Споразумение за обработване на лични данни
Ползвателят, както е идентифициран при регистрацията за ползване на платформата, уебсайтовете и свързаните услуги на „1клуб“ ЕООД, в качеството му на Администратор на лични данни („Ползвател” или „Администратор"), и
„1клуб“ ЕООД, ЕИК 208644166, дружество, учредено и съществуващо съгласно законодателството на Република България, със седалище и адрес на управление: бул. "Цар Освободител" № 10, ет. 3, гр. София, 1000, България, действащо в качеството на Обработващ лични данни ("1club", „ние“ или "Обработващ"),
наричани по-нататък заедно "Страните" и поотделно "Страна",
като взеха предвид, че:
(А) Ползвателят използва платформата 1club ("Услугата"), достъпна на адрес 1club.ai и свързаните мобилни приложения, за управление на фитнес/спортни обекти, включително управление на членства, резервации, графици, плащания и комуникация с крайни потребители - членове на Ползвателя;
(Б) Във връзка с предоставянето на Услугата, 1club обработва лични данни на крайните потребители (членове) на Ползвателя от името на Ползвателя и съгласно неговите документирани инструкции;
(В) Страните желаят да уредят условията за обработване на лични данни в съответствие с изискванията на чл. 28 от Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните, "ОРЗД") и Закона за защита на личните данни на Република България;
(Г) Страните желаят да сключат настоящото Споразумение за обработване на лични данни („Споразумение“), уреждащо условията за обработване на Лични данни на Ползвателя от Обработващия във връзка с предоставянето на Услугата.
СТРАНИТЕ СЕ СПОРАЗУМЯХА ЗА СЛЕДНОТО:
1. ОПРЕДЕЛЕНИЯ
В настоящото Споразумение, следните термини означават:
"Администратор на лични данни" или „Администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка. В контекста на настоящото Споразумение, Администратор е Ползвателя.
"Лични данни" означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано (субект на данни); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.
"Лични данни на Ползвателя” означава Личните данни, обработвани от 1club от името на Ползвателя във връзка с предоставянето на Услугата, както е описано в Приложение 1.
"Нарушение на сигурността на личните данни" означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин.
"Обработване" означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
“Обработващ лични данни” или “Обработващ” означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора. В контекста на настоящото Споразумение, Обработващият е 1club ЕООД.
"ОРЗД" означава Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни.
"Подобработващ" означава всяко трето лице, наето от Обработващия за извършване на конкретни дейности по обработване от името на Администратора.
"Приложимо законодателство за защита на данните" означава ОРЗД, Закона за защита на личните данни на Република България и всички други приложими нормативни актове на ЕС и/или на държавите членки на ЕС в областта на защитата на личните данни.
“Специални категории лични данни” означава лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице.
"Субект на данни" означава идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.
"Стандартни договорни клаузи" или "СДК" означава стандартните договорни клаузи, одобрени от Европейската комисия, които се прилагат за предаване на лични данни към Трети държави.
„Трета държава" означава държава извън Европейското икономическо пространство (ЕИП).
„Услуга" означава платформата 1club, достъпна на адрес 1club.ai и свързаните мобилни приложения, за управление на фитнес/спортни обекти, включително управление на членства, резервации, графици, плащания и комуникация с крайни потребители - членове на Ползвателя.
2. ОБХВАТ.
2.1. Настоящото Споразумение урежда обработването на Лични данни на Ползвателя от 1club във връзка с предоставянето на Услугата.
2.2. В случай на противоречие между разпоредбите на настоящото Споразумение и друг договор или споразумение между Страните по отношение на защитата на личните данни, разпоредбите на настоящото Споразумение имат предимство.
2.3. Настоящото Споразумение не се прилага за обработването, при което 1club действа като самостоятелен Администратор на лични данни.
3. СКЛЮЧВАНЕ НА СПОРАЗУМЕНИЕТО
3.1. Със създаване на регистриран профил в 1club.ai, попълване на данните в заявката за ползване на Услугата за идентификация на Ползвателя (имена и адрес за физическите лица; наименование, ЕИК и имена на представителя за юридическите лица) и поставяне на съответната задължителна отметка за съгласие с настоящото Споразумение:
3.1.1. Вие (като физическо лице), или представляваното от Вас юридическо лице, сключвате с 1club „Споразумение за обработване на лични данни“, което се прилага, когато ние обработваме лични данни, предоставени ни от Вас в качеството на Администратор на тези лични данни.
3.1.2. Вие декларирате, че разполагате с надлежна представителна власт за сключване на настоящото Споразумение от името и за сметка на юридическо лице – Ползвател.
4. РОЛИ НА СТРАНИТЕ
4.1. По отношение на Личните данни на Ползвателя, Ползвателят действа като Администратор, а 1club действа като Обработващ.
4.2. Ползвателят потвърждава, че е отговорен за спазването на задълженията си като Администратор съгласно Приложимото законодателство за защита на данните, включително за осигуряване на правно основание за обработването, предоставяне на информация на субектите на данни и получаване на необходимите съгласия (включително родителско съгласие за лица под 14-годишна възраст, когато е приложимо).
5. ЗАДЪЛЖЕНИЯ НА АДМИНИСТРАТОРА И ИНСТРУКЦИИ
5.1. Администраторът дава инструкции на Обработващия относно обработването на Лични данни на Ползвателя в съответствие с Приложимото законодателство за защита на данните.
5.2. Инструкциите на Администратора към Обработващия се считат документирани чрез: (а) настоящото Споразумение и приложенията към него; и (б) използването на функционалностите на Услугата от Администратора.
5.3. Администраторът гарантира, че обработването на Лични данни на Ползвателя, за което е инструктирал Обработващия, е законосъобразно и има валидно правно основание.
6. ЗАДЪЛЖЕНИЯ НА ОБРАБОТВАЩИЯ
6.1. Обработващият обработва Личните данни на Ползвателя единствено въз основа на документирани инструкции на Администратора, включително по отношение на предаването на лични данни към Трета държава или международна организация, освен когато това се изисква от правото на ЕС или правото на държава членка, което се прилага спрямо Обработващия - в такъв случай Обработващият информира Администратора за това правно изискване преди обработването, освен ако съответното право забранява такова информиране на важни основания от обществен интерес.
6.2. Обработващият уведомява незабавно Администратора, ако по негова преценка дадена инструкция нарушава ОРЗД или друго Приложимо законодателство за защита на данните.
6.3. Обработващият обработва Личните данни на Ползвателя единствено за целите на предоставяне на Услугата, както е описано в Приложение 1, и не обработва Личните данни на Ползвателя за собствени цели.
7. ПОВЕРИТЕЛНОСТ
7.1. Обработващият гарантира, че лицата, оправомощени да обработват Личните данни на Ползвателя, са поели задължение за поверителност.
7.2. Обработващият гарантира, че достъпът до Лични данни на Ползвателя е ограничен до онези служители и лица, които имат нужда от достъп за изпълнение на задълженията по настоящото Споразумение.
8. СИГУРНОСТ НА ОБРАБОТВАНЕТО
8.1. Като взема предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, Обработващият прилага подходящи технически и организационни мерки, за да осигури ниво на сигурност, съответстващо на риска.
8.2. Конкретните технически и организационни мерки, прилагани от Обработващия, са описани в Приложение 2 към настоящото Споразумение като при необходимост се актуализират.
9. ПОДОБРАБОТВАЩИ
9.1. Администраторът предоставя на Обработващия общо писмено разрешение за ангажирането на Подобработващи за целите на предоставяне на Услугата.
9.2. Списъкът на одобрените Подобработващи към датата на настоящото Споразумение е посочен в Приложение 3.
9.3. Обработващият уведомява Администратора за всяко планирано добавяне или замяна на Подобработващ не по-малко от 30 дни преди планираната промяна, като предоставя достатъчна информация за новия Подобработващ.
9.4. Администраторът има право да възрази срещу ангажирането на нов Подобработващ в срок от 30 дни от получаване на уведомлението. Възражението трябва да бъде обосновано и свързано със защитата на личните данни. В случай на основателно възражение, Страните полагат разумни усилия за намиране на взаимно приемливо решение. Ако такова решение не може да бъде постигнато, Администраторът има право да прекрати Споразумението в частта, засегната от промяната.
9.5. Обработващият сключва писмен договор с всеки Подобработващ, който налага на Подобработващия същите задължения за защита на данните, каквито са предвидени в настоящото Споразумение. Обработващият остава изцяло отговорен пред Администратора за изпълнението на задълженията на Подобработващия.
10. ПРАВА НА СУБЕКТИТЕ НА ДАННИ
10.1. Като взема предвид естеството на обработването, Обработващият подпомага Администратора чрез подходящи технически и организационни мерки, доколкото това е възможно, за изпълнение на задължението на Администратора да отговаря на искания за упражняване на правата на субектите на данни, предвидени в Глава III от ОРЗД.
10.2. Обработващият уведомява Администратора без неоправдано забавяне при получаване на искане от субект на данни, отнасящо се до Лични данни на Ползвателя, и не отговаря самостоятелно на такова искане, освен ако не е изрично упълномощен от Администратора.
11. ПОДПОМАГАНЕ НА АДМИНИСТРАТОРА
11.1. Като взема предвид естеството на обработването и наличната информация, Обработващият подпомага Администратора при осигуряването на спазването на задълженията по чл. 32-36 от ОРЗД, включително задължението за прилагане на подходящи мерки за сигурност (чл. 32), задължението за уведомяване на надзорния орган при нарушение на сигурността на личните данни (чл. 33), задължението за уведомяване на субектите на данни при висок риск (чл. 34), извършването на оценки на въздействието върху защитата на данните (чл. 35) и предварителната консултация с надзорния орган (чл. 36), когато е приложимо.
12. УВЕДОМЯВАНЕ ПРИ НАРУШЕНИЕ НА СИГУРНОСТТА НА ЛИЧНИТЕ ДАННИ
12.1. Обработващият уведомява Администратора без неоправдано забавяне и не по-късно от 24 (двадесет и четири) часа след като узнае за Нарушение на сигурността на личните данни, засягащо Лични данни на Ползвателя.
12.2. Уведомлението съдържа най-малко:
(а) описание на естеството на нарушението, включително, когато е възможно, категориите и приблизителния брой на засегнатите субекти на данни и записи;
(б) описание на вероятните последици от нарушението;
(в) описание на предприетите или предложените мерки за справяне с нарушението и за ограничаване на евентуалните неблагоприятни последици;
(г) данни за контакт на лицето, от което може да бъде получена допълнителна информация.
12.3. Обработващият сътрудничи с Администратора и предприема разумни мерки за подпомагане на разследването, ограничаването и отстраняването на последиците от нарушението.
12.4. Уведомяването или съдействието от страна на Обработващия не представлява признание за вина или отговорност за неизпълнение на задълженията, съгласно настоящото Споразумение.
12.5. При Нарушение на сигурността на личните данни, което може да породи висок риск за правата и свободите на физическите лица, Обработващият подпомага Администратора при уведомяване на засегнатите субекти на данни съгласно чл. 34 от ОРЗД, включително чрез предоставяне на наличната информация за контакт със засегнатите субекти на данни, съдействие при изготвяне на уведомления и осигуряване на комуникационни канали за целите на уведомяването, доколкото Обработващият разполага с такива.
13. ИЗТРИВАНЕ ИЛИ ВРЪЩАНЕ НА ДАННИ
13.1. При прекратяване или изтичане на срока на договорните отношения за ползване на Услугата, по избор на Администратора, Обработващият изтрива или връща на Администратора всички Лични данни на Ползвателя и изтрива съществуващите копия, освен ако правото на ЕС или правото на държава членка изисква съхранение на личните данни.
13.2. Ако Администраторът не даде изрична инструкция в срок от един месец от прекратяването на договорните отношения за ползване на Услугата, Обработващият изтрива Личните данни на Ползвателя, включително всички копия.
13.3. Задължението за изтриване не се прилага по отношение на данни, чието съхранение се изисква от приложимото законодателство.
14. ОДИТ
14.1. Обработващият предоставя на Администратора цялата необходима информация за доказване на спазването на задълженията по чл. 28 от ОРЗД и дава възможност и допринася за извършването на одити, включително проверки, провеждани от Администратора или от одитор, упълномощен от Администратора.
14.2. Администраторът уведомява Обработващия за планиран одит не по-малко от 30 (тридесет) дни предварително, освен в случаите, когато одитът се изисква от надзорен орган или е във връзка с нарушение на сигурността.
14.3. Одитите се провеждат по време на нормалното работно време, по начин, който не нарушава неоправдано дейността на Обработващия, и при спазване на задължения за поверителност.
14.4. Обработващият може да удовлетвори искания за одит чрез предоставяне на актуални сертификати, доклади от одити на трети страни или друга подходяща документация, доколкото тези документи покриват обхвата на исканата проверка. В тези случаи одит на място при Администратора не се провежда.
15. МЕЖДУНАРОДЕН ТРАНСФЕР НА ЛИЧНИ ДАННИ
15.1. Обработващият не предава Лични данни на Ползвателя към Трета държава или международна организация, освен ако не са спазени условията на Глава V от ОРЗД, включително наличие на едно от следните:
(а) наличие на решение за адекватност от Европейската комисия по отношение на приемащата държава;
(б) предоставяне на подходящи гаранции чрез Стандартни договорни клаузи, одобрени от Европейската комисия;
(в) одобрени кодекси за поведение или механизми за сертифициране; или
(г) друго основание, допустимо по чл. 49 от ОРЗД.
15.2. Когато предаването се основава на Стандартни договорни клаузи, Обработващият извършва оценка на въздействието на предаването (Transfer Impact Assessment) и прилага допълнителни мерки, когато е необходимо, за осигуряване на равностойно ниво на защита. Обработващият информира Администратора за всяко ново предаване на данни към Трета държава преди неговото осъществяване.
16. ЗАПИСИ И СЪОТВЕТСТВИЕ
16.1. Обработващият поддържа регистър на дейностите по обработване, извършвани от името на Администратора.
16.2. При поискване, Обработващият предоставя на Администратора информация относно мерките за сигурност, Подобработващите и другите аспекти на обработването, необходими за доказване на съответствие с Приложимото законодателство за защита на данните.
17. ОТГОВОРНОСТ
17.1. Обработващият обезщетява Администратора за всички пряко претърпени вреди и разумни разноски, доколкото произтичат от нарушение от страна на Обработващия на задълженията му по настоящото Споразумение или Приложимото законодателство за защита на данните, или от обработване извън или в противоречие с писмени инструкции на Администратора. Настоящата клауза урежда единствено вътрешните отношения между страните и не ограничава правата на субектите на данни и правомощията на надзорните органи, произтичащи от Приложимото законодателство за защита на данните.
18. СРОК И ПРЕКРАТЯВАНЕ
18.1. Настоящото Споразумение влиза в сила от датата на неговото сключване, съгласно т. 3.1. по-горе, като остава в сила за целия период, през който Обработващият обработва Лични данни на Ползвателя във връзка с предоставянето на Услугата.
18.2. Всяка Страна може да прекрати настоящото Споразумение с писмено предизвестие от 30 (тридесет) дни до другата Страна в случай на преустановяване на ползването на Услугата от Ползвателя. Прекратяването е при спазване на задълженията за изтриване или връщане на данни и задълженията за поверителност, които остават в сила и след прекратяването.
18.3. Администраторът има право да прекрати настоящото Споразумение с незабавно действие, ако Обработващият съществено наруши задълженията си по настоящото Споразумение или Приложимото законодателство за защита на данните и не отстрани нарушението в срок от 30 (тридесет) дни от получаване на писмено уведомление.
18.4. С прекратяването на настоящото Споразумение се прекратява и договора за предоставяне на Услугата.
19. ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ
19.1. Обработващият може едностранно да измени, или допълни Споразумението, като изпрати писмено уведомление до Администратора, в което се посочва съдържанието на изменението, основанието за извършването му и датата, от която изменението влиза в сила, която е най-малко след тридесет (30) календарни дни, считано от уведомлението. В случай, че Администраторът не е съгласен с едностранното изменение и/или допълнение, има право да прекрати договора с писмено уведомление до Обработващия, изпратено преди датата на влизане в сила на изменението. В случай, че Администраторът не упражни правото си на прекратяване в този срок и продължи да изпълнява или ползва договора след датата на влизане в сила на изменението, изменението се счита за прието, става задължително за Страните и неразделна част от настоящото Споразумение.
19.2. Ако отделна разпоредба на настоящото Споразумение бъде обявена за недействителна или неприложима, останалите разпоредби запазват действието си.
19.3. Настоящото Споразумение се урежда от законодателството на Република България. Всички спорове, произтичащи от или във връзка с настоящото Споразумение, се разрешават от компетентния съд в гр. София, Република България.
19.4. Нито една Страна няма право да прехвърля или преотстъпва правата или задълженията си по настоящото Споразумение на трети лица без предварителното писмено съгласие на другата Страна.
19.5. Настоящото Споразумение, заедно с приложенията към него, представлява пълното споразумение между Страните относно предмета му и замества всички предшестващи устни или писмени договорки, преговори и споразумения между Страните относно обработването на лични данни.
19.6. Писмените изявления и съобщения, съгласно настоящото Споразумение се считат за валидно извършени, ако са направени под формата на съобщения по електронна поща, натискане на електронен бутон или отметка в платформата, доколкото изявлението е технически записано по начин, който дава възможност да бъде възпроизведено. В отношенията между Страните усъвършенстваният и обикновеният електронен подпис имат правното действие на саморъчен подпис и обвързват Страните с направените електронни волеизявления.
19.7. Всички уведомления и съобщения по настоящото Споразумение се изпращат на адреса на електронна поща, свързан с профила на Ползвателя за ползване на Услугата, съответно на адреса на електронна поща на Обработващия, посочен на 1club.ai. Съобщенията се считат за получени от момента на изпращането им. Всяка Страна е длъжна да осигури, че данните за контакт, свързани с профила или платформата, са актуални.
ПРИЛОЖЕНИЕ 1
ОПИСАНИЕ НА ОБРАБОТВАНЕТО
1. Предмет на обработването:
Обработване на лични данни на крайните потребители (членове) на Ползвателя във връзка с предоставянето на Услугата за управление на фитнес/спортни обекти чрез платформата 1club.
2. Продължителност на обработването:
За целия срок на действие на договорните отношения за ползване на Услугата между Ползвателя и 1club, включително периода за изтриване на данни след прекратяване.
3. Естество на обработването:
Събиране, записване, организиране, структуриране, съхранение, адаптиране, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване, комбиниране, ограничаване, изтриване и унищожаване на лични данни чрез автоматизирани средства.
4. Цели на обработването:
- Управление на членства и абонаменти;
- Управление на графици и резервации;
- Обработване на плащания и фактуриране;
- Изпращане на известия и комуникация с членове;
- Генериране на отчети и анализи;
- Поддръжка на уебсайт, клиентски портал и мобилно приложение;
- Изпращане на маркетингови съобщения;
- AI-асистенти и автоматизация;
- Техническа поддръжка на Услугата.
5. Категории субекти на данни:
- Членове (крайни потребители) на Ползвателя;
- Непълнолетни лица (когато е приложимо, при наличие на родителско съгласие);
- Служители/инструктори на Ползвателя;
- Контактни лица на Ползвателя.
6. Категории лични данни:
- Идентификационни данни: име, електронна поща, телефонен номер;
- Демографски данни: възраст, дата на раждане;
- Данни за членство: статус, абонамент, произход на акаунт;
- Данни за посещения и резервации;
- Данни за плащания;
- Предпочитания, бележки и настройки на профила;
- Технически данни: IP адрес, тип устройство, тип браузър;
- Данни за местоположение;
- Данни за използване на Услугата.
- Специални категории лични данни.
7. Операции по обработване:
- Създаване и управление на потребителски профили;
- Управление на резервации и присъствие;
- Обработване на плащания чрез интеграция с платежни доставчици;
- Изпращане на транзакционни имейли и SMS;
- Съхранение на профилни снимки и медийни файлове;
- Генериране на отчети и анализи;
- Предоставяне на AI-функционалности.
ПРИЛОЖЕНИЕ 2
ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ ЗА СИГУРНОСТ
Обработващият прилага следните технически и организационни мерки за осигуряване на сигурността на Личните данни на Ползвателя:
1. Контрол на достъпа
- Контрол на достъпа на принципа на минимално необходимия достъп;
- Индивидуални потребителски акаунти за служителите с уникална автентикация;
- Политика за сигурни пароли и многофакторна автентикация;
- Периодичен преглед на правата за достъп.
2. Криптиране и защита при предаване
- Криптиране на данните при предаване;
- Криптиране на данните в покой, когато е технически целесъобразно;
- Сигурно управление на криптографски ключове.
3. Наблюдение и регистриране
- Системи за наблюдение на достъпа и дейностите в реално време;
- Регистриране (log) на критичните операции с лични данни;
- Системи за откриване и предотвратяване на неоторизиран достъп.
4. Резервни копия и възстановяване
- Редовно създаване на резервни копия на данните;
- Тестване на процедурите за възстановяване;
- Съхранение на резервни копия в защитена среда с ограничен достъп.
5. Разделяне на средите и контрол при тестване
- Отделяне на среди за разработка, тестване и производство (sandboxing);
- Ограничаване на автоматичните известия (имейли, SMS) в тестови среди по подразбиране или чрез бял списък (allowlist);
- Забрана за използване на реални лични данни в тестови среди без изричен контрол.
6. Минимизиране на данните
- Обработване само на данните, необходими за конкретната цел;
- Контролен списък за минимизиране на данните и правно основание при функциите за импортиране;
- Периодичен преглед на съхраняваните данни и изтриване на ненужни записи.
7. Управление на инциденти
- Документирана процедура за реагиране при инциденти със сигурността;
- Определен екип за реагиране при инциденти;
- Документиране, анализ и корективни действия след всеки инцидент.
8. Управление на доставчици (Подобработващи)
- Оценка на мерките за сигурност на доставчиците преди ангажирането им;
- Договорни задължения за защита на данните с всички Подобработващи;
- Периодичен преглед на съответствието на доставчиците.
- Ръчен преглед на AI-базирани функционалности, които обработват лични данни (human-in-the-loop);
- Минимизиране на обема лични данни, предавани към AI модели;
- Когато е приложимо, използване на API режим без запазване на данни;
- Забрана за обучение на AI модели с Лични данни на Ползвателя;
- Използване само на AI-базирани услуги за enterprise клиенти, при които доставчикът на съответната услуга няма достъп до данните, обработвани от Обработващия.
9. Поверителност и обучение на персонала
- Задължения за поверителност за всички служители с достъп до лични данни;
- Периодично обучение на служителите по защита на личните данни;
- Политики за приемливо използване и информационна сигурност.
10. Сигурна разработка
- Принципи за защита на данните при проектирането и по подразбиране;
- Преглед на кода и тестване за сигурност;
- Управление на уязвимостите и навременно прилагане на пачове.
ПРИЛОЖЕНИЕ 3
| Подобработващ | Държава | Механизъм за предаване | Цел |
|---|---|---|---|
| Cloudinary Ltd. | Глобално | EU-U.S. Data Privacy Framework Стандартни договорни клаузи (СДК); Решение за адекватност (когато е приложимо) | Съхранение на изображения и медийни файлове |
| Vercel, Inc. | САЩ | EU-U.S. Data Privacy Framework Стандартни договорни клаузи (СДК) | Хостинг на уеб приложения |
| Functional Software, Inc. (Sentry.io) | САЩ | EU-U.S. Data Privacy Framework Стандартни договорни клаузи (СДК) | Мониторинг на грешки и логове |
| PostHog, Inc. | САЩ | EU-U.S. Data Privacy Framework Стандартни договорни клаузи (СДК) | Продуктова аналитика |
| Mapbox, Inc. | САЩ | EU-U.S. Data Privacy Framework Стандартни договорни клаузи (СДК) | Визуализация на карти в уеб и мобилни приложения |
| Heroku, Inc. (Salesforce) | САЩ | EU-U.S. Data Privacy Framework Стандартни договорни клаузи (СДК) | Хостинг на инфраструктура и база данни |
| Twilio Inc. | САЩ | EU-U.S. Data Privacy Framework Стандартни договорни клаузи (СДК) | Имейл и SMS доставка |
| HubSpot, Inc. | САЩ | EU-U.S. Data Privacy Framework Стандартни договорни клаузи (СДК) | Управление на клиенти |
| Google Cloud | Ирландия | Решение за адекватност (когато е приложимо) Стандартни договорни клаузи (СДК) | API услуги за карти, календар, превод и превенция на ботове |
| Google Workspace | САЩ | EU-U.S. Data Privacy Framework Стандартни договорни клаузи (СДК) | AI асистенти и персонализация |
| Stripe, LLC | Глобално | EU-U.S. Data Privacy Framework Стандартни договорни клаузи (СДК); Решение за адекватност (когато е приложимо) | Обработване на плащания |
| Redis Ltd. | САЩ | EU-U.S. Data Privacy Framework Стандартни договорни клаузи (СДК) | Сесии и кеширане |
| OpenAI, LLC | САЩ | EU-U.S. Data Privacy Framework Стандартни договорни клаузи (СДК) | AI функционалности |
| Expo / EAS | САЩ | EU-U.S. Data Privacy Framework Стандартни договорни клаузи (СДК) | Мобилни билдове, OTA актуализации и push токени. |