プライバシー法憲章

日付 – 2020年01月01日リリース

最終更新日 – 2023年12月06日

適用範囲:

この文書(以下「要件」)は、Shaip(以下「会社」)とサービスプロバイダー(以下「ベンダー/フリーランサー/コンサルタント」)との間のマスターサービス契約、作業明細書、またはその他の契約(以下「契約」)の不可欠かつ法的拘束力のある部分を構成します。

1。 定義

本要件の目的上、以下の用語は以下に定める意味を有するものとします。

  • 「適用されるデータ保護法」 個人データの処理に適用されるすべての国際法、連邦法、州法、および地方の法律、規則、規制を意味し、GDPR、UK GDPR、CCPA/CPRA、HIPAA、PIPEDA、LGPD などを含みますが、これらに限定されません。
  • 「企業データ」 ベンダーが当社または当社の代理としてベンダーに提供し、またはベンダーが当社に代わって収集、生成、派生、仮名化、匿名化(可逆性が可能な場合)、または処理する、あらゆる形式または媒体のデータ、情報、および資料を意味します。これには、プロジェクトデータおよび個人データが含まれます。
  • 「データ侵害」 会社データの偶発的または違法な破壊、紛失、改ざん、不正開示、またはアクセスにつながる、実際のまたは疑わしいセキュリティ侵害を意味します。
  • 「GDPはあります」 一般データ保護規則(EU)2016/679を意味します。
  • "個人データ" 会社データ内に含まれる、特定された、または特定可能な自然人(「データ主体」)に関する情報を意味します。
  • 「機密個人データ」 適用データ保護法の下で機密とみなされるあらゆるカテゴリーのデータを意味し、人種や民族的起源、政治的意見、宗教的信念や哲学的信念、労働組合の加入、遺伝データ、生体認証データ、健康に関するデータ、自然人の性生活や性的指向に関するデータなどを含みますが、これらに限定されません。
  • "処理" 収集、記録、整理、保管、適応、検索、使用、開示、配布、破棄など、会社データに対して実行されるあらゆる操作を意味します。
  • 「プロジェクトデータ」 ベンダーが当社に提供するサービスの一環として収集または作成した特定のデータ(音声、画像、テキストなど)を意味します。
  • 「サブプロセッサー」 ベンダーが企業データを処理するために雇用する第三者を意味します。

2. ベンダーの役割と義務

2.1 プロセッサー/サブプロセッサーとしての役割。 ベンダーは、企業データの処理において、企業に代わって「処理者」または「サブ処理者」として行動することを認めます。ベンダーは企業データに対する所有権または独立した権利を有しません。

2.2 命令による処理。 ベンダーは、本契約および関連する作業明細書に記載されているものを含む、会社から文書化された合法的な指示に従ってのみ、会社データを処理するものとします。ベンダーは、自社の目的または会社から明示的に指示されていない目的で会社データを処理することを明確に禁じられています。指示には、データの保持および廃棄に関する要件が含まれるものとします。ベンダーは、指示が適用データ保護法に違反していると判断した場合、直ちに会社に通知するものとします。

2.3 法律の遵守。 ベンダーは、本契約の履行において適用されるすべてのデータ保護法に準拠することを保証および表明し、法令により準拠が妨げられる場合、または会社データの開示が求められる場合(政府によるアクセス要求など)は、速やかに会社に通知するものとします。

3. 技術的および組織的なセキュリティ対策

3.1 セキュリティ標準。 ベンダーは、データ侵害から企業データを保護するために、適切な技術的および組織的なセキュリティ対策を実施し、維持するものとします。これらの対策は、リスクのレベルとデータの性質に応じて適切なものとし、少なくとも以下の内容を含むものとします。

  1. 暗号化機能: 保存中および転送中のすべての企業データを暗号化します。
  2. アクセス制御: 最小限の権限に基づく厳格なアクセス制御により、許可された担当者のみが会社のデータにアクセスできるようになります。
  3. データの最小化: 指定されたプロジェクトに必要な最小限の個人データのみを収集および処理します。
  4. 安全な環境: 企業データの処理に使用されるすべてのシステムが安全に構成、パッチ適用、ログ記録、監視されていることを確認します。
  5. 安全な削除: バックアップからの削除を含め、会社からの指示に従って会社データを安全かつ永久に削除するためのプロセスを実施します。
  6. 物理的セキュリティ: 企業データが保存またはアクセスされるすべての物理的な場所とデバイスを保護します。
  7. テストと監視: 定期的な侵入テスト、脆弱性評価、継続的な監視。
  8. 事業継続性: インシデント対応、災害復旧、および事業継続計画を維持します。

4. サブプロセス

4.1 事前の同意が必要です。 ベンダーは、会社の事前の明確な書面による同意なしに、会社データを処理するためにサブプロセッサーを雇用してはなりません。

4.2 義務のフローダウン。 同意が得られた場合、ベンダーは、本要件によってベンダーに課せられるものと同じかより厳格なデータ保護義務をサブプロセッサーに課す書面による契約をサブプロセッサーと締結する必要があります。

4.3 サブプロセッサーリスト。 ベンダーは、サブプロセッサーの最新リストを維持し、当社からの要請に応じて提供するものとします。当社は、いつでもサブプロセッサーに対して異議を申し立てる権利を留保します。

4.4 全責任。 ベンダーは、サブプロセッサーの義務の履行およびサブプロセッサーのあらゆる行為または不作為について、当社に対して全責任を負うものとします。

5. データ侵害の通知と管理

5.1 即時通知。 ベンダーは、データ侵害を最初に認識してから24時間以内に、遅滞なく書面で当社に通知するものとします。

5.2 違反の詳細。 通知には少なくとも次の内容が含まれている必要があります。

  1. データ侵害の性質(データ主体および関係するデータ記録のカテゴリとおおよその数など)を説明します。
  2. ベンダーのデータ保護責任者またはその他の関連連絡先の名前と連絡先の詳細を提供します。
  3. データ侵害によって起こりうる結果について説明します。
  4. データ侵害に対処し、その影響を軽減するためにベンダーが講じた、または講じることが提案されている対策について説明します。

5.3 継続的な更新。 ベンダーは、インシデントが完全に解決されるまで定期的に更新情報を提供するものとします。

5.4 協力。 ベンダーは、データ侵害の調査、是正、および通知において当社に全面的に協力するものとします。ベンダーは、本要件の違反に起因する範囲において、データ侵害に関連するすべての費用を負担するものとします。

6. 国際データ転送

6.1 ベンダーは、当社の事前の書面による同意なしに、企業データを国境を越えて移転してはなりません。ベンダーは、企業データを処理するすべての国を指定する必要があります。

6.2 必要に応じて、ベンダーは、標準契約条項 (SCC)、拘束的企業準則 (BCR)、英国補足条項、または合法的なデータ転送を確保するために会社が義務付けるその他のメカニズムを締結することに同意します。

6.3 ベンダーは、該当する場合、ローカルのデータ保存要件を遵守するものとします。

7. 監査および検査

当社または当社が指定する第三者監査人は、ベンダーによる本要件の遵守状況を検証するために、自己の費用負担で監査を実施する権利を有します。ベンダーは、必要なすべての情報、文書、および施設および人員へのアクセスを提供するものとします。

ベンダーは、定期的に第三者認証(ISO 27001、SOC 2 など)および/または自己評価を受け、相互に合意した期間内に監査または評価で特定された欠陥を速やかに修正するものとします。

8. データ主体の権利に関する支援

ベンダーは、データ主体から権利行使(アクセス、訂正、消去、ポータビリティなど)の要請を受けた場合、速やかに、遅くとも48時間以内に当社に通知するものとします。ベンダーは、当社からの指示がない限り、かかる要請に直接応じることはなく、当社による対応に必要なあらゆる支援を提供するものとします。

9. データの返却と削除

本契約の終了時または当社の要請に基づき、ベンダーは当社の選択に基づき、30日以内にすべての会社データを安全に削除または返却するものとします。ベンダーは、バックアップからの削除を確実に実施し、当該削除の書面による証明を提供するものとします。

10. 特別なデータカテゴリ

10.1 ヘルスケアデータ(HIPAA): ベンダーが保護対象健康情報(PHI)を処理する場合、ベンダーはHIPAAに基づく「ビジネスアソシエイト」(またはビジネスアソシエイトの下請業者)であることを認めます。ベンダーはHIPAAの要件を遵守し、当社のビジネスアソシエイト契約(BAA)を締結するものとします。

10.2 その他の機密データ: 機密個人データ(生体認証データや子供のデータを含む)を扱うプロジェクトの場合、ベンダーは会社の承認を取得し、会社が指定する強化されたセキュリティおよび取り扱いプロトコルを遵守する必要があります。

11. 補償および責任

ベンダーは、ベンダー、その従業員、またはそのサブプロセッサーによる本要件の違反に起因または関連するあらゆる請求、責任、損害、損失、罰金、罰則、および費用 (合理的な弁護士費用を含む) に対して、会社、その関連会社、役員、および顧客を弁護し、補償し、免責することに同意します。

データ侵害、規制罰金、故意の不正行為、詐欺行為を含む違反については、責任に上限はありません。

12。 一般規定

12.1 優先性。 本契約の条件と本要件の間に矛盾が生じた場合は、データ保護に関しては本要件が優先するものとします。

12.2 変更。 これらの要件は、両当事者の権限のある代表者が署名した書面による修正によってのみ変更できます。

12.3 存続。 機密保持、データ削除、責任、監査権に関する義務は、本契約の終了後も存続するものとします。

12.4 準拠法。 これらの要件は、本契約に規定されている準拠法に準拠し、それに従って解釈されるものとします。