数据处理附录

1. 介绍

ULTEH 致力于确保客户数据的隐私、安全和合规性。本数据处理附录 (DPA) 概述了我们如何根据适用的数据保护法律法规处理、存储和保护个人数据的条款。 本 DPA 是我们与客户的主要协议的延伸，适用于 ULTEH 作为数据处理者，代表客户处理个人数据。它明确了双方在数据处理方面的责任，确保遵守相关的隐私法。 通过使用 ULTEH, 客户确认并同意本 DPA 中规定的条款。如果您出于合规目的需要本协议的签署副本，请联系我们。

2. 定义

附属机构 指直接或间接控制、受控制或与一方受共同控制的任何实体。“控制”是指直接或间接拥有该实体至少 50% 的投票股份、股权或类似权利，从而能够影响该实体的管理和政策。关联方在参与个人数据处理的范围内，被视为受本 DPA 中概述的义务和责任的约束。

授权子处理者 指服务提供商聘用的任何第三方供应商、服务提供商或承包商，其代表服务提供商并严格按照服务提供商的指示处理客户的个人数据。授权子处理者协助履行本数据处理协议 (DPA) 和主协议规定的义务。所有子处理者必须遵守相同的数据保护义务，维护安全性、保密性和法规遵从性。

账户数据 指服务提供商与其客户之间合同关系相关的所有业务相关信息。包括但不限于客户授权在服务提供商平台上管理和操作其账户的个人的姓名、电子邮件地址、电话号码、付款详情和访问凭证。账户数据仅用于管理、计费和支持目的。

数据保护法 涵盖所有适用于个人数据收集、处理、存储、传输和保护的法律、法规和框架。这包括但不限于欧盟的《通用数据保护条例》(GDPR)、适用于英国的《英国通用数据保护条例》(GDPR)、《加州消费者隐私法案》(CCPA) 以及与本协议项下数据处理活动相关的任何其他国家或国际隐私法律。遵守这些法律可确保个人数据得到合法、透明和安全的处理。

个人资料 指与已识别或可识别的自然人（“数据主体”）相关的任何信息。可识别的个人是指可直接或间接识别的个人，特别是通过参考姓名、电子邮件地址、电话号码、位置数据、在线标识符（例如 IP 地址或 Cookie）或其他定义其身份的独特因素等标识符。个人数据不包括无法用于识别个人的匿名数据或汇总数据。

加工 指对个人数据执行的任何操作或操作集合，无论是通过自动化方式还是手动方式。这包括但不限于收集、记录、组织、构建、存储、调整、修改、检索、查阅、使用、披露、传输、限制、删除或销毁个人数据。处理将根据客户的指示和适用的数据保护法进行。

安全措施 指为确保个人数据的机密性、完整性和可用性而实施的技术和组织保障措施。这些措施包括加密、访问控制、防火墙、数据屏蔽、假名化、定期安全审计和违规通知机制。安全措施旨在防止未经授权的访问、意外丢失或非法处理个人数据。

监管机构 指负责监督和执行数据保护法合规性的独立公共机构。例如，负责 GDPR 相关事务的**欧洲数据保护委员会 (EDPB)**、负责英国 GDPR 的**英国信息专员办公室 (ICO)**，以及负责 CCPA 执法的**加州隐私保护局 (CPPA)**。监管机构拥有调查投诉、发布指导意见以及对违规行为处以罚款的法定权力。

数据主体权利 指根据适用数据保护法赋予个人的权利。这些权利可能包括访问、更正、删除、限制或转移其个人数据的权利，以及反对处理和向监管机构提出投诉的权利。服务提供商将在适用的情况下协助客户行使这些权利。

3. 数据处理

客户 可以充当 数据控制者 或 数据处理器, 取决于其与数据主体的关系以及处理个人数据的目的。 在所有情况下， ULTEH 充当 数据处理器, 代表客户并根据客户的指示处理个人数据。

客户有责任确保使用我们的服务进行的所有数据处理活动符合 适用的数据保护法, 包括但不限于 通用数据保护条例 (GDPR)、英国 GDPR、加州消费者隐私法案 (CCPA) 以及其他适用的隐私法规. 客户承认其具有处理个人数据的合法依据，并对我们因不遵守这些法律要求而导致的任何索赔、责任或损害进行赔偿。

我们将处理个人数据 仅按照客户的书面指示 且仅用于提供服务所需，除非法律另有规定。除客户授权或本协议明确规定外，我们不会将个人数据用于任何其他目的。

之上 终止协议或客户要求, 我们将根据客户的判断，: (a) 安全删除 根据本协议处理的所有个人数据，确保除非法律要求，否则不保留任何副本，或 (b) 归还个人资料 在删除之前，以结构化、常用且机器可读的格式向客户提供。客户必须在终止前的合理时间内提供此类请求。

如果法律要求我们在终止后保留个人数据，我们将通知客户（除非法律禁止这样做）并确保此类数据继续受到数据保护法的保护。

4. 安全和保密

ULTEH 致力于保护 个人资料 代表处理 顾客. 为了确保数据的完整性和安全性，我们实施并维护 行业领先的安全措施 旨在防止未经授权的访问、披露、更改或破坏个人数据。

这些 安全措施 包括但不限于:

• 数据加密: 个人数据在传输和静止时均使用行业标准加密协议进行加密，以防止未经授权的访问。
• 访问控制: 严格的访问管理政策确保只有授权人员才能根据最小特权原则访问个人数据。
• 网络和系统安全: 防火墙、入侵检测系统和持续监控有助于防止未经授权的访问和网络威胁。
• 数据匿名化和假名化: 在适用的情况下，个人数据可能会被匿名化或假名化，以降低与数据泄露相关的风险。
• 定期安全审计: 我们定期进行安全评估、漏洞测试和合规性检查，以识别和减轻风险。
• 事件响应计划: 结构化的事件响应协议可确保及时识别、缓解和报告任何安全漏洞，并遵守适用的数据保护法。

任何代表我们处理个人数据的个人（包括员工、承包商和授权服务提供商）均须遵守 严格的保密义务. 这包括签署具有法律效力的 保密协议（NDA） 并遵守内部数据处理政策，以确保符合数据隐私和安全标准。

我们将及时通知客户任何可能导致意外或非法破坏、丢失、更改、未经授权披露或访问个人数据的**已确认的安全漏洞**。此类通知将包含事件详情、潜在影响以及为降低风险而采取的补救措施。

我们不断审查和更新我们的安全措施，以符合 不断发展的行业标准和监管要求 确保持续保护客户数据。

5. 子处理器

ULTEH 可能会参与 第三方子处理器 协助提供和维护服务。这些子处理者执行特定功能，例如数据存储、基础设施托管、分析或客户支持。我们确保所有参与的子处理者遵守 严格的数据保护义务 与本 DPA 中概述的内容相同。

我们维护最新的子处理者列表，包括其职责和处理地点。客户可以随时联系我们，索取当前子处理者的信息。

客户权利与异议:

• 我们将至少在以下情况下通知客户任何**新的子处理器约定** 提前10天.
• 如果客户有合理的**数据保护担忧**，他们可以在这 10 天期限内以书面形式**反对**使用新的子处理器。
• 收到异议后，我们将进行**真诚的讨论**以解决问题，其中可能包括寻找替代解决方案。
• 如果未能达成双方均可接受的解决方案，客户有权根据协议终止受影响的服务。

我们依然 负全部责任 确保我们的子处理器的行为符合:

• 数据保护法, 包括 GDPR、CCPA 和其他适用法规。
• 保密协议 保护个人数据。
• 行业标准的安全措施 以防止未经授权的访问或滥用数据。

我们保留根据需要**更新或更换**我们的子处理器的权利，同时充分考虑客户的顾虑和持续的合规义务。

6. 个人数据的转移

ULTEH 可能会转移 个人资料 外面 欧洲经济区 (EEA)、英国 (UK) 或瑞士 以方便提供服务。当发生此类转移时，我们确保适当的 法律保障 按照适用的数据保护法来保护传输的数据。

我们依赖公认的数据传输机制，包括但不限于:

• 标准合同条款（SCC）: 我们采用欧盟委员会或其他主管部门批准的 SCC，以确保合法的数据传输。
• 补充措施: 在必要时，我们会采取额外的技术、组织和合同保障措施来加强数据保护。
• 具有约束力的公司规则（BCR）: 在适用的情况下，我们的附属实体遵守 BCR，确保在国际运营中实现高水平的数据保护。
• 其他已批准的转移机制: 我们遵守任何被认可的合法跨境数据传输的附加框架、认证或法律文书。

客户权利与协助: 我们致力于协助客户确保遵守 数据主体的权利 根据适用的数据保护法。这包括但不限于:

• 访问请求: 使数据主体能够访问他们的个人数据。
• 整改请求: 允许更正不准确或不完整的数据。
• 删除请求（“被遗忘权”）: 在法律允许的情况下，根据要求协助删除个人数据。
• 反对和限制处理: 支持数据主体行使反对或限制数据处理活动的权利。
• 数据可移植性: 在适用的情况下，促进将个人数据传输给另一个数据控制者。

我们持续监控全球隐私法规，以确保遵守**跨境数据传输要求**，如果法律框架的变化影响我们的数据处理义务，我们将通知客户。

7. 数据主体权利

ULTEH 承认并尊重适用的**数据保护法**赋予**数据主体**的权利。我们将协助**客户**（作为数据控制者）响应个人关于其**个人数据**的请求。

数据主体可以行使以下权利:

• 访问权: 请求并获得其数据是否正在被处理的确认以及访问数据的能力。
• 纠正权: 更正或更新不准确或不完整的个人数据的权利。
• 删除权（“被遗忘权”）: 根据法律和合同义务，有权要求删除个人数据。
• 限制处理的权利: 在某些条件下限制处理个人数据的能力。
• 数据可携权: 在技术可行的情况下，获取个人数据并将其传输给另一个服务提供商的能力。
• 反对权: 反对基于合法利益、直接营销或自动决策的处理的权利。
• 撤回同意的权利: 如果处理基于同意，则数据主体可以随时撤回同意。

客户责任: 客户作为数据控制者，负责处理数据主体的请求。我们将根据请求提供**合理的协助**，确保回复**及时且符合**适用法律。

除非法律要求或客户明确授权，否则我们不会直接回应数据主体的请求。

8. 数据泄露通知

ULTEH 我们高度重视安全问题，并采取**预防措施**来保护个人数据。然而，如果发生**个人数据泄露**，我们将**迅速且透明地**采取行动。

数据泄露应对计划: 如果我们发现**已确认的个人数据泄露**，可能导致**未经授权的访问、丢失、更改或披露**个人数据，我们将:

• 评估违规行为的影响并立即采取措施降低风险。
• **立即通知客户**（通常在确认后 48 小时内）。
• 提供详细信息，包括:
  • 违规的性质和范围。
  • 受影响的数据类型。
  • 潜在的后果。
  • 为解决违规行为而采取或提议的措施。
• **协助客户**履行任何监管义务，包括在需要时通知当局和受影响的数据主体。
• **实施纠正措施**以防止将来发生违规行为。

客户责任: 客户有责任确定是否根据适用的数据保护法通知监管机构和数据主体。

我们将记录所有违规行为并保存我们的**调查、缓解措施和补救措施**的记录。

9. 数据保留和删除

ULTEH 仅在履行本协议项下的义务或适用法律要求所需的必要时间内保留**个人数据**。

数据保留政策:

• 我们遵循**数据最小化原则**，确保仅为**合法业务和合规需求**保留数据。
• 一旦数据对于处理目的而言**不再必要**，就会被删除或匿名化。
• 保留期限可能因**法律、合同或监管要求**而异。

客户控制的数据删除:

• 客户可以随时要求**删除个人数据**。
• 服务终止后，我们将根据客户的指示**删除或归还个人数据**。
• 如果没有提出删除请求，我们将在合理的时间内**自动删除**个人数据，除非法律要求保留。

数据删除的例外情况: 在某些情况下，我们可能会在约定的保留期限之外保留个人数据，包括:

• 遵守**法律义务**（例如税务、审计或监管要求）。
• 为了**合法利益**，例如预防欺诈或安全调查。
• 当**具有约束力的法律要求**（例如法院命令）要求时。

我们确保遵循**安全删除程序**，防止任何未经授权的恢复或滥用个人数据。

10. 适用法律和争议解决

本数据处理附录 (DPA) 应受与本合同主要协议中定义的**相同法律和管辖权**管辖并依其解释。 ULTEH 和客户。

争议解决流程: 如果就本 DPA 发生任何争议，双方同意遵循结构化的解决流程，包括:

• 诚信谈判: 双方将首先尝试通过直接讨论和谈判解决争端。
• 调解或仲裁: 如果谈判失败，争议可以按照主协议中的规定提交调解或仲裁。
• 法律诉讼: 如果未能达成解决方案，争议可通过适用司法管辖区的正式法律程序解决。

如果本 DPA 与主协议之间存在任何冲突，**本 DPA 的条款应优先**，仅涉及数据保护事宜，确保遵守适用的 数据保护法.

11. 最后条款

本数据处理附录构成双方之间总体协议的组成部分 ULTEH 和客户。通过继续使用服务，客户承认并**接受本 DPA 的条款**。

如果本数据处理协议 (DPA) 的任何条款被认定为**无效或不可执行**，其余条款应继续完全有效。双方同意将任何不可执行的条款替换为尽可能反映原始意图且符合适用法律的条款。

修订与更新: 我们保留**修改或更新本数据保护协议**的权利，以反映适用**数据保护法律、行业惯例或运营需求**的变化。如有任何重大变更，我们将通知客户，继续使用服务即表示您接受更新后的条款。

联系信息: 如有任何疑问、顾虑或需要本 DPA 的签名副本，客户可以通过以下方式联系我们：: [email protected].