Andmetöötluse lisa

1. Sissejuhatus

ULTEH on pühendunud tagama klientide andmete privaatsuse, turvalisuse ja vastavuse. Käesolev andmetöötluse lisaleping (DPA) kirjeldab tingimusi, mis reguleerivad, kuidas me töötleme, säilitame ja kaitseme isikuandmeid kooskõlas kohaldatavate andmekaitseseaduste ja -määrustega. See DPA on meie peamise kliendilepingu laiendus ja kehtib, kui ULTEH Töötleb isikuandmeid Kliendi nimel andmetöötlejana. See määratleb mõlema poole jaoks selged vastutusalad andmetöötluse osas ning tagab vastavuse asjakohastele privaatsusseadustele. Kasutades ULTEH, Kliendid kinnitavad ja nõustuvad selles DPA‑s sätestatud tingimustega. Kui teil on vastavuse eesmärgil vaja selle lepingu allkirjastatud koopiat, palun võtke meiega ühendust.

2. Definitsioonid

Partner Viitab igale üksusele, mis otseselt või kaudselt kontrollib, mida kontrollitakse või mis on ühe osapoolega ühise kontrolli all. 'Kontroll' tähendab otsest või kaudset vähemalt 50% häältega aktsiate, omakapitali osaluse või sarnaste õiguste omamist üksuses, mis annab võime mõjutada selle juhtimist ja poliitikaid. Sidusettevõtteid loetakse kohustatud täitma selles DPA-s sätestatud kohustusi ja vastutusi selles ulatuses, kui nad osalevad isikuandmete töötlemises.

Volitatud alltöötlija tähendab iga kolmanda osapoole tarnijat, teenusepakkujat või alltöövõtjat, keda Teenusepakkuja kaasab Kliendi isikuandmete töötlemiseks üksnes Teenusepakkuja nimel ja tema juhiste kohaselt. Volitatud alamtöötlejad aitavad täita kohustusi käesoleva DPA ja peamise lepingu raames. Kõik alamtöötlejad peavad järgima samu andmekaitsekohustusi, tagades turvalisuse, konfidentsiaalsuse ja regulatiivse vastavuse.

Kontoandmed viitab kogu äriga seotud teabele, mida Teenusepakkuja kogub, talletab ja töötleb seoses oma lepingulise suhtega Kliendiga. See hõlmab, kuid ei piirdu, nimed, e-posti aadressid, telefoninumbrid, makseandmed ja ligipääsu volitused isikute kohta, keda Klient on volitanud oma kontot Teenusepakkuja platvormil haldama ja kasutama. Kontoandmeid kasutatakse rangelt halduslikel, arvestus- ja tugiteenuste eesmärkidel.

Andmekaitse seadused hõlmavad kõiki kohaldatavaid seadusi, määrusi ja raamistikke, mis reguleerivad isikuandmete kogumist, töötlemist, säilitamist, edastamist ja kaitset. Siia kuuluvad, kuid ei piirdu, Euroopa Liidu isikuandmete kaitse üldmäärus (GDPR), Ühendkuningriigis kohaldatav UK GDPR, California Consumer Privacy Act (CCPA) ning kõik muud riiklikud või rahvusvahelised privaatsusseadused, mis on seotud andmetöötlustegevustega vastavalt käesolevale lepingule. Nende seaduste järgimine tagab, et isikuandmeid käsitletakse õiguspäraselt, läbipaistvalt ja turvaliselt.

Isikuandmed viitab mis tahes teabele, mis puudutab identifitseeritud või identifitseeritavat füüsilist isikut ('andmesubjekt'). Identifitseeritav isik on isik, keda saab otseselt või kaudselt tuvastada, eriti viidates identifikaatoritele nagu nimi, e‑posti aadress, telefoninumber, asukohateave, veebipõhine identifikaator (näiteks IP‑aadress või küpsised) või muud unikaalsed tegurid, mis määratlevad tema identiteedi. Isikuandmed ei hõlma anonüümsetatud ega agregaatset teavet, mida ei saa kasutada isiku tuvastamiseks.

Töötlemine käib tähendab mis tahes toimingut või toimingute kogumit, mida teostatakse isikuandmete suhtes, kas automatiseeritult või käsitsi. See hõlmab, kuid ei piirdu, isikuandmete kogumise, salvestamise, korraldamise, struktureerimise, säilitamise, kohandamise, muutmise, päringu tegemise, juurdepääsu, kasutamise, avalikustamise, edastamise, piiramise, kustutamise või hävitamisega. Töötlemine toimub vastavalt Kliendi juhistele ja kohaldatavatele andmekaitseseadustele.

Turvameetmed Viitab tehnilistele ja organisatsioonilistele kaitsemeetmetele, mis on rakendatud isikuandmete konfidentsiaalsuse, terviklikkuse ja kättesaadavuse tagamiseks. Need meetmed hõlmavad krüpteerimist, juurdepääsukontrolle, tulemüüre, andmete maskimist, pseudonümiseerimist, regulaarseid turvaauditeid ja rikkumistest teatamise mehhanisme. Turvameetmed on mõeldud takistama volitamata juurdepääsu, juhuslikku kadumist või isikuandmete ebaseaduslikku töötlemist.

Järelevalveasutus viitab sõltumatule avalikule asutusele, mis vastutab andmekaitse seaduste järgimise jälgimise ja jõustamise eest. Näited on **European Data Protection Board (EDPB)** GDPR-iga seotud küsimustes, **UK Information Commissioner's Office (ICO)** Ühendkuningriigi GDPR-i puhul ning **California Privacy Protection Agency (CPPA)** CCPA jõustamiseks. Järelevalveasutusel on seaduslik õigus uurida kaebusi, välja anda juhiseid ja määrata rikkumiste eest karistusi.

Andmesubjekti õigused viitavad õigustele, mis on isikutele antud kohaldatavate andmekaitseseaduste alusel. Nendeks õigusteks võib olla juurdepääsu, parandamise, kustutamise, töötlemise piiramise või isikuandmete ülekandmise õigus, samuti õigus vastustada töötlemist ja esitada kaebusi järelevalveasutusele. Teenusepakkuja abistab Kliente nende õiguste kasutamise hõlbustamisel, kui see on kohaldatav.

3. Andmete töötlemine

Klient võib toimida kas ühe või teise rollis Andmekorraldaja või üks Andmetöötleja, sõltuvalt selle suhtest andmesubjektiga ja eesmärkidest, milleks isikuandmeid töödeldakse. Kõigil juhtudel, ULTEH toimib kui Andmetöötleja, isikandmete töötlemine Kliendi nimel ja vastavalt Kliendi juhistele.

Klient vastutab selle eest, et kõik meie teenuste kasutamisel teostatavad andmetöötlustegevused vastaksid Kohaldatavad andmekaitse seadused, sealhulgas, kuid mitte piiratud Isikuandmete üldmäärus (GDPR), UK GDPR, California Consumer Privacy Act (CCPA) ja muud kohaldatavad privaatsusmäärused. Klient tunnistab, et tal on õiguslik alus isikuandmete töötlemiseks ning hüvitab meile kõik nõuded, kohustused või kahjud, mis tulenevad nende õiguslike nõuete mittetäitmisest.

Me töötleme isikuandmeid. ainult vastavalt kliendi kirjalikele juhistele ja ainult selles ulatuses, kui see on vajalik teenuste osutamiseks, kui seadus ei nõua teisiti. Me ei kasuta, avalikusta ega jaga isikuandmeid muudel eesmärkidel kui need, mille klient on volitanud või mis on selles lepingus selgesõnaliselt sätestatud.

saabumisel lepingu lõpetamine või kliendi soovil, me, kliendi äranägemisel, kas: (a) Kustuta turvaliselt kõik isikuandmed, mida töödeldakse käesoleva lepinguga, tagades, et koopiad ei jääks, välja arvatud juhul, kui seda nõuab seadus, või (b) Tagastada isikuandmed Kliendile struktureeritud, laialdaselt kasutatavas ja masinloetavas vormingus enne kustutamist. Klient peab esitama sellised taotlused mõistlikul ajal enne lõpetamist.

Kui me oleme seaduslikult kohustatud säilitama isikuandmeid ka lepingu lõpetamise järel, teavitame klienti (kui seadus seda meile ei keela) ja tagame, et sellised andmed jäävad andmekaitseseadustele vastavalt kaitstuks.

4. Turvalisus ja konfidentsiaalsus

ULTEH on pühendunud turvalisuse ja konfidentsiaalsuse kaitsmisele Isikuandmed töödeldud kellegi nimel Klient. Andmete terviklikkuse ja turvalisuse tagamiseks rakendame ja hooldame sektori juhtivad turvameetmed Mõeldud selleks, et takistada volitamata juurdepääsu, avalikustamist, muutmist või isikuandmete hävitamist.

Need Turvameetmed hõlmavad, kuid ei piirdu:

• Andmete krüpteerimine: Isikuandmed krüpteeritakse nii edastamise ajal kui ka puhkeolekus, kasutades tööstuse standarditele vastavaid krüpteerimisprotokolle, et kaitsta neid volitamata juurdepääsu eest.
• Juurdepääsu juhtimine: Range juurdepääsu halduspoliitika tagab, et ainult volitatud töötajad pääsevad isikuandmetele ligi vastavalt vähima privileegi põhimõttele.
• Võrgu- ja süsteemiturve: Tulemüürid, sissetungi tuvastamise süsteemid ja pidev järelevalve aitavad vältida volitamata juurdepääsu ja küberohte.
• Andmete anonüümsustamine ja pseudonüümimine: Vajaduse korral võidakse isikuandmeid anonümiseerida või pseudonüümida, et vähendada andmete avalikustamisega seotud riske.
• Regulaarsed turvaauditid: Viime läbi perioodilisi turvaanalüüse, haavatavuste testimist ja vastavuse kontrolle, et tuvastada ja vähendada riske.
• Intsidenti reageerimise plaan: Struktureeritud intsidentidele reageerimise protokoll tagab, et iga turvarikkumine tuvastatakse, leevendatakse ja teatatakse viivitamatult vastavalt kohaldatavatele isikuandmete kaitse seadustele.

Iga isik, sealhulgas töötajad, alltöövõtjad ja volitatud teenusepakkujad, kes töötlevad meie nimel isikuandmeid, on seotud rangad konfidentsiaalsuskohustused. See hõlmab juriidiliselt jõustatavate dokumentide allkirjastamist salastatuse lepingud (NDA) ja järgides sisemisi andmekäitluse poliitikaid, et tagada vastavus andmete privaatsuse ja turvalisuse standarditele.

Teavitame Klienti viivitamatult kõikidest kinnitatud turvarikkumistest, mis võivad põhjustada isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise, loata avalikustamise või juurdepääsu. Sellised teavitused sisaldavad teavet intsidendi üksikasjade, võimalikku mõju ja riskide vähendamiseks võetud parandusmeetmete kohta.

Me vaatame pidevalt üle ja uuendame oma turvameetmeid vastavalt arenevad tööstusharu standardid ja regulatiivsed nõuded kliendiandmete pideva kaitse tagamiseks.

5. Alamtöötlejad

ULTEH võib suhelda kolmandate osapoolte alaprotsessorid et aidata teenuste osutamisel ja hooldamisel. Need alamtöötlejad täidavad spetsiifilisi funktsioone nagu andmete salvestamine, infrastruktuuri majutamine, analüütika või klienditugi. Tagame, et kõik kaasatud alamtöötlejad järgivad rangete andmekaitse kohustused samaväärsed nendega, mis on kirjeldatud selles DPA-s.

Hoidame ajakohast nimekirja alaltöötluspartneritest, sealhulgas nende rollid ja andmetöötluse asukohad. Kliendid võivad igal ajal taotleda teavet praeguste alaltöötluspartnerite kohta, võttes meiega ühendust.

Kliendi õigused ja vastuväited:

• Teavitame kliente mis tahes **uute alamprotsessorite kaasamistest** vähemalt 10 päeva ette.
• Kliendid võivad selle 10‑päevase perioodi jooksul esitada kirjaliku vastuväite uue allprotsessori kasutamisele, kui neil on õigustatud andmekaitsealased mured.
• Saadud vastuväite korral alustame heatahtlikke arutelusid, et käsitleda muresid; see võib hõlmata alternatiivsete lahenduste leidmist.
• Kui vastastikku vastuvõetavat lahendust ei saavutata, võib Kliendil olla õigus **lõpetada mõjutatud Teenused** vastavalt Lepingule.

Me jääme täielikult vastutav ja juriidiliselt vastutav meie alltöötlejate tegevuste eest ja tagada, et nad järgiksid:

• Andmekaitse seadused, sealhulgas GDPR, CCPA ja muud kohaldatavad eeskirjad.
• Konfidentsiaalsuslepingud isikuandmete kaitsmiseks
• Tööstusstandarditele vastavad turvameetmed et vältida volitamata juurdepääsu või andmete väärkasutust.

Jätame endale õiguse vajadusel **uuendada või asendada** oma allprotsessoreid, võttes nõuetekohaselt arvesse klientide muresid ja käimasolevaid vastavuskohustusi.

6. Isikuandmete edastamine

ULTEH võib üle kanda Isikuandmed väljas Euroopa majanduspiirkond (EMP), Ühendkuningriik (ÜK) või Šveits teenuste osutamise hõlbustamiseks. Kui sellised ülekanded toimuvad, tagame, et on olemas asjakohased turvameetmed. õiguslikud tagatised On kehtestatud meetmed edastatud andmete kaitsmiseks vastavalt kohaldatavatele andmekaitse seadustele.

Me tugineme tunnustatud andmeedastuse mehhanismidele, sealhulgas, kuid mitte ainult:

• Standardlepinguklauslid (SCCs): Me kasutame Euroopa Komisjoni või teiste pädevate asutuste heakskiidetud standardseid lepinguklausleid, et tagada andmete seaduslik edastamine.
• Täiendavad meetmed: Vajaduse korral rakendame täiendavaid tehnilisi, organisatsioonilisi ja lepingulisi kaitsemeetmeid andmekaitse tugevdamiseks.
• Kohustuslikud ettevõtte reeglid (BCRs): Kui kohaldatav, järgivad meie sidusettevõtted siduvaid ettevõtte reegleid (BCR), tagades kõrge andmekaitsestandardite taseme oma rahvusvahelises tegevuses.
• Muud heakskiidetud ülekandemehhanismid: Täidame kõiki täiendavaid raamistikke, sertifikaate või õiguslikke instrumente, mida tunnustatakse seaduslikeks riigipiirideülesteks andmeedastusteks.

Kliendi õigused ja tugi: Oleme pühendunud kliendi abistamisele tagamaks vastavuse andmesubjektide õigused kohaldatavate isikuandmete kaitse seaduste alusel. See hõlmab, kuid ei piirdu:

• Juurdepääsu taotlused: Tagada andmesubjektidele juurdepääs nende isikuandmetele.
• Parandustaotlused: Võimaldab parandada ebatäpseid või puudulikke andmeid.
• Kustutamissoovid („õigus olla unustatud”): Abi isikuandmete kustutamisel taotluse alusel, kui seda lubab seadus.
• Vastuväide ja töötlemise piiramine: Toetus andmesubjektidele nende õiguste teostamisel, et esitada vastuväide või piirata andmetöötlustegevusi.
• Andmete teisaldatavus: Isikuandmete edastamise hõlbustamine teisele andmete vastutajale, kui see on asjakohane.

Me jälgime pidevalt ülemaailmseid andmekaitse eeskirju, et tagada vastavus piiriüleste andmeedastuste nõuetele, ning teavitame klienti, kui õigusruumi muudatused mõjutavad meie andmetöötluskohustusi.

7. Andmesubjekti õigused

ULTEH Tunnustab ja austab kohaldatavate **andmekaitse seaduste** alusel **andmesubjektide** õigusi. Aitame **Kliendil**, kui andmekorraldajal, vastata isikute päringutele seoses nende **isikuandmetega**.

Andmesubjektid võivad kasutada järgmisi õigusi:

• Õigus juurdepääsule: Võimalus taotleda ja saada kinnitust, kas nende andmeid töödeldakse, ning juurdepääs nendele andmetele.
• Õigus andmete parandamisele: Õigus parandada või värskendada ebatäpseid või puudulikke isikuandmeid.
• Õigus kustutamiseks ('õigus olla unustatud'): Õigus nõuda isikuandmete kustutamist, arvestades seadusest ja lepingust tulenevaid kohustusi.
• Õigus piirata andmete töötlemist: Võimalus piirata isikuandmete töötlemist teatavatel tingimustel.
• Õigus andmete ülekantavusele: Võimalus hankida ja üle kanda isikuandmeid teisele teenusepakkujale, kui see on tehniliselt teostatav.
• Õigus esitada vastuväide: Õigus esitada vastuväide töötlemisele, mis põhineb õigustatud huvidel, otsesel turustamisel või automatiseeritud otsuste tegemisel.
• Õigus oma nõusoleku tagasi võtta: Kui andmete töötlemine põhineb nõusolekul, võib andmesubjekt oma nõusoleku igal ajal tagasi võtta.

Kliendi kohustused: Klient, kes tegutseb andmetöötlejana, vastutab andmesubjektide taotluste käsitlemise eest. Soovi korral osutame mõistlikku abi, tagades, et vastused töödeldakse viivitamatult ja kohaldatavate seadustega kooskõlas.

Me ei vasta andmesubjekti päringule otse, välja arvatud juhul, kui seda nõuab seadus või kui klient on meid selleks selgesõnaliselt volitanud.

8. Teade andmelekkest

ULTEH võtab turvalisust tõsiselt ja rakendab ennetavaid meetmeid isikuandmete kaitseks. Kui siiski peaks toimuma isikuandmete rikkumine, tegutseme kiiresti ja läbipaistvalt.

Andmeleke reageerimise plaan: Kui saame teada kinnitatud isikuandmete rikkumisest, mis võib põhjustada isikuandmete loata juurde pääsu, kadumist, muutmist või avalikustamist, rakendame asjakohaseid meetmeid.:

• Hinnake rikkumise mõju ja võtke viivitamatult meetmed riskide leevendamiseks.
• Teatage kliendile ilma põhjendamata viivituseta (tavaliselt 48 tunni jooksul pärast kinnitust).
• Esitage üksikasjad, sealhulgas::
  • Rikkumise olemus ja ulatus.
  • Mõjutatud andmete tüüp
  • Võimalikud tagajärjed.
  • Rikkumise lahendamiseks võetud või ettepanekuna esitatud meetmed.
• Aidata Kliendil täita kõiki regulatiivseid kohustusi, sealhulgas, kui vaja, teavitusi asutustele ja mõjutatud andmesubjektidele.
• Rakendage parandusmeetmeid, et vältida tulevasi rikkumisi.

Kliendi kohustused: Kliendi vastutus on määrata, kas kohaldatava andmekaitseõiguse alusel tuleb teavitada järelevalveasutusi ja andmesubjekte.

Me dokumenteerime kõik rikkumised ja hoiame kirjeid meie uurimiste, leevendusmeetmete ja parandustegevuste kohta.

9. Andmete säilitamine ja kustutamine

ULTEH hoiab **isikuandmeid ainult nii kaua, kui see on vajalik**, et täita käesolevast Lepingust tulenevaid kohustusi või kui seda nõuavad kohaldatavad seadused.

Andmete säilitamise poliitika:

• Järgime andmete minimeerimise põhimõtteid ja tagame, et andmeid säilitatakse ainult õigustatud ärivajaduste ja nõuetele vastavuse huvides.
• Andmed kustutatakse või anonümiseeritakse, kui neid töötlemise eesmärgil enam ei vajata.
• Säilitamisajad võivad erineda sõltuvalt õiguslikest, lepingulistest või regulatiivsetest nõuetest.

Kliendi kontrollitud andmete kustutamine:

• Kliendid võivad igal ajal taotleda **isikuandmete kustutamist**.
• Teenuse lõpetamisel kustutame või tagastame isikuandmed vastavalt kliendi juhistele.
• Kui kustutussoovitust ei esita, kustutame isikuandmed **automaatselt** mõistliku aja jooksul, välja arvatud juhul, kui seadus nõuab nende säilitamist.

Erandid andmete kustutamisel: Teatud juhtudel võime **säilitada isikuandmeid** väljaspool kokkulepitud säilitustähtaega, sealhulgas:

• Et täita **õiguslikke kohustusi** (nt maksude, auditi või regulatiivseid nõudeid).
• Seoses **õigustatud huvidega**, näiteks pettuste tõkestamiseks või turvauurimiste läbiviimiseks.
• Kui seda nõuab siduv õiguslik taotlus (nt kohtu korraldus).

Tagame, et järgitakse **turvalise kustutamise protseduure**, et vältida isikuandmete volitamata taastamist või kuritarvitamist.

10. Rakendatav õigus ja vaidluste lahendamine

Käesolevat andmetöötluse lisalepingut (DPA) juhitakse ja tõlgendatakse kooskõlas samade **seaduste ja jurisdiktsiooniga**, mis on määratletud põhilepingus poolte vahel ULTEH ja klient.

Vaidluste lahendamise protsess: Kui selle DPA suhtes tekib vaidlus, nõustuvad mõlemad pooled järgima struktureeritud lahendamisprotsessi, sealhulgas::

• Heauskne läbirääkimine: Pooled püüavad esmalt vaidlusi lahendada otseste arutelude ja läbirääkimiste teel.
• Vahendus või vahekohtumenetlus: Kui läbirääkimised ebaõnnestuvad, võidakse vaidlus suunata vahendus- või vahekohtumenetlusse vastavalt põhilepingule.
• Õiguslikud menetlused: Kui lahendust ei saavutata, võidakse vaidlused lahendada ametliku kohtumenetluse kaudu kohaldatavas jurisdiktsioonis.

Kui see DPA on vastuolus põhilepinguga, kehtivad andmekaitse küsimustes ainuüksi selle DPA sätted, tagades vastavuse kohaldatavatele õigusaktidele. Andmekaitse seadused.

11. Lõppsätted

Käesolev andmetöötluse lisaleping moodustab lahutamatu osa üldkokkuleppest osapoolte vahel ULTEH ja Klient. Jätkates teenuste kasutamist, klient kinnitab ja aktsepteerib selle DPA tingimusi.

Kui mõni selle DPA sättest tunnistatakse kehtetuks või täitmatuks, jäävad ülejäänud sätted täiel määral kehtima. Osapooled nõustuvad asendama iga täitmatuks osutunud sätte sättega, mis võimalikult täpselt kajastab algset eesmärki ning on samal ajal kooskõlas kohaldatavate seadustega.

Muudatused ja värskendused: Jätame endale õiguse seda DPA-d muuta või värskendada, et kajastada muudatusi kohaldatavates andmekaitseõigustes, tööstusharu tavades või operatiivsetes vajadustes. Kliendid teavitatakse kõigist olulistest muudatustest ning teenuste jätkuv kasutamine tähendab värskendatud tingimuste aktsepteerimist.

Kontaktandmed: Kõigi küsimuste ja murede korral või kui soovite taotleda selle DPA allkirjastatud koopiat, saavad kliendid meiega ühendust võtta aadressil:: [email protected].