Privātuma likumu harta

Datums – Izdošanas datums: 2020. gada 1. janvāris

Pēdējoreiz modificēts – 2023. gada 6. decembrī

Piemērojamība:

Šis dokuments (“Prasības”) ir neatņemama un juridiski saistoša jebkura vispārējā pakalpojumu līguma, darba apraksta vai cita līguma (“Vienošanās”) starp Shaip (“Uzņēmums”) un pakalpojumu sniedzēju (“Pārdevējs/ārštata darbinieks/konsultanti”) sastāvdaļa.

1. Definīcijas

Šo Prasību izpratnē turpmāk minētajiem terminiem ir šāda nozīme:

  • “Piemērojamie datu aizsardzības likumi” nozīmē visus starptautiskos, federālos, štatu un vietējos likumus, noteikumus un regulējumus, kas piemērojami personas datu apstrādei, tostarp, bet ne tikai, GDPR, Apvienotās Karalistes GDPR, CCPA/CPRA, HIPAA, PIPEDA un LGPD.
  • "Uzņēmuma dati" nozīmē visus datus, informāciju un materiālus jebkādā formā vai vidē, ko Pārdevējam sniedz Sabiedrība vai kas tiek sniegti tās vārdā, vai ko Pārdevējs apkopo, ģenerē, atvasina, pseidonimizē, anonimizē (ja atgriezeniskums ir iespējams) vai apstrādā Sabiedrības vārdā. Tas ietver Projekta datus un jebkādus Personas datus.
  • “Datu pārkāpums” nozīmē jebkuru faktisku vai iespējamu drošības pārkāpumu, kas noved pie nejaušas vai nelikumīgas Uzņēmuma datu iznīcināšanas, nozaudēšanas, pārveidošanas, neatļautas izpaušanas vai piekļuves tiem.
  • "IKP" nozīmē Vispārīgo datu aizsardzības regulu (ES) 2016/679.
  • "Personas dati" nozīmē jebkādu informāciju, kas attiecas uz identificētu vai identificējamu fizisku personu (“Datu subjektu”), kas ietverta Uzņēmuma datos.
  • “Sensitīvi personas dati” nozīmē jebkuru datu kategoriju, kas saskaņā ar piemērojamajiem datu aizsardzības tiesību aktiem tiek uzskatīta par sensitīvu, tostarp, bet ne tikai, rases vai etnisko izcelsmi, politiskos uzskatus, reliģisko vai filozofisko pārliecību, dalību arodbiedrībās, ģenētiskos datus, biometriskos datus, datus par veselību vai datus par fiziskas personas seksuālo dzīvi vai seksuālo orientāciju.
  • "Apstrāde" nozīmē jebkuru darbību, kas veikta ar Uzņēmuma datiem, piemēram, vākšana, reģistrēšana, organizēšana, glabāšana, pielāgošana, atgūšana, izmantošana, izpaušana, izplatīšana vai iznīcināšana.
  • "Projekta dati" nozīmē konkrētus datus (piemēram, balsi, attēlu, tekstu), ko Pārdevējs apkopo vai izveido kā daļu no Uzņēmumam sniegtajiem pakalpojumiem.
  • “Apakšapstrādātājs” nozīmē jebkuru trešo personu, ko Pārdevējs piesaista Uzņēmuma datu apstrādei.

2. Pārdevēja loma un pienākumi

2.1 Apstrādātāja/apakšapstrādātāja loma. Pārdevējs atzīst, ka, apstrādājot Uzņēmuma datus, tas darbojas kā “Apstrādātājs” vai “Apakšapstrādātājs” Uzņēmuma vārdā. Pārdevējam nav īpašumtiesību vai neatkarīgu tiesību uz Uzņēmuma datiem.

2.2 Apstrāde pēc norādījuma. Pārdevējs apstrādās Uzņēmuma datus tikai saskaņā ar Uzņēmuma dokumentētajiem, likumīgajiem norādījumiem, tostarp tiem, kas izklāstīti Līgumā un attiecīgajos Darba aprakstos. Pārdevējam ir stingri aizliegts apstrādāt Uzņēmuma datus saviem mērķiem vai jebkādiem citiem mērķiem, ko Uzņēmums nav skaidri norādījis. Norādījumos jāiekļauj datu saglabāšanas un iznīcināšanas prasības. Ja Pārdevējs uzskata, ka norādījums pārkāpj Piemērojamos Datu aizsardzības likumus, tam nekavējoties jāinformē Uzņēmums.

2.3 Atbilstība likumiem. Pārdevējs garantē un apliecina, ka, izpildot Līgumu, tas ievēros visus piemērojamos datu aizsardzības likumus un nekavējoties paziņos Sabiedrībai, ja kāds likums neļauj ievērot noteikumus vai pieprasa izpaust Uzņēmuma datus (piemēram, valdības piekļuves pieprasījumi).

3. Tehniskie un organizatoriskie drošības pasākumi

3.1 Drošības standarti. Pārdevējam ir jāievieš un jāuztur atbilstoši tehniskie un organizatoriskie drošības pasākumi, lai aizsargātu Uzņēmuma datus pret jebkādu datu noplūdi. Šiem pasākumiem ir jābūt atbilstošiem riska līmenim un datu raksturam, un tajos jāiekļauj vismaz:

  1. Šifrēšana: Visu uzņēmuma datu šifrēšana gan miera stāvoklī, gan pārsūtīšanas laikā.
  2. Piekļuves kontrole: Stingra piekļuves kontrole, kuras pamatā ir minimālo privilēģiju princips, nodrošinot, ka uzņēmuma datiem ir piekļuve tikai pilnvarotām personām.
  3. Datu minimizēšana: Apkopojot un apstrādājot tikai minimālo personas datu apjomu, kas nepieciešams konkrētajam projektam.
  4. Droša vide: Nodrošināt, ka visas sistēmas, ko izmanto uzņēmuma datu apstrādei, ir droši konfigurētas, ielāpotas, reģistrētas un uzraudzītas.
  5. Droša dzēšana: Ieviest procesus uzņēmuma datu drošai un neatgriezeniskai dzēšanai pēc uzņēmuma norādījumiem, tostarp dzēšanai no dublējumkopijām.
  6. Fiziskā drošība: Nodrošināt visu fizisko atrašanās vietu un ierīču, kurās tiek glabāti vai kuriem tiek piekļūts uzņēmuma datos, drošību.
  7. Testēšana un uzraudzība: Regulāra ielaušanās testēšana, ievainojamību novērtējumi un nepārtraukta uzraudzība.
  8. Darbības nepārtrauktība: Uzturēt incidentu reaģēšanas, katastrofu seku novēršanas un uzņēmējdarbības nepārtrauktības plānus.

4. Apakšapstrāde

4.1 Nepieciešama iepriekšēja piekrišana. Pārdevējs nedrīkst iesaistīt nevienu apakšapstrādātāju Uzņēmuma datu apstrādei bez iepriekšējas, īpašas Uzņēmuma rakstiskas piekrišanas.

4.2 Saistību secīga pārņemšana. Ja piekrišana tiek sniegta, Pārdevējam ir jānoslēdz rakstisks līgums ar Apakšapstrādātāju, kas Apakšapstrādātājam uzliek tādas pašas vai stingrākas datu aizsardzības saistības, kādas Pārdevējam uzliek šīs Prasības.

4.3 Apakšapstrādātāju saraksts. Pārdevējam ir jāuztur atjaunināts Apakšapstrādātāju saraksts un pēc pieprasījuma jāsniedz to Sabiedrībai. Sabiedrība patur tiesības jebkurā laikā iebilst pret jebkuru Apakšapstrādātāju.

4.4 Pilnīga atbildība. Pārdevējs ir pilnībā atbildīgs Sabiedrības priekšā par Apakšapstrādātāja pienākumu izpildi un par jebkuru Apakšapstrādātāja darbību vai bezdarbību.

5. Datu pārkāpumu paziņošana un pārvaldība

5.1 Nekavējoties jāpaziņo. Pārdevējam nekavējoties un nekādā gadījumā divdesmit četru (24) stundu laikā pēc tam, kad viņš pirmo reizi uzzinājis par jebkuru Datu noplūdi, rakstiski jāpaziņo Sabiedrībai.

5.2 Pārkāpuma detaļas. Paziņojumā jāiekļauj vismaz:

  1. Aprakstiet datu pārkāpuma būtību, tostarp norādot attiecīgo datu subjektu kategorijas un aptuveno skaitu, kā arī datu ierakstus.
  2. Norādiet Pārdevēja datu aizsardzības speciālista vai citas attiecīgās kontaktpersonas vārdu, uzvārdu un kontaktinformāciju.
  3. Aprakstiet iespējamās datu pārkāpuma sekas.
  4. Aprakstiet pasākumus, ko Pārdevējs ir veicis vai ierosinājis veikt, lai novērstu datu noplūdi un mazinātu tās sekas.

5.3 Pastāvīgie atjauninājumi. Pārdevējs regulāri sniegs jaunāko informāciju, līdz incidents ir pilnībā atrisināts.

5.4 Sadarbība. Pārdevējam pilnībā jāsadarbojas ar Sabiedrību jebkura Datu pārkāpuma izmeklēšanā, novēršanā un paziņošanā. Pārdevējs sedz visas ar Datu pārkāpumu saistītās izmaksas tādā apmērā, kādā tās radušās tā šo Prasību pārkāpuma rezultātā.

6. Starptautiskā datu pārsūtīšana

6.1 Pārdevējs nedrīkst nodot Uzņēmuma datus pāri starptautiskām robežām bez iepriekšējas Uzņēmuma rakstiskas piekrišanas. Pārdevējam ir jānorāda visas valstis, kurās tas apstrādās Uzņēmuma datus.

6.2 Ja nepieciešams, Pārdevējs piekrīt noslēgt standarta līguma klauzulas (SCC), saistošos uzņēmuma noteikumus (BCR), Apvienotās Karalistes papildinājumu vai jebkuru citu Sabiedrības noteiktu mehānismu, lai nodrošinātu likumīgu datu pārsūtīšanu.

6.3 Pārdevējam ir jāievēro vietējās datu glabāšanas prasības, ja tādas ir piemērojamas.

7. Revīzijas un pārbaudes

Uzņēmumam vai tā pilnvarotajam trešās puses auditoram ir tiesības par saviem līdzekļiem veikt auditus, lai pārbaudītu Pārdevēja atbilstību šīm Prasībām. Pārdevējam ir jānodrošina visa nepieciešamā informācija, dokumentācija, kā arī piekļuve telpām un personālam.

Piegādātājam ir jāveic regulāras trešo pušu sertifikācijas (piemēram, ISO 27001, SOC 2) un/vai pašnovērtējumi, kā arī nekavējoties jānovērš visi auditos vai novērtējumos konstatētie trūkumi savstarpēji saskaņotā termiņā.

8. Palīdzība datu subjekta tiesību jomā

Pārdevējam nekavējoties un ne vēlāk kā četrdesmit astoņu (48) stundu laikā jāpaziņo Sabiedrībai par jebkuru no Datu subjekta saņemtu pieprasījumu īstenot savas tiesības (piemēram, piekļuve, labošana, dzēšana, pārnesamība). Pārdevējs neatbildēs tieši uz šādiem pieprasījumiem, ja vien Sabiedrība to nenorādīs, un sniegs visu nepieciešamo palīdzību, lai Sabiedrība varētu atbildēt.

9. Datu atgriešana un dzēšana

Pēc Līguma izbeigšanas vai pēc Sabiedrības pieprasījuma Pārdevējs pēc Sabiedrības izvēles trīsdesmit (30) dienu laikā droši izdzēš vai atdod visus Sabiedrības datus. Pārdevējs nodrošina datu dzēšanu no dublējumkopijām un sniedz rakstisku apliecinājumu par šādu dzēšanu.

10. Īpašas datu kategorijas

10.1 Veselības aprūpes dati (HIPAA): Ja Pārdevējs apstrādā jebkādu aizsargātu veselības informāciju (PHI), Pārdevējs atzīst, ka saskaņā ar HIPAA tas ir “Uzņēmējdarbības partneris” (vai Uzņēmējdarbības partnera apakšuzņēmējs). Pārdevējam ir jāievēro HIPAA prasības un jāparaksta Uzņēmuma Uzņēmējdarbības partnera līgums (BAA).

10.2 Citi sensitīvi dati: Projektiem, kas saistīti ar sensitīviem personas datiem (tostarp biometriskajiem datiem vai bērnu datiem), Pārdevējam ir jāsaņem Uzņēmuma apstiprinājums un jāievēro Uzņēmuma noteiktie paaugstinātie drošības un apstrādes protokoli.

11. Atlīdzināšana un atbildība

Pārdevējs piekrīt aizstāvēt, atlīdzināt un pasargāt Sabiedrību, tās filiāles, amatpersonas un klientus no jebkādām prasībām, saistībām, zaudējumiem, naudas sodiem, sodiem un izdevumiem (tostarp saprātīgām advokātu honorāriem), kas izriet no vai ir saistīti ar jebkuru šo Prasību pārkāpumu no Pārdevēja, tā darbinieku vai tā Apakšapstrādātāju puses.

Atbildība netiek ierobežota par pārkāpumiem, kas saistīti ar datu noplūdēm, normatīvajiem sodiem, tīšu pārkāpumu vai krāpšanu.

12. Vispārīgie noteikumi

12.1 Primāts. Jebkādu pretrunu gadījumā starp Līguma noteikumiem un šīm Prasībām, datu aizsardzības jautājumos priekšroka dodama šīm Prasībām.

12.2 Modifikācija. Šīs Prasības var grozīt tikai ar rakstisku grozījumu, ko parakstījuši abu pušu pilnvaroti pārstāvji.

12.3 Izdzīvošana. Pienākumi attiecībā uz konfidencialitāti, datu dzēšanu, atbildību un audita tiesībām paliek spēkā arī pēc Līguma izbeigšanas.

12.4 Piemērojamie tiesību akti. Šīs Prasības regulē un interpretē saskaņā ar Līgumā noteiktajiem piemērojamajiem tiesību aktiem.