а) съвременен TLS протокол за криптиране;
ДОГОВОР ЗА ДОСТЪП ДО ФУНКЦИОНАЛНОСТ ЗА ОБМЕН НА
ИНФОРМАЦИЯ
Този Договор е подписан в град София, между:
…………………………………………………………………с XXX …………………., със седалище и адрес на управление ,
представлявано от
……………………………………………………………………………………..……………(„Предприятието“) x
БЪЛГАРСКА ТЕЛЕКОМУНИКАЦИОННА КОМПАНИЯ ЕАД с ЕИК 831642181, със седалище и адрес
на управление в гр. София, булевард „Цариградско шосе“ № 115 И, представлявано от
…………………………………………………………………………………………………………. („Виваком“),
наричани за краткост поотделно „Страна“, а заедно „Страните“.
ИМАЙКИ ПРЕДВИД, ЧЕ:
1. Съгласно чл. 249, ал. 3 от Закона за електронните съобщения (ЗЕС) предприятията, предоставящи обществени електронни съобщителни услуги, имат право да поискат от други предприятия, предоставящи обществени електронни съобщителни услуги, информация относно наличието на неплатени задължения на крайния ползвател към тях, когато при сключване на договор се предоставя и крайно устройство.
2. Запитаните предприятия следва да предоставят поисканата информация, при спазване на условията на закона.
3. Участниците в обмена на информация трябва да уредят правата и задълженията си по този повод в писмено споразумение.
СЕ СКЛЮЧИ НАСТОЯЩИЯТ ДОГОВОР ЗА СЛЕДНОТО:
ЧЛЕН 1 ДЕФИНИЦИИ
1.1 „Договор“ – този Договор, ведно с всички приложения и допълнения към него, изразени в писмена форма и приети от Страните по Договора;
1.2 „Споразумение“ – Споразумение за защита на личните данни между независими администратори, което:
(а) е подписано едновременно с Договора;
(б) е приложено като Приложение № 4 към Договора; и (в) представлява неразделна част от Договора.
1.3 „Клиент“ – означава Краен ползвател, който е физическо лице – частен клиент, за когото може да бъде направено Запитване (съответно за което е предоставен Отговор) съгласно Договора. Категориите Крайни ползватели, за които могат да бъдат правени Запитвания, са настоящи и потенциални клиенти на Получаващата страна, които, в
процеса по сключване на договор за електронни съобщителни услуги с нея, заявяват и крайно устройство.
1.4 „Получаваща страна“ – означава Страната, която прави Запитване до другата Страна, съответно която получава Отговор от Разкриващата Страна.
1.5 „Разкриваща Страна“ – означава Страната, която предоставя Отговор на Получаващата Страна в изпълнение на направено Запитване на Получаващата Страна.
1.6 „Запитване“ – означава запитване от Получаващата Страна за получаване на информация по чл. 249, ал. 3 от ЗЕС.
1.7 „Отговор“ – означава отговор на Разкриващата Страна по Запитване, съдържащ информация по чл. 249, ал. 3 от ЗЕС.
1.8 „Лични данни“ – има значението, предвидено в Споразумението.
1.9 „Приложимо право“ – правото на Република България.
1.10 "Краен ползвател" – има значението, определено в ЗЕС.
1.11 „Крайно устройство“ – има значението, определено в ЗЕС.
1.12 „Свързанo лицe“ – субект на гражданското или публичното право, който: а) контролира някоя от Страните; или б) е контролиран от някоя от Страните; или в) е контролиран от трето лице, което контролира и Страна по този Договор. Контрол по смисъла на предходното изречение означава пряко или непряко притежание на 50% (петдесет процента) или повече от дяловете/акциите, даващи право на глас.
1.13 „Работен ден“ – дните от понеделник до петък, с изключение официалните празници в Република България, както и неприсъствените дни съгласно чл. 154, ал. 2 и 3 от Кодекса на труда.
1.14 „Нетипично поведение“ – отправяне на Запитвания от Получаващата страна през даден месец, чийто брой значително (т.е. с над 25 процента) надвишава броя на Запитванията от Получаващата страна през предходни месеци и ведно надвишава договореното количество по т.7.1 (б).
1.15 „Жалба“ – жалба, сигнал и/или запитване от Клиент, подадено до една от Страните и отнасящо се за Запитване и/или Отговор.
1.16 „Система“ – означава приложно-програмния интерфейс, предоставян от Разкриващата Страна на Получаващата Страна съгласно т. 2.4 от този Договор.
1.17 „Указания“ – означава Указанията относно условията, методиката и сроковете за предоставяне на информация между предприятията, предоставящи обществени електронни съобщителни услуги за наличието на неплатени задължения на крайния ползвател, приети съвместно от Комисията за регулиране на съобщенията и Комисията за защита на личните данни.
ЧЛЕН 2 ПРЕДМЕТ НА ДОГОВОРА
2.1 По силата на този Договор Страните се споразумяват, че всяка Страна има право отправя Запитвания към другата Страна.
2.2 Разкриващата страна предоставя Отговори по получени Запитвания, когато са изпълнени условията, предвидени в ЗЕС.
2.3 Получаващата страна ще прави Запитвания, а Разкриващата страна ще предоставя Отговори, в съответствие с изискванията, предвидени в Указанията.
2.4 За целите на този Договор всяка Страна (в качеството й на Разкриваща страна) ще осигури и поддържа уеб-базиран приложно-програмен интерфейс, работещ на основата на заявки сървър – сървър, използващ:
(а) съвременен TLS протокол за криптиране;
(б) VPN, имплементация на стандарт OAuth версия 2.0 или по-нова, или друг аналогичен общоприет метод или стандарт за защита на информацията;
(в) стандартизирани протоколи за обмен на информация, напр. SOAP или REST; (г) стандартни структури, като XML или JSON.
ЧЛЕН 3 ПРАВА И ЗАДЪЛЖЕНИЯ НА СТРАНИТЕ
3.1 Преди да отправи Запитване, Получаващата страна трябва да извърши надлежна идентификация (проверка на самоличността) и проверка на представителната власт на Xxxxxxx, както следва:
Тип на Клиент | Проверка на самоличност | Проверка на представителна власт |
Физическо лице | Да | Не |
Физическо лице, представлявано от пълномощник | Да (на пълномощника) | Да (на пълномощника) |
Физическо лице, предсатвлявано от законен представител | Да (на законния представител) | Да (на законния представител) |
3.2 Разкриващата Страна трябва да осигури качество (точност и актуалност) на данните, съдържащи се в Отговора, с цел предотвратяване на грешки.
3.3 Получаващата и Разкриващата Страна са длъжни да осигурят, че данните, получени от другата Страна при и по повод отправени Запитвания и предоставени Отговори, ще се използват само за целите, регламентирани в ЗЕС. По изключение, данните могат да бъдат използвани и за други цели, доколкото същите са съвместими с целите, предвидени в ЗЕС (например обслужване на Жалби, предоставяне на информация на компетентни органи и т.н.).
3.4 При и по повод отправянето на Запитвания и предоставянето на Отговори съгласно настоящия Договор, Страните ще спазват изискванията за сигурност, предвидени чл. 8 от Споразумението, както и тези, предвидени в Приложение № 5.
ЧЛЕН 4 КОДОВЕ ЗА ОБОЗНАЧАВАНЕ НА ПАРАМЕТРИТЕ ЗА РАЗМЕР НА ЗАДЪЛЖЕНИЕТО („СТОЙНОСТ“) И ПРОДЪЛЖИТЕЛНОСТ НА ЗАБАВАТА („ПРОСРОЧИЕ“)
4.1 При отправяне на Запитванията и предоставянето на Отговори по тях, Страните ще обменят кодове, чиито характеристики са описани в Приложение № 1 към този Договор.
ЧЛЕН 5 НИВО НА ОБСЛУЖВАНЕ
5.1 В Приложение № 2 се съдържа определеното от Страните споразумение за ниво на обслужване, което урежда:
(а) възможността за изпращане на заявки за обслужване, регистриране на събитие, инцидент или проблем със Системата;
(б) наличността на Системата;
(в) времената за реакция при инциденти, свързани със Системата, съответно за отстраняване на проблеми по Системата;
(г) лицата за контакт и ескалация в случаи на технически или друг проблеми със Системата.
ЧЛЕН 6 МЕРКИ ЗА ЗАЩИТА НА ДАННИТЕ
6.1 Страните прилагат следните минимални мерки за защита на данните на Клиентите: (а) сигурен интерфейс за свързване, отговарящ на изискванията на този Договор; (б) обмен на информацията по криптиран канал;
(в) системни записи (логове) за всяко Запитване;
(г) информацията се обработва автоматизирано, при ограничаване на достъпа до информация, според ролите;
(д) служителите, ангажирани в процеса, са преминали обучение по защита на личните данни.
6.2 Страните се задължават да изпълняват надлежно всички изисквания и задължения за обработване на лични данни, съгласно приложимото законодателство. По-конкретно, основните задължения на Страните във връзка с обработката на лични данни са предвидени в Споразумението.
ЧЛЕН 7 ЦЕНИ И НАЧИН НА ПЛАЩАНЕ
7.1 За получаването на достъп до приложно-програмния интерфейс по т. 2.4 и Отговори по направени Запитвания, Получаващата страна ще заплаща на Разкриващата страна следните такси:
(а) първоначална такса за интеграция;
7.2 Конкретните цени са описани в Приложение № 3 към този Договор.
7.3 Страните се споразумяват, че доколкото прогнозата им е за до 5000 (пет хиляди) Запитвания на месец, всяка от Страните ще издаде една фактура за първоначалната такса по т. 7.1(а) и авансово за месечните такси по т. 7.1(б) за период от 24 (двадесет и четири) месеца.
7.4 Фактурите по предходната т. 7.3 ще бъдат издадени и предоставени в 5 (пет) дневен срок от сключването на този Договор.
7.6 При наличието на разминаване между данните на двете Страни за даден календарен месец, които надвишават 5% (пет процента), но не по-малко от 100 (сто) Запитвания, Страните в оперативен порядък и в рамките на 5 (пет) дни от получаване на отчетите по т. 7.5 си оказват пълно съдействие за изясняване на причините за разминаването, съответно за постигане на съгласие относно точността на данните.
7.7 Въз основа на обменените отчети по т. 7.5 – 7.6, Страните ще извършват засичане на Заявките (съответно на Отговорите) два пъти годишно – до края на месец Юли (за периода от 01.01 до 30.06) и до края на месец Януари (за периода от 01.07 до 31.12). В случай че при засичането бъде установено, че една от Страните е направила повече от 30000 (тридесет хиляди) Запитвания през съответния шестмесечен период, в рамките на 5 (пет) дни от установяването другата Страна ще издаде и предостави дебитно известие за горницата, базирана на единичната цена за Запитване по Приложение № 3.
7.8 Фактурата, издадена съгласно предходната т. 7.7, следва да бъде заплатена от Страната длъжник най-късно до 60 (шестдесет) календарни дни, считано от датата на получаването й. В случай че и двете Страни са издали фактури съгласно т. 7.7, ще се прилагат съответно т. Error! Reference source not found. – Error! Reference source not found..
7.9 Плащанията по този Договор ще бъдат извършвани по банков път, по сметките, посочени от Страните в съответните фактури. В случай че дадено плащане е наредено в срок, същото ще се счита за навременно извършено, дори и сметката на Страната получател да бъде заверена със съответната сума след изтичане на срока за плащане.
7.10 Най-късно до три месеца преди изтичане на 24-те месеца, за които Страните са платили авансово месечните такси съгласно т. 7.3 – Error! Reference source not found., Страните се задължават да започнат преговори за актуализиране на търговските условия (в това число прогнози за Запитвания на месец, цени, приложими отстъпки). При постигане на споразумение, Страните ще изменят Договора при условията и по реда на т. 15.2 по-долу. Ако такова споразумение не бъде постигнато, Договорът ще се прекрати автоматично, считано от деня, следващ изтичането на 24-те месеца, за които Страните са платили авансово месечни такси.
ЧЛЕН 8 РЕД ЗА ОБСЛУЖВАНЕ НА ЖАЛБИ
8.1 Страните се споразумяват, че ще си съдействат при обслужване на Жалби.
8.2 Страната, получила Жалба, ще уведоми другата Страна („Засегнатата Страна“) във възможно най-кратък срок след получаването й. Уведомлението ще се извършва на адресите за контакт, посочени в ЧЛЕН 10 от този Договор.
8.3 Засегнатата Страна ще предостави на другата Страна необходимата за изготвяне на отговор информация или документи, доколкото това е позволено от този Договор и Приложимото право.
8.5 Разпоредбите на т. 8.1 – 8.4 не засягат задълженията на всяка от Страните във връзка с оказването на Навременно съдействие, в съответствие с предвиденото в Споразумението.
ЧЛЕН 9 СРОК НА ДОГОВОРА
9.1 Този Договор влиза в сила от датата на подписването му и е безсрочен. В случай че Страните са подписали Договора на различни дати, за дата на подписване ще се смята най-късната дата.
9.2 Всяка година от Договора Страните се задължават да ревизират резултатите и заедно да координират действия при необходимост от подобряване.
ЧЛЕН 10 УВЕДОМЛЕНИЯ
10.1 Уведомленията, свързани с изпълнението на настоящия Договор, за неизпълнение на задълженията на насрещната Страна, предупрежденията и изявленията за прекратяване и разваляне на Договора и други се извършват в писмена форма на следните адреси на Виваком и Предприятието:
ЗА Виваком:
адрес: ………………………………
имейл: ……………………………...
лице за контакт: …………………………..
ЗА Предприятието:
адрес: ………………………………..
имейл: ……………………………….
лице за контакт: ………………………..
10.2 За спазена писмена форма ще се счита електронната форма на изявленията, адресирани до посочените в предходната точка имейли. Ако уведомление е изпратено чрез имейл, същото ще се счита получено от Страната получател на следващия работен ден от изпращане на уведомлението.
10.3 Предприятието декларира и гарантира, че е информирало законните си представители, пълномощниците, лицата за контакт и/или служителите си и тези на подизпълнителите си (ако има такива), чиито данни са или ще бъдат предоставени на Виваком при или повод сключването, изпълнението и/или прекратяването на настоящия Договор, че Виваком ще обработва техните данни съгласно Политика за поверителност и защита на личните данни на контрагенти и техни представители, служители и/или подизпълнители, публикувана на xxx.xxxxxxx.xx.
ЧЛЕН 11 ОТГОВОРНОСТ
11.1 В случай на неизпълнение на което и да е от паричните си задължения по този Договор, неизправната Страна се задължава да заплати дължимата сума (или неплатената част от нея), ведно със законната лихва върху сумата за срока на забавата.
и непосредствени имуществени вреди, доколкото същите са били предвидими към датата на сключване на Договора.
11.3 Във всички случаи на неизпълнение, изправната Страна ще има право на обезщетение в размер на претърпените вреди от нарушението, съдебни разноски и други преки разходи и разноски, произтичащи от нарушението.
11.4 Никоя от Страните не носи отговорност, в случай на непредоставяне на Отговори, поради независещи от съответната Страна причини, включително липса на информация за съответен Клиент, технически повреди, проблеми във функционирането или спиране на мрежи или системи и други подобни обстоятелства. При настъпване на такива причини, всяка от Страните следва да уведоми другата Страна за това, в рамките на 3 (три) Работни дни от настъпването им.
ЧЛЕН 12 ПРЕКРАТЯВАНЕ НА ДОГОВОРА
12.1 Договорът се прекратява при настъпване на едно от следните основания: (а) по взаимно съгласие на Страните, изразено в писмена форма;
(б) незабавно, при заличаване от Търговския регистър на някоя от Страните по него;
(в) незабавно, в случай че някоя от Страните преустанови или бъде лишена от право да предоставя обществени електронни съобщителни услуги;
(г) незабавно, в случай че някоя от Страните преустанови предоставянето на крайни устройства при сключване на договори с крайни ползватели (в такива случаи, ако другата Страна продължава да отговаря на условията за получаване на информация по чл. 249, ал.3 от ЗЕС, Страните могат да сключат нов договор, по силата на който само тази Страна може да прави Запитвания, в съответствие с изискванията на ЗЕС и Указанията);
(д) незабавно, съгласно последното изречение от т. 6.3; (е) съгласно последното изречение от т. 7.10.
12.2 В случай на нарушение на някоя от клаузите на този Договор, изправната Страна е длъжна писмено да уведоми неизправната Страна в какво се състои неизпълнението на задължението и да даде на неизправната Страна подходящ срок за изпълнение, но не повече от 14 (четиринадесет) календарни дни. В случай че неизпълнението продължи и след изтичането на срока по предходното изречение, изправната Страна може да развали Договора с 14-дневно (четиринадесетдневно) писмено предизвестие.
ЧЛЕН 13 КОНФИДЕНЦИАЛНОСТ
13.1 За целите на този Договор "Поверителна информация" означава информация, разкрита от една от Страните ("Предоставяща Страна") на другата Страна ("Получател"), която се отнася до или е свързана с предмета на настоящия Договор и дейностите, посочени тук, включително, но не само, информация относно Клиенти, търговска и/или техническа информация, клаузите на този Договор и уговореното възнаграждение, ноу-хау, софтуерни и хардуерни решения, в писмена или електронна форма (и независимо дали информацията е била обозначена като поверителна/конфиденциална). Поверителната информация ще остане собственост на Предоставящата Страна. Поверителна информация е и всяка информация за процедурите и правилата на Предоставящата страна, както и всяка друга информация, особено информацията, свързана с процедурите за защита на системите и секретните кодове, криптиране, в това число процедурата за автентификация между Страните.
13.3 Получателят може да разкрива Поверителна информация на свои Свързани лица, без да изисква предварителното писмено одобрение за такова разкриване от съответната Разкриваща Страна, с изключение на лични данни, отнасящи се за Клиенти, които са били предоставени при или по повод Запитване и/или Отговор. Свързаните лица следва да третират Поверителната информация като такава и да спазват задължения за поверителност, не по-малко строги от предвидените в този Договор.
13.4 Задълженията за неразкриване на Поверителна информация по този раздел няма да се прилагат по отношение на:
(б) информация, за която Получателят може да докаже с убедителни писмени доказателства с достоверна дата, че е била притежавана на законно основание от тази Страна преди датата на разкриване от Разкриващата страна;
(г) информация, която Получателят е длъжен да разкрие на трето лице или компетентен държавен и/или общински и/или международен орган по силата на подлежащ на изпълнение нормативен, административен или съдебен акт, съгласно т. 13.2.
13.5 За избягване на съмнение, точки 13.4(а) – 13.4(в) не се прилагат по отношение на Поверителна информация, представляваща лични данни за Xxxxxxx, които са получени от Страна при или по повод Запитване и/или Отговор.
13.6 Задължението за конфиденциалност по този член ще важи и за период от 5 (пет) години след прекратяване на този Договор, независимо от причините за това.
13.7 В случай, че някоя от Страните наруши задълженията си съгласно този член, ще носи отговорност в размер на действително причинените вреди на изправната Страна, в следствие от нарушението.
ЧЛЕН 14 СПОРОВЕ
14.1 Всички спорове, породени от този Договор или отнасящи се до него, включително споровете, породени или отнасящи се до неговото тълкуване, недействителност, изпълнение прекратяване и/или разваляне, както и споровете за попълване на празноти в Договора или приспособяването му към нововъзникнали обстоятелства, ще бъдат разрешавани със споразумение между Страните, а при невъзможност за постигане на такова ще се прилагат относимите разпоредби на Приложимото право.
ЧЛЕН 15 ДОПЪЛНИТЕЛНИ РАЗПОРЕДБИ
15.1 За неуредените с този Договор въпроси се прилагат разпоредбите на Приложимото право.
15.3 Всички договори, xxxxxx и допълнителни споразумения, сключени между Xxxxxxxx, остават в сила, доколкото не противоречат на настоящия Договор.
15.4 Неразделна част от този договор са следните приложения:
ПРИЛОЖЕНИЕ № 1 – Характеристики и изисквания към кодовете за означаване на стойността на параметрите за стойност на дълга („Стойност“) и продължителност на забавата („Просрочие“);
ПРИЛОЖЕНИЕ № 2 – Споразумение за ниво на обслужване;
ПРИЛОЖЕНИЕ № 3 – Цени и механизъм на ценообразуване.
ПРИЛОЖЕНИЕ № 4 – Споразумение за защита на личните данни между независими администратори.
ПРИЛОЖЕНИЕ № 4.1 – Описание на обработването на лични данни
ПРИЛОЖЕНИЕ № 5 – Изисквания за защита на данните
За и от името на Виваком:
Подпис:
Име:
Позиция:
Дата:
За и от името на Предприятието:
Подпис:
Име: Позиция: Дата:
ПРИЛОЖЕНИЕ № 1
към
ДОГОВОР ЗА ДОСТЪП ДО ФУНКЦИОНАЛНОСТ ЗА ОБМЕН НА ИНФОРМАЦИЯ
„ХАРАКТЕРИСТИКИ И ИЗИСКВАНИЯ КЪМ КОДОВЕТЕ ЗА ОЗНАЧАВАНЕ НА СТОЙНОСТТА НА ПАРАМЕТРИТЕ ЗА СТОЙНОСТ НА ДЪЛГА („СТОЙНОСТ“) И ПРОДЪЛЖИТЕЛНОСТ НА ЗАБАВАТА („ПРОСРОЧИЕ“)“
1. Основни характеристики:
1.1. При обмена на информацията предприятията ще обменят кодове, за да означат стойността на параметрите за стойност на дълга („Стойност“) и продължителност на забавата („Просрочие“).
1.2. Предоставящите предприятия предоставят кодове, отговарящи на „липсва информация“ за параметър „Стойност“ и параметър „Просрочие“, в следните случаи:
а) предоставящото предприятие не разполага с информация за крайния ползвател, за чийто уникален идентификатор по чл. 2, ал. 4 е получило искане от заявяващо предприятие; или
б) крайният ползвател, за чийто уникален идентификатор е получено искане от заявяващо предприятие, няма просрочени задължения към предоставящото предприятие; или
в) крайният ползвател, за чийто уникален идентификатор е получено искане от заявяващо предприятие, има просрочени задължения към предоставящото предприятие, но общият размер на задължението е по-нисък или равен на 15% (петнадесет на сто) от минималната работна заплата (МРЗ) в Република България; или
г) крайният ползвател, за чийто уникален идентификатор е получено искане от заявяващо предприятие, има просрочени задължения към предоставящото предприятие и продължителността на забавата е по-малка от 30 (тридесет) дни; или
д) крайният ползвател, за чийто уникален идентификатор е получено искане от заявяващо предприятие, има просрочени задължения към предоставящото предприятие, но продължителността на забавата е по-дълга от 1095 дни (три години).
2. Характеристики на параметър „Стойност“:
2.1. Обменяна информация:
Amount % от МРЗ | Answer | Amount answer key |
< 15% | Липсва информация | 0 |
≥ 15% и < 30% | Задължения ≥ 97.50 лв. и < 195.00 лв. | 1 |
≥ 30% и < 75% | Задължения ≥ 195.00 лв. и < 487.50 лв. | 2 |
≥ 75% | Задължения ≥ 487.50 лв. | 3 |
2.2. Други изисквания към параметър „Стойност“:
2.2.1. Параметър „Стойност“ предоставя информация за общия размер на неплатените задължения на крайния ползвател (включително неустойки, лизингови вноски и всякакъв др. вид задължения) към предоставящото предприятие.
2.2.2. С цел актуализация, параметърът „Стойност“ следва да се изчислява като процент от минималната работна заплата (МРЗ) в Република България.
2.2.3. Размерът на МРЗ трябва да се актуализира от предоставящото предприятие при приемане и обнародване на нов размер на МРЗ в „Държавен вестник”.
2.2.4. Минималният размер на задължението, за което може да се предоставя информация надвишава 15 % (петнадесет на сто) от МРЗ за Република България.
2.2.5. При калкулиране на параметъра „Стойност“ се включват всички видове просрочени задължения на краен ползвател със съответните данни по чл. 2, ал. 4 в системите на предоставящото предприятие (без изключения), като се приспадат внесени гаранционни депозити, за които не е изтекла тригодишната погасителна давност.
2.2.6. Параметърът „Стойност“ следва да бъде актуален към деня, предхождащ получаване на заявката. Приложение към Решение № 300/19.08.2021 г. на КРС 5
3. Характеристики на параметър „Просрочие“:
3.1. Обменяна информация:
Days | Answer | Date answer key |
< 31 | Липсва информация | 0 |
31-90 | Задължения между 31-90 дни | 1 |
91-180 | Задължения между 91-180 дни | 2 |
181-1095 | Задължения между 181-1095 дни | 3 |
>1095 | Липсва информация | 0 |
3.2. Други изисквания към параметър „Просрочие“:
3.2.1. Параметърът „Просрочие“ трябва да е изчислен от крайната дата за погасяване на задължението на първа (най-стара) неплатена фактура, независимо от предмета и вида на фактурираната стойност.
3.2.2. Параметърът „Просрочие“ трябва да бъде актуален към деня, предхождащ получаване на заявката.
3.2.3. Минималната продължителност на забава, за която може да се предоставя информация чрез параметър „Просрочие“ е поне 30 (тридесет) дни, а максималната – 1095 дни (три години).
*** Край на Приложение № 1.
Останалата част от страницата е нарочно оставена празна.
ПРИЛОЖЕНИЕ № 2
към
ДОГОВОР ЗА ДОСТЪП ДО ФУНКЦИОНАЛНОСТ ЗА ОБМЕН НА ИНФОРМАЦИЯ
„СПОРАЗУМЕНИЕ ЗА НИВО НА ОБСЛУЖВАНЕ“
1. Услуги, включени в Споразумението за ниво на обслужване
1.1.1. При започване на инцидент се записва часът на изпращане на е-мейл към посочените мейли за контакт със Страна по Договора.
1.1.2. Разкриващата Страна се задължава и е отговорна за прилагането на критични обновления (Hot Fixes, Patches и конфигурации), необходими за нормалната и сигурна работа на Системата, в описаните срокове за реакция.
1.1.3. В случаите, в които Страна по Договора подава искане към друга Xxxxxx за осъществяване и/ или внедряване на нова функционалност, недефинирана или неописана към момента на подписване на Договора:
1.1.3.1. искащата Xxxxxx изпраща писмена заявка под формата на Искане за Промяна (Request for Change) по е-мейл към посочените мейли за контакт с другата Страна.
1.1.3.2. Страната, получила искането за промяна, в срок от 15 работни дни, извършва преглед и оценка на получената заявка за промяна и я комуникира по е-мейл до искащата Страна.
1.2. Всяка от Страните ще информира останалите Страни по Договора, чрез съгласуван списък с контактни лица, за всички планирани прекъсвания или профилактики на автоматичния обмен. Всяка от Страните се задължава да уведомява другите Страни за предстоящи планирани прекъсвания и/или профилактика най-малко 5 (пет) Работни дни предварително.
2. Уведомяване за проблем / инцидент
Всяка от Страните осигурява 24x7 възможност за изпращане на заявки за обслужване, регистриране на събитие, инцидент или проблем.
2.1. Всеки проблем се регистрира и проследява на е-мейл към посочените мейли за контакт и съдържа не по-малко от следните параметри: дата и час на проблема, тип на проблема, кратко описание, примерна заявка.
2.2. На база предоставената информация, всяка от Страните е длъжна да започне проверка и да отстрани проблема максимално бързо.
2.3. По време на отстраняване на проблема се поддържа актуална информация и се дава обратна връзка към останалите Страни за предприетите действия.
2.4. Закриване на проблема може да бъде направено само след потвърждение от от всички засегнати Страни, че проблемът е отстранен и възможността за обмен на информация по чл. 249, ал. 3 от ЗЕС е възстановена обратно към състоянието, в което е била преди възникването на проблема.
3. Поддръжка на Системата
3.1. Определения. Следните термини и изрази (включително когато се използват в множествено число), имат значенията, определени в този член, освен ако контекстът не изисква друго. Думи и изрази с главна буква, които не са дефинирани в този член, ще имат значението, определено от Страните в Договора.
3.1.1. “Недостъпно време” е сумата от всички времена на неизправност и всички времена, превишаващи максимално договорената продължителност на Планираната поддръжка в рамките на определения период на наблюдение. При определяне на време не наличност не се взема предвид продължителността на планирана поддържка, ако за нея другата Страна е била надлежно уведомена.
3.1.2. “Maintenance window” (Прозорец за поддръжка) е периодичен период от време, в който ще се изпълнява Планираната поддръжка. Прозорецът за поддръжка се провежда в работно време, напр. в периода между 9:00 и 12:00 часа.
3.1.3. „Извънредна поддръжка“ означава работа по поддръжката, извършена извън Прозорец за поддръжка, която е необходима за текущата работа на автоматичния обмен.
3.1.4. „Предварителен срок за уведомяване“ е минималният период от време, в който Страна по Договора ще бъде информирана за планираната поддръжка от другата Страна.
3.1.5. “Планирана поддръжка” означава предварително планираните работи и дейности, които могат да изискват прекъсване на услугите или могат да повлияят върху правилното им функциониране.
3.2. Планирана поддръжка се извършва само по време на Прозореца за поддръжка. Максималната продължителност на планираната поддръжка не може да надвишава 6 (шест) часа. Независимо от това, всяка от Страните се задължава да полага всички усилия да скъси продължителността на планираната поддръжка до минимум. Общата продължителност на планираната годишна поддръжка се ограничава до 72 (седемдесет и два) часа годишно.
3.3. Срокът за предварително уведомяване за Планирана поддръжка е най-малко 5 (пет) Работни дни предварително. Уведомлението се изпраща в писмена форма под формата на електронна поща.
3.4. Всяка от Страните гарантира, че Планираната поддръжка на Системата не може да бъде повече от веднъж на календарен месец.
4. Технически параметри на договорните услуги:
4.1. Наличност: Разкриващата страна ще осигурява наличност на Системата както следва:
Наличност на Системата без Disaster Recovery, на месечна база ще бъде 97% (деветдесет и седем процента).
4.2. Време за реакция при инцидент
Xxxx | Xxxxxx | Време за реакция на инцидент |
Ниво 1 | Критична | До 12 часa |
Ниво 2 | Висока | До 24 часа |
Ниво 3 | Нормална | До 48 часа |
Ниво 4 | Ниска | До 72 часа |
4.3. Време за отстраняване на проблем
Xxxx | Xxxxxx | Време за отстраняване на проблем |
Ниво 1 | Критична | До 24 часа |
Ниво 2 | Висока | До 48 часа |
Ниво 3 | Нормална | До 72 часа |
Ниво 3 | Ниска | До 168 часа |
В случай, че времето за отстраняване на проблем надвишава максималното време за отстраняване на проблеми, засегнатата Страна уведомява по е-мейл останалите Страни като се ангажира с нов срок за отстраняване на проблема.
4.4. Определяне на Време за отстраняване на проблем и Време за реакция
4.4.1. Определение на Време за реакция:
Времето между часа и минутата на подаване на заявка за инцидент и часа и минутата на отговора, че се работи по проблема.
4.4.2. Определение на Време за отстраняване на проблем:
Времето за отстраняване е съгласно приоритета на инцидента. Започва да тече от часа и минутата на подаване на заявка за инцидент, до часа и минутата на отстраняването му от страна на Разкриващата Страна, или от предоставянето на временно решение, което е било одобрено от другата Страна. Отстраняването на
инцидент се отбелязва чрез промяна на статуса на проблема в тикетинг системата на
„Разрешен“ или „Готов“, при което спира да тече времето за отстраняване на проблем.
Проблемът се счита за отстранен когато Получаващата Страна е потвърдила неговото отстраняване.
4.5. Страните не носят отговорност за обстоятелства, които са извън технически контрол, включително акт на държавна власт, война, бунт, саботаж, ембарго, пожар, наводнение, стачка или друга форма на трудов протест, прекъсване на транспорта или закъснение, прекъсване или забавяне на трети страни;
4.6. Категоризация на инцидентите:
4.6.1. „Критичен“ – Системата не е достъпна и/или налична и може да окаже критично влияние на бизнес процесите, ако функционалността за обмен не е възстановена възможно най-скоро.
4.6.2. „Висок” – Работата на Системата е силно засегната, което води до над 20% загуба на трафик и влияе на значими аспекти на процесите.
4.6.3. „Нормален“ – Оперативността на Системата е засегната, но повечето процеси остават незасегнати.
4.6.4. „Нисък“ – Получаващата Страна изисква информация или съдействие във връзка с характеристики и производителност на Системата, в т.ч. инсталация или конфигурация. Наблюдава се слаб или никакъв ефект върху процесите.
5. Нива на поддръжка
Всяка от Страните се ангажира да поддържа екип от високо квалифицирани и сертифицирани служители, и детайлно разработени процедури за подобряване качеството на услугите.
5.1. Осигуряват се следните лица за контакт на Страните за поддръжка на Системата.
Име | Длъжност | |
Виваком | ||
***Край на Приложение № 2.
Останалата част от страницата е нарочно оставена празна.
ПРИЛОЖЕНИЕ № 3
към
ДОГОВОР ЗА ДОСТЪП ДО ФУНКЦИОНАЛНОСТ ЗА ОБМЕН НА ИНФОРМАЦИЯ
„ЦЕНИ И МЕХАНИЗЪМ НА ЦЕНООБРАЗУВАНЕ“
6. Първоначална такса за интеграция със Системата на Разкриващата Страна
Разкриваща Страна | Първоначална такса за интеграция |
Виваком | 9,201.50 |
7. Месечна такса за предоставяне на Отговори по Запитвания
Разкриваща Страна | Единична такса за Запитване | Месечна такса за 5,000 Запитвания | Авансова такса за 24 м. х 5,000 Запитвания |
Виваком | 0.74 | 3,700 | 88,800 |
8. Разни
8.1. Всички цени са в евро.
8.2. При плащания в лева, Страните ще прилагат фиксирания курс на БНБ, а именно 1.95583. В случай на промяна на курса евро / лева, всяка от Страните може да поиска предоговаряне на условията по Договора.
8.3. В цените се включват всички и всякакви данъци и такси, с изключение на ДДС, както и разноските, които следва да бъдат направени с оглед предоставяне на достъп до Системата и изпълнение на задълженията на Разкриващата Страна по Договора, като например:
8.3.1. трудови възнаграждения;
8.3.2. социални осигуровки;
8.3.3. транспортни разходи;
8.3.4. разноски по настаняване, командировъчни;
8.3.5. разноски за оборудване, софтуер, компютърни конфигурации, инструменти и/или консумативи;
8.3.6. разноски за мобилни / фиксирани номера или линии, както и за провеждане на обаждания и разговори във връзка Договора;
8.3.7. обучения;
8.3.8. застрахователни премии;
8.3.9. разноски за други дейности, продукти, стоки, услуги и/или материали, чието извършване или предоставяне е необходимо с оглед надлежното изпълнение на задълженията по Договора.
*** Край на Приложение № 3.
Останалата част от страницата е нарочно оставена празна.
ПРИЛОЖЕНИЕ № 4
към
ДОГОВОР ЗА ДОСТЪП ДО ФУНКЦИОНАЛНОСТ ЗА ОБМЕН НА ИНФОРМАЦИЯ
„СПОРАЗУМЕНИЕ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ МЕЖДУ НЕЗАВИСИМИ АДМИНИСТРАТОРИ“
Това споразумение е сключено в гр. София, между:
…………………………………….. с XXX , със седалище и адрес на управление
……………………………………………………………………………………………………, представлявано от („Предприятието“)
и
БЪЛГАРСКА ТЕЛЕКОМУНИКАЦИОННА КОМПАНИЯ ЕАД с ЕИК 831642181, със седалище и адрес
на управление в гр. София, булевард „Цариградско шосе“ № 115 И, представлявано от представлявано от („Виваком“),
наричани за краткост поотделно „Страна“, а заедно „Страните“.
1. ВЪВЕДЕНИЕ
1.1 Страните желаят да сключат това Споразумение, за да регламентират правилата и условията, приложими за достъпа и използването на Личните Данни.
1.2 Целта на това Споразумение е да бъдат осигурени подходящи гаранции и мерки за защитата на личните данни, както и съответствие с изискванията на приложимото законодателство.
1.3 При осъществяване на обмена на Лични Данни в съответствие с Договора и това Споразумение, Страните ще действат като независими Администратори. По-конкретно, сключването и изпълнението на Договора и настоящото Споразумение нямат за цел регламентирането на отношения между Администратор и обработващ или между съвместни администратори по смисъла на ОРЗД.
1.4 Всяка Страна декларира и гарантира на другите две Страни, че към датата на сключване на Договора и настоящото Споразумение:
1.4.1 Страната е извършила оценка на въздействието върху защитата на данните, в съответствие с Раздел 3 от Глава IV на ОРЗД; и
1.4.2 Страната е въвела изцяло или е в процес на въвеждане на мерките, предвидени за справяне с рисковете, включително гаранциите, мерките за сигурност и механизмите за осигуряване на защитата на личните данни и за демонстриране на спазването на ОРЗД, идентифицирани в извършената от нея оценка на въздействието върху защитата на данните.
2. ДЕФИНИЦИИ
Освен ако е изрично посочено друго в това Споразумение, термините, започващи с главна буква и употребени в Споразумението, ще имат значението, уговорено от Страните в настоящия чл. 2.
Термин / Фраза | Значение |
Споразумение | означава настоящото споразумение, ведно с всички приложения към него, включително последващите му изменения и допълнения, уговорени от Страните в писмена форма. |
Одобрена цел | ще има значението по т. 4 от Приложение № 4.1 към това Споразумение. |
Договор | ще има значението по т. 1 от Приложение № 4.1 към това Споразумение. |
ОРЗД | Регламент (ЕС) 2016/679 на Европейския Парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на директива 95/46/ЕО, в това число всякакви негови изменения или допълнения, приети след сключване на това Споразумение, както и всякакви актове на вторичното право на ЕС, приети след сключване на това Споразумение, които частично или изцяло го отменят или заменят. |
ЗЕС | Има значението, предвидено в Договора |
Указания | Има значенеито, предвидено в Договора |
Администратор | има значението, предвидено в чл. 4, т. 7 от ОРЗД (в редакцията му към момента на сключване на Споразумението). |
Получаващ Администратор | означава Страната („Получаваща Страна“ по смисъла на Договора), която прави Запитване до другата Страна, съответно която получава Отговор от Разкриващия Администратор. |
Разкриващ Администратор | означава Страната („Разкриваща Страна“ по смисъла на Договора), която предоставя Отговор на Получаващия Администратор в изпълнение на направенo Запитване от Получаващия Администратор. |
Субект на данни | означава физическо лице, за което е направено Запитване (съответно за което е предоставен Отговор) съгласно Договора и настоящото Споразумение. Категориите физически лица, за които могат да бъдат правени Запитвания, съответно връщани отговори, са посочени в т. 2 от Приложение № 4.1 към това Споразумение. |
Обработване | има значението, предвидено в чл. 4, т. 2 от ОРЗД (в редакцията му към момента на сключване на Споразумението). |
Терминът „Обработка“ следва да се тълкува съответно. | |
Запитване | означава запитване от Получаващия Администратор, съдържащо Личните данни по т. 3 от Приложение № 4.1 към това Споразумение, извършено с цел получаване на информация съгласно чл. 249, ал. 3 от ЗЕС. |
Отговор | Означава отговор на Разкриващия Администратор по Запитване, който отговор съдържа Личните данни по по т. 3 от Приложение № 4.1 към това Споразумение, извършено с цел предоставяне на информация съгласно чл. 249, ал. 3 от ЗЕС. |
Лични данни | означава данните за Субектите на данни по т. 3 от Приложение № 4.1 към това Споразумение, които се Обработват при Запитвания и Отговори. За избягване на съмнение, тези данни са лични данни по смисъла на чл. 4, т. 1 от ОРЗД (в редакцията му към момента на сключване на Споразумението). |
Нарушение на сигурността | има значението, предвидено в чл. 4, т. 12 от ОРЗД (в редакцията му към момента на сключване на Споразумението). |
Надзорен орган | означава Комисията за защита на личните данни. |
Обработващ лични данни | има значението, предвидено в чл. 4, т. 8 от ОРЗД (в редакцията му към момента на сключване на Споразумението). Терминът „Обработващ“ следва да се тълкува съответно. |
Навременно съдействие | означава надлежно предоставяне на информация, документи или други доказателства, коригиране на неточни данни, ограничаване или преустановяване на Обработването на Лични данни, в това число изтриването на Лични данни, в рамките на 14 (четиринадесет) дни от поискването. По изключение, в случай че Xxxxxxxx орган или друг компетентен орган изиска от някоя Страна да предостави информация, документ или друго доказателство, срокът по предходното изречение ще бъде 3 (три) дни от поискването. |
Изтриване | при Обработка на Лични данни в електронен вид означава: − изтриване чрез методите “purge” или “destroy” от NIST 800-88, или по-нови такива, които осигуряват същото или по-високо ниво на сигурност, че Личните данни не могат да бъдат възстановени; или − анонимизация, извършена по начин, който не позволява ре-идентификация на Субектите на данни при използване съвременни (state-of-the-art) |
технически средства и външни/вътрешни (референтни) бази данни. Терминът „Изтрие“ следва да се тълкува съответно. | |
Унищожаване | при Обработка на Лични данни на хартиен носител означава физическото унищожаване на носителите, извършено по начин, който не позволява възстановяване на Личните данни. Терминът „Унищожи“ следва да се тълкува съответно. |
Приложимо право | означава материалното право на Република България. |
Продължаващо Обработване | означава Обработване на Лични данни във връзка с Договора и Споразумението, което се извършва от Страна след прекратяването или развалянето на това Споразумение (напр. системни записи за отправени Запитвания и/или предоставени Отговори и др.). |
3. ПРЕДМЕТ НА СПОРАЗУМЕНИЕТО
3.1 Това Споразумение регламентира Обработването на Лични данни, което ще бъде осъществявано от Страните при и по повод изпълнението на Договора.
3.2 Обработката на Лични данни от Страните, предвидена в Договора и настоящото Споразумение, може да се осъществява от Страните само за:
3.2.1 Одобрената Цел; или
3.2.2 изпълнение на нормативни задължения, произтичащи от Приложимото право (в това число, но не само, обслужване на искания за упражняване на права по ОРЗД, предоставяне на информация на Надзорния орган или на други компетентни органи и др.); или
3.2.3 оказването на съдействие съгласно чл. 7.4 от това Споразумение; или
3.2.4 уреждането на отношенията между Страните и/или между Страните и Субектите на данни, във връзка със сключването, тълкуването, изпълнението, прекратяването и/или развалянето на Споразумение или Договора; или
3.2.5 установяването, упражняването или защитата на правни претенции.
4. СПАЗВАНЕ НА ПРИНЦИПИТЕ НА ОРЗД
4.1 Всяка от Страните декларира и гарантира, че при Обработването на Лични данни, което ще бъде осъществявано от Страните при и по повод изпълнението на Договора, ще прилага и спазва стриктно всички принципи и разпоредби на ОРЗД.
4.2 Без да ограничават общия характер на задължението по предходния член, в Приложение №
4.1 Страните са уговорили конкретни задължения, имащи за цел да гарантират съответствието с изивкванята на ОРЗД.
5. АНГАЖИРАНЕ НА ОБРАБОТВАЩИ
Всяка от Страните може, по своя преценка, да ангажира Обработващи във връзка с Обработването на Лични данни, което ще бъде осъществявано при и по повод изпълнението
на Договора, доколкото това се извършва в съответствие с изискванията на ОРЗД и настоящото Споразумение.
6. ТРАНСФЕРИ НА ЛИЧНИ ДАННИ
Освен ако изрично е уговорено друго, никоя Страна няма право да изнася Лични данни, получени от друга Страна при изпълнението на Договора и това Споразумение, извън територията на ЕС/ЕИО.
7. ПРАВА НА СУБЕКТИТЕ НА ДАННИ
7.1 Страните са длъжни да предоставят на Субектите на данни:
7.1.1 информацията, предвидена в чл. 13, съответно чл. 14 от ОРЗД, в съответствие с чл. 12 от ОРЗД;
7.1.2 информацията, предвидена в чл. 226а, ал. 2 от ЗЕС.
7.2 Страните са длъжни да осигурят, че Субектите на лични данни могат да упражняват правата, предвидени в чл. 15 – 22 от ОРЗД.
7.3 Страните се съгласяват, че отговорността за обслужване на искане за упражняване на права по ОРЗД, направено от Субект на данни и имащо отношение към Обработването, предвидено в Договора и настоящото Споразумение, ще бъде на Страната, която е получила искането.
7.4 Страните се съгласяват да си оказват Навременно съдействие, за да могат да:
7.4.1 изпълняват исканията за упражняване правата на Субектите на данни, както и да отговорят на всякакви други запитвания или жалби от тях; и/ил
7.4.2 оказват съдействие на Надзорния орган или на други компетентни органи при извършване на проверки (в това число, но не само, при получена жалба или сигнал, или при разследване на Нарушение на сигурността).
8. СИГУРНОСТ НА ЛИЧНИТЕ ДАННИ
8.1 Всяка Страна е отговора за сигурността Личните данни и е длъжна да въведе подходящи технически и организационни мерки за защита, срещу неразрешено или незаконно Обработване и срещу случайна загуба, унищожаване, повреда, промяна или разкриване, както и да спазва всички изисквания за инеграция и информационна сигурност, предвидени в Приложимото право, Договора и настоящото Споразумение.
8.2 Без да се ограничава общия характер на предходната т. 8.1 или да се ограничава нейното приложно поле, всяка от Страните се задължава:
8.2.1 да осигури подходящи гаранции, че техническото оборудване, включително преносимо оборудване, което се използва за Обработката на Личните данни, се съхранява в заключващи се зони;
8.2.2 да осигури подходящи мерки, предотвратяващи оставянето без надзор на оборудване, в което се съхраняват или се Обработват по друг начин Лични данни;
8.2.3 да въведе нужните мерки, които да гарантират, че отговорните служители (и евентуално Обработващи) използват подходящи сигурни автентикатори за достъп до системи или бази данни, в които се съхраняват или се Обработват по друг начин Личните данни;
8.2.4 да ограничи на достъпа до базите данни и системи, в които се Обработват Личните данни, само до тези служители и подизпълнители, които трябва да имат достъп до съответните данни;
8.2.5 да осигури, че паролите за достъп се променят и редовно се актуализират, за да се предотврати нерегламентиран достъп;
8.2.6 да управлява достъпа до системи и бази данни, с оглед предотвратяване на нерегламентиран достъп от лица, които вече не са ангажирани от съответната Страна с извършването на дейности по Обработка;
8.2.7 да провежда редовни оценки на заплахите, тестване за уязвимости и тестване за проникване в системите;
8.2.8 да провежда редовни обучения и инструктажи на служителите и подизпълнителите, работещи с Лични данни, които да съдържат необходимата информация за техните отговорности по отношение на Обработката на Лични данни;
8.2.9 да позволява извършването на инспекции и оценки от другата Страна по отношение на взетите мерки за сигурност или представяне на доказателства за тези мерки, ако това бъде поискано.
9. СРОКОВЕ ЗА СЪХРАНЯВАНЕ НА ЛИЧНИТЕ ДАННИ
9.1 Сроковете за съхранение на Лични данни, предоставени от Разкриващия Администратор, съответно получени от Получаващия Администратор, са уговорени в Приложение № 4.1.
9.2 След изтичане на сроковете за съхранение, предвидени в Приложение № 4.1, съответната Страна е длъжна безвъзвратно да Изтрие, съответно да Унищожи, Личните данни.
9.3 Независимо от чл. 9.2, Страните могат да продължат да Обработват Личните данни и след изтичане на сроковете, уговорени в Приложение № 4.1, доколкото разполагат със самостоятелно валидно правно основание за това (напр. за да осигурят съответствие с всички законови срокове на съхранение, приложими за тях).
10. НАРУШЕНИЯ НА СИГУРНОСТТА НА ЛИЧНИ ДАННИ
10.1 В случай на откриване на Нарушение на сигурността на Личните данни, съответната Страна следва да изпълни задълженията си по чл. 33 и 34 от ОРЗД.
10.2 В допълнение към чл. 10.1, Страната, открила Нарушението на сигурността, следва без забавяне и в срок от 48 (четиридесет и осем) часа след узнаването, да уведоми другите Страни, и да им окаже нужното съдействие за предотвратяване или намаляване на негативните последици от Нарушението на сигурността (в това число за уведомяване на Надзорния орган – ако е приложимо). Уведомлението следва да съдържа следната информация, доколкото е налична при Страната, открила Нарушението на сигурността:
10.2.1 описание на Нарушението на сигурността, включващо:
(а) броя на засегнатите Субекти на данни;
(б) кратко описание на инцидента, който е причинил Нарушението на сигурността;
(в) дата и час на съответния инцидент;
(г) категории и брой засегнати записи и характер и съдържание на засегнатите Лични данни;
(д) физическото местоположение на нарушението и засегнатите носители на данни;
10.2.2 описание на обстоятелствата на Нарушението на сигурността (напр. загуба, кражба, копиране);
10.2.3 описание на идентифицираните необходими и/или препоръчителни мерки за намаляване на неблагоприятните въздействия от Нарушението на сигурността, които
са предприети (или ще бъдат предприети) от Страната, открила Нарушението на сигурността, както и идентифицираните необходими и/или препоръчителни мерки, които следва да бъдат предприети от другите Страни;
10.2.4 описание на вероятните последствия и потенциалния риск от Нарушението на сигурността за засегнатите Субекти на данни; и
10.2.5 описание на всяка допълнителна информация, която може да е относима за Нарушението на сигурността или смекчаване на последиците от неговото настъпване.
10.3 Уведомлението по предходния чл. 10.2 следва да се изпрати по имейл на лицата за контакти, посочени от Страните в Приложение № 4.1.
11. ОТГОВОРНОСТ ПРИ НЕИЗПЪЛНЕНИЕ
11.1 В случай на неизпълнение на задълженията, предвидени в това Споразумение, отговорната Страна се задължава да обезщети другата Страна за претърпените от нея преки и непосредствени имуществени загуби, доколкото същите са били предвидими към датата на сключване на това Споразумение.
11.2 За избягване на съмнение, задължението за обезщетяване по чл. 11.2 няма да се прилага в следните случаи:
11.2.1 когато претърпяната загуба е в резултат на получен на Отговор, съдържащ неточни или неактуални данни; или
11.2.2 когато претърпяната загуба се състои в заплащането на имуществена санкция, наложена от Надзорния орган или от друг компетентен орган; или
11.2.3 когато претърпяната загуба се състои в заплащането на необходимите разходи за привеждане в изпълнение на задължително предписание на Надзорния орган или на друг компетентен орган; или
11.2.4 когато претърпяната загуба се състои в заплащането на обезщетение на Субект на данни.
11.3 Без да се засяга чл. 11.2, в случай че някоя от Страните („Неизправната Страна“) не изпълнява задълженията си по това Споразумение, другата Страна („Изправната Страна“) може временно да преустанови предоставянето на Отговори по Запитвания на Неизправната Страна, докато нарушението бъде поправено или отстранено от Неизправната Страна.
12. КОНФИДЕНЦИАЛНОСТ
Задълженията за конфиденциалност и неразкриване на информация, свързани с предмета на това Споразумение, в това число конфиденциалността на самото Споразумение, са регламентирани в Договора.
13. ПРИЛОЖИМО ПРАВО И УРЕЖДАНЕ НА СПОРОВЕ
13.1 За неуредените в това Споразумение случаи ще се прилагат относимите разпоредби на Приложимото право.
13.2 Споровете относно сключването, тълкуването, изпълнението (съответно неизпълнението) и прекратяването на това Споразумение ще бъдат уреждани в съответствие с механизма за разрешаване на спорове, уговорен от Страните в Договора.
14. ВЛИЗАНЕ В СИЛА, СРОК И ПРЕКРАТЯВАНЕ НА СПОРАЗУМЕНИЕТО
14.1 Това Споразумение влиза в сила на датата, на която същото е подписано от двете Страни. За избягване на съмнение, в случай че Страните са подписали Споразумението на различни дати, за дата на сключване и дата на влизане в сила ще се счита най-късната дата.
14.2 Това Споразумение се сключва за неопределен срок.
14.3 Прекратяването или развалянето на Договора (независимо от основанието за прекратяване) ще води автоматично до прекратяването, съответно развалянето, на това Споразумение и обратното.
14.4 Това Споразумение може да бъде прекратено:
14.4.1 по взаимно съгласие на Страните, изразено в писмена форма; или
14.4.2 едностранно с писмено уведомление, изпратено от Страна („Прекратяващата Страна“) до другата Страна, имащо незабавен ефект, считано от получаването, при настъпване на някое от основанията за прекратяване, предвидени в Приложимото право.
14.5 Това Споразумение може да бъде развалено от Изправната Страна с писмено уведомление до Неизправната Страна, в съответствие с Приложимото право.
14.6 Страните се споразумяват, че прекратяването и развалянето на Споразумението ще имат действие занапред. За избягване на съмнение, Споразумението ще остане в сила и след неговото прекратяване/разваляне, по отношение на Продължаващото Обработване.
15. ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ
15.1 Декларации за известяване относно обработката на лични данни във връзка със сключването и изпълнението на Споразумението:
15.1.1 Предприятието декларира, и гарантира, че са информирали законните представители, пълномощниците, лицата за контакт и/или служителите си и на техните подизпълнители (ако имат такива), чиито данни са или ще бъдат предоставени на Виваком при или повод сключването, изпълнението и/или прекратяването на настоящото Споразумение, че Виваком ще обработва техните данни съгласно Политика за поверителност и защита на личните данни на контрагенти и техни представители, служители и/или подизпълнители, публикувана на xxx.xxxxxxx.xx..
15.1.2 Виваком декларира, и гарантира, че са информирали законните представители, пълномощниците, лицата за контакт и/или служителите си и на техните подизпълнители (ако имат такива), чиито данни са или ще бъдат предоставени на Предприятието при или повод сключването, изпълнението и/или прекратяването на настоящото Споразумение, че Предприятието ще обработва техните данни съгласно
……………………………………………………………….
15.2 Това Споразумение може да бъде изменяно или допълвано само при постигане на изрично съгласие между Страните, изразено в писмена форма. Страните се споразумяват, че изменение или допълнение на Споразумението по силата на мълчаливо приемане на оферта, или чрез конклудентни действия няма да бъде допустимо.
15.3 Ако някоя от разпоредбите на това Споразумение бъде обявена за недействителна, това няма да води до недействителност на Споразумението като цяло, освен ако недействителната разпоредба е част от неговото съществено съдържание.
15.4 Неупражняването на право, предвидено в това Споразумение, няма да се счита за отказ от това право. Отказите от права следва да бъдат извършвани изрично и в писмена форма.
15.5 Това Споразумение отменя и заменя изцяло всички предходни споразумения (в т.ч. преддоговорна кореспонденция) между Страните, касаещи същия предмет.
15.6 При несъответствия или противоречия между разпоредби от това Споразумение и Договора, с приоритет ще се ползват разпоредбите на Споразумението.
15.7 Следните приложения се считат за неразделна част от Споразумението:
− Приложение № 4.1: Описание на Обработването на Лични данни;
15.8 При несъответствие между Споразумението и Приложенията към него, Страните ще прилагат следния низходящ ред на приоритизация:
− Приложение № 4.1;
− Основното тяло на Споразумението (този документ);
15.9 Това Споразумение е изготвено в 2 (два) еднообразни оригинални екземпляра – по един за всяка Страна. Предходното изречение няма да се прилага, в случай че Страните са подписали Договора, от който Споразумението е неразделна част, с електронни подписи.
***Край на Приложение № 4.
Останалата част от страницата е нарочно оставена празна.
ПРИЛОЖЕНИЕ № 4.1
към
СПОРАЗУМЕНИЕ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ МЕЖДУ НЕЗАВИСИМИ АДМИНИСТРАТОРИ
„ОПИСАНИЕ НА ОБРАБОТВАНЕТО НА ЛИЧНИ ДАННИ“
1. Описание на Договора
Споразумението се сключва във връзка с Договора за достъп до функционалност за обмен на информация между Виваком и Предприятието, към който е приложено.
2. Категории субекти на данни
Категориите субекти на данни, чиито Лични данни ще бъдат Обработвани във връзка с изпълнението на Договора и Споразумението, са:
− Настоящи клиенти на Получаващия Администратор;
− Потенциални клиенти на Получаващия Администратор.
3. Категории лични данни
Категориите лични данни, които ще бъдат Обработвани във връзка с изпълнението на Договора и Споразумението, са както следва:
Категория лични данни | При отправяне на Запитване от Получаващия Администратор | При даване на Отговор от Разкриващия Администратор |
ЕГН / ЛНЧ | Да | Да |
Общ размер на просроченото задължение1 | - | Да |
Продължителност на забавата2 | - | Да |
4. Одобрена цел
Целта на предвиждания процес е изпълнение на задълженията по чл. 249, ал. 3 от ЗЕС.
5. Изисквания към Получаващия Администратор, които трябва да бъдат изпълнени преди отправяне на Запитване
1 Информацията за размера на просроченото задължение към Разкриващия Администратор ще се предоставя съгласно Указанията и в съответствие с предвиденото в Договора;
2 Информацията за продължителността на забавата към Разкриващия Администратор ще бъде обобщена, т.к. ще се предоставя съгласно Указанията и в съответствие с предвиденото в Договора
.
5.1 Преди да отправи Запитване, Получаващият Администратор трябва да извърши надлежна идентификация на Субекта на данни, както и да осигури, че са изпълнени предпоставките за отправяне на Запитване, предвидени в ЗЕС
5.2 Получаващият Администратор задължително трябва да предостави на Xxxxxxx на данни информацията по чл. 13 и чл. 14 от ОРЗД, в това число информацията по чл. 226а от ЗЕС, преди да отправи Запитване до Разкриващият Администратор.
6. Изисквания към Разкриващия Администратор, които трябва да бъдат изпълнени преди предоставяне на Отговор
6.1 Разкриващият Администратор трябва да осигури качество (точност и актуалност) на данните, съдържащи се в Отговора, с цел предотвратяване на грешки, както и с цел спазване на изискванията, предвидени в чл. 249, ал. 3 от ЗЕС и в Указанията.
7. Създаване и съхраняване на системни записи (логове)
7.1 Получаващият Администратор и Разкриващият Администратор са длъжни да създават системни записи (логове) за всяко Запитване, съответно за всеки Отговор, с оглед осигуряване на отчетност и прозрачност.
7.2 Получаващият Администратор и Разкриващият Администратор са длъжни да осигурят, че данни за направени Запитвания и за предоставени Отговори ще бъдат достъпни само и единствено за отговорни лица, които са натоварени с техническата реализация и/или поддръжката на системите и процесите за обмяна на данни, и/или за лица, които са пряко ангажирани с процеса по оценка на риска и/или събиране на просрочени задължения. Лицата по предходното изречение следва да бъдат надлежно инструктирани и обучени за работа с лични данни.
8. Срокове за съхранение на личните данни
Сроковете за съхранение на категориите лични данни, които ще бъдат Обработвани във връзка с изпълнението на Договора и Споразумението, са както следва:
Категория лични данни | При отправяне на Запитване от Получаващия Администратор | При даване на Отговор от Разкриващия Администратор |
ЕГН / ЛНЧ | до 8 (осем) месеца | до 8 (осем) месеца |
Общ размер на просроченото задължение | Неприложимо | до 8 (осем) месеца |
Продължителност на забавата | Неприложимо | до 8 (осем) месеца |
9. Лица за контакт във връзка със защитата на личните данни
За контакт с Виваком | За контакт с Предприятието | |
Име | ||
Позиция |
Телефон | ||
Имейл адрес |
*** Край на Приложение № 4.1
Останалата част от страницата е нарочно оставена празна.
ПРИЛОЖЕНИЕ № 5
към
ДОГОВОР ЗА ДОСТЪП ДО ФУНКЦИОНАЛНОСТ ЗА ОБМЕН НА ИНФОРМАЦИЯ
„ИЗИСКВАНИЯ ЗА ЗАЩИТА НА ДАННИТЕ“
1. ОДИТ, ТЕСТВАНЕ И ПРОВЕРКА НА СИГУРНОСТТА
1.1 Разкриващата Страна запазва правото да извършва одити, тестване и проверки, свързани със сигурността, за което Получаващата Страна следва осигури разумното съдействие и документация в подкрепа на целта на одита.
1.2 Разкриващата Страна си запазва правото да ангажира една или повече трети страни по свой избор, за да съдействат на Разкриващата Страна при извършването на одити, тестване и проверки, свързани със сигурността или извършването им от името на Разкриващата Страна.
1.3 Такива одити, тестване и проверки по сигурността, за избягване на съмнение, се ограничават до зони, системи и инфраструктура, които биха могли евентуално да окажат влияние на сигурността на Разкриващата Страна, Личните данни или способността на Получаващата Страна да изпълни своите задължения по Договора.
1.4 Такива одити, тестове и проверки на сигурността се ограничават до веднъж на 12 (дванадесет) месеца, освен ако:
(а) одитите, тестовете или проверките на сигурността, извършени през предходните 12 месеца, са установили сериозни факти (напр. слабости, уязвимости или недостатъци от технически или организационен характер), които дават разумни основания за последващ одит или одит с разширен обхват;
(б) възникне или разумно се подозира, че е възникнал сериозен инцидент по сигурността, напр. нарушение на сигурността на Лични данни, съществено засягащ Разкриващата Страна, личните данни или способността на Получаващата Страна да изпълни своите задължения по Договора, което дава разумни основания за одит на свързания технологичен или организационен обхват;
(в) възникнало е или има съмнения за нарушение на разпоредбите относно сигурността и поверителността, договорени между Разкриващата Страна и Получаващата Страна, което дава разумни основания за одит на свързания технологичен и организационен обхват.
1.5 Освен ако не оказва отрицателно влияние на целта или резултата на одита, тестването и/или проверката по сигурността, Разкриващата Страна следва да изпрати поне двуседмично предизвестие на Получаващата Страна за подобни одити, тестове и проверки на сигурността. Във всички случаи следва да се предостави поне 24-часово предизвестие.
2. ПОЛИТИКА ЗА УПРАВЛЕНИЕ НА ИНФОРМАЦИОННАТА СИГУРНОСТ
2.1 Получаващата Страна следва да има (или да е в процес на приемане през следващите 6 месеца) Политика по управление на информационната сигурност, която е моделирана съгласно стандарт ISO 27002:2013 (или следваща версия) или еквивалентен отраслов стандарт за управление на информационната сигурност, напр. Рамка за контрол на критичната сигурност на интернет сигурността или NIST 800-53.
3. ОЦЕНКА НА ВЪЗДЕЙСТВИЕТО ВЪРХУ ЛИЧНИТЕ ДАННИ
3.1 Получаващата Страна следва да има (или да е в процес на приемане през следващите 6 месеца) и да може да документира пред Разкриващата Страна по искане на Разкриващата Страна и с разумно предизвестие, процес за извършване на оценки на въздействието върху Личните данни, с подкрепящите го процедури и средства за контрол, които са ефективни и действащи. Получаващата Страна следва активно да се стреми да осигури обновяване на извършените оценки, при настъпване на промени.
4. УПРАВЛЕНИЕ НА АКТИВИ
4.1 Получаващата Страна следва да обработва и съхранява лични данни на Разкриващата Страна по начин, в съотвествие с предвиденото в Договора и приложимото законодателство. По своя преценка Получаващата Страна може да приложи за Личните данни, обработвани от Получаващата Страна, по-строга рамка класификация и начин за съхранение.
5. ЧОВЕШКИ РЕСУРСИ И СИГУРНОСТ
5.1 Процесът на скрининг на Получаващата Страна следва да гарантира, че служителите, които работят с Лични данни на Разкриващата Страна, са:
(а) тези, които твърдят, че са, т.е. извършване на независим контрол на самоличността при наемане;
(б) квалифицирани за работата, с високи етични и морални качества, т.е. събиране на препоръки или на данни за съдимост (при условие, че събирането на такива препоръки или данни за съдимост се разрешава от действащото законодателство и наредби);
(в) обучени за работа с лични данни, в това число за нормативните изисквания за обработка на лични данни.
5.2 Получаващата Страна отговаря за своя персонал и за неговите действия. Получаващата Страна се задължава:
(а) да сключи xxxxxxx обвързващ договор с всеки служител, в който се определят неговите задължения към Получаващата Страна, включително професионалната тайна и неговото задължение да спазва разпоредбите относно информационните технологии и сигурността;
(б) да осигури, че всички служители, които работят с Личните данни на Разкриващата Страна, са подписали обвързващи договори с разпоредби за конфиденциалност и защита на данните;
(в) да провежда процес за информиране и инструктиране на всички съответни служители за условията на Договора, общата сигурност и специфичните изисквания за сигурност, свързани с Договора;
(г) съществуването на процедура за уволнение на персонала, която включва:
− оттегляне на правата за достъп до всички системи;
− блокиране на потребителски акаунти и изтриване на мобилните устройства, използвани за обработване на Лични данни на Разкриващата Страна (ако има такива);
− изземване на ИТ оборудването (лаптоп, телефон, таблет или др.), използвано за обработване на Лични данни на Разкриващата Страна;
− оттегляне на правата за физически достъп;
− събиране и унищожаване на идентификационните карти и ключ-карти на служителя.
5.3 За прекратяване, инициирано от служителите, такива действия следва да се предприемат, когато вече не съществува служебна нужда за такъв достъп, акаунти или активи, но при всички случаи не по-късно от деня на прекратяване. Получаващата Страна следва надлежно да оцени риска от поддържането на такъв достъп до акаунти и активи на разположение на служителя и да действа съобразно това. Получаващата Страна следва да обърне специално внимание на риска от поддържането на такъв достъп, акаунти и активи за служителя и да обмисли допълнителни мерки за намаляване на риска в периода между обявяването на прекратяването и оттеглянето на този достъп, акаунти и активи.
За инициирано от работодателя прекратяване поради нарушение или лошо поведение, горепосочените действия следва да се изпълнят незабавно.
5.4 Получаващата Страна се задължава да осигури, че служителите, които нарушават своите договори с Получаващата Страна, условията на трудовия договор или други задължения към Получаващата Страна, свързани по някакъв начин със сигурността, както и когато Разкриващата Страна не счита нарушението за дребно, непреднамерено или без практическо последствие, ще бъдат отстранени от работа с Личните данни на Разкриващата Страна и че целият им достъп, физически и логически, до всякаква информация или функционалност, който вероятно е свързан с предмета на Договора, се оттегля незабавно.
6. ФИЗИЧЕСКА СИГУРНОСТ И СИГУРНОСТ НА ОКОЛНАТА СРЕДА
6.1 Получаващата Страна следва да разполага и да може да демонстрира пред Разкриващата Страна при поискване и с разумно предизвестие, практически реализирана и въведена политика или набор от политики за осигуряване на физическата сигурност за прилагане при опазването на Личните данни.
6.2 Всички зони, в които Получаващата Страна изпълнява задачи за Разкриващата Страна, които евентуално могат да засегнат личните данни на Разкриващата Страна следва да се защитят в съответствие с политиката/ите за физическа сигурност, за да се гарантира защитата и опазването на Личните данни.
7. ОБОРУДВАНЕ, МРЕЖОВА И МЕДИЙНА СИГУРНОСТ
7.1 Преди сключването на Договора, като прилага адекватни и своевременни мерки за сигурност, Получаващата Страна следва да въведе и да поддържа за целия срок на Договора за услуги подходящо ниво на защита за цялото оборудване, сървъри, мрежи, цифрови медии и мобилни устройства, използвани за предоставянето на услуги на Разкриващата Страна.
7.2 По-конкретно, Получаващата Страна се задължава:
(а) да разполага с оперативна схема за управление на уязвимостите, която има за цел да открива и впоследствие да елиминира или неутрализира всички известни уязвимости по своевременен начин чрез прилагането на поправки за сигурността или намаляване на риска по друг начин;
(б) да разполага със сървърна програма за защита от злонамерен софтуер (anti-malware), инсталирана на всички използвани крайни точки от вид, за който защитата е необходима, включително механизъм за постоянно обновяване на софтуера за защита от злонамерен софтуер;
(в) да провежда систематично засилване на защитата за минимизиране на атакуваната повърхност;
(г) да използва механизми за централизирано архивно копие на съответни данни от всички възли, както и архивно копие на всяко използвано централно хранилище;
(д) да използва механизми за сигурност по отношение на мониторинга на мрежовия трафик, да открива и предотвратява злонамерени дейности и потенциални атаки
7.3 Данните следва да се защитават при съхранение и в случай за изгубени устройства, с помощта на технология за криптиране.
8. РАЗДЕЛЯНЕ НА ЗАДЪЛЖЕНИЯТА
8.1 При възлагането на задачи, свързани с обработването на Лични данни на Разкриващата Страна, трябва да се прилага строго разделяне на задълженията.
8.2 Във всяка система или механизъм (в технически или управленски смисъл) за управление, възлагане или надзор на права на достъп, привилегии и/или дейности; ролите, отговорностите и задачите трябва да се възлагат по такъв начин, че никое отделно лице да не може да управлява, възлага или въздейства на надзора на своите собствени права за достъп, привилегии и/или дейности; и самата система следва да включва средства за контрол и ограничения, възпрепятстващи това да се случи случайно или преднамерено. Принципите за най-малък достъп и най-малки привилегии се прилагат за минимизиране на достъпа до данни на Разкриващата Страна.
9. УПРАВЛЕНИЕ НА ПРОМЕНИТЕ
9.1 Промени в информационните системи, бизнес процеси и системи, които засягат информационната сигурност на Лични данни, следва да се контролират, включително чрез формална отговорност на ръководството, за да се гарантира удовлетворително осъществяване на промяната.
9.2 Получаващата Страна следва да осигури създаването и последващото наличие на записи за промените, които може да се одитират. Записите за промените следва да включват съответна информация в подкрепа на проследимостта на стъпките от процеса на промяната. Като минимум записите следва да включват идентификатори за потребителя, дата, час и данни за ключовите събития. Достъпът до записите за промените следва да се ограничи, за да се гарантира, че няма да бъдат променени (вижте Разделяне на задълженията по-горе) и всеки достъп до тях се предоставя само при необходимост.
9.3 Получаващата Страна е длъжна, при отправено искане от Разкриващата Страна в разумен срок, да предостави на Разкриващата Страна всякаква информация и документи, свързани с управлението на промените, която касае предмета на Договора.
10. ПРЕВЕНЦИЯ И УСТАНОВЯВАНЕ НА ПРОНИКВАНЕТО (INTRUSION PREVENTION AND DETECTION)
10.1 Получаващата Страна трябва да разполага с процедура по оперативно управление на уязвимостите, която да има за цел да навременно да открива и елиминира, или да неутрализира, всички познати уязвимости чрез прилагането на пачове или други методи за намаляване на рисковете.
10.2 Получаващата Страна е длъжна, при получаване на предварително искане от Разкриващата Страна, да предостави на Разкриващата Страна всякаква информация и документи относно
мерките (напр. политики, процедури, указания, и конкретни организационни и технически мерки), приложени от Получаващата Страна за противопоставяне срещу въвеждането на зловреден код или конфигурации в средите на Получаващата Страна, в това число код, който е предоставен на Разкриващата Страна или изпълняван в системи на Разкриващата Страна, или в среди, които се използват за отдалечен достъп за връзка със системите или инфраструктурата на Разкриващата Страна.
11. ДОПЪЛНИТЕЛНИ ИЗИСКВАНИЯ ПРИ РАЗРАБОТКА НА СОФТУЕР
11.1 В случай че във връзка с Догвора Получаващата Страна предоставя софтуер или услуги по разработка или поддръжка на софтуер, се прилага този раздел. Получаващата Страна е длъжна, към момента на сключване на Договора и след това – при предварително искане на Разкриващата Страна, да предостави документи, с които се удостоверява спазването на задълженията по този раздел.
11.2 По отношение на сигурността на софтуера/приложенията, Получаващата Страна трябва да прилага достиженията на The Open Web Application Security Project (OWASP). Макар и насочени основно към разработката на уеб-приложения, повечето от материалите, посочени по-долу, са относими към разработката на софтуер като цяло.
(а) Разработката следва да бъде извършена при спазване на:
− The OWASP Secure Coding Practices
− The OWASP Top 10 (application security risks)
(б) Доколкото е приложимо към съответния софтуер, следните документи трябва да бъдат прилагани от Получаващата Страна като инструкции и насоки:
− The OWASP Development Guide
− The OWASP Application Security Verification Standard
− The OWASP Code Review Guide
− The OWASP Testing Guide
(в) При всички случаи Получаващата Страна трябва да ползва актуалната към съответния момент версия на горепосочените документи на OWASP, или други референтни и сходни материали, приети от международно-призната организация, опериращи в тази сфера.
(г) Получаващата Страна е длъжна, като част от жизнения цикъл на разработка и свързаните с нея процеси, да извършва оценки на риска и заплахите, да прилага принципа „сигурност на етапа на проектирането“, да изготвя документация за контролите за сигурност, съдържащи се в съответните продукти, както и да провежда относими тестове на сигурността.
(д) Разкриващата Страна има право да подлага изходния код (Source Code) и компилираните приложения на произволни тестове на качеството и сигурността чрез трети лица, които специализират в информационната сигурност. Получаващата Страна е длъжен да полага всички усилия за смекчаване на рисковете, които се дължат на уязвимости или недостатъци, които са установени по време на тестовете на сигурността.
12. ПРЕХВЪРЛЯНЕ НА ДАННИ
12.1 При прехвърлянето на лични данни към и от Разкриващата Страна или свързано лице на Разкриващата Страна, следва да се използва устойчиво криптиране на съдържанието или устойчиви криптиране на връзките между два крайни пункта.
13. КОНТРОЛ НА ДОСТЪПА
13.1 Получаващата Страна следва да изпълнява изискванията за сигурност на Разкриващата Страна, приложими за начина на достъп до системи на Разкриващата Страна. Получаващата Страна се съгласява, че такъв достъп винаги ще бъде автентикиран и криптиран, както и че изискванията на Разкриващата Страна могат да включват използване на контролирани от Разкриващата Страна мерки за управление на достъпа, контролирана от Разкриващата Страна сигурна свързаност, контролирани от Разкриващата Страна посреднически хостове (напр.“jump environments”, “bastion hosts” или “Privilege Session System”), както и рестрикции и/или изисквания към крайните точки (endpoints), които ще бъдат използвани за целите на достъпа, както и че тези изисквания могат да бъдат актуализирани по всяко време и по преценка на Разкриващата Страна. Разкриващата Страна си запазва правото да осъществява наблюдение и да записва отдалечените сесии: да прави видеозаписи или скрийншоти, да записва натискания на клавиши или изпълнения на команди или аутпути, за целите на разследване на потенциални нарушения.
13.2 Процедурата за управление на достъпа на Получаващата Страна трябва да съответства на следното:
(а) Само ограничен брой ръководители/мениджъри следва да имат право да предоставят достъп до системи, в които се обработват лични данни на Разкриващата Страна ("оторизиращи");
(б) Разкриващата Страна следва да има достъп до списъка на оторизиращите, при поискване;
(в) Само оторизирани служители, т.е. лица, които извършват дейности, пряко свързани с предмета на Договора, следва да имат достъп до системите и информацията. Всеки достъп следва да се базира на необходимост;
(г) Всички xxxxxxx следва да са проследими до притежател с известна и проверена самоличност;
(д) Получаващата Страна следва да води актуализиран списък на оторизирани акаунти по всяко време;
(е) При поискване на Разкриващата Страна следва да се осигурява достъп до списъка на оторизираните акаунти;
(ж) Получаващата Страна следва да разполага с процедури за отчетност и анулиране на компрометирани права за достъп (пароли, токени и др.) незабавно и денонощно.
13.3 По искане на Разкриващата Страна и с разумно предизвестие, Получаващата Страна следва да предоставя на Разкриващата Страна информация за механизмите за контрол на достъпа и схемите за проследяване на записите, въведени при Получаващата Страна.
13.4 Получаващата Страна следва да има установена процедура за:
(а) Преглед на правата за достъп на всички свои служители и акаунти, работещи със системи и Лични данни на Разкриващата Страна за всяко тримесечие;
(б) Анулиране на правото на достъп на служител или акаунт, които вече не работят по Лични данни на Разкриващата Страна по Договора.
(в) Временна отмяна на правата на достъп до Лични данни на Разкриващата Страна при по-дълго отсъствие.
14. УПРАВЛЕНИЕ НА НАРУШЕНИЕТО НА СИГУРНОСТТА НА ЛИЧНИ ДАННИ
14.1 Получаващата Страна ще уведомява Разкриващата Страна при установяване на инцидент по информационната сигурност. Известието следва да се направи незабавно и в никакъв случай по-късно от 72 (седемдесет и два) часа след установяването на инцидента. При спешност информацията може да се предостави по телефона, но при всички случаи паралелно и без забавяне трябва да се предостава и писмено, съгласно установените линии и канали за комуникация между страните
14.2 Без неоправдано забавяне Получаващата Страна следва да предприеме всякакви и всички разумни действия и да въведе всякакви и всички разумни мерки, за да минимизира отрицателното въздействие от нарушенията на сигурността на Лични данни. Без неоправдано забавяне Получаващата Страна следва да оповести на Разкриващата Страна цялата информация, която може да засегне възможността на Разкриващата Страна да поддържа поверителността и неприкосновеността на Личните данни, които са под контрола на Получаващата Страна или извън него, или възможността на Разкриващата Страна да минимизира всяко отрицателно въздействие, произтичащо от нарушението на личните данни.
14.3 Преди да сключи Договора, Получаващата Страна следва да предостави на Разкриващата Страна информация за вътрешните процедури, указания и процедури на Получаващата Страна, регламентиращи справянето с нарушения на сигурността на лични данни.
*** Край на Приложение № 5.
Останалата част от страницата е нарочно оставена празна.