Споразумение за обработка на данни

Дата на влизане в сила: 1 януари 2025 г.

Въведение

Това Споразумение за обработка на данни ("СОД") допълва Условията за ползване между RemoteOps ("Обработващ") и абонираната организация ("Администратор"). Това СОД урежда обработката на лични данни от Обработващия от името на Администратора във връзка с платформата RemoteOps, в съответствие с член 28 от Общия регламент за защита на данните (GDPR).

Определения

"Администратор" означава организацията, която определя целите и средствата за обработка на лични данни чрез платформата RemoteOps. "Обработващ" означава RemoteOps, който обработва лични данни от името на Администратора. "Субект на данни" означава идентифицирано или подлежащо на идентифициране физическо лице, чиито лични данни се обработват. "Лични данни" означава всяка информация, свързана със субект на данни. "Обработка" означава всяка операция, извършвана върху лични данни, включително събиране, съхранение, извличане, използване, разкриване и изтриване.

Обхват и цел на обработката

Обработващият обработва лични данни единствено с цел предоставяне на платформата за управление на полеви услуги RemoteOps на Администратора. Категориите субекти на данни включват служителите, техниците, диспечерите и крайните клиенти на Администратора. Категориите лични данни включват имена, имейл адреси, телефонни номера, данни за местоположение (когато функциите за навигация са активни), история на работни поръчки и метаданни за обаждания.

Задължения на Обработващия

Обработващият е длъжен: (а) да обработва лични данни само съгласно документирани инструкции от Администратора; (б) да гарантира, че лицата, оторизирани да обработват лични данни, са обвързани със задължения за поверителност; (в) да прилага подходящи технически и организационни мерки за сигурност; (г) да не ангажира друг обработващ без предварителното писмено съгласие на Администратора; (д) да подпомага Администратора при отговаряне на заявки от субекти на данни; (е) да подпомага Администратора при осигуряване на съответствие със задълженията по GDPR относно сигурност, уведомяване за нарушения и оценки на въздействието; (ж) да изтрие или върне всички лични данни при прекратяване на споразумението; (з) да предоставя цялата информация, необходима за демонстриране на съответствие с това СОД.

Подизпълнители

Обработващият поддържа списък на одобрените подизпълнители. Администраторът дава общо разрешение на Обработващия да ангажира подизпълнители при следните условия: (а) Обработващият ще уведоми Администратора за всяко предвиждано добавяне или замяна на подизпълнители поне 30 дни предварително; (б) Администраторът може да възрази срещу нов подизпълнител в рамките на 14 дни от уведомлението; (в) всеки подизпълнител е обвързан със задължения за защита на данните не по-малко защитни от това СОД.

Права на субектите на данни

Обработващият подпомага Администратора при изпълнение на задълженията му за отговаряне на заявки от субекти на данни съгласно членове 15-22 от GDPR (достъп, коригиране, изтриване, преносимост, ограничаване и възражение). Обработващият незабавно ще препрати всяка заявка от субект на данни, получена директно, до Администратора.

Мерки за сигурност

Обработващият прилага технически и организационни мерки, съответстващи на риска, включително: (а) криптиране на лични данни при пренос (TLS 1.3) и в покой (AES-256); (б) изолация на данните между наематели, гарантираща липса на кръстосан достъп до данни; (в) ролево базиран контрол на достъпа с принцип на минимални привилегии; (г) редовни оценки на сигурността и сканиране за уязвимости; (д) обучение на служителите за осведоменост относно сигурността; (е) логване на достъпа и одитни следи.

Уведомяване за нарушение на сигурността на данните

Обработващият уведомява Администратора без неоправдано забавяне и при всички случаи в рамките на 72 часа след узнаване за нарушение на сигурността на лични данни. Уведомлението включва: (а) описание на характера на нарушението; (б) категориите и приблизителния брой засегнати субекти на данни; (в) вероятните последствия от нарушението; (г) мерките, предприети или предложени за справяне с нарушението.

Трансфери на данни

Личните данни се съхраняват и обработват предимно в Европейския съюз. Когато трансфери извън ЕС са необходими (напр. за конкретни подизпълнители), Обработващият разчита на Стандартни договорни клаузи (СДК), одобрени от Европейската комисия, или други правно признати механизми за трансфер съгласно Глава V от GDPR.

Права на одит

Администраторът има право да извършва одити или да назначава независим одитор за проверка на съответствието на Обработващия с това СОД. Одитите изискват 30 дни предварително уведомление и се провеждат в работно време с минимално нарушаване на операциите. Обработващият ще съдейства напълно и ще предостави достъп до съответната документация, системи и съоръжения.

Изтриване и връщане на данни

При прекратяване на договора за услуги Обработващият, по избор на Администратора, изтрива или връща всички лични данни в рамките на 30 дни. Удостоверимо изтриване ще бъде завършено в рамките на 90 дни от прекратяването. Обработващият може да задържи данни само когато това се изисква от законодателството на ЕС или на държава-членка и ще информира Администратора за такова изискване.

Срок и прекратяване

Това СОД влиза в сила, когато Администраторът започне да използва платформата RemoteOps, и остава в сила, докато Обработващият обработва лични данни от името на Администратора. Задълженията на Обработващия относно защитата на данните продължават и след прекратяване на това СОД.