Asmens duomenų tvarkymo sutartis

Ši Asmens duomenų tvarkymo sutarties (toliau – Sutarties) redakcija įsigaliojo ir taikoma nuo 2021 m. rugsėjo 1 d. Ši Sutartis yra sudaryta tarp Paslaugų teikėjo (toliau - Duomenų tvarkytojo) ir Kliento (toliau - Duomenų valdytojo) ir yra sudėtinė Paslaugų teikimo sutarties dalis.

1. sąvokos

1.1. Sutartyje vartojamos sąvokos atitinka 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (toliau – BDAR) vartojamas sąvokas.

1.2. Šalys susitaria, kad tais atvejais, kai Duomenų valdytojas perparduoda Duomenų tvarkytojo teikiamas Paslaugas galutiniams klientams, Duomenų valdytojas tokių klientų atžvilgiu gali veikti kaip duomenų tvarkytojas, o Duomenų tvarkytojas – kaip pagalbinis duomenų tvarkytojas (subtvarkytojas), tačiau tai nedaro įtakos Šalių tarpusavio santykiams, reglamentuojamiems šia Sutartimi. Tokiu atveju tarp Duomenų valdytojo ir tokio kliento bus pasirašomas atskiras asmens duomenų tvarkymo susitarimas ir Duomenų valdytojas turi teisę, neatskleisdamas konfidencialios informacijos, savo klientą supažindinti su šia Sutartimi.

2. Asmens duomenų tvarkymas teikiant identifokavimo ir dokementų pasirašymo paslaugą

Tais atvejais, kai Klientas užsisako identifikavimo ir dokumentų pasirašymo paslaugą taikomos žemiau nurodytos sąlygos:

2.1. Duomenų tvarkytojas įsipareigoja tvarkyti asmens duomenis tik Paslaugų sutarties vykdymo tikslu ir pagal Duomenų valdytojo dokumentais, įskaitant šią Sutartį ir jos priedus, įformintus nurodymus. Išsami informacija apie asmens duomenų tvarkymą nustatoma šios Sutarties Priede Nr. 1, kuris yra neatskiriama Sutarties dalis.

2.2. Duomenų valdytojas užtikrina, kad asmens duomenų tvarkymas, įskaitant jų perdavimą Duomenų tvarkytojui, yra ir bus vykdomas, laikantis duomenų apsaugos teisės aktų ir saugaus duomenų perdavimo reikalavimų. Duomenų valdytojas yra atsakingas už asmens duomenų tvarkymo atitiktį taikomiems duomenų apsaugos teisės aktams duomenų subjektų ir priežiūros institucijos atžvilgiu.

2.3. Šalys įsipareigoja:

2.3.1. užtikrinti, kad asmens duomenys būtų tvarkomi tik teisėtais Duomenų valdytojo nustatytais tikslais ir sąlygomis, nepažeidžiant BDAR, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo bei kitų teisės aktų nuostatų;

2.3.2. užtikrinti, kad asmens duomenys būtų tvarkomi tiksliai, sąžiningai ir teisėtai;

2.3.3. užtikrinti, kad asmens duomenys būtų apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo arba nuo atsitiktinio praradimo, pakeitimo, nesankcionuoto atskleidimo arba nesankcionuotos prieigos prie jų, ypač tais atvejais, kai tvarkymo proceso metu duomenys perduodami tinklu, taip pat nuo visų kitų neteisėtų tvarkymo formų, ir kad šiomis priemonėmis užtikrinamas tinkamas apsaugos lygis, atsižvelgiant į riziką, susijusią su tvarkymu, ir saugotinų duomenų pobūdį ir atsižvelgiant į tų priemonių modernumą bei jų įgyvendinimo išlaidas;

2.3.4. užtikrinti kitos Šalies perduodamų asmens duomenų konfidencialumą; tretiesiems asmenims duomenys negali būti atskleisti arba negali būti suteikta kitokia galimybė bet kokia forma su duomenimis susipažinti, jei kitaip nenustato ši Sutartis ar Lietuvos Respublikos teisės aktai; Šalys atsako už gautų asmens duomenų konfidencialumą ir saugumą nuo asmens duomenų gavimo momento.

2.4. Duomenų tvarkytojas įsipareigoja:

2.4.1. tvarkyti asmens duomenis tik Duomenų valdytojo vardu ir laikantis Duomenų valdytojo dokumentais, įskaitant šią Sutartį, įformintų nurodymų bei taikytinų teisės aktų; jei Duomenų tvarkytojas dėl bet kokių priežasčių negali užtikrinti atitikties Sutarčiai ar duomenų apsaugos teisės aktams, jis įsipareigoja kuo skubiau pranešti Duomenų valdytojui apie tai, kad jis negali užtikrinti atitikties, ir tokiu atveju Duomenų valdytojas turi teisę sustabdyti duomenų perdavimą Duomenų tvarkytojui, nebeleisti tvarkyti duomenų ir (arba) nutraukti šią Sutartį;

2.4.2. užtikrinti, kad Duomenų tvarkytojo darbuotojai ar kiti įgalioti asmenys, kurie tvarkys asmens duomenis, konfidencialumo sutartimis būtų visam laikui įsipareigoję užtikrinti iš Duomenų valdytojo gautų asmens duomenų konfidencialumą;

2.4.3. prieš pradėdamas tvarkyti asmens duomenis, įgyvendinti technines ir organizacines apsaugos priemones duomenų saugai užtikrinti, atsižvelgdamas į riziką, susijusią su duomenų tvarkymu, saugotinų duomenų pobūdį bei atsižvelgdamas į tų priemonių modernumą ir įgyvendinimo išlaidas;

2.4.4. nedelsiant pranešti Duomenų valdytojui apie (i) bet kokį teisiškai įpareigojantį teisėsaugos institucijų prašymą atskleisti gautus asmens duomenis, išskyrus atvejus, kai tai draudžiama; ir (ii) bet kokią atsitiktinę arba nesankcionuotą prieigą prie duomenų, asmens duomenų nutekinimą ir (arba) asmens duomenų saugumo pažeidimą;

2.4.5. pateikti Duomenų valdytojui informaciją ir (ar) dokumentus, kurių reikia norint įsitikinti, kad Duomenų tvarkytojas tinkamai vykdo Sutartyje ir teisės aktuose nustatytus asmens duomenų apsaugos reikalavimus;

2.4.6. asmens duomenis saugoti ne ilgiau nei to reikia pagal Sutartį;

2.4.7. kaupti dokumentaciją ir informaciją apie duomenų tvarkymą;

2.4.8. perduoti asmens duomenis tik Duomenų valdytojui ar Duomenų valdytojo pavedimu jo nurodytam asmeniui, kuris pagal galiojančius Lietuvos Respublikos teisės aktus turi teisę gauti asmens duomenis;

2.4.9. užtikrinti pagalbą įgyvendinant duomenų subjektų teises bei įrodinėjant atitikį BDAR keliamiems reikalavimams, atliekant poveikio duomenų apsaugai vertinimą ir, jei tai reikalinga, konsultuojantis su priežiūros institucija;

2.4.10. be išankstinio rašytinio Duomenų valdytojo sutikimo neperduoti gautų asmens duomenų jokioms trečiosioms šalims;

2.4.11. ne vėliau kaip per 5 darbo dienas išsamiai atsakyti į visas Duomenų valdytojo užklausas, susijusias su jo vykdomu asmens duomenų tvarkymu, ir laikytis kompetentingų priežiūros institucijos nurodymų, susijusių su asmens duomenų tvarkymu.

2.5. Duomenų valdytojas duoda bendrą sutikimą Duomenų tvarkytojui pasitelkti šiuos pagalbinius duomenų tvarkytojus: GoIT, UAB (įmonės kodas 168683016), Rakrėjus, UAB (įmonės kodas 303126701), bei kitus pagalbinius duomenų tvarkytojus, jeigu tai būtina Paslaugų sutarčiai ir (ar) šiai Sutarčiai vykdyti. Duomenų tvarkytojas įsipareigoja informuoti Duomenų valdytoją apie visus planuojamus pakeitimus, susijusius su kitų duomenų tvarkytojų pasitelkimu ar pakeitimu, ir tokiu būdu suteikdamas Duomenų valdytojui galimybę išreikšti savo poziciją dėl tokių pakeitimų.

2.6. Duomenų valdytojas įsipareigoja:

2.6.1. duoti rašytinius nurodymus Duomenų tvarkytojui, kaip, kokiomis priemonėmis Duomenų tvarkytojas turi tvarkyti asmens duomenis, t. y. turi suteikti konkrečius nurodymus dėl kiekvienos asmens duomenų tvarkymo operacijos, jei tokie nurodymai nėra nustatyti šios Sutarties prieduose;

2.6.2. teisėtai valdyti ir tvarkyti Duomenų tvarkytojui suteikiamus asmens duomenis, t. y. turėti duomenų tvarkymui teisinį pagrindą;

2.6.3. gauti duomenų subjektų sutikimus (jeigu jie reikalingi), prieš Duomenų tvarkytojui pradedant tvarkyti jų duomenis;

2.6.4. pateikti Duomenų tvarkytojui informaciją, reikalingą asmens duomenų tvarkymui;

2.6.5. pastebėjus bet kokias iškilusias problemas, susijusias su asmens duomenų tvarkymu, kai asmens duomenys tvarkomi pagal šią Sutartį, nedelsiant raštu informuoti apie tai Duomenų tvarkytoją;

2.6.6. nedelsiant informuoti Duomenų tvarkytoją apie patikslintus, atnaujintus ar panaikintus asmens duomenis;

2.6.7. įgyvendinti duomenų subjektų prašymus dėl jų teisių realizavimo;

2.6.8. vykdyti kitas pareigas, nustatytas taikomuose duomenų apsaugos teisės aktuose.

2.7. Šalys susitaria, kad kompetentinga priežiūros institucija turi teisę atlikti Duomenų tvarkytojo auditą, kuris būtų tokio paties masto ir kuriam būtų taikomos tokios pačios sąlygos kaip ir Duomenų valdytojo auditui, pagal taikytinus duomenų apsaugos teisės aktus.

2.8. Duomenų tvarkytojas pasilieka teisę priimti veiklos ir organizacinius sprendimus, būtinus Paslaugų teikimui tiek, kiek tai nepakeičia asmens duomenų tvarkymo tikslų.

2.9. Siekdamos užtikrinti aukštesnį duomenų apsaugos lygį, Šalys gali imtis papildomų asmens duomenų apsaugos priemonių, susitardamos dėl susijusių papildomų išlaidų kompensavimo.

2.10. Šalys sutinka, kad nutraukus asmens duomenų tvarkymo paslaugų teikimą Duomenų tvarkytojas ir pagalbiniai duomenų tvarkytojai, jei tokių yra, Duomenų valdytojo pasirinkimu grąžins visus perduotus asmens duomenis ir jų kopijas Duomenų valdytojui arba sunaikins visus asmens duomenis ir išsiųs patvirtinimą Duomenų valdytojui, kad tai buvo atlikta, išskyrus atvejus, kai pagal Duomenų tvarkytojui taikytinus teisės aktus jam draudžiama grąžinti arba sunaikinti visus perduotus asmens duomenis arba jų dalį. Tuo atveju Duomenų tvarkytojas užtikrina, kad jis garantuos perduotų asmens duomenų konfidencialumą ir daugiau netvarkys perduotų asmens duomenų.

3. Šalių atsakomybė

3.1. Kiekviena Šalis privalo atlyginti kitai Šaliai jos patirtus tiesioginius nuostolius, jei ji netinkamai vykdė savo įsipareigojimus pagal šią Sutartį ar pažeidė asmens duomenų tvarkymą reglamentuojančius teisės aktus. Nei viena iš Šalių neatsako už kitos Šalies netiesioginius nuostolius, kurie, be kita ko, gali būti susiję su pelno ar santaupų praradimu, dalykinės reputacijos pablogėjimu, klientų praradimu, pajamų netekimu, veiklos ar gamybos netekimu ar sumažėjimu, duomenų ar failų praradimu ar sugadinimu, išskyrus atvejus kai toks atsakomybės ribojimas draudžiamas įstatymų.

3.2. Bet kuriuo atveju Duomenų tvarkytojo atsakomybė už nuostolius yra apribota ir negali viršyti per paskutinius 12 (dvylika) mėnesių jo gauto atlygio už Duomenų valdytojui ir/ar jo klientams suteiktas Paslaugas pagal Paslaugų teikimo sutartį, išskyrus atvejus, kai toks ribojimas yra draudžiamas įstatymų.

4. Baigiamosios nuostatos

4.1. Ši Sutartis ir jos priedai yra neatskiriama Paslaugų teikimo sutarties dalis. Esant neatitikimų tarp Paslaugų teikimo sutarties ir šios Sutarties, taikomos šios Sutarties nuostatos.

4.2. Šiai Sutarčiai ir asmens duomenų tvarkymui taikomi Lietuvos Respublikos teisės aktai.

4.3. Ši Sutartis įsigalioja nuo Paslaugų užsakymo momento ir galioja tol, kol galioja Paslaugų teikimo sutartis. Paslaugų teikimo sutarties pasibaigimas automatiškai reiškia ir šios Sutarties pabaigą.

4.4. Duomenų tvarkytojas pasilieka teisę keisti šios Sutarties sąlygas. Sutarties pakeitimai ar papildymai įsigalioja tik, jeigu apie tai buvo pranešta Duomenų valdytojui prieš 30 (trisdešimt) kalendorinių dienų ir Duomenų valdytojas neišreiškė prieštaravimo. Jei Duomenų valdytojas išreiškia prieštaravimą dėl Sutarties pakeitimo, tai jam lieka galioti ta Sutarties redakcija, kuri galiojo Paslaugų užsakymo metu.

4.5. Visi nesutarimai ir ginčai sprendžiami derybų būdu. Nepavykus susitarti nesutarimai sprendžiami Lietuvos Respublikos įstatymų nustatyta tvarka Lietuvos Respublikos teisme.

4.6. Esant klausimų dėl šios Sutarties ir pagal ją atliekamo asmens duomenų tvarkymo, galima kreiptis į Duomenų tvarkytojo duomenų apsaugos pareigūną (DPO) el. Paštu: info@markid..lt

PRIEDAS NR. 1 prie Asmens duomenų tvarkymo sutarties

Duomenų valdytojas: Paslaugų užsakovas (Klientas), jo rekvizitai nurodomi Paslaugų teikimo sutartyje.

Duomenų tvarkytojas: UAB Mark ID, juridinio asmens kodas 305098955, adresas Žygio g. 97A, Vilnius, Lietuva.

Duomenų tvarkymo veiklos vieta: Lietuva

Duomenų tvarkymo operacijos: rinkimas, užrašymas, kaupimas, saugojimas, klasifikavimas, grupavimas, jungimas, keitimas (papildymas ar taisymas), teikimas, naudojimas, paieška, naikinimas.

PaslaugaDokumentų pasirašymo paslauga
Duomenų tvarkymo tikslai:Dokumentų pasirašymo paslaugos teikimas
Asmens duomenų kategorijos:Vardas, pavardė, asmens kodas, telefono numeris, sesijos data ir laikas, kiti asmens duomenys, jeigu jų tvarkymas yra būtinas Paslaugų teikimui. Kvalifikuoto sertifikato patvirtinimas
Duomenų subjektų kategorijos:Duomenų valdytojo klientai, duomenų valdytojo kliento klientai, duomenų valdytojo darbuotojai, duomenų valdytojo partneriai