Siarter Deddfau Preifatrwydd

Dyddiad – Rhyddhawyd ar 01/01/2020

Addaswyd ddiwethaf ar – 12/06/2023

Cymhwysedd:

Mae'r ddogfen hon (“Gofynion”) yn rhan annatod a chyfreithiol rwymol o unrhyw Gytundeb Gwasanaethau Meistr, Datganiad Gwaith, neu gontract arall (“Cytundeb”) rhwng Shaip (“Cwmni”) a'r darparwr gwasanaeth (“Gwerthwr/gweithiwr llawrydd/ymgynghorwyr”).

1. Diffiniadau

At ddibenion y Gofynion hyn, bydd i'r termau canlynol yr ystyron a nodir isod:

  • “Deddfau Diogelu Data Cymwysadwy” yw pob cyfraith, rheol a rheoliad rhyngwladol, ffederal, gwladwriaethol a lleol sy'n berthnasol i Brosesu Data Personol, gan gynnwys ond heb fod yn gyfyngedig i'r GDPR, GDPR y DU, CCPA/CPRA, HIPAA, PIPEDA, ac LGPD.
  • “Data’r Cwmni” yw'r holl ddata, gwybodaeth a deunyddiau, ar unrhyw ffurf neu gyfrwng, a ddarperir i'r Gwerthwr gan neu ar ran y Cwmni, neu a gesglir, a gynhyrchir, a ddeillir, a ffugenwir, a ddienwir (os yw gwrthdroadwyedd yn bosibl), neu a Brosesir gan y Gwerthwr ar ran y Cwmni. Mae hyn yn cynnwys Data Prosiect ac unrhyw Ddata Personol.
  • “Torri Data” yw unrhyw dorri diogelwch gwirioneddol neu a amheuir sy'n arwain at ddinistrio, colli, newid, datgelu neu fynediad heb awdurdod at Ddata'r Cwmni, yn ddamweiniol neu'n anghyfreithlon.
  • “GDPR” yw'r Rheoliad Diogelu Data Cyffredinol (EU) 2016/679.
  • "Data personol" yw unrhyw wybodaeth sy'n ymwneud â pherson naturiol wedi'i adnabod neu y gellir ei adnabod (“Pwnc Data”) sydd wedi'i chynnwys yn Ndata'r Cwmni.
  • “Data Personol Sensitif” yw unrhyw gategori o ddata a ystyrir yn sensitif o dan y Deddfau Diogelu Data Cymwys, gan gynnwys ond heb fod yn gyfyngedig i darddiad hiliol neu ethnig, barn wleidyddol, credoau crefyddol neu athronyddol, aelodaeth o undeb llafur, data genetig, data biometrig, data ynghylch iechyd, neu ddata ynghylch bywyd rhywiol neu gyfeiriadedd rhywiol person naturiol.
  • “Prosesu” yw unrhyw weithrediad a gyflawnir ar Ddata’r Cwmni, megis casglu, cofnodi, trefnu, storio, addasu, adfer, defnyddio, datgelu, lledaenu neu ddinistrio.
  • “Data’r Prosiect” yw'r data penodol (e.e., llais, delwedd, testun) a gesglir neu a grëir gan y Gwerthwr fel rhan o'r gwasanaethau a ddarperir i'r Cwmni.
  • “Is-brosesydd” yw unrhyw drydydd parti a gyflogir gan y Gwerthwr i Brosesu Data Cwmni.

2. Rôl a Rhwymedigaethau'r Gwerthwr

2.1 Rôl fel Prosesydd/Is-brosesydd. Mae'r Gwerthwr yn cydnabod, wrth Brosesu Data'r Cwmni, ei fod yn gweithredu fel "Prosesydd" neu "Is-brosesydd" ar ran y Cwmni. Nid oes gan y Gwerthwr unrhyw berchnogaeth na hawliau annibynnol i Ddata'r Cwmni.

2.2 Prosesu ar Gyfarwyddyd. Dim ond yn unol â chyfarwyddiadau dogfenedig, cyfreithlon y Cwmni y bydd y Gwerthwr yn Prosesu Data'r Cwmni, gan gynnwys y rhai a nodir yn y Cytundeb a'r Datganiadau Gwaith perthnasol. Mae'r Gwerthwr wedi'i wahardd yn benodol rhag Prosesu Data'r Cwmni at ei ddibenion ei hun neu at unrhyw ddiben nad yw'r Cwmni wedi'i gyfarwyddo'n benodol. Bydd y cyfarwyddiadau'n cynnwys gofynion cadw a gwaredu data. Os yw'r Gwerthwr yn credu bod cyfarwyddyd yn torri Deddfau Diogelu Data Cymwys, rhaid iddo hysbysu'r Cwmni ar unwaith.

2.3 Cydymffurfio â'r Cyfreithiau. Mae'r Gwerthwr yn gwarantu ac yn datgan y bydd yn cydymffurfio â phob Deddf Diogelu Data Perthnasol wrth gyflawni'r Cytundeb a bydd yn hysbysu'r Cwmni ar unwaith os bydd unrhyw gyfraith yn atal cydymffurfiaeth neu'n ei gwneud yn ofynnol i Ddata'r Cwmni gael ei ddatgelu (e.e., ceisiadau mynediad gan y llywodraeth).

3. Mesurau Diogelwch Technegol a Sefydliadol

3.1 Safonau Diogelwch. Bydd y Gwerthwr yn gweithredu ac yn cynnal mesurau diogelwch technegol a sefydliadol priodol i amddiffyn Data'r Cwmni rhag unrhyw Doriad Data. Bydd y mesurau hyn yn gymesur â lefel y risg a natur y data, a byddant, o leiaf, yn cynnwys:

  1. Amgryptio: Amgryptio holl Ddata'r Cwmni yn orffwys ac wrth ei gludo.
  2. Rheoli Mynediad: Rheolaethau mynediad llym yn seiliedig ar y breintiau lleiaf, gan sicrhau mai dim ond personél awdurdodedig sydd â mynediad at Ddata'r Cwmni.
  3. Lleihau Data: Casglu a phrosesu dim ond y swm lleiaf o Ddata Personol sy'n angenrheidiol ar gyfer y prosiect penodedig.
  4. Amgylcheddau Diogel: Sicrhau bod yr holl systemau a ddefnyddir i Brosesu Data'r Cwmni wedi'u ffurfweddu, eu clytio, eu cofnodi a'u monitro'n ddiogel.
  5. Dileu Diogel: Gweithredu prosesau ar gyfer dileu Data’r Cwmni’n ddiogel ac yn barhaol ar gyfarwyddyd gan y Cwmni, gan gynnwys dileu o gopïau wrth gefn.
  6. Diogelwch Corfforol: Diogelu pob lleoliad a dyfais ffisegol lle mae Data'r Cwmni yn cael ei storio neu ei gyrchu.
  7. Profi a Monitro: Profion treiddiad rheolaidd, asesiadau bregusrwydd, a monitro parhaus.
  8. Parhad Busnes: Cynnal cynlluniau ymateb i ddigwyddiadau, adfer ar ôl trychineb, a pharhad busnes.

4. Is-brosesu

4.1 Caniatâd Ymlaen Llaw Angenrheidiol. Ni chaiff y Gwerthwr gyflogi unrhyw Is-brosesydd i Brosesu Data'r Cwmni heb ganiatâd ysgrifenedig penodol ymlaen llaw gan y Cwmni.

4.2 Llif i Lawr o Rhwymedigaethau. Os rhoddir caniatâd, rhaid i'r Gwerthwr ymrwymo i gytundeb ysgrifenedig gyda'r Is-brosesydd sy'n gosod yr un rhwymedigaethau diogelu data neu rwymedigaethau mwy llym ar yr Is-brosesydd ag a osodir ar y Gwerthwr gan y Gofynion hyn.

4.3 Rhestr o Is-broseswyr. Bydd y Gwerthwr yn cynnal rhestr gyfoes o Is-broseswyr ac yn ei darparu i'r Cwmni ar gais. Mae'r Cwmni'n cadw'r hawl i wrthwynebu unrhyw Is-brosesydd ar unrhyw adeg.

4.4 Atebolrwydd Llawn. Bydd y Gwerthwr yn parhau i fod yn gwbl atebol i'r Cwmni am gyflawni rhwymedigaethau'r Is-brosesydd ac am unrhyw weithred neu hepgoriad gan yr Is-brosesydd.

5. Hysbysu a Rheoli Toriadau Data

5.1 Hysbysiad Ar Unwaith. Rhaid i'r Gwerthwr hysbysu'r Cwmni yn ysgrifenedig heb oedi gormodol, ac o dan unrhyw amgylchiadau yn hwyrach na phedair awr ar hugain (24) ar ôl dod yn ymwybodol am y tro cyntaf o unrhyw Doriad Data.

5.2 Manylion y Toriad. Rhaid i'r hysbysiad, o leiaf:

  1. Disgrifiwch natur y Toriad Data, gan gynnwys categorïau a nifer bras y Deiliaid Data a'r cofnodion data dan sylw.
  2. Rhowch enw a manylion cyswllt swyddog diogelu data'r Gwerthwr neu bwynt cyswllt perthnasol arall.
  3. Disgrifiwch ganlyniadau tebygol y Toriad Data.
  4. Disgrifiwch y mesurau a gymerwyd neu a gynigiwyd gan y Gwerthwr i fynd i'r afael â'r Toriad Data a lliniaru ei effeithiau.

5.3 Diweddariadau Parhaus. Bydd y Gwerthwr yn darparu diweddariadau rheolaidd nes bod y digwyddiad wedi'i ddatrys yn llawn.

5.4 Cydweithrediad. Bydd y Gwerthwr yn cydweithredu'n llawn â'r Cwmni wrth ymchwilio, adfer a hysbysu unrhyw Doriad Data. Bydd y Gwerthwr yn ysgwyddo'r holl gostau sy'n gysylltiedig â Thoriad Data i'r graddau y'i hachosir gan ei dorriad o'r Gofynion hyn.

6. Trosglwyddiadau Data Rhyngwladol

6.1 Ni chaiff y Gwerthwr drosglwyddo Data'r Cwmni ar draws ffiniau rhyngwladol heb ganiatâd ysgrifenedig ymlaen llaw gan y Cwmni. Rhaid i'r Gwerthwr nodi pob gwlad lle bydd yn Prosesu Data'r Cwmni.

6.2 Lle bo angen, mae'r Gwerthwr yn cytuno i ymrwymo i Gymalau Cytundebol Safonol (SCCs), Rheolau Corfforaethol Rhwymol (BCRs), Atodiad y DU, neu unrhyw fecanwaith arall a orfodir gan y Cwmni i sicrhau trosglwyddiadau data cyfreithlon.

6.3 Rhaid i'r gwerthwr gydymffurfio â gofynion preswylio data lleol lle bo'n berthnasol.

7. Archwiliadau ac Arolygiadau

Bydd gan y Cwmni, neu ei archwilydd trydydd parti dynodedig, yr hawl i gynnal archwiliadau, ar ei gost ei hun, i wirio cydymffurfiaeth y Gwerthwr â'r Gofynion hyn. Bydd y Gwerthwr yn darparu'r holl wybodaeth, dogfennaeth a mynediad angenrheidiol at gyfleusterau a phersonél.

Bydd y Gwerthwr yn cael ardystiadau trydydd parti rheolaidd (e.e., ISO 27001, SOC 2) a/neu hunanasesiadau, ac yn cywiro unrhyw ddiffygion a nodwyd mewn archwiliadau neu asesiadau ar unwaith o fewn amserlen y cytunwyd arni.

8. Cymorth Hawliau Pwnc Data

Bydd y Gwerthwr yn hysbysu'r Cwmni ar unwaith, ac mewn unrhyw achos yn hwyrach na deugain wyth (48) awr, o unrhyw gais a dderbynnir gan Wrthrych Data i arfer ei hawliau (e.e., mynediad, cywiriad, dileu, cludadwyedd). Ni fydd y Gwerthwr yn ymateb yn uniongyrchol i geisiadau o'r fath oni bai bod y Cwmni wedi cyfarwyddo hynny a bydd yn darparu'r holl gymorth angenrheidiol i alluogi ymateb y Cwmni.

9. Dychwelyd a Dileu Data

Ar derfynu'r Cytundeb neu ar gais y Cwmni, bydd y Gwerthwr, yn ôl dewis y Cwmni, yn dileu neu'n dychwelyd holl Ddata'r Cwmni yn ddiogel o fewn tri deg (30) diwrnod. Bydd y Gwerthwr yn sicrhau dileu o gopïau wrth gefn ac yn darparu tystysgrif ysgrifenedig o'r fath ddileu.

10. Categorïau Data Arbennig

10.1 Data Gofal Iechyd (HIPAA): Os yw'r Gwerthwr yn Prosesu unrhyw Wybodaeth Iechyd Warchodedig (PHI), mae'r Gwerthwr yn cydnabod ei fod yn "Gydweithiwr Busnes" (neu'n isgontractwr i Gydweithiwr Busnes) o dan HIPAA. Rhaid i'r Gwerthwr gydymffurfio â gofynion HIPAA a rhaid iddo lofnodi Cytundeb Cydweithiwr Busnes (BAA) y Cwmni.

10.2 Data Sensitif Arall: Ar gyfer prosiectau sy'n cynnwys Data Personol Sensitif (gan gynnwys data biometrig neu ddata gan blant), rhaid i'r Gwerthwr gael cymeradwyaeth y Cwmni a glynu wrth brotocolau diogelwch a thrin uwch fel y nodir gan y Cwmni.

11. Indemniad ac Atebolrwydd

Mae'r Gwerthwr yn cytuno i amddiffyn, indemnio, a dal y Cwmni, ei gwmnïau cysylltiedig, ei swyddogion, a'i gleientiaid yn ddiniwed rhag ac yn erbyn unrhyw hawliadau, rhwymedigaethau, difrod, colledion, dirwyon, cosbau, a threuliau (gan gynnwys ffioedd cyfreithwyr rhesymol) sy'n deillio o neu'n gysylltiedig ag unrhyw dorri'r Gofynion hyn gan y Gwerthwr, ei weithwyr, neu ei Is-broseswyr.

Ni fydd atebolrwydd yn cael ei gapio am dorriadau sy'n cynnwys Toriadau Data, dirwyon rheoleiddio, camymddwyn bwriadol, na thwyll.

12. Darpariaethau Cyffredinol

12.1 Goruchafiaeth. Os bydd unrhyw wrthdaro rhwng telerau'r Cytundeb a'r Gofynion hyn, y Gofynion hyn fydd yn drech o ran diogelu data.

12.2 Addasiad. Dim ond trwy welliant ysgrifenedig wedi'i lofnodi gan gynrychiolwyr awdurdodedig y ddwy ochr y gellir addasu'r Gofynion hyn.

12.3 Goroesiad. Bydd rhwymedigaethau sy'n ymwneud â chyfrinachedd, dileu data, atebolrwydd, a hawliau archwilio yn parhau ar ôl terfynu'r Cytundeb.

12.4 Cyfraith Lywodraethol. Bydd y Gofynion hyn yn cael eu llywodraethu a'u dehongli yn unol â'r gyfraith lywodraethol a nodir yn y Cytundeb.