தனியுரிமைச் சட்டங்கள் சாசனம்

தேதி – 01/01/2020 அன்று வெளியிடப்பட்டது.

கடைசியாக மாற்றப்பட்டது – 12/06/2023

பயன்படுத்தத்தக்க:

இந்த ஆவணம் ("தேவைகள்") Shaip ("நிறுவனம்") மற்றும் சேவை வழங்குநர் ("விற்பனையாளர்/ஃப்ரீலான்ஸர்/ஆலோசகர்கள்") இடையேயான எந்தவொரு முதன்மை சேவைகள் ஒப்பந்தம், பணி அறிக்கை அல்லது பிற ஒப்பந்தத்தின் ("ஒப்பந்தம்") ஒருங்கிணைந்த மற்றும் சட்டப்பூர்வமாக பிணைக்கும் பகுதியாகும்.

1. வரையறைகள்

இந்தத் தேவைகளின் நோக்கங்களுக்காக, பின்வரும் சொற்கள் கீழே குறிப்பிடப்பட்டுள்ள அர்த்தங்களைக் கொண்டிருக்கும்:

  • "பொருந்தக்கூடிய தரவு பாதுகாப்பு சட்டங்கள்" GDPR, UK GDPR, CCPA/CPRA, HIPAA, PIPEDA, மற்றும் LGPD உட்பட ஆனால் அவை மட்டும் அல்லாமல், தனிப்பட்ட தரவு செயலாக்கத்திற்குப் பொருந்தக்கூடிய அனைத்து சர்வதேச, கூட்டாட்சி, மாநில மற்றும் உள்ளூர் சட்டங்கள், விதிகள் மற்றும் ஒழுங்குமுறைகளைக் குறிக்கிறது.
  • "நிறுவனத் தரவு" நிறுவனத்தின் சார்பாக விற்பனையாளருக்கு வழங்கப்பட்ட, அல்லது சேகரிக்கப்பட்ட, உருவாக்கப்பட்ட, பெறப்பட்ட, புனைப்பெயரால் பெயரிடப்பட்ட, அநாமதேயமாக்கப்பட்ட (மீளக்கூடிய தன்மை சாத்தியமானால்), அல்லது நிறுவனத்தின் சார்பாக விற்பனையாளரால் செயலாக்கப்பட்ட எந்தவொரு வடிவத்திலோ அல்லது ஊடகத்திலோ உள்ள அனைத்து தரவு, தகவல் மற்றும் பொருட்களையும் குறிக்கிறது. இதில் திட்டத் தரவு மற்றும் எந்தவொரு தனிப்பட்ட தரவும் அடங்கும்.
  • "தரவு மீறல்" தற்செயலான அல்லது சட்டவிரோத அழிவு, இழப்பு, மாற்றம், அங்கீகரிக்கப்படாத வெளிப்படுத்தல் அல்லது நிறுவனத் தரவை அணுகுவதற்கு வழிவகுக்கும் எந்தவொரு உண்மையான அல்லது சந்தேகிக்கப்படும் பாதுகாப்பு மீறலையும் குறிக்கிறது.
  • "ஜிடிபிஆர்" பொது தரவு பாதுகாப்பு ஒழுங்குமுறை (EU) 2016/679 ஐக் குறிக்கிறது.
  • "தனிப்பட்ட தகவல்" நிறுவனத் தரவில் உள்ள அடையாளம் காணப்பட்ட அல்லது அடையாளம் காணக்கூடிய இயற்கை நபர் ("தரவு பொருள்") தொடர்பான எந்தவொரு தகவலையும் குறிக்கிறது.
  • "உணர்திறன் மிக்க தனிப்பட்ட தரவு" பொருந்தக்கூடிய தரவு பாதுகாப்புச் சட்டங்களின் கீழ் உணர்திறன் மிக்கதாகக் கருதப்படும் எந்தவொரு வகைத் தரவையும் குறிக்கிறது, இதில் இன அல்லது இன தோற்றம், அரசியல் கருத்துக்கள், மத அல்லது தத்துவ நம்பிக்கைகள், தொழிற்சங்க உறுப்பினர், மரபணு தரவு, பயோமெட்ரிக் தரவு, உடல்நலம் தொடர்பான தரவு அல்லது ஒரு இயற்கையான நபரின் பாலியல் வாழ்க்கை அல்லது பாலியல் நோக்குநிலை தொடர்பான தரவு ஆகியவை அடங்கும்.
  • "செயலாக்குகிறது" நிறுவனத் தரவில் செய்யப்படும் எந்தவொரு செயல்பாட்டையும் குறிக்கிறது, அதாவது சேகரிப்பு, பதிவு செய்தல், ஒழுங்கமைத்தல், சேமிப்பு, தழுவல், மீட்டெடுப்பு, பயன்பாடு, வெளிப்படுத்தல், பரப்புதல் அல்லது அழித்தல்.
  • "திட்டத் தரவு" நிறுவனத்திற்கு வழங்கப்படும் சேவைகளின் ஒரு பகுதியாக விற்பனையாளரால் சேகரிக்கப்பட்ட அல்லது உருவாக்கப்பட்ட குறிப்பிட்ட தரவு (எ.கா., குரல், படம், உரை) என்று பொருள்.
  • "துணை செயலி" நிறுவனத்தின் தரவை செயலாக்க விற்பனையாளரால் ஈடுபடுத்தப்பட்ட எந்தவொரு மூன்றாம் தரப்பினரையும் குறிக்கிறது.

2. விற்பனையாளரின் பங்கு மற்றும் கடமைகள்

2.1 செயலி/துணை செயலியாகப் பங்கு. நிறுவனத் தரவைச் செயலாக்குவதில், நிறுவனத்தின் சார்பாக "செயலி" அல்லது "துணைச் செயலி"யாகச் செயல்படுவதாக விற்பனையாளர் ஒப்புக்கொள்கிறார். விற்பனையாளருக்கு நிறுவனத் தரவின் மீது எந்த உரிமையோ அல்லது சுயாதீன உரிமையோ இல்லை.

2.2 அறிவுறுத்தலின் அடிப்படையில் செயலாக்கம். ஒப்பந்தம் மற்றும் தொடர்புடைய பணி அறிக்கைகளில் குறிப்பிடப்பட்டுள்ளவை உட்பட, நிறுவனத்தின் ஆவணப்படுத்தப்பட்ட, சட்டப்பூர்வமான அறிவுறுத்தல்களின்படி மட்டுமே விற்பனையாளர் நிறுவனத் தரவைச் செயலாக்க வேண்டும். விற்பனையாளர் தனது சொந்த நோக்கங்களுக்காகவோ அல்லது நிறுவனத்தால் வெளிப்படையாக அறிவுறுத்தப்படாத எந்த நோக்கத்திற்காகவோ நிறுவனத் தரவைச் செயலாக்குவது வெளிப்படையாகத் தடைசெய்யப்பட்டுள்ளது. அறிவுறுத்தல்களில் தரவு வைத்திருத்தல் மற்றும் அகற்றல் தேவைகள் அடங்கும். ஒரு அறிவுறுத்தல் பொருந்தக்கூடிய தரவுப் பாதுகாப்புச் சட்டங்களை மீறுவதாக விற்பனையாளர் நம்பினால், அது உடனடியாக நிறுவனத்திற்குத் தெரிவிக்க வேண்டும்.

2.3 சட்டங்களுடன் இணங்குதல். ஒப்பந்தத்தை செயல்படுத்துவதில் பொருந்தக்கூடிய அனைத்து தரவு பாதுகாப்பு சட்டங்களுக்கும் இணங்குவதாக விற்பனையாளர் உத்தரவாதம் அளித்து பிரதிநிதித்துவப்படுத்துகிறார், மேலும் எந்தவொரு சட்டமும் இணக்கத்தைத் தடுத்தால் அல்லது நிறுவனத் தரவை வெளியிடுமாறு கோரினால் (எ.கா., அரசாங்க அணுகல் கோரிக்கைகள்) உடனடியாக நிறுவனத்திற்குத் தெரிவிக்கும்.

3. தொழில்நுட்ப மற்றும் நிறுவன பாதுகாப்பு நடவடிக்கைகள்

3.1 பாதுகாப்பு தரநிலைகள். எந்தவொரு தரவு மீறலுக்கும் எதிராக நிறுவனத் தரவைப் பாதுகாக்க விற்பனையாளர் பொருத்தமான தொழில்நுட்ப மற்றும் நிறுவன பாதுகாப்பு நடவடிக்கைகளைச் செயல்படுத்தி பராமரிக்க வேண்டும். இந்த நடவடிக்கைகள் ஆபத்தின் நிலை மற்றும் தரவின் தன்மைக்கு ஏற்ப இருக்க வேண்டும், மேலும் குறைந்தபட்சம், பின்வருவனவற்றை உள்ளடக்கியிருக்க வேண்டும்:

  1. குறியாக்க: ஓய்வு மற்றும் போக்குவரத்தில் உள்ள அனைத்து நிறுவனத் தரவையும் குறியாக்கம் செய்தல்.
  2. நுழைவு கட்டுப்பாடு: குறைந்தபட்ச சலுகையின் அடிப்படையில் கடுமையான அணுகல் கட்டுப்பாடுகள், அங்கீகரிக்கப்பட்ட பணியாளர்கள் மட்டுமே நிறுவனத் தரவை அணுக முடியும் என்பதை உறுதி செய்தல்.
  3. தரவு குறைத்தல்: குறிப்பிட்ட திட்டத்திற்குத் தேவையான குறைந்தபட்ச தனிப்பட்ட தரவை மட்டுமே சேகரித்து செயலாக்குதல்.
  4. பாதுகாப்பான சூழல்கள்: நிறுவனத் தரவைச் செயலாக்கப் பயன்படுத்தப்படும் அனைத்து அமைப்புகளும் பாதுகாப்பாக உள்ளமைக்கப்பட்டுள்ளன, இணைக்கப்பட்டுள்ளன, பதிவு செய்யப்பட்டுள்ளன மற்றும் கண்காணிக்கப்பட்டுள்ளன என்பதை உறுதி செய்தல்.
  5. பாதுகாப்பான நீக்கம்: நிறுவனத்தின் அறிவுறுத்தலின் பேரில் நிறுவனத் தரவைப் பாதுகாப்பான மற்றும் நிரந்தரமாக நீக்குவதற்கான செயல்முறைகளை செயல்படுத்துதல், காப்புப்பிரதிகளிலிருந்து நீக்குதல் உட்பட.
  6. உடல் பாதுகாப்பு: நிறுவனத் தரவு சேமிக்கப்படும் அல்லது அணுகப்படும் அனைத்து இயற்பியல் இருப்பிடங்கள் மற்றும் சாதனங்களைப் பாதுகாத்தல்.
  7. சோதனை மற்றும் கண்காணிப்பு: வழக்கமான ஊடுருவல் சோதனை, பாதிப்பு மதிப்பீடுகள் மற்றும் தொடர்ச்சியான கண்காணிப்பு.
  8. வணிக தொடர்ச்சி: சம்பவ பதில், பேரிடர் மீட்பு மற்றும் வணிக தொடர்ச்சித் திட்டங்களைப் பராமரித்தல்.

4. துணை செயலாக்கம்

4.1 முன் ஒப்புதல் தேவை. நிறுவனத்தின் முன், குறிப்பிட்ட எழுத்துப்பூர்வ ஒப்புதல் இல்லாமல், விற்பனையாளர் எந்தவொரு துணைச் செயலியையும் நிறுவனத் தரவைச் செயலாக்க ஈடுபடுத்தக்கூடாது.

4.2 கடமைகளின் ஓட்டம்-குறைப்பு. ஒப்புதல் வழங்கப்பட்டால், விற்பனையாளர் துணைச் செயலியுடன் எழுத்துப்பூர்வ ஒப்பந்தத்தில் நுழைய வேண்டும், இது இந்தத் தேவைகளால் விற்பனையாளருக்கு விதிக்கப்படும் அதே அல்லது அதற்கு மேற்பட்ட கடுமையான தரவுப் பாதுகாப்புக் கடமைகளை துணைச் செயலி மீது விதிக்கிறது.

4.3 துணை செயலி பட்டியல். விற்பனையாளர் துணை-செயலாளர்களின் புதுப்பித்த பட்டியலைப் பராமரித்து, கோரிக்கையின் பேரில் அதை நிறுவனத்திற்கு வழங்க வேண்டும். எந்த நேரத்திலும் எந்தவொரு துணை-செயலாளருக்கும் ஆட்சேபனை தெரிவிக்க நிறுவனத்திற்கு உரிமை உண்டு.

4.4 முழு பொறுப்பு. துணைச் செயலியின் கடமைகளை நிறைவேற்றுவதற்கும், துணைச் செயலியின் எந்தவொரு செயல் அல்லது விடுபடலுக்கும் விற்பனையாளர் நிறுவனத்திற்கு முழுமையாகப் பொறுப்பாவார்.

5. தரவு மீறல் அறிவிப்பு மற்றும் மேலாண்மை

5.1 உடனடி அறிவிப்பு. விற்பனையாளர் தேவையற்ற தாமதமின்றி, எந்தவொரு தரவு மீறலையும் முதலில் அறிந்த இருபத்தி நான்கு (24) மணிநேரத்திற்குப் பிறகும் நிறுவனத்திற்கு எழுத்துப்பூர்வமாக அறிவிக்க வேண்டும்.

5.2 மீறல் விவரங்கள். அறிவிப்பு குறைந்தபட்சம்:

  1. தரவு மீறலின் தன்மையை விவரிக்கவும், இதில் வகைகள் மற்றும் தரவு பாடங்களின் தோராயமான எண்ணிக்கை மற்றும் தொடர்புடைய தரவு பதிவுகள் அடங்கும்.
  2. விற்பனையாளரின் தரவு பாதுகாப்பு அதிகாரி அல்லது பிற தொடர்புடைய தொடர்பு மையத்தின் பெயர் மற்றும் தொடர்பு விவரங்களை வழங்கவும்.
  3. தரவு மீறலின் சாத்தியமான விளைவுகளை விவரிக்கவும்.
  4. தரவு மீறலை நிவர்த்தி செய்வதற்கும் அதன் விளைவுகளைத் தணிப்பதற்கும் விற்பனையாளரால் எடுக்கப்பட்ட அல்லது எடுக்க முன்மொழியப்பட்ட நடவடிக்கைகளை விவரிக்கவும்.

5.3 தொடர் புதுப்பிப்புகள். சம்பவம் முழுமையாக தீர்க்கப்படும் வரை விற்பனையாளர் வழக்கமான புதுப்பிப்புகளை வழங்குவார்.

5.4 ஒத்துழைப்பு. எந்தவொரு தரவு மீறலையும் விசாரித்தல், சரிசெய்தல் மற்றும் அறிவிப்பதில் விற்பனையாளர் நிறுவனத்துடன் முழுமையாக ஒத்துழைப்பார். இந்தத் தேவைகளை மீறுவதால் ஏற்படும் அளவிற்கு தரவு மீறலுடன் தொடர்புடைய அனைத்து செலவுகளையும் விற்பனையாளரே ஏற்க வேண்டும்.

6. சர்வதேச தரவு பரிமாற்றங்கள்

6.1 நிறுவனத்தின் முன் எழுத்துப்பூர்வ அனுமதியின்றி விற்பனையாளர் நிறுவனத் தரவை சர்வதேச எல்லைகளுக்கு அப்பால் மாற்றக்கூடாது. விற்பனையாளர் நிறுவனத் தரவைச் செயலாக்கும் அனைத்து நாடுகளையும் குறிப்பிட வேண்டும்.

6.2 தேவைப்படும் இடங்களில், விற்பனையாளர் நிலையான ஒப்பந்த உட்பிரிவுகள் (SCCs), பிணைப்பு நிறுவன விதிகள் (BCRs), UK இணைப்பு அல்லது சட்டப்பூர்வமான தரவு பரிமாற்றங்களை உறுதி செய்வதற்காக நிறுவனத்தால் கட்டாயப்படுத்தப்பட்ட வேறு எந்த வழிமுறையிலும் நுழைய ஒப்புக்கொள்கிறார்.

6.3 பொருந்தக்கூடிய இடங்களில், விற்பனையாளர் உள்ளூர் தரவு வதிவிடத் தேவைகளுக்கு இணங்க வேண்டும்.

7. தணிக்கைகள் மற்றும் ஆய்வுகள்

நிறுவனம் அல்லது அதன் நியமிக்கப்பட்ட மூன்றாம் தரப்பு தணிக்கையாளர், விற்பனையாளர் இந்தத் தேவைகளுக்கு இணங்குவதைச் சரிபார்க்க, அதன் சொந்த செலவில் தணிக்கைகளை நடத்த உரிமை உண்டு. விற்பனையாளர் தேவையான அனைத்து தகவல்களையும், ஆவணங்களையும், வசதிகள் மற்றும் பணியாளர்களுக்கான அணுகலையும் வழங்க வேண்டும்.

விற்பனையாளர் வழக்கமான மூன்றாம் தரப்பு சான்றிதழ்கள் (எ.கா., ISO 27001, SOC 2) மற்றும்/அல்லது சுய மதிப்பீடுகளுக்கு உட்பட வேண்டும், மேலும் தணிக்கைகள் அல்லது மதிப்பீடுகளில் அடையாளம் காணப்பட்ட ஏதேனும் குறைபாடுகளை பரஸ்பரம் ஒப்புக் கொள்ளப்பட்ட காலக்கெடுவிற்குள் உடனடியாக சரிசெய்ய வேண்டும்.

8. தரவு பொருள் உரிமைகள் உதவி

விற்பனையாளர் உடனடியாக, எந்த சந்தர்ப்பத்திலும் நாற்பத்தெட்டு (48) மணிநேரங்களுக்குப் பிறகு, ஒரு தரவுப் பொருளிடமிருந்து அவர்களின் உரிமைகளைப் பயன்படுத்துவதற்கான எந்தவொரு கோரிக்கையையும் (எ.கா. அணுகல், திருத்தம், அழித்தல், பெயர்வுத்திறன்) நிறுவனத்திற்குத் தெரிவிக்க வேண்டும். நிறுவனத்தால் அறிவுறுத்தப்படாவிட்டால், விற்பனையாளர் அத்தகைய கோரிக்கைகளுக்கு நேரடியாக பதிலளிக்க மாட்டார் மற்றும் நிறுவனத்தின் பதிலை செயல்படுத்த தேவையான அனைத்து உதவிகளையும் வழங்குவார்.

9. தரவு திரும்புதல் மற்றும் நீக்குதல்

ஒப்பந்தம் முடிவடைந்தவுடன் அல்லது நிறுவனத்தின் வேண்டுகோளின் பேரில், விற்பனையாளர், நிறுவனத்தின் விருப்பப்படி, முப்பது (30) நாட்களுக்குள் அனைத்து நிறுவனத் தரவையும் பாதுகாப்பாக நீக்க வேண்டும் அல்லது திருப்பி அனுப்ப வேண்டும். விற்பனையாளர் காப்புப்பிரதிகளிலிருந்து நீக்கப்படுவதை உறுதிசெய்து, அத்தகைய நீக்கத்திற்கான எழுத்துப்பூர்வ சான்றிதழை வழங்க வேண்டும்.

10. தரவுகளின் சிறப்பு வகைகள்

10.1 சுகாதாரத் தரவு (HIPAA): விற்பனையாளர் ஏதேனும் பாதுகாக்கப்பட்ட சுகாதாரத் தகவலை (PHI) செயலாக்கினால், விற்பனையாளர் HIPAA இன் கீழ் ஒரு "வணிக கூட்டாளி" (அல்லது ஒரு வணிக கூட்டாளியின் துணை ஒப்பந்ததாரர்) என்பதை ஒப்புக்கொள்கிறார். விற்பனையாளர் HIPAA தேவைகளுக்கு இணங்க வேண்டும் மற்றும் நிறுவனத்தின் வணிக கூட்டாளி ஒப்பந்தத்தை (BAA) செயல்படுத்த வேண்டும்.

10.2 பிற உணர்திறன் தரவு: உணர்திறன் வாய்ந்த தனிப்பட்ட தரவு (பயோமெட்ரிக் தரவு அல்லது குழந்தைகளிடமிருந்து தரவு உட்பட) சம்பந்தப்பட்ட திட்டங்களுக்கு, விற்பனையாளர் நிறுவனத்தின் ஒப்புதலைப் பெற வேண்டும் மற்றும் நிறுவனத்தால் குறிப்பிடப்பட்டுள்ள உயர் பாதுகாப்பு மற்றும் கையாளுதல் நெறிமுறைகளைப் பின்பற்ற வேண்டும்.

11. இழப்பீடு மற்றும் பொறுப்பு

விற்பனையாளர், அதன் ஊழியர்கள் அல்லது அதன் துணைச் செயலிகளால் இந்தத் தேவைகளை மீறுவதால் அல்லது தொடர்புடைய எந்தவொரு உரிமைகோரல்கள், பொறுப்புகள், சேதங்கள், இழப்புகள், அபராதங்கள், அபராதங்கள் மற்றும் செலவுகள் (நியாயமான வழக்கறிஞர் கட்டணங்கள் உட்பட) ஆகியவற்றிலிருந்து நிறுவனம், அதன் துணை நிறுவனங்கள், அதிகாரிகள் மற்றும் வாடிக்கையாளர்களைப் பாதுகாக்கவும், இழப்பீடு வழங்கவும், பாதிப்பில்லாமல் வைத்திருக்கவும் விற்பனையாளர் ஒப்புக்கொள்கிறார்.

தரவு மீறல்கள், ஒழுங்குமுறை அபராதங்கள், வேண்டுமென்றே தவறான நடத்தை அல்லது மோசடி உள்ளிட்ட மீறல்களுக்கு பொறுப்பு வரம்பிடப்படாது.

12. பொது ஏற்பாடுகள்

12.1 முதன்மை. ஒப்பந்தத்தின் விதிமுறைகளுக்கும் இந்த தேவைகளுக்கும் இடையில் ஏதேனும் முரண்பாடு ஏற்பட்டால், தரவுப் பாதுகாப்பைப் பொறுத்தவரை இந்த தேவைகள் மேலோங்கும்.

12.2 மாற்றம். இந்த தேவைகள் இரு தரப்பினரின் அங்கீகரிக்கப்பட்ட பிரதிநிதிகளால் கையொப்பமிடப்பட்ட எழுத்துப்பூர்வ திருத்தத்தின் மூலம் மட்டுமே மாற்றியமைக்கப்படலாம்.

12.3 உயிர்வாழ்வு. ரகசியத்தன்மை, தரவு நீக்கம், பொறுப்பு மற்றும் தணிக்கை உரிமைகள் தொடர்பான கடமைகள் ஒப்பந்தம் முடிவடைந்த பின்னரும் நீடிக்கும்.

12.4 ஆளும் சட்டம். இந்த தேவைகள் ஒப்பந்தத்தில் குறிப்பிடப்பட்டுள்ள நிர்வாகச் சட்டத்தின்படி நிர்வகிக்கப்பட்டு, அதற்கேற்பப் பொருள் கொள்ளப்படும்.