ЛИЧНИ ДАННИ (ОРЗД / GDPR)

СПОРАЗУМЕНИЕ ЗА ОБРАБОТКА НА

ЛИЧНИ ДАННИ (ОРЗД / GDPR)

Това Споразумение за обработка на лични данни ("Споразумение") e валидно между

ползвателите на услугите на „СИ ЕС ДИВЕЛЪПМЪНТ“ ООД ("Клиентът" или "Клиентите") и

„СИ ЕС ДИВЕЛЪПМЪНТ“ ООД, дружество регистрирано в Република България с дружествен номер 115871697 с седалище и адрес на управление: гр. Пловдив, xx. „Полковник Xxxx

Xxxxxxxx’’ № 85, и адрес за кореспонденция: гр. Пловдив, xx. Xxxxxx Xxxxxx 34а ("Дружеството").

ПРЕАМБЮЛ

а) Клиентът и Дружеството са страни по това Споразумение ("Договор") по силата на който Дружеството предоставя на Клиента различни технологични услуги, като хостинг, облачни услуги и др. подобни;

б) Във връзка с това Споразумение Дружеството може да обработва лични данни от името на Xxxxxxx; и

в) На основание чл. 28 от ОРЗД страните искат да уредят техните роли и отговорност във връзка с обработването на лични данни и се договориха за следното:

ДЕФИНИЦИИ

Термините използвани в това Споразумение имат значението описано по-долу. Термините "обработка" (и неговите производни), "лични данни", "администратор", "обработващ",

"трета държава", "международна организация", "субект на данни", "представител" и

"държава членка" използвани в това Споразумение имат значението съгласно Законите за защита на данни. Термините с главна буква, които не са обяснени тук, имат значението дадено им в Договора;

"Закони за защита на данни" означава всички приложими закони на Европейския съюз или на държава членка отнасящи се до обработката на лични данни, в това число, но не само Общия регламент относно защитата на данните (ЕС) 2016/679 ("ОРЗД" или "GDPR") и до степен, в която са приложими и не са в конфликт, законите за защита на лични данни на други държави, заедно с всички техни допълнения и изменения.

"СДК за лица обработващи данните" означава Стандартните договорни клаузи за лица обработващи данни в Приложение към Решение на Европейската комисия от 05 февруари 2010 г. (налично към датата на изготвяне на това споразумение тук: xxxxx://xxx- xxx.xxxxxx.xx/xxxxx-xxxxxxx/XX/XXX/XXXX/?xxxxXXXXX:00000X0000&xxxxxXX), както бъде

изменяно или заменяно от Европейската комисия.

1. Роли:

Клиентът е администратор, а Дружеството е обработващ по отношение на личните данни, които Дружеството може да обработва от името на Клиента при предоставяне на услуги по Договора.

2. Характеристика на обработването:

Като доставчик на инфраструктура Дружеството няма влияние и знание за точните данни, обработвани от Клиента при използване на услугите по Договора. Въпреки това страните очертават следните засегнати субекти на данни, вид на данните и цели на обработването, които включват, но може да не се ограничават до:

Субекти на данни: Субекти на данните може да са представители, крайни потребители, служители, кандидати за работа, контрагенти, сътрудници, партньори, доставчици,

потребители, клиенти, посетители или др. дефинирани от Клиента.

Естество и цел на обработването: Дружеството (и лицата действащи под контрола на

Дружеството) ще обработват личните данни само за целите на: (i) предоставяне на услуги в съответствие с Договора и това Споразумение; (ii) спазване на документираните писмени указания на Клиента в съответствие с Законите за защита на данни; или (iii) спазване на задължения на Дружеството по приложим закон.

Вид данни: Обработвани данни са лични данни предоставени от Клиента на Дружеството във връзка с ползване на услугите по Договора. Такива данни могат да включват име,

имейл адрес, информация за контакти, домашен или мобилен телефонен номер, факс,

пароли, възраст, дата на раждане, личен номер, цени, предоставени стоки и услуги, ID на клиенти, IP адреси, данни за онлайн поведение и интереси и др.

3. Задължения и отговорности на Дружеството:

При обработката на лични данни от името на Клиента Дружеството се задължава да:

3.1. Обхват на обработването: обработва лични данни единствено в съответствие с разпоредбите на това Споразумение, до степен, необходима за изпълнение на Договора и съгласно документираните писмени указания на Клиента, освен ако това не се изисква от европейското или приложимото за Дружеството право на държава членка. В случай, че Дружеството смята, по свое мнение, че указание нарушава Закон за защита на данни, то Дружеството следва да информира Xxxxxxx и може да преустанови изпълнението на такова указание докато Клиентът не го промени или потвърди. Дружеството няма да разкрива лични данни освен в случаите, предвидени в това Споразумение.

3.2. Оправомощени лица: предприема разумни търговски мерки, за да осигури, че лицата, оправомощени да обработват личните данни, са строго ограничени само до

персонала на Дружеството, който е нужно да знае/има достъп до такива лични данни и се е ангажирал (писмено) за поверителност по отношение на тези лични данни. Дружеството също така потвърждава, че лицата, оправомощени да обработват личните данни, са

уведомени за условията на това Споразумение, не са оправомощени да обработват лични данни извън обхвата на това Споразумение и са поели договорно задължение да спазват защитата и поверителността на личните данни, включително след прекратяване на отношенията си с Дружеството.

3.3. Мерки за сигурност: предприема технически и организационни мерки по отношение на сигурността на личните данни:

Устройствата, които използват Клиентите на „СИ ЕС ДИВЕЛЪПМЪНТ“ ООД и всички данни се съхраняват в технически центрове на доставчици сертифицирани по стандарт ISO

27001. Всички основни системи в Технически центрове - електрозахранване и вътрешна ел. система; охлаждане и климатизация; обезопасителна и противопожарна система;

Интернет свързаност и всички останали компоненти - се управляват от оперативен център, който контролира работа им, за да осигури сигурна среда и безаварийна работа на всички технологични процеси.

3.4. Под-обработка: в момента Дружеството не използва под-обработващи лица. За предоставяне на своите услуги, включително тези по Договора, Дружеството може да използва други под-обработващи лица. Дружеството ще уведоми Xxxxxxx за всяка

планирана промяна на под-обработващите и ще предостави на Клиента възможност да възрази на такава под-обработка. Клиентът може да възрази срещу предложената под- обработка в рамките на 14 дни от получаването на известието, като предостави в писмена форма разумни обосновани основания за възражението, включително, когато е

приложимо, свързани със способността на предложения нов под-обработващ да защитава адекватно личните данни в съответствие с това Споразумение или Законите за защита на данни. В случай, че възражението на Клиента е обосновано, страните добросъвестно ще работят, за да направят взаимно приемливи промени в предоставянето на услугите, които ще позволят да се избегне предложената под-обработка или да се замени с по-

подходяща. В случай че такива промени не могат да бъдат направени в разумен срок от възражението и ако Дружеството настоява за използване на предложената под-обработка за предоставяне на услуги по Договора, Клиентът може да прекрати Договора чрез

писмено уведомление до Дружеството.

3.5. Предаване в трети държави: Услугите, които Дружеството предоставя (и съответно данните на Клиента) се съхраняват в центрове за данни на територията

посочена в Договора. В някои случаи може да се извърши прехвърляне на лични данни към юрисдикции извън Европейския съюз или към международна организация

("прехвърляне в трети държави"), в това число за целите на информационната сигурност, поддръжката и изпълнението на услугите и инфраструктурата, добавяне на

функционалност към услугите и др. В случай, че Дружеството прехвърля лични данни на субекти на данни на ЕС в трети страни, Дружеството ще: i) извършва такова прехвърляне винаги въз основа на а) решение на Европейската комисия относно адекватно ниво на защита (член 45 от GDPR) или б) подходящи гаранции, предвидени в чл. 46 от GDPR,

включително разчита на СДК за лица обработващи данните; ii) налага на всеки под- обработващ същите задължения за защита на данните, посочени в настоящото

Споразумение, посредством договор; и iii) остава изцяло отговорно пред Клиента, ако под- обработващ не изпълни задълженията си за защита на данните.

3.6. Права на субектите на данни: като взима предвид естеството на обработването, подпомага Клиента чрез подходящи технически и организационни мерки, доколкото е възможно, за изпълнението на задължения на Клиента да отговори на искания за

упражняване на права на субектите на данни предвидени в глава III на ОРЗД или Законите за защита на данни. В частност Дружеството се съгласява, ако субект на данни подаде

писмено искане до Дружеството, изискваща информация относно обработката на или копия на негови лични данни, Дружеството незабавно да уведоми Xxxxxxx за това искане (включително копие от искането, ако е подходящо) и да не отговаря на това искане освен в съответствие с предварителните писмени указания на Клиента или съгласно изискванията на Закон за защита на данните (за които Дружеството ще информира надлежно Клиента).

3.7. Съдействие на Клиента: съдейства на Клиента в осигуряването на задълженията по членове 32 - 36 от ОРЗД включително, като се отчита естеството на обработване и

информацията, до която има достъп Дружеството. Дружеството също ще предоставя на

Клиента информацията, необходима за доказване на спазването на задълженията по това Споразумение и ще предоставя възможност и сътрудничи на одити, включително

проверки, извършени от Xxxxxxx или друг одитор, упълномощен от Клиента.

3.8. Връщане или изтриване на данни: заличи или върне по избор на Клиента

всички лични данни на Клиента след прекратяване на услугите свързани с обработването и заличи всички съществуващи копия, освен ако правото на Съюза или правото на държава

членка не изисква тяхното съхранение.

3.9. Уведомление при нарушаване на данните: без неоснователно забавяне и в разумен срок уведоми Xxxxxxx, след като е узнало за загуба, промяна, неразрешено разкриване или достъп до личните данни на Xxxxxxx.

4. Задължения и отговорности на Клиента:

Клиентът е отговорен за спазването на задълженията му като администратор на лични данни съгласно Законите за защита на данни. По-специално Клиентът е отговорен и гарантира, че: обработва само данни, които са законно и валидно събирани; надлежно обоснове всяко предаване на лични данни на Дружеството, включително за предоставяне на изисквана информация и получаване на всички необходими съгласия и/или

разрешения, където е приложимо; данните са съответни и пропорционални на конкретното използване; предоставянето на данните не нарушава правата на

поверителност, правата на личността, авторски права, договорни права, права върху

интелектуална собственост или каквито и да е други права на което и да е лице и/или по друг начин за спазването на закона.

5. ОБЩИ РАЗПОРЕДБИ

5.1. Промени в Законите за защита на данни: Страните, действайки добросъвестно и разумно най-бързо, могат да правят промени в това Споразумение, за да осигурят съответствие на Споразумението и на обработката на лични данни с всякакви промени в Законите за защита на данни или с решение или акт на всеки надзорен орган, на

Европейската комисия, на Европейския съвет за защита на личните данни, Съда на ЕС или на друг подобен орган или организация, което решение или акт засяга Законите за защита на данни и тяхното прилагане. Дружеството ще осигури еквивалентни промени по всяко споразумение, сключено с всеки засегнат под-обработващ.

5.2. Данни за контакт: Всяка от страните ще уведоми надлежно другата при промяна в данните си за кореспонденция. Всяка страна ще предостави и другата и информация за своя представител в ЕС (по член 27 от GDPR), където е приложимо.

5.3. Надживяване: Настоящото Споразумение остава в сила след и надживява прекратяването или изтичането на срока на действие на Договора, когато това е

приложимо.

5.4. Разделност: Ако дадена разпоредба на това Споразумение бъде приета от съд или от компетентна юрисдикция за невалидна, нищожна или неприложима, това няма да засегне валидността на останалите разпоредби, които остават валидни и приложими.

5.5. Предимство: В случай на несъответствия между разпоредбите на настоящото Споразумение и Договора, включително всички други договори, които ще бъдат сключени след датата на това Споразумение, разпоредбите на това Споразумение ще имат

предимство, освен ако изрично не е уговорено друго писмено между страните.

5.6. Приложимо право: Настоящото Споразумение се регулира от правото на и се подчинява на изключителната юрисдикция на съдилищата на България.