Duomenų tvarkymo priedas

1. Įvadas

ULTEH yra pasiryžusi užtikrinti klientų duomenų privatumą, saugumą ir atitiktį. Šis duomenų tvarkymo priedas (DPA) apibrėžia sąlygas, reglamentuojančias, kaip tvarkome, saugome ir apsaugome asmens duomenis laikantis taikomų duomenų apsaugos įstatymų ir nuostatų. Šis DPA yra mūsų pagrindinės sutarties su klientais pratęsimas ir taikomas, kai ULTEH Apdoroja asmens duomenis Kliento vardu kaip duomenų tvarkytojas. Tai nustato aiškias abiejų šalių atsakomybes duomenų tvarkymo klausimais ir užtikrina atitiktį galiojantiems privatumo įstatymams. Naudodamiesi ULTEH, Klientai patvirtina ir sutinka su šiame DPA nustatytomis sąlygomis. Jei jums reikia pasirašytos šio susitarimo kopijos dėl atitikties reikalavimų, susisiekite su mumis.

2. Apibrėžimai

Partneris Reiškia bet kokį subjektą, kuris tiesiogiai arba netiesiogiai valdo, yra valdomas arba yra bendros kontrolės su šalimi objekto dalis. 'Kontrolė' reiškia tiesioginę arba netiesioginę bent 50 % balsų teisę turinčių akcijų, kapitalo dalies ar panašių teisių nuosavybę subjekte, suteikiančią galimybę daryti įtaką jo vadovybei ir politikai. Susijusios įmonės laikomos įsipareigojusiomis vykdyti šiame DPA išdėstytas pareigas ir atsakomybes tiek, kiek jos dalyvauja asmens duomenų tvarkyme.

Įgaliotas subapdorotojas reiškia bet kurį trečiosios šalies tiekėją, paslaugų teikėją ar rangovą, kurį Paslaugų teikėjas įtraukia apdoroti Kliento asmens duomenis griežtai Paslaugų teikėjo vardu ir pagal jo nurodymus. Įgalioti subprocesoriai padeda vykdyti įsipareigojimus pagal šį DPA ir pagrindinę sutartį. Visi subprocesoriai privalo laikytis tų pačių duomenų apsaugos pareigų, užtikrindami saugumą, konfidencialumą ir atitiktį reglamentams.

Paskyros duomenys reiškia visą su verslu susijusią informaciją, kurią Paslaugų teikėjas renka, saugo ir tvarko savo sutartinio ryšio su Klientu kontekste. Tai apima, bet neapsiriboja, vardus, el. pašto adresus, telefono numerius, mokėjimo duomenis ir prieigos kredencialus asmenų, kuriuos Klientas įgaliotas valdyti ir eksploatuoti savo paskyrą Paslaugų teikėjo platformoje. Paskyros duomenys naudojami griežtai administraciniais, sąskaitų išrašymo ir palaikymo tikslais.

Duomenų apsaugos įstatymai apima visus taikomus įstatymus, taisykles ir sistemas, reglamentuojančias Asmens duomenų rinkimą, tvarkymą, saugojimą, perdavimą ir apsaugą. Tai apima, bet neapsiriboja, Europos Sąjungos Bendruoju duomenų apsaugos reglamentu (GDPR), Jungtinėje Karalystėje taikomu UK GDPR, Kalifornijos vartotojų privatumą reglamentuojančiu įstatymu (CCPA) ir bet kokiais kitais nacionaliniais ar tarptautiniais privatumo teisės aktais, kurie yra svarbūs duomenų tvarkymo veikloms pagal šią Sutartį. Šių įstatymų laikymasis užtikrina, kad Asmens duomenys būtų tvarkomi teisėtai, skaidriai ir saugiai.

Asmens duomenys reiškia bet kokią informaciją, susijusią su identifikuotu arba identifikuojamu fiziniu asmeniu ('duomenų subjektas'). Identifikuojamas asmuo yra tas, kurį galima tiesiogiai ar netiesiogiai identifikuoti, ypač remiantis identifikatoriais, tokiais kaip vardas, el. pašto adresas, telefono numeris, vietos duomenys, interneto identifikatorius (pvz., IP adresas ar slapukai) arba kiti unikalūs veiksniai, apibrėžiantys jo tapatybę. Asmens duomenys neapima anonimizuotų ar agreguotų duomenų, kurių negalima panaudoti asmens identifikacijai.

Apdorojama reiškia bet kokią operaciją ar operacijų rinkinį, atliekamą su asmens duomenimis, nesvarbu, ar tai daroma automatizuotai ar rankiniu būdu. Tai apima, bet tuo neapsiriboja, asmens duomenų rinkimą, įrašymą, organizavimą, struktūrizavimą, saugojimą, pritaikymą, keitimą, atkūrimą, prieigą, naudojimą, atskleidimą, perdavimą, apribojimą, ištrynimą ar sunaikinimą. Tvarkymas vykdomas pagal Kliento nurodymus ir taikomus asmens duomenų apsaugos įstatymus.

Saugos priemonės Reiškia technines ir organizacines apsaugos priemones, įdiegtas siekiant užtikrinti Asmens duomenų konfidencialumą, vientisumą ir prieinamumą. Šios priemonės apima šifravimą, prieigos kontrolę, užkardas (firewall), duomenų maskavimą, pseudonimizaciją, reguliarius saugumo auditus ir pranešimų apie pažeidimus mechanizmus. Saugumo priemonės skirtos užkirsti kelią neteisėtam prieigai, atsitiktiniam praradimui arba neteisėtam Asmens duomenų tvarkymui.

Priežiūros institucija reiškia nepriklausomą viešąją instituciją, atsakingą už duomenų apsaugos įstatymų laikymosi stebėseną ir vykdymą. Pavyzdžiai: **European Data Protection Board (EDPB)** su GDPR susijusiais klausimais, **UK Information Commissioner's Office (ICO)** dėl Jungtinės Karalystės GDPR ir **California Privacy Protection Agency (CPPA)** dėl CCPA taikymo. Priežiūros institucija turi įstatyminę galią tirti skundus, teikti gaires ir taikyti sankcijas už nesilaikymą.

Duomenų subjektų teisės reiškia teises, suteiktas asmenims pagal taikomus duomenų apsaugos įstatymus. Šios teisės gali apimti teisę gauti prieigą, taisyti, ištrinti, riboti arba perkelti savo asmens duomenis, taip pat teisę prieštarauti tvarkymui ir pateikti skundus priežiūros institucijai. Paslaugų teikėjas padeda Klientams palengvinti šių teisių įgyvendinimą, kai tai taikoma.

3. Duomenų apdorojimas

Klientas gali veikti kaip bet kuris iš dviejų Duomenų valdytojas arba Duomenų tvarkytojas, priklausomai nuo jo santykio su duomenų subjektu ir nuo tikslų, kuriems tvarkomi asmens duomenys. Visais atvejais, ULTEH veikia kaip Duomenų tvarkytojas, asmeninių duomenų tvarkymas Kliento vardu ir pagal Kliento nurodymus.

Klientas yra atsakingas už tai, kad užtikrintų, jog visos duomenų tvarkymo veiklos, atliekamos naudojant mūsų paslaugas, atitiktų Taikomi duomenų apsaugos įstatymai, įskaitant, bet neapsiribojant Bendrasis duomenų apsaugos reglamentas (GDPR), UK GDPR, Kalifornijos vartotojų privatumo įstatymas (CCPA) ir kiti taikytini privatumo reglamentai. Klientas patvirtina, kad turi teisinį pagrindą tvarkyti asmens duomenis ir atlygina mums bet kokius reikalavimus, atsakomybes ar žalą, atsiradusią dėl šių teisinių reikalavimų nesilaikymo.

Mes apdorosime asmens duomenis. tik laikantis kliento raštiškų nurodymų ir tik tiek, kiek būtina teikti Paslaugas, nebent įstatymas numato kitaip. Mes nenaudosime, neatskleisime ar neperduosime Asmens duomenų jokiems kitiems tikslams, išskyrus tuos, kuriems leido Klientas arba kurie aiškiai nurodyti šioje Sutartyje.

atvykus sutarties nutraukimas arba kliento prašymu, mes, Kliento nuožiūra, arba: (a) Ištrinti saugiai visi Asmens Duomenys, tvarkomi pagal šią Sutartį, užtikrinant, kad neliktų kopijų, nebent to reikalautų įstatymas, arba (b) Grąžinti asmens duomenis Klientui struktūrizuotu, plačiai naudojamu ir mašiniškai skaitomu formatu prieš ištrynimą. Klientas privalo pateikti tokius prašymus per pagrįstą terminą prieš nutraukimą.

Jei įstatymai reikalauja, kad po nutraukimo saugotume asmens duomenis, pranešime klientui (išskyrus atvejus, kai teisė mus tam draudžia) ir užtikrinsime, kad tokie duomenys būtų apsaugoti laikantis duomenų apsaugos įstatymų.

4. Sauga ir konfidencialumas

ULTEH įsipareigoja saugoti saugumą ir konfidencialumą Asmens duomenys apdorota vardu Klientas. Siekiant užtikrinti duomenų vientisumą ir saugumą, mes įdiegiame ir palaikome pramonėje pirmaujančios saugumo priemonės Sukurtas siekiant užkirsti kelią neteisėtai prieigai, atskleidimui, pakeitimui ar asmens duomenų sunaikinimui.

Šie Saugumo priemonės įskaitant, bet neapsiribojant:

• Duomenų šifravimas: Asmens duomenys yra užšifruojami tiek perdavimo metu, tiek saugojimo metu, naudojant pramonės standartų šifravimo protokolus, siekiant apsaugoti juos nuo neteisėtos prieigos.
• Prieigos valdymas: Griežtos prieigos valdymo politikos užtikrina, kad tik įgaliotas personalas turi prieigą prie asmens duomenų, remiantis mažiausių privilegijų principu.
• Tinklų ir sistemų saugumas: Tinklo ugniasienės, įsibrovimų aptikimo sistemos ir nuolatinis stebėjimas padeda užkirsti kelią neleistinam prieigai ir kibernetinėms grėsmėms.
• Duomenų anonimizavimas ir pseudonimizavimas: Esant tinkamoms sąlygoms, asmens duomenys gali būti anonimizuoti arba pseudonimizuoti siekiant sumažinti riziką, susijusią su duomenų atskleidimu.
• Reguliarūs saugumo auditai: Atliekame periodines saugumo vertinimus, pažeidžiamumo testus ir atitikties patikrinimus, kad nustatytume ir sumažintume rizikas.
• Incidentų reagavimo planas: Struktūrizuotas reagavimo į incidentus protokolas užtikrina, kad bet koks saugumo pažeidimas būtų laiku aptiktas, sušvelnintas ir pranešta laikantis taikomų duomenų apsaugos teisės aktų.

Bet kuris asmuo, įskaitant darbuotojus, rangovus ir įgaliotus paslaugų teikėjus, kuris tvarko Asmens duomenis mūsų vardu, yra įpareigotas griežti konfidencialumo įsipareigojimai. Tai apima teisiškai vykdomų dokumentų pasirašymą konfidencialumo susitarimai (NDA) ir laikymąsi vidinių duomenų tvarkymo politikų, siekiant užtikrinti atitiktį duomenų privatumo ir saugumo standartams.

Mes nedelsdami informuosime Klientą apie bet kokį patvirtintą saugumo pažeidimą, kuris gali lemti netyčinį arba neteisėtą Asmens duomenų sunaikinimą, praradimą, pakeitimą, neįgaliotą atskleidimą arba prieigą. Tokie pranešimai apims incidento detales, galimą poveikį ir imtus taisomuosius veiksmus rizikoms mažinti.

Mes nuolat peržiūrime ir atnaujiname savo saugumo priemones pagal besivystantys pramonės standartai ir reguliavimo reikalavimai siekiant užtikrinti nuolatinę kliento duomenų apsaugą.

5. Subtvarkytojai

ULTEH gali bendrauti trečiųjų šalių subprocesoriai padėti teikti ir prižiūrėti Paslaugas. Šie subapdorotojai atlieka specifines funkcijas, tokias kaip duomenų saugojimas, infrastruktūros talpinimas, analizė ar klientų aptarnavimas. Mes užtikriname, kad visi įtraukti subapdorotojai laikytųsi griežtos duomenų apsaugos pareigos atitinka tas, kurios nurodytos šiame DPA.

Laikome atnaujintą subapdorotojų sąrašą, nurodydami jų vaidmenis ir duomenų tvarkymo vietas. Klientai bet kada gali paprašyti informacijos apie esamus subapdorotojus, susisiekę su mumis.

Kliento teisės ir prieštaravimai:

• Pranešime klientams apie bet kokius **naujus antrinių tvarkytojų įsitraukimus** bent 10 dienų iš anksto.
• Klientai per šį 10 dienų laikotarpį gali pateikti raštišką prieštaravimą dėl naujo subprocesoriaus naudojimo, jei jie turi pagrįstų susirūpinimų dėl duomenų apsaugos.
• Gavę prieštaravimą, užsiimsime geranoriškomis diskusijomis, kad spręstume susirūpinimus, kas gali apimti alternatyvių sprendimų paiešką.
• Jeigu nebus pasiektas abipusiškai priimtinas sprendimas, Klientas gali turėti teisę **nutraukti paveiktas Paslaugas** pagal Susitarimą.

Liekame visiškai atsakingas ir teisiškai atsakingas už mūsų subprocesorių veiksmus ir užtikrinti, kad jie laikytųsi:

• Duomenų apsaugos įstatymai, įskaitant GDPR, CCPA ir kitas taikomas taisykles.
• Konfidencialumo susitarimai siekiant apsaugoti asmens duomenis
• Saugumo priemonės, atitinkančios pramonės standartus siekiant užkirsti kelią neteisėtai prieigai arba duomenų piktnaudžiavimui.

Pasiliekame teisę prireikus **atnaujinti arba pakeisti** mūsų subprocesorius, tinkamai atsižvelgdami į klientų susirūpinimus ir tęstines atitikties prievoles.

6. Asmens duomenų perdavimai

ULTEH gali perkelti Asmens duomenys už Europos ekonominė erdvė (EEE), Jungtinė Karalystė (JK) arba Šveicarija siekiant palengvinti Paslaugų teikimą. Kai įvyksta tokie perdavimai, mes užtikriname, kad būtų taikomos tinkamos apsaugos priemonės. teisinės garantijos Yra taikomos priemonės, skirtos apsaugoti perduodamus duomenis pagal taikomus duomenų apsaugos įstatymus.

Remiamės pripažintais duomenų perdavimo mechanizmais, įskaitant, bet neapsiribojant:

• Standartinės sutarties nuostatos (SCCs): Naudojame Europos Komisijos arba kitų competentinių institucijų patvirtintas standartines sutarties nuostatas, kad užtikrintume teisėtą duomenų perdavimą.
• Papildomos priemonės: Prireikus taikome papildomas technines, organizacines ir sutartines apsaugos priemones, kad sustiprintume duomenų apsaugą.
• Privalomos įmonių taisyklės (BCRs): Kai taikoma, mūsų susijusios įmonės laikosi privalomųjų įmonių taisyklių (BCR), užtikrindamos aukštą duomenų apsaugos lygį tarptautinėse operacijose.
• Kiti patvirtinti perdavimo mechanizmai: Laikomės visų papildomų sistemų, sertifikatų ar teisinių instrumentų, pripažintų teisėtiems tarpvalstybiniams duomenų perdavimams.

Kliento teisės ir pagalba: Esame įsipareigoję padėti Klientui užtikrinti atitiktį su duomenų subjektų teisės pagal taikomus asmens duomenų apsaugos įstatymus. Tai apima, bet neapsiriboja:

• Prieigos užklausos: Suteikti duomenų subjektams galimybę prieiti prie savo asmens duomenų.
• Prašymai ištaisyti: Leidimas taisyti netikslius ar neišsamius duomenis.
• Prašymai dėl ištrynimo („teisė būti pamirštam”): Pagalba ištrinant asmens duomenis pateikus prašymą, kai tai leidžiama pagal įstatymą.
• Prieštaravimas ir tvarkymo apribojimas: Palaikymas duomenų subjektams, kad jie galėtų įgyvendinti savo teisę prieštarauti arba reikalauti duomenų tvarkymo veiklų apribojimo.
• Duomenų perkėlimas: Palengvinti asmens duomenų perdavimą kitam duomenų valdytojui, kai tai taikytina.

Nuolat stebime pasaulines privatumo taisykles, kad užtikrintume laikymąsi reikalavimų dėl tarpvalstybinių duomenų perdavimų, ir informuosime Klientą, jei pakeitimai teisiniame reguliavime paveiks mūsų duomenų tvarkymo įsipareigojimus.

7. Duomenų subjekto teisės

ULTEH Pripažįsta ir gerbia **duomenų subjektų** teises pagal taikomus **duomenų apsaugos įstatymus**. Padėsime **Klientui**, kaip duomenų valdytojui, atsakyti į asmenų prašymus, susijusius su jų **asmens duomenimis**.

Duomenų subjektai gali pasinaudoti šiomis teisėmis:

• Prieigos teisė: Galimybė prašyti ir gauti patvirtinimą, ar jų duomenys yra tvarkomi, taip pat prieigą prie šių duomenų.
• Teisė į ištaisymą: Teisė taisyti arba atnaujinti netikslius ar neišsamius asmens duomenis.
• Teisė į ištrynimą ('teisė būti pamirštam'): Teisė prašyti asmens duomenų ištrynimo, laikantis teisinių ir sutartinių įsipareigojimų.
• Teisė apriboti duomenų tvarkymą: Galimybė riboti asmens duomenų tvarkymą tam tikromis sąlygomis.
• Teisė į duomenų perkėlimą: Galimybė gauti ir perkelti asmens duomenis kitam paslaugų teikėjui, kai tai yra techniškai įmanoma.
• Teisė prieštarauti: Teisė prieštarauti duomenų tvarkymui, grindžiamam teisėtais interesais, tiesioginei rinkodarai arba automatizuotam sprendimų priėmimui.
• Teisė atšaukti sutikimą: Jei duomenų tvarkymas grindžiamas sutikimu, duomenų subjektas bet kada gali atšaukti savo sutikimą.

Kliento atsakomybės: Klientas, veikiantis kaip duomenų valdytojas, atsako už duomenų subjektų užklausų nagrinėjimą. Pagal prašymą suteiksime pagrįstą pagalbą, užtikrindami, kad atsakymai būtų tvarkomi operatyviai ir vadovaujantis taikomais įstatymais.

Mes neatsakysime tiesiogiai į duomenų subjekto prašymą, nebent to reikalauja įstatymas arba Klientas mus aiškiai įgaliotų.

8. Pranešimas apie duomenų pažeidimą

ULTEH rimtai žiūri į saugumą ir taiko prevencines priemones, kad apsaugotų asmens duomenis. Tačiau asmens duomenų pažeidimo atveju veiksmus imsimės greitai ir skaidriai.

Reagavimo planas į duomenų nutekėjimą: Jei sužinosime apie patvirtintą asmens duomenų pažeidimą, kuris gali lemti neautorizuotą prieigą, praradimą, pakeitimą arba asmens duomenų atskleidimą, imsimės tinkamų priemonių.:

• Įvertinkite pažeidimo poveikį ir imkitės neatidėliotinų veiksmų rizikoms sumažinti.
• Informuokite klientą be nepateisinamo delsimo (dažniausiai per 48 valandas nuo patvirtinimo).
• Pateikite detales, įskaitant::
  • Pažeidimo pobūdis ir mastas.
  • Paveiktų duomenų tipas
  • Galimos pasekmės.
  • Imtasi arba siūlomos priemonės, skirtos spręsti pažeidimą.
• Padėti Klientui vykdyti bet kokias reguliavimo pareigas, įskaitant, kai reikia, pranešimus institucijoms ir atitinkamiems duomenų subjektams.
• Įgyvendinkite korekcines priemones, kad užkirstumėte kelią ateities pažeidimams.

Kliento atsakomybės: Klientas yra atsakingas už nustatymą, ar reikia pranešti reguliavimo institucijoms ir duomenų subjektams, atsižvelgiant į taikomus asmens duomenų apsaugos įstatymus.

Užfiksuosime visus pažeidimus ir saugosime įrašus apie mūsų tyrimus, rizikos mažinimo pastangas ir taisomąsias priemones.

9. Duomenų saugojimas ir šalinimas

ULTEH laiko **Asmens duomenis tik tiek, kiek tai būtina** tam, kad įvykdytų savo įsipareigojimus pagal šią Sutartį arba jei to reikalauja taikytini teisės aktai.

Duomenų saugojimo politika:

• Vadovaujamės duomenų minimizavimo principais ir užtikriname, kad duomenys būtų saugomi tik teisėtais verslo ir atitikties tikslais.
• Duomenys bus ištrinti arba anonimizuoti, kai jie nebebus reikalingi apdorojimo tikslais.
• Saugojimo terminai gali skirtis priklausomai nuo teisinių, sutartinių ar reguliavimo reikalavimų.

Kliento kontroliuojamas duomenų ištrynimas:

• Klientai bet kuriuo metu gali prašyti **asmeninių duomenų ištrynimo**.
• Nutraukus teikiamas paslaugas, mes ištrinsime arba grąžinsime asmens duomenis pagal kliento nurodymus.
• Jei nebus pateiktas prašymas ištrinti, mes **automatiškai ištrinsime** asmens duomenis per pagrįstą laikotarpį, jei tik mus neįpareigoja įstatymai jų saugoti.

Išimtys dėl duomenų ištrynimo: Tam tikrais atvejais mes galime **saugoti asmens duomenis** ilgiau nei sutartą saugojimo laikotarpį, įskaitant:

• Siekiant laikytis **teisinių įsipareigojimų** (pvz., mokesčių, audito ar reguliavimo reikalavimų).
• Dėl **teisėtų interesų**, pavyzdžiui, sukčiavimo prevencijos ar saugumo tyrimų.
• Kai to reikalauja privalomas teisinis prašymas (pvz., teismo nutartis).

Užtikriname, kad būtų laikomasi **saugios ištrynimo procedūrų**, taip užkertant kelią neteisėtam asmens duomenų atkūrimui ar piktnaudžiavimui.

10. Taikoma teisė ir ginčų sprendimas

Šis duomenų tvarkymo priedas (DPA) bus reglamentuojamas ir aiškinamas pagal tas pačias teisės normas ir jurisdikciją, kaip nurodyta pagrindinėje sutartyje tarp ULTEH ir klientas.

Ginčų sprendimo procesas: Jei dėl šio DPA kiltų bet koks ginčas, abi šalys sutinka laikytis struktūrizuoto ginčų sprendimo proceso, įskaitant::

• Geros valios derybos: Šalys pirmiausia bandys išspręsti ginčus tiesioginių diskusijų ir derybų būdu.
• Mediacija arba arbitražas: Jei derybos nesėkmingos, ginčas gali būti perduotas mediacijai arba arbitražui, kaip nustatyta pagrindinėje sutartyje.
• Teisiniai procesai: Jei nebus pasiekta susitarimo, ginčai gali būti išspręsti per oficialius teisminius procesus taikomoje jurisdikcijoje.

Jei kilus bet kokiam prieštaravimui tarp šio DPA ir pagrindinės sutarties, šio DPA nuostatos turės pirmenybę tik duomenų apsaugos klausimais, užtikrindamos laikymąsi taikomų teisės aktų. Duomenų apsaugos įstatymai.

11. Baigiamosios nuostatos

Šis duomenų tvarkymo priedas sudaro neatsiejamą dalį bendros sutarties tarp ULTEH ir Klientas. Tęsiant Paslaugų naudojimą, Klientas pripažįsta ir priima šio DPA sąlygas.

Jei bet kuri šio DPA nuostata bus pripažinta neteisėta arba neįvykdoma, kitos nuostatos liks visiškai galiojančios. Šalys susitaria bet kurią neįvykdomą nuostatą pakeisti nuostata, kuri kuo tiksliau atspindi pirminę intenciją ir tuo pačiu atitinka taikomus teisės aktus.

Pakeitimai ir atnaujinimai: Pasiliekame teisę keisti arba atnaujinti šią DPA, kad atspindėtume taikomų asmens duomenų apsaugos įstatymų, pramonės praktikų ar operacinių poreikių pokyčius. Klientai bus informuoti apie bet kokius reikšmingus pakeitimus, o tolesnis Paslaugų naudojimas reiškia atnaujintų sąlygų priėmimą.

Kontaktinė informacija: Dėl bet kokių klausimų, susirūpinimų arba norėdami prašyti pasirašytos šio DPA kopijos, klientai gali susisiekti su mumis adresu:: [email protected].