Споразумение за обработка на лични данни

Между:

НИУМИ ЕООД (ЕИК: 207334816), еднолично дружество с ограничена отговорност, регистрирано съгласно законодателството на Република България, със седалище и адрес на управление: гр. София, п.к. 1729, р-н Младост, ж.к. Младост 1А, бул. Анна Ахматова № 9, ет. 2 ("Обработващ" или "НИУМИ")

и

Юридическото лице, приело Общите условия за ползване на платформата NIUMI AI Assistant ("Администратор" или "Търговец")

Дата на влизане в сила: [ДАТА]

1. Определения

За целите на настоящото Споразумение за обработка на лични данни ("СОД") посочените по-долу термини имат следното значение. Термини с главна буква, които не са дефинирани тук, имат значението, придадено им в ОРЗД или в Общите условия.

1.1. "Администратор на лични данни" ("Администратор") означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработване на лични данни. В контекста на настоящото СОД Администраторът е Търговецът.

1.2. "Субект на данни" означава идентифицирано или подлежащо на идентификация физическо лице, чиито лични данни се обработват съгласно настоящото СОД — по-конкретно крайните потребители, които взаимодействат с AI асистента на Търговеца.

1.3. "СОД" означава настоящото Споразумение за обработка на лични данни, включително всички приложения към него.

1.4. "ОРЗД" означава Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни (Общ регламент относно защитата на данните).

1.5. "Данни на Търговеца" означава лични данни на крайни потребители, които се обработват от НИУМИ от името на Търговеца чрез Услугите.

1.6. "Лични данни" означава всяка информация, свързана с идентифицирано или подлежащо на идентификация физическо лице, съгласно определението в чл. 4, т. 1 от ОРЗД.

1.7. "Нарушение на сигурността на лични данни" означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, предавани, съхранявани или обработвани по друг начин, съгласно определението в чл. 4, т. 12 от ОРЗД.

1.8. "Обработване" означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства, като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване, съгласно определението в чл. 4, т. 2 от ОРЗД.

1.9. "Обработващ лични данни" ("Обработващ") означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора. В контекста на настоящото СОД Обработващият е НИУМИ.

1.10. "Услуги" означава платформата NIUMI AI Assistant и всички свързани услуги, предоставяни от НИУМИ на Търговеца съгласно Общите условия.

1.11. "Подобработващ" означава всяко трето лице, ангажирано от НИУМИ за обработване на Данни на Търговеца от името на Търговеца.

1.12. "Надзорен орган" означава независим публичен орган, създаден от държава-членка на ЕС съгласно чл. 51 от ОРЗД. За България надзорен орган е Комисията за защита на личните данни (КЗЛД).

1.13. "Стандартни договорни клаузи" ("СДК") означава стандартните договорни клаузи за предаване на лични данни към трети държави, приети от Европейската комисия съгласно Решение за изпълнение (ЕС) 2021/914.

1.14. "Общи условия" означава споразумението между НИУМИ и Търговеца, уреждащо ползването на Услугите.

2. Обхват и роли

2.1. Настоящото СОД урежда обработването на лични данни от НИУМИ от името на Търговеца във връзка с предоставянето на Услугите.

2.2. Търговецът действа като Администратор на лични данни и определя целите и средствата за обработване на Данните на Търговеца. НИУМИ действа като Обработващ лични данни и обработва Данните на Търговеца единствено от името на и в съответствие с документираните указания на Търговеца.

2.3. Настоящото СОД допълва и е неразделна част от Общите условия. При противоречие между настоящото СОД и Общите условия по отношение на въпроси, свързани със защитата на данните, настоящото СОД има предимство.

2.4. Настоящото СОД не се прилага за лични данни, за които НИУМИ е самостоятелен администратор (напр. данни за акаунта на Търговеца, информация за фактуриране).

3. Предмет и срок

3.1. Предмет: Обработване на лични данни на крайни потребители чрез платформата NIUMI AI Assistant с цел предоставяне на автоматизирано обслужване на клиенти, поддръжка на продажби и автоматизация на поддръжката чрез AI по комуникационни канали (включително, но не само, Instagram, WhatsApp, Viber, Telegram, TikTok, Facebook Messenger и уебсайт чат).

3.2. Срок: Настоящото СОД е в сила за срока на действие на Общите условия и продължава да действа до пълното изтриване или връщане на всички Данни на Търговеца в съответствие с Раздел 14.

3.3. Характер на обработването: Събиране, съхранение, извличане, използване, предаване, анонимизиране и изтриване на лични данни, доколкото е необходимо за предоставянето на Услугите.

4. Видове обработвани лични данни

Следните категории лични данни могат да бъдат обработвани съгласно настоящото СОД:

4.1. Информация за контакт: Име, електронна поща, телефонен номер, физически адрес.

4.2. Идентификатори на канали: Instagram потребителски ID, WhatsApp номер, Viber ID, Telegram ID, TikTok ID, Facebook ID, идентификатор на чат сесия на уебсайт.

4.3. Данни от разговори: Съдържание на съобщения, времеви маркери, прикачени файлове, отговори, генерирани от AI.

4.4. Данни за електронна търговия: Детайли на поръчки, статус на поръчки, адрес за доставка, адрес за фактуриране, финансов статус, продуктови предпочитания.

4.5. Данни за доставка: Информация за проследяване на куриерски пратки, адреси за доставка, предпочитания за получаване от офис.

4.6. Профилни данни: Име за показване, URL на аватар, клиентски сегменти, стойност на клиента за целия период, езикови предпочитания.

4.7. Данни за верификация: Статус на верификация на електронна поща/телефон, източник на верификация.

4.8. Технически данни: Отпечатък на устройството (уебсайт чат), тип на браузъра (уебсайт чат).

5. Категории субекти на данни

5.1. Субектите на данни са крайни потребители — клиентите на Търговеца, които взаимодействат с AI асистента на Търговеца чрез комуникационни канали (Instagram, WhatsApp, Viber, Telegram, TikTok, Facebook Messenger) или уебсайт чат.

6. Задължения на Обработващия

НИУМИ, в качеството си на Обработващ, е длъжен:

6.1. Да обработва само по указания. Да обработва лични данни само въз основа на документирани указания от Администратора, включително по отношение на предаване на лични данни към трета държава или международна организация, освен ако обработването не се изисква от правото на Европейския съюз или правото на държава-членка, приложимо спрямо Обработващия. В такъв случай НИУМИ информира Администратора за това правно изискване преди обработването, освен ако правото забранява подобно информиране на важни основания от обществен интерес.

6.2. Да осигури поверителност. Да гарантира, че всички лица, упълномощени да обработват лични данни, са поели ангажимент за поверителност или са обвързани с подходящо нормативно задължение за поверителност.

6.3. Да прилага мерки за сигурност. Да прилага подходящи технически и организационни мерки за осигуряване на ниво на сигурност, съответстващо на риска, както е описано в Приложение 2 към настоящото СОД, в съответствие с чл. 32 от ОРЗД.

6.4. Да ангажира подобработващи в съответствие с правилата. Да ангажира подобработващи само в съответствие с Раздел 8 от настоящото СОД и да налага на всеки подобработващ чрез писмено споразумение задължения за защита на данните, еквивалентни на тези, предвидени в настоящото СОД.

6.5. Да оказва съдействие при упражняване на правата на субектите на данни. Като взема предвид естеството на обработването, да оказва съдействие на Администратора чрез подходящи технически и организационни мерки, доколкото е възможно, за изпълнение на задължението на Администратора да отговаря на искания за упражняване на правата на субектите на данни съгласно Глава III от ОРЗД (включително правото на достъп, коригиране, изтриване, ограничаване, преносимост на данните и правото на възражение).

6.6. Да оказва съдействие при задълженията за сигурност и ОВЗД. Да оказва съдействие на Администратора при осигуряване на спазването на задълженията съгласно чл. 32-36 от ОРЗД, като взема предвид естеството на обработването и наличната информация. Това включва съдействие при изготвяне на оценки на въздействието върху защитата на данните (ОВЗД) и предварителна консултация с надзорни органи, когато се изисква.

6.7. Да изтрие или върне данните. По избор на Администратора да изтрие или да върне всички лични данни на Администратора след прекратяване на предоставянето на Услугите, свързани с обработването, и да изтрие съществуващите копия, освен ако правото на Европейския съюз или правото на държава-членка изисква съхранение на личните данни. Изтриването се извършва в срок от тридесет (30) дни от прекратяването, при условията на Раздел 14.

6.8. Да докаже съответствие. Да предоставя на Администратора цялата информация, необходима за доказване на спазването на задълженията по чл. 28 от ОРЗД и настоящото СОД, и да позволява и допринася за одити, включително проверки, извършвани от Администратора или от одитор, упълномощен от Администратора, в съответствие с Раздел 13.

6.9. Да информира за нарушаващи указания. Незабавно да информира Администратора, ако по мнение на НИУМИ дадено указание на Администратора нарушава ОРЗД или други разпоредби на Европейския съюз или на държава-членка за защита на данните.

7. Задължения на Администратора

Търговецът, в качеството си на Администратор, е длъжен:

7.1. Да осигури правно основание. Да гарантира, че разполага с валидно правно основание за обработването на лични данни съгласно ОРЗД, включително, но не само, законен интерес, съгласие или договорна необходимост, в зависимост от конкретните дейности по обработване.

7.2. Да предоставя уведомления за поверителност. Да предоставя подходящи уведомления за поверителност на субектите на данни, информиращи ги за обработването на техните лични данни, включително за използването на автоматизация, базирана на AI, в съответствие с чл. 13 и 14 от ОРЗД.

7.3. Да отговаря на искания на субектите на данни. Да отговаря на исканията на субектите на данни в съответствие с Глава III от ОРЗД, като при необходимост използва съдействието на НИУМИ, описано в Раздел 12.

7.4. Да осигури законосъобразност на указанията. Да гарантира, че всички указания, дадени на НИУМИ относно обработването на лични данни, са в съответствие с приложимото законодателство за защита на данните. Администраторът носи изключителна отговорност за точността, качеството и законосъобразността на личните данни и за средствата, чрез които Администраторът е придобил личните данни.

7.5. Да поддържа съответствие с ОРЗД. Да поддържа собственото си съответствие с ОРЗД и всички приложими закони за защита на данните, включително да поддържа подходящи регистри на дейностите по обработване съгласно чл. 30 от ОРЗД.

7.6. Да информира крайните потребители за обработване чрез AI. Да гарантира, че крайните потребители са информирани, че взаимодействат с асистент, задвижван от AI, в съответствие с приложимите изисквания за прозрачност.

8. Подобработващи

8.1. Общо разрешение. Администраторът с настоящото предоставя на НИУМИ общо писмено разрешение за ангажиране на подобработващи за обработването на Данни на Търговеца. Актуалният списък на одобрените подобработващи е посочен в Списъка на подобработващите, достъпен на niumi.ai/legal/sub-processors.

8.2. Уведомление за промени. НИУМИ уведомява Администратора за всяка планирана промяна, свързана с добавяне или замяна на подобработващи, най-малко тридесет (30) дни преди такава промяна, по електронна поща на адреса, свързан с акаунта на Администратора.

8.3. Право на възражение. Администраторът разполага с петнадесет (15) дни от получаване на уведомлението, за да възрази срещу ангажирането на нов подобработващ на основателни основания, свързани със защитата на данните. Ако Администраторът повдигне основателно възражение, страните обсъждат притесненията добросъвестно и се опитват да постигнат търговски разумно решение. Ако не бъде постигнато решение, Администраторът може да прекрати засегнатия компонент от Услугата без неустойка, като предостави писмено уведомление в срок от тридесет (30) дни от възражението.

8.4. Задължения на подобработващите. НИУМИ налага на всеки подобработващ чрез писмено споразумение задължения за защита на данните, които не са по-малко защитни от тези, предвидени в настоящото СОД. Такива задължения включват като минимум същите задължения, наложени на НИУМИ съгласно настоящото СОД по отношение на обработването на лични данни.

8.5. Отговорност на Обработващия. НИУМИ остава изцяло отговорен пред Администратора за изпълнението на задълженията на всеки подобработващ. Когато подобработващ не изпълни задълженията си за защита на данните, НИУМИ отговаря пред Администратора за действията и бездействията на подобработващия, като за свои собствени действия и бездействия.

9. Международно предаване на данни

9.1. Места на предаване. Някои подобработващи, ангажирани от НИУМИ, обработват Данни на Търговеца извън Европейския съюз / Европейското икономическо пространство (ЕС/ЕИП), предимно в Съединените американски щати. Конкретните местоположения са посочени в Списъка на подобработващите.

9.2. Механизми за предаване. Всички международни предавания на лични данни се защитават с подходящи гаранции, по-конкретно:

(а) Рамката за защита на данните ЕС-САЩ (EU-US Data Privacy Framework) за подобработващи, сертифицирани по тази рамка; и/или

(б) Стандартни договорни клаузи, приети съгласно Решение за изпълнение (ЕС) 2021/914 на Комисията, Модул 2 (Администратор към Обработващ), като резервен или основен механизъм, когато Рамката за защита на данните не се прилага.

9.3. Оценки на въздействието от предаването. НИУМИ е извършил оценки на въздействието от предаването за всеки подобработващ, намиращ се извън ЕС/ЕИП, за да оцени нивото на защита на данните в държавата получател и ефективността на механизма за предаване, като взема предвид законодателството и практиките на държавата получател.

9.4. Обезсилване на гаранциите. НИУМИ незабавно уведомява Администратора, ако узнае, че приложим механизъм за предаване е бил обезсилен или вече не е достатъчен за осигуряване на адекватно ниво на защита на личните данни. В такъв случай НИУМИ работи с Администратора добросъвестно за прилагане на алтернативни гаранции или, когато е необходимо, за прекратяване на съответното предаване.

10. Сигурност на данните

10.1. НИУМИ прилага и поддържа подходящи технически и организационни мерки за сигурност за защита на Данните на Търговеца срещу случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп. Тези мерки са описани подробно в Приложение 2 към настоящото СОД.

10.2. Мерките за сигурност включват като минимум:

(а) Криптиране в покой: AES-256-GCM за чувствителни идентификационни данни; криптиране на ниво база данни за съхранените данни.

(б) Криптиране при пренос: TLS 1.2 или по-нова версия за всички предавания на данни.

(в) Контрол на достъпа: JWT RS256 многодоставчикова автентикация; CASL система за разрешения на базата на роли; достъп при необходимост от знание.

(г) Изолация на данните при множество наематели: Обхват на достъп до данни по организация с organization_id, приложен на всички заявки към базата данни.

(д) Сигурност на уебхуковете: Верификация на подпис HMAC-SHA256 със сравнение, устойчиво на атаки по времеви канал, за всички входящи полезни товари на уебхукове.

(е) Редовни прегледи на сигурността на инфраструктурата, кода и процесите.

(ж) Задължения за поверителност на служителите за целия персонал с достъп до Данни на Търговеца.

10.3. НИУМИ редовно преглежда и, когато е необходимо, актуализира мерките за сигурност, за да отчита нови заплахи, уязвимости и развития в технологиите за сигурност.

11. Уведомяване при нарушение на сигурността на данните

11.1. Уведомяване на Администратора. НИУМИ уведомява Администратора без ненужно забавяне и във всеки случай не по-късно от четиридесет и осем (48) часа след узнаване за нарушение на сигурността на лични данни, засягащо Данни на Търговеца.

11.2. Съдържание на уведомлението. Уведомлението включва, доколкото е възможно:

(а) Описание на характера на нарушението на сигурността на личните данни, включително, когато е възможно, категориите и приблизителния брой на засегнатите субекти на данни и категориите и приблизителния брой на засегнатите записи на лични данни;

(б) Името и данните за контакт на лицето за контакт в НИУМИ, от което може да се получи повече информация;

(в) Описание на вероятните последици от нарушението на сигурността на личните данни;

(г) Описание на предприетите или предложени мерки за справяне с нарушението, включително, когато е целесъобразно, мерки за смекчаване на възможните неблагоприятни последици.

11.3. Сътрудничество. НИУМИ сътрудничи на Администратора при разследването и реагирането на нарушението, както и при уведомяването на съответния надзорен орган и засегнатите субекти на данни, когато е необходимо съгласно чл. 33 и 34 от ОРЗД.

11.4. Регистър на нарушенията. НИУМИ поддържа вътрешен регистър на всички нарушения на сигурността на лични данни, документиращ фактите, свързани с нарушението, неговите последици и предприетите коригиращи действия.

12. Съдействие при упражняване на правата на субектите на данни

12.1. НИУМИ оказва съдействие на Администратора при изпълнение на задължението му да отговаря на искания на субекти на данни за упражняване на техните права съгласно Глава III от ОРЗД.

12.2. Пренасочване на преки искания. Ако НИУМИ получи искане директно от субект на данни, НИУМИ незабавно пренасочва искането към съответния Администратор и не отговаря директно на субекта на данни, освен ако не е инструктиран да направи това от Администратора.

12.3. Технически възможности. НИУМИ предоставя следните технически възможности в подкрепа на правата на субектите на данни:

(а) Експорт на данни: Експорт на личните данни на субекта на данни в структуриран, общоизползван и машинночетим формат (JSON);

(б) Изтриване и анонимизиране на данни: Изтриване или необратимо анонимизиране на личните данни на субекта на данни;

(в) Коригиране на данни: Коригиране или изменение на личните данни на субекта на данни.

12.4. Срок за отговор. НИУМИ отговаря на исканията на Администратора за съдействие в срок от пет (5) работни дни от получаване на искането.

13. Права за одит

13.1. Администраторът може да одитира съответствието на НИУМИ с настоящото СОД, при условията, предвидени в настоящия Раздел.

13.2. Честота. Одитите се ограничават до един (1) път годишно, освен ако одит е иницииран вследствие на нарушение на сигурността на данните или изискване на надзорен орган.

13.3. Уведомление. Администраторът предоставя на НИУМИ най-малко тридесет (30) дни предварително писмено уведомление за всеки одит, като посочва обхвата и продължителността.

13.4. Алтернативни доказателства. НИУМИ може по своя преценка да удовлетвори исканията за одит, като предостави на Администратора доклади от одити на трети страни (като доклади SOC 2 Тип II) или сертификати, обхващащи обхвата на искания одит. Администраторът приема такива доклади като разумна алтернатива на одити на място, при условие че те адекватно адресират опасенията на Администратора.

13.5. Разходи за одит. Разходите за одит се поемат от Администратора, освен ако одитът разкрие съществено несъответствие от страна на НИУМИ с условията на настоящото СОД, в който случай разходите се поемат от НИУМИ.

13.6. Поверителност. Администраторът и всеки одитор, действащ от негово име, третират цялата информация, получена в хода на одита, като поверителна и не я разкриват на трети лица без предварителното писмено съгласие на НИУМИ.

14. Връщане и изтриване на данни

14.1. Експорт на данни. При прекратяване или изтичане на Общите условия Администраторът може да поиска експорт на всички Данни на Търговеца в срок от тридесет (30) дни от датата на влизане в сила на прекратяването.

14.2. Изтриване. След изтичане на тридесетдневния (30) срок по Раздел 14.1, НИУМИ изтрива всички Данни на Търговеца, с които разполага, освен ако приложимото законодателство изисква запазването им.

14.3. Обхват на изтриването. Изтриването обхваща:

(а) Анонимизиране на стенограми от разговори (премахване на всяка идентифицираща информация);

(б) Окончателно изтриване на лична идентифицируема информация, включително имена, електронни пощи, телефонни номера и физически адреси;

(в) Изтриване на карти за разрешаване на самоличност;

(г) Изтриване на съдържание от базата знания, качено от Търговеца.

14.4. Изключения. Записи за поръчки могат да бъдат запазени в анонимизирана форма, когато е необходимо за счетоводни, данъчни или регулаторни цели, при условие че всички лични данни са необратимо анонимизирани.

14.5. Удостоверяване. НИУМИ, по искане на Администратора, предоставя писмено удостоверение, че всички Данни на Търговеца са изтрити в съответствие с настоящия Раздел.

15. Отговорност

15.1. Отговорността на всяка страна по настоящото СОД е предмет на изключенията и ограниченията на отговорността, предвидени в Общите условия.

15.2. Нищо в настоящото СОД не ограничава отговорността на която и да е от страните за:

(а) Административни глоби, наложени директно на тази страна от надзорен орган съгласно чл. 83 от ОРЗД;

(б) Искове за обезщетение от субекти на данни съгласно чл. 82 от ОРЗД, до степента на отговорността на тази страна за причинената вреда;

(в) Измама или измамно представяне;

(г) Всяка отговорност, която не може да бъде ограничена или изключена съгласно приложимото законодателство.

16. Срок и прекратяване

16.1. Дата на влизане в сила. Настоящото СОД влиза в сила от датата, на която Търговецът приема Общите условия за платформата NIUMI AI Assistant.

16.2. Продължителност. Настоящото СОД остава в сила за срока на действие на Общите условия.

16.3. Действие след прекратяване. Разпоредбите на настоящото СОД продължават да действат след прекратяване на Общите условия до пълното изтриване или връщане на всички Данни на Търговеца в съответствие с Раздел 14.

17. Приложимо право и разрешаване на спорове

17.1. Приложимо право. Настоящото СОД се урежда и тълкува в съответствие със законите на Република България, без да се вземат предвид разпоредбите за стълкновение на закони.

17.2. Компетентност. Всички спорове, произтичащи от или във връзка с настоящото СОД, се отнасят за разрешаване от компетентния съд в гр. София, България.

17.3. Запазване на правата на субектите на данни. Нищо в настоящото СОД не засяга правото на субектите на данни да подават жалби пред надзорен орган в държавата-членка на тяхното обичайно местопребиваване, място на работа или място на предполагаемото нарушение, в съответствие с чл. 77 от ОРЗД.

18. Общи разпоредби

18.1. Цялостно споразумение. Настоящото СОД, заедно с Общите условия, представлява цялото споразумение между страните по отношение на предмета му и заменя всички предходни и едновременни споразумения, договорености и декларации.

18.2. Изменения. Настоящото СОД може да бъде изменяно само с писмен акт, подписан от двете страни, или чрез предоставяне от НИУМИ на актуализирани условия с разумно предизвестие до Администратора.

18.3. Делимост. Ако някоя разпоредба на настоящото СОД бъде обявена за недействителна или неприложима, останалите разпоредби остават в пълна сила и действие, а недействителната разпоредба се реформира до минималната необходима степен, за да стане действителна и приложима.

18.4. Без отказ от права. Неупражняването от която и да е от страните на право или разпоредба по настоящото СОД не представлява отказ от такова право или разпоредба.

18.5. Контакт. За въпроси или искания, свързани с настоящото СОД, се свържете с НИУМИ на:

  • Поверителност: privacy@niumi.ai
  • Длъжностно лице по защита на данните: dpo@niumi.ai
  • Уебсайт: niumi.ai

Приложение 1: Подробности за обработването

| Елемент | Описание | |---|---| | Цел на обработването | Предоставяне на автоматизирано обслужване на клиенти, поддръжка на продажби и автоматизация на поддръжката чрез AI от името на Търговеца чрез платформата NIUMI AI Assistant по комуникационни канали и уебсайт чат | | Категории лични данни | Информация за контакт (име, електронна поща, телефон, адрес); идентификатори на канали (Instagram ID, WhatsApp номер, Viber ID, Telegram ID, TikTok ID, Facebook ID, идентификатор на чат сесия); данни от разговори (съобщения, времеви маркери, прикачени файлове, AI отговори); данни за електронна търговия (поръчки, адреси за доставка/фактуриране, финансов статус, продуктови предпочитания); данни за доставка (проследяване, адреси, предпочитания за получаване); профилни данни (име за показване, аватар, сегменти, стойност на клиента, език); данни за верификация (статус на електронна поща/телефон, източник); технически данни (отпечатък на устройство, тип на браузър) | | Категории субекти на данни | Крайни потребители (клиенти на Търговеца), които взаимодействат с AI асистента на Търговеца чрез комуникационни канали или уебсайт чат | | Срок на съхранение | За срока на действие на Общите условия; данните се изтриват в рамките на 30 дни от прекратяването по искане на Администратора. Анонимизирани записи на поръчки могат да бъдат запазени за счетоводни и регулаторни цели. | | Операции по обработване | Събиране, съхранение, извличане, използване, предаване, анонимизиране, изтриване |

Приложение 2: Технически и организационни мерки за сигурност

Следните мерки се прилагат от НИУМИ за защита на Данните на Търговеца:

Криптиране

  • В покой: AES-256-GCM криптиране за чувствителни идентификационни данни и тайни; криптиране на ниво база данни за всички съхранени данни (DigitalOcean управляван PostgreSQL с криптиране в покой).
  • При пренос: TLS 1.2 или по-нова версия за всички предавания на данни, включително API заявки, уебхук комуникации и междуслужбен трафик.

Контрол на достъпа

  • Автентикация: JWT RS256 многодоставчикова система за автентикация, поддържаща множество типове участници (потребители, приложения, устройства).
  • Оторизация: CASL система за разрешения на базата на роли с динамична интерполация на условия, прилагаща детайлен контрол на достъпа по ресурс и действие.
  • Изолация на данни: Мултитенант архитектура със задължителен обхват по organization_id на всички заявки към базата данни, осигуряваща стриктно разделение на наемателите на ниво приложение.
  • Принцип на достъп: Достъпът до Данни на Търговеца се предоставя само на упълномощен персонал при необходимост от знание.

Сигурност на инфраструктурата

  • Хостинг: DigitalOcean управляема инфраструктура с VPC (виртуална частна мрежа) мрежова изолация.
  • База данни: Управляван PostgreSQL с автоматизирани ежедневни резервни копия, възстановяване до определен момент и криптиране в покой.
  • Съхранение на файлове: S3-съвместимо обектно съхранение с политики за контрол на достъпа.
  • Мрежа: VPC-базирана мрежова изолация; базата данни е достъпна само от частната мрежа.

Сигурност на уебхуковете и API

  • Верификация на уебхукове: Верификация на подпис HMAC-SHA256 със сравнение, устойчиво на атаки по времеви канал, за всички входящи полезни товари от комуникационни канали и услуги на трети страни.
  • Ограничаване на честотата: Конфигурируемо ограничаване на честотата по маршрут за предотвратяване на злоупотреби и осигуряване на наличност.
  • Валидиране на входни данни: Валидиране на входни данни на базата на схеми по всички крайни точки на API.

Управление на идентификационни данни

  • Криптиране на ниво приложение: Всички чувствителни идентификационни данни (API ключове, токени на канали, OAuth тайни) са криптирани с AES-256-GCM в структуриран формат, поддържащ ротация на ключове (v2.keyId.iv.tag.ciphertext).
  • Ротация на ключове: Поддръжка на ротация на ключове за криптиране без прекъсване на услугата.

Минимизиране на данните

  • Дизайн на AI промптове: В AI промптовете се използват референции на тракери на обекти вместо необработена лична идентифицируема информация, което минимизира експозицията на лични данни към доставчиците на AI модели.
  • Събиране на данни: Събират се и се обработват само данни, необходими за предоставянето на Услугите.

Мониторинг и реагиране при инциденти

  • Проследяване на сесии: Мониторинг на активни сесии и модели на достъп.
  • Ограничаване на честотата и откриване на аномалии: Ограничаване на честотата по маршрут с конфигурируеми прагове.
  • Реагиране при инциденти: Въведени процедури за откриване на нарушения и уведомяване, с ангажимент за уведомяване на Администратора в рамките на 48 часа от узнаване за нарушение.

Мерки по отношение на персонала

  • Поверителност: Целият персонал с достъп до Данни на Търговеца е обвързан със задължения за поверителност.
  • Обучение: Съответният персонал получава обучение по задълженията за защита на данните и най-добрите практики за сигурност.
  • Прегледи на достъпа: Периодични прегледи на правата за достъп за осигуряване на съответствие с принципа за необходимост от знание.

Приложение 3: Стандартни договорни клаузи

За международни предавания на лични данни към подобработващи, намиращи се извън ЕС/ЕИП, Стандартните договорни клаузи, приети съгласно Решение за изпълнение (ЕС) 2021/914 на Комисията от 4 юни 2021 г., се включват чрез препращане в настоящото СОД.

Приложимият модул е Модул 2: Предаване от Администратор към Обработващ.

СДК се считат за попълнени, както следва:

  • Клауза 7 (Клауза за присъединяване): Включена.
  • Клауза 9 (Използване на подобработващи): Вариант 2 — Общо писмено разрешение, със списъка на подобработващите и механизма за уведомяване, както е предвидено в Раздел 8 от настоящото СОД.
  • Клауза 11 (Правна защита): Незадължителната формулировка не е включена.
  • Клауза 13 (Надзор): Надзорният орган на държавата-членка, в която е установен Администраторът, или, когато Администраторът не е установен в ЕС, Комисията за защита на личните данни на България (КЗЛД).
  • Клауза 17 (Приложимо право): Законите на Република България.
  • Клауза 18 (Избор на съд и компетентност): Съдилищата на гр. София, България.

Приложенията към СДК се попълват с информацията, посочена в Приложение 1 и Приложение 2 от настоящото СОД, и Списъка на подобработващите.

Пълният текст на СДК е достъпен на: https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj

Настоящото Споразумение за обработка на лични данни е последно актуализирано на [ДАТА].

НИУМИ ЕООД — niumi.ai — privacy@niumi.ai