Version 2.3

2025-05-01

CGI skyddar de Personuppgifter som vi hanterar och arbetar nära sina kunder och Tredjepartsleverantörer för att hantera utmaningarna i det föränderliga regelverket för dataskydd.

Vi upprätthåller denna Integritetspolicy som beskriver våra integritetsprinciper, standarder och praxis och hur vi skyddar alla Personuppgifter som en del av vår verksamhet, oavsett om vi Behandlar Personuppgifter för våra egna syften eller för våra kunders behov.

Begrepp med stor bokstav definieras i Bilaga 1.

Principer

Som en global IT- och affärskonsultorganisation har CGI åtagit sig att upprätthålla skyddsnivåer för Personuppgifter som är i linje med bästa praxis, tillämplig dataskyddslagstiftning och CGI:s avtalsförpliktelser.

CGI samlar in och/eller använder Personuppgifter för sina egna behov.

CGI kan också hantera Personuppgifter för en kunds räkning och enligt instruktioner från en kund, inklusive de tekniska och organisatoriska åtgärder som krävs för att förhindra oavsiktlig eller olaglig förstörelse, förlust, ändring, utlämnande eller åtkomst till Personuppgifterna. Alla åtaganden avseende dessa ansvarsområden och åtgärder måste uttryckligen återspeglas i alla avtal som ingås mellan CGI och våra kunder.

CGI:s värdeerbjudande inkluderar dataskydd och förebyggande av datariskexponering. CGI vägleder och hjälper sina kunder med hur de ska hantera och skydda sina Personuppgifter för att uppfylla kraven på efterlevnad. Efter instruktioner från en kund kommer CGI att implementera effektiva säkerhetsåtgärder för att skydda Personuppgifterna och avvärja dataintrång.

Omfattning och efterlevnad

Denna Integritetspolicy utgör en integrerad del av CGI Management Foundation och är bindande för alla CGI:s juridiska personer och anställda (”CGI Partners”) oavsett var de befinner sig, samt för tredjepartsleverantörer som anlitas av CGI. I den utsträckning som tillåts enligt lag kan brott mot denna Integritetspolicy leda till administrativa och/eller disciplinära åtgärder från CGI:s sida (inklusive monetära sanktioner, avstängning eller uppsägning).

CGI Partners erkänner dessa krav och bekräftar årligen att de accepterar denna Integritetspolicy som en del av sitt åtagande att följa Code of Ethics. Utöver denna Integritetspolicy måste CGI Partners också följa andra tillämpliga skyldigheter avseende sekretess och integritet, inklusive de som anges i Tillämplig Dataskyddslagstiftning, deras anställningsavtal, CGI:s Management Foundation och/eller kundinstruktioner.

Alla Tredjepartsleverantörer som Behandlar Personuppgifter för CGI:s räkning är skyldiga att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa efterlevnad av principerna och kraven i denna Integritetspolicy. När CGI Behandlar Personuppgifter för en kunds räkning måste eventuella avtalsenliga åtaganden eller andra skyldigheter som CGI har gentemot sin kund föras vidare till alla anlitade Tredjepartsleverantörer. Varje åtagande eller skyldighet måste uttryckligen återspeglas i avtal som ingås mellan CGI och Tredjepartsleverantörer.

Vilka kategorier av Personuppgifter Behandlar CGI inom ramen för sin verksamhet?

Med förbehåll för Tillämplig Dataskyddslagstiftning kan CGI och eventuella Tredjepartsleverantörer komma att Behandla följande icke uttömmande lista över kategorier av Personuppgifter:

  • Demografi & Privatlivsinformation (t.ex. ålder, kön, fysiska egenskaper, födelsedatum, hemadress, civilstånd, medlemskap, preferenser, intressen)
  • Plats, inloggning, trafik och spårning (t.ex. IP-adress, webbläsarens fingeravtryck, loggar)
  • Ekonomiska och finansiella uppgifter (t.ex. kontonummer, finansiell hälsa, aktier, skattestatus, lön, finansiella transaktioner)
  • Känsliga Personuppgifter (t.ex. personnummer, biometri, hälsoinformation)
  • Identitets- och kontaktinformation (t.ex. namn, e-postadress, telefonnummer, foto, nationalitet, ID- och passnummer)
  • Information om yrkesliv och affärsverksamhet (t.ex. arbetsgivare, avdelning, jobbtitel, anställningshistorik, framträdanden, intervjuer, examina och certifieringar, fakturerings- och leveransadress)

Dessa kategorier av Personuppgifter avser följande icke uttömmande lista över individer:

  • Anställningskandidater, praktikanter och studenter,
  • CGI Partners och tidigare anställda, och deras släktingar,
  • Kundernas anställda och tidigare anställda, och deras släktingar,
  • Klienters patienter, kunder eller medborgare,
  • Potentiella kunders anställda och kunder,
  • Besökare av CGI:s webbplatser,
  • Aktieägare,
  • Tredjepartsleverantörers anställda och frilansare.

Mer detaljerad information finns tillgänglig i de relevanta integritetsmeddelandena.

Med vem delar CGI dina Personuppgifter?

Som en del av sin verksamhet kan CGI komma att lämna ut Personuppgifter till CGI:s Legala enheter, kunder och prospekt, Tredjepartsleverantörer och/eller andra tredje parter (inklusive banker och finansiella rådgivare, externa rådgivare och revisorer), samt administrativa, rättsliga eller statliga myndigheter, statliga organ eller offentliga organ i enlighet med Tillämplig Dataskyddslagstiftning.

Hur skyddar CGI Behandlade Personuppgifter för sina egna behov?

CGI är ansvarigt för att skydda alla Personuppgifter som hanteras som en del av dess verksamhet.

Som ett resultat av detta följer CGI Partners följande grundläggande principer:

  • 01 Laglighet, korrekthet och öppenhet
    Personuppgifter Behandlas lagligt, rättvist och på ett transparent sätt i förhållande till individen, i enlighet med kraven i denna Integritetspolicy. CGI tillhandahåller detaljerad information om Behandlingen till relevanta individer, i ett lättförståeligt och tillgängligt format, genom integritetsmeddelanden.
  • 02 Ändamålsbegränsning
    All Behandling av Personuppgifter föregås av identifiering av det specifika syftet med sådan Behandling, vilket måste vara uttryckligt och legitimt och i linje med vad som rimligen kan förväntas av en individ.
  • 03 Uppgiftsminimering
    Personuppgifter samlas in och används endast i den utsträckning som krävs för att uppnå det syfte för vilket de Behandlas. Personuppgifter måste vara adekvata, relevanta och begränsade till vad som är absolut nödvändigt i förhållande till ett sådant syfte.
  • 04 Riktighet
    Insamlade Personuppgifter måste vara korrekta och uppdaterade. Rimliga åtgärder måste vidtas för att säkerställa att alla felaktiga Personuppgifter raderas eller korrigeras utan dröjsmål, inklusive genom självbetjäningsalternativ för individer. Lämpliga medel måste tillhandahållas för att individer ska kunna informera CGI om eventuella ändringar av deras Personuppgifter.
  • 05 Lagringsminimering
    Personuppgifter får inte lagras under längre tid än vad som är absolut nödvändigt för att uppnå det syfte för vilket de samlades in. Följaktligen måste CGI fastställa den nödvändiga datalagringsperioden i enlighet med CGI Records Retention Schedule och Tillämplig Dataskyddslagstiftning.
  • 06 Integritet och konfidentialitet
    Lämpliga tekniska och organisatoriska åtgärder, som föreskrivs i CGI:s Enterprise Security Management Framework (ESMF), måste implementeras för att skydda mot olaglig åtkomst och/eller Behandling av Personuppgifter.

På vilken rättslig grund Behandlar CGI Personuppgifter för sina egna behov?

Vanligtvis kan CGI Behandla Personuppgifter under följande omständigheter:

  • När CGI behöver uppfylla en rättslig förpliktelse.
  • När det är nödvändigt för att fullgöra ett avtal med en enskild person.
  • När CGI har ett berättigat intresse av att göra det som en del av sin verksamhet.

Det kan finnas vissa tillfällen då det blir nödvändigt för CGI att Behandla Personuppgifter för att skydda enskildas intressen eller med föregående samtycke från den enskilde.

Känsliga Personuppgifter som Behandlas för CGI:s egna behov

CGI kommer inte att Behandla Känsliga Personuppgifter om inte något av följande villkor är uppfyllt:

  1. Individen har gett sitt samtycke i förväg, eller
  2. Behandlingen är nödvändig för att CGI eller den enskilde ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom ramen för arbetsrätten, socialförsäkringslagstiftningen och lagstiftningen om socialt skydd, eller
  3. Om den enskilde inte kan ge sitt samtycke (t.ex. av medicinska skäl) är Behandlingen nödvändig för att skydda den enskildes eller någon annan persons vitala intressen, eller
  4. Behandlingen krävs i samband med förebyggande medicin eller medicinsk diagnos av hälso- och sjukvårdspersonal enligt Lokal Lagstiftning, eller
  5. Den enskilde har redan på ett uppenbart sätt offentliggjort de relevanta Känsliga Personuppgifterna, eller
  6. Behandlingen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk, såvida inte den enskilde har ett övervägande berättigat intresse av att se till att sådana Känsliga Personuppgifter inte behandlas, eller
  7. Behandlingen är uttryckligen tillåten enligt Lokal Lagstiftning.

Hur skyddar CGI kunders Personuppgifter?

När CGI Behandlar kunders Personuppgifter säkerställer CGI att Personuppgifterna Behandlas för kundens enda uttalade ändamål och enligt kundens skriftliga instruktioner, inklusive avseende varaktighet, som anges i de villkor som överenskommits mellan CGI och kunden.

Kunden förblir ensam ansvarig för att säkerställa att det finns en giltig rättslig grund för den Behandling som CGI utför och att de instruktioner som ges till CGI avseende Behandlingen överensstämmer med Tillämplig Dataskyddslagstiftning, inklusive den lagringstid som ska tillämpas. CGI kommer dock att omedelbart informera kunden om CGI anser att sådana instruktioner strider mot Tillämplig Dataskyddslagstiftning.

Om inte annat anges av kunden, kommer CGI att tillämpa (som ett minimum) CGI:s security baseline som föreskrivs i CGI:s Enterprise Security Management Framework (ESMF). Varje avvikelse från denna baslinje kräver relevanta riskgranskningar och godkännande av CGI:s integritets- och säkerhetsteam i enlighet med CGI:s Management Foundation.

CGI kommer, med förbehåll för finansiella, tekniska och organisatoriska villkor som skriftligen överenskommits, att tillhandahålla rimlig assistans till kunden för att stödja den i att fullgöra sina skyldigheter enligt Tillämplig Dataskyddslagstiftning.

Inbyggt dataskydd och dataskydd som standard

För att säkerställa att de principer som definieras i denna Integritetspolicy beaktas på ett effektivt sätt när CGI Behandlar Personuppgifter, kommer CGI att identifiera och adressera dataskyddsbegränsningar i början av varje nytt internt projekt eller kunderbjudande så att de principer som finns häri återspeglas i utformningen av projektet och implementeras på lämpligt sätt. CGI har därför implementerat granskningsprocesser för dataskydd och säkerhet, samt en Privacy by Design Code of Practice och flera ramverk (t.ex. Responsible Use of Data, Responsible Use of Artificial Intelligence and Responsible Use of Cloud Technology) som är tillämpliga på alla interna CGI-projekt och kunderbjudanden som involverar Behandling av Personuppgifter och som hjälper varje relevant CGI Partner att analysera och hantera dataskyddsrisker.

I enlighet med Tillämplig Dataskyddslagstiftning kommer CGI att genomföra en konsekvensbedömning av dataskydd för alla CGI:s interna projekt där behandlingen av Personuppgifter sannolikt kommer att leda till en hög risk för enskilda personers rättigheter och friheter och fastställa eventuella korrigerande åtgärder som ska genomföras för att säkerställa att riskerna minskas.

CGI:s integritetsorganisation granskar och godkänner integritetsaspekterna av förslag och/eller tjänster som utvecklats för kunder, liksom av alla CGI:s immateriella rättigheter eller nya interna projekt, enligt definitionen i CGI:s Management Foundation. Den CGI Partner som är ansvarig för lösningen, tjänsten och/eller projektet behåller bevis på överensstämmelse med CGI integritetsorganisationens godkännandekrav.

Vilka är individers rättigheter och hur kan de utövas?

Enskildas rättigheter över sina Personuppgifter skiljer sig åt mellan länder. CGI agerar i enlighet med Tillämplig Dataskyddslagstiftning

Beroende på jurisdiktion kan Tillämplig Dataskyddslagstiftning ge individer följande rättigheter:

  • Ha tillgång till sina Personuppgifter och information om hur de Behandlas,
  • Begära rättelse eller radering av eventuella felaktiga eller ofullständiga Personuppgifter som rör dem,
  • Återkalla samtycke eller invända på legitima grunder mot Behandlingen av deras Personuppgifter, såvida inte sådan Behandling är ålagd enligt lag,
  • Begära begränsningar av behandlingen om Personuppgifterna inte längre är korrekta eller nödvändiga, eller om Behandlingen är olaglig,
  • Inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering, som har rättsliga följder för dem eller på liknande sätt i betydande grad påverkar enskilda personer,
  • Få sina Personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format, och
  • Utse en person som ska utöva deras rättigheter vid deras död eller oförmåga.

Personer som vill utöva dessa rättigheter och/eller få information om Behandlingen av sina Personuppgifter kan skicka en begäran enligt vad som anges i avsnittet "Frågor och rättsmedel" nedan.

När CGI Behandlar Personuppgifter för sina egna behov: CGI meddelar varje rättelse eller radering av Personuppgifter eller begränsning av Behandling som utförs i enlighet med Tillämplig Dataskyddslagstiftning till varje mottagare till vilken Personuppgifterna har lämnats ut, om inte detta visar sig omöjligt eller innebär en oproportionerlig ansträngning. CGI säkerställer att begäran hanteras utan onödigt dröjsmål i enlighet med CGI:s process för sådan begäran.

När CGI Behandlar kunders Personuppgifter: Om CGI tar emot ett klagomål eller en begäran från enskilda personer som vill utöva sina rättigheter, kommer CGI omgående att kommunicera all relevant information till kunden och uttryckligen ange för den enskilde att det är kundens ansvar att hantera ett sådant klagomål eller en sådan begäran. CGI är endast ansvarig för att hantera klagomål eller begäran i enlighet med kundens instruktioner.

Hur hanterar CGI Personuppgiftsincidenter?

CGI har en mogen, standardbaserad process för hantering av säkerhetsincidenter som är utformad för att hantera alla faser av en säkerhetsincident, inklusive incidenter med integritetspåverkan. CGI Partners ansvarsområden är tydligt definierade på alla nivåer. Standarder för bedömning och prioritering av incidenter följs för att säkerställa lämpliga engagemangsnivåer och snabb lösning.

Incidentregister upprätthålls och rapporteras till CGI:s högsta ledning efter behov. Alla incidenter hanteras genom CGI:s 24x7 Global Security Operations Centre (SOC), där högutbildade, heltidsanställda incidenthanterare samordnar insatserna. CGI:s integritetsorganisation är omedelbart engagerad i incidenthanteringsprocessen närhelst Personuppgifter misstänks eller är kända för att vara inblandade.

Om CGI rimligen tror att en säkerhetsöverträdelse som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt avslöjande av eller tillgång till Personuppgifter som överförts, lagrats eller på annat sätt Behandlats har inträffat, kommer CGI att tillhandahålla säkerhetsincidentmeddelande och statusuppdateringar till relevant Dataskyddsmyndighet, individer och/eller kunder (beroende på vad som är tillämpligt), i enlighet med Tillämplig Dataskyddslagstiftning, samt CGI:s Management Foundation.

På samma sätt, i händelse av att en Personuppgiftsincident identifieras av en Tredjepartsleverantör som anlitas av CGI, måste Tredjepartsleverantören informera CGI enligt vad som överenskommits i det relevanta avtalet och i enlighet med Tillämplig Dataskyddslagstiftning.

Kommunikation och utbildning

CGI främjar kontinuerligt en dataskyddskultur inom sin organisation. CGI implementerar ett årligt utbildningsprogram för dataskydd, som regelbundet uppdateras för att återspegla tekniska och lagstiftningsmässiga förändringar. Sådan utbildning är obligatorisk för alla CGI-partners, underleverantörer och frilansare. Alla CGI-ledare måste se till att de CGI Partners som rapporterar till dem genomgår utbildningen.

Rollspecifika utbildningar anpassade till olika funktioner inom organisationen och säkerhetsutbildningar finns också tillgängliga på CGI:s lärplattform.

Ytterligare information till CGI Partners kan också tillhandahållas genom flera kanaler, inklusive riktade integritetsgenomgångar, webbseminarier, individuella möten, nyhetsbrev, "Know How"- sessioner, säkerhetskampanjer och global årlig kommunikation i samband med Internationella Dataskyddsdagen.

Dessa ger CGI Partners medvetenhet om de grundläggande principerna i denna Integritetspolicy och tillhörande bästa praxis för att skydda CGI och dess intressenter mot obehörig åtkomst och felaktig hantering av Personuppgifter.

Granskning

CGI integrerar i sitt affärsomfattande interna revisionsprogram en granskning av sin efterlevnad av denna Integritetspolicy. Det interna revisionsprogrammet definierar:

  • Ett schema enligt vilket revisioner kommer att genomföras
  • Revisionens förväntade omfattning, och
  • Det team som ansvarar för revisionen.

Det affärsomfattande internrevisionsprogrammet omfattar verifiering på leverans-, funktions- och koncernnivå. Revisionsprogrammen kan revideras på regelbunden basis. CGI kommer dock att utföra internrevisioner på regelbunden basis genom kvalificerade revisionsteam. Sådana program kommer att initieras av CGI:s relevanta revisionsavdelningar för varje nivå. 

Resultaten av revisionen kommer att kommuniceras till CGI:s Dataskyddsorganisation och åtgärder kommer att definieras och prioriteras, vilket gör det möjligt för CGI:s Dataskyddsorganisation att fastställa ett schema för genomförandet av korrigerande och förebyggande åtgärder. 

Behöriga dataskyddsmyndigheter, såväl som kunder, kan begära tillgång till revisionsresultaten (i det senare fallet, med förbehåll för avtalsförpliktelser, enligt definitionen i Contract Management Framework). Sådan kommunikation är föremål för ett sekretessavtal och revisionsresultaten innehåller inte någon konfidentiell information från andra kunder till CGI eller CGI:s interna affärsområden. Offentliggörande av sådana resultat är föremål för godkännande av CGI:s Dataskyddsorganisation och Legal Services.

Som en del av CGI:s ISO27701:2019-certifiering fungerar externa revisorer som är oberoende av CGI som en ytterligare linje för efterlevnad. De tillhandahåller tillsyn och försäkran om vår implementering av ISO27701:2019 i hela organisationen och genomför årliga revisioner. Resultaten av sådana revisioner behandlas som alla andra revisionsresultat, med eventuella rekommenderade korrigerande och förebyggande åtgärder som prioriteras inom alla affärsområden.

CGI:s Dataskyddsorganisation

CGI har utsett en Chief Privacy Officer (”CPO”) och ett nätverk av Privacy Business Partners som också kan utses till dataskyddsombud, i enlighet med Tillämplig Dataskyddslagstiftning, och specialister på Records Management. CGI:s integritetsorganisation definieras ytterligare på integritetssidan på CGI:s intranät.

Register över Behandlingar

CGI för ett register över de Behandlingar som utförs inom ramen för verksamheten (the "Data Processing Inventory”). CGI ska säkerställa att varje ny Behandling av Personuppgifter registreras i Data Processing Inventory med relevant information om kontexten för varje Behandling av Personuppgifter. CGI kommer att göra ett eller flera poster över Behandlingar tillgängliga för tillsynsmyndigheten på begäran.

Uppdateringar av dataskyddspolicyn

Denna Integritetspolicy kan komma att ändras från tid till annan, vid behov, och CGI kommer att utfärda relevant kommunikation avseende sådana ändringar i god tid.

Frågor, förfrågningar och rättsmedel

Frågor och förfrågningar: Vid frågor relaterade till tolkningen eller tillämpningen av denna policy, eller förfrågningar relaterade till dina Personuppgifter som behandlas av CGI, vänligen kontakta oss:

  • skicka ett e-postmeddelande till, privacy@cgi.com, eller
  • kontakta CGI:s Chief Privacy Officer i Paris - Carré Michelet, 10-12 Cours Michelet, 92800 Puteaux, Frankrike, eller
  • fylla i följande onlineformulär.

Oberoende regressmekanism: Om du tror att du har bevis för oegentligheter som kan skada CGI, CGI Partners, dess kunder eller aktieägare, ska du rapportera det via CGI:s Ethics hotline.

CGI strävar efter att upprätthålla starka relationer med dataskyddsmyndigheter och samarbeta med dem i alla relevanta frågor, inklusive eventuella revisionsförfrågningar. CGI kommer också att noga överväga rekommendationer som utfärdats av behöriga dataskyddsmyndigheter i samband med behandling av personuppgifter som utförs av CGI som en del av dess verksamhet.

Om du har någon fråga eller begäran relaterad till dina Personuppgifter som inte hanteras av CGI i enlighet med Tillämplig Dataskyddslagstiftning eller behöver hjälp från någon behörig dataskyddsmyndighet, kan du lämna in ett klagomål eller kontakta den relevanta myndigheten. Nedan finns användbara resurser:

Prövningsdomstol för dataskydd: I enlighet med EU-U.S. Data Privacy Frameword (EU-U.S. DPF) godkänd av EU-kommissionen den 10 juli 2023, är den andra nivån i en tvistlösningsmekanism i två nivåer som föreskriver granskning av kvalificerade klagomål från enskilda personer, inlämnade via lämpliga offentliga myndigheter i utsedda främmande länder eller regionala organisationer för ekonomisk integration, som hävdar vissa överträdelser av amerikansk lag om amerikansk signalspaningsverksamhet

Policyägare

CGI:s Chief Privacy Officer

Godkännande

CGI Executive Management Committee

Datum för ikraftträdande

1 maj 2025

 

Version Datum Författare Beskrivning
1.0 2017-10-16 Data Privacy Ursprungligt policydokument.
1.1 2018-01-09 Data Privacy Stiländringar.
1.2 2021-01-01 Data Privacy Uppdaterad för att återspegla kommande krav i Bindande företagsbestämmelser och California Consumer Privacy Act.
2.0 2021-10-01 Data Privacy Uppdaterad för att återspegla Bindande företagsbestämmelser.
2.1 2023-12-11 Data Privacy Lagt till EU-US Data Privacy Framework (DPF), det brittiska tillägget och Swiss-US DPF, lagt till avsnitt 14 Frågor och rättsmedel från extern policy, samt anpassning mellan externa och interna versioner.
2.2 2024-12-02 Data Privacy Uppdateringar för att återspegla CGI Partners terminologi, årlig översyn av CGI:s Bindande företagsbestämmelser, nya lagändringar, sammanslagning mellan externa och interna versioner av Integritetspolicyn och hänvisning till CGI Responsible Use of Data, AI och Cloud technology frameworks.
2.3 2025-05-01 Data Privacy Mindre uppdatering i avsnittet om revision för att återspegla resultaten av externa revisioner.

I denna Integritetspolicy används följande termer med tillhörande definitioner:

Terms Definition
Tillämplig Dataskyddslagstiftning

Alla lagar som är tillämpliga på Behandlingen av Personuppgifter, inklusive, utan begränsning och i tillämpliga fall:

(i) den europeiska dataskyddsförordningen 2016/679 (General Data Protection Regulation, "GDPR") avseende behandling av personuppgifter,

(ii) all tillämplig Lokal lagstiftning.
BCR Bindande företagsbestämmelser enligt vad som anges i Bilaga 2 “ Överföring av Personuppgifter. ”.
CGI:s Juridiska enheter Alla juridiska personer som direkt eller indirekt kontrolleras av CGI Inc. med undantag för CGI Federal Inc. och dess dotterbolag.
CGI Partner(s) Anställd(a) vid CGI:s Juridiska enheter.
CPO Chief Privacy Officer som beskrivs i avsnittet “ CGI:s Dataskyddsorganisation .”.
Personppgiftsansvarig Varje enhet som bestämmer ändamålen och medlen för behandling av Personuppgifter. Kunden är Personuppgiftsansvarig när CGI Behandlar Personuppgifter för kundens räkning som en del av ett kundprojekt. CGI kan agera som Personuppgiftsansvarig när CGI för sin kunds räkning genomför egna behov, en ny intern lösning Behandling av.
Personuppgiftsbiträde Varje enhet som agerar på uppdrag av och enligt instruktioner från en Personuppgiftsansvarig. CGI är Personuppgiftsbiträde när CGI Behandlar Personuppgifter för sina kunders räkning.
DPF Data Privacy Framework enligt vad som anges i Bilaga 2 “ Överföring av Personuppgifter .”.
Lokal lagstiftning Alla lagar som är tillämpliga i de geografiska områden där CGI bedriver verksamhet, inklusive men inte begränsat till: dataskydd, säkerhet, arbetsrätt, industrisektorer och konsumentlagstiftning.
Personuppgifter All information som rör en fysisk person som kan identifieras, direkt eller indirekt, särskilt genom hänvisning till en identifierare såsom namn, identifikationsnummer, platsdata, online identifierare eller en eller flera faktorer som är specifika för den fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identiteten hos den fysiska personen. Personuppgifter inkluderar Känsliga Personuppgifter.
Behandla, Behandling, Behandlad Varje åtgärd eller serie av åtgärder som vidtas i fråga om Personuppgifter, vare sig det sker automatiserat eller ej, t.ex. insamling, registrering, organisering, strukturering, lagring, bearbetning, ändring, återvinning, läsning (inbegripet fjärråtkomst), användning, utlämnande genom överföring, spridning eller annat tillgängliggörande, anpassning eller kombination, begränsning, radering eller förstöring.
Känsliga Personuppgifter Särskilda kategorier av Personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuell läggning, samt brottsregister.
Tredjepartsleverantör Tredje part som anlitas av CGI eller som tillhandahåller varor och/eller tjänster till CGI, inklusive leverantörer, entreprenörer, underentreprenörer och frilansare.
Överföring Skicka Personuppgifter till en annan CGI-juridisk enhet eller någon annan part eller göra Personuppgifterna tillgängliga för den, där den andra CGI-juridiska enheten eller parten inte är belägen i samma land, provins eller geografiska område, enligt vad som anges i Bilaga 2 “”Överföring av Personuppgifter”.

All överföring av Personuppgifter måste ske i enlighet med Tillämplig Dataskyddslagstiftning och bestämmelserna i denna bilaga 2.

1) ÖVERFÖRING INOM CGI

En CGI-juridisk enhet som är involverad i en Överföring måste säkerställa att lämpliga tekniska och organisatoriska åtgärder som står i proportion till eventuella Behandlingsrisker implementeras i enlighet med denna Integritetspolicy och CGI:s säkerhetspolicys, processer och standarder. Dessa lämpliga tekniska organisatoriska åtgärder måste avtalas och anges i ett personuppgiftsbiträdesavtal eller motsvarande.

(I) BINDANDE FÖRETAGSBESTÄMMELSER (BCR)

CGI får endast Överföra Personuppgifter för personer inom EU i enlighet med Tillämplig Dataskyddslagstiftning och CGI:s bindande företagsbestämmelser ("BCR"), godkända av den Franska Tillsynsmyndigheten den 22 juli 2021, med eventuella ändringar. BCR är tillämpliga på alla CGI:s Juridiska enheter som anges i BCR och varje deltagande CGI Juridiska enhet är ansvarig för att visa sin efterlevnad av BCR. Alla CGI-partners är bundna av BCR.

För att lära dig mer om vår BCR, vänligen se CGI:s intranät, dess public facing website and the offentliga webbplats och Europeiska dataskyddsstyrelsens register..

(II) EU-US DATA PRIVACY FRAMEWORK (DPF), DEN BRITTISKA UTVIDGNINGEN OCH SWISSUS DPF

I enlighet med det godkännande som beviljats av det amerikanska handelsdepartementet är följande CGI-juridiska enheter självcertifierade enligt EU-US Data Privacy Frameworks ("DPF"), UK Extension och Swiss-US DPF:

  • CGI Technologies and Solutions Inc.
  • CGI Information Systems and Management Consultants (New York) Inc.
  • CGI Group Holdings USA Inc.
  • Accounts Receivable Automated Solutions Inc

Dessa DPF ger de ovan nämnda CGI-juridiska enheter tillförlitliga mekanismer för överföring av Personuppgifter till USA från Europeiska unionen, Storbritannien och Schweiz samtidigt som de säkerställer dataskydd som överensstämmer med EU:s, Storbritanniens och Schweiz Tillämpliga Dataskyddslagstiftning.

CGI följer EU-U.S. Data Privacy Framework (EU-U.S. DPF) och UK Extension to the EU-U.S. DPF, och Swiss-U.S. Data Privacy Framework (Swiss-U.S. DPF) som fastställts av U.S. Department of Commerce. CGI har intygat till det amerikanska handelsdepartementet att följer EU-U.S. Data Privacy Framework Principles (EU-U.S. DPF Principles) med avseende på behandlingen av Publik © 2025 CGI Inc. 14 Personuppgifter som erhållits från Europeiska unionen och Storbritannien i enlighet med EU-U.S. DPF och UK Extension to the EU-U.S. DPF.

Om det finns någon konflikt mellan villkoren i denna Integritetspolicy och principerna i DPF EU/USA och/eller principerna i DPF Schweiz/USA, ska Principerna ha företräde.

Om du vill veta mer om Data Privacy Framework (DPF) programmet och se vår certifiering du besöka www.dataprivacyframework.gov/.

Federal Trade Commission har jurisdiktion över CGI:s efterlevnad av EU-U.S. Data Privacy Framework (EU-U.S. DPF) och UK Extension to the EU-U.S. DPF, och Swiss-U.S. Data Privacy Framework (Swiss-U.S. DPF).

I samband med en vidareöverföring är CGI ansvarig för behandlingen av Personuppgifter som CGI tar emot enligt DPF-principerna och därefter överför till en Tredjepartsleverantör som agerar som ombud för CGI:s räkning. CGI förblir ansvarigt enligt DPF-principerna om en Tredjepartsleverantör som anlitats av CGI Behandlar sådana Personuppgifter på ett sätt som inte är förenligt med, såvida inte CGI visar CGI inte är ansvarigt för den händelse som orsakat skadan.

Enskilda personer kan, under vissa förutsättningar, åberopa bindande skiljeförfarande för klagomål avseende efterlevnaden av DPF som inte har lösts genom någon av de andra mekanismerna i DPF enligt vad som anges i DPF ANNEX I.

2) ÖVERFÖRING TILL TREDJE PART

På regelbunden basis genomför CGI due diligence och Tredjepartsbedömningar av integritets- och säkerhetsrisker med Tredjepartsleverantörer som anlitas av CGI, för att fastställa deras företagskapacitet och mognad med avseende på säkerhet och dataskydd.

När CGI anlitar Tredjepartsleverantörer för att Behandla Personuppgifter säkerställer CGI att sådana Tredjepartsleverantörer tillhandahåller en adekvat skyddsnivå för de Personuppgifter de Behandlar enligt Tillämplig Dataskyddslagstiftning.