رازداری کے قوانین کا چارٹر

تاریخ – 01/01/2020 کو جاری کی گئی۔

آخری بار ترمیم کی گئی – 12/06/2023

قابل اطلاق:

یہ دستاویز ("ضروریات") Shaip ("کمپنی") اور سروس فراہم کنندہ ("وینڈر/فری لانسر/کنسلٹنٹس") کے درمیان کسی بھی ماسٹر سروسز کے معاہدے، کام کا بیان، یا دوسرے معاہدے ("معاہدہ") کا لازمی اور قانونی طور پر پابند حصہ بناتی ہے۔

1. تعریف

ان تقاضوں کے مقاصد کے لیے، درج ذیل شرائط کے وہ معنی ہوں گے جو ذیل میں بیان کیے گئے ہیں:

  • "قابل اطلاق ڈیٹا پروٹیکشن قوانین" کا مطلب ہے تمام بین الاقوامی، وفاقی، ریاستی، اور مقامی قوانین، قواعد، اور ضابطے جو ذاتی ڈیٹا کی پروسیسنگ پر لاگو ہوتے ہیں، بشمول GDPR، UK GDPR، CCPA/CPRA، HIPAA، PIPEDA، اور LGPD تک محدود نہیں۔
  • "کمپنی کا ڈیٹا" کا مطلب ہے تمام ڈیٹا، معلومات، اور مواد، کسی بھی شکل یا میڈیم میں، کمپنی کی طرف سے یا اس کی طرف سے وینڈر کو فراہم کیا گیا، یا جمع کیا گیا، تیار کیا گیا، اخذ کیا گیا، تخلص، گمنام (اگر تبدیل ہونا ممکن ہو)، یا کمپنی کی جانب سے وینڈر کے ذریعے کارروائی کی گئی ہے۔ اس میں پروجیکٹ ڈیٹا اور کوئی بھی ذاتی ڈیٹا شامل ہے۔
  • "ڈیٹا کی خلاف ورزی" سیکورٹی کی کوئی بھی حقیقی یا مشتبہ خلاف ورزی ہے جس کی وجہ سے کمپنی کے ڈیٹا کو حادثاتی یا غیر قانونی تباہی، نقصان، تبدیلی، غیر مجاز افشاء، یا اس تک رسائی حاصل ہوتی ہے۔
  • "GDPR" مطلب جنرل ڈیٹا پروٹیکشن ریگولیشن (EU) 2016/679۔
  • "ذاتی مواد" یعنی کمپنی کے ڈیٹا میں موجود کسی شناخت شدہ یا قابل شناخت قدرتی شخص ("ڈیٹا سبجیکٹ") سے متعلق کوئی بھی معلومات۔
  • "حساس ذاتی ڈیٹا" ڈیٹا کا کوئی بھی زمرہ جو قابل اطلاق ڈیٹا پروٹیکشن قوانین کے تحت حساس سمجھا جاتا ہے، بشمول نسلی یا نسلی اصل، سیاسی آراء، مذہبی یا فلسفیانہ عقائد، ٹریڈ یونین کی رکنیت، جینیاتی ڈیٹا، بائیو میٹرک ڈیٹا، صحت سے متعلق ڈیٹا، یا کسی قدرتی شخص کی جنسی زندگی یا جنسی رجحان سے متعلق ڈیٹا۔
  • "پروسیسنگ" مطلب کمپنی کے ڈیٹا پر کیا گیا کوئی بھی آپریشن، جیسے جمع کرنا، ریکارڈنگ، تنظیم، اسٹوریج، موافقت، بازیافت، استعمال، افشاء، پھیلانا، یا تباہی۔
  • "پروجیکٹ ڈیٹا" اس کا مطلب ہے مخصوص ڈیٹا (مثلاً آواز، تصویر، متن) کمپنی کو فراہم کردہ خدمات کے حصے کے طور پر وینڈر کے ذریعے جمع یا تخلیق کیا گیا ہے۔
  • "سب پروسیسر" اس کا مطلب ہے کوئی بھی تیسرا فریق جو وینڈر کے ذریعے کمپنی ڈیٹا پر کارروائی کرنے میں مصروف ہے۔

2. وینڈر کا کردار اور ذمہ داریاں

2.1 بطور پروسیسر/سب پروسیسر کا کردار۔ وینڈر تسلیم کرتا ہے کہ پروسیسنگ کمپنی ڈیٹا میں، یہ کمپنی کی جانب سے "پروسیسر" یا "سب پروسیسر" کے طور پر کام کرتا ہے۔ وینڈر کے پاس کمپنی کے ڈیٹا پر کوئی ملکیت یا آزادانہ حق نہیں ہے۔

2.2 ہدایات پر کارروائی کرنا۔ وینڈر کمپنی کے ڈیٹا پر صرف کمپنی کی دستاویزی، قانونی ہدایات کے مطابق کارروائی کرے گا، بشمول معاہدے میں بیان کردہ اور کام کے متعلقہ بیانات۔ وینڈر کو اپنے مقاصد کے لیے یا کسی ایسے مقصد کے لیے جو کمپنی کی طرف سے واضح طور پر ہدایت نہیں کی گئی ہے، کمپنی کے ڈیٹا پر کارروائی کرنے سے واضح طور پر ممنوع ہے۔ ہدایات میں ڈیٹا کو برقرار رکھنے اور ضائع کرنے کے تقاضے شامل ہوں گے۔ اگر وینڈر کا خیال ہے کہ کوئی ہدایات قابل اطلاق ڈیٹا پروٹیکشن قوانین کی خلاف ورزی کرتی ہے، تو اسے فوری طور پر کمپنی کو مطلع کرنا چاہیے۔

2.3 قوانین کی تعمیل۔ وینڈر اس بات کی ضمانت دیتا ہے اور اس کی نمائندگی کرتا ہے کہ وہ معاہدے کی کارکردگی میں تمام قابل اطلاق ڈیٹا پروٹیکشن قوانین کی تعمیل کرے گا اور اگر کوئی قانون تعمیل کو روکتا ہے یا کمپنی کے ڈیٹا (مثلاً حکومت تک رسائی کی درخواستیں) کے انکشاف کی ضرورت ہے تو کمپنی کو فوری طور پر مطلع کرے گا۔

3. تکنیکی اور تنظیمی حفاظتی اقدامات

3.1 حفاظتی معیارات۔ وینڈر کمپنی کے ڈیٹا کو کسی بھی ڈیٹا کی خلاف ورزی سے بچانے کے لیے مناسب تکنیکی اور تنظیمی حفاظتی اقدامات کو نافذ اور برقرار رکھے گا۔ یہ اقدامات خطرے کی سطح اور ڈیٹا کی نوعیت کے مطابق ہوں گے، اور کم از کم، ان میں شامل ہوں گے:

  1. خفیہ کاری: باقی اور ٹرانزٹ میں کمپنی کے تمام ڈیٹا کی خفیہ کاری۔
  2. رسائی کنٹرول: کم از کم استحقاق کی بنیاد پر سخت رسائی کے کنٹرول، اس بات کو یقینی بناتے ہوئے کہ صرف مجاز اہلکاروں کو کمپنی کے ڈیٹا تک رسائی حاصل ہو۔
  3. ڈیٹا مائنسائزیشن: مخصوص پروجیکٹ کے لیے ضروری ذاتی ڈیٹا کی صرف کم از کم مقدار کو اکٹھا کرنا اور اس پر کارروائی کرنا۔
  4. محفوظ ماحول: اس بات کو یقینی بنانا کہ کمپنی ڈیٹا کو پروسیس کرنے کے لیے استعمال ہونے والے تمام سسٹمز کو محفوظ طریقے سے کنفیگر، پیچ، لاگ ان اور مانیٹر کیا گیا ہے۔
  5. محفوظ حذف: کمپنی کی ہدایت پر کمپنی کے ڈیٹا کو محفوظ اور مستقل طور پر حذف کرنے کے عمل کو نافذ کرنا، بشمول بیک اپ سے حذف کرنا۔
  6. جسمانی تحفظ: ان تمام جسمانی مقامات اور آلات کو محفوظ بنانا جہاں کمپنی کا ڈیٹا ذخیرہ یا اس تک رسائی حاصل کی جاتی ہے۔
  7. جانچ اور نگرانی: باقاعدگی سے دخول کی جانچ، کمزوری کی تشخیص، اور مسلسل نگرانی۔
  8. کاروبار تسلسل: واقعے کے ردعمل، تباہی کی بحالی، اور کاروبار کے تسلسل کے منصوبوں کو برقرار رکھنا۔

4. ذیلی پروسیسنگ

4.1 پیشگی رضامندی درکار ہے۔ وینڈر کمپنی کی پیشگی، مخصوص تحریری اجازت کے بغیر کمپنی کے ڈیٹا پر کارروائی کرنے کے لیے کسی ذیلی پروسیسر کو شامل نہیں کرے گا۔

4.2 ذمہ داریوں کا بہاؤ۔ اگر رضامندی دی جاتی ہے تو، وینڈر کو سب پروسیسر کے ساتھ ایک تحریری معاہدہ کرنا چاہیے جو ذیلی پروسیسر پر ڈیٹا کے تحفظ کی وہی یا زیادہ سخت ذمہ داریاں عائد کرتا ہے جیسا کہ ان تقاضوں کے ذریعے وینڈر پر عائد کیا گیا ہے۔

4.3 ذیلی پروسیسر کی فہرست۔ وینڈر ذیلی پروسیسرز کی تازہ ترین فہرست کو برقرار رکھے گا اور اسے درخواست پر کمپنی کو فراہم کرے گا۔ کمپنی کسی بھی وقت کسی بھی ذیلی پروسیسر پر اعتراض کرنے کا حق محفوظ رکھتی ہے۔

4.4 مکمل ذمہ داری۔ فروش سب پروسیسر کی ذمہ داریوں کی کارکردگی اور سب پروسیسر کے کسی عمل یا کوتاہی کے لیے کمپنی کے لیے پوری طرح ذمہ دار رہے گا۔

5. ڈیٹا کی خلاف ورزی کی اطلاع اور انتظام

5.1 فوری اطلاع۔ وینڈر بغیر کسی تاخیر کے تحریری طور پر کمپنی کو مطلع کرے گا، اور کسی بھی صورت میں کسی بھی ڈیٹا کی خلاف ورزی کے بارے میں پہلی بار آگاہ ہونے کے بعد چوبیس (24) گھنٹے بعد نہیں ہوگا۔

5.2 خلاف ورزی کی تفصیلات۔ نوٹیفکیشن میں، کم از کم:

  1. ڈیٹا کی خلاف ورزی کی نوعیت کی وضاحت کریں، بشمول زمرہ جات اور ڈیٹا کے مضامین کی تخمینی تعداد اور متعلقہ ڈیٹا ریکارڈ۔
  2. وینڈر کے ڈیٹا پروٹیکشن آفیسر یا دیگر متعلقہ رابطہ پوائنٹ کا نام اور رابطے کی تفصیلات فراہم کریں۔
  3. ڈیٹا کی خلاف ورزی کے ممکنہ نتائج کی وضاحت کریں۔
  4. ڈیٹا کی خلاف ورزی سے نمٹنے اور اس کے اثرات کو کم کرنے کے لیے وینڈر کے ذریعے اٹھائے گئے یا کیے جانے والے اقدامات کی وضاحت کریں۔

5.3 جاری اپ ڈیٹس۔ واقعہ مکمل طور پر حل ہونے تک وینڈر باقاعدہ اپ ڈیٹ فراہم کرے گا۔

5.4 تعاون۔ وینڈر کسی بھی ڈیٹا کی خلاف ورزی کی تحقیقات، تدارک اور اطلاع میں کمپنی کے ساتھ مکمل تعاون کرے گا۔ وینڈر ڈیٹا کی خلاف ورزی سے وابستہ تمام اخراجات اس حد تک برداشت کرے گا جس حد تک اس کی ان تقاضوں کی خلاف ورزی کی وجہ سے ہے۔

6. بین الاقوامی ڈیٹا ٹرانسفرز

6.1 وینڈر کمپنی کی پیشگی تحریری اجازت کے بغیر کمپنی کا ڈیٹا بین الاقوامی سرحدوں کے پار منتقل نہیں کرے گا۔ وینڈر کو ان تمام ممالک کی وضاحت کرنی چاہیے جہاں وہ کمپنی کے ڈیٹا پر کارروائی کرے گا۔

6.2 جہاں ضرورت ہو، وینڈر معیاری معاہدے کی شقوں (SCCs)، بائنڈنگ کارپوریٹ رولز (BCRs)، UK ضمیمہ، یا قانونی ڈیٹا کی منتقلی کو یقینی بنانے کے لیے کمپنی کے ذریعہ لازمی کردہ کسی دوسرے طریقہ کار میں داخل ہونے سے اتفاق کرتا ہے۔

6.3 جہاں قابل اطلاق ہو وینڈر مقامی ڈیٹا کی رہائش کے تقاضوں کی تعمیل کرے گا۔

7. آڈٹ اور معائنہ

کمپنی، یا اس کے نامزد تیسرے فریق آڈیٹر کو، اپنے خرچ پر، ان تقاضوں کے ساتھ وینڈر کی تعمیل کی تصدیق کرنے کے لیے آڈٹ کرنے کا حق ہوگا۔ وینڈر تمام ضروری معلومات، دستاویزات، اور سہولیات اور اہلکاروں تک رسائی فراہم کرے گا۔

وینڈر کو فریق ثالث کے باقاعدہ سرٹیفیکیشنز (مثلاً، ISO 27001، SOC 2) اور/یا خود تشخیص سے گزرنا ہو گا، اور آڈٹ یا تشخیص میں پائی جانے والی کسی بھی کمی کو باہمی طور پر طے شدہ ٹائم فریم کے اندر فوری طور پر دور کرنا ہو گا۔

8. ڈیٹا سبجیکٹ رائٹس اسسٹنس

وینڈر فوری طور پر، اور کسی بھی صورت میں اڑتالیس (48) گھنٹے کے بعد، کمپنی کو ڈیٹا سبجیکٹ سے موصول ہونے والی کسی بھی درخواست کے بارے میں اپنے حقوق (مثلاً رسائی، اصلاح، مٹانے، پورٹیبلٹی) کو استعمال کرنے کے لیے مطلع کرے گا۔ وینڈر ایسی درخواستوں کا براہ راست جواب نہیں دے گا جب تک کہ کمپنی کی طرف سے ہدایت نہ کی جائے اور کمپنی کے جواب کو فعال کرنے کے لیے تمام ضروری مدد فراہم کرے۔

9. ڈیٹا کی واپسی اور حذف کرنا

معاہدے کے ختم ہونے پر یا کمپنی کی درخواست پر، وینڈر، کمپنی کی پسند پر، تیس (30) دنوں کے اندر کمپنی کے تمام ڈیٹا کو محفوظ طریقے سے حذف یا واپس کر دے گا۔ وینڈر بیک اپ سے حذف ہونے کو یقینی بنائے گا اور اس طرح کے حذف ہونے کی تحریری سند فراہم کرے گا۔

10. ڈیٹا کے خصوصی زمرے

10.1 ہیلتھ کیئر ڈیٹا (HIPAA): اگر وینڈر کسی پروٹیکٹڈ ہیلتھ انفارمیشن (PHI) پر کارروائی کرتا ہے، تو وینڈر تسلیم کرتا ہے کہ یہ HIPAA کے تحت "بزنس ایسوسی ایٹ" (یا بزنس ایسوسی ایٹ کا ذیلی ٹھیکیدار) ہے۔ وینڈر کو HIPAA کے تقاضوں کی تعمیل کرنی چاہیے اور وہ کمپنی کے بزنس ایسوسی ایٹ ایگریمنٹ (BAA) پر عمل درآمد کرے گا۔

10.2 دیگر حساس ڈیٹا: حساس پرسنل ڈیٹا (بشمول بائیو میٹرک ڈیٹا یا بچوں کا ڈیٹا) پراجیکٹس کے لیے، وینڈر کو کمپنی کی منظوری حاصل کرنی چاہیے اور کمپنی کی طرف سے متعین کیے گئے سیکیورٹی اور ہینڈلنگ پروٹوکول پر عمل کرنا چاہیے۔

11. معاوضہ اور ذمہ داری

وینڈر کمپنی، اس کے ملحقہ اداروں، افسران، اور کلائنٹس کو کسی بھی اور تمام دعووں، ذمہ داریوں، نقصانات، نقصانات، جرمانے، جرمانے، اور اخراجات (بشمول معقول اٹارنی کی فیس) ​​سے اور اس کے خلاف دفاع، معاوضہ دینے اور بے ضرر رکھنے سے اتفاق کرتا ہے۔

ڈیٹا کی خلاف ورزیوں، ریگولیٹری جرمانے، جان بوجھ کر بدانتظامی، یا دھوکہ دہی کی خلاف ورزیوں کے لیے ذمہ داری کو محدود نہیں کیا جائے گا۔

12. جنرل شرائط

12.1 پرائمسی۔ معاہدے کی شرائط اور ان تقاضوں کے درمیان کسی تنازعہ کی صورت میں، یہ تقاضے ڈیٹا کے تحفظ کے حوالے سے غالب ہوں گے۔

12.2 ترمیم۔ ان تقاضوں میں صرف دونوں جماعتوں کے مجاز نمائندوں کے دستخط شدہ تحریری ترمیم کے ذریعے ترمیم کی جا سکتی ہے۔

12.3 بقا۔ رازداری، ڈیٹا کو حذف کرنے، ذمہ داری، اور آڈٹ کے حقوق سے متعلق ذمہ داریاں معاہدے کے خاتمے تک زندہ رہیں گی۔

12.4 گورننگ قانون۔ یہ تقاضے معاہدے میں بیان کردہ گورننگ قانون کے مطابق چلائے جائیں گے اور ان کی تشکیل کی جائے گی۔