Povelja o zakonima o privatnosti

Datum – Objavljeno 01.01.2020.

Zadnja izmjena – 12.06.2023.

Primjenjivost:

Ovaj dokument („Zahtjevi“) čini sastavni i pravno obvezujući dio svakog Glavnog ugovora o uslugama, Izjave o radu ili drugog ugovora („Ugovor“) između Shaipa („Društvo“) i pružatelja usluga („Dobavljač/freelancer/konzultanti“).

1. Definicije

Za potrebe ovih Zahtjeva, sljedeći pojmovi imaju značenja navedena u nastavku:

  • „Primjenjivi zakoni o zaštiti podataka“ znači sve međunarodne, savezne, državne i lokalne zakone, pravila i propise koji se primjenjuju na obradu osobnih podataka, uključujući, ali ne ograničavajući se na GDPR, UK GDPR, CCPA/CPRA, HIPAA, PIPEDA i LGPD.
  • „Podaci o tvrtki“ znači sve podatke, informacije i materijale, u bilo kojem obliku ili mediju, koje je Dobavljaču pružila tvrtka ili netko u njezino ime, ili koje je prikupljao, generirao, izvodio, pseudonimizirao, anonimizirao (ako je moguće reverzibilno djelovanje) ili obrađivao Dobavljač u ime tvrtke. To uključuje podatke o projektu i sve osobne podatke.
  • "Kršenje podataka" znači svako stvarno ili sumnjivo kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa podacima Društva.
  • “GDPR” znači Opću uredbu o zaštiti podataka (EU) 2016/679.
  • "Osobni podaci" znači bilo koju informaciju koja se odnosi na identificiranu ili prepoznatljivu fizičku osobu („Subjekt podataka“) sadržanu u Podacima Društva.
  • “Osjetljivi osobni podaci” znači bilo koju kategoriju podataka koja se smatra osjetljivom prema primjenjivim zakonima o zaštiti podataka, uključujući, ali ne ograničavajući se na rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja, članstvo u sindikatu, genetske podatke, biometrijske podatke, podatke o zdravlju ili podatke o seksualnom životu ili seksualnoj orijentaciji fizičke osobe.
  • "Obrada" znači bilo koju operaciju izvršenu na podacima tvrtke, kao što je prikupljanje, snimanje, organizacija, pohrana, prilagodba, pronalaženje, korištenje, otkrivanje, širenje ili uništavanje.
  • „Podaci o projektu“ znači specifične podatke (npr. glas, sliku, tekst) koje je Prodavatelj prikupio ili stvorio kao dio usluga pruženih Društvu.
  • „Podizvršitelj obrade“ znači bilo koja treća strana koju je Dobavljač angažirao za Obradu podataka tvrtke.

2. Uloga i obveze prodavatelja

2.1 Uloga obrađivača/podobrađivača. Prodavatelj potvrđuje da prilikom Obrade podataka Društva djeluje kao „Obrađivač“ ili „Podobrađivač“ u ime Društva. Prodavatelj nema vlasništvo niti neovisna prava na podatke Društva.

2.2 Obrada po uputama. Prodavatelj će obrađivati ​​podatke Društva samo u skladu s dokumentiranim, zakonitim uputama Društva, uključujući one navedene u Ugovoru i relevantnim Izjavama o radu. Prodavatelju je izričito zabranjeno obrađivati ​​podatke Društva za vlastite potrebe ili za bilo koju svrhu koju Društvo nije izričito naložilo. Upute moraju uključivati ​​zahtjeve za zadržavanje i odlaganje podataka. Ako Prodavatelj smatra da uputa krši primjenjive zakone o zaštiti podataka, mora odmah obavijestiti Društvo.

2.3 Poštivanje zakona. Prodavatelj jamči i izjavljuje da će se pridržavati svih primjenjivih zakona o zaštiti podataka u izvršavanju Ugovora te da će odmah obavijestiti Društvo ako bilo koji zakon sprječava usklađenost ili zahtijeva otkrivanje podataka Društva (npr. zahtjevi vlade za pristup).

3. Tehničke i organizacijske sigurnosne mjere

3.1 Sigurnosni standardi. Prodavatelj će implementirati i održavati odgovarajuće tehničke i organizacijske sigurnosne mjere kako bi zaštitio podatke Društva od bilo kakvog kršenja podataka. Ove mjere moraju biti sukladne razini rizika i prirodi podataka te moraju, kao minimum, uključivati:

  1. Šifriranje: Šifriranje svih podataka tvrtke u mirovanju i tijekom prijenosa.
  2. Kontrola pristupa: Stroge kontrole pristupa temeljene na minimalnim privilegijama, osiguravajući da samo ovlašteno osoblje ima pristup podacima tvrtke.
  3. Minimizacija podataka: Prikupljanje i obrada samo minimalne količine osobnih podataka potrebnih za određeni projekt.
  4. Sigurna okruženja: Osiguravanje da su svi sustavi koji se koriste za obradu podataka tvrtke sigurno konfigurirani, ažurirani, zabilježeni i nadzirani.
  5. Sigurno brisanje: Implementacija procesa za sigurno i trajno brisanje podataka Društva prema uputama Društva, uključujući brisanje iz sigurnosnih kopija.
  6. Fizičko osiguranje: Osiguravanje svih fizičkih lokacija i uređaja na kojima se pohranjuju ili im se pristupa.
  7. Testiranje i praćenje: Redovito testiranje penetracije, procjene ranjivosti i kontinuirano praćenje.
  8. Kontinuitet poslovanja: Održavanje planova za odgovor na incidente, oporavak od katastrofe i kontinuitet poslovanja.

4. Podobrada

4.1 Potrebna je prethodna suglasnost. Prodavatelj ne smije angažirati nijednog Podobrađivača za Obradu Podataka Društva bez prethodne, izričite pisane suglasnosti Društva.

4.2 Smanjenje obveza. Ako je privola dana, Prodavatelj mora sklopiti pisani ugovor s Podobrađivačem kojim se Podobrađivaču nameću iste ili strože obveze zaštite podataka kao što su Prodavatelju nametnute ovim Zahtjevima.

4.3 Popis podobrađivača. Prodavatelj će voditi ažurirani popis Podobrađivača i dostaviti ga Društvu na zahtjev. Društvo zadržava pravo prigovora na bilo kojeg Podobrađivača u bilo kojem trenutku.

4.4 Puna odgovornost. Prodavatelj ostaje u potpunosti odgovoran Društvu za izvršavanje obveza Podobrađivača i za bilo kakav čin ili propust Podobrađivača.

5. Obavještavanje o kršenju podataka i upravljanje njime

5.1 Neposredna obavijest. Prodavatelj će pismeno obavijestiti Društvo bez nepotrebnog odgađanja, a ni u kojem slučaju kasnije od dvadeset četiri (24) sata nakon što je prvi put saznao za bilo kakvu povredu podataka.

5.2 Pojedinosti o kršenju. Obavijest mora, najmanje:

  1. Opišite prirodu povrede podataka, uključujući kategorije i približan broj ispitanika i dotičnih zapisa podataka.
  2. Navedite ime i kontakt podatke službenika za zaštitu podataka Prodavatelja ili druge relevantne kontaktne osobe.
  3. Opišite vjerojatne posljedice kršenja podataka.
  4. Opišite mjere koje je Prodavatelj poduzeo ili predložio poduzeti kako bi se riješio problem povrede podataka i ublažili njegovi učinci.

5.3 Kontinuirana ažuriranja. Prodavatelj će pružati redovita ažuriranja dok se incident u potpunosti ne riješi.

5.4 Suradnja. Prodavatelj će u potpunosti surađivati ​​s Društvom u istrazi, sanaciji i obavještavanju o bilo kakvom Povredu podataka. Prodavatelj će snositi sve troškove povezane s Povredom podataka u mjeri u kojoj je to uzrokovano njegovim kršenjem ovih Zahtjeva.

6. Međunarodni prijenosi podataka

6.1 Prodavatelj ne smije prenositi podatke Društva preko međunarodnih granica bez prethodne pisane suglasnosti Društva. Prodavatelj mora navesti sve zemlje u kojima će Obrađivati ​​podatke Društva.

6.2 Gdje je potrebno, Prodavatelj pristaje sklopiti Standardne ugovorne klauzule (SCC), Obvezujuća korporativna pravila (BCR), Dodatak za UK ili bilo koji drugi mehanizam koji je Društvo propisalo kako bi se osigurao zakonit prijenos podataka.

6.3 Prodavatelj će se pridržavati lokalnih zahtjeva za smještaj podataka gdje je to primjenjivo.

7. Revizije i inspekcije

Društvo ili njegov imenovani revizor treće strane ima pravo provoditi revizije, o vlastitom trošku, kako bi provjerio usklađenost Prodavatelja s ovim Zahtjevima. Prodavatelj je dužan osigurati sve potrebne informacije, dokumentaciju te pristup objektima i osoblju.

Dobavljač će redovito provoditi certifikacije trećih strana (npr. ISO 27001, SOC 2) i/ili samoprocjene te će odmah otkloniti sve nedostatke utvrđene revizijama ili procjenama unutar međusobno dogovorenog vremenskog okvira.

8. Pomoć u vezi s pravima ispitanika

Prodavatelj će odmah, a ni u kojem slučaju kasnije od četrdeset osam (48) sati, obavijestiti Društvo o svakom zahtjevu primljenom od Ispitanika za ostvarivanje njegovih prava (npr. pristup, ispravak, brisanje, prenosivost). Prodavatelj neće izravno odgovoriti na takve zahtjeve osim ako mu Društvo ne da druge upute te će pružiti svu potrebnu pomoć kako bi se omogućio odgovor Društva.

9. Povrat i brisanje podataka

Po raskidu Ugovora ili na zahtjev Društva, Prodavatelj će, po izboru Društva, sigurno izbrisati ili vratiti sve podatke Društva u roku od trideset (30) dana. Prodavatelj će osigurati brisanje iz sigurnosnih kopija i dostaviti pisanu potvrdu o takvom brisanju.

10. Posebne kategorije podataka

10.1 Podaci o zdravstvenoj zaštiti (HIPAA): Ako Dobavljač obrađuje bilo koje Zaštićene zdravstvene podatke (PHI), Dobavljač potvrđuje da je „Poslovni suradnik“ (ili podizvođač Poslovnog suradnika) prema HIPAA-i. Dobavljač se mora pridržavati HIPAA zahtjeva i potpisati Ugovor o poslovnom suradniku (BAA) Društva.

10.2 Ostali osjetljivi podaci: Za projekte koji uključuju osjetljive osobne podatke (uključujući biometrijske podatke ili podatke djece), Dobavljač mora dobiti odobrenje Društva i pridržavati se pojačanih sigurnosnih i protokola rukovanja koje je odredilo Društvo.

11. Odšteta i odgovornost

Prodavatelj se slaže braniti, obeštetiti i osloboditi odgovornosti Društvo, njegove podružnice, službenike i klijente od svih potraživanja, odgovornosti, šteta, gubitaka, kazni, penala i troškova (uključujući razumne odvjetničke troškove) koji proizlaze iz ili su povezani s bilo kakvim kršenjem ovih Zahtjeva od strane Prodavatelja, njegovih zaposlenika ili njegovih Podizvođača.

Odgovornost neće biti ograničena za povrede koje uključuju povrede podataka, regulatorne kazne, namjerno nedolično ponašanje ili prijevaru.

12. Opće odredbe

12.1 Primaritet. U slučaju bilo kakvog sukoba između uvjeta Ugovora i ovih Zahtjeva, ovi Zahtjevi imaju prednost u pogledu zaštite podataka.

12.2 Izmjena. Ovi Zahtjevi mogu se mijenjati samo pisanim amandmanom potpisanim od strane ovlaštenih predstavnika obje strane.

12.3 Preživljavanje. Obveze koje se odnose na povjerljivost, brisanje podataka, odgovornost i prava revizije ostat će na snazi ​​i nakon raskida Ugovora.

12.4 Mjerodavno pravo. Ovi Zahtjevi podliježu i tumače se u skladu s mjerodavnim pravom utvrđenim u Ugovoru.