Anexă privind prelucrarea datelor

1. Introducere

ULTEH se angajează să asigure confidențialitatea, securitatea și conformitatea datelor clienților. Acest Acord adițional de procesare a datelor (DPA) stabilește termenii care guvernează modul în care procesăm, stocăm și protejăm datele cu caracter personal, în conformitate cu legile și reglementările aplicabile privind protecția datelor. Acest DPA este o extensie a acordului nostru principal cu clienții și se aplică atunci când ULTEH Procesează date cu caracter personal în numele Clientului în calitate de procesator de date. Stabilește responsabilități clare pentru ambele părți privind gestionarea datelor, asigurând respectarea legislației relevante în materie de confidențialitate. Prin utilizarea ULTEH, Clienții recunosc și sunt de acord cu termenii stabiliți în acest DPA. Dacă aveți nevoie de o copie semnată a acestui acord în scopuri de conformitate, vă rugăm să ne contactați.

2. Definiții

Afiliat Se referă la orice entitate care controlează direct sau indirect, este controlată de sau se află sub control comun cu o parte. 'Control' înseamnă deținerea directă sau indirectă a cel puțin 50% din acțiunile cu drept de vot, din interesele de capital sau din drepturi similare în entitate, oferind capacitatea de a influența conducerea și politicile acesteia. Afiliatele sunt considerate obligate de obligațiile și responsabilitățile prevăzute în acest DPA în măsura în care se angajează în prelucrarea Datelor cu Caracter Personal.

Subprocesator autorizat înseamnă orice furnizor terț, prestator de servicii sau contractant angajat de Furnizorul de Servicii pentru a procesa Datele Personale ale Clientului strict în numele și sub instrucțiunile Furnizorului de Servicii. Subprocesatorii autorizați ajută la îndeplinirea obligațiilor prevăzute în prezentul DPA și în Acordul principal. Toți subprocesatorii trebuie să respecte aceleași obligații de protecție a datelor, menținând securitatea, confidențialitatea și conformitatea cu reglementările.

Datele contului se referă la toate informațiile legate de activitatea comercială colectate, stocate și prelucrate de Furnizorul de Servicii în legătură cu relația contractuală cu Clientul. Aceasta include, dar nu se limitează la, numele, adresele de e-mail, numerele de telefon, detaliile de plată și acreditările de acces ale persoanelor autorizate de Client să gestioneze și să opereze contul acestuia pe platforma Furnizorului de Servicii. Datele contului sunt utilizate strict în scopuri administrative, de facturare și de asistență.

Legi privind protecția datelor acoperă toate legile, reglementările și cadrele aplicabile care guvernează colectarea, prelucrarea, stocarea, transferul și protecția Datelor cu caracter personal. Aceasta include, fără a se limita la, Regulamentul general privind protecția datelor (GDPR) al Uniunii Europene, UK GDPR aplicabil în Regatul Unit, California Consumer Privacy Act (CCPA) și orice alte legi naționale sau internaționale privind confidențialitatea relevante pentru activitățile de prelucrare a datelor în temeiul prezentului Acord. Respectarea acestor legi asigură că Datele cu caracter personal sunt tratate în mod legal, transparent și securizat.

Date personale se referă la orice informație care privește o persoană fizică identificată sau identificabilă ('persoana vizată'). O persoană identificabilă este aceea care poate fi identificată, direct sau indirect, în special prin referire la identificatori precum nume, adresă de e‑mail, număr de telefon, date de locație, un identificator online (cum ar fi adresa IP sau cookie‑urile) sau alți factori unici care îi definesc identitatea. Datele cu caracter personal nu includ datele anonimizate sau agregate care nu pot fi utilizate pentru identificarea unei persoane.

Se procesează înseamnă orice operațiune sau set de operațiuni efectuate asupra Datelor cu Caracter Personal, fie prin mijloace automatizate, fie manual. Aceasta include, dar nu se limitează la, colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea, modificarea, recuperarea, consultarea, utilizarea, divulgarea, transmiterea, restricționarea, ștergerea sau distrugerea Datelor cu Caracter Personal. Prelucrarea se desfășoară conform instrucțiunilor Clientului și legislației aplicabile privind protecția datelor.

Măsuri de securitate Se referă la măsurile tehnice și organizatorice implementate pentru a asigura confidențialitatea, integritatea și disponibilitatea Datelor cu caracter personal. Aceste măsuri includ criptarea, controalele de acces, firewall-urile, mascarea datelor, pseudonimizarea, audituri de securitate periodice și mecanisme de notificare a breșelor. Măsurile de securitate sunt concepute pentru a preveni accesul neautorizat, pierderea accidentală sau prelucrarea ilegală a Datelor cu caracter personal.

Autoritate de supraveghere se referă la o autoritate publică independentă responsabilă cu monitorizarea și aplicarea conformității cu legile privind protecția datelor. Exemple includ **European Data Protection Board (EDPB)** pentru chestiuni legate de GDPR, **UK Information Commissioner's Office (ICO)** pentru UK GDPR și **California Privacy Protection Agency (CPPA)** pentru aplicarea CCPA. Autoritatea de supraveghere are puterea legală de a investiga plângeri, de a emite orientări și de a aplica sancțiuni pentru neconformitate.

Drepturile persoanei vizate se referă la drepturile acordate persoanelor în temeiul legilor aplicabile privind protecția datelor. Aceste drepturi pot include dreptul de a accesa, rectifica, șterge, restricționa sau transfera datele cu caracter personal, precum și dreptul de a se opune prelucrării și de a depune plângeri la o autoritate de supraveghere. Furnizorul de servicii asistă Clienții în facilitarea exercitării acestor drepturi, atunci când este cazul.

3. Prelucrarea datelor

Clientul poate acționa ca oricare dintre cele două Operator de date cu caracter personal sau un Procesator de date, în funcție de relația sa cu persoana vizată și de scopurile pentru care sunt prelucrate datele cu caracter personal. În toate cazurile, ULTEH acționează ca Procesator de date, prelucrarea datelor cu caracter personal în numele și în conformitate cu instrucțiunile Clientului.

Clientul este responsabil pentru asigurarea faptului că toate activitățile de prelucrare a datelor efectuate prin intermediul serviciilor noastre respectă Legislația aplicabilă privind protecția datelor, inclusiv, dar fără a se limita la Regulamentul general privind protecția datelor (GDPR), UK GDPR, California Consumer Privacy Act (CCPA) și alte reglementări de confidențialitate aplicabile. Clientul recunoaște că are temeiul legal pentru a prelucra Date cu Caracter Personal și ne despăgubește pentru orice reclamații, răspunderi sau daune rezultate din neconformitatea cu aceste cerințe legale.

Vom procesa datele cu caracter personal. doar în conformitate cu instrucțiunile scrise ale Clientului și exclusiv în măsura necesară pentru a furniza Serviciile, cu excepția cazului în care legea prevede altfel. Nu vom folosi, dezvălui sau partaja Date cu caracter personal pentru niciun scop în afara celor autorizate de Client sau prevăzute în mod explicit în prezentul Acord.

la încetarea contractului sau la cererea clientului, vom proceda, la discreția Clientului, fie: (a) Șterge în siguranță toate Datele cu Caracter Personal procesate în temeiul prezentului Acord, asigurând că nu rămân copii, cu excepția cazului în care legea o impune, sau (b) Returnați datele personale Clientului într-un format structurat, utilizat frecvent și lizibil de mașină înainte de ștergere. Clientul trebuie să transmită astfel de cereri într-un interval de timp rezonabil înainte de încetare.

Dacă suntem obligați legal să reținem Date cu Caracter Personal după încetare, vom notifica Clientul (cu excepția cazului în care suntem împiedicați de lege să facem acest lucru) și ne vom asigura că aceste date rămân protejate în conformitate cu legile privind protecția datelor.

4. Securitate și confidențialitate

ULTEH se angajează să protejeze securitatea și confidențialitatea Date personale procesat în numele Client. Pentru a asigura integritatea și securitatea datelor, implementăm și menținem măsuri de securitate de top din industrie Conceput pentru a preveni accesul, divulgarea, modificarea sau distrugerea neautorizată a datelor cu caracter personal.

Aceste Măsuri de securitate includ, dar nu se limitează la:

• Criptarea datelor: Datele cu caracter personal sunt criptate atât în tranzit, cât și în repaus, folosind protocoale de criptare standard din industrie, pentru a le proteja împotriva accesului neautorizat.
• Controale de acces: Politici stricte de gestionare a accesului asigură că numai personalul autorizat are acces la datele cu caracter personal, pe baza principiului privilegiului minim.
• Securitatea rețelelor și a sistemelor: Firewall-urile, sistemele de detectare a intruziunilor și monitorizarea continuă ajută la prevenirea accesului neautorizat și a amenințărilor cibernetice.
• Anonimizarea și pseudonimizarea datelor: După caz, datele cu caracter personal pot fi anonimizate sau pseudonimizate pentru a reduce riscurile asociate expunerii datelor.
• Audituri de securitate periodice: Efectuăm evaluări periodice de securitate, teste de vulnerabilitate și verificări de conformitate pentru a identifica și a atenua riscurile.
• Plan de răspuns la incidente: Un protocol structurat de răspuns la incidente asigură că orice încălcare a securității este identificată, atenuată și raportată prompt, în conformitate cu legislația aplicabilă privind protecția datelor.

Orice persoană, inclusiv angajați, contractori și furnizori de servicii autorizați, care prelucrează Date cu caracter personal în numele nostru este obligată de obligații stricte de confidențialitate. Aceasta include semnarea documentelor cu efect executoriu acorduri de confidențialitate (NDA) și respectarea politicilor interne de gestionare a datelor, pentru a asigura conformitatea cu standardele de confidențialitate și securitate a datelor.

Vom notifica prompt Clientul cu privire la orice incident de securitate confirmat care ar putea conduce la distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul la Date cu caracter personal, în mod accidental sau ilegal. Astfel de notificări vor include detalii despre incident, impactul potențial și măsurile de remediere întreprinse pentru a diminua riscurile.

Revizuim și actualizăm continuu măsurile noastre de securitate în conformitate cu standarde de industrie în evoluție și cerințe de reglementare pentru a asigura protecția continuă a datelor clienților.

5. Subprocesatori

ULTEH poate interacționa subprocesatori terți pentru a ajuta la furnizarea și menținerea Serviciilor. Acești subprocesatori îndeplinesc funcții specifice, cum ar fi stocarea datelor, găzduirea infrastructurii, analiza sau asistența pentru clienți. Ne asigurăm că toți subprocesatorii angajați respectă obligații stricte de protecție a datelor echivalente cu cele prevăzute în acest DPA.

Păstrăm o listă actualizată a subprocesatorilor, inclusiv rolurile lor și locațiile de procesare. Clienții pot solicita, în orice moment, informații despre subprocesatorii actuali contactându‑ne.

Drepturile și obiecțiile clientului:

• Vom notifica clienților orice **noi angajamente ale subprocesatorilor** cel puțin cu 10 zile înainte.
• Clienții pot depune, în termen de 10 zile, o obiecție în scris cu privire la utilizarea unui nou subprocesator, dacă au îngrijorări legitime privind protecția datelor.
• La primirea unei obiecții, vom purta discuții cu bună-credință pentru a aborda îngrijorările, ceea ce poate include găsirea unor soluții alternative.
• Dacă nu se ajunge la o soluție acceptabilă pentru ambele părți, Clientul poate avea dreptul de a **înceta Serviciile afectate** în conformitate cu Acordul.

Rămânem pe deplin responsabil și răspunzător din punct de vedere juridic pentru acțiunile subprocesatorilor noștri și pentru a ne asigura că se conformează cu:

• Legi privind protecția datelor, inclusiv GDPR, CCPA și alte reglementări aplicabile.
• Acorduri de confidențialitate pentru a proteja datele cu caracter personal
• Măsuri de securitate conforme cu standardele industriei pentru a preveni accesul neautorizat sau utilizarea abuzivă a datelor.

Ne rezervăm dreptul de a **actualiza sau înlocui** subprocesatorii noștri, după caz, ținând în mod corespunzător seama de preocupările clienților și de obligațiile continue de conformitate.

6. Transferuri de date cu caracter personal

ULTEH poate transfera Date personale în afara Spațiul Economic European (SEE), Regatul Unit (RU) sau Elveția pentru a facilita furnizarea serviciilor. Când au loc astfel de transferuri, ne asigurăm că există garanții adecvate. garanții legale Sunt puse în aplicare măsuri pentru a proteja datele transferate, în conformitate cu legile aplicabile privind protecția datelor.

Ne bazăm pe mecanisme recunoscute de transfer de date, inclusiv, dar fără a se limita la:

• Clauze contractuale standard (SCCs): Includem clauze contractuale standard aprobate de Comisia Europeană sau de alte autorități competente pentru a asigura transferuri de date legale.
• Măsuri suplimentare: În caz de necesitate, aplicăm măsuri suplimentare tehnice, organizaționale și contractuale pentru a consolida protecția datelor.
• Reguli corporative obligatorii (BCRs): Când este cazul, entitățile noastre afiliate respectă Reguli Corporative Obligatorii (BCR), asigurând un nivel ridicat de protecție a datelor în operațiunile internaționale.
• Alte mecanisme de transfer aprobate: Respectăm orice cadre, certificări sau instrumente juridice suplimentare recunoscute pentru transferuri transfrontaliere de date legale.

Drepturile și asistența clienților: Ne angajăm să asistăm Clientul în asigurarea conformității cu drepturile persoanelor vizate în temeiul legislației aplicabile privind protecția datelor. Aceasta include, dar nu se limitează la:

• Cereri de acces: Permiterea persoanelor vizate să aibă acces la datele lor cu caracter personal.
• Cereri de rectificare: Permite corectarea datelor inexacte sau incomplete.
• Solicitări de ștergere („dreptul de a fi uitat”): Asistență pentru ștergerea datelor cu caracter personal la cerere, atunci când acest lucru este permis de lege.
• Opunere și restricționare a prelucrării: Sprijinirea persoanelor vizate în exercitarea dreptului de a se opune sau de a restricționa activitățile de prelucrare a datelor.
• Portabilitatea datelor: Facilitarea transferului de Date cu Caracter Personal către un alt operator de date, după caz.

Monitorizăm în mod continuu reglementările globale privind confidențialitatea pentru a asigura conformitatea cu cerințele privind transferurile transfrontaliere de date și vom notifica Clientul dacă modificări ale cadrului juridic afectează obligațiile noastre de prelucrare a datelor.

7. Drepturile persoanei vizate

ULTEH Recunoaște și respectă drepturile **persoanelor vizate** în temeiul **legilor aplicabile privind protecția datelor**. Vom asista **Clientul**, în calitate de operator de date, în răspunsul la solicitările persoanelor referitoare la datele lor **cu caracter personal**.

Persoanele vizate pot exercita următoarele drepturi:

• Dreptul de acces: Posibilitatea de a solicita și obține confirmarea dacă datele lor sunt prelucrate, precum și accesul la aceste date.
• Dreptul la rectificare: Dreptul de a corecta sau de a actualiza datele cu caracter personal inexacte sau incomplete.
• Dreptul la ștergere ('dreptul de a fi uitat'): Dreptul de a solicita ștergerea Datelor cu Caracter Personal, sub rezerva obligațiilor legale și contractuale.
• Dreptul de a restricționa prelucrarea: Capacitatea de a limita prelucrarea datelor cu caracter personal în anumite condiții.
• Dreptul la portabilitatea datelor: Posibilitatea de a obține și de a transfera Datele cu Caracter Personal către un alt furnizor de servicii, atunci când acest lucru este fezabil din punct de vedere tehnic.
• Dreptul de a se opune: Dreptul de a se opune prelucrării bazate pe interese legitime, marketingului direct sau luării deciziilor automate.
• Dreptul de a retrage consimțământul: Dacă prelucrarea se bazează pe consimțământ, persoana vizată poate retrage consimțământul în orice moment.

Responsabilitățile clientului: Clientul, acționând în calitate de operator de date, este responsabil pentru gestionarea cererilor persoanelor vizate. La cerere, vom oferi asistență rezonabilă, asigurând că răspunsurile sunt gestionate prompt și în conformitate cu legislația aplicabilă.

Nu vom răspunde direct la o cerere a persoanei vizate, cu excepția cazului în care suntem obligați din punct de vedere legal să facem acest lucru sau dacă Clientul ne autorizează în mod explicit.

8. Notificare privind o breșă de date

ULTEH ia securitatea în serios și aplică măsuri preventive pentru a proteja datele cu caracter personal. Totuși, în cazul unei breșe de securitate a datelor cu caracter personal, vom acționa rapid și transparent.

Plan de răspuns la breșe de date: Dacă aflăm despre o încălcare confirmată a datelor cu caracter personal care poate duce la accesul neautorizat, pierderea, modificarea sau divulgarea datelor cu caracter personal, vom lua măsurile adecvate.:

• Evaluați impactul încălcării și luați măsuri imediate pentru a atenua riscurile.
• Notificați clientul fără întârzieri nejustificate (de obicei în termen de 48 de ore de la confirmare).
• Furnizați detalii, inclusiv::
  • Natura și amploarea încălcării.
  • Tipul de date afectate
  • Consecințele potențiale.
  • Măsuri luate sau propuse pentru a remedia încălcarea.
• Asista Clientul în îndeplinirea oricăror obligații de reglementare, inclusiv, atunci când este necesar, notificările către autorități și către persoanele vizate.
• Implementați măsuri corective pentru a preveni viitoare încălcări.

Responsabilitățile clientului: Clientul este responsabil pentru a determina dacă trebuie să notifice autoritățile de reglementare și persoanele vizate, în conformitate cu legislația aplicabilă privind protecția datelor.

Vom documenta toate încălcările și vom păstra evidențe ale investigațiilor noastre, ale eforturilor de atenuare și ale acțiunilor de remediere.

9. Păstrarea și ștergerea datelor

ULTEH păstrează **Datele cu caracter personal doar atât timp cât este necesar** pentru a-și îndeplini obligațiile în temeiul prezentului Acord sau atunci când acest lucru este cerut de legislația aplicabilă.

Politica de păstrare a datelor:

• Urmăm principiile de minimizare a datelor, asigurându-ne că datele sunt păstrate numai pentru nevoi legitime de afaceri și de conformitate.
• Datele vor fi șterse sau anonimizate de îndată ce nu mai sunt necesare în scopurile prelucrării.
• Perioadele de păstrare pot varia în funcție de cerințele legale, contractuale sau de reglementare.

Ștergerea datelor controlată de client:

• Clienții pot solicita în orice moment **ștergerea datelor cu caracter personal**.
• La încetarea serviciilor, vom șterge sau returna datele cu caracter personal în conformitate cu instrucțiunile clientului.
• Dacă nu se face o cerere de ștergere, vom șterge Datele cu Caracter Personal **în mod automat** într-un interval de timp rezonabil, cu excepția cazului în care suntem obligați legal să le păstrăm.

Excepții privind ștergerea datelor: În anumite cazuri, este posibil să **păstrăm date cu caracter personal** dincolo de perioada de păstrare convenită, inclusiv:

• Pentru a respecta **obligațiile legale** (de ex., cerințe fiscale, de audit sau de reglementare).
• Pentru **interese legitime**, cum ar fi prevenirea fraudei sau investigațiile de securitate.
• Când este cerut de o solicitare legală obligatorie (de ex., o ordonanță judecătorească).

Ne asigurăm că sunt respectate **procedurile de ștergere sigură**, prevenind orice recuperare neautorizată sau utilizare abuzivă a Datelor cu Caracter Personal.

10. Legea aplicabilă și soluționarea litigiilor

Acest Acord adițional privind Prelucrarea Datelor (DPA) va fi guvernat și interpretat în conformitate cu **aceleași legi și jurisdicție** definite în acordul principal dintre ULTEH și clientul.

Proces de soluționare a disputelor: În cazul în care apare orice dispută referitoare la acest DPA, ambele părți sunt de acord să urmeze un proces structurat de soluționare, inclusiv::

• Negociere de bună-credință: Părțile vor încerca, în primul rând, să soluționeze litigiile prin discuții și negocieri directe.
• Mediere sau arbitraj: Dacă negocierile eșuează, disputa poate fi trimisă la mediere sau arbitraj, conform prevederilor acordului principal.
• Proceduri legale: În cazul în care nu se ajunge la o soluționare, litigiile pot fi soluționate prin proceduri judiciare formale în jurisdicția aplicabilă.

În cazul oricărui conflict între acest DPA și acordul principal, prevederile acestui DPA vor avea precedent exclusiv în ceea ce privește aspectele legate de protecția datelor, asigurând respectarea legislației aplicabile. Legi privind protecția datelor.

11. Dispoziții finale

Prezenta anexă privind prelucrarea datelor face parte integrantă din acordul general dintre ULTEH și Clientul. Continuând să utilizeze Serviciile, Clientul recunoaște și acceptă termenii acestui DPA.

Dacă oricare prevedere a acestui DPA este considerată nulă sau inaplicabilă, prevederile rămase vor continua să-și producă efectele în mod integral. Părțile convin să înlocuiască orice prevedere inaplicabilă cu una care reflectă cât mai fidel intenția inițială, rămânând în conformitate cu legile aplicabile.

Modificări și actualizări: Ne rezervăm dreptul de a modifica sau actualiza acest DPA pentru a reflecta modificările din legislația aplicabilă privind protecția datelor, din practicile din industrie sau din necesitățile operaționale. Clienții vor fi notificați despre orice modificare substanțială, iar continuarea utilizării Serviciilor constituie acceptarea termenilor actualizați.

Informații de contact: Pentru orice întrebări, nelămuriri sau pentru a solicita o copie semnată a acestui DPA, clienții ne pot contacta la:: [email protected].