Хартія законів про конфіденційність

Дата – Випущено 01.01.2020

Остання зміна – 12.06.2023

Застосування:

Цей документ («Вимоги») є невід’ємною та юридично обов’язковою частиною будь-якої Генеральної угоди про надання послуг, Технічного опису робіт або іншого договору («Угода») між Shaip («Компанія») та постачальником послуг («Постачальник/фрілансер/консультанти»).

1. Визначення

Для цілей цих Вимог наведені нижче терміни мають значення, наведені нижче:

  • «Чинні закони про захист даних» означає всі міжнародні, федеральні, державні та місцеві закони, правила та нормативні акти, що застосовуються до обробки персональних даних, включаючи, але не обмежуючись, GDPR, GDPR Великої Британії, CCPA/CPRA, HIPAA, PIPEDA та LGPD.
  • «Дані компанії» означає всі дані, інформацію та матеріали в будь-якій формі чи на будь-якому носії, надані Постачальнику Компанією або від її імені, або зібрані, згенеровані, отримані, псевдонімізовані, анонімізовані (якщо можлива зворотність) або оброблені Постачальником від імені Компанії. Це включає Дані проекту та будь-які Персональні дані.
  • «Витік даних» означає будь-яке фактичне або підозрюване порушення безпеки, що призводить до випадкового або незаконного знищення, втрати, зміни, несанкціонованого розголошення або доступу до Даних Компанії.
  • «GDPR» означає Загальний регламент про захист даних (ЄС) 2016/679.
  • "Особисті дані" означає будь-яку інформацію, що стосується ідентифікованої або ідентифікованої фізичної особи («Суб’єкт даних»), що міститься в Даних Компанії.
  • «Конфіденційні персональні дані» означає будь-яку категорію даних, що вважаються конфіденційними згідно з чинним законодавством про захист даних, включаючи, але не обмежуючись, расове або етнічне походження, політичні погляди, релігійні або філософські переконання, членство в профспілках, генетичні дані, біометричні дані, дані про здоров'я або дані про сексуальне життя чи сексуальну орієнтацію фізичної особи.
  • «Обробка» означає будь-яку операцію, що виконується з Даними Компанії, таку як збір, запис, упорядкування, зберігання, адаптація, пошук, використання, розкриття, поширення або знищення.
  • «Дані проєкту» означає конкретні дані (наприклад, голос, зображення, текст), зібрані або створені Постачальником у рамках послуг, що надаються Компанії.
  • «Субпроцесор» означає будь-яку третю сторону, залучену Постачальником для Обробки Даних компанії.

2. Роль та обов'язки продавця

2.1 Роль Обробника/Субобробника. Постачальник визнає, що під час Обробки Даних Компанії він діє як «Обробник» або «Субобробник» від імені Компанії. Постачальник не має права власності або незалежних прав на Дані Компанії.

2.2 Обробка за інструкцією. Постачальник повинен обробляти Дані Компанії лише відповідно до задокументованих, законних інструкцій Компанії, включаючи ті, що викладені в Угоді та відповідних Технічному описі робіт. Постачальнику прямо заборонено обробляти Дані Компанії для власних цілей або для будь-яких цілей, не зазначених прямо Компанією. Інструкції повинні містити вимоги щодо зберігання та видалення даних. Якщо Постачальник вважає, що інструкція порушує Чинне законодавство про захист даних, він повинен негайно повідомити про це Компанію.

2.3 Дотримання законів. Постачальник гарантує та заявляє, що він дотримуватиметься всіх Застосовних законів про захист даних під час виконання Угоди та негайно повідомить Компанію, якщо будь-який закон перешкоджає дотриманню або вимагає розкриття Даних Компанії (наприклад, запити на доступ до даних уряду).

3. Технічні та організаційні заходи безпеки

3.1 Стандарти безпеки. Постачальник повинен впровадити та підтримувати відповідні технічні та організаційні заходи безпеки для захисту Даних Компанії від будь-якого Витоку Даних. Ці заходи повинні відповідати рівню ризику та характеру даних і, як мінімум, включати:

  1. Шифрування: Шифрування всіх даних компанії під час зберігання та передачі.
  2. Управління доступом: Суворий контроль доступу, заснований на мінімальних привілеях, що гарантує, що доступ до даних компанії мають лише уповноважені співробітники.
  3. Мінімізація даних: Збір та обробка лише мінімального обсягу Персональних даних, необхідного для зазначеного проєкту.
  4. Безпечне середовище: Забезпечення безпечного налаштування, встановлення виправлень, реєстрації та моніторингу всіх систем, що використовуються для обробки даних компанії.
  5. Безпечне видалення: Впровадження процесів безпечного та остаточного видалення Даних Компанії за вказівкою Компанії, включаючи видалення з резервних копій.
  6. Фізична безпека: Забезпечення безпеки всіх фізичних місць та пристроїв, де зберігаються або до яких здійснюється доступ до Даних компанії.
  7. Тестування та моніторинг: Регулярне тестування на проникнення, оцінка вразливостей та постійний моніторинг.
  8. Безперервність бізнесу: Підтримка планів реагування на інциденти, відновлення після аварій та забезпечення безперервності бізнесу.

4. Субобробка

4.1 Потрібна попередня згода. Постачальник не має права залучати жодного Субпідрядника для Обробки Даних Компанії без попередньої письмової згоди Компанії.

4.2 Зниження зобов'язань. Якщо згода надається, Постачальник повинен укласти письмову угоду з Субпідрядником, яка покладає на Субпідрядника такі ж або суворіші зобов'язання щодо захисту даних, що й на Постачальника згідно з цими Вимогами.

4.3 Список субпідрядників. Постачальник повинен вести актуальний список Субпідрядників та надавати його Компанії на запит. Компанія залишає за собою право заперечувати проти будь-якого Субпідрядника у будь-який час.

4.4 Повна відповідальність. Постачальник залишається повністю відповідальним перед Компанією за виконання зобов'язань Субпідрядника та за будь-які дії чи бездіяльність Субпідрядника.

5. Повідомлення про порушення безпеки даних та управління ними

5.1 Негайне повідомлення. Продавець повинен письмово повідомити Компанію без зайвої затримки та в жодному разі не пізніше двадцяти чотирьох (24) годин після того, як йому стало відомо про будь-яке Витік даних.

5.2 Деталі порушення. Повідомлення повинно, як мінімум:

  1. Опишіть характер порушення захисту даних, включаючи категорії та приблизну кількість Суб'єктів даних та відповідних записів даних.
  2. Вкажіть ім'я та контактні дані співробітника Постачальника із захисту даних або іншої відповідної контактної особи.
  3. Опишіть ймовірні наслідки витоку даних.
  4. Опишіть заходи, вжиті або запропоновані Постачальником для усунення витоку даних та пом'якшення його наслідків.

5.3 Поточні оновлення. Постачальник повинен надавати регулярні оновлення, доки інцидент не буде повністю вирішено.

5.4 Співпраця. Постачальник зобов'язується повністю співпрацювати з Компанією у розслідуванні, усуненні наслідків та повідомленні про будь-який Витік даних. Постачальник несе всі витрати, пов'язані з Витоком даних, у тій мірі, в якій це сталося внаслідок порушення ним цих Вимог.

6. Міжнародна передача даних

6.1 Постачальник не має права передавати Дані Компанії через міжнародні кордони без попередньої письмової згоди Компанії. Постачальник повинен вказати всі країни, в яких він оброблятиме Дані Компанії.

6.2 За потреби, Постачальник погоджується укласти Стандартні договірні положення (SCC), Обов'язкові корпоративні правила (BCR), Додаток до Угоди Великої Британії або будь-який інший механізм, передбачений Компанією, для забезпечення законної передачі даних.

6.3 Постачальник повинен дотримуватися місцевих вимог щодо місця зберігання даних, де це застосовується.

7. Ревізії та перевірки

Компанія або призначений нею сторонній аудитор має право проводити аудити за свій рахунок для перевірки дотримання Постачальником цих Вимог. Постачальник повинен надати всю необхідну інформацію, документацію та доступ до приміщень та персоналу.

Постачальник повинен регулярно проходити сертифікацію третіх сторін (наприклад, ISO 27001, SOC 2) та/або самооцінку, а також оперативно усувати будь-які недоліки, виявлені під час аудитів або оцінок, у взаємно узгоджені терміни.

8. Допомога у сфері прав суб'єкта даних

Продавець повинен негайно, і в жодному разі не пізніше ніж за сорок вісім (48) годин, повідомити Компанію про будь-який запит, отриманий від Суб'єкта даних, щодо здійснення своїх прав (наприклад, доступ, виправлення, видалення, перенесення). Продавець не повинен відповідати безпосередньо на такі запити, якщо Компанія не дасть інших інструкцій, та повинен надати всю необхідну допомогу, щоб Компанія могла відповісти.

9. Повернення та видалення даних

Після розірвання Угоди або на вимогу Компанії, Продавець зобов'язаний, на вибір Компанії, безпечно видалити або повернути всі Дані Компанії протягом тридцяти (30) днів. Продавець повинен забезпечити видалення з резервних копій та надати письмове підтвердження такого видалення.

10. Спеціальні категорії даних

10.1 Дані охорони здоров'я (HIPAA): Якщо Постачальник обробляє будь-яку захищену медичну інформацію (PHI), Постачальник визнає, що він є «Діловим партнером» (або субпідрядником Ділового партнера) згідно з HIPAA. Постачальник повинен дотримуватися вимог HIPAA та підписувати Угоду про ділове партнерство (BAA) Компанії.

10.2 Інші конфіденційні дані: Для проектів, що стосуються Конфіденційних Персональних Даних (включаючи біометричні дані або дані дітей), Постачальник повинен отримати схвалення Компанії та дотримуватися посилених протоколів безпеки та обробки, визначених Компанією.

11. Відшкодування та відповідальність

Постачальник погоджується захищати, відшкодовувати збитки та звільняти від відповідальності Компанію, її афілійованих осіб, посадових осіб та клієнтів від будь-яких претензій, зобов'язань, збитків, втрат, штрафів, пені та витрат (включаючи обґрунтовані гонорари адвокатів), що виникають внаслідок або пов'язані з будь-яким порушенням цих Вимог Постачальником, його співробітниками або його Субпідрядниками.

Відповідальність не обмежується за порушення, пов'язані з витоком даних, штрафами регуляторних органів, навмисними неправомірними діями або шахрайством.

12. Загальні положення

12.1 Першість. У разі будь-якого конфлікту між умовами Угоди та цими Вимогами, ці Вимоги мають переважну силу щодо захисту даних.

12.2 Модифікація. Ці Вимоги можуть бути змінені лише шляхом письмової поправки, підписаної уповноваженими представниками обох сторін.

12.3 Виживання. Зобов'язання щодо конфіденційності, видалення даних, відповідальності та прав на аудит залишаються чинними після розірвання Угоди.

12.4 Застосовне законодавство. Ці Вимоги регулюються та тлумачаться відповідно до чинного права, встановленого в Угоді.