Приложение относно

обработване на лични данни

към Общи условия за ползване на услуги,

предлагани от “Омнилинкс” ЕООД и достъпни на платформата Omnilinx

 

 

Това Приложение относно обработване на лични данни (Приложение/-то”) урежда обработването на лични данни на Клиенти от Omnilinx във връзка с и при предоставянето на Услугите на Omnilinx. Настоящото Приложение е неразделна част от Общите условия за ползване на услуги, предлагани от “Омнилинкс” ЕООД и достъпни на платформата Omnilinx (“Общите условия”). С приемането на Общите условия, Клиентът декларира, че се е запознал с и приема настоящото Приложение като част от Общите условия.

Страни по настоящото Приложение са “Омнилинкс” ЕООД, ЕИК 131194611, със седалище и адрес на управление: гр. София 1784, ул. “Магнаурска школа” № 11, ет. 3, офис 315 (“Omnilinx”) и лицето, използващо Услугите, предоставяни от Omnilinx съгласно Общите условия (“Клиентът”).

В настоящото Приложение Omnilinx и Клиентът се наричат заедно “Страните”, а поотделно “Страната”.

 

 

 

ВЪВЕДЕНИЕ:

  • Клиентът е назначил Omnilinx за предоставяне на услуги, свързани с правото на ползване на Софтуера, който е разработен и поддържан от Omnilinx (“Услугите“), съгласно Общите условия и Договор за предоставяне на услугите, включени в абонаментен план на Omnilinx. Всички термини с главни букви, които не са дефинирани тук, имат значението, посочено в Общите условия.
  • Това Приложение представлява неразделна част от Общите условия и отразява уговорките между Страните по отношение на обработването на Лични Данни, включително Лични Данни на Клиента, в съответствие с изискванията на Законодателството за Защита на Данните.
  • В процеса на предоставяне на Услугите на Клиента съгласно Общите условия, Omnilinx обработва Лични Данни от името на Клиента.
  • Видовете Лични Данни и категориите Субекти на Данни, обработвани от Omnilinx, когато действа като Обработващ, по силата на това Приложение, са уточнени допълнително в Анекс № 1 към настоящото Приложение.

ДЕФИНИЦИИ:

  1. Тълкуване
    • Следните определения и правила за тълкуване се прилагат в настоящото Приложение.

Администратор на лични данни”, “Обработващ”, “Субект на данни”, “Обработване”, “Обработвам” и “Обработвани” имат значението, определено в Законодателството за Защита на Данните.

Законодателство за Защита на Данните” означава Регламент (ЕС) 2016/679 („ОРЗД“) и всяко национално законодателство; изменяно или заменяно периодично или, при липсата на такива закони, цялото законодателство, регламент и задължителни указания или задължителни кодекси на практика, приложими към Обработването на Лични Данни съгласно споразумението.

“Стандартни Договорни Клаузи на Европейската Комисия” означава споразумение, определящо клаузите, съдържащи се в стандартното споразумение, одобрено от Европейската комисия за трансфер на лични данни извън ЕИП съгласно Решение за изпълнение (ЕС) 2021/914 на Комисията от 4 юни 2021 г. относно стандартните договорни клаузи за предаване на лични данни към трети държави съгласно Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета (изменен и допълван от време на време).

Лични Данни” има значението, посочено в Законодателството за Защита на Данните и се отнася само до Лични Данни или част от такива Лични Данни, които са:

  • предоставени на Omnilinx от или от името на Клиента; и / или
  • получени от или създадени от Omnilinx от името на Клиента в хода на предоставяне на Услугите,

и за които във всички случаи Клиентът е Администратор на лични данни, а Omnilinx – Обработващ лични данни.

Регулатор” означава надзорен орган в съответната юрисдикция с правомощия съгласно Законодателството за Защита на Данните по отношение на цялата или на която и да е част от Обработването на Лични Данни съгласно Приложението.

Нарушение на Сигурността” означава нарушение на сигурността, водещо до случайно или незаконно унищожаване, загуба, промяна, неразрешено разкриване или достъп до Лични Данни, предавани, съхранявани или Обработвани по друг начин.

Под-Обработващ” означава всеки Обработващ данни, ангажиран от Omnilinx, който Обработва Лични Данни от името на Администратора на лични данни.

Технически и Организационни Мерки” означава техническите и организационните мерки, разгледани от Страните, съобразени с член 32 от ОРЗД.

  • Клаузите, Приложението и заглавията на параграфите не засягат тълкуването на настоящото Приложение.
  • Лице включва физическо лице, юридическо лице или неперсонифициран орган (независимо дали има отделна юридическа правосубектност).
  • Анексите са част от това Приложение и имат действие като включени изцяло в съдържанието на това Приложение. Всяко позоваване на това Приложение включва и Анексите.
  • Понятието дружество включва всяко дружество, корпорация или друг корпоративен орган, независимо къде и независимо как е учреден или установен.
  • Освен ако контекстът не изисква друго, думите в единствено число включват множествено число, а множественото число включва единствено число, като препратката към един граматически род включва препратка към другите граматически родове.
  • Препратка към писмено или писмен включва и електронна поща.
  • В случай на противоречие или двусмислие между някоя от разпоредбите на настоящото Приложение и разпоредбите на Общите условия, преимущество имат разпоредбите на настоящото Приложение.
  1. ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ
    • Роли на Страните
      • Страните декларират и се съгласяват, че по отношение на Обработването на Лични Данни Клиентът е Администратор на Данни, Omnilinx е Обработващ Данни и че Omnilinx има правото да ангажира Под-обработващи в съответствие с изискванията, посочени в точка 4 по-долу.
      • Ако в резултат на предоставянето на Услугите от Omnilinx някоя от Страните счете, че отношенията между тях вече не съответстват на качествата на Страните, посочени в точка 2.1(а) по-горе, то тя уведомява другата Страна и Страните ще обсъдят и ще предприемат такива действия, които могат да бъдат необходими за определяне на качествата, ролите и отношенията между Страните.
    • Обработване на Лични Данни от Клиента
      • Инструкциите на Клиента за Обработване на Лични Данни трябва да отговарят на Законодателството за Защита на Данните и няма да изискват от Omnilinx да предприема незаконосъобразни действия по Обработване, за да се съобрази с тези инструкции.
      • Клиентът носи пълна отговорност за точността, качеството и законността на Личните Данни.
      • Клиентът, в качеството му на Администратор на лични данни, е длъжен да осигури и обезпечи по време на Обработването на лични данни от страна на Обработващия съществуването на действително и документално обосновано правно основание за Обработването на Личните Данни, въведени в от Клиента, от негови служители и/или представители, както и от всяко лице, на което Клиентът е предоставил достъп до Услугите. Правното основание за обработване може да е всяко от основанията, посочени в чл. 6, пар. 1 от ОРЗД.
      • Клиентът декларира и гарантира, че всички Лични Данни на физически лица, предоставени на Omnilinx, са получени от тези лица и са предоставени за Обработване от Администратора на Лични Данни на Обработващия по начин, съответстващ на изискванията на Законодателството за Защита на Данните, включително ОРЗД, и са с вярно съдържание.
      • Доколкото Клиентът, като Администратор на Лични Данни, определя всички аспекти на Обработването на Личните Данни, Страните се съгласяват, че Omnilinx – като Обработващ Лични Данни, няма контрол върху Личните Данни освен за извършване на дейности по съхранение и получаване на достъп във връзка с поддръжка на Софтуера, поради което Обработващият не носи отговорност за спазване на законовите изисквания на Законодателството за Защита на Данните за каквито и да е други дейности, свързани с Личните Данни, включително не носи отговорност за начина, по който Личните Данни са събрани. Обработващият няма роля в процеса на вземане на решение за Обработване на Личните Данни от Администратора, за какви цели е обработването и дали същите са защитени. Съответно, отговорността на Обработващия в този случай се ограничава до съобразяване с Общите условия, но Обработващият няма контрол и няма отговорност за Личните Данни, които Администраторът обработва.
      • Обработващият има право да откаже да изпълни нареждане на Администратора, ако според него това нареждане нарушава Законодателството за Защита на Данните, като Обработващият следва да уведоми Администратора своевременно.
      • Клиентът декларира и гарантира, че:
        • разкриването на Лични Данни на Omnilinx е ограничено до необходимото, за да може Omnilinx да предоставя Услугите на Клиента;
        • Личните Данни са точни и актуални в момента, в който са предоставени на Omnilinx, и Клиентът незабавно ще уведоми Omnilinx за всички необходими корекции, изменения, изтривания или ограничения; и
        • притежава и поддържа законовите основания за Обработване, включително, че е получил всички необходими съгласия и е направил всички необходими уведомления, за да може Omnilinx да Обработва законно Личните Данни за срока и целите на предоставяне на Услугите.
      • Обработване на Лични Данни от Omnilinx
        • Omnilinx Обработва Лични Данни при стриктно спазване на изискванията на Законодателството за Защита на Данните само за целите на изпълнение на Общите условия и предоставяне на Услугите на Клиента и съгласно инструкциите на Клиента, както и за защитата на законните интереси на Страните в случай на неизпълнение.
        • Omnilinx ще обработва Лични Данни от името на и в съответствие с писмените инструкции на Клиента, във всеки случай до степен, разрешена от закона, а ако не е в състояние да направи това, Omnilinx уведомява своевременно Клиента.
        • Клиентът инструктира Omnilinx да Обработва Лични Данни за целите, посочени в Анекс № 1, който може да бъде периодично изменян или допълван, при условие че инструкциите на Клиента не увеличават или модифицират обхвата на Услугите.
        • Клиентът се съгласява, че ще възстанови на Omnilinx всички възникнали разходи или направени плащания в резултат на всяка претенция от Субект на Данни, възникнала във връзка със спазването от страна на Omnilinx на инструкциите на Клиента.
        • Ако Omnilinx основателно вярва, че предоставените от Клиента инструкции във връзка с Обработването противоречат на приложимото Законодателство за Защита на Данните, тогава Omnilinx ще уведоми Клиента и може да спре Обработването на Лични Данни до момента, в който Клиентът предостави нови писмени инструкции на Omnilinx, които не изискват да се нарушава приложимото право и Omnilinx ще има право да:
          • измени Услугите, така че да могат да се извършват, без да се изисква съответното Обработване и без да се засяга съществено цялостното изпълнение на Услугите; и/или
          • прекрати предоставянето на съответната част от Услугите, която е зависима от Обработването, като Omnilinx не носи отговорност за забавяне или неизпълнение на Услуги, зависими от това Обработване.
        • Omnilinx гарантира пред Клиента, че лицата от неговата структура, оправомощени да Обработват Лични Данни, са поели ангажимент за поверителност чрез подписване на документ за конфиденциалност или са задължени по закон да спазват поверителност.
        • Omnilinx има право да разкрива Лични Данни на Под-Обработващи, ангажирани, както е описано в точка 4.
  1. ПРАВА НА СУБЕКТИТЕ НА ДАННИ
    • Коригиране, Блокиране и Изтриване
      • Omnilinx, до степента, разрешена от закона, ще уведомява Клиента при получаване на жалба или искане (освен Искания от Субект на Данни, описани в точка 3.2, или запитвания на Регулатори, описани в точка 6), свързани със (а) задълженията на Клиента съгласно Законодателство за Защита на Данните; или (б) Личните данни, които се Обработват.
      • За сметка на Клиента Omnilinx ще изпълнява всички търговско обосновани писмени инструкции от Клиента, за да подсигури всички действия, изисквани съгласно точка 3.1(а), в рамките на договорени срокове и доколкото Omnilinx има законното право да извърши това.
    • Искания от Субекти на Данни
      • Omnilinx, доколкото това е позволено от закона, незабавно уведомява Клиента, ако получи искане от Субект на данни за достъп до, коригиране, изменение, ограничаване или изтриване на Личните данни на това лице.
      • Omnilinx ще предостави на Клиента в разумна степен съдействие и помощ във връзка с обработването на исканията от Субекти на Данни, в рамките на договорените срокове, до степента, разрешена от закона, и доколкото Клиентът няма достъп или възможност да коригира, измени, ограничи или изтрие тези Лични Данни. Клиентът е отговорен за всички разходи, произтичащи от предоставянето на такава помощ от страна на Omnilinx.
  1. ПОД-ОБРАБОТВАЩИ
    • Назначаване на Под-Обработващ
      • Клиентът декларира и се съгласява, че Omnilinx има общото разрешение да ангажира трети лица – Под-Обработващи във връзка с предоставянето на Услугите. Списъкът на категориите Под-Обработващи, които Omnilinx ангажира за съответните Услуги, представлява Анекс № 2 към Приложението („Категории Под-Обработващи“).
      • Когато Omnilinx ангажира Под-Обработващ, с който същите условия не могат да бъдат наложени или договорени в рамките на разумното  (например, но не само, когато Под-Обработващият работи при фиксирани условия, които не подлежат на предоговаряне), но тези условия са в съответствие със задълженията за Обработващия съгласно член 28 от ОРЗД, тези условия на Под-Обработващия:
        • ще важат за Обработването, извършвано от Под-Обработващия;
        • ще се считат, че представляват целия набор от задължения и отговорности на Omnilinx по отношение на съответното Обработване, сякаш Omnilinx извършва това Обработване при тези условия на Под-Обработващия вместо Под-Обработващия; и

(iii)  ще се счете от Клиента, че са предоставени достатъчни гаранции и адекватна защита във връзка с Обработването.

  1. СИГУРНОСТ И УВЕДОМЛЕНИЯ ЗА ПРОБИВ
    • Omnilinx предприема Технически и Организационни Мерки срещу инцидентна или незаконосъобразна повреда, загуба, промяна, неоторизирано разкритие или достъп. Мерките включват: мерки за осигуряване на непрекъсваема защита на поверителността, целостта, наличността и устойчивостта на системите и услугите на Omnilinx; съдействие за навременно възстановяване на достъпа до Личните данни след инцидент; извършване на регулярни проверки/тестване на ефективността. Omnilinx може да актуализира или модифицира Техническите и Организационни Мерки на определени периоди от време при положение, че подобни операции и модификации няма да доведат до понижаване на цялостната сигурност и безопасност на Услугите.
    • Omnilinx се задължава да предприеме подходящи стъпки, за да осигури съответствие с Техническите и Организационни Мерки от страна на своите служители, изпълнители и Под-Обработващи до степен, необходима за изпълнение на тяхната работа, включително осигуряване, че всички лица, оправомощени да обработват Лични Данни, са обвързани със задължения за конфиденциалност или имат законово задължение за спазване на конфиденциалност.
    • Клиентът е оценил нивото на сигурност, подходящо за Обработването в контекста на задълженията си съгласно Законодателството за Защита на Данните и се съгласява, че Техническите и Организационните Мерки са в съответствие с оценката.
    • Omnilinx, без ненужно забавяне, уведомява Клиента, след като узнае за Нарушение на Сигурността и предоставя на Клиента информация относно подобно нарушение.

5.5    Страните се споразумяват да координират добросъвестно разработването на съдържание на всякакви публични изявления и всякакви изискуеми известия, свързани със засегнатите Субекти на Данни и/или съответния(ите) Регулатор(и) във връзка с Нарушение на Сигурността. Клиентът ще отправя всички уведомления до Регулатор(ите) в съответствие със задълженията си по ОРЗД.

  • Omnilinx, за сметка на Клиента и без ненужно забавяне, ще предприеме всички разумни мерки за смекчаване на последиците от Нарушението на Сигурността.
  1. УВЕДОМЛЕНИЯ
    • Omnilinx ще уведомява навреме Клиента за всяко законосъобразно искане, което получава за разкриване на Лични Данни от Регулатор, правоприлагащ орган или друг държавен орган, свързано с Обработването на Лични Данни, предоставянето или получаването на Услугите или задълженията на която и да е от страните съгласно това Приложение, освен ако това не е забранено със закон или от Регулатора.
    • Освен ако Регулаторът не поиска писмено да ангажира директно Omnilinx, или Страните (действащи разумно и като вземат предвид предмета на искането) не постигнат съгласие Omnilinx, за сметка на Клиента, сам да обработи искането на Регулатора, то Клиентът: (i) ще носи отговорност за всички съобщения или кореспонденция във връзка с Обработването на Лични Данни и предоставянето или получаването на Услугите; (ii) ще информира Omnilinx за такива съобщения или кореспонденция до степента, разрешена от закона; и (iii) справедливо ще представлява Omnilinx във всички съобщения или кореспонденция.
  2. ВРЪЩАНЕ И ИЗТРИВАНЕ НА ДАННИ НА КЛИЕНТА

След прекратяване или изтичане на Услугите или по писмено искане от страна на Клиента, Omnilinx (по избор на Клиента) изтрива или връща всички Лични Данни, освен ако е необходимо да ги запази за спазване на законови или регулаторни задължения. Ако Клиентът избере изтриване, Личните Данни ще бъдат изтрити в срок до 30 дни от прекратяване или изтичане на срока на Услугите. В останалите случаи Omnilinx спира да съхранява всички документи, съдържащи Лични Данни, когато прецени, че (а) целта, за която са събрани тези Лични Данни, вече не се постига чрез съхраняване на Личните Данни; и (б) задържането вече не е необходимо за каквито и да било бизнес цели или не се изисква от закона. Страните се споразумяват, че доказателства за изтриване на Лични Данни се предоставят от Omnilinx на Клиента само при поискване от страна на Клиента. Клиентът потвърждава и се съгласява, че Omnilinx не носи отговорност за загуби, произтичащи от неспособността на Omnilinx да предоставя Услугите в резултат на искане за изтриване, направено от Клиента съгласно настоящата точка по време на действие на Общите условия.

  1. ОДИТ И СЪДЕЙСТВИЕ
    • Omnilinx се задължава да разреши на Клиента (или на трета страна, назначена от Клиента като одитор) извършването на одит за спазването на това Приложение от страна на Omnilinx и да предостави на Клиента информация, необходима  на Клиента за този одит, при условие, че Клиентът извести Omnilinx в разумен срок за своето намерение за извършване на одит, и че самият одит ще се извършва през работно време и ще бъдат взети всички основателни мерки, с които да се предотврати прекъсване и/или нарушаване на операциите, извършвани от Omnilinx. Клиентът няма да упражнява правата си за одит повече от веднъж на дванадесет (12) календарни месеца, освен ако и когато това се изисква по инструкция на Регулатор.
  2. ОЦЕНКА НА ВЪЗДЕЙСТВИЕТО ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
    • В случай че Omnilinx прецени и установи, че Обработката на Лични Данни има вероятност да доведе до висок риск за правата и свободите на субектите на данни, то същият информира Клиента и предоставя разумно сътрудничество на Клиента във връзка с извършване на оценка на въздействието за защита на данните, която може да се изисква съгласно Законодателството за Защита на Данните.
    • Независимо от гореизложеното, Omnilinx, за сметка на Клиента, се задължава да предоставя на Клиента съдействието и информацията, които могат да бъдат разумно необходими, за да може Клиентът да изпълни всяко свое задължение да извърши оценка на въздействието върху защитата на данните или да се консултира с Регулатор съгласно Законодателството за Защита на Данните.
  3. ПРЕДАВАНЕ НА ДАННИ ИЗВЪН ЕИП
    • Omnilinx няма да обработва, съхранява или предоставя Лични Данни извън Европейското икономическо пространство („ЕИП“) без предварително писмено разрешение от Клиента. Счита се, че Omnilinx има разрешение за предаване на данни на Под-Обработващ извън ЕИП, при положение, че е налице решение на Европейската комисия относно адекватното ниво на защита на данните или друг валиден законов механизъм за предаване (вкл. Стандартни Договорни Клаузи на Европейската Комисия), в случай че бъде необходимо за предоставянето на Услугите.
    • Когато се извършва предаване извън ЕИП, ако приложимият механизъм за предоставяне престане да бъде валиден, Omnilinx може по свой избор:
      • да приложи или да осигури Под-Обработващият да приложи подходящ алтернативен механизъм за предаване на данни;
      • да модифицира Услугите, така че да могат да се извършват, без да се изисква съответното предаване, като не се отклонява съществено от цялостното изпълнение на Услугите; или
      • да преустанови предоставянето на съответната част от Услугите, която зависи от предаването,

като Omnilinx няма да носи отговорност за забавяне или непредоставяне на Услуги, зависещи от такава Обработка, освен до степента, в която е отговорен за неуспешното прилагане на механизма за предаване на данни извън ЕИП.

 

  • Ако Личните Данни, предавани между Клиента и Omnilinx, изискват прилагане на Стандартните Договорни Клаузи на Европейската Комисия, за да се осигури съответствие със Законодателството за Защита на Данните, Страните се задължават да попълнят всички необходими данни в Стандартните Договорни Клаузи на Европейската Комисия и да изпълнят всички други действия, необходими за валидността на предаването. Клиентът упълномощава Omnilinx да сключва Стандартни Договорни Клаузи на Европейската Комисия с Под-Обработващи от името  и за сметка на Клиента, когато е необходимо, за да обоснове разрешено предаване или достъп до Лични Данни извън ЕИП.
  1. ОТГОВОРНОСТ И ОБЕЗЩЕТЯВАНЕ
    • Страните се споразумяват, че разпоредбите на това Приложение няма да бъдат предмет на ограничения и/или изключване на отговорността и други условия, предвидени в Общите условия и приложими за Услугите.
    • Нищо в това Приложение няма да изключи или по какъвто и да е начин да ограничи отговорността на която и да е от Страните за измама или за смърт или телесна повреда, причинена поради нейна небрежност или друга отговорност, доколкото тази отговорност не може да бъде изключена или ограничена съгласно закон.
    • Съгласно точка 11.2, никоя от Страните няма да бъде отговорна по силата на това Приложение за загуба на действителен или очакван доход или печалба, загуба от договори или за всякакви непреки, косвени или последващи загуби или щети от какъвто и да било вид, възникнали и причинени от деликт (включително при небрежност), нарушение на договоа или друго, независимо дали такава загуба или щета е предвидима, предвидена или известна. Отговорността на Omnilinx по отношение на всяко нарушение на това Приложение възлиза на преките загуби, понесени от Клиента, но във всеки случай не повече от общия размер на таксите за използваните Услуги, действително платени от Клиента.
    • Съгласно точка 11.3. Omnilinx ще обезщети Клиента за всички щети, задължения, претенции, искания, действия, неустойки, глоби, разходи и разноски (включително разумни правни и други професионални разходи) и санкции, които могат да възникнат за Клиента в резултат на претенция, иск, процедура или действие на Регулатор срещу Клиента, пряко произтичащи от нарушение от страна на Omnilinx на това Приложение, с изключение на случаите:
      • когато Omnilinx е действало в съответствие с инструкциите на Клиента, това Приложение, Законодателството за Защита на Данните или други приложими закони; и
      • когато Клиентът или която и да е трета страна, действаща от името на Клиента, е нарушил това Приложение или приложимото Законодателство за Защита на Данните.
    • В случай че субект на данни претърпи вреди от незаконосъобразно предоставени от Клиента Лични Данни, събрани от Клиента без правно основание или по други причини у Клиента, поради които Обработването на Лични Данни от Omnilinx може да се счете за нарушение на правата на субект на лични данни, и Omnilinx обезщети субекта за претърпените вреди, то Клиентът дължи на Omnilinx неустойка в размер на цялата сума, платена от Omnilinx на субекта на данните.
    • В случай че на Omnilinx бъде наложена глоба или друг вид санкция от компетентен държавен орган, свързана с незаконосъобразно Обработване на Лични Данни, сторено от Omnilinx вследствие на незаконосъобразно предоставени от Клиента Лични Данни, събрани от Клиента без правно основание или по други причини у Клиента, то Клиентът дължи на Omnilinx неустойка в размер на стойността на цялата имуществена санкция, наложена и платена от Omnilinx и/или в размер на стойността на вредата, понесена от Omnilinx, вследствие на друга санкция.
    • За да предяви претенция за обезщетение, посочено в това Приложение, страната, предявяваща претенцията, трябва да:
      • уведоми писмено другата страна за своята претенция, делото, производството или действието на Регулатора, веднага щом е разумно възможно;
      • не поема никаква отговорност във връзка с претенцията, делото, процедурата или действието на Регулатора без предварително писмено съгласие на другата страна;
      • разреши на другата страна да проведе защитата по претенцията, делото, производство или действието на Регулатора; и
      • за сметка на другата страна, съдейства и помага в разумна степен при защитата по претенцията, делото, процедура или действието на Регулатора.
  1. ОБЩИ РАЗПОРЕДБИ
    • Това Приложение, заедно с Общите условия, към които е неразделна част, представлява цялото споразумение относно Обработването на Лични Данни между Страните.
    • Това Приложение и всеки спор или претенция, произтичащи от или във връзка с него или неговия предмет или сключване (включително извъндоговорни спорове или претенции), се уреждат и тълкуват в съответствие със законите на Република България.
    • Всяка Страна неотменимо се съгласява, че съдилищата на Република България са компетентни за уреждане на всеки спор или претенция, произтичащи от или във връзка с това Приложение или с неговия предмет или сключване (включително извъндоговорни спорове или претенции).
    • В случай на противоречие или конфликт между клаузите на Общите условия и клаузите на това Приложение, последните ще имат предимство.

 

 

АНЕКС № 1 – Описание на Обработката на Лични Данни

  1. Предмет

Предоставянето на Услуги съгласно Общи условия и/или Договор, сключен между Omnilinx и Клиента, включващи:

Правото на ползване на Софтуера, който е разработен и поддържан от Omnilinx, посредством интернет платформа, собственост на Omnilinx.

 

  1. Естество

При използването на Услугите Клиентът предоставя на Omnilinx правото да събира, записва, съхранява, организира, структурира, адаптира, обработва, използва, разкрива Лични Данни, получени от Клиента.

 

  1. Цели
  • Предоставяне на Услугите.
  • Предоставяне на комуникационни продукти и услуги за бизнес клиенти чрез облачна комуникационна платформа, включително предаване на комуникации от или към софтуерното приложение на Клиента (API) или чрез уеб-базирания интерфейс на Omnilinx;
  • Съхранение на Данните на Клиента в платформата на Omnilinx от името на Клиента;
  • Отчет, анализ и обработка на запитвания, данни и извършени дейности.

 

  1. Категории Субекти на данни

Клиенти, контрагенти, служители на Клиента (наричани за краткост “Крайни потребители”).

Във всеки отделен случай и в зависимост от използвания продукт/функционалност, конкретните категории Субекти на данни се определят единствено от Клиента.

 

  1. Категории Лични Данни

Във всеки отделен случай и в зависимост от използвания продукт/функционалност, точните категории Лични данни се определят единствено от Клиента, вкл., но не само:

  • Комуникационното съдържание на Клиента (текстови съобщения, глас, видео и аудио, документи, изображения) и свързани комуникационни логове;
  • Доклади и анализи (доколкото съдържат лични данни);
  • Бази данни на Клиента, съхранявани на платформата на Omnilinx, съдържащи лични данни на Крайните потребители на Клиента, вкл., но не само имена, данни за контакт и всякаква друга информация, определена, въведена в платформата и контролирана единствено от Клиента или събрана от името на Клиента при предоставянето на Услугите от Omnilinx;
  • Данни за социалните медии (ID на социалните медии на Kрайните потребители, потребителско име, снимки, видео и аудио, ID на коментари, ID на публикации, съдържание и време на публикуване на коментари/публикации, ID на страницата в социалните медии);
  • Комуникация и информация от чат (напр. URL адрес, от който чатът е стартиран от Краен потребител, IP адрес, местоположение на сесията на Крайния потребител, информация за системата за браузър/мобилно устройство, времеви период).

 

  1. Чувствителни данни

Omnilinx не събира и не обработва умишлено специални категории Лични данни, освен ако Клиентът или неговите Крайни потребители не включват такива видове Лични Данни в съдържанието, предоставено на Omnilinx и/или докато използват Услугите на Omnilinx.

 

АНЕКС № 2 – Категории Под-Обработващи

 

Категория

Държава, в която се извършват процесите по обработване

Доставчици на услуги, свързани с пренос на данни, интернет свързаност и гласови услуги

България

Доставчици на услуги, свързани с колокация на телекомуникационно оборудване

България

Лица, извършващи техническа поддръжка

България

Лица, предоставящи услугата Amazon Simple Storage Service (Amazon S3)

Германия

Доставчици на услуги, свързани с изпращане и получаване на съобщения в комуникационни канали, собственост на Meta Companies, например Facebook Messenger, WhatsApp

съгласно Meta Privacy Policy; WhatsApp Privacy Policy

Доставчици на услуги, свързани с разработката, актуализацията и поддръжката на услугата “Чатбот с генеративен изкуствен интелект (Generative AI)”

Центровете за данни на Google в Европа (Google’s European data centers)

Доставчици на технологични услуги и инфраструктура, свързани с разработване, конфигурира, обучение, актуализация и поддръжка на функционалности, базирани на изкуствен интелект, включително, но не само, автоматично разпознаване и синтез на реч, обработка на естествен език, автоматична транскрипция, генериране на обобщения и анализ на разговори

Европейски съюз

Schedule concerning

processing of personal data

to the General Terms and Conditions of Service,

offered by Omnilinx EOOD

and available on the Omnilinx platform

This Schedule on Processing of Personal Data („(the) Schedule“) governs the processing of personal data of Omnilinx Customers in connection with and in the provision of the Omnilinx Services. This Schedule forms an integral part of the General Terms and Conditions for the use of the Services offered by Omnilinx EOOD and available on the Omnilinx Platform („General Terms and Conditions„). By accepting the General Terms and Conditions, the Customer represents that it has read and accepts this Schedule as part of the General Terms and Conditions.

The parties to this Schedule are Omnilinx EOOD, UIC 131194611, with headquarters and registered address: Sofia, p.c. 1784, Mladost District, 11 Magnaurska Shkola St., fl. 3, office 315 (“Omnilinx”) and the person using the Services provided by Omnilinx under the General Terms and Conditions (“the Customer”).

Omnilinx and the Customer are collectively referred to in this Schedule as the „Parties“ and individually as the „Party„.


INTRODUCTION:

(A) The Customer has appointed Omnilinx to provide services related to the right to use the Software that is developed and maintained by Omnilinx (the „Services„), pursuant to the General Terms and Conditions and Services Agreement included in Omnilinx’s subscription plan. All capitalized terms not defined herein shall have the meanings set forth in the General Terms and Conditions.

(B) This Schedule forms an integral part of the General Terms and Conditions and reflects the agreements between the Parties regarding the processing of Personal Data, including Customer Personal Data, in accordance with the requirements of the Data Protection Legislation.

(C) In the course of providing the Services to the Customer pursuant to the General Terms and Conditions, Omnilinx shall process Personal Data on behalf of the Customer.

(D) The types of Personal Data and categories of Data Subjects processed by Omnilinx when acting as a Processor under this Schedule are further specified in Annex 1 hereto.

DEFINITIONS:

1. Interpretation

1.1 The following definitions and rules of interpretation apply in this Schedule.

“Data Controller“, „Processor“, „Data Subject“, „Processing“, „Processing“ and „Processed“ have the meanings set out in the Data Protection Legislation.

„Data Protection Legislation“ means Regulation (EU) 2016/679 („GDPR„) and any national legislation; as amended or replaced from time to time or, in the absence of such laws, all legislation, regulation and mandatory guidance or binding codes of practice applicable to the Processing of Personal Data under the Agreement.

„European Commission Standard Contractual Clauses“ means an agreement setting out the clauses contained in the standard agreement approved by the European Commission for the transfer of Personal Data outside the EEA pursuant to Commission Implementing Decision (EU) 2021/914 of 4 June 2021 on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council (as amended from time to time).

„Personal Data“ has the meaning set out in the Data Protection Legislation and refers only to Personal Data, or any part of such Personal Data, that is:

(a) provided to Omnilinx by or on behalf of the Customer; and/or

(b) obtained by or created by Omnilinx on behalf of the Customer in the course of providing the Services,

and for which in each case the Customer is the Data Controller and Omnilinx is the Data Processor.

„Regulator“ means a supervisory authority in the relevant jurisdiction with powers under the Data Protection Legislation in respect of all or any part of the Processing of Personal Data under the Annex.

„Security Breach“ means a breach of security resulting in the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of or access to Personal Data transmitted, stored or otherwise Processed.

„Sub-Processor“ means any Processor engaged by Omnilinx that Processes Personal Data on behalf of the Data Controller.

„Technical and Organisational Measures“ means the technical and organisational measures considered by the Parties in accordance with Article 32 of the GDPR.

1.2 The Clauses, the Schedule and the paragraph headings are without prejudice to the interpretation of this Schedule.

1.3 Person includes a natural person, legal entity or unincorporated body (whether or not having separate legal personality).

1.4 The Annexes are a part of this Schedule and shall have effect as if fully incorporated herein. Any reference to this Schedule includes the Annexes.

1.5 The term company shall include any company, corporation or other corporate body, wherever and however formed or constituted.

1.6 Unless the context otherwise requires, words in the singular shall include the plural and the plural shall include the singular, and reference to one grammatical gender shall include reference to the other grammatical genders.

1.7 A reference to writing or written shall include email.

1.8 In the event of any conflict or ambiguity between any of the provisions of this Annex and the provisions of the General Terms and Conditions, the provisions of this Annex shall prevail.

2. PROCESSING OF PERSONAL DATA

2.1 Roles of the Parties

(a) The Parties represent and agree that with respect to the Processing of Personal Data, Customer is the Data Controller, Omnilinx is the Data Processor and that Omnilinx has the right to engage Sub-Processors in accordance with the requirements set forth in Section 4 below.

(b) If, as a result of Omnilinx’s provision of the Services, either Party considers that the relationship between the Parties is no longer consistent with the qualities of the Parties set out in clause 2.1(a) above, it shall notify the other Party and the Parties shall discuss and take such action as may be necessary to determine the qualities, roles and relationship between the Parties.

2.2 Processing of Personal Data by the Customer

(a) Customer’s instructions to Process Personal Data shall comply with the Data Protection Legislation and shall not require Omnilinx to take unlawful Processing Actions in order to comply with such instructions.

(b) Customer shall be solely responsible for the accuracy, quality and legality of the Personal Data.

(c) The Customer, as the Data Controller, shall ensure and secure during the Processing of Personal Data by the Processor the existence of a valid and documented legal basis for the Processing of the Personal Data entered into by the Customer, its employees and/or agents, and any person to whom the Customer has granted access to the Services. The legal basis for processing may be any of the grounds set out in Art. 6(1) of the GDPR.

(d) The Customer represents and warrants that all Personal Data of individuals provided to Omnilinx has been obtained from such individuals and has been provided by the Data Controller to the Processor for Processing in a manner consistent with the requirements of the Data Protection Legislation, including the GDPR, and is truthful in content.

(e) To the extent that Customer, as the Data Controller, determines all aspects of the Processing of Personal Data, the Parties agree that Omnilinx, as the Data Processor, has no control over the Personal Data other than to perform storage activities and obtain access in connection with maintenance of the Software, and therefore the Data Processor shall not be responsible for compliance with the legal requirements of the Data Protection Legislation for any other activities relating to the Personal Data, including no responsibility for the manner in which the Personal Data is collected. The Processor has no role in the decision making process of the Controller to Process Personal Data, what the processing is for and whether it is protected. Accordingly, the Processor’s responsibility in this case is limited to compliance with the General Terms and Conditions, but the Processor has no control over and no responsibility for the Personal Data that the Controller processes.

(f) The Processor shall have the right to refuse to comply with an order of the Controller if, in its opinion, such order breaches the Data Protection Legislation and the Processor shall notify the Controller in a timely manner.

(g) The Customer represents and warrants that:

(i) Omnilinx’s disclosure of Personal Data is limited to what is necessary for Omnilinx to provide the Services to Customer;

(ii) the Personal Data is accurate and current at the time it is provided to Omnilinx, and Customer will promptly notify Omnilinx of any necessary corrections, modifications, deletions or restrictions; and

(iii) possesses and maintains the lawful grounds for Processing, including that it has obtained all necessary consents and made all necessary notifications to enable Omnilinx to lawfully Process the Personal Data for the duration and purposes of providing the Services.

2.3 Processing of Personal Data by Omnilinx

(a) Omnilinx shall Process Personal Data in strict compliance with the requirements of the Data Protection Legislation only for the purposes of performing the General Terms and Conditions and providing the Services to the Customer and in accordance with the Customer’s instructions and to protect the legitimate interests of the Parties in the event of a default.

(b) Omnilinx will process Personal Data on behalf of and in accordance with Customer’s written instructions, in each case to the extent permitted by law, and if Omnilinx is unable to do so, Omnilinx shall promptly notify Customer.

(c) The Customer shall instruct Omnilinx to Process Personal Data for the purposes set out in Annex 1, which may be amended or supplemented from time to time, provided that the Customer’s instructions do not increase or modify the scope of the Services.

(d) The Customer agrees that it will reimburse Omnilinx for any costs incurred or payments made as a result of any claim by a Data Subject arising in connection with Omnilinx’s compliance with Customer’s instructions.

(e) If Omnilinx reasonably believes that the instructions provided by Customer in connection with the Processing are contrary to applicable Data Protection Law, then Omnilinx will notify Customer and may suspend the Processing of Personal Data until such time as Customer provides new written instructions to Omnilinx that do not require it to violate applicable law and Omnilinx will be entitled to:

(i) amend the Services so that they can be performed without requiring the relevant Processing and without materially affecting the overall performance of the Services; and/or

(ii) discontinue providing the relevant portion of the Services that is dependent on the Processing, and Omnilinx shall not be liable for any delay or failure to perform Services that are dependent on such Processing.

(f) Omnilinx warrants to the Customer that the persons within its entity authorized to Process Personal Data have committed to confidentiality by signing a confidentiality document or are required by law to maintain confidentiality.

(g) Omnilinx has the right to disclose Personal Data to Sub-Processors engaged as described in Section 4.

3. RIGHTS OF DATA SUBJECTS

3.1 Correction, Blocking and Erasure

(a) Omnilinx will, to the extent permitted by law, notify Customer upon receipt of a complaint or request (other than Data Subject Requests described in Section 3.2 or Regulator Inquiries described in Section 6) relating to (a) Customer’s obligations under Data Protection Legislation; or (b) the Personal Data being Processed.

(b) Omnilinx will, for the account of the Customer, comply with any commercially reasonable written instructions from the Customer to secure any actions required under section 3.1(a) within agreed timescales and to the extent Omnilinx is legally entitled to do so.

3.2 Requests from Data Subjects

(a) Omnilinx shall, to the extent permitted by law, promptly notify Customer if it receives a request from a Data Subject to access, correct, amend, restrict or erase that person’s Personal Data.

(b) Omnilinx will provide Customer with reasonable assistance and support in connection with the processing of requests from Data Subjects, within the agreed timeframes, to the extent permitted by law, and to the extent Customer does not have access to or the ability to correct, amend, restrict or delete such Personal Data. Customer shall be responsible for all costs arising from Omnilinx’s provision of such assistance.

4. SUB-PROCESSORS

4.1 Appointment of Sub-processor

(a) Customer represents and agrees that Omnilinx has general permission to engage third party Sub-Processors in connection with the provision of the Services. The list of the categories of Sub-Processors that Omnilinx engages for the relevant Services is set out in Annex No. 2 to the Schedule (the „Sub-Processor Categories“).

(b) Where Omnilinx engages a Sub-Processor with whom the same terms cannot reasonably be imposed or negotiated (for example, but not limited to, where the Sub-Processor is operating on fixed terms that are not subject to renegotiation), but such terms are consistent with the obligations for the Sub-Processor under Article 28 of the GDPR, such Sub-Processor’s terms:

(i) will apply to the Processing carried out by the Sub-processor;

(ii) will be deemed to represent the entire set of obligations and responsibilities of Omnilinx with respect to the relevant Processing as if Omnilinx were performing that Processing under those Sub-Processor Terms instead of the Sub-Processor; and

(iii) will be deemed by the Customer to have provided adequate safeguards and adequate protection in relation to the Processing.

5. SECURITY AND BREACH NOTIFICATIONS

5.1 Omnilinx takes Technical and Organizational Measures against accidental or unlawful damage, loss, alteration, unauthorized disclosure or access. The measures shall include: measures to ensure the ongoing protection of the confidentiality, integrity, availability and resilience of Omnilinx’s systems and services; assist in the timely restoration of access to Personal Data following an incident; perform regular performance audits/testing. Omnilinx may update or modify the Technical and Organizational Measures at specified intervals provided that such operations and modifications will not result in a decrease in the overall security and safety of the Services.

5.2 Omnilinx shall take appropriate steps to ensure compliance with the Technical and Organizational Measures by its employees, contractors and Sub-Processors to the extent necessary to perform their jobs, including ensuring that all persons authorized to process Personal Data are bound by confidentiality obligations or have a legal obligation to maintain confidentiality.

5.3 The Customer has assessed the level of security appropriate to the Processing in the context of its obligations under the Data Protection Legislation and agrees that the Technical and Organisational Measures are consistent with the assessment.

5.4 Omnilinx shall, without undue delay, notify Customer upon becoming aware of a Security Breach and provide Customer with information regarding such breach.

5.5 The Parties agree to coordinate in good faith the development of the content of any public statements and any required notices relating to affected Data Subjects and/or the relevant Regulator(s) in connection with a Security Breach. Customer will make all notifications to Regulator(s) in accordance with its obligations under the GDPR.

5.5 Omnilinx will, at Customer’s expense and without unreasonable delay, take all reasonable steps to mitigate the effects of the Security Breach.

6. NOTICES

6.1 Omnilinx will notify Customer in a timely manner of any lawful request it receives for disclosure of Personal Data from a Regulator, law enforcement agency or other governmental authority relating to the Processing of Personal Data, the provision or receipt of the Services, or either party’s obligations under this Schedule, unless prohibited by law or by a Regulator.

6.2 Unless the Regulator requests in writing to engage Omnilinx directly, or the Parties (acting reasonably and taking into account the subject matter of the request) agree that Omnilinx, at the Customer’s expense, will process the Regulator’s request itself, then the Customer: (I) will be liable for all communications or correspondence relating to the Processing of Personal Data and the provision or receipt of the Services; (ii) will inform Omnilinx of such communications or correspondence to the extent permitted by law; and (iii) will fairly represent Omnilinx in all communications or correspondence.

7. RETURN AND ERASURE OF CUSTOMER DATA

Upon termination or expiration of the Services, or upon written request by Customer, Omnilinx (at Customer’s option) shall erase or return all Personal Data, unless necessary to retain it to comply with legal or regulatory obligations. If Customer elects erasure, Personal Data will be deleted within 30 days of termination or expiration of the Services. In other cases, Omnilinx will stop retaining any documents containing Personal Data when it determines that (a) the purpose for which such Personal Data was collected is no longer served by retaining the Personal Data; and (b) retention is no longer necessary for any business purpose or is not required by law. The parties agree that evidence of erasure of Personal Data shall be provided by Omnilinx to Customer only upon Customer’s request. The Customer acknowledges and agrees that Omnilinx shall not be liable for any loss resulting from Omnilinx’s inability to provide the Services as a result of a erasure request made by the Customer pursuant to this clause during the term of the General Terms and Conditions.

8. AUDIT AND COOPERATION

8.1 Omnilinx shall permit the Customer (or a third party appointed by the Customer as auditor) to audit Omnilinx’s compliance with this Schedule and to provide the Customer with any information required by the Customer for such audit, provided that, that the Customer gives Omnilinx reasonable notice of its intention to audit, and that the audit itself will be conducted during business hours and all reasonable steps will be taken to prevent interruption and/or disruption to the operations performed by Omnilinx. Customer will not exercise its audit rights more than once every twelve (12) calendar months unless and when required by a Regulatory Instruction.

9. PERSONAL DATA PROTECTION IMPACT ASSESSMENT

9.1 In the event that Omnilinx considers and determines that the Processing of Personal Data is likely to result in a high risk to the rights and freedoms of Data Subjects, it shall inform the Customer and provide reasonable cooperation to the Customer in connection with any data protection impact assessment that may be required under the Data Protection Legislation.

9.2 Notwithstanding the foregoing, Omnilinx shall, at the Customer’s expense, provide the Customer with such assistance and information as may be reasonably necessary to enable the Customer to comply with any obligation to carry out a Data Protection Impact Assessment or to consult a Regulator under the Data Protection Legislation.

10. TRANSFER OF DATA OUTSIDE THE EEA

10.1 Omnilinx will not process, store or disclose Personal Data outside the European Economic Area („EEA„) without prior written permission from the Customer. Omnilinx will be deemed to have permission to transfer Data to a Sub-Processor outside the EEA, provided that there is a European Commission decision on the adequate level of data protection or other valid legal mechanism for the transfer (including European Commission Standard Contractual Clauses), should it be necessary for the provision of the Services.

10.2 Where a transfer takes place outside the EEA, if the applicable delivery mechanism ceases to be valid, Omnilinx may, at its option:

(a) implement or procure that the Sub-Processor implements an appropriate alternative data transfer mechanism;

(b) modify the Services so that they may be performed without requiring the relevant transmission, without materially detracting from the overall performance of the Services; or

(c) discontinue providing the relevant portion of the Services that is dependent on the transmission,

and Omnilinx will not be liable for any delay or failure to provide Services dependent on such Processing, except to the extent that it is responsible for the failure to implement the Non-EEA Transmission Mechanism.

10.3 If Personal Data transferred between Customer and Omnilinx requires the application of the European Commission Standard Contractual Clauses to ensure compliance with the Data Protection Legislation, the Parties undertake to complete all necessary details in the European Commission Standard Contractual Clauses and to perform any other actions necessary for the validity of the transfer. The Customer shall authorize Omnilinx to enter into European Commission Standard Contractual Clauses with Sub-Processors on Customer’s behalf and for Customer’s account where necessary to justify an authorized transfer of or access to Personal Data outside the EEA.

11. LIABILITY AND INDEMNIFICATION

11.1 The parties agree that the provisions of this Schedule shall not be subject to any limitations and/or exclusions of liability and other terms and conditions set forth in the General Terms and Conditions and applicable to the Services.

11.2 Nothing in this Schedule shall exclude or in any way limit the liability of any Party for fraud or for death or personal injury caused by its negligence or other liability to the extent that such liability cannot be excluded or limited by law.

11.3 Subject to section 11.2, neither Party shall be liable under this Schedule for any loss of actual or anticipated income or profit, loss of contracts or for any indirect, consequential or indirect loss or damage of any kind arising out of and caused by tort (including negligence), breach of contract or otherwise, whether such loss or damage is foreseeable, foreseen or known. Omnilinx’s liability with respect to any breach of this Application shall be the direct losses incurred by the Customer, but in no event more than the total fees for the Services used actually paid by the Customer.

11.4 Subject to section 11.3. Omnilinx shall indemnify the Customer against all damages, liabilities, claims, demands, actions, penalties, fines, costs and expenses (including reasonable legal and other professional expenses) and sanctions that Customer may incur as a result of any claim, action, proceeding or proceeding by a Regulator against Customer directly arising out of Omnilinx’s breach of this Application, except:

(a) where Omnilinx has acted in accordance with the Customer’s instructions, this Schedule, the Data Protection Legislation or other applicable laws; and

(b) where the Customer or any third party acting on the Customer’s behalf has breached this Schedule or applicable Data Protection Legislation.

11.5 In the event that a Data Subject suffers damages from Personal Data unlawfully provided by the Customer, collected by the Customer without a legal basis or for other reasons at the Customer’s sole discretion for which Omnilinx’s Processing of Personal Data may be considered a violation of the Data Subject’s rights, and Omnilinx compensates the Data Subject for the damages suffered, then the Customer shall owe Omnilinx a penalty equal to the full amount paid by Omnilinx to the Data Subject.

11.6 In the event that Omnilinx is subject to a fine or other sanction by a competent governmental authority relating to unlawful Processing of Personal Data done by Omnilinx as a result of unlawful provision of Personal Data by the Customer, collected by the Customer without lawful basis or for other reasons at the Customer, then the Customer shall owe Omnilinx a penalty in the amount of the value of the entire penalty imposed and paid by Omnilinx and/or in the amount of the value of the damage suffered by Omnilinx as a result of the other penalty.

11.7 In order to claim the damages set forth in this Schedule, the party making the claim shal:

(a) notify the other party in writing of its claim, the proceeding, the proceedings or the Regulator’s action as soon as reasonably practicable;

(b) assume no liability in connection with the Regulator’s claim, suit, proceeding or action without the prior written consent of the other party;

(c) permit the other party to conduct the defense of the Regulator’s claim, suit, proceeding or action; and

(d) at the other party’s expense, reasonably assist and assist in the defense of the Regulator’s claim, action, proceeding or action.

12. GENERAL PROVISIONS

12.1 This Schedule, together with the General Terms and Conditions to which it is an integral part, constitutes the entire agreement regarding the Processing of Personal Data between the Parties.

12.2 This Schedule and any dispute or claim arising out of or in connection with it or its subject matter or conclusion (including non-contractual disputes or claims) shall be governed by and construed in accordance with the laws of the Republic of Bulgaria.

12.3 Each Party irrevocably agrees that the courts of the Republic of Bulgaria shall have jurisdiction to settle any dispute or claim arising out of or in connection with this Annex or its subject matter or conclusion (including non-contractual disputes or claims).

12.4 In the event of any inconsistency or conflict between the provisions of the General Terms and Conditions and the provisions of this Annex, the latter shall prevail.


ANNEX No. 1 – Description of Processing of Personal Data

1. Subject matter

The provision of Services in accordance with the General Terms and Conditions and/or the Agreement entered into between Omnilinx and the Customer, including:

The right to use the Software, which is developed and maintained by Omnilinx, through an internet platform owned by Omnilinx.

2. Nature

In using the Services, the Customer shal grant Omnilinx the right to collect, record, store, organize, structure, adapt, process, use, disclose Personal Data obtained from the Customer.

3. Objectives

– Provision of services.

– Provision of communications products and services to business customers via a cloud-based communications platform, including the transmission of communications from or to Customer’s software application (API) or through Omnilinx’s web-based interface;

– Storing Customer Data on the Omnilinx platform on behalf of the Customer;

– Reporting, analysis and processing of queries, data and activities performed.

4. Categories of Data Subjects

Customers, contractors, employees of the Customer (hereinafter referred to as „End Users“).

In each individual case and depending on the product/functionality used, the specific categories of Data Subjects shall be determined solely by the Customer.

5. Categories of Personal Data

In each case and depending on the product/functionality used, the exact categories of Personal Data shall be determined solely by Customer, including but not limited to:

– Customer’s communication content (text messages, voice, video and audio, documents, images) and related communication logs;

– Reports and analytics (to the extent they contain Personal Data);

– Customer databases stored on the Omnilinx Platform containing personal data of Customer End Users, including but not limited to names, contact details and any other information identified, entered into the Platform and controlled solely by Customer or collected on Customer’s behalf in the provision of the Services by Omnilinx;

– Social Media Data (End Users’ social media IDs, username, photos, video and audio, comment IDs, post IDs, content and posting times of comments/posts, social media page IDs);

– Communication and chat information (e.g., URL from which chat was initiated by End User, IP address, End User session location, browser/mobile device system information, time period).

6. Sensitive information

Omnilinx may not intentionally collect or process special categories of Personal Data unless Customer or its End Users include such types of Personal Data in the content provided to Omnilinx and/or while using the Omnilinx Services.


ANNEX No. 2 – Sub-Processors Categories

Category

State in which the processing is carried out

Providers of services related to data transmission, internet connectivity, and voice services

Bulgaria

Providers of telecommunication equipment colocation services

Bulgaria

Providers performing technical support

Bulgaria

Amazon Simple Storage Service (Amazon S3) providers

Germany

Providers of services related to the sending and receiving of messages via communication channels owned by Meta Companies (e.g., Facebook Messenger, WhatsApp)

Subject to Meta Privacy Policy; WhatsApp Privacy Policy

Providers of services related to the development, update, and maintenance of the “Generative AI Chatbot” service

Google’s European data centers

Providers of technological services and infrastructure related to the development, configuration, training, update, and maintenance of AI-based functionalities, including but not limited to: automated speech recognition and synthesis, natural language processing (NLP), automated transcription, summarization, and conversation analysis

European Union