Tillæg om databehandling

1. Indledning

ULTEH er forpligtet til at sikre privatlivets fred, sikkerhed og overholdelse af regler for kundedata. Dette databehandlingstillæg (DPA) beskriver de vilkår, der gælder for, hvordan vi behandler, opbevarer og beskytter personoplysninger i overensstemmelse med gældende databeskyttelseslove og -regler. Denne databeskyttelsesaftale er en udvidelse af vores hovedaftale med kunder og gælder, når ULTEH behandler personoplysninger på vegne af Kunden som databehandler. Den fastlægger et klart ansvar for begge parter vedrørende datahåndtering og sikrer overholdelse af relevante persondatalove. Ved at bruge ULTEH, Kunder anerkender og accepterer vilkårene i denne databehandleraftale. Hvis du har brug for en underskrevet kopi af denne aftale til overholdelse af reglerne, bedes du kontakte os.

2. Definitioner

Tilknyttet henviser til enhver enhed, der direkte eller indirekte kontrollerer, kontrolleres af eller er under fælles kontrol med en part. "Kontrol" betyder direkte eller indirekte ejerskab af mindst 50 % af stemmeberettigede aktier, kapitalandele eller lignende rettigheder i enheden, hvilket giver mulighed for at påvirke dens ledelse og politikker. Tilknyttede selskaber anses for at være bundet af de forpligtelser og ansvar, der er beskrevet i denne databehandleraftale, i det omfang de beskæftiger sig med behandling af personoplysninger.

Autoriseret underdatabehandler betyder enhver tredjepartsleverandør, tjenesteudbyder eller entreprenør, der er engageret af tjenesteudbyderen til at behandle kundens personoplysninger udelukkende på vegne af og efter tjenesteudbyderens instruktioner. Autoriserede underdatabehandlere bistår med at opfylde forpligtelser i henhold til denne databeskyttelsesaftale og hovedaftalen. Alle underdatabehandlere skal overholde de samme databeskyttelsesforpligtelser og opretholde sikkerhed, fortrolighed og overholdelse af lovgivningen.

Kontodata henviser til alle forretningsrelaterede oplysninger, der indsamles, lagres og behandles af tjenesteudbyderen i forbindelse med dens kontraktforhold med kunden. Dette inkluderer, men er ikke begrænset til, navne, e-mailadresser, telefonnumre, betalingsoplysninger og adgangsoplysninger for personer, der er autoriseret af kunden til at administrere og drive deres konto på tjenesteudbyderens platform. Kontodata bruges udelukkende til administrative, fakturerings- og supportformål.

Databeskyttelseslovgivning omfatter alle gældende love, regler og rammer, der regulerer indsamling, behandling, opbevaring, overførsel og beskyttelse af personoplysninger. Dette omfatter, men er ikke begrænset til, den generelle forordning om databeskyttelse (GDPR) i Den Europæiske Union, den britiske GDPR, der gælder for Storbritannien, California Consumer Privacy Act (CCPA) og alle andre nationale eller internationale privatlivslove, der er relevante for databehandlingsaktiviteter i henhold til denne aftale. Overholdelse af disse love sikrer, at personoplysninger håndteres lovligt, transparent og sikkert.

Personlige data henviser til enhver information vedrørende en identificeret eller identificerbar fysisk person ("den registrerede"). En identificerbar person er en person, der kan identificeres direkte eller indirekte, især ved henvisning til identifikatorer såsom navn, e-mailadresse, telefonnummer, lokationsdata, en online identifikator (såsom IP-adresse eller cookies) eller andre unikke faktorer, der definerer deres identitet. Personoplysninger udelukker anonymiserede eller aggregerede data, der ikke kan bruges til at identificere en person.

Forarbejdning betyder enhver handling eller række af handlinger, der udføres på personoplysninger, uanset om det er automatiseret eller manuelt. Dette omfatter, men er ikke begrænset til, indsamling, registrering, organisering, strukturering, lagring, tilpasning, ændring, hentning, søgning, brug, videregivelse, transmission, begrænsning, sletning eller destruktion af personoplysninger. Behandling udføres i overensstemmelse med kundens instruktioner og gældende databeskyttelseslovgivning.

Sikkerhedsforanstaltninger henviser til de tekniske og organisatoriske sikkerhedsforanstaltninger, der er implementeret for at sikre fortroligheden, integriteten og tilgængeligheden af personoplysninger. Disse foranstaltninger omfatter kryptering, adgangskontrol, firewalls, datamaskering, pseudonymisering, regelmæssige sikkerhedsrevisioner og mekanismer til underretning om brud. Sikkerhedsforanstaltninger er udformet til at forhindre uautoriseret adgang, utilsigtet tab eller ulovlig behandling af personoplysninger.

Tilsynsmyndighed henviser til en uafhængig offentlig myndighed, der er ansvarlig for at overvåge og håndhæve overholdelsen af databeskyttelseslovgivningen. Eksempler omfatter **Det Europæiske Databeskyttelsesråd (EDPB)** for GDPR-relaterede spørgsmål, **Det britiske Informationskommissærkontor (ICO)** for den britiske GDPR og **Det Californiske Privacy Protection Agency (CPPA)** for håndhævelse af CCPA. Tilsynsmyndigheden har den juridiske beføjelse til at undersøge klager, udstede vejledning og pålægge sanktioner for manglende overholdelse.

Rettigheder for den registrerede henviser til de rettigheder, der er givet til enkeltpersoner i henhold til gældende databeskyttelseslovgivning. Disse rettigheder kan omfatte retten til at få adgang til, berigtige, slette, begrænse eller overføre deres personoplysninger, samt retten til at gøre indsigelse mod behandling og indgive klager til en tilsynsmyndighed. Tjenesteudbyderen hjælper kunder med at fremme udøvelsen af disse rettigheder, når det er relevant.

3. Behandling af data

Kunden kan fungere som enten en Dataansvarlig eller en Databehandler, afhængigt af dens forhold til den registrerede og de formål, hvortil personoplysningerne behandles. I alle tilfælde, ULTEH fungerer som en Databehandler, behandling af personoplysninger på vegne af og efter kundens instruktioner.

Kunden er ansvarlig for at sikre, at alle databehandlingsaktiviteter, der udføres ved hjælp af vores tjenester, er i overensstemmelse med Gældende databeskyttelseslove, inklusive, men ikke begrænset til, Den generelle forordning om databeskyttelse (GDPR), den britiske GDPR, California Consumer Privacy Act (CCPA) og andre gældende regler om beskyttelse af personlige oplysninger. Kunden anerkender, at denne har det juridiske grundlag for at behandle personoplysninger, og skadesløsholder os for ethvert krav, ansvar eller skader, der måtte opstå som følge af manglende overholdelse af disse juridiske krav.

Vi behandler personoplysninger kun i overensstemmelse med kundens skriftlige instruktioner og udelukkende som påkrævet for at levere Tjenesterne, medmindre andet er påkrævet ved lov. Vi vil ikke bruge, videregive eller dele Personoplysninger til andre formål end dem, der er godkendt af Kunden eller udtrykkeligt beskrevet i denne Aftale.

På opsigelse af aftalen eller kundens anmodning, Vi skal, efter kundens skøn, enten: (a) Slet sikkert alle personoplysninger, der behandles i henhold til denne aftale, og som sikrer, at der ikke bevares kopier, medmindre det er påkrævet ved lov, eller (b) Returner personoplysningerne til Kunden i et struktureret, almindeligt anvendt og maskinlæsbart format før sletning. Kunden skal fremsætte sådanne anmodninger inden for en rimelig tidsramme før opsigelse.

Hvis vi er juridisk forpligtet til at opbevare personoplysninger efter ophør af aftalen, vil vi underrette kunden (medmindre det er juridisk forbudt) og sikre, at sådanne data forbliver beskyttet i overensstemmelse med databeskyttelseslovgivningen.

4. Sikkerhed og fortrolighed

ULTEH er forpligtet til at beskytte sikkerheden og fortroligheden af Personlige data behandlet på vegne af Kunde. For at sikre dataintegritet og -sikkerhed implementerer og vedligeholder vi brancheførende sikkerhedsforanstaltninger designet til at forhindre uautoriseret adgang, videregivelse, ændring eller ødelæggelse af personoplysninger.

Disse sikkerhedsforanstaltninger inkluderer, men er ikke begrænset til:

• Datakryptering: Personoplysninger krypteres både under overførsel og i hviletilstand ved hjælp af branchestandardiserede krypteringsprotokoller for at beskytte mod uautoriseret adgang.
• Adgangskontroller: Strenge adgangsstyringspolitikker sikrer, at kun autoriseret personale har adgang til personoplysninger baseret på princippet om mindst mulig privilegium.
• Netværks- og systemsikkerhed: Firewalls, indbrudsdetekteringssystemer og kontinuerlig overvågning hjælper med at forhindre uautoriseret adgang og cybertrusler.
• Dataanonymisering og pseudonymisering: Hvor det er relevant, kan personoplysninger anonymiseres eller pseudonymiseres for at reducere risici forbundet med dataeksponering.
• Regelmæssige sikkerhedsrevisioner: Vi udfører periodiske sikkerhedsvurderinger, sårbarhedstest og compliance-kontroller for at identificere og afbøde risici.
• Plan for håndtering af hændelser: En struktureret protokol for håndtering af hændelser sikrer, at ethvert sikkerhedsbrud straks identificeres, afbødes og rapporteres i overensstemmelse med gældende databeskyttelseslovgivning.

Enhver person, herunder medarbejdere, leverandører og autoriserede tjenesteudbydere, der behandler personoplysninger på vores vegne, er bundet af strenge fortrolighedsforpligtelser. Dette inkluderer underskrift, der er juridisk bindende fortrolighedsaftaler (NDA'er) og overholdelse af interne datahåndteringspolitikker for at sikre overholdelse af standarder for databeskyttelse og -sikkerhed.

Vi vil straks underrette Kunden om ethvert **bekræftet sikkerhedsbrud**, der kan resultere i utilsigtet eller ulovlig ødelæggelse, tab, ændring, uautoriseret videregivelse af eller adgang til Personoplysninger. Sådanne underretninger vil indeholde detaljer om hændelsen, potentiel indvirkning og afhjælpende foranstaltninger, der er truffet for at mindske risici.

Vi gennemgår og opdaterer løbende vores sikkerhedsforanstaltninger i overensstemmelse med udviklende branchestandarder og lovgivningsmæssige krav for at sikre den løbende beskyttelse af kundedata.

5. Underdatabehandlere

ULTEH kan engagere sig tredjeparts underdatabehandlere at bistå med at levere og vedligeholde Tjenesterne. Disse Underdatabehandlere udfører specifikke funktioner såsom datalagring, infrastrukturhosting, analyser eller kundesupport. Vi sikrer, at alle engagerede Underdatabehandlere overholder strenge databeskyttelsesforpligtelser svarende til dem, der er beskrevet i denne databeskyttelsesaftale.

Vi fører en opdateret liste over underdatabehandlere, herunder deres roller og behandlingssteder. Kunder kan til enhver tid anmode om oplysninger om de nuværende underdatabehandlere ved at kontakte os.

Kunderettigheder og indsigelser:

• Vi vil underrette kunder om eventuelle **nye underdatabehandlerengagementer** mindst 10 dage i forvejen.
• Kunder kan indsende en skriftlig **indsigelse** mod brugen af en ny underdatabehandler inden for denne 10-dages periode, hvis de har legitime **hensyn til databeskyttelse**.
• Når vi modtager en indsigelse, vil vi indgå i **drøftelser i god tro** for at imødekomme bekymringerne, hvilket kan omfatte at finde alternative løsninger.
• Hvis der ikke opnås en gensidigt acceptabel løsning, kan Kunden have ret til at **opsige de berørte Tjenester** i overensstemmelse med Aftalen.

Vi forbliver fuldt ansvarlig og forpligtende for vores underdatabehandleres handlinger og sikre, at de overholder:

• Databeskyttelseslovgivning, herunder GDPR, CCPA og andre gældende regler.
• Fortrolighedsaftaler at beskytte personoplysninger.
• Sikkerhedsforanstaltninger i branchens standard for at forhindre uautoriseret adgang eller misbrug af data.

Vi forbeholder os retten til at **opdatere eller udskifte** vores underdatabehandlere efter behov, under behørig hensyntagen til kundens bekymringer og løbende compliance-forpligtelser.

6. Overførsler af personoplysninger

ULTEH kan overføres Personlige data uden for Det Europæiske Økonomiske Samarbejdsområde (EØS), Storbritannien eller Schweiz for at fremme levering af tjenester. Når sådanne overførsler finder sted, sikrer vi, at passende juridiske sikkerhedsforanstaltninger er på plads for at beskytte de overførte data i overensstemmelse med gældende databeskyttelseslovgivning.

Vi benytter anerkendte dataoverførselsmekanismer, herunder, men ikke begrænset til:

• Standardkontraktbestemmelser (SCC'er): Vi inkorporerer standardkontraktsklausuler (SCC'er) godkendt af Europa-Kommissionen eller andre kompetente myndigheder for at sikre lovlige dataoverførsler.
• Supplerende foranstaltninger: Hvor det er nødvendigt, anvender vi yderligere tekniske, organisatoriske og kontraktlige sikkerhedsforanstaltninger for at forbedre databeskyttelsen.
• Bindende virksomhedsregler (BCR'er): Når det er relevant, overholder vores tilknyttede enheder bindende selskabsregler, der sikrer et højt niveau af databeskyttelse på tværs af internationale operationer.
• Andre godkendte overførselsmekanismer: Vi overholder alle yderligere rammer, certificeringer eller juridiske instrumenter, der er anerkendt for lovlige grænseoverskridende dataoverførsler.

Kunderettigheder og assistance: Vi er forpligtet til at hjælpe kunden med at sikre overholdelse af de registreredes rettigheder i henhold til gældende databeskyttelseslovgivning. Dette omfatter, men er ikke begrænset til:

• Adgangsanmodninger: Give registrerede adgang til deres personoplysninger.
• Anmodninger om berigtigelse: Tillader rettelser af unøjagtige eller ufuldstændige data.
• Anmodninger om sletning ("Ret til at blive glemt"): Bistand med sletning af personoplysninger efter anmodning, hvor det er juridisk tilladt.
• Indsigelse og begrænsning af behandling: Støtte til registrerede i at udøve deres ret til at gøre indsigelse mod eller begrænse databehandlingsaktiviteter.
• Dataportabilitet: Fremme af overførsel af personoplysninger til en anden dataansvarlig, hvor det er relevant.

Vi overvåger løbende globale privatlivsregler for at sikre overholdelse af **krav til grænseoverskridende dataoverførsel** og vil underrette kunden, hvis ændringer i den juridiske ramme påvirker vores databehandlingsforpligtelser.

7. Rettigheder for den registrerede

ULTEH anerkender og respekterer de registreredes rettigheder i henhold til gældende databeskyttelseslove. Vi vil bistå kunden som dataansvarlig med at besvare anmodninger fra enkeltpersoner vedrørende deres personoplysninger.

Registrerede kan udøve følgende rettigheder:

• Ret til adgang: Muligheden for at anmode om og få bekræftelse på, om deres data behandles, samt adgang til dataene.
• Ret til berigtigelse: Retten til at rette eller opdatere urigtige eller ufuldstændige personoplysninger.
• Ret til sletning ("Ret til at blive glemt"): Retten til at anmode om sletning af personoplysninger, med forbehold for juridiske og kontraktlige forpligtelser.
• Ret til at begrænse behandling: Muligheden for at begrænse behandlingen af personoplysninger under visse betingelser.
• Ret til dataportabilitet: Muligheden for at indhente og overføre personoplysninger til en anden tjenesteudbyder, hvor det er teknisk muligt.
• Ret til at gøre indsigelse: Retten til at gøre indsigelse mod behandling baseret på legitime interesser, direkte markedsføring eller automatiseret beslutningstagning.
• Ret til at trække samtykke tilbage: Hvis behandlingen er baseret på samtykke, kan den registrerede til enhver tid trække samtykket tilbage.

Kundens ansvar: Kunden, der fungerer som dataansvarlig, er ansvarlig for at håndtere anmodninger fra den registrerede. Vi yder **rimelig bistand** efter anmodning og sikrer, at svar behandles **hurtigt og i overensstemmelse** med gældende love.

Vi svarer ikke direkte på en anmodning fra en registreret person, medmindre det er juridisk påkrævet eller udtrykkeligt godkendt af kunden.

8. Meddelelse om databrud

ULTEH tager sikkerhed alvorligt og implementerer **forebyggende foranstaltninger** for at beskytte personoplysninger. I tilfælde af et **brud på persondatasikkerheden** vil vi dog handle **hurtigt og transparent**.

Plan for beredskab ved databrud: Hvis vi bliver opmærksomme på et **bekræftet brud på persondatasikkerheden**, der kan resultere i **uautoriseret adgang, tab, ændring eller videregivelse** af personoplysninger, vil vi:

• **Vurder virkningen** af bruddet, og tag øjeblikkelige skridt til at afbøde risici.**
• **Underret kunden uden unødig forsinkelse** (typisk inden for 48 timer efter bekræftelse).**
• Angiv detaljer, herunder:
  • Overtrædelsens art og omfang.
  • Den type data, der er berørt.
  • De potentielle konsekvenser.
  • Foranstaltninger truffet eller foreslået for at afhjælpe bruddet.
• **Hjælpe kunden** med at opfylde eventuelle lovgivningsmæssige forpligtelser, herunder underretninger til myndigheder og berørte registrerede, hvor det er nødvendigt.
• **Implementer korrigerende handlinger** for at forhindre fremtidige brud.

Kundens ansvar: Kunden er ansvarlig for at afgøre, om tilsynsmyndigheder og registrerede skal underrettes i overensstemmelse med gældende databeskyttelseslovgivning.

Vi skal dokumentere alle brud og føre fortegnelser over vores **undersøgelse, afbødende tiltag og afhjælpende foranstaltninger**.

9. Dataopbevaring og -sletning

ULTEH opbevarer **kun personoplysninger så længe det er nødvendigt** for at opfylde sine forpligtelser i henhold til denne aftale eller som påkrævet i henhold til gældende love.

Politik for dataopbevaring:

• Vi følger **principperne for dataminimering** og sikrer, at data kun opbevares til **legitime forretnings- og compliancebehov**.
• Data vil blive slettet eller anonymiseret, når de **ikke længere er nødvendige** til behandlingsformål.
• Opbevaringsperioder kan variere afhængigt af **juridiske, kontraktlige eller lovgivningsmæssige krav**.

Kundekontrolleret datasletning:

• Kunder kan til enhver tid anmode om **sletning af personoplysninger**.
• Ved ophør af tjenesterne **sletter eller returnerer vi personoplysninger** i overensstemmelse med kundens instruktioner.
• Hvis der ikke fremsættes nogen anmodning om sletning, vil vi **automatisk slette** personoplysninger inden for en rimelig tidsramme, medmindre det er lovmæssigt påkrævet at opbevare dem.

Undtagelser fra datasletning: I visse tilfælde kan vi **opbevare personoplysninger** ud over den aftalte opbevaringsperiode, herunder:

• For at overholde **juridiske forpligtelser** (f.eks. skatte-, revisions- eller lovgivningsmæssige krav).
• Af **legitime interesser**, såsom forebyggelse af svindel eller sikkerhedsundersøgelser.
• Når det kræves af en **bindende juridisk anmodning** (f.eks. en retskendelse).

Vi sørger for, at **sikre sletningsprocedurer** følges, hvilket forhindrer uautoriseret gendannelse eller misbrug af personoplysninger.

10. Gældende lov og tvistbilæggelse

Dette databehandlingstillæg (DPA) skal være underlagt og fortolkes i overensstemmelse med de **samme love og jurisdiktion** som defineret i hovedaftalen mellem ULTEH og Kunden.

Tvistbilæggelsesproces: Hvis der opstår en tvist vedrørende denne databeskyttelsesaftale, accepterer begge parter at følge en struktureret løsningsproces, herunder:

• Forhandling i god tro: Parterne vil først forsøge at løse tvister gennem direkte drøftelser og forhandlinger.
• Mægling eller voldgift: Hvis forhandlingerne mislykkes, kan tvisten henvises til mægling eller voldgift, som beskrevet i hovedaftalen.
• Retssager: Hvis der ikke opnås en løsning, kan tvister afgøres gennem formelle retssager i den relevante jurisdiktion.

I tilfælde af enhver konflikt mellem denne databeskyttelsesaftale og hovedaftalen, **skal vilkårene i denne databeskyttelsesaftale have forrang** udelukkende i forbindelse med databeskyttelsesspørgsmål, idet der sikres overholdelse af gældende regler. Databeskyttelseslovgivning.

11. Slutbestemmelser

Dette databehandlingstillæg udgør en integreret del af den overordnede aftale mellem ULTEH og Kunden. Ved fortsat at bruge Tjenesterne anerkender og **accepterer Kunden vilkårene i denne DPA**.

Hvis en bestemmelse i denne databehandleraftale findes at være **ugyldig eller ikke-håndhævelig**, skal de resterende bestemmelser fortsat have fuld kraft og virkning. Parterne accepterer at erstatte enhver ikke-håndhævelig bestemmelse med en, der afspejler den oprindelige hensigt så præcist som muligt, samtidig med at den overholder gældende lovgivning.

Ændringer og opdateringer: Vi forbeholder os retten til at **ændre eller opdatere denne databeskyttelsesaftale** for at afspejle ændringer i gældende **databeskyttelseslove, branchepraksis eller driftsmæssige behov**. Kunder vil blive underrettet om eventuelle væsentlige ændringer, og fortsat brug af Tjenesterne udgør accept af de opdaterede vilkår.

Kontaktoplysninger: Ved spørgsmål, bekymringer eller for at anmode om en underskrevet kopi af denne databehandleraftale kan kunder kontakte os på: [email protected].