SUSITARIMAS DĖL ASMENS DUOMENŲ TVARKYMO PRIE 2023 M. .......................D. PIRKIMO SUTARTIES NR. SR-......................... Kaunas

Pagrindinės sutarties 3 priedas

SUSITARIMAS DĖL ASMENS DUOMENŲ TVARKYMO

PRIE 2023 M. .......................D. PIRKIMO SUTARTIES NR. SR-.........................

20 m. ____________ d. Nr. _____

Kaunas

Kauno mieto savivaldybės administracija (toliau – Duomenų valdytojas), juridinio asmens kodas 188764867, buveinės adresas: Laisvės al. 96, Kaunas, atstovaujama Bendrųjų reikalų skyriaus vedėjo Xxxxxx Xxxxxxxxxx, veikiančio pagal Kauno miesto savivaldybės administracijos direktoriaus 2023 m. balandžio 20 d. įsakymą Nr. A-1464 „Dėl įgaliojimų suteikimo Artūrui Xxxxxxxxxx ir Ausmai Alešiūnienei“, ir ...........................................................(toliau – Duomenų tvarkytojas), juridinio asmens kodas ............................................., buveinės adresas: ........................................, atstovaujama ................................................, veikiančio pagal ....................................., kiekviena atskirai vadinama Šalimi, o kartu – Xxxxxxx, vadovaudamosi tarp Šalių sudarytos 2023 m. ...................d. pirkimo sutarties Nr.SR-........ (toliau – Sutartis).......... ...............(punktu/papunkčiu), 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas), sudarė šį susitarimą dėl asmens duomenų tvarkymo (toliau – Susitarimas).

I SKYRIUS

SUSITARIMO DALYKAS IR TIKSLAS

1. Susitarimo dalykas – asmens duomenų tvarkymas, Duomenų tvarkytojo atliekamas Duomenų valdytojo vardu, teikiant judriojo telefono ryšio ir duomenų perdavimo paslaugas, įgyvendinant Sutartį. Šis Susitarimas yra taikomas visiems asmens duomenims, kuriuos Duomenų tvarkytojas tvarko, remdamasis Sutartimi.

2. Vykdydamos Susitarimą, Šalys vadovaujasi Reglamentu, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu ir kitais asmens duomenų apsaugą reglamentuojančiais teisės aktais (toliau – Asmens duomenų apsaugos teisės aktai).

3. Susitarimo tikslas – užtikrinti asmens duomenų tvarkymo, kurį Duomenų tvarkytojas atlieka Duomenų valdytojo vardu, apsaugą ir saugumą. Asmens duomenų tvarkymo sąlygos nustatytos Susitarimo 1 priede.

4. Susitarime vartojamos sąvokos atitinka sąvokas, vartojamas Reglamente.

5. Duomenų tvarkytojo atliekamas asmens duomenų tvarkymas reglamentuojamas Sutartimi, Susitarimu, kitais Duomenų valdytojo nurodymais ir Asmens duomenų apsaugos teisės aktais, kurie yra privalomi Duomenų tvarkytojui ir Duomenų valdytojui. Duomenų tvarkytojas susilaiko nuo bet kokių veiksmų, dėl kurių Duomenų valdytojas pažeistų Asmens duomenų apsaugos teisės aktus.

6. Tais atvejais, kai Duomenų tvarkytojas privalo tvarkyti Sutarties ir šio Susitarimo vykdymo metu gautus asmens duomenis tais tikslais ir pagrindais, kurių nenumato Sutartis ar šis Susitarimas ir kurie yra privalomi Duomenų tvarkytojui pagal jo veiklą reglamentuojančius teisės aktus, Duomenų valdytojas neatsako už tokį duomenų tvarkymą ir Duomenų tvarkytojas toje apimtyje veikia kaip Duomenų valdytojas.

II SKYRIUS

DUOMENŲ VALDYTOJO TEISĖS IR PAREIGOS

7. Duomenų valdytojo pareigas nustato Asmens duomenų apsaugos teisės aktai, Sutartis, vidiniai Duomenų valdytojo teisės aktai.

8. Duomenų valdytojas privalo užtikrinti, kad asmens duomenys būtų tvarkomi laikantis Reglamento (žr. Reglamento 24 str.), Asmens duomenų teisinės apsaugos įstatymo, Sutarties ir šio Susitarimo.

9. Duomenų valdytojas be kita ko privalo užtikrinti, kad asmens duomenų tvarkymas, dėl kurio jis Duomenų tvarkytojui duoda nurodymus, yra teisėtas, neprieštaraujantis teisės aktams.

10. Duomenų valdytojas įsipareigoja Duomenų tvarkytojo prašymu pateikti visą reikiamą informaciją, dokumentus ir suteikti pagalbą, kad Duomenų tvarkytojas galėtų tinkamai vykdyti visus Asmens duomenų apsaugos teisės aktų reikalavimus.

11. Duomenų valdytojas duomenų subjekto teises įgyvendina vadovaudamasis Reglamentu, Duomenų subjektų teisių įgyvendinimo Kauno miesto savivaldybės administracijoje tvarkos aprašu, patvirtintu Kauno miesto savivaldybės administracijos direktoriaus 2019 m. vasario 20 d. įsakymu Nr. A-593 „Dėl Duomenų subjektų teisių įgyvendinimo Kauno miesto savivaldybės administracijoje tvarkos aprašo patvirtinimo“.

12. Duomenų valdytojo teisės:

12.1. Duomenų tvarkytojui bet kuriuo metu duoti privalomus papildomus rašytinius nurodymus dėl asmens duomenų tvarkymo, duomenų subjektų teisių įgyvendinimo;

12.2. gauti iš Duomenų tvarkytojo informaciją, dokumentus ir paaiškinimus apie asmens duomenų tvarkymą;

12.3. reikalauti, kad Duomenų tvarkytojas ištaisytų dėl jo veiksmų atsiradusius klaidingus arba netikslius duomenis;

12.4. reikalauti nutraukti, sustabdyti asmens duomenų tvarkymo veiksmus, sunaikinti asmens duomenis;

12.5. atlikti auditą / patikrinimą šio Susitarimo XI skyriuje nustatyta tvarka;

12.6. kaip numatyta Susitarimo 50 punkte, nutraukti Susitarimą apie tai iš anksto neįspėjęs Duomenų tvarkytojo, jeigu Duomenų tvarkytojas nevykdo Susitarimu prisiimtų įsipareigojimų arba akivaizdžiai nesilaiko Asmens duomenų apsaugos teisės aktų reikalavimų ir per Duomenų valdytojo nustatytą terminą nepašalina pažeidimo.

13. Šio skyriaus nuostatos neatleidžia Duomenų valdytojo nuo kitų pareigų, kurios jam taikomos pagal Reglamentą ar kitus teisės aktus.

III SKYRIUS

Duomenų tvarkytojo teisės ir pareigos

14. Duomenų tvarkytojas turi teisę gauti iš Duomenų valdytojo informaciją, dokumentus ir paaiškinimus apie duomenų tvarkymą.

15. Duomenų tvarkytojo pareigos:

15.1. tvarkyti asmens duomenis tik griežtai laikantis Sutartyje ir Susitarime nustatytų tikslų ir apimties ir tik pagal Duomenų valdytojo nurodymus (įskaitant Duomenų valdytojo bet kuriuo metu papildomai duodamus rašytinius nurodymus), išskyrus atvejus, kai tai daryti reikalaujama pagal Europos Sąjungos arba Lietuvos Respublikos teisės aktus, kurie yra taikomi Duomenų tvarkytojui. Kai Europos Sąjungos arba Lietuvos Respublikos teisės aktai reglamentuoja Duomenų tvarkytojo veiklą tvarkant asmens duomenis, Duomenų tvarkytojas prieš pradėdamas tvarkyti duomenis arba Susitarimo pasirašymo metu raštu praneša apie tokį teisinį reglamentavimą Duomenų valdytojui, išskyrus atvejus, kai pagal tuos teisės aktus toks pranešimas yra draudžiamas dėl svarbių viešojo intereso priežasčių;

15.2. nedelsdamas raštu informuoti Duomenų valdytoją, jei, jo nuomone, Duomenų valdytojo nurodymas pažeidžia Reglamentą ar kitus asmens duomenų apsaugą reglamentuojančius teisės aktus. Tokiu atveju Duomenų valdytojas pakeičia savo nurodymus arba raštu motyvuotai atsako Duomenų tvarkytojui, kodėl tai nėra daroma;

15.3. įgyvendinti Reglamento 32 straipsnyje numatytas ir Duomenų valdytojo apibrėžtas tinkamas technines ir organizacines priemones, kad būtų užtikrintas pavojų atitinkančio lygio saugumas, atsižvelgiant į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms;

15.4. Duomenų tvarkytojas, įgyvendindamas tinkamas technines ir organizacines priemones, turi užtikrinti pavojų atitinkančio lygio saugumą. Duomenų tvarkytojas taiko šias priemones:

15.4.1. fizinės prieigos apsaugą: patalpos, su kompiuterine įranga ir asmenine informacija, turi būti laikomos užrakintos, siekiant apsaugoti asmens duomenis nuo neteisėto naudojimo, poveikio ar vagystės;

15.4.2. duomenų atkūrimo procesą: atkurti prarastus ar sugadintus asmens duomenis iš atsarginių kopijų;

15.4.3. leidimų kontrolę: prieiga prie asmens duomenų galima per techninę leidimų kontrolės sistemą. Leidimas turi galioti tik tiems asmenims, kuriems asmens duomenys reikalingi darbo funkcijoms atlikti. Vartotojo vardai ir slaptažodžiai turi būti privatūs ir negali būti perduoti kitiems subjektams. Taip pat turi būti nustatytos leidimų paskirstymo ir panaikinimo procedūros;

15.4.4. galimybę registruoti prisijungimus prie duomenų bazėse tvarkomų asmens duomenų: turi būti sudarytos sąlygos retrospektyviai peržiūrėti tokius prisijungimus duomenų bazėse;

15.4.5. saugią komunikaciją: išoriniai duomenų perdavimo ryšiai turi būti apsaugoti naudojant technines funkcijas, užtikrinančias prieigos kontrolę, taip pat turinio šifravimą tranzitu perduodamuose duomenų perdavimo kanaluose už Duomenų tvarkytojo kontroliuojamų sistemų;

15.4.6. procesus, skirtus saugiam asmens duomenų naikinimui užtikrinti, kai fiksuotos arba keičiamos laikmenos nebenaudojamos pagal paskirtį;

15.4.7. paslaugų teikėjų ir kitų trečiųjų asmenų priežiūrą Duomenų tvarkytojo patalpose. Laikmena, kurioje yra asmens duomenys, turi būti pašalinama iš patalpų, jei priežiūra neįmanoma;

15.5. Sutartyje bei šiame Susitarime tiesiogiai nurodytos techninės ir organizacinės priemonės taikomos be papildomo atlygio. Kitos (papildomos), Sutartyje bei šiame Susitarime aiškiai nenurodytos priemonės taikomos Duomenų valdytojo lėšomis ir iniciatyva. Priemonės pradedamos taikyti, kai Šalys susitaria dėl priemonių apimties ir diegimo kainos;

15.6. Duomenų valdytojui pateikus nurodymą sustabdyti asmens duomenų tvarkymo veiksmus ar grąžinti arba ištrinti nurodytus asmens duomenis (įskaitant visas jų kopijas), Duomenų tvarkytojas minėtą nurodymą įvykdo ne vėliau kaip per 5 darbo dienas nuo tokio nurodymo gavimo dienos, išskyrus tuos asmens duomenis, kuriuos reikia saugoti pagal Europos Sąjungos ar jos valstybės narės teisės aktus. Duomenų tvarkytojas užtikrina, kad pasitelkti kiti duomenų tvarkytojai atliktų tuos pačius veiksmus. Duomenų valdytojo nurodymas sustabdyti asmens duomenų tvarkymo veiksmus ar grąžinti arba ištrinti nurodytus asmens duomenis Duomenų tvarkytojui turi būti motyvuotas ir pagrįstas. Jei asmens duomenų tvarkymo veiksmai yra sustabdomi, jie vėl gali būti vykdomi tik Duomenų valdytojui davus atskirą nurodymą atnaujinti sustabdytus asmens duomenų tvarkymo veiksmus;

15.7. Duomenų valdytojo prašymu imtis protingų priemonių nutraukti duomenų tvarkymą po Sutarties pasibaigimo. Duomenų valdytojo prašymu Duomenų tvarkytojas raštu informuoja Duomenų valdytoją apie priemones, kurių buvo imtasi vykdant Duomenų valdytojo prašymą nutraukti duomenų tvarkymą;

15.8. Duomenų valdytojui paprašius, ne vėliau kaip per 5 darbo dienas nuo prašymo gavimo dienos, pateikti jo prašomą informaciją, būtiną siekiant įrodyti, kad vykdomos Susitarime ir Reglamento 28 straipsnio a-h punktuose duomenų tvarkytojams nustatytos prievolės, ir, vadovaudamasis Duomenų valdytojo išankstiniu prašymu, sudaryti sąlygas bei padėti Duomenų valdytojui arba jo įgaliotam auditoriui atlikti Susitarimo pagrindu vykdomo asmens duomenų tvarkymo auditą arba patikrinimus. Duomenų tvarkytojas nedelsdamas informuoja Duomenų valdytoją, jei, jo nuomone, toks prašymas pažeidžia Reglamentą arba teisės aktuose įtvirtintas duomenų apsaugos nuostatas.

16. Šio skyriaus nuostatos neatleidžia Duomenų tvarkytojo nuo kitų pareigų, kurios jam taikomos pagal Reglamentą ar kitus teisės aktus.

IV SKYRIUS

KITŲ DUOMENŲ TVARKYTOJŲ PASITELKIMAS

17. Duomenų tvarkytojui draudžiama pasitelkti kitus duomenų tvarkytojus (toliau – subtvarkytojas) be išankstinio Duomenų valdytojo rašytinio sutikimo.

18. Duomenų tvarkytojas, gavęs Duomenų valdytojo sutikimą ir pasitelkęs subtvarkytojus, sutartimi nustato ne mažesnės apimties asmens duomenų apsaugos pareigas negu tos, kurios Duomenų tvarkytojui yra numatytos šiame Susitarime, visų pirma, pareigą užtikrinti, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų Reglamento ir kitų teisės aktų reikalavimus.

19. Sutarties su subtvarkytoju kopija ir jos vėlesni pakeitimai, Duomenų valdytojo prašymu, pateikiami Duomenų valdytojui, tokiu būdu suteikiant Duomenų valdytojui galimybę užtikrinti, kad subtvarkytojui taikomos tos pačios duomenų apsaugos prievolės, kaip yra nustatyta Susitarime. Duomenų tvarkytojas turi informuoti Duomenų valdytoją apie visus subtvarkytojo pareigų, nustatytų tokia sutartimi ar kitu teisės aktu, netinkamo atlikimo atvejus. Duomenų valdytojui nėra privaloma pateikti asmens duomenų tvarkymo sutarties dėl su verslu susijusių nuostatų, kurios nedaro įtakos su subtvarkytoju sudarytos sutarties teisinėms asmens duomenų apsaugos sąlygoms.

20. Duomenų tvarkytojas išlieka atsakingas Duomenų valdytojui už savo pasitelktų subtvarkytojų veiksmus ar neveikimą tvarkant Duomenų valdytojo patikėtus asmens duomenis. Duomenų valdytojas subtvarkytojų atžvilgiu įgyja tokias pat teises, kokias pagal šį Susitarimą turi Duomenų tvarkytojo atžvilgiu.

21. Duomenų valdytojas turi teisę pareikalauti, kad Duomenų tvarkytojas patikrintų savo pasitelktą subtvarkytoją arba pateiktų tokio patikrinimo atlikimo patvirtinimą, arba, jei yra galimybė, gautų ar padėtų Duomenų valdytojui gauti išorinio auditoriaus išvadą dėl pasitelkto subtvarkytojo veiklos, siekiant užtikrinti Asmens duomenų apsaugos teisės aktų reikalavimų vykdymą.

22. Išimtiniais atvejais, kai būtina operatyviai ir neatidėliotinai pašalinti asmens duomenų saugos incidentą, jį suvaldyti, išvengti tolesnės žalos, nutraukti žalos darymą, ir kai dėl atitinkamų neatidėliotinų aplinkybių Duomenų tvarkytojas neturi galimybės to atlikti savarankiškai ar per šio Susitarimo IV skyriuje nustatyta tvarka jau pasitelktus subtvarkytojus, Duomenų tvarkytojas turi teisę skubos tvarka aukščiau nurodytam tikslui pasitelkti subtvarkytoją ir be išankstinio Duomenų valdytojo rašytinio sutikimo. Tokiu atveju apie pasitelktą tokį subtvarkytoją Duomenų tvarkytojas informuoja Duomenų valdytoją per 1 (vieną) darbo dieną ir užtikrina, kad pasitelktas subtvarkytojas būtų įsipareigojęs laikytis konfidencialumo reikalavimų. Subtvarkytojo pasitelkimas pagal šį Susitarimo punktą nepanaikina ir neapriboja Duomenų tvarkytojo atsakomybės Duomenų valdytojui, kaip ji apibrėžta šio Susitarimo 20 punkte.

V skyrius

DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMAS

23. Duomenų tvarkytojas, atsižvelgdamas į duomenų tvarkymo pobūdį, padeda Duomenų valdytojui taikydamas tinkamas technines ir organizacines priemones, kiek tai įmanoma, kad būtų įvykdyta Duomenų valdytojo prievolė atsakyti į prašymus pasinaudoti Reglamento III skyriuje nustatytomis duomenų subjektų teisėmis.

24. Duomenų tvarkytojas, atsižvelgdamas į duomenų tvarkymo pobūdį ir jam prieinamą informaciją, taip pat padeda Duomenų valdytojui užtikrinti:

24.1. Duomenų valdytojo pareigą nedelsiant ir, jei įmanoma, ne vėliau kaip per 72 valandas po to, kai apie tai sužinojo, pranešti apie asmens duomenų saugumo pažeidimą kompetentingai priežiūros institucijai – valstybinei duomenų apsaugos inspekcijai, nebent asmens duomenų saugumo pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms;

24.2. Duomenų valdytojo pareigą nepagrįstai nedelsiant pranešti duomenų subjektui apie asmens duomenų pažeidimą, kai asmens duomenų saugumo pažeidimas gali sukelti didelę riziką fizinių asmenų teisėms ir laisvėms;

24.3. Duomenų valdytojo pareigą atlikti numatytų asmens duomenų tvarkymo operacijų poveikio duomenų apsaugai vertinimą, kai asmens duomenų tvarkymo būdas gali sukelti didelę riziką fizinių asmenų teisėms ir laisvėms;

24.4. Duomenų valdytojo pareigą konsultuotis su kompetentinga priežiūros institucija –Valstybine duomenų apsaugos inspekcija, prieš pradedant duomenų tvarkymą, jei poveikio duomenų apsaugos vertinimas rodo, kad duomenų tvarkymas sukeltų didelę riziką, jei Duomenų valdytojas nesiimtų priemonių tai rizikai sumažinti.

VI skyrius

ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMAS

25. Bet kokio asmens duomenų saugumo pažeidimo atveju Duomenų tvarkytojas privalo nedelsdamas, bet ne vėliau kaip per 24 darbo valandas nuo tada, kai Duomenų tvarkytojas sužinojo apie asmens duomenų saugumo pažeidimą, raštu informuoti apie tai Duomenų valdytoją, jei įmanoma pateikiant šią informaciją:

25.1. asmens duomenų saugumo pažeidimo apibūdinimas;

25.2. asmens duomenų saugumo pažeidimo data, laikas ir vieta;

25.3. asmens duomenų saugumo pažeidimo nustatymo data ir laikas;

25.4. asmens duomenų saugumo pažeidimo aplinkybės (asmens duomenų konfidencialumo praradimas (neautorizuota prieiga ar atskleidimas), asmens duomenų vientisumo praradimas (neautorizuotas asmens duomenų pakeitimas), asmens duomenų prieinamumo praradimas (asmens duomenų praradimas, sunaikinimas);

25.5. tikslus ar apytikslis duomenų subjektų, kurių asmens duomenų saugumas pažeistas, skaičius ir kategorijos;

25.6. asmens duomenų, kurių saugumas pažeistas, kategorijos ir tikslus ar apytikslis atitinkamų asmens duomenų įrašų skaičius pagal kategorijas;

25.7. tikėtinos asmens duomenų saugumo pažeidimo pasekmės;

25.8. kita, Duomenų tvarkytojo nuomone, reikšminga informacija;

25.9. priemonės, kurių ėmėsi arba siūlo imtis Duomenų tvarkytojas, kad būtų pašalintas asmens duomenų saugumo pažeidimas arba kad būtų sumažintos jo sukeltos pasekmės;

25.10. pranešimo vėlavimo priežastys, jeigu apie asmens duomenų saugumo pažeidimą pranešama vėliau nei per 24 valandas nuo tada, kai Duomenų tvarkytojas sužinojo apie asmens duomenų saugumo pažeidimą;

25.11. duomenų apsaugos pareigūno ir / arba kito kontaktinio asmens, galinčio suteikti daugiau informacijos, kontaktiniai duomenys.

26. Įvykus asmens duomenų saugumo pažeidimui, Duomenų tvarkytojas, jei įmanoma, privalo nedelsdamas imtis priemonių pašalinti asmens duomenų saugumo pažeidimą ir priemonių galimoms neigiamoms jo pasekmėms sumažinti.

27. Duomenų tvarkytojas savo iniciatyva ir pagal Duomenų valdytojo prašymus ir toliau po Sutarimo 25 punkte nurodyto pranešimo pateikimo teikia Duomenų valdytojui visą informaciją apie asmens duomenų saugumo pažeidimą ir, bendradarbiaudamas su Duomenų valdytoju, imasi visų įmanomų priemonių, kad būtų pašalintas asmens duomenų saugumo pažeidimas arba kad būtų sumažintos jo sukeltos pasekmės, įgyvendina priemones, kurios padėtų išvengti asmens duomenų apsaugos pažeidimų ateityje.

VII skyrius

Atsakomybė ir ginčų sprendimo tvarka

28. Už šio Susitarimo įsipareigojimų nevykdymą arba netinkamą vykdymą Šalys atsako Lietuvos Respublikos ir (ar) Europos Sąjungos teisės aktų nustatyta tvarka.

29. Duomenų tvarkytojas tampa atsakingas už Duomenų valdytojo perduodamų asmens duomenų tvarkymą tik nuo to momento, kai šie asmens duomenys pasiekia Duomenų tvarkytojo kontroliuojamas informacines sistemas.

30. Xxx Xxxxx bus atsakingos už kitos Šalies patirtus tiesioginius nuostolius, atsiradusius pažeidus šio Susitarimo ir taikomų teisės aktų reikalavimus.

31. Nedarant poveikio šio skyriaus nuostatoms, Reglamento 82, 83 ir 84 straipsniams, jei Duomenų tvarkytojas veikia ne pagal Duomenų valdytojo nurodymus ir nustatydamas duomenų tvarkymo tikslus ir priemones pažeidžia Reglamentą, to duomenų tvarkymo atžvilgiu Duomenų tvarkytojas yra laikomas duomenų valdytoju.

32. Turint įtarimą, jog Duomenų tvarkytojas nesilaiko šio Susitarimo, Duomenų valdytojas apie tai raštu informuoja Duomenų tvarkytoją. Pasitvirtinus informacijai, jog yra nesilaikoma šio Susitarimo nuostatų, Duomenų valdytojas suteikia Duomenų tvarkytojui teisę per 30 (trisdešimt) kalendorinių dienų laikotarpį (įspėjimo terminą) visiškai pašalinti pažeidimą. Visiškai nepašalinus pažeidimo, Duomenų valdytojas turi teisę be įspėjimo nutraukti Susitarimą.

33. Duomenų tvarkytojas nebus atsakingas už jokius Susitarimo ar iš jo kylančius asmens duomenų tvarkymo pažeidimus tais atvejais, kai šio Susitarimo netinkamą vykdymą ar asmens duomenų tvarkymo pažeidimus lėmė netikslios, netinkamos Duomenų valdytojo instrukcijos, netikslūs, nepilni ar nekorektiški (netinkamu formatu pateikti) Duomenų valdytojo pateikti asmens duomenys, ar dėl kitų ne nuo Duomenų tvarkytojo priklausančių priežasčių. Visais atvejais Duomenų tvarkytojo atsakomybė ribojama tik Duomenų valdytojo visais tiesioginiais nuostoliais, susijusiais su šio Susitarimo pažeidimu dėl Duomenų tvarkytojos tyčios ar didelio neatsargumo. Duomenų valdytojas įsipareigoja visiškai atlyginti visus Duomenų tvarkytojo patirtus tiesioginius nuostolius, išlaidas ar kaštus, susijusius su Duomenų valdytojo klientų / duomenų subjektų ar kitų asmenų pretenzijų, reikalavimų ar ieškinių vykdymu ir tenkinimu, taip pat kompetentingų institucijų nurodymų vykdymu, išskyrus atvejus, kai tokius nuostolius, išlaidas ar kaštus sukėlė paties Duomenų tvarkytojo tyčia ar didelis neatsargumas pažeidžiant šį Susitarimą.

34. Jokiais atvejais nė viena iš Šalių nebus atsakinga už kitos Šalies patirtus netiesioginius nuostolius (negautas pajamas, prarastą galimybę ir pan.), kiek tai susiję su šio Susitarimo vykdymu.

35. Su Susitarimu susiję ginčai, kurių nepavyksta išspręsti derybų keliu per 30 kalendorinių dienų nuo pagrįstos pretenzijos gavimo dienos, sprendžiami teisme, vadovaujantis Lietuvos Respublikos įstatymais, pagal Duomenų valdytojo registruotos buveinės vietą.

VIII skyrius

Nenugalimos jėgos aplinkybės (Force majeure)

36. Nė viena iš Susitarimo Šalių neatsako už prisiimtų įsipareigojimų visišką ar dalinį neįvykdymą, jei ji įrodo, kad įsipareigojimų neįvykdė dėl nenugalimos jėgos (Force majeure) aplinkybių, vadovaudamasi Lietuvos Respublikos civilinio kodekso 6.212 straipsnio nustatyta tvarka.

37. Nenugalimos jėgos aplinkybėmis yra laikomos aplinkybės, nurodytos Atleidimo nuo atsakomybės esant Nenugalimos jėgos aplinkybėms taisyklėse, patvirtintose Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“.

38. Susitarimo Šalis, negalinti įvykdyti Susitarime nurodytų įsipareigojimų, nedelsdama raštu, bet ne vėliau kaip per 5 darbo dienas nuo aplinkybių atsiradimo ar sužinojimo, apie jas praneša kitai Susitarimo Šaliai.

IX skyrius

KONFIDENCIALUMAS

39. Duomenų tvarkytojas prieigą prie Duomenų valdytojo vardu tvarkomų asmens duomenų suteikia tik tiems asmenims, kuriems vadovauja Duomenų tvarkytojas ir kurie yra įpareigoti laikytis konfidencialumo arba kuriems taikoma teisinė konfidencialumo pareiga, ir tik tuo atveju, jei jiems būtina su jais susipažinti. Šalys užtikrina, kad:

39.1. pasikeitus asmenims, kurie tvarko asmens duomenis, jų prieigos teisės prie Duomenų valdytojo asmens duomenų panaikinamos ne vėliau nei paskutinę jo užduočių, dėl kurių jiems būtina prieiga prie Duomenų valdytojo asmens duomenų, patikėtų tvarkyti Duomenų tvarkytojui, dieną, o tuo atveju, jei nutrūksta Duomenų tvarkytojo darbuotojo darbo santykiai – ne vėliau nei paskutinę jo darbo dieną;

39.2. asmenų, kuriems suteikta prieiga prie asmens duomenų, sąrašas turi būti periodiškai peržiūrimas, tačiau ne rečiau kaip kartą kas 6 mėnesius. Vadovaujantis šia peržiūra, tokia prieiga prie asmens duomenų panaikinama, jei tokia prieiga nebereikalinga, todėl asmens duomenys nebegalės būti prieinami tiems asmenims.

40. Duomenų tvarkytojas Duomenų valdytojo prašymu įrodo, kad asmenims, kuriems vadovauja Duomenų tvarkytojas ir kuriems pavesta tvarkyti asmens duomenis, taikoma Susitarimo 40 punkte nurodyta konfidencialumo pareiga.

X skyrius

DUOMENŲ PERDAVIMAS Į TREČIĄSIAS ŠALIS

41. Duomenų tvarkytojas asmens duomenis gali perduoti į trečiąsias valstybes ar tarptautinėms organizacijoms tik gavęs Duomenų valdytojo dokumentais įformintus nurodymus ir laikantis Reglamento V skyriaus reikalavimų.

42. Jei asmens duomenis trečiosioms valstybėms ar tarptautinėms organizacijoms reikia perduoti pagal Europos Sąjungos ar jos valstybės narės teisės aktus, kurių turi laikytis Duomenų tvarkytojas, nors Duomenų valdytojas nedavė nurodymų Duomenų tvarkytojui tai atlikti, Duomenų tvarkytojas informuoja Duomenų valdytoją apie šį teisinį reikalavimą prieš duomenų perdavimą, nebent tas teisės aktas draudžia perduoti tokią informaciją.

43. Šio skyriaus nuostatos nėra standartinės duomenų apsaugos sąlygos, apibrėžtos Reglamento 46 straipsnio 2 dalies c ir d punktuose, ir Šalys negali remtis Susitarimu kaip asmens duomenų perdavimo į trečiąsias valstybes ar tarptautinėms organizacijoms pagrindu pagal Reglamento V skyrių.

XI skyrius

AUDITAS / PATIKRINIMAS

44. Duomenų valdytojas turi teisę atlikti Duomenų tvarkytojo auditą / patikrinimą, kiek tai susiję su Duomenų tvarkytojo Sutarties ir šio Susitarimo pagrindu tvarkomais asmens duomenimis, siekiant įvertinti Sutarties ir šio Susitarimo sąlygų laikymąsi. Tokį auditą / patikrinimą gali atlikti Duomenų valdytojo darbuotojai arba kiti įgalioti Duomenų valdytojo atstovai, saistomi tinkamais konfidencialumo įsipareigojimais. Auditas / patikrinimas atliekamas vieną kartą per metus, išskyrus atvejus, kai to reikalauja kompetentingos priežiūros institucijos

45. Duomenų tvarkytojas negali atsisakyti leisti atlikti auditą / patikrinimą ar nepagrįstai atidėlioti audito / patikrinimo laiką. Audito / patikrinimo metu Duomenų tvarkytojas įsipareigoja suteikti visą prašomą informaciją, dokumentus, kiek tai reikalinga duomenų tvarkymo auditui / patikrinimui atlikti, nepažeidžiant Duomenų tvarkytojo komercinių paslapčių. Jei yra objektyvių priežasčių, dėl kurių Duomenų tvarkytojas negali iš karto pateikti prašomos informacijos ar dokumentų, Duomenų tvarkytojas šią informaciją / dokumentus Duomenų valdytojui pateikia su Duomenų valdytoju suderintu būdu ne vėliau nei per 5 darbo dienas. Duomenų valdytojas turi teisę ir fiziškai patikrinti tas vietas, kuriose Duomenų tvarkytojas tvarko asmens duomenis, įskaitant fizines priemones, taip pat sistemas, naudojamas ir susijusias su duomenų tvarkymu, siekiant įsitikinti, ar Duomenų tvarkytojas laikosi Reglamento, galiojančių Europos Sąjungos ar jos valstybių narių asmens duomenų apsaugos nuostatų.

46. Duomenų valdytojas, pageidaudamas įgyvendinti savo teisę atlikti auditą / patikrinimą, privalo apie tai tinkamai iš anksto raštu, ne vėliau kaip prieš 30 (trisdešimt) kalendorinių dienų, informuoti Duomenų tvarkytoją ir imtis visų įmanomų priemonių, siekiant išvengti Duomenų tvarkytojo veiklos sutrikdymo.

47. Šalys susitaria, kad auditas / patikrinimas atliekamas Duomenų valdytojo lėšomis. Tuo atveju, jeigu audito / patikrinimo rezultatai parodo, kad Duomenų tvarkytojas ir (arba) duomenų tvarkymas neatitinka šio Susitarimo ir (arba) Europos duomenų apsaugos teisės nuostatų, Duomenų tvarkytojas privalo savo lėšomis per protingą terminą ištaisyti audito / patikrinimo metu nustatytus neatitikimus Sutarties bei šio Susitarimo nuostatoms ar kitus nustatytus su asmens duomenų tvarkymu susijusius trūkumus.

48. Duomenų tvarkytojas turi suteikti priežiūros institucijoms, kurios pagal galiojančius teisės aktus turi prieigą prie Duomenų valdytojo ir Duomenų tvarkytojo įrenginių, arba atstovams, veikiantiems tokių priežiūros institucijų vardu, prieigą prie Duomenų tvarkytojo fizinių priemonių ar atlikti kitus priežiūros institucijų nurodytus veiksmus auditui ar kitam patikrinimui atlikti. Šalys turi kompetentingų priežiūros institucijų prašymu pateikti šiame Susitarime nurodytą informaciją, įskaitant auditų rezultatus.

XII skyrius

Susitarimo galiojimas ir keitimas

49. Susitarimas įsigalioja nuo pasirašymo datos ir galioja tol, kol galioja Sutartis, taip pat pasibaigus Sutarčiai tiek, kiek reikia tinkamai atlikti likusius su duomenų tvarkymu susijusius įsipareigojimus.

50.Susitarimas nutraukiamas kai:

50.1. Šalys susitaria nutraukti Sutartį;

50.2. viena iš Šalių netenka teisės tvarkyti asmens duomenis;

50.3. tvarkyti duomenis nebėra būtina tam, kad būtų pasiekti Susitarimu nustatyti tikslai. Išnykus duomenų tvarkymo tikslui ir (ar) pagrindui, Duomenų valdytojas ne vėliau kaip per 3 darbo dienas informuoja Duomenų tvarkytoją ir inicijuoja Susitarimo nutraukimą.

51. Duomenų valdytojas turi teisę vienašališkai nutraukti Susitarimą ir uždrausti Duomenų tvarkytojui toliau tvarkyti asmens duomenis, jei Duomenų tvarkytojas nevykdo savo įsipareigojimų, įtvirtintų Susitarime, įskaitant, bet neapsiribojant, Duomenų valdytojo rašytinių (įskaitant elektroninę formą) instrukcijų nesilaikymą, arba nuolat pažeidžia savo įsipareigojimus pagal Reglamentą.

52. Xxx Xxxxx turi teisę inicijuoti Susitarimo keitimą dėl šių priežasčių: dėl pasikeitusių teisės aktų, Valstybinės duomenų apsaugos inspekcijos nurodymų, rekomendacijų, patvirtintų standartinių sutarčių sąlygų, Europos duomenų apsaugos valdybos viešai paskelbtų gairių, nuomonių, Europos Komisijos patvirtintų standartinių sutarčių sąlygų.

53. Visi Susitarimo pakeitimai, priedai ir papildymai galioja, jei jie yra sudaryti raštu, patvirtinti abiejų Šalių įgaliotų atstovų parašais ir neprieštarauja Lietuvos Respublikos įstatymams ir norminiams aktams.

54. Susitarimo sąlygos galios visą laiką, kol Duomenų tvarkytojas tvarkys asmens duomenis, kurių atžvilgiu Duomenų valdytojas yra Duomenų valdytojas, ir kol vykdomi visi Susitarimo reikalavimai.

55. Asmens duomenų konfidencialumo įsipareigojimai lieka galioti ir pasibaigus Sutarčiai ir (arba) Susitarimui ir galioja neterminuotai.

XIII skyrius

Baigiamosios nuostatos

56. Bet kokia šio Susitarimo pagrindu Šalių gauta informacija laikoma konfidencialia ir negali būti atskleista, perleista ar panaudota kitais nei Sutarties ar Susitarimo vykdymo tikslais be kitos Šalies išankstinio rašytinio sutikimo. Duomenų valdytojas įsipareigoja Duomenų tvarkytojo audito / patikrinimo metu gautą ar kitokiu būdu sužinotą informaciją laikyti konfidencialia ir naudoti išimtinai tik Sutarties ir šio Susitarimo vykdymo tikslais, neperleisti ir kitaip neatskleisti jokiems tretiesiems asmenims, užtikrinti, kad analogiškų konfidencialumo reikalavimų laikytųsi Duomenų valdytojo darbuotojai ir įgalioti auditoriai ar teisėti atstovai. Šiame punkte nurodyti konfidencialumo reikalavimai gali būti netaikomi, kai tą numato Lietuvos Respublikos įstatymai, kiti galiojantys teisės aktai ar kompetentingų institucijų, jų pareigūnų teisiški įpareigojimai.

57. Susitarimas nepakeičia jokių kitų Sutarties nuostatų, sąlygų ar terminų, išskyrus tuos atvejus, kurie specialiai aptarti šiame Susitarime.

58. Jei pasikeičia Šalies atstovas, nurodytas Susitarimo 2 priede, ir (arba) kiti atstovų duomenys, tokia Šalis turi informuoti kitą Šalį, pranešdama ne vėliau kaip prieš 5 kalendorines dienas. Jei Šaliai nepavyksta laikytis šių reikalavimų, ji neturi teisės į pretenziją ar atsiliepimą, jei kitos Šalies veiksmai, atlikti remiantis paskutiniais žinomais jai duomenimis, prieštarauja Susitarimo sąlygoms arba ji negavo jokio pranešimo, išsiųsto pagal tuos duomenis.

59. Šio Susitarimo vykdymui ir aiškinimui taikomi Europos Sąjungos ir Lietuvos Respublikos teisės aktai, kurie yra taikomi Duomenų valdytojui ir Duomenų tvarkytojui.

60. Įsigaliojęs Susitarimas yra Sutarties priedas ir yra laikomas Sutarties dalimi.

61. Susitarimo priedai yra:

61.1. 1 priedas – Asmens duomenų tvarkymo sąlygos, 1 lapas.

61.2. 2 priedas – Informacija apie pagalbinius duomenų tvarkytojus, 1 lapas.

XIV skyrius

Šalių rekvizitai ir parašai

Duomenų valdytojas

Kauno miesto savivaldybės administracija Įstaigos kodas 188764867 Laisvės al. 96, 44251 Kaunas A. s. XX00 0000 0000 0000 0000 Luminor Bank AS Lietuvos skyrius

Pareigos A. V. ___________________________ (parašas)
Vardas, pavardė ________________________ (data)

Duomenų tvarkytojas








Pareigos A. V. ___________________________ (parašas)
Vardas, pavardė ________________________ (data)

Susitarimo dėl asmens duomenų tvarkymo

prie 2023 m. ........... d. pirkimo sutarties

Nr. SR-........

1 priedas

INFORMACIJA APIE ASMENS DUOMENŲ TVARKYMĄ

1. Informacija apie asmens duomenų tvarkymą:

Judriojo telefono ryšio ir duomenų perdavimo paslaugos teikimas.

1.1. Duomenų tvarkytojo atliekamo asmens duomenų tvarkymo pobūdis ir tikslas yra:

Siekiant įvykdyti 2023 m. .......................... d. pirkimo sutartį Nr. SR-...................

1.2. Duomenų tvarkytojo asmens duomenų tvarkymas daugiausia susijęs su (tvarkymo pobūdžiu):

Duomenų priėmimas, saugojimas, tvarkymas, perdavimas (grąžinimas), ištrynimas.

1.3. Duomenų tvarkymas apima šiuos asmens duomenis:

Abonento įeinančių ir išeinančių skambučių telefono numeriai (skambučių data, laikas, trukmė); sms ir mms siuntimo /gavimo duomenys (statusas-pristatyta/nepristatyta, data, laikas, turinys); elektroninio parašo duomenys (abonento vardas, pavardė, prisijungimo vardas, slaptažodis, galiojimas ir kt); IP adresai, interneto naršymo duomenys; vartotojų paskyros duomenys.

1.4. Duomenų tvarkymas apima šias duomenų subjektų kategorijas:

Kauno miesto savivaldybės darbuotojai; asmenys, skambinantys į Kauno miesto savivaldybę; kiti asmenys.

1.5. Duomenų tvarkymo operacijų atlikimo vieta:

Lietuva.

1.6. Duomenų tvarkytojas gali tvarkyti asmens duomenis Duomenų valdytojo vardu, kai įsigalioja Susitarimas. Duomenų tvarkymo trukmė:

Kol galioja Sutartis. Sutarties terminui pasibaigus, Duomenų tvarkytojas, veikdamas kaip paslaugų teikėjas, duomenis savo IT sistemose ištrina arba saugo galiojančių teisės aktų nustatyta tvarka ir terminais.

___________________

2023 m. ________ d.

Susitarimo dėl asmens duomenų tvarkymo

prie 2023 m. ............... d. pirkimo sutarties

Nr. SR-................

2 priedas

INFORMACIJA APIE PAGALBINIUS DUOMENŲ TVARKYTOJUS

1. Įgalioti pagalbiniai duomenų tvarkytojai:

Įsigaliojus Susitarimui, Duomenų valdytojas leidžia pasitelkti šiuos pagalbinius duomenų tvarkytojus:

Pavadinimas, vardas, pavardė Įmonės kodas / individualios veiklos pažymėjimo numeris arba verslo liudijimo numeris Buveinės adresas / gyvenamosios vietos adresas Asmens duomenų tvarkymo aprašymas

Įsigaliojus Susitarimui, Duomenų valdytojas leidžia kitai šaliai Susitarimo 1 priedo 1.1 papunktyje nurodytais tikslais pasitelkti šiame priede nurodytus pagalbinius duomenų tvarkytojus, laikantis Susitarimo IV skyriaus reikalavimų. Siekiant pasitelkti minėtus pagalbinius duomenų tvarkytojus asmens duomenų tvarkymui kitais tikslais nei tikslai, nustatyti Susitarimo 1 priedo 1.1 papunktyje, būtinas rašytinis Duomenų valdytojo leidimas.

___________________