Споразумение за обработване на лични данни

Настоящото Споразумение урежда отношенията между БГПЛОД2004 ЕООД („Обработващ") и бизнес клиента, използващ платформата Rezerva.bg („Администратор"), доколкото Обработващият обработва лични данни от името на Администратора при предоставянето на Услугата.

Споразумението се счита за приложено автоматично при използване на платформата. Индивидуален писмен договор за обработване, подписан от двете страни, има предимство пред тази публична версия.

Обработването обхваща дейностите, необходими за предоставяне на функционалностите на платформата: записвания, управление на график, автоматични комуникации, хостинг, поддръжка и сигурност. Продължава за срока на използване на Услугата и приключва с прекратяването й.

• Данни за крайни клиенти на Администратора: имена, телефон, имейл, история на записванията
• Данни за персонал/специалисти: имена, работен график, предоставяни услуги
• Други данни: всякакви допълнителни лични данни, въведени от Администратора в платформата

Обработващият не обработва специални категории данни по чл. 9 GDPR, освен ако Администраторът изрично не въведе такива. В този случай Администраторът носи отговорност за осигуряване на съответното правно основание.

Обработващият обработва личните данни само по документирани инструкции на Администратора, освен ако приложимото право не изисква друго — в последния случай Обработващият уведомява Администратора преди обработването, доколкото правото позволява.

Обработващият съдейства на Администратора при изпълнение на задълженията му за отговор на искания от субекти на данни (достъп, коригиране, изтриване, преносимост и др.), като взема предвид естеството на обработването. При получаване на пряко искане от субект на данни, насочено към Обработващия, Обработващият го препраща своевременно към Администратора.

Обработващият гарантира, че лицата, упълномощени да обработват личните данни, са поели задължение за поверителност или са обвързани от законово задължение за поверителност. Достъп до данните се предоставя само на лицата, за които той е необходим за изпълнение на задачите им.

Обработващият прилага подходящи технически и организационни мерки за сигурност, като отчита актуалното ниво на техниката, разходите за прилагане и рисковете. Мерките включват, без ограничение: контрол на достъпа, криптиране при пренос, редовни резервни копия, мониторинг на инфраструктурата и политики за реагиране при инциденти.

Обработващият съдейства на Администратора при изпълнение на задълженията му по чл. 32–36 GDPR (сигурност, нотификация при нарушение, предварителна консултация), като взема предвид естеството на обработването и наличната информация.

Администраторът дава общо разрешение за ангажиране на подизпълнители за хостинг, съхранение, имейл, плащания и поддръжка. Текущият списък с категории подизпълнители е достъпен при поискване на office@rezerva.bg.

При добавяне на нов подизпълнител или съществена промяна при съществуващ, Обработващият уведомява Администратора поне 10 работни дни предварително по имейл или чрез известие в платформата. Администраторът може да възрази срещу промяната в рамките на срока. Ако не е постигнато съгласие, Администраторът може да прекрати Услугата.

На всички подизпълнители се налагат еквивалентни задължения за защита на данните.

При установено нарушение на сигурността на личните данни, засягащо данни по настоящото Споразумение, Обработващият уведомява Администратора без ненужно забавяне — при възможност в рамките на 24 часа от установяването, за да може Администраторът да изпълни задълженията си по чл. 33–34 GDPR. Уведомлението съдържа наличната информация за естеството на инцидента, засегнатите данни и категории лица, и предприетите мерки.

След прекратяване на Услугата Обработващият, по избор на Администратора, изтрива или връща всички лични данни и изтрива съществуващите копия в рамките на 60 дни от датата на прекратяване, освен ако приложимото право изисква по-дълго съхранение. При поискване Обработващият потвърждава изтриването.

Обработващият предоставя на Администратора цялата информация, необходима за доказване на спазването на задълженията по настоящото Споразумение, и съдейства при одити, извършвани от Администратора или упълномощен от него одитор.

Одитите се провеждат по предварително уведомление (не по-малко от 10 работни дни), в разумен срок, без неоправдано нарушаване на дейността на Обработващия, при спазване на поверителност. Разходите за одита са за сметка на Администратора, освен ако одитът установи съществено неспазване.