DUOMENŲ TVARKYMO SUTARTIS

DUOMENŲ TVARKYMO SUTARTIS

20 __ m. ___________ d.



VšĮ dienos centras ,,Mes esame“, įmonės kodas 293268560, adresas Pramonės g. 141, Vilnius, elektroninio pašto adresas xxxxxxxx@xxxxxxxx.xx, atstovaujama direktoriaus Xxxxxxxxx Xxxxx, veikiančio pagal viešosios įstaigos įstatus (toliau – Duomenų valdytojas);

Ir

[___________], įmonės kodas [___________], adresas [___________], elektroninio pašto adresas [___________], atstovaujama [___________], veikiančio pagal [___________] (toliau – Duomenų tvarkytojas);

Pasirašė šią Duomenų tvarkymo sutartį (toliau - Sutartis).


1.SANTRUMPOS

Jei šioje Sutartyje aiškiai nenurodyta kitaip, pirmąja didžiąja raide rašomos sąvokos turi reikšmes, nurodytas žemiau:


Asmuo (Duomenų subjektas)

Žmogus (fizinis asmuo), kurio duomenys tvarkomi;

Asmens duomenys

bet kokia informacija, susijusi Asmeniu, kurio tapatybę galima nustatyti;

Duomenų tvarkytojas

[___________], kuri tvarko Asmens duomenis Duomenų valdytojo vardu ir interesais bei pagal jo nurodymus;

Duomenų valdytojas

VšĮ dienos centras ,,Mes esame“, kuri pagal šią Sutartį nustato Asmens duomenų tvarkymo tikslus ir priemones bei perduoda Asmens duomenis Duomenų tvarkytojui;

Kitas duomenų tvarkytojas

Duomenų tvarkytojo pasitelkta trečioji šalis, kuri vykdo Duomenų tvarkytojo nurodymus ir tvarko Asmens duomenis Duomenų valdytojo vardu bei interesais.

Taikomi duomenų apsaugos įstatymai

bet kokie nacionaliniai ar tarptautiniai duomenų apsaugos įstatymai ar teisės aktai, taikomi šios Sutarties galiojimo metu, priklausomai nuo konkretaus atvejo, Duomenų valdytojui arba Duomenų tvarkytojui. “Taikomi duomenų apsaugos įstatymai” apima Europos Sąjungos bendrąjį duomenų apsaugos reglamentą (GDPR).

Tvarkymas

bet kokia operacija ar operacijų rinkinys, atliekamas naudojant Asmens duomenis arba Asmens duomenų rinkinius, nepriklausomai nuo to ar tai atliekama automatizuotomis priemonėmis, tokie kaip rinkimas, įrašymas, organizavimas, struktūrizavimas, saugojimas, pritaikymas ar pakeitimas, paieška, konsultavimas, naudojimas, atskleidimas perduodant, skleidimas ir prieinamumas, derinimas, apribojimas, ištrynimas ar sunaikinimas;

Pagrindinė sutartis

Duomenų tvarkytojo su Duomenų valdytoju sudaryta paslaugų, pirkimo – pardavimo ar kitokia sutartis arba sutartys, kurių vykdymui reikalingas Asmens duomenų Tvarkymas, pagal šią Sutartį atliekamas Duomenų tvarkytojo.


2.ASMENS DUOMENŲ TVARKYMAS

    1. Duomenų tvarkytojas Duomenų valdytojo interesais ir vardu tvarko Duomenų valdytojo vykdant Pagrindinę sutartį perduotus Asmens duomenis.

    1. Duomenų tvarkymo laikotarpis – nuo Pagrindinės sutarties sudarymo iki jos nutraukimo ar pabaigos.

    2. Asmens duomenų tvarkymo tikslai, atliekamos Tvarkymo operacijos, Asmenų ir Asmens duomenų kategorijos, o taip pat Asmens duomenų gavėjų, kuriems leidžiama perduoti Asmens duomenis be atskiro Duomenų valdytojo sutikimo, kategorijos yra nustatyti šios Sutarties 1 priede.

    3. Duomenų tvarkytojo atliekamas Asmens duomenų Tvarkymas reglamentuojamas Sutartimi, Duomenų valdytojo nurodymais ir Taikomais duomenų apsaugos įstatymais, kurie yra privalomi Duomenų tvarkytojui ir Duomenų valdytojui. Duomenų tvarkytojas, tvarkydamas Asmens duomenis pagal šią Sutartį, laikosi visų Taikomų duomenų apsaugos įstatymų, Valstybinės duomenų apsaugos inspekcijos ir kitų kompetentingų institucijų rekomendacijų. Duomenų tvarkytojas susilaiko nuo bet kokių veiksmų, dėl kurių Duomenų valdytojas pažeistų Taikomus duomenų apsaugos įstatymus.

    4. Konkrečioje situacijoje atsiradus prieštaravimų tarp šios Sutarties sąlygų, Duomenų valdytojo nurodymų, Taikomų duomenų apsaugos įstatymų ir Valstybinės duomenų apsaugos inspekcijos ar kitų kompetentingų institucijų rekomendacijų Duomenų tvarkytojas nedelsdamas informuoja Duomenų valdytoją ir sprendžia iškilusį konfliktą tokiais prioritetais pradedant nuo didžiausio:

2.5.1. Taikomi duomenų apsaugos įstatymai;

2.5.2. šios Sutarties sąlygos;

2.5.3. Duomenų valdytojo nurodymai;

2.5.4. Valstybinės duomenų apsaugos inspekcijos ar kitų kompetentingų institucijų rekomendacijos.

    1. Duomenų tvarkytojas nedelsdamas informuoja Duomenų valdytoją, jei nėra nurodymų dėl Asmens duomenų Tvarkymo konkrečioje situacijoje, ir paprašo tokius nurodymus pateikti.

    2. Duomenų tvarkytojas padeda Duomenų valdytojui vykdyti jo įstatymines pareigas, numatytas Taikomuose duomenų apsaugos įstatymuose, įskaitant, bet neapsiribojant Duomenų valdytojo pareiga atsakyti į Asmenų prašymus pasinaudoti teise susipažinti su apie juos turima informacija bei prašyti Asmens duomenis ištaisyti, užblokuoti ar ištrinti.

    3. Jei Asmenys, valstybės institucijos ar bet kokios kitos trečiosios šalys Duomenų tvarkytojo prašo informacijos apie tvarkomus Asmens duomenis, Duomenų tvarkytojas nedelsiant informuoja Duomenų valdytoją apie tokį prašymą, nebent įstatymas arba įstatymų nustatyta tvarka priimtas valstybės institucijos nurodymas draustų tą daryti.

    4. Duomenų tvarkytojas jokiu būdu negali be išankstinių Duomenų valdytojo nurodymų perduoti ar bet kuriuo kitu būdu atskleisti Asmens duomenų ar kitos informacijos, susijusios su Asmens duomenų Tvarkymu, trečiosioms šalims, išskyrus šios Sutarties 1 priede nurodytas Asmens duomenų gavėjų kategorijas ir asmenis, kuriems teisė gauti Asmens duomenis iš Duomenų tvarkytojo yra suteikta teisės aktų.


3.KITI DUOMENŲ TVARKYTOJAI

    1. Duomenų tvarkytojas informuoja Duomenų valdytoją apie numatomą Kito duomenų tvarkytojo pasitelkimą ar jo pakeitimą, ir suteikia Duomenų valdytojui teisę nesutikti su Kito duomenų tvarkytojo pasitelkimu ar jo pakeitimu. Nepaisant Duomenų valdytojo sutikimo, Duomenų tvarkytojas išlieka visiškai atsakingas Duomenų valdytojui už Asmens duomenų Tvarkymą.

    2. Duomenų tvarkytojas užtikrina, kad visi pasitelkti Kiti duomenų tvarkytojai duotų rašytinį sutikimą arba įtrauktų sutikimą į sutartį, kuriuo įsipareigotų laikytis šioje Sutartyje nustatytų asmens duomenų tvarkymo taisyklių.

    3. Duomenų valdytojas gali paprašyti, kad Duomenų tvarkytojas pateiktų informaciją, patvirtinančią Kito duomenų tvarkytojo atitiktį Taikomiems duomenų apsaugos įstatymams.


4.PERDAVIMAS Į TREČIĄSIAS VALSTYBES

    1. Duomenų tvarkytojas, be išankstinio konkretaus Duomenų valdytojo leidimo, negali perduoti Asmens duomenų už EEE ribų. Jei Duomenų valdytojas patvirtina tokį Asmens duomenų perdavimą, duomenų perdavimo šalys pagal Taikomus duomenų apsaugos įstatymus nustato privalomas duomenų apsaugos priemones.


5.InformaCIJOS SAUGUMAS IR KONFIDENCIALUMAS

    1. Duomenų tvarkytojas, siekdamas padėti Duomenų valdytojui vykdyti teisines prievoles, įskaitant, bet neapsiribojant, įgyvendinti duomenų saugumo priemones ir atlikti poveikio duomenų apsaugai vertinimą, užtikrina, kad ėmėsi tinkamų techninių ir organizacinių priemonių tvarkomiems Asmens duomenims apsaugoti ir laikosi visų Duomenų valdytojo nurodytų duomenų saugumo politikų ir instrukcijų. Priemonės turi užtikrinti tinkamą saugumo lygį, atsižvelgiant į:

    1. esamas technines galimybes;

    2. galimų priemonių kaštus;

    3. riziką, susijusią su Asmens duomenų tvarkymu; ir

    4. ypatingų (jautrių) Asmens duomenų tvarkymą.

    1. Duomenų tvarkytojas turi užtikrinti pakankamą Asmens duomenų saugumo lygį: apsaugoti Asmens duomenis nuo sunaikinimo, pakeitimo, neteisėto atskleidimo ar neteisėtos prieigos, o taip pat nuo visų kitų neteisėtų Asmens duomenų Tvarkymo būdų.

    2. Atsižvelgdamas į techninių galimybių išsivystymo lygį, įgyvendinimo kaštus, Asmens duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat Asmens duomenų Tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, Duomenų tvarkytojas įgyvendina tinkamas technines ir organizacines priemones, kad būtų užtikrintas pavojų atitinkančio lygio saugumas, įskaitant, inter alia, jei reikia:

    1. pseudonimų suteikimą Asmens duomenims ir jų šifravimą;

    2. gebėjimą užtikrinti nuolatinį Asmens duomenų Tvarkymo sistemų ir paslaugų konfidencialumą, vientisumą, prieinamumą ir atsparumą;

    3. gebėjimą laiku atkurti sąlygas ir galimybes naudotis Asmens duomenimis fizinio ar techninio incidento atveju; ir

    4. reguliarų techninių ir organizacinių priemonių, kuriomis užtikrinamas Asmens duomenų tvarkymo saugumas, tikrinimo, vertinimo ir veiksmingumo vertinimo procesą.

    1. Įgyvendindamas technines ir organizacines priemones, kaip nurodyta 5.2. punkte, Duomenų tvarkytojas taiko šias priemones:

    1. fizinės prieigos apsaugą: neprižiūrimos Duomenų tvarkytojo patalpos, su kompiuterine įranga ir asmenine informacija, turi būti laikomos užrakintos, siekiant apsaugoti Asmens duomenis nuo neteisėto naudojimo, poveikio ar vagystės;

    1. duomenų atkūrimo procesą: atkurti prarastus ar sugadintus Asmens duomenis iš atsarginių kopijų;

    2. leidimų kontrolę: prieiga prie Asmens duomenų galima per techninę leidimų kontrolės sistemą. Leidimas turi galioti tik tiems asmenims, kuriems Asmens duomenys reikalingi darbo funkcijoms atlikti. Vartotojo vardai ir slaptažodžiai turi būti privatūs ir negali būti perduoti kitiems subjektams. Taip pat turi būti nustatytos leidimų paskirstymo ir panaikinimo procedūros;

    3. galimybę registruoti prisijungimus prie Asmens duomenų: Turi būti sudarytos sąlygos retrospektyviai peržiūrėti tokius prisijungimus duomenų bazėse;

    4. saugią komunikaciją: išoriniai duomenų perdavimo ryšiai turi būti apsaugoti naudojant technines funkcijas, užtikrinančias prieigos kontrolę, taip pat turinio šifravimą tranzitu perduodamuose duomenų perdavimo kanaluose už Duomenų tvarkytojo kontroliuojamų sistemų;

    5. procesus, skirtus saugiam Asmens duomenų naikinimui užtikrinti, kai fiksuotos arba keičiamos laikmenos nebenaudojamos pagal paskirtį;

    6. susitarimų dėl konfidencialumo su darbuotojais, kurie turi prieigą prie Asmens duomenų, ir paslaugų teikėjais, kurie teikia Asmens duomenų saugojimui naudojamos įrangos aptarnavimą ir priežiūrą, sudarymą;

    7. paslaugų teikėjų ir kitų trečiųjų asmenų priežiūrą Duomenų tvarkytojo patalpose. Laikmena, kurioje yra Asmens duomenys turi būti pašalinama iš patalpų, jei priežiūra neįmanoma.

    1. Duomenų tvarkytojas, sužinojęs apie bet kokią neleistiną prieigą prie Asmens duomenų ar kitą saugumo incidentą (Duomenų saugumo pažeidimą), turi imtis visų reikalingų veiksmų ir nepagrįstai nedelsdamas, jei tik įmanoma, pranešti apie tai Duomenų valdytojui, bet jokiu būdu ne vėliau kaip per 24 valandas, po to, kai sužinojo apie pažeidimą. Pranešime turi būti bent:

    1. aprašytas Asmens duomenų saugumo pažeidimo pobūdis, įskaitant, jeigu įmanoma, atitinkamų Asmenų kategorijas ir apytikslį skaičių, taip pat atitinkamų Asmens duomenų įrašų kategorijas ir apytikslį skaičių;

    2. nurodyta duomenų apsaugos pareigūno arba kito kontaktinio asmens, galinčio suteikti daugiau informacijos, vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;

    3. aprašytos tikėtinos asmens duomenų saugumo pažeidimo pasekmės Asmenims;

    4. aprašytos priemonės, kurių ėmėsi arba pasiūlė imtis Duomenų tvarkytojas, kad būtų pašalintas asmens duomenų saugumo pažeidimas, įskaitant, kai tinkama, priemones galimoms neigiamoms jo pasekmėms sumažinti.

    1. Duomenų tvarkytojas užtikrina, kad darbuotojai, kuriems suteikta prieiga prie Asmens duomenų, yra įsipareigoję laikytis konfidencialumo.

    2. Konfidencialumo įsipareigojimai numatyti šioje Sutartyje lieka galioti ir po šios Sutarties pasibaigimo arba jos nutraukimo.


6.TERMINAS IR ASmens duomenų tvarkymo pabaiga

    1. Šios Sutarties nuostatos taikomos tiek, kiek galioja Pagrindinė sutartis ir Duomenų tvarkytojas tvarko Asmens duomenis Duomenų valdytojo vardu ir interesais.

    2. Pasibaigus šiai Sutarčiai, Duomenų tvarkytojas ištrina arba grąžina visus Asmens duomenis Duomenų valdytojui ir užtikrina, kad bet kuris Kitas duomenų tvarkytojas pasielgė taip pat.

    3. Duomenų valdytojo prašymu Duomenų tvarkytojas raštiškai informuoja Duomenų valdytoją apie priemones, kurių buvo imtasi po duomenų tvarkymo užbaigimo.


7.Atlyginimas

    1. Duomenų tvarkytojas neturi jokios teisės į atlyginimą vykdant šioje Sutartyje numatytus įsipareigojimus, išskyrus atlyginimą, numatytą Pagrindinėje sutartyje.


8.ATSAKOMYBĖ

8.1. Be žalos atlyginimo už pažeidimą, kuris gali atsirasti dėl šios Sutarties ir (arba) kitų sutarčių nesilaikymo, Duomenų valdytojas turi teisę gauti žalos atlyginimą iš Duomenų tvarkytojo už visas Duomenų valdytojo patirtas išlaidas, mokesčius ir baudas pagal Taikomus duomenų apsaugos įstatymus, jei Tvarkymas, atliktas Duomenų tvarkytojo arba jo pasitelktų Kitų duomenų tvarkytojų, lėmė žalos atsiradimą.

8.2. Duomenų valdytojas pats turi teisę imtis priemonių, reikalingų patikrinti, ar Duomenų tvarkytojas gali vykdyti savo įsipareigojimus pagal šią Sutartį, ir ar Duomenų tvarkytojas iš tiesų ėmėsi priemonių, užtikrinančių tokį atitikimą. Duomenų tvarkytojas įsipareigoja Duomenų valdytojui pateikti visą reikalingą informaciją, įrodančią, kad laikomasi šioje Sutartyje nustatytų įsipareigojimų, bei leidžia atlikti auditą, įskaitant patikrinimus vietoje, vykdomų Duomenų valdytojo arba kito Duomenų valdytojo paskirto auditoriaus.


9.PRANEŠIMAI

    1. Visi vienos Šalies pranešimai kitai Šaliai, susiję su šia Sutartimi, rašomi ir siunčiami elektroniniu paštu, kurjerių pagalba arba registruotu paštu aukščiau nurodytais Šalių adresais arba vėliau Šalių patikslintais adresais.

    2. Pranešimai laikomi gauti gavėjo:

a)jei siunčiama per kurjerių tarnybą arba registruotu laišku: pristatymo metu, arba
b)jei siunčiama el. paštu: šaliai patvirtinus laiško gavimą.


10.KITOS NUOSTATOS

    1. Šalys negali perleisti jokių teisių ar pareigų pagal šią Sutartį be kitos Šalies sutikimo.

    2. Ši Sutartis reglamentuojama ir aiškinama pagal Lietuvos Respublikos materialinę teisę.

    3. Bet koks ginčas ar reikalavimas, kylantis iš šios Sutarties, sprendžiamas Lietuvos Respublikos teisės aktų nustatyta tvarka.

    4. Sutartis sudaryta dviem egzemplioriais, turinčiais vienodą teisinę galią po vieną kiekvienai šaliai.


11.PARAŠAI


Duomenų valdytojo vardu:


Duomenų tvarkytojo vardu:






(vardas, xxxxxxx, xxxxxxx)


(vardas, xxxxxxx, xxxxxxx)



1 PRIEDAS

PRIE 20[__]-[__]-[__] SUTARTIES SU [_________]


DUOMENŲ TVARKYMO APRAŠYMAS IR INSTRUKCIJOS


Duomenų tvarkymo tikslai: [____________________________________]

Duomenų tvarkymo operacijos: automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka: rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas.

Duomenų gavėjų kategorijos: [____________________________________]


Duomenų subjektų kategorijos

Asmens duomenų kategorijos

Pastabos












Duomenų valdytojo vardu:


Duomenų tvarkytojo vardu:






(vardas, xxxxxxx, xxxxxxx)


(vardas, xxxxxxx, xxxxxxx)






Document Metadata

Filed: July 11th, 2018