Dodatek o zpracování údajů

1. Úvod

ULTEH je odhodláno zajistit soukromí, bezpečnost a soulad zákaznických údajů. Tento dodatek k zpracování údajů (DPA) vymezuje podmínky, které upravují, jak zpracováváme, ukládáme a chráníme osobní údaje v souladu s příslušnými zákony a předpisy o ochraně osobních údajů. Tento DPA je rozšířením naší hlavní smlouvy se zákazníky a platí, když ULTEH Zpracovává osobní údaje jménem Zákazníka jako zpracovatel. Stanovuje jasné povinnosti obou stran v souvislosti se zpracováním údajů a zajišťuje dodržování příslušných zákonů o ochraně soukromí. Použitím ULTEH, Zákazníci potvrzují a souhlasí s podmínkami uvedenými v této DPA. Pokud pro účely souladu potřebujete podepsanou kopii této smlouvy, kontaktujte nás prosím.

2. Definice

Affiliate Označuje jakýkoli subjekt, který přímo nebo nepřímo ovládá, je ovládán nebo je ve společné kontrole s některou stranou. 'Kontrola' znamená přímé nebo nepřímé vlastnictví nejméně 50 % hlasovacích akcií, kapitálových podílů nebo podobných práv v subjektu, což dává možnost ovlivňovat jeho vedení a zásady. Přidružené subjekty se považují za vázané povinnostmi a odpovědnostmi uvedenými v tomto DPA v rozsahu, v jakém se podílejí na zpracování osobních údajů.

Autorizovaný podzpracovatel označuje jakéhokoli třetího dodavatele, poskytovatele služeb nebo zhotovitele, kterého Služba pověřila zpracováním Osobních údajů Zákazníka výhradně jménem a na pokyn Služby. Autorizovaní subzpracovatelé pomáhají plnit povinnosti podle tohoto DPA a hlavní Smlouvy. Všichni subzpracovatelé musí dodržovat stejné povinnosti v ochraně údajů a zachovávat bezpečnost, důvěrnost a soulad s předpisy.

Údaje účtu označuje veškeré obchodně související informace, které Poskytovatel služeb shromažďuje, uchovává a zpracovává ve vztahu ke své smluvní povinnosti vůči Zákazníkovi. To zahrnuje, nikoli však výlučně, jména, e-mailové adresy, telefonní čísla, platební údaje a přístupové údaje osob, které Zákazník oprávnil k správě a provozu svého účtu na platformě Poskytovatele služeb. Údaje o účtu jsou používány výhradně pro administrativní, fakturační a podpůrné účely.

Zákony o ochraně údajů zahrnují všechny příslušné zákony, předpisy a rámce, které upravují shromažďování, zpracování, uchovávání, přenos a ochranu osobních údajů. To zahrnuje mimo jiné Obecné nařízení o ochraně osobních údajů (GDPR) Evropské unie, UK GDPR platné ve Spojeném království, zákon California Consumer Privacy Act (CCPA) a jakékoli jiné národní či mezinárodní právní předpisy o ochraně soukromí, které se vztahují na činnosti zpracování údajů podle této smlouvy. Dodržování těchto zákonů zajišťuje, že osobní údaje jsou zpracovávány zákonně, transparentně a bezpečně.

Osobní údaje odkazuje na jakékoli informace týkající se identifikované nebo identifikovatelné fyzické osoby ('subjekt údajů'). Identifikovatelná osoba je ta, kterou lze přímo nebo nepřímo identifikovat, zejména s odkazem na identifikátory jako jméno, e‑mailová adresa, telefonní číslo, údaje o poloze, online identifikátor (např. IP adresa nebo cookies) nebo jiné jedinečné faktory, které určují její totožnost. Osobní údaje nezahrnují anonymizovaná nebo agregovaná data, která nelze použít k identifikaci jednotlivce.

Probíhá zpracování označuje jakoukoli operaci nebo soubor operací prováděných s osobními údaji, ať už automatizovaně či ručně. Zahrnuje mimo jiné, avšak nikoli výlučně, shromažďování, zaznamenávání, organizaci, strukturování, ukládání, přizpůsobování, změnu, získávání, konzultaci, použití, zveřejnění, přenos, omezení, vymazání nebo zničení osobních údajů. Zpracování se provádí v souladu s pokyny Zákazníka a platnými zákony o ochraně osobních údajů.

Bezpečnostní opatření Odkazují na technická a organizační opatření přijatá k zajištění důvěrnosti, integrity a dostupnosti Osobních údajů. Mezi tato opatření patří šifrování, kontroly přístupu, firewally, maskování dat, pseudonymizace, pravidelné bezpečnostní audity a mechanismy oznamování narušení. Bezpečnostní opatření jsou navržena tak, aby zabránila neoprávněnému přístupu, náhodné ztrátě nebo protiprávnímu zpracování Osobních údajů.

Dohledový orgán odkazuje na nezávislý veřejný orgán odpovědný za monitorování a vymáhání souladu se zákony o ochraně osobních údajů. Příklady zahrnují **European Data Protection Board (EDPB)** pro záležitosti související s GDPR, **UK Information Commissioner's Office (ICO)** pro britský UK GDPR a **California Privacy Protection Agency (CPPA)** pro vymáhání CCPA. Dohledový úřad má právní pravomoc vyšetřovat stížnosti, vydávat pokyny a ukládat sankce za nedodržování.

Práva subjektu údajů týkají se práv udělených jednotlivcům podle platných zákonů o ochraně osobních údajů. Tato práva mohou zahrnovat právo na přístup, opravu, výmaz, omezení nebo přenos jejich osobních údajů, stejně jako právo vznést námitku proti zpracování a podat stížnost u dozorového úřadu. Poskytovatel služeb pomáhá Zákazníkům usnadnit uplatňování těchto práv, pokud je to relevantní.

3. Zpracování dat

Zákazník může fungovat buď jako Správce osobních údajů nebo Zpracovatel údajů, v závislosti na jeho vztahu k subjektu údajů a na účelech, pro které jsou osobní údaje zpracovávány. Ve všech případech, ULTEH funguje jako Zpracovatel údajů, zpracování osobních údajů jménem a podle pokynů Zákazníka.

Zákazník je odpovědný za zajištění toho, aby všechny činnosti zpracování údajů prováděné s využitím našich Služeb byly v souladu s Uplatnitelné zákony o ochraně osobních údajů, včetně, avšak nikoli omezeno na Obecné nařízení o ochraně osobních údajů (GDPR), UK GDPR, zákon o ochraně soukromí spotřebitelů v Kalifornii (CCPA) a další příslušné předpisy o ochraně soukromí. Zákazník potvrzuje, že má právní důvod pro zpracování osobních údajů, a zprošťuje nás odpovědnosti za jakékoli nároky, závazky nebo škody vzniklé v důsledku nesplnění těchto zákonných požadavků.

Budeme zpracovávat osobní údaje. pouze v souladu s písemnými pokyny zákazníka a výhradně v rozsahu nezbytném k poskytování Služeb, pokud zákon nestanoví jinak. Nebudeme používat, zveřejňovat ani sdílet Osobní údaje k jiným účelům, než které autorizoval Zákazník nebo které jsou výslovně uvedeny v této Smlouvě.

při ukončení smlouvy nebo na žádost zákazníka, my, dle uvážení zákazníka, buď: (a) Bezpečně odstranit veškeré Osobní Údaje zpracované podle této Smlouvy, přičemž je zajištěno, že nezůstanou žádné kopie, pokud to zákon nevyžaduje, nebo (b) Vrátit osobní údaje zákazníkovi ve strukturovaném, běžně používaném a strojově čitelném formátu před smazáním. Zákazník musí takové požadavky podat v přiměřené lhůtě před ukončením.

Jestliže jsme právně povinni uchovávat Osobní údaje i po ukončení, oznámíme to Zákazníkovi (pokud nám to zákon nebrání) a zajistíme, aby takové údaje zůstaly chráněny v souladu se zákony o ochraně údajů.

4. Bezpečnost a důvěrnost

ULTEH zavazuje se chránit bezpečnost a důvěrnost Osobní údaje zpracováno jménem Zákazník. Abychom zajistili integritu a bezpečnost dat, implementujeme a udržujeme v odvětví vedoucí bezpečnostní opatření Navrženo tak, aby zabránilo neoprávněnému přístupu, zveřejnění, změně nebo zničení osobních údajů.

Tyto Bezpečnostní opatření zahrnují, ale nejsou omezeny na:

• Šifrování dat: Osobní údaje jsou zašifrovány jak při přenosu, tak v klidovém stavu pomocí průmyslově standardních šifrovacích protokolů, aby byly chráněny proti neoprávněnému přístupu.
• Řízení přístupu: Přísné zásady řízení přístupu zajišťují, že pouze autorizovaný personál má přístup k osobním údajům na základě principu nejmenších oprávnění.
• Zabezpečení sítí a systémů: Firewally, systémy detekce průniků a nepřetržité monitorování pomáhají zabránit neoprávněnému přístupu a kybernetickým hrozbám.
• Anonymizace a pseudonymizace dat: Tam, kde je to relevantní, mohou být osobní údaje anonymizovány nebo pseudonymizovány, aby se snížila rizika spojená s vystavením údajů.
• Pravidelné bezpečnostní audity: Provádíme pravidelné bezpečnostní posouzení, testování zranitelností a kontroly souladu, abychom identifikovali a zmírnili rizika.
• Plán reakce na incidenty: Strukturovaný protokol pro reakci na incidenty zajišťuje, že jakékoli narušení bezpečnosti je rychle zjištěno, zmírněno a nahlášeno v souladu s příslušnými zákony o ochraně osobních údajů.

Jakákoli osoba, včetně zaměstnanců, dodavatelů a oprávněných poskytovatelů služeb, která zpracovává Osobní údaje jménem naší společnosti, je vázána přísné povinnosti zachování důvěrnosti. To zahrnuje podepsání právně vymáhatelných dokumentů dohody o mlčenlivosti (NDA) a dodržování interních zásad nakládání s daty za účelem zajištění souladu se standardy ochrany osobních údajů a bezpečnosti.

Bezodkladně oznámíme Zákazníkovi jakékoli potvrzené narušení bezpečnosti, které by mohlo vést k náhodnému či nezákonnému zničení, ztrátě, změně, neoprávněnému zveřejnění nebo přístupu k Osobním údajům. Taková oznámení budou obsahovat podrobnosti o incidentu, možném dopadu a nápravných opatřeních přijatých ke zmírnění rizik.

Průběžně přezkoumáváme a aktualizujeme naše bezpečnostní opatření v souladu s vyvíjející se průmyslové standardy a regulační požadavky za účelem zajištění průběžné ochrany údajů zákazníka.

5. Subzpracovatelé

ULTEH může vstoupit do interakce podzpracovatelé třetích stran za účelem pomoci při poskytování a udržování Služeb. Tito podzpracovatelé vykonávají konkrétní funkce, jako je ukládání dat, hostování infrastruktury, analytika nebo zákaznická podpora. Zajišťujeme, že všichni zapojení podzpracovatelé dodržují přísné povinnosti v oblasti ochrany údajů rovnocenné těm, které jsou uvedeny v této DPA.

Vedejeme aktuální seznam sub‑zpracovatelů, včetně jejich rolí a míst zpracování. Zákazníci si mohou kdykoli vyžádat informace o aktuálních sub‑zpracovatelích tím, že nás kontaktují.

Práva a námitky zákazníka:

• Budeme informovat zákazníky o jakémkoli **novém zapojení podzpracovatelů** alespoň 10 dní předem.
• Zákazníci mohou během této 10denní lhůty písemně vznést námitku proti použití nového subprocesoru, pokud mají oprávněné obavy ohledně ochrany údajů.
• Po obdržení námitky zahájíme jednání v dobré víře, abychom řešili obavy, což může zahrnovat hledání alternativních řešení.
• Pokud nebude dosaženo vzájemně přijatelného řešení, může mít Zákazník právo **ukončit dotčené služby** v souladu s Dohodou.

Zůstáváme plně odpovědný a právně odpovědný za jednání našich subdodavatelů a zajistit, aby dodržovali:

• Zákony o ochraně údajů, včetně GDPR, CCPA a dalších platných předpisů.
• Dohody o mlčenlivosti k ochraně osobních údajů
• Bezpečnostní opatření odpovídající průmyslovým standardům aby se zabránilo neoprávněnému přístupu nebo zneužití dat.

Vyhrazujeme si právo v případě potřeby naše sub‑zpracovatele **aktualizovat nebo nahradit**, přičemž řádně zohledníme obavy zákazníků a průběžné povinnosti v oblasti souladu.

6. Přenosy osobních údajů

ULTEH může přenést Osobní údaje mimo Evropský hospodářský prostor (EHP), Spojené království (UK) nebo Švýcarsko za účelem usnadnění poskytování Služeb. Když k takovým přenosům dojde, zajišťujeme, že jsou přijata vhodná ochranná opatření. právní záruky Jsou zavedeny opatření k ochraně přenesených údajů v souladu s platnými zákony o ochraně osobních údajů.

Spoléháme se na uznávané mechanismy přenosu dat, včetně, ale nikoli výlučně:

• Standardní smluvní doložky (SCCs): Používáme standardní smluvní doložky schválené Evropskou komisí nebo jinými příslušnými orgány, abychom zajistili zákonné přenosy údajů.
• Doplňková opatření: V případě potřeby uplatňujeme dodatečná technická, organizační a smluvní opatření k posílení ochrany osobních údajů.
• Závazná firemní pravidla (BCRs): V případě potřeby se naše přidružené subjekty řídí závaznými vnitropodnikovými pravidly (BCR), čímž zajišťují vysokou úroveň ochrany údajů v rámci mezinárodních operací.
• Jiné schválené mechanismy přenosu: Dodržujeme veškeré další rámce, certifikace nebo právní nástroje, které jsou uznány pro zákonné přeshraniční přenosy údajů.

Práva zákazníka a podpora: Zavazujeme se pomáhat Zákazníkovi při zajišťování souladu s práva subjektů údajů podle příslušných zákonů o ochraně osobních údajů. To zahrnuje, ale není omezeno na:

• Žádosti o přístup: Umožnění subjektům údajů přístupu k jejich osobním údajům.
• Žádosti o opravu: Umožnění oprav nepřesných nebo neúplných údajů.
• Žádosti o vymazání („právo být zapomenut”): Pomoc při vymazání osobních údajů na žádost, pokud to zákon umožňuje.
• Námitka a omezení zpracování: Podpora subjektů údajů při uplatňování jejich práva vznést námitku proti zpracování nebo požádat o jeho omezení.
• Přenositelnost údajů: Usnadnění přenosu osobních údajů jinému správci údajů, pokud je to relevantní.

Nepřetržitě sledujeme globální předpisy v oblasti ochrany soukromí, abychom zajistili soulad s požadavky na přeshraniční přenosy údajů, a v případě, že změny v právním rámci ovlivní naše povinnosti při zpracování údajů, o tom informujeme Zákazníka.

7. Práva subjektu údajů

ULTEH Uznává a respektuje práva **subjektů údajů** podle platných **zákonů o ochraně osobních údajů**. Pomůžeme **Zákazníkovi**, jako správci údajů, reagovat na žádosti fyzických osob týkající se jejich **osobních údajů**.

Subjekty údajů mohou uplatnit následující práva:

• Právo na přístup: Možnost požádat a získat potvrzení, zda jsou jejich údaje zpracovávány, spolu s přístupem k těmto údajům.
• Právo na opravu: Právo opravit nebo aktualizovat nepřesné nebo neúplné osobní údaje.
• Právo na výmaz ('právo být zapomenut'): Právo požádat o vymazání osobních údajů, s výhradou právních a smluvních povinností.
• Právo na omezení zpracování: Možnost omezit zpracování osobních údajů za určitých podmínek.
• Právo na přenositelnost údajů: Možnost získat a přenést osobní údaje k jinému poskytovateli služeb, pokud je to technicky proveditelné.
• Právo vznést námitku: Právo vznést námitku proti zpracování založenému na oprávněných zájmech, přímému marketingu nebo automatizovanému rozhodování.
• Právo odvolat souhlas: Pokud je zpracování založeno na souhlasu, dotčená osoba může svůj souhlas kdykoli odvolat.

Povinnosti zákazníka: Zákazník, jednající jako správce údajů, je odpovědný za vyřizování žádostí subjektů údajů. Na vyžádání poskytneme přiměřenou asistenci a zajistíme, aby byly odpovědi vyřizovány rychle a v souladu s platnými právními předpisy.

Nebudeme přímo odpovídat na žádost subjektu údajů, pokud to není vyžadováno zákonem nebo pokud nás k tomu zákazník výslovně neautorizuje.

8. Oznámení o narušení dat

ULTEH bere bezpečnost vážně a zavádí preventivní opatření k ochraně osobních údajů. V případě úniku či narušení osobních údajů však budeme jednat rychle a transparentně.

Plán reakce na únik dat: Pokud se dozvíme o potvrzeném narušení ochrany osobních údajů, které by mohlo vést k neoprávněnému přístupu, ztrátě, změně nebo zveřejnění osobních údajů, přijmeme vhodná opatření.:

• Zhodnoťte dopad narušení a okamžitě podnikněte kroky k omezení rizik.
• Oznamte zákazníkovi bez zbytečného odkladu (obvykle do 48 hodin od potvrzení).
• Uveďte podrobnosti včetně::
  • Povaha a rozsah porušení.
  • Druh postižených údajů
  • Možné důsledky.
  • Opatření přijatá nebo navrhovaná k řešení porušení.
• Pomáhat Zákazníkovi při plnění jakýchkoli regulačních povinností, včetně — je‑li to nutné — oznámení orgánům a dotčeným subjektům údajů.
• Proveďte nápravná opatření, aby se zabránilo budoucím porušením.

Povinnosti zákazníka: Zákazník je odpovědný za zjištění, zda je třeba v souladu s platnými zákony o ochraně osobních údajů oznámit dozorové orgány a subjekt osobních údajů.

Zdokumentujeme všechna porušení a budeme vést záznamy o našich šetřeních, opatřeních ke zmírnění škod a nápravných opatřeních.

9. Ukládání a mazání dat

ULTEH uchovává **osobní údaje pouze po dobu nezbytnou** k plnění svých povinností podle této Smlouvy nebo pokud to vyžadují příslušné právní předpisy.

Zásady uchovávání dat:

• Řídíme se zásadami minimalizace údajů a zajišťujeme, aby byly údaje uchovávány pouze pro legitimní obchodní účely a požadavky na shodu.
• Data budou smazána nebo anonymizována, jakmile již nebudou nezbytná pro účely zpracování.
• Doba uchovávání se může lišit v závislosti na právních, smluvních nebo regulačních požadavcích.

Odstraňování dat řízené zákazníkem:

• Zákazníci mohou kdykoli požádat o **vymazání osobních údajů**.
• Po ukončení poskytování služeb odstraníme nebo vrátíme osobní údaje v souladu s pokyny zákazníka.
• Pokud nebude podán požadavek na vymazání, osobní údaje **automaticky odstraníme** v přiměřené lhůtě, pokud nebudeme zákonně povinni je uchovat.

Výjimky při mazání dat: V určitých případech můžeme **uchovávat osobní údaje** déle než dohodnutou dobu uchovávání, včetně:

• Abychom vyhověli **právním povinnostem** (např. daňové, auditorské nebo regulatorní požadavky).
• Pro **oprávněné zájmy**, například prevenci podvodů nebo bezpečnostní vyšetřování.
• Když to vyžaduje závazná právní žádost (např. soudní příkaz).

Zajišťujeme dodržování **postupů bezpečného mazání**, čímž bráníme neoprávněnému obnovení nebo zneužití osobních údajů.

10. Rozhodné právo a řešení sporů

Tento Dodatek k zpracování údajů (DPA) se bude řídit a vykládat v souladu se **stejnými zákony a jurisdikcí**, jak je definováno v hlavní smlouvě mezi ULTEH a zákazník.

Proces řešení sporů: Pokud nastane jakýkoli spor týkající se této DPA, obě strany souhlasí s tím, že budou postupovat podle strukturovaného procesu řešení, který zahrnuje::

• Vyjednávání v dobré víře: Strany se nejprve pokusí vyřešit spory prostřednictvím přímých jednání a vyjednávání.
• Mediace nebo rozhodčí řízení: Pokud jednání selžou, může být spor postoupen k mediaci nebo k arbitráži, jak je uvedeno v hlavní smlouvě.
• Právní řízení: Pokud se nedosáhne dohody, spory mohou být řešeny prostřednictvím formálního soudního řízení v příslušné jurisdikci.

V případě jakéhokoli rozporu mezi touto DPA a hlavní smlouvou budou mít ustanovení této DPA přednost výlučně v otázkách ochrany osobních údajů, čímž bude zajištěno dodržování příslušných právních předpisů. Zákony o ochraně osobních údajů.

11. Závěrečná ustanovení

Tento dodatek pro zpracování údajů tvoří nedílnou součást celkové smlouvy mezi ULTEH a Zákazník. Pokračováním v používání Služeb Zákazník potvrzuje a přijímá podmínky této DPA.

Pokud bude jakékoli ustanovení tohoto DPA shledáno neplatným nebo nevynutitelným, zbývající ustanovení zůstanou v plné platnosti. Strany souhlasí s tím, že jakékoli nevynutitelné ustanovení nahradí ustanovením, které co nejvěrněji odráží původní záměr a zároveň je v souladu s příslušnými právními předpisy.

Změny a aktualizace: Vyhrazujeme si právo upravit nebo aktualizovat tuto DPA tak, aby odrážela změny v příslušných právních předpisech o ochraně osobních údajů, v odvětvových postupech nebo v provozních potřebách. Zákazníci budou o jakýchkoli zásadních změnách informováni a pokračující využívání Služeb znamená přijetí aktualizovaných podmínek.

Kontaktní údaje: V případě jakýchkoli dotazů, obav nebo pokud si přejete požádat o podepsanou kopii tohoto DPA, mohou nás zákazníci kontaktovat na:: [email protected].