I. ОБЩИ ПОЛОЖЕНИЯ
Използвани дефиниции
Чл. 1. (1) „Възложител” – означава всяко физическо или юридическо лице, което след приемане на Споразумението ще притежава (на чието име ще съществува) или вече притежава (на чието име съществува) Основен профил в Платформата.
(2) „Изпълнител” – означава търговско дружество “ТИЙМЛУК” ООД, вписано в Търговски регистър и регистъра на юридическите лица с нестопанска цел към Агенция по вписванията на Република България с ЕИК 202520247.
(3) Възложителят и Изпълнителят също така могат да бъдат наричани поотделно „Страна” и заедно „Страните”.
(4) „Условия за ползване” – означава Условията за ползване, намиращи се на адрес https://accounting.controlisy.com.
(5) „Основен договор“ – означава договорът, обективиран в Условията за ползване.
(6) „Споразумение/то” – означава настоящото Споразумение.
(7) „Платформата” – означава софтуер с търговско наименование „Controlisy Accounting“, намиращ се на адрес: https://accounting.controlisy.bg.
(8) „Основен профил” означава отделна част в уебсайт на адрес https://accounting.controlisy.bg, съдържаща информация за Възложителя, предоставена от последния при и след регистрацията му за използване на Платформата.
(9) „Потребителски профили” – означават Основния профил и потребителски профили в Платформата, които са създадени към Основния профил и чрез които се осъществява достъп до Платформата.
(10) „ОРЗД” - Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните).
(11) Освен ако в настоящото Споразумение е предвидено друго, всички термини в областта на защитата на личните данни, използвани в Споразумението, ще имат смисъла, с който са използвани в ОРЗД и другото приложимо законодателство относно защита на личните данни.
Предмет на Споразумението
Чл. 2. (1) Настоящото Споразумение урежда отношенията между Страните относно обработването на лични данни във връзка с Основния договор.
(2) Във връзка с Основния договор от страна на Изпълнителя ще се извършва обработване на лични данни по смисъла на чл. 4, параграф 1 от „ОРЗД”, които лични данни Изпълнителят получава (за получаване/предаване се счита и предоставяне на достъп до личните данни) от страна Възложителя и по отношение на които Възложителят действа в качеството на администратор по смисъла на чл. 4, параграф 7 от ОРЗД, а Изпълнителя – на обработващ лични данни по смисъла на чл. 4, параграф 8 от ОРЗД. В допълнение, Страните ще предават помежду си и лични данни, по отношение на които и двете Страни ще действат в качеството на администратори на лични данни.
Видове отношения между страните
Чл. 3. В раздел II от Споразумението са уредени отношенията между Страните, при които Изпълнителят има качеството на обработващ лични данни, а Възложителят – на администратор на лични данни. В раздел III от Споразумението са уредени отношенията между Страните, при които и двете Страни имат качеството на администратори на лични данни. Раздели I и IV от Споразумението се прилагат за всички отношения между Страните.
Общи правила
Чл. 4. (1) Възложителят следва да осигури, че лицата, които използват Потребителски профили не разкриват паролата си за достъп до Потребителския профил на други лица и Възложителят следва да уведоми незабавно Изпълнителя, ако заподозре или узнае, че е осъществен нерегламентиран достъп до даден Потребителски профил.
(2) Възложителят и свързаните с него физически лица (негови работници/служители; негови представители; лица, които ползват Потребителски профили в Платформата и т.н.) следва да предават на Изпълнителя лични данни (за получаване/предаване се счита и предоставяне на достъп до личните данни) за физически лица, само ако това е законосъобразно (в т.ч. ако е налице правно основание за това). Всички тези лични данни се считат за предоставени от самия Възложител. Задължение на Възложителя е да запознае с Условията за ползване и с настоящото Споразумение съответните такива свързани с него лица, които използват Платформата и/или осъществят взаимодействие с Изпълнителя.
(3) Възложителят отговаря за всички действия/бездействия и изявления на свързаните с него физически лица (негови работници/служители; представители; лица, които ползват Потребителски профили в Платформата и т.н.) и гарантира, че ги е запознал с Условията за ползване и с настоящото Споразумение и че те ще ги спазват. Всички такива действия/бездействия и изявления се считат за такива на самия Възложител.
(4) Възложителят следва да изпълнява дейността си във връзка с Основния договор по такъв начин, че за Изпълнителя да бъде гарантирано безусловното и лесно доказване на факти и обстоятелства, свързани с дейностите по обработване на лични данни.
(5) В случай на проверка от надзорен или друг орган на власт, Възложителят ще окаже всякакво необходимо съдействие на Изпълнителя във връзка с доказването, че той спазва всички свои законови/договорни задължения, касаещи обработването на личните данни.
(6) Възложителят е длъжен да оказва на Изпълнителя всякакво друго съдействие, във връзка с извършваното от последния обработване на лични данни, включително да му предоставя всякакви необходими документи/информация, доколкото това не противоречи на действащото законодателство.
(7) Възложителят ще спазва всички свои задължения, предвидени в норми от ОРЗД и друго приложимо законодателство относно обработването на лични данни.
(8) Възложителят носи отговорност за това, на кого е предоставил достъп до Потребителските профили в Платформата, какъв достъп и каква роля е предоставил на съответното лице и дали това отговаря на функциите/задълженията на съответното лице. Ролите в Платформата са автоматично зададени и Възложителят следва да преценява дали функциите на дадено лице се припокриват с дадена роля в Платформата, съответно дали чрез достъпа в Платформата няма да се осъществи ненужно/прекомерно разкриване на лични данни на лицето, ползващо даден Потребителски профил. Ако няма припокриване на функциите и/или би се осъществило ненужно/прекомерно разкриване на лични данни на съответното лице, Възложителят и съответното физическо лице не следва да създават/използват съответния Потребителски профил.
(9) Възложителят следва да съхранява/използва надлежно и по сигурен начин потребителските имена и пароли за достъп до Потребителските профили, като Изпълнителят не носи каквато и да било отговорност относно тяхното съхранение/използване от страна на Възложителя и лицата, които са ги придобили от Възложителя. Възложителят е длъжен да деактивира Потребителски профил, в случай че лицето, за което този Потребителски профил е предназначен, повече няма право да го използва (например, лицето е вече не е служител на Възложителя). Възложителят следва да направи промени в предоставените права в Потребителски профил, ако това се налага с оглед спазване на изискванията по приложимото законодателство (напр. при промяна на функциите на работник/служител и т.н.). Възложителят отговаря относно използването на Потребителските профили, включително да следи дали те се използват съгласно законови/договорни изисквания.
(10) Възложителят не може да осъществява достъп чрез Платформата до Потребителски профили, които нямат активен платен абонаментен план и/или които са блокирани и/или заличени.
(11) Със сключването на настоящото Споразумение Възложителят декларира и гарантира, че сключването му, както и сключването на Основния договор не противоречат на приложимото законодателство.
Задължение за уведомяване
Чл. 5. Ако в определени случаи Възложителят не е администратор на личните данни, а е техен обработващ (например, на свой клиент), Възложителят не следва да се съгласява с настоящото Споразумение, а допълнително да уведоми Изпълнителя за този факт, за да се координират Страните помежду си дали и при какви условия да сключат договор. Възложителят следва да прецени дали са налице условията за уведомяване по предходното изречение, с оглед на отношенията си със съответните трети лица, като ако се съгласи с настоящото Споразумение, се счита, че Възложителят декларира и гарантира, че е администратор на всички лични данни и носи отговорност за вреди и пропуснати ползи пред Изпълнителя, ако се окаже, че това не е вярно.
II. ОТНОШЕНИЯ, ПРИ КОИТО ИЗПЪЛНИТЕЛЯТ ИМА КАЧЕСТВОТО НА ОБРАБОТВАЩ ЛИЧНИ ДАННИ
Обхват
Чл. 6. Настоящият раздел II от Споразумението урежда отношенията между Страните, при които Изпълнителят има качеството на обработващ лични данни, а Възложителят – на администратор на лични данни. Това са личните данни, които Възложителят въвежда в Платформата и/или предоставя на Изпълнителя по друг начин, с изключение на данните, по отношение на които Изпълнителят е в ролята на администратор на лични данни (напр. определени данни на представители/лица за контакт на Възложителя).
Основни положения и продължителност на обработването
Чл. 7. (1) Изпълнителят обработва лични данни от името на Възложителя по смисъла на чл. 28, параграф (алинея) 1 от ОРЗД.
(2) Изпълнителят обработва личните данни само по документирано нареждане на Възложителя, включително що се отнася до предаването на лични данни на трета държава или международна организация, освен когато е длъжен да направи това по силата на правото на Съюза (ЕС) или правото на държава членка на ЕС, което се прилага спрямо Изпълнителя, като в този случай Изпълнителят информира Възложителя за това правно изискване преди обработването, освен ако това право забранява такова информиране на важни основания от публичен интерес.
(3) В Приложение № 1 към настоящото Споразумение са описани видовете лични данни, които се обработват от Изпълнителя, предмета, естеството и целта на обработването им от Изпълнителя и за кои категории субекти на данни се отнасят. Срокът на действие на обработването на личните данни от страна на Изпълнителя е посочен в ал. 5 от настоящия член.
(4) Обработването на личните данни се извършва единствено на територията на държави членки на Европейския съюз или на друга държава, страна по Споразумението за европейско икономическо пространство (ЕИП). В случай че настъпи съответна промяна, представляваща обработване на данни извън държавите членки на Европейския съюз и държавите – страни по Споразумението за ЕИП, Изпълнителят писмено уведомява Възложителя за това, по възможност предварително, като в случай Възложителят не е съгласен с промяната, той има право да прекрати използването на Платформата. В хипотезата по предходното изречение Изпълнителят не дължи възстановяване на заплатени/предплатени суми от страна на Възложителя, нито каквото и да е обезщетение на Възложителя, като прекратяването ползването на Платформата няма да води до негативни последици и отговорност за Изпълнителя. Ако Възложителят продължи ползването на Платформата, се счита, че е приел промените.
(5) Потребителските профили се заличават в сроковете и при условията, предвидени в Условията за ползване. В срок до 6 /шест/ месеца след заличаването на всички Потребителски профили окончателно се изтриват/заличават всички копия/екземпляри от личните данни, съхранявани от Изпълнителя (в качеството му на обработващ лични данни) от името на Възложителя. Възложителят може да поиска от Изпълнителя изтегляне на информация/лични данни от Потребителските профили, които нямат активен платен абонаментен план и/или които са блокирани, след заплащане на определена от Изпълнителя такса. Такова искане следва да бъде направено преди заличаването на Потребителските профили, в противен случай се счита, че Възложителят е избрал да не ги получава и е съгласен те и всички техни копия/екземпляри да бъдат изтрити/заличени в уговорения в настоящата алинея срок, като Изпълнителят няма да носи отговорност, ако впоследствие не успее да му ги предостави. Възложителят няма право да дава нареждания относно обработване на лични данни във връзка с Потребителски профили, които нямат активен платен абонаментен план и/или които са блокирани, с изключение на изтеглянето на информация/лични данни от Потребителските профили, при условията на настоящата алинея. Възложителят няма право да дава нареждания относно обработване на лични данни във връзка с Потребителски профили, които са заличени (ако направи искане за изтегляне на екземпляри/копия от лични данни от такива Потребителски профили, не е сигурно, че ще е възможно то да бъде удовлетворено). В срока от деактивиране/блокиране на Потребителските профили до съответното окончателно изтриване/заличаване на личните данни и всички копия/екземпляри от тях, Изпълнителят единствено ги съхранява от името на Възложителя и евентуално може да му ги предостави, при условията на настоящата алинея. За всякакви други действия (ако Изпълнителят е съгласен да ги извърши) Изпълнителят може да определи допълнителна такса.
(6) Изпълнителят има право да прекрати без предизвестие Основния договор/Споразумението, в случай че счете поставени от Възложителя изисквания и/или дадени нареждания във връзка с обработването на лични данни за трудно изпълними и/или икономически неизгодни за него. Преди прекратяването на това основание Изпълнителят по своя преценка би могъл да положи усилия за достигане на взаимно приемлива договореност по такива въпроси. По преценка на Изпълнителя същият би могъл да даде на Възложителя предизвестие за прекратяването на Основния договор/Споразумението по настоящата алинея, за да може Възложителят да организира плавно преминаването си към друг изпълнител на услугите. Прекратяването на Основния договор/Споразумението по настоящата алинея няма да води до негативни последици и до отговорност за Изпълнителя.
Нареждания на Възложителя
Чл. 8. (1) Нарежданията на Възложителя към Изпълнителя относно обработването на личните данни са задължителни за изпълнение от Изпълнителя, доколкото в Условията за ползване и/или Споразумението не е уговорено друго. Ако Изпълнителят е извършил уведомяване по ал. 3 от настоящия член, той не изпълнява нареждането на Възложителя, а изчаква следващо нареждане от страна на Възложителя. Изпълнението на това следващо нареждане не може да се отлага чрез уведомяване по ал. 3 от настоящия член, освен в случаите по ал. 3, изр. последно от настоящия член.
(2) Нарежданията на Възложителя ще са в писмена форма.
(3) Предвид чл. 28, параграф 3, буква з) от ОРЗД Изпълнителят незабавно уведомява Възложителя, ако според него дадено нареждане на Възложителя нарушава ОРЗД или други разпоредби на ЕС или на държавите членки на ЕС относно защитата на данни. Това задължение на Изпълнителя се прилага дотолкова, доколкото от предоставената на Изпълнителя информация нарушението на съответните норми е очевидно, както и доколкото то касае самите дейности по обработване, осъществявани от Изпълнителя. Изпълнителят има право да уведоми Възложителя, ако счете, че нареждане на последния е неясно, непълно и/или представлява риск за обработваните лични данни.
(4) Нарежданията на Възложителя не следва да изменят Основния договор, неговия предмет, както и договореното с настоящото Споразумение.
Задължения, декларации и гаранции на Възложителя
Чл. 9. (1) Възложителят носи отговорност за законосъобразността на обработването на личните данни, в това число за наличието на правно основание за обработването им, за наличие на конкретна и легитимна цел, както и за спазване на другите принципи за обработването на данните и изисквания на приложимото законодателство в областта на личните данни. Възложителят носи отговорност и за възложеното от него обработване на данни, като със сключването на настоящото Споразумение декларира и гарантира, че при определяне предмета на Основния договор, в т.ч. избрания план в Платформата, както и на вида и обема на личните данни, които попълва в Платформата, са спазени и ще бъдат спазвани приложимите норми/изисквания относно обработването на личните данни.
(2) Възложителят носи отговорност относно обема и видовете лични данни, които се попълват (чрез всеки един от Потребителските профили) в Платформата и разбира, че предвидените полета са само възможности, като Възложителят следва да прецени във всеки конкретен случай дали, какви и в какъв обем лични данни да се попълват в тях, съобразно изискванията на приложимото законодателство. Изпълнителят по никакъв начин не осъществява контрол на съдържанието, въвеждано от Възложителя в Платформата, но ако Изпълнителят установи незаконосъобразност или нарушаване на договорно задължение, би могъл (но няма да е длъжен) да предприеме съответни действия (включително такива съгласно приложимото законодателство), например спиране/ограничаване на достъпа до Платформата, премахване на незаконно съдържание и други.
(3) Възложителят следва да предостави на съответните физически лица (чиито данни въвежда в Платформата и/или предоставя на Изпълнителя по друг начин) информацията по чл. 13/14 от ОРЗД във връзка с извършваното от Изпълнителя обработване на данните. Освен това, при поискване от Изпълнителя, Възложителят ще предоставя на физическите лица по предходното изречение, информация за промени в информация по чл. 13 и 14 от ОРЗД и всяка друга информация, свързана с обработването на личните им данни. При поискване от Изпълнителя, Възложителят ще му предоставя и всякакво друго необходимо съдействие, свързано с обработването на лични данни, извършвано с оглед на отношенията между Възложителя и Изпълнителя. Възложителят е длъжен да следи за актуалността, точността, пълнотата и верността на всички лични данни, които въвежда или е въвел в Платформата, както и на всички лични данни, които предоставя или е предоставил на Изпълнителя по друг начин.
Задължения на Изпълнителя
Чл. 10. (1) Изпълнителят взема всички необходими мерки съгласно член 32 от ОРЗД. Възложителят се съгласява, че с мерките, изброени в Приложение № 2 към Споразумението, правилото по предходното изречение е спазено. Ако в даден момент Възложителят счете, че прилаганите от Изпълнителя мерки не са достатъчни, Възложителят следва да уведоми Изпълнителя за това, като Възложителят ще има право да прекрати използването на Платформата. В хипотезата по предходното изречение Изпълнителят не дължи възстановяване на заплатени/предплатени суми от страна на Възложителя, нито каквото и да е обезщетение на Възложителя, като прекратяването ползването на Платформата няма да води до негативни последици и отговорност за Изпълнителя. Ако Възложителят продължава ползването на Платформата, се счита, че той е съгласен с прилаганите от Изпълнителя мерки към съответния момент.
(2) Преди да започне обработването на личните данни, Изпълнителят е приложил посочените в Приложение № 2 към настоящото Споразумение технически и организационни мерки и ще ги поддържа за срока на действие на обработването, посочен в настоящото Споразумение, освен ако са налице условията по следващото изречение и/или ал. 4 на настоящия член. В случай че Изпълнителят установи, че изпълнените съгласно Приложение № 2 към Споразумението мерки не са достатъчни и/или има по-надеждни, и/или има законови изисквания за допълнителни/други мерки, той има право да започне да прилага съответните нови мерки.
(3) Изпълнителят има право, да прилага алтернативни мерки, които осигуряват същото или по-високо ниво на сигурност, спрямо мерките, определени в Приложение № 2 към Споразумението.
(4) Изпълнителят подпомага Възложителя да гарантира изпълнението на задълженията съгласно членове 32—36 от ОРЗД, като отчита естеството на обработване на личните данни и информацията, до която е осигурен достъп на Изпълнителя.
(5) Изпълнителят уведомява Възложителя без ненужно забавяне, след като узнае за нарушаване на сигурността на личните данни.
(6) Изпълнителят може да създава копия на личните данни, както и на носители, в които тaкива данни се съдържат, когато това се налага: за oсигуряване на законосъобразното и/или сигурно обработване на данни и/или това е необходимо във връзка с изпълнението на задължение(-я) по Основния договор, и/или създаваните копия са необходими за спазване на законови изисквания.
Поверителност
Чл. 11. Изпълнителят гарантира, че лицата, оправомощени от него да обработват личните данни, са поели ангажимент за поверителност и/или са задължени по закон да спазват поверителност.
Искания на субекти на данни
Чл. 12. (1) Като взема предвид естеството на обработването, Изпълнителят подпомага Възложителя, доколкото е възможно, чрез подходящи технически и организационни мерки при изпълнението на задължението на Възложителя да отговори на искания за упражняване на предвидените в глава III от ОРЗД права на субектите на данни.
(2) Изпълнителят има право да уведоми Възложителя, ако Изпълнителят получи искане по ал. 1 от субект на данни, за който се отнасят обработвани от Изпълнителя лични данни.
Използване на други обработващи данни
Чл.13. (1) С настоящото Споразумение Възложителят дава общо разрешение на Изпълнителя за ползване на други обработващи по отношение на личните данни. Изпълнителят ще спазва условията по чл. 28, параграфи 2 и 4 от ОРЗД за включване на друг(и) обработващ(и) лични данни. Изпълнителят винаги информира Възложителя за всякакви планирани промени за включване или замяна на други обработващи данни, като по този начин дава възможност на Възложителя да оспори тези промени.
(2) Лицата, които имат единствено технически и/или спомагателни функции към обработването и които не са „други обработващи“ по отношение на лични данни по смисъла на ОРЗД, не се нуждаят от каквото и да е одобрение/разрешение от Възложителя.
(3) В Приложение № 3 към настоящото Споразумение са посочени други обработващи, чието включване не се оспорва от Възложителя.
Доказателства. Право на одит
Чл. 14. (1) Изпълнителят осигурява достъп на Възложителя до цялата информация, необходима за доказване на изпълнението на задълженията, определени в чл. 28 от ОРЗД, и позволява и допринася за извършването на одити, включително проверки, от страна на Възложителя или друг одитор, оправомощен от Възложителя.(2) Одитите/проверки ще се извършват след предварително 30-дневно уведомление до Изпълнителя и са за сметка на Възложителя. Одитът/Проверката се извършва не по-често от един път годишно, освен ако е налице конкретна необходимост за надвишаване на този брой одити/проверки.
(3) Изпълнителят има право (по своя преценка) да откаже изцяло или частично извършването на одит/проверка на дейността му от страна на Възложителя или друг одитор, оправомощен от Възложителя, когато счете, че начина и/или средствата на извършване на одита/проверката, техният обхват или всякакви други обстоятелства, свързани с одита/проверката, засягат или биха могли да засегнат негови права и/или права на други лица (включително субекти на данни), както и когато счете, че одита/проверката противоречат по какъвто и да било начин на настоящото Споразумение и/или на Основния договор и/или на действащото законодателство. В случаите по предходното изречение Изпълнителят не носи отговорност пред Възложителя във връзка с направения от Изпълнителя отказ за извършване на одит/проверка.
(4) Изпълнителят може да определи разумна такса за одити/проверки, която има за цел да покрие разходите на Изпълнителя във връзка с извършването на одит/проверка по настоящия член.
Връщане и заличаване на личните данни
Чл. 15. След приключване на предоставянето на услугата по обработване, Изпълнителят е длъжен, по избор на Възложителя, да заличи или да му върне всички лични данни, както и да заличи съществуващите копия, освен ако правото на ЕС или правото на държава членка на ЕС не изисква тяхното съхранение. Подробностите в тази връзка са уредени в чл. 7, ал. 5 от настоящото Споразумение.
Отговорност и обезщетения
Чл. 16. (1) Отговорността на Изпълнителя се ограничава само до вредите, които са пряка и непосредствена последица от неизпълнението. Отговорността на Изпълнителя се ограничава само до неизпълнение при условия на груба небрежност или умисъл. Общият максимален размер на отговорност, която Изпълнителят носи спрямо Възложителя, е този на плащанията, направени от Възложителя към Изпълнителя до момента на настъпването на вредите.
(2) В случай, че Възложителят не изпълни което и да било от законовите си задължения и/или договорните си задължения по Споразумението/Основния договор и/или ако която и да било от декларациите/гаранциите на Възложителя по Споразумението и/или по Основния договор се окаже невярна или неточна, вследствие на което Изпълнителят претърпи вреди (например, бъде наложена санкция от органи на власт и/или Изпълнителят бъде задължен да заплати на субекта на лични данни обезщетение и/или друга сума във връзка с обработването на личните данни) и/или пропусне ползи, Възложителят се задължава да заплати на Изпълнителя обезщетение за претърпените вреди и пропуснати ползи (в т. ч. заплатени санкции, обезщетения, разноски, включително разноски за адвокати и консултанти и др.). В случаите по предходното изречение, Възложителят се задължава да оказва на Изпълнителя пълно съдействие и да го защитава и предпазва.
III. ОТНОШЕНИЯ МЕЖДУ ВЪЗЛОЖИТЕЛЯ И ИЗПЪЛНИТЕЛЯ, ПРИ КОИТО И ДВАМАТА ИМАТ КАЧЕСТВОТО НА АДМИНИСТРАТОРИ НА ЛИЧНИ ДАННИ
Обхват
Чл. 17. Настоящата раздел III от Споразумението урежда отношенията между Страните, при които и двете Страни имат качеството на администратор на лични данни. Най-често това са определени лични данни на представители/лица за контакт на Страните, които Страните взаимно си предават.
Права и задължения на Страните
Чл. 18. (1) Страните ще предават лични данни помежду си доколкото това не нарушава приложимото законодателство.
(2) Докато обработва личните данни всяка от Страните носи отговорност за спазване на принципите по чл. 5 ОРЗД и всички други приложими правила.
(3) Всяка от Страните, по-специално, носи отговорност за сигурността на личните данни, докато тя обработва същите, както и когато предава/изпраща лични данни на другата Страна /лично, по куриер, имейл и други/.
(4) Възложителят следва да предостави информация по чл. 13 и 14 от ОРЗД на субектите на данни, чиито данни Възложителят е получил с оглед изпълнението на Основния договор/Споразумението. Възложителят следва да уведоми съответните физически лица (чиито данни е предал на Изпълнителя връзка с Основния договор/Споразумението), че техни данни са предоставени на Изпълнителя, да ги уведоми за предвиденото в настоящото Споразумение и Условията за ползване и да ги информира за Политиката за защита на личните данни, прилагана от Изпълнителя, и за всяка друга информация по чл. 13 и 14 от ОРЗД. Освен това, при поискване от Изпълнителя, Възложителят ще предоставя на физически лица, чиито данни е предал на Изпълнителя връзка с Основния договор/Споразумението, информация за промени в информация по чл. 13 и 14 от ОРЗД и всяка друга информация, свързана с обработването на личните им данни. При поискване от Изпълнителя, Възложителят ще му предоставя и всякакво друго необходимо съдействие, свързано с обработването на лични данни, извършвано с оглед на отношенията между Възложителя и Изпълнителя. Възложителят е длъжен да следи за актуалността, точността, пълнотата и верността на всички лични данни на физически лица, чиито данни предава или е предал на Изпълнителя връзка с Основния договор/Споразумението.
(5) В случай на получено искане за упражняване на права от страна на субект на данни, чиито данни се обработват от някоя от Страните и са обхванати от настоящия раздел, двете Страни добросъвестно и ще взаимодействат помежду си с цел защита правата на съответния субект на данни и защита правата на двете Страни. Страната, пред която субектът на данни е подал своето искане, носи отговорността да отговори на това искане.
(6) Всички предоставени от Възложителя (чрез което и да било свързано с него физическо лице – негов работник/служител; негов представител; лице, което ползва Потребителски профил в Платформата и т.н.) данни за контакт следва да бъдат за служебно, а не за лично ползване. Освен това, Възложителят не следва да предоставя на Изпълнителя лични данни, които не са поискани от последния и/или не са необходими на Изпълнителя от гледна точка на отношенията му с Възложителя. Когато Възложителят въвежда данни за контакт и/или други лични данни в уебсайта, на който се намира Платформата, или предоставя на Изпълнителя такива данни по друг начин, те следва да бъдат на посоченото от Възложителя лице.
(7) С оглед на ОРЗД, в Политиката за защита на личните данни, прилагана от Изпълнителя, е предвидена възможност за подаване на възражение срещу обработването на лични данни на основанието „легитимен интерес“. В случай че Изпълнителят получи такова възражение, Възложителят дължи на Изпълнителя съдействие за изясняване на ситуацията, за да може Изпълнителят да прецени дали съответното обработване да спре или да продължи. Ако в Политиката за защита на личните данни, прилагана от Изпълнителя, е предвидено, че същият използва основанието за обработване на данни „съгласие”, същото следва да е свободно дадено от съответното физическо лице.
(8) Възложителят е длъжен да уведоми предварително Изпълнителя, ако функции на физическо лице, свързано с Възложителя (негов работник/служител; негов представител; лице, което ползва Потребителски профили в Платформата и т.н.) ще бъдат изменени или прекратени, за да може Изпълнителят да прецени дали и как да продължи да обработва личните му данни.
(9) Страните се уговарят, че свързаните с Възложителя физически лица (негови работници/служители; негови представители; лица, които ползват Потребителски профили в Платформата и т.н.) могат да упражнят пред Изпълнителя правата си относно техните лични данни по начина, описан в Политиката за защита на личните данни, прилагана от Изпълнителя.
Отговорност и обезщетения
Чл. 19. (1) Отговорността на Изпълнителя се ограничава само до вредите, които са пряка и непосредствена последица от неизпълнението. Отговорността на Изпълнителя се ограничава само до неизпълнение при условия на груба небрежност или умисъл. Общият максимален размер на отговорност, която Изпълнителят носи спрямо Възложителя, е този на плащанията, направени от Възложителя към Изпълнителя до момента на настъпването на вредите.
(2) В случай, че Възложителят не изпълни което и да било от законовите си задължения и/или договорните си задължения по Споразумението/Основния договор и/или ако която и да било от декларациите/гаранциите на Възложителя по Споразумението и/или по Основния договор се окаже невярна или неточна, вследствие на което Изпълнителят претърпи вреди (например, бъде наложена санкция от органи на власт и/или Изпълнителят бъде задължен да заплати на субекта на лични данни обезщетение и/или друга сума във връзка с обработването на личните данни) и/или пропусне ползи, Възложителят се задължава да заплати на Изпълнителя обезщетение за претърпените вреди и пропуснати ползи (в т. ч. заплатени санкции, обезщетения, разноски, включително разноски за адвокати и консултанти и др.). В случаите по предходното изречение, Възложителят се задължава да оказва на Изпълнителя пълно съдействие и да го защитава и предпазва.
IV. ДРУГИ РАЗПОРЕДБИ
Приложимо право и компетентен съд
Чл. 20. (1) Приложимото право към настоящото Споразумение ще е правото на Република България.
(2) Всички спорове, породени от настоящото Споразумение или отнасящи се до него, включително споровете, породени или отнасящи се до неговото тълкуване, недействителност, изпълнение или прекратяване, както и споровете за попълване на празноти в Споразумението или приспособяването му към нововъзникнали обстоятелства, ще бъдат разрешавани от компетентния съд, посочен в Условията за ползване.
Други
Чл. 21. (1) Страните се съгласяват, че Възложителят няма право да прехвърля на трети лица което и да било от правата и задълженията си по настоящото Споразумение без изричното писмено съгласие на Изпълнителя. Предходното изречение не се прилага в случаите, при които правата/задълженията на Възложителя по Основния договор/Условията за ползване се прехвърлят на/преминават към трето лице – в този случай съответните права/задължения по Споразумението също се прехвърлят на/преминават към това трето лице. В случаите по предходното изречение Възложителят ще продължава да носи отговорност за изпълнение/спазване на Споразумението от страна на третото лице.
(2) Изпълнителят има право едностранно да изменя/допълва настоящото Споразумение по всяко време, като в случай на негово изменение/допълнение, актуалната му версия ще бъде налична на уебсайт https://accounting.controlisy.com/ или на друг уебсайт, посочен от Изпълнителя. Изпълнителят може, по своя преценка, да отправи уведомление до Възложителя за изменения/допълнения на Споразумението, например чрез съобщение на уебсайт https://accounting.controlisy.com/ или на друг уебсайт, посочен от Изпълнителя (ако това е направено, това ще се счита за писмено съобщаване/предизвестие за промените). В останалите случаи Възложителят ще се счита за уведомен за съответните изменения/допълнения на Споразумението от момента на тяхното публикуване на уебсайт https://accounting.controlisy.com/ или друг посочен от Изпълнителя уебсайт – Възложителят е длъжен редовно да следи тези уебсайтове за изменения/допълнения на Споразумението. Всички изменения/допълнения на Споразумението влизат в сила незабавно, освен ако друго е посочено от Изпълнителя или в Споразумението/Условията за ползване. Ако Възложителят не е съгласен с изменение/допълнение на Споразумението, той следва да прекрати използването на Платформата. В хипотезата по предходното изречение Изпълнителят не дължи възстановяване на заплатени/предплатени суми от страна на Възложителя, нито каквото и да е обезщетение на Възложителя, като прекратяването ползването на Платформата няма да води до негативни последици и отговорност за Изпълнителя. Ако Възложителят продължи ползването на Платформата, се счита, че е съгласен с измененията/допълненията.
(3) Ако поради каквито и да било обстоятелства отношенията между Страните са или станат икономически неизгодни за Изпълнителя (съгласно негова собствена преценка), последният има право да прекрати Основния договор/Споразумението без предизвестие. Преди прекратяване на това основание Изпълнителят по своя преценка би могъл да положи усилия за достигане на взаимно приемлива договореност с Възложителя. По преценка на Изпълнителя същият би могъл да даде на Възложителя предизвестие за прекратяването на Основния договор/Споразумението по настоящата алинея, за да може Възложителят да организира плавно преминаването си към друг изпълнител на услугите. Прекратяване на Основния договор/Споразумението по настоящата алинея, няма да води до негативни последици и отговорност за Изпълнителя.
(4) Изпълнителят има право по всяко време да прекрати Споразумението/Основния договор с едномесечно писмено предизвестие до Възложителя.
(5) Изпълнителят има право да прекрати без предизвестие Споразумението и Основния договор в случай, че Възложителят не изпълни което и да било от законовите си задължения и/или договорните си задължения по Споразумението и/или по Основния договор и/или ако която и да било от декларациите/гаранциите на Възложителя по Споразумението и/или по Основния договор се окаже невярна или неточна. По преценка на Изпълнителя същият би могъл да даде на Възложителя предизвестие за прекратяването на Основния договор и Споразумението по настоящата алинея.
(6) По отношение на кореспонденцията между Страните във връзка със Споразумението ще се прилагат правилата за кореспонденция, предвидени в Условията за ползване.
(7) Настоящото Споразумение се счита за общи условия по смисъла на чл. 298 от ТЗ, респ. чл. 16 от ЗЗД по отношение на обработването на лични данни във връзка с Основния договор.
Приложение № 1
към Споразумение за обработване на лични данни
| Вид Лични данни, които Изпълнителят обработва | Всички Лични данни, които Възложителят попълва в Платформата (чрез който и да било от създадените от него или по негова заявка Потребителски профили и/или предоставени за ползване от него) и/или по друг начин предоставя на Изпълнителя съгласно Основния договор. Възложителят следва да предава на Изпълнителя Лични данни, чиито обем и видове са съобразени с приложимото законодателство, Споразумението, Основния договор и функционалностите на Платформата. |
| Предмет на обработването | Съобразно приложимото законодателство, Споразумението, Основния договор и функционалностите на Платформата. Основните дейности са такива по съхранение и предоставяне на достъп. |
| Естество на обработването | Изпълнителят поддържа и администрира Платформата, предоставя достъп до нея на Възложителя и посочени от него лица, съхранява информацията, която се намира в Платформата и има право да извършва други действия съобразно Споразумението, Основния договор и/или приложимото законодателство. |
| Цел на обработването | Поддръжка и администриране на Платформата, предоставяне на достъп до нея на Възложителя и посочени от него лица, съхраняване на информацията, която се намира в Платформата и извършване на други действия съобразно Споразумението, Основния договор и/или приложимото законодателство. |
| Категории субекти на данните /категории физически лица, за които данните се отнасят/ | Съобразно приложимото законодателство, Споразумението, Основния договор и функционалностите на Платформата. |
В случай че във връзка с Основния договор Възложителят предостави достъп до други Лични данни /извън посочените по-горе/ на същите категории лица или на други лица /извън посочените по-горе/, той е длъжен незабавно да уведоми Изпълнителя.
Приложение № 2
към Споразумение за обработване на лични данни („Споразумението“)
Технически и организационни мерки, прилагани отИзпълнителя, касаещи извършваното от него обработване на лични данни в качеството му на обработващ съгласно Споразумението („Лични данни“):
1. Организационни мерки за сигурност
1.1. Управление на сигурността
a. Политика за сигурност: Изпълнителят следва да прилага политика/правила за сигурност по отношение на обработването на Лични данни от негова страна.
b. Роли и отговорности на работниците/служителите на Изпълнителя:Ролите и отговорностите, свързани с обработването на Лични данни, са ясно определени и разпределени. При вътрешни реорганизации или прекратяване на договори или промяна в заетостта, ясно се определя как се променят правата и отговорностите в съответствие с процедурите за предаване.
c. Политика за контрол на достъпа: Специални права за достъп се определят за всяка роля, която е включена в обработване на Лични данни, в съответствие с принципа „нужно е да знае“. Ползването на общи потребителски профили от работниците/служителите на Изпълнителя се избягва. Когато това е необходимо, се гарантира, че всички потребители на общ потребителски профил имат същите роли и отговорности.
d. Управление на активите: Изпълнителят поддържа регистър на ресурсите и конфигурациите и събитията които се извършват в Платформата, но не и от гледна точка на съдържание, въвеждано съгласно предназначението на Платформата. Следи се работоспособност на Платформата по зададени критерии като работа на конкретен сервиз, създаване на конкретна връзка или достъп до общ ресурс като файл, папка, база данни. Ангажиментът е по осъществяване на цялост и работоспособност на Платформата без съдържанието й.
e. Управление на промените: Изпълнителят осигурява лице, което наблюдава статуса на системните компоненти и услуги, които работят.
1.2. Отговор на инциденти и непрекъснатост на дейността
Работа с инциденти / нарушения на защитата на Лични данни, възникнали при обработването на Лични данни, осъществявано от Изпълнителя:
a. Разработен е план за реакция при инциденти.
b. Непрекъснатост на дейността: Изпълнителят прилага контролни механизми, които да се следват с цел осигуряване на необходимото ниво на непрекъснатост и достъпност на ИТ системата, която обработва Лични данни (при инцидент / нарушение на защитата на Лични данни).
1.3. Човешки ресурси
a. Поверителност от персонала: Изпълнителят гарантира, че всички негови служители са уведомени и разбират своите отговорности и задължения, свързани с обработването на Лични данни. Ролите и отговорностите са съобщени ясно в процеса на наемане и/или първоначално въвеждане.
b. Обучение: всички служители са адекватно информирани за контролите за сигурност на ИТ системата, свързани с тяхната ежедневна работа.
c. Служителите, които обработват Лични данни, са надлежно информирани за съответните изисквания и законови задължения относно защитата на данните, чрез кампании за повишаване на осведомеността.
2. Технически мерки за сигурност
2.1. Контрол на достъпа и идентифициране на работниците/служителите на Изпълнителя
a. Внедрена е система за контрол на достъпа, приложима за всички потребители, които имат достъп до ИТ системата.
b. Когато механизмите за идентифициране се основават на пароли, се изисква паролата да е с дължина най-малко осем знака.
c. Идентификационни данни за самоличност (като потребител и парола), използвани от Изпълнителя, не се предават незащитени по мрежата.
2.2. Записване и мониторинг: регистрационните /лог/ файлове за извършените от Изпълнителя действия се активират за всяка система съгласно приложимото законодателство.
2.3. Сигурност на данни, обработвани от Изпълнителя, които се намират в покой
a. Сигурност на сървър или база данни - Сървърите с бази данни и с приложения са конфигурирани да работят чрез отделен акаунт, с минимални права по ОС /операционната система/ за правилно функциониране.
b. Сигурност на работните станции, вкл. преносими компютри, използвани от Изпълнителя:
2.4. Мрежова и комуникационна сигурност:
Трафикът към и от ИТ системата, осъществяван от Изпълнителя, се следи и контролира чрез защитни стени и системи за откриване на пробиви.
2.5. Резервни копия (back-ups)
Прилагат се процедури за създаване на резервни копия (back-ups) и възстановяване на данни. Резервните копия (back-ups) се намират физически в друга професионална колокация, различна по местоположение от тази, в която се намират сървърите и сървърните компоненти. Всички дискови масиви са резервирани с повече от един носител на информация в подходяща система за подсигурено записване на информация (RAID). Използваната файлова система е с постоянно следене на контролните суми. Базата данни е организирана в клъстерен масив с няколко сървъра, всеки от които съдържа актуално състояние на базата данни с постоянна репликация помежду им. Всичко това осигурява непрекъсваемост на системата (отпадане на един от носителите на инфомация или сървър не води до спиране на системата и загуба на данни). Дисковите носители са предвидени за подмяна в режим “включено”.
2.6. Изтриване/унищожаване на данни от страна на Изпълнителя:
a. Преди изхвърлянето на носители, върху тях ще бъде извършено презаписване чрез софтуер.
b. Унищожаването на хартия и преносими носители, използвани за съхранение на Лични данни, се извършва без възможност за възстановяване.
Физическа сигурност:. Сървърите и останалите сървърни компоненти се намират в професионална колокация, в която е осигурена жива охрана, противопожарна система, защита от наводнение, земетръсна защита, непрекъсваемост на електрозахранването, ограничен достъп - само за оторизирани лица, заключване на сървърния шкаф, видео наблюдение.
Приложение № 3
към Споразумение за обработване на лични данни
Списък с “други обработващи” Личните данни
| № | Наименование и ЕИК (друг идентификационен номер), седалище и адрес на управление | Данни на лице за контакт | Данни за договора с другия обработващ | Категории личните данни, категории субекти, предмета и естеството на обработване, извършвано от „другия обработващ” |
|---|---|---|---|---|
| 1 |
ПОСИХЕЛП ЕООД ЕИК 204770559 |
Калоян Тарълов | Поддръжка на сървърите и сървърните компоненти. Профилактика, архивиране на данни, реакция при възникване на проблеми със софтуера и хардуера, мониторинг са софтуера и хардуера. Актуализация и конфигуриране на сървърните софтуери. | Всички лични данни, налични в Платформата. Архивиране на данни (бекъп на данните). Мониторинг на системата – софтуер и хардуер. |
| 2 |
ТЕЛЕПОИНТ ООД ЕИК 175424163 |
Кирил Ралински | Съхранение на физически сървъри в колокация. Организиране на физическа защита, защита от пожар и наводнение, непрекъсваемост на свързаността – електричество и интернет. | Всички лични данни, налични в Платформата. Съхранение на сървърите, на които се намират данните. |
0886441407