Duomenų tvarkymo sutartis (BDAR)

Ši Duomenų tvarkymo sutartis (toliau – Sutartis) yra neatskiriama Einpix paslaugų teikimo sąlygų ir nuostatų dalis ir taikoma visiems klientams (toliau – Duomenų valdytojas), kurie naudojasi Einpix paslaugomis.

Šioje Sutartyje UAB „Epicus IT“, juridinio asmens kodas 304459986, buveinės adresas Italų g. 12A-1, LT-11329 Vilnius, Lietuva, veikia kaip Duomenų tvarkytojas.

Naudodamasis Einpix paslaugomis, Duomenų valdytojas patvirtina, kad susipažino su šia Sutartimi ir sutinka su jos sąlygomis.

Ši Sutartis nustato asmens duomenų tvarkymo sąlygas pagal Europos Parlamento ir Tarybos reglamentą (ES) 2016/679 (BDAR) ir kitus taikytinus teisės aktus.

1. SUTARTIES DALYKAS

1.1. Ši Sutartis reglamentuoja šalių teises ir pareigas, susijusias su asmens duomenų (toliau – Duomenys, Asmens duomenys) tvarkymu (rinkimu, įrašymu, rūšiavimu, sisteminimu, saugojimu, adaptavimu arba keitimu, išgava, susipažinimu, naudojimu, atskleidimu persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas ar sunaikinimas ir bet kokia šių veiksmų kombinacija), kurį Duomenų tvarkytojas atlieka Duomenų valdytojo vardu, vykdydamas tarp šalių sudarytą paslaugų teikimo sutartį arba Einpix paslaugų naudojimo sąlygas (toliau – Pagrindinė sutartis).

1.2. Šia Sutartimi užtikrinama, kad Duomenų tvarkytojas įgyvendintų atitinkamas technines ir organizacines priemones tokiu būdu, jog tvarkymas atitiktų Reglamento reikalavimus ir būtų užtikrinta duomenų subjektų teisių apsauga.

1.3. Duomenys, kuriuos tvarko Duomenų tvarkytojas, išvardinti Priede Nr. 1 prie šios Sutarties.

1.4. Ši Sutartis nereguliuoja asmens duomenų tvarkymo, kuris yra atliekamas ne Duomenų valdytojo vardu.

2. DUOMENŲ TVARKYTOJO PAREIGOS

2.1. Tvarkymo apimtis

2.1.1. Duomenų tvarkytojas tvarko tik tuos Duomenis, kurie nurodyti Priede Nr. 1 prie šios Sutarties. Duomenys tvarkomi išimtinai tik tiek, kiek tai būtina Pagrindinės sutarties vykdymui. Duomenų tvarkytojas duomenis tvarko tik laikydamasis šios Sutarties sąlygų, Pagrindinės sutarties sąlygų, ir kitų Duomenų valdytojo raštu pateikiamų nurodymų bei gairių, užtikrindamas Duomenų konfidencialumą. Jei Duomenų tvarkytojas mano, kad jam pateikti nurodymai prieštarauja nacionaliniams ir/ar Europos Sąjungos asmens duomenų apsaugą reglamentuojantiems teisės aktams, jis privalo nedelsdamas apie tai informuoti Duomenų valdytoją.

2.1.2. Laikoma, kad Duomenų valdytojo naudojimasis Duomenų tvarkytojo teikiama sistema ir paslaugomis pagal Pagrindinę sutartį yra dokumentuotos Duomenų tvarkymo instrukcijos BDAR 28 straipsnio prasme. Duomenų tvarkytojas tvarko asmens duomenis tik pagal šias instrukcijas, išskyrus atvejus, kai tvarkyti duomenis reikalaujama pagal taikytinus teisės aktus.

2.2. Duomenų konfidencialumas

2.2.1. Duomenų tvarkytojas neturi teisės atskleisti Duomenų tretiesiems asmenims, išskyrus įstatymų nustatytus atvejus.

2.2.2. Duomenų tvarkytojas užtikrina, kad jo darbuotojai ar kiti asmenys, kurie gauna prieigą prie Duomenų, vykdys šios Sutarties reikalavimus, įskaitant reikalavimą užtikrinti Duomenų konfidencialumą, ir yra įsipareigoję saugoti konfidencialią informaciją arba turi atitinkamą įstatyminę pareigą saugoti konfidencialią informaciją.

2.2.3. Duomenų tvarkytojas atsako už tvarkomų Duomenų konfidencialumą ir saugumą nuo Duomenų gavimo momento. Jei nustatoma grėsmė arba kyla pagrįstų įtarimų dėl grėsmės tvarkomų Duomenų konfidencialumui ir (arba) jei Duomenų tvarkytojas negali adekvačiai užtikrinti tvarkomų duomenų saugumo, Duomenų tvarkytojas informuoja apie tai Duomenų valdytoją ir turi teisę sustabdyti Duomenų tvarkymą, nebent Sutartis numato kitaip.

2.2.4. Duomenų tvarkytojas neturi teisės perduoti Duomenų į trečiąsias valstybes (už ES/EEE ribų) ar tarptautinėms organizacijoms, išskyrus atvejus, kai toks perdavimas vykdomas laikantis šios Sutarties 2.6 skyriuje nustatytų sąlygų arba kai to reikalauja ES arba valstybės narės teisė, kuria privalo vadovautis Duomenų tvarkytojas. Tokiu atveju Duomenų tvarkytojas įsipareigoja apie tokią pareigą pranešti Duomenų valdytojui iki pradėdamas tvarkyti Duomenis, išskyrus atvejus, kai pagal taikomą teisę toks pranešimas yra draudžiamas dėl svarbių viešojo intereso priežasčių.

2.2.5. Konfidencialumo pareiga lieka galioti ir po to, kai Duomenų tvarkytojas įvykdo konkretų jam duotą pavedimą.

2.3. Tvarkymo saugumas

2.3.1. Duomenų tvarkytojas įsipareigoja, prieš pradėdamas Duomenų tvarkymą, savo sąskaita įgyvendinti technines ir organizacines priemones, skirtas apsaugoti Duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo ar kitokio neteisėto tvarkymo. Tokios priemonės turi užtikrinti saugumo lygį, atitinkantį Duomenų, kurie turi būti apsaugoti, prigimtį ir rizikas, kylančias tokius Duomenis tvarkant.

2.3.2. Duomenų̨ tvarkytojas privalo atlikti veiklos, susijusios su Asmens duomenų̨ tvarkymu, rizikos analizę. Vadovaudamasis vertinimo rezultatais, Duomenų̨ tvarkytojas privalo užtikrinti atitinkamas saugumo priemones, t. y. techninių ir organizacinių priemonių̨, reikalingų užtikrinti Asmens duomenų̨ saugumą̨, taip pat užtikrinti patalpų̨, įrangos, sistemų̨ ir programų̨ saugumą̨, siekiant sumažinti nustatytą riziką. Duomenų̨ tvarkytojas užtikrina, kad jo taikomos priemonės yra atitinkančios įprastą rinkos praktiką ir BDAR reikalavimus, įskaitant:

2.3.2.1. Tinkamų prieigos valdymo sistemų̨ naudojimą̨, leidžiantį̨ operatyviai suteikti ir nutraukti prieigos teisę prie Asmens duomenų̨;

2.3.2.2. Tai, kad prieigos teises prie Asmens duomenų̨ turėtų̨ tik tam įgalioti asmenys;

2.3.2.3. Kad bet koks Asmens duomenų̨ tvarkymas būtų̨ atliekamas vadovaujantis Duomenų̨ valdytojo nurodymais.

2.3.3. Duomenų̨ tvarkytojas privalo apriboti prieigą prie Asmens duomenų̨ taip, kad už̌ Asmens duomenų tvarkymą būtų atsakingas tik tinkamai išmokytas personalas, kad Asmens duomenys būtų prieinami tik tiems asmenims, kuriems tuos Asmens duomenis būtina žinoti. Duomenų tvarkytojas privalo užtikrinti, kad tie asmenys, kurie turi prieigą prie Asmens duomenų, laikytųsi konfidencialumo įsipareigojimų.

2.3.4. Duomenų tvarkytojas privalo užtikrinti bent jau šių priemonių tinkamą įgyvendinimą:

2.3.4.1. Pseudonimų suteikimą̨ Asmens duomenims ir jų šifravimą̨, jeigu Duomenų valdytojas nustato tokius reikalavimus Paslaugų sutartyje, arba jei tai reikalinga pagal tvarkomų Asmens duomenų prigimtį ir apimtį;

2.3.4.2. Gebėjimą̨ užtikrinti nuolatinį Asmens duomenų̨ tvarkymo sistemų̨ ir paslaugų konfidencialumą̨, vientisumą̨, prieinamumą̨ ir atsparumą̨ tvarkant Asmens duomenis;

2.3.4.3. Gebėjimą̨ laiku atkurti sąlygas ir galimybes naudotis Asmens duomenimis fizinio ar techninio incidento atveju;

2.3.4.4. Reguliarų techninių ir organizacinių priemonių̨, kuriomis užtikrinamas Asmens duomenų̨ tvarkymo saugumas, tikrinimo, vertinimo ir veiksmingumo vertinimo procesą̨.

2.3.5. Duomenų tvarkytojas taip pat privalo įgyvendinti šias priemones:

2.3.5.1. Fizinę prieigos prie kompiuterinės įrangos ir išimamų duomenų perdavimo ir laikymo įtaisų kontrolę, kuriuose yra Asmens duomenų, apsaugą, pvz., įrangą užrakinant Duomenų tvarkytojo patalpose ir nesuteikiant prieigos, kol ji nėra prižiūrima. Tokiu būdu būtų užtikrintas Asmens duomenų saugumas nuo galimo neteisėto naudojimo, poveikio ar vagystės;

2.3.5.2. Procesus, užtikrinančius patikimą Asmens duomenų atkūrimą iš atsarginių kopijų (angl. back-up).

2.3.5.3. Prieigos suteikimo kontrolę, pagal kurią leidimai tvarkyti Asmens duomenis būtų valdomi per tam sukurtą sistemą. Prieigos teisės turi būti suteikiamos tik tiems asmenims, kuriems Asmens duomenys yra reikalingi jų darbo funkcijoms atlikti. Vartotojų vardai ir slaptažodžiai privalo būti asmeniniai ir negali būti perleidžiami niekam kitam. Duomenų tvarkytojas taip pat turi nustatyti prieigos teisių perkėlimo ir panaikinimo procedūras;

2.3.5.4. Prisijungimo prie Asmens duomenų registravimo galimybę. Duomenų tvarkytojas turi sudaryti galimybę stebėti prisijungimo prie duomenų bazės ar programinės įrangos istoriją. Duomenų tvarkytojas privalo užtikrinti, kad ši informacija gali būti pateikiama pagrįstu Duomenų valdytojo prašymu, laikantis konfidencialumo ir saugumo reikalavimų;

2.3.5.5. Saugaus bendravimo išoriniais duomenų perdavimo kanalais bei techninėmis priemones, užtikrinant apribotą leidimą prisijungti prie Asmens duomenų nuotoliniu būdu, duomenų, perduodamų išoriniais, tranzitiniais kanalais, šifravimą;

2.3.5.6. Procesus, skirtus užtikrinti nebenaudojamų stacionarių ir mobilių, nešiojamųjų Asmens duomenų saugojimo laikmenų naikinimą;

2.3.5.7. Į̨prastines automatines ar rankines duomenų ir jų atsarginių kopijų (įskaitant audito bylas) naikinimo iš visų veikiančių sistemų procedūras;

2.3.5.8. Įprastines tvarkas, sudarant konfidencialumo susitarimus su tiekėjais, teikiančiais Asmens duomenų saugojimui naudojamos įrangos remonto ir priežiūros paslaugas;

2.3.5.9. Įprastinę paslaugų, kurias teikia tiekėjai Duomenų tvarkytojo patalpose, priežiūros procedūrą.

2.3.6. Duomenų valdytojo prašymu Duomenų tvarkytojas privalo rašytine forma pateikti informaciją apie taikomas Asmens duomenų apsaugos priemones tiek, kiek tai pagrįstai būtina Duomenų valdytojui įsitikinti Reglamento reikalavimų laikymusi. Tokia informacija teikiama laikantis konfidencialumo ir komercinės paslapties apsaugos reikalavimų, ir gali apimti informaciją apie tai, kur yra saugomi Asmens duomenys, kas turi prieigos teises prie jų, kaip prieigos teisės suteikiamos ir administruojamos. Duomenų tvarkytojas privalo pranešti Duomenų valdytojui apie esminius pasikeitimus, susijusius su taikomomis apsaugos priemonėmis, kurie gali turėti reikšmingos įtakos asmens duomenų saugumui. Duomenų tvarkytojas pateikia atitinkamą informaciją ir (ar) dokumentus per protingą terminą, atsižvelgiant į prašymo apimtį ir sudėtingumą.

2.3.7. Duomenų tvarkytojas nedelsiant informuoja Duomenų valdytoją apie bet kokias aplinkybes, kurios gali užkirsti kelią Duomenų tvarkymui laikantis šios Sutarties reikalavimų. Tokiu atveju Duomenų valdytojas turi teisę uždrausti Duomenų tvarkytojui toliau tvarkyti duomenis.

2.4. Bendradarbiavimas su Duomenų valdytoju ir priežiūros institucija

2.4.1. Duomenų tvarkytojas įsipareigoja bendradarbiauti su Duomenų valdytoju tuo atveju, jei duomenų subjektas išreiškia pageidavimą pasinaudoti duomenų subjekto teisėmis, įskaitant, bet neapsiribojant, teises į susipažinimą su Duomenimis, Duomenų ištaisymą ar ištrynimą, tvarkymo apribojimą, teise į duomenų perkeliamumą, teisę prieštarauti Duomenų tvarkymui. Tuo atveju, jei Duomenų tvarkytojas gauna duomenų subjekto paklausimą, susijusį su Duomenų tvarkymu, Duomenų tvarkytojas privalo nedelsdamas persiųsti tokį paklausimą Duomenų valdytojui. Duomenų tvarkytojas atitinkamus prašymus vykdo tik laikydamasis Duomenų valdytojo nurodymų.

2.4.2. Duomenų tvarkytojas įsipareigoja bendradarbiauti su Duomenų valdytoju Duomenų tvarkymo saugumo užtikrinimo srityje, taip pat tais atvejais, kai kyla pareiga pranešti priežiūros institucijai apie asmens duomenų saugumo pažeidimą; pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą; atlikti poveikio duomenų apsaugai vertinimą.

2.4.3. Duomenų tvarkytojas įsipareigoja nedelsdamas (ne vėliau kaip per 72 val. nuo sužinojimo apie pažeidimą momento) raštu arba elektroniniu paštu pranešti Duomenų valdytojui apie tvarkomų Duomenų saugumo pažeidimą.

2.4.4. Duomenų tvarkytojo pranešimas apims bent jau:

2.4.4.1. Duomenų saugumo pažeidimo pobūdį, įskaitant, jei įmanoma, pažeidimo paveiktų duomenų subjektų kategorijas ir apytikslį skaičių, taip pat paveiktų asmens duomenų įrašų kategorijas ir apytikslį skaičių;

2.4.4.2. Tikėtinų asmens Duomenų saugumo pažeidimo pasekmių aprašymą;

2.4.4.3. Priemonių, kurių ėmėsi ar planuoja imtis Duomenų tvarkytojas, kad būtų pašalintas Duomenų saugumo pažeidimas, įskaitant, kai tinkama, priemones galimoms neigiamoms jo pasekmėms sumažinti.

2.4.5. Kai aukščiau nurodytos informacijos neįmanoma pateikti tuo pačiu metu, informacija toliau nepagrįstai nedelsiant gali būti teikiama etapais.

2.4.6. Duomenų tvarkytojas įsipareigoja dokumentuoti visus Duomenų saugumo pažeidimus, įskaitant su Duomenų saugumo pažeidimu susijusius faktus, jo poveikį ir taisomuosius veiksmus, kurių buvo imtasi.

2.4.7. Duomenų tvarkytojas pateikia Duomenų valdytojui informaciją, būtiną siekiant įrodyti, kad vykdomos šioje Sutartyje nustatytos Duomenų tvarkytojo prievolės, ir sudaro sąlygas bei padeda Duomenų valdytojui arba kitam Duomenų valdytojo įgaliotam auditoriui atlikti auditą, įskaitant patikrinimus. Auditas vykdomas iš anksto raštu pranešus ne vėliau kaip prieš 30 kalendorinių dienų, darbo metu, ne dažniau kaip kartą per metus, išskyrus atvejus, kai to reikalauja priežiūros institucija arba įvyksta asmens duomenų saugumo pažeidimas. Auditas turi būti vykdomas taip, kad nepagrįstai netrikdytų Duomenų tvarkytojo veiklos ir būtų užtikrinta konfidencialios bei komercinės informacijos apsauga. Duomenų tvarkytojas nedelsdamas informuoja Duomenų valdytoją, jei, jo nuomone, Duomenų valdytojo įgalioto auditoriaus nurodymas pažeidžia teisės aktus.

2.4.8. Jei Duomenų tvarkytojas mano, kad tvarkomi Duomenys yra neteisingi, nepakankami ar netikslūs, Duomenų tvarkytojas apie tai informuoja Duomenų valdytoją ne vėliau per penkias darbo dienas tam, kad būtų patikslintos aplinkybės.

2.5. Trečiųjų asmenų pasitelkimas

2.5.1. Duomenų valdytojas suteikia bendrą išankstinį sutikimą Duomenų tvarkytojui pasitelkti subtvarkytojus. Aktualus subtvarkytojų sąrašas skelbiamas Duomenų tvarkytojo interneto svetainėje adresu: https://einpix.com/lt/subtvarkytojai/. Duomenų tvarkytojas apie naujo subtvarkytojo pasitelkimą informuoja Duomenų valdytoją ne vėliau kaip prieš 10 darbo dienų iki jo pasitelkimo, atnaujindamas subtvarkytojų sąrašą ir (ar) pateikdamas pranešimą elektroniniu paštu arba kitu įprastu informavimo būdu. Duomenų valdytojas turi teisę per 10 darbo dienų nuo pranešimo gavimo dienos pateikti pagrįstą prieštaravimą dėl naujo subtvarkytojo pasitelkimo. Nepateikus prieštaravimo per nustatytą terminą laikoma, kad Duomenų valdytojas sutinka su subtvarkytojo pasitelkimu. Jeigu Duomenų valdytojas pagrįstai prieštarauja naujo subtvarkytojo pasitelkimui ir Šalims nepavyksta rasti sprendimo, Duomenų valdytojas turi teisę nutraukti Pagrindinę sutartį laikydamasis joje nustatytos nutraukimo tvarkos. Duomenų tvarkytojas užtikrina, kad su kiekvienu subtvarkytoju būtų sudaryta sutartis, numatanti ne mažesnį asmens duomenų apsaugos lygį nei nustatyta šioje Sutartyje.

2.5.2. Duomenų tvarkytojas atsako už subtvarkytojų veiksmus ir neveikimą taip, tarsi juos būtų atlikęs pats. Duomenų tvarkytojas užtikrina, kad su kiekvienu subtvarkytoju būtų sudaryta rašytinė sutartis, pagal kurią subtvarkytojui nustatomi asmens duomenų apsaugos įsipareigojimai, ne mažesni nei nustatyta šioje Sutartyje, įskaitant pareigą įgyvendinti tinkamas technines ir organizacines saugumo priemones pagal BDAR 28 straipsnio reikalavimus.

2.6. Duomenų perdavimas į Trečiąsias valstybes

2.6.1. Jei Duomenų tvarkytojas pasitelkia Subtvarkytoją, esantį už Europos Sąjungos ar Europos Ekonominės Erdvės (ES/EEE) ribų, duomenų perdavimas vykdomas tik esant teisėtam pagrindui pagal BDAR V skyrių, įskaitant Europos Komisijos patvirtintas Standartines sutarčių sąlygas (SCC), galiojantį tinkamumo sprendimą arba kitą teisėtą duomenų perdavimo mechanizmą. Siekiant išvengti abejonių, tas pats reikalavimas keliamas ir tada, jei Duomenys saugomi ES/EEE teritorijoje, tačiau gali būti pasiekiami iš už ES/EEE ribų. Tokio Subtvarkytojo pasitelkimui taikoma šios Sutarties 2.5 skyriuje nustatyta bendro išankstinio sutikimo ir informavimo tvarka.

2.6.2. Jei Duomenų valdytojas patvirtina tokį Duomenų perdavimą, Duomenų tvarkytojas įsipareigoja bendradarbiauti su Duomenų valdytoju tam, kad perdavimas atitiktų taikomų teisės aktų reikalavimus.

2.7. Duomenų subjektų teisė į informaciją ir informacijos atskleidimas

2.7.1. Duomenų valdytojas įsipareigoja duomenų subjektams suteikti visą reikalingą informaciją apie jų Duomenų tvarkymą šios Sutarties tikslu.

2.7.2. Jei duomenų subjektai, priežiūros institucijos ar bet kokie tretieji asmenys pareikalautų informacijos iš Duomenų tvarkytojo apie Duomenų tvarkymą, aprašytą šioje Sutartyje, Duomenų tvarkytojas įsipareigoja nedelsdamas perduoti tokį paklausimą Duomenų valdytojui. Duomenų tvarkytojas neturi teisės veikti Duomenų valdytojo vardu ar kaip šio atstovas, perduoti ar bet kokiu kitu būdu atskleisti Duomenis tretiesiems asmenims.

2.8. Duomenų subjektų teisių įgyvendinimas

2.8.1. Tuo atveju, jei duomenų subjektas pateikia Duomenų tvarkytojui prašymą dėl jo teisių įgyvendinimo, tokį prašymą Duomenų tvarkytojas nedelsdamas perduos Duomenų valdytojui.

2.8.2. Duomenų tvarkytojas įsipareigoja padėti duomenų valdytojui įgyvendinti duomenų subjektų teises tiek, kiek šios teisės susijusios su Duomenų tvarkytojo vykdomu Duomenų tvarkymu.

2.9. Duomenų apsaugos pareigūnas

2.9.1. Paskyręs duomenų apsaugos pareigūną, jeigu tai privaloma pagal Reglamento 37 straipsnį, Duomenų tvarkytojas raštu informuoja Duomenų valdytoją apie paskirto duomenų apsaugos pareigūno vardą ir pavardę (pavadinimą) bei perduoda jo kontaktinius duomenis.

2.9.2. Pasikeitus duomenų apsaugos pareigūnui ar jo kontaktiniams duomenims, Duomenų tvarkytojas nedelsdamas apie tai informuoja Duomenų valdytoją.

2.10. Duomenų tvarkymo veiklos įrašų vedimas

2.10.1. Duomenų tvarkytojas įsipareigoja vesti visų kategorijų Duomenų tvarkymo veiklą, vykdomą Duomenų valdytojo vardu, aprašančius įrašus, kuriuose nurodoma:

2.10.1.1. Duomenų valdytojo, kurio vardu veikia Duomenų tvarkytojas, taip pat, jei taikoma, Duomenų valdytojo duomenų apsaugos pareigūno vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;

2.10.1.2. Duomenų valdytojo vardu atliekamo duomenų tvarkymo kategorijos;

2.10.1.3. Kai taikoma, asmenų duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai, be kita ko, nurodant tą trečiąją valstybę arba tarptautinę organizaciją ir, BDAR 49 straipsnio 1 dalies antroje pastraipoje nurodytų duomenų perdavimų atveju, nuorodos į tinkamas apsaugos priemones aprašančius dokumentus;

2.10.1.4. Kai įmanoma, bendras techninių ir organizacinių saugumo priemonių aprašymas.

2.10.2. Duomenų valdytojui pareikalavus, Duomenų tvarkytojas nepagrįstai nedelsdamas įsipareigoja pateikti Duomenų tvarkymo, atliekamo pagal šią Sutartį, įrašų kopiją.

2.11. Tvarkymo trukmė

2.11.1. Duomenų tvarkytojas tvarko Duomenis tiek laiko, kiek galioja Pagrindinė sutartis ir kiek tai būtina joje numatytų paslaugų teikimui. Pasibaigus Pagrindinei sutarčiai ar šiai Sutarčiai, Duomenų tvarkymas nutraukiamas, o Duomenų eksportavimo ir sunaikinimo tvarka vykdoma vadovaujantis šios Sutarties 5.2–5.4 punktais.

2.11.2. Pasibaigus 5.2 punkte nustatytam 30 kalendorinių dienų Duomenų eksportavimo laikotarpiui, Duomenų tvarkytojas nutraukia Duomenų tvarkymą ir sunaikina arba anonimizuoja Duomenis vadovaudamasis šios Sutarties 5.3 ir 5.4 punktų nuostatomis, išskyrus atvejus, kai taikytini teisės aktai įpareigoja Duomenis saugoti ilgiau arba kai Duomenys saugomi atsarginėse kopijose pagal įprastą sistemų atsarginio kopijavimo politiką, užtikrinant atitinkamas technines ir organizacines apsaugos priemones.

3. DUOMENŲ VALDYTOJO ĮSIPAREIGOJIMAI

3.1. Duomenų valdytojas garantuoja Duomenų tvarkytojui, kad:

3.1.1. Turi tinkamą teisinį pagrindą tvarkyti Duomenis;

3.1.2. Turi teisę pasitelkti Duomenų tvarkytoją Duomenų tvarkymui vykdyti;

3.1.3. Yra pateikęs Duomenų subjektams pagal taikytiną teisę privalomą pateikti informaciją.

3.2. Duomenų valdytojas įsipareigoja:

3.2.1. Suteikti Duomenų tvarkytojui Duomenis, nurodytus šioje Sutartyje ir būtinus paslaugoms pagal Pagrindinę sutartį suteikti;

3.2.2. Užtikrinti perduodamų Duomenų tikslumą, patikimumą ir teisėtumą;

3.2.3. Raštu pateikti bet kokias Duomenų tvarkytojui taikomas instrukcijas;

3.2.4. Užtikrinti, kad pagal šią Sutartį perduotų tik tokius Duomenis, kuriuos jis tvarko teisėtai ir turi teisę perduoti Duomenų tvarkytojui.

4. ATSAKOMYBĖ IR GINČŲ SPRENDIMAS

4.1. Kiekviena Šalis atsako už savo pareigų pagal šią Sutartį pažeidimą pagal taikytinus teisės aktus. Duomenų tvarkytojo atsakomybė už pažeidimus, susijusius su šia Sutartimi, ribojama Pagrindinėje sutartyje nustatyta atsakomybės riba, išskyrus atvejus, kai žala padaryta tyčia ar dėl šiurkštaus neatsargumo. Nei viena Šalis neatsako už netiesioginius ar pasekminius nuostolius, išskyrus atvejus, kai tokia atsakomybė negali būti ribojama pagal taikytinus teisės aktus.

4.2. Visi ginčai, kylantys dėl šios Sutarties vykdymo, pakeitimo ar nutraukimo, bus sprendžiami derybų būdu.

4.3. Tuo atveju, jeigu Šalys nepasiekia sutarimo dėl ginčo išsprendimo derybų būdu, ginčai sprendžiami kompetentingame Lietuvos Respublikos teisme, vadovaujantis Lietuvos Respublikos teise, išskyrus atvejus, kai taikytini teisės aktai numato privalomą kitokią jurisdikciją.

5. ĮSIPAREIGOJIMŲ PAŽEIDIMAS IR SUTARTIES NUTRAUKIMAS

5.1. Tuo atveju, jei Duomenų valdytojas sužino, kad Duomenų tvarkytojas tvarko Duomenis nesilaikydamas šios Sutarties arba pažeidžia savo įsipareigojimus pagal duomenų apsaugos teisės aktus, Duomenų valdytojas turi teisę reikalauti, kad Duomenų tvarkytojas nedelsiant nutrauktų bet kokį tolesnį Duomenų tvarkymą. Tokiu atveju Duomenų tvarkytojas informuoja Duomenų valdytoją, kaip laikosi Sutartyje ir teisės aktuose nurodytų duomenų apsaugos reikalavimų. Duomenų valdytojas, įvertinęs Duomenų tvarkytojo pateiktą informaciją, gali atnaujinti Duomenų teikimą. Jei Duomenų tvarkytojas nepraneša Duomenų valdytojui, kaip laikomasi duomenų apsaugos reikalavimų, Duomenų valdytojas turi teisę vienašališkai nutraukti Sutartį pagal 6.3.3 punktą.

5.2. Pasibaigus šiai Sutarčiai ar Pagrindinei sutarčiai, Duomenų valdytojui suteikiama galimybė per 30 kalendorinių dienų nuo sutarties pasibaigimo dienos eksportuoti Duomenis naudojantis sistemos funkcionalumu.

5.3. Pasibaigus šiame punkte nustatytam laikotarpiui, Duomenų tvarkytojas sunaikina arba anonimizuoja Duomenis, išskyrus atvejus, kai taikytini teisės aktai įpareigoja juos saugoti ilgiau.

5.4. Duomenų tvarkytojas gali saugoti minimalias atsargines kopijas tiek, kiek tai būtina teisės aktų laikymuisi ar sistemų atsarginio kopijavimo politikai įgyvendinti, užtikrinant atitinkamas technines ir organizacines apsaugos priemones.

6. SUTARTIES GALIOJIMAS

6.1. Ši Sutartis įsigalioja nuo momento, kai Duomenų valdytojas pradeda naudotis Einpix paslaugomis ir galioja visą paslaugų naudojimo laikotarpį.

6.2. Ši Sutartis sudaroma neterminuotam laikotarpiui ir galioja tol, kol galioja Pagrindinė sutartis.

6.3. Ši Sutartis netenka galios, kai:

6.3.1. Ši Sutartis nutraukiama pasibaigus Pagrindinei sutarčiai;

6.3.2. Duomenų valdytojas vienašališkai nutraukia sutartį, raštu įspėjęs Duomenų tvarkytoją prieš 30 darbo dienų iki numatomo nutraukimo dienos;

6.3.3. Bet kuri šalis vienašališkai nutraukia Sutartį, kai kita šalis pažeidžia šios Sutarties nuostatas ir nesiima veiksmų ištaisyti pažeidimą per 15 darbo dienų nuo pranešimo, kuriuo reikalaujama ištaisyti trūkumus, gavimo dienos;

6.3.4. Bet kuri šalis netenka teisės tvarkyti Duomenis (pavyzdžiui, nebeturi teisinio pagrindo Duomenų tvarkymui, valstybės institucijos priima sprendimą dėl Duomenų tvarkymo sustabdymo).

7. BAIGIAMOSIOS NUOSTATOS

7.1. Duomenų tvarkytojas turi teisę atnaujinti šią Sutartį, paskelbdamas aktualią jos redakciją savo interneto svetainėje. Apie esminius pakeitimus Duomenų tvarkytojas informuoja Duomenų valdytoją elektroniniu paštu arba kitu įprastu informavimo būdu. Jei Duomenų valdytojas per 30 kalendorinių dienų nuo pranešimo gavimo dienos nepateikia pagrįsto prieštaravimo ir toliau naudojasi paslaugomis pagal Pagrindinę sutartį, laikoma, kad Duomenų valdytojas sutinka su atnaujinta Sutarties redakcija. Nuo momento, kai ši Sutartis paskelbiama interneto svetainėje, interneto svetainėje skelbiama redakcija laikoma oficialia ir galiojančia šios Sutarties versija.

7.2. Ši Sutartis skelbiama elektronine forma ir galioja kaip oficiali Einpix paslaugų dalis.

8. SUTARTIES PRIEDAI

8.1. Šios Sutarties neatskiriamos dalys (kurios gali būti skelbiamos atskiruose Einpix interneto puslapiuose):

8.1.1. Priedas Nr. 1 - Tvarkomų asmens duomenų aprašymas ir tvarkymo sąlygos.

8.1.2. Priedas Nr. 2 - Techninių ir organizacinių saugumo priemonių aprašas.

8.1.3. Subtvarkytojų sąrašas, skelbiamas adresu: https://einpix.com/lt/subtvarkytojai/.

1 priedas. Tvarkomų asmens duomenų aprašymas ir tvarkymo sąlygos

1. Duomenų tvarkymo tikslas – Pagrindinės sutarties vykdymas.

2. Duomenų subjektai:

2.1. Duomenų valdytojo darbuotojai, klientai, tiekėjai ar kiti asmenys, kurių duomenis Duomenų valdytojas įkelia į sistemą.

3. Tvarkomų asmens duomenų tipai:

3.1. Sistemos naudotojų ir kitų asmenų, kurių duomenis Duomenų valdytojas įkelia į sistemą:

3.1.1. Vardas;

3.1.2. Pavardė;

3.1.3. Darbovietė;

3.1.4. Telefono numeris;

3.1.5. El. pašto adresas;

3.1.6. Kita informacija susijusi su perkama preke ar paslauga.

4. Asmens duomenų tvarkymo operacijos:

Duomenų tvarkytojas mato ir/ar tvarko Asmens duomenis ta apimtimi, kuria nurodo Duomenų valdytojas arba kuri būtina tinkamai suteikti paslaugas Duomenų valdytojui pagal Pagrindinę sutartį.

5. Asmens duomenų gavimo tvarka:

Duomenų tvarkytojas asmens duomenis gauna iš Duomenų valdytojo, tokia tvarka: Duomenų tvarkytojas asmens duomenis gali matyti, tvarkyti, kai Duomenų tvarkytojas vykdo savo funkcijas pagal Pagrindinę sutartį.

6. Asmens duomenų tvarkymo veiksmai:

veiksmai, būtini teikiant Pagrindinėje sutartyje nustatytas paslaugas.

7. Asmens duomenų tvarkymo terminai arba tvarkaraštis:

kiekvieną kartą, kai Duomenų tvarkytojas atlieka veiksmus, teikia paslaugas Duomenų valdytojui pagal Pagrindinę sutartį.

2 priedas. Techninių ir organizacinių saugumo priemonių aprašas

Šis priedas yra neatskiriama Einpix Asmens duomenų tvarkymo sutarties dalis ir aprašo Duomenų tvarkytojo taikomas technines ir organizacines saugumo priemones.

Duomenų tvarkytojas gali periodiškai atnaujinti šiame priede aprašytas saugumo priemones, siekdamas atsižvelgti į technologijų vystymąsi, infrastruktūros pokyčius ar saugumo praktikų tobulinimą, su sąlyga, kad tokie pakeitimai nesumažina bendro asmens duomenų apsaugos lygio.

1. Infrastruktūra ir duomenų talpinimas

1.1. Einpix paslauga veikia Amazon Web Services (AWS) infrastruktūroje. Paslauga šiuo metu pirmiausia talpinama Europos Sąjungos regione eu-central-1 (Frankfurt, Vokietija) arba kituose AWS Europos ekonominės erdvės regionuose, jei to reikia infrastruktūros ar paslaugos veikimo užtikrinimui.

1.2. Produkciniai resursai izoliuojami virtualiame tinkle (VPC), taikant tinklo segmentavimą ir prieigos ribojimą.

1.3. Duomenų perdavimas tarp kliento ir Einpix vykdomas naudojant šifruotą ryšį (TLS 1.2 ar naujesnę versiją).

1.4. Duomenys saugojimo metu gali būti šifruojami naudojant AWS teikiamus šifravimo mechanizmus (pvz., AWS managed encryption mechanisms), jei tai taikoma konkrečiai infrastruktūros komponentų konfigūracijai.

1.5. Infrastruktūros fizinio saugumo, tinklo apsaugos ir duomenų centrų saugumo priemones užtikrina infrastruktūros tiekėjas pagal savo saugumo politiką ir atsakomybės pasidalijimo modelį (shared responsibility model).

2. Prieigos kontrolė

2.1. Prieiga prie administracinių funkcijų ir infrastruktūros ribojama tik įgaliotiems asmenims.

2.2. Administracinėms paskyroms taikomas kelių veiksnių autentifikavimas (MFA), kai tai technologiškai įgyvendinta naudojamoje autentifikavimo schemoje.

2.3. Individualios vartotojų paskyros naudojamos, kai tai technologiškai įmanoma. Bendrų paskyrų naudojimas ribojamas.

2.4. Prieigos teisės gali būti periodiškai peržiūrimos ir atnaujinamos pagal pareigas.

3. Atsarginės kopijos ir veiklos tęstinumas

3.1. Atsarginės duomenų kopijos daromos automatizuotai kasdien.

3.2. Atsarginių kopijų saugojimo laikotarpis (retention) yra 7 dienos.

3.3. Atsarginės kopijos ir infrastruktūros priemonės leidžia atkurti sistemos veikimą techninio ar fizinio incidento atveju.

4. Incidentų valdymas ir stebėsena

4.1. Einpix gali registruoti, tirti ir vertinti saugumo incidentus pagal taikomas vidines veiklos praktikas.

4.2. Sistemos įvykiai ir klaidos gali būti stebimi naudojant sistemų logus ir programinės įrangos stebėsenos įrankius.

4.3. Programinės įrangos klaidų ir incidentų stebėjimui gali būti naudojami specializuoti įrankiai (pvz., Sentry).

4.4. Apie asmens duomenų saugumo pažeidimą Duomenų valdytojas informuojamas be nepagrįsto delsimo, vadovaujantis šios Sutarties 2.4.3 punktu.

5. Subtvarkytojų saugumas ir duomenų perdavimas

5.1. Einpix pasitelkia tik patikimus ir rinkoje plačiai naudojamus technologijų tiekėjus infrastruktūros ar komunikacijos paslaugoms teikti.

5.2. Kai taikytina, duomenų perdavimui už Europos Sąjungos ar Europos ekonominės erdvės ribų naudojami BDAR V skyriaus numatyti teisėti perdavimo mechanizmai (pvz., Europos Komisijos patvirtintos Standartinės sutarčių sąlygos ar kiti teisėti pagrindai).

5.3. Einpix siekia perduoti subtvarkytojams tik tuos duomenis, kurie yra būtini paslaugų teikimui (duomenų minimalizavimo principas).

6. Kliento atsakomybės ribos

6.1. Duomenų valdytojas atsako už vartotojų prieigos teisių konfigūravimą savo organizacijoje Einpix sistemoje.

6.2. Duomenų valdytojas taip pat atsako už:

savo vartotojų autentifikavimo politiką (kai taikoma);
galutinių įrenginių saugumą;
duomenų turinio teisėtumą ir teisėtą duomenų įkėlimą į sistemą.

7. Saugumo priemonių taikymo principas

Duomenų tvarkytojas taiko šiame priede aprašytas technines ir organizacines saugumo priemones atsižvelgdamas į:

technologijų išsivystymo lygį,
įgyvendinimo sąnaudas,
duomenų tvarkymo pobūdį, apimtį ir tikslus,
galimą riziką fizinių asmenų teisėms ir laisvėms,

kaip tai numatyta BDAR 32 straipsnyje.

8. Saugumo informacijos pateikimas

Duomenų tvarkytojas gali pateikti Duomenų valdytojui pagrįstą informaciją apie šiame priede aprašytas saugumo priemones tiek, kiek tai būtina siekiant įrodyti BDAR reikalavimų laikymąsi.

Siekiant apsaugoti konfidencialią informaciją ir sistemų saugumą, Duomenų tvarkytojas neprivalo atskleisti:

detalių infrastruktūros architektūros schemų,
saugumo konfigūracijų,
vidinių saugumo procedūrų,
pažeidžiamumų testavimo (pvz., penetration testing) rezultatų,
kitų dokumentų ar informacijos, kurios atskleidimas galėtų kelti riziką sistemų saugumui.

Duomenų tvarkytojas gali savo nuožiūra pateikti bendro pobūdžio saugumo informaciją ar aprašymus, kurie pagrįstai patvirtina taikomų techninių ir organizacinių priemonių egzistavimą.

Duomenų tvarkytojas neprivalo pildyti individualių saugumo klausimynų ar pateikti papildomos dokumentacijos, išskyrus atvejus, kai tai numatyta teisės aktuose arba pagrįstai būtina BDAR reikalavimų laikymuisi įrodyti.

Duomenų tvarkymo sutartis (BDAR)

1 priedas. Tvarkomų asmens duomenų aprašymas ir tvarkymo sąlygos

2 priedas. Techninių ir organizacinių saugumo priemonių aprašas

Išbandykite