Допълнение към споразумението за обработка на данни

Резюме

Последна актуализация
: 16.07.2025

Това Допълнение към споразумението за обработка на данни ("DPA") допълва и е част от всякакво споразумение между Netradyne и лице или юридическо лице ("Клиент"), което урежда използването от страна на Клиента на Продукти и Услуги на Netradyne, независимо дали това използване е (i) въз основа на пряко споразумение с Netradyne, (ii) чрез дистрибутор, или (iii) при други условия за обслужване или споразумение, позволяващи такова използване (общо наричани "Споразумението"). Когато Клиентът има достъп до Продуктите и Услугите чрез дистрибутор, приемането на DPA от страна на Клиента може да става чрез електронни средства, активиране на продукта или продължаващо използване на Продуктите и Услугите. Настоящото DPA е споразумение между Клиента (заедно с всички негови свързани дружества, използващи Продуктите и Услугите по силата на Споразумението) и Netradyne (поотделно наричани "Страна" и заедно "Страни").

1. Дефиниции

В това Допълнение следните термини имат значенията, посочени по-долу:

1.1. “Лични данни на клиента” означава всички лични данни, попадащи в обхвата на Закони за защита на данните, съдържащи се в данните на клиента, които клиентът предоставя или е предоставил на разположение на Netradyne и които се обработват от Netradyne от името на клиента съгласно Споразумението.

1.2. “Закони за защита на данните” означава, както е приложимо: (i) Общият регламент за защитата на данните на ЕС (ЕС 2016/679) („ЕС GDPR“), прилаган в законодателството на Англия и Уелс, Шотландия и Северна Ирландия въз основа на Закона за оттегляне на Обединеното кралство от Европейския съюз от 2018 г. („UK GDPR“); (ii) Швейцарският федерален закон за защита на данните („FADP“); (iii) федералните и/или щатски закони на САЩ относно защитата на данните или поверителността, включително, но не само Калифорнийския закон за защита на личните данни на потребителите от 2018 г., изменен с Калифорнийския закон за правата на поверителността от 2020 г. (заедно с изпълнителните разпоредби „CPRA“); (iv) Белгийският закон за защита на данните от 30 юли 2018 г. („BDPA“) и/или (v) всяко друго приложимо национално законодателство в Европейското икономическо пространство или Обединеното кралство, което допълва ЕС GDPR или UK GDPR (ако е приложимо), и/или приложимите закони за поверителност, и/или приложимите закони за защита на данните във всяка държава; във всеки случай, както може във времето да бъдат променяни, отменяни или заменяни.

1.3. “Администратор” означава юридическото лице, което определя средствата и целите на обработка на Личните данни.

1.4. “Субект на данни” означава физическото лице, до което се отнасят личните данни.

1.5. „SCC на ЕС“ означава Стандартните договорни клаузи, приложени към Решение за изпълнение 2021/914 на Европейската комисия от 4 юни 2021 г. относно стандартните договорни клаузи за трансфер на лични данни към трети страни съгласно Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета.

1.6. “Лични данни” означава „лични данни“, „лична информация“ или „информация за лична идентификация“ или всеки друг подобен термин съгласно Законите за защита на данните, както тези термини са определени там.

1.7. “Нарушение на сигурността на личните данни” означава всяко нарушение на сигурността, което Законите за защита на данните изискват (i) Netradyne да докладва на Клиента или (ii) Клиентът да докладва на Надзорния орган или засегнатите лица или да поддържа запис, в който са включени лични данни, попадащи в обхвата на това Допълнение.

1.8. “Обработка” означава всяка операция или набор от операции, които се извършват спрямо лични данни или масиви от лични данни.

1.9. “Обработващ” означава лице или организационна единица, която обработва Лични данни от името на Администратора.

1.10. “Надзорен орган” означава държавен орган или регулаторен орган, отговорен за администрирането, надзора на спазването и/или прилагането на законите за защита на данните.

1.11. Думите с главни букви, които не са определени по друг начин тук, имат значението, дадено им в Споразумението.

2. Приложимост на това DPA

Това DPA се прилага, когато и само доколкото Netradyne обработва Лични данни на Клиента от името на Клиента като обработващ (или под-обработващ) и, относно CPRA, като „доставчик на услуги“ или „изпълнител“ при предоставянето на Продуктите и Услугите съгласно Споразумението.

В случай на противоречие между условията на Споразумението и това DPA, условията на това DPA имат предимство. В случай на конфликт между условията на това Допълнение към обработването на данни (DPA) и Стандартните договорни клаузи (SCCs) или UK Addendum, Стандартните договорни клаузи (SCCs) или UK Addendum (в зависимост от случая) имат превес до степента на такова противоречие. Освен ако изрично не е изменено тук, условията на Споразумението остават в пълна сила и действие.

3. Роли & обхват на обработката

3.1. Роля на Страните

Между страните Netradyne действа като обработващ (или под-обработващ, доставчик на услуги или изпълнител) на Личните данни на Клиента.

3,2. Инструкции на клиента

3.2.1. Netradyne ще обработва Личните данни на клиента, както изрично е предвидено в Споразумението, това DPA и/или писмените инструкции на Клиента, или съгласно изискванията на приложимото законодателство, към което Netradyne е подчинен ("Инструкции на клиента"). Ако Netradyne е длъжен по закон да обработва Лични данни на клиента по различен начин от Инструкциите на Клиента, Netradyne ще уведоми Клиента, доколкото е разрешено по закон за това изискване преди такава обработка, освен ако законът не забранява такава информация поради важни основания от обществен интерес.

3.2.2. Netradyne ще уведоми своевременно Клиента, ако според мнението на Netradyne, Инструкциите на Клиента нарушават приложимото законодателство или ако Netradyne установи, че вече не може да изпълнява задълженията си съгласно приложимото законодателство. Netradyne има право да спре изпълнението на такива Инструкции на Клиента.

3.2.3. Клиентът трябва да гарантира, че неговите Инструкциите не въвеждат Netradyne в нарушение на приложими закони или разпоредби.

4. Персонал на Netradyne

4.1. Netradyne ще гарантира, че неговите служители, агенти, изпълнители и друг персонал с достъп до Лични данни: (a) имат такъв достъп само доколкото е строго необходимо за предоставяне на Услугите; и (b) са обвързани със задължения за поверителност, които не са на по-ниско нивона защита от посоченото в Споразумението

5. Сигурност

5.1. Netradyne ще прилага и поддържа подходящи технически и организационни мерки за сигурност, предназначени да защитават Личните данни на Клиента. Netradyne ще приложи мерките, включени в Приложение II. Netradyne може да променя тези мерки във времето, при условие че промените няма съществено да намалят цялостното ниво на сигурност на Личните данни на Клиента.

6. Под-обработка

6.1. С настоящото Клиентът предоставя общо разрешение на свързаните дружества на Netradyne, както и на другите трети страни, изброени в Приложение 3, да бъдат под-обработващи (всеки се разбира като "Под-обработващ"). Netradyne може да разкрива Лични данни на клиента на Под-обработващите за целите на предоставянето на Продуктите и Услугите, при условие че Под-обработващите на Netradyne поемат задължения за защита на данните, които не са по-малко тежки от тези, предвидени в това DPA.

6.2. Клиентът има право да възрази срещу всяка промяна по отношение на Под-обработващите, съобщена от Netradyne в рамките на последващите тридесет (30) календарни дни от съответното уведомление. Ако Клиентът не възрази срещу такава промяна в посочения период, ще се счита, че Клиентът е дал съгласие за промяната. При наличието на съществено важна причина за такова възражение и тя е предоставена писмено на Netradyne, и при невъзможност за приятелско уреждане на въпроса от страните (всяка Страна да действа разумно и добросъвестно), Клиентът може да прекрати съответната поръчка само по отношение на засегнатите характеристики или функционалности на Продуктите и Услугите.

6.3. Netradyne ще носи отговорност за действията или бездействията на Под-обработващите в съответната степен съгласно Законите за защита на данните, както ако действията или бездействията са извършени от Netradyne, и ще има право да изпълни повторно или да предостави повторно изпълнение на всички задължения. Клиентът потвърждава и приема, че такова преизпълнение намалява всеки иск, който Клиентът може да има срещу Netradyne във връзка с отговорността на Под-обработващ.

7. Заявки на субекти на данни

7.1. Netradyne ще уведоми и ще съдейства на Клиента, ако получи заявки от субекти на данни за упражняване на техните права (Заявки на субект на данни), при условие че Netradyne може разумно да установи от предоставената информация, че заявката се отнася до Клиента или до Лични данни на клиента. Netradyne няма да отговаря на такива искания, освен ако това не се изисква от приложимото законодателство. Netradyne може да изиска от Клиента да покрие действителните разходи, направени в резултат на предоставената помощ съгласно тази секция, на база действащите тарифи на Netradyne.

7.2. За избягване на всякакво съмнение, Клиентът носи отговорност като Администратор за отговаряне на Заявки на субекти на данни. Продуктите и Услугите на Netradyne включват технически и организационни мерки, създадени да подпомогнат Клиента при отговаряне на Заявки на субекти на данни.

8. Заявки от трети страни

Netradyne ще:

(a) освен ако няма законова забрана, своевременно ще уведоми Клиента без неоправдано забавяне (при всички случаи в рамките на 72 часа) за всяка заявка за информация или жалба от надзорен орган, регулаторен орган, правоохранителен орган или агенция за кредитен рейтинг, свързана с Лични данни, които Netradyne обработва във връзка със Споразумението; и

(b) ако Клиентът изиска, ще участва и съдейства при подготовката на отговор на такова искане;

(c) няма отговаря на такова искане без предварително писмено съгласие на Клиента, освен ако не е законово задължен.

Освен ако не е забранено от закона, Netradyne първо ще уведоми Клиента преди да отправи каквото и да е уведомление или разкриване към трета страна относно Нарушение на сигурността на личните данни и ще получи предварителното писмено съгласие на Клиента.

9. Нарушение на сигурността на личните данни

9.1. Netradyne ще уведоми Клиента без неоправдано забавяне, когато узнае за Нарушение на сигурността на личните данни, засягащо Личните данни на клиента. За избягване на съмнения, Нарушението на сигурността на лични данни не включва (i) действия или бездействия, които не са директно свързани с Netradyne или неговите под-обработващи; или (ii) всеки достъп или обработка на Лични данни на Клиента, който е съобразен с Инструкциите на клиента. По искане на Клиента Netradyne ще предостави разумна помощ и съдействие за подпомагане на Клиента при изпълнение на всички приложими задължения за уведомяване за Нарушение на сигурността на лични данни съгласно Законите за защита на данните. Уведомлението или отговорът на Netradyne относно Нарушението на сигурността на лични данни не трябва да се тълкува като признаване на вина или отговорност от страна на Netradyne или, ако е приложимо, неговите Под-обработващи по отношение на предоставянето на Продуктите и Услугите. Netradyne може да изиска от Клиента да покрие действителните разходи, направени в резултат на предоставената помощ съгласно тази секция, на база действащите тарифи на Netradyne.

10. Оценка на въздействие върху защитата на данните & предварителна консултация

10.1. По искане на клиента, Netradyne ще предостави разумна помощ на Клиента при подготовката на оценки на въздействието върху защитата на данните и предварителни консултации с надзорните органи, изисквани по Закони за защита на данните, във всеки случай само във връзка с Обработката на Лични данни на Клиента от страна на Netradyne по силата на Споразумението, отчитайки естеството на обработката и информацията, с която разполага Netradyne. Netradyne си запазва правото да начисли разумна такса за поисканата помощ, доколкото е разрешено от приложимото законодателство.

11. Права за одит

11.1. При писмено искане и без допълнителни разходи за Клиента, Netradyne ще предостави на Клиента и/или надлежно квалифициран представител на трета страна (общо наричан „Одитор“) достъп до документация, удостоверяваща спазването от страна на Netradyne на задълженията по това DPA под формата на отчети от съответни одити, сертификации, като ISO 27001, или попълнени стандартни индустриални въпросници (общо наричани „Отчети“). Такива Отчети са поверителна информация на Netradyne по силата на клаузите за поверителност в Споразумението. Клиентът се съгласява, че Отчетите ще се използват за удовлетворяване на всяко искане за одит или инспекция от страна на или от името на Клиента във връзка със Закони за защита на данните, това DPA и/или Споразумението.

11.2. Когато Одиторът е трета страна, възможно е да се изиска той да сключи отделно споразумение за поверителност с Netradyne преди какъвто и да е преглед на Отчети или одит на Netradyne. Netradyne може да възрази писмено срещу такъв Одитор, ако, според разумната преценка на Netradyne, Одиторът не е достатъчно квалифициран или е конкурент на Netradyne. Всяко такова възражение на Netradyne ще изисква Клиентът да назначи друг Одитор или да осъществи одита самостоятелно. Всички разходи, направени от Одитор във връзка с прегледа на Отчети или одит, се поемат изцяло от Одитора.

11.3. Ако няма наличен Отчет, Клиентът може да поиска, с 30-дневно предварително писмено уведомление и не повече от веднъж годишно, да извърши проверка за своя сметка, с обхват, дати, продължителност, одитор и мерки за сигурност и/или поверителност, за които е постигнато съвместно съгласие, на съответните политики и процедури на Netradyne относно обработката на Лични данни на Клиента във връзка с Продуктите, с цел проверка на съответствието на Netradyne с това DPA. Тази проверка ще се проведе по начин, който не нарушава задълженията за поверителност на Netradyne към други клиенти. Страните признават и се съгласяват, че политиките и процедурите на Netradyne и всички заключения от проверката на Клиента са поверителна информация на Netradyne по силата на клаузите за поверителност в Споразумението.

11.4. До степента, изисквана от Законите за защита на данните, Клиентът има право, след писмено уведомление до Netradyne, да предприеме разумни и подходящи мерки за преустановяване и отстраняване на всяко използване на Лични данни на Клиента, което е в нарушение на Споразумението.

12. Трансфери на данни

12.1. Netradyne може да прехвърля Лични данни на Клиента до всяка държава или територия, доколкото това е необходимо за предоставяне на Продукти и Услуги, съгласно настоящото DPA. Доколкото такъв трансфер обхваща Лични данни на клиента, защитени по Законите за защита на данните на Европейския съюз, Обединеното кралство и/или Швейцария, Netradyne и Клиентът се съгласяват да спазват и обработват Личните данни на клиента в съответствие с посочените по-долу механизми за трансфер.

12.1.1. Докато Netradyne е получател на Лични данни на Клиента - в качеството на обработващ данни - защитени по GDPR на ЕС ("Данни на ЕС") в държава извън Европейското икономическо пространство (ЕИП), която не е призната от Законите за защита на данните за осигуряваща адекватно ниво на защита на личните данни, Клиентът (като "износител на данни") и Netradyne (като "вносител на данни") се съгласяват да спазват и обработват Данните на ЕС съгласно Стандартните договорни клаузи (SCC) на ЕС, които се считат за неразделна част от настоящото DPA, както следва:

Ще се прилага Модул Две;
в Клауза 7, незадължителната клауза за скачване няма да се прилага;
в Клауза 9, ще се прилага Опция 2, а срокът за предварително уведомяване за промени на Под-обработващи ще бъде този, посочен в секция 6.2 на това DPA;
в Клауза 11, допълнителният език няма да се прилага;
в Клауза 13(а), ще се прилага първият параграф;
в Клауза 17, Опция I ще се прилага и SCC на ЕС ще се подчинява на законите на Нидерландия;
в Клауза 18(b), споровете ще бъдат решавани от съдилищата на Нидерландия;
Приложение I на SCC на ЕС ще се счита за попълнено с информацията, посочена в Приложение 1 на това DPA; и
Съобразно раздел 5. 1 на това DPA, Приложение II към SCC на ЕС ще се счита за попълнено с информацията, изложена в Приложение 2 на това DPA.
Приложение III към SCC (списък на под-обработващите) ще се счита за попълнено с информацията, изложена в Приложение 3 на това DPA.

12.1.2. Докато Netradyne е получател на Лични данни на клиента, защитени по Швейцарския закон за защита на данните („Данни на Швейцария“), в държава извън Швейцария, която не е призната за предоставяща адекватно ниво на защита на личните данни, Клиентът ("износител на данни") и Netradyne ("вносител на данни") се съгласяват да спазват и обработват Данни на Швейцария съгласно Стандартните договорни клаузи (SCC) на ЕС, които се считат за неразделна част от настоящото DPA съгласно Раздел 12.1.1 по-горе и модификациите в отделната секция по-долу.

12.1.3. Докато Netradyne е получател на Лични данни на клиента, защитени по Закона за защита на данните на Обединеното кралство ("Данни от Обединеното кралство"), в държава извън Обединеното кралство, която не е призната от Обединеното кралство за предоставяща адекватно ниво на защита на Личните данни, Клиентът (като "износител на данни") и Netradyne (като "вносител на данни") се съгласяват да спазват и обработват Данни от Обединеното кралство съгласно Стандартните договорни клаузи (SCC) на ЕС, прилагани в съответствие с Раздел 12.1.1 по-горе и модификациите в отделната секция по-долу. Докато и доколкото SCC на ЕС, прилагани съгласно това DPA, не могат да се използват за законно прехвърляне на лични данни в съответствие със Закона за защита на данните на Обединеното кралство до Netradyne, SCC на Обединеното кралство ще се считат за неразделна част от настоящото DPA и ще се прилагат за трансфери, подчинени на UK GDPR. За целите на SCC на Обединеното кралство, съответните анекси, приложения или таблици се считат за попълнени с информацията, изложена в Приложения 1 и 2 на това DPA.

12.1.4. По отношение на трансфери на Данни от Обединеното кралство или Швейцария, Стандартните договорни клаузи (SCC) на ЕС, прилагани съгласно Раздел 12.1.1 по-горе, ще се използват със следните модификации (които периодично се актуализират според указания на UK ICO или Швейцарската федерална служба за защита на данните):

12.1.4.1. позовавания на "Регламент (ЕС) 2016/679" ще се тълкуват като такива според Законите за защита на данните в Обединеното кралство или Швейцария (ако е приложимо);

12.1.4.2. позовавания на специфични членове на "Регламент (ЕС) 2016/679" се заменят със съответните членове или раздели на Законите за защита на данните в Обединеното кралство или Швейцария (ако е приложимо);

12.1.4.3. позовавания на „ЕС“, „Съюз“, „държава членка“ и „закон на държавата членка“ се заменят с "Обединеното кралство“ или „Швейцария“ или „закон на Обединеното кралство“ или „швейцарски закон“ (ако е приложимо);

12.1.4.4. терминът „държава членка“ не се тълкува така, че да изключва субекти на данни в Обединеното кралство или Швейцария от възможността да заведат съдебни искове за правата си в местообитаването си (т.е. Обединеното кралство или Швейцария);

12.1.4.5. Клауза 13(а) на SCC на ЕС и ЧАСТ C на Приложение I не се използват и "компетентният надзорен орган" е Комисарят по информацията на Обединеното кралство или Швейцарската федерална служба за защита на данните (ако е приложимо);

12.1.4.6. позовавания на "компетентния надзорен орган" и "компетентните съдилища" се заменят с „Информационния комисар“ и "съдилищата на Англия и Уелс“ или "Швейцарската федерална служба за защита на данните“ и "компетентните съдилища на Швейцария“ (ако е приложимо);

12.1.4.7. в Клауза 17, SCC на УС се регулира от законите на Англия и Уелс или Швейцария (според случая); и

12.1.4.8. относно трансферите, за които се прилага Законът за защита на данните на Обединеното кралство, Клауза 18 се изменя да гласи: "Всеки спор, произтичащ от тези клаузи, ще се решава от съдилищата на Англия и Уелс. Субектът на данни може да заведе дело срещу износителя и/или вносителя на данни пред съдилищата на всяка страна в Обединеното кралство. Страните се съгласяват да се подчинят на юрисдикцията на такива съдилища", и относно трансферите, за които се прилага Швейцарският закон за защита на данните, Клауза 18(б) гласи, че споровете ще бъдат решавани от компетентните съдилища на Швейцария.

12.2. Netradyne може да прехвърля Лични данни на клиента на Под-обработващ извън Европейския съюз, Швейцария или Обединеното кралство, при условие че Netradyne ще прилага мерки за законно прехвърляне на данни. Тези мерки могат да изискват Netradyne да (a) осигури подписване на Стандартни договорни клаузи от третата страна; или (b) да приложи друг алтернативен законен механизъм за трансфер на данни (разписан в Законите за защита на данните).

12.3. Доколкото механизмите за трансфер, използвани за пренос на лични данни, не могат да бъдат използвани за законосъобразен трансфер на лични данни от една юрисдикция в друга съгласно приложимото законодателство за защита на данните, страните ще се срещнат незабавно, за да обсъдят и договорят алтернативен механизъм за трансфер или алтернативни допълнителни мерки, които да позволят законосъобразен трансфер на данни възможно най-скоро.

13. Извличане & изтриване на лични данни на клиента

13.1. Клиентът се съгласява, че политиките за съхранение и изтриване на данни ще са подчинени на условията, посочени в Споразумението. След получаване на искане от клиента за изтриване на Лични данни на клиента, Netradyne незабавно ще изтрие или върне всички Лични данни на Клиента при поискване. Освен ако клиентът не уведоми Netradyne друго, при прекратяване на Споразумението Netradyne ще изтрие всички Лични данни в рамките на 30 дни. Независимо от горното, Netradyne може да съхранява Лични данни само доколкото това се изисква по Закон за защита на данните.

13.2. Доколкото е разрешено от приложимите Закони за защита на данните, Netradyne може да деидентифицира или анонимизира Личните данни на Клиента за по-нататъшно съхранение и използване, при условие че публично поеме ангажимент да съхранява и използва информацията само в деидентифицирана или анонимизирана форма и да не се опитва да я идентифицира повторно. За избягване на съмнение и доколкото е разрешено от приложимите Закони за защита на данните, такава деидентификация или анонимизация на Личните данни на Клиента ще се счита за изпълнение на задълженията на Netradyne за изтриване на данни по Споразумението, това DPA и приложимите закони за защита на данните.

14. Отговорност

14.1. .Всички претенции, предявени по настоящото DPA (включително по Стандартните договорни клаузи), са предмет на условията, включително, но не само, изключенията и ограниченията на отговорността, посочени в Споразумението.

15. Допълнителни разпоредби за Калифорния

15.1. Доколкото Личните данни на Клиента се отнасят до жители на Калифорния, Netradyne няма да съхранява, използва, продава, споделя или по друг начин разкрива Личните данни на Клиента (включително за каквато и да е търговска цел или друга цел извън директните бизнес взаимоотношения между страните), освен ако това не е разрешено от закона или е необходимо за предоставяне и поддръжка на Продуктите и Услугите, както е посочено в Споразумението.

15.2. Доколкото Личните данни на Клиента се отнасят до жители на Калифорния, Netradyne ще спазва приложимите ограничения по CPRA относно комбинирането на такива Лични данни на Клиента, които Netradyne получава от или от името на Клиента, с Лични данни, които Netradyne получава от или от името на друго лице или лица, или които Netradyne събира от всякакво взаимодействие между него и субекта на данните.

15.3. Доколкото Личните данни на Клиента се отнасят до жители на Калифорния, Netradyne ще спазва CPRA и, като вземе предвид ролята на Netradyne в обработката, ще предоставя нивото на защита за съответните Лични данни на Клиента съгласно изискванията на CPRA.

16. Промени в законите за защита на данните

16.1. Ако влезе в сила нов Закон за защита на данните, който се отнася за Netradyne, Netradyne и Клиентът ще предприемат всички разумни мерки, изисквани от такъв Закон за защита на данните, за да гарантират способността на страните да спазват задълженията си съгласно приложимото законодателство и да гарантират спазването от страна на Netradyne на всички Закони за защита на данните, приложими за Netradyne.

17. Приложимо право & юрисдикция

17.1. Освен ако не е предвидено друго от Стандартните договорни клаузи или приложимите Закони за защита на данните, това DPA и всеки спор или иск, произтичащ от или във връзка с него или неговия предмет или съставяне, се подчиняват и тълкуват в съответствие със законите на щата Калифорния, без да се вземат предвид принципите му на международното частно право. За избягване на съмнения, когато Стандартните договорни клаузи се прилагат, те се уреждат от законите и подлежат на юрисдикцията, посочена в тях.

Приложение 1

Описание на обработка / трансфер

Предмет	Детайли
Износител на данни	Клиентът е износителят на данни
Вносител на данни	Netradyne, Inc. 9171 Towne Centre Drive, Suite 110 San Diego, CA 92122 Данни за контакт: ‍privacy@netradyne.com ‍dpo@netradyne.com ‍legal@netradyne.com

Описание на трансфера / обработката

Предмет	Детайли
Субекти на данни:	Служители или независими изпълнители на Клиента, доставчици на услуги на Клиента, включително лица, които шофират превозни средства (“Шофьори”). Членове на обществото или случайно преминаващи лица.
Категории лични данни:	Обработваните лични данни включват: Идентификатори като име, потребителски ID, адрес, данни за контакт, снимка, имейл, номер на шофьорска книжка, име на компанията Телематични и аналитични/свързани метаданни като скорост на превозното средство, рязко спиране, гравитационна сила, дата и час на записите, предпазен колан, разсейване и др. GPS данни за местоположение Записи на видео и изображения GreenZone резултат на водачите Данни за престъпления (доколкото са заснети случайно във видео записи)
Специални категории лични данни:	Не е приложимо
Характер, цел и честота на Обработването:	Netradyne ще обработва Личните данни на Клиента толкова дълго, колкото е необходимо за предоставяне на Продуктите и Услугите на Клиента в съответствие със и както е разрешено по Споразумението, и за всякакво разкриване на информация, изисквано от закона.
Продължителност:	Толкова дълго, колкото е необходимо за постигане на бизнес целите или както е посочено в Споразумението и според Раздел 13 от това DPA.
Одобрени под-обработващи лица (ако има такива):	Както е изброено в Приложение 3
Одобрен механизъм за трансфер:	Стандартни договорни клаузи: Виж Раздел 12 на DPA
Компетентен надзорен орган:	Определя се в съответствие със Законите за защита на данните.

Приложение 2

Технически и организационни мерки, включително технически и организационни мерки за гарантиране на сигурността на данните

Netradyne ще разработи, внедри и поддържа разумни физически, административни и технически контроли за защита на поверителността, наличността и целостта на Услугите и Личните данни на Клиента (“Мерки за сигурност”). Мерките за сигурност трябва, като минимум, да са в съответствие с приложимите Закони за защита на данните. Като вземе предвид съвременното ниво на развитие, разходите за внедряване и същината, обхвата, контекста и целите на Обработката, както и риска с различна вероятност и сериозността за защитените по закон интереси на физическите лица, Netradyne трябва да прилага необходимите технически и организационни мерки (“Мерки за безопасност”), за да гарантира ниво на сигурност, съответстващо на риска при обработването на Лични данни.

Netradyne ще поддържа Мерки за безопасност, съответстващи на приетите от индустрията добри практики (включително стандартите на Международната организация по стандартизация ISO 27001 и 27002). Програмата за информационна сигурност на Netradyne ще включва най-малко следните мерки и контроли:

Предмет	Детайли
Мерки за псевдонимизация и криптиране на лични данни.	Netradyne използва криптографски техники за защита на клиентските данни. Данните, съхранявани на устройството Driver.i, се криптират чрез алгоритъма AES 256. Данните, съхранявани в облачното хранилище Amazon Web Service (AWS) S3, се криптират чрез AES-256 SSE. Паролите имат "сол", като се добавят случайни символи, и се хешират с алгоритъма PBKDF2WithHmacSHA512. Данните по време на пренос са защитени чрез протокол Transport Layer Security (TLS) версия 1.2 и по-нови.
Мерки за осигуряване на непрекъсната конфиденциалност, неприкосновеност, достъпност и устойчивост на системите и услугите за обработване.	Netradyne прилага строги контроли за достъп, за да ограничи достъпа до информацията на Клиента. Контролите за достъп включват контролирано използване на административни права, прилагане на политики за управление на акаунти и пароли, както и многофакторна автентикация (MFA) за сървъри и производствени системи. Netradyne внедри контролни мерки за мрежова сигурност, оценка на уязвимостите, управление на пачове и планирани процедури за наблюдение с цел идентифициране, оценка, смекчаване и защита срещу заплахи за сигурността. Критичните пачове от сериозно ниво на риск са насрочени за преглед, оценка и внедряване незабавно или в рамките на 5 дни. Пачове от високо ниво на риск също се преглеждат и внедряват незабавно или в рамките на 30 дни. Пачове от средно и ниско ниво на риск се преглеждат като част от вътрешния одитен процес и обикновено се внедряват в рамките на 3-12 месеца според уместността и сериозността им. Дълбоката инспекция на пакети във функцията за защитна стена на Netradyne позволява блокиране на злонамерен трафик. Те се наблюдават 24/7 за производителност, сигурност и правилна работа. Сегрегация на данни. Netradyne прилага мерки за логическа изолация на клиентските данни от вътрешни данни или данни на трети страни на Netradyne. Физическа сигурност. Netradyne прилага физически мерки за сигурност (карти за достъп, видеонаблюдение с CCTV и охранители) за наблюдение и контрол на физическия достъп до своите обекти. Netradyne извършва тестове за производителност, редовен мониторинг на здравето на устройствата и архивиране на данни в резервни копия, за да осигури наличността и устойчивостта на своите платформи и услуги.
Мерки за осигуряване на възможност за своевременно възстановяване на наличността и достъпа до лични данни в случай на физически или технически инцидент.	Netradyne съхранява всички данни в облака на AWS (Elastic Block Storage- EBS), който е конфигуриран да позволява редовно архивиране или възстановяване на данни. Netradyne поддържа екип за реагиране при инциденти със сигурността (SIRT), който координира необходимите действия за овладяване на инциденти и възстановяване на данни.
Процеси за редовно тестване, оценка и преглед на ефективността на техническите и организационни мерки за осигуряване на сигурността на обработването.	Netradyne провежда вътрешен одит на своите мерки за сигурност и поверителност поне веднъж годишно. Периодично се извършват проверки за уязвимости и тестове за проникване от външни проверяващи.
Мерки за идентификация и удостоверяване на потребителите.	Netradyne предоставя потребителски идентификатор (user-id) на всички потребители. Контролите за достъп включват контролирано използване на административни права, прилагане на политики за управление на акаунти и пароли, както и многофакторна автентикация (MFA) за сървъри и производствени системи. Паролите трябва да отговарят на изискванията за сложност, описани в Политиката за пароли на Netradyne. Акаунти със специални права се предоставят само на ограничен брой служители на Netradyne, които имат нужда от такъв достъп за изпълнение на служебните си задължения.
Мерки за осигуряване на физическата сигурност на местата, където се обработват лични данни.	Производствените и развойни центрове за данни на Netradyne са защитени от екологични заплахи и заплахи за сигурността чрез технически, административни и физически мерки за сигурност. За сигурното функциониране са включени резервни непрекъсваеми захранващи устройства, системи за откриване и гасене на пожар и дим, резервна вентилация и климатизация и други. Всички системи преминават през чести и редовни профилактични поддръжки. Административните сгради на Netradyne се наблюдават чрез CCTV. Екип от охранители е разположен на входа и в цялия обект. Достъпът до сградата се контролира чрез карти за сигурност.
Мерки за гарантиране на регистрирането на събития.	Системите на Netradyne се управляват и наблюдават централно чрез използване на стандартизирани за индустрията механизми за регистриране. Приложенията на Netradyne са конфигурирани да регистрират подробности за потребителските сесии и действията на потребителите. Регистрират се също и административни събития, като операции с потребителски акаунти. Административни събития, като създаване или деактивиране на потребителски акаунт, заключване или изтичане на срока на акаунт, смяна на парола, задаване или премахване на потребителска роля, добавяне или премахване на потребител от група, също се регистрират.
Мерки за осигуряване на системната конфигурация, включително настройки по подразбиране.	Netradyne определя стандартна конфигурация на работната станция за постигане на целите за сигурност. Сървърните системи на Netradyne са конфигурирани за производителност, стабилност, разширяемост и сигурност. Всички сървърни системи, включително уеб, приложения и бази данни, са изградени по стандартите за конфигуриране. Всички SQL Server услуги са укрепени чрез деактивиране на всички услуги, които не се използват от приложението на Netradyne. Процесът на укрепване включва следните цели: Активиране само на необходимите услуги, протоколи, програми във фонов режим (демони) и други според изискванията за работа на системата. Прилагане на допълнителни мерки за сигурност за всички изисквани услуги, протоколи или демони, които се считат за несигурни. Конфигуриране на параметрите за сигурност на системата, за да се предотврати неправомерна употреба. Премахване на цялата ненужна функционалност, като скриптове, драйвери, функции, подсистеми, файлови системи и ненужни уеб сървъри.
Мерки за вътрешно управление и ръководство по ИТ и ИТ сигурност.	Netradyne разполага със специален екип по информационна сигурност (InfoSec) и има въведени политики и процедури за ИТ сигурност. Това включва официален процес на управление на промените и политика за допустима употреба.
Мерки за сертифициране/гарантиране на процеси и продукти.	Netradyne възлага на независими одитори по сигурността периодична оценка на своите мерки за сигурност и поверителност като част от своите сертификати по ISO 27001 и "Поверителност по план". ISO 27001 - https://gmsintercert.com/verify/single-cert-verify.php?cRegName=ISMS2020025 Поверителност по план - https://msecb.com/certifications-granted
Мерки за гарантиране на минимизиране на данните.	Могат да се активират различни режими и конфигурации за поверителност, чрез които да се намали обемът на обработваните данни от Netradyne. По-голямата част от видео записите, направени с устройството Driver.i, остават на устройството и се презаписват, когато паметта на устройството се запълни. Видеосъдържание се качва в облака на Netradyne само ако се засече Събитие. Средно по-малко от 1% от записите се качват в облака. Според типа на Събитието, само съответните кадри от събитието (външни кадри или кадри от кабината) се качват в облака. За всички Събития устройството качва Данни за събитие в облака.
Мерки за осигуряване на ограничено съхранение на данни.	По подразбиране периодът за съхранение на данните е балансиран между това да се гарантира, че данните се пазят достатъчно дълго, за да бъдат полезни за Износителя на данни, и това да не се допусне задържането им отвъд този полезен период. Изискванията за съхранение и изтриване на данни са установени в Споразумението или DPA.
Мерки за гарантиране на отчетност.	Netradyne поддържа доказателства за стъпките, предприети за спазване на GDPR на ЕС. Netradyne въвежда подходящи технически и организационни мерки като: (i) приемане и прилагане на политики за защита на данните (където е пропорционално); (ii) сключване на писмени договори със доставчици; (iii) водене на документация за дейностите по обработване; (iv) внедряване на подходящи мерки за сигурност; (v) регистриране и при необходимост докладване на нарушения на сигурността на личните данни; (vi) извършване на оценки на въздействието на защитата при обработването на данни, когато има голям риск за интересите на лицата и (vii) внедряване на контрол за регистриране и наблюдение.
Мерки за осигуряване на преносимост на данните и изтриване.	Netradyne позволява на субектите на данни да упражняват своите права, като се свържат с определените лица и точки за контакт. Основната отговорност за отговор на заявки от субекти на данни е на клиента. Netradyne ще подпомага клиента при отговор на заявки на субекти на данни.

Приложение 3

Списък на одобрените под-обработващи лица

Администраторът е упълномощил използването от следните под-обработващи лица:

Под-обработващо лице	Цел на обработването	Местоположение
Netradyne Technology India Private Limited (“Netradyne India”)	Инженеринг и поддръжка	Индия
Amazon Web Services (AWS)	Хостинг на данни	Съединени щати
Elancer IT Solutions Private Limited	Услуги по етикетиране на данни	Индия
Gainsight, Inc.	Платформа за успех на клиенти	Съединени щати
Mixpanel, Inc.	Активност/изживяване на потребителя (анализ на данни)	Съединени щати
VVDN Technologies	Ремонт на устройства	Индия