ASMENS DUOMENŲ TVARKYMO SUTARTIS (Aktuali redakcija)
Ši Asmens duomenų tvarkymo sutartis (toliau – Sutartis) įsigaliojo ir taikoma nuo 2024 m. balandžio 30 d. Ši Sutartis yra sudaryta tarp Platformos „Zebrasign“ administratoriaus AB „Zebracloud“ (toliau – Duomenų tvarkytojo) ir Kliento (Naudotojo arba Vartotojo) (toliau – Duomenų valdytojo).
SUTARTIES DALYKAS
Ši Sutartis yra neatskiriama Platformos „Zebrasign“ bendrųjų paslaugų teikimo sąlygų dalis (toliau – Bendrosios sąlygos) ir joje nustatomos sąlygos, taikomos Duomenų tvarkytojui Duomenų valdytojo vardu tvarkant Duomenų valdytojo Asmens duomenis Bendrosiose sąlygose nustatyta tvarka.
Duomenų tvarkytojas įsipareigoja tvarkyti asmens duomenis laikantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (toliau – BDAR) reikalavimų ir Duomenų valdytojo nurodymų.
Sutartyje didžiąja raide vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos BDAR ir kituose taikomuose asmens duomenų apsaugą reglamentuojančiuose teisės aktuose, Privatumo politikoje ir Bendrosiose sąlygose. Asmens duomenys šios Sutarties kontekste suprantami kaip Duomenų valdytojo į Paskyrą įkelti duomenys, kaip tai apibūdinta Sutarties 2.3 punkte.
DUOMENŲ TVARKYMO TIKSLAI, APIMTIS IR TRUKMĖ
Duomenų tvarkytojas teikia paslaugas Duomenų valdytojui vadovaudamasis Bendrosiomis sąlygomis. Duomenų valdytojas paveda Duomenų tvarkytojui tvarkyti Duomenų valdytojo Asmens duomenis, tiek, kiek tai būtina Bendrosioms sąlygoms įgyvendinti ir vykdyti.
Duomenų tvarkymo tikslas – Bendrųjų sąlygų įgyvendinimas ir vykdymas ta apimtimi, kiek tai susiję su Duomenų valdytojo į Duomenų valdytojo į Paskyrą įkeltais duomenimis.
Duomenų subjektų kategorijos – Duomenų valdytojo darbuotojai, besinaudojantys Duomenų valdytojo (juridinio asmens) Paskyra ir (ar) Duomenų valdytojai (fiziniai asmenys), turintys Paskyrą, bei kiti tretieji asmenys, kurių Asmens duomenis Duomenų valdytojas įkelia į savo Paskyrą. Duomenų tvarkytojo tvarkomi Asmens duomenys, prie kurių Duomenų tvarkytojas turi ar gali turėti prieigą – į Duomenų valdytojo Paskyrą įkelti duomenys, kaip tai apibrėžta Privatumo politikoje. Šie duomenys gali apimti, įskaitant, bet neapsiribojant, vardą, pavardę, pareigybę, gimimo datą, asmens kodą, telefono numerį ir t.t., ir kiekvienu atveju gali kisti, priklausomai nuo Duomenų valdytojo į Paskyrą įkeltų duomenų, pobūdžio ir turinio. Šalys susitaria, kad šios Sutarties apimtyje Duomenų tvarkytojo atliekamas Asmens duomenų tvarkymas yra susijęs tik su Duomenų valdytojo į Paskyrą įkeltais duomenimis. Visais kitais aspektais, kaip numatyta Privatumo politikoje, Duomenų tvarkytojas veikia kaip duomenų valdytojas, nes pats nustato duomenų tvarkymo tikslus ir priemones.
Jei Duomenų tvarkytojas negavo dokumentais pagrįstų nurodymų dėl Asmens duomenų tvarkymo, reikalingų įsipareigojimams pagal Sutartį vykdyti, jis nedelsdamas apie tai informuoja Duomenų valdytoją ir veikia geriausiais Duomenų valdytojo interesais, kol tokie nurodymai bus pateikti.
Asmens duomenys tvarkomi tol, kol Duomenų valdytojas naudojasi Paskyra. Duomenų valdytojui pašalinus Paskyrą, Paskyra ir joje esantys Asmens duomenys yra pašalinami be galimybės juos atkurti per 14 kalendorinių dienų nuo Paskyros uždarymo dienos. Nemokamos neaktyvios Paskyros ir jose esantys Duomenų valdytojo Asmens duomenys yra ištrinami be galimybės juos atkurti, jei per dvejų metų laikotarpį Duomenų valdytojas nesinaudojo Paskyra ir (ar) Platformoje teikiamomis Paslaugomis, skaičiuojant nuo paskutinio Duomenų valdytojo apsilankymo Paskyroje dienos. Jei Duomenų valdytojas reikalauja, kad Asmens duomenys būtų saugomi tam tikrą laikotarpį po Paslaugų teikimo nutraukimo, Šalys turi iš anksto susitarti dėl tokio tvarkymo sąlygų.
ŠALIŲ ĮSIPAREIGOJIMAI
Duomenų tvarkytojas, tvarkydamas Asmens duomenis Duomenų valdytojo vardu, įsipareigoja:
tvarkyti Asmens duomenis tik pagal Duomenų valdytojo pateiktus dokumentais įformintus rašytinius nurodymus, įskaitant nurodymus, išdėstytus šioje Sutartyje, išskyrus atvejus, kai taikomi teisės aktai nustato kitaip. Tokiu atveju, prieš pradėdamas tvarkyti Asmens duomenis, Duomenų tvarkytojas, kiek tai leidžia teisės aktai, privalo informuoti Duomenų valdytoją apie tokį teisinį reikalavimą, ir kurie yra žinomi Duomenų tvarkytojui;
tvarkydamas Asmens duomenis veikti pagal BDAR ir kitų taikytinų asmens duomenų apsaugą reglamentuojančių teisės aktų reikalavimus;
atsižvelgdamas į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas ir duomenų tvarkymo pobūdį, apimtį, kontekstą, tikslus, Duomenų tvarkytojas įsipareigoja įgyvendinti tinkamas technines ir organizacines priemones, kad būtų užtikrintas pavojų atitinkančio lygio asmens duomenų saugumas. Tam užtikrinti Duomenų tvarkytojas taip pat yra įdiegęs ISO/IEC 27001 informacinio saugumo vadybos sistemų standartą. Gavęs Duomenų valdytojo rašytinį prašymą, Duomenų tvarkytojas įsipareigoja pateikti, kokias technines ir organizacines saugumo priemones taiko Asmens duomenų saugumui užtikrinti;
užtikrinti, kad Asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikoma atitinkama įstatais nustatyta konfidencialumo prievolė. Duomenų tvarkytojas privalo raštu įpareigoti savo darbuotojus, kurie tvarkys Asmens duomenis laikyti visus asmens duomenis konfidencialia informacija ir nenaudoti Asmens duomenų jokiais kitais tikslais, išskyrus jų tvarkymą Duomenų valdytojo vardu, tiek, kiek tai būtina Paslaugoms suteikti;
atsižvelgdamas į Asmens duomenų tvarkymo pobūdį, taikydamas tinkamas technines ir organizacines priemones, padėti Duomenų valdytojui įvykdyti Duomenų valdytojo prievolę atsakyti į prašymus pasinaudoti visomis Duomenų subjekto teisėmis. Duomenų tvarkytojas, gavęs Duomenų subjekto prašymą pasinaudoti Duomenų subjekto teisėmis, privalo nedelsiant perduoti tokį prašymą Duomenų valdytojui. Duomenų tvarkytojas turi teikti Duomenų valdytojui visą būtiną informaciją ar atlikti kitus su Duomenų subjekto prašymu susijusius veiksmus, kai šie veiksmai yra būtini tinkamam prašymo pasinaudoti Duomenų subjekto teisėmis įvykdymui;
padėti Duomenų valdytojui užtikrinti su duomenų saugumu, poveikio duomenų apsaugai vertinimu ir išankstinėmis konsultacijomis susijusių prievolių (BDAR 32–36 straipsniai) laikymąsi, atsižvelgdamas į Asmens duomenų tvarkymo pobūdį ir Duomenų tvarkytojo turimą informaciją.
Duomenų valdytojas įsipareigoja:
instrukcijas dėl Asmens duomenų tvarkymo bendrais atvejais Duomenų tvarkytojui pateikti raštu, nebent situacijos aplinkybės reikalautų kitokios formos. Instrukcijos, duotos kitokia forma nei raštu, bus Duomenų valdytojo patvirtintos raštu, jeigu Duomenų tvarkytojas to paprašys;
teikti tik teisėtus, atitinkančius BDAR reikalavimus, nurodymus Duomenų tvarkytojui, turėti teisinį pagrindą Asmens duomenų tvarkymui;
užtikrinti Duomenų tvarkytojui atskleistų asmens duomenų tikslumą, vientisumą ir teisėtumą.
Duomenų valdytojas supranta, kad bet koks Asmens duomenų tvarkymo apribojimas, atsiradęs ne dėl Duomenų tvarkytojo kaltės, gali turėti įtakos Duomenų tvarkytojo galimybėms vykdyti Bendrosiose sąlygose numatytus įsipareigojimus. Todėl tuo atveju, jei Duomenų valdytojas nusprendžia nustatyti Asmens duomenų tvarkymo apribojimus, turi būti imtasi toliau nurodytų veiksmų:
Duomenų valdytojas raštu informuoja Duomenų tvarkytoją apie konkrečius apribojimus, planuojamus pagrįstai iš anksto, kad Duomenų tvarkytojas galėtų imtis reikiamų veiksmų, kaip nurodyta toliau;
per 5 darbo dienas po to, kai Duomenų valdytojas informavo Duomenų tvarkytoją apie konkrečius apribojimus, Duomenų tvarkytojas išanalizuoja ketinamus taikyti apribojimus ir pateikia Duomenų valdytojui motyvuotą rašytinį paaiškinimą apie galimas pasekmes Duomenų tvarkytojo gebėjimui vykdyti Bendrosiose sąlygose numatytus įsipareigojimus;
jei Duomenų valdytojas, gavęs motyvuotą Duomenų tvarkytojo paaiškinimą apie galimas pasekmes, vis tiek nusprendžia toliau taikyti apribojimus, Duomenų valdytojas prisiima visą atitinkamą riziką ir neigiamas tokio sprendimo pasekmes.
DUOMENŲ TVARKYTOJO TEISĖ PASITELKTI DUOMENŲ SUBTVARKYTOJUS
Duomenų tvarkytojas turi teisę pasitelkti trečiąsias šalis Asmens duomenims tvarkyti (toliau – Subtvarkytojai).
Duomenų valdytojas suteikia bendrą leidimą ateityje pasitelkti naujus Subtvarkytojus. Duomenų tvarkytojas praneša Duomenų valdytojui apie visus planuojamus pakeitimus, susijusius su Subtvarkytoju pasitelkimu ar pakeitimu, kuriems Duomenų valdytojas gali prieštarauti. Duomenų valdytojui pranešama, kai Duomenų tvarkytojas savo interneto svetainėje atnaujina Subtvarkytojų sąrašą. Jei Duomenų valdytojas per trisdešimt (30) dienų atnaujinimo datos interneto svetainėje nepareiškė tokio prieštaravimo, laikoma, kad Duomenų valdytojas neprieštaravo. Duomenų valdytojui pareiškus prieštaravimą, Duomenų tvarkytojas turi teisę motyvuotu rašytiniu paaiškinimu neatsižvelgti į Duomenų valdytojo prieštaravimą.
Duomenų tvarkytojas užtikrina, kad Subtvarkytojai prisiimtų atsakomybę, atitinkančią šioje Sutartyje ir BDAR 28 straipsnyje nustatytus įsipareigojimus.
PRANEŠIMAS DUOMENŲ VALDYTOJUI APIE ASMENS DUOMENŲ PAŽEIDIMĄ
Duomenų tvarkytojas, paaiškėjus galimam Asmens duomenų saugumo pažeidimui, privalo imtis Sutarties 5.2. – 5.4. punktuose nustatytų veiksmų.
Duomenų tvarkytojas nedelsdamas, bet ne vėliau kaip per 48 valandas nuo galimo pažeidimo paaiškėjimo momento, turi apie tai pranešti Duomenų valdytojui, raštu pateikdamas pranešimą, kaip numatyta 5.2.1. papunktyje. Pranešime turi būti pateikiama informacija, kaip tai numatyta BDAR 33 straipsnio 3 dalyje.
Jei informacijos neįmanoma pateikti Duomenų valdytojui Sutarties 5.2. punkte nustatytais terminais, ji gali būti teikiama etapais nepagrįstai nedelsiant. Tais atvejais, kai Duomenų tvarkytojas negali pateikti tam tikros informacijos Duomenų valdytojui, Duomenų tvarkytojas apie tai informuos Duomenų valdytoją.
ASMENS DUOMENŲ PERDAVIMAS
Duomenų tvarkytojas, be išankstinio rašytinio Duomenų valdytojo leidimo, Asmens duomenų niekam neperduos (įskaitant už Europos Ekonominės Erdvės ribų). Jei toks perdavimas bus vykdomas, Duomenų tvarkytojas įsipareigoja laikytis BDAR V skyriuje įtvirtintų reikalavimų.
ATSAKOMYBĖ
Duomenų valdytojas yra atsakingas už teisinio pagrindo, kuriuo vadovaudamasis Duomenų tvarkytojas tvarko Asmens duomenis, teikdamas Paslaugas, teisėtumo užtikrinimą.
Duomenų tvarkytojas neatsako už Duomenų valdytojo veiksmus, kuriais jis pažeidžia Asmens duomenų apsaugą reglamentuojančius teisės aktus.
Bet kuriuo atveju Duomenų tvarkytojo atsakomybė už nuostolius yra apribota ir negali viršyti per paskutinius 12 (dvylika) mėnesių jo gauto atlygio už Duomenų valdytojui suteiktas paslaugas pagal Bendrąsias sąlygas, išskyrus atvejus, kai toks ribojimas yra draudžiamas įstatymų.
Duomenų tvarkytojas netikrina, nekontroliuoja ir nestebi Duomenų valdytojo į Paskyrą įkeltų duomenų. Tai padaryti gali tik išimtinais atvejais, numatytais Privatumo politikoje.
AUDITO ATLIKIMAS
Su sąlyga, kad Duomenų tvarkytojo nebus reikalaujama pateikti arba leisti susipažinti su informacija apie (i) kitus Duomenų tvarkytojo klientus, (ii) kitas išorines ar vidines neviešas Duomenų tvarkytojo ataskaitas, Duomenų valdytojas ir (arba) Duomenų valdytojo paskirtas nepriklausomas auditorius turi teisę šios Sutarties galiojimo laikotarpiu atlikti Duomenų tvarkytojo auditą bei patikrinimus, laikantis Sutarties sąlygų. Šalys raštu susitaria dėl tokio audito sąlygų, apimties ir kitų detalių ne vėliau kaip prieš 14 darbo dienų. Šios Sutarties pagrindu atliekami auditai apsiriboja Duomenų tvarkytojo įsipareigojimų pagal šią Sutartį vykdymo vertinimu. Tokį auditą galima atlikti ne dažniau kaip vieną kartą per 12 mėnesių.
Auditas atliekamas taip, kad nebūtų sutrikdyta Duomenų tvarkytojo veikla ir įsipareigojimai.
Duomenų valdytojo atstovas ir (arba) trečiosios šalies auditorius su Duomenų tvarkytoju privalo pasirašyti atitinkamus konfidencialumo susitarimus.
Duomenų valdytojas įsipareigoja atlyginti Duomenų tvarkytojui bet kokias patirtas išlaidas ir Duomenų tvarkytojo sugaištą laiką teikiant pagalbą pagal šio priedo 8 skirsnį (už laiką, sugaištą vidaus ištekliams ir priemonėms, kurių imtasi siekiant padėti Duomenų valdytojui atlikti auditą), įskaitant Subtvarkytojų išlaidas ir laiką teikiant pagalbą, kaip nurodyta pirmiau, pagal atskirą mokestį, dėl kurio Šalys susitaria raštu.
FORCE MAJEURE
Šalis atleidžiama nuo atsakomybės už įsipareigojimų pagal Sutartį neįvykdymą, jeigu įsipareigojimai neįvykdomi dėl force majeure aplinkybių, kurių Šalis negalėjo kontroliuoti arba protingai numatyti Sutarties sudarymo metu, ir kurių ar kurių padarinių atsiradimui negalėjo užkirsti kelio. Force majeure nelaikoma tai, kad atitinkama Šalis neturi finansinių išteklių arba jos kontrahentai pažeidžia savo prievoles.
Jeigu aplinkybės, dėl kurių neįmanoma įvykdyti Sutarties, yra laikinos, Šalis gali būti atleidžiama nuo atsakomybės tokiam laikotarpiui, kuris yra protingas atsižvelgiant į tų aplinkybių įtaką Sutarties įvykdymui.
SUTARTIES GALIOJIMAS IR NUTRAUKIMAS
Ši Sutartis įsigalioja, kai įsigalioja Bendrosios sąlygos, ir galioja tol, kol pastarosios galioja.
Jei bet kuri Sutarties nuostata tampa ar pripažįstama visiškai ar iš dalies negaliojančia, tai neturi įtakos kitų Sutarties nuostatų galiojimui. Tokiu atveju Šalys įsipareigoja negaliojančią nuostatą pakeisti galiojančia nuostata taip, kad ji savo teisine ir ekonomine prasme būtų kiek įmanoma artimiausia negaliojančiai nuostatai.
Šalys aiškiai pripažįsta, kad šios Sutarties galiojimas yra būtinas tinkamam Bendrųjų sąlygų vykdymui, todėl, nutraukus ar kitaip pasibaigus šios Sutarties galiojimui, Bendrųjų sąlygų galiojimas automatiškai pasibaigia.
BAIGIAMOSIOS NUOSTATOS
Bet kokie nesutarimai ar ginčai, kylantys tarp Šalių dėl Sutarties, sprendžiami derybų būdu, o jeigu tokiu būdu ginčų išspręsti nepavyksta, jie sprendžiami Lietuvos Respublikos kompetentingame teisme Vilniaus mieste, vadovaujantis Lietuvos Respublikos įstatymais ar kitais teisės aktais.
Sutarčiai ir kitiems tarpusavio santykiams, neaptartiems šioje Sutartyje, taikoma Lietuvos Respublikos teisė.