隐私法宪章

日期 – 2020年01月01日发布

最后修改日期 – 2023年12月06日

适用性:

本文件(“要求”)构成 Shaip(“公司”)与服务提供商(“供应商/自由职业者/顾问”)之间任何主服务协议、工作说明或其他合同(“协议”)不可分割且具有法律约束力的一部分。

1. 定义

就本要求而言,下列术语应具有如下含义:

  • “适用的数据保护法” 指适用于处理个人数据的所有国际、联邦、州和地方法律、规则和法规,包括但不限于 GDPR、英国 GDPR、CCPA/CPRA、HIPAA、PIPEDA 和 LGPD。
  • “公司数据” 指公司或代表公司以任何形式或媒介向供应商提供的所有数据、信息和材料,或由供应商代表公司收集、生成、衍生、假名化、匿名化(如可逆)或处理的所有数据、信息和材料。这包括项目数据和任何个人数据。
  • “数据泄露” 指任何实际或涉嫌的安全漏洞,导致公司数据被意外或非法破坏、丢失、更改、未经授权披露或访问。
  • “GDP是” 指《通用数据保护条例》(EU)2016/679。
  • “个人资料” 指公司数据中包含的与已识别或可识别的自然人(“数据主体”)有关的任何信息。
  • “敏感个人数据” 指根据适用数据保护法被视为敏感的任何类别的数据,包括但不限于种族或民族血统、政治观点、宗教或哲学信仰、工会会员资格、基因数据、生物特征数据、有关健康的数据或有关自然人的性生活或性取向的数据。
  • “处理” 指对公司数据执行的任何操作,例如收集、记录、组织、存储、改编、检索、使用、披露、传播或销毁。
  • “项目数据” 指供应商在向公司提供服务的过程中收集或创建的特定数据(例如语音、图像、文本)。
  • “子处理器” 指供应商聘请来处理公司数据的任何第三方。

2. 供应商的角色和义务

2.1 作为处理器/子处理器的角色。 供应商承认,在处理公司数据时,其代表公司充当“处理者”或“子处理者”。供应商对公司数据不拥有所有权或独立权利。

2.2 根据指示处理。 供应商应仅根据公司书面的合法指示(包括本协议及相关工作说明书中规定的指示)处理公司数据。明确禁止供应商出于自身目的或公司未明确指示的任何目的处理公司数据。指示应包含数据保留和处置要求。如果供应商认为某项指示违反了适用的数据保护法,则必须立即通知公司。

2.3 遵守法律。 供应商保证并声明其在履行本协议时将遵守所有适用的数据保护法,并且如果任何法律阻碍遵守或要求披露公司数据(例如政府访问请求),应立即通知公司。

3.技术和组织安全措施

3.1 安全标准。 供应商应实施并维护适当的技术和组织安全措施,以保护公司数据免遭任何数据泄露。这些措施应与风险级别和数据性质相称,且至少应包括:

  1. 加密: 对所有静态和传输中的公司数据进行加密。
  2. 访问控制: 基于最小特权的严格访问控制,确保只有授权人员才能访问公司数据。
  3. 数据最小化: 仅收集和处理指定项目所需的最少量的个人数据。
  4. 安全环境: 确保用于处理公司数据的所有系统都得到安全配置、修补、记录和监控。
  5. 安全删除: 根据公司指示实施安全永久删除公司数据的流程,包括从备份中删除。
  6. 物理安全: 保护存储或访问公司数据的所有物理位置和设备。
  7. 测试和监控: 定期渗透测试、漏洞评估和持续监控。
  8. 业务连续性: 维护事件响应、灾难恢复和业务连续性计划。

4. 子处理

4.1 需要事先同意。 未经公司事先明确书面同意,供应商不得聘请任何子处理器来处理公司数据。

4.2 义务的流转。 如果获得同意,供应商必须与子处理器签订书面协议,对子处理器施加与这些要求对供应商施加的相同或更严格的数据保护义务。

4.3 子处理器列表。 供应商应维护最新的子处理商列表,并根据公司要求提供。公司保留随时拒绝任何子处理商的权利。

4.4 全部责任。 供应商应对子处理商义务的履行以及子处理商的任何作为或不作为向公司承担全部责任。

5. 数据泄露通知和管理

5.1 立即通知。 供应商应立即以书面形式通知公司,且最迟不得晚于首次发现任何数据泄露后二十四 (24) 小时。

5.2 违规详情。 通知必须至少:

  1. 描述数据泄露的性质,包括涉及的数据主体和数据记录的类别和大致数量。
  2. 提供供应商数据保护官或其他相关联系点的姓名和联系方式。
  3. 描述数据泄露可能造成的后果。
  4. 描述供应商为解决数据泄露并减轻其影响而采取或提议采取的措施。

5.3 持续更新。 供应商应定期提供最新情况,直至事件完全解决。

5.4 合作。 供应商应全力配合公司对任何数据泄露事件的调查、补救和通知。供应商应承担因其违反本要求而导致数据泄露的所有相关费用。

6. 国际数据传输

6.1 未经公司事先书面同意,供应商不得跨境传输公司数据。供应商必须明确指定其将处理公司数据的所有国家/地区。

6.2 如有需要,供应商同意签订标准合同条款 (SCC)、具有约束力的公司规则 (BCR)、英国附录或公司授权的任何其他机制,以确保合法的数据传输。

6.3 供应商应遵守适用的当地数据驻留要求。

7. 审核和检查

公司或其指定的第三方审计机构有权自费进行审计,以验证供应商是否遵守本要求。供应商应提供所有必要的信息、文件以及设施和人员的使用权限。

供应商应定期接受第三方认证(例如 ISO 27001、SOC 2)和/或自我评估,并在双方同意的时间内及时纠正审计或评估中发现的任何缺陷。

8. 数据主体权利援助

供应商应立即(且不迟于四十八 (48) 小时)通知公司任何数据主体行使其权利(例如访问、更正、删除、可携性)的请求。除非公司另有指示,供应商不得直接回应此类请求,并应提供一切必要协助,以便公司做出回应。

9. 数据返回和删除

本协议终止或公司提出要求时,供应商应根据公司的选择,在三十 (30) 天内安全删除或归还所有公司数据。供应商应确保从备份中删除所有数据,并提供书面删除证明。

10.特殊类别的数据

10.1 医疗保健数据(HIPAA): 如果供应商处理任何受保护的健康信息 (PHI),供应商承认其是 HIPAA 规定的“业务伙伴”(或业务伙伴的分包商)。供应商必须遵守 HIPAA 的要求,并应签署公司的业务伙伴协议 (BAA)。

10.2 其他敏感数据: 对于涉及敏感个人数据(包括生物特征数据或儿童数据)的项目,供应商必须获得公司批准并遵守公司规定的更高安全和处理协议。

11. 赔偿和责任

供应商同意为公司、其关联公司、管理人员和客户进行辩护、赔偿并使其免受因供应商、其员工或其子处理器违反这些要求而引起的或与之相关的任何和所有索赔、责任、损害、损失、罚款、罚金和费用(包括合理的律师费)。

对于涉及数据泄露、监管罚款、故意不当行为或欺诈的违规行为,责任不受限制。

12。 一般规定

12.1 首要地位。 如果本协议的条款与这些要求之间存在任何冲突,则在数据保护方面以这些要求为准。

12.2 修改。 这些要求只能通过双方授权代表签署的书面修正案进行修改。

12.3 生存。 与保密、数据删除、责任和审计权利有关的义务在本协议终止后仍然有效。

12.4 适用法律。 这些要求应受本协议所规定的管辖法律管辖并依其解释。