Договор за обработка на податоци

1. Улоги

Улоги според применливите закони за заштита на лични податоци, вклучително GDPR кога е применливо.

Клиентот одредува кои податоци ги собира од своите купувачи преку inquiries, lead форми и контакт форми. DealerHub ги обработува тие податоци само во име на клиентот и според негови инструкции, освен кога сме законски обврзани поинаку.

Платежните картички и чувствителните платежни податоци не поминуваат преку DealerHub инфраструктура. Online checkout се врши преку Lemon Squeezy како Merchant of Record.

2. Опсег на обработката

2.1 Тип на податоци

• Идентификациски податоци на купувачи (име, презиме)
• Контакт податоци (email, телефон)
• Интеракциски податоци (прашања за коли, пораки, историја на комуникација)
• Тех. податоци (IP адреси, типови прелистувачи) — собрани од нас за безбедност

Не обработуваме посебно чувствителни категории (здравствени, расни, политички, верски) за клиенти; ако дилерот несакајќи собира такви, одговорноста е негова.

2.2 Цели на обработката

• Прикажување на леад во CRM панелот на клиентот
• Испраќање известувања до клиент-дилерот (нов лид, нов коментар)
• Анализа на кампањи (по-платформа, по-кола)
• Архивирање на историјата (до 12 месеци ако не е избришано експлицитно)

2.3 Траење

Колку што трае договорот со клиент-дилерот, плус 90 дена за експорт/вратување/бришење.

3. Обврски на DealerHub како обработувач

Ние:

• Обработуваме податоци само според документирани инструкции на клиентот
• Нашиот тим е под договорна обврска за доверливост
• Имплементираме соодветни технички и организациски мерки за безбедност (Член 32 GDPR)
• Помагаме му на клиентот да одговори на барања од субјекти на податоци (пристап, бришење)
• Помагаме му да ги исполни GDPR задолженија (DPIA, консултации со DPA)
• Известуваме за инциденти со лични податоци во рок од 48h
• На крај на договорот, бришеме или враќаме сите лични податоци
• Обезбедуваме информации за аудит и проверка

4. Технички и организациски мерки

4.1 Енкрипција

• At rest: чувствителни колони (токени, лозинки) енкриптирани со AES-256-GCM
• In transit: целокупна HTTPS/TLS 1.2+ комуникација

4.2 Контрола на пристап

• Мулти-тенантен систем — податоците на еден клиент не се достапни за друг
• SSH key-based аутентикација за серверски пристап
• Role-based пристап за членови на тимот (OWNER / ADMIN / EDITOR / VIEWER)
• Сите пристапни активности се логираат

4.3 Безбедност на инфраструктура

• Хостирано во серверски центар во ЕУ (Hetzner, Нирнберг, Германија)
• Сертификат за IS ISO 27001 (Hetzner)
• DDoS заштита преку Cloudflare
• Редовни security updates на оперативен систем и зависности
• Penetration testing (годишно)

4.4 Backup и обновување

• Дневни backup-и во енкриптиран формат
• Offsite backup (различна локација) дневно
• 30-дневна backup ротација
• RTO (recovery time): до 4h
• RPO (recovery point): до 24h
• Квартални тестови на обновување

5. Под-обработувачи (Sub-processors)

Користиме следниве под-обработувачи. Сите се во ЕЕП или имаат Standard Contractual Clauses:

Lemon Squeezy не е наш под-обработувач — тие дејствуваат како независен контролор за платежни и checkout податоци (види §1). Нивната листа на сопствени обработувачи е достапна на lemonsqueezy.com/legal/dpa.

Ја задржуваме правото да додадеме или заменеме под-обработувачи. Клиентот ќе биде известен 30 дена предвреме преку email. Ако клиентот има основана причина да се противи на нов под-обработувач, може да го прекине договорот без пенал.

6. Меѓународни трансфери

Основните податоци се во ЕУ. За под-обработувачи надвор од ЕЕП (САД):

• Меѓународните трансфери се базирани на Standard Contractual Clauses (SCC)
• Каде е применливо, се потпираат на EU-US Data Privacy Framework (DPF)
• Не се обавува пренос на специјално чувствителни податоци

7. Права на субјектите на податоци

Кога купувач на клиентот побара пристап, корекција или бришење на свои податоци:

1. Клиентот примa барањето директно и одлучува за одговор
2. Доколку е потребна наша техничка помош (експорт, бришење), му помагаме без доплата
3. Одговараме во рок од 72 часа на ваше барање за помош

Клиентот е одговорен за известувањето на субјектите за правилата и нивните права.

8. Известување за инциденти

Во случај на пробив на безбедноста на лични податоци:

• Ве известуваме во рок од 48 часа по идентификување
• Обезбедуваме детали: природа, опсег, категории на загрозени податоци, веројатни последици, преземени мерки
• Го помагаме клиентот во известување до МЗЛП (72h обврска по GDPR Член 33)
• Го помагаме во известување до субјектите ако е потребно (Член 34)

9. Аудит

Клиентот има право да ја провери нашата усогласеност:

• Преку нашите SOC 2 / ISO 27001 извештаи (кога се достапни)
• Преку прашалник за безбедност (одговараме во рок од 10 работни денови)
• Со on-site аудит (по претходна најава од 30 дена и на товар на клиентот)

10. На прекинот на договор

По прекин на соработката:

1. 30 дена — клиентот има целосен пристап за експорт
2. 31–90 дена — податоците се архивирани; по барање на клиентот се вратат или бришат
3. По 90 дена — сите лични податоци автоматски се бришат од продукцискиот систем и backup архивите (освен ако правна обврска не налага задржување — на пр. финансиски записи 10 години)

11. Одговорност и надомест

Секоја страна е одговорна за свои нарушувања на GDPR. Нашата вкупна одговорност за прекршувања на овој DPA е ограничена согласно Условите за користење, освен каде законот не дозволува ограничување (на пр. злобна намера, груба небрежност).

12. Важност и промени

Овој DPA стапува во сила со активирање на претплата и останува во важност додека трае соработката. Значајни промени ќе бидат соопштени 30 дена предвреме.