Всички правни документи

Споразумение за обработка на данни

Дата на влизане в сила: 10 април 2026 г.

1. Въведение

Това Споразумение за обработка на данни („СОД") е част от Условията за ползване между Версей ЕООД (Versey EOOD), ЕИК 208443341, опериращо като Cove („Обработващ", „ние", „нас") и вас („Администратор", „вие", „ваш/а/е") и урежда обработката на лични данни от Обработващия от името на Администратора във връзка с платформата Cove („Услугата").

Това СОД е сключено съгласно член 28 от Общия регламент относно защитата на данните (ЕС) 2016/679 („ОРЗД") и се прилага за цялата обработка на лични данни, която Обработващият извършва от името на Администратора чрез Услугата.

2. Определения

  • „Лични данни" означава всяка информация, свързана с идентифицирано или подлежащо на идентифициране физическо лице, съгласно определението в член 4, точка 1 от ОРЗД
  • „Обработване" означава всяка операция, извършвана с Лични данни, съгласно определението в член 4, точка 2 от ОРЗД
  • „Субект на данни" означава идентифицираното или подлежащо на идентифициране физическо лице, за което се отнасят Личните данни
  • „Подизпълнител" означава всяко трето лице, ангажирано от Обработващия за обработка на Лични данни от името на Администратора
  • „Нарушение на сигурността на данните" означава нарушение на сигурността, водещо до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване на или достъп до Лични данни

3. Обхват и цел на обработването

3.1 Предмет

Обработващият предоставя платформа за управление на бизнес, която обработва Лични данни от името на Администратора за целите на фактуриране, проследяване на разходи, управление на клиенти, управление на човешки ресурси, съхранение на документи, данъчно съответствие и свързани бизнес операции.

3.2 Продължителност

Обработването продължава за времето на използване на Услугата от Администратора и за допълнителен период, необходим за изтриване на Лични данни в съответствие с това СОД.

3.3 Естество и цел на обработването

Обработващият обработва Лични данни, за да:

  • Съхранява и управлява бизнес записи (фактури, разходи, документи)
  • Генерира и доставя фактури на клиентите на Администратора
  • Извлича и класифицира данни от документи чрез AI услуги
  • Обработва интеграции с имейл за идентифициране и извличане на бизнес документи
  • Управлява записи за служители/HR по указание на Администратора
  • Предоставя функции за календар, напомняния и известия
  • Генерира отчети и анализи за Администратора

3.4 Категории субекти на данни

  • Клиенти и потребители на Администратора
  • Служители и изпълнители на Администратора
  • Бизнес контакти и доставчици на Администратора
  • Други лица, чиито данни Администраторът качва в Услугата

3.5 Видове лични данни

  • Имена, имейл адреси, телефонни номера, физически адреси
  • Бизнес идентификатори (ДДС номера, данъчни идентификатори, ЕИК, ЕГН)
  • Финансови данни (фактури, банкови сметки, информация за заплати, записи за плащания)
  • Данни за заетост (длъжности, условия на договори, записи за отпуски, данни за представяне)
  • Съдържание на документи (качени файлове и извлечени данни)
  • Метаданни от имейли и съдържание на прикачени файлове (когато е активирана интеграция с имейл)

4. Задължения на Обработващия

4.1 Инструкции за обработване

Обработващият обработва Лични данни само по документирани инструкции от Администратора, включително по отношение на трансфери на Лични данни извън ЕИП, освен ако не е задължен да го направи по силата на законодателството на ЕС или на държава членка. Инструкциите са документирани в Условията за ползване и това СОД. Ако Обработващият счита, че дадена инструкция нарушава ОРЗД, той незабавно информира Администратора.

4.2 Поверителност

Обработващият гарантира, че лицата, оторизирани да обработват Лични данни, са поели ангажимент за поверителност или са под подходящо законово задължение за поверителност.

4.3 Мерки за сигурност

Обработващият прилага подходящи технически и организационни мерки за осигуряване на ниво на сигурност, съответстващо на риска, включително:

  • Криптиране на Лични данни при пренос (TLS) и в покой (криптиране на ниво база данни)
  • Сигурност на ниво ред (RLS), осигуряваща стриктна изолация на данните между акаунтите на Администратори
  • Поддръжка на многофакторна автентикация
  • Редовно тестване на сигурността и оценка на уязвимости
  • Контроли на достъпа, ограничаващи достъпа на служители/изпълнители до Лични данни на принципа на необходимост от знаене
  • Заглавки за сигурност на всички HTTP отговори (HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy)
  • Сигурно съхранение на идентификационни данни (хеширане на пароли, криптирани OAuth токени)

4.4 Подизпълнители

Обработващият в момента използва следните подизпълнители:

| Подизпълнител | Цел | Местоположение | |---|---|---| | Supabase, Inc. | База данни, автентикация, файлово хранилище | САЩ/ЕС | | Anthropic, PBC | AI извличане и класификация на документи | САЩ | | Vercel, Inc. | Хостинг на приложение и edge compute | САЩ/ЕС | | Resend, Inc. | Доставка на транзакционни имейли | САЩ | | Google LLC | Gmail API интеграция, Google OAuth | САЩ | | Microsoft Corporation | Outlook/Microsoft Graph API интеграция | САЩ/ЕС | | Zoho Corporation Pvt. Ltd. | Zoho Mail API интеграция | САЩ/ЕС/Индия | | Translated srl (MyMemory) | Услуги за превод на текст | ЕС | | VATStack | Търсене и валидация на ДДС ставки | ЕС |

Пълен и актуален списък се поддържа на joincove.io/legal/sub-processors.

Администраторът с настоящото предоставя общо писмено разрешение на Обработващия да ангажира подизпълнители, при спазване на следните условия:

  • Обработващият информира Администратора за всякакви планирани промени в списъка на подизпълнителите (добавяне или замяна) поне 30 дни предварително, като предоставя на Администратора възможност за възражение
  • Ако Администраторът възрази срещу нов подизпълнител на разумни основания за защита на данните в рамките на 30 дни от уведомлението, страните обсъждат опасенията добросъвестно. Ако опасенията не могат да бъдат разрешени, Администраторът може да прекрати засегнатите функции на Услугата или цялото споразумение за Услугата
  • Обработващият налага задължения за защита на данните на всеки подизпълнител чрез договор, който осигурява поне същото ниво на защита като това СОД
  • Обработващият носи пълна отговорност за действията и бездействията на своите подизпълнители

4.5 Права на субектите на данни

Обработващият подпомага Администратора при отговор на заявки от субекти на данни, упражняващи правата си по ОРЗД (достъп, коригиране, изтриване, ограничаване, преносимост, възражение), като взема предвид характера на обработването.

Услугата предоставя на Администратора инструменти за самообслужване за достъп, експорт, коригиране и изтриване на Лични данни. Когато тези инструменти са недостатъчни, Обработващият предоставя разумно допълнително съдействие при поискване.

4.6 Уведомление за нарушение

Обработващият уведомява Администратора без неоправдано забавяне и във всеки случай в рамките на 48 часа, след като узнае за Нарушение на сигурността на данните, засягащо Лични данни, обработвани от името на Администратора.

Уведомлението включва:

  • Описание на характера на Нарушението на сигурността на данните, включително категориите и приблизителния брой засегнати субекти на данни и записи
  • Името и данните за контакт на лицето за контакт на Обработващия за допълнителна информация
  • Описание на вероятните последици от Нарушението на сигурността на данните
  • Описание на мерките, предприети или предложени за справяне с Нарушението на сигурността на данните, включително мерки за смекчаване на възможните неблагоприятни последици

Обработващият сътрудничи с Администратора и предприема разумни стъпки за подпомагане на разследването, смекчаването и отстраняването на всяко Нарушение на сигурността на данните.

4.7 Оценка на въздействието върху защитата на данните

Обработващият предоставя разумно съдействие на Администратора при извършване на оценки на въздействието върху защитата на данните (ОВЗД) и предварителни консултации с надзорни органи, когато се изисква съгласно членове 35 и 36 от ОРЗД, като взема предвид характера на обработването и наличната информация.

4.8 Права на одит

Обработващият предоставя на Администратора цялата информация, необходима за доказване на съответствието със задълженията по член 28 от ОРЗД и това СОД, и позволява и съдейства за одити, включително проверки, провеждани от Администратора или одитор, упълномощен от Администратора.

Одитите се провеждат с разумно предварително уведомление (поне 30 дни), в работно време и по начин, който минимизира нарушаването на операциите на Обработващия. Администраторът поема разходите за всеки одит. Обработващият може да начисли разумни такси за времето, прекарано в подпомагане на одити, извън включените в таксите за Услугата.

Обработващият може да удовлетвори заявки за одит, като предостави съответни одиторски доклади от трети страни, сертификати или документация за съответствие, когато са налични.

5. Международни трансфери на данни

Когато Лични данни се прехвърлят извън ЕИП, Обработващият гарантира наличието на подходящи гаранции в съответствие с глава V от ОРЗД, включително:

  • Трансфери към държави с решение за адекватност от Европейската комисия
  • Стандартни договорни клаузи (СДК), приети от Европейската комисия (Решение за изпълнение (ЕС) 2021/914)
  • Сертификация по Рамката за поверителност на данните ЕС-САЩ на получателя, когато е приложимо

Обработващият извършва и документира Оценки на въздействието на трансфера (ОВТ) за трансфери към юрисдикции без решение за адекватност и прилага допълнителни мерки, когато е необходимо.

6. Връщане и изтриване на данни

При прекратяване на споразумението за Услугата, Обработващият, по избор на Администратора:

  • Връща всички Лични данни на Администратора в структуриран, широко използван, машинно четим формат (чрез функциите за експорт в Услугата)
  • Изтрива всички Лични данни и съществуващи копия, освен ако законодателството на ЕС или на държава членка изисква по-нататъшно съхранение

Обработващият завършва изтриването в рамките на 30 дни от прекратяването.

Администраторът потвърждава, че носи пълна отговорност за експортирането и независимото съхранение на записи, изисквани от приложимото законодателство (като данъчни записи по българското или друго национално данъчно законодателство), преди прекратяване на Услугата. Обработващият не съхранява данни от името на Администратора след изтриване на акаунта.

Обработващият удостоверява изтриването на Лични данни при писмена заявка на Администратора.

7. Задължения на Администратора

Администраторът гарантира, че:

  • Има законово основание за обработването на всички Лични данни, подадени към Услугата, включително съгласие, когато е необходимо
  • Е предоставил подходящи уведомления за поверителност на субектите на данни, чиито данни се обработват чрез Услугата
  • Е получил необходимите съгласия за обработването на данни за служители, включително за трансфери към подизпълнители
  • Инструкциите му към Обработващия са в съответствие с приложимите закони за защита на данните
  • Няма да качва специални категории данни (член 9 от ОРЗД) в Услугата, освен когато е строго необходимо за HR функции и с подходящо правно основание и гаранции

8. Отговорност

Отговорността на всяка страна по това СОД е предмет на ограниченията на отговорността, определени в Условията за ползване, с изключение на това, че никое ограничение не се прилага за отговорността на която и да е страна за нарушения на задълженията й, свързани с уведомяване за нарушение на сигурността на данните или сигурността на Личните данни, доколкото такова ограничение би било несъвместимо с ОРЗД.

9. Срок и прекратяване

Това СОД влиза в сила, когато Администраторът започне да използва Услугата, и остава в сила, докато Обработващият обработва Лични данни от името на Администратора. Това СОД автоматично се прекратява, когато всички Лични данни бъдат върнати или изтрити в съответствие с раздел 6.

Задълженията и правата по раздели 4.6 (Уведомление за нарушение), 4.8 (Права на одит), 6 (Връщане и изтриване) и 8 (Отговорност) преживяват прекратяването на това СОД.

10. Изменения

Това СОД може да бъде изменено от Обработващия, за да отрази промени в приложимото законодателство за защита на данните или регулаторни насоки. Съществените изменения се съобщават на Администратора поне 30 дни предварително в съответствие с разпоредбите за уведомление в Условията за ползване.

11. Контакт

За въпроси относно това СОД или дейностите по обработка на данни:

  • Защита на данни: filip@joincove.io
  • Правни въпроси: filip@joincove.io