Charter om privatlivslovgivning

Dato – Udgivet den 01/01/2020

Sidst ændret den – 06-12-2023

Anvendes til:

Dette dokument ("Krav") udgør en integreret og juridisk bindende del af enhver hovedserviceaftale, arbejdsbeskrivelse eller anden kontrakt ("Aftale") mellem Shaip ("Virksomheden") og tjenesteudbyderen ("Leverandør/freelancer/konsulenter").

1. Definitioner

I forbindelse med disse krav har følgende udtryk den betydning, der er angivet nedenfor:

  • "Gældende databeskyttelseslove" betyder alle internationale, føderale, statslige og lokale love, regler og bestemmelser, der gælder for behandling af personoplysninger, herunder, men ikke begrænset til, GDPR, UK GDPR, CCPA/CPRA, HIPAA, PIPEDA og LGPD.
  • "Virksomhedsdata" betyder alle data, oplysninger og materialer, i enhver form eller medie, der leveres til Leverandøren af ​​eller på vegne af Virksomheden, eller indsamles, genereres, afledes, pseudonymiseres, anonymiseres (hvis reversibilitet er mulig) eller behandles af Leverandøren på vegne af Virksomheden. Dette omfatter Projektdata og alle Personoplysninger.
  • "Databrud" betyder ethvert faktisk eller mistænkt sikkerhedsbrud, der fører til utilsigtet eller ulovlig ødelæggelse, tab, ændring, uautoriseret videregivelse af eller adgang til virksomhedsdata.
  • "BNP er" betyder den generelle forordning om databeskyttelse (EU) 2016/679.
  • "Personlig data" betyder enhver oplysning vedrørende en identificeret eller identificerbar fysisk person ("den registrerede"), der er indeholdt i virksomhedsdataene.
  • "Følsomme personoplysninger" betyder enhver kategori af data, der anses for følsomme i henhold til gældende databeskyttelseslovgivning, herunder, men ikke begrænset til, racemæssig eller etnisk oprindelse, politiske holdninger, religiøs eller filosofisk overbevisning, fagforeningsmedlemskab, genetiske data, biometriske data, data vedrørende helbred eller data vedrørende en fysisk persons sexliv eller seksuelle orientering.
  • "Forarbejdning" betyder enhver handling udført på virksomhedsdata, såsom indsamling, registrering, organisering, opbevaring, tilpasning, hentning, brug, videregivelse, formidling eller destruktion.
  • "Projektdata" betyder de specifikke data (f.eks. stemme, billede, tekst), der indsamles eller oprettes af Leverandøren som en del af de tjenester, der leveres til Virksomheden.
  • "Underprocessor" betyder enhver tredjepart, der er engageret af Leverandøren til at behandle Virksomhedsdata.

2. Leverandørens rolle og forpligtelser

2.1 Rolle som databehandler/underdatabehandler. Leverandøren anerkender, at ved behandling af virksomhedsdata fungerer denne som "databehandler" eller "underdatabehandler" på vegne af virksomheden. Leverandøren har intet ejerskab eller uafhængige rettigheder til virksomhedsdataene.

2.2 Behandling efter instruktion. Leverandøren må kun behandle virksomhedsdata i overensstemmelse med virksomhedens dokumenterede, lovlige instruktioner, herunder dem, der er angivet i aftalen og relevante arbejdsbeskrivelser. Leverandøren er udtrykkeligt forbudt at behandle virksomhedsdata til egne formål eller til formål, der ikke udtrykkeligt er angivet af virksomheden. Instruktionerne skal omfatte krav om dataopbevaring og -bortskaffelse. Hvis leverandøren mener, at en instruktion overtræder gældende databeskyttelseslove, skal denne straks underrette virksomheden.

2.3 Overholdelse af love. Leverandøren garanterer og erklærer, at denne vil overholde alle gældende databeskyttelseslove i forbindelse med opfyldelsen af ​​aftalen og skal straks underrette virksomheden, hvis nogen lov forhindrer overholdelse eller kræver videregivelse af virksomhedsdata (f.eks. anmodninger om adgang fra myndighederne).

3. Tekniske og organisatoriske sikkerhedsforanstaltninger

3.1 Sikkerhedsstandarder. Leverandøren skal implementere og vedligeholde passende tekniske og organisatoriske sikkerhedsforanstaltninger for at beskytte virksomhedens data mod ethvert databrud. Disse foranstaltninger skal stå i forhold til risikoniveauet og dataenes art og skal som minimum omfatte:

  1. Kryptering: Kryptering af alle virksomhedsdata i hvile og under overførsel.
  2. Adgangskontrol: Strenge adgangskontroller baseret på minimumsrettigheder, der sikrer, at kun autoriseret personale har adgang til virksomhedens data.
  3. Dataminimering: Indsamling og behandling af kun den minimale mængde personoplysninger, der er nødvendig for det specificerede projekt.
  4. Sikre miljøer: Sikring af, at alle systemer, der bruges til at behandle virksomhedsdata, er sikkert konfigureret, opdateret, logget og overvåget.
  5. Sikker sletning: Implementering af processer til sikker og permanent sletning af virksomhedsdata efter instruktion fra virksomheden, herunder sletning fra sikkerhedskopier.
  6. Fysisk sikkerhed: Sikring af alle fysiske steder og enheder, hvor virksomhedsdata opbevares eller tilgås.
  7. Test og overvågning: Regelmæssig penetrationstestning, sårbarhedsvurderinger og løbende overvågning.
  8. Forretningskontinuitet: Vedligeholdelse af planer for hændelsesrespons, katastrofeberedskab og forretningskontinuitet.

4. Underbehandling

4.1 Forudgående samtykke påkrævet. Leverandøren må ikke engagere nogen underdatabehandler til at behandle virksomhedsdata uden virksomhedens forudgående, specifikke skriftlige samtykke.

4.2 Nedstrømning af forpligtelser. Hvis samtykke gives, skal Leverandøren indgå en skriftlig aftale med Underdatabehandleren, der pålægger Underdatabehandleren de samme eller strengere databeskyttelsesforpligtelser, som Leverandøren er pålagt i henhold til disse Krav.

4.3 Liste over underdatabehandlere. Leverandøren skal føre en opdateret liste over underdatabehandlere og give den til Virksomheden efter anmodning. Virksomheden forbeholder sig retten til at gøre indsigelse mod enhver underdatabehandler til enhver tid.

4.4 Fuldt ansvar. Leverandøren forbliver fuldt ansvarlig over for Selskabet for opfyldelsen af ​​Underdatabehandlerens forpligtelser og for enhver handling eller undladelse fra Underdatabehandlerens side.

5. Underretning og håndtering af databrud

5.1 Øjeblikkelig underretning. Leverandøren skal underrette Virksomheden skriftligt uden unødig forsinkelse og under ingen omstændigheder senere end fireogtyve (24) timer efter første gang at være blevet opmærksom på et databrud.

5.2 Oplysninger om brud. Meddelelsen skal som minimum:

  1. Beskriv databruddets art, herunder kategorier og det omtrentlige antal registrerede og berørte dataposter.
  2. Angiv navn og kontaktoplysninger på leverandørens databeskyttelsesrådgiver eller andet relevant kontaktpunkt.
  3. Beskriv de sandsynlige konsekvenser af databruddet.
  4. Beskriv de foranstaltninger, som Leverandøren har truffet eller foreslået at træffe for at håndtere databruddet og afbøde dets virkninger.

5.3 Løbende opdateringer. Leverandøren skal give regelmæssige opdateringer, indtil hændelsen er fuldt ud løst.

5.4 Samarbejde. Leverandøren skal samarbejde fuldt ud med Virksomheden i forbindelse med undersøgelse, afhjælpning og anmeldelse af ethvert databrud. Leverandøren skal afholde alle omkostninger forbundet med et databrud i det omfang, det er forårsaget af Leverandørens brud på disse Krav.

6. Internationale dataoverførsler

6.1 Leverandøren må ikke overføre virksomhedsdata på tværs af internationale grænser uden virksomhedens forudgående skriftlige samtykke. Leverandøren skal angive alle lande, hvor den vil behandle virksomhedsdata.

6.2 Hvor det er nødvendigt, accepterer Leverandøren at indgå standardkontraktklausuler (SCC'er), bindende virksomhedsregler (BCR'er), det britiske tillæg eller enhver anden mekanisme, der er pålagt af Virksomheden for at sikre lovlige dataoverførsler.

6.3 Leverandøren skal overholde lokale krav til dataopbevaring, hvor det er relevant.

7. Revisioner og inspektioner

Selskabet eller dets udpegede tredjepartsrevisor har ret til at udføre revisioner for egen regning for at verificere Leverandørens overholdelse af disse krav. Leverandøren skal stille alle nødvendige oplysninger, dokumentation og adgang til faciliteter og personale til rådighed.

Leverandøren skal regelmæssigt gennemgå tredjepartscertificeringer (f.eks. ISO 27001, SOC 2) og/eller selvevalueringer og straks afhjælpe eventuelle mangler, der identificeres i revisioner eller vurderinger, inden for en gensidigt aftalt tidsramme.

8. Bistand til registrerede personers rettigheder

Leverandøren skal straks, og senest otteogfyrre (48) timer, underrette Virksomheden om enhver anmodning modtaget fra en Registreret om at udøve sine rettigheder (f.eks. adgang, berigtigelse, sletning, dataportabilitet). Leverandøren skal ikke svare direkte på sådanne anmodninger, medmindre Virksomheden instruerer sig herom, og skal yde al nødvendig bistand for at muliggøre Virksomhedens svar.

9. Datareturnering og -sletning

Ved ophør af aftalen eller på selskabets anmodning skal leverandøren, efter selskabets valg, på sikker vis slette eller returnere alle virksomhedsdata inden for tredive (30) dage. Leverandøren skal sikre sletning fra sikkerhedskopier og fremlægge skriftlig bekræftelse på en sådan sletning.

10. Særlige datakategorier

10.1 Sundhedsdata (HIPAA): Hvis Leverandøren Behandler Beskyttede Sundhedsoplysninger (PHI), anerkender Leverandøren at være en "Forretningspartner" (eller underleverandør til en Forretningspartner) i henhold til HIPAA. Leverandøren skal overholde HIPAA-kravene og skal underskrive Virksomhedens Forretningspartneraftale (BAA).

10.2 Andre følsomme data: For projekter, der involverer følsomme personoplysninger (herunder biometriske data eller data fra børn), skal leverandøren indhente virksomhedens godkendelse og overholde skærpede sikkerheds- og håndteringsprotokoller som specificeret af virksomheden.

11. Skadesløsholdelse og ansvar

Leverandøren accepterer at forsvare, skadesløsholde og holde Selskabet, dets tilknyttede selskaber, funktionærer og klienter skadesløse fra og imod ethvert krav, ansvar, skader, tab, bøder, sanktioner og udgifter (herunder rimelige advokatsalærer), der opstår som følge af eller i forbindelse med enhver overtrædelse af disse Krav foretaget af Leverandøren, dennes medarbejdere eller dennes Underdatabehandlere.

Ansvaret er ikke begrænset til brud på databrud, bøder i henhold til lovgivningen, forsætlig forsømmelse eller bedrageri.

12. Generelle bestemmelser

12.1 Prioritet. I tilfælde af enhver konflikt mellem Aftalens vilkår og disse Krav, har disse Krav forrang med hensyn til databeskyttelse.

12.2 Ændring. Disse krav kan kun ændres ved en skriftlig ændring underskrevet af bemyndigede repræsentanter for begge parter.

12.3 Overlevelse. Forpligtelser vedrørende fortrolighed, datasletning, ansvar og revisionsrettigheder skal fortsat være gældende efter aftalens ophør.

12.4 Gældende lov. Disse krav skal være underlagt og fortolkes i overensstemmelse med den gældende lov, der er angivet i aftalen.