Споразумение за обработка на данни

Последно преразгледано: 18 декември 2024 г.

Моля, прочетете внимателно това споразумение, тъй като съдържа важна информация относно вашите законови права и средства за защита.

Това Споразумение за обработка на данни (the “Споразумението”) е сключено между ЕВОЛОНИЯ ЕООД, дружество с ограничена отговорност, регистрирано в България, с адрес: ул. Люлебургас 3, 9704 Шумен, България (“ЕВОЛОНИЯ”) и вас (“Клиентът”), и е приложение към и допълва нашите Общи условия за ползване, Политика за поверителност и всички споразумения, уреждащи Обхванатите услуги (наричани заедно “Общите условия за ползване”).

1. ДЕФИНИЦИИ

1.1 Освен ако не е посочено друго в това Споразумение, всички термини с главни букви, които не са дефинирани в него, ще имат значението, дадено им в Общите условия за ползване.

„Обхванати услуги“ означава хоствани услуги, които могат да включват нашата Обработка на Лични данни, като: (1) Хостинг услуги, (2) VPS услуги, (3) Имейл услуги, (4) Домейн услуги.

„Данни на клиента“ означава Личните данни на всеки Субект на данни, обработвани от ЕВОЛОНИЯ в рамките на Мрежата на ЕВОЛОНИЯ от името на Клиента съгласно или във връзка с Общите условия за ползване.

„Закони за защита на данните“ означава всички закони и разпоредби за защита на данните или поверителността, приложими към Обработката на Лични данни съгласно Споразумението, включително, но не само: (i) Австралийските принципи за поверителност и Австралийския закон за поверителността (1988), (ii) Бразилския Общ закон за защита на данните (LGPD), (iii) Калифорнийския закон за защита на потребителите (CCPA), (iv) Федералния закон на Канада за защита на личната информация и електронните документи (PIPEDA), (v) ЕС GDPR, (vi) всички национални закони за защита на данните, приети съгласно или в съответствие с GDPR, (vii) Директивата на ЕС за електронна поверителност (Директива 2002/58/ЕО), (viii) Сингапурския Закон за защита на личните данни 2012 (PDPA), (ix) Швейцарския Федерален закон за защита на данните от 19 юни 1992 г. и неговия Правилник, и (x) UK GDPR или Закона за защита на данните 2018; във всеки случай, както може да бъде изменен, заменен или преработен.

„ЕИП“ означава Европейското икономическо пространство.

„ЕС GDPR“ означава Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни, и за отмяна на Директива 95/46/ЕО.

„Стандартни договорни клаузи на ЕС“ означава стандартните клаузи за защита на данните, одобрени с Решение на Европейската комисия 2021/914 от 4 юни 2021 г., включени тук чрез препратка. Модул Две (Администратор към Обработващ) и Модул Три (Обработващ към Обработващ) от Стандартните договорни клаузи на ЕС са достъпни за изтегляне на уебсайта на EUR-Lex.

„Мрежа на ЕВОЛОНИЯ“ означава съоръженията на центровете за данни на ЕВОЛОНИЯ, сървърите, мрежовото оборудване и хост софтуерните системи (напр. виртуални защитни стени), които са под контрола на ЕВОЛОНИЯ и се използват за предоставяне на Обхванатите услуги.

„Инцидент със сигурността“ означава нарушение на сигурността на Стандартите за сигурност на ЕВОЛОНИЯ, водещо до случайно или незаконно унищожаване, загуба, изменение, неразрешено разкриване на или достъп до каквито и да е Данни на клиента в системи, управлявани или контролирани от ЕВОЛОНИЯ.

„Стандарти за сигурност“ означава стандартите за сигурност, приложени към това Споразумение като Приложение 2.

„Чувствителни данни“ означава (a) номер на социална осигуровка, номер на паспорт, номер на шофьорска книжка или подобен идентификатор (или която и да е част от него); (b) номер на кредитна или дебитна карта (с изключение на съкратения (последните четири цифри) номер на кредитна или дебитна карта), финансова информация, номера на банкови сметки или пароли; (c) информация за заетост, финансова, генетична, биометрична или здравна информация; (d) расова, етническа, политическа или религиозна принадлежност, членство в профсъюз, или информация за сексуалния живот или сексуалната ориентация; (e) пароли за акаунти, моминско име на майката или дата на раждане; (f) криминално досие; или (g) всяка друга информация или комбинации от информация, които попадат в определението за „специални категории данни“ съгласно GDPR или друг приложим закон или регламент, отнасящи се до поверителност и защита на лични данни.

„Подобработващ“ означава всеки обработващ, ангажиран от ЕВОЛОНИЯ за обработка на данни от името на клиента.

„Общ регламент относно защитата на данните на Обединеното кралство (UK GDPR)“ означава Регламент (ЕС) 2016/679, изменен и включен в законодателството на Обединеното кралство съгласно Закона за оттегляне от Европейския съюз от 2018 г., и приложимите вторични законодателни актове, приети по този закон.

„Международно споразумение за трансфер на данни на Обединеното кралство“ означава Международното споразумение за трансфер на данни към Стандартните договорни клаузи на ЕС, издадено от Информационния комисар на Обединеното кралство, версия B1.0, в сила от 21 март 2022 г., включено тук чрез препратка. Международно споразумение за трансфер на данни на Обединеното кралство може да бъде изтеглено на сайта на Информационния комисар на Обединеното кралство.

1.2 Термините „лични данни“, „субект на данни“, „обработка“, „администратор“ и „обработващ“, използвани в това Допълнение, имат значенията, дадени им в Общия регламент относно защитата на данните (GDPR), независимо от това кои закони за защита на данните се прилагат.

2. ОБХВАТ НА ОБРАБОТКАТА НА ДАННИ И ВЗАИМООТНОШЕНИЯ МЕЖДУ СТРАНИТЕ

2.1 ЕВОЛОНИЯ като обработващ. Страните признават и се съгласяват, че: (i) ЕВОЛОНИЯ е обработващ лични данни на клиента съгласно законите за защита на данните; (ii) клиентът е администратор или обработващ, в зависимост от случая, на личните данни на клиента съгласно законите за защита на данните; и (iii) всяка страна ще спазва своите задължения съгласно приложимите закони за защита на данните по отношение на обработката на личните данни на клиента.

2.2 Подробности за обработката на данни. Предметът на обработката на личните данни на клиента от ЕВОЛОНИЯ е изпълнението на предоставяните услуги съгласно Условията за ползване. ЕВОЛОНИЯ ще обработва личните данни на клиента само за следните цели: (i) обработка в съответствие с Условията за ползване; (ii) обработка, инициирана от крайните потребители при използването на предоставяните услуги; (iii) обработка за спазване на други документирани, разумни инструкции, предоставени от клиента (например чрез имейл), когато такива инструкции са в съответствие с Условията за ползване. ЕВОЛОНИЯ няма да: (a) обработва, съхранява, използва, продава или разкрива личните данни на клиента, освен ако това е необходимо за предоставяне на услугите съгласно Условията за ползване или се изисква от закона; (b) продава такива лични данни на трета страна; (c) съхранява, използва или разкрива такива лични данни извън прякото бизнес взаимоотношение между ЕВОЛОНИЯ и клиента, освен ако не се изисква от закона.

За избягване на съмнения, обработката на личните данни на клиента ще бъде в съответствие с всички приложими закони за защита на данните. Клиентът носи пълна отговорност за точността, качеството и законността на личните данни на клиента и за средствата, чрез които клиентът е придобил тези данни. Ако клиентът е администратор на личните данни на клиента, той признава и се съгласява, че: (i) клиентът трябва да положи разумни усилия да информира ясно и да получи съгласие за всяко събиране, споделяне и използване на данни, което се извършва чрез предоставяните услуги; и (ii) клиентът трябва да уточни, че в резултат на използването на предоставяните услуги, данните на крайните потребители могат да бъдат обработвани извън тяхната страна на произход. Ако клиентът е обработващ личните данни на клиента, той гарантира, че инструкциите и действията на клиента по отношение на тези данни, включително назначаването на ЕВОЛОНИЯ като друг обработващ, са били одобрени от съответния администратор. ЕВОЛОНИЯ не е задължена да спазва или изпълнява инструкциите на клиента, ако такива инструкции нарушават законите за защита на данните. Продължителността на обработката, естеството и целта на обработката, видовете лични данни и категориите субекти на данни, обработвани съгласно това Допълнение, са допълнително уточнени в Приложение 1 („Подробности за обработката“) към това Допълнение.

3. КОНФИДЕНЦИАЛНОСТ НА ДАННИТЕ НА КЛИЕНТА

ЕВОЛОНИЯ няма да разкрива данните на клиента на която и да е държавна институция или на трета страна, освен ако това не е необходимо за спазване на закона или на валиден и задължителен акт на правоохранителен орган (например призовка или съдебно разпореждане). В случай че ЕВОЛОНИЯ получи валидна гражданска призовка и доколкото е позволено, ЕВОЛОНИЯ ще се опита да предостави на клиента разумно уведомление за изискването чрез електронна поща или пощенска услуга, за да му даде възможност да потърси защита или друг подходящ способ за защита на правата си (освен ако друго не е изисквано от призовката, съдебното разпореждане или друг валиден правен документ).

4. МОДЕЛ НА СПОДЕЛЕНА ОТГОВОРНОСТ ЗА СИГУРНОСТ

4.1 ЕВОЛОНИЯ е внедрила и ще поддържа техническите и организационните мерки за мрежата ЕВОЛОНИЯ, описани в тази секция и допълнително описани в Приложение 2 към този Допълнителен документ – Стандарти за сигурност. По-конкретно, ЕВОЛОНИЯ е внедрила и ще поддържа следните технически и организационни мерки, които обхващат: (i) сигурността на мрежата ЕВОЛОНИЯ; (ii) физическата сигурност на съоръженията; (iii) контрола върху достъпа на служители и подизпълнители до (i) и/или (ii); и (iv) процесите за тестване, оценка и преглед на ефективността на внедрените технически и организационни мерки. В случай че ЕВОЛОНИЯ не е в състояние да изпълни някои от своите задължения, описани тук, ще предостави писмено уведомление (чрез своя уебсайт или електронна поща) възможно най-бързо.

4.2 ЕВОЛОНИЯ предоставя редица функции и инструменти за сигурност, които клиентът може да избере да използва във връзка с обхванатите услуги. Клиентът носи отговорност за: (a) правилната конфигурация на обхванатите услуги, (b) използването на наличните контроли във връзка с обхванатите услуги (включително контроли за сигурност) за осигуряване на продължаващата конфиденциалност, интегритет, достъпност и устойчивост на системите и услугите за обработка на данни, (c) предприемането на действия, които ЕВОЛОНИЯ смята за адекватни за поддържане на подходяща сигурност, защита и изтриване на данните на клиента, включително използването на технологии за криптиране за защита на данните от неоторизиран достъп и мерки за контрол на правата за достъп до данните на клиента.

5. ПРАВА НА СУБЕКТИТЕ НА ДАННИ

Съобразявайки се с естеството на обхванатите услуги, ЕВОЛОНИЯ предоставя на клиента определени контроли, които клиентът може да избере да използва за извличане, коригиране, изтриване или ограничаване на използването и споделянето на клиентските данни, както е описано в обхванатите услуги. Клиентът може да използва тези контроли като технически и организационни мерки, които да му помогнат при изпълнението на задълженията му съгласно законите за защита на данните, включително задълженията, свързани с отговаряне на искания от субекти на данни. ЕВОЛОНИЯ, доколкото е търговски разумно и законово изисквано или позволено, ще уведоми клиента незабавно, ако ЕВОЛОНИЯ получи директно искане от субект на данни за упражняване на такива права съгласно приложимите закони за защита на данните („Искане от субект на данни“). Освен това, когато използването на обхванатите услуги от клиента ограничава възможността му да адресира искане от субект на данни, ЕВОЛОНИЯ може, ако е законово позволено и уместно и по конкретно искане на клиента, да предостави търговски разумно съдействие за разглеждане на искането за сметка на клиента (ако има такава).

6. ПОДИЗПЪЛНИТЕЛИ

6.1 Упълномощени подизпълнители. Клиентът се съгласява, че ЕВОЛОНИЯ може да използва подизпълнители за изпълнение на договорните си задължения съгласно Общите условия и този Допълнителен документ или за предоставяне на определени услуги от негово име, като например предоставяне на услуги за поддръжка. Клиентът изрично дава съгласие ЕВОЛОНИЯ да използва подизпълнители, както е описано в тази секция.

6.2 Задължения на подизпълнителите. Когато ЕВОЛОНИЯ използва упълномощени подизпълнители, както е описано в Секция 6.1:

(i) ЕВОЛОНИЯ ще ограничи достъпа на подизпълнителя до клиентските данни само до необходимото за поддържане на обхванатите услуги или за предоставянето на тези услуги на клиента и крайните потребители съгласно Общите условия. ЕВОЛОНИЯ ще забрани на подизпълнителя достъп до клиентските данни за каквато и да е друга цел;

(ii) ЕВОЛОНИЯ ще сключи писмено споразумение с подизпълнителя и, доколкото подизпълнителят изпълнява същите услуги за обработка на данни, които ЕВОЛОНИЯ предоставя съгласно този Допълнителен документ, ЕВОЛОНИЯ ще наложи на подизпълнителя задължения, които са съществено подобни на договорните задължения, които ЕВОЛОНИЯ има по този Допълнителен документ; и

(iii) ЕВОЛОНИЯ ще остане отговорна за спазването на задълженията си по този Допълнителен документ и за действията или бездействията на подизпълнителя, които водят до нарушаване на някои от задълженията на ЕВОЛОНИЯ съгласно този Допълнителен документ.

6.3 Нови подизпълнители. От време на време ЕВОЛОНИЯ може да ангажира нови подизпълнители съгласно и при условията на този Допълнителен документ. Новите подизпълнители ще бъдат добавяни към Приложение 3. Ако клиентът не одобри нов подизпълнител, той може да прекрати обхванатите услуги без санкции, като предостави писмено уведомление за прекратяване в рамките на 10 дни от получаване на известието от ЕВОЛОНИЯ, което съдържа обяснение за причините за неодобрението. Ако обхванатите услуги са част от пакетна покупка, прекратяването ще важи за целия пакет.

7. ИНЦИДЕНТ ЗА СИГУРНОСТ

7.1 Инцидент за сигурност. Ако ЕВОЛОНИЯ установи инцидент за сигурност, тя ще предприеме следните действия без неоправдано забавяне: (a) ще уведоми клиента за инцидента за сигурност; и (b) ще предприеме разумни стъпки за смекчаване на последствията и минимизиране на щетите, причинени от инцидента за сигурност.

7.2 Съдействие от ЕВОЛОНИЯ. За да подпомогне клиента във връзка с известия за нарушение на лични данни, които клиентът трябва да предостави съгласно законите за защита на данните, ЕВОЛОНИЯ ще включи в известието информация за инцидента за сигурност, която ЕВОЛОНИЯ може разумно да разкрие на клиента, като вземе предвид естеството на обхванатите услуги, наличната информация и ограниченията за разкриване на информацията, като например поверителност.

7.3 Неуспешни инциденти за сигурност. Клиентът се съгласява, че неуспешен инцидент за сигурност няма да бъде предмет на условията на този Допълнителен документ. Неуспешен инцидент за сигурност е такъв, който не води до неоторизиран достъп до данни на клиента или до мрежата, оборудването или съоръженията на ЕВОЛОНИЯ, които съхраняват данни на клиента, и може да включва, но не се ограничава до, пинг атаки, други атаки към защитни стени или сървъри, сканиране на портове, неуспешни опити за вход, атаки за отказ на услуга, прихващане на пакети (или друг неоторизиран достъп до трафични данни, който не надхвърля заглавията), или подобни инциденти.

7.4 Известяване. Известия за инциденти за сигурност, ако има такива, ще бъдат доставяни на един или повече администратори на клиента чрез метод, избран от ЕВОЛОНИЯ, включително чрез електронна поща. Отговорността на клиента е да гарантира, че администраторите му поддържат актуална контактна информация в управленската конзола на ЕВОЛОНИЯ и осигуряват сигурно предаване на данни по всяко време.

7.5 Липса на признание за вина от ЕВОЛОНИЯ: Задължението на ЕВОЛОНИЯ да докладва или отговаря на инцидент за сигурност съгласно тази секция не представлява и няма да се тълкува като признание от страна на ЕВОЛОНИЯ за вина или отговорност във връзка с инцидента за сигурност.

8. ПРАВА НА КЛИЕНТА

8.1 Независима преценка. Клиентът е отговорен за прегледа на предоставената от ЕВОЛОНИЯ информация относно сигурността на данните и стандартите за сигурност и за независима преценка дали обхванатите услуги отговарят на изискванията и законовите задължения на клиента, както и на задълженията му по този Допълнителен документ. Предоставената информация е предназначена да помогне на клиента да изпълнява задълженията си съгласно приложимите закони за защита на данните. Клиентът се съгласява, че обхванатите услуги и стандартите за сигурност, внедрени и поддържани от ЕВОЛОНИЯ, осигуряват ниво на сигурност, което е подходящо за риска за личните данни (като се вземат предвид съвременното състояние на техниката, разходите за внедряване, естеството, обхватът, контекстът и целите на обработването на лични данни, както и рисковете за индивидите).

8.2 Права на одит на клиента. Клиентът има право да потвърди спазването от страна на ЕВОЛОНИЯ на този Допълнителен документ, както е приложимо за обхванатите услуги, като направи конкретно писмено искане на адреса, посочен в Общите условия, на разумни интервали. Ако ЕВОЛОНИЯ откаже да изпълни искане за надлежен и конкретно обхванат одит или инспекция, клиентът има право да прекрати този Допълнителен документ и Общите условия.

9. ПРЕХВЪРЛЯНЕ НА ДАННИ НА КЛИЕНТА

9.1 Прилагане на стандартните договорни клаузи на ЕС. Модул 2 (Администратор към обработващ данни) или Модул 3 (Обработващ данни към обработващ данни) от стандартните договорни клаузи на ЕС ще се прилагат за данни на клиента, които се прехвърлят извън ЕИП, директно или чрез последващо прехвърляне, към държава, която не е призната от Европейската комисия за осигуряваща адекватно ниво на защита за данни на клиента. Тези стандартни договорни клаузи няма да се прилагат за данни на клиента, които не се прехвърлят извън ЕИП. Независимо от горепосоченото, тези стандартни договорни клаузи няма да се прилагат, когато данните се прехвърлят съгласно признат стандарт за съответствие за законосъобразно прехвърляне на лични данни извън ЕИП, например когато е необходимо за изпълнение на обхванатите услуги съгласно Общите условия или с вашето съгласие.

1. За всеки модул, когато е приложимо:
  1. В Клауза 7 от стандартните договорни клаузи на ЕС, опционалната разпоредба за включване няма да се прилага;
  2. В Клауза 9 от стандартните договорни клаузи на ЕС ще се прилага Опция 2, а срокът за предварително писмено уведомление за промени при подизпълнителите ще бъде определен в Секция 6.3 (Нови подизпълнители) на този Допълнителен документ;
  3. В Клауза 11 от стандартните договорни клаузи на ЕС, опционалният език е английски;
  4. В Клауза 17 (Опция 1) от стандартните договорни клаузи на ЕС, приложимото право ще бъде българското законодателство;
  5. В Клауза 18(b) от стандартните договорни клаузи на ЕС, споровете ще се решават пред съдилищата в България.
  6. В Приложение I, Част A на стандартните договорни клаузи на ЕС:
    Списък на страните:
    Експортьор на данни: Експортьорът на данни е посоченото като „Клиент“ в Допълнителния документ.
    Подпис и дата: Към датата на електронното приемане на Общите условия от страна на експортера на данни, експортера се счита за подписал стандартните договорни клаузи на ЕС.
    Роля: Контролиращ (в Модул Две) или Обработващ (в Модул Три).

    Импортьор на данни: ЕВОЛОНИЯ ЕООД
    Контактна информация: [email protected]
    Подпис и дата: Към датата на електронното приемане на Общите условия от страна на експортера на данни, импортьорът се счита за подписал стандартните договорни клаузи на ЕС.
    Роля: Обработващ.
  7. в Приложение 1, част Б от стандартните договорни клаузи на ЕС:
    Описание на трансфера:
    Категориите субекти на данни, чиито лични данни се прехвърлят, са описани в Приложение 1 на Допълнението.
    Категориите прехвърлени лични данни са описани в Приложение 1 на Допълнението. Прехвърляните чувствителни данни са описани в Приложение 1 на това Допълнение.
    Честотата на прехвърляне е постоянна за срока на Общите условия.
    Естеството на обработката е описано в Раздел 2.2 и Приложение 1 на Допълнението.
    Целите на прехвърлянето на данни и по-нататъшната обработка са описани в Раздел 2.2 и Приложение 1 на това Допълнение.
    Периодът, за който ще се съхраняват Личните данни, е описан в Приложение 1 на това Допълнение.
    За трансфери към (под-) Обработващи, предметът, естеството и продължителността на Обработването са посочени в Приложение 3 към Стандартните договорни клаузи.
  8. в Приложение 1, част C от стандартните договорни клаузи на ЕС:
    Компетентен надзорен орган:
    Офисът на комисаря за защита на личните данни (България) е компетентният надзорен орган.
  9. в Приложение 2 на стандартните договорни клаузи на ЕС:
    Техническите и организационни мерки за сигурност, прилагани от Вносителя на данни, са както в Приложение 2 на Допълнението.
  10. в Приложение 3 на стандартните договорни клаузи на ЕС:
    Списъкът на подпроцесорите е в Приложение 3 на това Допълнение.

9.3 Приложимост на Допълнението за международен трансфер на данни на Обединеното кралство. Допълнението за международен трансфер на данни на Обединеното кралство ще се прилага за данни на клиента, които се прехвърлят чрез обхванатите услуги от Обединеното кралство, директно или чрез последващ трансфер, към държава, която не е призната от компетентния регулаторен орган или правителствен орган на Обединеното кралство като осигуряваща адекватно ниво на защита за данните на клиента. Това допълнение няма да се прилага за данни на клиента, които не се прехвърлят извън Обединеното кралство, нито директно, нито чрез последващ трансфер. Независимо от горепосоченото, допълнението няма да се прилага, ако данните се прехвърлят в съответствие с признат стандарт за съответствие за законосъобразно прехвърляне на данни на клиента извън Обединеното кралство, като например когато това е необходимо за изпълнението на обхванатите услуги съгласно Общите условия или с вашето съгласие.

  1. За трансфери на данни от Обединеното кралство, които попадат под действието на Допълнението за международен трансфер на данни на Обединеното кралство, допълнението ще се счита за влязло в сила (и включено в този Допълнителен документ чрез тази препратка) и ще бъде изпълнено, както следва:
    1. В Таблица 1 на Допълнението за международен трансфер на данни на Обединеното кралство, данните за страните и ключовата контактна информация се намират в Раздел 9.2 (i)(f) на този Допълнителен документ.
    2. В Таблица 2 на Допълнението, информация за версията на стандартните договорни клаузи на ЕС, модулите и избраните клаузи, към които това допълнение е приложено, се намира в Раздел 9.2 (Стандартни договорни клаузи на ЕС) на този Допълнителен документ.
    3. В Таблица 3 на Допълнението:
      1. Списъкът на страните се намира в Раздел 9.2 (i)(f) на този Допълнителен документ.
      2. Описанието на трансфера е посочено в Раздел 1 (Естество и цел на обработката) на Приложение 1 (Подробности за обработката) на този Допълнителен документ.
      3. Приложение 2 се намира в Приложение 2 (Стандарти за сигурност) на този Допълнителен документ.
      4. Списъкът на подизпълнителите е в Приложение 3 на този Допълнителен документ.
    4. В Таблица 4 на Допълнението, както Импортьорът, така и Експортьорът могат да прекратят Допълнението съгласно неговите условия.

10. ПРЕКРАТЯВАНЕ НА ДОПЪЛНИТЕЛНИЯ ДОКУМЕНТ

Този Допълнителен документ ще остане в сила до прекратяването на нашата обработка съгласно Общите условия („Дата на прекратяване“).

11. ВРЪЩАНЕ ИЛИ ИЗТРИВАНЕ НА ДАННИ НА КЛИЕНТА

Както е описано в обхванатите услуги, на клиента могат да бъдат предоставени инструменти, които да използва за извличане или изтриване на данните на клиента. Изтриването на данните на клиента ще се осъществи тридесет (30) дни след Датата на прекратяване, съобразно условията на конкретните обхванати услуги. Клиентът потвърждава, че е негова отговорност да експортира, преди Датата на прекратяване, всички данни, които желае да запази след тази дата.

12. ОГРАНИЧЕНИЯ НА ОТГОВОРНОСТТА

Отговорността на всяка страна по този Допълнителен документ ще бъде предмет на изключенията и ограниченията на отговорност, посочени в Общите условия. Клиентът се съгласява, че всякакви регулаторни санкции, наложени на ЕВОЛОНИЯ във връзка с данните на клиента, които произтичат от или са свързани с неизпълнение на задълженията на клиента по този Допълнителен документ и приложимите закони за защита на данните, ще се считат за и ще намалят отговорността на ЕВОЛОНИЯ съгласно Общите условия, сякаш са отговорност към клиента съгласно Общите условия.

13. ЦЕЛИ НА ОБЩИТЕ УСЛОВИЯ; КОНФЛИКТ

Този Допълнителен документ отменя и заменя всички предишни или едновременни изявления, споразумения, договорености или комуникации между клиента и ЕВОЛОНИЯ, независимо дали са писмени или устни, свързани с предмета на този Допълнителен документ, включително всякакви допълнителни споразумения за обработка на данни, сключени между ЕВОЛОНИЯ и клиента във връзка с обработката на лични данни и свободното движение на такива данни. В случай на конфликт или несъответствие между стандартните договорни клаузи на ЕС или Допълнението за международен трансфер на данни на Обединеното кралство и други условия в този Допълнителен документ или Общите условия, разпоредбите на стандартните договорни клаузи на ЕС или Допълнението, когато е приложимо, ще имат предимство. С изключение на измененията, направени с този Допълнителен документ, Общите условия остават в пълна сила и действие. Ако има конфликт между Общите условия и този Допълнителен документ, условията на този Допълнителен документ ще имат предимство.

ПРИЛОЖЕНИЕ 1

ДЕТАЙЛИ ЗА ОБРАБОТКАТА

  1. Естество и цел на обработката. ЕВОЛОНИЯ ще обработва данните на клиента, когато е необходимо, за да предостави обхванатите услуги съгласно Общите условия, както и съгласно допълнителните инструкции на клиента по време на използването на обхванатите услуги.
  2. Продължителност на обработката. Съобразно Раздели 10 и 11 на този Допълнителен документ, ЕВОЛОНИЯ ще обработва данните на клиента през срока на действие на Общите условия. Независимо от горепосоченото, ЕВОЛОНИЯ може да запази данните на клиента или част от тях, ако това се изисква от приложимите закони или регулации, включително закони за защита на данните, при условие че тези данни остават защитени в съответствие с условията на този Допълнителен документ и приложимите закони за защита на данните.
  3. Категории на субектите на данни. Клиентът може да качва лични данни при използването на обхванатите услуги, като обхватът и видът на тези данни се определят и контролират изцяло от клиента и могат да включват, но не се ограничават до лични данни, свързани със следните категории субекти на данни:
    • Потенциални клиенти, клиенти, бизнес партньори и доставчици на клиента (които са физически лица);
    • Служители или контактни лица на потенциални клиенти, клиенти, бизнес партньори и доставчици на клиента;
    • Служители, агенти, консултанти, фрийлансъри на клиента (които са физически лица);
    • Потребители на клиента, упълномощени от клиента да използват обхванатите услуги.
  4. Категории лични данни. Клиентът може да качва лични данни при използването на обхванатите услуги, като видът и обхватът на тези данни се определят и контролират изцяло от клиента и могат да включват, но не се ограничават до следните категории лични данни за субектите на данни:
    • Име
    • Адрес
    • Телефонен номер
    • Дата на раждане
    • Имейл адрес
    • Други данни, събирани, които могат директно или индиректно да идентифицират субектите на данни.
  5. Чувствителни данни или специални категории данни. Клиентът може да качва чувствителни данни при използването на обхванатите услуги, като видът и обхватът на тези данни се определят и контролират изцяло от клиента. Клиентът носи отговорност за прилагането на ограничения или мерки за защита, които напълно отчитат естеството на данните и свързаните с тях рискове, преди предаването или обработката на каквито и да било чувствителни данни чрез обхванатите услуги.

ПРИЛОЖЕНИЕ 2

СТАНДАРТИ ЗА СИГУРНОСТ

  1. Технически и организационни мерки
    Ние се ангажираме да защитаваме информацията на нашите клиенти. Като вземаме предвид най-добрите практики, разходите за изпълнение, както и естеството, обхвата, обстоятелствата и целите на обработката, както и вероятността и сериозността на риска за правата и свободите на физическите лица, прилагаме следните технически и организационни мерки. При избора на тези мерки се отчитат конфиденциалността, интегритетът, наличността и устойчивостта на системите.
  2. Програма за защита на данните
    Нашата програма за защита на данните е създадена, за да осигури глобална структура за управление на данните и сигурност на информацията през целия й жизнен цикъл. Редовно тестваме, оценяваме и преглеждаме ефективността на програмата за защита на данните и стандартите за сигурност.
1. Конфиденциалност. „Конфиденциалността означава, че личните данни са защитени срещу неоторизирано разкриване.“
Използваме различни физически и логически мерки за защита на личните данни на клиентите:
  1. Физическа сигурност
    • Системи за контрол на физическия достъп (контрол на достъпа чрез значки, мониторинг на събития и др.)
    • Системи за наблюдение, включително аларми и видеонаблюдение (CCTV), ако е необходимо
    • Унищожаване на физически документи (например чрез шредиране)
  2. Контрол на достъпа и предотвратяване на неоторизиран достъп
    • Ограничения на потребителския достъп и разрешения, базирани на роли
    • Силни методи за автентификация и разрешаване на достъп
    • Централизирано управление на пароли с изисквания за сложност и редовно обновяване
    • Контролиран достъп до електронна поща и интернет
    • Управление на антивирусна защита
  3. Криптиране
    • Криптиране на вътрешна и външна комуникация с използване на силни криптографски протоколи
    • Криптиране на лични данни в покой (бази данни, директории и др.)
    • Пълно дисково криптиране на служебни компютри и лаптопи
    • Отдалечените връзки се защитават чрез VPN
  4. Минимизиране на данни
    • Минимизиране на лични данни в логовете за приложения и сигурност
    • Псевдонимизация на лични данни за предотвратяване на директна идентификация
    • Сегрегация на данни по функция (тестови, продуктивни и др. среди)
    • Логическо разделение на данни по права на достъп
    • Определени периоди за съхранение на данни
  5. Тестване на сигурността
    • Провеждане на Penetration Testing за критични мрежи и платформи
    • Редовни мрежови и уязвимости сканирания
2. Интегритет. „Интегритетът се отнася до осигуряване на коректността и непокътнатостта на данните и правилното функциониране на системите.“
Поддържаме интегритета на личните данни чрез:
  1. Управление на промени и издания
    • Процеси за оценка, одобрение, тестване и мониторинг на промени
    • Достъп, базиран на роли и функции
  2. Логване и мониторинг
    • Логване на достъпа и промените върху данните
    • Централизирани дневници за сигурност
    • Мониторинг на целостта на данните при трансфер
3. Наличност. „Наличността на услуги и системи се гарантира, когато потребителите могат да ги използват по предназначение по всяко време.“
Мерките включват:
  • Редовни тестове за устойчивост и наличност
  • Задълбочен мониторинг на производителност/наличност и докладване за критични системи
  • Програма за реакция при инциденти
  • Репликации и резервни копия на критични данни
  • Обновяване на софтуер и сигурност
  • Използване на непрекъсваеми захранвания (UPS), системи за охлаждане, противопожарни системи
  • Изградена аларма, охранителна система
  • Въведени мерки за физическа защита за критични обекти (защита от пренапрежение, повдигнати подове, охладителни системи, детектори за пожар и/или дим, системи за гасене на пожар и др.)
  • DDoS защита
  • Тестване на натоварване и стрес
4. Инструкции за обработка на данни. „Обработката на лични данни се извършва само съгласно инструкциите на контролиращия субект.“
Поддържаме:
  • Политики за поверителност и клаузи в договорите на служителите
  • Обучения за защита на данни
  • Подходящи договорни разпоредби към споразуменията с подизпълнители за запазване на правата за контрол върху инструкциите
  • Проверки на външни доставчици
  • Пълен контрол на клиента върху предпочитанията за обработка

ПРИЛОЖЕНИЕ 3

ПОДИЗПЪЛНИТЕЛИ

  • Stripe, Inc.
  • Crisp IM SAS