Устав законов о конфиденциальности

Дата – Выпущено 01.01.2020

Последнее изменение – 12.06.2023

Применимость:

Настоящий документ («Требования») является неотъемлемой и юридически обязательной частью любого Генерального соглашения об услугах, Технического задания или иного договора («Соглашение») между Shaip («Компания») и поставщиком услуг («Поставщик/фрилансер/консультанты»).

1. Определения

Для целей настоящих Требований следующие термины имеют указанные ниже значения:

  • «Применимые законы о защите данных» означает все международные, федеральные, государственные и местные законы, правила и положения, применимые к обработке персональных данных, включая, помимо прочего, GDPR, UK GDPR, CCPA/CPRA, HIPAA, PIPEDA и LGPD.
  • «Данные компании» Означает все данные, информацию и материалы в любой форме и на любом носителе, предоставленные Поставщику Компанией или от её имени, а также собранные, сгенерированные, полученные, псевдонимизированные, анонимизированные (если обратимость возможна) или обработанные Поставщиком от имени Компании. Это включает Проектные данные и любые Персональные данные.
  • «Утечка данных» означает любое фактическое или предполагаемое нарушение безопасности, приводящее к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к Данным Компании.
  • «ВВП» означает Общий регламент по защите данных (ЕС) 2016/679.
  • "Личные данные" означает любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу («Субъект данных»), содержащуюся в Данных Компании.
  • «Конфиденциальные персональные данные» означает любую категорию данных, которые считаются конфиденциальными в соответствии с Применимыми законами о защите данных, включая, помимо прочего, расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзе, генетические данные, биометрические данные, данные о здоровье или данные о половой жизни или сексуальной ориентации физического лица.
  • «Обработка» означает любую операцию, выполняемую с Данными Компании, такую ​​как сбор, запись, организация, хранение, адаптация, извлечение, использование, раскрытие, распространение или уничтожение.
  • «Данные проекта» означает конкретные данные (например, голос, изображение, текст), собранные или созданные Поставщиком в рамках услуг, предоставляемых Компании.
  • «Субпроцессор» означает любую третью сторону, привлеченную Поставщиком для обработки данных Компании.

2. Роль и обязанности поставщика

2.1 Роль обработчика/субобработчика. Поставщик признает, что при обработке данных Компании он действует в качестве «Обработчика» или «Субобработчика» от имени Компании. Поставщик не имеет права собственности или каких-либо самостоятельных прав на данные Компании.

2.2 Обработка по инструкции. Поставщик обязуется обрабатывать данные Компании только в соответствии с документально оформленными и законными инструкциями Компании, включая инструкции, изложенные в Соглашении и соответствующих Технических заданиях. Поставщику категорически запрещено обрабатывать данные Компании в собственных целях или в любых целях, не указанных в прямых инструкциях Компании. Инструкции должны включать требования к хранению и уничтожению данных. Если Поставщик считает, что инструкция нарушает применимые законы о защите данных, он обязан немедленно сообщить об этом Компании.

2.3 Соблюдение законов. Поставщик гарантирует и заявляет, что при выполнении Соглашения он будет соблюдать все применимые законы о защите данных и обязуется незамедлительно уведомить Компанию, если какой-либо закон препятствует соблюдению или требует раскрытия Данных Компании (например, запросы на доступ со стороны правительства).

3. Технические и организационные меры безопасности

3.1 Стандарты безопасности. Поставщик обязуется внедрить и поддерживать соответствующие технические и организационные меры безопасности для защиты данных Компании от любого нарушения конфиденциальности. Эти меры должны быть соразмерны уровню риска и характеру данных и, как минимум, включать:

  1. Шифрование: Шифрование всех данных компании при хранении и передаче.
  2. Контроль доступа: Строгий контроль доступа, основанный на принципе наименьших привилегий, гарантирует, что доступ к данным компании имеют только уполномоченные сотрудники.
  3. Минимизация данных: Сбор и обработка только минимально необходимого для указанного проекта объема персональных данных.
  4. Безопасная среда: Обеспечение безопасной настройки, исправления ошибок, регистрации и мониторинга всех систем, используемых для обработки данных компании.
  5. Безопасное удаление: Внедрение процессов безопасного и постоянного удаления Данных Компании по указанию Компании, включая удаление из резервных копий.
  6. Физическая охрана: Обеспечение безопасности всех физических местоположений и устройств, где хранятся или к которым осуществляется доступ к данным компании.
  7. Тестирование и мониторинг: Регулярное тестирование на проникновение, оценка уязвимостей и постоянный мониторинг.
  8. Непрерывность бизнеса: Поддержка планов реагирования на инциденты, восстановления после сбоев и обеспечения непрерывности бизнеса.

4. Подобработка

4.1 Требуется предварительное согласие. Поставщик не имеет права привлекать субподрядчиков для обработки данных Компании без предварительного письменного согласия Компании.

4.2 Перетекание обязательств. В случае предоставления согласия Поставщик должен заключить письменное соглашение с Субобработчиком, которое возлагает на Субобработчика такие же или более строгие обязательства по защите данных, которые возлагаются на Поставщика настоящими Требованиями.

4.3 Список субобработчиков. Поставщик обязуется вести актуальный список субподрядчиков и предоставлять его Компании по запросу. Компания оставляет за собой право в любое время отказать любому субподрядчику.

4.4 Полная ответственность. Поставщик несет полную ответственность перед Компанией за выполнение обязательств Субподрядчика, а также за любые действия или бездействие Субподрядчика.

5. Уведомление об утечке данных и управление ею

5.1 Немедленное уведомление. Поставщик должен уведомить Компанию в письменной форме без неоправданной задержки и в любом случае не позднее, чем через двадцать четыре (24) часа после того, как ему впервые стало известно о какой-либо утечке данных.

5.2 Подробности нарушения. Уведомление должно, как минимум:

  1. Опишите характер утечки данных, включая категории и приблизительное количество субъектов данных и соответствующих записей данных.
  2. Укажите имя и контактные данные сотрудника по защите данных Поставщика или другого соответствующего контактного лица.
  3. Опишите вероятные последствия утечки данных.
  4. Опишите меры, принятые или предлагаемые Поставщиком для устранения утечки данных и смягчения ее последствий.

5.3 Текущие обновления. Поставщик должен регулярно предоставлять обновления до тех пор, пока инцидент не будет полностью разрешен.

5.4 Сотрудничество. Поставщик обязуется оказывать Компании всестороннее содействие в расследовании, устранении последствий и уведомлении о любых нарушениях безопасности данных. Поставщик несет все расходы, связанные с нарушением безопасности данных, в той мере, в какой это вызвано нарушением им настоящих Требований.

6.Международная передача данных

6.1 Поставщик не имеет права передавать данные Компании за границу без предварительного письменного согласия Компании. Поставщик обязан указать все страны, в которых он будет обрабатывать данные Компании.

6.2 При необходимости Поставщик соглашается заключить Стандартные договорные условия (SCC), Обязательные корпоративные правила (BCR), Дополнительное соглашение Великобритании или любой другой механизм, предписанный Компанией для обеспечения законной передачи данных.

6.3 Поставщик должен соблюдать местные требования к размещению данных, где это применимо.

7. Аудит и инспекция

Компания или назначенный ею сторонний аудитор имеет право проводить аудит за свой счет для проверки соблюдения Поставщиком настоящих Требований. Поставщик обязан предоставить всю необходимую информацию, документацию и доступ к объектам и персоналу.

Поставщик должен регулярно проходить сертификацию третьей стороной (например, ISO 27001, SOC 2) и/или самооценку, а также оперативно устранять любые недостатки, выявленные в ходе аудитов или оценок, в согласованные сторонами сроки.

8. Помощь в защите прав субъектов данных

Поставщик обязан незамедлительно, но не позднее, чем за сорок восемь (48) часов, уведомить Компанию о любом запросе, полученном от Субъекта данных, на осуществление его прав (например, доступа, исправления, удаления, переносимости). Поставщик не должен отвечать на такие запросы напрямую, если иное не указано Компанией, и должен оказывать Компании всю необходимую помощь для ответа.

9. Возврат и удаление данных

После расторжения Соглашения или по требованию Компании Поставщик обязуется, по своему выбору, безопасно удалить или вернуть все Данные Компании в течение тридцати (30) дней. Поставщик обязуется обеспечить удаление данных из резервных копий и предоставить письменное подтверждение такого удаления.

10. Специальные категории данных

10.1 Данные здравоохранения (HIPAA): Если Поставщик обрабатывает какую-либо Защищённую медицинскую информацию (ЗМИ), Поставщик признаёт, что является «деловым партнёром» (или субподрядчиком делового партнёра) в соответствии с HIPAA. Поставщик обязан соблюдать требования HIPAA и подписывать Соглашение о деловом партнёрстве Компании (BAA).

10.2 Другие конфиденциальные данные: Для проектов, связанных с конфиденциальными персональными данными (включая биометрические данные или данные детей), Поставщик должен получить одобрение Компании и соблюдать повышенные требования к безопасности и протоколам обработки, указанным Компанией.

11. Возмещение ущерба и ответственность

Поставщик соглашается защищать, возмещать убытки и ограждать от ответственности Компанию, ее аффилированные лица, должностных лиц и клиентов от любых претензий, обязательств, убытков, потерь, штрафов, пеней и расходов (включая обоснованные гонорары адвокатов), возникающих в связи с любым нарушением настоящих Требований Поставщиком, его сотрудниками или его субподрядчиками.

Ответственность не ограничивается случаями нарушений, включающими утечку данных, нормативные штрафы, умышленные неправомерные действия или мошенничество.

12. Общие положения

12.1 Первенство. В случае возникновения противоречий между условиями Соглашения и настоящими Требованиями, преимущественную силу в отношении защиты данных имеют настоящие Требования.

12.2 Модификация. Настоящие Требования могут быть изменены только путем внесения письменных поправок, подписанных уполномоченными представителями обеих сторон.

12.3 Выживание. Обязательства, касающиеся конфиденциальности, удаления данных, ответственности и прав на аудит, остаются в силе после расторжения Соглашения.

12.4 Применимое право. Настоящие Требования регулируются и толкуются в соответствии с применимым правом, изложенным в Соглашении.