Duomenų tvarkymo sutartis
Duomenų tvarkymo sutartis
(pagal XXXX 00 xxx.)
tarp
Naudotojo (kaip apibrėžta Pagrindinėje sutartyje) (toliau vadinamo „Užsakovu“)
ir
„TB Digital Services GmbH“, Xxxxx-Xxxxxxxxx-Xxx. 00 - 00, 00000 Xxxxxxxxxx
(xxxxxx vadinamo „Vykdytoju“)
(toliau Užsakovas ir Vykdytojas kartu vadinami „Šalimis“, o kiekvienas atskirai – „Šalimi“).
Preambulė
(A) Xx xxxxxxx xxxxxxxx xxxxxxxx (xxxxxx vadinama „Sutartimi“) taikoma visoms veikloms, kurias atlikdamas Vykdytojas susiduria su Užsakovo, trečiųjų šalių paslaugų teikėjų arba kitų subjektų, kuriems daromas poveikis, asmens duomenimis (kaip apibrėžta 1.5 punkte) ryšium su 2 punkte aprašyta veikla pagal Platformos bendrąsias naudojimo sąlygas ir pagal jas galimai sudarytas atskiras sutartis dėl kitų paslaugų (toliau vadinama „Pagrindine sutartimi“).
(B) Pagal šią Sutartj Užsakovas veikia kaip duomenų valdytojas, o Vykdytojas – kaip duomenų tvarkytojas, tvarkydamas duomenis pagal Vokietijos duomenų apsaugos jstatymo 28 str. (kaip apibrėžta toliau).
Šalys susitaria:
1 Apibrėžtys ir aiškinimas
1.1 „Europos teisė“ yra Europos Sąjungos taikoma teisė, dabartinių Europos Sąjungos valstybių narių taikomi jstatymai ir kiekvienos vėliau Europos Sąjungos valstybe nare tapsiančios valstybės taikomi jstatymai.
1.2 „Europos duomenų apsaugos teisė“ yra Europos Sąjungos taikoma teisė, susijusi su asmens duomenų tvarkymu (ypač Bendrasis duomenų apsaugos reglamentas), dabartinių Europos Sąjungos valstybių narių taikomi jstatymai, susiję su asmens duomenų tvarkymu (ypač galiojančios redakcijos Vokietijos duomenų apsaugos jstatymas), ir kiekvienos vėliau Europos Sąjungos valstybe nare tapsiančios valstybės taikomi jstatymai, susiję su asmens duomenų tvarkymu.
1.3 „BDAR“ yra „2016 m. balandžio 27 d. EUROPOS PARLAMENTO IR TARYBOS REGLAMENTAS (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas)“.
1.4 „VDAĮ“ yra Vokietijos duomenų apsaugos jstatymas.
1.5 „Asmens duomenys“ turi tokią pat prasmę, kaip apibrėžta VDAĮ / BDAR.
2 Duomenų tvarkymo dalykas / užsakovo pareigos
2.1 Ši Sutartis reglamentuoja Šalių jsipareigojimus, susijusius su Vykdytojo atliekamu Užsakovo asmens duomenų tvarkymu pagal 1 priede jvardytą Pagrindinę sutartj.
2.2 Duomenų tvarkymo dalykas ir trukmė, duomenų tvarkymo pobūdis ir tikslas, asmens duomenų rūšys, subjektų, kuriems daromas poveikis, kategorijos ir duomenų valdytojo teisės bei pareigos nustatytos šios Sutarties 1 priede ir Pagrindinėje sutartyje pateiktame teikiamų paslaugų apraše.
2.3 Užsakovas išlieka atsakingas BDAR požiūriu ir užtikrina visų reikalavimų, susijusių su subjektų, kuriems daromas poveikis (vairuotojų ir kitų asmenų), asmens duomenų tvarkymu, vykdymą. Užsakovas laikosi jsipareigojimo teikti informaciją ir užtikrina, kad asmens duomenų tvarkymas būtų grindžiamas duomenų apsaugos teisiniu pagrindu (pavyzdžiui, sudarant bendrovės sutartis, apribojant užimtumą jdarbinimo tikslais).
3 Vykdytojo pareigos
3.1 Vykdytojas tvarko Užsakovo asmens duomenis tik 1 priede nurodytais tikslais ir pagal Pagrindinės sutarties nuostatas, taip pat pagal užsakyme ir 1 priede dokumentais jformintus Užsakovo nurodymus; pagal šią Sutartj Vykdytojas netvarko asmens duomenų jokiu kitu tikslu. Ši nuostata netaikoma tvarkymui, atliekamam ne pagal šią Sutartj ir skirtam savoms reikmėms pagal Pagrindinės sutarties
8.3.4 punktą. Asmens duomenų kopijos ir dublikatai nedaromi be Užsakovo žinios. Šis reikalavimas netaikomas atsarginėms kopijoms, jeigu jos būtinos siekiant užtikrinti tinkamą duomenų tvarkymą, ir duomenims, jeigu jie reikalingi laikantis jstatymų reikalavimų dėl duomenų saugojimo.
3.2 Baigęs teikti duomenų tvarkymo paslaugas, Vykdytojas turi Užsakovo pasirinkimu jam perduoti visus Užsakovo asmens duomenis ir (arba) juos sunaikinti pagal duomenų apsaugos reikalavimus, jeigu tai neprieštarauja nustatytiems jstatymų reikalavimams dėl duomenų saugojimo terminų ir jeigu Vykdytojas nevykdo duomenų tvarkymo ne pagal šią Sutartj savo reikmėms pagal Pagrindinės sutarties
8.3.4 punktą. Tas pats galioja bandomiesiems ir nekokybiškiems duomenims. Užsakovui paprašius, visiškas duomenų sunaikinimas arba perdavimas Užsakovui patvirtinamas raštu nurodant datą.
3.3 Atsižvelgiant j paslaugų apimtj, Vykdytojas suteikia Užsakovui paramą vykdant duomenų subjekto teises (informacijos, taisymo, atsisakymo, sunaikinimo) pagal Užsakovo nurodymus.
3.4 Vykdytojas patvirtina, kad jis – jeigu tai teisiškai privaloma – paskyrė jmonės duomenų apsaugos priežiūros pareigūną (žr. VDAĮ 38 xxx. XXXX 00 xxxxxx).
3.5 Vykdytojas privalo nedelsdamas pranešti Užsakovui apie duomenų apsaugos priežiūros institucijų patikrinimų rezultatus, jeigu jie susiję su Užsakovo duomenų tvarkymu. Vykdytojas per pagrjstą laikotarpj pašalina nustatytus trūkumus ir apie tai praneša Užsakovui.
3.6 Vykdytojas ir Užsakovo patvirtinti subrangovai tvarko duomenis tik Vokietijos Federacinės Respublikos teritorijoje, Europos Sąjungos valstybėse narėse arba kitoje Europos ekonominės erdvės susitarimą pasirašiusioje valstybėje. Norint perkelti duomenų tvarkymą j kitą valstybę (toliau vadinamą „trečiąja valstybe“), prieš tai reikia gauti aiškų Užsakovo sutikimą, ir toks perkėlimas galimas tik tuo atveju, jeigu jvykdomi specialūs reikalavimai dėl duomenų perdavimo j trečiąsias valstybes (žr. BDAR 40 str.). Tam būtina pateikti duomenis 1 priede ir, prireikus, pridėti papildomus (Sutarties) dokumentus.
3.7 Vykdytojas privalo supažindinti darbus atliekančius darbuotojus su jiems svarbiomis duomenų apsaugos nuostatomis, juos jpareigoti užtikrinti duomenų konfidencialumą (žr. XXXX 00 xxx. 3b p.) bei imtis atitinkamų veiksmų, siekiant užtikrinti, kad šių darbuotojų asmens duomenys būtų tvarkomi tik pagal Užsakovo nurodymus.
3.8 Viso Sutarties galiojimo laikotarpiu Vykdytojas reguliariai stebi, kaip laikomasi šios Sutarties duomenų apsaugos reikalavimų ir dokumentais jformintų Užsakovo nurodymų. Patikrų rezultatai paprašius pateikiami Užsakovui, jeigu jie svarbūs Užsakovo duomenų tvarkymui. Stebėsenos priemonės aprašytos duomenų apsaugos koncepcijoje, kuri paprašius pateikiama Užsakovui.
3.9 Vykdytojas, atsižvelgdamas j duomenų tvarkymo pobūdj, padeda Užsakovui taikydamas tinkamas technines ir organizacines priemones, kiek tai jmanoma, kad būtų jvykdyta duomenų valdytojo prievolė atsakyti j prašymus pasinaudoti BDAR III skyriuje nustatytomis duomenų subjekto teisėmis. Užsakovas turi padengti Vykdytojo patirtas išlaidas.
3.10 Vykdytojas, atsižvelgdamas j duomenų tvarkymo pobūdj ir turimą informaciją, padeda Užsakovui vykdyti BDAR 32–36 str. nurodytas prievoles.
4 Techninės ir organizacinės duomenų apsaugos priemonės
4.1 Vykdytojas jgyvendina tinkamas technines ir organizacines duomenų apsaugos priemones (žr. XXXX 00 xxx.) Xxxxxxxxxx ypač privalo jgyvendinti šios Sutarties 2 priede jtvirtintas technines ir organizacines priemones. Šias priemones Sutarties galiojimo metu Vykdytojas suderina su techninių ir organizacinių priemonių pažanga, nesumažindamas apsaugos lygio. Svarbūs pakeitimai derinami raštu.
4.2 Užsakovui paprašius, Vykdytojas pateikia jrodymus, kaip faktiškai jgyvendinamos techninės ir organizacinės priemonės.
4.3 Vykdytojas privalo pildyti atitinkamus dokumentus apie duomenų tvarkymą, pagal kuriuos Užsakovui gali jrodyti tinkamą duomenų tvarkymą. Įrodyti taip pat galima taikant patvirtintą sertifikavimo mechanizmą pagal XXXX 00 xxx. xxxxxxxxx.
5 Subrangovas
5.1 Vykdytojui leidžiama pasitelkti 1 priede nurodytą subrangovą.
5.2 Taigi iš esmės leidžiama jtraukti daugiau subrangovų. Vykdytojas praneša Užsakovui apie kiekvieną numatomą pakeitimą, susijusj su subrangovų jtraukimu arba pakeitimu; Užsakovas gali prieštarauti numatomiems pakeitimams. Pagal šią tvarką subrangos santykiais nelaikomos tokios trečiųjų šalių paslaugos, kuriomis Vykdytojas pasinaudoja kaip pagalbinėmis paslaugomis, siekdamas palengvinti sutarties vykdymą. Tokioms paslaugoms priskiriamos, pvz., ryšių, valymo, auditoriaus arba duomenų laikmenų utilizavimo paslaugos. Vis dėlto Vykdytojas, užtikrindamas Užsakovo duomenų apsaugą ir saugumą, taip pat trečiosioms šalims patikėtų pagalbinių paslaugų atveju privalo sudaryti tinkamus ir jstatymams neprieštaraujančius susitarimus ir jgyvendinti kontrolės priemones.
5.3 Jeigu Vykdytojas pasinaudoja subrangovo paslaugomis, tai Vykdytojas turi užtikrinti, kad pagal (i) subrangovo ir Vykdytojo pasirašomą sutartj arba (ii) kitą teisinę priemonę pagal Europos duomenų apsaugos teisę būtų nustatomos tokios pačios duomenų apsaugos prievolės, kokios nustatomos Vykdytojui pagal šią Sutartj. Tokiu atveju Vykdytojas turi ypač užtikrinti, kad subrangovas suteiktų pakankamas garantijas, jog tinkamos techninės ir organizacinės priemonės bus jgyvendintos taip, kad asmens duomenys būtų tvarkomi pagal BDAR reikalavimus. Užsakovui pateikus prašymą raštu, Vykdytojas pateikia Užsakovui informaciją apie svarbų subrangos sutarties turinj ir duomenų apsaugos prievolių vykdymą, o prireikus leidžia susipažinti su svarbiais sutarties dokumentais. Komercines sąlygas Vykdytojas gali retušuoti. Užsakovas privalo laikytis konfidencialumo reikalavimų dėl gautos informacijos.
6 Teisė tikrinti
6.1 Užsakovas turi teisę tikrinti, kaip laikomasi šios Sutarties jsipareigojimų (jskaitant pateiktus nurodymus), arba pavesti tai atlikti savo paskirtai tinkamai trečiajai šaliai.
6.2 Vykdytojas suteikia Užsakovui deramą pagalbą. Vykdytojas ypač suteikia prieigą prie duomenų tvarkymo jrangos ir suteikia reikiamą informaciją.
6.3 Tuo atveju, jeigu patikrinimo rezultatai parodo, kad Vykdytojas ir (arba) duomenų tvarkymas neatitinka šios Sutarties ir (arba) Europos duomenų apsaugos teisės nuostatų, Vykdytojas imasi visų šalinimo priemonių, kad būtų užtikrinamas šios Sutarties ir (arba) Europos duomenų apsaugos teisės nuostatų vykdymas.
6.4 Išlaidas, kurias Užsakovas patyrė atlikdamas patikras, padengia Užsakovas. Vykdytojas gali reikalauti iš Užsakovo padengti Išlaidas, kurias Vykdytojas patyrė dėl Užsakovo patikrų, jeigu Užsakovas jas atlieka arba paveda atlikti dažniau nei kartą per kalendorinius metus.
6.5 Apie patikras reikia laiku pranešti Vykdytojui ir jos neturi nepamatuotai trukdyti Vykdytojui vykdyti veiklą.
7 Prievolės pranešti
Nustatęs duomenų tvarkymo klaidų ar neatitikimų arba kilus jtarimų dėl duomenų apsaugos pažeidimo (toliau kartu vadinama „Incidentu“), Vykdytojas nedelsdamas apie tai tinkamai praneša Užsakovui. Incidentą, jskaitant visas faktines aplinkybes, jo poveikj ir visas šalinimo priemones, Vykdytojas turi jforminti dokumentais ir, Užsakovui paprašius, šią dokumentais jformintą informaciją nedelsiant perduoti raštu arba elektroniniu būdu Xxxxxxxxx.
0 Xxxxxxxxxx ir atleidimas nuo atsakomybės
8.1 Vykdytojas atsako už žalą, patirtą dėl Vykdytojo arba jo jgaliotų subjektų tyčinės veikos ir (arba) didelio neatsargumo. Už žalą, patirtą dėl Vykdytojo arba jo jgaliotų subjektų paprasto neatsargumo, Vykdytojas atsako tik tuo atveju, jeigu buvo nevykdoma pagrindinė prievolė. Pagrindinės prievolės yra svarbiausios sutarties prievolės, kurios sudaro būtinas prielaidas sutarčiai tinkamai vykdyti ir kurių jvykdymo tikėjosi ir galėjo tikėtis Užsakovas. Jeigu tokios pagrindinės prievolės nevykdomos dėl paprasto neatsargumo, tai Vykdytojo atsakomybė apsiriboja jprastai numatoma žala.
8.2 Užsakovas atleidžia Vykdytoją nuo atsakomybės už visus trečiųjų šalių (jskaitant subjektus, kuriems daromas poveikis ir (arba) duomenų apsaugos institucijas) reikalavimus, žalą ir išlaidas, atsiradusius dėl Užsakovo padaryto šios Sutarties ir (arba) Europos duomenų apsaugos teisės nuostatų pažeidimo; xx xxxxxxxx xxxxxxxxx, xxxxx Xxxxxxxxx nekaltas dėl padaryto pažeidimo arba Vykdytojas prisidėjo padarant pažeidimą.
9 Galiojimo laikas
10 Kita
10.1 Už šioje Sutartyje nurodytas Vykdytojo paslaugas atsiskaitoma Pagrindinėje sutartyje nustatyta apmokėjimo tvarka.
10.2 Jeigu Vykdytojo disponuojamiems Užsakovo asmens duomenims kyla pavojus dėl trečiųjų šalių taikomų priemonių (pvz., arešto arba konfiskavimo), bankroto ar susitarimo su kreditoriais procedūros arba kitų panašių jvykių, tai Vykdytojas turi nedelsdamas apie tai pranešti Užsakovui.
10.3 Jeigu šios Sutarties atskiros nuostatos yra negaliojančios arba nustoja galioti, tai neturi jtakos kitų nuostatų galiojimui. Nuostatai nustojus galioti, Šalys sutaria dėl pakaitinės tvarkos, kuri dalykiniu ir ekonominiu požiūriu atitiktų Sutarties tikslą.
10.4 Tuo atveju, jeigu Didžioji Britanija pasitrauks iš Europos Sąjungos, Vykdytojas jsipareigoja jau dabar sudaryti visus susitarimus ir imtis visų veiksmų, kurie yra būtini siekiant tinkamai laikytis duomenų apsaugos teisės nuostatų, Didžiojoje Britanijoje vykdant duomenų tvarkymą pagal sutartis, jai pasitraukus iš Europos Sąjungos. Jeigu iki pasitraukimo datos Europos Komisija neturės teigiamo sprendimo dėl tinkamumo, šiandien galiojančiu požiūriu turi būti taikomos standartinės duomenų apsaugos nuostatos pagal 46 str. 2 d. c) punktą dėl asmens duomenų perdavimo duomenų tvarkytojui, kurio buveinė yra trečiosiose valstybėse, kuriose neužtikrinamas tinkamas apsaugos lygis.
10.5 Xx xxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx 00 kalbų, tačiau nustačius neatitikimų pirmenybė teikiama originalo versijai vokiečių kalba.
10.6 Šiai Sutarčiai galioja Vokietijos Federacinės Respublikos jstatymai, išskyrus Jungtinių Tautų konvenciją dėl tarptautinio prekių pirkimo-pardavimo sutarčių. Išskirtinė jurisdikcija suteikta Miuncheno teismui.
10.7 Toliau nurodyti priedai yra Sutarties sudedamoji dalis:
1 priedas. Duomenų tvarkymo aprašas
2 priedas. Techninės ir organizacinės priemonės
1 PRIEDAS. Duomenų tvarkymo aprašas
1 Pagrindinė sutartis
Pagrindinė sutartis pagal Sutarties pagrindinės dalies 2.1 punktą yra „Platformos bendrosios naudojimo sąlygos“.
Pavadinimai / šalys: „TB Digital Services GmbH“, Xxxxx-Xxxxxxxxx-Xxx. 00 - 00, 00000 Xxxxxxxxxx /
Xxxxxxxxxx
2 Sutarties dalykas ir trukmė
Užsakymo dalykas nustatytas Pagrindinės sutarties 1 punkte (Dalykas) ir 8 punkte (Naudotojo duomenys ir duomenų apsauga), o užsakymo trukmė nustatyta Pagrindinės sutarties 7 punkte (Sutarties sudarymas, sutarties trukmė ir teisės nutraukti sutartj).
3 Duomenų tvarkymo apimtis, pobūdis ir tikslas / duomenų tvarkymo priemonės
Asmens duomenų tvarkymo apimtis, pobūdis ir tikslas nustatyti Pagrindinės sutarties 8 punkte.
Išsamesnis užsakymo dalyko apimties, pobūdžio ir tikslo aprašymas:
kad galėtų teikti siūlomas paslaugas (kaip apibrėžta Pagrindinėje sutartyje), Vykdytojas turi gauti Užsakovo asmens duomenis per susietąsias transporto priemones arba mobiliuosius jrenginius (ir prireikus trečiųjų šalių paslaugų teikėjo, su kuriuo naudotojas susitarė dėl trečiųjų šalių paslaugų, perduodamus asmens duomenis) paslaugoms teikti būtina apimtimi ir perduoti Vykdytojo platformai bei joje jrašyti. Platformoje jrašytus duomenis Vykdytojas tvarko paslaugoms teikti būtina apimtimi (pvz., pagal asmens duomenis analizuoti ir vertinti vairuotojų vairavimo ypatumus ir susietosios transporto priemonės arba mobiliojo jrenginio naudojimą ir pagal tai teikti specialiai Užsakovui pritaikytus pasiūlymus, pvz., vairuotojų mokymus, jrangą ir pasiūlymus efektyvumui didinti). Tikslią apimtj, pobūdj ir tikslą ypač lemia papildomai sudaromos atskiros sutartys.
4 Susijusių subjektų grupė (asmenų, kuriems daromas poveikis, kategorijos)
Duomenų tvarkymas daro poveikj šioms asmenų kategorijoms:
• vairuotojai ir kiti darbuotojai (Užsakovo bendrovės darbuotojai), pvz.,
darbuotojai, praktikantai, kandidatai, buvusieji darbuotojai;
• vairuotojai, kurie nėra darbuotojai;
• kontaktiniai asmenys, dirbantys pakrovimo / iškrovimo paslaugų jmonėse arba kitiems Užsakovo
verslo partneriams; ir
• koncerno darbuotojai (kitos Užsakovo verslo grupės bendrovės darbuotojai).
5 Asmens duomenų rūšys
Duomenų tvarkymas apima tokias asmens duomenų rūšis:
• xxxxxxxxxx xxxxxxx ir vairuotojo identifikacinis numeris;
• transporto priemonės identifikacinis numeris;
• duomenys apie buvimo vietą;
• duomenys apie vairavimo ir poilsio laiką;
• duomenys apie vairavimo ypatumus;
• duomenys apie susietosios transporto priemonės būseną;
• duomenys apie priekabos būseną;
• duomenys apie papildomos jrangos, agregatų ir kitų transporto priemonės konstrukcinių dalių būseną;
• duomenys apie galimai susietų IOT prietaisų būseną;
• duomenys apie mobiliųjų jrenginių būseną;
• krovinio duomenys;
• užsakymo duomenys; ir
• duomenys apie kontaktinius asmenis, dirbančius pakrovimo / iškrovimo paslaugų jmonėse arba kitiems Užsakovo verslo partneriams.
6 Dokumentais jforminti nurodymai
Jais Užsakovas nurodo Vykdytojui tvarkyti asmens duomenis kaip nurodyta Pagrindinės sutarties 8 punkte.
Tvarkymas ypač apima tokius punktus:
• Asmens duomenys per susietąją transporto priemonę arba mobilųjj jrenginj perduodami Vykdytojo nuotolinei platformai ir joje jrašomi.
• Pagal šią Sutartj asmens duomenys tvarkomi tik tiek, kiek tai būtina Pagrindinei sutarčiai jvykdyti; tai neturi poveikio Pagrindinės sutarties 8.3.4 punktui.
• Vykdytojas perduoda asmens duomenis trečiųjų šalių paslaugų teikėjui (kaip apibrėžta Pagrindinėje sutartyje), jeigu toks duomenų perdavimas trečiųjų šalių paslaugų teikėjui yra būtinas, kad jis galėtų teikti Užsakovui savo trečiųjų šalių paslaugas (kaip apibrėžta Pagrindinėje sutartyje).
• Vykdytojas pagal asmens duomenis analizuoja ir vertina vairuotojų vairavimo ypatumus ir susietosios transporto priemonės naudojimą ir pagal tai teikia specialiai Užsakovui pritaikytus pasiūlymus, pvz., vairuotojų mokymus, jrangą ir pasiūlymus efektyvumui didinti.
0 Xxxxxxx xxxxxxxx xxxxx
• Vokietija
• Jungtinė Karalystė; jeigu tvarkomi duomenys IT prieglobos ir (arba) IT pagalbos tikslais Europos
Sąjungos teritorijoje, tai turi būti sudarytos atitinkamos duomenų tvarkymo sutartys.
• Jeigu Vykdytojas IT prieglobos ir (arba) IT pagalbos tikslais pasitelkia subrangovą ne iš Europos Sąjungos (žr. xxx 0 xxxxxx 0 xxxxxx), xxx asmens duomenų perdavimas vykdomas remiantis Vykdytojo ir subrangovo patvirtintomis standartinėmis sutartinėmis sąlygomis / standartinėmis duomenų apsaugos nuostatomis dėl asmens duomenų perdavimo trečiųjų šalių tvarkytojui pagal XXXX 00 xxx. 0 dalies c) punktą.
8 Subrangovas
Vykdytojas pasitelkia šiuos subrangovus (kurie prireikus gali pasitelkti kitus subrangovus):
Nr. | Subrangovas (jmonė, adresas, kontaktinis asmuo) | Tvarkomų duomenų kategorijos | Tvarkymo veiksmai / duomenų tvarkymo pagal subrangos sutartj tikslas |
1 | Xxxxxxxxxx.xxx EMEA Limited Xxxxxxxxxx.xxx Privacy, The Landmark @ Xxx Xxxxxx Xxxxxx, Xxxxx 000, Xxx Xxxxxxxxx, XX 00000, JAV | Visi platformos asmens duomenys, susiję su pardavimo dalimi (t. y. ten, kur platformoje klientas gali registruotis ir atlikti užsakymus) | Platformos priegloba |
2 | Xxxxxxxxxx.xxx, Inc., Privacy, The Landmark @ Xxx Xxxxxx Xxxxxx, Xxxxx 000, Xxx Xxxxxxxxx, XX 00000, JAV | Visi platformos asmens duomenys, susiję su pardavimo dalimi (t. y. ten, kur platformoje klientas gali registruotis ir atlikti užsakymus) | IT pagalba, susijusi su platforma |
3 | Amazon Webservices, Inc., Amazon Webservices, Inc. 000 Xxxxx Xxxxxx Xxxxx Xxxxxxx XX 00000 JAV xxxxx://xxx.xxxxxx.xxx/xx/ compliance/contact/ | Visi kiti naudotojų asmens duomenys, perduodami Vykdytojui per transporto priemonę | Platformos priegloba / IT pagalba, susijusi su platformos priegloba |
0 | Xxxxxxxxx xxxxxx xxxxxx Nr. 3: Amazon Webservices (EU) Amazon Web Services, Inc. X.X. Xxx 00000 Xxxxxxx, XX 00000-0000 JAV xxxxx://xxx.xxxxxx.xxx/xx/ compliance/contact/ | Visi kiti naudotojų asmens duomenys, perduodami Vykdytojui per transporto priemonę | Platformos priegloba |
5 | MAN Service und Support GmbH Xxxxxxxx Xxxxxx 000 00000 Xxxxxxx Vokietija | Visi asmens duomenys, reikalingi apdorojant klientų užklausas pagal 1-ojo ir 2-ojo lygmens pagalbą | 1-ojo lygmens pagalba |
6 | Zuora Inc. 0000 X. Xxxxxxxx Xxxxxx, Xxxxx 000 Xxx Xxxxx, XX 00000 JAV | Visi asmens duomenys, reikalingi išrašant sąskaitą / vykdant užsakymą | Platformos priegloba (savininkas ES – priegloba „Amazon Web Services (EU)“ – žr. 4 punktą |
7 | MAN Truck & Bus AG Xxxxxxxx Xxx. 000 00000 Xxxxxxx Vokietija | Visi kiti naudotojų asmens duomenys, perduodami Vykdytojui per susietąją transporto priemonę ir (arba) mobilųjj jrenginj | Platformos priegloba |
8 | T-Systems International GmbH Xxxxxxxxxx 00 d 60528 Frankfurt am Main Vokietija | Visi kiti naudotojų asmens duomenys, perduodami Vykdytojui per TBM1/2 transporto priemones | Platformos priegloba |
9 | Scania AB Xxxxxxxxxxxxxx 0 00000 Xxxxxxxxxx Švedija | Visi kiti naudotojų asmens duomenys, perduodami Vykdytojui per transporto priemonę | Platformos priegloba |
10 | Volkswagen Nutzfahrzeuge Xxxxxxxxxxxxxxx. 00 00000 Xxxxxxxx Vokietija | Visi kiti naudotojų asmens duomenys, perduodami Vykdytojui per transporto priemonę | Platformos priegloba |
2 PRIEDAS. Techninės ir organizacinės priemonės
Vykdytojo jgyvendinamos techninės ir organizacinės priemonės užtikrinant riziką atitinkantj apsaugos lygj yra aprašytos RIO platformos duomenų apsaugos koncepcijoje ir visų pirma apima šiuos punktus:
1. Pseudonimų suteikimas
Jeigu asmens duomenys naudojami tvarkymo tikslais, kurių galima pasiekti duomenims suteikiant pseudonimus, tai naudojami pseudonimų suteikimo metodai. Pirmiausia kiekvienam duomenų laukeliui iš anksto apibrėžiama, ar jam turi būti suteiktas pseudonimas, nes kitaip būtų jmanoma nustatyti asmenj. Pseudonimų suteikimo raktai saugomi „duomenų seife“, kuriam nustatomas griežčiausias jmanomas prieigos ribojimas.
2. Šifravimas
Mobilieji jrenginiai šifruotai palaiko ryšj su galutiniu tašku naudodami individualų jrenginio sertifikatą. RIO platformoje duomenys perduodami šifruoti („Ubiquitous encryption“ arba „encryption everywhere“).
3. Konfidencialumo užtikrinimas
Visi darbuotojai instruktuojami apie jiems galiojančią konfidencialumo prievolę ir raštu jsipareigoja užtikrinti duomenų slaptumą.
Naudojama IT infrastruktūra užtikrinama per „Amazon Web Services“ (toliau vadinama AWS) naudojant nuotolinj serverj („IaaS“ ir „PaaS“). Prieigos kontrolę užtikrina AWS duomenų centro operatorius: aukšto saugumo AWS kompiuterių centrai naudoja naujausių technologijų elektronines stebėsenos priemones ir daugiapakopes prieigos kontrolės sistemas. Kompiuterių centruose visą parą dirba aukštos kvalifikacijos saugos darbuotojai, o prieiga užtikrinama vadovaujantis mažiausių teisių principu ir tik sistemų administravimo tikslu.
Prieiga prie „TB Digital Services GmbH“ techninės jrangos komponentų (klientų), suteikiama taikant galiojančias, kiekvienu atskiru atveju tinkamas standartines priemones. Jos apima, pvz., prieigos ribojimą per skirstomuosius jrenginius (šakotuvus), vaizdo stebėjimo jrenginius, signalizacijos sistemą ir (arba) saugos tarnybą, elektroniniu arba mechaniniu būdu apsaugotas duris, nuo jsilaužimo apsaugotus pastatus, dokumentais jformintas prieigos teises (lankytojams, kitų jmonių darbuotojams) arba deklaruotas saugos zonas.
Prieigos kontrolė apima priemones, susijusias su jrenginių apsauga, tinklo apsauga ir programų apsauga.
Transporto priemonėse naudojamos jvairios jrenginių apsaugos priemonės: Mobilieji jrenginiai tvirtai sumontuoti transporto priemonėje ir turi saugiojo paleidimo funkciją, t. y. nėra galimybės jkelti ir paleisti svetimą operacinę sistemą. Mobilieji jrenginiai šifruotai palaiko ryšj su galutiniu tašku naudodami individualų jrenginio sertifikatą. RIO platformoje duomenys perduodami šifruoti („Ubiquitous encryption“ arba „encryption
naujausias saugos lygis
everywhere“). Įrenginiuose reguliariai diegiami saugos naujinimai ir taip užtikrinamas („Patch-Management“).
Tinklo apsaugai taip pat naudojamos jvairios standartinės priemonės: Įdiegti tinkami (atitinkantys technikos lygj) reikalavimai slaptažodžiams (slaptažodžio ilgiui, sudėtingumui, galiojimo terminui ir kt.). Pakartotinai neteisingai jvedus naudotojo vardo ir slaptažodžio derinj (laikinai) blokuojamas naudotojo identifikatorius. Įmonės tinklas apsaugotas nuo nesaugių atvirų tinklų naudojant užkardą. Įdiegtas procesas, užtikrinantis reguliarų saugos naujinimų siuntimą mobiliesiems jrenginiams (OTA procesas). Naudojamos tinkamos technologijos (pvz., jsilaužimo aptikimo sistemos),skirtos atakoms jmonės tinkle (intranete) aptikti ir išvengti. Reguliariai atkreipiamas darbuotojų dėmesys j gresiančius pavojus ir riziką.
Programų apsaugai naudojamos kai kurios standartinės priemonės:
Svarbios programos apsaugotos nuo nesankcionuotos prieigos naudojant tinkamus tapatybės nustatymo ir jgaliojimų suteikimo mechanizmus. Įdiegti tinkami (atitinkantys technikos lygj) reikalavimai slaptažodžiams (slaptažodžio ilgiui, sudėtingumui, galiojimo terminui ir kt.). Programoms, kurias ypač svarbu apsaugoti, naudojami itin saugūs tapatybės nustatymo mechanizmai (pvz., „Token“, PKU). Pakartotinai neteisingai jvedus naudotojo vardo ir slaptažodžio derinj (laikinai) blokuojamas naudotojo identifikatorius. Tam tikro proceso metu naudojami duomenys saugomi šifruoti mobiliu būdu naudojamoje duomenų laikmenoje. Pavykę prisijungimai ir bandymai prisijungti prie programų protokoluojami. Sukurtos protokolų rinkmenos tinkamą laiką (mažiausiai 90 dienų) saugojamos ir (pasirinktinai) tikrinamos.
Naudotojų teisės (prisijungimui ir prieigai) užtikrinamos jvairiomis priemonėmis, kurios jprastai priskiriamos konkrečiam asmeniui. Už teisių suteikimą atsako už platformą atsakingas subjektas ir šis procesas yra reguliariai tikrinamas. Prieigos teisės suteikiamos tik vadovaujantis nustatytu ir dokumentais jformintu procesu. Prieigos teisių keitimas atliekamas vadovaujantis keturių akių principu ir registruojamas žurnalo rinkmenoje, kuriai suteikiama versija.
Prieigai kontroliuoti arba valdyti naudojamos jvairios priemonės: Prieigos teisės apibrėžiamos vadovaujantis vaidmenų / teisių koncepcija. jas registruojant ir priskiriant atitinkamiems vaidmenims atsižvelgiant j poreikius, susijusius su atliekamomis užduotimis. Techniniams administratoriams sukurti specialūs vaidmenys / teisės (kurie, jei tai jmanoma, nesuteikia prieigos prie asmens duomenų). Techninei pagalbai sukurti specialūs vaidmenys / teisės (kurie neapima techninio administravimo teisių).
Jei tai jmanoma techniniu ir organizaciniu požiūriu, vaidmenis / teises apibrėžia ir priskiria skirtingi asmenys nuo peržiūros apsaugotame (patvirtinimo) ir ribotos trukmės procese. Tiesioginė prieiga prie duomenų bazės, apeinant vaidmenų / teisių koncepciją, suteikiama tik jgaliotiems duomenų bazės administratoriams. Galioja atitinkama asmeninių laikmenų naudojimo tvarka arba asmeninių laikmenų naudojimas draudžiamas. Galioja privalomos procedūros, susijusios su prieiga prie duomenų atliekant išorinę ir nuotolinę techninę priežiūrą ir nuotolinius darbus. Dokumentus ir duomenų laikmenas naikina / utilizuoja (naudodamos, pvz., naikinimo
aparatus, naikinimo konteinerius) patikimos utilizavimo paslaugų jmonės besilaikydamos duomenų apsaugos reikalavimų.
Vaidmenų / teisių koncepcija suderinama su besikeičiančiomis darbo organizavimo struktūromis (pvz., naujais vaidmenimis), o priskirti vaidmenys / teisės reguliariai tikrinami (pvz., vadovų) ir prireikus keičiami ar panaikinami. Suteiktiems standartiniams profiliams taikoma reguliari centrinė kontrolė. Besikeičianti prieiga (rašymas, skaitymas) protokoluojama, o sukurtos protokolavimo rinkmenos saugomos tinkamą laiką (mažiausiai 90 dienų) ir (pasirinktinai) tikrinamos.
Perdavimui užtikrinti kaip bendrosios priemonės naudojamos jvairios standartinės priemonės:
Perdavimą atliekantys asmenys iš anksto supažindinami su taikytinomis užtikrinimo priemonėmis. Gavėjų grupė nustatoma iš anksto taip, kad būtų jmanoma atitinkama kontrolė (tapatybės nustatymas). Visas duomenų perdavimo procesas nustatytas ir jformintas dokumentais, o konkretaus duomenų perdavimo vykdymas protokoluojamas arba jforminamas dokumentais (pvz., gavimo patvirtinimu, kvitu). Perdavimą atliekantys asmenys prieš tai atlieka patikimumo, pilnumo ir teisingumo patikrą.
Prieš atliekant konkretų duomenų perdavimą patikrinamas gavėjo adresas (pvz., el. pašto adresas). Duomenų tikrinimas internetu atliekamas šifruota forma (pvz., šifruojant duomenis). Jeigu jmanoma techniniu požiūriu, perduotų duomenų vientisumas užtikrinamas naudojant parašo procedūrą (skaitmeninj parašą). Elektroniniai gavimo patvirtinimai kaupiami tinkama forma archyvuose. Nepageidautinas duomenų perdavimas internetu blokuojamas taikant tinkamas technologijas (pvz., jgaliotąjj serverj, užkardą).
Atskyrimo reikalavimui užtikrinti naudojamos šios standartinės priemonės:
Galioja privalomos procedūros, susijusios su atskyrimo reikalavimo užtikrinimo tam tikru tikslu tvarkant duomenis. Tam tikru tikslu renkami duomenys jrašomi atskirai nuo kitais tikslais renkamų duomenų. Naudojamos IT sistemos leidžia atskirai jrašyti duomenis (taikant galimybę aptarnauti keletą klientų arba prieigos koncepcijas). Atliekamas duomenų atskyrimas bandomosiose ir jprastai eksploatuojamose sistemose. Pseudonimais koduojamus duomenis susiejantis raktas, leidžiantis iš naujo identifikuoti duomenis, jrašomas arba saugojamas atskirai. Tvarkydamas duomenis arba perduodamas funkcijas, vykdytojas atskirai tvarko skirtingų užsakovų duomenis. Atitinkamai formuojant turimas vaidmenų / teisių koncepcijas galima logiškai atskirti tvarkomus duomenis.
4. Vientisumo užtikrinimas
Įvesties protokolavimui užtikrinti naudojamos jvairios standartinės priemonės:
Protokoluojami prieigos teisių pakeitimai ir visi administratoriaus veiksmai. Protokoluojama jrašymo prieiga (jvestys, pakeitimai, pašalinimai) ir duomenų laukelių pakeitimai (pvz., naujai jvesto arba pakeisto duomenų rinkinio turinio). Protokoluojami perdavimai (pvz., atsisiuntimas) ir prisijungimai.
Siekiant jvesčių atsekamumo naudojami registravimo dokumentai jforminami dokumentais ir kaupiami archyvuose. Protokoluojama nurodant datą ir laiką, naudotoją, veiksmo rūšj, taikomąją programą ir duomenų rinkinio eilės numerj. Protokolavimo nuostatos jforminamos dokumentais.
Suteikiama tik skaitymo prieiga prie protokolo duomenų. Prieigą prie protokolo duomenų turinčių jgaliotų asmenų grupė yra labai apribota (pvz., administratorius, duomenų apsaugos priežiūros pareigūnas, revizorius). Xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxx (xxx., 0 metus) saugojamos ir po to sunaikinamos laikantis duomenų apsaugos reikalavimų. Protokolų rinkmenos reguliariai automatiškai analizuojamos. Jeigu jmanoma, protokolo rinkmenų analizė parengiama suteikiant pseudonimus.
5. Parengties užtikrinimas
Struktūra apsaugota nuo duomenų praradimo taikant vidinius dubliavimo mechanizmus pačioje AWS
platformoje. Objekto apsaugai užtikrinti naudojamos šios AWS standartinės priemonės:
Įgyvendinamos priešgaisrinės saugos priemonės (pvz., ugniai atsparios durys, dūmų signalizavimo jtaisai, ugniai atsparios sienos, draudimas rūkyti). Kompiuterių sistemos apsaugotos nuo potvynių (pvz., kompiuterių patalpa antrajame aukšte, vandens jutikliai). Įgyvendinamos priemonės apsaugai nuo vibracijos (pvz., kompiuterių patalpa nejrengiama šalia transporto kelių, geležinkelio bėgių, mašinų patalpų). Kompiuterių sistemos apsaugotos nuo elektromagnetinių laukų (pvz., plieninės plokštės išorinėse sienose). Įgyvendinamos priemonės apsaugai nuo vandalizmo ir vagysčių (žr. apie prieigos kontrolę). Kompiuterių sistemos jrengtos patalpose su klimato sąlygų kontrole (temperatūra ir oro drėgnumas reguliuojami oro kondicionavimo sistema). Kompiuterių sistemos apsaugotos nuo jtampos šuolių naudojant apsaugą nuo viršjtampių. Įgyvendinamos priemonės patikimam ir nepertraukiamam srovės tiekimui užtikrinti (pvz., NMŠ jrenginiai, avarinio srovės tiekimo agregatai).
Duomenų rinkiniai reguliariai išsaugomi atsarginių kopijų pavidalu AWS platformos viduje. Atsarginių kopijų koncepcija jforminama dokumentais ir reguliariai peržiūrima bei atnaujinama. Atsarginių kopijų laikmenos apsaugotos nuo nesankcionuotos prieigos. Naudojamos atsarginių kopijų darymo programos atitinka naujausius kokybės standartus ir šiuo požiūriu reguliariai atnaujinamos. Įrengtas rezervinis kompiuterių centras (nutolęs nuo duomenų tvarkymo vietos), kuris stichinių nelaimių atveju gali tęsti duomenų tvarkymą. Įvairios parengties kontrolės priemonės jformintos dokumentais AWS avarinių situacijų valdymo plane.
Prieš patvirtinant duomenų tvarkymo užsakymą, Vykdytojas kruopščiai ir pagal nustatytus kriterijus (techninės ir organizacinės priemonės) patikrinamas. Tam Vykdytojo prašoma pateikti išsamią informaciją apie jgyvendintas technines ir organizacines duomenų apsaugos priemones (pateikiami atsakymai j klausimyno klausimus arba pristatoma duomenų apsaugos koncepcija), kuri patikrinama. Atsižvelgiant j tvarkomų duomenų kiekj ir konfidencialumą, ši patikra gali būti atliekama vietoje pas Vykdytoją. Vykdant vykdytojų atranką atsižvelgiama j turimus tinkamus sertifikatus (pvz., ISO 27001). Vykdytojo tinkamumo nustatymas tinkamu ir suprantamu būdu jforminamas dokumentais.
Siekiant pagrjsti su užsakymu susijusius santykius, tarp Užsakovo ir Vykdytojo sudaroma duomenų tvarkymo sutartis. Joje išsamiai ir raštiškai nustatoma abiejų Šalių kompetencija ir atsakomybė bei pareigos. Jeigu paskirto paslaugų teikėjo buveinė yra ne ES ar EEE teritorijoje, taikomos ES standartinės sutarties nuostatos. Sutartyje nustatyta, kad Vykdytojas gali tvarkyti duomenis tik vadovaudamasis Užsakovo nurodymais. Vykdytojas privalo nedelsdamas pranešti Užsakovui, jeigu Užsakovo duotas nurodymas Vykdytojo nuomone prieštarauja duomenų apsaugos teisės nuostatoms. Siekiant užtikrinti subjektų, kuriems daromas poveikis, teises, duomenų tvarkymo sutartyje numatoma, kad Vykdytojas turi tinkamai padėti Užsakovui, jeigu to reikia, pvz., suteikiant informaciją šiems subjektams.
Vykdant duomenų tvarkymo sutartj Užsakovas kontroliuoja Vykdytojo darbo rezultatų formą ir turinj. Reguliariai tikrinama, kaip laikomasi Vykdytojo jgyvendintų techninių ir organizacinių priemonių. Tam visų pirma naudojamasi pateiktais atestatais ar tinkamais sertifikatais arba jrodymais apie atliktą IT saugumo ar duomenų apsaugos auditą. Jeigu pasitelkiamas subrangovas, sutartyje numatoma, kad jis atitinkamai kontroliuojamas.
6. Sistemų apkrovimo užtikrinimas
AWS nuotolinių serverių infrastruktūra sukurta kaip viena lanksčiausių ir saugiausių nuotolinės kompiuterijos aplinkų. Ji suprojektuota siekiant užtikrinti optimalią parengtj ir visišką klientų atskyrimą. Ji užtikrina ypatingai lanksčiai keičiamą, labai saugiai eksploatuojamą platformą, sudarančią galimybes klientams greitai ir saugiai pateikti programas ir turinj visame pasaulyje. AWS paslaugos nepriklauso nuo turinio, nes jos visiems klientams suteikia aukštą saugumo lygj, nepriklausomai nuo turinio pobūdžio ar geografinio regiono, kuriame saugojami duomenys.
Aukšto saugumo AWS kompiuterių centrai naudoja naujausių technologijų elektronines stebėsenos priemones ir daugiapakopes prieigos kontrolės sistemas. Kompiuterių centruose visą parą dirba aukštos kvalifikacijos saugos darbuotojai, o prieiga užtikrinama vadovaujantis mažiausių teisių principu ir tik sistemų administravimo tikslu.
7. Asmens duomenų pateikties atkūrimo procesas jvykus stichinei nelaimei ar techniniam incidentui
AWS kompiuterių centrai jrengiami grupėmis jvairiuose pasaulio regionuose. Visi kompiuterių centrai veikia tinkle ir aptarnauja klientus; nė vienas kompiuterių centras nėra išjungtas. Įvykus gedimui automatiniai procesai perkelia klientų duomenų judėjimą iš paveiktų sričių. Pagrindinės programos vykdomos pagal N+1 konfigūraciją, kad nustojus veikti vienam kompiuterių centrui būtų užtikrinamas pakankamas pajėgumas, kad duomenų srautas būtų paskirstytas likusioms vietoms.
AWS suteikia lankstumo vykdyti procesus ir saugoti duomenis keliuose geografiniuose regionuose bei keliose parengties zonose („Availability Zones“). Kiekviena parengties zona sukurta kaip nepriklausoma zona gedimo atveju. Tai reiškia, kad parengties zonos viename tipiniame miesto regione yra fiziškai paskirstytos ir yra, pvz., mažesnės potvynių rizikos rajonuose (atsižvelgiant j regioną galioja skirtingos potvynių rizikos zonų kategorijos). Siekiant minimizuoti gedimų atsiradimą atskirose vietose, be vietoje užtikrinamo autonominio
nepertraukiamo srovės tiekimo ir avarinių srovės tiekimo generatorių, visos parengties zonos maitinamos iš skirtingų elektros tinklų, kuriuos valdo nepriklausomi elektros tinklo operatoriai. Visos parengties zonos turi rezervines jungtis su keletu „Tier-1“ lygio tinklų operatoriumi.
Siekdama paspartinti jmonėms kritinių incidentų šalinimą, „Amazon“ incidentų valdymo komanda taiko šioje srityje jprastas diagnostikos procedūras. Įmonės darbuotojai užtikrina nepertraukiamą darbą visą parą, septynias dienas per savaitę ir 365 dienas per metus, kad aptiktų triktis ir valdytų jų poveikj bei šalinimą.
8. Reguliarios techninių ir organizacinių priemonių patikros ir vertinimo procesas
Įmonėje turimos direktyvos ir nurodymai arba jdiegti standartai, susiję su informacijos saugumu, taip pat taikomi diegiant ir eksploatuojant RIO platformą. Įmonėje užtikrinamos funkcijos, susijusios su duomenų apsauga ir informacijos saugumu (duomenų apsaugos priežiūros pareigūnas ir informacijos saugumo pareigūnas). Darbuotojai jsipareigoja užtikrinti duomenų slaptumą ir informuojami apie duomenų apsaugą ir IT saugumo priemones, naudojant informacinius leidinius, lankstinukus, intraneto nurodymus ir kt.
Šie vidaus procesai tikrinami atliekant patikrinimą dėl informacijos saugumo ir duomenų apsaugos, ar laikomasi duomenų saugos techninių ir organizacinių priemonių.
Tvarkymo operacijos ir duomenų saugos priemonės jforminamos dokumentais tvarkymo operacijų registre. Reguliariai atliekamos patikros (vidaus ir išorės), susijusios su priemonių veiksmingumu.