GP-logotyp​​ 
Begär offert​​ 

MSA Sekretessspråk​​ 

Senast uppdaterad: Juni 26, 2026​​ 

TILLÄGG TILL DATASKYDD​​ 

Kund och G-P är parter i ett huvudavtal eller i ett avtal med liknande karaktär och syfte (nedan kallat huvudavtalet). Detta dataskyddsavtal kompletterar villkoren i huvudavtalet och är införlivat däri. I händelse av konflikt mellan detta DPA och andra avtal mellan Parterna om de frågor som anges häri, ska detta DPA ha företräde. Om Kunden redan har ett undertecknat dataskyddstillägg i kraft med G-P, ska det avtalet ha företräde framför detta dataskyddsavtal, och detta dataskyddsavtal ska inte ha någon kraft eller verkan, såvida inte annat skriftligen avtalats mellan Kunden och G-P.​​ 
 

1. DEFINITIONER​​  

Termer som inte definieras häri har de betydelser som anges i huvudavtalet. Följande ord i denna DPA har följande betydelser:​​ 
1.1 “​​ Auktoriserad användare​​ ” avser en person som har tillstånd av Kunden, vilken kan inkludera antingen Kundens anställd och/eller entreprenör, att få åtkomst till och använda GPP för Kundens räkning, i enlighet med ingående av Huvudavtalet.​​ 
1.2 “​​ Kunddata​​ ”avser alla personuppgifter relaterade till en Auktoriserad användare eller identifierbar fysisk person som överförs, behandlas eller lagras av G-P för Kundens räkning i samband med Tjänsterna för Kundens användning av GPP.​​ 
1.3 “​​ Dataskydd​​  Lagar​​ ”avser alla dataskydds- och integritetslagar som en part i detta avtal omfattas av och som är tillämpliga på de tillhandahållna Tjänsterna, inklusive, i tillämpliga fall, men inte begränsat till, allmän dataskyddsförordningen (GDPR), brittisk allmän dataskyddsförordning (GDPR), schweizisk dataskyddslag, amerikansk integritetslag (inklusive statliga och federala lagar) och brasiliansk LGPD.​​ 
1.4 “​​ Employer of Record​​ ” betyder Employer of Record”.​​ 
1.5 “​​ allmänna dataskyddsförordningen (GDPR)​​ ” betyder allmänna dataskyddsförordningen (GDPR) (EU) 2016/679.​​ 
1.6 “​​ GPP​​ ”avser G-P:s proprietära programvara, inklusive men inte begränsat till programvaran, mobilversionen, all programvara som finns däri och all data som görs tillgänglig genom användning av antingen G-P:s proprietära programvara eller tredjepartstjänster, inklusive deras uppdateringar, uppgraderingar, plattform som en tjänst och dokumentation.​​ 
1.7 “​​ EEA​​ ” avser Europeiska ekonomiska samarbetsområdet.​​ 
1.8 “​​ LGPD​​ ” betyder Brasiliens lag nr. 13.709, den allmänna lagen om skydd av personuppgifter, som kan ändras, ersättas eller ersättas.​​ 
1.9 “​​ Sekretesspolicy​​ ” avser G-P :s integritetspolicy, som uppdateras från tid till annan, tillgänglig på​​   
1.10 “​​ Yrkesverksammas data​​ ”avser yrkesverksammas personuppgifter som behandlas av G-P i samband med tillhandahållandet av arbetsgivartjänster till Kunden.​​ 
1.11 "​​ Begränsad överföring​​  avser all överföring av personuppgifter till ett land utanför EES, Storbritannien, Schweiz eller Brasilien som inte omfattas av ett beslut om adekvat skydd enligt tillämpliga dataskyddslagar och därför kräver lämpliga skyddsåtgärder enligt tillämpliga dataskyddslagar.​​ 
1.12 “​​ Tjänster​​  betyda​​  tjänsterna​​  som ska tillhandahållas av G-P till kunden enligt huvudavtalet, vilket kan innefatta tillhandahållande av tjänster från arbetsgivaren och åtkomst till och användning av GPP.​​ 
1.13 "​​ Standardavtalsklausuler​​  eller​​  "SCC:er"​​  avser (i) där den allmänna dataskyddsförordningen (GDPR) gäller, standardavtalsklausulerna som bifogas Europeiska kommissionens genomförandebeslut (EU) 2021/914 av den 4 juni 2021 standardavtalsklausuler för överföring av personuppgifter till tredjeländer i enlighet med Europaparlamentets och rådets förordning (EU) 2016/679 , tillgängliga på​​   ("EU:s standardavtalsklausuler"); (ii) där den allmänna dataskyddsförordningen i Storbritannien (GDPR) gäller, de tillämpliga standardavtalsklausulerna som antagits i enlighet med artikel 46(2)(c), eller (d) där den allmänna dataskyddsförordningen i Storbritannien (GDPR) avser tillägget om internationell dataöverföring ("UK Addendum") till EU:s standardavtalsklausuler som utfärdats av Information Commissioner's Office enligt avsnitt 119A(1) i dataskyddslagen 2018, i vilken sådant brittiskt tillägg kan revideras enligt avsnitt 18 däri ("UK SCCs"); (iii) där schweiziska dataskyddslagar gäller, tillämpliga standardavtalsklausuler som utfärdats, godkänts eller erkänts av den schweiziska federala dataskyddsmyndigheten och informationskommissionärsmyndigheten (de "schweiziska standardavtalsklausulerna"); där den brasilianska dataskyddslagen gäller, tillämpliga standardavtalsklausuler, bifogade resolution CD/ANPD nr 19/2024 som utfärdats av den brasilianska nationella dataskyddsmyndigheten (”ANPD”), i dess lydelse enligt vad som kan komma att ändras från tid till annan (”brasilianska standardavtalsklausuler”).​​ 
1.14 “​​ Schweiziska dataskyddslagar​​ eller​​  "FADP"​​  betyder (i) den schweiziska federala dataskyddslagen (”​​ FDPA​​ ”); (ii) Förordningen om den federala dataskyddslagen (”​​ FODP​​ ”); och (iii) alla nationella dataskyddslagar som utfärdats enligt, i enlighet med, ersätter eller efterträder och all lagstiftning som ersätter eller uppdaterar något av det föregående.​​ 
1.15 “​​ Tillägg för Storbritannien​​ ” avser Storbritanniens tillägg om internationell dataöverföring till EU:s standardavtalsklausuler utfärdat av den brittiska informationskommissionären.​​ 
1.16 “​​ "Brittiska dataskyddslagar"​​  avser den allmänna dataskyddsförordningen (GDPR) som sparats i Storbritanniens lagar i kraft av avsnitt 3 i Storbritanniens European Union (Withdrawal) Act 2019 ("UK allmänna dataskyddsförordningen (GDPR)") och Data Protection Act 2018 (tillsammans, "UK Data Protection Laws").​​ 
1.17 “​​ Amerikanska sekretesslagar​​ ”avser tillämpliga lagar, förordningar, förordningar och riktlinjer i USA gällande behandling av personuppgifter, inklusive men inte begränsat till: (a) CCPA; (b) Virginias konsumentdataskyddslag; (c) Colorados integritetslag; (d) Connecticuts lag om dataskydd och onlineövervakning; (e) Utahs konsumentdatalag; och (f) alla liknande statliga lagar.​​ 
1.18 "​​ "Registrerad", "Personuppgifter", "Personuppgifter", "Dataintrång", "Personlig information", "Bearbetning", "Begränsad överföring", "Tjänsteleverantör"​​  och/eller andra liknande termer och begrepp ska ha de betydelser som definieras i dataskyddslagarna.​​ 
 
 

2. OBEROENDE ANSVARIG OCH ANSVARIG RELATION​​  

2.1​​  Parternas roller.​​  När G-P tillhandahåller Kunden tjänster som registrerad arbetsgivare, övertar G-P rollen som juridisk arbetsgivare för de individer som Kunden väljer att anlita (”Yrkesperson(er)”). Beträffande sådana yrkesverksammas personuppgifter är G-P en oberoende personuppgiftsansvarig under anställningsförhållandets gång. Beträffande yrkesverksammas personuppgifter som samlas in och används av Kunden för egna ändamål är Kunden också en oberoende personuppgiftsansvarig med oberoende integritetsskyldigheter. Vid leverans av tjänster som arbetsgivare sker utbytet av yrkesverksammas personuppgifter mellan G-P och kunden under en oberoende förhållande mellan personuppgiftsansvariga och bestämmelserna i detta avsnitt 2 (”Oberoende förhållande mellan personuppgiftsansvariga”) ska tillämpas. Parterna kommer under inga omständigheter att behandla personuppgifter enligt detta dataskyddsavtal som gemensamt personuppgiftsansvariga.​​ 
2.2​​  Ansvar och erkännanden​​ Parterna ska i sin egenskap av personuppgiftsansvariga:​​ 
2.2.1 Följa tillämpliga dataskyddslagar i samband med behandling av yrkesverksammas personuppgifter.​​ 
2.2.2 Behandla och dela de professionellas personuppgifter på ett rättvist och lagligt sätt i syfte att (i förekommande fall) utföra eller ta emot uppdragsgivarens registertjänster för sina egna legitima intressen.​​ 
2.2.3 Säkerställ att en laglig behandlingsgrund gäller för all delning av yrkesverksammas personuppgifter mellan parterna.​​ 
2.2.4 Bistå varandra i att uppfylla sina respektive skyldigheter enligt dataskyddslagar, inklusive, men inte begränsat till, bistå varandra om ett dataintrång inträffar, svara på begäran från registrerade och/eller tillsynsmyndigheter.​​  
 

3. FÖRHÅLLANDET MELLAN PERSONUPPGIFTER OCH PERSONUPPGIFTER​​ 

3.1​​  Parternas roller​​ G-P erbjuder även olika programvaruprodukter som en tjänst via GPP, genom vilka G-P gör det möjligt för kunden att hantera relationen med dessa yrkesverksamma. När G-P ger kunden åtkomst till GPP är G-P personuppgiftsbiträde för de kontorelaterade personuppgifter som laddas upp till GPP av kundens utsedda auktoriserade användare av GPP, och kunden är personuppgiftsansvarig för sådana uppgifter, och bestämmelserna i detta avsnitt 3 (”Förhållandet mellan personuppgiftsbiträde”) ska tillämpas.​​ 
3.2​​  Instruktioner.​​  G-P kommer att behandla kunddata i enlighet med kundens dokumenterade instruktioner.  Kunden samtycker till att detta DPA, Huvudavtalet och bilaga I som bifogas detta, utgör Kundens fullständiga instruktioner till G-P angående Behandling av Kunddata.  Eventuella ytterligare eller alternativa instruktioner måste överenskommas skriftligen mellan parterna, inklusive de kostnader (om några) som är förknippade med att följa sådana instruktioner.  Kunden ska säkerställa att dess instruktioner överensstämmer med tillämpliga dataskyddslagar. Kunden bekräftar att G-P inte ansvarar för att avgöra vilka lagar som är tillämpliga på Kundens verksamhet. Kunden ska säkerställa att G-P :s behandling av kunddata, när den sker i enlighet med kundens instruktioner, inte medför att G-P bryter mot någon tillämplig lag, inklusive tillämpliga dataskyddslagar. Om G-P emellertid anser att en kundinstruktion bryter mot tillämplig dataskyddslag, ska G-P underrätta kunden så snart som det är rimligen möjligt och är inte skyldiga att följa en sådan intrångsgörande instruktion.​​  
3.3​​  Detaljer om bearbetning​​ . Uppgifter om föremålet för behandlingen, dess varaktighet, art och syfte samt typen av kunddata och registrerade anges i bilaga I som bifogas till denna.​​   
3.4​​  Efterlevnad.​​  Kunden och G-P samtycker till att uppfylla sina respektive skyldigheter enligt dataskyddslagar som gäller för kunddata som behandlas enligt bilaga I. Kunden har ensamt ansvar för att följa dataskyddslagarna avseende lagligheten av behandlingen av kunddata innan kunddata lämnas ut, överförs eller på annat sätt görs tillgängliga för G-P.  För att undvika missförstånd ska Kunden i samtliga fall, där så krävs, inhämta samtycken från de Registrerade för att G-P ska behandla Kunduppgifter enligt Kundens anvisningar.​​ 
3.5​​  Underprocessorer​​ Kunden bemyndigar G-P att utse och använda personuppgiftsbiträden (”Underpersonuppgiftsbiträden”) för att behandla kunduppgifterna i samband med tjänsterna.  Underbiträden kan inkludera tredje parter eller alla medlemmar i G-P -koncernen. G-P kan fortsätta att använda de underbiträden som redan anlitats av G-P per dagen för detta databearbetningsavtal, och en lista över sådana underbiträden finns tillgänglig i bilaga III nedan. Om en Underbiträde inte uppfyller sina dataskyddsskyldigheter enligt ovan, ska G-P vara ansvarigt gentemot Kunden för fullgörandet av Underbiträdets skyldigheter. G-P ska meddela Kunden om eventuella ändringar i sin lista över Underbiträden via GPP. Om Kunden, inom 10 (tio) dagar från mottagandet av det meddelandet, berättigat invänder mot tillägg eller borttagande av en Underbiträde av dataskyddsskäl och G-P inte rimligen kan tillgodose Kundens invändning, ska Parterna diskutera Kundens synpunkter i god tro i syfte att lösa ärendet.​​ 
3.6​​  Tekniska och organisatoriska säkerhetsåtgärder​​ Med beaktande av branschstandarder, implementeringskostnaderna, arten, omfattningen, sammanhanget och syftena med Behandlingen, samt andra relevanta omständigheter som rör Behandlingen av Kunduppgifterna, ska G-P implementera lämpliga tekniska och organisatoriska säkerhetsåtgärder för att säkerställa att säkerheten, konfidentiellheten, integriteten, tillgängligheten och motståndskraften hos de behandlingssystem och tjänster som är involverade i Behandlingen av Kunduppgifterna står i proportion till risken med avseende på sådana Kunduppgifter, såsom beskrivs i bilaga II som bifogas detta.  G-P kommer regelbundet att (i) testa och övervaka effektiviteten hos sina skyddsåtgärder, kontroller, system och rutiner och (ii) identifiera rimligen förutsebara interna och externa risker för säkerheten, sekretessen och integriteten hos kunddata, och säkerställa att dessa risker åtgärdas.​​  
3.7​​  Sekretess​​ G-P ska säkerställa att personer som är behöriga att få åtkomst till Kunduppgifterna (i) har förbundit sig att tillämpa sekretess eller är underkastade en lämplig lagstadgad skyldighet till sekretess och (ii) endast har åtkomst till Kunduppgifterna efter dokumenterade instruktioner från G-P, såvida inte tillämplig lag kräver det.​​ 
3.8​​  Personuppgiftsbrott.​​  G-P kommer att meddela Kunden utan onödigt dröjsmål efter att ha blivit medveten om ett dataintrång i samband med behandling av kunddata och kommer att vidta rimliga åtgärder för att hjälpa Kunden att mildra, där så är möjligt, de negativa effekterna av ett dataintrång.​​ .​​ 
3.9​​  Radering av personuppgifter.​​   Vid uppsägning av Tjänsterna (av någon anledning) ska G-P , så snart det är rimligen möjligt, returnera eller radera Kunddata som lagrats i GPP, såvida inte tillämplig lag kräver lagring av Kunddata under en längre period. För sådan lagring ska bestämmelserna i denna DPA fortsätta att gälla för sådana kunddata.​​ 
3.10​​  Registrerade förfrågningar​​ G-P ska omedelbart informera Kunden om alla Registrerades begäranden angående Kunddata. Kunden är ansvarig för att svara på sådana förfrågningar. G-P kommer rimligen att bistå Kunden med att svara på sådana förfrågningar från den registrerade i den utsträckning Kunden inte kan få tillgång till relevanta kunduppgifter vid användning av GPP.​​  
3.11​​  Förfrågningar från tredje part​​ Om G-P tar emot några förfrågningar från tredje part eller ett beslut från någon domstol, tribunal, tillsynsmyndighet eller myndighet med behörig jurisdiktion som G-P lyder under avseende behandling av kunduppgifter enligt avtalet, kommer G-P omedelbart att omdirigera begäran till kunden. G-P kommer inte att svara på sådana förfrågningar utan Kundens föregående tillstånd, såvida de inte är lagligt skyldiga att göra det. G-P kommer, om det inte är lagligt förbjudet att göra det, att informera Kunden i förväg om eventuellt utlämnande av Kunddata och kommer att samarbeta med Kunden på ett rimligt sätt för att begränsa omfattningen av sådant utlämnande till vad som krävs enligt lag.​​   
3.12​​  Konsekvensbedömning av dataskydd och förhandssamråd​​ I den utsträckning det krävs enligt dataskyddslagarna ska G-P ge kunden rimligt bistånd för att genomföra en konsekvensbedömning avseende dataskydd i samband med G-P behandling av kunduppgifter och/eller eventuella föregående samråd med tillsynsmyndigheter. G-P förbehåller sig rätten att debitera Kunden en rimlig avgift för tillhandahållandet av sådan assistans.​​ 
3.13​​  Granskning.​​   Customer may audit G-P compliance with this DPA and Data Protection Laws by requesting a certificate issued for security verification reflecting the outcome of an audit conducted by a third party auditor (e.g., ISO27001 certification, SOC2 certificate), within twelve (12) months as of the date of Customer’s request. Alternatively, in the event the documentation provided subject to this Section 3.13 is not sufficient for the purpose of demonstrating compliance, the Customer may conduct its own audit in addition to the provided third party certifications or reports, provided that such audit shall be conducted: i) no more than once per each 12 (twelve) months period; ii) during normal business hours and without disrupting G-P’s day-to-day business; iii) with thirty (30) days prior written notice; iv) at the Customer’s sole expense; v) based upon mutually agreed parameters and scope, limited to the specific scope of services, systems in use and/or Processing activities contemplated hereunder; vi) based upon mutually agreed in advance date, subject to reasonable postponement by Customer upon G-P’s reasonable request; and vii) in accordance with all confidentiality obligations and restrictions. Notwithstanding the forgoing, no audit right is granted after termination of the Master Agreement, except for legal obligations that will have to be demonstrated by the Customer. Any third-party representative selected to perform an audit on behalf of Customer must not have an ownership interest in or affiliation with an EOR services company, agency, a related organization or consultant. Nothing in this DPA will require G-P to either disclose to Customer or its third-party auditor, or to allow Customer or its third-party auditor to access: (i) any data of any other G-P’s customer; (ii) G-P’ internal accounting or financial information; (iii) any trade secret of G-P or its affiliates; (iv) any information that, in G-P’ reasonable opinion, could compromise the security of any G-P’s systems or cause any breach of its obligations under applicable law or its security or privacy obligations to any third party; or (v) any information that Customer or its third-party auditor seeks to access for any reason other than the good faith fulfillment of Customer’s obligations under the Data Protection Laws.​​ 
3.14​​  USA: s integritetslagar.​​  Enligt detta avsnitt 3 är parterna överens om att G-P är en "tjänsteleverantör" eller "personuppgiftsbehandlare" enligt definitionen i tillämpliga amerikanska sekretesslagar. Följaktligen, i den utsträckning amerikansk integritetslag gäller för G-P:s behandling av kunddata, ska G-P inte (a) behålla, använda eller lämna ut kunddata utanför den direkta affärsrelationen mellan G-P och kunden, eller för något annat ändamål än det syfte som anges i bilaga I härmed, och G-P ska endast behandla kunddata så länge som de tillhandahåller tjänster till kunden; (b) sälja kunddata; (c) dela kunddata; eller (d) kombinera kunddata som G-P tar emot från, eller på uppdrag av, kunden med "personuppgifter" (enligt definitionen i tillämpliga dataskyddslagar) som de tar emot från, eller på uppdrag av, en annan person, eller samlar in från sin egen interaktion med en konsument, förutsatt att G-P får kombinera kunddata om det ligger inom ramen för att tillhandahålla tjänsterna till kunden. I tillämpliga fall ska vardera parten underrätta den andra parten om den fastställer att den inte längre kan uppfylla sina skyldigheter enligt amerikansk integritetslag.​​ 
 

4. INTERNATIONELLA DATAÖVERFÖRINGAR​​ 

4.1​​  Lämpligt skydd​​ G-P har rätt att, i den normala verksamheten, göra globala överföringar av kunddata till sina dotterbolag och/eller underleverantörer.  Vid sådana överföringar till ett territorium som inte av relevanta dataskyddsmyndigheter har erkänts som ett territorium som erbjuder en adekvat skyddsnivå för personuppgifter enligt dataskyddslagarna, ska G-P säkerställa att lämpligt skydd finns på plats för att skydda de kunduppgifter som överförs enligt eller i samband med huvudavtalet.​​ 
4.2​​  Ramverk för dataskydd.​​  yrkesverksamma​​  och kunddata lagras i GPP som finns i USA. G-P är certifierat enligt EU-US Data Privacy Framework (EU-US DPF) och, i tillämpliga fall, den brittiska utökningen av EU-US DPF, och den schweizisk-amerikanska Data Privacy Framework (Swiss-US DPF). G-Pcertifiering kan bekräftas offentligt på DPF:s webbplats.​​   . EU-US Data Privacy Framework ansågs adekvat av Europeiska kommissionen, eftersom det är en laglig dataöverföringsmekanism i enlighet med artikel 45 i allmänna dataskyddsförordningen (GDPR), Storbritanniens allmänna dataskyddsförordningen (GDPR) respektive FADP. Om DPF-ramverket/-ramverken ogiltigförklaras, tillfälligt upphävs eller på annat sätt inte längre erkänns som tillräckligt skydd för internationella dataöverföringar, samtycker personuppgiftsbiträdet till att ingå och följa de standardkontraktsklausuler som utfärdats eller godkänts av Europeiska kommissionen, Storbritanniens informationskommissionärs kontor (ICO) eller den schweiziska federala dataskydds- och informationskommissionären (FDPIC), beroende på vad som är tillämpligt. Parterna ska samarbeta i god tro för att genomföra eventuella kompletterande åtgärder som krävs för att säkerställa en i huvudsak likvärdig skyddsnivå för de överförda uppgifterna.​​ 
4.3​​  Standardavtalsklausuler.​​  Parterna är överens om att när överföring av personuppgifter från Kunden (som "dataexportör") till G-P (som "dataimportör") är en begränsad överföring och tillämpliga dataskyddslagar kräver att lämpliga skyddsåtgärder vidtas, ska sådan överföring omfattas av tillämpliga standardavtalsklausuler, vilka ska anses vara införlivade i och utgöra en del av detta dataskyddsavtal, enligt följande:​​ 
en. Vid överföring av personuppgifter som skyddas av den allmänna dataskyddsförordningen (GDPR) gäller EU:s standardkontraktsklausuler, ifyllda enligt följande:​​ 
i. Modulerna ett och två ska tillämpas;​​ 
ii. i klausul 7 gäller den valfria dockningsklausulen;​​ 
iii. i klausul 9 i modul två gäller alternativ 2 , och tidsperioden för förhandsmeddelande om ändringar av underbiträden ska anges i avsnitt 3.5 i detta databearbetningsavtal;​​ 
iv. i klausul 11 gäller inte den valfria formuleringen;​​ 
v. i klausul 12 ska alla anspråk som väcks enligt EU:s standardkontraktsklausuler omfattas av de villkor som anges i huvudavtalet;​​ 
vi. I klausul 17 gäller alternativ 1 , och EU:s standardkontraktsklausuler regleras av irländsk lag;​​ 
vii. i klausul 18(b) ska tvister avgöras av domstolarna i Irland;​​ 
åttonde. Bilaga I till EU:s standardkontraktsklausuler ska anses vara kompletterad med den information som anges i bilaga 1 till detta dataskyddsavtal; och​​ 
ix. Bilaga II till EU:s standardkontraktsklausuler ska anses vara kompletterad med den information som anges i bilaga 2 till detta dataskyddsavtal.​​ 
x. Bilaga III till modul två i EU:s standardkontraktsklausuler ska anses vara kompletterad med den information som anges i bilaga 3 till detta dataskyddsavtal.​​ 
b. När det gäller överföringar av personuppgifter som skyddas av brittisk dataskyddslag eller schweizisk dataskyddslag gäller EU:s standardkontraktsklausuler, såsom de implementerats enligt punkt (a) ovan, med följande ändringar:​​ 
i. hänvisningar till "Förordning (EU) 2016/679" ska tolkas som hänvisningar till brittisk dataskyddslag eller schweizisk dataskyddslag (i tillämpliga fall);​​ 
ii. hänvisningar till specifika artiklar i "Förordning (EU) 2016/679" ska ersättas med motsvarande artikel eller avsnitt i den brittiska dataskyddslagen eller den schweiziska dataskyddslagen (i tillämpliga fall);​​ 
iii. hänvisningar till ”EU”, ”unionen”, ”medlemsstat” och ”medlemsstatslagstiftning” ska ersättas med hänvisningar till ”Storbritannien” eller ”Schweiz”, eller ”brittisk lagstiftning” eller ”schweizisk lagstiftning” (beroende på vad som är tillämpligt);​​ 
iv. termen "medlemsstat" ska inte tolkas på ett sådant sätt att den utesluter registrerade i Storbritannien eller Schweiz från möjligheten att stämma sina rättigheter på sin vanliga bosättningsort (dvs. Storbritannien eller Schweiz);​​ 
v. Klausul 13(a) och del C i bilaga I används inte och den "behöriga tillsynsmyndigheten" är den brittiska informationskommissionären eller den schweiziska federala dataskyddskommissionären för information (beroende på vad som är tillämpligt);​​ 
vi. hänvisningar till ”behörig tillsynsmyndighet” och ”behöriga domstolar” ska ersättas med hänvisningar till ”informationskommissionären” och ”domstolarna i England och Wales” eller ”schweiziska federala dataskyddskommissionären för information” och ”tillämpliga domstolar i Schweiz” (i tillämpliga fall);​​ 
vii. i klausul 17 ska standardavtalsklausulerna regleras av lagarna i England och Wales eller Schweiz (beroende på vad som är tillämpligt); och​​ 
viii. beträffande överföringar som omfattas av brittisk dataskyddslag ska klausul 18 ändras så att den anger "Alla tvister som uppstår till följd av dessa klausuler ska avgöras av domstolarna i England och Wales." En registrerad person kan väcka talan mot dataexportören och/eller dataimportören vid domstol i vilket land som helst i Storbritannien. Parterna samtycker till att underkasta sig sådana domstolars jurisdiktion", och beträffande överföringar som omfattas av schweizisk dataskyddslag ska klausul 18(b) ange att tvister ska avgöras av tillämpliga domstolar i Schweiz.​​ 
ix. Beträffande uppgifter som skyddas av den brittiska allmänna dataskyddsförordningen (GDPR) ska EU:s standardkontraktsklausuler tillämpas enligt följande: (i) tillämpas i enlighet med punkterna (i) till (viii) ovan; och (ii) anses ändrade i enlighet med del 2 av det brittiska tillägget, vilket ska anses vara införlivat i och utgöra en integrerad del av detta dataskyddsavtal. Dessutom ska tabellerna 1 till 3 i del 1 av det brittiska tillägget fyllas i med den information som anges i bilaga I respektive bilaga II till detta dataskyddsavtal, och tabell 4 i del 1 av det brittiska tillägget ska anses vara ifylld genom att välja "ingen av parterna".​​ 
c. När det gäller överföringar av personuppgifter som skyddas av Brasiliens LGPD, antingen direkt eller via vidareöverföring, till ett land utanför Brasilien som inte omfattas av ett beslut om adekvat skyddsnivå utfärdat av ANPD, ska de brasilianska standardkontraktsklausulerna anses ingångna och införlivade i detta dataskyddsavtal genom denna hänvisning, och slutförda enligt följande:​​ 
i. Klausul 2 i de brasilianska standardkontraktsklausulerna är uppfylld genom informationen i bilaga I, som beskriver dataöverföringen;​​ 
ii. I klausul 3 i de brasilianska standardkontraktvillkoren ska alternativ B gälla, med vidare överföringar tillåtna i enlighet med avsnitt 3.5 (”Underbiträden”) i detta databehandlaravtal. Behandlingens föremål, art och varaktighet anges i bilaga I till detta dataskyddsavtal.​​ 
iii. Klausul 4 i de brasilianska standardkontraktsklausulerna är uppfylld genom informationen i bilaga I till detta databearbetningsavtal. Om G-P är personuppgiftsansvarig är det den "utsedda parten", enligt definitionen i de brasilianska standardkontraktsklausulerna, och i enlighet med klausul 14 (Transparens), klausul 15 (den registrerades rättigheter) och klausul 16 (incidentrapportering) i de brasilianska standardkontraktsklausulerna. Kunden förblir ansvarig för efterlevnad med klausul 14 (Transparens), klausul 15 (Rättigheter för registrerade) och klausul 16 Incidentrapportering) i de brasilianska standardkontraktsklausulerna för alla personuppgifter som kunden annars kan vara personuppgiftsansvarig för.​​ 
fjärde. I klausul 9 i de brasilianska standardkontraktsklausulerna gäller inte den valfria dockningsklausulen; och​​ 
v. Avsnitt III (Säkerhetsåtgärder) i de brasilianska standardkontraktsklausulerna ska anses vara slutfört med den information som anges i bilaga II till detta databearbetningsavtal.​​ 
4.4​​  Oförutsedda dataöverföringar​​ Om någon av parterna, under tillhandahållandet av Tjänsterna, identifierar att en överföring av Personuppgifter sker eller sannolikt kommer att ske som inte redan hanteras av de mekanismer som anges i avsnitt 4,1 till 4,3 i detta DPA, ska parterna omedelbart underrätta varandra och samarbeta i god tro för att utan onödigt dröjsmål implementera sådana ytterligare överföringsmekanismer eller kompletterande åtgärder som kan krävas enligt tillämpliga dataskyddslagar för att säkerställa lagligheten av en sådan överföring. Ingen av parterna ska vara skyldig att genomföra någon sådan oförutsedd överföring förrän lämplig mekanism har överenskommits och införts.​​ 
 

Bilaga I​​  

Beskrivning av databehandling​​ 
OBEROENDE ANSVARIG - INFORMATION OM RELATIONEN TILL ANSVARIG​​ 
(Detta avsnitt avser detaljerna kring personuppgifter som delas mellan parterna i deras egenskap av personuppgiftsansvariga)​​ 
Parter​​ 
Dataexportör: Kunden kan teckna huvudavtalet​​ 
Dataimportör: Globalization Partners LLC.​​ 
Parternas kontaktuppgifter​​ 
Kontaktuppgifter enligt huvudavtalet.​​ 
Aktiviteter som är relevanta för de överförda uppgifterna​​ 
Aktiviteter relaterade till arbetsgivaren för arkivtjänster.​​ 
Roller​​ 
Dataexportör: Kontrollör.​​ 
Dataimportör: Registeransvarig.​​ 
Bearbetningsaktiviteter​​ 
De personuppgifter som behandlas/överförs kan bli föremål för följande behandlingsaktiviteter: all åtgärd avseende personuppgifter oavsett vilka medel och förfaranden som tillämpas, särskilt insamling, organisering, lagring, användning, hämtning, konsultation, arkivering, överföring, blockering, radering eller förstörelse av uppgifter, drift och underhåll av system, efterlevnad, juridiska funktioner och revisionsfunktioner.​​ 
Behandlingens varaktighet​​ 
Huvudavtalets löptid och fortlöpande.​​ 
Behandlingens art och syfte​​ 
Kunden får överföra kunddata till G-P, vars omfattning bestäms och kontrolleras av Kunden efter eget gottfinnande. Syftet med behandlingen är att tillhandahålla arbetsgivaren av registertjänster i enlighet med huvudavtalet.​​ 
Kategorier av registrerade​​ 
Yrkesverksamma.​​ 
Typer av personuppgifter​​ 
Kontaktuppgifter (vilket kan inkludera namn, adress, e-postadress, telefon, fax, kontaktuppgifter vid nödsituationer och tillhörande lokal tidszoninformation).​​ 
Anställningsuppgifter (vilket kan inkludera utbildning, CV, jobbtitel, betyg, demografi, platsdata, nationalitet och export efterlevnadsstatus, lön, bonus).​​ 
Innehållet i e-postmeddelanden från registrerade.​​ 
Detaljer om tjänster som tillhandahålls till eller till förmån för registrerade.​​ 
Särskilda kategorier av uppgifter (i förekommande fall)​​  
N/A​​ 
Vidareanställning (retention)​​ 
Personuppgifter kommer att behållas minst så länge som tillämplig lagstadgad minsta lagringsperiod, som överensstämmer med tillämpliga preskriptionstider och uppfyller god affärspraxis.​​ 
Behörig tillsynsmyndighet​​ 
Den behöriga tillsynsmyndigheten ska fastställas i enlighet med tillämplig dataskyddslag och ska omfatta: Irlands dataskyddskommission (för EU:s allmänna dataskyddsförordning (GDPR)); den schweiziska federala dataskydds- och informationskommissionären / FDPIC (för schweiziska FADP); den brittiska informationskommissionärens kontor / ICO (för brittisk allmän dataskyddsförordning (GDPR)); och Autoridade Nacional de Proteção de Dados / ANPD (för Brasiliens LGPD).​​ 
Överföringar till underbiträden​​  
För överföringar till personuppgiftsbiträden är behandlingens föremål, art och varaktighet desamma som ovan definierats.​​ 
Kontaktuppgifter G-P integritetspolicy​​  
 
Attn: Globalt sekretesskontor.​​  
 
 
 
UPPGIFTER OM RELATIONEN MELLAN PERSONUPPGIFTER OCH PERSONUPPGIFTER​​ 
(Detta avsnitt avser detaljer om personuppgifter som behandlas av G-P för kundens räkning)​​ 
Parter​​ 
Dataexportör: Kunden kan teckna huvudavtalet​​ 
Dataimportör: Globalization Partners LLC.​​ 
Parternas kontaktuppgifter​​ 
Kontaktuppgifter enligt huvudavtalet.​​ 
Aktiviteter som är relevanta för de överförda uppgifterna​​ 
Aktiviteter relaterade till arbetsgivaren för registertjänster och användningen av GPP som tillhandahålls kunden som en tjänst.​​ 
Roller​​ 
Dataexportör: Kontrollant​​ 
Dataimportör: Bearbetare​​ 
Bearbetningsaktiviteter​​ 
De personuppgifter som behandlas/överförs kan bli föremål för följande behandlingsaktiviteter: all åtgärd avseende personuppgifter oavsett vilka medel och förfaranden som tillämpas, särskilt insamling, organisering, lagring, användning, hämtning, konsultation, arkivering, överföring, blockering, radering eller förstörelse av uppgifter, drift och underhåll av system, efterlevnad, juridiska funktioner och revisionsfunktioner.​​ 
Behandlingens varaktighet​​ 
Huvudavtalets löptid och fortlöpande.​​ 
Behandlingens art och syfte​​ 
Kunden får överföra kunddata till G-P, vars omfattning bestäms och kontrolleras av Kunden efter eget gottfinnande. Syftet med behandlingen är att tillhandahålla GPP som en tjänst till kunden i enlighet med huvudavtalet.​​ 
Kategorier av registrerade​​ 
Auktoriserade användare av GPP, vilka kan inkludera kundens anställda och/eller entreprenörer.​​ 
Typer av personuppgifter​​ 
Kontaktuppgifter (t.ex. telefonnummer och e-post).​​ 
Uppgifter om anställda/uppdragstagare (såsom jobbtitel och företagsnamn).​​ 
Användningsdata (t.ex. data om den auktoriserade användarens enhet och hur en sådan enhet interagerar med GPP).​​ 
Platsdata (t.ex. plats som härrör från IP-adressen).​​ 
Innehållsdata (t.ex. innehållet i kundens filer angående Proffs och relaterad kommunikation).​​ 
Autentiseringsuppgifter (till exempel lösenord, lösenordstips och liknande säkerhetsinformation som används för autentisering och kontoåtkomst till GPP).​​ 
Alla personuppgifter som tillhandahålls av behöriga användare.​​ 
Särskilda kategorier av uppgifter (i förekommande fall)​​  
N/A​​ 
Vidareanställning (retention)​​ 
Personuppgifter kommer att behållas minst så länge som tillämplig lagstadgad minsta lagringsperiod, som överensstämmer med tillämpliga preskriptionstider och uppfyller god affärspraxis.​​ 
Behörig tillsynsmyndighet​​ 
Den behöriga tillsynsmyndigheten ska fastställas i enlighet med tillämplig dataskyddslag och ska omfatta: Irlands dataskyddskommission (för EU:s allmänna dataskyddsförordning (GDPR)); den schweiziska federala dataskydds- och informationskommissionären / FDPIC (för schweiziska FADP); den brittiska informationskommissionärens kontor / ICO (för brittisk allmän dataskyddsförordning (GDPR)); och Autoridade Nacional de Proteção de Dados / ANPD (för Brasiliens LGPD).​​ 
Överföringar till underbiträden​​  
För överföringar till personuppgiftsbiträden är behandlingens föremål, art och varaktighet desamma som ovan definierats.​​ 
Kontaktuppgifter G-P integritetspolicy​​  
 
Attn: Globalt sekretesskontor.​​  
 

Bilaga II​​ 

Tekniska och organisatoriska åtgärder​​ 

G-P har certifierats och bestyrkts av oberoende revisorer för att bekräfta efterlevnad med 2 och 27001 -standarder. Sådana certifieringar visar vårt engagemang för att säkra kunddata. G-P:s säkerhetsprogram är utformat för att:​​ 

Skydda sekretessen, integriteten och tillgängligheten för kunddata som G-Pbesitter eller som G-P har tillgång till;​​ 

Skydda mot eventuella förväntade hot eller faror för konfidentialitet, integritet och tillgänglighet av kunddata;​​ 

Skydda mot obehörig eller olaglig åtkomst, användning, avslöjande, ändring eller förstörelse av kunddata;​​ 

Skydda mot oavsiktlig förlust eller förstörelse av, eller skada på, kunddata; och​​ 

Skyddsinformation enligt eventuella föreskrifter som G-P kan reglera.​​ 

Följande beskriver de funktioner, processer, kontroller, system, procedurer och åtgärder som G-P har vidtagit för att säkerställa säkerheten vid behandling av kunduppgifter:​​ 

1) TEKNISKA ÅTGÄRDER FÖR ATT SÄKERSTÄLLA DATAINTEGRITET OCH SKYDD​​ 

Inbyggd integritet och skydd genom standardinställning:​​ 

G-P tar hänsyn till kraven i artikel 25 allmänna dataskyddsförordningen (GDPR) i koncept- och utvecklingsfasen av produktutvecklingen. Processer och funktioner är utformade på ett sådant sätt att dataskyddsprinciper som laglighet, transparens, ändamålsbegränsning, dataminimering etc. samt säkerheten vid behandling beaktas i ett tidigt skede.​​ 

b) Kryptering av personuppgifter:​​ 

Säkerställa att personuppgifter endast lagras i systemet på ett sätt som inte gör det möjligt för tredje part att identifiera den registrerade.​​ 

Kryptering av databas och lagring:​​ 

På alla databaser som används av G-P används en kryptering "i vila" enligt aktuell teknik, så att data från databasen endast kan läsas efter korrekt autentisering på respektive databassystem.​​ 

Kryptering av mobila datamedier:​​ 

Användning av mobila databärare för lagring av kunddata är inte tillåtet.​​ 

Kryptering av databärare på bärbara datorer:​​ 

Lämplig, toppmodern hårddiskkryptering är installerad på alla anställdas bärbara datorer.​​ 

Krypterad utbyte av information och filer:​​ 

I princip krypteras utbytet av information och filer direkt via en särskild ansökan. Om personuppgifter eller konfidentiell information måste överföras till servrar som inte kan skickas via TLS-krypterade HTTPS-uppladdningar, kommer dessa att överföras med hjälp av Secure File Transfer Protocol (SFTP), krypterad kuverttjänst eller annan krypterad mekanism i enlighet med aktuell teknik.​​ 

E-postkryptering:​​ 

I princip är alla e-postmeddelanden som skickas av anställda på G-P krypterade med TLS. Undantag kan vara om den mottagande e-postservern inte stöder TLS. Kunden ska säkerställa att motsvarande e-postservrar som används inom ramen för beställningen stöder TLS-kryptering.​​ 

c) Tillträdeskontroll​​ 

Tillträdeskontroller är avsedda och införda för att förhindra att obehöriga personer använder och behandlar uppgifter som skyddas av dataskyddslagar.​​ 

Användning av autentiseringsmetoder​​ 

Åtkomst till personuppgifter sker alltid via krypterade protokoll: SSH, SSL/TLS, HTTPS eller jämförbara protokoll. Autentiseringsprocedur för IT-system: Inloggning till IT-systemet med multifaktorautentisering.​​ 

Automatisk blockering vid inaktivitet​​ 

Bärbara datorer som används av G-P är låsta med lösenords- eller PIN-kod när de inte används av användaren. Dessutom konfigureras ett automatiskt skärmlås med lösenordsskydd efter 15 minuters inaktivitet.​​ 

Användning av antivirusprogram​​ 

Bärbara datorer som används av G-P anställda är utrustade med den senaste antivirusprogramvaran som hålls uppdaterad på alla operativa eller affärsmässiga IT-system. I princip får inga datorer användas utan installerat virusskydd, såvida inte andra likvärdiga säkerhetsåtgärder av högsta kvalitet har vidtagits eller det inte föreligger någon risk. Standardinställningarna för säkerhet får inte inaktiveras eller kringgås.​​ 

"Policy för rent skrivbord"​​ 

Anställda på G-P instrueras att inte skriva ut eller lagra personuppgifter om registrerade personer lokalt, att inte lämna arbetsmaterial på en plats där det kan ses av tredje part och att förvara allt arbetsmaterial på rätt sätt. Dokument som G-P enligt lag är skyldiga att förvara i pappersform förvaras i låsta skåp.​​ 

d) Åtkomstkontroller inom plattformen​​ 

Åtkomstkontroller säkerställer att personer som är behöriga att använda ett behandlingssystem endast har tillgång till de personuppgifter som omfattas av deras åtkomstbehörighet.​​ 

Roller och auktorisation​​ 

Roller och auktoriseringsplattform – Kundåtkomst Kundanvändare kan visa och redigera kundkontoinformation.​​ 

Roller och auktoriseringsplattform – Professionell åtkomst Professionella användare kan visa och redigera sin egen professionella information.​​ 

Professionella kan också få kundåtkomstrollen efter krav och godkännande.​​ 

Roller och auktoriseringsplattform – Intern åtkomst​​ 

Användare med intern åtkomst har olika roller. De har varierande åtkomst för att skapa, visa, redigera och godkänna följande:​​ 

Kundinformation​​ 

Faktureringsinformation​​ 

Partnerinformation​​ 

Professionell personal registrerar information​​ 

Åtkomst till administrationssystemet är generellt begränsad till utbildade anställda inom kundsupport och produktutveckling.​​ 

e) Brandvägg som en tjänst​​ 

G-P använder en extern brandvägg som en tjänst som gör det möjligt att bevilja eller blockera åtkomst till webbplatser för att säkerställa att system inte kan komma åt skadligt innehåll och för att begränsa åtkomsten till olämpligt innehåll.​​ 

f) Registrering av inloggning på plattformen​​ 

G-P för register över all inloggningsaktivitet.​​ 

g) Separerbarhet​​ 

Säkerställa att personuppgifter som samlas in för olika ändamål kan behandlas separat och är separerade från andra uppgifter och system på ett sådant sätt att oplanerad användning av dessa uppgifter för andra ändamål utesluts.​​ 

Separation av utvecklings-, test- och driftsmiljöer​​ 

Data från operativmiljön får endast överföras till test- eller utvecklingsmiljöer om den har anonymiserats helt före överföringen. Överföringen av anonymiserade uppgifter måste ske krypterad eller via ett pålitligt nätverk.​​ 

Programvara som ska överföras till operativmiljön måste först testas i en identisk testmiljö ("staging"). Program för felanalys eller skapande/kompilering av programvara får endast användas i operativmiljön om detta inte kan undvikas. Detta gäller särskilt om felsituationer är beroende av data som skulle förfalskas på grund av kraven på anonymisering vid överföring till testmiljöer.​​ 

Separation i nätverk​​ 

G-P separerar sina nätverk efter uppgifter. Följande nätverk används permanent: operativmiljö ("Produktion"), testmiljö ("Staging", "Sandbox"), utvecklingsmiljö ("Dev"), kontors-IT-personal. Utöver dessa nätverk skapas ytterligare separata nätverk vid behov, t.ex. för återställningstester och penetrationstester. Beroende på de tekniska möjligheterna separeras nätverken antingen fysiskt eller med hjälp av virtuella nätverk.​​ 

h) Tillgänglighetskontroll​​ 

G-P vidtar följande åtgärder för att säkerställa att personuppgifter skyddas mot oavsiktlig förstörelse eller förlust.​​ 

Dataskyddsrutiner/säkerhetskopior​​ 

För att säkerställa tillräcklig tillgänglighet implementerar G-P dagliga ögonblicksbilder av sin databas med replikering till en annan region. Åtgärder vidtas också för att säkerställa att anställda med arbetsbaserat behov av att granska data endast beviljas åtkomst till replikdatamängder.​​ 

Geo-redundans med avseende på serverinfrastruktur för produktiva data och säkerhetskopior​​ 

IT-incidenthantering ("Hantering av incidentrespons")​​ 

Det finns ett koncept och dokumenterade rutiner för hantering av incidenter och säkerhetsrelevanta händelser. Detta inkluderar planering och förberedelse av responsen på incidenter, rutiner för att övervaka, upptäcka och analysera säkerhetsrelevanta händelser samt definition av motsvarande ansvar och rapporteringskanaler vid brott mot skyddet av personuppgifter inom ramen för de lagstadgade kraven.​​ 

2) ORGANISATORISKA ÅTGÄRDER FÖR ATT SÄKERSTÄLLA DATAINTEGRITET OCH SKYDD​​ 

G-P har infört följande organisatoriska åtgärder för att säkerställa att organisationen arbetar på ett sätt som uppfyller kraven på dataskydd och integritet.​​ 

a) Organisatoriska instruktioner​​ 

G-P har utvecklat och utvecklar ett program för datastyrning inklusive policyer, procedurer och riktlinjer som anställda ska följa. Dokumentationen omfattar hur man identifierar och hanterar dataskyddsproblem, bästa praxis för att säkerställa efterlevnad av sekretessregler och policyer för att hantera sekretessincidenter.​​ 

b) Engagemang för sekretess och dataskydd​​ 

G-P har utvecklat och utvecklar ett program för datastyrning inklusive policyer, procedurer och riktlinjer som anställda ska följa. Alla anställda och entreprenörer är skriftligen bundna av sekretess och dataskydd samt andra relevanta lagar. Alla anställda får utbildning i integritet och säkerhet. Interna revisioner av dataskydd och informationssäkerhet genomförs regelbundet. Revisioner utförs utifrån gemensamma testkriterier/-scheman. G-P anställda och uppdragstagare instrueras att behandla personuppgifter endast av lagliga skäl, i enlighet med tillämpliga avtal med kunden och yrkesverksamma, med vederbörlig hänsyn till eventuella uttryckliga samtycke som lämnats eller nekats av den registrerade, och i enlighet med organisationens lagliga skyldigheter.​​ 

c) Utbildning i dataskydd​​ 

Alla anställda får utbildning i integritet och säkerhet som finns tillgänglig för granskning när som helst på G-P utbildningsplattform.​​ 

d) Fysiska åtkomstkontroller​​ 

G-P har följande fysiska kontroller på plats för att neka obehöriga personer åtkomst till IT-utrustning som används för behandling.​​ 

Elektroniskt dörrskydd​​ 

Entrédörrarna till G-P lokaler är alltid låsta och elektroniskt säkrade. Dörrarna öppnas via en personlig elektronisk transponder.​​ 

Kontrollerad distribution av nycklar​​ 

En central, dokumenterad tilldelning av nycklar till G-P :s anställda sker. Dessa elektroniska transpondrar/nycklar kan avaktiveras centralt av varje kontorschef eller personalavdelningen.​​ 

Handledning och ledsagning av externa personer​​ 

Externa tjänsteleverantörer och andra tredje parter får endast beviljas tillträde till lokalerna efter förhandstillstånd eller i sällskap med en anställd eller G-P. G-P tillämpar sin skriftliga besökspolicy när besökare bjuds in till lokalerna.​​ 

Säkring av lokaler med ökat skyddsbehov​​ 

Lokaler eller skåp med ökade skyddskrav, såsom juridiska kontor och vissa verksamhetsställen, är utrustade med låsbara skåp och lådor. Skåp och lådor där juridiska dokument, avtal och konfidentiell dokumentation förvaras ska vara låsta hela tiden förutom när de används.​​ 

Stängda dörrar och fönster​​ 

Anställda instrueras från organisationen att hålla fönster och dörrar stängda eller låsta utanför kontorstid.​​ 

e) Återvinningsbarhet​​ 

G-P säkerställer att system som är i bruk kan återställas vid fysiska eller tekniska fel.​​ 

Regelbundna tester av dataåterställning ("Återställningstester")​​ 

Regelbundna fullständiga återställningstester utförs för att säkerställa återställningsförmåga vid en nödsituation/katastrof.​​ 

Krisplan ("Katastrofåterställningskoncept")​​ 

Det finns ett koncept för hantering av nödsituationer/katastrofer och en motsvarande beredskapsplan. G-P säkerställer återställning av alla system baserat på säkerhetskopior/databackuper, vanligtvis inom 48 timmar.​​ 

Gransknings- och utvärderingsåtgärder​​ 

Presentation av rutinerna för regelbunden granskning, bedömning och utvärdering av effektiviteten hos de tekniska och organisatoriska åtgärderna.​​ 

f) Integritetsteamet​​ 

Organisationen har ett globalt dataintegritetskontor som har i uppdrag att planera, implementera, utvärdera och anpassa åtgärder inom dataskyddsområdet.​​ 

g) Riskhantering​​ 

Det finns en process för att analysera, utvärdera och allokera risker och för att vidta åtgärder baserat på dessa risker.​​ 

3) OBEROENDE GRANSKNING AV INFORMATIONSSÄKERHET​​ 

Utförande av revisioner​​ 

Interna revisioner av dataskydd och informationssäkerhet genomförs regelbundet. Revisioner utförs utifrån gemensamma testkriterier/-scheman.​​ 

b) Granskning av efterlevnad av säkerhetspolicyer och standarder​​ 

Efterlevnaden av tillämpliga säkerhetsriktlinjer, standarder och andra säkerhetskrav för behandling av personuppgifter kontrolleras regelbundet. Där det är möjligt utförs dessa kontroller slumpmässigt och oväntat.​​ 

c) Verifiering av efterlevnad med tekniska specifikationer​​ 

Regelbundna automatiserade och manuella sårbarhetsskanningar utförs av IT-avdelningen eller annan kvalificerad personal för att verifiera säkerheten för applikationer och infrastruktur, samt den regelbundna utvecklingen av produkten. Detaljerade penetrationstester utförs av en extern tjänsteleverantör för att specifikt undersöka applikationerna och infrastrukturen för sårbarheter.​​ 

d) Bearbetning på instruktion​​ 

G-P anställda instrueras att behandla personuppgifter endast av lagliga skäl, i enlighet med tillämpliga avtal med kunden och yrkesverksamma, med vederbörlig hänsyn till eventuella uttryckliga samtycke som lämnats eller nekats av den registrerade, och i enlighet med organisationens lagliga skyldigheter.​​ 

e) Noggrant leverantörsval​​ 

G-P följer sin förhandskvalificeringsprocess för leverantörer när de väljer ut leverantörer som kan komma i kontakt med skyddade uppgifter. Denna process inkluderar feedback från finans- och juridik-/integritetsavdelningarna och omfattar riskbedömning, förhandsgranskning av säkerhet och dokumentationscertifiering. Leverantörer som kommer att behandla skyddade uppgifter kommer att vara skyldiga att visa att de följer tillämpliga dataskyddslagar, inklusive artikel 28 allmänna dataskyddsförordningen (GDPR) för omfattade uppgifter.​​ 

Bilaga III​​ 

Förteckning över underprocessorer​​ 
Underbiträde​​ 
Plats och kontaktuppgifter​​ 
Beskrivning av bearbetning​​ 
3933 Lake Washington Blvd NE #350, Kirkland, WA 98033, Förenta Staterna​​ 
Finansiella tjänster​​ 
P.O. Låda 81226​​ 
Seattle, WA 98108-1226, Amerikas förenta stater​​ 
Hosting - Molntjänsteleverantör​​ 
Microsoft Corporation Ett Microsoft-sätt​​ 
Redmond, Washington 98052 USA Telefon: (+1) 425-882-8080.​​ 
Affärsprocessstöd för kommunikation (e-post) och tjänstehantering​​ 
350 Bush Street våning 13​​ 
San Francisco, CA 94104, USA​​ 
+1 415 701 1110​​ 
Affärsprocessstöd för tjänstehantering​​ 
DocuSign International (EMEA) Ltd, Uppmärksamhet: Integritetsteam, 5 Hanover Quay, Bottenvåning, Dublin 2, Irland​​ 
Dokumenthantering​​ 
Salesforce Tower, 415 Mission Street, 3andra våningen, San Francisco, CA 94105, USA​​ 
1-800-387-3285​​ 
Affärsprocessstöd för kundrelationshantering (CRM)​​ 
989 Market St​​ 
San Francisco, CA 94103, USA​​ 
888-670-4887​​ 
Helpdesk-förfrågningar för kundsupport​​ 
2225 Lawson Lane Santa Clara, Kalifornien, 95054​​ 
USA​​ 
Affärsprocessstöd för IT-tjänster och verksamhetsstyrning, anställd och kundupplevelser genom (​​ automatiserat molnbaserat arbetsflöde)​​ 
160 Spear Street, 15 :e våningen San Francisco, Kalifornien 94105 1-866-330-0121​​ 
USA​​ 
Infrastruktur för molndatalager.​​ 
620 8e​​  Aveny 45​​ e​​  Golv​​ 
New York, NY 10018​​ 
USA​​ 
Verktyg för övervakning och felsökning av tjänster​​ 
Avenue Louise 54, Rum s52,​​ 
1050 Bryssel​​ 
belgien​​ 
Online betalningsprocessor​​ 
1600 Amphitheatre Pkwy, Mountain View, Kalifornien 94043​​ 
Affärsprocessstöd för kommunikation (e-post) och intern dokumentlagring​​