Споразумение за обработка на данни

СТРАНИ И ПРЕДИСТОРИЯ

Клиентът („Клиент“) е сключил споразумение с Medentic, LLC. („Medentic“) (всяка от страните поотделно „Страна“, а заедно „Страните“), по силата на което Medentic се е съгласила да предоставя Услугите съгласно това споразумение („Споразумението“). Настоящото Споразумение за обработване на данни („DPA“) е включено в Споразумението и представлява неразделна част от него, като влиза в сила от датата на влизане в сила на Споразумението, с изключение на случаите, когато за клиенти, сключили Споразумение преди датата на актуализация на DPA, настоящото DPA влиза в сила на 11 октомври 2023 г. и заменя всички предходно договорени условия относно обработването и сигурността на данните. Доколкото Medentic обработва Лични данни на Клиента (както са определени по-долу) от името на Клиента (или, когато е приложимо, на свързано лице на Клиента) във връзка с предоставянето на Услугите, Страните са се съгласили това да се извършва при условията на настоящото DPA.

1. ОПРЕДЕЛЕНИЯ

1.1. Термините с главна буква, използвани, но недефинирани в настоящото DPA, имат значението, дадено им в Споразумението. Следните термини с главна буква, използвани в настоящото DPA, имат следното значение:

• „Информация за акаунта“ означава информацията на Клиента, включително лични данни на Клиента и на потребителите на негови свързани лица, предоставена за създаване, достъп, администриране и поддръжка на акаунт, и може да включва имена, потребителски имена, данни за вход, телефонни номера, имейл адреси и информация за фактуриране, свързани с акаунт в Medentic;
• „Свързано лице“ означава лице, което пряко или непряко притежава или контролира, е притежавано или контролирано от, или е под общо притежание или контрол със Страна и е ползвател по Споразумението;
• „Приложимо законодателство за защита на данните“ означава всички приложими закони, правила, подзаконови актове и държавни изисквания, свързани с поверителността, конфиденциалността или сигурността на Личните данни, така както могат да бъдат изменяни или актуализирани периодично;
• „Одобрено допълнение“ означава шаблонното допълнение, версия B.1.0, издадено от Information Commissioner на Обединеното кралство по S119A(1) от Data Protection Act 2018 и внесено в парламента на Обединеното кралство на 2 февруари 2022 г., така както може да бъде преразглеждано съгласно Раздел 18 от Mandatory Clauses;
• „Лични данни на Клиента“ означава Личните данни, обработвани от Medentic от името на Клиента или свързано лице на Клиента във връзка с предоставянето на Услугите, като изрично се изключват Личните данни, съдържащи се в Информацията за акаунта;
• „DPF“ или „Data Privacy Framework“ означава EU-U.S. Data Privacy Framework или, когато е приложимо, UK Extension to the EU-U.S. Data Privacy Framework и Swiss-U.S. Data Privacy Framework;
• „ЕИП“ означава Европейското икономическо пространство;
• „Дата на влизане в сила“ означава датата, на която DPA влиза в сила, както е посочено в буква (A) по-горе;
• „GDPR“ означава Регламент (ЕС) 2016/679 („EU GDPR“) или, когато е приложимо, „UK GDPR“, както е определен в раздел 3 на Data Protection Act 2018;
• „Mandatory Clauses“ означава „Part 2: Mandatory Clauses“ от Одобреното допълнение;
• „Държава членка“ означава държава членка на ЕИП, а именно държава членка на Европейския съюз, Исландия, Норвегия или Лихтенщайн;
• „Лични данни“ означава всяка информация, свързана с идентифицирано или подлежащо на идентифициране физическо лице или устройство, или която по друг начин представлява „лични данни“, „лична информация“, „лично идентифицираща информация“ или сходен термин, като тези термини имат същото значение, каквото им е дадено от приложимото законодателство за защита на данните;
• „Инцидент със сигурността“ означава нарушение на сигурността, водещо до случайно или неправомерно унищожаване, загуба, изменение, неразрешено разкриване или неразрешен достъп до Лични данни на Клиента;
• „Стандартни договорни клаузи“ или „SCCs“ означава Module Two (controller to processor) и/или Module Three (processor to processor) от Стандартните договорни клаузи, приложени към Commission Implementing Decision (EU) 2021/914;
• „Подобработващ“ означава свързани лица на Medentic и обработващи трети лица, назначени от Medentic да обработват Лични данни на Клиента;
• „Обединеното кралство“ или „UK“ означава Обединеното кралство Великобритания и Северна Ирландия;
• „Американско законодателство за защита на данните“ означава, доколкото е приложимо, федерални, щатски и сходни закони, свързани със защитата на данните, обработването на лични данни, поверителността и/или защитата на данните, действащи периодично в Съединените щати. 1.2. Термините „администратор“, „обработващ“, „субект на данни“, „обработване“, „надзорен орган“, „продажба“ („sell“) и „доставчик на услуги“ („service provider“) имат същото значение, каквото им е дадено в Приложимото законодателство за защита на данните.

2. ВЗАИМОДЕЙСТВИЕ СЪС СПОРАЗУМЕНИЕТО

2.1. Настоящото DPA допълва и, в случай на противоречие, има предимство пред Споразумението по отношение на всяко обработване на Лични данни на Клиента. 2.2. По отношение на свързаните лица на Клиента, със сключването на Споразумението Клиентът гарантира, че е надлежно упълномощен да сключи настоящото DPA за и от името на всяко такова свързано лице на Клиента, като при условията на т. 2.3. всяко свързано лице на Клиента е обвързано от условията на настоящото DPA така, сякаш самото то е Клиентът. 2.3. Клиентът гарантира, че е надлежно упълномощен от всяко свързано лице на Клиента, от чието име Medentic обработва Лични данни на Клиента съгласно настоящото DPA, да: (a) налага изпълнението на условията на настоящото DPA от името на свързаните лица на Клиента и да действа от тяхно име при администриране и водене на претенции, възникнали във връзка с настоящото DPA; и (b) получава и отговаря на всички уведомления или съобщения по настоящото DPA от името на свързаните лица на Клиента. 2.4. Страните се съгласяват, че всяко уведомление или съобщение, изпратено от Medentic до Клиента, ще удовлетворява всяко задължение за изпращане на такова уведомление или съобщение до свързано лице на Клиента.

3. РОЛЯ НА СТРАНИТЕ

3.1. Страните признават и се съгласяват, че:

• (a) за целите на GDPR Medentic действа като „обработващ“ или „подобработващ“. Функцията на Medentic като обработващ или подобработващ се определя от функцията на Клиента:
  • (i) По правило Клиентът действа като администратор, а Medentic действа като обработващ.
  • (ii) В определени случаи Клиентът действа като обработващ от името на своите клиенти, когато Клиентът и клиентът на Клиента са сключили споразумение за обработване на данни във връзка с обработването на лични данни на клиентите на Клиента; и
• (b) когато и доколкото Американското законодателство за защита на данните е приложимо, Medentic ще действа като „доставчик на услуги“ („service provider“) или „обработващ“ („processor“) при изпълнение на задълженията си съгласно Споразумението.
• (c) Информацията за акаунта не се урежда от настоящото DPA и подлежи на Известието за поверителност на Medentic.

4. ПОДРОБНОСТИ ОТНОСНО ОБРАБОТВАНЕТО НА ДАННИ

4.1. Подробностите относно обработването на данни (като предмет, характер и цел на обработването, категории Лични данни и субекти на данни) са описани в Споразумението и в Приложение 1. 4.2. Личните данни на Клиента ще бъдат обработвани единствено от името и по инструкции на Клиента и в съответствие с Приложимото законодателство за защита на данните. Споразумението и настоящото DPA представляват инструкциите на Клиента за обработването на Личните данни на Клиента. Клиентът може да издава допълнителни писмени инструкции в съответствие с настоящото DPA. 4.3. Ако инструкциите на Клиента биха довели до обработване на Лични данни на Клиента от Medentic в нарушение на Приложимото законодателство за защита на данните или извън обхвата на Споразумението или настоящото DPA, Medentic ще уведоми своевременно Клиента за това, освен ако Приложимото законодателство за защита на данните не забранява такова уведомяване (без да се засягат SCCs). 4.4. Medentic може да съхранява и обработва Лични данни на Клиента навсякъде, където Medentic или нейните подобработващи поддържат инфраструктура, при условията на т. 5 от настоящото DPA.

5. ПОДОБРАБОТВАЩИ

5.1. Клиентът предоставя на Medentic общо разрешение да ангажира подобработващи при условията на т. 5.2., от съгласуван списък, както и текущите подобработващи на Medentic, изброени на подобработващи към Датата на влизане в сила. 5.2. Medentic ще: (i) сключва писмено споразумение с всеки подобработващ, което му налага задължения за защита на данните, които не са по-слаби от задълженията на Medentic по настоящото DPA, доколкото това е приложимо спрямо характера на услугите, предоставяни от съответния подобработващ; и (ii) ще остане отговорна за спазването от всеки подобработващ на задълженията по настоящото DPA. 5.3. Medentic ще предоставя на Клиента най-малко петнадесет (15) дни предизвестие за всяка предложена промяна в подобработващите, които използва за обработване на Лични данни на Клиента (включително всяко добавяне или замяна на подобработващ). Клиентът може по разумни причини да възрази срещу използването от Medentic на нов подобработващ (включително при упражняване на правото си на възражение по т. 9(a) от SCCs), като предостави на Medentic писмено уведомление за възражението в срок до десет (10) дни след като Medentic е уведомила Клиента за предложената промяна („Възражение“). Ако Клиентът възрази срещу използването на нов подобработващ от Medentic, Клиентът и Medentic ще работят добросъвестно за намиране на взаимно приемливо решение на това Възражение. Ако страните не достигнат до взаимно приемливо решение в разумен срок, всяка от страните може, като свое единствено и изключително средство за защита, да прекрати Споразумението с писмено уведомление до другата страна. През периода на такова Възражение Medentic може да спре засегнатата част от Услугите.

6. ИСКАНИЯ НА СУБЕКТИ НА ДАННИ

6.1. В отношенията между Страните Клиентът носи изключителната преценка и отговорност за отговаряне на правата, упражнени от всяко физическо лице във връзка с Лични данни на Клиента („Искане на субект на данни“). 6.2. Medentic ще препраща на Клиента без ненужно забавяне всяко Искане на субект на данни, получено от Medentic или от подобработващ от физическо лице във връзка с неговите Лични данни на Клиента, и може да насочи това лице да подаде искането си директно до Клиента. 6.3. Medentic ще предоставя на Клиента, като се отчита естеството на обработването на Личните данни на Клиента, функционалности за самообслужване чрез Услугите или друга разумна помощ, необходима за да изпълни Клиентът своето задължение съгласно Приложимото законодателство за защита на данните да отговори на Искания на субекти на данни. Medentic може да начислява на Клиента такса, а Клиентът ще възстановява на Medentic разходите за всяка такава помощ извън функционалностите за самообслужване, включени като част от Услугите.

7. СИГУРНОСТ И ОДИТИ

7.1. Medentic ще прилага и поддържа подходящи технически и организационни мерки за защита и сигурност на данните, предназначени да осигурят сигурността на Личните данни на Клиента, включително, без ограничение, защита срещу неразрешено или неправомерно обработване (включително, без ограничение, неразрешено или неправомерно разкриване, достъп и/или изменение на Личните данни на Клиента) и срещу случайна загуба, унищожаване или повреждане. 7.2. Medentic ще прилага и поддържа най-малко мерките, посочени в Приложение 2. Medentic може периодично да актуализира или изменя мерките за сигурност, посочени в Приложение 2, включително (когато е приложимо) след преглед от страна на Medentic на тези мерки съгласно т. 8.6 от SCCs, при условие че такива актуализации и/или изменения не намаляват общото ниво на защита, предоставяно от Medentic на Личните данни на Клиента по настоящото DPA. 7.3. Клиентът или негов независим външен одитор, разумно приемлив за Medentic (който няма да включва одитори, които не са надлежно квалифицирани или независими, или са конкурент на Medentic), може да одитира съответствието на Medentic със задълженията ѝ по настоящото DPA до веднъж годишно или по-често, ако е настъпил Инцидент със сигурността или доколкото това се изисква от приложимото законодателство за защита на данните, включително когато това е изискано от регулаторен или държавен орган на Клиента. 7.4. За да поиска одит, Клиентът трябва да представи на Medentic подробен проект на план за одит най-малко две седмици преди предложената дата на одита. Medentic ще прегледа предложения план за одит и ще работи съвместно с Клиента за съгласуване на окончателен план за одит. Всички такива одити трябва да се провеждат в рамките на обичайното работно време, при условията на съгласувания окончателен план за одит и политиките на Medentic за здраве и безопасност или други приложими политики, и не могат неразумно да възпрепятстват дейността на Medentic. Нищо в настоящата т. 7.4. не изисква Medentic да нарушава свои задължения за конфиденциалност. 7.5. Ако поисканият обхват на одита е обхванат от ISO 27001 сертификат, SOC 2 Type 2 доклад или сходен одитен доклад, изготвен от квалифициран външен одитор в рамките на дванадесет (12) месеца преди искането за одит на Клиента, и Medentic потвърди, че няма известни съществени промени в одитираните контроли, Клиентът се съгласява да приеме тези констатации вместо да изисква одит на контролите, обхванати от доклада. 7.6. Клиентът ще уведомява незабавно Medentic за всяко несъответствие, установено в хода на одит, и ще предоставя на Medentic всички одитни доклади, изготвени във връзка с такъв одит, освен ако това не е забранено от приложимото право или не е указано друго от регулаторен или държавен орган. Клиентът може да използва одитните доклади единствено за целите на изпълнение на свои регулаторни изисквания за одит и/или за потвърждаване на съответствието с изискванията на настоящото DPA. 7.7. Всички одити са за сметка на Клиента. Клиентът ще възстановява на Medentic всяко време, изразходвано от Medentic или нейните подобработващи във връзка с такива одити. 7.8. Medentic ще одитира своите подобработващи редовно и при искане от Клиента ще потвърждава тяхното съответствие със законодателството за защита на данните и със задълженията, наложени на подобработващите съгласно сключеното с тях споразумение за обработване на данни. Клиентът може да поиска от Medentic да проведе допълнителни одити само когато това е разумно обосновано, като в такива случаи Medentic ще провежда допълнителни одити в допустимия обхват. 7.9. Клиентът признава и се съгласява, че с оглед състоянието на техниката, разходите по внедряването, както и естеството, обхвата, контекста и целите на обработването, както и риска с различна вероятност и тежест за правата и свободите на физическите лица, мерките за сигурност, посочени в Приложение 2, са подходящи за осигуряване на сигурността на Личните данни на Клиента.

8. ИНЦИДЕНТИ СЪС СИГУРНОСТТА

Medentic ще уведомява своевременно Клиента писмено при всяко нарушение на настоящото DPA, Приложимото законодателство за защита на данните или която и да е инструкция на Клиента във връзка с обработването на Лични данни на Клиента по настоящото DPA. Без да се ограничава общият характер на горното, Medentic ще уведомява Клиента писмено без ненужно забавяне след узнаването за който и да е Инцидент със сигурността и ще съдейства разумно при разследването на такъв Инцидент със сигурността и на всяко задължение на Клиента съгласно Приложимото законодателство за защита на данните за уведомяване на физически лица, надзорни органи, държавни или други регулаторни органи или обществеността във връзка с такъв Инцидент със сигурността. Medentic ще предприема разумни стъпки за ограничаване, разследване и смекчаване на всеки Инцидент със сигурността и без ненужно забавяне ще предоставя на Клиента своевременна информация за Инцидента със сигурността, включително, но не само, естеството на Инцидента със сигурността, предприетите мерки за ограничаване или смекчаване и статуса на разследването. Уведомяването или реакцията на Medentic във връзка с Инцидент със сигурността по настоящата т. 8 не се тълкува като признание от страна на Medentic за вина или отговорност във връзка с Инцидента със сигурността.

9. ИЗТРИВАНЕ И ВРЪЩАНЕ

Medentic ще: (a) ако Клиентът поиска това до датата на прекратяване или изтичане на Споразумението, ще върне копие на всички Лични данни на Клиента или ще предостави функционалност за самообслужване, позволяваща на Клиента да направи това; и (b) в срок до 90 дни след прекратяване или изтичане на Споразумението ще изтрие и ще положи всички разумни усилия да осигури изтриването на всички други копия на Лични данни на Клиента, обработвани от Medentic или от който и да е подобработващ.

10. СРОК НА ДЕЙСТВИЕ

Настоящото DPA започва да действа от Датата на влизане в сила и, независимо от всяко прекратяване на Споразумението, ще остане в сила до, и ще изтече автоматично при, изтриването от Medentic на всички Лични данни на Клиента, както е описано в настоящото DPA.

11. ТРАНСГРАНИЧНИ ПРЕХВЪРЛЯНИЯ НА ДАННИ

Страните се съгласяват, че условията на Стандартните договорни клаузи Module Two (Controller to Processor) и Module Three (Processor to Processor), така както са допълнително конкретизирани в Приложение 3 към настоящото DPA, се включват тук чрез препращане, считат се за подписани от Страните и се прилагат към всяко прехвърляне на Лични данни на Клиента, попадащо в приложното поле на GDPR, от Клиента (като износител на данни) към Medentic (като вносител на данни), доколкото и за времето, през което Medentic не може да се позовава на DPF съгласно т. 11.2. Medentic е самосертифицирана по DPF и спазва принципите за защита на данните по него. Доколкото и за времето, през което DPF е признат като валиден механизъм за трансфер в съответната държава/регион, Лични данни с произход от ЕИП, Обединеното кралство или Швейцария, или които по друг начин са предмет на GDPR, ще бъдат прехвърляни на основание DPF. Medentic ще предоставя на Клиента разумно съдействие, за да позволи на Клиента да изпълни изискванията, наложени при трансфер на лични данни към трети държави по отношение на субекти на данни, намиращи се в ЕИП, Швейцария и Обединеното кралство. При искане от Клиента Medentic ще предоставя информация, разумно необходима на Клиента за изготвяне на оценка на въздействието при трансфер („TIA“). Medentic допълнително се съгласява да прилага договорените допълнителни мерки, посочени в Приложение 4 към настоящото DPA, с цел да подпомогне Клиента да спазва изискванията, приложими при трансфера на лични данни към трети държави. Medentic може да начислява на Клиента такса, а Клиентът ще възстановява на Medentic разходите за всяка помощ, предоставена от Medentic във връзка с TIAs, оценки на въздействието върху защитата на данните или консултации с който и да е надзорен орган на Клиента.

12. ЛИЧНИ ДАННИ НА КЛИЕНТА, ПОДЛЕЖАЩИ НА ЗАКОНОДАТЕЛСТВОТО НА ОБЕДИНЕНОТО КРАЛСТВО И ШВЕЙЦАРИЯ

Доколкото обработването на Лични данни на Клиента подлежи на законодателството за защита на данните на Обединеното кралство или Швейцария, ще се прилагат UK Addendum и/или Swiss Addendum (според случая), посочени в Приложение 5.

13. КОГАТО Е ПРИЛОЖИМО: ЛИЧНИ ДАННИ НА КЛИЕНТА, ПОДЛЕЖАЩИ НА АМЕРИКАНСКОТО ЗАКОНОДАТЕЛСТВО ЗА ЗАЩИТА НА ДАННИТЕ

Доколкото обработването на Лични данни на Клиента подлежи на Американското законодателство за защита на данните, ще се прилага U.S. Addendum, посочено в Приложение 6, като допълнително регионално приложение.

14. ОБЩИ РАЗПОРЕДБИ

14.1. Страните с настоящото удостоверяват, че разбират изискванията по настоящото DPA и ще ги спазват. 14.2. Настоящото DPA и Споразумението съдържат цялостното съглашение между Страните по отношение на предмета на настоящото DPA.