3. FÖRHÅLLANDET MELLAN PERSONUPPGIFTER OCH PERSONUPPGIFTER
4. INTERNATIONELLA DATAÖVERFÖRINGAR
Bilaga I
|
OBEROENDE ANSVARIG - INFORMATION OM RELATIONEN TILL ANSVARIG
(Detta avsnitt avser detaljerna kring personuppgifter som delas mellan parterna i deras egenskap av personuppgiftsansvariga)
|
|
|
Parter
|
Dataexportör: Kunden kan teckna huvudavtalet
Dataimportör: Globalization Partners LLC.
|
|
Parternas kontaktuppgifter
|
Kontaktuppgifter enligt huvudavtalet.
|
|
Aktiviteter som är relevanta för de överförda uppgifterna
|
Aktiviteter relaterade till arbetsgivaren för arkivtjänster.
|
|
Roller
|
Dataexportör: Kontrollör.
Dataimportör: Registeransvarig.
|
|
Bearbetningsaktiviteter
|
De personuppgifter som behandlas/överförs kan bli föremål för följande behandlingsaktiviteter: all åtgärd avseende personuppgifter oavsett vilka medel och förfaranden som tillämpas, särskilt insamling, organisering, lagring, användning, hämtning, konsultation, arkivering, överföring, blockering, radering eller förstörelse av uppgifter, drift och underhåll av system, efterlevnad, juridiska funktioner och revisionsfunktioner.
|
|
Behandlingens varaktighet
|
Huvudavtalets löptid och fortlöpande.
|
|
Behandlingens art och syfte
|
Kunden får överföra kunddata till G-P, vars omfattning bestäms och kontrolleras av Kunden efter eget gottfinnande. Syftet med behandlingen är att tillhandahålla arbetsgivaren av registertjänster i enlighet med huvudavtalet.
|
|
Kategorier av registrerade
|
Yrkesverksamma.
|
|
Typer av personuppgifter
|
Kontaktuppgifter (vilket kan inkludera namn, adress, e-postadress, telefon, fax, kontaktuppgifter vid nödsituationer och tillhörande lokal tidszoninformation).
Anställningsuppgifter (vilket kan inkludera utbildning, CV, jobbtitel, betyg, demografi, platsdata, nationalitet och export efterlevnadsstatus, lön, bonus).
Innehållet i e-postmeddelanden från registrerade.
Detaljer om tjänster som tillhandahålls till eller till förmån för registrerade.
|
|
Särskilda kategorier av uppgifter (i förekommande fall)
|
N/A
|
|
Vidareanställning (retention)
|
Personuppgifter kommer att behållas minst så länge som tillämplig lagstadgad minsta lagringsperiod, som överensstämmer med tillämpliga preskriptionstider och uppfyller god affärspraxis.
|
|
Behörig tillsynsmyndighet
|
Den behöriga tillsynsmyndigheten ska fastställas i enlighet med tillämplig dataskyddslag och ska omfatta: Irlands dataskyddskommission (för EU:s allmänna dataskyddsförordning (GDPR)); den schweiziska federala dataskydds- och informationskommissionären / FDPIC (för schweiziska FADP); den brittiska informationskommissionärens kontor / ICO (för brittisk allmän dataskyddsförordning (GDPR)); och Autoridade Nacional de Proteção de Dados / ANPD (för Brasiliens LGPD).
|
|
Överföringar till underbiträden
|
För överföringar till personuppgiftsbiträden är behandlingens föremål, art och varaktighet desamma som ovan definierats.
|
|
Kontaktuppgifter G-P integritetspolicy
|
Attn: Globalt sekretesskontor.
|
|
UPPGIFTER OM RELATIONEN MELLAN PERSONUPPGIFTER OCH PERSONUPPGIFTER
(Detta avsnitt avser detaljer om personuppgifter som behandlas av G-P för kundens räkning)
|
|
|
Parter
|
Dataexportör: Kunden kan teckna huvudavtalet
Dataimportör: Globalization Partners LLC.
|
|
Parternas kontaktuppgifter
|
Kontaktuppgifter enligt huvudavtalet.
|
|
Aktiviteter som är relevanta för de överförda uppgifterna
|
Aktiviteter relaterade till arbetsgivaren för registertjänster och användningen av GPP som tillhandahålls kunden som en tjänst.
|
|
Roller
|
Dataexportör: Kontrollant
Dataimportör: Bearbetare
|
|
Bearbetningsaktiviteter
|
De personuppgifter som behandlas/överförs kan bli föremål för följande behandlingsaktiviteter: all åtgärd avseende personuppgifter oavsett vilka medel och förfaranden som tillämpas, särskilt insamling, organisering, lagring, användning, hämtning, konsultation, arkivering, överföring, blockering, radering eller förstörelse av uppgifter, drift och underhåll av system, efterlevnad, juridiska funktioner och revisionsfunktioner.
|
|
Behandlingens varaktighet
|
Huvudavtalets löptid och fortlöpande.
|
|
Behandlingens art och syfte
|
Kunden får överföra kunddata till G-P, vars omfattning bestäms och kontrolleras av Kunden efter eget gottfinnande. Syftet med behandlingen är att tillhandahålla GPP som en tjänst till kunden i enlighet med huvudavtalet.
|
|
Kategorier av registrerade
|
Auktoriserade användare av GPP, vilka kan inkludera kundens anställda och/eller entreprenörer.
|
|
Typer av personuppgifter
|
Kontaktuppgifter (t.ex. telefonnummer och e-post).
Uppgifter om anställda/uppdragstagare (såsom jobbtitel och företagsnamn).
Användningsdata (t.ex. data om den auktoriserade användarens enhet och hur en sådan enhet interagerar med GPP).
Platsdata (t.ex. plats som härrör från IP-adressen).
Innehållsdata (t.ex. innehållet i kundens filer angående Proffs och relaterad kommunikation).
Autentiseringsuppgifter (till exempel lösenord, lösenordstips och liknande säkerhetsinformation som används för autentisering och kontoåtkomst till GPP).
Alla personuppgifter som tillhandahålls av behöriga användare.
|
|
Särskilda kategorier av uppgifter (i förekommande fall)
|
N/A
|
|
Vidareanställning (retention)
|
Personuppgifter kommer att behållas minst så länge som tillämplig lagstadgad minsta lagringsperiod, som överensstämmer med tillämpliga preskriptionstider och uppfyller god affärspraxis.
|
|
Behörig tillsynsmyndighet
|
Den behöriga tillsynsmyndigheten ska fastställas i enlighet med tillämplig dataskyddslag och ska omfatta: Irlands dataskyddskommission (för EU:s allmänna dataskyddsförordning (GDPR)); den schweiziska federala dataskydds- och informationskommissionären / FDPIC (för schweiziska FADP); den brittiska informationskommissionärens kontor / ICO (för brittisk allmän dataskyddsförordning (GDPR)); och Autoridade Nacional de Proteção de Dados / ANPD (för Brasiliens LGPD).
|
|
Överföringar till underbiträden
|
För överföringar till personuppgiftsbiträden är behandlingens föremål, art och varaktighet desamma som ovan definierats.
|
|
Kontaktuppgifter G-P integritetspolicy
|
Attn: Globalt sekretesskontor.
|
Bilaga II
Tekniska och organisatoriska åtgärder
G-P har certifierats och bestyrkts av oberoende revisorer för att bekräfta efterlevnad med 2 och 27001 -standarder. Sådana certifieringar visar vårt engagemang för att säkra kunddata. G-P:s säkerhetsprogram är utformat för att:
Skydda sekretessen, integriteten och tillgängligheten för kunddata som G-Pbesitter eller som G-P har tillgång till;
Skydda mot eventuella förväntade hot eller faror för konfidentialitet, integritet och tillgänglighet av kunddata;
Skydda mot obehörig eller olaglig åtkomst, användning, avslöjande, ändring eller förstörelse av kunddata;
Skydda mot oavsiktlig förlust eller förstörelse av, eller skada på, kunddata; och
Skyddsinformation enligt eventuella föreskrifter som G-P kan reglera.
Följande beskriver de funktioner, processer, kontroller, system, procedurer och åtgärder som G-P har vidtagit för att säkerställa säkerheten vid behandling av kunduppgifter:
1) TEKNISKA ÅTGÄRDER FÖR ATT SÄKERSTÄLLA DATAINTEGRITET OCH SKYDD
Inbyggd integritet och skydd genom standardinställning:
G-P tar hänsyn till kraven i artikel 25 allmänna dataskyddsförordningen (GDPR) i koncept- och utvecklingsfasen av produktutvecklingen. Processer och funktioner är utformade på ett sådant sätt att dataskyddsprinciper som laglighet, transparens, ändamålsbegränsning, dataminimering etc. samt säkerheten vid behandling beaktas i ett tidigt skede.
b) Kryptering av personuppgifter:
Säkerställa att personuppgifter endast lagras i systemet på ett sätt som inte gör det möjligt för tredje part att identifiera den registrerade.
Kryptering av databas och lagring:
På alla databaser som används av G-P används en kryptering "i vila" enligt aktuell teknik, så att data från databasen endast kan läsas efter korrekt autentisering på respektive databassystem.
Kryptering av mobila datamedier:
Användning av mobila databärare för lagring av kunddata är inte tillåtet.
Kryptering av databärare på bärbara datorer:
Lämplig, toppmodern hårddiskkryptering är installerad på alla anställdas bärbara datorer.
Krypterad utbyte av information och filer:
I princip krypteras utbytet av information och filer direkt via en särskild ansökan. Om personuppgifter eller konfidentiell information måste överföras till servrar som inte kan skickas via TLS-krypterade HTTPS-uppladdningar, kommer dessa att överföras med hjälp av Secure File Transfer Protocol (SFTP), krypterad kuverttjänst eller annan krypterad mekanism i enlighet med aktuell teknik.
E-postkryptering:
I princip är alla e-postmeddelanden som skickas av anställda på G-P krypterade med TLS. Undantag kan vara om den mottagande e-postservern inte stöder TLS. Kunden ska säkerställa att motsvarande e-postservrar som används inom ramen för beställningen stöder TLS-kryptering.
c) Tillträdeskontroll
Tillträdeskontroller är avsedda och införda för att förhindra att obehöriga personer använder och behandlar uppgifter som skyddas av dataskyddslagar.
Användning av autentiseringsmetoder
Åtkomst till personuppgifter sker alltid via krypterade protokoll: SSH, SSL/TLS, HTTPS eller jämförbara protokoll. Autentiseringsprocedur för IT-system: Inloggning till IT-systemet med multifaktorautentisering.
Automatisk blockering vid inaktivitet
Bärbara datorer som används av G-P är låsta med lösenords- eller PIN-kod när de inte används av användaren. Dessutom konfigureras ett automatiskt skärmlås med lösenordsskydd efter 15 minuters inaktivitet.
Användning av antivirusprogram
Bärbara datorer som används av G-P anställda är utrustade med den senaste antivirusprogramvaran som hålls uppdaterad på alla operativa eller affärsmässiga IT-system. I princip får inga datorer användas utan installerat virusskydd, såvida inte andra likvärdiga säkerhetsåtgärder av högsta kvalitet har vidtagits eller det inte föreligger någon risk. Standardinställningarna för säkerhet får inte inaktiveras eller kringgås.
"Policy för rent skrivbord"
Anställda på G-P instrueras att inte skriva ut eller lagra personuppgifter om registrerade personer lokalt, att inte lämna arbetsmaterial på en plats där det kan ses av tredje part och att förvara allt arbetsmaterial på rätt sätt. Dokument som G-P enligt lag är skyldiga att förvara i pappersform förvaras i låsta skåp.
d) Åtkomstkontroller inom plattformen
Åtkomstkontroller säkerställer att personer som är behöriga att använda ett behandlingssystem endast har tillgång till de personuppgifter som omfattas av deras åtkomstbehörighet.
Roller och auktorisation
Roller och auktoriseringsplattform – Kundåtkomst Kundanvändare kan visa och redigera kundkontoinformation.
Roller och auktoriseringsplattform – Professionell åtkomst Professionella användare kan visa och redigera sin egen professionella information.
Professionella kan också få kundåtkomstrollen efter krav och godkännande.
Roller och auktoriseringsplattform – Intern åtkomst
Användare med intern åtkomst har olika roller. De har varierande åtkomst för att skapa, visa, redigera och godkänna följande:
Kundinformation
Faktureringsinformation
Partnerinformation
Professionell personal registrerar information
Åtkomst till administrationssystemet är generellt begränsad till utbildade anställda inom kundsupport och produktutveckling.
e) Brandvägg som en tjänst
G-P använder en extern brandvägg som en tjänst som gör det möjligt att bevilja eller blockera åtkomst till webbplatser för att säkerställa att system inte kan komma åt skadligt innehåll och för att begränsa åtkomsten till olämpligt innehåll.
f) Registrering av inloggning på plattformen
G-P för register över all inloggningsaktivitet.
g) Separerbarhet
Säkerställa att personuppgifter som samlas in för olika ändamål kan behandlas separat och är separerade från andra uppgifter och system på ett sådant sätt att oplanerad användning av dessa uppgifter för andra ändamål utesluts.
Separation av utvecklings-, test- och driftsmiljöer
Data från operativmiljön får endast överföras till test- eller utvecklingsmiljöer om den har anonymiserats helt före överföringen. Överföringen av anonymiserade uppgifter måste ske krypterad eller via ett pålitligt nätverk.
Programvara som ska överföras till operativmiljön måste först testas i en identisk testmiljö ("staging"). Program för felanalys eller skapande/kompilering av programvara får endast användas i operativmiljön om detta inte kan undvikas. Detta gäller särskilt om felsituationer är beroende av data som skulle förfalskas på grund av kraven på anonymisering vid överföring till testmiljöer.
Separation i nätverk
G-P separerar sina nätverk efter uppgifter. Följande nätverk används permanent: operativmiljö ("Produktion"), testmiljö ("Staging", "Sandbox"), utvecklingsmiljö ("Dev"), kontors-IT-personal. Utöver dessa nätverk skapas ytterligare separata nätverk vid behov, t.ex. för återställningstester och penetrationstester. Beroende på de tekniska möjligheterna separeras nätverken antingen fysiskt eller med hjälp av virtuella nätverk.
h) Tillgänglighetskontroll
G-P vidtar följande åtgärder för att säkerställa att personuppgifter skyddas mot oavsiktlig förstörelse eller förlust.
Dataskyddsrutiner/säkerhetskopior
För att säkerställa tillräcklig tillgänglighet implementerar G-P dagliga ögonblicksbilder av sin databas med replikering till en annan region. Åtgärder vidtas också för att säkerställa att anställda med arbetsbaserat behov av att granska data endast beviljas åtkomst till replikdatamängder.
Geo-redundans med avseende på serverinfrastruktur för produktiva data och säkerhetskopior
IT-incidenthantering ("Hantering av incidentrespons")
Det finns ett koncept och dokumenterade rutiner för hantering av incidenter och säkerhetsrelevanta händelser. Detta inkluderar planering och förberedelse av responsen på incidenter, rutiner för att övervaka, upptäcka och analysera säkerhetsrelevanta händelser samt definition av motsvarande ansvar och rapporteringskanaler vid brott mot skyddet av personuppgifter inom ramen för de lagstadgade kraven.
2) ORGANISATORISKA ÅTGÄRDER FÖR ATT SÄKERSTÄLLA DATAINTEGRITET OCH SKYDD
G-P har infört följande organisatoriska åtgärder för att säkerställa att organisationen arbetar på ett sätt som uppfyller kraven på dataskydd och integritet.
a) Organisatoriska instruktioner
G-P har utvecklat och utvecklar ett program för datastyrning inklusive policyer, procedurer och riktlinjer som anställda ska följa. Dokumentationen omfattar hur man identifierar och hanterar dataskyddsproblem, bästa praxis för att säkerställa efterlevnad av sekretessregler och policyer för att hantera sekretessincidenter.
b) Engagemang för sekretess och dataskydd
G-P har utvecklat och utvecklar ett program för datastyrning inklusive policyer, procedurer och riktlinjer som anställda ska följa. Alla anställda och entreprenörer är skriftligen bundna av sekretess och dataskydd samt andra relevanta lagar. Alla anställda får utbildning i integritet och säkerhet. Interna revisioner av dataskydd och informationssäkerhet genomförs regelbundet. Revisioner utförs utifrån gemensamma testkriterier/-scheman. G-P anställda och uppdragstagare instrueras att behandla personuppgifter endast av lagliga skäl, i enlighet med tillämpliga avtal med kunden och yrkesverksamma, med vederbörlig hänsyn till eventuella uttryckliga samtycke som lämnats eller nekats av den registrerade, och i enlighet med organisationens lagliga skyldigheter.
c) Utbildning i dataskydd
Alla anställda får utbildning i integritet och säkerhet som finns tillgänglig för granskning när som helst på G-P utbildningsplattform.
d) Fysiska åtkomstkontroller
G-P har följande fysiska kontroller på plats för att neka obehöriga personer åtkomst till IT-utrustning som används för behandling.
Elektroniskt dörrskydd
Entrédörrarna till G-P lokaler är alltid låsta och elektroniskt säkrade. Dörrarna öppnas via en personlig elektronisk transponder.
Kontrollerad distribution av nycklar
En central, dokumenterad tilldelning av nycklar till G-P :s anställda sker. Dessa elektroniska transpondrar/nycklar kan avaktiveras centralt av varje kontorschef eller personalavdelningen.
Handledning och ledsagning av externa personer
Externa tjänsteleverantörer och andra tredje parter får endast beviljas tillträde till lokalerna efter förhandstillstånd eller i sällskap med en anställd eller G-P. G-P tillämpar sin skriftliga besökspolicy när besökare bjuds in till lokalerna.
Säkring av lokaler med ökat skyddsbehov
Lokaler eller skåp med ökade skyddskrav, såsom juridiska kontor och vissa verksamhetsställen, är utrustade med låsbara skåp och lådor. Skåp och lådor där juridiska dokument, avtal och konfidentiell dokumentation förvaras ska vara låsta hela tiden förutom när de används.
Stängda dörrar och fönster
Anställda instrueras från organisationen att hålla fönster och dörrar stängda eller låsta utanför kontorstid.
e) Återvinningsbarhet
G-P säkerställer att system som är i bruk kan återställas vid fysiska eller tekniska fel.
Regelbundna tester av dataåterställning ("Återställningstester")
Regelbundna fullständiga återställningstester utförs för att säkerställa återställningsförmåga vid en nödsituation/katastrof.
Krisplan ("Katastrofåterställningskoncept")
Det finns ett koncept för hantering av nödsituationer/katastrofer och en motsvarande beredskapsplan. G-P säkerställer återställning av alla system baserat på säkerhetskopior/databackuper, vanligtvis inom 48 timmar.
Gransknings- och utvärderingsåtgärder
Presentation av rutinerna för regelbunden granskning, bedömning och utvärdering av effektiviteten hos de tekniska och organisatoriska åtgärderna.
f) Integritetsteamet
Organisationen har ett globalt dataintegritetskontor som har i uppdrag att planera, implementera, utvärdera och anpassa åtgärder inom dataskyddsområdet.
g) Riskhantering
Det finns en process för att analysera, utvärdera och allokera risker och för att vidta åtgärder baserat på dessa risker.
3) OBEROENDE GRANSKNING AV INFORMATIONSSÄKERHET
Utförande av revisioner
Interna revisioner av dataskydd och informationssäkerhet genomförs regelbundet. Revisioner utförs utifrån gemensamma testkriterier/-scheman.
b) Granskning av efterlevnad av säkerhetspolicyer och standarder
Efterlevnaden av tillämpliga säkerhetsriktlinjer, standarder och andra säkerhetskrav för behandling av personuppgifter kontrolleras regelbundet. Där det är möjligt utförs dessa kontroller slumpmässigt och oväntat.
c) Verifiering av efterlevnad med tekniska specifikationer
Regelbundna automatiserade och manuella sårbarhetsskanningar utförs av IT-avdelningen eller annan kvalificerad personal för att verifiera säkerheten för applikationer och infrastruktur, samt den regelbundna utvecklingen av produkten. Detaljerade penetrationstester utförs av en extern tjänsteleverantör för att specifikt undersöka applikationerna och infrastrukturen för sårbarheter.
d) Bearbetning på instruktion
G-P anställda instrueras att behandla personuppgifter endast av lagliga skäl, i enlighet med tillämpliga avtal med kunden och yrkesverksamma, med vederbörlig hänsyn till eventuella uttryckliga samtycke som lämnats eller nekats av den registrerade, och i enlighet med organisationens lagliga skyldigheter.
e) Noggrant leverantörsval
G-P följer sin förhandskvalificeringsprocess för leverantörer när de väljer ut leverantörer som kan komma i kontakt med skyddade uppgifter. Denna process inkluderar feedback från finans- och juridik-/integritetsavdelningarna och omfattar riskbedömning, förhandsgranskning av säkerhet och dokumentationscertifiering. Leverantörer som kommer att behandla skyddade uppgifter kommer att vara skyldiga att visa att de följer tillämpliga dataskyddslagar, inklusive artikel 28 allmänna dataskyddsförordningen (GDPR) för omfattade uppgifter.
Bilaga III
|
Underbiträde
|
Plats och kontaktuppgifter
|
Beskrivning av bearbetning
|
|
3933 Lake Washington Blvd NE #350, Kirkland, WA 98033, Förenta Staterna
|
Finansiella tjänster
|
|
|
P.O. Låda 81226
Seattle, WA 98108-1226, Amerikas förenta stater
|
Hosting - Molntjänsteleverantör
|
|
|
Microsoft Corporation Ett Microsoft-sätt
Redmond, Washington 98052 USA Telefon: (+1) 425-882-8080.
|
Affärsprocessstöd för kommunikation (e-post) och tjänstehantering
|
|
|
350 Bush Street våning 13
San Francisco, CA 94104, USA
+1 415 701 1110
|
Affärsprocessstöd för tjänstehantering
|
|
|
DocuSign International (EMEA) Ltd, Uppmärksamhet: Integritetsteam, 5 Hanover Quay, Bottenvåning, Dublin 2, Irland
|
Dokumenthantering
|
|
|
Salesforce Tower, 415 Mission Street, 3andra våningen, San Francisco, CA 94105, USA
1-800-387-3285
|
Affärsprocessstöd för kundrelationshantering (CRM)
|
|
|
989 Market St
San Francisco, CA 94103, USA zendesk.com
888-670-4887
|
Helpdesk-förfrågningar för kundsupport
|
|
|
2225 Lawson Lane Santa Clara, Kalifornien, 95054
USA
|
Affärsprocessstöd för IT-tjänster och verksamhetsstyrning, anställd och kundupplevelser genom ( automatiserat molnbaserat arbetsflöde)
|
|
|
160 Spear Street, 15 :e våningen San Francisco, Kalifornien 94105 1-866-330-0121
USA
|
Infrastruktur för molndatalager.
|
|
|
620 8e Aveny 45 e Golv
New York, NY 10018
USA
|
Verktyg för övervakning och felsökning av tjänster
|
|
|
Avenue Louise 54, Rum s52,
1050 Bryssel
belgien
|
Online betalningsprocessor
|
|
|
1600 Amphitheatre Pkwy, Mountain View, Kalifornien 94043
|
Affärsprocessstöd för kommunikation (e-post) och intern dokumentlagring
|