Stadga om integritetslagar

Datum – Släpptes 2020-01-01

Senast ändrad – 2023-06-12

Tillämplighet:

Detta dokument (”Krav”) utgör en integrerad och juridiskt bindande del av alla huvudavtal för tjänster, arbetsbeskrivningar eller andra kontrakt (”Avtal”) mellan Shaip (”Företaget”) och tjänsteleverantören (”Leverantör/frilansare/konsulter”).

1. Definitioner

I dessa krav ska följande termer ha den betydelse som anges nedan:

  • "Tillämpliga dataskyddslagar" avser alla internationella, federala, statliga och lokala lagar, regler och förordningar som gäller för behandling av personuppgifter, inklusive men inte begränsat till GDPR, UK GDPR, CCPA/CPRA, HIPAA, PIPEDA och LGPD.
  • "Företagsdata" avser all data, information och material, i någon form eller medium, som tillhandahålls Leverantören av eller på uppdrag av Företaget, eller som samlas in, genereras, härleds, pseudonymiseras, anonymiseras (om reversibilitet är möjlig) eller Bearbetas av Leverantören på uppdrag av Företaget. Detta inkluderar Projektdata och alla Personuppgifter.
  • "Dataintrång" avser varje faktiskt eller misstänkt säkerhetsintrång som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt avslöjande av eller åtkomst till företagsdata.
  • "BNP" avser den allmänna dataskyddsförordningen (EU) 2016/679.
  • "Personlig information" avser all information som rör en identifierad eller identifierbar fysisk person (”Registrerad”) som finns i Företagsdata.
  • "Känsliga personuppgifter" avser alla kategorier av uppgifter som anses vara känsliga enligt tillämpliga dataskyddslagar, inklusive men inte begränsat till ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, fackföreningsmedlemskap, genetiska data, biometriska data, uppgifter om hälsa eller uppgifter om en fysisk persons sexliv eller sexuella läggning.
  • ”Processing” avser all åtgärd som utförs på företagsdata, såsom insamling, registrering, organisering, lagring, anpassning, hämtning, användning, utlämnande, spridning eller förstörelse.
  • "Projektdata" avser de specifika uppgifter (t.ex. röst, bild, text) som samlas in eller skapas av Leverantören som en del av de tjänster som levereras till Företaget.
  • "Underbiträde" avser varje tredje part som anlitas av Leverantören för att Behandla Företagsdata.

2. Leverantörens roll och skyldigheter

2.1 Roll som personuppgiftsbehandlare/underpersonuppgiftsbehandlare. Leverantören bekräftar att denne vid behandling av företagsdata agerar som en "personuppgiftsbehandlare" eller "underpersonuppgiftsbehandlare" för företagets räkning. Leverantören har ingen äganderätt eller oberoende rättigheter till företagsdata.

2.2 Bearbetning på instruktion. Leverantören ska endast behandla företagsdata i enlighet med företagets dokumenterade, lagliga instruktioner, inklusive de som anges i avtalet och relevanta arbetsbeskrivningar. Leverantören är uttryckligen förbjuden att behandla företagsdata för egna ändamål eller för något ändamål som inte uttryckligen anges av företaget. Instruktionerna ska inkludera krav på datalagring och bortskaffande. Om leverantören anser att en instruktion bryter mot tillämpliga dataskyddslagar måste denne omedelbart informera företaget.

2.3 Efterlevnad av lagar. Leverantören garanterar och försäkrar att den kommer att följa alla tillämpliga dataskyddslagar vid fullgörandet av avtalet och ska omedelbart meddela företaget om någon lag förhindrar efterlevnad eller kräver utlämnande av företagsdata (t.ex. begäran om åtkomst från myndigheter).

3. Tekniska och organisatoriska säkerhetsåtgärder

3.1 Säkerhetsstandarder. Leverantören ska implementera och upprätthålla lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda Företagsdata mot eventuella dataintrång. Dessa åtgärder ska stå i proportion till risknivån och datatypen och ska som ett minimum omfatta:

  1. kryptering: Kryptering av all företagsdata i vila och under överföring.
  2. Åtkomstkontroll: Strikta åtkomstkontroller baserade på minsta möjliga behörighet, vilket säkerställer att endast behörig personal har tillgång till företagsdata.
  3. Dataminimering: Insamling och behandling av endast den minsta mängd personuppgifter som krävs för det angivna projektet.
  4. Säkra miljöer: Säkerställa att alla system som används för att behandla företagsdata är säkert konfigurerade, uppdaterade, loggade och övervakade.
  5. Säker radering: Implementera processer för säker och permanent radering av företagsdata på instruktioner från företaget, inklusive radering från säkerhetskopior.
  6. Fysisk säkerhet: Säkra alla fysiska platser och enheter där företagsdata lagras eller nås.
  7. Testning och övervakning: Regelbundna penetrationstester, sårbarhetsanalyser och kontinuerlig övervakning.
  8. Kontinuitet i verksamheten: Upprätthålla planer för incidenthantering, katastrofåterställning och affärskontinuitet.

4. Delbehandling

4.1 Förhandsgodkännande krävs. Leverantören får inte anlita någon underbiträde för att behandla företagsdata utan företagets föregående, uttryckliga skriftliga samtycke.

4.2 Nedflöde av förpliktelser. Om samtycke beviljas måste Leverantören ingå ett skriftligt avtal med Underbiträdet som ålägger Underbiträdet samma eller strängare dataskyddsskyldigheter som Leverantören åläggs enligt dessa Krav.

4.3 Lista över underbiträden. Leverantören ska upprätthålla en aktuell lista över underbiträden och tillhandahålla den till Bolaget på begäran. Bolaget förbehåller sig rätten att när som helst invända mot en underbiträdesförteckning.

4.4 Fullt ansvar. Leverantören ska förbli fullt ansvarig gentemot Bolaget för fullgörandet av Underbiträdets skyldigheter och för Underbiträdets handlingar eller underlåtenheter.

5. Anmälan och hantering av dataintrång

5.1 Omedelbar underrättelse. Leverantören ska skriftligen underrätta Bolaget utan onödigt dröjsmål, och senast tjugofyra (24) timmar efter att ha blivit medveten om ett dataintrång.

5.2 Intrångsinformation. Anmälan ska som ett minimum:

  1. Beskriv dataintrångets art, inklusive kategorier och ungefärligt antal registrerade och berörda dataposter.
  2. Ange namn och kontaktuppgifter till leverantörens dataskyddsombud eller annan relevant kontaktpunkt.
  3. Beskriv de sannolika konsekvenserna av dataintrånget.
  4. Beskriv de åtgärder som Leverantören har vidtagit eller föreslår att vidta för att åtgärda dataintrånget och mildra dess effekter.

5.3 Löpande uppdateringar. Leverantören ska regelbundet uppdatera tills incidenten är helt löst.

5.4 Samarbete. Leverantören ska samarbeta fullt ut med Bolaget i utredningen, åtgärden och anmälan av eventuella dataintrång. Leverantören ska bära alla kostnader i samband med ett dataintrång i den utsträckning det orsakas av dess brott mot dessa krav.

6. Internationella dataöverföringar

6.1 Leverantören får inte överföra företagsdata över internationella gränser utan företagets föregående skriftliga medgivande. Leverantören måste ange alla länder där den kommer att behandla företagsdata.

6.2 Där det krävs samtycker Leverantören till att ingå standardavtalsklausuler (SCC), bindande företagsregler (BCR), det brittiska tillägget eller någon annan mekanism som företaget har föreskrivit för att säkerställa lagliga dataöverföringar.

6.3 Leverantören ska följa lokala krav på datalagring där så är tillämpligt.

7. Revisioner och inspektioner

Företaget, eller dess utsedda tredjepartsrevisor, ska ha rätt att genomföra revisioner, på egen bekostnad, för att kontrollera att Leverantören uppfyller dessa krav. Leverantören ska tillhandahålla all nödvändig information, dokumentation och tillgång till anläggningar och personal.

Leverantören ska regelbundet genomgå tredjepartscertifieringar (t.ex. ISO 27001, SOC 2) och/eller självutvärderingar, och omedelbart åtgärda eventuella brister som identifierats i revisioner eller bedömningar inom en ömsesidigt överenskommen tidsram.

8. Hjälp med rättigheter för registrerade

Leverantören ska snarast, och senast inom fyrtioåtta (48) timmar, underrätta Bolaget om alla begäranden som mottagits från en Registrerad om att utöva sina rättigheter (t.ex. åtkomst, rättelse, radering, portabilitet). Leverantören ska inte svara direkt på sådana begäranden om inte Bolaget instruerats att göra det och ska tillhandahålla all nödvändig hjälp för att Bolaget ska kunna svara.

9. Dataåterlämning och radering

Vid uppsägning av avtalet eller på Bolagets begäran ska Leverantören, efter Bolagets val, på ett säkert sätt radera eller återlämna all Företagsdata inom trettio (30) dagar. Leverantören ska säkerställa radering från säkerhetskopior och tillhandahålla skriftlig bekräftelse på sådan radering.

10. Särskilda kategorier av data

10.1 Hälso- och sjukvårdsdata (HIPAA): Om Leverantören Behandlar Skyddad Hälsoinformation (PHI), bekräftar Leverantören att den är en "Affärspartner" (eller underleverantör till en Affärspartner) enligt HIPAA. Leverantören måste följa HIPAA-kraven och ska underteckna Företagets Affärspartneravtal (BAA).

10.2 Andra känsliga uppgifter: För projekt som involverar känsliga personuppgifter (inklusive biometriska data eller data från barn) måste leverantören inhämta företagets godkännande och följa skärpta säkerhets- och hanteringsprotokoll enligt företagets anvisningar.

11. Skadeersättning och ansvar

Leverantören samtycker till att försvara, gottgöra och hålla Bolaget, dess dotterbolag, tjänstemän och kunder skadeslösa från och mot alla anspråk, skulder, skador, förluster, böter, påföljder och utgifter (inklusive rimliga advokatarvoden) som uppstår på grund av eller i samband med brott mot dessa Krav av Leverantören, dess anställda eller dess Underbiträden.

Ansvaret ska inte begränsas för intrång som involverar dataintrång, böter, avsiktligt fel eller bedrägeri.

12. Allmänna bestämmelser

12.1 Förrang. I händelse av konflikt mellan villkoren i Avtalet och dessa Krav, ska dessa Krav ha företräde i fråga om dataskydd.

12.2 Modifiering. Dessa krav får endast ändras genom en skriftlig ändring undertecknad av behöriga representanter för båda parter.

12.3 Överlevnad. Skyldigheter avseende sekretess, radering av data, ansvar och revisionsrättigheter ska fortsätta att gälla efter att Avtalet upphört.

12.4 Tillämplig lag. Dessa krav ska regleras av och tolkas i enlighet med den tillämpliga lagen som anges i avtalet.