ДОПЪЛНЕНИЕ: СПОРАЗУМЕНИЕ ЗА ОБРАБОТКА НА ДАННИ
1. Въведение
1.1 Това споразумение за обработка на лични данни ("Споразумение за обработка на данни") урежда обработката на лични данни от името на клиент ("Администратор на данни" или „Клиент“) на 1001obuvki.com ("Обработчик на данни") и е допълнение към Общите условия за ползване на 1001obuvki.com („Услуги“), в което страните са се договорили за условията за предоставянето на Услугите с продажба на стоки от страна на 1001obuvki.com.
2. Законодателство
2.1 Споразумението за обработка на данни трябва да гарантира, че обработката на данните е в съответствие с приложимото законодателство за защита на личните данни и неприкосновеността на личния живот ("приложимото право"), включително по-специално Регламента за обща защита на данните, Регламент (ЕС) 2016/679 (GDPR).
3. Обработка на лични данни
3.1 Цел: Целта на обработката на данните е предоставянето на Услугите от обработващия данните, според Общите условия за ползване на 1001obuvki.com .
3.2 Във връзка с предоставянето на Услугите от Обработващия лични данни на Администратора на данни Обработващия данни ще обработва определени категории и типове лични данни на Администратора на данни от името на Администратора на данни.
3.3 "Лични данни" включва "всяка информация, свързана с идентифицирано или подлежащо на идентификация физическо лице", както е определено в GDPR, член 4, параграф 1, точка 1 ("Лични данни"). Категориите и типовете лични данни, обработвани от Обработващия данните от името на Администратора на данни, са изброени в поддопълнение А. Обработвателят на данни извършва само обработващи дейности, които са необходими и подходящи за изпълнение на Услугите. Страните актуализират поддопълнение А, когато възникнат промени, които налагат актуализиране.
3.4. Обработващия данни има и поддържа регистър на дейностите по обработка в съответствие с GDPR, член 32, параграф 2.
4. Инструкция
4.1 Обработващия данни може да действа и обработва личните данни само в съответствие с документираните инструкции на администратора на данни ("инструкции"), освен ако от закона не се изисква да действа без такива инструкции. Инструкцията към момента на влизане в сила на договора за обработка на данни (СПОРАЗУМЕНИЕ ЗА ОБРАБОТКА НА ДАННИ) е, че обработващия данни може да обработва личните данни само с цел предоставяне на Услугите, както е описано в Общите условия за ползване на 1001obuvki.com. При спазване на условията на това СПОРАЗУМЕНИЕ ЗА ОБРАБОТКА НА ДАННИ и с взаимно съгласие на страните администраторът на данни може да издаде допълнителни писмени указания в съответствие с условията на настоящото споразумение. Администраторът на данни е отговорен да гарантира, че всички лица, които предоставят писмени указания, са упълномощени да го направят.
4.2 Администраторът на данни гарантира обработването на лични данни в съответствие с изискванията на Законите и регламентите за защита на данните. Инструкциите на администратора на данни за обработката на лични данни трябва да са в съответствие с приложимото право. Администраторът на данни ще носи пълната отговорност за точността, качеството и законността на личните данни и средствата, чрез които са получени.
4.3 Обработвателят на данни ще информира Администраторът на данни за всяка инструкция, която смята, че е в нарушение на приложимото право и няма да изпълни инструкциите, докато не бъдат потвърдени или променени.
5. Задължения на Обработвателят на данни
5.1 Поверителност
5.1.1 Обработвателят на данни третира всички лични данни като строго поверителна информация. Личните данни не могат да се копират, прехвърлят или обработват по друг начин в противоречие с инструкциите, освен ако Администраторът на данни не е съгласен.
5.1.2 Служителите на Обработващия данни са задължени да спазват поверителност, което гарантира, че служителите третират всички лични данни съгласно това СПОРАЗУМЕНИЕ ЗА ОБРАБОТКА НА ДАННИ с пълна конфиденциалност.
5.1.3 Лични данни ще се предоставят само на персонал, който има нужда от достъп до такива Лични данни за предоставянето на Услугите и това Споразумение за обработка на данни.
5.1.4. Обработващия лични данни има право да предостави лични данни на трети лица ако това е необходимо за продоставяне на Услугите.
5.2 Обработващия лични данни също така гарантира, че служителите, обработващи личните данни, обработват само личните данни в съответствие с инструкциите.
5.3 Защита
5.3.1 Обработвателят на данни ще прилага съответните технически и организационни мерки, посочени в настоящото споразумение и в Приложимото право, включително в съответствие с GDPR, член 32. Мерките за сигурност подлежат на промяна с техническия прогрес и развитие. Обработвателят на данни може да актуализира или модифицира мерките за сигурност от време на време, при условие че тези актуализации и модификации не водят до влошаване на цялостната сигурност.
5.4 Обработвателят на данни трябва да предостави документация за мерките за сигурност на Администратора на данни в разумен срок, не по-дълъг от един месец, ако това се изисква писмено от Администратора на данни.
5.5 Оценки на въздействието за защита на данните и предварителни консултации
5.5.1 Ако помощта на Обработвателят на данни е необходима и подходяща, Обработващият данните съдейства на Администратора на данни при изготвянето на оценки по отношение на защита на данните в съответствие с GDPR, член 35, заедно с всички предварителни консултации в съответствие с GDPR, член 36.
5.6 Права на субектите на данни
5.6.1 Ако Администраторът на данни получи искане от страна на субект на данни за упражняването на правата на субекта на данни съгласно приложимото право и правилният и легитимен отговор на такова искане изисква помощта на Обработвателят на данни то Обработвателят на данни ще съдейства на Администратора на данни като предостави необходимата информация и документация. Обработвателят на данни ще разполага с разумен срок за да съдейства на Администратора на данни при такива искания в съответствие с приложимото законодателство.
5.6.2 Ако Обработващият данните получи искане от субект на данни за упражняването на правата на субекта на данни съгласно приложимото право и такава молба е свързана с личните данни на Администратора на данни, обработващият данните незабавно ще препрати искането до Администратора на данни и ще се въздържа да отговоря пряко на лицето.
5.7 Нарушаване на личните данни
5.7.1 Обработвателят на данни незабавно уведомява Администратора на данни, ако възникне нарушение, което може да доведе до случайно или незаконно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, предавани, съхранявани или обработвани Лични данни, обработвани от името на Администратора на данни ("нарушение на личните данни").
5.7.2 Обработвателят на данни ще положи разумни усилия, за да установи причината за такова нарушение и да предприеме тези стъпки, каквито сметне за необходими, за да установи причината и да предотврати повторното възникване на такова нарушение.
5.8 Документация за съответствие и одитни права
5.8.1 При поискване от Администратор на данни, Обработващият данни ще предостави на Администратора на данни цялата необходима информация, за да докаже спазването на това СПОРАЗУМЕНИЕ ЗА ОБРАБОТКА НА ДАННИ, както и да позволи и да съдейства в разумни граници за извършване одити, включително инспекции от Администратора на данни или от одитор посочен от Администратора на данни. Aдминистраторът на данни уведомява Обработчика на данни за всеки одит или документална проверка, който предстои да се извърши, и полага разумни усилия, за да избегне повреждане или смущения в помещенията, оборудването и бизнеса на Обработващия данни в хода на такъв одит или проверка. Всички одити или инспекции на документи се извършват с разумно предварително писмено предизвестие, не по-малко от 30 дни, и не могат да се извършват повече от веднъж годишно.
5.8.2 Aдминистраторът на данни може да бъде помолен да подпише споразумение за конфиденциалност, приемливо за Oбработващия данни, преди да бъде предоставенa информацията и достъпа описан по-горе.
5.9 Пренос на данни
5.9.1 Обикновено Oбработващият данни няма да прехвърля Вашите данни в страни извън Европейското икономическо пространство. В някои случаи личните данни ще бъдат запазени чрез решения за съхранение, които имат сървъри извън Европейското икономическо пространство (ЕИП), например Dropbox или Google. Ще бъдат използвани само онези решения за съхранение, които осигуряват сигурни услуги с подходящи адекватни предпазни мерки.
6. Подпроцесори
6.1 Обработвателят на данни получава общо разрешение да ангажира трети страни да обработват личните данни ("Подпроцесори"), без да получава допълнително писмено и конкретно разрешение от Администратора на данни. Обработвателят на данни информира Администратора на данни за всякакви планирани промени относно добавянето или подмяната на подпроцесори на личните данни на Администратора на данни. Ако Администраторът на данни желае да се противопостави на съответния подпроцесор, Администраторът на данните писмено уведомява Обработващия данни в рамките на пет работни дни от получаването на уведомлението от Обработващия данни. Липсата на възражения от Администратора на данните се счита за съгласие на съответния подпроцесор.
6.2 Обработвателят на данни ще попълни писмено подпроцесорно споразумение с всички подпроцесори. Такова споразумение осигурява най-малко същите задължения за защита на данните като тези, приложими за Обработващия данни, включително задълженията по това споразумение за обработка на данни. Обработвателят на данни непрекъснато наблюдава и контролира спазването от страна на подпроцесорите на приложимия закон. Документацията за такъв мониторинг и контрол се предоставя на Администратора на данни, ако това бъде поискано писмено.
6.3 Обработвателят на данни се отчита пред Администратора на данни за всеки подпроцесор по същия начин, както за собствените си действия и пропуски.
7. Възнаграждения и разходи
7.1 Администраторът на данни възнаграждава Обработващия данни въз основа на времето, прекарано в изпълнение на задълженията по раздели 5.5, 5.6, 5.7 и 5.8 на това Споразумение за обработка на данни въз основа на часовите ставки на Обработващия данни.
7.2 Обработвателят на данни също има право на възнаграждение за каквото и да е време и ресурси, използвани за адаптиране и промяна на дейностите по обработка, за да се съобразят с всички промени в инструкциите на Администратора на данни, включително разходите за изпълнение и допълнителните разходи, необходими за доставка на Услугите вследствие на промяната в инструкцията. Обработвателят на данни е освободен от отговорност за неизпълнение на основното споразумение, ако изпълнението на задълженията по основното споразумение би било в противоречие с променената инструкция или ако договореното изпълнение в съответствие с променената инструкция е невъзможно. Това може да бъде например случаят; (i) ако промените в инструкцията не могат технически или практически или законосъобразно да бъдат изпълнени; (ii) когато Администраторът на данни изрично изисква промените в инструкцията да са приложими, преди да бъдат осъществени промените; и (iii) в периода, в който основното споразумение бъде променено, за да отрази новите инструкции и търговски условия.
8. Ограничаване на отговорността
8.1 Общото съвкупно задължение към Клиента, независимо от естеството му, независимо дали е по договор, за вреди, неустойки, пропуснати ползи или по друг начин причинен от Обработвателят на данни за каквито и да е загуби и каквито и да било причини, произтичащи от или по какъвто и да е начин свързани с това споразумение, подлежат на ограничаване на Отговорност, изложена в Общите условия за ползване на 1001obuvki.com.
8.2 Нищо в това СПОРАЗУМЕНИЕ ЗА ОБРАБОТКА НА ДАННИ не премахва задълженията на Обработвателят на данни според Регламент (ЕС) 2016/679 (GDPR).
9. Продължителност
9.1 Споразумението за обработка на данни остава в сила до прекратяване на Договора за услуги.
10. Служител по защита на данните
10.1. Обработвателят на данни ще определи служител по защита на данните, когато такова определяне се изисква от законите и регламентите за защита на данните.
11. Прекратяване
11.1 След изтичане или прекратяване на Договора, обработващият данните ще изтрие или връща на Администратора на данни всички лични данни, с които разполага, както е предвидено в споразумението и вътрешните правила на Обработващия данни, освен до степента, до която от Обработващият данни се изисква от приложимото законодателство да запази някои или всички Лични данни (в такъв случай Обработващия данни ще архивира данните и ще приложи разумни мерки, за да предотврати по-нататъшната обработка на личните данни). Условията на това СПОРАЗУМЕНИЕ ЗА ОБРАБОТКА НА ДАННИ ще продължат да се прилагат към такива лични данни.
12. Контакт
12.1 Информацията за контакт на обработващия данни и администратора на данни е предоставена в Споразумението за услуги.
Поддопълнение А
1. Лични данни
1.1 Обработвателят на данни обработва следните типове Лични данни във връзка с предоставянето на своите Услуги:
1. Информация за посетителите, клиенти и администратори на Вашия онлайн магазин:
1. Потребителски имена и пароли
2. Име, пощенски и имейл адрес
3. IP адреси и бискивтки
4. Записи на действия (логове)
5. Списъци с продукти
6. Колички с продукти
7. Данъчни номера
8. Кометари за продукти и блог постове
9. Отговори на анкети, оценки на продукти и изпълнение на поръчки
10. Поръчки
11. Каквато и да е информация, която вие поискате крайните клиенти да въведат във Вашия онлайн магазин, като: ЕГН, Номер, дати на лични карти, Информация нза банкови сметки
12. Съдържание на Имейли за които вие използвате нашите сървъри за изпращане, полуъчаване или сухранение
2. Подпроцесори
2.1. Външни софтуерни поддоставчици: Upwork
2.2 Хостинг доставчици: OVH, Hetzner, ICN.bg, Vultr, Digital Ocean
2.3. Комуникационни доставчици: Microsoft
2.4. Анализ на данни: Google
3. Използвани бисквитки от 1001obuvki.com
3.1. WLID: Позволява да намерим списъците с желани продукти на клиента, запазва се 6 месеца
3.2. PCC: Позволява да намерим постоянна или изоставена количка на клиента, запазва се 6 месеца
3.3. PPLastShow: Ограничава колко често да се показват изкачащите прозорци, запазва се 2 месеца, не съдържа лични данни
3.4. PCODE: Позволява свързане към партньор и съответно ценообразуване, запазва се 90 дни
3.5. PointsReferrer: Позволява правилното възнаграждаване с бонус точки, запазва се 30 дни
3.6. MIPHPF_SESSION<номер>: Запазва идентификатора на сесията на клиента, запазва се само за текущата браузерна сесия