Условия за обработване на лични данни съгласно чл. 28 от Регламент (ЕС) 2016/679

(Приети на 12.04.2022)

Настоящите УСЛОВИЯ ОБРАБОТКА НА ЛИЧНИ ДАННИ СЪГЛАСНО ЧЛ. 28 ОТ РЕГЛАМЕНТ (ЕС) 2016/679 уреждат взаимоотношенията между КЛАУД ТЕК СЪЛЮШЪНС, ЕИК 205932074, в качеството му на Обработващ лични данни, наричан по-долу за краткост „Обработващ“, от една страна, и Администраторите на лични данни, ползващи  Софтуера на Обработващия, наричани по-долу за краткост „Администратор/и“, от друга страна

Администраторът и Обработващият наричани заедно за краткост „Страните“ и всеки по-отделно „Страна“,

с който Страните се договориха, че Обработващият  ще обработва лични данни от името на Администратора по смисъла на чл. 28 от Общия регламент за защита на данните – Регламент (ЕС) 2016/679 наричан по-долу за краткост „Регламента“.

ДЕФИНИЦИИ

Софтуер означава уеб базирана апликация, достъпна на домейн https://legal-tech.bg и всички негови подстраници.

Лични данни означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;

Обработване означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

Администратор означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;

Обработващ лични данни означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;

ЦЕЛ НА ОБРАБОТКАТА

  • Страните се договориха, че Обработващият лични данни ще обработва лични данни от името на Администратора по смисъла на член 28 от Общия регламент за защита на данните – Регламент (ЕС) 2016/679, наричан по-долу „Регламента“
  • Настоящото споразумение определя задълженията на страните по отношение на защитата на личните данни, произтичащи от дейностите по обработка на данни при ползването на разработения от Администратора Софтуер от Обработващия.

ПРЕДМЕТ НА ДОГОВОРА

  • Администраторът възлага на Обработващият лични данни да обработва данни за представителите, служителите, клиентите и партньорите му, както и други категории лица, когато такива са въведени от Администратора в Софтуера.
  • Целта на обработката на данните е изпълнението на сключения между Страните договор при общи условия за предоставяне на достъп до Софтуера.
  • Обработващият лични данни обработва въведените в Софтуера лични данни, включително но не само имена, имейл, данни за казус, съдебно дело, вписвания в ТРРЮЛНЦ и всяка друга информация, въведена от Администратора.
  • Личните данни се съхраняват за срока на договора и до изтичане на давностния срок за предявяване на претенции от Администратора към Обработващия. Администраторът има право да поиска изтриването на лични данни по всяко време, доколкото това изтриване няма отношение към упражняването на съдебни или извънсъдебни претенции. Администраторът има техническата възможност да трие такива данни директно през интерфейса на Софтуера или да заяви такова изтриване по имейл.

ЗАДЪЛЖЕНИЯ НА СТРАНИТЕ

  • Администраторът декларира и гарантира, че възложената обработка на лични данни се извършва законно и в съответствие с всички изисквания на приложимото законодателство, включително, но не само, получаване на надлежно съгласие на субектите на данни и доказване на основанията, на които Администраторът обработва лични данни.
  • Обработващият се задължава да съдейства на Администратора, като предоставя при поискване цялата информация, необходима за доказване, че обработването на лични данни се извършва в съответствие с Регламента.
  • Обработващият данни може да действа и обработва Личните данни само в съответствие с документираната инструкция от Администратора на данни („Инструкцията“), освен ако законът не изисква да действа без такава инструкция. Инструкцията към момента на сключване на настоящия договор за обработване на лични данни е, че обработващият данни може да обработва личните данни само с целта, описана в настоящото споразумение. При спазване на тези Условия за обработване на лични данни и по взаимно съгласие на страните, Администраторът може да издаде допълнителни писмени инструкции, съответстващи на условията на това споразумение. Администраторът на данни е отговорен да гарантира, че всички лица, които предоставят писмени инструкции, са упълномощени да го правят.
  • Обработващият си запазва правото да прави статистически анализ на ползването на системата като използва обобщени данни, които не могат да индивидуализират конкретни лица. Такива анализи могат да включват брой на въведените казуси, съдебни дела, задачи и други подобни.
  • Обрбаотващият се задължава да не използва по какъвто и да е начин личните данни, различен от уговореното в тези Условия за обработване на лични данни и Общите условия за предоставянето на достъп до Софтуера.
  • Администраторът гарантира обработката на лични данни в съответствие с изискванията на законите и разпоредбите за защита на данните. Инструкциите на Администратора за обработката на лични данни трябва да са в съответствие с приложимото законодателство. Администраторът на лични данни носи изцяло отговорност за точността, качеството и законността на събирането на личните данни и средствата, чрез които са получени.
  • Обработващият лични данни се задължава да информира Администратора на лични данни, когато няма да изпълни дадена инструкция или част от нея, ако смята, че тя нарушава приложимото законодателство. Обработващият лични данни може да поиска модифициране на инструкцията.

ОДИТ

  • Обработващият лични данни предоставя на Администратора достъп до информацията, необходима, за да провери дали са спазени задълженията, посочени в тези Условия за обработване на лични данни. Обработващият лични данни указва при извършването на одити, включително инспекции, извършвани от Администратора или държавен орган или от трета страна, упълномощена от Администратора. Ако Администраторът използва трета страна за извършване на одита, тази трета страна не може да бъде конкурент на Процесора и задължително ще бъде сключено Споразумение за конфиденциалност по отношение на информацията на Обработващия лични данни.
  • Обработващият лични данни незабавно информира и се консултира с Администратора в случай, че надзорен орган инициира или предприеме някакви действия във връзка с обработката на данните, доколкото няма законово ограничение за това.

ПОДИЗПЪЛНИТЕЛ

  • Администраторът упълномощава Обработващия лични данни да прехвърли част от дейностите по обработка в съответствие с тези Условия за обработване на лични данни на подизпълнители. Подизпълнителите, съгласно законовите изисквания, задължително поемат същите договорни задължения, произтичащи от това споразумение, съгласно чл. 28 ал. 4 Регламента.
  • Страните се съгласяват, че предаването на лични данни на който и да е подизпълнител се извършва само след като са изпълнени всички условия, посочени в параграф 5.1. за назначаването на подизпълнители.
  • Обработващият лични данни трябва да поддържа актуализиран списък на подизпълнителите. Обработващият лични данни уведомява Администратора за всяка промяна в този списък без ненужно забавяне, като дава на Администратора възможност да възрази. В случай на възражение, Обработващият лични данни си запазва правото да прекрати договора с Администратора без предизвестие.
  • Обработващият носи пълната отговорност за дейностите на своите подипзълнители по отношение на Администратора.
  • Администраторът изразява изричното си съгласие Обработващия да прехвърля личните данни към следните категории трети лица:
    • Пощенски оператори и куриери
    • Лица, които по възлагане поддържат оборудване, софтуер и хардуер, използвани за обработка на лични данни и необходими за дейността на Администратора
    • Лица, извършващи консултантски услуги в различни сфери като право, счетоводство, бизнес консултиране и други подобни.
    • Доставчици на облачни и хостинг услуги като Google, Microsoft, Amazon и др.

ПРЕХЪВРЛЯНЕ НА ДАННИ КЪМ ТРЕТИ ДЪРЖАВИ

  • Обработващият лични данни обезпечава обработката да се извършва само в държави-членки на Европейския съюз, Европейското икономическо пространство или в трети държави, определени от Европейската комисия като осигуряващи адекватно ниво на защита на личните данни и в съответствие с техническите и организационните мерки.
  • Всяко прехвърляне в страни, различни от тези по т. 6.1. Изисква предварително писмено одобрение от Администратора и спазване на правилата за трансфер на лични данни към трети държави или международни организации (членове 44-50 от Регламента).

КОНФИДЕНЦИАЛНОСТ

  • Дейностите по обработване по тези Условия за обработване на лични данни се извършват само от лица (като служители, представители или членове на персонала), които са били инструктирани от обработващия по подходящ начин за обработка на данни и с които е сключено Споразумение за конфиденциалност съгласно чл. 28 ал. 3 (б) и чл. 32 GDPR. Обработващият и всяко лице, действащо под негово ръководство, което има достъп до личните данни, няма да обработва тези данни, освен ако не действа по указания, дадени от Администратора – включително правомощията, предоставени съгласно този DPA – освен ако това не се изисква от законовия закон.
  • Обработващият се задължава да не предоставя данни на трети лица, включително и на държавни органи и институции, доколкото данните са защитени с адвокатска тайна съгласно Закона за адвокатурата.
  • Ако държавен орган или институция изиска лични данни от Обработващия, той се задължава да уведоми Администратора за това в срок до една седмица.

МЕРКИ ЗА СИГУРНОСТ

  • Обработващият лични данни изпълнява подходящите технически и организационни мерки, посочени в настоящото споразумение и в приложимия закон, включително в съответствие с GDPR, член 32. Мерките за сигурност се обновяват в съответствие с напредъка на технологиите. Обработващият лични данни може да актуализира или модифицира мерките за сигурност, при условие че такива актуализации и модификации не водят до влошаване на цялостната сигурност.
  • Обработващият данни предоставя документация за мерките за сигурност на обработващия данни, ако писмено бъде поискано от Администратора на данни.

СЪДЕЙСТВИЕ НА НАДЗОРНИТЕ ОРГАНИ

  • Администраторът и Обработващият лични данни си сътрудничат при поискване с надзорния орган. Администраторът трябва да бъде информиран незабавно за всякакви инспекции и мерки, извършени от надзорния орган, доколкото те са свързани с дейностите по тези Условия за обработване на лични данни. Това важи и когато Обработващият лични данни е обект на разследване или е страна по разследване от компетентен орган във връзка с нарушения на която и да е разпоредба относно обработването на лични данни по тези Условия за обработване на лични данни. Ако спрямо Администратора се извършва проверка от Надзорния орган, наложена е административна глоба или е започнало наказателно производство, иск за отговорност от субект на данни или от трета страна или всяка друга претенция във връзка с обработката на данни от страна на Обработващия по тези Условия за обработване на лични данни, Обработващият лични данни ще положи всички усилия да подпомогне Администратора.

ПРАВА НА СУБЕКТИТЕ НА ДАННИТЕ

  • Ако Администраторът на лични данни получи искане от Субект на данните за упражняване на правата на субекта на данните съгласно приложимия закон и отговора на такова искане изисква съдействието на Обработващия лични данни, Обработващият данните ще подпомогне Администратора на лични данни, като предостави необходимата информация и документация. Обработващият лични данни получава достатъчно време, за да окаже необходимото съдействие на Администратора в съответствие с приложимия закон.
  • Ако Обработващият лични данни получи искане от субект на данни за упражняване на правата на субекта на данни съгласно приложимото законодателство и такова искане е свързано с личните данни на Администратора на лични данни, Обработващият лични данни трябва незабавно да препрати искането до Администратора и да се въздържи от отговор на лицето директно.

ПРОБИВИ В СИГУРНОСТТА

  • Обработващият лични данни уведомява незабавно Администратора на лични данни, ако възникне нарушение, което може да доведе до случайно или незаконно унищожаване, загуба, изменение, неразрешено разкриване или достъп до лични данни, предавани, съхранявани или обработвани по друг начин за обработваните лични данни от името на Администратора на данни („Нарушение на личните данни“).
  • Обработващият лични лични данни полага разумни усилия да идентифицира причината за такова нарушение и да предприеме тези стъпки, които сметне за необходими за установяване на причината, и да предотврати повторното възникване на такова нарушение.

ИЗТРИВАНЕ И ВРЪЩАНЕ НА ЛИЧНИ ДАННИ

  • Обработващият лични данни няма да създава копия или дубликати на данните без знанието и съгласието на Администратора, с изключение на резервни копия, доколкото те са необходими за осигуряване на правилната обработка на данните и когато запазването на такива данни се изисква от закона.
  • След приключване на предоставянето на услуги Обработващият лични данни по избор на Администратора, или изтрива по начин, съобразен със защитата на данните, или връща на Администратора всички лични данни, събрани и обработени съгласно тези Условия за обработване на лични данни, освен ако някоя приложима правна разпоредба изисква допълнителни съхранение на личните данни.
  • Във всеки случай Обработващият лични данни може да съхранява цялата информация, необходима за доказване на съответствието на извършените дейности по обработка за срока на предявяване на претенции срещу него.
  • Документацията, посочена в точка 3 по-горе, се съхранява от Обработващия лични данни в съответствие с приложимите периоди на съхранение, законоустановени или определени по друг начин. Обработващият лични данни може да предаде документацията на Администратора при прекратяване на споразумението. В този случай Обработващият лични данни е освободен от всякакво задължение да съхранява такава документация.

ОТГОВОРНОСТ

  • Всяка страна по тези Условия за обработване на лични данни се ангажира да обезщети другата страна за вреди или разходи, произтичащи от нейното виновно нарушение, включително всяко виновно нарушение, извършено от нейния законен представител, подизпълнители, служители или други представители. Освен това всяка страна се ангажира да обезщети другата страна срещу всякакви претенции, предявени от трети страни поради или във връзка с всяко виновно нарушение от съответната друга страна. Чл. 82 GDPR остава незасегнат.
  • При използване на възложените лични данни за цели, извън посочените в тези Условия за обработване на лични данни  и Общите условия за достъп до Софтуера, без наличието на легитимен интерес, законово задължение или друго правомерно основание за обработка, Обработващият лични данни се задължава да плати неустойка на Администратора в размер на 2000 лв. за всяко отделно неправомерно използване.

КОРЕСПОНДЕНЦИЯ

  • Администраторът може да получава нотификации в Софтуера, които имат стойността на писмено волеизявление от Обработващия.
  • Страните се съгласяват да водят всяка комуникация в писмена или електронна форма. Електронни съобщения между страните се обменят по имейл.
  • Администраторът декларира, че приема като имейл за кореспонденция да се използва всеки имейл, с който е регистриран един или няколко активни потребителя, ползващи Софтуера.
  • Имейл за кореспонденция на Обработващия е office@legal-tech.bg.

ПРИЛОЖИМО ПРАВО И КОМПЕТЕНТЕН СЪД

  • Настоящият Договор за обработване на лични данни е създаден по и се урежда от българското право.
  • При възникнал спор между страните компетентен съд да реши спора е българският съд.