DUOMENŲ TVARKYMO SUTARTIS

UAB saugos tarnyba ”Argus”

DUOMENŲ TVARKYMO SUTARTIS

Klientas           , įmonės kodas      , adresas       , atstovaujama         , (toliau – Duomenų valdytojas);

ir

UAB saugos tarnyba „Argus“, įmonės kodas 141237452, , adresas Xxxxxxxxx x. 25, Klaipėda, atstovaujama Įmonės atstovo (toliau – Duomenų tvarkytojas);

Pasirašė šią Duomenų tvarkymo sutartį (toliau - Sutartis).

1. SĄVOKOS

Jei šioje Sutartyje aiškiai nenurodyta kitaip, pirmąja didžiąja raide rašomos sąvokos turi reikšmes, nurodytas žemiau:

Asmuo (Duomenų subjektas)

Žmogus (fizinis asmuo), kurio duomenys tvarkomi;

Asmens duomenys bet kokia informacija, susijusi Asmeniu, kurio tapatybę galima nustatyti;

Duomenų tvarkytojas UAB saugos tarnyba „Argus“, įmonės kodas 141237452, Viršutinė g. 25, Klaipėda;

Duomenų valdytojas Duomenų tvarkytojo klientas, nurodytas šioje Sutartyje, kuris yra fizinis arba juridinis asmuo, pagal šią Sutartį nustatantis Asmens duomenų tvarkymo tikslus ir priemones;

Kitas duomenų tvarkytojas UAB saugos tarnybos „Argus“ pasitelkta trečioji šalis (subrangovas, subtiekėjas, partneris), kuri vykdo UAB saugos tarnybos „Argus“ nurodymus ir tvarko Asmens duomenis Duomenų valdytojo vardu.

Taikomi duomenų apsaugos įstatymai

bet kokie nacionaliniai ar tarptautiniai duomenų apsaugos įstatymai ar teisės aktai, taikomi šios Sutarties galiojimo metu, priklausomai nuo konkretaus atvejo, Duomenų valdytojui arba Duomenų tvarkytojui. “Taikomi duomenų apsaugos įstatymai” apima Bendrąjį duomenų apsaugos reglamentą (BDAR).

Tvarkymas bet kokia operacija ar operacijų rinkinys, atliekamas naudojant Asmens duomenis arba Asmens duomenų rinkinius, nepriklausomai nuo to ar tai atliekama automatizuotomis priemonėmis, tokie kaip rinkimas, įrašymas, organizavimas, struktūrizavimas, saugojimas, pritaikymas ar pakeitimas, paieška, konsultavimas, naudojimas, atskleidimas perduodant, skleidimas ir prieinamumas, derinimas, apribojimas, ištrynimas ar sunaikinimas; Šios Sutarties kontekste Tvarkymas apsiriboja tais veiksmais, kurie yra įvardinti šios Sutarties nuostatose ir/ arba prieduose.

Pagrindinė sutartis UAB saugos tarnybos „Argus“ sudaryta paslaugų teikimo sutartis (-ys) su Duomenų valdytoju, kurioje nustatomos paslaugų teikimo sąlygos ir tvarka ir kurios vykdymui būtina tvarkyti Asmens duomenis, Duomenų valdytojo nustatyta tvarka.

2. ASMENS DUOMENŲ TVARKYMAS

2.1 Vykdant Pagrindinę sutartį, Duomenų tvarkytojas tvarko Asmens duomenis, Duomenų valdytojo nustatytais tikslais, pagrindais ir tvarka. Duomenų tvarkytojo atliekamas Asmens duomenų Tvarkymas reglamentuojamas Pagrindine sutartimi, šia Sutartimi ir Taikomais duomenų apsaugos įstatymais, kurie yra privalomi Duomenų tvarkytojui Duomenų valdytojo atžvilgiu ir kuriais nustatoma Asmens duomenų Tvarkymo dalykas ir trukmė, Asmens duomenų Tvarkymo pobūdis ir tikslas, Asmens duomenų rūšis ir Asmenų kategorijos bei Duomenų valdytojo prievolės ir teisės, kaip nurodyta šioje Sutartyje ir Priede Nr. 1.

Duomenų tvarkymo sutartis (forma)/

Argus duomenų tvarkytojas 2018-05-15 versija Puslapis 1 iš 5

2.2 Duomenų tvarkytojas, tvarkydamas Asmens duomenis pagal šią Sutartį, laikosi visų Taikomų duomenų apsaugos įstatymų bei Valstybinės duomenų apsaugos inspekcijos ar kitų kompetentingų institucijų rekomendacijų. Duomenų tvarkytojas sutiks su visais šios Sutarties pakeitimais, kurie yra būtini pagal Taikomus duomenų apsaugos įstatymus.

2.3 Duomenų tvarkytojas padeda Duomenų valdytojui vykdyti jo įstatymines pareigas, numatytas Taikomuose duomenų apsaugos įstatymuose, įskaitant, bet neapsiribojant Duomenų valdytojo pareiga atsakyti į Asmenų prašymus pasinaudoti teise susipažinti su apie juos turima informacija bei prašyti Asmens duomenis ištaisyti, užblokuoti ar ištrinti tiek, kiek tai susiję su Duomenų tvarkytojo atliekama Tvarkymo veikla, pagal Pagrindinę ir šią Sutartį.

2.4 Duomenų tvarkytojas, kiek tai priklauso nuo jo, neatlieka jokių veiksmų, dėl kurių Duomenų valdytojas pažeistų Taikomus duomenų apsaugos įstatymus.

2.5 Duomenų tvarkytojas nedelsdamas informuoja Duomenų valdytoją, jei nėra nurodymų dėl Asmens duomenų Tvarkymo konkrečioje situacijoje, arba jei nurodymai pažeidžia šią Sutartį ar Taikomus duomenų apsaugos įstatymus.

2.6 Jei Asmenys, kompetentingos institucijos ar bet kokios kitos trečiosios šalys Duomenų tvarkytojo prašo informacijos apie tvarkomus Asmens duomenis kaip nurodyta šioje Sutartyje, Duomenų tvarkytojas informuoja Duomenų valdytoją apie tokį prašymą. Duomenų tvarkytojas jokiu būdu negali veikti Duomenų valdytojo vardu arba kaip jo atstovas, ir be išankstinių Duomenų valdytojo nurodymų negali perduoti ar bet kuriuo kitu būdu atskleisti Asmens duomenų ar kitos informacijos, susijusios su Asmens duomenų Tvarkymu, trečiosioms šalims. Jei Duomenų tvarkytojas pagal Taikomus duomenų apsaugos įstatymus ar kitus teisės aktus privalo atskleisti Asmens duomenis, kuriuos Duomenų tvarkytojas tvarko Duomenų valdytojo vardu, Duomenų tvarkytojas privalo nedelsdamas informuoti Duomenų valdytoją su prašymu atskleisti Asmens duomenis.

3. KITI DUOMENŲ TVARKYTOJAI

3.1 Duomenų tvarkytojas nepasitelkia Kito duomenų tvarkytojo be išankstinio konkretaus arba bendro rašytinio Duomenų valdytojo leidimo (pvz. kaip nurodyta Priede Nr. 1). Bendro rašytinio leidimo atveju Duomenų tvarkytojas informuoja Duomenų valdytoją apie Kito duomenų tvarkytojo pasitelkimą ar jo pakeitimą.

3.2 Duomenų tvarkytojas užtikrina, kad visi jo pasitelkti duomenų tvarkytojai pasirašytų Duomenų tvarkymo sutartis.

3.3 Duomenų valdytojas gali paprašyti, kad Duomenų tvarkytojas atliktų pasitelkto duomenų tvarkytojo auditą, arba pateiktų patvirtinimą, kad toks auditas jau įvyko, arba, jei įmanoma, padėtų Duomenų valdytojui gauti audito ataskaitą iš trečiųjų šalių, siekiant užtikrinti, kad būtų laikomasi Taikomų duomenų apsaugos įstatymų. Gavęs rašytinį prašymą, Duomenų valdytojas turi teisę gauti Duomenų tvarkytojo sutarčių su Kitais duomenų tvarkytojais dėl Asmens duomenų Tvarkymo kopijas.

3.4 Duomenų tvarkytojas išlieka atsakingas Duomenų valdytojui už Kito duomenų tvarkytojo prievolių vykdymą, kiek tai susiję su Duomenų tvarkytojo prievolėmis pagal Pagrindinę sutartį ir šią Sutartį.

4. PERDAVIMAS Į TREČIĄSIAS VALSTYBES

4.1 Duomenų tvarkytojas, be išankstinio konkretaus Duomenų valdytojo leidimo, negali perduoti Asmens duomenų už EEE ribų. Jei Duomenų valdytojas patvirtina tokį Asmens duomenų perdavimą, duomenų perdavimo šalys sudaro privalomą susitarimą, pagal galiojantį Europos Komisijos sprendimą dėl sutarčių standartinių sąlygų, nustatytų asmens duomenų perdavimui trečiosiose šalyse įsikūrusiems duomenų tvarkytojams. 2016 m. liepos 12 d. Europos Komisijos priimta „Privatumo skydo“ sistema yra alternatyva perduodant Asmens duomenis Duomenų tvarkytojams, esantiems JAV.

4.2 Jei Duomenų valdytojas pasitelkia papildomus duomenų tvarkytojus, esančius už EEE ribų, Duomenų tvarkytojas Duomenų valdytojo vardu sudaro privalomą susitarimą su juridiniu asmeniu, esančiu už EEE ribų, kuris turi atitikti Priede Nr. 1 pateiktas instrukcijas. 2016 m. liepos 12 d. Europos Komisijos priimta „Privatumo skydo“ sistema yra alternatyva perduodant Asmens duomenis Kitiems duomenų tvarkytojams, esantiems JAV.

4.3 Duomenų valdytojas pagrįstomis aplinkybėmis gali atšaukti leidimą perduoti Asmens duomenis į trečiąsias valstybes, kaip nurodyta 4.1. punkte. Tokiu atveju, Duomenų tvarkytojas nedelsiant nutraukia Asmens duomenų perdavimą į trečiąsias valstybės bei pateikia raštišką nutraukimo patvirtinimą.

5. INFORMACIJOS SAUGUMAS IR KONFIDENCIALUMAS

5.1 Duomenų tvarkytojas, siekdamas padėti Duomenų valdytojui vykdyti teisines prievoles, įskaitant, bet neapsiribojant, įgyvendinti duomenų saugumo priemones ir atlikti poveikio duomenų apsaugai vertinimą, užtikrina, kad ėmėsi tinkamų techninių ir organizacinių priemonių tvarkomiems Asmens duomenims apsaugoti ir laikosi visų Duomenų valdytojo nurodytų duomenų saugumo politikų ir instrukcijų. Priemonės turi užtikrinti tinkamą saugumo lygį, atsižvelgiant į:

(i) esamas technines galimybes bei teikiamas paslaugas;

(ii) priemonių sąnaudas;

(iii) ypatingą riziką, susijusią su Asmens duomenų tvarkymu; ir

(iv) specialių kategorijų Asmens duomenų tvarkymą.

5.2 Duomenų tvarkytojas turi užtikrinti pakankamą jo tvarkomų Asmens duomenų saugumo lygį. Duomenų tvarkytojas apsaugo Asmens duomenis nuo sunaikinimo, pakeitimo, neteisėto atskleidimo ar neteisėtos prieigos, kiek tai priklauso nuo Duomenų tvarkytojo. Asmens duomenys taip pat saugomi nuo visų kitų neteisėtų Asmens duomenų Tvarkymo būdų. Atsižvelgdamas į techninių galimybių išsivystymo lygį, įgyvendinimosąnaudas bei Asmens duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat Asmens duomenų Tvarkymo keliamus įvairiostikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, Duomenų tvarkytojas įgyvendina tinkamas technines ir organizacines priemones, kad būtų užtikrintas pavojų atitinkančio lygio saugumas, įskaitant, interalia, jei reikia:

(v) pseudonimų suteikimą Asmens duomenims ir jų šifravimą;

(vi) gebėjimą užtikrinti nuolatinį Asmens duomenų Tvarkymo sistemų ir paslaugų konfidencialumą, vientisumą, prieinamumą ir atsparumą;

(vii) gebėjimą laiku atkurti sąlygas ir galimybes naudotis Asmens duomenimis fizinio ar techninio incidento atveju; ir

(viii) reguliarų techninių ir organizacinių priemonių, kuriomis užtikrinamas Asmens duomenų tvarkymo saugumas, tikrinimo, vertinimo ir veiksmingumo vertinimo procesą.

5.3 Įgyvendindamas technines ir organizacines priemones, kaip nurodyta 5.2. punkte, Duomenų tvarkytojas taiko šias priemones. Konkrečiai taikomos Duomenų tvarkytojo priemonės nurodomos Sutarties priede Nr. 1:

(i) fizinės prieigos apsaugą. Neprižiūrimos Duomenų tvarkytojo patalpos, su kompiuterine įranga ir asmenine informacija, turi būti laikomos užrakintos, siekiant apsaugoti Asmens duomenis nuo neteisėto naudojimo, poveikio ar vagystės;

(ii) duomenų atkūrimo procesą, skirtą nuskaityti Asmens duomenis, atkurtus iš atsarginių kopijų;

(iii) leidimų kontrolę, pagal kurią prieiga prie Asmens duomenų galima per techninę leidimų kontrolės sistemą. Leidimas turi galioti tik tiems asmenims, kuriems Asmens duomenys reikalingi tiesioginėms darbo funkcijoms atlikti. Vartotojo vardai ir slaptažodžiai turi būti privatūs ir negali būti perduoti kitiems subjektams. Taip pat turi būti nustatytos leidimų paskirstymo ir panaikinimo procedūros;

(iv) galimybę registruoti prisijungimus prie Asmens duomenų;

(v) saugią komunikaciją, kai išoriniai duomenų perdavimo ryšiai apsaugoti naudojant technines funkcijas, užtikrinančias leidimą prisijungti, taip pat turinio šifravimą tranzitu perduodamuose duomenų perdavimo kanaluose už Duomenų tvarkytojo kontroliuojamų sistemų;

(vi) procesus, skirtus saugiam Asmens duomenų naikinimui užtikrinti, kai fiksuotos arba keičiamos laikmenos nebenaudojamos pagal paskirtį;

(vii) susitarimų dėl konfidencialumo su paslaugų teikėjais, kurie teikia Asmens duomenų saugojimui naudojamos įrangos aptarnavimą ir priežiūrą, sudarymą;

(viii) paslaugų teikėjų priežiūrą Duomenų tvarkytojo patalpose. Laikmena, kurioje yra Asmens duomenys turi būti pašalinama iš patalpų, jei priežiūra neįmanoma.

5.4 Duomenų tvarkytojas, sužinojęs apie bet kokią neleistiną prieigą prie Asmens duomenų ar kitą saugumo incidentą (Duomenų saugumo pažeidimą), turi imtis visų reikalingų veiksmų ir nepagrįstai nedelsdamas, jei tik įmanoma, pranešti apie tai Duomenų valdytojui, bet jokiu būdu ne vėliau kaip per 24 valandas, po to, kai sužinojo apie pažeidimą. Pranešime turi būti bent:

(i) aprašytas Asmens duomenų saugumo pažeidimo pobūdis, įskaitant, jeigu įmanoma, atitinkamų Asmenų kategorijas ir apytikslį skaičių,̨ taip pat atitinkamų Asmens duomenų ̨ įrašų kategorijas ir apytikslį skaičių;̨

(ii) nurodyta duomenų ̨ apsaugos pareigūno arba kito kontaktinio asmens, galinčio suteikti daugiau

informacijos, vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;

(iii) aprašytos tikėtinos asmens duomenų ̨ saugumo pažeidimo pasekmės Asmenims;

(iv) aprašytos priemonės, kurių ėmėsi arba pasiūlė̇ imtis Duomenų̨ valdytojas, kad būtų̨ pašalintas asmens duomenų ̨ saugumo pažeidimas, įskaitant, kai tinkama, priemones galimoms neigiamoms jo pasekmėms sumažinti.

5.5 Be Duomenų valdytojo išankstinio rašytinio sutikimo, Duomenų tvarkytojas įsipareigoja neatskleisti tvarkomų Asmens duomenų jokioms trečioms šalims, išskyrus pasitelktus Kitus duomenų tvarkytojus, kaip nurodyta šioje Sutartyje.

5.6 Duomenų tvarkytojas privalo užtikrinti, kad prieiga prie Asmens duomenų būtų suteikta tik tiems darbuotojams, kuriems tai yra būtina dėl tiesioginių darbo funkcijų atlikimo pagal šią Sutartį. Duomenų tvarkytojas užtikrina, kad tokie darbuotojai laikosi konfidencialumo įsipareigojimų tokiu pat mastu, kaip ir Duomenų tvarkytojas pagal šią Sutartį.

5.7 Konfidencialumo įsipareigojimai numatyti šioje Sutartyje lieka galioti ir po šios Sutarties pasibaigimo arba jos nutraukimo.

6. TEISĖ ATLIKTI AUDITĄ

6.1 Duomenų valdytojas pats turi teisę imtis priemonių, reikalingų patikrinti, ar Duomenų tvarkytojas gali vykdyti savo įsipareigojimus pagal šią Sutartį, ir ar Duomenų tvarkytojas iš tiesų ėmėsi priemonių, užtikrinančių tokį atitikimą. Duomenų tvarkytojas įsipareigoja Duomenų valdytojui pateikti visą reikalingą informaciją, įrodančią, kad laikomasi šioje Sutartyje nustatytų įsipareigojimų, bei leidžia atlikti auditą, įskaitant patikrinimus vietoje, vykdomų Duomenų valdytojo arba Kito Duomenų valdytojo paskirto auditoriaus, Duomenų valdytojo lėšomis ir pajėgomis.

7. TERMINAS

7.1 Šios Sutarties nuostatos taikomos tiek, kiek Duomenų tvarkytojas tvarko Asmens duomenis Duomenų valdytojo vardu pagal Pagrindinę sutartį.

8. TEISĖS AKTAI

8.1 Ši Sutartis reglamentuojama ir aiškinama pagal Lietuvos Respublikos materialinę teisę.

9. ASMENS DUOMENŲ TVARKYMO PABAIGA

9.1 Pasibaigus šiai Sutarčiai, Duomenų tvarkytojas ištrina arba grąžina visus Asmens duomenis Duomenų valdytojui ir užtikrina, kad bet kuris Kitas duomenų tvarkytojas pasielgė taip pat.

9.2 Duomenų valdytojo prašymu Duomenų tvarkytojas raštiškai informuoja Duomenų valdytoją apie priemones, kurių buvo imtasi po duomenų tvarkymo užbaigimo.

10. ATSAKOMYBĖ

10.1. Duomenų tvarkytojo atsakomybė Duomenų valdytojo atžvilgiu atsiranda ir galioja pagal Pagrindinės sutarties nuostatas.

10.2. Duomenų tvarkytojui pagal Sutartį nepriskiriama atsakomybė, kuri pagal savo esmę bei pagal BDAR ar kitus teisės aktus yra priskiriama Duomenų valdytojui.

11. KITOS NUOSTATOS

11.1 Jei Duomenų valdytojas pagrįstai reikalauja, Duomenų tvarkytojas turi įdiegti papildomas technines ir organizacines saugumo priemones ar įgyvendinti Tvarkymo pokyčius, Šalims suderinus išlaidų atlyginimo kaštus. Duomenų tvarkytojui pranešama apie bet kokius Duomenų valdytojo nurodymus, susijusius su saugumu ir Asmens duomenų Tvarkymu, patikslinimus per pagrįstą laiką, kad Duomenų tvarkytojas galėtų atlikti reikiamus procedūrų pakeitimus.

11.2 Duomenų tvarkytojas negali perduoti šios Sutarties vykdymo be Duomenų valdytojo patvirtinimo.

12. GINČAI

12.1 Bet koks ginčas ar reikalavimas, kylantis iš šios Sutarties, sprendžiamas pagal Pagrindinės sutarties nuostatas, kompetentinguose LR teismuose.

13. EGZEMPLIORIAI IR PARAŠAI

13.1 Sutartis sudaryta dviem egzemplioriais, turinčiais vienodą juridinę galią (po vieną kiekvienai šaliai).