01Страни и роли
Администратор на лични данни е организацията — клиент, на която е предоставен достъп до платформата EqualPay („Клиентът", „Администраторът").
Обработващ лични данни е Адвокатско дружество „Димитрова, Чолаков и Партньори" (Innovires), ЕИК/БУЛСТАТ 204566706, гр. София, бул. „Витоша" № 25, ет. 2 („Доставчикът", „Обработващият").
Настоящото споразумение е неразделна част от Условията за ползване и се прилага към всяка обработка на лични данни, която Обработващият извършва от името на Администратора чрез Платформата. По отношение на обработката, за която Доставчикът е самостоятелен администратор, се прилага Политиката за поверителност.
02Предмет, срок и характер на обработката
Предмет: обработка на лични данни на служители и работници на Администратора за целите на анализа на разликите в заплащането, оценката на длъжности и изготвянето на справки и отчети в подкрепа на съответствието с Директива (ЕС) 2023/970 и транспониращото я национално законодателство.
Характер на обработката: събиране, структуриране, съхранение, анализ, агрегиране, справки и изтриване, извършвани чрез Платформата.
Срок: за срока на предоставения достъп до Платформата, до изтриването или връщането на данните по раздел 13.
03Категории данни и субекти
Обработват се следните категории данни и субекти:
| Субекти | Категории данни |
|---|---|
| Служители и работници на Администратора | идентификационни данни, длъжност, отдел, пол, дата на постъпване, код по НКПД, грейд, работно време (ФТЕ), основно възнаграждение, допълнителни възнаграждения и придобивки, данни от длъжностни характеристики |
| Лица за контакт и потребители на Администратора | име, имейл, телефон, длъжност, роля в Платформата |
Администраторът се задължава да не въвежда в Платформата специални категории данни по чл. 9 GDPR (извън данните за пол), ЕГН, данни за здравословно състояние или данни, които не са необходими за целите по т. 2.1. Поле „пол" се обработва единствено доколкото е необходимо за анализа по Директива (ЕС) 2023/970.
04Инструкции на Администратора
Обработващият обработва данните само по документирани инструкции на Администратора, включително относно предаването на данни на трета държава, освен ако обработката се изисква от правото на ЕС или на държава членка — в който случай Обработващият уведомява Администратора преди обработката, освен ако това е забранено от закона.
Конфигурирането и използването на функционалностите на Платформата от Администратора и неговите потребители съставлява документирана инструкция. Обработващият уведомява незабавно Администратора, ако по негова преценка дадена инструкция нарушава GDPR или друга разпоредба за защита на данните, и може да спре изпълнението ѝ до потвърждение.
05Задължения на Обработващия
Обработващият:
- гарантира, че лицата, оправомощени да обработват данните, са поели задължение за поверителност или са обвързани от законово задължение за поверителност (включително адвокатска тайна);
- прилага мерките за сигурност по раздел 7 (чл. 32 GDPR);
- спазва условията за ангажиране на подизпълнители по раздел 8;
- съдейства на Администратора съгласно раздел 10;
- изтрива или връща данните съгласно раздел 13;
- предоставя на Администратора информацията, необходима за доказване на изпълнението на чл. 28 GDPR, при условията на раздел 12.
06Поверителност
Обработващият третира всички лични данни, обработвани от името на Администратора, като строго конфиденциални. Достъп до тях имат само лица на принципа „необходимост да се знае" — за предоставяне на услугата, поддръжка и сигурност на Платформата, както и ангажираните Партньори в обема по т. 8.4.
07Мерки за сигурност
Като взема предвид достиженията на техническия прогрес, разходите, естеството, обхвата, контекста и целите на обработката, както и рисковете, Обработващият прилага, наред с други, следните мерки:
- криптиране на данните при пренос (TLS) и в покой (AES-256);
- Row Level Security на ниво база данни — пълна изолация на данните между клиентите;
- ролеви контрол на достъпа (RBAC) и персонални акаунти с достъп по покана;
- одитни записи на действията в Платформата;
- редовни резервни копия с възстановяване към момент (Point-in-Time Recovery);
- наблюдение на грешки и инциденти; при запис на сесия за диагностика текстовото съдържание се маскира;
- периодичен преглед на мерките и тестване на уязвимости.
08Подизпълнители
Администраторът дава общо разрешение по чл. 28, пар. 2 GDPR за ангажирането на подизпълнители. Към датата на влизане в сила одобрени са:
| Подизпълнител | Услуга | Локация на обработката |
|---|---|---|
| Supabase | база данни, автентикация, съхранение на файлове | ЕС — Франкфурт, Германия |
| Vercel Inc. | хостинг и изпълнение на приложението | регион ЕС — Франкфурт (дружество от САЩ; EU—US DPF) |
| Brevo | системни и транзакционни имейли | ЕС — Франция |
| Sentry (Functional Software, Inc.) | наблюдение на грешки, включително маскиран запис на сесия при грешка | ЕС/САЩ (EU—US DPF / СДК по чл. 46 GDPR) |
Обработващият уведомява Администратора за планирано добавяне или замяна на подизпълнител най-малко 14 дни предварително чрез имейл или известие в Платформата. Администраторът може да възрази писмено в този срок на разумни, свързани със защитата на данните основания. При невъзможност за разрешаване на възражението всяка от страните може да прекрати засегнатата услуга, без това да съставлява неизпълнение.
Обработващият налага на всеки подизпълнител същите задължения за защита на данните като предвидените в настоящото споразумение и остава изцяло отговорен пред Администратора за изпълнението на задълженията на подизпълнителя.
Партньори по смисъла на Условията за ползване, които участват в предоставянето на Услугите, получават достъп само до минимално необходимите данни при писмени задължения за поверителност и защита на данните и се считат за подизпълнители по настоящия раздел, за които се прилага редът по т. 8.2.
09Предаване извън ЕС/ЕИП
Данните се съхраняват и обработват на територията на Европейския съюз: базата данни и файловете — във Франкфурт, изпълнението на приложението — в регион ЕС (Франкфурт), системните имейли — във Франция. Доколкото отделен подизпълнител е дружество, установено в САЩ, или ограничени технически данни могат да бъдат обработени извън ЕС/ЕИП, предаването се основава на решение за адекватност на Европейската комисия (Рамката за защита на личните данни ЕС—САЩ) или на стандартни договорни клаузи по чл. 46 GDPR, заедно с допълнителни технически мерки.
10Съдействие на Администратора
Като взема предвид естеството на обработката, Обработващият съдейства на Администратора с подходящи технически и организационни мерки за изпълнение на задължението му да отговаря на искания на субектите на данни по глава III от GDPR. Искания на субекти, получени директно от Обработващия, се препращат на Администратора без неоправдано забавяне.
Обработващият съдейства на Администратора за изпълнение на задълженията по чл. 32—36 GDPR (сигурност, уведомяване при нарушения, оценка на въздействието и предварителни консултации), като взема предвид естеството на обработката и наличната му информация.
11Уведомяване при нарушение на сигурността
При установяване на нарушение на сигурността на личните данни, засягащо данни на Администратора, Обработващият го уведомява без неоправдано забавяне, като се стреми да направи това в рамките на 48 часа от установяването. Уведомлението съдържа наличната информация за естеството на нарушението, засегнатите категории данни и субекти, вероятните последици и предприетите или предлаганите мерки.
Информацията може да бъде предоставяна поетапно, доколкото не е налична изцяло към момента на първото уведомление. Уведомлението по този раздел не съставлява признание на отговорност.
12Одити и проверки
Обработващият предоставя на Администратора информацията, необходима за доказване на изпълнението на задълженията по чл. 28 GDPR — по правило чрез актуални описания на мерките за сигурност, доклади, сертификати или одитни доклади на трети лица, ако са налични.
Администраторът има право на одит (включително проверка на място) не повече от веднъж на 12 месеца, с писмено предизвестие от най-малко 30 дни, в работно време, за своя сметка, чрез лица, обвързани със задължение за поверителност, без достъп до данни на други клиенти, до търговски тайни на Обработващия или до информация, защитена от адвокатска тайна. Допълнителен одит е допустим след установено нарушение на сигурността, засягащо данните на Администратора, или по задължително указание на надзорен орган.
13Изтриване и връщане на данните
В 30-дневен срок от прекратяването на достъпа до Платформата Администраторът може да поиска експорт на данните в общоприет машинночетим формат. Обработващият изтрива или анонимизира личните данни не по-късно от 30 дни след изтичането на този срок и заличава съществуващите копия, освен доколкото правото на ЕС или българското право изисква по-дълго съхранение или данните са необходими за установяването, упражняването или защитата на правни претенции.
Данни в резервни копия се заличават по установения цикъл на ротация на копията, като до заличаването остават защитени от мерките по раздел 7 и не се използват за други цели.
14Отговорност и заключителни разпоредби
За отговорността на Обработващия по настоящото споразумение се прилагат ограниченията по раздел 16 от Условията за ползване, доколкото императивна правна норма, включително чл. 82 GDPR по отношение на субектите на данни, не предвижда друго.
При противоречие между настоящото споразумение и Условията за ползване по въпроси на обработката на лични данни предимство има споразумението. Изменения се извършват по реда, предвиден за изменение на Условията за ползване.
За неуредените въпроси се прилагат GDPR, Законът за защита на личните данни и българското право. Компетентен е българският съд по седалището на Обработващия.
Контакт по въпроси за обработката на данни
Адвокатско дружество „Димитрова, Чолаков и Партньори" (Innovires) · гр. София, бул. „Витоша" № 25, ет. 2
Имейл: cholakov@innovires.com · Тел.: 0888 787 414