Dodatek o zpracování dat

1. Zavedení

ULTEH se zavazuje k zajištění ochrany soukromí, zabezpečení a souladu zákaznických údajů s předpisy. Tento dodatek o zpracování dat (DPA) stanoví podmínky upravující, jak zpracováváme, ukládáme a chráníme osobní údaje v souladu s platnými zákony a předpisy na ochranu osobních údajů. Tato dohoda o zpracování dat (DPA) je rozšířením naší hlavní dohody se zákazníky a platí v případě, že ULTEH zpracovává osobní údaje jménem Zákazníka jako zpracovatel údajů. Stanovuje jasné povinnosti pro obě strany ohledně nakládání s údaji a zajišťuje dodržování příslušných zákonů na ochranu osobních údajů. Použitím ULTEH, Zákazníci berou na vědomí a souhlasí s podmínkami uvedenými v této dohodě o zpracování osobních údajů. Pokud potřebujete podepsanou kopii této smlouvy pro účely dodržování předpisů, kontaktujte nás.

2. Definice

Partnerský program označuje jakýkoli subjekt, který přímo či nepřímo ovládá stranu, je ovládán stranou nebo je s ní pod společnou kontrolou. „Kontrola“ znamená přímé nebo nepřímé vlastnictví alespoň 50 % hlasovacích akcií, podílů na kapitálu nebo podobných práv v subjektu, což umožňuje ovlivňovat jeho řízení a zásady. Přidružené společnosti jsou považovány za vázané povinnostmi a odpovědností uvedenými v této dohodě o zpracování osobních údajů v rozsahu, v jakém se podílejí na zpracování osobních údajů.

Autorizovaný dílčí zpracovatel znamená jakéhokoli dodavatele, poskytovatele služeb nebo smluvního partnera třetí strany, kterého si Poskytovatel služeb najme ke zpracování Osobních údajů Zákazníka výhradně jménem a podle pokynů Poskytovatele služeb. Oprávnění Dílčí zpracovatelé pomáhají s plněním povinností vyplývajících z této Dohody o zpracování osobních údajů a hlavní Smlouvy. Všichni Dílčí zpracovatelé musí dodržovat stejné povinnosti ochrany osobních údajů, zachovávat bezpečnost, důvěrnost a dodržovat předpisy.

Údaje o účtu označuje veškeré obchodní informace shromažďované, ukládané a zpracovávané Poskytovatelem služeb v souvislosti se svým smluvním vztahem se Zákazníkem. To zahrnuje mimo jiné jména, e-mailové adresy, telefonní čísla, platební údaje a přístupové údaje osob oprávněných Zákazníkem ke správě a provozování jeho účtu na platformě Poskytovatele služeb. Údaje o účtu se používají výhradně pro administrativní, fakturační a podpůrné účely.

Zákony o ochraně osobních údajů zahrnují všechny platné zákony, předpisy a rámce upravující shromažďování, zpracování, ukládání, přenos a ochranu osobních údajů. To zahrnuje mimo jiné obecné nařízení o ochraně osobních údajů (GDPR) Evropské unie, britské GDPR platné pro Spojené království, kalifornský zákon o ochraně osobních údajů (CCPA) a veškeré další národní nebo mezinárodní zákony na ochranu soukromí týkající se činností zpracování údajů podle této Smlouvy. Dodržování těchto zákonů zajišťuje, že s osobními údaji bude nakládáno zákonně, transparentně a bezpečně.

Osobní údaje označuje jakékoli informace týkající se identifikované nebo identifikovatelné fyzické osoby („subjekt údajů“). Identifikovatelná osoba je osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na identifikátory, jako je jméno, e-mailová adresa, telefonní číslo, údaje o poloze, online identifikátor (například IP adresa nebo soubory cookie) nebo jiné jedinečné faktory, které definují její identitu. Osobní údaje nezahrnují anonymizované nebo agregované údaje, které nelze použít k identifikaci jednotlivce.

Zpracování znamená jakoukoli operaci nebo soubor operací prováděných s Osobními údaji, ať už automatizovanými prostředky nebo manuálně. To zahrnuje mimo jiné shromažďování, zaznamenávání, organizování, strukturování, ukládání, přizpůsobování, změnu, vyhledávání, nahlížení, používání, zveřejňování, přenos, omezování, mazání nebo ničení Osobních údajů. Zpracování probíhá v souladu s pokyny Zákazníka a platnými zákony na ochranu osobních údajů.

Bezpečnostní opatření odkazují na technická a organizační ochranná opatření zavedená k zajištění důvěrnosti, integrity a dostupnosti osobních údajů. Tato opatření zahrnují šifrování, kontrolu přístupu, firewally, maskování dat, pseudonymizaci, pravidelné bezpečnostní audity a mechanismy oznamování narušení bezpečnosti. Bezpečnostní opatření jsou navržena tak, aby zabránila neoprávněnému přístupu, náhodné ztrátě nebo nezákonnému zpracování osobních údajů.

Dozorčí orgán označuje nezávislý veřejný orgán odpovědný za sledování a vymáhání dodržování zákonů na ochranu osobních údajů. Mezi příklady patří **Evropský sbor pro ochranu osobních údajů (EDPB)** pro záležitosti související s GDPR, **Úřad komisaře pro informace Spojeného království (ICO)** pro britské GDPR a **Kalifornská agentura pro ochranu soukromí (CPPA)** pro vymáhání CCPA. Dozorový úřad má zákonnou pravomoc vyšetřovat stížnosti, vydávat pokyny a ukládat sankce za nedodržování předpisů.

Práva subjektu údajů odkazují na práva udělená jednotlivcům podle platných zákonů o ochraně osobních údajů. Tato práva mohou zahrnovat právo na přístup k jejich osobním údajům, jejich opravu, smazání, omezení nebo přenos, jakož i právo vznést námitku proti zpracování a podat stížnost u dozorového úřadu. Poskytovatel služeb pomáhá zákazníkům s usnadněním výkonu těchto práv, pokud je to relevantní.

3. Zpracování údajů

Zákazník může fungovat buď jako Správce údajů nebo a Zpracovatel údajů, v závislosti na jeho vztahu k Subjektu údajů a účelech, pro které jsou Osobní údaje zpracovávány. Ve všech případech, ULTEH působí jako Zpracovatel údajů, zpracování Osobních údajů jménem a na základě pokynů Zákazníka.

Zákazník je zodpovědný za zajištění toho, aby veškeré činnosti zpracování údajů prováděné prostřednictvím našich Služeb byly v souladu s Platné zákony na ochranu osobních údajů, včetně, ale nikoli výhradně, Obecné nařízení o ochraně osobních údajů (GDPR), britské GDPR, kalifornský zákon o ochraně osobních údajů spotřebitelů (CCPA) a další platné předpisy o ochraně osobních údajů.. Zákazník bere na vědomí, že má právní základ pro zpracování Osobních údajů a odškodňuje nás za jakékoli nároky, závazky nebo škody vyplývající z nedodržení těchto zákonných požadavků.

Osobní údaje budeme zpracovávat pouze v souladu s písemnými pokyny Zákazníka a výhradně v rozsahu nezbytném k poskytování Služeb, pokud zákon nestanoví jinak. Osobní údaje nebudeme používat, zveřejňovat ani sdílet k žádnému jinému účelu, než k účelům schváleným Zákazníkem nebo výslovně uvedeným v této Smlouvě.

Na ukončení Smlouvy nebo na žádost Zákazníka, dle uvážení Zákazníka buď: (a) Bezpečně smazat veškeré Osobní údaje zpracovávané na základě této Smlouvy, přičemž je zajištěno, že nebudou ponechány žádné kopie, pokud to nevyžaduje zákon, nebo (b) Vrácení osobních údajů zákazníkovi ve strukturovaném, běžně používaném a strojově čitelném formátu před smazáním. Zákazník musí takové žádosti podat v přiměřené lhůtě před ukončením smlouvy.

Pokud budeme ze zákona povinni uchovávat osobní údaje i po ukončení smlouvy, budeme o tom informovat zákazníka (pokud nám to zákon nezakazuje) a zajistíme, aby tyto údaje zůstaly chráněny v souladu se zákony na ochranu osobních údajů.

4. Bezpečnost a důvěrnost

ULTEH se zavazuje chránit bezpečnost a důvěrnost Osobní údaje zpracováno jménem Zákazník. Abychom zajistili integritu a bezpečnost dat, implementujeme a udržujeme špičková bezpečnostní opatření v oboru navrženy tak, aby zabránily neoprávněnému přístupu k osobním údajům, jejich zveřejnění, změně nebo zničení.

Tyto bezpečnostní opatření zahrnují, ale nejsou omezeny na:

• Šifrování dat: Osobní údaje jsou šifrovány jak během přenosu, tak i v klidovém stavu pomocí standardních šifrovacích protokolů, které chrání před neoprávněným přístupem.
• Řízení přístupu: Přísné zásady správy přístupu zajišťují, že k osobním údajům mají přístup pouze oprávnění pracovníci na základě principu nejnižších privilegií.
• Zabezpečení sítě a systému: Brány firewall, systémy detekce narušení a nepřetržitý monitoring pomáhají předcházet neoprávněnému přístupu a kybernetickým hrozbám.
• Anonymizace a pseudonymizace dat: V případě potřeby mohou být osobní údaje anonymizovány nebo pseudonymizovány, aby se snížila rizika spojená s vystavením dat.
• Pravidelné bezpečnostní audity: Provádíme pravidelná bezpečnostní hodnocení, testování zranitelností a kontroly souladu s předpisy, abychom identifikovali a zmírnili rizika.
• Plán reakce na incidenty: Strukturovaný protokol reakce na incidenty zajišťuje, že jakékoli narušení bezpečnosti je neprodleně identifikováno, zmírněno a nahlášeno v souladu s platnými zákony na ochranu osobních údajů.

Každá osoba, včetně zaměstnanců, smluvních partnerů a oprávněných poskytovatelů služeb, která zpracovává osobní údaje naším jménem, je vázána přísné závazky mlčenlivosti. To zahrnuje podepsání právně vymahatelných dohody o mlčenlivosti (NDA) a dodržování interních zásad pro nakládání s údaji s cílem zajistit soulad s normami ochrany osobních údajů a zabezpečení.

Zákazníka neprodleně upozorníme na jakékoli **potvrzené narušení bezpečnosti**, které může vést k náhodnému nebo nezákonnému zničení, ztrátě, změně, neoprávněnému zveřejnění nebo přístupu k osobním údajům. Taková oznámení budou obsahovat podrobnosti o incidentu, možném dopadu a nápravných opatřeních přijatých ke zmírnění rizik.

Naše bezpečnostní opatření průběžně kontrolujeme a aktualizujeme v souladu s vyvíjející se oborové standardy a regulační požadavky aby byla zajištěna průběžná ochrana zákaznických dat.

5. Dílčí zpracovatelé

ULTEH může se zapojit dílčí zpracovatelé třetích stran za účelem pomoci s poskytováním a údržbou Služeb. Tito dílčí zpracovatelé vykonávají specifické funkce, jako je ukládání dat, hosting infrastruktury, analytika nebo zákaznická podpora. Zajišťujeme, aby všichni zapojení dílčí zpracovatelé dodržovali přísné povinnosti ochrany osobních údajů ekvivalentní těm, které jsou uvedeny v tomto dokumentu DPA.

Vedeme aktuální seznam dílčích zpracovatelů, včetně jejich rolí a míst zpracování. Zákazníci si mohou kdykoli vyžádat informace o aktuálních dílčích zpracovatelích kontaktováním nás.

Práva a námitky zákazníků:

• Zákazníky budeme informovat o všech **nových zapojeních subdodavatelů** alespoň 10 dní předem.
• Zákazníci mohou v této 10denní lhůtě podat písemnou **námitku** proti použití nového dílčího zpracovatele, pokud mají oprávněné **obavy týkající se ochrany osobních údajů**.
• Po obdržení námitky se zapojíme do **dobré diskuse**, abychom se s obavami vypořádali, což může zahrnovat nalezení alternativních řešení.
• Pokud nebude dosaženo vzájemně přijatelného řešení, má Zákazník právo **ukončit dotčené Služby** v souladu se Smlouvou.

Zůstáváme plně zodpovědný a odpovědný za jednání našich dílčích zpracovatelů a zajistit, aby dodržovali:

• Zákony o ochraně osobních údajů, včetně GDPR, CCPA a dalších platných předpisů.
• Dohody o mlčenlivosti k ochraně osobních údajů.
• Standardní bezpečnostní opatření v oboru aby se zabránilo neoprávněnému přístupu k datům nebo jejich zneužití.

Vyhrazujeme si právo **aktualizovat nebo nahradit** naše dílčí zpracovatele dle potřeby s náležitým přihlédnutím k obavám zákazníků a k probíhajícím povinnostem v oblasti dodržování předpisů.

6. Předávání osobních údajů

ULTEH může převést Osobní údaje mimo Evropský hospodářský prostor (EHP), Spojené království (UK) nebo Švýcarsko za účelem usnadnění poskytování Služeb. V případě takových převodů zajišťujeme, aby byly příslušné právní záruky jsou zavedeny k ochraně přenášených údajů v souladu s platnými zákony na ochranu osobních údajů.

Spoléháme na uznávané mechanismy přenosu dat, včetně mimo jiné:

• Standardní smluvní doložky (SCC): Zavádíme standardní smluvní podmínky schválené Evropskou komisí nebo jinými příslušnými orgány, abychom zajistili zákonný přenos údajů.
• Doplňková opatření: V případě potřeby uplatňujeme dodatečná technická, organizační a smluvní ochranná opatření ke zvýšení ochrany údajů.
• Závazná podniková pravidla (BCR): V příslušných případech dodržují naše přidružené subjekty závazná firemní pravidla (BCR), která zajišťují vysokou úroveň ochrany údajů v rámci mezinárodních operací.
• Další schválené mechanismy převodu: Dodržujeme veškeré další rámce, certifikace nebo právní nástroje uznávané pro zákonné přeshraniční přenosy údajů.

Práva a pomoc zákazníků: Zavazujeme se pomáhat zákazníkovi se zajištěním souladu s práva subjektů údajů podle platných zákonů o ochraně osobních údajů. To zahrnuje mimo jiné:

• Žádosti o přístup: Umožnění subjektům údajů přístup k jejich osobním údajům.
• Žádosti o opravu: Umožnění oprav nepřesných nebo neúplných údajů.
• Žádosti o výmaz („právo být zapomenut“): Pomoc s vymazáním osobních údajů na žádost, pokud je to ze zákona povoleno.
• Námitka a omezení zpracování: Podpora subjektů údajů při výkonu jejich práv vznést námitku proti činnostem zpracování údajů nebo je omezit.
• Přenositelnost dat: Usnadnění přenosu osobních údajů jinému správci údajů, je-li to relevantní.

Neustále sledujeme globální předpisy o ochraně soukromí, abychom zajistili soulad s **požadavky na přeshraniční přenos dat**, a budeme zákazníka informovat, pokud změny v právním rámci ovlivní naše povinnosti týkající se zpracování údajů.

7. Práva subjektu údajů

ULTEH uznává a respektuje práva **Subjektů údajů** podle platných **Zákonů o ochraně osobních údajů**. Jakožto Správce údajů budeme **Zákazníkovi** pomáhat s vyřizováním žádostí jednotlivců týkajících se jejich **Osobních údajů**.

Subjekty údajů mohou uplatnit následující práva:

• Právo na přístup: Možnost vyžádat si a získat potvrzení, zda jsou jejich údaje zpracovávány, a zároveň přístup k těmto údajům.
• Právo na opravu: Právo na opravu nebo aktualizaci nepřesných nebo neúplných osobních údajů.
• Právo na výmaz („právo být zapomenut“): Právo požadovat výmaz osobních údajů, s výhradou zákonných a smluvních povinností.
• Právo na omezení zpracování: Možnost omezit zpracování osobních údajů za určitých podmínek.
• Právo na přenositelnost údajů: Možnost získat a převést osobní údaje k jinému poskytovateli služeb, pokud je to technicky proveditelné.
• Právo vznést námitku: Právo vznést námitku proti zpracování na základě oprávněných zájmů, přímého marketingu nebo automatizovaného rozhodování.
• Právo na odvolání souhlasu: Pokud je zpracování založeno na souhlasu, může Subjekt údajů souhlas kdykoli odvolat.

Povinnosti zákazníka: Zákazník, jednající jako správce údajů, je zodpovědný za vyřizování žádostí subjektů údajů. Na vyžádání poskytneme **přiměřenou pomoc** a zajistíme, aby odpovědi byly vyřízeny **promptně a v souladu** s platnými zákony.

Na žádost Subjektu údajů nebudeme přímo reagovat, pokud to nebude ze zákona vyžadováno nebo pokud to Zákazník výslovně neschválí.

8. Oznámení o narušení bezpečnosti dat

ULTEH bere bezpečnost vážně a zavádí **preventivní opatření** k ochraně osobních údajů. V případě **narušení bezpečnosti osobních údajů** však budeme jednat **rychle a transparentně**.

Plán reakce na narušení dat: Pokud se dozvíme o **potvrzeném narušení bezpečnosti osobních údajů**, které může vést k **neoprávněnému přístupu k osobním údajům, jejich ztrátě, změně nebo zveřejnění**, budeme:

• **Posouďte dopad** narušení a okamžitě podnikněte kroky ke zmírnění rizik.
• **Informujte zákazníka bez zbytečného odkladu** (obvykle do 48 hodin od potvrzení).
• Uveďte podrobnosti včetně:
  • Povaha a rozsah porušení.
  • Typ ovlivněných dat.
  • Možné důsledky.
  • Opatření přijatá nebo navržená k řešení porušení.
• **Pomáhat zákazníkovi** s plněním veškerých regulačních povinností, včetně oznámení úřadům a dotčeným subjektům údajů, je-li to vyžadováno.
• **Zaveďte nápravná opatření**, abyste zabránili budoucím porušením.

Povinnosti zákazníka: Zákazník je zodpovědný za rozhodnutí, zda bude informovat regulační orgány a subjekty údajů v souladu s platnými zákony na ochranu osobních údajů.

Veškerá porušení budeme dokumentovat a budeme vést záznamy o našem **vyšetřování, zmírňování následků a nápravných opatřeních**.

9. Uchovávání a mazání dat

ULTEH uchovává **Osobní údaje pouze po dobu nezbytně nutnou** k plnění svých závazků vyplývajících z této Smlouvy nebo po dobu vyžadovanou platnými právními předpisy.

Zásady uchovávání údajů:

• Řídíme se **zásadami minimalizace dat**, které zajišťují, aby data byla uchovávána pouze pro **legitimní obchodní potřeby a potřeby dodržování předpisů**.
• Data budou smazána nebo anonymizována, jakmile **již nebudou** potřebná pro účely zpracování.
• Doby uchovávání se mohou lišit v závislosti na **právních, smluvních nebo regulačních požadavcích**.

Mazání dat řízené zákazníkem:

• Zákazníci mohou kdykoli požádat o **smazání osobních údajů**.
• Po ukončení služeb **smažeme nebo vrátíme osobní údaje** v souladu s pokyny zákazníka.
• Pokud nebude podána žádná žádost o smazání, osobní údaje **automaticky smažeme** v přiměřené lhůtě, pokud není ze zákona povinné je uchovávat.

Výjimky z mazání dat: V určitých případech můžeme **uchovávat osobní údaje** i po uplynutí sjednané doby uchovávání, včetně:

• Pro splnění **zákonných povinností** (např. daňových, auditorských nebo regulačních požadavků).
• Pro **oprávněné zájmy**, jako je prevence podvodů nebo bezpečnostní vyšetřování.
• Pokud to vyžaduje **závazná právní žádost** (např. soudní příkaz).

Zajišťujeme dodržování **bezpečných postupů mazání**, které zabraňují neoprávněnému obnovení nebo zneužití osobních údajů.

10. Rozhodné právo a řešení sporů

Tento dodatek o zpracování osobních údajů (DPA) se řídí a vykládá v souladu se **stejnými zákony a jurisdikcí**, jaké jsou definovány v hlavní smlouvě mezi ULTEH a Zákazník.

Proces řešení sporů: Pokud by vznikl jakýkoli spor ohledně této Dohody o zpracování osobních údajů, obě strany se dohodly, že budou postupovat podle strukturovaného procesu řešení, včetně:

• Vyjednávání v dobré víře: Strany se nejprve pokusí vyřešit spory přímými rozhovory a jednáním.
• Mediace nebo arbitráž: Pokud jednání selže, může být spor postoupen mediaci nebo arbitráži, jak je uvedeno v hlavní dohodě.
• Soudní řízení: Pokud nedojde k žádnému řešení, lze spory řešit formálním soudním řízením v příslušné jurisdikci.

V případě jakéhokoli rozporu mezi touto dohodou o zpracování osobních údajů a hlavní smlouvou **mají přednost podmínky této dohody o zpracování osobních údajů**, a to výhradně v otázkách ochrany osobních údajů, přičemž je zajištěn soulad s příslušnými Zákony o ochraně osobních údajů.

11. Závěrečná ustanovení

Tento dodatek o zpracování dat tvoří nedílnou součást celkové dohody mezi ULTEH a Zákazník. Pokračováním v používání Služeb Zákazník bere na vědomí a **souhlasí s podmínkami této Dohody o zpracování osobních údajů**.

Pokud se jakékoli ustanovení této DPA ukáže jako **neplatné nebo nevymahatelné**, zbývající ustanovení zůstanou v plné platnosti a účinnosti. Strany se dohodly, že nahradí jakékoli nevymahatelné ustanovení ustanovením, které co nejvěrněji odráží původní záměr a zároveň zůstane v souladu s platnými právními předpisy.

Změny a aktualizace: Vyhrazujeme si právo **upravit nebo aktualizovat tuto dohodu o ochraně osobních údajů** tak, aby odrážela změny v platných **zákonech o ochraně osobních údajů, postupech v oboru nebo provozních potřebách**. Zákazníci budou informováni o všech podstatných změnách a další používání Služeb představuje souhlas s aktualizovanými podmínkami.

Kontaktní informace: V případě jakýchkoli dotazů, nejasností nebo potřeby podepsané kopie této DPA nás zákazníci mohou kontaktovat na adrese: [email protected].