1.1. Настоящите ОУ уреждат условията за предоставяне на SSU Услуги от ЛИНК на Клиента.
1.2. ОУ закрепват принципите и техническите условия за сключване на Договор, чийто предмет е достъпът на Клиента до и ползването на електронните съобщителни услуги, под наименованието “SMSAPI България”, обичайно достъпни през интернет страницата на домейна www.smsapi.bg (“Интернет страницата”).
1.3. Под “Договор” се има предвид посоченото в Раздел 3.2. от настоящите ОУ.
1.4. Клиентът се задължава да се запознае и спазва условията на настоящите ОУ и приложенията, представляващи неделима част от тях. Потвърждаването и приемането от страна Клиента на горепосоченото се заявява посредством подаване (маркиране/отбелязване в активни полета, т.нар. „check box“) на декларация при регистрацията на Клиентския Профил в SMSAPI България.
1.5. За нуждите на настоящите ОУ и предоставянето на SSU Услугите, се определят следните дефиниции:
“Профил” и/или “Акаунт“ означава профилът на Клиента, създаден в системата на SSU Услугите, който съдържа идентификационни данни, предоставени от Клиента. Акаунтът има уникално потребителско име и парола.
“Законодателство за телекомуникациите” означава Директивите 2002/19/EО (Директива за достъпа), 2002/20/EО (Директива за разрешение), 2002/21/EО (Рамкова директива) и 2002/22/EО (Директива за универсалната услуга), отчитайки и заменящите/изменящи ги, а именно 2009/140 и 2018/1972 (Европейски кодекс за електронни съобщения - EECC), относимите национални нормативни актове (вкл. Закона за електронните съобщения), както и всяко друго относимо Съюзно или национално законодателство в областта на телекомуникациите.
“Законодателство за защита на личните данни” означава Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. за защита на физическите лица при обработването на лични данни и за свободното движение на данни (Общ регламент относно защитата на данните - "GDPR" или “ОРЗД”), Директива 2002/58/ЕО за правото на неприкосновеност на личния живот и електронни комуникации (“Директивата ePrivacy”) и относимите национални нормативни актове, приложими към обработването на лични данни в страната по седалище на Администратора или ЛИНК (вкл. Закона за защита на личните данни), отчитайки техните изменения, допълнения или отмени, включително и прилагащите или заместващи ОРЗД и Директивата ePrivacy актове.
Дефинициите на посочените в чл. 4 от ОРЗД термини се прилагат съгласно разпоредбите на ОРЗД.“SMSAPI България” означава автоматизирана система за изпращане и/или получаване на Съобщения от Клиента до/от Крайни потребители, определени от Клиента, която се предоставя под формата на електронна съобщителна услуга, обичайно посредством Интернет страницата.
“Краен потребител” означава всеки абонат на която и да е мобилна услуга в мрежа на Оператор, към която мрежа ЛИНК е свързан по какъвто и да е начин.
“Телеинформационна/и система/и” означава набор от компютърни устройства, взаимодействащи помежду си, и софтуер, който прави възможни обработката и съхранението, както и изпращането/получаването, на данни чрез електронните съобщителни мрежи съгласно Законодателството за телекомуникациите и практиката в телекомуникационния сектор.
“SSU Услуги” и/или “Услугите” означава услугата SMSAPI България, предоставяна на Клиента от ЛИНК като предплатена услуга съгласно настоящите ОУ.
“Предоставяне на SSU Услуги”, в частност SSU Услугите SMSAPI България, означава предоставянето на автоматизирани услуги без едновременно присъствие на двете страни (от разстояние), чрез прехвърляне (предаване) на данни по заявка на Клиента, изпратени/получени чрез Телеинформационни системи и мрежите на Операторите, включително цифрово компресиране и съхранение на данните.
“Клиент” означава физическо или юридическо лице, което има качеството търговец по смисъла на Търговския закон, използващо SSU Услугите, предоставяни от ЛИНК, за собствени търговски цели и притежаващо активен Акаунт в платформата на SMSAPI България. SSU Услугите не се предоставят на лица, имащи качеството потребител съгласно дефиницията на Закона за защита на потребителите.
“Конфиденциална информация” означава съдържанието на Договора, всяка информация в устна или писмена форма, разкрита от която и да е от страните преди и/или след извършване на съответни действия по изпълнение на Договора, свързана с комуникация между страните относно предоставянето на услуги или детайлна информация, касаеща търговската дейност на която и да е от страните (независимо дали е маркирана като конфиденциална или е идентифицирана като конфиденциална по някакъв друг начин) включително, но не само, кодове за достъп до среда/мрежа, търговски тайни, процеси, техники, софтуер (включително изходни кодове (на англ. „source code“) и обектни кодове (на англ. „object code“)), компютърни записи, техническа (хардуерна) конфигурация, проекти, планове, разработки, изобретения, чертежи, информация за продукти, бизнес и маркетингови планове и прогнози, разпоредби на споразумения или договорености с трети страни, клиенти и списъци с клиенти. За избягване на всякакво съмнение, личните данни се уреждат от Приложението за обработване на лични данни и не попадат в обхвата на Конфиденциалната информация, както е определено в настоящите ОУ.
“Потребител” означава лице, упълномощено от Клиента да получи достъп и да използва Услугите от името на Клиента.
“Технически изисквания” означава комплектът от спецификации / технически изисквания относно Телеинформационните системи на ЛИНК, необходими за настройването и правилно използване и съответно Предоставяне на SSU Услугите. Техническите изисквания представляват приложение към настоящите ОУ и са достъпни на адрес www.smsapi.bg/docs.
“Съобщение” означава съобщение, съдържащо цифри, текст, аудио, видео и/или друго медийно съдържание, доколкото е приложимо, съставено от Клиент и/или Краен потребител и инициирано за изпращане чрез SMSAPI България до Краен потребител или (при съставяне от Краен потребител през мобилното му устройство) предадено чрез мрежите на Операторите към SMSAPI България. За избягване всяко съмнение, дефиницията за Съобщение включва в себе си определените по-долу SMS Съобщения и/или OTT Съобщения, доколкото е относимо.
“Съдържание” значава текстово съобщение или всяко двоично (на англ. „binary“) съобщение, както и всеки изпълним машинен код или всяко мултимедийно съобщение, съдържащо текст, аудио или видео съдържание, цифри, символи, анимация, графики, снимки и други материали в цифрова електронна форма, предоставени от Клиента, съдържащи се в Съобщение, изпратено от Клиента чрез използване на Услугите, както и всяко съдържание, което Клиентът предостави на ЛИНК.
“Оператор” означава всеки телекомуникационен оператор, комуникационен посредник (агрегатор), доставчик на интернет услуги (ISP) или Доставчик на приложение за OTT Съобщения, свързан чрез SMSAPI България.
“Наименование на подателя” и/или “Подател” означава идентификатор (ако е приложимо) на Клиента като подател на Съобщенията в началото на Съдържанието на Съобщението (напр. наименование на фирма / марка), представляващ комбинация от букви и/или цифри. Наименованието на подателя може да бъде с дължина до 11 знака. Допустимите символи са: a-z A-Z 0-9. & @ - + _! % [интервал] *, (валиден телефонен номер не се приема). Всяко добавено Наименование на подател може да бъде проверено от отдела за поддръжка на клиенти на ЛИНК, като може да бъде изискано от Клиента да предостави допълнително изявление в случай на използване на наименование на фирма / марка, търговски марки и т.н.
“Символи на кирилица и/или специални символи” означават символи, които не присъстват сред посочените по-долу:
@ £ $ ¥ € è é ù ì ò Ç Ø ø Å å _ ^ {} \ [ ~ ] | Æ æ ß É ! " # ¤ % & ' ( ) * + , - . / : ; < = > ? 0 1 2 3 4 5 6 7 8 9 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z a b c d e f g h i j k l m n o p q r s t u v w x y z Ä Ö Ñ Ü § ¿ ä ö ñ ü à o “интервал” (или “space”) и “enter”.“SMS Съобщение” означава текстово съобщение или всяко двоично (на англ. „binary“) съобщение съгласно техническите изисквания по GSM 03.38. ЛИНК прилага общоприложимите (като търговски обичай) универсални стандарти за GSM мрежи и, в частност, използва 7-битовата азбука – GSM 03.38, или 3GPP TS 23.038 (originally GSM recommendation 03.38), както и 16-битовата азбука – UCS-2, или Universal Coded Character Set, дефинирана в стандарта ISO/IEC 10646, съдържащ стандарта "Unicode". При спор за приложението на една от двете горепосочени азбуки, за нуждите на изчисляване на броя на SMS Съобщенията ще се ползва 16-битовата азбука – UCS-2.
За нуждите на изчисляване на броя на SMS Съобщенията и тяхната максимална дължима (единични (самостоятелни) и свързани SMS Съобщения), се прилагат следните условия:
Максимална дължина на единично (самостоятелно) SMS Съобщение:
* Символите ^ {} [ ] ~ \ | € както и “интервал” (или “space”) се отчитат като два отделни символа.
Максимална дължина на свързано SMS Съобщение:
* Символите ^ {} [ ] ~ \ | € както и “интервал” (или “space”) се отчитат като два отделни символа.
Изчисляване на броя на SMS Съобщенията:
Когато Съдържанието на дадено SMS Съобщение включва повече символи от максималната дължина на единично (самостоятелно) SMS съобщение, съгласно описаното по-горе, броят на всички SMS съобщения се изчислява като брой свързани SMS съобщения, както следва:
* Символите ^ {} [ ] ~ \ | € както и “интервал” (или “space”) се отчитат като два отделни символа.
“Изпращане на ОТТ Съобщения” или “OTT Услуги” (доколкото се предлага от ЛИНК) означава изпращане на OTT (т.нар. „over- the-top“) Съобщение (напр. Viber Съобщение), при което Съобщението се изпраща чрез интернет от трето лице (Доставчик на приложение за ОТТ Съобщения) до устройството на адресата (Крайния потребител). Особените правила, приложими към OTT Услугите (доколкото такива се предлагат на Интернет страницата), се съдържат в Раздел 15.2. по-долу.
2.1. Настоящите Общи Условия уреждат предоставянето на автоматизирани (Self Sign-Up) услуги и в частност достъпа до и използването на услугата SMSAPI България чрез Интернет страницата.
2.2. Достъпът съгласно раздел 2.1 по-горе се предоставя чрез Акаунт, създаден за Клиента (опериращ го чрез своите Потребители).
2.3. Клиентът няма право да предоставя на трети лица данните за достъп до Акаунта под формата на потребителско име и парола, освен ако не е изрично уговорено. Клиентът следва да гарантира и осигури, че цялата информация за Акаунта, вкл. пароли, друга информация за достъп, както и и цялата дейност във връзка с използването на Услугите, ще бъдат третирани като Конфиденциална информация. Ако данните за Акаунта бъдат предоставени на трети лица или Клиентът узнае за нещо, което може да застраши сигурността и интегритета на Услугите, той трябва незабавно да промени данните на Акаунта и да уведоми ЛИНК.
2.4. Доколкото друго не е уговорено, Клиентът трябва да използва активно Акаунта си поне за период от 6 (шест) последователни месеца. В случай че Клиентът няма активност през последните поне 6 (шест) последователни месеца, ЛИНК има право да премахне Акаунта или да преустанови ползването му без предварително известие до Клиента.
2.5. Клиентът няма право да прехвърля собствеността върху Акаунта или част от него на или да споделя използването му с трети лица, без изричното предварително съгласие на ЛИНК.
3.1. За да бъде предоставен достъп и да се използва услугата SMSAPI България трябва да е налице Договор между страните.
3.2. Договорът се сключва посредством регистрация на Клиентския Акаунт в системата и последващото му одобрение от страна на ЛИНК. Във всеки момент преди да одобри Акаунта, ЛИНК има право да спре/откаже сключването на Договора. За целите на проверка и одобрение на Акаунта и/или контрола при използване на Услугите, Клиентът предоставя всякаква и цялата информация (включително документи - както официални (публични), така и частни), поискани от ЛИНК и свързани с идентификацията на Клиента, неговите законни представители, Потребители, служители, изпълнители и трети страни (когато е приложимо) и други, тяхното правно и/или финансово състояние, доказателство за състоянието им (актуално състояние на търговец, удостоверение за регистрация, образец на подпис и др.), банкови сметки, кредитни досиета и/или друга поискана от ЛИНК информация по негова преценка. За по-нататъшна проверка, ЛИНК може, без да е длъжен, също така да изиска от Клиента, по всяко време Клиентът да подпише и изпрати до адреса на управление на ЛИНК физическо (хартиено) и/или дигитално копие на тези ОУ. В случай че Клиентът изисква от ЛИНК да подпише дигитално копие на тези ОУ, Клиентът следва да използва една от следните опции за подписване:
квалифициран електронен подпис (КЕП), по смисъла на чл. 13, ал. 3 от Закона за електронния документ и електронните удостоверителни услуги и чл. 3, т. 12 of Регламент (ЕС) № 910/2014 на Европейския парламент и Съвета от 23 юли 2014; или
електронен подпис DocuSign eSignature, достъпен през онлайн платформа за електронно подписване на документи DocuSign (вж. https://www.docusign.com/products/electronic-signature). Страните се съгласяват, че във връзка със сключването и прилагането на Договора и всички допълнителни споразумения към него електронните подписи, поставени чрез DocuSign, ще имат еквивалентно правно действие на саморъчни подписи в съответствие с чл. 13, ал. 4 от Закона за електронния документ и електронните удостоверителни услуги.
За избягване на всякакво съмнение, одобрението на Акаунта на Клиента зависи изцяло от преценката и корпоративните политики на ЛИНК. ЛИНК няма задължение да предоставя становище относно причините, поради които даден Акаунт не е одобрен.
3.3. При регистрация на Акаунта, Клиентът предоставя данни за контакт. ЛИНК може да изпраща на посочените при регистрацията от Клиента адрес, имейл и телефонен номер, цялата информация (вкл. уведомления и предизвестия), свързани с Договора и с неговото изпълнение, както и с функционирането на Услугите. Докато на ЛИНК не бъдат предоставени нови данни за контакт по надлежен начин, данните от регистрацията ще се считат за валидни данни за контакт / връчване / уведомления и обмен на информация с Клиента.
4.1. ЛИНК има право на възнаграждение (цена) за предоставените SSU Услуги.
4.2. За да заплати цената за Услугите, Клиентът закупува Точки (самостоятелно или под формата на пакет от Точки („Пакет/а“) като част от функционалностите на SMSAPI България. Точките представляват специфично предплатено дигитално съдържание, създадено единствено за целите на предоставяне на Услугите в SMSAPI България. В рамките на услугата SMSAPI България, една точка има номинална стойност от 1 лв. (един лев) без ДДС. Стойността може да бъде използвана единствено за функционалностите на автоматизираните SSU Услуги, а именно получаване и изпращане на Съобщения.
За избягване на всякакво съмнение, Точките не представляват електронни пари по смисъла на чл. 1 от Директива 2009/110/EC на Европейския парламент и Съвета от 16 септември 2009 година относно предприемането, упражняването и пруденциалния надзор на дейността на институциите за електронни пари.
Клиентът заплаща за Точките единична цена от 1 лев без ДДС (1 лев = 1 точка). В момента на покупка на Точките/Пакета от лице - местно на Република България за данъчни цели, ще бъде начислен ДДС и цената за покупката ще бъде съответно увеличена с 20 %, за да се компенсира налагането на ДДС (Пример: Един пакет от 100 Точки се предлага за цена от 100 лева, като в момента на покупката му от Клиента – местно лице на Република България за данъчни цели, съответният Клиент трябва да заплати за него 120 лева).
Точките се конвертират автоматично при иницииране от страна на Клиента на изпращане на Съобщения чрез SSU Услугите и/или при използване на допълнителни услуги, доколкото е приложимо и са налични в SMSAPI България. Тарифата за конвертиране се основава на приложимата ценова листа на ЛИНК, като се посочват броя точки (или номиналната стойност в лева), необходими за иницииране на изпращане / използване на допълнителни услуги, доколкото е приложимо.
Точките не могат да бъдат използвани по никакъв друг начин. Точките не подлежат нито на замяна, нито на връщане. Възможно е да имат срок на валидност, който зависи от съответно закупения Пакет / отделни Точки.
4.3. Тарифата на конвертиране на Точки съгласно чл. 4.2 по-горе зависи от вида на Съобщенията и Оператора, в чиято мрежа се пренасочва. Детайлна информация за приложимата тарифа за конвертиране е публикувана на Интернет страницата. Клиентът е длъжен да провери актуалната приложима тарифа преди да инициира процес на изпращане на Съобщения.
4.4. ЛИНК има право да променя тарифата на конвертиране на Точки по всяко време и без предизвестие. Приложимата тарифа ще бъде отразена в Акаунта в секция с ценова листа или по друг начин, позволяващ лесен достъп до информацията, без ЛИНК да се задължава да информира Клиента по какъвто и да е друг начин. За да влязат гореспоменатите промени в сила и да се прилагат не се изисква одобрение от Клиента.
4.5. Ако Клиентът използва услугите за изпращане на Съобщение със Съдържание, попадащо в категорията Забранено съдържание съгласно Приложението – Забранено съдържание по-долу, тарифата за конвертиране на Точки ще бъде приложена в двоен размер или Клиентът ще бъде таксуван допълнително в такъв размер, като в този случай Клиентът се задължава да заплати допълнителната цена незабавно след като ЛИНК го уведоми за това.
4.6. Клиентът заплаща Точките по един от следните начини на предплащане (доколкото и ако са приложими и налични на SMSAPI България):
Условия за предплащане чрез банков превод. Ако Клиентът избере да плати чрез банкова карта, тогава той е отговорен да гарантира, че банковата сметка, свързана с банковата карта, има достатъчно положително салдо, за да покрие всички наредени плащания. Клиентът не може да използва банкови карти, които не са собственост и не са отворени на името на Клиента или неговия законен представител. Освен това всяка предплатена, виртуална, карта за еднократна употреба или друга подобна карта не се счита за валиден метод / инструмент за плащане. Ако по някаква причина Клиентът има отрицателно салдо по сметката си, банковата карта откаже таксуване или Клиентът използва предплатена, виртуална, такава за еднократна употреба или друга подобна карта, ЛИНК си запазва правото да спре / откаже предоставяне на Услугите. Плащанията чрез банкова карта се обработват от външен доставчик на платежни услуги чрез интеграция на виртуален ПОС терминал с SMSAPI България или еквивалентна технология за онлайн плащане. Закупуването и последващото активиране / конвертиране на закупените Точки / Пакети зависят от получаването и потвърждението от страна на ЛИНК на цялата предплатена сума според приложимата ценова листа. Закупуването се потвърждава с фактура, изпратена на имейл адреса на клиента, предоставен в данните за Акаунта към момента на издаване на фактурата.
Условия за предплащане чрез банков превод. Ако Клиентът реши да плати по банков път (превод на сума от банковата му сметка до банковата сметка на ЛИНК), Клиентът предоставя доказателство за: а) плащане (документ за платежно нареждане); б) притежанието на банковата сметка (банковата сметка трябва да бъде открита на името на Клиента). Преди да извърши плащане чрез банков превод, Клиентът трябва да информира отдела за поддръжка на клиенти на ЛИНК и да бъде одобрен от ЛИНК за използване на този метод на предплащане. Закупуването и последващото активиране / конвертиране на закупените Точки / Пакети зависят от получаването и потвърждението от страна на ЛИНК на цялата предплатена сума съгласно приложимата ценова листа. Закупуването се потвърждава с фактура, изпратена на имейл адреса на клиента, предоставен в данните за Акаунта по време на издаването на фактурата.
При плащания чрез банкова карта или банков превод, ЛИНК не носи отговорност за възможните разходи, свързани с такси, комисиони или други допълнителни плащания, направени от Клиента или неговата банка във връзка със самата транзакция, както и в случай на обмяна на валута, приложена от банката, издала картата или при която е отворена сметката, когато валутата е различна от български лева.
ЛИНК получава съответните парични суми за плащанията след обработката им от съответния доставчик на платежни услуги и не носи отговорност за неговите действия и/или бездействия.
4.7. Цените подлежат на допълнителна годишна корекция, еквивалентна на увеличението на индекса за разходите на работодателите за труд. Не е необходимо уведомление, за да влезе в сила такава корекция.
5.1. Договорът се сключва за неопределен срок.
5.2. Всяка от страните може да прекрати договора с двуседмично предизвестие. Преди изтичането на предизвестието, Клиентът следва да изразходи Точките, които притежава. ЛИНК не дължи връщане на стойността на Точките, които не са изразходвани от Клиента преди изтичане на срока на предизвестието, нито пък плащането, направено за закупуването им.
5.3. ЛИНК може да прекрати Договора без предизвестие в следните случаи:
5.3.1. ако, по преценка на ЛИНК, да продължи да предоставя Услугите не е търговски оправдано (включително и в случай на увеличение на цените от страна на Оператор спрямо ЛИНК) или в случай на обективна невъзможност за ЛИНК да предоставя Услугите;
5.3.2. в случай на установено неизпълнение от страна на Клиента на настоящите ОУ или нарушение на приложимото законодателство;
5.3.3. Ако има подозрение, че Клиентът е предоставил невярна или подвеждаща информация за самоличността/идентификацията на Клиента, неговите законни представители, Потребители, служители, подизпълнители (когато е приложимо) и други, техният правен и/или финансов статус, състояние (търговско актуално състояние, удостоверение за регистрация, образец от подписа и т.н.), банкови сметки, кредитни досиета и/или друга информация, предоставена на ЛИНК (включително и информация на Акаунта);
5.3.4. Ако по отношение на Клиента бъде обявена несъстоятелност или Клиентът е неплатежоспособен или по отношение на него бъде започнато производство по ликвидация (доброволна или принудителна);
5.3.5. Ако акаунтът на Клиента е неактивен в продължение на 6 (шест) последователни месеца;
При прекратяване на договора съгласно чл.5.3. Клиентът ще загуби всички неизразходвани Точки, без да има право да иска възстановяване на стойността им.
6.1. иентът приема и се съгласява, че използването на Услугите подлежи на следните изисквания:
Клиентът приема и се съгласява, че, независимо от отношенията между Клиента и трети лица, за единствен изпращач на Съобщенията, изходящи от Акаунта на Клиента, ще се счита Клиентът;
Клиентът следва да осигури, че преди да се изпращат Съобщения или да се качва Съдържание, всички необходими права, авторизации, лицензи, съгласия и разрешения са получени или предоставени в съответствие с приложимото законодателство.
Клиентът следва да използва Услугите в съответствие с приложимите политики на Операторите, всякакви инструкции за използване и други политики и напътствия, предоставени от ЛИНК, и да изпраща Съобщения единствено след одобрение на темплейта на Съдържание на Съобщенията съгласно политиката или инструкцията на ЛИНК.
Клиентът следва да осигури, че Потребителите спазват настоящия Договор. Във всеки случай, Клиентът е изцяло отговорен за всички действия и бездействия на Потребителите.
Клиентът следва да поддържа пълна и точна отчетност, която позволява правилна преценка на използването на Услугите и съответствието им с Договора.
6.2. Клиентът се задължава да не използва Услугите за злоупотреба, включително, но не само:
Посочване на невярно или подвеждащо обозначаване на изпращача/Подателя;
да не изпраща Съобщениe/я до Крайни потребители без законово основание съгласно приложимото законодателство и/или което/които не съответстват на законовите изисквания;
да не позволява Услугите да се използват за комуникация чрез нерегламентирани канали (като P2P, “grey routes”) и/или да не изпраща Съобщение/я, които не са предназначени за неговите собствени търговски цели;
да не изпраща повече от 20 съобщения до един и същ телефонен номер в рамките на 60 секунди;
да не използва Услугите за изпращане на Съобщения:
без да е изпратил за одобрение от ЛИНК темплейта на Съдържанието или да изпраща Съдържание, което не съответства на одобрения темплейт;
чието Съдържание може да се тълкува (пряко или косвено) като такова свързано с благотворителност, хазарт и/или реклама на услуги/продукти на Оператор;
чието Съдържание попада в списъка на забранено съдържание съгласно Приложението – Забранено съдържание към настоящите ОУ;
непоискани съобщения, като се има предвид, че такива съобщения може представляват нарушение на приложимото законодателство или политиките на Оператор;
да не предава към или чрез Телеинформационните системи Съдържание, което:
предизвиква смущения в работата или претоварва Телеинформационните системи на ЛИНК или трета страна, която взема пряко или непряко участие в предоставянето на Услугите, включително, но не само Операторите. Клиентът носи отговорност и гарантира, че Съдържанието (i) не съдържа вируси, троянски коне, червеи или друг вреден код, (ii) е в уговорения формат и (iii) не може да повлияе или застраши Услугите, предоставяни от ЛИНК или която и да е инфраструктура, система, мрежа, услуги на подизпълнители на ЛИНК или други клиенти на ЛИНК;
Нарушава правата и/или интересите на ЛИНК / трети лица или общоприети социални норми, както и ако използва Услугите по начин, несъответстващ на общоприети правни норми, приложими по мястото на изпращане или адресиране на Съобщението;
Рекламира или по друг начин популяризира свои или на трети лица услуги, които използват гласови или SMS номера с добавена стойност, по-специално т.нар. „Premium SMS“.
6.3. Ако Клиентът е в нарушение на раздел 6.1 или 6.2 от ОУ, ЛИНК има право да преустанови предоставянето на Услугата на Клиента, без да се налага да прекратява Договора, като това по никакъв начин не се отразява на упражняването на останалите права на ЛИНК.
6.4. Считано от деня на прекратяване на Договора, Клиентът се задължава да преустанови ползването на SSU Услугите.
6.5. ЛИНК има право на контрол върху изпълнението на задълженията на Клиента по Договора и по свободна преценка може да спре и/или изтрие Акаунта на Клиента.
6.6. Клиентът е единствено и изцяло (неограничено) отговорен за формата и Съдържанието на Съобщенията, инициирани за изпращане посредством SSU Услугите.
7.1. ЛИНК си запазва правото да извършва дейности по поддръжка, свързани с Телеинформационната система, които могат да създадат затруднения или да направят невъзможно за Клиента ползването на SSU Услугите. Датите и очакваната продължителност на подобни дейности по поддръжка следва да се публикуват преди тяхното начало на Интернет страницата или изпратени по имейл.
7.2. При специални обстоятелства, във връзка с безопасността или стабилността на Телеинформационна система, ЛИНК има право без предварително уведомление временно да спре или ограничи Предоставянето на SSU Услуги и да извърши дейностите по поддръжка, насочени към възстановяване на безопасността или стабилността на Телеинформационната система.
7.3. Затруднения при или пълна/частична невъзможност за използване на SSU Услугите, във връзка с обстоятелствата и дейностите по раздел 7.1 или 7.2 от ОУ, не е основание за претенции към ЛИНК.
8.1. ЛИНК поема ангажимент за поверителност на Съдържанието на Съобщенията, инициирани за изпращане посредством SSU Услугите, както и на данните за лицата – изпращачи или адресати на Съобщенията, с изключение на случаите, при които подобна информация обичайно е публично достояние или споделянето й е необходимо за точното Предоставяне на SSU Услугите. Горепосочената информация може да бъде разкрита единствено при съблюдаване на приложимото законодателство.
8.2. ЛИНК се отнася с внимание към въпросите, касаещи защитата и сигурността на личните данни, като обработването на такава данни се осъществява в съответствие със Законодателството за защита на личните данни и Договора. За нуждите на SSU Услугите ЛИНК може да обработва лични данни за Потребители и други лица, имащи достъп до SSU Услугите. ЛИНК може да разкрие лични данни на трети лица, съгласно посочено в Договора.
8.3. Начинът на работа с лични данни, обхват и отговорности на ЛИНК при обработката на лични данни са описани в Приложението за обработване на лични данни към тези ОУ, което представлява писмен договор, уреждащ обработването на лични данни между ЛИНК и Клиента, т.е. документирано нареждане в съответствие с чл. 28, пар. 3, б. „а“ от ОРЗД.
8.4. Мерките за сигурност на обработването на лични данни от страна на ЛИНК в качеството му на обработващ лични данни се съдържат в Приложение – Сигурност на обработването към настоящите ОУ.
8.5. Съдържащите се в Акаунта данни за контакт се предоставят за нуждите на SSU Услугите и по-конкретно за счетоводни / финансови, технически, рекламни и други цели. Клиентът е длъжен да уведоми по подходящ начин и изчерпателно всички лица / Потребители, чиито данни са били или ще бъдат въведени в Акаунта, относно факта на предоставяне на данните на SSU Услугите, както и за правата им като субекти на данни.
8.6. Потребителят/ите и лицата, чиито данни са въведени в Акаунта, имат право на достъп и коригиране на личните си данни, както и да искат тяхното изтриване / ограничаване на обработването им.
8.7. Потребителят/ите, включително лицата, чиито данни са въведени в Акаунта, дават своето съгласие личните им данни да се обработват за цели, свързани с Предоставянето на SSU Услуги, включително:
8.7.1. във връзка с изменения/допълнения на ОУ, ценоразписи или политика за поверителност
8.7.2. във връзка с промени, пряко свързани с предоставянето на услуги в рамките на SMSAPI България, включително такива като актуализации на услуги, технически условия и документация,
8.7.3. във връзка със състоянието на плащане по предоставени услуги (при издаване на фактура), включително кодове за отстъпки за SSU Услуги,
8.7.4. във връзка с обработване от изследователска/образователна насоченост / при подобрения, свързани с функционирането на SSU Услугите.
8.8. Информацията по предходния раздел, може да бъде изпратена, отчитайки съответната необходимост, чрез някой от наличните канали за комуникация, след обработване на относимите данни за контакт в Акаунта, като така например когато се използват: пощенски услуги, може е подлежат наобработване физически адреси (адрес на управление, адрес за кореспонденция и пр.); електронна поща (включително чрез употреба на автоматизирани системи) - имейл адреси; телефонни обаждания, SMS, OTT Услуги - телефонни номера или чрез използване на достъпна чат функционалност/услуга.
8.9. ЛИНК не носи отговорност за обработване на лични данни от страна на някой от доставчиците на платежни услуги - SumUp Ltd., с рег. номер: 505893, със седалище и адрес на управление: Република Ирландия, Дъблин 2, D02 K580, Шарлът Уей, Харкорт Център, блок 8; и/или Обединена Българска Банка АД, с ЕИК: 000694959, със седалище и адрес на управление: България, гр. София, бул. Витоша № 89Б, ОББ - Център Милениум.
8.10. Допълнителна информация относно поверителността на данните се съдържа в декларацията/политиката за поверителност на SSU Услугите.
9.1. Клиентът няма да използва или разкрива на което и да е лице нито по време на действие на Договора, нито след изтичане на срока му, каквато и да е Конфиденциална информация, с изключение на случаите, когато това е за целите на администрирането и изпълнението на правата или задълженията на Клиента по настоящия Договор или когато се изисква от закона или нормативни разпоредби.
Клиентът ще третира като конфиденциална, поддържа, съхранява и защитава Конфиденциалната информация, отнасяща се до ЛИНК, със степен на грижа, най-малко еквивалентна на защитата на неговата собствена Конфиденциална информация.
9.2. Конфиденциалната информация не включва информация:
която приемащата страна вече притежава без задължение за конфиденциалност; или
предоставена законно на приемащата страна от трето лице,, без да е налице нарушение на друго отделно задължение за неразкриване; или
която вече е станала публично достъпна без това да произтича от нарушение на Договора.
10.1. SSU Услугите се предоставят във вида и състоянието, в които се намират към момента на предоставянето им. Доколкото е допустимо от приложимото право, ЛИНК не дава никакви гаранции, изрични или подразбиращи се, законови или други, включително, без ограничение, гаранции за функционалност, пригодност за определена цел/употреба или гарантиране, че Услугите не нарушават права на трети лица.
10.2. ЛИНК не гарантира, че SSU Услугите ще бъдат без грешки и дефекти, че използването на Услугите ще бъде непрекъснато или няма да води до грешки или че SSU Услугите не съдържат вируси. Клиентът приема и се съгласява, че е възможно Съобщенията да не достигнат до желания адресат, както и че Клиентът носи всички рискове, свързани с използването на Услугата.
11.1. Клиентът следва да обезщети ЛИНК за всички вреди, искове, разходи, загуби, вследствие претенции на трето лице, че при използването от страна на Клиента на Услугите или създаденото при използване на Услугите съдържание или вид произведение представлява нарушение на негови права на интелектуалната собственост. Клиентът носи пълната и неограничена отговорност за вида, съдържанието, качеството и организацията на Клиентската услуга, включително Съдържанието на Съобщенията, изпратени във връзка с нея, доколкото приложимото законодателство не налага противното.
11.2. ЛИНК не носи отговорност за грешки при Предоставянето на SSU Услугите, дължащи се на дефекти или неправилно функциониране на Телеинформационните системи, освен ако последните не са дължат изцяло и изключително на ЛИНК при доказано умишлено неправомерно поведение или груба небрежност. Клиентът е запознат с обстоятелството, че Интернет пространството и мрежите на Операторите по своята същност са незащитени. Съответно, Клиентът се съгласява, че ЛИНК не носи отговорност за каквото и да било изменение, прихващане или загуба на данни / Съобщения на Клиента по време на преминаването на същите през Интернет пространството или мрежите на Операторите.
11.3. ЛИНК не носи отговорност при невъзможност за достъп до Услугите в резултат на неправилна регистрация / опит за влизане (авторизация) от страна на Клиента / Потребител.
11.4. В случай на вреда или загуба, ЛИНК има право на обезщетение.
11.5. ЛИНК не носи отговорност за непреки, косвени вреди.
11.6. Горепосоченото не се прилага за вреди, причинени от вреди, дължащи се на злоупотреба, груба небрежност или умисъл.
11.7. Максималният размер на отговорността на ЛИНК спрямо Клиента няма да надхвърля стойността на заплатеното от Клиента (заплатени суми за закупуване на Точки/Пакети) за период от 12 (дванадесет) месеца преди датата на настъпване/започване на неизпълнението, намалено с дела / таксите на Операторите за препредаване / транспортиране / маршрутизиране на Съобщенията и дължимите данъци.
12.1. Претенции могат да се предявяват при непредоставяне, неточно предоставяне или неточно конвертиране на Услугите.
12.2. Претенцията се предявява чрез електронна поща на адрес: support@smsapi.bg. Клиентът следва да посочи данни / информация, индивидуализиращи изпратеното Съобщение.
12.3. Претенцията може да бъде предявена в рамките на 7 (седем) дни от датата на иницииране за изпращане на Съобщението, във връзка с което е претенцията.
12.4. Претенция за непредоставяне или неточно предоставяне на Услугите следва, по-специално, да съдържа предмета и обстоятелствата, подкрепящи твърдението, както и точно описание на претенцията на Клиента.
12.5. ЛИНК следва да разглежда претенцията в рамките на 14 (четиринадесет) дни от датата на получаването й. Ако претенцията не може да бъде разгледана в горепосочения срок, ЛИНК се задължава да уведоми писмено (по електронна поща) Клиента за причините, довели до забавянето, както и за очаквания срок за разглеждане.
12.6. Несъблюдаване на процедурата за предявяване на претенция е основание за отхвърляне на претенцията.
12.7. След изчерпване на процедурата за предявяване на претенция, Клиентът има право да потърси правата си по съдебен път.
13.1. Съгласно рецитал 259 от преамбюла на EECC и чл. 102, пар. 1, 2, 3 и 5 от EECC, доколкото Клиентът е микропредприятие, малко предприятие и организация с нестопанска цел (ЮЛНЦ), с настоящото се отказва от правото да:
да получи на разположение Договора на траен носител;
да получи на разположение резюме на Договора; и
да бъде уведомен, преди да е достигнат пределният обем, включен в тарифния план на Клиента за потребление на SSU Услугите, доколкото е относимо.
13.2. Съгласно чл. 105, пар. 1 и 2 от EECC, поръчките на Клиента могат да доведат до установяване период на договорно обвързване. В случай че този период е по- дълъг от максималната допустима продължителност за договорно обвързване, Клиентът се отказва от правото на по-кратък период на договорно обвързване.
13.3. Ако Клиентът не желае да се откаже от горепосочените права, той трябва да се свърже с отдела за поддръжка на клиенти на ЛИНК.
14.1. ЛИНК има право да извършва одити на регистрите и записите на Клиента, да провежда разговори със съответни представители на Клиента и да осъществява достъп до услугите, продуктите, съдържанието и/или техническата среда (хардуера) на Клиента, за да се увери, че използването от страна на Клиента на SSU Услугите е в съответствие с Договора.
Ако одитът разкрие несъответствие от страна на Клиента, той трябва да отстрани това нарушение незабавно след получаване на известие от ЛИНК. Настоящото не засяга други права или средства за защита, приложими съгласно Договора.
14.2. Клиентът се съгласява да публикува своята фирма/наименование, търговска марка и/или лого на Интернет страницата на ЛИНК. Клиентът упълномощава ЛИНК да постави неговата фирма/наименование, търговска марка и/или лого във вътрешни материали, ползвани за нуждите на ЛИНК.
14.3. Настоящият Договор не упълномощава ЛИНК да използва по начин, различен от посоченото в Договора, търговските марки, рекламно мото (слоган), търговски наименования или други права на интелектуалната собственост, притежание на Клиента.
14.4. Всички уведомления на страните, във връзка с Договора, се изпращат до физическите или имейл адреси на Потребителя/ите или други лица, чиито данни за контакт са въведени при регистрацията на Акаунта. Потребителят/ите са длъжни заедно с Клиента да информират незабавно ЛИНК за всякакви промени в данните за контакт. Ако съответната страна не е съобщила за промяната по посочения тук начин, всички уведомления, изпратени до адресите за контакт, посочени в Акаунта, ще се считат за надлежно връчени до момента на съобщаването.
14.5. Договорът се урежда и тълкува съгласно правото на Република България. При спор, доколкото доброволно страните не успеят да се споразумеят, същият следва да бъде отнесен за разрешаване към съответния компетентен съд в гр. София.
14.6. ЛИНК си запазва правото да изменя/допълва настоящите ОУ.
14.7. ЛИНК си запазва правото да следи, съхранява и архивира Съдържанието на изпратените SMS Съобщения и IP адресите на компютрите, от които се изпращат Съобщенията, за което Клиентът дава своето съгласие. Данните подлежат на съхранение, с цел доказване изпращането на Съобщенията в случай на спор / нарушение на ОУ, както и за осигуряване на нужното съответствие и съдействие на компетентните органи във връзка със SSU Услугите.
14.8. Нищожността на отделни части не влече нищожност на Договора.
14.9. Следните приложения към тези ОУ представляват неразделна част от Договора между страните: Приложение за обработване на лични данни, Приложение – Сигурност на обработването, Приложение – Обхват на обработването, Приложение – Забранено съдържание и Технически изисквания, достъпни на www.smsapi.bg/docs.
15.1. Клиентът разбира и приема, че следните условия се прилагат спрямо ползването от страна на Клиента на Услугите, доколкото съответният наличен комуникационен канал / услуга е относим.
15.2. Особени условия за ОТТ Услугите.
Сключвайки Договора с ЛИНК, Клиентът потвърждава, че е запознат с и спазва приложимите Политики за изпращане на ОТТ Съобщения, включително, но не само, насоките „Viber Service Messages General Guidelines“, отнасящи се до изпращането на търговски съобщения посредством Viber. Политиките за изпращане на ОТТ Съобщения представляват условията/правилата и/или политиките към даден момент, които се прилагат към всеки Краен потребител на Приложението за ОТТ Съобщения и които се отнасят до изпращането на търговски съобщения посредством Приложението за ОТТ Съобщения, включително всички насоки, инструкции и други документи на Доставчика на приложение за OTT Съобщения (напр. част от такива политики, отнасящи се до Viber могат да бъдат намерени на адрес: https://www.viber.com/terms и в актуалните насоки/инструкции на Viber).
“Доставчик на приложение за OTT Съобщения” означава собственикът и/или всеки оторизиран от него оператор (напр. разпространител) на ОТТ Услуги, предлагащи възможност за чат, VoIP (интернет телефония) и/или други услуги на информационното общество чрез мобилно или десктоп/настолно приложение (напр. Viber Media S.a.r.l.).
“Приложение за ОТТ Съобщения” означава мобилно или десктоп/настолно приложение, разработено от Доставчик на приложение за ОТТ Съобщения (напр. приложението Viber), достъпно за ползване от Крайния потребител чрез инсталирането му на мобилен телефон, таблет или десктоп и регистриране на профил, ползващ мобилен телефонен номер или друг начин за идентификация.
“Споделен сендър” означава споделен акаунт/профил за изпращане на Viber Съобщения не само от Клиента, но и от други клиенти на ЛИНК. Споделеният сендър се визуализира в интерфейса на приложението Viber при получаването/изпращането на Съобщения с отличителни знаци на ЛИНК – профилно изображение (като, но не само, изображение, снимка, лого и други), които се визуализират, без това да променя по някакъв начин действителния/фактическия изпращач на Съобщенията, индивидуализиран/посочен в началото на всяко Съобщение, а именно - Клиента. „Индивидуален сендър” означава индивидуален акаунт/профил за изпращане на Viber Съобщения само от Клиента. Индивидуалният сендър се визуализира в интерфейса на приложението Viber при получаването/изпращането на Съобщения с отличителни знаци на Клиента (техния действителен/фактически изпращач) – профилно изображение (като, но не само, изображение, снимка, лого и други).
“Транзакционни Съобщения” означават Viber Съобщения, съдържащи само текст без рекламна, промоционална и/или поздравителна насоченост и които не могат да съдържат графична част, включително но не само изображения, активни бутони, линкове и други
“Промоционални Съобщения” означават Viber Съобщения, съдържащи: 1) текстова част с рекламна, промоционална и/или поздравителна насоченост; и/или 2) графична част, включително но не само изображения, активни бутони, линкове и други.
Максимална дължина на OTT Съобщение – според съответната ОТТ Услуга (напр. едно Viber Съобщение със или без Символи на кирилица и/или специални символи се състои от не повече от 1000 /хиляда/ символа).
Въведение
Настоящото Приложение за обработване на лични данни (“DPA”) се сключи между ЛИНК и Клиента и представлява неразделна част от ОУ и Договора, ведно с Приложение – Сигурност на обработването, Приложение – Обхват на обработването, Приложение – Стандартни договори клаузи (SCC), и всички други сключени между страните приложения и анекси.
Когато износителят на данни, съгласно дефиницията в Приложението Стандартни договорни клаузи, се намира в Швейцария, препратките към GDPR в Стандартните договорни клаузи, следва да се разбират като препратки към Федералния закон за защита на данните от 19 юни 1992 г. и неговата преработена версия от 25 септември 2020 г. (FADP), доколкото трансферът на данни е предмет на FADP.
Когато износителят на данни, съгласно дефиницията в Приложението Стандартни договорни клаузи, се намира в Швейцария, Стандартните договорни клаузи също защитават данните на юридически лица до влизането в сила на ревизирания FADP
"Законодателство за защита на личните данни" означава Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. за защита на физическите лица при обработването на лични данни и за свободното движение на данни (Общ регламент относно защитата на данните - "GDPR" или “ОРЗД”), Директива 2002/58/ЕО за правото на неприкосновеност на личния живот и електронни комуникации (ePrivacy) и относимите национални нормативни актове, приложими към обработването на лични данни в страната по седалище на Администратора или ЛИНК, отчитайки техните изменения, допълнения или отмени, включително и прилагащите или заместващи ОРЗД и ePrivacy актове.
Дефинициите на посочените в чл. 4 от ОРЗД термини се прилагат и спрямо настоящия DPA.
Предмет и гаранции
Страните приемат, че при изпълнение на услугите по Договора ЛИНК обработва лични данни от името на Клиента. С оглед на горното, Клиентът възлага на ЛИНК да извършва обработването в качеството на обработващ лични данни от името на Клиента. Условията по обработване са предмет на настоящия DPA. ЛИНК поема ангажимент за осигуряване на прилагането на подходящи технически и организационни мерки по такъв начин, че обработването да протича в съответствие с изискванията на Законодателството за защита на личните данни и да осигурява защита на правата на субектите на данни.
Настоящият DPA обхваща обработването от страна на ЛИНК в качеството му на обработващ лични данни от името на Клиента (съгласно чл. 28, пар. 3 от ОРЗД) или, когато Клиентът на свой ред е обработващ лични данни - обработването на ЛИНК като под-обработващ / друг обработващ лични данни (съгласно чл. 28, пар. 4 от ОРЗД).
За нуждите на настоящия DPA, Клиентът има задълженията на администратор и носи пълна отговорност пред администратора, от името на когото обработва лични данни посредством услугите на ЛИНК. Позоваването на „Администратор“ в този DPA се отнася винаги за Клиента.
В случаите, когато Клиентът е базиран в трета държава, разположена извън Европейския съюз (ЕС) или Европейското икономическо пространство (ЕИП) и без решение за адекватност от Европейската комисия, се прилага Приложението Стандартни договорни клаузи, Модул четири, за дейностите по обработване, изискващи трансфер на лични данни от ЛИНК в качеството на обработващ към Клиента.
Като обработващ лични данни ЛИНК, неговите под- обработващи / други обработващи лични данни и трети лица, действащи под контрола на ЛИНК, с достъп до личните данни, следва да обработват личните данни само от името на Администратора, при изпълнение на Договора и по документирано нареждане на Администратора, съгласно разпоредбите на настоящия DPA, освен ако друго не е предвидено в Законодателството за защита на личните данни.
ЛИНК уведомява Администратора, ако според него дадено нареждане нарушава Законодателството за защита на личните данни.
Информация за обработването на лични данни от страна на ЛИНК в качеството му на администратор на собствено основание се съдържа на следния адрес: https://linkmobility.com/privacy/.
Задължения на Администратора
Администраторът гарантира, че личните данни са обработвани законосъобразно, за конкретни, изрично указани и легитимни цели. Нарежданията на Администратора не следва да водят до обработване от страна на ЛИНК на повече лични данни от необходимите за постигане на тези цели.
Администраторът отговаря за наличието на законосъобразност на обработването по смисъла на Законодателството за защита на личните данни (inter alia, чл. 6, пар. 1 от ОРЗД) към момента на предоставяне на личните данни от Администратора, съответно получаването им от ЛИНК. В случай че правното основание за обработването е съгласие (съгласно чл. 6, пар. 1, б. „а“ от ОРЗД), Администраторът гарантира, че съгласието е изрично, свободно изразено, конкретно, информирано и недвусмислено.
В допълнение, Администраторът гарантира, че на субектите на данни е била предоставена задължителната по смисъла на Законодателството за защита на личните данни информация във връзка с обработването на личните им данни (съгласно чл.13 и чл. 14 от ОРЗД).
Всички нареждания относно обработването на лични данни по настоящия DPA следва да се отправят първоначално към ЛИНК. В случай че Администраторът отправи нареждания директно към под-обработващ / друг обработващ лични данни, комуто е възложено обработване съгласно раздел 10, Администраторът следва незабавно да уведоми ЛИНК за това. ЛИНК не носи отговорност от каквото и да е естество при обработване на лични данни от страна на под-обработващ / друг обработващ лични данни, действащ в резултат на отправени към последния директни нареждания на Администратора, довели до неизпълнение по настоящия DPA, Договора или нарушение на Законодателството за защита на личните данни.
Поверителност
ЛИНК поема ангажимент да осигури наличието на поето от страна на неговите служители, под- обработващи / други обработващи лични данни и трети лица, действащи под контрола на ЛИНК, с достъп до личните данни, задължение за поверителност или обвързаността им с подобно задължение по силата на съответен нормативен акт.
Администраторът има задължение за конфиденциалност по отношение на информацията, съдържаща се във всяка документация или друг носител на информация, получена от или отнасяща се до ЛИНК или под-обработващ / друг обработващ лични данни, техническите и организационни мерки или друга информация, определена от под- обработващ / друг обработващ лични данни за конфиденциална. Независимо от горепосоченото, Администраторът има право да разкрие подобна информация на съответните надзорни органи при изпълнение на задължение за съдействие съгласно Законодателството за защита на личните данни.
Сигурност на обработването
Изискванията, отнасящи се до сигурността на обработването на личните данни от страна на ЛИНК, се съдържат в Приложение № 1 – Сигурност на обработването, представляващо неразделна част от настоящия DPA.
Достъп до лични данни и задължения във връзка с правата на субектите на данни
Доколкото страните не са постигнали съгласие за или в относимото законодателство не е предвидено друго, Администраторът има право на достъп до личните данни, обработвани от ЛИНК от името на Администратора.
В случай че ЛИНК или под-обработващи / други обработващи лични данни получат искане на субект на данни за упражняване на права във връзка с обработването на лични данни от името на Администратора, ЛИНК следва да изпрати искането към Администратора за отговор, доколкото в относимото законодателство не е предвидено друго.
Отчитайки естеството на обработването и доколкото е възможно, ЛИНК следва да съдейства на Администратора посредством съответните технически и организационни мерки при изпълнението на задължението на Администратора да отговори на исканията за упражняване на правата на субекти на данни съгласно Законодателството за защита на личните данни, включително относно правото на субекта на данни на (i) достъп до лични данни, (ii) коригиране на личните данни; (iii) изтриване на лични данни; (iv) ограничаване на обработването или възражение при обработване на лични данни; и (v) правото да получи лични данни в структуриран, широко използван и пригоден за машинно четене формат (преносимост на данните). В случай че Администраторът изиска съдействие по вид или в степен, надхвърлящи изискванията по ОРЗД, ЛИНК има право на допълнително възнаграждение от Администратора за оказаното съдействие по актуална към съответния момент тарифа на ЛИНК.
Друго съдействие на Администратора
В случай че ЛИНК или под-обработващи / други обработващи лични данни получат искане за достъп или информация от страна на съответен надзорен орган във връзка с личните данни и обработването по настоящия DPA, ЛИНК следва да уведоми Администратора за предприемане на последващи действия от страна на Администратора, доколкото ЛИНК не след����а сам да обработи съответното искане.
При задължение за Администратора за ���звършване Оценка на въздействието върху защитата на данните и/или ��ровеждане на предварителни консултации с надзорните органи във връзка с обработването на лични данни по настоящия DPA, ЛИНК следва да окаже съдействие на Администратора, отчитайки естеството на обработването и наличната при ЛИНК информация. В случай че Администраторът изиска съдействие по вид или в степен, надхвърлящи изискванията по ОРЗД, ЛИНК има право на допълнително възнаграждение от Администратора за оказаното съдействие по актуална към съответния момент тарифа на ЛИНК.
Уведомяване при нарушение на сигурността на личните данни
В случай на нарушение на сигурността на личните данни, ЛИНК следва да уведоми Администратора без излишно забавяне, след като узнае за нарушението на сигурност��а н������ личните данни. Администраторът отговаря за уведомяване на компетентния надзорен орган за нарушението на сигурността на личните данни, съгласно предвиденото в чл. 33 от ОРЗД.
Уведомлението към Администратора следва да се изпрати на посочения в Акаунта на Клиента имейл адрес при регистрацията съгласно Общите Условия и да съдържа най-малко следното: (i) описание на естеството на нарушението на сигурността на личните данни, включително, ако е възможно, категориите и приблизителния брой на засегнатите субекти на данни и категориите и приблизителното количество на засегнатите записи на лични данни; (ii) описание на евентуалните последици от нарушението на сигурността на личните данни; (iii) описание на предприетите или предложените мерки за справяне от страна на ЛИНК с нарушението на сигурността на личните данни, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици.
В случай че Администраторът е длъжен да съобщи на субектите на данни за нарушението на сигурността на личните данни, ЛИНК следва да окаже съдействие на Администратора, отчитайки естеството на обработването и наличната при ЛИНК информация. Разноските по съобщаването се поемат изцяло от Администратора.
Предаване на лични данни на трети държави
Предаване на лични данни на държави извън Европейския съюз (ЕС) или Европейското икономическо пространство (ЕИП), чрез разкриване или предоставяне на достъп, може да настъпи по документирано нареждане на Администратора.
При трансфер към под - обработващ, документираните инструкции са описани в раздел 10 по-долу и са предмет на Стандартните договорни клаузи на ЕС, както е предвидено в Приложението Стандартни договорни клаузи, модул трети – трансфер от ЛИНК като обработващ към под- обработващ в трета държава.
Клиентът е запознат и приема, че предаване на лични данни на Оператори в трети държави, когато същото е необходимо за преноса на съобщения до адресати, намиращи се в тези държави, не се обхваща от посочените тук изисквания.
Под-обработващи / други обработващи лични данни
Администраторът предоставя разрешение на ЛИНК да включи в обработването по настоящия DPA под- обработващи / други обработващи лични данни, на които ЛИНК да възложи подизпълнение при предоставянето на услугите и свързаното с тях обработване на лични данни по Договора, като ЛИНК поема ангажимент, че същите задължения за защита на данните, както задълженията, предвидени в настоящия DPA и Законодателството за защита на личните данни, са наложени посредством писмен договор на всеки под-обработващ / друг обработващ лични данни и всеки под-обработващ / друг обработващ лични данни предоставя достатъчно гаранции за прилагане на подходящи технически и организационни мерки, така че обработването да отговаря на изискванията на настоящия DPA и Законодателството за защита на личните данни, и осигурява достъп на Администратора и компетентния надзорен орган до цялата информация, необходима за доказване на съответствието с посочените изисквания.
ЛИНК продължава да носи отговорност пред Администратора за изпълнението на задълженията на под-обработващите / другите обработващи лични данни.
Относимите под-обработващи / други обработващи лични данни са посочени в Приложение № 2 – Обхват на обработването. ЛИНК има правото да актуализира списъци, като добавя, заменя или премахва под-обработващи / други обработващи лични данни, уведомявайки Администратора с тримесечно предизвестие. Администраторът има право на възражение срещу промяната в рамките на три седмици от получаването на горепосоченото предизвестие или от публикуването на промяната на съответната интернет страница. При отправено възражение от страна на Администратора, ЛИНК има право да прекрати Договора и настоящия DPA едностранно с едномесечно предизвестие.
Сключвайки настоящия DPA Администраторът упълномощава ЛИНК да встъпва в договорни отношения посредством стандартни договорни клаузи или да осигури друго основание за предаване на лични данни от името на Администратора с одобрени съгласно реда по-горе под-обработващи / други обработващи лични данни. В случай че Клиентът на свой ред е обработващ лични данни, Клиентът следва да осигури упълномощаване от администратора, от името на когото обработва лични данни. При поискване ЛИНК е длъжен да предостави на Администратора препис от сключени стандартни договорни клаузи или описание на друго основание за предаване на лични данни.
ЛИНК се ангажира да предостави нормалното очаквано съдействие и документация за нуждите на независима оценка на риска от страна на Администратора във връзка с включване на под- обработващи / други обработващи лични данни или предаване на лични данни на трети държави.
Одити
При поискване, ЛИНК следва да предостави на Администратора съответната документация за прилаганите технически и организационни мерки в уверение, че обработването отговаря на изискванията за сигурност, както и друга информация, необходима за доказване на изпълнението на задълженията на ЛИНК по настоящия DPA и Законодателството за защита на личните данни.
Администраторът и компетентният надзорен орган съгласно Законодателството за защита на личните данни имат право да извършват одити на обработваните лични данни, системите и инструментите, използвани за обработването, прилаганите технически и организационни мерки, включително политиките по сигурността и подобни на тях, както и на под-обработващите / другите обработващи лични данни. Администраторът няма право на достъп до информация, касаеща други клиенти на ЛИНК, както и до конфиденциална информация.
Администраторът има право да извърши горепосочените одити в рамките на един ден на година, след като преди това отправи двуседмично предизвестие. Ако Администраторът възложи извършването на одитите на трето лице – упълномощен одитор, съответният външен одитор следва да е обвързан със задължение за конфиденциалност. Администраторът поема всички разноски, свързани с одитите, включително компенсира ЛИНК за оказано съдействие, надхвърлящо изискващото се по ОРЗД.
Срок и прекратяване
Настоящият DPA се прилага за срока, в който ЛИНК обработва лични данни от името на Администратора.
При неизпълнение по настоящия DPA или несъответствие със Законодателството за защита на личните данни от страна на ЛИНК, Администраторът има право да: (i) нареди на ЛИНК незабавно да спре обработването на лични данни; и/или (ii) прекрати едностранно и с незабавно действие настоящия DPA.
Действие на прекратяването
След прекратяване на настоящия DPA ЛИНК заличава всички лични данни, обработвани от името на Администратора, доколкото друго не е предвидено в приложимото законодателство. Клиентът е запознат и приема, че личните данни са му достъпни до датата на прекратяване, като до този момент може да се сдобие с копие от тези данни преди да бъдат заличени.
При поискване от страна на Администратора , ЛИНК следва да предостави писмен документ, удостоверяващ факта на заличаване на данните съгласно настоящия DPA.
Неизпълнение и лимит на отговорността
Всяко несъответствие на страните с изискванията по настоящия DPA се счита за неизпълнение от съответната страна, като неизправната страна следва да отстрани без ненужно забавяне допуснатите нарушения. Неизправна страна е длъжна да уведоми другата страна за предприетите мерки за отстраняване на нарушенията. Никоя от страните не носи отговорност пред насрещната страна за грешки, дължащи се на системи, действия, бездействия или небрежност на насрещната страна или на мрежите или средите, намиращи се извън контрола на страните.
Ограниченията на отговорността по Договора се прилагат и по настоящия DPA.
Уведомления и изменения
Всички уведомления по настоящия DPA се подават в писмен вид до адреса, посочени в Акаунта на Клиента съгласно Общите Условия. Писмената форма се счита за спазена при изпращане до посочения имейл адрес.
При промени в Законодателството за защита на личните данни, решения или становища на съответни органи, водещи до промяна в тълкуването/приложението на Законодателството за защита на личните данни или при промяна на услугите по Договора, налагаща изменение на настоящия DPA, ЛИНК ще предложи внасяне на съответни ревизии по DPA.
Всички изменения или допълнения на настоящия DPA следва да бъдат подписани и от двете страни, за да са обвързващи.
Приложимо право и подсъдност
Разпоредбите на ОУ, уреждащи приложимото право и подсъдност, се прилагат и при спорове във връзка с настоящия DPA, доколкото приложимото право и подсъдност са на/в държава от ЕС или ЕИП. В останалите случай приложимото право е българското, а спорът е подсъден на компетентния държавен съд в гр. София, България.
Описание на технически и организационни мерки:
ИТ политики и практики за сигурност
ЛИНК поддържа и следва ИТ политики и практики за сигурност, задължителни за служителите на ЛИНК.
ЛИНК преразглежда политиките си за ИТ сигурност най-малко веднъж годишно, както и изменя и/или допълва същите, когато сметне за необходимо, за поддържане защитата на личните данни.
Спазване на защитата от служители
ЛИНК прилага система от организационни мерки спрямо физическите лица, които обработват лични данни. Персоналът на ЛИНК е длъжен да:
познава Приложимото законодателство;
познава относимата към Услугата политика за поверителност на ЛИНК и указанията за нейното прилагане;
спазва поверителността и защитата на личните данни;
ЛИНК прилага мерки за защита на личните данни, гарантиращи достъпа до такива данни само на лица, чиито служебни задължения или конкретно възложена задача за изпълнение на Услугата налагат такъв достъп, при спазване на принципа „Необходимост да знае”.
Физическа защита на контрол на достъпа
ЛИНК поддържа подходящ контрол върху физическия достъп чрез система от технически и организационни мерки за предотвратяване на неоторизиран достъп до сгради, помещения и съоръжения, в които се обработват лични данни на Администратора. Тази физическа сигурност се прилага за контролирани центрове за данни и контролирани зони и помещения, където се съхраняват или по друг начин обработват личните данни на Администратора.
ЛИНК спазва следните минимални организационни мерки на физическа защита:
обособява зони с контролиран достъп за съхранение и друга обработка на лични данни;
обособява зони с контролиран достъп, в които се разполагат елементите на комуникационно- информационните системи за обработване на лични данни;
поддържа системи и политики за организация на физическия достъп, вкл. и на външни лица;
осигурява технически средства за физическа защита;
осигурява екип за реагиране в случай на нарушение на сигурността на личните данни.
Достъпът до центровете за данни и контролираните зони в центровете за данни, в които има лични данни на Администратора, е ограничен според длъжността на съответния служител на ЛИНК.
Всяко лице, което влезе в центровете за данни или контролираните зони в центровете за данни, се регистрира при влизане в помещенията, идентифицирайки се, и се придружава от упълномощен/и служител/и на ЛИНК. Всяка оторизация за достъп, се планира предварително и изисква одобрение от упълномощен служител на ЛИНК.
ЛИНК взима предпазни мерки, за защита на физическата инфраструктура на центровете за данни от заплахи, както естествени, така и в резултат на човешка намеса.
Защита на документите
ЛИНК прилага подходяща документалната защита като система от организационни мерки при - обработването на лични данни на хартиен носител.
ЛИНК спазва следните минимални мерки на документалната защита:
създава и поддържа политика за достъп;
регламентира достъпа до регистрите;
създава и поддържа процедури за унищожаване на личните данни.
ИТ системи и сигурност на мрежата
ЛИНК прилага защита на автоматизираните информационни системи и мрежи, чрез система от технически и организационни мерки за защита от нерегламентиран достъп и обработка на личните данни.
ЛИНК спазва следните минимални мерки за защита на автоматизираните информационни системи и мрежи:
създава и поддържа политика за достъп;
определя роли и отговорности на служителите с достъп до системи, обработващи лични данни;
прилага идентификация и автентикация;
прилага контроли на сесията;
поддържа описание на външните връзки и на служителите с отдалечен достъп;
осъществява наблюдение на системи, мрежи и свързаности за евентуални атаки или изтичане на лични данни;
осигурява защита от вируси;
осигурява копия и резервни копия за възстановяване (резервираност);
описва носителите на информация;
изготвя и поддържа процедури за унищожаване, заличаване или изтриване на носители.
ЛИНК прилага криптографска защита, чрез система от технически и организационни мерки, с цел защита на личните данни от нерегламентиран достъп при предаване, разпространяване или предоставяне.
ЛИНК поддържа архитектура на документална сигурността на мрежите, управлявани от него в процеса на предоставяне на Услугата. ЛИНК преглежда отделно тази мрежова архитектура, включително мерки за предотвратяване на неоторизирани мрежови връзки към системи, приложения и мрежови устройства, за спазване на стандартите за сегментиране, изолиране и защита в дълбочина преди изпълнението.
ЛИНК поддържа мерки, които са предназначени за логично отделяне, предотвратяване на излагането и неоторизирания достъп до лични данни на Администратора.
ЛИНК псевдонимизира личните данни на Администратора, които не са предназначени за публичен и/или непроверен достъп при обмен на личните данни на Администратора през обществени мрежи, като използва криптографски протокол (като HTTPS, SFTP или FTPS) за сигурен обмен на данните по/чрез обществени мрежи.
ЛИНК ще псевдонимизира личните данни на Администратора, когато това е предвидено в Договора. Ако Услугата включва управление на криптографски ключове, ЛИНК ще поддържа съответни процедури за генериране, издаване, разпространение, съхранение, ротация, анулиране, възстановяване, архивиране, унищожаване, достъп и използване на такива ключове.
При обработка на личните данни на Администратора, ЛИНК ограничава достъпа до съответното най-ниско ниво, необходимо за осигуряване и поддръжка на Услугите. Този достъп, включително административният достъп до всички основни компоненти (привилегирован достъп), е индивидуален, базиран на роля и подлежи на одобрение и редовно валидиране от оторизиран/и служител/и на ЛИНК, следвайки принципите на разделяне на задълженията и минимизация на обработването.
ЛИНК поддържа системи за идентифициране и премахване на ненужни и пасивни акаунти с привилегирован достъп и незабавно отменя, когато това е относимо, този достъп при промяна на длъжността или прекратяване на трудовото правоотношение, както и по искане на съответно упълномощени за това служители на ЛИНК, като например съответния пряк ръководител.
В съответствие със стандартните търговски практики ЛИНК поддържа техническите мерки, които налагат затваряне на неактивни сесии, блокиране на акаунти след няколко последователни неуспешни опита за вход, силна парола или удостоверяване чрез парола и мерки, изискващи сигурен трансфер и съхранение на такива пароли.
ЛИНК контролира използването на привилегирован достъп и поддържа мерки за сигурност на информация и управление на събития, предназначени да: а) идентифицират неразрешен достъп и дейност; б) улесняват своевременното и подходящо реагиране; и в) позволяват вътрешни или независими одити на съответствието с приложимите политики на ЛИНК.
Логовете, в които се записват привилегированият достъп и дейности, ще бъдат архивирани в съответствие с установените от ЛИНК правила за съхранение и отчетност. ЛИНК ще поддържа мерки, предназначени да предпазват от неразрешен достъп, модификация и случайно или умишлено унищожаване на такива логове.
Доколкото това се поддържа от функционалността на съответното устройство или операционна система, ЛИНК поддържа компютърни защити на информационните системи, съдържащи лични данни на Администратора, които включват без да се ограничават до: заключване на екрани на определено време и решения за управление на крайни точки, които прилагат конфигурации на сигурността и изисквания за пачване (patching), защитни стени на крайните точки (endpoint firewalls), криптиране на цялото дисково пространство, откриване и отстраняване на зловреден софтуер (malware). Същите се: а) актуализират редовно от централната локация и б) логват на централно място.
Интегритет на дейностите и контрол на достъпа
ЛИНК е длъжен да:
провежда тестове за проникване и уязвимост, включително автоматизирано сканиране на сигурността на системите и приложенията и ръчно етично хакерство преди първоначалните доставки и ежегодно след това;
изисква от квалифицирана независима трета страна да провежда тестове за проникване поне веднъж годишно;
извършва автоматизирано управление и рутинна проверка на съответствието на основните компоненти с изискванията за конфигурация на защитата;
възстановява идентифицираните уязвимости или несъответствие с изискванията за конфигуриране на сигурността въз основа на свързания с тях риск, експлоатационна способност и въздействие. ЛИНК ще предприема разумни стъпки, за да избегне прекъсване на Услугите, когато извършва своите тестове, оценки, сканирания и извършване на дейности по саниране.
архивира (back up) системи, съдържащи лични данни на Администратора;
гарантира, че поне едно място за архивиране (back up) е на локация, отделена от производствените системи;
потвърждава интегритета на архивираните данни чрез регулярно извършване на тестове за възстановяване на данни;
ЛИНК поддържа процедури, предназначени да управляват рисковете, свързани с прилагането на промените в дейността му. Преди да бъдат внедрени, промените в дадена услуга, която е част от Услугите, включително нейните системи, мрежи и основни компоненти, ще бъдат документирани в заявка за промяна, която ще включва описание и причина за промяната, подробности и график за изпълнението, оценка на риска и въздействието върху услугата, очакван резултат, план за връщане назад и документирано одобрение от упълномощен/и служител/и на ЛИНК.
Обхват на обработването
Настоящият DPA касае обработването от страна на ЛИНК на лични данни от името на Администратора при предоставяне на съобщителни услуги. Съобщителните услуги включват достъп на Администратора до предоставени от ЛИНК технологични решения за управление на съобщителни потоци до избрани от Администратора адресати на съобщения, за цели и с честота по избор на Администратора, осъществяван посредством ползването на услугата. Договорът съдържа подробно описание на специфичните видове съобщителни услуги, предоставяни на Администратора за ползване.
Категории субекти на данни
Категориите субекти на данни по настоящия DPA са определени от Администратора. Обработването касае лични данни на крайни потребители на Администратора (адресати и/или изпращачи на съобщения – в зависимост от начина на ползване на услугите по Договора от страна на Администратора).
Видове лични данни
Обработването касае следните видове лични данни, съобразно конкретното ползване на услугата от страна на Администратора:
Основни лични данни, например име, данни за контакт като имейл адрес, телефонен номер и пр.
Данни за местонахождение, например GPS, Wi-Fi данни и данни за локация от мрежата на ЛИНК (различни от трафични данни).
Трафични данни: лични данни, обработвани при предоставяне на електронни съобщителни услуги или таксуването на посочените услуги.
Данни, отнасящи се до съдържанието на комуникацията, например имейли, гласови съобщения, SMS/MMS и пр.
Специални категории лични данни, например данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, членство в синдикални организации или здравословно състояние, могат да бъдат обработвани, доколкото услугите се ползват от Администратора за обработването на такъв вид данни.
Предмет на обработването
Предметът на обработването на ЛИНК на лични данни от името на Администратора е предоставянето на услуги на Администратора, налагащи обработване на лични данни. Обработването на лични данни се осъществява съобразно разпоредбите на Договора.
Продължителност (срок на действие) на обработването
Обработването трае в рамките на срока на Договора на Клиента с ЛИНК. ЛИНК съхранява лични данни докато това е необходимо за изпълнение на целите на обработването.
Естество на обработването
Обработването на лични данни се осъществява при постъпването им в Платформата, като данните могат да бъдат въведени от Администратора посредством предоставения му достъп до Платформата или предоставени на служители на ЛИНК, които от своя страна да ги въведат в определеното за Администратора място на Платформата. Данните следва да бъдат допълнително обработени по начин, съответстващ на изискванията на Администратора и/или за проверка на списъка с адресати, преди да се инициира техническият процес по заявяване на изпращането на съобщенията.
Цел на обработването
Целта на възлагане на ЛИНК да обработва лични данни от името на Клиента е изпълнението на търсената от Клиента комуникация с адресатите на съобщенията.
Под-обработващи / други обработващи лични данни
Одобрените от Клиента по настоящия DPA под-обработващи / други обработващи лични данни са включени в списъците на корпоративната група “LINK Mobility” – “LINK Mobility sub-processors list” на адрес: https://linkmobility.com/list/
Следните под-обработващи / други обработващи лични данни също са одобрени от Клиента (доколкото видът обработване е относим към услугите по Договора), в допълнение към свързаните лица на ЛИНК, включени в раздела “Subsidiary companies” на “LINK Mobility sub-processors list” (https://linkmobility.com/list/):
| Под-изпълнители / други обработващи лични данни | Вид обработване | Местоположение |
|---|---|---|
| „ЕВРИСТА“ ЕООД, с ЕИК: 175200012, със седалище и адрес на управление: ул. Мюнхен № 8, гр. София, България | Сервизна поддръжка на компютърна техника - сървъри, работни станции, периферия, активно мрежово оборудване и системен и стандартен (офис) приложен софтуер | гр. София, България |
| „ФТС БЪЛГАРИЯ" ООД, с ЕИК: 831166152, със седалище и адрес на управление: бул. България, Бизнес център Белисимо, ет. 5, офис 58, р-н Витоша, гр. София 1680, България | Техническа поддръжка на ERP системата Microsoft Dynamics 365 | гр. София, България |
| АМАЗОН УЕБ СЪРВИСИЗ ИМЕА САРЛ (AMAZON WEB SERVICES EMEA SOCIÉTÉ À RESPONSABILITÉ LIMITÉE (SARL)), рег. № B 186284, адрес: Авеню Джон Ф. Кенеди № 38, L-1855, Люксембург | Дейта център услуги, VPS (виртуални сървъри), използвани за услуги, предлагани от ЛИНК | ЕИП |
Настоящият DPA се счита за нареждане от страна на Клиента за предаване на лични данни на посочените под-обработващи / други обработващи лични данни.
(Съгласно РЕШЕНИЕ ЗА ИЗПЪЛНЕНИЕ (ЕС) 2021/914 НА КОМИСИЯТА от 4 юни 2021 година относно стандартни договорни клаузи за предаването на лични данни на трети държави съгласно Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета)
между
ЛИНК, и неговите свързани лица, със седалище в рамките на ЕИП
по-долу "Износител на данни"
и
Клиента (МОДУЛ ЧЕТИРИ) или съответният под-обработващ / друг обработващ лични данни в трета държава (МОДУЛ ТРИ)
по-долу "Вносител на данни"
Текстът на Стандартните договорни клаузи е публикуван на: https://eur-lex.europa.eu/legal-content/BG/TXT/PDF/?uri=CELEX:32021D0914&from=BG
Износителят на данни и вносителят на данни сключват стандартни договорни клаузи (SCC) с модули, както следва:
МОДУЛ ЕДНО: Предаване на данни от администратор към администратор: Не
МОДУЛ ДВЕ: Предаване на данни от на администратор към обработващ: Не
МОДУЛ ТРИ: Предаване на данни от обработващ към обработващ (ако и доколкото е приложимо): Да (в случай на под-обработващ /друг обработващ лични данни в трета държава) / Не (в случай на Клиент в трета държава)
МОДУЛ ЧЕТИРИ: Предаване на данни от обработващ към администрат������р (ако и доколкото е приложимо): Да (в случай на Клиент в трета дър���ава) / Не (в случай на под-обработващ / друг обработващ лични данни в трета държава)
Специф��кации, необходими за всеки приложим модул, както следва:
Спецификации, имащи отношение към МОДУЛ ТРИ: Предаване на данни от обработващ към обработващ
Клауза 7 – Страните се споразумяват следната клауза да бъде включена:
Клауза за присъединяване
Лице/структура, което не е страна по настоящите клаузи, може със съгласието на страните да се присъедини към настоящите клаузи по всяко време или като износител на данни, или като вносител на данни, като попълни допълнението и подпише приложение I.А.
След като попълни допълнението и подпише приложение I.А, присъединяващата се структура/лице става страна по настоящите клаузи и има правата и задълженията на износител на данни или на вносител на данни в съответствие с посоченото в приложение I.А.
Настоящите клаузи не пораждат права или задължения за присъединяващата се структура/лице за периода преди да стане страна.
Клауза 9 – Страните се споразумяват, че в ��тношенията между тях се прилага Вариант 2 на клаузата:
ВАРИАНТ 2: ОБЩО ПИСМЕНО РАЗРЕШЕНИЕ. Вносителят на данни има общото разрешение на износителя на данни да включва обработващ(и) лични данни подизпълнител(и) от съгласуван списък. Вносителят на данни изрично уведомява писмено износителя на данни за всички планирани промени в този списък чрез добавяне или замяна на обработващи лични данни подизпълнители най-малко три месеца предварително, като по този начин дава на износителя на данни достатъчно време, за да може да възрази срещу такива промени, преди включването на обработващия(ите) лични данни подизпълнител(и). Вносителят на данни предоставя на износителя на данни необходимата информация, за да може износителят на данни да упражни правото си на възражение.
Клауза 11 – Страните се споразумяват, че следната незадължителна част от клаузата не се включва:
ВАРИАНТ: Вносителят на данни приема, че субектите на данни могат също да подават жалби до независим орган за разрешаване на спорове без разходи за субекта на данни. Той уведомява субектите на данни по начина, посочен в буква а), за този механизъм за защита, както и че те не са длъжни да го използват или да следват определена последователност при търсене на защита.
Клауза 17 – Страните се споразумяват, че за тях се прилага Вариант 1 на клаузата:
ВАРИАНТ 1: Настоящите клаузи се уреждат от правото на една от държавите — членки на ЕС, при условие че правата на трети страни бенефициери са допустими съгласно това право. Страните се споразумяват това да бъде правото на държавата, в която е установен износителят на данни, а именно:
Когато износителят на данни е базиран в Швейцария страните се споразумяват тези клаузи да се уреждат от правото на:
Швейцария (когато предаването на данни е изключително предмет на FADP
България (когато предаването на данни е предмет както на FADP, така и на ОРЗД)
Клауза 18:
Избор на съд и юрисдикция
ички спорове, произтичащи от настоящите клаузи, се разрешават от съдилищата на държава — членка на ЕС.
Страните се споразумяват, че това ще са съдилищата на държавата, в която е установен износителят на данни, а именно:
Когато износителят на данни се намира в Швейцария страните се споразумяват, че всеки спор, произтичащ от тези клаузи, ще се разглежда от съдилищата на:
Швейцария (когато предаването на данни е изключително предмет на FADP)
България (когато предаването на данни е предмет както на FADP, така и на ОРЗД)
Субект на данни може да започне съдебно производство срещу износителя на данни и/или вносителя на данни и пред съдилищата на държавата членка на обичайното си местопребиваване
Страните се споразумяват, че терминът "държава членка" не трябва да се тълкува така, че да изключи субектите на данни в Швейцария от възможността да предявят иск за правата си по мястото им на обичайно местопребиваване (Швейцария) в съответствие с клауза 18 (в).
Страните се споразумяват да приемат юрисдикцията на такива съдилища.
Спецификации, имащи отношение към МОДУЛ ЧЕТИРИ: Предаване на данни от обработващ към администратор
Клауза 7 – Страните се споразумяват тази клауза да бъде включена:
Клауза за присъединяване
Лице / Структура, която не е страна по настоящите клаузи, може със съгласието на страните да се присъедини към настоящите клаузи по всяко време или като износител на данни, или като вносител на данни, като попълни допълнението и подпише приложение I.А.
След като попълни допълнението и подпише приложение I.А, присъединяващата се структура/лице става страна по настоящите клаузи и има правата и задълженията на износител на данни или на вносител на данни в съответствие с посоченото в приложение I.А.
Настоящите клаузи не пораждат права или задължения за присъединяващата се структура/лице за периода преди да стане страна.
Клауза 11 – Страните се споразумяват, че следната незадължителна част от клаузата не се включва:
ВАРИАНТ: Вносителят на данни приема, че субектите на данни могат също да подават жалби до независим орган за разрешаване на спорове без разходи за субекта на данни. Той уведомява субектите на данни по начина, посочен в буква а), за този механизъм за защита, както и че те не са длъжни да го използват или да следват определена последователност при търсене на защита.
Клауза 17:
Настоящите клаузи се уреждат от правото на държава, съгласно което правата на трети страни бенефициери са допустими. Страните се споразумяват това да бъде правото на държавата, в която е установен износителят на данни, а именно:
Когато износителят на данни е базиран в Швейцария страните се споразумяват тези клаузи да се уреждат от правото на:
Швейцария (когато предаването на данни е изключително предмет на FADP)
България (когато предаването на данни е предмет както на FADP, така и на ОРЗД)
Клауза 18:
Избор на съд и юрисдикция
Всички спорове, произтичащи от настоящите клаузи, се разрешава от съдилищата на държавата, в която е установен износителят на данни, а именно:
Когато износителят на данни се намира в Швейцария Страните се споразумяват, че всеки спор, произтичащ от тези клаузи, се разрешава от съдилищата на:
Швейцария (когато предаването на данни е изключително предмет на FADP)
България (когато предаването на данни е предмет както на FADP, така и на ОРЗД)
ПРИЛОЖЕНИЕ I
А. СПИСЪК НА СТРАНИТЕ
МОДУЛ ТРИ: Предаване на данни от обработващ към обработващ;
МОДУЛ ЧЕТИРИ: Предаване на данни от обработващ към администратор;
Износител(и) на данни: [Самоличност и координати за връзка на износителя(ите) на данни и когато е приложимо — на неговото(ите) длъжностно(и) лице(а) по защита на данните и/или на неговия(ите) представител(и) в Европейския съюз]]
1. Име/наименование: "ЛИНК Мобилити България" ЕАД и неговите свързани лица, както са изброени в раздел “Subsidiary companies” на “LINK Mobility sub-processors list” - (https://linkmobility.com/list/)
Адрес: България, гр. София 1463, район Триадица, пл. "България" No 1, бл. Административната сграда на НДК – Проно, ет. 7 и адресите на свързаните лица, както са изброени в раздела “Subsidiary companies” на “LINK Mobility sub-processors list” - (https://linkmobility.com/list/)
Име, длъжност и координати за връзка с лицето за контакт:
Jan Wieczorkiewicz, ДЛЗД (за запитвания, свързани с услуги, предоставени на субекти на данни извън България и Румъния)
+48601690816
jan.wieczorkiewicz@linkmobility.com и dpo@linkmobility.com
Мартин Господинов, ДЛЗД (за запитвания, свързани с услуги, предоставени на субекти на данни в България и Румъния)
+359893341262
martin.gospodinov@linkmobility.com и dpo@linkmobility.com
Дейности, свързани с предадените съгласно настоящите клаузи данни:: предоставяне/използване на комуникационни услуги към адресати
Роля (администратор/обработващ): обработващ
Вносител(и) на данни: [Самоличност и координати за връзка на вносителя(ите) на данни, включително на всяко лице за контакт, което отговаря за защитата на личните данни]
Спецификации, имащи отношение към МОДУЛ ТРИ: Предаване на данни от обработващ към обработващ
1. Име/наименование: [име/наименование на под-обработващ / друг обработващ лични данни в трета държава], както (ако) е посочено в списъка на под-обработващи / други обработващи лични данни в “LINK Mobility sub-processors list” (https://linkmobility.com/list/)
Адрес: [адрес на под-обработващ / друг обработващ лични данни в трета държава], както (ако) е посочено в списъка на под-обработващи / други обработващи лични данни в “LINK Mobility sub-processors list” (https://linkmobility.com/list/)
Име, длъжност и координати за връзка с лицето за контакт: [данни за лицето за контакт на под- обработващ / друг обработващ лични данни в трета държава], както (ако) е посочено в списъка на под-обработващи / други обработващи лични данни в “LINK Mobility sub-processors list” (https://linkmobility.com/list/)
Дейности, свързани с предадените съгласно настоящите клаузи данни: предоставяне/използване на комуникационни услуги към адресати
Роля (администратор/обработващ): обработващ
Спецификации, имащи отношение към МОДУЛ ЧЕТИРИ: Предаване на данни от обработващ към администратор;
2. Име/наименование: Наименование на Клиента съгласно Общите Условия
Адрес: адрес на Клиента, предоставен като информация за контакт в Акаунта на Клиента съгласно Общите Условия;
Име, длъжност и координати за връзка с: както е предоставено от Клиента в информацията за контакт в Акаунта на Клиента според Общите Условия.
Дейности, свързани с предадените съгласно настоящите клаузи данни: предоставяне/използване на комуникационни услуги към адресати
Роля (администратор/обработващ): администратор
Б. ОПИСАНИЕ НА ПРЕДАВАНЕТО
МОДУЛ ТРИ: Предаване на данни от обработващ към обработващ;
МОДУЛ ЧЕТИРИ: Предаване на данни от обработващ към администратор;
Категории субекти на данни, чиито лични данни се предават
Относно МОДУЛ ТРИ:
Категориите, определени от клиента на износителя на данни. Обработването включва обработка на лични данни, свързани с крайни потребители на Клиента на износителя на данни (получатели и/или податели на съобщения в зависимост от използването на договорените услуги от страна на Клиента на износителя на данни);
Относно МОДУЛ ЧЕТИРИ:
Категориите, определени от вносителя/администратора на данни. Обработването включва обработване на лични данни, свързани с крайните потребители на вносителя/администратора на данни (получатели и/или податели на съобщения в зависимост от използването на договорените услуги от страна на вносителя/администратора).
Категории предавани лични данни
Предаваните лични данни се отнасят до следните категории данни:
Основни Лични данни, като име, данни за контакт като имейл, телефонен номер и т.н.
Данни за местоположението, като GPS, Данни за местоположението на Wi-Fi и данни за местоположението, получени от мрежата на износителя на данни (това не са трафични данни, както е определено по-долу).
Трафични данни: лични данни, обработвани във връзка с предаване на комуникация в електронна съобщителна мрежа или фактурирането им;
Данни, свързани със съдържанието на комуникацията, като електронни писма, гласови съобщения, SMS/MMS, данни за сърфиране и др.
Предавани чувствителни данни (ако е приложимо) и приложени ограничения или предпазни мерки, които изцяло вземат предвид естеството на данните и свързаните с тях рискове, като например например строго ограничение на предназначението, ограничения за достъп (включително достъп само за персонал, който е преминал специализирано обучение), водене на регистър на достъпа до данните, ограничения за предаване нататък или допълнителни мерки за сигурност.
Ако е приложимо за конкретната услуга - специални категории лични данни, като например данни, разкриващи расов или етнически произход, политически мнения, религиозни или философски убеждения, членство в профсъюзи или здравни данни.
Честота на предаване (например дали данните се предават еднократно или текущо):
Текущо
Естество на обработването
Относно МОДУЛ ТРИ:
Личните данни ще бъдат обработвани от Клиента на износителя на данни, въвеждащ данните в платформата на износителя на данни или от вносителя на данни през достъпа му до споменатата платформа. Обработването включва производни статистически данни, свързани с предоставянето на услугите – като статуси на доставяне и друга информация съгласно договора за услуги между износителя на данни и Клиента на износителя на данни. Данните допълнително ще бъдат обработени, за да могат съобщенията да бъдат настроени според изискванията на Клиента на износителя на данни, а списъкът на получателите да бъде правилен, преди да бъде иницииран процес за изпращане на съобщения до определените адресати / получатели.
Относно МОДУЛ ЧЕТИРИ:
Личните данни ще бъдат обработвани в резултат на въвеждането на данните от вносителя на данни или от клиента на вносителя на данни в платформата на износителя на данни, чрез достъпа му до споменатата платформа. Обработването включва производни статистически данни, свързани с предоставянето на услугите – като статуси на доставяне и друга информация съгласно договора за услуги между износителя на данни и вносителя на данни. Данните допълнително ще се обработват, за да могат съобщенията да бъдат настроени, както се изисква от вносителя на данни или клиента на вносителя на данни, и списъкът на получателите да бъде правилен, преди да бъде иницииран процес за изпращане на съобщения до определените получатели.
Цел(и) на предаването на данни и по-нататъшната обработване на данните
Относно МОДУЛ ТРИ:
Изпълнение на изискванията на Клиента на износителя на данни за комуникация с получателите.
Относно МОДУЛ ЧЕТИРИ:
Изпълнение на изискванията на вносителя на данни или вносителя на данни за комуникация с получателите.
Срок, за който ще се съхраняват личните данни, а ако това не е възможно – критериите, използвани за определяне на този срок
Обработването ще продължи за срока на договора на вносителя на данни с износителя на данни. Личните данни се запазват, докато е необходимо да се изпълняват целите за обработване.
За прехвърляния към обработващи лични данни (или обработващи лични данни подизпълнители) посочете също предмет, характер и продължителност на обработването
Както е описано съответно по-горе.
В. Компетентен надзорен орган
МОДУЛ ТРИ: Предаване на данни от обработващ към обработващ
Посочете компетентния/ите надзорен орган/органи в съответствие с клауза 13
Надзорният орган, който отговоря за осигуряване на спазването на Регламент (ЕС) 2016/679 от износителя на данни, е този, който е компетентен в държавата, в която е установен износителят на данни.
Когато износителят на данни е установен в Швейцария, страните установяват паралелен надзорен орган:
Федералният комисар по защита на данните и информацията (FDPIC), доколкото предаването на данни се урежда от FADP
Българският надзорен орган по защита на данните (КЗЛД), доколкото предаването на данни се урежда от ОРЗД
ПРИЛОЖЕНИЕ II
ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ, ВКЛЮЧИТЕЛНО ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ ЗА ОСИГУРЯВАНЕ НА СИГУРНОСТТА НА ДАННИТЕ
МОДУЛ ТРИ: Предаване на данни от обработващ към обработващ
ОБЯСНИТЕЛНА БЕЛЕЖКА:
Техническите и организационните мерки трябва да бъдат описани в специфични (а не родови) термини. Виж също общия коментар на първата страница на допълнението, по-специално относно необходимостта ясно да се посочи кои мерки се прилагат за всяко предаване/набор от предавания.
Описание на техническите и организационните мерки, прилагани от вносителя(ите) на данни (включително всички релевантни сертифицирания), за да се гарантира подходящо ниво на сигурност, като се вземат предвид естеството, обхватът, контекстът и целта на обработването, както и рисковете за правата и свободите на физическите лица.
Описание на техническите и организационните мерки за сигурност:
Прилага се съответно Приложението за сигурност на обработването
По отношение на предавания към обработващи лични данни (или обработващи лични данни подизпълнители), опишете също специфичните технически и организационни мерки, които трябва да бъдат предприети от (под-) обработващия лични данни, за да могат да предоставят помощ на администратора, а за прехвърляния от обработващ лични данни на обработващ лични данни подизпълнител — на износителя на данни.
Прилага се съответно Приложението за сигурност на обработването
Клиентът се задължава да не изпраща SMS Съобщения със Съдържание по повод на или отнасящо се до (всички посочени наименования на продукти и/или услуги имат илюстративни/примерни функции, без тяхното изброяване да е изчерпателно/ограничаващо):
информация/реклама относно продукти и/или услуги от списъка в Таблица 1 по-долу; и/или уведомления за транзакции/услуги/ продукти и достъпи, свързани с услуги от списъка в Таблица 1 по-долу до Краен потребител; и/или
уеб страница или друг ресурс с имена на домейна от първо ниво (разширение), което е свързано със страна, различна от България; и/или
Съдържание, които може да бъде свързано с международни услуги за онлайн резервации и/или международни авиокомпании;
имена на оператори на мобилни мрежи, различни от операторите на мобилни мрежи, регистрирани в Република България;
международни системи за електронно плащане (напр. Visa, Mastercard, AmExpress и др.), международни електронни портфейли и/или международни системи за сетълмент (напр. WebMoney, Qiwi Wallet и др.), международни платформи за обработка на електронни плащания (напр. PayPal и др.), международни социални мрежи (напр. Facebook, vkontakte, Google+, odnoklassniki, Twitter, Instagram, fotostrana и др.), международни OTT приложения (напр. Skype, Viber, WhatsApp и др.), международни онлайн игри (напр. World of Tanks, Gameserver, mobitva.com и др.), международни услуги за електронна поща и/или услуги за съхранение на файлове и/или търсачки (напр. Mail.Ru, Yahoo, Rumbler.ru, Google, dropmefiles, ifolder.su, exfile.ru и др.); и/или международни таксиметрови услуги (напр. Uber и др.) и/или международни онлайн магазини и/или международен онлайн търговец на дребно (например Amazon, Ebay и др.);
В случай че Клиентът изпрати SMS Съобщение/я със Съдържание, описано по-горе и/или в Таблица 1, същото може да не бъде доставено до Крайния потребител, но може да бъде таксувано. Настоящото се прилага независимо от всички останали права на ЛИНК.
Таблица 1 (Продукт / услуга, за която се отнася Съдържанието)
DigitalOcean
Amadeus
ePayments
Careem
Loops Live
Binance
Amazon
Lottoland
FreshForex
Nandbox Messenger
BIP
Authy
Qsms
Mewe
Trello
Booking
Badoo
Paysera
The Pattern
Airtime
eBay
Bolt
TianDe
Cob
SendGrid
Cashback
tamTam
IQ Option
buffer
Coinbase
kaztranscom
Xapo
BITEXBOOK
Depop
DingTalk
Unity Ad Showcase
Coinut
ICQ
BlaBlaCar
AdvCash
DSX
Messenger
iHerb
Revolut
Hike messenger
Fibler
Microsoft
KakaoTalk
Signal
Guru
Zadarma
OLX
Mailru
TransferWise
DocuSign
PingID
Snapchat
Maxim
Adobe
KWAI
KoronaPay
Steam
Mulberry
Autodesk
ForexTime
Aeroflot
Tinder
Nord Pool
Electronic Arts
Bitly
AirBnb
Uber
Okru
Likee
HiU - Messenger
B612
Viber
S7 Airlines
Fiverr
IVI
BOT
Skype
Roblox
Glympse
Bumble
Yahoo
Sony Entertainment
Mailchimp
Hoop Messenger
AirSerbia
Apple
Sweatcoin
Stripe
Ding
Terranova
Slack
InTouch
Namecheap
Amazing Talker
TikTok
MyDreams
Transpress
Zenly
Chat-Chat
TinyURL
OlderWomenDating
Turkish Airlines
Zoho
SEO sprint
Truecaller
Hellopal
Twitch
Co-Star
Bitrue
Dergilik
Protonmail
Muzmatch
BigoLive
IRL
Vkcom
G2A.COM
F2Pool
Huawei
My.com
Wargaming
Zangi
Coinsbank.com
Nimses
NOMO
Waze
Alibaba
Agoda
Paxful
51job
WebMoney
CamScanner
Della
KingsGroup
Alpari
Xiaomi
BIP Messenger
Geon
Houseparty
TalkU
Yandex
Pinngle
MASTERS
Gameflip
Alipay
Info SMS
AOL
ToTok
Lyft
GateHub.net
IMO
Gett
Opentalk
LiveMe
Spitball
Mobike
GroupMe
Bit-Z
Kangaroo Drive
Muslim Pro
Netflix
Bingo Blitz
Coinfide
InstaForex
Telegram
PayPal
Dingtone
Clinical Treatment
International Calls
Wire
1.1.
These GTC constitute the basis for LINK’ provision of SSU Services to the Customer.
1.2.
The GTC specify the principles and technical conditions for entering into the Agreement, whose subject matter is the Customer’s access and use of the electronic communications services named “SMSAPI Bulgaria”, usually through the website available on the Internet under the domain name www.smsapi.bg (the “Website”).
1.3.
The term “Agreement” shall be understood within the meaning indicated in section 3.2. of the GTC.
1.4.
The Customer is obliged to get acquainted with the content of and adhere to the GTC and the addendums thereto - integral part to the GTC. Customer’s acknowledgement and acceptance of the aforementioned provisions shall be indicated through the declaration (check box) submitted/actively marked during the registration of the Customer’s Account in SMSAPI Bulgaria.
1.5.
For the purposes of the GTC as well as the performance of the SSU Services, the following definitions are established:
“Account” means the profile of the Customer created by the SSU Services’ system that includes the identification data provided by the Customer. The Account has a unique login (user name) and password.
“Telecommunications Legislation” means the EU Directives 2002/19/EC (Access Directive), 2002/20/EC (Authorisation Directive), 2002/21/EC (Framework Directive), and 2002/22/EC (Universal Service Directive) with later amendments, hereunder 2009/140 and 2018/1972 (EECC), and any local implementations in national law (such as the Bulgarian Electronic Communications Act), as well as any other applicable EU or national legislation regulating the telecommunications sector.
“Data Protection Legislation” means the EU General Data Protection Regulation 2016/679 ("GDPR") and the EU Directive on privacy and electronic communications (“ePrivacy Directive”), and national provisions on the protection of privacy in the country in which the Controller or Processor is established (such as the Bulgarian Personal Data Protection Act), as amended, replaced, or superseded from time to time, including laws implementing or supplementing the GDPR and ePrivacy Directive.
Terms defined in the GDPR article 4 shall be understood in accordance with the GDPR definition.“SMSAPI Bulgaria” means an automized system for sending and/or receiving of Messages by the Customer to/from End-Users of Customer’s choice that is made available as an electronic communications service, usually through the Website.
“End-User” means any subscriber of a mobile service, through an Operator’s network, to which LINK is connected in any way.
“Teleinformation System/s” mean/s a set of computing devices cooperating with each other and the software, which makes it possible to process and/or store, as well as send and/or receive the data through electronic communications networks within the meaning of the Telecommunications Legislation or the scope of the telecommunications sector.
“SSU Services” (or the “Services”) shall refer to SMSAPI Bulgaria services provided by LINK as a prepaid service to the Customer under the present GTC.
“Provision of SSU Services” means LINK’s provision of the SSU Services without simultaneous presence of both parties (from a distance), through transfer of data on Customer’s request, sent/received with the use of Teleinformation Systems and the Operator’s networks, including the digital compression and storage of the data.
“Customer” means a natural or legal person that is a merchant (including a sole entrepreneur within the meaning of the Bulgarian Commerce Аct), that uses the SSU Services provided by LINK for its own commercial purposes and has an active Account in SMSAPI Bulgaria. The SSU Services are not targeted to and may not be used by consumers within the meaning of the Bulgarian Consumer Protection Act.
“Confidential Information” means any provision of the Agreement, any information in oral or written form disclosed by either Party, before and/or after execution of this Agreement, relating to discussions between the Parties as to the provision of services, or to any details as to the business of either Party whether marked as confidential or identified as confidential in any other way, including, but not limited to, network access codes, trade secrets, processes, techniques, software (including source codes and object codes), computer records, hardware configuration, designs, plans, developments, inventions, software, drawings, product information, business and marketing plans and projections, details of agreements or arrangements with third parties and clients and client lists. For the avoidance of doubt, Personal data is governed by the Data Processing Appendix, and does not fall under the confidential information as defined in these GTC.
“User” means individuals who have been authorized by Customer to log in and use the Services on Customer’s behalf.
“Technical Specification” means the collection of specifications / technical requirments about LINK’s Teleinformation System necessary for the utilization of the system for the purposes of the SSU Services’ usage/provision. The Technical Specification constitutes an appendix to the GTC and is available at www.smsapi.bg/docs.
“Message” means a message comprising numerals and/or text and/or audio and/or videos and/or other medias as applicable, which is composed by Customer and/or an End-User and conveyed through SMSAPI Bulgaria to an End-User or composed by an End-User on its mobile handset and conveyed through Operators’ networks via SMSAPI Bulgaria.For avoidance of any doubt, Messages include SMS Messages as defined hereunder and/or OTT Messages, if applicable.
“Content” means a message, including a text message or any binary message, including any executable code or any multimedia message comprising text, audio or video clips, numerals, symbols, animation, graphics, photographs and other materials in digital electronic form, provided by Customer, contained in a Message sent by the Customer by use of the Services, as well as any content that Customer transfers to LINK.
“Operator” means any telecommunication operator, aggregator, Internet Service Provider (ISP), or OTT messaging application provider connected through SMSAPI Bulgaria.
“Sender name” means identifier (if applicable) of the Customer as the sender of the Messages at the beginning of Message’s Content (e.g. company/brand name), representing a combination of letters and/or numbers. Sender name can be up to 11 characters long. Acceptable characters are: a-z A-Z 0-9 . & @ - + _ ! % [space]*, (valid phone number is not acceptable). Each added Sender name may be verified by LINK’s customer support team as well as the Customer shal be required to provide any additional statement in the case of usage of a company/brand name, trade marks etc.
“Special and/or Cyrillic Characters” mean characters not included on the following list:
@ £ $ ¥ € è é ù ì ò Ç Ø ø Å å _ ^ {} \ [ ~ ] | Æ æ ß É ! " # ¤ % & ' ( ) * + , - . / : ; < = > ? 0 1 2 3 4 5 6 7 8 9 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z a b c d e f g h i j k l m n o p q r s t u v w x y z Ä Ö Ñ Ü § ¿ ä ö ñ ü à o “space” and “enter”.“SMS Message” means a text or binary Message as defined in GSM 03.38 Specification. LINK applies the customary commercial usage of universal standards for GSM networks and, in particular, the usage of the 7-bit alphabet – GSM 03.38, i.e., 3GPP TS 23.038 (originally GSM recommendation 03.38), and the 16-bit alphabet – UCS-2, i.e. Universal Coded Character Set defined within the standard ISO/IEC 10646, depicting the standard "Unicode". Whenever any dispute regarding the usage of one or the other of the aforementioned alphabets rises, the 16-bit alphabet – UCS-2 shall be applicable and any and all calculations for initiated by the Customer number of SMS Messages for sending shall be based on the latter.
For the purposes of calculating the number of SMS Messages and their length (single (stand-alone) and related (connected) SMS Messages), the following shal apply:
Length of a single (stand-alone) SMS Message:
* The characters ^ {} [ ] ~ \ | € as well as “enter” are counted as two characters.
Length of a related (connected) SMS Message:
When the Content of SMS Message includes more characters than the maximum length of a single (stand-alone) SMS Message provided above, the number of all SMS Messages shall be calculated as number of related (connected) SMS Messages as follows:
* The characters ^ {} [ ] ~ \ | € as well as “enter” are counted as two characters.
“Over-the-top (OTT) messaging” (only if offered by LINK) shall mean sending a Message type (OTT Message, e.g., Viber Message) where the Message is sent via the Internet by a third party (OTT messaging application provider) to the recipient’s (End-User’s) device. The Specific terms and conditions for OTT messaging (to the extent they are offered on the Website) are further described in section 15.2. below.
2.1.
The GTC cover LINK’s Provision of SSU Services to the Customer and Customer’s access and use of SMSAPI Bulgaria, usually through the Website.
2.2.
The access defined in section 2.1 above is provided with the use of an Account assigned to the Customer (operating via its Users).
2.3.
The Customer is not entitled to make the Account access data in the form of login (user name) and password available to third parties unless otherwise agreed. The Customer shall ensure that account information, including passwords, other logon information and all activity related to the Customer's use of the SSU Services, are kept and treated as confidential information under this Agreement. If account information is made available to third parties, or the Customer becomes aware of anything else that may jeopardize the security and integrity of the SSU Services, the Customer shall immediately change such account information and notify LINK.
2.4.
Unless otherwise agreed, the Customer is required to actively use the Account at least once during a period of 6 (six) consecutive months. In the case LINK identifies a lack of Account’s activity for a period longer than 6 consecutive months, the Account can be removed or suspended by LINK without prior notification.
2.5.
The Customer is not allowed to transfer Account‘s possession or share its usage to/with another entity without LINK’s prior consent.
3.1.
Access to and use of SMSAPI Bulgaria require an agreement to be in place between the parties.
3.2.
The Agreement as specified in section 3.1 is entered into by the Customer’s registration of the Account in the SSU Service and subsequent approval of said Account by LINK. At any point prior to the approval, LINK is entitled to stop/refuse the conclusion of the Agreement. For the purposes of Account approval and/or control over the SSU Services, the Customer shall provide any and all information (including documents – both official (public) and private) requested by LINK and related to the identity of the Customer, its legal representatives, Users, employees, third party contractors (when applicable) and others, their legal and/or financial status, proof of eligibility (merchant status, certificate of incorporation, specimen signature, etc.), bank accounts, credit records and/or other requested information at LINK’s discretion. For further verification, LINK may also require, without being obliged to do so, at any point, the Customer to sign and send to LINK’s registered office a physical (hard) and/or digital copy of these GTC. In case the Customer is required by LINK to sign a digital copy of these GTC, the Customer shall sign via utilization of one of the following signing options:
a qualified electronic signature (QES) under art. 13, para. 3 of the Bulgarian Electronic Document and Electronic Certification Services Act and art. 3, item 12 of Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014; or
an electronic signature DocuSign eSignature, available via the DocuSign online platform for sharing and signing documents electronically (ref. https://www.docusign.com/products/electronic-signature). The Parties agree that electronic signatures affixed through DocuSign eSignature will have the equivalent legal effect of handwritten signatures in accordance with art. 13, para. 4 of the Bulgarian Electronic Document and Electronic Certification Services Act.
For avoidance of any doubt, approval of the Customer’s Account depends entirely on LINK’s own discretion and corporate policies. LINK is not obliged to provide any statement or reason for not approving Customer’s Account.
3.3.
Through the registration of the Account by the Customer certain contact information is being provided. LINK is entitled to send to the Customer’s registered address, e-mail address or via telephone number indicated during the registration, all information (incl. notifications) connected with the Agreement or the performance thereof, as well as with the functioning of the SSU Services. Until provision of the new contact information in a proper manner, the contact information presented during the registration / prior provision of contact information shall be regarded as applicable for contact / notification / exchange of information with/to the Customer.
4.1.
Against the Provision of SSU Services, LINK is entitled to a remuneration as stipulated hereunder.
4.2.
In order to pay for the Provision of SSU Services the Customer shall purchase Points (either separately or a package of Points (hereinafter referred to as ‘’Package’’)) within the functionalities of SMSAPI Bulgaria. The Points are a specific pre-paid digital content, designed to address precise needs that can be used only in a limited way, i.e. in order to acquire only the limited range of SSU Services . Within the service SMSAPI Bulgaria one Point has the nominal value equivalent of BGN 1.00 (one lev), VAТ excluded. This value can be utilized only for the functionalities of the SSU Services, i.e. receiving and sending of Messages.
For avoidance of any doubt, the Points do not constitute electronic money under the definition of point 1 of Article 2 of Directive 2009/110/EC of the European Parliament and of the Council of 16 September 2009 on the taking up, pursuit and prudential supervision of the business of electronic money institutions.
The Customer shall pay the single net price of BGN 1.00 (one lev), VAТ excluded, for the Points (BGN 1 = 1 Point). At the time of purchase of the Points/Package the purchase price paid by Customer – resident of Bulgaria for tax purposes, VAT shall be applied and the purchase price shall be accordingly increased by 20 % in order to accommodate for incurrence of value-added tax (Example: A Package containing 100 Points is offered on SMSAPI Bulgaria for the price of BGN 100 and upon its purchase by Customer – resident of Bulgaria for tax purposes, said Customer shall pay BGN 120 for it).
The Points shall be automatically settled upon initiation by the Customer of Messages’ sending via the SSU Services and/or upon usage of applicable additional services available on SMSAPI Bulgaria. The settlement rate shall be based on applicable LINK price list describing the number of Points required for initiation of Messages’ sending / usage of applicable additional services.
The Points cannot be used in any other way. The Points are subject neither to exchange, nor return. They might have an expiration date assigned to them, which depends on the respective purchased Package/separate Points.
4.3.
The settlement rate of Points required for initiation of Messages’ sending as referred to in section 4.2 above depends on the type of Message and the Operator to which network it is directed. Detailed information on the the applicable settlement rate of Points is published on the Website. The Customer is obliged to check the current applicable settlement rate before initiating the sending process.
4.4.
LINK is entitled to change the settlement rates of Points required for initiation of given type of Messages’ sending / usage of applicable additional services within the SSU Services, at any time and without prior notice. The applicable settlement rates shall be displayed on the Account in a price list section or in any other way ensuring easy access to the information, without any obligation for LINK to inform the Customer in any other way. The aforementioned changes shall not require the approval by the Customer for their effectiveness/applicability.
4.5.
In case the Customer uses the SSU Services for the sending of a Message which Content falls within the forbidden content as defined under the Forbidden Content Appendix below, the settlement rates of Points for this Message shall be in double amount or the Customer shall be charged additionally in the aforementioned amount, in which case the Customer is obliged to pay the additional price immediately following LINK’s notification.
4.6.
The payments for the purchased Points/Packages shall be made by one of the following prepayment methods (provided that and as long as they are applicable and avaible on SMSAPI Bulgaria):
Bank Card Prepayment Terms. If the Customer chooses to pay by bank (credit/debit) card, then it is responsible for ensuring that the bank account associated with the bank card has a sufficient positive balance to cover all ordered payments for purchase. The Customer may not use bank cards that are not owned by and opened in the name of the Customer or its legal representative/s. Furthermore, any prepaid, virtual, one-time usage or other equivalent card/s shall not be deemed as a valid payment method/instrument. If, for any reason, the Customer has a negative balance on its account, or the bank card declines a charge, or the Customer uses prepaid, virtual, one-time usage or other equivalent card/s, then LINK reserves the right to suspend/refuse Provision of SSU Services. Payments via bank card shall be processed by external payment service provider via virtual POS terminal integration with SMSAPI Bulgaria or equivalent on-line payment technology. The sale and subsequent activation/settlement of the purchased Points/Packages depend on the receipt and confirmation by LINK of the entire prepaid amount as per the applicable price list. Each purchase shall be confirmed by an invoice sent to the email address of the Customer provided in the Account information at the time of issuing.
Bank Transfer Prepayment Terms. If the Customer chooses to pay by bank transfer (sending money from its bank account to LINK’s bank account), the Customer shall provide proof of: a) payment (document of bank order); b) ownership of the bank account (the bank account must be owned by and opened in the name of the Customer). Prior to making any payments via bank transfer, the Customer must inform LINK’s customer support team and be approved by LINK for this prepayment method. The sale and subsequent activation/settlement of the purchased Points/Packages depend on the receipt and confirmation by LINK of the entire prepaid amount as per the applicable price list. Each purchase shall be confirmed by an invoice sent to the email address of the Customer provided in the Account information at the time of issuing.
In the case of bank card payments or bank transfer payments, LINK shall not be liable for any costs in connection with fees, commissions or other additional payments made by the Customer or his bank in connection with the transaction itself, and in the cases of currency exchange applied by the bank that issued the card/bank account to the Customer in the cases where the currency is different from BGN.
LINK receives the respective monetary amounts of payments made after processing by the relevant provider of payment services and is not responsible for its actions/omissions.
4.8.
Prices will be subject to additional annual adjustment equivalent to the increase in the labour cost index No further notification of this change shall be needed for its effectiveness.
5.1.
The Agreement is entered into for an unspecified period of time.
5.2.
Each party may terminate the Agreement upon two-weeks’ notice. Before the end of such notice, the Customer should utilize the Points in its possession. LINK does not return the equivalent of Points not utilized by the Customer before the expiration of the notice, nor any payment related to Points’ purchase.
5.3.
LINK may terminate the Agreement without prior notice in the following cases:
5.3.1.
If, at LINK’s own discretion, continuation of the Provision of SSU Services is not commercially justifiable (including in case of price increase by the Operators towards LINK) or in the event of an objective impossibility for LINK to provide completely or partially the SSU Services.
5.3.2.
In case of any identified breach under these GTC or applicable legislation.
5.3.3.
If the Customer is suspected to have provided false or misleading information related to the identity of the Customer, its legal representatives, Users, employees, third party contractors (when applicable) and others, their legal and/or financial status, eligibility (merchant status, certificate of incorporation, specimen signature, etc.), bank accounts, credit records and/or other information provided to LINK (including the Account information).
5.3.4.
If the Customer becomes insolvent or is unable to pay its debts as they fall due or goes into liquidation either voluntarily or as required by law.
5.3.5.
If the Customer’s Account has been unactive for 6 consecutive months.
5.4.
Termination under section 5.3. will lead to loss of any unutilized Points with no right to settlement by LINK.
6.1.
The Customer accepts and agrees that all use of Services is subject to the following:
The Customer accepts and agrees that regardless of the relations between the Customer and any third parties the Customer shall be considered sole sender of the Messages incoming from the Customer’s Account.
Customer shall ensure that before any Message is sent or any Content is made available, all necessary rights, authorizations, licenses, consents, and permissions have been obtained or granted in accordance with applicable law.
The Customer shall use the SSU Services in accordance with the policies from applicable Operators, and any user instructions and other policies and guidelines provided by LINK and shall send Messages only after approval of the Content’s template of the Message according to LINK’s policy/instruction.
The Customer shall ensure that Users comply with this Agreement. In any case, Customer is entirely liable for User’s acts and omissions.
The Customer shall keep complete and accurate records to permit an accurate assessment of the Customer's use of the SSU Services and compliance with the Agreement.
6.2.
The Customer is obliged to abstain from abusing/misusing the SSU Services, including but not limited to:
Indicating false or misleading denoting of the sender;
Sending Messages to End-Users without legal basis according to applicable legislation and not in compliance with the legal requirements;
Allowing the SSU Services to be used for communication through unregulated channels (such as P2P, grey routes) and/or sending Messages not for Customer’s own commercial purposes;
Sending more than 20 messages to the same telephone number within 60 seconds;
Using SSU Services for sending Messages, as follows:
without prior sending their Content’s template to LINK or not in compliance with the approved Content’s template. Such Messages may not be delivered to the End-User, but may be charged accordingly. LINK shall be allowed to filter any and all Messages at its own disretion;
which Content infers (implicitly or explicitly) any purposes related to charity, gambling and/or advertising services/products of any Operator;
which Content falls within the forbidden content as defined under the Forbidden Content Appendix below;
unsolicited Messages as such Messages may constitute breach with applicable legislation or Operator policies.
Systems any data/information/Content that:
Causes interferences in the operation of or overloads the Teleinformation Systems of LINK or any third party that takes direct or indirect part in providing the Services, including but not limited to Operators. The Customer is responsible for ensuring that the Content is (i) free from any viruses, Trojan horses, worms or other detrimental code, (ii) in the agreed format, and is (iii) unable to affect or jeopardize the Services delivered by LINK or LINK's sub-contractor's infrastructure, system, network, services or other customers;
Infringes the rights and/or interests of LINK, third parties, and commonly accepted social norms, as well as usiing the Services not in compliance with the commonly accepted legal norms applicable at the place of sending or at the place to which the Message is sent;
Advertises or promotes Customer’s or third party’s service/s that use value-added voice or SMS numbers, which are connected with collecting increased charges or subscription of payable service, in particular Premium SMS.
6.3.
Should the Customer be in breach with section 6.1 or 6.2 of the GTC, LINK shall be entitled to refrain from providing the Service to the Customer, without having to terminate the Agreement, regardless of other rights to which LINK is entitled.
6.4.
As of the day of the termination of the Agreement between the parties, the Customer is obliged to stop using the SSU Services.
6.5.
LINK has a right of control over the fulfillment of the Customer’s obligations under the Agreement and at its own discretion may suspend and/or remove the Account of the Customer.
6.6.
The Customer is solely and entirely responsible for the form and the Content of Messages being sent with the use of the SSU Services.
7.1.
Teleinformation System related maintenance works, which may cause difficulties or make it impossible for the Customer to use the SSU Services. The dates for and expected durations of such maintenance works will be published on the website or sent by e-mail before the beginning of said works.
7.2.
In the special cases concerning the safety or stability of a Teleinformation System, the Service Provider has a right to temporarily stop or limit the Provision of SSU Services, without prior notification and to conduct the maintenance works aiming at recovering the safety or stability of a Teleinformation System.
7.3.
Difficulties or lack of possibility to use the SSU Services because of the reasons indicated in section 7.1 and 7.2 of the GTC shall not justify any claims against LINK.
8.1.
LINK ensures the confidentiality of the Content of the Messages initiated for sending through the SSU Services, as well as of the information on the entities by and to which the Messages are sent, unless such information is in the public domain as a matter of principle or its disclosure is necessary for the correct provision of the SSU Services. The Information as referred to above may be revealed only in accordance with the applicable law.
8.2.
LINK takes the matters of protection and security of Personal Data seriously and will process such information in accordance with applicable Data Protection Legislation and the Agreement. In order to provide the SSU Services, LINK may process Personal Data about Users and others who access the SSU Services. LINK may disclose Personal Data to third parties as set out in the Agreement.
8.3.
The way of dealing with Personal data, scope and responsibilities of LINK in the processing of Personal Data are described in the Data Processing Appendix to these GTC, which constitutes a written agreement for entrusting the processing of personal data between LINK and the Customer, i.e., a documented instructions in accordance with art. 28, par. 3 (a) of GDPR.
8.4.
The security requirements regarding the processing of Personal Data by the Processor are set out in the Security Appendix to these GTC.
8.5.
In order to facilitate the SSU Services, contact details as part of the Account shall be provided for various purposes, e.g. accounting/financial, technical support/requirements, marketing, etc. The Customer is obliged to properly inform all individuals/Users who have been or will be listed in the Account about the fact of providing their data within the SSU Services and about their rights as data subjects.
8.6.
The User/s, and persons who have been listed in the Account, have the right to access and correct their personal data and request discontinuation of the processing.
8.7.
The User/s, including persons who have been listed by the User/s in the Account, consent to the processing of personal data for purposes related to the Provision of SSU Services, including:
8.7.1.
about changes in the GTC, price lists or privacy policy,
8.7.2.
about changes directly related to the provision of services within the SSU Services, including such as service updates, updates of technical conditions and documentation,
8.7.3.
on the payment status for completed services (on invoice issuance and also the status of the payments), including rebate codes for SSU Services,
8.7.4.
processing of an educational nature / improvements related to the operation of the SSU Services.
8.8.
Any Information related to the mentioned in the section above may be sent, depending on the need, via one of the available channels, by processing the contact data provided in the Account, i.e., traditional mail may be sent after processing physical addresses (registered office, mailing address, etc.), e-mail correspondence (including by an automated ticket service) – email addresses, phone calls, SMS, OTT messaging – phone numbers or by using an accessible chat service.
8.9.
LINK is not liable for any processing of Personal Data performed by any of the payment service providers – SumUp Ltd., company number: 505893, having its registered seat and address at Block 8, Harcourt Centre, Charlotte Way, Dublin 2, D02 K580, Republic of Ireland; United Bulgarian Bank AD, reg. # (UIC): 000694959, having its registered seat and address at 89B Vitosha Blvd., UBB Millennium Center, Sofia, Bulgaria.
8.10.
Other relevant information about privacy is available in the privacy statement/policy of SSU Services.
9.1.
The Customer shall not use or disclose to any person, neither during nor after the term of the Agreement, any Confidential Information, except for purposes consistent with the administration and performance of the Customer's rights or obligations under this Agreement, or as required by law or regulations.
The Customer shall treat as confidential, maintain, keep and protect Confidential Information concerning LINK with a degree of care at least equivalent to the protection of its own Confidential Information.
9.2.
Confidential Information shall not include information that is:
already in the possession of the receiving Party without an obligation of confidentiality.
rightfully furnished to the receiving Party by a third party, other than any third party relevant under this Agreement, without a breach of any separate nondisclosure obligation; or
already publicly available without breach of the Agreement.
10.1.
The SSU Services are provided "as is". To the extent permitted by law, LINK disclaims all warranties, either expressed or implied, statutory or otherwise, including without limitation warranties of functionality, fitness for a particular purpose or non-infringement.
10.2.
LINK does not warrant that the SSU Services will be error-free, that the use of the Services will be uninterrupted or error-free, or that the SSU Services do not contain any viruses. The Customer accepts and agrees that messages may not reach the intended recipient, and that the Customer carries all risks related to the use of the Service.
11.1.
The Customer shall indemnify LINK against all damages, claims, costs, losses and expenses because of a third party claiming that the use by the Customer of any derivate work created by the Customer by using the content of, or the Services constitutes an infringement of their Intellectual Property Rights. The Customer shall bear full responsibility for the type, content, quality and organization of the Customer service, including the Content of the Messages sent in relation thereto and the Customer’s liability for breach of the Agreement shall not be limited unless any applicable law requires so.
11.2.
LINK shall not be liable for errors in the Provision of the SSU Services that result from failures or incorrect functioning of the Teleinformation Systems, unless they are caused by circumstances attributable entirely and exclusively to LINK. The Customer acknowledges that the Internet and the Operators’ networks are inherently insecure. Accordingly, the Customer agrees LINK is not liable for any changes to, interception of, or loss of Customer data/Messages while in transit via the Internet or the Operators’ networks.
11.3.
LINK shall not be liable for the lack of possibility to access the Services that results from incorrect registration/login attempt by the Customer/User.
11.4.
In the case of damage or loss, LINK has a right to claim compensation.
11.5.
LINK shall not be liable for indirect or consequential damages.
11.6.
The above restrictions do not apply to damages caused by fraud, gross negligence or intentional misconduct.
11.7.
LINK’s total aggregate liability to the Customer will in no event exceed the fees paid (paid amounts for purchased Points/Packages) by Customer in the period of 12 consecutive months prior to the date the Claim arose, excluding operator fees for Customer’s message transactions and taxes.
12.1.
Complaints can be submitted due to the failure to provide, correctly provide, or correctly settle the Services.
12.2.
The complaint shall be submitted through electronic mail to the e-mail address: support@smsapi.bg. The Customer is obliged to provide in its complaint the data/information allowing for identification of the Message sent.
12.3.
The complaint can be filed within 7 days from the date of sending the Message to which such complaint applies.
12.4.
The complaint about the failure to provide or failure to correctly provide the Services must, in particular, include the subject matter of and the circumstances that justify such claim, as well as a precise description of the Customer’s claim.
12.5.
LINK shall consider the complaint within 14 days from the complaint submission date. If the complaint cannot be considered during the above period of time, LINK shall during said period inform in writing (e-mail) the Customer about the reasons for such delay and the expected timeframe of complaint consideration.
12.6.
A breach of the complaint procedure justifies the complaint rejection.
12.7.
The right to pursue claims arising from the Agreement in court proceedings is vested in the Customer after the complaint procedure has been exhausted.
13.1.
Pursuant to recital 259 of EECC's preamble, art. 102, para 1, 2, 3 and 5 of EECC, if the Customer is a microenterprise, small enterprise, or not for profit organisation, it hereby waives the right to:
have the Agreement made available to the Customer in a durable medium;
have a summary of the Agreement provided to the Customer; and
be notified when the usage of SSU Services based on volume or time limits reaches the limits of the Customer’s tariff plan, if applicable.
13.2.
In addition, pursuant to art. 105, para 1 and 2 of EECC, the Customer’s purchases may set out a commitment period. In the event this period is longer than the maximum statutory period, the Customer hereby waives the right to a shorter commitment period.
13.3.
If the Customer does not wish to waive the foregoing rights, it should contact LINK’s customer support team.
14.1.
LINK has the right to perform audits of the Customer's books and records, to interview relevant Customer representatives, and accessing the Customer's services, products, content and/or hardware, to validate that the Customer's use of the SSU Services is compliant with the Agreement.
If an audit reveals non-compliance by the Customer, the Customer shall remedy such breach immediately after receipt of notice from LINK. Such remedy shall be without prejudice to any other rights or remedies applicable under the Agreement.
14.2.
The Customer agrees to place its name, trade mark and/or logo on the LINK's website. The Customer authorizes LINK to place its name, trade mark and/or logo in internal materials used for the needs of LINK.
14.3.
This Agreement does not authorize the LINK to use, in any other manner than the one resulting from this Agreement, trademarks, advertising slogans, trade names or other intellectual property rights to which the Customer is entitled.
14.4.
All declarations of the parties which are connected with the Agreement entered into by and between them shall be sent to the User/s’ or other persons’ listed in the Account addresses or e-mail addresses as indicated during the Account registration. The User/s is/are obliged together with the Customer to immediately inform LINK about any changes of the contact data. If the respective party has not notified of the change in the manner set out herein, all notices served at the contact data set out in the Account until that happens shall be considered validly served.
14.5.
The Agreement shall be governed and interpreted under the laws of Bulgaria. In the absence of an amicable solution any dispute, controversy or claim arising out of or in connection with these GTC or the Agreement must be brought to the competent courts in Sofia, Bulgaria.
14.6.
LINK reserves the right to introduce changes to the GTC.
14.7.
LINK reserves the right to monitor, store and archive the Content of SMS Messages sent, and the IP addresses of the computers from which the Messages are sent, to which the Customer gives consent. The data are stored in order to prove the sending of the Messages in the case of dispute / infringement of the GTC, and also in order to ensure compliance and assistance to the competent authorities in relation to the SSU Services.
14.8.
If any provision of this Agreement is deemed invalid, this shall not prejudice the validity of the other provisions.
14.9.
The appendices to these GTC are an integral part of the Agreement between the parties, hereunder: Data Processing Appendix, Security Appendix, Scope Appendix, Forbidden Content Appendix and the Technical Specification available at www.smsapi.bg/docs.
15.1.
The Customer accepts and understands that the following terms shall apply to the Customer’s use of the Services when certain available communication channel / service is applicable.
15.2.
ОТТ Messaging Terms.
By entering into Agreement with LINK, the Customer declares to be aware of and adhere to the applicable OTT messaging policies, including but not limited to the Viber Service Messages General Guidelines, which refer to business messaging through Viber. The OTT messaging policies constitute the terms and conditions and/or the policies at a given moment which shall apply to each End-User of the OTT messaging application or apply to business messaging performed through the OTT messaging application, including all guidelines, prescriptions and other documents by the OTT messaging application provider (e.g. part of such policies related to Viber could be found at: https://www.viber.com/terms and in the up-to-date Viber guidelines).
“OTT messaging application provider” shall mean the owner and/or any authorized operator (e.g., distributor) of the ОТТ messaging, enabling chat, VoIP (internet telephony) and/or other information society services via a mobile or desktop application (i.e., Viber Media S.a.r.l.).
“ОТТ messaging application” shall mean a mobile or desktop application developed by а OTT messaging application provider (i.e., Viber application) and accessible for use by the End-User by its installation on a mobile phone, tablet or desktop and registration of a profile through a mobile telephone number or any other way.
“Shared Sender” shall mean a shared account for sending of Viber Messages by not only the Customer but also by other clients of LINK. The Shared Sender shall be visualized on the interface of the Viber application upon receipt/sending of Viber Messages with the distinguishing signs of LINK – account image (such as, but not limited to, an image, a picture, logo, etc.). For the avoidance of any doubt, the mentioned shall be visualized without affecting in any way whatsoever the actual sender of the Messages identified at the beginning of each Message’s Content, i.e., the Customer.
“Individual Sender” shall mean an individual account for sending of Viber Messages, which shall be used for sending of Viber Messages only by the Customer. The Individual Sender shall be visualized on the interface of the Viber application upon receipt/sending of Viber Messages with the distinguishing signs of the Customer (the actual sender of the Messages) - account image (such as, but not limited to, an image, a picture, logo, etc.).
“Transactional Messages” shall mean Viber Messages containing only text without any advertising material, promotional information and/or any congratulatory text and may not contain any graphical part, including but not limited to pictures, active buttons, links and others.
“Promotional Messages” shall mean Viber Messages containing: 1) text with advertisement/promotional content or being congratulatory in nature; and/or 2) graphical part, including but not limited to pictures, active buttons, links and others.
Length of а OTT Message – dependent on the specific OTT service (e.g., a Viber Message with or without Special and/or Cyrillic Characters contains maximum 1000 (one thousand) characters).
Introduction
This Data Processing Appendix (“DPA”) is entered into by LINK and the Customer, and constitutes an integral part of the GTC and the Agreement, together with the Scope Appendix, the Security Appendix; the Standard contractual clauses (“SCC”) Appendix and any other agreed appendices.
When the data exporter, as defined in the SCC Appendix, is based in Switzerland, the references to the GDPR in the SCC should be understood as references to the Federal Act on Data Protection of 19 June 1992 and its revised version of 25 September 2020 (FADP) insofar as the data transfers are subject to the FADP.
When the data exporter, as defined in the SCC appendix, is based in Switzerland, the SCC clauses also protect the data of legal entities until the entry into force of the revised FADP.
"Data Protection Legislation" shall mean the EU General Data Protection Regulation 2016/679 ("GDPR") and the EU Directive on privacy and electronic communications (ePrivacy Directive), and national provisions on protection of privacy in the country in which the Controller or Processor is established, as amended, replaced or superseded from time to time, including laws implementing or supplementing the GDPR and ePrivacy Directive.
Terms defined in the GDPR article 4 shall be understood in accordance with the GDPR definition.
Scope and commitment
The Parties agree and acknowledge that, in LINK’s performance of services under the Agreement, processing or personal data on customer’s behalf will take place. Customer therefore appoints LINK as data processor. The terms and conditions of data processing are set forth in this DPA. LINK guarantees that it will implement appropriate technical and organizational measures in such a manner that LINK’s processing will meet the requirements of the Data Protection Legislation and ensure the protection of the rights of the Data Subject.
This DPA covers processing of personal data when LINK processes on the Customer’s behalf as processor (GDPR Article 28.3) or, if the Customer is itself a processor, as a sub-processor (GDPR Article 28.4).
For the purpose of this DPA, Customer shall hold the obligations of Controller, and is fully responsible towards a controller on whose behalf it processes Personal Data by use of LINK’s services. Reference to the “Controller” herein will therefore in all cases be a refer to the Customer.
Subject to the Customer being based in Third Country located outside the European Union (EU) or the European Economic Area (EEA) and without an adequacy decision by the European Commission, the SCC Appendix, Module four shall apply to the processing activities requiring personal data transfers from LINK as processor to the Customer.
LINK as processor, its Sub-processors, and other persons acting under the authority of LINK who have access to the Personal Data shall process the Personal Data only on behalf of the Controller and in compliance with the Agreement and the Controller's documented instructions, and in accordance with the DPA, unless otherwise stipulated in the Data Protection Legislation.
LINK shall inform the Controller if, in LINK's opinion, an instruction infringes the Data Protection Legislation.
LINK’s processing of personal data as controller is available in the privacy section of https://linkmobility.com/privacy/.
Obligations of the controller
The Controller warrants that the Personal Data is processed lawfully, for specified, explicit and legitimate purposes. The Controller will not instruct LINK to process more Personal Data than required for fulfilling such purposes.
The Controller is responsible for ensuring that a valid legal basis for processing as defined in the Data Protection Legislation (ref. GDPR Article 6.1) exists at the time of transferring the Personal Data to LINK. If such legal basis is consent (ref. GDPR Article 6.1 (a)) the Controller warrants that any consent is given explicitly, voluntarily, unambiguously and on an informed basis.
In addition, the Controller warrants that the Data Subjects to which the personal data pertains have been provided with information required under the Data Protection Legislation (ref. GDPR article 13 and 14) on the processing of their Personal Data.
Any instructions regarding the processing of Personal Data carried out under this DPA shall primarily be submitted to LINK. In case the Controller instructs a Sub-processor appointed in accordance with section 10 of the DPA directly, the Controller shall immediately inform LINK hereof. LINK shall not in any way be liable for any processing carried out by the Sub-processor as a result of instructions received directly from the Controller, and such instructions result in a breach of this DPA, the Agreement or Data Protection Legislation.
Confidentiality
LINK ensures that its employees, its Sub-processors, and other persons who process the personal data by authority of LINK have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality.
The Controller is subject to a duty of confidentiality regarding any documentation and information, received by LINK, related to LINK or LINK’s Sub-processors' implemented technical and organizational security measures, or information which LINK’s Sub-processors have defined as confidential. However, Controller may always share such information with supervisory authorities if necessary, to act in compliance with Controller's obligations under Data Protection Legislation or other statutory obligations.
Security
The security requirements applying to LINK's processing of Personal Data is governed by Security Appendix to the DPA.
Access to Personal data and fulfilment of Data Subjects' rights
Unless otherwise agreed or dictated by applicable law, the Controller is entitled to request access to personal data being processed by LINK on behalf of the Controller.
If LINK, or a sub-processor, receives a request from a Data Subject relating to processing of Personal Data processed on behalf of the Controller, LINK shall send such request to the Controller, for the Controller's further handling thereof, unless otherwise stipulated in statutory law.
Taking into account the nature of the processing, LINK shall assist the Controller by appropriate technical and organizational measures, insofar as this is possible, for the fulfilment of the Controller's obligation to respond to requests for exercising the Data Subject's rights stipulated in Data Protection Legislation, including the Data Subject's right to (i) access to its Personal Data, (ii) rectification of its inaccurate Personal Data; (iii) erasure of its Personal Data; (iv) restriction of, or objection to, processing of its Personal Data; and (v) the right to receive its Personal Data in a structured, commonly used and machine-readable format (data portability). To the extent Customer requests assistance exceeding the requirements towards processors in the GDPR, LINK shall be compensated for such assistance at LINK's then current rates.
Other assistance to the Controller
If LINK, or a Sub-processor, receives a request for access or information from the relevant supervisory authority relating to the registered Personal Data or processing activities subject to this DPA, LINK shall notify the Controller, for the Controller's further processing thereof, unless LINK is entitled to handle such request itself.
If the Controller is obliged to perform a Data Protection Impact Assessment and/or Prior consultation with the supervisory authority in connection with the processing of Personal Data under this DPA, LINK shall provide assistance to the Controller, taking into account the nature of processing and the information available to LINK. To the extent Customer requests assistance exceeding the requirements towards processors in the GDPR, the Customer shall bear any costs accrued by LINK related to such assistance.
Notification of Personal Data Breach
LINK shall notify the Controller without undue delay after becoming aware of a Personal Data Breach. The Controller is responsible for notifying the Personal Data Breach to the relevant supervisory authority in accordance with GDPR article 33.
The notification to the Controller shall be sent to the e-mail indicated by the Account’s registration, or provided later at the Account, in accordance with the Agreement concluded under GTC, and as a minimum describe (i) the nature of the Personal Data Breach including where possible, the categories and approximate number of Data Subjects concerned and the categories and approximate number of Personal Data records concerned; (ii) the likely consequences of the Personal Data Breach; (iii) the measures taken or proposed to be taken by LINK to address the Personal Data Breach, including, where appropriate, measures to mitigate its possible adverse effects.
In the event the Controller is obliged to communicate a Personal Data Breach to the Data Subjects, LINK shall assist the Controller, taking into account the nature of processing and the information available to LINK. The Controller shall bear any costs related to such communication to the Data Subject.
Transfer to Third Countries
Transfer of Personal Data to countries located outside the European Union (EU) or the European Economic Area (EEA) and without an adequacy decision by the European Commission, hereunder by disclosure or provision of access, may only occur in case of documented instructions from the Controller.
For transfer to sub-processors, the documented instructions are described in section 10 below, and is subject to EUs standard contractual clauses as provided in the SCC Appendix, Module three - transfers from LINK as processor to a sub-processor in a Third Country.
The Customer accepts and understands that transfer to operators in Third Countries that is necessary to transmit messages to recipients located in such countries is not covered by the requirements herein.
Use of sub-processors
The Controller agrees that LINK may appoint another processor, hereinafter referred to as sub-processor, to assist in providing the services and processing Personal Data under the Agreement, provided that LINK ensures that the data protection obligations as set out in this DPA and in Data Protection Legislation are imposed upon any Sub-processor by a written agreement; and that any Sub-processor provides sufficient guarantees that they will implement appropriate technical and organizational measures to comply with Data Protection Legislation and this DPA, and will provide the Controller and relevant supervisory authorities with access and information necessary to verify such compliance.
LINK shall remain fully liable to the Controller for the performance of any Sub-processor.
Applicable sub-processors are listed in Scope Appendix. LINK may update the list to reflect any addition or replacement of Sub-processors by notification to the Customer at least 3 months prior to the date on which such Sub-processor shall commence processing of Personal Data. Any objection to such changes must be provided to LINK within 3 weeks of receipt of such notification or publication on the website. In case of an objection from Customer as to the supplementing or change of a Sub-processor, LINK may terminate the Agreement and this DPA with 1 months’ notice.
By entering into this DPA, the Customer grants LINK authority to secure any legal basis for Transfer to Third Countries for any Sub-processor approved in accordance with the procedure stipulated above. If Customer is not itself controller, Customer will ensure such grant from controller. Upon request, LINK shall provide the Controller with a copy of the EUs standard contractual clauses under the SCC Appendix, Module three or description of the legal basis for Transfer.
LINK shall provide reasonable assistance and documentation to be used in Controller's independent risk assessment in relation to use of Sub-processors or Transfer of Personal Data to a Third Country.
Audits
LINK shall, upon request, provide the Customer with documentation of implemented technical and organizational measures to ensure an appropriate level of security, and other information necessary to demonstrate LINK's compliance with its obligations under the DPA and relevant Data Protection Legislation.
Controller and the supervisory authority under the relevant Data Protection Legislation shall be entitled to conduct audits, including on-premises inspections and evaluations of Personal Data being processed, the systems and equipment used for this purpose, implemented technical and organizational measures, including security policies and similar, and Sub-processors. Controller shall not be given access to information concerning LINK's other customers and information subject to confidentiality obligations.
Controller is entitled to conduct such audits one (1) day per year, upon no less than two weeks’ notice. If Controller appoints an external auditor to perform the audits, such external auditor shall be bound by a duty of confidentiality. Controller shall bear any costs related to audits initiated by Controller or accrued in relation to audits of Controller, including compensation to LINK to the extent Controller requires support exceeding the requirements in the GDPR. LINK shall nevertheless bear such costs if an audit reveals non-compliance with the DPA or Data Protection Legislation.
Term and termination
The DPA is valid for as long as LINK processes Personal Data on behalf of the Controller.
In the event of LINK's breach of the DPA or non-compliance of the Data Protection Legislation, the Controller may (i) instruct LINK to stop further processing of Personal Data with immediate effect; and/or (ii) terminate the DPA with immediate effect.
Effects of termination
LINK shall, upon the termination of the DPA delete all the Personal Data to the Controller unless otherwise stipulated in applicable law. Customer accepts and understands that Personal Data is accessible by it until termination, should Customer require copies of such data before deletion.
Upon Customer’s request, LINK shall document in writing to the Controller that deletion has taken place in accordance with the DPA.
Breach of the DPA and Limitation of liability
Each party’s non-conformity with requirements set out in this DPA shall be regarded as a breach of agreement by that party, and the party shall ensure that breach is remedied without delay. The party in breach shall update the other party on measures adopted to remedy the non-conformity. Neither party shall be liable to the other party for errors caused by the other party's systems or actions, negligence or omissions, or by general internet or line delays, power failure or other error outside the parties’ reasonable control.
Liability limitations in the Services Agreement between the parties apply to liability under this DPA.
Notices and amendments
All notices relating to the DPA shall be submitted in writing to the email address indicated by the Account’s registration, or provided later at the Account, in accordance with the Agreement concluded under GTC.
In case changes in Data Protection Legislation, a judgement or opinion from another authoritative source causes another interpretation of Data Protection Legislation, or changes to the services under the Agreement require changes to this DPA, LINK will propose implementation of such changes into the DPA.
Any modification or amendment of this DPA shall be effective only if agreed in writing and signed by both parties.
Governing law and legal venue
The Service Agreement’s terms regarding governing law, dispute resolution method and legal venue agreement shall apply if the location is within the EU or EEA. In other cases, the governing law shall be Bulgarian, and the legal venue shall be the courts of Sofia.
Description of the technical and organisational security measures:
IT policies and security practices
The Processor maintains and observes IT policies and security practices, which are obligatory for the Processor’s employees.
The Processor reviews its policies for IT security at least once per year, as well as amends and/or supplements these policies when it deems necessary in order to maintain personal data protection.
Security compliance by the employees
The Processor applies a system of organizational measures towards the individuals who process personal data. The Processor’s personnel is obliged to:
be familiar with the Data Protection Legislation;
be familiar with the Processor’s privacy policy relevant to the Service and the guidelines for its application;
comply with the confidentiality and protection of personal data.
The Processor applies measures for personal data protection which guarantee the access to such data only for persons whose professional obligations or a concretely assigned task for implementation of the Service require such access in compliance with the principle ”Necessary to know’.
Physical protection concerning access control
The Processor maintains appropriate control over the physical access through a system of technical and organizational measures for prevention of unauthorized access to buildings, premises and equipment where the Controller’s personal data are processed. This physical security is applied to controlled data centers and controlled zones and premises where the Controller’s personal data are stored or processed in another way.
The Processor observes the following minimum organizational measures for physical protection:
designates zones with controlled access for storage and other forms of processing of personal data;
designates zones with controlled access where the elements of the communication-information systems for personal data processing are located;
maintains systems and policies for organization of the physical access, including to outside persons;
provides technical equipment for physical protection;
provides a team for reaction in the event of personal data breach.
The access to the data centers and the controlled zones in the data centers, where Controller’s personal data are present, is limited in accordance with the position of the respective employee of the Processor.
Any person who enters the data centers or the controlled zones in the data centers, should register upon entrance in the premises, by identifying themselves and should be accompanied by an authorized employee/s of the Processor. Any access authorization should be planned in advance and should require approval by an authorized employee of the Processor.
The Processor takes precautionary measures for protection of the physical infrastructure of the data centers from threats, whether there are natural or a result of a human intervention.
Document protection
The Processor applies appropriate documentary protection as a system of organizational measures during processing of personal data in paper form.
The Processor observes the following minimum measures of documentary protection:
establishes and maintains access policy;
regulates the access to the registries;
establishes and maintains procedures for destroying of personal data.
IT systems and security of the network
The Processor applies protection of the automated information systems and networks through a system of technical and organizational measures for protection from unauthorized access and procession of personal data.
The Processor observes the following minimum measures for protection of the automated information systems and networks:
establishes and maintains access policy;
designates roles and responsibilities of the employees having access to systems processing personal data;
applies identification and authentication;
applies session controls;
maintains description of the external connections and of the employees having remote access;
performs supervision of systems, networks and connections in view of eventual attacks or personal data leakage;
provides protection against viruses;
provides copies and back-up copies for restoration (back-up);
describes the information mediums;
prepares and maintains procedures for destruction, deletion or erasure of information mediums.
The Processor applies cryptographic protection through a system of technical and organizational measures in view of personal data protection from unauthorized access upon transmission, spreading or provision.
The Processor maintains the architecture of documentary security of networks run by it during provision of the Service. The Processor reviews separately this network architecture, including measures for prevention of unauthorized network connections to systems, applications and network devices, in view of compliance with the standards for segmenting, isolating and protection in depth prior to implementation.
The Processor maintains measures which are aimed at logical separation, prevention of exposure and unauthorized access to personal data of the Controller.
The Processor pseudonymises the personal data of the Controller which is not designated for public and/or unverified access during exchange of personal data of the Controller through public networks by using cryptographic protocol (such as HTTPS, SFTP or FTPS) in view of secure exchange of the data on/via the public networks.
The Processor pseudonymises the personal data of the Controller when this is stipulated in the Agreement. If the Service entails management of cryptographic keys, the Processor will maintain the respective procedures for generating, issuance, spreading, storage, rotation, annulment, restoration, back-up, destruction, access and use of such keys.
Upon processing of the personal data of the Controller, the Processor limits the access to the respective lowest level necessary for provision and maintenance of the Services. This access, including the administrative access to all main components (privileged access), is individual, based on a role and is subject to approval and regular validation by an authorized employee/s of the Processor, by observing the principles of separation of the obligations and minimization of processing.
The Processor maintains systems for identification and removal of unnecessary and passive accounts with privileged access and immediately removes, when this is relevant, this access upon change in the position or termination of the employment, as well as at the demand of authorized employees of the Processor, for instance the respective direct manager.
In accordance with the standard commercial practices the Processor maintains the technical measures which demand closure of inactive sessions, blocking of accounts following several consecutive unsuccessful entrance attempts, strong password or certification through a password and measures requiring secure transfer and storage of such passwords.
The Processor controls the use of privileged access and maintains measures for security of information and event management aimed at: a) identifying unauthorized access and activity; b) facilitating timely and appropriate reaction; c) allowing internal or independent audits for compliance with the applicable policies of the Processor.
The logs, in which the privileged access and activities are recorded, will be backed up in compliance with the rules for storage and accountability established by the Processor. The Processor will maintain measures aimed at protection from unauthorized access, modification and casual or intentional destruction of such logs.
To the extent that this is maintained by the functionality of the respective device or operational system, the Processor maintains computer security of the informational systems containing personal data of the Controller which include, without limitation to: locking of screens at certain intervals and solutions for management of endpoints which apply configurations of the security and requirements for patching, protection walls of the endpoints (endpoint firewalls), encrypting of the entire disc space, identification and removal of malicious software (malware). These are a) regularly updated by the central location and b) are logged at the central point.
Integrity of the activities and access control
The Processor is obliged to:
hold tests for penetration and vulnerability, including automated scanning of the security of the systems and the applications and manual ethical hacking prior to the initial supplies and annually following this;
require from a qualified third party to hold tests for penetration at least once per year;
make automated management and routinely check-ups for compliance of the main components with the requirements of the configuration of the protection;
restore the identified vulnerabilities or incompliance with the requirements for configuration of the security based on the risk associated therewith, exploitation capacity and impact. The Processor takes reasonable steps in order to avoid interruption of the Services when holding its tests, assessments, scans and maintenance activities.
back up systems, containing personal data of the Controller;
guarantee that at least one point of back up is in a location separated from the production systems;
confirm the integrity of the backed-up data through regular holding of tests for restoration of data.
The Processor maintains procedures aimed at management of the risks associated with implementation of the changers in its activity. Prior to their integration, the changes in a certain service which is part of the Services, including its systems, networks and main components, will be documented in a request for change, which will include description and a reason for the change, details and schedule for implementation, risk assessment and impact over the service, expected result, plan for reversal and documented approval by an authorized employee/s of the Processor.
Scope of the processing
The DPA concerns LINK's processing of Personal Data on behalf of the Controller in connection with provision of messaging services. The Messaging Services include Controller’s access to LINK’s solutions for managing messaging to message recipients chosen by Controller for purposes and frequency as chosen by Controller by use of the service. The Agreement will provide further insight into the specific type of messaging services provided to Controller under the Agreement.
Categories of Data Subjects
The categories of Data Subjects whose personal data may be processed under this DPA are defined by controller. The processing involves processing of Personal Data related to Controller's end-users (recipients and/or senders of messages depending on the Controller's use of the services under the Main agreement)
Types of Personal Data
The Processing relates to the following categories types of Personal Data, subject to the Controller's concrete use of the services:
Basic Personal Data, such as name, contact details such as email, phone number etc.
Location data, such as GPS, Wi-Fi location data and location data derived from LINK's network (that is not traffic data as defined below).
Traffic data: personal data processed in relation to the conveyance of communication on an electronic communications network or billing thereof.
Data related to content of communication, such as e-mails, voice mails, SMS/MMS, browsing data etc.
Special categories of Personal Data, such as data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, trade union membership or health data, will be processed under this DPA if the services are used by customer to process such data.
Subject-matter of the processing
The subject-matter of LINK’s processing of personal data on the customer’s behalf is the provision of services to the Customer that require processing of personal data. Personal data will be subject to processing activities as specified in the main agreement.
Duration of the processing
The processing will continue for the duration of Customer’s contract with LINK. LINK will retain Personal Data for as long as it is necessary to fulfil the purposes for processing.
Nature of the processing
Personal data will be processed by Customer entering the data into LINK’s platform, either through its access to LINK’s platform, or by providing data to LINK employees in order for them to enter data to the customer’s area of the platform. The data will further be processed in order for messages to be set up as required by customer, and the list of recipients to be correct, before the process for sending the defined messages to the defined recipients is initiated.
Purpose of the processing
The purpose of engaging LINK to process personal data on customer’s behalf is for customer to fulfil its requirements for communication towards recipients
Sub-processors
The Sub-processors approved under this DPA are found in LINK Mobility sub-processors list - LINK Mobility International
The following Sub-processors are also approved by Customer (if applicable under the Agreement’s services), in addition to LINK’s Affiliates, listed in the “Subsidiary companies” section on LINK Mobility sub-processors list - LINK Mobility International.
| Sub-Processor | Type of processing | Country, location |
|---|---|---|
| EVRISTA EOOD, with UIC: 175200012, with headquarters at 8 Munich Str., Sofia, Bulgaria Service | Support of computer equipment - servers, workstations, peripherals, active network equipment and system and standard (office) application software | Sofia, Bulgaria |
| FTS BULGARIA Ltd., with UIC: 831166152, with registered office at Bulgaria Blvd., Business Center Belissimo, 5th floor, office 58, Vitosha district, Sofia 1680, Bulgaria | Technical support of the ERP system Microsoft Dynamics 365 | Sofia, Bulgaria |
| AMAZON WEB SERVICES EMEA SOCIÉTÉ À RESPONSABILITÉ LIMITÉE (SARL), reg. № B 186284, address: 38 Avenue John F. Kennedy, L-1855 Luxembourg | Data center services, VPS used for services provided by Tera Communication ADLINK | EEA |
This DPA is regarded as an instruction from Customer to transfer Personal Data to the listed sub-processors.
(As per COMMISSION IMPLEMENTING DECISION (EU) 2021/914 of 4 June 2021 on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council)
between
LINK, and its affiliates established within EEA
hereinafter “data exporter”
and
The Customer (MODULE FOUR) or the respective Sub-processor in Third Country (MODULE THREE)
hereinafter “data importer”
The SCC text is found at: Publications Office (europa.eu)
The Data exporter and Data importer enter into SCC with the following modules:
MODULE ONE: Transfer controller to controller: No
MODULE TWO: Transfer controller to processor: No
MODULE THREE: Transfer processor to processor: If and to the extent applicable: Yes (in case of a sub-processor in Third Country) / No (in case of Customer in Third Country)
MODULE FOUR: Transfer processor to controller: _Yes (in case of Customer in Third Country) / No (in case of a sub-processor in Third Country)
Specifications required for each applicable module follow below:
Specifications relevant to MODULE THREE: Transfer processor to processor
Clause 7 – The Parties agree that this clause shall be included:
Docking clause (a) An entity that is not a Party to these Clauses may, with the agreement of the Parties, accede to these Clauses at any time, either as a data exporter or as a data importer, by completing the Appendix and signing Annex I.A. (b) Once it has completed the Appendix and signed Annex I.A, the acceding entity shall become a Party to these Clauses and have the rights and obligations of a data exporter or data importer in accordance with its designation in Annex I.A. (c) The acceding entity shall have no rights or obligations arising under these Clauses from the period prior to becoming a Party.
Clause 9 – The Parties agree that Option 2 part of the clause shall apply to them:
[OPTION 2: GENERAL WRITTEN AUTHORISATION The data importer has the controller’s general authorisation for the engagement of sub-processor(s) from an agreed list. The data importer shall specifically inform the controller in writing of any intended changes to that list through the addition or replacement of sub-processors at least 3 months in advance, thereby giving the controller sufficient time to be able to object to such changes prior to the engagement of the sub-processor(s). The data importer shall provide the controller with the information necessary to enable the controller to exercise its right to object. The data importer shall inform the data exporter of the engagement of the sub-processor(s).]
Clause 11 – The Parties agree that this optional part of the clause shall not be included:
[OPTION: The data importer agrees that data subjects may also lodge a complaint with an independent dispute resolution body at no cost to the data subject. It shall inform the data subjects, in the manner set out in paragraph (a), of such redress mechanism and that they are not required to use it, or follow a particular sequence in seeking redress.]
Clause 17 – The Parties agree that Option 1 part of the clause shall apply to them:
[OPTION 1: These Clauses shall be governed by the law of one of the EU Member States, provided such law allows for third-party beneficiary rights. The Parties agree that this shall be the law of the state in which the data exporter is established.]
When the data exporter is based in Switzerland the Parties agree these Clauses shall be governed by the law of:
Switzerland (when the data transfer is exclusively subject to the FADP)
Bulgaria (when the data transfer is subject to both the FADP and the GDPR)
Clause 18:
(a) Any dispute arising from these Clauses shall be resolved by the courts of an EU Member State.
(b) The Parties agree that those shall be the courts of the state in which the data exporter is established.
When the data exporter is based in Switzerland the Parties agree that any dispute arising from these Clauses shall be resolved by the courts of:
Switzerland (when the data transfer is exclusively subject to the FADP)
Bulgaria (when the data transfer is subject to both the FADP and the GDPR)
(c) A data subject may also bring legal proceedings against the data exporter and/or data importer before the courts of the Member State in which he/she has his/her habitual residence.
The Parties agree that the term ’member state’ must not be interpreted in such a way as to exclude data subjects in Switzerland from the possibility of suing for their rights in their place of habitual residence (Switzerland) in accordance with Clause 18 c.
(d) The Parties agree to submit themselves to the jurisdiction of such courts.
Specifications relevant to MODULE FOUR: Transfer processor to controller
Clause 7 – The Parties agree that this clause shall be included:
Docking clause (a) An entity that is not a Party to these Clauses may, with the agreement of the Parties, accede to these Clauses at any time, either as a data exporter or as a data importer, by completing the Appendix and signing Annex I.A. (b) Once it has completed the Appendix and signed Annex I.A, the acceding entity shall become a Party to these Clauses and have the rights and obligations of a data exporter or data importer in accordance with its designation in Annex I.A. (c) The acceding entity shall have no rights or obligations arising under these Clauses from the period prior to becoming a Party.
Clause 11 – The Parties agree that this optional part of the clause shall not be included:
[OPTION: The data importer agrees that data subjects may also lodge a complaint with an independent dispute resolution body at no cost to the data subject. It shall inform the data subjects, in the manner set out in paragraph (a), of such redress mechanism and that they are not required to use it, or follow a particular sequence in seeking redress.]
Clause 17:
These Clauses shall be governed by the law of a country allowing for third-party beneficiary rights. The Parties agree that this shall be the law of the state in which the data exporter is established.
When the data exporter is based in Switzerland the Parties agree these Clauses shall be governed by the law of:
Switzerland (when the data transfer is exclusively subject to the FADP)
Bulgaria (when the data transfer is subject to both the FADP and the GDPR)
4.4 Clause 18:
Any dispute arising from these Clauses shall be resolved by the courts of the state in which the data exporter is established.
When the data exporter is based in Switzerland the Parties agree that any dispute arising from these Clauses shall be resolved by the courts of:
Switzerland (when the data transfer is exclusively subject to the FADP)
Bulgaria (when the data transfer is subject to both the FADP and the GDPR)
ANNEX I
5.1. A. LIST OF PARTIES
MODULE THREE: Transfer processor to processor
MODULE FOUR: Transfer processor to controller
Data exporter(s): [Identity and contact details of the data exporter(s) and, where applicable, of its/their data protection officer and/or representative in the European Union]
1. Name: LINK Mobility Bulgaria EAD and its affiliates as listed in the “Subsidiary companies” section on LINK Mobility sub-processors list - LINK Mobility International (https://linkmobility.com/list/).
Address: 1 Bulgaria Square, Adm. building of NDK - Prono, floor 7, 1463 Sofia, Bulgaria and its affiliates’ addresses as listed in the “Subsidiary companies” section on LINK Mobility sub-processors list - LINK Mobility International (https://linkmobility.com/list/).
Contact person’s name, position and contact details:
| Jan Wieczorkiewicz, DPO (for inquiries related to services provided to data subjects based outside Bulgaria and Romania) | Martin Gospodinov, DPO (for inquiries related to services provided to data subjects based in Bulgaria and Romania) |
| +48601690816 | +359893341262 |
| jan.wieczorkiewicz@linkmobility.com and dpo@linkmobility.com | martin.gospodinov@linkmobility.com and dpo@linkmobility.com |
Activities relevant to the data transferred under these Clauses: provision/use of communication services towards recipients
Role (controller/processor): processor(s).
Data importer(s): [Identity and contact details of the data importer(s), including any contact person with responsibility for data protection]
Specifications relevant to MODULE THREE: Transfer processor to processor
1. Name: [name of Sub-processor in Third Country] as listed (if listed) in LINK Mobility sub-processors list (https://linkmobility.com/list/)
Address: [address of Sub-processor in Third Country] as listed (if listed) in LINK Mobility sub-processors list (https://linkmobility.com/list/)
Contact person’s name, position and contact details: [details of the contact person of Sub-processor in Third Country] as listed (if listed) in LINK Mobility sub-processors list (https://linkmobility.com/list/)
Activities relevant to the data transferred under these Clauses: provision/use of communication services towards recipients
Role (controller/processor): processor
Specifications relevant to MODULE FOUR: Transfer processor to controller
2. Name: Name of the Customer under the meaning of the GTCs
Address: address of the Customer provided as contact information in the Customer’s Account according to the GTCs
Contact person’s name, position and contact details: as provided by the Customer in the contact information in the Customer’s Account according to the GTCs
Activities relevant to the data transferred under these Clauses: provision/use of communication services towards recipients
Role (controller/processor): controller
B. DESCRIPTION OF TRANSFER
MODULE THREE: Transfer processor to processor
MODULE FOUR: Transfer processor to controller
Categories of data subjects whose personal data is transferred
Regarding MODULE THREE:
The categories defined by data exporter’s Customer. The processing involves processing of personal data related to end-users of data exporter’s Customer (recipients and/or senders of messages depending on the data exporter’s Customer use of the services under the applicable service agreement).
Regarding MODULE FOUR:
The categories defined by data importer/controller. The processing involves processing of personal data related to data importer’s/controller's end-users (recipients and/or senders of messages depending on the importer’s/controller's use of the services under the applicable service agreement).
Categories of personal data transferred
The personal data transferred concern the following categories of data:
Basic Personal Data, such as name, contact details such as email, phone number etc.
Location data, such as GPS, Wi-Fi location data and location data derived from data exporter's network (that is not traffic data as defined below).
Traffic data: personal data processed in relation to the conveyance of communication on an electronic communications network or billing thereof.
Data related to content of communication, such as e-mails, voice mails, SMS/MMS, browsing data etc.
Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialized training), keeping a record of access to the data, restrictions for onward transfers or additional security measures.
If applicable to the specific service - special categories of personal data, such as data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, trade union membership or health data.
The frequency of the transfer (e.g. whether the data is transferred on a one-off or continuous basis).
continuous basis
Nature of the processing
Regarding MODULE THREE:
Personal data will be processed by data exporter’s Customer entering the data into data exporter’s or data importer’s platform, either through its access to said platform, or by providing data to data exporter’s or data importer’s employees in order for them to enter data to the data exporter’s Customer’s area of the platform. The processing includes deriving statistical data related to the provision of the services – such as delivery statuses and other information prescribed under the service contract between data exporter and data exporter’s Customer. The data will further be processed in order for messages to be set up as required by data exporter’s Customer, and the list of recipients to be correct, before the process for sending the defined messages to the defined recipients is initiated.
Regarding MODULE FOUR:
Personal data will be processed as a result of entering the data by data importer or data importer’s client into data exporter’s platform, either through its access to said platform, or by providing data to data exporter’s employees in order for them to enter data to the data importer or data importer’s client’s area of the platform. The processing includes deriving statistical data related to the provision of the services – such as delivery statuses and other information prescribed under the service contract between data exporter and data importer. The data will further be processed in order for messages to be set up as required by data importer or data importer’s client, and the list of recipients to be correct, before the process for sending the defined messages to the defined recipients is initiated.
Purpose(s) of the data transfer and further processing
Regarding MODULE THREE:
Fulfillment of data exporter’s Customert’s requirements for communication towards recipients.
Regarding MODULE FOUR:
Fulfillment of data importer or data importer’s client’s requirements for communication towards recipients.
The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period
The processing will continue for the duration of data importer’s contract with data exporter. Personal Data shall be retained for as long as it is necessary to fulfil the purposes for processing.
For transfers to (sub-) processors, also specify subject matter, nature and duration of the processing
As described respectively above.
C. COMPETENT SUPERVISORY AUTHORITY
MODULE THREE: Transfer processor to processor
Identify the competent supervisory authority/ies in accordance with Clause 13
The supervisory authority with responsibility for ensuring compliance by the data exporter with Regulation (EU) 2016/679 is the one competent in the state in which the data exporter is established
When the data exporter is based in Switzerland the parties establish a parallel supervision:
The Federal Data Protection and Information Commissioner (FDPIC), insofar as the data transfer is governed by the FADP
The Bulgarian Data Protection Authority, insofar as the data transfer is governed by the GDPR
ANNEX II
TECHNICAL AND ORGANISATIONAL MEASURES INCLUDING TECHNICAL AND ORGANISATIONAL
MEASURES TO ENSURE THE SECURITY OF THE DATA
MODULE THREE: Transfer processor to processor
EXPLANATORY NOTE:
The technical and organisational measures must be described in specific (and not generic) terms. See also the general comment on the first page of the Appendix, in particular on the need to clearly indicate which measures apply to each transfer/set of transfers.
Description of the technical and organisational measures implemented by the data importer(s) (including any relevant certifications) to ensure an appropriate level of security, taking into account the nature, scope, context and purpose of the processing, and the risks for the rights and freedoms of natural persons.
Description of the technical and organisational security measures:
Respectively applies the Security Appendix.
For transfers to (sub-) processors, also describe the specific technical and organisational measures to be taken by the (sub-) processor to be able to provide assistance to the controller and, for transfers from a processor to a sub-processor, to the data exporter
Respectively applies the Security Appendix.
This Forbidden Content Appendix is an integral part of the GTC and the Agreement concluded between LINK and the Customer and sets out the forbidden content under the Agreement.
The Customer shall not send SMS Messages which include, or relate in any manner to the following Content (all names of products or services have a descriptive nature and are not limitative):
Information / advertisement with regard to products and/or services listed in Table 1 below; and/or notifications for transactions/services/products and accesses which are related to products/services listed in Table 1 below to an End-User; and/or
Reference/link to a website or resource with a name of the first level domain (extension) which is connected with a country other than Bulgaria; and/or
Content, which may be related to international services for platforms for online booking and/or international airline companies; and/or
Names of mobile network operators other than the mobile network operators, registered in Bulgaria;
International electronic payment systems (e.g. Visa, MasterCard, AmExpress, etc.), international electronic wallets and/or international settlements systems (e.g. WebMoney, Qiwi Wallet, etc.), international platforms for electronic payment processing (e.g. PayPal, etc.), international social networks (e.g. Facebook, Vkontakte, Google+, Odnoklassniki, Twitter, Instagram, fotostrana, etc.), international OTT applications (e.g.Skype, Viber, Whatsapp, etc.), international online games (e.g. World of Tanks, Gameserver, mobitva.com etc.), international services of electronic mail and/or search engines (e.g. MailRu, Yahoo, Rumbler.ru, Google, dropmefiles, ifolder.su, exfile.ru etc.); and/or international taxi services (e.g. Uber, etc.) and or international online shops and/or international online retailer (e.g. Amazon, Ebay, etc.);
In the event the Customer sends a SMS Message with the Content, described above and/or in Table 1 below, it may not be processed by the Platform, but shall be charged. This shall apply irrespective of any other rights LINK may have.
Table 1 (Product / Service, to which the Content relates)
DigitalOcean
Amadeus
ePayments
Careem
Loops Live
Binance
Amazon
Lottoland
FreshForex
Nandbox Messenger
BIP
Authy
Qsms
Mewe
Trello
Booking
Badoo
Paysera
The Pattern
Airtime
eBay
Bolt
TianDe
Cob
SendGrid
Cashback
tamTam
IQ Option
buffer
Coinbase
kaztranscom
Xapo
BITEXBOOK
Depop
DingTalk
Unity Ad Showcase
Coinut
ICQ
BlaBlaCar
AdvCash
DSX
Messenger
iHerb
Revolut
Hike messenger
Fibler
Microsoft
KakaoTalk
Signal
Guru
Zadarma
OLX
Mailru
TransferWise
DocuSign
PingID
Snapchat
Maxim
Adobe
KWAI
KoronaPay
Steam
Mulberry
Autodesk
ForexTime
Aeroflot
Tinder
Nord Pool
Electronic Arts
Bitly
AirBnb
Uber
Okru
Likee
HiU - Messenger
B612
Viber
S7 Airlines
Fiverr
IVI
BOT
Skype
Roblox
Glympse
Bumble
Yahoo
Sony Entertainment
Mailchimp
Hoop Messenger
AirSerbia
Apple
Sweatcoin
Stripe
Ding
Terranova
Slack
InTouch
Namecheap
Amazing Talker
TikTok
MyDreams
Transpress
Zenly
Chat-Chat
TinyURL
OlderWomenDating
Turkish Airlines
Zoho
SEO sprint
Truecaller
Hellopal
Twitch
Co-Star
Bitrue
Dergilik
Protonmail
Muzmatch
BigoLive
IRL
Vkcom
G2A.COM
F2Pool
Huawei
My.com
Wargaming
Zangi
Coinsbank.com
Nimses
NOMO
Waze
Alibaba
Agoda
Paxful
51job
WebMoney
CamScanner
Della
KingsGroup
Alpari
Xiaomi
BIP Messenger
Geon
Houseparty
TalkU
Yandex
Pinngle
MASTERS
Gameflip
Alipay
Info SMS
AOL
ToTok
Lyft
GateHub.net
IMO
Gett
Opentalk
LiveMe
Spitball
Mobike
GroupMe
Bit-Z
Kangaroo Drive
Muslim Pro
Netflix
Bingo Blitz
Coinfide
InstaForex
Telegram
PayPal
Dingtone
Clinical Treatment
International Calls
Wire