Термините и понятията, установени с настоящото имат значението по Раздел I. Определения. Доколкото не противоречат на определенията, установени с Анекса, термините и понятията, използвани в Договора, имат тук даденото значение. В случай на съмнение...

Анекс № ….. към Договор № …/………… г.

Правила за работа с лични данни

Настоящият Анекс (наричан по-долу „Анекса“) съставлява неразделна част от Договор № …./…………….г. (наричан по-долу „Договора“ или „Основния Договор“) между:

1) Националния център по радиобиология и радиационна защита (НЦРРЗ), със седалище и адрес на xxxxxxxxxx Xxxxx 0000, xx. „Св. Xxxxxx Xxxxxxxx“ № 3, сграда 7, ЕИК 000662801 , представляван от доц. д-р Xxxx Xxxxxxx, д.м. - директор , наричан за краткост в настоящия договор „Изпълнител“

2) „...............“ АД, учредено и действащо в съответствие със законодателството на Република България, ЕИК ......................, седалище и адрес на управление: Република България, гр. ……… п.к. ……., .................................., представлявано от ................................ – изпълнителен директор, наричано по-долу „Възложител“ x

наричани общо „Страните“.

Възложителят и Изпълнителят са сключили Договор (№ / дата) за предоставяне на услуги във връзка с …………………………………………….. (Основен Договор), който налага Изпълнителят, в качеството му на обработващ лични данни да обработва данни от името на Възложителя, в качеството му на администратор на лични данни.

Термините и понятията, установени с настоящото имат значението по Раздел I. Определения. Доколкото не противоречат на определенията, установени с Анекса, термините и понятията, използвани в Договора, имат тук даденото значение. В случай на съмнение или противоречиво тълкуване, всички термини и понятия се тълкуват съответно даденото им в Регламент (ЕС) 2016/ 679 на ЕП и на Съвета от 27 април 2016 година (ОРЗД) значение.

I. Определения

1.1. „Приложимо законодателство“ означава Регламент (ЕС) 2016/ 679 на ЕП и на Съвета от 27 април 2016 година, Закона за защита на личните данни, приложимото законодателство на Европейския съюз и на Република България, в областта на защитата на личните данни;

1.2. „Лични данни“ означава всякакви лични данни, съгласно дефинициите, дадени в ОРЗД, които се обработват и съхраняват от Възложителя/Администратора на лични данни по т. 1) от Анекса или от Изпълнителя/Обработващия лични данни или от лице, действащо от името на Изпълнителя, във връзка с изпълнение задълженията на последния по Договора или Xxxxxx;

1.3. „Администратор на лични данни“ е лицето по т. 1) от Анекса, що се отнася до отношенията между страните. Използвано понятието за хипотези, касаещи Изпълнителя, извън отношенията между страните, се тълкува в смисъла му по ОРЗД.

1.4. „Обработващ лични данни“ означава лицето по т. 2) от Анекса, което обработва лични данни от името и по изричното възлагане на „...............“ АД, по силата на Договора. Извън хипотезите по предходното изречение, понятието се тълкува, съгласно ОРЗД.

1.5. „Обработване на лични данни“ означава всяка дейност, която изисква употребата на лични данни. Това включва всяка операция или съвкупност/поредност от операции (без значение дали са автоматизирани или не), свързани с лични данни, като например: събиране, записване, организация, структуриране, съхранение, адаптиране или промяна, възстановяване, употреба, предаване, разпространяване, комбиниране, ограничаване, изтриване или унищожаване. Обработката също включва и трансфер на лични данни до трети лица.

1.6. „Цели на обработване“ са дейностите и задълженията на Страните по Основния Договор, във връзка с предмета му и изпълнение на правата и задълженията по същия, особено предоставянето и извършването на услугите по Основния Договор, от страна на Изпълнителя, както и изпълнението на нормативно установените задължения на страните.

1.7. „Услуги“ означава дейностите, предмет на Основния Договор, които се осигуряват или извършват от Изпълнителя и други дейности, правни и фактически действия, извършвани от последния, при изрично писмено възлагане от Възложителя;

1.8. „Подизпълнител“ означава всяко физическо или юридическо лице (с изключение на служителите на Изпълнителя, на което е възложено да обработва лични данни от последния, който от своя страна действа от името на Възложителя, във връзка с Договора и/или настоящия Xxxxx;

1.9. Понятията „администратор“, „субект на лични данни“, „лични данни“, „нарушение на сигурността на личните данни“, „обработване“ и „надзорен орган“ имат даденото им с ОРЗД значение.

II. Обработване на лични данни.

2.1 Изпълнителят, в качеството му на обработващ лични данни се задължава:

2.2. да спазва релевантната правна рамка, добрите обичай в практиката, в областта на защитата на личните данни, както и принципите на справедливостта, морала и добросъвестността, при обработването на лични данни, възложено му от Възложителя.

2.3. да не обработва личните данни по начин, различен от този, който е установен чрез изрични, конкретни писмени инструкции, дадени от Възложителя или съдържащите се в Анекса клаузи.

2.4. Възложителят, в качеството му на администратор на лични данни се задължава:

2.5. да дава писмени инструкции на Изпълнителя, по отношение на обработването на лични данни, възложено му от Възложителя, за всяка дейност и операция по обработването, съхранението и предоставянето на същите, както и целите на обработване и сроковете на съхранение на данните, на хартиен носител и в електронна среда, доколкото такива инструкции са необходими за изпълнение на Услугите.

2.6. При липса на изрични указания, съгласно предходното изречение, Изпълнителят обработва и съхранява личните данни, във връзка с Основния договор и Анекса, при спазване разпоредбите на настоящото.

III. Служители на Изпълнителя

3.1 Изпълнителят се задължава и гарантира, че достъп до, действия по обработването и съхранението на личните данни имат единствено негови служители, преминали обучение по защита на личните данни, инструктирани и запознати с правилата за защита и сигурност на данните, внедрени в организацията на Изпълнителя, както и с релевантната правна рамка в областта на защитата на личните данни, що се касае до конкретно извършваната от тях дейност, както и във връзка със случайния или инцидентен достъп до лични данни.

3.2. Физическите лица - служители на Обработващия лични данни съблюдават изискванията на приложимото законодателство, в контекста на индивидуалните им работни задължения и задълженията на Обработващия лични данни, съгласно Основния Договор и този Xxxxx, а Обработващият лични данни се задължава за спазването на конфиденциалност, поверителност и наличност на личните данни, както и за тяхната защита.

3.3. Изпълнителят се задължава и гарантира периодично, но не по-рядко от веднъж годишно да повишава осведомеността и компетентността на своите служители, във връзка със защитата на личните данни, както и да инструктира същите относно техните задължения по отношение боравенето с и достъпа до лични данни.

3.4. Във всеки случай, достъпът до лични данни, от служители или подизпълнители (респективно техните служители) на Изпълнителя следва да е строго ограничен единствено до пряко ангажираните с тяхната обработка лица.

IV. Технически и организационни мерки за защита на данните

4.1. Взимайки предвид достиженията на техническия прогрес, разходите по изпълнението спрямо рисковете и естеството, обхвата, целите на обработка на личните данни, контекста, методите и средствата за обработка и съхранение, както и рисковете за правата и свободите на субектите на данните, Изпълнителят и неговите подизпълнители, на които възлага дейности по обработване или съхранение на лични данни, от името на Възложителя, въвеждат подходящи технически и организационни мерки, чрез които се обезпечава ниво на сигурност, съответно идентифицираните рискове, включително мерките, посочени в чл.32 (1) от ОРЗД, когато са приложими.

4.2. При извършване на преценка по отношение на подходящото ниво на сигурност, Обработващият лични данни извършва необходимите (съгласно ОРЗД) оценки на риска и въздействието върху личните данни, защитата на личните данни и правната сфера на физическите лица, вземайки предвид както своите контрагенти, така и служителите си.

V. Подизпълнители

5.1. Възложителят има правото да изиска от Изпълнителя да предостави доказателства, че ангажираните от последния подизпълнители спазват изискванията на ОРЗД и релевантната правна рамка, в областта на защитата на личните данни, както и че са въвели технически и организационни мерки, гарантиращи ниво на сигурност и защита на личните данни, не по-ниско от нивото на сигурност и защита на личните данни, въведено в организацията на Изпълнителя.

5.2. Изпълнителят може да продължи да използва подизпълнителите, понастоящем обработващи или имащи достъп до лични данни, във връзка с Основния Договор, към датата на подписване на Анекса, при спазване изискванията на чл. 5.1. от същия.

5.3. Изпълнителят може да използва нов подизпълнител, единствено след като е изпратил писмено уведомление за това до Възложителя и е получил съответно одобрение. Уведомлението следва да включва информацията по чл. 5.1 от Анекса, както и описание на конкретния обхват на обработването и/или съхранението на лични данни, което подизпълнителя ще извършва. В случай, че в срок от 7 дни от получаване на уведомлението, Възложителят писмено съобщи на Изпълнителя, че възразява срещу използването на съответния подизпълнител или при липса на отговор в посочения срок, то последният не следва да използва посочения в уведомлението подизпълнител.

VI. Упражняване правата на субектите на данни

6.1. Изпълнителят се задължава:

6.2. своевременно да уведоми Възложителя, в случай на получаване на запитване или заявление за упражняване на права, от субект на лични данни, доколкото такова запитване или заявление се отнася до лични данни, обработването на които произтича от Основния Договор или Анекса. Задължението по предходното изречение касае и запитвания и заявления, получени от подизпълнителите на Изпълнителя.

6.3. да препрати запитването, съответно заявлението, не по-късно от 3 работни дни от получаването му, до Възложителя, заедно с което му предостави и цялата относима, към същото информация. Едновременно с препращането на заявлението, респективно запитването Изпълнителят информира писмено субекта на данни относно препращането до Администратора на лични данни, индивидуализирайки последния.

6.2. Правилата на чл. 6.2 и 6.3. от Xxxxxx не се прилагат в хипотезите, в които Изпълнителят действа като администратор на лични данни.

VII. Нарушение сигурността на личните данни

7.1. Изпълнителят се задължава незабавно да уведоми Възложителя за всяко нарушение на сигурността и защитата на личните данни, касаещо лични данни, обработвани от името на Възложителя или във връзка с изпълнение задълженията по Основния Договор или Xxxxxx. Уведомлението следва да съдържа цялата относима информация и по-специално информация, относно субектите на лични данни и категориите техни лични данни, засегнати от нарушението на сигурността и защитата на личните данни, включително потенциално засегнатите лица и категории данни, така че Възложителят да може да изпълни задълженията си за информиране на субектите на данните и надзорния орган.

7.2. Уведомлението съдържа следната информация:

7.2.1. описание на нарушението на сигурността на личните данни, категориите и броя на засегнатите субекти на данните, както и категориите и броя на засегнатите регистри на дейности по обработването в случай, че такива регистри се водят.

7.2.2. името и данните за контакт на Длъжностното лице по защита на данните, определено от Обработващия личните данни в случай, че за последния е налице такова задължение.

7.2.3. описание на вероятните последици от нарушението на сигурността на личните данни.

7.2.4. описание на предприетите или предложени мерки за ограничаване на последиците от нарушението на сигурността на личните данни.

7.3. Задълженията по предходните членове на Xxxxxx се прилагат и в случаите на нарушение на сигурността и защитата на личните данни, случили се в организацията на подизпълнител, по смисъла на Анекса.

7.4. Задълженията по предходните членове на Xxxxxx се прилагат и в хипотезите на неуспешен опит за нарушаване сигурността и/или защитата на личните данни, както и за успелият такъв, от който не са възникнали целените неблагоприятни последици. Задълженията по предходното изречение се прилагат и в хипотезите на случайно нарушаване на правилата за защита на личните данни и тяхната сигурност.

VIII. Оценка на въздействието върху защитата на личните данни и предварителни консултации

8.1. Изпълнителят се задължава, относно обработваните и съхранявани от него лични данни, в изпълнение на Основния Договор или Анекса, да осигури съдействие на Възложителя, по отношение извършването на всяка оценка на въздействието върху защитата на личните данни, както и по отношение на предварителни консултации, ако такива бъдат извършени, с надзорни органи, в съответствие с изискванията на чл.35 и чл.36 от ОРЗД и еквивалентните разпоредби от българското законодателство.

IX. Унищожаване, изтриване и връщане на личните данни на Възложителя

9.1. Изпълнителят се задължава своевременно, при изтичане сроковете на обработка и съхранение на личните данни и във всеки случай, не по-късно от 30 дни, от датата на прекратяване на предоставянето на услугите, съгласно Основния Договор, да изтрие, заличи и/или унищожи всички копия, съдържащи лични данни, обработвани и съхранявани във връзка с изпълнението на Договора или Анекса.

9.2. Изпълнителят може да задържи личните данни и след срока по чл. 9.1. от Xxxxxx, доколкото това се изисква от нормативен акт, но единствено за нормативно установения срок и при условие, че Обработващият личните данни ще осигури конфиденциалността на личните данни и че тези данни ще бъдат обработвани единствено за целите, определени в съответния нормативен акт.

9.3. Своевременно Изпълнителят уведомява писмено Възложителя, относно изпълнението на задълженията по настоящия раздел, включително то страна на неговите подизпълнители, предоставяйки съответни доказателства.

X. Информация и съдействие

10.1. Изпълнителят се задължава да предостави, при поискване достъп на Възложителя до цялата информация, необходима за доказване на съответствието на дейността на Изпълнителя, относно обработването и съхранението на лични данни по Договора, с ОРЗД и релевантната правна рамка, както и с клаузите, посочени в този Анекс.

XI. Отговорност

11.1. Изпълнителят дължи на Възложителя обезщетение за претърпени вреди и пропуснати ползи, произтичащи от нарушение на сигурността и защитата на личните данни, също така – от неспазването изискванията на релевантната правна рамка, особено когато същите са довели до налагане на административна санкция на Администратора на лични данни, за нарушение на законодателство за защита на личните данни, искове за вреди от субекти на данни или други, когато Възложителят е претърпял същите в резултат на неизпълнение на задължения от страна на Изпълнителя или негови подизпълнители или когато Изпълнителят е действал извън законосъобразните указания на Възложителя или в противоречие с тях.

11.2. Възложителят носи реципрочна отговорност спрямо Изпълнителя, за незаконосъобразни, нецелесъобразни и нецеленасочени, както и подвеждащи или непълни указания, относно целите, средствата, сроковете и начините за обработка и съхранение на личните данни по Договора или Анекса, както и предоставянето и разкриването им на трети лица.

XII. Други условия

11.1. Страните имат правото да предложат изменения на Анекса, които обосновано считат за необходими, за спазването на релевантната правна рамка, в областта на защитата на личните данни, както и относно изпълнение на законово задължение, обвързващо предлагащата страна.

11.2. В случай на направено предложение, съгласно чл.11.1 от настоящето Анекса, страните се задължават своевременно, но не по-късно от 10 работни дни от получаване на същото, да обсъдят предложените изменения с цел постигане на съгласие за въвеждането на съответните необходими клаузи в договорите и споразуменията, обвързващи страните.

11.3. В случай че някоя от клаузите в Анекса противоречи на приложимото законодателство в областта на защитата на личните данни, това не влияе по никакъв начин на останалите клаузи, съдържащи се в Анекса или Договора. Клаузите, които противоречат на приложимото законодателство, подлежат на преуреждане, а при невъзможност за постигане на съгласие - на обезсилване.

Настоящето споразумение между НЦРРЗ и „………………“ АД се подписва в два екземпляра, като всяка от страните получава един екземпляр. Приложението е неразделна част от Договора и влиза в сила от датата, посочена по-долу.

За „...............“ АД За „……………………“ АД

Име: Име:

Позиция: Позиция:

Подпис: Подпис:

Дата на подписване: Дата на подписване:

7