Asmens duomenų tvarkymo sutartis
Ši Asmens duomenų tvarkymo sutarties (toliau – Sutarties) redakcija įsigaliojo ir taikoma nuo 2023 m. rugsėjo 21 d. Ši Sutartis yra sudaryta tarp Paslaugų teikėjo (toliau – Duomenų tvarkytojo) ir Užsakovo (toliau – Duomenų valdytojo) ir yra sudėtinė Paslaugų teikimo sutarties dalis.
1. Sąvokos
1.1. Sutartyje vartojamos sąvokos atitinka 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (toliau – BDAR) vartojamas sąvokas.
1.2. Šalys susitaria, kad tais atvejais, kai Duomenų valdytojas perparduoda Duomenų tvarkytojo teikiamas Paslaugas galutiniams Užsakovo klientams, Duomenų valdytojas tokių klientų atžvilgiu gali veikti kaip duomenų tvarkytojas, o Duomenų tvarkytojas – kaip pagalbinis duomenų tvarkytojas (subtvarkytojas), tačiau tai nedaro įtakos Šalių tarpusavio santykiams, reglamentuojamiems šia Sutartimi. Tokiu atveju tarp Duomenų valdytojo ir tokio kliento bus pasirašomas atskiras asmens duomenų tvarkymo susitarimas ir Duomenų valdytojas turi teisę, neatskleisdamas konfidencialios informacijos, Užsakovo klientą supažindinti su šia Sutartimi.
2. Asmens duomenų tvarkymas atliekamas identifikavimo ir dokumentų pasirašymo paslaugos teikimo tikslu
Tais atvejais, kai Užsakovas užsisako identifikavimo ir dokumentų pasirašymo paslaugą taikomos žemiau nurodytos sąlygos:
2.1. Duomenų tvarkytojas įsipareigoja tvarkyti asmens duomenis tik Paslaugų sutarties vykdymo tikslu ir pagal Duomenų valdytojo dokumentais, įskaitant šią Sutartį ir jos priedus, įformintus nurodymus. Išsami informacija apie asmens duomenų tvarkymą nustatoma šios Sutarties Priede Nr. 1, kuris yra neatskiriama Sutarties dalis.
2.2. Duomenų valdytojas užtikrina, kad asmens duomenų tvarkymas, įskaitant jų perdavimą Duomenų tvarkytojui, yra ir bus vykdomas, laikantis duomenų apsaugos teisės aktų ir saugaus duomenų perdavimo reikalavimų. Duomenų valdytojas yra atsakingas už asmens duomenų tvarkymo atitiktį taikomiems duomenų apsaugos teisės aktams duomenų subjektų ir priežiūros institucijos atžvilgiu.
2.3. Šalys įsipareigoja:
2.3.1. užtikrinti, kad asmens duomenys būtų tvarkomi tik teisėtais Duomenų valdytojo nustatytais tikslais ir sąlygomis, nepažeidžiant BDAR, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo bei kitų teisės aktų nuostatų;
2.3.2. užtikrinti, kad asmens duomenys būtų tvarkomi tiksliai, sąžiningai ir teisėtai;
2.3.3. užtikrinti, kad asmens duomenys būtų apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo arba nuo atsitiktinio praradimo, pakeitimo, nesankcionuoto atskleidimo arba nesankcionuotos prieigos prie jų, ypač tais atvejais, kai tvarkymo proceso metu duomenys perduodami tinklu, taip pat nuo visų kitų neteisėtų tvarkymo formų, ir kad šiomis priemonėmis užtikrinamas tinkamas apsaugos lygis, atsižvelgiant į riziką, susijusią su tvarkymu, ir saugotinų duomenų pobūdį ir atsižvelgiant į tų priemonių modernumą bei jų įgyvendinimo išlaidas;
2.3.4. užtikrinti kitos Šalies perduodamų asmens duomenų konfidencialumą; tretiesiems asmenims duomenys negali būti atskleisti arba negali būti suteikta kitokia galimybė bet kokia forma su duomenimis susipažinti, jei kitaip nenustato ši Sutartis ar Lietuvos Respublikos teisės aktai; Šalys atsako už gautų asmens duomenų konfidencialumą ir saugumą nuo asmens duomenų gavimo momento.
2.4. Duomenų tvarkytojas įsipareigoja:
2.4.1. tvarkyti asmens duomenis tik Duomenų valdytojo vardu ir laikantis Duomenų valdytojo dokumentais, įskaitant šią Sutartį, įformintų nurodymų bei taikytinų teisės aktų; jei Duomenų tvarkytojas dėl bet kokių priežasčių negali užtikrinti atitikties Sutarčiai ar duomenų apsaugos teisės aktams, jis įsipareigoja kuo skubiau pranešti Duomenų valdytojui apie tai, kad jis negali užtikrinti atitikties, ir tokiu atveju Duomenų valdytojas turi teisę sustabdyti duomenų perdavimą Duomenų tvarkytojui, nebeleisti tvarkyti duomenų ir (arba) nutraukti šią Sutartį;
2.4.2. užtikrinti, kad Duomenų tvarkytojo darbuotojai ar kiti įgalioti asmenys, kurie tvarkys asmens duomenis, konfidencialumo sutartimis būtų visam laikui įsipareigoję užtikrinti iš Duomenų valdytojo gautų asmens duomenų konfidencialumą;
2.4.3. prieš pradėdamas tvarkyti asmens duomenis, įgyvendinti technines ir organizacines apsaugos priemones duomenų saugai užtikrinti, atsižvelgdamas į riziką, susijusią su duomenų tvarkymu, saugotinų duomenų pobūdį bei atsižvelgdamas į tų priemonių modernumą ir įgyvendinimo išlaidas;
2.4.4. nedelsiant, bet ne vėliau kaip per 24 valandas nuo prašymo gavimo, pranešti Duomenų valdytojui apie (i) bet kokį teisiškai įpareigojantį teisėsaugos institucijų prašymą atskleisti gautus asmens duomenis, išskyrus atvejus, kai tai draudžiama; ir (ii) bet kokią atsitiktinę arba nesankcionuotą prieigą prie duomenų, asmens duomenų nutekinimą ir (arba) asmens duomenų saugumo pažeidimą;
2.4.5. pateikti Duomenų valdytojui informaciją ir (ar) dokumentus, kurių reikia norint įsitikinti, kad Duomenų tvarkytojas tinkamai vykdo Sutartyje ir teisės aktuose nustatytus asmens duomenų apsaugos reikalavimus;
2.4.6. asmens duomenis saugoti ne ilgiau nei to reikia pagal Sutartį bei teisės aktus;
2.4.7. kaupti dokumentaciją ir informaciją apie duomenų tvarkymą;
2.4.8. perduoti asmens duomenis tik Duomenų valdytojui ar Duomenų valdytojo pavedimu jo nurodytam asmeniui, kuris pagal galiojančius Lietuvos Respublikos teisės aktus turi teisę gauti asmens duomenis;
2.4.9. užtikrinti pagalbą įgyvendinant duomenų subjektų teises bei įrodinėjant atitikį BDAR keliamiems reikalavimams, atliekant poveikio duomenų apsaugai vertinimą ir, jei tai reikalinga, konsultuojantis su priežiūros institucija;
2.4.10. be išankstinio rašytinio Duomenų valdytojo sutikimo neperduoti gautų asmens duomenų jokioms trečiosioms šalims;
2.4.11. be išankstinio rašytinio Duomenų valdytojo sutikimo neperduoti gautų asmens duomenų į trečiąsias valstybes ar tarptautines organizacijas;
2.4.12. ne vėliau kaip per 5 darbo dienas išsamiai atsakyti į visas Duomenų valdytojo užklausas, susijusias su jo vykdomu asmens duomenų tvarkymu, ir laikytis kompetentingų priežiūros institucijos nurodymų, susijusių su asmens duomenų tvarkymu;
2.4.13. pateikti Duomenų valdytojui visą informaciją, būtiną siekiant įrodyti, kad vykdomos šioje Sutartyje nustatytos prievolės ir BDAR duomenų tvarkytojams nustatyti reikalavimai bei sudaryti sąlygas bei padėti Duomenų valdytojui arba kitam Duomenų valdytojo įgaliotam auditoriui atlikti auditą, įskaitant patikrinimus. Duomenų valdytojas arba kitas Duomenų valdytojo įgaliotas auditorius audito arba patikrinimo metu gali, įskaitant, bet neapsiribojant, reikalauti pateikti atsakymus į raštu arba žodžiu pateiktus klausimus, reikalauti pateikti dokumentus ar kitą informaciją, pagrindžiančius atitiktį šioje Sutartyje arba teisės aktuose nustatytiems duomenų apsaugos reikalavimams;
2.4.14. užtikrinti, kad jo pasitelkti pagalbiniai duomenų tvarkytojai (subtvarkytojai) Duomenų tvarkytojo atžvilgiu prisiimtų tokius pat įsipareigojimus, kaip taikomi Duomenų tvarkytojui pagal šią Sutartį.
2.5. Duomenų valdytojas duoda bendrą sutikimą Duomenų tvarkytojui pasitelkti Priede Nr. 1 nurodytus pagalbinius duomenų tvarkytojus, bei kitus pagalbinius duomenų tvarkytojus, jeigu tai būtina Paslaugų sutarčiai ir (ar) šiai Sutarčiai vykdyti. Duomenų tvarkytojas įsipareigoja informuoti Duomenų valdytoją apie visus planuojamus pakeitimus, susijusius su kitų duomenų tvarkytojų pasitelkimu ar pakeitimu, ir tokiu būdu suteikdamas Duomenų valdytojui galimybę išreikšti savo poziciją dėl tokių pakeitimų.
2.6. Duomenų valdytojas įsipareigoja:
2.6.1. duoti rašytinius nurodymus Duomenų tvarkytojui, kaip, kokiomis priemonėmis Duomenų tvarkytojas turi tvarkyti asmens duomenis, t. y. turi suteikti konkrečius nurodymus dėl kiekvienos asmens duomenų tvarkymo operacijos, jei tokie nurodymai nėra nustatyti šios Sutarties prieduose;
2.6.2. teisėtai valdyti ir tvarkyti Duomenų tvarkytojui suteikiamus asmens duomenis, t. y. turėti duomenų tvarkymui teisinį pagrindą;
2.6.3. gauti duomenų subjektų sutikimus (jeigu jie reikalingi), prieš Duomenų tvarkytojui pradedant tvarkyti jų duomenis;
2.6.4. pateikti Duomenų tvarkytojui informaciją, reikalingą asmens duomenų tvarkymui;
2.6.5. pastebėjus bet kokias iškilusias problemas, susijusias su asmens duomenų tvarkymu, kai asmens duomenys tvarkomi pagal šią Sutartį, nedelsiant raštu informuoti apie tai Duomenų tvarkytoją;
2.6.6. nedelsiant informuoti Duomenų tvarkytoją apie patikslintus, atnaujintus ar panaikintus asmens duomenis;
2.6.7. įgyvendinti duomenų subjektų prašymus dėl jų teisių realizavimo;
2.6.8. vykdyti kitas pareigas, nustatytas taikomuose duomenų apsaugos teisės aktuose.
2.7. Šalys susitaria, kad kompetentinga priežiūros institucija turi teisę atlikti Duomenų tvarkytojo auditą, kuris būtų tokio paties masto ir kuriam būtų taikomos tokios pačios sąlygos kaip ir Duomenų valdytojo auditui, pagal taikytinus duomenų apsaugos teisės aktus.
2.8. Duomenų tvarkytojas pasilieka teisę priimti veiklos ir organizacinius sprendimus, būtinus Paslaugų teikimui tiek, kiek tai nepakeičia asmens duomenų tvarkymo tikslų.
2.9. Siekdamos užtikrinti aukštesnį duomenų apsaugos lygį, Šalys gali imtis papildomų asmens duomenų apsaugos priemonių, susitardamos dėl susijusių papildomų išlaidų kompensavimo.
2.10. Šalys sutinka, kad nutraukus asmens duomenų tvarkymo paslaugų teikimą Duomenų tvarkytojas ir pagalbiniai duomenų tvarkytojai, jei tokių yra, Duomenų valdytojo pasirinkimu grąžins visus perduotus asmens duomenis ir jų kopijas Duomenų valdytojui arba sunaikins visus asmens duomenis ir išsiųs patvirtinimą Duomenų valdytojui, kad tai buvo atlikta, išskyrus atvejus, kai pagal Duomenų tvarkytojui taikytinus teisės aktus jam draudžiama grąžinti arba sunaikinti visus perduotus asmens duomenis arba jų dalį. Tuo atveju Duomenų tvarkytojas užtikrina, kad jis garantuos perduotų asmens duomenų konfidencialumą ir daugiau netvarkys perduotų asmens duomenų.
3. Šalių atsakomybė
3.1. Kiekviena Šalis privalo atlyginti kitai Šaliai jos patirtus tiesioginius nuostolius, jei ji netinkamai vykdė savo įsipareigojimus pagal šią Sutartį ar pažeidė asmens duomenų tvarkymą reglamentuojančius teisės aktus. Nei viena iš Šalių neatsako už kitos Šalies netiesioginius nuostolius, kurie, be kita ko, gali būti susiję su pelno ar santaupų praradimu, dalykinės reputacijos pablogėjimu, klientų praradimu, pajamų netekimu, veiklos ar gamybos netekimu ar sumažėjimu, duomenų ar failų praradimu ar sugadinimu, išskyrus atvejus kai toks atsakomybės ribojimas draudžiamas įstatymų.
3.2. Bet kuriuo atveju Duomenų tvarkytojo atsakomybė už nuostolius yra apribota ir negali viršyti per paskutinius 12 (dvylika) mėnesių jo gauto atlygio už Duomenų valdytojui ir/ar jo klientams suteiktas Paslaugas pagal Paslaugų teikimo sutartį, išskyrus atvejus, kai toks ribojimas yra draudžiamas įstatymų.
4. Baigiamosios nuostatos
4.1. Ši Sutartis ir jos priedai yra neatskiriama Paslaugų teikimo sutarties dalis. Esant neatitikimų tarp Paslaugų teikimo sutarties ir šios Sutarties, taikomos šios Sutarties nuostatos.
4.2. Šiai Sutarčiai ir asmens duomenų tvarkymui taikomi Lietuvos Respublikos teisės aktai.
4.3. Ši Sutartis įsigalioja nuo Paslaugų užsakymo momento ir galioja tol, kol galioja Paslaugų teikimo sutartis. Paslaugų teikimo sutarties pasibaigimas automatiškai reiškia ir šios Sutarties pabaigą.
4.4. Duomenų tvarkytojas pasilieka teisę keisti šios Sutarties sąlygas. Sutarties pakeitimai ar papildymai įsigalioja tik, jeigu apie tai buvo pranešta Duomenų valdytojui prieš 30 (trisdešimt) kalendorinių dienų ir Duomenų valdytojas neišreiškė prieštaravimo. Jei Duomenų valdytojas išreiškia prieštaravimą dėl Sutarties pakeitimo, tai jam lieka galioti ta Sutarties redakcija, kuri galiojo Paslaugų užsakymo metu.
4.5. Visi nesutarimai ir ginčai sprendžiami derybų būdu. Nepavykus susitarti nesutarimai sprendžiami Lietuvos Respublikos įstatymų nustatyta tvarka Lietuvos Respublikos teisme.
4.6. Esant klausimų dėl šios Sutarties ir pagal ją atliekamo asmens duomenų tvarkymo, galima kreiptis į Duomenų tvarkytojo duomenų apsaugos pareigūną (DPO) el. paštu: info@markid.lt.
PRIEDAS NR. 1 prie Asmens duomenų tvarkymo sutarties
1.Informacija apie asmens duomenų tvarkymą
1.1. Duomenų tvarkytojo atliekamo asmens duomenų tvarkymo tikslas yra:
1.1.1. Dokumentų pasirašymo paslaugos teikimas.
1.2. Duomenų tvarkytojo asmens duomenų tvarkymas daugiausia susijęs su (tvarkymo pobūdžiu):
1.2.1. Duomenų tvarkymo operacijos: rinkimas, užrašymas, kaupimas, saugojimas, klasifikavimas, grupavimas, jungimas, keitimas (papildymas ar taisymas), teikimas, naudojimas, paieška, naikinimas.
1.3. Duomenų tvarkymas apima šiuos asmens duomenis:
1.3.1. Vardas, pavardė, asmens kodas, telefono numeris, sesijos data ir laikas, kiti asmens duomenys, jeigu jų tvarkymas yra būtinas Paslaugų teikimui. Kvalifikuoto sertifikato patvirtinimas.
1.4. Duomenų tvarkymas apima šias duomenų subjektų kategorijas:
1.4.1. Duomenų valdytojo klientai, duomenų valdytojo kliento klientai, duomenų valdytojo darbuotojai, duomenų valdytojo partneriai.
1.5. Duomenų tvarkytojas gali tvarkyti asmens duomenis duomenų valdytojo vardu, kai įsigalioja Sutartis. Duomenų tvarkymo trukmė:
1.5.1. Duomenys saugomi Sutarties galiojimo metu.
1.6. Įsigaliojus Sutarčiai, duomenų valdytojas leidžia pasitelkti šiuos pagalbinius duomenų tvarkytojus:
| Pavadinimas, vardas, pavardė | Įmonės kodas | Buveinės adresas | Asmens duomenų tvarkymo aprašymas |
| SK ID Solutions, AS | 10747013 | Pärnu mnt 141 11314 Tallinn Estonia | Duomenų tvarkytojui teikiant paslaugas pagal Sutartį Nr. 1910/269138, duomenų subtvarkytojas teikia SmartID, Mobile-ID tapatybės identifikavimo paslaugas bei administruoja su SmartID, Mobile-ID tapatybę patvirtinusių asmenų duomenis. Taip pat teikia dokumentų galiojimo patvirtinimo paslaugas. |
| Identitrade, UAB | 304478730 | Saltoniškių g. 2-1, LT-08126 Vilnius | Duomenų tvarkytojui teikiant paslaugas pagal Sutartį Nr. 20220202-091516721, duomenų subtvarkytojas teikia ZealiD tapatybės identifikavimo paslaugas bei administruoja su ZealiD tapatybę patvirtinusių asmenų duomenis. |
| Amazon Web Services EMEA SARL, („AWS Europe“) | – | 38 avenue JohnF. Kennedy, L-1855, Luxembourg | Duomenų tvarkytojui teikiant paslaugą saugomos atsarginės dokumentų kopijos. |
| Rakrėjus, UAB | 303126701 | J. Kubiliaus g. 6, LT-08234 Vilnius | Duomenų tvarkytojui teikiant paslaugas pagal Sutartį Nr. 2021/09/09, duomenų subtvarkytojo teikiamoje infrastruktūroje laikoma duomenų bazė ir dokumentai. |
2. Asmens duomenų saugumas
2.1. Duomenų tvarkytojas taiko šias technines ir organizacines saugumo priemones:
2.1.1. Programinės įrangos ir sistemos saugumas:
2.1.1.1. reguliarūs programinės įrangos atnaujinimai;
2.1.1.2. nuolatinė pažeidžiamumo stebėsena.
2.1.2. Infrastruktūros ir serverių saugumas:
2.1.2.1. serveriai laikomi III pakopos (Angl. „Tier III“) duomenų centre.
2.1.3. Duomenų apsauga:
2.1.3.1. nuolatinis duomenų šifravimas;
2.1.3.2. saugus SSL duomenų perdavimas;
2.1.3.3. šifruota išorinė prieiga per VPN.
2.1.4. Duomenų vientisumas ir atkūrimas:
2.1.4.1. reguliarios duomenų atsarginės kopijos.
2.1.5. Prieigos kontrolė:
2.1.5.1. atskiros prieigos teisės pagal vaidmenis;
2.1.5.2. duomenų lygmens klasifikatoriai su aprašytomis naudojimosi tvarkomis;
2.1.5.3. išteklių ir turto valdymo procedūros;
2.1.6. Prieigos valdymas:
2.1.6.1. dokumentuoti prieigos teisių procesai;
2.1.6.2. duomenų tvarkytojų, užtikrinančių asmens duomenų apsaugą, naudojimas.
2.1.7. Auditas ir atitiktis:
2.1.7.1. ISO/IEC 27001 standarto laikymasis;
2.1.7.2. Saugumo komiteto atliekamas metinis saugumo auditas pagal ISO / IEC 27001:2013 standarto reikalavimus.
2.2. Šia Sutartimi Duomenų tvarkytojas įsipareigoja laikytis ISO/IEC 27001 standarto, skirto informacijos saugumo valdymui, be kitų Sutartyje nurodytų techninių ir organizacinių priemonių.