Споразумение за защита на данните

Съгласно изискванията на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни, с който се отменя Директива 95/46/ЕО (наричана по-долу „ОРЗД“), Доставчикът (наричан по-долу „Обработващ лични данни“) и Вие (наричани по-долу „Администратор“) влизате в договорни отношения за обработка на данни за определяне на правилата и условията за обработване на лични данни, начина на тяхната защита, както и за определяне на други права и задължения на двете страни при обработването на лични данни на субектите на данни от името на Администратора в хода на изпълнение на предмета на настоящите Условия като основен договор.

1. Обработване на Лични данни. Услугите, предоставяни в съответствие с настоящите Условия, включват обработка на информация, свързана с идентифицирано или подлежащо на идентификация физическо лице, посочено в Правилата за поверителност (наричана по-долу „Лични данни“).

2. Упълномощаване. Администраторът упълномощава Обработващия лични данни да обработва Лични данни, включително следните инструкции:

(i) цел на обработката означава предоставянето на услуги в съответствие с настоящите Условия. Обработващият лични данни има право да обработва Лични данни само от името на Администратора във връзка с предоставянето на услуги, заявени от Администратора. Цялата информация, събрана за допълнителни цели, се обработва извън договорните отношения между Администратор и Обработващ лични данни.

(ii) период на обработка означава периодът от влизането в сътрудничество съгласно настоящите Условия до прекратяването на услугите,

(iii) обхват и категории Лични данни. Услугите са предназначени само за обработка на общи лични данни. Въпреки това Администраторът е отговорен единствено за определянето на обхвата на личните данни.

(iv) субект на данни означава физическо лице като упълномощен потребител на устройствата на Администратора,

(v) обработване на дейности означава всяка операция, необходима за обработката,

(vi) документирани инструкции означава инструкциите, описани в настоящите Условия, Приложенията към тях, Правилата за поверителност и документацията за услугите. Администраторът носи отговорност за правната допустимост на обработването на Лични данни от Обработващия лични данни по отношение на съответно приложимите разпоредби на законодателството за защита на данните.

3. Задължения на Обработващия лични данни. Обработващият лични данни е задължен да:

(i) обработва Лични данни само въз основа на Документирани инструкции и за целта, определена в Условията, Приложенията към тях, Правилата за поверителност и документацията за услугите,

(ii) инструктира лицата, упълномощени да обработват Личните данни (наричани по-долу „Упълномощени лица“), относно техните права и задължения съгласно ОРЗД, за тяхната отговорност в случай на нарушение и да гарантира, че Упълномощените лица са се ангажирали с поверителност и следват Документираните инструкции,

(iii) прилага и следва мерките, описани в Условията, Приложенията към тях, Правилата за поверителност и документацията за услугите,

(iv) помага на Администратора при отговарянето на заявки от Субекти на данни, свързани с техните права. Обработващият лични данни няма право да коригира, изтрива или ограничава обработването на Лични данни без инструкции от Администратора. Всички заявки от Субекта на данни, свързани с Лични данни, обработвани от името на Администратора, се препращат незабавно към Администратора.

(v) помага на Администратора при известяването на надзорния орган и Субекта на данните за нарушение на сигурността на Личните данни. Обработващият лични данни известява Администратора за всяко нарушение на обработката на Лични данни или сигурността на личните данни незабавно след откриването. Обработващият лични данни сътрудничи в разумна степен при разследването и отстраняването на проблеми на такова нарушение и предприема разумни мерки за ограничаване на по-нататъшни отрицателни последици.

(vi) по избор на Администратора да изтрие или върне всички Лични данни на Администратора след края на Периода на обработка. Администраторът се задължава да информира Обработващия лични данни за решението си в рамките на десет (10) дни след края на Периода на обработка. Тази разпоредба не засяга правото на Обработващия лични данни да съхранява Личните данни до необходимата степен за целите на архивиране в обществения интерес, за научноизследователски цели, статистически цели или за целите на установяване, упражняване или защита на правни претенции.

(vii) поддържа актуален регистър на всички категории Дейности по обработване, извършвани от името на Администратора,

(viii) предоставя цялата информация, необходима за доказване на съответствие като част от Условията, Приложенията към тях, Правилата за поверителност и документацията за услугите, достъпни за Администратора. В случай на проверка или контрол на обработката на Лични данни от страна на Администратора Администраторът е длъжен да информира в писмена форма Обработващия лични данни най-малко тридесет (30) дни преди планираната проверка или контрол.

4. Ангажиране на друг Обработващ лични данни. Обработващият лични данни има право да ангажира друг обработващ лични данни за извършване на специфично обработване на дейности, като например предоставяне на съхранение в облака и инфраструктура за услугата в съответствие с Условията, Приложенията към тях, Правилата за поверителност и документацията за услугата. В момента Microsoft осигурява облачно съхранение и инфраструктура като част от услугата в облака на Azure. В такъв случай Обработващият лични данни остава единствената точка за контакт и страната, отговорна за съответствието. С настоящото Обработващият лични данни се задължава да информира Администратора за всяко добавяне или замяна на друг обработващ лични данни с цел възможност за възражение срещу такава промяна.

5. Територия на обработване. Обработващият лични данни гарантира, че обработването се извършва в Европейското икономическо пространство или в държава, определена като безопасна с решението на Европейската комисия въз основа на решението на Администратора. Стандартните договорни клаузи се прилагат в случай на трансфери и обработка извън Европейското икономическо пространство или държава, определена като безопасна с решение на Европейската комисия по заявка на Администратора.

6. Защита. Обработващият лични данни е сертифициран по ISO 27001:2013 и използва рамката на ISO 27001 за прилагане на многослойна стратегия за сигурност на отбраната при прилагане на контроли за защита върху слоя на мрежата, операционните системи, базите данни, приложенията, персонала и оперативните процеси. Съответствието с регулаторните и договорните изисквания редовно се оценява и преразглежда подобно на друга инфраструктура и операции на Обработващия лични данни и се предприемат необходимите стъпки за осигуряване на непрекъснато съответствие. Обработващият лични данни е организирал защитата на данните с помощта на ISMS въз основа на ISO 27001. Документацията за защитата включва основно документи с правила за информационна защита, физическа сигурност, сигурност на оборудване, управление на инциденти, справянето с изтичане на данни и инциденти със защитата и др.

7. Технически и организационни мерки. Обработващият лични данни защитава Личните данни срещу случайни и незаконни щети и унищожаване, случайна загуба, промяна, неупълномощен достъп и разкриване. За тази цел Обработващият лични данни приема адекватни технически и организационни мерки, съответстващи на начина на обработване и на риска, който представлява обработването за правата на Субектите на данни при спазване на изискванията на ОРЗД. Подробно описание на техническите и организационните мерки е посочено в Правилата за защита.

8. Информация за контакт на Обработващия лични данни. Всички известия, заявки, искания и друга комуникация относно защитата на личните данни се адресират до ESET, spol. s.r.o. на вниманието на: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.