Contract
СПОРАЗУМЕНИЕ ЗА ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ
Днес, се сключи настоящото Споразумение за обработване на лични данни между:
, наричан АДМИНИСТРАТОР, X
, наричан ОБРАБОТВАЩ.
ВЪВЕДЕНИЕ:
Администраторът и Обработващият са сключили един или повече договори за доставка на стоки и/или предоставяне на услуги („Основни Договори“), изпълнението на които изисква Обработващият да е Обработващ на Лични Xxxxx от името на Администратора. Основните Договори, валидни към Датата на влизане в сила на това Споразумение, са изброени в Приложение 1, неразделна част от това Споразумение.
Това Споразумение между Администратора и Обработващия се отнася за всяко Обработване на всякакви Лични данни от Обработващия от името на Администратора за целите и по време на доставката на стоки и услуги при изпълнението на всеки от Основните Договори.
1. ДЕФИНИЦИИ
1.1. В това Споразумение, следните термини ще имат значението, записано по-долу:
1.1.1. Приложимо законодателство означава (а) Общият регламент за защита на личните данни (GDPR); и (б) Закон за защита на личните данни;
1.1.2. Обработващи означава Обработващият и Обработващите Подизпълнители;
1.1.3. Администратор означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за Обработването на Лични данни;
1.1.4. Субект на данни означава всяко физическо лице, което е идентифицирано или може да бъде идентифицирано и за което се отнасят Личните данни;
1.1.5. GDPR означава Регламент (ЕС) 2016/679 на Европейския Парламент и на Съвета;
1.1.7. Държава Членка означава страна, която е членка на Европейския Съюз;
1.1.8. Лични данни означава всяка информация, свързана със Субект на данни, който може да бъде идентифициран, пряко или непряко;
1.1.8. Нарушение на сигурността на Лични Данни означава потенциално или реално нарушаване на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна,
неразрешено разкриване или достъп до Лични Данни, които се предават, съхраняват или обработват по друг начин;
1.1.10. Обработване означава всяка операция или съвкупност от операции, извършвана с Лични данни или набор от Лични данни чрез автоматични или други средства, като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или по друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване, унищожаване;
1.1.10. Обработващ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която Обработва Лични данни от името на Администратора;
1.1.11. Обработващ Подизпълнител означава всяко физическо или юридическо лице, определено от Обработващия Лични данни да Обработва Лични данни от името на Администратора във връзка с Основния Договор;
1.1.12. Надзорен Орган означава независим публичен орган от Държава Членка, действащ на основание GDPR или друго Приложимо законодателство;
1.1.13. Дейности означава доставката на стоки и/или предоставянето на услуги или други дейности, която се дължи от Обработващия на Администратора по силата на Основния Договор;
1.1.14. Лични данни на Администраторът означават всички Лични данни, Обработвани от Обработващ от името на Администратора, поради или във връзка със съответен Основен договор. Личните данни на Администратора включват както Лични данни, администрирани от Администратора, така и Лични данни, които Администраторът Обработва от името на други Администратори.
1.2. Термините, които не са дефинирани по-горе, ще следват дефинициите на GDPR.
2. СПОРАЗУМЕНИЕ
2.1. Това Споразумение урежда обработването на Лични данни на Администратора от Обработващия или други Обработващи Подизпълнители от името на Администратора за целите на изпълнение на Дейностите по силата на съответния Основен Договор. Това Споразумение следва да се счита за част от всеки Основен Договор, сключен между Страните до или след Датата на влизане в сила.
2.2. Неразделна част от настоящото Споразумение са Приложенията към него.
2.3. Обработващият посочва на Администратора лица за контакт от своя персонал, от които е получил надлежно съгласие за предоставянето на личните им данни и данни за контакт, необходими на Администратора за имплементация на Основния Договор и настоящото Споразумение.
3.ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ НА АДМИНИСТРАТОРА
3.1. Обработващият е длъжен да обработва Личните Xxxxx само от името на Администратора и в съответствие с инструкциите на Администратора, включително по отношение на прехвърлянето на Лични Xxxxx, освен ако Обработващият не е длъжен да го направи по силата на приложимото правото, на което е подчинен Обработващият. Обработващият гарантира навременното и пълно изпълнение на задълженията и отговорностите си по това Споразумение и Приложимото законодателство и се съгласява, че ще поеме за своя сметка всички възникнали за него разноски в тази връзка.
3.2. Приложение 1 описва съдържанието и продължителността на Обработването, типа на Лични данни на Администратора, категориите Субекти на данни и задълженията на Обработващия.
3.3. Лични данни на Администратора по никакъв начин не могат да бъдат използвани от Обработващия за негова собствена употреба, за дейности в полза на Обработващия или на която и да е трета страна.
3.4. Обработващият обработва Лични данни на Администратора само въз основа на писмени инструкции от Администратора, освен ако Обработването не е по изискване на Приложимото законодателство, на което Обработващият е подчинен. В този случай Обработващият, доколкото това е позволено от Приложимото законодателство, информира Администратора за това правно изискване, преди да започне съответното Обработване на Лични данни на Администратора.
3.5. Първоначалният обхват на инструкциите на Администратора за Обработване на Лични данни на Администраторът се определя от съответния Основен договор, както и от това Споразумение. Администраторът може да предостави допълнителни указания, които Обработващия следва да спазва.
3.6. Администраторът изрично указва дали да се извърши предаване на Лични данни на Администратора към която и да е трета страна или територия, без значение в или извън ЕС. По подразбиране, такова съгласие за предаване извън ЕС е забранено с това Споразумение. Ако Лични данни на Администратора се достъпват отдалечено, това се счита за предаване на Лични данни на Администратора към съответното място, от което данните се достъпват.
3.7. Обработващият се задължава да съхранява записи от всички извършени дейности по обработка на Личните данни, като осигури всяка стъпка от обработването на данни да може да се проследи, включително на кой са предоставени данните, кога, какви данни, за каква цел и какви са договорките на Обработващия с такива трети страни.
3.8. Обработващият се задължава да обработва своевременно и правилно всички запитвания на Администратора, свързани с обработката на Лични Данни, предмет на Споразумението, да съдейства на Администратора за упражняване правата на субектите на Лични Данни и да изпълнява насоките на надзорните органи във връзка с обработване на прехвърляните данни.
3.9. В случай че Обработващият не изпълнява дадените указания/инструкции, Администраторът може да прекрати предоставянето на съответната засегната част от Дейностите, като изпрати на Обработващия писмено уведомление. Ако Обработващият счита, че указанията/инструкциите нарушават Приложимото законодателство, следва да уведоми за това Администраторът незабавно.
3.10. Обработващият следва да води регистър на дейностите по Обработването, извършвано от името на Администратора, в съответствие с чл. 30, § 2 от GDPR.
3.11. За да съдейства на Администратора със своето правно задължение да избира внимателно доставчика на услуги, Обработващият следи по подходящ начин собственото си съответствие и съответствието на неговите служители и Обработващи Подизпълнители със съответните задължения за защита на Личните Данни на Администратора. Обработващият е длъжен да предостави на Администратора всяка информация, необходима за доказване на спазването на тези задължения.
3.12. Ако не може да осигури спазване на законодателните изисквания и на настоящото Споразумение по каквито и да е причини, Обработващият следва да информира незабавно Администратора за неговата невъзможност, в който случай Администраторът има право да преустанови прехвърлянето на данни и/или да прекрати Основания Договора.
4. КОНФИДЕНЦИАЛНОСТ
4.1. Обработващият няма право да разкрива Лични данни на Администратора на трети лица, освен ако не са упълномощени от Администратора или това се изисква от Приложимото законодателство.
4.2. Обработващият следва да предприеме всички разумни стъпки, за да гарантира надеждността на всички свои служители, агенти, изпълнители и други лица, упълномощени да Обработват и/или да имат достъп до Лични данни на Администратора, като гарантират във всеки един случай, че:
4.2.1. достъпът е строго ограничен до лицата, които е нужно да познават и да имат достъп до съответните Лични данни на Администратора, за целите на съответния Основен Договор, и
4.2.2. те ще спазват Приложимото законодателство в контекста на задълженията им към Обработващия, и
4.2.3. всички тези лица са поели писмени задължения за конфиденциалност и имат професионални или установени със закон задължения в тази връзка.
Задължението за осигуряване на конфиденциалност включва и първоначално и периодично обучение на всички служители, агенти, изпълнители и всички други лица, упълномощени да Обработват и/или да имат достъп до Лични данни на Администратора. Обработващият следва да
удостовери изпълнението на това задължение, като предоставят доказателства за това, при поискване от страна на Администратора.
4.4. Ако държавен или Надзорен Орган изиска достъп до Лични данни на Администратора, Обработващият следва да уведоми Администратора преди разкриването, освен ако това не е забранено от закон. Ако на Обработващия е забранено да уведоми Администратора, той следва да предприеме всички необходими действия, за да оспори тази забрана по съдебен ред и/или по всякакъв друг начин.
5. ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ
5.1. Вземайки предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхвата, контекста и целите на Обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, Обработващият следва да имплементира и прилага подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност на Личните данни на Администратора, включително ако е приложимо, да приложат мерките по чл.32, § 1 от GDPR.
5.2. При оценката на подходящото ниво на сигурност се вземат под специално внимание рисковете, които са свързани с Обработване, по-специално от случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до прехвърлени, съхранявани или обработени по друг начин Лични данни на Администратора.
5.3. Обработващият следва да осъществява постоянен мониторинг на съответствието си с приложимите технически и организационни мерки и да удостоверява този мониторинг, ако Администраторът поиска това.
5.4. Подписвайки настоящото Споразумение, Обработващият гарантира че всички необходими технически и организационни мерки са налице, по начин, по който Обработването ще е в съответствие с изискванията на GDPR и защитата на правата на Субектите на данни е осигурена.
6. ОБРАБОТВАЩИ ПОДИЗПЪЛНИТЕЛИ
6.1. Ангажирането на Обработващи Подизпълнители от Обработващия изисква предварително изрично писмено одобрение от Администратора.
6.2. С настоящото Администраторът изрично одобрява Обработващите Подизпълнители, изброени в Приложение 1. Обработващият следва да уведоми предварително Администратора за всяка промяна в Обработващите Подизпълнители, описани в Приложение 1 и да изиска изричното одобрение на Администратора за такава промяна, като предостави всички детайли за Обработването, което желае да бъде извършено от съответния Обработващ Подизпълнител.
6.3. Администраторът не следва неоснователно да възразява на тези искания за промяна. Ако Администраторът има основателна причина, може да отмени одобрението на Обработващ Подизпълнител.
6.4. Администраторът може по свое усмотрение да оттегли всяко одобрение, дадено за използване на кой да е Обработващ Подизпълнител. В този случай, Администраторът ще предостави обяснение на Обработващия, посочващо причините за оттеглянето.
6.5. Обработващият следва да наложи на всеки Обработващ Подизпълнител, обработващ Лични данни на Администратора, същите задължения за защита на данни като в настоящото Споразумение, преди да започне Обработването, както и да гарантира, че Администраторът ще може пряко да въздейства и влияе за прилагането на всички задължения на Обработващия по настоящото Споразумение на Обработващия Подизпълнител. За тази цел, във връзка с всеки Обработващ Подизпълнител, Обработващият е длъжен:
6.5.1.преди първоначалното Обработване на Лични данни на Администратора, да извърши цялостна оценка на съответствие, за да гарантира че Обработващият Подизпълнител е способен да осигури нивата на защита на Лични данни на Администраторът, описани в настоящото Споразумение и изричните инструкции на Администратора. Обработващият следва да документира този процес на оценяване на съответствието за всеки Обработващ Подизпълнител и при поискване, незабавно да ги предостави на Администратора.
6.5.2. да осигури, че договореностите между Обработващия и съответния Обработващ Подизпълнител са уредени с договор, включващ условия, които предполагат най-малко същото ниво на защита на Личните данни на Администратора, като в настоящото Споразумение и да отговаря на изискванията на чл. 28, § 3 от GDPR;
6.6. Обработващият следва да поддържа актуален регистър с имената и контакти на всички Обработващи Подизпълнители на Лични данни на Администраторът и ако е приложимо, на представителите на Обработващите Подизпълнители и длъжностните лица по защита на данните. При поискване, Обработващият предоставя актуално копие на този регистър на Администратора.
6.7. Обработващият трябва да наблюдава активно, редовно да извършва одит и, когато е приложимо, да предприема стъпки за налагане на спазването от страна на всеки Обработващ Подизпълнител на задълженията му, както и да докладва незабавно на Администратора всяко открито несъответствие и всички предприети действия за отстраняване на всяко несъответствие.
6.8. Когато Обработващ Подизпълнител не изпълни задълженията си за защита на Личните Xxxxx, Обработващият остава изцяло отговорен пред Администратора за изпълнението на задълженията на този Обработващ Подизпълнител.
7. ПРАВА НА СУБЕКТА НА ДАННИ
7.1. Като се има предвид естеството на Обработването, Обработващият подпомага Администратора чрез прилагане на подходящи технически и организационни мерки, доколкото това е възможно, за изпълнение на задълженията на Администратора да отговаря на искания на Субектите на данни, съгласно Приложимото законодателство.
7.2. Обработващият е длъжен:
7.2.1. незабавно да уведоми Администратора, ако получи искане от Субект на данни по силата на Приложимото законодателство, по отношение на Лични данни на Администратора.
7.2.2. да отговори на подобни искания по начин, определен от Администраторът, освен ако е изискуемо от Приложимото законодателство. В този случай, Обработващият, доколкото това е позволено от Приложимото законодателство, информира Администраторът относно тези изисквания, преди да отговори.
7.3. В случай че Администраторът е задължен да предостави информация относно Лични данни на Администратора на трети страни (например Субекти на данни или Надзорен Орган), Обработващият следва да подпомага Администратора като предостави цялата необходима информация.
7.4. Обработващият подпомага и Администратора, доколкото това е възможно, при изпълнение на задължението на Администратора да отговори на исканията за упражняване на правата на субекта на данните.
8. НАРУШЕНИЕ НА СИГУРНОСТТА НА ЛИЧНИТЕ ДАННИ
8.1. Обработващият следва незабавно да уведоми Администратора (не по-късно от 24 часа от съответното събитие), ако Обработващият или кой да е Обработващ Подизпълнител узнае за Нарушение на сигурността на Лични данни, предоставяйки на Администратора достатъчно информация, която да позволи на Администратора да изпълни задълженията си да докладва или информира Субектите на данни за Нарушението на сигурността на Личните данни, съгласно Приложимото законодателство. Такова уведомление следва най-малко:
8.1.1. Да описва естеството на Нарушението на сигурността на Личните данни, категориите и номерата на засегнатите Субекти на данни, както и категориите и броя на засегнатите типове Лични данни на Администратора;
8.1.2. Да съдържа имената и контактите на длъжностните лица за защита на данните на Обработващия и/или всеки друг контакт на лице, от което може да бъде получена допълнителна информация;
8.1.3. Да описва вероятните последствия от Нарушението на сигурността на Личните данни;
8.1.4. Да описва мерките, които са взети или е предложено да бъдат взети срещу Нарушението на сигурността на Личните данни.
8.2. Обработващият и Обработващите Подизпълнители следва да сътрудничат на Администратора и да предприемат необходимите търговски стъпки, поискани от Администратора, за да подпомогнат разследването, смекчаването и отстраняването на всяко такова Нарушение на сигурността на Личните данни.
8.3. При нарушение на разпоредбите на настоящото Споразумение, Администраторът може с незабавен ефект да инструктира Обработващия да прекрати по-нататъшно Обработване на Лични данни на Администратора.
8.4. Обработващият подпомага на Администратора при изпълнение на задължението на Администратора съгласно приложимото законодателство за защита на данните да информира субектите на данни и надзорните органи, според случая, като предоставя съответната информация, като взема предвид естеството на обработката и информацията, с която разполага Обработващият.
6.5. Обработващият ще обезщети Администратора за всякакви искове, щети, задължения, загуби, разходи, имуществени санкции и други разноски (включително, без ограничение, разумни адвокатски хонорари и съдебни разноски), които Администраторът е понесъл поради Нарушение На Сигурността, причинено от Обработващия, служителите на Обработващия, директорите, управителите, агентите или други членове на персонала на Обработващия.
9. СЪДЕЙСТВИЕ
9.1. Вземайки предвид естеството на Обработването, Обработващият следва да съдейства на Администратора чрез подходящи технически и организационни мерки, подпомагащи изпълнението на задълженията на Администраторът да спазва правата на Субектите на данни и да гарантира съответствие с изискванията за сигурност на Обработването, уведомяването за Нарушение сигурността на личните данни и оценката на въздействието върху защитата на данните.
9.2. Обработващият следва да предостави на Администратора необходимата помощ, свързана с оценяване на защитата на данните, с предварителни консултации с Надзорните Органи или други компетентни органи по защита на Личните данни, и всичко друго, което Администраторът основателно изисква съгласно член 35 или 36 от GDPR или еквивалентни разпоредби от всякакво друго Приложимо законодателство, което във всеки случай следва да се отнася до обработване на Лични данни на Администратора, като се вземе предвид естеството на Обработването и информацията, с която разполага Обработващият.
10. ИЗТРИВАНЕ И ВРЪЩАНЕ НА ЛИЧНИ ДАННИ НА АДМИНИСТРАТОРА
10.1. Освен ако в Приложимото законодателство не е предвидено друго, Обработващият следва да изтрие или върне Личните данни на Администратора при изтичане или прекратяване на Основния Договор или по-рано, по изрично искане на Администраторът.
10.2. Преди прекратяване на Основния Договор, Обработващият следва да се свърже с Администратора, с цел да узнае дали Личните данни на Администратора следва да бъдат изтрити или върнати. Ако е приложимо, Обработващият следва да върне Личните данни на Администратора в рамките на разумен период и в подходящ формат, съгласно получени писмени инструкции от Администратора.
10.3. Обработващият може да задържи Лични данни на Администратора, само доколкото това е позволено от Приложимото законодателство и само до степен и за период, предвиден в Приложимото законодателство и при поемане на гаранции, че ще осигури конфиденциалността на тези Лични данни на Администратора, както и гаранции, че Личните данни на Администратора са Обработвани само доколкото е необходимо за целите, предвидени в Приложимото законодателство и за никакви други цели.
10.4. В случай на изтриване, Обработващият удостоверява това пред Администратора.
11. ПРАВО НА ОДИТ
11.1. Обработващият, при поискване от Администратора, следва да осигури цялата информация, която е нужна за доказване на съответствието им с изискванията на това Споразумение, да позволява и съдейства на одити на Администратора и съответните Надзорни Органи или друг одитор, упълномощен от Администратора, за да докаже, че отговаря на изискванията на настоящото Споразумение и на Приложимото законодателство при извършване на Дейностите. Този одитор не следва да осъществява директна конкурентна дейност с Обработващия във връзка с Дейностите и следва да бъде обвързан с разпоредби за конфиденциалност.
11.2. Администраторът следва да уведоми в разумен срок Обработващия за извършването на всеки одит и да направи (и да осигури същото и от одиторите) нужните усилия за избягване (или минимизиране) на всякакви негативни последици върху помещенията, оборудването, персонала и бизнеса на Обработващия, докато се извършва одита или инспекцията.
11.3. Обработващ не следва да предоставя достъп до своите помещения във връзка с извършване на одит повече от веднъж на договорна година, освен ако за наложителни одити в следните случаи:
11.3.1 когато извършването на одит е необходимо, поради основателни опасения, че Обработващият не отговаря на условията, предвидени в настоящото Споразумение; или
11.3.2. изрично задължение на Администратора съгласно Приложимото законодателство, от Надзорен Орган или друг подобен орган, отговорен за налагането на Приложимото законодателство в съответната територия.
12. ОГРАНИЧЕНО ПРЕДАВАНЕ
12.1. Предаване на Лични данни на Администратора към държава, която не е Държава Членка и/или не е призната от Европейската Комисия за страна с адекватно ниво на защита, е забранен. С настоящото Споразумение, Обработващият гарантира, че Дейностите ще се изпълняват и Личните данни на Администратора ще бъдат Обработвани само на територията на Европейския съюз.
13. ОТГОВОРНОСТ И ОБЕЗЩЕТЯВАНЕ. ПРЕКРАТЯВАНЕ НА ОСНОВНИЯ ДОГОВОР
13.1. Всяко нарушаване на разпоредбите на настоящото Споразумение ще се счита за нарушаване на Споразумението и Основния договор от страна на Обработващия. Обработващият е задължен да отстранява нарушенията си във възможно най-кратък срок. За избягване съмнение, Обработващият остава отговорен за своите Обработващи Подизпълнители, вкл. за всички техни действия и/или бездействия, като всяко задължение, действие или бездействие на Обработващия по настоящото Споразумение следва да се счита и за задължение на неговите Обработващи Подизпълнители.
13.2. Независимо от всякакви други договорки в това Споразумение или в Основен Договор, Обработващият се съгласява да обезщети напълно Администратора за всякакви преки и непосредствени вреди и/или настъпили загуби, задължения (вкл. и към трети лица), имуществени санкции, наложени от национални или международни органи или съдилища във връзка с нарушение от Обработващия или от Обработващи Подизпълнители на разпоредбите на това Споразумение.
13.3. Нарушение на това Споразумение ще даде на Администратора право да прекрати съответния Основен Договор. Задълженията на Обработващия по това Споразумение остават и след такова прекратяване.
14. СРОК НА СПОРАЗУМЕНИЕТО
14.1. Това Споразумение влиза в сила от Датата на влизане в сила и остава в сила докато Обработващият Обработва и/или има достъп до Лични данни на Администратора на основание Основен Договор.
14.1. Настоящото Споразумение и неговите Приложения могат да бъдат променяни по следния начин:
14.1.1. по взаимно съгласие на Страните под формата на анекс;
14.1.2. ex lege, на основание Приложимото законодателство;
14.1.3. с предизвестие от не по-малко от 30 (тридесет) календарни дни , отправено от Администратора към Обработващия, включващо всички детайли на промените. В този случай, ако Обработващият:
14.1.3.1. не възрази в рамките на посочения в предизвестието срок за възражение, промените влизат в сила и изменят настоящото Споразумение и/или неговите Приложения, от момента на изтичането на срока за възражение.
14.1.3.2. възрази, и Обработващият не е способен да се приспособи към изискваните промени, Администраторът може по своя преценка да прекрати съответния Основен Договор и/или настоящото Споразумение с 30 (тридесет) дневно писмено предизвестие.
ПРИЛОЖЕНИЕ 1
ДЕТАЙЛИ ОТНОСНО ОБРАБОТКАТА НА ЛИЧНИ ДАННИ
1. Същността, целта и предмета на Обработването е извършването на Дейностите, предмет на Основния Договор;
2. Продължителност на Обработването
Продължителността на Обработването съвпада със срока на действие на Основния договор;
3. Xxxxxxxxx Xxxxxxx на Данни
• Служители на Администратора;
• Агенти, консултанти и други експерти, работещи за Администратора;
• Клиенти на Администратора;
4. Видове Лични данни
• Общи Лични данни (име, ЕГН, адрес, дата на раждане, място на раждане и др.)
• Данни за контакт (телефонен номер, мобилен телефон, emаil адрес, факс и др.)
• Общи договорни данни (клиентски номер, баланс по сметка, плащания, личен акаунт и сметка и др.)
За АДМИНИСТРАТОРА:
За ОБРАБОТВАЩИЯ: