Споразумение за обработка на данни на QR Code AI

СПОРАЗУМЕНИЕ ЗА ОБРАБОТКА НА ДАННИ (DPA)

Последна актуализация: 2 март 2026 г.

Това Споразумение за обработка на данни ("DPA") е част от Условията за ползване ("Споразумение") между Supernovae, компания, регистрирана във Франция на адрес 27 Rue Wurtz, Juvisy-sur-Orge 91260, ДДС номер FR67948452891 ("Обработващ", "ние", "нас"), и субекта, приемащ това DPA ("Администратор", "Вие"), наричани заедно "Страните".

Това DPA се прилага, когато ние обработваме лични данни от Ваше име във връзка с нашите услуги на QR Code AI, включително чрез API.

1. ДЕФИНИЦИИ

• "Лични данни" означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано, както е определено в член 4, параграф 1 от GDPR.
• "Обработване" означава всяка операция или съвкупност от операции, извършвана с Лични данни, както е определено в член 4, параграф 2 от GDPR.
• "Субект на данни" означава идентифицираното физическо лице или физическото лице, което може да бъде идентифицирано, за което се отнасят Личните данни.
• "Подизпълнител" означава всяка трета страна, наета от Обработващия за обработване на Лични данни от името на Администратора.
• "GDPR" означава Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета.
• "UK GDPR" означава GDPR, както е транспониран в законодателството на Обединеното кралство чрез Закона за защита на данните от 2018 г.
• "SCCs" означава Стандартните договорни клаузи, одобрени от Европейската комисия за предаване на Лични данни към трети държави.
• "Нарушение на сигурността на данни" означава нарушение на сигурността, водещо до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до Лични данни.

2. ОБХВАТ И РОЛИ

2.1 Администратор и Обработващ

За целите на това DPA:

• Вие (Администратор): Вие определяте целите и средствата за обработване на Лични данни, когато използвате нашите услуги, особено когато използвате нашия API за генериране на QR кодове за Вашите собствени клиенти или интегрирате нашите услуги във Вашите продукти.
• Ние (Обработващ): Ние обработваме Лични данни от Ваше име съгласно Вашите инструкции, както е описано в това DPA и Споразумението.

2.2 Кога се прилага това DPA

Това DPA се прилага, когато:

• Използвате API за QR кодове на QR Code AI, за да генерирате QR кодове, които обработват данни на Вашите крайни потребители (напр. URL адреси, съдържащи лична информация, vCard данни, данни за контакт, кодирани в QR кодове).
• Използвате функциите за проследяване и аналитика на QR Code AI, които събират данни от сканиране от Вашите крайни потребители.
• Всеки друг сценарий, при който ние обработваме Лични данни от Ваше име като обработващ данни.

Когато използвате QR Code AI като индивидуален потребител за собствени цели, ние действаме като независим администратор на данни и нашата Политика за поверителност регламентира обработването на данни.

3. ДЕТАЙЛИ ЗА ОБРАБОТВАНЕТО НА ДАННИ

3.1 Предмет и продължителност

Ние обработваме Лични данни за срока на Споразумението, за да предоставяме услугите на QR Code AI, включително генериране на QR кодове, проследяване, аналитика и свързаната функционалност.

3.2 Естество и цел на обработването

• Генериране на QR кодове въз основа на входни данни, предоставени от Администратора
• Проследяване на сканирания на QR кодове и събиране на аналитични данни
• Съхраняване на конфигурации на QR кодове и свързани метаданни
• Обработване на заявки за артистичен QR код, генериран от ИИ
• Предоставяне на отчети и табла за аналитика

3.3 Видове Лични данни

Видовете обработвани Лични данни могат да включват:

• Информация за контакт (имена, имейл адреси, телефонни номера), кодирана в QR кодове
• URL адреси и уеб адреси
• Данни за местоположение от сканирания на QR кодове
• Информация за устройството и IP адреси от сканирания на QR кодове
• Текстови подсказки и изображения, предоставени за генериране на QR кодове с ИИ
• Всякакви други данни, които Администраторът избере да кодира в QR кодове

3.4 Категории Субекти на данни

• Крайни потребители, които сканират QR кодове, създадени от Администратора
• Лица, чиято информация за контакт е кодирана в QR кодове
• Потребители на продуктите или услугите на Администратора, които взаимодействат с QR кодове

4. ЗАДЪЛЖЕНИЯ НА ОБРАБОТВАЩИЯ

4.1 Инструкции за обработване

Ние ще обработваме Лични данни само въз основа на Вашите документирани инструкции, освен ако не сме задължени да го направим по силата на правото на ЕС или на държава членка, което се прилага спрямо нас. В такъв случай ние ще Ви информираме за това правно изискване преди обработването, освен ако правото не забранява такова информиране на важни основания от обществен интерес.

4.2 Поверителност

Ние гарантираме, че лицата, упълномощени да обработват Лични данни, са поели ангажимент за поверителност или са задължени по закон да спазват поверителност.

4.3 Мерки за сигурност

Ние прилагаме подходящи технически и организационни мерки, за да гарантираме ниво на сигурност, съответстващо на риска, включително:

• Криптиране на Лични данни при пренос (TLS/HTTPS) и в покой
• Контрол на достъпа и удостоверяване въз основа на роли за вътрешни системи
• Редовни оценки на сигурността и сканиране за уязвимости
• Инфраструктура, хоствана при доставчици със сертификат ISO 27001
• Защита от DDoS атаки и защитна стена за уеб приложения (Cloudflare)
• Редовни резервни копия с криптирано съхранение
• Регистриране и наблюдение на достъпа до Лични данни

4.4 Подизпълнители

Ние използваме подизпълнителите, изброени на нашата Страница за подизпълнители. Ще Ви уведомяваме за всякакви планирани промени на подизпълнители чрез актуализиране на тази страница. Можете да възразите срещу нов подизпълнител, като се свържете с нас на [email protected] в рамките на 30 дни след актуализацията. Ако възразите и ние не можем разумно да удовлетворим Вашето възражение, всяка от страните може да прекрати засегнатата част от Услугите.

Ние сключваме писмени споразумения с всички подизпълнители, които налагат задължения за защита на данните, не по-малко защитни от тези в това DPA.

4.5 Права на Субектите на данни

Ние ще Ви съдействаме при отговаряне на искания от Субекти на данни, упражняващи своите права съгласно приложимото законодателство за защита на данните (достъп, коригиране, изтриване, ограничаване, преносимост, възражение). Ако получим искане директно от Субект на данни, ние незабавно ще го пренасочим към Вас, освен ако не е инструктирано друго.

4.6 Съдействие за съответствие

Ние ще Ви съдействаме за осигуряване на съответствие с Вашите задължения съгласно членове 32 до 36 от GDPR, като вземаме предвид естеството на обработването и информацията, с която разполагаме.

5. УВЕДОМЯВАНЕ ЗА НАРУШЕНИЕ НА СИГУРНОСТТА НА ДАННИ

5.1 Срок за уведомяване

Ние ще Ви уведомим за Нарушение на сигурността на данни без неоправдано забавяне и във всеки случай в рамките на 72 часа след като сме узнали за нарушението. Уведомлението ще бъде изпратено на имейл адреса, свързан с Вашия акаунт.

5.2 Съдържание на уведомлението

Уведомлението ще включва, доколкото е налично:

• Описание на естеството на Нарушението на сигурността на данни, включително категориите и приблизителния брой засегнати Субекти на данни и записи.
• Името и данните за контакт на нашето лице за контакт по защита на данните.
• Описание на евентуалните последици от Нарушението на сигурността на данни.
• Описание на предприетите или предложените мерки за справяне с Нарушението на сигурността на данни, включително мерки за смекчаване на възможните неблагоприятни последици.

5.3 Текущо сътрудничество

Ние ще си сътрудничим с Вас и ще предоставяме разумно съдействие при разследването, смекчаването и отстраняването на всяко Нарушение на сигурността на данни, както и при извършването на всякакви уведомления до надзорни органи или Субекти на данни, които сте длъжни да направите.

6. МЕЖДУНАРОДНО ПРЕДАВАНЕ НА ДАННИ

6.1 Местоположение на данните

Личните данни се съхраняват и обработват предимно в Европейския съюз:

• Франция (ЕС) чрез Scaleway
• Нидерландия (ЕС) чрез DigitalOcean

6.2 Предаване извън ЕС/ЕИП

Някои от нашите подизпълнители се намират извън ЕС/ЕИП, предимно в Съединените щати. За тези предавания ние разчитаме на:

• Рамка за защита на личните данни между ЕС и САЩ (EU-US Data Privacy Framework): Където е приложимо, за предавания към базирани в САЩ доставчици, сертифицирани по рамката.
• Стандартни договорни клаузи (SCCs): Ние включваме одобрените от Европейската комисия SCCs (Решение за изпълнение (ЕС) 2021/914 на Комисията) в нашите споразумения с подизпълнители, разположени извън ЕС/ЕИП, когато Рамката за защита на личните данни не се прилага.

6.3 Оценка на въздействието при предаване

Ние извършваме оценки на въздействието при предаване за предавания към трети държави и прилагаме допълнителни мерки, когато е необходимо, за да гарантираме адекватно ниво на защита на данните.

7. ОДИТИ И ИНСПЕКЦИИ

7.1 Права за одит

Имате право да одитирате нашето съответствие с това DPA. Ние ще Ви предоставим цялата информация, необходима за доказване на съответствието, и ще позволим и допринесем за одити, включително инспекции, извършвани от Вас или от одитор, упълномощен от Вас.

7.2 Процес на одит

Одитите са предмет на следните условия:

• Трябва да предоставите поне 30 дни писмено предизвестие преди всеки одит.
• Одити могат да се извършват не повече от веднъж годишно, освен ако не се изисква от надзорен орган или след Нарушение на сигурността на данни.
• Одитите трябва да се извършват в рамките на нормалното работно време и не трябва да възпрепятстват неразумно нашите операции.
• Вие носите отговорност за разходите по всеки одит, освен ако одитът не разкрие съществено нарушение на това DPA.
• Поверителната информация на други наши клиенти не трябва да бъде излагана на риск по време на одита.

8. СЪХРАНЕНИЕ И ИЗТРИВАНЕ НА ДАННИ

8.1 По време на Споразумението

Ние съхраняваме Лични данни за срока на Споразумението, доколкото е необходимо за предоставяне на Услугите.

8.2 При прекратяване

При прекратяване на Споразумението или при Ваше писмено искане:

• Ние ще изтрием Лични данни от нашите активни системи в рамките на 30 дни.
• Личните данни в архивите за резервни копия ще бъдат премахнати в рамките на 6 месеца.
• Можем да запазим Лични данни до степента, изисквана от приложимото законодателство (напр. данъчни, счетоводни задължения), в който случай ще изолираме и защитим тези данни и ще ограничим по-нататъшното обработване до това, което се изисква по закон.

8.3 Сертифициране

При Ваше искане ние ще предоставим писмено потвърждение, че Личните данни са изтрити в съответствие с този раздел.

9. ОТГОВОРНОСТ

Отговорността на всяка страна по това DPA е предмет на ограниченията на отговорността, посочени в Споразумението. Нищо в това DPA не ограничава отговорността на която и да е от страните към Субектите на данни или надзорните органи съгласно приложимото законодателство за защита на данните.

10. ПРИЛОЖИМО ПРАВО

Това DPA се урежда от законите на Франция. За Субекти на данни в ЕС се прилага GDPR. За Субекти на данни в Обединеното кралство се прилага UK GDPR. Всички спорове, произтичащи от това DPA, ще бъдат разрешавани в съответствие с разпоредбите за разрешаване на спорове в Споразумението.

11. КАК ДА СКЛЮЧИТЕ ТОВА DPA

Това DPA е включено и представлява част от Условията за ползване. Чрез използването на услугите на QR Code AI, Вие се съгласявате с това DPA.

Ако имате нужда от отделно подписано копие на това DPA за Вашите архиви, моля, свържете се с нас на [email protected] и ние ще Ви предоставим такова в рамките на 10 работни дни.

12. КОНТАКТИ

За въпроси относно това DPA или нашите практики за обработване на данни:

Supernovae 27 Rue Wurtz Juvisy-sur-Orge, Ile-de-France 91260 France [email protected]