Dodatek o obdelavi podatkov

1. Uvod

ULTEH je zavezan zagotoviti zasebnost, varnost in skladnost podatkov strank. Ta dodatek za obdelavo podatkov (DPA) opredeljuje pogoje, ki urejajo, kako obdelujemo, shranjujemo in varujemo osebne podatke v skladu z veljavnimi zakonodajami in predpisi o varstvu podatkov. Ta DPA je razširitev naše glavne pogodbe s strankami in velja, kadar ULTEH Obdeluje osebne podatke v imenu Stranke kot izvajalec obdelave podatkov. Določa jasne odgovornosti za obe strani glede upravljanja podatkov in zagotavlja skladnost z ustreznimi zakonodajnimi zahtevami za zasebnost. Z uporabo ULTEH, Stranke potrjujejo in se strinjajo s pogoji, navedenimi v tem DPA. Če za potrebe skladnosti potrebujete podpisano kopijo tega sporazuma, nas prosimo kontaktirajte.

2. Opredelitve

Partnerski program Nanaša se na katerokoli enoto, ki neposredno ali posredno nadzira, jo nadzira ali je v skupnem nadzoru s pogodbeno stranko. 'Nadzor' pomeni neposredno ali posredno lastništvo vsaj 50 % glasovalnih delnic, kapitalskih deležev ali podobnih pravic v podjetju, kar daje možnost vplivanja na njegovo upravljanje in politike. Povezane družbe se štejejo za vezane z obveznostmi in odgovornostmi, navedenimi v tem DPA, v obsegu, v katerem sodelujejo pri obdelavi osebnih podatkov.

Pooblaščeni podizvajalec pomeni katerega koli tretjega dobavitelja, izvajalca storitev ali pogodbenika, ki ga angažira Ponudnik storitev za obdelavo osebnih podatkov stranke izključno v imenu in po navodilih Ponudnika storitev. Pooblaščeni podobdelovalci pomagajo pri izpolnjevanju obveznosti iz tega DPA in glavne pogodbe. Vsi podobdelovalci morajo spoštovati enake obveznosti varstva podatkov ter zagotavljati varnost, zaupnost in skladnost z zakonodajo.

Podatki o računu se nanaša na vse poslovno povezane informacije, ki jih Ponudnik storitev zbira, hrani in obdeluje v zvezi s svojim pogodbenim razmerjem s Stranko. To vključuje, vendar ni omejeno na, imena, e-poštne naslove, telefonske številke, podatke o plačilu in dostopne poverilnice oseb, ki jih je Stranka pooblastila za upravljanje in delovanje svojega računa na platformi Ponudnika storitev. Podatki o računu se uporabljajo izključno v administrativne, obračunske in podporne namene.

Zakoni o varstvu podatkov vključujejo vse veljavne zakone, predpise in okvire, ki urejajo zbiranje, obdelavo, shranjevanje, prenos in zaščito osebnih podatkov. To vključuje, vendar ni omejeno na, Splošno uredbo o varstvu podatkov (GDPR) Evropske unije, UK GDPR, ki velja v Združenem kraljestvu, California Consumer Privacy Act (CCPA) ter vse druge nacionalne ali mednarodne zakonodaje o zasebnosti, ki so relevantne za dejavnosti obdelave podatkov v okviru tega Sporazuma. Skladnost s temi zakoni zagotavlja, da se osebni podatki obdelujejo zakonito, pregledno in varno.

Osebni podatki se nanaša na kakršne koli informacije, povezane z identificirano ali identificirljivo fizično osebo ('posameznik, na katerega se nanašajo podatki'). Identificirljiva oseba je oseba, ki jo je mogoče neposredno ali posredno identificirati, zlasti s sklicevanjem na identifikatorje, kot so ime, e‑poštni naslov, telefonska številka, podatki o lokaciji, spletni identifikator (na primer IP‑naslov ali piškotki) ali drugi edinstveni dejavniki, ki določajo njeno identiteto. Osebni podatki ne vključujejo anonimiziranih ali združenih podatkov, ki jih ni mogoče uporabiti za identifikacijo posameznika.

Obdelava v teku pomeni katero koli operacijo ali niz operacij, opravljenih z osebnimi podatki, ne glede na to, ali se izvajajo samodejno ali ročno. Vključuje, vendar ni omejeno na zbiranje, evidentiranje, organizacijo, strukturiranje, shranjevanje, prilagajanje, spreminjanje, pridobivanje, dostop, uporabo, razkritje, prenos, omejevanje, izbris ali uničenje osebnih podatkov. Obdelava se izvaja v skladu z navodili Naročnika in veljavno zakonodajo o varstvu podatkov.

Varnostni ukrepi Se nanašajo na tehnične in organizacijske varnostne ukrepe, uvedene za zagotovitev zaupnosti, celovitosti in razpoložljivosti osebnih podatkov. Ti ukrepi vključujejo šifriranje, nadzor dostopa, požarne zidove, maskiranje podatkov, pseudonimizacijo, redne varnostne preglede in mehanizme obveščanja o kršitvah. Varnostni ukrepi so zasnovani, da preprečijo nepooblaščen dostop, naključno izgubo ali nezakonito obdelavo osebnih podatkov.

Nadzorni organ nanaša se na neodvisni javni organ, ki je odgovoren za nadzor in izvrševanje skladnosti z zakonodajo o varstvu podatkov. Primeri vključujejo **European Data Protection Board (EDPB)** za zadeve v zvezi z GDPR, **UK Information Commissioner's Office (ICO)** za UK GDPR in **California Privacy Protection Agency (CPPA)** za izvrševanje CCPA. Nadzorni organ ima zakonito pooblastilo za preiskovanje pritožb, izdajo smernic in izrekanje sankcij za neskladnost.

Pravice posameznika, na katerega se nanašajo podatki se nanašajo na pravice, podeljene posameznikom v skladu z veljavnimi zakonodajami o varstvu podatkov. Te pravice lahko vključujejo pravico do dostopa, popravka, izbrisa, omejitve ali prenosa njihovih osebnih podatkov, pa tudi pravico nasprotovati obdelavi in vložiti pritožbo pri nadzornem organu. Ponudnik storitev pomaga Strankam pri omogočanju uveljavljanja teh pravic, kadar je to mogoče.

3. Obdelava podatkov

Kupec lahko deluje kot eden od obeh Upravljavec osebnih podatkov ali Izvajalec obdelave podatkov, odvisno od njegovega razmerja do posameznika, na katerega se nanašajo podatki, in od namenov, za katere se obdelujejo osebni podatki. V vseh primerih, ULTEH deluje kot Obdelovalec podatkov, obdelava osebnih podatkov v imenu in v skladu z navodili Stranke.

Stranka je odgovorna za zagotovitev, da so vse dejavnosti obdelave podatkov, ki se izvajajo z uporabo naših storitev, v skladu z Veljavni zakoni o varstvu podatkov, vključno, vendar ne omejeno na Splošna uredba o varstvu podatkov (GDPR), UK GDPR, Kalifornijski zakon o zasebnosti potrošnikov (CCPA) in drugi ustrezni predpisi o zasebnosti. Stranka priznava, da ima pravno podlago za obdelavo osebnih podatkov in nas odškoduje za vse zahtevke, obveznosti ali škodo, ki izhajajo iz neupoštevanja teh pravnih zahtev.

Bomo obdelovali osebne podatke. samo v skladu s pisnimi navodili naročnika in izključno v obsegu, potrebnem za zagotavljanje Storitev, razen če zakon ne zahteva drugače. Osebnih podatkov ne bomo uporabljali, razkrivali ali delili za druge namene, kot jih je pooblaščil Stranka ali so izrecno navedeni v tej Pogodbi.

ob prenehanje pogodbe ali na zahtevo stranke, mi bomo, po presoji Stranke, bodisi: (a) Varno izbriši vsi osebni podatki, obdelani v okviru tega sporazuma, pri čemer se zagotovi, da ne ostanejo nobene kopije, razen če to zahteva zakon, ali (b) Vrnite osebne podatke stranki v strukturirani, pogosto uporabljeni in strojno berljivi obliki pred izbrisom. Stranka mora takšne zahteve vložiti v razumljivem roku pred prenehanjem.

Če smo pravno zavezani hraniti osebne podatke tudi po prenehanju, bomo obvestili stranko (razen če nam zakon tega ne prepoveduje) in zagotovili, da so taki podatki zaščiteni v skladu z zakonodajo o varstvu podatkov.

4. Varnost in zaupnost

ULTEH je zavezan varovati varnost in zaupnost Osebni podatki obdelano v imenu Stranka. Za zagotovitev integritete in varnosti podatkov izvajamo in vzdržujemo v industriji vodilni varnostni ukrepi Zasnovano za preprečevanje nepooblaščenega dostopa, razkrivanja, spreminjanja ali uničenja osebnih podatkov.

Ti Varnostni ukrepi vključujejo, vendar niso omejeni na:

• Šifriranje podatkov: Osebni podatki so šifrirani tako med prenosom kot tudi v mirovanju z uporabo šifrirnih protokolov, ki ustrezajo industrijskim standardom, da se zaščitijo pred nepooblaščenim dostopom.
• Nadzor dostopa: Stroge politike upravljanja dostopa zagotavljajo, da imajo dostop do osebnih podatkov le pooblaščene osebe, na podlagi načela najmanjših privilegijev.
• Varnost omrežij in sistemov: Požarni zidovi, sistemi za zaznavanje vdorov in neprekinjeno spremljanje pomagajo preprečiti nepooblaščen dostop in kibernetske grožnje.
• Anonimizacija in psevdonimizacija podatkov: Kjer je to ustrezno, se lahko osebni podatki anonimizirajo ali psevdonimizirajo, da se zmanjšajo tveganja, povezana z razkritjem podatkov.
• Redni varnostni pregledi: Izvajamo redne varnostne ocene, teste ranljivosti in preglede skladnosti, da bi identificirali in ublažili tveganja.
• Načrt za odziv na incidente: Strukturiran protokol odzivanja na incidente zagotavlja, da se vsaka varnostna kršitev hitro odkrije, omili in prijavi v skladu z veljavnimi zakonodajami o varstvu podatkov.

Vsaka oseba, vključno z zaposlenimi, pogodbenimi izvajalci in pooblaščenimi ponudniki storitev, ki obdeluje osebne podatke v našem imenu, je zavezana stroge obveznosti varovanja zaupnosti. To vključuje podpisovanje pravno izvršljivih dokumentov pogodbe o zaupnosti (NDA) in spoštovanje notranjih pravil za ravnanje z podatki, da se zagotovi skladnost s standardi varstva podatkov in varnosti.

Takoj bomo obvestili Stranko o vsakem potrjenem varnostnem incidentu, ki bi lahko povzročil naključno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do Osebnih podatkov. Takšna obvestila bodo vsebovala podrobnosti dogodka, morebitne posledice in ukrepe za odpravo, sprejete za zmanjšanje tveganj.

Nenehno pregledujemo in posodabljamo naše varnostne ukrepe v skladu z razvijajoči se industrijski standardi in regulativne zahteve za zagotovitev stalne zaščite podatkov stranke.

5. Podobdelovalci

ULTEH lahko vzpostavi interakcijo podobdelovalci tretjih oseb za pomoč pri zagotavljanju in vzdrževanju storitev. Ti podizvajalci opravljajo specifične funkcije, kot so shranjevanje podatkov, gostovanje infrastrukture, analitika ali podpora strankam. Zagotavljamo, da vsi vključeni podizvajalci spoštujejo stroge obveznosti varstva podatkov enakovredno tistim, ki so opisani v tej DPA.

Vzdržujemo posodobljen seznam podizvajalcev obdelave (sub‑processors), vključno z njihovimi vlogami in lokacijami obdelave. Stranke lahko kadar koli zahtevajo informacije o trenutno uporabljenih podizvajalcih tako, da nas kontaktirajo.

Pravice in pritožbe stranke:

• Obvestili bomo stranke o vseh **novih angažmajih podizvajalcev za obdelavo** vsaj 10 dni vnaprej.
• Stranke lahko v tem 10-dnevnem roku vložijo pisni ugovor proti uporabi novega podizvajalca, če imajo upravičene pomisleke glede varstva podatkov.
• Ob prejemu ugovora bomo v dobri veri začeli pogovore, da bi obravnavali pomisleke, kar lahko vključuje iskanje alternativnih rešitev.
• Če ne bo dosežena medsebojno sprejemljiva rešitev, ima Stranka lahko pravico **prekiniti prizadete storitve** v skladu s Pogodbo.

Ostajamo v celoti odgovoren in pravno odgovoren za dejanja naših podizvajalcev in zagotoviti, da spoštujejo:

• Zakoni o varstvu podatkov, vključno z GDPR, CCPA in drugimi veljavnimi predpisi.
• Pogodbe o zaupnosti za zaščito osebnih podatkov
• Varnostni ukrepi v skladu z industrijskimi standardi za preprečitev nepooblaščenega dostopa ali zlorabe podatkov.

Pridržujemo si pravico, da po potrebi **posodobimo ali zamenjamo** naše podobdelovalce, pri čemer bomo ustrezno upoštevali pomisleke strank in tekoče obveznosti v zvezi z izpolnjevanjem predpisov.

6. Prenosi osebnih podatkov

ULTEH lahko prenese Osebni podatki izven Evropsko gospodarsko območje (EGO), Združeno kraljestvo (UK) ali Švica za lažje zagotavljanje storitev. Ko pride do takšnih prenosov, zagotovimo, da so vzpostavljeni ustrezni varovalni ukrepi. pravne zaščite So vzpostavljeni ukrepi za zaščito prenesenih podatkov v skladu z veljavno zakonodajo o varstvu podatkov.

Zanašamo se na priznane mehanizme prenosa podatkov, vključno, vendar ne omejeno na:

• Standardne pogodbene določbe (SCCs): Vključujemo standardne pogodbeno določbe, ki jih je odobrila Evropska komisija ali druge pristojne oblasti, da zagotovimo zakonite prenose podatkov.
• Dodatni ukrepi: Kadar je to potrebno, uporabljamo dodatne tehnične, organizacijske in pogodbene varnostne ukrepe za izboljšanje varstva podatkov.
• Zavezujoča korporativna pravila (BCRs): Kadar je to mogoče, naše pridružene družbe spoštujejo zavezujoča podjetniška pravila (BCR), s čimer zagotavljajo visoko raven varstva podatkov v svojih mednarodnih operacijah.
• Drugi odobreni mehanizmi prenosa: Upoštevamo vse dodatne okvire, certifikate ali pravne instrumente, ki so priznani za zakonite čezmejne prenose podatkov.

Pravice in pomoč strank: Zavezani smo pomagati Stranki pri zagotavljanju skladnosti z pravice posameznikov glede osebnih podatkov v skladu z veljavnimi zakoni o varstvu osebnih podatkov. To vključuje, vendar ni omejeno na:

• Zahteve za dostop: Omogočanje posameznikom, na katere se podatki nanašajo, dostopa do njihovih osebnih podatkov.
• Zahteve za popravek: Omogočanje popravkov netočnih ali nepopolnih podatkov.
• Zahteve za izbris («pravica do pozabe»): Pomoč pri odstranitvi osebnih podatkov na zahtevo, če to zakon dopušča.
• Ugovor in omejitev obdelave: Podpora osebam, na katere se podatki nanašajo, pri uveljavljanju pravice do ugovora ali omejitve obdelave podatkov.
• Prenosljivost podatkov: Olajšanje prenosa osebnih podatkov drugemu upravljavcu podatkov, kjer je to primerno.

Neprestano spremljamo globalne predpise o zasebnosti, da zagotovimo skladnost z zahtevami za čezmejne prenose podatkov, in bomo obvestili Stranko, če bodo spremembe pravnega okvira vplivale na naše obveznosti pri obdelavi podatkov.

7. Pravice posameznika, na katerega se nanašajo podatki

ULTEH Priznava in spoštuje pravice **oseb, na katere se nanašajo podatki**, v skladu z veljavnimi **zakoni o varstvu podatkov**. Pomoč bomo nudili **Stranki**, kot upravljavcu podatkov, pri odgovarjanju na zahteve posameznikov v zvezi z njihovimi **osebnimi podatki**.

Subjekti podatkov lahko uveljavljajo naslednje pravice:

• Pravica do dostopa: Možnost zahtevati in pridobiti potrditev, ali se njihovi podatki obdelujejo, ter dostop do teh podatkov.
• Pravica do popravka: Pravica do popravka ali posodobitve netočnih ali nepopolnih osebnih podatkov.
• Pravica do izbrisa ('pravica do pozabe'): Pravica zahtevati izbris osebnih podatkov, ob upoštevanju zakonskih in pogodbnih obveznosti.
• Pravica do omejitve obdelave: Možnost omejevanja obdelave osebnih podatkov v določenih okoliščinah.
• Pravica do prenosljivosti podatkov: Možnost pridobiti in prenesti osebne podatke k drugemu ponudniku storitev, kadar je to tehnično izvedljivo.
• Pravica do ugovora: Pravica nasprotovati obdelavi, ki temelji na zakonitih interesih, neposrednem trženju ali avtomatiziranem odločanju.
• Pravica do umika soglasja: Če je obdelava podatkov utemeljena na privolitvi, lahko oseba, na katero se podatki nanašajo, kadar koli prekliče svojo privolitev.

Obveznosti stranke: Stranka, ki deluje kot upravljavec podatkov, je odgovorna za obravnavo zahtevkov posameznikov, katerih podatki so predmet obdelave. Na zahtevo bomo zagotovili razumno pomoč in poskrbeli, da se odgovori obravnavajo hitro in v skladu z veljavno zakonodajo.

Ne bomo neposredno odgovarjali na zahtevo subjekta podatkov, razen če to zahteva zakon ali če nas stranka izrecno pooblasti.

8. Obvestilo o kršitvi podatkov

ULTEH varnost jemljemo resno in izvajamo preventivne ukrepe za zaščito osebnih podatkov. V primeru kršitve osebnih podatkov bomo ukrepali hitro in pregledno.

Načrt odziva na kršitev podatkov: Če izvemo za potrjeno kršitev varstva osebnih podatkov, ki lahko povzroči nepooblaščen dostop, izgubo, spremembo ali razkritje osebnih podatkov, bomo sprejeli ustrezne ukrepe.:

• Ocenite vpliv kršitve in takoj sprejmite ukrepe za zmanjšanje tveganj.
• Obvestite stranko brez neupravičenega odlašanja (ponavadi v 48 urah po potrditvi).
• Navedite podrobnosti, vključno z::
  • Narava in obseg kršitve.
  • Vrsta prizadetih podatkov
  • Možne posledice.
  • Ukrepi, sprejeti ali predlagani za odpravo kršitve.
• Pomoč Stranki pri izpolnjevanju vseh regulatornih obveznosti, vključno, kadar je to potrebno, obvestili pristojnim organom in prizadetim osebam, na katere se nanašajo podatki.
• Izvedite korektivne ukrepe, da preprečite prihodnje kršitve.

Obveznosti stranke: Stranka je odgovorna za ugotovitev, ali je treba skladno z veljavnimi zakonodajami o varstvu podatkov obvestiti nadzorni organ in posameznike, na katere se podatki nanašajo.

Dokumentirali bomo vse kršitve in vodili evidence o naših preiskavah, prizadevanjih za ublažitev in ukrepih za odpravo.

9. Shranjevanje in brisanje podatkov

ULTEH shrani **osebne podatke le toliko časa, kolikor je potrebno**, da izpolni svoje obveznosti iz te pogodbe ali kadar to zahtevajo veljavni predpisi.

Politika shranjevanja podatkov:

• Sledimo načelom minimizacije podatkov in zagotavljamo, da se podatki hranijo le za upravičene poslovne potrebe in za namene skladnosti.
• Podatki bodo izbrisani ali anonimizirani, takoj ko ne bodo več potrebni za namene obdelave.
• Obdobja hrambe se lahko razlikujejo glede na zakonske, pogodbene ali regulatorne zahteve.

Brisanje podatkov, ki ga nadzira stranka:

• Stranke lahko kadar koli zahtevajo **brisanje osebnih podatkov**.
• Ob prenehanju storitev bomo izbrisali ali vrnili osebne podatke v skladu z navodili stranke.
• Če ne bo vložena zahteva za izbris, bomo osebne podatke **samodejno izbrisali** v razumnem časovnem obdobju, razen če nas zakon ne zavezuje, da jih obdržimo.

Izjeme pri brisanju podatkov: V določenih primerih lahko **obdržimo osebne podatke** dlje kot dogovorjeno obdobje hrambe, vključno z:

• Za izpolnjevanje **zakonskih obveznosti** (npr. davčne, revizijske ali regulatorne zahteve).
• Za **upravičene interese**, kot so preprečevanje prevar ali varnostne preiskave.
• Ko to zahteva zavezujoča pravna zahteva (npr. sodna odredba).

Zagotavljamo, da se upoštevajo **postopki varnega brisanja**, s čimer preprečujemo katerokoli nepooblaščeno obnovitev ali zlorabo osebnih podatkov.

10. Veljavni pravni red in reševanje sporov

Ta dodatek k obdelavi podatkov (DPA) je urejen in razlagan v skladu z enakimi **zakoni in pristojnostjo**, kot je določeno v glavnem sporazumu med ULTEH in kupec.

Postopek reševanja sporov: Če pride do kakršnegakoli spora v zvezi s to DPA, se obe strani strinjata, da bosta sledili strukturiranemu postopku reševanja, ki vključuje::

• Pogajanja v dobri veri: Stranke bodo najprej poskušale rešiti spore preko neposrednih pogovorov in pogajanj.
• Mediacija ali arbitraža: Če pogajanja spodletijo, se lahko spor, kot je navedeno v glavnem sporazumu, pošlje v mediacijo ali arbitražo.
• Pravni postopki: Če ne pride do rešitve, se lahko spori rešijo s formalnimi pravnimi postopki v pristojni jurisdikciji.

V primeru kakršnega koli konflikta med toto DPA in glavnim sporazumom bodo določbe te DPA prednostne izključno v zvezi s vprašanji varstva podatkov, s čimer se zagotovi spoštovanje veljavne zakonodaje. Zakoni o varstvu podatkov.

11. Končne določbe

Ta dodatek za obdelavo podatkov predstavlja sestavni del celotnega sporazuma med ULTEH in Stranka. Z nadaljnjo uporabo storitev stranka potrjuje in sprejema pogoje tega DPA.

Če se katera koli določba tega DPA šteje za neveljavno ali neizvršljivo, ostale določbe ostanejo v polni veljavi. Stranki se strinjata, da vsako neizvršljivo določbo zamenjata z določbo, ki čim bolj zvesto odraža prvotni namen in hkrati spoštuje veljavne zakone.

Spremembe in posodobitve: Pridržujemo si pravico spremeniti ali posodobiti to DPA, da odraža spremembe v veljavnih zakonih o varstvu podatkov, praksah v panogi ali operativnih potrebah. Stranke bodo obveščene o vseh pomembnih spremembah, nadaljnja uporaba Storitve pa pomeni sprejetje posodobljenih pogojev.

Kontaktni podatki: Za vsa vprašanja, pomisleke ali če želite zahtevati podpisano kopijo tega DPA, lahko nas stranke kontaktirajo na:: [email protected].