Споразумение за обработка на данни
Последна актуализация: 24 март 2026 г.
Моля, прочетете внимателно това споразумение, тъй като съдържа важна информация относно вашите законови права и средства за защита.
Това Споразумение за обработка на данни (“Споразумението”) е сключено между ЕВОЛОНИЯ ЕООД, дружество с ограничена отговорност, регистрирано в България, с адрес: ул. Люлебургас 3, 9704 Шумен, България (“Evolonia”) и вас (“Клиентът”), и е приложение към и допълва нашите Общи условия за ползване, Политика за поверителност и всички споразумения, уреждащи Обхванатите услуги (наричани заедно “Общите условия за ползване”).
1. ДЕФИНИЦИИ
1.1 Освен ако не е посочено друго в това Споразумение, всички термини с главни букви, които не са дефинирани в него, ще имат значението, дадено им в Общите условия за ползване.
„Обхванати услуги“ означава хоствани услуги, които могат да включват нашата Обработка на Лични данни, като: (1) Хостинг услуги, (2) VPS услуги, (3) Имейл услуги, (4) Домейн услуги.
„Данни на клиента“ означава Личните данни на всеки Субект на данни, обработвани от Evolonia в рамките на Мрежата на Evolonia от името на Клиента съгласно или във връзка с Общите условия за ползване.
„Закони за защита на данните“ означава всички закони и разпоредби за защита на данните или поверителността, приложими към Обработката на Лични данни съгласно Споразумението, включително, но не само: (i) Австралийските принципи за поверителност и Австралийския закон за поверителността (1988), (ii) Бразилския Общ закон за защита на данните (LGPD), (iii) Калифорнийския закон за защита на потребителите (CCPA), (iv) Федералния закон на Канада за защита на личната информация и електронните документи (PIPEDA), (v) ЕС GDPR, (vi) всички национални закони за защита на данните, приети съгласно или в съответствие с GDPR, (vii) Директивата на ЕС за електронна поверителност (Директива 2002/58/ЕО), (viii) Сингапурския Закон за защита на личните данни 2012 (PDPA), (ix) Швейцарския Федерален закон за защита на данните от 19 юни 1992 г. и неговия Правилник, и (x) UK GDPR или Закона за защита на данните 2018; във всеки случай, както може да бъде изменен, заменен или преработен.
„ЕИП“ означава Европейското икономическо пространство.
„ЕС GDPR“ означава Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни, и за отмяна на Директива 95/46/ЕО.
„Стандартни договорни клаузи на ЕС“ означава стандартните клаузи за защита на данните, одобрени с Решение на Европейската комисия 2021/914 от 4 юни 2021 г., включени тук чрез препратка. Модул Две (Администратор към Обработващ) и Модул Три (Обработващ към Обработващ) от Стандартните договорни клаузи на ЕС са достъпни за изтегляне на уебсайта на EUR-Lex.
„Мрежа на Evolonia“ означава съоръженията на центровете за данни на Evolonia, сървърите, мрежовото оборудване и хост софтуерните системи (напр. виртуални защитни стени), които са под контрола на Evolonia и се използват за предоставяне на Обхванатите услуги.
„Инцидент със сигурността“ означава нарушение на сигурността на Стандартите за сигурност на Evolonia, водещо до случайно или незаконно унищожаване, загуба, изменение, неразрешено разкриване на или достъп до каквито и да е Данни на клиента в системи, управлявани или контролирани от Evolonia.
„Стандарти за сигурност“ означава стандартите за сигурност, приложени към това Споразумение като Приложение 2.
„Чувствителни данни“ означава (a) номер на социална осигуровка, номер на паспорт, номер на шофьорска книжка или подобен идентификатор (или която и да е част от него); (b) номер на кредитна или дебитна карта (с изключение на съкратения (последните четири цифри) номер на кредитна или дебитна карта), финансова информация, номера на банкови сметки или пароли; (c) информация за заетост, финансова, генетична, биометрична или здравна информация; (d) расова, етническа, политическа или религиозна принадлежност, членство в профсъюз, или информация за сексуалния живот или сексуалната ориентация; (e) пароли за акаунти, моминско име на майката или дата на раждане; (f) криминално досие; или (g) всяка друга информация или комбинации от информация, които попадат в определението за „специални категории данни“ съгласно GDPR или друг приложим закон или регламент, отнасящи се до поверителност и защита на лични данни.
„Подобработващ“ означава всеки обработващ, ангажиран от Evolonia за обработка на данни от името на клиента.
„Общ регламент относно защитата на данните на Обединеното кралство (UK GDPR)“ означава Регламент (ЕС) 2016/679, изменен и включен в законодателството на Обединеното кралство съгласно Закона за оттегляне от Европейския съюз от 2018 г., и приложимите вторични законодателни актове, приети по този закон.
„Международно споразумение за трансфер на данни на Обединеното кралство“ означава Международното споразумение за трансфер на данни към Стандартните договорни клаузи на ЕС, издадено от Информационния комисар на Обединеното кралство, версия B1.0, в сила от 21 март 2022 г., включено тук чрез препратка. Международно споразумение за трансфер на данни на Обединеното кралство може да бъде изтеглено на сайта на Информационния комисар на Обединеното кралство.
1.2 Термините „лични данни“, „субект на данни“, „обработка“, „администратор“ и „обработващ“, използвани в това Допълнение, имат значенията, дадени им в Общия регламент относно защитата на данните (GDPR), независимо от това кои закони за защита на данните се прилагат.
2. ОБХВАТ НА ОБРАБОТКАТА НА ДАННИ И ВЗАИМООТНОШЕНИЯ МЕЖДУ СТРАНИТЕ
2.1 Evolonia като обработващ. Страните признават и се съгласяват, че: (i) Evolonia е обработващ лични данни на клиента съгласно законите за защита на данните; (ii) клиентът е администратор или обработващ, в зависимост от случая, на личните данни на клиента съгласно законите за защита на данните; и (iii) всяка страна ще спазва своите задължения съгласно приложимите закони за защита на данните по отношение на обработката на личните данни на клиента.
2.2 Подробности за обработката на данни. Предметът на обработката на личните данни на клиента от Evolonia е изпълнението на предоставяните услуги съгласно Условията за ползване. Evolonia ще обработва личните данни на клиента само за следните цели: (i) обработка в съответствие с Условията за ползване; (ii) обработка, инициирана от крайните потребители при използването на предоставяните услуги; (iii) обработка за спазване на други документирани, разумни инструкции, предоставени от клиента (например чрез имейл), когато такива инструкции са в съответствие с Условията за ползване. Evolonia няма да: (a) обработва, съхранява, използва, продава или разкрива личните данни на клиента, освен ако това е необходимо за предоставяне на услугите съгласно Условията за ползване или се изисква от закона; (b) продава такива лични данни на трета страна; (c) съхранява, използва или разкрива такива лични данни извън прякото бизнес взаимоотношение между Evolonia и клиента, освен ако не се изисква от закона.
За избягване на съмнения, обработката на личните данни на клиента ще бъде в съответствие с всички приложими закони за защита на данните. Клиентът носи пълна отговорност за точността, качеството и законността на личните данни на клиента и за средствата, чрез които клиентът е придобил тези данни. Ако клиентът е администратор на личните данни на клиента, той признава и се съгласява, че: (i) клиентът трябва да положи разумни усилия да информира ясно и да получи съгласие за всяко събиране, споделяне и използване на данни, което се извършва чрез предоставяните услуги; и (ii) клиентът трябва да уточни, че в резултат на използването на предоставяните услуги, данните на крайните потребители могат да бъдат обработвани извън тяхната страна на произход. Ако клиентът е обработващ личните данни на клиента, той гарантира, че инструкциите и действията на клиента по отношение на тези данни, включително назначаването на Evolonia като друг обработващ, са били одобрени от съответния администратор. Evolonia не е задължена да спазва или изпълнява инструкциите на клиента, ако такива инструкции нарушават законите за защита на данните. Продължителността на обработката, естеството и целта на обработката, видовете лични данни и категориите субекти на данни, обработвани съгласно това Допълнение, са допълнително уточнени в Приложение 1 („Подробности за обработката“) към това Допълнение.
3. КОНФИДЕНЦИАЛНОСТ НА ДАННИТЕ НА КЛИЕНТА
Evolonia няма да разкрива данните на клиента на която и да е държавна институция или на трета страна, освен ако това не е необходимо за спазване на закона или на валиден и задължителен акт на правоохранителен орган (например призовка или съдебно разпореждане). В случай че Evolonia получи валидна гражданска призовка и доколкото е позволено, Evolonia ще се опита да предостави на клиента разумно уведомление за изискването чрез електронна поща или пощенска услуга, за да му даде възможност да потърси защита или друг подходящ способ за защита на правата си (освен ако друго не е изисквано от призовката, съдебното разпореждане или друг валиден правен документ).
4. МОДЕЛ НА СПОДЕЛЕНА ОТГОВОРНОСТ ЗА СИГУРНОСТ
4.1 Evolonia е внедрила и ще поддържа техническите и организационните мерки за мрежата Evolonia, описани в тази секция и допълнително описани в Приложение 2 към този Допълнителен документ – Стандарти за сигурност. По-конкретно, Evolonia е внедрила и ще поддържа следните технически и организационни мерки, които обхващат: (i) сигурността на мрежата Evolonia; (ii) физическата сигурност на съоръженията; (iii) контрола върху достъпа на служители и подизпълнители до (i) и/или (ii); и (iv) процесите за тестване, оценка и преглед на ефективността на внедрените технически и организационни мерки. В случай че Evolonia не е в състояние да изпълни някои от своите задължения, описани тук, ще предостави писмено уведомление (чрез своя уебсайт или електронна поща) възможно най-бързо.
4.2 Evolonia предоставя редица функции и инструменти за сигурност, които клиентът може да избере да използва във връзка с обхванатите услуги. Клиентът носи отговорност за: (a) правилната конфигурация на обхванатите услуги, (b) използването на наличните контроли във връзка с обхванатите услуги (включително контроли за сигурност) за осигуряване на продължаващата конфиденциалност, интегритет, достъпност и устойчивост на системите и услугите за обработка на данни, (c) предприемането на действия, които Evolonia смята за адекватни за поддържане на подходяща сигурност, защита и изтриване на данните на клиента, включително използването на технологии за криптиране за защита на данните от неоторизиран достъп и мерки за контрол на правата за достъп до данните на клиента.
5. ПРАВА НА СУБЕКТИТЕ НА ДАННИ
Съобразявайки се с естеството на обхванатите услуги, Evolonia предоставя на клиента определени контроли, които клиентът може да избере да използва за извличане, коригиране, изтриване или ограничаване на използването и споделянето на клиентските данни, както е описано в обхванатите услуги. Клиентът може да използва тези контроли като технически и организационни мерки, които да му помогнат при изпълнението на задълженията му съгласно законите за защита на данните, включително задълженията, свързани с отговаряне на искания от субекти на данни. Evolonia, доколкото е търговски разумно и законово изисквано или позволено, ще уведоми клиента незабавно, ако Evolonia получи директно искане от субект на данни за упражняване на такива права съгласно приложимите закони за защита на данните („Искане от субект на данни“). Освен това, когато използването на обхванатите услуги от клиента ограничава възможността му да адресира искане от субект на данни, Evolonia може, ако е законово позволено и уместно и по конкретно искане на клиента, да предостави търговски разумно съдействие за разглеждане на искането за сметка на клиента (ако има такава).
6. ПОДИЗПЪЛНИТЕЛИ
6.1 Упълномощени подизпълнители. Клиентът се съгласява, че Evolonia може да използва подизпълнители за изпълнение на договорните си задължения съгласно Общите условия и този Допълнителен документ или за предоставяне на определени услуги от негово име, като например предоставяне на услуги за поддръжка. Клиентът изрично дава съгласие Evolonia да използва подизпълнители, както е описано в тази секция.
6.2 Задължения на подизпълнителите. Когато Evolonia използва упълномощени подизпълнители, както е описано в Секция 6.1:
(i) Evolonia ще ограничи достъпа на подизпълнителя до клиентските данни само до необходимото за поддържане на обхванатите услуги или за предоставянето на тези услуги на клиента и крайните потребители съгласно Общите условия. Evolonia ще забрани на подизпълнителя достъп до клиентските данни за каквато и да е друга цел;
(ii) Evolonia ще сключи писмено споразумение с подизпълнителя и, доколкото подизпълнителят изпълнява същите услуги за обработка на данни, които Evolonia предоставя съгласно този Допълнителен документ, Evolonia ще наложи на подизпълнителя задължения, които са съществено подобни на договорните задължения, които Evolonia има по този Допълнителен документ; и
(iii) Evolonia ще остане отговорна за спазването на задълженията си по този Допълнителен документ и за действията или бездействията на подизпълнителя, които водят до нарушаване на някои от задълженията на Evolonia съгласно този Допълнителен документ.
6.3 Нови подизпълнители. От време на време Evolonia може да ангажира нови подизпълнители съгласно и при условията на този Допълнителен документ. Новите подизпълнители ще бъдат добавяни към Приложение 3. Ако клиентът не одобри нов подизпълнител, той може да прекрати обхванатите услуги без санкции, като предостави писмено уведомление за прекратяване в рамките на 10 дни от получаване на известието от Evolonia, което съдържа обяснение за причините за неодобрението. Ако обхванатите услуги са част от пакетна покупка, прекратяването ще важи за целия пакет.
7. ИНЦИДЕНТ ЗА СИГУРНОСТ
7.1 Инцидент за сигурност. Ако Evolonia установи инцидент за сигурност, тя ще предприеме следните действия без неоправдано забавяне: (a) ще уведоми клиента за инцидента за сигурност; и (b) ще предприеме разумни стъпки за смекчаване на последствията и минимизиране на щетите, причинени от инцидента за сигурност.
7.2 Съдействие от Evolonia. За да подпомогне клиента във връзка с известия за нарушение на лични данни, които клиентът трябва да предостави съгласно законите за защита на данните, Evolonia ще включи в известието информация за инцидента за сигурност, която Evolonia може разумно да разкрие на клиента, като вземе предвид естеството на обхванатите услуги, наличната информация и ограниченията за разкриване на информацията, като например поверителност.
7.3 Неуспешни инциденти за сигурност. Клиентът се съгласява, че неуспешен инцидент за сигурност няма да бъде предмет на условията на този Допълнителен документ. Неуспешен инцидент за сигурност е такъв, който не води до неоторизиран достъп до данни на клиента или до мрежата, оборудването или съоръженията на Evolonia, които съхраняват данни на клиента, и може да включва, но не се ограничава до, пинг атаки, други атаки към защитни стени или сървъри, сканиране на портове, неуспешни опити за вход, атаки за отказ на услуга, прихващане на пакети (или друг неоторизиран достъп до трафични данни, който не надхвърля заглавията), или подобни инциденти.
7.4 Известяване. Известия за инциденти за сигурност, ако има такива, ще бъдат доставяни на един или повече администратори на клиента чрез метод, избран от Evolonia, включително чрез електронна поща. Отговорността на клиента е да гарантира, че администраторите му поддържат актуална контактна информация в управленската конзола на Evolonia и осигуряват сигурно предаване на данни по всяко време.
7.5 Липса на признание за вина от Evolonia: Задължението на Evolonia да докладва или отговаря на инцидент за сигурност съгласно тази секция не представлява и няма да се тълкува като признание от страна на Evolonia за вина или отговорност във връзка с инцидента за сигурност.
8. ПРАВА НА КЛИЕНТА
8.1 Независима преценка. Клиентът е отговорен за прегледа на предоставената от Evolonia информация относно сигурността на данните и стандартите за сигурност и за независима преценка дали обхванатите услуги отговарят на изискванията и законовите задължения на клиента, както и на задълженията му по този Допълнителен документ. Предоставената информация е предназначена да помогне на клиента да изпълнява задълженията си съгласно приложимите закони за защита на данните. Клиентът се съгласява, че обхванатите услуги и стандартите за сигурност, внедрени и поддържани от Evolonia, осигуряват ниво на сигурност, което е подходящо за риска за личните данни (като се вземат предвид съвременното състояние на техниката, разходите за внедряване, естеството, обхватът, контекстът и целите на обработването на лични данни, както и рисковете за индивидите).
8.2 Права на одит на клиента. Клиентът има право да потвърди спазването от страна на Evolonia на този Допълнителен документ, както е приложимо за обхванатите услуги, като направи конкретно писмено искане на адреса, посочен в Общите условия, на разумни интервали. Ако Evolonia откаже да изпълни искане за надлежен и конкретно обхванат одит или инспекция, клиентът има право да прекрати този Допълнителен документ и Общите условия.
9. ПРЕХВЪРЛЯНЕ НА ДАННИ НА КЛИЕНТА
9.1 Прилагане на стандартните договорни клаузи на ЕС. Модул 2 (Администратор към обработващ данни) или Модул 3 (Обработващ данни към обработващ данни) от стандартните договорни клаузи на ЕС ще се прилагат за данни на клиента, които се прехвърлят извън ЕИП, директно или чрез последващо прехвърляне, към държава, която не е призната от Европейската комисия за осигуряваща адекватно ниво на защита за данни на клиента. Тези стандартни договорни клаузи няма да се прилагат за данни на клиента, които не се прехвърлят извън ЕИП. Независимо от горепосоченото, тези стандартни договорни клаузи няма да се прилагат, когато данните се прехвърлят съгласно признат стандарт за съответствие за законосъобразно прехвърляне на лични данни извън ЕИП, например когато е необходимо за изпълнение на обхванатите услуги съгласно Общите условия или с вашето съгласие.
- В Клауза 7 от стандартните договорни клаузи на ЕС, опционалната разпоредба за включване няма да се прилага;
- В Клауза 9 от стандартните договорни клаузи на ЕС ще се прилага Опция 2, а срокът за предварително писмено уведомление за промени при подизпълнителите ще бъде определен в Секция 6.3 (Нови подизпълнители) на този Допълнителен документ;
- В Клауза 11 от стандартните договорни клаузи на ЕС, опционалният език е английски;
- В Клауза 17 (Опция 1) от стандартните договорни клаузи на ЕС, приложимото право ще бъде българското законодателство;
- В Клауза 18(b) от стандартните договорни клаузи на ЕС, споровете ще се решават пред съдилищата в България.
- В Приложение I, Част A на стандартните договорни клаузи на ЕС:
Списък на страните:
Експортьор на данни: Експортьорът на данни е посоченото като „Клиент“ в Допълнителния документ.
Подпис и дата: Към датата на електронното приемане на Общите условия от страна на експортера на данни, експортера се счита за подписал стандартните договорни клаузи на ЕС.
Роля: Контролиращ (в Модул Две) или Обработващ (в Модул Три).
Импортьор на данни: ЕВОЛОНИЯ ЕООД
Контактна информация: [email protected]
Подпис и дата: Към датата на електронното приемане на Общите условия от страна на експортера на данни, импортьорът се счита за подписал стандартните договорни клаузи на ЕС.
Роля: Обработващ. - в Приложение 1, част Б от стандартните договорни клаузи на ЕС:
Описание на трансфера:
Категориите субекти на данни, чиито лични данни се прехвърлят, са описани в Приложение 1 на Допълнението.
Категориите прехвърлени лични данни са описани в Приложение 1 на Допълнението. Прехвърляните чувствителни данни са описани в Приложение 1 на това Допълнение.
Честотата на прехвърляне е постоянна за срока на Общите условия.
Естеството на обработката е описано в Раздел 2.2 и Приложение 1 на Допълнението.
Целите на прехвърлянето на данни и по-нататъшната обработка са описани в Раздел 2.2 и Приложение 1 на това Допълнение.
Периодът, за който ще се съхраняват Личните данни, е описан в Приложение 1 на това Допълнение.
За трансфери към (под-) Обработващи, предметът, естеството и продължителността на Обработването са посочени в Приложение 3 към Стандартните договорни клаузи. - в Приложение 1, част C от стандартните договорни клаузи на ЕС:
Компетентен надзорен орган:
Офисът на комисаря за защита на личните данни (България) е компетентният надзорен орган. - в Приложение 2 на стандартните договорни клаузи на ЕС:
Техническите и организационни мерки за сигурност, прилагани от Вносителя на данни, са както в Приложение 2 на Допълнението. - в Приложение 3 на стандартните договорни клаузи на ЕС:
Списъкът на подпроцесорите е в Приложение 3 на това Допълнение.
9.3 Приложимост на Допълнението за международен трансфер на данни на Обединеното кралство. Допълнението за международен трансфер на данни на Обединеното кралство ще се прилага за данни на клиента, които се прехвърлят чрез обхванатите услуги от Обединеното кралство, директно или чрез последващ трансфер, към държава, която не е призната от компетентния регулаторен орган или правителствен орган на Обединеното кралство като осигуряваща адекватно ниво на защита за данните на клиента. Това допълнение няма да се прилага за данни на клиента, които не се прехвърлят извън Обединеното кралство, нито директно, нито чрез последващ трансфер. Независимо от горепосоченото, допълнението няма да се прилага, ако данните се прехвърлят в съответствие с признат стандарт за съответствие за законосъобразно прехвърляне на данни на клиента извън Обединеното кралство, като например когато това е необходимо за изпълнението на обхванатите услуги съгласно Общите условия или с вашето съгласие.
- За трансфери на данни от Обединеното кралство, които попадат под действието на Допълнението за международен трансфер на данни на Обединеното кралство, допълнението ще се счита за влязло в сила (и включено в този Допълнителен документ чрез тази препратка) и ще бъде изпълнено, както следва:
- В Таблица 1 на Допълнението за международен трансфер на данни на Обединеното кралство, данните за страните и ключовата контактна информация се намират в Раздел 9.2 (i)(f) на този Допълнителен документ.
- В Таблица 2 на Допълнението, информация за версията на стандартните договорни клаузи на ЕС, модулите и избраните клаузи, към които това допълнение е приложено, се намира в Раздел 9.2 (Стандартни договорни клаузи на ЕС) на този Допълнителен документ.
- В Таблица 3 на Допълнението:
- Списъкът на страните се намира в Раздел 9.2 (i)(f) на този Допълнителен документ.
- Описанието на трансфера е посочено в Раздел 1 (Естество и цел на обработката) на Приложение 1 (Подробности за обработката) на този Допълнителен документ.
- Приложение 2 се намира в Приложение 2 (Стандарти за сигурност) на този Допълнителен документ.
- Списъкът на подизпълнителите е в Приложение 3 на този Допълнителен документ.
- В Таблица 4 на Допълнението, както Импортьорът, така и Експортьорът могат да прекратят Допълнението съгласно неговите условия.
10. ПРЕКРАТЯВАНЕ НА ДОПЪЛНИТЕЛНИЯ ДОКУМЕНТ
Този Допълнителен документ ще остане в сила до прекратяването на нашата обработка съгласно Общите условия („Дата на прекратяване“).
11. ВРЪЩАНЕ ИЛИ ИЗТРИВАНЕ НА ДАННИ НА КЛИЕНТА
Както е описано в обхванатите услуги, на клиента могат да бъдат предоставени инструменти, които да използва за извличане или изтриване на данните на клиента. Изтриването на данните на клиента ще се осъществи тридесет (30) дни след Датата на прекратяване, съобразно условията на конкретните обхванати услуги. Клиентът потвърждава, че е негова отговорност да експортира, преди Датата на прекратяване, всички данни, които желае да запази след тази дата.
12. ОГРАНИЧЕНИЯ НА ОТГОВОРНОСТТА
Отговорността на всяка страна по този Допълнителен документ ще бъде предмет на изключенията и ограниченията на отговорност, посочени в Общите условия. Клиентът се съгласява, че всякакви регулаторни санкции, наложени на Evolonia във връзка с данните на клиента, които произтичат от или са свързани с неизпълнение на задълженията на клиента по този Допълнителен документ и приложимите закони за защита на данните, ще се считат за и ще намалят отговорността на Evolonia съгласно Общите условия, сякаш са отговорност към клиента съгласно Общите условия.
13. ЦЕЛИ НА ОБЩИТЕ УСЛОВИЯ; КОНФЛИКТ
Този Допълнителен документ отменя и заменя всички предишни или едновременни изявления, споразумения, договорености или комуникации между клиента и Evolonia, независимо дали са писмени или устни, свързани с предмета на този Допълнителен документ, включително всякакви допълнителни споразумения за обработка на данни, сключени между Evolonia и клиента във връзка с обработката на лични данни и свободното движение на такива данни. В случай на конфликт или несъответствие между стандартните договорни клаузи на ЕС или Допълнението за международен трансфер на данни на Обединеното кралство и други условия в този Допълнителен документ или Общите условия, разпоредбите на стандартните договорни клаузи на ЕС или Допълнението, когато е приложимо, ще имат предимство. С изключение на измененията, направени с този Допълнителен документ, Общите условия остават в пълна сила и действие. Ако има конфликт между Общите условия и този Допълнителен документ, условията на този Допълнителен документ ще имат предимство.
ПРИЛОЖЕНИЕ 1
ДЕТАЙЛИ ЗА ОБРАБОТКАТА
- Естество и цел на обработката. Evolonia ще обработва данните на клиента, когато е необходимо, за да предостави обхванатите услуги съгласно Общите условия, както и съгласно допълнителните инструкции на клиента по време на използването на обхванатите услуги.
- Продължителност на обработката. Съобразно Раздели 10 и 11 на този Допълнителен документ, Evolonia ще обработва данните на клиента през срока на действие на Общите условия. Независимо от горепосоченото, Evolonia може да запази данните на клиента или част от тях, ако това се изисква от приложимите закони или регулации, включително закони за защита на данните, при условие че тези данни остават защитени в съответствие с условията на този Допълнителен документ и приложимите закони за защита на данните.
- Категории на субектите на данни. Клиентът може да качва лични данни при използването на обхванатите услуги, като обхватът и видът на тези данни се определят и контролират изцяло от клиента и могат да включват, но не се ограничават до лични данни, свързани със следните категории субекти на данни:
- Потенциални клиенти, клиенти, бизнес партньори и доставчици на клиента (които са физически лица);
- Служители или контактни лица на потенциални клиенти, клиенти, бизнес партньори и доставчици на клиента;
- Служители, агенти, консултанти, фрийлансъри на клиента (които са физически лица);
- Потребители на клиента, упълномощени от клиента да използват обхванатите услуги.
- Категории лични данни. Клиентът може да качва лични данни при използването на обхванатите услуги, като видът и обхватът на тези данни се определят и контролират изцяло от клиента и могат да включват, но не се ограничават до следните категории лични данни за субектите на данни:
- Име
- Адрес
- Телефонен номер
- Дата на раждане
- Имейл адрес
- Други данни, събирани, които могат директно или индиректно да идентифицират субектите на данни.
- Чувствителни данни или специални категории данни. Клиентът може да качва чувствителни данни при използването на обхванатите услуги, като видът и обхватът на тези данни се определят и контролират изцяло от клиента. Клиентът носи отговорност за прилагането на ограничения или мерки за защита, които напълно отчитат естеството на данните и свързаните с тях рискове, преди предаването или обработката на каквито и да било чувствителни данни чрез обхванатите услуги.
ПРИЛОЖЕНИЕ 2
СТАНДАРТИ ЗА СИГУРНОСТ
- Технически и организационни мерки
Ние се ангажираме да защитаваме информацията на нашите клиенти. Като вземаме предвид най-добрите практики, разходите за изпълнение, както и естеството, обхвата, обстоятелствата и целите на обработката, както и вероятността и сериозността на риска за правата и свободите на физическите лица, прилагаме следните технически и организационни мерки. При избора на тези мерки се отчитат конфиденциалността, интегритетът, наличността и устойчивостта на системите. - Програма за защита на данните
Нашата програма за защита на данните е създадена, за да осигури глобална структура за управление на данните и сигурност на информацията през целия й жизнен цикъл. Редовно тестваме, оценяваме и преглеждаме ефективността на програмата за защита на данните и стандартите за сигурност.
Използваме различни физически и логически мерки за защита на личните данни на клиентите:
- Физическа сигурност
- Системи за контрол на физическия достъп (контрол на достъпа чрез значки, мониторинг на събития и др.)
- Системи за наблюдение, включително аларми и видеонаблюдение (CCTV), ако е необходимо
- Унищожаване на физически документи (например чрез шредиране)
- Контрол на достъпа и предотвратяване на неоторизиран достъп
- Ограничения на потребителския достъп и разрешения, базирани на роли
- Силни методи за автентификация и разрешаване на достъп
- Централизирано управление на пароли с изисквания за сложност и редовно обновяване
- Контролиран достъп до електронна поща и интернет
- Управление на антивирусна защита
- Криптиране
- Криптиране на вътрешна и външна комуникация с използване на силни криптографски протоколи
- Криптиране на лични данни в покой (бази данни, директории и др.)
- Пълно дисково криптиране на служебни компютри и лаптопи
- Отдалечените връзки се защитават чрез VPN
- Минимизиране на данни
- Минимизиране на лични данни в логовете за приложения и сигурност
- Псевдонимизация на лични данни за предотвратяване на директна идентификация
- Сегрегация на данни по функция (тестови, продуктивни и др. среди)
- Логическо разделение на данни по права на достъп
- Определени периоди за съхранение на данни
- Тестване на сигурността
- Провеждане на Penetration Testing за критични мрежи и платформи
- Редовни мрежови и уязвимости сканирания
Поддържаме интегритета на личните данни чрез:
- Управление на промени и издания
- Процеси за оценка, одобрение, тестване и мониторинг на промени
- Достъп, базиран на роли и функции
- Логване и мониторинг
- Логване на достъпа и промените върху данните
- Централизирани дневници за сигурност
- Мониторинг на целостта на данните при трансфер
Мерките включват:
- Редовни тестове за устойчивост и наличност
- Задълбочен мониторинг на производителност/наличност и докладване за критични системи
- Програма за реакция при инциденти
- Репликации и резервни копия на критични данни
- Обновяване на софтуер и сигурност
- Използване на непрекъсваеми захранвания (UPS), системи за охлаждане, противопожарни системи
- Изградена аларма, охранителна система
- Въведени мерки за физическа защита за критични обекти (защита от пренапрежение, повдигнати подове, охладителни системи, детектори за пожар и/или дим, системи за гасене на пожар и др.)
- DDoS защита
- Тестване на натоварване и стрес
Поддържаме:
- Политики за поверителност и клаузи в договорите на служителите
- Обучения за защита на данни
- Подходящи договорни разпоредби към споразуменията с подизпълнители за запазване на правата за контрол върху инструкциите
- Проверки на външни доставчици
- Пълен контрол на клиента върху предпочитанията за обработка
ПРИЛОЖЕНИЕ 3
ПОДИЗПЪЛНИТЕЛИ
- Stripe, Inc.
- Crisp IM SAS