Contract

СПОРАЗУМЕНИЕ

за обработка на лични данни

Днес   . 20 г., в гр.       , между страните:

1.            , ЕИК           , със седалище и адрес на управление

, представлявано от           , в качеството на администратор на лични данни по смисъла на чл. 4, параграф 7 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета, приет на 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни (Общ регламент относно защитата на данните), наричано за краткост по-долу

„Администратор/а“, от една страна

и

2.            , ЕИК           , със седалище и адрес на управление

, представлявано от         , в качеството на обработващ лични данни по смисъла на чл. 4, параграф 8 от Общия регламент относно защитата на данните, наричано за краткост по-долу „Обработващ“ , от друга страна,

наричани по-долу „Страните“,

на основание чл. 28, параграф 3 от Общия регламент относно защитата на данните

се сключи настоящата СПОРАЗУМЕНИЕ за обработка на лични данни („Споразумение“), с което Страните се споразумяха за следното:

I. УСТАНОВИТЕЛНИ КЛАУЗИ

Чл.1. (1)На дата   . .20 г. между Страните е сключен

Договор         („Договора“). Във връзка с изпълнение на предмета на Договора, Администраторът предоставя на Обработващия информация за личните данни („Лични данни“) на свои клиенти/служители, („субекти на лични данни“), които данни Обработващият обработва от името на Администратора. Настоящото споразумение допълва и конкретизира задълженията на страните по Договора относно защитата на лични данни, произтичащи от основния Договор. Споразумението се прилага при всички дейности, свързани с договорите и при които служители на Обработващия или упълномощени от него лица обработват „лични данни“ на Администратора.

(2) Категориите субекти на лични данни и видовете Лични данни, които Администраторът предоставя на Обработващия за обработване, са подробно описани в Приложение № 1 към настоящото Споразумение.

II. СРОК И ПРЕДМЕТ

Чл. 2. Срокът на действие на настоящото Споразумение е обвързан със срока на действие на Договора.

Чл.3. Със сключване на настоящото Споразумение Обработващият се задължава да обработва получените от Администратора Лични данни при стриктно спазване на изискванията на Общия регламент относно защитата на данните и приложимото към него законодателство само за конкретно посочените в настоящото Споразумение Цели.

III. ЦЕЛИ НА ОБРАБОТВАНЕТО

Чл. 4. (1) Обработващият се задължава да обработва Лични данни от името на Администратора в съответствие с дейности, конкретизирани в Договора (тук следва да се опише точно предмета на конкретния договор, по повод на който се подписва настоящото споразумение).

(2) Ако Обработващият определи в нарушение на закона или на указанията на Администратора целите и средствата на обработването, Обработващият се счита за Администратор на това обработване.

Чл. 5. Обработващият се задължава да не използва предоставените му за обработване Лични данни за каквато и да е друга цел, различна от целите, посочени в чл.4 от настоящото Споразумение.

Чл. 6. Обработващият обработва личните данни само по документирано нареждане на Администратора, включително що се отнася до предаването на лични данни на трета държава или международна организация, освен когато е Обработващият е длъжен да направи това по силата на правото на Европейския съюз или правото на държава членка, което се прилага спрямо него. В тези случаи Обработващият е длъжен да информира Администратора за това правно изискване преди обработването, освен ако това право забранява такова информиране на важни основания от публичен интерес.

IV. ЗАДЪЛЖЕНИЯ НА ОБРАБОТВАЩИЯ ЛИЧНИ ДАННИ

Чл. 7. Обработващият се задължава да обработва Личните данни, предоставени от Администратора съгласно изискванията на чл. 28 от Общия регламент относно защитата на данните, както и на действащото българско законодателство. По-конкретно Обработващият се задължава:

(1) да обработва Личните данни, предоставени от Администратора, само във връзка с изпълнение на възложените му с Договора дейности, за Целите, описани в чл.4 от настоящото споразумение, в рамките на срока на Договора, освен ако Обработващият е задължен да извърши обработването по силата на

приложимото спрямо него право. В последния случай Обработващият е длъжен да информира Администратора относно правното си задължение, доколкото това е разрешено от приложимото право, преди да започне обработването на съответните Лични данни;

(2) да не разкрива или предоставя Лични данни на трети лица, освен при наличие на законово задължение за това, с изключение на лицата по чл. 7, ал. 4 по-долу;

(3) да сключва договори с подизпълнители, само след предварително писмено разрешение на Администратора, като при получаване на разрешение от страна на Администратора, се задължава да включи в договора си с подизпълнителя клаузите от настоящото Споразумение. Когато Обработващият лични данни ангажира подизпълнител за извършването на специфични дейности по обработване на данните от името на Администратора, на подизпълнителя следва да се налагат същите задължения за защита на данните, каквито са задълженията на Обработващия лични данни, предвидени в това споразумение. Подизпълнителят следва да предостави достатъчно гаранции за прилагане на подходящи технически и организационни мерки, така че обработването да отговаря на изискванията на Общия регламент за защита на данните. В случай, че подизпълнителят не изпълни задължението си за защита на данните, Обработващият данните продължава да носи пълна отговорност пред Администратора за изпълнението на задълженията на подизпълнителя;

(4) да предостави достъпа до Личните данни единствено на тези лица, които имат нужда да знаят и/или да имат достъп до съответните Лични данни, за целите на изпълнение на Договора, като гарантира, че всички такива лица са обвързани от договорно, професионално или законово задължение за конфиденциалност;

(5) в съответствие с чл. 32 от Общия регламент относно защитата на данните да въведе подходящи технически и организационни мерки, които осигуряват адекватно ниво на защита на Личните данни от случайно или незаконно унищожаване, случайна загуба (включително изтриване), изменение (включително повреждане), неразрешено разкриване, използване или достъп, както и срещу всички други форми на незаконосъобразно обработване, подробно описани в Приложение № 2 към настоящото Споразумение;

(6) да подпомага Администратора, при поискване от последния, относно въвеждането на подходящи технически и организационни мерки, необходими за изпълнение на задълженията на Администратора да отговаря на искания на субектите на данните, които имат желание да упражнят правата си съгласно приложимото право;

(7) да съдейства на Администратора, при поискване от последния, при изготвянето на оценка на въздействие върху защитата на данните и предварителни консултации с компетентните надзорни органи по защита на личните данни.

(8) да не трансферира Лични данни на администратора към трети държави, без изричното писмено съгласие на Администратора;

(9) осигурява достъп на Администратора до цялата информация, необходима за доказване на изпълнението на задълженията по настоящото Споразумение,

включително като позволява извършването на одити и проверки от страна на Администратора или друг xxxxxx, оправомощен от Администратора;

(10) да уведомява незабавно Администратора, ако според него дадено нареждане нарушава от Общия регламент относно защитата на данните или други разпоредби на Европейския съюз или на държавите членки относно защитата на данни;

(11) да уведоми Администратора за всяко нарушение на сигурността на Личните данни незабавно, но не по-късно от 24 часа след установяване на нарушението, като Обработващият е длъжен да предостави на Администратора информация за случая и да предприеме необходимите мерки за намаляване на неблагоприятните последици, поправяне на нарушението на сигурността и избягване на бъдещи нарушения, като незабавно съгласува действията си с Администратора;

(12) при получаване на изрично нареждане от Администратора незабавно да коригира или да изтрие указаните му Лични данни;

(13) да изтрие по начин, който не позволява възстановяване и да осигури изтриването на всички копия на Лични данни, обработвани по силата на настоящото Споразумение, незабавно след изтичане на срока за съхранение по чл. 13 от Споразумението;

V. ЗАДЪЛЖЕНИЯ НА АДМИНИСТРАТОРА

Чл. 8. (1)Администраторът е длъжен незабавно да уведоми Обработващия, ако открие в грешки или непълноти в предоставените Личните данни.

(2) Администраторът посочва на Обработващия лицето за контакт за свързани със защитата на данните въпроси, възникващи в рамките на Споразумението.

VI. ОТГОВОРНОСТ

Чл. 9. Обработващият е отговорен и се задължава да обезщети Администратора за всякакви разходи, отговорност и искове от какъвто и да е бил характер, претърпени от Администратора и произтичащи от или във връзка с всяко нарушение, действие по непредпазливост, грешка или бездействие на Обработващия, неговия персонал или друг обработващ лични данни, свързано с или произтичащо от изискванията за защита на личните данни и сигурността съгласно настоящия договор.

VII. ЗАПИТВАНИЯ ОТ СТРАНА НА СУБЕКТИТЕ НА ЛИЧНИ ДАННИ

Чл.10. В случай че субект на лични данни се обърне към Обработващия с искане за коригиране, изтриване или предоставяне на информация по смисъла на Общия

регламент относно защитата на данните, Обработващият е длъжен да препрати незабавно полученото искане от субекта на лични данни към Администратора.

VIII. СИГУРНОСТ

Чл. 11. (1) Обработващият лични данни се задължава да предприеме подходящи технически и организационни мерки във връзка със защитата на личните данни, като Обработващият гарантира, че на служителите му, както и на всички други лица, на които е възложено обработването на Лични данни, е забранено да обработват данните извън указанията.

(2) Обработващият гарантира, че лицата, упълномощени да обработват Личните данни, са се ангажирали с поверителност или са обект на подходящо правно задължение за конфиденциалност. Задължението за поверителност / конфиденциалност продължава и след приключване на Договора.

(3) Обработващият посочва на Администратора лицето за контакт за свързани със защитата на данните въпроси, възникващи в рамките на Споразумението.

Чл. 12. (1) Обработващият, както и другите Обработващи лични данни, в случай че такива са одобрени от Администратора, са длъжни да осигуряват достъп на Администратора по негово искане до цялата необходима информация, за да се установи спазването на задълженията на Обработващия. Обработващият е длъжен да позволи и подпомага извършването на проверки/одити от Администратора или от избран от него одитор във връзка с обработването на Лични данни.

(2) Администраторът предоставя на Обработващия и на другите Обработващи лични данни, в случай че такива са одобрени от Администратора, предизвестие за извършването на одита или проверката в разумен срок преди провеждането им. Администраторът и избраните от него одитори са длъжни да положат разумни усилия за избягването (или, ако е невъзможно напълно избягване – за намаляването) на вредите, прекъсванията или смущенията в помещенията, оборудването, персонала и бизнеса на Обработващия лични данни или на друг Обработващ лични данни, за времето, в което персоналът е в помещенията, докато се провежда одит или проверка.

(3) Одитите и проверките ще се провеждат в работно време веднъж на календарна година за всеки Обработващ лични данни или друг Обработващ лични данни. Допълнителни одити и проверки могат да бъдат провеждани, ако Администраторът има основателни съмнения, че Обработващият лични данни или другите Обработващи лични данни не действат в съответствие с настоящото Споразумение или ако Администраторът е длъжен да проведе одит или проверка по силата на приложимото спрямо него право за защита на личните данни или по нареждане на компетентен надзорен орган за защита на личните данни.

(4) Обработващият и другите обработващи лични данни, са длъжни да поддържат всички регистри, изискуеми от приложимото спрямо тях право за защита на личните данни, включително относно обработваните Лични данни на Администратора и да ги предоставят на Администратора при поискване. Обработващият е длъжен да води регистрите в пълно съответствие с чл. 30 на Общия регламент за защита на данните.

IX. СРОК НА СЪХРАНЕНИЕ НА ЛИЧНИТЕ ДАННИ

Чл. 13. Личните данни, предоставени от Администратора на Обработващия за целите на настоящото Споразумение, се съхраняват от Обработващия за срока на действие на Споразумението. След изтичане на срока, Обработващият е длъжен да заличи Личните данни незабавно, освен ако не е налице друго основание за обработването им или Администраторът не е наредил друго до изтичане на срока на Споразумението.

X. ОБЩИ РАЗПОРЕДБИ

Чл. 14. Страните се съгласяват, че всички съобщения и уведомления помежду им във връзка с настоящото Споразумение ще бъдат в писмена форма за действителност и ще се считат за получени, ако са изпратени чрез куриер или чрез изпращане по пощата с обратна разписка на следните адреси:

За Администратора:

Лице за контакт:                   Адрес:                        Телефон:                       И-мейл:               

За Обработващия:

Лице за контакт:                   Адрес:                        Телефон:                       И-мейл:               

Чл. 15. Изменения и допълнения към настоящото Споразумение са валидни, само ако са направени по взаимно съгласие между Страните, изразено писмено.

За неуредените в настоящото Споразумение въпроси се прилагат разпоредбите на Общия регламент относно защитата на данните и на българското законодателство.

Неразделна част от настоящото Споразумение са следните приложения:

1. Приложение № 1 - Категории субекти на данни и видове лични данни, предоставени за обработване;

2. Приложение № 2 - Технически и организационни мерки на защита на Личните данни.

Настоящото Споразумение влиза в сила, считано от датата на подписването си от Страните и се изготви и подписа в два еднообразни екземпляра.

За Администратора: За Обработващия: