Duomenų apdorojimo priedas

1. Įvadas

ULTEH yra įsipareigojusi užtikrinti klientų duomenų privatumą, saugumą ir atitiktį reikalavimams. Šiame duomenų tvarkymo priede (DPA) apibrėžiamos sąlygos, reglamentuojančios, kaip mes tvarkome, saugome ir saugome asmens duomenis pagal taikomus duomenų apsaugos įstatymus ir kitus teisės aktus. Šis DPA yra mūsų pagrindinės sutarties su Klientais pratęsimas ir taikomas, kai ULTEH tvarko asmens duomenis Kliento vardu kaip duomenų tvarkytojas. Jame aiškiai nustatomos abiejų šalių pareigos dėl duomenų tvarkymo, užtikrinant atitiktį atitinkamiems privatumo įstatymams. Naudojant ULTEH, Klientai patvirtina ir sutinka su šioje DPA nustatytomis sąlygomis. Jei atitikties tikslais jums reikia pasirašytos šios sutarties kopijos, susisiekite su mumis.

2. Apibrėžimai

Partneris reiškia bet kurį subjektą, kuris tiesiogiai ar netiesiogiai kontroliuoja, yra kontroliuojamas šalies arba yra bendrai kontroliuojamas su šalimi. „Kontrolė“ reiškia tiesioginį ar netiesioginį bent 50 % balsavimo teisę turinčių akcijų, nuosavybės teisių ar panašių teisių subjekte turėjimą, suteikiantį galimybę daryti įtaką jo valdymui ir politikai. Laikoma, kad filialai yra saistomi šioje DPA nurodytų įsipareigojimų ir atsakomybės tiek, kiek jie dalyvauja tvarkant asmens duomenis.

Įgaliotas subtvarkytojas reiškia bet kurį trečiosios šalies tiekėją, paslaugų teikėją ar rangovą, kurį Paslaugų teikėjas pasamdė tvarkyti Kliento asmens duomenis griežtai Paslaugų teikėjo vardu ir pagal jo nurodymus. Įgalioti Subtvarkytojai padeda vykdyti įsipareigojimus pagal šią DPA ir pagrindinę Sutartį. Visi Subtvarkytojai privalo laikytis tų pačių duomenų apsaugos įsipareigojimų, užtikrindami saugumą, konfidencialumą ir atitiktį teisės aktams.

Paskyros duomenys reiškia visą su verslu susijusią informaciją, kurią Paslaugų teikėjas renka, saugo ir tvarko vykdydamas sutartinius santykius su Klientu. Tai apima, bet neapsiriboja, asmenų, kuriuos Klientas įgaliojo valdyti ir naudoti savo paskyrą Paslaugų teikėjo platformoje, vardus, pavardes, el. pašto adresus, telefono numerius, mokėjimo informaciją ir prieigos duomenis. Paskyros duomenys naudojami tik administravimo, atsiskaitymo ir palaikymo tikslais.

Duomenų apsaugos įstatymai apima visus taikomus įstatymus, reglamentus ir sistemas, reglamentuojančias asmens duomenų rinkimą, tvarkymą, saugojimą, perdavimą ir apsaugą. Tai apima, bet neapsiriboja, Europos Sąjungos Bendruoju duomenų apsaugos reglamentu (BDAR), JK BDAR, taikomu Jungtinei Karalystei, Kalifornijos vartotojų privatumo įstatymu (CCPA) ir bet kokiais kitais nacionaliniais ar tarptautiniais privatumo įstatymais, susijusiais su duomenų tvarkymo veikla pagal šią Sutartį. Šių įstatymų laikymasis užtikrina, kad asmens duomenys būtų tvarkomi teisėtai, skaidriai ir saugiai.

Asmeniniai duomenys reiškia bet kokią informaciją, susijusią su identifikuotu arba identifikuojamu fiziniu asmeniu („Duomenų subjektu“). Identifikuojamas asmuo yra tas, kurio tapatybė gali būti nustatyta tiesiogiai arba netiesiogiai, ypač remiantis identifikatoriais, tokiais kaip vardas, pavardė, el. pašto adresas, telefono numeris, vietos duomenys, internetinis identifikatorius (pvz., IP adresas arba slapukai) arba kiti unikalūs veiksniai, apibrėžiantys jo tapatybę. Asmens duomenys neapima nuasmenintų arba apibendrintų duomenų, kurių negalima naudoti asmeniui identifikuoti.

Apdorojimas reiškia bet kokią automatizuotomis arba rankiniu būdu su Asmens duomenimis atliekamą operaciją ar operacijų rinkinį. Tai apima, bet neapsiriboja, Asmens duomenų rinkimu, įrašymu, tvarkymu, struktūrizavimu, saugojimu, pritaikymu, keitimu, paieška, peržiūra, naudojimu, atskleidimu, perdavimu, apribojimu, ištrynimu ar sunaikinimu. Tvarkymas atliekamas laikantis Kliento nurodymų ir taikomų Duomenų apsaugos įstatymų.

Saugumo priemonės reiškia technines ir organizacines apsaugos priemones, įdiegtas siekiant užtikrinti asmens duomenų konfidencialumą, vientisumą ir prieinamumą. Šios priemonės apima šifravimą, prieigos kontrolę, užkardas, duomenų maskavimą, pseudonimizavimą, reguliarius saugumo auditus ir pranešimų apie pažeidimus mechanizmus. Saugumo priemonės skirtos užkirsti kelią neteisėtai prieigai prie asmens duomenų, atsitiktiniam praradimui ar neteisėtam tvarkymui.

Priežiūros institucija reiškia nepriklausomą valdžios instituciją, atsakingą už duomenų apsaugos įstatymų laikymosi stebėseną ir vykdymą. Pavyzdžiui, **Europos duomenų apsaugos valdyba (EDPB)**, skirta su BDAR susijusiems klausimams, **JK informacijos komisaro biuras (ICO)**, skirtas JK BDAR, ir **Kalifornijos privatumo apsaugos agentūra (CPPA)**, skirta CCPA vykdymui. Priežiūros institucija turi teisinius įgaliojimus tirti skundus, teikti rekomendacijas ir skirti baudas už neatitikimą.

Duomenų subjekto teisės nurodyti teises, suteikiamas asmenims pagal taikomus duomenų apsaugos įstatymus. Šios teisės gali apimti teisę susipažinti su savo asmens duomenimis, juos ištaisyti, ištrinti, apriboti arba perduoti, taip pat teisę nesutikti su tvarkymu ir pateikti skundus priežiūros institucijai. Paslaugų teikėjas padeda klientams sudaryti sąlygas įgyvendinti šias teises, kai taikoma.

3. Duomenų tvarkymas

Klientas gali veikti kaip Duomenų valdytojas arba Duomenų tvarkytojas, priklausomai nuo jo ryšio su Duomenų subjektu ir tikslų, kuriais tvarkomi Asmens duomenys. Visais atvejais ULTEH veikia kaip Duomenų tvarkytojas, tvarkydamas Asmens duomenis Kliento vardu ir pagal jo nurodymus.

Klientas yra atsakingas už tai, kad visa duomenų tvarkymo veikla, atliekama naudojantis mūsų Paslaugomis, atitiktų Taikomi duomenų apsaugos įstatymai, įskaitant, bet neapsiribojant Bendrasis duomenų apsaugos reglamentas (BDAR), JK BDAR, Kalifornijos vartotojų privatumo įstatymas (CCPA) ir kiti taikomi privatumo reglamentai. Klientas patvirtina, kad turi teisinį pagrindą tvarkyti Asmens duomenis ir atlygina mums bet kokius reikalavimus, atsakomybę ar žalą, atsiradusius dėl šių teisinių reikalavimų nesilaikymo.

Mes tvarkysime asmens duomenis tik pagal rašytinius Kliento nurodymus ir tik tiek, kiek tai būtina Paslaugoms teikti, nebent įstatymai numatytų kitaip. Mes nenaudosime, neatskleisime ir nebendrinsime Asmens duomenų jokiais kitais tikslais, išskyrus tuos, kuriuos leidžia Klientas arba kurie aiškiai nurodyti šioje Sutartyje.

Po Sutarties nutraukimas arba Kliento prašymas, Kliento nuožiūra mes arba: (a) Saugiai ištrinti visus pagal šią Sutartį tvarkomus Asmens duomenis, užtikrinant, kad nebūtų palikta jokių kopijų, nebent to reikalautų įstatymai, arba (b) Grąžinkite asmens duomenis prieš ištrinant duomenis, Klientui juos pateikiant struktūrizuotu, įprastai naudojamu ir kompiuterio skaitomu formatu. Klientas privalo pateikti tokius prašymus per pagrįstą laikotarpį iki nutraukimo.

Jei esame teisiškai įpareigoti saugoti Asmens duomenis po Sutarties nutraukimo, apie tai pranešime Klientui (nebent tai būtų draudžiama teisiškai) ir užtikrinsime, kad tokie duomenys ir toliau būtų apsaugoti laikantis Duomenų apsaugos įstatymų.

4. Saugumas ir konfidencialumas

ULTEH yra įsipareigojusi saugoti saugumą ir konfidencialumą Asmeniniai duomenys tvarkoma vardu Klientas. Siekdami užtikrinti duomenų vientisumą ir saugumą, įdiegiame ir palaikome pirmaujančios pramonės saugumo priemonės skirta užkirsti kelią neteisėtai prieigai prie asmens duomenų, jų atskleidimui, pakeitimui ar sunaikinimui.

Šie saugumo priemonės apima, bet neapsiriboja:

• Duomenų šifravimas: Asmens duomenys yra šifruojami tiek perdavimo, tiek saugojimo metu naudojant pramonės standartus atitinkančius šifravimo protokolus, siekiant apsaugoti nuo neteisėtos prieigos.
• Prieigos kontrolė: Griežtos prieigos valdymo politikos užtikrina, kad prieigą prie asmens duomenų turėtų tik įgalioti darbuotojai, vadovaujantis minimalių privilegijų principu.
• Tinklo ir sistemos saugumas: Ugniasienės, įsilaužimų aptikimo sistemos ir nuolatinis stebėjimas padeda užkirsti kelią neteisėtai prieigai ir kibernetinėms grėsmėms.
• Duomenų anonimizavimas ir pseudonimizavimas: Kai taikoma, asmens duomenys gali būti nuasmeninti arba pseudonimizuoti, siekiant sumažinti su duomenų atskleidimu susijusią riziką.
• Reguliarūs saugumo auditai: Atliekame periodinius saugumo vertinimus, pažeidžiamumų testus ir atitikties patikras, kad nustatytume ir sumažintume rizikas.
• Incidentų reagavimo planas: Struktūrizuotas incidentų reagavimo protokolas užtikrina, kad bet koks saugumo pažeidimas būtų nedelsiant nustatytas, sušvelnintas ir apie jį pranešta laikantis taikomų duomenų apsaugos įstatymų.

Bet kuris asmuo, įskaitant darbuotojus, rangovus ir įgaliotus paslaugų teikėjus, kuris tvarko asmens duomenis mūsų vardu, privalo laikytis griežti konfidencialumo įsipareigojimai. Tai apima teisiškai įpareigojančio pasirašymą neatskleidimo susitarimai (NDA) ir laikantis vidinių duomenų tvarkymo politikos, siekiant užtikrinti duomenų privatumo ir saugumo standartų laikymąsi.

Mes nedelsdami pranešime Klientui apie bet kokį **patvirtintą saugumo pažeidimą**, dėl kurio gali būti netyčia ar neteisėtai sunaikinti, prarasti, pakeisti, neteisėtai atskleisti Asmens duomenys arba prie jų gauti prieigą. Tokiuose pranešimuose bus pateikta išsami informacija apie incidentą, galimą poveikį ir taisomąsias priemones, kurių imtasi rizikai sušvelninti.

Mes nuolat peržiūrime ir atnaujiname savo saugumo priemones pagal besivystantys pramonės standartai ir reguliavimo reikalavimai siekiant užtikrinti nuolatinę Kliento duomenų apsaugą.

5. Subprocesoriai

ULTEH gali įsitraukti trečiųjų šalių subrangovų duomenų tvarkytojai padėti teikti ir prižiūrėti Paslaugas. Šie Subtvarkytojai atlieka konkrečias funkcijas, pvz., duomenų saugojimą, infrastruktūros talpinimą, analizę ar klientų aptarnavimą. Užtikriname, kad visi pasitelkti Subtvarkytojai laikytųsi griežti duomenų apsaugos įsipareigojimai lygiaverčiai šiame DPA nurodytiems.

Mes atnaujiname subrangovų sąrašą, įskaitant jų vaidmenis ir apdorojimo vietas. Klientai gali bet kada susisiekti su mumis ir paprašyti informacijos apie dabartinius subrangovus.

Klientų teisės ir prieštaravimai:

• Apie visus **naujus Subrangovų įsipareigojimus** Klientams pranešime bent 10 dienų iš anksto.
• Klientai per šį 10 dienų laikotarpį gali pateikti rašytinį **prieštaravimą** dėl naujo Subtvarkytojo naudojimo, jei jie turi pagrįstų **duomenų apsaugos problemų**.
• Gavę prieštaravimą, pradėsime **sąžiningas diskusijas**, kad išspręstume problemas, įskaitant alternatyvių sprendimų paiešką.
• Jei nepavyksta rasti abipusiai priimtino sprendimo, Klientas gali turėti teisę **nutraukti atitinkamas Paslaugas** pagal Sutartį.

Mes liekame visiškai atsakingas ir įpareigojantis už mūsų subrangovų veiksmus ir užtikrinti, kad jie laikytųsi:

• Duomenų apsaugos įstatymai, įskaitant BDAR, CCPA ir kitus taikomus reglamentus.
• Konfidencialumo susitarimai siekiant apsaugoti Asmens duomenis.
• Pramonės standartų saugumo priemonės siekiant užkirsti kelią neteisėtai prieigai prie duomenų ar jų netinkamam naudojimui.

Pasiliekame teisę **atnaujinti arba pakeisti** savo subrangovų duomenis pagal poreikį, tinkamai atsižvelgdami į Klientų problemas ir nuolatinius atitikties įsipareigojimus.

6. Asmens duomenų perdavimas

ULTEH gali perduoti Asmeniniai duomenys už Europos ekonominė erdvė (EEE), Jungtinė Karalystė (JK) arba Šveicarija kad būtų lengviau teikti Paslaugas. Kai įvyksta toks perdavimas, užtikriname, kad būtų tinkamai teisinės apsaugos priemonės yra įdiegtos priemonės, skirtos apsaugoti perduodamus duomenis laikantis taikomų duomenų apsaugos įstatymų.

Mes naudojame pripažintus duomenų perdavimo mechanizmus, įskaitant, bet neapsiribojant:

• Standartinės sutarčių sąlygos (SCS): Siekdami užtikrinti teisėtą duomenų perdavimą, taikome Europos Komisijos arba kitų kompetentingų institucijų patvirtintas standartines sąlygas.
• Papildomos priemonės: Prireikus taikome papildomas technines, organizacines ir sutartines apsaugos priemones, siekdami sustiprinti duomenų apsaugą.
• Privalomos įmonių taisyklės (ĮPT): Kai taikoma, mūsų susiję subjektai laikosi ĮPRI, užtikrindami aukštą duomenų apsaugos lygį tarptautinėje veikloje.
• Kiti patvirtinti perdavimo mechanizmai: Mes laikomės visų papildomų sistemų, sertifikatų ar teisinių priemonių, pripažintų teisėtam tarpvalstybiniam duomenų perdavimui.

Klientų teisės ir pagalba: Esame įsipareigoję padėti Klientui užtikrinti atitiktį Duomenų subjektų teisės pagal taikomus duomenų apsaugos įstatymus. Tai apima, bet neapsiriboja:

• Prieigos užklausos: Duomenų subjektų galimybės susipažinti su savo asmens duomenimis suteikimas.
• Prašymai ištaisyti duomenis: Leidžiama ištaisyti netikslius arba nepilnus duomenis.
• Prašymai ištrinti duomenis („Teisė būti pamirštam“): Pagalba ištrinant asmens duomenis gavus prašymą, kai tai leidžiama pagal įstatymus.
• Prieštaravimas ir tvarkymo apribojimas: Duomenų subjektų pagalba įgyvendinant jų teises nesutikti su duomenų tvarkymu arba jį apriboti.
• Duomenų perkeliamumas: Asmens duomenų perdavimo kitam duomenų valdytojui palengvinimas, kai taikoma.

Mes nuolat stebime pasaulinius privatumo reglamentus, kad užtikrintume atitiktį **tarpvalstybinio duomenų perdavimo reikalavimams**, ir pranešime Klientui, jei teisinės sistemos pakeitimai turės įtakos mūsų duomenų tvarkymo įsipareigojimams.

7. Duomenų subjekto teisės

ULTEH pripažįsta ir gerbia **Duomenų subjektų** teises pagal taikomus **Duomenų apsaugos įstatymus**. Mes padėsime **Klientui**, kaip duomenų valdytojui, atsakyti į asmenų prašymus dėl jų **Asmens duomenų**.

Duomenų subjektai gali pasinaudoti šiomis teisėmis:

• Teisė susipažinti su duomenimis: Galimybė prašyti ir gauti patvirtinimą, ar jų duomenys yra tvarkomi, taip pat prieigą prie duomenų.
• Teisė į ištaisymą: Teisė ištaisyti arba atnaujinti netikslius arba neišsamius asmens duomenis.
• Teisė į ištrynimą („Teisė būti pamirštam“): Teisė prašyti ištrinti asmens duomenis, laikantis teisinių ir sutartinių įsipareigojimų.
• Teisė apriboti tvarkymą: Galimybė tam tikromis sąlygomis apriboti asmens duomenų tvarkymą.
• Teisė į duomenų perkeliamumą: Galimybė gauti ir perduoti asmens duomenis kitam paslaugų teikėjui, kai tai techniškai įmanoma.
• Teisė nesutikti: Teisė nesutikti su tvarkymu, pagrįstu teisėtais interesais, tiesiogine rinkodara arba automatizuotu sprendimų priėmimu.
• Teisė atšaukti sutikimą: Jei tvarkymas grindžiamas sutikimu, Duomenų subjektas gali bet kada atšaukti sutikimą.

Kliento pareigos: Klientas, veikdamas kaip duomenų valdytojas, yra atsakingas už duomenų subjekto prašymų tvarkymą. Gavę prašymą, suteiksime **pagrįstą pagalbą**, užtikrindami, kad atsakymai būtų pateikti **greitai ir laikantis** taikomų įstatymų.

Mes tiesiogiai neatsakysime į Duomenų subjekto užklausą, nebent to reikalautų įstatymai arba tai būtų aiškiai įgaliotas Klientas.

8. Pranešimas apie duomenų pažeidimą

ULTEH rimtai žiūri į saugumą ir įgyvendina **prevencines priemones** asmens duomenims apsaugoti. Tačiau **asmens duomenų saugumo pažeidimo** atveju veiksime **greitai ir skaidriai**.

Duomenų saugumo pažeidimo reagavimo planas: Jei sužinosime apie **patvirtintą asmens duomenų saugumo pažeidimą**, dėl kurio gali būti **neteisėta prieiga prie asmens duomenų, jie gali būti prarasti, pakeisti arba atskleisti**, mes:

• **Įvertinkite pažeidimo poveikį** ir nedelsdami imkitės veiksmų rizikai sušvelninti.
• **Nedelsdami praneškite klientui** (paprastai per 48 valandas nuo patvirtinimo).
• Pateikite išsamią informaciją, įskaitant:
  • Pažeidimo pobūdis ir mastas.
  • Paveiktų duomenų tipas.
  • Galimos pasekmės.
  • Priemonės, kurių imtasi arba siūlomos pažeidimui pašalinti.
• **Padėti Klientui** vykdyti visus reguliavimo įsipareigojimus, įskaitant pranešimus valdžios institucijoms ir susijusiems duomenų subjektams, kai to reikalaujama.
• **Įgyvendinkite taisomuosius veiksmus**, kad išvengtumėte pažeidimų ateityje.

Kliento pareigos: Klientas yra atsakingas už tai, ar pranešti reguliavimo institucijoms ir Duomenų subjektams laikantis taikomų duomenų apsaugos įstatymų.

Dokumentuosime visus pažeidimus ir saugosime savo **tyrimo, švelninimo pastangų ir taisomųjų veiksmų** įrašus.

9. Duomenų saugojimas ir ištrynimas

ULTEH saugo **Asmens duomenis tik tiek laiko, kiek reikia**, kad įvykdytų savo įsipareigojimus pagal šią Sutartį arba kiek reikalaujama pagal galiojančius įstatymus.

Duomenų saugojimo politika:

• Mes laikomės **duomenų kiekio mažinimo principų**, užtikrindami, kad duomenys būtų saugomi tik **teisėtiems verslo ir atitikties poreikiams**.
• Duomenys bus ištrinti arba anonimizuoti, kai tik jų **nebereikės** apdorojimo tikslais.
• Saugojimo laikotarpiai gali skirtis priklausomai nuo **teisinių, sutartinių ar norminių reikalavimų**.

Kliento kontroliuojamas duomenų ištrynimas:

• Klientai gali bet kada pareikalauti **ištrinti asmens duomenis**.
• Nutraukus paslaugų teikimą, mes **ištrinsime arba grąžinsime asmens duomenis** pagal Kliento nurodymus.
• Jei nebus pateiktas prašymas ištrinti duomenis, mes **automatiškai ištrinsime** asmens duomenis per pagrįstą laikotarpį, nebent teisiškai įpareigotume juos saugoti.

Duomenų ištrynimo išimtys: Tam tikrais atvejais mes galime **saugoti asmens duomenis** ilgiau nei sutartas saugojimo laikotarpis, įskaitant:

• Kad būtų laikomasi **teisinių įsipareigojimų** (pvz., mokesčių, audito ar reguliavimo reikalavimų).
• Dėl **teisėtų interesų**, tokių kaip sukčiavimo prevencija ar saugumo tyrimai.
• Kai to reikalauja **privalomas teisinis prašymas** (pvz., teismo nutartis).

Užtikriname, kad būtų laikomasi **saugių ištrynimo procedūrų**, užkertant kelią bet kokiam neteisėtam asmens duomenų atkūrimui ar netinkamam naudojimui.

10. Taikoma teisė ir ginčų sprendimas

Šis Duomenų tvarkymo priedas (DPA) reglamentuojamas ir aiškinamas pagal **tą pačią teisę ir jurisdikciją**, kaip apibrėžta pagrindinėje sutartyje tarp ULTEH ir Klientas.

Ginčų sprendimo procesas: Kilus ginčui dėl šios DPA, abi šalys susitaria laikytis struktūrizuoto ginčų sprendimo proceso, įskaitant:

• Sąžiningos derybos: Šalys pirmiausia bandys išspręsti ginčus tiesioginėmis derybomis ir pokalbiais.
• Tarpininkavimas arba arbitražas: Jei derybos nepavyksta, ginčas gali būti perduotas mediacijai arba arbitražui, kaip numatyta pagrindinėje sutartyje.
• Teisminiai procesai: Jei nepavyksta susitarti, ginčai gali būti sprendžiami oficialiu teisiniu procesu atitinkamoje jurisdikcijoje.

Kilus bet kokiam šios DPA ir pagrindinės sutarties prieštaravimui, **šios DPA sąlygos yra viršesnės** tik dėl duomenų apsaugos klausimų, užtikrinant atitiktį taikomiems teisės aktams. Duomenų apsaugos įstatymai.

11. Baigiamosios nuostatos

Šis Duomenų tvarkymo priedas yra neatsiejama bendro susitarimo tarp ULTEH ir Klientas. Toliau naudodamasis Paslaugomis, Klientas patvirtina, kad supranta ir **sutinka su šios DPA sąlygomis**.

Jei kuri nors šios DPA nuostata pripažįstama **negaliojančia arba neįgyvendinama**, likusios nuostatos lieka galioti visa apimtimi. Šalys susitaria pakeisti bet kurią neįgyvendinamą nuostatą tokia, kuri kuo tiksliau atitiktų pradinį tikslą, kartu laikantis taikomų įstatymų.

Pakeitimai ir atnaujinimai: Pasiliekame teisę **keisti arba atnaujinti šią DPA**, kad ji atspindėtų taikomų **duomenų apsaugos įstatymų, pramonės praktikos ar veiklos poreikių** pakeitimus. Klientai bus informuoti apie visus esminius pakeitimus, o tolesnis Paslaugų naudojimas reiškia atnaujintų sąlygų sutikimą.

Kontaktinė informacija: Jei turite klausimų, abejonių arba norite gauti pasirašytą šios DPA kopiją, klientai gali susisiekti su mumis adresu: [email protected].