ASMENS DUOMENŲ TVARKYMO SUTARTIS
ASMENS DUOMENŲ TVARKYMO SUTARTIS
Uždaroji akcinė bendrovė "BTT Group" juridinio asmens kodas 300665914, buveinės adresas Pažagiškių g.
29, 04125 Vilnius (Valdytojas) ir
Jūs ar Jūsų atstovaujamas juridinis asmuo, sudaręs su Valdytoju pagrindinę sutartį dėl prekių ir (ar) paslaugų teikimo (Tvarkytojas),
Valdytojas ir Tvarkytojas toliau kartu vadinami Šalimis, o kiekvienas atskirai – Šalimi, sudarė Duomenų tvarkymo sutartį (Sutartis), kuriuo susitarė dėl žemiau išdėstytų sąlygų:
1. Sąvokų apibrėžimai
1.1. Asmens duomenys – reiškia bet kurią informaciją, susijusią su fiziniu asmeniu – duomenų subjektu, kurio tapatybė yra žinoma arba gali būti tiesiogiai ar netiesiogiai nustatyta pasinaudojant tokiais duomenimis kaip asmens kodas, vienas arba keli asmeniui būdingi fizinio, fiziologinio, psichologinio,
ekonominio, kultūrinio ar socialinio pobūdžio požymiai;
1.2. Asmens duomenų apsaugos teisės aktai – visi teisės aktai, kurie reglamentuoja asmens duomenų apsaugą ir (ar) nustato reikalavimus duomenų saugumo priemonėms, įskaitant, bet neapsiribojant, nacionalinius teisės aktus (Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymą, Lietuvos
Respublikos elektroninių ryšių įstatymą bei kitus teisės aktus), tiesiogiai taikomus ES teisės aktus (2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentą (ES) Nr. 2016/679 (toliau – Reglamentas) - nuo jų tiesioginio taikymo datos) bei visus aukščiau nurodytų teisės aktų pakeitimus ar papildymus;
1.3. Duomenų konfidencialumas – sąvoka, apibrėžianti informacijos saugojimo ir neatskleidimo
neįgaliotiems asmenims, subjektams ar procesams, poreikį;
1.4. Duomenų subjektas ir/ar Klientas – reiškia fizinį asmenį, kurio Asmens duomenys tvarkomi pagal Sutartį;
1.5. Duomenų valdytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri viena ar drauge su kitais nustato Asmens duomenų tvarkymo tikslus ir priemones;
1.6. Duomenų tvarkytojas – juridinis ar fizinis asmuo tvarkantis Asmens duomenis Duomenų valdytojo
nurodytu tikslu ir tvarka;
1.7. Saugumo pažeidimas – įvykis, veiksmas ar neveikimas, kuris sukelia ar gali sukelti neteisėtą
prisijungimą ar sudaryti sąlygas neteisėtai prisijungti prie informacinės sistemos, informacinių technologijų (IT), sutrikdyti ar pakeisti informacinės sistemos veikimą, sunaikinti, sugadinti, ištrinti ar pakeisti duomenis, panaikinti ar apriboti galimybę naudotis duomenimis, taip pat sudaryti sąlygas pasisavinti ar kitaip panaudoti duomenis tokios teisės neturintiems asmenims;
1.8. Techninės ir organizacinės priemonės – reiškia priemones, kurios skirtos apsaugoti Asmens duomenis nuo atsitiktinio ar neteisėto, laikino ar nuolatinio sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet
kokio kito neteisėto tvarkymo. Šios priemonės turi užtikrinti tokį saugumo lygį, kuris atitiktų saugotinų Asmens duomenų pobūdį ir jų tvarkymo keliamą riziką;
1.9. Tvarkytojo darbuotojai – bet kurie Tvarkytojo vardu ar pavedimu veikiantys asmenys, įskaitant darbuotojus, konsultantus, rangovus ir subtiekėjus.
2. Sutarties dalykas, tvarkymo pobūdis ir tikslas, asmens duomenų kategorijos ir pagrindas, duomenų
kategorijos
2.1. Tvarkytojas Asmens duomenis pagal Sutartį ar kitus rašytinius Valdytojo nurodymus tvarko siekdamas įvykdyti tarp Šalių sudarytą pagrindinę sutartį Valdytojui.
2.2. Tvarkytojas, vykdydamas Sutartį, gali tvarkyti šiuos Duomenų subjektų Asmens duomenis:
2.2.1. Duomenų subjektų identifikacinius duomenis (vardas, pavardė, asmens kodas);
2.2.2. Duomenų subjekto kontaktinius duomenis (veiklos vieta, telefono numeris, el. pašto adresas, faksas);
2.2.3. Duomenų subjekto banko sąskaitos duomenis (sąskaitos numeris, bankas, banko kodas);
2.2.4. Informaciją apie Duomenų subjektų veiklą (informacija apie veiklą pagal pagrindinę sutartį);
2.2.5. kitą informaciją (užimamos pareigos, įgaliojimų duomenys, vykdomas susirašinėjimas su Valdytoju, duomenys, sukuriami pagrindinės sutarties su Valdytoju vykdymo metu).
2.3. Gali būti tvarkomi šių Duomenų subjektų kategorijų Asmens duomenys: Valdytojo tiekėjo, Valdytojo tiekėjo darbuotojo, kito Valdytojo tiekėjo pasitelkto fizinio asmens (pvz., atstovo);
2.4. Tvarkymo veiksmai: Asmens duomenys Tvarkytojui gali būti teikiami elektroniniu paštu, atskleidžiami telefonu arba įtraukiami į pranešimus popierine forma. Valdytojas ar Tvarkytojas taip pat gali suteikti kitai Šaliai prieigą prie savo interaktyvių resursų, kai Asmens duomenys tvarkomi duomenų bazėje, prieinamoje išoriniais tinklais;
2.5. Tvarkymo veiksmų vykdymo vieta – Lietuvos Respublika arba kita Europos Ekonominės Erdvės valstybė.
2.6. Duomenų pateikimo būdai: Tvarkytojas Valdytojo valdomus Asmens duomenis gali gauti iš Valdytojo duomenų bazės ir/arba tiesiogiai iš Valdytojo.
3. Asmens duomenų tvarkymo trukmė
3.1. Tvarkytojas pagal Sutartį tvarkomus Asmens duomenis tvarko ir saugo pagrindinės sutarties, sudarytos su Tvarkytoju (jos prieduose) galiojimo laikotarpį ir bent 10 metų po to, nebent pagal teisės aktus ar
Asmens duomenų tvarkymo tikslus nustatytas kitoks terminas.
3.2. Kai Asmens duomenų tvarkymas pasibaigia ar Sutartis yra nutraukiama, Tvarkytojas privalo nedelsiant, bet ne vėliau kaip per Valdytojo nurodytą terminą, netaikydamas jokio papildomo užmokesčio, Valdytojo pasirinkimu, sunaikinti arba pateikti (grąžinti) Valdytojui visus Asmens duomenis, kuriuos Tvarkytojas tvarkė Valdytojo pavedimu vykdydamas Sutartį, taip pat visas turimas šių Asmens duomenų kopijas. Kai Asmens duomenys yra sunaikinami, Tvarkytojas privalo Valdytojo prašymu nedelsiant raštu patvirtinti šių Asmens duomenų ir jų kopijų sunaikinimo faktą.
4. Techninės ir organizacinės duomenų saugumo priemonės
4.1. Tvarkytojas įsipareigoja savo lėšomis užtikrinti tvarkomų Asmens duomenų apsaugą, įgyvendinant
tinkamas technines ir organizacines priemones, skirtas apsaugoti tvarkomus Asmens duomenis nuo
atsitiktinio ar neteisėto sunaikinimo, sugadinimo, pakeitimo, praradimo, atskleidimo, taip pat nuo bet kokio
kito neteisėto tvarkymo. Šios priemonės turi užtikrinti reikiamą apsaugos lygį, kuris atitiktų tvarkomų Asmens duomenų pobūdį ir jų tvarkymo keliamą riziką.
4.2. Saugumo priemonės, kurias Tvarkytojas taiko siekiant apsaugoti tvarkomus Asmens duomenis nuo neteisėto tvarkymo, neteisėto atskleidimo, atsitiktinio praradimo, sunaikinimo, sugadinimo, pakeitimo, Valdytojo instrukcijose (jeigu tokių būtų) bei teisės aktuose, Sutartyje ir jos prieduose.
4.3. Valdytojo reikalavimu (pateikus prašymą) Tvarkytojas pateiks įrodymus apie Asmens duomenų pagal Sutartį tvarkymui taikomas technines ir organizacines Asmens duomenų apsaugos priemones. Tvarkytojas įsipareigoja užtikrinti, kad šios apsaugos priemonės būtų įdiegtos prieš pradedant tvarkyti Asmens
duomenis, taip pat įsipareigoja periodiškai įvertinti, papildyti ir/ar tobulinti organizacines ir technines
priemones.
5. Šalių įsipareigojimai
5.1. Tvarkytojas privalo tinkamai dokumentuoti visus šios Sutarties pagrindu tvarkomų Asmens duomenų saugumo pažeidimus. Tokiame Tvarkytojo pranešime įskaitant, tačiau tuo neapsiribojant, nurodoma:
5.1.1. Aprašomas Asmens duomenų saugumo pažeidimo pobūdis, nurodomos paveiktos Duomenų subjektų kategorijos ir Duomenų subjektų skaičius bei pažeidimo paveiki Asmens duomenų tvarkymo procesai;
5.1.2. Nurodomi duomenų apsaugos pareigūno ar kito kontaktinio asmens, iš kurio galima gauti daugiau
informacijos, kontaktiniai duomenys;
5.1.3. Nurodomos rekomenduojamos priemonės galimiems neigiamiems Asmens duomenų saugumo pažeidimo padariniams sumažinti;
5.1.4. Aprašomi Asmens duomenų saugumo pažeidimo galima rizika Duomenų subjektams;
5.1.5. Aprašomos priemonės, kurias įgyvendino (ir kurias siūlo įgyvendinti) Tvarkytojas Asmens duomenų
saugumo pažeidimo užkardymui ir prevencijai;
5.1.6. Pateikiama kita informacija, pagrįstai reikalinga, kad Valdytojas galėtų laikytis Asmens duomenų apsaugos teisės aktų, įskaitant įpareigojimo pranešti priežiūros institucijai ir/ar Duomenų subjektams.
5.2. Gavęs Vykdytojo nurodymą, Tvarkytojas privalo imtis reikiamų taisomųjų veiksmų Duomenų subjektų atžvilgiu.
5.3. Tvarkytojas raštu informuoja Valdytoją, jei:
5.3.1. Įvyksta faktinis arba įtariamas Asmens duomenų saugumo pažeidimas, susijęs su Asmens duomenų, tvarkomų pagal šią Sutartį, tvarkymu. Tvarkytojas informuoja apie tai Valdytoją nedelsdamas, tačiau ne vėliau kaip per 24 valandas nuo fakto paaiškėjimo ir gavęs Valdytojo leidimą, privalo skubiai pašalinti
problemą ir užkirsti kelią tolesnei žalai, taip pat sumažinti tokio pažeidimo padarinius;
5.3.2. Tvarkytojo atžvilgiu vykdomi bet kokie priežiūros institucijų procesiniai veiksmai, susiję su Asmens duomenų, tvarkomų pagal Sutartį, tvarkymu. Tvarkytojas informuoja apie tai Valdytoją nedelsdamas, tačiau ne vėliau kaip per 24 valandas nuo tokio fakto paaiškėjimo;
5.3.3. Iš Duomenų subjekto gauna prašymą įgyvendinti Duomenų subjekto teises ar skundą dėl pagal Sutartį ir (arba) šią Sutartį tvarkomų Asmens duomenų. Tvarkytojas informuoja apie tai Valdytoją nedelsdamas,
tačiau ne vėliau kaip per 1 darbo dieną, Xxxxxxxxxx persiųsdamas tokį prašymą/skundą;
5.3.4. Tvarkytojas numato vykdyti pertvarkymus, kurie gali neigiamai paveikti jo gebėjimą vykdyti
įsipareigojimus Valdytojui pagal Sutartį. Tvarkytojas informuoja apie tai Valdytoją nedelsdamas, tačiau ne vėliau kaip per 3 darbo dienas nuo tokio sprendimo priėmimo;
5.3.5. Tvarkytojo atžvilgiu pradedamas bet koks procesas, susijęs su Asmens duomenų tvarkymu pagal Sutartį, dėl kurio gali būti reikalaujama kompensacijos arba gali būti paskirtos baudos pagal Asmens duomenų apsaugos teisės aktus. Tvarkytojas informuoja apie tai Valdytoją nedelsdamas, tačiau ne vėliau kaip per 24 valandas nuo tokio proceso pradžios. Tvarkytojas įsipareigoja pateikti Valdytojui teisės aktų nedraudžiamą Valdytojo prašomą pateikti informaciją (įskaitant, bet neapsiribojant, informaciją apie
įtarimus dėl pažeidimo), netrukdyti Valdytojui dalyvauti pažeidimo nagrinėjime.
5.4. Tvarkytojas bendradarbiauja įgyvendindamas Duomenų subjektų teises, t. y. Valdytojui prašant,
nurodytu laiku pateikia Duomenų subjekto teisėms įgyvendinti reikiamą informaciją, kuri nėra konfidenciali, nesudaro komercinės paslapties ir kurios nedraudžiama pateikti pagal teisės aktus. Valdytojui pateikus
informaciją apie Duomenų subjekto prašymą apriboti ar ištrinti pagal Sutartį gautus Asmens duomenis (jei tokių būtų), Tvarkytojas imasi visų įmanomų priemonių tokiai teisei įgyvendinti. Tvarkytojas įsipareigoja per
teisės aktų numatytą laikotarpį atsakyti į priežiūros institucijų užklausas dėl jo tvarkomų Duomenų subjektų Asmens duomenų ir/ar tvarkymo veiksmų.
5.5. Tvarkytojui neleidžiama atskleisti Asmens duomenų ar bet kurios kitos informacijos, susijusios su Asmens duomenų tvarkymu, be išankstinio rašytinio Valdytojo sutikimo, išskyrus atvejus, kai tokią
informaciją Tvarkytoją įpareigoja atskleisti teisės aktai. Pastaruoju atveju Tvarkytojas privalo nedelsiant apie tai pranešti Valdytojui, jeigu toks pranešimas nepažeidžia teisės aktų.
5.6. Tvarkytojas užtikrina, kad visi su Asmens duomenų tvarkymu susiję asmenys būtų įsipareigoję užtikrinti konfidencialumą arba, kad jiems būtų taikoma atitinkama įstatymais nustatyta konfidencialumo prievolė.
Konfidencialumo įsipareigojimai galioja neterminuotai.
5.7. Tvarkytojas įsipareigoja suteikti prieigą prie Asmens duomenų tik tiems Tvarkytojo darbuotojams, kuriems prieiga prie šių Asmens duomenų reikalinga darbo funkcijoms atlikti ir būtina siekiant užtikrinti Tvarkytojo pareigų pagal Sutartį vykdymą, o taip pat informuoti Tvarkytojo darbuotojus, kaip jie privalo tvarkyti Asmens duomenis, ir užtikrinti, kad Tvarkytojo darbuotojai, kurie turi prieiga prie Asmens duomenų, yra pasirašę konfidencialumo susitarimą, kuris apima ir Asmens duomenų neatskleidimo
įsipareigojimą.
5.8. Tvarkytojas, Valdytojo prašymu ir per jo nurodytą terminą, teikia visą reikiamą informaciją,
dokumentus ir pagalbą, būtinus tam, kad Valdytojas galėtų tinkamai vykdyti visus Asmens duomenų apsaugos teisės aktų reikalavimus ir įrodyti tokių reikalavimų laikymąsi, įskaitant atlikti poveikio privatumui vertinimą ir konsultuotis su priežiūros institucija, teikiant pranešimus apie saugumo pažeidimus.
Tvarkytojas privalo leisti ir (arba) prisidėti priežiūros institucijai atliekant Tvarkytojo vykdomos Asmens duomenų tvarkymo pagal Sutartį ar Sutartį veiklos patikrinimus.
5.9. Valdytojas turi teisę, pateikęs išankstinį pranešimą, nepertraukiant Tvarkytojo veiklos Tvarkytojo buveinės patalpose atlikti Tvarkytojo patikrinimus ir (ar) auditus įprastomis darbo valandomis. Tokius auditus ar patikrinimus gali atlikti Valdytojo darbuotojai arba kitos Valdytojo pavedimu veikiančios
profesionalios trečiosios šalys, kurios yra prisiėmusios Tvarkytojui tinkamus konfidencialumo įsipareigojimus.
5.10. Tvarkytojas neturi teisės perduoti (išskyrus Sutartyje numatyta tvarka) Asmens duomenų ar suteikti prie jų prieigos jokiam trečiajam asmeniui ar pasitelkti subtvarkytojus Asmens duomenims tvarkyti be Valdytojo leidimo. Kai toks leidimas duodamas, Tvarkytojas privalo prieš Asmens duomenų perdavimą su atitinkamu subtvarkytoju sudaryti sutartį ir joje įtvirtinti tokius pačius Asmens duomenų apsaugos
įsipareigojimus, kaip nustatyti Tvarkytojui šioje Sutartyje.
5.11. Jei subtvarkytojas, jeigu taikoma, nesilaiko Asmens duomenų apsaugos teisės aktų arba nevykdo jam nustatytų Asmens duomenų apsaugos įpareigojimų, Tvarkytojas išlieka visiškai atsakingas prieš Valdytoją už subtvarkytojo įsipareigojimų vykdymą pagal Asmens duomenų apsaugos teisės aktus ir (arba) šią Sutartį.
6. Atsakomybė ir nuostolių atlyginimas
6.1. Šalis, dėl kurios kaltų veiksmų kita Šalis patiria žalą, privalo atlyginti kitai Šaliai jos patirtus tiesioginius nuostolius. Šalys susitaria, kad nė viena iš Šalių neatsako už netiesioginių nuostolių atlyginimą kitai Šaliai. Nė viena iš Šalių neatlygina kitos Šalies ir/ar trečiųjų asmenų (Šalies klientų, darbuotojų, konsultantų ir kt.)
patirtos neturtinės žalos, išskyrus įstatymų nustatytais atvejais. Šalys susitaria, kad šiame punkte išdėstyti Šalių įsipareigojimai dėl atsakomybės ir nuostolių atlyginimo lieka galioti ir pasibaigus pagrindinei sutarčiai ar šiai Sutarčiai.
7. Kitos sąlygos
7.1. Šalių teisiniams santykiams pagal šią Sutartį yra taikoma Lietuvos Respublikos teisė. Visi dėl šios
Sutarties kylantys ginčai yra sprendžiami šalių tarpusavio susitarimu. Xxxxxx nepavykus susitarti, bet kokie ginčai, nesutarimai ar reikalavimai, kylantys iš šios Sutarties ar susiję su ja, jos pažeidimu, nutraukimu ar galiojimu, neišspręsti Šalių susitarimu, sprendžiami Lietuvos Respublikos teisme pagal Valdytojo buveinę, jeigu teisės aktuose nenustatyta kitaip.
7.2. Nebent Šalių numatyta kitaip, ši Sutartis įsigalioja nuo įsipareigojimo jos laikytis dienos ir galioja iki atskiro Valdytojo pranešimo Tvarkytojui apie jos nutraukimą, tačiau bet kuriuo atveju tol, kol Tvarkytojas tvarko Asmens duomenis Valdytojo pavedimu pagal pagrindinę sutartį. Nutraukus ar pasibaigus tarp Valdytojo ir Tvarkytojo pasirašytai pagrindinei sutarčiai, automatiškai nutrūksta Sutartis. Sutartis taikoma nuo 2018 m. gegužės 25 d. ir tampa neatskiriama tarp Valdytojo ir UAB "BTT Group" ir Jūsų (Jūsų atstovaujamos įmonės) pasirašytos pagrindinės sutarties dalimi (Civilinio kodekso 6.189 str. 2 d.).
7.3. Tvarkytojas neturi teisės tretiesiems asmenims perduoti visų ar dalies iš šios Sutarties kylančių savo teisių, pareigų ar atsakomybės be išankstinio Valdytojo raštiško sutikimo.
7.4. Jei viena iš Sutarties sąlygų yra ar tampa negaliojančia, tai neturi įtakos kitų Sutarties sąlygų galiojimui.
Negaliojanti sąlyga turi būti pakeista kita galiojančia sąlyga, kuri būtų artimiausia pakeičiamos sąlygos reikšmei.
7.5. Ši Sutartis yra neatskiriama tarp Valdytojo ir Tvarkytojo pasirašytos pagrindinės sutarties dėl prekių ir paslaugų teikimo dalis.
7.6. Jei būtų prieštaravimų tarp Pagrindinės sutarties ir Sutarties, taikomos Pagrindinės sutarties sąlygos.