गोपनीयता कानून चार्टर

दिनांक – 01/01/2020 को जारी किया गया

अंतिम संशोधन – 12/06/2023

प्रयोज्यता:

यह दस्तावेज़ ("आवश्यकताएँ") शैप ("कंपनी") और सेवा प्रदाता ("विक्रेता/फ्रीलांसर/सलाहकार") के बीच किसी भी मास्टर सेवा अनुबंध, कार्य विवरण, या अन्य अनुबंध ("अनुबंध") का एक अभिन्न और कानूनी रूप से बाध्यकारी हिस्सा है।

1. परिभाषाएँ

इन आवश्यकताओं के प्रयोजनों के लिए, निम्नलिखित शब्दों के अर्थ नीचे दिए गए होंगे:

  • “लागू डेटा संरक्षण कानून” इसका अर्थ है व्यक्तिगत डेटा के प्रसंस्करण पर लागू सभी अंतर्राष्ट्रीय, संघीय, राज्य और स्थानीय कानून, नियम और विनियम, जिनमें GDPR, UK GDPR, CCPA/CPRA, HIPAA, PIPEDA और LGPD शामिल हैं, लेकिन इन्हीं तक सीमित नहीं हैं।
  • “कंपनी डेटा” "सभी डेटा, जानकारी और सामग्री, किसी भी रूप या माध्यम में, कंपनी द्वारा या उसकी ओर से विक्रेता को प्रदान की गई, या एकत्रित, उत्पन्न, व्युत्पन्न, छद्म नाम से, अनाम (यदि प्रतिवर्तीता संभव हो) या कंपनी की ओर से विक्रेता द्वारा संसाधित। इसमें परियोजना डेटा और कोई भी व्यक्तिगत डेटा शामिल है।
  • “डेटा उल्लंघन” इसका अर्थ है सुरक्षा का कोई वास्तविक या संदिग्ध उल्लंघन जिसके कारण कंपनी डेटा का आकस्मिक या गैरकानूनी विनाश, हानि, परिवर्तन, अनधिकृत प्रकटीकरण या उस तक पहुंच हो सकती है।
  • "जीडीपीआर" इसका अर्थ है सामान्य डेटा संरक्षण विनियमन (ईयू) 2016/679।
  • "व्यक्तिगत डेटा" इसका अर्थ है कंपनी डेटा में निहित किसी पहचाने गए या पहचाने जाने योग्य प्राकृतिक व्यक्ति ("डेटा विषय") से संबंधित कोई भी जानकारी।
  • "संवेदनशील व्यक्तिगत डेटा" इसका तात्पर्य लागू डेटा संरक्षण कानूनों के तहत संवेदनशील माने जाने वाले डेटा की किसी भी श्रेणी से है, जिसमें नस्लीय या जातीय मूल, राजनीतिक राय, धार्मिक या दार्शनिक विश्वास, ट्रेड यूनियन सदस्यता, आनुवंशिक डेटा, बायोमेट्रिक डेटा, स्वास्थ्य से संबंधित डेटा, या किसी प्राकृतिक व्यक्ति के यौन जीवन या यौन अभिविन्यास से संबंधित डेटा शामिल हैं, लेकिन इन्हीं तक सीमित नहीं है।
  • “प्रसंस्करण” इसका अर्थ है कंपनी डेटा पर किया गया कोई भी कार्य, जैसे संग्रह, रिकॉर्डिंग, संगठन, भंडारण, अनुकूलन, पुनर्प्राप्ति, उपयोग, प्रकटीकरण, प्रसार या विनाश।
  • “प्रोजेक्ट डेटा” इसका तात्पर्य विक्रेता द्वारा कंपनी को प्रदान की गई सेवाओं के भाग के रूप में एकत्रित या निर्मित विशिष्ट डेटा (जैसे, आवाज, छवि, पाठ) से है।
  • “उप-प्रोसेसर” इसका तात्पर्य विक्रेता द्वारा कंपनी डेटा को संसाधित करने के लिए नियुक्त किसी तीसरे पक्ष से है।

2. विक्रेता की भूमिका और दायित्व

2.1 प्रोसेसर/सब-प्रोसेसर के रूप में भूमिका. विक्रेता स्वीकार करता है कि कंपनी डेटा के प्रसंस्करण में, वह कंपनी की ओर से "प्रोसेसर" या "सब-प्रोसेसर" के रूप में कार्य करता है। विक्रेता का कंपनी डेटा पर कोई स्वामित्व या स्वतंत्र अधिकार नहीं है।

2.2 निर्देश पर प्रसंस्करण. विक्रेता कंपनी डेटा का प्रसंस्करण केवल कंपनी के दस्तावेज़ीकृत, वैध निर्देशों के अनुसार ही करेगा, जिनमें अनुबंध और संबंधित कार्य विवरण में उल्लिखित निर्देश भी शामिल हैं। विक्रेता को अपने स्वयं के उद्देश्यों के लिए या कंपनी द्वारा स्पष्ट रूप से निर्देशित न किए गए किसी भी उद्देश्य के लिए कंपनी डेटा का प्रसंस्करण करने से स्पष्ट रूप से प्रतिबंधित किया गया है। निर्देशों में डेटा प्रतिधारण और निपटान संबंधी आवश्यकताएँ शामिल होंगी। यदि विक्रेता को लगता है कि कोई निर्देश लागू डेटा सुरक्षा कानूनों का उल्लंघन करता है, तो उसे तुरंत कंपनी को सूचित करना होगा।

2.3 कानूनों का अनुपालन. विक्रेता वारंटी देता है और प्रतिनिधित्व करता है कि वह अनुबंध के निष्पादन में सभी लागू डेटा संरक्षण कानूनों का अनुपालन करेगा और यदि कोई कानून अनुपालन को रोकता है या कंपनी डेटा के प्रकटीकरण की आवश्यकता होती है (उदाहरण के लिए, सरकारी पहुंच अनुरोध) तो वह कंपनी को तुरंत सूचित करेगा।

3. तकनीकी और संगठनात्मक सुरक्षा उपाय

3.1 सुरक्षा मानक. विक्रेता कंपनी डेटा को किसी भी डेटा उल्लंघन से बचाने के लिए उपयुक्त तकनीकी और संगठनात्मक सुरक्षा उपायों को लागू और बनाए रखेगा। ये उपाय जोखिम के स्तर और डेटा की प्रकृति के अनुरूप होंगे, और इनमें कम से कम निम्नलिखित शामिल होंगे:

  1. एन्क्रिप्शन: विश्राम एवं पारगमन के दौरान सभी कंपनी डेटा का एन्क्रिप्शन।
  2. पहुँच नियंत्रण: न्यूनतम विशेषाधिकार के आधार पर सख्त पहुंच नियंत्रण, यह सुनिश्चित करना कि केवल अधिकृत कर्मियों को ही कंपनी डेटा तक पहुंच प्राप्त हो।
  3. डेटा न्यूनतमकरण: निर्दिष्ट परियोजना के लिए आवश्यक न्यूनतम मात्रा में व्यक्तिगत डेटा एकत्रित करना और उसका प्रसंस्करण करना।
  4. सुरक्षित वातावरण: यह सुनिश्चित करना कि कंपनी डेटा को संसाधित करने के लिए उपयोग की जाने वाली सभी प्रणालियाँ सुरक्षित रूप से कॉन्फ़िगर, पैच, लॉग और मॉनिटर की गई हैं।
  5. सुरक्षित विलोपन: कंपनी के निर्देश पर कंपनी डेटा को सुरक्षित और स्थायी रूप से हटाने के लिए प्रक्रियाओं को लागू करना, जिसमें बैकअप से हटाना भी शामिल है।
  6. शारीरिक सुरक्षा: उन सभी भौतिक स्थानों और उपकरणों को सुरक्षित करना जहां कंपनी डेटा संग्रहीत या एक्सेस किया जाता है।
  7. परीक्षण एवं निगरानी: नियमित प्रवेश परीक्षण, भेद्यता आकलन और निरंतर निगरानी।
  8. व्यावसायिक निरंतरता: घटना प्रतिक्रिया, आपदा पुनर्प्राप्ति और व्यवसाय निरंतरता योजनाओं को बनाए रखना।

4. उप-प्रसंस्करण

4.1 पूर्व सहमति आवश्यक है. विक्रेता कंपनी की पूर्व, विशिष्ट लिखित सहमति के बिना कंपनी डेटा को संसाधित करने के लिए किसी भी उप-प्रसंस्करणकर्ता को नियुक्त नहीं करेगा।

4.2 दायित्वों का प्रवाह. यदि सहमति प्रदान की जाती है, तो विक्रेता को उप-प्रसंस्करणकर्ता के साथ एक लिखित समझौता करना होगा, जो उप-प्रसंस्करणकर्ता पर वही या अधिक कठोर डेटा सुरक्षा दायित्व लागू करेगा, जो इन आवश्यकताओं द्वारा विक्रेता पर लागू किए गए हैं।

4.3 उप-प्रोसेसर सूची. विक्रेता उप-प्रसंस्करणकर्ताओं की एक अद्यतन सूची बनाए रखेगा और अनुरोध किए जाने पर कंपनी को उपलब्ध कराएगा। कंपनी किसी भी उप-प्रसंस्करणकर्ता पर किसी भी समय आपत्ति करने का अधिकार सुरक्षित रखती है।

4.4 पूर्ण दायित्व. विक्रेता उप-प्रसंस्करणकर्ता के दायित्वों के निष्पादन तथा उप-प्रसंस्करणकर्ता के किसी भी कार्य या चूक के लिए कंपनी के प्रति पूर्ण रूप से उत्तरदायी रहेगा।

5. डेटा उल्लंघन अधिसूचना और प्रबंधन

5.1 तत्काल सूचना. विक्रेता को बिना किसी देरी के कंपनी को लिखित रूप में सूचित करना होगा, तथा किसी भी स्थिति में डेटा उल्लंघन के बारे में पता चलने के चौबीस (24) घंटे से अधिक समय नहीं लगेगा।

5.2 उल्लंघन विवरण. अधिसूचना में कम से कम निम्नलिखित बातें होनी चाहिए:

  1. डेटा उल्लंघन की प्रकृति का वर्णन करें, जिसमें संबंधित डेटा विषयों और डेटा रिकॉर्ड की श्रेणियां और अनुमानित संख्या शामिल हो।
  2. विक्रेता के डेटा संरक्षण अधिकारी या अन्य प्रासंगिक संपर्क बिंदु का नाम और संपर्क विवरण प्रदान करें।
  3. डेटा उल्लंघन के संभावित परिणामों का वर्णन करें।
  4. डेटा उल्लंघन को संबोधित करने और इसके प्रभावों को कम करने के लिए विक्रेता द्वारा उठाए गए या उठाए जाने वाले प्रस्तावित उपायों का वर्णन करें।

5.3 निरंतर अद्यतन. विक्रेता को घटना के पूर्ण समाधान होने तक नियमित अपडेट उपलब्ध कराना होगा।

5.4 सहयोग. विक्रेता किसी भी डेटा उल्लंघन की जाँच, सुधार और सूचना देने में कंपनी के साथ पूर्ण सहयोग करेगा। विक्रेता इन आवश्यकताओं के उल्लंघन के कारण होने वाले डेटा उल्लंघन से संबंधित सभी लागतों को वहन करेगा।

6. अंतर्राष्ट्रीय डेटा स्थानांतरण

6.1 विक्रेता, कंपनी की पूर्व लिखित अनुमति के बिना कंपनी डेटा को अंतर्राष्ट्रीय सीमाओं के पार स्थानांतरित नहीं करेगा। विक्रेता को उन सभी देशों का उल्लेख करना होगा जिनमें वह कंपनी डेटा संसाधित करेगा।

6.2 जहां आवश्यक हो, विक्रेता वैध डेटा हस्तांतरण सुनिश्चित करने के लिए मानक संविदात्मक खंड (एससीसी), बाध्यकारी कॉर्पोरेट नियम (बीसीआर), यूके परिशिष्ट, या कंपनी द्वारा अनिवार्य किसी अन्य तंत्र में प्रवेश करने के लिए सहमत होता है।

6.3 जहां लागू हो, विक्रेता को स्थानीय डेटा निवास आवश्यकताओं का अनुपालन करना होगा।

7. लेखा परीक्षा और निरीक्षण

कंपनी, या उसके द्वारा नामित तृतीय-पक्ष लेखा परीक्षक, को अपने खर्च पर, विक्रेता द्वारा इन आवश्यकताओं के अनुपालन की पुष्टि करने के लिए लेखा परीक्षा करने का अधिकार होगा। विक्रेता को सभी आवश्यक जानकारी, दस्तावेज़, और सुविधाओं एवं कर्मचारियों तक पहुँच प्रदान करनी होगी।

विक्रेता को नियमित रूप से तृतीय-पक्ष प्रमाणन (जैसे, आईएसओ 27001, एसओसी 2) और/या स्व-मूल्यांकन से गुजरना होगा, और पारस्परिक रूप से सहमत समय सीमा के भीतर ऑडिट या मूल्यांकन में पहचानी गई किसी भी कमी को तुरंत दूर करना होगा।

8. डेटा विषय अधिकार सहायता

विक्रेता को डेटा विषय से प्राप्त किसी भी अनुरोध (जैसे, पहुँच, सुधार, विलोपन, सुवाह्यता) के बारे में कंपनी को तुरंत, और किसी भी स्थिति में अड़तालीस (48) घंटों से अधिक समय के बाद सूचित नहीं करना होगा। विक्रेता ऐसे अनुरोधों का सीधे जवाब नहीं देगा जब तक कि कंपनी द्वारा निर्देश न दिया जाए और कंपनी की प्रतिक्रिया को सक्षम करने के लिए सभी आवश्यक सहायता प्रदान करेगा।

9. डेटा वापसी और विलोपन

अनुबंध की समाप्ति पर या कंपनी के अनुरोध पर, विक्रेता, कंपनी की इच्छानुसार, तीस (30) दिनों के भीतर सभी कंपनी डेटा को सुरक्षित रूप से हटा देगा या वापस कर देगा। विक्रेता बैकअप से डेटा हटाना सुनिश्चित करेगा और इस तरह के डेटा हटाने का लिखित प्रमाण पत्र प्रदान करेगा।

10. डेटा की विशेष श्रेणियां

10.1 स्वास्थ्य देखभाल डेटा (HIPAA): यदि विक्रेता किसी संरक्षित स्वास्थ्य सूचना (PHI) को संसाधित करता है, तो विक्रेता स्वीकार करता है कि वह HIPAA के तहत एक "व्यावसायिक सहयोगी" (या किसी व्यावसायिक सहयोगी का उपठेकेदार) है। विक्रेता को HIPAA आवश्यकताओं का पालन करना होगा और कंपनी के व्यावसायिक सहयोगी अनुबंध (BAA) को निष्पादित करना होगा।

10.2 अन्य संवेदनशील डेटा: संवेदनशील व्यक्तिगत डेटा (बायोमेट्रिक डेटा या बच्चों से डेटा सहित) से संबंधित परियोजनाओं के लिए, विक्रेता को कंपनी की स्वीकृति प्राप्त करनी होगी और कंपनी द्वारा निर्दिष्ट उच्च सुरक्षा और हैंडलिंग प्रोटोकॉल का पालन करना होगा।

11. क्षतिपूर्ति और देयता

विक्रेता, विक्रेता, उसके कर्मचारियों या उसके उप-प्रसंस्करणकर्ताओं द्वारा इन आवश्यकताओं के किसी उल्लंघन से उत्पन्न या उससे संबंधित किसी भी और सभी दावों, देनदारियों, क्षतियों, हानि, जुर्मानों, दंडों और व्ययों (उचित वकीलों की फीस सहित) से कंपनी, उसके सहयोगियों, अधिकारियों और ग्राहकों की रक्षा करने, क्षतिपूर्ति करने और उन्हें हानिरहित रखने के लिए सहमत है।

डेटा उल्लंघन, विनियामक जुर्माना, जानबूझकर कदाचार या धोखाधड़ी से जुड़े उल्लंघनों के लिए उत्तरदायित्व की कोई सीमा नहीं होगी।

12। सामान्य प्रावधान

12.1 प्रधानता. समझौते की शर्तों और इन आवश्यकताओं के बीच किसी भी टकराव की स्थिति में, डेटा संरक्षण के संबंध में ये आवश्यकताएं प्रबल होंगी।

12.2 संशोधन. इन आवश्यकताओं को केवल दोनों पक्षों के अधिकृत प्रतिनिधियों द्वारा हस्ताक्षरित लिखित संशोधन द्वारा ही संशोधित किया जा सकता है।

12.3 उत्तरजीविता. गोपनीयता, डेटा विलोपन, देयता और लेखा परीक्षा अधिकारों से संबंधित दायित्व समझौते की समाप्ति के बाद भी बने रहेंगे।

12.4 शासी कानून. ये आवश्यकताएं समझौते में निर्धारित नियामक कानून के अनुसार शासित और व्याख्या की जाएंगी।