Споразумение за обработване на данни #
В сила от: 22 април 2026 г.
Това Споразумение за обработване на данни („DPA“) е част от споразумението между клиента („Администратор“) и EthicsPortal („Обработващ“) за предоставянето на платформата EthicsPortal.
Нуждаете се от подписано копие? Свържете се с support@ethicsportal.eu, за да получите countersigned PDF версия.
1. Страни #
Администратор: Организацията, която абонира EthicsPortal и определя целите и средствата за обработване на лични данни чрез Услугата.
Обработващ: EthicsPortal, управляван от Yaroslav Shmarov, едноличен търговец, регистриран в Полша, ul. Obrzeżna 1A, 02-691 Warsaw, Poland. Контакт: support@ethicsportal.eu.
2. Обхват и цел на обработването #
Обработващият обработва лични данни от името на Администратора единствено за предоставяне на Услугата, включително:
- приемане и съхранение на сигнали
- осигуряване на сигурна комуникация между податели и обработващи
- управление на workflow на случаите
- генериране на одитни логове и записи по съответствие
- изпращане на транзакционни имейли до обработващи и администратори
- обработка на плащанията за Услугата
Обработващият не обработва лични данни за друга цел освен предоставянето на Услугата по инструкция на Администратора.
3. Видове обработвани лични данни #
| Категория данни | Примери | Шифроване в покой |
|---|---|---|
| Самоличност на подателя (по избор) | Име, имейл, телефон | Да |
| Съдържание на сигнала | Описание на сигнала | Да |
| Съдържание на комуникацията | Съобщения между подателя и обработващия | Да |
| Прикачени файлове | Документи, изображения, аудио, видео | Съхраняват се след премахване на метаданните |
| Кодове за достъп | Уникални кодове за достъп до сигнали | Да |
| Данни на обработващи и администратори | Име, имейл, роля, членство | Не |
| Записи в одитната следа | Timestamp, actor, action type | Не |
| Технически данни | Еднопосочно хеширани IP адреси за rate limiting | Не е приложимо |
4. Категории субекти на данни #
- Податели на сигнали — лица, които подават сигнали чрез портала
- Обработващи случаи — лица, определени от Администратора да приемат и обработват сигнали
- Администратори на организацията — лица, които управляват акаунта и настройките на организацията
5. Продължителност на обработването #
Обработващият обработва лични данни за срока на абонамента на Администратора. При прекратяване:
- Администраторът може да експортира данните си преди края на абонамента.
- Данните по сигналите се съхраняват според избрания срок на съхранение (12, 24, 36 или 60 месеца след затваряне на сигнала) и след това се изтриват окончателно.
- По писмено искане Обработващият ще изтрие всички останали данни в срок до 30 дни, освен ако законът не изисква друго.
6. Задължения на Обработващия #
6.1 Инструкции за обработване #
Обработващият обработва лични данни само по документирани инструкции от Администратора, освен ако правото на ЕС или на държава членка не изисква друго.
6.2 Поверителност #
Всички лица, упълномощени да обработват лични данни, са поели задължение за поверителност или са обвързани от законово задължение.
6.3 Мерки за сигурност #
Обработващият прилага мерките, описани на страницата Сигурност, включително:
- недетерминистично шифроване на чувствителните данни по сигналите
- без съхранение на IP адреси
- автоматично премахване на метаданни от файлове
- ролеви контрол на достъпа
- append-only одитна следа
- rate limiting на публичните portal endpoints
- HTTPS/TLS за всички връзки
- CSRF защита
6.4 Подизпълнители #
Обработващият използва подизпълнителите, посочени в раздел 8. Обработващият ще уведоми Администратора поне 30 дни предварително при добавяне или смяна на подизпълнител.
6.5 Права на субектите на данни #
Обработващият подпомага Администратора при отговор на искания от субекти на данни по GDPR, като предоставя необходимите технически възможности в Услугата.
6.6 Уведомяване при нарушение на сигурността #
При нарушение на сигурността на личните данни Обработващият уведомява Администратора без неоправдано забавяне и във всеки случай в рамките на 72 часа от узнаването.
6.7 DPIA #
Обработващият подпомага Администратора при извършване на оценки на въздействието върху защитата на данните и при предварителни консултации с надзорни органи, доколкото това е необходимо.
6.8 Изтриване и връщане на данни #
При прекратяване на Услугата, по избор на Администратора, Обработващият ще:
- върне личните данни във форматите за експорт, налични в Услугата към момента на прекратяване, включително PDF експорт на случаи и свързаните прикачени файлове, или
- изтрие всички лични данни и ще потвърди изтриването писмено,
освен ако правото на ЕС или на държава членка не изисква продължаващо съхранение.
Ако Администраторът обосновано изисква допълнителен формат за преносимост с цел миграция или регулаторен преглед, Обработващият ще оцени добросъвестно искането и, когато е технически възможно, ще го предостави след отделно писмено искане.
6.9 Права на одит #
Обработващият предоставя на Администратора цялата необходима информация за доказване на съответствие с чл. 28 GDPR. Администраторът може да извършва одити при разумно предварително предизвестие.
7. Задължения на Администратора #
Администраторът отговаря за:
- наличие на правно основание за обработването
- предоставяне на необходимите уведомления за поверителност на субектите на данни
- конфигуриране на подходящи срокове за съхранение
- определяне на упълномощени обработващи и администратори
- отговор на искания на субекти на данни
8. Подизпълнители #
Следните подизпълнители са разрешени към датата на влизане в сила на това DPA:
| Подизпълнител | Цел | Локация | Гаранции |
|---|---|---|---|
| Hetzner Online GmbH | Хостинг на приложението, база данни и съхранение на прикачени файлове | Нюрнберг, Германия (ЕС) | Данните се обработват изцяло в ЕС |
| Stripe Payments Europe, Ltd | Обработка на плащания | Ирландия (ЕС) | Не се съхраняват платежни данни от Обработващия |
| Mailjet (Sinch) | Транзакционни имейли | Франция (ЕС) | Данните се обработват изцяло в ЕС |
| Cloudflare, Inc. | CDN и edge delivery за маркетинговия сайт | САЩ | Трансферите, когато включват лични данни, се основават на Standard Contractual Clauses и допълнителни safeguards |
| Honeybadger Industries, LLC | Мониторинг на грешки за admin и handler интерфейси | САЩ | IP адресите на подателите никога не се логват; трансферите се основават на Standard Contractual Clauses и допълнителни safeguards |
| Crisp IM SARL | Customer chat за оператори и поддръжка на идентификационна проверка | Франция (ЕС) | Не се зарежда на страници за податели; никакъв Crisp script, cookie или identifier не достига до whistleblower портала |
Маркетинговата аналитика (Cloudflare Web Analytics) е без бисквитки и не обработва лични данни.
9. Международни трансфери на данни #
Основните данни по сигналите, включително съдържанието на случаите и съхранението на прикачени файлове, се хостват в Европейския съюз (Hetzner, Германия). Обработката на плащания се извършва в ЕС (Stripe), а транзакционните имейли се изпращат от ЕС (Mailjet, Франция).
Ограничени лични данни, свързани с маркетинговия сайт и операциите в admin/handler интерфейсите, могат да бъдат обработвани извън ЕС/ЕИП чрез Cloudflare и Honeybadger. Когато има такива трансфери, те се основават на Standard Contractual Clauses и допълнителни safeguards. Crisp е базиран във Франция и не се зарежда на страници за податели.
10. Отговорност #
Отговорността на всяка страна по това DPA подлежи на ограниченията на отговорността в основния договор за услугата. В максималната степен, позволена от закона, исковете, произтичащи от или свързани с това DPA, са част от същия общ лимит на отговорност, който се прилага за Услугата.
11. Срок и прекратяване #
Това DPA влиза в сила, когато Администраторът започне да използва Услугата, и остава в сила, докато Обработващият обработва лични данни от негово име.
12. Приложимо право #
Това DPA се урежда от правото на Република Полша. Компетентни са съдилищата във Варшава, Полша.
Контакт #
За въпроси относно това DPA или за подписано копие:
EthicsPortal
Yaroslav Shmarov
ul. Obrzeżna 1A, 02-691 Warsaw, Poland
support@ethicsportal.eu
Последна актуализация: