ULTEH 致力于确保客户数据的隐私、安全和合规。本数据处理附录(DPA)概述了我们如何按照适用的数据保护法律和法规处理、存储和保护个人数据的条款。 本DPA是我们与客户主协议的扩展,适用于 ULTEH 作为数据处理者代表客户处理个人数据的情况。它为双方在数据处理方面确立了明确的责任,确保符合相关隐私法律。 通过使用 ULTEH, ,客户确认并同意本DPA中规定的条款。如果您出于合规目的需要本协议的签署副本,请联系我们。
关联公司 指直接或间接控制、受控于或与一方共同受控的任何实体。"控制"指直接或间接拥有实体至少50%的投票股份、股权或类似权利,使其能够影响该实体的管理和政策。关联公司在其参与个人数据处理的范围内,被视为受本DPA中概述的义务和责任约束。
授权子处理商 指服务提供商聘请的第三方供应商、服务提供商或承包商,严格代表服务提供商并按照服务提供商的指示处理客户的个人数据。授权子处理商协助履行本DPA和主协议下的义务。所有子处理商必须遵守相同的数据保护义务,维护安全性、保密性和监管合规性。
账户数据 指服务提供商收集、存储和处理的与其与客户的合同关系相关的所有业务信息。这包括但不限于客户授权管理和操作其在服务提供商平台上的账户的个人的姓名、电子邮件地址、电话号码、支付详情和访问凭证。账户数据严格用于管理、计费和支持目的。
数据保护法律 包括所有适用的法律、法规和框架,管理个人数据的收集、处理、存储、传输和保护。这包括但不限于欧盟的《通用数据保护条例》(GDPR)、适用于英国的英国GDPR、《加州消费者隐私法》(CCPA)以及与本协议下数据处理活动相关的任何其他国家或国际隐私法律。遵守这些法律确保个人数据的处理合法、透明和安全。
个人数据 指与已识别或可识别的自然人("数据主体")相关的任何信息。可识别的人是指可以直接或间接识别的人,特别是通过引用标识符如姓名、电子邮件地址、电话号码、位置数据、在线标识符(如IP地址或cookies)或定义其身份的其他独特因素。个人数据不包括无法用于识别个人的匿名化或聚合数据。
处理 指对个人数据执行的任何操作或一组操作,无论是通过自动化方式还是手动方式。这包括但不限于收集、记录、组织、构建、存储、调整、更改、检索、咨询、使用、披露、传输、限制、删除或销毁个人数据。处理按照客户的指示和适用的数据保护法律进行。
安全措施 指为确保个人数据的机密性、完整性和可用性而实施的技术和组织保障措施。这些措施包括加密、访问控制、防火墙、数据掩码、假名化、定期安全审计和违规通知机制。安全措施旨在防止未经授权的访问、意外丢失或非法处理个人数据。
监管机构 指负责监督和执行数据保护法律合规性的独立公共机构。例如,负责GDPR相关事务的**欧洲数据保护委员会(EDPB)**、负责英国GDPR的**英国信息专员办公室(ICO)**以及负责CCPA执行的**加州隐私保护局(CPPA)**。监管机构拥有调查投诉、发布指导和对不合规行为实施处罚的法律权力。
数据主体权利 指根据适用的数据保护法律授予个人的权利。这些权利可能包括访问、更正、删除、限制或转移其个人数据的权利,以及反对处理和向监管机构提出投诉的权利。服务提供商在适用时协助客户促进这些权利的行使。
客户 可能作为 数据控制者 或 数据处理者, ,取决于其与数据主体的关系以及处理个人数据的目的。 在所有情况下, ULTEH 作为 数据处理者, ,代表客户并按照客户的指示处理个人数据。
客户负责确保使用我们的服务进行的所有数据处理活动符合 适用的数据保护法律, ,包括但不限于 通用数据保护条例(GDPR)、英国GDPR、加州消费者隐私法(CCPA)和其他适用的隐私法规. 客户确认其具有处理个人数据的法律依据,并保障我们免受因不遵守这些法律要求而导致的任何索赔、责任或损害。
我们应当 仅按照客户的书面指示 处理个人数据,且仅在提供服务所需的范围内,除非法律另有要求。我们不会将个人数据用于、披露或共享给客户未授权或本协议未明确概述的任何目的。
在 协议终止或客户要求, 时,我们应根据客户的选择,: (a) 安全删除 根据本协议处理的所有个人数据,确保不存在副本,除非法律要求保留,或 (b) 归还个人数据 给客户,采用结构化、常用和机器可读的格式,然后删除。客户必须在终止前的合理时间内提出此类请求。
如果我们在法律上被要求在终止后保留个人数据,我们将通知客户(除非法律禁止如此做),并确保此类数据符合数据保护法律,受到保护。
ULTEH 致力于保护 个人数据 代表 客户. 处理的安全性和保密性。为确保数据完整性和安全,我们实施和维护 行业领先的安全措施 ,旨在防止未经授权的访问、披露、更改或销毁个人数据。
这些 安全措施 包括但不限于:
代表我们处理个人数据的任何个人,包括员工、承包商和授权服务提供商,均受 严格的保密义务. 约束。这包括签署具有法律约束力的 保密协议(NDAs) 并遵守内部数据处理政策,以确保符合数据隐私和安全标准。
我们将及时通知客户任何**确认的安全漏洞**,该漏洞可能导致个人数据的意外或非法破坏、丢失、更改、未经授权的披露或访问。此类通知将包括事件详情、潜在影响以及为减轻风险所采取的补救措施。
我们持续审查和更新我们的安全措施,以符合 不断发展的行业标准和监管要求 ,确保持续保护客户数据。
ULTEH 可能会聘请 第三方子处理商 以协助提供和维护服务。这些子处理商执行特定功能,如数据存储、基础设施托管、分析或客户支持。我们确保所有聘用的子处理商遵守 严格的数据保护义务 ,等同于本DPA中概述的义务。
我们维护一个最新的子处理商列表,包括其角色和处理位置。客户可随时联系我们,请求有关当前子处理商的信息。
客户权利与异议:
如果未能达成双方可接受的解决方案,客户可能有权根据协议**终止受影响的服务**。 完全负责 我们子处理商的行为,并确保他们遵守::
我们保留在必要时**更新或替换**我们的子处理商的权利,同时适当考虑客户的顾虑和持续的合规义务。
ULTEH 可能会传输 个人数据 至 欧洲经济区(EEA)、英国(UK)或瑞士 以外地区,以便提供服务。当此类传输发生时,我们确保有适当的 法律保障措施 到位,以符合适用的数据保护法律,保护所传输的数据。
我们依赖公认的数据传输机制,包括但不限于::
客户权利与协助: 我们致力于协助客户确保遵守适用数据保护法律下的 数据主体权利 。这包括但不限于::
我们持续监控全球隐私法规以确保遵守**跨境数据传输要求**,并在法律框架的变化影响我们的数据处理义务时通知客户。
ULTEH 认可并尊重适用的**数据保护法律**下**数据主体**的权利。我们将协助**客户**(作为数据控制者)响应个人关于其**个人数据**的请求。
数据主体可行使以下权利::
客户责任: 客户作为数据控制者,负责处理数据主体请求。我们将根据请求提供**合理协助**,确保响应**及时且符合**适用法律。
除非法律要求或客户明确授权,否则我们不会直接回应数据主体请求。
ULTEH 非常重视安全,实施**预防措施**保护个人数据。然而,如发生**个人数据泄露**,我们将**迅速透明**地采取行动。
数据泄露响应计划: 如果我们知悉可能导致**未经授权访问、丢失、更改或披露**个人数据的**确认个人数据泄露**,我们将::
客户责任: 客户负责确定是否需要根据适用的数据保护法律通知监管机构和数据主体。
我们将记录所有泄露事件并保存**调查、缓解努力和补救行动**的记录。
ULTEH 仅在**必要时间内保留个人数据**以履行本协议下的义务或适用法律要求的时间。
数据保留政策:
客户控制的数据删除:
数据删除例外: 在某些情况下,我们可能会在约定的保留期之外**保留个人数据**,包括::
我们确保遵循**安全删除程序**,防止任何未经授权的恢复或滥用个人数据。
本数据处理附录(DPA)应受 ULTEH 和客户之间的主协议中定义的**相同法律和管辖权**管辖并解释。
争议解决流程: 如果关于本DPA的任何争议产生,双方同意遵循结构化的解决流程,包括::
如果本DPA与主协议之间存在任何冲突,则**本DPA的条款应优先**,仅涉及数据保护事项,确保符合适用的 数据保护法律.
本数据处理附录构成 ULTEH 与客户之间总体协议的不可分割的一部分。通过继续使用服务,客户确认并**接受本DPA的条款**。
如果本DPA的任何条款被发现**无效或不可执行**,其余条款应继续全面有效。双方同意以尽可能反映原始意图并符合适用法律的方式替换任何不可执行的条款。
修订与更新: 我们保留**修改或更新本DPA**的权利,以反映适用的**数据保护法律、行业惯例或操作需求**的变化。客户将被通知任何重大变更,继续使用服务构成对更新条款的接受。
联系信息: 对于任何问题、疑虑或要求此DPA签署副本的客户,可以通过以下方式联系我们:: [email protected].
