PRIEDAS NR. 2 PRIE BENDRŲJŲ UAB PORTALPRO ELEKTRONINIŲ PASLAUGŲ TEIKIMO SĄLYGŲ
Duomenų tvarkymo sutartis
Duomenų tvarkymo sutartis (toliau – Sutartis arba Duomenų tvarkymo sutartis) yra Bendrųjų sąlygų priedas ir yra neatskiriama jų dalis. Šiame priede PortalPRO (toliau – Duomenų valdytojas) ir Partneris (toliau – Duomenų tvarkytojas) atsižvelgiant į tai, kad
- Duomenų valdytojas teikia Duomenų tvarkytojui paslaugas, kurios Duomenų tvarkytojui prieinamos per PortalPRO platformą (toliau – Paslaugos) pagal Bendrąsias elektroninių paslaugų teikimo sąlygas tarp Šalių, kurių metu Duomenų tvarkytojui pateikiami Duomenų valdytojo tvarkomi asmens duomenys ir Duomenų tvarkytojas Duomenų valdytojo vardu tvarko asmens duomenis;
- Duomenų valdytojas siekia įpareigoti Duomenų tvarkytoją atlikti asmens duomenų tvarkymą, Duomenų valdytojo nustatytu tikslu bei priemonėmis;
- Duomenų tvarkytojas sutinka tvarkyti Asmens duomenis Duomenų valdytojo pavedimu pagal Duomenų valdytojo nurodymus;
- Dėl 2018 m. gegužės 25 d. pradėto taikyti ES Bendrojo duomenų apsaugos reglamento (toliau – Reglamentas; Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB ), Šalys turi susitarti dėl reikiamų ir būtinų sąlygų, kad Duomenų tvarkytojas galėtų tvarkyti Duomenų valdytojo tvarkomus asmens duomenis,
susitaria, kad Duomenų valdytojo duomenų tvarkymui, kurį vykdo Duomenų tvarkytojas, taikomos toliau nustatytos sąlygos:
1.BENDROSIOS NUOSTATOS
1.1. Ši Sutartis nustato sąlygas, taikomas asmens duomenų tvarkymui, kuriuos Duomenų tvarkytojas valdo apibrėžtu tikslu. Ši Sutartis panaikina ir pakeičia visas Asmens duomenų tvarkymo sąlygas, dėl kurių Šalys buvo susitarusios anksčiau (jei buvo).
1.2. Šalys susitaria, kad Duomenų tvarkytojas atlieka duomenų tvarkymą, kurio dalykas – Duomenų valdytojo duomenų, gaunamų teikiant paslaugas, tvarkymas. Duomenų tvarkymo tikslas – Paslaugų sutarties vykdymas, t.y., Duomenų tvarkytojas Duomenų valdytojo vardu tvarko klientų, gaunančių paslaugas, duomenis.
1.3. Šios Sutarties pagrindu atliekamam duomenų tvarkymui taikomos Valstybinės duomenų apsaugos inspekcijos direktoriaus 2021 m. gruodžio 27 d. įsakymu Nr. 1T-117 (1.12.E) patvirtintos Standartinės sutarčių sąlygos asmens duomenų tvarkymo sutartyse (toliau – Standartinės sąlygos) su šiame Susitarime įvardintais Šalių pasirinkimais ir papildymais.
1.4. Duomenų tvarkytojas įsipareigoja tvarkyti asmens duomenis tik pagal Duomenų valdytojo pateiktus dokumentais įformintus nurodymus, išskyrus atvejus, kai to reikalaujama pagal Europos Sąjungos ar jos valstybės narės teisės aktus, kurie yra taikomi duomenų tvarkytojui. Duomenų valdytojas atsako prieš Duomenų tvarkytoją už pasekmes, kurias sukėlė jo duoti neteisėti nurodymai ir atlygina Duomenų tvarkytojui dėl neteisėtų nurodymų kilusius tiesioginius nuostolius.
2. APIBRĖŽIMAI
2.1. Šioje Sutartyje vartojamos sąvokos atitinka Reglamente ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme (toliau – Įstatymas), o taip pat kituose teisės aktuose vartojamas sąvokas.
3. ŠALIŲ TEISĖS IR PAREIGOS
3.1. Duomenų valdytojas:
3.1.1. įsipareigoja Duomenų tvarkytojui duoti privalomus nurodymus dėl to, kaip tvarkyti asmens duomenis, visada turėti įgaliojimus ir kontrolę, susijusią su asmens duomenimis, užtikrinti, kad taikytinos techninės ir organizacinės priemonės, kuriomis naudojasi Duomenų tvarkytojas, užtikrina asmens duomenų apsaugą nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo;
3.1.2. įsipareigoja užtikrinti, kad asmens duomenys būtų tvarkomi laikantis Reglamento 24 str., Įstatymo, kitų asmens duomenų apsaugą ir (ar) tvarkymą reglamentuojančių Europos Sąjungos ar jos valstybės narės teisės aktų ir šios Sutarties sąlygų;
3.1.3. turi teisę ir pareigą priimti sprendimus dėl asmens duomenų tvarkymo tikslų ir priemonių;
3.1.4. yra atsakingas, įskaitant, bet neapsiribojant, už tai, kad asmens duomenų tvarkymas, kurį Duomenų tvarkytojui pavesta atlikti, turėtų teisinį pagrindą;
3.1.5. patvirtina, kad pateikė Sutarties vykdymo laikotarpiu bei pateiks reikiamus nurodymus Duomenų tvarkytojui dėl Duomenų valdytojo pavedimu atliekamo asmens duomenų tvarkymo;
3.1.6. įsipareigoja, gavęs Duomenų tvarkytojo prašymą, suteikti Duomenų tvarkytojui reikiamą informaciją, būtiną asmens duomenų apsaugos teisės aktuose numatytoms Duomenų tvarkytojo pareigoms, susijusioms su Duomenų valdytojo pavedimu tvarkomais asmens duomenimis, vykdyti;
3.1.7. bendradarbiauja su Duomenų tvarkytoju ir duomenų subjektais, taikydamas tinkamas technines ir organizacines priemones, siekiant įvykdyti prievolę atsakyti į duomenų subjektų prašymus pasinaudoti teisės aktuose nustatytomis duomenų subjekto teisėmis;
3.2. Duomenų tvarkytojas:
3.2.1. turi laikytis Lietuvos Respublikoje taikomų duomenų tvarkymą reglamentuojančių teisės aktų bei Reglamento nuostatų.
3.2.2. atsižvelgdamas į duomenų tvarkymo pobūdį ir Duomenų tvarkytojo turimą informaciją, Duomenų tvarkytojas padeda Duomenų valdytojui užtikrinti prievolių dėl duomenų tvarkymo saugumo (Reglamento 32 str.) laikymąsi. Atsižvelgdama į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas, duomenų tvarkymo pobūdį, aprėptį, kontekstą, tikslus, duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, Duomenų tvarkytojas imasi galimų priemonių įgyvendinti technines ir organizacines priemones, kad būtų užtikrintas pavojų atitinkančio lygio saugumas.
3.2.3. imasi priemonių, siekdamas užtikrinti, kad asmens duomenis tvarkytų tik tie fiziniai asmenys, kuriems tai reikalinga Duomenų tvarkytojui pavestų funkcijų vykdymui. Duomenų tvarkytojas užtikrina, kad Duomenų tvarkytojo asmenys, kuriems yra pavesta tvarkyti asmens duomenis, būtų įsipareigoję užtikrinti konfidencialumą.
3.2.4. asmens duomenis tvarko pagal Duomenų valdytojo šioje Sutartyje ar kituose Duomenų valdytojo ir Duomenų tvarkytojo sudarytose sutartyse nustatytus reikalavimus ir apimtis.
3.2.5. turi teisę pasitelkti subtvarkytojus, įsikūrusius ir duomenų tvarkymo veiklą vykdančius ES arba EEE šalyse. Kai ketinama pasitelkti subtvarkytoją, esantį už ES ir/ar EEE ribų, Duomenų tvarkytojas privalo gauti išankstinį konkretų Duomenų valdytojo leidimą.
3.2.6. įsipareigoja turėti pasirašęs rašytinius susitarimus su savo pasitelktais subtvarkytojais ir juose nustatyti tokias pačias duomenų apsaugos prievoles, kaip ir prievoles, nustatytas šioje Sutartyje. Duomenų tvarkytojas įsipareigoja reguliariai prižiūrėti savo pasitelktų subtvarkytojų veiksmus ir prisiimti atsakomybę už jų veiksmus, tartum juos būtų atlikęs pats Duomenų tvarkytojas.
3.2.7. atsižvelgiant į duomenų tvarkymo pobūdį, padeda Duomenų valdytojui taikydamas tinkamas technines ir organizacines priemones, kiek tai įmanoma, kad būtų įvykdyta Duomenų valdytojo prievolė atsakyti į prašymus pasinaudoti Reglamento III skyriuje nustatytomis Duomenų subjekto teisėmis. Duomenų subjektui į duomenų subjekto prašymus atsako Duomenų valdytojas, nebent Duomenų tvarkytojas pageidauja atsakymą apie jo atliekamus Duomenų tvarkymo veiksmus pateikti pats.
3.2.8. įsipareigoja pateikti Duomenų valdytojui visą informaciją ir suteikti jam visą pagalbą siekiant įrodyti, kad yra vykdomi pagal šią Sutartį prisiimti įsipareigojimai. Apie tai pranešdamas prieš 14 dienų raštu, Duomenų valdytojas gali patikrinti, ar yra laikomasi šios Sutarties nuostatų.
3.2.9. Bet koks patikrinimas Duomenų tvarkytojo patalpose bus vykdomas tik Duomenų tvarkytojo darbo valandomis, sukeliant kuo mažesnį įprastos darbo tvarkos sutrikdymą. Asmenys, kurie, vykdydami patikrinimą, lankysis Duomenų tvarkytojo patalpose, privalės pasirašyti konfidencialumo pasižadėjimą. Duomenų tvarkytojui paprašius, Duomenų valdytojas pateiks tokio patikrinimo ataskaitos kopiją.
3.2.10. atsižvelgdamas į duomenų tvarkymo pobūdį ir Duomenų tvarkytojo turimą informaciją, raštišku Duomenų valdytojo prašymu, Duomenų tvarkytojas padeda Duomenų valdytojui užtikrinti prievolių dėl pranešimo priežiūros institucijai, duomenų subjektui apie asmens duomenų saugumo pažeidimą, poveikio duomenų apsaugai vertinimo (įskaitant išankstines konsultacijas) (Reglamento 33-36 str.) laikymąsi. Duomenų tvarkytojas, sužinojęs apie su asmens duomenų tvarkymu (atliekamu pagal šią Sutartį) susijusį asmens duomenų saugumo pažeidimą, nepagrįstai nedelsdamas apie tai praneša Duomenų valdytojui.
3.2.11. užbaigus teikti su Duomenų tvarkymu susijusias paslaugas, ištrina visus asmens duomenis, išskyrus atvejus, kai Europos Sąjungos ar valstybės narės teise reikalaujama asmens duomenis saugoti arba Duomenų tvarkytojas tampa šių duomenų valdytoju.
4. TECHNINĖS ORGANIZACINĖS DUOMENŲ APSAUGOS PRIEMONĖS IR DOKUMENTACIJOS TVARKYMAS
4.1. Šalys užtikrina tvarkomų asmens duomenų apsaugą, įgyvendinant tinkamas technines ir organizacines priemones, skirtas apsaugoti tvarkomus asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, sugadinimo, pakeitimo, praradimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo. Šios priemonės turi užtikrinti reikiamą apsaugos lygį, kuris atitiktų tvarkomų asmens duomenų pobūdį ir jų tvarkymo keliamą riziką bei kuris yra tinkamas atsižvelgiant į:
a) techninių galimybių išsivystymo lygį;
b) įgyvendinimo sąnaudas;
c) duomenų tvarkymo pobūdį, apimtį, kontekstą ir tikslus;
d) tvarkymu keliamą riziką fizinių asmenų, kurių Asmens duomenys yra tvarkomi, teisėms ir laisvėms.
4.2. Apsaugos priemonės, kurias įsipareigoja įgyvendinti Duomenų tvarkytojas, yra išdėstytos Bendruosiuose saugumo reikalavimuose (Duomenų tvarkymo sutarties priedas Nr. 1), kitose Duomenų valdytojo instrukcijose (jeigu tokių būtų) bei teisės aktuose.
4.3. Duomenų tvarkytojas visais atvejais įsipareigoja užtikrinti asmens duomenų konfidencialumą bei garantuoja, kad prieiga prie asmens duomenų bus suteikta tik tiems Duomenų tvarkytojo darbuotojams ar jo įgaliotiems asmenims, kuriems to reikia jų funkcijoms vykdyti ir su asmens duomenimis būtų atliekami tik tie veiksmai, kuriems atlikti Duomenų tvarkytojui suteiktos teisės. Duomenų tvarkytojas įsipareigoja užtikrinti, kad asmens duomenis tvarkyti įgalioti asmenys būtų tinkamai informuoti apie asmens duomenų konfidencialumą, būtų tinkamai apmokyti kaip vykdyti savo pareigas ir laikytis asmens duomenų tvarkymui taikomų reikalavimų, numatytų Sutartyje, Duomenų valdytojo pavedimuose ir teisės aktuose bei būtų įsipareigoję užtikrinti asmens duomenų konfidencialumą. Duomenų tvarkytojas patvirtina, jog aiškiai supranta, kad asmens duomenų konfidencialumo įsipareigojimai lieka galioti ir pasibaigus Sutarčiai ir (arba) Paslaugų sutarčiai.
4.4. Duomenų valdytojo prašymu, Duomenų tvarkytojas įsipareigoja bendradarbiauti su Duomenų valdytoju ir jam padėti teikdamas informaciją apie reikiamas technines ir organizacines priemones, skirtas duomenų subjektų teisėms, numatytoms teisės aktuose apsaugoti, įskaitant, tačiau tuo neapsiribojant:
a) pateikti Duomenų valdytojui duomenų subjektų asmens duomenų kopiją Šalių suderinta saugia forma;
b) ištaisyti asmens duomenis, apriboti jų tvarkymą arba juos sunaikinti (negrįžtamai ištrinti).
4.5. Duomenų tvarkytojas, Duomenų valdytojo prašymu ir per Duomenų valdytojo nurodytą terminą, teikia Duomenų valdytojui visą reikiamą informaciją, dokumentus ir pagalbą, būtinus tam, kad Duomenų valdytojas galėtų tinkamai vykdyti visus asmens duomenų apsaugos teisės aktų reikalavimus ir įrodyti tokių reikalavimų laikymąsi.
4.6. Tuo atveju, kai įgaliotos priežiūros institucijos ar bet kuris kitas asmuo, įskaitant duomenų subjektą, prašo Duomenų tvarkytojo pateikti Sutarties ir Paslaugų sutarties pagrindu tvarkomus asmens duomenis, Duomenų tvarkytojas privalo nedelsiant tokį prašymą perduoti Duomenų valdytojui.
4.7. Duomenų tvarkytojui neleidžiama atskleisti asmens duomenų ar bet kurios kitos informacijos, susijusios su asmens duomenų tvarkymu, be išankstinio rašytinio Duomenų valdytojo sutikimo, išskyrus atvejus, kai Duomenų tvarkytojas yra įpareigotas atskleisti tokią informaciją vadovaujantis teisės aktais. Pastaruoju atveju Duomenų tvarkytojas privalo nedelsiant apie tai pranešti Duomenų valdytojui, jeigu toks pranešimas nepažeidžia teisės aktų.
5. ASMENS DUOMENŲ SAUGUMO PAŽEIDIMAI
5.1. Duomenų tvarkytojas įsipareigoja, Duomenų valdytojo prašymu ir per Duomenų valdytojo nurodytą terminą, padėti Duomenų valdytojui vykdyti jam nustatytas pareigas užtikrinti tinkamą duomenų tvarkymą bei saugumą, pvz. pareigą pranešti apie duomenų saugumo pažeidimus, atlikti rizikų ir poveikio vertinimą bei konsultuotis su priežiūros institucija, kaip numatyta asmens duomenų apsaugos teisės aktuose. Duomenų tvarkytojas pranešimus apie asmens duomenų saugumo pažeidimą susitaria teikti per Duomenų valdytoją. Atskiri Duomenų tvarkytojo pranešimai apie asmens duomenų saugumo pažeidimą teikiami tik tais atvejais kai tai būtina pagal teisės aktus. Pranešimai teikiami pagal Reglamento 33 ir 34 straipsnių reikalavimus.
5.2. Asmens duomenų saugumo pažeidimo atveju pas Duomenų tvarkytoją, Duomenų valdytojas nedelsdamas ir, jei įmanoma, praėjus ne daugiau kaip 72 valandoms nuo tada, kai ji sužino apie asmens duomenų saugumo pažeidimą, apie tai praneša vadovaujančiai priežiūros institucijai, išskyrus atvejus, kai asmens duomenų saugumo pažeidimas nekelia pavojaus duomenų subjekto teisėms ir laisvėms.
5.3. Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų subjektams Duomenų valdytojas nedelsdamas praneša apie asmens duomenų saugumo pažeidimą ir pažeidimo paliestiems duomenų subjektams.Jei įvyksta faktinis arba įtariamas asmens duomenų saugumo pažeidimas arba Duomenų tvarkytojo atžvilgiu vykdomi bet kokie kiti priežiūros institucijų procesiniai veiksmai, susiję su asmens duomenų, tvarkomų pagal Duomenų tvarkymo sutartį ir (arba) Paslaugų sutartį, tvarkymu, Duomenų tvarkytojas nedelsdamas, tačiau bet kuriuo atveju ne vėliau kaip per dvidešimt keturias (24) valandas nuo fakto paaiškėjimo neatlygintinai raštu informuoja apie tai Duomenų valdytoją.
5.5. Gavęs Duomenų valdytojo leidimą, Duomenų tvarkytojas privalo skubiai pašalinti problemą ir užkirsti kelią tolesnei žalai, taip pat sumažinti tokio incidento padarinius. Pranešime Duomenų tvarkytojas pateikia Duomenų valdytojui visą informaciją, kuri pagal asmens duomenų apsaugos teisės aktus yra reikalinga Duomenų valdytojui, kad jis galėtų tinkamai įvykdyti pareigą pranešti priežiūros institucijai ir duomenų subjektams bei pašalinti ir sumažinti duomenų saugumo pažeidimo padarinius. Pranešime įskaitant, tačiau tuo neapsiribojant, nurodoma:
a) aprašomas Asmens duomenų saugumo pažeidimo pobūdis, nurodomos paveiktos duomenų subjektų kategorijos ir subjektų skaičius bei duomenų tvarkymo įrašų kategorijos ir skaičius;
b) nurodomi duomenų apsaugos pareigūno ar kito kontaktinio asmens, iš kurio galima gauti daugiau informacijos, tapatybės ir kontaktiniai duomenys;
c) nurodomos rekomenduojamos priemonės galimiems neigiamiems Asmens duomenų saugumo pažeidimo padariniams sumažinti;
d) aprašomi Asmens duomenų saugumo pažeidimo tikėtini padariniai ir galima rizika duomenų subjektams;
e) aprašomos priemonės, kurias siūlo arba įgyvendino Duomenų tvarkytojas ir (arba) sub-tvarkytojas, jei taikoma, dėl asmens duomenų saugumo pažeidimo;
f) pateikiama kita informacija, pagrįstai reikalinga, kad Duomenų valdytojas galėtų laikytis asmens duomenų apsaugos teisės aktų, įskaitant įpareigojimo pranešti priežiūros institucijai.
5.6. Jei įmanoma ir būtina, gavęs Duomenų valdytojo nurodymą, Duomenų tvarkytojas privalo savo lėšomis imtis reikiamų taisomųjų veiksmų duomenų subjektų atžvilgiu.
5.7. Duomenų tvarkytojas privalo tinkamai dokumentuoti visus Sutarties pagrindu tvarkomų asmens duomenų saugumo pažeidimus, įskaitant su pažeidimu susijusius faktus, jų padarinius ir atliktus taisomuosius veiksmus. Toks dokumentavimas turi suteikti galimybę priežiūros institucijai patikrinti asmens duomenų apsaugos teisės aktų laikymąsi. Dokumentuojant galima naudoti tik tokiam tikslui būtiną informaciją.
6. ATSAKOMYBĖ
6.1. Kiekviena Šalis veikianti kaip duomenų valdytojas yra finansiškai individualiai atsakinga už asmens duomenų tvarkymą. Šalis nėra atsakinga už kitų duomenų valdytojų vykdomą duomenų tvarkymą.
6.2. Duomenų valdytojas yra solidariai atsakingas už Duomenų tvarkytojo duomenų tvarkymą tik tuo atveju, jei Duomenų tvarkytojas veikė (arba nevykdė savo pareigų) pagal Duomenų valdytojo nurodymus.
6.3. Tais atvejais kai Duomenų tvarkytojas veikė ne pagal Duomenų valdytojo nurodymus jis pats savarankiškai atsako už dėl tokio Asmens duomenų tvarkymo kilusias neigiamas pasekmes, įskaitant priežiūros institucijų sankcijas. Kitokios atsakomybės taisyklės taikomos tik tuo atveju, jei tai imperatyviai numatyta teisės aktuose.
6.4. Duomenų tvarkytojas yra atsakingas už žalą, kurią Duomenų valdytojui, Duomenų valdytojo klientui, bendradarbiavimo partneriui ar trečiajai šaliai padaro Duomenų tvarkytojas, jo darbuotojas arba sub-tvarkytojas netinkamai vykdant / pažeidžiant Duomenų tvarkymo sutartį, Duomenų valdytojo nurodymus ir (ar) asmens duomenų apsaugos teisės aktus.
6.5. Jei trečioji šalis pateikia bet kokią pretenziją ar ieškinį Duomenų tvarkytojui dėl Duomenų tvarkymo sutarties, teikiamos paslaugos, asmens duomenų apsaugos teisės aktų pažeidimo, Duomenų valdytojas turi teisę kaip nepriklausoma arba kaip trečioji šalis dalyvauti derybose ir procesiniuose veiksmuose, siekiant užtikrinti tinkamą jo teisių ir teisėtų interesų gynimą.
6.6. Teisminius veiksmus Duomenų tvarkytojas visais atvejais derina su Duomenų valdytoju.
7. Duomenų tvarkymo trukmė
7.1. Ši Sutartis taikoma tol, kol Duomenų tvarkytojas tvarko asmens duomenis Duomenų valdytojo vardu. Duomenų valdytojo prašymu, Duomenų tvarkytojas privalo po šios Sutarties nutraukimo ar pasibaigimo nutraukti savo vykdomą duomenų tvarkymo veiklą ir – jei taip pageidauja Duomenų valdytojas ir, jei kitaip nenumato taikomi duomenų apsaugos teisės aktai – turi ištrinti arba grąžinti visus asmens duomenis Duomenų valdytojui, kartu ištrinant visas turimas tokių duomenų kopijas.
7.2. Duomenų valdytojo prašymu, Duomenų tvarkytojas privalo po Sutarties nutraukimo ar pasibaigimo nutraukti savo vykdomą duomenų tvarkymo veiklą ir, jei taip pageidauja Duomenų valdytojas bei kitaip nenumato duomenų apsaugą reglamentuojantys teisės aktai, ištrinti arba grąžinti visus asmens duomenis Duomenų valdytojui, kartu ištrinant arba grąžinant visas turimas tokių duomenų kopijas.
7.3. Be Duomenų valdytojo išankstinio rašytinio sutikimo Duomenų tvarkytojas įsipareigoja neatskleisti pagal šią Sutartį tvarkomų asmens duomenų ar kitaip neleisti su jais susipažinti jokiai trečiajai šaliai, išskyrus teisės aktuose numatytus asmenis bei pagalbinius duomenų tvarkytojus, kurie pasitelkiami pagal šią Sutartį.
8. KITOS SĄLYGOS
8.1. Visi dėl šios Sutarties kylantys ginčai yra sprendžiami Šalių tarpusavio susitarimu. Šalims nepavykus susitarti, bet kokie ginčai, nesutarimai ar reikalavimai, kylantys iš šios Sutarties ar susiję su ja, jos pažeidimu, nutraukimu ar galiojimu, neišspręsti Šalių susitarimu, sprendžiami Lietuvos Respublikos teisme pagal Duomenų valdytojo buveinę, jeigu teisės aktuose nenustatyta kitaip.
8.2. Esant prieštaravimams tarp šios Sutarties ir kitų tarp Šalių sudarytų sutarčių sąlygoms, taikomos šios Sutarties nuostatos.
8.3. Ši Sutartis įsigalioja nuo jos pasirašymo dienos ir galioja tol, kol, priklausomai kas įvyksta pirmiau, 1) galioja Paslaugų sutartis arba 2) iki atskirame Duomenų valdytojo pranešime Duomenų tvarkytojui apie Duomenų tvarkymo sutarties nutraukimą nurodyto termino, kuris turi būti ne ankstesnis nei 30 (trisdešimt) dienų nuo pranešimo datos, arba 3) iki atskirame Duomenų tvarkytojo pranešime Duomenų valdytojui apie Duomenų tvarkymo sutarties nutraukimą nurodyto termino, kuris turi būti ne ankstesnis nei 30 (trisdešimt) dienų nuo pranešimo datos.
8.4. Duomenų tvarkymo sutartis atitinkamų asmens duomenų atžvilgiu gali pasibaigti ir nuo to momento kai tokių asmens duomenų atžvilgiu Duomenų tvarkytojas tampa savarankišku asmens duomenų valdytoju ir praneša apie tai Duomenų valdytojui raštu.
8.5. Duomenų tvarkytojo konfidencialumo įsipareigojimai galioja ir pasibaigus Duomenų tvarkymo sutarčiai ir (ar) Paslaugų sutarčiai.
8.6. Visi Duomenų tvarkymo sutarties pakeitimai ir papildymai yra galiojantys jeigu sudaryti raštu ir patvirtinti abiejų Šalių atstovų parašais.
8.7. Šalys patvirtina ir garantuoja, kad jos turi visus reikiamus įgaliojimus sudaryti Duomenų tvarkymo sutartį ir ją vykdyti.
8.8. Ši Sutartis sudaryta 3 egzemplioriais, turinčiais vienodą juridinę galią, po vieną egzempliorių kiekvienai šaliai.
1 priedas
Bendrieji asmens duomenų saugumo reikalavimai
Aprašymas
1.Duomenų tvarkytojas ir su juo susiję ar jo įgalioti asmenys privalo laikytis žemiau išdėstytų saugumo reikalavimų.
Sąvokų apibrėžimai
2.„Duomenys“ reiškia duomenis arba kitokią informaciją, kurią Duomenų valdytojas arba jo vardu veikiantis asmuo pateikia (arba suteikia prieigas) Duomenų tvarkytojui ir Duomenų tvarkytojo atliekamo tokių duomenų tvarkymo rezultatą.
3.„Informacijos tvarkymo infrastruktūra“ reiškia bet kokią informacijos apdorojimo sistemą, paslaugas ar infrastruktūrą arba fizines jų įrengimo vietas.
4.„Registruoti“ reiškia registruoti informacijos arba įvykių detales organizuotoje registro įrašų tvarkymo sistemoje, paprastai tokia eilės tvarka, kokia buvo gauta informacija arba įvyko įvykiai.
5.„Paslaugos“ reiškia paslaugas, kurias Duomenų tvarkytojas arba jo vardu veikiantis asmuo teikia Duomenų valdytojui, kaip apibrėžta Sutartyje.
6.„Duomenų tvarkytojo darbuotojai“ reiškia bet kuriuos Duomenų tvarkytojo vardu veikiančius asmenis, įskaitant darbuotojus, konsultantus, rangovus ir subtiekėjus.
7.„Saugumo kontrolė“ reiškia tinkamas technines ir organizacines priemones, kurios užtikrina IT sistemų saugumą.
8.„Saugumo incidentas“ reiškia vieną ar kelis nepageidaujamus arba netikėtus saugumo įvykius, kurie turi didelę tikimybę sukelti arba sukėlė pavojų verslo operacijoms ar grėsmę saugumui.
9.„Jautrūs produktai“ ir „Jautrios paslaugos“ reiškia bet kokį produktą ar paslaugas, kurias Valdytojas apibrėžia kaip jautrias.
Saugumo reikalavimai
Rizikos valdymas
10. Duomenų tvarkytojas identifikuoja saugumo rizikas ir imasi tinkamų veiksmų, siekiant kontroliuoti ir sumažinti tokias rizikas.
11. Duomenų tvarkytojas dokumentais įtvirtina savo veiklos rizikos valdymo procesus ir procedūras.
12. Duomenų tvarkytojas periodiškai vertina rizikas, susijusias su informacinėmis sistemomis ir informacijos tvarkymu, saugojimu ir perdavimu.
Informacijos saugumo politika
13. Duomenų tvarkytojas turi turėti apibrėžtą ir dokumentais patvirtintą informacijos saugumo valdymo sistemą (ISVS), įskaitant informacijos saugumo politiką ir procedūras, kurios turi būti patvirtintos Duomenų tvarkytojo vadovybės. Jos turi būti paskelbtos Duomenų tvarkytojo organizacijoje, ir atitinkami Duomenų tvarkytojo darbuotojai turi būti su jomis supažindinti.
14. Duomenų tvarkytojas periodiškai peržiūri saugumo politikas ir procedūras bei jas atnaujina, jei to reikia siekiant užtikrinti jų atitiktį Saugumo reikalavimams.
Žmogiškųjų išteklių saugumas
15. Duomenų tvarkytojas užtikrina, kad jo darbuotojai tvarko informaciją laikydamiesi tokio konfidencialumo lygio, kurio reikalaujama pagal Sutartį ir šią Duomenų tvarkymo sutartį.
16. Duomenų tvarkytojas užtikrina, kad atitinkami Duomenų tvarkytojo darbuotojai būtų susipažinę su informacijos, įrenginių ir sistemų naudojimo reikalavimais (įskaitant nustatytus naudojimo apribojimus) pagal Sutartį ir Duomenų tvarkymo sutartį. Duomenų valdytojas turi teisę reikalauti iš Duomenų tvarkytojo pateikti kiekvieno ir visų Duomenų tvarkytojo darbuotojų pasirašytus dokumentus, įrodančius, kad jie suprato Saugumo reikalavimų turinį ir sutinka laikytis šių bei informacijos, sistemų ir įrenginių naudojimo reikalavimų.
17. Duomenų tvarkytojas užtikrina, kad Duomenų tvarkytojo darbuotojai, atsakingi už saugumą, yra tinkamai apmokyti vykdyti su saugumu susijusias pareigas.
Informacinio turto valdymas
18. Duomenų tvarkytojas turi turėti įdiegtą apibrėžtą ir dokumentais įtvirtintą informacinio turto valdymo sistemą ir saugoti atnaujinamus įrašus apie visą atitinkamą informacinį turtą bei jo savininkus. Informacinis turtas apima (tuo neapsiribojant) IT sistemas, atsargines kopijas ir (arba) išimamas kompiuterinių duomenų saugojimo laikmenas, kuriose yra konfidencialios informacijos, prieigos teises, programinę įrangą ir konfigūraciją.
19. Duomenų tvarkytojas klasifikuoja, tvarko ir saugo informaciją pagal iš anksto apibrėžtą informacijos klasifikavimo sistemą, vadovaujantis tuo metu galiojančiais saugumo standartais (įskaitant išimamų kompiuterinių duomenų laikmenų saugojimą, naikinimą bei jų fizinį perdavimą).
Prieigos kontrolė
20. Duomenų tvarkytojas turi turėti įgyvendintą dokumentais įtvirtintą vartotojų registravimo ir išregistravimo procedūrą, pagal kurią suteikiamos prieigos teisės.
21. Duomenų tvarkytojas užtikrina, kad kiekvienas jo darbuotojas turi asmeninį ir unikalų identifikatorių (vartotojo ID), ir naudoja autentifikavimo būdą, kuris patvirtina ir užtikrina vartotojų tapatumą.
Fizinis ir aplinkos saugumas
22. Duomenų tvarkytojas tinkamai apsaugo informacijos tvarkymo įrenginius nuo išorės ir aplinkos grėsmių ir pavojų, įskaitant elektros energijos / kabelių gedimus ir kitus sutrikimus, kylančius dėl pagalbinių įrenginių gedimų.
Operacijų saugumas
23. Duomenų tvarkytojas įdiegia apsaugą nuo kenkėjiškų programų, tam kad bet kokia programinė įranga, kuri naudojama teikiant paslaugas Duomenų valdytojui, būtų apsaugota nuo kenkėjiškų programų.
24.Duomenų tvarkytojas daro atsargines ypatingai svarbios informacijos kopijas ir išbando atsargines kopijas, siekdamas užtikrinti, kad informacija būtų atkurta, kaip buvo susitarta su Duomenų valdytoju.
25. Duomenų tvarkytojas registruoja ir stebi vartotojų veiklą, naudojamas išimtis, gedimus ir informacijos saugumo įvykius bei reguliariai juos peržiūri. Be to, Duomenų tvarkytojas saugo ir laiko (ne mažiau kaip 6 mėnesius arba teisės aktuose numatytą ilgesnį terminą) įrašų informaciją ir, paprašius, pateikia duomenis Duomenų valdytojui.
26. Duomenų tvarkytojas privalo aktyviai ir laiku valdyti visų atitinkamų technologijų, įskaitant (bet neapsiribojant) operacinės sistemos, duomenų bazės, taikomosios programos, pažeidžiamumus.
27. Duomenų tvarkytojas nustato saugumo reikalavimus visoms atitinkamoms technologijoms, tokioms kaip operacinės sistemos, duomenų bazės, taikomosios programos.
Ryšių saugumas
28. Duomenų tvarkytojas privalo įgyvendinti tinklo saugumo kontrolės priemones, tokias kaip apibrėžtas aptarnavimo lygis, ugniasienės ir (tinklų) atskyrimas, siekiant apsaugoti informacines sistemas.
Duomenų tvarkytojo santykiai su sub-tvarkytojais
29. Duomenų tvarkytojas įtraukia šiuose Saugumo reikalavimuose apibrėžtus reikalavimus į savo sudaromas sutartis su sub-tvarkytojais, atliekančiais jiems pavestas užduotis, numatytas sutartyse.
30. Duomenų tvarkytojas reguliariai stebi, peržiūri ir audituoja sub-tvarkytojų atitiktį Saugumo reikalavimams.
31. Duomenų valdytojui paprašius, Duomenų tvarkytojas pateikia Duomenų valdytojui sub-tvarkytojų atitikties Saugumo reikalavimams įrodymus.
Saugumo incidentų valdymas
32. Duomenų tvarkytojas turi turėti nustatytas saugumo incidentų valdymo procedūras.
33. Duomenų tvarkytojas nedelsiant pateikia Duomenų valdytojui tinkamai parengtą tikslią su saugumu susijusių incidentų atskaitą.
34. Duomenų tvarkytojas teikia Duomenų valdytojui reikiamą pagalbą tyrimų atvejais.
Atitiktis
35.Duomenų valdytojo prašymu Duomenų tvarkytojas nedelsiant pateikia Duomenų valdytojui atitikties Saugumo reikalavimams ataskaitą.
Klasė | Aprašymas | Informacijos rūšių pavyzdžiai |
Slapta | Neteisėta prieiga prie tokios informacijos arba jos atskleidimas gali padaryti didelę žalą Duomenų valdytojui ir (arba) jos klientams. | – tam tikra informacija, priskiriama šiai klasei pagal teisės aktų reikalavimus ar pagal konkrečius susitarimus su klientais arba informacijos neatskleidimo susitarimus |
Konfidencialu | Neteisėta prieiga prie tokios informacijos arba jos atskleidimas gali padaryti žalą Duomenų valdytojui ir (arba) jo klientams. | – tam tikra teisės aktais numatyta informacija, pvz., klientų asmens duomenys |
Vidaus naudojimui | Neteisėta prieiga prie tokios informacijos arba jos atskleidimas gali nežymiai pakenkti Duomenų valdytojui ir (arba) jo klientams. | – informacija, kuri yra skirta naudojimui tik Duomenų valdytojo viduje – komunikacinė medžiaga, skirta visiems Duomenų valdytojo darbuotojams, pvz., informacija, susijusi su Duomenų valdytojo paslaugomis |
Viešam naudojimui | Neteisėta prieiga prie tokios informacijos arba jos atskleidimas nepakenktų Duomenų valdytojui ir (arba) jo klientams. | – pranešimai spaudai, kurie yra paskelbti viešai – informacija, kuri turi būti paskelbta remiantis teisės aktų reikalavimais |
Klasė | Kas gali gauti prieigą prie informacijos | Kaip informacija turi būti saugoma | Kaip informacija turi būti perduodama | Kaip informacija turi būti naudojama | Kaip įvertinti informacijos saugojimo būtinybę (rizika pagrįstas metodas) |
Slapta | Tik paskirtieji asmenys | Logiškai ir fiziškai saugioje, t.y. šifruotoje arba užrakinamoj, saugykloje | Naudojantis saugiais ryšio kanalais arba saugiomis (rakinamomis) nešiojamomis duomenų saugojimo laikmenomis | Tokia informacija turi būti naudojama saugiose vietose, kurios yra apsaugotos nuo pamatymo ir slapto pasiklausymo (kurį vykdo pašaliniai asmenys) | Turi būti labai sunku pažeisti apsaugą. Tik profesionalūs įsilaužėliai galėtų pažeisti apsaugą. |
Konfidencialu | Tik ribota ir kontroliuojama asmenų grupė | Logiškai ir fiziškai kontroliuojamoje ir patikimoje saugykloje, kur užtikrinama griežta patekimo kontrolė | Naudojantis saugiais ryšio kanalais arba kontroliuojamu ir patikimu tinklu arba naudojantis saugiomis nešiojamomis duomenų saugojimo laikmenomis | Tokią informaciją gali naudoti įgalioti asmenys išimtinai verslo tikslais kontroliuojamoje darbo vietoje arba vietoje, kuri yra apsaugota nuo pamatymo ir slapto pasiklausymo (kurį vykdo pašaliniai asmenys) | Turi būti sunku pašaliniams asmenims gauti prieigą prie tokios informacijos. Tik labai profesionalūs įsilaužėliai galėtų pažeisti apsaugą. |
Vidaus naudojimui | Tie, kurie dirba Valdytojui | Logiškai ir fiziškai kontroliuojant prieigą | Naudojantis apsaugotais ryšio kanalais arba patikimo tinklo ribose | Tokią informaciją gali naudoti įgalioti asmenys išimtinai verslo tikslais kontroliuojamoje darbo vietoje arba vietoje, kuri yra apsaugota nuo pamatymo ir slapto pasiklausymo (kurį vykdo pašaliniai asmenys) | Turi būti mažai tikėtina pašaliniams asmenims gauti prieigą prie tokios informacijos. Tik profesionalūs įsilaužėliai galėtų pažeisti apsaugą. |
Viešam naudojimui | Apribojimų nėra | Apribojimų nėra | Apribojimų nėra | Apribojimų nėra | Apribojimų nėra |