Споразумение за обработване на лични данни

Сключено съгласно чл. 28, параграф 3 ОРЗД. То представлява неразделна част от Общите условия и се прилага автоматично за всеки клиент на WorkAist Cloud.

Влиза в сила: 2026-07-10

Този документ се публикува на няколко езика. При несъответствие меродавна е версията на английски език.

1. Страни и роли

Настоящото Споразумение за обработване на лични данни („DPA“) се сключва между клиента, посочен в акаунта на WorkAist („Администратор“), и ILIN & SADOVENKO, LDA, Rua de Xabregas, nº 2, Escritório 3.21, 1900-440 Lisboa, Portugal, NIF 517251876 („Обработващ“).

По отношение на Клиентски данни, обработвани в WorkAist Cloud, Администраторът определя целите и средствата на обработването, а Обработващият обработва от името на Администратора. Когато самият Администратор е обработващ лични данни за трето лице, Администраторът гарантира, че разполага с правомощието да сключи настоящото DPA и че дадените от него указания отразяват указанията на това трето лице.

Настоящото DPA не се прилага за WorkAist Self-Hosted, при което Клиентски данни не достигат до системите на Обработващия, нито за данни, за които самият Обработващ е администратор, което се урежда от Политиката за поверителност.

2. Ред на предимство

Когато настоящото DPA противоречи на Общите условия, DPA има предимство по въпроси на защитата на данните. Когато противоречи на индивидуално договорен формуляр за поръчка или на подписано споразумение за обработване на лични данни, предимство има съответният документ.

3. Предмет, продължителност, естество и цел

Предметът е предоставянето на WorkAist Cloud. Естеството и целта на обработването са хостингът, съхранението, предаването и автоматизираното обработване на Клиентски данни, за да могат да функционират конфигурираните от Администратора агенти, конектори и процеси, заедно с дейностите по поддръжка, сигурност, измерване на използването и таксуване, необходими за предоставянето на Услугата.

Обработването продължава толкова дълго, колкото договорът на Администратора за WorkAist Cloud е в сила, плюс сроковете за изтриване по раздел 11.

4. Категории субекти на данни и лични данни

Администраторът решава какво качва. Обикновено обработването засяга:

Категории субекти на данниКатегории лични данни
Служителите и оправомощените потребители на АдминистратораИме, служебен имейл, роля, данни за удостоверяване, записи в одитния лог
Клиентите, потенциалните клиенти и контактите на АдминистратораИме, имейл, телефонен номер, дружество, кореспонденция, CRM записи, всеки идентификатор, който Администраторът избере да синхронизира
Доставчиците и партньорите на АдминистратораДанни за контакт, данни за договори и фактури
Всеки субект на данни, фигуриращ в документи или съобщения, обработвани от АдминистратораВсякакви лични данни, съдържащи се във файлове, имейли, транскрипти, изображения или съобщения, подадени от Администратора в Услугата

Специалните категории лични данни по чл. 9 ОРЗД и личните данни, свързани с присъди и нарушения по чл. 10 ОРЗД, не трябва да се обработват в Услугата, освен ако страните не са договорили предварително в писмена форма допълнителни гаранции.

Произход на данните

Клиентски данни достигат до Услугата, защото Администраторът свързва външни системи, качва файлове или дава указания на своите агенти да ги извлекат. Само Администраторът избира тези източници и определя какво се импортира.

Администраторът гарантира, че разполага с правно основание по чл. 6 ОРЗД — а когато е приложимо, и по чл. 9 — за събирането на тези лични данни и за прехвърлянето им на Обработващия, както и че всяко изисквано в системата източник уведомление или съгласие е налице. Обработващият няма достъп до системите източник на Администратора, не ги избира и нито проверява, нито е в състояние да провери дали те съответстват на правото за защита на данните. Установяването на това е задължение на Администратора в качеството му на администратор.

5. Обработване по документирани указания

Обработващият обработва Клиентски данни единствено по документирани указания на Администратора, включително по отношение на прехвърляния към трети държави, освен ако не е задължен да постъпи по друг начин съгласно правото на Съюза или на държава членка, на което Обработващият е подчинен. В такъв случай Обработващият уведомява Администратора за това правно изискване преди обработването, освен ако правото не забранява това уведомяване поради важни съображения от обществен интерес.

Общите условия, настоящото DPA, както и конфигурацията и използването на Услугата от страна на Администратора представляват пълните документирани указания на Администратора. Всяко допълнително указание трябва да бъде в писмена форма и, ако изисква усилия, надхвърлящи стандартната функционалност на Услугата, може да подлежи на разумна такса, договорена предварително.

Обработващият информира Администратора без ненужно забавяне, ако по негово мнение дадено указание нарушава ОРЗД или друго право на Съюза или на държава членка в областта на защитата на данните.

6. Поверителност

Обработващият гарантира, че лицата, оправомощени да обработват Клиентски данни, са поели ангажимент за поверителност или са обвързани от подходящо законово задължение за поверителност, и че достъпът е ограничен до тези, които се нуждаят от него за изпълнение на договора.

7. Сигурност на обработването

Като взема предвид достиженията на техниката, разходите за внедряване, естеството, обхвата, контекста и целите на обработването, както и риска за правата и свободите на физическите лица, Обработващият прилага следните технически и организационни мерки по чл. 32 ОРЗД.

Приложение II — Технически и организационни мерки

МяркаПрилагане
Криптиране при преносЦелият трафик до и от Услугата се предава през TLS с автоматично подновявани сертификати. Вътрешният трафик между услуги не напуска мрежата на хоста.
Криптиране на тайнитеИдентификационните данни на клиентите и тайните на конекторите се криптират в покой с AES-256-GCM с ключ, съхраняван извън базата данни на приложението.
ПсевдонимизацияЗаписите за телеметрия и измерване се отнасят до клиенти и агенти чрез идентификатор, а не чрез име или имейл, когато идентификаторът е достатъчен.
Поверителност — контрол на достъпаРолево базиран контрол на достъпа за всяко работно пространство. Всеки агент е ограничен до собствения си префикс за съхранение и собствената си схема в базата данни; достъпът между клиенти се отказва на ниво данни, а не само в потребителския интерфейс.
Поверителност — персоналАдминистративен достъп по принципа на най-малката привилегия, предоставян индивидуално и преразглеждан при промяна на ролята. Всички административни действия се записват в одитен лог само за добавяне.
ЦялостностВалидиране на входните данни и параметризирани заявки навсякъде. Всяка промяна чрез операционното API записва ред в одитния лог, идентифициращ действащото лице.
Наличност и устойчивостУправляван хостинг в център за данни от клас Tier III в Германия. Автоматизирани ежедневни резервни копия на базата данни, съхранявани криптирани и отделно от продукционната среда.
ВъзстановяванеДокументирана процедура за възстановяване от най-новото резервно копие; възстановяването се тества при промени в инфраструктурата.
Тестване и оценкаСканиране на зависимостите за уязвимости в непрекъснатата интеграция, преглед на кода преди сливане и периодичен преглед на тези мерки поне веднъж годишно и при съществена промяна в Услугата.
Минимизиране на данните чрез дизайнКонекторите синхронизират само полетата, разрешени от Администратора. Администраторът може да изтрие всяка синхронизирана таблица по всяко време.

Обработващият може да актуализира тези мерки с развитието на технологиите, при условие че нивото на защита не се намалява. Актуалната версия винаги е тази, публикувана на тази страница.

8. Подизпълнители

Администраторът дава на Обработващия общо писмено разрешение да ангажира подизпълнители. Обработващият налага на всеки подизпълнител по договор задължения за защита на данните, не по-малко защитни от тези в настоящото DPA, и остава изцяло отговорен пред Администратора за изпълнението от страна на подизпълнителя.

Приложение III — Одобрени подизпълнители

Следните подизпълнители се ангажират за всеки клиент на WorkAist Cloud, тъй като са част от инфраструктурата, на която работи Услугата.

ПодизпълнителЦелМястоГаранция за трансфер
Hetzner Online GmbHХостинг на приложните сървъри, базата данни и резервните копияГермания (ЕС)Неприложимо
Cloudflare, Inc.DNS, обратен прокси, прекратяване на TLS, защита от DDoSГлобална edge мрежа, включително ЕСSCCs; EU-US Data Privacy Framework
Stripe Payments Europe, Ltd.Обработка на плащания и абонаментиИрландия (ЕС)SCCs за последващи вътрешногрупови трансфери; EU-US Data Privacy Framework
Resend, Inc.Доставка на транзакционни имейлиСъединени щатиSCCs

Доставчици на модели

Доставчиците на големи езикови модели се третират по различен начин, тъй като Администраторът ги избира сам.

  • Ако Администраторът предостави собствени идентификационни данни за доставчик, този доставчик се ангажира от Администратора, по указания на Администратора и съгласно собственото му споразумение с него. Той не е подизпълнител на Обработващия. Обработващият само предава заявката, използвайки предоставените идентификационни данни, и не дава никаква гаранция относно сигурността, мястото на обработване, практиките за обучение или съответствието на този доставчик.
  • Ако Администраторът използва управляваното от Обработващия таксуване на токени, Обработващият избира доставчика и той е подизпълнител на Обработващия. Доставчикът, ангажиран понастоящем в това качество, е Anthropic PBC (Съединени щати), за извеждане чрез големи езикови модели, съгласно Стандартни договорни клаузи и с договорна забрана за обучение с изпратените му данни.

Администраторът може по всяко време да види в рамките на Услугата кой доставчик на модел използва всеки от неговите агенти и да го промени.

Промени в подизпълнителите

Обработващият уведомява Администратора най-малко 30 дни предварително по имейл, преди да добави или замени подизпълнител. Администраторът може да възрази на разумни основания, свързани със защитата на данните, в рамките на тези 30 дни. Ако страните не могат да разрешат възражението, Администраторът може да прекрати засегнатата част от Услугата без санкция и да получи пропорционално възстановяване на предплатените такси.

9. Съдействие при правата на субектите на данни

Като взема предвид естеството на обработването, Обработващият съдейства на Администратора чрез подходящи технически и организационни мерки, доколкото това е възможно, за изпълнението на задължението на Администратора да отговаря на заявки за упражняване на правата на субекта на данни по глава III от ОРЗД.

Услугата предоставя на Администратора пряк достъп до Клиентски данни, така че той сам да може да открива, експортира, коригира и изтрива лични данни. Когато въпреки това заявката изисква намесата на Обработващия, той отговаря без ненужно забавяне и във всеки случай в срок от 10 работни дни. Ако субект на данни се обърне директно към Обработващия относно Клиентски данни, Обработващият не отговаря по същество; той препраща заявката на Администратора без ненужно забавяне.

10. Съдействие по чл. 32 до 36

Обработващият съдейства на Администратора за осигуряване на съответствие със задълженията по чл. 32 до 36 ОРЗД, като взема предвид естеството на обработването и информацията, с която Обработващият разполага — по-специално относно сигурността на обработването, уведомяването за нарушения на сигурността на лични данни, съобщаването на субектите на данни, оценките на въздействието върху защитата на данните и предварителните консултации.

Нарушение на сигурността на лични данни

Обработващият уведомява Администратора без ненужно забавяне, и във всеки случай в срок от 48 часа, след като узнае за нарушение на сигурността на лични данни, засягащо Клиентски данни. Уведомлението описва естеството на нарушението, категориите и приблизителния брой на засегнатите субекти на данни и записи, вероятните последици, предприетите или предложени мерки и точка за контакт. Когато не цялата информация е налична едновременно, тя се предоставя поетапно без по-нататъшно ненужно забавяне. Обработващият не уведомява надзорен орган или субекти на данни от името на Администратора, освен ако не получи указание за това.

11. Изтриване и връщане на Клиентски данни

По избор на Администратора Обработващият изтрива или връща всички Клиентски данни след приключване на предоставянето на услугите, свързани с обработването, и изтрива съществуващите копия, освен ако правото на Съюза или на държава членка не изисква съхранение на личните данни.

  • В продължение на 30 дни след прекратяване на договора Администраторът може да експортира Клиентски данни от Услугата или да поиска връщането им в структуриран, широко използван, машинночетим формат.
  • Обработващият изтрива Клиентски данни от активните системи в срок от 30 дни след затварянето на този прозорец за износ.
  • Криптираните резервни копия, съдържащи Клиентски данни, се презаписват при обичайната им ротация и във всеки случай в срок от 90 дни след изтриването от активните системи.
  • При писмено искане Обработващият потвърждава изтриването писмено.

12. Одити и информация

Обработващият предоставя на Администратора цялата информация, необходима за доказване на съответствие с чл. 28 ОРЗД, и позволява и съдейства при одити, включително проверки, извършвани от Администратора или от друг одитор, упълномощен от Администратора.

На практика Обработващият първо предоставя актуалната си документация за технически и организационни мерки, списъка си с подизпълнители и писмени отговори на въпросник за сигурност. Когато това не е достатъчно за доказване на съответствие, Администраторът може да проведе одит на място или дистанционно, с 30-дневно писмено предизвестие, не повече от веднъж на календарна година, освен ако не е настъпило нарушение на сигурността на лични данни или надзорен орган не го изисква. Одитите се провеждат през работно време, не трябва необосновано да нарушават дейността на Обработващия и подлежат на поверителност. Администраторът поема собствените си разходи по одита; Обработващият поема своите собствени, освен ако одитът не разкрие съществено нарушение на настоящото DPA.

13. Международни трансфери

Обработващият съхранява Клиентски данни в покой в Германия. Трансферите към подизпълнители извън Европейското икономическо пространство, изброени в Приложение III, се извършват съгласно Стандартните договорни клаузи на Европейската комисия (Решение за изпълнение (ЕС) 2021/914), Модул трети, при който Обработващият действа като обработващ, ангажиращ подизпълнител, допълнени при необходимост с допълнителни гаранции, и — когато получателят е сертифициран — съгласно решението за адекватност за EU-US Data Privacy Framework.

Със сключването на настоящото DPA Администраторът упълномощава Обработващия да сключи тези Стандартни договорни клаузи с всеки подизпълнител от името и за сметка на Администратора.

14. Отговорност

Отговорността по настоящото DPA се урежда от ограничението на отговорността в Общите условия, като нищо не ограничава отговорността на която и да е от страните към субект на данни по чл. 82 ОРЗД или към надзорен орган.

15. Срок, приложимо право и контакт

Настоящото DPA влиза в сила, когато започне договорът на Администратора за WorkAist Cloud, и остава в сила, докато Обработващият обработва Клиентски данни. То се урежда от правото на Португалия, а съдилищата в Лисабон имат изключителна юрисдикция, без да се засяга чл. 79 ОРЗД.

Контакт по всички въпроси, свързани с настоящото DPA: [email protected].