Contract

Допълнително споразумение към Договор …

Сключен днес, година, в град София, от и между:

1. “ХМЦ” АД, XXX: 203877597, със седалище и адрес на управление в гр. Пловдив, п.к. 4004, район – Южен, бул. „Ал. Стамболийски“ №9А, представлявано от изпълнителния директор Xxx Xxxxxxx Xxxxxxx , наричано по-долу в настоящия договор ВЪЗЛОЖИТЕЛ, от една страна, и

2. „…“ ООД, ЕИК …, със седалище и адрес на управление в гр. …, представлявано от …, в качеството му на …, наричан по-долу в настоящия договор ОБРАБОТВАЩИЯТ, от друга.

Наричани поотделно „Страна/та“, а заедно като „Страни/те“.

Страните сключиха следното споразумение ("Допълнителното споразумение"):

1. Всички термини, използвани по-долу и свързани със защитата на данните, се ползват със значението, посочено в Регламент (ЕС) № 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. за защита на физическите лица при обработването на лични данни както и за свободното движение на такива данни и за отмяна на Директива 95/46 / ЕО (Общ регламент относно защитата на данните, ОРЗД) и съответните им термини се тълкуват в съответствие с това, освен ако не е предвидено друго.

1.1. „Администратор/ът“ по силата на Допълнителното споразумение означава Възложителят;

1.2. „Обработващ/ият“ по силата на Допълнителното споразумение означава Обработващиятят;

1.3. "Лични данни" означават всички лични данни, обработвани от Обработващия от името на Администратора и в съответствие с определените от него цели и средства съгласно Договор

… година („Основното споразумение“);

1.4. "Услуги" означава услугите и другите дейности съгласно чл.1 от Основното споразумение;

1.5. "Субекти на данни" – всички физическите лица, чиито лични данни се обработват от Администратора и/или Обработващия при предоставянето на Услугите;

1.6. "Приложимо право" означава: а) нормативните актове на Европейския съюз или на държавите-членки по отношение на защитата на личните данни, които се прилагат спрямо Администратора и Обработващия; и б) всеки друг приложим нормативен акт по отношение на личните данни, обработвани от името на Администратора;

1.7. "Надзорен орган" е Комисията за защита на личните данни (КЗЛД) или друг водещ назорен орган, определен в съответствие с ОРЗД и актовете по приложението му.

1

2. Обработващият се задължава:

2.1. да спазва изискванията на Приложимото право при обработване на Личните данни; и

2.2. да не обработва лични данни, различни от посочените в документираните инструкции на Администратора, освен ако обработката не се изисква от приложимото право, като в този случай Обработващият ще предупреди Администратора предварително, доколкото е разрешено от Приложимото право;

2.3. да не обработва данни за период, по-дълъг от необходимото за постигането на целите, определени от Администратора съгласно Основното споразумение.

3. В съответствие с Основното споразумение и доколкото е необходимо за предоставянето на Услугите Администраторът:

3.1. инструктира Обработващият:

3.1.1. да обработва лични данни от името на Администратора; и

3.1.2.да прехвърля лични данни към получатели, както и други държави или територии.

4. Обработващият предприема всички разумни стъпки, за да гарантира надеждността на всеки служител, представител или съконтрахент, който може да има достъп до Личните данни, като гарантира във всеки отделен случай, че:

4.1. достъпът е строго ограничен до лицата, които трябва да знаят / да имат достъп до съответните лични данни;

4.2. достъпът е абсолютно необходим за предоставянето на Услугите; и

4.3. достъпът е съобразен с Приложимото право, като гарантира, че лицата попадат под задължения за конфиденциалност или професионални или законоустановени задължения за поверителност.

5. Като се вземат предвид състоянието на техниката, разходите за изпълнението и естеството, обхвата, контекста и целите на обработката, както и рискове за правата и свободите на субектите на данни и тяхната тежест, Обработващият прилага подходящи технически и организационни мерки за защита на Личните данни, включително мерките, посочени в член 32(1) от ОРЗД.

6. При оценяването на подходящото ниво на сигурност, Обработващият трябва да отчита по- специално рисковете, които се разкриват при обработката на Личните данни, по-специално от нарушението на тяхната сигурност.

7. Обработващият няма да назначава, нито разкрива Лични данни на свои подизпълнител или друг съконтрахент („Подобработващ“), освен с предварителното писмено съгласие на Администратора.

8. По отношение на всеки такъв Подобработващ Обработващият е длъжен:

8.1. да гарантира, че споразумението между него и съответния Подобработващ се урежда с писмен договор, включващ условия, които предлагат най-малко същата защита за личните

2

данни като тези, посочени в Допълнителното споразумение и отговарящи на изискванията на чл. 28, пар. 3 от ОРЗД;

8.2. преди да започне обработката на личните данни от Подобработващия, да предприеме необходимите мерки, за да гарантира, че Подобработващият спазва изискванията на членове 4-7 от Допълнителното споразумение;

9. Като се вземе предвид естеството на обработката, Обработващият се задължава да помага на Администратора като прилага подходящи технически и организационни мерки за изпълнение на задълженията на Администратора, така че последният за да отговори на запитвания за упражняване на правата на Субектите на данни съгласно приложимото право.

10. Обработващият се задължава да уведоми незабавно Администратора при получаване при Обработващия и/или при Подобработващ на запитване от Субект на данни за упражняване на права съгласно ОРЗД.

11. Обработващият уведомява Администратора без неоправдано забавяне след като той или Подобработващ узнае за пробив в сигурността на Личните данни, предоставяйки на Администратора достатъчно информация за да му позволи да изпълни всякакви задължения за докладване до Надзорния орган или информиране на Субектите на данни за пробива съгласно ОРЗД.

12. Обработващият е длъжен да сътрудничи с Администратора и да предприема разумни търговски стъпки, според указанията на Администратора, за подпомагане при разследването, смекчаването и отстраняването на всеки такъв пробив на такива лични данни.

13. Обработващият е длъжен да сътрудничи на Администратора при изготвянето на всякакви оценки на въздействието върху защита на данни и предварителни консултации с Надзорния органи.

14. Обработващият в рамките на 30 дни от датата на прекратяване на Основното споразумение ("Дата на прекратяване") изтрива и осигурява заличаването на всички копия от Личните данни.

15. Обработващият или Подобработващият могат да запазят личните данни на Администратора до степента и за срока, изисквани от Приложимото право, при условие, че Обработващият гарантира поверителността на Личните данни, както и, че същите се обработват само за целите, определени в Приложимото право, изискващо тяхното съхранение, и за никаква друга цел.

16. В рамките на 30 дни от Датата на прекратяване Обработващият издава писмено удостоверение на Дружеството, че е спазил задълженията си по чл.14-15.

3

17. При поискване Обработващият предоставя на Администратора цялата информация, необходима за доказване на спазването на Допълнителното споразумение. Спазването на Допълнителното споразумение подлежи на контрол от страна на Администратора чрез посещение на място и/или проверка на системите на Обработващия, включително за криптиране на електронната комуникация.

18. За неизпъление на Допълнителното споразумение от страна на Обработващият и/или назначен от него Подобработващ, Обработващият носи отговорност в размера на наложената от Надзорния орган глоба и/или имуществена санкция, която от двете суми е по-висока.

19. Всички спорове, произтичащи от или свързани с настоящото споразумение, включително спорове, произтичащи от или свързани с неговото тълкуване, изпълнение или прекратяване, както и спорове за замяна или пропуски в споразумението или неговото адаптиране в кореспонденция, ще бъдът решени по пътя на взаимното споразумение, а когато това се окаже невъзможно - по реда на действащата нормативна уредба. Приложимо ще бъде българското право.

20. Ако някоя от разпоредбите на това Допълнителното споразумение е недействителна останалата част ще остане валидна и в сила.

Настоящият договор е съставен и подписан в два еднообразни екземпляра - по един за всяка от Страните.

Възложител: ......................... Обработващ: ..............................

4