د محرمیت قوانینو منشور

نیټه – د خپریدو نیټه ۰۱/۰۱/۲۰۲۰

وروستی ځل تعدیل شوی - ۱۲/۰۶/۲۰۲۳

د تطبیق وړتیا:

دا سند ("اړتیاوې") د شایپ ("شرکت") او د خدماتو چمتو کونکي ("پلورونکی / آزاد / مشاورین") ترمنځ د هر ډول ماسټر خدماتو تړون، د کار بیان، یا بل قرارداد ("تړون") یوه نه بېلېدونکې او قانوني پابنده برخه جوړوي.

1. تعریفونه

د دې غوښتنو د موخو لپاره، لاندې اصطلاحات باید هغه معنی ولري چې لاندې بیان شوي دي:

  • "د معلوماتو د ساتنې د تطبیق وړ قوانین" د شخصي معلوماتو پروسس کولو لپاره د تطبیق وړ ټول نړیوال، فدرالي، ایالتي او محلي قوانین، مقررات او مقررات دي، په شمول د GDPR، UK GDPR، CCPA/CPRA، HIPAA، PIPEDA، او LGPD.
  • "د شرکت معلومات" ټول هغه معلومات، معلومات، او مواد دي چې په هره بڼه یا وسیله کې وي، د شرکت لخوا یا د هغه په ​​استازیتوب پلورونکي ته چمتو شوي وي، یا راټول شوي، تولید شوي، اخیستل شوي، مستعار نوم شوي، بې نومه شوي (که چیرې بیرته راګرځیدل ممکن وي)، یا د شرکت په استازیتوب د پلورونکي لخوا پروسس شوي وي. پدې کې د پروژې معلومات او هر ډول شخصي معلومات شامل دي.
  • "د معلوماتو سرغړونه" د امنیت هر ډول حقیقي یا شکمن سرغړونې ته اشاره کوي چې د شرکت معلوماتو ناڅاپي یا غیرقانوني ویجاړولو، ضایع کیدو، بدلون، غیر مجاز افشا کولو یا لاسرسي لامل کیږي.
  • "GDPR" د عمومي معلوماتو د ساتنې مقرره (EU) 2016/679 معنی لري.
  • "شخصي معلومات" د شرکت په معلوماتو کې شامل شوي هر ډول معلومات چې د پیژندل شوي یا پیژندل شوي طبیعي شخص ("د معلوماتو موضوع") پورې اړه لري.
  • "حساس شخصي معلومات" د معلوماتو د ساتنې د تطبیق وړ قوانینو لاندې حساس ګڼل شوي هر ډول کټګورۍ ته اشاره کوي، په شمول د نژادي یا قومي اصل، سیاسي نظرونو، مذهبي یا فلسفي باورونو، د سوداګرۍ اتحادیې غړیتوب، جینیاتي معلومات، بایومیټریک معلومات، روغتیا پورې اړوند معلومات، یا د طبیعي شخص د جنسي ژوند یا جنسي تمایل پورې اړوند معلومات.
  • "پروسس کول" د شرکت په معلوماتو کې ترسره شوي هر ډول عملیات معنی لري، لکه راټولول، ثبت کول، تنظیم کول، ذخیره کول، تطبیق، بیرته ترلاسه کول، کارول، افشا کول، خپرول، یا ویجاړول.
  • "د پروژې معلومات" هغه ځانګړي معلومات (د مثال په توګه، غږ، انځور، متن) چې د پلورونکي لخوا شرکت ته د وړاندې شویو خدماتو د یوې برخې په توګه راټول شوي یا رامینځته شوي دي.
  • "فرعي پروسسر" د شرکت معلوماتو پروسس کولو لپاره د پلورونکي لخوا ښکیل شوی هر دریم اړخ معنی لري.

۲. د پلورونکي رول او مکلفیتونه

۲.۱ د پروسسر/فرعي پروسسر په توګه رول. پلورونکی دا مني چې د شرکت د معلوماتو په پروسس کولو کې، دا د شرکت په استازیتوب د "پروسیسر" یا "فرعي پروسسر" په توګه کار کوي. پلورونکی د شرکت معلوماتو ته هیڅ مالکیت یا خپلواک حق نلري.

۲.۲ په لارښوونو پروسس کول. پلورونکی به د شرکت معلومات یوازې د شرکت د مستندو، قانوني لارښوونو سره سم پروسس کړي، په شمول د هغو چې په تړون او اړونده کاري بیانونو کې ټاکل شوي دي. پلورونکی په څرګنده توګه د خپلو موخو لپاره یا د کوم هدف لپاره چې د شرکت لخوا په واضح ډول لارښوونه شوې نه وي د شرکت معلوماتو پروسس کولو څخه منع دی. لارښوونې باید د معلوماتو ساتلو او ضایع کولو اړتیاوې شاملې کړي. که چیرې پلورونکی باور ولري چې یوه لارښوونه د تطبیق وړ معلوماتو ساتنې قوانینو سرغړونه کوي، نو باید سمدلاسه شرکت ته خبر ورکړي.

۲.۳ د قوانینو اطاعت. پلورونکی تضمین ورکوي او استازیتوب کوي چې دا به د تړون په اجرا کې د ټولو پلي کیدونکو معلوماتو ساتنې قوانینو سره سم عمل وکړي او که چیرې کوم قانون د اطاعت مخه ونیسي یا د شرکت معلوماتو افشا کولو ته اړتیا ولري (د مثال په توګه، د حکومت لاسرسي غوښتنې) نو شرکت ته به سمدلاسه خبر ورکړي.

۳. تخنیکي او سازماني امنیتي تدابیر

۳.۱ امنیتي معیارونه. پلورونکی باید د هر ډول معلوماتو سرغړونې په وړاندې د شرکت معلوماتو د ساتنې لپاره مناسب تخنیکي او سازماني امنیتي تدابیر پلي او وساتي. دا اقدامات باید د خطر کچې او د معلوماتو د نوعیت سره مطابقت ولري، او لږترلږه باید پدې کې شامل وي:

  1. کوډیزون: د شرکت د ټولو معلوماتو کوډ کول په آرام او لیږد کې.
  2. د لاسرسي کنټرول: د لږ امتیاز پر بنسټ د لاسرسي سخت کنټرولونه، ډاډ ترلاسه کول چې یوازې مجاز پرسونل د شرکت معلوماتو ته لاسرسی لري.
  3. د معلوماتو کمول: د ټاکل شوې پروژې لپاره یوازې د اړتیا وړ لږترلږه شخصي معلوماتو راټولول او پروسس کول.
  4. خوندي چاپیریال: ډاډ ترلاسه کول چې ټول هغه سیسټمونه چې د شرکت معلوماتو پروسس کولو لپاره کارول کیږي په خوندي ډول تنظیم شوي، پیچ شوي، ثبت شوي، او څارل شوي دي.
  5. خوندي حذف کول: د شرکت د لارښوونې سره سم د شرکت د معلوماتو د خوندي او دایمي حذف کولو لپاره د پروسو پلي کول، په شمول د بیک اپ څخه حذف کول.
  6. فزیکي امنیت: د ټولو فزیکي ځایونو او وسایلو خوندي کول چیرې چې د شرکت معلومات زیرمه شوي یا لاسرسی لري.
  7. ازموینه او څارنه: د نفوذ منظم ازموینه، د زیان مننې ارزونه، او دوامداره څارنه.
  8. د سوداګرۍ دوام: د پیښو په وړاندې د غبرګون، د ناورینونو د بیا رغونې، او د سوداګرۍ د دوام پلانونه ساتل.

۴. فرعي پروسس کول

۴.۱ مخکینۍ رضایت اړین دی. پلورونکی به د شرکت د معلوماتو پروسس کولو لپاره هیڅ فرعي پروسسر د شرکت د مخکینۍ، مشخصې لیکلي رضایت پرته ونه کاروي.

۴.۲ د مکلفیتونو کموالی. که چیرې رضایت ورکړل شي، پلورونکی باید د فرعي پروسسر سره یو لیکلي تړون لاسلیک کړي چې په فرعي پروسسر باندې د معلوماتو د ساتنې ورته یا ډیر سخت مکلفیتونه وضع کړي لکه څنګه چې د دې اړتیاو لخوا په پلورونکي باندې وضع شوي دي.

۴.۳ د فرعي پروسسرونو لیست. پلورونکی به د فرعي پروسسرونو یو تازه لیست وساتي او د غوښتنې په صورت کې به یې شرکت ته چمتو کړي. شرکت حق لري چې په هر وخت کې د هر فرعي پروسسر په وړاندې اعتراض وکړي.

۴.۴ بشپړ مسؤلیت. پلورونکی به د فرعي پروسسر د مکلفیتونو د ترسره کولو او د فرعي پروسسر د هر ډول عمل یا غفلت لپاره په بشپړ ډول شرکت ته مسؤل وي.

۵. د معلوماتو د سرغړونې خبرتیا او مدیریت

۵.۱ سمدستي خبرتیا. پلورونکی باید شرکت ته په لیکلي ډول پرته له کوم ځنډ څخه خبر ورکړي، او په هیڅ صورت کې د معلوماتو د سرغړونې څخه د لومړي ځل لپاره د خبرتیا وروسته له څلورویشتو (۲۴) ساعتونو څخه وروسته نه وي.

۵.۲ د سرغړونې جزئیات. خبرتیا باید لږ تر لږه:

  1. د معلوماتو د سرغړونې ماهیت تشریح کړئ، په شمول د معلوماتو د موضوعاتو او اړوندو معلوماتو د کټګوریو او نږدې شمیرې.
  2. د پلورونکي د معلوماتو د ساتنې افسر یا د نورو اړونده اړیکو ځای نوم او د اړیکو توضیحات چمتو کړئ.
  3. د معلوماتو د سرغړونې احتمالي پایلې تشریح کړئ.
  4. هغه اقدامات تشریح کړئ چې د پلورونکي لخوا د معلوماتو سرغړونې ته د رسیدو او د هغې اغیزې کمولو لپاره اخیستل شوي یا وړاندیز شوي دي.

۵.۳ روانې تازه معلومات. پلورونکی به د پیښې تر بشپړ حل پورې منظم تازه معلومات چمتو کړي.

۵.۴ همکاري. پلورونکی به د معلوماتو د سرغړونې په اړه د پلټنې، ترمیم او خبرتیا په برخه کې له شرکت سره بشپړه همکاري وکړي. پلورونکی به د معلوماتو د سرغړونې سره تړلي ټول لګښتونه تر هغه حده پورې چې د دې اړتیاو د سرغړونې له امله رامینځته کیږي، په غاړه واخلي.

6. د نړیوالو معلوماتو لیږد

6.1 پلورونکی به د شرکت معلومات د شرکت د مخکینۍ لیکلي رضایت پرته د نړیوالو پولو هاخوا نه لیږدوي. پلورونکی باید ټول هغه هیوادونه مشخص کړي چې پکې به د شرکت معلومات پروسس کړي.

6.2 چیرې چې اړتیا وي، پلورونکی موافقه کوي چې د معیاري قراردادي بندونو (SCCs)، د کارپوریټ پابند قواعد (BCRs)، د انګلستان ضمیمه، یا د شرکت لخوا ټاکل شوي کوم بل میکانیزم ته ننوځي ترڅو د قانوني معلوماتو لیږد ډاډمن کړي.

6.3 پلورونکی باید د ځایی معلوماتو د استوګنې اړتیاو سره سم عمل وکړي چیرې چې پلي کیږي.

7. پلټنې او تفتیشونه

شرکت، یا د هغه ټاکل شوی دریم اړخ پلټونکی، به حق ولري چې په خپل لګښت تفتیشونه ترسره کړي، ترڅو د دې اړتیاو سره د پلورونکي اطاعت تایید کړي. پلورونکی به ټول اړین معلومات، اسناد، او اسانتیاوو او پرسونل ته لاسرسی چمتو کړي.

پلورونکی به په منظم ډول د دریمې ډلې تصدیقونه (د مثال په توګه، ISO 27001، SOC 2) او/یا ځان ارزونې ترسره کړي، او په تفتیش یا ارزونو کې پیژندل شوي نیمګړتیاوې په دوه اړخیزه توګه د موافقې شوي وخت چوکاټ کې سم کړي.

۸. د معلوماتو موضوع حقونو مرسته

پلورونکی باید په چټکۍ سره، او په هیڅ صورت کې د اته څلویښتو (۴۸) ساعتونو څخه وروسته، شرکت ته د معلوماتو موضوع څخه د ترلاسه شوي هر ډول غوښتنې په اړه خبر ورکړي ترڅو خپل حقونه وکاروي (د بیلګې په توګه، لاسرسی، اصلاح، پاکول، لیږد وړتیا). پلورونکی به مستقیم ډول داسې غوښتنو ته ځواب ورنکړي پرته لدې چې د شرکت لخوا لارښوونه وشي او د شرکت د ځواب فعالولو لپاره به ټولې اړینې مرستې چمتو کړي.

۹. د معلوماتو بیرته راګرځول او حذف کول

د تړون د پای ته رسیدو یا د شرکت په غوښتنه، پلورونکی به د شرکت په خوښه، د دېرشو (30) ورځو دننه د شرکت ټول معلومات په خوندي ډول حذف کړي یا بیرته راستانه کړي. پلورونکی به د بیک اپ څخه حذف کول ډاډمن کړي او د دې ډول حذف کولو لیکلي تصدیق چمتو کړي.

۱۰. د معلوماتو ځانګړې کټګورۍ

۱۰.۱ د روغتیا پاملرنې معلومات (HIPAA): که چیرې پلورونکی کوم خوندي روغتیا معلومات (PHI) پروسس کړي، پلورونکی دا مني چې دا د HIPAA لاندې "سوداګریز ملګری" (یا د سوداګرۍ ملګري فرعي قراردادي) دی. پلورونکی باید د HIPAA اړتیاو سره سم عمل وکړي او د شرکت د سوداګرۍ ملګري تړون (BAA) اجرا کړي.

۱۰.۲ نور حساس معلومات: د هغو پروژو لپاره چې حساس شخصي معلومات پکې شامل وي (د بایومیټریک معلومات یا د ماشومانو معلومات په شمول)، پلورونکی باید د شرکت منظوري ترلاسه کړي او د شرکت لخوا مشخص شوي لوړ امنیت او اداره کولو پروتوکولونو ته غاړه کیږدي.

۱۱. تاوان او مسؤلیت

پلورونکی موافقه کوي چې شرکت، د هغې ملګري، افسران، او مراجعین د هر ډول ادعاوو، مسؤلیتونو، زیانونو، زیانونو، جریمو، جریمو، او لګښتونو (د وکیلانو د مناسب فیس په ګډون) څخه چې د پلورونکي، د هغې کارمندانو، یا د هغې فرعي پروسس کونکو لخوا د دې اړتیاو د هر ډول سرغړونې څخه رامینځته کیږي یا ورسره تړاو لري دفاع وکړي، تاوان ورکړي او بې ضرره وساتي.

د معلوماتو سرغړونو، تنظیمي جریمو، قصدي ناوړه چلند، یا درغلۍ په شمول د سرغړونو لپاره مسؤلیت به محدود نه وي.

12. عمومي احکام

۱۲.۱ لومړیتوب. د تړون د شرایطو او دې اړتیاوو ترمنځ د کومې شخړې په صورت کې، دا اړتیاوې به د معلوماتو د ساتنې په اړه غالبې وي.

۱۲.۲ تعدیل. دا اړتیاوې یوازې د دواړو خواوو د مجاز استازو لخوا لاسلیک شوي لیکلي تعدیل له لارې تعدیل کیدی شي.

۱۲.۳ بقا. د محرمیت، معلوماتو حذف کولو، مسؤلیت، او د تفتیش حقونو پورې اړوند مکلفیتونه به د تړون له پای ته رسیدو وروسته هم دوام ولري.

۱۲.۴ حکومتی قانون. دا اړتیاوې باید د هغه حاکم قانون له مخې تنظیم او تفسیر شي چې په تړون کې ذکر شوی دی.