Charta zákonů o ochraně osobních údajů

Datum – Vydáno 01.01.2020

Naposledy upraveno – 12. 06. 2023

Použitelnost:

Tento dokument („Požadavky“) tvoří nedílnou a právně závaznou součást jakékoli rámcové smlouvy o poskytování služeb, popisu práce nebo jiné smlouvy („Smlouva“) mezi společností Shaip („Společnost“) a poskytovatelem služeb („Dodavatel/freelancer/konzultanti“).

1. Definice

Pro účely těchto Požadavek mají následující pojmy níže uvedený význam:

  • „Příslušné zákony na ochranu osobních údajů“ znamená veškeré mezinárodní, federální, státní a místní zákony, pravidla a předpisy platné pro zpracování osobních údajů, včetně, ale nikoli výhradně, GDPR, UK GDPR, CCPA/CPRA, HIPAA, PIPEDA a LGPD.
  • „Údaje o společnosti“ znamená veškerá data, informace a materiály v jakékoli formě nebo médiu, poskytnuté Dodavateli Společností nebo jejím jménem, ​​nebo shromážděné, generované, odvozené, pseudonymizované, anonymizované (pokud je možná reverzibilita) nebo zpracované Dodavatelem jménem Společnosti. To zahrnuje Projektová data a jakékoli Osobní údaje.
  • „Únik dat“ znamená jakékoli skutečné nebo domnělé narušení bezpečnosti vedoucí k náhodnému nebo nezákonnému zničení, ztrátě, změně, neoprávněnému zveřejnění nebo přístupu k údajům společnosti.
  • „HDP“ znamená obecné nařízení o ochraně osobních údajů (EU) 2016/679.
  • "Osobní data" znamená jakékoli informace týkající se identifikované nebo identifikovatelné fyzické osoby („Subjekt údajů“) obsažené v datech Společnosti.
  • „Citlivé osobní údaje“ znamená jakoukoli kategorii údajů považovaných za citlivé podle platných zákonů o ochraně osobních údajů, včetně, ale nikoli výhradně, rasového nebo etnického původu, politických názorů, náboženského nebo filozofického přesvědčení, členství v odborech, genetických údajů, biometrických údajů, údajů o zdraví nebo údajů o sexuálním životě nebo sexuální orientaci fyzické osoby.
  • "Zpracovává se" znamená jakoukoli operaci provedenou s daty společnosti, jako je shromažďování, zaznamenávání, organizace, ukládání, úprava, vyhledávání, použití, zveřejnění, šíření nebo zničení.
  • „Data projektu“ znamená specifická data (např. hlas, obraz, text) shromážděná nebo vytvořená Dodavatelem v rámci služeb poskytovaných Společnosti.
  • „Subdodavatel“ znamená jakoukoli třetí stranu, kterou si Dodavatel najal ke zpracování firemních údajů.

2. Úloha a povinnosti dodavatele

2.1 Role zpracovatele/subzpracovatele. Dodavatel bere na vědomí, že při Zpracování firemních dat jedná jako „zpracovatel“ nebo „subzpracovatel“ jménem Společnosti. Dodavatel nemá žádná vlastnická ani nezávislá práva k firemním datům.

2.2 Zpracování na pokyn. Dodavatel bude zpracovávat firemní údaje pouze v souladu s dokumentovanými a zákonnými pokyny Společnosti, včetně pokynů uvedených ve Smlouvě a příslušných Pracovních podmínkách. Dodavateli je výslovně zakázáno zpracovávat firemní údaje pro vlastní účely nebo pro jakýkoli účel, který Společnost výslovně neposkytne. Pokyny musí zahrnovat požadavky na uchovávání a likvidaci údajů. Pokud se Dodavatel domnívá, že pokyn porušuje Platné zákony o ochraně osobních údajů, musí Společnost neprodleně informovat.

2.3 Dodržování zákonů. Prodejce zaručuje a prohlašuje, že při plnění Smlouvy bude dodržovat všechny platné zákony na ochranu osobních údajů a neprodleně upozorní Společnost, pokud jakýkoli zákon brání dodržování nebo vyžaduje zveřejnění Údajů Společnosti (např. žádosti o přístup od vlády).

3. Technická a organizační bezpečnostní opatření

3.1 Bezpečnostní standardy. Dodavatel zavede a bude udržovat vhodná technická a organizační bezpečnostní opatření k ochraně dat společnosti před jakýmkoli narušením bezpečnosti dat. Tato opatření budou úměrná úrovni rizika a povaze dat a budou zahrnovat minimálně:

  1. Šifrování: Šifrování všech firemních dat v klidu i při přenosu.
  2. Řízení přístupu: Přísná kontrola přístupu založená na minimálních oprávněních, která zajišťuje, že k firemním datům mají přístup pouze oprávnění pracovníci.
  3. Minimalizace dat: Shromažďování a zpracování pouze minimálního množství osobních údajů nezbytných pro daný projekt.
  4. Bezpečná prostředí: Zajištění bezpečné konfigurace, oprav, protokolování a monitorování všech systémů používaných ke zpracování firemních dat.
  5. Bezpečné smazání: Zavádění procesů pro bezpečné a trvalé smazání firemních dat na pokyn společnosti, včetně smazání ze záloh.
  6. Fyzická bezpečnost: Zabezpečení všech fyzických míst a zařízení, kde jsou uložena nebo kde je k nim přistupováno.
  7. Testování a monitorování: Pravidelné penetrační testování, hodnocení zranitelností a průběžné monitorování.
  8. Kontinuita podnikání: Udržování plánů reakce na incidenty, obnovy po havárii a zajištění kontinuity podnikání.

4. Sub-zpracování

4.1 Vyžadován předchozí souhlas. Prodejce nesmí pověřit žádného dílčího zpracovatele zpracováním údajů společnosti bez předchozího výslovného písemného souhlasu společnosti.

4.2 Zpáteční tok závazků. Pokud je souhlas udělen, musí Prodejce uzavřít písemnou dohodu se Zpracovatelem, která mu ukládá stejné nebo přísnější povinnosti ochrany osobních údajů, jaké jsou Prodejci uloženy těmito Požadavky.

4.3 Seznam dílčích zpracovatelů. Prodejce bude vést aktuální seznam dílčích zpracovatelů a na vyžádání jej poskytne Společnosti. Společnost si vyhrazuje právo kdykoli vznést námitku proti kterémukoli dílčímu zpracovateli.

4.4 Plná odpovědnost. Prodejce zůstává plně odpovědný vůči Společnosti za plnění povinností Subdodavatele a za jakékoli jednání nebo opomenutí Subdodavatele.

5. Oznámení o narušení bezpečnosti dat a správa

5.1 Okamžité oznámení. Prodejce je povinen písemně informovat Společnost bez zbytečného odkladu a v žádném případě ne později než dvacet čtyři (24) hodin poté, co se poprvé dozvěděl o jakémkoli Porušení bezpečnosti údajů.

5.2 Podrobnosti o porušení. Oznámení musí minimálně:

  1. Popište povahu narušení bezpečnosti údajů, včetně kategorií a přibližného počtu dotčených subjektů údajů a datových záznamů.
  2. Uveďte jméno a kontaktní údaje pověřence pro ochranu osobních údajů dodavatele nebo jiné relevantní kontaktní osoby.
  3. Popište pravděpodobné důsledky úniku dat.
  4. Popište opatření, která Dodavatel přijal nebo navrhuje přijmout k řešení úniku dat a zmírnění jeho dopadů.

5.3 Průběžné aktualizace. Prodejce bude poskytovat pravidelné aktualizace, dokud nebude incident zcela vyřešen.

5.4 Spolupráce. Prodejce bude plně spolupracovat se Společností při vyšetřování, nápravě a oznamování jakéhokoli Porušení dat. Prodejce ponese veškeré náklady spojené s Porušením dat v rozsahu způsobeném porušením těchto Požadavek.

6. Mezinárodní přenosy dat

6.1 Prodejce nesmí převádět firemní údaje přes mezinárodní hranice bez předchozího písemného souhlasu Společnosti. Prodejce musí specifikovat všechny země, ve kterých bude firemní údaje zpracovávat.

6.2 V případě potřeby se Prodejce zavazuje uzavřít Standardní smluvní doložky (SCC), Závazná podniková pravidla (BCR), Dodatek pro Spojené království nebo jakýkoli jiný mechanismus nařízený Společností k zajištění zákonného přenosu údajů.

6.3 Dodavatel bude v příslušných případech dodržovat místní požadavky na umístění dat.

7. Audity a inspekce

Společnost nebo jí určený externí auditor má právo provádět audity na vlastní náklady za účelem ověření souladu Prodejce s těmito Požadavky. Prodejce poskytne veškeré potřebné informace, dokumentaci a přístup k zařízením a personálu.

Dodavatel se bude pravidelně podrobovat certifikacím třetích stran (např. ISO 27001, SOC 2) a/nebo sebehodnocením a neprodleně odstraní veškeré nedostatky zjištěné při auditech nebo hodnoceních v rámci vzájemně dohodnutého časového rámce.

8. Pomoc s právy subjektu údajů

Prodejce neprodleně, a v žádném případě ne později než do čtyřiceti osmi (48) hodin, uvědomí Společnost o jakékoli žádosti obdržené od Subjektu údajů o uplatnění jeho práv (např. přístup, oprava, výmaz, přenositelnost). Prodejce na takové žádosti nebude přímo reagovat, pokud mu to Společnost nepovolí, a poskytne Společnosti veškerou nezbytnou pomoc, aby mohla reagovat.

9. Vrácení a smazání dat

Po ukončení Smlouvy nebo na žádost Společnosti Prodejce dle svého uvážení bezpečně smaže nebo vrátí veškerá Společnostní data do třiceti (30) dnů. Prodejce zajistí smazání ze záloh a poskytne písemné potvrzení o takovém smazání.

10. Zvláštní kategorie údajů

10.1 Zdravotní data (HIPAA): Pokud dodavatel zpracovává jakékoli chráněné zdravotní informace (PHI), potvrzuje tím, že je „obchodním partnerem“ (nebo subdodavatelem obchodního partnera) podle zákona HIPAA. Dodavatel musí dodržovat požadavky HIPAA a musí podepsat Smlouvu o obchodním partnerství (BAA) společnosti.

10.2 Další citlivé údaje: U projektů zahrnujících citlivé osobní údaje (včetně biometrických údajů nebo údajů dětí) musí dodavatel získat souhlas společnosti a dodržovat zvýšené bezpečnostní a manipulační protokoly stanovené společností.

11. Odškodnění a odpovědnost

Prodejce souhlasí s tím, že bude Společnost, její přidružené společnosti, vedoucí pracovníky a klienty hájit, odškodňovat a chránit před veškerými nároky, závazky, škodami, ztrátami, pokutami, penálemi a výdaji (včetně přiměřených poplatků za právní zastoupení) vyplývajícími z jakéhokoli porušení těchto Požadavek ze strany Prodejce, jeho zaměstnanců nebo jeho Subzpracovatelů nebo s ním souvisejícími.

Odpovědnost nebude omezena za porušení týkající se úniků dat, regulačních pokut, úmyslného pochybení nebo podvodu.

12. Obecná ustanovení

12.1 Primárnost. V případě jakéhokoli rozporu mezi podmínkami Smlouvy a těmito Požadavky mají tyto Požadavky přednost, pokud jde o ochranu údajů.

12.2 Modifikace. Tyto Požadavky lze změnit pouze písemným dodatkem podepsaným oprávněnými zástupci obou stran.

12.3 Přežití. Povinnosti týkající se mlčenlivosti, mazání údajů, odpovědnosti a práv na audit zůstávají v platnosti i po ukončení Smlouvy.

12.4 Rozhodné právo. Tyto Požadavky se řídí a vykládají v souladu s rozhodným právem stanoveným ve Smlouvě.