Senaste uppdatering: maj 14, 2025
Detta dataskyddstillägg (”Tillägg”) kompletterar villkoren i Huvudavtalet och införlivas däri. I händelse av en konflikt mellan detta tillägg och något annat avtal mellan parterna om de frågor som anges häri, ska detta tillägg gälla.
1.1. Termer som inte definieras häri har den betydelse som anges i huvudtjänsteavtalet. Följande ord i detta tillägg har följande betydelser:
1.2. Med ”Auktoriserad Användare” avses en person som tillåts av Kunden och som kan inkludera antingen en av Kundens anställda och/eller underleverantörer, för att få åtkomst till och använda Plattformen på Kundens vägnar, i enlighet med utförandet av Huvudavtalet.
1.3. ”CCPA” avser California Consumer Privacy Act.
1.4. ”Kunduppgifter”avser alla personuppgifter eller personuppgifter som är relaterade till någon behörig användare eller identifierbar fysisk person som överförs, behandlas eller lagras av Globalization Partners på uppdrag av kunden för kundens användning av plattformen.
1.5. ”Dataskyddslagar” avser alla dataskyddslagar och sekretesslagar som en part i detta avtal är föremål för och som är tillämpliga på de tjänster som tillhandahålls, inklusive, i förekommande fall, men inte begränsat till, GDPR, Storbritanniens GDPR, amerikanska sekretesslagar (inklusive statliga och federala lagar) och Singapores Personuppgiftslag .
1.6. ”GDPR” avser den allmänna dataskyddsförordningen (EU) 2016/679 och/eller Storbritanniens GDPR.
1.7. ”EES” avser Europeiska ekonomiska samarbetsområdet.
1.8. ”EU SCC:er” avser standardavtalsklausuler för överföring av personuppgifter till tredjeländer i enlighet med 2016/679 Europaparlamentets och rådets förordning (EU) som godkänts av Europeiska kommissionens genomförandebeslut (EU) 2021/914 av 4 juni 2021.
1.9. ”EOR-tjänster” avser den registrerade arbetsgivarens tjänster som ska tillhandahållas av Globalization Partners till kunden i enlighet med huvudavtalet.
1.10. ”Huvudavtal” avser det avtal som ingåtts mellan Kunden och Globalization Partners för tillhandahållandet av EOR-tjänsterna.
1.11. ”Plattform” avser Globalization Partners äganderättsskyddade programvara, inklusive men inte begränsat till programvaran, den mobila versionen, all programvara som finns däri och alla data som görs tillgängliga genom användning av antingen Globalization Partners äganderättsskyddade programvara eller tredjepartstjänster, inklusive deras uppdateringar, uppgraderingar, plattform som en tjänst, dokumentation, en beskrivning av dessa finns på https://www.globalization-partners.com/employer-of-record-solutions/ .
1.12. ”UK Addendum” avser det brittiska internationella dataöverföringstillägget till EU:s standardavtalsklausuler som utfärdats av UK Information Commissioner och bifogas härtill som bilaga IV.
1.13. ”Personuppgiftsansvarig”, ”Registrerad”, ”Personuppgifter”, ”Personuppgifter”, ”Personuppgiftsincident”, ”Personuppgiftsbiträde”, ”Behandling/Behandling”, ”Begränsad överföring”, ”Tjänsteleverantör” och/eller andra liknande termer och begrepp ska ha den betydelse som definieras i Dataskyddslagar
2.1. Parternas roller och uppgifter om behandlingen. Globalization Partners ska behandla personuppgifter som en oberoende personuppgiftsansvarig när Globalization Partners tillhandahåller registrerade arbetsgivares tjänster. Under inga omständigheter kommer parterna att behandla personuppgifter enligt detta tillägg som gemensamt personuppgiftsansvariga. Om Globalization Partners fungerar som en oberoende personuppgiftsansvarig ska Globalization Partners uppfylla sina personuppgiftsansvariga skyldigheter enligt dataskyddslagar vid behandling av personuppgifter och ska behandla personuppgifterna enligt beskrivningen i Globalization Partners sekretesspolicy som finns tillgänglig på https://www.globalization-partners.com/privacy-policy/ . Kunden ska uppfylla sina skyldigheter enligt dataskyddslagarna vid behandling av personuppgifter som personuppgiftsansvarig. I den utsträckning Globalization Partners agerar som personuppgiftsbiträde vid behandling av kunduppgifter ska sådan behandling utföras i enlighet med avsnitt 3 (”behandling av personuppgifter”) nedan.
2.2. Ansvar och bekräftelser. Varje part får behandla personuppgifter enligt detta tillägg med avseende på personuppgifter som oberoende personuppgiftsansvariga. Parterna samtycker till att uppfylla sina respektive skyldigheter och att behandla alla personuppgifter rättvist och lagligt i enlighet med detta tillägg och alla dataskyddslagar som gäller för sådan parts personuppgiftsbehandling. Vardera parten ska säkerställa att dess behandling av personuppgifter begränsas till syftet med att de registrerades tjänster tillhandahålls av Globalization Partners och baseras på en rättslig grund för laglig behandling. Parterna kommer att hjälpa varandra att uppfylla sina respektive skyldigheter enligt dataskyddslagarna, inklusive men inte begränsat till att hjälpa varandra om en personuppgiftsincident inträffar, svara på registrerade personers och/eller tillsynsmyndigheters begäran.
3.1. Omfattning. Kundens användning av plattformen och kundhanteringsrelationen kan innebära att Globalization Partners behandlar kunduppgifter som personuppgiftsbiträde eller tjänsteleverantör å kundens vägnar.
3.2. Instruktioner. Globalization Partners kommer att behandla kunddata i enlighet med kundens dokumenterade instruktioner. Kunden samtycker till att detta Tillägg, Huvudavtalet och Bilaga I som bifogas härunder omfattar Kundens fullständiga instruktioner till Globalization Partners avseende Behandling av Kunddata. Eventuella ytterligare eller alternativa instruktioner måste avtalas skriftligen mellan parterna, inklusive de kostnader (om några) som är förknippade med att följa sådana instruktioner. Globalization Partners ansvarar inte för att fastställa om kundens instruktioner överensstämmer med tillämplig lag. Men om Globalization Partners anser att en kundinstruktion bryter mot tillämpliga dataskyddslagar ska Globalization Partners meddela kunden så snart som det är praktiskt möjligt och ska inte vara skyldig att följa sådan instruktion om intrång.
3.3. Uppgifter om behandling. Uppgifter om ämnet för behandlingen, dess varaktighet, art och syfte samt typen av kunddata och registrerade personer anges i bilaga I som bifogas härtill.
3.4. Efterlevnad. Kunden och Globalization Partners samtycker till att uppfylla sina respektive skyldigheter enligt dataskyddslagar som är tillämpliga på de kunddata som behandlas enligt vad som anges i bilaga I. Kunden har ensam ansvar för att följa dataskyddslagar avseende lagenligheten av behandlingen av kunddata innan de avslöjar, överför eller på annat sätt tillgängliggör några kunddata för Globalization Partners. För att undvika tveksamheter ska kunden i samtliga fall erhålla, där så krävs, alla samtycken från de registrerade för Globalization Partners att behandla kunduppgifter enligt kundens anvisningar.
3.5. Underbiträden. Kunden auktoriserar Globalization Partners att utse och använda personuppgiftsbiträden (”underbiträden”) för att behandla kunddata i samband med tjänsterna. Underbiträden kan omfatta tredje parter eller någon medlem av Globalization Partners företagsgrupp. Globalization Partners kan fortsätta att använda de underbiträden som redan anlitats av Globalization Partners från och med datumet för detta tillägg, och en lista över sådana underbiträden finns tillgänglig i bilaga III som bifogas härunder. Om ett Underbiträde inte uppfyller sina skyldigheter avseende dataskydd enligt ovan ska Globalization Partners vara ansvarig gentemot Kunden för utförandet av Underbiträdets skyldigheter. Globalization Partners ska meddela Kunden om eventuella ändringar i sin lista över Underbiträden. Om Kunden inom 10 (tio) dagar efter mottagandet av det meddelandet legitimt motsätter sig tillägg eller borttagning av ett Underbiträde av dataskyddsskäl och Globalization Partners inte rimligen kan tillgodose Kundens invändning, kommer parterna att diskutera Kundens farhågor i god tro i syfte att lösa ärendet.
3.6. Tekniska och organisatoriska säkerhetsåtgärder. med beaktande av branschstandarder, kostnaderna för genomförandet, naturen, omfattning, sammanhang och ändamål med behandlingen, och andra relevanta omständigheter som rör Behandlingen av Kunddata inom Plattformen, Globalization Partners ska implementera lämpliga tekniska och organisatoriska säkerhetsåtgärder för att säkerställa säkerhet, sekretess, integritet, tillgänglighet och motståndskraft för behandlingssystem och tjänster som är involverade i behandlingen av kunddata står i proportion till risken med avseende på sådana kunddata. Globalization Partners kommer regelbundet (i) att testa och övervaka effektiviteten av sina skyddsåtgärder, kontroller, system och procedurer och (ii) identifiera rimligen förutsebara interna och externa risker för kunddatas säkerhet, sekretess och integritet och säkerställa att dessa risker åtgärdas.
3.7. Sekretess. Globalization Partners ska säkerställa att personer som är behöriga att få tillgång till kunddata (i) har åtagit sig att iaktta sekretess eller omfattas av en lämplig lagstadgad tystnadsplikt och (ii) endast får tillgång till kunddata efter dokumenterade instruktioner från Globalization Partners, såvida det inte krävs enligt tillämplig lag.
3.8. Brott mot personuppgifter. Globalization Partners kommer att meddela kunden utan onödigt dröjsmål efter att ha fått kännedom om en personuppgiftsincident i samband med behandlingen av kunduppgifter och kommer att vidta rimliga åtgärder för att hjälpa kunden att mildra, om möjligt, de negativa effekterna av eventuella personuppgiftsincidenter.
3.9. Internationella överföringar. Globalization Partners har rätt att, i den normala verksamheten, göra globala överföringar av kunddata till sina dotterbolag och/eller underbiträden. Vid sådana överföringar ska Globalization Partners säkerställa att lämpligt skydd finns på plats för att skydda de kunduppgifter som överförs enligt eller i samband med huvudavtalet, enligt följande:
3.9.1. Om Globalization överför kunddata till länder utanför EES (som inte är föremål för ett beslut om adekvat skyddsnivå enligt sekretesslagar) ska Globalization Partners verkställa och uppfylla sina skyldigheter enligt EU:s SCC:er, som införlivas i detta tillägg genom denna referens och kompletteras enligt följande:
Modul 2 (personuppgiftsansvarig till personuppgiftsbiträde) kommer att gälla där kunden är personuppgiftsansvarig och Globalization Partners är personuppgiftsbiträde;
i klausul 7, kommer den valfria dockningsklausulen att gälla;
i klausul 9, kommer alternativet 2 att gälla med 10 dagar;
i klausul 11, kommer det valfria språket inte att gälla;
i klausul 12, ska alla anspråk som framförs enligt EU:s SCC:er vara föremål för de villkor som anges i avtalet;
i klausul 17, kommer alternativ 1 att gälla, EU:s SCC:er regleras av irländsk lag;
i klausul 18(b) ska tvister lösas vid domstolarna i Irland;
Bilaga I till EU:s SCC ska anses vara ifylld med den information som anges i bilaga I till detta tillägg.
Bilaga II till EU:s SCC:er ska anses ha fyllts i med den information som anges i bilaga II till detta tillägg.
Bilaga III till EU:s SCC ska anses vara kompletterad med den information som anges i bilaga III till detta tillägg.
3.9.2. När det gäller kunddata som skyddas av Storbritanniens GDPR har parterna laglig rätt att förlita sig på EU:s SCC för begränsade överföringar från Storbritannien med förbehåll för Storbritanniens tillägg som införlivas i detta tillägg genom denna referens och kompletteras enligt definitionen i bilaga IV som bifogas härtill. Om detta avsnitt 3.9.2 inte gäller ska Globalization Partners exporterande företag och kunden samarbeta i god tro för att implementera lämpliga skyddsåtgärder för överföringar av sådana personuppgifter enligt vad som krävs eller tillåts enligt Storbritanniens GDPR utan onödigt dröjsmål.
3.9.3. Ingenting i tolkningarna i detta avsnitt 3.9 är avsett att strida mot någondera partens rättigheter eller ansvar enligt EU:s SCC:er och/eller Storbritanniens tillägg och, i händelse av en sådan konflikt, ska EU:s SCC:er och/eller Storbritanniens tillägg, i förekommande fall, ha företräde.
3.10. Radering av personuppgifter. Vid uppsägning av Tjänsterna (av någon anledning) och om Kunden skriftligen begär det ska Globalization Partners, så snart det är praktiskt möjligt, returnera eller radera Kunddata som lagras på Plattformen såvida inte tillämplig lag kräver lagring av Kunddata under en längre period. För sådan lagring ska bestämmelserna i detta Tillägg fortsätta att gälla för sådana Kunddata.
3.11. Begäranden från registrerade. Globalization Partners ska omedelbart informera kunden om alla registrerades begäran om kunduppgifter. Kunden ansvarar för att svara på sådana förfrågningar. Globalization Partners kommer rimligen att hjälpa Kunden att svara på sådana förfrågningar från Registrerade i den utsträckning Kunden inte kan komma åt relevanta Kunddata i sin användning av Plattformen.
3.12. Begäran från tredje part. Om Globalization Partners tar emot några förfrågningar från tredje parter eller ett beslut från någon domstol, tribunal, tillsynsmyndighet eller myndighet med behörig jurisdiktion som Globalization Partners är föremål för avseende behandlingen av kunduppgifter enligt avtalet, kommer Globalization Partners omedelbart att omdirigera begäran till kunden. Globalization Partners kommer inte att svara på sådana förfrågningar utan kundens föregående godkännande såvida de inte är juridiskt tvungna att göra det. Globalization Partners kommer, såvida det inte är förbjudet enligt lag, att informera kunden i förväg om att lämna ut kunddata och kommer rimligen att samarbeta med kunden för att begränsa omfattningen av sådant utlämnande till vad som krävs enligt lag.
3.13. Konsekvensbedömning avseende dataskydd och föregående konsultation. I den utsträckning som krävs enligt dataskyddslagar ska Globalization Partners tillhandahålla rimlig hjälp till kunden för att utföra en konsekvensbedömning avseende dataskydd i samband med behandling av kunduppgifter som genomförs av Globalization Partners och/eller eventuella nödvändiga tidigare konsultationer (er) med tillsynsmyndigheter. Globalization Partners förbehåller sig rätten att debitera kunden en rimlig avgift för tillhandahållandet av sådan assistans.
3.14. Visa efterlevnad. Globalization Partners genomför regelbundet externa revisioner av organisationens säkerhets-, tillgänglighets-, bearbetningsintegritets-, sekretess- och integritetskontroller och kommer att ge kunden en kopia av den senaste sammanfattande revisionsrapporten eller certifieringen på skriftlig begäran. Om kunden föredrar att utföra sin egen revision utöver de tillhandahållna tredjepartscertifieringarna eller rapporterna, En sådan revision ska genomföras i) inte mer än en gång per 12 (tolv) månadersperiod, ii) under normal kontorstid och utan att störa Globalization Partners dagliga verksamhet; iii) med trettio (30) dagars skriftligt varsel; iv) på kundens egen bekostnad (inklusive Globalization Partners tid som spenderas på att hjälpa kunden under revisionen baserat på den dagliga kursen för en säkerhetschef); v) baserat på ömsesidigt överenskomna parametrar och omfattning, begränsas till tjänsternas specifika omfattning, System för användning och/eller bearbetning som övervägs och som är specifika för det faktiska kravet. vi) baserat på ömsesidigt överenskommet datum i förväg, med förbehåll för rimlig uppskjutning av kunden på Globalization Partners rimliga begäran; och vii) i enlighet med alla sekretessförpliktelser och restriktioner. Oaktat det föregående beviljas ingen revisionsrätt efter uppsägning av Huvudavtalet, med undantag för juridiska skyldigheter som måste visas av Kunden. En tredjepartsrepresentant som valts ut för att utföra en revision å Kundens vägnar får inte ha ett ägarintresse i eller anknytning till en EOR Services-byrå, en relaterad organisation eller konsult.
3.15. Ingen informationsförsäljning. Globalization Partners får inte härleda eller utöva några rättigheter eller förmåner avseende personuppgifter förutom enligt vad som anges i detta tillägg . För att undvika tveksamheter kommer Globalization Partners inte att behålla, använda, dela eller avslöja kunddata för något annat syfte än det specifika syftet att tillhandahålla plattformen till kunden i enlighet med huvudavtalet. Globalization Partners får inte sälja några personuppgifter, eftersom termen ”sälj” definieras i CCPA. Globalization Partners intygar och garanterar att de förstår CCPA:s regler, krav och definitioner och samtycker till att avstå från att vidta alla åtgärder som skulle leda till att överföringar av personuppgifter till eller från Globalization Partners kvalificerar sig som ”säljande personuppgifter” enligt CCPA.
|
Parter |
Personuppgiftsansvarig/dataexportör: Kundenhet som verkställer |
|
Kontaktuppgifter för parter |
Kundens kontaktuppgifter enligt huvudavtalet. Globalization Partners kontaktuppgifter enligt huvudavtalet. |
|
Aktiviteter som är relevanta för de överförda uppgifterna |
Aktiviteter relaterade till plattformen som tillhandahålls som en tjänst. |
|
Bearbetning av aktiviteter |
Globalization Partners kommer att behandla kunddata i sitt tillhandahållande av plattformen som en tjänst till kunden. |
|
Behandlingens varaktighet |
Globalization Partners kommer att behandla kunduppgifter under huvudavtalets löptid och kontinuerligt. |
|
Behandlingens art och syfte |
Kunden kan överföra kunddata till Globalization Partners, vars omfattning bestäms och kontrolleras av kunden efter eget gottfinnande. Globalization Partners kommer att behandla kunduppgifter efter behov i syfte att tillhandahålla plattformen som en tjänst till kunden i enlighet med huvudavtalet. |
|
Kategorier av registrerade personer |
Kunddata avser Behöriga användare av Plattformen som kan inkludera Kundens anställda och/eller entreprenörer, utöver individer vars Personuppgifter tillhandahålls av Behöriga användare av Plattformen. |
|
Typer av personuppgifter |
De överförda Kunddata kan omfatta följande kategorier av data: Kontaktuppgifter (t.ex. postadress, telefonnummer och e-postadress). Uppgifter om anställda/entreprenörer (t.ex. jobbtitel och företagets namn). Kunduppgifter (t.ex. fakturerings- och kreditrelaterade uppgifter). Användningsdata (t.ex. data om den auktoriserade användarens enhet och hur sådan enhet interagerar med plattformen). Platsdata (t.ex. plats som härleds från IP-adressen). Innehållsdata (t.ex. innehållet i kundens filer avseende yrkesutövare och kommunikation). Behörigheter (t.ex. lösenord, lösenordstips och liknande säkerhetsinformation som används för autentisering och kontoåtkomst till plattformen). Alla personuppgifter som tillhandahålls av behöriga användare. |
|
Särskilda kategorier av uppgifter (om tillämpligt) |
Ej tillämpligt |
|
Bevarande |
Kunddata kommer att behållas minst så länge som någon tillämplig lagstadgad minimilagringsperiod, som överensstämmer med tillämpliga stadgar om begränsningar och uppfyller god affärssed. |
|
Behörig tillsynsmyndighet |
Den irländska dataskyddskommissionen |
|
Överföringar till underbiträden |
För överföringar till personuppgiftsbiträden är föremålet, typen och varaktigheten av behandlingen densamma som ovan definierat. |
|
Kontaktuppgifter för Globalization Partners sekretess |
privacy@globalization-partners.com
|
Globalization Partners har certifierats och intygats för att bekräfta efterlevnad av SOC-2standarder av oberoende revisorer. Rapporter från Service Organization Controls (SOC) visar vårt åtagande att säkra kunddata. Globalization Partners säkerhetsprogram är utformat för att:
Skydda sekretessen, integriteten och tillgängligheten av kunddata i Globalization Partners ägo eller som Globalization Partners har tillgång till;
Skydda mot alla förväntade hot eller faror för sekretessen, integriteten och tillgängligheten av kunddata;
Skydda mot obehörig eller olaglig åtkomst, användning, avslöjande, ändring eller förstörelse av Kunddata;
Skydda mot oavsiktlig förlust eller förstörelse av eller skada på Kunddata; och
Skydda information enligt vad som anges i alla förordningar genom vilka Globalization Partners kan regleras.
Följande beskriver de funktioner, processer, kontroller, system, procedurer och åtgärder som Globalization Partners har vidtagit för att säkerställa säkerheten vid behandling av kunduppgifter:
a) Design- och standardsekretess:Globalization Partners tar hänsyn till kraven i artikel 25 i GDPR i produktutvecklingsfasen. Processer och funktioner upprättas på ett sådant sätt att dataskyddsprinciper som laglighet, öppenhet, ändamålsbegränsning, dataminimering etc. samt säkerheten för behandlingen beaktas i ett tidigt skede.
b) Kryptering av personuppgifter:Säkerställa att personuppgifter endast lagras i systemet på ett sätt som inte tillåter tredje part att identifiera den registrerade.
Kryptering av databas och lagring:
I alla databaser som används av Globalization Partners används en kryptering ”i vila” enligt den senaste tekniken så att data från databasen endast kan läsas efter korrekt autentisering på respektive databassystem.
Kryptering av mobila datamedier:
Användning av mobildatabärare för lagring av kunddata är inte tillåtet.
Kryptering av databärare på bärbara datorer:
Lämplig toppmodern hårddiskkryptering installeras på alla anställdas bärbara datorer.
Krypterat utbyte av information och filer:
I princip krypteras utbytet av information och filer direkt via en särskild applikation. Om personuppgifter eller konfidentiell information måste överföras till servrar som inte kan skickas via TLS-krypterade HTTPS-uppladdningar kommer dessa att överföras med Secure File Transfer Protocol (SFTP), krypterad kuverttjänst eller annan krypterad mekanism enligt den senaste tekniken.
Kryptering via e-post:
I princip är alla e-postmeddelanden som skickas av anställda hos Globalization Partners krypterade med TLS. Undantag kan vara om den mottagande e-postservern inte stöder TLS. Kunden ska säkerställa att motsvarande e-postservrar som används inom ramen för beställningen stöder TLS-kryptering
c) Kontroller för tillträdeskontroll är avsedda och upprättade för att förhindra användning och behandling av data som skyddas av dataskyddslagar av obehöriga personer.
Användning av autentiseringsmetoder
Åtkomst till personuppgifter sker alltid via krypterade protokoll: SSH, SSL/TLS, HTTPS eller jämförbara protokoll. Autentiseringsprocedur för IT-system: Inloggning till IT-system för multifaktorautentisering.
Automatisk blockering vid inaktivitet
Bärbara datorer som används av Globalization Partners anställda låsta med lösenords- eller PIN-kodsskydd när de inte används av användaren. Dessutom ställs ett automatiskt skärmlås med lösenordsskydd in efter 15 minuters inaktivitet.
Användning av antivirusprogram
Bärbara datorer som används av Globalization Partners anställda är utrustade med toppmodern antivirusprogramvara som hålls uppdaterad på alla operativa eller affärsmässiga IT-system. I princip får inga datorer användas utan skydd mot virus om inte andra motsvarande toppmoderna säkerhetsåtgärder har vidtagits eller om det inte finns någon risk. Standardsäkerhetsinställningar får inte avaktiveras eller kringgås.
”Policy för rent skrivbord”
Anställda hos Globalization Partners instrueras att inte skriva ut eller lokalt lagra personuppgifter om registrerade, att inte lämna arbetsmaterial på en plats där de kan ses av tredje parter och att lagra allt arbetsmaterial korrekt. Dokument som Globalization Partners enligt lag är skyldiga att förvara i papperskopia lagras i låsta skåp.
d) Åtkomstkontroller inom plattformens åtkomstkontroller säkerställer att personer som är behöriga att använda ett bearbetningssystem endast har åtkomst till de personuppgifter som omfattas av deras åtkomsttillstånd.
Roller och behörighet
Roller och auktorisationsplattform – Kundåtkomst Kundanvändare kan visa och redigera kundkontoinformation.
Roller och auktorisationsplattform – Professionella användare kan visa och redigera sin egen professionella information.
Professionella kan också få kundåtkomstroll efter krav + godkännande
Roller och auktoriseringsplattform – Intern åtkomst
Intern åtkomstanvändare har olika roller. De har varierad åtkomst för att skapa, visa, redigera och godkänna följande:
Kundinformation
Faktureringsinformation
Information om partner
Uppgifter om professionell personal
Åtkomst till adminsystemet är i allmänhet begränsad till utbildade medarbetare inom områdena kundsupport och produktutveckling.
e) Brandvägg som en tjänstGlobalizationGlobalization Partners använder en extern brandvägg som en tjänst som gör det möjligt att bevilja eller blockera åtkomst till webbplatser för att säkerställa att system inte kan komma åt skadligt innehåll och för att begränsa åtkomsten till olämpligt innehåll.
f) Registrering av inloggning till PlatformGlobalizationGlobalization Partners upprätthåller ett register över all inloggningsaktivitet.
g) Separerbarhet Säkerställa att personuppgifter som samlas in för olika ändamål kan behandlas separat och separeras från andra uppgifter och system på ett sådant sätt att oplanerad användning av dessa uppgifter för andra ändamål utesluts.
Separation av utvecklings-, test- och driftsmiljöer
Data från driftsmiljön får endast överföras till test- eller utvecklingsmiljöer om den har gjorts helt anonym före överföringen. Överföringen av anonymiserade data måste krypteras eller via ett pålitligt nätverk.
Separation i nätverk
Globalization Partners separerar sina nätverk efter uppgifter. Följande nätverk används permanent: driftsmiljö (”Produktion”), testmiljö (”Staging”, ”Sandbox”), utvecklingsmiljö (”Dev”) kontors-IT-personal. Utöver dessa nätverk skapas ytterligare separata nätverk efter behov, t.ex. för återställningstester och penetrationstester. Beroende på de tekniska möjligheterna separeras nätverken antingen fysiskt eller med hjälp av virtuella nätverk.
h) TillgänglighetskontrollGlobalizationGlobalization Partners vidtar följande åtgärder för att säkerställa att personuppgifter skyddas mot oavsiktlig förstörelse eller förlust.
Dataskyddsprocedurer/säkerhetskopior
För att säkerställa tillräcklig tillgänglighet implementerar Globalization Partners dagliga ögonblicksbilder av sin databas med replikering till en annan region. Åtgärder vidtas också för att säkerställa att anställda med jobbbaserat behov av att granska data endast beviljas åtkomst till replika datauppsättningar.
Georedundans med avseende på serverinfrastruktur för produktiva data och säkerhetskopior
Hantering av IT-incidenter (”hantering av incidentrespons”)
Det finns ett koncept och dokumenterade rutiner för hantering av incidenter och säkerhetsrelaterade händelser. Detta inkluderar planering och förberedelse av respons på incidenter, rutiner för övervakning, detektering och analys av säkerhetsrelaterade händelser och definitionen av motsvarande ansvar och rapporteringskanaler i händelse av en överträdelse av skyddet av personuppgifter inom ramen för de rättsliga kraven.
Globalization Partners har vidtagit följande organisatoriska åtgärder för att säkerställa att organisationen fungerar på ett sätt som uppfyller kraven på datasekretess och dataskydd.
a) Organisatoriska instruktionerGlobalizationGlobalization Partners har utvecklat och utvecklar ett datastyrningsprogram inklusive policyer, procedurer och riktlinjer som anställda ska följa. Dokumentationen omfattar hur man identifierar och hanterar dataintegritetsproblem, bästa praxis för att säkerställa efterlevnad av sekretessregler och policyer för att hantera integritetsincidenter.
b) Engagemang för sekretess och dataskyddGlobalizationGlobalization Partners har utvecklat och utvecklar ett datastyrningsprogram inklusive policyer, procedurer och riktlinjer för anställda att följa. Alla anställda och entreprenörer är skriftligen bundna till sekretess och dataskydd samt andra relevanta lagar. Alla anställda får integritets- och säkerhetsutbildning. Interna revisioner av dataskydd och informationssäkerhet genomförs regelbundet. Revisioner utförs på grundval av gemensamma testkriterier/system. Globalization Partners anställda och entreprenörer instrueras att behandla personuppgifter endast av lagliga skäl, i enlighet med tillämpliga avtal med kunden och yrkesutövaren, med vederbörlig hänsyn till alla uttryckliga samtycken som den registrerade ger eller undanhåller och i enlighet med organisationens lagliga skyldigheter.
c) Dataskyddsutbildning Alla anställda får integritets- och säkerhetsutbildning som fortfarande är tillgänglig för granskning när som helst i Globalization Partners utbildningsplattform.
d) Kontroller för fysisk åtkomstGlobalizationGlobalization Partners har följande fysiska kontroller på plats för att neka obehöriga personer åtkomst till IT-systemutrustning som används för behandling.
Elektroniskt dörrskydd
Ingångsdörrarna till Globalization Partners kontor är alltid låsta och elektroniskt säkrade. Dörrarna öppnas via en personlig elektronisk transponder.
Kontrollerad distribution av nycklar
En central, dokumenterad tilldelning av nycklar till Globalization Partners anställda sker. Dessa elektroniska transpondrar/nycklar kan inaktiveras centralt av varje kontorschef eller personalavdelningen.
Tillsyn och ackompanjemang av externa personer
Externa tjänsteleverantörer och andra tredje parter får endast beviljas åtkomst till lokalerna via förhandsgodkännande eller när de åtföljs av en anställd hos Globalization Partners. Globalization Partners tillämpar sin skriftliga besökspolicy när besökare bjuds in till lokalerna.
Säkra lokaler med ökat skyddsbehov
Lokaler eller skåp med ökade skyddskrav, såsom juridiska kontor och vissa verksamhetsplatser, är utrustade med låsskåp och lådor. Skåp och lådor där juridiska dokument, kontrakt och konfidentiell dokumentation förvaras ska alltid låsas utom när de används.
Stängda dörrar och fönster
Anställda instrueras organisatoriskt att hålla fönster och dörrar stängda eller låsta utanför kontorstid.
e) ÅtervinningGlobaliseringspartnersGlobalization Partners säkerställer att system som används kan återställas i händelse av fysiska eller tekniska fel.
Regelbundna tester av dataåterställningen (”Återställ-tester”)
Regelbundna fullständiga återställningstester utförs för att säkerställa återvinning i händelse av en nödsituation/katastrof.
Nödplan (”katastrofåterställningskoncept”)
Det finns ett koncept för behandling av nödsituationer/katastrofer och en motsvarande krisplan. Globalization Partners säkerställer återställning av alla system baserat på säkerhetskopieringar/säkerhetskopior av data, vanligtvis inom 48 timmar.
Översyns- och utvärderingsåtgärder
Presentation av förfarandena för regelbunden översyn, bedömning och utvärdering av de tekniska och organisatoriska åtgärdernas effektivitet.
f) Sekretessteam Organisationen har ett globalt datasekretesskontor med uppgift att planera, implementera, utvärdera och anpassa åtgärder inom dataskydd.
g) Riskhantering Det finns en process för att analysera, utvärdera och fördela risker och för att härleda åtgärder utifrån dessa risker.
a) Utförande av revisioner Internrevisioner avseende dataskydd och informationssäkerhet genomförs regelbundet. Revisioner utförs på grundval av gemensamma testkriterier/system.
b) Granskning av efterlevnad av säkerhetspolicyer och standarder Efterlevnad av tillämpliga säkerhetsriktlinjer, standarder och andra säkerhetskrav för behandling av personuppgifter kontrolleras regelbundet. Där så är möjligt utförs dessa kontroller på slumpmässig och oväntad basis.
c) Verifiering av efterlevnad av tekniska specifikationer Regelbundna automatiserade och manuella sårbarhetsskanningar utförs av IT-avdelningen eller annan kvalificerad personal för att verifiera säkerheten för applikationerna och infrastrukturen, samt den regelbundna utvecklingen av produkten. Detaljerade penetrationstester utförs av en extern tjänsteleverantör för att specifikt undersöka applikationer och infrastruktur för sårbarheter.
d) Behandling på instruktion Globalization Partners anställda instrueras att endast behandla personuppgifter av lagliga skäl, i enlighet med tillämpliga avtal med kunden och yrkesutövaren, med vederbörlig hänsyn till alla uttryckliga samtycken som den registrerade ger eller undanhåller och i enlighet med organisationens lagliga skyldigheter.
e) Noggrant val av leverantörGlobalizationGlobalization Partners följer sin förkvalificeringsprocess för leverantörer när de väljer leverantörer som kan stöta på skyddade data. Denna process inkluderar feedback från ekonomi- och juridik-/integritetsavdelningarna och omfattar riskbedömning, säkerhetsförkvalificering och dokumentationscertifieringssteg. Leverantörer som kommer att behandla skyddade uppgifter måste visa att de följer tillämpliga dataskyddslagar, inklusive artikel 28 GDPR för uppgifter som omfattas.
|
Underbiträde |
Kontaktinformation |
Beskrivning av bearbetning |
Plats |
|---|---|---|---|
|
Tillhandahålla plattformen och hantering av kundrelationer |
USA |
||
|
3933 Lake Washington Blvd NE #350, Kirkland, WA 98033, USA |
Finansiella tjänster |
USA |
|
|
P.O. Box 81226 Seattle, WA98108-1226, USA |
Värdtjänst – leverantör av molntjänster |
USA |
|
|
En Microsoft Way Redmond, Washington 98052 USA |
Kommunikation för affärsprocesssupport (e-post); tjänstehantering |
USA |
|
|
350 Bush Street Floor 13 San Francisco, CA 94104, USA |
Affärsprocessstöd för tjänstehantering |
USA |
|
|
|
Hantering av kontrakt |
Storbritannien |
|
|
DocuSign International (EMEA) Ltd, Uppmärksamhet: Sekretessteam, 5 Hannover Quay, Ground Floor, Dublin2, Irland |
Dokumenthantering |
Irland |
|
|
265 Cambridge Ave, Suite 60717 Palo Alto, CA 94306, USA |
Telekommunikationstjänster |
USA |
|
|
2 Kingdom Street Paddington London W2 6BD Storbritannien |
Hantering av kontrakt |
Storbritannien |
|
|
Salesforce Tower, 415 Mission Street, 3:e våningen, San Francisco, CA 94105, USA |
Affärsprocesssupport för hantering av kundrelationer (CRM) |
USA |
|
|
989 Market St San Francisco, CA 94103, USA |
Tabell 1: Parterna
|
Startdatum |
Ikraftträdandedatum för detta tillägg |
|
|
Parterna |
Exportör (som skickar den begränsade överföringen) |
Importör (som tar emot den begränsade överföringen) |
|
Parternas uppgifter |
Uppgifter om kundens enhet enligt vad som anges i huvudavtalet. |
Globalization Partners enhetsuppgifter enligt huvudavtalet. |
|
Viktiga kontakter |
Kundens kontaktuppgifter enligt huvudavtalet. |
Globalization Partners kontaktuppgifter enligt vad som anges i huvudavtalet och Globalization Partners sekretesskontaktuppgifter enligt definitionen i bilaga I ovan. |
Tabell 2: Valda SCC:er, moduler och valda klausuler
|
Tillägg till EU:s SCC |
Versionen av de godkända EU SCC:er som införlivats i avsnitt 3.9 i tillägget, inklusive bilagainformationen som bifogas detta tillägg. |
Tabell 3: Bilagainformation”Bilagainformation” avser den information som måste tillhandahållas för de valda modulerna enligt bilagan till de godkända EU SCC:erna (andra än parterna), och som för detta tillägg anges i:
Bilaga 1A: Förteckning över parter: Bilaga I
Bilaga 1B: Beskrivning av överföring: Bilaga I
Bilaga II: Tekniska och organisatoriska åtgärder, inbegripet tekniska och organisatoriska åtgärder för att säkerställa uppgifternas säkerhet: Bilaga II
Bilaga III: Förteckning över underbiträden: Bilaga III
Tabell 4: Avsluta detta tillägg när det godkända tillägget ändras
|
Avsluta detta tillägg när det godkända tillägget ändras |
Vilka parter kan avsluta detta tillägg enligt vad som anges i avsnitt 19: |
|
Obligatoriska klausuler |
Del 2: Obligatoriska klausuler i det godkända tillägget, som är mallen för tillägg B.1.0 som utfärdats av ICO och lagts fram för s119A parlamentet i enlighet med dataskyddslagen 2018 den 2 februari 2022, eftersom den revideras enligt avsnitt 18 i dessa obligatoriska klausuler. |
