ПАУЪРЕНТ ООД
ЕИК: 202432231
ДДС №: BG202432231
Седалище: БЪЛГАРИЯ, гр. Гълъбово (6280), ул. Панайот Хитов, 4
Управител: Диляна Симеонова Илиева
Email: info@powerent-ltd.com
Клиентът, използващ платформата Helionix, идентифициран при регистрация с наименование, ЕИК, адрес и данни за контакт.
Това Споразумение урежда условията, при които Обработващият обработва лични данни от името на Администратора във връзка с предоставянето на SaaS услугата Helionix – платформа за управление на строителни проекти и присъствие на работници.
Изготвено в съответствие с Регламент (ЕС) 2016/679 (GDPR), чл. 28, и Закона за защита на личните данни на Република България.
| Категория | Конкретни данни | Чувствителност |
|---|---|---|
| Идентификационни | Име, фамилия | Обикновени |
| Контактни | Телефонен номер | Обикновени |
| Професионални | Специалност, длъжност, почасова ставка | Обикновени |
| Работно време | Check-in/check-out времена | Обикновени |
| Геолокация | GPS координати при check-in* | Обикновени |
*GPS координатите се обработват временно само за валидиране на геозона (сравняване на локацията на работника с границите на проекта). Те не се използват за постоянно проследяване и не се съхраняват като стандартен сървърен запис за присъствие. При офлайн режим координатите могат временно да останат на устройството или в чакаща синхронизация до приключване на валидацията или изчистването.
| Категория | Конкретни данни | Цел |
|---|---|---|
| Фирмена идентификация | Наименование, ЕИК, ДДС номер | Договор, Фактуриране |
| Данни за контакт | Адрес, телефон, имейл | Комуникация, Поддръжка |
| Потребителски акаунти | Име, имейл, роля на мениджъри/админи | Достъп до платформата, Одитна следа |
| Фактурни данни | Адрес за фактуриране, МОЛ, банкови данни | Обработка на плащания |
| Активен абонамент | Обработката продължава |
| След прекратяване: 0-30 дни | Гратисен период за експорт на данни |
| След 90 дни | Пълно изтриване на личните данни* |
*Освен счетоводни документи, съхранявани 10 години по закон
| Мярка | Описание |
|---|---|
| Криптиране при пренос | TLS 1.3 (HTTPS) |
| Криптиране в покой | AES-256 |
| Контрол на достъпа | Row Level Security (RLS) |
| Автентикация | bcrypt хеширане на пароли |
| Audit logging | Проследяване на критични операции |
| Физическа сигурност | Физически мерки за сигурност на инфраструктурните доставчици |
Администраторът предоставя общо писмено разрешение Обработващият да използва подобработващи, необходими за предоставяне на Платформата, при спазване на чл. 28(2) и 28(4) GDPR. Актуалният публичен Списък на подобработващите е достъпен на /bg/subprocessors.
| Подобработващ | Услуга | Статус / трансфер | Защита |
|---|---|---|---|
| Supabase Inc. | База данни, автентикация, storage, audit записи | Активен; според конфигурацията на Supabase проекта | SCC, SOC 2 |
| Vercel Inc. | Хостинг, deployment, runtime и operational logs | Активен; инфраструктурни локации на Vercel | SCC, ISO 27001 |
| Stripe | Абонаменти, плащане, статус на плащане, доказателства за фактури/плащания | Активен за фактуриране; обработващ и/или администратор според дейността | DPA, SCC |
| Resend | Транзакционни имейли и известия | Активен за email доставка на платформата | DPA |
Условните доставчици, посочени в Списъка на подобработващите, включително доставчици за analytics, защита от злоупотреби, map/geofence UI и rate limiting, обработват лични данни само когато съответната функционалност или environment конфигурация е включена. Обработващият налага на подобработващите задължения за защита на данните, които не са по-слаби от тези в това DPA, и остава отговорен за тяхното изпълнение съгласно чл. 28(4) GDPR.
При нарушение на сигурността Обработващият:
Обработващият използва инфраструктурни доставчици и подобработващи, описани в Списъка на подобработващите. Когато лични данни се прехвърлят извън Европейското икономическо пространство (ЕИП), Обработващият разчита на подходящи механизми за трансфер и допълнителни мерки, когато това се изисква от приложимото право.
Когато данни трябва да бъдат прехвърлени извън ЕИП (напр. към базирани в САЩ подобработващи за техническа поддръжка), Обработващият разчита на един или повече законосъобразни механизми за трансфер, подходящи за съответния доставчик и дейност по обработване:
Обработващият поддържа vendor документация и може да предостави релевантна информация, разумно достъпна от неговите доставчици, при спазване на ограниченията за поверителност и сигурност.
Съгласно чл. 28(3)(з) от GDPR, Администраторът има право да проверява спазването на това Споразумение от Обработващия.
Администраторът може да поиска следната информация по всяко време:
Обработващият отговаря на заявки за информация в срок от четиринадесет (14) работни дни.
Поради многонаемателския характер на SaaS платформата и споделената инфраструктура, физически одити на място не са възможни. Вместо това Обработващият предлага:
Администраторът признава и се съгласява със следните задължения по това Споразумение и приложимото законодателство за защита на данните:
Администраторът е отговорен за осигуряване на точността и пълнотата на всички лични данни, въведени в Платформата. Обработващият не носи отговорност за грешки, пропуски или неточности в данните, предоставени от Администратора.
Документираните инструкции на Администратора към Обработващия се считат за стандартно използване на Платформата, както е описано в Общите условия. Всякакви допълнителни или нестандартни инструкции за обработка трябва да бъдат предоставени писмено и могат да подлежат на допълнителни такси.
| Период | Действие |
|---|---|
| 0-30 дни | Гратисен период - данните остават достъпни за експорт от Администратора |
| 30-90 дни | Данните са архивирани (меко изтриване) |
| След 90 дни | Окончателно изтриване от активните системи, при спазване на законовите изключения за съхранение и жизнения цикъл на резервните копия |
| Тип данни | Срок | Правно основание |
|---|---|---|
| Фактури и счетоводни документи | 10 години | Закон за счетоводството, чл. 12 |
| Данни за сключване на договора | 5 години | Давностен срок по ЗЗД |
| Записи за съгласие | 5 години след оттегляне | GDPR, чл. 7 |
Съгласно чл. 28(3)(д) от GDPR, Обработващият съдейства на Администратора при изпълнение на задължението му да отговаря на искания от субекти на данни, упражняващи правата си по Глава III от GDPR.
| Право | GDPR | Поддръжка в платформата |
|---|---|---|
| Право на достъп | чл. 15 | Функция за експорт на данни в Настройки |
| Право на коригиране | чл. 16 | Редакция на профили на работници/потребители |
| Право на изтриване | чл. 17 | Функция за архивиране/изтриване на работник |
| Право на преносимост | чл. 20 | Наличен JSON/CSV експорт |
Обработващият не носи отговорност за неспазване от страна на Администратора на сроковете за отговор на искания от субекти на данни. Задължението на Обработващия е ограничено до предоставяне на технически средства и съдействие – правната отговорност за съответствие остава при Администратора.
Това Споразумение се урежда и тълкува в съответствие със законодателството на Република България, без оглед на неговите стълкновителни норми. GDPR (Регламент (ЕС) 2016/679) и Законът за защита на личните данни се прилагат по всички въпроси за защита на данните.
Комисия за защита на личните данни (КЗЛД)
Адрес: бул. „Проф. Цветан Лазаров" № 2, София 1592
Email: kzld@cpdp.bg
Уебсайт: https://www.cpdp.bg
Освен в случаи на груба небрежност или умишлено неправомерно поведение, общата отговорност на Обработващия по това Споразумение не надвишава общите такси, платени от Администратора през дванадесетте (12) месеца преди иска. Това ограничение не засяга задължителната законова отговорност по GDPR.
Това Споразумение се приема електронно чрез платформата. Системата записва:
Електронното приемане има същата доказателствена сила като писмен подпис съгласно ЗЕДЕУУ и Регламент (ЕС) № 910/2014 (eIDAS).