Carta Legilor privind Confidențialitatea

Data – Lansare 01.01.2020

Ultima modificare la – 12/06/2023

aplicabilitate:

Acest document („Cerințe”) face parte integrantă și obligatorie din punct de vedere juridic a oricărui Acord Cadru de Servicii, Caiet de Sarcini sau alt contract („Acord”) între Shaip („Companie”) și furnizorul de servicii („Furnizor/freelancer/consultanți”).

1. Definiţii

În sensul acestor Cerințe, următorii termeni vor avea semnificațiile stabilite mai jos:

  • „Legislația aplicabilă privind protecția datelor” înseamnă toate legile, regulile și reglementările internaționale, federale, statale și locale aplicabile Prelucrarii Datelor cu Caracter Personal, inclusiv, dar fără a se limita la, GDPR, GDPR din Regatul Unit, CCPA/CPRA, HIPAA, PIPEDA și LGPD.
  • „Date despre companie” înseamnă toate datele, informațiile și materialele, în orice formă sau mediu, furnizate Furnizorului de către sau în numele Companiei sau colectate, generate, derivate, pseudonimizate, anonimizate (dacă reversibilitatea este posibilă) sau Prelucrate de Furnizor în numele Companiei. Aceasta include Datele Proiectului și orice Date cu Caracter Personal.
  • „Încălcare de date” înseamnă orice încălcare reală sau suspectată a securității care duce la distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la Datele Companiei, fie ea accidentală sau ilegală.
  • „GDPR” înseamnă Regulamentul general privind protecția datelor (UE) 2016/679.
  • "Date personale" înseamnă orice informație referitoare la o persoană fizică identificată sau identificabilă („Persoana vizată”) conținută în Datele Companiei.
  • „Date personale sensibile” înseamnă orice categorie de date considerate sensibile în temeiul Legilor Aplicabile privind Protecția Datelor, inclusiv, dar fără a se limita la, originea rasială sau etnică, opiniile politice, convingerile religioase sau filozofice, apartenența sindicală, datele genetice, datele biometrice, datele privind sănătatea sau datele privind viața sexuală sau orientarea sexuală a unei persoane fizice.
  • "Prelucrare" înseamnă orice operațiune efectuată asupra Datelor Companiei, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea, recuperarea, utilizarea, divulgarea, diseminarea sau distrugerea.
  • „Date de proiect” înseamnă datele specifice (de exemplu, voce, imagine, text) colectate sau create de Furnizor ca parte a serviciilor furnizate Companiei.
  • „Subprocesator” înseamnă orice terță parte angajată de Furnizor pentru a Prelucra Datele Companiei.

2. Rolul și obligațiile furnizorului

2.1 Rolul de Persoană împuternicită de operator/Sub-împuternicită de operator. Furnizorul recunoaște că, în cadrul Prelucrării Datelor Companiei, acționează ca „Persoană împuternicită de operator” sau „Sub-împuternicit de operator” în numele Companiei. Furnizorul nu deține nicio proprietate sau drepturi independente asupra Datelor Companiei.

2.2 Prelucrarea pe baza instrucțiunilor. Furnizorul va Prelucra Datele Companiei numai în conformitate cu instrucțiunile documentate și legale ale Companiei, inclusiv cele stabilite în Acord și în Declarațiile de Lucru relevante. Furnizorului îi este interzis în mod expres să Prelucreze Datele Companiei în scopuri proprii sau în orice scop care nu a fost instrucțiuni explicite de către Companie. Instrucțiunile vor include cerințe de păstrare și eliminare a datelor. Dacă Furnizorul consideră că o instrucțiune încalcă Legislația Aplicabilă privind Protecția Datelor, acesta trebuie să informeze imediat Compania.

2.3 Respectarea legilor. Furnizorul garantează și declară că va respecta toate Legile Aplicabile privind Protecția Datelor în executarea Acordului și va notifica prompt Compania dacă vreo lege împiedică respectarea sau impune divulgarea Datelor Companiei (de exemplu, cereri de acces guvernamentale).

3. Măsuri de securitate tehnice și organizatorice

3.1 Standarde de securitate. Furnizorul va implementa și menține măsuri tehnice și organizatorice de securitate adecvate pentru a proteja Datele Companiei împotriva oricărei încălcări a securității datelor. Aceste măsuri vor fi proporționale cu nivelul de risc și natura datelor și vor include, cel puțin:

  1. criptare: Criptarea tuturor datelor companiei, atât în ​​repaus, cât și în tranzit.
  2. Controlul accesului: Controale stricte ale accesului bazate pe privilegii minime, asigurându-se că doar personalul autorizat are acces la datele companiei.
  3. Minimizarea datelor: Colectarea și prelucrarea doar a cantității minime de Date cu Caracter Personal necesare pentru proiectul specificat.
  4. Medii sigure: Asigurarea faptului că toate sistemele utilizate pentru procesarea datelor companiei sunt configurate, actualizate, înregistrate și monitorizate în siguranță.
  5. Ștergere sigură: Implementarea proceselor pentru ștergerea securizată și permanentă a Datelor Companiei, la instrucțiunile Companiei, inclusiv ștergerea din copiile de rezervă.
  6. Siguranță fizică: Securizarea tuturor locațiilor fizice și dispozitivelor unde sunt stocate sau accesate datele companiei.
  7. Testare și monitorizare: Teste de penetrare regulate, evaluări ale vulnerabilităților și monitorizare continuă.
  8. Continuitatea afacerii: Menținerea planurilor de răspuns la incidente, recuperare în caz de dezastru și continuitate a afacerii.

4. Sub-procesare

4.1 Este necesar consimțământul prealabil. Furnizorul nu va angaja niciun Subcontractant pentru a Prelucra Datele Companiei fără acordul prealabil, specific, scris al Companiei.

4.2 Fluxul obligațiilor. Dacă se acordă consimțământul, Furnizorul trebuie să încheie un acord scris cu Subcontractantul care să impună Subcontractantului aceleași obligații de protecție a datelor sau obligații mai stricte decât cele impuse Furnizorului prin prezentele Cerințe.

4.3 Lista subcontractanților. Furnizorul va menține o listă actualizată a Subcontractanților și o va furniza Companiei la cerere. Compania își rezervă dreptul de a se opune oricărui Subcontractant în orice moment.

4.4 Răspundere deplină. Furnizorul va rămâne pe deplin răspunzător față de Companie pentru îndeplinirea obligațiilor Subcontractantului și pentru orice acțiune sau omisiune a Subcontractantului.

5. Notificarea și gestionarea încălcărilor de date

5.1 Notificare imediată. Furnizorul va notifica Societatea în scris, fără întârzieri nejustificate și în niciun caz mai târziu de douăzeci și patru (24) de ore de la data la care a luat cunoștință de orice Încălcare a Datelor.

5.2 Detalii despre încălcare. Notificarea trebuie, cel puțin:

  1. Descrieți natura încălcării securității datelor, inclusiv categoriile și numărul aproximativ de Persoane Vizate și de înregistrări de date în cauză.
  2. Furnizați numele și datele de contact ale responsabilului cu protecția datelor al Furnizorului sau ale altei persoane de contact relevantă.
  3. Descrieți consecințele probabile ale încălcării securității datelor.
  4. Descrieți măsurile luate sau propuse a fi luate de către Furnizor pentru a remedia încălcarea securității datelor și a atenua efectele acesteia.

5.3 Actualizări continue. Furnizorul va furniza actualizări regulate până la rezolvarea completă a incidentului.

5.4 Cooperare. Furnizorul va coopera pe deplin cu Compania în investigarea, remedierea și notificarea oricărei Încălcări de Date. Furnizorul va suporta toate costurile asociate cu o Încălcare de Date în măsura în care acestea sunt cauzate de încălcarea acestor Cerințe.

6. Transferuri internaționale de date

6.1 Furnizorul nu va transfera Datele Companiei peste granițe fără acordul prealabil scris al Companiei. Furnizorul trebuie să specifice toate țările în care va Prelucra Datele Companiei.

6.2 Acolo unde este necesar, Furnizorul este de acord să încheie Clauze Contractuale Standard (CSC), Reguli Corporative Obligatorii (RCO), Addendumul Regatului Unit sau orice alt mecanism mandatat de Companie pentru a asigura transferuri legale de date.

6.3 Furnizorul trebuie să respecte cerințele locale privind rezidența datelor, acolo unde este cazul.

7. Audituri și inspecții

Compania sau auditorul terț desemnat de aceasta va avea dreptul de a efectua audituri, pe cheltuiala proprie, pentru a verifica respectarea de către Furnizor a acestor Cerințe. Furnizorul va furniza toate informațiile, documentația și accesul necesare la instalații și personal.

Furnizorul va fi supus certificărilor periodice de către terți (de exemplu, ISO 27001, SOC 2) și/sau autoevaluărilor și va remedia prompt orice deficiențe identificate în audituri sau evaluări, într-un termen stabilit de comun acord.

8. Asistență privind drepturile persoanelor vizate

Furnizorul va notifica prompt și în niciun caz mai târziu de patruzeci și opt (48) de ore Societatea cu privire la orice solicitare primită de la o Persoană Vizată de a-și exercita drepturile (de exemplu, acces, rectificare, ștergere, portabilitate). Furnizorul nu va răspunde direct la astfel de solicitări, cu excepția cazului în care este instruit de Companie și va oferi toată asistența necesară pentru a permite răspunsul Companiei.

9. Returnarea și ștergerea datelor

La încetarea Acordului sau la cererea Companiei, Furnizorul va șterge sau returna în siguranță, la alegerea Companiei, toate Datele Companiei în termen de treizeci (30) de zile. Furnizorul va asigura ștergerea din copiile de rezervă și va furniza o certificare scrisă a acestei ștergeri.

10. Categorii speciale de date

10.1 Date medicale (HIPAA): Dacă Furnizorul prelucrează orice Informații medicale protejate (PHI), Furnizorul recunoaște că este un „Asociat de afaceri” (sau subcontractant al unui Asociat de afaceri) în conformitate cu HIPAA. Furnizorul trebuie să respecte cerințele HIPAA și va semna Acordul de Asociat de Afaceri (BAA) al Companiei.

10.2 Alte date sensibile: Pentru proiectele care implică Date Personale Sensibile (inclusiv date biometrice sau date de la copii), Furnizorul trebuie să obțină aprobarea Companiei și să respecte protocoalele sporite de securitate și gestionare, așa cum sunt specificate de Companie.

11. Despăgubire și răspundere

Furnizorul este de acord să apere, să despăgubească și să exonereze de răspundere Compania, afiliații, funcționarii și clienții acesteia de și împotriva oricăror reclamații, răspunderi, daune, pierderi, amenzi, penalități și cheltuieli (inclusiv onorariile avocațiale rezonabile) care decurg din sau sunt legate de orice încălcare a acestor Cerințe de către Furnizor, angajații săi sau Subcontractanții săi.

Răspunderea nu va fi plafonată pentru încălcări care implică încălcări ale securității datelor, amenzi de reglementare, abateri intenționate sau fraudă.

12. Dispoziții generale

12.1 Primatul. În cazul oricărui conflict între termenii Acordului și prezentele Cerințe, prezentele Cerințe vor prevala în ceea ce privește protecția datelor.

12.2 Modificare. Aceste Cerințe pot fi modificate numai printr-un amendament scris semnat de reprezentanții autorizați ai ambelor părți.

12.3 Supraviețuire. Obligațiile referitoare la confidențialitate, ștergerea datelor, răspundere și drepturi de audit vor rămâne în vigoare și după încetarea Acordului.

12.4 Legea aplicabilă. Aceste Cerințe vor fi guvernate și interpretate în conformitate cu legea aplicabilă prevăzută în Acord.