Споразумение за обработване на данни #
В сила от: 22 април 2026 г.
Това Споразумение за обработване на данни („DPA“) е част от споразумението между клиента („Администратор“) и EthicsPortal („Обработващ“) за предоставянето на платформата EthicsPortal.
Нуждаете се от подписано копие? Свържете се с legal@ethicsportal.eu , за да получите PDF версия с подпис от двете страни.
1. Страни #
Администратор: Организацията, която абонира EthicsPortal и определя целите и средствата за обработване на лични данни чрез Услугата.
Обработващ: EthicsPortal, управляван от Yaroslav Shmarov, с регистриран адрес ul. Obrzeżna 1A, 02-691 Варшава, Полша. Контакт: legal@ethicsportal.eu .
2. Обхват и цел на обработването #
Обработващият обработва лични данни от името на Администратора единствено за предоставяне на Услугата, включително:
- приемане и съхранение на сигналите
- осигуряване на сигурна комуникация между подателите и обработващите
- проследяване на състоянието на преписките
- създаване на одитна следа и записи по съответствие
- изпращане на транзакционни имейли до обработващите и администраторите
- обработка на плащанията за Услугата
Обработващият не обработва лични данни за друга цел освен предоставянето на Услугата по инструкция на Администратора.
3. Видове обработвани лични данни #
| Категория данни | Примери | Шифроване при съхранение |
|---|---|---|
| Самоличност на подателя (по избор) | Име, имейл, телефон | Да |
| Съдържание на сигнала | Описание на сигнала | Да |
| Съдържание на комуникацията | Съобщения между подателя и обработващия | Да |
| Прикачени файлове | Документи, изображения, аудио, видео | Съхраняват се след премахване на метаданните |
| Кодове за достъп | Уникални кодове за достъп до сигналите | Да |
| Данни на обработващите и администраторите | Име, имейл, роля, членство | Не |
| Записи в одитната следа | Дата и час, извършител, тип на действието | Не |
| Технически данни | Еднопосочно хеширани IP адреси за ограничаване на честотата на заявките | Не е приложимо |
4. Категории субекти на данни #
- Податели на сигнали — лица, които подават сигнали чрез портала
- Обработващи преписки — лица, определени от Администратора да приемат и разглеждат сигналите
- Администратори на организацията — лица, които управляват профила и настройките на организацията
5. Продължителност на обработването #
Обработващият обработва лични данни за срока на абонамента на Администратора. При прекратяване:
- Администраторът може да свали данните си преди края на абонамента.
- Данните по сигналите се съхраняват според избрания срок на съхранение (12, 24, 36 или 60 месеца след приключване на сигнала) и след това се изтриват окончателно.
- По писмено искане Обработващият ще изтрие всички останали данни в срок до 30 дни, освен ако законът не изисква друго.
6. Задължения на Обработващия #
6.1 Инструкции за обработване #
Обработващият обработва лични данни само по документирани инструкции от Администратора, освен ако правото на ЕС или на държава членка не изисква друго.
6.2 Поверителност #
Всички лица, упълномощени да обработват лични данни, са поели задължение за поверителност или са обвързани от законово задължение.
6.3 Мерки за сигурност #
Обработващият прилага мерките, описани на страницата Сигурност , включително:
- недетерминистично шифроване на чувствителните данни по сигналите
- без съхранение на IP адреси
- автоматично премахване на метаданните от файловете
- ролеви контрол на достъпа
- незаличима одитна следа
- ограничаване на честотата на заявките към публичните адреси на портала
- HTTPS/TLS за всички връзки
- защита от CSRF
Уязвимости в сигурността и инциденти могат да се изпращат на security@ethicsportal.eu . Запитванията относно правата на субектите на данни и Длъжностното лице по защита на данните могат да бъдат отправяни към privacy@ethicsportal.eu или dpo@ethicsportal.eu .
6.4 Подизпълнители #
Обработващият използва подизпълнителите, посочени в раздел 8. Обработващият ще уведоми Администратора поне 30 дни предварително при добавяне или смяна на подизпълнител.
6.5 Права на субектите на данни #
Обработващият подпомага Администратора при отговор на искания от субекти на данни по ОРЗД, като предоставя необходимите технически възможности в Услугата.
6.6 Уведомяване при нарушение на сигурността #
При нарушение на сигурността на личните данни Обработващият уведомява Администратора без неоправдано забавяне и във всеки случай в рамките на 72 часа от узнаването.
6.7 DPIA #
Обработващият подпомага Администратора при извършване на оценки на въздействието върху защитата на данните и при предварителни консултации с надзорни органи, доколкото това е необходимо.
6.8 Изтриване и връщане на данни #
При прекратяване на Услугата, по избор на Администратора, Обработващият ще:
- върне личните данни във форматите за сваляне, налични в Услугата към момента на прекратяване — включително PDF файлове на преписките и свързаните прикачени файлове, или
- изтрие всички лични данни и ще потвърди изтриването писмено,
освен ако правото на ЕС или на държава членка не изисква продължаващо съхранение.
Ако Администраторът обосновано изисква допълнителен формат за преносимост с цел миграция или регулаторен преглед, Обработващият ще оцени добросъвестно искането и, когато е технически възможно, ще го предостави след отделно писмено искане.
6.9 Права на одит #
Обработващият предоставя на Администратора цялата необходима информация за доказване на съответствие с чл. 28 от ОРЗД. Администраторът може да извършва одити при разумно предварително предизвестие.
6.10 Без ИИ или LLM обработка на съдържанието на сигнали #
Обработващият се ангажира, че личните данни, обработвани по тази DPA — включително съдържание на сигнали, самоличност на подателя, съобщения от обработващите, прикачени файлове и записи в одитния журнал — не се предават на голям езиков модел, генеративна ИИ услуга или ИИ класификатор, независимо дали се управляват от Обработващия или от трета страна (включително, но не само OpenAI, Anthropic, Google и Mistral). Услугата не извършва ИИ категоризация, триаж, обобщаване, превод или предложения за отговор върху лични данни. Администраторът може да се позове на този ангажимент при оценка на задълженията за автоматизирано вземане на решения по чл. 22 ОРЗД и при определяне на обхвата на уточненията за подизпълнители в собствените си декларации за поверителност и DPIA. Всяка промяна в този ангажимент би била съществена промяна в Услугата и би била съобщена на Администратора съгласно раздел 6.4 (Подизпълнители) и раздел 11 (Срок и прекратяване).
Локално хоствана статистическа машинна транслация, която работи изцяло върху инфраструктура, контролирана от Обработващия (данните не напускат тази инфраструктура, без външно извикване за инференция), не попада в обхвата на това ограничение и може да бъде използвана за превод на съобщения на подателя или обработващия, когато Администраторът я е активирал.
Този ангажимент се преразглежда ежегодно. Датата „Последна актуализация" в началото на тази DPA отразява последното потвърждение. Ако Обработващият в който и да е момент възнамерява да въведе ИИ или LLM обработка на лични данни, попадащи в обхвата на тази DPA, той ще уведоми Администратора съгласно раздел 6.4 и промяната ще влезе в сила не по-рано от посочения там срок за предизвестие.
6.11 Ключове за криптиране, управлявани от клиента (BYOK) #
Услугата не поддържа ключове за криптиране, управлявани от клиента — независимо дали се описват като bring-your-own-key (BYOK), hold-your-own-key (HYOK) или интеграция с външна услуга за управление на ключове (KMS). Това е съзнателен архитектурен избор, а не оперативно ограничение, и се основава на две гаранции за поверителност и жизнен цикъл, които Обработващият поема на други места в тази DPA:
- Граница на ключовете между подател и обработващ. Личните данни, обхванати от тази DPA, се криптират в покой с ключове, управлявани от Обработващия и съхранявани вътре в Услугата. Криптографската граница, която защитава самоличността на подателя и съдържанието на сигнала от външни страни, е същата граница, която ги защитава и от собствените ИТ администратори на Администратора. Прехвърлянето на пазенето на ключовете към Администратора би преместило тази граница в средата на Администратора, където администраторите от страна на Администратора по принцип биха станали способни да дешифрират самоличността на подателя — обръщайки модела на поверителност, изискван от Art. 16 от Директива 2019/1937.
- Гаранция за пълно изтриване. Изтриването въз основа на сроковете на съхранение (Art. 5(1)(e) ОРЗД) и договорното изтриване при прекратяване (раздел 6.8 по-горе) разчитат на способността на Обработващия да унищожи криптографски и физически данните, защитени с ключ, независимо от Администратора. Ключ, държан от Администратора, би създал клас на отказ, при който Обработващият не може сам да гарантира пълно изтриване в договорения срок.
Схемата за криптиране в покой на Обработващия, недетерминистичните свойства на криптирането и изолацията на ключовете са документирани на страницата Сигурност . Промяна в тази позиция би била съществена промяна в Услугата и би била съобщена на Администратора съгласно раздел 6.4 (Подизпълнители) и раздел 11 (Срок и прекратяване).
7. Задължения на Администратора #
Администраторът отговаря за:
- наличието на правно основание за обработването
- предоставянето на необходимите уведомления за поверителност на субектите на данни
- определянето на подходящи срокове за съхранение
- определянето на оправомощени обработващи и администратори
- отговор на искания на субекти на данни
8. Подизпълнители #
Следните подизпълнители са разрешени към датата на влизане в сила на това DPA:
| Подизпълнител | Цел | Място | Гаранции |
|---|---|---|---|
| Hetzner Online GmbH | Сървъри, база данни и съхранение на прикачените файлове | Нюрнберг, Германия (ЕС) | Данните се обработват изцяло в ЕС |
| Stripe Payments Europe, Ltd | Обработка на плащанията | Ирландия (ЕС) | Не се съхраняват платежни данни от Обработващия |
| Mailjet (Sinch) | Транзакционни имейли | Франция (ЕС) | Данните се обработват изцяло в ЕС |
| Cloudflare, Inc. | CDN и периферно доставяне на маркетинговия сайт | САЩ | Когато трансферите засягат лични данни, те се основават на стандартни договорни клаузи и допълнителни гаранции |
| AppSignal B.V. | Следене на грешки и наблюдение на производителността на приложението в страната на администраторите и обработващите | Нидерландия (ЕС) | Данните се обработват изцяло в ЕС; IP адресите на подателите не се записват |
| Crisp IM SARL | Вграден чат за обработващите и поддръжка на проверката на самоличността | Франция (ЕС) | Зарежда се само в портала за обработващите; не се зарежда нито на маркетинговия сайт, нито на страниците за подателите |
Аналитиката на маркетинговия сайт (Cloudflare Web Analytics) е без бисквитки и не обработва лични данни.
Без ИИ или LLM подизпълнител. Никакъв голям езиков модел, генеративна ИИ услуга или ИИ класификатор не е подизпълнител на Обработващия. Личните данни, обработвани по тази DPA, не се предават на OpenAI, Anthropic, Google, Mistral или друг доставчик на ИИ инференция. Виж раздел 6.10.
9. Международни трансфери на данни #
Основните данни по сигналите, включително съдържанието на преписките и съхранението на прикачените файлове, се намират в Европейския съюз (Hetzner, Германия). Обработката на плащанията се извършва в ЕС (Stripe), а транзакционните имейли се изпращат от ЕС (Mailjet, Франция).
Заявките към маркетинговия сайт се маршрутизират през Cloudflare (CDN, САЩ), който обработва мрежови метаданни (IP адреси на посетителите и заглавки на заявките) за доставяне на съдържание и защита от DDoS. С Cloudflare не се споделят сигнали, данни на обработващите или данни на профилите. Трансферите се основават на стандартни договорни клаузи и допълнителни гаранции. Порталът за сигнали и порталът на обработващите не зареждат Cloudflare. AppSignal (Нидерландия) и Crisp (Франция) са базирани в ЕС; Crisp се зарежда само в портала за обработващите.
10. Отговорност #
Отговорността на всяка страна по това DPA подлежи на ограниченията на отговорността в основния договор за услугата. В максималната степен, позволена от закона, исковете, произтичащи от или свързани с това DPA, са част от същия общ лимит на отговорност, който се прилага за Услугата.
11. Срок и прекратяване #
Това DPA влиза в сила, когато Администраторът започне да използва Услугата, и остава в сила, докато Обработващият обработва лични данни от негово име.
12. Приложимо право #
Това DPA се урежда от правото на Република Полша. Компетентни са съдилищата във Варшава, Полша.
Контакт #
За въпроси относно това DPA или за подписано копие:
EthicsPortal
Yaroslav Shmarov
ul. Obrzeżna 1A, 02-691 Варшава, Полша
legal@ethicsportal.eu
Последна актуализация: