Duomenų tvarkymo sąlygos
Versija: 2024 m. birželio mėn. 1 d.
Taikymas
Šios sąlygos taikomos UAB „AIRO solutions“ ir klientui, su kuriuo UAB „AIRO solutions“ sudaro sutartį, jei UAB „AIRO solutions“ laikomas duomenų tvarkytoju, o klientas – duomenų valdytoju, kaip nurodyta Europos Sąjungos bendrajame duomenų apsaugos reglamente. Šios sąlygos gali būti taikomos ir santykiuose tarp UAB „AIRO solutions“ bei jo perpardavėjo, jeigu UAB „AIRO solutions“ veikia kaip perpardavėjo duomenų subtvarkytojas, kuris yra savo galutinių vartotojų duomenų tvarkytojas. Tokiu atveju „valdytojas“ yra perpardavėjas, o „tvarkytojas“ yra UAB „AIRO solutions“ veikiantis kaip perpardavėjo duomenų subtvarkytojas.
Apibrėžimai
Čia vartojamos sąvokos turi tokias pačias reikšmes kaip nurodyta Europos Parlamento ir Tarybos Reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB („Reglamentas“), įskaitant, bet neapsiribojant tokiomis sąvokomis kaip valdytojas, tvarkytojas, asmens duomenys, tvarkymas ir asmens duomenų saugumo pažeidimas.
Tikslas
Šiuo šalys susitaria, kad klientas, kuris yra duomenų valdytojas, paskiria UAB „AIRO solutons“ savo tvarkytoju asmens duomenims tvarkyti sutarties galiojimo laikotarpiu vadovaujantis šiomis sąlygomis.
Tvarkytojas tvarkys asmens duomenis tik sutartyje nurodytiems įsipareigojimams vykdyti, vadovaudamasis rašytiniais duomenų valdytojo nurodymais.
Valdytojas yra vienintelis asmens duomenų valdytojas, atsakingas už Reglamente ir kituose galiojančiuose teisės aktuose nustatytų duomenų valdytojų įsipareigojimų vykdymą, įskaitant užtikrinimą, kad egzistuoja reikiamas teisinis asmens duomenų tvarkymo pagrindas, duomenų subjektų informavimą apie tvarkymo veiklas bei privatumo politikas, kitų valdytojų dokumentacijoje nustatytų įsipareigojimų laikymąsi bei užtikrinimą, kad saugomi duomenys yra tikslūs. Jeigu teisinis asmens duomenų tvarkymo pagrindas yra asmens sutikimas, valdytojas yra atsakingas už tokio sutikimo gavimą ir jo valdymą, kaip nurodyta Reglamente. Valdytojas yra atsakingas už duomenų naudojimą duomenų tvarkytojo veikloje bei jų teisėtumą, kadangi jis yra vienintelis valdantis šiuos duomenis.
Tvarkytojas neturi teisės tvarkyti asmens duomenų jokiais kitais tikslais ir jokių kitų asmenų naudai. Jeigu tvarkytojas perduoda duomenis už ES/ EEE ribų, jis turi atitikti Reglamente nurodytus tarptautiniams pavedimams keliamus reikalavimus. Tvarkytojas turi nedelsiant informuoti valdytoją, jeigu jis mano, kad valdytojo pateikti rašytiniai asmens duomenų tvarkymo nurodymai pažeidžia Reglamentą ar nacionalinių duomenų apsaugos teisės aktų reikalavimus. Šalys šiuo susitaria vadovautis Reglamentu, kiek jis taikomas kiekvienai šaliai, bei šiame priede pateiktomis sąlygomis.
Papildoma su tvarkymu susijusi informacija gali būti pateikta sutartyje ar atskirame dokumente.
Subtvarkymas
Tvarkytojas turi teisę pasitelkti subtvarkytojus asmens duomenims tvarkyti. Papildoma informacija apie subtvarkytojus gali būti pateikiama pagal paklausimą. Jeigu tvarkytojas planuoja keisti pasitelktus subtvarkytojus, jis turi apie tai informuoti valdytoją raštu mažiausiai prieš 7 dienas. Tvarkytojas turi informuoti valdytoją norėdamas pasitelkti papildomą subtvarkytoją arba nušalinti ar pakeisti jau esamą subtvarkytoją. Gavęs tokį pranešimą, valdytojas turi teisę prieštarauti planuojamam pakeitimui. Jeigu valdytojas prieštarauja pakeitimui ir duomenų tvarkytojas negali pasitelkti kito subtvarkytojo ar taikyti kito asmens duomenų tvarkymo būdo, tokiu atveju tvarkytojas nebus atsakingas už dėl tokio prieštaravimo patirtą žalą ar nuostolius. Šiuo atveju tvarkytojas turi teisę nutraukti sutartį, pranešęs apie tai valdytojui raštu likus bent vienam mėnesiui iki nutraukimo.
Pasitelkdamas subtvarkytojus asmens duomenų tvarkymui, tvarkytojas sutinka taikyti duomenų apsaugos įsipareigojimus visiems savo paskirtiems subtvarkytojams, kad asmens duomenys būtų tvarkomi laikantis šiame priede nustatytų standartų. Tvarkytojas yra visiškai atsakingas už tai, kad jo subtvarkytojai laikytųsi šiame priede nustatytų reikalavimų.
Konfidencialumas
Visi valdytojo vardu tvarkytojo tvarkomi asmens duomenys laikomi konfidencialia valdytojo informacija, o tvarkytojas neatskleis šių asmens duomenų jokiems kitiems asmenims ir jų nenaudos jokiais kitais nei sutarta tikslais. Tvarkytojas užtikrina, kad prieigą prie asmens duomenų turės tik tie asmenys, kuriems reikia šių duomenų tvarkytojo įsipareigojimams, susijusiems su tvarkymo tikslu, vykdymui, ir kad šie žmonės griežtai laikysis sutartinio ir įstatyminio konfidencialumo bei neleis jokiems asmenims, kuriems netaikomas šis konfidencialumo įsipareigojimas, tvarkyti asmens duomenų. Konfidencialumo įsipareigojimas galios ir nutraukus sutartį ar jai nustojus galioti.
Saugumas
Tvarkytojas įgyvendins reikiamas technines ir organizacines priemones, skirtas apsaugoti asmens duomenis nuo netyčinio ar neteisėto sunaikinimo, pametimo, pakeitimo, neteisėto atskleidimo ar prieigos prie jų suteikimo. Šios priemonės bus parinktos atsižvelgiant į techninių galimybių plėtros lygį ir įgyvendinimo sąnaudas, pavojų ir saugotinų asmens duomenų pobūdžio atžvilgiu, bei įvairios tikimybės ir rimtumo pavojų fizinių asmenų teisėms ir laisvėms.
Pagal poreikį tokios priemonės gali būti:
a) pseudonimų naudojimas ir asmens duomenų šifravimas;
b) galimybė užtikrinti nuolatinį tvarkymo sistemų ir paslaugų konfidencialumą, vientisumą, prieinamumą bei atsparumą;
c) galimybė laiku atstatyti asmens duomenų prieinamumą ir prieigą prie jų įvykus fiziniam ar techniniam incidentui;
d) įdiegtas procesas reguliariam techninių ir organizacinių priemonių testavimui ir jų efektyvumo vertinimui siekiant užtikrinti tvarkymo saugumą.
Asmens duomenų saugumo pažeidimai
Tvarkytojas turi nedelsdamas informuoti valdytoją apie nustatytus asmens duomenų saugumo pažeidimus tam, kad tvarkytojas galėtų vadovautis Reglamento nuostatomis reguliuojančiomis pranešimo apie asmens duomenų pažeidimo atvejus per nustatytą laiką. Informuodamas valdytoją, tvarkytojas turi nurodyti visą reikalingą informaciją apie asmens duomenų saugumo pažeidimą ir suteikti kitą reikiamą pagalbą valdytojui. Taip pat tvarkytojas turi imtis visų reikiamų priemonių asmens duomenų pažeidimo padarytam poveikiui ištaisyti ir palengvinti bei užkirsti keliui kitiems pažeidimams.
Poveikio duomenų apsaugai vertinimas
Jeigu tvarkytojas sužino, kad planuojamas duomenų tvarkymas sukeltų didelę grėsmę fizinių asmenų teisėms ir laisvėms, jis apie tai turėtų pranešti valdytojui ir, esant poreikiui, padėti valdytojui atliekant poveikio duomenų apsaugai vertinimą.
Duomenų subjekto teisės
Atsižvelgiant į duomenų tvarkymo pobūdį, tvarkytojas turi nedelsdamas padėti valdytojui pagal poreikį, įskaitant esamų techninių ir organizacinių priemonių pagalba vykdyti duomenų subjektų prašymams pasinaudoti savo teisėmis, suteikiamomis Reglamentu. Tokios teisės yra nurodytos Reglamente, ir apima tokias teises, kaip teisę prašyti, kad būtų leista susipažinti su asmens duomenimis ar prašyti juos ištaisyti, ištrinti („teisė būti užmirštam“), teisę nesutikti, kad duomenys būtų tvarkomi, bei teisę į duomenų perkeliamumą. Jeigu duomenų subjektai pateikia tokius prašymus tiesiogiai tvarkytojui, jis turi nedelsdamas informuoti valdytoją apie juos.
Auditai
Tvarkytojas leis valdytojui atlikti auditus, siekdamas patikrinti kaip tvarkytojas laikosi šių reikalavimų, ir suteiks valdytojui prieigą prie visų sistemų, patalpų, išteklių, informacijos bei personalo tiek, kiek valdytojui to reikės auditui atlikti. Auditai turi būti atliekami įprastinėmis darbo valandomis tam, kad kiek įmanoma mažiau būtų trukdoma tvarkytojui vykdyti savo veiklą. Valdytojas turi informuoti apie planuojamus auditus iš anksto prieš adekvatų laiko tarpą. Abi šalys yra atsakingos už savo su auditu susijusias išlaidas.
Kitos sąlygos
Jeigu tvarkytojas turi padėti valdytojui įvykdyti savo su duomenų saugumo pažeidimais susijusias prievoles, duomenų subjektų teisėmis bei poveikio duomenų apsaugai vertinimu, tvarkytojas turi teisę išrašyti sąskaitą už adekvatų faktiškai praleistą laiką teikiant pagalbą, taikydamas valandinius šalių sutartus įkainius. Sąskaitas už teikiant pagalbą praleistą laiką galima išrašyti tik tada, kai valdytojas sutinka su tuo, kad tvarkytojas skirtų laiką pagalbai teikti.
Tvarkytojas nėra atsakingas valdytojui už jokią netiesioginę, dėl pasekmių kilusią arba kitokią žalą ar trečiųjų šalių pareikštus reikalavimus. Tvarkytojo atsakomybė valdytojui dėl bet kokių reikalavimų nuostolių, žalos ar išlaidų, susijusių su tam tikru užsakymu, atlyginimu bet kuriuo atveju negali viršyti bendros sumos, sudarančios 30% nuo valdytojo tvarkytojui mokamos sumos už pagal tą užsakymą teikiamas paslaugas (be PVM).
Tvarkytojo atsakomybė dėl bet kokių reikalavimų dėl nuostolių, žalos ar išlaidų, susijusių su paslaugų ar programinės įrangos, už kurias sąskaitos išrašomos (kurios yra įkainojamos) kas mėnesį, kompensavimu neturi viršyti bendros kliento sumokėtos sumos (be PVM) už tas paslaugas ar programinę įrangą per du mėnesius iki pirmo žalos kompensavimo pareikalavimo.
Sąlygų nutraukimo terminas ir pasekmės
Šios sąlygos įsigalioja tą pačią dieną, kaip ir tarp šalių sudaryta sutartis, ir galioja iki sutarties nutraukimo ar jos galiojimo pabaigos, vadovaujantis sutarties sąlygomis.
Tvarkytojas turi ištrinti arba grąžinti visus asmens duomenis valdytojui per adekvatų terminą po sutarties nutraukimo ar jos galiojimo pabaigos, taip pat ištrinti visas asmeninių duomenų kopijas, nebent nacionaliniai, ES ar valstybės narės įstatymai įpareigoja tvarkytoją išsaugoti kai kuriuos ar visus asmens duomenis. Tokiu atveju draudžiama tęsti asmens duomenų tvarkymo veiksmus, išskyrus tvarkant juos tik tiek, kiek reikalaujama įstatymais. Valdytojas turi patikrinti, ar jis turi atsargines duomenų kopijas prieš juos ištrindamas, jeigu mano, jog tokie duomenys dar bus reikalingi.
Jeigu valdytojas nepaprašė tvarkytojo ištrinti duomenis ar juos grąžinti per 12 mėnesių nuo sutarties nutraukimo ar jos galiojimo pabaigos, tvarkytojas ištrina visus turimus asmens duomenis, įskaitant jų kopijas, nebent nacionaliniai, ES ar valstybės narės įstatymai įpareigoja tvarkytoją išsaugoti kai kuriuos ar visus asmens duomenis. Tokiu atveju draudžiama tęsti asmens duomenų tvarkymo veiksmus, tvarkant juos tik tiek, kiek to reikalauja įstatymai. Valdytojas turi patikrinti, ar jis turi atsargines duomenų kopijas prieš juos ištrindamas, jeigu mano, jog tokie duomenys dar bus reikalingi.
ASMENS DUOMENŲ TVARKYMO VEIKSMŲ APRAŠYMAS
Tvarkymo veiksmų pobūdis
UAB „AIRO solutions“ paslaugų teikimas ir su tuo susijusi pagalba įmonės klientams bei perpardavėjams. UAB „AIRO solutions“ renka, tvarko ir saugo savo klientų, naudotojų ir perpardavėjų asmens duomenis, vadovaudamasi šia sutartimi, galiojančiais įstatymais ir šiomis sąlygomis. Klientų asmens duomenys apima tokias asmens duomenų kategorijas, kaip vardas, pavardė, el. pašto adresas ir kiti duomenys.
Šioje organizacijoje saugomų asmens duomenų subjektai daugiausia yra mokytojai ir mokiniai.
Subrangovai:
Sutarties įsigaliojimo dieną patvirtinti duomenų subtvarkytojai yra:
- Google Cloud platforma ir jos subtvarkytojai nurodyti: https://cloud.google.com/terms/subprocessors;
- Amazon, Inc. ir jos subtvarkytojai;
- Eduten ir jos subtvarkytojai.