Споразумение за обработка на данни (AVV]
съгласно чл. 28, ал. 3 от Общия регламент за защита на данните (GDPR]
§ 1 Предмет и продължителност на поръчката
(1] Това споразумение урежда правата и задълженията на страните във връзка с обработката на лични данни от страна на изпълнителя (обработващ данните] по поръчка на клиента (контрольор]. Прилага се за всички дейности, при които служители на изпълнителя или трети страни, упълномощени от него, могат да влязат в контакт с лични данни на контролера.
(2] Продължителността на това споразумение се определя от продължителността на основния договор за използване на софтуера "BusWay". То автоматично приключва с прекратяването на основния договор, освен ако не съществуват законови задължения за съхранение.
§ 2 Вид и цел на обработката
(1] Обработващият предоставя на контролера платформа Software-as-a-Service (SaaS]. Обработката включва събиране, съхранение, оценка и предоставяне на данни в подкрепа на оперативните процеси.
(2] Целта на обработката е дигиталното инструктиране на Route/Line, навигацията на персонала, управлението на информацията за маршрутите, както и техническото осигуряване на работата на софтуера.
§ 3 Вид на данните и кръг на засегнатите лица
(1] Категории засегнати лица: Служители на клиента (шофьори, диспечери, администратори].
(2] Вид на обработваните лични данни:
- Идентификационни данни (потребителско име, имейл адрес, име и фамилия].
- Данни за местоположение и движение (GPS координати по време на активна употреба на приложението, истории на маршрутите].
- Метаданни на устройството (IP адрес, ID на устройството, версия на операционната система, версия на приложението].
- Данни за използване (времеви отпечатъци на влизанията, създадени или изминати маршрути, логове за синхронизация].
§ 4 Задължения на обработващия
(1] Обработващият обработва лични данни изключително в рамките на постигнатите споразумения и по указание на контролера, освен ако не е задължен от законови разпоредби да извърши друга обработка.
(2] Обработващият гарантира, че всички лица, които са упълномощени да обработват личните данни, са се задължили да спазват конфиденциалност или са обект на подходящо законово задължение за поверителност.
(3] Обработващият предприема всички необходими мерки съгласно чл. 32 GDPR (Сигурност на обработката], за да гарантира ниво на защита, което е адекватно на риска.
(4] Обработващият подпомага контролера при спазването на задълженията, посочени в чл. 32 до 36 GDPR (напр. съобщаване на нарушения на защитата на личните данни] в рамките на своите възможности.
§ 5 Задължения на контролера
(1] Контролерът носи единствена отговорност за оценката на допустимостта на обработката съгласно чл. 6, ал. 1 GDPR, както и за защитата на правата на засегнатите лица (напр. информиране на служителите за GPS проследяването].
(2] Контролерът дава своите указания обикновено чрез използването на софтуерните функции (напр. създаване или изтриване на потребители]. Устните указания трябва да бъдат потвърдени незабавно писмено или в текстова форма (имейл].
§ 6 Технически и организационни мерки (TOM]
(1] Обработващият е предприел подходящи технически и организационни мерки, за да защити данните от неоторизиран достъп, загуба или промяна.
- Поверителност: Криптиране на предаването на данни (SSL/TLS], защита с парола (хеширане], контроли за достъп.
- Интегритет: Контрол на въвеждането, протоколиране на системните достъпи, разделяне на данните на клиентите (логическо разделяне].
- Наличност: Редовни резервни копия, излишна сървърна инфраструктура, планове за действие при извънредни ситуации (възстановяване след бедствие].
- Устойчивост: Използване на мащабируеми облачни инфраструктури и редовна проверка на сигурността на системата.
§ 7 Поддоговорни отношения
(1] Контролерът дава на обработващия общо разрешение да привлича други обработващи (подизпълнители] за изпълнение на договорните задължения.
(2] Обработващият информира контролера за всяка планирана промяна по отношение на привличането или замяната на други обработващи.
(3] Актуално използваните подизпълнители са посочени в приложението към този договор.
§ 8 Права за контрол
(1] Контролерът има право да проверява спазването на законовите разпоредби и правилата на този договор от страна на обработващия в разумен обхват. Тъй като става въпрос за SaaS решение, доказателството може да бъде предоставено предимно чрез сертификати или удостоверения от независими трети страни.
§ 9 Изтриване и връщане на данни
(1] След приключване на предоставянето на услугите по обработка, обработващият изтрива всички лични данни или ги връща на контролера, освен ако не съществува законово задължение за съхранение.
§ 10 Заключителни разпоредби
(1] Ако отделни части от това споразумение са невалидни, това не засяга валидността на останалите разпоредби.
(2] Прилага се правото на Федерална република Германия. Компетентен съд е седалището на обработващия.
Обработващият използва следните доставчици на услуги за изпълнение на своята услуга:
| Услуга | Доставчик на услуги | Местоположение на сървъра |
|---|---|---|
| Хостинг, база данни и бекенд | Strato AG | Берлин / Карлсруе, DE |
| Данни за карти и геокодиране | Google Cloud EMEA | Дъблин, IE (EU] |
| Търговец на дребно / Търговец на запис | Paddle.com Market Ltd | Лондон, UK (Решение за адекватност] |