గోప్యతా చట్టాల చార్టర్

తేదీ – 01/01/2020న విడుదలైంది

చివరిగా సవరించిన తేదీ – 12/06/2023

అన్వయం:

ఈ పత్రం (“అవసరాలు”) షైప్ (“కంపెనీ”) మరియు సేవా ప్రదాత (“వెండర్/ఫ్రీలాన్సర్/కన్సల్టెంట్లు”) మధ్య ఏదైనా మాస్టర్ సర్వీసెస్ అగ్రిమెంట్, వర్క్ స్టేట్‌మెంట్ లేదా ఇతర కాంట్రాక్ట్ (“ఒప్పందం”)లో అంతర్భాగంగా మరియు చట్టబద్ధంగా కట్టుబడి ఉండే భాగాన్ని ఏర్పరుస్తుంది.

1. నిర్వచనాలు

ఈ అవసరాల ప్రయోజనాల కోసం, ఈ క్రింది పదాలకు క్రింద ఇవ్వబడిన అర్థాలు ఉంటాయి:

  • "వర్తించే డేటా రక్షణ చట్టాలు" అంటే GDPR, UK GDPR, CCPA/CPRA, HIPAA, PIPEDA, మరియు LGPDతో సహా కానీ వాటికే పరిమితం కాకుండా వ్యక్తిగత డేటా ప్రాసెసింగ్‌కు వర్తించే అన్ని అంతర్జాతీయ, సమాఖ్య, రాష్ట్ర మరియు స్థానిక చట్టాలు, నియమాలు మరియు నిబంధనలు.
  • "కంపెనీ డేటా" అంటే కంపెనీ తరపున విక్రేతకు అందించిన లేదా కంపెనీ తరపున సేకరించిన, ఉత్పత్తి చేసిన, ఉత్పన్నమైన, మారుపేరుతో చేసిన, అనామకంగా ఉంచిన (రివర్సిబిలిటీ సాధ్యమైతే) లేదా ప్రాసెస్ చేసిన ఏదైనా రూపంలో లేదా మాధ్యమంలో ఉన్న అన్ని డేటా, సమాచారం మరియు సామగ్రి. ఇందులో ప్రాజెక్ట్ డేటా మరియు ఏదైనా వ్యక్తిగత డేటా ఉంటాయి.
  • "డేటా ఉల్లంఘన" కంపెనీ డేటా యొక్క ప్రమాదవశాత్తు లేదా చట్టవిరుద్ధమైన విధ్వంసం, నష్టం, మార్పు, అనధికారిక బహిర్గతం లేదా యాక్సెస్‌కు దారితీసే ఏదైనా వాస్తవమైన లేదా అనుమానిత భద్రతా ఉల్లంఘన అని అర్థం.
  • "GDPR" అంటే జనరల్ డేటా ప్రొటెక్షన్ రెగ్యులేషన్ (EU) 2016/679.
  • "వ్యక్తిగత సమాచారం" కంపెనీ డేటాలో ఉన్న గుర్తించబడిన లేదా గుర్తించదగిన సహజ వ్యక్తికి ("డేటా సబ్జెక్ట్") సంబంధించిన ఏదైనా సమాచారం అని అర్థం.
  • "సున్నితమైన వ్యక్తిగత డేటా" వర్తించే డేటా రక్షణ చట్టాల ప్రకారం సున్నితమైనదిగా పరిగణించబడే ఏదైనా వర్గం డేటా అంటే, జాతి లేదా జాతి మూలం, రాజకీయ అభిప్రాయాలు, మతపరమైన లేదా తాత్విక నమ్మకాలు, ట్రేడ్ యూనియన్ సభ్యత్వం, జన్యు డేటా, బయోమెట్రిక్ డేటా, ఆరోగ్యానికి సంబంధించిన డేటా లేదా సహజ వ్యక్తి లైంగిక జీవితం లేదా లైంగిక ధోరణికి సంబంధించిన డేటాతో సహా కానీ వీటికే పరిమితం కాదు.
  • "ప్రాసెసింగ్" అంటే కంపెనీ డేటాపై నిర్వహించే ఏదైనా ఆపరేషన్, అంటే సేకరణ, రికార్డింగ్, సంస్థ, నిల్వ, అనుసరణ, తిరిగి పొందడం, ఉపయోగం, బహిర్గతం, వ్యాప్తి లేదా విధ్వంసం.
  • "ప్రాజెక్ట్ డేటా" కంపెనీకి అందించే సేవలలో భాగంగా విక్రేత సేకరించిన లేదా సృష్టించిన నిర్దిష్ట డేటా (ఉదా. వాయిస్, ఇమేజ్, టెక్స్ట్) అని అర్థం.
  • "సబ్-ప్రాసెసర్" అంటే కంపెనీ డేటాను ప్రాసెస్ చేయడానికి విక్రేత నియమించిన ఏదైనా మూడవ పక్షం.

2. విక్రేత పాత్ర మరియు బాధ్యతలు

2.1 ప్రాసెసర్/సబ్-ప్రాసెసర్‌గా పాత్ర. కంపెనీ డేటాను ప్రాసెస్ చేయడంలో, కంపెనీ తరపున "ప్రాసెసర్" లేదా "సబ్-ప్రాసెసర్"గా పనిచేస్తుందని విక్రేత అంగీకరిస్తున్నారు. కంపెనీ డేటాపై విక్రేతకు యాజమాన్యం లేదా స్వతంత్ర హక్కులు లేవు.

2.2 సూచనలపై ప్రాసెసింగ్. కంపెనీ యొక్క డాక్యుమెంట్ చేయబడిన, చట్టబద్ధమైన సూచనలకు అనుగుణంగా మాత్రమే విక్రేత కంపెనీ డేటాను ప్రాసెస్ చేయాలి, ఒప్పందం మరియు సంబంధిత పని ప్రకటనలలో పేర్కొన్నవి కూడా ఇందులో ఉన్నాయి. విక్రేత తన సొంత ప్రయోజనాల కోసం లేదా కంపెనీ స్పష్టంగా సూచించని ఏ ప్రయోజనం కోసం అయినా కంపెనీ డేటాను ప్రాసెస్ చేయడం నుండి స్పష్టంగా నిషేధించబడ్డాడు. సూచనలలో డేటా నిలుపుదల మరియు పారవేయడం అవసరాలు ఉంటాయి. ఒక సూచన వర్తించే డేటా రక్షణ చట్టాలను ఉల్లంఘిస్తుందని విక్రేత విశ్వసిస్తే, అది వెంటనే కంపెనీకి తెలియజేయాలి.

2.3 చట్టాలకు అనుగుణంగా ఉండటం. ఒప్పందాన్ని అమలు చేయడంలో వర్తించే అన్ని డేటా రక్షణ చట్టాలకు లోబడి ఉంటామని విక్రేత హామీ ఇస్తుంది మరియు ప్రాతినిధ్యం వహిస్తుంది మరియు ఏదైనా చట్టం సమ్మతిని నిరోధిస్తే లేదా కంపెనీ డేటాను బహిర్గతం చేయవలసి వస్తే (ఉదా. ప్రభుత్వ యాక్సెస్ అభ్యర్థనలు) వెంటనే కంపెనీకి తెలియజేస్తుంది.

3. సాంకేతిక మరియు సంస్థాగత భద్రతా చర్యలు

3.1 భద్రతా ప్రమాణాలు. ఏదైనా డేటా ఉల్లంఘన నుండి కంపెనీ డేటాను రక్షించడానికి విక్రేత తగిన సాంకేతిక మరియు సంస్థాగత భద్రతా చర్యలను అమలు చేయాలి మరియు నిర్వహించాలి. ఈ చర్యలు ప్రమాద స్థాయి మరియు డేటా స్వభావానికి అనుగుణంగా ఉండాలి మరియు కనీసం వీటిని కలిగి ఉండాలి:

  1. ఎన్క్రిప్షన్: నిశ్చలంగా మరియు రవాణాలో ఉన్న అన్ని కంపెనీ డేటాను ఎన్‌క్రిప్షన్ చేయడం.
  2. ప్రాప్యత నియంత్రణ: కనీస ప్రత్యేక హక్కు ఆధారంగా కఠినమైన యాక్సెస్ నియంత్రణలు, అధికారం కలిగిన సిబ్బందికి మాత్రమే కంపెనీ డేటాకు ప్రాప్యత ఉండేలా చూసుకోవడం.
  3. డేటా కనిష్టీకరణ: పేర్కొన్న ప్రాజెక్టుకు అవసరమైన కనీస వ్యక్తిగత డేటాను మాత్రమే సేకరించడం మరియు ప్రాసెస్ చేయడం.
  4. సురక్షిత పర్యావరణాలు: కంపెనీ డేటాను ప్రాసెస్ చేయడానికి ఉపయోగించే అన్ని వ్యవస్థలు సురక్షితంగా కాన్ఫిగర్ చేయబడి, ప్యాచ్ చేయబడి, లాగ్ చేయబడి మరియు పర్యవేక్షించబడ్డాయని నిర్ధారించుకోవడం.
  5. సురక్షిత తొలగింపు: కంపెనీ సూచనల మేరకు కంపెనీ డేటాను సురక్షితంగా మరియు శాశ్వతంగా తొలగించడానికి, బ్యాకప్‌ల నుండి తొలగించడం సహా ప్రక్రియలను అమలు చేయడం.
  6. భౌతిక భద్రత: కంపెనీ డేటా నిల్వ చేయబడిన లేదా యాక్సెస్ చేయబడిన అన్ని భౌతిక స్థానాలు మరియు పరికరాలను భద్రపరచడం.
  7. పరీక్ష & పర్యవేక్షణ: క్రమం తప్పకుండా వ్యాప్తి పరీక్షలు, దుర్బలత్వ అంచనాలు మరియు నిరంతర పర్యవేక్షణ.
  8. వ్యాపార కొనసాగింపు: సంఘటన ప్రతిస్పందన, విపత్తు పునరుద్ధరణ మరియు వ్యాపార కొనసాగింపు ప్రణాళికలను నిర్వహించడం.

4. సబ్-ప్రాసెసింగ్

4.1 ముందస్తు అనుమతి అవసరం. కంపెనీ ముందస్తు, నిర్దిష్ట వ్రాతపూర్వక అనుమతి లేకుండా కంపెనీ డేటాను ప్రాసెస్ చేయడానికి విక్రేత ఏ సబ్-ప్రాసెసర్‌ను నియమించకూడదు.

4.2 బాధ్యతల ప్రవాహం-తగ్గింపు. సమ్మతి మంజూరు చేయబడితే, విక్రేత సబ్-ప్రాసెసర్‌తో వ్రాతపూర్వక ఒప్పందం కుదుర్చుకోవాలి, ఇది ఈ అవసరాల ద్వారా విక్రేతపై విధించిన అదే లేదా అంతకంటే ఎక్కువ కఠినమైన డేటా రక్షణ బాధ్యతలను సబ్-ప్రాసెసర్‌పై విధిస్తుంది.

4.3 సబ్-ప్రాసెసర్ జాబితా. విక్రేత సబ్-ప్రాసెసర్ల యొక్క తాజా జాబితాను నిర్వహించాలి మరియు కంపెనీ అభ్యర్థన మేరకు దానిని అందించాలి. ఏ సమయంలోనైనా ఏదైనా సబ్-ప్రాసెసర్‌పై అభ్యంతరం చెప్పే హక్కు కంపెనీకి ఉంది.

4.4 పూర్తి బాధ్యత. సబ్-ప్రాసెసర్ యొక్క బాధ్యతల నిర్వహణకు మరియు సబ్-ప్రాసెసర్ యొక్క ఏదైనా చర్య లేదా మినహాయింపుకు విక్రేత కంపెనీకి పూర్తిగా బాధ్యత వహిస్తాడు.

5. డేటా ఉల్లంఘన నోటిఫికేషన్ మరియు నిర్వహణ

5.1 తక్షణ నోటిఫికేషన్. విక్రేత అనవసరమైన ఆలస్యం చేయకుండా కంపెనీకి లిఖితపూర్వకంగా తెలియజేయాలి మరియు ఎటువంటి సందర్భంలోనూ ఏదైనా డేటా ఉల్లంఘన గురించి మొదట తెలుసుకున్న ఇరవై నాలుగు (24) గంటలలోపు తెలియజేయాలి.

5.2 ఉల్లంఘన వివరాలు. నోటిఫికేషన్ కనీసం:

  1. డేటా ఉల్లంఘన యొక్క స్వభావాన్ని వివరించండి, అందులో వర్గాలు మరియు సంబంధిత డేటా సబ్జెక్ట్‌ల సుమారు సంఖ్య మరియు డేటా రికార్డులు ఉంటాయి.
  2. విక్రేత యొక్క డేటా రక్షణ అధికారి లేదా ఇతర సంబంధిత కాంటాక్ట్ పాయింట్ పేరు మరియు సంప్రదింపు వివరాలను అందించండి.
  3. డేటా ఉల్లంఘన వల్ల కలిగే పరిణామాలను వివరించండి.
  4. డేటా ఉల్లంఘనను పరిష్కరించడానికి మరియు దాని ప్రభావాలను తగ్గించడానికి విక్రేత తీసుకున్న లేదా ప్రతిపాదించిన చర్యలను వివరించండి.

5.3 కొనసాగుతున్న నవీకరణలు. సంఘటన పూర్తిగా పరిష్కారం అయ్యే వరకు విక్రేత క్రమం తప్పకుండా నవీకరణలను అందించాలి.

5.4 సహకారం. ఏదైనా డేటా ఉల్లంఘన దర్యాప్తు, నివారణ మరియు నోటిఫికేషన్‌లో విక్రేత కంపెనీకి పూర్తిగా సహకరించాలి. ఈ అవసరాలను ఉల్లంఘించడం వల్ల కలిగే మేరకు డేటా ఉల్లంఘనకు సంబంధించిన అన్ని ఖర్చులను విక్రేత భరించాలి.

6. అంతర్జాతీయ డేటా బదిలీలు

6.1 కంపెనీ ముందస్తు లిఖిత అనుమతి లేకుండా విక్రేత కంపెనీ డేటాను అంతర్జాతీయ సరిహద్దుల మీదుగా బదిలీ చేయకూడదు. కంపెనీ డేటాను ప్రాసెస్ చేసే అన్ని దేశాలను విక్రేత పేర్కొనాలి.

6.2 అవసరమైన చోట, విక్రేత ప్రామాణిక ఒప్పంద నిబంధనలు (SCCలు), బైండింగ్ కార్పొరేట్ నియమాలు (BCRలు), UK అనుబంధం లేదా చట్టబద్ధమైన డేటా బదిలీలను నిర్ధారించడానికి కంపెనీ ఆదేశించిన ఏదైనా ఇతర యంత్రాంగంలోకి ప్రవేశించడానికి అంగీకరిస్తాడు.

6.3 వర్తించే చోట విక్రేత స్థానిక డేటా నివాస అవసరాలకు అనుగుణంగా ఉండాలి.

7. ఆడిట్‌లు మరియు తనిఖీలు

ఈ అవసరాలకు విక్రేత యొక్క సమ్మతిని ధృవీకరించడానికి కంపెనీ లేదా దాని నియమించబడిన మూడవ పక్ష ఆడిటర్, దాని స్వంత ఖర్చుతో ఆడిట్‌లను నిర్వహించే హక్కును కలిగి ఉంటారు. విక్రేత అవసరమైన అన్ని సమాచారం, డాక్యుమెంటేషన్ మరియు సౌకర్యాలు మరియు సిబ్బందికి ప్రాప్యతను అందించాలి.

విక్రేత క్రమం తప్పకుండా మూడవ పక్ష ధృవపత్రాలు (ఉదా. ISO 27001, SOC 2) మరియు/లేదా స్వీయ-అంచనాలకు లోనవుతారు మరియు పరస్పరం అంగీకరించబడిన కాలపరిమితిలోపు ఆడిట్‌లు లేదా అసెస్‌మెంట్‌లలో గుర్తించబడిన ఏవైనా లోపాలను వెంటనే పరిష్కరిస్తారు.

8. డేటా సబ్జెక్ట్ హక్కుల సహాయం

డేటా సబ్జెక్ట్ నుండి వారి హక్కులను (ఉదా. యాక్సెస్, సరిదిద్దడం, ఎరేజర్, పోర్టబిలిటీ) వినియోగించుకోవడానికి అందిన ఏదైనా అభ్యర్థన గురించి విక్రేత వెంటనే, మరియు ఎట్టి పరిస్థితుల్లోనూ నలభై ఎనిమిది (48) గంటలలోపు కంపెనీకి తెలియజేయాలి. కంపెనీ సూచించకపోతే విక్రేత అటువంటి అభ్యర్థనలకు నేరుగా స్పందించకూడదు మరియు కంపెనీ ప్రతిస్పందనను ప్రారంభించడానికి అవసరమైన అన్ని సహాయాన్ని అందించాలి.

9. డేటా రిటర్న్ మరియు తొలగింపు

ఒప్పందం ముగిసిన తర్వాత లేదా కంపెనీ అభ్యర్థన మేరకు, విక్రేత, కంపెనీ ఎంపిక మేరకు, ముప్పై (30) రోజులలోపు మొత్తం కంపెనీ డేటాను సురక్షితంగా తొలగించాలి లేదా తిరిగి ఇవ్వాలి. విక్రేత బ్యాకప్‌ల నుండి తొలగించబడిందని నిర్ధారించుకోవాలి మరియు అటువంటి తొలగింపుకు వ్రాతపూర్వక ధృవీకరణను అందించాలి.

10. డేటా యొక్క ప్రత్యేక వర్గాలు

10.1 ఆరోగ్య సంరక్షణ డేటా (HIPAA): విక్రేత ఏదైనా రక్షిత ఆరోగ్య సమాచారాన్ని (PHI) ప్రాసెస్ చేస్తే, విక్రేత తాను HIPAA కింద "బిజినెస్ అసోసియేట్" (లేదా బిజినెస్ అసోసియేట్‌కు సబ్‌కాంట్రాక్టర్) అని అంగీకరిస్తాడు. విక్రేత HIPAA అవసరాలకు అనుగుణంగా ఉండాలి మరియు కంపెనీ యొక్క బిజినెస్ అసోసియేట్ ఒప్పందాన్ని (BAA) అమలు చేయాలి.

10.2 ఇతర సున్నితమైన డేటా: సున్నితమైన వ్యక్తిగత డేటా (బయోమెట్రిక్ డేటా లేదా పిల్లల నుండి డేటాతో సహా) ఉన్న ప్రాజెక్టుల కోసం, విక్రేత కంపెనీ ఆమోదం పొందాలి మరియు కంపెనీ పేర్కొన్న విధంగా అధిక భద్రత మరియు నిర్వహణ ప్రోటోకాల్‌లను పాటించాలి.

11. నష్టపరిహారం మరియు బాధ్యత

విక్రేత, దాని ఉద్యోగులు లేదా దాని సబ్-ప్రాసెసర్లు ఈ అవసరాలను ఉల్లంఘించడం వల్ల లేదా వాటికి సంబంధించి ఉత్పన్నమయ్యే ఏవైనా మరియు అన్ని క్లెయిమ్‌లు, బాధ్యతలు, నష్టపరిహారాలు, నష్టాలు, జరిమానాలు, జరిమానాలు మరియు ఖర్చులు (సహేతుకమైన న్యాయవాదుల రుసుములతో సహా) నుండి కంపెనీ, దాని అనుబంధ సంస్థలు, అధికారులు మరియు క్లయింట్‌లను రక్షించడానికి, నష్టపరిహారం చెల్లించడానికి మరియు హాని కలిగించకుండా ఉంచడానికి విక్రేత అంగీకరిస్తాడు.

డేటా ఉల్లంఘనలు, నియంత్రణ జరిమానాలు, ఉద్దేశపూర్వక దుష్ప్రవర్తన లేదా మోసం వంటి ఉల్లంఘనలకు బాధ్యత పరిమితం చేయబడదు.

12. సాధారణ నిబంధనలు

12.1 ప్రాధాన్యత. ఒప్పందం యొక్క నిబంధనలు మరియు ఈ అవసరాల మధ్య ఏదైనా వైరుధ్యం తలెత్తితే, డేటా రక్షణకు సంబంధించి ఈ అవసరాలు ప్రబలంగా ఉంటాయి.

12.2 సవరణ. ఈ అవసరాలను రెండు పార్టీల అధీకృత ప్రతినిధులు సంతకం చేసిన వ్రాతపూర్వక సవరణ ద్వారా మాత్రమే సవరించవచ్చు.

12.3 మనుగడ. గోప్యత, డేటా తొలగింపు, బాధ్యత మరియు ఆడిట్ హక్కులకు సంబంధించిన బాధ్యతలు ఒప్పందం రద్దు తర్వాత కూడా ఉంటాయి.

12.4 పాలక చట్టం. ఈ అవసరాలు ఒప్పందంలో నిర్దేశించిన పాలక చట్టం ద్వారా నిర్వహించబడతాయి మరియు దాని ప్రకారం అర్థం చేసుకోబడతాయి.