Databehandlingsaftale

1. Introduktion

ULTEH er forpligtet til at sikre privatlivets fred, sikkerhed og overholdelse af kundernes data. Denne databehandlingsaftale (DPA) skitserer betingelserne for, hvordan vi behandler, opbevarer og beskytter personoplysninger i overensstemmelse med gældende databeskyttelseslove og -regler. Denne DPA er en udvidelse af vores hovedaftale med kunder og gælder, når ULTEH behandler personoplysninger på vegne af kunden som databehandler. Den fastlægger klare ansvarsområder for begge parter vedrørende databehandling og sikrer overholdelse af relevante privatlivslove. Ved at bruge ULTEH, anerkender og accepterer kunder vilkårene i denne DPA. Hvis du har brug for en underskrevet kopi af denne aftale til overholdelsesformål, bedes du kontakte os.

2. Definitioner

Tilknyttet virksomhed henviser til enhver enhed, der direkte eller indirekte kontrollerer, kontrolleres af eller er under fælles kontrol med en part. "Kontrol" betyder direkte eller indirekte ejerskab af mindst 50% af stemmeberettigede aktier, kapitalinteresser eller lignende rettigheder i enheden, hvilket giver mulighed for at påvirke dens ledelse og politikker. Tilknyttede virksomheder anses for at være bundet af forpligtelserne og ansvarsområderne i denne DPA, i det omfang de er involveret i behandlingen af personoplysninger.

Autoriseret underbehandler betyder enhver tredjeparts leverandør, tjenesteudbyder eller kontrahent, der er engageret af tjenesteyderen til at behandle kundens personoplysninger udelukkende på vegne af og efter instruks fra tjenesteyderen. Autoriserede underbehandlere hjælper med at opfylde forpligtelser i henhold til denne DPA og hovedaftalen. Alle underbehandlere skal overholde de samme databeskyttelsesforpligtelser og opretholde sikkerhed, fortrolighed og regulatorisk overholdelse.

Kontodata henviser til alle forretningsrelaterede oplysninger, der indsamles, lagres og behandles af tjenesteyderen i forhold til dennes kontraktlige forhold med kunden. Dette inkluderer, men er ikke begrænset til, navne, e-mailadresser, telefonnumre, betalingsoplysninger og adgangsoplysninger for personer, der er autoriseret af kunden til at administrere og drive deres konto på tjenesteudbyderens platform. Kontodata bruges udelukkende til administrative, fakturerings- og supportformål.

Databeskyttelseslove omfatter alle gældende love, regler og rammer for indsamling, behandling, opbevaring, overførsel og beskyttelse af personoplysninger. Dette inkluderer, men er ikke begrænset til, den generelle forordning om databeskyttelse (GDPR) i Den Europæiske Union, UK GDPR gældende for Storbritannien, California Consumer Privacy Act (CCPA) og enhver anden national eller international privatlivslov, der er relevant for databehandlingsaktiviteter under denne aftale. Overholdelse af disse love sikrer, at personoplysninger håndteres lovligt, gennemsigtigt og sikkert.

Personoplysninger henviser til enhver information vedrørende en identificeret eller identificerbar fysisk person ("registreret"). En identificerbar person er en, der direkte eller indirekte kan identificeres, især med henvisning til identifikatorer som navn, e-mailadresse, telefonnummer, lokaliseringsdata, en online-identifikator (såsom IP-adresse eller cookies) eller andre unikke faktorer, der definerer deres identitet. Personoplysninger udelukker anonymiserede eller aggregerede data, der ikke kan bruges til at identificere en enkeltperson.

Behandling betyder enhver operation eller sæt af operationer, der udføres på personoplysninger, hvad enten det sker via automatiserede midler eller manuelt. Dette inkluderer, men er ikke begrænset til, indsamling, registrering, organisering, strukturering, opbevaring, tilpasning, ændring, genfinding, konsultation, brug, videregivelse, transmission, begrænsning, sletning eller destruktion af personoplysninger. Behandling udføres i overensstemmelse med kundens instrukser og gældende databeskyttelseslove.

Sikkerhedsforanstaltninger henviser til de tekniske og organisatoriske sikkerhedsforanstaltninger, der er implementeret for at sikre fortroligheden, integriteten og tilgængeligheden af personoplysninger. Disse foranstaltninger omfatter kryptering, adgangskontrol, firewalls, data maskering, pseudonymisering, regelmæssige sikkerhedsrevisioner og procedurer for brudmeddelelser. Sikkerhedsforanstaltninger er designet til at forhindre uautoriseret adgang, utilsigtet tab eller ulovlig behandling af personoplysninger.

Tilsynsmyndighed henviser til en uafhængig offentlig myndighed, der er ansvarlig for at overvåge og håndhæve overholdelsen af databeskyttelseslove. Eksempler omfatter **Det Europæiske Databeskyttelsesråd (EDPB)** for GDPR-relaterede spørgsmål, **Det Britiske Informationskommisærkontor (ICO)** for UK GDPR og **California Privacy Protection Agency (CPPA)** for CCPA-håndhævelse. Tilsynsmyndigheden har den juridiske beføjelse til at undersøge klager, udstede vejledning og pålægge sanktioner for manglende overholdelse.

Den registreredes rettigheder henviser til de rettigheder, der gives til enkeltpersoner i henhold til gældende databeskyttelseslove. Disse rettigheder kan omfatte retten til at få adgang til, berigtige, slette, begrænse eller overføre deres personoplysninger, samt retten til at gøre indsigelse mod behandling og indgive klager til en tilsynsmyndighed. Tjenesteyderen bistår kunder med at lette udøvelsen af disse rettigheder, når det er relevant.

3. Behandling af data

Kunden kan agere enten som Dataansvarlig eller som Databehandler, afhængigt af dets forhold til den registrerede og de formål, hvortil personoplysninger behandles. I alle tilfælde ULTEH agerer som Databehandler, og behandler personoplysninger på vegne af og efter kundens instruktioner.

Kunden er ansvarlig for at sikre, at alle databehandlingsaktiviteter, der udføres ved brug af vores tjenester, overholder Gældende databeskyttelseslove, herunder, men ikke begrænset til Den generelle forordning om databeskyttelse (GDPR), UK GDPR, California Consumer Privacy Act (CCPA) og andre gældende privatlivsregler. Kunden anerkender, at de har det juridiske grundlag for at behandle personoplysninger og holder os skadesløse for eventuelle krav, forpligtelser eller skader, der skyldes manglende overholdelse af disse juridiske krav.

Vi behandler personoplysninger kun i overensstemmelse med kundens skriftlige instruktioner og udelukkende som påkrævet for at levere tjenesterne, medmindre andet er påkrævet ved lov. Vi vil ikke bruge, videregive eller dele personoplysninger til noget formål andet end dem, der er godkendt af kunden eller udtrykkeligt beskrevet i denne aftale.

Ved opsigelse af aftalen eller kundens anmodning, skal vi, efter kundens skøn, enten: (a) Sikkert slette alle personoplysninger behandlet under denne aftale og sikre, at der ikke forbliver kopier, medmindre det kræves ved lov, eller (b) Returnere personoplysningerne til kunden i et struktureret, almindeligt anvendt og maskinlæsbart format før sletning. Kunden skal fremsætte sådanne anmodninger inden for en rimelig tidsramme før opsigelse.

Hvis vi er juridisk forpligtet til at opbevare personoplysninger ud over opsigelsen, vil vi underrette kunden (medmindre vi er juridisk forhindret i at gøre det) og sikre, at sådanne data forbliver beskyttet i overensstemmelse med databeskyttelseslove.

4. Sikkerhed og fortrolighed

ULTEH er forpligtet til at beskytte sikkerheden og fortroligheden af Personoplysninger behandlet på vegne af Kunden. For at sikre dataintegritet og sikkerhed implementerer og vedligeholder vi brancheførende sikkerhedsforanstaltninger designet til at forhindre uautoriseret adgang, videregivelse, ændring eller ødelæggelse af personoplysninger.

Disse sikkerhedsforanstaltninger omfatter, men er ikke begrænset til:

• Datakryptering: Personoplysninger krypteres både under overførsel og i hvile ved hjælp af branchestandardkrypteringsprotokoller for at beskytte mod uautoriseret adgang.
• Adgangskontrol: Strenge adgangsstyringspolitikker sikrer, at kun autoriseret personale har adgang til personoplysninger baseret på princippet om mindst mulig adgang.
• Netværks- og systemsikkerhed: Firewalls, intrusion detection-systemer og kontinuerlig overvågning hjælper med at forhindre uautoriseret adgang og cybertrusler.
• Dataanonymisering og pseudonymisering: Hvor det er relevant, kan personoplysninger anonymiseres eller pseudonymiseres for at reducere risici forbundet med dataeksponering.
• Regelmæssige sikkerhedsrevisioner: Vi udfører periodiske sikkerhedsvurderinger, sårbarhedstest og overholdelseskontroller for at identificere og afbøde risici.
• Beredskabsplan for hændelser: En struktureret protokol for hændelseshåndtering sikrer, at ethvert sikkerhedsbrud straks identificeres, afbødes og rapporteres i overensstemmelse med gældende databeskyttelseslove.

Enhver person, herunder medarbejdere, kontrahenter og autoriserede tjenesteudbydere, der behandler personoplysninger på vores vegne, er bundet af strenge fortrolighedsforpligtelser. Dette inkluderer underskrivelse af juridisk bindende fortrolighedsaftaler (NDA'er) og overholdelse af interne datahåndteringspolitikker for at sikre overholdelse af databeskyttelses- og sikkerhedsstandarder.

Vi vil straks underrette kunden om ethvert **bekræftet sikkerhedsbrud**, der kan resultere i utilsigtet eller ulovlig ødelæggelse, tab, ændring, uautoriseret videregivelse eller adgang til personoplysninger. Sådanne meddelelser vil inkludere detaljer om hændelsen, potentiel påvirkning og afhjælpende foranstaltninger, der er truffet for at afbøde risici.

Vi gennemgår og opdaterer løbende vores sikkerhedsforanstaltninger i overensstemmelse med udviklende branchestandarder og lovmæssige krav for at sikre den fortsatte beskyttelse af kundedata.

5. Underbehandlere

ULTEH kan engagere tredjeparts underbehandlere til at hjælpe med at levere og vedligeholde tjenesterne. Disse underbehandlere udfører specifikke funktioner såsom datalagring, infrastruktur-hosting, analyse eller kundesupport. Vi sikrer, at alle engagerede underbehandlere overholder strenge databeskyttelsesforpligtelser svarende til dem, der er beskrevet i denne DPA.

Vi vedligeholder en opdateret liste over underbehandlere, herunder deres roller og behandlingssteder. Kunder kan til enhver tid anmode om oplysninger om de nuværende underbehandlere ved at kontakte os.

Kunderettigheder og indsigelser:

• Vi vil underrette kunder om enhver **ny underbehandlerengagement** mindst 10 dage i forvejen.
• Kunder kan indsende en skriftlig **indsigelse** mod brugen af en ny underbehandler inden for denne 10-dages periode, hvis de har legitime **databeskyttelsesmæssige bekymringer**.
• Ved modtagelse af en indsigelse vil vi indgå i **god tro-diskussioner** for at adressere bekymringer, hvilket kan omfatte at finde alternative løsninger.
• Hvis der ikke opnås en gensidigt acceptabel løsning, kan kunden have ret til at **opsige de berørte tjenester** i overensstemmelse med aftalen.

Vi forbliver fuldt ansvarlige for vores underbehandleres handlinger og sikrer, at de overholder:

• Databeskyttelseslove, herunder GDPR, CCPA og andre gældende regler.
• Fortrolighedsaftaler for at beskytte personoplysninger.
• Branchestandardsikkerhedsforanstaltninger for at forhindre uautoriseret adgang eller misbrug af data.

Vi forbeholder os retten til at **opdatere eller udskifte** vores underbehandlere efter behov, med behørig hensyntagen til kunders bekymringer og løbende overholdelsesforpligtelser.

6. Overførsel af personoplysninger

ULTEH kan overføre Personoplysninger uden for Det Europæiske Økonomiske Samarbejdsområde (EØS), Storbritannien (UK) eller Schweiz for at lette leveringen af tjenester. Når sådanne overførsler finder sted, sikrer vi, at passende juridiske sikkerhedsforanstaltninger er på plads for at beskytte de overførte data i overensstemmelse med gældende databeskyttelseslove.

Vi benytter os af anerkendte dataoverførselsmekanismer, herunder men ikke begrænset til:

• Standardkontraktbestemmelser (SCCs): Vi inkorporerer SCCs godkendt af Europa-Kommissionen eller andre kompetente myndigheder for at sikre lovlige dataoverførsler.
• Supplerende foranstaltninger: Hvor det er nødvendigt, anvender vi yderligere tekniske, organisatoriske og kontraktlige sikkerhedsforanstaltninger for at forbedre databeskyttelsen.
• Bindende virksomhedsregler (BCRs): Når det er relevant, overholder vores tilknyttede enheder BCRs, der sikrer et højt niveau af databeskyttelse på tværs af internationale operationer.
• Andre godkendte overførselsmekanismer: Vi overholder eventuelle yderligere rammer, certificeringer eller juridiske instrumenter, der er anerkendt for lovlige grænseoverskridende dataoverførsler.

Kunderettigheder og assistance: Vi er forpligtet til at bistå kunden med at sikre overholdelse af de registreredes rettigheder i henhold til gældende databeskyttelseslove. Dette inkluderer, men er ikke begrænset til:

• Adgangsanmodninger: At give de registrerede mulighed for at få adgang til deres personoplysninger.
• Berigtigelsesanmodninger: At tillade korrektioner af unøjagtige eller ufuldstændige data.
• Sletningsanmodninger ("Retten til at blive glemt"): At bistå med sletning af personoplysninger efter anmodning, hvor det er juridisk tilladt.
• Indsigelse og begrænsning af behandling: At støtte de registrerede i udøvelsen af deres ret til at gøre indsigelse mod eller begrænse databehandlingsaktiviteter.
• Dataportabilitet: At lette overførslen af personoplysninger til en anden dataansvarlig, hvor det er relevant.

Vi overvåger løbende globale privatlivsregler for at sikre overholdelse af **krav til grænseoverskridende dataoverførsler** og vil underrette kunden, hvis ændringer i de juridiske rammer påvirker vores databehandlingsforpligtelser.

7. Den registreredes rettigheder

ULTEH anerkender og respekterer **de registreredes** rettigheder i henhold til gældende **databeskyttelseslove**. Vi vil bistå **kunden** som dataansvarlig i at besvare anmodninger fra personer vedrørende deres **personoplysninger**.

De registrerede kan udøve følgende rettigheder:

• Ret til indsigt: Muligheden for at anmode om og få bekræftelse på, om deres data behandles, samt adgang til dataene.
• Ret til berigtigelse: Retten til at korrigere eller opdatere unøjagtige eller ufuldstændige personoplysninger.
• Ret til sletning ("Retten til at blive glemt"): Retten til at anmode om sletning af personoplysninger, under hensyntagen til juridiske og kontraktlige forpligtelser.
• Ret til begrænsning af behandling: Muligheden for at begrænse behandlingen af personoplysninger under visse betingelser.
• Ret til dataportabilitet: Muligheden for at indhente og overføre personoplysninger til en anden tjenesteudbyder, hvor det er teknisk muligt.
• Ret til indsigelse: Retten til at gøre indsigelse mod behandling baseret på legitime interesser, direkte markedsføring eller automatiseret beslutningstagning.
• Ret til at trække samtykke tilbage: Hvis behandlingen er baseret på samtykke, kan den registrerede til enhver tid trække sit samtykke tilbage.

Kundens ansvar: Kunden, der fungerer som dataansvarlig, er ansvarlig for at håndtere anmodninger fra registrerede. Vi vil yde **rimelig bistand** efter anmodning og sikre, at svar håndteres **straks og i overensstemmelse** med gældende love.

Vi vil ikke besvare en anmodning fra en registreret direkte, medmindre det er juridisk påkrævet eller udtrykkeligt godkendt af kunden.

8. Meddelelse om databrud

ULTEH tager sikkerhed alvorligt og implementerer **forebyggende foranstaltninger** for at beskytte personoplysninger. I tilfælde af et **brud på persondatasikkerheden** vil vi dog handle **hurtigt og gennemsigtigt**.

Plan for håndtering af databrud: Hvis vi bliver opmærksomme på et **bekræftet brud på persondatasikkerheden**, der kan resultere i **uautoriseret adgang, tab, ændring eller videregivelse** af personoplysninger, vil vi:

• **Vurdere konsekvenserne** af bruddet og tage øjeblikkelige skridt til at afbøde risici.
• **Underrette kunden uden unødig forsinkelse** (typisk inden for 48 timer efter bekræftelse).
• Give detaljer inklusive:
  • Karakteren og omfanget af bruddet.
  • Typen af berørte data.
  • De potentielle konsekvenser.
  • Foranstaltninger, der er truffet eller foreslået for at håndtere bruddet.
• **Bistå kunden** med at opfylde eventuelle lovmæssige forpligtelser, herunder meddelelser til myndigheder og berørte registrerede, hvor det er påkrævet.
• **Implementere korrigerende handlinger** for at forhindre fremtidige brud.

Kundens ansvar: Kunden er ansvarlig for at afgøre, om tilsynsmyndigheder og registrerede skal underrettes i overensstemmelse med gældende databeskyttelseslove.

Vi dokumenterer alle brud og fører optegnelser over vores **undersøgelse, afbødende foranstaltninger og udbedringer**.

9. Dataopbevaring og -sletning

ULTEH opbevarer **personoplysninger kun så længe det er nødvendigt** for at opfylde sine forpligtelser i henhold til denne aftale eller som krævet af gældende love.

Politik for dataopbevaring:

• Vi følger **principper for dataminimering** og sikrer, at data kun opbevares til **legitime forretnings- og overholdelsesmæssige behov**.
• Data vil blive slettet eller anonymiseret, når de **ikke længere er nødvendige** til behandlingsformål.
• Opbevaringsperioder kan variere afhængigt af **juridiske, kontraktlige eller lovmæssige krav**.

Kundestyret datasletning:

• Kunder kan til enhver tid anmode om **sletning af personoplysninger**.
• Ved ophør af tjenester skal vi **slette eller returnere personoplysninger** i overensstemmelse med kundens instrukser.
• Hvis der ikke fremsættes en sletningsanmodning, vil vi **automatisk slette** personoplysninger inden for en rimelig tidsramme, medmindre det er juridisk påkrævet at opbevare dem.

Undtagelser fra datasletning: I visse tilfælde kan vi **opbevare personoplysninger** ud over den aftalte opbevaringsperiode, herunder:

• For at overholde **juridiske forpligtelser** (f.eks. skatte-, revisions- eller lovmæssige krav).
• Af **legitime interesser**, såsom forebyggelse af svindel eller sikkerhedsundersøgelser.
• Når det kræves af en **bindende juridisk anmodning** (f.eks. retskendelse).

Vi sikrer, at **sikre sletningsprocedurer** følges, hvilket forhindrer enhver uautoriseret gendannelse eller misbrug af personoplysninger.

10. Gældende lov og tvistløsning

Denne databehandlingsaftale (DPA) er underlagt og fortolkes i henhold til de **samme love og jurisdiktion** som defineret i hovedaftalen mellem ULTEH og kunden.

Tvistløsningsproces: Hvis der opstår tvister vedrørende denne DPA, er begge parter enige om at følge en struktureret løsningsproces, herunder:

• Forhandling i god tro: Parterne vil først forsøge at løse tvister gennem direkte diskussioner og forhandlinger.
• Mægling eller voldgift: Hvis forhandling mislykkes, kan tvisten henvises til mægling eller voldgift, som beskrevet i hovedaftalen.
• Retssager: Hvis der ikke opnås en løsning, kan tvister afgøres gennem formelle retssager i den gældende jurisdiktion.

I tilfælde af konflikt mellem denne DPA og hovedaftalen, **har vilkårene i denne DPA forrang** udelukkende vedrørende databeskyttelsesanliggender, hvilket sikrer overholdelse af gældende Databeskyttelseslove.

11. Afsluttende bestemmelser

Denne databehandlingsaftale udgør en integreret del af den samlede aftale mellem ULTEH og kunden. Ved fortsat brug af tjenesterne anerkender og **accepterer kunden vilkårene i denne DPA**.

Hvis en bestemmelse i denne DPA findes at være **ugyldig eller ikke kan håndhæves**, fortsætter de resterende bestemmelser med fuld gyldighed og virkning. Parterne er enige om at erstatte enhver bestemmelse, der ikke kan håndhæves, med en, der afspejler den oprindelige hensigt så tæt som muligt, samtidig med at den forbliver i overensstemmelse med gældende love.

Ændringer og opdateringer: Vi forbeholder os retten til at **ændre eller opdatere denne DPA** for at afspejle ændringer i gældende **databeskyttelseslove, branchepraksis eller operationelle behov**. Kunder vil blive underrettet om eventuelle væsentlige ændringer, og fortsat brug af tjenesterne udgør accept af de opdaterede vilkår.

Kontaktoplysninger: For eventuelle spørgsmål, bekymringer eller for at anmode om en underskrevet kopi af denne DPA kan kunder kontakte os på: [email protected].