Duomenų tvarkymo priedas

1. Įvadas

ULTEH yra įsipareigojęs užtikrinti klientų duomenų privatumą, saugumą ir atitiktį. Šis duomenų tvarkymo priedas (DTP) nustato sąlygas, reglamentuojančias, kaip mes tvarkome, saugome ir apsaugome asmens duomenis pagal taikomas duomenų apsaugos taisykles ir reglamentus. Šis DTP yra mūsų pagrindinio susitarimo su Klientais plėtinys ir taikomas, kai ULTEH tvarko asmens duomenis Kliento vardu kaip duomenų tvarkytojas. Jame nustatytos aiškios abiejų šalių atsakomybės dėl duomenų tvarkymo, užtikrinant atitiktį susijusiems privatumo įstatymams. ULTEH, Klientai pripažįsta ir sutinka su šiame DTP išdėstytomis sąlygomis. Jei jums reikia pasirašytos šio susitarimo kopijos atitikties tikslais, prašome susisiekti su mumis.

2. Apibrėžimai

Filialas reiškia bet kokį subjektą, kuris tiesiogiai ar netiesiogiai kontroliuoja, yra kontroliuojamas arba yra bendrai kontroliuojamas šalies. "Kontrolė" reiškia tiesioginę ar netiesioginę nuosavybę mažiausiai 50% balsavimo teisę turinčių akcijų, nuosavybės interesų ar panašių teisių subjekte, suteikiančių galimybę daryti įtaką jo valdymui ir politikai. Filialai laikomi įpareigotais vykdyti šiame DTP nustatytas prievoles ir atsakomybes tiek, kiek jie dalyvauja Asmens duomenų tvarkyme.

Įgaliotas subtvarkytojas reiškia bet kokį trečiosios šalies pardavėją, paslaugų teikėją ar rangovą, kurį Paslaugų teikėjas pasitelkia Kliento Asmens duomenims tvarkyti griežtai Paslaugų teikėjo vardu ir pagal jo nurodymus. Įgalioti subtvarkytojaii padeda vykdyti įsipareigojimus pagal šį DTP ir pagrindinį Susitarimą. Visi Subtvarkytojaii privalo laikytis tų pačių duomenų apsaugos įsipareigojimų, išlaikydami saugumą, konfidencialumą ir atitiktį reglamentams.

Paskyros duomenys reiškia visą su verslu susijusią informaciją, kurią Paslaugų teikėjas renka, saugo ir tvarko, susijusią su jo sutartiniais santykiais su Klientu. Tai apima, bet neapsiriboja, vardais, el. pašto adresais, telefono numeriais, mokėjimo informacija ir prieigos kredencialais asmenų, kuriuos Klientas įgaliojo valdyti ir naudotis savo paskyra Paslaugų teikėjo platformoje. Paskyros duomenys naudojami griežtai administraciniais, atsiskaitymo ir palaikymo tikslais.

Duomenų apsaugos įstatymai apima visus taikomus įstatymus, taisykles ir sistemas, reglamentuojančias Asmens duomenų rinkimą, tvarkymą, saugojimą, perdavimą ir apsaugą. Tai apima, bet neapsiriboja, Europos Sąjungos Bendrąjį duomenų apsaugos reglamentą (BDAR), Jungtinės Karalystės BDAR, taikomą Jungtinėje Karalystėje, Kalifornijos vartotojų privatumo įstatymą (CCPA) ir bet kokius kitus nacionalinius ar tarptautinius privatumo įstatymus, susijusius su duomenų tvarkymo veikla pagal šį Susitarimą. Atitiktis šiems įstatymams užtikrina, kad Asmens duomenys būtų tvarkomi teisėtai, skaidriai ir saugiai.

Asmens duomenys reiškia bet kokią informaciją, susijusią su identifikuotu arba identifikuojamu fiziniu asmeniu ("Duomenų subjektu"). Identifikuojamas asmuo yra tas, kurį galima tiesiogiai arba netiesiogiai identifikuoti, ypač nuoroda į tokius identifikatorius kaip vardas, el. pašto adresas, telefono numeris, vietos duomenys, internetinis identifikatorius (pvz., IP adresas ar slapukai) ar kiti unikalūs veiksniai, apibrėžiantys jo tapatybę. Asmens duomenys neapima anonimizuotų ar suminių duomenų, kurie negali būti naudojami identifikuoti asmenį.

Tvarkymas reiškia bet kokią operaciją ar operacijų rinkinį, atliekamą su Asmens duomenimis, ar tai būtų automatinėmis priemonėmis, ar rankiniu būdu. Tai apima, bet neapsiriboja, rinkimu, įrašymu, organizavimu, struktūravimu, saugojimu, pritaikymu, keitimu, atgavimu, konsultavimu, naudojimu, atskleidimu, perdavimu, apribojimu, ištrinimu ar sunaikinimu. Tvarkymas vykdomas pagal Kliento nurodymus ir taikomus Duomenų apsaugos įstatymus.

Saugumo priemonės reiškia technines ir organizacines apsaugos priemones, įgyvendintas siekiant užtikrinti Asmens duomenų konfidencialumą, vientisumą ir prieinamumą. Šios priemonės apima šifravimą, prieigos kontrolę, ugniasienę, duomenų maskavimą, pseudonimizaciją, reguliarius saugumo auditus ir pranešimų apie pažeidimus mechanizmus. Saugumo priemonės yra skirtos užkirsti kelią neteisėtam prieigos prie Asmens duomenų gavimui, atsitiktiniam jų praradimui ar neteisėtam tvarkymui.

Priežiūros institucija reiškia nepriklausomą viešąją instituciją, atsakingą už atitikties Duomenų apsaugos įstatymams stebėjimą ir įgyvendinimą. Pavyzdžiai yra **Europos duomenų apsaugos valdyba (EDAV)** BDAR klausimams, **Jungtinės Karalystės Informacijos komisaro biuras (ICO)** Jungtinės Karalystės BDAR, ir **Kalifornijos privatumo apsaugos agentūra (CPPA)** CCPA įgyvendinimui. Priežiūros institucija turi teisėtą galią tirti skundus, teikti gaires ir skirti baudas už reikalavimų nesilaikymą.

Duomenų subjekto teisės reiškia teises, suteiktas asmenims pagal taikomus Duomenų apsaugos įstatymus. Šios teisės gali apimti teisę pasiekti, pataisyti, ištrinti, apriboti ar perkelti savo Asmens duomenis, taip pat teisę prieštarauti tvarkymui ir pateikti skundus Priežiūros institucijai. Paslaugų teikėjas padeda Klientams įgyvendinti šias teises, kai taikoma.

3. Duomenų tvarkymas

Klientas gali veikti kaip Duomenų valdytojas arba Duomenų tvarkytojas, priklausomai nuo jo santykių su Duomenų subjektu ir tikslų, kuriais Asmens duomenys yra tvarkomi. Visais atvejais, ULTEH veikia kaip Duomenų tvarkytojas, tvarkydamas Asmens duomenis Kliento vardu ir pagal Kliento nurodymus.

Klientas yra atsakingas už užtikrinimą, kad visa duomenų tvarkymo veikla, vykdoma naudojant mūsų Paslaugas, atitiktų Taikomus duomenų apsaugos įstatymus, įskaitant, bet neapsiribojant, Bendrąjį duomenų apsaugos reglamentą (BDAR), Jungtinės Karalystės BDAR, Kalifornijos vartotojų privatumo įstatymą (CCPA) ir kitus taikomus privatumo reglamentus. Klientas pripažįsta, kad jis turi teisinį pagrindą tvarkyti Asmens duomenis ir atleidžia mus nuo bet kokių pretenzijų, įsipareigojimų ar žalos, kylančios dėl neatitikimo šiems teisiniams reikalavimams.

Mes tvarkysime Asmens duomenis tik pagal Kliento rašytinius nurodymus ir tik tiek, kiek būtina Paslaugoms teikti, nebent to reikalauja įstatymai. Mes nenaudosime, neatskleisime ar nebendrinsime Asmens duomenų jokiais kitais tikslais, išskyrus tuos, kuriuos įgaliojo Klientas arba kurie aiškiai numatyti šiame Susitarime.

Pasibaigus Susitarimui arba Klientui pareikalavus, mes, Kliento nuožiūra, arba: (a) Saugiai ištrinsime visus Asmens duomenis, tvarkytus pagal šį Susitarimą, užtikrindami, kad neliktų kopijų, nebent to reikalauja įstatymai, arba (b) Grąžinsime Asmens duomenis Klientui struktūrizuotu, plačiai naudojamu ir kompiuterio skaitomu formatu prieš ištrinimą. Klientas turi pateikti tokius prašymus per pagrįstą laiką prieš nutraukiant sutartį.

Jei mums teisiškai reikia išlaikyti Asmens duomenis po sutarties nutraukimo, mes pranešime Klientui (nebent teisiškai draudžiama tai daryti) ir užtikrinsime, kad tokie duomenys išliktų apsaugoti laikantis Duomenų apsaugos įstatymų.

4. Saugumas ir konfidencialumas

ULTEH yra įsipareigojęs apsaugoti saugumą ir konfidencialumą Asmens duomenų tvarkomų Kliento. vardu. Siekdami užtikrinti duomenų vientisumą ir saugumą, mes įgyvendiname ir palaikome pažangias saugumo priemones skirtas užkirsti kelią neteisėtai prieigai, atskleidimui, pakeitimui ar Asmens duomenų sunaikinimui.

Šios saugumo priemonės apima, bet neapsiriboja:

• Duomenų šifravimas: Asmens duomenys yra šifruojami tiek perduodant, tiek saugant naudojant pramonės standarto šifravimo protokolus, siekiant apsaugoti nuo neteisėtos prieigos.
• Prieigos kontrolė: Griežtos prieigos valdymo politikos užtikrina, kad tik įgalioti darbuotojai turėtų prieigą prie Asmens duomenų pagal mažiausių privilegijų principą.
• Tinklo ir sistemos saugumas: Ugniasienės, įsilaužimo aptikimo sistemos ir nuolatinė stebėsena padeda užkirsti kelią neteisėtai prieigai ir kibernetinėms grėsmėms.
• Duomenų anonimizavimas ir pseudonimizavimas: Kai taikoma, Asmens duomenys gali būti anonimizuoti arba pseudonimizuoti siekiant sumažinti riziką, susijusią su duomenų atskleidimu.
• Reguliarūs saugumo auditai: Mes atliekame periodinius saugumo vertinimus, pažeidžiamumo testavimus ir atitikties patikrinimus, siekdami nustatyti ir sumažinti riziką.
• Incidentų reagavimo planas: Struktūrizuotas incidentų reagavimo protokolas užtikrina, kad bet koks saugumo pažeidimas būtų greitai nustatytas, sušvelnintas ir apie jį būtų pranešta laikantis taikomų Duomenų apsaugos įstatymų.

Bet kuris asmuo, įskaitant darbuotojus, rangovus ir įgaliotus paslaugų teikėjus, tvarkantis Asmens duomenis mūsų vardu, yra įpareigotas griežtais konfidencialumo įsipareigojimais. Tai apima teisiškai įpareigojančių neatskleidimo susitarimų (NDA) pasirašymą ir vidaus duomenų tvarkymo politikos laikymąsi, siekiant užtikrinti atitiktį duomenų privatumo ir saugumo standartams.

Mes nedelsdami pranešime Klientui apie bet kokį **patvirtintą saugumo pažeidimą**, kuris gali sukelti atsitiktinį ar neteisėtą sunaikinimą, praradimą, pakeitimą, neteisėtą atskleidimą ar prieigą prie Asmens duomenų. Tokie pranešimai apims incidento detales, galimą poveikį ir taisomuosius veiksmus, kurių imtasi rizikai sušvelninti.

Mes nuolat peržiūrime ir atnaujiname savo saugumo priemones pagal besikeičiančius pramonės standartus ir teisinius reikalavimus siekdami užtikrinti nuolatinę Kliento duomenų apsaugą.

5. Subtvarkytojaii

ULTEH gali pasitelkti trečiųjų šalių Subtvarkytojus padėti teikti ir prižiūrėti Paslaugas. Šie Subtvarkytojaii atlieka specifines funkcijas, tokias kaip duomenų saugojimas, infrastruktūros priegloba, analitika ar klientų palaikymas. Mes užtikriname, kad visi pasitelkti Subtvarkytojaii laikytųsi griežtų duomenų apsaugos įsipareigojimų lygiaverčių tiems, kurie numatyti šiame DTP.

Mes palaikome atnaujintą Subtvarkytojų sąrašą, įskaitant jų roles ir tvarkymo vietas. Klientai gali bet kada prašyti informacijos apie dabartinius Subtvarkytojus susisiekdami su mumis.

Kliento teisės ir prieštaravimai:

• Mes pranešime Klientams apie bet kokius **naujus Subtvarkytojų pasitelkimus** bent 10 dienų iš anksto.
• Klientai gali pateikti rašytinį **prieštaravimą** dėl naujo Subtvarkytojo naudojimo per šį 10 dienų laikotarpį, jei jie turi teisėtų **duomenų apsaugos problemų**.
• Gavę prieštaravimą, mes įsitrauksime į **geros valios diskusijas** problemoms spręsti, kurios gali apimti alternatyvių sprendimų radimą.
• Jei abipusiai priimtinas sprendimas nerastas, Klientas gali turėti teisę **nutraukti paveiktas Paslaugas** pagal Susitarimą.

Mes išliekame visiškai atsakingi už mūsų Subtvarkytojų veiksmus ir užtikriname, kad jie laikytųsi:

• Duomenų apsaugos įstatymų, įskaitant BDAR, CCPA ir kitus taikomus reglamentus.
• Konfidencialumo susitarimų Asmens duomenims apsaugoti.
• Pramonės standarto saugumo priemonių siekiant užkirsti kelią neteisėtai prieigai ar netinkamam duomenų naudojimui.

Mes pasiliekame teisę **atnaujinti ar pakeisti** mūsų Subtvarkytojus pagal poreikį, tinkamai atsižvelgdami į Klientų susirūpinimus ir tęstinius atitikties įsipareigojimus.

6. Asmens duomenų perdavimai

ULTEH gali perduoti Asmens duomenis už Europos ekonominės erdvės (EEE), Jungtinės Karalystės (JK) ar Šveicarijos ribų, siekdamas sudaryti sąlygas Paslaugų teikimui. Kai tokie perdavimai vyksta, mes užtikriname, kad taikomos atitinkamos teisinės apsaugos priemonės perduodamiems duomenims apsaugoti pagal taikomus Duomenų apsaugos įstatymus.

Mes remiamės pripažintais duomenų perdavimo mechanizmais, įskaitant, bet neapsiribojant:

• Standartinėmis sutarčių sąlygomis (SSS): Mes įtraukiame Europos Komisijos ar kitų kompetentingų institucijų patvirtintas SSS, kad užtikrintume teisėtus duomenų perdavimus.
• Papildomomis priemonėmis: Kai būtina, taikome papildomas technines, organizacines ir sutartines apsaugos priemones, kad sustiprintume duomenų apsaugą.
• Įmonėms privalomomis taisyklėmis (BCR): Kai taikoma, mūsų susijusios įmonės laikosi BCR, užtikrinančių aukštą duomenų apsaugos lygį tarptautinėje veikloje.
• Kitais patvirtintais perdavimo mechanizmais: Mes laikomės bet kokių papildomų sistemų, sertifikavimų ar teisinių priemonių, pripažįstamų teisėtiems tarpvalstybiniams duomenų perdavimams.

Kliento teisės ir pagalba: Mes įsipareigojame padėti Klientui užtikrinti atitiktį Duomenų subjektų teisėms pagal taikomus Duomenų apsaugos įstatymus. Tai apima, bet neapsiriboja:

• Prieigos prašymai: Suteikdami Duomenų subjektams galimybę pasiekti savo Asmens duomenis.
• Taisymo prašymai: Leisdami ištaisyti netikslius ar neišsamius duomenis.
• Ištrynimo prašymai ("Teisė būti pamirštam"): Padėdami ištrinti Asmens duomenis gavus prašymą, kai tai teisiškai leidžiama.
• Prieštaravimas ir tvarkymo apribojimas: Padėdami Duomenų subjektams įgyvendinti savo teises prieštarauti ar apriboti duomenų tvarkymo veiklą.
• Duomenų perkeliamumas: Sudarydami sąlygas Asmens duomenų perdavimui kitam duomenų valdytojui, kai taikoma.

Mes nuolat stebime pasaulinius privatumo reglamentus, kad užtikrintume atitiktį **tarpvalstybinio duomenų perdavimo reikalavimams** ir pranešime Klientui, jei teisinės sistemos pokyčiai turės įtakos mūsų duomenų tvarkymo įsipareigojimams.

7. Duomenų subjekto teisės

ULTEH pripažįsta ir gerbia **Duomenų subjektų** teises pagal taikomus **Duomenų apsaugos įstatymus**. Mes padėsime **Klientui**, kaip Duomenų valdytojui, atsakyti į asmenų prašymus dėl jų **Asmens duomenų**.

Duomenų subjektai gali įgyvendinti šias teises:

• Teisė susipažinti: Galimybė prašyti ir gauti patvirtinimą, ar jų duomenys yra tvarkomi, kartu su prieiga prie duomenų.
• Teisė ištaisyti: Teisė pataisyti ar atnaujinti netikslius ar neišsamius Asmens duomenis.
• Teisė ištrinti ("Teisė būti pamirštam"): Teisė prašyti ištrinti Asmens duomenis, atsižvelgiant į teisinius ir sutartinius įsipareigojimus.
• Teisė apriboti tvarkymą: Galimybė apriboti Asmens duomenų tvarkymą tam tikromis sąlygomis.
• Teisė į duomenų perkeliamumą: Galimybė gauti ir perkelti Asmens duomenis kitam paslaugų teikėjui, kai tai techniškai įmanoma.
• Teisė prieštarauti: Teisė prieštarauti tvarkymui, grindžiamam teisėtais interesais, tiesioginei rinkodarai ar automatizuotam sprendimų priėmimui.
• Teisė atšaukti sutikimą: Jei tvarkymas grindžiamas sutikimu, Duomenų subjektas gali bet kada atšaukti sutikimą.

Kliento atsakomybės: Klientas, veikdamas kaip Duomenų valdytojas, yra atsakingas už Duomenų subjektų prašymų tvarkymą. Mes suteiksime **pagrįstą pagalbą** gavę prašymą, užtikrindami, kad atsakymai būtų pateikti **greitai ir laikantis** taikomų įstatymų.

Mes tiesiogiai neatsakysime į Duomenų subjekto prašymą, nebent teisiškai privalėtume tai padaryti arba būtume aiškiai įgalioti Kliento.

8. Pranešimas apie duomenų pažeidimą

ULTEH rimtai žiūri į saugumą ir įgyvendina **prevencines priemones** Asmens duomenims apsaugoti. Tačiau įvykus **Asmens duomenų saugumo pažeidimui**, mes veiksime **greitai ir skaidriai**.

Duomenų pažeidimo reagavimo planas: Jei sužinosime apie **patvirtintą Asmens duomenų saugumo pažeidimą**, kuris gali sukelti **neteisėtą prieigą, praradimą, pakeitimą ar Asmens duomenų atskleidimą**, mes:

• **Įvertinsime poveikį** ir imsimės neatidėliotinų veiksmų rizikai sumažinti.
• **Pranešime Klientui be nepagrįsto delsimo** (paprastai per 48 valandas nuo patvirtinimo).
• Pateiksime informaciją, įskaitant:
  • Pažeidimo pobūdį ir apimtį.
  • Paveiktų duomenų tipą.
  • Galimas pasekmes.
  • Priemones, kurių imtasi ar siūloma imtis pažeidimui spręsti.
• **Padėsime Klientui** vykdyti reguliavimo įsipareigojimus, įskaitant pranešimus institucijoms ir paveiktiems Duomenų subjektams, kai būtina.
• **Įgyvendinsime taisomuosius veiksmus** siekdami išvengti būsimų pažeidimų.

Kliento atsakomybės: Klientas yra atsakingas už sprendimą, ar pranešti reguliavimo institucijoms ir Duomenų subjektams laikantis taikomų Duomenų apsaugos įstatymų.

Mes dokumentuosime visus pažeidimus ir saugosime įrašus apie mūsų **tyrimus, rizikos mažinimo pastangas ir taisomuosius veiksmus**.

9. Duomenų saugojimas ir ištrynimas

ULTEH saugo **Asmens duomenis tik tiek laiko, kiek būtina** vykdyti savo įsipareigojimus pagal šį Susitarimą arba kaip reikalauja taikomi įstatymai.

Duomenų saugojimo politika:

• Mes laikomės **duomenų minimizavimo principų**, užtikrindami, kad duomenys būtų saugomi tik **teisėtiems verslo ir atitikties poreikiams**.
• Duomenys bus ištrinti arba anonimizuoti, kai jie **nebereikalingi** tvarkymo tikslams.
• Saugojimo laikotarpiai gali skirtis priklausomai nuo **teisinių, sutartinių ar reguliavimo reikalavimų**.

Kliento kontroliuojamas duomenų ištrynimas:

• Klientai gali bet kada prašyti **ištrinti Asmens duomenis**.
• Nutraukus paslaugas, mes **ištrinsime arba grąžinsime Asmens duomenis** pagal Kliento nurodymus.
• Jei nepateikiamas ištrynimo prašymas, mes **automatiškai ištrinsime** Asmens duomenis per pagrįstą laiko tarpą, nebent teisiškai būtina juos išsaugoti.

Išimtys duomenų ištrynimui: Tam tikrais atvejais mes galime **išsaugoti Asmens duomenis** ilgiau nei sutartas saugojimo laikotarpis, įskaitant:

• Siekiant laikytis **teisinių įsipareigojimų** (pvz., mokesčių, audito ar reguliavimo reikalavimų).
• Dėl **teisėtų interesų**, tokių kaip sukčiavimo prevencija ar saugumo tyrimai.
• Kai to reikalauja **teisiškai įpareigojantis prašymas** (pvz., teismo įsakymas).

Mes užtikriname, kad būtų laikomasi **saugaus ištrynimo procedūrų**, užkertant kelią bet kokiam neteisėtam Asmens duomenų atkūrimui ar netinkamam naudojimui.

10. Taikytina teisė ir ginčų sprendimas

Šis Duomenų tvarkymo priedas (DTP) turi būti valdomas ir aiškinamas pagal **tas pačias teisės ir jurisdikcijos nuostatas**, kaip apibrėžta pagrindiniame susitarime tarp ULTEH ir Kliento.

Ginčų sprendimo procesas: Jei kyla ginčas dėl šio DTP, abi šalys sutinka laikytis struktūrizuoto sprendimo proceso, įskaitant:

• Geros valios derybas: Šalys pirmiausia bandys išspręsti ginčus per tiesiogines diskusijas ir derybas.
• Tarpininkavimą ar arbitražą: Jei derybos nepavyks, ginčas gali būti perduotas tarpininkavimui ar arbitražui, kaip numatyta pagrindiniame susitarime.
• Teisinius procesus: Jei nebus pasiektas sprendimas, ginčai gali būti sprendžiami per formalius teisinius procesus taikomoje jurisdikcijoje.

Jei kyla konfliktas tarp šio DTP ir pagrindinio susitarimo, **šio DTP sąlygos turi pirmenybę** tik duomenų apsaugos klausimais, užtikrinant atitiktį taikomiems Duomenų apsaugos įstatymams.

11. Baigiamosios nuostatos

Šis Duomenų tvarkymo priedas sudaro neatsiejamą bendro susitarimo tarp ULTEH ir Kliento dalį. Toliau naudodamasis Paslaugomis, Klientas pripažįsta ir **priima šio DTP sąlygas**.

Jei bet kuri šio DTP nuostata būtų pripažinta **negaliojančia ar neįgyvendinama**, likusios nuostatos toliau galios visa apimtimi. Šalys sutinka pakeisti bet kokią neįgyvendinamą nuostatą tokia, kuri kuo tiksliau atspindi pradinį ketinimą, kartu išliekant suderinama su taikomais įstatymais.

Pakeitimai ir atnaujinimai: Mes pasiliekame teisę **keisti ar atnaujinti šį DTP**, kad būtų atspindėti pokyčiai taikomuose **Duomenų apsaugos įstatymuose, pramonės praktikoje ar operaciniuose poreikiuose**. Klientams bus pranešta apie bet kokius esminius pakeitimus, o tolesnis Paslaugų naudojimas reiškia atnaujintų sąlygų priėmimą.

Kontaktinė informacija: Dėl bet kokių klausimų, susirūpinimų ar norėdami gauti pasirašytą šio DTP kopiją, Klientai gali susisiekti su mumis adresu: [email protected].