Acordul de prelucrare a datelor

1. Adendum privind prelucrarea datelor

ULTEH se angajează să asigure confidențialitatea, securitatea și conformitatea datelor clienților. Prezentul Adendum privind prelucrarea datelor (DPA) descrie termenii care guvernează modul în care prelucrăm, stocăm și protejăm datele cu caracter personal în conformitate cu legislația și reglementările aplicabile privind protecția datelor. Acest DPA este o extensie a acordului nostru principal cu Clienții și se aplică atunci când ULTEH prelucrează date cu caracter personal în numele Clientului în calitate de operator de date. Acesta stabilește responsabilități clare pentru ambele părți în ceea ce privește gestionarea datelor, asigurând conformitatea cu legile relevante privind confidențialitatea. Prin utilizarea ULTEH, Clienții recunosc și acceptă termenii stabiliți în acest DPA. Dacă aveți nevoie de o copie semnată a acestui acord în scopuri de conformitate, vă rugăm să ne contactați.

2. Definiții

Afiliat se referă la orice entitate care controlează direct sau indirect, este controlată de sau se află sub control comun cu o parte. „Control” înseamnă deținerea directă sau indirectă a cel puțin 50% din acțiunile cu drept de vot, interesele de capital sau drepturi similare în entitate, oferind posibilitatea de a influența managementul și politicile acesteia. Afiliatii sunt considerați obligați de responsabilitățile și obligațiile prevăzute în acest DPA, în măsura în care se implică în prelucrarea Datelor cu Caracter Personal.

Sub-procesator autorizat înseamnă orice furnizor, prestator de servicii sau contractor terț angajat de Furnizorul de Servicii pentru a prelucra Datele cu Caracter Personal ale Clientului strict în numele și sub instrucțiunile Furnizorului de Servicii. Sub-procesatorii autorizați asistă la îndeplinirea obligațiilor prevăzute de acest DPA și de Acordul principal. Toți Sub-procesatorii trebuie să respecte aceleași obligații de protecție a datelor, menținând securitatea, confidențialitatea și conformitatea cu reglementările.

Datele contului se referă la toate informațiile legate de afacere colectate, stocate și prelucrate de Furnizorul de Servicii în legătură cu relația contractuală cu Clientul. Acestea includ, fără a se limita la, numele, adresele de e-mail, numerele de telefon, detaliile de plată și datele de acces ale persoanelor autorizate de Client să gestioneze și să opereze contul pe platforma Furnizorului de Servicii. Datele contului sunt utilizate strict în scopuri administrative, de facturare și suport.

Legile privind protecția datelor includ toate legile, reglementările și cadrele aplicabile care guvernează colectarea, prelucrarea, stocarea, transferul și protecția Datelor cu Caracter Personal. Acestea includ, fără a se limita la, Regulamentul General privind Protecția Datelor (GDPR) al Uniunii Europene, UK GDPR aplicabil în Regatul Unit, Legea privind confidențialitatea consumatorilor din California (CCPA) și orice alte legi naționale sau internaționale relevante pentru activitățile de prelucrare a datelor în baza acestui Acord. Respectarea acestor legi asigură că Datele cu Caracter Personal sunt gestionate legal, transparent și în siguranță.

Date cu caracter personal se referă la orice informație referitoare la o persoană fizică identificată sau identificabilă („Persoana vizată”). O persoană identificabilă este cea care poate fi identificată direct sau indirect, în special prin referire la identificatori precum nume, adresă de e-mail, număr de telefon, date de localizare, un identificator online (cum ar fi adresa IP sau cookie-urile) sau alți factori unici care definesc identitatea acesteia. Datele cu caracter personal nu includ datele anonimizate sau agregate care nu pot fi folosite pentru identificarea unei persoane.

Prelucrare înseamnă orice operațiune sau set de operațiuni efectuate asupra Datelor cu Caracter Personal, fie prin mijloace automate, fie manual. Aceasta include, fără a se limita la, colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea, modificarea, recuperarea, consultarea, utilizarea, divulgarea, transmiterea, restricționarea, ștergerea sau distrugerea Datelor cu Caracter Personal. Prelucrarea se realizează conform instrucțiunilor Clientului și legislației aplicabile privind protecția datelor.

Măsuri de securitate se referă la măsurile tehnice și organizaționale implementate pentru a asigura confidențialitatea, integritatea și disponibilitatea Datelor cu Caracter Personal. Aceste măsuri includ criptarea, controalele de acces, firewall-urile, mascarea datelor, pseudonimizarea, audituri de securitate periodice și mecanisme de notificare a încălcărilor. Măsurile de securitate sunt concepute pentru a preveni accesul neautorizat, pierderea accidentală sau prelucrarea ilegală a Datelor cu Caracter Personal.

Autoritatea de supraveghere se referă la o autoritate publică independentă responsabilă cu monitorizarea și aplicarea respectării Legilor privind Protecția Datelor. Exemple includ Comitetul European pentru Protecția Datelor (EDPB) pentru aspecte legate de GDPR, Biroul Comisarului pentru Informații din Marea Britanie (ICO) pentru GDPR-ul britanic și Agenția pentru Protecția Confidențialității din California (CPPA) pentru aplicarea CCPA. Autoritatea de supraveghere are puterea legală de a investiga plângeri, de a emite recomandări și de a impune sancțiuni pentru nerespectare.

Drepturile persoanei vizate se referă la drepturile acordate persoanelor în temeiul Legilor aplicabile privind Protecția Datelor. Aceste drepturi pot include dreptul de a accesa, rectifica, șterge, restricționa sau transfera Datele cu Caracter Personal, precum și dreptul de a se opune prelucrării și de a depune plângeri la o Autoritate de supraveghere. Furnizorul de servicii asistă Clienții în exercitarea acestor drepturi, atunci când este cazul.

3. Prelucrarea datelor

Clientul poate acționa fie ca Operator de date, fie ca Persoană împuternicită de operator, în funcție de relația cu persoana vizată și scopurile pentru care sunt prelucrate datele personale. În toate cazurile, ULTEH acționează ca Persoană împuternicită de operator, prelucrând datele personale în numele și conform instrucțiunilor Clientului.

Clientul este responsabil să se asigure că toate activitățile de prelucrare a datelor efectuate prin intermediul Serviciilor noastre respectă Legile aplicabile privind protecția datelor, inclusiv, dar fără a se limita la, Regulamentul general privind protecția datelor (GDPR), UK GDPR, Legea privind confidențialitatea consumatorilor din California (CCPA) și alte reglementări aplicabile privind confidențialitatea. Clientul recunoaște că are baza legală pentru prelucrarea Datelor cu Caracter Personal și ne exonerează de orice pretenții, răspunderi sau daune rezultate din nerespectarea acestor cerințe legale.

Vom prelucra Datele cu Caracter Personal doar în conformitate cu instrucțiunile scrise ale Clientului și exclusiv în măsura necesară pentru furnizarea Serviciilor, cu excepția cazului în care legea prevede altfel. Nu vom utiliza, divulga sau partaja Datele cu Caracter Personal în alte scopuri decât cele autorizate de Client sau prevăzute expres în prezentul Acord.

La încetarea Acordului sau la solicitarea Clientului, vom proceda, la alegerea Clientului, astfel: (a) Ștergem în siguranță toate Datele cu Caracter Personal prelucrate în baza acestui Acord, asigurând că nu rămân copii decât dacă legea impune altfel, sau (b) Returnăm Datele cu Caracter Personal Clientului într-un format structurat, utilizat în mod obișnuit și care poate fi citit automat, înainte de ștergere. Clientul trebuie să transmită astfel de solicitări într-un termen rezonabil înainte de încetare.

Dacă suntem obligați legal să păstrăm Date cu Caracter Personal după încetare, vom notifica Clientul (cu excepția cazului în care legea interzice acest lucru) și vom asigura că aceste date rămân protejate în conformitate cu Legile privind Protecția Datelor.

4. Securitate și confidențialitate

ULTEH se angajează să protejeze securitatea și confidențialitatea Datelor cu Caracter Personal prelucrate în numele Clientului. Pentru a asigura integritatea și securitatea datelor, implementăm și menținem măsuri de securitate de top în industrie concepute pentru a preveni accesul, divulgarea, modificarea sau distrugerea neautorizată a Datelor cu Caracter Personal.

Aceste măsuri de securitate includ, fără a se limita la:

• Criptarea datelor: Datele personale sunt criptate atât în tranzit, cât și în repaus, folosind protocoale de criptare standard din industrie pentru a preveni accesul neautorizat.
• Controlul accesului: Politici stricte de gestionare a accesului asigură că doar personalul autorizat are acces la Datele cu Caracter Personal, conform principiului celui mai mic privilegiu.
• Securitatea rețelei și a sistemelor: Firewall-urile, sistemele de detectare a intruziunilor și monitorizarea continuă ajută la prevenirea accesului neautorizat și a amenințărilor cibernetice.
• Anonimizarea și pseudonimizarea datelor: Atunci când este cazul, datele personale pot fi anonimizate sau pseudonimizate pentru a reduce riscurile asociate expunerii datelor.
• Audituri de securitate periodice: Efectuăm evaluări de securitate, teste de vulnerabilitate și verificări de conformitate în mod regulat pentru a identifica și reduce riscurile.
• Plan de răspuns la incidente: Un protocol structurat de răspuns la incidente asigură identificarea, atenuarea și raportarea promptă a oricărei breșe de securitate, în conformitate cu legile aplicabile privind protecția datelor.

Orice persoană, inclusiv angajați, contractori și furnizori de servicii autorizați, care prelucrează Date cu Caracter Personal în numele nostru, este obligată să respecte obligații stricte de confidențialitate. Aceasta include semnarea unor acorduri de confidențialitate (NDA) cu valoare legală și respectarea politicilor interne de gestionare a datelor pentru a asigura conformitatea cu standardele de confidențialitate și securitate a datelor.

Vom notifica prompt Clientul cu privire la orice breșă de securitate confirmată care poate duce la distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul accidental sau ilegal la Date cu Caracter Personal. Aceste notificări vor include detalii despre incident, impactul potențial și măsurile de remediere luate pentru a reduce riscurile.

Revizuim și actualizăm constant măsurile noastre de securitate în conformitate cu standarde de industrie și cerințe de reglementare în continuă evoluție pentru a asigura protecția continuă a datelor clienților.

5. Suboperatori

ULTEH poate angaja Sub-procesatori terți pentru a ajuta la furnizarea și menținerea Serviciilor. Acești Sub-procesatori îndeplinesc funcții specifice precum stocarea datelor, găzduirea infrastructurii, analiza sau suportul pentru clienți. Ne asigurăm că toți Sub-procesatorii respectă obligații stricte de protecție a datelor echivalente celor prevăzute în acest DPA.

Menținem o listă actualizată a Sub-procesatorilor, incluzând rolurile și locațiile lor de procesare. Clienții pot solicita oricând informații despre Sub-procesatorii actuali contactându-ne.

Drepturile și obiecțiile clientului:

• Vom notifica clienții cu privire la orice nou sub-procesator cu cel puțin 10 zile înainte.
• Clienții pot depune o obiecție scrisă privind utilizarea unui nou sub-procesator în această perioadă de 10 zile dacă au preocupări legitime privind protecția datelor.
• La primirea unei obiecții, vom purta discuții de bună-credință pentru a aborda preocupările, inclusiv identificarea unor soluții alternative.
• Dacă nu se ajunge la o soluție acceptabilă de ambele părți, Clientul poate avea dreptul de a rezilia Serviciile afectate conform Acordului.

Rămânem pe deplin responsabili și răspunzători pentru acțiunile Sub-procesatorilor noștri și ne asigurăm că aceștia respectă:

• Legi privind protecția datelor, inclusiv GDPR, CCPA și alte reglementări aplicabile.
• Acorduri de confidențialitate pentru protejarea Datelor cu Caracter Personal.
• Măsuri de securitate la standarde industriale pentru a preveni accesul neautorizat sau utilizarea abuzivă a datelor.

Ne rezervăm dreptul de a actualiza sau înlocui Sub-procesatorii noștri, după caz, ținând cont de preocupările clienților și de obligațiile continue de conformitate.

6. Transferuri de date cu caracter personal

ULTEH poate transfera Date cu Caracter Personal în afara Spațiului Economic European (SEE), Regatului Unit (UK) sau Elveției pentru a facilita furnizarea Serviciilor. În cazul unor astfel de transferuri, ne asigurăm că sunt implementate garanții legale adecvate pentru a proteja datele transferate, în conformitate cu legile aplicabile privind protecția datelor.

Ne bazăm pe mecanisme recunoscute de transfer de date, inclusiv, dar fără a ne limita la:

• Clauze contractuale standard (SCC): Integrăm SCC aprobate de Comisia Europeană sau alte autorități competente pentru a asigura transferuri de date legale.
• Măsuri suplimentare: Atunci când este necesar, aplicăm măsuri tehnice, organizaționale și contractuale suplimentare pentru a spori protecția datelor.
• Reguli corporative obligatorii (BCR): Atunci când este cazul, entitățile noastre afiliate respectă BCR pentru a asigura un nivel ridicat de protecție a datelor la nivel internațional.
• Alte mecanisme de transfer aprobate: Respectăm orice cadru, certificare sau instrument legal suplimentar recunoscut pentru transferul legal de date transfrontaliere.

Drepturile și asistența clientului: Ne angajăm să asistăm Clientul în asigurarea respectării drepturilor persoanelor vizate conform legislației aplicabile privind protecția datelor. Aceasta include, fără a se limita la:

• Cereri de acces: Permite persoanelor vizate să acceseze datele lor personale.
• Cereri de rectificare: Permit corectarea datelor inexacte sau incomplete.
• Cereri de ștergere („Dreptul de a fi uitat”): Asistență pentru ștergerea datelor personale la cerere, unde este permis legal.
• Opoziție și restricționare a prelucrării: Sprijin pentru persoanele vizate în exercitarea dreptului de a se opune sau restricționa activitățile de prelucrare a datelor.
• Portabilitatea datelor: Facilităm transferul Datelor cu Caracter Personal către un alt operator, acolo unde este cazul.

Monitorizăm constant reglementările globale privind confidențialitatea pentru a asigura conformitatea cu cerințele de transfer transfrontalier de date și vom notifica Clientul dacă modificările cadrului legal afectează obligațiile noastre de prelucrare a datelor.

7. Drepturile persoanei vizate

ULTEH recunoaște și respectă drepturile Persoanelor Vizate în conformitate cu Legile aplicabile privind Protecția Datelor. Vom asista Clientul, în calitate de Operator de Date, în a răspunde solicitărilor persoanelor cu privire la Datele lor Personale.

Persoanele Vizate pot exercita următoarele drepturi:

• Dreptul de Acces: Posibilitatea de a solicita și obține confirmarea dacă datele sunt prelucrate, împreună cu accesul la date.
• Dreptul la Rectificare: Dreptul de a corecta sau actualiza Datele Personale inexacte sau incomplete.
• Dreptul la Ștergere ("Dreptul de a fi Uitat"): Dreptul de a solicita ștergerea Datelor Personale, sub rezerva obligațiilor legale și contractuale.
• Dreptul la Restricționarea Prelucrării: Posibilitatea de a limita prelucrarea Datelor Personale în anumite condiții.
• Dreptul la Portabilitatea Datelor: Posibilitatea de a obține și transfera Datele Personale către un alt furnizor de servicii, atunci când este tehnic fezabil.
• Dreptul la Opoziție: Dreptul de a se opune prelucrării bazate pe interese legitime, marketing direct sau luarea automată a deciziilor.
• Dreptul de Retragere a Consimțământului: Dacă prelucrarea se bazează pe consimțământ, Persoana Vizată poate retrage consimțământul în orice moment.

Responsabilitățile Clientului: Clientul, acționând în calitate de Operator de Date, este responsabil pentru gestionarea solicitărilor Persoanelor Vizate. Vom oferi asistență rezonabilă la cerere, asigurându-ne că răspunsurile sunt gestionate prompt și în conformitate cu legile aplicabile.

Nu vom răspunde direct la o solicitare a unei Persoane Vizate decât dacă legea ne obligă sau dacă suntem autorizați în mod explicit de către Client.

8. Notificarea încălcării datelor

ULTEH ia securitatea în serios și implementează măsuri preventive pentru a proteja Datele Personale. Cu toate acestea, în cazul unei Încălcări a Datelor Personale, vom acționa rapid și transparent.

Plan de Răspuns la Încălcări ale Datelor: Dacă aflăm de o Încălcare confirmată a Datelor Personale care poate avea ca rezultat accesul neautorizat, pierderea, modificarea sau divulgarea Datelor Personale, vom:

• Evalua impactul încălcării și lua măsuri imediate pentru a atenua riscurile.
• Notifica Clientul fără întârziere nejustificată (de obicei în termen de 48 de ore de la confirmare).
• Furniza detalii incluzând:
  • Natura și amploarea încălcării.
  • Tipul de date afectate.
  • Consecințele potențiale.
  • Măsurile luate sau propuse pentru a remedia încălcarea.
• Asista Clientul în îndeplinirea oricăror obligații de reglementare, inclusiv notificările către autorități și Persoanele Vizate afectate, acolo unde este necesar.
• Implementa acțiuni corective pentru a preveni încălcări viitoare.

Responsabilitățile Clientului: Clientul este responsabil pentru a determina dacă trebuie să notifice autoritățile de reglementare și Persoanele Vizate în conformitate cu Legile aplicabile privind Protecția Datelor.

Vom documenta toate încălcările și vom menține evidențe ale investigației noastre, eforturilor de atenuare și acțiunilor de remediere.

9. Păstrarea și ștergerea datelor

ULTEH păstrează Datele cu Caracter Personal doar atât timp cât este necesar pentru a-și îndeplini obligațiile conform acestui Acord sau conform cerințelor legale aplicabile.

Politica de păstrare a datelor:

• Respectăm principiile de minimizare a datelor, păstrând datele doar pentru nevoi legitime de afaceri și conformitate.
• Datele vor fi șterse sau anonimizate atunci când nu mai sunt necesare pentru scopurile de procesare.
• Perioadele de păstrare pot varia în funcție de cerințele legale, contractuale sau de reglementare.

Ștergerea datelor controlată de client:

• Clienții pot solicita ștergerea datelor personale oricând.
• La încetarea serviciilor, vom șterge sau returna Datele cu Caracter Personal conform instrucțiunilor Clientului.
• Dacă nu se solicită ștergerea, vom șterge automat Datele cu Caracter Personal într-un interval de timp rezonabil, cu excepția cazului în care legea impune păstrarea acestora.

Excepții de la ștergerea datelor: În anumite situații, putem păstra Datele cu Caracter Personal peste perioada de retenție agreată, inclusiv:

• Pentru a respecta obligațiile legale (de exemplu, cerințe fiscale, de audit sau de reglementare).
• Pentru interese legitime, cum ar fi prevenirea fraudei sau investigații de securitate.
• Când este necesar un demers legal obligatoriu (de exemplu, ordin judecătoresc).

Ne asigurăm că sunt urmate proceduri sigure de ștergere, prevenind orice recuperare sau utilizare neautorizată a Datelor cu Caracter Personal.

10. Legea aplicabilă și soluționarea litigiilor

Prezentul Acord de Prelucrare a Datelor (DPA) va fi guvernat și interpretat în conformitate cu aceleași legi și jurisdicție definite în acordul principal dintre ULTEH și Client.

Proces de soluționare a disputelor: Dacă apare orice dispută referitoare la acest DPA, ambele părți sunt de acord să urmeze un proces structurat de soluționare, care include:

• Negociere de bună-credință: Părțile vor încerca mai întâi să rezolve disputele prin discuții și negocieri directe.
• Mediere sau arbitraj: Dacă negocierea eșuează, disputa poate fi trimisă la mediere sau arbitraj, conform prevederilor acordului principal.
• Proceduri legale: Dacă nu se ajunge la o rezolvare, disputele pot fi soluționate prin proceduri legale formale în jurisdicția aplicabilă.

În cazul oricărui conflict între acest DPA și acordul principal, termenii acestui DPA vor prevala exclusiv în ceea ce privește aspectele legate de protecția datelor, asigurând respectarea Legilor privind Protecția Datelor aplicabile.

11. Dispoziții finale

Acest Acord de Prelucrare a Datelor face parte integrantă din acordul general dintre ULTEH și Client. Prin continuarea utilizării Serviciilor, Clientul recunoaște și acceptă termenii acestui DPA.

Dacă orice prevedere a acestui DPA este considerată invalidă sau inaplicabilă, celelalte prevederi vor rămâne în vigoare. Părțile sunt de acord să înlocuiască orice prevedere inaplicabilă cu una care reflectă cât mai fidel intenția inițială, respectând legislația aplicabilă.

Modificări și actualizări: Ne rezervăm dreptul de a modifica sau actualiza acest DPA pentru a reflecta schimbările în legislația aplicabilă privind protecția datelor, practicile din industrie sau nevoile operaționale. Clienții vor fi notificați cu privire la orice modificări semnificative, iar continuarea utilizării Serviciilor constituie acceptarea termenilor actualizați.

Informații de contact: Pentru orice întrebări, nelămuriri sau pentru a solicita o copie semnată a acestui DPA, clienții ne pot contacta la: [email protected].