Споразумение за обработка на лични данни
на Сентека ООД
Преамбюл
Това Споразумение за обработка на лични данни представлява неразделна част от Общите условия на договорите между Сентека и клиентите на неговите продукти и услуги (ОУ) като с приемане на ОУ, клиентът на Сентека, Клиентът приема в цялост и това Споразумение.
С цел избягване на съмнение, под „Лиценз” по-долу в това Споразумение ще се имат предвид общо всички договорни отношения между Сентека и Клиента, уреждащи правомерното използване от страна на Клиента на Продуктите на Сентека.
Като се има предвид, че: Сентека обработва информация, отнасяща се до идентифицирани или подлежащи на идентифициране физически лица, предоставена от или от името на Клиента на Сентека като част от предоставянето на Лиценза (наричани по-нататък „Лични данни“);
Като се има предвид, че: Сентека и Клиентът (нариачни по-долу и „двете страни”, или „страните”) възнамеряват да установят своите задължения по отношение на обработването на Личните данни, включително задълженията, които са необходими, за да се спази Регламент (ЕС) 2016/679 на ЕС от 27 април 2016 г., с измененията, действащи към съответния момент (Общ регламент относно защитата на данните, ОРЗД) на взаимноизгодна основа; с приемането от страна на Клиента се счита сключено и следното Споразумение за обработване на данни (СОД):
1. Роли на страните
1.1. Страните признават и приемат, че: а) Сентека обработва Лични данни във връзка с достъпа на служители на Клиента — членове на персонала на Клиента, като, но не само, лица, пряко участващи в работата на Клиента с Продуктите на Сентека, действащи като Клиентски администратори, Клиентски продуктови мениджъри, Клиентски редактори, единствено от името на Клиента и в съответствие с нейните инструкции. б) Сентека също така притежава Лични данни на крайни потребители на Лицензирания, които генерират взаимодействия с Продуктите на Сентека, отново, единствено от името на Клиента и в съответствие с нейните инструкции. в) Следователно, при обстоятелствата, посочени в букви а) и б) по-горе, Сентека действа като Обработващ лични данни по отношение на тези услуги по обработване на данни (както е определен този термин в ОРЗД). г) Клиента е съгласен, че Сентека и Клиента действат като Администратори (както е определен този термин в ОРЗД) по отношение на всички други услуги, които Сентека предоставя на Лицензирания. д) в случай че по време на срока на Лиценза, в отговор на нововъзникващи насоки или законодателство, Сентека прецени, че категоризирането ѝ за всяко обработване, извършено по силата на Лиценза, следва да се промени: (i) от Администратор на Обработващ лични данни; или (ii) от Обработващ лични данни на Администратор, Сентека уведомява писмено Клиента за тази промяна и страните се съгласяват, че условията по това СОД, свързани с новия статут, се прилагат за цялото обработване на Лични данни от датата на получаване на такова уведомление.
2. Предмет на обработването, естество и цел на обработването, видове лични данни и категории субекти на данни
2.1 Когато Сентека действа като Обработващ лични данни, целта на обработването на Лични данни от Сентека (съгласно член 28, параграф 3 от ОРЗД) е предоставянето на услугата по силата на Лиценза. Видовете Лични данни и категориите субекти на данни, обработвани от Сентека, когато действа като Обработващ лични данни по това СОД, са допълнително уточнени в Приложение 1 (Приложение „Подробни данни за обработването“) към това СОД. 2.2. Клиентът е задължен да създаде технически и правни предпоставки, така че преди да започне каквото и да е взаимодействие с Продуктите на Сентека, лицата по клауза 1.1., буква „б“ по-горе да предоставят своето ясно и недвусмислено съгласие, че техните Лични данни се обработват, както е описано в Приложение 1 по-долу от трета страна — обработващ лични данни, различен от Лицензирания.
3. Съответствие със законодателството в областта на защитата на данните
3.1. По отношение на Личните данни, за които Клиентът и Сентека действат като Администратори, Клиентът и Сентека спазват съответните си задължения съгласно ОРЗД и всички други задължителни закони и разпоредби на Европейския съюз, Европейското икономическо пространство и техните държави членки и Обединеното кралство, приложими към обработването на Лични данни от страните по силата на Лиценза (Законодателство за защита на данните). Страните признават, че това СОД може да разпредели отговорността за спазването на определено изискване съгласно Законодателството за защита на данните на една от страните, но че такова договорно разпределение на отговорността не освобождава никоя от страните от задълженията ѝ съгласно Законодателството за защита на данните. 3.2. Когато Сентека обработва Лични данни като Обработващ лични данни, тя спазва Законодателството за защита на данните, доколкото то се отнася до Сентека като Обработващ лични данни.
4. Обработване на лични данни и инструкции на Лицензирания
4.1. Сентека обработва Лични данни, които обработва като Обработващ лични данни, само в съответствие с инструкциите на Клиента (съгласно член 28, алинея 3, буква „а“ от ОРЗД) или когато това се изисква от закона. Клиентът инструктира Сентека да обработва Лични данни, за да изпълнява услугите, описани в СОД и Лиценза. Това СОД и Лицензът са пълните и окончателни инструкции на Клиента към Сентека за обработването на Лични данни. Сентека не се обвързва с допълнителни или алтернативни инструкции, освен ако страните не постигнат взаимно писмено съгласие. 4.2. Лицензираният: а) гарантира, че всякакви инструкции, които издава на Сентека съгласно клауза 4.1, са в съответствие със Законодателството за защита на данните; б) носи единствена отговорност за точността, качеството и законосъобразността на Личните данни и средствата, чрез които Клиентът е придобил Личните данни; в) уведомява Сентека, когато установи, че Личните данни са станали неточни или неактуални; и г) установява правното основание за обработването съгласно Законодателството за защита на данните, включително чрез предоставяне на всички уведомления и получаване на всички съгласия, които може да се изискват съгласно Законодателството за защита на данните, за да може Сентека законно и коректно да обработва Лични данни с цел предоставяне на Услугите и по друг начин, предвидено в това СОД и останалата част от Лиценза. 4.3. Клиентът гарантира, че: а) разкриването на Лични данни на Сентека е ограничено до това, което е необходимо, за да може Сентека да извършва Услугите; и б) тези Лични данни са точни и актуални към момента, в който са предоставени на Сентека. 4.4. Без да се засягат задълженията на Клиента по клауза 4.2., Сентека информира Клиента, ако по нейно обосновано мнение дадена инструкция, издадена от Клиента, нарушава Законодателството за защита на данните, и има право, без да носи отговорност, да спре обработването на Лични данни в съответствие с такава нарушаваща инструкция. Страните признават и приемат, че евентуален пропуск или забавяне от страна на Сентека да установи, че дадена инструкция нарушава Законодателството за защита на данните, не представлява нарушение на СОД, нито на Лиценза от страна на Сентека. 4.5. Клиентът се съгласява, че по време на и след срока на Лиценза Сентека може да използва всяка информация, която събира и използва във връзка с предоставянето на Лиценза, заедно с информация от другите си Лицензирани, за цели на анализ на данни, включително за създаване на прозрения, отчети и други анализи за подобряване на качеството и пазара на съветите, продуктите и услугите на Сентека. Резултатът от тези анализи няма да идентифицира конкретни Лицензирани или физически лица.
5. Поверителност и сигурност на обработването, управление на нарушенията и уведомяване
5.1. Сентека гарантира, че лицата, упълномощени да обработват Лични данни, са поели задължение за поверителност или са обвързани със съответно законово задължение за поверителност (съгласно член 28, параграф 3, буква „б“ от ОРЗД). Сентека не разкрива Лични данни на трети страни без предварителното съгласие на Клиента, освен ако това не се изисква от закона или не е разрешено от Лиценза. 5.2. Сентека предприема технически и организационни мерки, посочени в Приложение 2 (Мерки за сигурност), за да защити поверителността, целостта, наличността и устойчивостта на системите на Сентека, които са включени в обработването на Лични данни. Клиентът е оценил нивото на сигурност, подходящо за обработването, в контекста на своите задължения съгласно Законодателството за защита на данните, и е съгласен, че мерките за сигурност, посочени в Приложение 2, са в съответствие с тази оценка. 5.3. Клиентът предприема подходящи технически и организационни мерки за защита на сигурността на Личните данни, включително като гарантира, че Личните данни се прехвърлят сигурно към Сентека. 5.4. Сентека незабавно уведомява Лицензирания, когато установи настъпването на нарушение на сигурността, водещо до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване на или достъп до предавани, съхранявани или обработвани по друг начин Лични данни (Нарушение на сигурността на личните данни), и предоставя на Клиента следната информация, когато тя стане налична: 5.4.1. описание на естеството на Нарушението на сигурността на личните данни, включително, когато е възможно, категориите и приблизителния брой на засегнатите субекти на данни; 5.4.2. името и данните за контакт на лицето за контакт от Сентека, от което може да се получи повече информация; и 5.4.3. описание на мерките, предприети или предложени за справяне с Нарушението на сигурността на личните данни, включително, когато е уместно, мерки за смекчаване на възможните неблагоприятни последици. 5.5. Клиентът незабавно уведомява Сентека, когато установи настъпването на Нарушение на сигурността на личните данни. 5.6. Страните се съгласяват да координират добросъвестно изготвянето на съдържанието на всякакви свързани публични изявления и на всички необходими уведомления до засегнатите субекти на данни и/или съответния надзорен орган със съответните правомощия съгласно Законодателството за защита на данните по отношение на обработването на Лични данни във връзка с Нарушение на сигурността на личните данни.
6. Права на субектите на данни; Други жалби и искания
6.1. Ако Сентека получи искане от субект на данни за достъп, коригиране, изменение, прехвърляне или изтриване на Личните данни на това лице в съответствие с правата на това лице съгласно Законодателството за защита на данните (Искане на субект на данни), тогава, доколкото е разрешено от закона или ако страните не са се договорили друго: 6.1.1. Сентека незабавно уведомява Клиента при получаване на Искането на субект на данни. След получаване на Искане на субект на данни, Сентека може да се свърже със съответния субект на данни, за да потвърди получаването на Искането на субект на данни и да уведоми субекта на данни, че е препратил Искането на субект на данни на Лицензирания, но Сентека в противен случай не отговаря на Искане на субект на данни без предварителните писмени инструкции на Лицензирания. 6.1.2. Клиентът обработва Искането на субект на данни в съответствие със Законодателството за защита на данните. 6.1.3. Сентека предоставя такова търговски разумно съдействие, каквото Клиентът може разумно да поиска, за да помогне на Клиента да изпълни задълженията си съгласно Законодателството за защита на данните да отговаря на Искания на субекти на данни. Клиентът носи отговорност за всички разумни разходи, произтичащи от предоставянето на такова съдействие от Сентека. 6.2. Доколкото е разрешено от закона, Сентека незабавно уведомява Клиента при получаване на всякакви жалби или искания (различни от Исканията на субекти на данни или запитванията на надзорните органи, описани в клауза 7), свързани с: а) задълженията на Клиента съгласно законодателството за защита на данните; или б) Лични данни. Освен ако страните не са се договорили друго, Клиентът обработва съответната жалба или искане в съответствие със Законодателството за защита на данните и Сентека предоставя такова търговски разумно съдействие, каквото Клиентът може разумно да поиска във връзка с такава жалба или искане. Клиентът носи отговорност за всички разумни разходи, произтичащи от предоставянето на такова съдействие от Сентека.
7. Сътрудничество с надзорните органи и провеждане на искове
7.1. Сентека уведомява Клиента за всички запитвания от надзорен орган, които Сентека получава и които се отнасят до обработването на Лични данни, освен ако това не е забранено от закона или от надзорния орган. 7.2. По отношение на Личните данни, които Сентека обработва във връзка с Услуги, които предоставя като Обработващ лични данни, освен ако надзорен орган не поиска писмено да се ангажира пряко със Сентека или страните (действащи разумно и като вземат предвид предмета на искането) не се споразумеят Сентека да обработи искането на надзорния орган сама, Лицензираният: а) носи отговорност за всички съобщения или кореспонденция с надзорния орган във връзка с обработването на Лични данни и предоставянето или получаването на Услугите; и б) информира Сентека за тези съобщения или кореспонденция, доколкото е разрешено от закона.
8. Връщане и изтриване на лични данни
8.1. При прекратяване на Лиценза по каквато и да е причина или при писмено искане от Клиента по всяко време, Сентека прекратява обработването на всякакви Лични данни и (по указание на Клиента) връща на Клиента или изтрива (в съответствие с политиките на Сентека за съхранение и изтриване на документи) всякакви Лични данни, които са във владение или под контрола на Сентека, освен ако това не се изисква от закона или не е необходимо, за да се защити срещу всякакви действителни или възможни правни искове, и освен ако не са запазени съгласно клауза 4.5. 8.2. Клиентът признава и приема, че Сентека не носи отговорност за каквито и да е загуби, понесени от Клиента, произтичащи от или във връзка с невъзможността на Сентека да изпълнява Услугите в резултат на спазването от Сентека на искане за изтриване или връщане на Лични данни, направено от Клиента. 8.3. Без да се засягат предходните клаузи 8.1. и 8.2., Сентека си запазва правото да задържа и използва за свои собствени цели всяка информация и данни, получени въз основа на псевдонимизация на Лични данни.
9. Конфликт с Лиценза, срок на това СОД и разни
9.1. В случай на конфликт между условията на Лиценза и условията на това СОД, условията на това СОД имат предимство. 9.2. Това СОД се прекратява, когато Сентека престане да обработва Лични данни, освен ако страните не се споразумеят друго писмено. 9.3. Освен ако изрично не е посочено друго в това СОД, страните се съгласяват, че всички задължения между тях по това СОД ще бъдат предмет на ограниченията и изключенията на отговорността и другите условия на Лиценза.
9.4. Доколкото се изисква от приложимото Законодателство за защита на данните, това СОД се урежда от правото на Република България и ЕС.
ПРИЛОЖЕНИЕ 1
Приложение „Подробни данни за обработването“
I. Администратор
Клиентът и филиалите на Лицензирания, които обработват Лични данни за свои собствени бизнес цели.
II. Обработващ лични данни
Обработващият лични данни е Сентека.
III. Субекти на данни
Обработваните Лични данни се отнасят до следните категории субекти на данни:
Категория субект 1. служители на Администратора — членове на персонала на Лицензирания, като, но не само, лица, пряко участващи в работата на Клиента с Продуктите на Сентека, действащи като Клиентски администратори, Клиентски мениджъри „Таксуване“, Клиентски продуктови мениджъри, Клиентски редактори.
Категория субект 2. Крайни потребители на Лицензирания, генериращи взаимодействия с Продуктите на Сентека.
IV. Категории данни
Обработваните Лични данни се отнасят до следните категории данни:
По отношение на Категория субект 1.
По отношение на Категория субект 2:
Операции по обработване
Обработваните Лични данни ще бъдат предмет на следните основни дейности по обработване:
Сентека, действайки като Обработващ лични данни, ще обработва, в зависимост от обхвата на ангажимента си, Личните данни, предоставени от Клиента или директно от трети лица от Категория Субект 2, за да изпълнява своите задължения, произтичащи от Лиценза, включително, но не само – за да предоставя Продуктите на Сентека с всички техни договорени фунционалности, за да спази своите законови и регулаторни задължения, да поддържа сметки и записи и да извършва анализи с цел подобряване на своите продукти и услуги. Това ще включва, наред с другото, събиране, съхранение, анализ (включително автоматизирано профилиране) и разкриване на Лични данни, които Сентека получава от Администратора в съответствие с Лиценза.
ПРИЛОЖЕНИЕ 2
Мерки за сигурност
В изпълнение на задължението си по клауза 5.2 от това СОД, Сентека внедрява следното:
3.1. предавани по публични мрежи (т.е. интернет) или при безжично предаване; или
3.2. в покой или съхранявани на преносими или сменяеми носители (т.е. лаптопи, CD/DVD, USB устройства, резервни ленти).
Това СОД е утвърдено от Управителя на Сентека на дата 01.08.2025 г.