Правни документи

Споразумение за обработка на данни

В сила от: юли 2026 г.

Настоящото Споразумение за обработка на данни („DPA“) е част от Общите условия между RoasProof („Обработващия“) и Клиента („Администратора“) и урежда обработването на лични данни от RoasProof от името на Клиента в съответствие с член 28 от GDPR.

1. Роли и обхват

Клиентът е администратор на личните данни на крайните потребители, събирани на неговите дигитални активи. RoasProof действа като обработващ и обработва тези данни само по документираните указания на Клиента, изразени чрез конфигурацията на Услугата (свързани платформи, активирани полета, настройки за съхранение) и тези Условия.

2. Предмет, естество и цел

  • Предмет: данни за проследяване на конверсии, събирани на активите на Клиента.
  • Естество на обработването: събиране, съхранение, съпоставяне на кликове с потребители и поръчки, нормализация и SHA-256 хеширане на идентификатори, предаване на конверсионни събития към рекламни платформи, посочени от Клиента, дедупликация и изтриване.
  • Цел: да позволи на Клиента да измерва и оптимизира рекламата си.
  • Продължителност: срокът на абонамента на Клиента плюс периода за изтриване по раздел 10.

3. Категории данни и субекти на данни

  • Субекти на данни: посетители, лийдове и клиенти на дигиталните активи на Клиента.
  • Категории лични данни: онлайн идентификатори (click ID-та като fbclid, gclid, ttclid; first-party идентификатори на посетители; стойности на бисквитки като _fbp/_fbc), IP адрес, user agent, данни за контакт (имейл, телефон, име, адрес) и техните хеширани производни, както и данни за транзакции (номер на поръчка, стойност, валута, артикули).
  • Специални категории: няма; Клиентът се задължава да не подава специални категории данни към Услугата.

4. Задължения на Обработващия

  • Обработва лични данни само по документирани указания на Клиента, включително по отношение на международните трансфери.
  • Гарантира, че лицата, оправомощени да обработват данните, са обвързани със задължения за поверителност.
  • Прилага техническите и организационните мерки по раздел 6.
  • Подпомага Клиента, отчитайки естеството на обработването, при искания на субекти на данни и при задълженията по членове 32-36 от GDPR.
  • Предоставя информацията, необходима за доказване на съответствие, и допуска одити съгласно раздел 9.
  • Информира Клиента, ако по наше мнение дадено указание нарушава законодателството за защита на данните.

5. Подобработващи

Клиентът дава общо разрешение за следните подобработващи. Ще уведомяваме клиентите поне 30 дни преди добавяне или замяна на подобработващ; Клиентът може да възрази на разумни основания, свързани със защитата на данните.

ПодобработващЦелЛокация
Meta Platforms Ireland Ltd.Доставка на конверсионни събития през Meta Conversions API по указание на КлиентаЕС / САЩ
Google Ireland Ltd.Доставка на конверсионни данни към Google Ads по указание на КлиентаЕС / САЩ
TikTok Technology Ltd.Доставка на конверсионни събития през TikTok Events API по указание на КлиентаЕС / САЩ
Доставчик на облачен хостинг Инфраструктура, съхранение и опашки от събитияЕС
Инструменти за имейл / поддръжка Транзакционни имейли и клиентска поддръжкаЕС / САЩ

Рекламните платформи получават данни само за собствените акаунти на Клиента и действат като независими или съвместни администратори по собствените си условия, след като събитията бъдат доставени; Клиентът отговаря за приемането на съответните условия за данни на платформите.

6. Мерки за сигурност

  • Криптиране на данните при пренос (TLS) и в покой.
  • Нормализация и SHA-256 хеширане на преките идентификатори преди предаване към рекламните платформи.
  • Ролеви контрол на достъпа, достъп до продукционните системи на принципа на минималните права и многофакторна автентикация за персонала.
  • Логическо разделяне на клиентските данни по workspace.
  • Одитни логове на административния достъп.
  • Резервни копия, процедури за възстановяване след срив и редовно тестване на възстановяването.
  • Управление на уязвимостите и обновяване на зависимостите.

7. Международни трансфери

Когато обработването включва трансфер на лични данни извън ЕС/ЕИП без решение за адекватност, страните се позовават на стандартните договорни клаузи на Европейската комисия (Модул две: администратор към обработващ, и Модул три: обработващ към обработващ, според приложимото), които се включват в това DPA чрез препратка. Трансферите към рекламните платформи се уреждат допълнително от механизмите за трансфер в условията на платформите, приети от Клиента.

8. Нарушения на сигурността на личните данни

Ще уведомим Клиента без ненужно забавяне, след като узнаем за нарушение на сигурността на личните данни, засягащо Клиентски данни, и ще предоставим информацията, разумно необходима на Клиента, за да изпълни собствените си задължения за уведомяване.

9. Одити

При разумно предизвестие и не повече от веднъж годишно (освен ако надзорен орган не изисква друго) ще предоставяме документация и, когато документацията е недостатъчна, ще допускаме одити от Клиента или от упълномощен одитор, при спазване на поверителност и за сметка на Клиента.

10. Връщане и изтриване

При прекратяване на абонамента ще изтрием Клиентските данни в срок от 30 дни, освен ако съхранението им не се изисква по закон. По време на абонамента Клиентът може да конфигурира периоди на съхранение и да изтрива данните на отделни субекти на данни през Услугата или чрез заявка.

11. Отговорност и приоритет

Отговорността по това DPA се подчинява на ограниченията в Общите условия. При противоречие между това DPA и Условията относно обработването на лични данни предимство има това DPA.

12. Контакт

Запитвания относно защитата на данните: [email protected].