Piagam Undang-undang Privasi

Tarikh – Dikeluarkan pada 01/01/2020

Terakhir Diubah Suai pada – 12/06/2023

Kebolehgunaan:

Dokumen ini (“Keperluan”) membentuk bahagian penting dan mengikat secara sah bagi mana-mana Perjanjian Perkhidmatan Induk, Pernyataan Kerja atau kontrak lain (“Perjanjian”) antara Shaip (“Syarikat”) dan penyedia perkhidmatan (“Vendor/freelancer/perunding”).

1. Definisi

Untuk tujuan Keperluan ini, istilah berikut hendaklah mempunyai maksud yang dinyatakan di bawah:

  • “Undang-undang Perlindungan Data Berkenaan” bermaksud semua undang-undang, peraturan dan peraturan antarabangsa, persekutuan, negeri dan tempatan yang terpakai pada Pemprosesan Data Peribadi, termasuk tetapi tidak terhad kepada GDPR, GDPR UK, CCPA/CPRA, HIPAA, PIPEDA dan LGPD.
  • “Data Syarikat” bermaksud semua data, maklumat dan bahan, dalam apa-apa bentuk atau medium, yang diberikan kepada Penjual oleh atau bagi pihak Syarikat, atau dikumpul, dijana, diperoleh, diberi nama samaran, tanpa nama (jika boleh diterbalikkan), atau Diproses oleh Penjual bagi pihak Syarikat. Ini termasuk Data Projek dan sebarang Data Peribadi.
  • “Pelanggaran Data” bermaksud sebarang pelanggaran keselamatan sebenar atau disyaki yang membawa kepada kemusnahan, kehilangan, pengubahan, pendedahan tanpa kebenaran atau akses kepada, Data Syarikat secara tidak sengaja atau menyalahi undang-undang.
  • “GDPR” bermaksud Peraturan Perlindungan Data Umum (EU) 2016/679.
  • "Data peribadi" bermaksud sebarang maklumat yang berkaitan dengan orang asli yang dikenal pasti atau boleh dikenal pasti (“Subjek Data”) yang terkandung dalam Data Syarikat.
  • “Data Peribadi Sensitif” bermaksud mana-mana kategori data yang dianggap sensitif di bawah Undang-undang Perlindungan Data Berkenaan, termasuk tetapi tidak terhad kepada asal usul kaum atau etnik, pendapat politik, kepercayaan agama atau falsafah, keahlian kesatuan sekerja, data genetik, data biometrik, data berkenaan kesihatan atau data mengenai kehidupan seks atau orientasi seksual seseorang.
  • “Memproses” bermaksud sebarang operasi yang dilakukan pada Data Syarikat, seperti pengumpulan, rakaman, organisasi, penyimpanan, penyesuaian, pengambilan semula, penggunaan, pendedahan, penyebaran atau pemusnahan.
  • “Data Projek” bermaksud data khusus (cth, suara, imej, teks) yang dikumpul atau dicipta oleh Vendor sebagai sebahagian daripada perkhidmatan yang dihantar kepada Syarikat.
  • “Sub-pemproses” bermaksud mana-mana pihak ketiga yang terlibat oleh Vendor untuk Memproses Data Syarikat.

2. Peranan dan Kewajipan Penjual

2.1 Peranan sebagai Pemproses/Sub-pemproses. Vendor mengakui bahawa dalam Memproses Data Syarikat, ia bertindak sebagai "Pemproses" atau "Sub-pemproses" bagi pihak Syarikat. Penjual tidak mempunyai pemilikan atau hak bebas terhadap Data Syarikat.

2.2 Pemprosesan atas Arahan. Penjual hendaklah Memproses Data Syarikat hanya mengikut arahan Syarikat yang didokumenkan dan sah, termasuk yang dinyatakan dalam Perjanjian dan Penyata Kerja yang berkaitan. Penjual dilarang dengan nyata Memproses Data Syarikat untuk tujuannya sendiri atau untuk sebarang tujuan yang tidak diarahkan secara jelas oleh Syarikat. Arahan hendaklah termasuk penyimpanan data dan keperluan pelupusan. Jika Penjual percaya arahan melanggar Undang-undang Perlindungan Data Berkenaan, ia mesti memaklumkan Syarikat dengan segera.

2.3 Pematuhan Undang-undang. Penjual menjamin dan menyatakan bahawa ia akan mematuhi semua Undang-undang Perlindungan Data Berkenaan dalam pelaksanaan Perjanjian dan hendaklah memaklumkan Syarikat dengan segera jika mana-mana undang-undang menghalang pematuhan atau memerlukan pendedahan Data Syarikat (cth, permintaan akses kerajaan).

3. Langkah Keselamatan Teknikal dan Organisasi

3.1 Piawaian Keselamatan. Penjual hendaklah melaksanakan dan mengekalkan langkah keselamatan teknikal dan organisasi yang sesuai untuk melindungi Data Syarikat daripada sebarang Pelanggaran Data. Langkah-langkah ini hendaklah sepadan dengan tahap risiko dan sifat data, dan hendaklah, sekurang-kurangnya, termasuk:

  1. Penyulitan: Penyulitan semua Data Syarikat semasa rehat dan dalam perjalanan.
  2. Kawalan Akses: Kawalan akses yang ketat berdasarkan keistimewaan paling rendah, memastikan hanya kakitangan yang diberi kuasa mempunyai akses kepada Data Syarikat.
  3. Pengurangan Data: Mengumpul dan memproses hanya jumlah minimum Data Peribadi yang diperlukan untuk projek yang ditentukan.
  4. Persekitaran Selamat: Memastikan semua sistem yang digunakan untuk Memproses Data Syarikat dikonfigurasikan, ditampal, dilog dan dipantau dengan selamat.
  5. Pemadaman Selamat: Melaksanakan proses untuk pemadaman selamat dan kekal Data Syarikat atas arahan daripada Syarikat, termasuk pemadaman daripada sandaran.
  6. Sekuriti fizikal: Melindungi semua lokasi fizikal dan peranti tempat Data Syarikat disimpan atau diakses.
  7. Pengujian & Pemantauan: Ujian penembusan yang kerap, penilaian kerentanan, dan pemantauan berterusan.
  8. Kelangsungan perniagaan: Mengekalkan tindak balas insiden, pemulihan bencana dan rancangan kesinambungan perniagaan.

4. Pemprosesan kecil

4.1 Keizinan Terdahulu Diperlukan. Penjual tidak boleh melibatkan mana-mana Sub-pemproses untuk Memproses Data Syarikat tanpa kebenaran bertulis khusus Syarikat terlebih dahulu.

4.2 Aliran Turun Kewajipan. Jika persetujuan diberikan, Penjual mesti membuat perjanjian bertulis dengan Sub-pemproses yang mengenakan ke atas Sub-pemproses kewajipan perlindungan data yang sama atau lebih ketat seperti yang dikenakan ke atas Penjual oleh Keperluan ini.

4.3 Senarai Sub-pemproses. Penjual hendaklah mengekalkan senarai Sub-pemproses terkini dan memberikannya kepada Syarikat atas permintaan. Syarikat berhak untuk membantah mana-mana Sub-pemproses pada bila-bila masa.

4.4 Liabiliti Penuh. Penjual akan tetap bertanggungjawab sepenuhnya kepada Syarikat untuk melaksanakan kewajipan Sub-pemproses dan untuk sebarang tindakan atau peninggalan Sub-pemproses.

5. Pemberitahuan dan Pengurusan Pelanggaran Data

5.1 Pemberitahuan Segera. Penjual hendaklah memaklumkan Syarikat secara bertulis tanpa penangguhan yang tidak wajar, dan dalam apa jua keadaan tidak lewat daripada dua puluh empat (24) jam selepas mula-mula menyedari sebarang Pelanggaran Data.

5.2 Butiran Pelanggaran. Pemberitahuan mestilah, sekurang-kurangnya:

  1. Terangkan sifat Pelanggaran Data, termasuk kategori dan anggaran bilangan Subjek Data dan rekod data yang berkenaan.
  2. Berikan nama dan butiran hubungan pegawai perlindungan data Penjual atau pusat hubungan lain yang berkaitan.
  3. Terangkan kemungkinan akibat Pelanggaran Data.
  4. Terangkan langkah-langkah yang diambil atau dicadangkan untuk diambil oleh Penjual untuk menangani Pelanggaran Data dan mengurangkan kesannya.

5.3 Kemas Kini Berterusan. Penjual hendaklah menyediakan kemas kini tetap sehingga insiden itu diselesaikan sepenuhnya.

5.4 Kerjasama. Penjual hendaklah bekerjasama sepenuhnya dengan Syarikat dalam penyiasatan, pemulihan dan pemberitahuan sebarang Pelanggaran Data. Penjual hendaklah menanggung semua kos yang berkaitan dengan Pelanggaran Data setakat yang disebabkan oleh pelanggaran Keperluan ini.

6. Pemindahan Data Antarabangsa

6.1 Penjual tidak boleh memindahkan Data Syarikat merentasi sempadan antarabangsa tanpa kebenaran bertulis terlebih dahulu daripada Syarikat. Penjual mesti menyatakan semua negara di mana ia akan Memproses Data Syarikat.

6.2 Di mana diperlukan, Penjual bersetuju untuk memasuki Klausa Kontrak Standard (SCC), Peraturan Korporat Mengikat (BCR), Tambahan UK atau mana-mana mekanisme lain yang dimandatkan oleh Syarikat untuk memastikan pemindahan data yang sah.

6.3 Penjual hendaklah mematuhi keperluan pemastautin data tempatan jika berkenaan.

7. Audit dan Pemeriksaan

Syarikat, atau juruaudit pihak ketiga yang ditetapkan, berhak untuk menjalankan audit, atas perbelanjaannya sendiri, untuk mengesahkan pematuhan Penjual terhadap Keperluan ini. Penjual hendaklah menyediakan semua maklumat, dokumentasi, dan akses kepada kemudahan dan kakitangan yang diperlukan.

Penjual hendaklah menjalani pensijilan pihak ketiga tetap (cth, ISO 27001, SOC 2) dan/atau penilaian kendiri, dan segera memperbaiki sebarang kekurangan yang dikenal pasti dalam audit atau penilaian dalam tempoh masa yang dipersetujui bersama.

8. Bantuan Hak Subjek Data

Penjual hendaklah dengan segera, dan tidak lewat daripada empat puluh lapan (48) jam, memberitahu Syarikat tentang sebarang permintaan yang diterima daripada Subjek Data untuk melaksanakan hak mereka (cth, akses, pembetulan, pemadaman, mudah alih). Penjual tidak akan bertindak balas secara langsung kepada permintaan sedemikian melainkan diarahkan oleh Syarikat dan hendaklah memberikan semua bantuan yang diperlukan untuk membolehkan respons Syarikat.

9. Pemulangan dan Pemadaman Data

Selepas penamatan Perjanjian atau atas permintaan Syarikat, Penjual hendaklah, atas pilihan Syarikat, memadam atau mengembalikan semua Data Syarikat dengan selamat dalam masa tiga puluh (30) hari. Penjual hendaklah memastikan pemadaman daripada sandaran dan memberikan pensijilan bertulis bagi pemadaman tersebut.

10. Kategori Khas Data

10.1 Data Penjagaan Kesihatan (HIPAA): Jika Vendor Memproses sebarang Maklumat Kesihatan Terlindung (PHI), Vendor mengakui ia adalah "Rakan Perniagaan" (atau subkontraktor kepada Rakan Kongsi Perniagaan) di bawah HIPAA. Penjual mesti mematuhi keperluan HIPAA dan hendaklah melaksanakan Perjanjian Bersekutu Perniagaan (BAA) Syarikat.

10.2 Data Sensitif Lain: Untuk projek yang melibatkan Data Peribadi Sensitif (termasuk data biometrik atau data daripada kanak-kanak), Penjual mesti mendapatkan kelulusan Syarikat dan mematuhi protokol keselamatan dan pengendalian yang dipertingkatkan seperti yang ditetapkan oleh Syarikat.

11. Ganti Rugi dan Liabiliti

Penjual bersetuju untuk mempertahankan, menanggung rugi dan tidak memudaratkan Syarikat, sekutunya, pegawai dan pelanggannya daripada dan terhadap mana-mana dan semua tuntutan, liabiliti, kerosakan, kerugian, denda, penalti dan perbelanjaan (termasuk yuran peguam yang munasabah) yang timbul daripada atau berkaitan dengan sebarang pelanggaran Keperluan ini oleh Penjual, pekerjanya, atau Subprocessornya.

Liabiliti tidak akan dihadkan untuk pelanggaran yang melibatkan Pelanggaran Data, denda kawal selia, salah laku yang disengajakan atau penipuan.

12. Peruntukan am

12.1 Keutamaan. Sekiranya berlaku sebarang percanggahan antara terma Perjanjian dan Keperluan ini, Keperluan ini akan diutamakan berkenaan dengan perlindungan data.

12.2 Pengubahsuaian. Keperluan ini hanya boleh diubah suai dengan pindaan bertulis yang ditandatangani oleh wakil sah kedua-dua pihak.

12.3 Kemandirian. Kewajipan yang berkaitan dengan kerahsiaan, pemadaman data, liabiliti dan hak audit akan kekal dalam penamatan Perjanjian.

12.4 Undang-undang yang Mentadbir. Keperluan ini akan ditadbir oleh dan ditafsirkan mengikut undang-undang yang mentadbir yang ditetapkan dalam Perjanjian.