Споразумение за обработка на данни

между

Клиента в съответствие с ОУ като Администратор (наричан по-долу "Администратор"),

и

Spreadly GmbH, Forstenrieder Weg 1G, 82065 Baierbrunn, Deutschland в качеството си на обработващ лични данни (наричани по-долу "Обработващ лични данни", Администратор и Обработващ лични данни заедно "Страни")

Преамбюл

Администраторът е възложил на Обработващия данните в ОУ (наричани по-долу "Основно споразумение") услугите, посочени в него. Част от изпълнението на договора е обработката на лични данни. По-специално, в съответствие с чл. 28 от ОРЗД се налагат специфични изисквания към такова възложено обработване. За да спазят тези изисквания, страните сключват следното Споразумение за обработване на данни (наричано по-долу "Споразумението"), чието изпълнение не подлежи на отделно възнаграждение, освен ако не е изрично договорено.

§ 1 Определения

(1) В съответствие с чл. 4 (7) от ОРЗД администраторът е субектът, който самостоятелно или съвместно с други администратори определя целите и средствата за обработване на лични данни.

(2) В съответствие с чл. 4 (8) от ОРЗД обработващ лични данни е физическо или юридическо лице, орган, институция или друга структура, която обработва лични данни от името на администратора.

(3) В съответствие с чл. 4, параграф 1 от ОРЗД лични данни означава всяка информация, свързана с идентифицирано или подлежащо на идентифициране физическо лице (наричано по-долу "субект на данни"); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социалната идентичност на това физическо лице.

(4) Лични данни, изискващи специална защита, са личните данни съгласно чл. 9 от ОРЗД, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации на Субектите на данни, лични данни съгласно чл. 10 ОРЗД относно присъди и престъпления или свързани с тях мерки за сигурност, както и генетични данни съгласно чл. 4 (13) от ОРЗД, биометрични данни съгласно чл. 4 (14) от ОРЗД, данни за здравословното състояние съгласно чл. 4 (15) от ОРЗД, както и данни за сексуалния живот или сексуалната ориентация на физическо лице.

(5) Съгласно член 4, параграф 2 от ОРЗД обработването е всяка операция или съвкупност от операции, които се извършват с лични данни със или без автоматични средства, като събиране, записване, организиране, подаване, съхранение, адаптиране или промяна, извличане, консултиране, използване, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.

(6) В съответствие с член 4, параграф 21 от ОРЗД надзорният орган е независим държавен орган, създаден от държава членка съгласно член 51 от ОРЗД.

§ 2 Предмет на договора

(1) Обработващият лични данни предоставя услугите, посочени в основния договор, на Администратора. По този начин Обработващият лични данни получава достъп до лични данни, които обработва за Администратора изключително от името на Администратора и в съответствие с неговите инструкции. Обхватът и целта на обработката на данни от страна на Обработващия данните са посочени в основния договор и всички свързани описания на услугите. Администраторът отговаря за оценката на допустимостта на обработката на данни.

(2) Страните сключват настоящото споразумение, за да уточнят взаимните права и задължения съгласно законодателството за защита на данните. В случай на съмнение разпоредбите на настоящото споразумение имат предимство пред разпоредбите на основния договор.

(3) Разпоредбите на този договор се прилагат за всички дейности, свързани с основния договор, при които Обработващият лични данни и неговите служители или упълномощени от него лица влизат в контакт с лични данни, произхождащи от Администратора или събрани за Администратора.

(4) Срокът на настоящото споразумение се урежда от срока на основния договор, освен ако следните разпоредби не пораждат допълнителни задължения или права за прекратяване.

§ 3 Право на обучение

(1) Обработващият лични данни може да събира, обработва или използва данни само в рамките на Основния договор и в съответствие с инструкциите на Администратора. Ако от Обработващия лични данни се изисква да извърши допълнителна обработка по силата на законодателството на Европейския съюз или на държавите членки, на което той е подчинен, той уведомява Администратора за тези правни изисквания преди обработката.

(2) Инструкциите на контрольора първоначално се определят с настоящото споразумение. Впоследствие те могат да бъдат изменяни, допълвани или заменяни от Администратора в писмена или текстова форма чрез индивидуални инструкции (индивидуални инструкции). Администраторът има право да издава такива инструкции по всяко време. Това включва инструкции по отношение на коригирането, изтриването и блокирането на данни.

(3) Всички издадени инструкции се документират от контрольора. Инструкции, които надхвърлят услугата, договорена в основния договор, се третират като искане за промяна на услугата.

(4) Ако Обработващият лични данни е на мнение, че дадено указание на Администратора нарушава разпоредбите за защита на данните, той уведомява Администратора за това без ненужно забавяне. Обработващият лични данни има право да спре изпълнението на съответното указание, докато то не бъде потвърдено или изменено от Администратора. Обработващият лични данни може да откаже да изпълни очевидно незаконосъобразно указание.

§ 4 Видове обработвани данни, група субекти на данни, трета държава

(1) В рамките на изпълнението на Основния договор Обработващият лични данни има достъп до личните данни, посочени по-подробно в Приложение 1..

(2) Групата субекти на данни, засегнати от обработването на данни, е посочена в Приложение 1..

(3) Предаването на лични данни на трета държава може да се извърши при условията на чл. 44 и следващите. ОРЗД.

§ 5 Мерки за защита на Обработващия лични данни

(1) Обработващият лични данни е длъжен да спазва законовите разпоредби за защита на данните и да не разкрива информация, получена от домейна на Администратора, на трети лица или да я излага на техен достъп. Документите и данните трябва да бъдат защитени от разкриване на неоторизирани лица, като се отчита състоянието на техниката.

(2) Обработващият лични данни организира вътрешната организация в рамките на своята сфера на отговорност по такъв начин, че тя да отговаря на специалните изисквания за защита на данните. Той трябва да е предприел техническите и организационните мерки, посочени в Приложение 2, за да защити по подходящ начин данните на Администратора съгласно чл. 32 от ОРЗД, които Администраторът признава за адекватни. Обработващият лични данни си запазва правото да променя предприетите мерки за сигурност, като същевременно гарантира, че договореното в договора ниво на защита не е занижено.

(3) На лицата, заети с обработката на данни от Обработващия лични данни, се забранява да събират, обработват или използват лични данни без разрешение. Обработващият лични данни задължава всички лица, на които е възложил обработката и изпълнението на този договор (наричани по-долу "Служители"), да спазват съответните изисквания (задължение за поверителност, чл. 28, параграф 3, буква б) от ОРЗД) и осигурява спазването на това задължение с необходимата грижа.

(4) Обработващият лични данни е назначил длъжностно лице по защита на данните. Длъжностното лице по защита на данните на Обработващия данните е heyData GmbH, Schützenstr. 5, 10117 Берлин, datenschutz@heydata.eu, www.heydata.eu.

§ 6 Задължения за информиране на Обработващия лични данни

(1) В случай на смущения, подозрения за нарушения на защитата на данните или нарушения на договорните задължения на Обработващия лични данни, подозрения за инциденти, свързани със сигурността, или други нередности при обработването на лични данни от страна на Обработващия лични данни, от наети от него лица в рамките на договора или от трети страни, Обработващият лични данни информира Администратора без ненужно забавяне. Същото се отнася и за одитите на Обработващия данните от надзорния орган за защита на данните. Уведомлението за нарушение на сигурността на личните данни съдържа най-малко следната информация:

(а) описание на естеството на нарушението на сигурността на личните данни, включително, доколкото е възможно, категориите и броя на засегнатите субекти на данни, засегнатите категории и броя на засегнатите записи на лични данни;

(б) описание на мерките, предприети или предложени от Обработващия лични данни за справяне с нарушението, и, когато е приложимо, мерки за смекчаване на възможните неблагоприятни последици от него;

(в) описание на вероятните последици от нарушението на сигурността на личните данни.

(2) Обработващият лични данни незабавно предприема необходимите мерки за защита на данните и за смекчаване на евентуалните неблагоприятни последици за субектите на данни, информира Администратора за това и изисква допълнителни инструкции.

(3) Освен това Обработващият лични данни е длъжен да предостави на Администратора информация по всяко време, доколкото данните на Администратора са засегнати от нарушение съгласно параграф 1.

(4) Обработващият лични данни уведомява Администратора за всички съществени промени в мерките за сигурност съгласно чл. 5, ал. 2.

§ 7 Контролни права на администратора

(1) Администраторът може да се увери в техническите и организационните мерки на Обработващия лични данни преди началото на обработването на данни и след това редовно на годишна база. За тази цел Администраторът може например да получи информация от Обработващия лични данни, да получи съществуващи сертификати от експерти, удостоверения или вътрешни одити или, след своевременно съгласуване, лично да провери техническите и организационните мерки на Обработващия лични данни в рамките на нормалното работно време или да възложи проверката им на компетентна трета страна, при условие че третата страна не е в конкурентни отношения с Обработващия лични данни. Администраторът извършва проверките само в необходимата степен и не нарушава непропорционално операциите на Обработващия лични данни в процеса.

(2) Обработващият лични данни се задължава да предостави на Администратора, при устно или писмено искане от негова страна и в разумен срок, цялата информация и доказателства, необходими за извършване на проверка на техническите и организационните мерки на Обработващия лични данни.

(3) Администраторът документира резултатите от проверката и уведомява Обработващия лични данни за това. В случай на грешки или нередности, които Администраторът открива, по-специално по време на проверката на резултатите от проверката, Администраторът информира Обработващия лични данни без неоправдано забавяне. Ако по време на контрола се установят факти, чието бъдещо избягване изисква промени в поръчаната процедура, Администраторът незабавно уведомява Обработващия данните за необходимите процедурни промени.

§ 8 Използване на доставчици на услуги

(1) Договорените услуги се изпълняват с участието на доставчиците на услуги, посочени в приложение 3 (наричани по-долу "подизпълнители"). Администраторът предоставя на Обработващия лични данни своето общо разрешение по смисъла на член 28, параграф 2, точка 1 от ОРЗД да ангажира допълнителни Подизпълнители в рамките на своите договорни задължения или да замени вече ангажираните Подизпълнители.

(2) Обработващият лични данни информира Администратора преди всяка планирана промяна във връзка с участието или замяната на подизпълнител. Администраторът може да възрази срещу планираното включване или замяна на подизпълнител по важна причина съгласно законодателството за защита на данните.

(3) Възражението срещу планираното включване или замяна на подизпълнител трябва да бъде повдигнато в срок от 2 седмици от получаването на информацията за промяната. Ако не бъде повдигнато възражение, включването или замяната се считат за одобрени. Ако е налице важна причина съгласно закона за защита на данните и не е възможно решение по взаимно съгласие между Администратора и Обработващия лични данни, Администраторът има специално право да прекрати договора в края на месеца, следващ възражението.

(4) При ангажиране на подизпълнители Обработващият лични данни ги задължава да спазват разпоредбите на настоящото споразумение.

(5) Отношения с подизпълнител по смисъла на тези разпоредби не съществуват, ако обработващият лични данни възлага на трети лица услуги, които се считат за чисто спомагателни. Те включват например пощенски, транспортни и спедиторски услуги, услуги по почистване, телекомуникационни услуги без конкретно позоваване на услугите, предоставяни от Обработващия лични данни на Администратора, и услуги по охрана. Услугите по поддръжка и тестване представляват отношения с подизпълнители, за които се изисква съгласие, доколкото те се предоставят за ИТ системи, които се използват и във връзка с предоставянето на услуги за Администратора.

§ 9 Искания и права на субектите на данни

(1) Обработващият лични данни подпомага Администратора с подходящи технически и организационни мерки при изпълнението на задълженията на Администратора съгласно членове 12-22 и 32-36 от ОРЗД.

(2) Ако субект на данни предяви права, като например право на достъп, коригиране или изтриване на неговите данни, директно срещу обработващия лични данни, последният не реагира самостоятелно, а препраща субекта на данни към администратора и изчаква неговите указания.

§ 10 Отговорност

(1) Във вътрешните отношения с Обработващия лични данни Администраторът носи отговорност единствено пред Субекта на данни за обезщетение за вреди, претърпени от Субекта на данни поради недопустимо или неправилно обработване на данни съгласно законите за защита на данните или използване в рамките на възложеното обработване.

(2) Обработващият лични данни носи неограничена отговорност за вреди, доколкото причината за вредите се основава на умишлено или грубо небрежно нарушение на задълженията от страна на Обработващия лични данни, негов законен представител или пълномощник.

(3) Обработващият лични данни носи отговорност за небрежно поведение само в случай на неизпълнение на задължение, чието изпълнение е предпоставка за правилното изпълнение на договора и на чието спазване Администраторът редовно разчита и може да разчита, но ограничено до средните вреди, типични за договора. Във всички останали отношения отговорността на Обработващия лични данни - включително и за неговите заместници - се изключва.

(4) Ограничението на отговорността съгласно § 10.3 не се прилага за искове за обезщетение за вреди, произтичащи от увреждане на живота, тялото, здравето или от поемане на гаранция.

§ 11 Прекратяване на основния договор

(1) След прекратяването на основния договор Обработващият лични данни връща на Администратора всички предоставени му документи, данни и носители на данни или - по искане на Администратора, освен ако не съществува задължение за съхранение на личните данни съгласно правото на Съюза или правото на Федерална република Германия - ги изтрива. Това се отнася и за всички резервни копия на данни при Обработващия лични данни. При поискване Обработващият лични данни предоставя документирано доказателство за правилното изтриване на всички данни.

(2) Администраторът има право да контролира пълното и договорно връщане или изтриване на данните при Обработващия лични данни по подходящ начин.

(3) Обработващият лични данни е длъжен да пази поверителността на данните, които са му станали известни във връзка с основния договор, дори и след края на основния договор. Настоящото споразумение остава валидно и след края на основния договор, докато Обработващият лични данни разполага с лични данни, които са му били предадени от Администратора или които е събрал за Администратора.

§ 12 Заключителни разпоредби

(1) Доколкото Обработващият лични данни не извършва изрично безплатни действия по поддръжка съгласно настоящото споразумение, той може да начисли на Администратора разумна такса за това, освен ако собствените действия или бездействия на Обработващия лични данни не са направили такава поддръжка пряко необходима.

(2) Измененията и допълненията на настоящото споразумение трябва да бъдат направени в писмена форма. Това се отнася и за всеки отказ от това официално изискване. Приоритетът на отделните договорни споразумения остава незасегнат.

(3) Ако отделни разпоредби на настоящото споразумение са или станат изцяло или частично невалидни или неприложими, това не засяга валидността на останалите разпоредби.

(4) Това споразумение се подчинява на германското законодателство.

Приложение 2 - Технически и организационни мерки на обработващия лични данни

1. Въведение

Този документ обобщава техническите и организационните мерки, предприети от Обработващия лични данни по смисъла на чл. 32, ал. 1 ОТ ОРЗД. Това са мерките, предприети от Обработващия лични данни за защита на личните данни. Целта на документа е да подпомогне Обработващия лични данни при изпълнението на задълженията му за отчетност съгласно чл. 5, параграф 2 от ОРЗД.

2. Поверителност (чл. 32, ал. 1, буква б) от ОРЗД)

2.1 Контрол на влизането

Следните прилагани мерки предотвратяват достъпа на неоторизирани лица до системите за обработка на данни:

• Работа от дома: неоторизирани лица нямат достъп до домовете на служителите.

• Работа в домашния офис: указание към служителите да работят в отделен офис от всекидневната си, ако е възможно.

2.2 Контрол на допускането

Следните прилагани мерки предотвратяват достъпа на неоторизирани лица до системите за обработка на данни:

• Удостоверяване с потребител и парола

• Използване на защитни стени

• Използване на управление на мобилни устройства

• Криптиране на носители на данни

• Автоматично заключване на работния плот

• Управление на разрешенията на потребителите

• Създаване на потребителски профили

• Правила за централна парола

• Използване на 2-факторно удостоверяване

• Политика на компанията за сигурни пароли

• Обща инструкция за ръчно заключване на работния плот при напускане на работната станция

2.3 Контрол на достъпа

Следните прилагани мерки гарантират, че неоторизирани лица нямат достъп до лични данни:

• Регистриране на достъпа до приложенията (по-специално при въвеждане, промяна и изтриване на данни).

• Броят на администраторите е възможно най-малък.

• Управление на потребителските права от системните администратори

• Инструкция към служителите, че данните ще бъдат изтривани само след консултация

2.4 Контрол на разделянето

Следните мерки гарантират, че личните данни, събрани за различни цели, се обработват отделно:

• Физически отделено съхранение в отделни системи или носители на данни

• Разделяне на производствената и тестовата система

• Логическо разделяне на клиентите (от страна на софтуера)

• Определяне на права върху бази данни

• Вътрешна инструкция за анонимизиране/псевдонимизиране на личните данни в случай на разкриване или след изтичане на законоустановения срок за изтриване, ако е възможно.

3. Интегритет (член 32, параграф 1, буква б) от ОРЗД)

3.1 Контрол на трансфера

Гарантира се, че личните данни не могат да бъдат прочетени, копирани, променени или премахнати без разрешение по време на предаването или съхранението им на носители на данни и че е възможно да се провери кои лица или органи са получили лични данни. За да се гарантира това, са приложени следните мерки:

• Криптиране на WLAN (WPA2 със силна парола)

• Регистриране на достъпа и извличането

• Предоставяне на данни чрез криптирани връзки, като SFTP или HTTPS

• Забрана за качване на фирмени данни на външни сървъри

3.2 Управление на входа

Следните мерки гарантират, че е възможно да се провери кой и по кое време е обработвал лични данни в системите за обработка на данни:

• Регистриране на въвеждането, промяната и изтриването на данни

• Ръчен или автоматичен контрол на дневниците

• Проследяване на въвеждането, модифицирането и изтриването на данни чрез индивидуални потребителски имена (а не групи потребители).

• Ясни отговорности за заличаванията

legal.dpa.latest.annexes.2.3.2.text.6

4. Наличност и устойчивост (член 32, параграф 1, буква б) от ОРЗД)

Следните мерки гарантират, че личните данни са защитени срещу случайно унищожаване или загуба и са винаги на разположение на клиента:

• Пожарогасители в сървърните помещения

• Устройства за наблюдение на температурата и влажността в сървърни помещения

• Климатизация в сървърните помещения

• Защитни ленти за контакти в сървърни помещения

• Непрекъсваемо захранване (UPS)

• Видео наблюдение в сървърни помещения

• Алармено съобщение за неоторизиран достъп до сървърни помещения

• Редовни резервни копия

• Проверка на процеса на архивиране

• Съхраняване на резервни копия на данни на сигурно място извън офиса

• Редовни тестове за възстановяване на данни и регистриране на резултатите

• Липса на санитарни помещения във или над сървърното помещение

• хостинг (поне на най-важните данни) при професионален хостер

5. Процедури за редовен преглед, оценка и преценка (чл. 32, ал. 1, буква г) от ОРЗД; чл. 25, ал. 1 от ОРЗД)

5.1 Управление на защитата на данните

Следните мерки имат за цел да гарантират, че организацията отговаря на основните изисквания на закона за защита на данните:

• Използване на платформата heyData за управление на защитата на данните

• Назначаване на длъжностното лице по защита на данните heyData

• Задължение на служителите да пазят тайната на данните

• Редовно обучение на служителите по защита на данните

• Поддържане на преглед на дейностите по обработване (чл. 30 от ОРЗД)

5.2 Управление на реакцията при инциденти

Следните мерки имат за цел да гарантират, че процесите на докладване се задействат в случай на нарушения на защитата на данните:

• Процедура за докладване на нарушения на защитата на данните в съответствие с чл. 4 № 12 от ОРЗД до надзорните органи (чл. 33 от ОРЗД)

• Процес на уведомяване за нарушения на сигурността на данните в съответствие с чл. 4 № 12 от ОРЗД на субектите на данни (чл. 34 от ОРЗД)

• Участие на длъжностното лице по защита на данните в инциденти със сигурността и нарушения на сигурността на данните

• Използване на защитни стени

5.3 Настройки по подразбиране, съобразени със защитата на данните (чл. 25, ал. 2 от ОРЗД)

Следните мерки имат за цел да гарантират, че процесите на докладване се задействат в случай на нарушения на защитата на данните:

• Процедура за докладване на нарушения на защитата на данните в съответствие с чл. 4 № 12 от ОРЗД до надзорните органи (чл. 33 от ОРЗД)

• Процес на уведомяване за нарушения на сигурността на данните в съответствие с чл. 4 № 12 от ОРЗД на субектите на данни (чл. 34 от ОРЗД)

5.4 Контрол на поръчките

Следните мерки гарантират, че личните данни могат да бъдат обработвани само в съответствие с инструкциите:

• Писмени инструкции към изпълнителя или инструкции в текстова форма (напр. чрез споразумение за обработка на данни).

• Гарантиране на унищожаването на данните след приключване на поръчката, например чрез изискване на съответните потвърждения.

• Потвърждение от изпълнителите, че те задължават своите служители да пазят в тайна данните (обикновено в споразумението за обработка на данни).

• внимателен подбор на изпълнители (особено по отношение на сигурността на данните).

• Текущ преглед на изпълнителите и техните дейности

• Гарантиране на унищожаването на данните след приключване на поръчката, например чрез изискване на съответните потвърждения.

Версия 1.3, в сила от 10 април 2024 г.