Споразумение за обработка на данни (DPA)

NexusCaller LLC · Версия 1.0 · Последна актуализация: 24 май 2026 г.

Това Допълнение е част от Условията за ползване между NexusCaller LLC („NexusCaller") и Клиента. Урежда личните данни, които NexusCaller обработва от името на Клиента при предоставяне на услугата. Ако противоречи на Условията в частта за обработка на данни, това Допълнение има предимство.

1. Роли

За личните данни на собствените клиенти на Клиента (обаждащи се / чат потребители), събирани чрез асистента, Клиентът е администратор на лични данни (по смисъла на GDPR), който определя целта на обработката, а NexusCaller е обработващ лични данни, действащ въз основа на документираните инструкции на Клиента.

2. Обхват на обработката

Категории данни: телефонни номера на обаждащи се, детайли на поръчки, съдържание на разговори/чатове, и — където е активирано — записи и транскрипти.

Цел: приемане, потвърждаване и насочване на поръчки, отговор на въпроси от клиенти, предоставяне и подобряване на услугата.

Срок: за срока на абонамента и периода за съхранение, описан в Политиката за поверителност.

3. Задължения на NexusCaller

Обработва лични данни само по документираните инструкции на Клиента (чл. 28(3)(а) GDPR), включително по отношение на предаването на лични данни в трета държава, освен ако правото на Съюза или правото на държава членка не задължава NexusCaller да направи това; и не за наши собствени търговски цели.

Гарантира, че персоналът, упълномощен да обработва личните данни, е обвързан с подходящи задължения за конфиденциалност, чрез договор или по силата на закона (чл. 28(3)(б) GDPR), и че достъпът е ограничен до лицата, на които той е необходим за предоставяне на услугата.

Прилага разумни мерки за сигурност, подходящи на риска, в съответствие с чл. 32 от GDPR — включително, когато е приложимо: криптиране при пренос, контрол на достъпа, журнализиране и сегрегация между средите на различни Клиенти.

Използва подизпълнители при договори с подобни защити и носи отговорност за тяхното изпълнение. Текущи подизпълнители — Гласова инфраструктура: Vapi. Телефония: Twilio (номера в САЩ), Zadarma (номера в България). LLM доставчици: Anthropic, OpenAI, Google. Синтез на реч: ElevenLabs, Cartesia. Плащания: Stripe (когато абонаментното фактуриране е активирано). Хостинг и съхранение: Railway (сървъри в САЩ и постоянен volume).

Уведомява Клиента поне тридесет (30) дни предварително за всяко добавяне или замяна на подизпълнител, който ще обработва личните данни на Клиента (чл. 28(2) GDPR). Клиентът може да възрази на разумни основания за защита на данните в рамките на този срок; ако възражението не може да бъде разрешено, Клиентът може да прекрати засегнатата част от услугата.

Подпомага Клиента, в разумни търговски граници, при отговор на искания от субекти на данни (чл. 12–22 от GDPR), при инциденти със сигурността и при оценки на въздействието върху защитата на данните (чл. 28(3)(д)–(е) GDPR).

При разумно предварително писмено искане и при взаимно договорени задължения за конфиденциалност, предоставя на Клиента информацията, необходима за демонстриране на съответствие с това Допълнение и с чл. 28 GDPR, и допуска и съдейства за одити, включително инспекции, провеждани от Клиента или независим външен одитор, упълномощен от Клиента (чл. 28(3)(з) GDPR). Одитите няма да възпрепятстват неоснователно работата на NexusCaller, по правило ще се ограничават до един път на дванадесет месеца (освен когато потвърден инцидент със сигурността или искане на надзорен орган разумно изисква по-чести), и Клиентът поема собствените си разходи.

При прекратяване, изтрива или връща личните данни на Клиента по негово искане, освен когато правото на Съюза или на държава членка изисква запазване.

4. Задължения на Клиента

Предоставя само информация, която има право да споделя, и гарантира, че необходимите уведомления/съгласия към собствените му клиенти са налице (вкл. изискванията на GDPR за информираност и съгласие, когато е приложимо).

Отговаря като администратор на данни на искания от субекти на данни, отнасящи се до данни, събрани чрез асистента.

5. Инциденти със сигурността

NexusCaller ще уведоми Клиента без необосновано закъснение след узнаване за потвърдено нарушение на сигурността на лични данни, обработвани от името на Клиента, и ще сподели информация, разумно необходима за изпълнение на собствените задължения на Клиента по чл. 33 от GDPR (уведомление до надзорен орган в рамките на 72 часа).

6. Международни трансфери

Личните данни, обработвани съгласно това Допълнение, ще бъдат прехвърляни от Европейското икономическо пространство към Съединените американски щати, където са установени NexusCaller и редица от неговите подизпълнители (по-конкретно Vapi, Twilio, Anthropic, OpenAI, Google, ElevenLabs, Cartesia, Stripe и Railway, при който данните се съхраняват на сървъри и постоянни тома в САЩ).

Такива трансфери се извършват въз основа на подходящи гаранции по Глава V от GDPR, а именно:

NexusCaller поддържа подходящия механизъм за трансфер с всеки подизпълнител и носи отговорност за тяхното изпълнение съгласно Раздел 3 по-горе. Актуален списък на подизпълнителите и приложимото за всеки от тях основание за трансфер е достъпен при поискване: info@nexuscaller.com.

7. Контакти

Въпроси по данни: info@nexuscaller.com.

Data Processing Addendum (DPA)

NexusCaller LLC · Version 1.0 · Last updated May 24, 2026

This Addendum forms part of the Terms of Service between NexusCaller LLC ("NexusCaller") and the Customer. It governs personal information that NexusCaller processes on the Customer's behalf when providing the service. If it conflicts with the Terms on data handling, this Addendum controls.

1. Roles

For personal information of the Customer's own customers (callers/chat users) collected through the assistant, the Customer is the business that determines the purpose of processing (the data controller, under GDPR) and NexusCaller is the service provider/processor acting on the Customer's documented instructions.

2. Scope of processing

Categories of data: caller phone numbers, order details, call/chat content, and, where enabled, recordings and transcripts.

Purpose: to take, confirm, and route orders and answer customer questions, and to provide and improve the service.

Duration: for the term of the subscription and the retention period in the Privacy Policy.

3. NexusCaller's obligations

Process personal data only on the Customer's documented instructions (Art. 28(3)(a) GDPR), including with regard to transfers of personal data to a third country, unless required to do so by Union or Member State law; and not for our own commercial purposes.

Ensure that personnel authorised to process the personal data are bound by appropriate confidentiality obligations, whether by contract or by statutory duty (Art. 28(3)(b) GDPR), and that access is limited to those who need it to provide the service.

Maintain reasonable security safeguards appropriate to the risk, in line with GDPR Article 32 — including, as relevant: encryption in transit, access controls, logging, and segregation between Customer environments.

Use subprocessors under contracts with comparable protections, and remain responsible for their performance. Current subprocessors — Voice infrastructure: Vapi. Telephony: Twilio (US numbers), Zadarma (BG numbers). LLM providers: Anthropic, OpenAI, Google. Text-to-speech: ElevenLabs, Cartesia. Payments: Stripe (when subscription billing is wired). Hosting and storage: Railway (US-region servers and persistent volume).

Give the Customer at least thirty (30) days' prior notice of any addition or replacement of a subprocessor that will process the Customer's personal data (Art. 28(2) GDPR). The Customer may object on reasonable data-protection grounds within that period; if the objection cannot be resolved, the Customer may terminate the affected portion of the service.

Assist the Customer, to a commercially reasonable extent, with responding to data subject rights requests (Articles 12–22 of the GDPR) and with security incidents and data protection impact assessments (Art. 28(3)(e)–(f) GDPR).

On reasonable prior written request, and subject to mutually agreed confidentiality undertakings, make available to the Customer the information necessary to demonstrate compliance with this Addendum and Article 28 GDPR, and allow for and contribute to audits, including inspections, conducted by the Customer or an independent third-party auditor mandated by the Customer (Art. 28(3)(h) GDPR). Audits will not unreasonably interfere with NexusCaller's operations, will normally be limited to once per twelve-month period (except where a confirmed security incident or supervisory authority request reasonably requires more), and the Customer bears its own costs.

On termination, delete or return the Customer's personal data on request, except where Union or Member State law requires retention.

4. Customer's obligations

Provide only information the Customer is permitted to share, and ensure required notices/consents to its own customers are in place (including GDPR's transparency and consent requirements, where applicable).

Respond as the data controller to data subject requests relating to data collected through the assistant.

5. Security incidents

NexusCaller will notify the Customer without undue delay after becoming aware of a confirmed breach of personal information processed on the Customer's behalf, and will share information reasonably needed for the Customer to meet its own obligations under Article 33 of the GDPR (notification to the supervisory authority within 72 hours).

6. International transfers

Personal data processed under this Addendum will be transferred from the European Economic Area to the United States, where NexusCaller and several of its subprocessors are established (notably Vapi, Twilio, Anthropic, OpenAI, Google, ElevenLabs, Cartesia, Stripe, and Railway, where data is stored on US-region servers and persistent volumes).

Such transfers are made on the basis of appropriate safeguards under Chapter V of the GDPR, namely:

NexusCaller maintains the appropriate transfer mechanism with each subprocessor and remains responsible for their performance under Section 3 above. A current list of subprocessors and the transfer basis applicable to each is available on request: info@nexuscaller.com.

7. Contact

Data matters: info@nexuscaller.com.