Karta praw prywatności

Data – Wydano 01.01.2020

Ostatnia modyfikacja: 12.06.2023

Zastosowanie:

Niniejszy dokument („Wymagania”) stanowi integralną i prawnie wiążącą część każdej umowy ramowej o świadczenie usług, oświadczenia o zakresie prac lub innej umowy („Umowa”) pomiędzy Shaip („Spółką”) a dostawcą usług („Dostawcą/freelancerem/konsultantem”).

1. Definicje

Dla celów niniejszych Wymagań, poniższe terminy mają znaczenie podane poniżej:

  • „Obowiązujące przepisy o ochronie danych” oznacza wszystkie międzynarodowe, federalne, stanowe i lokalne prawa, zasady i regulacje mające zastosowanie do przetwarzania danych osobowych, w tym między innymi RODO, brytyjskie RODO, CCPA/CPRA, HIPAA, PIPEDA i LGPD.
  • „Dane firmy” oznacza wszelkie dane, informacje i materiały, w dowolnej formie lub na dowolnym nośniku, przekazane Sprzedawcy przez Spółkę lub w jej imieniu, lub zebrane, wygenerowane, uzyskane, pseudonimizowane, anonimizowane (jeśli odwracalność jest możliwa) lub przetwarzane przez Sprzedawcę w imieniu Spółki. Obejmuje to Dane Projektowe i wszelkie Dane Osobowe.
  • „Naruszenie danych” oznacza jakiekolwiek rzeczywiste lub podejrzewane naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieautoryzowanego ujawnienia lub dostępu do Danych Spółki.
  • „PKB” oznacza Ogólne Rozporządzenie o Ochronie Danych (UE) 2016/679.
  • "Dane osobiste" oznacza wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej („Podmiot Danych”) zawarte w Danych Spółki.
  • „Dane osobowe wrażliwe” oznacza dowolną kategorię danych uważanych za wrażliwe na mocy obowiązujących przepisów o ochronie danych, obejmującą między innymi pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność do związków zawodowych, dane genetyczne, dane biometryczne, dane dotyczące zdrowia lub dane dotyczące życia seksualnego lub orientacji seksualnej osoby fizycznej.
  • "Przetwarzanie" oznacza jakąkolwiek operację wykonywaną na Danych Spółki, taką jak gromadzenie, rejestrowanie, organizowanie, przechowywanie, adaptowanie, wyszukiwanie, wykorzystywanie, ujawnianie, rozpowszechnianie lub niszczenie.
  • „Dane projektu” oznacza określone dane (np. głos, obraz, tekst) zebrane lub utworzone przez Sprzedawcę w ramach usług świadczonych na rzecz Spółki.
  • „Podprocesor” oznacza jakąkolwiek osobę trzecią zaangażowaną przez Sprzedawcę w celu przetwarzania Danych Spółki.

2. Rola i obowiązki sprzedawcy

2.1 Rola podmiotu przetwarzającego/podwykonawcy. Dostawca przyjmuje do wiadomości, że Przetwarzając Dane Firmy, działa jako „Podmiot Przetwarzający” lub „Podpodmiot Przetwarzający” w imieniu Firmy. Dostawca nie posiada żadnych praw własności ani niezależnych praw do Danych Firmy.

2.2 Przetwarzanie na polecenie. Dostawca będzie przetwarzał Dane Firmy wyłącznie zgodnie z udokumentowanymi, zgodnymi z prawem instrukcjami Firmy, w tym zawartymi w Umowie i stosownych Wykazach Prac. Dostawcy wyraźnie zabrania się przetwarzania Danych Firmy do własnych celów lub do celów, które nie zostały wyraźnie wskazane przez Firmę. Instrukcje powinny zawierać wymogi dotyczące przechowywania i usuwania danych. Jeżeli Dostawca uzna, że ​​polecenie narusza Obowiązujące Przepisy o Ochronie Danych, musi niezwłocznie powiadomić o tym Firmę.

2.3 Zgodność z przepisami prawa. Sprzedawca gwarantuje i oświadcza, że ​​będzie przestrzegał wszystkich obowiązujących przepisów o ochronie danych podczas realizacji Umowy i niezwłocznie powiadomi Spółkę, jeśli jakiekolwiek prawo uniemożliwi przestrzeganie postanowień Umowy lub będzie wymagało ujawnienia Danych Spółki (np. żądania dostępu ze strony instytucji rządowych).

3. Środki bezpieczeństwa techniczne i organizacyjne

3.1 Standardy bezpieczeństwa. Dostawca wdroży i będzie utrzymywał odpowiednie techniczne i organizacyjne środki bezpieczeństwa w celu ochrony Danych Spółki przed wszelkimi naruszeniami bezpieczeństwa. Środki te będą adekwatne do poziomu ryzyka i charakteru danych i będą obejmować co najmniej:

  1. Szyfrowanie: Szyfrowanie wszystkich danych firmy w stanie spoczynku i podczas przesyłu.
  2. Kontrola dostępu: Surowe kontrole dostępu oparte na minimalnych uprawnieniach, gwarantujące, że dostęp do danych firmy mają wyłącznie osoby upoważnione.
  3. Minimalizacja danych: Gromadzenie i przetwarzanie wyłącznie minimalnej ilości Danych Osobowych niezbędnych do realizacji określonego projektu.
  4. Bezpieczne środowiska: Zapewnienie, że wszystkie systemy wykorzystywane do przetwarzania danych firmy są bezpiecznie skonfigurowane, posiadają zainstalowane poprawki, są rejestrowane i monitorowane.
  5. Bezpieczne usuwanie: Wdrażanie procesów zapewniających bezpieczne i trwałe usuwanie Danych Spółki na polecenie Spółki, w tym usuwanie ich z kopii zapasowych.
  6. Bezpieczeństwo fizyczne: Zabezpieczenie wszystkich lokalizacji fizycznych i urządzeń, w których przechowywane są Dane Spółki lub do których uzyskiwany jest dostęp.
  7. Testowanie i monitorowanie: Regularne testy penetracyjne, ocena podatności i ciągły monitoring.
  8. Ciągłości działania: Utrzymywanie planów reagowania na incydenty, odzyskiwania po awarii i ciągłości działania.

4. Podprzetwarzanie

4.1 Wymagana jest uprzednia zgoda. Dostawca nie będzie korzystał z usług żadnego Podmiotu Przetwarzającego w celu Przetwarzania Danych Spółki bez uprzedniej, wyraźnej zgody Spółki wyrażonej na piśmie.

4.2 Spadek zobowiązań. W przypadku wyrażenia zgody, Dostawca zobowiązany jest zawrzeć pisemną umowę z Podmiotem przetwarzającym, która nałoży na Podmiot przetwarzający takie same lub bardziej rygorystyczne obowiązki w zakresie ochrony danych, jakie nakładają na Dostawcę niniejsze Wymagania.

4.3 Lista podmiotów przetwarzających. Dostawca zobowiązany jest do prowadzenia aktualnej listy Podwykonawców i udostępniania jej Spółce na żądanie. Spółka zastrzega sobie prawo do zgłoszenia sprzeciwu wobec dowolnego Podwykonawcy w dowolnym momencie.

4.4 Pełna odpowiedzialność. Dostawca ponosi pełną odpowiedzialność wobec Spółki za realizację obowiązków Podmiotu Przetwarzającego oraz za wszelkie działania lub zaniechania Podmiotu Przetwarzającego.

5. Powiadamianie o naruszeniach danych i zarządzanie nimi

5.1 Natychmiastowe powiadomienie. Sprzedawca powiadomi Spółkę na piśmie bez zbędnej zwłoki, nie później jednak niż w ciągu dwudziestu czterech (24) godzin od momentu, w którym po raz pierwszy dowiedział się o jakimkolwiek naruszeniu danych.

5.2 Szczegóły naruszenia. Powiadomienie musi zawierać co najmniej:

  1. Opisz charakter naruszenia danych, w tym kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz rekordów danych, których to dotyczy.
  2. Podaj nazwę i dane kontaktowe inspektora ochrony danych Sprzedawcy lub innego właściwego punktu kontaktowego.
  3. Opisz prawdopodobne konsekwencje naruszenia danych.
  4. Opisz środki podjęte lub proponowane przez Dostawcę w celu zaradzenia naruszeniu danych i złagodzenia jego skutków.

5.3 Bieżące aktualizacje. Sprzedawca będzie regularnie informował o zaistniałej sytuacji, aż do momentu całkowitego rozwiązania problemu.

5.4 Współpraca. Dostawca zobowiązuje się do pełnej współpracy ze Spółką w zakresie dochodzenia, usuwania i powiadamiania o wszelkich naruszeniach danych. Dostawca ponosi wszelkie koszty związane z naruszeniem danych w zakresie, w jakim naruszenie to jest spowodowane naruszeniem niniejszych Wymagań.

6. Międzynarodowe przekazywanie danych

6.1 Dostawca nie będzie przekazywał Danych Firmy poza granice kraju bez uprzedniej pisemnej zgody Firmy. Dostawca musi określić wszystkie kraje, w których będzie przetwarzał Dane Firmy.

6.2 W razie potrzeby Dostawca zgadza się na zawarcie standardowych klauzul umownych (SCC), wiążących reguł korporacyjnych (BCR), dodatku obowiązującego w Wielkiej Brytanii lub innych mechanizmów wymaganych przez Spółkę w celu zapewnienia zgodnego z prawem przekazywania danych.

6.3 Dostawca jest zobowiązany do przestrzegania lokalnych wymogów dotyczących przechowywania danych, jeżeli ma to zastosowanie.

7. Audyty i inspekcje

Spółka lub wyznaczony przez nią audytor zewnętrzny ma prawo przeprowadzać audyty na własny koszt w celu weryfikacji przestrzegania przez Dostawcę niniejszych Wymagań. Dostawca jest zobowiązany do zapewnienia wszelkich niezbędnych informacji, dokumentacji oraz dostępu do obiektów i personelu.

Dostawca zobowiązany jest do regularnego poddawania się procesowi certyfikacji prowadzonej przez niezależne instytucje (np. ISO 27001, SOC 2) i/lub samoocenom, a także do niezwłocznego usuwania wszelkich niedociągnięć zidentyfikowanych w trakcie audytów lub ocen w uzgodnionym terminie.

8. Pomoc w zakresie praw osób, których dane dotyczą

Dostawca niezwłocznie, nie później niż w ciągu czterdziestu ośmiu (48) godzin, powiadomi Spółkę o każdym żądaniu otrzymanym od Podmiotu Danych dotyczącym skorzystania z przysługujących mu praw (np. dostępu, sprostowania, usunięcia, przenoszenia). Dostawca nie będzie bezpośrednio odpowiadał na takie żądania, chyba że Spółka udzieli mu stosownego polecenia, i zapewni wszelką niezbędną pomoc, aby umożliwić Spółce udzielenie odpowiedzi.

9. Zwrot i usuwanie danych

Po rozwiązaniu Umowy lub na żądanie Spółki, Dostawca, według własnego wyboru, bezpiecznie usunie lub zwróci wszystkie Dane Spółki w ciągu trzydziestu (30) dni. Dostawca zapewni usunięcie danych z kopii zapasowych i dostarczy pisemne potwierdzenie takiego usunięcia.

10. Specjalne kategorie danych

10.1 Dane dotyczące opieki zdrowotnej (HIPAA): Jeśli Dostawca przetwarza jakiekolwiek chronione informacje medyczne (PHI), Dostawca potwierdza, że ​​jest „Partnerem Biznesowym” (lub podwykonawcą Partnera Biznesowego) w rozumieniu ustawy HIPAA. Dostawca jest zobowiązany do przestrzegania wymogów ustawy HIPAA i podpisania Umowy o Współpracy Biznesowej (BAA) Spółki.

10.2 Inne dane wrażliwe: W przypadku projektów obejmujących wrażliwe dane osobowe (w tym dane biometryczne lub dane pochodzące od dzieci), Dostawca musi uzyskać zgodę Spółki i stosować się do zaostrzonych protokołów bezpieczeństwa i obsługi określonych przez Spółkę.

11. Odszkodowanie i odpowiedzialność

Dostawca zgadza się bronić, zabezpieczać i chronić Spółkę, jej podmioty stowarzyszone, kadrę kierowniczą i klientów przed wszelkimi roszczeniami, zobowiązaniami, szkodami, stratami, grzywnami, karami i wydatkami (w tym uzasadnionymi honorariami adwokackimi) wynikającymi z lub związanymi z jakimkolwiek naruszeniem niniejszych Wymagań przez Dostawcę, jego pracowników lub podmioty przetwarzające.

Odpowiedzialność nie będzie ograniczona w przypadku naruszeń obejmujących naruszenia danych, kary regulacyjne, umyślne wykroczenia lub oszustwa.

12. Postanowienia ogólne

12.1 Pierwszeństwo. W przypadku jakichkolwiek sprzeczności pomiędzy postanowieniami Umowy a niniejszymi Wymaganiami, w zakresie ochrony danych pierwszeństwo mają niniejsze Wymagania.

12.2 Modyfikacja. Niniejsze Wymagania mogą zostać zmienione wyłącznie w drodze pisemnej zmiany podpisanej przez upoważnionych przedstawicieli obu Stron.

12.3 Przetrwanie. Zobowiązania dotyczące poufności, usuwania danych, odpowiedzialności i praw audytorskich pozostają w mocy po rozwiązaniu Umowy.

12.4 Obowiązujące prawo. Niniejsze Wymagania podlegają przepisom prawa właściwego określonym w Umowie i zgodnie z nimi będą interpretowane.