СПОРАЗУМЕНИЕ
МЕЖДУ АДМИНИСТРАТОР И ОБРАБОТВАЩ
ТБС ТРАДИКС ООД, наричано за краткост Администратор на лични данни, от една страна, и получателят на настоящия имейл, посочен по-горе, наричан за краткост Обработващ лични данни, от друга страна, се споразумяха за следното:
РАЗДЕЛ I. ПРЕДМЕТ НА СПОРАЗУМЕНИЕТО
Чл. 1. (1) Предмет на това споразумение е обработването на лични данни от страна на Обработващия – от името и за сметка на Администратора.
(2) Термините „лични данни“, „обработване на данни“ и свързаните с тях понятия, правила и/или процедури следва да се прилагат и/или тълкуват в контекста на Регламент (ЕС) 2016/679, наричан също Общ регламент за защита на личните данни (ОРЗД).
Чл. 2. (1) Администраторът предоставя на обработващия следните категории лични данни:
1. общи персонални детайли на клиенти/съконтрагенти/партньор
2. данни за контакт на клиенти/съконтрагенти/партньор
(2) Посочените в ал. 1 категории лични данни принадлежат на субекти на данни, които са:
1. служители/работници на Администратора;
2. клиенти/съконтрагенти/партньор
Обработващият може да обработва от името на администратора и данни, генерирани в процеса на обработването на посочените данни.
(3) Посочените данни се обработват за срока, в който е налице съответното правно отношение между Администратора и субекта на данните. Периодът за обработване може да бъде удължен съгласно приложимите към момента нормативни изисквания.
(4) Посочените данни се обработват въз основа и с цел:
1.извършване на услуги, включени в дейността от страна на Администратора, както и изпълнение на сключените от Администратора договори за изработка.
Чл. 3. (1) Данните ще се предават между страните чрез следните средства:
– копия на хартиен носител;
– електронни копия – на физически носител или по електронен път.
Във всеки случай на предаване на данни между Страните, данните ще бъдат надлежно криптирани или защитени по друг начин и достъп до тях ще има само специално определен персонал на съответната Страна.
(2) Данните ще се предават на Обработващия, съгласно посоченото в този раздел с оглед осигуряване на възможността Обработващият да предоставя услуги и изпълнение на Администратора, така както Страните са се уговорили помежду си.
РАЗДЕЛ II. ПРАВА И ЗАДЪЛЖЕНИЯ НА СТРАНИТЕ
Чл. 4 (1) Със сключването на това споразумение, Администраторът декларира, че
1. е инструктирал Обработващия да обработва предадените му лични данни в съответствие с изискванията на приложимото законодателство за защита на личните данни и, когато е приложимо, да обработва данни само от името на Администратора;
2. осигурява съответствие на обработването на данните с установените от закона мерки за защита;
3. ако предаването включва трансфер на данни извън Европейския съюз, субектът на данни ще бъде информиран преди трансфера на данните му в такава трета страна (която не предоставя адекватна защита по смисъла на приложимото европейско законодателство) да е извършен;
4. ще отговаря на всяко запитване от субектите на данни, свързани с въпроси относно обработването на техните данни.
(2) Администраторът има право да прекрати незабавно по-нататъшно предаване на данни и/или да прекрати Споразумението, ако Обработващият не изпълнява изискванията по отношение на обработването, наложени му от настоящото Споразумение или всяко приложимо законодателство. Администраторът има право да прекрати и други договори между страните, въз основа на упражняване на правата си по предходните изречения, в случай че това прави невъзможно изпълнението на тези договори.
Чл. 5. Обработващият се съгласява и декларира, че:
1. ще обработва данните в съответствие с приложимото законодателство за защита на личните данни и във всеки случай – в съответствие с инструкциите на Администратора, и единствено за целите, посочени в настоящото Споразумение. В случай, че Обработващият срещне някакви трудности, поради каквато и да е причина, да обработва данните, както е предвидено в настоящото Споразумение, той се задължава да уведоми незабавно Администратора;
2. ще обработва личните данни само от името на Администратора, когато е приложимо;
3. няма по никакъв начин да използва получените данни за негова собствена употреба или на която и да е трета страна.
4. ще поддържа получените лични данни актуални и няма да съхранява данни за по-дълъг период от нужния срок на обработване, освен ако е предвидено друго от приложимото законодателство;
5. ще изпълнява инструкциите на Администратора, доколкото те не противоречат на приложимото законодателство. В случай че Обработващият установи противоречие на тези инструкции с приложимото законодателство, то той следва незабавно да уведоми за това Администратора;
6. е въвел минимален набор от техническите и организационни мерки за защита, посочени в Приложение 1 към настоящия Анекс с оглед безопасното обработване на личните данни, получени или които ще бъдат получени от Администратора;
7. въведените мерки за защита са подходящи да защитят данните от инцидентно или умишлено унищожаване или инцидентна загуба, изменение, неоторизирано разкриване или достъп, в частност когато обработването включва предаване на данни чрез мрежа, и от всички незаконни форми на обработване; че е предприел всички други мерки, произтичащи от чл. 32 от ОРЗД;
8. незабавно ще уведоми Администратора относно:
(i) всяка промяна в приложимото законодателство, която може да въздейства на обработването на данни, предоставени по настоящото Споразумение;
(ii) всяко правно обвързващо искане за разкриване на лични данни от правоприлагащ орган, освен ако това е забранено от приложимото законодателство;
(iii) всеки инцидентен или неоторизиран достъп до данните, които е получил от Администратора.
9. администраторът се съгласява Обработващият да може да предава данни за допълнително обработване от подизпълнител/и, за който/които може осигури същите условия относно безопасното обработване на данните като тези, които Обработващият е поел в съответствие с настоящото Споразумение, както и да предостави на Администратора копие от това споразумение;
10. ще съхранява записи от всички извършени дейности по обработка на данните, като осигури всяка стъпка от обработването на данни да може да се проследи, включително на кого са предоставени данните, кога, какви данни, за каква цел и какви са договорките на Обработващия с такива трети страни;
11. ще обработва своевременно и правилно всички запитвания на Администратора, свързани с обработката на лични данни, предмет на трансфер, и ще изпълнява насоките на надзорния орган във връзка с обработване на прехвърляните данни;
12. по искане на Администратора, ще разрешава на същия и на надзорните органи да влизат в помещенията, които Обработващият използва за обработка на данни, за извършване на проверки на дейностите по обработка, включени в това Споразумение;
13. при прекратяване на Споразумението, Обработващия ще съхранява всички получени лични данни и техни копия съгласно посочените в Регламент (ЕС) 2016/679. След изтичане на този срок Обработващия ще унищожи всички такива данни съгласно действащото законодателство;
14. неговите служители, които имат достъп до обработваните лични данни, са поели ангажимент за поверителност;
15. ще подпомага администратора при изпълнението на негови задължения, произтичащи от ОРЗД, включително и тези по чл. 32 – 36 от ОРЗД;
16. ще води регистър на дейностите по обработването, извършвано от името на Администратора, в съответствие с чл. 30, ал. 2 от ОРЗД;
17. ще уведоми Администратора за всеки изискан достъп до данните от страна на публичен и/или надзорен орган. В случай, че е наложена забрана за това, ще предприеме всички необходими действия, за да оспори тази забрана по съдебен ред и/или по всякакъв друг начин.
РАЗДЕЛ III. ОТГОВОРНОСТ
Чл. 6. (1) Обработващият носи пълна отговорност за неизпълнение на задълженията си по Регламент (ЕС) 2016/679, ОРЗД и ЗЗЛД и/или по договореностите по настоящото споразумение.
(2) Страните се съгласяват, че всеки субект на данни, който е понесъл вреди в резултат на нарушение на задълженията, посочени в това Споразумение, от някоя от Страните, ще има право да претендира поправяне на причинените вреди и обезщетение от Страната, чието действие или бездействие е причинило нарушението на правата на субекта на данни.
РАЗДЕЛ IV. ПРЕКРАТЯВАНЕ НА СПОРАЗУМЕНИЕТО
Чл. 7. Това споразумение може да бъде прекратено по взаимно съгласие между страните.
Чл. 8. Всяка от страните има право да прекрати това споразумение с тримесечно писмено предизвестие.
Чл. 9. Всяка от страните има право да прекрати това споразумение с едноседмично предизвестие в случай, че насрещната страна не е изпълнила свои задължения по него. Упражняването на правото по този член не лишава изправната страна от съответните права, предвидени в това споразумение във връзка с обработваните лични данни и последствия настъпили от неправомерното им обработване.
Чл. 10. В случаите по чл. 8 и 9, страните следва да уредят помежду си всички въпроси, свързани с обработването на личните данни, в съответствие с изискванията на ОРЗД.
Чл. 11. Това споразумение се счита за сключено със самия факт на възлагане от страна на Администратора и приемане от страна на Обработващия на изпълнението на посочените по-горе поръчки.
ПРИЛОЖЕНИЕ 1
ИНСТРУКЦИЯ ЗА ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
1. Обработващият третира всички лични данни, предадени от Администратора или възникнали по време на обработката, като поверителни, като не ги разкрива, освен на служителите си и обработващи подизпълнители и само доколкото това е необходимо за изпълнение на дейностите по договора.
2. Обработващият поддържа политики, инструкции или насоки, която преразглежда и обновява, ако е необходимо, най-малко веднъж годишно, регулиращи сигурността на информацията и в частност на защитата на личните данни, а както и ИТ сигурността.
3. Обработващият гарантира, че служителите му:
3.1. са се задължили писмено да спазват поверителността на личните данни;
3.2. познават съответните му политики, инструкции и насоки във връзка със защита на личните данни;
3.3. познават законодателството за защита на данните;
3.4. знаят какви мерки и действия да предприемат при евентуален пробив в сигурността на личните данни;
3.5. са квалифицирани да изпълняват възложените им задачи във връзка с обработката на личните данни.
4. Обработващият поддържа необходимото ниво на контрол върху помещенията, в които се обработват данните, включително сървърни или сходни помещения, което да предотврати неоторизиран достъп до тях.
5. Обработващият взима необходимите мерки за допълнителни физически ограничения пред нерегламентирания и/или неоторизиран достъп до лични данни (ключалки, шкафове, метални каси, оборудвани зони с контролиран достъп, оборудвани помещения, система за физически контрол на достъпа (вкл. бариери, камери за наблюдение), охранители и система за управление на сигурността, автоматична пожароизвестяване, аларма и пожарогасителна система, системи за защита на периметъра).
6. Обработващият поддържа регистър/логове на достъпите до помещенията, в които се обработват лични данни.
7. Обработващият поддържа възможността да се проследи всяко въвеждане, достъпване, модифициране, изтриване на лични данни от съответния служител.
8. Обработващият прилага специфични мерки за защита на автоматизираните системи, които използва както следва:
8.1. достъпът до системите е защитен и сигурен и се осъществява посредством удостоверяване;
8.2. правата на администраторите са ограничени до необходимостта от оперативно обслужване;
8.3. активно проверява актуалността на и актуализира предоставените достъпи и права до системите;
8.4. използва стандартните криптографски възможности на операционните системи, базите данни и комуникационното оборудване;
8.5. поддържа резервни копия и да може да възстанови загубени данни;
8.6. използва само лицензиран софтуер, който се обновява редовно особено по отношение на критичните обновявания;
8.7. използва актуална антивирусна защита;
8.8. максимално ограничава и контролира използването на Интернет от работните места, на които се извършва обработката;
8.9. прехвърля/събира данните само през сигурни протоколи ^8, НТТР8, 8РТР и РТР8;
8.10. поддържа техническите мерки, които налагат затваряне на неактивни сесии, блокиране на акаунти след няколко последователни неуспешни опита за вход, силна парола или удостоверяване чрез парола и мерки, изискващи сигурен трансфер и съхранение на такива пароли;
8.11. избягва обработването на устройства, които не е сертифицирал и/или обслужил, ако това се налага проверява и настройва всяко едно такова устройство;
8.12. взима необходимите мерки за правилното изтриване и унищожаване на информацията от съответните носители.
9. Обработващият избягва съхраняването на лични данни върху преносими носители. Ако това неизбежно се налага, то същите следва да бъдат криптирани.
10. Обработващият документира, анализира и съобщава на Администратора за всички пробиви в сигурността, независимо дали се касае за физически документи или автоматизирани системи.
В случай на разработка на софтуер от страна на Обработващия за Администратора или от страна на трета страна за Обработващия свързан с обработването на личните данни, последните не могат да бъдат използвани за тестване преди да бъдат анонимизирани или маскирани, така че да не позволяват идентифициране на данни за физически лица.