Допълнение за обработка на данни (DPA)

1. Въведение и дефиниции

Това Допълнение за обработка на данни („DPA") формира част от договора между Вас („Клиент", „Администратор на данни") и Прайс Екс ЕООД, оперираща платформата Actio („Обработчик на данни", „Actio", „ние") относно използването на услугите на платформата.

1.1 Дефиниции

• „Лични данни" — всяка информация, свързана с идентифицирано или идентифицируемо физическо лице
• „Администратор на данни" — организацията-клиент, която определя целите и средствата за обработка
• „Обработчик на данни" — Actio, която обработва лични данни от името на администратора
• „Обработка" — всяка операция с лични данни, включително събиране, записване, организиране, съхраняване
• „GDPR" — Общ регламент за защита на данните (ЕС) 2016/679
• „Субект на данни" — физическото лице, към което се отнасят личните данни

2. Предмет и обхват на обработката

2.1 Предмет на обработката

Actio обработва лични данни от името и по указанията на Клиента единствено за предоставяне на услугите на платформата.

2.2 Категории лични данни

• Идентификационни данни (име, имейл, телефон)
• Професионални данни (позиция, организация)
• Данни за участие в дейности
• Комуникационни данни (съобщения, коментари)
• Технически данни (IP адрес, данни от браузъра)
• Снимки и медийни файлове

2.3 Категории субекти на данни

• Служители и представители на организациите-клиенти
• Доброволци и участници в дейности
• Бенефициери на услуги
• Контакти и партньори

2.4 Цели на обработката

• Управление на организации и членове
• Координация на проекти и дейности
• Комуникация и съобщения
• Отчетност и аналитика
• Техническа поддръжка и сигурност

3. Задължения на обработчика (Actio)

3.1 Обработка по указания

Actio се задължава да обработва лични данни единствено:

• По документирани указания от администратора на данни
• В рамките на услугите, предоставяни чрез платформата
• В съответствие с приложимото законодателство

3.2 Поверителност

• Осигурява поверителност на обработката
• Гарантира, че всички упълномощени лица са поели задължения за поверителност
• Прилага подходящи технически и организационни мерки (чл. 32 GDPR)
• Уведомява за нарушения на сигурността без неоправдано забавяне (раздел 10)

3.3 Технически и организационни мерки

Actio прилага следните мерки за защита. Точният им обхват подлежи на преглед в рамките на годишната документация за съответствие (раздел 8):

• Криптиране при предаване: TLS 1.2+ за целия трафик; HSTS е активен.
• Хеширане на пароли: bcrypt с минимум 10 итерации.
• Контрол на достъпа: Многофакторна автентикация (2FA / Passkeys), ролево управление в организациите, изолация на данни между клиенти.
• Мониторинг: Автоматично проследяване на грешки чрез Sentry; централизирани дневници за сигурност; записване на нарушения на CSP политиката.
• Резервни копия: Автоматични резервни копия на базата данни чрез пакета spatie/laravel-backup, съхранявани в отделна локация в ЕС; процесът се тества периодично.
• Поддръжка: Редовни обновления на зависимостите и статичен анализ на кода (PHPStan).

Забележка: Actio не твърди, че данните в покой (at rest) са криптирани на ниво файлова система или база данни по подразбиране. Ако Вашата организация изисква допълнителни мерки (например криптиране на отделни полета в приложението, специфични SCC модули, SOC 2 или ISO 27001 атестация), моля посочете ги при заявката за подписване на DPA.

4. Под-обработчици

4.1 Одобрени под-обработчици

Клиентът дава общо разрешение за използването на следните под-обработчици. Списъкът съответства на таблицата с подпроцесори в Политика за поверителност §6.

4.2 Предаване на задълженията към под-обработчици

Actio гарантира, че всеки под-обработчик е обвързан с писмен договор, налагащ същите задължения за защита на данните, приложими съгласно чл. 28(4) GDPR.

4.3 Промени в под-обработчиците

При промени в списъка Actio ще уведоми клиентите поне 30 дни предварително. Клиентите имат право да възразят в срок от 14 дни.

5. Права на субектите на данни

Actio съдейства на администратора при изпълнение на задълженията му относно правата на субектите на данни (чл. 28(3)(д) GDPR):

• Право на достъп: предоставяне на копие от личните данни
• Право на коригиране: поправка на неточни или непълни данни
• Право на изтриване: изтриване при спазване на правните задължения
• Право на ограничаване: временно ограничаване на обработката
• Право на преносимост: експорт в структуриран, машинно четим формат
• Право на възражение: прекратяване на обработката при определени основания

6. Трансфер на данни извън ЕС

Основната обработка на данните се извършва в Европейския съюз. Единственият под-обработчик извън ЕС е Sentry (САЩ) — трансферът е защитен със Стандартни договорни клаузи (SCCs) на Европейската комисия (Решение 2021/914, модул 3) съгласно чл. 46 GDPR. Данните, споделяни със Sentry, са ограничени до технически стек-трейсове и метаданни за диагностика.

7. Срок на съхранение и изтриване

7.1 Срокове

• Активни акаунти: докато договорът е в сила
• Прекратени акаунти: пълно изтриване в рамките на 30 дни
• Неактивни акаунти: анонимизиране след 365 дни
• Логове за сигурност: до 365 дни
• Правни задължения: според изискванията на приложимото законодателство

7.2 Процедури за изтриване

При прекратяване на договора Actio изтрива или връща всички лични данни в срок от 30 дни, освен ако законът не изисква по-дълго съхранение. Съществуващите резервни копия се ротират и изтриват съгласно срока за съхранение на логове.

8. Одити и сътрудничество

8.1 Одити

Съгласно чл. 28(3)(з) GDPR администраторът на данни има право:

• Да получи цялата информация, необходима за демонстриране на съответствието с чл. 28
• Да провежда одити или инспекции, лично или чрез упълномощен одитор, след разумно писмено предизвестие (обикновено 30 дни) и в работно време
• Да получи копия на приложимата документация за технически и организационни мерки
• Да поиска съдействие при подготовка на оценка на въздействието (DPIA) по чл. 35 и предварителни консултации по чл. 36

8.2 Сътрудничество с контролни органи

Actio се задължава да съдейства на администратора при комуникация с надзорни органи (напр. КЗЛД) и да предоставя информацията, необходима за демонстриране на съответствие.

9. Отговорност

9.1 Взаимна отговорност

Всяка страна носи отговорност за щетите, причинени от нарушения на GDPR в рамките на нейните задължения:

• Администратор: съответствие на указанията с GDPR
• Обработчик: изпълнение на указанията и спазване на мерките за сигурност

9.2 Ограничение на отговорността

Конкретен финансов таван на отговорността, застраховки и клаузи за обезщетение се договарят индивидуално в рамките на процеса по подписване на DPA (раздел 12). Actio не поддържа автоматично публично обявен размер на застрахователно покритие в настоящия шаблон.

10. Уведомления за нарушения

10.1 Процедура за уведомяване

При установяване на нарушение на сигурността на личните данни Actio:

1. Уведомява администратора без неоправдано забавяне след узнаване (чл. 33(2) GDPR)
2. Предоставя следната информация:
   • Естество на нарушението
   • Категории и ориентировъчен брой засегнати субекти
   • Вероятни последствия
   • Предприети мерки за справяне
   • Препоръки за администратора
3. Документира инцидента за одитни цели

11. Условия за влизане в сила и промени

11.1 Влизане в сила

Това DPA влиза в сила след като бъде подписан от упълномощен представител на двете страни или след изрично електронно приемане от собственика на организационния акаунт в рамките на настройките на платформата. До момента на подписване документът има характер единствено на референтен шаблон.

11.2 Промени

Промените в DPA се извършват с писмено съгласие на двете страни или при задължителни промени в законодателството с предварително уведомление от 30 дни.

12. Контакти за защита на данните