Договор за обработване на лични данни (DPA)

В сила от 24.06.2026 г. · Последна актуализация 24.06.2026 г. · Версия 1.0

Страни

Този Договор за обработване на лични данни („DPA“) се сключва между:

„ЛК СЪРВИС“ ООД (на латиница: LK Service Ltd.)
Българско дружество с ограничена отговорност
Седалище: ул. „Николаевка“ № 79, 7000 Русе, България
ЕИК: 200191511 · ДДС №: BG200191511
Представлявано от управителя Радостина Христова
(„Обработващ“, „ние“)

и

[Юридическо наименование на Клиента]
[Правна форма на Клиента]
Седалище: [Седалище на Клиента]
ЕИК / ДДС №: [Идентификатори на Клиента]
Представлявано от: [име и длъжност]
(„Администратор“, „Клиент“)

(всяка поотделно — „Страна“, и заедно — „Страните“).

Предмет (преамбюл)

(А) Обработващият предоставя услугата Reservko („Услугата“) — мултитенант уеб приложение, което позволява на служителите на спортните обекти да виждат свободните часове на кортовете и да записват резервации от името на компании-оператори.

(Б) Администраторът използва Услугата съгласно Общите условия на Reservko („Основният договор“) и с това възлага на Обработващия да обработва от негово име лични данни на клиентите за резервации на Администратора („Крайни резервиращи“) и на собствените служители на Администратора.

(В) Този DPA фиксира договорката на Страните относно обработването в съответствие с чл. 28 от Регламент (ЕС) 2016/679 („ОРЗД“) и Закона за защита на личните данни на Република България („ЗЗЛД“).

(Г) Този DPA се включва по препратка в Основния договор. Счита се, че Администраторът сключва този DPA при приемането на Основния договор. Отделно подписан екземпляр на DPA не е необходим, но е достъпен при поискване.

1. Дефиниции

Термините с главна буква в този DPA имат значенията, посочени по-долу; неуточнените тук термини имат значенията от ОРЗД или Основния договор.

• „Администратор“, „Обработващ“, „Субект на данни“, „Лични данни“, „Нарушение на сигурността на лични данни“, „Обработване“, „Подобработващ“ и „Надзорен орган“ имат значенията, дадени в ОРЗД.
• „Данни на Клиента“ — Лични данни, обработвани от Обработващия от името на Администратора във връзка с Услугата. Категориите Данни на Клиента са описани в Приложение 1.
• „Крайни резервиращи“ — физически лица, чието име и контактни данни се записват в Reservko от служителите на Администратора при правене на резервация.
• „Основен договор“ — Общите условия на Reservko заедно с всяка Поръчка между Страните.
• „ТОМ“ — техническите и организационните мерки, описани в Приложение 2.

2. Предмет, срок и роли

2.1 Предмет. Обработващият обработва Данните на Клиента от името на Администратора единствено за предоставяне на Услугата.

2.2 Срок. Този DPA се прилага от датата на влизане в сила и остава в действие за срока на Основния договор, плюс всеки срок за съхранение или връщане по §13.

2.3 Характер и цел, категории и Субекти на данни. Посочени в Приложение 1.

2.4 Роли.

• Администраторът е администратор на Данните на Клиента — той решава кои Крайни резервиращи да бъдат записани, какви данни за тях да се записват и за какви цели.
• Обработващият е обработващ на Данните на Клиента от името на Администратора.

Този DPA не се прилага за Лични данни, по отношение на които сам Обработващият е администратор — например данните на служебните акаунти на Администратора, когато се използват за собствените цели по управление на акаунти и сигурност на Обработващия. Тези данни се уреждат от Политиката за поверителност на Reservko.

3. Указания на Администратора

3.1 Обработващият обработва Данните на Клиента само по документирани указания на Администратора, освен когато е задължен от правото на ЕС или българското право. В последния случай Обработващият уведомява Администратора за нормативното изискване преди обработването, освен ако това право не забранява такова уведомяване по важни съображения от обществен интерес.

3.2 Указанията на Администратора са изложени в този DPA и в Основния договор; потребителският интерфейс и опциите за конфигуриране на Услугата също представляват документирани указания, когато се използват от служителите на Администратора. Администраторът може да дава допълнителни указания по имейл до privacy@reservko.com от адреса на Администратор на компанията.

3.3 Обработващият незабавно уведомява Администратора, ако по преценка на Обработващия дадено указание нарушава ОРЗД, ЗЗЛД или друго приложимо право в областта на защитата на данните. Обработващият може да спре изпълнението на такова указание до получаване на обоснован отговор от Администратора.

4. Персонал и поверителност

4.1 Обработващият гарантира, че лицата, оправомощени да обработват Данните на Клиента, са поели задължения за поверителност (договорно или по силата на закон) и че обработват Данните на Клиента само на принципа „необходимост да знае“.

4.2 Задълженията за поверителност продължават да действат след прекратяване на трудово, договорно или друго правоотношение.

5. Сигурност на обработването

5.1 Обработващият прилага ТОМ, описани в Приложение 2, за осигуряване на ниво на сигурност, съобразено с риска, отчитайки чл. 32 ОРЗД.

5.2 Обработващият може периодично да актуализира ТОМ в съответствие с развитието на технологичното състояние, при условие че нивото на сигурност не се намалява съществено без предварително писмено съгласие на Администратора. Съществени намаления задействат 14-дневната процедура за уведомяване по §6.

6. Подобработващи

6.1 Общо упълномощаване. Администраторът упълномощава Обработващия да ангажира Подобработващите, изброени в Приложение 3, за обработване на Данните на Клиента от негово име.

6.2 Известие за промяна. Обработващият ще уведоми Администратора с поне 14-дневно предварително писмено известие преди ангажиране на нов Подобработващ или смяна на съществуващ, по имейл до регистрираните адреси на Администраторите на компанията на Администратора и чрез актуализация на reservko.com/legal/subprocessors. Администраторът може да възрази на основателни съображения за защита на данните в 14-дневния срок. Страните ще работят добросъвестно за разрешаване на възражението. При невъзможност Администраторът може да прекрати Основния договор по неговия раздел 10 без неустойка за прекратяване.

6.3 Прехвърляне на задължения. Обработващият ще наложи на всеки Подобработващ, чрез писмен договор, задължения за защита на данните, не по-малко стриктни от тези в настоящия DPA.

6.4 Отговорност за Подобработващи. Когато Подобработващ не изпълни задълженията си за защита на данните, Обработващият остава изцяло отговорен пред Администратора за изпълнението на задълженията на този Подобработващ.

7. Международни трансфери на данни

7.1 Обработващият обработва Данните на Клиента единствено в рамките на Европейското икономическо пространство („ЕИП“). Към датата на влизане в сила всички Данни на Клиента се обработват в дейта центъра на Hetzner Online GmbH във Фалкенщайн (Саксония, Германия); текущата локация на Подобработващия е посочена в Приложение 3 и на reservko.com/legal/subprocessors.

7.2 Обработващият не извършва трансфер на Данни на Клиента извън ЕИП без предварителна промяна на този DPA и въвеждане на законен механизъм за трансфер по Глава V ОРЗД — например Стандартни договорни клаузи на ЕС, приети с Решение за изпълнение (ЕС) 2021/914 на Комисията — както и уведомяване на Администратора в съответствие с §6.2.

8. Права на Субекта на данни

8.1 Обработващият подпомага Администратора чрез подходящи технически и организационни мерки и доколкото е възможно при изпълнение на задълженията му да отговаря на искания на Субекти на данни, упражняващи права по Глава III ОРЗД.

8.2 Когато Обработващият получи искане директно от Субект на данни (например Краен резервиращ, който пише на privacy@reservko.com), Обработващият няма да отговаря по същество и ще препрати искането на Администратора без неоправдано забавяне — в рамките на 5 работни дни, когато това е разумно възможно — за да може Администраторът да отговори.

8.3 Когато Администраторът не може да отговори чрез стандартната функционалност на Услугата (експорт, изтриване, редактиране), Обработващият извършва необходимите технически действия при получаване на писмено указание от Администратора.

9. Нарушения на сигурността на лични данни

9.1 Обработващият уведомява Администратора за Нарушение на сигурността на лични данни, засягащо Данните на Клиента, без неоправдано забавяне и във всеки случай в рамките на 72 часа от узнаването му. Уведомлението ще съдържа, в обема, в който е известно: характера на нарушението (категории + приблизителен брой засегнати); име и контакти на лицето за контакт по защита на данните на Обработващия; вероятни последици; мерките, които Обработващият е предприел или предлага да предприеме.

9.2 Когато информацията не може да бъде предоставена едновременно, Обработващият може да я предоставя поетапно без допълнително неоправдано забавяне.

9.3 Обработващият съдейства на Администратора при изпълнение на собствените му задължения за уведомяване на компетентния Надзорен орган и засегнатите Субекти на данни съгласно чл. 33 и 34 ОРЗД.

10. Оценки на въздействието и предварителна консултация

10.1 По разумно искане на Администратора Обработващият оказва разумно съдействие при оценките на въздействието върху защитата на данните (чл. 35 ОРЗД) и при предварителни консултации с Надзорен орган (чл. 36 ОРЗД).

10.2 Разумно съдействие се предоставя без допълнителна такса за Администратори на платен план, а на принципа на изразходвано време и материали по текущите професионални ставки на Обработващия — за Администратори в безплатния план.

11. Регистри

Обработващият поддържа регистри за всички категории дейности по обработване, извършвани от името на Администратора, съгласно чл. 30, § 2 ОРЗД. Копие от съответните регистри ще се предостави на Администратора по разумно искане, със заличена поверителна информация относно други Клиенти на Обработващия.

12. Одити

12.1 Право на одит. Администраторът има право да одитира спазването на този DPA от Обработващия чрез преглед на документацията по информационна сигурност на Обработващия, обобщени отчети от тестове за проникване и списъци на Подобработващи; получаване на актуалните сертификати или атестации от трета страна, които Обработващият притежава; или провеждане на одит на място или дистанционно.

12.2 Процедура за одит. Одити на място или дистанционно изискват 30-дневно предварително писмено известие, провеждат се в обичайно работно време и не трябва неоснователно да възпрепятстват дейността на Обработващия. Одити могат да се извършват не повече от веднъж на 12 месеца, освен когато това се изисква от Надзорен орган или когато е настъпило Нарушение на сигурността на лични данни.

12.3 Разноски. Всяка Страна поема собствените си разноски по одита, освен ако одитът разкрие съществено неспазване от страна на Обработващия, в който случай Обработващият възстановява разумните одиторски разноски на Администратора.

12.4 Поверителност. Информацията, разкрита по време на одит, е поверителна по силата на Основния договор.

13. Изтриване или връщане на данни

13.1 При прекратяване на Основния договор Данните на Клиента се обработват, както е предвидено в §10 от Общите условия:

• Администраторът може да експортира Данните на Клиента чрез Услугата или с писмено искане до support@reservko.com в продължение на 30 дни след прекратяването.
• След изтичането на 30-дневния период за експорт Обработващият изтрива Данните на Клиента в 30-дневен срок, освен резервните копия, които се изтриват при нормалната им ротация (максимум 30 допълнителни дни).

13.2 Ако Администраторът поиска удостоверяване на изтриването, Обработващият предоставя писмено удостоверение, подписано от оправомощен представител.

13.3 Обработващият може да запази Данните на Клиента след прекратяване само доколкото това се изисква от правото на ЕС или българското право; в този случай Обработващият продължава да прилага този DPA и ТОМ към запазените данни до тяхното изтриване.

14. Отговорност

14.1 Отговорността на Страните по този DPA или във връзка с него се урежда от ограниченията на отговорността по §12 от Общите условия, освен когато ОРЗД или друго императивно право предвижда друго (например преки претенции на Субекти на данни по чл. 82 ОРЗД).

14.2 Нищо в този DPA не ограничава и не изключва отговорността на която и да е от Страните, когато такова ограничение или изключване е забранено от императивно право.

15. Срок и прекратяване

15.1 Този DPA влиза в сила от датата на влизане в сила и продължава за срока на Основния договор.

15.2 Прекратяването на този DPA не засяга продължаващите задължения на Страните, свързани с Данните на Клиента — по-конкретно §13 (Изтриване или връщане), §4 (Поверителност) и §9 (Уведомяване за нарушения по отношение на събития, настъпили преди прекратяването).

16. Противоречие

При противоречие между този DPA и Основния договор по въпроса за Обработването на Лични данни предимство има този DPA.

17. Други разпоредби

17.1 Актуализации. Обработващият може периодично да актуализира този DPA, за да отрази промени в правото или операциите. Съществените промени се съобщават на Администратора поне 30 дни предварително по реда на §16 от Общите условия. Продължаването на ползването на Услугата след влизането в сила на съществена промяна се счита за приемане.

17.2 Приложимо право и подсъдност. Този DPA се урежда от законите на Република България и е подсъден на съдилищата в Русе, както е предвидено в §18 от Общите условия.

17.3 Делимост. Ако някоя клауза от този DPA бъде призната за недействителна или неприложима, останалата част остава в сила.

17.4 Език. Този DPA се публикува на английски (основен), български, немски и френски език. При противоречие предимство има английската версия, освен за Администратори, чиято Поръчка изрично посочва друга версия.

17.5 Екземпляри. Този DPA може да бъде подписан в няколко екземпляра, всеки от които е оригинал и които заедно представляват едно споразумение. Електронните подписи и размяната на подписани копия по имейл удовлетворяват изискването за подпис.

Приложение 1 — Описание на обработването

Приложение 2 — Технически и организационни мерки (ТОМ)

Обработващият прилага следните мерки. Списъкът отразява мерките към датата на влизане в сила; Обработващият може да актуализира ТОМ съгласно §5.2.

А. Псевдонимизация и криптиране (чл. 32, § 1, б. „а“ ОРЗД)

• Криптиране при пренос: TLS 1.2 или по-високо за всички връзки към Услугата и между услугите на Обработващия; HTTP заявките се пренасочват към HTTPS.
• Криптиране при съхранение: Данните на Клиента се съхраняват на криптирано блоково устройство в инфраструктурата на Подобработващия (криптиране при съхранение на Hetzner block storage).
• Съхранение на пароли: Паролите на служебните потребители се съхраняват хеширани с PBKDF2 + сол за всеки потребител; открити пароли никога не се запазват.
• Управление на тайни: Тайните на приложението се пазят като променливи на средата на производствения сървър, а не в системата за контрол на версиите.

Б. Поверителност, цялостност, наличност и устойчивост (чл. 32, § 1, б. „б“ ОРЗД)

• Контрол на достъпа: Ролеви контрол на достъпа в Услугата — служебните потребители виждат само данни в обхвата на компаниите, към които принадлежат, и ролите, които имат.
• Административен достъп: Административният достъп до производствения сървър е ограничен до управителя на Обработващия само чрез SSH ключове; парола за достъп е забранена.
• Мрежова експозиция: От публичния интернет са достъпни само HTTPS крайната точка на приложението и SMTP submission крайната точка.
• Резервни копия: Ежедневни резервни копия на PostgreSQL, съхранявани 30 дни, на криптирано устройство.
• Логове на приложението: Преглеждат се за необичайни модели на влизане и обеми на заявки; логовете се пазят 30 дни.
• Софтуерни ъпдейти: Базовите образи и зависимостите в производствената среда се актуализират редовно; пачове за сигурност се прилагат своевременно след оповестяване.

В. Възстановяване и наличност (чл. 32, § 1, б. „в“ ОРЗД)

• Тествани резервни копия: Процедурата за възстановяване от ежедневно резервно копие е документирана и тествана.
• Цел за възстановяване на услугата: Възстановяване на принципа на най-добро усилие в рамките на 24 часа от потвърдена невъзстановима производствена авария чрез най-последното успешно резервно копие.

Г. Редовно тестване и оценка (чл. 32, § 1, б. „г“ ОРЗД)

• Код-ревю: Промените в кода на Услугата минават през ревю преди вливане в производствения клон.
• Сканиране на зависимостите: Автоматично сканиране за уязвимости в зависимостите при всеки билд.
• Годишен преглед на сигурността: Обработващият извършва годишна самооценка спрямо това Приложение 2 и актуализира мерките съобразно технологичното състояние.

Д. Организационни мерки

• Задължения на персонала: Целият персонал с достъп до Данните на Клиента е обвързан с писмени задължения за поверителност.
• „Необходимост да знае“: Достъпът до производствената среда е ограничен до служители, на които е необходим за изпълнение на ролята им.
• Реакция при инциденти: Документирана процедура за реакция при инциденти урежда откриването, разследването, уведомяването и отстраняването на Нарушения на сигурността на лични данни, включително ангажимента за 72-часово уведомяване по §9.
• Проверка на Подобработващи: Подобработващите се оценяват за съответствие с ОРЗД преди ангажиране и са обвързани с прехвърлените задължения по §6.3.
• Регистри: Поддържат се регистри на дейностите по обработване съгласно чл. 30, § 2 ОРЗД.

Приложение 3 — Одобрени Подобработващи

Администраторът упълномощава Подобработващите, изброени на reservko.com/legal/subprocessors. Към датата на влизане в сила списъкът е:

Бъдещите промени се уреждат от §6.