מגילת חוקי הפרטיות

תאריך – יצא לאור בתאריך 01/01/2020

עודכן לאחרונה בתאריך – 12/06/2023

יָשִׂימוּת:

מסמך זה ("דרישות") מהווה חלק בלתי נפרד ומחייב מבחינה משפטית מכל הסכם שירותים ראשי, הצהרת עבודה או חוזה אחר ("הסכם") בין Shaip ("החברה") לבין ספק השירות ("ספק/פרילנסר/יועצים").

1. הגדרות

לצורכי דרישות אלה, למונחים הבאים תהיה המשמעויות המפורטות להלן:

  • "חוקי הגנת מידע רלוונטיים" פירושו כל החוקים, הכללים והתקנות הבינלאומיים, הפדרליים, המדינתיים והמקומיים החלים על עיבוד נתונים אישיים, לרבות אך לא רק GDPR, GDPR של בריטניה, CCPA/CPRA, HIPAA, PIPEDA ו-LGPD.
  • "נתוני החברה" פירושו כל הנתונים, המידע והחומרים, בכל צורה או מדיום, שסופקו לספק על ידי החברה או מטעם החברה, או שנאספו, נוצרו, נגזרו, עברו לפסובדוניה, הפכו לאנונימיים (אם הפיכה אפשרית), או שעובדו על ידי הספק מטעם החברה. זה כולל נתוני פרויקט וכל מידע אישי.
  • "פרצת נתונים" פירושו כל הפרה ממשית או חשודה של אבטחה המובילה להשמדה, אובדן, שינוי, גילוי או גישה בלתי מורשית לנתוני החברה, בשוגג או באופן לא חוקי.
  • "GDPR" פירושו תקנת הגנת המידע הכללית (EU) 2016/679.
  • "מידע אישי" פירושו כל מידע הקשור לאדם טבעי מזוהה או ניתן לזיהוי ("נושא הנתונים") הכלול בנתוני החברה.
  • "מידע אישי רגיש" פירושו כל קטגוריית נתונים הנחשבת רגישה על פי חוקי הגנת המידע הרלוונטיים, לרבות אך לא רק מוצא גזעי או אתני, דעות פוליטיות, אמונות דתיות או פילוסופיות, חברות באיגוד מקצועי, נתונים גנטיים, נתונים ביומטריים, נתונים הנוגעים לבריאות או נתונים הנוגעים לחיי המין או לנטייתו המינית של אדם.
  • "מעבד" פירושו כל פעולה המבוצעת על נתוני החברה, כגון איסוף, רישום, ארגון, אחסון, התאמה, אחזור, שימוש, גילוי, הפצה או השמדה.
  • "נתוני הפרויקט" פירושו הנתונים הספציפיים (למשל, קול, תמונה, טקסט) שנאספו או נוצרו על ידי הספק כחלק מהשירותים שסופקו לחברה.
  • "מעבד משנה" פירושו כל צד שלישי שנשכר על ידי הספק לעיבוד נתוני חברה.

2. תפקידו וחובותיו של הספק

2.1 תפקיד כמעבד/מעבד משנה. הספק מאשר כי בעיבוד נתוני החברה, הוא פועל כ"מעבד" או "מעבד משנה" מטעם החברה. לספק אין בעלות או זכויות עצמאיות על נתוני החברה.

2.2 עיבוד לפי הוראה. הספק יעבד את נתוני החברה אך ורק בהתאם להוראות המתועדות והחוקיות של החברה, לרבות אלו המפורטות בהסכם ובמדיניות העבודה הרלוונטית. הספק אסור במפורש לעבד נתוני חברה למטרותיו שלו או לכל מטרה שלא הוראה במפורש על ידי החברה. ההוראות יכללו דרישות שמירת נתונים וסילוקם. אם הספק סבור שהוראה מפרה את חוקי הגנת המידע הרלוונטיים, עליו להודיע ​​לחברה באופן מיידי.

2.3 ציות לחוקים. הספק מתחייב ומצהיר כי יציית לכל חוקי הגנת המידע החלים בעת ביצוע ההסכם, ויודיע לחברה באופן מיידי אם חוק כלשהו מונע ציות או מחייב גילוי של נתוני החברה (למשל, בקשות גישה ממשלתיות).

3. אמצעי אבטחה טכניים וארגוניים

3.1 תקני אבטחה. על הספק ליישם ולתחזק אמצעי אבטחה טכניים וארגוניים מתאימים כדי להגן על נתוני החברה מפני כל פרצת נתונים. אמצעים אלה יהיו תואמים לרמת הסיכון ולאופי הנתונים, ויכללו, לכל הפחות:

  1. הצפנה: הצפנת כל נתוני החברה במנוחה ובמעבר.
  2. בקרת גישה: בקרות גישה קפדניות המבוססות על מינימום הרשאות, המבטיחות שרק לעובדים מורשים תהיה גישה לנתוני החברה.
  3. מזעור נתונים: איסוף ועיבוד של כמות המידע האישי המינימלית הנדרשת לפרויקט שצוין.
  4. סביבות מאובטחות: וידוא שכל המערכות המשמשות לעיבוד נתוני חברה מוגדרות, מתוקנות, נרשמות ומנוטרות בצורה מאובטחת.
  5. מחיקה מאובטחת: יישום תהליכים למחיקה מאובטחת וקבועה של נתוני החברה בהתאם להנחיות החברה, כולל מחיקה מגיבויים.
  6. ביטחון פיזי: אבטחת כל המיקומים והמכשירים הפיזיים שבהם מאוחסנים או נגישים לנתוני החברה.
  7. בדיקות וניטור: בדיקות חדירה שוטפות, הערכת פגיעויות וניטור מתמשך.
  8. רציפות עסקית: תחזוקת תוכניות תגובה לאירועים, התאוששות מאסון והמשכיות עסקית.

4. עיבוד משנה

4.1 נדרשת הסכמה מראש. הספק לא יעסיק אף מעבד משנה לעיבוד נתוני החברה ללא הסכמה מראש ובכתב של החברה.

4.2 פירוט התחייבויות. אם ניתנה הסכמה, על הספק להתקשר בהסכם בכתב עם מעבד המשנה אשר מטיל על מעבד המשנה את אותן חובות הגנת מידע מחמירות יותר, או כאלה המוטלות על הספק על פי דרישות אלה.

4.3 רשימת מעבדי משנה. הספק ינהל רשימה מעודכנת של מעבדי משנה ויספק אותה לחברה לפי דרישה. החברה שומרת לעצמה את הזכות להתנגד לכל מעבד משנה בכל עת.

4.4 אחריות מלאה. הספק יישאר אחראי באופן מלא כלפי החברה לביצוע התחייבויותיו של מעבד המשנה ולכל מעשה או מחדל של מעבד המשנה.

5. הודעה וניהול של פרצות נתונים

5.1 הודעה מיידית. על הספק להודיע ​​לחברה בכתב ללא דיחוי בלתי סביר, ובכל מקרה לא יאוחר מעשרים וארבע (24) שעות לאחר שנודע לו לראשונה על כל פרצת נתונים.

5.2 פרטי ההפרה. ההודעה חייבת, לכל הפחות:

  1. תאר את אופי פרצת הנתונים, כולל קטגוריות ומספר משוער של נושאי נתונים ורשומות נתונים הרלוונטיות.
  2. יש לספק את שם ופרטי הקשר של קצין הגנת המידע של הספק או נקודת קשר רלוונטית אחרת.
  3. תאר את ההשלכות הצפויות של פרצת הנתונים.
  4. תאר את האמצעים שננקטו או שהוצעו לנקוט על ידי הספק כדי לטפל בדליפת הנתונים ולמתן את השפעותיה.

5.3 עדכונים שוטפים. הספק יספק עדכונים שוטפים עד לפתרון מלא של התקרית.

5.4 שיתוף פעולה. הספק ישתף פעולה באופן מלא עם החברה בחקירה, תיקון והודעה על כל פרצת נתונים. הספק יישא בכל העלויות הכרוכות בפרצת נתונים במידה שנגרמה עקב הפרת דרישות אלה על ידו.

6. העברות נתונים בינלאומיות

6.1 הספק לא יעביר נתוני חברה מעבר לגבולות בינלאומיים ללא הסכמה מראש ובכתב של החברה. על הספק לציין את כל המדינות בהן יעבד את נתוני החברה.

6.2 במידת הצורך, הספק מסכים להתקשר בסעיפים חוזיים סטנדרטיים (SCCs), כללי חברה מחייבים (BCRs), הנספח לבריטניה, או כל מנגנון אחר המחייב החברה כדי להבטיח העברות נתונים כדין.

6.3 על הספק לעמוד בדרישות המקומיות בנוגע לשמירת נתונים, במידת הצורך.

7. ביקורות ובדיקות

לחברה, או למבקר צד שלישי המיועד על ידה, תהיה הזכות לערוך ביקורות, על חשבונה, כדי לוודא את עמידת הספק בדרישות אלה. הספק יספק את כל המידע, התיעוד והגישה הנדרשים למתקנים ולצוות.

על הספק לעבור הסמכות צד שלישי באופן קבוע (למשל, ISO 27001, SOC 2) ו/או הערכות עצמיות, ולתקן באופן מיידי כל ליקויים שזוהו בביקורות או בהערכות במסגרת זמן מוסכמת הדדית.

8. סיוע בזכויות נושאי נתונים

הספק יודיע לחברה בהקדם, ובשום מקרה לא יאוחר מארבעים ושמונה (48) שעות, על כל בקשה שתתקבל מבעלי נתונים למימוש זכויותיהם (למשל, גישה, תיקון, מחיקה, ניידות). הספק לא יגיב ישירות לבקשות כאלה אלא אם כן החברה הורה זאת ויספק את כל הסיוע הדרוש כדי לאפשר את תגובת החברה.

9. החזרת נתונים ומחיקה

עם סיום ההסכם או לבקשת החברה, הספק, לפי בחירת החברה, ימחק או יחזיר באופן מאובטח את כל נתוני החברה תוך שלושים (30) יום. הספק יבטיח מחיקה מגיבויים ויספק אישור בכתב על מחיקה זו.

10. קטגוריות מיוחדות של נתונים

10.1 נתוני שירותי בריאות (HIPAA): אם הספק מעבד מידע בריאותי מוגן (PHI), הספק מאשר שהוא "שותף עסקי" (או קבלן משנה של שותף עסקי) במסגרת HIPAA. על הספק לעמוד בדרישות HIPAA ועליו לחתום על הסכם שותף עסקי (BAA) של החברה.

10.2 נתונים רגישים אחרים: עבור פרויקטים הכוללים מידע אישי רגיש (כולל מידע ביומטרי או מידע מילדים), על הספק לקבל את אישור החברה ולפעול לפי פרוטוקולי אבטחה וטיפול מחמירים כפי שצוין על ידי החברה.

11. שיפוי וחבות

הספק מסכים להגן, לשפות ולפטור את החברה, חברות הבת שלה, נושאי המשרה שלה ולקוחותיה מכל תביעה, התחייבות, נזק, הפסד, קנס, עונש והוצאה (לרבות שכר טרחת עורכי דין סביר) הנובעים או קשורים להפרה כלשהי של דרישות אלה על ידי הספק, עובדיו או מעבדי המשנה שלו.

לא תוגבל האחריות עבור פרצות הכרוכות בפרצות נתונים, קנסות רגולטוריים, התנהגות בלתי הולמת מכוונת או הונאה.

12. הוראות כלליות

12.1 עליונות. במקרה של סתירה בין תנאי ההסכם לבין דרישות אלה, דרישות אלה יגברו בכל הנוגע להגנת המידע.

12.2 שינוי. ניתן לשנות דרישות אלה רק באמצעות תיקון בכתב החתום על ידי נציגים מורשים של שני הצדדים.

12.3 הישרדות. התחייבויות הנוגעות לסודיות, מחיקת נתונים, אחריות וזכויות ביקורת יישארו בתוקף גם לאחר סיום ההסכם.

12.4 החוק החל. דרישות אלה יהיו כפופות לחוק החל המפורט בהסכם ויפורשו בהתאם לו.