Договор за обработка на лични данни

Версия 1.0 | Януари 2025 г.

Забележка: Настоящият договор се счита за сключен с приемането на Общите условия на Bizzy.bg или при подписване на отделен писмен договор между страните.

1. Страни по договора

Администратор на лични данни:
Наименование: Потребителят (физическо или юридическо лице, регистрирало акаунт в Bizzy.bg)
Адрес: по регистрация на потребителя
(„Администраторът”)

Обработващ лични данни:
Наименование: ResetHub ЕООД
ЕИК: 200490339
Адрес: ул. Патриарх Ефтимий, Сливен 8800, България
Имейл: hello@bizzy.bg
(„Обработващият”)

2. Предмет и продължителност

Настоящият договор урежда условията, при които Обработващият обработва лични данни от името на Администратора в контекста на предоставяните услуги чрез платформата Bizzy.bg.

Договорът влиза в сила от датата на приемане на Общите условия и остава в сила до прекратяване на абонамента или до изтичане на периода на съхранение на данните съгласно раздел 9.

3. Естество и цел на обработването

Обработващият обработва лични данни единствено за следните цели:

• Управление на онлайн резервации и записи на клиентите на Администратора
• Изпращане на автоматизирани напомняния (имейл, SMS, Viber) до крайните клиенти
• Съхранение на клиентска база данни в платформата
• Генериране на отчети и анализи за Администратора
• Техническа поддръжка и подобряване на платформата

4. Вид лични данни и категории субекти

4.1 Категории субекти на данни

• Крайни клиенти на Администратора (пациенти, клиенти на салони, фитнес членове и др.)
• Служители и сътрудници на Администратора (при управление на персонал)

4.2 Категории лични данни

• Идентификационни данни: три имена
• Данни за контакт: имейл адрес, телефонен номер
• Данни за резервации: дата, час, вид услуга, бележки
• Данни за плащане: информация за фактуриране (не включва данни за карта)

Специални категории данни: Bizzy.bg НЕ обработва специални категории данни (здравни, биометрични и т.н.) по подразбиране. При необходимост Администраторът носи отговорност за получаване на изрично съгласие.

5. Задължения на Обработващия

ResetHub ЕООД се задължава:

• Да обработва личните данни само по документирани инструкции на Администратора, включително по отношение на трансфери към трети държави, освен ако не е задължен с правото на ЕС или на държава членка.
• Да гарантира, че лицата, упълномощени да обработват лични данни, са поели задължения за поверителност или са обвързани от законова забрана за разкриване.
• Да прилага подходящи технически и организационни мерки за сигурност съгласно чл. 32 от GDPR.
• Да спазва условията за ангажиране на под-обработващи съгласно раздел 6.
• Като взема предвид естеството на обработването, да оказва съдействие на Администратора при изпълнение на задължението му да отговаря на искания за упражняване на правата на субектите на данни.
• Да оказва съдействие на Администратора при спазване на задълженията му по чл. 32–36 от GDPR.
• По избор на Администратора да изтрие или върне всички лични данни след приключване на услугите и да изтрие съществуващите копия, освен ако правото на ЕС или на държава членка не изисква тяхното съхранение.
• Да предоставя на Администратора цялата информация, необходима за доказване на спазването на задълженията, и да позволява и улеснява одити и инспекции, извършвани от Администратора или упълномощен от него одитор.

6. Под-обработващи

Администраторът дава общо разрешение на ResetHub ЕООД да използва под-обработващи. Актуалният списък е достъпен на www.bizzy.bg/spisak-pod-obrabotvashti и включва:

• Amazon Web Services (AWS) — хостинг и инфраструктура (ЕС региони)
• Stripe — обработка на плащания (стандартни договорни клаузи)
• SendGrid (Twilio) — изпращане на имейл съобщения
• Twilio — изпращане на SMS и Viber съобщения

ResetHub ЕООД ще уведоми Администратора за всяко планирано добавяне или замяна на под-обработващи поне 14 (четиринадесет) дни предварително, като даде на Администратора възможност да повдигне обосновани възражения.

7. Съдействие при упражняване на права на субектите

При получаване на искане от субект на данни, свързано с лични данни, обработвани от Bizzy.bg от името на Администратора, ние:

• Ще препратим искането на Администратора в рамките на 5 (пет) работни дни.
• Ще предоставим техническо съдействие за изпълнение на искането (достъп, коригиране, изтриване, преносимост).
• Няма да отговаряме директно на субекта на данни, освен с изричното разрешение на Администратора.

8. Уведомяване при нарушение на сигурността

При установяване на нарушение на сигурността на личните данни ResetHub ЕООД ще:

• Уведоми Администратора без ненужно забавяне и най-късно в рамките на 72 часа след установяването.
• Предостави информация съгласно чл. 33, пар. 3 от GDPR: естеството на нарушението, категориите и приблизителния брой засегнати лица, вероятните последици, предприетите мерки.
• Документира всички нарушения, включително тези, за които не е необходимо уведомяване.

9. Изтриване и връщане на данни

При прекратяване на договора Обработващият:

• Запазва данните за 90 (деветдесет) дни след прекратяване, за да може Администраторът да ги изтегли.
• Предоставя данните в машинно-четим формат (CSV, JSON) при поискване.
• Изтрива всички лични данни след изтичането на 90-дневния период.
• Изтрива данните незабавно при изрично писмено искане от Администратора, освен ако законово задължение изисква тяхното съхранение.

10. Технически и организационни мерки за сигурност (чл. 32 GDPR)

ResetHub ЕООД прилага следните мерки:

• Криптиране при пренос: SSL/TLS (минимум TLS 1.2)
• Криптиране в покой: AES-256 за чувствителни данни
• Контрол на достъпа: принцип на минималните привилегии (least privilege), двуфакторна автентикация за системния персонал
• Одитни журнали: регистриране на всички достъпи до лични данни с 12-месечно съхранение
• Резервни копия: ежедневни, с тест за възстановяване месечно
• Управление на уязвимости: редовни сканирания и patch management
• Обучение на персонала: годишно обучение по информационна сигурност и GDPR

11. Приложимо право

Настоящият договор се урежда от законодателството на Република България и Регламент (ЕС) 2016/679. Всички спорове се отнасят до компетентните съдилища в гр. София.

12. Контакти

Обработващ: ResetHub ЕООД
ЕИК: 200490339
Адрес: ул. Патриарх Ефтимий, Сливен 8800, България
Имейл за GDPR: privacy@bizzy.bg
Общ имейл: hello@bizzy.bg

ResetHub ЕООД | ЕИК: 200490339 | hello@bizzy.bg | www.bizzy.bg