Andmetöötluse lisa

1. Sissejuhatus

ULTEH on pühendunud kliendiandmete privaatsuse, turvalisuse ja nõuetele vastavuse tagamisele. Käesolev andmetöötluse lisa (DPA) kirjeldab tingimusi, mis reguleerivad isikuandmete töötlemist, säilitamist ja kaitsmist vastavalt kehtivatele andmekaitseseadustele ja -määrustele. See DPA on meie põhilepingu klientidega laiendus ja kehtib siis, kui ULTEH töötleb Kliendi nimel isikuandmeid andmetöötlejana. See kehtestab mõlemale poolele selged kohustused andmete käitlemise osas, tagades vastavuse asjakohastele privaatsusseadustele. Kasutades ULTEH, Kliendid on käesolevas andmetöötluslepingus (DPA) sätestatud tingimustega tutvunud ja nendega nõus. Kui vajate vastavuse tagamiseks käesoleva lepingu allkirjastatud koopiat, võtke meiega ühendust.

2. Definitsioonid

Partner viitab mis tahes üksusele, mis otseselt või kaudselt kontrollib osapoolt, on osapoole kontrolli all või on osapoolega ühise kontrolli all. „Kontroll” tähendab otsest või kaudset vähemalt 50% hääleõiguslike aktsiate, omakapitaliosaluste või sarnaste õiguste omamist üksuses, mis annab võimaluse mõjutada selle juhtimist ja poliitikat. Sidusettevõtteid loetakse käesolevas andmetöötluslepingus sätestatud kohustuste ja vastutusega seotuks ulatuses, milles nad tegelevad isikuandmete töötlemisega.

Volitatud alamtöötleja tähendab mis tahes kolmanda osapoole müüjat, teenusepakkujat või töövõtjat, kelle teenusepakkuja on palganud kliendi isikuandmete töötlemiseks rangelt teenusepakkuja nimel ja juhiste kohaselt. Volitatud alltöötlejad aitavad täita käesoleva andmekaitselepingu ja põhilepingu kohaseid kohustusi. Kõik alltöötlejad peavad järgima samu andmekaitsekohustusi, tagades turvalisuse, konfidentsiaalsuse ja vastavuse regulatiivsetele nõuetele.

Konto andmed viitab kogu äriteabele, mida teenusepakkuja kogub, säilitab ja töötleb seoses oma lepingulise suhtega kliendiga. See hõlmab muu hulgas nende isikute nimesid, e-posti aadresse, telefoninumbreid, makseandmeid ja juurdepääsuandmeid, keda klient on volitanud haldama ja tegutsema teenusepakkuja platvormil oma kontol. Kontoandmeid kasutatakse rangelt haldus-, arveldus- ja tugiteenuste eesmärgil.

Andmekaitseseadused hõlmavad kõiki kohaldatavaid seadusi, eeskirju ja raamistikke, mis reguleerivad isikuandmete kogumist, töötlemist, säilitamist, edastamist ja kaitset. See hõlmab muu hulgas Euroopa Liidu isikuandmete kaitse üldmäärust (GDPR), Ühendkuningriigis kehtivat Ühendkuningriigi isikuandmete kaitse üldmäärust, California tarbijate privaatsuse seadust (CCPA) ja kõiki muid riiklikke või rahvusvahelisi privaatsusseadusi, mis on seotud käesoleva lepingu alusel toimuva andmetöötlustegevusega. Nende seaduste järgimine tagab isikuandmete seadusliku, läbipaistva ja turvalise käitlemise.

Isikuandmed viitab igasugusele teabele, mis on seotud tuvastatud või tuvastatava füüsilise isikuga („andmesubjekt“). Tuvastatav isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige selliste identifikaatorite abil nagu nimi, e-posti aadress, telefoninumber, asukohaandmed, veebiidentifikaator (nt IP-aadress või küpsised) või muud unikaalsed tegurid, mis määratlevad tema identiteedi. Isikuandmed ei hõlma anonüümseid ega koondatud andmeid, mida ei saa kasutada isiku tuvastamiseks.

Töötlemine tähendab mis tahes automatiseeritud või käsitsi isikuandmetega tehtavat toimingut või toimingute kogumit. See hõlmab muu hulgas isikuandmete kogumist, salvestamist, korraldamist, struktureerimist, säilitamist, kohandamist, muutmist, otsimist, konsulteerimist, kasutamist, avalikustamist, edastamist, piiramist, kustutamist või hävitamist. Töötlemine toimub vastavalt Kliendi juhistele ja kohaldatavatele andmekaitseseadustele.

Turvameetmed viitavad tehnilistele ja korralduslikele kaitsemeetmetele, mida rakendatakse isikuandmete konfidentsiaalsuse, terviklikkuse ja kättesaadavuse tagamiseks. Nende meetmete hulka kuuluvad krüpteerimine, juurdepääsu kontroll, tulemüürid, andmete maskeerimine, pseudonümiseerimine, regulaarsed turvaauditid ja rikkumistest teatamise mehhanismid. Turvameetmed on loodud isikuandmete volitamata juurdepääsu, juhusliku kaotsimineku või ebaseadusliku töötlemise vältimiseks.

Järelevalveasutus viitab sõltumatule avaliku sektori asutusele, mis vastutab andmekaitseseaduste järgimise jälgimise ja jõustamise eest. Näideteks on **Euroopa Andmekaitsenõukogu (EDPB)** isikuandmete kaitse üldmäärusega seotud küsimustes, **Ühendkuningriigi teabevoliniku büroo (ICO)** Ühendkuningriigi isikuandmete kaitse üldmääruse (GDPR) jõustamiseks ja **California privaatsuskaitseamet (CPPA)** CCPA jõustamiseks. Järelevalveasutusel on seaduslik õigus uurida kaebusi, anda juhiseid ja määrata karistusi nõuete rikkumise eest.

Andmesubjekti õigused viidake õigustele, mis on üksikisikutele antud kohaldatavate andmekaitseseaduste alusel. Need õigused võivad hõlmata õigust oma isikuandmetele juurde pääseda, neid parandada, kustutada, piirata või edastada, samuti õigust töötlemisele vastuväiteid esitada ja esitada kaebusi järelevalveasutusele. Teenusepakkuja abistab kliente nende õiguste teostamisel, kui see on asjakohane.

3. Andmete töötlemine

Klient võib toimida kas Andmekontrolör või a Andmetöötleja, olenevalt oma suhtest Andmesubjektiga ja eesmärkidest, milleks Isikuandmeid Töötletakse. Kõigil juhtudel ULTEH toimib kui Andmetöötleja, isikuandmete töötlemine kliendi nimel ja juhiste kohaselt.

Klient vastutab selle eest, et kõik meie Teenuste abil teostatavad andmetöötlustoimingud oleksid kooskõlas Kohaldatavad andmekaitseseadused, sealhulgas, kuid mitte ainult Isikuandmete kaitse üldmäärus (GDPR), Ühendkuningriigi isikuandmete kaitse üldmäärus (GDPR), California tarbijate privaatsusseadus (CCPA) ja muud kohaldatavad privaatsuseeskirjad. Klient kinnitab, et tal on õiguslik alus isikuandmete töötlemiseks ning hüvitab meile kõik nõuded, kohustused või kahjud, mis tulenevad nende juriidiliste nõuete mittetäitmisest.

Me töötleme isikuandmeid ainult vastavalt kliendi kirjalikele juhistele ja üksnes Teenuste osutamiseks vajalikul määral, välja arvatud juhul, kui seadusega on ette nähtud teisiti. Me ei kasuta, avalda ega jaga Isikuandmeid muul eesmärgil kui Kliendi poolt lubatud või käesolevas Lepingus sõnaselgelt sätestatud.

Pärast Lepingu lõpetamine või Kliendi soovil, Kliendi äranägemisel teeme kas: (a) Turvaline kustutamine kõik käesoleva lepingu alusel töödeldavad isikuandmed, tagades, et koopiaid ei jääks alles, välja arvatud juhul, kui see on seadusega nõutud, või (b) Tagasta isikuandmed Kliendile struktureeritud, üldkasutatavas ja masinloetavas vormingus enne kustutamist. Klient peab esitama sellised taotlused mõistliku aja jooksul enne lepingu lõpetamist.

Kui meil on seadusega kohustus säilitada isikuandmeid ka pärast lepingu lõppemist, teavitame sellest klienti (välja arvatud juhul, kui see on seadusega keelatud) ja tagame, et sellised andmed jäävad andmekaitseseaduste kohaselt kaitstuks.

4. Turvalisus ja konfidentsiaalsus

ULTEH on pühendunud turvalisuse ja konfidentsiaalsuse kaitsmisele Isikuandmed töödeldud ettevõtte nimel Klient. Andmete terviklikkuse ja turvalisuse tagamiseks rakendame ja haldame tööstusharu juhtivad turvameetmed mis on loodud isikuandmete volitamata juurdepääsu, avalikustamise, muutmise või hävitamise vältimiseks.

Need turvameetmed hõlmavad, kuid ei piirdu nendega:

• Andmete krüptimine: Isikuandmeid krüpteeritakse nii edastamise ajal kui ka salvestatud olekus, kasutades tööstusharu standardseid krüpteerimisprotokolle, et kaitsta neid volitamata juurdepääsu eest.
• Juurdepääsu kontroll: Ranged juurdepääsuhalduse poliitikad tagavad, et isikuandmetele pääsevad ligi ainult volitatud töötajad, lähtudes minimaalsete õiguste põhimõttest.
• Võrgu ja süsteemi turvalisus: Tulemüürid, sissetungimise tuvastamise süsteemid ja pidev jälgimine aitavad vältida volitamata juurdepääsu ja küberohte.
• Andmete anonüümimine ja pseudonüümiseerimine: Vajadusel võidakse isikuandmeid anonümiseerida või pseudonümiseerida, et vähendada andmete avalikustamisega seotud riske.
• Regulaarsed turvaauditid: Riskide tuvastamiseks ja leevendamiseks viime läbi perioodilisi turvahinnanguid, haavatavuste teste ja vastavuskontrolle.
• Intsidentidele reageerimise plaan: Struktureeritud intsidentidele reageerimise protokoll tagab, et kõik turvaintsidendid tuvastatakse, leevendatakse ja neist teatatakse viivitamatult vastavalt kehtivatele andmekaitseseadustele.

Iga isik, sealhulgas töötajad, alltöövõtjad ja volitatud teenusepakkujad, kes töötleb meie nimel isikuandmeid, on kohustatud järgima ranged konfidentsiaalsuskohustused. See hõlmab ka juriidiliselt jõustatava allkirjastamise konfidentsiaalsuslepingud (NDA-d) ja järgides sisemisi andmetöötluspoliitikaid, et tagada vastavus andmete privaatsuse ja turvalisuse standarditele.

Teavitame Klienti viivitamatult igast **kinnitatud turvarikkumisest**, mis võib kaasa tuua Isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise, loata avalikustamise või neile juurdepääsu. Sellised teated sisaldavad üksikasju intsidendi, võimaliku mõju ja riskide maandamiseks võetud meetmete kohta.

Me vaatame oma turvameetmeid pidevalt üle ja ajakohastame neid vastavalt arenevad tööstusstandardid ja regulatiivsed nõuded Kliendiandmete jätkuva kaitse tagamiseks.

5. Alltöötlejad

ULTEH võib kaasata kolmanda osapoole alltöötlejad Teenuste osutamise ja haldamise abistamiseks. Need alltöötlejad täidavad spetsiifilisi funktsioone, nagu andmete salvestamine, infrastruktuuri majutamine, analüüs või klienditugi. Tagame, et kõik kaasatud alltöötlejad järgivad ranged andmekaitsekohustused samaväärsed käesolevas DPA-s sätestatuga.

Peame ajakohast alltöötlejate nimekirja, mis sisaldab nende rolle ja töötlemiskohti. Kliendid võivad igal ajal meiega ühendust võttes küsida teavet praeguste alltöötlejate kohta.

Kliendi õigused ja vastuväited:

• Teavitame kliente kõigist **uutest alltöötlejate kaasamistest** vähemalt 10 päeva ette.
• Kliendid võivad esitada uue alltöötleja kasutamise kohta kirjaliku **vastuväite** selle 10-päevase perioodi jooksul, kui neil on õigustatud **andmekaitsega seotud mured**.
• Vastuväite saamisel alustame murede lahendamiseks **heauskseid arutelusid**, mis võivad hõlmata ka alternatiivsete lahenduste leidmist.
• Kui vastastikku vastuvõetavat lahendust ei saavutata, võib Kliendil olla õigus **mõjutatud Teenused lõpetada** vastavalt Lepingule.

Me jääme täielikult vastutav ja kohusetundlik meie alltöötlejate tegevuse eest ja tagame, et nad järgivad:

• Andmekaitseseadused, sealhulgas GDPR, CCPA ja muud kohaldatavad määrused.
• Konfidentsiaalsuslepingud isikuandmete kaitsmiseks.
• Tööstusstandardile vastavad turvameetmed et vältida volitamata juurdepääsu andmetele või nende väärkasutamist.

Jätame endale õiguse oma alltöötlejaid vastavalt vajadusele **uuendada või asendada**, võttes nõuetekohaselt arvesse klientide muresid ja käimasolevaid vastavuskohustusi.

6. Isikuandmete edastamine

ULTEH võib üle kanda Isikuandmed väljaspool Euroopa Majanduspiirkond (EMP), Ühendkuningriik (UK) või Šveits teenuste osutamise hõlbustamiseks. Selliste edastuste korral tagame, et asjakohased õiguslikud kaitsemeetmed on olemas meetmed edastatud andmete kaitsmiseks vastavalt kehtivatele andmekaitseseadustele.

Me toetume tunnustatud andmeedastusmehhanismidele, sealhulgas, kuid mitte ainult,:

• Lepingu tüüptingimused (SCC-d): Seadusliku andmeedastuse tagamiseks rakendame Euroopa Komisjoni või muude pädevate asutuste poolt heakskiidetud lepingu tüüptingimusi.
• Täiendavad meetmed: Vajadusel rakendame andmekaitse parandamiseks täiendavaid tehnilisi, korralduslikke ja lepingulisi kaitsemeetmeid.
• Siduvad kontsernisisesed eeskirjad (BCR-id): Vajaduse korral järgivad meie sidusettevõtted siduvaid ettevõttesiseseid eeskirju, tagades kõrgetasemelise andmekaitse kogu rahvusvahelises tegevuses.
• Muud heakskiidetud ülekandemehhanismid: Järgime kõiki täiendavaid raamistikke, sertifikaate või õiguslikke vahendeid, mis on tunnustatud seadusliku piiriülese andmeedastuse jaoks.

Kliendi õigused ja abi: Oleme pühendunud kliendi abistamisele vastavuse tagamisel andmesubjektide õigused kohaldatavate andmekaitseseaduste alusel. See hõlmab muu hulgas, kuid mitte ainult:

• Juurdepääsutaotlused: Andmesubjektidele oma isikuandmetele juurdepääsu võimaldamine.
• Parandustaotlused: Ebatäpsete või mittetäielike andmete parandamise võimaldamine.
• Kustutamistaotlused ("õigus olla unustatud"): Isikuandmete kustutamise abistamine taotluse korral, kui see on seadusega lubatud.
• Töötlemise vastuväited ja piiramine: Andmesubjektide toetamine nende õiguste teostamisel andmetöötlustoimingute vastuväidete esitamiseks või nende piiramiseks.
• Andmete teisaldatavus: Isikuandmete teisele andmetöötlejale edastamise hõlbustamine, kui see on asjakohane.

Jälgime pidevalt ülemaailmseid privaatsuseeskirju, et tagada vastavus **piiriülese andmeedastuse nõuetele**, ja teavitame klienti, kui õigusraamistiku muudatused mõjutavad meie andmetöötluskohustusi.

7. Andmesubjekti õigused

ULTEH tunnustab ja austab **andmesubjektide** õigusi vastavalt kehtivatele **andmekaitseseadustele**. Aitame **klienti** andmetöötlejana vastata üksikisikute **isikuandmete** kohta käivatele taotlustele.**

Andmesubjektidel on järgmised õigused:

• Juurdepääsuõigus: Võimalus taotleda ja saada kinnitust selle kohta, kas nende andmeid töödeldakse, koos juurdepääsuga andmetele.
• Õigus parandamisele: Õigus ebatäpsete või mittetäielike isikuandmete parandamiseks või ajakohastamiseks.
• Õigus kustutamisele („õigus olla unustatud“): Õigus nõuda isikuandmete kustutamist vastavalt seadusest ja lepingust tulenevatele kohustustele.
• Õigus töötlemise piiramisele: Võimalus piirata isikuandmete töötlemist teatud tingimustel.
• Õigus andmete ülekandmisele: Võimalus saada isikuandmeid ja edastada neid teisele teenusepakkujale, kui see on tehniliselt teostatav.
• Õigus vastuväidete esitamiseks: Õigus esitada vastuväiteid töötlemisele õigustatud huvi, otseturunduse või automatiseeritud otsuste tegemise alusel.
• Nõusoleku tagasivõtmise õigus: Kui töötlemine põhineb nõusolekul, võib Andmesubjekt oma nõusoleku igal ajal tagasi võtta.

Kliendi kohustused: Andmesubjekti taotluste menetlemise eest vastutab klient, tegutsedes andmetöötlejana. Pakume taotluse korral **mõistlikku abi**, tagades, et vastuseid käsitletakse **kiire ja kooskõlas** kohaldatavate seadustega.

Me ei vasta andmesubjekti päringule otse, välja arvatud juhul, kui see on seadusega nõutud või kui klient on selleks selgesõnalise loa andnud.

8. Andmete rikkumise teatis

ULTEH suhtub turvalisusse tõsiselt ja rakendab isikuandmete kaitsmiseks **ennetusmeetmeid**. Isikuandmete rikkumise korral tegutseme aga **kiiresti ja läbipaistvalt**.

Andmete rikkumisele reageerimise plaan: Kui meile saab teatavaks **kinnitatud isikuandmete rikkumisest**, mis võib kaasa tuua **volitamata juurdepääsu isikuandmetele, nende kaotsimineku, muutmise või avalikustamise**, siis me:

• Hinnake rikkumise mõju ja võtke viivitamatult meetmeid riskide maandamiseks.
• **Teavitada klienti põhjendamatu viivituseta** (tavaliselt 48 tunni jooksul alates kinnitusest).
• Esitage üksikasjad, sealhulgas:
  • Rikkumise laad ja ulatus.
  • Mõjutatud andmete tüüp.
  • Võimalikud tagajärjed.
  • Rikkumise kõrvaldamiseks võetud või kavandatud meetmed.
• **Abistada klienti** mis tahes regulatiivsete kohustuste täitmisel, sealhulgas vajadusel ametiasutustele ja mõjutatud andmesubjektidele teatamisel.
• **Rakenda parandusmeetmeid** tulevaste rikkumiste vältimiseks.

Kliendi kohustused: Klient vastutab selle eest, et ta otsustaks, kas teavitada reguleerivaid asutusi ja andmesubjekte kooskõlas kohaldatavate andmekaitseseadustega.

Dokumenteerime kõik rikkumised ja säilitame andmeid oma **uurimise, leevendusmeetmete ja parandusmeetmete** kohta.

9. Andmete säilitamine ja kustutamine

ULTEH säilitab **isikuandmeid ainult nii kaua, kui see on vajalik** käesoleva lepingu kohaste kohustuste täitmiseks või kohaldatavate seaduste kohaselt.

Andmete säilitamise poliitika:

• Järgime **andmete minimeerimise põhimõtteid**, tagades, et andmeid säilitatakse ainult **õigustatud äri- ja vastavusvajaduste** jaoks.
• Andmed kustutatakse või anonümiseeritakse, kui need pole enam töötlemise eesmärgil vajalikud.
• Säilitusperioodid võivad erineda olenevalt **seaduslikest, lepingulistest või regulatiivsetest nõuetest**.

Kliendi kontrollitav andmete kustutamine:

• Kliendid võivad igal ajal taotleda **isikuandmete kustutamist**.
• Teenuste lõpetamisel **kustutame või tagastame isikuandmed** vastavalt kliendi juhistele.
• Kui kustutamistaotlust ei esitata, kustutame isikuandmed **automaatselt** mõistliku aja jooksul, välja arvatud juhul, kui oleme seadusega kohustatud neid säilitama.

Andmete kustutamise erandid: Teatud juhtudel võime **säilitada isikuandmeid** kauem kui kokkulepitud säilitusperiood, sealhulgas:

• **Seaduslike kohustuste** (nt maksu-, auditeerimis- või regulatiivsed nõuded) täitmiseks.
• **Õigustatud huvide** korral, näiteks pettuste ennetamiseks või turvauurimiseks.
• Kui seda nõuab **siduv õiguslik nõue** (nt kohtumäärus).

Tagame **turvaliste kustutamisprotseduuride** järgimise, mis hoiab ära isikuandmete volitamata taastamise või väärkasutamise.

10. Kohaldatav õigus ja vaidluste lahendamine

Käesolevale andmetöötluse lisale (DPA) kohaldatakse ja seda tõlgendatakse vastavalt **samadele seadustele ja jurisdiktsioonile**, mis on määratletud põhilepingus ULTEH ja Klient.

Vaidluste lahendamise protsess: Kui käesoleva andmekaitselepingu osas tekib vaidlus, nõustuvad mõlemad pooled järgima struktureeritud vaidluste lahendamise protsessi, mis hõlmab järgmist::

• Heausksed läbirääkimised: Pooled püüavad esmalt vaidlusi lahendada otseste arutelude ja läbirääkimiste teel.
• Vahendus või vahekohtumenetlus: Läbirääkimiste ebaõnnestumise korral võib vaidluse suunata vahendusele või vahekohtusse, nagu on sätestatud põhilepingus.
• Kohtumenetlused: Kui lahendust ei saavutata, saab vaidlused lahendada ametliku kohtumenetluse teel vastavas jurisdiktsioonis.

Käesoleva andmekaitselepingu ja põhilepingu vastuolu korral **käesoleva andmekaitselepingu tingimused on ülimuslikud** ainult andmekaitseküsimustes, tagades vastavuse kohaldatavatele nõuetele. Andmekaitseseadused.

11. Lõppsätted

Käesolev andmetöötluse lisa on lahutamatu osa üldisest lepingust vahelisest ULTEH ja Klient. Teenuste kasutamise jätkamisega kinnitab Klient, et on lugenud ja **nõustub käesoleva Andmetöötluslepingu tingimustega**.

Kui mõni käesoleva DPA säte osutub **kehtetuks või jõustamatuks**, jäävad ülejäänud sätted täielikult jõusse. Pooled lepivad kokku, et asendavad kõik jõustamatud sätted sellisega, mis peegeldab võimalikult täpselt algset kavatsust, jäädes samal ajal vastavusse kohaldatavate seadustega.

Muudatused ja uuendused: Jätame endale õiguse **käesolevat andmekaitselepingut (DPA) muuta või ajakohastada**, et see kajastaks muudatusi kohaldatavates **andmekaitseseadustes, valdkonna tavades või tegevusvajadustes**. Kliente teavitatakse kõigist olulistest muudatustest ja teenuste edasine kasutamine tähendab ajakohastatud tingimustega nõustumist.

Kontaktandmed: Küsimuste, murede või käesoleva DPA allkirjastatud koopia taotlemiseks võivad kliendid meiega ühendust võtta aadressil: [email protected].