MSA 隱私用語

 資料保護附錄

客戶已與簽訂類似性質及目的之主合約 （以下簡稱主合約） G-P。 簽署此類主協議可能涉及個人資料的處理。 客戶和 G-P （合稱“當事人”）同意本資料保護增補合約（“DPA”）規定了其在主協議下 G-P，就處理和保護由客戶提供的服務相關個人資料方面所負的義務，且各方同意受本 DPA 的約束。 本 DPA 補充主合約中之條款及條件，並納入其中。 若本 DPA 與雙方就本協議所載問題達成的任何其他協議發生衝突，應以本 DPA 為準。 若客戶已簽訂與 生效之資料保護增補合約 G-P，則該合約應優先於本 DPA，且本 DPA 不具任何效力或作用，除非客戶與 另有書面約定 G-P。

 

鑒於：

1. 當向客戶 G-P 提供記錄僱主 （EOR） 服務時， G-P 將承擔法律僱主為客戶（“專業”）選擇聘用的任何個人擔任的角色。
2. 就該等專業人士的個人資料而言， G-P 為僱傭關係過程中的控制者。
3. 就標的客戶基於自身目的所蒐集及使用之專業人士個人資料，標的客戶亦為具獨立隱私權義務之控制者。
4. 提供名義雇主服務時，在 G-P 和客戶之間交換專業人士的個人資料，應受獨立的控制者與控制者的關係 約束，且應適用下文第 2 條中定義的控制者與控制者術語。
5. G-P 也透過 G-P的平台 （“GPP”） 提供各種軟體做為服務產品， G-P 讓客戶得以透過平台管理與這些專業人員的關係。
6. 提供客戶 GPP 存取權， G-P 即表示客戶指定之 GPP 授權使用者上傳之帳戶相關資料的處理者，以及依以下第 3 節所定義之 控制者對處理者條款，應適用。

 

G-P 且客戶已同意下列事項：

 

1. 定義

1.1.此處未定義之 名詞，其定義與主合約相同。 本 DPA 中的下列詞彙含義如下：

1.2. “授權使用者 係指客戶允許之個人，得包括客戶之員工及/或承攬人，依據主合約之簽訂，代表客戶存取及使用 GPP 。

1.3. “客戶資料係指任何由客戶 G-P 代表客戶移轉、處理或儲存，供客戶使用 GPP 之授權使用者或可識別自然人相關個人資料。

1.4. “資料保護 法律係指本合約當事人所受之任何資料保護和隱私權法律，且適用於所提供服務，包括但不限於 GDPR、英國 GDPR、瑞士資料保護法律、美國隱私權法律 （包括州和聯邦法律） 和 巴西 LGPD。

1.5. “GDPR” 指通用資料保護條例 （EU） 第 2016/679 條。

1.6. “GPP 係指 G-P之專屬軟體，包括但不限於軟體、行動版本、其中所含之任何軟體，以及透過使用 G-P之專屬軟體或第三方服務而取得之任何資料，包括其更新、升級、平台即服務，以及文件。

1.7. “EEA 是指 歐洲經濟區。

1.8. “LGPD 指巴西第 13.709 號法律，即可能修訂、取代或替換的個人資料保護總則。

1.9. “Master Agreemen t” 係指客戶之間就提供服務所簽訂 G-P 之協議。

1.10. “隱私權政策”是指不時更新的 G-P隱私權政策，可在 https://www.globalization-partners.com/privacy-policy/

1.11. 專業人員的資料 是指 專業人員 G-P 在為客戶提供名義雇主服務過程中處理的個人資料。

1.12. “限制傳輸” 是指將個人資料傳輸到歐洲經濟區、英國、瑞士或巴西以外的國家，而不受適用資料保護法的充分性決定 約束，因此需要適用資料保護法的適當保護措施 。

1.13. 服務係指由 依主合約提供予 G-P 客戶之服務，其中可能包括名義雇主服務及 GPP 之存取及使用。

1.14. "Standard Contractual Clauses" or "SCCs" mean (i) where the GDPR applies, the standard contractual clauses annexed to the European Commission's Implementing Decision (EU) 2021/914 of 4 2021 年 6 月 standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council, available at https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914&from=EN ("EU SCCs"); (ii) where the UK GDPR applies, the applicable standard data protection clauses adopted pursuant to Article 46(2)(c), or (d) where the UK GDPR means the International Data Transfer Addendum (“UK Addendum”) to the EU Standard Contractual Clauses issued by the Information Commissioner's Office under s.119A(1) of the Data Protection Act 2018, as such UK Addendum may be revised under Section 18 therein ("UK SCCs"); (iii) where the Swiss Data Protection Laws apply, the applicable standard data protection clauses issued, approved or recognized by the Swiss Federal Data Protection Authority and Information Commissioner´s Office (the "Swiss SCCs); where the Brazilian LGPD applies, the applicable standard contractual clauses, attached to Resolution CD/ANPD No. 19/2024 promulgated by the Brazilian National Data Protection Authority (“ANPD”), as they may be amended from time to time (“Brazil SCCs”).

1.15. “瑞士資料保護法  （FADP）  平均值 （i） 瑞士聯邦資料保護法 （日期為 1992 年 6 月 19 日， 截至 3 月 1 日， 2019） （FDPA）；（ii） 聯邦資料保護法 條例  （FODP）；以及 （iii） 依據、依據、取代或接續而制定的任何國家資料保護法，以及取代或更新任何上述內容的任何法規。

1.16. “英國附錄“ 指英國資訊專員發佈的歐盟標準合約條款的英國國際資料傳輸附錄。

1.17. “英國資料保護法是指 根據英國歐盟（戒斷）法案 2019 第 3 條（"英國 GDPR"）和資料保護法 2018 （統稱 "英國資料保護法"）而儲存為英國法律的 GDPR。

1.18. “美國隱私法是指與個人資料處理相關的美國 （US） 州法律、命令、法規和監管指導，包括但不限於：（a） CCPA；（b） Virginia 的消費者資料保護法；（c） Colorado 隱私權法；（d） Connecticut 的資料隱私和線上監控法；（e） Utah 消費者隱私法；以及 （f） 所有類似的州法律

1.19. "控制者"資料主體"、"個人資料"、"個人資訊" "資料外洩"、"處理者"、"處理/處理"、"限制傳輸"、"服務供應商" 和/或任何其他類似術語和概念應具有資料保護法所定義的含義。

 

 

2. 個人資料的控制

2.1.雙方 的角色。在作為獨立控制者 G-P 運作 的情況下，在處理個人資料時 G-P 應遵守其資料保護法下的控制者義務，並應按照 的 G-P隱私權政策所述處理個人資料 https://www.globalization-partners.com/privacy-policy/。 作為控制者處理個人資料時，客戶應遵守其資料保護法下的義務。 在任何情況下，雙方均不會根據本 DPA 作為聯合控制者處理個人資料。

2.2. 責任與確認。 各方可根據本數據保護協議處理有關 專業人士數據 的個人資料，作為獨立數據控制者。 雙方同意遵守其各自義務，並公平合法地處理任何個人資料，以符合本 DPA 及適用於該方個人資料處理作業的所有資料保護法律。 各當事人應確保其個人資料之處理，僅限於由 GPP 提供， G-P 且基於合法處理之法律依據。 雙方將協助彼此遵守資料保護法規定的義務，包括但不限於在發生資料外洩時互相協助、回應資料主體和/或監管機構的要求。 

 

3. 處理個人資料

 

3.1. 範圍。 GPP 之使用 可能須由 G-P 處理者或服務供應商代表客戶處理客戶資料。

3.2. 說明。 G-P 將依照客戶的書面指示處理客戶資料。 客戶同意本 DPA、 主協議、 及附件 I， 包括客戶 G-P就客戶資料之處理所提出之完整指示。 任何額外或替代指示，均必須由雙方當事人以書面方式、 包括遵守該等指示之相關費用 （若有的話）。 客戶將確保其指示遵守適用之資料保護法。 客戶認知，對於判斷哪些法律適用於客戶之業務 G-P ，均不負任何責任。 客戶將確保在依照客戶指示進行時， G-P處理客戶資料不會 G-P 導致違反任何相關法律，包括適用的資料保護法。 G-P 然而，若客戶之指示違反適用之資料保護法 G-P ， G-P 應於合理可行之範圍內盡快通知客戶，且不得要求客戶遵守該等侵權指示。

3.3.處理 詳情。 處理標的之細節、其期間、性質及目的，以及客戶資料之類型及資料當事人，係如附錄 I 所載。 

3.4. 合規。 客戶並同意 G-P 遵守其依附錄 I 所指定適用於客戶資料之資料保護法律所規定之相關義務。客戶在揭露、 傳輸、 或以其他方式提供 任何客戶資料。 G-P 為免疑義， 在所有情況下 客戶應取得 如有需要， 資料當事人依客戶指示 G-P 處理客戶資料之任何同意。

3.5. 輔助處理者。 客戶授權 G-P指定並使用處理者（“次處理者”）處理與服務有關的客戶資料。 次處理者可包括第三方或公司 G-P 集團的任何成員。 G-P 可繼續使用 G-P 截至本 DPA 日期已聘用的輔助處理者，且該等輔助處理者清單載於本協議附件 III。 若輔助處理者未能履行上述資料保護義務， G-P 應就輔助處理者履行義務向客戶負責。 G-P 應透過 GPP 通知客戶其輔助處理者清單的任何變更。 若在收到該通知後 10 （10） 天內，客戶基於資料保護理由合法反對增刪輔助處理者，且 G-P 無法合理因應客戶的反對意見，雙方當事人將基於誠信原則討論客戶的疑慮，以解決該問題。

3.6. 技術及組織安全措施。 考慮到行業標準， 實施成本、 大自然、 範圍、 處理的內容和目的， 以及與處理客戶資料有關的任何其他相關情況； G-P 應實施適當的技術和組織安全措施，以確保安全， 保密， 誠信、 涉及處理客戶資料之處理系統及服務的可用性及彈性，與該等客戶資料之相關風險相當， 如附錄 II 中詳述。 G-P 將定期 （i） 測試和監控其防護措施的有效性， 控制、 系統和程序，以及 （ii） 識別可合理預見的安全性內部和外部風險， 客戶資料之機密性及完整性； 並確保這些風險得到解決。

3.7. 保密。 G-P 應確保經授權存取客戶資料之人員 （i） 已承諾保密或具有適當法定保密義務，以及 （ii） 除非相關法律要求 G-P，否則僅依據 之書面指示存取客戶資料。

3.8. 個人資料洩露。 G-P 在知悉與客戶資料之處理相關的資料外洩後，將立即通知客戶，並盡合理努力協助客戶減輕任何資料外洩的負面影響。

3.9.個人資料之 刪除。服務終止 時 （基於任何原因）， G-P 應盡合理可行之範圍內盡快歸還或刪除 GPP 中儲存之客戶資料，但若相關法律要求將客戶資料儲存更長期間者，不在此限。 對於該等保留，本 DPA 之條款應繼續適用於該等客戶資料。

3.10.  資料主體請求。 G-P 若資料主體針對客戶資料提出請求，應立即通知客戶。 客戶有責任回應此類要求。 G-P 若客戶在使用 GPP 時無法存取相關客戶資料，將合理協助客戶回應該等資料當事人之要求。

3.11. 第三方要求。 如果 G-P 收到第三方提出的任何請求，或任何具有管轄權且 G-P 與根據合約處理客戶資料有關之法院、法庭、監管機構或政府機構的命令， G-P 將立即將請求轉給客戶。 G-P 除非法律強制要求，否則未經客戶事前授權，不會回應此等要求。 G-P 除非法律禁止，否則在揭露任何客戶資料之前，應事先通知客戶，並將與客戶合理合作，將揭露的範圍限制在法律要求的範圍內。 

3.12. 資料保護影響評估和先前諮詢。 在資料保護法要求的範圍內， G-P 應提供合理協助給客戶，以針對由監管機關處理之客戶資料 G-P 及/或任何必要的事先諮詢 （含） 進行資料保護影響評估。 G-P 保留向客戶收取提供此類協助之合理費用的權利。

3.13. Audit. Customer may audit G-P compliance with this DPA and Data Protection Laws by requesting a certificate issued for security verification reflecting the outcome of an audit conducted by a third party auditor (e.g., ISO27001 certification, SOC2 certificate), within twelve (12) months as of the date of Customer’s request. 或者， 如果根據本第 3.13 節提供的文件不足以證明合規性， 除了所提供的第三方認證或報告外，客戶得自行執行稽核； 前提為 ： i） 每 12 （十二）個月期間不得超過一次； ii） 在正常營業時間，且不干擾 G-P的日常業務； iii） 提前三十 （30） 天發出書面通知； iv） 由客戶自行負擔費用； v） 基於雙方同意的參數和範圍， 僅限於特定服務範圍； 本協議項下擬使用的系統及/或處理活動； vi） 根據雙方同意的預前日期， 應客戶之合理要求，予以 G-P合理推遲； 和 vii）。 不論前述條款如何規定，除客戶必須證明之法律義務外，主合約終止後不得授予任何稽核權利。 任何選擇代表客戶執行稽核的第三方代表，不得擁有名義雇主服務公司、機構、相關組織或顧問的所有權權益或隸屬關係。 本 DPA 並未 G-P 要求向客戶或其第三方稽核人員揭露， 或允許客戶或其第三方稽核人員存取： （i） 任何其他 G-P之客戶的任何資料； （ii） G-P的內部會計或財務資訊； （iii） G-P 或其關係企業之任何營業秘密； （iv） 任何資訊， G-P合理認為 可能危及任何 G-P系統的安全性，或導致任何違反適用法律所規定之義務，或違反其對任何第三方之安全性或隱私權義務； 或 （v） 客戶或其第三方稽核人員基於誠信履行資料保護法所規定之客戶義務以外的任何理由，而尋求存取之任何資訊。

3.14. 美國隱私權法律。 根據第 3 節（“個人資料的處理”），當事人同意 G-P 為“服務提供商”或“處理者”，因為此等條款根據適用的美國隱私法律定義。 因此， 若美國隱私權法律適用於在之前處理客戶資料 G-P， G-P 不得 （a） 保留、 使用、 或揭露任何超出 G-P 與客戶間直接業務關係範圍之客戶資料； 或用於本協議附件 I 所載目的以外的任何目的， 且僅在向客戶提供服務時 G-P 處理客戶資料； （b） 銷售任何客戶資料； （c） 共用任何客戶資料； 或 （d） 合併 G-P 接收自下列來源之客戶資料： 或代表 客戶收到之個人資料 （此等條款或同等條款係依適用之資料保護法定義）， 或代表 另一個人 或自其與消費者的互動中收集， 前提為，若客戶資料在提供服務予客戶的範圍內， G-P 得合併客戶資料。 在適用情況下，若各方判定其無法再履行美國隱私權法律所規定之義務，應通知另一方。

 

 

4. 國際資料傳輸

4.1. 適當的保護。 G-P 在正常業務過程中，授權將客戶資料移轉至其關係企業及/或輔助處理者。當移轉至相關資料保護主管機關未依據資料保護法確認為個人資料提供適當保護之地區 時， G-P 應確保已採取適當保護，以保護依據主合約或與主合約相關之移轉客戶資料。

4.2. 資料隱私架構。 專業人員和客戶資料儲存在位於美國的 GPP 中， G-P 且已根據歐盟-美國 資料隱私架構（歐盟-美國 DPF），並在適用時，將英國延伸到歐盟-美國 DPF 和瑞士-美國 資料隱私框架（瑞士-美國 DPF）。 G-P認證可以在 DPF 網站  https：//www.dataprivacyframework.gov/list 上公開確認。 歐盟-美國 歐盟執行委員會認為資料隱私架構是適當的，根據 GDPR、英國 GDPR 和 FADP 第 45 條，資料隱私架構是合法的資料傳輸機制。 如果 DPF 架構無效、暫停或以其他方式不再被認可為為國際資料傳輸提供充分保護，處理者同意簽訂並遵守由歐盟委員會、英國資訊委員會辦公室 （ICO） 或瑞士聯邦資料保護和資訊委員會 （FDPIC） 簽發或批准的 SCC ，如適用。 雙方應真誠合作，實施任何必要的補充措施，以確保對所傳輸的資料提供基本同等程度的保護。

4.3. 標準合約條款。 雙方同意，當從客戶（作為“資料匯出者”）向 G-P （作為“資料匯入者”）傳輸個人數據時，當“資料匯入者”是限制傳輸，並且適用的資料保護法要求實施適當的保護措施時，該傳輸應受適當的標準合約條款的約束，該標準合約條款應被視為併入本數據保護協議並構成本數據保護協議的一部分，如下所述：

1. 有關受 GDPR  保護的個人資料轉移，應適用歐盟 SCC，完成如下：

1. 應適用模組一和模組二；
2. 第 條中7，將適用選擇性停靠條款；
3. 在模組二第 9 條中，將適用選項 2 ，且輔助處理者變更的事先通知期限應如本 DPA 第 3.5 條所述；
4. 在第 條中11，選擇性語言將不適用；
5. 第 12 條中，根據 EU SCC 提出的任何索賠均應受主協議中規定的條款和條件的約束；
6. 第 17 條中，將適用選項 1，且 EU SCC 將受愛爾蘭法律管轄；
7. 第 18（b） 條中，爭議應在愛爾蘭法院解決；
8. 歐盟 SCC 的附件 I 應視為已填妥本 DPA 附錄 1 所載資訊；以及
9. EU SCC 的附錄 II 應視為已根據本 DPA 附錄 2 所載資訊完成；
10. 歐盟 SCC 第二單元的附錄 III 應根據本 DPA 附錄 3 所載資訊視為已完成。

b. 對於受英國資料保護法或瑞士資料保護法保護的個人資料轉移，根據上述第 （a） 款實施的 EU SCC 將適用於以下修改：

1. 提及“法規 （EU） 2016/679”應解釋為提及英國資料保護法或瑞士資料保護法（如適用）；
2. 提及“法規 （EU） 2016/679”的特定條款應以英國資料保護法或瑞士資料保護法（如適用）的同等條文或章節取代；
3. 提及“歐盟”、“工會”、“會員國”和“會員國法律”應替換為提及“英國”或“瑞士”，或“英國法律”或“瑞士法律”（如適用）；
4. “會員國”一詞不得解釋為排除英國或瑞士的資料主體在其慣常居住地（即英國或瑞士）提出訴訟的可能性；
5. 不使用附件 I 第 13（a） 條和第 C 部分，且“有效監督機構”為英國資訊專員或瑞士聯邦資料保護資訊專員（如適用）；
6. 提及“有效監管當局”和“有效法院”應以提及“資訊專員”和“英格蘭和威爾斯法院”或“瑞士聯邦資料保護資訊專員”和“適用瑞士法院”取代（如適用）；
7. 第 17 條中，標準合約條款應受英格蘭和威爾斯或瑞士（如適用）之法律管轄；以及
8. 關於適用於英國資料保護法的轉讓，第 18 條應修訂為“任何因本條款引起的爭議應由英格蘭和威爾斯法院解決。 資料當事人得於英國任何國家法院對資料匯出者及/或資料匯入者提起法律訴訟。 雙方同意服從該等法院的管轄權，就瑞士資料保護法適用的轉讓而言，第 18（b） 條應陳述爭議應在瑞士適用法院解決。
9. 對於受英國 GDPR 保護的資料，EU SCC 將適用如下：（i） 按照上述 （i） 至 （viii） 段的規定申請；以及 （ii） 被視為已修訂，如英國附錄第 2 部分所述，該修訂應被視為納入本 DPA 並構成本 DPA 的組成部分。 此外，英國附錄第 1 部分中的表 1 至 3 應分別與本 DPA 附錄 I 和附錄 II 中列明的資訊一起填寫，而英國附錄第 1 部分中的表 4 應透過選擇“任何一方”來視為已完成。

c. 對於直接或透過後續傳輸而受巴西 LGPD 保護的個人資料 轉移至巴西以外的國家，而不受 ANPD 發佈的適當決定約束，巴西 SCC 將被視為透過此引用簽署並併入本 DPA，並填寫如下 ：

1. 巴西 SCC 第 2 條滿意附件 I 中說明的資料傳輸資訊；
2. 本人 n 巴西 SCC 第 3 條，B 選項應適用，並根據本 DPA 第 3.5 條（“輔助處理者”）允許後續轉讓。 本 DPA 附錄 I 載列主題、性質及處理持續時間；
3. 巴西 SCC 第 4 條透過本 DPA 附件 I 所載資訊予以滿足。 G-P 如為控制者，則其將是巴西SCC中定義的“指定方”，並就巴西SCC第 14 條（透明度）、第15 條（資料主體權利）及第16 條（事故報告）而言。 客戶仍需負責遵守巴西 SCC 中可能以其他方式為控制者之任何個人資料的第 14 條 （透明度）、第 15 條 （資料主體權利） 及第 16 條事件報告）；
4. 在巴西 SCC 第 9 條中，不適用選擇性停靠條款；且
5. 巴西 SCC 第 III 節（安全措施）將根據本 DPA 附件 II 所載資訊視為已完成。

 

附件 I

資料處理說明

 

派對	資料匯出者：執行主合約的客戶實體 資料匯入者：執行主合約之 G-P 實體。
當事人聯絡詳情	如主合約中所述之聯絡詳細資料。
與資料傳輸相關的活動	與名義雇主服務及以服務形式提供予客戶之 GPP 之使用相關的活動。
處理活動	處理/傳輸的個人資料可能受以下處理活動約束：與個人資料有關的任何操作，無論應用的方法和程序為何，特別是資料的收集、組織、儲存、保存、使用、檢索、諮詢、歸檔、傳輸、封鎖、清除或銷毀、系統操作和維護、合規性、法律和稽核功能。
處理持續時間	G-P 將在主合約期間持續處理客戶資料。
處理的性質和目的	客戶得自行決定將客戶資料移轉至 G-P，其範圍係由客戶所決定及控制。 處理作業之目的在於 依據主合約提供服務。
資料主體類別	a） 各方作為獨立控制者交換的個人資料，以處理專業人士的個人資料。 b）  以資料處理者 G-P身分處理之客戶資料，係關於 GPP 之授權使用者 ，GPP 得包括客戶之員工及/或承攬人。
個人資料類型	· 聯絡詳情（例如電話號碼和電子郵件）。 · 員工/承包商資料（例如職稱和公司名稱）。 · 使用資料（例如有關授權使用者裝置的資料，以及此類裝置如何與 GPP 互動）。 · 位置資料（例如從 IP 位址衍生的位置）。 · 內容資料 （例如客戶檔案中有關專業人員及相關通訊的內容）。 · 憑證（例如密碼、密碼提示和用於驗證的類似安全資訊，以及對 GPP 的帳戶存取）。 · 授權使用者提供的任何個人資料。
特殊類別資料（如適用）	不適用
保留	只要符合適用的限制法規，且符合良好的商業慣例，個人資料至少將保留至任何適用的法定最短保留期限。
主管機關	愛爾蘭資料保護委員會
轉移給輔助處理者	對於轉移至處理者，處理的主題、性質和持續時間與上述定義相同。
G-P 隱私權聯絡詳細資料	privacy@G-P.com 收件人：全球隱私權辦公室。

 

 

附件二

技術與組織措施

 

G-P 已由獨立稽核員認證並證明其符合 SOC 2 和 ISO 27001 標準。 此類認證 展現了我們對保護客戶資料的承諾。 G-P的安全計畫旨在：

• 保護 G-P所持有或 G-P 可存取之客戶資料的機密性、完整性及可用性；
• 防止客戶資料之機密性、完整性及可用性受到任何預期威脅或危害；
• 防止未經授權或非法存取、使用、揭露、修改或銷毀客戶資料；
• 防止客戶資料意外遺失或損毀或損毀；以及
• 按照 G-P 可能受監管的任何法規保護資訊。

 

以下說明為確保客戶資料處理之安全性所 G-P 採取的功能、流程、控制、系統、程序及措施：

1） 確保資料隱私和保護的技術措施 

1. 隱私設計與預設： G-P 將 GDPR 第 25 條的要求納入產品開發的概念和開發階段。 流程和功能的設定方式，是在早期考慮資料保護原則，例如合法性、透明度、目的限制、資料最小化等，以及處理的安全性。

2. 個人資料加密： 確保個人資料僅以不允許第三方識別資料主體的方式儲存在系統中。

   1. 資料庫和儲存加密：在根據最新技術 G-P 加密使用的所有資料庫上，都使用來自資料庫的資料，以便只能在相應資料庫系統上進行適當驗證後才能讀取。

   2. 行動資料媒體加密：不允許使用行動資料載體儲存客戶資料。

   3. 對筆記型電腦上的資料載體進行加密：所有員工的筆記型電腦均安裝了適當的先進硬碟加密。

   4. 資訊和檔案的加密交換：原則上，資訊和檔案的交換是透過特殊應用程式直接加密。 如果必須傳輸個人資料或機密資訊至無法透過 TLS 加密 HTTPS 上傳傳送的伺服器，則這些資料將使用安全檔案傳輸通訊協定 （SFTP）、加密信封服務或其他根據技術狀態的加密機制進行傳輸。

   5. 電子郵件加密：原則上，員工傳送的所有電子郵件 G-P 都使用 TLS 加密。 如果接收郵件伺服器不支援 TLS，則可能會有例外情況。 客戶應確保在訂單範圍內使用的對應郵件伺服器支援 TLS 加密。

3. 入學控制： 入學控制旨在防止資料被未經授權的人員使用和處理。

   1. 驗證方法的使用： 存取個人資料始終透過加密通訊協定：SSH、SSL/ TLS、HTTPS 或類似通訊協定。 IT 系統的驗證程序：多重要素驗證登入 IT 系統。

   2. 無活動時自動封鎖：當使用者不使用時， G-P 員工用密碼或 PIN 保護鎖定的 筆記型電腦。 此外，在閒置 15 分鐘後，會設定具有密碼保護功能的自動螢幕鎖定。

   3. 使用防毒軟體： G-P 員工使用的 筆記型電腦配備最先進的防毒軟體，在所有營運或業務 IT 系統上都保持最新狀態。 原則上，除非已採取其他等效的先進安全措施或沒有風險，否則在無常駐病毒保護的情況下不得操作電腦。 不得停用或規避預設安全性設定。

   4. "清潔桌面政策"： G-P 指示  的員工不要列印或本地儲存資料主體的個人資料，不要將工作材料留在第三方可以查看的地方，並正確儲存所有工作材料。 G-P 法律要求以紙本保存的文件會儲存在上鎖的櫃子中。

4. 平台內的存取控制： 存取控制可確保獲授權使用處理系統的人員只能存取其存取授權所涵蓋的個人資料。

   1. 角色和授權

      1. 角色和授權平台 – 客戶存取：客戶使用者可以檢視和編輯客戶帳戶資訊。

      2. 角色和授權平台 – 專業存取權限：專業使用者可以檢視和編輯自己的專業資訊。 專業人員也可以在要求 + 核准時獲得客戶存取角色

      3. 角色和授權平台 – 內部存取： 內部存取使用者具有不同的角色。 他們擁有建立、檢視、編輯和核准下列項目的各種存取權限：

         • 客戶資訊

         • 帳單資訊

         • 合作夥伴資訊

         • 專業人員記錄資訊

      4. 管理系統的存取權限通常僅限於受過客戶支援和產品開發領域訓練的員工。

5. 防火牆即服務： G-P 使用外部防火牆作為服務，允許其授予或封鎖對網站的存取，以確保系統無法存取惡意內容，並限制對不當內容的存取。

6. 平台登入記錄： G-P 保留所有登入活動的記錄。

7. 可分割性： 確保基於不同目的收集的個人資料可分開處理，且與其他資料和系統分開，以避免將這些資料用於其他目的。

   1. 開發、測試和操作環境的分離： 來自操作環境的資料只有在傳輸前完全匿名的情況下，才能傳輸到測試或開發環境。 匿名資料的傳輸必須加密，或透過值得信賴的網路進行。 要傳輸到作業環境的軟體，必須先在相同的測試環境中進行測試 （"預備階段"）。 錯誤分析或軟體建立/編譯的程式只能在無法避免的情況下，於操作環境中使用。 如果錯誤情況取決於傳輸到測試環境時由於匿名化要求而偽造的資料，則尤其如此。

   2. 網路中的分離：根據任務將其網路 G-P 分離。 永久使用下列網路：作業環境 （"生產"）、測試環境 （"預備階段"、"沙箱"）、開發環境 （"開發"） 辦公室 IT 人員。 除了這些網路之外，還會視需要建立其他獨立的網路，例如，用於還原測試和滲透測試。 視技術可能性而定，網路會以實體方式或透過虛擬網路來分隔。

8. 可用性 控制： G-P 採取以下步驟以確保個人資料受到保護，防止意外銷毀或遺失。

   1. 資料保護程序/備份：確保充分可用性， G-P 實施其資料庫的每日快照，並複製到不同區域。 我們也採取相關措施，確保有基於工作需要審查資料的員工，只能存取複製資料集。

   2. 生產資料和備份的伺服器基礎架構的地理備援

   3. IT事件管理（Incident Response Management）：有處理事件與安全相關事件的概念與書面程序。 這包括規劃和準備對事件的回應、監控、偵測和分析安全相關事件的程序，以及在違反法律要求框架內保護個人資料時，定義相應的責任和報告管道。

2） 確保資料隱私和保護的組織措施

G-P 已實施以下組織措施，以確保組織以符合資料隱私和保護要求的方式運作。

1. 組織說明： G-P 已制定並正在制定資料治理計畫，包括政策、程序和準則，供員工遵循。 文件包括如何識別和管理資料隱私問題、確保隱私合規的最佳做法，以及處理隱私事件的政策。
2. 對保密和資料保護的承諾： G-P 已制定並正在制定資料治理計劃，包括政策、程序和指南，供員工遵循。 所有員工和承包商均受書面保密和資料保護以及其他相關法律約束。 所有員工都會接受隱私與安全訓練。 定期進行資料保護和資訊安全的內部稽核。 稽核是根據常見的測試標準/方案進行。 的員工和承包商僅根據與客戶和專業人士簽訂的適用合約，在充分考慮資料主體給予或拒絕的任何明示同意後，並符合組織的任何法定職責的情況下，才 G-P 被指示處理個人資料。
3. 資料保護培訓： 所有員工均接受隱私和安全培訓，且仍然可以隨時在 G-P 培訓平台中進行審查。
4. 實體存取控制： G-P 已採取下列實體控制，以拒絕未經授權人員存取用於處理的 IT 系統設備。
   1. 電子門保護： G-P 辦公室的 入口門始終上鎖並以電子方式保全。 車門透過個人電子收發器開啟。
   2. 受控分發鑰匙：對 員工 G-P 進行 中央、有文件記錄的鑰匙分配。 這些電子收發器/鑰匙可由每個辦公室經理或人力資源部門集中停用。
   3. 外部人員的監督和陪同： 外部服務提供者和其他第三方僅可透過事先授權或 的員工陪同時獲准進入場所 G-P。 G-P 當訪客受邀進入場所時，適用其書面訪客政策。
   4. 保護需要增加保護的場所的安全：保護要求增加的 場所或機櫃，例如法律辦公室和某些運營地點，配備上鎖的機櫃和抽屜。 保存法律文件、合約和機密文件的櫃子和抽屜必須隨時上鎖，除非在使用中。
   5. 關門和窗戶：根據組織指示，員工在辦公時間以外保持門門關閉或上鎖。
5. 可復原性： G-P 確保在發生實體或技術故障時能夠還原使用中的系統。

   1. 定期資料復原測試 （Restore-Tests）：定期進行完整還原測試，以確保在緊急/災害發生時可復原。

   2. 緊急應變計畫（"災難復原概念"）：緊急應變/災難的處理概念和相應的緊急應變計畫。 G-P 確保根據資料備份/備份復原所有系統，通常在 48 小時內。

   3. 審查和評估措施：定期審查、評估和評估技術和組織措施有效性的程序。

6. 隱私團隊：組織設有全球資料隱私辦公室，負責規劃、實施、評估和調整資料保護領域的措施。

7. 風險管理：有分析、評估和分配風險的流程，以及根據這些風險制定措施的流程。

3）  資訊安全的獨立審查

1. 稽核績效：定期進行資料保護和資訊安全的 內部稽核。 稽核是根據常見的測試標準/方案進行。
2. 審查對安全政策與標準的遵守情況： 定期檢查對個人資料處理之適用安全準則、標準及其他安全要求的遵守情況。 在可能的情況下，這些檢查是以隨機和非預期的方式進行。
3. 技術規格合規性驗證： 由 IT 部門或其他合格人員執行定期自動化和手動弱點掃描，以驗證應用程式和基礎設施的安全性，以及產品的定期開發。 外部服務供應商會執行詳細的滲透測試，以特別檢查應用程式和基礎架構是否有漏洞。
4. 按指示處理： 的員工 G-P 受指示僅根據與客戶和專業人士簽訂的適用合約，根據資料主體給予或保留的任何明確同意，並符合組織的任何法定職責處理個人資料。
5. 謹慎選擇供應商：在選擇可能遇到受保護資料的廠商和供應商時， G-P 遵守其供應商預先資格判定流程。 此流程包括財務和法律/隱私部門的回饋，並納入風險評估、安全預審和文件認證步驟。 將處理受保護資料的供應商必須證明其遵守適用的資料隱私法律，包括涵蓋資料的 28 GDPR 條款。

 

附件三 

輔助處理者清單

 

輔助處理者	地點和聯絡資訊	處理說明
G-P 子公司	https://www.globalization- partners.com/contact-us/	提供平台和客戶關係管理
Acumatica	3933 Lake Washington Blvd NE #350，科克蘭，華盛頓州98033，美國	金融服務
Amazon  網路 服務	郵政信箱 81226 美國華盛頓州西雅圖 98108-1226	主機服務 – 雲端服務供應商
Microsoft	Microsoft Corporation One Microsoft Way Redmond， Washington 98052 USA 電話：（+1） 425-882-8080。	通訊（電子郵件）和服務管理的業務流程支援
阿特拉斯語	350 Bush Street 13 樓 美國加州舊金山 94104 +1 415 701 1110	服務管理的業務流程支援
DocuSign	DocuSign International （EMEA） Ltd，收件人：5Hanover Quay， Ground Floor， Dublin 2， Republic of Ireland 隱私團隊	文件管理
Salesforce.com	Salesforce Tower， 415 Mission Street， 3rd Floor， San Francisco， CA 94105， USA 1-800-387-3285	客戶關係管理 （CRM） 的業務流程支援
桑德斯克	989 市場街 San Francisco， CA 94103， USA zendesk.com 888-670-4887	服務台詢問客戶支援
Workday	6110 Stoneridge Mall Road Pleasanton， CA 94588， USA	管理薪資、福利、人力資源和員工資料的業務流程支援。
立即服務	2225 Lawson Lane Santa Clara， CA， 95054 USA	IT 服務和營運管理的業務流程支援，員工和客戶體驗透過 （自動化雲端工作流程）
資料磚	160 Spear Street， 15th Floor San Francisco， CA 94105 1-866-330-0121 USA	雲端資料倉儲基礎架構。
資料狗	620 8th 大道 45th 樓 紐約州紐約市 10018 USA	服務監控和除錯工具
精明	Avenue Louise 54， s52 會議室， 1050 布魯塞爾 比利時	線上付款處理商
Google	1600 Amphitheatre Pkwy，山景，加州 94043	通訊（電子郵件）和內部文件儲存的業務流程支援