Споразумение за обработване на данни (СОД)
Последна актуализация: 9 април 2026 г.
Настоящото Споразумение за обработване на данни („СОД") е неразделна част от и е инкорпорирано в Общите условия („ОУ" или „Споразумение") между:
- Администратор: Търговецът, който е приел ОУ и използва платформата зинтерра (наричан по-долу „Администратор" или „Търговец").
- Обработващ: зинтерра ЕООД, ЕИК 208066407, със седалище и адрес на управление: жк София Парк, Блок 121, ап. 3, 1766, София, България (наричан по-долу „Обработващ" или „зинтерра").
Настоящото СОД определя условията, при които зинтерра обработва лични данни от името на Търговеца във връзка с предоставянето на Платформата, в съответствие с чл. 28 от Общия регламент относно защитата на данните (Регламент (ЕС) 2016/679, „ОРЗД").
1. Дефиниции
В настоящото СОД следните термини имат значенията, посочени по-долу. Термините, които не са дефинирани тук, имат значенията, дадени им в ОРЗД или ОУ.
| Администратор | Търговецът, който определя целите и средствата за обработване на лични данни на крайни потребители чрез Платформата. |
| Обработващ | зинтерра ЕООД, който обработва лични данни от името на и по указанията на Администратора. |
| Субект(и) на данни | Крайни потребители — физическите лица, чиито лични данни се обработват чрез Платформата (т.е. клиентите и посетителите на магазина на Търговеца). |
| Лични данни | Всяка информация, свързана с идентифицирано или подлежащо на идентификация физическо лице (субект на данни), която се обработва от Обработващия от името на Администратора чрез Платформата. |
| Обработване | Всяка операция или съвкупност от операции, извършвана с лични данни, независимо дали с автоматични средства, включително събиране, записване, организиране, структуриране, съхранение, адаптиране, промяна, извличане, консултиране, използване, разкриване чрез предаване, разпространение, привеждане в съответствие, комбиниране, ограничаване, изтриване или унищожаване. |
| Подизпълнител (под-обработващ) | Трета страна, ангажирана от Обработващия за извършване на конкретни дейности по обработване от името на Администратора. |
| Надзорен орган | Независим публичен орган, създаден от държава-членка на ЕС/ЕИП съгласно чл. 51 от ОРЗД. За зинтерра водещият надзорен орган е Комисията за защита на личните данни (КЗЛД) на Република България. |
| Нарушение на сигурността на данните | Нарушение на сигурността, водещо до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин. |
| СДК на ЕС | Стандартните договорни клаузи за предаване на лични данни към трети държави, приети от Европейската комисия с Решение за изпълнение (ЕС) 2021/914. |
2. Обхват
2.1 Настоящото СОД се прилага за всички лични данни, обработвани от зинтерра от името на Търговеца чрез Платформата, както е допълнително описано в Приложение А (Детайли на обработването).
2.2 Търговецът е Администратор на лични данни, свързани с крайните потребители. зинтерра е Обработващ такива данни. Настоящото СОД не се прилага за данни, за които зинтерра е администратор (напр. данни за акаунта на търговеца, данни за фактуриране), които се уреждат от Политиката за поверителност на зинтерра.
2.3 Предметът, продължителността, естеството, целта, видовете лични данни и категориите субекти на данни са посочени в Приложение А.
3. Задължения на Обработващия
3(а) Обработване по документирани указания
3.1 Обработващият обработва лични данни единствено по документирани указания на Администратора, включително по отношение на предаването на лични данни към трета държава, освен ако не е задължен да го направи по силата на правото на Съюза или правото на държава-членка, на което е подчинен. В такъв случай Обработващият информира Администратора за това правно изискване преди обработването, освен ако съответното право забранява такова информиране по важни съображения от обществен интерес.
3.2 Указанията на Търговеца за обработване са определени в настоящото СОД, ОУ и всякакви допълнителни писмени указания, предоставени от Търговеца чрез функционалностите на Платформата (напр. конфигуриране на интеграции, активиране на куриерски доставчици, управление на клиентски данни).
3.3 Обработващият незабавно информира Администратора, ако по мнение на Обработващия указание на Администратора нарушава ОРЗД или други разпоредби на Съюза или на държава-членка за защита на данните.
3(б) Поверителност
3.4 Обработващият гарантира, че всички лица, оторизирани да обработват лични данни, са поели ангажимент за поверителност или са обвързани от подходящо законово задължение за поверителност.
3.5 Обработващият гарантира, че достъпът до лични данни е ограничен до тези служители, които се нуждаят от достъп за изпълнение на задълженията си във връзка с услугите, предоставяни по ОУ.
3(в) Мерки за сигурност
3.6 Обработващият прилага подходящи технически и организационни мерки за осигуряване на ниво на сигурност, съответстващо на риска, в съответствие с чл. 32 от ОРЗД. Тези мерки включват, когато е уместно:
- (i) Криптиране на лични данни при пренос (TLS) и при съхранение.
- (ii) Контрол на достъпа, основан на принципа на минималните привилегии, включително многофакторна автентикация за административен достъп.
- (iii) Мрежова сегментация, защитни стени и системи за откриване на прониквания.
- (iv) Редовно тестване, оценяване и преценка на ефективността на техническите и организационни мерки за осигуряване на сигурността на обработването.
- (v) Псевдонимизация на лични данни, когато е уместно и осъществимо.
- (vi) Мерки за осигуряване на постоянна поверителност, цялост, наличност и устойчивост на системите и услугите за обработване.
- (vii) Способност за своевременно възстановяване на наличността и достъпа до лични данни в случай на физически или технически инцидент.
- (viii) Логване и мониторинг на сигурността на достъпа до системи, обработващи лични данни.
- (ix) Управление на уязвимости, включително регулярни оценки на сигурността и навременно прилагане на корекции за сигурност.
3.7 Обработващият предприема разумни стъпки, за да гарантира, че мерките за сигурност остават подходящи през целия срок на настоящото СОД, като взема предвид актуалното състояние на техниката, разходите за прилагане, естеството, обхвата, контекста и целите на обработването, както и риска с различна степен на вероятност и тежест за правата и свободите на физическите лица.
3(г) Подизпълнители (под-обработващи)
3.8 Администраторът предоставя на Обработващия общо писмено разрешение за ангажиране на подизпълнители (под-обработващи) за целите на предоставяне на услугите на Платформата. Актуалният списък на подизпълнителите е посочен в Приложение Б.
3.9 Обработващият информира Администратора за всякакви планирани промени относно добавянето или заместването на подизпълнители, като по този начин дава на Администратора възможност да направи възражение срещу такива промени в рамките на 30 календарни дни от получаване на уведомлението.
3.10 Уведомленията за промени в подизпълнителите ще се извършват по имейл до регистрирания имейл адрес на Търговеца или чрез системата за уведомления на Платформата.
3.11 Ако Администраторът възрази срещу нов подизпълнител на разумни основания, свързани със защитата на данните, страните ще обсъдят възражението добросъвестно с цел постигане на търговски разумно решение. Ако не може да бъде постигнато решение в рамките на 30 календарни дни от възражението, Администраторът може да прекрати засегнатите услуги (или ОУ в тяхната цялост) без неустойка, като предостави писмено уведомление.
3.12 Обработващият налага на всеки подизпълнител, чрез писмен договор, задължения за защита на данните, които не са по-малко защитни от тези, определени в настоящото СОД. Обработващият остава изцяло отговорен пред Администратора за изпълнението на задълженията на всеки подизпълнител.
3(д) Съдействие при упражняване на правата на субектите на данни
3.13 Обработващият съдейства на Администратора чрез подходящи технически и организационни мерки, доколкото е възможно, за изпълнение на задължението на Администратора да отговаря на искания за упражняване на правата на субекта на данни по Глава III от ОРЗД (достъп, коригиране, изтриване, ограничаване, преносимост, възражение).
3.14 Когато Обработващият получи искане директно от субект на данни, Обработващият незабавно пренасочва субекта на данни към Администратора, освен ако Администраторът не е дал други указания.
3.15 Обработващият отговаря на исканията на Администратора за съдействие при упражняване на правата на субектите на данни в рамките на 10 работни дни от получаване на искането.
3(е) Инциденти със сигурността и уведомяване за нарушения
3.16 Обработващият уведомява Администратора за всяко нарушение на сигурността на данните без неоправдано забавяне и във всеки случай в рамките на 48 часа от узнаването за нарушението.
3.17 Уведомлението включва, доколкото е налична информация:
- (i) Описание на естеството на нарушението на сигурността на данните, включително, когато е възможно, категориите и приблизителния брой засегнати субекти на данни и категориите и приблизителния брой засегнати записи с лични данни.
- (ii) Имената и координатите за връзка с лицето за контакт на Обработващия, от което може да се получи повече информация.
- (iii) Описание на вероятните последици от нарушението на сигурността на данните.
- (iv) Описание на предприетите или предложените мерки от Обработващия за справяне с нарушението на сигурността на данните, включително, когато е уместно, мерки за смекчаване на евентуалните неблагоприятни последици.
3.18 Когато не е възможно да се предостави цялата информация едновременно, Обработващият я предоставя на етапи без неоправдано допълнително забавяне.
3.19 Обработващият сътрудничи и съдейства на Администратора при спазването от страна на Администратора на задълженията му по чл. 33 и 34 от ОРЗД (уведомяване на надзорния орган и уведомяване на субектите на данни).
3(ж) Оценки на въздействието върху защитата на данните
3.20 Обработващият предоставя разумно съдействие на Администратора при извършване на оценки на въздействието върху защитата на данните (ОВЗД) и предварителни консултации с надзорни органи, които Администраторът е длъжен да проведе съгласно чл. 35 и 36 от ОРЗД, като отчита естеството на обработването и информацията, достъпна за Обработващия.
3(з) Връщане и изтриване на данни
3.21 При прекратяване или изтичане на ОУ и по избор на Администратора, Обработващият:
- (i) Връща всички лични данни на Администратора в широко използван, машинно четим формат; или
- (ii) Изтрива всички лични данни и съществуващи копия, освен ако правото на Съюза или правото на държава-членка не изисква по-нататъшно съхранение на личните данни.
3.22 Обработващият завършва връщането или изтриването в рамките на 90 календарни дни от датата на влизане в сила на прекратяването.
3.23 При поискване Обработващият предоставя на Администратора писмено удостоверение, че всички лични данни са изтрити в съответствие с настоящата клауза.
3.24 Независимо от горното, Обработващият може да задържи лични данни до степента и за периода, изисквани от приложимото законодателство (напр. графици за съхранение на резервни копия, данъчни задължения). Всички така задържани данни продължават да бъдат защитени в съответствие с настоящото СОД и се изтриват при изтичане на законовия срок за съхранение.
3(и) Одити и демонстриране на съответствие
3.25 Обработващият предоставя на Администратора цялата информация, необходима за демонстриране на съответствие със задълженията, определени в чл. 28 от ОРЗД и настоящото СОД.
3.26 Обработващият позволява и съдейства при извършването на одити, включително проверки, провеждани от Администратора или от одитор, упълномощен от Администратора, при спазване на следните условия:
- (i) Администраторът предоставя най-малко 30 календарни дни предварително писмено уведомление за одит.
- (ii) Одитите се провеждат в рамките на нормалното работно време и не трябва неоснователно да нарушават дейността на Обработващия.
- (iii) Администраторът може да проведе не повече от един одит на календарна година, освен ако допълнителни одити не са поискани от надзорен орган или не са необходими поради нарушение на сигурността на данните.
- (iv) Одиторът е обвързан с подходящи задължения за поверителност.
- (v) Администраторът поема собствените си разходи, свързани с одита.
3.27 Обработващият може да удовлетвори исканията за одит чрез предоставяне на съответни сертификати, одитни доклади (напр. SOC 2 Type II) или други доказателства за съответствие, когато те са разумно достатъчни за демонстриране на съответствие.
4. Уведомяване за нарушение на сигурността на данните
4.1 В допълнение към задълженията, определени в Раздел 3(е), уведомлението на Обработващия за нарушение към Администратора включва най-малко:
- (а) Естеството на нарушението на сигурността на данните.
- (б) Категориите и приблизителния брой засегнати субекти на данни.
- (в) Категориите и приблизителния брой засегнати записи с лични данни.
- (г) Вероятните последици от нарушението.
- (д) Предприетите или предложените мерки за справяне с нарушението, включително мерки за смекчаване на евентуалните неблагоприятни последици.
4.2 Обработващият документира всички нарушения на сигурността на данните, включително фактите, свързани с нарушението, неговите последици и предприетите коригиращи действия. Тази документация се предоставя на Администратора при поискване.
4.3 Обработващият сътрудничи изцяло на Администратора при разследването и отстраняването на последиците от всяко нарушение на сигурността на данните и при спазването на задълженията за уведомяване на надзорни органи или субекти на данни.
5. Международни трансфери
5.1 Обработващият не прехвърля лични данни към държава извън Европейското икономическо пространство („ЕИП"), освен ако:
- (а) Европейската комисия е издала решение за адекватност за държавата на местоназначение съгласно чл. 45 от ОРЗД; или
- (б) Са предвидени подходящи гаранции в съответствие с чл. 46 от ОРЗД, включително Стандартните договорни клаузи на ЕС (СДК).
5.2 Следните подизпълнители включват предаване на лични данни извън ЕИП, конкретно към Съединените щати:
| Stripe, Inc. | СДК на ЕС + Сертификация по Рамката за поверителност на данните ЕС-САЩ (DPF) |
| SendGrid / Twilio, Inc. | СДК на ЕС + Сертификация по Рамката за поверителност на данните ЕС-САЩ (DPF) |
| Sentry (Functional Software, Inc.) | СДК на ЕС + Сертификация по Рамката за поверителност на данните ЕС-САЩ (DPF) |
| Anthropic, Inc. | СДК на ЕС + Сертификация по Рамката за поверителност на данните ЕС-САЩ (DPF) |
| OpenAI, Inc. | СДК на ЕС + Сертификация по Рамката за поверителност на данните ЕС-САЩ (DPF) |
5.3 Когато е необходимо, Обработващият сключва СДК на ЕС със съответния подизпълнител и извършва оценка на въздействието на трансфера, за да осигури адекватността на защитата в държавата на местоназначение.
6. Срок на действие
6.1 Настоящото СОД влиза в сила от датата на приемане на ОУ от Търговеца и остава в сила за срока на действие на ОУ.
6.2 Задълженията на Обработващия по отношение на връщането или изтриването на лични данни (Раздел 3(з)) и поверителността (Раздел 3(б)) остават в сила след прекратяване или изтичане на настоящото СОД.
7. Отговорност
7.1 Отговорността на всяка от страните по настоящото СОД е предмет на ограниченията и изключенията на отговорността, определени в ОУ.
7.2 Нищо в настоящото СОД не ограничава или изключва отговорността на която и да е от страните за нарушения на ОРЗД, доколкото такова ограничение не е разрешено от приложимото право.
Приложение А — Детайли на обработването
| Предмет на обработването | Предоставяне на услуги на платформа за електронна търговия от зинтерра на Търговеца, включително хостване на онлайн магазина на Търговеца, обработване на поръчки, управление на доставки и изпращане на транзакционни комуникации. |
| Продължителност на обработването | За срока на ОУ между Търговеца и зинтерра, плюс периода за връщане/изтриване на данни, посочен в Раздел 3(з). |
| Естество на обработването | Хостване, показване и предаване на данни от витрината на Търговеца; получаване, съхранение и управление на информация за поръчки; координация с куриерски партньори за изпълнение на доставки; изпращане на транзакционни имейли и съобщения от името на Търговеца; генериране и превод на съдържание с помощта на изкуствен интелект. |
| Цел на обработването | Да се даде възможност на Търговеца да оперира онлайн магазин, да обработва клиентски поръчки, да изпълнява доставки, да комуникира с клиенти и да управлява връщания и възстановявания на суми. Предоставяне на инструменти с изкуствен интелект за генериране на продуктови описания, превод на съдържание и оптимизация на текст. |
| Видове лични данни | Имена (собствено име, фамилно име), имейл адреси, телефонни номера, физически адреси (за доставка и фактуриране), история и детайли на поръчки, платежни референции (идентификатори на транзакции — не номера на карти, които се обработват единствено от Stripe), IP адреси, информация за устройство и браузър, данни за клиентски акаунт. |
| Категории субекти на данни | Крайни потребители — клиенти и посетители на онлайн магазина на Търговеца. |
Приложение Б — Подизпълнители (под-обработващи)
Следните подизпълнители са оторизирани от Администратора да обработват лични данни от името на Администратора, като част от услугите на Платформата:
| Amazon Web Services EMEA SARL | Люксембург (ЕС) | Облачен хостинг, съхранение на данни, изчислителна инфраструктура | Всички лични данни, съхранявани и обработвани на Платформата (криптирани при съхранение и при пренос) |
| Stripe, Inc. | САЩ (СДК на ЕС + DPF) | Обработка на плащания | Платежни референции, данни за фактуриране, данни за предотвратяване на измами. Номерата на карти се обработват единствено от Stripe и не се съхраняват от зинтерра. |
| SendGrid / Twilio, Inc. | САЩ (СДК на ЕС + DPF) | Доставка на транзакционни имейли | Имейл адреси, имена (използвани в съдържанието на имейли), метаданни на имейли |
| Sentry (Functional Software, Inc.) | САЩ (СДК на ЕС + DPF) | Мониторинг на грешки и проследяване на производителността | IP адреси (анонимизирани), информация за устройство/браузър, контекстни данни за грешки (могат инцидентно да съдържат лични данни в доклади за грешки) |
| Спиди АД | България (ЕС) | Логистика и доставка | Имена на получатели, телефонни номера, адреси за доставка, референтни номера на поръчки, суми за наложен платеж |
| Sameday Courier | Румъния (ЕС), с операции в България | Логистика и доставка | Имена на получатели, телефонни номера, адреси за доставка, референтни номера на поръчки |
| BOX NOW | Гърция (ЕС), с операции в България | Логистика и доставка (мрежа от автоматизирани шкафчета) | Имена на получатели, телефонни номера, адреси за доставка (избор на шкафче), референтни номера на поръчки |
| Generic Soft | България (ЕС) | API за Viber съобщения | Телефонни номера, съдържание на съобщения (конфигурирано от Търговеца) |
| Anthropic, Inc. | САЩ (СДК на ЕС + DPF) | Генериране и превод на съдържание с ИИ | Продуктови описания, съдържание за превод, текст, предоставен от търговеца |
| OpenAI, Inc. | САЩ (СДК на ЕС + DPF) | Генериране и превод на съдържание с ИИ | Продуктови описания, съдържание за превод, текст, предоставен от търговеца |
| Netim | Франция (ЕС) | Услуги за регистрация на домейни | Информация за регистранта на домейн (данни на Търговеца, не на крайния потребител — включено за пълнота) |
Този списък е актуален към датата, посочена в началото на настоящото СОД. Обработващият ще уведоми Администратора за всякакви промени в съответствие с Раздел 3(г).
Край на Споразумението за обработване на данни