隱私權法憲章

日期 – 2020年01月01日發布

最後修改日期 – 2023年12月06日

適用性:

本文件(「要求」)構成 Shaip(「本公司」)與服務提供者(「供應商/自由工作者/顧問」)之間任何主服務協議、工作說明或其他合約(「協議」)不可分割且具有法律約束力的一部分。

1。 定義

就本要求而言,下列術語應具有下列含義:

  • “適用的資料保護法” 指適用於處理個人資料的所有國際、聯邦、州和地方法律、規則和法規,包括但不限於 GDPR、英國 GDPR、CCPA/CPRA、HIPAA、PIPEDA 和 LGPD。
  • “公司數據” 指公司或代表公司以任何形式或媒介向供應商提供的所有資料、資訊和資料,或由供應商代表公司收集、產生、衍生、假名化、匿名化(如可逆)或處理的所有資料、資訊和資料。這包括項目數據和任何個人數據。
  • “資料外洩” 指任何實際或涉嫌的安全漏洞,導致公司資料被意外或非法破壞、遺失、更改、未經授權揭露或存取。
  • “GDPR” 指《一般資料保護規範》(EU)2016/679。
  • “個人資料” 指公司資料中包含的任何與已識別或可識別的自然人(「資料主體」)有關的資訊。
  • “敏感個人資訊” 指根據適用資料保護法被視為敏感的任何類別的數據,包括但不限於種族或民族血統、政治觀點、宗教或哲學信仰、工會會員資格、基因資料、生物特徵資料、有關健康的資料或有關自然人的性生活或性取向的資料。
  • “處理” 指對公司資料執行的任何操作,例如收集、記錄、組織、儲存、改編、檢索、使用、揭露、傳播或銷毀。
  • “專案數據” 指供應商在向公司提供服務的過程中收集或創建的特定資料(例如語音、圖像、文字)。
  • “子處理器” 指供應商聘請來處理公司資料的任何第三方。

2. 供應商的角色和義務

2.1 作為處理器/子處理器的角色。 供應商承認,在處理公司資料時,其代表公司充當「處理者」或「子處理者」。供應商對公司資料不擁有所有權或獨立權利。

2.2 根據指示處理。 供應商應僅根據本公司書面的合法指示(包括本協議及相關工作說明書中規定的指示)處理公司資料。明確禁止供應商出於自身目的或公司未明確指示的任何目的處理公司資料。指示應包含資料保留和處置要求。如果供應商認為某項指示違反了適用的資料保護法,則必須立即通知本公司。

2.3 遵守法律。 供應商保證並聲明其在履行本協議時將遵守所有適用的資料保護法,並且如果任何法律阻礙遵守或要求披露公司資料(例如政府存取請求),應立即通知本公司。

3.技術和組織安全措施

3.1 安全標準。 供應商應實施並維護適當的技術和組織安全措施,以保護公司資料免於任何資料外洩。這些措施應與風險等級和數據性質相稱,且至少應包括:

  1. 加密: 對所有靜態和傳輸中的公司資料進行加密。
  2. 訪問控制: 基於最小特權的嚴格存取控制,確保只有授權人員才能存取公司資料。
  3. 數據最小化: 僅收集和處理指定項目所需的最少量的個人資料。
  4. 安全環境: 確保用於處理公司資料的所有系統都得到安全配置、修補、記錄和監控。
  5. 安全刪除: 根據公司指示實施安全永久刪除公司資料的流程,包括從備份中刪除。
  6. 身體安全: 保護儲存或存取公司資料的所有實體位置和設備。
  7. 測試和監控: 定期滲透測試、漏洞評估和持續監控。
  8. 業務連續性: 維護事件回應、災難復原和業務連續性計劃。

4. 子處理

4.1 需要事先同意。 未經本公司事先明確書面同意,供應商不得聘請任何子處理器來處理公司資料。

4.2 義務的流動。 如果獲得同意,供應商必須與子處理器簽訂書面協議,對子處理器施加與這些要求對供應商施加的相同或更嚴格的資料保護義務。

4.3 子處理器列表。 供應商應維護最新的子處理商列表,並根據公司要求提供。本公司保留隨時拒絕任何子處理商的權利。

4.4 全部責任。 供應商應對子處理商義務的履行以及子處理商的任何作為或不作為向公司承擔全部責任。

5. 資料外洩通知與管理

5.1 立即通知。 供應商應立即以書面通知本公司,且最遲不得晚於首次發現任何資料外洩後二十四 (24) 小時。

5.2 違規詳情。 通知必須至少:

  1. 描述資料外洩的性質,包括涉及的資料主體和資料記錄的類別和大致數量。
  2. 提供供應商資料保護官或其他相關聯絡點的姓名和聯絡資訊。
  3. 描述資料外洩可能造成的後果。
  4. 描述供應商為解決資料外洩並減輕其影響而採取或提議採取的措施。

5.3 持續更新。 供應商應定期提供最新情況,直到事件完全解決。

5.4 合作。 供應商應全力配合公司對任何資料外洩事件的調查、補救和通知。供應商應承擔因其違反本要求而導致資料外洩的所有相關費用。

6. 國際數據傳輸

6.1 未經公司事先書面同意,供應商不得跨境傳輸公司資料。供應商必須明確指定其將處理公司資料的所有國家。

6.2 如有需要,供應商同意簽署標準合約條款 (SCC)、具有約束力的公司規則 (BCR)、英國附錄或公司授權的任何其他機制,以確保合法的資料傳輸。

6.3 供應商應遵守適用的當地資料駐留要求。

7. 審核和檢查

本公司或其指定的第三方審計機構有權自費進行審計,以驗證供應商是否遵守本要求。供應商應提供所有必要的資訊、文件以及設施和人員的使用權限。

供應商應定期接受第三方認證(例如 ISO 27001、SOC 2)和/或自我評估,並在雙方同意的時間內及時糾正審計或評估中發現的任何缺陷。

8. 資料主體權利援助

供應商應立即(且不遲於四十八 (48) 小時)通知本公司任何資料主體行使其權利(例如存取、更正、刪除、可攜性)的請求。除非公司另有指示,供應商不得直接回應此類請求,並應提供一切必要協助,以便公司做出回應。

9. 資料返回和刪除

本協議終止或公司提出要求時,供應商應根據公司的選擇,在三十 (30) 天內安全刪除或歸還所有公司資料。供應商應確保從備份中刪除所有數據,並提供書面刪除證明。

10.特殊類別的數據

10.1 醫療保健數據(HIPAA): 如果供應商處理任何受保護的健康資訊 (PHI),供應商承認其是 HIPAA 規定的「業務夥伴」(或業務夥伴的分包商)。供應商必須遵守 HIPAA 的要求,並應簽署公司的業務夥伴協議 (BAA)。

10.2 其他敏感資料: 對於涉及敏感個人資料(包括生物特徵資料或兒童資料)的項目,供應商必須獲得公司批准並遵守公司規定的更高安全和處理協議。

11. 賠償和責任

供應商同意為公司、其關聯公司、管理人員和客戶進行辯護、賠償並使其免受因供應商、其員工或其子處理器違反這些要求而引起的或與之相關的任何和所有索賠、責任、損害、損失、罰款、罰金和費用(包括合理的律師費)。

對於涉及資料外洩、監管罰款、故意不當行為或詐欺的違規行為,責任不受限制。

12。 一般規定

12.1 首要地位。 如果本協議的條款與這些要求之間存在任何衝突,則在資料保護方面以這些要求為準。

12.2 修改。 這些要求只能透過雙方授權代表簽署的書面修正案進行修改。

12.3 生存。 與保密、資料刪除、責任和審計權利有關的義務在本協議終止後仍然有效。

12.4 管轄法律。 這些要求應受本協議所規定的管轄法律管轄並依其解釋。