UAB „Baltnetos komunikacijos“
UAB „Baltnetos komunikacijos“
Duomenų tvarkymo sutartis (DTS)
Ši Duomenų tvarkymo sutartis (toliau – „DTS“) reguliuoja asmens duomenų tvarkymą, kurį vykdo UAB „Baltnetos komunikacijos“, veikianti kaip „Duomenų tvarkytojas“ savo kliento, veikiančio kaip „Duomenų valdytojas“, vardu. Ši DTS tampa neatsiejama bendrosios sutarties dalimi bei tampa privaloma Duomenų tvarkytojui ir Duomenų valdytojui pagal Bendrąjį duomenų apsaugos reglamentą .
1. Duomenų tvarkymo dalykas, tikslas, pobūdis, asmens duomenų rūšis ir duomenų subjektų kategorijos
1.1. Asmens duomenų tvarkymo – kurį atlieka Duomenų tvarkytojas Duomenų valdytojo vardu – pobūdis, dalykas ir tikslas, taip pat informacija, susijusi su tvarkomų asmens duomenų rūšimi bei duomenų subjektų kategorijomis, yra nurodyti šios DTS Prieduose.
2. Duomenų tvarkymo trukmė
2.1. Ši DTS taikoma tol, kol Duomenų tvarkytojas tvarko asmens duomenis Duomenų valdytojo vardu.
2.2. Duomenų valdytojo prašymu, Duomenų tvarkytojas privalo po šios DTS nutraukimo ar pasibaigimo nutraukti savo vykdomą duomenų tvarkymo veiklą ir – jei taip pageidauja Duomenų valdytojas ir, jei kitaip nenumato taikomi duomenų apsaugos teisės aktai – turi ištrinti arba grąžinti visus asmens duomenis Duomenų valdytojui, kartu ištrinant visas turimas tokių duomenų kopijas.
3. Asmens duomenų tvarkymas – Duomenų tvarkytojo įsipareigojimai
3.1. Duomenų tvarkytojas yra įgyvendinęs tinkamas technines bei organizacines priemones, užtikrinančias, kad jo vykdomas asmens duomenų tvarkymas pagal šios DTS nuostatas atitiktų taikomus duomenų apsaugos teisės aktų reikalavimus, konkrečiai – 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 (toliau – „BDAR“) reikalavimus, ir garantuotų duomenų subjekto teisių apsaugą. Duomenų tvarkytojas yra įsidiegęs ISO/IEC27001:2013 informacijos saugumo standartą ir kontrolės priemones pagal šio standarto reikalavimus.
3.2. Duomenų tvarkytojas įsipareigoja tvarkyti asmens duomenis tik pagal Duomenų valdytojo pateiktus dokumentais įformintus rašytinius nurodymus, išskyrus atvejus, kai taikomi teisės aktai nustato kitaip. Tokiu atveju, prieš pradėdamas tvarkyti asmens duomenis, Duomenų tvarkytojas, kiek tai leidžia teisės aktai, privalo informuoti Duomenų valdytoją apie tokį teisinį reikalavimą. Jei Duomenų tvarkytojas neturi nurodymų, kaip tvarkyti asmens duomenis konkrečioje situacijoje, arba, jei koks nors nurodymas pažeidžia taikomą duomenų apsaugos teisės aktą, Duomenų tvarkytojas privalo nedelsdamas apie tai informuoti Duomenų valdytoją.
3.3. Duomenų tvarkytojas, atsižvelgdamas į duomenų tvarkymo pobūdį ir galima apimtimi panaudodamas tinkamas technines bei organizacines priemones, padeda Duomenų valdytojui įvykdyti Duomenų valdytojo prievolę atsakyti į prašymus pasinaudoti duomenų subjekto teisėmis. Pagal šią DTS, duomenų subjekto teisės apima teises prašyti informacijos ir – duomenų subjekto pageidavimu – pataisyti, sunaikinti asmens duomenis arba sustabdyti asmens duomenų tvarkymo veiksmus.
3.4. Duomenų tvarkytojas, atsižvelgdamas į duomenų tvarkymo pobūdį bei turimą informaciją, padeda Duomenų valdytojui įvykdyti konkrečias prievoles pagal taikomus duomenų apsaugos teisės aktus. Konkrečios prievolės apima duomenų tvarkymo saugumą (BDAR 32 straipsnis), pranešimą apie asmens duomenų saugumo pažeidimą (BDAR 33 – 34 straipsniai) ir poveikio duomenų apsaugai vertinimą bei išankstines konsultacijas (BDAR 35 – 36 straipsniai).
3.5. Duomenų tvarkytojas įsipareigoja pateikti Duomenų valdytojui visą informaciją ir suteikti jam visą pagalbą siekiant įrodyti, kad yra vykdomi pagal šią DTS prisiimti įsipareigojimai, taip pat sudaro sąlygas bei padeda Duomenų valdytojui arba kitam jo įgaliotam auditoriui atlikti auditą, įskaitant patikrinimus vietoje.
4. Pagalbiniai Duomenų tvarkytojai
4.1. Duomenų valdytojas patvirtina, kad Duomenų tvarkytojas gali pasitelkti DTS Prieduose išvardytas bendroves kaip pagalbinius duomenų tvarkytojus. Duomenų tvarkytojas informuoja Duomenų valdytoją apie visus planuojamus pakeitimus, susijusius su pagalbinių duomenų tvarkytojų pasitelkimu ar pakeitimu, o Duomenų valdytojas turi teisę nesutikti su tokiais pakeitimais.
4.2. Duomenų tvarkytojas užtikrina ir, Duomenų valdytojo prašymu, dokumentais patvirtina, kad pagalbiniai duomenų tvarkytojai yra įsipareigoję pagal rašytines sutartis, pagal kurias – be šioje DTS nustatytų įsipareigojimų – jie privalo vykdyti atitinkamas duomenų tvarkymo prievoles. Duomenų tvarkytojas yra visiškai atsakingas Duomenų valdytojui už pagalbinių duomenų tvarkytojų vykdomus įsipareigojimus.
4.3. Duomenų valdytojas gali paprašyti, kad Duomenų tvarkytojas patikrintų pagalbinį duomenų tvarkytoją arba pateiktų patvirtinimą, kad toks patikrinimas buvo atliktas, arba, jei yra tokia galimybė, gautų ar padėtų Duomenų valdytojui gauti išorinio auditoriaus išvadą dėl Pagalbinio duomenų tvarkytojo veiklos, siekiant užtikrinti taikomų duomenų apsaugos teisės aktų reikalavimų vykdymą.
5. Duomenų perdavimas į trečiąsias šalis
5.1. Įsipareigojimas tvarkyti asmens duomenis pagal DTS gali būti vykdomas tik Europos Sąjungos (ES) valstybėje narėje arba Europos ekonominės erdvės (EEE) valstybėje narėje. Bet koks asmens duomenų perdavimas į šalį, kuri nėra ES ar EEE valstybė narė, gali būti vykdomas tik gavus Duomenų valdytojo išankstinį rašytinį sutikimą ir tik tuo atveju, jei yra įvykdytos specialios sąlygos, nurodytos taikomuose duomenų apsaugos teisės aktuose, BDAR V skyriuje.
5.2. Duomenų valdytojas gali bet kada atšaukti savo sutikimą dėl duomenų perdavimo į trečiąsias šalis pagal šios DTS 5.1 punktą. Tokiu atveju, Duomenų tvarkytojas privalo iškart nutraukti duomenų perdavimą ir, Duomenų valdytojui prašant, pateikti rašytinį tokio nutraukimo patvirtinimą.
6. Informacijos saugumas ir konfidencialumas
6.1. Duomenų tvarkytojas užtikrina tinkamą asmens duomenų apsaugą pagal šią DTS su tikslu apsaugoti asmens duomenis nuo sunaikinimo, pakeitimo, neteisėto platinimo arba neteisėtos prieigos. Asmens duomenys taip pat saugomi nuo kitokio pobūdžio neteisėto tvarkymo.
6.2. Duomenų tvarkytojas parengia ir nuolat atnaujina savo techninių, organizacinių ir fizinių priemonių aprašymą, kad šis atitiktų taikomų duomenų apsaugos teisės aktų reikalavimus.
6.3. Be Duomenų valdytojo išankstinio rašytinio sutikimo Duomenų tvarkytojas įsipareigoja neatskleisti pagal šią DTS tvarkomų asmens duomenų ar kitaip neleisti su jais susipažinti jokiai trečiajai šaliai, išskyrus pagalbinius duomenų tvarkytojus, kurie pasitelkiami pagal šią DTS.
6.4. Duomenų tvarkytojas užtikrina, kad visi su asmens duomenų tvarkymu susiję asmenys būtų įsipareigoję užtikrinti konfidencialumą arba, kad jiems būtų taikoma atitinkama įstatymais nustatyta konfidencialumo prievolė.
7. Taikoma teisė ir ginčų sprendimas
7.1. Ši DTS yra sudaryta ir aiškinama vadovaujantis šios DTS Prieduose nurodytoje jurisdikcijoje galiojančiais įstatymais, išskyrus kolizinės teisės principus, kuomet priešingu atveju gali būti taikomos kitos teisės normos.
7.2. Šalys susitaria, kad vienintelė ir išimtinė jurisdikcija bei vieta, kurioje nagrinėjami visi iš šios DTS kylantys ginčai, yra sutartos jurisdikcijos teismas.
8. Atsakomybės ribojimas ir nuostolių atlyginimas
8.1. Jei nesusitariama kitaip, šalys atsako pagal DTS 7 skyriuje nurodytas bendrąsias taikomos teisės normas. Nepaisant to, kas nurodyta aukščiau, šalys neprisiima atsakomybės už eksploatacinius nuostolius, pelno netekimą, prestižo praradimą, bet kokius kitus netiesioginius nuostolius ir jų padarinių žalą. Duomenų praradimas laikomas netiesioginiu nuostoliu.
8.2. Bendra Duomenų tvarkytojo atsakomybė pagal šią DTS bet kuriuo atveju ribojama paskutinių 6 (šešių) mėnesių atlygio, sumokėto už paslaugas ir šia DTS prisiimtus įsipareigojimus ir atitinkamu metu apskaičiuoto nuo ginčo dalyko atsiradimo momento, dydžiu. Jei praėjo mažiau kaip 6 (šeši) mėnesiai, sumokėtas atlygis yra laikomas vidutinis sumokėtas atlygis, padaugintas iš 6 (šešių) mėnesių.
Duomenų tvarkymo sutarties Priedas Nr. 1 Serverių ir kompiuterių priežiūros paslaugoms
Duomenų tvarkymo dalykas ir tikslas | Toliau nurodytų Duomenų tvarkytojo paslaugų ar užduočių teikimas Duomenų valdytojui: Serverių ir kompiuterių priežiūros paslaugos |
Tvarkomų asmens duomenų rūšys | Tvarkomi asmens duomenys apima asmeninę dalykinę kontaktinę informaciją, tokią kaip vardas, pavardė, telefono numeris arba mobiliojo telefono numeris, elektroninio pašto adresas ir slaptažodžiai; darbovietes, asmens kodus |
Duomenų subjektų kategorijos | Duomenų valdytojo atstovai ir galutiniai vartotojai, tokie kaip darbuotojai, kandidatai į darbo vietą, rangovai, bendradarbiai, partneriai, taip pat Duomenų valdytojo klientai, ligoninės pacientai ir kiti asmenys, kurie turi būti suvesti į centrinę duomenų valdytojo sistemą |
Duomenų tvarkymo veikla: | Asmens duomenų suvedimas, koregavimas ir trynimas, taip pat serverių, kuriuose gali būti asmens duomenys atsarginių kopijų darymas ir saugojimas ne ilgiau nei duomenų valdytojas nusipirkęs atsarginių kopijų paslaugą |
Pagalbinių duomenų tvarkytojų sąrašas | Nėra |
Jurisdikcija | Lietuva |
Duomenų tvarkymo sutarties Priedas Nr. 2 Resursų nuomos paslaugoms
Duomenų tvarkymo dalykas ir tikslas | Toliau nurodytų Duomenų tvarkytojo paslaugų ar užduočių teikimas Duomenų valdytojui: Resursų nuomos paslaugos |
Tvarkomų asmens duomenų rūšys | Tik duomenų valdytojo kontaktinė informacija, vardas, pavardė, pareigos, telefono numeris, mobilus telefono numeris, elektroninis adresas, šifruotas slaptažodis prisijungimui į valdymo panelę |
Duomenų subjektų kategorijos | Duomenų valdytojo atstovai |
Duomenų tvarkymo veikla: | Virtualių mašinų atsarginių kopijų darymas pagal kliento nusipirktą atsarginių kopijų atlikimo paslaugą |
Pagalbinių duomenų tvarkytojų sąrašas | Nėra |
Jurisdikcija | Lietuva |
Duomenų tvarkymo sutarties Priedas Nr. 3 Svetainių talpinimo ir virtualių dedikuotų serverių paslaugoms
Duomenų tvarkymo dalykas ir tikslas | Toliau nurodytų Duomenų tvarkytojo paslaugų ar užduočių teikimas Duomenų valdytojui: Svetainių talpinimo ir virtualių dedikuotų serverių paslaugos |
Tvarkomų asmens duomenų rūšys | Tik duomenų valdytojo kontaktinė informacija, vardas, pavardė, pareigos, telefono numeris, mobilus telefono numeris, elektroninis adresas, šifruotas slaptažodis prisijungimui į valdymo panelę |
Duomenų subjektų kategorijos | Duomenų valdytojo atstovai |
Duomenų tvarkymo veikla: | Virtualių mašinų ir svetainių atsarginių kopijų darymas bei saugojimas ne ilgiau nei 14 dienų |
Pagalbinių duomenų tvarkytojų sąrašas | Nėra |
Jurisdikcija | Lietuva |
Duomenų tvarkymo sutarties Priedas Nr. 4 Telefonijos paslaugoms
Duomenų tvarkymo dalykas ir tikslas | Toliau nurodytų Duomenų tvarkytojo paslaugų ar užduočių teikimas Duomenų valdytojui: Telefonijos paslaugos |
Tvarkomų asmens duomenų rūšys | Duomenų valdytojo kontaktinė informacija, vardas, pavardė, pareigos, telefono numeris, mobilus telefono numeris, elektroninis adresas, šifruotas slaptažodis prisijungimui į valdymo panelę. Duomenų valdytojo klientų/partnerių skambučių informacija, laikas, trukmė, į kokį numerį skambinta (CDR‘ai), vardas, pavardė, elektroninio pašto adresas, pareigos |
Duomenų subjektų kategorijos | Duomenų valdytojo atstovai, duomenų valdytojo klientai |
Duomenų tvarkymo veikla: | Skambučių CDR įrašų saugojimas ne ilgiau nei 6 mėn. |
Pagalbinių duomenų tvarkytojų sąrašas | UAB „Debesų verslas“ |
Jurisdikcija | Lietuva |
Duomenų tvarkymo sutarties Priedas Nr. 5 bendrai visoms paslaugoms
Duomenų tvarkymo dalykas ir tikslas | Toliau nurodytų Duomenų tvarkytojo paslaugų ar užduočių teikimas Duomenų valdytojui: paslaugų teikimas – Duomenų subjekto paslaugų pirkimo (užsakymo) apdorojimui, administravimui, užklausų apdorojimui; Duomenų subjekto identifikavimui Duomenų tvarkytojo informacinėse sistemose |
Tvarkomų asmens duomenų rūšys | Tik duomenų valdytojo kontaktinė informacija, vardas, pavardė, pareigos, asmens kodas, telefono numeris, mobilus telefono numeris, elektroninis adresas, šifruotas slaptažodis prisijungimui į valdymo panelę |
Duomenų subjektų kategorijos | Duomenų valdytojo atstovai |
Duomenų tvarkymo veikla: | Asmens duomenų suvedimas, koregavimas ir trynimas, taip pat serverių, kuriuose gali būti asmens duomenys, atsarginių kopijų darymas ir saugojimas |
Pagalbinių duomenų tvarkytojų sąrašas | Nėra |
Jurisdikcija | Lietuva |
Priedas Nr. 6 Duomenų tvarkytojo taikomos techninės ir organizacinės priemonės
Duomenų tvarkytojas organizacijoje yra įsidiegęs paslaugų valdymo sistemą ISO/IEC 20000 ir Informacijos saugos valdymo sistemą ISO/IEC 27001, kur techninių ir organizacinių priemonių sąrašas yra platesnis. Čia išvardintos pagrindinės asmens duomenų apsaugai taikomos priemonės:
1. Saugi prieiga prie informacijos yra užtikrinama šiomis priemonėmis:
1.1. vykdomas IT sistemų pakeitimų valdymas;
1.2. prieigos suteikiamos vadovaujantis principu „būtina žinoti“;
1.3. naudotojų identifikavimas ir autentifikavimas vykdomas nuo kompiuterio įjungimo iki programos paleidimo ir prisijungimo prie duomenų bazės;
1.4. taikomi specialūs reikalavimai slaptažodžiams;
1.5. vykdoma periodinė prieigų prie informacinių išteklių, taip pat praėjimo kortelių peržiūra;
1.6. apsaugos (užrakto) sistema kontroliuoja patekimą į Duomenų tvarkytojo patalpas;
1.7. naudojama signalizacija (nuo įsilaužimo, gaisro);
1.8. asmens duomenys popierinėje laikmenoje saugomi tik rakinamuose stalčiuose ir/ar spintose;
1.9. asmens duomenys elektroniniu formatu saugomi tik informacinėse sistemose, prie kurių prieiga yra griežtai ribojama;
1.10. laikomasi „švaraus stalo ir ekrano“ politikos;
1.11. patekimas į serverių laikymo patalpas (duomenų centrą) galimas tik susipažinus su duomenų centro elgesio taisyklėmis, iš anksto užsiregistravus ir turint leidimą patekti į duomenų centrą;
1.12. prieiga prie serverių operacinių sistemų valdymo bei konfigūravimo leidžiama tik iš vienos vietos, o veiksmai yra fiksuojami ;
1.13. nesinaudojant kompiuteriu ir/ar mobiliuoju įrenginiu, jų ekranai užrakinami;
1.14. išorinės duomenų laikmenos šifruojamos, nešifruojamose laikmenose asmens duomenys nesaugomi;
1.15. nešiojamuosiuose kompiuteriuose esanti informacija apsaugota operacinės sistemos vartotojo vardu bei slaptažodžiu, kietasis diskas šifruojamas.
2. Naudotojų identifikavimas:
2.1. slaptažodžiai naudojami visais lygiais – nuo kompiuterio įjungimo iki programos paleidimo ir prisijungimo prie duomenų bazės;
2.2. nustatomi specialūs reikalavimai slaptažodžiams (periodinis privalomas slaptažodžių keitimas, slaptažodžio ilgio ir sudėtingumo apribojimai, neleidžiama naudoti senų slaptažodžių);
2.3. naudojama dviejų lygių autentifikacija.
3. Duomenų tvarkytojo darbuotojams draudžiama dalintis prisijungimo duomenimis su kitais asmenimis.
4. Informacinių sistemų testavimas vykdomas tik su nuasmenintais duomenimis.
5. Komunikuojant dėl iškilusių problemų, dokumentacijoje pateikiant ekrano vaizdus (angl. printscreen) asmens duomenys pašalinami ar nuasmeninami (užtušuojami).
6. Prieš siunčiant asmens duomenis el. paštu, duomenys užšifruojami, atrakinimo raktą pateikiant atskiru el. laišku arba kitu ryšio kanalu (pvz., SMS).
7. Ne sistemos priemonėmis tvarkoma informacija (pvz., „Word“, „Excel“, „PowerPoint“ priemonėmis sukurti elektroniniai dokumentai, susirašinėjimai naudojant „Outlook“) klasifikuojama atsižvelgiant į dokumento turinį.
8. Duomenų saugumui nuo praradimo užtikrinti daromos naudojamų duomenų bazių atsarginės duomenų kopijos. Prieiga prie atsarginių kopijų yra griežtai kontroliuojama ir atstatymai fiksuojami. Atsargines kopijas, kurias reikia pernešti yra šifruojamos.
9. Daugkartinio įrašymo duomenų laikmenose (pvz., SSD, HDD, USB raktai, išoriniai diskai, atminties kortelės, mobilūs telefonai) saugomos informacijos naikinimas atliekamas naudojant specialią programinę įrangą ar laikmeną sunaikinant fiziškai.
10. Nereikalingos CD ir DVD laikmenos sunaikinamos fiziškai.
11. Kompiuterinė įranga perdirbimui perduodama be duomenų laikmenų.
12. Prieš perduodant kompiuterį naudoti kitam valdytojui, jis perinstaliuojamas.
13. Prieš perduodant mobiliuosius įrenginius (pvz., telefonus, planšetes) kitam valdytojui ar remontui, perdirbimui, išvaloma įrenginio atmintis atstatant gamyklinius įrenginio parametrus (angl. factory reset, master reset) ir išimamos atminties kortelės.
14. Visi Duomenų tvarkytojo darbuotojai pasirašo nustatytos formos konfidencialumo pasižadėjimą, kuris įpareigoja saugoti sužinotus Asmens duomenis neterminuotai.
15. Užtikrinamas ryšių saugumas, kai išorinės duomenų perdavimo jungtys turi būti apsaugotos, pasitelkiant technines priemones, užtikrinančias, kad ryšys būtų autorizuotas ir užšifruotas perduodant Asmens duomenis ryšių kanalais per išorines sistemas, kurias kontroliuoja Duomenų tvarkytojas.
16. Užtikrinama galimybė atsekti prieigą prie Asmens duomenų praeityje per registracijos žurnalą (angl. log) arba panašią informacinę bazę. Registracijos žurnalai turi būti apsaugoti ir negali būti prieinami pašaliniams asmenims. Duomenų tvarkytojas turi turėti galimybę tikrinti informacinę bazę ir informuoti apie tai Duomenų valdytoją.