Споразумение за обработка на данни

Настоящото Споразумение за обработка на лични данни („Споразумението“) представлява неразделна част от Общите условия за предоставяне на SaaS услуги („Основното споразумение“) и урежда отношенията между:

КЛИЕНТА, в качеството на администратор на лични данни („Администратор“),

и

„БИОДИТ“ АД, в качеството на обработващ лични данни („Обработващ“),

наричани заедно „Страните“.

С приемането на Основното споразумение настоящото Споразумение се счита за сключено и обвързващо.

1. ПРЕДМЕТ И ОБХВАТ

1.1. Настоящото Споразумение урежда условията, при които Обработващият обработва лични данни от името на Администратора във връзка с предоставянето на SaaS-базирана система за отчитане на работно време, включително терминали за чекиране („Услугите“).

1.2. Обработването се извършва в съответствие с:

• • Регламент (ЕС) 2016/679 („GDPR“);
  • приложимото право на Европейския съюз и националното законодателство;
  • настоящото Споразумение.

2. ДЕФИНИЦИИ

2.1. Термините „Лични данни“, „Обработване“, „Администратор“, „Обработващ“, „Субект на данни“, „Нарушение на сигурността“ и „Надзорен орган“ имат значението по GDPR.

2.2. За целите на настоящото Споразумение:

• • „Лични данни на Администратора“ означава всички лични данни, обработвани от Обработващия от името на Администратора;
  • „Подобработващ“ означава трето лице, ангажирано от Обработващия;
  • „Закони за защита на данните“ означава всички приложими нормативни актове в областта на защитата на личните данни.

3. ОБРАБОТКА НА ЛИЧНИ ДАННИ

3.1. Обработващият обработва Лични данни на Администратора единствено:

• • по документирани инструкции на Администратора;
  • за целите на предоставяне на Услугите;
  • в рамките на договореното в Основното споразумение.

3.1.1. За документирани инструкции се считат и функционалностите на Услугите, конфигурациите, избрани от Администратора, както и условията на „Основното споразумение“.

3.2. Ако Обработващият е задължен по приложимото право да обработва лични данни извън инструкциите, той уведомява Администратора предварително, освен ако това е забранено от закона.

3.3. В случай че Обработващият счита, че дадена инструкция нарушава Закони за защита на данните, той незабавно уведомява Администратора.

4. ЗАДЪЛЖЕНИЯ НА АДМИНИСТРАТОРА

Администраторът гарантира и декларира, че:

4.1. обработването на лични данни се извършва на валидно правно основание;

4.2. са изпълнени задълженията за прозрачност и информираност към субектите на данни;

4.3. предоставените лични данни са адекватни, точни и ограничени до необходимото;

4.4. не се обработват специални категории лични данни, освен ако това не е изрично уговорено;

4.5. има право да предоставя личните данни на Обработващия.

5. КОНФИДЕНЦИАЛНОСТ

5.1. Обработващият гарантира, че лицата, упълномощени да обработват лични данни:

• • са обвързани със задължение за поверителност;
  • обработват данните само при необходимост.

5.2. Всяка страна се задължава да пази в тайна всяка конфиденциална информация, получена във връзка със Споразумението.

6. СИГУРНОСТ НА ОБРАБОТКАТА

6.1. Обработващият прилага подходящи технически и организационни мерки съгласно чл. 32 GDPR.

6.2. При определяне на мерките се вземат предвид:

• • състоянието на техниката;
  • разходите за прилагане;
  • естеството, обхвата и целите на обработката;
  • рисковете за правата и свободите на физическите лица.

6.3. Конкретните мерки са описани в Приложение №2.

7. ПОДОБРАБОТВАЩИ

7.1. Обработващият има право да ангажира подобработващи.

7.1.1. Обработващият уведомява Администратора за всяка промяна в подобработващите в срок не по-малко от 30 (тридесет) дни.

7.1.2. Администраторът има право да възрази в срок до 30 (тридесет) дни от уведомлението на Обработващия.

7.2. Обработващият:

• • осигурява, че подобработващите са обвързани със задължения, еквивалентни на настоящото Споразумение;
  • остава отговорен за тяхното изпълнение.

7.3. Актуален списък с подобработващи се поддържа на уебсайта на Обработващия или в Приложение №3.

8. ПРАВА НА СУБЕКТИТЕ НА ДАННИ

8.1. Обработващият оказва съдействие на Администратора при изпълнение на задълженията му относно правата на субектите на данни.

8.2. Обработващият:

• • уведомява без ненужно забавяне при получено искане;
  • не отговаря самостоятелно, освен ако законът изисква това.

9. НАРУШЕНИЯ НА СИГУРНОСТТА

9.1. Обработващият уведомява Администратора, не по-късно от 72 часа от узнаването и когато е възможно, в рамките на 24–48 часа.

9.2. Уведомлението включва информацията, необходима за изпълнение на задълженията по GDPR.

9.3. Обработващият оказва съдействие в разумен срок за ограничаване и отстраняване на последиците.

10. ОЦЕНКА НА ВЪЗДЕЙСТВИЕТО

Обработващият оказва разумно съдействие при:

оценки на въздействието върху защитата на данните;

консултации с надзорни органи.

11. СЪХРАНЕНИЕ, ВРЪЩАНЕ И ИЗТРИВАНЕ

11.1. При прекратяване на Услугите Обработващият:

• • изтрива или връща личните данни;
  • освен ако законът изисква съхранение.

11.2. При поискване се предоставя потвърждение за изтриване.

12. ОДИТ И ДОКАЗВАНЕ НА СЪОТВЕТСТВИЕ

12.1. Обработващият предоставя информация за доказване на съответствие.

12.2. Одити се извършват:

• • при разумно предизвестие в срок не по-малко от 30 (тридесет) дни;
  • не повече от веднъж годишно;
  • само при основателно съмнение;
  • за сметка на Клиента;
  • при условие, че не нарушава търговска тайна и сигурността на други клиенти.

13. ПРЕХВЪРЛЯНЕ НА ДАННИ

13.1. Личните данни се съхраняват и обработват в рамките на Европейския съюз и/или Европейското икономическо пространство, освен ако не е изрично уговорено друго. В случай на прехвърляне извън ЕС/ЕИП, Обработващият гарантира прилагането на подходящи гаранции съгласно приложимото право.

13.2. Прехвърляне извън ЕС/ЕИП се допуска само при наличие на подходящи гаранции.

13.3. При необходимост се прилагат стандартни договорни клаузи.

14. ОТГОВОРНОСТ

14.1. Всяка страна носи отговорност за вреди, причинени от нарушение на настоящото Споразумение или приложимото право.

14.2. Обработващият отговаря само за вреди, причинени от:

• • обработване в нарушение на документирани инструкции; или
  • неизпълнение на задълженията му по GDPR.

14.3. Доколкото е допустимо от приложимото право, общата отговорност на Обработващия по настоящото Споразумение, независимо от правното основание на претенцията, е ограничена до общия размер на възнаграждението, заплатено от Администратора по Основното споразумение за последните 12 (дванадесет) месеца, предхождащи събитието, породило отговорността.

14.4. Настоящото ограничение не се прилага в случаите на умисъл или груба небрежност от страна на Обработващия, както и в други случаи, в които ограничаването на отговорността е недопустимо съгласно приложимото право, включително съгласно Регламент (ЕС) 2016/679 (GDPR).

15. ЙЕРАРХИЯ НА ДОКУМЕНТИТЕ

В случай на противоречие между настоящото Споразумение и Основното споразумение, предимство има настоящото Споразумение по отношение на защитата на личните данни.

16. ПРИЛОЖИМО ПРАВО И ЮРИСДИКЦИЯ

16.1. Приложимо е правото на Република България.

16.2. Всички спорове се решават от компетентния съд в гр. София.

ПРИЛОЖЕНИЕ №1

Детайли на обработката

Предмет: SaaS система за отчитане на работно време

Цел: управление на работно време и присъствие

Категории данни:

• идентификационни данни (име, ID)
• контактни данни (имейл, телефон – при наличие)
• данни за присъствие и работни часове
• технически данни (IP адреси, логове)

Субекти: служители и изпълнители

Срок: за срока на Основното споразумение

Място на обработване: ЕС/ЕИП

ПРИЛОЖЕНИЕ №2

Технически и организационни мерки

Обработващият прилага подходящи технически и организационни мерки за гарантиране на ниво на сигурност, съответстващо на риска, включително, когато е приложимо:

1. Контрол на достъпа

Прилагане на ролево-базиран контрол на достъпа (Role-Based Access Control – RBAC);

Ограничаване на достъпа до лични данни само до упълномощени лица при необходимост (need-to-know принцип);

Използване на силна автентикация (включително многофакторна автентикация, когато е приложимо);

Управление на потребителски права (създаване, промяна и деактивиране на акаунти);

Редовен преглед на правата за достъп.

2. Криптиране и защита на данните

Криптиране на данните при пренос чрез защитени протоколи (напр. TLS 1.2 или по-нова версия);

Криптиране на данните при съхранение, когато е приложимо;

Псевдонимизация и/или минимизация на данните, когато е възможно;

Защита на ключове и сертификати чрез подходящи механизми за управление.

3. Регистриране и мониторинг

Поддържане на логове за достъп и действия върху системата;

Мониторинг за неоторизиран достъп и подозрителна активност;

Ограничен достъп до логовете;

Съхранение на логове за разумен период с оглед сигурност и одит.

4. Сигурност и инфраструктура

Използване на защитени сървърни среди (включително облачни услуги с високо ниво на сигурност);

Мрежова защита (firewalls, сегментация, защита от неоторизиран достъп);

Редовно актуализиране на софтуер и системи (patch management);

Защита срещу злонамерен софтуер и уязвимости.

5. Резервни копия и възстановяване

Извършване на всекидневни резервни копия (backups);

Съхранение на резервни копия в защитена среда;

Тестване на процедурите за възстановяване (disaster recovery);

Възможност за възстановяване на наличността и достъпа до данните в разумен срок.

6. Физическа сигурност

Контролиран физически достъп до съоръженията, в които се обработват данни;

Използване на защитени центрове за данни (data centers);

Мерки за защита срещу физически инциденти (пожар, наводнение, др.).

7. Управление на инциденти

Процедури за идентифициране и управление на инциденти по сигурността;

Вътрешни процеси за докладване и ескалация;

Ограничаване и минимизиране на последствията от инциденти;

Документиране на инциденти и предприети действия.

8. Тестване и оценка на сигурността

Провеждане на периодични тестове и оценки на ефективността на мерките;

Оценка на уязвимости и при необходимост – penetration testing;

Непрекъснато подобряване на мерките за сигурност.

9. Организационни мерки

Обучение на персонала относно защитата на личните данни и сигурността;

Задължения за конфиденциалност за служители и подизпълнители;

Вътрешни политики и процедури за защита на данните;

Ограничаване на достъпа до лични данни от страна на персонала.

10. Подобработващи

Извършване на предварителна оценка на сигурността на подобработващите;

Договаряне на задължения за защита на данните, еквивалентни на настоящите;

Периодичен преглед на съответствието на подобработващите.

11. Принципи за защита на данните

Обработващият прилага принципите „privacy by design“ и „privacy by default“, включително:

• • минимизиране на данните;
  • ограничаване на достъпа;
  • обработване само за конкретни цели;
  • съхранение за ограничен период.
    
    

12. Допълнителни разпоредби

Обработващият има право да актуализира настоящите мерки, при условие че нивото на сигурност не се понижава.

ПРИЛОЖЕНИЕ №3

Подобработващи

Обработващият дава своето общо съгласие да ангажира подизпълнители за обработване на лични данни, при условие че са спазени изискванията на чл. 28, ал. 2 и 4 от Регламент (ЕС) 2016/679 (GDPR).

Към датата на сключване на настоящото споразумение Обработващият използва следните подизпълнители:

Hetzner е установен в ЕС, поради което предаването на данни се извършва без допълнителни механизми за трансфер.

Cloudflare и Stripe са установени в САЩ. Предаването на лични данни към тях се основава на Стандартните договорни клаузи (СДК), приети от Европейската комисия, и/или на рамката EU-U.S. Data Privacy Framework, доколкото съответното дружество е сертифицирано по нея.