Susitarimas dėl asmens duomenų tvarkymo
Paskutinį kartą atnaujinta: 2026 m. vasario 6 d.
Šis susitarimas dėl asmens duomenų tvarkymo (toliau – Susitarimas) reguliuoja asmens duomenų tvarkymo santykius, kylančius iš Idea Box, UAB teikiamų paslaugų sutarties (toliau – Sutartis) ir susiklosčiusius tarp Vykdytojo (Idea Box, UAB), veikiančio kaip duomenų tvarkytojas, ir Užsakovo (kliento, kuris naudojasi Idea Box, UAB paslaugomis), veikiančio kaip duomenų valdytojas. Vykdytojas ir Užsakovas kartu vadinami Šalimis, o kiekvienas atskirai – Šalimi.
Susitarimas yra neatsiejama Sutarties dalis. Susitarimas nepakeičia jokių kitų Sutarties nuostatų, sąlygų ar terminų, išskyrus tuos atvejus, kurie specialiai aptarti šiame Susitarime.
Šalys, vykdydamos Susitarimą, vadovaujasi Bendruoju duomenų apsaugos reglamentu (ES) 2016/679 (toliau – BDAR), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu ir kitais teisės aktais, reglamentuojančiais asmens duomenų tvarkymą (toliau kartu – Asmens duomenų apsaugos teisės aktai).
Susitarime pateikiamos sąvokos, prasidedančios didžiąja raide, suprantamos taip, kaip jos apibrėžtos šiame Susitarime ir/ar Sutartyje. Kitos sąvokos – taip, kaip apibrėžta Asmens duomenų apsaugos teisės aktuose.
I. Asmens duomenų tvarkymas
1.1. Vykdytojas įsipareigoja:
- įgyvendinti protingai prieinamas technines bei organizacines priemones, užtikrinančias, kad Vykdytojo vykdomas asmens duomenų tvarkymas atitiktų Asmens duomenų apsaugos teisės aktų reikalavimus bei Užsakovo nurodymus dėl tvarkomų asmens duomenų saugumo;
- tvarkyti šiame Susitarime nurodytus asmens duomenis tik pagal Užsakovo dokumentais įformintus rašytinius nurodymus, išskyrus atvejus, kai teisės aktai reikalauja tvarkyti duomenis nesant tokių nurodymų. Vykdytojas informuoja Užsakovą, jei atsiranda kliūčių laikytis Užsakovo nurodymų;
- imtis priemonių užtikrinti darbuotojų ar kitų asmenų, turinčių prieigą prie Užsakovo valdomų asmens duomenų, patikimumą, ir užtikrinti su jais sudarytus konfidencialumo įsipareigojimus;
- padėti Užsakovui taikyti tinkamas priemones duomenų subjektų prašymams atlikti (BDAR teisės) ir vykdyti pareigas dėl saugumo, pranešimų apie pažeidimus, poveikio vertinimo ir konsultacijų. Už duomenų subjektų ir trečiųjų asmenų paklausimų nagrinėjimą ir sprendimą atsakingas Užsakovas;
- Užsakovo prašymu imtis priemonių nutraukti duomenų tvarkymą po Susitarimo pasibaigimo ir – jei to pageidauja Užsakovas ir jei kitaip nenumato teisės aktai – ištrinti ar grąžinti visus asmens duomenis Užsakovui, ištrinant turimas kopijas. Vykdytojas, teikdamas paslaugas pagal Sutartį, gali veikti kaip mokėjimo paslaugos teikėjas; tokiu atveju asmens duomenis tvarko ir saugo pagal galiojančius teisės aktus ir nustatytą terminą.
1.2. Užsakovas įsipareigoja:
- tinkamai pagal Asmens duomenų apsaugos teisės aktus informuoti duomenų subjektus apie jų duomenų tvarkymą ir perdavimą Vykdytojui, o tais atvejais, kai Vykdytojas pasitelkia subtvarkytojus – ir apie juos;
- visus fizinius asmenis (darbuotojus, įgaliotinius, atstovus), pasitelkiamus Sutarties vykdymui, tinkamai informuoti apie tai, kad jų asmens duomenys (vardas, pavardė, telefono numeris, el. pašto adresas ir kt.) gali būti perduoti Vykdytojui ir tvarkomi Sutarties vykdymui. Minėti asmenys turi būti informuoti iki duomenų perdavimo. Informacija turi apimti tvarkymo tikslus, teisinį pagrindą, saugojimo laikotarpį ir teises (pagal BDAR 13 str.);
- jei Užsakovas reikalauja taikyti specialias technines ir organizacines priemones – padengti Vykdytojo išlaidas joms įgyvendinti. Nurodymai turi būti pateikti raštu iš anksto ne mažiau kaip prieš 30 kalendorinių dienų.
1.3. Šiame Susitarime (VI skyrius) pateikiama informacija apie Užsakovo valdomų asmens duomenų tvarkymą pagal BDAR 28 str. 3 d. Užsakovas gali keisti VI skyriaus nuostatas motyvuotu raštu iš anksto tik išimtiniais atvejais; pakeitimai Vykdytojui taikomi ne anksčiau kaip po 2 mėnesių nuo pranešimo. Esminiai pakeitimai – Šalys susitaria dėl termino. Jei pakeitimai sukelia papildomų išlaidų Vykdytojui, Užsakovas juos padengia.
II. Pagalbiniai asmens duomenų tvarkytojai (subtvarkytojai)
2.1. Užsakovas suteikia Vykdytojui bendrą leidimą pasitelkti pagalbinius asmens duomenų tvarkytojus (subtvarkytojus) ir paslaugų teikėjus. Vykdytojas gali naudotis iki Susitarimo jau pasitelktais subtvarkytojais per jų sutarčių galiojimą. Vykdytojas gali be papildomų apribojimų pasitelkti tos pačios įmonių grupes priklausančius subtvarkytojus.
2.2. Prieš pasitelkdamas naujus subtvarkytojus, Vykdytojas privalo iš anksto informuoti Užsakovą; Užsakovas turi teisę motyvuotu raštu nesutikti. Užsakovas negali nepagristai nesutikti. Vykdytojas gali pratęsti sutartis su 2.1 nurodytais subtvarkytojais išankstiniu pranešimu; pratęsimui nereikia išankstinio Užsakovo sutikimo, išskyrus esminius sutarčių sąlygų pakeitimus duomenų tvarkymo požiūriu.
2.3. Vykdytojas subtvarkytojams nustato ne mažesnės apimties apsaugos pareigas nei šiame Susitarime; visų pirma – užtikrinti tinkamas technines ir organizacines priemones pagal teisės aktus. Vykdytojas lieka atsakingas Užsakovui už subtvarkytojų veiksmus. Užsakovas įgyja tas pačias teises subtvarkytojų atžvilgiu kaip ir Vykdytojo atžvilgiu.
2.4. Šio skyriaus nuostatos taikomos, kai Sutartis tarp Užsakovo ir Vykdytojo nėra sudaryta pagal viešųjų pirkimų teisės aktus.
III. Auditas
3.1. Vykdytojas pateikia Užsakovui visą reikalingą informaciją įrodyti Susitarime nustatytų pareigų vykdymą ir sudaro sąlygas Užsakovui ar jo įgaliotam atlikti auditą.
3.2. Užsakovas, norėdamas atlikti auditą, privalo iš anksto ne vėliau kaip prieš 30 kalendorinių dienų pranešti Vykdytojui ir imtis priemonių išvengti žalos Vykdytojui ir veiklos sutrikdymo.
3.3. Vykdytojas gali nesuteikti leidimo lankytis patalpose, jei: lankytojas nepateikia patikimų įrodymų apie tapatybę ir įgaliojimus; lankymas ne darbo valandomis; ar per pastaruosius 12 mėnesių Vykdytojas jau atliko vidinį ar išorinį Susitarimo auditą.
3.4. Jei ne vėliau kaip prieš 6 mėnesius iki Užsakovo audito prašymo Vykdytojas savo lėšomis atliko atitinkamą auditą (vidaus ar išorės), apimantį tvarkomų asmens duomenų patikrą, Vykdytojas gali pateikti Užsakovui to audito išvadų kopiją – ir laikoma, kad Užsakovo teisė atlikti auditą įgyvendinta.
3.5. Audito ir patikrinimo medžiaga bei Vykdytojo pateikta informacija yra konfidenciali; be išankstinio Vykdytojo rašytinio sutikimo negali būti atskleista trečiesiems. Užsakovas atlygina nuostolius dėl netinkamo atskleidimo.
3.6. Jei kompetentinga institucija reikalauja Užsakovui pateikti audito rezultatus, Užsakovas apie tai iš anksto informuoja Vykdytoją ir, kiek leidžia teisė, suderina su Vykdytoju pateikiamą medžiagą.
IV. Atsakomybė
4.1. Šalis, nevykdanti Susitarime prisiimtų įsipareigojimų ar pateikusi neteisingus pareiškimus, 4.2 nustatyta apimtimi atlygina kitos Šalies nuostolius.
4.2. Šalys neprisiima atsakomybės už kitos Šalies pelno netekimą, reputacijos praradimą ar kitus netiesioginius nuostolius. Bendra Vykdytojo atsakomybė pagal Susitarimą ribojama paskutinio 1 mėnesio atlygio, sumokėto Vykdytojui už paslaugas pagal Sutartį, dydžiu. Bendra atsakomybė apima ir baudas, pinigines sankcijas ir mokesčius priežiūros institucijoms.
4.3. Vykdytojas nebus atsakingas už Susitarimo ar asmens duomenų tvarkymo pažeidimus, kai juos lėmė netikslios, netinkamos ar neteisėtos Užsakovo instrukcijos ar netikslūs/nepilni Užsakovo pateikti asmens duomenys. Užsakovas pilnai atlygina Vykdytojo nuostolius, išlaidas ar kaštus dėl Užsakovo klientų ar kitų asmenų pretenzijų ir kompetentingų institucijų nurodymų vykdymo, išskyrus atvejus, kai tai sukėlė paties Vykdytojo tyčia ar didelis neatsargumas.
4.4. Šalis atleidžiama nuo atsakomybės už neįvykdymą dėl nenugalimos jėgos. Nenugalima jėga nelaikoma finansinių išteklių trūkumas ar kontrahentų prievolių pažeidimas. Apie nenugalimos jėgos atsiradimą privaloma pranešti kitai Šaliai per 7 darbo dienas.
V. Bendrosios nuostatos
5.1. Susitarimas įsigalioja nuo 2018 m. gegužės 25 d. (arba nuo Sutarties įsigaliojimo datos, jei taikoma vėlesnė) ir galioja tol, kol galioja Sutartis, taip pat pasibaigus Sutarčiai – tiek, kiek reikia atlikti su duomenų tvarkymu susijusius įsipareigojimus.
5.2. Susitarimas sudaromas, aiškinamas ir vykdomas pagal Lietuvos Respublikos teisę.
5.3. Ginčai ir pretenzijos dėl Susitarimo sprendžiami pagal Sutartyje įtvirtintas ginčų sprendimo taisykles.
5.4. Susitarimui taikomos visos bendrosios Sutarties nuostatos. Esant prieštaravimų tarp Susitarimo ir kitų tarp Šalių sudarytų susitarimų – taikomos Susitarimo nuostatos.
VI. Informacija apie asmens duomenų tvarkymą
| Tvarkymo pobūdis ir tikslas | Tvarkymo tikslai yra tinkamas Idea Box, UAB (iAps.lt) paslaugų užtikrinimas, įgytų pagal Idea Box, UAB ilgalaikio aptarnavimo sutarties paslaugų teikimą tarp Duomenų valdytojo ir Duomenų tvarkytojo. Tvarkoma tiek asmens duomenų, kiek būtina Sutarties ir Vykdytojui taikomų teisės aktų nustatytų reikalavimų įgyvendinimui. |
| Tvarkymo pagrindas | Sutarties vykdymas. |
| Tvarkomų asmens duomenų rūšys | Duomenų tvarkytojui suteikiama prieiga prie visų Duomenų valdytojo platformoje tvarkomų asmens duomenų: vardas, pavardė, telefono numeris, el. pašto adresas, informacija apie suteiktas paslaugas, banko sąskaitos numeris, kiti pagal poreikį tvarkomi duomenys (gali būti: gyvenamoji vieta; asmens kodas, gimimo data; sveikatos duomenys; darbo užmokestis; šeimyninė padėtis). |
| Duomenų subjektų kategorijos | Darbuotojų ir klientų informacija. |
| Duomenų tvarkymo trukmė | Iki Sutarties pasibaigimo dienos (išskyrus atvejus, kai tolesnį saugojimą numato teisės aktai arba Susitarimo 1.1.6 punkte nustatytos sąlygos ir išimtys). |