Tillägg om databehandling

1. Introduktion

ULTEH är engagerat i att säkerställa kunddatas integritet, säkerhet och efterlevnad. Detta tillägg för databehandling (DPA) beskriver villkoren som reglerar hur vi behandlar, lagrar och skyddar personuppgifter i enlighet med tillämpliga dataskyddslagar och -föreskrifter. Denna DPA är en förlängning av vårt huvudavtal med kunder och gäller när ULTEH Bearbetar personuppgifter för Kundens räkning som personuppgiftsbiträde. Det fastställer tydiga ansvar för båda parter avseende hantering av uppgifter och säkerställer efterlevnad av tillämplig sekretesslagstiftning. Genom att använda ULTEH, Kunder bekräftar och godkänner villkoren som anges i detta DPA. Om du behöver en underskriven kopia av detta avtal för efterlevnadsändamål, kontakta oss gärna.

2. Definitioner

Affiliate Avser varje enhet som direkt eller indirekt kontrollerar, kontrolleras av eller står under gemensam kontroll med en part. 'Kontroll' innebär direkt eller indirekt ägande av minst 50 % av rösträttsaktierna, kapitalintressena eller liknande rättigheter i enheten, vilket ger förmåga att påverka dess ledning och riktlinjer. Intressebolag anses vara bundna av de skyldigheter och det ansvar som anges i detta DPA i den mån de deltar i behandlingen av personuppgifter.

Auktoriserat underbiträde avser varje tredje parts leverantör, tjänsteleverantör eller entreprenör som anlitas av Leverantören för att behandla Kundens personuppgifter uteslutande för Leverantörens räkning och enligt Leverantörens instruktioner. Auktoriserade underbiträden hjälper till att uppfylla skyldigheterna enligt detta DPA och huvudavtalet. Alla underbiträden måste följa samma dataskyddsåtaganden och upprätthålla säkerhet, sekretess och lagstadgad efterlevnad.

Kontouppgifter avser all affärsrelaterad information som Tjänsteleverantören samlar in, lagrar och behandlar i samband med sitt avtalsförhållande med Kunden. Detta inkluderar, men är inte begränsat till, namn, e-postadresser, telefonnummer, betalningsuppgifter och åtkomstuppgifter för personer som är auktoriserade av Kunden att hantera och driva sitt konto på Tjänsteleverantörens plattform. Kontouppgifter används enbart för administrativa, fakturerings- och supportändamål.

Lagar om dataskydd omfattar alla tillämpliga lagar, förordningar och ramverk som reglerar insamling, bearbetning, lagring, överföring och skydd av personuppgifter. Detta inkluderar, men är inte begränsat till, Europeiska unionens allmänna dataskyddsförordning (GDPR), UK GDPR som gäller i Storbritannien, California Consumer Privacy Act (CCPA) samt andra nationella eller internationella sekretesslagar som är relevanta för databehandlingsaktiviteter enligt detta Avtal. Efterlevnad av dessa lagar säkerställer att personuppgifter hanteras lagenligt, transparent och säkert.

Personuppgifter avser all information som avser en identifierad eller identifierbar fysisk person ('den registrerade'). En identifierbar person är någon som kan identifieras direkt eller indirekt, särskilt med hänvisning till identifierare såsom namn, e‑postadress, telefonnummer, platsdata, en onlineidentifierare (såsom IP‑adress eller cookies) eller andra unika faktorer som definierar deras identitet. Personuppgifter utesluter anonymiserade eller aggregerade data som inte kan användas för att identifiera en individ.

Bearbetning pågår avser varje åtgärd eller uppsättning åtgärder som utförs på personuppgifter, oavsett om det sker automatiserat eller manuellt. Detta innefattar, men är inte begränsat till, insamling, registrering, organisering, strukturering, lagring, anpassning, ändring, hämtning, åtkomst, användning, utlämning, överföring, begränsning, radering eller förstörelse av personuppgifter. Behandlingen sker i enlighet med Kundens instruktioner och tillämplig dataskyddslagstiftning.

Säkerhetsåtgärder Avser de tekniska och organisatoriska skyddsåtgärder som har införts för att säkerställa konfidentialitet, integritet och tillgänglighet för personuppgifter. Åtgärderna inkluderar kryptering, åtkomstkontroller, brandväggar, datamaskering, pseudonymisering, regelbundna säkerhetsrevisioner och mekanismer för anmälan av incidenter. Säkerhetsåtgärderna är utformade för att förhindra obehörig åtkomst, oavsiktlig förlust eller otillåten behandling av personuppgifter.

Tillsynsmyndighet avser en oberoende offentlig myndighet som ansvarar för att övervaka och verkställa efterlevnad av dataskyddslagar. Exempel inkluderar **European Data Protection Board (EDPB)** för GDPR-relaterade ärenden, **UK Information Commissioner's Office (ICO)** för UK GDPR och **California Privacy Protection Agency (CPPA)** för tillämpning av CCPA. Tillsynsmyndigheten har laglig befogenhet att utreda klagomål, utfärda vägledning och ålägga sanktioner vid utebliven efterlevnad.

Den registrerades rättigheter avser de rättigheter som ges till enskilda enligt tillämpliga dataskyddslagar. Dessa rättigheter kan omfatta rätten att få tillgång till, rätta, radera, begränsa eller överföra sina personuppgifter, samt rätten att invända mot behandling och att lämna in klagomål till en tillsynsmyndighet. Tjänsteleverantören hjälper Kunder att underlätta utövandet av dessa rättigheter när det är tillämpligt.

3. Behandling av data

Kunden kan agera som vilket av de två som helst Personuppgiftsansvarig eller en Personuppgiftsbiträde, beroende på dess relation till den registrerade och de ändamål för vilka personuppgifter behandlas. I samtliga fall, ULTEH fungerar som Databehandlare, bearbetning av personuppgifter för Kundens räkning och enligt Kundens instruktioner.

Kunden ansvarar för att säkerställa att all databehandlingsverksamhet som utförs med hjälp av våra tjänster följer Tillämpliga dataskyddslagar, inklusive, men inte begränsat till Allmänna dataskyddsförordningen (GDPR), UK GDPR, California Consumer Privacy Act (CCPA) och andra tillämpliga integritetsbestämmelser. Kunden erkänner att denne har den rättsliga grunden för att behandla personuppgifter och håller oss skadeslösa från alla krav, ansvar eller skador som uppstår till följd av underlåtenhet att uppfylla dessa rättsliga krav.

Vi kommer att behandla personuppgifter. endast i enlighet med kundens skriftliga instruktioner och endast i den utsträckning som krävs för att tillhandahålla Tjänsterna, om inte annat krävs enligt lag. Vi kommer inte att använda, lämna ut eller dela Personuppgifter för andra ändamål än de som Kunden har godkänt eller som uttryckligen anges i detta Avtal.

vid upphörande av avtalet eller på kundens begäran, vi ska, enligt Kundens beslut, antingen: (a) Ta bort säkert alla personuppgifter som behandlas enligt detta avtal, och säkerställa att inga kopior kvarstår om inte lagen kräver det, eller (b) Returnera personuppgifter till Kunden i ett strukturerat, vanligt förekommande och maskinläsbart format innan radering. Kunden måste lämna sådana begäranden inom skälig tid före uppsägning.

Om vi är lagligen skyldiga att behålla personuppgifter efter avslut kommer vi att underrätta Kunden (såvida vi inte är lagligen förbjudna att göra det) och säkerställa att sådana uppgifter förblir skyddade i enlighet med dataskyddslagstiftningen.

4. Säkerhet och konfidentialitet

ULTEH åtar sig att skydda säkerheten och konfidentialiteten för Personuppgifter bearbetat på uppdrag av Kund. För att säkerställa dataintegritet och säkerhet implementerar och underhåller vi branschledande säkerhetsåtgärder Utformat för att förhindra obehörig åtkomst, röjande, ändring eller förstörelse av personuppgifter.

Dessa Säkerhetsåtgärder inkluderar, men är inte begränsade till:

• Datakryptering: Personuppgifter krypteras både under överföring och i vila med hjälp av branschstandardiserade krypteringsprotokoll för att skydda mot obehörig åtkomst.
• Åtkomstkontroller: Strikta rutiner för åtkomsthantering säkerställer att endast auktoriserad personal har åtkomst till personuppgifter, baserat på principen om minsta privilegium.
• Nätverks- och systemsäkerhet: Brandväggar, intrångsdetekteringssystem och kontinuerlig övervakning hjälper till att förhindra obehörig åtkomst och cyberhot.
• Anonymisering och pseudonymisering av data: Där det är tillämpligt kan personuppgifter anonymiseras eller pseudonymiseras för att minska riskerna i samband med dataexponering.
• Regelbundna säkerhetsrevisioner: Vi genomför regelbundna säkerhetsbedömningar, sårbarhetstester och efterlevnadskontroller för att identifiera och minska risker.
• Plan för hantering av incidenter: Ett strukturerat protokoll för incidenthantering säkerställer att varje säkerhetsintrång snabbt identifieras, åtgärdas och rapporteras i enlighet med gällande dataskyddslagstiftning.

Varje person, inklusive anställda, entreprenörer och auktoriserade tjänsteleverantörer, som behandlar personuppgifter för vår räkning är bunden av strikta sekretessåtaganden. Detta inkluderar undertecknande av juridiskt verkställbara dokument sekretessavtal (NDA) och att följa interna riktlinjer för hantering av data för att säkerställa efterlevnad av standarder för dataskydd och säkerhet.

Vi kommer att omedelbart meddela Kunden om varje bekräftat säkerhetsintrång som kan leda till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt avslöjande eller åtkomst till personuppgifter. Sådana meddelanden kommer att innehålla detaljer om incidenten, potentiell påverkan och de åtgärder som vidtagits för att begränsa riskerna.

Vi granskar och uppdaterar kontinuerligt våra säkerhetsåtgärder i enlighet med ständigt föränderliga branschstandarder och regulatoriska krav för att säkerställa det löpande skyddet av kunddata.

5. Underbiträden

ULTEH kan interagera tredjeparts underbiträden för att hjälpa till att tillhandahålla och underhålla Tjänsterna. Dessa underleverantörer utför specifika funktioner såsom datalagring, infrastrukturhosting, analys eller kundsupport. Vi säkerställer att alla engagerade underleverantörer följer strikta dataskyddsskyldigheter motsvarande de som anges i denna DPA.

Vi upprätthåller en aktuell lista över underbiträden, inklusive deras roller och bearbetningsplatser. Kunder kan när som helst begära information om de aktuella underbiträdena genom att kontakta oss.

Kundens rättigheter och invändningar:

• Vi kommer att meddela kunder om eventuella **nya engagemang av underbiträden** åtminstone 10 dagar i förväg.
• Kunder kan inom denna 10‑dagarsperiod lämna en skriftlig invändning mot användningen av ett nytt underbiträde om de har berättigade dataskyddsbekymmer.
• När vi mottar en invändning kommer vi att inleda diskussioner i god tro för att ta itu med oro, vilket kan innebära att hitta alternativa lösningar.
• Om ingen ömsesidigt acceptabel lösning nås kan Kunden ha rätt att **avsluta de berörda Tjänsterna** i enlighet med Avtalet.

Vi förblir fullt ansvarig och juridiskt ansvarsskyldig för våra underbiträdens handlingar och se till att de följer:

• Dataskyddslagar, inklusive GDPR, CCPA och andra tillämpliga regler.
• Sekretessavtal för att skydda personuppgifter
• Säkerhetsåtgärder enligt branschstandard för att förhindra obehörig åtkomst eller missbruk av data.

Vi förbehåller oss rätten att vid behov **uppdatera eller ersätta** våra underbiträden, med vederbörlig hänsyn till kundernas oro och löpande efterlevnadsåtaganden.

6. Överföringar av personuppgifter

ULTEH kan överföra Personuppgifter utanför den Europeiska ekonomiska samarbetsområdet (EES), Storbritannien (UK) eller Schweiz för att underlätta tillhandahållandet av Tjänster. När sådana överföringar sker ser vi till att lämpliga skyddsåtgärder finns på plats. juridiska skyddsåtgärder Åtgärder finns på plats för att skydda de överförda uppgifterna i enlighet med tillämplig dataskyddslagstiftning.

Vi förlitar oss på erkända mekanismer för dataöverföring, inklusive men inte begränsat till:

• Standardavtalsklausuler (SCCs): Vi använder standardavtalsklausuler som godkänts av Europeiska kommissionen eller andra behöriga myndigheter för att säkerställa lagliga dataöverföringar.
• Kompletterande åtgärder: När det är nödvändigt tillämpar vi ytterligare tekniska, organisatoriska och avtalade skyddsåtgärder för att stärka dataskyddet.
• Bindande företagsregler (BCRs): När det är tillämpligt följer våra närstående enheter bindande företagsregler (BCR), vilket säkerställer en hög nivå av dataskydd i deras internationella verksamhet.
• Andra godkända överföringsmekanismer: Vi följer alla ytterligare ramverk, certifieringar eller juridiska instrument som erkänns för lagliga gränsöverskridande överföringar av data.

Kundens rättigheter och support: Vi åtar oss att bistå Kunden med att säkerställa efterlevnad av registrerades rättigheter enligt tillämplig dataskyddslagstiftning. Detta inkluderar, men är inte begränsat till:

• Åtkomstförfrågningar: Göra det möjligt för registrerade att få tillgång till sina personuppgifter.
• Begäranden om rättelse: Möjliggör korrigering av felaktiga eller ofullständiga uppgifter.
• Begäran om radering («rätten att bli bortglömd»): Hjälp med radering av personuppgifter på begäran, när det är lagligen tillåtet.
• Invändning och begränsning av behandlingen: Stödja registrerade i att utöva sin rätt att motsätta sig eller begränsa behandling av personuppgifter.
• Dataöverförbarhet: Underlätta överföring av personuppgifter till en annan registeransvarig, där så är tillämpligt.

Vi övervakar kontinuerligt globala integritetsregler för att säkerställa efterlevnad av krav för gränsöverskridande dataöverföringar och kommer att meddela Kunden om förändringar i den rättsliga ramen påverkar våra skyldigheter avseende databehandling.

7. Den registrerades rättigheter

ULTEH Erkänner och respekterar rättigheterna för **registrerade** enligt tillämpliga **dataskyddslagar**. Vi kommer att bistå **Kunden**, som personuppgiftsansvarig, med att besvara individers begäran angående deras **personuppgifter**.

Registrerade personer kan utöva följande rättigheter:

• Rätt till tillgång: Möjligheten att begära och få bekräftelse på huruvida deras uppgifter behandlas, samt tillgång till dessa uppgifter.
• Rätt till rättelse: Rätten att rätta eller uppdatera felaktiga eller ofullständiga personuppgifter.
• Rätt till radering ('rätten att bli glömd'): Rätten att begära radering av personuppgifter, med förbehåll för lagstadgade och avtalsenliga skyldigheter.
• Rätt att begränsa behandlingen: Möjlighet att begränsa behandlingen av personuppgifter under vissa förutsättningar.
• Rätt till dataportabilitet: Möjlighet att erhålla och överföra personuppgifter till en annan tjänsteleverantör när det är tekniskt möjligt.
• Rätt att invända: Rätten att göra invändning mot behandling baserad på berättigade intressen, direktmarknadsföring eller automatiserat beslutsfattande.
• Rätt att återkalla samtycke: Om behandlingen bygger på samtycke kan den registrerade när som helst återkalla sitt samtycke.

Kundens ansvar: Kunden, som fungerar som personuppgiftsansvarig, ansvarar för att hantera registrerades begäranden. Vi kommer att tillhandahålla rimligt stöd på begäran och säkerställa att svar hanteras snabbt och i enlighet med tillämplig lagstiftning.

Vi kommer inte att besvara en registrerads begäran direkt, om det inte krävs enligt lag eller om Kunden uttryckligen har bemyndigat oss att göra det.

8. Meddelande om dataintrång

ULTEH tar säkerheten på allvar och genomför förebyggande åtgärder för att skydda personuppgifter. Skulle det ändå inträffa ett intrång i personuppgifter kommer vi att agera snabbt och transparent.

Åtgärdsplan vid dataintrång: Om vi blir medvetna om ett bekräftat personuppgiftsintrång som kan leda till obehörig åtkomst, förlust, ändring eller utlämnande av personuppgifter, kommer vi att vidta lämpliga åtgärder.:

• Utvärdera konsekvenserna av intrånget och vidta omedelbara åtgärder för att minska riskerna.
• Meddela kunden utan oskälig dröjsmål (vanligtvis inom 48 timmar efter bekräftelsen).
• Ange detaljer, inklusive::
  • Överträdelsens natur och omfattning.
  • Typ av berörda uppgifter
  • Möjliga konsekvenser.
  • Åtgärder som vidtagits eller föreslagits för att hantera överträdelsen.
• Hjälpa Kunden att uppfylla eventuella regulatoriska skyldigheter, inklusive, när så krävs, att underrätta myndigheter och berörda personer.
• Genomför korrigerande åtgärder för att förhindra framtida överträdelser.

Kundens ansvar: Kunden ansvarar för att avgöra huruvida tillsynsmyndigheter och registrerade ska underrättas i enlighet med tillämplig dataskyddslagstiftning.

Vi kommer att dokumentera alla överträdelser och föra register över våra utredningar, våra åtgärder för att begränsa skador och våra avhjälpande åtgärder.

9. Lagring och radering av data

ULTEH behåller **personuppgifter endast så länge som är nödvändigt** för att uppfylla sina åtaganden enligt detta Avtal eller när det krävs enligt tillämplig lagstiftning.

Policy för lagring av data:

• Vi följer principerna för dataminimering och säkerställer att uppgifter endast sparas för legitima affärsändamål och efterlevnadskrav.
• Uppgifter kommer att raderas eller anonymiseras när de inte längre är nödvändiga för behandlingsändamål.
• Bevarandeperioder kan variera beroende på lagstadgade, avtalsmässiga eller regulatoriska krav.

Kundstyrd radering av data:

• Kunder kan när som helst begära **radering av sina personuppgifter**.
• Vid avslut av tjänsterna kommer vi att radera eller återlämna personuppgifter i enlighet med kundens instruktioner.
• Om ingen begäran om radering görs kommer vi att **automatiskt radera** personuppgifter inom rimlig tid, om det inte finns lagkrav att behålla dem.

Undantag från radering av data: I vissa fall kan vi komma att **behålla personuppgifter** längre än den avtalade lagringstiden, inklusive:

• För att uppfylla **rättsliga förpliktelser** (t.ex. skatte-, revisions- eller regleringskrav).
• För **berättigade intressen**, såsom bedrägeribekämpning eller säkerhetsutredningar.
• När det krävs av en bindande juridisk begäran (t.ex. ett domstolsbeslut).

Vi säkerställer att **säkra raderingsrutiner** följs, vilket förhindrar obehörig återställning eller missbruk av personuppgifter.

10. Tillämplig lag och tvistlösning

Detta tillägg för databehandling (DPA) ska styras av och tolkas i enlighet med samma **lagar och jurisdiktion** som definieras i huvudavtalet mellan ULTEH och kunden.

Process för tvistlösning: Om en tvist uppstår avseende denna DPA, samtycker båda parter till att följa en strukturerad tvistlösningsprocess, inklusive::

• Förhandling i god tro: Parterna kommer först att försöka lösa tvister genom direkta diskussioner och förhandlingar.
• Medling eller skiljeförfarande: Om förhandlingar misslyckas kan tvisten hänskjutas till medling eller skiljeförfarande, enligt vad som anges i huvudavtalet.
• Rättsliga förfaranden: Om ingen lösning nås kan tvister avgöras genom formella rättsliga förfaranden i tillämplig jurisdiktion.

Om det uppstår någon konflikt mellan denna DPA och huvudavtalet ska villkoren i denna DPA äga företräde enbart när det gäller frågor om dataskydd och därigenom säkerställa efterlevnad av tillämplig lagstiftning. Lagar om dataskydd.

11. Slutbestämmelser

Detta tillägg för databehandling utgör en integrerad del av det övergripande avtalet mellan ULTEH och Kunden. Genom att fortsätta använda Tjänsterna erkänner och accepterar Kunden villkoren i detta DPA.

Om någon bestämmelse i detta DPA bedöms vara ogiltig eller omöjlig att göra gällande, ska övriga bestämmelser fortsätta att gälla i full omfattning. Parterna samtycker till att ersätta varje ogiltig eller icke-tillämpbar bestämmelse med en som så långt som möjligt återspeglar den ursprungliga avsikten samtidigt som den är förenlig med tillämplig lagstiftning.

Ändringar och uppdateringar: Vi förbehåller oss rätten att ändra eller uppdatera detta DPA för att återspegla förändringar i tillämpliga dataskyddslagar, branschpraxis eller operativa behov. Kunder kommer att informeras om eventuella väsentliga ändringar, och fortsatt användning av Tjänsterna utgör godkännande av de uppdaterade villkoren.

Kontaktuppgifter: För frågor, funderingar eller för att begära en undertecknad kopia av denna DPA kan kunder kontakta oss på:: [email protected].