Dodatek o obdelavi podatkov

1. Uvod

ULTEH se zavezuje k zagotavljanju zasebnosti, varnosti in skladnosti podatkov strank. Ta Dodatek o obdelavi podatkov (DPA) določa pogoje, ki urejajo način, kako obdelujemo, shranjujemo in varujemo osebne podatke v skladu z veljavnimi zakoni in predpisi o varstvu podatkov. Ta DPA je razširitev naše glavne pogodbe s Strankami in se uporablja, ko ULTEH obdeluje osebne podatke v imenu Stranke kot obdelovalec podatkov. Določa jasne odgovornosti obeh strank glede ravnanja s podatki in zagotavlja skladnost z ustreznimi zakoni o zasebnosti. Z uporabo ULTEH, Stranke potrjujejo in soglašajo s pogoji, določenimi v tem DPA. Če potrebujete podpisano kopijo te pogodbe za namene skladnosti, nas prosimo kontaktirajte.

2. Definicije

Povezana družba se nanaša na katerikoli subjekt, ki neposredno ali posredno nadzoruje, je pod nadzorom ali je pod skupnim nadzorom s stranko. "Nadzor" pomeni neposredno ali posredno lastništvo vsaj 50% glasovalnih delnic, lastniških deležev ali podobnih pravic v subjektu, kar daje možnost vplivanja na njegovo upravljanje in politike. Povezane družbe se štejejo za vezane z obveznostmi in odgovornostmi, navedenimi v tem DPA, v obsegu, v katerem sodelujejo pri obdelavi Osebnih podatkov.

Pooblaščeni podizvajalec pomeni kateregakoli zunanjega ponudnika, izvajalca storitev ali pogodbenika, ki ga Ponudnik storitev angažira za obdelavo Osebnih podatkov Stranke izključno v imenu in po navodilih Ponudnika storitev. Pooblaščeni podizvajalci pomagajo pri izpolnjevanju obveznosti po tem DPA in glavni Pogodbi. Vsi Podizvajalci morajo upoštevati enake obveznosti glede varstva podatkov ter vzdrževati varnost, zaupnost in regulativno skladnost.

Podatki o računu se nanašajo na vse poslovne informacije, ki jih Ponudnik storitev zbira, shranjuje in obdeluje v zvezi s svojim pogodbenim odnosom s Stranko. To vključuje, vendar ni omejeno na imena, e-poštne naslove, telefonske številke, podatke o plačilih in poverilnice za dostop posameznikov, ki jih je Stranka pooblastila za upravljanje in delovanje svojega računa na platformi Ponudnika storitev. Podatki o računu se uporabljajo izključno za administrativne namene, obračunavanje in podporo.

Zakoni o varstvu podatkov zajemajo vse veljavne zakone, predpise in okvire, ki urejajo zbiranje, obdelavo, shranjevanje, prenos in zaščito Osebnih podatkov. To vključuje, vendar ni omejeno na Splošno uredbo o varstvu podatkov (GDPR) Evropske unije, UK GDPR, ki velja za Združeno kraljestvo, Kalifornijski zakon o zasebnosti potrošnikov (CCPA) in vse druge nacionalne ali mednarodne zakone o zasebnosti, relevantne za dejavnosti obdelave podatkov v skladu s to Pogodbo. Skladnost s temi zakoni zagotavlja, da se Osebni podatki obravnavajo zakonito, transparentno in varno.

Osebni podatki se nanašajo na vse informacije v zvezi z identificirano ali določljivo fizično osebo ("Posameznik, na katerega se nanašajo osebni podatki"). Določljiva oseba je tista, ki jo je mogoče neposredno ali posredno identificirati, zlasti s sklicevanjem na identifikatorje, kot so ime, e-poštni naslov, telefonska številka, podatki o lokaciji, spletni identifikator (kot so IP naslov ali piškotki) ali drugi edinstveni dejavniki, ki določajo njeno identiteto. Osebni podatki izključujejo anonimizirane ali agregirane podatke, ki jih ni mogoče uporabiti za identifikacijo posameznika.

Obdelava pomeni vsako dejanje ali niz dejanj, ki se izvajajo na Osebnih podatkih, bodisi z avtomatiziranimi sredstvi ali ročno. To vključuje, vendar ni omejeno na zbiranje, beleženje, organiziranje, strukturiranje, shranjevanje, prilagajanje, spreminjanje, pridobivanje, posvetovanje, uporabo, razkritje, prenos, omejevanje, brisanje ali uničenje Osebnih podatkov. Obdelava se izvaja v skladu z navodili Stranke in veljavnimi Zakoni o varstvu podatkov.

Varnostni ukrepi se nanašajo na tehnične in organizacijske zaščite, implementirane za zagotavljanje zaupnosti, celovitosti in razpoložljivosti Osebnih podatkov. Ti ukrepi vključujejo šifriranje, nadzor dostopa, požarne zidove, maskiranje podatkov, psevdonimizacijo, redne varnostne revizije in mehanizme za obveščanje o kršitvah. Varnostni ukrepi so zasnovani za preprečevanje nepooblaščenega dostopa, naključne izgube ali nezakonite obdelave Osebnih podatkov.

Nadzorni organ se nanaša na neodvisen javni organ, odgovoren za spremljanje in uveljavljanje skladnosti z Zakoni o varstvu podatkov. Primeri vključujejo **Evropski odbor za varstvo podatkov (EDPB)** za zadeve, povezane z GDPR, **Urad informacijskega pooblaščenca Združenega kraljestva (ICO)** za UK GDPR in **Kalifornijsko agencijo za varstvo zasebnosti (CPPA)** za izvrševanje CCPA. Nadzorni organ ima zakonsko pooblastilo za preiskovanje pritožb, izdajanje smernic in nalaganje kazni za neskladnosti.

Pravice posameznika, na katerega se nanašajo osebni podatki se nanašajo na pravice, podeljene posameznikom v skladu z veljavnimi Zakoni o varstvu podatkov. Te pravice lahko vključujejo pravico do dostopa, popravka, izbrisa, omejitve ali prenosa njihovih Osebnih podatkov, kot tudi pravico do ugovora obdelavi in vložitve pritožb pri Nadzornem organu. Ponudnik storitev pomaga Strankam pri olajševanju uveljavljanja teh pravic, kadar je to primerno.

3. Obdelava podatkov

Stranka lahko deluje bodisi kot Upravljavec podatkov ali kot Obdelovalec podatkov, odvisno od njenega odnosa s Posameznikom, na katerega se nanašajo osebni podatki, in namenov, za katere se Osebni podatki obdelujejo. V vseh primerih, ULTEH deluje kot Obdelovalec podatkov, ki obdeluje Osebne podatke v imenu in po navodilih Stranke.

Stranka je odgovorna za zagotavljanje, da vse dejavnosti obdelave podatkov, ki se izvajajo z uporabo naših Storitev, izpolnjujejo Veljavne zakone o varstvu podatkov, vključno, vendar ne omejeno na Splošno uredbo o varstvu podatkov (GDPR), UK GDPR, Kalifornijski zakon o zasebnosti potrošnikov (CCPA) in druge veljavne predpise o zasebnosti. Stranka potrjuje, da ima pravno podlago za obdelavo Osebnih podatkov in nas zavaruje pred vsemi zahtevki, odgovornostmi ali škodo, ki bi nastala zaradi neupoštevanja teh zakonskih zahtev.

Osebne podatke bomo obdelovali samo v skladu s pisnimi navodili Stranke in izključno kot je potrebno za zagotavljanje Storitev, razen če zakon ne zahteva drugače. Osebnih podatkov ne bomo uporabljali, razkrivali ali delili za noben namen, ki ga Stranka ni odobrila ali ki ni izrecno naveden v tej Pogodbi.

Ob prenehanju Pogodbe ali na zahtevo Stranke, bomo po presoji Stranke bodisi: (a) Varno izbrisali vse Osebne podatke, obdelane v skladu s to Pogodbo, in zagotovili, da ne ostanejo nobene kopije, razen če jih zakon zahteva, ali (b) Vrnili Osebne podatke Stranki v strukturirani, splošno uporabljani in strojno berljivi obliki pred izbrisom. Stranka mora take zahteve posredovati v razumnem roku pred prenehanjem.

Če smo zakonsko dolžni obdržati Osebne podatke po prenehanju, bomo o tem obvestili Stranko (razen če je to zakonsko prepovedano) in zagotovili, da taki podatki ostanejo zaščiteni v skladu z Zakoni o varstvu podatkov.

4. Varnost in zaupnost

ULTEH se zavezuje k varovanju varnosti in zaupnosti Osebnih podatkov obdelanih v imenu Stranke. Za zagotavljanje celovitosti in varnosti podatkov izvajamo in vzdržujemo vodilne varnostne ukrepe v industriji zasnovane za preprečevanje nepooblaščenega dostopa, razkritja, spreminjanja ali uničenja Osebnih podatkov.

Ti varnostni ukrepi vključujejo, vendar niso omejeni na:

• Šifriranje podatkov: Osebni podatki so šifrirani tako med prenosom kot v mirovanju z uporabo standardnih šifrirnih protokolov v industriji za zaščito pred nepooblaščenim dostopom.
• Nadzor dostopa: Stroge politike upravljanja dostopa zagotavljajo, da imajo dostop do Osebnih podatkov samo pooblaščene osebe na podlagi načela najmanjših privilegijev.
• Varnost omrežja in sistema: Požarni zidovi, sistemi za odkrivanje vdorov in stalno spremljanje pomagajo preprečevati nepooblaščen dostop in kibernetske grožnje.
• Anonimizacija in psevdonimizacija podatkov: Kjer je to primerno, so Osebni podatki lahko anonimizirani ali psevdonimizirani za zmanjšanje tveganj, povezanih z izpostavljenostjo podatkov.
• Redne varnostne revizije: Izvajamo redne varnostne ocene, testiranje ranljivosti in preverjanje skladnosti za prepoznavanje in zmanjšanje tveganj.
• Načrt odziva na incidente: Strukturiran protokol odziva na incidente zagotavlja, da je vsaka varnostna kršitev hitro prepoznana, omejena in prijavljena v skladu z veljavnimi Zakoni o varstvu podatkov.

Vsak posameznik, vključno z zaposlenimi, pogodbeniki in pooblaščenimi ponudniki storitev, ki obdeluje Osebne podatke v našem imenu, je vezan z strogimi obveznostmi zaupnosti. To vključuje podpisovanje pravno izvršljivih sporazumov o nerazkritju (NDA) in upoštevanje internih politik ravnanja s podatki za zagotavljanje skladnosti s standardi zasebnosti in varnosti podatkov.

Stranko bomo nemudoma obvestili o vsaki **potrjeni varnostni kršitvi**, ki bi lahko povzročila naključno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do Osebnih podatkov. Taka obvestila bodo vključevala podrobnosti o incidentu, morebitnem vplivu in ukrepih za odpravo, sprejetih za zmanjšanje tveganj.

Nenehno pregledujemo in posodabljamo naše varnostne ukrepe v skladu z razvijajočimi se industrijskimi standardi in regulativnimi zahtevami za zagotavljanje stalne zaščite podatkov Strank.

5. Podizvajalci

ULTEH lahko angažira zunanje Podizvajalce za pomoč pri zagotavljanju in vzdrževanju Storitev. Ti Podizvajalci opravljajo specifične funkcije, kot so shranjevanje podatkov, gostovanje infrastrukture, analitika ali podpora strankam. Zagotavljamo, da vsi angažirani Podizvajalci upoštevajo stroge obveznosti varstva podatkov enakovredne tistim, ki so navedene v tem DPA.

Vzdržujemo posodobljen seznam Podizvajalcev, vključno z njihovimi vlogami in lokacijami obdelave. Stranke lahko kadarkoli zahtevajo informacije o trenutnih Podizvajalcih tako, da nas kontaktirajo.

Pravice in ugovori Stranke:

• Stranke bomo obvestili o vseh **novih angažmajih Podizvajalcev** vsaj 10 dni vnaprej.
• Stranke lahko v tem 10-dnevnem obdobju vložijo pisni **ugovor** proti uporabi novega Podizvajalca, če imajo legitimne **pomisleke glede varstva podatkov**.
• Po prejemu ugovora se bomo vključili v **pogovore v dobri veri** za reševanje pomislekov, kar lahko vključuje iskanje alternativnih rešitev.
• Če medsebojno sprejemljiva rešitev ni dosežena, ima Stranka pravico **prekiniti prizadete Storitve** v skladu s Pogodbo.

Ostajamo v celoti odgovorni za dejanja naših Podizvajalcev in zagotavljamo, da izpolnjujejo:

• Zakone o varstvu podatkov, vključno z GDPR, CCPA in drugimi veljavnimi predpisi.
• Sporazume o zaupnosti za zaščito Osebnih podatkov.
• Varnostne ukrepe po industrijskih standardih za preprečevanje nepooblaščenega dostopa ali zlorabe podatkov.

Pridržujemo si pravico do **posodobitve ali zamenjave** naših Podizvajalcev po potrebi, ob ustreznem upoštevanju pomislekov Strank in stalnih obveznosti skladnosti.

6. Prenosi osebnih podatkov

ULTEH lahko prenese Osebne podatke izven Evropskega gospodarskega prostora (EGP), Združenega kraljestva (UK) ali Švice za olajšanje zagotavljanja Storitev. Ko se taki prenosi zgodijo, zagotavljamo, da so vzpostavljeni ustrezni pravni zaščitni ukrepi za zaščito prenesenih podatkov v skladu z veljavnimi Zakoni o varstvu podatkov.

Zanašamo se na priznane mehanizme za prenos podatkov, vključno z, vendar ne omejeno na:

• Standardne pogodbene klavzule (SCC): Vključujemo SCC, ki jih je odobrila Evropska komisija ali drugi pristojni organi, za zagotavljanje zakonitih prenosov podatkov.
• Dopolnilne ukrepe: Kjer je potrebno, uporabljamo dodatne tehnične, organizacijske in pogodbene zaščitne ukrepe za izboljšanje varstva podatkov.
• Zavezujoča poslovna pravila (BCR): Kadar je primerno, naše povezane entitete upoštevajo BCR, ki zagotavljajo visoko raven varstva podatkov v mednarodnih operacijah.
• Drugi odobreni mehanizmi prenosa: Izpolnjujemo vse dodatne okvire, certifikate ali pravne instrumente, priznane za zakonite čezmejne prenose podatkov.

Pravice in pomoč Stranki: Zavezani smo k pomoči Stranki pri zagotavljanju skladnosti s pravicami posameznikov, na katere se nanašajo osebni podatki v skladu z veljavnimi Zakoni o varstvu podatkov. To vključuje, vendar ni omejeno na:

• Zahteve za dostop: Omogočanje posameznikom, na katere se nanašajo osebni podatki, dostop do njihovih Osebnih podatkov.
• Zahteve za popravek: Omogočanje popravkov netočnih ali nepopolnih podatkov.
• Zahteve za izbris ("Pravica do pozabe"): Pomoč pri izbrisu Osebnih podatkov na zahtevo, kjer je to pravno dopustno.
• Ugovor in omejitev obdelave: Podpora posameznikom, na katere se nanašajo osebni podatki, pri uveljavljanju njihovih pravic do ugovora ali omejitve dejavnosti obdelave podatkov.
• Prenosljivost podatkov: Olajšanje prenosa Osebnih podatkov k drugemu upravljavcu podatkov, kjer je to primerno.

Nenehno spremljamo globalne predpise o zasebnosti, da zagotovimo skladnost z **zahtevami za čezmejni prenos podatkov**, in bomo obvestili Stranko, če spremembe v pravnem okviru vplivajo na naše obveznosti obdelave podatkov.

7. Pravice posameznika, na katerega se nanašajo osebni podatki

ULTEH priznava in spoštuje pravice **Posameznikov, na katere se nanašajo osebni podatki** v skladu z veljavnimi **Zakoni o varstvu podatkov**. Pomagali bomo **Stranki** kot Upravljavcu podatkov pri odzivanju na zahteve posameznikov glede njihovih **Osebnih podatkov**.

Posamezniki, na katere se nanašajo osebni podatki, lahko uveljavljajo naslednje pravice:

• Pravica do dostopa: Zmožnost zahtevati in pridobiti potrditev, ali se njihovi podatki obdelujejo, skupaj z dostopom do podatkov.
• Pravica do popravka: Pravica do popravka ali posodobitve netočnih ali nepopolnih Osebnih podatkov.
• Pravica do izbrisa ("Pravica do pozabe"): Pravica zahtevati izbris Osebnih podatkov, ob upoštevanju zakonskih in pogodbenih obveznosti.
• Pravica do omejitve obdelave: Zmožnost omejiti obdelavo Osebnih podatkov pod določenimi pogoji.
• Pravica do prenosljivosti podatkov: Zmožnost pridobiti in prenesti Osebne podatke k drugemu ponudniku storitev, kjer je to tehnično izvedljivo.
• Pravica do ugovora: Pravica do ugovora obdelavi na podlagi legitimnih interesov, neposrednega trženja ali avtomatiziranega odločanja.
• Pravica do preklica privolitve: Če obdelava temelji na privolitvi, lahko Posameznik, na katerega se nanašajo osebni podatki, kadar koli prekliče privolitev.

Odgovornosti Stranke: Stranka, ki deluje kot Upravljavec podatkov, je odgovorna za obravnavanje zahtev Posameznikov, na katere se nanašajo osebni podatki. Na zahtevo bomo zagotovili **razumno pomoč**, s čimer bomo zagotovili, da so odzivi obravnavani **hitro in v skladu** z veljavnimi zakoni.

Na zahtevo Posameznika, na katerega se nanašajo osebni podatki, ne bomo odgovarjali neposredno, razen če smo zakonsko dolžni to storiti ali nas je Stranka izrecno pooblastila.

8. Obveščanje o kršitvi varnosti podatkov

ULTEH jemlje varnost resno in izvaja **preventivne ukrepe** za zavarovanje Osebnih podatkov. Vendar pa bomo v primeru **Kršitve varnosti Osebnih podatkov** ukrepali **hitro in transparentno**.

Načrt odziva na kršitev varnosti podatkov: Če ugotovimo **potrjeno Kršitev varnosti Osebnih podatkov**, ki bi lahko povzročila **nepooblaščen dostop, izgubo, spremembo ali razkritje** Osebnih podatkov, bomo:

• **Ocenili vpliv** kršitve in nemudoma sprejeli ukrepe za zmanjšanje tveganj.
• **Obvestili Stranko brez nepotrebnega odlašanja** (običajno v 48 urah po potrditvi).
• Zagotovili podrobnosti, vključno z:
  • Naravo in obsegom kršitve.
  • Vrsto prizadetih podatkov.
  • Potencialnimi posledicami.
  • Ukrepi, sprejetimi ali predlaganimi za obravnavo kršitve.
• **Pomagali Stranki** pri izpolnjevanju vseh regulativnih obveznosti, vključno z obvestili organom in prizadetim Posameznikom, na katere se nanašajo osebni podatki, kjer je to potrebno.
• **Izvedli korektivne ukrepe** za preprečitev prihodnjih kršitev.

Odgovornosti Stranke: Stranka je odgovorna za določitev, ali je treba obvestiti regulativne organe in Posameznike, na katere se nanašajo osebni podatki, v skladu z veljavnimi Zakoni o varstvu podatkov.

Dokumentirali bomo vse kršitve in vodili evidence o naši **preiskavi, ukrepih za zmanjšanje tveganj in sanacijskih ukrepih**.

9. Hramba in brisanje podatkov

ULTEH hrani **Osebne podatke samo toliko časa, kot je potrebno** za izpolnjevanje svojih obveznosti po tej Pogodbi ali kot zahtevajo veljavni zakoni.

Politika hrambe podatkov:

• Sledimo **načelom minimizacije podatkov**, s čimer zagotavljamo, da se podatki hranijo samo za **legitimne poslovne in skladnostne potrebe**.
• Podatki bodo izbrisani ali anonimizirani, ko **niso več potrebni** za namene obdelave.
• Obdobja hrambe se lahko razlikujejo glede na **pravne, pogodbene ali regulativne zahteve**.

Brisanje podatkov pod nadzorom Stranke:

• Stranke lahko kadar koli zahtevajo **izbris Osebnih podatkov**.
• Ob prenehanju storitev bomo **izbrisali ali vrnili Osebne podatke** v skladu z navodili Stranke.
• Če ni podana zahteva za izbris, bomo Osebne podatke **samodejno izbrisali** v razumnem časovnem okviru, razen če smo jih zakonsko dolžni ohraniti.

Izjeme pri brisanju podatkov: V določenih primerih lahko **hranimo Osebne podatke** dlje od dogovorjenega obdobja hrambe, vključno z:

• Za izpolnjevanje **zakonskih obveznosti** (npr. davčne, revizijske ali regulativne zahteve).
• Za **legitimne interese**, kot so preprečevanje goljufij ali varnostne preiskave.
• Ko to zahteva **zavezujoča pravna zahteva** (npr. sodna odredba).

Zagotavljamo, da se upoštevajo **varni postopki brisanja**, ki preprečujejo kakršno koli nepooblaščeno obnovitev ali zlorabo Osebnih podatkov.

10. Veljavno pravo in reševanje sporov

Ta Dodatek o obdelavi podatkov (DPA) ureja in se razlaga v skladu z **istimi zakoni in jurisdikcijo**, kot je določeno v glavni pogodbi med ULTEH in Stranko.

Postopek reševanja sporov: Če pride do spora v zvezi s tem DPA, se obe stranki strinjata, da bosta sledili strukturiranemu postopku reševanja, vključno z:

• Pogajanja v dobri veri: Stranki bosta najprej poskušali rešiti spore z neposrednimi razpravami in pogajanji.
• Mediacija ali arbitraža: Če pogajanja ne uspejo, se lahko spor napoti na mediacijo ali arbitražo, kot je določeno v glavni pogodbi.
• Pravni postopki: Če ni dosežena rešitev, se lahko spori rešujejo s formalnimi pravnimi postopki v pristojni jurisdikciji.

V primeru nasprotja med tem DPA in glavno pogodbo **prevladajo pogoji tega DPA** izključno glede zadev varstva podatkov, s čimer se zagotovi skladnost z veljavnimi Zakoni o varstvu podatkov.

11. Končne določbe

Ta Dodatek o obdelavi podatkov predstavlja sestavni del celotne pogodbe med ULTEH in Stranko. Z nadaljnjo uporabo Storitev Stranka potrjuje in **sprejema pogoje tega DPA**.

Če se ugotovi, da je katera koli določba tega DPA **neveljavna ali neizvršljiva**, ostanejo preostale določbe v polni veljavi in učinku. Stranki se strinjata, da bosta morebitno neizvršljivo določbo nadomestili z eno, ki čim bolj odraža prvotni namen, hkrati pa ostaja skladna z veljavnimi zakoni.

Spremembe in posodobitve: Pridržujemo si pravico do **spreminjanja ali posodabljanja tega DPA** za odražanje sprememb v veljavnih **Zakonih o varstvu podatkov, industrijskih praksah ali operativnih potrebah**. Stranke bodo obveščene o vseh bistvenih spremembah, nadaljnja uporaba Storitev pa predstavlja sprejetje posodobljenih pogojev.

Kontaktne informacije: Za kakršna koli vprašanja, pomisleke ali zahtevo za podpisano kopijo tega DPA lahko Stranke stopijo v stik z nami na: [email protected].