Charter om personvernlover

Dato – Utgitt 01.01.2020

Sist endret – 06.12.2023

Gyldighet:

Dette dokumentet («Krav») utgjør en integrert og juridisk bindende del av enhver hovedavtale for tjenester, arbeidsbeskrivelse eller annen kontrakt («Avtale») mellom Shaip («Selskapet») og tjenesteleverandøren («Leverandør/frilanser/konsulenter»).

1. Definisjoner

I disse kravene skal følgende begreper ha den betydningen som er angitt nedenfor:

  • «Gjeldende personvernlover» betyr alle internasjonale, føderale, statlige og lokale lover, regler og forskrifter som gjelder for behandling av personopplysninger, inkludert, men ikke begrenset til, GDPR, UK GDPR, CCPA/CPRA, HIPAA, PIPEDA og LGPD.
  • «Bedriftsdata» betyr alle data, informasjon og materialer, i enhver form eller medium, gitt til Leverandøren av eller på vegne av Selskapet, eller samlet inn, generert, utledet, pseudonymisert, anonymisert (hvis reversibilitet er mulig), eller behandlet av Leverandøren på vegne av Selskapet. Dette inkluderer Prosjektdata og eventuelle Personopplysninger.
  • «Datainnbrudd» betyr ethvert faktisk eller mistenkt sikkerhetsbrudd som fører til utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert avsløring av eller tilgang til selskapsdata.
  • "BNP er" betyr personvernforordningen (EU) 2016/679.
  • "Personlig informasjon" betyr all informasjon knyttet til en identifisert eller identifiserbar fysisk person («den registrerte») som finnes i selskapsdataene.
  • «Sensitive personopplysninger» betyr enhver kategori av data som anses som sensitive i henhold til gjeldende personvernlover, inkludert, men ikke begrenset til, rasemessig eller etnisk opprinnelse, politiske meninger, religiøs eller filosofisk overbevisning, fagforeningsmedlemskap, genetiske data, biometriske data, helsedata eller data om en fysisk persons sexliv eller seksuelle legning.
  • "Behandling" betyr enhver operasjon utført på selskapsdata, for eksempel innsamling, registrering, organisering, lagring, tilpasning, gjenfinning, bruk, utlevering, formidling eller destruksjon.
  • «Prosjektdata» betyr de spesifikke dataene (f.eks. stemme, bilde, tekst) som samles inn eller opprettes av Leverandøren som en del av tjenestene som leveres til Selskapet.
  • "Underprosessor" betyr enhver tredjepart som er engasjert av Leverandøren til å behandle Selskapsdata.

2. Leverandørens rolle og forpliktelser

2.1 Rolle som databehandler/underdatabehandler. Leverandøren erkjenner at ved behandling av selskapsdata fungerer den som en «databehandler» eller «underdatabehandler» på vegne av selskapet. Leverandøren har ingen eierskapsrettigheter eller uavhengige rettigheter til selskapsdataene.

2.2 Behandling etter instruksjon. Leverandøren skal kun behandle selskapsdata i samsvar med dokumenterte, lovlige instruksjoner fra selskapet, inkludert de som er angitt i avtalen og relevante arbeidsbeskrivelser. Leverandøren er uttrykkelig forbudt å behandle selskapsdata til egne formål eller til formål som ikke er uttrykkelig instruert av selskapet. Instruksjonene skal omfatte krav til dataoppbevaring og -avhending. Hvis leverandøren mener at en instruksjon bryter med gjeldende personvernlover, må vedkommende umiddelbart informere selskapet.

2.3 Overholdelse av lover. Leverandøren garanterer og erklærer at den vil overholde alle gjeldende personvernlover i sin oppfyllelse av avtalen, og skal umiddelbart varsle Selskapet dersom noen lov forhindrer overholdelse eller krever utlevering av Selskapsdata (f.eks. forespørsler om tilgang fra myndighetene).

3. Tekniske og organisatoriske sikkerhetstiltak

3.1 Sikkerhetsstandarder. Leverandøren skal implementere og vedlikeholde passende tekniske og organisatoriske sikkerhetstiltak for å beskytte Selskapets data mot datainnbrudd. Disse tiltakene skal være i samsvar med risikonivået og dataenes art, og skal som et minimum omfatte:

  1. kryptering: Kryptering av alle bedriftsdata i ro og under overføring.
  2. Adgangskontroll: Strenge tilgangskontroller basert på minste rettigheter, som sikrer at kun autorisert personell har tilgang til bedriftsdata.
  3. Dataminimering: Innsamling og behandling av kun den minste mengden personopplysninger som er nødvendig for det spesifiserte prosjektet.
  4. Sikre miljøer: Sørge for at alle systemer som brukes til å behandle bedriftsdata er sikkert konfigurert, oppdatert, logget og overvåket.
  5. Sikker sletting: Implementering av prosesser for sikker og permanent sletting av bedriftsdata etter instruksjoner fra selskapet, inkludert sletting fra sikkerhetskopier.
  6. Fysisk sikkerhet: Sikring av alle fysiske steder og enheter der bedriftsdata lagres eller tilgås.
  7. Testing og overvåking: Regelmessig penetrasjonstesting, sårbarhetsvurderinger og kontinuerlig overvåking.
  8. Forretningskontinuitet: Vedlikehold av planer for hendelsesrespons, katastrofegjenoppretting og forretningskontinuitet.

4. Delbehandling

4.1 Forhåndssamtykke kreves. Leverandøren skal ikke engasjere noen underdatabehandler til å behandle selskapets data uten selskapets forutgående, spesifikke skriftlige samtykke.

4.2 Nedbetaling av forpliktelser. Dersom samtykke gis, må Leverandøren inngå en skriftlig avtale med Underdatabehandleren som pålegger Underdatabehandleren de samme eller strengere personvernforpliktelsene som Leverandøren pålegges i henhold til disse Kravene.

4.3 Liste over underdatabehandlere. Leverandøren skal føre en oppdatert liste over underdatabehandlere og gi denne til Selskapet på forespørsel. Selskapet forbeholder seg retten til å protestere mot enhver underdatabehandler når som helst.

4.4 Fullt ansvar. Leverandøren skal forbli fullt ansvarlig overfor Selskapet for oppfyllelsen av Underdatabehandlerens forpliktelser og for enhver handling eller unnlatelse fra Underdatabehandlerens side.

5. Varsling og håndtering av datainnbrudd

5.1 Umiddelbar varsling. Leverandøren skal varsle Selskapet skriftlig uten unødig forsinkelse, og ikke senere enn tjuefire (24) timer etter at vedkommende først ble oppmerksom på et datainnbrudd.

5.2 Brudddetaljer. Varselet må som et minimum:

  1. Beskriv datainnbruddets art, inkludert kategorier og omtrentlig antall registrerte og dataposter som er berørt.
  2. Oppgi navn og kontaktinformasjon til leverandørens personvernombud eller annet relevant kontaktpunkt.
  3. Beskriv de sannsynlige konsekvensene av datainnbruddet.
  4. Beskriv tiltakene som er iverksatt eller foreslås iverksatt av leverandøren for å håndtere datainnbruddet og redusere effektene av det.

5.3 Løpende oppdateringer. Leverandøren skal gi regelmessige oppdateringer inntil hendelsen er fullstendig løst.

5.4 Samarbeid. Leverandøren skal samarbeide fullt ut med Selskapet i etterforskningen, utbedringen og varslingen av ethvert datainnbrudd. Leverandøren skal bære alle kostnader forbundet med et datainnbrudd i den grad det er forårsaket av bruddet på disse kravene.

6. Internasjonale dataoverføringer

6.1 Leverandøren skal ikke overføre selskapsdata over internasjonale grenser uten skriftlig samtykke fra selskapet på forhånd. Leverandøren må spesifisere alle land der den skal behandle selskapsdata.

6.2 Der det er nødvendig, samtykker leverandøren i å inngå standard kontraktsklausuler (SCC-er), bindende selskapsregler (BCR-er), det britiske tillegget eller andre mekanismer som er pålagt av selskapet for å sikre lovlige dataoverføringer.

6.3 Leverandøren skal overholde lokale krav til datalagring der det er aktuelt.

7. Tilsyn og inspeksjoner

Selskapet, eller dets utpekte tredjepartsrevisor, skal ha rett til å utføre revisjoner, på egen bekostning, for å bekrefte Leverandørens overholdelse av disse kravene. Leverandøren skal sørge for all nødvendig informasjon, dokumentasjon og tilgang til fasiliteter og personell.

Leverandøren skal gjennomgå regelmessige tredjepartssertifiseringer (f.eks. ISO 27001, SOC 2) og/eller egenvurderinger, og omgående utbedre eventuelle mangler som er identifisert i revisjoner eller vurderinger innenfor en gjensidig avtalt tidsramme.

8. Bistand til de registrertes rettigheter

Leverandøren skal omgående, og ikke senere enn førtiåtte (48) timer, varsle Selskapet om enhver forespørsel mottatt fra en registrert person om å utøve sine rettigheter (f.eks. tilgang, retting, sletting, dataportabilitet). Leverandøren skal ikke svare direkte på slike forespørsler med mindre Selskapet har bedt om det, og skal yte all nødvendig bistand for at Selskapet skal kunne svare.

9. Dataretur og sletting

Ved opphør av avtalen eller på Selskapets anmodning, skal Leverandøren, etter Selskapets valg, på en sikker måte slette eller returnere alle Selskapsdata innen tretti (30) dager. Leverandøren skal sørge for sletting fra sikkerhetskopier og gi skriftlig bekreftelse på slik sletting.

10. Spesielle datakategorier

10.1 Helsedata (HIPAA): Hvis leverandøren behandler beskyttet helseinformasjon (PHI), erkjenner leverandøren at de er en «forretningspartner» (eller underleverandør til en forretningspartner) i henhold til HIPAA. Leverandøren må overholde HIPAA-kravene og skal undertegne selskapets forretningspartneravtale (BAA).

10.2 Andre sensitive data: For prosjekter som involverer sensitive personopplysninger (inkludert biometriske data eller data fra barn), må leverandøren innhente selskapets godkjenning og overholde skjerpede sikkerhets- og håndteringsprotokoller som spesifisert av selskapet.

11. Skadesløsholdelse og ansvar

Leverandøren samtykker i å forsvare, skadesløsholde og holde Selskapet, dets tilknyttede selskaper, ledere og kunder skadesløse fra og mot ethvert krav, ansvar, skader, tap, bøter, straffer og utgifter (inkludert rimelige advokatsalærer) som oppstår som følge av eller i forbindelse med brudd på disse kravene av Leverandøren, dens ansatte eller dens underdatabehandlere.

Ansvar skal ikke begrenses for brudd som involverer datainnbrudd, bøter i henhold til regulatoriske forsømmelser, forsettlig mislighold eller svindel.

12. Generelle bestemmelser

12.1 Primærstatus. Ved konflikt mellom vilkårene i avtalen og disse kravene, skal disse kravene ha forrang med hensyn til databeskyttelse.

12.2 Modifikasjon. Disse kravene kan kun endres ved en skriftlig endring signert av autoriserte representanter for begge parter.

12.3 Overlevelse. Forpliktelser knyttet til konfidensialitet, sletting av data, ansvar og revisjonsrettigheter skal fortsatt gjelde etter opphør av avtalen.

12.4 Gjeldende lov. Disse kravene skal reguleres av og tolkes i samsvar med gjeldende lov angitt i avtalen.