Допълнение за обработка на данни (DPA)

Клиентът е Администратор, Доставчикът е Обработващ. Когато Клиентът ни прехвърля свои лични данни (напр. чрез co-pilot чат), Доставчикът ги обработва само по инструкции на Клиента и за целите на услугата.

Обработката се извършва за времето на договора за услугата + 30 дни (период за защита срещу правни претенции), след което данните се изтриват или връщат по избор на Клиента.

Категории субекти на данни: служители, контрагенти и клиенти на Клиента, чиито данни Клиентът въвежда. Категории данни: имена, имейли, бизнес комуникация, всичко друго, което Клиентът избере да въведе.

• Обработка само по писмени инструкции на Администратора.
• Конфиденциалност за всички служители с достъп до данните.
• Технически и организационни мерки по чл. 32 GDPR.
• Уведомяване на Администратора в рамките на 48 часа при инцидент.
• Съдействие за упражняване на правата на субектите.
• Връщане или изтриване след прекратяване (по избор на Администратора).
• Предоставяне на необходимата информация за одит, не по-често от веднъж годишно или при наличие на основателно подозрение.

Текущ списък: Stripe Payments Europe Ltd. (Ирландия), Anthropic PBC (САЩ, SCC + DPF), OpenAI Ireland Ltd. (Ирландия), Google Ireland Ltd. (Ирландия), Vercel Inc. (САЩ, SCC), Apple Inc. (САЩ, SCC – при активиран Apple Sign In), доставчик на PostgreSQL хостинг (ЕС регион).

Уведомяваме Клиента за нови подобработващи поне 30 дни предварително; Клиентът има право да възрази.

Прилагаме SCC 2021/914 за всички трансфери извън ЕИП и допълнителни мерки (криптиране в покой и при пренос, ограничен достъп). Извършваме Transfer Impact Assessment при необходимост.

При прекратяване на основния договор, Доставчикът изтрива или връща всички лични данни в рамките на 30 дни, освен ако приложимото право не изисква по-дълго съхранение (напр. фактури – 10 години).

Подписан хартиен/PDF DPA може да бъде изискан на legal@chernata.ai.