Dodatek o zpracování dat

1. Úvod

ULTEH se zavazuje zajistit soukromí, bezpečnost a dodržování předpisů při práci s daty zákazníků. Tento Dodatek o zpracování dat (DPA) stanovuje podmínky, jak zpracováváme, ukládáme a chráníme osobní údaje v souladu s příslušnými zákony a předpisy o ochraně údajů. Tento DPA je rozšířením naší hlavní smlouvy se Zákazníky a platí, když ULTEH zpracovává osobní údaje jménem Zákazníka jako zpracovatel údajů. Stanovuje jasné odpovědnosti obou stran ohledně nakládání s údaji, zajišťující soulad s příslušnými zákony o ochraně soukromí. Používáním ULTEH, Zákazníci berou na vědomí a souhlasí s podmínkami stanovenými v tomto DPA. Pokud potřebujete podepsanou kopii této smlouvy pro účely dodržování předpisů, kontaktujte nás.

2. Definice

Přidružená osoba odkazuje na jakýkoli subjekt, který přímo nebo nepřímo ovládá, je ovládán nebo je pod společnou kontrolou se stranou. "Kontrola" znamená přímé nebo nepřímé vlastnictví alespoň 50 % hlasovacích podílů, majetkových podílů nebo podobných práv v subjektu, což dává možnost ovlivňovat jeho řízení a politiky. Přidružené osoby jsou považovány za vázané povinnostmi a odpovědnostmi uvedenými v tomto DPA v rozsahu, v jakém se zabývají zpracováním osobních údajů.

Autorizovaný dílčí zpracovatel znamená jakoukoli třetí stranu, poskytovatele služeb nebo dodavatele, kterého Poskytovatel služeb zapojil ke zpracování osobních údajů Zákazníka výhradně jménem a podle pokynů Poskytovatele služeb. Autorizovaní dílčí zpracovatelé pomáhají při plnění povinností podle tohoto DPA a hlavní Smlouvy. Všichni dílčí zpracovatelé musí dodržovat stejné povinnosti ochrany údajů, udržovat bezpečnost, důvěrnost a soulad s právními předpisy.

Data účtu odkazuje na všechny obchodní informace shromážděné, uložené a zpracované Poskytovatelem služeb v souvislosti s jeho smluvním vztahem se Zákazníkem. Patří sem mimo jiné jména, e-mailové adresy, telefonní čísla, platební údaje a přístupové údaje osob oprávněných Zákazníkem ke správě a provozu jejich účtu na platformě Poskytovatele služeb. Data účtu se používají výhradně pro administrativní, fakturační a podpůrné účely.

Zákony o ochraně údajů zahrnují všechny platné zákony, předpisy a rámce upravující shromažďování, zpracování, ukládání, přenos a ochranu osobních údajů. Patří sem mimo jiné Obecné nařízení o ochraně osobních údajů (GDPR) Evropské unie, GDPR Spojeného království platné pro Spojené království, Kalifornský zákon o ochraně soukromí spotřebitelů (CCPA) a jakékoli jiné národní nebo mezinárodní zákony o ochraně soukromí týkající se zpracovatelských činností podle této Smlouvy. Dodržování těchto zákonů zajišťuje, že osobní údaje jsou zpracovávány zákonně, transparentně a bezpečně.

Osobní údaje odkazují na jakékoli informace týkající se identifikované nebo identifikovatelné fyzické osoby ("Subjekt údajů"). Identifikovatelná osoba je taková, kterou lze přímo nebo nepřímo identifikovat, zejména odkazem na identifikátory, jako je jméno, e-mailová adresa, telefonní číslo, údaje o poloze, online identifikátor (jako IP adresa nebo cookies) nebo jiné jedinečné faktory, které definují její identitu. Osobní údaje nezahrnují anonymizovaná nebo agregovaná data, která nelze použít k identifikaci jednotlivce.

Zpracování znamená jakoukoli operaci nebo soubor operací prováděných s osobními údaji, ať už automatizovanými prostředky nebo manuálně. Patří sem mimo jiné shromažďování, zaznamenávání, organizování, strukturování, ukládání, přizpůsobování, změna, vyhledávání, konzultace, používání, zveřejňování, přenos, omezování, mazání nebo ničení osobních údajů. Zpracování se provádí v souladu s pokyny Zákazníka a platnými zákony o ochraně údajů.

Bezpečnostní opatření odkazují na technická a organizační opatření zavedená k zajištění důvěrnosti, integrity a dostupnosti osobních údajů. Tato opatření zahrnují šifrování, kontrolu přístupu, firewally, maskování dat, pseudonymizaci, pravidelné bezpečnostní audity a mechanismy pro oznamování porušení zabezpečení. Bezpečnostní opatření jsou navržena tak, aby zabránila neoprávněnému přístupu, náhodné ztrátě nebo nezákonnému zpracování osobních údajů.

Dozorový úřad odkazuje na nezávislý veřejný orgán odpovědný za sledování a prosazování dodržování zákonů o ochraně údajů. Příklady zahrnují **Evropský sbor pro ochranu údajů (EDPB)** pro záležitosti týkající se GDPR, **Úřad komisaře pro informace ve Spojeném království (ICO)** pro GDPR Spojeného království a **Kalifornskou agenturu pro ochranu soukromí (CPPA)** pro vymáhání CCPA. Dozorový úřad má zákonnou pravomoc vyšetřovat stížnosti, vydávat pokyny a ukládat sankce za nedodržení předpisů.

Práva subjektů údajů odkazují na práva udělená jednotlivcům na základě platných zákonů o ochraně údajů. Tato práva mohou zahrnovat právo na přístup, opravu, vymazání, omezení nebo přenos jejich osobních údajů, stejně jako právo namítat proti zpracování a podávat stížnosti k Dozorovému úřadu. Poskytovatel služeb pomáhá Zákazníkům při uplatňování těchto práv, pokud je to možné.

3. Zpracování údajů

Zákazník může vystupovat buď jako Správce údajů nebo Zpracovatel údajů, v závislosti na jeho vztahu se Subjektem údajů a účelech, pro které jsou osobní údaje zpracovávány. Ve všech případech ULTEH vystupuje jako Zpracovatel údajů, zpracovávající osobní údaje jménem a podle pokynů Zákazníka.

Zákazník je odpovědný za zajištění, že všechny činnosti zpracování údajů prováděné prostřednictvím našich Služeb jsou v souladu s Platnými zákony o ochraně údajů, včetně, ale neomezeno na Obecné nařízení o ochraně osobních údajů (GDPR), GDPR Spojeného království, Kalifornský zákon o ochraně soukromí spotřebitelů (CCPA) a další platné předpisy o ochraně soukromí. Zákazník potvrzuje, že má právní základ pro zpracování osobních údajů a odškodňuje nás proti jakýmkoli nárokům, závazkům nebo škodám vyplývajícím z nedodržení těchto právních požadavků.

Budeme zpracovávat osobní údaje pouze v souladu s písemnými pokyny Zákazníka a výhradně podle potřeby pro poskytování služeb, pokud zákon nestanoví jinak. Nebudeme používat, zveřejňovat ani sdílet osobní údaje pro jakýkoli jiný účel než ty, které autorizoval Zákazník nebo které jsou výslovně uvedeny v této Smlouvě.

Po ukončení Smlouvy nebo na žádost Zákazníka, budeme podle uvážení Zákazníka buď: (a) Bezpečně odstranit všechny osobní údaje zpracovávané podle této Smlouvy, zajišťující, že nezůstanou žádné kopie, pokud to nevyžaduje zákon, nebo (b) Vrátit osobní údaje Zákazníkovi ve strukturovaném, běžně používaném a strojově čitelném formátu před jejich odstraněním. Zákazník musí takové žádosti předložit v přiměřené lhůtě před ukončením.

Pokud jsme ze zákona povinni uchovávat osobní údaje i po ukončení, budeme informovat Zákazníka (pokud nám to zákon nezakazuje) a zajistíme, že takové údaje zůstanou chráněny v souladu se Zákony o ochraně údajů.

4. Zabezpečení a důvěrnost

ULTEH se zavazuje chránit bezpečnost a důvěrnost Osobních údajů zpracovávaných jménem Zákazníka. Pro zajištění integrity a bezpečnosti dat implementujeme a udržujeme špičková bezpečnostní opatření navržená k zabránění neoprávněnému přístupu, odhalení, změně nebo zničení osobních údajů.

Tato bezpečnostní opatření zahrnují mimo jiné:

• Šifrování dat: Osobní údaje jsou šifrovány jak při přenosu, tak v klidu pomocí standardních šifrovacích protokolů, chránících před neoprávněným přístupem.
• Kontroly přístupu: Přísné zásady správy přístupu zajišťují, že k osobním údajům mají přístup pouze oprávnění pracovníci na základě principu nejmenších oprávnění.
• Zabezpečení sítě a systému: Firewally, systémy pro detekci průniku a nepřetržité monitorování pomáhají předcházet neoprávněnému přístupu a kybernetickým hrozbám.
• Anonymizace a pseudonymizace dat: Pokud je to vhodné, mohou být osobní údaje anonymizovány nebo pseudonymizovány ke snížení rizik spojených s expozicí dat.
• Pravidelné bezpečnostní audity: Provádíme pravidelná hodnocení bezpečnosti, testování zranitelností a kontroly souladu k identifikaci a zmírnění rizik.
• Plán reakce na incidenty: Strukturovaný protokol reakce na incidenty zajišťuje, že jakékoli narušení bezpečnosti je promptně identifikováno, zmírněno a nahlášeno v souladu s platnými zákony o ochraně údajů.

Jakákoli osoba, včetně zaměstnanců, dodavatelů a autorizovaných poskytovatelů služeb, která zpracovává osobní údaje naším jménem, je vázána přísnými povinnostmi mlčenlivosti. To zahrnuje podpis právně vymahatelných dohod o mlčenlivosti (NDA) a dodržování interních zásad nakládání s údaji k zajištění souladu se standardy ochrany soukromí a bezpečnosti dat.

Budeme neprodleně informovat Zákazníka o jakémkoli **potvrzeném narušení bezpečnosti**, které může vést k náhodnému nebo nezákonnému zničení, ztrátě, změně, neoprávněnému odhalení nebo přístupu k osobním údajům. Takové oznámení bude obsahovat podrobnosti o incidentu, potenciálním dopadu a nápravných opatřeních přijatých ke zmírnění rizik.

Neustále přezkoumáváme a aktualizujeme naše bezpečnostní opatření v souladu s vyvíjejícími se průmyslovými standardy a regulačními požadavky k zajištění pokračující ochrany dat Zákazníka.

5. Dílčí zpracovatelé

ULTEH může zapojit dílčí zpracovatele třetích stran k pomoci při poskytování a údržbě Služeb. Tito dílčí zpracovatelé vykonávají specifické funkce, jako je ukládání dat, hostování infrastruktury, analytika nebo zákaznická podpora. Zajišťujeme, že všichni zapojení dílčí zpracovatelé dodržují přísné povinnosti ochrany údajů rovnocenné těm, které jsou uvedeny v tomto DPA.

Udržujeme aktuální seznam dílčích zpracovatelů, včetně jejich rolí a míst zpracování. Zákazníci mohou kdykoli požádat o informace o aktuálních dílčích zpracovatelích kontaktováním nás.

Práva a námitky zákazníků:

• Budeme informovat Zákazníky o jakýchkoli **nových zapojení dílčího zpracovatele** alespoň 10 dní předem.
• Zákazníci mohou podat písemnou **námitku** proti použití nového dílčího zpracovatele v této 10denní lhůtě, pokud mají legitimní **obavy o ochranu údajů**.
• Po obdržení námitky se zapojíme do **jednání v dobré víře** k řešení obav, což může zahrnovat hledání alternativních řešení.
• Pokud není dosaženo vzájemně přijatelného řešení, může mít Zákazník právo **ukončit dotčené Služby** v souladu se Smlouvou.

Zůstáváme plně odpovědní za jednání našich dílčích zpracovatelů a zajišťujeme, že dodržují:

• Zákony o ochraně údajů, včetně GDPR, CCPA a dalších platných předpisů.
• Dohody o mlčenlivosti k ochraně osobních údajů.
• Bezpečnostní opatření podle průmyslových standardů k zabránění neoprávněnému přístupu nebo zneužití dat.

Vyhrazujeme si právo **aktualizovat nebo nahradit** naše dílčí zpracovatele podle potřeby, s náležitým ohledem na obavy Zákazníků a pokračující povinnosti souladu.

6. Přenosy osobních údajů

ULTEH může přenášet Osobní údaje mimo Evropský hospodářský prostor (EHP), Spojené království (UK) nebo Švýcarsko za účelem poskytování Služeb. Když k takovým přenosům dochází, zajišťujeme, že jsou zavedeny příslušné právní záruky k ochraně přenášených údajů v souladu s platnými zákony o ochraně údajů.

Spoléháme se na uznávané mechanismy přenosu dat, včetně, ale neomezeno na:

• Standardní smluvní doložky (SSD): Začleňujeme SSD schválené Evropskou komisí nebo jinými příslušnými úřady k zajištění zákonných přenosů dat.
• Doplňková opatření: V případě potřeby uplatňujeme další technická, organizační a smluvní ochranná opatření ke zvýšení ochrany dat.
• Závazná firemní pravidla (BCR): Pokud je to aplikovatelné, naše přidružené subjekty dodržují BCR zajišťující vysokou úroveň ochrany dat v rámci mezinárodních operací.
• Jiné schválené mechanismy přenosu: Dodržujeme jakékoli další rámce, certifikace nebo právní nástroje uznávané pro zákonné přeshraniční přenosy dat.

Práva zákazníků a asistence: Zavazujeme se pomáhat Zákazníkovi při zajišťování souladu s právy subjektů údajů podle platných zákonů o ochraně údajů. To zahrnuje, ale není omezeno na::

• Žádosti o přístup: Umožnění subjektům údajů přístup k jejich osobním údajům.
• Žádosti o opravu: Umožnění oprav nepřesných nebo neúplných údajů.
• Žádosti o vymazání ("právo být zapomenut"): Pomoc při vymazání osobních údajů na žádost, je-li to právně přípustné.
• Námitky a omezení zpracování: Podpora subjektů údajů při uplatňování jejich práv na námitku nebo omezení činností zpracování údajů.
• Přenositelnost dat: Usnadnění přenosu osobních údajů jinému správci údajů, pokud je to použitelné.

Neustále sledujeme globální předpisy o ochraně soukromí, abychom zajistili soulad s **požadavky na přeshraniční přenos dat**, a budeme informovat Zákazníka, pokud změny v právním rámci ovlivní naše povinnosti při zpracování údajů.

7. Práva subjektů údajů

ULTEH uznává a respektuje práva **Subjektů údajů** podle platných **Zákonů o ochraně údajů**. Budeme pomáhat **Zákazníkovi** jako Správci údajů při odpovídání na žádosti od jednotlivců ohledně jejich **Osobních údajů**.

Subjekty údajů mohou uplatnit následující práva:

• Právo na přístup: Možnost požádat a získat potvrzení o tom, zda jsou jejich údaje zpracovávány, spolu s přístupem k údajům.
• Právo na opravu: Právo na opravu nebo aktualizaci nepřesných nebo neúplných osobních údajů.
• Právo na výmaz ("právo být zapomenut"): Právo požádat o vymazání osobních údajů, s výhradou právních a smluvních povinností.
• Právo na omezení zpracování: Možnost omezit zpracování osobních údajů za určitých podmínek.
• Právo na přenositelnost údajů: Možnost získat a přenést osobní údaje k jinému poskytovateli služeb, pokud je to technicky proveditelné.
• Právo vznést námitku: Právo vznést námitku proti zpracování na základě oprávněných zájmů, přímého marketingu nebo automatizovaného rozhodování.
• Právo odvolat souhlas: Pokud je zpracování založeno na souhlasu, může subjekt údajů souhlas kdykoli odvolat.

Povinnosti zákazníka: Zákazník, jednající jako Správce údajů, je odpovědný za vyřizování žádostí subjektů údajů. Na vyžádání poskytneme **přiměřenou pomoc**, zajišťující, že odpovědi jsou zpracovány **pohotově a v souladu** s platnými zákony.

Nebudeme odpovídat přímo na žádost subjektu údajů, pokud to není právně vyžadováno nebo výslovně autorizováno Zákazníkem.

8. Oznámení o porušení zabezpečení údajů

ULTEH bere bezpečnost vážně a implementuje **preventivní opatření** k ochraně osobních údajů. V případě **porušení zabezpečení osobních údajů** však budeme jednat **rychle a transparentně**.

Plán reakce na porušení zabezpečení údajů: Pokud se dozvíme o **potvrzeném porušení zabezpečení osobních údajů**, které může vést k **neoprávněnému přístupu, ztrátě, změně nebo odhalení** osobních údajů, budeme:

• **Vyhodnocovat dopad** porušení a podnikat okamžité kroky ke zmírnění rizik.
• **Informovat Zákazníka bez zbytečného odkladu** (obvykle do 48 hodin od potvrzení).
• Poskytovat podrobnosti včetně:
  • Povahy a rozsahu porušení.
  • Typu dotčených údajů.
  • Potenciálních důsledků.
  • Opatření přijatých nebo navrhovaných k řešení porušení.
• **Pomáhat Zákazníkovi** při plnění jakýchkoli regulačních povinností, včetně oznámení úřadům a dotčeným subjektům údajů, je-li to vyžadováno.
• **Implementovat nápravná opatření** k prevenci budoucích porušení.

Povinnosti zákazníka: Zákazník je odpovědný za určení, zda informovat regulační úřady a subjekty údajů v souladu s platnými zákony o ochraně údajů.

Budeme dokumentovat všechna porušení a vést záznamy o našem **vyšetřování, zmírňujících opatřeních a nápravných krocích**.

9. Uchovávání a mazání dat

ULTEH uchovává **osobní údaje pouze po dobu nezbytnou** k plnění svých povinností podle této Smlouvy nebo jak je vyžadováno platnými zákony.

Zásady uchovávání dat:

• Dodržujeme **principy minimalizace dat**, zajišťující, že data jsou uchovávána pouze pro **legitimní obchodní potřeby a potřeby souladu**.
• Data budou smazána nebo anonymizována, jakmile **již nejsou potřebná** pro účely zpracování.
• Doba uchovávání se může lišit v závislosti na **právních, smluvních nebo regulačních požadavcích**.

Mazání dat ovládané zákazníkem:

• Zákazníci mohou kdykoli požádat o **vymazání osobních údajů**.
• Po ukončení služeb **smažeme nebo vrátíme osobní údaje** v souladu s pokyny Zákazníka.
• Pokud není předložena žádost o vymazání, **automaticky smažeme** osobní údaje v přiměřené lhůtě, pokud není ze zákona vyžadováno jejich uchování.

Výjimky z mazání dat: V určitých případech můžeme **uchovat osobní údaje** nad rámec dohodnuté doby uchovávání, včetně:

• Splnění **právních povinností** (např. daňové, auditorské nebo regulační požadavky).
• Pro **oprávněné zájmy**, jako je prevence podvodů nebo bezpečnostní vyšetřování.
• Když jsou vyžadovány **závazným právním požadavkem** (např. soudním příkazem).

Zajišťujeme, že jsou dodržovány **bezpečné postupy mazání**, zabraňující jakémukoliv neoprávněnému obnovení nebo zneužití osobních údajů.

10. Rozhodné právo a řešení sporů

Tento Dodatek o zpracování dat (DPA) se řídí a vykládá v souladu se **stejnými zákony a jurisdikcí** jak je definováno v hlavní smlouvě mezi ULTEH a Zákazníkem.

Proces řešení sporů: Pokud vznikne jakýkoli spor ohledně tohoto DPA, obě strany souhlasí s následováním strukturovaného procesu řešení, včetně:

• Jednání v dobré víře: Strany se nejprve pokusí vyřešit spory prostřednictvím přímých diskusí a jednání.
• Mediace nebo arbitráž: Pokud jednání selže, spor může být předán mediaci nebo arbitráži, jak je uvedeno v hlavní smlouvě.
• Právní řízení: Pokud není dosaženo řešení, mohou být spory řešeny prostřednictvím formálního právního řízení v příslušné jurisdikci.

V případě jakéhokoli konfliktu mezi tímto DPA a hlavní smlouvou, **podmínky tohoto DPA mají přednost** výhradně ohledně záležitostí ochrany údajů, zajišťující soulad s platnými Zákony o ochraně údajů.

11. Závěrečná ustanovení

Tento Dodatek o zpracování dat tvoří nedílnou součást celkové smlouvy mezi ULTEH a Zákazníkem. Pokračováním v používání Služeb Zákazník bere na vědomí a **přijímá podmínky tohoto DPA**.

Pokud bude jakékoli ustanovení tohoto DPA shledáno **neplatným nebo nevymahatelným**, zbývající ustanovení zůstávají plně platná a účinná. Strany souhlasí s nahrazením jakéhokoli nevymahatelného ustanovení takovým, které co nejvíce odráží původní záměr a zároveň zůstává v souladu s platnými zákony.

Změny a aktualizace: Vyhrazujeme si právo **upravit nebo aktualizovat tento DPA** tak, aby odrážel změny v platných **Zákonech o ochraně údajů, postupech v oboru nebo provozních potřebách**. Zákazníci budou informováni o jakýchkoli podstatných změnách a pokračující používání Služeb představuje přijetí aktualizovaných podmínek.

Kontaktní informace: Pro jakékoli dotazy, obavy nebo pro vyžádání podepsané kopie tohoto DPA mohou Zákazníci kontaktovat nás na: [email protected].