Договор за обработка на данни (DPA)

1. Страни по договора

Настоящият Договор за обработка на данни (DPA) се сключва между:

съгласно изискванията на Регламент (ЕС) 2016/679 (GDPR) и Закона за защита на личните данни (ЗЗЛД).

2. Предмет на договора

2.1 Цел на обработката

Обработващият предоставя облачна платформа (SaaS) за управление на адвокатска практика, в рамките на която Администраторът въвежда и обработва лични данни на своите клиенти.

2.2 Категории лични данни

Обработващият може да обработва следните категории лични данни от името на Администратора:

• Идентификационни данни (имена, ЕГН, адрес, телефон, email)
• Данни от документи за самоличност
• Финансови данни (банкови сметки, плащания, фактури)
• Данни от правни документи и кореспонденция
• Съдебни дела и процесуална информация
• Други данни, въведени от Администратора

2.3 Категории субекти на данни

• Клиенти на Администратора (физически лица)
• Представители на юридически лица-клиенти
• Контрагенти и трети страни по дела
• Свидетели и други участници в правни производства

3. Задължения на Обработващия

TEMIDASOFT като Обработващ се задължава:

3.1 Инструкции на Администратора

Да обработва личните данни само съгласно документираните инструкции на Администратора, включително по отношение на предаването на данни към трети държави, освен ако не е задължен да го направи по силата на приложимото право.

3.2 Поверителност

Да гарантира, че лицата, оправомощени да обработват личните данни, са поели ангажимент за поверителност или са под подходящо законово задължение за поверителност.

3.3 Технически и организационни мерки

Да прилага всички технически и организационни мерки съгласно член 32 от GDPR, включително:

• Криптиране на данни при пренос (TLS/SSL) и съхранение
• Псевдонимизация където е приложимо
• Способност за осигуряване на постоянна поверителност, цялостност, наличност
• Способност за своевременно възстановяване на достъпа при инцидент
• Редовно тестване и оценка на ефективността на мерките
• Контрол на достъпа и логове за одит

3.4 Подизпълнители

Да не използва друг обработващ без предварително писмено разрешение на Администратора. При използване на подизпълнители, да им наложи същите задължения за защита на данните.

Текущи подизпълнители:

• Google Cloud Platform (инфраструктура) - ЕС регион
• Google Gemini AI (AI обработка) - със стандартни договорни клаузи
• Stripe (плащания) - PCI DSS сертифициран

3.5 Съдействие

Да съдейства на Администратора при изпълнение на задълженията му за:

• Отговаряне на искания за упражняване на права от субекти на данни
• Уведомяване при нарушения на сигурността на данните
• Оценка на въздействието върху защитата на данните (DPIA)
• Предварителна консултация с надзорен орган

4. Задължения на Администратора

Администраторът (адвокат/кантора) се задължава:

• Да има валидно правно основание за обработка на личните данни на своите клиенти
• Да информира своите клиенти за обработката на техните данни
• Да получи необходимите съгласия, когато това се изисква
• Да гарантира точността и актуалността на въведените данни
• Да използва платформата в съответствие с приложимото законодателство
• Да уведоми незабавно Обработващия при установяване на нарушение

5. Нарушения на сигурността

5.1 Уведомяване

При узнаване за нарушение на сигурността на личните данни, Обработващият уведомява Администратора без ненужно забавяне и не по-късно от 24 часа след узнаването.

5.2 Съдържание на уведомлението

Уведомлението съдържа:

• Описание на естеството на нарушението
• Категории и приблизителен брой засегнати субекти и записи
• Име и координати за връзка на DPO
• Описание на вероятните последици
• Предприети или предложени мерки за справяне

6. Права на субектите на данни

Обработващият осигурява техническа възможност на Администратора да изпълнява исканията на субектите на данни за:

• Достъп - експорт на данни от системата
• Коригиране - редактиране на записи
• Изтриване - изтриване на клиенти и свързани данни
• Преносимост - експорт в машинночетим формат (JSON/CSV)
• Възражение - деактивиране на обработка

7. Трансфер на данни

7.1 Местоположение на данните

Основните данни се съхраняват в центрове за данни на територията на Европейския съюз (Google Cloud - регион europe-west).

7.2 Трансфер към трети държави

При необходимост от трансфер към трети държави (напр. за AI обработка), се прилагат стандартни договорни клаузи (SCC), одобрени от Европейската комисия.

8. Срок на съхранение и изтриване

8.1 Срок на договора

Настоящият DPA е в сила за срока на ползване на услугата TEMIDASOFT.

8.2 При прекратяване

При прекратяване на договора, Обработващият по избор на Администратора:

• Връща всички лични данни чрез експорт функцията на платформата, или
• Изтрива всички лични данни в срок до 30 дни

Резервни копия се изтриват в срок до 90 дни след прекратяването.

9. Одит и съответствие

Обработващият предоставя на Администратора цялата необходима информация за демонстриране на съответствие с член 28 от GDPR и позволява извършването на одити, включително проверки от Администратора или упълномощен от него одитор.

При поискване, Обработващият предоставя:

• Сертификати за съответствие (ISO 27001, SOC 2 - при наличие)
• Доклади от тестове за проникване
• Политики за информационна сигурност

10. Отговорност

Всяка страна носи отговорност за вреди, причинени от обработка, която нарушава GDPR или настоящия договор, в съответствие с член 82 от GDPR.

Обработващият не носи отговорност за вреди, причинени от:

• Действия на Администратора в нарушение на GDPR
• Неточни данни, въведени от Администратора
• Неоторизиран достъп поради небрежност на Администратора

11. Контакт

12. Приемане

С регистрацията в платформата TEMIDASOFT и поставянето на отметка в полето „Приемам Договора за обработка на данни (DPA)", Администраторът потвърждава, че е запознат с условията на настоящия договор и ги приема изцяло.

Датата и часът на приемане се записват автоматично в системата като доказателство за сключения договор.