Datu apstrādes pielikums

1. Ievads

ULTEH ir apņēmusies nodrošināt klientu datu konfidencialitāti, drošību un atbilstību. Šis datu apstrādes pielikums (DPA) izklāsta nosacījumus, kas reglamentē, kā mēs apstrādājam, glabājam un aizsargājam personas datus saskaņā ar piemērojamiem datu aizsardzības likumiem un noteikumiem. Šis DPA ir mūsu galvenā līguma ar klientiem paplašinājums un tiek piemērots, kad ULTEH Apstrādā personas datus Klienta vārdā kā datu apstrādātājs. Tas nosaka skaidras abu pušu atbildības datu apstrādes jomā, nodrošinot atbilstību attiecīgajiem privātuma likumiem. Izmantojot ULTEH, Klienti apliecina un piekrīt šajā DPA noteiktajiem nosacījumiem. Ja jums nepieciešama parakstīta šīs vienošanās kopija atbilstības nolūkos, lūdzu, sazinieties ar mums.

2. Definīcijas

Partneris Attiecas uz jebkuru subjektu, kas tieši vai netieši kontrolē, tiek kontrolēts vai atrodas kopīgā kontrolē ar pusi. 'Kontrole' nozīmē tiešu vai netiešu vismaz 50% balsstiesīgo akciju, kapitāla daļu vai līdzīgu tiesību īpašumtiesības vienībā, kas nodrošina spēju ietekmēt tās vadību un politiku. Filiāles tiek uzskatītas par saistītām ar šajā DPA noteiktajām saistībām un atbildību tikmērā, cik tās iesaistās personas datu apstrādē.

Pilnvarots apakšapstrādātājs attiecas uz jebkuru trešās puses piegādātāju, pakalpojumu sniedzēju vai darbuzņēmēju, kuru Pakalpojuma sniedzējs piesaista Klienta personas datu apstrādei stingri Pakalpojuma sniedzēja vārdā un pēc tā norādījumiem. Pilnvaroti apakšapstrādātāji palīdz izpildīt saistības saskaņā ar šo DPA un galveno līgumu. Visiem apakšapstrādātājiem jāievēro tās pašas datu aizsardzības saistības, nodrošinot drošību, konfidencialitāti un atbilstību normatīvajām prasībām.

Konta dati attiecas uz visu uzņēmējdarbībai saistīto informāciju, ko Pakalpojumu sniedzējs vāc, glabā un apstrādā saistībā ar tā līgumisko attiecību ar Klientu. Tas ietver, bet neaprobežojas ar, vārdus, e-pasta adreses, tālruņu numurus, maksājumu datus un piekļuves akreditācijas personas, kuras Klients pilnvarojis pārvaldīt un darbināt savu kontu Pakalpojumu sniedzēja platformā. Konta dati tiek izmantoti tikai administratīviem, rēķinu izrakstīšanas un atbalsta mērķiem.

Datu aizsardzības likumi aptver visus spēkā esošos likumus, noteikumus un ietvarus, kas regulē Personas datu vākšanu, apstrādi, uzglabāšanu, pārsūtīšanu un aizsardzību. Tas ietver, bet neaprobežojas ar, Eiropas Savienības Vispārīgo datu aizsardzības regulu (GDPR), Apvienotajā Karalistē piemērojamo UK GDPR, Kalifornijas Patērētāju privātuma likumu (CCPA) un jebkuriem citiem nacionālajiem vai starptautiskajiem privātuma likumiem, kas attiecas uz datu apstrādes darbībām saskaņā ar šo Līgumu. Atbilstība šiem likumiem nodrošina, ka Personas dati tiek apstrādāti likumīgi, pārredzami un droši.

Personas dati attiecas uz jebkuru informāciju, kas saistīta ar identificētu vai identificējamu fizisku personu ('datu subjekts'). Identificējama persona ir tā, kuru var identificēt tieši vai netieši, īpaši, atsaucoties uz identifikatoriem, piemēram, vārdu, e‑pasta adresi, tālruņa numuru, atrašanās vietas datus, tiešsaistes identifikatoru (piem., IP adresi vai sīkdatnes) vai citiem unikāliem faktoriem, kas nosaka tās identitāti. Personas dati neietver anonimizētus vai agregētus datus, kurus nevar izmantot personas identificēšanai.

Notiek apstrāde apzīmē jebkuru darbību vai darbību kopumu, kas veiktas ar personas datiem, neatkarīgi no tā, vai tās tiek veiktas automatizēti vai manuāli. Tas ietver, bet neaprobežojas ar personas datu vākšanu, ierakstīšanu, organizēšanu, strukturēšanu, uzglabāšanu, pielāgošanu, maiņu, izgūšanu, piekļuvi, izmantošanu, atklāšanu, pārraidi, ierobežošanu, dzēšanu vai iznīcināšanu. Apstrāde tiek veikta saskaņā ar Klienta norādījumiem un piemērojamiem datu aizsardzības likumiem.

Drošības pasākumi Attiecas uz tehniskajiem un organizatoriskajiem drošības pasākumiem, kas ieviesti, lai nodrošinātu Personas datu konfidencialitāti, integritāti un pieejamību. Šie pasākumi ietver šifrēšanu, piekļuves kontroli, ugunsmūrus, datu maskēšanu, pseidonimizāciju, regulāras drošības revīzijas un paziņošanas mehānismus par pārkāpumiem. Drošības pasākumi ir izstrādāti, lai novērstu nesankcionētu piekļuvi, nejaušu zudumu vai prettiesisku Personas datu apstrādi.

Uzraudzības iestāde attiecas uz neatkarīgu valsts iestādi, kas atbildīga par datu aizsardzības likumu ievērošanas uzraudzību un izpildi. Piemēri ietver **European Data Protection Board (EDPB)** GDPR jautājumos, **UK Information Commissioner's Office (ICO)** attiecībā uz UK GDPR un **California Privacy Protection Agency (CPPA)** CCPA piemērošanā. Uzraudzības iestādei ir likumīgas pilnvaras izmeklēt sūdzības, sniegt vadlīnijas un piemērot sankcijas par nesniegumu atbilstībai.

Datu subjektu tiesības attiecas uz tiesībām, kas piešķirtas personām saskaņā ar piemērojamajiem datu aizsardzības likumiem. Šīs tiesības var ietvert tiesības piekļūt, labot, dzēst, ierobežot vai pārnest savus personas datus, kā arī tiesības iebilst pret apstrādi un iesniegt sūdzības uzraudzības iestādei. Pakalpojumu sniedzējs palīdz Klientiem atvieglot šo tiesību izmantošanu, ja tas ir piemērojams.

3. Datu apstrāde

Klients var darboties kā viens no abiem Datu pārzinis vai viens Datu apstrādātājs, atkarībā no tā attiecībām ar datu subjektu un no mērķiem, kuriem tiek apstrādāti personas dati. Visos gadījumos, ULTEH darbojas kā Datu apstrādātājs, personas datu apstrāde Klienta vārdā un saskaņā ar Klienta norādījumiem.

Klients ir atbildīgs par nodrošināšanu, ka visas datu apstrādes darbības, kas veiktas, izmantojot mūsu pakalpojumus, atbilst Piemērojamie datu aizsardzības likumi, ieskaitot, bet neaprobežojoties ar Vispārīgā datu aizsardzības regula (GDPR), UK GDPR, California Consumer Privacy Act (CCPA) un citi piemērojami privātuma noteikumi. Klients atzīst, ka tam ir tiesisks pamats personas datu apstrādei, un atlīdzina mums par jebkādiem prasījumiem, saistībām vai zaudējumiem, kas radušies šo juridisko prasību neievērošanas rezultātā.

Mēs apstrādāsim personas datus. tikai saskaņā ar klienta rakstiskajām norādēm un tikai tad, ja tas ir nepieciešams, lai sniegtu Pakalpojumus, ja vien likums nenosaka citādi. Mēs neizmantosim, neatklāsim vai nedalīsimies ar Personas datiem mērķiem, kas nav pilnvaroti no Klienta vai kuri nav skaidri noteikti šajā Līgumā.

ierodoties līguma izbeigšana vai pēc klienta pieprasījuma, mēs, pēc Klienta ieskatiem, vai nu: (a) Dzēst droši visi Personas dati, apstrādāti saskaņā ar šo Līgumu, nodrošinot, ka nepaliek nekādas kopijas, ja vien to neprasa likums, vai (b) Atgriezt personas datus Klientam strukturētā, plaši izmantotā un mašīnlasāmā formātā pirms dzēšanas. Klientam jāiesniedz šādi pieprasījumi saprātīgā termiņā pirms pārtraukšanas.

Ja likums prasa mums glabāt personas datus arī pēc līguma izbeigšanas, mēs paziņosim klientam (ja vien likums mums to aizliedz) un nodrošināsim, ka šādi dati tiek aizsargāti saskaņā ar datu aizsardzības likumiem.

4. Drošība un konfidencialitāte

ULTEH apņemas aizsargāt drošību un konfidencialitāti Personas dati apstrādāts vārdā Klients. Lai nodrošinātu datu integritāti un drošību, mēs īstenojam un uzturam nozares vadošie drošības pasākumi Izstrādāts, lai novērstu nesankcionētu piekļuvi, atklāšanu, grozīšanu vai personas datu iznīcināšanu.

Šie Drošības pasākumi iekļauj, bet neaprobežojas ar:

• Datu šifrēšana: Personas dati tiek pārraides laikā, gan miera stāvoklī tiek tiek tiek tiek tiek tiek tiek tiek tiek tiek tiek tiek tiek tiek tiek tiek tiek tiek tiek
• Piekļuves kontroles: Stingras piekļuves pārvaldības politikas nodrošina, ka tikai pilnvarotas personas var piekļūt personas datiem, pamatojoties uz minimālo privilēģiju principu.
• Tīklu un sistēmu drošība: Ugunsmūri, iekļūšanas noteikšanas sistēmas un nepārtraukta uzraudzība palīdz novērst nesankcionētu piekļuvi un kiberdraudus.
• Datu anonimizācija un pseudonimizācija: Attiecīgā gadījumā personas datus var anonimizēt vai pseudonimizēt, lai mazinātu ar datu atklāšanu saistītos riskus.
• Regulāras drošības revīzijas: Mēs veicam periodiskas drošības novērtēšanas, ievainojamību testēšanu un atbilstības pārbaudes, lai identificētu un mazinātu riskus.
• Incidentu reaģēšanas plāns: Strukturēts reaģēšanas uz incidentiem protokols nodrošina, ka jebkura drošības pārkāpuma gadījumā tas tiek ātri atklāts, mazināts un ziņots saskaņā ar piemērojamiem datu aizsardzības likumiem.

Jebkura persona, tostarp darbinieki, līgumslēdzēji un pilnvaroti pakalpojumu sniedzēji, kas apstrādā Personas datus mūsu vārdā, ir saistīta ar stingras konfidencialitātes saistības. Tas ietver juridiski izpildāmu dokumentu parakstīšanu konfidencialitātes līgumi (NDA) un iekšējo datu apstrādes politiku ievērošanu, lai nodrošinātu atbilstību datu privātuma un drošības standartiem.

Mēs nekavējoties informēsim Klientu par jebkuru apstiprinātu drošības pārkāpumu, kas varētu izraisīt nejaušu vai prettiesisku Personas datu iznīcināšanu, zaudēšanu, izmaiņas, neatļautu atklāšanu vai piekļuvi. Šādi paziņojumi ietvers informāciju par incidentu, iespējamo ietekmi un veiktajām koriģējošajām darbībām riska mazināšanai.

Mēs pastāvīgi pārskatām un atjauninām mūsu drošības pasākumus saskaņā ar attīstošie nozares standarti un regulatīvās prasības lai nodrošinātu pastāvīgu klienta datu aizsardzību.

5. Apakšapstrādātāji

ULTEH var mijiedarboties trešo pušu apakšprocesori lai palīdzētu sniegt un uzturēt Pakalpojumus. Šie apakšapstrādātāji veic konkrētas funkcijas, piemēram, datu glabāšanu, infrastruktūras mitināšanu, analīzi vai klientu atbalstu. Mēs nodrošinām, ka visi iesaistītie apakšapstrādātāji ievēro stingras datu aizsardzības saistības ekvivalentas tām, kas aprakstītas šajā DPA.

Mēs uzturam aktuālu apakšapstrādātāju sarakstu, kurā norādītas to lomas un apstrādes vietas. Klienti jebkurā laikā var pieprasīt informāciju par pašreizējiem apakšapstrādātājiem, sazinoties ar mums.

Klienta tiesības un iebildumi:

• Mēs informēsim klientus par jebkādiem **jauniem apakšapstrādātāju iesaistīšanās gadījumiem** vismaz 10 dienas iepriekš.
• Klienti šajā 10 dienu termiņā var iesniegt rakstisku iebildumu pret jauna apakšprocesora izmantošanu, ja viņiem ir pamatotas satraukums par datu aizsardzību.
• Saņēmuši iebildumu, mēs uzsāksim labticīgas sarunas, lai risinātu bažas, kas var ietvert alternatīvu risinājumu meklēšanu.
• Ja netiek panākts abpusēji pieņemams risinājums, Klientam var būt tiesības **izbeigt attiecīgos pakalpojumus** saskaņā ar Līgumu.

Mēs paliekam pilnībā atbildīgs un juridiski atbildīgs par mūsu apakšapstrādātāju darbībām un nodrošināt, lai tie ievērotu:

• Datu aizsardzības likumi, ieskaitot GDPR, CCPA un citus piemērojamos tiesību aktus.
• Konfidencialitātes līgumi lai aizsargātu personas datus
• Drošības pasākumi, kas atbilst nozares standartiem lai novērstu nesankcionētu piekļuvi vai datu ļaunprātīgu izmantošanu.

Paturam tiesības pēc nepieciešamības **atjaunināt vai aizstāt** mūsu apakšapstrādātājus, pienācīgi ņemot vērā klientu bažas un pastāvīgās atbilstības saistības.

6. Personas datu pārsūtīšana

ULTEH var pārsūtīt Personas dati ārpus Eiropas ekonomiskā zona (EEZ), Apvienotā Karaliste (AK) vai Šveice lai atvieglotu Pakalpojumu sniegšanu. Kad notiek šādas pārraides, mēs nodrošinām, ka ir ieviesti atbilstoši aizsardzības pasākumi. juridiskās garantijas Ir ieviesti pasākumi, lai aizsargātu pārsūtītos datus atbilstoši piemērojamiem datu aizsardzības likumiem.

Mēs paļaujamies uz atzītiem datu pārsūtīšanas mehānismiem, tostarp, bet neaprobežojoties ar:

• Standarta līguma noteikumi (SCCs): Mēs izmantojam Eiropas Komisijas vai citu kompetento iestāžu apstiprinātas standarta līguma klauzulas, lai nodrošinātu likumīgas datu pārraides.
• Papildu pasākumi: Ja nepieciešams, mēs piemērojam papildu tehniskus, organizatoriskus un līguma rakstura aizsardzības pasākumus, lai stiprinātu datu aizsardzību.
• Saistošie korporatīvie noteikumi (BCRs): Ja piemērojams, mūsu saistītās vienības ievēro saistošos korporatīvās noteikumus (BCR), nodrošinot augstu datu aizsardzības līmeni starptautiskajās operācijās.
• Citi apstiprināti pārsūtīšanas mehānismi: Mēs ievērojam visas papildu vadlīnijas, sertifikātus vai juridiskos instrumentus, kas atzīti likumīgām datu pārrobežu pārsūtīšanām.

Klienta tiesības un atbalsts: Mēs esam apņēmušies palīdzēt Klientam nodrošināt atbilstību datu subjektu tiesības saskaņā ar piemērojamiem datu aizsardzības likumiem. Tas ietver, bet neaprobežojas ar:

• Piekļuves pieprasījumi: Nodrošināt datu subjektiem iespēju piekļūt saviem personas datiem.
• Pieprasījumi labojumam: Atļaušana labot neprecīzus vai nepilnīgus datus.
• Pieprasījumi dzēšanai („tiesības tikt aizmirstam”): Palīdzība personas datu dzēšanā pēc pieprasījuma, ja to atļauj likums.
• Iebildums un apstrādes ierobežošana: Atbalsts datu subjektiem viņu tiesību īstenošanā — iebilst pret vai ierobežot datu apstrādes darbības.
• Datu pārnēsājamība: Atvieglojot personas datu pārsūtīšanu citam datu pārzinim, ja piemērojams.

Mēs nepārtraukti uzraugām globālos privātuma noteikumus, lai nodrošinātu atbilstību prasībām par datu pārsūtīšanu pāri robežām, un paziņosim Klientam, ja izmaiņas tiesiskajā regulējumā ietekmēs mūsu pienākumus datu apstrādē.

7. Datu subjekta tiesības

ULTEH Atzīst un cienā **datu subjektu** tiesības saskaņā ar piemērojamiem **datu aizsardzības likumiem**. Mēs palīdzēsim **Klientam**, kā datu pārzinim, atbildēt uz personu pieprasījumiem saistībā ar viņu **personas datiem**.

Datu subjekti var izmantot šādas tiesības:

• Piekļuves tiesības: Iespēja pieprasīt un saņemt apstiprinājumu, vai viņu dati tiek apstrādāti, kā arī piekļuve šiem datiem.
• Tiesības uz labošanu: Tiesības labot vai atjaunināt neprecīzus vai nepilnīgus personas datus.
• Tiesības uz dzēšanu ('tiesības tikt aizmirstam'): Tiesības pieprasīt personas datu dzēšanu, ar nosacījumu, ka tiek ievērotas tiesiskas un līgumiskas saistības.
• Tiesības ierobežot datu apstrādi: Iespēja ierobežot personas datu apstrādi noteiktos apstākļos.
• Tiesības uz datu pārnesamību: Spēja iegūt un pārnest personas datus citam pakalpojumu sniedzējam, ja tas ir tehniski iespējams.
• Tiesības izteikt iebildumu: Tiesības iebilst pret apstrādi, kas balstīta uz leģitīmām interesēm, tiešo mārketingu vai automatizētu lēmumu pieņemšanu.
• Tiesības atsaukt piekrišanu: Ja datu apstrāde balstās uz piekrišanu, datu subjekts var jebkurā laikā atsaukt savu piekrišanu.

Klienta pienākumi: Klients, rīkojoties kā datu pārzinis, ir atbildīgs par datu subjektu iesniegumu izskatīšanu. Pēc pieprasījuma mēs sniegsim saprātīgu atbalstu, nodrošinot, ka atbildes tiek apstrādātas savlaicīgi un saskaņā ar piemērojamiem tiesību aktiem.

Mēs tieši neatbildēsim uz datu subjekta pieprasījumu, ja vien likums to neprasa vai Klients mūs tam nav skaidri pilnvarojis.

8. Paziņojums par datu noplūdi

ULTEH uztver drošību nopietni un ievieš preventīvus pasākumus, lai aizsargātu personas datus. Tomēr personas datu pārkāpuma gadījumā rīkosimies ātri un pārredzami.

Plāns datu noplūdes gadījumā: Ja uzzināsim par apstiprinātu personas datu pārkāpumu, kas var izraisīt neatļautu piekļuvi, zaudējumu, grozīšanu vai personas datu atklāšanu, mēs veiksim atbilstošus pasākumus.:

• Novērtējiet pārkāpuma ietekmi un nekavējoties veiciet pasākumus riska mazināšanai.
• Informējiet klientu bez nepamatotas kavēšanās (parasti 48 stundu laikā pēc apstiprināšanas).
• Norādiet detaļas, tostarp::
  • Pārkāpuma raksturs un apmērs.
  • Ietekmēto datu veids
  • Iespējamās sekas.
  • Pasākumi, kas veikti vai ierosināti, lai novērstu pārkāpumu.
• Palīdzēt Klientam izpildīt jebkādas regulatīvās saistības, tostarp, ja nepieciešams, paziņojumus iestādēm un attiecīgajām datu subjektēm.
• Ieviest koriģējošus pasākumus, lai novērstu nākotnes pārkāpumus.

Klienta pienākumi: Klients ir atbildīgs noteikt, vai saskaņā ar piemērojamiem datu aizsardzības likumiem nepieciešams paziņot uzraudzības iestādēm un datu subjektiem.

Mēs dokumentēsim visus pārkāpumus un uzturēsim ierakstus par mūsu izmeklēšanām, mazināšanas centieniem un labojuma pasākumiem.

9. Datu glabāšana un dzēšana

ULTEH uzglabā **personas datus tikai tik ilgi, cik tas ir nepieciešams**, lai izpildītu savas saistības saskaņā ar šo Līgumu vai ja to paredz piemērojamie likumi.

Datu glabāšanas politika:

• Mēs ievērojam datu minimizācijas principus, nodrošinot, ka dati tiek glabāti tikai leģitīmām biznesa vajadzībām un atbilstības prasībām.
• Dati tiks izdzēsti vai anonimizēti, tiklīdz tie vairs nebūs nepieciešami apstrādes nolūkos.
• Uzglabāšanas termiņi var atšķirties atkarībā no juridiskajām, līgumiskajām vai regulatorajām prasībām.

Klienta kontrolēta datu dzēšana:

• Klienti jebkurā laikā var pieprasīt **personas datu dzēšanu**.
• Pārtraucot pakalpojumu sniegšanu, mēs izdzēsīsim vai atdosim personas datus saskaņā ar klienta norādēm.
• Ja netiks iesniegts pieprasījums par dzēšanu, mēs **automātiski dzēsīsim** personas datus saprātīgā termiņā, ja vien likums neuzliek pienākumu tos saglabāt.

Izņēmumi datu dzēšanai: Noteiktos gadījumos mēs varam **uzglabāt personas datus** ilgāk par vienošanās noteikto glabāšanas periodu, tostarp:

• Lai izpildītu **tiesiskās saistības** (piem., nodokļu, revīzijas vai regulatīvās prasības).
• Sakarā ar **pamatotām interesēm**, piemēram, krāpšanas novēršanai vai drošības izmeklēšanām.
• Kad to prasa saistošs juridisks pieprasījums (piem., tiesas rīkojums).

Mēs nodrošinām, ka tiek ievērotas **drošas dzēšanas procedūras**, novēršot jebkādu neatļautu personas datu atkopšanu vai ļaunprātīgu izmantošanu.

10. Piemērojamais tiesiskais regulējums un strīdu izšķiršana

Šis datu apstrādes pielikums (DPA) tiks regulēts un interpretēts saskaņā ar tām pašām likumdošanas normām un jurisdikciju, kā definēts galvenajā līgumā starp ULTEH un klients.

Strīdu risināšanas process: Ja saistībā ar šo DPA rastos kāds strīds, abas puses piekrīt ievērot strukturētu strīdu risināšanas procesu, tostarp::

• Labticīgas sarunas: Puses vispirms centīsies atrisināt strīdus, veicot tiešas diskusijas un sarunas.
• Mediācija vai arbitrāža: Ja sarunas neizdodas, strīdu var nodot mediācijai vai arbitrāžai, kā noteikts galvenajā līgumā.
• Juridiskie procesi: Ja netiek panākts risinājums, strīdus var izšķirt, izmantojot formālas tiesiskas procedūras piemērojamajā jurisdikcijā.

Ja rodas kāds pretrunīgums starp šo DPA un galveno līgumu, šī DPA noteikumi būs priekšroka tikai attiecībā uz datu aizsardzības jautājumiem, nodrošinot atbilstību piemērojamajiem likumiem. Datu aizsardzības likumi.

11. Noslēguma noteikumi

Šis datu apstrādes pielikums veido neatņemamu kopējā līguma starp ULTEH un Klients. Turpinot izmantot Pakalpojumus, Klients apliecina un pieņem šī DPA noteikumus.

Ja kāds šī DPA pants tiek atzīts par spēkā neesošu vai neizpildāmu, pārējie panti saglabās pilnu spēkspēju. Puses tās vienojas aizstāt jebkuru neizpildāmu pantu ar tādu, kas pēc iespējas precīzāk atspoguļo sākotnējo nodomu, vienlaikus atbilstot piemērojamajiem likumiem.

Grozījumi un atjauninājumi: Paturam tiesības grozīt vai atjaunināt šo DPA, lai atspoguļotu izmaiņas piemērojamos datu aizsardzības likumos, nozares praksē vai darbības vajadzībās. Klienti tiks informēti par jebkurām būtiskām izmaiņām, un turpinot izmantot Pakalpojumus, tiek pieņemti atjauninātie noteikumi.

Kontakta informācija: Ja jums ir kādi jautājumi vai bažas, vai ja vēlaties pieprasīt parakstītu šī DPA kopiju, klienti var sazināties ar mums pa:: [email protected].