СПОРАЗУМЕНИЕ ЗА ОБРАБОТКА НА ЛИЧНИ ДАННИ

 

Това Споразумение за обработка на лични данни ("Споразумение") e валидно между ползвателите на услугиге на РАКС.БГ ЕООД ("Клиентът" или "Клиентите") и РАКС.БГ ЕООД, дружество регистрирано в Република България с дружествен номер 175142210 с регистрирано седалище и адрес на управление ул. "Атанас Узунов" №18, София, 1505 ("Дружеството").

 

ПРЕАМБЮЛ

а) Клиентът и Дружеството са страни по това Споразумение ("Договор") по силата на който Дружеството предоставя на Клиента различни технологични услуги, като хостинг, облачни услуги и др. подобни;

 

б) Във връзка с това Споразумение Дружеството може да обработва лични данни от името на Клиента; и

 

в) На основание чл. 28 от ОРЗД страните искат да уредят техните роли и отговорност във връзка с обработването на лични данни и се договориха за следното:

 

ДЕФИНИЦИИ

 

Термините използвани в това Споразумение имат значението описано по-долу. Термините "обработка" (и неговите производни), "лични данни", "администратор", "обработващ", "трета държава", "международна организация", "субект на данни", "представител" и "държава членка" използвани в това Споразумение имат значението съгласно Законите за защита на данни. Термините с главна буква, които не са обяснени тук, имат значението дадено им в Договора;

 

"Закони за защита на данни" означава всички приложими закони на Европейския съюз или на държава членка отнасящи се до обработката на лични данни, в това число, но не само Общия регламент относно защитата на данните (ЕС) 2016/679 ("ОРЗД" или "GDPR") и до степен, в която са приложими и не са в конфликт, законите за защита на лични данни на други държави, заедно с всички техни допълнения и изменения.

 

"СДК за лица обработващи данните" означава Стандартните договорни клаузи за лица обработващи данни в Приложение към Решение на Европейската комисия от 05 февруари 2010 г. (налично към датата на изготвяне на това споразумение тук: https://eur-lex.europa.eu/legal-content/BG/TXT/HTML/?uri=CELEX:32010D0087&from=EN), както бъде изменяно или заменяно от Европейската комисия.

 

1. Роли: Клиентът е администратор, а Дружеството е обработващ по отношение на личните данни, които Дружеството може да обработва от името на Клиента при предоставяне на услуги по Договора.

 

2. Характеристика на обработването: Като доставчик на инфраструктура Дружеството няма влияние и знание за точните данни, обработвани от Клиента при използване на услугите по Договора. Въпреки това страните очертават следните засегнати субекти на данни, вид на данните и цели на обработването, които включват, но може да не се ограничават до:

 

Субекти на данни: Субекти на данните може да са представители, крайни потребители, служители, кандидати за работа, контрагенти, сътрудници, партньори, доставчици, потребители, клиенти, посетители или др. дефинирани от Клиента.

 

Естество и цел на обработването: Дружеството (и лицата действащи под контрола на Дружеството) ще обработват личните данни само за целите на: (i) предоставяне на услуги в съответствие с Договора и това Споразумение; (ii) спазване на документираните писмени указания на Клиента в съответствие с Законите за защита на данни; или (iii) спазване на задължения на Дружеството по приложим закон.

 

Вид данни: Обработвани данни са лични данни предоставени от Клиента на Дружеството във връзка с ползване на услугите по Договора. Такива данни могат да включват име, имейл адрес, информация за контакти, домашен адрес, домашен или мобилен телефонен номер, факс, пароли, възраст, дата на раждане, семеен статус, брой деца, длъжност и служебно положение, трудов стаж, заплата, личен номер, цени, предоставени стоки и услуги, ID на клиенти, IP адреси, данни за онлайн поведение и интереси и др.

 

3. Задължения и отговорности на Дружеството: При обработката на лични данни от името на Клиента Дружеството се задължава да:

 

3.1. Обхват на обработването: обработва лични данни единствено в съответствие с разпоредбите на това Споразумение, до степен, необходима за изпълнение на Договора и съгласно документираните писмени указания на Клиента, освен ако това не се изисква от европейското или приложимото за Дружеството право на държава членка. В случай, че Дружеството смята, по свое мнение, че указание нарушава Закон за защита на данни, то Дружеството следва да информира Клиента и може да преустанови изпълнението на такова указание докато Клиентът не го промени или потвърди. Дружеството няма да разкрива лични данни освен в случаите, предвидени в това Споразумение.

 

3.2. Оправомощени лица: предприема разумни търговски мерки, за да осигури, че лицата, оправомощени да обработват личните данни, са строго ограничени само до персонала на Дружеството, който е нужно да знае/има достъп до такива лични данни и се е ангажирал (писмено) за поверителност по отношение на тези лични данни. Дружеството също така потвърждава, че лицата, оправомощени да обработват личните данни, са уведомени за условията на това Споразумение, не са оправомощени да обработват лични данни извън обхвата на това Споразумение и са поели договорно задължение да спазват защитата и поверителността на личните данни, включително след прекратяване на отношенията си с Дружеството.

 

3.3. Мерки за сигурност: предприема технически и организационни мерки по отношение на сигурността на личните данни. По-специално, това включва мерки и проверки, описани в Приложение А към това Споразумение.

3.4. Под-обработка: За предоставяне на своите услуги, включително тези по Договора, Дружеството използва други под-обработващи лица. Дружеството поддържа списък на под-обработващите данни лица, изписани с имената си в Профила на Клиента и системата за поддръжна на РАКС.БГ ЕООД на уеб адрес https://www.rax.bg/accounts/. Клиентът се съгласява, че Дружеството може да заменя тези под-обработващи или да ангажира други за предоставяне на услугите по Договора. В такива случаи Дружеството ще уведоми Клиента за всяка планирана промяна на под-обработващите и ще предостави на Клиента възможност да възрази на такава под-обработка. Клиентът може да възрази срещу предложената под-обработка в рамките на 14 дни от получаването на известието, като предостави в писмена форма разумни обосновани основания за възражението, включително, когато е приложимо, свързани със способността на предложения нов под-обработващ да защитава адекватно личните данни в съответствие с това Споразумение или Законите за защита на данни. В случай, че възражението на Клиента е обосновано, страните добросъвестно ще работят, за да направят взаимно приемливи промени в предоставянето на услугите, които ще позволят да се избегне предложената под-обработка или да се замени с по-подходяща. В случай че такива промени не могат да бъдат направени в разумен срок от възражението и ако Дружеството настоява за използване на предложената под-обработка за предоставяне на услуги по Договора, Клиентът може да прекрати Договора чрез писмено уведомление до Дружеството.

 

3.5. Предаване в трети държави: Услугите, които Дружеството предоставя (и съответно данните на Клиента) се съхраняват в центрове за данни на територията посочена в Договора. В някои случаи може да се извърши прехвърляне на лични данни към юрисдикции извън Европейския съюз или към международна организация ("прехвърляне в трети държави"), в това число за целите на информационната сигурност, поддръжката и изпълнението на услугите и инфраструктурата, добавяне на функционалност към услугите и др. В случай, че Дружеството прехвърля лични данни на субекти на данни на ЕС в трети страни, Дружеството ще: i) извършва такова прехвърляне винаги въз основа на а) решение на Европейската комисия относно адекватно ниво на защита (член 45 от GDPR) или б) подходящи гаранции, предвидени в чл. 46 от GDPR, включително разчита на СДК за лица обработващи данните; ii) налага на всеки под-обработващ същите задължения за защита на данните, посочени в настоящото Споразумение, посредством договор; и iii) остава изцяло отговорно пред Клиента, ако под-обработващ не изпълни задълженията си за защита на данните.

 

3.6. Права на субектите на данни: като взима предвид естеството на обработването, подпомага Клиента чрез подходящи технически и организационни мерки, доколкото е възможно, за изпълнението на задължения на Клиента да отговори на искания за упражняване на права на субектите на данни предвидени в глава III на ОРЗД или Законите за защита на данни. В частност Дружеството се съгласява, ако субект на данни подаде писмено искане до Дружеството, изискваща информация относно обработката на или копия на негови лични данни, Дружеството незабавно да уведоми Клиента за това искане (включително копие от искането, ако е подходящо) и да не отговаря на това искане освен в съответствие с предварителните писмени указания на Клиента или съгласно изискванията на Закон за защита на данните (за които Дружеството ще информира надлежно Клиента).

 

3.7. Съдействие на Клиента: съдейства на Клиента в осигуряването на задълженията по членове 32 - 36 от ОРЗД включително, като се отчита естеството на обработване и информацията, до която има достъп Дружеството. Дружеството също ще предоставя на Клиента информацията, необходима за доказване на спазването на задълженията по това Споразумение и ще предоставя възможност и сътрудничи на одити, включително проверки, извършени от Клиента или друг одитор, упълномощен от Клиента.

 

3.8. Връщане или изтриване на данни: заличи или върне по избор на Клиента всички лични данни на Клиента след прекратяване на услугите свързани с обработването и заличи всички съществуващи копия, освен ако правото на Съюза или правото на държава членка не изисква тяхното съхранение.

 

3.9. Уведомление при нарушаване на данните: без неоснователно забавяне и в разумен срок уведоми Клиента, след като е узнало за загуба, промяна, неразрешено разкриване или достъп до личните данни на Клиента.

 

4. Задължения и отговорности на Клиента: Клиентът е отговорен за спазването на задълженията му като администратор на лични данни съгласно Законите за защита на данни. По-специално Клиентът е отговорен и гарантира, че: обработва само данни, които са законно и валидно събирани; надлежно обоснове всяко предаване на лични данни на Дружеството, включително за предоставяне на изисквана информация и получаване на всички необходими съгласия и/или разрешения, където е приложимо; данните са съответни и пропорционални на конкретното използване; предоставянето на данните не нарушава правата на поверителност, правата на личността, авторски права, договорни права, права върху интелектуална собственост или каквито и да е други права на което и да е лице и/или по друг начин за спазването на закона.

 

5. ОБЩИ РАЗПОРЕДБИ

 

5.1. Промени в Законите за защита на данни: Страните, действайки добросъвестно и разумно най-бързо, могат да правят промени в това Споразумение, за да осигурят съответствие на Споразумението и на обработката на лични данни с всякакви промени в Законите за защита на данни или с решение или акт на всеки надзорен орган, на Европейската комисия, на Европейския съвет за защита на личните данни, Съда на ЕС или на друг подобен орган или организация, което решение или акт засяга Законите за защита на данни и тяхното прилагане. Дружеството ще осигури еквивалентни промени по всяко споразумение, сключено с всеки засегнат под-обработващ.

 

5.2. Данни за контакт: Всяка от страните ще уведоми надлежно другата при промяна в данните си за кореспонденция. Всяка страна ще предостави и другата и информация за своя представител в ЕС (по член 27 от GDPR), където е приложимо.

 

5.3. Надживяване: Настоящото Споразумение остава в сила след и надживява прекратяването или изтичането на срока на действие на Договора, когато това е приложимо.

 

5.4. Разделност: Ако дадена разпоредба на това Споразумение бъде приета от съд или от компетентна юрисдикция за невалидна, нищожна или неприложима, това няма да засегне валидността на останалите разпоредби, които остават валидни и приложими.

 

5.5. Предимство: В случай на несъответствия между разпоредбите на настоящото Споразумение и Договора, включително всички други договори, които ще бъдат сключени след датата на това Споразумение, разпоредбите на това Споразумение ще имат предимство, освен ако изрично не е уговорено друго писмено между страните.

 

5.6. Приложимо право: Настоящото Споразумение се регулира от правото на и се подчинява на изключителната юрисдикция на съдилищата на България.

 

ПРИЛОЖЕНИЕ А - Мерки за сигурност (технически и организационни мерки)

 

ПРИЛОЖЕНИЕ А: Мерки за сигурност (технически и организационни мерки) и стандарти на центъра за съхранение на данни

 

Устройствата, които използват Клиентите на RAX (РАКС.БГ ЕООД) и всички данни се съхраняват в телекомуникационна сграда (Център за съхранение на данни), която притежава сертификати ISO27001, ISO9001, ISO 5001, ISO 14001 и OHAS 18001. Центърът за съхранение на данни предоставя сигурна технологична среда, която практически елиминира риска от физическа загуба или повреда на технологично оборудване, сървъри и всякакъв вид компютърни системи, който Клиентите съхраняват при Rax.bg. Технологичната сграда, собствената инфраструктура на РАКС.БГ ЕООД и клиентското оборудване са под непрекъснато видео наблюдение и 24-часова въоръжена охрана. Всички основни системи в Центъра за съхранение на данни - електрозахранване и вътрешна ел. система; охлаждане и климатизация; обезопасителна и противопожарна система; Интернет свързаност и всички останали компоненти - се управляват от оперативен център, който контролира работа им, за да осигури сигурна среда и безаварийна работа на всички технологични процеси.

 

Електроснабдяване и конфигурация на токовия цикъл

 

Центърът за съхранение на данни покрива N+1 клас отказоустойчивост на електрическата инфраструктура за всеки елемент и осигурява възможно най-високо качество на електрозахранването, при максимална наличност и гарантирана непрекъсваемост. Центърът за съхранение на данни се захранва по четири (4) оперативни, физически отделени едно от друго електро трасета на 10kV от две (2) различни 110 kVA електростанции на енергийния оператор. Налице е разединителна подстанция на средно напрежение и телекомуникационната сградата разполага с два отделни трансформатора от средно към ниско напрежение. Чрез Siemens АВР система на ниско напрежение се осъществява селективност на ниско напрежение в случай на отказ на един от източниците - липса на напрежение, пренапрежение, спад на напрежението, прекомерно високи токове и др. Налична е и система за ръчно превключване на 10kV, която да бъде използвана, ако е необходимо ръчно превключване между елeктрозахранващите трасета.

 

Конфигурация на електрозахранването за всеки шкаф с оборудване: A и Б инфраструктура

 

Окабеляване: Всички електрозахранващи кабели са поставени и обезопасени в кабелни стълби, които се намират над шкафовете с технологично оборудване. Захранващите кабели доставят електроснабдяване от два различни токови кръга (A и Б).

 

Ниво на резервирано електрозахранване: Четири оперативни, физически отделени едно от друго електро трасета на средно напрежение от две (2) различни 110 kVA електростанции на енергийния оператор и ATS на ниско напрежение.

 

Резервни електрогенератори: Резервната производствена ел. мощност е обезпечена с два синхронизирани дизелови генератора, конфигурирани със степен на отказоустойчивост N+1, които осигуряват алтернативно електрозахранване и се използват при срив на всички четири трасета към телекомуникационната сграда, или в случай на прекъсване в електропреносната мрежа на енергийния оператор.

 

Климатизация и охлаждане

 

Система за климатизация: Резервираност N+1 на вътрешните системи за охлаждане - 100 kW CyberAir2, марка Stulz.

 

Охлаждане: Студен въздух, подаван през повдигнат двоен под към кабинетите с технологично оборудване.

 

HVAC контрол: 22° Целзий ±2° при относителна влажност на въздуха от 50%, ±15% с отделни контролни системи за темепературата и влажността на въздуха.

 

Резервираност на климатичната система: N+1 устройства за климатизация, 1+1 циркулационни помпи, N+1 системи за качеството на въздуха.

 

Гарантирана работна непрекъсваемост на охладителната система: 99.97% на годишна база.

 

Физическа сигурност на центъра за съхранение на данни

 

 

Сградата има мониторингова система за видео наблюдение със CCTV камери, активна за всички зони за достъп, врати и за всички зали, в които е поставено комуникационно и технологично оборудване. Системата за сигурност е изградена от следните елементи:

 

Контрол на достъпа: HID iClass DG карти за достъп на всички врати. Действие на система допуск, регистрация на посетители и профилиране на клиентите.

 

Видео наблюдение: 24/7 CCTV мониторинг на всички коридори, зали за съхраняване на оборудване и на телекомуникационна цялата сграда.

 

Кабинети с технологично оборудване: Метални шкафове с двойно заключване.

 

Охрана: Въоръжена охрана 24 часа в денонощието.

 

Система за предпазване от пожар, сигнализация и пожарогасене

 

Предпазване от пожар: Система за ранно сигнализиране и предотвратяване на пожари, произведена от BOSCH.

 

Сигнализация: Лазерни датчици за пожароопасност на VESDA система за установяване на дим в много ранна фаза (преди евентуално избухване на пожар) са инсталирани в залите за съхраняване на оборудване.

 

Пожарогасене: Система за гасене на пожар, изградена на зони, която използва газ NAF S 125, безопасен за хората и окoлната среда.

 

Първоначална сигнализация за предотвратяване на пожар: Аларми с двойна система за активиране - топлинно и/или димно задействане.

 

Защита на елeктроснабдителната система от пожар: Всички кабелни пътища са защитени от устойчиво на топлина и пожар уплътнение, което се разширява и защитава кабелите при повишаване на температурата над определено равнище.

 

Сигурна свързаност и Интернет мрежа

 

Интернет свързаност: Множество физически и логически Интернет трасета с различни пътища на преминаване на Интернет трафика.

 

Мрежова защита: Интернет рутери с вградена защита срещу атаки за отказ от услуги.

 

Физически интерфейси за свързаност: Двойна логическа защита и деактивиране на пасивните интерфейси за свързаност.

 

Защита от загуба на данни

 

Защита на данните: Мрежа за съхранение на данни с вградена двойна защита на RAID контролерите. Ако единият излезе извън строя, другият продължава да защитава данните от срив без прекъсване на услугите и без загуба на данни.

 

Резервираност на вътрешната система за достъп данни: Наличие на технология за защита от срив, която позволява сървърите, които извършват изчислителни операции да достигат до данните по повече от един път към дадено устройство, част от мрежата за съхранение на данни.

 

Подсигуряване на данните: Снимки (Snapshots) на данните на виртуални дискове през определен период от време, според условията за доставяне на всяка услуга.

 

Резервни копия на данните: Резервни копия на данните, които покриват всички законови изисквания както и специфичните изисквания на клиентите.

 

Достъп до клиентските сметки и профили: Служителите на RAX имат различни нива на достъп до системата за управление на клиенти и до данните на клиентите в зависимост от позицията им, квалификацията и служебните им задължения.

 

Достъп до данните: Данните на клиентите се съхраняват в мрежа за съхранение на данни, която е достъпна само при следване на специална процедура от страна на определени служители на РАКС.БГ ЕООД.

 

Сигурност на софтуерната среда и софтуерните приложения

 

Изолирани компютърни инстанции: Клиентските системи и софтруени приложения за вътрешна употреба работят върху изолирани (Частни) компютърни инстанции без публични Интернет протокол адреси и са недостъпни през публична Интернет връзка.

 

Политика на защитата с пароли: Паролите, с които клиентите достъпват потребителските си профили са криптирани, а Системата за управление на услуги и техническа поддръжка на Rax.bg изисква използване на специални символи и възможно най-сложни пароли за достъп.

 

Сигурна връзка: Системата за управление на услуги и техническа поддръжка е защитена със сертификат за сигурност и обмяната на данни между клиентите и Rax.bg се осъществява посредством криптирана комуникация.

 

Цялостна защита на системата на Rax.bg: Административният интерфейс на Системата за управление на услуги и техническа поддръжка на Rax.bg, която използва екипът на РАКС.БГ ЕООД е достъпен през Интернет, само след като потребителят премине през защитен екран със уникални потребителско име и парола, различни от тези за влизане в самата система и различни за всеки служител на Rax.bg.

 

Вътрешна сигурност и нива на достъп

 

Сигурна физическа среда: Офисът на РАКС.БГ ЕООД е защитен срещу неоторизиран достъп със система за контрол на достъпа. Входът е заключен по всяко време на денонощието.

 

Използване на социалните медии: Rax.bg не използва социални медии за да предоставя техническа поддръжка на клиентите си. Всякакъв вид важна информация, лични данни и данни свързани с услугите на Rax.bg се предоставят единствено на посочения от Клиента и записан в Системата за управление на услуги и техническа поддръжка електронен пощенски адрес.

 

Вътрешно споразумение за конфиденциалност: Достъпът на служителите на Rax.bg до Системата за управление на услуги и техническа поддръжка се извършва съобразно “Вътрешно споразумение за Конфиденциалност”, което ясно очертава правилата за работа, отговорностите на служителите на РАКС.БГ ЕООД в процеса на работа с лични данни и начините на защита на данните на клиентите.

 

ПРИЛОЖЕНИЕ Б - Списък на под-обработващи

 

Счетоводна къща Прима Интелект ООД: Има достъп до банковите извлечения на РАКС.БГ ЕООД и на които са видими банковите данни на Клиентите на Rax.bg – банкова сметка, BIC, изплатена такси, име, фалимия, данни за юридическото лице като ЕИК, Данъчен номер и адрес по регистрация с цел спазване на Закона за счетоводството.

 

Екуиникс (България) Дейта Центърс ЕАД: Данни за контакт, включително даннни от лична карта, снимка и лична информация, събирана с разрешение на Клиента, с цел спазване на процедура за сигурност, при осигуряване на достъп на Клиента до оборудване, негова собственост.