Tillägg om databehandling

1. Introduktion

ULTEH har åtagit sig att säkerställa integritet, säkerhet och efterlevnad av kunddata. Detta databehandlingstillägg (DPA) beskriver villkoren för hur vi behandlar, lagrar och skyddar personuppgifter i enlighet med gällande dataskyddslagar och förordningar. Detta dataskyddsavtal är en utvidgning av vårt huvudavtal med kunder och gäller när ULTEH behandlar personuppgifter för Kundens räkning i egenskap av personuppgiftsbehandlare. Den fastställer tydliga ansvarsområden för båda parter gällande datahantering och säkerställer efterlevnad av relevanta integritetslagar. Genom att använda ULTEH, Kunder bekräftar och godkänner villkoren i detta dataskyddsavtal. Om du behöver en undertecknad kopia av detta avtal för efterlevnadsändamål, vänligen kontakta oss.

2. Definitioner

Dotterbolag avser varje enhet som direkt eller indirekt kontrollerar, kontrolleras av eller står under gemensam kontroll med en part. "Kontroll" avser direkt eller indirekt ägande av minst 50 % av röstberättigade aktier, eget kapital eller liknande rättigheter i enheten, vilket ger möjlighet att påverka dess ledning och policyer. Närstående företag anses bundna av de skyldigheter och ansvar som anges i detta databehandlingsavtal i den utsträckning de behandlar personuppgifter.

Auktoriserad underbiträde avser alla tredjepartsleverantörer, tjänsteleverantörer eller entreprenörer som anlitas av Tjänsteleverantören för att behandla Kundens Personuppgifter strikt för Tjänsteleverantörens räkning och enligt dennes instruktioner. Auktoriserade underbiträden bistår i att uppfylla skyldigheterna enligt detta dataskyddsavtal och huvudavtalet. Alla underbiträden måste följa samma dataskyddsskyldigheter, upprätthålla säkerhet, sekretess och regelefterlevnad.

Kontodata avser all affärsrelaterad information som samlas in, lagras och behandlas av Tjänsteleverantören i samband med dess avtalsförhållande med Kunden. Detta inkluderar, men är inte begränsat till, namn, e-postadresser, telefonnummer, betalningsuppgifter och åtkomstuppgifter för personer som är auktoriserade av Kunden att hantera och driva deras konto på Tjänsteleverantörens plattform. Kontodata används enbart för administrativa, fakturerings- och supportändamål.

Dataskyddslagar omfatta alla tillämpliga lagar, förordningar och ramverk som styr insamling, behandling, lagring, överföring och skydd av personuppgifter. Detta inkluderar, men är inte begränsat till, den allmänna dataskyddsförordningen (GDPR) i Europeiska unionen, den brittiska GDPR som gäller för Storbritannien, California Consumer Privacy Act (CCPA) och alla andra nationella eller internationella integritetslagar som är relevanta för databehandlingsaktiviteter enligt detta avtal. Efterlevnad av dessa lagar säkerställer att personuppgifter hanteras lagligt, transparent och säkert.

Personuppgifter avser all information som rör en identifierad eller identifierbar fysisk person ("Registrerad"). En identifierbar person är en person som direkt eller indirekt kan identifieras, särskilt med hänvisning till identifierare såsom namn, e-postadress, telefonnummer, platsdata, en online-identifierare (såsom IP-adress eller cookies) eller andra unika faktorer som definierar deras identitet. Personuppgifter omfattar inte anonymiserade eller aggregerade uppgifter som inte kan användas för att identifiera en individ.

Bearbetning avser varje åtgärd eller uppsättning av åtgärder som utförs på personuppgifter, oavsett om det sker automatiserat eller manuellt. Detta inkluderar, men är inte begränsat till, insamling, registrering, organisering, strukturering, lagring, anpassning, ändring, hämtning, konsultation, användning, utlämnande, överföring, begränsning, radering eller förstörelse av personuppgifter. Behandling sker i enlighet med kundens instruktioner och tillämpliga dataskyddslagar.

Säkerhetsåtgärder hänvisa till de tekniska och organisatoriska skyddsåtgärder som implementerats för att säkerställa konfidentialitet, integritet och tillgänglighet för personuppgifter. Dessa åtgärder inkluderar kryptering, åtkomstkontroller, brandväggar, datamaskering, pseudonymisering, regelbundna säkerhetsrevisioner och mekanismer för anmälan av intrång. Säkerhetsåtgärder är utformade för att förhindra obehörig åtkomst, oavsiktlig förlust eller olaglig behandling av personuppgifter.

Tillsynsmyndighet avser en oberoende offentlig myndighet som ansvarar för att övervaka och upprätthålla efterlevnaden av dataskyddslagar. Exempel inkluderar **Europeiska dataskyddsstyrelsen (EDPB)** för GDPR-relaterade frågor, **UK Information Commissioner's Office (ICO)** för Storbritanniens GDPR och **California Privacy Protection Agency (CPPA)** för CCPA-tillämpning. Tillsynsmyndigheten har rättslig befogenhet att utreda klagomål, utfärda vägledning och ålägga sanktioner för bristande efterlevnad.

Rättigheter för den registrerade hänvisa till de rättigheter som beviljas individer enligt tillämpliga dataskyddslagar. Dessa rättigheter kan innefatta rätten att få tillgång till, rätta, radera, begränsa eller överföra sina personuppgifter, samt rätten att invända mot behandling och lämna in klagomål till en tillsynsmyndighet. Tjänsteleverantören hjälper kunderna att underlätta utövandet av dessa rättigheter när så är tillämpligt.

3. Behandling av uppgifter

Kunden kan fungera som antingen en Personuppgiftsansvarig eller en Databehandlare, beroende på dess relation till den registrerade och de ändamål för vilka personuppgifter behandlas. I samtliga fall, ULTEH fungerar som en Databehandlare, behandlar personuppgifter för Kundens räkning och enligt Kundens instruktioner.

Kunden ansvarar för att all databehandling som utförs med hjälp av våra Tjänster överensstämmer med Tillämpliga dataskyddslagar, inklusive men inte begränsat till Allmänna dataskyddsförordningen (GDPR), Storbritanniens GDPR, California Consumer Privacy Act (CCPA) och andra tillämpliga integritetsbestämmelser. Kunden bekräftar att denne har rättslig grund för att behandla personuppgifter och håller oss skadeslösa från alla anspråk, skulder eller skador som uppstår till följd av bristande efterlevnad av dessa rättsliga krav.

Vi ska behandla personuppgifter endast i enlighet med kundens skriftliga instruktioner och endast i den utsträckning som krävs för att tillhandahålla Tjänsterna, om inte annat följer av lag. Vi kommer inte att använda, lämna ut eller dela Personuppgifter för något annat ändamål än de som godkänts av Kunden eller uttryckligen anges i detta Avtal.

På uppsägning av avtalet eller kundens begäran, vi ska, efter kundens gottfinnande, antingen: (a) Radera säkert alla personuppgifter som behandlas enligt detta avtal, varvid inga kopior bevaras om det inte krävs enligt lag, eller (b) Återlämna personuppgifterna till Kunden i ett strukturerat, allmänt använt och maskinläsbart format innan radering. Kunden måste lämna sådana begäranden inom en rimlig tidsram innan uppsägning.

Om vi är lagligt skyldiga att lagra personuppgifter efter uppsägning kommer vi att meddela Kunden (såvida det inte är lagligt förbjudet att göra det) och säkerställa att sådana uppgifter förblir skyddade i enlighet med dataskyddslagarna.

4. Säkerhet och sekretess

ULTEH har åtagit sig att skydda säkerheten och sekretessen för Personuppgifter behandlas på uppdrag av Kund. För att säkerställa dataintegritet och säkerhet implementerar och underhåller vi branschledande säkerhetsåtgärder utformad för att förhindra obehörig åtkomst, avslöjande, ändring eller förstörelse av personuppgifter.

Dessa säkerhetsåtgärder inkluderar, men är inte begränsade till:

• Datakryptering: Personuppgifter krypteras både under överföring och i vila med hjälp av branschstandardiserade krypteringsprotokoll för att skydda mot obehörig åtkomst.
• Åtkomstkontroller: Strikta policyer för åtkomsthantering säkerställer att endast behörig personal har tillgång till personuppgifter baserat på principen om minsta möjliga behörighet.
• Nätverks- och systemsäkerhet: Brandväggar, intrångsdetekteringssystem och kontinuerlig övervakning hjälper till att förhindra obehörig åtkomst och cyberhot.
• Dataanonymisering och pseudonymisering: I tillämpliga fall kan personuppgifter anonymiseras eller pseudonymiseras för att minska riskerna i samband med dataexponering.
• Regelbundna säkerhetsrevisioner: Vi genomför regelbundna säkerhetsbedömningar, sårbarhetstester och efterlevnadskontroller för att identifiera och minska risker.
• Plan för incidenthantering: Ett strukturerat protokoll för incidenthantering säkerställer att eventuella säkerhetsintrång snabbt identifieras, åtgärdas och rapporteras i enlighet med tillämpliga dataskyddslagar.

Varje individ, inklusive anställda, entreprenörer och auktoriserade tjänsteleverantörer, som behandlar personuppgifter för vår räkning är bunden av strikta sekretessskyldigheter. Detta inkluderar att underteckna juridiskt bindande sekretessavtal (NDA) och följa interna policyer för datahantering för att säkerställa efterlevnad av standarder för datasekretess och säkerhet.

Vi kommer omedelbart att meddela kunden om alla **bekräftade säkerhetsintrång** som kan leda till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt avslöjande eller åtkomst till personuppgifter. Sådana meddelanden kommer att innehålla information om incidenten, potentiell påverkan och åtgärdsåtgärder som vidtagits för att minska riskerna.

Vi granskar och uppdaterar kontinuerligt våra säkerhetsåtgärder i enlighet med utvecklande branschstandarder och regelkrav för att säkerställa det kontinuerliga skyddet av kunddata.

5. Underbiträden

ULTEH kan engagera sig tredjepartsunderbiträden för att bistå med att tillhandahålla och underhålla Tjänsterna. Dessa underbiträden utför specifika funktioner såsom datalagring, infrastrukturhosting, analys eller kundsupport. Vi säkerställer att alla anlitade underbiträden följer strikta dataskyddsskyldigheter motsvarande de som anges i detta dataskyddsavtal.

Vi upprätthåller en uppdaterad lista över underbiträden, inklusive deras roller och behandlingsplatser. Kunder kan när som helst begära information om de nuvarande underbiträdena genom att kontakta oss.

Kundens rättigheter och invändningar:

• Vi kommer att meddela kunder om alla **nya uppdrag med underbiträden** minst 10 dagar i förväg.
• Kunder kan lämna in en skriftlig **invändning** mot användningen av en ny underleverantör inom denna 10-dagarsperiod om de har legitima **problem gällande dataskydd**.
• När vi mottagit en invändning kommer vi att inleda **diskussioner i god tro** för att ta itu med eventuella problem, vilket kan innefatta att hitta alternativa lösningar.
• Om en ömsesidigt godtagbar lösning inte nås, kan Kunden ha rätt att **säga upp de berörda Tjänsterna** i enlighet med Avtalet.

Vi förblir fullt ansvarig och ansvarig för våra underbiträdenas handlingar och säkerställa att de följer:

• Dataskyddslagar, inklusive GDPR, CCPA och andra tillämpliga förordningar.
• Sekretessavtal för att skydda personuppgifter.
• Säkerhetsåtgärder enligt branschstandard för att förhindra obehörig åtkomst eller missbruk av data.

Vi förbehåller oss rätten att **uppdatera eller ersätta** våra underleverantörer efter behov, med vederbörlig hänsyn till kundens synpunkter och löpande efterlevnadsskyldigheter.

6. Överföringar av personuppgifter

ULTEH kan överföra Personuppgifter utanför Europeiska ekonomiska samarbetsområdet (EES), Storbritannien eller Schweiz för att underlätta tillhandahållandet av tjänster. När sådana överföringar sker säkerställer vi att lämpliga rättsliga skyddsåtgärder finns på plats för att skydda de överförda uppgifterna i enlighet med tillämpliga dataskyddslagar.

Vi förlitar oss på erkända dataöverföringsmekanismer, inklusive men inte begränsat till:

• Standardavtalsklausuler (SCC): Vi införlivar standardkontraktsklausuler (SCC) som godkänts av Europeiska kommissionen eller andra behöriga myndigheter för att säkerställa lagliga dataöverföringar.
• Kompletterande åtgärder: Vid behov tillämpar vi ytterligare tekniska, organisatoriska och avtalsenliga skyddsåtgärder för att förbättra dataskyddet.
• Bindande företagsregler (BCR): I tillämpliga fall följer våra anslutna enheter bindande företagsregler som säkerställer en hög nivå av dataskydd i alla internationella verksamheter.
• Andra godkända överföringsmekanismer: Vi följer alla ytterligare ramverk, certifieringar eller rättsliga instrument som är erkända för lagliga gränsöverskridande dataöverföringar.

Kundrättigheter och hjälp: Vi är fast beslutna att hjälpa kunden att säkerställa att vi följer registrerades rättigheter enligt gällande dataskyddslagar. Detta inkluderar, men är inte begränsat till:

• Åtkomstförfrågningar: Göra det möjligt för registrerade att få tillgång till sina personuppgifter.
• Rättelsebegäranden: Tillåter korrigeringar av felaktiga eller ofullständiga uppgifter.
• Begäran om radering ("Rätten att bli glömd"): Bistå med radering av personuppgifter på begäran, där det är lagligt tillåtet.
• Invändning och begränsning av behandling: Stödja registrerade i att utöva sina rättigheter att invända mot eller begränsa databehandling.
• Dataportabilitet: Underlätta överföring av personuppgifter till en annan personuppgiftsansvarig, i förekommande fall.

Vi övervakar kontinuerligt globala integritetsregler för att säkerställa att vi följer **kraven för gränsöverskridande dataöverföring** och kommer att meddela kunden om förändringar i det rättsliga ramverket påverkar våra skyldigheter att behandla personuppgifter.

7. Rättigheter för den registrerade

ULTEH erkänner och respekterar rättigheterna för **registrerade** enligt tillämpliga **dataskyddslagar**. Vi kommer att bistå **kunden**, i egenskap av personuppgiftsansvarig, med att svara på förfrågningar från individer angående deras **personuppgifter**.

Registrerade personer kan utöva följande rättigheter:

• Rätt till tillgång: Möjligheten att begära och få bekräftelse på om deras uppgifter behandlas, samt tillgång till uppgifterna.
• Rätt till rättelse: Rätten att korrigera eller uppdatera felaktiga eller ofullständiga personuppgifter.
• Rätt till radering ("Rätten att bli glömd"): Rätten att begära radering av personuppgifter, i enlighet med rättsliga och avtalsenliga skyldigheter.
• Rätt att begränsa behandling: Möjligheten att begränsa behandlingen av personuppgifter under vissa förutsättningar.
• Rätt till dataportabilitet: Möjligheten att inhämta och överföra personuppgifter till en annan tjänsteleverantör där det är tekniskt möjligt.
• Rätt att invända: Rätten att invända mot behandling baserad på berättigade intressen, direkt marknadsföring eller automatiserat beslutsfattande.
• Rätt att återkalla samtycke: Om behandlingen grundar sig på samtycke kan den registrerade när som helst återkalla samtycket.

Kundens ansvar: Kunden, som agerar som personuppgiftsansvarig, ansvarar för att hantera förfrågningar från den registrerade. Vi kommer att tillhandahålla **rimlig hjälp** på begäran och säkerställa att svar hanteras **snabbt och i enlighet med** gällande lagar.

Vi kommer inte att svara direkt på en begäran från en registrerad person om vi inte är lagligt skyldiga att göra det eller uttryckligen har godkänt det av kunden.

8. Anmälan om dataintrång

ULTEH tar säkerhet på största allvar och implementerar **förebyggande åtgärder** för att skydda personuppgifter. I händelse av ett **personuppgiftsintrång** kommer vi dock att agera **snabbt och transparent**.

Plan för hantering av dataintrång: Om vi blir medvetna om ett **bekräftat personuppgiftsintrång** som kan leda till **obehörig åtkomst, förlust, ändring eller avslöjande** av personuppgifter, kommer vi att:

• **Bedöm effekterna** av intrånget och vidta omedelbara åtgärder för att minska riskerna.
• **Meddela kunden utan onödigt dröjsmål** (vanligtvis inom 48 timmar efter bekräftelse).
• Ange detaljer inklusive:
  • Överträdelsens art och omfattning.
  • Den typ av data som berörs.
  • De potentiella konsekvenserna.
  • Åtgärder som vidtagits eller föreslagits för att åtgärda intrånget.
• **Bistå kunden** med att uppfylla alla lagstadgade skyldigheter, inklusive anmälningar till myndigheter och berörda registrerade, där det krävs.
• **Implementera korrigerande åtgärder** för att förhindra framtida intrång.

Kundens ansvar: Kunden ansvarar för att avgöra huruvida tillsynsmyndigheter och registrerade ska underrättas i enlighet med tillämpliga dataskyddslagar.

Vi ska dokumentera alla intrång och föra register över våra **utredningar, begränsningsinsatser och åtgärdsåtgärder**.

9. Datalagring och radering

ULTEH lagrar **Personuppgifter endast så länge som det är nödvändigt** för att uppfylla sina skyldigheter enligt detta avtal eller enligt gällande lagar.

Policy för datalagring:

• Vi följer **principerna för dataminimering** och säkerställer att data endast lagras för **legitima affärs- och efterlevnadsbehov**.
• Uppgifter kommer att raderas eller anonymiseras när de **inte längre är nödvändiga** för behandlingsändamål.
• Lagringsperioderna kan variera beroende på **juridiska, avtalsenliga eller regulatoriska krav**.

Kundkontrollerad dataradering:

• Kunder kan när som helst begära **radering av personuppgifter**.
• Vid uppsägning av tjänsterna ska vi **radera eller återlämna personuppgifter** i enlighet med kundens instruktioner.
• Om ingen begäran om radering görs kommer vi att **automatiskt radera** personuppgifter inom en rimlig tidsram, såvida vi inte är lagligt skyldiga att behålla dem.

Undantag från dataradering: I vissa fall kan vi **lagra personuppgifter** utöver den avtalade lagringsperioden, inklusive:

• För att följa **rättsliga skyldigheter** (t.ex. skatte-, revisions- eller myndighetskrav).
• För **legitima intressen**, såsom bedrägeriförebyggande åtgärder eller säkerhetsutredningar.
• När det krävs enligt en **bindande rättslig begäran** (t.ex. domstolsbeslut).

Vi säkerställer att **säkra raderingsprocedurer** följs, vilket förhindrar obehörig återställning eller missbruk av personuppgifter.

10. Tillämplig lag och tvistlösning

Detta databehandlingstillägg (DPA) ska regleras av och tolkas i enlighet med **samma lagar och jurisdiktion** som definieras i huvudavtalet mellan ULTEH och kunden.

Tvistlösningsprocess: Om någon tvist uppstår angående detta dataskyddsavtal, är båda parter överens om att följa en strukturerad lösningsprocess, inklusive:

• Förhandling i god tro: Parterna kommer först att försöka lösa tvister genom direkta diskussioner och förhandlingar.
• Medling eller skiljedom: Om förhandlingarna misslyckas kan tvisten hänskjutas till medling eller skiljedom, enligt vad som anges i huvudavtalet.
• Rättsliga förfaranden: Om ingen lösning nås kan tvister lösas genom formella rättsliga förfaranden i tillämplig jurisdiktion.

Vid eventuell konflikt mellan detta dataskyddsavtal och huvudavtalet ska **villkoren i detta dataskyddsavtal ha företräde** enbart i fråga om dataskyddsfrågor, varvid tillämpliga regler ska följas. Dataskyddslagar.

11. Slutbestämmelser

Detta databehandlingstillägg utgör en integrerad del av det övergripande avtalet mellan ULTEH och Kunden. Genom att fortsätta använda Tjänsterna bekräftar och **godkänner Kunden villkoren i detta DPA**.

Om någon bestämmelse i detta databehandlingsavtal befinns vara **ogiltig eller ogenomförbar**, ska de återstående bestämmelserna fortsätta att gälla fullt ut. Parterna är överens om att ersätta alla ogenomförbara bestämmelser med en som återspeglar den ursprungliga avsikten så nära som möjligt, samtidigt som den överensstämmer med tillämpliga lagar.

Ändringar och uppdateringar: Vi förbehåller oss rätten att **ändra eller uppdatera detta dataskyddsavtal** för att återspegla ändringar i tillämpliga **dataskyddslagar, branschpraxis eller operativa behov**. Kunder kommer att meddelas om eventuella väsentliga ändringar, och fortsatt användning av Tjänsterna innebär godkännande av de uppdaterade villkoren.

Kontaktinformation: För eventuella frågor, funderingar eller för att begära en undertecknad kopia av detta dataskyddsavtal kan kunder kontakta oss på: [email protected].