Споразумение за обработване на лични данни

I. ПРЕДМЕТ

§2. Цялата договореност между страните, свързана с предоставянето на лиценз за ползване на избрания от КЛИЕНТА плъгин и използването на https://sk-soft.net/ (УЕБ САЙТА), включително всички указания и насоки за ползване, е обективирана в следните документи: Лицензионно споразумение при общи условия, Ръководство за инсталиране и употреба, Общи условия за ползване на уеб сайт, Политика за лични данни на уеб сайт, Споразумение за обработване на лични данни. Всяко допълнително споразумение, анекс или друга форма на писмена договореност между страните става неразделна част от споразумението между страните от деня на влизането си в сила.

§3. Съгласно лицензионното споразумение при използването на избрания плъгин КЛИЕНТЪТ, действащ в качеството си на АДМИНИСТРАТОР НА ЛИЧНИ ДАННИ, възлага на ДОСТАВЧИКА, действащ в качеството си на ОБРАБОТВАЩ ЛИЧНИ ДАННИ, да обработва лични данни във връзка с предоставянето на функционалности за автоматизация на процеса по приемане, обработване и създаване на заявки за куриерски услуги – за изпращане на потребителски стоки, закупени или поръчани от електронния магазин/профила в платформа за електронна търговия на КЛИЕНТА.

§4. С оглед предмета на лицензионното споразумение настоящото споразумение има за цел да регламентира допълнителните условия и изисквания, въз основа на които страните ще изпълняват задълженията си по отношение обработването и защитата на лични данни съгласно разпоредбите на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета (Регламента) и Закон за защита на личните данни. Настоящото споразумение е съобразено с предвидените в чл. 28, пар. 3 от Регламента задължителни клаузи.

§5. При създаване на клиентски профил в УЕБ САЙТА КЛИЕНТЪТ потвърждава изрично, че е запознат с Лицензионното споразумение и Споразумението за обработване на лични данни, като се съгласява с прилагането на техните разпоредби при ползване на избрания плъгин за WooCommerce.

II. ИЗПОЛЗВАНИ ТЕРМИНИ

1. Лични данни – всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“), като физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име; идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социалната идентичност на това физическо лице.

2. Субект на лични данни – всяко живо физическо лице, което е предмет на личните данни, съхранявани от администратор.

3. Обработване на лични данни – всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.

4. Администратор – физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни.

5. Обработващ лични данни – физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора.

6. Регистър на лични данни – всеки структуриран набор от лични данни, достъпът до който се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип.

7. Получател – физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не.

8. Трета страна – всяко физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни.

9. Нарушение на сигурността – всяко нарушение на защитата на личните данни, което води до случайно или незаконосъобразно унищожаване, загуба, промяна, неоторизирано предаване или достъп до лични данни.

III. ПРЕДМЕТ НА ОБРАБОТВАНЕТО

IV. ОБЩИ ПОЛОЖЕНИЯ

2. КЛИЕНТЪТ носи отговорност за спазването на нормативните изисквания по отношение защитата на личните данни, като отговаря за предоставянето на необходимата информация за дейността си на субектите на лични данни.

3. ДОСТАВЧИКЪТ обработва предоставените му лични данни до степен и по начин, необходими за изпълнение на целите, определени съгласно сключения между страните договор, както и в случаите, когато това се налага по силата на нормативна разпоредба.

4. ДОСТАВЧИКЪТ следва получените от КЛИЕНТА документирани нареждания, указания и инструкции за обработване, като не обработва предоставените лични данни по начин, несъответстващ на посочените цели.

5. ДОСТАВЧИКЪТ незабавно информира КЛИЕНТА, в случай че намира някое от получените от последния указания в противоречие с нормативна разпоредба и/или целите на сключения договор. ДОСТАВЧИКЪТ не изпълнява съответното указание, докато то не бъде изрично потвърдено или изменено от КЛИЕНТА.

6. ДОСТАВЧИКЪТ изпълнява без забавяне инструкции на КЛИЕНТА за промяна, предаване или изтриване на лични данни, когато същите са приложими с оглед естеството на обработване и техническата възможност на ДОСТАВЧИКА за съхранение и достъп до данните. Задължението за изтриване на лични данни не обхваща съхраняваните от ДОСТАВЧИКА лични данни и други свързани записи, данни и носители, за които последният има законово задължение за съхранение за определен период от време.

7. ДОСТАВЧИКЪТ пази поверителността на обработваните личните данни, като гарантира, че служителите, упълномощени да обработват лични данни, са информирани за своите задължения във връзка със спазване на законодателството в сферата на защитата на личните данни и са поели отговорност за поверителност.

8. ДОСТАВЧИКЪТ води регистър относно дейностите си по обработване на лични данни.

V. ИЗВЪРШВАНЕ НА ПРОВЕРКИ И ОДИТИ

10. За извършване на действията по чл.9 се избира екип от независими експерти, сертифицирани за одитиране на технически и организационни мерки за защита на данните, които поемат отговорност и за конфиденциалност.

11. Проверките и одитите се осъществяват според предварително определен график, съгласно политиката на ДОСТАВЧИКА.

12. ДОСТАВЧИКЪТ оказва необходимото съдействие и осигурява достъп до цялата информация, необходима за установяване спазването на задължения съгласно настоящото споразумение, с изключение на информацията, която представлява търговска тайна.

VI. ДОСТЪП ДО ЛИЧНИ ДАННИ

14. ДОСТАВЧИКЪТ има право да възлага обработване на лични данни на подизпълнители, в т.ч. доставчици на хостинг услуги, доставчици на платежни услуги, доставчици на софтуерни инструменти за оптимизиране обслужването на клиенти (автоматични имейл отговори, чат приложения и други), като сключва писмен договор със същите. КЛИЕНТЪТ има право да изисква и получи информация относно условията по сключения договор.

15. ДОСТАВЧИКЪТ не предоставя достъп до обработвани лични данни на трети лица без предварителното документирано конкретно съгласие или нареждане на КЛИЕНТА.

16. ДОСТАВЧИКЪТ уведомява КЛИЕНТА при получаване на искане от публичен орган или орган на съдебна власт за предоставяне или обработване на лични данни, като го уведомява за правното основание на това искане. Задължението за уведомяване не се прилага в случаите, когато е налице законова забрана за извършването на такова уведомяване.

VII. ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

18. ДОСТАВЧИКЪТ въвежда необходимите технически и организационни мерки за защита на личните данни, като съобразява същите с естеството на обработването и нивата на риска.

19. ДОСТАВЧИКЪТ се задължава да:

19.1 осигурява преминаване на служителите на първоначален и периодичен инструктаж за обработването на лични данни и защитата на тяхната сигурност;

19.2 осигурява вътрешна организация и контрол на достъпа до помещенията, в които се съхраняват и обработват лични данни;

19.3 организира редовната поддръжка и актуализацията на информационните системи и мрежи и техническите мерки и средства за защита на тяхната сигурност;

19.4 използва сигурна мрежова архитектура, прехвърля и обменя лични данни чрез защитени канали;

19.5 използва технически способи за ограничаване на възможностите за нерегламентираното обработване на лични данни, включително чрез мониторинг, еднофакторна и двуфакторна автентикация и задаване нива на достъп до бази данни, информационни системи и архиви, в които се обработват и съхраняват лични данни;

19.6 използва алгоритми и ключове за криптиране на личните данни, обработвани и съхранявани в електронен вид;

19.7 прилага алгоритми за докладване и реагиране на проблеми, касаещи сигурността на личните данни и физическата защита на работната среда;

19.8 организира и планира провеждането на периодични проверки и анализи по прилагането на техническите и организационните мерки за защита на личните данни и установяване на потенциалните рискове за тяхната сигурност.

VIII. ДЕЙСТВИЯ ПРИ НАРУШЕНИЕ НА СИГУРНОСТТА

21. При установяване на нарушение на сигурността ДОСТАВЧИКЪТ предоставя на КЛИЕНТА в писмен вид информация за:

i. естеството на нарушението, категориите и приблизителния брой засегнати субекти на лични данни и записи на лични данни;

ii. вероятните последици от нарушението;

iii. предприетите или планираните мерки за реакция на нарушението.

22. ДОСТАВЧИКЪТ предоставя на КЛИЕНТА и всяка друга изискуема информация, свързана с нарушението на сигурността на личните данни, която е необходима на последния за изпълнение на задължения спрямо надзорния орган и субектите на лични данни.

23. ДОСТАВЧИКЪТ уведомява трети лица за установеното нарушение на сигурността след получаване на изрично одобрение от КЛИЕНТА. Задължението не се отнася за случаите, в които ДОСТАВЧИКЪТ е задължен по закон да уведоми съответните лица.

24. Страните предприемат съвместни и координирани действия по разследване на нарушението на сигурността, предприемане на последващи действия за реакция на нарушението, преодоляване или намаляване на неблагоприятните последствия и предприемане на мерки за предотвратяване на бъдещи нарушения от същия или подобен характер.

IX. ОТГОВОРНОСТ

26. ДОСТАВЧИКЪТ възстановява на КЛИЕНТА разходи в разумен размер, които последният е направил в резултат на нарушение на сигурността по вина на ДОСТАВЧИКА.

27. ДОСТАВЧИКЪТ носи отговорност за материални и нематериални вреди, причинени на субекти на лични данни, които произтичат от извършеното обработване, в случай че не е изпълнил задълженията си по Регламент (ЕС) 2016/679, насочени към него в качеството му на обработващ лични данни, както и когато е действал извън законосъобразните указания на КЛИЕНТА или в противоречие с тях.

28. ДОСТАВЧИКЪТ се освобождава от отговорност в случай че докаже, че по никакъв начин не е отговорен за събитието, причинило вреда.

29. Спрямо увреденото лице страните отговарят солидарно.

30. Когато КЛИЕНТЪТ или ДОСТАВЧИКЪТ е заплатил в пълен размер обезщетение за причинената вреда, същият има право да поиска от другата страна възстановяване на такава част от заплатеното обезщетение, която съответства на частта от отговорността за причинената вреда.

X. УПРАЖНЯВАНЕ НА ПРАВА ОТ СУБЕКТИ НА ДАННИ

32. ДОСТАВЧИКЪТ уведомява без ненужно забавяне КЛИЕНТА за получаване на заявление или жалба от субект на лични данни, като предоставя на КЛИЕНТА необходимата информация и съдействие за отговор на полученото заявление или жалба.

XI. ТРАНСФЕР НА ЛИЧНИ ДАННИ

34. Ограничението относно предоставяне на данни в друга държава не се прилага в случаите, когато ДОСТАВЧИКЪТ е задължен да трансферира лични данни по силата на приложимо спрямо ДОСТАВЧИКА право.

35. ДОСТАВЧИКЪТ е длъжен да уведоми КЛИЕНТА относно наличието на задължение по чл.34 преди обработването на лични данни, освен ако приложимото право изрично забранява предоставянето на такава информация поради важни причини, свързани с обществения интерес.

36. При всички случаи на предаване на данни в трети държави се прилагат разпоредбите на Глава V. от Регламента.

XII. ЗАЛИЧАВАНЕ ИЛИ ВРЪЩАНЕ НА ЛИЧНИ ДАННИ

37.2 При прекратяване на правоотношенията между страните ДОСТАВЧИКЪТ се задължава при наличието на получени указания от КЛИЕНТА да:

i. изтрие или унищожи всички съхранявани от него лични данни и други свързани записи, данни и носители, предоставени от КЛИЕНТА;

ii. да ги предаде на електронен носител на последния или упълномощено от него лице;

iii. да ги използва за други цели, определени от КЛИЕНТА.

38. При получаване на изрични указания от КЛИЕНТА ДОСТАВЧИКЪТ изтрива или унищожава по подходящ начин всички обработвани лични данни, освен личните данни, по отношение на които има законово задължение за съхранение.

39. КЛИЕНТЪТ има правото да изиска писмено потвърждение за изтриването или унищожаването на лични данни от ДОСТАВЧИКА, респективно – писмено уведомление за съхранението на лични данни на законово основание.

XIII. ВЛИЗАНЕ В СИЛА, ИЗМЕНЕНИЕ И ПРЕКРАТЯВАНЕ

41. При наличието на несъответствие между клаузите на настоящото споразумение и основното споразумение, преимущество имат клаузите на настоящото споразумение.

42. Настоящото споразумение може да бъде едностранно изменено от ДОСТАВЧИКА при промяна на фактическите обстоятелства и/или промяна в действащото законодателство, включително законодателството, регламентиращо защитата на личните данни. При промяна на споразумението се прилагат разпоредбите на РАЗДЕЛ XVII от Лицензионното споразумение.

43. За неуредените въпроси се прилага действащото българско право, както и вътрешнодружествените политики и правила за защита на личните данни на страните.

44. При невъзможност за доброволно решаване на спорове, възникнали при тълкуване клаузите на настоящото споразумение, неговото изпълнение, респективно неизпълнение, същите ще бъдат разрешавани от Арбитражния съд при Българската търговско-промишлена палата съобразно с неговия Правилник за дела, основани на арбитражни споразумения. Евентуално бъдещо съдебно производство следва да се води на български език, освен ако страните не изберат друг език за водене на производството. В случай че Арбитражният съд не е компетентен да разгледа правния спор, същият се отнася към местно и родово компетентния съд.