Споразумение за обработка на данни

1. Предмет и срок

Предметът на обработката е предоставянето на цифровата платформа WaiverKit за декларации на Администратора. Обработката продължава, докато Администраторът поддържа активен акаунт, и през всеки приложим период на задържане след прекратяване, описан в раздел 11.

2. Естество и цел на обработката

Обработващият обработва лични данни единствено с цел хостване, доставка, защита и поддръжка на услугата WaiverKit: събиране и съхранение на подписани декларации, генериране на PDF записи, изпращане на транзакционни имейли, удостоверяване на потребители, обработка на плащания и изготвяне на анализи от името на Администратора.

3. Видове лични данни и категории субекти на данни

Обработваните лични данни могат да включват:

• Идентификационни данни на подписващите (име, дата на раждане, адрес, имейл, телефон)
• Изображения на подписи и написани подписи
• Данни за настойници при подписващи непълнолетни
• Данни за акаунт на бизнес потребител (име, имейл, идентификатори за удостоверяване, IP адрес)

Категориите субекти на данни включват: участници, подписващи декларации, настойници на непълнолетни участници, както и служители или оторизирани потребители на Администратора.

4. Задължения и права на Администратора

Администраторът е отговорен за законността на събирането и обработката на лични данни, за получаването на всички необходими съгласия от субектите на данни, за точността на инструкциите, давани на Обработващия, и за гарантирането, че шаблоните за декларации и работните процеси, които конфигурира, отговарят на приложимото право. Администраторът запазва всички права върху личните данни и може да издава документирани инструкции на Обработващия по всяко време.

5. Подизпълнители

Администраторът упълномощава Обработващия да ангажира следните подизпълнители за доставка на услугата:

• Clerk (удостоверяване, управление на сесии и потребителска директория).
• Stripe (обработка на плащания и таксуване на абонаменти).
• Resend (доставка на транзакционни имейли).
• Cloudflare R2 (обектно съхранение на изображения на подписи и PDF артефакти).
• Vercel (хостинг на приложението, крайна мрежа и маршрутизиране на заявки).
• Neon (Postgres) (управляван Postgres хостинг на база данни за структурирани данни).

Обработващият ще уведомява Администратора за всяко планирано добавяне или заместване на подизпълнители с разумна възможност за възражение на законни основания.

6. Мерки за сигурност

Обработващият прилага подходящи технически и организационни мерки за защита на личните данни, включително:

• Криптиране при предаване (TLS 1.2+) и в покой за база данни и обектно съхранение
• Контрол на достъпа на базата на роли и IAM с най-малко права в цялата инфраструктура
• Изолация на наемателя, приложена на ниво приложение и заявки
• Одитно логване на административни действия и достъп до лични данни
• Редовни резервни копия, автоматизирано сканиране на зависимости и процедури за реакция при инциденти

7. Права на субектите на данни

Вземайки предвид естеството на обработката, Обработващият ще подпомага Администратора с подходящи технически и организационни мерки за изпълнение на задължението на Администратора да отговаря на заявки от субекти на данни, упражняващи правата си на достъп, коригиране, изтриване, ограничаване, преносимост и възражение съгласно членове 15 до 22 от GDPR.

8. Уведомяване за нарушения на данните

Обработващият ще уведомява Администратора без необосновано забавяне и във всеки случай в рамките на 72 часа, след като узнае за нарушение на сигурността на личните данни, засягащо данните на Администратора. Уведомлението ще описва естеството на нарушението, вероятните последици, предприетите или предложените мерки и точка за контакт за допълнителна информация.

9. Международни трансфери

Когато личните данни се прехвърлят извън Европейското икономическо пространство, Обединеното кралство или Швейцария към държава без решение за адекватно ниво на защита, тези трансфери се уреждат от стандартните договорни клаузи (SCC) на Европейската комисия и, когато е приложимо, от международното допълнение за трансфер на данни на Обединеното кралство и швейцарското допълнение, заедно с всички допълнителни мерки, изисквани от оценката на въздействието на трансфера.

10. Права на одит

Обработващият ще предоставя на Администратора цялата информация, разумно необходима за доказване на съответствието с това DPA, и ще позволява и допринася за одити, включително инспекции, извършвани от Администратора или от одитор, упълномощен от Администратора, при спазване на разумни задължения за поверителност и не повече от веднъж на календарна година, освен в случай на документиран инцидент със сигурността или регулаторно искане.

11. Прекратяване, връщане и изтриване

При прекратяване на споразумението Обработващият ще, по избор на Администратора, изтрие или върне всички лични данни, обработвани от името на Администратора, и ще изтрие съществуващите копия, освен ако приложимото право не изисква продължаващо съхранение. Резервните копия, съдържащи лични данни, ще бъдат изтрити в обичайния ход на цикъла на задържане на резервните копия.