Act adițional privind prelucrarea datelor

1. Introducere

ULTEH se angajează să asigure confidențialitatea, securitatea și conformitatea datelor clienților. Acest Act adițional privind prelucrarea datelor (DPA) prezintă termenii care guvernează modul în care prelucrăm, stocăm și protejăm datele cu caracter personal în conformitate cu legile și reglementările aplicabile privind protecția datelor. Acest DPA este o extindere a acordului nostru principal cu Clienții și se aplică atunci când ULTEH prelucrează date cu caracter personal în numele Clientului, în calitate de procesator de date. Acesta stabilește responsabilități clare pentru ambele părți în ceea ce privește gestionarea datelor, asigurând respectarea legilor relevante privind confidențialitatea. Prin utilizarea ULTEH, Clienții recunosc și sunt de acord cu termenii stabiliți în prezentul DPA. Dacă aveți nevoie de o copie semnată a acestui acord în scopuri de conformitate, vă rugăm să ne contactați.

2. Definiții

Afiliat se referă la orice entitate care controlează direct sau indirect, este controlată de sau se află sub control comun cu o parte. „Control” înseamnă deținerea directă sau indirectă a cel puțin 50% din acțiunile cu drept de vot, participațiile la capital sau drepturile similare din entitate, oferind posibilitatea de a influența conducerea și politicile acesteia. Afiliații sunt considerați a fi ținuți de obligațiile și responsabilitățile descrise în prezentul DPA în măsura în care se implică în prelucrarea Datelor cu Caracter Personal.

Sub-procesator autorizat înseamnă orice furnizor terț, prestator de servicii sau contractor angajat de Furnizorul de Servicii pentru a prelucra Datele cu Caracter Personal ale Clientului strict în numele și conform instrucțiunilor Furnizorului de Servicii. Subcontractanții autorizați ajută la îndeplinirea obligațiilor prevăzute în prezentul DPA și în Acordul principal. Toți Subcontractanții trebuie să respecte aceleași obligații de protecție a datelor, menținând securitatea, confidențialitatea și conformitatea cu reglementările.

Datele contului se referă la toate informațiile legate de afaceri colectate, stocate și prelucrate de către Furnizorul de Servicii în legătură cu relația sa contractuală cu Clientul. Acestea includ, dar nu se limitează la, numele, adresele de e-mail, numerele de telefon, detaliile de plată și acreditările de acces ale persoanelor autorizate de Client să gestioneze și să opereze contul lor pe platforma Furnizorului de Servicii. Datele contului sunt utilizate strict în scopuri administrative, de facturare și de asistență.

Legile privind protecția datelor cuprind toate legile, reglementările și cadrele aplicabile care guvernează colectarea, prelucrarea, stocarea, transferul și protecția Datelor cu caracter personal. Aceasta include, dar nu se limitează la, Regulamentul general privind protecția datelor (GDPR) al Uniunii Europene, GDPR-ul din Regatul Unit aplicabil Regatului Unit, Legea privind confidențialitatea consumatorilor din California (CCPA) și orice alte legi naționale sau internaționale privind confidențialitatea relevante pentru activitățile de prelucrare a datelor în temeiul prezentului Acord. Respectarea acestor legi asigură că Datele cu caracter personal sunt gestionate în mod legal, transparent și sigur.

Date personale se referă la orice informație referitoare la o persoană fizică identificată sau identificabilă („Persoana vizată”). O persoană identificabilă este o persoană care poate fi identificată direct sau indirect, în special prin referire la identificatori precum nume, adresă de e-mail, număr de telefon, date de localizare, un identificator online (cum ar fi adresa IP sau modulele cookie) sau alți factori unici care definesc identitatea sa. Datele cu caracter personal exclud datele anonimizate sau agregate care nu pot fi utilizate pentru a identifica o persoană.

Prelucrare înseamnă orice operațiune sau set de operațiuni efectuate asupra Datelor cu Caracter Personal, fie prin mijloace automate, fie manual. Aceasta include, dar fără a se limita la, colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea, modificarea, recuperarea, consultarea, utilizarea, divulgarea, transmiterea, restricționarea, ștergerea sau distrugerea Datelor cu Caracter Personal. Prelucrarea se efectuează în conformitate cu instrucțiunile Clientului și cu Legislația aplicabilă privind Protecția Datelor.

Măsuri de securitate se referă la garanțiile tehnice și organizatorice implementate pentru a asigura confidențialitatea, integritatea și disponibilitatea Datelor cu Caracter Personal. Aceste măsuri includ criptarea, controalele accesului, firewall-urile, mascarea datelor, pseudonimizarea, auditurile de securitate regulate și mecanismele de notificare a încălcărilor. Măsurile de Securitate sunt concepute pentru a preveni accesul neautorizat, pierderea accidentală sau prelucrarea ilegală a Datelor cu Caracter Personal.

Autoritatea de supraveghere se referă la o autoritate publică independentă responsabilă de monitorizarea și aplicarea conformității cu legile privind protecția datelor. Printre exemple se numără **Comitetul European pentru Protecția Datelor (CEPD)** pentru aspecte legate de GDPR, **Biroul Comisarului pentru Informații din Regatul Unit (ICO)** pentru GDPR-ul din Regatul Unit și **Agenția pentru Protecția Vieții din California (CPPA)** pentru aplicarea CCPA. Autoritatea de supraveghere are puterea legală de a investiga plângerile, de a emite îndrumări și de a impune sancțiuni pentru nerespectare.

Drepturile Persoanelor Vizate se referă la drepturile acordate persoanelor fizice în temeiul Legilor aplicabile privind protecția datelor. Aceste drepturi pot include dreptul de a accesa, rectifica, șterge, restricționa sau transfera Datele cu caracter personal, precum și dreptul de a se opune prelucrării și de a depune plângeri la o Autoritate de Supraveghere. Furnizorul de servicii asistă Clienții în facilitarea exercitării acestor drepturi, atunci când este cazul.

3. Prelucrarea datelor

Clientul poate acționa fie ca un Operator de date sau o Procesator de date, în funcție de relația sa cu Persoana Vizată și de scopurile în care sunt prelucrate Datele cu Caracter Personal. În toate cazurile, ULTEH acționează ca un Procesator de date, prelucrarea Datelor cu Caracter Personal în numele și conform instrucțiunilor Clientului.

Clientul este responsabil pentru asigurarea faptului că toate activitățile de prelucrare a datelor efectuate prin intermediul Serviciilor noastre respectă Legislația aplicabilă privind protecția datelor, inclusiv, dar fără a se limita la, Regulamentul general privind protecția datelor (GDPR), GDPR-ul din Marea Britanie, Legea californiană privind confidențialitatea consumatorilor (CCPA) și alte reglementări aplicabile privind confidențialitatea. Clientul recunoaște că are temeiul legal pentru a prelucra Datele cu Caracter Personal și ne despăgubește pentru orice pretenții, răspunderi sau daune rezultate din nerespectarea acestor cerințe legale.

Vom prelucra Date cu Caracter Personal numai în conformitate cu instrucțiunile scrise ale Clientului și exclusiv în măsura în care este necesar pentru furnizarea Serviciilor, cu excepția cazului în care legea prevede altfel. Nu vom utiliza, divulga sau partaja Date cu caracter personal în niciun alt scop decât cele autorizate de Client sau menționate în mod explicit în prezentul Acord.

Pe rezilierea Acordului sau la cererea Clientului, vom, la discreția Clientului, fie: (a) Ștergeți în siguranță toate Datele cu caracter personal prelucrate în temeiul prezentului Acord, asigurându-se că nu rămân copii decât dacă este impus de lege sau (b) Returnați datele personale către Client într-un format structurat, utilizat în mod obișnuit și care poate fi citit automat înainte de ștergere. Clientul trebuie să furnizeze astfel de solicitări într-un interval de timp rezonabil înainte de reziliere.

Dacă suntem obligați prin lege să păstrăm Datele cu Caracter Personal după rezilierea contractului, vom notifica Clientul (cu excepția cazului în care ni se interzice prin lege acest lucru) și ne vom asigura că aceste date rămân protejate în conformitate cu Legile privind Protecția Datelor.

4. Securitate și confidențialitate

ULTEH se angajează să protejeze securitatea și confidențialitatea Date personale prelucrate în numele Client. Pentru a asigura integritatea și securitatea datelor, implementăm și menținem măsuri de securitate de vârf în industrie concepute pentru a preveni accesul neautorizat, divulgarea, modificarea sau distrugerea Datelor cu Caracter Personal.

Aceste măsuri de securitate includ, dar nu se limitează la:

• Criptare date: Datele personale sunt criptate atât în tranzit, cât și în repaus, utilizând protocoale de criptare standard din industrie pentru a le proteja împotriva accesului neautorizat.
• Controale de acces: Politicile stricte de gestionare a accesului asigură că doar personalul autorizat are acces la Datele cu Caracter Personal, pe baza principiului privilegiilor minime.
• Securitatea rețelei și a sistemului: Firewall-urile, sistemele de detectare a intruziunilor și monitorizarea continuă ajută la prevenirea accesului neautorizat și a amenințărilor cibernetice.
• Anonimizarea și pseudonimizarea datelor: Acolo unde este cazul, Datele cu caracter personal pot fi anonimizate sau pseudonimizate pentru a reduce riscurile asociate cu expunerea datelor.
• Audituri de securitate regulate: Efectuăm evaluări periodice de securitate, teste de vulnerabilități și verificări de conformitate pentru a identifica și atenua riscurile.
• Planul de răspuns la incidente: Un protocol structurat de răspuns la incidente asigură identificarea, atenuarea și raportarea promptă a oricărei încălcări de securitate, în conformitate cu legile aplicabile privind protecția datelor.

Orice persoană, inclusiv angajați, contractori și furnizori de servicii autorizați, care prelucrează Date cu caracter personal în numele nostru este obligată să respecte obligații stricte de confidențialitate. Aceasta include semnarea unor acte cu putere de lege acorduri de confidențialitate (NDA) și respectarea politicilor interne de prelucrare a datelor pentru a asigura conformitatea cu standardele de confidențialitate și securitate a datelor.

Vom notifica prompt Clientul cu privire la orice **încălcare confirmată a securității** care poate duce la distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul accidental sau ilegal la Datele cu caracter personal. Astfel de notificări vor include detalii despre incident, impactul potențial și eforturile de remediere întreprinse pentru atenuarea riscurilor.

Revizuim și actualizăm continuu măsurile noastre de securitate în conformitate cu standarde industriale și cerințe de reglementare în continuă evoluție pentru a asigura protecția continuă a datelor Clienților.

5. Subcontractanți

ULTEH se poate angaja Subcontractanți terți pentru a ajuta la furnizarea și întreținerea Serviciilor. Acești Sub-Procesatori îndeplinesc funcții specifice, cum ar fi stocarea datelor, găzduirea infrastructurii, analiza sau asistența pentru clienți. Ne asigurăm că toți Sub-Procesorii implicați respectă obligații stricte de protecție a datelor echivalente cu cele descrise în prezentul DPA.

Menținem o listă actualizată a Subcontractanților, inclusiv rolurile și locațiile de procesare ale acestora. Clienții pot solicita oricând informații despre Subcontractanții actuali, contactându-ne.

Drepturile și obiecțiile clienților:

• Vom notifica Clienții cu privire la orice **noi angajamente ale Subcontractanților** cel puțin 10 zile în avans.
• Clienții pot depune o **obiecție** scrisă la utilizarea unui nou Subcontractant în această perioadă de 10 zile dacă au preocupări legitime legate de **protecția datelor**.
• La primirea unei obiecții, vom purta **discuții de bună-credință** pentru a aborda preocupările, ceea ce poate include găsirea de soluții alternative.
• Dacă nu se ajunge la o soluție reciproc acceptabilă, Clientul are dreptul de a **rezilia Serviciile afectate** în conformitate cu Acordul.

Rămânem pe deplin responsabil și răspunzător pentru acțiunile Sub-Procesatorilor noștri și ne asigurăm că aceștia respectă:

• Legile privind protecția datelor, inclusiv GDPR, CCPA și alte reglementări aplicabile.
• Acorduri de confidențialitate pentru a proteja Datele cu Caracter Personal.
• Măsuri de securitate standard în industrie pentru a preveni accesul neautorizat sau utilizarea necorespunzătoare a datelor.

Ne rezervăm dreptul de a **actualiza sau înlocui** Subcontractanții noștri, după cum este necesar, ținând cont de preocupările Clienților și de obligațiile de conformitate continue.

6. Transferuri de date cu caracter personal

ULTEH poate transfera Date personale în afara Spațiul Economic European (SEE), Regatul Unit (RU) sau Elveția pentru a facilita furnizarea Serviciilor. Atunci când au loc astfel de transferuri, ne asigurăm că se efectuează garanții legale sunt implementate pentru a proteja datele transferate în conformitate cu legile aplicabile privind protecția datelor.

Ne bazăm pe mecanisme recunoscute de transfer de date, inclusiv, dar fără a se limita la:

• Clauzele Contractuale Standard (CSC): Includem CCT-uri aprobate de Comisia Europeană sau de alte autorități competente pentru a asigura transferuri legale de date.
• Măsuri suplimentare: Acolo unde este necesar, aplicăm garanții tehnice, organizatorice și contractuale suplimentare pentru a spori protecția datelor.
• Reguli corporative obligatorii (RCO-uri): Atunci când este cazul, entitățile noastre afiliate aderă la BCR-uri, asigurând un nivel ridicat de protecție a datelor în cadrul operațiunilor internaționale.
• Alte mecanisme de transfer aprobate: Respectăm orice cadre, certificări sau instrumente juridice suplimentare recunoscute pentru transferurile transfrontaliere legale de date.

Drepturile și asistența clienților: Ne angajăm să ajutăm Clientul în asigurarea conformității cu drepturile persoanelor vizate în conformitate cu legile aplicabile privind protecția datelor. Aceasta include, dar nu se limitează la:

• Cereri de acces: Permiterea Persoanelor Vizate să acceseze Datele lor cu Caracter Personal.
• Cereri de rectificare: Permiterea corectării datelor inexacte sau incomplete.
• Cereri de ștergere („Dreptul de a fi uitat”): Asistență la ștergerea Datelor cu Caracter Personal la cerere, acolo unde este permis de lege.
• Obiecție și restricționare a prelucrării: Sprijinirea Persoanelor Vizate în exercitarea drepturilor lor de a se opune activităților de prelucrare a datelor sau de a le restricționa.
• Portabilitatea datelor: Facilitarea transferului Datelor cu Caracter Personal către un alt operator de date, acolo unde este cazul.

Monitorizăm continuu reglementările globale privind confidențialitatea pentru a asigura respectarea **cerințelor de transfer transfrontalier de date** și vom notifica Clientul dacă modificările cadrului juridic ne afectează obligațiile de prelucrare a datelor.

7. Drepturile Persoanelor Vizate

ULTEH recunoaște și respectă drepturile **Persoanelor Vizate** în temeiul **Legislației privind Protecția Datelor** aplicabile. Vom asista **Clientul**, în calitate de Operator de Date, în răspunsul la solicitările persoanelor cu privire la **Datele lor cu caracter personal**.

Persoanele vizate pot exercita următoarele drepturi:

• Dreptul de acces: Capacitatea de a solicita și obține confirmarea dacă datele lor sunt prelucrate, împreună cu accesul la date.
• Dreptul la rectificare: Dreptul de a corecta sau actualiza Datele cu Caracter Personal inexacte sau incomplete.
• Dreptul la ștergere („Dreptul de a fi uitat”): Dreptul de a solicita ștergerea Datelor cu Caracter Personal, sub rezerva obligațiilor legale și contractuale.
• Dreptul la restricționarea prelucrării: Posibilitatea de a limita prelucrarea Datelor cu Caracter Personal în anumite condiții.
• Dreptul la portabilitatea datelor: Capacitatea de a obține și transfera Date cu caracter personal către un alt furnizor de servicii, acolo unde este fezabil din punct de vedere tehnic.
• Dreptul de a obiecta: Dreptul de a obiecta la prelucrarea bazată pe interese legitime, marketing direct sau luarea deciziilor automatizate.
• Dreptul de a retrage consimțământul: Dacă prelucrarea se bazează pe consimțământ, Persoana Vizată își poate retrage consimțământul în orice moment.

Responsabilitățile clientului: Clientul, acționând în calitate de Operator de date, este responsabil pentru gestionarea solicitărilor Persoanelor Vizate. Vom oferi **asistență rezonabilă** la cerere, asigurându-ne că răspunsurile sunt gestionate **prompt și în conformitate** cu legile aplicabile.

Nu vom răspunde direct la o solicitare a Persoanei Vizate, cu excepția cazului în care suntem obligați prin lege să facem acest lucru sau suntem autorizați în mod explicit de către Client.

8. Notificare privind încălcarea datelor

ULTEH tratează securitatea cu seriozitate și implementează **măsuri preventive** pentru a proteja Datele cu caracter personal. Cu toate acestea, în cazul unei **încălcări a securității datelor cu caracter personal**, vom acționa **rapid și transparent**.

Plan de răspuns la încălcarea datelor: Dacă luăm cunoștință de o **Încălcare confirmată a Datelor cu Caracter Personal** care poate duce la **accesul neautorizat, pierderea, modificarea sau divulgarea** Datelor cu Caracter Personal, vom:

• **Evaluați impactul** încălcării și luați măsuri imediate pentru a atenua riscurile.
• **Notificați Clientul fără întârzieri nejustificate** (de obicei în termen de 48 de ore de la confirmare).
• Furnizați detalii, inclusiv:
  • Natura și amploarea încălcării.
  • Tipul de date afectate.
  • Consecințele potențiale.
  • Măsuri luate sau propuse pentru a remedia încălcarea.
• **Asistarea Clientului** în îndeplinirea oricăror obligații de reglementare, inclusiv notificări către autorități și Persoanele Vizate afectate, acolo unde este necesar.
• **Implementați acțiuni corective** pentru a preveni viitoarele încălcări.

Responsabilitățile clientului: Clientul este responsabil pentru a stabili dacă trebuie să notifice autoritățile de reglementare și Persoanele Vizate în conformitate cu Legislația privind Protecția Datelor aplicabilă.

Vom documenta toate încălcările și vom păstra evidența **investigațiilor, eforturilor de atenuare și acțiunilor de remediere**.

9. Păstrarea și ștergerea datelor

ULTEH păstrează **Datele cu caracter personal numai atât timp cât este necesar** pentru a-și îndeplini obligațiile în temeiul prezentului Acord sau conform cerințelor legislației aplicabile.

Politica de păstrare a datelor:

• Urmăm **principiile de minimizare a datelor**, asigurându-ne că acestea sunt păstrate doar pentru **nevoi legitime de afaceri și conformitate**.
• Datele vor fi șterse sau anonimizate odată ce **nu mai sunt necesare** în scopul prelucrării.
• Perioadele de păstrare pot varia în funcție de **cerințele legale, contractuale sau de reglementare**.

Ștergerea datelor controlată de client:

• Clienții pot solicita **ștergerea Datelor cu Caracter Personal** în orice moment.
• La încetarea serviciilor, vom **șterge sau returna Datele cu caracter personal** în conformitate cu instrucțiunile Clientului.
• Dacă nu se face nicio solicitare de ștergere, vom **șterge automat** Datele cu caracter personal într-un interval de timp rezonabil, cu excepția cazului în care suntem obligați prin lege să le păstrăm.

Excepții de la ștergerea datelor: În anumite cazuri, este posibil să **păstrăm Datele cu caracter personal** dincolo de perioada de păstrare convenită, inclusiv:

• Pentru a respecta **obligațiile legale** (de exemplu, cerințe fiscale, de audit sau de reglementare).
• Pentru **interese legitime**, cum ar fi prevenirea fraudelor sau investigațiile de securitate.
• Când este impus de o **cerere legală obligatorie** (de exemplu, o hotărâre judecătorească).

Ne asigurăm că sunt respectate **procedurile de ștergere securizată**, prevenind orice recuperare neautorizată sau utilizare necorespunzătoare a Datelor cu caracter personal.

10. Legea aplicabilă și soluționarea litigiilor

Prezentul Act adițional privind prelucrarea datelor (APD) va fi guvernat și interpretat în conformitate cu **aceleași legi și jurisdicții** definite în acordul principal dintre ULTEH și Clientul.

Procesul de soluționare a litigiilor: În cazul în care apare vreo dispută cu privire la prezentul DPA, ambele părți sunt de acord să urmeze un proces structurat de soluționare, inclusiv:

• Negociere cu bună-credință: Părțile vor încerca mai întâi să soluționeze disputele prin discuții și negocieri directe.
• Mediere sau Arbitraj: Dacă negocierea eșuează, disputa poate fi trimisă spre mediere sau arbitraj, așa cum este prevăzut în acordul principal.
• Proceduri legale: Dacă nu se ajunge la o soluție, litigiile pot fi soluționate prin proceduri legale formale în jurisdicția aplicabilă.

În cazul oricărui conflict între prezentul DPA și acordul principal, **termenii prezentului DPA vor avea prioritate** exclusiv în ceea ce privește aspectele legate de protecția datelor, asigurând respectarea prevederilor aplicabile. Legile privind protecția datelor.

11. Dispoziții finale

Acest Act Adițional privind Prelucrarea Datelor face parte integrantă din acordul general dintre ULTEH și Clientul. Prin continuarea utilizării Serviciilor, Clientul recunoaște și **acceptă termenii prezentului DPA**.

Dacă vreo prevedere a acestui DPA se dovedește a fi **invalidă sau inaplicabilă**, celelalte prevederi vor continua să fie în vigoare și să producă efecte depline. Părțile sunt de acord să înlocuiască orice prevedere inaplicabilă cu una care reflectă cât mai fidel intenția inițială, rămânând în același timp în conformitate cu legile aplicabile.

Amendamente și actualizări: Ne rezervăm dreptul de a **modifica sau actualiza acest DPA** pentru a reflecta modificările aduse **legilor privind protecția datelor, practicilor din industrie sau nevoilor operaționale**. Clienții vor fi notificați cu privire la orice modificări semnificative, iar utilizarea în continuare a Serviciilor constituie acceptarea termenilor actualizați.

Informații de contact: Pentru orice întrebări, nelămuriri sau pentru a solicita o copie semnată a acestui DPA, Clienții ne pot contacta la: [email protected].