Tillæg om databehandling

1. Introduktion

ULTEH er forpligtet til at sikre privatlivets fred, sikkerheden og overholdelsen af kundedata. Dette tillæg til databehandling (DPA) skitserer de vilkår, der regulerer, hvordan vi behandler, opbevarer og beskytter personoplysninger i overensstemmelse med gældende databeskyttelseslove og -forskrifter. Denne DPA er en udvidelse af vores hovedaftale med kunderne og gælder, når ULTEH Behandler personoplysninger på vegne af Kunden som databehandler. Den fastlægger klare ansvarsområder for begge parter vedrørende håndtering af data og sikrer overholdelse af gældende privatlivsregler. Ved at bruge ULTEH, Kunder erkender og accepterer de vilkår, der er fastsat i denne DPA. Hvis du har brug for en underskrevet kopi af denne aftale til compliance‑formål, kontakt os venligst.

2. Definitioner

Affiliate Henviser til enhver enhed, der direkte eller indirekte kontrollerer, er kontrolleret af eller er under fælles kontrol med en part. 'Kontrol' betyder direkte eller indirekte ejerskab af mindst 50 % af de stemmeberettigede aktier, kapitalandele eller lignende rettigheder i enheden, hvilket giver mulighed for at påvirke dens ledelse og politikker. Tilknyttede selskaber anses for at være bundet af de forpligtelser og det ansvar, der er angivet i denne DPA, i det omfang de deltager i behandlingen af personoplysninger.

Autoriseret underdatabehandler betyder enhver tredjepartsleverandør, tjenesteudbyder eller entreprenør, som tjenesteudbyderen engagerer til at behandle kundens personoplysninger udelukkende på vegne af og under tjenesteudbyderens instruktioner. Autoriserede underdatabehandlere hjælper med at opfylde forpligtelserne i henhold til denne DPA og hovedaftalen. Alle underdatabehandlere skal overholde de samme databeskyttelsesforpligtelser og opretholde sikkerhed, fortrolighed og regulatorisk overholdelse.

Kontooplysninger henviser til alle erhvervsrelaterede oplysninger, som Tjenesteudbyderen indsamler, opbevarer og behandler i forbindelse med sit kontraktlige forhold til Kunden. Dette omfatter, men er ikke begrænset til, navne, e-mailadresser, telefonnumre, betalingsoplysninger og adgangsoplysninger for personer, som Kunden har bemyndiget til at administrere og betjene deres konto på Tjenesteudbyderens platform. Kontodata bruges udelukkende til administrative, fakturerings- og supportformål.

Love om databeskyttelse omfatter alle gældende love, regler og rammer, der regulerer indsamling, behandling, opbevaring, overførsel og beskyttelse af personoplysninger. Dette omfatter, men er ikke begrænset til, EU's generelle forordning om databeskyttelse (GDPR), UK GDPR, som gælder i Det Forenede Kongerige, California Consumer Privacy Act (CCPA) og andre nationale eller internationale privatlivslove, der er relevante for databehandlingsaktiviteter i henhold til denne Aftale. Overholdelse af disse love sikrer, at personoplysninger behandles lovligt, gennemsigtigt og sikkert.

Personoplysninger henviser til enhver oplysning vedrørende en identificeret eller identificerbar fysisk person ('den registrerede'). En identificerbar person er en person, der kan identificeres direkte eller indirekte, især ved henvisning til identifikatorer som navn, e‑mailadresse, telefonnummer, lokalitetsdata, en onlineidentifikator (såsom IP‑adresse eller cookies) eller andre unikke faktorer, der definerer deres identitet. Personoplysninger omfatter ikke anonymiserede eller aggregerede data, som ikke kan bruges til at identificere en enkeltperson.

Behandling i gang betyder enhver handling eller række af handlinger, der udføres på personoplysninger, uanset om det sker automatisk eller manuelt. Dette omfatter, men er ikke begrænset til, indsamling, registrering, organisering, strukturering, lagring, tilpasning, ændring, indhentning, adgang, anvendelse, videregivelse, overførsel, begrænsning, sletning eller destruktion af personoplysninger. Behandlingen udføres i overensstemmelse med Kundens instruktioner og gældende databeskyttelseslovgivning.

Sikkerhedsforanstaltninger Henviser til de tekniske og organisatoriske sikkerhedsforanstaltninger, der er implementeret for at sikre fortrolighed, integritet og tilgængelighed af Personoplysninger. Disse foranstaltninger omfatter kryptering, adgangskontroller, firewalls, datamaskering, pseudonymisering, regelmæssige sikkerhedsrevisioner og mekanismer til underretning om brud. Sikkerhedsforanstaltningerne er designet til at forhindre uautoriseret adgang, utilsigtet tab eller ulovlig behandling af Personoplysninger.

Tilsynsmyndighed refererer til en uafhængig offentlig myndighed, der er ansvarlig for at overvåge og håndhæve overholdelse af databeskyttelseslovgivningen. Eksempler omfatter **European Data Protection Board (EDPB)** for GDPR-relaterede anliggender, **UK Information Commissioner's Office (ICO)** for UK GDPR og **California Privacy Protection Agency (CPPA)** for håndhævelse af CCPA. Tilsynsmyndigheden har den juridiske magt til at undersøge klager, udstede vejledning og pålægge sanktioner ved manglende overholdelse.

Den registreredes rettigheder henviser til de rettigheder, der gives til enkeltpersoner i henhold til gældende databeskyttelseslovgivning. Disse rettigheder kan omfatte retten til at få adgang til, berigtige, slette, begrænse eller overføre deres personoplysninger samt retten til at gøre indsigelse mod behandling og indgive klager til en tilsynsmyndighed. Tjenesteudbyderen bistår Kunderne med at lette udøvelsen af disse rettigheder, når det er relevant.

3. Behandling af data

Kunden kan fungere som enten den ene eller den anden Dataansvarlig eller en Databehandler, afhængigt af dets forhold til den registrerede og de formål, hvortil personoplysninger behandles. I alle tilfælde, ULTEH fungerer som Databehandler, behandling af personoplysninger på vegne af Kunden og i henhold til dennes instrukser.

Kunden er ansvarlig for at sikre, at alle databehandlingsaktiviteter, der udføres ved hjælp af vores Tjenester, overholder Gældende databeskyttelseslove, inklusive, men ikke begrænset til Databeskyttelsesforordningen (GDPR), UK GDPR, California Consumer Privacy Act (CCPA) og andre gældende privatlivsregler. Kunden erkender, at denne har det retlige grundlag til at behandle personoplysninger og holder os skadesløse for ethvert krav, enhver forpligtelse eller ethvert tab som følge af manglende overholdelse af disse juridiske krav.

Vi vil behandle personoplysninger. kun i overensstemmelse med kundens skriftlige instruktioner og udelukkende i det omfang, det er nødvendigt for at levere Tjenesterne, medmindre andet kræves ved lov. Vi vil ikke bruge, videregive eller dele Personoplysninger til andre formål end dem, der er godkendt af Kunden eller udtrykkeligt angivet i denne Aftale.

ved ophør af aftalen eller efter kundens anmodning, vi skal, efter Kundens skøn, enten: (a) Slet sikkert alle Personoplysninger behandlet i henhold til denne Aftale, og sikre, at der ikke findes kopier, medmindre loven kræver det, eller (b) Returner personoplysninger til Kunden i et struktureret, almindeligt anvendt og maskinlæsbart format inden sletning. Kunden skal indsende sådanne anmodninger inden for en rimelig frist før ophør.

Hvis vi juridisk er forpligtet til at opbevare Personoplysninger efter ophør, vil vi underrette Kunden (medmindre vi af loven er forhindret i det) og sikre, at sådanne oplysninger forbliver beskyttede i overensstemmelse med databeskyttelseslovgivningen.

4. Sikkerhed og fortrolighed

ULTEH forpligter sig til at beskytte sikkerheden og fortroligheden for Personoplysninger behandlet på vegne af Kunde. For at sikre dataintegritet og -sikkerhed implementerer og vedligeholder vi brancheførende sikkerhedsforanstaltninger Designet til at forhindre uautoriseret adgang, videregivelse, ændring eller ødelæggelse af personoplysninger.

Disse Sikkerhedsforanstaltninger omfatter, men er ikke begrænset til:

• Datakryptering: Personoplysninger krypteres både under overførsel og i hvile ved hjælp af krypteringsprotokoller efter branchens standarder for at beskytte mod uautoriseret adgang.
• Adgangskontrol: Strenge politikker for adgangsstyring sikrer, at kun autoriseret personale har adgang til personoplysninger på baggrund af princippet om mindst privilegium.
• Netværks- og systemsikkerhed: Firewalls, indbrudsdetekteringssystemer og kontinuerlig overvågning hjælper med at forhindre uautoriseret adgang og cybertrusler.
• Anonimisering og pseudonymisering af data: Når det er relevant, kan personoplysninger anonymiseres eller pseudonymiseres for at reducere risiciene i forbindelse med eksponering af data.
• Regelmæssige sikkerhedsrevisioner: Vi udfører periodiske sikkerhedsvurderinger, sårbarhedstest og compliance-kontroller for at identificere og mindske risici.
• Plan for håndtering af hændelser: En struktureret incidentresponsprotokol sikrer, at enhver sikkerhedsbrist hurtigt identificeres, afbødes og rapporteres i overensstemmelse med gældende databeskyttelseslovgivning.

Enhver person, herunder ansatte, entreprenører og autoriserede tjenesteudbydere, der behandler Personoplysninger på vores vegne, er bundet af strenge fortrolighedsforpligtelser. Dette omfatter underskrivelse af juridisk håndhævelige dokumenter fortrolighedsaftaler (NDA) og overholdelse af interne politikker for datahåndtering for at sikre overholdelse af standarder for databeskyttelse og -sikkerhed.

Vi vil straks underrette Kunden om enhver bekræftet sikkerhedsbrist, der kan medføre utilsigtet eller ulovlig ødelæggelse, tab, ændring, uautoriseret videregivelse eller adgang til Personoplysninger. Sådanne meddelelser vil indeholde oplysninger om hændelsen, potentiel påvirkning og de afhjælpende foranstaltninger, der er truffet for at mindske risiciene.

Vi gennemgår og opdaterer løbende vores sikkerhedsforanstaltninger i overensstemmelse med stadig udviklende industristandarder og regulatoriske krav for at sikre løbende beskyttelse af kundedata.

5. Underdatabehandlere

ULTEH kan interagere tredjeparts underdatabehandlere for at hjælpe med at levere og vedligeholde Tjenesterne. Disse underleverandører udfører specifikke funktioner såsom datalagring, infrastrukturhosting, analyser eller kundesupport. Vi sikrer, at alle engagerede underleverandører overholder strenge databeskyttelsesforpligtelser svarende til dem, der er beskrevet i denne DPA.

Vi fører en opdateret liste over underdatabehandlere, inklusive deres roller og behandlingssteder. Kunder kan til enhver tid anmode om oplysninger om de aktuelle underdatabehandlere ved at kontakte os.

Kundens rettigheder og indsigelser:

• Vi vil underrette kunderne om enhver **ny inddragelse af underdatabehandlere** mindst 10 dage i forvejen.
• Kunder kan inden for denne 10-dages periode indsende en skriftlig indsigelse mod anvendelsen af en ny underdatabehandler, hvis de har legitime bekymringer vedrørende databeskyttelse.
• Når vi modtager en indsigelse, vil vi indlede dialog i god tro for at håndtere bekymringerne, hvilket kan omfatte at finde alternative løsninger.
• Hvis der ikke opnås en gensidigt acceptabel løsning, kan Kunden have ret til at **opsige de berørte Tjenester** i overensstemmelse med Aftalen.

Vi forbliver fuldt ansvarlig og juridisk ansvarlig for vores underdatabehandleres handlinger og sikre, at de overholder:

• Love om databeskyttelse, inklusive GDPR, CCPA og andre gældende regler.
• Fortrolighedsaftaler for at beskytte personoplysninger
• Sikkerhedsforanstaltninger i overensstemmelse med branchestandarder for at forhindre uautoriseret adgang eller misbrug af data.

Vi forbeholder os ret til at **opdatere eller udskifte** vores underdatabehandlere efter behov, med behørig hensyntagen til kundernes bekymringer og løbende overholdelsesforpligtelser.

6. Overførsler af personoplysninger

ULTEH kan overføre Personoplysninger uden for den Det Europæiske Økonomiske Samarbejdsområde (EØS), Det Forenede Kongerige (UK) eller Schweiz for at lette levering af Tjenester. Når sådanne overførsler finder sted, sikrer vi, at passende sikkerhedsforanstaltninger er på plads. juridiske garantier Der er truffet foranstaltninger for at beskytte de overførte data i overensstemmelse med gældende databeskyttelseslovgivning.

Vi er afhængige af anerkendte mekanismer til dataoverførsel, herunder, men ikke begrænset til:

• Standardkontraktsklausuler (SCCs): Vi anvender standardkontraktsklausuler, som er godkendt af Europa‑Kommissionen eller andre kompetente myndigheder, for at sikre lovlige dataoverførsler.
• Supplerende foranstaltninger: Når det er nødvendigt, anvender vi yderligere tekniske, organisatoriske og kontraktmæssige sikkerhedsforanstaltninger for at styrke databeskyttelsen.
• Bindende virksomhedsregler (BCRs): Når det er relevant, overholder vores tilknyttede enheder bindende virksomhedsregler (BCR), hvilket sikrer et højt niveau af databeskyttelse i deres internationale aktiviteter.
• Andre godkendte overførselsmekanismer: Vi overholder alle yderligere rammer, certificeringer eller juridiske instrumenter, der anerkendes for lovlige grænseoverskridende dataoverførsler.

Kundens rettigheder og support: Vi forpligter os til at hjælpe Kunden med at sikre overholdelse af registreredes rettigheder i henhold til gældende databeskyttelseslove. Dette omfatter, men er ikke begrænset til:

• Adgangsanmodninger: Muliggørelse af, at registrerede kan få adgang til deres personoplysninger.
• Anmodninger om rettelse: Muliggør korrektion af unøjagtige eller ufuldstændige data.
• Anmodninger om sletning („retten til at blive glemt”): Hjælp til sletning af personoplysninger efter anmodning, hvor det er lovligt tilladt.
• Indsigelse og begrænsning af behandlingen: Understøtte registrerede i at udøve deres ret til at gøre indsigelse mod eller begrænse databehandlingsaktiviteter.
• Dataportabilitet: Muliggøre overførsel af personoplysninger til en anden dataansvarlig, hvor det er relevant.

Vi overvåger løbende globale privatlivsregler for at sikre overholdelse af kravene til grænseoverskridende dataoverførsler og vil underrette Kunden, hvis ændringer i det retlige rammeværk påvirker vores forpligtelser vedrørende databehandling.

7. Den registreredes rettigheder

ULTEH Erkender og respekterer rettighederne for **registrerede** i henhold til gældende **lovgivning om databeskyttelse**. Vi vil hjælpe **Kunden**, som dataansvarlig, med at besvare anmodninger fra enkeltpersoner vedrørende deres **personoplysninger**.

Registrerede kan udøve følgende rettigheder:

• Ret til adgang: Mulighed for at anmode om og få bekræftelse på, om deres oplysninger bliver behandlet, samt adgang til disse oplysninger.
• Ret til berigtigelse: Retten til at rette eller opdatere urigtige eller ufuldstændige personoplysninger.
• Ret til sletning ('retten til at blive glemt'): Retten til at anmode om sletning af personoplysninger, med forbehold af lovmæssige og kontraktlige forpligtelser.
• Ret til at begrænse behandlingen: Mulighed for at begrænse behandlingen af personoplysninger under visse betingelser.
• Ret til dataportabilitet: Mulighed for at erhverve og overføre personoplysninger til en anden tjenesteudbyder, hvor det er teknisk muligt.
• Ret til indsigelse: Retten til at gøre indsigelse mod behandling baseret på legitime interesser, direkte markedsføring eller automatiseret beslutningstagning.
• Ret til at trække samtykke tilbage: Hvis behandlingen er baseret på samtykke, kan den registrerede til enhver tid tilbagekalde sit samtykke.

Kundens ansvar: Kunden, der handler som dataansvarlig, er ansvarlig for håndtering af registreredes anmodninger. Vi vil på anmodning yde rimelig bistand og sikre, at svar håndteres hurtigt og i overensstemmelse med gældende lovgivning.

Vi vil ikke svare direkte på en registreredes anmodning, medmindre vi er juridisk forpligtede til det, eller Kunden udtrykkeligt har bemyndiget os dertil.

8. Underretning om databrud

ULTEH tager sikkerheden alvorligt og implementerer forebyggende foranstaltninger for at beskytte personoplysninger. I tilfælde af et brud på personoplysningerne vil vi dog handle hurtigt og transparent.

Handlingsplan ved databrud: Hvis vi bliver opmærksomme på et bekræftet brud på persondatasikkerheden, som kan resultere i uautoriseret adgang til, tab af, ændring af eller videregivelse af personoplysninger, vil vi træffe passende foranstaltninger.:

• Vurder omfanget af bruddet, og tag straks skridt til at begrænse risiciene.
• Underret kunden uden unødig forsinkelse (typisk inden for 48 timer efter bekræftelsen).
• Angiv detaljer, herunder::
  • Arten og omfanget af overtrædelsen.
  • Type af berørte data
  • Mulige konsekvenser.
  • Foranstaltninger truffet eller foreslået for at håndtere overtrædelsen.
• Bistå Kunden med at opfylde eventuelle regulatoriske forpligtelser, herunder – hvor det er nødvendigt – underretninger til myndigheder og berørte registrerede.
• Gennemfør korrigerende foranstaltninger for at forhindre fremtidige overtrædelser.

Kundens ansvar: Kunden er ansvarlig for at afgøre, om tilsynsmyndigheder og registrerede skal underrettes i overensstemmelse med gældende databeskyttelseslovgivning.

Vi vil dokumentere alle overtrædelser og føre optegnelser over vores undersøgelser, afbødende indsatser og udbedrende foranstaltninger.

9. Opbevaring og sletning af data

ULTEH opbevarer **personoplysninger kun så længe som nødvendigt** for at opfylde sine forpligtelser i henhold til denne Aftale eller i det omfang, det kræves af gældende lovgivning.

Politik for opbevaring af data:

• Vi følger principperne om dataminimering og sikrer, at data kun opbevares til legitime forretningsformål og overholdelseskrav.
• Data vil blive slettet eller anonymiseret, når de ikke længere er nødvendige til behandlingsformål.
• Opbevaringsperioder kan variere afhængigt af juridiske, kontraktmæssige eller regulatoriske krav.

Sletning af data styret af kunden:

• Kunder kan til enhver tid anmode om **sletning af personoplysninger**.
• Ved ophør af tjenesterne vil vi slette eller returnere personoplysninger i overensstemmelse med kundens instruktioner.
• Hvis der ikke fremsættes en anmodning om sletning, vil vi **automatisk slette** personoplysninger inden for en rimelig tidsramme, medmindre loven kræver, at vi opbevarer dem.

Undtagelser fra sletning af data: I visse tilfælde kan vi **opbevare personoplysninger** ud over den aftalte opbevaringsperiode, herunder:

• For at overholde **retslige forpligtelser** (f.eks. skatte-, revisions- eller reguleringskrav).
• Til **berettigede interesser**, såsom forebyggelse af svindel eller sikkerhedsundersøgelser.
• Når det kræves af en bindende juridisk anmodning (f.eks. en retskendelse).

Vi sikrer, at **sikre sletteprocedurer** overholdes, hvilket forhindrer enhver uautoriseret gendannelse eller misbrug af personoplysninger.

10. Gældende ret og tvistløsning

Denne tillægsaftale om databehandling (DPA) skal være underlagt og fortolkes i overensstemmelse med de **samme love og jurisdiktion**, som defineret i hovedaftalen mellem ULTEH og kunden.

Procedure for tvistløsning: Hvis der opstår en tvist vedrørende denne DPA, accepterer begge parter at følge en struktureret tvistløsningsproces, herunder::

• Forhandling i god tro: Parterne vil først forsøge at løse tvister gennem direkte samtaler og forhandlinger.
• Mediation eller voldgift: Hvis forhandlingerne mislykkes, kan tvisten henvises til mægling eller voldgift, som angivet i hovedaftalen.
• Juridiske processer: Hvis der ikke opnås en løsning, kan tvister afgøres ved formelle retlige procedurer i den gældende jurisdiktion.

I tilfælde af konflikt mellem denne DPA og hovedaftalen skal bestemmelserne i denne DPA alene have forrang med hensyn til databeskyttelsesspørgsmål og dermed sikre overholdelse af gældende lovgivning. Love om databeskyttelse.

11. Afsluttende bestemmelser

Denne tillægsaftale om databehandling udgør en integreret del af den overordnede aftale mellem ULTEH og Kunden. Ved fortsat brug af Tjenesterne anerkender og accepterer Kunden betingelserne i denne DPA.

Hvis nogen bestemmelse i denne DPA findes ugyldig eller uanvendelig, forbliver de resterende bestemmelser fuldt ud gældende. Parterne er enige om at erstatte enhver uanvendelig bestemmelse med en bestemmelse, der i videst muligt omfang afspejler den oprindelige hensigt og samtidig overholder gældende lovgivning.

Ændringer og opdateringer: Vi forbeholder os ret til at ændre eller opdatere denne DPA for at afspejle ændringer i gældende databeskyttelseslove, branchepraksis eller operationelle behov. Kunder vil blive underrettet om væsentlige ændringer, og fortsat brug af Tjenesterne udgør accept af de opdaterede vilkår.

Kontaktoplysninger: Hvis du har spørgsmål, bekymringer, eller hvis du ønsker at anmode om en underskrevet kopi af denne DPA, kan kunder kontakte os på:: [email protected].