Įvadas
Gerbiamas Kliente,
ačiū, kad naudojatės „I_Site“ (toliau – Paslauga).
Įvadas
Nusprendus naudotis Paslauga, suteikiama galimybė padidinti našumą, pagerinti saugumą, saugoti aplinką ir sumažinti veiklos išlaidas.
Vykdant Paslaugos teikimą, iš jūsų sunkvežimių parko renkami duomenys naudojant duomenų apdorojimo įtaisą (juodąją dėžę arba DHU). Kadangi naudojami duomenys yra susiję su tuo, kaip jūsų darbuotojai ir asmenys, kuriuos samdote kaip trečiųjų šalių rangovus, naudoja sunkvežimius, naudojimo duomenimis laikomi asmens duomenys apie tokius asmenis (siekdami supaprastinti tekstą, nuo šiol vartosime terminą „darbuotojas“). Pagal ES duomenų apsaugos įstatymus, jūs, kaip darbdavys, esate atsakingas už jūsų darbuotojų asmens duomenų apsaugą.
Remiantis BDAR terminologija, galima teigti, kad jūs esate Valdytojas1, o mes esame Tvarkytojas2. Kita vertus, jūsų darbuotojai yra saugomi pagal šias taisykles, o BDAR jie yra vadinami duomenų subjektais.
Duomenų apsaugos įstatymai yra sudėtingi. Gali būti sunku suprasti, kaip jie gali būti taikomi jūsų kasdieniam verslui; ne išimtis yra ir supratimas to, kaip šie įstatymai veikia Paslaugą. Siekdami jums sklandžiau įgyvendinti Paslaugą, mes parengėme šią informaciją, kurioje apibendrinami duomenys, susiję su Paslauga ir duomenų apsauga. Norime, kad ši informacija būtų naudinga jūsų bendravimui su jūsų darbuotojais.
Kad būtų išvengta abejonių, pabrėžiame, kad šis dokumentas yra tik informacinio pobūdžio, kuriame bandoma paaiškinti BDAR aspektus, susijusius su Paslauga, todėl šis dokumentas neturi būti laikomas teisine konsultacija. Jūs visuomet atsakote už savo verslo vykdymo atitiktį su BDAR.
1 Kaip apibrėžta BDAR 4 straipsnio 7 dalyje
2 Kaip apibrėžta BDAR 4 straipsnio 8 dalyje
Duomenų subjektams teikiama informacija
Pirmiausia mes norėtume sutelkti dėmesį į informaciją, teikiamą duomenų subjektams. Pagal BDAR privaloma informuoti savo darbuotojus apie tai, kad jų asmens duomenys yra renkami ir apie tai, kaip jie naudojami.
Jūs taip pat privalote informuoti juos apie savo teises, tokias kaip teisę pataisyti ar ištrinti savo asmens duomenis (kai tai tampa nebereikalinga vykdant Paslaugą).
Jei jūs, galimai susiklosčius tokiai situacijai vykdant Paslaugą, tvarkote asmens duomenis remdamiesi savo teisėtais interesais, paremtais interesų pusiausvyros bandymais (išsamesnės informacijos rasite 4 psl.), taip pat turite informuoti savo darbuotojus apie jų teisę pareikšti prieštaravimus dėl jų duomenų tvarkymo. Paskutinis, bet ne mažiau svarbus veiksnys yra tai, kad darbuotojas, kuris mano, kad jo duomenys buvo piktnaudžiaujami, turi teisę pateikti skundą duomenų apsaugos priežiūros institucijai. Jei paskyrėte duomenų apsaugos specialistą, įsitikinkite, kad visi jūsų darbuotojai žino, kaip su juo susisiekti.
Štai kodėl asmens duomenys yra tvarkomi vykdant Paslaugą
Apdorojus surinktus duomenis (asmens ir ne asmens duomenis), Paslauga suteikia jums galimybę:
• nustatyti atitinkamą darbuotoją, kad būtų užtikrinta, jog visus sunkvežimius eksploatuoja kvalifikuoti operatoriai,
• užtikrinti, kad prieš naudojimą visi sunkvežimiai yra tinkamai patikrinti,
• rinkti duomenis apie smūgių skaičių, kad būtų galima analizuoti darbo aplinką ir sumažinti sužeidimų riziką darbe,
• rinkti duomenis apie aplinkybes, susijusias su stipriais smūgiais, gerinti darbo aplinką ir sumažinti sužeidimų riziką darbo vietoje,
• registruoti laiką, kurio metu vairuotojas valdė sunkvežimį, siekdamas optimizuoti sunkvežimių naudojimą vienoje ar keliose vietose,
• stebėti, kas iš naujo nustato sunkvežimį po smūgio blokavimo, taip pat, kas teikia kokybiškas pastabas komentarų skiltyje, abu veiksmai atliekami siekiant pagerinti darbo vietos saugumą ir darbo kokybę,
• stebėti, kas turėjo prieigą prie portalo informacijos saugumo tikslais.
Štai kaip asmens duomenys yra tvarkomi vykdant Paslaugą
Paprastai yra trijų kategorijų duomenų subjektai, kurių asmens duomenis mes apdorojame teikdami jums Paslaugą: tai sunkvežimių operatoriai, komandos valdytojai ir sistemos administratoriai. Asmens duomenys tvarkomi juos perkeliant, apskaičiuojant, organizuojant, struktūrizuojant, saugant, grąžinant, peržiūrint arba atliekant kitus veiksmus, siekiant pateikti ataskaitas apie turimų sunkvežimių naudojimo duomenis, paimtus ir naudojamus iš vieno sunkvežimio ar vienos darbo vietos.
Surinkti asmens duomenys saugiai saugomi ES serveriuose. Duomenys padalijami keletui subvaldytojų, kurie turi prie jų prieigą, kaip nurodyta duomenų apdorojimo sutartyje. Mes saugome asmeninius duomenis, susijusius su tam tikru asmeniu, kol jūs nurodysite kitaip. Todėl svarbu, kad jūsų vartotojo profiliai būtų atnaujinami, kad nebūtų išsaugomi asmens duomenys apie darbuotojus, kurie, pavyzdžiui, paliko jūsų verslą.
Paslauga leidžia susieti atskirą vairuotoją su individualiu sunkvežimiu. Ryšys užmezgamas naudojant asmens vardą, operatoriaus slapyvardį arba darbuotojo pažymėjimą ir PIN kodą. Kiekviename Paslaugos operatoriaus profilyje nustatomas įgaliojimo arba leidimo lygis, t. y. juo nurodoma, kokios rūšies sunkvežimį kiekvienas asmuo yra išmokytas valdyti ir kurį iš jų jam leidžiama eksploatuoti. Be to, vykdant Paslaugą renkama ir saugoma informacija apie darbo laiką (įsiregistravimas ir išsiregistravimas), operatoriaus pateiktos pastabos, saugos patikros ir smūgio jutiklio įregistruotas poveikis. Komandos vadovai turi prieigą, t. y. gali peržiūrėti nurodyto šakinio autokrautuvo operatoriaus asmeninius duomenis.
Jūsų komandos ar pamainų vadovai ir sistemos administratoriai nustatomi naudojant jų vardus, el. pašto adresus, IP adresus, darbuotojų slapyvardžius ar identifikacinius numerius ar panašius duomenis. Kiekviename Paslaugos profilyje nurodomas informacijos prieinamumo lygis, kurį turi atskiras darbuotojas. Be to, vykdant Paslaugą renkami duomenys apie saugojimo laiką (įsiregistravimą ir išsiregistravimą), kokybės stebėjimą, sunkvežimių grąžinimą po smūgių blokavimo ir prieigą prie interneto portalo.
Štai kodėl tvarkyti asmens duomenis naudojantis Paslauga yra legalu
Atsižvelgiant į jūsų įmonės aplinkybes, tikėtina, kad darbuotojai, dirbantys su sunkvežimiais, paprastai negali teikti sutikimo, galiojančio pagal BDAR, tvarkyti jų asmens duomenis vykdant Paslaugą, t. y. asmens duomenų tvarkymas yra jūsų, kaip darbdavio, atsakomybė. Todėl teisėto pagrindo apdoroti savo darbuotojų asmens duomenis paprastai turėtumėte ieškoti kitur. Vienas iš galimų variantų yra Paslaugos duomenų tvarkymo operacijas susieti jūsų darbuotojų darbo sutartimis, o kitas pasirinkimas gali būti teisinis pagrindas naudoti teisėtus verslo interesus.
Naudodamiesi Xxxxxxxx, sumažinate savo sunkvežimių naudojimo sąnaudas ir poveikį aplinkai, optimizuojate darbo srautus ir padidinate darbo vietos saugumą. Daugelis įmonių teisėtai siekia šių keturių darbo gerinimo veiksnių įgyvendinimo. Mūsų nuomone, visos išvardytos tvarkymo operacijos yra tinkamos šiems tikslams pasiekti.
Lygindami darbo optimizavimo naudą su darbuotojų teise į privatumą ir kitais pavojais jų atitinkamomis teisėmis ir laisvėmis, mes pateikiame toliau nurodytas pastabas ir darome toliau nurodytas išvadas.
Šiame kontekste darbuotojo teisė į privatumą gali būti teisė nebūti įkyriai stebimam darbo metu. Kiti rizikingi veiksniai, susiję su darbuotojų teisėmis ir laisvėmis, gali būti tokie, kad kažkas gauna neteisėtą prieigą prie darbuotojo asmens duomenų, taip pat darbuotojo asmens duomenų nepageidaujamo keitimo rizika ir darbuotojo asmens duomenų praradimo rizika. Svarbu nepamiršti, kad prieiga prie Paslaugos ar jos dalių, taigi ir prie asmens duomenų, visada turėtų būti grindžiama „būtina žinoti“ pagrindu. Klausdami savęs, ar atitinkamam darbuotojui reikia susipažinti su atitinkamais duomenimis, kad galėtų įvykdyti savo užduotis, jūs sumažinate riziką, kad asmens duomenys bus neteisėtai prieinami, pakeisti ar prarasti. Saugumo priemonės, kurių imamės jūsų duomenims apsaugoti, yra išdėstytos duomenų tvarkymo sutartyje.
Sunkvežimiai ir kiti produktai, iš kurių vykdant Paslaugą renkami duomenys, dažniausiai naudojami verslo veiklai vykdyti, pavyzdžiui, gamyklose, dirbtuvėse ar sandėliuose. Sunkvežimiai, užrakinti sandėlyje, greičiausiai nebus asmeniškai naudojami jūsų darbuotų. Todėl, mūsų vertinimu, galimas įsibrovimas į atskirų operatorių privačią sritį yra labai apribotas.
Be to, reikėtų pabrėžti, kad jūsų darbuotojams taip pat naudinga mažinti riziką, susijusią su sunkvežimių, šakinių autokrautuvų ar kitų transporto priemonių naudojimu. Jūs esate atsakingas už tai, kad jūsų darbuotojai
saugotų DARBUI NAUDOJAMAS MEDŽIAGAS. „I_Site“ smūgių jutiklis ir funkcionalumas, pasitelkiami siekiant sustabdyti sunkvežimį po patirto smūgio, sumažina riziką, todėl yra mažiau tikėtina, kad nuo sunkvežimio smūgių nukentės turtas ar žmonės. Todėl galima teigti, kad jūsų darbo vietos ar darbo vietos saugumo interesai yra vienodai naudingi darbuotojams, nes tai užtikrina saugesnę darbo vietą ir sumažina sužalojimo riziką.
Apibendrinant galime teigti, kad, mūsų nuomone, Xxxxxxxx yra sukurta ir pateikiama taip, kad būtų galima teisėtai tvarkyti jūsų darbuotojų asmens duomenis ir kad būtų siekiama jūsų teisėtų verslo interesų.3 Vis dėlto svarbu nepamiršti, kad Paslauga yra tik jūsų transporto priemonių parko valdymo priemonė, todėl, kaip ir elgiantis su kitomis priemonėmis, Paslaugą būtina naudoti protingai. Kaip mūsų klientas, jūs nusprendžiate, kokiu tikslu ir kada naudotis paslauga, todėl esate įsipareigojęs įsitikinti, kad jūsų darbuotojų asmens duomenų tvarkymas atitinka jūsų verslo sričiai taikomus duomenų apsaugos įstatymus. Todėl raginame jus atlikti teisinį veiklos vykdymo vertinimą, kad užtikrintumėte, jog būtų laikomasi taikomų duomenų apsaugos įstatymų.
Pagarbiai
Toyota Material Handling
Turi būti skaitoma kartu su pridedamais priedais: Pr1, Pr2 ir Pr3.
3 Žr. BDAR 6 skyriaus 1 dalies f punktą.
Tikslai
1 PRIEDAS
Duomenų tvarkymo instrukcijos
Paslauga, kurią teikia ir atlieka Duomenų tvarkytojas, yra transporto priemonių parko
Nurodykite visus tikslus, dėl kurių asmens duomenis tvarkys Duomenų tvarkytojas.
Duomenų subjektų kategorijos
Nurodykite Duomenų subjektų kategorijas, kurių asmens duomenis tvarkys Duomenų tvarkytojas.
Duomenų kategorijos
Nurodykite asmens duomenis, kuriuos tvarkys Duomenų tvarkytojas.
valdymo sprendimas, kurio tikslas – padėti Duomenų valdytojui padidinti produktyvumą, pagerinti saugumą, saugoti aplinką ir mažinti veiklos išlaidas. Programinė įranga jungia Duomenų valdytojo transporto priemonių parko duomenis, naudojant telematikos technologijas. Duomenų valdytojas turi prieigą prie informacijos per interneto portalą ir mobiliąją programėlę. Be to, Duomenų valdytojas naudoja asmens duomenis, siekdamas: nustatyti atitinkamą darbuotoją, komandos vadovą ir sistemos administratorių, kad būtų patvirtinti asmens įgaliojimai naudotis kiekvienu šakiniu autokrautuvu, užtikrinti, kad šakinis autokrautuvas buvo tinkamai patikrintas, fiksuoti šakinio griebtuvo sukeliamų smūgių kiekį, siekiant tirti darbo aplinką, kaupti duomenis apie aplinkybes, kurių metu šakinis griebtuvas sukelia stiprius smūgius, ir gerinti darbo aplinką, kaupti duomenis apie laiką, kai vairuotojas eksploatuoja šakinį autokrautuvą, kad komandos vadovai galėtų peržiūrėti informaciją, stebėti, kas vykdo autokrautuvo atstatymą po smūgio blokavimo, taip pat stebėti, kas pateikia kokybiškas pastabas komentarų skiltyje, kad būtų galima stebėti, kas turėjo prieigą prie portalo, ir registruoti, kurie sistemos administratoriai turėjo prieigą prie portalo.
Darbuotojai: šakinių autokrautuvų operatoriai, komandos vadovai ir
sistemų administratoriai.
Dėl šakinių autokrautuvų operatorių: šakinių autokrautuvų Duomenų valdytojo duomenims priskiriami sunkvežimio operatoriaus vardas, pavardė arba slapyvardis, darbuotojo pažymėjimas, įgaliojimo arba leidimo lygis, sunkvežimių eksploatavimo duomenys, susidūrimai (smūgių registravimas), pastabos,
saugos patikrinimų duomenys, darbo laikas (įsiregistravimo ir išsiregistravimo laikas).
Dėl šakinio autokrautuvo komandos narių: vardas ir pavardė, darbuotojo pažymėjimas, el. pašto adresas, įsiregistravimo laikas, komentarai, grįžties informacija.
Dėl Sistemų administratorių: vardas ir pavardė, elektroninio pašto adresas, įsiregistravimo laikas.
Tvarkymo operacijos
Nurodykite visus tvarkymo veiksmus, kuriuos vykdo Duomenų tvarkytojas.
Duomenų rinkimas, skaičiavimas, organizavimas, struktūrizavimas, saugojimas, paieška ar kt., siekiant teikti ataskaitas apie Duomenų valdytojo sukauptus šakinio autokrautuvo duomenis transporto priemonės, vietos, valstybės ir pasauliniu mastu.
Apdorojimo operacijų vieta Stokholmas, Švedija.
Nurodykite visas vietas, kur asmens duomenis tvarkys Duomenų tvarkytojas.
Asmens duomenų saugojimo trukmė Vartotojai ir vartotojų paskyros bus ištrinti ir
asmens duomenys užslaptinti atitinkamam laikui iki Duomenų valdytojui ir tvarkytojui pranešant, kad asmens duomenys bus ištrinti.
2 PRIEDAS
Apsaugos priemonės
Tai – bendras techninių ir organizacinių saugumo priemonių (apsaugos priemonių) aprašymas, kuris yra parengtas ir įgyvendinamas veiksmingai, siekiant apsaugoti asmens duomenų tvarkymą, atliekamą Duomenų tvarkytojo naudojant Duomenų tvarkytojų informacijos saugumo valdymo sistemą (ISMS) ir yra taikomas Duomenų tvarkytojams ir duomenų tvarkytojams pavaldiems asmenims.
Duomenų tvarkytojų informacijos saugumo valdymo sistema atitinka ISO 27001 standartą, kuris apima, bet neapsiriboja šiomis saugumo priemonėmis vykdant rizikos vertinimus ir peržiūrą:
• Priemonės, neleidžiančios neįgaliotiems asmenims patekti į duomenų apdorojimo sistemas, kuriose asmens duomenys yra tvarkomi per prieigos kontrolės priemones.
• Priemonės, kuriomis užtikrinama, kad asmenys, turintys teisę naudotis duomenų tvarkymo sistema, turėtų prieigą tik prie tų duomenų, kuriuos jie turi teisę žinoti, ir kad asmens duomenys be leidimo negali būti skaitomi, kopijuojami, keičiami arba šalinami duomenų apdorojimo metu.
• Priemonės, kuriomis užtikrinama, kad asmens duomenys negali būti skaitomi, kopijuojami, keičiami ar šalinami be leidimo elektroninio perdavimo metu arba transportuojant (perdavimo valdymas).
• Priemonės, kuriomis užtikrinama, kad galima įvertinti ir nustatyti, ar duomenys buvo įvesti į duomenų tvarkymo sistemas (įvesties valdymas) ir kokie asmenys tai atliko ir ar duomenys buvo modifikuoti ar pašalinti, yra įgyvendinamos per prieigos valdymą, saugią plėtros praktiką, kovos su kenkėjiškų programų galimybes, žurnalų peržiūrą ir galimus pažeidžiamumo bandymus.
• Priemonės, kuriomis užtikrinama, kad asmens duomenys būtų saugomi nuo atsitiktinio sunaikinimo ar praradimo (prieinamumo valdymas) ir kad asmens duomenys gali būti susigrąžinti laiku, yra įgyvendinamos naudojant administracines ir IT saugumo kontrolės priemones, taikomas atliekant veiksmus, susijusius su paslaugų teikimu ir infrastruktūra.
• Priemonės, kuriomis užtikrinama, kad skirtingiems tikslams surinkti duomenys galėtų būti tvarkomi atskirai, yra įgyvendinamos atliekant saugios plėtros ir, jei įmanoma, loginio ir fizinio atskyrimo veiksmus.
• Priemonės (privatumas pagal dizainą), kuriomis, jei reikia, užtikrinamas šifravimo ir (arba) pseudonizavimo naudojimas, duomenų ištrynimo galimybės ir duomenų, kurie gali skirtis pagal keliamus reikalavimus ir galimą riziką, mažinimas.
• Priemonės, kuriomis užtikrinama, kad tvarkant asmens duomenis pagal pavedimą, duomenys būtų tvarkomi griežtai vadovaujantis viršininko nurodymais (darbo valdymas), yra įgyvendinamos griežtai valdant subrangovų veiklą.
3 PRIEDAS
Telematikos pagalbinis duomenų tvarkymas
AB „Toyota Material Handling Europe“, „I_Site“ paslaugų teikėjas.
AB „ACTIA Nordic“: duomenų apdorojimo įtaisų (techninė ir programinė įranga) tiekėjas.
„CGI Sverige“ AB: serverių priegloba, duomenų bazės ir aktyvusis katalogas.
AB „Consat Telematics“: kompiuterių tinklo sąsajos (programinė įranga) tiekėjas, įskaitant palaikymą.
AB „iStone“: „TMHE“ rinkodaros filialams ir pardavimo bendrovėms teikiama programų stebėsena ir palaikymas visuose serveriuose ir pagalbos tarnybose.
AB „Telenor Connexion“: SIM kortelių ir telematikos tinklo tiekėjas (duomenų srautas tarp duomenų apdorojimo įtaiso ir kompiuterių tinklo sąsajos).
TOYOTA MATERIAL HANDLING DATA PROCESSING AGREEMENT | „TOYOTA MATERIAL HANDLING“ DUOMENŲ TVARKYMO SUTARTIS, |
entered into by and between | sudaryta tarp |
Customer, a company incorporated in Lithuania, hereinafter referred to as “Data Controller” or “Customer” and RAB „TOYOTA MATERIAL HANDLING BALTIC“ Lietuvos filialas, registration number 302331094, VAT number LT100004641313, Address: Galinės g. 1, Galinės k, Avižienių sen., LT-14247 Vilniaus raj., Lithuania Hereinafter referred to as “Data Processor” 1. DEFINITIONS “Data Controller” means the legal entity which, under this data processor agreement, determines the purposes and means of the processing of personal data; “Data Processor” means the legal entity processing personal data on behalf of the data controller under this data processor agreement; The terms in this data processor agreement shall, unless otherwise stated herein, have the meaning ascribed to them according to applicable data protection law. “Applicable data protection law”, shall, for the purpose of this Data protection agreement, be deemed to include all legislation and regulations, decisions and opinions issued by relevant supervisory authorities, protecting personal data. | Klientas, Lietuvoje jsteigta bendrovė, toliau – Duomenų valdytojas arba Užsakovas, ir RAB „TOYOTA MATERIAL HANDLING BALTIC“ Lietuvos filialas, Registracijos numeris 302331094, PVM numeris LT100004641313, Adresas: Galinės g. 1, Galinės k, Avižienių sen., LT- 14247 Vilniaus raj., Lietuva toliau – Duomenų tvarkytojas. 1. APIBRĖŽTYS „Duomenų valdytojas“ reiškia juridinj asmenj, kuris pagal šią duomenų tvarkymo sutartj nustato asmens duomenų tvarkymo tikslą ir priemones. „Duomenų tvarkytojas“ reiškia juridinj asmenj, duomenų valdytojo vardu tvarkantj asmens duomenis pagal šią duomenų tvarkymo sutartj. Jeigu nenurodyta kitaip, šioje duomenų tvarkymo sutartyje vartojami terminai turi tokią reikšmę, kokia jiems priskirta remiantis galiojančiu duomenų apsaugos jstatymu. Šios duomenų apsaugos sutarties tikslais laikoma, kad „galiojantis duomenų apsaugos jstatymas“ apima visus teisės aktus ir nuostatas, sprendimus ir nuomones dėl asmens duomenų apsaugos, pateiktas atitinkamų priežiūros institucijų. |
2. EXHIBITS | 2. PRIEDAI |
Appendix 1 Data processing instructions Appendix 2 Security Measures | 1 priedas Duomenų tvarkymo instrukcijos |
Appendix 3 List of Sub-processors | 2 priedas Apsaugos priemonės |
In case of any inconsistency or conflict between the provisions of this main document and the Exhibits hereto, this main document shall prevail and take precedence, unless otherwise expressly set forth in this main document or the relevant Appendix. | 3 priedas Pagalbinių duomenų tvarkytojų sąrašas Jeigu šiame pagrindiniame dokumente ar atitinkamame priede aiškiai nenurodyta kitaip, šio pagrindinio dokumento ir jo priedų nesutapimo ar neatitikimo atveju pirmenybė teikiama šiam pagrindiniam dokumentui. |
3. PROCESSING OF PERSONAL DATA | 3. ASMENS DUOMENŲ TVARKYMAS |
3.1 For processing of personal data under the Agreement entered into by and between Customer and Toyota Material Handling Europe AB and where affiliates of Customer are to be considered as Data Controller and Toyota Material Handling Baltic RAB Lietuvos filialas as Data Processor Customer shall enter into this DPA on behalf of its affiliates. The respective Customer entity shall be responsible for and decide the purpose and means of the processing of personal data, as detailed in Appendix 1. 3.2 Data Processor undertakes to process personal data on Data Controller’s behalf for the purpose of providing the I-Site Services under the Agreement. I-Site Services shall have the meaning as defined in the Agreement. | 3.1 Kad būtų galima tvarkyti asmens duomenis pagal Sutartj, sudarytą tarp Užsakovo ir „Toyota Material Handling Europe“ AB, bei kai su Užsakovu susiję subjektai laikytini Duomenų valdytoju, o Toyota Material Handling Baltic RAB Lietuvos filialas – Duomenų tvarkytoju, Užsakovas sudaro šią DTS (Duomenų tvarkymo sutartj) su juo susijusių subjektų vardu. Atitinkamas Užsakovo subjektas atsakingas už ir sprendžia dėl asmens duomenų tvarkymo tikslo bei priemonių, kaip išdėstyta 1 priede. 3.2 Duomenų tvarkytojas jsipareigoja tvarkyti asmens duomenis Duomenų valdytojo vardu, siekiant teikti I-Site Paslaugas pagal Sutartj. I-Site Paslaugų reikšmė bus tokia, kokia apibrėžta Sutartyje. |
3.3 Data Processor undertakes to only process personal data in accordance with documented and communicated instructions from the Data Controller. The Data Controller’s initial instructions to the Data Processor regarding the subject-matter and duration of the processing, the nature and purpose of the processing, the type of personal data and categories of data subjects are set forth in this data processor agreement and in Appendix 1 as well as in the relevant sections in the Agreement. | 3.3 Duomenų tvarkytojas jsipareigoja tvarkyti asmens duomenis tik laikydamasis dokumentuotų ir Duomenų valdytojo perduotų nurodymų. Pirminiai Duomenų valdytojo nurodymai Duomenų tvarkytojui dėl duomenų tvarkymo dalyko ir trukmės, pobūdžio ir tikslo, asmens duomenų tipo ir duomenų subjektų kategorijų yra išdėstytos šioje duomenų tvarkymo sutartyje ir 1 priede bei atitinkamuose Sutarties skyriuose. |
3.4 The Data Controller confirms that, except for any written instruction provided in specific cases according to clause 3.5, the obligations of Data Processor set out in this data processor | 3.4 Duomenų valdytojas patvirtina, kad, išskyrus raštiškus nurodymus, pateikiamus konkrečiais atvejais remiantis 3.5 punktu, Duomenų valdytojo jsipareigojimai, |
agreement, including the Appendices, constitutes the full and complete instructions to be carried out by Data Processor. Any changes to the Data Controller’s instructions shall be negotiated separately (considering the costs associated with such additional instruction and the technical and actual feasibility to implement such additional instruction) and, to be valid, documented in writing and duly signed by both parties. | išdėstyti šioje duomenų tvarkymo sutartyje, jskaitant priedus, sudaro visus ir užbaigtus nurodymus, kuriuos turi vykdyti Duomenų tvarkytojas. Dėl bet kokių Duomenų valdytojo nurodymų pakeitimų susitariama atskirai (atsižvelgiant j tokio papildomo nurodymo išlaidas bei technines ir faktines galimybes jgyvendinti tokj papildomą nurodymą) ir, kad jie būtų galiojantys, jie turi būti jforminti raštiškai ir tinkamai pasirašyti abiejų šalių. |
3.5 The Data Processor shall, to the extent required under applicable data protection laws in accordance with the Data Controller’s written and communicated instructions in each case, assist the Data Controller in fulfilling its legal obligations under such laws. The Data Processor shall be obliged to provide such assistance only insofar that the Data Controller's obligation cannot be met by the Data Controller through other means. | 3.5 Kiek to reikalaujama galiojančiais duomenų apsaugos jstatymais, Duomenų tvarkytojas, kiekvienu atveju remdamasis Duomenų valdytojo raštiškais ir perduotais nurodymais, turi padėti Duomenų valdytojui vykdyti jo teisines prievoles pagal tokius jstatymus. Duomenų tvarkytojas privalo teikti tokią pagalbą tik tokiu mastu, kokiu Duomenų valdytojas negali jvykdyti savo prievolės kitomis priemonėmis. |
3.6 The Data Processor shall immediately inform the Data Controller if, in its opinion, an instruction provided under this data processor agreement infringes applicable data protection laws. | 3.6 Duomenų tvarkytojas privalo nedelsdamas informuoti Duomenų valdytoją, jeigu, jo nuomone, pagal šią duomenų tvarkymo sutartj pateiktas nurodymas pažeidžia galiojančius duomenų apsaugos jstatymus. |
3.7 If data subjects, competent authorities or any other third parties request information from Data Processor regarding the processing of personal data on behalf of Data Controller, Data Processor shall refer such request to the Data Controller. Data Processor may not and is also not obliged to in any way act on behalf of or as a representative of the Data Controller and may not, without prior instructions or consent from the Data Controller, transfer or in any other way disclose personal data or any other information relating to the processing of personal data to any third party. Consent for transfer and/or disclosure has been given for sub-processors engaged in accordance with this data processor agreement. If transfer or disclosure is required or permitted by applicable law, no consent is required. In the event Data Processor, according to applicable laws and regulations, is required to disclose personal data that Data Processor processes on behalf of the Data Controller, Data Processor shall be obliged to inform the Data Controller thereof immediately, to the extent permitted by applicable law. | 3.7 Jeigu duomenų subjektai, kompetentingos valdžios institucijos ar bet kurie kiti tretieji asmenys reikalauja Duomenų tvarkytojo pateikti informaciją, susijusią su asmens duomenų tvarkymu Duomenų valdytojo vardu, Duomenų tvarkytojas turi perduoti tokj prašymą Duomenų valdytojui. Duomenų tvarkytojas negali ir neprivalo kokiu nors būdu veikti Duomenų valdytojo vardu ar kaip jo atstovas ir negali be išankstinių Duomenų valdytojo nurodymų ar sutikimo perduoti ar kaip nors kitaip atskleisti asmens duomenų arba bet kokios kitos informacijos, susijusios su asmens duomenų tvarkymu, jokiam trečiajam asmeniui. Pagalbiniams duomenų tvarkytojams, pasitelktiems pagal šią duomenų tvarkymo sutartj, duotas sutikimas perduoti ir (arba) atskleisti duomenis. Jeigu perduoti arba atskleisti duomenis reikalaujama ar leidžiama pagal galiojančius jstatymus, sutikimas nereikalingas. Jeigu remiantis galiojančiais jstatymais Duomenų tvarkytojo reikalaujama atskleisti asmens duomenis, |
kuriuos Duomenų tvarkytojas tvarko Duomenų valdytojo vardu, Duomenų tvarkytojas privalo nedelsdamas apie tai informuoti Duomenų valdytoją, kiek tai leidžiama pagal galiojančius jstatymus.
4. SUB-PROCESSORS
4.1 The Data Processor may engage sub-processors inside and outside of the European Economic Area (EEA) and may transfer personal data outside of the EEA subject to prior written consent from the Data Controller, which shall not be unreasonably withheld or delayed. The Data Processor shall ensure that a sub- processor are bound by an agreement that requires it to comply with substantially the same data processing obligations to those contained in this data processor agreement (considering the scope of data processing by the respective sub-processor). The Data Processor approves the sub-processors identified in Appendix 3.
4.2 The Data Processor may remove, replace or appoint suitable and reliable further sub- processors at its own discretion in accordance with this clause 4.2:
(i) The Data Processor will notify the Data Controller in advance of any changes to the list of sub-processors as referenced under clause 4.1. If the Data Controller does not object in accordance with clause 4.2 (ii) within thirty days after receipt of the Data Processor's notice, the further sub- processor(s) shall be deemed accepted.
(ii) If the Data Controller has a legitimate reason to object to a further sub- processor the Data Controller shall notify the Data Processor thereof in writing within thirty days after receipt of the Data Processor's notice. If the Data Controller objects to the use of the further sub-processor, the Data Processor shall have the right to cure the objection through one of the following options (to be selected at the Data Processor's sole discretion): (A)
4. PAGALBINIAI DUOMENŲ TVARKYTOJAI
4.1 Duomenų tvarkytojas gali pasitelkti pagalbinius duomenų tvarkytojus Europos ekonominėje erdvėje (EEE) ir už jos ribų bei gali perduoti asmens duomenis už EEE ribų, prieš tai gavęs raštišką Duomenų valdytojo sutikimą, kurio negalima nepagrjstai neduoti ar vilkinti. Duomenų tvarkytojas turi užtikrinti, kad pagalbinj duomenų tvarkytoją saistytų sutartis, reikalaujanti laikytis iš esmės tokių pačių duomenų tvarkymo prievolių kaip išdėstytosios šioje duomenų tvarkymo sutartyje (atsižvelgiant j atitinkamų duomenų tvarkytojų vykdomo duomenų tvarkymo mastą). Duomenų tvarkytojas patvirtina 3 priede nurodytus pagalbinius duomenų tvarkytojus.
4.2 Duomenų tvarkytojas gali atšaukti, pakeisti ar paskirti kitus tinkamus ir patikimus pagalbinius duomenų tvarkytojus savo nuožiūra remdamasis šiuo 4.2 punktu:
(i) Duomenų tvarkytojas turi iš anksto pranešti Duomenų valdytojui apie bet kokius pagalbinių duomenų tvarkytojų sąrašo, minimo 4.1 punkte, pasikeitimus. Jeigu Duomenų valdytojas remdamasis 4.2(ii) punktu nepateikia prieštaravimo per trisdešimt dienų nuo Duomenų tvarkytojo pranešimo gavimo datos, kiti pagalbiniai duomenų tvarkytojai laikomi priimtais.
(ii) Jeigu Duomenų valdytojas turi pagrjstų priežasčių prieštarauti dėl pagalbinio duomenų tvarkytojo, Duomenų valdytojas turi apie tai raštiškai pranešti Duomenų tvarkytojui per trisdešimt dienų nuo Duomenų tvarkytojo pranešimo gavimo datos. Jeigu Duomenų valdytojas prieštarauja dėl kito pagalbinio duomenų tvarkytojo pasitelkimo, Duomenų tvarkytojas turi teisę išspręsti
the Data Processor will cancel its plans to use the further sub-processor with regard to the Data Controller's personal data; or (B) the Data Processor will take the corrective steps requested by the Data Controller in its objection (which remove the Data Controller's objection) and proceed to use the further sub-processor with regard to the Data Controller's personal data; or (C) the Data Processor may cease to provide (temporarily or permanently) the particular aspect of the service that would involve the use of such further sub-processor with regard to the Data Controller's personal data. If none of the above options are reasonably available and the objection has not been cured within thirty days after the Data Processor's receipt of the Data Controller's objection, either Party may terminate the affected service with reasonable prior written notice. 4.3 In case any sub-processor is located outside the | prieštaravimą vienu iš toliau nurodytų būdų (pasirenkamų Duomenų tvarkytojo nuožiūra): (A) Duomenų tvarkytojas atsisako savo planų pasitelkti pagalbinj duomenų tvarkytoją, kiek tai susiję su Duomenų valdytojo asmens duomenimis; arba (B) Duomenų tvarkytojas imasi korekcinių veiksmų, pareikalautų Duomenų valdytojo jo prieštaravime (taip Duomenų valdytojo prieštaravimas nebegaliotų), ir toliau naudotis kito pagalbinio duomenų tvarkytojo paslaugomis, kiek tai susiję su Duomenų valdytojo asmens duomenimis; arba (C) Duomenų tvarkytojas gali nustoti teikti (laikinai arba visam laikui) konkretų paslaugų aspektą, kuriam reikėtų pasitelkti pagalbinj duomenų tvarkytoją, kiek tai susiję su Duomenų valdytojo asmens duomenimis. Jeigu nė vienu iš pirmiau nurodytų variantų pagrjstai negalima pasinaudoti ir prieštaravimas neišsprendžiamas per trisdešimt dienų nuo Duomenų tvarkytojo pranešimo gavimo datos, bet kuri Šalis gali nutraukti susijusios paslaugos teikimą pateikdama išankstinj raštišką pranešimą prieš pagrjstą laiko tarpą. |
EU/EEA in a country that is not recognized as | 4.3 Jeigu kuris nors pagalbinis duomenų |
providing an adequate level of data protection, | tvarkytojas yra už ES/EEE ribų, šalyje, kuri |
the Data Processor will take steps to address the | nepripažjstama teikiančia tinkamo lygio |
requirement of an adequate level of data | duomenų apsaugą, Duomenų tvarkytojas |
protection by the sub-processor at hand (such | turi imtis veiksmų, kad išspręstų |
measures may include – inter alia and as | reikalavimą dėl tinkamo duomenų |
applicable – the use of data processing | apsaugos, taikomos susijusio pagalbinio |
agreements based on EU Model Clauses | duomenų tvarkytojo, lygio (be kitų ir |
(whereas the Data Controller authorizes the | atsižvelgiant j atvejj, iš tokių priemonių gali |
Data Processor to enter into such EU Model | būti: duomenų tvarkymo sutartys, |
Contract based data transfer agreements on the | pagrjstos ES pavyzdiniais straipsniais (kai |
Data Controller’s behalf), transfer to sub- | Duomenų valdytojas jgalioja Duomenų |
processors which are self-certified under the | tvarkytoją sudaryti tokias duomenų |
EU-U.S. Privacy Shield or a similar program). | perdavimo sutartis, pagrjstas ES pavyzdine |
sutartimi, Duomenų valdytojo vardu), | |
perdavimas pagalbiniams duomenų | |
tvarkytojams, kurie yra patvirtinę savo | |
statusą pagal ES/JAV „Privatumo skydą“ | |
arba panašią programą). |
4.4 Data Processor remains liable to the Data Controller for the performance of a sub- processors obligations.
5. INFORMATION SECURITY AND CONFIDENTIALITY
5.1 The Data Processor shall be obliged to take technical and organizational measures to protect the personal data which is processed in accordance with Appendix 2 which the parties deem appropriate considering
(i) the existing technical possibilities;
(ii) the costs for carrying out the measures;
(iii) the particular risks associated with the processing of personal data; and
(iv) the sensitivity of the personal data which is processed.
The Data Processor may amend the technical and organizational measures provided that the amended technical and organizational security measures are not less protective as those set out in Appendix 2.
5.2 Data Processor shall notify the Data Controller of any accidental or unauthorized access to the personal data processed on behalf of the Data Controller or any other security incidents (i.e., personal data breach as in the meaning of Art. 33-34 of the EU General Data Protection Regulation) involving personal data processed on behalf of the Data Controller without undue delay upon becoming aware of such incidents. The notification shall to the extent the information is available to the Data Processor:
(i) describe the nature of the personal data breach including where possible, the categories and approximate number of data subjects concerned and the categories and approximate number of personal data records concerned;
(ii) communicate the name and contact details of the data protection officer or other contact point where more information can be obtained;
(iii) describe the likely consequences of the personal data breach;
4.4 Duomenų tvarkytojas lieka atsakingas prieš Duomenų valdytoją už pagalbinio duomenų tvarkytojo prievolių vykdymą.
5. INFORMACIJOS SAUGUMAS IR KONFIDENCIALUMAS
5.1 Duomenų tvarkytojas privalo imtis techninių ir organizacinių priemonių asmens duomenims, tvarkomiems pagal 2 priedą, apsaugoti, kurios šalims atrodo tinkamos atsižvelgiant j
(i) esamas technines galimybes;
(ii) priemonių jgyvendinimo išlaidas;
(iii) konkrečią riziką, susijusią su asmens duomenų tvarkymu;
(iv) tvarkomų asmens duomenų slaptumą.
Duomenų tvarkytojas gali keisti technines ir organizacines priemones su sąlyga, kad pakeistos techninės ir organizacinės saugumo priemonės užtikrina ne mažesnę apsaugą negu tos, kurios yra išdėstytos 2 priede.
5.2 Duomenų tvarkytojas turi pranešti Duomenų valdytojui apie bet kokią atsitiktinę ar neteisėtą prieigą prie asmens duomenų, tvarkomų Duomenų valdytojo vardu, arba bet kokius kitus saugumo incidentus (t. y. asmens duomenų pažeidimą, kaip numatyta ES Bendrojo duomenų apsaugos reglamento 33–34 str.), susijusius su asmens duomenimis, tvarkomais Duomenų valdytojo vardu, nepagrjstai nedelsdamas, vos sužinojęs apie tokius incidentus. Remiantis Duomenų tvarkytojo turima informacija, pranešime turi būti:
(i) aprašytas asmens duomenų pažeidimo pobūdis, jskaitant, kai jmanoma, susijusių duomenų subjektų kategorijas ir apytikslj skaičių bei susijusių asmens duomenų kategorijas ir apytikslj skaičių;
(ii) nurodytas duomenų apsaugos pareigūno vardas, pavardė ir kontaktiniai duomenys arba vieta, kurioje galima gauti daugiau informacijos;
(iii) aprašytos galimos asmens duomenų saugumo pažeidimo
(iv) describe the measures taken or proposed to be taken by the controller to address the personal data breach, including, where appropriate, measures to mitigate its possible adverse effects;
(v) include any other information available to the Data Processor which the Data Controller is required to notify to the data protection authorities and/or the data subjects.
The Data Processor will furthermore provide the reasonable assistance requested by the Data Controller in order to investigate the security breach.
5.3 The Data Processor shall be obliged to ensure that only such staff has access to personal data processed on behalf of the Data Controller that requires access in order to fulfil the Data Processor’s obligations in accordance with this data processor agreement. The Data Processor shall ensure such staff is bound by a confidentiality obligation.
5.4 The duties of confidentiality set forth in this section 5 shall survive the expiry or termination of the data processor agreement.
6. AUDIT RIGHTS
6.1 Upon Data Controller’s written request, Data Processor may, at its own discretion, in order to fulfil the audit requirements according to applicable data protection law, choose to provide Data Controller with the most recent certifications and/or audit report(s) concerning the security measures for the services or environment used to provide the services. Data Processor will reasonably cooperate with Data Controller by providing available additional information to help Data Controller better understand such security measures. To the extent it is not possible to otherwise satisfy an audit obligation mandated by applicable law, Data Controller (by itself or another auditor bound by a confidentiality obligation and not being a competitor of the Data Processor) may conduct an onsite audit of the facilities used to provide the services, and only in a manner that
pasekmės;
(iv) aprašytos priemonės, kurių valdytojas ėmėsi arba siūlo imtis siekiant išspręsti asmens duomenų pažeidimą, jskaitant, kai tinkama, priemones galimam neigiamam poveikiui sumažinti;
(v) pateikta bet kokia kita Duomenų tvarkytojo turima informacija, kurią Duomenų valdytojas turi pranešti duomenų apsaugos institucijoms ir (arba) duomenų subjektams.
Duomenų tvarkytojas taip pat turi teikti pagrjstą pagalbą, kurios prašo Duomenų valdytojas, kad būtų ištirtas saugumo pažeidimas.
5.3 Duomenų tvarkytojas privalo užtikrinti, kad prie asmens duomenų, tvarkomų Duomenų valdytojo vardu, galėtų prieiti tik tie darbuotojai, kuriems to reikia, kad būtų galima vykdyti Duomenų tvarkytojo prievoles pagal duomenų tvarkymo sutartj. Duomenų tvarkytojas turi užtikrinti, kad tie darbuotojai laikytųsi konfidencialumo prievolės.
5.4 Šiame 5 skyriuje išdėstytos konfidencialumo prievolės lieka galioti ir pasibaigus duomenų tvarkymo sutarčiai arba ją nutraukus.
6. AUDITO TEISĖS
6.1 Siekiant jvykdyti audito reikalavimus pagal galiojančius duomenų apsaugos jstatymus, Duomenų valdytojui raštiškai pareikalavus, Duomenų tvarkytojas gali savo nuožiūra nuspręsti pateikti Duomenų valdytojui naujausius sertifikatus ir (arba) audito ataskaitą (-as), susijusią (-ias) su paslaugų ar aplinkos, naudojamos paslaugoms teikti, saugumo priemonėmis. Duomenų tvarkytojas turi pagrjstai bendradarbiauti su Duomenų valdytoju teikdamas turimą informaciją, kad padėtų Duomenų tvarkytojui geriau suprasti tokias saugumo priemones. Tiek, kiek nejmanoma kitokiu būdu jvykdyti audito prievolės, numatytos galiojančiuose jstatymuose, Duomenų valdytojas (pats arba kitas auditorius, kuris yra saistomas konfidencialumo prievolės ir kuris nėra Duomenų tvarkytojo konkurentas) gali atlikti vietinj sistemų,
causes minimal disruption to the Data Processor’s business and in accordance with Data Processor's security policies to reduce any risk to Data Processor's other customers. Unless mandated by law, no audits are allowed for security and compliance reasons.
6.2 Audits as described in clause 6.1 shall be conducted at Data Controller’s expense and may be conducted during the term of this data processor agreement, subject to the following terms and conditions:
(i) the audits shall not include access to any systems, data or information relating to other customers of the Data Processor;
(ii) the Data Controller’s audit shall be restricted to such information, material and data which are relevant and connected to the Data Processor’s processing of personal data on behalf of Data Controller under this data processor agreement; and
(iii) audits shall not exceed three (3) business days in duration unless the parties otherwise agree in writing in advance or specific circumstances calls for a longer audit (for example if Data Controller has reason to believe that a security breach has occurred or may occur).
7. TERM
The provisions in this data processor agreement shall apply during such time that Data Processor processes personal data in respect of which the Data Controller is the data controller.
8. MEASURES UPON COMPLETION OF PROCESSING OF PERSONAL DATA
8.1 Upon expiry of this data processor agreement, the Data Processor shall, at the choice of the Data Controller as communicated to the Data Processor, delete or return the data, including any copies thereof. The Data Processor shall be obliged in accordance with sentence 1 only
naudojamų paslaugoms teikti, auditą, tačiau tik tokiu būdu, kuris minimaliai pertrauktų Duomenų tvarkytojo veiklą, bei laikydamasis Duomenų tvarkytojo saugumo politikos, kad sumažintų bet kokią riziką kitiems Duomenų tvarkytojo klientams. Jeigu to nereikalaujama pagal jstatymus, draudžiama atlikti auditą dėl su saugumu ir atitiktimi susijusių priežasčių.
6.2 6.1 punkte aprašyti auditai atliekami Duomenų valdytojo sąskaita ir gali būti atliekami šios duomenų tvarkymo sutarties terminu laikantis toliau nurodytų sąlygų ir nuostatų:
(i) audito metu nesuteikiama prieiga prie jokių sistemų, duomenų ar informacijos, susijusios su kitais Duomenų tvarkytojo klientais;
(ii) Duomenų valdytojo auditas turi apsiriboti tokia informacija, medžiaga ir duomenimis, kurie yra aktualūs ir susiję su Duomenų tvarkytojo vykdomu asmens duomenų tvarkymu Duomenų valdytojo vardu pagal šią duomenų tvarkymo sutartj; bei
(iii) auditas neturi trukti ilgiau negu tris (3) darbo dienas, jeigu šalys raštu nesusitaria kitaip arba dėl konkrečių aplinkybių nereikia ilgiau trunkančio audito (pavyzdžiui, jeigu Duomenų valdytojas turi pagrindo manyti, kad jvyko arba gali jvykti saugumo pažeidimas).
7. TERMINAS
Šios duomenų tvarkymo sutarties nuostatos galioja laikotarpiu, kuriuo Duomenų tvarkytojas tvarko asmens duomenis, kurių valdytojas yra Duomenų valdytojas.
8. PRIEMONĖS, TAIKOMOS BAIGUS TVARKYTI ASMENS DUOMENIS
8.1 Šiai Duomenų tvarkymo sutarčiai pasibaigus, Duomenų tvarkytojas turi, Duomenų valdytojui nusprendus ir pranešus Duomenų tvarkytojui, ištrinti arba grąžinti duomenis, jskaitant visas jų kopijas. Duomenų tvarkytojas privalo
insofar that the Data Controller cannot retrieve and delete the concerned personal data by itself. | vykdyti 1 sakinj, tik jeigu Duomenų valdytojas negali pats susigrąžinti ir ištrinti susijusių asmens duomenų. |
8.2 Upon request by the Data Controller, Data Processor shall provide a written notice of the measures taken regarding the aforementioned data upon the completion of the processing. 8.3 Clause 8.1. and 8.2 do not apply to the extent Data Processor is obliged to retain data under applicable law or for documentation purposes. In case of technical impossibility to delete or destroy data processed in electronic form, the Data Processor shall take reasonable steps to make said data not accessible, non-retrievable and non-modifiable and any unjustified processing shall be prohibited. | 8.2 Duomenų valdytojui pareikalavus, Duomenų tvarkytojas turi pateikti raštišką pranešimą apie priemones, kurių buvo imtasi dėl pirmiau minimų duomenų baigus juos tvarkyti. 8.3 8.1 ir 8.2 punktai netaikomi, jeigu Duomenų tvarkytojas privalo pasilikti duomenis remiantis galiojančiais jstatymais arba dokumentavimo tikslais. Jeigu techniškai nejmanoma ištrinti ar sunaikinti elektroniniu būdu tvarkomų duomenų, Duomenų tvarkytojas turi imtis pagrjstų priemonių, kad minėti duomenys nebūtų prieinami, atgaunami ar keičiami bei kad būtų uždrausta juos kaip nors neteisėtai tvarkyti. |
9. COMPENSATION AND LIABILITY AND INDEMNIFICATION | 9. KOMPENSACIJA, ATSAKOMYBĖ IR NUOSTOLIŲ ATLYGINIMAS |
9.1 In case of revisions of applicable law, rulings or guidances from data protection authorities that were not known at the time of this data processing agreement, and such revisions, guidances or rulings cause additional costs to the Data Processor, the Data Processor may request negotiation for compensation in order to cover such costs. The foregoing right to negotiation for cost compensation shall also apply in case the Data Controller requires additional or different security measures than those in Appendix 2. | 9.1 Pasikeitus galiojantiems jstatymams, duomenų apsaugos institucijų sprendimams ar gairėms, apie ką nebuvo žinoma sudarant šią duomenų tvarkymo sutartj, ir dėl tokių pakeitimų, gairių ar sprendimų Duomenų tvarkytojui patyrus papildomų išlaidų, Duomenų tvarkytojas gali pradėti derybas dėl tokių išlaidų kompensacijos. Pirmiau nurodyta teisė j derybas dėl išlaidų kompensacijos taip pat galioja ir tokiu atveju, jei Duomenų valdytojas pareikalauja imtis papildomų ar kitokių saugumo priemonių negu nurodytosios 2 priede. |
9.2 Taking into account the scope and value of the Data Processor’s commitment under the Agreement, the Data Processor’s liability for non-compliance with this data processor agreement shall be limited to the fees paid to the Data Controller under the Agreement during the twelve month period prior to the events that gave rise to the applicable claim. | 9.2 Atsižvelgiant j Duomenų tvarkytojo jsipareigojimo pagal Sutartj mastą ir vertę, Duomenų tvarkytojo atsakomybė už šios duomenų tvarkymo sutarties nesilaikymą apribojama mokesčiais, sumokėtais Duomenų valdytojui pagal Sutartj dvylikos mėnesių laikotarpiu iki jvykių, dėl kurių atsirado susijusi pretenzija. |
9.3 The Data Controller will defend, indemnify, and hold harmless the Data Processor and the officers, directors, employees, successors, and agents of the Data Processor from all claims, damages, liabilities, assessments, losses, costs, administrative fines and other expenses (including, without limitation, reasonable | 9.3 Duomenų valdytojas turi ginti, atlyginti žalą ir apsaugoti Duomenų tvarkytoją ir jo tarnautojus, direktorius, darbuotojus, teisių perėmėjus bei atstovus nuo visų pretenzijų, žalos, atsakomybės, vertinimų, nuostolių, išlaidų, administracinių baudų ir kitų išlaidų (jskaitant, tačiau neapsiribojant |
attorneys' fees and legal expenses) arising out of or resulting from any claim, allegation, demand, suit, action, order or any other proceeding by a third party (including supervisory authorities) that arises out of or relates to the violation of the Data Controller's obligations under this data processing agreement and/or applicable data protection law.
10. ENTIRE AGREEMENT, ETC.
10.1 With regard to the subject matter hereof, this data processor agreement shall supersede any prior agreements, arrangements and understandings between the Parties and constitute the entire agreement between the Parties with respect to the data protection obligations of the parties.
10.2 The Parties agree that the bundling of the Data Controllers (Customer and Customer affiliates) as Data Controllers and the Data Processor within this single DPA is only undertaken for efficiency purposes (i.e., to avoid a multitude of different contract documents) and (i) shall result in legally separate DPAs between the respective Data Controller and the Data Processor.
This data processor agreement comes into force when the Customer has signed any such agreement with Toyota Material Handling Baltic RAB Lietuvos filialas, where a reference to the terms and conditions of this Toyota Material Handling Baltic Data Processing Agreement and a link to their location in world wide web is included.
pagrjstais advokatų mokesčiais ir teisinėmis išlaidomis), atsirandančių iš arba dėl bet kokios pretenzijos, tvirtinimo, reikalavimo, ieškinio, teismo proceso, nurodymo ar bet kokio kito procesinio veiksmo, kurio imasi trečioji šalis (jskaitant prižiūrinčias institucijas), atsiradusio dėl arba susijusio su Duomenų valdytojo prievolių pagal šią duomenų tvarkymo sutartj ir (arba) galiojančius duomenų apsaugos jstatymus pažeidimo.
10. VISA SUTARTIS IR T. T.
10.1 Kalbant apie šios sutarties dalyką, ši duomenų tvarkymo sutartis pakeičia visas ankstesnes sutartis, potvarkius ir susitarimus, sudarytus tarp Šalių, ir sudaro visą sutartj, sudarytą tarp Šalių dėl jų prievolių, susijusių su duomenų apsauga.
10.2 Šalys susitaria, kad Duomenų valdytojai (Užsakovas ir su juo susijusios bendrovės) jtraukiami j šią vieną DTS kaip Duomenų valdytojai ir Duomenų tvarkytojas tik siekiant veiksmingumo (t. y. išvengti kelių skirtingų sutarčių) ir (i) sudaromos teisiškai atskiros DTS tarp atitinkamo Duomenų valdytojo ir Duomenų tvarkytojo.
Duomenų apdorojimo sutartis jsigalioja tuomet, kai Klientas yra pasirašęs tokią sutartj su RAB „Toyota Material Handling Baltic“ Lietuvos filialas, su nuoroda j Toyota Material Handling Baltic Duomenų apdorojimo sutarties terminus ir sąlygas bei nuorodą j jų vietą žiniatinklyje.
APPENDIX 1 1 PRIEDAS
Data processing instructions Duomenų tvarkymo instrukcijos
Purposes
The Service, provided by and managed by
Tikslai
Paslauga, kurią teikia ir atlieka
Please specify all purposes for which the personal data will be processed by Data Processor.
the Data Processor, is a fleet management solution which aims at helping the Data Controller to increase productivity, improve safety, protect the environment and reduce operational costs. The Software connects the Data Controller’s truck fleet data using telematics technology. The Data Controller has access to the information via a web portal and a mobile application. Furthermore, The Data Controller uses the personal data to: identify the relevant employee, team manager and system administrator, to verify the level of authorization per forklift truck, to ensure the forklift truck has been properly checked, to register the amount of shocks to analyse the work environment, to register circumstances surrounding high shocks and to improve the work environment, to register the time during which the operator operated the truck, to allow team managers to view the information, to monitor who reset a truck after a shock-lockout as well as who made the qualitative observations in the comments box, to monitor who had access to the portal, to register which system administrators had access to the portal.
Nurodykite visus tikslus, dėl kurių asmens duomenis tvarkys Duomenų tvarkytojas.
Duomenų tvarkytojas, yra transporto priemonių parko valdymo sprendimas, kurio tikslas – padėti Duomenų valdytojui padidinti produktyvumą, pagerinti saugumą, saugoti aplinką ir mažinti veiklos išlaidas. Programinė jranga jungia Duomenų valdytojo transporto priemonių parko duomenis, naudojant telematikos technologijas. Duomenų valdytojas turi prieigą prie informacijos per interneto portalą ir mobiliąją programėlę. Be to, Duomenų valdytojas naudoja asmens duomenis, norėdamas: nustatyti atitinkamą darbuotoją, komandos vadovą ir sistemos administratorių, kad būtų patvirtinti asmens jgaliojimai naudotis kiekvienu šakiniu autokrautuvu, užtikrinti, kad šakinis autokrautuvas buvo tinkamai patikrintas, fiksuoti šakinio griebtuvo sukeliamų smūgių kiekj, siekiant tirti darbo aplinką, kaupti duomenis apie aplinkybes, kurių metu šakinis griebtuvas sukelia stiprius smūgius, ir gerinti darbo aplinką, kaupti duomenis apie laiką, kai mašinistas eksploatuoja šakinj autokrautuvą, kad komandos vadovai galėtų peržiūrėti informaciją, stebėti, kas vykdo autokrautuvo atstatymą po smūgio blokavimo, taip pat stebėti, kas pateikia kokybiškas pastabas komentarų skiltyje, kad būtų galima stebėti, kas turėjo prieigą prie portalo, ir registruoti, kurie sistemos administratoriai turėjo prieigą prie portalo.
Categories of Data Subjects
Please specify the categories of Data Subjects whose personal data will be Processed by Data Processor.
Employees: Forklift truck operators, team managers and system administrators.
Duomenų subjektų kategorijos
Nurodykite Duomenų subjektų kategorijas, kurių asmens duomenis tvarkys Duomenų tvarkytojas.
Darbuotojai: šakinių autokrautuvų operatoriai, komandos vadovai ir sistemų administratoriai.
Categories of data Regarding Forklift truck operators: Data Duomenų kategorijos Dėl šakinių autokrautuvų operatorių:
Please specify the personal data that will be processed by Data Processor.
Controller forklift truck fleet data consists of name of truck operator or operator alias, Employee ID, level of authorisation
/ certification, truck operating data, impacts (shock registration), comments, safety checks, operating times (log-on, log out).
Regarding Forklift truck operator team managers: name, Employee ID, email address, log-on time, comments, reset info.
Nurodykite asmens duomenis, kuriuos tvarkys Duomenų tvarkytojas.
šakinių autokrautuvų Duomenų valdytojo duomenims priskiriami sunkvežimio operatoriaus vardas, pavardė arba slapyvardis, darbuotojo pažymėjimas, jgaliojimo arba leidimo lygis, sunkvežimių eksploatavimo duomenys, susidūrimai (smūgių registravimas), pastabos, saugos patikrinimų duomenys, darbo laikas (jsiregistravimo ir išsiregistravimo laikas).
Dėl šakinio autokrautuvo komandos narių: vardas ir pavardė, darbuotojo pažymėjimas, el. pašto adresas,
Regarding System Administrators: Name, and e-mail address, log-on time.
jsiregistravimo laikas, komentarai, grjžties informacija.
Dėl Sistemų administratorių: vardas ir pavardė, elektroninio pašto adresas, jsiregistravimo laikas.
Processing Operations
Please specify all processing activities to be conducted by Data Processor.
Collection, calculation, organization, structuring, storage, retrieval, or otherwise, to provide reports of compiled Data Controller forklift data as per truck level, site level, country level and global level.
Tvarkymo veiksmai
Nurodykite visus tvarkymo veiksmus, kuriuos vykdo Duomenų tvarkytojas.
Duomenų rinkimas, skaičiavimas, organizavimas, struktūrizavimas, saugojimas, paieška ar kt., norint teikti ataskaitas apie Duomenų valdytojo sukauptus šakinio autokrautuvo duomenis transporto priemonės, vietos, valstybės ir pasauliniu mastu.
Location of Processing
Operations CGI, Stockholm, Sweden.
Please specify all locations where the personal data will be processed by Data Processor.
Apdorojimo operacijų
vieta CGI, Stokholmas, Švedija.
Nurodykite visas vietas, kur asmens duomenis tvarkys Duomenų tvarkytojas.
Duration of storage of personal data
Users and user accounts will be erased and personal data anonymised within reasonable time upon notification by the Data Controller to the Data Processor that the personal data shall be erased.
Asmens duomenų saugojimo trukmė
Vartotojai ir vartotojų paskyros bus ištrinti ir asmens duomenys užslaptinti atitinkamam laikui iki Duomenų valdytojui ir tvarkytojui pranešant, kad asmens duomenys bus ištrinti.
APPENDIX 2 2 PRIEDAS
Security Measures Apsaugos priemonės
This is a general description of the technical and organizational security measures that are implemented to protect the personal data by the Data Processor through Data Processors Enterprise Security Management Framework applied to Data Processor and Data Processor managed sub-processors
Controls to prevent unauthorized persons from gaining access to data processing systems with which personal data are processed or used (access control) are enforced and reviewed.
Controls to prevent data processing systems from being used without authorization (access control) are enforced and reviewed.
Controls to ensure that persons entitled to use a data processing system have access only to the data to which they have a right of access, and that personal data cannot be read, copied, modified or removed without authorization in the course of processing or use and after storage (access control) are enforced and where applicable reviewed.
Controls to ensure that personal data cannot be read, copied, modified or removed without authorization during electronic transmission or transport (transmission control), is enforced for all external communication.
Controls to ensure that it is possible to check and establish whether and by whom personal data have been input into data processing systems, modified or removed (input control) is enforced through access controls, secure development and where feasible vulnerability test of interfaces.
Controls to ensure that, in the case of commissioned processing of personal data, the data are processed strictly in accordance with the instructions of the principal (job control), is enforced through strict governance of sub-contractors.
Controls to ensure that personal data are protected from accidental destruction or loss (availability control), is enforced through a combination of administrative- and IT-security-controls enforced on services and infrastructure.
Controls to ensure that data collected for different purposes can be processed separately, is enforced through secure development, and where feasible logical and physical separation.
Tai – bendras techninių ir organizacinių saugumo priemonių, jgyvendinamų norint apsaugoti asmens duomenis Duomenų tvarkytojui naudojant jmonės duomenų tvarkymo apsaugos valdymo sistemą, taikomą duomenų tvarkytojui ir duomenų tvarkytojo valdomam pagalbiniam duomenų tvarkymui, aprašas.
Valdymo priemonės, kuriomis siekiama užkirsti kelią asmenims be leidimo naudotis duomenų tvarkymo sistemomis, kuriomis naudojantis yra tvarkomi arba naudojami (prieigos valdymas) asmens duomenys, yra jgyvendinamos ir peržiūrimos.
Valdymo priemonės, kuriomis siekiama užkirsti kelią duomenų tvarkymo sistemų naudojimui be leidimo (prieigos valdymas), yra jgyvendinamos ir peržiūrimos.
Valdymo priemonės, kuriomis užtikrinama, kad asmenys, turintys teisę naudotis duomenų tvarkymo sistema, turėtų prieigą tik prie tų duomenų, kuriuos jie turi teisę žinoti, ir kad asmens duomenys be leidimo negali būti skaitomi, kopijuojami, keičiami arba šalinami duomenų apdorojimo ar naudojimo metu ir po saugojimo (prieigos valdymas), yra jgyvendinamos ir, jei taikoma, peržiūrimos.
Valdymo priemonės, kuriomis užtikrinama, kad asmens duomenys negali būti skaitomi, kopijuojami, keičiami ar šalinami be leidimo elektroninio perdavimo metu arba transportuojant (perdavimo valdymas), yra jgyvendinamos atliekant bet kokią išorinę komunikaciją.
Valdymo priemonės, kuriomis užtikrinama, kad galima patikrinti ir nustatyti, ar duomenys buvo jvesti j duomenų tvarkymo sistemas, ir kokie asmenys tai atliko ir ar duomenys buvo modifikuoti ar pašalinti (jvesties valdymas), yra jgyvendinamos per prieigos valdymą, saugią plėtrą ir, jei jmanoma, sąsajų pažeidžiamumo bandymus.
Valdymo priemonės, kuriomis užtikrinama, kad tvarkant asmens duomenis pagal pavedimą, duomenys būtų tvarkomi griežtai vadovaujantis viršininko nurodymais (darbo valdymas), yra jgyvendinamos griežtai valdant subrangovų veiklą.
Valdymo priemonės, kuriomis užtikrinama, kad asmens duomenys būtų saugomi nuo atsitiktinio sunaikinimo ar praradimo (prieinamumo valdymas), yra jgyvendinamos naudojant administracines ir IT saugumo kontrolės priemones, taikomas atliekant veiksmus, susijusius su paslaugų teikimu ir infrastruktūra.
Valdymo priemonės, kuriomis užtikrinama, kad skirtingiems tikslams surinkti duomenys galėtų būti tvarkomi atskirai, yra jgyvendinamos atliekant saugios plėtros ir, jei jmanoma, loginio ir fizinio atskyrimo veiksmus.
APPENDIX 3 3 PRIEDAS
Telematics sub-processing Telematikos pagalbinis duomenų
tvarkymas
Toyota Material Handling Europe AB,
I_Site service provider.
ACTIA Nordic AB: Data Handling Unit (hardware and software) supplier.
CGI Sverige AB: Hosting servers, databases and active directory.
Consat Telematics AB: Machine gateway supplier (software) including support. iStone AB: Providing application monitoring and support on all servers and helpdesk function towards TMHE affiliate marketing & sales companies.
Telenor Connexion AB: SIM card and telematics network supplier (traffic between DHU and machine gateway).
„Toyota Material Handling Europe“ AB,
I_Vietos paslaugų teikėjas.