Tietosuojalakien peruskirja

Päivämäärä – Julkaistu 01.01.2020

Viimeksi muokattu – 12.06.2023

Koskee:

Tämä asiakirja (”Vaatimukset”) on olennainen ja oikeudellisesti sitova osa kaikkia Shaipin (”Yritys”) ja palveluntarjoajan (”Toimittaja/freelanceri/konsultit”) välisiä yleisiä palvelusopimuksia, työsuunnitelmaa tai muita sopimuksia (”Sopimus”).

1. Määritelmät

Näissä vaatimuksissa seuraavilla termeillä on seuraavat merkitykset:

  • "Sovellettavat tietosuojalait" tarkoittaa kaikkia kansainvälisiä, liittovaltion, osavaltion ja paikallisia lakeja, sääntöjä ja määräyksiä, joita sovelletaan henkilötietojen käsittelyyn, mukaan lukien, mutta ei rajoittuen, GDPR, Yhdistyneen kuningaskunnan GDPR, CCPA/CPRA, HIPAA, PIPEDA ja LGPD.
  • "Yrityksen tiedot" tarkoittaa kaikkia tietoja, materiaaleja ja materiaaleja missä tahansa muodossa tai välineellä, jotka Yhtiö on toimittanut Myyjälle tai jotka joku on toimittanut Yhtiön puolesta, tai jotka on kerätty, luotu, johdettu, pseudonymisoitu, anonymisoitu (jos palautuvuus on mahdollista) tai joita Myyjä on käsitellyt Yhtiön puolesta. Tämä sisältää Projektitiedot ja kaikki Henkilötiedot.
  • "Tietomurto" tarkoittaa mitä tahansa todellista tai epäiltyä tietoturvaloukkausta, joka johtaa yrityksen tietojen tahattomaan tai laittomaan tuhoutumiseen, katoamiseen, muuttamiseen, luvattomaan paljastamiseen tai niiden käyttöön.
  • "BKT" tarkoittaa yleistä tietosuoja-asetusta (EU) 2016/679.
  • "Henkilökohtaiset tiedot" tarkoittaa mitä tahansa tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön ("Rekisteröity") liittyviä tietoja, jotka sisältyvät Yhtiön tietoihin.
  • "Arkaluonteiset henkilötiedot" tarkoittaa mitä tahansa tietoluokkaa, jota pidetään arkaluonteisena sovellettavien tietosuojalakien nojalla, mukaan lukien, mutta ei rajoittuen, rotu tai etninen alkuperä, poliittiset mielipiteet, uskonnolliset tai filosofiset vakaumukset, ammattiliiton jäsenyys, geneettiset tiedot, biometriset tiedot, terveyttä koskevat tiedot tai tiedot luonnollisen henkilön seksuaalisesta elämästä tai suuntautumisesta.
  • "Käsittely" tarkoittaa mitä tahansa Yhtiön tiedoille suoritettavaa toimintoa, kuten keräämistä, tallentamista, järjestämistä, säilyttämistä, muokkaamista, hakemista, käyttöä, paljastamista, levittämistä tai tuhoamista.
  • "Projektitiedot" tarkoittaa tiettyjä tietoja (esim. ääni, kuva, teksti), jotka Toimittaja on kerännyt tai luonut osana Yhtiölle toimitettuja palveluita.
  • "aliprosessori" tarkoittaa mitä tahansa kolmatta osapuolta, jonka Myyjä on palkannut käsittelemään Yhtiön tietoja.

2. Myyjän rooli ja velvollisuudet

2.1 Rooli käsittelijänä/alikäsittelijänä. Myyjä hyväksyy, että Yhtiön tietoja käsitellessään se toimii Yhtiön puolesta "käsittelijänä" tai "alikäsittelijänä". Myyjällä ei ole omistusoikeutta tai itsenäisiä oikeuksia Yhtiön tietoihin.

2.2 Käsittely käskystä. Myyjä käsittelee Yhtiön tietoja ainoastaan ​​Yhtiön dokumentoitujen ja laillisten ohjeiden mukaisesti, mukaan lukien Sopimuksessa ja asiaankuuluvissa työtehtävissä esitetyt ohjeet. Myyjällä on nimenomaisesti kiellettyä käsitellä Yhtiön tietoja omiin tarkoituksiinsa tai mihinkään muuhun tarkoitukseen kuin Yhtiön nimenomaisesti ohjeistamaan. Ohjeiden tulee sisältää tietojen säilytys- ja hävittämisvaatimukset. Jos Myyjä katsoo, että ohje rikkoo sovellettavia tietosuojalakeja, sen on ilmoitettava siitä välittömästi Yhtiölle.

2.3 Lakien noudattaminen. Myyjä takaa ja vakuuttaa noudattavansa kaikkia sovellettavia tietosuojalakeja Sopimuksen täytäntöönpanossa ja ilmoittavansa Yhtiölle viipymättä, jos jokin laki estää noudattamisen tai vaatii Yhtiön tietojen luovuttamista (esim. viranomaisten tiedonsaantipyynnöt).

3. Tekniset ja organisatoriset turvatoimenpiteet

3.1 Tietoturvastandardit. Toimittajan on toteutettava ja ylläpidettävä asianmukaisia ​​teknisiä ja organisatorisia turvatoimenpiteitä yhtiön tietojen suojaamiseksi tietomurroilta. Näiden toimenpiteiden on oltava oikeassa suhteessa riskitasoon ja tietojen luonteeseen, ja niihin on sisällyttävä vähintään:

  1. salaus: Kaikkien yritystietojen salaus sekä tallessa että siirrettäessä.
  2. Kulunvalvonta: Tiukat käyttöoikeuksien rajoitukset perustuvat vähiten sallittuihin käyttöoikeuksiin, mikä varmistaa, että vain valtuutetulla henkilöstöllä on pääsy yrityksen tietoihin.
  3. Tietojen minimointi: Keräämme ja käsittelemme vain tietyn projektin edellyttämän vähimmäismäärän henkilötietoja.
  4. Turvalliset ympäristöt: Sen varmistaminen, että kaikki yritystietojen käsittelyyn käytettävät järjestelmät on konfiguroitu, päivitetty, lokitettu ja valvottu turvallisesti.
  5. Suojattu poistaminen: Toteutetaan prosesseja yritystietojen turvalliseen ja pysyvään poistamiseen yrityksen ohjeiden mukaisesti, mukaan lukien poistaminen varmuuskopioista.
  6. Fyysinen turvallisuus: Kaikkien fyysisten sijaintien ja laitteiden suojaaminen, joissa yrityksen tietoja säilytetään tai joissa niitä käytetään.
  7. Testaus ja seuranta: Säännöllinen tunkeutumistestaus, haavoittuvuusarvioinnit ja jatkuva valvonta.
  8. Liiketoiminnan jatkuvuus: Ylläpitää tapaturmatilanteisiin reagointia, katastrofien jälkeistä palautumista ja liiketoiminnan jatkuvuussuunnitelmia.

4. Alikäsittely

4.1 Vaaditaan ennakkosuostumus. Myyjä ei saa käyttää alihankkijoita Yhtiön tietojen käsittelyyn ilman Yhtiön etukäteen antamaa nimenomaista kirjallista suostumusta.

4.2 Velvoitteiden jakautuminen. Jos suostumus myönnetään, Toimittajan on tehtävä Alikäsittelijän kanssa kirjallinen sopimus, joka asettaa Alikäsittelijälle samat tai tiukemmat tietosuojavelvoitteet kuin nämä Vaatimukset asettavat Toimittajalle.

4.3 Alikäsittelijöiden luettelo. Toimittajan on ylläpidettävä ajantasaista luetteloa alihankkijoista ja toimitettava se Yhtiölle pyynnöstä. Yhtiö pidättää oikeuden vastustaa mitä tahansa alihankkijaa milloin tahansa.

4.4 Täysi vastuu. Toimittaja on edelleen täysin vastuussa Yhtiölle Alihankkijan velvoitteiden suorittamisesta ja Alihankkijan kaikista teoista tai laiminlyönneistä.

5. Tietomurtojen ilmoittaminen ja hallinta

5.1 Välitön ilmoitus. Myyjän on ilmoitettava Yhtiölle kirjallisesti ilman aiheetonta viivytystä ja joka tapauksessa viimeistään kahdenkymmenenneljän (24) tunnin kuluessa siitä, kun se on ensimmäisen kerran tullut tietoiseksi Tietomurrosta.

5.2 Tietomurron tiedot. Ilmoituksessa on oltava vähintään:

  1. Kuvaile tietomurron luonne, mukaan lukien rekisteröityjen ja kyseessä olevien tietueiden luokat ja arvioitu lukumäärä.
  2. Anna myyjän tietosuojavastaavan tai muun asiaankuuluvan yhteyshenkilön nimi ja yhteystiedot.
  3. Kuvaile tietomurron todennäköisiä seurauksia.
  4. Kuvaile Toimittajan toteuttamat tai ehdottamat toimenpiteet tietomurron korjaamiseksi ja sen vaikutusten lieventämiseksi.

5.3 Jatkuvat päivitykset. Myyjän on toimitettava säännöllisesti päivityksiä, kunnes ongelma on täysin ratkaistu.

5.4 Yhteistyö. Toimittajan on tehtävä täyttä yhteistyötä Yhtiön kanssa tietomurtojen tutkinnassa, korjaamisessa ja ilmoittamisessa. Toimittaja vastaa kaikista tietomurtoon liittyvistä kustannuksista siltä osin kuin ne johtuvat sen näiden vaatimusten rikkomisesta.

6. Kansainväliset tiedonsiirrot

6.1 Myyjä ei saa siirtää Yhtiön tietoja kansainvälisten rajojen yli ilman Yhtiön etukäteen antamaa kirjallista suostumusta. Myyjän on määriteltävä kaikki maat, joissa se käsittelee Yhtiön tietoja.

6.2 Tarvittaessa Myyjä sitoutuu sopimaan vakiosopimuslausekkeista (SCC), sitovista yrityssäännöistä (BCR), Yhdistyneen kuningaskunnan lisäsopimuksesta tai muusta Yhtiön määräämästä mekanismista laillisten tiedonsiirtojen varmistamiseksi.

6.3 Toimittajan on noudatettava paikallisia tietojen säilytysvaatimuksia soveltuvin osin.

7. Tarkastukset ja tarkastukset

Yhtiöllä tai sen nimeämällä kolmannen osapuolen tilintarkastajalla on oikeus suorittaa omalla kustannuksellaan tarkastuksia sen varmistamiseksi, että Toimittaja noudattaa näitä Vaatimuksia. Toimittajan on toimitettava kaikki tarvittavat tiedot ja asiakirjat sekä pääsy tiloihin ja henkilöstöön.

Toimittajan on säännöllisesti tehtävä kolmannen osapuolen sertifiointeja (esim. ISO 27001, SOC 2) ja/tai itsearviointeja sekä korjattava auditoinneissa tai arvioinneissa havaitut puutteet viipymättä yhteisesti sovitussa aikataulussa.

8. Rekisteröidyn oikeuksien avustaminen

Myyjän on viipymättä, ja viimeistään neljänkymmenenkahdeksan (48) tunnin kuluessa, ilmoitettava Yhtiölle kaikista Rekisteröidyn pyynnöistä käyttää oikeuksiaan (esim. oikeus tutustua tietoihin, oikaista niitä, poistaa niitä tai siirtää ne). Myyjän ei tule vastata tällaisiin pyyntöihin suoraan, ellei Yhtiö ole niin ohjeistanut, ja sen on tarjottava kaikki tarvittava apu Yhtiön vastaamiseen.

9. Tietojen palauttaminen ja poistaminen

Sopimuksen päättyessä tai Yhtiön pyynnöstä Myyjän on Yhtiön valinnan mukaan poistettava tai palautettava kaikki Yhtiön tiedot turvallisesti kolmenkymmenen (30) päivän kuluessa. Myyjän on varmistettava tietojen poistaminen varmuuskopioista ja annettava kirjallinen vahvistus tällaisesta poistamisesta.

10. Erityiset tietoryhmät

10.1 Terveydenhuoltotiedot (HIPAA): Jos Myyjä käsittelee suojattuja terveystietoja (PHI), Myyjä vahvistaa olevansa HIPAA-lain mukainen "liikekumppani" (tai liikekumppanin alihankkija). Myyjän on noudatettava HIPAA-vaatimuksia ja allekirjoitettava Yhtiön liikekumppanisopimus (BAA).

10.2 Muut arkaluonteiset tiedot: Arkaluonteisia henkilötietoja (mukaan lukien biometrisiä tietoja tai lasten tietoja) sisältävissä projekteissa Toimittajan on hankittava Yhtiön hyväksyntä ja noudatettava Yhtiön määrittelemiä tehostettuja turvallisuus- ja käsittelyprotokollia.

11. Vahingonkorvaus ja vastuu

Myyjä sitoutuu puolustamaan, korvaamaan ja pitämään Yhtiön, sen tytäryhtiöt, toimihenkilöt ja asiakkaat vahingoittumattomina kaikilta vaatimuksilta, vastuilta, vahingoilta, tappioilta, sakoilta, seuraamuksilta ja kuluilta (mukaan lukien kohtuulliset asianajopalkkiot), jotka johtuvat tai liittyvät Myyjän, sen työntekijöiden tai sen Alihankkijoiden näiden Vaatimusten rikkomiseen.

Vastuuta ei ole rajoitettu tietomurtoihin, viranomaissakkoihin, tahalliseen väärinkäytökseen tai petokseen liittyviin rikkomuksiin.

12. Yleiset säännökset

12.1 Ensisijaisuus. Jos Sopimuksen ehtojen ja näiden Vaatimusten välillä on ristiriitaa, nämä Vaatimukset ovat ensisijaisia ​​tietosuojan osalta.

12.2 Muutos. Näitä vaatimuksia voidaan muuttaa vain kirjallisella muutoksella, jonka molempien osapuolten valtuutetut edustajat allekirjoittavat.

12.3 Selviytyminen. Luottamuksellisuutta, tietojen poistamista, vastuuta ja tarkastusoikeuksia koskevat velvoitteet pysyvät voimassa sopimuksen päättymisen jälkeen.

12.4 Sovellettava laki. Näihin Vaatimuksiin sovelletaan ja niitä tulkitaan Sopimuksessa määrätyn sovellettavan lain mukaisesti.