Sporazum o obdelavi podatkov

1. Nastavite lahko rezervne odgovore in negativne pozive, ko naj chatbot stranko napoti na kontakt s podporno ekipo. Konfigurirate lahko tudi možnosti predaje človeku.

ULTEH je zavezan k zagotavljanju zasebnosti, varnosti in skladnosti podatkov strank. Ta dodatek o obdelavi podatkov (DPA) opisuje pogoje, ki urejajo, kako obdelujemo, shranjujemo in varujemo osebne podatke v skladu z veljavnimi zakoni in predpisi o varstvu podatkov. Ta DPA je razširitev našega glavnega sporazuma s strankami in se uporablja, ko ULTEH obdeluje osebne podatke v imenu stranke kot obdelovalec podatkov. Vzpostavlja jasne odgovornosti za obe stranki glede ravnanja s podatki, zagotavljanja skladnosti z ustreznimi zakoni o zasebnosti. Z uporabo ULTEH, stranke priznavajo in se strinjajo s pogoji, določenimi v tem DPA. Če potrebujete podpisan izvod tega sporazuma za namene skladnosti, nas prosimo kontaktirajte.

2. Definicije

Povezana oseba se nanaša na katerikoli subjekt, ki neposredno ali posredno nadzira, je nadzorovan ali je pod skupnim nadzorom s stranko. "Nadzor" pomeni neposredno ali posredno lastništvo vsaj 50% glasovalnih delnic, kapitalskih deležev ali podobnih pravic v subjektu, kar daje možnost vplivanja na njegovo upravljanje in politike. Povezane osebe se štejejo za zavezane z obveznostmi in odgovornostmi, opisanimi v tem DPA, v obsegu, v katerem se ukvarjajo z obdelavo osebnih podatkov.

Pooblaščeni podizvajalec obdelave pomeni kateregakoli zunanjega prodajalca, ponudnika storitev ali pogodbenika, ki ga izvajalec storitev najame za obdelavo osebnih podatkov stranke strogo v imenu in po navodilih izvajalca storitev. Pooblaščeni podizvajalci obdelave pomagajo pri izpolnjevanju obveznosti po tem DPA in glavnem sporazumu. Vsi podizvajalci obdelave morajo spoštovati enake obveznosti glede varstva podatkov, ohranjanja varnosti, zaupnosti in skladnosti s predpisi.

Podatki o računu se nanašajo na vse poslovne informacije, ki jih zbira, shranjuje in obdeluje izvajalec storitev v zvezi s svojim pogodbenim razmerjem s stranko. To vključuje, vendar ni omejeno na, imena, e-poštne naslove, telefonske številke, podatke o plačilih in poverilnice za dostop posameznikov, ki jih stranka pooblasti za upravljanje in delovanje svojega računa na platformi izvajalca storitev. Podatki o računu se uporabljajo izključno za administrativne namene, zaračunavanje in podporo.

Zakoni o varstvu podatkov zajemajo vse veljavne zakone, predpise in okvire, ki urejajo zbiranje, obdelavo, shranjevanje, prenos in zaščito osebnih podatkov. To vključuje, vendar ni omejeno na, Splošno uredbo o varstvu podatkov (GDPR) Evropske unije, GDPR Združenega kraljestva, ki se uporablja za Združeno kraljestvo, Kalifornijski zakon o zasebnosti potrošnikov (CCPA) in vse druge nacionalne ali mednarodne zakone o zasebnosti, relevantne za dejavnosti obdelave podatkov po tem sporazumu. Skladnost s temi zakoni zagotavlja, da se osebni podatki obravnavajo zakonito, transparentno in varno.

Osebni podatki se nanašajo na vse informacije v zvezi z identificirano ali določljivo fizično osebo ("posameznik, na katerega se nanašajo osebni podatki"). Določljiva oseba je tista, ki jo je mogoče neposredno ali posredno identificirati, zlasti s sklicevanjem na identifikatorje, kot so ime, e-poštni naslov, telefonska številka, podatki o lokaciji, spletni identifikator (kot so IP naslov ali piškotki) ali drugi edinstveni dejavniki, ki opredeljujejo njeno identiteto. Osebni podatki izključujejo anonimizirane ali agregirane podatke, ki jih ni mogoče uporabiti za identifikacijo posameznika.

Obdelava pomeni kakršenkoli postopek ali sklop postopkov, ki se izvajajo na osebnih podatkih, bodisi z avtomatiziranimi sredstvi ali ročno. To vključuje, vendar ni omejeno na, zbiranje, beleženje, organiziranje, strukturiranje, shranjevanje, prilagajanje, spreminjanje, pridobivanje, posvetovanje, uporabo, razkritje, prenos, omejevanje, brisanje ali uničenje osebnih podatkov. Obdelava se izvaja v skladu z navodili stranke in veljavnimi zakoni o varstvu podatkov.

Varnostni ukrepi se nanašajo na tehnične in organizacijske zaščitne ukrepe, implementirane za zagotavljanje zaupnosti, celovitosti in razpoložljivosti osebnih podatkov. Ti ukrepi vključujejo šifriranje, nadzor dostopa, požarne zidove, maskiranje podatkov, psevdonimizacijo, redne varnostne revizije in mehanizme za obveščanje o kršitvah. Varnostni ukrepi so zasnovani za preprečevanje nepooblaščenega dostopa, naključne izgube ali nezakonite obdelave osebnih podatkov.

Nadzorni organ se nanaša na neodvisen javni organ, odgovoren za spremljanje in uveljavljanje skladnosti z zakoni o varstvu podatkov. Primeri vključujejo **Evropski odbor za varstvo podatkov (EDPB)** za zadeve, povezane z GDPR, **Informacijski urad komisarja Združenega kraljestva (ICO)** za GDPR Združenega kraljestva in **Kalifornijska agencija za zaščito zasebnosti (CPPA)** za uveljavljanje CCPA. Nadzorni organ ima zakonsko moč preiskovati pritožbe, izdajati smernice in nalagati kazni za neskladnost.

Pravice posameznikov, na katere se nanašajo osebni podatki se nanašajo na pravice, dodeljene posameznikom po veljavnih zakonih o varstvu podatkov. Te pravice lahko vključujejo pravico do dostopa, popravka, izbrisa, omejitve ali prenosa njihovih osebnih podatkov, kot tudi pravico do ugovora obdelavi in vložitve pritožb pri nadzornem organu. Izvajalec storitev pomaga strankam pri olajšanju izvajanja teh pravic, kadar je to primerno.

3. Obdelava podatkov

Stranka lahko deluje bodisi kot upravljavec podatkov ali kot obdelovalec podatkov, odvisno od njegovega odnosa s posameznikom, na katerega se nanašajo osebni podatki, in namenov, za katere se osebni podatki obdelujejo. V vseh primerih, ULTEH deluje kot obdelovalec podatkov, ki obdeluje osebne podatke v imenu in po navodilih stranke.

Stranka je odgovorna za zagotavljanje, da vse dejavnosti obdelave podatkov, ki se izvajajo z uporabo naših storitev, ustrezajo veljavnim zakonom o varstvu podatkov, vključno, vendar ne omejeno na Splošno uredbo o varstvu podatkov (GDPR), GDPR Združenega kraljestva, Kalifornijski zakon o zasebnosti potrošnikov (CCPA) in druge veljavne predpise o zasebnosti. Stranka priznava, da ima pravno podlago za obdelavo osebnih podatkov in nas odškoduje za vse zahtevke, obveznosti ali škodo, ki izhajajo iz neupoštevanja teh pravnih zahtev.

Osebne podatke bomo obdelovali samo v skladu s pisnimi navodili stranke in izključno kot je potrebno za zagotavljanje storitev, razen če zakon ne zahteva drugače. Osebnih podatkov ne bomo uporabljali, razkrivali ali delili za noben drug namen, razen tistih, ki jih je odobrila stranka ali so izrecno navedeni v tem sporazumu.

Ob prekinitvi sporazuma ali na zahtevo stranke, bomo, po presoji stranke, bodisi: (a) Varno izbrisali vse osebne podatke, obdelane po tem sporazumu, zagotavljajoč, da ne ostanejo nobene kopije, razen če so zahtevane z zakonom, ali (b) Vrnili osebne podatke stranki v strukturirani, splošno uporabljani in strojno berljivi obliki pred izbrisom. Stranka mora take zahteve podati v razumnem časovnem okviru pred prekinitvijo.

Če smo zakonsko dolžni zadržati osebne podatke po prekinitvi, bomo obvestili stranko (razen če nam je to zakonsko prepovedano) in zagotovili, da taki podatki ostanejo zaščiteni v skladu z zakoni o varstvu podatkov.

4. Varnost in zaupnost

ULTEH je zavezan zaščiti varnosti in zaupnosti osebnih podatkov obdelanih v imenu stranke. Za zagotavljanje celovitosti in varnosti podatkov izvajamo in vzdržujemo vodilne varnostne ukrepe v industriji zasnovane za preprečevanje nepooblaščenega dostopa, razkritja, spremembe ali uničenja osebnih podatkov.

Ti varnostni ukrepi vključujejo, vendar niso omejeni na:

• Šifriranje podatkov: Osebni podatki so šifrirani tako med prenosom kot v mirovanju z uporabo standardnih protokolov šifriranja v industriji za zaščito pred nepooblaščenim dostopom.
• Nadzor dostopa: Stroge politike upravljanja dostopa zagotavljajo, da imajo dostop do osebnih podatkov samo pooblaščeno osebje na podlagi načela najmanjšega privilegija.
• Varnost omrežja in sistema: Požarni zidovi, sistemi za zaznavanje vdorov in neprekinjeno spremljanje pomagajo preprečevati nepooblaščen dostop in kibernetske grožnje.
• Anonimizacija in psevdonimizacija podatkov: Kjer je primerno, lahko osebni podatki anonimizirajo ali psevdonimizirajo za zmanjšanje tveganj, povezanih z izpostavljenostjo podatkov.
• Redne varnostne revizije: Izvajamo periodične varnostne ocene, testiranje ranljivosti in preverjanje skladnosti za identifikacijo in ublažitev tveganj.
• Načrt odziva na incidente: Strukturiran protokol odziva na incidente zagotavlja, da je vsaka varnostna kršitev takoj identificirana, ublažena in o njej poročano v skladu z veljavnimi zakoni o varstvu podatkov.

Vsak posameznik, vključno z zaposlenimi, pogodbeniki in pooblaščenimi ponudniki storitev, ki obdeluje osebne podatke v našem imenu, je zavezan k strogim obveznostim zaupnosti. To vključuje podpisovanje pravno izvršljivih sporazumov o nerazkritju (NDA) in spoštovanje internih politik ravnanja s podatki za zagotavljanje skladnosti s standardi zasebnosti in varnosti podatkov.

Stranko bomo takoj obvestili o vsaki **potrjeni varnostni kršitvi**, ki bi lahko povzročila naključno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov. Taka obvestila bodo vključevala podrobnosti o incidentu, potencialnem vplivu in sprejetih ukrepih za ublažitev tveganj.

Neprekinjeno pregledujemo in posodabljamo naše varnostne ukrepe v skladu z razvijajočimi se industrijskimi standardi in regulativnimi zahtevami za zagotavljanje stalne zaščite podatkov stranke.

5. Podizvajalci obdelave

ULTEH lahko najame podizvajalce obdelave tretjih oseb za pomoč pri zagotavljanju in vzdrževanju storitev. Ti podizvajalci obdelave izvajajo specifične funkcije, kot so shranjevanje podatkov, gostovanje infrastrukture, analitika ali podpora strankam. Zagotavljamo, da vsi najeti podizvajalci obdelave spoštujejo stroge obveznosti varstva podatkov enakovredne tistim, ki so navedene v tem DPA.

Vzdržujemo posodobljen seznam podizvajalcev obdelave, vključno z njihovimi vlogami in lokacijami obdelave. Stranke lahko kadarkoli zahtevajo informacije o trenutnih podizvajalcih obdelave tako, da nas kontaktirajo.

Pravice in ugovori strank:

• Stranke bomo obvestili o vseh **novih najemih podizvajalcev obdelave** vsaj 10 dni vnaprej.
• Stranke lahko v tem 10-dnevnem obdobju predložijo pisni **ugovor** proti uporabi novega podizvajalca obdelave, če imajo legitimne **pomisleke glede varstva podatkov**.
• Ob prejemu ugovora se bomo vključili v **pogovore v dobri veri**, da naslovimo pomisleke, kar lahko vključuje iskanje alternativnih rešitev.
• Če medsebojno sprejemljiva rešitev ni dosežena, ima stranka lahko pravico do **prekinitve prizadetih storitev** v skladu s sporazumom.

Ostajamo polno odgovorni za dejanja naših podizvajalcev obdelave in zagotavljamo, da spoštujejo:

• Zakone o varstvu podatkov, vključno z GDPR, CCPA in drugimi veljavnimi predpisi.
• Sporazume o zaupnosti za zaščito osebnih podatkov.
• Standardne varnostne ukrepe v industriji za preprečevanje nepooblaščenega dostopa ali zlorabe podatkov.

Pridržujemo si pravico do **posodobitve ali zamenjave** naših podizvajalcev obdelave po potrebi, z ustreznim upoštevanjem pomislekov strank in tekočih obveznosti skladnosti.

6. Prenosi osebnih podatkov

ULTEH lahko prenese osebne podatke izven Evropskega gospodarskega prostora (EGP), Združenega kraljestva (ZK) ali Švice za olajšanje zagotavljanja storitev. Ko pride do takih prenosov, zagotavljamo, da so vzpostavljeni ustrezni pravni zaščitni ukrepi za zaščito prenesenih podatkov v skladu z veljavnimi zakoni o varstvu podatkov.

Zanašamo se na priznane mehanizme za prenos podatkov, vključno, vendar ne omejeno na:

• Standardne pogodbene klavzule (SCC): Vključujemo SCC, ki jih je odobrila Evropska komisija ali drugi pristojni organi, za zagotavljanje zakonitih prenosov podatkov.
• Dopolnilni ukrepi: Kjer je potrebno, uporabljamo dodatne tehnične, organizacijske in pogodbene zaščitne ukrepe za izboljšanje varstva podatkov.
• Zavezujoča korporativna pravila (BCR): Kadar je primerno, naši povezani subjekti spoštujejo BCR, ki zagotavljajo visoko raven varstva podatkov pri mednarodnem poslovanju.
• Drugi odobreni mehanizmi za prenos: Upoštevamo vse dodatne okvire, certifikate ali pravne instrumente, priznane za zakonite čezmejne prenose podatkov.

Pravice in pomoč strankam: Zavezani smo k pomoči stranki pri zagotavljanju skladnosti s pravicami posameznikov, na katere se nanašajo osebni podatki po veljavnih zakonih o varstvu podatkov. To vključuje, vendar ni omejeno na:

• Zahteve za dostop: Omogočanje posameznikom, na katere se nanašajo osebni podatki, dostop do njihovih osebnih podatkov.
• Zahteve za popravek: Omogočanje popravkov netočnih ali nepopolnih podatkov.
• Zahteve za izbris ("Pravica do pozabe"): Pomoč pri brisanju osebnih podatkov na zahtevo, kjer je zakonsko dovoljeno.
• Ugovor in omejitev obdelave: Podpora posameznikom, na katere se nanašajo osebni podatki, pri uveljavljanju njihovih pravic do ugovora ali omejitve dejavnosti obdelave podatkov.
• Prenosljivost podatkov: Olajšanje prenosa osebnih podatkov drugemu upravljavcu podatkov, kjer je to primerno.

Nenehno spremljamo globalne predpise o zasebnosti, da zagotovimo skladnost z **zahtevami za čezmejni prenos podatkov** in bomo obvestili stranko, če spremembe v pravnem okviru vplivajo na naše obveznosti obdelave podatkov.

7. Pravice posameznikov, na katere se nanašajo osebni podatki

ULTEH priznava in spoštuje pravice **posameznikov, na katere se nanašajo osebni podatki** po veljavnih **zakonih o varstvu podatkov**. Pomagali bomo **stranki**, kot upravljavcu podatkov, pri odgovarjanju na zahteve posameznikov glede njihovih **osebnih podatkov**.

Posamezniki, na katere se nanašajo osebni podatki, lahko uveljavljajo naslednje pravice:

• Pravica do dostopa: Sposobnost zahtevati in pridobiti potrditev, ali se njihovi podatki obdelujejo, skupaj z dostopom do podatkov.
• Pravica do popravka: Pravica do popravka ali posodobitve netočnih ali nepopolnih osebnih podatkov.
• Pravica do izbrisa ("Pravica do pozabe"): Pravica do zahteve za izbris osebnih podatkov, ob upoštevanju pravnih in pogodbenih obveznosti.
• Pravica do omejitve obdelave: Sposobnost omejiti obdelavo osebnih podatkov pod določenimi pogoji.
• Pravica do prenosljivosti podatkov: Sposobnost pridobiti in prenesti osebne podatke k drugemu ponudniku storitev, kjer je to tehnično izvedljivo.
• Pravica do ugovora: Pravica do ugovora obdelavi na podlagi legitimnih interesov, neposrednega trženja ali avtomatiziranega sprejemanja odločitev.
• Pravica do preklica privolitve: Če obdelava temelji na privolitvi, lahko posameznik, na katerega se nanašajo osebni podatki, kadar koli prekliče privolitev.

Odgovornosti stranke: Stranka, ki deluje kot upravljavec podatkov, je odgovorna za obravnavo zahtev posameznikov, na katere se nanašajo osebni podatki. Na zahtevo bomo zagotovili **razumno pomoč**, zagotavljajoč, da so odzivi obravnavani **takoj in v skladu** z veljavnimi zakoni.

Ne bomo neposredno odgovarjali na zahtevo posameznika, na katerega se nanašajo osebni podatki, razen če to zahteva zakon ali če nas stranka izrecno pooblasti.

8. Obvestilo o kršitvi podatkov

ULTEH jemlje varnost resno in izvaja **preventivne ukrepe** za zaščito osebnih podatkov. Vendar, v primeru **kršitve osebnih podatkov**, bomo ukrepali **hitro in transparentno**.

Načrt odziva na kršitev podatkov: Če se zavemo **potrjene kršitve osebnih podatkov**, ki bi lahko povzročila **nepooblaščen dostop, izgubo, spremembo ali razkritje** osebnih podatkov, bomo:

• **Ocenili vpliv** kršitve in sprejeli takojšnje ukrepe za ublažitev tveganj.
• **Obvestili stranko brez nepotrebnega odlašanja** (običajno v 48 urah po potrditvi).
• Zagotovili podrobnosti, vključno z:
  • Naravo in obsegom kršitve.
  • Vrsto prizadetih podatkov.
  • Potencialnimi posledicami.
  • Ukrepi, sprejeti ali predlagani za reševanje kršitve.
• **Pomagali stranki** pri izpolnjevanju morebitnih regulativnih obveznosti, vključno z obvestili organom in prizadetim posameznikom, na katere se nanašajo osebni podatki, kjer je to zahtevano.
• **Implementirali korektivne ukrepe** za preprečevanje prihodnjih kršitev.

Odgovornosti stranke: Stranka je odgovorna za določanje, ali obvestiti regulativne organe in posameznike, na katere se nanašajo osebni podatki, v skladu z veljavnimi zakoni o varstvu podatkov.

Dokumentirali bomo vse kršitve in vodili evidenco naše **preiskave, ukrepov za ublažitev in ukrepov za odpravo**.

9. Hramba in brisanje podatkov

ULTEH hrani **osebne podatke samo toliko časa, kot je potrebno** za izpolnjevanje svojih obveznosti po tem sporazumu ali kot zahtevajo veljavni zakoni.

Politika hrambe podatkov:

• Sledimo **načelom minimizacije podatkov**, zagotavljajoč, da se podatki hranijo samo za **legitimne poslovne in skladnostne potrebe**.
• Podatki bodo izbrisani ali anonimizirani, ko **niso več potrebni** za namene obdelave.
• Obdobja hrambe se lahko razlikujejo glede na **pravne, pogodbene ali regulativne zahteve**.

Brisanje podatkov, ki ga nadzoruje stranka:

• Stranke lahko kadar koli zahtevajo **izbris osebnih podatkov**.
• Ob prekinitvi storitev bomo **izbrisali ali vrnili osebne podatke** v skladu z navodili stranke.
• Če ni podana zahteva za izbris, bomo **avtomatsko izbrisali** osebne podatke v razumnem časovnem okviru, razen če zakon zahteva, da jih obdržimo.

Izjeme za brisanje podatkov: V določenih primerih lahko **zadržimo osebne podatke** dlje od dogovorjenega obdobja hrambe, vključno z:

• Za spoštovanje **pravnih obveznosti** (npr. davčnih, revizijskih ali regulativnih zahtev).
• Za **legitimne interese**, kot so preprečevanje goljufij ali varnostne preiskave.
• Ko to zahteva **zavezujoča pravna zahteva** (npr. sodna odredba).

Zagotavljamo, da se upoštevajo **varni postopki brisanja**, ki preprečujejo kakršno koli nepooblaščeno obnovitev ali zlorabo osebnih podatkov.

10. Veljavno pravo in reševanje sporov

Ta dodatek o obdelavi podatkov (DPA) ureja in se razlaga v skladu z **istimi zakoni in jurisdikcijo**, kot so opredeljeni v glavnem sporazumu med ULTEH in stranko.

Postopek reševanja sporov: Če nastane kakršen koli spor glede tega DPA, se obe stranki strinjata, da bosta sledili strukturiranemu postopku reševanja, vključno z:

• Pogajanja v dobri veri: Stranki bosta najprej poskušali rešiti spore skozi neposredne pogovore in pogajanja.
• Mediacija ali arbitraža: Če pogajanja ne uspejo, se spor lahko predloži mediaciji ali arbitraži, kot je navedeno v glavnem sporazumu.
• Pravni postopki: Če ni dosežena rešitev, se spori lahko rešujejo skozi formalne pravne postopke v veljavni jurisdikciji.

V primeru kakršnega koli konflikta med tem DPA in glavnim sporazumom, **imajo določila tega DPA prednost** izključno glede zadev varstva podatkov, zagotavljajoč skladnost z veljavnimi zakoni o varstvu podatkov.

11. Končne določbe

Ta dodatek o obdelavi podatkov tvori sestavni del celotnega sporazuma med ULTEH in stranko. Z nadaljnjo uporabo storitev stranka priznava in **sprejema pogoje tega DPA**.

Če se katerakoli določba tega DPA izkaže za **neveljavno ali neizvršljivo**, ostale določbe ostanejo v polni veljavi in učinku. Stranki se strinjata, da zamenjata kakršno koli neizvršljivo določbo s takšno, ki čim bolj odraža prvotni namen ob upoštevanju veljavnih zakonov.

Spremembe in posodobitve: Pridržujemo si pravico do **spremembe ali posodobitve tega DPA**, da odraža spremembe v veljavnih **zakonih o varstvu podatkov, industrijskih praksah ali operativnih potrebah**. Stranke bodo obveščene o kakršnih koli pomembnih spremembah, nadaljnja uporaba storitev pa pomeni sprejetje posodobljenih pogojev.

Kontaktne informacije: Za kakršna koli vprašanja, pomisleke ali za zahtevo za podpisan izvod tega DPA lahko stranke stopijo v stik z nami na: [email protected].