Translations proofread by EDPB Members. This language version has not yet been proofread.
1 iš 18
Translations proofread by EDPB Members.
This language version has not yet been proofread.
PROJEKTAS
Standartinės sutarčių sąlygos
Pagal Reglamento (ES) 2016/679 (toliau – Bendrasis duomenų apsaugos reglamentas) 28 straipsnio 3 dalį
nustatomos
[PAVADINIMAS]
Įmonės registracijos (CVR) Nr. "[CVR Nr.]" [ADRESAS]
"[PAŠTO KODAS IR MIESTAS]" [VALSTYBĖ]
(toliau – duomenų valdytojas) ir
[PAVADINIMAS]
Įmonės registracijos (CVR) Nr. "[CVR numeris]" [ADRESAS]
"[PAŠTO KODAS IR MIESTAS]" [VALSTYBĖ]
(toliau – duomenų tvarkytojas)
įmonės, kiekviena atskirai vadinamos šalimi, o kartu – šalimis,
SUSITARĖ dėl šių sutarčių sąlygų (toliau – Sąlygos), siekdamos laikytis Bendrojo duomenų apsaugos reglamento reikalavimų ir užtikrinti duomenų subjekto teisių apsaugą.
1. Turinys
2. Preambulė 3
3. Duomenų valdytojo teisės ir prievolės 3
4. Duomenų tvarkytojas veikia pagal nurodymus 4
5. Konfidencialumas 4
6. Duomenų tvarkymo saugumas 4
7. Naudojimasis pagalbinių duomenų tvarkytojų paslaugomis 5
8. Duomenų perdavimas į trečiąsias valstybes arba tarptautinėms organizacijoms 6
9. Pagalba duomenų valdytojui 7
10. Pranešimas apie asmens duomenų saugumo pažeidimus 8
11. Duomenų ištrynimas arba grąžinimas 9
12. Auditas ir patikrinimas 9
13. Šalių susitarimas dėl kitų sąlygų 9
14. Galiojimo pradžia ir pabaiga 9
15. Duomenų valdytojo ir duomenų tvarkytojo kontaktai ir kontaktiniai asmenys 10
A priedėlis Informacija apie duomenų tvarkymą 11
B priedėlis Įgaliotieji pagalbiniai duomenų tvarkytojai 12
C priedėlis Xxxxxxxxx, susiję su asmens duomenų naudojimu 13
D priedėlis Šalių susitarimo dėl kitų klausimų sąlygos 18
2 iš 18
2. Preambulė
1. Šiomis sutarčių sąlygomis (toliau – Sąlygos) išdėstytos duomenų valdytojo ir duo- menų tvarkytojo teisės ir prievolės, susijusios su asmens duomenų tvarkymu duo- menų valdytojo vardu.
2. Sąlygos nustatytos siekiant užtikrinti, kad šalys laikytųsi 2016 m. balandžio 27 d. Eu- ropos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (toliau – Bendrasis duomenų apsaugos reglamentas) 28 straips- nio 3 dalies.
3 iš 18
3. Teikdamas [PASLAUGOS PAVADINIMAS] paslaugą duomenų tvarkytojas asmens duomenis duomenų valdytojo vardu tvarkys taip, kaip nurodyta Sąlygose.
4. Sąlygoms teikiamas pirmumas, palyginti su panašiomis nuostatomis, išdėstytomis ki- tuose šalių susitarimuose.
5. Prie Sąlygų pridedami keturi priedėliai. Jie yra neatsiejama Sąlygų dalis.
6. A priedėlyje pateikta informacija apie asmens duomenų tvarkymą, įskaitant tvarkymo tikslą ir pobūdį, asmens duomenų rūšį, duomenų subjektų kategorijas ir tvarkymo trukmę.
7. B priedėlyje pateiktos duomenų valdytojo sąlygos, taikomos duomenų tvarkytojui nau- dojantis pagalbinių duomenų tvarkytojų paslaugomis, ir pagalbinių duomenų tvarky- tojų, kurių paslaugomis leidžia naudotis duomenų valdytojas, sąrašas.
8. C priedėlyje pateikti duomenų valdytojo nurodymai, susiję su asmens duomenų tvar- kymu, būtiniausiomis apsaugos priemonėmis, kurias turi įdiegti duomenų tvarkytojas, ir tai, kaip turi būti atliekamas duomenų tvarkytojo ir bet kurių pagalbinių duomenų tvarkytojų auditas.
9. D priedėlyje pateiktos kitai veiklai taikomos nuostatos, neįtrauktos į Sąlygas.
10. Sąlygas ir jų priedėlius abi šalys turi turėti rašytine, įskaitant elektroninę, forma.
11. Sąlygomis duomenų tvarkytojas neatleidžiamas nuo prievolių, kurias jis turi vykdyti pagal Bendrąjį duomenų apsaugos reglamentą (toliau – BDAR) arba kitus teisės ak- tus.
3. Duomenų valdytojo teisės ir prievolės
1. Duomenų valdytojas turi užtikrinti, kad asmens duomenys būtų tvarkomi laikantis Bendrojo duomenų apsaugos reglamento (žr. jo 24 straipsnį), taikytinų ES arba vals- tybės narės duomenų apsaugos nuostatų1 ir Sąlygų.
2. Duomenų valdytojas turi teisę ir privalo priimti sprendimus dėl asmens duomenų tvar- kymo tikslų ir priemonių.
1 Sąlygose nuorodos į valstybes nares turėtų būti suprantamos kaip nuorodos į EEE valstybes nares.
4 iš 18
3. Duomenų valdytojas, be kita ko, turi užtikrinti, kad duomenų tvarkytojui pavedamas asmens duomenų tvarkymas turėtų teisinį pagrindą.
4. Duomenų tvarkytojas veikia pagal nurodymus
1. Duomenų tvarkytojas asmens duomenis tvarko tik pagal duomenų valdytojo doku- mentais įformintus nurodymus, išskyrus atvejus, kai tai daryti reikalaujama pagal Sąjungos arba valstybės narės teisę, kuri yra taikoma duomenų tvarkytojui. Tokie nu- rodymai turi būti nustatyti A ir C priedėliuose. Per visą asmens duomenų tvarkymo trukmę duomenų valdytojas gali pateikti ir kitų nurodymų, bet tokie su Sąlygomis su- siję nurodymai visada turi būti įforminti dokumentais ir turimi rašytine, įskaitant elekt- roninę, forma.
2. Duomenų tvarkytojas duomenų valdytoją nedelsdamas informuoja, jeigu duomenų valdytojo pateikti nurodymai, duomenų tvarkytojo nuomone, prieštarauja BDAR ar tai- kytinoms ES arba valstybės narės duomenų apsaugos nuostatoms.
[PASTABA. ŠALYS TURI NUMATYTI IR ATSIŽVELGTI Į PADARINIUS, KURIŲ GALI BŪTI DĖL BET KOKIŲ DUOMENŲ VALDYTOJO PATEIKTŲ GALIMAI NETEISĖTŲ
NURODYMŲ, IR REGLAMENTUOTI JUOS ŠIAME ŠALIŲ SUSITARIME.]
5. Konfidencialumas
1. Duomenų tvarkytojas prieigą prie duomenų valdytojo vardu tvarkomų asmens duo- menų suteikia tik duomenų tvarkytojui pavaldiems asmenims, prisiėmusiems konfi- dencialumo įsipareigojimą arba saistomiems atitinkama įstatuose nustatyta konfiden- cialumo prievole, ir tik taikant būtinybės žinoti principą. Asmenų, kuriems suteikiama prieiga prie duomenų, sąrašą reikia reguliariai peržiūrėti. Remiantis peržiūra, tokia prieiga prie asmens duomenų gali būti panaikinta, jeigu ji nebereikalinga, ir tokiu at- veju tie asmenys nebeturės prieigos prie asmens duomenų.
2. Duomenų valdytojo prašymu duomenų tvarkytojas turi parodyti, kad atitinkami duo- menų tvarkytojui pavaldūs asmenys yra prisiėmę pirmiau paminėtą konfidencialumo įsipareigojimą.
6. Duomenų tvarkymo saugumas
1. BDAR 32 straipsnyje nustatyta, kad atsižvelgdamas į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tiks- lus, taip pat duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas ir duomenų tvarkytojas įgyvendina tinkamas technines ir organizacines priemones, kad būtų užtikrintas pavojų atitinkan- čio lygio saugumas.
Duomenų valdytojas privalo įvertinti pavojų fizinių asmenų teisėms ir laisvėms, bū- dingą tvarkant duomenis, ir įdiegti priemones tam pavojui sumažinti. Atsižvelgiant į aktualumą, priemonės gali būti šios:
a. pseudonimų suteikimas asmens duomenims ir jų šifravimas;
b. gebėjimas užtikrinti nuolatinį duomenų tvarkymo sistemų ir paslaugų konfiden- cialumą, vientisumą, prieinamumą ir atsparumą;
c. gebėjimas laiku atkurti sąlygas ir galimybes naudotis asmens duomenimis fizinio ar techninio incidento atveju;
d. reguliaraus techninių ir organizacinių priemonių, kuriomis užtikrinamas duomenų tvarkymo saugumas, tikrinimo, vertinimo ir veiksmingumo vertinimo procesas.
2. Remiantis BDAR 32 straipsniu, duomenų tvarkytojas, atskirai nuo duomenų valdytojo, taip pat turi įvertinti pavojų fizinių asmenų teisėms ir laisvėms, būdingą tvarkant duo- menis, ir įdiegti priemones tam pavojui sumažinti. Šiuo tikslu duomenų valdytojas duo- menų tvarkytojui turi pateikti visą informaciją, būtiną tokiam pavojui nustatyti ir įvertinti.
3. Be to, duomenų tvarkytojas turi padėti duomenų valdytojui užtikrinti BDAR 32 straips- nyje nustatytų duomenų valdytojo prievolių vykdymą, inter alia, duomenų valdytojui pateikdamas informaciją, susijusią su duomenų tvarkytojo pagal BDAR 32 straipsnį jau įdiegtomis techninėmis ir organizacinėmis priemonėmis, taip pat visą kitą informa- ciją, būtiną, kad duomenų valdytojas galėtų vykdyti BDAR 32 straipsnyje nustatytą duomenų valdytojo prievolę.
Jeigu vėliau – duomenų valdytojo vertinimu – nustatytam pavojui mažinti reikia, kad duomenų tvarkytojas įdiegtų papildomas priemones, papildančias priemones, kurias duomenų tvarkytojas jau yra įdiegęs pagal BDAR 32 straipsnį, duomenų valdytojas šias įdiegtinas papildomas priemones turi nurodyti C priedėlyje.
7. Naudojimasis pagalbinių duomenų tvarkytojų paslaugomis
1. Duomenų tvarkytojas turi atitikti BDAR 28 straipsnio 2 ir 4 dalių reikalavimus, kad ga- lėtų pasamdyti kitą duomenų tvarkytoją (pagalbinį duomenų tvarkytoją).
5 iš 18
[1 GALI-
2. Taigi, duomenų tvarkytojas, neturėdamas duomenų valdytojo išankstinio
MYBĖ] specialiojo rašytinio leidimo] arba [2 GALIMYBĖ] bendrojo rašytinio leidimo, negali pasamdyti kito duomenų tvarkytojo (pagalbinio duomenų tvarkytojo) šioms Są- lygoms vykdyti.
3. [1 GALIMYBĖ. IŠANKSTINIS SPECIALUSIS LEIDIMAS]. Duomenų tvarkytojas pa- galbinius duomenų tvarkytojus gali samdyti tik turėdamas išankstinį specialųjį duo- menų valdytojo leidimą. Duomenų tvarkytojas turi pateikti prašymą gauti specialųjį leidimą likus bent [NURODYTI LAIKOTARPĮ] iki pagalbinio duomenų tvarkytojo pa- samdymo. Pagalbinių duomenų tvarkytojų, kurių paslaugomis duomenų valdytojas jau leido naudotis, sąrašas yra pateiktas B priedėlyje.
[2 GALIMYBĖ. BENDRASIS RAŠYTINIS LEIDIMAS]. Duomenų tvarkytojas turi duo- menų valdytojo bendrąjį leidimą samdyti pagalbinius duomenų tvarkytojus. Duomenų tvarkytojas duomenų valdytojui apie visus numatomus pakeitimus, susijusius su pa- galbinių duomenų tvarkytojų įtraukimu ar pakeitimu, turi iš anksto raštu pranešti bent per [NURODYTI LAIKOTARPĮ] ir taip duomenų valdytojui suteikti galimybę pareikšti prieštaravimą dėl tokių pakeitimų prieš pasamdant atitinkamą (-us) pagalbinį (-ius) duomenų tvarkytoją (-us). B priedėlyje tam tikroms pagalbinio duomenų tvarkymo paslaugoms galima nustatyti ilgesnius išankstinio pranešimo laikotarpius. Pagalbinių duomenų tvarkytojų, kurių paslaugomis duomenų valdytojas jau leido naudotis, sąra- šas yra pateiktas B priedėlyje.
4. Kai duomenų tvarkytojas pasamdo pagalbinį duomenų tvarkytoją konkrečiai duomenų tvarkymo veiklai duomenų valdytojo vardu vykdyti, tokiam pagalbiniam duomenų tvar- kytojui sutartimi arba kitu pagal ES ar valstybės narės teisę parengtu teisės aktu nus- tatomos tokios pat duomenų apsaugos prievolės, kaip ir nustatytosios Sąlygose, – visų pirma, tai susiję su pakankamu užtikrinimu, kad bus įdiegtos tinkamos techninės ir organizacinės priemonės ir tai bus padaryta taip, kad būtų įvykdyti Sąlygų ir BDAR reikalavimai.
Todėl duomenų tvarkytojui tenka atsakomybė reikalauti, kad pagalbinis duomenų tvarkytojas bent vykdytų prievoles, kurias duomenų tvarkytojas turi vykdyti pagal Są- lygas ir BDAR.
5. Duomenų valdytojo prašymu tokio susitarimo su pagalbiniu duomenų tvarkytoju ir jo vėlesnių pakeitimų kopija turi būti pateikta duomenų valdytojui, taip jam suteikiant ga- limybę užtikrinti, kad pagalbiniam duomenų tvarkytojui būtų nustatytos tokios pat duo- menų apsaugos prievolės, kaip ir nustatytosios Sąlygose. Nereikalaujama duomenų valdytojui teikti su verslo reikalais susijusių sąlygų, nedarančių poveikio susitarimo su pagalbiniu duomenų tvarkytoju teisiniam duomenų apsaugos turiniui.
6. Duomenų tvarkytojas su pagalbiniu duomenų tvarkytoju turi susitarti dėl trečiosios ša- lies naudos gavėjos sąlygų, pagal kurias, duomenų tvarkytojui subankrutavus, duo- menų valdytojas būtų susitarimo su pagalbiniu duomenų tvarkytoju trečioji šalis nau- dos gavėja ir turėtų teisę reikalauti, kad duomenų tvarkytojo pasamdytas pagalbinis duomenų tvarkytojas vykdytų susitarimą, t. y. duomenų valdytojui tuo būtų suteikta galimybė reikalauti, kad pagalbinis duomenų tvarkytojas asmens duomenis ištrintų arba grąžintų.
7. Pagalbiniam duomenų tvarkytojui nevykdant savo duomenų apsaugos prievolių, duo- menų tvarkytojas pagalbinio duomenų tvarkytojo prievolių vykdymo atžvilgiu išlieka visiškai atsakingas duomenų valdytojui. Tai nedaro poveikio duomenų subjektų tei- sėms pagal BDAR, visų pirma, teisėms, įtvirtintoms BDAR 79 ir 82 straipsniuose, duo- menų valdytojo ir duomenų tvarkytojo, įskaitant pagalbinį duomenų tvarkytoją, atžvil- giu.
8. Duomenų perdavimas į trečiąsias valstybes arba tarptautinėms organizacijoms
1. Duomenų tvarkytojas asmens duomenis perduoti į trečiąsias valstybes arba tarptau- tinėms organizacijoms gali tik remdamasis duomenų valdytojo dokumentais įformin- tais nurodymais, ir tai visada turi vykti laikantis BDAR V skyriaus.
2. Kai pagal ES arba valstybės narės teisę, kuri yra taikoma duomenų tvarkytojui, duo- menis reikia perduoti į trečiąsias valstybes arba tarptautinėms organizacijoms, o duo- menų valdytojas duomenų tvarkytojui nėra nurodęs perduoti tuos duomenis, duo- menų tvarkytojas prieš pradėdamas tvarkyti duomenis turi pranešti apie tokį teisinį reikalavimą duomenų valdytojui, išskyrus atvejus, kai pagal tą teisę toks pranešimas yra draudžiamas dėl svarbių viešojo intereso priežasčių.
3. Todėl be duomenų valdytojo dokumentais įformintų nurodymų duomenų tvarkytojas, taikant Sąlygas, negali:
6 iš 18
a. perduoti asmens duomenų valdytojui arba duomenų tvarkytojui trečiojoje valstybėje arba tarptautinėje organizacijoje;
b. tvarkyti asmens duomenis perduoti pagalbiniam duomenų tvarkytojui trečio- joje valstybėje;
c. leisti asmens duomenis tvarkyti duomenų tvarkytojui trečiojoje valstybėje.
4. Duomenų valdytojo nurodymai dėl asmens duomenų perdavimo į trečiąją valstybę, įskaitant, jeigu taikytina, BDAR V skyriuje nustatytą perdavimo priemonę, kuria jie grindžiami, yra išdėstyti C priedėlio C.6 skirsnyje.
5. Sąlygos neturi būti painiojamos su standartinėmis duomenų apsaugos sąlygomis, nu- rodytomis BDAR 46 straipsnio 2 dalies c ir d punktuose, ir šalys Sąlygomis negali remtis kaip perdavimo priemone pagal BDAR V skyrių.
9. Pagalba duomenų valdytojui
1. Atsižvelgdamas į duomenų tvarkymo pobūdį duomenų tvarkytojas, taikydamas tinka- mas technines ir organizacines priemones, turi padėti duomenų valdytojui, kiek tai įmanoma, vykdyti duomenų valdytojo prievoles atsakyti į prašymus pasinaudoti BDAR III skyriuje nustatytomis duomenų subjekto teisėmis.
Tai reiškia, kad duomenų tvarkytojas, kiek tai įmanoma, turi padėti duomenų valdyto- jui užtikrinti, kad būtų suteikta:
a. teisė būti informuotam, kai asmens duomenys renkami iš duomenų subjekto;
b. teisė būti informuotam, kai asmens duomenys yra gauti ne iš duomenų sub- jekto;
c. duomenų subjekto teisė susipažinti su duomenimis;
d. teisė reikalauti ištaisyti duomenis;
e. teisė reikalauti ištrinti duomenis („teisė būti pamirštam“);
f. teisė apriboti duomenų tvarkymą;
g. prievolė pranešti apie asmens duomenų ištaisymą ar ištrynimą arba duo- menų tvarkymo apribojimą;
h. teisė į duomenų perkeliamumą;
i. teisė nesutikti;
j. teisė, kad nebūtų taikomas tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas.
2. Be duomenų tvarkytojo prievolės padėti duomenų valdytojui pagal Sąlygų 6 skirsnio 4 dalį, duomenų tvarkytojas, atsižvelgdamas į duomenų tvarkymo pobūdį ir duomenų tvarkytojo turimą informaciją, taip pat turi padėti duomenų valdytojui užtikrinti, kad būtų vykdoma:
a. duomenų valdytojo prievolė nepagrįstai nedelsiant ir, jeigu įmanoma, praėjus ne daugiau kaip 72 valandoms nuo tada, kai sužinoma apie asmens duo- menų saugumo pažeidimą, apie asmens duomenų saugumo pažeidimą pra- nešti kompetentingai priežiūros institucijai [NURODYTI KOMPETENTINGĄ PRIEŽIŪROS INSTITUCIJĄ], išskyrus atvejus, kai asmens duomenų sau- gumo pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms;
7 iš 18
b. duomenų valdytojo prievolė nepagrįstai nedelsiant apie asmens duomenų saugumo pažeidimą pranešti duomenų subjektui, kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų fizinių asmenų teisėms ir laisvėms;
c. duomenų valdytojo prievolė atlikti numatytų duomenų tvarkymo operacijų po- veikio asmens duomenų apsaugai vertinimą (poveikio duomenų apsaugai vertinimas);
d. duomenų valdytojo prievolė konsultuotis su kompetentinga priežiūros institu- cija [NURODYTI KOMPETENTINGĄ PRIEŽIŪROS INSTITUCIJĄ] prieš tvar- kant duomenis, jeigu poveikio duomenų apsaugai vertinime pažymima, kad tvarkant duomenis kiltų didelis pavojus, jeigu duomenų valdytojas nesiimtų priemonių sumažinti tą pavojų.
3. C priedėlyje šalys nustato tinkamas technines ir organizacines priemones, kuriomis duomenų tvarkytojas turi padėti duomenų valdytojui, taip pat reikiamos pagalbos a- pimtį ir mastą. Tai taikoma Sąlygų 9 skirsnio 1 ir 2 dalyse nustatytoms prievolėms.
10. Pranešimas apie asmens duomenų saugumo pažeidimus
1. Bet kokio asmens duomenų saugumo pažeidimo atveju duomenų tvarkytojas nepag- rįstai nedelsdamas, kai tik sužino apie pažeidimą, turi pranešti apie tai duomenų val- dytojui.
2. Duomenų tvarkytojo pranešimas duomenų valdytojui turi būti pateiktas, jeigu įma- noma, per [KIEK VALANDŲ] nuo tada, kai duomenų tvarkytojas sužino apie asmens duomenų saugumo pažeidimą, kad duomenų valdytojas galėtų įvykdyti savo prievolę apie asmens duomenų saugumo pažeidimus pranešti kompetentingai priežiūros ins- titucijai, kaip nurodyta BDAR 33 straipsnyje.
3. Kaip nustatyta Sąlygų 9 skirsnio 2 dalies a punkte, duomenų tvarkytojas turi padėti duomenų valdytojui apie asmens duomenų saugumo pažeidimą pranešti kompeten- tingai priežiūros institucijai, t. y. duomenų tvarkytojas turi padėti gauti toliau išvardytą informaciją, kuri, kaip nurodyta BDAR 33 straipsnio 3 dalyje, turi būti nurodyta duo- menų valdytojo pranešime kompetentingai priežiūros institucijai; ta informacija yra ši:
a. asmens duomenų pobūdis, įskaitant, jeigu įmanoma, atitinkamų duomenų subjektų kategorijas ir apytikslį skaičių, taip pat atitinkamų asmens duomenų įrašų kategorijas ir apytikslį skaičių;
b. tikėtini asmens duomenų saugumo pažeidimo padariniai;
c. priemonės, kurių ėmėsi duomenų valdytojas, arba kurių siūloma imtis, kad būtų pašalintas asmens duomenų saugumo pažeidimas, įskaitant, kai tin- kama, priemones, kuriomis siekiama sumažinti jo galimą neigiamą poveikį.
4. D priedėlyje šalys apibrėžia visą informaciją, kurią duomenų tvarkytojas turi pateikti, kad padėtų duomenų valdytojui apie asmens duomenų saugumo pažeidimą pranešti kompetentingai priežiūros institucijai.
8 iš 18
11. Duomenų ištrynimas arba grąžinimas
jas,
LIMYBĖ] visus asmens duomenis grąžinti duomenų valdytojui ir ištrinti esamas kopi-
[2 GA-
arba
dytojo vardu, ir patvirtinti duomenų valdytojui, kad duomenys buvo ištrinti
[1 GALIMYBĖ] ištrinti visus asmens duomenis, tvarkytus duomenų val-
1. Baigus teikti asmens duomenų tvarkymo paslaugas, duomenų tvarkytojui turi būti tai- koma prievolė
9 iš 18
išskyrus atvejus, kai pagal Sąjungos arba valstybės narės teisę reikalaujama as- mens duomenis saugoti.
2. [NEPRIVALOMA] Pagal šiuos ES ar valstybės narės teisės aktus, taikytinus duomenų tvarkytojui, asmens duomenis reikalaujama saugoti baigus teikti duomenų tvarkymo paslaugas:
a. […]
Duomenų tvarkytojas įsipareigoja asmens duomenis tvarkyti tik šiame įstatyme nus- tatytais tikslais ir griežtai laikydamasis taikytinų sąlygų.
12. Auditas ir patikrinimas
1. Duomenų tvarkytojas duomenų valdytojui turi pateikti visą informaciją, būtiną siekiant įrodyti, kad vykdomos 28 straipsnyje ir Sąlygose nustatytos prievolės, ir turi suteikti galimybę bei padėti duomenų valdytojui arba kitam duomenų valdytojo įgaliotam au- ditoriui atlikti auditus, įskaitant patikrinimus.
2. Procedūros, taikytinos duomenų valdytojo atliekamiems duomenų tvarkytojo ir pagal- binių duomenų tvarkytojų auditams, įskaitant patikrinimus, yra nustatytos C priedėlio
C.7 ir C.8 skirsniuose.
3. Duomenų tvarkytojas turi privalėti priežiūros institucijoms, pagal taikytinus teisės ak- tus turinčioms turėti prieigą prie duomenų valdytojo ir duomenų tvarkytojo įrenginių ir pateikusioms tinkamą identifikavimo priemonę, arba tokių priežiūros institucijų vardu veikiantiems atstovams, pateikusiems tinkamą identifikavimo priemonę, suteikti prieigą prie duomenų tvarkytojo fizinių įrenginių.
13. Šalių susitarimas dėl kitų sąlygų
1. Šalys gali susitarti dėl kitų sąlygų, susijusių su asmens duomenų tvarkymo paslaugų teikimu, nustatydamos, pvz., atsakomybę, tačiau tos kitos sąlygos neturi tiesiogiai arba netiesiogiai prieštarauti Sąlygoms arba daryti poveikį duomenų subjekto pagrin- dinėms teisėms arba laisvėms bei Bendruoju duomenų apsaugos reglamentu užtikri- namai apsaugai.
14. Galiojimo pradžia ir pabaiga
1. Sąlygos įsigalioja tą dieną, kurią jas pasirašo abi šalys.
2. Abi šalys turi teisę reikalauti naujų derybų dėl Sąlygų, jeigu tokių naujų derybų prireikia dėl to, kad keičiasi įstatymai arba Sąlygos tampa netikslingos.
3. Sąlygos taikomos tol, kol teikiamos asmens duomenų tvarkymo paslaugos. Sąlygų taikymas negali būti nutrauktas, išskyrus atvejus, kai šalys susitaria dėl kitų sąlygų, taikytinų teikiant asmens duomenų tvarkymo paslaugas.
10 iš 18
4. Kai asmens duomenų tvarkymo paslaugos nebeteikiamos, o asmens duomenys ištri- nami arba grąžinami duomenų valdytojui pagal Sąlygų 11 skirsnio 1 dalį ir C priedėlio
C.4 skirsnį, Sąlygų galiojimas gali būti nutrauktas bet kuriai šaliai apie tai pranešus raštu.
5. Parašas
Duomenų valdytojo vardu
[PARAŠAS]
[DATA]
[PAREIGOS]
"[VARDAS, PAVARDĖ]"
Vardas, pavardė Pareigos
Data Parašas
Duomenų tvarkytojo vardu
[PARAŠAS]
[DATA]
[PAREIGOS]
"[VARDAS, PAVARDĖ]"
Vardas, pavardė Pareigos
Data Parašas
15. Duomenų valdytojo ir duomenų tvarkytojo kontaktai ir kontaktiniai asmenys
1. Šalys viena su kita gali susisiekti šiais kontaktais arba per šiuos kontaktinius asmenis:
2. Šalims nuolat taikoma prievolė viena kitą informuoti apie kontaktų arba kontaktinių asmenų duomenų pasikeitimą.
[E. PAŠTAS]
[TELEFONAS]
[PAREIGOS]
"[VARDAS, PAVARDĖ]"
Vardas, pavardė Pareigos Telefonas
E. paštas
[E. PAŠTAS]
[TELEFONAS]
[PAREIGOS]
"[VARDAS, PAVARDĖ]"
Vardas, pavardė Pareigos Telefonas
E. paštas
A priedėlis Informacija apie duomenų tvarkymą
11 iš 18
BŪTI PATEIKIAMA KIEKVIENOS TVARKYMO VEIKLOS ATŽVILGIU.]
[PASTABA. KAI VYKDOMA KELIŲ RŪŠIŲ TVARKYMO VEIKLA, ŠI INFORMACIJA TURI
A.1. Duomenų tvarkytojo duomenų valdytojo vardu vykdomo asmens duomenų tvar- kymo tikslas:
[APRAŠYTI DUOMENŲ TVARKYMO TIKSLĄ.]
A.2. Duomenų tvarkytojo duomenų valdytojo vardu vykdomas asmens duomenų tvar- kymas daugiausia susijęs su (duomenų tvarkymo pobūdis):
[APRAŠYTI DUOMENŲ TVARKYMO POBŪDĮ.]
A.3. Duomenų tvarkymas apima šių rūšių asmens duomenis apie duomenų subjektus:
[APRAŠYTI TVARKOMŲ DUOMENŲ RŪŠĮ.]
[PAVYZDŽIUI]
„Vardas, pavardė, e. pašto adresas, telefono numeris, adresas, nacionalinis identifikavimo nu- meris, mokėjimo duomenys, nario numeris, narystės rūšis, kūno rengybos centro lankymo duomenys ir registracija į konkrečias kūno rengybos pratybas.”
[PASTABA. APRAŠYMAS TURĖTŲ BŪTI KUO IŠSAMESNIS IR BET KURIUO ATVEJU AS- MENS DUOMENŲ RŪŠIS REIKIA NURODYTI TIKSLIAU NEI TIESIOG ĮRAŠANT „ASMENS DUOMENYS, KAIP APIBRĖŽTA BDAR 4 STRAIPSNIO 1 DALYJE“ ARBA PAŽYMINT, KU-
RIOS KATEGORIJOS („BDAR 6, 9 ARBA 10 STRAIPSNIS“) ASMENS DUOMENYS YRA
TVARKOMI.]
A.4. Duomenų tvarkymas apima šių kategorijų duomenų subjektus:
[APRAŠYTI DUOMENŲ SUBJEKTO KATEGORIJĄ.]
A.5. Duomenų tvarkytojas duomenų valdytojo vardu asmens duomenis tvarkyti gali tada, kai Sąlygos įsigalioja. Duomenų tvarkymo trukmė:
[APRAŠYTI DUOMENŲ TVARKYMO TRUKMĘ.]
B priedėlis Įgaliotieji pagalbiniai duomenų tvarkytojai
A priedėlis
B.1. Patvirtintieji pagalbiniai duomenų tvarkytojai
Įsigaliojus Sąlygoms, duomenų valdytojas suteikia leidimą samdyti šiuos pagalbinius duomenų tvarkytojus:
PAVADINIMAS | CVR NUMERIS | ADRESAS | DUOMENŲ TVAR- KYMO APRAŠAS |
Įsigaliojus Sąlygoms, duomenų valdytojas leidžia tai šaliai aprašytam duomenų tvarkymui nau- dotis pirmiau paminėtų pagalbinių duomenų tvarkytojų paslaugomis. Duomenų tvarkytojas ne- turi teisės be duomenų valdytojo aiškaus rašytinio leidimo pagalbinių duomenų tvarkytojų sam- dyti kitokiam duomenų tvarkymui, nei tas, dėl kurio susitarta, arba samdyti kitą pagalbinį duo- menų tvarkytoją aprašytam duomenų tvarkymui atlikti.
B.2. Išankstinis pranešimas apie leidimą samdyti pagalbinius duomenų tvarkytojus
12 iš 18
[NEPRIVALOMA] [JEIGU TAIKYTINA, NURODYTI PRIEŠ KIEK LAIKO REIKIA PATEIKTI I- ŠANKSTINĮ PRANEŠIMĄ DĖL LEIDIMO SAMDYTI PAGALBINIUS DUOMENŲ TVARKYTO-
JUS.]
C priedėlis Xxxxxxxxx, susiję su asmens duomenų naudojimu
B priedėlis
C.1. Duomenų tvarkymo subjektas ir nurodymai
Duomenų tvarkytojas, asmens duomenis tvarkantis duomenų valdytojo vardu, duomenims tvarkyti imasi šių veiksmų:
13 iš 18
RODYTA.]
[APRAŠYTI DUOMENŲ TVARKYMĄ, KURIO IMTIS DUOMENŲ TVARKYTOJUI BUVO NU-
C.2. Duomenų tvarkymo saugumas
Nustatant duomenų tvarkymo saugumo lygį reikia atsižvelgti į tai:
LYGĮ].
[ATSIŽVELGIANT Į DUOMENŲ TVARKYMO VEIKLOS POBŪDĮ, APIMTĮ, KONTEKSTĄ IR TIKSLUS, TAIP PAT FIZINIŲ ASMENŲ TEISĖMS IR LAISVĖMS KYLANTĮ PAVOJŲ, APRA-
ŠYTI DALYKUS, KURIE SVARBŪS NUSTATANT DUOMENŲ TVARKYMO SAUGUMO
[PAVYZDŽIUI]
„Duomenų tvarkymas yra susijęs su dideliu kiekiu asmens duomenų, kuriems taikomas BDAR 9 straipsnis, ir su specialių kategorijų asmens duomenimis, dėl to reikėtų užtikrinti aukšto lygio saugumą“.
Duomenų tvarkytojas vėliau turi teisę ir privalo priimti sprendimus dėl techninių ir organizacinių saugumo priemonių, taikytinų siekiant užtikrinti būtiną (ir sutartinį) duomenų saugumo lygį.
Tačiau duomenų tvarkytojas bet kuriuo atveju įdiegia bent šias priemones, dėl kurių susitarta su duomenų valdytoju:
[APRAŠYTI PSEUDONIMŲ SUTEIKIMO ASMENS DUOMENIMS IR JŲ ŠIFRAVIMO REIKA- LAVIMUS.]
[APRAŠYTI NUOLATINIO DUOMENŲ TVARKYMO SISTEMŲ IR PASLAUGŲ KONFIDEN- CIALUMO, VIENTISUMO, PRIEINAMUMO IR ATSPARUMO UŽTIKRINIMO REIKALAVI-
MUS.]
[APRAŠYTI GEBĖJIMO LAIKU ATKURTI SĄLYGAS IR GALIMYBES NAUDOTIS ASMENS DUOMENIMIS FIZINIO AR TECHNINIO INCIDENTO ATVEJU REIKALAVIMUS.]
[APRAŠYTI TECHNINIŲ IR ORGANIZACINIŲ PRIEMONIŲ, KURIOMIS UŽTIKRINAMAS
DUOMENŲ TVARKYMO SAUGUMAS, REGULIARAUS TIKRINIMO, VERTINIMO IR VEIKS-
MINGUMO VERTINIMO PROCESO REIKALAVIMUS.]
[APRAŠYTI ELEKTRONINĖS PRIEIGOS PRIE DUOMENŲ REIKALAVIMUS.]
[APRAŠYTI DUOMENŲ APSAUGOS, DUOMENIS PERDUODANT, REIKALAVIMUS.]
[APRAŠYTI DUOMENŲ APSAUGOS, DUOMENIS LAIKANT, REIKALAVIMUS.]
KALAVIMUS.]
[APRAŠYTI VIETŲ, KURIOSE ASMENS DUOMENYS TVARKOMI, FIZINIO SAUGUMO REI-
14 iš 18
[APRAŠYTI DARBO NAMUOSE ARBA DARBO NUOTOLINIU BŪDU REIKALAVIMUS.]
[APRAŠYTI REGISTRACIJOS ĮRAŠŲ REIKALAVIMUS.]
C.3. Pagalba duomenų valdytojui
Duomenų tvarkytojas, jeigu įmanoma, turi tiek, kiek nustatyta toliau, duomenų valdytojui pagal Sąlygų 9 skirsnio 1 ir 2 dalis padėti įdiegti šias technines ir organizacines priemones:
[APRAŠYTI PAGALBOS, KURIĄ TURI TEIKTI DUOMENŲ TVARKYTOJAS, APRĖPTĮ IR MASTĄ.]
[APRAŠYTI SPECIALIĄSIAS TECHNINES IR ORGANIZACINES PRIEMONES, KURIŲ TURI IMTIS DUOMENŲ TVARKYTOJAS, KAD GALĖTŲ SUTEIKTI PAGALBĄ DUOMENŲ VALDY-
TOJUI.]
C.4. Duomenų laikymo laikotarpis ir ištrynimo procedūros
[NURODYTI DUOMENŲ LAIKYMO LAIKOTARPĮ IR IŠTRYNIMO PROCEDŪRAS, NUSTA- TYTAS DUOMENŲ TVARKYTOJUI, JEIGU TAI TAIKYTINA.]
[PAVYZDŽIUI]
„Asmens duomenys laikomi [NURODYTI LAIKOTARPĮ ARBA ĮVYKĮ], jam pasibaigus, duo- menų tvarkytojas asmens duomenis automatiškai ištrina.
Baigęs teikti asmens duomenų tvarkymo paslaugas duomenų tvarkytojas turi arba ištrinti, arba grąžinti asmens duomenis pagal Sąlygų 11 skirsnio 1 dalį, išskyrus atvejus, kai duomenų val- dytojas – pasirašius sutartį – pakeitė tai, ką buvo iš pradžių pasirinkęs. Tokie pakeitimai turi būti įforminti dokumentais ir turimi rašytine, įskaitant elektroninę, forma, kaip nustatyta Sąly- gose.“
C.5. Duomenų tvarkymo vieta
Asmens duomenys pagal Sąlygas be išankstinio rašytinio domenų valdytojo sutikimo negali būti tvarkomi kitose vietose nei ši vieta:
[NURODYTI, KUR BUS TVARKOMI DUOMENYS.] [NURODYTI DUOMENŲ TVARKYTOJĄ ARBA PAGALBINĮ DUOMENŲ TVARKYTOJĄ, KURIS NAUDOJASI TUO ADRESU.]
C.6. Nurodymai dėl asmens duomenų perdavimo į trečiąsias valstybes
[APRAŠYTI NURODYMĄ DĖL ASMENS DUOMENŲ PERDAVIMO Į TREČIĄJĄ VALSTYBĘ ARBA TARPTAUTINEI ORGANIZACIJAI.]
[NURODYTI TEISINĮ PERDAVIMO PAGRINDĄ PAGAL BDAR V SKYRIŲ.]
Jeigu duomenų valdytojas nenustato Sąlygose arba vėliau nepateikia dokumentais įformintų nurodymų, susijusių su asmens duomenų perdavimu į trečiąją valstybę, duomenų tvarkytojas neturi teisės atlikti tokį perdavimą pagal Sąlygas.
15 iš 18
C.7. Duomenų valdytojo vykdomų auditų (įskaitant patikrinimus), kuriais vertinama, kaip duomenų tvarkytojas tvarko asmens duomenis, procedūros
PROCEDŪRAS.]
[APRAŠYTI DUOMENŲ VALDYTOJO VYKDOMŲ AUDITŲ (ĮSKAITANT PATIKRINIMUS), KURIAIS VERTINAMA, KAIP DUOMENŲ TVARKYTOJAS TVARKO ASMENS DUOMENIS,
Pavyzdžiui:
„Duomenų tvarkytojas [NURODYTI LAIKOTARPĮ] [DUOMENŲ TVARKYTOJO ARBA DUO-
MENŲ VALDYTOJO] sąskaita iš nepriklausomos trečiosios šalies turi gauti [AUDITO ARBA PATIKRINIMO ATASKAITĄ], susijusią su duomenų tvarkytojo atitiktimi Bendrajam duomenų apsaugos reglamentui, taikytinoms ES arba valstybės narės duomenų apsaugos nuostatoms ir Sąlygoms.
Šalys susitarė, kad, laikantis Sąlygų, gali būti naudojamos šių rūšių [AUDITO ARBA PATIKRI- NIMO ATASKAITOS]:
[ĮRAŠYTI „PATVIRTINTAS“ AUDITO ARBA PATIKRINIMO ATASKAITAS.]
[AUDITO ARBA PATIKRINIMO ATASKAITA] turi būti nepagrįstai neatidėliojant pateikta susi- pažinti duomenų valdytojui. Duomenų valdytojas gali ginčyti ataskaitos aprėptį ir (arba) meto- diką, taip pat tokiais atvejais gali prašyti naujo audito arba patikrinimo, taikant pataisytą aprėptį ir (arba) kitokią metodiką.
Remdamasis tokio audito arba patikrinimo rezultatais duomenų valdytojas gali paprašyti imtis papildomų priemonių, kad būtų užtikrinta atitiktis Bendrajam duomenų apsaugos reglamentui, taikytinoms ES arba valstybės narės duomenų apsaugos nuostatoms ir Sąlygoms.
Be to, duomenų valdytojas arba duomenų valdytojo atstovas turi turėti galimybę atlikti vietų, kuriose duomenų tvarkytojas tvarko asmens duomenis, įskaitant fizines patalpas ir sistemas, naudojamas tvarkant duomenis bei susijusias su duomenų tvarkymu, patikrinimą, įskaitant fi- zinį patikrinimą. Toks patikrinimas turi būti atliekamas tada, kai duomenų valdytojas mano, kad to reikia.“
[ARBA]
„Duomenų valdytojas arba duomenų valdytojo atstovas per [NURODYTI LAIKOTARPĮ] turi atlikti vietų, kuriose duomenų tvarkytojas tvarko duomenis, įskaitant fizines patalpas ir siste- mas, naudojamas tvarkant duomenis bei susijusias su duomenų tvarkymu, fizinį patikrinimą, kad būtų užtikrinta atitiktis Bendrajam duomenų apsaugos reglamentui, taikytinoms ES arba valstybės narės duomenų apsaugos nuostatoms ir Sąlygoms.
Be planuotų patikrinimų, duomenų valdytojas duomenų tvarkytojo patikrinimą gali atlikti, kai duomenų valdytojas mano, kad to reikia.“
[IR, JEIGU TAIKYTINA]
„Duomenų valdytojo išlaidas, jeigu taikytina, susijusias su fiziniu patikrinimu, turi padengti duo- menų valdytojas. Tačiau duomenų tvarkytojui tenka pareiga skirti išteklių (daugiausia, skirti laiko), kurių reikia, kad duomenų valdytojas galėtų atlikti patikrinimą.“
16 iš 18
C.8. [JEIGU TAIKYTINA] Auditų (įskaitant patikrinimus), kuriais vertinama, kaip pagal- biniai duomenų tvarkytojai tvarko asmens duomenis, procedūros
PROCEDŪRAS.]
[JEIGU TAIKYTINA, APRAŠYTI AUDITŲ (ĮSKAITANT PATIKRINIMUS), KURIAIS VERTI- NAMA, KAIP PAGALBINIAI DUOMENŲ TVARKYTOJAI TVARKO ASMENS DUOMENIS,
[PAVYZDŽIUI]
„Duomenų tvarkytojas [NURODYTI LAIKOTARPĮ] [DUOMENŲ TVARKYTOJO ARBA DUO-
MENŲ VALDYTOJO] sąskaita iš nepriklausomos trečiosios šalies turi gauti [AUDITO ARBA PATIKRINIMO ATASKAITĄ], susijusią su pagalbinio duomenų tvarkytojo atitiktimi Bendrajam duomenų apsaugos reglamentui, taikytinoms ES arba valstybės narės duomenų apsaugos nuostatoms ir Sąlygoms.
Šalys susitarė, kad, laikantis Sąlygų, gali būti naudojamos šių rūšių [AUDITO ARBA PATIKRI- NIMO ATASKAITOS]:
[ĮRAŠYTI „PATVIRTINTAS“ AUDITO ARBA PATIKRINIMO ATASKAITAS]
[AUDITO ARBA PATIKRINIMO ATASKAITA] turi būti nepagrįstai neatidėliojant pateikta susi- pažinti duomenų valdytojui. Duomenų valdytojas gali ginčyti ataskaitos aprėptį ir (arba) meto- diką, taip pat tokiais atvejais gali prašyti naujo audito arba patikrinimo, taikant pataisytą aprėptį ir (arba) kitokią metodiką.
Remdamasis tokio audito arba patikrinimo rezultatais duomenų valdytojas gali paprašyti imtis papildomų priemonių, kad būtų užtikrinta atitiktis Bendrajam duomenų apsaugos reglamentui, taikytinoms ES arba valstybės narės duomenų apsaugos nuostatoms ir Sąlygoms.
Be to, duomenų tvarkytojas arba duomenų tvarkytojo atstovas turi turėti galimybę atlikti vietų, kuriose pagalbinis duomenų tvarkytojas tvarko asmens duomenis, įskaitant fizines patalpas ir sistemas, naudojamas tvarkant duomenis bei susijusias su duomenų tvarkymu, patikrinimą, įskaitant fizinį patikrinimą. Toks patikrinimas turi būti atliekamas tada, kai duomenų tvarkytojas (arba duomenų valdytojas) mano, kad to reikia.
Tokių patikrinimų dokumentai neatidėliojant turi būti pateikti susipažinti duomenų valdytojui. Duomenų valdytojas gali ginčyti ataskaitos aprėptį ir (arba) metodiką, taip pat tokiais atvejais gali prašyti naujo patikrinimo, taikant pataisytą aprėptį ir (arba) kitokią metodiką.“
[ARBA]
„Duomenų tvarkytojas arba duomenų tvarkytojo atstovas per [NURODYTI LAIKOTARPĮ] turi atlikti vietų, kuriose pagalbinis duomenų tvarkytojas tvarko duomenis, įskaitant fizines patalpas ir sistemas, naudojamas tvarkant duomenis bei susijusias su duomenų tvarkymu, fizinį patik- rinimą, kad būtų užtikrinta pagalbinio duomenų tvarkytojo atitiktis Bendrajam duomenų apsau- gos reglamentui, taikytinoms ES arba valstybės narės duomenų apsaugos nuostatoms ir Są- lygoms.
Be planuotų patikrinimų, duomenų tvarkytojas pagalbinio duomenų tvarkytojo patikrinimą gali atlikti, kai duomenų tvarkytojas (arba duomenų valdytojas) mano, kad to reikia.
Tokių patikrinimų dokumentai turi būti nepagrįstai neatidėliojant pateikti susipažinti duomenų valdytojui. Duomenų valdytojas gali ginčyti ataskaitos aprėptį ir (arba) metodiką, taip pat tokiais atvejais gali prašyti naujo patikrinimo, taikant pataisytą aprėptį ir (arba) kitokią metodiką.
Remdamasis tokio patikrinimo rezultatais duomenų valdytojas gali paprašyti imtis papildomų priemonių, kad būtų užtikrinta atitiktis Bendrajam duomenų apsaugos reglamentui, taikytinoms ES arba valstybės narės duomenų apsaugos nuostatoms ir Sąlygoms.
17 iš 18
[IR, JEIGU TAIKYTINA]
„Duomenų valdytojas, jeigu reikia, gali pasirinkti pradėti fizinį pagalbinio duomenų tvarkytojo patikrinimą arba dalyvauti jį atliekant. Tai gali būti taikoma, kai duomenų valdytojas mano, jog duomenų tvarkytojui vykdant pagalbinio duomenų tvarkytojo priežiūrą duomenų valdytojui ne- pateikta pakankamai dokumentų, kad būtų galima nustatyti, ar pagalbinis duomenų tvarkytojas duomenis tvarko pagal Sąlygas.
Duomenų valdytojo dalyvavimas atliekant pagalbinio duomenų tvarkytojo patikrinimą nekeičia fakto, kad duomenų tvarkytojas toliau prisiima visą atsakomybę už pagalbinio duomenų tvar- kytojo atitiktį Bendrajam duomenų apsaugos reglamentui, taikytinoms ES arba valstybės narės duomenų apsaugos nuostatoms ir Sąlygoms.“
[IR, JEIGU TAIKYTINA]
„Duomenų valdytojas neturi dengti duomenų tvarkytojo ir pagalbinio duomenų tvarkytojo iš- laidų, susijusių su fizine priežiūra arba fiziniu patikrinimu pagalbinio duomenų tvarkytojo patal- pose, neatsižvelgiant į tai, kad duomenų valdytojas inicijavo tokį patikrinimą ir dalyvavo jį at- liekant.“
D priedėlis Šalių susitarimo dėl kitų klausimų sąlygos
18 iš 18