Gem Team (Business)
Дата на влизане в сила: 11 юни 2026 г. | Версия: 1.0
DIGITAL MARKETING AGENCY LTD, Република България
Настоящото Допълнително споразумение за обработка на данни („DPA“) представлява неразделна част от Условията за ползване на услугата Gem Team (Business) („Условията“), сключени между DIGITAL MARKETING AGENCY LTD, дружество с ограничена отговорност, учредено съгласно законодателството на Република България (ЕИК: 204897396, ДДС номер: BG204897396, със седалище и адрес на управление: бул. „Васил Левски“ № 38, ет. 2, район „Средец“, гр. София, Република България) („DMA“) и Клиента, и е инкорпорирано в Условията чрез препратка. Настоящото DPA урежда обработването на Лични данни на Клиента от DMA от името на Клиента във връзка с Услугата и отразява споразумението на страните съгласно член 28, параграф 3 от Общия регламент относно защитата на данните (Регламент (ЕС) 2016/679) („ОРЗД“).
1.1. Дефиниции. Термините с главна буква, които не са дефинирани в настоящото DPA, имат значенията, дадени им в Условията. „Администратор“, „обработващ“, „лични данни“, „обработване“, „нарушение на сигурността на личните данни“, „субект на данните“ и „надзорен орган“ имат значенията, дадени им в ОРЗД. „Лични данни на Клиента“ означава лични данни, съдържащи се в Данните на Клиента и в Предоставеното съдържание, които DMA обработва от името на Клиента в хода на предоставянето на Услугата.
1.2. Приоритет. В случай на противоречие между настоящото DPA и Условията по отношение на обработването на Лични данни на Клиента, предимство има настоящото DPA. Във всички останали отношения Условията остават незасегнати.
1.3. Срок на действие. Настоящото DPA се прилага, докато DMA обработва Лични данни на Клиента, включително за периода след прекратяване на Условията до изтриването или връщането на Личните данни на Клиента в съответствие с раздел 9.
2.1. Роли. В отношенията между страните Клиентът е администратор (или, когато Клиентът действа от името на трето лице – администратор, обработващ), а DMA е обработващ (или съответно подобработващ) на Личните данни на Клиента.
2.2. Документирани нареждания. Условията, настоящото DPA и конфигурацията и използването на Услугата от Клиента (включително настройките, прилагани чрез Административния панел) съставляват пълните документирани нареждания на Клиента към DMA. Допълнителни или различни нареждания изискват предварително писмено съгласие на страните.
2.3. Спазване на нарежданията. DMA обработва Личните данни на Клиента само по документирани нареждания на Клиента, включително по отношение на предаването на Лични данни на Клиента на трета държава или международна организация, освен ако не е длъжно да направи друго по силата на правото на Съюза или правото на държава членка, което се прилага спрямо DMA; в този случай DMA уведомява Клиента за това правно изискване преди обработването, освен ако това право забранява такова уведомяване на важни основания от обществен интерес.
2.4. Нареждания в нарушение на правото. DMA незабавно уведомява Клиента, ако според DMA дадено нареждане нарушава ОРЗД или други разпоредби на Съюза или на държава членка относно защитата на данните. DMA може да спре изпълнението на такова нареждане, докато то не бъде потвърдено или изменено от Клиента.
3.1. Съдържание, криптирано от край до край. Текстовите съобщения и сигнализацията в реално време между Крайните потребители са защитени с криптиране от край до край, базирано на протокола MLS (RFC 9420), както е описано в раздел 11.1 от Условията. DMA не разполага с и технически не може да получи достъп до некриптирания текст на такова съдържание; обработването на такова съдържание от DMA се ограничава до преноса и съхранението на криптиран текст (ciphertext).
3.2. Други Лични данни на Клиента. Файловете, медийното съдържание и прикачените файлове (защитени с криптиране при пренос и при съхранение, но не и с криптиране от край до край), оперативните метаданни, описани в раздел 11.3 от Условията, данните за акаунти и регистрация, както и диагностичните данни, описани в раздел 20 от Условията, се обработват от DMA съгласно посоченото в Приложение I.
4.1. DMA гарантира, че всички лица, оправомощени от DMA да обработват Лични данни на Клиента, са поели задължение за поверителност или са обвързани от подходящо нормативно задължение за поверителност и обработват Личните данни на Клиента само доколкото това е необходимо за изпълнение на техните задачи.
5.1. Като взема предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхвата, контекста и целите на обработването, както и рисковете за правата и свободите на физическите лица, DMA прилага и поддържа подходящи технически и организационни мерки за осигуряване на ниво на сигурност, съобразено с риска, в съответствие с член 32 от ОРЗД. Мерките, приложими към Датата на влизане в сила, са описани в Приложение II. DMA може периодично да актуализира тези мерки, при условие че актуализациите не намаляват съществено общото ниво на защита.
6.1. Общо разрешение. Клиентът предоставя на DMA общо писмено разрешение да привлича подобработващи (други обработващи) за обработването на Лични данни на Клиента. Подобработващите, привлечени към Датата на влизане в сила, са посочени в Приложение III.
6.2. Промени. DMA уведомява Клиента за всяко планирано добавяне или замяна на подобработващи най-малко тридесет (30) дни преди промяната да породи действие (по имейл до Администратора, чрез известие в Услугата или чрез публикация на Уебсайта), като по този начин дава на Клиента възможност да възрази на разумни основания, свързани със защитата на данните. Ако страните не могат да разрешат обосновано възражение, Клиентът може да прекрати засегнатия абонамент, считано от датата, на която промяната поражда действие, и да получи пропорционално възстановяване на предплатените такси за периода след тази дата.
6.3. Прехвърляне на задължения и отговорност. DMA налага на всеки подобработващ, по силата на договор, задължения за защита на данните, които по същество са не по-малко защитни от предвидените в настоящото DPA, и по-специално предоставящи достатъчни гаранции за прилагане на подходящи технически и организационни мерки. Когато подобработващ не изпълни задълженията си за защита на данните, DMA продължава да носи пълна отговорност пред Клиента за изпълнението на задълженията на този подобработващ.
6.4. Доставчик на платежни услуги. За избягване на съмнение, Доставчикът на платежни услуги (раздел 4.7 от Условията) обработва платежни данни като независим администратор, действащ като търговец на запис (merchant of record), и не е подобработващ на DMA по настоящото DPA.
7.1. Искания на субекти на данни. Като взема предвид естеството на обработването, DMA подпомага Клиента чрез подходящи технически и организационни мерки, доколкото това е възможно, при изпълнението на задължението на Клиента да отговаря на искания за упражняване на правата на субектите на данни по глава III от ОРЗД. Ако DMA получи искане от субект на данни във връзка с Лични данни на Клиента, DMA, доколкото това е законово допустимо, своевременно препраща искането до Администратора и не отговаря на него по друг начин, освен да насочи субекта на данните към Клиента.
7.2. Членове 32–36. Като взема предвид естеството на обработването и информацията, с която разполага, DMA подпомага Клиента при осигуряването на изпълнението на задълженията на Клиента по членове 32–36 от ОРЗД, включително по отношение на сигурността на обработването, уведомяването за нарушения на сигурността на личните данни, оценките на въздействието върху защитата на данните и предварителните консултации с надзорните органи.
8.1. DMA уведомява Клиента без ненужно забавяне, след като узнае за нарушение на сигурността на личните данни, засягащо Лични данни на Клиента. Уведомлението, доколкото информацията е налична за DMA, описва естеството на нарушението, категориите и приблизителния брой на засегнатите субекти на данни и записи, вероятните последствия, както и предприетите или предложените мерки за справяне с нарушението и за смекчаване на евентуалните неблагоприятни последици. Информацията може да бъде предоставяна поетапно, в зависимост от наличността ѝ. Уведомяването от страна на DMA за нарушение или реакцията му на такова не представлява признание на вина или отговорност.
9.1. При прекратяване на Условията Клиентът може да експортира Данните на Клиента по време на Периода за експорт (Export Window) в съответствие с раздел 5.7 от Условията. След изтичането на Периода за експорт DMA, по избор на Клиента, съобщен преди това изтичане, изтрива или връща всички Лични данни на Клиента и изтрива съществуващите копия в съответствие с раздел 5.8 от Условията, освен ако правото на Съюза или правото на държава членка не изисква съхранение на личните данни. При липса на избор от страна на Клиента DMA изтрива Личните данни на Клиента в съответствие с раздел 5.8 от Условията. При писмено искане DMA потвърждава писмено извършеното изтриване. Клиентът потвърждава, че съдържание, криптирано от край до край, може да съществува само на устройствата на Крайните потребители и е извън контрола на DMA.
10.1. DMA предоставя на Клиента цялата информация, необходима за доказване на изпълнението на задълженията по член 28 от ОРЗД, и осигурява възможност за и съдейства при одити, включително проверки, извършвани от Клиента или от друг одитор, оправомощен от Клиента. Одитите: (а) могат да се извършват не повече от веднъж за всеки период от дванадесет (12) месеца, освен когато това се изисква от надзорен орган или след нарушение на сигурността на личните данни; (б) изискват писмено предизвестие от най-малко тридесет (30) дни; (в) се извършват в рамките на обичайното работно време, без неоснователно нарушаване на дейността на DMA и при спазване на задълженията за поверителност по Условията; и (г) са за сметка на Клиента. DMA може да удовлетвори искания за одит, на първо място, чрез предоставяне на относими сертификати, атестации или одитни доклади на трети лица.
11.1. Личните данни на Клиента се хостват в центрове за данни, разположени в Европа, както е описано в раздел 11.5 от Условията. DMA не предава Лични данни на Клиента извън Европейското икономическо пространство, освен ако предаването се извършва: (а) към държава или получател, обхванати от решение на Европейската комисия относно адекватното ниво на защита; (б) при спазване на стандартните договорни клаузи, приети от Европейската комисия (Решение (ЕС) 2021/914), с включване на допълнителни мерки, когато това е необходимо; или (в) на основание на друг валиден механизъм за предаване съгласно глава V от ОРЗД.
12.1. Отговорността на всяка от страните по или във връзка с настоящото DPA се подчинява на изключенията и ограниченията на отговорността, предвидени в раздел 13 от Условията, които се прилагат съвкупно за Условията и настоящото DPA. Нищо в настоящия раздел не ограничава правата на субектите на данни, нито отговорността на която и да е от страните по член 82 от ОРЗД, доколкото такава отговорност не може да бъде ограничена по договорен път.
13.1. Настоящото DPA се урежда от правото, посочено в раздел 17 от Условията, а споровете се разрешават в съответствие с раздел 18 от Условията. Ако някоя разпоредба на настоящото DPA бъде обявена за недействителна или неприложима, се прилага раздел 21.4 от Условията. DMA може да изменя настоящото DPA в съответствие с раздел 19 от Условията, при условие че измененията не намаляват съществено нивото на защита на Личните данни на Клиента.
Предмет и характер на обработването: хостинг, пренос, съхранение, маршрутизиране, архивиране и техническа поддръжка на комуникации и свързани данни в рамките на бизнес платформата за съобщения и съвместна работа Gem Team; за съдържание, криптирано от край до край – само пренос и съхранение на криптиран текст (ciphertext).
Цел: предоставяне и опериране на Услугата в съответствие с Условията, включително сигурност, предотвратяване на злоупотреби, отстраняване на проблеми и спазване на приложимото право.
Продължителност: срокът на действие на Условията, плюс Периодът за експорт и периодът на изтриване, описани в раздели 5.7–5.8 от Условията.
Категории субекти на данни: Крайни потребители (служители, изпълнители и други оправомощени лица на Клиента); Администратори; трети лица, с които Крайните потребители комуникират; лица, посочени в Данните на Клиента.
Категории лични данни: идентификационни данни и данни за акаунта (имена, служебни данни за контакт, идентификатори на акаунти и устройства); съдържание на комуникациите – като криптиран текст, когато е криптирано от край до край; файлове, медийно съдържание и прикачени файлове; оперативни метаданни (наличие и време на комуникациите, IP адреси, данни за маршрутизиране, членство в групи и канали); логове, диагностични и телеметрични данни.
Специални категории данни: Услугата не е предназначена за обработване на специални категории лични данни; такива данни се обработват само инцидентно, когато са включени в Данните на Клиента от Клиента или от Крайните потребители, и – в случай на съдържание, криптирано от край до край – без DMA да има достъп до некриптирания им текст.
Честота: непрекъснато, за срока на действие на Условията.
| Подобработващ | Дейност по обработване | Място на обработване |
|---|---|---|
| Google Cloud EMEA Limited | Облачна инфраструктура, изчислителни ресурси и съхранение | Центрове за данни в ЕС/ЕИП |
| [•] | [•] | [•] |
Актуалният списък на подобработващите е достъпен на Уебсайта. Въпроси относно настоящото DPA могат да бъдат отправяни на info@gemteam.eu.