SUSITARIMAS DĖL ASMENS DUOMENŲ TVARKYMO
Darbo drabužių nuomos, skalbimo ir aptarnavimo paslaugos
sutarties Nr.
1 priedas
SUSITARIMAS DĖL ASMENS DUOMENŲ TVARKYMO
Šalys, atsižvelgdamos į tai, kad:
(I) 2021 m. d. sudaryta Darbo drabužių nuomos, skalbimo ir aptarnavimo paslaugos pirkimo sutartis Nr. (toliau – Sutartis);
(II) Paslaugos teikėjas, pagal Sutartį teikdamas paslaugas Xxxxxxxxx gavėjui, Xxxxxxxxx gavėjo nustatytais tikslais ir priemonėmis tvarko asmens duomenis;
(III) tęsdamos sutartinius santykius Šalys siekia susitarti dėl nuostatų, kuriomis užtikrinamas Europos Parlamento ir Tarybos reglamento (ES) 2016/679) dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis Duomenų apsaugos reglamentas) (toliau – Reglamentas) reikalavimų įgyvendinimas;
sudaro šį Susitarimą dėl asmens duomenų tvarkymo (toliau – Susitarimas).
1. TAIKYMO SRITIS
1.1. Susitarimu Paslaugos gavėjas (toliau – Duomenų valdytojas) ir Paslaugos teikėjas (toliau – Duomenų tvarkytojas), toliau abu kartu vadinami Šalimis, o kiekvienas atskirai – Šalimi, susitaria dėl bendrųjų asmens duomenų tvarkymo sąlygų Šalims vykdant Sutartį.
1.2. Bet kokios kitos Susitarime vartojamos sąvokos turi tokią reikšmę, kokią joms suteikia Reglamentas ir jį įgyvendinantys ar pakeičiantys teisės aktai.
1.3. Susitarimo nuostatos taikomos tiek, kiek Duomenų tvarkytojas tvarko asmens duomenis Duomenų valdytojo vardu Susitarime nustatytais tikslais.
2. ASMENS DUOMENŲ TVARKYMAS
2.1. Vykdydamos Sutartį Šalys atliks šį asmens duomenų tvarkymą:
2.1.1. asmens duomenų subjektų kategorijos – Xxxxxxxxx gavėjo darbuotojų asmens duomenų tvarkymas;
2.1.2. asmens duomenų tvarkymo tikslas – Paslaugų pirkimo sutarties vykdymas;
2.1.3. asmens duomenų kategorijos – asmens duomenys vardas, pavardė (toliau – asmens duomenys);
2.1.4. asmens duomenų tvarkymo pagrindas – Reglamento 6 straipsnio 1 dalies a) ir f) punktas;
2.1.5. atliekami asmens duomenų tvarkymo veiksmai – asmens duomenų naudojimas vykdant Darbo drabužių nuomos, skalbimo ir aptarnavimo paslaugos pirkimo sutartį (toliau – asmens duomenų tvarkymas);
2.1.6. saugojimo terminai – sutarties vykdymo metu;
2.1.7. kiti duomenų tvarkytojai –jungtinės veiklos dalyviai ar (arba) subtiekėjai, kurių pajėgumais remsis Paslaugos teikėjas vykdydamas Sutartį. Duomenų valdytojas įgalioja Duomenų tvarkytoją pasitelkti kitus duomenų tvarkytojus, kaip nurodyta šioje Sutartyje, su sąlyga, kad Duomenų tvarkytojas tvarkys kitų duomenų tvarkytojų sąrašą ir informuos Duomenų valdytoją apie visus planuojamus pakeitimus, susijusius su kitų duomenų tvarkytojų pasitelkimu ar pakeitimu. Duomenų valdytojas pasilieka galimybę nesutikti su tokiais pakeitimais.
2.2. Paslaugos teikėjas užtikrina, kad iš Paslaugos gavėjo gauti asmens duomenys bus tvarkomi tik teisėtais tikslais ir tik tiek, kiek būtina šiems tikslams įgyvendinti, taip pat užtikrina, kad duomenų subjektų asmens duomenys bus tvarkomi laikantis visų aktualių nacionalinių ar tarptautinių duomenų apsaugos įstatymų ar kitų teisės aktų, taikomų šio Susitarimo galiojimo metu priklausomai nuo konkretaus atvejo Duomenų valdytojui arba Duomenų tvarkytojui (toliau – asmens duomenų apsaugos teisės aktai).
3. BENDROSIOS PAREIGOS
3.1. Duomenų tvarkytojo atliekamas asmens duomenų tvarkymas reglamentuojamas Susitarimu ir asmens duomenų apsaugos teisės aktais, kurie yra privalomi Duomenų tvarkytojui Duomenų valdytojo atžvilgiu ir kuriais nustatoma asmens duomenų tvarkymo dalykas ir trukmė, asmens duomenų tvarkymo pobūdis ir tikslas, asmens duomenų rūšis ir asmens duomenų subjektų kategorijos bei Duomenų valdytojo prievolės ir teisės, kaip nurodyta šiame Susitarime.
3.2. Duomenų tvarkytojas, pagal Susitarimą tvarkydamas asmens duomenis, turi laikytis visų asmens duomenų apsaugos teisės aktų, Valstybinės duomenų apsaugos inspekcijos ar kitų kompetentingų institucijų rekomendacijų. Duomenų tvarkytojas sutinka su visais Susitarimo pakeitimais, atliktais vadovaujantis asmens duomenų apsaugos teisės aktais.
3.3. Duomenų tvarkytojas turi padėti Duomenų valdytojui vykdyti pareigas, numatytas asmens duomenų apsaugos teisės aktuose, įskaitant Duomenų valdytojo pareigą atsakyti į asmenų prašymus pasinaudoti teise susipažinti su apie juos turima informacija bei prašyti asmens duomenis ištaisyti, ištrinti ar apriboti su asmeniu susijusių duomenų tvarkymą.
3.4. Duomenų tvarkytojas negali atlikti jokių veiksmų, dėl kurių Duomenų valdytojas pažeistų asmens duomenų apsaugos teisės aktus.
3.5. Duomenų tvarkytojas turi nedelsdamas informuoti Duomenų valdytoją, jei nėra nurodymų dėl asmens duomenų tvarkymo konkrečioje situacijoje, arba jei nurodymai pažeidžia Susitarimą arba asmens duomenų apsaugos teisės aktus.
3.6. Nesant Duomenų valdytojo išankstinio rašytinio sutikimo, Duomenų tvarkytojas įsipareigoja neatskleisti tvarkomų asmens duomenų jokioms trečiosioms šalims, išskyrus Susitarimo nustatyta tvarka pasitelktus kitus duomenų tvarkytojus.
3.7. Jei asmenys, kompetentingos institucijos ar bet kurios kitos trečiosios šalys Duomenų tvarkytojo prašo informacijos apie pagal Susitarimą tvarkomus asmens duomenis, Duomenų tvarkytojas apie tokį prašymą turi informuoti Duomenų valdytoją. Duomenų tvarkytojas jokiu būdu negali veikti Duomenų valdytojo vardu, arba kaip jo atstovas, ir be išankstinių Duomenų valdytojo nurodymų negali perduoti ar bet kuriuo kitu būdu atskleisti asmens duomenų ar kitos informacijos, susijusios su asmens duomenų tvarkymu, trečiosioms šalims. Tais atvejais, kai Duomenų tvarkytojas pagal asmens duomenų apsaugos teisės aktus privalo atskleisti Duomenų valdytojo vardu tvarkomus asmens duomenis, jis turi nedelsdamas informuoti Duomenų valdytoją apie prašymą atskleisti asmens duomenis.
4. KITI DUOMENŲ TVARKYTOJAI
4.1. Duomenų tvarkytojas, norėdamas pasitelkti kitą duomenų tvarkytoją, turi gauti išankstinį Duomenų valdytojo leidimą pasitelkti konkretų duomenų tvarkytoją arba bendrą rašytinį leidimą. Bendro rašytinio leidimo atveju Duomenų tvarkytojas turi informuoti Duomenų valdytoją apie kito duomenų tvarkytojo pasitelkimą ar jo pakeitimą, kad Duomenų valdytojas turėtų galimybę nesutikti, kad duomenų tvarkytojas būtų pasitelktas ar pakeistas.
4.2. Duomenų tvarkytojas turi užtikrinti, kad pasitelkti kiti duomenų tvarkytojai rašytiniu sutikimu įsipareigotų laikytis Susitarime nustatytų asmens duomenų tvarkymo taisyklių.
4.3. Duomenų valdytojas gali paprašyti, kad Duomenų tvarkytojas atliktų kito duomenų tvarkytojo auditą arba pateiktų patvirtinimą, kad toks auditas jau įvyko, arba, jei įmanoma, padėtų Duomenų valdytojui gauti audito ataskaitą iš trečiųjų šalių, siekiant užtikrinti, kad būtų laikomasi asmens duomenų apsaugos teisės aktų. Pateikęs rašytinį prašymą, Duomenų valdytojas turi teisę gauti Duomenų tvarkytojo sutarčių su kitais duomenų tvarkytojais dėl asmens duomenų tvarkymo kopijas.
5. PERDAVIMAS Į TREČIĄSIAS VALSTYBES
5.1. Duomenų tvarkytojas, be išankstinio konkretaus Duomenų valdytojo leidimo, negali perduoti asmens duomenų už Europos ekonominės erdvės (toliau – EEE) ribų. Jei Duomenų valdytojas patvirtina tokį asmens duomenų perdavimą, duomenų perdavimo šalys turi sudaryti privalomą susitarimą pagal galiojantį Europos Komisijos sprendimą dėl sutarčių standartinių sąlygų, nustatytų asmens duomenų perdavimui trečiosiose šalyse įsikūrusiems duomenų tvarkytojams, arba užtikrinti, kad būtų bent viena Reglamente nustatyta sąlyga, leidžianti perduoti asmens duomenis už EEE ribų.
5.2. Duomenų tvarkytojas, pasitelkdamas kitus duomenų tvarkytojus, esančius už EEE ribų, Susitarimo 4.1 punkte nustatyta tvarka Duomenų valdytojo vardu sudaro privalomą susitarimą su juridiniu asmeniu, esančiu už EEE ribų.
5.3. Duomenų valdytojas, esant pagrįstoms aplinkybėms, gali atšaukti leidimą perduoti asmens duomenis į trečiąsias valstybes, kaip nurodyta Susitarimo 5.1 punkte. Tokiu atveju Duomenų tvarkytojas nedelsdamas nutraukia asmens duomenų perdavimą į trečiąsias valstybės ir pateikia rašytinį nutraukimo patvirtinimą.
6. INFORMACIJOS SAUGUMAS
6.1. Duomenų tvarkytojas tvarko asmens duomenis Duomenų valdytojo vardu pagal Duomenų valdytojo raštu pateiktus nurodymus, įskaitant nurodymą dėl asmens duomenų perdavimo trečiosioms šalims ar tarptautinėms organizacijoms, išskyrus atvejus, kai Duomenų tvarkytojas privalo tai daryti pagal jam taikomus teisės aktus. Tokiu atveju Duomenų tvarkytojas turi raštu informuoti Duomenų valdytoją apie tokį reikalavimą, prieš Duomenų tvarkytojui pradedant tvarkyti asmens duomenis, išskyrus atvejus, kai teisės aktai tai draudžiama dėl svarbių viešojo intereso priežasčių.
6.2. Šalys užtikrina, kad darbuotojai, tvarkantys asmens duomenis Šalių vardu, laikytųsi konfidencialumo įsipareigojimų, susijusių su pagal Sutartį tvarkomais asmens duomenimis, pasirašytų
konfidencialumo pasižadėjimus (įrašyti, jei taikoma) ir kad tokie darbuotojai būtų tinkamai apmokyti, kad atitiktų Sutartyje ir asmens duomenų apsaugos teisės aktuose išdėstytus duomenų apsaugos reikalavimus. Šalys užtikrina, kad konfidencialumo pareiga tokiems darbuotojams būtų taikoma ir po Sutarties nutraukimo.
6.3. Šalys įsipareigoja nedelsdamos informuoti viena kitą, jeigu mano, kad kokie nors kitos Šalies veiksmai ir / ar neveikimas ir / ar nurodymai pažeidžia asmens duomenų apsaugos teisės aktus.
6.4. Duomenų tvarkytojas, siekdamas padėti Duomenų valdytojui vykdyti teisines prievoles, įskaitant prievolę įgyvendinti duomenų saugumo priemones ir atlikti poveikio duomenų apsaugai vertinimą, užtikrina, kad ėmėsi tinkamų techninių ir organizacinių priemonių tvarkomiems asmens duomenims apsaugoti ir laikosi visų Duomenų valdytojo nurodytų duomenų saugumo politikų ir instrukcijų. Priemonės turi užtikrinti tinkamą saugumo lygį, atsižvelgiant į:
6.4.1. esamas technines galimybes;
6.4.2. priemonių sąnaudas;
6.4.3. ypatingą riziką, susijusią su asmens duomenų tvarkymu;
6.4.4. specialių kategorijų asmens duomenų tvarkymą.
6.5. Duomenų tvarkytojas turi užtikrinti pakankamą asmens duomenų saugumo lygį. Duomenų tvarkytojas saugo asmens duomenis nuo sunaikinimo, pakeitimo, neteisėto atskleidimo ar neteisėtos prieigos. Asmens duomenys taip pat saugomi nuo visų kitų neteisėtų asmens duomenų tvarkymo būdų. Atsižvelgdamas į techninių galimybių̨ išsivystymo lygį, įgyvendinimo sąnaudas bei asmens duomenų̨ tvarkymo pobūdį̨ ,
aprėptį̨ , kontekstą̨ ir tikslus, taip pat asmens duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo
pavojus fizinių asmenų̨ teisėms ir laisvėms, Duomenų̨ tvarkytojas įgyvendina tinkamas technines ir organizacines priemones, kad būtų̨ užtikrintas pavojų̨ atitinkančio lygio saugumas, įskaitant inter alia (jei reikia):
6.5.1. pseudonimų suteikimą asmens duomenims ir jų šifravimą;
6.5.2. gebėjimą̨ užtikrinti nuolatinį asmens duomenų tvarkymo sistemų̨ ir paslaugų konfidencialumą̨, vientisumą, prieinamumą ir atsparumą;
6.5.3. gebėjimą̨ laiku atkurti sąlygas ir galimybes naudotis asmens duomenimis fizinio ar techninio incidento atveju;
6.5.4. reguliarų techninių ir organizacinių priemonių̨ , kuriomis užtikrinamas asmens duomenų̨ tvarkymo saugumas, tikrinimo, vertinimo ir veiksmingumo vertinimo procesą.
6.6. Įgyvendindamas technines ir organizacines priemones, nurodytas Susitarimo 6.2 punkte, Duomenų tvarkytojas taiko šias priemones:
6.6.1. fizinės prieigos apsaugą. Neprižiūrimos Duomenų tvarkytojo patalpos su kompiuterine įranga ir asmenine informacija turi būti laikomos užrakintos, siekiant apsaugoti asmens duomenis nuo neteisėto naudojimo, poveikio ar vagystės;
6.6.2. leidimų kontrolę (prieiga prie asmens duomenų galima per techninę leidimų kontrolės sistemą). Leidimas turi galioti tik tiems asmenims, kuriems asmens duomenys reikalingi tiesioginėms darbo funkcijoms atlikti. Vartotojo vardai ir slaptažodžiai turi būti privatūs ir negali būti perduoti kitiems subjektams. Taip pat turi būti nustatytos leidimų suteikimo ir panaikinimo procedūros;
6.6.3. saugią komunikaciją, kai išoriniai duomenų perdavimo ryšiai apsaugomi naudojant technines funkcijas, užtikrinančias leidimą prisijungti, taip pat turinio šifravimą tranzitu perduodamuose duomenų perdavimo kanaluose už Duomenų tvarkytojo kontroliuojamų sistemų;
6.6.4. Paslaugos teikėjų priežiūrą Duomenų tvarkytojo patalpose.
7. PRANEŠIMAS APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ
7.1. Duomenų tvarkytojas, sužinojęs apie bet kokią neleistiną prieigą prie asmens duomenų ar kitą saugumo incidentą (toliau – asmens duomenų saugumo pažeidimas), turi imtis visų reikalingų veiksmų ir nepagrįstai nedelsdamas, bet ne vėliau kaip per 24 valandas pranešti apie tai Duomenų valdytojui. Pranešime turi būti:
7.1.1. aprašytas asmens duomenų saugumo pažeidimo pobūdis, įskaitant, jeigu įmanoma, atitinkamų asmenų kategorijas ir apytikslį skaičių, taip pat atitinkamų asmens duomenų įrašų kategorijas ir apytikslį skaičių;
7.1.2. nurodyta duomenų̨ apsaugos pareigūno arba kito kontaktinio asmens, galinčio suteikti daugiau informacijos, vardas ir pavardė (pavadinimas), kontaktiniai duomenys;
7.4.3. aprašytos tikėtinos asmens duomenų saugumo pažeidimo pasekmės asmens duomenų subjektams;
7.1.4. aprašytos priemonės, kurių ėmėsi arba pasiūlė imtis Duomenų̨ valdytojas, kad būtų̨ pašalintas asmens duomenų̨ saugumo pažeidimas, įskaitant priemones galimoms neigiamoms pažeidimo pasekmėms sumažinti.
7.2. Duomenų tvarkytojas privalo užtikrinti, kad prieiga prie asmens duomenų būtų suteikta tik tiems darbuotojams, kuriems tai būtina tiesioginėms darbo funkcijoms pagal Sutartį atlikti. Duomenų tvarkytojas užtikrina, kad tokie darbuotojai laikytųsi Susitarime Duomenų tvarkytojui nustatytų konfidencialumo įsipareigojimų.
7.3. Susitarime numatyti konfidencialumo įsipareigojimai lieka galioti ir po Sutarties pasibaigimo ar nutraukimo.
7.4. Šalys visapusiškai bendradarbiauja atliekant asmens duomenų saugumo pažeidimų tyrimą ir imasi visų reikalingų priemonių, kad dar labiau apribotų asmens duomenų, susijusių su asmens duomenų saugumo pažeidimu, atskleidimą be leidimo ar tvarkymą.
7.5. Gavusi kitos Šalies prašymą, Šalis padeda prašančiajai Šaliai pranešti apie asmens duomenų saugumo pažeidimus susijusiems asmens duomenų subjektams ir atitinkamoms institucijoms.
8. ATSAKOMYBĖ
8.1. Xxxxx atsako už savo pareigų pagal Susitarimą nevykdymą.
8.2. Be žalos atlyginimo už pažeidimą, padarytą nesilaikant Susitarimo ir (arba) kitų sutarčių, Duomenų valdytojas turi teisę gauti iš Duomenų tvarkytojo žalos atlyginimą už visas patirtas išlaidas, mokesčius ir baudas pagal asmens duomenų apsaugos teisės aktus, jei Duomenų tvarkytojo arba jo pasitelktų kitų duomenų tvarkytojų atliktas asmens duomenų tvarkymas nulėmė žalos atsiradimą.
9. KITOS NUOSTATOS
9.1. Esant pagrįstam Duomenų valdytojo reikalavimui, Duomenų tvarkytojas turi įdiegti papildomas technines ir organizacines saugumo priemones ar įgyvendinti tvarkymo pokyčius be papildomų išlaidų. Apie bet kokius Duomenų valdytojo nurodymus, susijusius su saugumu ir asmens duomenų tvarkymu, bei patikslinimus Duomenų tvarkytojui pranešama per objektyviai pagrįstą laiką, kad Duomenų tvarkytojas galėtų atlikti reikiamus procedūrų pakeitimus.
9.2. Duomenų tvarkytojas negali perduoti Susitarimo vykdymo be Duomenų valdytojo patvirtinimo.
9.3. Susitarimo turinį sudaranti ir / ar su ja susijusi informacija, taip pat vykdant Susitarimą Šalių viena kitai tiek sąmoningai, tiek atsitiktinai atskleista bet kokia kita informacija yra konfidenciali. Ši informacija tiek Sutarties galiojimo metu, tiek Sutarčiai pasibaigus tretiesiems asmenims gali būti atskleista tik tiek, kiek yra būtina Sutarčiai tinkamai vykdyti, ir tik iš anksto gavus atitinkamą kitos Šalies rašytinį sutikimą.
Paslaugos gavėjas | Xxxxxxxxx teikėjas |
UAB „Busturas“ | ..................................... |
Xxxxxx x. 2, LT- 76161 Šiauliai | ..................................... |
Įmonės kodas 144127993 | ..................................... |
PVM mokėtojo kodas LT441279917 | ..................................... |
Tel. (8 41) 592 000 | ..................................... |
Faks. (8 41) 545 296 | ..................................... |
..................................... | |
A. s. XX00 0000 0000 0000 0000 | ..................................... |
Bankas: AB Šiaulių bankas | |
Banko kodas 7180 | ..................................... |
Generalinis direktorius | ..................................... |
Xxxxxx Xxxxxxxxx | |
A.V. | A.V. |