SUSITARIMAS DĖL ASMENS DUOMENŲ TVARKYMO
SUSITARIMAS DĖL ASMENS DUOMENŲ TVARKYMO
Šis susitarimas dėl asmens duomenų tvarkymo (toliau – Susitarimas) reguliuoja asmens duomenų tvarkymo santykius, kylančius iš UAB Rivilės teikiamų paslaugų sutarties (toliau – Sutartis) ir susiklosčiusius tarp Vykdytojo, veikiančio kaip duomenų tvarkytojas, ir Užsakovo (kliento kuris naudojasi UAB Rivilės paslaugomis), veikiančio kaip duomenų valdytojas. Vykdytojas ir Užsakovas kartu vadinami Šalimis, o kiekvienas atskirai – Šalimi.
Susitarimas yra neatsiejama Sutarties dalis. Susitarimas nepakeičia jokių kitų Sutarties nuostatų, sąlygų ar terminų, išskyrus tuos atvejus, kurie specialiai aptarti šiame Susitarime.
Šalys, vykdydamos Susitarimą, vadovaujasi Bendruoju duomenų apsaugos reglamentu (ES) 2016/679 (toliau – BDAR), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, kitais teisės aktais, reglamentuojančiais asmens duomenų tvarkymą (toliau kartu – Asmens duomenų apsaugos teisės aktai).
Susitarime pateikiamos sąvokos, prasidedančios didžiąja raide, suprantamos taip, kaip jos apibrėžtos šiame Susitarime ir/ar Sutartyje. Kitos Susitarime vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Asmens duomenų apsaugos teisės aktuose.
I. ASMENS DUOMENŲ TVARKYMAS
1.1. Vykdytojas įsipareigoja:
1.1.1. įgyvendinti protingai prieinamas technines bei organizacines priemones, užtikrinančias, kad Vykdytojo pagal Susitarimo nuostatas vykdomas asmens duomenų tvarkymas atitiktų Asmens duomenų apsaugos teisės aktų reikalavimus bei Užsakovo nurodymus dėl tvarkomų asmens duomenų saugumo;
1.1.2. tvarkyti Susitarimo VI skyriuje nurodytus asmens duomenis tik pagal Užsakovo pateiktus dokumentais įformintus rašytinius nurodymus, išskyrus atvejus, kai taikomi teisės aktai reikalauja duomenis tvarkyti nesant tokių nurodymų. Vykdytojas informuoja Užsakovą, jei atsiranda kliūčių laikytis Užsakovo nurodymų;
1.1.3. imtis visų protingai prieinamų priemonių užtikrinti darbuotojų ar kitų pasitelkiamų subjektų, turinčių prieigą prie Užsakovo valdomų asmens duomenų, patikimumą. Vykdytojas užtikrina, kad su minėtais asmenimis bus sudaryti konfidencialumo susitarimai, arba juos saistys teisiškai įpareigojantys konfidencialumo įsipareigojimai;
1.1.4. atsižvelgdamas į duomenų tvarkymo pobūdį, imtis protingų priemonių padėti Užsakovui taikyti tinkamas technines ir organizacines priemones, kiek tai įmanoma, kad būtų įvykdyta Užsakovo pareiga atsakyti į duomenų subjektų pateikiamus prašymus, jiems naudojantis BDAR nustatytomis duomenų subjekto teisėmis. Nepaisant to, kas išdėstyta šiame punkte aukščiau, Šalys sutinka, kad už duomenų subjektų ir trečiųjų asmenų paklausimų ir skundų dėl asmens duomenų nagrinėjimą ir sprendimą yra atsakingas Užsakovas;
1.1.5. atsižvelgdamas į duomenų tvarkymo pobūdį bei turimą informaciją, imtis protingų priemonių padėti Užsakovui vykdant konkrečias pareigas pagal Asmens duomenų apsaugos teisės aktų reikalavimus, apimančias tvarkymo saugumą (BDAR 32 str.), pranešimus apie asmens duomenų saugumo pažeidimą (BDAR 33-34 str.), poveikio duomenų apsaugai vertinimą bei išankstines konsultacijas (BDAR 35-36 str.);
1.1.6. Užsakovo prašymu, imtis protingų priemonių nutraukti duomenų tvarkymą po Susitarimo pasibaigimo, ir – jei to pageidauja Užsakovas ir jei kitaip nenumato taikomi Europos Sąjungos ar Lietuvos Respublikos teisės aktai – imtis protingų priemonių ištrinti arba kitaip padaryti neprieinamais ir nenaudojamais, arba grąžinti Užsakovui visus asmens duomenis Užsakovui, kartu ištrinant arba kitaip padarant neprieinamais visas turimas jų kopijas. Pažymėtina, kad Vykdytojas, teikdamas paslaugas pagal Sutartį, veikia kaip mokėjimo paslaugos teikėjas, todėl asmens duomenis tvarko ir saugo galiojančių teisės aktų nustatyta tvarka ir nustatytą terminą.
1.2. Užsakovas įsipareigoja:
1.2.1. tinkamai pagal Asmens duomenų apsaugos teisės aktų reikalavimus informuoti duomenų subjektus apie jų duomenų tvarkymą ir perdavimą Vykdytojui o tais atvejais, kai Vykdytojas yra pasitelkęs subtvarkytoją (-us) (tarpininką-(us)) – ir apie jį (juos).
1.2.2. visus fizinius asmenis (savo darbuotojus, įgaliotinius ar kitus atstovus), kuriuos pasitelkia Sutarties vykdymui, tinkamai informuoti apie tai, kad jų asmens duomenys (vardas,
pavardė, telefono numeris, elektroninio pašto adresas ir kt.) gali būti perduoti Vykdytojui ir gali būti jo tvarkomi Sutarties ir (arba) bet kokio susitarimo dėl paslaugų teikimo vykdymui. Minėti asmenys turi būti informuoti iki jų duomenų Vykdytojui perdavimo momento. Pateikiama informacija turėtų, be kita ko, apimti asmens duomenų tvarkymo tikslus, teisinį pagrindą, saugojimo laikotarpį ir turimas teises (pagal BDAR 13 str. reikalavimus);
1.2.3. tuo atveju, kai Užsakovas reikalauja taikyti specialias technines ir organizacines priemones asmens duomenų, kurių valdytojas jis yra, saugumui užtikrinti, padengti visas Vykdytojo išlaidas, skirtas įgyvendinti tokias specialias technines ir organizacines priemones. Užsakovo nurodymai taikyti specialias technines ir organizacines priemones turi būti pateikti raštu iš anksto prieš mažiausiai 30 (trisdešimt) kalendorinių dienų, suformuluoti aiškiai, konkrečiai, specifiškai ir tokiu būdu, kad juos galėtų suprasti ir realiai įgyvendinti ir taikyti kiekvienas vidutinių sugebėjimų informacinių technologijų ir kitos atitinkamos srities specialistas.
1.3. Susitarimo VI skyriuje yra pateikiama informacija susijusi su Užsakovo valdomų asmens duomenų tvarkymu, kaip to reikalauja BDAR 28 str. 3 dalis. Užsakovas, pateikdamas motyvuotą išankstinį raštišką pranešimą Vykdytojui, gali keisti Susitarimo VI skyriaus nuostatas tik tais išimtiniais atvejais, kai pagrįstai mano, kad toks pakeitimas yra pagrįstas ir reikalingas. Susitarimo VI skyrius nei vienai iš Šalių nesuteikia jokių papildomų teisių ar pareigų. Susitarimo VI skyriaus pakeitimai, atlikti šiame 1.3 punkte numatytu būdu ir tvarka, įsigalioja ir taikomi Vykdytojui ne anksčiau nei praėjus 2 (dviem) mėnesiams po šiame punkte nurodyto Užsakovo pranešimo Vykdytojui, o jei daromi esminiai pakeitimai – Šalys susitaria dėl joms tinkamo ilgesnio pakeitimų taikymo termino. Jeigu Susitarimo VI skyriaus pakeitimai, atlikti šiame 1.3 punkte numatytu būdu ir tvarka, sukelia papildomas išlaidas ar kaštus Vykdytojui, Užsakovas įsipareigoja padengti visas Vykdytojo išlaidas ir kaštus, skirtus įgyvendinti tokius pakeitimus.
II. PAGALBINIAI ASMENS DUOMENŲ TVARKYTOJAI
2.1. Užsakovas Vykdytojui suteikia bendrą ir generalinį leidimą Užsakovo valdomų asmens duomenų tvarkymui pasitelkti pagalbinius asmens duomenų tvarkytojus ir paslaugų teikėjus (toliau – Subtvarkytojai). Vykdytojas gali ir toliau naudotis iki šio Susitarimo pasitelktų Subtvarkytojų paslaugomis, tačiau ne ilgiau negu galioja su jais sudarytos sutartys ar susitarimai. Vykdytojas turi teisę netaikant Susitarime numatytų apribojimų pasitelkti Subtvarkytojus, kurie priklauso tai pačiai susijusių įmonių grupei, kuriai priklauso ir Vykdytojas.
2.2. Vykdytojas, prieš pasitelkdamas naujus Xxxxxxxxxxxxxx, apie tai privalo iš anksto informuoti Xxxxxxxx, o Užsakovas turi teisę, pateikdamas motyvuotą rašytinį panešimą, nesutikti su tokių Subtvarkytojų pasitelkimu. Užsakovas negali nepagristai nesutikti su naujų Subtvarkytojų pasitelkimu. Vykdytojas turi teisę išankstiniu pranešimu Užsakovui pratęsti susitarimus ar sutartis su tais Subtvarkytojais, kurie nurodyti šio Susitarimo 2.1 punkte, ir tokiam pratęsimui nereikia šiame Susitarimo 2.2 punkte nurodyto išankstinio Užsakovo sutikimo, išskyrus atvejus, kai iš esmės pasikeičia sutarčių su tokiais Subtvarkytojais sąlygos tvarkomų asmens duomenų požiūriu.
2.3. Vykdytojas, pasitelkęs Subtvarkytojus jiems nustato ne mažesnės apimties asmens duomenų apsaugos pareigas, negu tos, kurios Vykdytojui yra numatytos šiame Susitarime, visų pirma, pareigą pakankamai užtikrinti, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų Asmens duomenų apsaugos teisės aktų reikalavimus. Vykdytojas išlieka atsakingas Užsakovui už savo pasitelktų Subtvarkytojų veiksmus ar neveikimą tvarkant Užsakovo patikėtus asmens duomenis. Užsakovas Subtvarkytojų atžvilgiu įgyja tokias pat teises, kokias pagal šį Susitarimą turi Vykdytojo atžvilgiu.
2.4. Šio skyriaus nuostatos taikomos tais atvejais, kai Sutartis tarp Užsakovo ir Vykdytojo nėra sudaryta pagal viešuosius pirkimus reglamentuojančius teisės aktus.
III. AUDITAS
3.1. Vykdytojas pateikia Užsakovui visą jo turimą informaciją, kuri yra būtina įrodyti, kad vykdomos Susitarime nustatytos pareigos, ir sudaro sąlygas bei padeda Užsakovui arba jo įgaliotam asmeniui atlikti Susitarimo vykdymo auditą.
3.2. Užsakovas, pageidaudamas įgyvendinti savo teisę atlikti auditą, privalo apie tai tinkamai iš anksto, ne vėliau nei prieš 30 (trisdešimt) kalendorinių dienų, pranešti Vykdytojui ir imtis visų įmanomų priemonių siekiant išvengti galimos žalos Vykdytojui ir Vykdytojo veiklos sutrikdymo.
3.3. Vykdytojas turi teisę nesuteikti leidimo lankytis Vykdytojo patalpose, jeigu:
3.3.1. norintis patekti asmuo nepateikia patikimų įrodymų apie savo tapatybę ir įgaliojimus;
3.3.2. į patalpas siekiama patekti ne darbo valandomis; arba
3.3.3. Vykdytojas per paskutinius 12 (dvylika) mėnesių vykdė vidinį arba išorinį Susitarimo vykdymo auditą ar patikrinimą.
3.4. Šalys susitaria, kad tuo atveju, jei ne vėliau nei prieš 6 (šešis) mėnesius iki Užsakovo prašymo raštu dėl audito atlikimo gavimo, Vykdytojas savo lėšomis atliko įmokų priėmimo ir administravimo paslaugos auditą (vidaus ar išorės), apimantį tvarkomų asmens duomenų ir operacijų su jais patikrą, Vykdytojas gali Užsakovui pateikti šio audito išvadų kopiją ir tokiu atveju bus laikoma, kad Užsakovo teisė atlikti šio Susitarimo III skyriuje numatytą auditą yra tinkamai įgyvendinta.
3.5. Visa pagal šio Susitarimo skyriaus nuostatas atlikto audito ar patikrinimo medžiaga, taip pat Vykdytojo pateikta informacija yra konfidenciali ir be išankstinio Vykdytojo rašytinio sutikimo negali būti atskleista jokiems tretiesiems asmenims. Pažeidus šio punkto nuostatas Užsakovas atlygina nuostolius, kuriuos Vykdytojui sukėlė toks atlikto audito ar patikrinimo medžiagos atskleidimas nesilaikant šiame punkte numatytos tvarkos.
3.6. Tuo atveju, jei kompetentinga institucija reikalauja Užsakovo pateikti audito, įskaitant patikrinimą, rezultatus, Užsakovas apie tai turi iš anksto informuoti Vykdytoją, ir taikomų teisės aktų leidžiama apimtimi su Vykdytoju suderinti kompetentingoms institucijoms pateikiamą medžiagą.
IV. ATSAKOMYBĖ
4.1. Šalis, kuri nevykdo pagal šį Susitarimą prisiimtų įsipareigojimų ar jos vykdymo metu pateikia neteisingus pareiškimus ar garantijas, šio Susitarimo 4.2 punkte numatyta apimtimi atlygina kitos Šalies dėl to atsiradusius nuostolius.
4.2. Nepaisant to, kas nurodyta 4.1. punkte, Šalys neprisiima atsakomybės už kitos Šalies pelno netekimą, reputacijos praradimą, bet kokius kitus netiesioginius nuostolius ir jų padarinių žalą. Bendra Vykdytojo atsakomybė pagal Susitarimą taikomų teisės aktų leidžiama apimtimi ribojama paskutinio 1 (vieno) mėnesio atlygio, sumokėto Vykdytojui už paslaugas pagal Sutartį, dydžiu. Bendra atsakomybė, be kita ko, apima ir baudas, kitas pinigines sankcijas ir/ar mokesčius, mokamus priežiūros institucijoms.
4.3. Vykdytojas nebus atsakingas už jokius Susitarimo ar iš jo išplaukiančius asmens duomenų tvarkymo pažeidimus tais atvejais, kai šio Susitarimo netinkamą vykdymą ar asmens duomenų tvarkymo pažeidimus lėmė netikslios, netinkamos, neteisėtos Užsakovo instrukcijos, netikslūs, nepilni ar nekorektiški (netinkamu formatu pateikti) Užsakovo pateikti asmens duomenys. Užsakovas įsipareigoja pilnai atlyginti visus Vykdytojo patirtus nuostolius, išlaidas ar kaštus, susijusius su Užsakovo klientų ar kitų asmenų pretenzijų, reikalavimų ar ieškinių vykdymu ir tenkinimu, taip pat kompetentingų institucijų nurodymų vykdymu, išskyrus atvejus, kai tokius nuostolius, išlaidas ar kaštus sukėlė paties Vykdytojo tyčia ar didelis neatsargumas pažeidžiant šį Susitarimą.
4.4. Šalis atleidžiama nuo atsakomybės už Susitarimo neįvykdymą, jei Susitarimas neįvykdytas dėl nenugalimos jėgos, t. y., dėl aplinkybių, kurių Šalis negalėjo kontroliuoti bei protingai numatyti Susitarimo pasirašymo metu, ir negalėjo užkirsti kelio šių aplinkybių ar jų pasekmių atsiradimui. Nenugalima jėga nelaikoma tai, kad Šalis neturi reikiamų finansinių išteklių arba Šalies kontrahentai pažeidžia savo prievoles. Susitarimo neįvykdžiusi Šalis apie nenugalimos jėgos aplinkybės atsiradimą bei jos įtaką Susitarimo įvykdymui privalo pranešti kitai Šaliai per 7 (septynias) darbo dienas nuo tos nenugalimos jėgos aplinkybės atsiradimo dienos.
V. BENDROSIOS NUOSTATOS
5.1. Susitarimas įsigalioja nuo 2018 m. gegužės 25 d. ir galioja tol, kol galioja arba yra taikoma Sutartis, taip pat pasibaigus Sutarčiai tiek, kiek reikia tinkamai atlikti likusius su duomenų tvarkymu susijusius įsipareigojimus.
5.2. Susitarimas sudaromas, aiškinamas ir vykdomas pagal Lietuvos Respublikos teisę.
5.3. Visi ginčai ar pretenzijos, kylantys dėl Susitarimo vykdymo, bus sprendžiami pagal Sutartyje įtvirtintas ginčų sprendimo taisykles.
5.4. Susitarimui taikomos visos bendrosios Sutarties nuostatos. Esant prieštaravimų tarp Susitarimo sąlygų ir kitų tarp Šalių sudarytų susitarimų, susijusių su Sutartimi, sąlygų, bus taikomos Susitarimo nuostatos.
VI. INFORMACIJA APIE ASMENS DUOMENŲ TVARKYMĄ
Tvarkymo pobūdis ir tikslas | Duomenų tvarkymo tikslai yra tinkamas UAB Rivilės apskaitos ir verslo valdymo sistemų užtikrinimas, įgytų pagal UAB „Rivilė“ ilgalaikio aptarnavimo sutarties paslaugų teikimą tarp Duomenų valdytojo ir Duomenų tvarkytojo. Tvarkoma tiek asmens duomenų, kiek tai būtina Sutarties ir Vykdytojui taikomų teisės aktų nustatytų reikalavimų įgyvendinimui. |
Tvarkymo pagrindas | Sutarties vykdymas |
Tvarkomų asmens duomenų rūšys | Duomenų tvarkytojui suteikiama prieiga prie visų Duomenų valdytojo automatiniu būdu verslo valdymo sistemoje tvarkomų asmens duomenų, tokių kaip vardas, pavardė, telefono numeris, elektroninio pašto adresas, informacija apie suteiktas paslaugas, banko sąskaitos numeris, kiti Duomenų valdytojo pagal poreikį tvarkomi asmens duomenys (gali būti Gyv. vietos adresas; Asmens kodas, Gimimo data; Sveikatos duomenys; Darbo užmokestis; Santuokinė, šeimyninė padėtis). |
Duomenų subjektų kategorijos | Darbuotojų informacija ir klientų informacija |
Duomenų tvarkymo trukmė | Iki Sutarties pasibaigimo dienos (išskyrus, kai tolesnį tokių duomenų saugojimą numato taikytini teisės aktai, taip pat taikant Susitarimo 1.1.6 punkte numatytas sąlygas ir išimtis). |