गोपनीयता कानून बडापत्र

मिति – ०१/०१/२०२० मा रिलिज भएको

अन्तिम पटक परिमार्जन गरिएको मिति – १२/०६/२०२३

लागूपूर्ति:

यो कागजात ("आवश्यकताहरू") ले Shaip ("कम्पनी") र सेवा प्रदायक ("विक्रेता/स्वतन्त्र/परामर्शदाता") बीचको कुनै पनि मास्टर सेवा सम्झौता, कार्य विवरण, वा अन्य सम्झौता ("सम्झौता") को अभिन्न र कानुनी रूपमा बाध्यकारी भाग बनाउँछ।

1। परिभाषाहरू

यी आवश्यकताहरूको उद्देश्यका लागि, निम्न शब्दहरूको अर्थ तल उल्लेख गरिए जस्तै हुनेछ:

  • "लागू हुने डेटा संरक्षण कानूनहरू" "GDPR, UK GDPR, CCPA/CPRA, HIPAA, PIPEDA, र LGPD सहित तर सीमित नभएको व्यक्तिगत डेटाको प्रशोधनमा लागू हुने सबै अन्तर्राष्ट्रिय, संघीय, राज्य र स्थानीय कानून, नियम र नियमहरू बुझिन्छ।"
  • "कम्पनी डेटा" भन्नाले कम्पनीद्वारा वा कम्पनीको तर्फबाट विक्रेतालाई प्रदान गरिएको, वा सङ्कलन गरिएको, उत्पन्न गरिएको, व्युत्पन्न गरिएको, छद्म नामकरण गरिएको, बेनामी गरिएको (यदि उल्ट्याउन सम्भव छ भने), वा कम्पनीको तर्फबाट विक्रेताद्वारा प्रशोधन गरिएको सबै डेटा, जानकारी र सामग्रीहरू बुझिन्छ। यसमा परियोजना डेटा र कुनै पनि व्यक्तिगत डेटा समावेश छ।
  • "डेटा उल्लंघन" "कम्पनी डेटाको आकस्मिक वा गैरकानूनी विनाश, हानि, परिवर्तन, अनधिकृत प्रकटीकरण, वा पहुँच निम्त्याउने सुरक्षाको कुनै पनि वास्तविक वा शंकास्पद उल्लंघन" भन्ने बुझिन्छ।
  • "जीडीपीआर" यसको अर्थ सामान्य डेटा संरक्षण नियमन (EU) २०१६/६७९ हो।
  • "व्यक्तिगत डेटा" कम्पनी डेटा भित्र रहेको पहिचान गरिएको वा पहिचान गर्न सकिने प्राकृतिक व्यक्ति ("डेटा विषय") सँग सम्बन्धित कुनै पनि जानकारीलाई जनाउँछ।
  • "संवेदनशील व्यक्तिगत डेटा" लागू हुने डेटा संरक्षण कानून अन्तर्गत संवेदनशील मानिने कुनै पनि श्रेणीको डेटालाई जनाउँछ, जसमा जातीय वा जातीय उत्पत्ति, राजनीतिक विचार, धार्मिक वा दार्शनिक विश्वास, ट्रेड युनियन सदस्यता, आनुवंशिक डेटा, बायोमेट्रिक डेटा, स्वास्थ्य सम्बन्धी डेटा, वा प्राकृतिक व्यक्तिको यौन जीवन वा यौन झुकाव सम्बन्धी डेटा समावेश छ तर सीमित छैन।
  • "प्रशोधन" भन्नाले कम्पनीको डेटामा गरिएको कुनै पनि कार्यलाई जनाउँछ, जस्तै सङ्कलन, रेकर्डिङ, संगठन, भण्डारण, अनुकूलन, पुन: प्राप्ति, प्रयोग, खुलासा, प्रसार, वा विनाश।
  • "परियोजना डेटा" कम्पनीलाई प्रदान गरिने सेवाहरूको भागको रूपमा विक्रेताद्वारा सङ्कलन वा सिर्जना गरिएको विशिष्ट डेटा (जस्तै, आवाज, छवि, पाठ) लाई जनाउँछ।
  • "सब-प्रोसेसर" कम्पनीको डेटा प्रशोधन गर्न विक्रेताद्वारा संलग्न कुनै पनि तेस्रो पक्षलाई जनाउँछ।

२. विक्रेताको भूमिका र दायित्वहरू

२.१ प्रोसेसर/सब-प्रोसेसरको रूपमा भूमिका। विक्रेताले स्वीकार गर्दछ कि कम्पनीको डेटा प्रशोधन गर्दा, यसले कम्पनीको तर्फबाट "प्रोसेसर" वा "सब-प्रोसेसर" को रूपमा काम गर्दछ। विक्रेताको कम्पनीको डेटामा कुनै स्वामित्व वा स्वतन्त्र अधिकार छैन।

२.२ निर्देशनमा प्रशोधन। विक्रेताले कम्पनीको डेटा प्रशोधन कम्पनीको दस्तावेजीकृत, कानुनी निर्देशनहरू अनुसार मात्र गर्नेछ, जसमा सम्झौता र सान्दर्भिक कार्य विवरणहरूमा उल्लेख गरिएका निर्देशनहरू समावेश छन्। विक्रेतालाई कम्पनीको डेटा आफ्नै उद्देश्यका लागि वा कम्पनीद्वारा स्पष्ट रूपमा निर्देशन नगरिएको कुनै पनि उद्देश्यका लागि प्रशोधन गर्न स्पष्ट रूपमा निषेध गरिएको छ। निर्देशनहरूमा डेटा अवधारण र डिस्पोजल आवश्यकताहरू समावेश हुनेछन्। यदि विक्रेतालाई विश्वास छ कि कुनै निर्देशनले लागू डेटा सुरक्षा कानूनहरू उल्लङ्घन गर्दछ भने, यसले तुरुन्तै कम्पनीलाई सूचित गर्नुपर्छ।

२.३ कानूनको पालना। विक्रेताले सम्झौताको कार्यान्वयनमा सबै लागू हुने डेटा संरक्षण कानूनहरूको पालना गर्ने वारेन्टी दिन्छ र प्रतिनिधित्व गर्दछ र यदि कुनै कानूनले अनुपालनलाई रोक्छ वा कम्पनी डेटा (जस्तै, सरकारी पहुँच अनुरोधहरू) को खुलासा आवश्यक छ भने कम्पनीलाई तुरुन्तै सूचित गर्नेछ।

३. प्राविधिक र संगठनात्मक सुरक्षा उपायहरू

३.१ सुरक्षा मापदण्डहरू। विक्रेताले कम्पनीको डेटालाई कुनै पनि डेटा उल्लंघनबाट जोगाउन उपयुक्त प्राविधिक र संगठनात्मक सुरक्षा उपायहरू कार्यान्वयन र कायम राख्नेछ। यी उपायहरू जोखिमको स्तर र डेटाको प्रकृतिसँग मेल खानेछन्, र कम्तिमा पनि निम्न समावेश हुनेछन्:

  1. गुप्तिकरण: आराम र ट्रान्जिटमा सबै कम्पनी डेटाको इन्क्रिप्शन।
  2. पहुँच नियन्त्रण: कम्पनीको डेटामा अधिकृत कर्मचारीहरूको मात्र पहुँच सुनिश्चित गर्दै, न्यूनतम विशेषाधिकारमा आधारित कडा पहुँच नियन्त्रणहरू।
  3. डाटा न्यूनीकरण: निर्दिष्ट परियोजनाको लागि आवश्यक पर्ने न्यूनतम व्यक्तिगत डेटा मात्र सङ्कलन र प्रशोधन गर्ने।
  4. सुरक्षित वातावरण: कम्पनी डेटा प्रशोधन गर्न प्रयोग गरिने सबै प्रणालीहरू सुरक्षित रूपमा कन्फिगर, प्याच, लग र निगरानी गरिएको सुनिश्चित गर्दै।
  5. सुरक्षित मेटाउने: कम्पनीको निर्देशनमा कम्पनीको डेटा सुरक्षित र स्थायी रूपमा मेटाउने प्रक्रियाहरू कार्यान्वयन गर्ने, जसमा ब्याकअपबाट मेटाउने समावेश छ।
  6. भौतिक सुरक्षा: कम्पनीको डेटा भण्डारण वा पहुँच गरिएको सबै भौतिक स्थानहरू र उपकरणहरू सुरक्षित गर्ने।
  7. परीक्षण र अनुगमन: नियमित प्रवेश परीक्षण, जोखिम मूल्याङ्कन, र निरन्तर अनुगमन।
  8. व्यापार निरन्तरता: घटना प्रतिक्रिया, विपद् पुन:प्राप्ति, र व्यवसाय निरन्तरता योजनाहरू कायम राख्ने।

४. उप-प्रशोधन

४.१ पूर्व सहमति आवश्यक छ। कम्पनीको पूर्व, विशिष्ट लिखित सहमति बिना विक्रेताले कम्पनीको डेटा प्रशोधन गर्न कुनै पनि सब-प्रोसेसरलाई संलग्न गर्ने छैन।

४.२ दायित्वहरूको प्रवाह-डाउन। यदि सहमति दिइयो भने, विक्रेताले सब-प्रोसेसरसँग लिखित सम्झौता गर्नुपर्छ जसले सब-प्रोसेसरलाई यी आवश्यकताहरूद्वारा विक्रेतामा लगाइएका समान वा बढी कडा डेटा सुरक्षा दायित्वहरू लागू गर्दछ।

४.३ सब-प्रोसेसर सूची। विक्रेताले सब-प्रोसेसरहरूको अद्यावधिक सूची कायम राख्नु पर्नेछ र अनुरोधमा कम्पनीलाई प्रदान गर्नुपर्नेछ। कम्पनीले कुनै पनि समयमा कुनै पनि सब-प्रोसेसरमा आपत्ति जनाउने अधिकार सुरक्षित राख्छ।

४.४ पूर्ण दायित्व। सब-प्रोसेसरको दायित्वहरूको प्रदर्शन र सब-प्रोसेसरको कुनै पनि कार्य वा छुटको लागि विक्रेता कम्पनीप्रति पूर्ण रूपमा उत्तरदायी रहनेछ।

५. डाटा उल्लंघन सूचना र व्यवस्थापन

५.१ तत्काल सूचना। विक्रेताले कुनै पनि डेटा उल्लंघनको बारेमा पहिलो पटक थाहा पाएको चौबीस (२४) घण्टा भन्दा ढिलो बिना अनावश्यक ढिलाइ नगरी कम्पनीलाई लिखित रूपमा सूचित गर्नेछ।

५.२ उल्लंघन विवरणहरू। सूचनामा कम्तिमा निम्न कुराहरू हुनुपर्छ:

  1. डेटा उल्लंघनको प्रकृति वर्णन गर्नुहोस्, जसमा सम्बन्धित डेटा विषयहरू र डेटा रेकर्डहरूको कोटीहरू र अनुमानित संख्या समावेश छ।
  2. विक्रेताको डेटा सुरक्षा अधिकारी वा अन्य सान्दर्भिक सम्पर्क बिन्दुको नाम र सम्पर्क विवरणहरू प्रदान गर्नुहोस्।
  3. डेटा उल्लंघनको सम्भावित परिणामहरू वर्णन गर्नुहोस्।
  4. डेटा उल्लंघनलाई सम्बोधन गर्न र यसको प्रभावलाई कम गर्न विक्रेताले चालेका वा लिने प्रस्ताव गरिएका उपायहरू वर्णन गर्नुहोस्।

५.३ निरन्तर अद्यावधिकहरू। घटना पूर्ण रूपमा समाधान नभएसम्म विक्रेताले नियमित अपडेटहरू प्रदान गर्नेछ।

५.४ सहयोग। कुनै पनि डेटा उल्लंघनको अनुसन्धान, उपचार र सूचनामा विक्रेताले कम्पनीलाई पूर्ण सहयोग गर्नेछ। यी आवश्यकताहरूको उल्लङ्घनले गर्दा भएको हदसम्म डेटा उल्लंघनसँग सम्बन्धित सबै लागत विक्रेताले वहन गर्नेछ।

6. अन्तर्राष्ट्रिय डाटा स्थानान्तरण

6.1 विक्रेताले कम्पनीको पूर्व लिखित सहमति बिना अन्तर्राष्ट्रिय सीमाना पार कम्पनीको डेटा स्थानान्तरण गर्ने छैन। विक्रेताले कम्पनीको डेटा प्रशोधन गर्ने सबै देशहरू निर्दिष्ट गर्नुपर्छ।

6.2 आवश्यक परेमा, विक्रेताले मानक अनुबंधात्मक खण्डहरू (SCCs), बाध्यकारी कर्पोरेट नियमहरू (BCRs), UK परिशिष्ट, वा कानूनी डेटा स्थानान्तरण सुनिश्चित गर्न कम्पनीद्वारा अनिवार्य गरिएको कुनै पनि अन्य संयन्त्रमा प्रवेश गर्न सहमत हुन्छ।

6.3 लागू हुने ठाउँमा विक्रेताले स्थानीय डेटा रेसिडेन्सी आवश्यकताहरूको पालना गर्नेछ।

७. लेखापरीक्षण र निरीक्षण

कम्पनी, वा यसको तोकिएको तेस्रो-पक्ष लेखा परीक्षकलाई, यी आवश्यकताहरूसँग विक्रेताको अनुपालन प्रमाणित गर्न आफ्नै खर्चमा लेखा परीक्षण गर्ने अधिकार हुनेछ। विक्रेताले सबै आवश्यक जानकारी, कागजात, र सुविधाहरू र कर्मचारीहरूमा पहुँच प्रदान गर्नेछ।

विक्रेताले नियमित तेस्रो-पक्ष प्रमाणीकरणहरू (जस्तै, ISO 27001, SOC 2) र/वा आत्म-मूल्याङ्कनहरू पार गर्नेछ, र पारस्परिक रूपमा सहमत समयसीमा भित्र लेखापरीक्षण वा मूल्याङ्कनमा पहिचान गरिएका कुनै पनि कमजोरीहरूलाई तुरुन्तै सुधार गर्नेछ।

८. डेटा विषय अधिकार सहायता

विक्रेताले तुरुन्तै, र कुनै पनि अवस्थामा अठचालीस (४८) घण्टा भन्दा ढिलो नगरी, डेटा विषयबाट आफ्नो अधिकार (जस्तै, पहुँच, सुधार, मेटाउने, पोर्टेबिलिटी) प्रयोग गर्न प्राप्त भएको कुनै पनि अनुरोधको बारेमा कम्पनीलाई सूचित गर्नेछ। कम्पनीले निर्देशन नदिएसम्म विक्रेताले त्यस्ता अनुरोधहरूको प्रत्यक्ष प्रतिक्रिया दिने छैन र कम्पनीको प्रतिक्रियालाई सक्षम बनाउन सबै आवश्यक सहयोग प्रदान गर्नेछ।

९. डेटा फिर्ता र मेटाउने

सम्झौता समाप्त भएपछि वा कम्पनीको अनुरोधमा, विक्रेताले कम्पनीको रोजाइमा, तीस (३०) दिन भित्र सबै कम्पनी डेटा सुरक्षित रूपमा मेटाउने वा फिर्ता गर्ने छ। विक्रेताले ब्याकअपबाट मेटाउने सुनिश्चित गर्नेछ र त्यस्तो मेटाउने लिखित प्रमाणीकरण प्रदान गर्नेछ।

१०. डेटाको विशेष वर्गहरू

१०.१ स्वास्थ्य सेवा डेटा (HIPAA): यदि विक्रेताले कुनै पनि संरक्षित स्वास्थ्य जानकारी (PHI) प्रशोधन गर्छ भने, विक्रेताले यो HIPAA अन्तर्गत "व्यवसाय सहयोगी" (वा व्यवसाय सहयोगीको उप-ठेकेदार) हो भनेर स्वीकार गर्दछ। विक्रेताले HIPAA आवश्यकताहरूको पालना गर्नुपर्छ र कम्पनीको व्यवसाय सहयोगी सम्झौता (BAA) कार्यान्वयन गर्नुपर्छ।

१०.२ अन्य संवेदनशील डेटा: संवेदनशील व्यक्तिगत डेटा (बायोमेट्रिक डेटा वा बालबालिकाको डेटा सहित) समावेश गर्ने परियोजनाहरूको लागि, विक्रेताले कम्पनीको स्वीकृति प्राप्त गर्नुपर्छ र कम्पनीले तोकेको उच्च सुरक्षा र ह्यान्डलिंग प्रोटोकलहरूको पालना गर्नुपर्छ।

११. क्षतिपूर्ति र दायित्व

विक्रेता, यसका कर्मचारीहरू, वा यसका उप-प्रोसेसरहरूद्वारा यी आवश्यकताहरूको कुनै पनि उल्लङ्घनबाट उत्पन्न हुने वा सम्बन्धित कुनै पनि र सबै दावी, दायित्व, क्षति, हानि, जरिवाना, दण्ड, र खर्चहरू (उचित वकिलको शुल्क सहित) बाट कम्पनी, यसका सम्बद्ध कम्पनीहरू, अधिकारीहरू र ग्राहकहरूलाई बचाउन, क्षतिपूर्ति दिन र हानिरहित राख्न सहमत छ।

डेटा उल्लंघन, नियामक जरिवाना, जानाजानी दुर्व्यवहार, वा धोखाधडी सम्बन्धी उल्लङ्घनहरूको लागि दायित्व सीमित हुनेछैन।

12। सामान्य प्रावधान

१२.१ प्रधानता। सम्झौताका सर्तहरू र यी आवश्यकताहरू बीच कुनै द्वन्द्व भएमा, डेटा सुरक्षाको सन्दर्भमा यी आवश्यकताहरू प्रबल हुनेछन्।

१२.२ परिमार्जन। यी आवश्यकताहरू दुवै पक्षका अधिकृत प्रतिनिधिहरूद्वारा हस्ताक्षर गरिएको लिखित संशोधनद्वारा मात्र परिमार्जन गर्न सकिन्छ।

१२.३ बाँच्ने क्षमता। सम्झौता समाप्त भएसम्म गोपनीयता, डेटा मेटाउने, दायित्व र लेखापरीक्षण अधिकार सम्बन्धी दायित्वहरू लागू हुनेछन्।

१२.४ शासकीय कानून। यी आवश्यकताहरू सम्झौतामा उल्लिखित शासकीय कानूनद्वारा शासित र व्याख्या गरिनेछन्।