duomenų tvarkymo susitarimas [nurodyti sutarties sudarymo datą, Nr., vietą, išskyrus atvejus, kai sutartis pasirašoma elektroniniu parašu]



duomenų tvarkymo susitarimas


[nurodyti sutarties sudarymo datą, Nr.,

vietą, išskyrus atvejus, kai sutartis pasirašoma elektroniniu parašu]




Tarp


[nurodyti juridinio asmens teisinę formą ir pavadinimą], juridinio asmens kodas [nurodyti juridinio asmens kodą], registracijos buveinės adresas [nurodyti registracijos buveinės adresą] (toliau – Duomenų valdytojas arba Valdytojas), atstovaujama [nurodyti pareigas, vardą, pavardę], veikiančio(-ios) pagal [nurodyti dokumentą, kurio pagrindu veikia asmuo],


ir


[nurodyti juridinio asmens teisinę formą ir pavadinimą], juridinio asmens kodas [nurodyti juridinio asmens kodą], registracijos buveinės adresas [nurodyti registracijos buveinės adresą] (toliau – Duomenų tvarkytojas arba Tvarkytojas), atstovaujama [nurodyti pareigas, vardą, pavardę], veikiančio(-ios) pagal [nurodyti dokumentą, kurio pagrindu veikia asmuo].


Duomenų valdytojas ir Duomenų tvarkytojas toliau kartu vadinami Šalimis, o kiekviena atskirai ‒ Šalimi.


Vadovaudamosi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – BDAR).


Siekiant įgyvendinti Reglamento (ES) 2016/679 28 straipsnio 3 dalį, nustatomos duomenų valdytojo ir duomenų tvarkytojo teisės bei pareigos, duomenų valdytojo vardu tvarkant asmens duomenis. Sąlygomis turi būti siekiama apsaugoti duomenų subjektų teises, mažinti konkrečią asmens duomenų apsaugos riziką ir užtikrinti duomenų valdytojo ir duomenų tvarkytojo santykių bei atitinkamų teisių ir pareigų aiškumą.


Duomenų valdytojas ir Duomenų tvarkytojas [nurodyti datą] sudarė [nurodyti kokio tipo sutartis sudaryta ir sutarties numerį] (toliau – Pagrindinė sutartis), kurio sudėtinė dalis yra šis duomenų tvarkymo susitarimas (toliau – Susitarimas). Duomenų tvarkytojas tvarkys asmens duomenis duomenų valdytojo vardu pagal šias Sąlygas. Asmens duomenų tvarkymo sąlygos nustatytos priede Nr. 1 „Asmens duomenų tvarkymo instrukcijos“.


Šio Susitarimo tikslas yra užtikrinti asmens duomenų apsaugą vykdant Pagrindinėje sutartyje nustatytas prievoles Duomenų tvarkytojui tvarkant asmens duomenis žemiau nustatytomis sąlygomis.



  1. Sąvokos


Susitarime vartojamos sąvokos turi šią reikšmę:


Asmens duomenų apsaugą reglamentuojantys įstatymai – bet kuris įsigaliojęs nacionalinis arba tarptautinis teisės aktas, kuris taikomas Duomenų valdytojui arba Duomenų tvarkytojui ir reglamentuoja jų atliekamus asmens duomenų tvarkymo veiksmus per šio Susitarimo galiojimo laikotarpį. Ši sąvoka apima 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentą (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB) (toliau – BDAR).


Subtvarkytojas – trečioji šalis, kurią Duomenų tvarkytojas pasitelkia padėti tvarkyti asmens duomenis.


Kitos sąvokos suprantamos taip, kaip jos apibrėžtos Asmens duomenų apsaugą reglamentuojančiuose įstatymuose.


  1. Šalių įsipareigojimai


    1. Duomenų valdytojas:

      1. įsipareigoja užtikrinti, kad asmens duomenys būtų tvarkomi laikantis BDAR (žr. BDAR 24 straipsnį), kitų asmens duomenų apsaugą ir (ar) tvarkymą reglamentuojančių Europos Sąjungos ar jos valstybės narės teisės aktų ir šių Sąlygų;

      2. turi teisę ir pareigą priimti sprendimus dėl asmens duomenų tvarkymo tikslų ir priemonių;

      3. yra atsakingas, įskaitant, bet neapsiribojant, už tai, kad asmens duomenų tvarkymas, kurį duomenų tvarkytojui pavesta atlikti, turėtų teisinį pagrindą.


    1. Duomenų tvarkytojas įsipareigoja:

      1. tvarkyti asmens duomenis tik laikantis šio Susitarimo ir remdamasis raštu (įskaitant elektroninį formatą) nustatytomis instrukcijomis, kurias jam perduos Duomenų valdytojas, išskyrus atvejus kai to reikalaujama pagal Europos Sąjungos ar jos valstybės narės teisės aktus, kurie yra taikomi duomenų tvarkytojui (tokiais atvejais duomenų tvarkytojas informuoja duomenų valdytoją apie šiuos reikalavimus, išskyrus atvejus, kai teisės aktais draudžiama minėtą informaciją pateikti dėl svarbaus viešojo intereso). Pirminės Duomenų valdytojo instrukcijos, susijusios su duomenų tvarkymo dalyku, duomenų tvarkymo pobūdžiu, tikslais, tvarka, taip pat asmens duomenų subjektų kategorijomis yra nustatytos Susitarimo priede Nr. 1 „Asmens duomenų tvarkymo instrukcijos“. Funkcinis Duomenų tvarkytojo atliekamų veiksmų su Duomenų valdytojo valdomais duomenimis aprašymas yra pateikiamas Pagrindinėje sutartyje ir susijusioje dokumentacijoje. Duomenų valdytojas taip pat gali pateikti tolesnius nurodymus viso asmens duomenų tvarkymo metu, tačiau tokie su Sąlygomis susiję nurodymai visada turi būti pagrįsti dokumentais.

      2. tvarkyti Asmens duomenis tik ta apimtimi ir laikotarpiu, kiek tai yra būtina siekiant tinkamai įvykdyti Pagrindinėje sutartyje nustatytus įsipareigojimus. Tvarkytojas neturi teisės tvarkyti Asmens duomenų jokiais kitais tikslais, nei numatyta šioje ir Pagrindinėje sutartyje, nebent toks leidimas aiškiai nurodomas atskiru Duomenų valdytojo nurodymu raštu.

      3. tvarkydamas asmens duomenis pagal Susitarimą, užtikrinti asmens duomenų tvarkymo atitikį Asmens duomenų apsaugą reglamentuojantiems teisės aktams bei priežiūros institucijų rekomendacijoms. Duomenų tvarkytojas sutinka su visais, būsimais Susitarimo pakeitimais, kurie bus privalomi, norint įgyvendinti privalomus pasikeitusius asmens duomenų tvarkymo apsaugą reglamentuojančių teisės aktų reikalavimus.

      4. tvarkyti su asmens duomenų tvarkymo veikla, vykdoma duomenų valdytojo vardu, susijusius įrašus. Ši pareiga taikoma kiekvienam duomenų tvarkytojui ir, kai taikoma, duomenų tvarkytojo atstovui pagal BDAR 30 straipsnio 2 dalį.

      5. nedelsiant informuoti Duomenų valdytoją, jei duomenų valdytojo nurodymai, Duomenų tvarkytojo nuomone, prieštarauja BDAR arba kitiems asmens duomenų apsaugą reglamentuojantiems Europos Sąjungos ar jos valstybių narių teisės aktams.

    2. Atsižvelgdamas į asmens duomenų tvarkymo pobūdį ir Duomenų tvarkytojui prieinamą informaciją, Duomenų tvarkytojas įsipareigoja, nepagrįstai nedelsdamas, padėti Duomenų valdytojui:

      1. užtikrinti prievolių, numatytų BDAR 32 – 36 straipsniuose, įgyvendinimą;

      2. užtikrinti Asmens duomenų apsaugą reglamentuojančiuose teisės aktuose numatytų duomenų subjektų teisių įgyvendinimą, taikant atitinkamas technines ir organizacines saugumo priemones;

      3. pateikiant įrodymus apie tinkamą Duomenų tvarkytojo pareigų vykdymą, jeigu Duomenų valdytojas atskiru prašymu to pareikalautų.

    3. Jeigu duomenų subjektas, priežiūros ar kita valdžios institucija ar bet kuri kita trečioji šalis kreipiasi į Duomenų tvarkytoją su prašymu pateikti pagal šį Susitarimą tvarkomus asmens duomenis, Duomenų tvarkytojas įsipareigoja tokį prašymą nedelsdamas perduoti Duomenų valdytojui.

    4. Duomenų tvarkytojas įsipareigoja neatlikti tokių veiksmų, dėl kurių Duomenų valdytojas būtų priverstas veikti ne pagal Asmens duomenų apsaugą reglamentuojančių teisės aktų reikalavimus.

    5. Duomenų tvarkytojas negali perduoti ar kitu būdu atskleisti asmens duomenų, ar kitos informacijos, susijusios su asmens duomenų tvarkymu, jokiam kitam trečiajam asmeniui. Duomenų tvarkytojas įsipareigoja nedelsdamas pranešti Duomenų valdytojui apie situacijas, kai dėl Asmens duomenų apsaugą reguliuojančiuose teisės aktuose nustatytų prievolių įgyvendinimo Duomenų tvarkytojas privalo atskleisti asmens duomenis, kuriuos jis tvarko Duomenų valdytojo vardu. Atskleisdamas duomenis dėl įstatyme ar kitame teisės akte nustatytos pareigos vykdymo, Duomenų tvarkytojas privalo pareikalauti trečiojo asmens išlaikyti asmens duomenų konfidencialumą.

    6. Šios Sąlygos neatleidžia Šalių nuo kitų pareigų, kurios joms taikomos pagal BDAR ar kitus teisės aktus.


  1. Informacijos saugumas bei konfidencialumas


    1. Vadovaujantis BDAR 32 straipsniu, Duomenų valdytojas ir Duomenų tvarkytojas įgyvendina tinkamas technines ir organizacines priemones, kad būtų užtikrintas pavojų atitinkančio lygio saugumas, atsižvelgiant į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms.

    2. Duomenų tvarkytojas įsipareigoja laikytis visų rašytinių saugumo reikalavimų ir politikų, kurias pateiks Duomenų valdytojas. Duomenų tvarkytojas įsipareigoja saugoti asmens duomenis nuo sunaikinimo, pakeitimo, neteisėto platinimo arba neteisėtos prieigos, nuo visų formų neteisėto tvarkymo.

    3. Duomenų valdytojas įvertina fizinių asmenų teisėms ir laisvėms galinčią kilti riziką tvarkant asmens duomenis ir įgyvendina priemones šiai rizikai sumažinti. Priklausomai nuo jų tinkamumo, priemonės gali būti šios:

      1. asmens duomenų pseudonimizavimas ir (ar) šifravimas;

      2. galimybė užtikrinti nuolatinį duomenų tvarkymo sistemų ir paslaugų konfidencialumą, vientisumą, prieinamumą ir atsparumą;

      3. galimybė laiku atkurti prieinamumą ir prieigą prie asmens duomenų, įvykus fiziniam ar techniniam incidentui;

      4. techninių ir organizacinių priemonių, užtikrinančių duomenų tvarkymo saugumą, reguliaraus testavimo, tikrinimo ir įvertinimo procesas.

    4. Pagal BDAR 32 straipsnį Duomenų tvarkytojas, nepriklausomai nuo Duomenų valdytojo, taip pat įvertina duomenų tvarkymo riziką, susijusią su asmens duomenų tvarkymo veikla, kuriai atlikti Duomenų valdytojas pasitelkė duomenų tvarkytoją, galinčią kilti fizinių asmenų teisėms ir laisvėms, ir įgyvendina priemones šiai rizikai sumažinti. Šiuo tikslu Duomenų valdytojas Duomenų tvarkytojui pateikia visą informaciją, reikalingą tokiai rizikai nustatyti ir įvertinti.

    5. Be to, Duomenų tvarkytojas padeda Duomenų valdytojui užtikrinti Duomenų valdytojo pareigų pagal BDAR 32 straipsnį vykdymą, teikdamas inter alia duomenų valdytojui informaciją apie technines ir organizacines priemones, kurias duomenų tvarkytojas jau įgyvendino pagal BDAR 32 straipsnį kartu su visa kita informacija, reikalinga Duomenų valdytojui įvykdyti Duomenų valdytojo pareigas pagal BDAR 32 straipsnį.

    6. Duomenų tvarkytojas įsipareigoja užtikrinti, kad tvarkydamas asmens duomenis jis taikys ne žemesnio lygio nei rekomenduojamas technines ir organizacines priemones, nurodytas Susitarimo Priede Nr. 3 „Techninės ir organizacinės saugumo priemonės“.

    7. Duomenų tvarkytojas įsipareigoja imtis visų veiksmų, kad padėtų Duomenų valdytojui asmens duomenų saugumo pažeidimo atveju siekiant sumažinti pažeidimo neigiamas pasekmes, taip pat nedelsiant pranešti Duomenų valdytojui apie bet kokį incidentą, susijusį su asmens duomenimis bei apie neautorizuotą prieigą prie asmens duomenų, vadovaudamasis šio Susitarimo 7.1 7.7 punktais.

    8. Duomenų tvarkytojas įsipareigoja užtikrinti asmens duomenų konfidencialumą ir tai, kad Duomenų tvarkytojo darbuotojai, kuriems suteikiama prieiga prie asmens duomenų:

      1. būtų tinkamai apmokyti laikytis Asmens duomenų apsaugą reglamentuojančių teisės aktų ir šiuo Susitarimu jiems nustatytų reikalavimų;

      2. tinkamai vykdytų šio Susitarimo ir Asmens duomenų apsaugą reglamentuojančių teisės aktų reikalavimus;

      3. būtų informuoti apie pareigą laikyti asmens duomenis konfidencialiais; ir

      4. būtų įsipareigoję laikytis konfidencialumo pagal susitarimą arba konfidencialumo pareiga būtų jiems taikoma pagal atitinkamus teisės aktus;

      5. prieigos teisės prie asmens duomenų būtų suteiktos tik tuo atveju, jei jiems būtina su jais susipažinti ir atlikti pavestas užduotis.

    9. Duomenų tvarkytojas įsipareigoja, kad prieiga prie asmens duomenų būtų griežtai ribojama ir suteikiama tik tiems Duomenų tvarkytojo darbuotojams, kuriems prieiga būtina siekiant užtikrinti Duomenų tvarkytojo pareigų pagal šį Susitarimą ir Pagrindinę sutartį vykdymą.

    10. Pasikeitus asmenims, kurie tvarko asmens duomenis, jų prieigos teisės prie duomenų valdytojo asmens duomenų panaikinamos ne vėliau nei paskutinę jo užduočių, dėl kurių jiems būtina prieiga prie Duomenų valdytojo asmens duomenų, patikėtų tvarkyti Duomenų tvarkytojui, dieną, o tuo atveju jei nutrūksta duomenų tvarkytojo darbuotojo darbo santykiai – ne vėliau nei paskutinę jo darbo dieną.

    11. Asmenų, kuriems suteikta prieiga prie asmens duomenų, sąrašas turi būti periodiškai peržiūrimas, bet ne rečiau kaip kartą kas 6 mėnesius. Vadovaujantis šia peržiūra, tokia prieiga prie asmens duomenų panaikinama, jei tokia prieiga nebereikalinga, todėl asmens duomenys nebegalės būti prieinami tiems asmenims.

    12. Duomenų tvarkytojas Duomenų valdytojo prašymu įrodo, kad asmenims, kuriems vadovauja duomenų tvarkytojas ir kuriems pavesta tvarkyti asmens duomenis, taikoma 3.8 punkte nurodyta konfidencialumo pareiga.


  1. Asmens duomenų subtvarkytojai


    1. Duomenų tvarkytojas turi laikytis BDAR 28 straipsnio 2 ir 4 dalyse nurodytų reikalavimų, kad galėtų pasitelkti kitą duomenų tvarkytoją (toliau – Subtvarkytojas).

    2. Duomenų valdytojas suteikia Duomenų tvarkytojui leidimą pasitelkti Subtvarkytoją(-us), nurodytą Susitarimo priede Nr. 2 „Duomenų tvarkytojo pasitelkiamų duomenų subtvarkytojų sąrašas“.

    3. Duomenų tvarkytojas nepasitelkia Subtvarkytojo be išankstinio specialaus Duomenų valdytojo rašytinio leidimo.

    4. Prieš pasitelkdamas naują arba pakeisdamas esamą Subtvarkytoją, Duomenų tvarkytojas iš anksto apie tai raštu (el. paštu xxx@xxx.xx) informuoja Duomenų valdytoją, pateikdamas Subtvarkytojo rekvizitus ir kitą informaciją, susijusią su duomenų tvarkymo veikla, kurios pareikalaus Duomenų valdytojas. Duomenų valdytojas nesutikdamas su naujo Subtvarkytojo pasitelkimu, turi teisę vienašališkai, nepatirdamas dėl to jokių papildomų nuostolių, nutraukti Pagrindinę sutartį.

    5. Duomenų tvarkytojas įsipareigoja pasitelkti tik tuos Subtvarkytojus, kurie pakankamai užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų Asmens duomenų apsaugą reguliuojančių teisės aktų reikalavimus ir būtų užtikrinta duomenų subjektų teisių apsauga.

    6. Duomenų tvarkytojas įsipareigoja užtikrinti, kad konkrečiai duomenų tvarkymo veiklai atlikti Duomenų valdytojas pasitelks Subtvarkytoją tik po to, kai su Subtvarkytoju raštu sudarys sutartį, kurioje bus numatyti analogiški ar griežtesni reikalavimai lyginant su reikalavimais, numatytais šiame Susitarime. Duomenų valdytojui pareikalavus, Duomenų tvarkytojas turi pateikti šių sutarčių kopijas. Prieš pradėdamas tvarkyti asmens duomenis, duomenų tvarkytojas informuoja Subtvarkytoją apie tai, kurio duomenų valdytojo asmens duomenų tvarkymui jis yra pasitelkiamas, nurodydamas duomenų valdytojo tapatybę ir kontaktinius duomenis.

    7. Susitarimo su Subtvarkytoju kopija ir jos vėlesni pakeitimai, Duomenų valdytojo prašymu, pateikiami Duomenų valdytojui, tokiu būdu suteikiant duomenų valdytojui galimybę užtikrinti, kad pagalbiniam duomenų tvarkytojui taikomos tos pačios duomenų apsaugos prievolės, kaip yra nustatyta Susitarime. Duomenų tvarkytojas turi informuoti Duomenų valdytoją apie visus netinkamo pagalbinio duomenų tvarkytojo pareigų, nustatytų tokia sutartimi ar kitu teisės aktu, atvejus. Duomenų valdytojui nėra privaloma pateikti asmens duomenų tvarkymo sutarties dėl su verslu susijusių nuostatų, kurios nedaro įtakos su pagalbiniu duomenų tvarkytoju sudarytos sutarties teisinėms asmens duomenų apsaugos sąlygoms.

    8. Duomenų tvarkytojas turi susitarti su Subtvarkytoju, jei toks pasitelkiamas, kad pirminio duomenų tvarkytojo bankroto atveju, duomenų valdytojas turi teisę tęsti duomenų tvarkymo santykius su pirminio duomenų tvarkytojo pasitelktu pagalbiniu duomenų tvarkytoju tiesiogiai ir (arba) teikti tiesioginius nurodymus dėl duomenų tvarkymo, pavyzdžiui, nurodyti Subtvarkytojui ištrinti arba grąžinti asmens duomenis.

    9. Duomenų tvarkytojas yra atsakingas už reikalavimą, kad pagalbinis duomenų tvarkytojas laikytųsi bent tų pareigų, kurios duomenų tvarkytojui taikomos pagal Susitarimą ir BDAR. Jei Subtvarkytojas nevykdo asmens duomenų apsaugos prievolių, pirminis duomenų tvarkytojas, su kuriuo sudaryta asmens duomenų tvarkymo sutartis, išlieka visiškai atsakingas duomenų valdytojui už pagalbinio duomenų tvarkytojo prievolių vykdymą. Tai nedaro įtakos duomenų subjektų teisėms pagal BDAR, ypač BDAR 79 ir 82 straipsniuose numatytoms teisėms, duomenų valdytojo ir duomenų tvarkytojo, įskaitant pagalbinius duomenų tvarkytojus, atžvilgiu.

    10. Duomenų valdytojas turi teisę pareikalauti, kad Duomenų tvarkytojas patikrintų savo pasitelktą Subtvarkytoją arba pateiktų tokio patikrinimo atlikimo patvirtinimą, arba, jei yra galimybė, gautų ar padėtų Duomenų valdytojui gauti išorinio auditoriaus išvadą dėl pasitelkto Subtvarkytojo veiklos, siekiant užtikrinti Asmens duomenų apsaugą reguliuojančių teisės aktų reikalavimų vykdymą.


  1. Asmens duomenų perdavimas į trečiąsias valstybes arba tarptautines organizacijas


    1. Duomenų tvarkytojas be išankstinio Duomenų valdytojo rašytinio sutikimo negali perduoti asmens duomenų už Europos ekonominės erdvės (toliau – EEE) ribų.

    2. Tuo atveju, jei Duomenų valdytojas yra davęs sutikimą Duomenų tvarkytojui perduoti duomenis už EEE ribų (įskaitant patvirtintus Subtvarkytojus, nurodytus Priede Nr. 2 „Duomenų tvarkytojo pasitelkiamų duomenų subtvarkytojų sąrašas“), duomenų perdavimas yra galimas esant vienai iš šių sąlygų, laikantis BDAR V skyriaus reikalavimų:

      1. asmens duomenys perduodami į trečiąją valstybę, kuri Europos Komisijos yra pripažinta valstybe, užtikrinančia tinkamą asmens duomenų apsaugos lygį, vadovaujantis BDAR 45 str.

      2. Duomenų tvarkytojas yra pasirašęs su Subtvarkytoju susitarimą pagal Europos Komisijos patvirtintas standartines sutarčių sąlygas, vadovaujantis BDAR 46 str. 2 d. c punktu.

    3. Jei asmens duomenis trečiosioms valstybėms ar tarptautinėms organizacijoms reikia perduoti pagal Europos Sąjungos ar jos valstybės narės teisės aktus, kurių turi laikytis duomenų tvarkytojas, nors duomenų valdytojas nedavė nurodymų duomenų tvarkytojui tai atlikti, duomenų tvarkytojas informuoja duomenų valdytoją apie šį teisinį reikalavimą prieš duomenų perdavimą, nebent tas teisės aktas draudžia perduoti tokią informaciją.

    4. Duomenų tvarkytojas be duomenų valdytojo dokumentais įformintų nurodymų arba be konkretaus reikalavimo pagal Europos Sąjungos ar jos valstybės narės teisės aktus negali pagal šias Sąlygas:

      1. perduoti asmens duomenis duomenų valdytojui ar duomenų tvarkytojui trečiojoje valstybėje ar tarptautinėje organizacijoje;

      2. perduoti asmens duomenų tvarkymą pagalbiniam duomenų tvarkytojui trečiojoje valstybėje;

      3. leisti, kad asmens duomenis tvarkytų duomenų tvarkytojas trečiojoje valstybėje.

    5. Šios Sąlygos nėra standartinės duomenų apsaugos sąlygos, apibrėžtos BDAR 46 straipsnio 2 dalies c ir d punktuose, ir šalys negali remtis Sąlygomis kaip asmens duomenų perdavimo į trečiąsias valstybes ar tarptautinėms organizacijoms pagrindu pagal BDAR V skyrių.

    6. Jeigu šio Susitarimo 5.2 punkte nurodytos perdavimo sąlygos nebegali būti taikomos, nes daugiau neatitinka Asmens duomenų apsaugą reglamentuojančių įstatymų reikalavimų, Šalys įsipareigoja nepagrįstai nedelsdamos įgyvendinti alternatyvų perdavimo sprendimą. Jeigu Duomenų tvarkytojas dėl kokių nors priežasčių negali įgyvendinti alternatyvaus perdavimo sprendimo, Duomenų valdytojas turi teisę vienašališkai, nepatirdamas dėl to jokių papildomų nuostolių, nutraukti Pagrindinę sutartį.


  1. Duomenų tvarkytojo pagalba Duomenų valdytojui


    1. Atsižvelgdamas į duomenų tvarkymo pobūdį, Duomenų tvarkytojas, kiek tai įmanoma, padeda Duomenų valdytojui tinkamomis techninėmis ir organizacinėmis priemonėmis įvykdyti duomenų valdytojo prievoles atsakyti į prašymus naudotis duomenų subjekto teisėmis, nustatytomis BDAR III skyriuje. Tai reiškia, kad Duomenų tvarkytojas, kiek tai įmanoma, padeda Duomenų valdytojui, kad Duomenų valdytojas įgyvendintų:

      1. teisę būti informuotam renkant asmens duomenis iš duomenų subjekto;

      2. teisę būti informuotam, kai asmens duomenys yra gauti ne iš duomenų subjekto;

      3. teisę susipažinti su duomenimis;

      4. teisę reikalauti ištaisyti duomenis;

      5. teisę reikalauti ištrinti duomenis („teisę būti pamirštam“);

      6. teisę apriboti duomenų tvarkymą;

      7. prievolę pranešti apie asmens duomenų ištaisymą ar ištrynimą arba duomenų tvarkymo apribojimą;

      8. teisę į duomenų perkeliamumą;

      9. teisę nesutikti su duomenų tvarkymu;

      10. teisę, kad nebūtų taikomi sprendimai, pagrįsti vien automatiniu tvarkymu, įskaitant profiliavimą.

    2. Be Duomenų tvarkytojo prievolės padėti Duomenų valdytojui pagal Susitarimo 3.5 punktą, Duomenų tvarkytojas, atsižvelgdamas į tvarkymo pobūdį ir duomenų tvarkytojui prieinamą informaciją, taip pat padeda duomenų valdytojui užtikrinti:

      1. duomenų valdytojo pareigą nedelsiant ir, jei įmanoma, ne vėliau kaip per 72 valandas po to, kai apie tai sužinojo, pranešti apie asmens duomenų saugumo pažeidimą kompetentingai priežiūros institucijai – Valstybinei duomenų apsaugos inspekcijai, nebent asmens duomenų saugumo pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms;

      2. duomenų valdytojo pareigą nepagrįstai nedelsiant pranešti duomenų subjektui apie asmens duomenų pažeidimą, kai asmens duomenų saugumo pažeidimas gali sukelti didelę riziką fizinių asmenų teisėms ir laisvėms;

      3. duomenų valdytojo pareigą atlikti numatytų asmens duomenų tvarkymo operacijų poveikio duomenų apsaugai vertinimą, kai asmens duomenų tvarkymo būdas gali sukelti didelę riziką fizinių asmenų teisėms ir laisvėms;

      4. duomenų valdytojo pareigą konsultuotis su kompetentinga priežiūros institucija Valstybine duomenų apsaugos inspekcija prieš pradedant duomenų tvarkymą, jei poveikio duomenų apsaugos vertinimas rodo, kad duomenų tvarkymas sukeltų didelę riziką, jei duomenų valdytojas nesiimtų priemonių tai rizikai sumažinti.



  1. Asmens duomenų saugumo pažeidimai



    1. Asmens duomenų saugumo pažeidimo (incidento) atveju Duomenų tvarkytojas privalo nedelsdamas, ne vėliau kaip per 24 valandų pranešti Duomenų valdytojui (el. paštu: xxx@xxx.xx) apie potencialų ar patvirtintą asmens duomenų saugumo pažeidimą, nepriklausomai nuo to, ar pažeidimas gali kelti pavojų fizinių asmenų teisėms ir laisvėms, kad Duomenų valdytojas galėtų įvykdyti Duomenų valdytojo pareigą pranešti apie asmens duomenų saugumo pažeidimą kompetentingai priežiūros institucijai, pagal BDAR 33 straipsnį.

    2. Susitarimo 6.2.1 papunktyje nurodyta duomenų tvarkytojo pareiga padėti duomenų valdytojui pranešti kompetentingai priežiūros institucijai apie asmens duomenų pažeidimą reiškia, kad duomenų tvarkytojas privalo duomenų valdytojui padėti gauti toliau išvardytą informaciją, kuri, remiantis BDAR 33 straipsnio 3 dalimi, turi būti nurodyta duomenų valdytojo pranešime kompetentingai priežiūros institucijai:

    3. Pranešdamas apie asmens duomenų saugumo pažeidimą Duomenų tvarkytojas privalo pateikti bent jau šią informaciją:

      1. asmens duomenų pobūdis, įskaitant, jei įmanoma, atitinkamų duomenų subjektų kategorijos ir apytikslis jų skaičius bei atitinkamų asmens duomenų kategorijos ir apytikslis skaičius;

      2. tikėtinos asmens duomenų pažeidimo pasekmės;

      3. priemonės, kurių ėmėsi ar siūlo imtis duomenų valdytojas dėl asmens duomenų pažeidimo, įskaitant, jei reikia, priemones, skirtas sušvelninti galimą neigiamą pažeidimo poveikį;

      4. bet kokia kita reikšminga informacija, kuri yra ar gali būti reikalinga duomenų valdytojui rengiant pranešimą arba atsakant į papildomus su asmens duomenų saugumo pažeidimu susijusius kompetentingos priežiūros institucijos raštus.

    4. Gavęs Duomenų valdytojo nurodymą, Duomenų tvarkytojas privalo skubiai pašalinti problemą ir užkirsti kelią tolimesnei žalai, taip pat sumažinti asmens duomenų saugumo pažeidimo (incidento) padarinius ir pritaikyti taisomąsias priemones, skirtas užkirsti kelią analogiškiems incidentams.

    5. Duomenų tvarkytojas turi dokumentuoti visus asmens duomenų saugumo pažeidimus, įtariamus pažeidimus, įskaitant su asmens duomenų saugumo pažeidimu susijusius faktus, jo poveikį ir taisomuosius veiksmus, kurių buvo imtasi. Duomenų valdytojui pareikalavus, Duomenų tvarkytojas turi pateikti šiuos dokumentus Duomenų valdytojui susipažinti.

    6. Jei Duomenų tvarkytojas Duomenų valdytojui pateikia ne visą informaciją apie asmens duomenų saugumo pažeidimą arba vėliau paaiškėja papildoma informacija, Duomenų tvarkytojas privalo nepagrįstai nedelsdamas, bet ne vėliau kaip per 12 valandų pateikti papildomą pranešimą Duomenų valdytojui, nurodydamas visą trūkstamą informaciją.

    7. Duomenų tvarkytojas taip pat turi suteikti visą įmanomą pagalbą Duomenų valdytojui, kurios reikia, kad būtų tinkamai pranešta apie asmens duomenų saugumo pažeidimą duomenų subjektui.


  1. Poveikio duomenų apsaugai vertinimas ir išankstinės konsultacijos


    1. Duomenų tvarkytojas įsipareigoja neatlygintinai suteikti Duomenų valdytojui reikiamą pagalbą atliekant duomenų tvarkymo operacijų poveikio asmens duomenų apsaugai vertinimą, įskaitant visos įvertinimui reikalingos techninės ir kitos turimos informacijos apie Duomenų tvarkytojo atliekamą ar planuojamą atlikti Duomenų valdytojo valdomų asmens duomenų tvarkymą, pateikimą Duomenų valdytojui ir konsultavimą šiais klausimais. Duomenų valdytojui konsultuojantis su priežiūros institucija pagal BDAR 36 straipsnį, Duomenų tvarkytojas turi suteikti visą reikiamą turimą informaciją, kuri reikalinga konsultavimuisi.


  1. Duomenų tvarkytojo auditas ir tikrinimas


    1. Duomenų tvarkytojas įsipareigoja, pagal savo turimą informaciją, suteikti Duomenų valdytojui informaciją ir pagalbą, kuri reikalinga siekiant įrodyti, jog asmens duomenų tvarkymo veiksmai atitinka BDAR bei Susitarime įtvirtintus reikalavimus, taip pat padėti Duomenų valdytojui arba kitam jo įgaliotam auditoriui atlikti duomenų tvarkymo auditą, įskaitant ir patikrinimus vietoje.

    2. Duomenų tvarkytojas įsipareigoja užtikrinti galimybę priežiūros institucijoms atlikti Duomenų tvarkytojo ir/ar Subtvarkytojų patikrinimus ir nedelsiant informuoti Duomenų valdytoją apie tokius priežiūros institucijų patikrinimus, susijusius su Duomenų valdytojo valdomais asmens duomenimis, nebent priežiūros institucija draudžia tokį informavimą.

    3. Duomenų valdytojas įsipareigoja iš anksto informuoti Duomenų tvarkytoją apie planuojamą atlikti auditą prieš protingą terminą. Auditas gali būti atliekamas tik įprastomis Duomenų tvarkytojo darbo valandomis, siekiant nepagrįstai nesutrukdyti Duomenų tvarkytojo veiklos. Audito apimtis yra ribojama tiek, kiek būtina įsitikinti šio Susitarimo, saugumo reikalavimų ir taikytinų asmens duomenų apsaugą reglamentuojančių įstatymų reikalavimų tinkamu įgyvendinimu.



  1. Susitarimo galiojimas


    1. Susitarimas įsigalioja nuo jo pasirašymo dienos.

    2. Duomenų tvarkytojo atliekamas asmens duomenų tvarkymas gali tęstis tol, kol galioja Pagrindinė sutartis. Pagrindinei sutarčiai pasibaigus, nepaisant Pagrindinės sutarties pasibaigimo teisinio pagrindo, Duomenų tvarkytojas turi nutraukti jam patikėtų Duomenų valdytojo valdomų asmens duomenų tvarkymo operacijas.

    3. Susitarimo sąlygos galios visą laiką, kol Duomenų tvarkytojas tvarkys asmens duomenis, kurių atžvilgiu Duomenų valdytojas yra duomenų valdytojas, ir kol vykdomi visi Susitarimo reikalavimai.

    4. Nedarant poveikio jokioms BDAR nuostatoms, duomenų tvarkytojui pažeidus pareigas pagal šį Susitarimą, duomenų valdytojas gali nurodyti duomenų tvarkytojui laikinai sustabdyti asmens duomenų tvarkymą, kol pastarasis laikysis šio Susitarimo arba Susitarimas bus nutrauktas. Duomenų tvarkytojas nedelsdamas informuoja duomenų valdytoją, jei dėl kokios nors priežasties jis negali vykdyti Susitarimo.

    5. Asmens duomenų konfidencialumo įsipareigojimai lieka galioti ir pasibaigus Pagrindinei sutarčiai ir (arba) Susitarimui ir galioja neterminuotai.

    6. Duomenų valdytojas turi teisę nedelsdamas nutraukti Susitarimo galiojimą ir uždrausti Duomenų tvarkytojui toliau tvarkyti asmens duomenis, jei Duomenų tvarkytojas nevykdo savo įsipareigojimų, įtvirtintų Susitarime, įskaitant, bet neapsiribojant Duomenų valdytojo rašytinių (įskaitant elektroninę formą) instrukcijų nesilaikymo, neigiamos duomenų tvarkymo audito išvados bei neatitikimo Asmens duomenų apsaugą reglamentuojantiems įstatymams atvejais.

    7. Susitarimas turi pirmenybę prieš bet kokias panašias su asmens duomenų tvarkymu susijusias nuostatas kituose Šalių susitarimuose.


  1. Priemonės, kurių imamasi pasibaigus asmens duomenų tvarkymui


    1. Pasibaigus Susitarimo galiojimui ir su Duomenų tvarkymu susijusių paslaugų teikimui, Duomenų tvarkytojas pagal Duomenų valdytojo pasirinkimą, kuris nurodomas Susitarimo priede Nr. 1 „Asmens duomenų tvarkymo instrukcijos“, ištrina ir įrodo Duomenų valdytojui, kad tai padarė arba grąžina Duomenų valdytojui visus asmens duomenis, kuriuos gavo iš Duomenų valdytojo Pagrindinės sutarties ir šio Susitarimo pagrindu, išskyrus atvejus, kai asmens duomenis reikia saugoti pagal Europos Sąjungos ar jos valstybės narės teisės aktus. Duomenų tvarkytojas užtikrina, kad Subtvarkytojas(-ai) atliktų tuos pačius veiksmus.

    2. Duomenų valdytojo reikalavimu Duomenų tvarkytojas Duomenų valdytojui pateiks sąrašą priemonių, kurių buvo imtasi siekiant užtikrinant tvarkingą asmens duomenų tvarkymo nutraukimą.


  1. Kompensacija


    1. Duomenų tvarkytojas neturi teisės reikalauti jokios papildomos kompensacijos dėl Susitarime nustatytų pareigų vykdymo.


  1. Atsakomybė


    1. Turint įtarimą, jog Duomenų tvarkytojas nesilaiko šio Susitarimo, Duomenų valdytojas apie tai raštu informuoja Duomenų tvarkytoją. Pasitvirtinus informacijai, jog yra nesilaikoma šio Susitarimo nuostatų, Duomenų valdytojas suteikia Duomenų tvarkytojui teisę per 30 (trisdešimt) kalendorinių dienų laikotarpį (įspėjimo terminą) visiškai pašalinti pažeidimą. Visiškai nepašalinus pažeidimo, Duomenų valdytojas turi teisę be įspėjimo nutraukti Pagrindinę sutartį.

    2. Duomenų tvarkytojui pagal šį Susitarimą netaikomi jokie atsakomybės ribojimai, jeigu tokie buvo numatyti Pagrindinėje sutartyje. Duomenų tvarkytojas privalo visiškai atlyginti bet kokią žalą, kurią Duomenų valdytojas patiria dėl Susitarime ar Duomenų tvarkytojui taikomuose Asmens duomenų apsaugą reglamentuojančiuose įstatymuose numatytų prievolių neįvykdymo. Į šią žalą įeina visos Duomenų valdytojo patirtos išlaidos, įskaitant, bet neapsiribojant baudas, mokesčius ir kita.

  1. Ginčų sprendimas


    1. Visi ginčai, kylantys iš Susitarimo vykdymo, bus sprendžiami Lietuvos Respublikos teismuose. Informacija apie kreipimąsi į teismą, bylos nagrinėjimo proceso informacija bei sprendimą šalys laikys konfidencialia informacija. Šiam Susitarimui taikoma Lietuvos Respublikos teisė.

    2. Susitarimas sudaromas dviem egzemplioriais, po vieną kiekvienai šaliai.


Duomenų valdytojo vardu

Duomenų tvarkytojo vardu

[nurodyti pareigas, vardą, pavardę]


____________________________

[nurodyti pareigas, vardą, pavardę]


____________________________


Duomenų tvarkymo susitarimo

priedas Nr.1




  1. Asmens duomenų tvarkymo instrukcijos

Duomenų tvarkymo tikslas:

[Aprašykite asmens duomenų tvarkymo tikslą, jį suformuluojant aiškiai ir konkrečiai, t. y. pakankamai išsamiai, kad būtų galima nustatyti, kokios rūšies tvarkymą jis apima, ir įvertinti, ar konkretus tikslas neprieštarauja teisės aktų reikalavimams].


[PAVYZDŽIAI. „Duomenų valdytojo dokumentų paruošimas saugojimui pagal Lietuvos Respublikos dokumentų ir archyvų įstatymo ir Lietuvos vyriausiojo archyvo reikalavimus arba naikinimui, jei jų saugojimo terminas yra pasibaigęs“, „Duomenų valdytojo asmens duomenų saugojimas“]

Tvarkomų duomenų kategorijos:

[Aprašykite tvarkomų asmens duomenų rūšį].


[PAVYZDYS. Vardas, pavardė, elektroninio pašto adresas, telefono ryšio numeris, gyvenamosios vietos adresas, nacionalinis identifikavimo numeris (asmens kodas), išsami informacija apie mokėjimą, narystės numeris, narystės rūšis].


[PASTABA. Aprašymas turėtų būti kuo išsamesnis, neapsiribojant tik tokiais teiginiais kaip „asmens duomenys, kaip jie apibrėžti Reglamento (ES) 2016/679 4 straipsnio 1 dalyje“, arba vien asmens duomenų kategorijos (t. y. Reglamento (ES) 2016/679 6, 9 ir (ar) 10 straipsniai) nurodymu].

Duomenų subjektų kategorijos:

[nurodyti duomenų subjektų, kurių duomenys perduodami, kategorijas]


[PAVYZDYS. Darbuotojai, partneriai, Asmenys, kurie yra duomenų valdytojo lojalumo programos nariai, Fiziniai asmenys, užsiregistravę gauti el. pašto pranešimus, „Vaikai, kuriems siūlomos informacinės visuomenės paslaugos, Klientai iš trečiųjų valstybių, kita]

Duomenų tvarkymo operacijos, atliekamos Duomenų tvarkytojo:

[nurodyti operacijas, atliekamas Duomenų tvarkytojo]


[PASTABA. Jei yra atliekama keletas duomenų tvarkymo operacijų, šios dalys turi būti užpildytos kiekvienai tvarkymo veiklai].

Duomenų tvarkymo operacijų atlikimo vieta:

[nurodyti adresą ar valstybę, kur bus atliekamos duomenų tvarkymo operacijos]

Duomenų ištrynimas ir grąžinimas:

Pasibaigus asmens duomenų tvarkymo paslaugų teikimui, duomenų tvarkytojas privalo: [pasirinkti tinkamą variantą]

- ištrinti visus asmens duomenis, tvarkomus duomenų valdytojo vardu, ir įrodyti duomenų valdytojui, kad tai padarė;

- grąžinti visus asmens duomenis duomenų valdytojui ir ištrinti esamas kopijas, nebent asmens duomenis reikia saugoti pagal Europos Sąjungos ar jos valstybės narės teisės aktus.


Arba:

- Pasibaigus asmens duomenų tvarkymo paslaugų teikimui, asmens duomenis reikia saugoti pagal šiuos duomenų tvarkytojui taikomus Europos Sąjungos ar jos valstybės narės teisės aktus:

  • [Išvardinti teisės aktus]

[JEI TAIKOMA] Duomenų tvarkytojas, pasibaigus asmens duomenų tvarkymo paslaugų teikimui, įsipareigoja tvarkyti asmens duomenis tik šiose instrukcijose nurodytuose teisės aktuose numatytais tikslais ir terminais bei griežtai pagal juose nustatytas sąlygas.

Duomenų tvarkytojas gali tvarkyti asmens duomenis duomenų valdytojo vardu, kai įsigalioja Sąlygos. Duomenų tvarkymo trukmė:

[Aprašykite duomenų tvarkymo trukmę]

______________________



Duomenų tvarkymo susitarimo

priedas Nr. 2


Duomenų tvarkytojo pasitelkiamų duomenų subtvarkytojų sąrašas


  1. Įgalioti subtvarkytojai

    1. Įsigaliojus Susitarimui, duomenų valdytojas leidžia pasitelkti šiuos pagalbinius duomenų tvarkytojus:


Pavadinimas, vardas, pavardė

Įmonės kodas / individualios veiklos pažymėjimo numeris arba verslo liudijimo numeris

Buveinės adresas / gyvenamosios vietos adresas




Asmens duomenų tvarkymo aprašymas




[pateikti asmens duomenų tvarkymo aprašymą, kokius veiksmus atlieka subtvarkytojas]










Įsigaliojus Susitarimui, duomenų valdytojas leidžia kitai šaliai Susitarimo 1 priedo 1.1 papunktyje nurodytais tikslais pasitelkti šio Susitarimo priede nurodytus pagalbinius duomenų tvarkytojus, laikantis Susitarimo 4 p. reikalavimų. Siekiant pasitelkti minėtus pagalbinius duomenų tvarkytojus asmens duomenų tvarkymui kitais tikslais nei tikslai, nustatyti Susitarimo 1 priedo 1.1 papunktyje, būtinas rašytinis duomenų valdytojo leidimas.


______________________




Duomenų tvarkymo susitarimo

priedas Nr. 3


Techninės ir organizacinės saugumo priemonės


Tvarkydamas Asmens duomenis, Tvarkytojas įgyvendina žemiau išvardintas organizacines ir technines asmens duomenų apsaugos priemones, skirtas apsaugoti tvarkomus Asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, sugadinimo, pakeitimo, praradimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.


Duomenų tvarkytojas turi teisę ir privalo priimti sprendimus dėl techninių ir organizacinių saugumo priemonių naudojimo užtikrinti reikiamą (ir suderintą) duomenų saugumo lygį.


Tvarkytojas užtikrina ir įsipareigoja:

  1. Organizacinės duomenų saugumo priemonės

1.1. Asmens duomenų saugumo politika ir procedūros:

      1. Asmens duomenų tvarkymas ir informacijos sauga turi būti patvirtinta vidaus teisės aktais;

      2. Vidaus teisės aktai, susiję su asmens duomenų tvarkymu ir apsauga, turi būti peržiūrima ne rečiau kaip 1 kartą per metus ir prireikus atnaujinama.

    1. Vaidmenys ir atsakomybės:

      1. Su asmens duomenų tvarkymu susiję vaidmenys ir atsakomybės turi būti aiškiai apibrėžti ir paskirstyti pagal patvirtintus vidaus teisės aktus;

      2. Turi būti aiškiai apibrėžtas darbuotojų teisių ir pareigų atšaukimas taikant atitinkamas vaidmenų ir atsakomybių perdavimo ar perleidimo procedūras (vidaus organizacijos pertvarkymo ar darbuotojų atleidimo, funkcijų pasikeitimo metu).

    2. Prieigos teisių valdymas:

      1. Kiekvienam asmeniui, susijusiam su asmens duomenų tvarkymu, turi būti priskirtos konkrečios prieigos kontrolės teisės, vadovaujantis „būtina žinoti“ (angl. need to know) principu ir kontroliuojama pagal patvirtintą vidaus teisės aktą.

    3. Išteklių ir turto valdymas:

      1. Tvarkytojas turi turėti IT išteklių (naudojamų asmens duomenims tvarkyti) registrą (techninės, programinės ir tinklo įrangos sąrašą). IT išteklių registras turi apimti bent tokią informaciją: IT išteklių tipą (pvz., tarnybinę stotį, kompiuterinę darbo vietą), vietą (fizinę ar elektroninę). IT išteklių registro tvarkymas turi būti priskirtas konkrečiam asmeniui, pvz., IT specialistui.

      2. IT išteklių registras turi būti reguliariai peržiūrimas ir atnaujinamas.

    4. Keitimų valdymas:

      1. Tvarkytojas turi užtikrinti, kad visi esminiai IT sistemų keitimai būtų stebimi ir registruojami konkretaus asmens (pvz., IT arba saugos specialisto);

    5. Žmogiškieji ištekliai:

      1. Tvarkytojas užtikrina, kad jo darbuotojai tvarko informaciją laikydamiesi tokio konfidencialumo lygio, kurio reikalaujama pagal Pagrindinę sutartį ir šį Duomenų tvarkymo susitarimą;

      2. Tvarkytojas užtikrina, kad atitinkami Tvarkytojo darbuotojai būtų susipažinę su asmens duomenų tvarkymo, informacijos saugos, įrenginių ir sistemų naudojimo reikalavimais ir vidaus teisės aktais (įskaitant nustatytus naudojimo apribojimus) pagal Pagrindinę sutartį ir Duomenų tvarkymo susitarimą. Valdytojas turi teisę pareikalauti Tvarkytojo pateikti įrodymus, kad jo darbuotojai susipažino su vidaus teisės aktais, saugumo reikalavimų turiniu ir įsipareigoja laikytis šių reikalavimų;

      3. Tvarkytojas užtikrina, kad Tvarkytojo darbuotojai, atsakingi už asmens duomenų tvarkymą ir saugumą, yra tinkamai apmokyti vykdyti su asmens duomenų tvarkymu ir saugumu susijusias pareigas;

      4. Tvarkytojas paskiria bent vieną asmenį, turintį tinkamos kompetencijos saugumo srityje, kuris yra atsakingas už Saugumo reikalavimuose numatytų saugumo priemonių įgyvendinimą;

      5. Tvarkytojas turi užtikrinti, kad visi darbuotojai būtų tinkamai informuoti apie IT sistemų saugumo reikalavimus, susijusius su jų kasdieniu darbu. Darbuotojai, susiję su asmens duomenų tvarkymu, turi būti mokomi apie atitinkamus duomenų saugumo reikalavimus ir atsakomybes, rengiant reguliarius mokymus, informavimo renginius ar instrukcijas, atmintines.

  1. Techninės duomenų saugumo priemonės



    1. Prieigų kontrolė ir autentifikavimas (taikoma, jeigu asmens duomenys tvarkomi tvarkytojo sistemose):

      1. Turi būti įdiegta, įgyvendinta prieigų kontrolės sistema, kuri taikoma visiems IT sistemos naudotojams. Prieigų kontrolės sistema turi leisti kurti, patvirtinti, peržiūrėti ir panaikinti naudotojų paskyras;

      2. Turi būti vengiama naudoti bendras naudotojų paskyras. Vietose, kur bendra naudotojų paskyra yra būtina, turi būti užtikrinta, kad visi bendros paskyros naudotojai turi tokias pat teises ir pareigas;

      3. Turi būti veikiantis autentifikavimo mechanizmas, leidžiantis prieigą prie IT sistemos (paremtas Prieigų kontrolės politika). Minimalus reikalavimas naudotojui prisijungti prie IT sistemos – naudotojo prisijungimo vardas ir slaptažodis;

      4. Slaptažodis turi būti sudaromas ne trumpesnis kaip 9 ženklų, sudaromas iš didžiųjų, mažųjų ir skaitmenų simbolių arba naudoti kelių faktorių autorizaciją, slaptažodžiai keičiami ne rečiau kaip kas 60 kalendorinių dienų.

      5. Prieigų kontrolės sistema turi turėti galimybę aptikti ir neleisti naudoti slaptažodžių, kurie neatitinka nustatyto kompleksiškumo lygio;

      6. Vartotojo slaptažodžiai turi būti saugomi naudojant kodavimo formą (angl. hash form);

      7. Turi būti nustatytos ir vidaus teisės aktais patvirtintos slaptažodžių naudojimo taisyklės. Taisyklėse turi būti apibrėžtas slaptažodžio ilgis, sudėtingumas, galiojimo laikas, nesėkmingų bandymų įvesti slaptažodį skaičius;

      8. Prieiga prie asmens duomenų suteikta tik tiems darbuotojams, kuriems asmens duomenys yra reikalingi jų funkcijoms vykdyti.

    2. Techninių žurnalų įrašai ir stebėsena (taikoma, jeigu asmens duomenys tvarkomi tvarkytojo sistemose):

      1. Techninių žurnalų įrašai turi būti įgyvendinti IT sistemai, naudojamai asmens duomenims tvarkyti. Techninių žurnalų įrašuose turi būti matoma visa įmanoma prieigų prie asmens duomenų informacija (pvz., data, laikas, peržiūrėjimo, keitimo, panaikinimo veiksmai);

      2. Techninių žurnalų įrašai turi turėti laiko žymas ir būti apsaugoti nuo galimo sugadinimo, suklastojimo ar neautorizuotos prieigos. IT sistemose naudojami laiko apskaitos mechanizmai turi būti sinchronizuoti pagal bendrą laiko atskaitos šaltinį.

    3. Duomenų bazių apsauga (taikoma, jeigu asmens duomenys tvarkomi tvarkytojo sistemose):

      1. Duomenų bazės ir taikomųjų programų tarnybinės stotys turi būti sukonfigūruotos taip, kad veiktų naudodamos atskiras paskyras su priskirtomis žemiausiomis operacinės sistemos (OS) privilegijomis;

      2. Duomenų bazėse ir taikomųjų programų tarnybinėse stotyse turi būti tvarkomi tik tie asmens duomenys, kurie yra reikalingi darbui, atitinkančiam duomenų tvarkymo tikslus;

      3. Duomenų bazėse turi būti naudojami pseudonimizavimo metodai, atskiriant tiesioginius identifikatorius nuo esamų sąsajų su kitais duomenimis ir konkrečioms saugomoms byloms ar įrašams apsaugoti turėtų būti naudojamas šifravimas, įdiegiant atitinkamą programinę ar techninę įrangą;

      4. Aktyvioje duomenų bazėje saugomi asmens duomenys yra šifruojami.

    4. Darbo vietų apsauga:

      1. Naudotojams negalima turėti galimybės išjungti ar apeiti, išvengti IT sistemų saugos nustatymų;

      2. Antivirusinės taikomosios programos ir jų informacijos apie virusus duomenų bazės turi būti atnaujinamos ne rečiau kaip kas savaitę, rekomenduojama kartą per parą ar dažniau;

      3. Naudotojams negalima turėti privilegijų (teisių) diegti, šalinti, administruoti neautorizuotos programinės įrangos;

      4. Slaptažodis turi būti sudaromas ne trumpesnis kaip 9 ženklų, sudaromas iš didžiųjų, mažųjų ir skaitmenų simbolių arba naudoti kelių faktorių autorizaciją, slaptažodžiai keičiami ne rečiau kaip kas 60 kalendorinių dienų.

      5. Prieigų kontrolės sistema turi turėti galimybę aptikti ir neleisti naudoti slaptažodžių, kurie neatitinka nustatyto kompleksiškumo lygio;

      6. Vartotojo slaptažodžiai turi būti saugomi naudojant kodavimo formą (angl. hash form);

      7. Turi būti nustatytos ir vidaus teisės aktais patvirtintos slaptažodžių naudojimo taisyklės. Taisyklėse turi būti apibrėžtas slaptažodžio ilgis, sudėtingumas, galiojimo laikas, nesėkmingų bandymų įvesti slaptažodį skaičius;

      8. IT sistemos turi turėti nustatytą sesijos laiką, t. y. naudotojui esant neaktyviam sistemoje nustatytą laiką, jo sesija privalo būti nutraukta. Neaktyvios sesijos laikas – ne ilgiau kaip 15 min.;

      9. Kritiniai operacinės sistemos saugos atnaujinimai privalo būti diegiami reguliariai ir nedelsiant;

      10. Nešiojamieji kompiuteriai turi būti apsaugoti tokiomis apsaugos priemonėmis, kurios atitiktų duomenų tvarkymo keliamą riziką, t. y. nešiojamųjų kompiuterių šifravimas ir kitas reikalingas priemones;

      11. Kompiuterinės darbo vietos, turi būti valdomos centralizuotai.

    5. Tinklo ir komunikacijos sauga:

      1. Kai prieiga prie naudojamų IT sistemų yra vykdoma internetu, privaloma naudoti šifruotą komunikacijos kanalą, t. y. kriptografinius protokolus (pvz., TLS/SSL) ir kitus atitinkamus šifravimo protokolus;

      2. Bet koks duomenų judėjimas iš, į IT sistemą turi būti stebimas ir kontroliuojamas naudojant ugniasienes ir įsibrovimo (įsilaužimo) aptikimo ir prevencijos sistemas;

      3. Įsibrovimo testavimą atlikti (angl. Penetration testing) tinklui ir naudojamai sistemai, kuri pasiekiama iš išorinio tinklo bent kartą į 1 metus.

    6. Atsarginės kopijos (taikoma, jeigu asmens duomenys tvarkomi tvarkytojo sistemose):

      1. Atsarginės kopijos ir duomenų atstatymo procedūros privalo būti apibrėžtos, dokumentuotos ir aiškiai susietos su vaidmenimis ir pareigomis;

      2. Atsarginių kopijų laikmenoms privalo būti užtikrintas tinkamas fizinis aplinkos, patalpų saugos lygis, priklausantis nuo saugomų duomenų;

      3. Atsarginių kopijų darymo procesas turi būti stebimas, siekiant užtikrinti užbaigtumą ir išsamumą;

      4. Pilnos atsarginės duomenų kopijos privalo būti daromos reguliariai. Rekomenduojamas atsarginių kopijų darymo dažnumas: kasdien – pridedamoji kopija, kas savaitę – pilna kopija;

      5. Atsarginės kopijos turi būti šifruotos;

      6. Turi būti parengtas detalus veiklos tęstinumo planas ir paskirti atsakingi asmenys rizikoms kontroliuoti ir joms valdyti bei turi būti apibrėžtas garantuotos paslaugų kokybės lygis (angl. Service-level agreement (SLA), kuris nustatomas pagrindiniams veiklos procesams, kurie užtikrina asmens duomenų saugumą.

    7. Mobilieji, nešiojamieji įrenginiai:

      1. Mobiliųjų, nešiojamųjų įrenginių administravimo procedūros privalo būti nustatytos ir patvirtintos vidaus teisės aktais, aiškiai aprašant tinkamą tokių įrenginių naudojimą;

      2. Mobilieji ir nešiojamieji įrenginiai, kuriais bus naudojamasi darbui su informacinėmis sistemomis, prieš naudojimąsi turi būti užregistruoti ir autorizuoti;

      3. Mobilieji, nešiojamieji įrenginiai turi būti pakankamo prieigos kontrolės procedūrų lygio, kaip ir kita naudojama įranga asmens duomenims tvarkyti;

      4. Mobiliųjų, nešiojamųjų įrenginių valdymo funkcijos ir atsakomybės turi būti aiškiai apibrėžtos;

      5. Darbui iš namų turi būti taikomos atitinkamos saugumo priemonės asmens duomenų saugumui ir turėti patvirtintą vidaus teisės aktą, prisijungti naudojant VPN.

    8. Programinės įrangos sauga (taikoma, jeigu asmens duomenys tvarkomi tvarkytojo sistemose):

      1. Informacinėse sistemose naudojama programinė įranga (asmens duomenims tvarkyti) turi atitikti programinės įrangos saugos gerąją praktiką, programinės įrangos kūrime taikomą saugos gerąją praktiką, programinės įrangos kūrimo struktūras (angl. frameworks), standartus (pvz., Agile, OWASP ir kt.);

      2. Programinės įrangos kūrimas turi būti atliekamas specialioje aplinkoje, kuri nėra prijungta prie IT sistemų, naudojamų tvarkant asmens duomenis. Testuojant sistemas, reikia naudoti testinius (ne realius) duomenis. Tais atvejais, kai tai neįmanoma, turi būti nustatytos specialios testavimo metu naudojamų asmens duomenų apsaugos procedūros;

      3. Po programinės įrangos kūrimo, testavimo ir verifikacijos, pradedant sistemos įdiegimą ir eksploataciją, jau turi būti laikomasi pagrindinių saugos reikalavimų;

      4. Tais atvejais, kai Tvarkytojas iš Valdytojo gautų asmens duomenų tvarkymui pasitelkia debesijos ar kitas duomenų talpyklų paslaugas (pvz., talpina ir saugo asmens duomenis debesies saugykloje):

        1. Tvarkytojas arba tvarkytojo paslaugų teikėjas teikiantis paslaugas turi būti sertifikuotas pagal ISO 27001 standartą;

        2. paslaugų duomenų centrai turi būti Europos ekonominės erdvės šalyje, o saugomi duomenys negali būti perkelti už Europos ekonominės erdvės ribų.

    9. Duomenų naikinimas, šalinimas:

      1. Užtikrinamas asmens duomenų naikinimas pasibaigus nustatytam asmens duomenų saugojimo terminui.

      2. Prieš pašalinant bet kokią duomenų laikmeną, turi būti sunaikinti visi joje esantys duomenys, naudojant tam skirtą programinę įrangą, kuri palaiko patikimus duomenų naikinimo algoritmus.

      3. Jeigu taikoma, popierinės duomenų laikmenos, kuriose buvo saugomi, kaupiami asmens duomenys, turi būti naikinamos tam skirtais smulkintuvais arba kitomis mechaninėmis priemonėmis.

    10. Fizinė prieigos kontrolė:

      1. Turi būti įgyvendinta fizinė aplinkos, patalpų, kuriose yra IT sistemų infrastruktūra, apsauga nuo neautorizuotos prieigos.

  1. Atitiktis

    1. Valdytojo prašymu Tvarkytojas nedelsiant pateikia Valdytojui atitikties Saugumo reikalavimams ataskaitą.

    2. Aukščiau paminėti reikalavimai ne mažesne apimtimi taikomi visiems Tvarkytojo pasitelktiems pagalbiniams tvarkytojams, jeigu Valdytojas neprieštarauja, kad Tvarkytojas pasitelktų pagalbinius tvarkytojus.

    3. Valdytojas kaip nurodyta šiame Susitarime, turi teisę audito būdu įsitikinti, kad Tvarkytojas laikosi šių reikalavimų.


______________________





9


Document Metadata

Filed: June 20th, 2023