(052) 918 098 Вход Регистрация

Споразумение за обработка на данни

В съответствие с нормативните изисквания в България и ЕС, настоящото Споразумение за обработка на данни („СОД“) описва нашите практики и ангажименти за защита на вашите данни и данните на вашите клиенти.

Това Споразумение за Обработка на Данни ("DPA") е съставено и сключено в съчетание със Споразумението за Условията на Услугата ("ToS Agreement" или "ToS") между Потребителя и Ремотек ритейл ЕООД, влизащо в сила при приемането на ToS от Потребителя. DPA представлява съществена част от ToS, предоставяйки конкретни условия, свързани с обработката на данни. Приемането на ToS от Потребителя, указано чрез кликване върху "Съгласен съм" или подобен бутон на уебсайта на Компанията, представлява приемане на това DPA.

1. Дефиниции и обхват

1.1. Дефиниции

За целите на настоящото Споразумение:
  1. „Лични данни“ означава всяка информация, свързана с идентифицирано или идентифицируемо физическо лице („субект на данни“); идентифицируемо физическо лице е това, което може да бъде идентифицирано, пряко или косвено, по-специално чрез позоваване на идентификатор като име, идентификационен номер, данни за местоположение, онлайн идентификатор или на един или повече фактора, специфични за физическата, физиологичната, генетичната, умствената, икономическата, културната или социалната идентичност на това физическо лице.
  2. „Субект на данни“ означава физическото лице, към което се отнасят личните данни.
  3. „Процесор“ се отнася до Ремотек ритейл ЕООД, който обработва лични данни от името на Контролера.
  4. „Контролер“ се отнася до всеки клиент на Ремотек ритейл ЕООД, който притежава личните данни и определя целите и средствата за обработка.
  5. „Обработка“ означава всяка операция или набор от операции, които се извършват върху лични данни или върху набори от лични данни, независимо дали автоматизирано или не, като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултация, използване, разкриване чрез предаване, разпространение или по друг начин предоставяне, подравняване или комбиниране, ограничаване, изтриване или унищожаване.

1.2. Местоположения за съхранение на данни

Процесорът се ангажира да съхранява всички лични данни на европейските клиенти в центрове за данни, разположени в Европа. Това е за осигуряване на съответствие с Общия регламент за защита на данните (GDPR) и други релевантни закони за защита на данните.

Процесорът използва двама доставчици на услуги за съхранение на данни: Hetzner и Amazon Web Services (AWS). И двамата доставчици оперират центрове за данни, базирани в Европа, и тези съоръжения се използват изключително за съхранение на лични данни от нашите европейски клиенти.

1.3. Сигурност на данните при пренос

Процесорът осигурява, че личните данни, прехвърляни между Контролера, Процесора и всякакви трети страни, са защитени със силни протоколи за криптиране. Това включва данни в транзит до и от центровете за данни на Hetzner и Amazon Web Services (AWS).

1.4. Сигурност на съхранението и съответствие

Процесорът трябва да осигури, че Hetzner и Amazon Web Services (AWS) отговарят на високите стандарти за сигурност на данните и се придържат към релевантните закони за защита на данните.

1.5. Известяване при промяна

Процесорът трябва да уведоми Контролера за всякакви планирани промени, свързани с добавянето или замяната на съоръжения за съхранение на данни или доставчици на услуги. Това е за осигуряване на непрекъснато съответствие със законите за защита на данните и условията на това Споразумение.

1.6. Обхват

  • Това Споразумение се прилага за Обработката на Лични данни от Процесора от името на Контролера, в съответствие с инструкциите на Контролера.
  • Процесорът трябва да обработва Лични данни с цел предоставяне на данъчни консултации и свързани услуги като софтуер като услуга (SaaS), включително, но не само, генериране на фактури, подготовка на отчети и изпълнение на изисквания за съответствие с данъчни декларации за ДДС.
  • Дейностите по обработка по това Споразумение включват Лични данни, които могат да включват, но не са ограничени до, имена, адреси и други идентификатори на Субекта на данни, предоставени от Контролера в съответствие с използването на услугите на Процесора.
  • Процесорът трябва да обработва Лични данни в съответствие с изискванията на Общия регламент за защита на данните (GDPR) и други приложими закони за защита на данните.
  • Процесорът признава, че Личните данни могат да произхождат от различни юрисдикции в Европа и следователно могат да бъдат подложени на различни изисквания за защита и съхранение на данни.

2. Технически мерки

Криптиране: Всички лични данни, независимо дали са в покой или в транзит, трябва да бъдат криптирани с използване на технологии за криптиране, съответстващи на индустриалните стандарти.

Контрол на достъпа: Мерки трябва да бъдат въведени, за да се осигури, че достъпът до лични данни е ограничен до оторизиран персонал само. Това включва използването на сигурни пароли, двуфакторна автентикация и логване на достъпа.

3. Цел на обработката на данни

3.1. Доставяне на услуги

Процесорът обработва Лични данни изключително за целите на предоставянето на своите данъчни консултации и услуги като софтуер като услуга (SaaS). Това включва издаването на фактури за всяка поръчка, обработена от бизнеса на Контролера (Клиента).

Генерирането на фактури е основна стъпка в доставката на услуги, тъй като позволява точното съставяне на данъчни декларации за ДДС. Тези данъчни декларации след това се подават към съответните юрисдикции в Европа, както се изисква от бизнес операциите на Контролера и в съответствие с приложимите данъчни закони.

3.2. Съответствие и отчетност

Обработката на Лични данни, по-специално във формата на генериране на фактури и съставяне на данъчни декларации за ДДС, е от съществено значение за осигуряване на съответствието на Контролера с различните данъчни регулации в различните юрисдикции в Европа.

Тази дейност по обработка е също така от съществено значение за подготовката на точни финансови отчети, улесняващи както прозрачността, така и съответствието с финансовите и данъчни задължения на Контролера.

3.3. Правно основание за обработка

Процесорът извършва тези дейности по обработка на основата на договорна необходимост, тъй като обработката е съществена за изпълнението на споразумението за услуги с Контролера.

Допълнително, такава обработка се съответства с правните задължения за съответствие, тъй като е необходима за Контролера да изпълни своите данъчни отчетни и съответствени изисквания по закон.

4. Задължения за обработка на данни

4.1. Общи задължения на процесора

Процесорът трябва да обработва Лични данни в съответствие с условията, посочени в това Споразумение и в съответствие с приложимите закони за защита на данните, включително, но не само, Общия регламент за защита на данните (GDPR).

Процесорът трябва да обработва Лични данни само по документирани инструкции от Контролера, освен ако не се изисква да го направи от законодателството на Европейския съюз или на държава-членка, на което подлежи Процесорът; в такъв случай Процесорът трябва да информира Контролера за това правно изискване преди обработката, освен ако този закон не забранява такава информация на важни основания от обществен интерес.

4.2. Принципи на обработка на данни

Процесорът се съгласява да се придържа към принципите, свързани с обработката на Лични данни съгласно GDPR, които изискват Личните данни да бъдат:

  • Обработвани законосъобразно, честно и по прозрачен начин.
  • Събирани за конкретни, изрични и законни цели и да не се обработват допълнително по начин, несъвместим с тези цели.
  • Адекватни, релевантни и ограничени до това, което е необходимо във връзка с целите, за които се обработват.
  • Точни и, когато е необходимо, поддържани в актуално състояние.
  • Съхранявани във форма, която позволява идентификация на субектите на данни за не по-дълго от необходимото за целите, за които се обработват личните данни.
  • Обработвани по начин, който осигурява подходяща сигурност на личните данни, включително защита срещу неразрешена или незаконна обработка и срещу случайна загуба, унищожаване или повреждане, чрез използване на подходящи технически или организационни мерки.

4.3. Сигурност на данните

Процесорът трябва да въведе и поддържа подходящи технически и организационни мерки, за да осигури ниво на сигурност, съответстващо на риска от дейностите по обработка, включително мерки за защита на данните срещу случайно или незаконно унищожаване, загуба, промяна, неразрешено разкриване или достъп до Лични данни.

Тези мерки трябва да включват, но не са ограничени до, криптиране на Лични данни по време на предаване и в покой, редовни оценки на сигурността и използване на сигурни методи за съхранение и предаване на данни.

4.4. Конфиденциалност

Процесорът осигурява, че всички лица, упълномощени да обработват Лични данни, са се задължили да спазват конфиденциалност или са подложени на подходящо законово задължение за конфиденциалност.

4.5. Подобработване

Процесорът не трябва да ангажира друг процесор (подобработващ) без предварително конкретно или общо писмено разрешение от Контролера. В случай на общо писмено разрешение, Процесорът трябва да информира Контролера за всякакви планирани промени, свързани с добавянето или замяната на други процесори, и да предостави на Контролера възможността да възрази срещу такива промени.

4.6. Сътрудничество и помощ

Процесорът трябва да подпомага Контролера в осигуряването на съответствие със задълженията съгласно членове 32 до 36 от GDPR, свързани със сигурността на обработката, уведомяването за нарушения на лични данни, оценките на въздействието върху защитата на данните и предварителните консултации с надзорните органи.

5. Права на субекта на данни

5.1. Потвърждение на права на субекта на данни

Процесорът признава правата на субектите на данни съгласно Общия регламент за защита на данните (GDPR) и други приложими закони за защита на данните. Тези права включват правото на достъп, корекция, изтриване („правото да бъдеш забравен“), ограничаване на обработката, преносимост на данните, възражение срещу обработката и правото да не бъдеш подложен на автоматизирано вземане на решения, включително профилиране.

5.2. Помощ на администратора

Процесорът трябва да подпомогне Контролера в изпълнението на своите задължения за отговаряне на исканията на субектите на данни да упражнят своите права съгласно GDPR. Процесорът трябва да предоставя своевременна помощ, като се вземат предвид естеството на личните данни и извършваната обработка.

Процесорът трябва да въведе необходимите мерки и системи, за да позволи и улесни отговора на Контролера на такива искания от субектите на данни.

5.3. Преки искания от субектите на данни

В случай че субект на данни се свърже директно с Процесора относно своите лични данни, Процесорът трябва незабавно да препрати такива искания на Контролера, без да отговаря на субекта на данни, освен ако не е инструктиран по друг начин от Контролера или ако не се изисква по закон.

Процесорът не трябва да разкрива никакви лични данни на субекта на данни без изричното нареждане или разрешение от Контролера, освен ако не се изисква по закон.

5.4. Запис на исканията

Процесорът трябва да поддържа запис на всички получени искания от субектите на данни и действията, предприети в отговор. Този запис ще бъде предоставен на Контролера при поискване, осигурявайки прозрачност и отчетност в дейностите по обработка.

5.5. Обучение и информираност

Процесорът трябва да осигури, че неговите служители и всякакъв друг персонал, участващ в обработката на лични данни, са адекватно обучени и информирани за правата на субектите на данни. Това включва обучение за разпознаване на искане от субект на данни и процедурата за препращане на такива искания към Контролера.

6. Пренос и съхранение на данни

6.1. Местоположения за съхранение на данни

Процесорът се ангажира да съхранява всички Лични данни на европейските клиенти в центрове за данни, разположени в Европа. Това е за осигуряване на съответствие с Общия регламент за защита на данните (GDPR) и други релевантни закони за защита на данните.

Процесорът използва двама доставчици на услуги за съхранение на данни: Hetzner и Amazon Web Services (AWS). И двамата доставчици оперират центрове за данни, базирани в Европа, и тези съоръжения се използват изключително за съхранение на Лични данни от нашите европейски клиенти.

6.2. Трансфер на данни

Всеки трансфер на Лични данни извън Европейското икономическо пространство (ЕИП) трябва да се извършва в съответствие с разпоредбите на GDPR и други приложими закони за защита на данните. Такива трансфери трябва да се осъществяват само при необходимост и с подходящи защитни мерки на място.

В случаите, когато е необходим трансфер на данни, Процесорът трябва да прилага стандартни договорни клаузи, одобрени от Европейската комисия, или да разчита на други подходящи механизми, съответстващи на GDPR, за да осигури адекватно ниво на защита на данните.

6.3. Сигурност на данните в транзит

Процесорът осигурява, че Личните данни, прехвърляни между Контролера, Процесора и всякакви трети страни, са защитени със силни протоколи за криптиране. Това включва данни в транзит до и от центровете за данни на Hetzner и Amazon Web Services (AWS).

6.4. Съхранение на сигурността и съответствието

Процесорът трябва да осигури, че Hetzner и Amazon Web Services (AWS) отговарят на високите стандарти за сигурност на данните и се придържат към релевантните закони за защита на данните.

Редовни одити и оценки трябва да се провеждат, за да се провери съответствието и стандартите за сигурност на Hetzner и AWS, осигурявайки, че те съответстват на задълженията на Процесора съгласно GDPR и това Споразумение.

6.5. Уведомление за промени

Процесорът трябва да уведоми Контролера за всякакви планирани промени, свързани с добавянето или замяната на съоръжения за съхранение на данни или доставчици на услуги. Това е за осигуряване на непрекъснато съответствие със законите за защита на данните и условията на това Споразумение.

7. Мерки за сигурност

7.1. Прилагане на мерки за сигурност

Процесорът трябва да въведе и поддържа цялостни технически и организационни мерки за сигурност, за да защити Личните данни срещу случайно или незаконно унищожаване, загуба, промяна, неразрешено разкриване или достъп до Лични данни. Тези мерки трябва да бъдат подходящи за риска, свързан с дейностите по обработка и естеството на данните, които се обработват.

7.2. Технически мерки

Криптиране: Всички Лични данни, независимо дали са в покой или в транзит, трябва да бъдат криптирани с използване на технологии за криптиране, съответстващи на индустриалните стандарти. Контрол на достъпа: Мерки трябва да бъдат въведени, за да се осигури, че достъпът до Лични данни е ограничен до оторизиран персонал само. Това включва използването на сигурни пароли, двуфакторна автентикация и логване на достъпа. Мрежова сигурност: Процесорът ще въведе силни мерки за мрежова сигурност, включително защитни стени, системи за откриване на прониквания и редовно наблюдение на мрежата за предотвратяване на неразрешен достъп.

7.3. Организационни мерки

Обучение на служители: Всички служители на Процесора ще получават редовно обучение по защита на данните и сигурност, съответстващо на техните роли. Минимизиране на данни: Процесорът ще осигури, че само необходимото количество Лични данни се обработва за предвидената цел и че данните не се задържат по-дълго от необходимото. План за реакция при инциденти: Процесорът трябва да има документален план за реакция при инциденти, за да може бързо и ефективно да реагира на потенциални нарушения на данните или инциденти със сигурността.

7.4. Сигурност на подизпълнителите

Всеки подизпълнител, ангажиран от Процесора, включително Hetzner и Amazon Web Services (AWS), ще бъде задължен да прилага еквивалентни мерки за сигурност за защита на Лични данни.

7.5. Редовни одити и оценки

Процесорът трябва да провежда редовни одити и оценки на сигурността, за да осигури непрекъснатата ефективност на мерките за сигурност. Това включва периодични прегледи на практиките за сигурност на Hetzner и AWS.

7.6. Уведомление за нарушение на данните

В случай на нарушение на данните, Процесорът трябва незабавно да уведоми Контролера и съответните органи в съответствие с приложимите закони за защита на данните. Уведомлението ще включва цялата необходима информация, за да позволи на Контролера да изпълни своите задължения за докладване или информиране на субектите на данни за нарушението.

8. Подобработващи лица

8.1. Използване на подизпълнители

Процесорът може да ангажира трети страни подизпълнители за обработка на Лични данни от името на Контролера. Ангажирането на подизпълнители ще бъде в строго съответствие с GDPR и ще спазва същите задължения за защита на данните, както са посочени в това Споразумение.

8.2. Одобрение на подизпълнители

Процесорът не трябва да ангажира никакъв подизпълнител без предварително конкретно или общо писмено съгласие от Контролера. Когато се предоставя общо съгласие, Процесорът трябва да информира Контролера за всякакви планирани промени, свързани с добавянето или замяната на подизпълнители, като по този начин дава възможност на Контролера да възрази срещу такива промени.

8.3. Споразумения с подизпълнители

Когато се ангажира подизпълнител, Процесорът трябва да сключи писмено споразумение с подизпълнителя. Това споразумение ще наложи условия за защита на данните, които изискват подизпълнителят да защитава Личните данни до стандарта, изискван от GDPR.

8.4. Отговорност на подизпълнителите

Процесорът остава отговорен пред Контролера за изпълнението на задълженията на подизпълнителя за защита на данните. Всяко нарушение на задълженията за защита на данните от подизпълнител ще се счита за нарушение от страна на Процесора.

8.5. Списък на текущите подизпълнители

Процесорът трябва да поддържа актуализиран списък с имената и местоположенията на всички подизпълнители. Този списък трябва да бъде на разположение на Контролера при поискване.

9. Права за одит

9.1. Права на одит и инспекция

Контролерът има право да провежда одити и инспекции на дейностите по обработка на данни от Процесора, за да гарантира съответствието с това Споразумение и приложимите закони за защита на данните. Това включва правото на преглед на документация, процеси и мерки, свързани с обработката на Лични данни.

9.2. Уведомление и време за одити

Контролерът трябва да предостави разумно уведомление на Процесора преди провеждането на какъвто и да е одит или инспекция. Конкретните условия, като честота и продължителност на одитите, трябва да бъдат договорени предварително между Контролера и Процесора.

9.3. Провеждане на одити

Одитите трябва да се провеждат по начин, който минимизира нарушението на операциите на Процесора. Контролерът трябва да използва своите най-добри усилия, за да избегне причиняването на щети, наранявания или нарушения на помещенията, оборудването, персонала и бизнеса на Процесора по време на провеждането на одитите.

9.4. Одитори от трети страни

Контролерът може да ангажира взаимно договорен одитор от трета страна за провеждане на одита. Всеки одитор от трета страна трябва да бъде обвързан със същите задължения за конфиденциалност като Контролера.

9.5. Разходи за одити

Контролерът трябва да поеме разходите за всички одити или инспекции. Въпреки това, ако одитът разкрие съществено несъответствие от страна на Процесора, тогава Процесорът трябва да поеме разумните разходи за такъв одит.

10. Продължителност и прекратяване

10.1. Продължителност на споразумението

Това Споразумение за обработка на данни остава в сила, докато Процесорът обработва Лични данни от името на Контролера или до прекратяването му от която и да е от страните в съответствие с условията на това Споразумение.

10.2. Прекратяване с предизвестие

Всяка от страните може да прекрати това Споразумение, като предостави [уточнете период на предизвестие, напр. 30 дни] писмено предизвестие на другата страна. Прекратяването трябва да бъде без предразсъдъци към каквато и да е обработка на данни, извършена преди датата на прекратяване.

10.3. Задължения при прекратяване

След прекратяването на това Споразумение, Процесорът трябва, по избор на Контролера, да изтрие или върне всички Лични данни, обработени от името на Контролера. Този процес трябва да бъде завършен в разумен срок след прекратяването, освен ако законодателството на Европейския съюз или на държава-членка изисква съхранение на Личните данни.

Процесорът трябва също така да изтрие съществуващите копия на Личните данни, освен ако законодателството на Европейския съюз или на държава-членка изисква съхранение на данните.

10.4. Оцеляване на определени разпоредби

Независимо от прекратяването на това Споразумение, разпоредбите, свързани с конфиденциалността, сигурността на данните и други разпоредби, които по своето естество трябва да продължат да бъдат в сила след прекратяването, ще продължат да бъдат ефективни след прекратяването на това Споразумение.

11. Съответствие с конкретни изисквания

11.1. Съответствие с изискванията на Amazon

В съответствие със специфичните изисквания на Amazon, Процесорът не трябва да съхранява Лични данни на своите сървъри повече от тридесет дни след изпълнението на поръчката. Това е в съответствие с политиката на Amazon за обработка на клиентски данни.

11.2. Адаптация към различни юрисдикции

Процесорът признава разнообразните изисквания за съхранение на фактури в различни европейски юрисдикции. Процесорът се ангажира да спазва тези разнообразни правни изисквания, осигурявайки, че фактурите и свързаните Лични данни се съхраняват за поне седем години или според изискванията на съответната юрисдикция.

11.3. Използване на Amazon Glacier за дългосрочно съхранение

За да се съобрази с изискванията на Amazon и различните правила на европейските юрисдикции за съхранение на фактури, Процесорът ще използва Amazon Glacier за дългосрочно студено съхранение на Лични данни. Това осигурява съответствие, като същевременно поддържа сигурността на данните.

11.4. Редовен преглед и адаптация

Процесорът трябва редовно да преглежда своите практики, за да осигури непрекъснато съответствие със специфичните изисквания на пазари като Amazon и разнообразните регулации в европейските юрисдикции. Адаптации ще бъдат направени, ако е необходимо, за да се поддържа съответствие.

12. Правно съответствие и юрисдикция

12.1. Съответствие с приложимите закони

Процесорът трябва да обработва Лични данни в пълно съответствие с всички приложими закони и регулации, включително, но не само, Общия регламент за защита на данните (GDPR) и релевантните национални закони за защита на данните.

12.2. Юрисдикция

Това Споразумение ще се управлява и тълкува в съответствие със законите на [уточнете юрисдикцията, напр. страната, където се намира централата на вашата компания]. Всички спорове, произтичащи от това Споразумение, ще се разрешават в съдилищата на [уточнете юрисдикцията].

12.3. Промени в законите

Процесорът се ангажира редовно да наблюдава промените в законите и регулациите за защита на данните и да адаптира своите практики за обработка на данни съответно, за да остане в съответствие.

Процесорът трябва да информира Контролера за всякакви значителни промени в закона или регулациите, които могат да засегнат обработката на Лични данни съгласно това Споразумение.

12.4. Сътрудничество с властите

Процесорът трябва да сътрудничи с надзорните органи в случай на разследвания или запитвания, свързани с обработката на Лични данни съгласно това Споразумение.

13. Поправки и актуализации

13.1. Право на изменение

Процесорът си запазва правото да изменя това Споразумение за обработка на данни, когато е необходимо, за да отрази промените в законовите изисквания, индустриалните стандарти или бизнес практиките.

13.2. Уведомление за изменения

Всякакви изменения на това Споразумение ще бъдат съобщени на Контролера своевременно. На Контролера ще бъде предоставен разумен период за преглед и отговор на всякакви предложени промени.

13.3. Приемане на изменения

Продължаването на използването на услугите на Процесора от Контролера след датата на влизане в сила на всякакви изменения ще представлява приемане на изменените условия.

13.4. Запис на измененията

Процесорът трябва да поддържа запис на всички изменения, направени в това Споразумение, включително дати и подробности за промените. Този запис трябва да бъде на разположение на Контролера при поискване.

Електронна търговия

Продажби през електронен магазин или маркетплейс