Databehandlingstillägg

1. Introduktion

ULTEH är engagerad i att säkerställa integritet, säkerhet och efterlevnad av kunddata. Detta databehandlingstillägg (DPA) beskriver villkoren för hur vi bearbetar, lagrar och skyddar personuppgifter i enlighet med tillämpliga dataskyddslagar och förordningar. Detta DPA är en förlängning av vårt huvudavtal med kunder och gäller när ULTEH behandlar personuppgifter på uppdrag av kunden som personuppgiftsbiträde. Det etablerar tydliga ansvarsområden för båda parter gällande datahantering, vilket säkerställer efterlevnad av relevanta integritetslagar. Genom att använda ULTEH, erkänner och godkänner kunderna villkoren i detta DPA. Om du behöver en signerad kopia av detta avtal för efterlevnadsändamål, kontakta oss.

2. Definitioner

Dotterbolag avser varje enhet som direkt eller indirekt kontrollerar, kontrolleras av eller står under gemensam kontroll med en part. "Kontroll" innebär direkt eller indirekt ägande av minst 50% av röstberättigade aktier, egetkapitalandelar eller liknande rättigheter i enheten, vilket ger möjlighet att påverka dess ledning och policies. Dotterbolag anses vara bundna av skyldigheterna och ansvaret som beskrivs i detta DPA i den utsträckning de deltar i behandlingen av personuppgifter.

Auktoriserad underbehandlare avser tredjepartsleverantör, tjänsteleverantör eller entreprenör som anlitats av tjänsteleverantören för att behandla kundens personuppgifter strikt på uppdrag av och enligt instruktioner från tjänsteleverantören. Auktoriserade underbehandlare hjälper till att uppfylla skyldigheter enligt detta DPA och huvudavtalet. Alla underbehandlare måste följa samma dataskyddsskyldigheter, upprätthålla säkerhet, konfidentialitet och regelefterlevnad.

Kontodata avser all affärsrelaterad information som samlas in, lagras och behandlas av tjänsteleverantören i förhållande till dess avtalsförhållande med kunden. Detta inkluderar, men är inte begränsat till, namn, e-postadresser, telefonnummer, betalningsuppgifter och åtkomstuppgifter för personer som auktoriserats av kunden att hantera och driva sitt konto på tjänsteleverantörens plattform. Kontodata används strikt för administrativa, fakturerings- och supportändamål.

Dataskyddslagar omfattar alla tillämpliga lagar, förordningar och ramverk som reglerar insamling, behandling, lagring, överföring och skydd av personuppgifter. Detta inkluderar, men är inte begränsat till, den allmänna dataskyddsförordningen (GDPR) för Europeiska unionen, UK GDPR som gäller för Storbritannien, California Consumer Privacy Act (CCPA) och andra nationella eller internationella integritetslagar som är relevanta för databehandlingsaktiviteter enligt detta avtal. Efterlevnad av dessa lagar säkerställer att personuppgifter hanteras lagligt, transparent och säkert.

Personuppgifter avser all information som rör en identifierad eller identifierbar fysisk person ("Registrerad"). En identifierbar person är en som kan identifieras direkt eller indirekt, särskilt med hänvisning till identifierare som namn, e-postadress, telefonnummer, platsdata, en online-identifierare (som IP-adress eller cookies) eller andra unika faktorer som definierar deras identitet. Personuppgifter utesluter anonymiserade eller aggregerade data som inte kan användas för att identifiera en individ.

Behandling avser varje åtgärd eller uppsättning av åtgärder som utförs på personuppgifter, oavsett om det sker genom automatiserade metoder eller manuellt. Detta inkluderar, men är inte begränsat till, insamling, registrering, organisering, strukturering, lagring, anpassning, ändring, hämtning, konsultation, användning, avslöjande, överföring, begränsning, radering eller förstöring av personuppgifter. Behandling utförs i enlighet med kundens instruktioner och tillämpliga dataskyddslagar.

Säkerhetsåtgärder avser de tekniska och organisatoriska skyddsåtgärder som implementerats för att säkerställa konfidentialitet, integritet och tillgänglighet av personuppgifter. Dessa åtgärder inkluderar kryptering, åtkomstkontroller, brandväggar, datamaskering, pseudonymisering, regelbundna säkerhetsrevisioner och mekanismer för anmälan av överträdelser. Säkerhetsåtgärder är utformade för att förhindra obehörig åtkomst, oavsiktlig förlust eller olaglig behandling av personuppgifter.

Tillsynsmyndighet avser en oberoende offentlig myndighet som ansvarar för att övervaka och upprätthålla efterlevnaden av dataskyddslagar. Exempel inkluderar **Europeiska dataskyddsstyrelsen (EDPB)** för GDPR-relaterade frågor, **UK Information Commissioner's Office (ICO)** för UK GDPR, och **California Privacy Protection Agency (CPPA)** för CCPA-verkställighet. Tillsynsmyndigheten har juridisk befogenhet att utreda klagomål, utfärda vägledning och införa straff för bristande efterlevnad.

Registrerades rättigheter avser de rättigheter som tilldelats individer enligt tillämpliga dataskyddslagar. Dessa rättigheter kan inkludera rätten att få tillgång till, korrigera, radera, begränsa eller överföra sina personuppgifter, samt rätten att invända mot behandling och lämna in klagomål till en tillsynsmyndighet. Tjänsteleverantören hjälper kunderna att underlätta utövandet av dessa rättigheter när det är tillämpligt.

3. Behandling av data

Kunden kan agera antingen som en Personuppgiftsansvarig eller en Personuppgiftsbiträde, beroende på dess relation med den registrerade och de ändamål för vilka personuppgifter behandlas. I alla fall agerar ULTEH som ett Personuppgiftsbiträde, som behandlar personuppgifter på uppdrag av och enligt kundens instruktioner.

Kunden ansvarar för att säkerställa att alla databehandlingsaktiviteter som utförs med hjälp av våra tjänster följer Tillämpliga dataskyddslagar, inklusive men inte begränsat till Allmänna dataskyddsförordningen (GDPR), UK GDPR, California Consumer Privacy Act (CCPA), och andra tillämpliga integritetslagar. Kunden bekräftar att den har rättslig grund för att behandla personuppgifter och ersätter oss mot alla anspråk, ansvar eller skador som härrör från bristande efterlevnad av dessa juridiska krav.

Vi ska behandla personuppgifter endast i enlighet med kundens skriftliga instruktioner och endast i den utsträckning som krävs för att tillhandahålla tjänsterna, om inte annat krävs enligt lag. Vi kommer inte att använda, avslöja eller dela personuppgifter för något annat ändamål än de som auktoriserats av kunden eller uttryckligen beskrivits i detta avtal.

Vid uppsägning av avtalet eller på kundens begäran, ska vi, enligt kundens val, antingen: (a) Säkert radera alla personuppgifter som behandlats under detta avtal och säkerställa att inga kopior finns kvar såvida det inte krävs enligt lag, eller (b) Returnera personuppgifterna till kunden i ett strukturerat, allmänt använt och maskinläsbart format före radering. Kunden måste lämna sådana begäranden inom en rimlig tid före uppsägning.

Om vi är juridiskt skyldiga att behålla personuppgifter efter uppsägning, kommer vi att meddela kunden (såvida det inte är juridiskt förbjudet att göra det) och säkerställa att sådana data förblir skyddade i enlighet med dataskyddslagar.

4. Säkerhet och konfidentialitet

ULTEH är engagerat i att skydda säkerheten och konfidentialiteten för Personuppgifter som behandlas på uppdrag av Kunden. För att säkerställa dataintegritet och säkerhet implementerar och upprätthåller vi branschledande säkerhetsåtgärder utformade för att förhindra obehörig åtkomst, avslöjande, ändring eller förstöring av personuppgifter.

Dessa säkerhetsåtgärder inkluderar, men är inte begränsade till:

• Datakryptering: Personuppgifter krypteras både under överföring och i vila med hjälp av branschstandard krypteringsprotokoll för att skydda mot obehörig åtkomst.
• Åtkomstkontroller: Strikta åtkomsthanteringspolicyer säkerställer att endast behörig personal har tillgång till personuppgifter baserat på principen om minsta privilegium.
• Nätverks- och systemsäkerhet: Brandväggar, intrångsdetekteringssystem och kontinuerlig övervakning hjälper till att förhindra obehörig åtkomst och cyberhot.
• Dataanonymisering och pseudonymisering: Där det är tillämpligt kan personuppgifter anonymiseras eller pseudonymiseras för att minska risker förknippade med dataexponering.
• Regelbundna säkerhetsrevisioner: Vi genomför periodiska säkerhetsbedömningar, sårbarhetstester och efterlevnadskontroller för att identifiera och mildra risker.
• Incidentresponsplan: Ett strukturerat incidentresponsprotokoll säkerställer att alla säkerhetsöverträdelser snabbt identifieras, mildras och rapporteras i enlighet med tillämpliga dataskyddslagar.

Alla individer, inklusive anställda, entreprenörer och auktoriserade tjänsteleverantörer, som behandlar personuppgifter på våra vägnar är bundna av strikta sekretessförpliktelser. Detta inkluderar undertecknande av juridiskt verkställbara sekretessavtal (NDA) och efterlevnad av interna datahanteringspolicyer för att säkerställa överensstämmelse med standarder för dataintegritet och säkerhet.

Vi kommer omedelbart att meddela kunden om eventuella **bekräftade säkerhetsöverträdelser** som kan leda till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt avslöjande eller åtkomst till personuppgifter. Sådana meddelanden kommer att inkludera detaljer om incidenten, potentiell påverkan och åtgärder som vidtagits för att mildra risker.

Vi granskar och uppdaterar kontinuerligt våra säkerhetsåtgärder i enlighet med utvecklande branschstandarder och regulatoriska krav för att säkerställa fortsatt skydd av kunddata.

5. Underbehandlare

ULTEH kan anlita tredjepartunderbehandlare för att hjälpa till att tillhandahålla och underhålla tjänsterna. Dessa underbehandlare utför specifika funktioner såsom datalagring, infrastrukturvärdskap, analys eller kundsupport. Vi säkerställer att alla anlitade underbehandlare följer strikta dataskyddsskyldigheter motsvarande dem som beskrivs i detta DPA.

Vi upprätthåller en uppdaterad lista över underbehandlare, inklusive deras roller och behandlingsplatser. Kunder kan när som helst begära information om de aktuella underbehandlarna genom att kontakta oss.

Kundrättigheter och invändningar:

• Vi kommer att meddela kunder om eventuella **nya underbehandlarengagemang** minst 10 dagar i förväg.
• Kunder kan lämna in en skriftlig **invändning** mot användningen av en ny underbehandlare inom denna 10-dagarsperiod om de har legitima **dataskyddsfrågor**.
• Vid mottagande av en invändning kommer vi att engagera oss i **diskussioner i god tro** för att hantera problem, vilket kan inkludera att hitta alternativa lösningar.
• Om en ömsesidigt acceptabel lösning inte uppnås, kan kunden ha rätt att **säga upp de berörda tjänsterna** i enlighet med avtalet.

Vi förblir fullt ansvariga för våra underbehandlares handlingar och säkerställer att de följer:

• Dataskyddslagar, inklusive GDPR, CCPA och andra tillämpliga förordningar.
• Sekretessavtal för att skydda personuppgifter.
• Branschstandardsäkerhetsåtgärder för att förhindra obehörig åtkomst eller missbruk av data.

Vi förbehåller oss rätten att **uppdatera eller ersätta** våra underbehandlare efter behov, med vederbörlig hänsyn till kundernas oro och pågående efterlevnadsskyldigheter.

6. Överföring av personuppgifter

ULTEH kan överföra Personuppgifter utanför Europeiska ekonomiska samarbetsområdet (EES), Storbritannien (UK) eller Schweiz för att underlätta tillhandahållandet av tjänster. När sådana överföringar sker, säkerställer vi att lämpliga juridiska skyddsåtgärder finns på plats för att skydda de överförda uppgifterna i enlighet med tillämpliga dataskyddslagar.

Vi förlitar oss på erkända dataöverföringsmekanismer, inklusive men inte begränsat till:

• Standardavtalsklausuler (SCC): Vi införlivar SCC som godkänts av Europeiska kommissionen eller andra behöriga myndigheter för att säkerställa laglig dataöverföring.
• Kompletterande åtgärder: Vid behov tillämpar vi ytterligare tekniska, organisatoriska och avtalsmässiga skyddsåtgärder för att förbättra dataskyddet.
• Bindande företagsregler (BCR): När det är tillämpligt följer våra anslutna enheter BCR som säkerställer en hög nivå av dataskydd över internationell verksamhet.
• Andra godkända överföringsmekanismer: Vi följer eventuella ytterligare ramverk, certifieringar eller juridiska instrument som erkänts för laglig gränsöverskridande dataöverföring.

Kundrättigheter och assistans: Vi är engagerade i att hjälpa kunden att säkerställa efterlevnad av registrerades rättigheter enligt tillämpliga dataskyddslagar. Detta inkluderar, men är inte begränsat till:

• Begäran om tillgång: Göra det möjligt för registrerade att få tillgång till sina personuppgifter.
• Begäran om rättelse: Möjliggöra korrigeringar av felaktiga eller ofullständiga uppgifter.
• Begäran om radering ("Rätten att bli bortglömd"): Hjälpa till med radering av personuppgifter på begäran, där det är lagligt tillåtet.
• Invändning och begränsning av behandling: Stödja registrerade i att utöva sina rättigheter att invända mot eller begränsa databehandlingsaktiviteter.
• Dataportabilitet: Underlätta överföringen av personuppgifter till en annan personuppgiftsansvarig, där det är tillämpligt.

Vi övervakar kontinuerligt globala integritetsregler för att säkerställa efterlevnad av **gränsöverskridande dataöverföringskrav** och kommer att meddela kunden om förändringar i det juridiska ramverket påverkar våra databehandlingsskyldigheter.

7. Registrerades rättigheter

ULTEH erkänner och respekterar **registrerades** rättigheter enligt tillämpliga **dataskyddslagar**. Vi kommer att hjälpa **kunden**, som personuppgiftsansvarig, att svara på förfrågningar från individer angående deras **personuppgifter**.

Registrerade kan utöva följande rättigheter:

• Rätt till tillgång: Möjligheten att begära och erhålla bekräftelse på om deras data behandlas, samt tillgång till uppgifterna.
• Rätt till rättelse: Rätten att korrigera eller uppdatera felaktiga eller ofullständiga personuppgifter.
• Rätt till radering ("Rätten att bli bortglömd"): Rätten att begära radering av personuppgifter, med förbehåll för juridiska och avtalsmässiga skyldigheter.
• Rätt att begränsa behandling: Möjligheten att begränsa behandlingen av personuppgifter under vissa förhållanden.
• Rätt till dataportabilitet: Möjligheten att erhålla och överföra personuppgifter till en annan tjänsteleverantör där det är tekniskt genomförbart.
• Rätt att göra invändningar: Rätten att invända mot behandling baserat på berättigade intressen, direktmarknadsföring eller automatiserat beslutsfattande.
• Rätt att återkalla samtycke: Om behandlingen baseras på samtycke kan den registrerade återkalla samtycket när som helst.

Kundens ansvar: Kunden, som agerar som personuppgiftsansvarig, ansvarar för att hantera registrerades förfrågningar. Vi kommer att tillhandahålla **rimlig hjälp** på begäran, och säkerställa att svaren hanteras **snabbt och i enlighet** med tillämpliga lagar.

Vi kommer inte att svara direkt på en begäran från en registrerad såvida det inte är juridiskt nödvändigt eller uttryckligen godkänt av kunden.

8. Anmälan av personuppgiftsincident

ULTEH tar säkerhet på allvar och implementerar **förebyggande åtgärder** för att skydda personuppgifter. I händelse av en **personuppgiftsincident** kommer vi att agera **snabbt och transparent**.

Plan för hantering av dataincidenter: Om vi blir medvetna om en **bekräftad personuppgiftsincident** som kan resultera i **obehörig åtkomst, förlust, ändring eller avslöjande** av personuppgifter, kommer vi att:

• **Bedöma påverkan** av incidenten och vidta omedelbara åtgärder för att mildra risker.
• **Meddela kunden utan onödigt dröjsmål** (vanligtvis inom 48 timmar efter bekräftelse).
• Tillhandahålla detaljer inklusive:
  • Incidentens art och omfattning.
  • Typ av påverkade data.
  • Potentiella konsekvenser.
  • Åtgärder som vidtagits eller föreslås för att hantera incidenten.
• **Hjälpa kunden** att uppfylla eventuella regulatoriska skyldigheter, inklusive anmälningar till myndigheter och berörda registrerade, där det krävs.
• **Implementera korrigerande åtgärder** för att förhindra framtida incidenter.

Kundens ansvar: Kunden ansvarar för att avgöra om tillsynsmyndigheter och registrerade ska meddelas i enlighet med tillämpliga dataskyddslagar.

Vi kommer att dokumentera alla incidenter och upprätthålla register över vår **utredning, riskreducerande åtgärder och korrigeringsåtgärder**.

9. Datalagring och radering

ULTEH behåller **personuppgifter endast så länge som nödvändigt** för att uppfylla sina skyldigheter enligt detta avtal eller som krävs enligt tillämpliga lagar.

Policy för datalagring:

• Vi följer **dataminimeringsprinciper**, vilket säkerställer att data endast behålls för **legitima affärs- och efterlevnadsbehov**.
• Data kommer att raderas eller anonymiseras när den **inte längre är nödvändig** för behandlingsändamål.
• Lagringsperioder kan variera beroende på **juridiska, avtalsmässiga eller regulatoriska krav**.

Kundkontrollerad dataradering:

• Kunder kan när som helst begära **radering av personuppgifter**.
• Vid uppsägning av tjänster kommer vi att **radera eller returnera personuppgifter** i enlighet med kundens instruktioner.
• Om ingen raderingsbegäran görs kommer vi att **automatiskt radera** personuppgifter inom en rimlig tidsram, såvida vi inte är juridiskt skyldiga att behålla den.

Undantag från dataradering: I vissa fall kan vi **behålla personuppgifter** utöver den överenskomna lagringsperioden, inklusive:

• För att följa **juridiska skyldigheter** (t.ex. skatte-, revisions- eller regulatoriska krav).
• För **legitima intressen**, såsom bedrägeriförebyggande eller säkerhetsutredningar.
• När det krävs av en **bindande juridisk begäran** (t.ex. domstolsbeslut).

Vi säkerställer att **säkra raderingsprocedurer** följs, vilket förhindrar obehörig återställning eller missbruk av personuppgifter.

10. Tillämplig lag och tvistlösning

Detta databehandlingstillägg (DPA) ska styras av och tolkas i enlighet med **samma lagar och jurisdiktion** som definieras i huvudavtalet mellan ULTEH och kunden.

Tvistlösningsprocess: Om en tvist uppstår angående detta DPA, är båda parter överens om att följa en strukturerad lösningsprocess, inklusive:

• Förhandling i god tro: Parterna kommer först att försöka lösa tvister genom direkta diskussioner och förhandlingar.
• Medling eller skiljeförfarande: Om förhandling misslyckas kan tvisten hänvisas till medling eller skiljeförfarande, enligt beskrivningen i huvudavtalet.
• Rättsliga förfaranden: Om ingen lösning nås kan tvister avgöras genom formella rättsliga förfaranden i tillämplig jurisdiktion.

I händelse av konflikt mellan detta DPA och huvudavtalet ska **villkoren i detta DPA ha företräde** enbart gällande dataskyddsfrågor, för att säkerställa efterlevnad av tillämpliga Dataskyddslagar.

11. Slutbestämmelser

Detta databehandlingstillägg utgör en integrerad del av det övergripande avtalet mellan ULTEH och kunden. Genom att fortsätta använda tjänsterna erkänner och **accepterar kunden villkoren i detta DPA**.

Om någon bestämmelse i detta DPA befinns vara **ogiltig eller ogenomförbar**, ska de återstående bestämmelserna fortsätta att gälla med full kraft och verkan. Parterna är överens om att ersätta eventuella ogenomförbara bestämmelser med en som återspeglar den ursprungliga avsikten så nära som möjligt samtidigt som den förblir förenlig med tillämpliga lagar.

Ändringar och uppdateringar: Vi förbehåller oss rätten att **ändra eller uppdatera detta DPA** för att återspegla förändringar i tillämpliga **dataskyddslagar, branschpraxis eller operativa behov**. Kunder kommer att meddelas om eventuella väsentliga ändringar, och fortsatt användning av tjänsterna utgör accept av de uppdaterade villkoren.

Kontaktinformation: För eventuella frågor, funderingar eller för att begära en signerad kopia av detta DPA, kan kunder kontakta oss på: [email protected].