Харта за законите за поверителност

Дата – Публикувано на 01.01.2020 г.

Последна промяна – 12.06.2023 г.

Приложимост:

Този документ („Изисквания“) представлява неразделна и правно обвързваща част от всяко Рамково споразумение за услуги, Работно описание или друг договор („Споразумение“) между Shaip („Компанията“) и доставчика на услуги („Доставчик/фрийлансъри/консултанти“).

1. Определения

За целите на настоящите Изисквания, следните термини имат значенията, посочени по-долу:

  • „Приложими закони за защита на данните“ означава всички международни, федерални, щатски и местни закони, правила и разпоредби, приложими за обработката на лични данни, включително, но не само, GDPR, UK GDPR, CCPA/CPRA, HIPAA, PIPEDA и LGPD.
  • „Данни за компанията“ означава всички данни, информация и материали, във всякаква форма или носител, предоставени на Доставчика от или от името на Дружеството, или събрани, генерирани, извлечени, псевдонимизирани, анонимизирани (ако е възможна обратимост) или обработени от Доставчика от името на Дружеството. Това включва Данни за проекта и всякакви Лични данни.
  • „Нарушение на данните“ означава всяко действително или предполагаемо нарушение на сигурността, водещо до случайно или незаконно унищожаване, загуба, промяна, неразрешено разкриване или достъп до Данни на компанията.
  • "БВП е" означава Общия регламент относно защитата на данните (ЕС) 2016/679.
  • "Лични данни" означава всяка информация, свързана с идентифицирано или идентифицируемо физическо лице („Субект на данни“), съдържаща се в Данните на компанията.
  • „Чувствителни лични данни“ означава всяка категория данни, считани за чувствителни съгласно приложимите закони за защита на данните, включително, но не само, расов или етнически произход, политически възгледи, религиозни или философски убеждения, членство в синдикати, генетични данни, биометрични данни, данни относно здравето или данни относно сексуалния живот или сексуалната ориентация на физическо лице.
  • "Обработка" означава всяка операция, извършена с Данни на компанията, като например събиране, записване, организиране, съхранение, адаптиране, извличане, използване, разкриване, разпространение или унищожаване.
  • „Данни за проекта“ означава специфичните данни (напр. глас, изображение, текст), събрани или създадени от Доставчика като част от услугите, предоставяни на Дружеството.
  • „Подизпълнител“ означава всяка трета страна, ангажирана от Доставчика за обработка на данни на компанията.

2. Роля и задължения на доставчика

2.1 Роля на обработващ/подизпълнител. Доставчикът потвърждава, че при обработката на данни на компанията, той действа като „Обработващ“ или „Подизпълнител“ от името на компанията. Доставчикът няма собственост или независими права върху данните на компанията.

2.2 Обработка по инструкция. Доставчикът ще обработва Данните на компанията само в съответствие с документираните, законосъобразни инструкции на компанията, включително тези, посочени в Споразумението и съответните работни условия. На Доставчика е изрично забранено да обработва Данните на компанията за свои собствени цели или за каквато и да е цел, която не е изрично указана от компанията. Инструкциите трябва да включват изисквания за съхранение и унищожаване на данни. Ако Доставчикът смята, че дадена инструкция нарушава Приложимите закони за защита на данните, той трябва незабавно да информира компанията.

2.3 Спазване на законите. Доставчикът гарантира и декларира, че ще спазва всички Приложими закони за защита на данните при изпълнението на Споразумението и ще уведоми своевременно Дружеството, ако някой закон възпрепятства спазването на изискванията или изисква разкриване на Данните на Дружеството (напр. искания за достъп от страна на правителството).

3. Технически и организационни мерки за сигурност

3.1 Стандарти за сигурност. Доставчикът е длъжен да внедри и поддържа подходящи технически и организационни мерки за сигурност, за да защити данните на компанията от всяко нарушение на сигурността на данните. Тези мерки трябва да са съобразени с нивото на риск и естеството на данните и трябва да включват най-малко:

  1. Encryption: Криптиране на всички данни на компанията в състояние на съхранение и по време на пренос.
  2. Контрол на достъпа: Строг контрол на достъпа, базиран на минимални привилегии, гарантиращ, че само оторизиран персонал има достъп до данните на компанията.
  3. Минимизиране на данните: Събиране и обработка само на минималното количество лични данни, необходимо за посочения проект.
  4. Сигурни среди: Осигуряване на сигурно конфигуриране, инсталиране на корекции, регистриране и наблюдение на всички системи, използвани за обработка на фирмени данни.
  5. Сигурно изтриване: Внедряване на процеси за сигурно и окончателно изтриване на данните на компанията по инструкция от компанията, включително изтриване от резервни копия.
  6. Физическа охрана: Осигуряване на сигурност на всички физически местоположения и устройства, където се съхраняват или се осъществява достъп до фирмени данни.
  7. Тестване и мониторинг: Редовни тестове за проникване, оценки на уязвимости и непрекъснато наблюдение.
  8. Непрекъснатост на бизнеса: Поддържане на планове за реагиране при инциденти, възстановяване след бедствия и осигуряване на непрекъснатост на бизнеса.

4. Подизпълнение

4.1 Изисква се предварително съгласие. Доставчикът няма право да ангажира Подизпълнител за обработка на данни от Дружеството без предварителното, изрично писмено съгласие на Дружеството.

4.2 Изтичане на задълженията. Ако бъде дадено съгласие, Доставчикът трябва да сключи писмено споразумение с Подизпълнителя, което налага на Подизпълнителя същите или по-строги задължения за защита на данните, каквито са наложени на Доставчика от настоящите Изисквания.

4.3 Списък на подизпълнителите. Доставчикът е длъжен да поддържа актуален списък с Подизпълнители и да го предоставя на Дружеството при поискване. Дружеството си запазва правото да възрази срещу всеки Подизпълнител по всяко време.

4.4 Пълна отговорност. Доставчикът остава изцяло отговорен пред Дружеството за изпълнението на задълженията на Подизпълнителя и за всяко действие или бездействие на Подизпълнителя.

5. Уведомяване и управление на нарушения на данните

5.1 Незабавно уведомяване. Доставчикът е длъжен да уведоми писмено Дружеството без ненужно забавяне и в никакъв случай не по-късно от двадесет и четири (24) часа след първото узнаване за нарушение на данните.

5.2 Подробности за нарушението. Уведомлението трябва най-малко:

  1. Опишете естеството на нарушението на данните, включително категориите и приблизителния брой на засегнатите Субекти на данни и записи с данни.
  2. Посочете името и данните за контакт на длъжностното лице по защита на данните на Доставчика или друго подходящо лице за контакт.
  3. Опишете вероятните последици от нарушението на данните.
  4. Опишете мерките, предприети или предложени да бъдат предприети от Доставчика за справяне с нарушението на данните и смекчаване на неговите последици.

5.3 Текущи актуализации. Доставчикът ще предоставя редовни актуализации, докато инцидентът не бъде напълно разрешен.

5.4 Сътрудничество. Доставчикът ще сътрудничи изцяло на Дружеството при разследването, отстраняването на проблемите и уведомяването за всяко нарушение на данните. Доставчикът ще поеме всички разходи, свързани с нарушение на данните, до степента, причинена от нарушението на тези Изисквания.

6. Международни трансфери на данни

6.1 Доставчикът няма право да прехвърля Данни на компанията през международни граници без предварителното писмено съгласие на Компанията. Доставчикът трябва да посочи всички държави, в които ще обработва Данни на компанията.

6.2 Когато е необходимо, Доставчикът се съгласява да сключи Стандартни договорни клаузи (СДК), Задължителни корпоративни правила (ЗКП), Допълнение за Обединеното кралство или друг механизъм, определен от Компанията, за да се гарантира законосъобразно прехвърляне на данни.

6.3 Доставчикът е длъжен да спазва местните изисквания за местожителство на данните, където е приложимо.

7. Одити и инспекции

Дружеството или определен от него външен одитор има право да провежда одити за своя сметка, за да провери спазването на тези Изисквания от страна на Доставчика. Доставчикът е длъжен да предостави цялата необходима информация, документация и достъп до съоръжения и персонал.

Доставчикът ще се подлага на редовни сертификации от трети страни (напр. ISO 27001, SOC 2) и/или самооценки и своевременно ще отстранява всички недостатъци, установени при одити или оценки, в рамките на взаимно договорен срок.

8. Съдействие във връзка с правата на субекта на данни

Доставчикът е длъжен своевременно и в никакъв случай не по-късно от четиридесет и осем (48) часа да уведоми Дружеството за всяко искане, получено от Субект на данни за упражняване на неговите права (напр. достъп, коригиране, изтриване, преносимост). Доставчикът няма да отговаря директно на такива искания, освен ако не е инструктиран от Дружеството, и е длъжен да предостави цялото необходимо съдействие, за да може Дружеството да отговори.

9. Връщане и изтриване на данни

При прекратяване на Споразумението или по искане на Дружеството, Доставчикът е длъжен, по избор на Дружеството, да изтрие или върне сигурно всички Данни на Дружеството в рамките на тридесет (30) дни. Доставчикът е длъжен да осигури изтриването от резервни копия и да предостави писмено удостоверение за това изтриване.

10. Специални категории данни

10.1 Данни за здравеопазване (HIPAA): Ако Доставчикът обработва защитена здравна информация (PHI), той потвърждава, че е „бизнес партньор“ (или подизпълнител на бизнес партньор) съгласно HIPAA. Доставчикът трябва да спазва изискванията на HIPAA и да подпише Споразумението за бизнес партньорство (BAA) на Компанията.

10.2 Други чувствителни данни: За проекти, включващи чувствителни лични данни (включително биометрични данни или данни от деца), Доставчикът трябва да получи одобрение от Компанията и да спазва протоколите за повишена сигурност и обработка, както е посочено от Компанията.

11. Обезщетение и отговорност

Доставчикът се съгласява да защитава, обезщетява и освобождава от отговорност Компанията, нейните филиали, служители и клиенти от всякакви искове, отговорности, щети, загуби, глоби, санкции и разходи (включително разумни адвокатски хонорари), произтичащи от или свързани с каквото и да е нарушение на тези Изисквания от страна на Доставчика, неговите служители или неговите подизпълнители.

Отговорността не се ограничава за нарушения, включващи нарушения на данните, регулаторни глоби, умишлено нарушение или измама.

12. Общи положения

12.1 Първенство. В случай на противоречие между условията на Споразумението и настоящите Изисквания, настоящите Изисквания имат предимство по отношение на защитата на данните.

12.2 Модификация. Тези Изисквания могат да бъдат променяни само с писмено изменение, подписано от упълномощени представители на двете страни.

12.3 Оцеляване. Задълженията, свързани с поверителност, изтриване на данни, отговорност и права за одит, остават в сила след прекратяване на Споразумението.

12.4 Приложим закон. Тези Изисквания се уреждат и тълкуват в съответствие с приложимото право, посочено в Споразумението.