Duomenų Tvarkymo Sutartis

1.1.  Šioje sutartyje pateikiami duomenų tvarkytojo įsipareigojimai, kuriais pagal Reglamentą privaloma įpareigoti duomenų tvarkytoją, taip pat kitos sąlygos, kurių duomenų tvarkytojas privalo laikytis, kad Reglamentas būtų tinkamai įgyvendintas.

1.2.  Ši sutartis pakeičia pagrindinėje sutartyje arba kituose duomenų tvarkytojo ir duomenų valdytojo susitarimuose nustatytus duomenų tvarkytojo įsipareigojimus duomenų valdytojui dėl asmens duomenų tvarkymo ir apsaugos. Šios sutarties nuostatos turi pirmenybę prieš bet kokias pagrindinėje sutartyje išdėstytas prieštaraujančias nuostatas.

2.1.  Kai duomenų valdytojas pasitelkia duomenų tvarkytoją, duomenų tvarkymo dalyką sudaro duomenų tvarkymo veiksmai, susiję su paslaugų teikimu arba vykdomi kaip paslaugų teikimo dalis:

2.1.1. tinklo įrenginių stebėjimo ir valdymo sistema ( „RMS“ );

2.1.2. tachografų bylų valdymo ir saugojimo sistema ( „WEB Tacho“ );

2.1.3. nuotolinė mikroprograminės įrangos ir sąrankos keitimo sistema ( „FOTA Web“ );

2.1.4. techninės pagalbos bilietų sistema ( „Helpdesk“ );

kitos su daiktų internetu susijusios tinklo valdymo paslaugos, ryšio ir saugumo paslaugos, maršrutizatorių operacinės sistemos ir kitos susijusios paslaugos, įskaitant bet kokias platformos taikomųjų programų programavimo sąsajas (API) ar programinės įrangos kūrimo priemonių rinkinius (SDK), mobiliąsias programėles, kurias „Teltonika“ teikia internetu kliento prašymu, kaip aprašyta „Teltonika Wiki“ žinių bazėje ir kituose dokumentuose (toliau – paslaugos).

2.1.  Duomenų valdytojas privalo užtikrinti teisėtą pagrindą tvarkyti duomenis ir perduoti juos duomenų tvarkytojui. Duomenų valdytojas yra atsakingas už duomenų teisėtumą.

2.2.  Duomenų tvarkytojo atliekamas duomenų tvarkymas gali būti vykdomas tol, kol galioja pagrindinė sutartis. Pasibaigus pagrindinei sutarčiai, neatsižvelgiant į teisinį jos galiojimo pabaigos pagrindą, duomenų tvarkytojas nutraukia visus duomenų tvarkymo veiksmus duomenų valdytojo vardu, nebent šalys susitaria dėl pereinamojo paslaugų teikimo laikotarpio arba dėl duomenų perdavimo kitam duomenų tvarkytojui, arba dėl kitų duomenų tvarkymo veiksmų pratęsimo, perdavimo, saugojimo ar nutraukimo.

2.3.  Duomenų tvarkytojas privalo užtikrinti, kad visais atvejais duomenų valdytojo inicijuoti duomenų taisymo ar ištrynimo veiksmai duomenų valdytojo prašymu būtų nedelsiant atliekami duomenų tvarkytojo informacinėje sistemoje, jei tai neprieštarauja rašytiniams duomenų valdytojo nurodymams ir nėra susiję su duomenų archyvavimo, atsarginių kopijų darymo ir saugojimo tikslais.

3.1.  Duomenų tvarkytojo atliekamą duomenų tvarkymo veiklą sudaro duomenų tvarkymo veiksmai, susiję su duomenų saugojimu ir tvarkymu bet kurioje debesijos paslaugų sistemoje pagal pagrindinę sutartį. Išsami informacija apie duomenų tvarkytojo atliekamas funkcijas pateikiama pagrindinėje sutartyje ir susijusiuose dokumentuose.

3.2.  Duomenų tvarkytojo atliekamos duomenų tvarkymo operacijos duomenų valdytojui reikalingos tam, kad jis galėtų valdyti ir naudoti tam tikrus tinklo, ryšio, GPS sekimo ar kitokius įrenginius ir tvarkyti bei saugoti tokiais įrenginiais sukurtus ar gautus duomenis.

3.3.  Vadovaujantis pagrindine sutartimi ir šia sutartimi, duomenų tvarkytojui patikėta tvarkyti duomenų valdytojo darbuotojų, klientų ir rangovų buvimo vietos ir judėjimo duomenis, kurie renkami GPS sekimo įrenginiais, duomenų valdytojo darbuotojų, jo klientų ir rangovų vardus, pavardes, kontaktinę informaciją ir pareigas, taip pat duomenis apie jų naudojimąsi įrenginiais, kurie valdomi pasitelkiant duomenų tvarkytojo paslaugas.

4.1.  Duomenų tvarkytojas duomenų valdytojo valdomus ir duomenų tvarkytojui patikėtus asmens duomenis tvarko tik gavęs raštu įformintus duomenų valdytojo nurodymus.

4.2.  Duomenų valdytojo pirminiai duomenų tvarkytojui pateikti nurodymai, susiję su duomenų tvarkymo dalyku, trukme, pobūdžiu ir tikslu, taip pat duomenų subjektų kategorijomis ir duomenų tipais, yra nurodyti šioje sutartyje. Duomenų tvarkytojo atliekamų veiksmų su duomenų valdytojo valdomais asmens duomenimis funkcinis aprašymas pateikiamas pagrindinėje sutartyje ir susijusiuose dokumentuose.

4.3.  Jei duomenų tvarkytojui nepateikti nurodymai, kaip tvarkyti asmens duomenis konkrečiu atveju, arba jei kuris nors iš pateiktų nurodymų pažeidžia galiojančius duomenų apsaugos įstatymus, duomenų tvarkytojas nedelsdamas raštu apie tai praneša duomenų valdytojui.

4.4.  Duomenų tvarkytojas duomenų valdytojo nurodymų dėl duomenų tvarkymo gali nepaisyti tik tais atvejais, kai tam tikrus duomenų tvarkymo veiksmus būtina atlikti pagal duomenų tvarkytojui taikomą ES teisę arba ES valstybės narės teisę. Tokiu atveju duomenų tvarkytojas raštu informuoja duomenų valdytoją apie tokį teisinį reikalavimą prieš pradėdamas tvarkyti duomenis, nebent galiojanti teisė draudžia atskleisti tokią informaciją dėl svarbių viešojo intereso priežasčių.

4.5.  Duomenų tvarkytojas privalo nedelsdamas informuoti duomenų valdytoją, jei, jo manymu, duomenų valdytojo nurodymai pažeidžia Reglamentą arba kitas galiojančias ES teisės ar ES valstybės narės duomenų apsaugos nuostatas.

Duomenų tvarkytojas privalo užtikrinti, kad su duomenų valdytojo valdomais ir duomenų tvarkytojui patikėtais asmens duomenimis susipažinti galėtų tik tie asmenys, kuriems būtina tiesioginė prieiga prie tokių duomenų, siekiant įgyvendinti duomenų tvarkytojo įsipareigojimus pagal pagrindinę sutartį. Duomenų tvarkytojas užtikrina, kad visi asmens duomenų tvarkyme dalyvaujantys asmenys būtų įsipareigoję laikytis konfidencialumo reikalavimų arba kad jiems būtų taikoma teisės aktuose numatyta konfidencialumo prievolė.

6.1.  Duomenų tvarkytojas savo sąskaita privalo įgyvendinti tinkamas technines ir organizacines priemones, kad užtikrintų galimą pavojų atitinkantį saugumo lygį. Tokias priemones, be kita ko, sudaro:

6.1.1. asmens duomenų anonimiškumas ir šifravimas;

6.1.2. gebėjimas užtikrinti, kad duomenų tvarkymo sistemos ir paslaugos visada būtų konfidencialios, patikimos, pasiekiamos ir atsparios pavojams;

6.1.3. gebėjimas fizinės ar techninės avarijos atveju operatyviai atkurti galimybę naudotis asmens duomenimis ir prie jų prieiti;

6.1.4. reguliarus techninių ir organizacinių priemonių, skirtų duomenų tvarkymo saugumui užtikrinti, veiksmingumo testavimo, analizės ir vertinimo procesas.

6.2.  Sprendžiant, koks saugumo lygis yra tinkamas, visų pirma atsižvelgiama į duomenų tvarkymo keliamą riziką, ypač į atsitiktinio ar neteisėto asmens duomenų sunaikinimo, praradimo, pakeitimo, neteisėto atskleidimo ar prieigos prie perduodamų, saugomų ar kitaip tvarkomų asmens duomenų riziką.

6.3.  Duomenų tvarkytojas gali įrodyti, kad laikosi saugumo įsipareigojimų, vadovaudamasis patvirtintu elgesio kodeksu arba patvirtinta sertifikavimo sistema, jei jie atitinka Reglamentą.

6.4.  Duomenų tvarkytojas privalo užtikrinti, kad bet koks fizinis asmuo, veikiantis pagal duomenų tvarkytojo įgaliojimus ir turintis prieigą prie asmens duomenų, jų netvarkytų, nebent tai daryti privalo pagal galiojančius Europos Sąjungos ar valstybės narės teisės aktus.

7.1.  Tam tikriems duomenų tvarkymo veiksmams atlikti duomenų tvarkytojas gali pasitelkti toliau nurodytus pagalbinius duomenų tvarkytojus:

7.1.1. „Amazon Web Services EMEA SARL“, („AWS Europe“). Duomenų centro vieta: Vakarų Europa;

7.1.2. „Microsoft“ debesijos paslaugos. Duomenų centro vieta: Vakarų Europa;

7.1.3. AB „Telia Lietuva“.

7.2.  Duomenų valdytojas duomenų tvarkytojui leidžia pasitelkti pagalbinius duomenų tvarkytojus. Duomenų tvarkytojas informuoja duomenų valdytoją apie bet kokius planuojamus pokyčius, susijusius su pagalbinių duomenų tvarkytojų pasitelkimu ar pakeitimu, taip suteikdamas duomenų valdytojui progą nesutikti su tokiais pokyčiais.

7.3.  Duomenų tvarkytojas gali pasitelkti tik tokius pagalbinius duomenų tvarkytojus, kurie užtikrina pakankamas garantijas, kad įgyvendins tinkamas technines ir organizacines priemones taip, jog asmens duomenys bus tvarkomi pagal Reglamento reikalavimus, užtikrinant duomenų subjekto teisių apsaugą.

7.4.  Jei duomenų tvarkytojas pasitelkia pagalbinį duomenų tvarkytoją konkrečiai duomenų tvarkymo veiklai vykdyti duomenų valdytojo vardu, pagalbinis duomenų tvarkytojas sutartimi įpareigojamas vykdyti tokius pačius duomenų apsaugos įpareigojimus, kokie nustatyti šioje sutartyje. Visų pirma jis turi pateikti pakankamas garantijas, kad įgyvendins tinkamas technines ir organizacines priemones taip, jog duomenys būtų tvarkomi laikantis Reglamento reikalavimų.

7.5.  Jei pagalbinis duomenų tvarkytojas nevykdo savo įsipareigojimų dėl duomenų apsaugos, duomenų tvarkytojas išlieka visiškai atsakingas duomenų valdytojui už pagalbinio duomenų tvarkytojo įsipareigojimų vykdymą.

7.6.  Jei duomenų tvarkytojas ketina perduoti iš duomenų valdytojo ar kitais būdais gautus asmens duomenis už EEE ribų, duomenų tvarkytojas privalo užtikrinti, kad duomenys būtų perduodami vadovaujantis Europos Komisijos sprendimu dėl tinkamumo, Europos Komisijos priimtomis standartinėmis duomenų apsaugos sąlygomis, įpareigojančiomis įmonių veiklos taisyklėmis, nacionalinės priežiūros institucijos leidimu (jei toks leidimas reikalingas) arba bet kokiu kitu tinkamu būdu pagal Reglamentą.

8.1.  Duomenų tvarkytojas padės duomenų valdytojui vykdyti teisinius įsipareigojimus pagal Reglamentą ir kitus galiojančius teisės aktus. Jei tokie pagalbos veiksmai nėra aiškiai numatyti pagrindinėje sutartyje ir (arba) šioje sutartyje ir jiems atlikti reikalingos papildomos duomenų tvarkytojo lėšos, šalys dėl tokių veiksmų atlikimo ir išlaidų kompensavimo sąlygų susitaria sudarydamos atskirą rašytinį susitarimą.

8.2.  Duomenų tvarkytojas ir duomenų valdytojas bendradarbiauja su duomenų apsaugos priežiūros institucija.

8.3.   Duomenų subjekto teisių įgyvendinimas . Atsižvelgdamas į duomenų tvarkymo pobūdį ir turimą informaciją, duomenų tvarkytojas, naudodamasis visomis galimomis ir tinkamomis techninėmis ir organizacinėmis priemonėmis, padeda duomenų valdytojui įvykdyti duomenų valdytojo pareigą atsakyti į duomenų subjektų prašymus pasinaudoti savo teisėmis pagal Reglamentą (t. y. teise susipažinti su asmens duomenimis, teise ištaisyti arba ištrinti duomenis, teise apriboti duomenų tvarkymą, teise nesutikti su duomenų tvarkymu, teise į duomenų perkeliamumą).

8.4.   Duomenų saugumo pažeidimai . Asmens duomenų saugumo pažeidimo atveju duomenų tvarkytojas privalo nedelsdamas apie tai informuoti duomenų valdytojo darbuotoją, nepriklausomai nuo to, ar dėl pažeidimo gali kilti pavojus fizinių asmenų teisėms ir laisvėms.

8.5.  Pranešdamas apie asmens duomenų saugumo pažeidimą, duomenų tvarkytojas privalo pateikti bent šią informaciją:

8.5.1.pranešimą teikiančio asmens kontaktinė informacija;

8.5.2.glaustas įvykio aprašymas;

8.5.3.pažeistų duomenų aprašymas:

• su pažeidimu susijusių asmens duomenų rūšys;
• ar duomenys buvo vieši iki pažeidimo, ar juos buvo galima lengvai gauti iš viešų šaltinių;
• ar duomenys susiję su specialių kategorijų asmenimis, kurių saugumui ar sveikatai gali kilti pavojus;
• ar įvykio metu pažeisti duomenys buvo užšifruoti, ar jiems buvo taikomos kitos techninės apsaugos priemonės, jei tokia informacija yra žinoma;

8.5.4.įvykio aprašymas:

• įvykio laikas arba trukmė;
• įvykio tipas (pvz., rinkmenų ar įrenginių praradimas ar vagystė, įrenginio perdavimas prieš ištrinant duomenis, duomenų atskleidimas žinomiems asmenims, duomenų paskelbimas, duomenų pakeitimas, sunaikinimas ar prieigos apribojimas, priešlaikinis duomenų sunaikinimas);
• duomenų saugojimo vieta (pvz., kompiuteris, mobilusis įrenginys, tinklas, laikmena);
• kur buvo suteikta neteisėta prieiga (duomenų tvarkytojo viduje arba išorėje);
• pažeidimo priežastis (klaida ar tyčia);
• su pažeidimu susijusių asmens duomenų kiekis ir duomenų subjektų skaičius;
• kokios tikėtinos įvykio pasekmės.

8.6.  Duomenų tvarkytojas taip pat privalo informuoti duomenų valdytoją apie veiksmus, kurių jau ėmėsi, siūlo imtis arba kurių turėtų imtis duomenų valdytojas, kad sumažintų neigiamas įvykio ir duomenų saugumo pažeidimo pasekmes arba jų išvengtų.

8.7.  Duomenų tvarkytojas privalo raštu įforminti visus asmens duomenų saugumo pažeidimus, įskaitant faktines aplinkybes, susijusias su asmens duomenų saugumo pažeidimu, jo padarinius ir taisomuosius veiksmus, kurių buvo imtasi. Duomenų tvarkytojas duomenų valdytojo prašymu privalo pateikti minėtus dokumentus duomenų valdytojui susipažinti, ypač jei to reikalauja priežiūros institucija.

8.8.  Duomenų tvarkytojas taip pat privalo duomenų valdytojui teikti visapusišką pagalbą, kurios reikia siekiant tinkamai pranešti duomenų subjektui apie duomenų saugumo pažeidimą.

8.9.   Poveikio duomenų apsaugai vertinimas ir preliminarios konsultacijos. Duomenų tvarkytojas duomenų valdytojui teikia reikiamą pagalbą atliekant duomenų tvarkymo veiksmų poveikio asmens duomenims vertinimą, įskaitant visą reikiamą techninę ir kitą turimą informaciją apie duomenų tvarkymą, kurį atlieka arba ketina atlikti duomenų tvarkytojas, ir konsultacijas šiais klausimais. Jei duomenų valdytojas veda preliminarias konsultacijas su priežiūros institucija, duomenų tvarkytojas privalo pateikti visą konsultacijoms reikalingą informaciją.

8.10.  Pareiga informuoti. Duomenų tvarkytojas duomenų valdytojui pateikia visą informaciją, kurios reikia norint įrodyti, kad laikomasi šioje sutartyje, Reglamente ir kituose teisės aktuose numatytų įsipareigojimų. Duomenų valdytojo prašymu duomenų tvarkytojas, be kita ko, privalo pateikti duomenų apsaugos politikos kopijas ir duomenų tvarkymo veiklos įrašus.

9.1.    Duomenų tvarkytojas privalo sudaryti sąlygas duomenų valdytojui arba kitam duomenų valdytojo įgaliotam auditoriui ne dažniau kaip kartą per metus atlikti auditą ir patikrinimą bei bendradarbiauti jų procese. Duomenų valdytojas privalo užtikrinti, kad toks auditas ar patikrinimas būtų atliekamas įprastomis darbo valandomis ir duomenų tvarkytojo veiklą trikdytų kuo mažiau. Visa informacija, kurią duomenų valdytojas ar auditoriai gauna ar parengia atlikdami tokius auditus ir patikrinimus, yra griežtai konfidenciali (išskyrus atvejus, kai ji atskleidžiama priežiūros institucijai arba kai to reikalauja galiojantys teisės aktai).

9.2.  Jei audito ar patikrinimų išvados neigiamos, duomenų valdytojas gali nedelsdamas duomenų tvarkytojui pateikti nurodymus, susijusius su duomenų tvarkymu, saugojimu, prieigos prie duomenų apribojimu, ištrynimu ar saugumo priemonių įgyvendinimu, o jei tokios priemonės neįgyvendinamos per priimtiną laiką, duomenų valdytojas gali nutraukti šią sutartį arba laikinai sustabdyti jos vykdymą ir laikinai sustabdyti pagrindinės sutarties vykdymą.

9.3.  Duomenų valdytojas padengia visas dėl audito ar patikrinimų susidariusias duomenų valdytojo ir duomenų tvarkytojo išlaidas. Tačiau jei audito ar patikrinimų išvados yra neigiamos, šalys gali raštu susitarti dėl kitokio išlaidų padengimo, atsižvelgdamos į audito ar patikrinimų metu nustatytų pažeidimų pobūdį ir apimtį.

10.1.    Šios sutarties nuostatos galioja tol, kol duomenų tvarkytojas tvarko asmens duomenis duomenų valdytojo vardu ir kol įvykdomi visi šios sutarties reikalavimai.

10.2.    Duomenų valdytojo pageidavimu, duomenų tvarkytojas, baigęs teikti su duomenų tvarkymu susijusias paslaugas, privalo ištrinti arba grąžinti visus asmens duomenis duomenų valdytojui (arba kitam duomenų valdytojo įgaliotam asmeniui) ir ištrinti visas turimas tokių duomenų kopijas, nebent ES arba valstybės narės teisė reikalauja saugoti tokius asmens duomenis.

11.1.    Ši sutartis reglamentuojama ir aiškinama pagal Lietuvos Respublikos įstatymus.

11.2.    Šalys susitaria, kad bet kokie ginčai, kylantys iš šios sutarties, sprendžiami tik Lietuvos Respublikos teismuose.

12.1.    Duomenų tvarkytojo atsakomybė pagal šią sutartį ribojama pagrindinėje sutartyje numatytų paslaugų verte.

12.2.    Jokia šios sutarties nuostata jokiu būdu nesumažina tiesiogiai duomenų tvarkytojui taikomų įsipareigojimų pagal Reglamentą ir taikytiną teisę.

12.3.    Šią sutartį keisti, papildyti ar nutraukti galima tik raštu.