Общо споразумение за обработка на данни (DPA)


Настоящото Общо споразумение за обработка на данни („DPA") се сключва между „ДениксЛабс" ЕООД (наричано по-долу „Обработващ") и всяко юридическо или физическо лице, което е приело Общите условия на сайта на DenixLabs / denixlabs.com (наричано по-долу „Клиент" или „Администратор").

Обработващият и Администраторът се наричат заедно „Страните".


1. Предмет и връзка с Общите условия

  1. Настоящото DPA е неразделна част от Общите условия на DenixLabs и/или друго приложимо основно споразумение/поръчка за предоставяне на услуги (наричани по-долу общо „Основно споразумение").
  2. DPA урежда обработването на лични данни от Обработващия от името на Администратора при предоставяне на AI услуги, включително Voice Agent Platform (наричани по-долу „Услугите").
  3. Обработващият обработва лични данни за целите на изграждане, внедряване, опериране и поддръжка на AI агенти, автоматизация на процеси и предоставяне на анализи (вкл. анализи на обаждания).
  4. Настоящото DPA цели да осигури съответствие с Регламент (ЕС) 2016/679 („GDPR") и Закона за защита на личните данни („ЗЗЛД").

2. Определения

  1. Термините с главна буква, които не са дефинирани изрично в настоящото DPA, имат значението, определено в GDPR.
  2. „Лични данни", „обработване", „администратор", „обработващ", „нарушение на сигурността на личните данни" и „подобработващ" имат значението по GDPR.
  3. „Подобработващ" означава трето лице, ангажирано от Обработващия да обработва лични данни от името на Администратора във връзка с Услугите.

3. Обхват, характер и цели на обработването

  1. Предмет на обработването. Предмет на обработването са личните данни, предоставени от Администратора и/или генерирани при използване на Услугите (напр. записи на разговори, аудио файлове, транскрипти, съобщения и метаданни).
  2. Характер на операциите. Операциите по обработване могат да включват: събиране, записване, организиране, структуриране, съхранение, адаптиране/промяна, извличане, справка, използване, разкриване чрез предаване, ограничаване и изтриване.
  3. Цели. Обработването се извършва с цел:
    • предоставяне и поддръжка на Voice Agent Platform и други AI функционалности (напр. записване на часове/резервации, квалификация на лийдове, обслужване на клиенти, често задавани въпроси);
    • автоматизация на повтаряеми задачи и работни потоци;
    • аналитични справки (вкл. ефективност и показатели за възвръщаемост), свързани с използването на Услугите;
    • конфигуриране и подобряване на решенията за конкретната имплементация на Администратора съгласно Основното споразумение и настройките на Услугите.

4. Категории субекти на данни и видове лични данни

  1. Категории субекти на данни. В зависимост от използваните Услуги, субектите на данни могат да включват: клиенти/пациенти/крайни потребители на Администратора, служители/подизпълнители на Администратора, както и лица, които комуникират с AI агентите.
  2. Видове лични данни. В зависимост от конкретния случай, личните данни могат да включват:
    • идентификационни данни (име, фамилия);
    • данни за контакт (имейл, телефон);
    • комуникационни данни (аудио записи, гласови данни, текстови транскрипти, намерения/етикети, съдържание на разговори);
    • технически данни (IP адреси, идентификатори, метаданни, логове).

5. Срок на обработването

  1. Обработването се извършва за срока на действие на Основното споразумение и до изтриване/връщане на данните съгласно Раздел 10 по-долу, освен ако приложимото право изисква по-дълго съхранение.

6. Инструкции на Администратора

  1. Обработващият обработва лични данни единствено по документирани инструкции на Администратора, освен ако приложимото право на ЕС или държава членка (вкл. България) не изисква друго.
  2. Приемането на Общите условия и използването/конфигурирането на Услугите от Администратора представлява неговите инструкции към Обработващия относно обработването на лични данни в рамките на Услугите.
  3. Ако Обработващият счита, че дадена инструкция нарушава GDPR или ЗЗЛД, той уведомява Администратора без неоправдано забавяне.

7. Мерки за сигурност

  1. Обработващият прилага подходящи технически и организационни мерки за сигурност съгласно чл. 32 GDPR, отчитайки риска, естеството, обхвата, контекста и целите на обработването.
  2. Мерките включват (при необходимост и според конкретната архитектура): контрол на достъпа, логване и мониторинг, криптиране при пренос, сегментация на среди, резервни копия, процедури за възстановяване, управление на уязвимости и обучение на персонала.

8. Поверителност

  1. Обработващият гарантира, че лицата, упълномощени да обработват лични данни, са поели задължение за поверителност или са обвързани със съответно законово задължение за поверителност.

9. Права на субектите на данни и съдействие

  1. Обработващият, доколкото е приложимо и като отчита естеството на обработването, съдейства на Администратора с подходящи технически и организационни мерки за изпълнение на задълженията му за отговор на искания на субекти на данни (достъп, корекция, изтриване, ограничаване, преносимост, възражение).
  2. Ако субект на данни отправи искане директно към Обработващия, Обработващият го препраща към Администратора, освен ако приложимото право не изисква друго.

10. Нарушение на сигурността на личните данни (Data Breach)

  1. При установяване на нарушение на сигурността на личните данни, Обработващият уведомява Администратора без неоправдано забавяне, след като стане известен за нарушението.
  2. Уведомлението включва, доколкото е налично: описание на естеството на нарушението, категориите и приблизителния брой засегнати субекти и записи, вероятните последици и предприетите/предложените мерки за ограничаване и отстраняване.

11. Подобработващи (Sub-Processors)

  1. Общо разрешение. Администраторът дава общо разрешение на Обработващия да ангажира подобработващи за предоставяне на Услугите.
  2. Списък. Подобработващите, които Обработващият използва към момента, са посочени в Приложението към настоящото DPA.
  3. Промени и предизвестие. Обработващият уведомява Администратора за добавяне или замяна на подобработващи най-малко 7 (седем) дни предварително чрез публикуване на актуализация на сайта и/или чрез имейл. Администраторът може да възрази в този срок. Ако страните не постигнат решение, Администраторът може да прекрати засегнатата част от Услугите съгласно Основното споразумение.
  4. Задължения към подобработващите. Когато Обработващият ангажира подобработващ, той налага на подобработващия най-малко същите задължения за защита на данните, каквито са предвидени в настоящото DPA (вкл. подходящи мерки за сигурност и условия за международни трансфери, ако са приложими).

12. Международни трансфери

  1. Личните данни се хостват и обработват основно в рамките на Европейското икономическо пространство (ЕИП), доколкото това е възможно с оглед предоставянето на Услугите.
  2. При трансфер на лични данни извън ЕИП към държава, за която няма решение за адекватност, Обработващият осигурява подходящи гаранции съгласно Глава V от GDPR, включително стандартни договорни клаузи (SCC) или друг валиден механизъм.

13. Одити и информация

  1. Обработващият предоставя на Администратора информация, необходима за доказване на съответствие с чл. 28 GDPR, и съдейства при одити/инспекции, извършвани от Администратора или упълномощен от него одитор, при разумно предизвестие и при условия, които не компрометират сигурността и поверителността на други клиенти.

14. Изтриване/връщане на данни

  1. След прекратяване на Услугите Обработващият, по избор на Администратора, изтрива или връща всички лични данни, обработвани от негово име, освен ако правото на ЕС/държава членка (вкл. България) изисква съхранение.
  2. Изтриването се извършва в разумен срок и по начин, съобразен с наличните технически средства, освен ако Основното споразумение предвижда конкретни срокове/процедури.


Приложение: Списък на подобработващите

Следната таблица описва подобработващите, които Обработващият може да използва при предоставяне на Услугите. Някои подобработващи са задължителни (необходими за базовото предоставяне на инфраструктура/хостинг/резервни копия), а други са опционални (активират се само при избрани функционалности/услуги).


Субект (Подобработващ)ЦелСтатус
Amazon Web Services EMEA SARL (AWS)Hosting/Backups (облачна инфраструктура, съхранение и резервни копия)Задължителен
Cloudflare Inc.CDN, DDoS защита и сигурностЗадължителен
Livekit Inc.Real-time аудио пренос (за Voice AI) – при активиран Voice AgentЗадължителен
OpenAI (Ireland) Ltd.Large Language Models (LLM) / генериране и обработка на текст според активираните функционалностиОпционален
Anthropic PBC (Ireland)Алтернативен LLM доставчик (Claude)Опционален
ElevenLabs Inc.Text-to-Speech (TTS) / синтез на реч според активираните функционалностиОпционален
Speechmatics Ltd.Speech-to-Text (ASR) / разпознаване и транскрипция на реч според активираните функционалностиОпционален

Забележка: Статусът „Активен" се определя от конкретните Услуги и функционалности, активирани от Администратора в платформата DenixLabs или в Поръчката за услуги.