Dodatek o obdelavi podatkov

1. Uvod

ULTEH je zavezano zagotavljanju zasebnosti, varnosti in skladnosti podatkov strank. Ta dodatek o obdelavi podatkov (DPA) opisuje pogoje, ki urejajo, kako obdelujemo, shranjujemo in varujemo osebne podatke v skladu z veljavnimi zakoni in predpisi o varstvu podatkov. Ta DPA je razširitev našega glavnega sporazuma s strankami in velja, kadar ULTEH obdeluje osebne podatke v imenu stranke kot obdelovalec podatkov. Določa jasne odgovornosti obeh strank glede ravnanja s podatki, s čimer zagotavlja skladnost z ustreznimi zakoni o zasebnosti. Z uporabo ULTEH, Stranke potrjujejo in se strinjajo s pogoji, določenimi v tej DPA. Če potrebujete podpisan izvod te pogodbe za namene skladnosti, se obrnite na nas.

2. Definicije

Podružnica se nanaša na katero koli entiteto, ki neposredno ali posredno nadzoruje stranko, je pod nadzorom stranke ali je pod skupnim nadzorom s stranko. "Nadzor" pomeni neposredno ali posredno lastništvo vsaj 50 % glasovalnih delnic, lastniških deležev ali podobnih pravic v entiteti, kar omogoča vplivanje na njeno upravljanje in politike. Za povezane družbe veljajo obveznosti in odgovornosti, opisane v tem sporazumu o obdelavi podatkov, v obsegu, v katerem se ukvarjajo z obdelavo osebnih podatkov.

Pooblaščeni podobdelovalec pomeni katerega koli tretjega prodajalca, ponudnika storitev ali izvajalca, ki ga ponudnik storitev najame za obdelavo osebnih podatkov stranke izključno v imenu in po navodilih ponudnika storitev. Pooblaščeni podobdelovalci pomagajo pri izpolnjevanju obveznosti iz tega DPA in glavne pogodbe. Vsi podobdelovalci morajo izpolnjevati enake obveznosti glede varstva podatkov, pri čemer morajo ohranjati varnost, zaupnost in skladnost s predpisi.

Podatki o računu se nanaša na vse poslovne podatke, ki jih ponudnik storitev zbira, shranjuje in obdeluje v zvezi s svojim pogodbenim razmerjem s stranko. To vključuje, vendar ni omejeno na, imena, e-poštne naslove, telefonske številke, podatke o plačilu in dostopne poverilnice posameznikov, ki jih je stranka pooblastila za upravljanje in delovanje svojega računa na platformi ponudnika storitev. Podatki o računu se uporabljajo izključno za administrativne namene, namene obračunavanja in podpore.

Zakoni o varstvu podatkov zajemajo vse veljavne zakone, predpise in okvire, ki urejajo zbiranje, obdelavo, shranjevanje, prenos in varstvo osebnih podatkov. To vključuje, vendar ni omejeno na, Splošno uredbo o varstvu podatkov (GDPR) Evropske unije, GDPR Združenega kraljestva, ki se uporablja za Združeno kraljestvo, Zakon o varstvu zasebnosti potrošnikov v Kaliforniji (CCPA) in vse druge nacionalne ali mednarodne zakone o zasebnosti, ki se nanašajo na dejavnosti obdelave podatkov v skladu s to pogodbo. Skladnost s temi zakoni zagotavlja, da se z osebnimi podatki ravna zakonito, pregledno in varno.

Osebni podatki se nanaša na vse informacije, ki se nanašajo na identificirano ali določljivo fizično osebo (»posameznik, na katerega se nanašajo osebni podatki«). Določljiva oseba je tista, ki jo je mogoče neposredno ali posredno identificirati, zlasti s sklicevanjem na identifikatorje, kot so ime, e-poštni naslov, telefonska številka, podatki o lokaciji, spletni identifikator (kot je IP-naslov ali piškotki) ali drugi edinstveni dejavniki, ki opredeljujejo njeno identiteto. Osebni podatki izključujejo anonimizirane ali združene podatke, ki jih ni mogoče uporabiti za identifikacijo posameznika.

Obdelava pomeni katero koli operacijo ali niz operacij, izvedenih v zvezi z osebnimi podatki, bodisi avtomatizirano bodisi ročno. To vključuje, vendar ni omejeno na, zbiranje, beleženje, organiziranje, strukturiranje, shranjevanje, prilagajanje, spreminjanje, pridobivanje, vpogled, uporabo, razkritje, prenos, omejevanje, brisanje ali uničevanje osebnih podatkov. Obdelava se izvaja v skladu z navodili stranke in veljavnimi zakoni o varstvu podatkov.

Varnostni ukrepi nanašajo se na tehnične in organizacijske zaščitne ukrepe, ki so bili uvedeni za zagotavljanje zaupnosti, celovitosti in razpoložljivosti osebnih podatkov. Ti ukrepi vključujejo šifriranje, nadzor dostopa, požarne zidove, maskiranje podatkov, psevdonimizacijo, redne varnostne preglede in mehanizme za obveščanje o kršitvah. Varnostni ukrepi so zasnovani tako, da preprečujejo nepooblaščen dostop, nenamerno izgubo ali nezakonito obdelavo osebnih podatkov.

Nadzorni organ se nanaša na neodvisen javni organ, odgovoren za spremljanje in izvrševanje skladnosti z zakoni o varstvu podatkov. Primeri vključujejo **Evropski odbor za varstvo podatkov (EDPB)** za zadeve, povezane z GDPR, **Urad informacijskega pooblaščenca Združenega kraljestva (ICO)** za GDPR Združenega kraljestva in **Kalifornijsko agencijo za varstvo zasebnosti (CPPA)** za izvrševanje CCPA. Nadzorni organ ima zakonsko pooblastilo za preiskovanje pritožb, izdajanje smernic in nalaganje kazni za neskladnost.

Pravice posameznika, na katerega se nanašajo osebni podatki se nanašajo na pravice, ki jih posameznikom zagotavljajo veljavni zakoni o varstvu podatkov. Te pravice lahko vključujejo pravico do dostopa, popravka, izbrisa, omejitve ali prenosa njihovih osebnih podatkov, pa tudi pravico do ugovora obdelavi in vložitve pritožbe pri nadzornem organu. Ponudnik storitev strankam pomaga pri uveljavljanju teh pravic, kadar je to primerno.

3. Obdelava podatkov

Stranka lahko deluje kot Upravljavec podatkov ali a Obdelovalec podatkov, odvisno od njegovega razmerja s posameznikom, na katerega se nanašajo osebni podatki, in namenov, za katere se osebni podatki obdelujejo. V vseh primerih, ULTEH deluje kot Obdelovalec podatkov, obdelovanje osebnih podatkov v imenu in po navodilih stranke.

Stranka je odgovorna za zagotovitev, da so vse dejavnosti obdelave podatkov, ki se izvajajo z uporabo naših storitev, v skladu z Veljavna zakonodaja o varstvu podatkov, vključno z, vendar ne omejeno na Splošna uredba o varstvu podatkov (GDPR), uredba GDPR Združenega kraljestva, kalifornijski zakon o varstvu zasebnosti potrošnikov (CCPA) in drugi veljavni predpisi o zasebnosti. Stranka potrjuje, da ima pravno podlago za obdelavo osebnih podatkov in nas odvezuje od kakršnih koli zahtevkov, odgovornosti ali škode, ki bi izhajala iz neizpolnjevanja teh zakonskih zahtev.

Osebne podatke bomo obdelovali samo v skladu s pisnimi navodili stranke in izključno kot je potrebno za zagotavljanje Storitev, razen če zakon ne določa drugače. Osebnih podatkov ne bomo uporabljali, razkrivali ali delili za noben drug namen, razen za tiste, ki jih je odobrila Stranka ali so izrecno navedeni v tej Pogodbi.

Ob odpoved pogodbe ali zahteva stranke, po presoji stranke bomo bodisi: (a) Varno brisanje vse osebne podatke, obdelane v skladu s to pogodbo, pri čemer se zagotovi, da ne ostanejo nobene kopije, razen če to zahteva zakonodaja, ali (b) Vrnitev osebnih podatkov stranki v strukturirani, pogosto uporabljeni in strojno berljivi obliki pred izbrisom. Stranka mora takšne zahteve posredovati v razumnem roku pred odpovedjo.

Če bomo zakonsko dolžni hraniti osebne podatke po prenehanju pogodbe, bomo o tem obvestili stranko (razen če nam to ni zakonsko prepovedano) in zagotovili, da bodo taki podatki ostali zaščiteni v skladu z zakoni o varstvu podatkov.

4. Varnost in zaupnost

ULTEH se zavezuje k varovanju varnosti in zaupnosti Osebni podatki obdelano v imenu Stranka. Za zagotovitev celovitosti in varnosti podatkov izvajamo in vzdržujemo vodilni varnostni ukrepi v panogi zasnovani tako, da preprečijo nepooblaščen dostop, razkritje, spremembo ali uničenje osebnih podatkov.

Te varnostni ukrepi vključujejo, vendar niso omejeni na:

• Šifriranje podatkov: Osebni podatki so šifrirani tako med prenosom kot v mirovanju z uporabo standardnih industrijskih protokolov šifriranja za zaščito pred nepooblaščenim dostopom.
• Nadzor dostopa: Stroge politike upravljanja dostopa zagotavljajo, da imajo do osebnih podatkov dostop le pooblaščene osebe na podlagi načela najmanjših privilegijev.
• Varnost omrežja in sistema: Požarni zidovi, sistemi za zaznavanje vdorov in stalno spremljanje pomagajo preprečiti nepooblaščen dostop in kibernetske grožnje.
• Anonimizacija in psevdonimizacija podatkov: Kjer je to primerno, se lahko osebni podatki anonimizirajo ali psevdonimizirajo, da se zmanjšajo tveganja, povezana z izpostavljenostjo podatkov.
• Redni varnostni pregledi: Redno izvajamo varnostne ocene, testiranje ranljivosti in preverjanje skladnosti, da bi prepoznali in zmanjšali tveganja.
• Načrt za odzivanje na incidente: Strukturiran protokol za odzivanje na incidente zagotavlja, da se vsaka kršitev varnosti takoj prepozna, ublaži in prijavi v skladu z veljavnimi zakoni o varstvu podatkov.

Vsak posameznik, vključno z zaposlenimi, izvajalci in pooblaščenimi ponudniki storitev, ki obdeluje osebne podatke v našem imenu, je zavezan stroge obveznosti zaupnosti. To vključuje podpis pravno izvršljivih sporazumi o nerazkritju informacij (NDA) in upoštevanje notranjih politik ravnanja s podatki, da se zagotovi skladnost s standardi zasebnosti in varnosti podatkov.

Stranko bomo nemudoma obvestili o vsaki **potrjeni kršitvi varnosti**, ki bi lahko povzročila nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov. Takšna obvestila bodo vključevala podrobnosti o incidentu, morebitnem vplivu in ukrepih za zmanjšanje tveganj.

Naše varnostne ukrepe nenehno pregledujemo in posodabljamo v skladu z razvijajoči se industrijski standardi in regulativne zahteve za zagotovitev stalne zaščite podatkov strank.

5. Podobdelovalci

ULTEH se lahko vključi Podobdelovalci tretjih oseb za pomoč pri zagotavljanju in vzdrževanju storitev. Ti podobdelovalci opravljajo posebne funkcije, kot so shranjevanje podatkov, gostovanje infrastrukture, analitika ali podpora strankam. Zagotavljamo, da vsi vključeni podobdelovalci upoštevajo stroge obveznosti varstva podatkov enakovredne tistim, opisanim v tem DPA.

Vzdržujemo ažuren seznam podobdelovalcev, vključno z njihovimi vlogami in lokacijami obdelave. Stranke lahko kadar koli zahtevajo informacije o trenutnih podobdelovalcih tako, da nas kontaktirajo.

Pravice in ugovori strank:

• Stranke bomo obvestili o vseh **novih angažmajih podobdelovalcev** vsaj 10 dni vnaprej.
• Stranke lahko v tem 10-dnevnem roku vložijo pisni **ugovor** zoper uporabo novega podobdelovalca, če imajo upravičene **pomisleke glede varstva podatkov**.
• Po prejemu ugovora bomo začeli **dobroverne pogovore**, da bi obravnavali pomisleke, kar lahko vključuje iskanje alternativnih rešitev.
• Če ni dosežena obojestransko sprejemljiva rešitev, ima stranka pravico do **prekinitve zadevnih storitev** v skladu s pogodbo.

Ostajamo v celoti odgovoren in odgovoren za dejanja naših podobdelovalcev in zagotavljamo, da ti upoštevajo:

• Zakoni o varstvu podatkov, vključno z GDPR, CCPA in drugimi veljavnimi predpisi.
• Sporazumi o zaupnosti za zaščito osebnih podatkov.
• Varnostni ukrepi, ki ustrezajo industrijskim standardom da preprečimo nepooblaščen dostop ali zlorabo podatkov.

Pridržujemo si pravico, da po potrebi **posodobimo ali zamenjamo** naše podobdelovalce, pri čemer upoštevamo pomisleke strank in tekoče obveznosti skladnosti.

6. Prenosi osebnih podatkov

ULTEH lahko prenese Osebni podatki zunaj Evropski gospodarski prostor (EGP), Združeno kraljestvo (UK) ali Švica za lažje zagotavljanje storitev. Ko pride do takšnih prenosov, zagotovimo ustrezne pravna varovala so vzpostavljeni za zaščito prenesenih podatkov v skladu z veljavnimi zakoni o varstvu podatkov.

Zanašamo se na priznane mehanizme prenosa podatkov, vključno z, vendar ne omejeno na:

• Standardne pogodbene klavzule (STK): Vključujemo standardne pogodbene klavzule, ki jih je odobrila Evropska komisija ali drugi pristojni organi, da zagotovimo zakonit prenos podatkov.
• Dodatni ukrepi: Po potrebi uporabljamo dodatne tehnične, organizacijske in pogodbene zaščitne ukrepe za izboljšanje varstva podatkov.
• Zavezujoča poslovna pravila (BCR): Kadar je to primerno, naše povezane entitete upoštevajo zavezujoča poslovna pravila (BCR), kar zagotavlja visoko raven varstva podatkov v vseh mednarodnih operacijah.
• Drugi odobreni mehanizmi prenosa: Upoštevamo vse dodatne okvire, certifikate ali pravne instrumente, priznane za zakonit čezmejni prenos podatkov.

Pravice in pomoč strankam: Zavezani smo k pomoči stranki pri zagotavljanju skladnosti z pravice posameznikov, na katere se nanašajo osebni podatki v skladu z veljavnimi zakoni o varstvu podatkov. To vključuje, vendar ni omejeno na:

• Zahteve za dostop: Omogočanje dostopa posameznikov, na katere se nanašajo osebni podatki, do njihovih osebnih podatkov.
• Zahteve za popravek: Omogočanje popravkov netočnih ali nepopolnih podatkov.
• Zahteve za izbris ("pravica do pozabe"): Pomoč pri brisanju osebnih podatkov na zahtevo, kjer je to zakonsko dovoljeno.
• Ugovor in omejitev obdelave: Podpora posameznikom, na katere se nanašajo osebni podatki, pri uveljavljanju njihovih pravic do ugovora ali omejitve dejavnosti obdelave podatkov.
• Prenosljivost podatkov: Omogočanje prenosa osebnih podatkov drugemu upravljavcu podatkov, kjer je to primerno.

Nenehno spremljamo globalne predpise o zasebnosti, da zagotovimo skladnost z **zahtevami za čezmejni prenos podatkov**, in bomo stranko obvestili, če bodo spremembe pravnega okvira vplivale na naše obveznosti glede obdelave podatkov.

7. Pravice posameznika, na katerega se nanašajo osebni podatki

ULTEH priznava in spoštuje pravice **Posameznikov, na katere se nanašajo osebni podatki** v skladu z veljavnimi **Zakoni o varstvu podatkov**. Kot upravljavec podatkov bomo **Stranki** pomagali pri odgovarjanju na zahteve posameznikov v zvezi z njihovimi **Osebnimi podatki**.

Posamezniki, na katere se nanašajo osebni podatki, lahko uveljavljajo naslednje pravice:

• Pravica dostopa: Možnost zahtevanja in pridobitve potrditve o tem, ali se njihovi podatki obdelujejo, skupaj z dostopom do podatkov.
• Pravica do popravka: Pravica do popravka ali posodobitve netočnih ali nepopolnih osebnih podatkov.
• Pravica do izbrisa ("pravica do pozabe"): Pravica zahtevati izbris osebnih podatkov, v skladu z zakonskimi in pogodbenimi obveznostmi.
• Pravica do omejitve obdelave: Možnost omejitve obdelave osebnih podatkov pod določenimi pogoji.
• Pravica do prenosljivosti podatkov: Možnost pridobitve in prenosa osebnih podatkov k drugemu ponudniku storitev, kjer je to tehnično izvedljivo.
• Pravica do ugovora: Pravica do ugovora obdelavi na podlagi zakonitih interesov, neposrednega trženja ali avtomatiziranega odločanja.
• Pravica do preklica soglasja: Če obdelava temelji na privolitvi, lahko posameznik, na katerega se nanašajo osebni podatki, privolitev kadar koli prekliče.

Odgovornosti strank: Stranka, ki deluje kot upravljavec podatkov, je odgovorna za obravnavo zahtev posameznika, na katerega se nanašajo osebni podatki. Na zahtevo bomo nudili **razumno pomoč** in zagotovili, da bodo odgovori obravnavani **hitro in v skladu** z veljavno zakonodajo.

Na zahtevo posameznika, na katerega se nanašajo osebni podatki, ne bomo odgovorili neposredno, razen če to zahteva zakon ali če nas stranka izrecno ne pooblasti.

8. Obvestilo o kršitvi varnosti podatkov

ULTEH jemlje varnost resno in izvaja **preventivne ukrepe** za zaščito osebnih podatkov. Vendar pa bomo v primeru **kršitve osebnih podatkov** ukrepali **hitro in pregledno**.

Načrt za odzivanje na kršitve podatkov: Če se seznanimo s **potrjeno kršitvijo varstva osebnih podatkov**, ki lahko povzroči **nepooblaščen dostop do osebnih podatkov, njihovo izgubo, spremembo ali razkritje**, bomo:

• **Ocenite vpliv** kršitve in nemudoma ukrepajte za zmanjšanje tveganj.
• **Stranko obvestite brez nepotrebnega odlašanja** (običajno v 48 urah po potrditvi).
• Navedite podrobnosti, vključno z:
  • Narava in obseg kršitve.
  • Vrsta prizadetih podatkov.
  • Možne posledice.
  • Sprejeti ali predlagani ukrepi za odpravo kršitve.
• **Pomagati stranki** pri izpolnjevanju vseh regulativnih obveznosti, vključno z obveščanjem organov in prizadetih posameznikov, na katere se nanašajo osebni podatki, kjer je to potrebno.
• **Izvedite korektivne ukrepe** za preprečevanje prihodnjih kršitev.

Odgovornosti strank: Stranka je odgovorna za odločitev, ali bo obvestila regulativne organe in posameznike, na katere se nanašajo osebni podatki, v skladu z veljavnimi zakoni o varstvu podatkov.

Vse kršitve bomo dokumentirali in vodili evidence o naših **preiskavah, prizadevanjih za ublažitev in sanacijskih ukrepih**.

9. Hramba in brisanje podatkov

ULTEH hrani **osebne podatke le toliko časa, kolikor je potrebno** za izpolnjevanje svojih obveznosti iz te pogodbe ali kot to zahtevajo veljavni zakoni.

Politika hrambe podatkov:

• Sledimo **načelom minimizacije podatkov**, s katerimi zagotavljamo, da se podatki hranijo le za **legitimne poslovne potrebe in potrebe skladnosti**.
• Podatki bodo izbrisani ali anonimizirani, ko **ne bodo več potrebni** za namene obdelave.
• Obdobja hrambe se lahko razlikujejo glede na **zakonske, pogodbene ali regulativne zahteve**.

Brisanje podatkov, ki ga nadzira stranka:

• Stranke lahko kadar koli zahtevajo **izbris osebnih podatkov**.
• Po prenehanju storitev bomo **izbrisali ali vrnili osebne podatke** v skladu z navodili stranke.
• Če ni zahteve za izbris, bomo osebne podatke **samodejno izbrisali** v razumnem roku, razen če je njihova hramba zakonsko določena.

Izjeme pri brisanju podatkov: V nekaterih primerih lahko **osebne podatke** hranimo dlje kot dogovorjeno obdobje hrambe, vključno z:

• Za izpolnjevanje **zakonskih obveznosti** (npr. davčnih, revizijskih ali regulativnih zahtev).
• Za **legitimne interese**, kot so preprečevanje goljufij ali varnostne preiskave.
• Kadar to zahteva **zavezujoča pravna zahteva** (npr. sodna odredba).

Zagotavljamo, da se upoštevajo **varni postopki brisanja**, ki preprečujejo kakršno koli nepooblaščeno obnovitev ali zlorabo osebnih podatkov.

10. Veljavno pravo in reševanje sporov

Ta Dodatek o obdelavi podatkov (DPA) se ureja in razlaga v skladu z **istimi zakoni in pristojnostjo**, kot so opredeljeni v glavni pogodbi med ULTEH in Stranka.

Postopek reševanja sporov: Če pride do kakršnega koli spora v zvezi s tem DPA, se obe stranki strinjata, da bosta sledili strukturiranemu postopku reševanja, vključno z:

• Pogajanja v dobri veri: Stranke bodo najprej poskušale rešiti spore z neposrednimi pogovori in pogajanji.
• Mediacija ali arbitraža: Če pogajanja ne uspejo, se spor lahko predloži mediaciji ali arbitraži, kot je določeno v glavnem sporazumu.
• Pravni postopki: Če se spor ne reši, se lahko spori rešijo s formalnim sodnim postopkom v pristojni jurisdikciji.

V primeru kakršnega koli nasprotja med tem DPA in glavnim sporazumom **imajo prednost določila tega DPA** izključno glede zadev varstva podatkov, pri čemer se zagotavlja skladnost z veljavnimi Zakoni o varstvu podatkov.

11. Končne določbe

Ta Dodatek o obdelavi podatkov je sestavni del celotnega sporazuma med ULTEH in Stranka. Z nadaljnjo uporabo Storitev Stranka potrjuje in **sprejema pogoje tega DPA**.

Če se izkaže, da je katera koli določba tega DPA **neveljavna ali neizvršljiva**, preostale določbe ostanejo v polni veljavi in učinku. Stranki se strinjata, da bosta katero koli neizvršljivo določbo nadomestili z določbo, ki čim bolj natančno odraža prvotni namen, hkrati pa ostane skladna z veljavno zakonodajo.

Spremembe in posodobitve: Pridržujemo si pravico do **spremembe ali posodobitve tega sporazuma o varstvu podatkov**, da se upoštevajo spremembe veljavnih **zakonov o varstvu podatkov, praks v panogi ali operativnih potreb**. Stranke bodo obveščene o vseh bistvenih spremembah, nadaljnja uporaba storitev pa pomeni sprejetje posodobljenih pogojev.

Kontaktni podatki: Za vsa vprašanja, pomisleke ali za zahtevo podpisane kopije te DPA se stranke lahko obrnejo na nas na: [email protected].