Додаток про обробку даних

1. Вступ

ULTEH зобов'язується забезпечувати конфіденційність, безпеку та відповідність даних клієнтів. Цей Додаток про обробку даних (DPA) окреслює умови, що регулюють обробку, зберігання та захист персональних даних відповідно до застосовних законів і нормативних актів про захист даних. Цей DPA є розширенням нашої основної угоди з Клієнтами та застосовується, коли ULTEH обробляє персональні дані від імені Клієнта як обробник даних. Він встановлює чіткі обов'язки для обох сторін щодо обробки даних, забезпечуючи відповідність релевантним законам про конфіденційність. Використовуючи ULTEH, Клієнти визнають та погоджуються з умовами, викладеними в цьому DPA. Якщо вам потрібна підписана копія цієї угоди для цілей відповідності, зв'яжіться з нами.

2. Визначення

Афілійована особа відноситься до будь-якої організації, яка прямо чи опосередковано контролює, контролюється або знаходиться під спільним контролем зі стороною. "Контроль" означає пряме чи опосередковане володіння щонайменше 50% акцій з правом голосу, часток у капіталі або подібних прав в організації, що дає можливість впливати на її управління та політику. Афілійовані особи вважаються пов'язаними зобов'язаннями та відповідальністю, викладеними в цьому DPA, в тій мірі, в якій вони беруть участь в обробці Персональних даних.

Уповноважений субпроцесор означає будь-якого стороннього постачальника, постачальника послуг або підрядника, залученого Постачальником послуг для обробки Персональних даних Клієнта виключно від імені та за вказівками Постачальника послуг. Уповноважені Субпроцесори допомагають у виконанні зобов'язань за цим DPA та основною Угодою. Усі Субпроцесори повинні дотримуватися тих самих зобов'язань із захисту даних, підтримуючи безпеку, конфіденційність і відповідність нормативним вимогам.

Дані облікового запису відносяться до всієї бізнес-інформації, зібраної, збереженої та обробленої Постачальником послуг у зв'язку з його договірними відносинами з Клієнтом. Це включає, але не обмежується іменами, адресами електронної пошти, номерами телефонів, платіжними даними та обліковими даними осіб, уповноважених Клієнтом для управління та експлуатації їхнього облікового запису на платформі Постачальника послуг. Дані облікового запису використовуються виключно для адміністративних, платіжних і підтримуючих цілей.

Закони про захист даних охоплюють усі застосовні закони, норми та положення, що регулюють збір, обробку, зберігання, передачу та захист Персональних даних. Це включає, але не обмежується Загальним регламентом про захист даних (GDPR) Європейського Союзу, UK GDPR, застосовним до Сполученого Королівства, Каліфорнійським законом про конфіденційність споживачів (CCPA) та будь-якими іншими національними чи міжнародними законами про конфіденційність, що стосуються діяльності з обробки даних згідно з цією Угодою. Дотримання цих законів забезпечує законну, прозору та безпечну обробку Персональних даних.

Персональні дані відносяться до будь-якої інформації, що стосується ідентифікованої або ідентифікованої фізичної особи ("Суб'єкт даних"). Ідентифікована особа - це особа, яку можна прямо чи опосередковано ідентифікувати, зокрема, за допомогою ідентифікаторів, таких як ім'я, адреса електронної пошти, номер телефону, дані про місцезнаходження, онлайн-ідентифікатор (наприклад, IP-адреса або куки) або інші унікальні фактори, що визначають її ідентичність. Персональні дані виключають анонімізовані або агреговані дані, які не можуть бути використані для ідентифікації особи.

Обробка означає будь-яку операцію або набір операцій, які виконуються з Персональними даними, автоматично чи вручну. Це включає, але не обмежується збором, записом, організацією, структуруванням, зберіганням, адаптацією, зміною, отриманням, консультацією, використанням, розкриттям, передачею, обмеженням, видаленням або знищенням Персональних даних. Обробка проводиться відповідно до інструкцій Клієнта та застосовних Законів про захист даних.

Заходи безпеки відносяться до технічних та організаційних запобіжних заходів, впроваджених для забезпечення конфіденційності, цілісності та доступності Персональних даних. Ці заходи включають шифрування, контроль доступу, файрволи, маскування даних, псевдонімізацію, регулярні аудити безпеки та механізми повідомлення про порушення. Заходи безпеки розроблені для запобігання несанкціонованому доступу, випадковій втраті або незаконній обробці Персональних даних.

Наглядовий орган відноситься до незалежного державного органу, відповідального за моніторинг та забезпечення дотримання Законів про захист даних. Прикладами є Європейська рада із захисту даних (EDPB) для питань, пов'язаних з GDPR, Офіс комісара з інформації Сполученого Королівства (ICO) для UK GDPR та Агентство із захисту конфіденційності Каліфорнії (CPPA) для забезпечення дотримання CCPA. Наглядовий орган має законну повноваження розслідувати скарги, видавати рекомендації та накладати штрафи за недотримання.

Права суб'єкта даних відносяться до прав, наданих особам за застосовними Законами про захист даних. Ці права можуть включати право на доступ, виправлення, видалення, обмеження або передачі своїх Персональних даних, а також право заперечувати проти обробки та подавати скарги до Наглядового органу. Постачальник послуг допомагає Клієнтам у забезпеченні реалізації цих прав, коли це застосовно.

3. Обробка даних

Клієнт може виступати як Контролер даних або Обробник даних, залежно від його відносин із Суб'єктом даних та цілей, для яких обробляються Персональні дані. У всіх випадках, ULTEH діє як Обробник даних, обробляючи Персональні дані від імені та за вказівками Клієнта.

Клієнт несе відповідальність за забезпечення того, щоб усі дії з обробки даних, які проводяться з використанням наших Послуг, відповідали Застосовним законам про захист даних, включаючи, але не обмежуючись Загальним регламентом про захист даних (GDPR), UK GDPR, Каліфорнійським законом про конфіденційність споживачів (CCPA) та іншими застосовними правилами конфіденційності. Клієнт визнає, що має правову основу для обробки Персональних даних і звільняє нас від будь-яких претензій, зобов'язань або збитків, що виникають через невідповідність цим правовим вимогам.

Ми обробляємо Персональні дані тільки відповідно до письмових інструкцій Клієнта і виключно в мірі, необхідній для надання Послуг, якщо інше не передбачено законом. Ми не використовуємо, не розкриваємо і не ділимося Персональними даними для будь-яких цілей, окрім тих, які дозволені Клієнтом або явно викладені в цій Угоді.

Після припинення дії Угоди або на запит Клієнта, ми повинні, на розсуд Клієнта, або: (a) Безпечно видалити всі Персональні дані, оброблені за цією Угодою, забезпечуючи, щоб жодні копії не залишалися, якщо це не вимагається законом, або (b) Повернути Персональні дані Клієнту в структурованому, загальновживаному та машиночитаному форматі перед видаленням. Клієнт повинен надати такі запити протягом розумного часу до припинення дії.

Якщо ми юридично зобов'язані зберігати Персональні дані після припинення дії, ми повідомимо Клієнта (якщо це не заборонено законом) і забезпечимо, щоб такі дані залишалися захищеними відповідно до Законів про захист даних.

4. Безпека та конфіденційність

ULTEH зобов'язується захищати безпеку та конфіденційність Персональних даних оброблених від імені Клієнта. Для забезпечення цілісності та безпеки даних ми впроваджуємо та підтримуємо передові заходи безпеки розроблені для запобігання несанкціонованому доступу, розкриттю, зміни або знищення Персональних даних.

Ці заходи безпеки включають, але не обмежуються:

• Шифрування даних: Персональні дані шифруються як під час передачі, так і в стані спокою, використовуючи стандартні протоколи шифрування для захисту від несанкціонованого доступу.
• Контроль доступу: Суворі політики управління доступом забезпечують, що тільки уповноважений персонал має доступ до Персональних даних на основі принципу найменших привілеїв.
• Мережеву та системну безпеку: Файрволи, системи виявлення вторгнень та постійний моніторинг допомагають запобігти несанкціонованому доступу та кіберзагрозам.
• Анонімізація та псевдонімізація даних: Де застосовно, Персональні дані можуть бути анонімізовані або псевдонімізовані для зменшення ризиків, пов'язаних з викриттям даних.
• Регулярні аудити безпеки: Ми проводимо періодичні оцінки безпеки, тестування на вразливості та перевірки відповідності для виявлення та пом'якшення ризиків.
• План реагування на інциденти: Структурований протокол реагування на інциденти забезпечує, що будь-яке порушення безпеки швидко ідентифікується, пом'якшується та про нього повідомляється відповідно до застосовних Законів про захист даних.

Будь-яка особа, включаючи працівників, підрядників та уповноважених постачальників послуг, яка обробляє Персональні дані від нашого імені, зв'язана суворими зобов'язаннями конфіденційності. Це включає підписання юридично обов'язкових угод про нерозголошення (NDA) та дотримання внутрішніх політик обробки даних для забезпечення відповідності стандартам конфіденційності та безпеки даних.

Ми негайно повідомимо Клієнта про будь-яке підтверджене порушення безпеки, яке може призвести до випадкового або незаконного знищення, втрати, зміни, несанкціонованого розкриття або доступу до Персональних даних. Такі повідомлення будуть включати деталі інциденту, потенційний вплив та заходи з виправлення, вжиті для пом'якшення ризиків.

Ми постійно переглядаємо та оновлюємо наші заходи безпеки відповідно до розвитку галузевих стандартів та регуляторних вимог для забезпечення постійного захисту даних Клієнта.

5. Субпроцесори

ULTEH може залучати сторонніх Субпроцесорів для допомоги в наданні та підтримці Послуг. Ці Субпроцесори виконують конкретні функції, такі як зберігання даних, хостинг інфраструктури, аналітика або підтримка клієнтів. Ми забезпечуємо, щоб усі залучені Субпроцесори дотримувалися суворих зобов'язань щодо захисту даних еквівалентних викладеним у цьому DPA.

Ми підтримуємо актуальний список Субпроцесорів, включаючи їхні ролі та місця обробки. Клієнти можуть запитувати інформацію про поточних Субпроцесорів у будь-який час, зв'язавшись з нами.

Права та заперечення Клієнта:

• Ми повідомлятимемо Клієнтів про будь-які нові залучення Субпроцесорів щонайменше за 10 днів наперед.
• Клієнти можуть подати письмове заперечення проти використання нового Субпроцесора протягом цього 10-денного періоду, якщо вони мають законні занепокоєння щодо захисту даних.
• Після отримання заперечення ми будемо брати участь у добросовісних обговореннях для вирішення занепокоєнь, що може включати пошук альтернативних рішень.
• Якщо взаємоприйнятне рішення не досягнуто, Клієнт може мати право припинити дію відповідних Послуг відповідно до Угоди.

Ми залишаємось повністю відповідальними за дії наших Субпроцесорів і забезпечуємо, щоб вони дотримувалися:

• Законів про захист даних, включаючи GDPR, CCPA та інші застосовні регламенти.
• Угод про конфіденційність для захисту Персональних даних.
• Стандартних галузевих заходів безпеки для запобігання несанкціонованому доступу або зловживанню даними.

Ми залишаємо за собою право оновлювати або замінювати наших Субпроцесорів за потреби, з належним урахуванням занепокоєнь Клієнта та поточних зобов'язань щодо відповідності.

6. Передача Персональних даних

ULTEH може передавати Персональні дані за межі Європейської економічної зони (ЄЕЗ), Сполученого Королівства (СК) або Швейцарії для полегшення надання Послуг. Коли такі передачі відбуваються, ми забезпечуємо, щоб відповідні правові гарантії були впроваджені для захисту переданих даних відповідно до застосовних Законів про захист даних.

Ми покладаємося на визнані механізми передачі даних, включаючи, але не обмежуючись:

• Стандартні договірні положення (СДП): Ми включаємо СДП, затверджені Європейською Комісією або іншими компетентними органами, для забезпечення законних передач даних.
• Додаткові заходи: За необхідності ми застосовуємо додаткові технічні, організаційні та договірні гарантії для посилення захисту даних.
• Обов'язкові корпоративні правила (ОКП): Коли це застосовно, наші афілійовані підприємства дотримуються ОКП, забезпечуючи високий рівень захисту даних у міжнародних операціях.
• Інші затверджені механізми передачі: Ми дотримуємося будь-яких додаткових положень, сертифікацій або правових інструментів, визнаних для законних транскордонних передач даних.

Права та підтримка Клієнта: Ми зобов'язуємося допомагати Клієнту в забезпеченні відповідності правам Суб'єктів даних за застосовними Законами про захист даних. Це включає, але не обмежується:

• Запити на доступ: Надання Суб'єктам даних доступу до їхніх Персональних даних.
• Запити на виправлення: Дозвіл на виправлення неточних або неповних даних.
• Запити на видалення ("Право на забуття"): Допомога з видаленням Персональних даних на запит, де це юридично дозволено.
• Заперечення та обмеження обробки: Підтримка Суб'єктів даних у реалізації їхніх прав заперечувати або обмежувати діяльність з обробки даних.
• Портативність даних: Полегшення передачі Персональних даних іншому контролеру даних, де це застосовно.

Ми постійно моніторимо глобальні регламенти щодо конфіденційності для забезпечення відповідності вимогам транскордонної передачі даних і повідомлятимемо Клієнта, якщо зміни в правовій структурі вплинуть на наші зобов'язання з обробки даних.

7. Права суб'єкта даних

ULTEH визнає та поважає права Суб'єктів даних відповідно до застосовних Законів про захист даних. Ми допомагатимемо Клієнту як Контролеру даних у відповіді на запити від осіб щодо їхніх Персональних даних.

Суб'єкти даних можуть реалізувати наступні права:

• Право доступу: Можливість запитувати та отримувати підтвердження того, чи обробляються їхні дані, разом з доступом до даних.
• Право на виправлення: Право виправляти або оновлювати неточні або неповні Персональні дані.
• Право на видалення ("Право на забуття"): Право запитувати видалення Персональних даних за умови юридичних та договірних зобов'язань.
• Право на обмеження обробки: Можливість обмежувати обробку Персональних даних за певних умов.
• Право на портативність даних: Можливість отримувати та передавати Персональні дані іншому постачальнику послуг, де це технічно можливо.
• Право на заперечення: Право заперечувати проти обробки на основі законних інтересів, прямого маркетингу або автоматизованого прийняття рішень.
• Право відкликати згоду: Якщо обробка базується на згоді, Суб'єкт даних може відкликати згоду в будь-який час.

Обов'язки Клієнта: Клієнт, діючи як Контролер даних, відповідає за обробку запитів Суб'єктів даних. Ми надамо розумну допомогу на запит, забезпечуючи, щоб відповіді оброблялися своєчасно та відповідно до застосовних законів.

Ми не будемо безпосередньо відповідати на запити Суб'єкта даних, якщо це не вимагається законом або явно не дозволено Клієнтом.

8. Повідомлення про порушення даних

ULTEH ставиться до безпеки серйозно і впроваджує превентивні заходи для захисту Персональних даних. Однак, у випадку Порушення Персональних даних ми діятимемо швидко і прозоро.

План реагування на порушення даних: Якщо нам стане відомо про підтверджене Порушення Персональних даних, яке може призвести до несанкціонованого доступу, втрати, зміни або розкриття Персональних даних, ми будемо:

• Оцінювати вплив порушення та негайно вживати заходів для пом'якшення ризиків.
• Повідомляти Клієнта без невиправданої затримки (зазвичай протягом 48 годин після підтвердження).
• Надавати деталі, включаючи:
  • Характер та обсяг порушення.
  • Тип даних, які постраждали.
  • Потенційні наслідки.
  • Заходи, вжиті або запропоновані для вирішення порушення.
• Допомагати Клієнту у виконанні будь-яких регуляторних зобов'язань, включаючи повідомлення органів влади та постраждалих Суб'єктів даних, де це вимагається.
• Впроваджувати коригувальні дії для запобігання майбутнім порушенням.

Обов'язки Клієнта: Клієнт відповідає за визначення того, чи потрібно повідомляти регуляторні органи та Суб'єктів даних відповідно до застосовних Законів про захист даних.

Ми документуватимемо всі порушення і вестимемо записи про наше розслідування, заходи пом'якшення та дії з виправлення.

9. Зберігання та видалення даних

ULTEH зберігає Персональні дані лише настільки довго, наскільки це необхідно для виконання своїх зобов'язань за цією Угодою або як вимагається застосовними законами.

Політика зберігання даних:

• Ми дотримуємося принципів мінімізації даних, забезпечуючи, щоб дані зберігалися лише для законних бізнес-потреб та потреб відповідності.
• Дані будуть видалені або анонімізовані, як тільки вони стануть більше не потрібними для цілей обробки.
• Періоди зберігання можуть відрізнятися залежно від юридичних, договірних або регуляторних вимог.

Контрольоване Клієнтом видалення даних:

• Клієнти можуть запитувати видалення Персональних даних у будь-який час.
• Після припинення послуг ми видаляємо або повертаємо Персональні дані відповідно до інструкцій Клієнта.
• Якщо запиту на видалення не зроблено, ми автоматично видалимо Персональні дані протягом розумного часу, якщо юридично не вимагається зберігати їх.

Винятки для видалення даних: У певних випадках ми можемо зберігати Персональні дані поза узгодженим періодом зберігання, включаючи:

• Для дотримання юридичних зобов'язань (наприклад, податкових, аудиторських або регуляторних вимог).
• Для законних інтересів, таких як запобігання шахрайству або розслідування безпеки.
• Коли це вимагається юридично обов'язковим запитом (наприклад, судовим наказом).

Ми забезпечуємо, щоб процедури безпечного видалення дотримувалися, запобігаючи будь-якому несанкціонованому відновленню або зловживанню Персональними даними.

10. Регулююче право та вирішення спорів

Цей Додаток про обробку даних (DPA) регулюється та тлумачиться відповідно до того ж права та юрисдикції, як визначено в основній угоді між ULTEH та Клієнтом.

Процес вирішення спорів: Якщо виникає будь-який спір щодо цього DPA, обидві сторони погоджуються слідувати структурованому процесу вирішення, включаючи:

• Переговори з доброю волею: Сторони спочатку спробують вирішити спори через прямі обговорення та переговори.
• Медіацію або арбітраж: Якщо переговори не вдаються, спір може бути направлений на медіацію або арбітраж, як окреслено в основній угоді.
• Юридичні провадження: Якщо рішення не досягнуто, спори можуть бути вирішені через формальні юридичні провадження у відповідній юрисдикції.

У випадку будь-якого конфлікту між цим DPA та основною угодою, умови цього DPA мають перевагу виключно щодо питань захисту даних, забезпечуючи відповідність застосовним Законам про захист даних.

11. Заключні положення

Цей Додаток про обробку даних є невід'ємною частиною загальної угоди між ULTEH та Клієнтом. Продовжуючи використовувати Послуги, Клієнт визнає та приймає умови цього DPA.

Якщо будь-яке положення цього DPA визнано недійсним або нездійсненним, решта положень продовжують діяти в повній силі. Сторони погоджуються замінити будь-яке нездійсненне положення таким, що якнайточніше відображає початковий намір, залишаючись при цьому відповідним застосовним законам.

Поправки та оновлення: Ми залишаємо за собою право змінювати або оновлювати цей DPA для відображення змін у застосовних Законах про захист даних, галузевих практиках або операційних потребах. Клієнти будуть повідомлені про будь-які суттєві зміни, і продовження використання Послуг становить прийняття оновлених умов.

Контактна інформація: Для будь-яких питань, занепокоєнь або запиту на підписану копію цього DPA, Клієнти можуть зв'язатися з нами за адресою: [email protected].