Условията на това Допълнение за обработка на данни ("DPA") се включват в Общите условия на Споразумението SaaS между Вас и "Ведимо" ЕАД ("ние", "нас" и "нашето").

Клаузи за обработка на данни

Следните данни се прилагат, когато данните за клиента се обработват от Ваше име:

1. Въведение

Това Допълнение за защита на данните отразява съгласието на страните по отношение на условията, регулиращи обработката и сигурността на данните и информацията, предоставени от Вас или Вашите Оторизирани крайни потребители ("Данни за Клиента") съгласно приложимото Споразумение.

2. Срок на изменение на обработката на данни

Това Допълнение към Споразумението (“DPA”) ще влезе в сила на датата на влизане в сила на изменението GDPR и остава в сила до заличаването на всички данни на клиента от Vedamo, както е описано по-долу в това Допълнение относно обработката на данни.

3. Обхват на законодателството за защита на данните:

  1. Прилагане на европейското законодателство: Страните потвърждават и приемат, че доколкото Ведамо е дружество, установено на територията на Европейския съюз, на основание чл. 3, ал. 1 от Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните) при обработването на личните данни, съдържащи се в Данни за Клиента, както и при тълкуването и изпълнението на това Допълнение за обработка на данни ("DPA"), ще се прилага европейското законодателство за защита на личните данни.
  2. Прилагане на Допълнението за обработка на данни ("DPA"): Разпоредбите на настоящото Допълнение за обработка на данни ("DPA") се прилагат за всички въпроси, които не са изрично уредени от европейското законодателство за защита на данните. В случай, че дадена разпоредба от това Допълнение се окаже недействителна или неприложима вследствие на изменение на нормативна уредба или настъпване на други обстоятелства, Страните ще положат всички усилия, за да заменят в най-кратък срок недействителната или неприложима разпоредба с нова приложима и обвързваща разпоредба със същия или възможно най-близък икономически ефект.

4. Задълженията на VEDAMO

  1. Ние ще обработим данните на Клиента в рамките на Споразумението (Общи Условия) за целите на предоставянето на услуги по време на срока на Договора и в съответствие с Вашите документирани инструкции (освен ако не се изисква да се обработват Данни за Клиента, различни от инструктирани от приложимото законодателство, в който случай ние ще , преди да обработвате личните данни на Клиента в съответствие с този закон, Ви информираме, освен ако този закон не ни забранява да го направим). Вие гарантирате Вашето събиране и споделяне на Данни за Клиента с нас и обработката на Данни за Клиента само в съответствие със Споразумението, съгласно с приложимото законодателство. Няма да съставяме копия или дубликати без Вашето одобрение, с изключение на копията, направени за целите на архивиране или възстановяване след бедствие.
  2. Приложение А на настоящото Допълнение съдържа списък на категориите данни за клиента, съответните субекти на данните, естеството и целта на обработката.

5. Орган за издаване на инструкции/ Правомощия за издаване на инструкции

  1.  Ние се съгласяваме, без ограничение, стриктно да спазваме всички указания, дадени от Вас, съгласно Споразумението, както и тези, издадени на индивидуална основа по отношение на събирането, обработката и / или използването на Данни за Клиента. Това включва, но не се ограничава до инструкции за блокиране, коригиране или заличаване на данни за клиента. Задълженията ни по този раздел 5.1 са предмет на раздел 5.3.
  2. Инструкциите могат да се издават само от Вашия управителен съвет, служители по защита на данните или управителя на Вашия правен отдел, ако е приложимо (наричани по-долу "лица, упълномощени да издават инструкции"). Лицата, упълномощени да издават инструкции, имат право по всяко време да назначават писмени ангажименти на допълнителни лица, упълномощени да издават инструкции.
  3. Вие гарантирате, че ще давате само законни инструкции. Ако счетем, че Ваше нареждане нарушава законовите разпоредби и / или споразумението, ние ще Ви уведомим и ние имаме право да преустановим изпълнението на съответната инструкция, докато не потвърдите писмено такива указания. Имаме право да откажем изпълнението на инструкция - дори и да бъде издадена в писмен вид - в случай, че стигнем до заключението, че ние ще носим отговорност съгласно приложимото право, ако изпълним инструкциите, които сте предоставили.
  4. Ние, чрез редовни самоотчети, ще гарантираме, че обработката на данните за Клиента от ваше име съответства на това Допълнение към Споразумението.

6. Защита на данните

  1. Ние се задължаваме да запазим поверителността на данните съгласно приложимите закони за защита на данните и да запазим поверителността на данните за клиентите. По-конкретно, ние ще гарантираме, че тези лица, които имат достъп до Данни за Клиента, са се ангажирали с поверителност или са по законно задължение за поверителност.
  2.  Потвърждаваме, че сме наясно с приложимите закони за защита на данните. Ние сме съгласни да запознаем приложимите ни служители със съответните разпоредби на правилата за защита на данните. Ние ще наблюдаваме спазването от страна на такива служители на приложимите закони за защита на данните.

7. Под-Процес

  1. В съответствие с разпоредбите на настоящото Допълнение за защита на данните и Споразумението( Отново Общи Условия) Вие разбирате и приемате, че Vedamo или Доставчиците на трети страни, ангажирани да предоставят услугите, предоставени тук:
    ActiveCampaign https://www.activecampaign.com/
    Google Analytics https://analytics.google.com/
    Zendesk https://www.zendesk.com/
    Google Ads https://ads.google.com/     
    Google Fonts    https://fonts.google.com/ 
    Meta https://www.facebook.com/
    Twitter https://twitter.com/   
    Hotjar    https://hotjar.com/
    Stripe https://stripe.com/
    G2        https://www.g2.com/       
    (които се определят като подпроцесор за целите на обработката на данните за клиентите) могат да съхраняват или обработват данни на клиентите си в различни центрове за данни по целия свят и че Данните за клиентите може да не се намират в страната, в която се намирате, при условие че (a) всяко изискване за известие в Споразумението, ние ще публикуваме уведомление за всички промени в подпроцесорите, обработващи Данни за Клиента, на връзката, предоставена по-горе, тридесет (30) дни преди всякакви промени в подпроцесорите, обработващи Данни за Клиента и ще Ви даде възможност да преглеждате тези промени и да повдига възражения срещу подобни промени; и б) подпроцесорите, обработващи Данните за клиентите, са обект на същите задължения за защита на данните или на същото ниво на защита, които се съдържат в ЗЗД. Клиентът се съгласява да повдигне всякакви разумни възражения в писмен вид в рамките на десет (10) календарни дни от нотификацията. Вие потвърждавате, че раздел 7.1 представлява общо писмено разрешение за целите на GDPR. Ние ще останем отговорни за всяка обработка на данните на Клиента, извършена от подпроцесори, ангажирани по Споразумението(Общи Условия) . По Ваша заявка ще Ви информираме къде се намират данните за клиентите. Въпреки по-гре написаното в този раздел, ако ние и Вие сме се съгласили, че Данните за Клиента ще бъдат съхранявани на някое конкретно място, ние ще съхраняваме такива Данни за Клиента в договореното място.
  2. Вие потвърждавате и се съгласявате, че Vedamo може да прехвърля Данни за Клиента на всяка страна извън ЕИП (Европейското Икономическо Пространство) или на всяка страна, която не е била предмет на решение на Европейската комисия, касаещо нейната адекватност, при условие, че такова прехвърляне е извършено съгласно подходящ механизъм за законно прехвърляне.Ако обявеният механизъм за законно прехвърляне е обявен за невалиден (например чрез компетентен съд или орган), Vedamo сътрудничи добросъвестно с Клиента, за да намери алтернативен механизъм за законно прехвърляне.

8. Отчет

  1.  При поискване ще Ви предоставим общ преглед на операциите по обработка на данните, които да включват следната информация:
    1. Собственици, управителни съвети, управители или други законно или конституционно назначени управители и лицата, натоварени с обработката на данните за клиентите;
    2. Нашият адрес;
    3. Целите за събиране, обработка или използване на Данни за Клиента;
    4. Описание на групите субекти на данни и данните за клиентите или категориите данни за клиентите;
    5. Получателите или категориите получатели, на които данните за клиента могат да бъдат прехвърлени;
    6. Стандартни периоди за запазване на данните на клиента;
    7. Планиран трансфер на данни до трети държави; и
    8. общо описание, позволяващо да се направи предварителна оценка за това дали техническите и организационни мерки за гарантиране на безопасността на обработката са адекватни.Страните се споразумяват и признават, че за целите на този Раздел 8.1 е достатъчно да представим цялата документация, включително заверено удостоверение за спазването на настоящото споразумение, в такъв формат, който разумно се изисква от Вас или от независим одитор, определен от Вас на Ваши разноски. Ще ви предоставим всяка друга информация, която поискате, когато е необходимо, за да покажете, че сте изпълнили задълженията си по член 28 от GDPR, освен ако според нас такова искане нарушава Законите за защита на личните данни или законодателството на Европейския съюз или на държавата-членка, в който случай ще Ви уведомим относно нашето мнение.
  2. Имате право да проверявате съответствието ни със законовите разпоредби относно защитата на данните и разпоредбите, сключени между страните (включително техническите и организационните мерки), като поискате информация за инспекцията за съхранение на данните за клиента, както и прилаганите политики и инцидент по сигурността доклади, предмет на разумно предизвестие най-малко 14 дни предварително и доколкото това е разумно възможно, без да се намесва в обичайните ни бизнес операции.
  3. Клиентът се съгласява, че вземайки предвид естеството на обработката на данните на Клиента по Споразумението, осигурявайки нашето съдействие и информацията, съдържащи се в настоящото Допълнение към Споразумението, Ви съдействахме да гарантирате спазването на задълженията Ви по отношение защитата на данните и предварителните консултации съгласно членове 35 и 36 от GDPR.

9. Мерки за сигурност на данните

  1. Използваме следните подходящи технически и организационни мерки за защита на данните за клиентите ("мерки за сигурност"), които трябва да отговарят най-малко на нивото, изисквано от приложимото законодателство:
    1. Контрол на допускането:
      • Използваме подходящи физически предпазни мерки, за да предотвратим достъп на неоправомощени лица до помещенията, където данните за клиента се събират, обработват и използват. Такива помещения могат да бъдат вписвани само от нас и / или от нашите агенти.
      • Използваме подходящи мерки за обезпечаване на сгради.
      • Използваме подходящи мерки, за да гарантираме, че данните на клиента, съхранявани на хартия, се съхраняват надеждно, напр. в заключени помещения или шкаф. Като цяло се предприемат стъпки, за да се гарантира, че достъпът до хартиен носител на данните за клиентите е ограничен по същия начин, както би бил при електронната информационна система, т.е. достъпът е ограничен до лицата, за които е необходимо да имат достъп, за да могат да изпълняват работна длъжност.
    2. Контрол на влизането:
      • Ще се стремим да предотвратим достъпа или използването на нашите системи за обработка на данни от неоправомощени страни.
      • Ще изискваме удостоверяване и оторизация за достъп до ИТ системи (т.е. изискваме от потребителите да въвеждат потребителско име и парола, преди да им бъде разрешен достъп до ИТ системи).
      • Разполагаме с процедури, които да позволяват само оправомощени лица да имат достъп до данни на клиентите вътрешно или външно, като използват процедури за удостоверяване (например чрез подходящи пароли), освен ако в противен случайне е, достъпът разрешен от Вас.
    3. Контрол на достъпа:
      • Прилагаме подходящи мерки, за да предотвратим достъпа на лица до данните за клиентите, освен ако не притежават специално разрешение за достъп.
      • Прилагаме подходящи мерки, за да позволим на потребителите да получават достъп само до данните на клиента, на които потребителят трябва да има достъп за своята роля на работа или за целта, на която им е предоставен достъп до нашите ИТ системи (т.е. ние прилагаме мерки за осигуряване на най-малко привилегирован достъп до ИТ системи).
      • Ще разполагаме с подходящи процедури за контролиране на разпределянето и отнемането на правата за достъп до данните за клиентите. Например, като разполагат с подходящи процедури за отнемане на достъпа на служителите до ИТ системи, когато напускат работата си или променят ролята си.
      • Нашите системи, които се използват за събиране, обработка и използване на Данни за Клиентите, са защитени от идентификатори на потребители, пароли и класифицирани права за достъп. Специални права за достъп се създават за целите на техническата поддръжка, които не позволяват достъп до данните на клиента.
      • Ние предприемаме подходящи административни предпазни мерки, за да защитим нашите услуги срещу външни атаки, включително например разгръщането на защитни стени.
    4. Контрол на предаването на данни:
      • Ще използваме подходящи мерки за защита на поверителността, целостта и наличието на данните на клиента по време на електронното предаване.
      • Ние ще шифроваме елементите на данните за клиенти, изброени в приложение А, докато сме в режим на транзит през интернет.
    5. Контрол на входящите данни:
      • Ще поддържаме системи за регистриране и одит, за да следим дейността, свързана с въвеждането на Данни за Клиента
    6. Контрол на поръчката:
      • Ние гарантираме, че всички искания от Вас във връзка с данните на Клиента ще бъдат обработвани стриктно в съответствие с вашите инструкции чрез използване на ясни и недвусмислени договорни клаузи; изчерпателни изявления за работа; и / или наблюдение на изпълнението на поръчката.
    7. Контрол на наличността:
      • Ние ще защитим клиентските данни, които притежаваме, срещу неволно унищожаване или загуба, като прилагаме подходящи управления, операции и технически контроли като защитни стени; мониторинг; и резервните процедури.
      • Примерни мерки, които могат да бъдат взети, включват: огледало на носители за съхранение, непрекъсваемо захранване (UPS); отдалечено хранилище; системи за защитна стена; и планове за възстановяване при бедствия.
  2.  Техническите и организационните мерки, описани в раздел 9.1, са предмет на технологичен напредък и по-нататъшно развитие. Имаме право да прилагаме подходящи алтернативни мерки, стига алтернативните мерки да не намаляват нивото на сигурност, приложено към данните за клиента.
  3. Ние редовно извършваме отчет и оценка на спазването на техническите и организационни мерки за сигурност.

10. Задължения по уведомяване

  1.  Уведомяване за нарушения на разпоредбите за защита на данните:
    1. Ще Ви уведомим до степента, до която предприетите от нас технически и организационни мерки не са в съответствие с това Допълнение или Вашите указания. Същото важи и за неизправности или индикации за нарушаване на правилата за защита на данните или в случай на неправилна обработка на данните на Клиента, включително, но не само, нарушения на сигурността на данните и загуба на данни. Ние и Вие взаимно се договаряме за всяко допълнително събиране, обработка и използване на Данни за Клиента и ще инициираме всички разумно необходими мерки за изключване на рисковете за целостта и поверителността на Данните за Клиента.
    2. В случай, че имаме разумно, добросъвестно убеждение, че неупълномощена трета страна е получила достъп до или разкрива Вашите клиентски данни, ние ще Ви уведомим незабавно или ако това се изисква от Закона в друго време, изисквано от този закон. Ще Ви осигурим разумно съдействие и съдействие във връзка с разследването на инцидента. Ако подобен инцидент води до изискване за предупреждение от трета страна съгласно Законите, Вие се съгласявате, че освен ако не е предвидено друго в закона, като собственик на Данните за Клиента, Вие ще бъдете отговорни за времето, съдържанието, разходите и начина на всяко такова известие и спазването такива закони.
  2. Вие се съгласявате, че предвид естеството на обработката, Раздел 10.1 удовлетворява нашето задължение да ви съдействаме за изпълнението на задълженията ви по членове 33 и 34 от GDPR.
  3. Ще ви уведомим за:
    1.  всяко правно обвързващо искане за разкриване на данните за клиента от правоприлагащ орган или друга организация или орган, освен ако това не е забранено от закона;
    2. всяко искане, получено директно от нас от субекта на данните.
  4. Ние се съгласяваме да Ви осигурим разумно съдействие и съдействие във връзка с всяка молба по раздел 10.3.

11. Изтриване на данни

  1.  При изтичане на срока или по-ранно прекратяване на услугите или по-рано, когато поискате, ние се съгласяваме по Ваша молба да:
    1. върнем на Вас или назначено от Вас лице; или
    2.  безопасно да унищожим или направим нечетливи съответните Данни за Клиента, които са под наше притежание, попечителство или контрол
  2. От организационна гледна точка ще гарантираме, че Данните за Клиента могат да бъдат изтрити в рамките на разумен период от време, съответстващ на Вашите изисквания за запитване или заличаване, установени в Споразумението (Общи условия), с изключение на това, че няма да бъдем задължени да изтриваме Данни за Клиента от архивни и резервни файлове, в съответствие с графика за изтриване на данни за фирмата ни (както е разрешено съгласно законодателството за защита на данните). Ако поискате изтриване на Данни за Клиента в архивни и архивни файлове, Вие ще поемете разходите, включително разходите за прекъсване на бизнес, свързано с такова искане.

12. Права на субекта на данни, износ на данни.

  1. Достъп; Поправяне; Ограничена обработка; Преносимост. По време на приложимия срок Vedamo ще предостави на Клиента по начин, съответстващ на функционалността на Услугите, възможност за достъп, коригиране и ограничаване на обработката на Данни за Клиента, включително чрез функцията за изтриване, предоставена от Vedamo, и за експортиране на Данни за Клиента.
  2. Заявки за данни.
    1. Отговорност на клиента за искания. По време на приложимия срок, ако Vedamo получи искане от субекта на данни във връзка с личните данни на клиента, Vedamo ще уведоми субекта на данните да подаде искането си до Клиента и Клиентът ще бъде отговорен за отговора на всяка такава молба, използвайки функционалността на Услугите, ако е нужно.
    2. Предоставяне на помощ за искане на данни от страна на Vedamo. Клиентът се съгласява, че (с оглед на естеството на обработката на личните данни на Клиента) Vedamo ще помага на Клиента да изпълни всяко задължение да отговори на исканията на субектите на данни, включително, ако е приложимо, задължението на Клиента да отговори на исканията за упражняване на правата на субекта на данни в глава III от GDPR.

13. Заключителни разпоредби

  1. Освен ако изрично не е посочено друго от страните, продължителността на обработката на данни, зададена от това Допълнение, е съпътстваща от срока на Споразумението (Общи Условия) .
  2.  Независимо от изискванията за известие в Споразумението, ние запазваме правото да актуализираме Допълнението от време на време, за да отразяваме по-добре промените в закона, новите регулаторни изисквания или подобрението на Услугата. Актуализираните Условия ще бъдат публикувани тук. Ако някоя актуализация на това Допълнение оказва съществено влияние върху използването на Услугата или Вашите права тук, ние ще предоставим 30-дневно предизвестие на горепосочената връзка или известие за продукта. Постоянното използване на Услугата представлява приемане за обвързване с актуализираното Допълнение.
  3.  В случай на конфликт между това Допълнение и всяка друга разпоредба на Споразумението между вас и нас, това Допълнение ще надделее; при условие, че ако ние и Вие сме се съгласили в Поръчка с каквито и да е условия, които са различни от това Допълнение, условията в такава поръчка ще имат предимство.

 

Приложение А - Данни за обработката на данни

Категории данни

 
Name or unique identifiers Personal contact information Date of birth, Gender, Nationality, Parent/Student Relationships Grade Level, Teachers, Classes/Sections/Courses, Grades, Assignments, Tests, Messages Books, Attendance, Homework, Degree Type, Schedules, Achieves, Feedback Financial details Usernames, passwords Service or browsing history, Location data, Information provided by social networks, User or Customer Correspondence Disciplinary and conduct records Any information contained in the submitted paper assignment, or other user-generated content

Категории на субекта

Потребителите на Клиенти и Клиенти, упълномощени от Клиента да използват Услугите на Vedamo (Студенти, Родители, Учители, Администратори, Наблюдатели, Гости)

Естество на обработката

Ние ще обработваме данните и информацията, предоставени от Вас или Вашите Оправомощени крайни Потребители в рамките на Споразумението, за целите на предоставянето на услуги по време на срока на Договора и в съответствие с документираните от Вас указания (освен ако не е необходимо да обработвате Данни за Клиента, от приложимото право, в който случай ще ви уведомим, преди да обработваме личните данни на Клиента в съответствие с този закон, освен ако този закон ни забранява да го направим).