Duomenų tvarkymo sutartis
BDAR 28 str. atitinkanti Duomenų tvarkymo sutartis (DPA), kurią Niserva sudaro su klientais — duomenų valdytojais.
Ši Duomenų tvarkymo sutartis (toliau — „DPA") sudaroma tarp Kliento (duomenų valdytojo) ir MB „O zeniau“, valdančios Niserva platformą (duomenų tvarkytojo), ir nustato sąlygas, pagal kurias Niserva tvarko Kliento asmens duomenis paslaugos teikimo metu. DPA papildo Niserva naudojimosi taisykles ir yra parengta pagal BDAR 28 straipsnio reikalavimus.
1. Apibrėžimai
- Klientas = duomenų valdytojas, kuris naudojasi Niserva platforma savo organizacijos vardu.
- Niserva (MB „O zeniau“) = duomenų tvarkytojas, teikiantis platformos paslaugas Klientui.
- BDAR = Reglamentas (ES) 2016/679.
- Sub-tvarkytojas = trečioji šalis, kurią Niserva pasitelkia tvarkydama duomenis.
2. Tvarkymo dalykas, trukmė ir pobūdis
Niserva tvarko Kliento pateiktus asmens duomenis sutarties su Klientu galiojimo metu, kad teiktų NIS2 atitikties valdymo paslaugą. Tvarkymas yra automatizuotas, vykdomas Niserva infrastruktūroje, ir apima tipines SaaS operacijas — saugojimą, peržiūrą, atvaizdavimą, eksportą.
3. Tvarkymo tikslas
- Paslaugos teikimas pagal sutartį.
- Klientų palaikymas ir trikčių šalinimas.
- Saugumo užtikrinimas, sukčiavimo ir piktnaudžiavimo prevencija.
- Atitikties valdymo funkcijų vykdymas (audito žurnalas, priemonių stebėjimas).
4. Tvarkomų duomenų kategorijos
- Kliento darbuotojų duomenys — vardai, pavardės, el. paštai, vaidmenys, prisijungimo įrašai, MFA įrenginių žymos.
- Kliento partnerių, tiekėjų ir kontrahentų duomenys — pavadinimai, kontaktai, rizikos vertinimai, kuriuos Klientas pats įveda.
- Incidentų duomenys — gali apimti pašalinius asmenis (pvz. paveiktus asmens duomenų subjektus), kuriuos Klientas pats įveda registruodamas incidentą.
5. Subjektų kategorijos
- Kliento darbuotojai ir paskyrų naudotojai.
- Kliento tiekėjai ir trečiųjų šalių partneriai.
- Kliento klientai ar kiti asmenys, paveikti incidento (jei tokie minimi įrašuose).
- Kandidatai į darbą Kliento organizacijoje (jei Klientas naudoja atitinkamas funkcijas).
6. Tvarkytojo pareigos
Niserva, kaip duomenų tvarkytojas, įsipareigoja:
- Tvarkyti asmens duomenis tik pagal Kliento dokumentuotus nurodymus.
- Užtikrinti, kad asmenys, įgalioti tvarkyti duomenis, laikytųsi konfidencialumo pareigos.
- Įgyvendinti tinkamas technines ir organizacines priemones (žr. Saugumo puslapį): šifravimą, prieigos kontrolę, RLS, audito žurnalą, MFA.
- Padėti Klientui atsakyti į subjektų teisių užklausas (BDAR 12–22 str.) per pagrįstą terminą.
- Pranešti Klientui apie asmens duomenų saugumo pažeidimą per 48 valandas nuo aptikimo.
- Sutarties pabaigoje Kliento pasirinkimu ištrinti arba grąžinti visus asmens duomenis, išskyrus atvejus, kai teisės aktai reikalauja juos saugoti.
7. Sub-tvarkytojai
Klientas suteikia Niserva bendrą leidimą pasitelkti sub-tvarkytojus. Apie planuojamus pakeitimus (naują arba pakeistą sub-tvarkytoją) Klientą informuosime el. paštu likus ne mažiau kaip 30 dienų. Klientas turi teisę pagrįstai paprieštarauti pakeitimui.
| Tvarkytojas | Funkcija | Vieta |
|---|---|---|
| Supabase Inc. | Duomenų bazė, autentifikacija, failų saugykla | ES (eu-west-1) |
| Vercel Inc. | Svetainės hostingas, edge infrastruktūra | ES + JAV (Frankfurtas) |
| Anthropic PBC | AI atitikties pareigūnas, AI politikų generavimas | JAV (DPF + SCC) |
| Resend Inc. | Sandorio el. laiškų siuntimas | JAV (DPF + SCC) |
| Stripe Payments Europe Ltd. | Mokėjimų apdorojimas | Airija + JAV (DPF) |
8. Tarptautiniai perdavimai
Kai duomenys perduodami už ES/EEE ribų (pvz. Anthropic, Resend, Stripe JAV), Niserva užtikrina tinkamas apsaugos priemones — Europos Komisijos patvirtintas Standartines sutarties sąlygas (SCCs) ir, kur taikoma, EU-U.S. Data Privacy Framework (DPF). Pagrindinė duomenų bazė ir įrodymų saugykla lieka ES regionuose (eu-west-1, Frankfurtas).
9. Pažeidimų pranešimai
Apie asmens duomenų saugumo pažeidimus, susijusius su Kliento duomenimis, Niserva praneša Klientui ne vėliau kaip per 48 valandas nuo jų aptikimo. Pranešime nurodoma pažeidimo prigimtis, paveiktų subjektų ir įrašų kategorijos bei skaičius (kiek žinoma), galimos pasekmės ir taikomos arba siūlomos priemonės.
10. Audito teisės
Klientas turi teisę ne dažniau kaip vieną kartą per metus paprašyti audito ataskaitos arba sertifikato (pvz. ISO 27001, SOC 2, kai jie bus pasiekiami) — tai Niserva pateiks elektroniniu būdu. Vietinis auditas vykdomas tik tuomet, jei jis būtinas teisės aktų ar priežiūros institucijos, ir jo sąlygos derinamos atskirai.
11. Duomenų grąžinimas ir ištrynimas
Sutarčiai pasibaigus, Klientas turi 30 dienų eksportuoti savo duomenis per Niserva sąsają. Po šio termino Niserva ištrina duomenis iš aktyvių sistemų per 30 dienų, o iš atsarginių kopijų — per 90 dienų. Esant teisinei pareigai saugoti tam tikrus įrašus, jie saugomi tik tiek, kiek to reikalauja teisė.
12. Atsakomybė
Kiekvienos šalies atsakomybė pagal šią DPA ribojama Niserva paslaugos sutarties (Naudojimosi taisyklių) sąlygomis, įskaitant maksimalios atsakomybės dydį.
13. Taikytina teisė
Šiai DPA taikoma Lietuvos Respublikos teisė; ginčai sprendžiami Vilniaus miesto apylinkės teisme.
14. Kontaktai
Klausimais, susijusiais su šia DPA, asmens duomenų tvarkymu ar subjektų teisių įgyvendinimu, kreipkitės: info@nexdev.lt.