গোপনীয়তা আইন সনদ

তারিখ – ০১/০১/২০২০ তারিখে প্রকাশিত

শেষ পরিবর্তন - ১২/০৬/২০২৩ তারিখে

প্রযোজ্যতা:

এই নথিটি ("প্রয়োজনীয়তা") শাইপ ("কোম্পানি") এবং পরিষেবা প্রদানকারী ("বিক্রেতা/ফ্রিল্যান্সার/পরামর্শদাতা") এর মধ্যে যেকোনো মাস্টার সার্ভিসেস চুক্তি, কাজের বিবৃতি, অথবা অন্যান্য চুক্তির ("চুক্তি") একটি অবিচ্ছেদ্য এবং আইনত বাধ্যতামূলক অংশ গঠন করে।

1। সংজ্ঞা

এই প্রয়োজনীয়তাগুলির উদ্দেশ্যে, নিম্নলিখিত পদগুলির অর্থ নীচে বর্ণিত হবে:

  • "প্রযোজ্য তথ্য সুরক্ষা আইন" ব্যক্তিগত তথ্য প্রক্রিয়াকরণের ক্ষেত্রে প্রযোজ্য সমস্ত আন্তর্জাতিক, ফেডারেল, রাজ্য এবং স্থানীয় আইন, নিয়ম এবং প্রবিধানকে বোঝায়, যার মধ্যে রয়েছে কিন্তু সীমাবদ্ধ নয় GDPR, UK GDPR, CCPA/CPRA, HIPAA, PIPEDA, এবং LGPD।
  • "কোম্পানির তথ্য" "কোম্পানি কর্তৃক বা তার পক্ষ থেকে বিক্রেতাকে সরবরাহ করা, অথবা সংগৃহীত, উৎপন্ন, উদ্ভূত, ছদ্মনামযুক্ত, বেনামী (যদি বিপরীতকরণ সম্ভব হয়), অথবা কোম্পানির পক্ষ থেকে বিক্রেতা কর্তৃক প্রক্রিয়াজাত করা, যেকোনো আকার বা মাধ্যমের সকল তথ্য, তথ্য এবং উপকরণকে বোঝায়। এর মধ্যে রয়েছে প্রকল্পের তথ্য এবং যেকোনো ব্যক্তিগত তথ্য।"
  • "তথ্য লঙ্ঘন" "কোম্পানির ডেটা দুর্ঘটনাজনিত বা বেআইনি ধ্বংস, ক্ষতি, পরিবর্তন, অননুমোদিত প্রকাশ, বা অ্যাক্সেসের দিকে পরিচালিত করে এমন কোনও প্রকৃত বা সন্দেহজনক নিরাপত্তা লঙ্ঘন" বোঝায়।
  • "GDPR" এর অর্থ জেনারেল ডেটা প্রোটেকশন রেগুলেশন (EU) 2016/679।
  • "ব্যক্তিগত তথ্য" কোম্পানির ডেটার মধ্যে থাকা কোনও চিহ্নিত বা শনাক্তযোগ্য প্রাকৃতিক ব্যক্তি ("ডেটা বিষয়") সম্পর্কিত যেকোনো তথ্যকে বোঝায়।
  • "সংবেদনশীল ব্যক্তিগত তথ্য" প্রযোজ্য ডেটা সুরক্ষা আইনের অধীনে সংবেদনশীল বলে বিবেচিত যেকোনো শ্রেণীর ডেটা বোঝায়, যার মধ্যে রয়েছে জাতিগত বা জাতিগত উৎপত্তি, রাজনৈতিক মতামত, ধর্মীয় বা দার্শনিক বিশ্বাস, ট্রেড ইউনিয়ন সদস্যপদ, জেনেটিক ডেটা, বায়োমেট্রিক ডেটা, স্বাস্থ্য সম্পর্কিত ডেটা, অথবা একজন স্বাভাবিক ব্যক্তির যৌন জীবন বা যৌন অভিমুখিতা সম্পর্কিত ডেটা।
  • "প্রক্রিয়াকরণ" কোম্পানির ডেটার উপর সম্পাদিত যেকোনো ক্রিয়াকলাপ, যেমন সংগ্রহ, রেকর্ডিং, সংগঠন, সংরক্ষণ, অভিযোজন, পুনরুদ্ধার, ব্যবহার, প্রকাশ, প্রচার, বা ধ্বংস।
  • "প্রকল্পের তথ্য" কোম্পানিকে সরবরাহ করা পরিষেবার অংশ হিসেবে বিক্রেতা কর্তৃক সংগৃহীত বা তৈরি করা নির্দিষ্ট ডেটা (যেমন, ভয়েস, ছবি, টেক্সট) বোঝায়।
  • "সাব-প্রসেসর" কোম্পানির ডেটা প্রক্রিয়াকরণের জন্য বিক্রেতা কর্তৃক নিযুক্ত যেকোনো তৃতীয় পক্ষকে বোঝায়।

২. বিক্রেতার ভূমিকা এবং বাধ্যবাধকতা

২.১ প্রসেসর/সাব-প্রসেসর হিসেবে ভূমিকা। বিক্রেতা স্বীকার করেন যে কোম্পানির ডেটা প্রক্রিয়াকরণের ক্ষেত্রে, এটি কোম্পানির পক্ষে "প্রসেসর" বা "সাব-প্রসেসর" হিসেবে কাজ করে। কোম্পানির ডেটাতে বিক্রেতার কোনও মালিকানা বা স্বাধীন অধিকার নেই।

২.২ নির্দেশের উপর প্রক্রিয়াকরণ। বিক্রেতা কেবলমাত্র কোম্পানির নথিভুক্ত, আইনসম্মত নির্দেশাবলী অনুসারে কোম্পানির ডেটা প্রক্রিয়া করবে, যার মধ্যে চুক্তি এবং প্রাসঙ্গিক কাজের বিবৃতিতে উল্লিখিত নির্দেশাবলী অন্তর্ভুক্ত রয়েছে। বিক্রেতাকে তার নিজস্ব উদ্দেশ্যে বা কোম্পানির দ্বারা স্পষ্টভাবে নির্দেশিত নয় এমন কোনও উদ্দেশ্যে কোম্পানির ডেটা প্রক্রিয়াকরণ থেকে স্পষ্টভাবে নিষিদ্ধ করা হয়েছে। নির্দেশাবলীতে ডেটা ধারণ এবং নিষ্পত্তির প্রয়োজনীয়তা অন্তর্ভুক্ত থাকবে। যদি বিক্রেতা বিশ্বাস করেন যে কোনও নির্দেশ প্রযোজ্য ডেটা সুরক্ষা আইন লঙ্ঘন করে, তাহলে তাকে অবিলম্বে কোম্পানিকে জানাতে হবে।

২.৩ আইন মেনে চলা। বিক্রেতা প্রতিশ্রুতি দেয় এবং প্রতিনিধিত্ব করে যে চুক্তির কার্য সম্পাদনের ক্ষেত্রে এটি সমস্ত প্রযোজ্য ডেটা সুরক্ষা আইন মেনে চলবে এবং যদি কোনও আইন সম্মতিতে বাধা দেয় বা কোম্পানির ডেটা (যেমন, সরকারী অ্যাক্সেস অনুরোধ) প্রকাশের প্রয়োজন হয় তবে তাৎক্ষণিকভাবে কোম্পানিকে অবহিত করবে।

৩. কারিগরি ও সাংগঠনিক নিরাপত্তা ব্যবস্থা

৩.১ নিরাপত্তা মানদণ্ড। যেকোনো ডেটা লঙ্ঘনের বিরুদ্ধে কোম্পানির ডেটা রক্ষা করার জন্য বিক্রেতা যথাযথ প্রযুক্তিগত এবং সাংগঠনিক সুরক্ষা ব্যবস্থা বাস্তবায়ন এবং বজায় রাখবেন। এই ব্যবস্থাগুলি ঝুঁকির স্তর এবং ডেটার প্রকৃতির সাথে সামঞ্জস্যপূর্ণ হবে এবং কমপক্ষে, এতে অন্তর্ভুক্ত থাকবে:

  1. এনক্রিপশন: বিশ্রামে এবং পরিবহনের সময় সমস্ত কোম্পানির ডেটা এনক্রিপশন।
  2. প্রবেশাধিকার নিয়ন্ত্রণ: ন্যূনতম সুযোগ-সুবিধার উপর ভিত্তি করে কঠোর অ্যাক্সেস নিয়ন্ত্রণ, নিশ্চিত করে যে কেবলমাত্র অনুমোদিত কর্মীদেরই কোম্পানির ডেটা অ্যাক্সেস থাকবে।
  3. ডেটা মিনিমাইজেশন: নির্দিষ্ট প্রকল্পের জন্য প্রয়োজনীয় ন্যূনতম পরিমাণ ব্যক্তিগত তথ্য সংগ্রহ এবং প্রক্রিয়াকরণ।
  4. নিরাপদ পরিবেশ: কোম্পানির ডেটা প্রক্রিয়াকরণের জন্য ব্যবহৃত সমস্ত সিস্টেম নিরাপদে কনফিগার, প্যাচ, লগ এবং পর্যবেক্ষণ করা হয়েছে তা নিশ্চিত করা।
  5. নিরাপদে মুছে ফেলা: কোম্পানির নির্দেশে কোম্পানির তথ্য নিরাপদে এবং স্থায়ীভাবে মুছে ফেলার জন্য প্রক্রিয়া বাস্তবায়ন করা, যার মধ্যে ব্যাকআপ থেকে মুছে ফেলাও অন্তর্ভুক্ত।
  6. শারীরিক নিরাপত্তা: কোম্পানির ডেটা যেখানে সংরক্ষণ বা অ্যাক্সেস করা হয় সেই সমস্ত ভৌত অবস্থান এবং ডিভাইসগুলিকে সুরক্ষিত করা।
  7. পরীক্ষা ও পর্যবেক্ষণ: নিয়মিত অনুপ্রবেশ পরীক্ষা, দুর্বলতা মূল্যায়ন এবং ক্রমাগত পর্যবেক্ষণ।
  8. ব্যবসার ধারাবাহিকতা: দুর্ঘটনার প্রতিক্রিয়া, দুর্যোগ পুনরুদ্ধার এবং ব্যবসায়িক ধারাবাহিকতা পরিকল্পনা বজায় রাখা।

৪. সাব-প্রসেসিং

৪.১ পূর্ব সম্মতি প্রয়োজন। কোম্পানির পূর্ব, সুনির্দিষ্ট লিখিত সম্মতি ছাড়া বিক্রেতা কোম্পানির ডেটা প্রক্রিয়াকরণের জন্য কোনও সাব-প্রসেসরকে নিযুক্ত করবেন না।

৪.২ বাধ্যবাধকতার প্রবাহ হ্রাস। যদি সম্মতি মঞ্জুর করা হয়, তাহলে বিক্রেতাকে সাব-প্রসেসরের সাথে একটি লিখিত চুক্তিতে প্রবেশ করতে হবে যা সাব-প্রসেসরের উপর এই প্রয়োজনীয়তাগুলির দ্বারা বিক্রেতার উপর আরোপিত একই বা আরও কঠোর ডেটা সুরক্ষা বাধ্যবাধকতা আরোপ করবে।

৪.৩ সাব-প্রসেসরের তালিকা। বিক্রেতা সাব-প্রসেসরের একটি হালনাগাদ তালিকা বজায় রাখবেন এবং অনুরোধের ভিত্তিতে কোম্পানিকে তা সরবরাহ করবেন। কোম্পানি যেকোনো সময় যেকোনো সাব-প্রসেসরের বিরুদ্ধে আপত্তি জানানোর অধিকার সংরক্ষণ করে।

৪.৪ সম্পূর্ণ দায়বদ্ধতা। সাব-প্রসেসরের বাধ্যবাধকতা পালনের জন্য এবং সাব-প্রসেসরের যেকোনো কাজ বা অবহেলার জন্য বিক্রেতা কোম্পানির কাছে সম্পূর্ণরূপে দায়বদ্ধ থাকবে।

৫. ডেটা লঙ্ঘনের বিজ্ঞপ্তি এবং ব্যবস্থাপনা

৫.১ তাৎক্ষণিক বিজ্ঞপ্তি। বিক্রেতা অযথা বিলম্ব না করে লিখিতভাবে কোম্পানিকে অবহিত করবেন, এবং কোনও অবস্থাতেই কোনও তথ্য লঙ্ঘনের বিষয়ে প্রথমবার সচেতন হওয়ার পর চব্বিশ (২৪) ঘন্টার মধ্যে তা জানাবেন না।

৫.২ লঙ্ঘনের বিবরণ। বিজ্ঞপ্তিতে কমপক্ষে:

  1. তথ্য লঙ্ঘনের প্রকৃতি বর্ণনা করুন, যার মধ্যে বিভাগ এবং সংশ্লিষ্ট তথ্য বিষয় এবং তথ্য রেকর্ডের আনুমানিক সংখ্যা অন্তর্ভুক্ত রয়েছে।
  2. বিক্রেতার তথ্য সুরক্ষা কর্মকর্তা বা অন্যান্য প্রাসঙ্গিক যোগাযোগ বিন্দুর নাম এবং যোগাযোগের বিবরণ প্রদান করুন।
  3. তথ্য লঙ্ঘনের সম্ভাব্য পরিণতি বর্ণনা করো।
  4. ডেটা লঙ্ঘন মোকাবেলা এবং এর প্রভাব কমাতে বিক্রেতা কর্তৃক গৃহীত বা প্রস্তাবিত ব্যবস্থাগুলি বর্ণনা করুন।

৫.৩ চলমান আপডেট। ঘটনাটি সম্পূর্ণরূপে সমাধান না হওয়া পর্যন্ত বিক্রেতা নিয়মিত আপডেট প্রদান করবেন।

৫.৪ সহযোগিতা। যেকোনো তথ্য লঙ্ঘনের তদন্ত, প্রতিকার এবং বিজ্ঞপ্তিতে বিক্রেতা কোম্পানির সাথে সম্পূর্ণ সহযোগিতা করবে। এই প্রয়োজনীয়তা লঙ্ঘনের ফলে যতটুকু তথ্য লঙ্ঘন হয়, বিক্রেতা সেই পরিমাণ তথ্য লঙ্ঘনের সাথে সম্পর্কিত সমস্ত খরচ বহন করবে।

6. আন্তর্জাতিক ডেটা স্থানান্তর

6.1 কোম্পানির পূর্ব লিখিত সম্মতি ছাড়া বিক্রেতা আন্তর্জাতিক সীমান্ত পেরিয়ে কোম্পানির তথ্য স্থানান্তর করবে না। বিক্রেতাকে অবশ্যই সেই সমস্ত দেশ উল্লেখ করতে হবে যেখানে তারা কোম্পানির তথ্য প্রক্রিয়া করবে।

6.2 যেখানে প্রয়োজন, বিক্রেতা স্ট্যান্ডার্ড চুক্তিবদ্ধ ধারা (SCC), বাঁধাই কর্পোরেট নিয়ম (BCR), UK সংযোজন, অথবা বৈধ ডেটা স্থানান্তর নিশ্চিত করার জন্য কোম্পানি কর্তৃক বাধ্যতামূলক অন্য কোনও ব্যবস্থায় প্রবেশ করতে সম্মত হন।

6.3 প্রযোজ্য ক্ষেত্রে বিক্রেতা স্থানীয় ডেটা রেসিডেন্সির প্রয়োজনীয়তা মেনে চলবেন।

৭. নিরীক্ষা এবং পরিদর্শন

কোম্পানি, অথবা তার মনোনীত তৃতীয় পক্ষের নিরীক্ষকের, এই প্রয়োজনীয়তাগুলির সাথে বিক্রেতার সম্মতি যাচাই করার জন্য, নিজস্ব খরচে নিরীক্ষা পরিচালনা করার অধিকার থাকবে। বিক্রেতা সমস্ত প্রয়োজনীয় তথ্য, ডকুমেন্টেশন এবং সুযোগ-সুবিধা এবং কর্মীদের অ্যাক্সেস সরবরাহ করবে।

বিক্রেতাকে নিয়মিত তৃতীয় পক্ষের সার্টিফিকেশন (যেমন, ISO 27001, SOC 2) এবং/অথবা স্ব-মূল্যায়ন করতে হবে এবং পারস্পরিক সম্মত সময়সীমার মধ্যে নিরীক্ষা বা মূল্যায়নে চিহ্নিত যেকোনো ত্রুটি তাৎক্ষণিকভাবে সংশোধন করতে হবে।

৮. ডেটা সাবজেক্ট রাইটস অ্যাসিস্ট্যান্স

বিক্রেতা তাৎক্ষণিকভাবে, এবং কোনও অবস্থাতেই আটচল্লিশ (৪৮) ঘন্টার মধ্যে, কোনও ডেটা সাবজেক্টের কাছ থেকে তাদের অধিকার প্রয়োগের জন্য প্রাপ্ত যেকোনো অনুরোধের বিষয়ে কোম্পানিকে অবহিত করবেন (যেমন, অ্যাক্সেস, সংশোধন, মুছে ফেলা, বহনযোগ্যতা)। কোম্পানির নির্দেশ না থাকলে বিক্রেতা সরাসরি এই ধরনের অনুরোধের জবাব দেবেন না এবং কোম্পানির প্রতিক্রিয়া সক্ষম করার জন্য প্রয়োজনীয় সকল সহায়তা প্রদান করবেন।

৯. ডেটা রিটার্ন এবং ডিলিটেশন

চুক্তির সমাপ্তির পর অথবা কোম্পানির অনুরোধে, বিক্রেতা, কোম্পানির পছন্দ অনুসারে, ত্রিশ (30) দিনের মধ্যে সমস্ত কোম্পানির ডেটা নিরাপদে মুছে ফেলবেন বা ফেরত দেবেন। বিক্রেতা ব্যাকআপ থেকে মুছে ফেলা নিশ্চিত করবেন এবং এই ধরনের মুছে ফেলার লিখিত শংসাপত্র প্রদান করবেন।

১০. তথ্যের বিশেষ বিভাগ

১০.১ স্বাস্থ্যসেবা তথ্য (HIPAA): যদি বিক্রেতা কোনও সুরক্ষিত স্বাস্থ্য তথ্য (PHI) প্রক্রিয়া করে, তাহলে বিক্রেতা স্বীকার করে যে এটি HIPAA-এর অধীনে একজন "ব্যবসায়িক সহযোগী" (অথবা একজন ব্যবসায়িক সহযোগীর উপ-ঠিকাদার)। বিক্রেতাকে HIPAA-এর প্রয়োজনীয়তা মেনে চলতে হবে এবং কোম্পানির ব্যবসায়িক সহযোগী চুক্তি (BAA) কার্যকর করতে হবে।

১০.২ অন্যান্য সংবেদনশীল তথ্য: সংবেদনশীল ব্যক্তিগত তথ্য (বায়োমেট্রিক তথ্য বা শিশুদের তথ্য সহ) সম্পৃক্ত প্রকল্পগুলির জন্য, বিক্রেতাকে কোম্পানির অনুমোদন নিতে হবে এবং কোম্পানি কর্তৃক নির্দিষ্ট উচ্চতর নিরাপত্তা এবং পরিচালনা প্রোটোকল মেনে চলতে হবে।

১১. ক্ষতিপূরণ এবং দায়বদ্ধতা

বিক্রেতা, তার কর্মচারী, বা তার সাব-প্রসেসরদের দ্বারা এই প্রয়োজনীয়তাগুলির যেকোনও লঙ্ঘনের ফলে উদ্ভূত বা সম্পর্কিত যেকোনও এবং সমস্ত দাবি, দায়, ক্ষতি, ক্ষতি, জরিমানা, জরিমানা এবং ব্যয় (যুক্তিসঙ্গত আইনজীবীর ফি সহ) থেকে কোম্পানি, তার সহযোগী, কর্মকর্তা এবং ক্লায়েন্টদের রক্ষা করতে, ক্ষতিপূরণ দিতে এবং ক্ষতিহীন রাখতে সম্মত হচ্ছেন।

তথ্য লঙ্ঘন, নিয়ন্ত্রক জরিমানা, ইচ্ছাকৃত অসদাচরণ, বা জালিয়াতির সাথে জড়িত লঙ্ঘনের জন্য দায়বদ্ধতা সীমাবদ্ধ থাকবে না।

12। সাধারণ বিধান

১২.১ প্রাধান্য। চুক্তির শর্তাবলী এবং এই প্রয়োজনীয়তাগুলির মধ্যে কোনও বিরোধ দেখা দিলে, ডেটা সুরক্ষার ক্ষেত্রে এই প্রয়োজনীয়তাগুলি প্রাধান্য পাবে।

১২.২ পরিবর্তন। এই প্রয়োজনীয়তাগুলি কেবলমাত্র উভয় পক্ষের অনুমোদিত প্রতিনিধিদের দ্বারা স্বাক্ষরিত একটি লিখিত সংশোধনীর মাধ্যমে সংশোধন করা যেতে পারে।

১২.৩ বেঁচে থাকা। গোপনীয়তা, তথ্য মুছে ফেলা, দায়বদ্ধতা এবং নিরীক্ষা অধিকার সম্পর্কিত বাধ্যবাধকতা চুক্তির সমাপ্তি পর্যন্ত থাকবে।

১২.৪ পরিচালনা আইন। এই প্রয়োজনীয়তাগুলি চুক্তিতে বর্ণিত নিয়ন্ত্রক আইন অনুসারে নিয়ন্ত্রিত এবং ব্যাখ্যা করা হবে।