Споразумение за обработване на лични данни за ShipBG (GDPR)

Последна редакция: 10.03.2026

Статус: работна чернова за ShipBG; препоръчителен е финален правен преглед преди публикуване.

Настоящото споразумение за обработване на лични данни ("Споразумението") е неразделна част от отношенията между "ЕС КЕЙ СОФТУЕР" ЕООД като доставчик на услугата ShipBG ("Доставчикът", "Обработващият") и съответния клиент, който използва ShipBG във връзка със своята търговска дейност ("Клиентът", "Администраторът").

Освен ако страните не са уговорили друг контакт, уведомленията и исканията по това Споразумение могат да се изпращат на [email protected].

1. Предмет

С използването на ShipBG Клиентът възлага на Доставчика да обработва лични данни от името на Клиента, доколкото това е необходимо за:

  • предоставяне на функционалностите на ShipBG;
  • интеграция между електронния магазин на Клиента и поддържаните куриерски/логистични оператори;
  • синхронизация на поръчки, доставки, етикети, проследяване и връщания;
  • диагностика, поддръжка и защита на услугата.

2. Роли на страните

  • Клиентът е администратор на лични данни по отношение на данните на своите клиенти, получатели, служители и други лица, чиито данни въвежда или предоставя чрез ShipBG.
  • "ЕС КЕЙ СОФТУЕР" ЕООД е обработващ лични данни, доколкото обработва тези данни от името и по документирани инструкции на Клиента.

3. Категории субекти и данни

3.1. Категории субекти на данни

  • клиенти и получатели на поръчки на Клиента;
  • лица за контакт, служители или представители на Клиента;
  • други лица, чиито данни са включени в информацията за доставка или връщане.

3.2. Категории данни

В зависимост от конфигурацията и използваните функционалности ShipBG може да обработва:

  • имена;
  • телефонни номера;
  • имейл адреси;
  • адреси за доставка и/или фактуриране;
  • данни за поръчка, номер на поръчка, статус, съдържание на пратка, стойност, наложен платеж, доставка, офис/автомат и други свързани логистични параметри;
  • идентификатори на поръчки, магазини, профили, товарителници и номера за проследяване;
  • технически логове, необходими за сигурност, проследимост и диагностика.

4. Характер, цел и продължителност на обработването

Обработването включва действия като събиране, структуриране, организиране, пренос, синхронизация, временно съхранение, извличане, диагностика и изтриване, когато са необходими за предоставянето на услугата.

Обработването се извършва за срока на действащите отношения между страните и за допълнителен разумен период, необходим за архивиране, сигурност, възстановяване, спазване на законови задължения или защита на правни претенции.

5. Инструкции на Администратора

Обработващият обработва лични данни само по документирани инструкции на Администратора, освен ако обработването не се изисква от приложимото право.

Използването на стандартните функционалности на ShipBG и конфигурациите, избрани от Клиента, се счита за документирана инструкция за извършване на съответните операции.

6. Задължения на Обработващия

Обработващият се задължава:

  • да обработва личните данни само за договорените цели;
  • да осигури, че лицата с достъп до данните са обвързани с поверителност;
  • да прилага подходящи технически и организационни мерки за сигурност;
  • да не използва данните за собствени несъвместими цели;
  • да уведомява Администратора без ненужно забавяне при установено нарушение на сигурността, засягащо данни, обработвани по това Споразумение;
  • да оказва разумно съдействие на Администратора при искания на субекти на данни, оценки на въздействие, консултации с надзорни органи и проверки, доколкото това е относимо и възможно;
  • да поддържа необходима проследимост и вътрешна организация по сигурността.

7. Подизпълнители

Клиентът дава общо разрешение на Обработващия да използва подизпълнители и под-обработващи, когато това е необходимо за предоставянето на ShipBG, включително доставчици на:

  • хостинг и облачна инфраструктура;
  • бази данни, логове, мониторинг и техническа сигурност;
  • клиентска поддръжка и комуникация;
  • имейл и нотификационни услуги.

Обработващият гарантира, че прилага подходящи договорни механизми към тези лица, когато обработват лични данни от името на Клиента.

За продуктова аналитика и анализ на използването на платформата Доставчикът използва PostHog (с хостинг на данните в ЕС). Тези данни се отнасят до използването на ShipBG от потребителските акаунти и посетителите на Сайта, при което Доставчикът действа като администратор по своя Политика за поверителност. PostHog не обработва данните на крайните получатели на Клиента (имена, адреси, телефони на получатели на пратки) и съответно не действа като под-обработващ на данните по настоящото Споразумение.

Когато Доставчикът използва платежни или фактуриращи системи във връзка със собствените си отношения с Клиента, включително за абонаментно таксуване, тези услуги могат да обработват лични данни по отделни правила и роли извън обхвата на настоящото Споразумение, доколкото не обработват лични данни от името на Клиента по смисъла на настоящото споразумение.

При съществени промени в категориите или ключовите подизпълнители, свързани с обработването на лични данни от името на Клиента, Обработващият уведомява Клиента чрез Сайта, клиентския панел и/или посочения имейл адрес. Ако Клиентът има основателно възражение по отношение на такава промяна, страните ще действат добросъвестно за намиране на разумно решение, включително прекратяване на услугата за в бъдеще, ако това се налага.

8. Сигурност

Обработващият прилага мерки, съобразени с риска, които могат да включват:

  • контрол на достъпа и роли;
  • защитени канали за предаване на данни;
  • логване и мониторинг;
  • резервни копия, възстановяване и устойчивост на системите;
  • периодични вътрешни проверки и актуализации;
  • минимизиране на достъпа до лични данни.

9. Уведомяване при инцидент

При установено нарушение на сигурността, което засяга лични данни, обработвани от името на Клиента, Обработващият уведомява Клиента без ненужно забавяне и предоставя наличната информация относно:

  • естеството на инцидента;
  • вероятните последици;
  • предприетите или планираните мерки.

10. Искания на субекти на данни

Ако Обработващият получи искане директно от субект на данни относно данни, обработвани от името на Клиента, той уведомява Клиента, освен ако законът не изисква друго.

11. Международни трансфери

Когато за предоставянето на услугата е необходимо прехвърляне на данни извън ЕИП, Обработващият прилага подходящи механизми за защита съгласно GDPR.

12. Връщане и изтриване на данни

При прекратяване на отношенията между страните Обработващият изтрива или анонимизира личните данни, обработвани от името на Клиента, освен ако съхранението им е необходимо:

  • за спазване на законово задължение;
  • за защита на правни претенции;
  • за резервни копия и системна устойчивост за ограничен технически период;
  • по изрично указание на Клиента, когато това е технически възможно и законосъобразно.

13. Одит и информация

При разумно предварително уведомление и при спазване на търговската тайна и сигурността на останалите клиенти, Обработващият може да предостави на Клиента разумна информация, необходима за установяване спазването на настоящото Споразумение.

14. Отговорност

Всяка страна носи отговорност за своите собствени нарушения на GDPR и приложимото право. Нищо в настоящото Споразумение не изключва или ограничава отговорност, която не може да бъде ограничена по закон.

15. Приложимо право

Настоящото Споразумение се урежда от правото на Република България, освен ако задължително приложимо право не изисква друго.