Andmetöötluse lisa

1. Sissejuhatus

ULTEH on pühendunud klientide andmete privaatsuse, turvalisuse ja nõuetele vastavuse tagamisele. See andmetöötluse lisa (DPA) kirjeldab tingimusi, mis reguleerivad isikuandmete töötlemist, säilitamist ja kaitsmist vastavalt kohaldatavatele andmekaitse seadustele ja määrustele. See DPA on meie põhilepingu laiendus klientidega ja rakendub, kui ULTEH töötleb isikuandmeid kliendi nimel andmetöötlejana. See kehtestab selged kohustused mõlemale poolele seoses andmete käitlemisega, tagades vastavuse asjakohaste privaatsusseadustega. Kasutades ULTEH, tunnustavad ja nõustuvad kliendid käesolevas DPA-s sätestatud tingimustega. Kui vajate vastavusnõuete täitmiseks selle lepingu allkirjastatud koopiat, võtke meiega ühendust.

2. Mõisted

Sidusettevõte viitab mis tahes üksusele, mis otseselt või kaudselt kontrollib, on kontrollitav või on ühise kontrolli all poolega. "Kontroll" tähendab otsest või kaudset omamist vähemalt 50% hääleõiguslikest aktsiatest, osalustest või sarnastest õigustest üksuses, andes võimaluse mõjutada selle juhtimist ja poliitikat. Sidusettevõtteid peetakse seotuks käesolevas DPA-s sätestatud kohustuste ja vastutustega sellises ulatuses, kui nad osalevad isikuandmete töötlemisel.

Volitatud alamtöötleja tähendab mis tahes kolmanda osapoole müüjat, teenusepakkujat või töövõtjat, kelle on kaasanud Teenusepakkuja Kliendi isikuandmete töötlemiseks rangelt Teenusepakkuja nimel ja juhiste alusel. Volitatud alamtöötlejad aitavad täita käesoleva DPA ja põhilepingu järgseid kohustusi. Kõik alamtöötlejad peavad järgima samu andmekaitsekohustusi, tagades turvalisuse, konfidentsiaalsuse ja regulatiivse vastavuse.

Kontokandmed viitab kogu äriteabele, mida kogub, säilitab ja töötleb Teenusepakkuja seoses oma lepingulise suhtega Kliendiga. See hõlmab, kuid ei piirdu nimede, e-posti aadresside, telefoninumbrite, makseandmete ja juurdepääsuvolitustega isikutele, keda Klient on volitanud oma kontot Teenusepakkuja platvormil haldama ja käitama. Kontokandmeid kasutatakse rangelt administratiivsetel, arveldamis- ja tugieesmärkidel.

Andmekaitse seadused hõlmavad kõiki kohaldatavaid seadusi, määrusi ja raamistikke, mis reguleerivad isikuandmete kogumist, töötlemist, säilitamist, edastamist ja kaitset. See hõlmab, kuid ei piirdu Euroopa Liidu isikuandmete kaitse üldmäärusega (GDPR), Ühendkuningriigi GDPR-iga, California tarbijate privaatsusseadusega (CCPA) ja muude riiklike või rahvusvaheliste privaatsusseadustega, mis on asjakohased käesoleva lepingu kohaste andmetöötlustegevuste jaoks. Vastavus nendele seadustele tagab, et isikuandmeid käideldakse seaduslikult, läbipaistvalt ja turvaliselt.

Isikuandmed viitab teabele, mis on seotud tuvastatud või tuvastatava füüsilise isikuga ("andmesubjekt"). Tuvastatav isik on see, keda saab otseselt või kaudselt tuvastada, eriti viidates identifikaatoritele nagu nimi, e-posti aadress, telefoninumber, asukohaandmed, veebipõhine identifikaator (nagu IP-aadress või küpsised) või muud unikaalsed tegurid, mis määratlevad nende identiteedi. Isikuandmed välistavad anonüümsed või koondandmed, mida ei saa kasutada isiku tuvastamiseks.

Töötlemine tähendab mis tahes toimingut või toimingute kogumit, mida teostatakse isikuandmetega, olgu see automatiseeritult või käsitsi. See hõlmab, kuid ei piirdu andmete kogumise, salvestamise, organiseerimise, struktureerimise, säilitamise, kohandamise, muutmise, otsimise, konsulteerimise, kasutamise, avalikustamise, edastamise, piiramise, kustutamise või hävitamisega. Töötlemine toimub vastavalt Kliendi juhistele ja kohaldatavatele andmekaitse seadustele.

Turvameetmed viitavad tehnilistele ja organisatsioonilistele kaitsemeetmetele, mis on rakendatud isikuandmete konfidentsiaalsuse, terviklikkuse ja kättesaadavuse tagamiseks. Need meetmed hõlmavad krüpteerimist, juurdepääsukontrolle, tulemüüre, andmete maskeerimist, pseudonümiseerimist, regulaarseid turvaauditeid ja rikkumistest teatamise mehhanisme. Turvameetmed on disainitud vältimaks autoriseerimata juurdepääsu, juhuslikku kadumist või isikuandmete ebaseaduslikku töötlemist.

Järelevalveasutus viitab sõltumatule avalikule asutusele, mis vastutab andmekaitse seaduste järgimise jälgimise ja jõustamise eest. Näideteks on Euroopa Andmekaitsenõukogu (EDPB) GDPR-iga seotud küsimustes, Ühendkuningriigi Infovoliniku Büroo (ICO) Ühendkuningriigi GDPR-i jaoks ja California Privaatsuskaitse Agentuur (CPPA) CCPA jõustamiseks. Järelevalveasutusel on seaduslik õigus uurida kaebusi, anda juhiseid ja kehtestada karistusi mittevastavuse eest.

Andmesubjekti õigused viitavad õigustele, mis on antud isikutele kohaldatavate andmekaitse seaduste alusel. Need õigused võivad hõlmata õigust oma isikuandmetele juurde pääseda, neid parandada, kustutada, piirata või edastada, samuti õigust töötlemisele vastu seista ja esitada kaebusi järelevalveasutusele. Teenusepakkuja abistab Kliente nende õiguste kasutamise hõlbustamisel, kui see on asjakohane.

3. Andmete töötlemine

Klient võib tegutseda kas vastutava töötlejana või volitatud töötlejana, sõltuvalt tema suhtest andmesubjektiga ja eesmärkidest, milleks isikuandmeid töödeldakse. Kõigil juhtudel tegutseb ULTEH kui volitatud töötleja, töödeldes isikuandmeid Kliendi nimel ja juhiste kohaselt.

Klient vastutab selle eest, et kõik andmetöötlustegevused, mida teostatakse meie teenuste kasutamisel, vastaksid kohaldatavatele andmekaitse seadustele, sealhulgas, kuid mitte ainult isikuandmete kaitse üldmäärusele (GDPR), Ühendkuningriigi GDPR-ile, California tarbijate privaatsusseadusele (CCPA) ja muudele kohaldatavatele privaatsusmäärustele. Klient tunnistab, et tal on seaduslik alus isikuandmete töötlemiseks ja hüvitab meile nõuded, kohustused või kahjud, mis tulenevad nende õiguslike nõuete mittetäitmisest.

Me töötleme isikuandmeid ainult vastavalt Kliendi kirjalikele juhistele ja ainult nii, nagu on vajalik Teenuste osutamiseks, kui seadus ei nõua teisiti. Me ei kasuta, ei avalikusta ega jaga isikuandmeid mis tahes muul eesmärgil kui need, mida on Klient volitanud või mis on selgesõnaliselt kirjeldatud käesolevas lepingus.

Lepingu lõppemisel või Kliendi taotlusel lõppemisel või Kliendi taotlusel, me Kliendi valikul kas: (a) kustutame turvaliselt kõik isikuandmed, mida on käesoleva lepingu alusel töödeldud, tagades, et koopiaid ei jää alles, välja arvatud juhul, kui seadus nõuab nende säilitamist, või (b) tagastame isikuandmed Kliendile struktureeritud, üldkasutatavas ja masinloetavas vormingus enne kustutamist. Klient peab sellised taotlused esitama mõistliku aja jooksul enne lõpetamist.

Kui me oleme seaduslikult kohustatud säilitama isikuandmeid pärast lõpetamist, teavitame Klienti (välja arvatud juhul, kui see on seadusega keelatud) ja tagame, et sellised andmed jäävad kaitstud vastavalt andmekaitse seadustele.

4. Turvalisus ja konfidentsiaalsus

ULTEH on pühendunud isikuandmete turvalisuse ja konfidentsiaalsuse kaitsmisele, mida töödeldakse Kliendi. nimel. Andmete terviklikkuse ja turvalisuse tagamiseks rakendame ja säilitame tipptehnoloogilisi turvameetmeid mis on loodud vältimaks isikuandmete loata juurdepääsu, avalikustamist, muutmist või hävitamist.

Need turvameetmed hõlmavad, kuid ei piirdu järgnevaga:

• Andmete krüpteerimine: Isikuandmed on krüpteeritud nii edastamisel kui ka salvestamisel, kasutades tööstusharu standardseid krüpteerimise protokolle, et kaitsta loata juurdepääsu eest.
• Juurdepääsukontrollid: Ranged juurdepääsu haldamise poliitikad tagavad, et ainult volitatud personalil on juurdepääs isikuandmetele, lähtudes vähimate õiguste põhimõttest.
• Võrgu- ja süsteemi turvalisus: Tulemüürid, sissetungi tuvastamise süsteemid ja pidev jälgimine aitavad vältida loata juurdepääsu ja küberohte.
• Andmete anonümiseerimine ja pseudonümiseerimine: Vajadusel võidakse isikuandmeid anonümiseerida või pseudonümiseerida, et vähendada andmete avaldamisega seotud riske.
• Regulaarsed turvaauditid: Viime läbi perioodilisi turvahindamisi, haavatavuse testimist ja vastavuse kontrolle riskide tuvastamiseks ja leevendamiseks.
• Intsidentidele reageerimise plaan: Struktureeritud intsidentidele reageerimise protokoll tagab, et igasugune turvarikkumine tuvastatakse kiiresti, leevendatakse ja sellest teatatakse vastavalt kohaldatavatele andmekaitseseadustele.

Igasugune isik, sealhulgas töötajad, töövõtjad ja volitatud teenusepakkujad, kes töötleb isikuandmeid meie nimel, on seotud rangete konfidentsiaalsuskohustustega. See hõlmab õiguslikult jõustatavate konfidentsiaalsuslepingute (NDA) allkirjastamist ja sisemiste andmekäitluspoliitikate järgimist, et tagada vastavus andmete privaatsuse ja turvalisuse standarditele.

Teavitame Klienti viivitamatult igast kinnitatud turvalisuse rikkumisest, mis võib põhjustada isikuandmete juhuslikku või ebaseaduslikku hävitamist, kadumist, muutmist, loata avalikustamist või juurdepääsu. Sellised teavitused sisaldavad üksikasju intsidendi, potentsiaalse mõju ja võetud meetmete kohta riskide leevendamiseks.

Analüüsime ja uuendame pidevalt oma turvameetmeid vastavalt muutuvatele tööstuse standarditele ja regulatiivsetele nõuetele et tagada kliendi andmete jätkuv kaitse.

5. Alamtöötlejad

ULTEH võib kaasata kolmanda osapoole alamtöötlejaid teenuste osutamiseks ja hooldamiseks. Need alamtöötlejad täidavad spetsiifilisi funktsioone nagu andmete salvestamine, infrastruktuuri hostiteenus, analüütika või klienditugi. Tagame, et kõik kaasatud alamtöötlejad järgivad rangeid andmekaitse kohustusi mis on võrdsed käesolevas DPA-s kirjeldatutega.

Säilitame ajakohast nimekirja alamtöötlejatest, sealhulgas nende rollidest ja töötlemise asukohtadest. Kliendid võivad igal ajal taotleda teavet praeguste alamtöötlejate kohta meiega ühendust võttes.

Kliendi õigused ja vastuväited:

• Teavitame Kliente igast uuest alamtöötleja kaasamisest vähemalt 10 päeva ette.
• Kliendid võivad selle 10-päevase perioodi jooksul esitada kirjaliku vastuväite uue alamtöötleja kasutamisele, kui neil on õigustatud andmekaitse probleeme.
• Vastuväite saamisel asume heas usus läbirääkimistesse, et lahendada probleeme, mis võivad hõlmata alternatiivsete lahenduste leidmist.
• Kui vastastikku aktsepteeritavat lahendust ei leita, võib Kliendil olla õigus lõpetada mõjutatud teenused vastavalt lepingule.

Jääme täielikult vastutavaks oma alamtöötlejate tegevuse eest ja tagame, et nad vastavad järgnevale::

• Andmekaitse seadustele, sealhulgas GDPR-ile, CCPA-le ja muudele kohaldatavatele määrustele.
• Konfidentsiaalsuslepingutele isikuandmete kaitsmiseks.
• Tööstusharu standardsetele turvameetmetele et vältida loata juurdepääsu või andmete väärkasutust.

Jätame endale õiguse uuendada või asendada oma alamtöötlejaid vastavalt vajadusele, arvestades Klientide muresid ja jätkuvaid vastavuskohustusi.

6. Isikuandmete edastamine

ULTEH võib edastada isikuandmeid väljaspool Euroopa Majanduspiirkonda (EMP), Ühendkuningriiki (UK) või Šveitsi teenuste osutamise hõlbustamiseks. Selliste edastamiste korral tagame, et on olemas asjakohased õiguslikud kaitsemeetmed edastatud andmete kaitsmiseks vastavalt kohaldatavatele andmekaitse seadustele.

Tugineme tunnustatud andmeedastamise mehhanismidele, sealhulgas, kuid mitte ainult::

• Standardsed lepingutingimused (SLTd): Lisame Euroopa Komisjoni või teiste pädevate asutuste poolt heakskiidetud SLTd, et tagada andmete seaduslik edastamine.
• Täiendavad meetmed: Vajadusel rakendame täiendavaid tehnilisi, organisatsioonilisi ja lepingulisi kaitsemeetmeid andmekaitse täiustamiseks.
• Siduvad kontsernisisesed eeskirjad (BCRs): Kui kohaldatav, järgivad meie sidusettevõtted BCR-e, mis tagavad andmekaitse kõrge taseme rahvusvahelistes toimingutes.
• Muud heakskiidetud edastamismehhanismid: Järgime kõiki täiendavaid raamistikke, sertifitseerimisi või õiguslikke vahendeid, mis on tunnustatud seadusliku piiriülese andmeedastamise jaoks.

Kliendi õigused ja abistamine: Oleme pühendunud Kliendi abistamisele, et tagada vastavus andmesubjektide õigustele kohaldatavate andmekaitse seaduste alusel. See hõlmab, kuid ei piirdu järgmisega::

• Juurdepääsutaotlused: Andmesubjektidele nende isikuandmetele juurdepääsu võimaldamine.
• Parandustaotlused: Ebatäpsete või mittetäielike andmete paranduste võimaldamine.
• Kustutamistaotlused ("Õigus olla unustatud"): Abistamine isikuandmete kustutamisel taotluse korral, kui see on seaduslikult lubatud.
• Vastuväide ja töötlemise piiramine: Andmesubjektide toetamine nende õiguste teostamisel esitada vastuväiteid või piirata andmetöötlustegevusi.
• Andmete ülekantavus: Isikuandmete teisele vastutavale töötlejale edastamise hõlbustamine, kui see on kohaldatav.

Jälgime pidevalt ülemaailmseid privaatsusregulatsioone, et tagada vastavus piiriülese andmeedastuse nõuetele ja teavitame Klienti, kui muudatused õiguslikus raamistikus mõjutavad meie andmetöötluskohustusi.

7. Andmesubjektide õigused

ULTEH tunnustab ja austab andmesubjektide õigusi kohaldatavate andmekaitse seaduste alusel. Me aitame Kliendil kui vastutaval töötlejal vastata isikute taotlustele seoses nende isikuandmetega.

Andmesubjektid võivad teostada järgmisi õigusi:

• Juurdepääsuõigus: Võimalus taotleda ja saada kinnitust, kas nende andmeid töödeldakse, koos juurdepääsuga andmetele.
• Õigus parandamisele: Õigus parandada või uuendada ebatäpseid või mittetäielikke isikuandmeid.
• Õigus kustutamisele ("Õigus olla unustatud"): Õigus taotleda isikuandmete kustutamist, arvestades juriidilisi ja lepingulisi kohustusi.
• Õigus töötlemise piiramisele: Võimalus piirata isikuandmete töötlemist teatud tingimustel.
• Õigus andmete ülekantavusele: Võimalus saada ja edastada isikuandmeid teisele teenusepakkujale, kui see on tehniliselt teostatav.
• Õigus esitada vastuväiteid: Õigus esitada vastuväiteid töötlemisele, mis põhineb õigustatud huvidel, otseturundusel või automatiseeritud otsustusel.
• Õigus nõusolek tagasi võtta: Kui töötlemine põhineb nõusolekul, võib andmesubjekt nõusoleku igal ajal tagasi võtta.

Kliendi kohustused: Klient, kes tegutseb vastutava töötlejana, vastutab andmesubjektide taotluste käsitlemise eest. Me pakume mõistlikku abi taotluse korral, tagades, et vastuseid käsitletakse kiiresti ja vastavuses kohaldatavate seadustega.

Me ei vasta otse andmesubjekti taotlusele, välja arvatud juhul, kui see on seadusega nõutud või kui Klient on selleks selgesõnaliselt loa andnud.

8. Andmelekke teavitus

ULTEH võtab turvalisust tõsiselt ja rakendab ennetavaid meetmeid isikuandmete kaitsmiseks. Siiski, isikuandmete rikkumise korral tegutseme kiiresti ja läbipaistvalt.

Andmelekke reageerimise plaan: Kui me saame teadlikuks kinnitatud isikuandmete rikkumisest, mis võib põhjustada isikuandmete loata juurdepääsu, kadumise, muutmise või avalikustamise, siis me::

• Hindame rikkumise mõju ja võtame koheselt meetmeid riskide leevendamiseks.
• Teavitame Klienti põhjendamatu viivituseta (tavaliselt 48 tunni jooksul alates kinnitamisest).
• Pakume üksikasju, sealhulgas::
  • Rikkumise olemus ja ulatus.
  • Mõjutatud andmete tüüp.
  • Potentsiaalsed tagajärjed.
  • Meetmed, mis on võetud või mida kavandatakse rikkumise käsitlemiseks.
• Aitame Klienti regulatiivsete kohustuste täitmisel, sealhulgas vajadusel ametiasutustele ja mõjutatud andmesubjektidele teavitamise osas.
• Rakendame korrigeerivaid meetmeid tulevaste rikkumiste vältimiseks.

Kliendi kohustused: Klient vastutab selle määramise eest, kas reguleerivaid asutusi ja andmesubjekte tuleb teavitada vastavalt kohaldatavatele andmekaitse seadustele.

Me dokumenteerime kõik rikkumised ja säilitame oma uurimise, leevendamismeetmete ja parandustegevuste kohta andmeid.

9. Andmete säilitamine ja kustutamine

ULTEH säilitab isikuandmeid ainult nii kaua, kui on vajalik käesoleva lepingu kohaste kohustuste täitmiseks või nagu nõuavad kohaldatavad seadused.

Andmete säilitamise poliitika:

• Järgime andmete minimeerimise põhimõtteid, tagades, et andmeid säilitatakse ainult õigustatud äri- ja vastavusvajaduste jaoks.
• Andmed kustutatakse või anonümiseeritakse, kui need ei ole enam töötlemise eesmärkidel vajalikud.
• Säilitamisperioodid võivad varieeruda sõltuvalt õiguslikest, lepingulistest või regulatiivsetest nõuetest.

Kliendi kontrollitav andmete kustutamine:

• Kliendid võivad taotleda isikuandmete kustutamist igal ajal.
• Teenuste lõpetamisel kustutame või tagastame isikuandmed vastavalt Kliendi juhistele.
• Kui kustutamistaotlust ei tehta, kustutame isikuandmed automaatselt mõistliku aja jooksul, välja arvatud juhul, kui seadus nõuab nende säilitamist.

Erandid andmete kustutamisele: Teatud juhtudel võime säilitada isikuandmeid kauem kui kokkulepitud säilitamisperiood, sealhulgas::

• Vastavus õiguslikele kohustustele (nt maksude, auditeerimise või regulatiivsete nõuete jaoks).
• Õigustatud huvide jaoks, näiteks pettuste ennetamine või turvauurimised.
• Kui seda nõuab siduv õiguslik taotlus (nt kohtumäärus).

Tagame, et järgitakse turvalisi kustutamise protseduure, vältides isikuandmete loata taastamist või väärkasutust.

10. Kohaldatav õigus ja vaidluste lahendamine

Seda andmetöötluse lisa (DPA) reguleerivad ja seda tõlgendatakse vastavalt samadele seadustele ja jurisdiktsioonile, nagu on määratletud peamises lepingus ULTEH ja Kliendi vahel.

Vaidluste lahendamise protsess: Kui käesoleva DPA kohta tekib vaidlus, nõustuvad mõlemad pooled järgima struktureeritud lahendusprotsessi, sealhulgas::

• Heas usus läbirääkimised: Pooled püüavad esmalt lahendada vaidlused otseste arutelude ja läbirääkimiste kaudu.
• Vahendus või arbitraaž: Kui läbirääkimised ebaõnnestuvad, võib vaidluse suunata vahendusse või arbitraaži, nagu on kirjeldatud peamises lepingus.
• Õiguslikud menetlused: Kui lahendust ei saavutata, võib vaidlusi lahendada ametlike õiguslike menetluste kaudu kohaldatavas jurisdiktsioonis.

Kui käesoleva DPA ja peamise lepingu vahel on vastuolu, siis ainult andmekaitse küsimustes kehtivad käesoleva DPA tingimused, tagades vastavuse kohaldatavatele andmekaitse seadustele. Andmekaitse seadustele.

11. Lõppsätted

See andmetöötluse lisa moodustab lahutamatu osa ULTEH ja Kliendi vahelisest üldisest lepingust. Jätkates teenuste kasutamist, tunnustab ja aktsepteerib Klient käesoleva DPA tingimusi.

Kui mõni käesoleva DPA säte osutub kehtetuks või mittejõustatavaks, jäävad ülejäänud sätted täielikult jõusse. Pooled nõustuvad asendama igasuguse mittejõustatava sätte sellisega, mis peegeldab võimalikult täpselt algset kavatsust, olles samal ajal vastavuses kohaldatavate seadustega.

Muudatused ja uuendused: Jätame endale õiguse muuta või uuendada käesolevat DPA-d, et kajastada muudatusi kohaldatavates andmekaitse seadustes, tööstuse praktikates või tegevusvajadustes. Kliente teavitatakse kõigist olulistest muudatustest ning teenuste jätkuv kasutamine kujutab endast uuendatud tingimuste aktsepteerimist.

Kontaktandmed: Kõigi küsimuste, probleemide või käesoleva DPA allkirjastatud koopia taotlemiseks võivad Kliendid meiega ühendust võtta aadressil:: [email protected].