Data Processing Agreement (DPA)

Последно обновяване: 2026-05-08

⚠️ Документът по-долу е структурен placeholder. Финално съдържание изисква преглед от лицензиран юрист преди production cutover. До финализиране — този документ НЕ е legally binding.

Настоящото Data Processing Agreement ("DPA") урежда обработката на лични данни от GrafixHost ("Processor") от името на Клиента ("Controller") в съответствие с GDPR (Регламент (ЕС) 2016/679). DPA е неразделна част от Общите условия и се прилага автоматично за всички бизнес планове.

1. Subject Matter

Processor предоставя web hosting инфраструктура, върху която Controller съхранява и обработва лични данни (database content, файлове, имейли, log файлове). Видът на личните данни и категориите засегнати лица се определят от Controller.

2. Срок на действие

DPA влиза в сила при стартиране на Услугата и се прилага за времето на договорното отношение + 30 дни grace period след прекратяване (за миграция и изтегляне на данни).

3. Дейности по обработка

Processor извършва: (а) съхранение на данните на собствена инфраструктура; (б) трансфер на данни между data centers за резервиране и performance; (в) backup в рамките на 30 дни; (г) автоматизирани процеси за security scanning и malware detection; (д) предоставяне на технически достъп на Controller.

4. Sub-processors

Processor ползва следните sub-processors: Cloudflare Inc. (CDN, DDoS защита, EU + US POP-та), Vercel Inc. (frontend hosting, EU regions), Stripe Inc. (плащания), Resend (transactional email), Anthropic PBC (AI чат — анонимизирани заявки). Промени в списъка се обявяват с минимум 30 дни предизвестие; Controller има право на възражение.

5. Технически и организационни мерки

Processor прилага: (а) encryption at-rest (AES-256) и in-transit (TLS 1.3); (б) role-based access control с MFA задължителен за всички служители; (в) ежедневни backups със 30-дневна retention; (г) ежемесечни security audits; (д) physical security в data centers (ISO 27001); (е) employee training по GDPR на 6 месеца.

6. Уведомяване при нарушения

При установяване на security incident засягащ лични данни — Processor уведомява Controller в рамките на 24 часа. Detailed report (засегнати данни, причини, мерки) — в рамките на 72 часа. Сътрудничество с Controller за GDPR notification към КЗЛД ако е приложимо.

7. Audit rights

Controller има право на годишен audit на security practices на Processor. Опции: (а) преглед на наличните SOC 2 reports; (б) on-site audit с 30 дни предварително предизвестие; (в) third-party security assessment. Разходите за on-site audit се поемат от Controller.

8. Прекратяване и изтриване на данни

При прекратяване на договора Controller има 30 дни да изтегли данните си в стандартен формат. След този срок — пълно изтриване от production и backups в рамките на 60 дни. Confirmation на изтриването се предоставя по заявка.