsrepresentant som valts ut för att utföra en revision å kundens vägnar får inte ha ett ägarintresse i eller anknytning till ett företag, en byrå, en relaterad organisation eller konsult som utför en granskning. Ingenting i detta DPA kommer G-P att kräva att varken Kunden eller dess tredjepartsgranskare avslöjar det, eller för att ge Kunden eller dess tredjepartsrevisor åtkomst till: (i) alla uppgifter om någon annan G-Pkund; (ii) G-Pintern redovisning eller finansiell information, (iii) någon affärshemlighet som tillhör G-P eller dess dotterbolag, (iv) all information som, enligt G-P’rimlig åsikt, skulle kunna äventyra säkerheten i något G-Psystem eller orsaka brott mot dess skyldigheter enligt tillämplig lag eller dess säkerhets- eller integritetsförpliktelser gentemot tredje part, eller (v) någon information som Kunden eller dess tredjepartsrevisor försöker få tillgång till av någon annan anledning än fullgörande i god tro av Kundens skyldigheter enligt Dataskyddslagarna.

3.14. Amerikanska sekretesslagar. Enligt detta avsnitt 3 (”Behandling av personuppgifter”) samtycker parterna till att G-P är en ”tjänsteleverantör” eller ”personuppgiftsbiträde” såsom sådana villkor definieras enligt tillämpliga amerikanska sekretesslagar. Följaktligen, i den utsträckning USA:s sekretesslagar gäller för behandling av kunddata av G-P, G-P skall inte (a) behålla, användning, eller avslöja Kunddata utanför den direkta affärsrelationen mellan G-P och Kunden, eller för något annat ändamål än det som anges i bilaga I som bifogas härtill, och G-P ska endast behandla kunddata så länge de tillhandahåller tjänster till kunden; (b) sälja Kunddata; (c) dela Kunddata; eller (d) kombinera Kunddata som G-P tas emot från, eller på uppdrag av, Kund med ”personuppgifter” (som en sådan term eller motsvarande definieras i tillämpliga dataskyddslagar) som den får från, eller på uppdrag av, en annan person, eller samlar in från sin egen interaktion med en konsument, under förutsättning att kunddata G-P kan kombineras om det ligger inom ramen för tillhandahållandet av tjänsterna till kunden. I förekommande fall ska vardera parten meddela den andra parten om den fastställer att den inte längre kan uppfylla sina skyldigheter enligt amerikanska sekretesslagar.

 

 

4. Internationella dataöverföringar

4.1. Lämpligt skydd. G-P har rätt att, i den normala verksamheten, göra globala överföringar av Kunddata till sina dotterbolag och/eller Underbiträden. Vid sådana överföringar till ett område som inte har erkänts av relevanta dataskyddsmyndigheter som att tillhandahålla en adekvat skyddsnivå för Personuppgifter enligt G-P Dataskyddslagarna ska det säkerställas att lämpligt skydd finns på plats för att skydda Kunddata som överförs enligt eller i samband med Huvudavtalet.

4.2. Ramverk för datasekretess. Yrkespersoner och kunddata lagras i GPP som finns i USA och G-P är certifierade enligt EU-USA. Ramverk för datasekretess (EU–USA DPF) och, i förekommande fall, Storbritanniens utvidgning till EU-USA DPF och Schweiz-USA Ramverk för datasekretess (Schweiz-USA DPF). G-PCertifieringen kan bekräftas offentligt på DPF:s  webbplatshttps://www.dataprivacyframework.gov/list. EU–USA Europeiska kommissionen ansåg att ramverket för datasekretess var lämpligt och att det var en laglig dataöverföringsmekanism i enlighet med artikel 45 i GDPR, Storbritanniens GDPR respektive FADP. Om DPF-ramverket(-en) ogiltigförklaras, tillfälligt upphävs eller på annat sätt inte längre anses ge tillräckligt skydd för internationella dataöverföringar, samtycker personuppgiftsbiträdet till att ingå och följa de SCC:er som utfärdats eller godkänts av Europeiska kommissionen, Storbritanniens informationskommissionärs kontor (ICO) eller den schweiziska federala dataskydds- och informationskommissionären (FDPIC), enligt vad som är tillämpligt. Parterna ska samarbeta i god tro för att genomföra eventuella kompletterande åtgärder som krävs för att säkerställa en väsentligen likvärdig skyddsnivå för de överförda uppgifterna.

4.3. Standardavtalsklausuler. Parterna är överens om att när överföringen av personuppgifter från kunden (som ”dataexportör”) till G-P (som ”dataimportör”) är en begränsad överföring och tillämpliga dataskyddslagar kräver att lämpliga skyddsåtgärder vidtas, ska sådan överföring vara föremål för lämpliga standardavtalsklausuler, som ska anses införlivade i och utgöra en del av detta DPA, enligt följande:

  1. När det gäller överföringar av personuppgifter  som skyddas av GDPR ska EU:s SCC gälla, ifyllt enligt följande:
  1. Modulerna ett och två ska tillämpas.
  2. i klausul 7, kommer den valfria dockningsklausulen att gälla;
  3. i klausul 9 i modul två ska alternativ 2 gälla och tidsperioden för föregående meddelande om ändringar av underentreprenörer ska vara den som anges i avsnitt 3.5 i detta DPA;
  4. i klausul 11, kommer det valfria språket inte att gälla;
  5. i klausul 12 ska alla anspråk som framförs enligt EU:s SCC:er vara föremål för de villkor som anges i huvudavtalet;
  6. i klausul 17 gäller alternativ 1 och EU:s SCC:er regleras av irländsk lag;
  7. i klausul 18(b) ska tvister lösas vid domstolarna i Irland;
  8. Bilaga I till EU:s SCC ska anses vara ifylld med den information som anges i bilaga 1 till detta DPA.
  9. Bilaga II till EU:s SCC ska anses vara kompletterad med den information som anges i bilaga 2 till detta DPA.
  10. Bilaga III till modul två i EU:s SCC:er ska anses vara kompletterad med den information som anges i bilaga 3 till detta DPA.

b. När det gäller överföringar av personuppgifter som skyddas av brittiska dataskyddslagar eller schweiziska dataskyddslagar kommer EU:s SCC:er som implementerats enligt underparagraferna (a) ovan att gälla med följande ändringar:

  1. hänvisningar till ”förordning (EU) 2016/679” ska tolkas som hänvisningar till brittiska dataskyddslagar eller schweiziska dataskyddslagar (i förekommande fall),
  2. hänvisningar till specifika artiklar i ”förordning (EU) 2016/679” ska ersättas med motsvarande artikel eller avsnitt i Storbritanniens dataskyddslagar eller schweiziska dataskyddslagar (i förekommande fall),
  3. Hänvisningar till ”EU”, ”unionen”, ”medlemsstaten” och ”medlemsstaternas nationella rätt” ska ersättas med hänvisningar till ”Storbritannien” eller ”Schweiz” eller ”Storbritanniens lagstiftning” eller ”schweizisk lagstiftning” (i förekommande fall).
  4. Begreppet ”medlemsstat” ska inte tolkas på ett sådant sätt att det utesluter registrerade personer i Storbritannien eller Schweiz från möjligheten att stämma för deras rättigheter på sin hemvist (dvs. Storbritannien eller Schweiz).
  5. Klausul 13(a) och del C i bilaga I används inte och den ”behöriga tillsynsmyndigheten” är den brittiska informationskommissionären eller schweiziska federala dataskyddskommissionären (i förekommande fall);
  6. hänvisningar till den ”behöriga tillsynsmyndigheten” och ”behöriga domstolar” ska ersättas med hänvisningar till ”Informationskommissionären” och ”domstolarna i England och Wales” eller ”Schweiz federala dataskyddskommissionär” och ”tillämpliga domstolar i Schweiz” (i förekommande fall),
  7. i klausul 17 ska standardavtalsklausulerna regleras av lagarna i England och Wales eller Schweiz (om tillämpligt); och
  8. med avseende på överföringar som omfattas av brittiska dataskyddslagar ska klausul 18 ändras till att ange ”Alla tvister som uppstår genom dessa klausuler ska lösas av domstolarna i England och Wales. En registrerad person kan väcka talan mot dataexportören och/eller dataimportören vid domstol i något land i Storbritannien. Parterna samtycker till att underkasta sig sådana domstolars jurisdiktion”, och med avseende på överföringar som omfattas av de schweiziska dataskyddslagarna ska klausul 18(b) ange att tvister ska lösas inför tillämpliga domstolar i Schweiz.
  9. När det gäller uppgifter som skyddas av Storbritanniens GDPR kommer EU:s SCC:er att gälla enligt följande: (i) tillämpas som slutförda i enlighet med punkterna (i) till (viii) ovan; och (ii) anses vara ändrade enligt vad som anges i del 2 i det brittiska tillägget, som ska anses vara införlivade i och utgöra en integrerad del av detta DPA. Dessutom ska tabellerna 1 till 3 i del 1 av det brittiska tillägget fyllas i med den information som anges i bilaga I och bilaga II till detta DPA och tabell 4 i del 1 i det brittiska tillägget ska anses vara slutförd genom att välja ”ingen av parterna”.

c. När det gäller överföringar av personuppgifter som skyddas av Brasiliens LGPD, antingen direkt eller via vidare överföring, till ett land utanför Brasilien som inte är föremål för ett beslut om adekvat skyddsnivå som utfärdats av ANPD, kommer Brasiliens SCC:er att anses ha ingåtts och införlivats i detta DPA genom denna referens och slutföras enligt följande:

  1. Klausul 2 i Brasiliens SCC:er uppfylls av den information som anges i bilaga I, som beskriver dataöverföringen;
  2. I klausul 3 i Brasiliens SCC:er ska alternativ B gälla, med vidareöverföringar tillåtna i enlighet med avsnitt 3.5 (”underbiträden”) i detta DPA. Ämnet, arten och varaktigheten av behandlingen anges i bilaga I till detta DPA.
  3. Klausul 4 i Brasiliens SCC:er uppfylls av den information som anges i bilaga I till detta DPA. Där G-P är en personuppgiftsansvarig kommer den att vara den ”utsedda parten”, enligt definitionen i Brasiliens SCC:er, och för tillämpningen av klausul 14 (transparens), klausul 15 (registrerades rättigheter) och klausul 16 (incidentrapportering) i Brasiliens SCC:er. Kunden förblir ansvarig för efterlevnad av klausul 14 (transparens), klausul 15 (registrerades rättigheter) och klausul 16 incidentrapportering) i Brasiliens SCC för alla personuppgifter som den annars kan vara personuppgiftsansvarig för.
  4. I klausul 9 i Brasiliens SCC:er gäller inte den valfria dockningsklausulen; och
  5. Avsnitt III (Säkerhetsåtgärder) i Brasiliens SCC:er kommer att anses ha fyllts i med den information som anges i bilaga II till detta DPA.

 

Bilaga I

Beskrivning av databehandling

 

Parter

Dataexportör: Kundenhet som verkställer Huvudavtalet

Dataimportör: G-P enhet som verkställer huvudavtalet.

Kontaktuppgifter för parter

Kontaktuppgifter enligt huvudavtalet.

 

Aktiviteter som är relevanta för de överförda uppgifterna

Aktiviteter relaterade till EOR-tjänsterna och användningen av GPP som tillhandahålls kunden som en tjänst.

Bearbetning av aktiviteter

De personuppgifter som behandlas/överförs kan vara föremål för följande behandlingsaktiviteter: alla åtgärder med avseende på personuppgifter oavsett vilka medel som tillämpas och procedurer, i synnerhet insamling, organisering, lagring, innehav, användning, hämtning, konsultation, arkivering, överföring, blockering, radering eller förstörelse av data, drift och underhåll av system, efterlevnad, juridik och revisionsfunktioner.

Behandlingens varaktighet

G-P kommer att behandla kunddata under huvudavtalets löptid och kontinuerligt.

Behandlingens art och syfte

Kunden får överföra Kunddata till G-P, i vilken utsträckning Kunden efter eget gottfinnande bestämmer och kontrollerar dem. Syftet med behandlingen är att tillhandahålla Tjänsterna i enlighet med Huvudavtalet.

Kategorier av registrerade personer

a) De Personuppgifter som Parterna utbytt som oberoende Personuppgiftsansvariga gäller Yrkespersoners Personuppgifter.

b) Kunddata G-P som behandlas av som personuppgiftsbiträde avser Auktoriserade användare av GPP som kan inkludera Kundens anställda och/eller entreprenörer.

Typer av personuppgifter

· Kontaktuppgifter (t.ex. telefonnummer och e-postadress).

· Medarbetar-/entreprenörsuppgifter (t.ex. jobbtitel och företagets namn).

· Användningsdata (t.ex. data om den auktoriserade användarens enhet och hur sådan enhet interagerar med GPP).

· Platsdata (t.ex. plats som härleds från IP-adressen).

· Innehållsdata (t.ex. innehållet i kundens filer avseende proffsen och relaterad kommunikation).

·  Behörigheter (t.ex. lösenord, lösenordstips och liknande säkerhetsinformation som används för autentisering och kontoåtkomst till GPP).

· Alla personuppgifter som tillhandahålls av behöriga användare.

Särskilda kategorier av uppgifter (om tillämpligt)

Ej tillämpligt

Lagring

Personuppgifter kommer att lagras minst så länge som någon tillämplig lagstadgad minimilagringsperiod, som överensstämmer med tillämpliga stadgar om begränsningar och uppfyller god affärssed.

Behörig tillsynsmyndighet

Den irländska dataskyddskommissionen

Överföringar till underbiträden

För överföringar till personuppgiftsbiträden är föremålet, typen och varaktigheten av behandlingen densamma som ovan definierat.

G-P Kontaktuppgifter för sekretess

 

integritet@G-P.com

Attn: Global Privacy Office.

 

 

 

Bilaga II

Tekniska och organisatoriska åtgärder

 

G-P har certifierats och intygats för att bekräfta efterlevnad av SOC 2 - och ISO 27001 -standarder av oberoende revisorer. Sådana certifieringar visar vårt åtagande att säkra kunddata. G-Psäkerhetsprogrammet är utformat för att:

  • Skydda sekretessen, integriteten och tillgängligheten för Kunddata i G-P’besittning av eller till vilken G-P åtkomst finns;
  • Skydda mot alla förväntade hot eller faror för sekretessen, integriteten och tillgängligheten av kunddata;
  • Skydda mot obehörig eller olaglig åtkomst, användning, avslöjande, ändring eller förstörelse av Kunddata;
  • Skydda mot oavsiktlig förlust eller förstörelse av eller skada på Kunddata; och
  • Skydda information som anges i alla regler genom vilka G-P kan regleras.

 

Följande beskriver de funktioner, processer, kontroller, system, procedurer och åtgärder som G-P har vidtagits för att säkerställa säkerheten vid behandling av kunddata:

1) TEKNISKA ÅTGÄRDER FÖR ATT SÄKERSTÄLLA DATASEKRETESS OCH DATASKYDD 

  1. Integritet genom design och standard: G-P tar hänsyn till kraven i artikel 25 i GDPR i produktutvecklingsfasen. Processer och funktioner upprättas på ett sådant sätt att dataskyddsprinciper som laglighet, öppenhet, ändamålsbegränsning, dataminimering etc. samt säkerheten för behandlingen beaktas i ett tidigt skede.

  2. Kryptering av personuppgifter: Säkerställa att personuppgifter endast lagras i systemet på ett sätt som inte tillåter tredje part att identifiera den registrerade.

    1. Databas- och lagringskryptering: På alla databaser som används av G-P en kryptering "i vila" enligt den senaste tekniken används så att data från databasen endast kan läsas efter korrekt autentisering på respektive databassystem.

    2. Kryptering av mobildatamedia: Användning av mobildatabärare för lagring av kunddata är inte tillåtet.

    3. Kryptering av databärare på bärbara datorer: Lämplig toppmodern hårddiskkryptering installeras på alla anställdas bärbara datorer.

    4. Krypterat utbyte av information och filer: I princip krypteras utbytet av information och filer direkt via en särskild applikation. Om personuppgifter eller konfidentiell information måste överföras till servrar som inte kan skickas via TLS-krypterade HTTPS-uppladdningar kommer dessa att överföras med Secure File Transfer Protocol (SFTP), krypterad kuverttjänst eller annan krypterad mekanism enligt den senaste tekniken.

    5. E-postkryptering: I princip G-P krypteras alla e-postmeddelanden som skickas av anställda med TLS. Undantag kan vara om den mottagande e-postservern inte stöder TLS. Kunden ska säkerställa att motsvarande e-postservrar som används inom ramen för beställningen stöder TLS-kryptering.

  3. Tillträdeskontroll: Tillträdeskontroller är avsedda och upprättade för att förhindra användning och behandling av data som skyddas av dataskyddslagar av obehöriga personer.

    1. Användning av autentiseringsmetoder:  Tillgång till personuppgifter sker alltid via krypterade protokoll: SSH, SSL/TLS, HTTPS eller jämförbara protokoll. Autentiseringsprocedur för IT-system: Inloggning till IT-system för multifaktorautentisering.

    2. Automatisk blockering i händelse av inaktivitet:  Bänkskivor som används av G-P anställda som är låsta med lösenords- eller PIN-skydd när de inte används av användaren. Dessutom ställs ett automatiskt skärmlås med lösenordsskydd in efter 15 minuters inaktivitet.

    3. Användning av antivirusprogram:  Bänkskivor som används av G-P anställda är utrustade med toppmodern antivirusprogramvara som hålls uppdaterad på alla operativa eller affärsmässiga IT-system. I princip får inga datorer användas utan skydd mot virus om inte andra motsvarande toppmoderna säkerhetsåtgärder har vidtagits eller om det inte finns någon risk. Standardsäkerhetsinställningar får inte avaktiveras eller kringgås.

    4. "Ren skrivbordspolicy": Anställda av G-P instrueras att inte skriva ut eller lokalt lagra personuppgifter om registrerade, att inte lämna arbetsmaterial på en plats där de kan ses av tredje part och att lagra allt arbetsmaterial korrekt. Dokument som enligt lag G-P måste förvaras i pappersformat förvaras i låsta skåp.

  4. Åtkomstkontroller inom plattformen: Åtkomstkontroller säkerställer att personer som är behöriga att använda ett bearbetningssystem endast har åtkomst till de personuppgifter som omfattas av deras åtkomsttillstånd.

    1. Roller och behörighet

      1. Roller och auktorisationsplattform – Kundåtkomst: Kundanvändare kan visa och redigera kundkontoinformation.

      2. Roller och auktorisationsplattform – Professionell åtkomst: Professionella användare kan visa och redigera sin egen professionella information. Yrkesverksamma kan också få kundens åtkomstroll efter krav + godkännande

      3. Roller och auktoriseringsplattform – Intern åtkomst: Intern åtkomstanvändare har olika roller. De har varierad åtkomst för att skapa, visa, redigera och godkänna följande:

        • Kundinformation

        • Faktureringsinformation

        • Information om partner

        • Uppgifter om professionell personal

      4. Åtkomst till adminsystemet är i allmänhet begränsad till utbildade medarbetare inom områdena kundsupport och produktutveckling.

  5. Brandvägg som en tjänst: G-P använder en extern brandvägg som en tjänst som gör det möjligt att bevilja eller blockera åtkomst till webbplatser för att säkerställa att system inte kan komma åt skadligt innehåll och för att begränsa åtkomsten till olämpligt innehåll.

  6. Registrering av inloggning på plattformen: G-P upprätthåller ett register över all inloggningsaktivitet.

  7. Separerbarhet: Säkerställa att personuppgifter som samlas in för olika ändamål kan behandlas separat och separeras från andra uppgifter och system på ett sådant sätt att oplanerad användning av dessa uppgifter för andra ändamål utesluts.

    1. Separation av utvecklings-, test- och driftsmiljöer: Data från driftsmiljön får endast överföras till test- eller utvecklingsmiljöer om den har gjorts helt anonym före överföring. Överföringen av anonymiserade data måste krypteras eller via ett pålitligt nätverk. Programvara som ska överföras till driftsmiljön måste först testas i en identisk testmiljö (”stadium”). Program för felanalys eller skapande/sammanställning av programvara får endast användas i driftsmiljön om detta inte kan undvikas. Detta är särskilt fallet om felsituationer beror på data som skulle förfalskas på grund av kraven på anonymisering vid överföring till testmiljöer.

    2. Separation i nätverk: G-P separerar sina nätverk efter uppgifter. Följande nätverk används permanent: driftsmiljö ("Produktion"), testmiljö ("Staging", "Sandbox"), utvecklingsmiljö ("Dev") kontors IT-personal. Utöver dessa nätverk skapas ytterligare separata nätverk efter behov, t.ex. för återställningstester och penetrationstester. Beroende på de tekniska möjligheterna separeras nätverken antingen fysiskt eller med hjälp av virtuella nätverk.

  8. Tillgänglighetskontroll : G-P vidtar följande åtgärder för att säkerställa att personuppgifter skyddas mot oavsiktlig förstörelse eller förlust.

    1. Dataskyddsprocedurer/säkerhetskopiering: För att säkerställa tillräcklig tillgänglighet G-P implementeras dagliga ögonblicksbilder av databasen med replikering till en annan region. Åtgärder vidtas också för att säkerställa att anställda med jobbbaserat behov av att granska data endast beviljas åtkomst till replika datauppsättningar.

    2. Georedundans med avseende på serverinfrastruktur för produktiva data och säkerhetskopior

    3. Hantering av IT-incidenter (”hantering av incidentrespons”): Det finns ett koncept och dokumenterade rutiner för hantering av incidenter och säkerhetsrelaterade händelser. Detta inkluderar planering och förberedelse av respons på incidenter, rutiner för övervakning, detektering och analys av säkerhetsrelaterade händelser och definitionen av motsvarande ansvar och rapporteringskanaler i händelse av en överträdelse av skyddet av personuppgifter inom ramen för de rättsliga kraven.

2) ORGANISATORISKA ÅTGÄRDER FÖR ATT SÄKERSTÄLLA DATASEKRETESS OCH DATASKYDD

G-P har vidtagit följande organisatoriska åtgärder för att säkerställa att organisationen fungerar på ett sätt som uppfyller kraven på datasekretess och dataskydd.

  1. Organisationsinstruktioner: G-P har utvecklat och håller på att utveckla ett datastyrningsprogram, inklusive policyer, procedurer och riktlinjer som anställda ska följa. Dokumentationen omfattar hur man identifierar och hanterar dataintegritetsproblem, bästa praxis för att säkerställa efterlevnad av sekretessregler och policyer för att hantera integritetsincidenter.
  2. Engagemang för sekretess och dataskydd: G-P har utvecklat och utvecklar ett datastyrningsprogram som inkluderar policyer, procedurer och riktlinjer som anställda ska följa. Alla anställda och entreprenörer är skriftligen bundna till sekretess och dataskydd samt andra relevanta lagar. Alla anställda får integritets- och säkerhetsutbildning. Interna revisioner av dataskydd och informationssäkerhet genomförs regelbundet. Revisioner utförs på grundval av gemensamma testkriterier/system. De anställda och entreprenörerna hos G-P instrueras att endast behandla personuppgifter av lagliga skäl, i enlighet med tillämpliga avtal med kunden och yrkesutövaren, med vederbörlig hänsyn till varje uttryckligt samtycke som den registrerade ger eller undanhåller och i enlighet med organisationens lagliga skyldighet.
  3. Dataskyddsutbildning: Alla anställda får integritets- och säkerhetsutbildning som alltid är tillgänglig för granskning på G-P utbildningsplattformen.
  4. Kontroller för fysisk åtkomst: G-P har följande fysiska kontroller på plats för att neka obehöriga personer åtkomst till IT-systemutrustning som används för bearbetning.
    1. Elektroniskt dörrskydd: Entrédörrarna till G-P kontorslokalerna är alltid låsta och elektroniskt säkrade. Dörrarna öppnas via en personlig elektronisk transponder.
    2. Kontrollerad fördelning av nycklar: En central, dokumenterad tilldelning av nycklar till anställda hos G-P sker. Dessa elektroniska transpondrar/nycklar kan inaktiveras centralt av varje kontorschef eller personalavdelningen.
    3. Tillsyn och ackompanjemang av externa personer:  Externa tjänsteleverantörer och andra tredje parter får endast beviljas tillträde till lokalerna genom förhandstillstånd eller i sällskap med en anställd hos G-P. G-P tillämpar sin skriftliga Besökarpolicy när besökare bjuds in till lokalen.
    4. Säkra lokaler med ökat behov av skydd: Platser eller skåp med ökade skyddskrav, som t.ex. juridiska kontor och vissa Operations-platser, är utrustade med låsskåp och lådor. Skåp och lådor där juridiska dokument, kontrakt och konfidentiell dokumentation förvaras ska alltid låsas utom när de används.
    5. Stängda dörrar och fönster: Anställda instrueras organisatoriskt att hålla fönster och dörrar stängda eller låsta utanför kontorstid.
  5. Återvinning: G-P säkerställer att system som används kan återställas i händelse av fysiska eller tekniska fel.

    1. Regelbundna tester av dataåterställning (”Återställ-Tester”): Regelbundna fullständiga återställningstester utförs för att säkerställa återställningsbarhet i händelse av en nödsituation/katastrof.

    2. Beredskapsplan (”katastrofåterställningskonceptet”): Det finns ett koncept för behandling av nödsituationer/katastrofer och en motsvarande beredskapsplan. G-P säkerställer återställning av alla system baserat på säkerhetskopieringar/säkerhetskopior, vanligtvis inom 48 timmar.

    3. Översyns- och utvärderingsåtgärder: Presentation av förfarandena för regelbunden översyn, bedömning och utvärdering av de tekniska och organisatoriska åtgärdernas effektivitet.

  6. Sekretessteam: Organisationen har ett globalt datasekretesskontor med uppgift att planera, implementera, utvärdera och anpassa åtgärder inom dataskydd.

  7. Riskhantering: Det finns en process för att analysera, utvärdera och fördela risker och för att härleda åtgärder utifrån dessa risker.

3) OBEROENDE GRANSKNING AV INFORMATIONSSÄKERHET

  1. Utförande av revisioner: Interna revisioner av dataskydd och informationssäkerhet genomförs regelbundet. Revisioner utförs på grundval av gemensamma testkriterier/system.
  2. Granskning av efterlevnad av säkerhetspolicyer och standarder: Efterlevnad av tillämpliga säkerhetsriktlinjer, standarder och andra säkerhetskrav för behandling av personuppgifter kontrolleras regelbundet. Där så är möjligt utförs dessa kontroller på slumpmässig och oväntad basis.
  3. Verifiering av efterlevnad av tekniska specifikationer: Regelbundna automatiserade och manuella sårbarhetsskanningar utförs av IT-avdelningen eller annan kvalificerad personal för att verifiera säkerheten för applikationerna och infrastrukturen, samt den regelbundna utvecklingen av produkten. Detaljerade penetrationstester utförs av en extern tjänsteleverantör för att specifikt undersöka applikationer och infrastruktur för sårbarheter.
  4. Behandling på instruktion: De anställda av G-P instrueras att behandla personuppgifter endast av lagliga skäl, i enlighet med tillämpliga avtal med kunden och yrkesutövaren, med vederbörlig hänsyn till alla uttryckliga samtycken som ges eller undanhålls av den registrerade och i enlighet med organisationens lagliga skyldighet.
  5. Noggrant val av leverantör: G-P följer sin förkvalificeringsprocess för leverantörer vid val av leverantörer som kan stöta på skyddade data. Denna process inkluderar feedback från ekonomi- och juridik-/integritetsavdelningarna och omfattar riskbedömning, säkerhetsförkvalificering och dokumentationscertifieringssteg. Leverantörer som kommer att behandla skyddade uppgifter måste visa att de följer tillämpliga dataskyddslagar, inklusive artikel 28 GDPR för uppgifter som omfattas.

 

Bilaga III 

Lista över underbiträden

 

Underbiträde

Plats- och kontaktuppgifter

Beskrivning av bearbetning

G-P dotterbolag

https://www.globalization- partners.com/contact-us/

Tillhandahålla plattformen och hantering av kundrelationer

Acumatica

3933 Lake Washington Blvd NE #350, Kirkland, WA 98033, USA

Finansiella tjänster

Amazon  WebService

Box 81226

Seattle, WA 98108-1226, USA

Värdtjänst – leverantör av molntjänster

Microsoft

Microsoft Corporation Ett Microsoft-sätt

Redmond, Washington 98052 USA Telefon: (+1) 425-882-8080.

Affärsprocessstöd för kommunikation (e-post) och tjänstehantering

Atlassisk

350 Bush Street Floor 13

San Francisco, CA 94104, USA

+1 415 701 1110

Affärsprocessstöd för tjänstehantering

DocuSign

DocuSign International (EMEA) Ltd, Uppmärksamhet: Sekretessteam, 5 Hannover Quay, Ground Floor, Dublin2, Irland

Dokumenthantering

Salesforce.com

Salesforce Tower, 415 Mission Street, 3:e våningen, San Francisco, CA 94105, USA

1-800-387-3285

Affärsprocesssupport för hantering av kundrelationer (CRM)

Zendesk

989 Marknaden St

San Francisco, CA 94103, USA zendesk.com

888-670-4887

Supportavdelningens förfrågningar om kundsupport

Workday

6110 Stoneridge Mall Road
Pleasanton, CA 94588, USA

Affärsprocessstöd för hantering av löne-, förmåns-, HR- och medarbetardata.

Service nu

2225 Lawson Lane
Santa Clara, Kalifornien, 95054

USA

 

Affärsprocesssupport för IT-tjänster och verksamhetsstyrning, medarbetar- och kundupplevelser genom (automatiserat molnbaserat arbetsflöde)

Databricks

160 Spear Street, 15th Floor
San Francisco, CA 94105
1-866-330-0121

USA

Molndatalagerinfrastruktur.

Datahund

620 8th Ave 45th Våning

New York, NY 10018

USA

 Verktyg för serviceövervakning och felsökning

Vis

Avenue Louise 54, rum s52,

1050 Bryssel

Belgien

Betalningsprocessor online

Google

1600 Amfiteater Pkwy, utsikt över bergen, CA 94043

Affärsprocesssupport för kommunikation (e-post) och intern dokumentlagring