G-P 標誌​​ 
要求提案​​ 

MSA 隱私權語言​​ 

最後更新:六月26 、2026​​ 

資料保護附錄​​ 

客戶和G-P是主協議或具有類似性質和目的的協議(以下簡稱「主協議」)的當事方。 本數據處理協議是對主協議條款和條件的補充,並已納入其中。若本資料處理協議與雙方就本協議所列事項達成的任何其他協議發生衝突,則以本資料處理協議為準。如果客戶已與G-P簽訂生效的資料保護附錄,則該協議優先於本資料保護協議,除非客戶和G-P另有書面約定,否則本資料保護協議不具有任何效力。​​ 
 

1 。定義​​  

本文未定義的詞彙具有總協議中規定的涵義。本 DPA 中的下列詞彙具有下列涵義:​​ 
1 . 1 “​​ 授權用戶​​ 「指經客戶許可的個人,該個人可能包括客戶的員工和/或約聘人員,根據主協議的執行,代表客戶存取和使用 GPP。​​ 
1 . 2 “​​ 客戶數據​​ 「指與任何授權使用者或可識別的自然人相關的任何個人數據,這些數據由G-P代表客戶傳輸、處理或存儲,以便客戶使用 GPP 服務。​​ 
1 . 3 “​​ 資料保護​​  法律​​ 「指本協議一方所受約束的任何資料保護和隱私權法律,以及適用於所提供服務的任何資料保護和隱私權法律,包括但不限於《一般資料保護規範》(GDPR)、英國《一般資料保護規範》(GDPR)、瑞士資料保護法、美國隱私權法(包括州和聯邦法律)以及巴西《一般資料保護規範》(LGPD)。​​ 
1 . 4 “​​ 名義雇主​​ 」指的是名義雇主。​​ 
1 . 5 “​​ 《一般資料保護規範》(GDPR)​​ 」指《一般資料保護規範》(GDPR) (EU) 2016 / 679 。​​ 
1 . 6 “​​ GPP​​ 「指 G-P 的專有軟體,包括但不限於該軟體、行動版本、其中包含的任何軟體,以及透過使用 G-P 的專有軟體或第三方服務提供的任何數據,包括其更新、升級、平台即服務和文件。​​ 
1 . 7 “​​ EEA​​ 指的是歐洲經濟區。​​ 
1 . 8 “​​ LGPD​​ 13"709 ,即《個人資料保護一般法》,可能經修正、取代或更換。​​ 
1 . 9 “​​ 隱私權政策​​ “指G-P的隱私權政策,該政策會不時更新,可在以下網址查看:”​​   
1 . 10 “​​ 專業人士數據​​ 「指G-P在提供客戶姓名雇主服務的過程中處理的專業人員的個人資料。​​ 
1 . 11 "​​ 受限轉讓​​  指將個人資料傳輸到歐洲經濟區、英國、瑞士或巴西以外的國家,而該國家不受適用資料保護法律的充分性決定約束,因此需要根據適用資料保護法律採取適當的保障措施。​​ 
1 . 12 “​​ 服務”​​  意思是​​  服務​​  由G-P根據主協議向客戶提供,其中可能包括提供名義雇主服務以及存取和使用 GPP。​​ 
1 . 13 "​​ 標準合約條款​​  或​​  “SCC”​​  指 (i) 在《一般資料保護規範》(GDPR) 適用的情況下,歐盟委員會 2017 年 6 月4 2021實施決定 (EU) 2021 / 914所附的標準合約條款,以及根據歐洲議會和理事會規則 (EU) 2016 / 679向第三國傳輸個人資料的標準合約條款,可在下列網址:​​   (「歐盟 SCC」); (ii) 如果英國《一般資料保護規範》(GDPR) 適用,則根據第46 ( 2 )(c) 條採用的適用標準資料保護條款,或 (d) 如果英國《一般資料保護規範》(GDPR) 指資訊辦公室根據第 s. 條專員辦公室根據第 s. 條所頒布的歐盟標準條款的英國資料)。 119 《資料保護法》 2018的 A( 1 ),因此英國附錄可依其中第18條修訂(「英國 SCC」); (三)在適用瑞士資料保護法的情況下,適用瑞士聯邦資料保護局和資訊專員辦公室發布、核准或認可的適用標準資料保護條款(「瑞士標準合約條款」);在適用巴西《通用資料保護法》(LGPD)的情況下,適用巴西國家資料保護局(「ANPD」)頒布的第19 / 2024決議所附的標準條款)。​​ 
1 . 14 “​​ 瑞士資料保護法​​ 「 或者​​  “FADP”​​  指 (i) 瑞士聯邦資料保護法(“​​ FDPA​​ ”);(二)聯邦資料保護法條例(“​​ FODP​​ 「);以及(三)根據、依據、取代或後續制定的任何國家資料保護法律,以及取代或更新上述任何法律的任何立法。​​ 
1 . 15 “​​ 英國附錄​​ 「是指英國資訊專員發布的歐盟標準合約條款的英國國際化資料傳輸附錄。​​ 
1 . 16 “​​ 英國資料保護法”​​  指根據英國《歐盟(撤回)法案》 2019 (「英國《一般資料保護規範》(GDPR)」)第3條和《資料保護法案》 2018 (統稱為「英國資料保護法」)納入英國法律的《一般資料保護規範》(GDPR)。​​ 
1 . 17 “​​ 美國隱私權法​​ 「指與個人資料處理相關的適用的美國州法律、命令、法規和監管指南,包括但不限於:(a)《加州消費者隱私法案》(CCPA);(b)《弗吉尼亞州消費者資料保護法》;(c)《科羅拉多州隱私法》;(d)《康乃狄克州資料隱私和線上監控法案》;(e)《猶他州所有隱私法》;​​ 
1 . 18 "​​ 控制者」、「資料主體」、「個人資料」、「個人資訊」、「資料外洩」、「處理者」、「處理/加工」、「受限傳輸」、「服務提供者」​​  和/或任何其他類似詞彙和概念應具有資料保護法中定義的含義。​​ 
 
 

2 。獨立控制人 - 控制人關係​​  

2.1​​  各締約方的角色。​​  當G-P向客戶提供雇主服務時, G-P將承擔客戶選擇的任何受僱人員(「專業人員」)的法定雇主角色。 對於此類專業人員的個人數據, G-P在僱傭關係期間是獨立的控制者。 對於客戶為自身目的收集和使用的專業人員個人數據,客戶也是一個獨立的控制者,負有獨立的隱私義務。在提供姓名雇主服務時, G-P與客戶之間專業人員個人資料的交換屬於獨立的控制者對控制者關係,本節2 (「獨立的控制者-控制者關係」)的規定適用。 在任何情況下,雙方均不會以共同控制者身分處理本資料處理協議項下的個人資料。​​ 
2.2​​  責任與鳴謝​​ 各方作為控制者應:​​ 
2 . 2 . 1遵守與處理專業人員個人資料相關的適用資料保護法律。​​ 
2 . 2 . 2為了履行或接收姓名雇主服務,並出於自身合法利益,公平合法地處理和共享專業人員的個人資料。​​ 
2 . 2 . 3確保各方之間共享專業人員個人資料具有合法處理依據。​​ 
2 . 2 . 4互相協助履行各自在資料保護法律下的義務,包括但不限於在發生資料外洩時互相協助,回應資料主體和/或監管機構的要求。​​  
 

3 。控制器-處理者關係​​ 

3.1​​  各方角色​​ G-P也透過 GPP 提供各種軟體即服務產品, G-P透過 GPP 讓客戶能夠管理與這些專業人士的關係。 當G-P向客戶提供 GPP 存取權限時, G-P是客戶指定的 GPP 授權使用者上傳到 GPP 的帳戶相關個人資料的處理者,而客戶是此類資料的控制者,並且本節3 (「控制者-處理者關係」)的規定適用。​​ 
3.2​​  指示。​​  G-P將依照客戶書面指示處理客戶資料。 客戶同意,本資料處理協議、主協議以及附件一構成客戶向G-P就客戶資料處理事宜所作的完整指示。 任何附加或替代指示必須由雙方以書面形式達成一致,包括遵守此類指示所產生的費用(如有)。客戶應確保其指示符合適用的資料保護法律。客戶承認, G-P沒有責任確定哪些法律適用於客戶的業務。 客戶應確保G-P依照客戶指示處理客戶資料時,不會導致G-P違反任何適用法律,包括適用的資料保護法律。但是,如果G-P認為客戶的指示違反了適用的資料保護法律, G-P應在合理可行的範圍內盡快通知客戶,並且 GP 無需遵守此類侵權指示。​​  
3.3​​  處理細節​​ .處理標的事項、持續時間、性質和目的、客戶資料類型和資料當事人的詳細資料,請參閱隨附的附件一。​​   
3.4​​  合規。​​  客戶和G-P同意遵守適用於附件一中規定的客戶資料處理的資料保護法律規定的各自義務。客戶在向G-P披露、轉移或以其他方式提供任何客戶資料之前,對處理客戶資料的合法性負有全部責任,並遵守資料保護法律。 為避免疑義,在任何情況下,客戶應在必要時取得資料主體的同意,以便G-P依照客戶的指示處理客戶資料。​​ 
3.5​​  子處理器​​ 客戶授權G-P指定並使用處理者(「子處理者」)處理與服務相關的客戶資料。 分包商可能包括第三方或G-P集團公司的任何成員。 G-P可以繼續使用截至本資料處理協議簽署之日G-P已聘用的分包商,此類分包商的名單請參閱下文附件三。 若分包商未能履行上述資料保護義務, G-P應就分包商履行義務的情況對客戶負責。 G-P應透過 GPP 通知客戶其子處理商名單的任何變更。 如果在收到該通知後的10 (十)天內,客戶基於資料保護理由對增加或移除子處理者提出正當異議,且G-P無法合理滿足客戶的異議,則雙方將本著誠意討論客戶的疑慮,以期解決此事。​​ 
3.6​​  技術與組織安全措施​​ 考慮到行業標準、實施成本、處理的性質、範圍、背景和目的,以及與客戶資料處理相關的任何其他相關情況, G-P應實施適當的技術和組織安全措施,以確保處理客戶資料所涉及的處理系統和服務的安全性、保密性、完整性、可用性和彈性與此類客戶資料的風險相稱,詳見附件二。 G-P將定期 (i) 測試和監控其保障措施、控制措施、系統和程序的有效性,以及 (ii) 識別客戶資料安全、保密性和完整性方面可合理預見的內部和外部風險,並確保這些風險得到解決。​​  
3.7​​  保密性​​ .G-P 應確保獲授權存取客戶資料的人員 (i) 已承諾保密或負有適當的法定保密義務,且 (ii) 僅根據 G-P 的文件指示存取客戶資料,除非適用法律另有規定。​​ 
3.8​​  個人資料外洩。​​  G-P在知悉與客戶資料處理相關的任何資料外洩事件後,將立即通知客戶,並將盡合理努力協助客戶盡可能減輕任何資料外洩事件的不利影響。​​ .​​ 
3.9​​  刪除個人資料。​​   在結束聘用服務後 (不論任何理由),G-P 須在合理可行的情況下,盡快歸還或刪除儲存於 GPP 的客戶資料,除非適用法律規定客戶資料須儲存一段較長時間。 對於此類保留,本 DPA 的規定應繼續適用於此類客戶資料。​​ 
3.10​​  資料當事人要求​​ G-P應及時將資料主體提出的任何關於客戶資料的請求告知客戶。 客戶負責回應此類請求。如果客戶在使用 GPP 時無法存取相關的客戶數據, G-P將合理地協助客戶回應此類資料主體請求。​​  
3.11​​  第三方要求​​ .如果 G-P 收到第三方的任何要求或任何法院、審裁處、監管機構或 G-P 受其管轄的有管轄權的政府機構的命令,與根據本協議處理客戶資料有關,G-P 將立即將該要求轉發給客戶。未經客戶事先授權,G-P 不會回應此類要求,除非法律強制這樣做。除非法律禁止,否則 G-P 在披露任何客戶資料前將事先通知客戶,並將與客戶合理合作,將披露範圍限制在法律要求的範圍內。​​   
3.12​​  資料保護影響評估與事先諮詢​​ .在資料保護法規定的範圍內,G-P 應向客戶提供合理的協助,以進行與 G-P 處理客戶資料相關的資料保護影響評估,和/或與監管機構進行任何必要的事先協商。G-P 保留就提供此類協助向客戶收取合理費用的權利。​​ 
3.13​​  審計。​​   Customer may audit G-P compliance with this DPA and Data Protection Laws by requesting a certificate issued for security verification reflecting the outcome of an audit conducted by a third party auditor (e.g., ISO27001 certification, SOC2 certificate), within twelve (12) months as of the date of Customer’s request. Alternatively, in the event the documentation provided subject to this Section 3.13 is not sufficient for the purpose of demonstrating compliance, the Customer may conduct its own audit in addition to the provided third party certifications or reports, provided that such audit shall be conducted: i) no more than once per each 12 (twelve) months period; ii) during normal business hours and without disrupting G-P’s day-to-day business; iii) with thirty (30) days prior written notice; iv) at the Customer’s sole expense; v) based upon mutually agreed parameters and scope, limited to the specific scope of services, systems in use and/or Processing activities contemplated hereunder; vi) based upon mutually agreed in advance date, subject to reasonable postponement by Customer upon G-P’s reasonable request; and vii) in accordance with all confidentiality obligations and restrictions. Notwithstanding the forgoing, no audit right is granted after termination of the Master Agreement, except for legal obligations that will have to be demonstrated by the Customer. Any third-party representative selected to perform an audit on behalf of Customer must not have an ownership interest in or affiliation with an EOR services company, agency, a related organization or consultant. Nothing in this DPA will require G-P to either disclose to Customer or its third-party auditor, or to allow Customer or its third-party auditor to access: (i) any data of any other G-P’s customer; (ii) G-P’ internal accounting or financial information; (iii) any trade secret of G-P or its affiliates; (iv) any information that, in G-P’ reasonable opinion, could compromise the security of any G-P’s systems or cause any breach of its obligations under applicable law or its security or privacy obligations to any third party; or (v) any information that Customer or its third-party auditor seeks to access for any reason other than the good faith fulfillment of Customer’s obligations under the Data Protection Laws.​​ 
3.14​​  美國隱私權法律。​​  根據本節3 ,雙方同意G-P是“服務提供者”或“處理者”,這些術語的定義見適用的美國隱私法。 因此,如果美國隱私法適用於G-P對客戶資料的處理, G-P不得:(a)在G-P與客戶之間的直接業務關係之外保留、使用或披露任何客戶數據,或用於附件一所列目的之外的任何其他目的,並且G-P僅在向客戶提供服務期間處理客戶數據;(b)共享任客戶數據;(c)共享任客戶資料;(c)何客戶資料;或(d)將GP從客戶處或代表客戶接收的客戶資料與G-P從他人處或代表他人接收的,或從其自身與消費者互動中收集的「個人資料」(該術語或等效術語的定義見適用的資料保護法)合併,但如果合併客戶資料屬於向客戶提供服務的範疇,則G-P可以合併客戶資料。 在適用情況下,任何一方如認定自己無法再履行其在美國隱私權法項下的義務,應通知另一方。​​ 
 

4 。國際資料傳輸​​ 

4.1​​  適當的保護​​ G-P在正常業務過程中被授權向其關聯公司和/或子處理商進行全球範圍內的客戶資料傳輸。 當向相關資料保護機構尚未認定其能夠根據資料保護法為個人資料提供足夠保護水準的地區進行此類資料傳輸時, G-P應確保採取適當的保護措施,以保障根據主協議或與主協議相關的傳輸的客戶資料的安全。​​ 
4.2​​  資料隱私框架。​​  專業人員​​  客戶資料儲存在 GPP 中, G-P託管於美國。 GP 已通過歐盟-美國資料隱私框架 (EU-US DPF) 認證,並在適用情況下通過歐盟-美國資料隱私框架的英國擴展以及瑞士-美國資料隱私框架 (Swiss-US DPF) 認證。 G-P的認證資訊可在DPF網站上公開查詢。​​   。歐盟委員會認為歐盟-美國資料隱私框架是充分的,分別是根據《一般資料保護規範》(GDPR)、英國《一般資料保護規範》(GDPR) 和 FADP 第45條的合法資料傳輸機制。 如果 DPF 框架被認定無效、暫停或不再被認可為對國際化資料傳輸提供充分的保護,則處理者同意簽訂並遵守由歐盟委員會、英國資訊專員辦公室 (ICO) 或瑞士聯邦資料保護和資訊專員 (FDPIC) 簽發或批准的標準合約條款 (SCC)(視情況而定)。 雙方應本著誠意合作,實施任何必要的補充措施,以確保傳輸的資料獲得基本同等的保護水準。​​ 
4.3​​  標準合約條款。​​  雙方同意,當客戶(作為「資料匯出方」)向G-P (作為「資料導入方」)傳輸個人資料屬於受限傳輸,且適用的資料保護法律要求採取適當的保障措施時,此類傳輸應受相應的標準合約條款的約束,這些條款應被視為已納入本資料處理協議並構成其一部分,具體如下:​​ 
一個。對於受《一般資料保護規範》(GDPR) 保護的個人資料的傳輸,應適用歐盟 SCC,並按以下方式填寫:​​ 
i. 適用模組一和模組二;​​ 
ii. 在第7條中,可選的停靠條款將適用;​​ 
iii. 在第二模組第9條中,將適用選項2 ,且子處理者變更的事先通知期限應依照本資料處理協定第3條的規定執行。 5條;​​ 
iv. 在第11條款中,可選語言將不適用;​​ 
v. 根據第12條,根據歐盟標準合約條款提出的任何索賠應受主協議中規定的條款和條件的約束;​​ 
vi. 在第17條中,選擇1 ,歐盟標準合約條款將受愛爾蘭法律管轄;​​ 
vii. 根據第18 (b)條,爭議應由愛爾蘭法院解決;​​ 
八、歐盟標準合約條款附件一應視為已包含本資料處理協議附件1所列資訊;​​ 
九、歐盟標準合約條款附件二應視為已包含本資料處理協議附件2中所列出的資訊;​​ 
x. 歐盟標準合約條款第二模組附件三應視為已包含本資料處理協議附件3中列出的資訊。​​ 
b.對於受英國資料保護法或瑞士資料保護法保護的個人資料傳輸,根據上述第 (a) 款實施的歐盟標準合約條款將適用,但需作以下修改:​​ 
i. 凡提及「(歐盟) 2016 / 679條例」應解釋為提及英國資料保護法或瑞士資料保護法(視情況而定);​​ 
ii. 對「歐盟2016 / 679條例」具體條款的引用應替換為英國資料保護法或瑞士資料保護法(如適用)的相應條款或章節;​​ 
iii. 凡提及“歐盟”、“聯盟”、“成員國”和“成員國法律”之處,應替換為提及“英國”或“瑞士”,或“英國法律”或“瑞士法律”(視情況而定);​​ 
四、「成員國」一詞的解釋不得排除英國或瑞士的資料主體在其慣常居住地(即英國或瑞士)提起訴訟以維護其權利的可能性;​​ 
v. 附件一第13 (a)條及C部分不適用,「主管監管機構」為英國資訊專員或瑞士聯邦資料保護資訊專員(視情況而定);​​ 
六、凡提及「主管監管機構」及「主管法院」之處,應替換為提及「資訊專員」及「英格蘭及威爾斯法院」或「瑞士聯邦資料保護資訊專員」及「瑞士適用法院」(視情況而定);​​ 
七、依第17條,標準合約條款應受英格蘭及威爾斯或瑞士(視情況而定)法律管轄;​​ 
viii. 對於適用英國資料保護法的傳輸,第18條應修改為「因本條款引起的任何爭議應由英格蘭和威爾斯法院解決。資料主體可以向英國境內任何國家的法院對資料出口商和/或資料進口商提起法律訴訟。雙方同意接受此類法院的管轄”,並且對於適用瑞士資料保護法的傳輸,第18條(b)款規定,爭議應由瑞士適用法院解決。​​ 
九、對於受英國《一般資料保護規範》(GDPR)保護的數據,歐盟標準合約條款將按以下方式適用:(i) 根據上文第 (i) 至 (viii) 段的規定完成適用;以及 (ii) 視為已按照英國附錄第2部分的規定進行修訂,該附錄應視為已納入本資料處理協議並構成其不可分割的一部分。 此外,英國附錄第1部分中的表1至3應分別填入本 DPA 附件 I 和附件 II 中列出的信息,英國附錄第1部分中的表4應視為通過選擇“雙方均不”而填入。​​ 
c.對於受巴西《通用資料保護法》(LGPD)保護的個人數據,無論是直接傳輸還是透過後續傳輸,傳輸至巴西境外且未獲得巴西國家資料保護局(ANPD)充分性決定的國家,巴西標準合約條款(SCC)將被視為已訂立,並透過此引用併入本資料處理協議(DPA),並按如下方式完成:​​ 
i. 巴西標準合約條款第2條已透過附件一描述資料傳輸的資訊滿足;​​ 
二、在巴西標準合約條款3中,應適用選項 B,並允許根據本資料處理協議第3條、 5 (「子處理者」)進行後續傳輸。本資料保護協議附件一規定了處理的主題、性質和期限;​​ 
三、本DPA附件一所列資訊符合巴西標準合約條款4的要求。如果G-P是控制者,則它將是巴西標準合約條款中定義的“指定方”,並且就巴西標準合約條款第14條(透明度)、第15條(資料主體權利)和第16條(事件報告)而言,它是指定方。 客戶仍需負責遵守巴西標準合約條款第14條(透明度)、第15條(資料主體權利)和第16條(事件報告)的規定,以處理其可能作為控制者的任何個人資料;​​ 
四、在巴西標準合約條款第9條中,可選的對接條款將不適用;​​ 
v. 巴西標準合約條款第三部分(安全措施)將被視為已包含本資料處理協議附件二中規定的資訊。​​ 
4.4​​  意外資料傳輸​​ 如果在提供服務的過程中,任何一方發現發生或可能發生個人資料傳輸,而該傳輸尚未透過本資料處理協議第4 、 1至4 、 3節規定的機制予以處理,則雙方應立即相互通知,並本著誠信原則合作,在不無故拖延的情況下實施適用資料保護法律要求的額外傳輸機製或可能要求的額外傳輸。在雙方商定並落實適當的機制之前,任何一方均無義務進行任何此類不可預見的轉讓。​​ 
 

附件一​​  

資料處理說明​​ 
獨立控制人 - 控制人關係詳情​​ 
(本節涉及各方作為資料控制者之間共享的個人資料的詳細資訊)​​ 
締約方​​ 
資料匯出者:執行主協議的客戶實體​​ 
資料導入方:Globalization Partners LLC。​​ 
各方聯絡資訊​​ 
主協議中列明的詳細聯絡資訊。​​ 
與轉移資料相關的活動​​ 
與雇主服務相關的活動。​​ 
角色​​ 
資料導出器:控制器。​​ 
資料導入器:控制器。​​ 
加工活動​​ 
所處理/傳輸的個人資料可能受到以下處理活動的影響:對個人資料進行的任何操作,無論採用何種方式和程序,特別是資料的收集、組織、儲存、持有、使用、檢索、查閱、存檔、傳輸、阻止、刪除或銷毀,系統的運作和維護,合規、法律和稽核職能。​​ 
處理期限​​ 
主協議期限屆滿後,將持續有效。​​ 
處理的性質與目的​​ 
客戶可將客戶資料傳輸給G-P ,傳輸範圍由客戶自行決定和控制。 處理的目的是根據主協議提供名義雇主服務。​​ 
資料主體類別​​ 
專業人士。​​ 
個人資料類型​​ 
聯絡方式(可能包括姓名、地址、電子郵件地址、電話、傳真、緊急聯絡人資訊以及相關的當地時區資訊)。​​ 
就業詳情(可能包括教育、個人簡介、職位名稱、等級、人口統計資料、地點資料、國籍和出口合規狀況、薪資、獎金)。​​ 
資料主體的電子郵件內容。​​ 
向資料主體提供或為資料主體利益提供的服務詳情。​​ 
特殊類別資料(如適用)​​  
不適用​​ 
留任​​ 
個人資料的保留期限至少為任何適用法律規定的最短保留期限,符合適用的限制法規,並符合良好的商業實務。​​ 
主管監督機構​​ 
主管監管機構應根據適用的資料保護法來確定,包括: 愛爾蘭資料保護委員會(適用於歐盟《一般資料保護規範》(GDPR));瑞士聯邦資料保護和資訊專員/FDPIC(瑞士 FADP);英國資訊專員辦公室/ICO(英國《一般資料保護規範》(GDPR));以及 Autoridade Nacional de Proteção de ITPD / /A)。​​ 
轉移給次處理者​​  
對於轉移給處理者,處理的主題、性質和期限與上述定義相同。​​ 
G-P 隱私權聯絡資訊​​  
 
收件人:全球隱私辦公室。​​  
 
 
 
控制器-處理者關係詳情​​ 
(本節涉及G-P代表客戶處理的個人資料詳情)​​ 
締約方​​ 
資料匯出者:執行主協議的客戶實體​​ 
資料導入方:Globalization Partners LLC。​​ 
各方聯絡資訊​​ 
主協議中列明的詳細聯絡資訊。​​ 
與轉移資料相關的活動​​ 
與名義雇主服務相關的活動,以及作為服務提供給客戶的 GPP 的使用。​​ 
角色​​ 
資料導出器:控制器​​ 
資料導入器:處理器​​ 
加工活動​​ 
所處理/轉移的個人資料可能會受到下列處理活動的影響:與個人資料有關的任何操作,不論所使用的方式和程序為何,特別是資料的收集、組織、儲存、持有、使用、檢索、諮詢、存檔、傳輸、封鎖、刪除或銷毀,系統的操作和維護,合規、法律和審計功能。​​ 
處理期限​​ 
主協議期限屆滿後,將持續有效。​​ 
處理的性質與目的​​ 
客戶可將客戶資料傳輸給G-P ,傳輸範圍由客戶自行決定和控制。 處理的目的是根據主協議向客戶提供 GPP 服務。​​ 
資料主體類別​​ 
GPP 的授權使用者可能包括客戶的員工和/或承包商。​​ 
個人資料類型​​ 
詳細聯絡資訊(如電話號碼和電子郵件)。​​ 
員工 / 承包商資料 (例如工作職稱和公司名稱)。​​ 
使用資料 (例如授權使用者裝置的相關資料,以及該裝置與 GPP 的互動方式)。​​ 
位置資料 (例如從 IP 位址得出的位置)。​​ 
內容資料(如客戶檔案中有關專業人士及相關通訊的內容)。​​ 
憑證 (例如密碼、密碼提示以及用於認證和帳戶存取 GPP 的類似安全資訊)。​​ 
授權使用者提供的任何個人資料。​​ 
特殊類別資料(如適用)​​  
不適用​​ 
留任​​ 
個人資料的保留期限至少為任何適用法律規定的最短保留期限,符合適用的限制法規,並符合良好的商業實務。​​ 
主管監督機構​​ 
主管監管機構應根據適用的資料保護法來確定,包括: 愛爾蘭資料保護委員會(適用於歐盟《一般資料保護規範》(GDPR));瑞士聯邦資料保護和資訊專員/FDPIC(瑞士 FADP);英國資訊專員辦公室/ICO(英國《一般資料保護規範》(GDPR));以及 Autoridade Nacional de Proteção de ITPD / /A)。​​ 
轉移給次處理者​​  
對於轉移給處理者,處理的主題、性質和期限與上述定義相同。​​ 
G-P 隱私權聯絡資訊​​  
 
收件人:全球隱私辦公室。​​  
 

附件二​​ 

技術與組織措施​​ 

G-P已通過獨立審核員的認證和證明,確認符合 SOC 2和 ISO 27001標準。 這些認證顯示我們致力於保護客戶資料。G-P的安全計畫旨在:​​ 

保護G-P所擁有或G-P可以存取的客戶資料的機密性、完整性和可用性;​​ 

保護客戶資料的機密性、完整性和可用性免受任何預期的威脅或危害;​​ 

防止未經授權或非法存取、使用、披露、變更或銷毀客戶資料;​​ 

防止客戶資料意外遺失、損毀或損壞;​​ 

保護 G-P 可能受到管制的任何法規所規定的資訊。​​ 

以下描述了 G-P 為確保客戶資料處理的安全性而採取的功能、流程、控制、系統、程序和措施:​​ 

1 )確保資料隱私和保護的技術措施​​ 

隱私設計和預設設定:​​ 

G-P在產品開發的構思和開發階段就考慮了《一般資料保護規範》(GDPR) 第25條的要求。 流程和功能的設定方式使得資料保護原則(如合法性、透明度、目的限制、資料最小化等)以及處理安全性在早期階段就被考慮。​​ 

b)個人資料加密:​​ 

確保個人資料僅以不允許第三方識別資料主體的方式儲存在系統中。​​ 

資料庫和儲存加密:​​ 

G-P所使用的所有資料庫均採用最先進的「靜態」加密技術,因此只有在對應的資料庫系統上進行適當的驗證後才能讀取資料庫中的資料。​​ 

行動數據媒體加密:​​ 

不允許使用行動數據業者儲存乘客資料。​​ 

筆記型電腦資料載體的加密:​​ 

所有員工的筆記型電腦都安裝了最先進的硬碟加密軟體。​​ 

資訊和文件的加密交換:​​ 

原則上,資訊和文件的交換是透過特殊的加密方式直接加密的。 如果必須將個人資料或機密資訊傳輸到無法透過 TLS 加密的 HTTPS 上傳傳送的伺服器,則將根據現有技術使用安全文件傳輸協定 (SFTP)、加密信封服務或其他加密機制進行傳輸。​​ 

電子郵件加密:​​ 

原則上, G-P員工發送的所有電子郵件都使用TLS加密。 如果接收郵件伺服器不支援 TLS,則可能會發生例外情況。客戶應確保訂單範圍內使用的相應郵件伺服器支援 TLS 加密。​​ 

c)入學控制​​ 

存取控制的目的是防止未經授權的人員使用和處理受資料保護法保護的資料。​​ 

使用身份驗證方法​​ 

存取個人資料始終透過加密協定進行:SSH、SSL/TLS、HTTPS 或類似協定。IT系統驗證程序:IT系統多因素身份驗證登入。​​ 

如果長時間不活動,則自動阻止訪問​​ 

G-P員工使用的筆記型電腦在使用者不使用時會透過密碼或PIN碼進行鎖定。 此外,如果螢幕在15分鐘內沒有活動,則會自動啟用密碼保護的螢幕鎖定功能。​​ 

使用防毒軟體​​ 

G-P員工使用的筆記型電腦配備了最先進的防毒軟體,所有營運或業務IT系統均保持最新狀態。 原則上,任何電腦都必須安裝駐留病毒防護軟體才能運行,除非採取了其他同等先進的安全措施,或者不存在風險。不得停用或規避預設安全設定。​​ 

“桌面清潔政策”​​ 

G-P的員工被指示不得列印或本地儲存資料主體的個人數據,不得將工作材料留在第三方可能看到的地方,並妥善保管所有工作資料。 G-P依法必須保存紙本文件的文件都存放在上鎖的櫃子裡。​​ 

d)平台內的存取控制​​ 

存取控制確保只有獲得授權使用處理系統的人員才能存取其存取授權範圍內的個人資料。​​ 

角色與授權​​ 

角色和授權平台 – 客戶存取 客戶使用者可以查看和編輯客戶帳戶資訊。​​ 

角色和授權平台 – 專業存取權限 專業使用者可以檢視和編輯自己的專業資訊。​​ 

專業人員也可根據需要並透過審核取得客戶存取權限。​​ 

角色和授權平台 – 內部訪問​​ 

內部存取用戶角色各異。他們擁有不同的權限來創建、查看、編輯和批准以下內容:​​ 

客戶資訊​​ 

帳單資訊​​ 

合作夥伴資訊​​ 

專業人事記錄資訊​​ 

一般而言,只有在顧客支援和產品開發領域受過訓練的員工才能存取管理系統。​​ 

e)防火牆即服務​​ 

G-P使用外部防火牆作為一項服務,允許其授予或阻止對網站的訪問,以確保系統無法存取惡意內容並限制對不當內容的存取。​​ 

f)平台登入記錄​​ 

G-P會保留所有登入活動的記錄。​​ 

g)可分離性​​ 

確保為不同目的收集的個人資料可以分開處理,並與其他資料和系統分開,從而排除將這些資料用於其他目的的非計劃使用。​​ 

開發、測試和運行環境的分離​​ 

只有在傳輸前對運行環境中的資料進行完全匿名化處理後,才能將其傳輸到測試或開發環境。匿名化資料的傳輸必須加密或透過可信任網路進行。​​ 

要轉移到運作環境的軟體必須先在相同的測試環境(「預發布環境」)中進行測試。只有在無法避免的情況下,才能在作業系統環境中使用錯誤分析程式或軟體建立/編譯程式。如果錯誤情況取決於傳輸到測試環境時需要匿名化而導致資料被篡改,則尤其如此。​​ 

網路中的分離​​ 

G-P根據任務劃分其網路。 以下網路將長期使用:運作環境(「生產」)、測試環境(「預發布」、「沙箱」)、開發環境(「開發」)、辦公室 IT 人員。除了這些網路之外,還會根據需要建立其他獨立的網絡,例如用於恢復測試和滲透測試。根據技術條件,網路可以透過實體方式或虛擬網路進行隔離。​​ 

h)可用性控制​​ 

G-P採取以下措施,以確保個人資料免於意外銷毀或遺失。​​ 

資料保護程序/備份​​ 

為確保足夠的可用性, G-P對其資料庫實施每日快照,並將資料複製到不同的區域。 此外,還採取了措施,確保因工作需求而必須查閱資料的員工只能存取副本資料集。​​ 

生產資料和備份伺服器基礎架構的地理備援​​ 

IT事件管理(「事件回應管理」)​​ 

針對事故和安全相關事件,已有相應的概念和書面程序進行處理。這包括制定應對事件的計畫和準備方案,制定監控、偵測和分析安全相關事件的程序,以及在法律要求框架內,確定違反個人資料保護規定的相應責任和通報管道。​​ 

2 )確保資料隱私和保護的組織措施​​ 

G-P 已採取下列組織措施,以確保組織的營運方式符合資料隱私權和保護要求。​​ 

a)組織章程​​ 

G-P已經制定並正在製定資料治理計劃,其中包括供員工遵循的政策、程序和指南。 文件內容包括如何識別和管理資料隱私問題、確保隱私合規性的最佳實踐以及處理隱私事件的政策。​​ 

b)承諾保密與資料保護​​ 

G-P已經制定並正在製定資料治理計劃,其中包括供員工遵循的政策、程序和指南。 所有員工和承包商均以書面形式承諾遵守保密和資料保護以及其他相關法律。所有員工均接受隱私和安全培訓。本公司定期進行資料保護和資訊安全的內部稽核。審計工作是根據通用的測試標準/方案進行的。G-P的員工和承包商被指示僅出於合法原因處理個人數據,並遵守與患者和專業人士簽訂的適用合同,同時適當考慮數據主體給予或拒絕的任何明確同意,並遵守組織的任何合法義務。​​ 

c)資料保護培訓​​ 

所有員工均接受隱私和安全培訓,培訓內容可隨時在G-P培訓平台上查閱。​​ 

d)實體存取控制​​ 

G-P已採取以下實體控制措施,以阻止未經授權的人員存取用於處理的 IT 系統裝置。​​ 

電子門禁系統​​ 

全G-P診所的入口大門始終上鎖並設有電子安全裝置。 門是透過個人電子應答器打開的。​​ 

金鑰的受控分發​​ 

G-P公司會集中、有記錄地向員工分配鑰匙。 這些電子應答器/鑰匙可以由各辦公室經理或人力資源部門集中停用。​​ 

對外部人員的監督與陪同​​ 

外部服務提供者和其他第三方只有在事先獲得授權或由G-P的員工陪同的情況下才能進入場所。 G-P在邀請訪客到訪診所時,會執行其書面訪客政策。​​ 

隨著防護需求的增加,加強場所安全保障​​ 

對於法律辦公室和某些營運場所等具有更高安全要求的場所或櫃子,都配備了帶鎖的櫃子和抽屜。存放法律文件、合約和機密文件的櫃子和抽屜,除使用時外,應始終上鎖。​​ 

緊閉的門窗​​ 

公司規定員工在辦公時間以外要關閉或鎖好門窗。​​ 

e)可回收性​​ 

G-P確保正在使用的系統在發生實體或技術故障時能夠恢復。​​ 

定期進行資料恢復測試(「恢復測試」)​​ 

定期進行全面恢復測試,以確保在發生緊急情況/災難時能夠恢復系統。​​ 

緊急應變計畫(「災難復原概念」)​​ 

針對緊急情況/災害的處理,有相應的概念和緊急應變計畫。G-P確保所有系統都能根據資料備份/備份進行恢復,通常在48小時內完成。​​ 

審查和評估措施​​ 

介紹定期檢視、評估和評估技術和組織措施有效性的程序。​​ 

f)隱私團隊​​ 

該組織設有全球資料隱私辦公室,負責規劃、實施、評估和調整資料保護領域的措施。​​ 

g)風險管理​​ 

存在一套分析、評估和分配風險以及根據這些風險制定措施的流程。​​ 

3 )資訊安全獨立審查​​ 

審計執行情況​​ 

本公司定期進行資料保護和資訊安全的內部稽核。審計工作是根據通用的測試標準/方案進行的。​​ 

b)安全策略和標準遵守情況審查​​ 

我們會定期檢查是否遵守適用的安全準則、標準和其他個人資料處理安全要求。在條件允許的情況下,這些檢查會以隨機和出其不意的方式進行。​​ 

c)驗證是否符合技術規範​​ 

IT 部門或其他合格人員會定期執行自動和手動漏洞掃描,以驗證應用程式和基礎架構的安全性,並定期進行產品開發。由外部服務提供者進行詳細的滲透測試,專門檢查應用程式和基礎架構是否有漏洞。​​ 

d)指令處理​​ 

G-P的員工被指示僅出於合法原因處理個人數據,並遵守與患者和專業人士簽訂的適用合同,同時適當考慮數據主體給予或拒絕的任何明確同意,並遵守組織的任何合法義務。​​ 

e)謹慎選擇供應商​​ 

G-P在選擇可能接觸受保護資料的供應商時,會嚴格遵守其供應商資格預審流程。 該流程包括財務和法律/隱私部門的回饋,並包含風險評估、安全預審和文件認證步驟。處理受保護資料的供應商必須證明其遵守適用的資料隱私法律,包括《一般資料保護規範》(GDPR) 第28條關於受保護資料的規定。​​ 

附件三​​ 

子處理器清單​​ 
次處理器​​ 
地點與聯絡資訊​​ 
加工說明​​ 
3933 Lake Washington Blvd NE #350, Kirkland, WA98033, 美國​​ 
金融服務​​ 
P.O.盒子81226​​ 
西雅圖, WA98108-1226, 美國​​ 
寄存 - 雲端服務供應商​​ 
Microsoft Corporation One Microsoft Way​​ 
Redmond, Washington98052 USA 電話: (+1)425-882-8080.​​ 
通訊(電子郵件)和服務管理的業務流程支援​​ 
350 布希街樓層13​​ 
San Francisco, CA94104, 美國​​ 
+1 415 701 1110​​ 
服務管理的業務流程支援​​ 
DocuSign International (EMEA) Ltd, Attention:Privacy Team,5 Hanover Quay, Ground Floor, Dublin2, Republic of Ireland​​ 
文件管理​​ 
Salesforce Tower,415 Mission Street,3rd Floor, San Francisco, CA94105, USA​​ 
1 - 800 - 387 - 3285​​ 
客戶關係管理 (CRM) 的業務流程支援​​ 
989 市場街​​ 
San Francisco, CA94103, 美國​​ 
888-670-4887​​ 
服務台查詢顧客支援​​ 
2225勞森巷,聖克拉拉,加州, 95054​​ 
美國​​ 
透過業務流程支援 IT 服務和營運管理,員工和顧客體驗(​​ 自動化雲端工作流程​​ 
160斯皮爾街, 15樓,舊金山,加州94105 1 - 866 - 330 - 0121​​ 
美國​​ 
雲端資料倉庫基礎架構。​​ 
620 8th​​  大道45​​ th​​  地面​​ 
紐約10018​​ 
美國​​ 
服務監控與除錯工具​​ 
Avenue Louise54, Room s52 、​​ 
1050 布魯塞爾​​ 
比利時​​ 
線上付款處理器​​ 
1600 Amphitheatre Pkwy, Mountain View, CA94043​​ 
業務流程支持,包括通訊(電子郵件)和內部文件存儲​​