Papildomos nu

ostatos dėl užsakymų vykdymo Šios užsakymų vykdymo taisyklės papildo bendrąsias „Jungherz GmbH“ (toliau – „Vykdytojas“), kaip prekės ženklo AppConfector operatoriaus, sąlygas. Kaip neatsiejama šių sąlygų dalis, jūs, kaip klientas (toliau – užsakovas), automatiškai sutinkate su šiomis papildomomis nuostatomis verslo santykių kontekste. Jei šios taisyklės prieštarauja bendrosioms sąlygoms, užsakymų apdorojimo atžvilgiu pirmenybė teikiama šioms taisyklėms.

Vykdytojas ir Klientas toliau vadinami bendru terminu „Šalys“.

Šalys susitaria, kad tuo pačiu metu, kai įsigalioja ši Sutartis dėl duomenų tvarkymo užsakymu, esama Šalių sutartis dėl duomenų tvarkymo užsakymu pagal Vokietijos Federalinio duomenų apsaugos įstatymo 11 straipsnį ir bet kokios kitos sutartys dėl duomenų tvarkymo užsakymu nutraukiamos abipusiu susitarimu ir pakeičiamos šia nauja Sutartimi dėl duomenų tvarkymo užsakymu.

1. Bendrosios nuostatos

(1) Duomenų tvarkytojas tvarko asmens duomenis užsakovo vardu, kaip apibrėžta Reglamento (ES) 2016/679 – Bendrojo duomenų apsaugos reglamento (BDAR) – 4 straipsnio 8 dalyje ir 28 straipsnyje. Ši sutartis reglamentuoja Šalių teises ir pareigas, susijusias su asmens duomenų tvarkymu.

(2) Kai šioje sutartyje vartojamas terminas „duomenų tvarkymas“ arba „tvarkymas“ (duomenų), taikoma „tvarkymo“ apibrėžtis, kaip apibrėžta DSGVO 4 straipsnio 2 dalyje.

(3) Visos šioje sutartyje esančios nuorodos į DSGVO (2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo bei kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas)) taikomos DSGVO dabartinei redakcijai.

2. Užsakymo objektas

Duomenų tvarkymo objektas, tvarkymo pobūdis ir tikslas, asmens duomenų rūšis ir susijusių asmenų kategorijos yra nustatyti šio susitarimo 1 priede.

3. Kliento teisės ir pareigos

(1) Klientas yra atsakingas asmuo, kaip apibrėžta DSGVO 4 straipsnio 7 dalyje, už duomenų tvarkymą duomenų tvarkytojų vardu. Pagal šio susitarimo 4 straipsnio 5 dalį pastarasis turi teisę informuoti klientą, jei užsakymo ir (arba) nurodymo objektas yra duomenų tvarkymas, kuris, jo nuomone, yra teisiškai nepriimtinas.

(2) Klientas yra atsakingas už susijusių asmenų teisių apsaugą. Duomenų tvarkytojas nedelsdamas informuoja klientą, jei duomenų subjektai pareiškia savo teises duomenų tvarkytojui

. (3) Klientas turi teisę bet kuriuo metu duoti duomenų tvarkytojui papildomus nurodymus dėl duomenų tvarkymo pobūdžio, apimties ir tvarkos. Nurodymai gali būti pateikiami tekstine forma (pvz., elektroniniu paštu).

(4) Nuostatos dėl galimo atlyginimo už papildomas išlaidas, kurias duomenų tvarkytojas patiria dėl kliento pateiktų papildomų nurodymų, lieka nepakitusios.

5. Užsakovas nedelsdamas informuoja duomenų tvarkytoją, jei pastebi klaidų ar pažeidimų, susijusių su duomenų tvarkytojo atliekamu asmens duomenų tvarkymu.

(6) Jei pagal DSGVO 33, 34 straipsnius ar bet kokią kitą klientui taikomą teisinę pranešimo pareigą kyla pareiga informuoti trečiąsias šalis, klientas yra atsakingas už šios pareigos vykdymą.

4. Duomenų tvarkytojo bendrosios pareigos

(1) Duomenų tvarkytojas tvarko asmens duomenis tik pagal sudarytus susitarimus ir (arba) laikydamasis bet kokių papildomų kliento nurodymų. Išimtis taikoma teisės aktams, kurie gali įpareigoti duomenų tvarkytoją tvarkyti duomenis kitaip. Tokiu atveju duomenų tvarkytojas prieš tvarkydamas duomenis praneša užsakovui apie šiuos teisinius reikalavimus, išskyrus atvejus, kai atitinkamas įstatymas draudžia tokį pranešimą dėl svarbaus viešojo intereso. Duomenų tvarkymo tikslas, pobūdis ir apimtis kitais atvejais reglamentuojami tik šia Sutartimi ir (arba) užsakovo nurodymais. Duomenų tvarkytojas negali tvarkyti duomenų kitaip, nebent jis yra davęs raštišką sutikimą.

(2) Duomenų tvarkytojas įsipareigoja vykdyti duomenų tvarkymą užsakovo vardu tik Europos ekonominėje erdvėje, nebent techniškai reikalinga kitaip.

(3) Asmens duomenų tvarkymo pagal užsakymą srityje duomenų tvarkytojas garantuoja visų sutartų priemonių sutartinį vykdymą.

(4) Duomenų tvarkytojas privalo organizuoti savo įmonę ir veiklos procedūras taip, kad duomenys, kuriuos duomenų tvarkytojas tvarko kliento vardu, būtų apsaugoti kiekvienu atveju reikiamu mastu ir apsaugoti nuo neteisėtos trečiųjų šalių prieigos. Pastarasis iš anksto suderina su klientu duomenų tvarkymo organizavimo pakeitimus, kurie yra svarbūs duomenų saugumui.

(5) Užsakymo vykdytojas nedelsdamas informuoja klientą, jei, jo nuomone, kliento duotas nurodymas pažeidžia įstatymų nuostatas. Duomenų tvarkytojas turi teisę sustabdyti atitinkamo nurodymo vykdymą, kol jį patvirtins arba pakeis užsakovas. Jei duomenų tvarkytojas gali įrodyti, kad duomenų tvarkymas pagal kliento nurodymus gali sukelti duomenų tvarkytojo atsakomybę pagal DSGVO 82 straipsnį, duomenų tvarkytojas turi teisę sustabdyti tolesnį duomenų tvarkymą šiuo atžvilgiu, kol bus išsiaiškinta šalių atsakomybė.

(6) Duomenų tvarkymas kliento

vardu

už duomenų tvarkytojo ar subrangovo verslo patalpų ribų leidžiamas tik gavus kliento sutikimą raštu ar tekstine forma. Duomenų tvarkymas kliento vardu privačiuose namuose leidžiamas tik gavus kliento sutikimą raštu ar tekstine forma atskirais atvejais.

(7) Duomenų tvarkytojas tvarkys duomenis, kuriuos tvarko kliento vardu, atskirai nuo kitų duomenų. Fizinis atskyrimas nėra privalomas.

5. Duomenų apdorojimo užsakovo duomenų apsaugos pareigūnas

(1) Duomenų apdorotojas patvirtina, kad jis paskyrė duomenų apsaugos pareigūną pagal DSGVO 37 straipsnį. Duomenų apdorotojas užtikrina, kad duomenų apsaugos pareigūnas turi reikiamą kvalifikaciją ir kompetenciją. Duomenų apdorotojas atskirai tekstine forma informuoja klientą apie savo duomenų apsaugos pareigūno vardą, pavardę ir kontaktinius duomenis.

(2) Įpareigojimas paskirti duomenų apsaugos pareigūną pagal 1 dalį gali būti atšauktas užsakovo nuožiūra, jeigu duomenų tvarkytojas gali įrodyti, kad jis nėra teisiškai įpareigotas paskirti duomenų apsaugos pareigūno, ir duomenų tvarkytojas gali įrodyti, kad egzistuoja veiklos tvarka, užtikrinanti, jog asmens duomenys tvarkomi laikantis teisinių nuostatų, šios sutarties nuostatų ir bet kokių kitų užsakovo nurodymų.

6. Duomenų tvarkytojo pranešimo pareigos

(1) Duomenų tvarkytojas privalo nedelsdamas pranešti užsakovui apie bet kokį duomenų apsaugos taisyklių pažeidimą arba sutartinių susitarimų ir (arba) užsakovo duotų nurodymų pažeidimą, kuris įvyko jam ar kitiems duomenų tvarkyme dalyvaujantiems asmenims tvarkant duomenis. Tas pats taikoma bet kokiam duomenų tvarkytojo užsakovo vardu tvarkomų asmens duomenų apsaugos pažeidimui.

(2) Be to, duomenų tvarkytojas nedelsdamas informuoja klientą, jei priežiūros institucija pagal BDAR 58 straipsnį imasi veiksmų prieš duomenų tvarkytoją ir tai taip pat gali būti susiję su duomenų tvarkymo, kurį duomenų tvarkytojas atlieka kliento vardu, kontrole.

(3) Duomenų tvarkytojas žino, kad klientui gali būti taikoma pranešimo pareiga pagal DSGVO 33 ir 34 straipsnius, kuriuose numatyta, kad priežiūros institucijai turi būti pranešta per 72 valandas nuo pažeidimo nustatymo. Duomenų tvarkytojas padeda klientui vykdyti pranešimo pareigas. Visų pirma, duomenų tvarkytojas nedelsdamas, bet ne vėliau kaip per 48 valandas nuo to momento, kai sužinojo apie tokį prieigą, praneša klientui apie bet kokią neteisėtą prieigą prie kliento vardu tvarkomų asmens duomenų. Duomenų tvarkytojo pranešime klientui turi būti pateikta visų pirma ši informacija:

  • asmens duomenų apsaugos pažeidimo pobūdžio aprašymą, jei įmanoma, nurodant susijusių asmenų kategorijas ir apytikslį skaičių, susijusių kategorijų ir susijusių asmens duomenų įrašų apytikslį skaičių;
  • aprašymas priemonių, kurių ėmėsi arba kurias siūlo duomenų tvarkytojas, siekdamas ištaisyti asmens duomenų apsaugos pažeidimą, ir, jei taikytina, priemonių, skirtų sušvelninti galimus neigiamus padarinius.

7. Duomenų tvarkytojo pareigos bendradarbiauti

(1) Duomenų tvarkytojas padeda Klientui vykdyti pareigą atsakyti į prašymus įgyvendinti duomenų subjekto teises pagal DSGVO 12–23 straipsnius. Taikomos šios Sutarties 11 straipsnio nuostatos.

(2) Duomenų tvarkytojas dalyvauja sudarant duomenų tvarkymo veiklos sąrašus. Duomenų tvarkytojas tinkamu būdu pateikia klientui reikiamą informaciją.

(3) Atsižvelgdamas į duomenų tvarkymo pobūdį ir jam prieinamą informaciją, duomenų tvarkytojas padeda klientui vykdyti DPA 32–36 straipsniuose nustatytus įsipareigojimus.

(4) Užsakymo vykdytojas turi teisę reikalauti iš kliento atitinkamo su išlaidomis susijusio atlygio už šias paslaugas.

8. Kontrolės įgaliojimai

(1) Klientas turi teisę bet kuriuo metu, kiek tai būtina, patikrinti, ar duomenų tvarkytojas laikosi duomenų apsaugos teisės aktų nuostatų ir (arba) šalių sutartų nuostatų, ir (arba) ar duomenų tvarkytojas laikosi kliento nurodymų.

Įrodymas, kad duomenų tvarkytojas laikosi DSGVO nustatytų įsipareigojimų, pirmiausia turėtų būti pateikiamas nepriklausomų bandymų ataskaitų ir sertifikatų forma.

Jei klientas, remdamasis faktiniais įrodymais, turi pagrįstų abejonių, kad bandymų ataskaitos ar sertifikatai yra nepakankami ar neteisingi, arba jei tai pateisina ypatingi įvykiai, kaip apibrėžta DSGVO 33 straipsnio 1 dalyje, susiję su kliento užsakymo vykdymu, klientas gali atlikti patikrinimus pagal 8 straipsnio 2 dalį.

(2) Siekiant sudaryti klientui galimybę atlikti užsakymo patikrinimą ir, visų pirma, patikrinti technines bei organizacines priemones, kurių imtasi pasamdyto duomenų tvarkytojo įmonėje prieš pradedant duomenų tvarkymą ir reguliariai jo metu, pasamdyto duomenų tvarkytojo įmonė turi leisti atlikti patikrinimą, kurį atlieka kliento pasamdyta nešališka trečioji šalis (prisiekęs auditorius). Pasamdyto duomenų tvarkytojo įmonė turi teisę nustatyti patikrinimo datas atsižvelgdama į veiklos galimybes. Patikrinimas turi būti sudaryta galimybė per protingą laikotarpį po prašymo pateikimo. Alternatyviai, duomenų tvarkytojas taip pat gali įgyvendinti kliento tikrinimo teisę pateikdamas tikrinimo ataskaitą, parengtą nepriklausomo, prisiekusio auditoriaus duomenų tvarkytojo vardu. Tikrinimo teisės įgyvendinimas neturi nepagrįstai trukdyti duomenų tvarkytojo verslo veiklai ar būti piktnaudžiavimu.

(3) Užsakymo vykdytojas turi teisę reikalauti iš kliento pagrįsto atlygio už tikrinimus, kaip apibrėžta 8 punkto 2 dalyje.

9. Subrangos santykiai

(1) Duomenų tvarkytojas subrangovus gali samdyti tik gavęs kliento sutikimą raštu. Duomenų tvarkytojas šioje sutarties 2 priede nurodo visus subrangos santykius, kurie jau egzistavo sutarties sudarymo metu.

(2) Užsakymo vykdytojas turi atidžiai atrinkti subrangovą ir prieš pateikdamas užsakymą patikrinti, ar subrangovas gali laikytis tarp kliento ir užsakymo vykdytojo sudarytų susitarimų. Visų pirma, subrangovas turi iš anksto ir reguliariai sutarties galiojimo laikotarpiu patikrinti, ar subrangovas ėmėsi DSGVO 32 straipsnyje nustatytų techninių ir organizacinių priemonių asmens duomenų apsaugai užtikrinti. Patikrinimo rezultatus subrangovas turi užfiksuoti dokumentuose ir pateikti klientui jo prašymu.

(3) Duomenų tvarkytojas privalo gauti subrangovo patvirtinimą, kad pastarasis paskyrė įmonės duomenų apsaugos pareigūną pagal DSGVO 37 straipsnį. Jeigu subrangovas nepaskyrė duomenų apsaugos pareigūno, duomenų tvarkytojas apie tai informuoja klientą ir pateikia informaciją, iš kurios matyti, kad subrangovas teisiškai neprivalo paskirti duomenų apsaugos pareigūno.

(4) Duomenų tvarkytojas užtikrina, kad šioje sutartyje sutartos nuostatos ir bet kokios papildomos kliento instrukcijos, jei tokių yra, taip pat būtų taikomos subrangovui.

(5) Duomenų tvarkytojas sudaro sutartį su subrangovu, kuri atitinka DSGVO 28 straipsnio reikalavimus. Be to, duomenų tvarkytojas subrangovui nustato tokias pačias asmens duomenų apsaugos prievoles, kokios yra nustatytos tarp užsakovo ir duomenų tvarkytojo.

(6) Visų pirma užsakymą vykdanti šalis privalo sutartinėmis nuostatomis užtikrinti, kad užsakovo ir priežiūros institucijų kontrolės įgaliojimai (šios sutarties 8 punktas) taip pat būtų taikomi subrangovui ir kad atitinkamos kontrolės teisės būtų suderintos su užsakovu ir priežiūros institucijomis. Be to, sutartyje turi būti susitarta, kad subrangovas toleruos šias kontrolės priemones ir bet kokius patikrinimus vietoje.

(7) Subrangos santykiai, kaip apibrėžta 1–6 dalyse, nelaikomi paslaugomis, kurias duomenų tvarkytojas gauna iš trečiųjų šalių kaip grynai pagalbines paslaugas, siekdamas vykdyti verslo veiklą. Tokios paslaugos apima, pavyzdžiui, valymo paslaugas, grynąsias telekomunikacijų paslaugas be jokios konkrečios nuorodos į paslaugas, kurias duomenų tvarkytojas teikia užsakovui, pašto ir kurjerių paslaugas, transporto paslaugas, saugumo paslaugas. Vis dėlto duomenų tvarkytojas privalo užtikrinti, kad ir trečiųjų šalių teikiamų pagalbinių paslaugų atveju būtų imtasi tinkamų atsargumo priemonių bei techninių ir organizacinių priemonių, siekiant užtikrinti asmens duomenų apsaugą. IT sistemų ar programų priežiūra ir aptarnavimas sudaro subrangos santykius ir užsakymų vykdymą, kaip apibrėžta DSGVO 28 straipsnyje, kuriam reikalingas sutikimas, jeigu priežiūra ir testavimas susiję su tokiomis IT sistemomis, kurios taip pat naudojamos teikiant paslaugas klientui, ir jeigu priežiūros metu galima susipažinti su kliento vardu tvarkomais asmens duomenimis.

10. Konfidencialumo pareiga

(1) Tvarkydamas duomenis užsakovo vardu, duomenų tvarkytojas privalo išlaikyti duomenų, kuriuos gauna ar sužino vykdydamas užsakymą, konfidencialumą.

Duomenų tvarkytojas

įsipareigoja laikytis tų pačių slaptumo

apsaugos

taisyklių, kokios taikomos užsakovui. Užsakovas privalo informuoti duomenų tvarkytoją apie bet kokias specialias slaptumo apsaugos taisykles.

(2) Duomenų tvarkytojas užtikrina, kad yra susipažinęs su taikomais duomenų apsaugos reglamentais ir žino, kaip juos taikyti. Be to, duomenų tvarkytojas garantuoja, kad supažindino savo darbuotojus su jiems taikomomis duomenų apsaugos nuostatomis ir įpareigojo juos išlaikyti konfidencialumą. Be to, rangovas garantuoja, kad jis ypač įpareigojo savo darbuotojus, dalyvaujančius atliekant darbus, išlaikyti konfidencialumą ir informavo juos apie užsakovo nurodymus.

(3) Įsipareigojimas, numatytas 2 dalyje, turi būti įrodytas užsakovui jo prašymu.

11. Suinteresuotųjų asmenų teisių apsauga

(1) Už suinteresuotųjų asmenų teisių apsaugą atsako tik užsakovas. Duomenų tvarkytojas privalo padėti užsakovui vykdyti pareigą tvarkyti duomenų subjektų prašymus pagal DSGVO 12–23 straipsnius. Visų pirma duomenų tvarkytojas turi užtikrinti, kad šiuo atžvilgiu reikalinga informacija būtų nedelsiant pateikta užsakovui, kad šis galėtų įvykdyti savo pareigas pagal DSGVO 12 straipsnio 3 dalį.

(2) Jeigu užsakovo duomenų tvarkytojo bendradarbiavimas yra būtinas duomenų subjektų teisių – visų pirma teisės į informaciją, taisymą, blokavimą ar ištrynimą – apsaugai užtikrinti, užsakovo duomenų tvarkytojas imasi atitinkamų būtinų priemonių pagal užsakovo nurodymus. Jeigu įmanoma, duomenų tvarkytojas remia užsakovą tinkamomis techninėmis ir organizacinėmis priemonėmis, kad šis galėtų įvykdyti savo pareigą atsakyti į prašymus įgyvendinti duomenų subjektų teises. Duomenų tvarkytojas turi teisę reikalauti iš kliento pagrįsto atlygio už šias paslaugas.

(3) Tai nepažeidžia jokių nuostatų dėl galimo atlygio už papildomas išlaidas, kurias patyrė duomenų tvarkytojas dėl bendradarbiavimo paslaugų, susijusių su duomenų subjektų teisių gynimu kliento atžvilgiu.

12. Konfidencialumo įsipareigojimai

(1) Abi šalys įsipareigoja visą informaciją, gautą vykdant šią sutartį, laikyti konfidencialia neribotą laiką ir naudoti ją tik sutarties vykdymo tikslais. Nei viena iš šalių neturi teisės naudoti šios informacijos visiškai ar iš dalies kitais nei minėtais tikslais arba perduoti šią informaciją tretiesiems asmenims.

(2) Pirmiau minėtas įsipareigojimas netaikomas informacijai, kurią viena iš šalių akivaizdžiai gavo iš trečiųjų šalių be įsipareigojimo išlaikyti konfidencialumą arba kuri yra viešai žinoma.

13. Apdorojimas

Duomenų tvarkytojas už šią sutartį negauna atskiro atlygio.

14. Techninės ir organizacinės duomenų saugumo priemonės

(1) Duomenų tvarkytojas įsipareigoja užsakovui laikytis techninių ir organizacinių priemonių, reikalingų atitinkamų duomenų apsaugos nuostatų laikymuisi. Tai apima visų pirma DSGVO 32 straipsnio reikalavimus.

(2) Sutarties sudarymo metu galiojančių techninių ir organizacinių priemonių aprašas pridedamas prie šios sutarties kaip 3 priedas. Šalys susitaria, kad gali prireikti keisti technines ir organizacines priemones, siekiant prisitaikyti prie techninių ir teisinių sąlygų. Dėl reikšmingų pakeitimų, kurie gali turėti įtakos asmens duomenų vientisumui, konfidencialumui ar prieinamumui, duomenų tvarkytojas iš anksto susitars su klientu. Priemonės, susijusios tik su nedideliais techniniais ar organizaciniais pakeitimais ir neturinčios neigiamos įtakos asmens duomenų vientisumui, konfidencialumui ir prieinamumui, gali būti įgyvendinamos duomenų tvarkytojo be konsultacijų su klientu. Klientas bet kuriuo metu gali paprašyti

pateikti

naujausią duomenų tvarkytojo

taikomų

techninių ir

organizacinių priemonių

versiją

. (3) Rangovas reguliariai ir prireikus tikrina jo taikomų techninių ir organizacinių priemonių veiksmingumą. Jei atsiranda optimizavimo ir (arba) pakeitimo poreikis, duomenų tvarkytojas apie tai informuoja užsakovą.

15. Užsakymo trukmė

(1) Sutartis įsigalioja nuo užsakymo pateikimo ir sudaroma neribotam laikui.

(2) Sutartis baigiasi pasibaigus pagrindinei sutarčiai (dėl programų paketo ar bet kokios paslaugos) be atskiro nutraukimo.

Bet kokios ištrinimo ir grąžinimo prievolės po šios Sutarties nutraukimo reglamentuojamos 16 straipsnyje.

(3) Užsakovas gali nutraukti sutartį bet kuriuo metu be įspėjimo, jei yra rimtas duomenų apsaugos nuostatų, taikomų duomenų tvarkytojui, arba šios sutarties prievolių pažeidimas, jei duomenų tvarkytojas negali arba nenori vykdyti užsakovo duoto nurodymo arba jei duomenų tvarkytojas, pažeisdamas sutartį, atsisako suteikti prieigą užsakovui ar kompetentingai priežiūros institucijai.

16. Nutraukimas

(1) Nutraukus sutartį, duomenų tvarkytojas, gavęs užsakymą, privalo grąžinti užsakovui arba ištrinti visus dokumentus, duomenis ir sukurtus tvarkymo ar naudojimo rezultatus, kurie pateko į jo žinion dėl sutartinių santykių, pasirinkus užsakovui. Ištrinimas turi būti tinkamai užfiksuotas. Tai neturi įtakos jokioms įstatymuose numatytoms saugojimo prievolėms ar kitoms prievolėms saugoti duomenis. Duomenų laikmenų atveju, jei klientas prašo ištrinti duomenis, jos turi būti sunaikintos, laikantis bent 3 saugumo lygio pagal DIN 66399; klientas turi pateikti sunaikinimo įrodymą, nurodydamas saugumo lygį pagal DIN 66399.

(2) Klientas turi teisę patikrinti, ar duomenys buvo visiškai ir pagal sutartį grąžinti bei ištrinti pas duomenų tvarkytoją. Tai taip pat galima padaryti patikrinant duomenų apdorojimo įrangą duomenų tvarkytojo patalpose. Apie patikrinimą vietoje klientas turi pranešti iš anksto, palikdamas pakankamą laikotarpį.

17. Sulaikymo teisė

Šalys susitaria, kad duomenų tvarkytojo prieštaravimas dėl sulaikymo teisės pagal Vokietijos civilinio kodekso (BGB) 273 straipsnį dėl apdorotų duomenų ir susijusių duomenų laikmenų yra atmestas.

18. Baigiamosios nuostatos

(1) Jei kliento nuosavybei apdorotojo patalpose kyla pavojus dėl trečiųjų šalių veiksmų (pavyzdžiui, arešto ar konfiskavimo), dėl nemokumo procedūrų ar kitų įvykių, apdorotojas nedelsdamas apie tai informuoja klientą. Apdorotojas nedelsdamas informuoja kreditorius apie tai, kad duomenys yra tvarkomi pagal užsakymą.

(2) Papildomi susitarimai turi būti sudaryti raštu.

(3) Jei atskiros šios sutarties dalys yra negaliojančios, tai neturi įtakos likusių sutarties nuostatų galiojimui.

1 priedas – Užsakymo objektas

1. Duomenų tvarkymo objektas ir tikslas

Kliento užsakymas duomenų tvarkytojui apima šiuos darbus ir (arba) paslaugas: mobiliųjų programėlių teikimą (išsamiau aprašytą atitinkamame galiojančiame paslaugų aprašyme), taip pat panašaus turinio interneto puslapių teikimą. Tai apima surinktų duomenų rinkimą, tvarkymą ir perdavimą.

2. Asmens duomenų rūšys

Reguliariai tvarkomos šios duomenų rūšys: Srauto duomenys, turinio duomenys, kontaktiniai duomenys, asmens pagrindiniai duomenys ir ryšių duomenys (vardas, pavardė, adresas, telefono numeris, fakso numeris, el. pašto adresas).

3. Asmenų,

kurių duomenys tvarkomi

, ratas

Asmenų, kurių duomenys tvarkomi, ratas: Jūsų paskyros naudotojai, skambinantys ir skambinamieji dalyviai arba SMS/faksų siuntėjai/gavėjai, darbuotojai, klientai, verslo partneriai, suinteresuotosios šalys ir kliento paslaugų teikėjai.

Jei klientas yra duomenų tvarkytojo partneris: Užsakymą pateikusio partnerio rekomenduotų rangovų/įmonių kontaktiniai, asmens pagrindiniai ir ryšių duomenys (vardas, pavardė, adresas, telefono numeris, fakso numeris, el. pašto adresas).

Klientas privalo informuoti paskyros vartotojus ir, jei būtina, darbo tarybą ar lygiaverčius atstovus apie 2 punkte nurodytų duomenų tvarkymą.

4. Duomenų tvarkymo vieta:

Visi duomenys tvarkomi serveriuose, esančiuose Europos ekonominėje erdvėje.

2 priedas – Subrangovas

Duomenų tvarkymui užsakovo vardu duomenų tvarkytojas naudojasi trečiųjų šalių, kurios tvarko duomenis jo vardu („subrangovai“), paslaugomis.

Duomenų tvarkytojas naudojasi įvairių subrangovų paslaugomis, kad teiktų savo paslaugas.

Šie subrangovai iš pradžių yra šios duomenų tvarkytojo įmonės, kurios atlieka parengiamuosius darbus duomenų tvarkytojo paslaugų teikimui. Tarp įmonių yra sudaryti būtini sutartiniai susitarimai dėl šių duomenų tvarkymo.

Tai yra šios įmonės:

Jungherz LLC, 1621 Central Ave, Cheyenne, WY 82001

Mailjet GmbH, c/o Mindspace, Friedrichstraße 68, 10117 Berlynas,

netcup GmbH, Daimlerstraße 25, D-76185 Karlsrūhė

OVH Groupe SAS, 2 Rue Kellermann Roubaix, 59100 Prancūzija

Digistore24 GmbH, St.-Godehard-Str. 32, 31139 Hildesheim

CopeCart GmbH, Ufnaustrasse 10, 10553 Berlynas

Stripe Payments Europe, Limited (SPEL), 1 Grand Canal Street Lower, Dublinas, D02 H210, Airija

3 priedas – Užsakymų tvarkytojo techninės ir organizacinės priemonės

Užsakymų tvarkytojas turi imtis šių techninių ir organizacinių duomenų saugumo priemonių, kaip apibrėžta DSGVO 32 straipsnyje.

1. Konfidencialumas

Prieigos kontrolė

Siekiant užkirsti kelią neteisėtam prieigai prie duomenų tvarkymo sistemų, kuriose duomenys tvarkomi ar naudojami, tvarkytojas ir jo subrangovai, tokie kaip „Netcup“ ir „Google Cloud Division“, įdiegė išsamias formalias prieigos kontrolės procedūras.

Naudojamose vietose yra serverių patalpos ir serverių technologijų patalpa. Prieigai užtikrinti subrangovo atrinktiems darbuotojams išduodami elektroniniai raktai. Šie raktai suteikia atitinkamo subrangovo darbuotojui teisę atidaryti ir uždaryti tik tam tikslui patvirtintas duris. Visos rakto atidarymo ir uždarymo operacijos registruojamos elektroniniu būdu kartu su unikaliu rakto identifikatoriumi. Už raktų administravimą atsakingi tik subrangovo darbuotojai, kuriems tiesiogiai leidimą suteikė vadovybė.

Serverių patalpa visą laiką yra užrakinta, į ją gali patekti tik atrinkti

subrangovo

darbuotojai.

Atitinkamos vietos pastate subrangovo darbuotojų prieigos teisės – net ir tų, kurie turi raktą – yra ribojamos tiek, kiek tai būtina konkrečiai užduočiai atlikti.

Darbo valandomis nuolat dirbančioje registratūroje atliekamas į pastatą įeinančių asmenų patikrinimas. Ne darbo valandomis visi pastato įėjimai yra užrakinti ir apsaugoti signalizacija. Pastatas papildomai saugomas apsaugos tarnybos. Visi signalizacijos sistemos signalai perduodami tiesiai apsaugos tarnybai.

Visuose duomenų centruose taikomos standartinės saugumo priemonės. Jos atitinka naujausius IT pramonės standartus ir geriausią praktiką. Tai apima elektronines prieigos kontrolės sistemas su registravimu, pagal kurias į pastatą leidžiama įeiti tik įgaliotiems asmenims, signalizacijos sistemas, vaizdo stebėjimą viduje ir išorėje, visą parą dirbančius apsaugos darbuotojus, pastato apsaugą spygliuota viela, apsaugą, kurią užtikrina išorinės apsaugos tarnybos, kurios signalizacijos atveju automatiškai informuojamos per specialią signalizacijos liniją.

Raktus į atskiras patalpas ir kameras duomenų centre visada reikia paimti iš apsaugos darbuotojų.

Prieigos kontrolė

Siekiant užtikrinti, kad asmenys, turintys leidimą naudotis duomenų tvarkymo sistema, galėtų prieiti tik prie tų duomenų, kuriems jie turi prieigos leidimą, ir kad saugomi ar tvarkomi duomenys negalėtų būti skaitomi, kopijuojami, keičiami ar pašalinami neįgaliotų asmenų, užsakymo vykdytojas naudoja centralizuotą prieigos leidimų valdymo sistemą. Visi prieigos atvejai saugomi lokaliai ir centriniame žurnalo serveryje. Administratoriaus teisės gali būti vykdomos tik per centrinę administravimo programą.

Prieiga prie visų duomenų ribojama tiek, kiek tai būtina, kad visi įgalioti asmenys galėtų atlikti savo konkrečias užduotis. Laikomasi teisinių duomenų apsaugos reikalavimų, ypač pagrindinio duomenų apsaugos reglamento (DSGVO) ir TKG reikalavimų.

Atskyrimas

Duomenų tvarkytojas tvarko duomenis serverių sistemose, kurios tinkle yra logiškai atskirtos loginės ir fizinės prieigos kontrolės sistema.

2. Vieningumas

Įvesties kontrolė

Siekiant užtikrinti, kad užsakymų tvarkytojas vėliau galėtų patikrinti ir nustatyti, ar ir kas įvedė, pakeitė ar pašalino duomenis duomenų tvarkymo sistemose, visi prisijungimai prie saugomų kliento duomenų registruojami lokaliai ir centriniame žurnalo serveryje.

Persiuntimo kontrolė

Siekiant užtikrinti, kad elektroninio perdavimo, transportavimo ar saugojimo metu duomenų negalėtų skaityti, kopijuoti, keisti ar pašalinti neįgalioti asmenys, ir kad būtų galima patikrinti, kur duomenys turi būti perduoti duomenų perdavimo sistemomis, prieiga prie visų sistemų, apdorojančių kliento duomenis, yra veiksmingai kontroliuojama. Šie prieigos kontrolės mechanizmai jau yra išsamiau aprašyti aukščiau 3 punkte.

3. Prieinamumas ir atsparumas

Duomenų tvarkytojas visose sistemose naudoja dubliuojamų sistemų ir atsarginių kopijų sprendimų derinį, siekdamas apsaugoti saugomus duomenis ir prireikus juos atkurti. Šios sistemos eksploatuojamos tik patalpose, apsaugotose ir įrengtose pagal naujausius technikos pasiekimus, kuriose yra reikalingos oro kondicionavimo, gaisro ir dūmų signalizacijos sistemos ir kurioms parengti išsamūs avarinių situacijų planai.

4. Reguliarių peržiūrų, vertinimo ir įvertinimo procedūros

Visi mūsų ir subrangovo darbuotojai reguliariai mokomi duomenų apsaugos klausimais. Šie mokymai vyksta visiškai viduje, todėl galima tiksliai pritaikyti juos prie užsakymo tvarkytojui aktualių klausimų. Šių mokymų metu taip pat išsamiai nagrinėjami individualūs klausimai.

Visi duomenų tvarkytojo darbuotojai, kurie savo darbo metu susiduria su asmens duomenų tvarkymu, privalo laikytis asmens duomenų konfidencialumo. Tai reguliariai užtikrinama įdarbinant naujus darbuotojus

,

kiekvienam darbuotojui pateikiant pasirašyti sutartinę įsipareigojimo deklaraciją.

Duomenų tvarkytojas paskyrė duomenų apsaugos pareigūną. Kartu su savo pavaduotojais duomenų apsaugos pareigūnas užtikrina, kad į duomenų subjektų užklausas būtų atsakyta laiku.

Duomenų tvarkytojas tvarko duomenų tvarkymo veiklos registrą, kaip apibrėžta DSGVO 30 straipsnio 1 ir 2 dalyse. Šis duomenų tvarkymo veiklos sąrašas nėra viešai skelbiamas.

(2022 m. vasario 16 d. duomenys)