गोपनीयता कायद्यांचा सनद

तारीख – ०१/०१/२०२० रोजी प्रसिद्ध

शेवटचा बदल - १२/०६/२०२३ रोजी

लागूता:

हा दस्तऐवज ("आवश्यकता") शीप ("कंपनी") आणि सेवा प्रदात्या ("विक्रेता/स्वतंत्र/सल्लागार") यांच्यातील कोणत्याही मास्टर सर्व्हिसेस करार, कामाचे विवरण किंवा इतर करार ("करार") चा अविभाज्य आणि कायदेशीर बंधनकारक भाग आहे.

1. व्याख्या

या आवश्यकतांच्या उद्देशाने, खालील संज्ञांचे अर्थ खाली नमूद केल्याप्रमाणे असतील:

  • "लागू डेटा संरक्षण कायदे" याचा अर्थ वैयक्तिक डेटाच्या प्रक्रियेसाठी लागू होणारे सर्व आंतरराष्ट्रीय, संघीय, राज्य आणि स्थानिक कायदे, नियम आणि नियम आहेत, ज्यात GDPR, UK GDPR, CCPA/CPRA, HIPAA, PIPEDA आणि LGPD यांचा समावेश आहे परंतु त्यापुरते मर्यादित नाही.
  • "कंपनी डेटा" म्हणजे कंपनीने किंवा कंपनीच्या वतीने विक्रेत्याला प्रदान केलेला, किंवा गोळा केलेला, व्युत्पन्न केलेला, मिळवलेला, छद्म नावाचा, अनामित केलेला (जर उलट करणे शक्य असेल तर) किंवा कंपनीच्या वतीने विक्रेत्याने प्रक्रिया केलेला सर्व डेटा, माहिती आणि साहित्य, कोणत्याही स्वरूपात किंवा माध्यमातून. यामध्ये प्रकल्प डेटा आणि कोणताही वैयक्तिक डेटा समाविष्ट आहे.
  • "डेटा उल्लंघन" म्हणजे कंपनीच्या डेटाचा अपघाती किंवा बेकायदेशीर नाश, तोटा, बदल, अनधिकृत प्रकटीकरण किंवा त्यात प्रवेश करण्यासाठी कारणीभूत ठरणारा कोणताही प्रत्यक्ष किंवा संशयास्पद सुरक्षेचा भंग.
  • "GDPR" म्हणजे सामान्य डेटा संरक्षण नियमन (EU) २०१६/६७९.
  • "वैयक्तिक माहिती" म्हणजे कंपनी डेटामध्ये समाविष्ट असलेल्या ओळखल्या जाणाऱ्या किंवा ओळखण्यायोग्य नैसर्गिक व्यक्ती ("डेटा विषय") शी संबंधित कोणतीही माहिती.
  • "संवेदनशील वैयक्तिक डेटा" म्हणजे लागू डेटा संरक्षण कायद्यांतर्गत संवेदनशील मानल्या जाणाऱ्या कोणत्याही श्रेणीतील डेटा, ज्यामध्ये वांशिक किंवा वांशिक मूळ, राजकीय मते, धार्मिक किंवा तात्विक श्रद्धा, ट्रेड युनियन सदस्यता, अनुवांशिक डेटा, बायोमेट्रिक डेटा, आरोग्याशी संबंधित डेटा किंवा नैसर्गिक व्यक्तीच्या लैंगिक जीवनाशी किंवा लैंगिक प्रवृत्तीशी संबंधित डेटा समाविष्ट आहे परंतु त्यापुरते मर्यादित नाही.
  • "प्रक्रिया करत आहे" म्हणजे कंपनी डेटावर केलेले कोणतेही ऑपरेशन, जसे की संकलन, रेकॉर्डिंग, संघटना, साठवणूक, अनुकूलन, पुनर्प्राप्ती, वापर, प्रकटीकरण, प्रसार किंवा विनाश.
  • "प्रकल्प डेटा" म्हणजे कंपनीला दिलेल्या सेवांचा भाग म्हणून विक्रेत्याने गोळा केलेला किंवा तयार केलेला विशिष्ट डेटा (उदा. आवाज, प्रतिमा, मजकूर).
  • "सब-प्रोसेसर" म्हणजे कंपनी डेटा प्रक्रिया करण्यासाठी विक्रेत्याने गुंतवलेला कोणताही तृतीय पक्ष.

२. विक्रेत्याची भूमिका आणि कर्तव्ये

२.१ प्रोसेसर/सब-प्रोसेसर म्हणून भूमिका. विक्रेता कबूल करतो की कंपनी डेटा प्रक्रिया करताना, तो कंपनीच्या वतीने "प्रोसेसर" किंवा "सब-प्रोसेसर" म्हणून काम करतो. विक्रेत्याकडे कंपनी डेटावर मालकी किंवा स्वतंत्र अधिकार नाहीत.

२.२ सूचनांनुसार प्रक्रिया करणे. विक्रेत्याने कंपनीच्या डेटावर प्रक्रिया केवळ कंपनीच्या दस्तऐवजीकृत, कायदेशीर सूचनांनुसार करावी, ज्यामध्ये करार आणि संबंधित कामाच्या विधानांमध्ये नमूद केलेल्या सूचनांचा समावेश आहे. विक्रेत्याला त्याच्या स्वतःच्या उद्देशांसाठी किंवा कंपनीने स्पष्टपणे निर्देशित न केलेल्या कोणत्याही हेतूसाठी कंपनी डेटावर प्रक्रिया करण्यास स्पष्टपणे मनाई आहे. सूचनांमध्ये डेटा धारणा आणि विल्हेवाट आवश्यकतांचा समावेश असेल. जर विक्रेत्याला असे वाटत असेल की एखादी सूचना लागू डेटा संरक्षण कायद्यांचे उल्लंघन करते, तर त्याने ताबडतोब कंपनीला कळवावे.

२.३ कायद्यांचे पालन. विक्रेता हमी देतो आणि प्रतिनिधित्व करतो की तो कराराच्या कामगिरीमध्ये सर्व लागू डेटा संरक्षण कायद्यांचे पालन करेल आणि जर कोणताही कायदा अनुपालनास प्रतिबंध करत असेल किंवा कंपनी डेटा (उदा. सरकारी प्रवेश विनंत्या) उघड करणे आवश्यक असेल तर तो कंपनीला त्वरित सूचित करेल.

३. तांत्रिक आणि संघटनात्मक सुरक्षा उपाय

३.१ सुरक्षा मानके. कोणत्याही डेटा उल्लंघनापासून कंपनीच्या डेटाचे संरक्षण करण्यासाठी विक्रेता योग्य तांत्रिक आणि संस्थात्मक सुरक्षा उपायांची अंमलबजावणी आणि देखभाल करेल. हे उपाय जोखमीच्या पातळीशी आणि डेटाच्या स्वरूपाशी सुसंगत असतील आणि किमान, त्यात हे समाविष्ट असेल:

  1. कूटबद्धीकरण: विश्रांतीच्या वेळी आणि संक्रमणाच्या वेळी सर्व कंपनी डेटाचे एन्क्रिप्शन.
  2. प्रवेश नियंत्रण: किमान विशेषाधिकारांवर आधारित कठोर प्रवेश नियंत्रणे, केवळ अधिकृत कर्मचाऱ्यांनाच कंपनी डेटामध्ये प्रवेश मिळेल याची खात्री करणे.
  3. डेटा कमी करणे: निर्दिष्ट प्रकल्पासाठी आवश्यक असलेल्या किमान वैयक्तिक डेटाचे संकलन आणि प्रक्रिया करणे.
  4. सुरक्षित वातावरण: कंपनी डेटा प्रक्रिया करण्यासाठी वापरल्या जाणाऱ्या सर्व सिस्टीम सुरक्षितपणे कॉन्फिगर, पॅच, लॉग आणि मॉनिटर केलेल्या आहेत याची खात्री करणे.
  5. सुरक्षितपणे हटवणे: कंपनीच्या सूचनांनुसार कंपनीचा डेटा सुरक्षित आणि कायमचा हटवण्यासाठी प्रक्रिया राबवणे, ज्यामध्ये बॅकअपमधून हटवणे समाविष्ट आहे.
  6. भौतिक सुरक्षा: कंपनी डेटा जिथे संग्रहित केला जातो किंवा अ‍ॅक्सेस केला जातो ती सर्व भौतिक ठिकाणे आणि उपकरणे सुरक्षित करणे.
  7. चाचणी आणि देखरेख: नियमित प्रवेश चाचणी, भेद्यता मूल्यांकन आणि सतत देखरेख.
  8. व्यवसाय सातत्य: घटना प्रतिसाद, आपत्ती पुनर्प्राप्ती आणि व्यवसाय सातत्य योजना राखणे.

४. उप-प्रक्रिया

४.१ पूर्व संमती आवश्यक. कंपनीच्या पूर्व, विशिष्ट लेखी संमतीशिवाय विक्रेता कंपनी डेटा प्रक्रिया करण्यासाठी कोणत्याही सब-प्रोसेसरला नियुक्त करणार नाही.

४.२ दायित्वांचे प्रवाह कमी करणे. जर संमती दिली गेली तर, विक्रेत्याने सब-प्रोसेसरसोबत एक लेखी करार केला पाहिजे जो सब-प्रोसेसरवर या आवश्यकतांनुसार विक्रेत्यावर लादलेल्या समान किंवा अधिक कठोर डेटा संरक्षण दायित्वे लादतो.

४.३ सब-प्रोसेसर यादी. विक्रेत्याने सब-प्रोसेसरची अद्ययावत यादी ठेवावी आणि विनंतीनुसार ती कंपनीला द्यावी. कंपनी कोणत्याही वेळी कोणत्याही सब-प्रोसेसरवर आक्षेप घेण्याचा अधिकार राखून ठेवते.

४.४ पूर्ण जबाबदारी. सब-प्रोसेसरच्या जबाबदाऱ्या पार पाडण्यासाठी आणि सब-प्रोसेसरच्या कोणत्याही कृती किंवा चुकांसाठी विक्रेता कंपनीला पूर्णपणे जबाबदार राहील.

५. डेटा उल्लंघन सूचना आणि व्यवस्थापन

५.१ तात्काळ सूचना. विक्रेत्याने अनावश्यक विलंब न करता कंपनीला लेखी स्वरूपात सूचित करावे आणि कोणत्याही परिस्थितीत कोणत्याही डेटा उल्लंघनाची जाणीव झाल्यानंतर चोवीस (२४) तासांनंतर कळवावे.

५.२ उल्लंघनाचे तपशील. अधिसूचनेत किमान हे असावे:

  1. डेटा उल्लंघनाचे स्वरूप वर्णन करा, ज्यामध्ये संबंधित डेटा विषयांच्या श्रेणी आणि अंदाजे संख्या आणि डेटा रेकॉर्ड समाविष्ट आहेत.
  2. विक्रेत्याच्या डेटा संरक्षण अधिकाऱ्याचे किंवा इतर संबंधित संपर्क बिंदूचे नाव आणि संपर्क तपशील प्रदान करा.
  3. डेटा उल्लंघनाचे संभाव्य परिणाम वर्णन करा.
  4. डेटा उल्लंघनाचे निराकरण करण्यासाठी आणि त्याचे परिणाम कमी करण्यासाठी विक्रेत्याने घेतलेल्या किंवा करायच्या असलेल्या उपाययोजनांचे वर्णन करा.

५.३ चालू अपडेट्स. घटनेचे पूर्णपणे निराकरण होईपर्यंत विक्रेता नियमित अपडेट्स देईल.

५.४ सहकार्य. कोणत्याही डेटा उल्लंघनाची चौकशी, दुरुस्ती आणि सूचना देण्यासाठी विक्रेता कंपनीला पूर्णपणे सहकार्य करेल. या आवश्यकतांचे उल्लंघन केल्यामुळे होणाऱ्या डेटा उल्लंघनाशी संबंधित सर्व खर्च विक्रेत्याने सहन करावा लागेल.

6. आंतरराष्ट्रीय डेटा ट्रान्सफर

6.1 कंपनीच्या पूर्व लेखी संमतीशिवाय विक्रेता आंतरराष्ट्रीय सीमा ओलांडून कंपनीचा डेटा हस्तांतरित करणार नाही. विक्रेत्याने कंपनीचा डेटा कोणत्या देशांमध्ये प्रक्रिया करेल हे सर्व देश निर्दिष्ट केले पाहिजेत.

6.2 आवश्यक असल्यास, विक्रेता कायदेशीर डेटा हस्तांतरण सुनिश्चित करण्यासाठी मानक करार कलमे (SCCs), बंधनकारक कॉर्पोरेट नियम (BCRs), यूके परिशिष्ट किंवा कंपनीने अनिवार्य केलेल्या इतर कोणत्याही यंत्रणेत प्रवेश करण्यास सहमत आहे.

6.3 लागू असेल तेथे विक्रेत्याने स्थानिक डेटा रेसिडेन्सी आवश्यकतांचे पालन करावे.

७. ऑडिट आणि तपासणी

कंपनी किंवा तिच्या नियुक्त तृतीय-पक्ष लेखापरीक्षकाला, विक्रेत्याने या आवश्यकतांचे पालन केले आहे की नाही हे पडताळण्यासाठी, स्वतःच्या खर्चाने ऑडिट करण्याचा अधिकार असेल. विक्रेत्याने सर्व आवश्यक माहिती, कागदपत्रे आणि सुविधा आणि कर्मचाऱ्यांना प्रवेश प्रदान करावा.

विक्रेत्याने नियमित तृतीय-पक्ष प्रमाणपत्रे (उदा., ISO 27001, SOC 2) आणि/किंवा स्व-मूल्यांकन करावे आणि परस्पर मान्य केलेल्या वेळेच्या आत ऑडिट किंवा मूल्यांकनांमध्ये आढळलेल्या कोणत्याही कमतरता त्वरित दूर कराव्यात.

८. डेटा विषय हक्क सहाय्य

डेटा विषयाकडून त्यांचे अधिकार (उदा. प्रवेश, दुरुस्ती, खोडून टाकणे, पोर्टेबिलिटी) वापरण्यासाठी प्राप्त झालेल्या कोणत्याही विनंतीबद्दल विक्रेत्याने तातडीने आणि कोणत्याही परिस्थितीत अठ्ठेचाळीस (४८) तासांपेक्षा जास्त वेळ कंपनीला सूचित करावे. कंपनीने सूचना दिल्याशिवाय विक्रेत्याने अशा विनंत्यांना थेट प्रतिसाद देणार नाही आणि कंपनीला प्रतिसाद देण्यासाठी आवश्यक ती सर्व मदत पुरवावी.

९. डेटा परत करणे आणि हटवणे

करार संपुष्टात आल्यानंतर किंवा कंपनीच्या विनंतीनुसार, विक्रेता, कंपनीच्या पसंतीनुसार, तीस (३०) दिवसांच्या आत सर्व कंपनी डेटा सुरक्षितपणे हटवेल किंवा परत करेल. विक्रेता बॅकअपमधून हटवण्याची खात्री करेल आणि अशा हटवण्याचे लेखी प्रमाणपत्र देईल.

१०. डेटाच्या विशेष श्रेणी

१०.१ आरोग्यसेवा डेटा (HIPAA): जर विक्रेत्याने कोणतीही संरक्षित आरोग्य माहिती (PHI) प्रक्रिया केली, तर विक्रेता तो HIPAA अंतर्गत "व्यवसाय सहयोगी" (किंवा व्यवसाय सहयोगीचा उपकंत्राटदार) असल्याचे मान्य करतो. विक्रेत्याने HIPAA आवश्यकतांचे पालन केले पाहिजे आणि कंपनीच्या व्यवसाय सहयोगी कराराची (BAA) अंमलबजावणी करावी.

१०.२ इतर संवेदनशील डेटा: संवेदनशील वैयक्तिक डेटा (बायोमेट्रिक डेटा किंवा मुलांचा डेटा यासह) असलेल्या प्रकल्पांसाठी, विक्रेत्याने कंपनीची मान्यता मिळवली पाहिजे आणि कंपनीने निर्दिष्ट केलेल्या वाढीव सुरक्षा आणि हाताळणी प्रोटोकॉलचे पालन केले पाहिजे.

११. नुकसानभरपाई आणि दायित्व

विक्रेता, त्याचे कर्मचारी किंवा त्याचे उप-प्रोसेसर यांच्याकडून या आवश्यकतांच्या कोणत्याही उल्लंघनामुळे किंवा त्यांच्याशी संबंधित उद्भवणारे कोणतेही आणि सर्व दावे, दायित्वे, नुकसान, तोटा, दंड, दंड आणि खर्च (वाजवी वकिलांच्या शुल्कासह) पासून कंपनी, तिच्या सहयोगी, अधिकारी आणि क्लायंटचे रक्षण करण्यास, नुकसानभरपाई देण्यास आणि त्यांना हानीमुक्त ठेवण्यास सहमत आहे.

डेटा उल्लंघन, नियामक दंड, जाणूनबुजून केलेले गैरवर्तन किंवा फसवणूक यासारख्या उल्लंघनांसाठी जबाबदारी मर्यादित केली जाणार नाही.

12. सामान्य तरतुदी

१२.१ प्राधान्य. कराराच्या अटी आणि या आवश्यकतांमध्ये कोणताही संघर्ष झाल्यास, डेटा संरक्षणाच्या बाबतीत या आवश्यकता लागू राहतील.

१२.२ सुधारणा. या आवश्यकतांमध्ये केवळ दोन्ही पक्षांच्या अधिकृत प्रतिनिधींनी स्वाक्षरी केलेल्या लेखी दुरुस्तीद्वारेच सुधारणा करता येतील.

१२.३ जगणे. करार संपुष्टात आल्यावरही गोपनीयता, डेटा हटवणे, दायित्व आणि ऑडिट अधिकारांशी संबंधित जबाबदाऱ्या लागू राहतील.

१२.४ नियामक कायदा. या आवश्यकता करारात नमूद केलेल्या शासकीय कायद्यानुसार नियंत्रित केल्या जातील आणि त्यांचा अर्थ लावला जाईल.