MELP, UAB, juridinio asmens kodas 305615566, buveinės adresas Klevų g. 10, LT-06248, Vilnius, atstovaujama generalinio direktoriaus Vidmanto Šiugždinio, veikiančio pagal įmonės įstatus (toliau – Duomenų tvarkytojas)
ir
MELP paslaugų sutarties specialiosiose sąlygose nurodytas asmuo, kuris jose vadinamas „Klientas“ (toliau – Duomenų valdytojas),
toliau Duomenų tvarkytojas ir Duomenų valdytojas kartu vadinami Šalimis, o kiekvienas atskirai – Šalimi.
Atsižvelgdami į tai, kad Duomenų valdytojas ir Duomenų tvarkytojas sudarė susitarimus dėl MELP paslaugų sutarties specialiųjų sąlygų bei MELP platformos taisyklių organizacijoms (toliau – Pagrindinė sutartis), pagal kurią Duomenų tvarkytojas, teikdamas paslaugas Duomenų valdytojui ir vykdydamas nustatytas prievoles, Duomenų valdytojo vardu tvarkys Asmens duomenis, kaip jie apibrėžti šioje asmens duomenų tvarkymo sutartyje, ir jam bus suteikta prieiga prie šių Asmens duomenų.
Duomenų tvarkytojas ir Duomenų valdytojas sudaro ir šią sutartį dėl asmens duomenų tvarkymo (toliau – Sutartis), pagal kurį susitaria:
1. SĄVOKOS
1.1. Šioje Sutartyje naudojamos sąvokos turi tokią reikšmę:
1.1.1. Asmens duomenų apsaugą reglamentuojantys teisės aktai – ES duomenų apsaugą reglamentuojantys teisės aktai ir, kiek taikytina, bet kurios kitos šalies teisės aktai, reglamentuojantys duomenų apsaugą ar privatumą.
1.1.2. BDAR - ES bendrasis duomenų apsaugos reglamentas Nr. 2016/679.
1.1.3. EEE - Europos ekonominė erdvė.
1.1.4. Subtvarkytojas – bet kuris subjektas (įskaitant trečiuosius asmenis ar su Duomenų tvarkytoju susijusius asmenis, tačiau neįtraukiant Duomenų tvarkytojo arba jo subrangovų darbuotojų), paskirtas Duomenų tvarkytojo arba su Duomenų tvarkytoju susijusio asmens arba jų vardu tvarkyti Asmens duomenis Duomenų valdytojo vardu, kaip numatyta Pagrindinėje sutartyje.
1.1.5. Standartinės sutarčių sąlygos – standartinės Komisijos patvirtintos duomenų apsaugos sąlygos pagal BDAR 93 str. 2 d. įtvirtintą komiteto procedūrą, taip pat kitos Komisijos patvirtintos standartinės duomenų apsaugos sąlygos, atitinkančios direktyvos Nr. 95/46/EB 26 str. 4 d. sąlygą, iki tol, kol jos bus iš dalies arba visai pakeistos, arba panaikintos
1.1.6. MELP platforma - MELP valdoma platforma internete, adresu www.melp.com, arba MELP mobiliojoje aplikacijoje. MELP platforma yra įrankis, skirtas Klientų organizacijoms pateikti informaciją apie Naudas bei jas valdyti, o Naudotojams – pasiekti šią organizacijų teikiamą informaciją, pasirinkti Naudas ir atlikti kitus leidžiamus veiksmus. Priklausomai nuo pasirinkto prisijungimo prie MELP platformos būdo, gali skirtis MELP platformoje pateikiamos informacijos apimtis ir siūlomas funkcionalumas.
1.2. Sąvokos Valdytojas, Duomenų subjektas, Asmens duomenys, Asmens duomenų saugumo pažeidimas, Komisija, Tvarkytojas, Asmens duomenų tvarkymas ir Priežiūros institucija yra laikomos turinčiomis tokią pat reikšmę, kuri yra įtvirtinta BDAR, ir jų giminingos sąvokos aiškinamos atitinkamai.
1.3. Žodis „apima“ aiškinamas kaip „apima, bet neapsiriboja“, o giminingos sąvokos aiškinamos atitinkamai
1.4. Šioje Sutartyje vartojamos sąvokos turi šioje Sutartyje numatytas reikšmes. Didžiąja raide rašomos sąvokos, jeigu šioje Sutartyje nėra nurodoma kitaip, yra apibrėžtos Pagrindinėje sutartyje ir / arba suprantamos taip, kaip jos apibrėžtos Asmens duomenų apsaugą reglamentuojančiuose teisės aktuose.
2. SUTARTIES DALYKAS
2.1. Ši Sutartis reglamentuoja Šalių tarpusavio santykius dėl Asmens duomenų tvarkymo, kurį Duomenų tvarkytojas atlieka Duomenų valdytojo vardu vykdydamas Pagrindinę sutartį.
2.2. Ši Sutartis ir Pagrindinė sutartis sudaro vieningą susitarimą tarp Šalių ir pakeičia bet kokias ankstesnes sudarytas sutartis ar kitokius susitarimus tarp Šalių dėl to paties dalyko. Esant prieštaravimams tarp Pagrindinės sutarties ir šios Sutarties sąlygų dėl Asmens duomenų tvarkymo, vadovaujamasi šios Sutarties sąlygomis, išskyrus kai šioje Sutartyje ir/ar Pagrindinės sutarties specialiosiose sąlygose nustatyta kitaip.
3. ŠALIŲ TEISĖS IR PAREIGOS
3.1. Duomenų tvarkytojas įsipareigoja:
3.1.1. tvarkyti tik tuos Asmens duomenis, kurie nurodyti šios Sutarties Priede Nr. 1, o jei jų nurodyti nėra galimybės dėl nuolat besikeičiančios jų apimties – tik tuos, kuriuos Duomenų valdytojas tvarkys MELP platformoje, išimtinai tik tiek, kiek tai būtina Pagrindinės sutarties vykdymui;
3.1.2. tvarkyti Asmens duomenis tik šios Sutarties ir Pagrindinės sutarties sąlygomis;
3.1.3. tvarkydamas Asmens duomenis pagal šią Sutartį užtikrinti Asmens duomenų tvarkymo atitiktį Asmens duomenų apsaugą reglamentuojantiems teisės aktams ir priežiūros institucijų rekomendacijoms bei nurodymams;
3.1.4. neatlikti tokių veiksmų, dėl kurių Duomenų valdytojas būtų priverstas veikti ne pagal Asmens duomenų apsaugą reglamentuojančių teisės aktų reikalavimus;
3.1.5. neperduoti ar bet kokiu kitu būdu neatskleisti Asmens duomenų ar kitos informacijos, susijusios su Asmens duomenų tvarkymu jokiai trečiajai šaliai, išskyrus teisės aktų ir šioje Sutartyje nustatytus atvejus;
3.1.6. nedelsiant pranešti Duomenų valdytojui jo šioje Sutartyje nurodytu elektroniniu paštu ir raštu apie situaciją, kai dėl teisės aktuose nustatytų prievolių įgyvendinimo, Duomenų tvarkytojas privalo atskleisti Asmens duomenis, kuriuos jis tvarko Duomenų valdytojo vardu. Atskleisdamas Asmens duomenis dėl teisės aktuose nustatytos pareigos vykdymo Duomenų tvarkytojas privalo pareikalauti trečiosios šalies išlaikyti Asmens duomenų konfidencialumą;
3.1.7. paskirti duomenų apsaugos pareigūną ir apie tai raštu informuoti Duomenų valdytoją, jeigu Duomenų tvarkytojas pagal Asmens duomenų apsaugą reglamentuojančius teisės aktus privalo tokį paskirti;
3.1.8. raštu, įskaitant elektroninę formą, tvarkyti visų Duomenų valdytojo vardu tvarkomų Asmens duomenų tvarkymo veiklos įrašus vadovaudamasis Asmens duomenų apsaugą reglamentuojančiais teisės aktais ir šios Sutarties sąlygomis, o Duomenų valdytojui raštu paprašius – nedelsiant juos pateikti Duomenų valdytojui.
3.2. Duomenų valdytojui paprašius, Duomenų tvarkytojas įsipareigoja pateikti jam per tokiame prašyme nustatytą protingą terminą visą informaciją, kuri yra būtina siekiant įrodyti, kad vykdomos šioje Sutartyje ir Asmens duomenų apsaugą reglamentuojančiose teisės aktuose nustatytos Duomenų tvarkytojo prievolės.
3.3. Bendradarbiavimas ir pagalba Duomenų valdytojui:
3.3.1. Duomenų tvarkytojas įsipareigoja bendradarbiauti ir padėti Duomenų valdytojui tiek, kiek reikalinga siekiant atsakyti į Duomenų subjekto paklausimą ir tinkamai įgyvendinti Duomenų subjekto teises, įskaitant, bet neapsiribojant teisę susipažinti su tvarkomais jo Asmens duomenimis, teisę reikalauti ištaisyti neteisingus ir papildyti neišsamius jo Asmens duomenis, teisę ištrinti ar sustabdyti Asmens duomenų tvarkymą, teisę į Asmens duomenų perkeliamumą ir kt.
3.3.2. Tuo atveju, jei Duomenų tvarkytojas gauna Duomenų subjekto prašymą / paklausimą, susijusį su Duomenų tvarkytojo atliekamu Asmens duomenų tvarkymu Duomenų valdytojo vardu, Duomenų tvarkytojas privalo nedelsdamas perduoti tokį prašymą / paklausimą Duomenų valdytojui jo nurodytu elektroniniu paštu. Duomenų tvarkytojas atitinkamus prašymus vykdo tik laikydamasis Duomenų valdytojo rašytinių nurodymų.
3.3.3. Duomenų tvarkytojas privalo nedelsiant informuoti Duomenų valdytoją apie bet kokias aplinkybes, kurios gali užkirsti kelią Asmens duomenų tvarkymui laikantis šios Sutarties ir / ar Asmens duomenų apsaugą reglamentuojančių teisės aktų reikalavimų. Tokiu atveju Duomenų valdytojas turi teisę uždrausti Duomenų tvarkytojui toliau tvarkyti Asmens duomenis.
3.3.4. Duomenų tvarkytojas įsipareigoja suteikti Duomenų valdytojui visą informaciją ir pagalbą, kuri reikalinga siekiant įrodyti, jog Asmens duomenų tvarkymo veiksmai atitinka Asmens duomenų apsaugą reglamentuojančiuose teisės aktuose ir šioje Sutartyje įtvirtintus reikalavimus.
3.3.5. Duomenų tvarkytojas įsipareigoja bendradarbiauti su Duomenų valdytoju Asmens duomenų tvarkymo saugumo užtikrinimo srityje, taip pat tais atvejais, kai kyla pareiga pranešti priežiūros institucijai apie Asmens duomenų saugumo pažeidimą; pranešti Duomenų subjektui apie Asmens duomenų saugumo pažeidimą; atlikti poveikio duomenų apsaugai vertinimą.
3.4. Informacijos saugumas ir konfidencialumas:
3.4.1. Duomenų tvarkytojas įsipareigoja savo sąskaita imtis tinkamų techninių ir organizacinių priemonių siekiant užtikrinti atitinkamo lygio Duomenų valdytojo vardu tvarkomų Asmens duomenų saugumą ir taikyti šioje Sutartyje nurodytas minimalias technines ir organizacines priemones.
3.4.2. Duomenų tvarkytojas įsipareigoja užtikrinti, kad tvarkydamas Asmens duomenis Duomenų valdytojo vardu jis taikys bent šias priemones:
3.4.2.1. Duomenų tvarkytojo patalpos, kuriose laikoma kompiuterinė įranga ir nešiojamos informacijos saugyklos, kuriose saugomi Asmens duomenys, kai nėra stebimos bus užrakinamos tam, kad būtų užtikrinama apsauga nuo neleistino Asmens duomenų naudojimo, poveikio darymo ir vagystės;
3.4.2.2. užtikrinamos procedūros, kuriomis nustatomos prieigos prie Asmens duomenų Duomenų tvarkytojo darbuotojams išdavimas ir panaikinimas;
3.4.2.3. užtikrinama, kad prieigos prie Asmens duomenų naudotojo kodas ir slaptažodis bus unikalūs bei neprieinami neautorizuotam Duomenų tvarkytojo personalui;
3.4.2.4. užtikrinama, jog bus išsaugota prisijungimų prie Asmens duomenų istorija ir su Asmens duomenimis atliktų veiksmų istorija, o Duomenų valdytojui raštu paprašius – bus pateikta Duomenų valdytojui;
3.4.2.5. užtikrinamas saugus Asmens duomenų perdavimas. Tuo atveju, kai naudojami išoriniai Asmens duomenų perdavimo ryšiai, kurių nekontroliuoja Duomenų tvarkytojas, bus užtikrintas techninių priemonių, kuriomis užtikrinamas prisijungimo prie ryšio autorizavimas ir perduodamų Asmens duomenų užkodavimas, naudojimas;
3.4.2.6. užtikrinamas procesas saugiam įrangos, kurioje buvo laikomi Asmens duomenys, sunaikinimui ir taisymui.
3.4.3. Duomenų tvarkytojas įsipareigoja suteikti prieigą prie Asmens duomenų tik tiems Duomenų tvarkytojo darbuotojams, kuriems prieiga prie šių Asmens duomenų reikalinga darbo funkcijoms atlikti ir būtina siekiant užtikrinti Duomenų tvarkytojo pareigų pagal Pagrindinę sutartį ir šią Sutartį vykdymą, o taip pat informuoti Duomenų tvarkytojo darbuotojus, kaip jie privalo tvarkyti Asmens duomenis, ir užtikrinti, kad Duomenų tvarkytojo darbuotojai, kurie turi prieiga prie Asmens duomenų, yra pasirašę konfidencialumo susitarimą, kuris apima ir Asmens duomenų neatskleidimo įsipareigojimą:
3.4.3.1. Pasikeitus asmenims, kurie tvarko asmens duomenis, jų prieigos teisės prie duomenų valdytojo asmens duomenų panaikinamos ne vėliau nei paskutinę jo užduočių, dėl kurių jiems būtina prieiga prie duomenų valdytojo asmens duomenų, patikėtų tvarkyti duomenų tvarkytojui, dieną, o tuo atveju jei nutrūksta duomenų tvarkytojo darbuotojo darbo santykiai – ne vėliau nei paskutinę jo darbo dieną.
3.4.3.2. Asmenų, kuriems suteikta prieiga prie asmens duomenų, sąrašas turi būti periodiškai peržiūrimas ne rečiau kaip kartą kas 6 mėnesius. Vadovaujantis šia peržiūra, tokia prieiga prie asmens duomenų panaikinama, jei tokia prieiga nebereikalinga, todėl asmens duomenys nebegalės būti prieinami tiems asmenims.
3.4.3.3. Duomenų tvarkytojas duomenų valdytojo prašymu įrodo, kad asmenims, kuriems vadovauja duomenų tvarkytojas ir kuriems pavesta tvarkyti asmens duomenis, taikoma Sąlygų 7 punkte nurodyta konfidencialumo pareiga.
3.4.4. Duomenų tvarkytojas įsipareigoja saugoti Asmens duomenis nuo sunaikinimo, modifikavimo, neteisėto platinimo ar neteisėtos prieigos bei nuo visų formų neteisėto Asmens duomenų tvarkymo.
3.5. Incidentų, susijusių su Asmens duomenimis, valdymas:
3.5.1. Duomenų tvarkytojas įsipareigoja nedelsiant, bet ne vėliau kaip per 24 valandas nuo sužinojimo momento, pranešti Duomenų valdytojui šioje Sutartyje jo nurodytu elektroniniu paštu ir raštu apie bet kokį incidentą, susijusį su Duomenų valdytojo vardu Duomenų tvarkytojo tvarkomais Asmens duomenimis, įskaitant Asmens duomenų saugumo pažeidimą, inter alia apie bet kokią neautorizuotą prieigą prie Asmens duomenų.
3.5.2. Pranešime apie incidentą, susijusį su Asmens duomenimis, turi būti įvykusio ar galimai galinčio įvykti incidento aprašymas, jo pobūdis ir reikšmingumas, tikėtinos pasekmės ir priemonės, kurių ėmėsi ar ketina imtis Duomenų tvarkytojas, priemonės, kurių siūloma imtis Duomenų valdytojui šio incidento sukeltoms pasekmėms sumažinti ar galinčioms kilti pasekmėms išvengti, pažeistų asmens duomenų pobūdis, duomenų subjektų kategorijos ir apytikslis jų skaičius. Kartu su pranešimu apie incidentą, susijusį su Asmens duomenimis, pateikiama visa su šiuo incidentu susijusi informacija ir dokumentai, kurie gali būti reikalingi tam, kad Duomenų valdytojas galėtų pritaikyti atitinkamas Asmens duomenų saugumo priemones ir įvykdyti pareigą pranešti priežiūros institucijai ir Duomenų subjektui (kai taikoma pagal Asmens duomenų apsaugą reglamentuojančių teisės aktų reikalavimus) apie Asmens duomenų saugumo pažeidimą.
3.5.3. Duomenų tvarkytojas įsipareigoja imtis visų priemonių, kad padėtų Duomenų valdytojui Asmens duomenų saugumo pažeidimo atveju, siekiant sumažinti Asmens duomenų saugumo pažeidimo neigiamas pasekmes, įskaitant dokumentavimą.
3.5.4. Duomenų tvarkytojas duomenų valdytojo prašymu, papildomai prie Sąlygų 3.5.2 punkte nurodytos informacijos, pateikia dokumentų, pavyzdžiui, pagrindžiančių atliktus veiksmus, taikytas priemones ar atliktus vidinius patikrinimus ir jų išvadų, kopijas.
3.6. Mokymai
3.6.1. Duomenų tvarkytojas privalo užtikrinti, kad visi jo darbuotojai (įskaitant laikinus darbuotojus, rangovus ir kitus panašius atvejus) būtų pakankamai informuoti apie informacinės sistemos saugumo kontrolę, kuri susijusi su kasdieniu jų darbu. Darbuotojai, kurių darbas susijęs su Asmens duomenų tvarkymu, įprastiniuose tobulinimo kursuose turi būti tinkamai informuojami apie reikšmingus duomenų apsaugos reikalavimus ir teisinius įpareigojimus.
3.7. Auditas
3.7.1. Duomenų valdytojas turi teisę bet kuriuo šios Sutarties galiojimo metu iš anksto prieš protingą terminą, bet ne vėliau nei prieš 10 kalendorinių dienų, pranešęs Duomenų tvarkytojui pats arba pasitelkęs trečiąją šalį atlikti Duomenų tvarkytojo auditą siekiant nustatyti, ar Duomenų tvarkytojo atliekamas Asmens duomenų tvarkymas Duomenų valdytojo vardu atitinka šios Sutarties ir Asmens duomenų apsaugą reglamentuojančių teisės aktų reikalavimus.
3.7.2. Duomenų tvarkytojas turi teisę nesutikti su audito atlikimu, jei:
3.7.2.1. Duomenų tvarkytojui per paskutinius 12 (dvylika) mėnesių buvo atliktas atitinkamas vidinis arba išorinis (t. y. jį atliko išoriniai auditoriai, paslaugų teikėjai) auditas arba patikrinimas;
3.7.2.2. Duomenų tvarkytojui yra atliekamas vidinis arba išorinis (t. y. jį atlieka išoriniai auditoriai, paslaugų teikėjai) auditas arba patikrinimas;
3.7.2.3. Duomenų valdytojas inicijuoja daugiau negu vieną Duomenų tvarkytojo patikrinimą arba auditą per kalendorinius metus, išskyrus papildomus auditus arba patikrinimus, kurie:
3.7.2.3.1. Atliekami, kai Duomenų tvarkytojo pusėje įvyko duomenų saugumo pažeidimas, susijęs su Duomenų valdytojo vardu Duomenų tvarkytojo tvarkomais Asmens duomenimis ;
3.7.2.3.2. Duomenų valdytojas nustatė šios Sutarties pažeidimą ir Duomenų tvarkytojas per Duomenų valdytojo nustatytą terminą jo nepašalino;
3.7.2.3.3. Duomenų valdytojas turi pagrįstos informacijos, kad netinkamų Duomenų tvarkytojo veiksmų ir / ar neveikimo gali būti pažeisti šioje Sutartyje nustatyto Duomenų tvarkytojo įsipareigojimai dėl Asmens duomenų saugumo;
3.7.2.3.4. Duomenų valdytojas privalo arba yra prašoma juos atlikti pagal Asmens duomenų apsaugos teisės aktus pagal užklausą iš Priežiūros institucijos arba panašios reguliavimo institucijos, atsakingos už Asmens duomenų apsaugos teisės aktų įgyvendinimą bet kurioje šalyje arba teritorijoje.
3.7.3.Duomenų tvarkytojas įsipareigoja sudaryti tinkamas sąlygas ir padėti Duomenų valdytojui ar jo pasitelktai trečiajai šaliai atlikti šios Sutarties 3.7.1 punkte numatytą Duomenų tvarkytojo auditą. Šiuo tikslu Duomenų tvarkytojas įsipareigoja užtikrinti galimybę patekti į Duomenų tvarkytojo patalpas, suteikti prieigą prie kompiuterinės ir / ar programinės įrangos, dokumentų ir kt. tiek, kiek reikalinga Duomenų tvarkytojo auditui atlikti.
3.7.4. Duomenų tvarkytojo auditas ribojamas Duomenų valdytojo vardu tvarkomų Asmens duomenų apimtimi ir jų tvarkymo veiksmais.
3.7.5. Duomenų tvarkytojas įsipareigoja sudaryti galimybę bet kuriai institucijai, prižiūrinčiai Duomenų valdytojo veiklą, atlikti Duomenų tvarkytojo auditą ir padėti Duomenų valdytojui šio audito atlikimo metu.
3.8. Duomenų tvarkytojas neturi teisės reikalauti jokios papildomos kompensacijos dėl šioje Sutartyje nustatytų pareigų vykdymo.
3.9. Visi audito metu Duomenų valdytojo ir (arba) Duomenų tvarkytojo sudaryti (pateikti) dokumentai ir duomenys privalo išlikti konfidencialūs, jiems turi būti taikomi aukščiausi informacijos neatskleidimo reikalavimai
4. SUBTVARKYTOJAS
4.1. Duomenų tvarkytojas turi laikytis Reglamento (ES) 2016/679 28 straipsnio 2 ir 4 dalyse nurodytus reikalavimus, kad galėtų pasitelkti kitą duomenų tvarkytoją (toliau – Subtvarkytojas)
4.2. Duomenų valdytojas suteikia leidimą Duomenų tvarkytojui paskirti (ir leisti kiekvienam pagal šią 4 dalį paskirtam Subtvarkytojui paskirti) šios Sutarties Priede Nr. 2 nurodytus Subtvarkytojus vadovaujantis šia 4 dalimi, neperžengiant Pagrindinėje sutartyje nustatytų ribų.
4.3. Apie naujo subtvarkytojo paskyrimą Duomenų tvarkytojas įsipareigoja informuoti Duomenų valdytoją elektroniniu pranešimu ne vėliau kaip likus 30 kalendorinių dienų iki Duomenų subtvarkytojas pradės tvarkymo veiksmus. Duomenų valdytojui nesutinkant su Duomenų subtvarkytojo paskyrimu, tai gali būti laikoma pagrindu nutraukti Pagrindinę sutartį.
4.4. Duomenų tvarkytojas įsipareigoja pasitelkti tik tuos duomenų tvarkytojus (Subtvarkytojus), kurie pakankamai užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų BDAR ir kitų teisės aktų reikalavimus ir būtų užtikrinta duomenų subjekto teisių apsauga.
4.5. Aktualus Duomenų tvarkytojo subtvarkytojų sąrašas skelbiamas www.melp.com, skiltyje Duomenų apsauga.
4.6. Sąlygų su Subtvarkytoju kopija ir jos vėlesni pakeitimai, duomenų Valdytojo prašymu, pateikiami duomenų Valdytojui, tokiu būdu suteikiant duomenų valdytojui galimybę užtikrinti, kad Subtvarkytojui taikomos tos pačios duomenų apsaugos prievolės, kaip yra nustatyta Sutartyje. Duomenų tvarkytojas turi informuoti Duomenų valdytoją apie visus netinkamo Subtvarkytojo pareigų, nustatytų tokia sutartimi ar kitu teisės aktu, atvejus. Duomenų valdytojui nėra privaloma pateikti asmens duomenų tvarkymo sutarties dėl su verslu susijusių nuostatų, kurios nedaro įtakos su Subtvarkytoju sudarytos sutarties teisinėms asmens duomenų apsaugos sąlygoms.
4.7. Duomenų tvarkytojas yra atsakingas už reikalavimą, kad Subtvarkytojas laikytųsi bent tų pareigų, kurios Duomenų tvarkytojui taikomos pagal Sąlygas ir Reglamentą (ES) 2016/679. Jei Subtvarkytojas nevykdo asmens duomenų apsaugos prievolių, Duomenų tvarkytojas, su kuriuo sudaryta Sutartis, išlieka visiškai atsakingas duomenų Valdytojui už Subtvarkytojo (ir jo Subtvarkytojų) prievolių vykdymą. Tai nedaro įtakos duomenų subjektų teisėms pagal Reglamentą (ES) 2016/679, ypač Reglamento (ES) 2016/679 79 ir 82 straipsniuose numatytoms teisėms, Duomenų valdytojo ir Duomenų tvarkytojo, įskaitant Subtvarkytojus, atžvilgiu.
5. ASMENS DUOMENŲ PERDAVIMAS Į TREČIĄSIAS VALSTYBES
5.1. Duomenų tvarkytojas asmens duomenis gali perduoti į trečiąsias valstybes ar tarptautinėms organizacijoms tik gavęs duomenų valdytojo dokumentais įformintus nurodymus ir (arba) sutikimus ir laikantis Reglamento (ES) 2016/679 V skyriaus reikalavimų.
5.2. Jei asmens duomenis trečiosioms valstybėms ar tarptautinėms organizacijoms reikia perduoti pagal Europos Sąjungos ar jos valstybės narės teisės aktus, kurių turi laikytis duomenų tvarkytojas, nors duomenų valdytojas nedavė nurodymų duomenų tvarkytojui tai atlikti, duomenų tvarkytojas informuoja duomenų valdytoją apie šį teisinį reikalavimą prieš duomenų perdavimą, nebent tas teisės aktas draudžia perduoti tokią informaciją.
5.3. Duomenų tvarkytojas be duomenų valdytojo dokumentais įformintų nurodymų arba be konkretaus reikalavimo pagal Europos Sąjungos ar jos valstybės narės teisės aktus negali pagal šias Sąlygas:
5.3.1. perduoti asmens duomenis duomenų valdytojui ar duomenų tvarkytojui trečiojoje valstybėje ar tarptautinėje organizacijoje;
5.3.2. perduoti asmens duomenų tvarkymą pagalbiniam duomenų tvarkytojui trečiojoje valstybėje;
5.3.3. leisti, kad asmens duomenis tvarkytų duomenų tvarkytojas trečiojoje valstybėje.
5.4. Duomenų valdytojo nurodymai ar leidimai dėl asmens duomenų perdavimo į trečiąją valstybę, įskaitant, jei taikoma, asmens duomenų perdavimo į trečiąsias valstybes Reglamento (ES) 2016/679 V skyriuje nustatytus pagrindai, kuriais duomenų valdytojo nurodymai yra grindžiami, pateikiami Sąlygų 1 priede.
5.5. Šios Sąlygos nėra standartinės duomenų apsaugos sąlygos, apibrėžtos Reglamento (ES) 2016/679 46 straipsnio 2 dalies c ir d punktuose, ir šalys negali remtis Sąlygomis kaip asmens duomenų perdavimo į trečiąsias valstybes ar tarptautinėms organizacijoms pagrindu pagal Reglamento (ES) 2016/679 V skyrių.
5.6. Duomenų tvarkytojas gavęs Duomenų valdytojo dokumentais įformintus nurodymus ir (arba) sutikimus įsipareigoja su subtvarkytojais už Europos Sąjungos (toliau – ES) ir Europos ekonominės erdvės (toliau – EEE) ribų ar tarptautinėmis organizacijomis sudaryti sutartis dėl Asmens duomenų apsaugos pagal Standartines sutarčių sąlygas.
6. ATSAKOMYBĖ
6.1. Duomenų tvarkytojas atsako už tvarkomų Asmens duomenų konfidencialumą ir saugumą nuo Asmens duomenų gavimo momento.
6.2. Esant pagrįstam įtarimui, kad Duomenų tvarkytojas nesilaiko šios Sutarties ir / ar Asmens duomenų apsaugą reglamentuojančių teisės aktų reikalavimų, Duomenų valdytojas turi teisę raštu kreiptis į Duomenų tvarkytoją, nustatydamas terminą paaiškinimams dėl Asmens duomenų tvarkymo pateikti. Įtarimui pasitvirtinus ir nustačius, kad tai yra esminis Sutarties pažeidimas, Duomenų valdytojas turi teisę šioje Sutartyje nustatyta tvarka vienašališkai nutraukti šią Sutartį ir Pagrindinę sutartį dėl Duomenų tvarkytojo kaltės arba nustatyti terminą pažeidimui pilnai pašalinti.
6.3. Duomenų tvarkytojas įsipareigoja atlyginti Duomenų valdytojui dėl Duomenų tvarkytojo ir / ar Duomenų tvarkytojo pasitelkto (-ų) Subtvarkytojo (-ų) kaltės sukelto Asmens duomenų apsaugą reglamentuojančių teisės aktų pažeidimo patirtus nuostolius. Į šių nuostolių sumą įeina visos Duomenų valdytojo patirtos išlaidos, įskaitant, bet neapsiribojant baudos, mokesčiai, nuostolių atlyginimas Duomenų subjektui ir kt.
6.4. Duomenų tvarkytojas prisiima visišką atsakomybę už pasitelktų Subtvarkytojų veiksmus ir užtikrina, kad pasitelkti Subtvarkytojai laikysis visų šios Sutarties sąlygų.
7. SUTARTIES GALIOJIMAS IR PASIBAIGIMAS
7.1. Ši Sutartis įsigalioja nuo jos sudarymo (t.y. Pagrindinės sutarties specialiųjų sąlygos pasirašymo) dienos ir galioja tol, kol Duomenų tvarkytojas tvarko Asmens duomenis Duomenų valdytojo vardu. Šioje Sutartyje numatyta konfidencialumo pareiga galioja neterminuotai.
7.2. Šios Sutarties priedai, pakeitimai ir papildymai galioja tik jei jie sudaryti raštu ir pasirašyti abiejų Šalių įgaliotų atstovų, išskyrus tai, kad Duomenų tvarkytojas sutinka su visais būsimais šios Sutarties (įskaitant jos priedus) vienašaliais Duomenų valdytojo inicijuotais pakeitimais ir/ar papildymais, (i) kurie bus privalomi siekiant įgyvendinti pasikeitusius privalomus Asmens duomenų apsaugą reglamentuojančių teisės aktų reikalavimus ir/ar (ii) kurie susiję su Sutarties priedo Nr. 1 „Informacija apie subtvarkytojus“ pakeitimais ir/ar papildymais. Apie šiame punkte numatytą vienašalį Sutarties pakeitimą Duomenų tvarkytojas informuojamas el. paštu, prisijungus prie savo paskyros www.melp.com ir/ar kitu Duomenų valdytojo pasirinktu būdu. Šiame punkte numatyti vienašaliai Sutarties pakeitimai laikomi įsigaliojusiaisiais, kai Duomenų tvarkytojas yra informuojamas apie tokius pakeitimus šiame punkte numatyta tvarka.
7.3. Duomenų valdytojas turi teisę nedelsiant nutraukti šios Sutarties galiojimą ir uždrausti Duomenų tvarkytojui toliau tvarkyti Asmens duomenis Duomenų valdytojo vardu, jei Duomenų tvarkytojas, po to kai buvo įspėtas Duomenų valdytojo apie netinkamą Sutarties vykdymą (nevykdymą) ir per nustatytą terminą nepašalino Sutarties pažeidimo (-ų) ir toks pažeidimas laikytinas esminiu.
7.4. Duomenų tvarkytojas turi teisę vienašališkai nutraukti šią Sutartį tuo atveju, jei Duomenų tvarkytojo iniciatyva yra nutraukiama Pagrindinė sutartis.
8. PRIEMONĖS, KURIŲ IMAMASI PASIBAIGUS ASMENS DUOMENŲ TVARKYMUI
8.1. Pasibaigus šios Sutarties ir Pagrindinės sutarties galiojimui Duomenų tvarkytojas įsipareigoja, ištrinti / sunaikinti Asmens duomenis, tvarkomus Duomenų valdytojo vardu, o taip pat sunaikinti esamas Asmens duomenų kopijas, ir tai įrodyti Duomenų valdytojui raštu, kad tai padarė ir (arba), Duomenų valdytojui raštu informavus Duomenų tvarkytoją, grąžinti Duomenų valdytojui visus Asmens duomenis, kuriuos gavo ir tvarkė Duomenų valdytojo vardu Pagrindinės sutarties ir šios Sutarties pagrindu. Šis įsipareigojimas nebūtų taikomas, jei Europos Sąjungos ar nacionalinės teisės aktais, taikytinais Duomenų tvarkytojui, būtų reikalaujama saugoti Asmens duomenis ir pasibaigus šios Sutarties galiojimui. Duomenų tvarkytojas užtikrina, kad Duomenų tvarkytojo pasitelktas (-i) Subtvarkytojas (-ai) šių Asmens duomenų tvarkymui atliktų tuos pačius veiksmus. Šio punkto reikalavimai netaikomi tais atvejais kai, pasibaigus šios Sutarties ir Pagrindinės sutarties galiojimui Duomenų tvarkytojas turi kitą, ne iš šios Sutarties ir/ar Pagrindinės sutarties kylantį pagrindą toliau tvarkyti Asmens duomenis kaip savarankiškas duomenų valdytojas. Jei Duomenų tvarkytojas turi kitą, ne iš šios Sutarties ir/ar Pagrindinės sutarties kylantį pagrindą toliau tvarkyti Asmens duomenų dalį - šio punkto reikalavimai netaikomi tik tai Asmens duomenų daliai, kurią Duomenų tvarkytojas kaip savarankiškas duomenų valdytojas turi teisėtą pagrindą toliau tvarkyti pasibaigus šios Sutarties ir Pagrindinės sutarties galiojimui.
8.2. Duomenų valdytojas yra informuotas ir supranta, kad jis pats turi galimybę ištrinti Asmens duomenis iš MELP platformos iki Pagrindinės sutarties nutraukimo, t.y. tol, kol jis turi aktyvius prisijungimus prie MELP platformos.
8.3. Duomenų valdytojo rašytiniu reikalavimu, Duomenų tvarkytojas įsipareigoja pateikti Duomenų valdytojui sąrašą priemonių, kurių buvo imtasi siekiant užtikrinant tvarkingą Asmens duomenų tvarkymo nutraukimą.
8.4. Tuo atveju, jei Duomenų valdytojas davė sutikimą Pagrindinėje sutartyje dėl nuasmenintų Asmens duomenų perdavimo Duomenų tvarkytojui statistikos tikslams, Duomenų valdytojas supranta, kad tokie duomenys ir po Sutarties ir Pagrindinės sutarties pasibaigimo, lieka Duomenų tvarkytojo žinioje. Duomenų tvarkytojas įsipareigoja nuasmeninti tokius Asmens duomenis tokiu būdu, kad jų nebebūtų įmanoma susieti su konkrečiu duomenų subjektu.
8.5. Jeigu Duomenų valdytojas pareikalauja, kad Asmens duomenys būtų saugomi tam tikrą Duomenų valdytojo nurodytą laiką pasibaigus šios Sutarties galiojimui, tai turi būti atliekama vadovaujantis Duomenų valdytojo dokumentais įformintais nurodymais.
9. GINČŲ SPRENDIMAS
9.1. Šiai Sutarčiai taikoma Lietuvos Respublikos teisė.
9.2. Visi ginčai, kylantys iš šios Sutarties vykdymo, bus sprendžiami Lietuvos Respublikos teismuose. Informaciją apie kreipimąsi į teismą, bylos proceso informaciją ir sprendimą Šalys laikys konfidencialia informacija. Šalys sutinka, kad bet kurios iš Šalių prašymu teismas ginčą tarp Šalių dėl šios Sutarties vykdymo nagrinėtų uždaruose teismo posėdžiuose.
10. DUOMENŲ APSAUGOS PAREIGŪNŲ KONTAKTINIAI DUOMENYS
10.1. Duomenų tvarkytojo ir Duomenų valdytojo Duomenų apsaugos pareigūnų el. pašto adresai nurodomi Pagrindinės sutarties specialiosiose sąlygose.
11. BAIGIAMOSIOS NUOSTATOS
11.1. Ši Sutartis yra neatskiriama Pagrindinės sutarties dalis.
11.2. Kiekviena Šalis pareiškia ir garantuoja, kad Šalies atstovas, sudarantis šią Sutartį Šalies vardu turi visus šios Sutarties sudarymui būtinus įgaliojimus, sutikimus ir patvirtinimus.
11.3. Vienos iš šios Sutarties sąlygų negaliojimas nedaro negaliojančios visos šios Sutarties. Šalys įsipareigoja dėti visas pastangas, kad negaliojanti šios Sutarties sąlyga būtų pakeista nauja galiojančia sąlyga, kuri pagal prasmę ir turinį būtų artimiausia negaliojančiai sąlygai ir turėtų analogišką teisinį ir ekonominį rezultatą, kaip ir pakeista šios Sutarties sąlyga.
11.4. Šios Sutarties priedai yra neatskiriamos šios Sutarties dalys. Šios Sutarties priedai yra:
11.4.1. Priedas Nr. 1 – Asmens duomenų aprašymas ir tvarkymo sąlygos.
11.4.2. Priedas Nr. 2 – Informacija apie Subtvarkytojus.
ASMENS DUOMENŲ APRAŠYMAS IR TVARKYMO SĄLYGOS
Duomenų tvarkytojo atliekamo Asmens duomenų tvarkymo tikslas:
Asmens duomenų tvarkymo tikslas yra paslaugų pagal Pagrindinę sutartį teikimas, t.y. Duomenų valdytojo darbuotojams skirtų naudų administravimas MELP platformoje.
Duomenų subjektų, kurių Asmens duomenis tvarko Duomenų tvarkytojas Duomenų valdytojo vardu, kategorijos:
Duomenų valdytojo darbuotojai ar kitaip su juo susiję asmenys.
Duomenų tvarkytojo tvarkomi Asmens duomenys / Asmens duomenų kategorijos:
Visų Asmens duomenų kategorijų Asmens duomenys, kuriuos Duomenų valdytojas įveda į MELP platformą su tikslu naudotis paslaugomis, numatytomis Pagrindinėje sutartyje. Duomenų tvarkytojo tvarkomų Asmens duomenų kategorijos visada priklauso nuo to, kokias MELP funkcijas naudoja Duomenų valdytojas.
Identifikaciniai asmens duomenys (vardas, pavardė), kontaktiniai duomenys (el. pašto adresas, tel. Nr.), kiti duomenys (padalinys, pareigybė, gimimo data, įdarbinimo data).
Asmens duomenų tvarkymo veiksmai / operacijos, kuriuos atlieka Duomenų tvarkytojas:
Visi ir bet kokie Duomenų valdytojo inicijuojami veiksmai MELP platformoje. Asmens duomenų tvarkymo veiksmai ir operacijos, kurias atlieka Duomenų tvarkytojas, visada priklauso nuo to, kokias MELP funkcijas naudoja Duomenų valdytojas.
MELP platformoje sukurtų Kliento darbuotojų paskyrų administravimas ir talpinimas.
MELP platformos, skirtos Kliento personalo specialistams (root admin), paskyrų sukūrimas ir administravimas.
MELP platformos, skirtos Kliento personalo specialistams, paskyrų sukūrimas (pagal atskirą prašymą) ir administravimas.
MELP platformoje Kliento darbuotojų paskyrų sukūrimas atskiru Duomenų valdytojo prašymu importuojant Duomenų valdytojo pateiktą CSV arba Excel formato dokumentą su darbuotojų asmens duomenimis.
Asmens duomenų tvarkymo vieta:
Airijos Respublika, Lietuvos Respublika.
Sistemos: AWS (Amazon Web Service); MELP platforma ir mobili programėlė.
Asmens duomenų tvarkymo trukmė (laikotarpis):
1. Asmens duomenys tvarkomi Pagrindinės sutarties galiojimo laikotarpiu bei kaip reglamentuota Pagrindinėje sutartyje.
2. Iki kol Duomenų valdytojas ištrina Asmens duomenis iš MELP platformos; arba
3. Iki Duomenų valdytojo nurodymo ištrinti Asmens duomenis iš MELP platformos.
4. Tuo atveju, jei Duomenų valdytojas neištrina Asmens duomenų iš MELP platformos pats arba nepateikia nurodymo ištrinti arba grąžinti Asmens duomenis per 10 kalendorinių dienų nuo Pagrindinės sutarties nutraukimo, MELP nedelsdami kreipiasi į Duomenų valdytoją dėl nurodymų, ką daryti su Asmens duomenimis, gavimo. Duomenų valdytojui nepateikus atsakymo per 10 kalendorinių dienų nuo paklausimo gavimo dienos, MELP Asmens duomenis negrįžtamai ištrina.
5. Tuo atveju, jei MELP platformoje kliento darbuotojų paskyrų sukūrimas vyksta atskiru Duomenų valdytojo prašymu importuojant Duomenų valdytojo pateiktą CSV arba Excel formato dokumentą su darbuotojų asmens duomenimis, MELP šiuos dokumentus negrįžtamai sunaikina nedelsiant po Asmens duomenų importo.
Duomenų tvarkytojo taikomų techninių ir organizacinių priemonių aprašymas
PRIEIGOS KONTROLĖ (KELIAMI REIKALAVIMAI FIZINĖMS APSAUGOS PRIEMONĖMS)
· Biurų patalpos apsaugotos rakinamomis durimis, į kurias patekti darbuotojui būtina turėti magnetinę kortelę;
· Biurų patalpos apsaugotos signalizacija ir priešgaisrine apsaugos sistemomis;
PRIEIGOS KONTROLĖ (NEUTORIZUOTŲ ASMENŲ PRIEIGOS PRIE SISTEMŲ RIBOJIMAS)
· Slaptažodžiai kuriami ir saugomi atsižvelgiant į vidines slaptažodžių nustatymo politikas ir privalo būti sistemingai keičiami;
· Fizinė ir loginė prieiga prie duomenų centrų yra apribota, prie kurios prieiga suteikiama tik autorizuotiems darbuotojams, atsakingiems už atitinkamas funkcijas.
PRIEGOS KONTROLĖ (NEUTORIZUOTŲ VEIKSMŲ SISTEMOSE, VIRŠIJANT NUSTATYTUS ĮGALIOJIMUS, RIBOJIMAS).
· Vartotojo vardas ir slaptažodis reikalingas siekiant pasiekti Duomenų tvarkytojo sistemas ir individualius kompiuterius/paskyras.
· Vartotojo ir slaptažodžių apsauga bei jų naudojimo tvarka yra nustatyta vidinėje politikoje.
· Vartotojui neatliekant tam tikrą laiką sistemoje neatliekant jokių veiksmų, prieiga prie sistemos yra apribojama. Prieiga prie sistemos gali būti atnaujinama pakartotinai suvedus prisijungimo duomenis (vartotojo vardą, slaptažodį).
· Prisijungimui naudojami skirtingi autorizacijos lygiai, siekiant užtikrinti, kad kiekvieno individualaus vartotojo prieiga būtų ribota tam tikra apimti. Neautorizuotų vartotojų prieiga yra ribojama.
· Prieiga prie SharePoint yra griežtai ribojama. Suteikiant prieigą, vadovaujamasi žemiausio lygio privilegijų suteikimo principu. Prieigą suteikia atsakingas asmuo.
Visi darbuotojai yra prisiėmę konfidencialumo įsipareigojimus sudarant darbo sutartis.
ĮVESTIES KONTROLĖ (ATSEKAMUMAS, DUOMENŲ VALDYMO IR PRIEŽIŪROS DOKUMENTACIJA)
· Prisijungimas prie sistemų, valdančių duomenis, atliekamas atskirai.
NURODYMŲ KONTROLĖ
· Duomenų tvarkytojas pakeis, ištrins ar kitaip pakeis Asmens duomenis jei taip yra nurodoma Duomenų valdytojo.
· Gavus Duomenų valdytojo rašytinį nurodymą, Duomenų tvarkytojas nustatys procedūrą, siekiant užtikrinti atitiktį specifiškai nustatytiems atsekamumo reikalavimams.
PRIEINAMUMO KONTROLĖ
· Duomenų tvarkytojas savo veikloje taiko antivirusinę ir/ar kitą saugumo programinę įrangą.
· Duomenų tvarkytojas taiko atitinkamas priemones, siekiant užtikrinti duomenų ir ryšio prieinamumą maksimaliam laikui.
· Atsarginių kopijų kūrimo ir atkūrimo procedūros Asmens duomenims.
· Visi duomenys, kuriuos renkame iš savo klientų ir saugome yra šifruojami naudojant AWS teikiamus duomenų šifravimo sprendimus (RDS, S3 ir kt.).
ATSKYRIMO KONTROLĖ
· Duomenų valdytojo duomenų tvarkymas atliekamas pasitelkiant minimaliai dvi aplinkas (i.) gamybai ir (ii.) testavimo/programavimo tikslams.
SERTIFIKATAI
· ISO/IEC 27001
Subtvarkytojas (-ai):
Aktuali informacija yra adresu https://melp.com/lt/legal/sub-processor
Duomenų perdavimas už ES ir EEE ribų ar tarptautinei organizacijai (jei taikoma):
Sutarties sudarymo metu Asmens duomenys nėra perduodami už ES ir EEE ribų ar tarptautinei organizacijai. Aktuali informacija yra adresu www.melp.com
INFORMACIJA APIE SUBTVARKYTOJUS
1. SUBTVARKYTOJAI
Sutarties sudarymo metu Duomenų tvarkytojo pasitelkti Subtvarkytojai yra nurodyti interneto puslapyje https://melp.com/lt/legal/sub-processor
Sudarius šią Duomenų tvarkymo sutartį, Duomenų valdytojas sutinka, kad Duomenų tvarkytojas Sutarties Priede Nr. 1 nurodytais tikslais pasitelktų šiame Priede Nr. 2 nurodytus subtvarkytojus, laikantis Sutarties V skyriaus reikalavimų. Siekiant pasitelkti minėtus subtvarkytojus asmens duomenų tvarkymui kitais tikslais nei tikslai, nustatyti Sutarties Priede Nr. 1, Duomenų tvarkytojas įsipareigoja informuoti Duomenų valdytoją likus ne mažiau kaip 15 kalendorinių dienų iki tokių duomenų tvarkymo veiksmų pradžios.
2. IŠANKSTINIS PRANEŠIMAS DĖL NAUJŲ SUBTVARKYTOJŲ PASITELKIMO
Apie naujo subtvarkytojo paskyrimą Duomenų tvarkytojas įsipareigoja informuoti Duomenų valdytoją elektroniniu pranešimu ne vėliau kaip likus 15 kalendorinių dienų iki Duomenų subtvarkytojas pradės tvarkymo veiksmus.
Duomenų apsaugos sutarties redakcija: V.1.1.
Įsigaliojimo data: 2024-07-01