Настоящото Споразумение за обработване на данни („Споразумението“) определя ролите и отговорностите на страните по отношение на съответната обработка на лични данни и е неразделна част от всички бизнес условия, договорени между страните, включително, но не само, общите условия на DEV.BG, договори за реклама, премиум фирмен профил, предоставяне на услуги по публикуване на обяви за работа, включително допълнителни условия („Договора“). В случай на противоречие или несъответствие между настоящото Споразумение и Договора, разпоредбите на настоящото Споразумение имат предимство.
1. Определения
За целите на настоящото Споразумение, посочените по-долу термини имат следното значение:
| DEV.BG означава “Дев България” ООД, дружество вписано в Търговския регистър при Агенцията по вписванията с ЕИК 204566446, със седалище и адрес на управление в град София, п.к. 1113, Област София (столица), Община Столична, р-н Изгрев, бул/ул. „Самоков“, No 15, ет. 11, ап. 58 и може да има ролята на администратор или обработващ лични данни в зависимост от предоставяните услуги по Договора. |
| Клиент означава дружеството, страна по Договора, което действа като администратор на лични данни и може, без изброяването да е изчерпателно, да бъде рекламодател, работодател, партньор или друго лице съгласно Договора. |
| Решение за адекватност означава решение на Европейската комисия, с което се потвърждава, че държава извън ЕС осигурява адекватно ниво на защита на данните, както е определено в Законодателството за защита на данните. |
| Адекватна държава означава държава извън ЕИП, за която Европейската комисия е решила, че осигурява ниво на защита на личните данни, съществено еквивалентно на това, гарантирано в рамките на ЕС/ЕИП. |
| Подходящи гаранции означава стандартът на защита на личните данни и на правата на субектите на данни, изискуем съгласно Законодателството за защита на данните, когато страните извършват трансфер към трета държава, като се позовават на стандартни договорни клаузи, и когато е приложимо – извършват оценка на риска или въздействието на трансфера в съответствие с приложимите насоки. |
| Администратор означава лицето, което само или съвместно с други определя целите и средствата за обработването на лични данни. |
| Обработващ означава лицето, което обработва лични данни от името на Администратора. |
| Жалба, свързана с лични данни означава жалба или искане, отнасящо се до задълженията на която и да е от страните по Законодателството за защита на данните, приложимо към Споразумението, включително всяка жалба от субект на данни или всяко уведомление, разследване или друго действие от Надзорен орган. |
| Законодателство за защита на данните означава всички приложими закони и регламенти относно защитата на личните данни и неприкосновеността на личния живот, включително Регламент (ЕС) 2016/679 (GDPR), Директива 2002/58/ЕО (ePrivacy), Закона за защита на личните данни (ЗЗЛД), както и всички приложими указания и насоки на компетентните надзорни органи. |
| Искане от субект на данни означава искане, отправено от субект на данни за упражняване на което и да е от правата на субектите на данни съгласно Законодателството за защита на данните във връзка с личните си данни. |
| ЕИП означава Европейското икономическо пространство. |
| Стандартни договорни клаузи означава Стандартните договорни клаузи на Европейската комисия съгласно Решение за изпълнение (ЕС) 2021/914 от 4 юни 2021 г. |
| Лични данни означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано. |
| Споделени данни означава терминът, използван в Раздел 4. |
| Обработвани данни означава терминът, използван в Раздел 5. |
| Надзорен орган означава независим публичен орган съгласно Законодателството за защита на данните, включително Комисия за защита на личните данни. |
Термини, изписани с малки букви, които се използват, но не са определени в настоящото Споразумение като „лични данни“, „нарушение на сигурността на лични данни“, „обработване“, „субект на данни“, имат значението, определено в Законодателството за защита на данните.
2. Роли и отговорности
При предоставянето на услугите съгласно Договора и при изпълнението на своите задължения по тях, DEV.BG може да действа като администратор или обработващ лични данни. Настоящото Споразумение е разделено на следните раздели:
- Общи условия – общи принципи за защита на данните, приложими независимо от ролите на страните.
- Условия за администратори – приложими при отношения администратор –администратор между Клиента и DEV.BG
- Условия за обработващ – приложими при отношения администратор–обработващ между Клиента и DEV.BG
3. Общи условия
Цели на обработването на лични данни. Страните обработват личните данни единствено за целите на предоставянето и/или получаването на услугите съгласно Договора, включително за изпълнение на техните приложими законови и регулаторни задължения. Личните данни се съхраняват за период, не по-дълъг от необходимия за постигане на посочените цели, освен ако по-дълъг срок за съхранение не се изисква или допуска от приложимото законодателство.
Сигурност на обработването. Страните следва да обработват личните данни в съответствие с общите принципи за поверителност и при спазване на Законодателството за защита на данните и условията на настоящото Споразумение. Като се имат предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, страните следва да прилагат подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност.
Страните поддържат подходящи политики за защита и поверителност на данните, информационна сигурност и оперативна устойчивост и гарантират тяхното спазване от персонала си, като всички служители са обвързани със задължения за поверителност във връзка с обработването на личните данни
Прехвърляне на данни към трети държави. Страните не прехвърлят лични данни към държава или територия, която не е призната за адекватна съгласно Законодателството за защита на данните, освен ако не са въведени Подходящи гаранции. Всяка от страните гарантира, че личните данни, които разкрива или по друг начин прехвърля, са точни и че разполага с валидно и приложимо правно основание за такова разкриване или прехвърляне.
Минимизиране на данните. Страните се задължават да не разкриват и да не споделят помежду си прекомерни, несъотносими или ненужни лични данни, които не са необходими за предоставянето или получаването на услугите съгласно Договора.
4. Обработване на лични данни като независим администратор
Когато страните обработват лични данни като независими администратори съгласно или във връзка с Договора, разпоредбите на настоящия Раздел 4 се прилагат в допълнение към Раздел 3 Общи условия.
Всяка страна, в качеството си на независим администратор, носи отговорност за спазването на Законодателството за защита на личните данни във връзка с обработването на личните данни, което извършва. Всяка страна гарантира, че:
- разполага с валидно правно основание за обработването на Споделените данни съгласно приложимото законодателство;
- предоставя на субектите на данни всички изискуеми уведомления и информация относно обработването на личните данни по прозрачен и законосъобразен начин;
- прилага подходящи технически и организационни мерки за защита на личните данни срещу неразрешено или незаконосъобразно обработване, загуба, унищожаване или повреждане; и
- изпълнява всички свои задължения във връзка с упражняването на правата на субектите на данни и уведомяването на надзорните органи, когато това се изисква.
Ако Клиентът или DEV.BG получат или узнаят за някое от следните обстоятелства, те следва да уведомят без ненужно забавяне другата страна и да окажат съдействие на другата страна при изпълнение на задълженията за уведомяване съгласно Законодателството за защита на данните:
- всяко нарушение на сигурността или неразрешен достъп до лични данни;
- всяка жалба, запитване или искане от субект на данни или надзорен орган относно Споделени данни, освен ако такова уведомяване е забранено от приложимото право.
Всяка страна ще отговаря на искания от субекти на данни, свързани със собственото ѝ обработване на Споделени данни.
5. Обработване на лични данни от името на клиента
Когато DEV.BG действа като обработващ по отношение на Обработваните данни във връзка с изпълнение на Договора, разпоредбите на настоящия Раздел 5 се прилагат допълнително към Раздел 3 (Общи условия). В случай на противоречие между Раздел 5 и Раздел 3, предимство имат разпоредбите на Раздел 5.
Документирани инструкции. Освен ако приложимото право не изисква друго, DEV.BG обработва Обработваните данни единствено в съответствие с Договора и всички други документирани инструкции на Клиента.
Поверителност и сигурност. DEV.BG прилага и поддържа подходящи технически и организационни мерки, за да осигури ниво на сигурност на Обработваните данни, съответстващо на риска, съгласно Законодателството за защита на данните. DEV.BG третира Обработваните данни като поверителни и гарантира, че неговият персонал и Подобработващите са обвързани със същите задължения за поверителност.
Одити и съдействие. DEV.BG оказва разумно съдействие на Клиента при изпълнение на неговите задължения съгласно Законодателството за защита на данните, включително чрез:
- препращане без ненужно забавяне на всички искания от субекти на данни, свързани с Обработваните данни;
- предоставяне на информация, разумно необходима за извършване на оценки на въздействието върху защитата на данните, одити, проверки и за изпълнение на задълженията към надзорните органи
При писмено искане и предварително уведомление DEV.BG ще съдейства на Клиента при извършването на одити или проверки, доколкото това е разумно необходимо за доказване на съответствието на DEV.BG със задълженията му в качеството му на Обработващ при условие че такива одити или проверки могат да бъдат извършвани не по-често от веднъж в рамките на дванадесет (12) месеца, освен ако приложимото законодателство или задължително разпореждане на компетентен надзорен орган изисква друго.
Клиентът се задължава при извършването на одит или проверка да действа по начин, който не води до неоправдано смущаване, увреждане или прекъсване на оборудването, персонала, системите и дейността на DEV.BG, както и да спазва всички разумни изисквания за сигурност и конфиденциалност на DEV.BG.
Уведомяване при нарушение на сигурността. В случай на нарушение на сигурността на лични данни, отнасящо се до Oбработвани лични данни, DEV.BG уведомява Клиента без ненужно забавяне, след като нарушението стане известно на DEV.BG. Уведомлението съдържа най-малко: (i) описание на естеството на нарушението (включително, когато е възможно, категориите и приблизителния брой засегнати субекти на данни и записи); (ii) вероятните последици от нарушението; (iii) мерките, предприети или предлагани за справяне с нарушението, включително, когато е приложимо, мерки за ограничаване на възможните неблагоприятни последици; (iv) данни за контакт, от които може да се получи допълнителна информация относно нарушението.
Под-обработващи. С настоящето Клиентът разрешава използването на Под-обработващите, посочени в списъка Приложение 1. Клиентът разрешава използването на допълнителни под-обработващи. DEV.BG следва да уведомява предварително Клиента за всяка планирана промяна относно използването или замяната на Под-обработващ.
Клиентът може да възрази срещу планираната промяна. Ако в рамките на 7 календарни дни от уведомяването не бъде получен отговор от Клиента, промяната се счита за потвърдена.
DEV.BG има право да прекрати Договора с незабавно действие, ако по разумна преценка на DEV.BG Клиентът възрази без основателна причина срещу назначаването на Под-обработващ или ако за DEV.BG стане невъзможно да предоставя услугите без отхвърления Под-обработващ.
При ангажиране на под-обработващ DEV.BG налага върху него същите задължения за защита на данните, каквито са предвидени в това Споразумение.
Прехвърляне на лични данни към трети държави. DEV.BG може да прехвърля данни към трети държави, доколкото това е необходимо за предоставяне на услугите по Договора. Доколкото обработването на Обработваните данни включва прехвърляне към Под-обработващи или други бизнес партньори, намиращи се извън ЕИП, страните се съгласяват, че Обработваните данни могат да бъдат прехвърляни само ако: (i) прехвърлянето е към юрисдикция, за която е издадено съответно решение за адекватност на ЕС и при условията на това решение; или (ii) при липса на решение за адекватност при наличието на Подходящи гаранции.
Отговорност. Всяка страна носи отговорност за вреди, причинени от обработване на лични данни, само доколкото не е изпълнила задълженията си съгласно GDPR или е действала извън или в противоречие със законосъобразните инструкции на другата страна, когато е приложимо.
Страна, която е изплатила пълния размер на обезщетението, има право да търси от другата страна частта от обезщетението, съответстваща на нейната отговорност.
Нищо в настоящото Споразумение не ограничава или изключва отговорността към субектите на данни съгласно GDPR.
Връщане и изтриване на данни. При прекратяване на Договора и при писмено искане от Клиента, DEV.BG по избор на Клиента ще върне всички Обработвани данни на Клиента или ще ги изтрие/унищожи по сигурен начин, доколкото това е допустимо съгласно приложимото законодателство. В случай че приложимото законодателство изисква съхраняване на част или всички Обработвани данни за определен срок, DEV.BG има право да ги съхранява единствено за изискуемия по закон период и при спазване на приложимите изисквания за защита и сигурност на данните, след което данните ще бъдат окончателно изтрити или унищожени.
Независимо от горното, DEV.BG има право да изтрие Обработвани данни и преди прекратяване на Договора, когато това се изисква или е необходимо за спазване на приложимото законодателство (например съхраняване на данни за кандидати в профил на работодател за срок до 6 (шест) месеца), след изтичането на който тези данни могат да бъдат изтрити или анонимизирани.
За целите на избягване на съмнение, DEV.BG осигурява техническа възможност за изтриване на лични данни от клиента, като Клиентът носи отговорност и се задължава да изтрива данните, свързани с кандидатури, след изтичането на 6 (шест) месеца от началното им съхранение. След изтичането на този срок DEV.BG има право да изтрие съответните данни с цел спазване на приложимото законодателство.
Приложение 1 – Детайли за обработването
Категории субекти на данни. Субекти на данни, свързани с Клиента (всякакви идентифицирани или подлежащи на идентификация физически лица), чиито лични данни се обработват от DEV.BG от името на Клиента във връзка с услугите по Договора, включително, когато е приложимо:
- Кандидати за работа
Категории лични данни
- данни за идентификация
- данни за контакт
- данни за професионален опит и образование (автобиография и др.)
- други данни съгласно услугите по Договора
Специални категории данни. DEV.BG не обработва специални категории лични данни.
Естество и цел на обработването на личните данни от името на Клиента. Обработване на лични данни от името на Клиента за целите на предоставяне на услугите съгласно Договора.
Честота и продължителност на обработването. Обработването се извършва непрекъснато за срока на действие на Договора и/или за конкретен период, когато това се изисква съгласно приложимото законодателство.
За обработване от Под-обработващи – предмет, естество и продължителност на обработването. Същите като горепосочените.
Технически и организационни мерки, включително мерки за сигурност на данните:
| Технически мерки | Организационни мерки |
|---|---|
| – HTTPS (криптиране на данните) – Хеширане на пароли + 2FA – Контрол на достъпа (роли) – Защита от атаки (SQL injection, XSS, CSRF) – Валидация на входни данни – Ограничения и сканиране на качени файлове – Резервни копия (backup) – Логване и мониторинг – Механизми за изтриване на данни | – Политики за сигурност и лични данни – Ограничен достъп за служители – Обучение на персонала – Мерки за конфиденциалност и поверителност на данните – План при инциденти – Оценка на риска и одити – Договори с външни доставчици – Срокове за съхранение на данни |
Списък на Под-обработващите:
| Digital Ocean Web Hosting | Хостинг услуги |
| SuperHosting.BG | Хостинг услуги |