🌱 Horticum ← Обратно към началото

Обработка на данни

DEENITFRESPLROBGRUUKTR
Забележка: Този превод е само за удобство. Правно обвързващата версия е немският оригинал.

1. Предмет и срок

Обработващият (Simon Kappelmeir – Dienstleistung, Weiherbachweg 6, 82216 Maisach, Германия, support@horticum.com) предоставя на администратора софтуера „Horticum" като SaaS приложение и обработва лични данни изключително от името на администратора съгласно чл. 28 ОРЗД. Настоящото Споразумение за обработка на данни (DPA) влиза в сила с сключването на основния договор (договор за ползване на приложението) и приключва автоматично с неговото прекратяване. Обработката се извършва изключително в ЕС/ЕИП или в трети страни, обхванати от решение за адекватност, или въз основа на стандартни договорни клаузи (SCC).

2. Естество и цел на обработката

Целта на обработката е предоставянето на функционалностите на приложението, в частност: • Планиране на лехи, планиране на култури, управление на задачи и дневен план • Отчитане на работно време и отсъствия на служители • Документация по растителна защита и торене • Книга за първа помощ (съгласно DGUV) • Управление на контакти (клиенти, доставчици, лица за контакт) • Печат на етикети и списъци (Pro+ абонамент) • Синхронизация между устройства • Управление на акаунт и абонамент

3. Видове лични данни

• Основни и комуникационни данни (име, адрес, телефон, имейл) • Данни за вход/акаунт (имейл, хеш на парола, сесиен токен, IP адреси) • Основни данни на фирмата (данъчен номер, ДДС номер, IBAN/BIC) • Оперативни данни за планиране и управление • Данни за отчитане на времето и отсъствия • Специални категории по чл. 9 ОРЗД: здравни данни на служителите в цифровата книга за първа помощ (законов срок на съхранение 5 години съгласно DGUV правило 1) • Данни за приложение на продукти за растителна защита (квалификация, имена на оператори — съгласно § 11 PflSchG, 3 години) • Данни за торене (съгласно DüV)

4. Категории субекти на данни

• Собственик или ръководство на администратора • Служители и стажанти на администратора • Клиенти, доставчици и лица за контакт на администратора • Крайни клиенти на администратора (доколкото са въведени в управлението на контактите)

5. Задължения на обработващия

Обработващият се задължава да обработва лични данни изключително в рамките на това споразумение и съгласно документираните указания на администратора (чл. 28, ал. 3, буква а ОРЗД). Всички лица, участващи в обработката, са задължени към поверителност (чл. 28, ал. 3, буква б, чл. 29, чл. 32, ал. 4 ОРЗД). Обработващият подпомага администратора при осигуряване на правата на субектите на данни (чл. 12–22 ОРЗД) и при изпълнение на задълженията по чл. 32–36 ОРЗД (оценка на въздействието, предварителна консултация, уведомяване за нарушения). Заявления, видимо адресирани до администратора, се препращат без забавяне. Лице за контакт по защита на данните: Simon Kappelmeir, support@horticum.com. Назначаването на длъжностно лице по защита на данните понастоящем не е задължително по закон.

6. Технически и организационни мерки (ТОМ)

Обработващият прилага всички необходими технически и организационни мерки съгласно чл. 32 ОРЗД, в частност: • Контрол на физическия достъп: хостинг в сертифициран център за данни в Германия (ISO 27001), физически контрол и 24/7 видеонаблюдение • Контрол на достъпа до системата: удостоверяване с имейл/парола, хешове Argon2id/Bcrypt, SSH публичен ключ за администратор, ограничение на опитите, изтичане на сесия • Контрол на достъпа до данни: разделение на наематели по предприятие чрез екипи на Appwrite, модел на разрешения по роли • Контрол на предаването: изключително TLS 1.2+ (HTTPS), активиран HSTS • Контрол на въвеждането: одитна следа (createdAt, updatedAt) върху всички съответни записи • Контрол на възлагането: DPA с всички подобработващи • Контрол на достъпността: ежедневни резервни копия (14 дни съхранение), мониторинг, RTO/RPO < 24 ч., защитна стена, редовни актуализации • Контрол на разделянето: отделни тестови/девелопмент/продукционни среди, разделение на ниво база данни • Псевдонимизация: вътрешни ID на акаунта вместо реални имена в логовете

7. Подобработващи

С сключването на това споразумение администраторът дава общо разрешение за използване на следните подобработващи (чл. 28, ал. 2 ОРЗД): • dogado GmbH (Дортмунд, DE) — уеб/мейл хостинг, сървърен прокси за VIES валидация • dogado GmbH или сходен доставчик (DE) — поддръжка на Appwrite сървъра в Германия • Stripe Payments Europe Ltd. (Дъблин, IE) — обработка на плащания за Pro/Pro+ абонаменти (при трансфер към САЩ: SCC + DPF) • Apple Distribution International Ltd. (Корк, IE) — обработка на плащания iOS/macOS чрез In-App Purchase • fintectura GmbH / openiban.com (Берлин, DE) — IBAN валидация • Европейска комисия, DG TAXUD (Брюксел, BE) — проверка на ДДС VIES • komoot GmbH (Карлсруе, DE) — Photon геокодиране • zippopotam.us — търсене пощенски код → град Обработващият уведомява администратора в текстова форма поне 30 дни предварително за всяка планирана промяна. Администраторът може да възрази в рамките на 14 дни поради важна причина за защита на данните. Обработващият носи отговорност за спазването на задълженията по защита на данните от подобработващите (чл. 28, ал. 4 ОРЗД).

8. Оценка на въздействието и предварителна консултация

Обработващият подпомага администратора в рамките на своите възможности при извършване на оценка на въздействието върху защитата на данните (чл. 35 ОРЗД) и на предварителна консултация с надзорния орган (чл. 36 ОРЗД), в частност чрез предоставяне на необходимата информация за операциите по обработка, ТОМ и подобработващите.

9. Уведомяване за нарушения

Нарушенията на сигурността на личните данни се съобщават на администратора без забавяне, най-късно в рамките на 48 часа след установяване, по имейл до записания адрес за контакт — за да може администраторът да спази собствения си 72-часов срок по чл. 33 ОРЗД. Уведомлението съдържа естеството и обхвата на нарушението, категориите данни и приблизителния брой засегнати лица, вероятните последици и предприетите или планирани мерки.

10. Прекратяване на обработката

След прекратяване на основния договор обработващият изтрива всички лични данни на администратора в рамките на 30 дни, освен ако не съществува законово задължение за съхранение. По искане на администратора данните се предоставят предварително във формат, четим от машина (JSON експорт). Данните, подлежащи на законово съхранение (записи за първа помощ: 5 години по DGUV; данни за растителна защита: 3 години по PflSchG), се съхраняват блокирани до изтичане на срока и след това се изтриват. Изтриването се потвърждава писмено по искане.

11. Доказателства и одит

Администраторът може да провери спазването на това споразумение от обработващия (чл. 28, ал. 3, буква з ОРЗД). Проверката се извършва предимно чрез изискване на актуални доказателства (концепция за защита на данните, ТОМ, списък на подобработващите, одитни доклади). Проверки на място са възможни веднъж годишно през обичайното работно време, след предварително уговорена среща с поне 4 седмици предизвестие. Разходите за съпровождане се възстановяват по предварително уговорена почасова ставка.

12. Заключителни разпоредби

Изменения и допълнения на това споразумение изискват текстова форма; това важи и за отмяната на тази клауза. Ако отделни разпоредби са недействителни, действителността на останалите разпоредби не се засяга. Недействителната разпоредба се заменя с действителна разпоредба, която най-близо отговаря на икономическата цел. Прилага се германското право. Място на юрисдикцията е — доколкото е законово допустимо — Maisach (седалище на обработващия). Отговорността се урежда от чл. 82 ОРЗД, а в останалата част от основния договор.