Duomenų tvarkymo sutartis
Galioja nuo 2023 m. rugsėjo 29 d. | Peržiūrėti ankstesnę duomenų tvarkymo sutarties versiją | Palyginti keitimus
Pagal 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (toliau - BDAR) reikalavimus, paslaugų teikėjas (toliau – duomenų tvarkytojas) ir jūs (toliau – duomenų valdytojas) sudaro duomenų tvarkymo sutartinius santykius, siekdami apibrėžti asmens duomenų tvarkymo sąlygas, jų apsaugos būdą, taip pat nustatyti kitas abiejų šalių teises ir pareigas tvarkant duomenų subjektų asmens duomenis duomenų valdytojo vardu, įgyvendinant šių sąlygų, kaip pagrindinės sutarties, dalyką.
1. Asmens duomenų tvarkymas. Paslaugos, teikiamos laikantis šių sąlygų, apima informacijos, susijusios su identifikuotu arba identifikuojamu fiziniu asmeniu, nurodytu privatumo politikoje, tvarkymą (toliau – asmens duomenys).
2. Įgaliojimas. Duomenų valdytojas įgalioja duomenų tvarkytoją tvarkyti asmens duomenis, įskaitant šiuos nurodymus:
i) Tvarkymo tikslas – paslaugų teikimas laikantis šių sąlygų. Duomenų tvarkytojui leidžiama tvarkyti asmens duomenis duomenų valdytojo vardu tik dėl duomenų valdytojo užsakytų paslaugų teikimo. Visa papildomais tikslais surinkta informacija tvarkoma ne pagal duomenų valdytojo ir duomenų tvarkytojo sutartinius santykius.
ii) Tvarkymo laikotarpis – laikotarpis nuo bendradarbiavimo pagal šias sąlygas pradžios iki paslaugų teikimo nutraukimo.
iii) Asmens duomenų aprėptis ir kategorijos. Paslaugos skirtos tik bendriems asmens duomenims tvarkyti. Tačiau tik duomenų valdytojas yra atsakingas už asmens duomenų aprėpties nustatymą.
iv) Duomenų subjektas – fizinis asmuo, kuris yra įgaliotas duomenų valdytojo įrenginių naudotojas.
v) Duomenų tvarkymo veikla – visi duomenims tvarkyti būtini veiksmai.
vi) Dokumentais pagrįsti nurodymai – nurodymai, aprašyti šiose sąlygose, jų prieduose, privatumo politikoje ir paslaugų dokumentuose. Duomenų valdytojas yra atsakingas už teisinį duomenų tvarkytojo atliekamo asmens duomenų tvarkymo priimtinumą, atsižvelgiant į atitinkamas taikytinas duomenų apsaugos teisės aktų nuostatas.
3. Duomenų tvarkytojo pareigos. Duomenų tvarkytojas privalo:
i) tvarkyti asmens duomenis tik pagal dokumentais pagrįstus nurodymus ir tik sąlygose, jų prieduose, privatumo politikoje ir paslaugų dokumentuose nustatytu tikslu;
ii) informuoti asmenis, įgaliotus tvarkyti asmens duomenis (toliau – įgaliotieji asmenys), apie jų teises ir pareigas pagal BDAR, apie jų atsakomybę pažeidimo atveju ir užtikrinti, kad įgaliotieji asmenys įsipareigotų laikytis konfidencialumo ir laikytųsi dokumentais pagrįstų nurodymų;
iii) įgyvendinti priemones, aprašytas sąlygose, jų prieduose, privatumo politikoje ir paslaugų dokumentuose, ir jų laikytis;
iv) padėti duomenų valdytojui atsakyti į duomenų subjektų prašymus, susijusius su jų teisėmis. Be duomenų valdytojo nurodymo duomenų tvarkytojas netaiso, nepašalina ir neapriboja asmens duomenų tvarkymo. Visi duomenų subjekto prašymai, susiję su duomenų valdytojo vardu tvarkomais asmens duomenimis, nedelsiant persiunčiami duomenų valdytojui;
v) padėti duomenų valdytojui pranešti priežiūros institucijai ir duomenų subjektui apie asmens duomenų saugumo pažeidimą. Duomenų tvarkytojas nedelsdamas praneša duomenų valdytojui apie bet kokį asmens duomenų tvarkymo ar asmens duomenų saugumo pažeidimą. Duomenų tvarkytojas pagrįstai bendradarbiauja tiriant ir ištaisant tokį pažeidimą ir imasi pagrįstų priemonių tolesnėms neigiamoms pasekmėms apriboti;
vi) duomenų valdytojo pasirinkimu pašalinti arba grąžinti visus asmens duomenis duomenų valdytojui, pasibaigus duomenų tvarkymo laikotarpiui. Duomenų valdytojas įsipareigoja informuoti duomenų tvarkytoją apie savo sprendimą per dešimt (10) dienų nuo duomenų tvarkymo laikotarpio pabaigos. Ši nuostata neturi įtakos duomenų tvarkytojo teisei saugoti asmens duomenis tiek, kiek tai būtina archyvavimo tikslais viešojo intereso labui, mokslinių tyrimų tikslais, statistiniais tikslais arba siekiant pareikšti, vykdyti ar ginti teisinius reikalavimus;
vii) tvarkyti nuolat atnaujinamą visų kategorijų duomenų tvarkymo veiklos, vykdomos duomenų valdytojo vardu, registrą;
viii) pateikti duomenų valdytojui visą informaciją, reikalingą atitikčiai įrodyti, kaip sąlygų, jų priedų, privatumo politikos ir paslaugų dokumentų dalį. Jei duomenų valdytojas atlieka asmens duomenų tvarkymo auditą ar kontrolę, duomenų valdytojas privalo raštu informuoti duomenų tvarkytoją ne vėliau kaip prieš trisdešimt (30) dienų iki planuojamo audito ar kontrolės.
4. Kito duomenų tvarkytojo įtraukimas. Duomenų tvarkytojas turi teisę pasitelkti kitą duomenų tvarkytoją konkrečiai duomenų tvarkymo veiklai, pavyzdžiui, debesijos saugyklai ir paslaugos infrastruktūrai teikti pagal sąlygas, jų priedus, privatumo politiką ir paslaugų dokumentus, vykdyti. Šiuo metu Microsoft teikia debesijos saugyklą ir infrastruktūrą kaip Azure debesijos paslaugų dalį. Tokiu atveju vienintelis kontaktinis asmuo ir šalis, atsakinga už reikalavimų laikymąsi, yra duomenų tvarkytojas. Duomenų tvarkytojas įsipareigoja informuoti duomenų valdytoją apie bet kokį kito duomenų tvarkytojo pridėjimą ar pakeitimą, kad būtų galima paprieštarauti tokiam pakeitimui.
5. Duomenų tvarkymo teritorija. Duomenų tvarkytojas užtikrina, kad duomenys būtų tvarkomi Europos ekonominėje erdvėje arba šalyje, kuri Europos Komisijos sprendimu, priimtu remiantis duomenų valdytojo sprendimu, pripažinta saugia. Standartinės sutarčių sąlygos taikomos tais atvejais, kai duomenys perduodami ir tvarkomi ne Europos ekonominėje erdvėje arba šalyje, kuri duomenų valdytojo prašymu Europos Komisijos sprendimu priskirta prie saugių šalių.
6. Sauga. Duomenų tvarkytojas yra sertifikuotas pagal ISO 27001:2013 ir naudoja ISO 27001 sistemą, kad įgyvendintų daugiasluoksnės gynybos saugumo strategiją, taikydamas saugumo kontrolės priemones tinklo, operacinių sistemų, duomenų bazių, programų, personalo ir veiklos procesų lygmenimis. Norminių ir sutartinių reikalavimų laikymasis yra reguliariai vertinamas ir peržiūrimas panašiai kaip ir kita duomenų tvarkytojo infrastruktūra ir veikla, taip pat imamasi būtinų veiksmų, kad būtų užtikrinta nuolatinė atitiktis. Duomenų tvarkytojas organizavo duomenų saugumą naudodamas ISO 27001 pagrįstą ISMS. Saugumo dokumentai daugiausia apima politikos dokumentus, susijusius su informacijos saugumu, fiziniu saugumu, įrangos saugumu, incidentų valdymu, duomenų nutekėjimo ir saugumo incidentų valdymu ir kt.
7. Techninės ir organizacinės priemonės. Duomenų tvarkytojas saugo asmens duomenis nuo atsitiktinės ir neteisėtos žalos ir sunaikinimo, atsitiktinio praradimo, pakeitimo, neteisėtos prieigos ir atskleidimo. Šiuo tikslu duomenų tvarkytojas, laikydamasis BDAR reikalavimų, imasi tinkamų techninių ir organizacinių priemonių, atitinkančių duomenų tvarkymo būdą ir duomenų tvarkymo keliamą riziką duomenų subjektų teisėms. Išsamus techninių ir organizacinių priemonių aprašymas pateikiamas saugumo politikoje.
8. Duomenų tvarkytojo kontaktinė informacija. Visi pranešimai, prašymai, reikalavimai ir kita informacija, susijusi su asmens duomenų apsauga, adresuojami ESET, spol. s.r.o.: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.