Projektas
VALSTYBINĖs DUOMENŲ APSAUGOS INSPEKCIJos
DIREKTORIUS
ĮSAKYMAS
DĖL STANDARTINIŲ SUTARČIŲ SĄLYGŲ TARP DUOMENŲ VALDYTOJO IR DUOMENŲ TVARKYTOJO PATVIRTINIMO
20 m. d. Nr.
Vilnius
Vadovaudamasis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 28 straipsnio 8 dalimi,
t v i r t i n u Standartinių sutarčių sąlygų tarp duomenų valdytojo ir duomenų tvarkytojo pavyzdinę formą (pridedama).
PATVIRTINTA
Valstybinės duomenų apsaugos inspekcijos
direktoriaus 20 m. d.
įsakymu Nr. 1T- (1.12.E)
(Standartinių sutarčių sąlygų tarp duomenų valdytojo ir duomenų tvarkytojo pavyzdinė forma)
STANDARTINĖS SUTARČių SĄLYGOS TARP DUOMENŲ VALDYTOJO IR DUOMENŲ TVARKYTOJO
20 _______________Nr._
(data)
_____________
(vieta)
Duomenų valdytojas _____________________________________________________
____________________________________________________________________________,
(duomenų valdytojo pavadinimas, kodas, buveinės adresas, telefono ryšio numeris ir elektroninio pašto adresas; jeigu duomenų valdytojas fizinis asmuo – vardas ir pavardė, individualios veiklos pažymėjimo arba verslo liudijimo numeris, gyvenamosios vietos adresas, telefono ryšio numeris ir elektroninio pašto adresas)
atstovaujamas _____________________________________________________________________,
(duomenų valdytojui atstovaujančio asmens vardas ir pavardė, pareigos, atstovavimo pagrindas)
ir Duomenų tvarkytojas _____________________________________________________________
__________________________________________________________________________________,
(duomenų valdytojo pavadinimas, kodas, buveinės adresas, telefono ryšio numeris ir elektroninio pašto adresas; jeigu duomenų valdytojas fizinis asmuo – vardas ir pavardė, individualios veiklos pažymėjimo arba verslo liudijimo numeris, gyvenamosios vietos adresas, telefono ryšio numeris ir elektroninio pašto adresas)
atstovaujamas _____________________________________________________________________,
(duomenų tvarkytojui atstovaujančio asmens vardas ir pavardė, pareigos, atstovavimo pagrindas)
kiekvienas atskirai vadinamas „Šalimi“, o kartu „Šalimis“,
vadovaudamosi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679),
susitarė dėl šių standartinių sutarčių sąlygų (toliau – Sutartis), kurias sudaro Sutartyje nurodyti priedai ir kiti Sutarties galiojimo laikotarpiu šalių tarpusavio susitarimu suderinti dokumentai.
I SKYRIUS
SUTARTIES OBJEKTAS
1. Sutartimi įgyvendinant Reglamento (ES) 2016/679 28 straipsnio 3 dalį, nustatomos duomenų valdytojo ir duomenų tvarkytojo teisės bei pareigos, duomenų valdytojo vardu tvarkant asmens duomenis. Sutartimi siekiama apsaugoti duomenų subjektų teises, mažinti konkrečią asmens duomenų apsaugos riziką ir užtikrinti duomenų valdytojo ir duomenų tvarkytojo santykių bei atitinkamų teisių ir pareigų aiškumą.
2. Teikdamas [paslaugos pavadinimas] paslaugas [kai taikoma, susitarimo dėl šių paslaugų teikimo sudarymo rekvizitai], duomenų tvarkytojas tvarkys asmens duomenis duomenų valdytojo vardu pagal šią Sutartį.
3. Prie Sutarties pridedami 3 priedai, kurie yra neatsiejama Sutarties dalis:
3.1. Sutarties 1 priede pateikiama informacija apie asmens duomenų tvarkymą, įskaitant tvarkymo tikslą ir pobūdį, asmens duomenų rūšis, duomenų subjektų kategorijas ir tvarkymo trukmę;
3.2. Sutarties 2 priede pateikiamos duomenų valdytojo sąlygos, kuriomis vadovaujantis duomenų tvarkytojai galės pasitelkti kitus duomenų tvarkytojus (toliau – pagalbinis duomenų valdytojas), ir duomenų valdytojo įgaliotų pagalbinių duomenų tvarkytojų sąrašas;
II SKYRIUS
DUOMENŲ VALDYTOJO ĮSIPAREIGOJIMAI
5. Duomenų valdytojas įsipareigoja:
5.1. užtikrinti, kad vadovaujantis Reglamento (ES) 2016/679 24 straipsniu, asmens duomenys būtų tvarkomi laikantis Reglamento (ES) 2016/679, kitų asmens duomenų apsaugą reglamentuojančių Europos Sąjungos ar jos valstybės narės[1] teisės aktų ir šios Sutarties;
III SKYRIUS
DUOMENŲ TVARKYTOJO ĮSIPAREIGOJIMAI
6. Duomenų tvarkytojas įsipareigoja:
6.1. tvarkyti asmens duomenis tik pagal duomenų valdytojo pateiktus dokumentais įformintus nurodymus, išskyrus atvejus, kai to reikalaujama pagal Europos Sąjungos ar jos valstybės narės teisės aktus, kurie yra taikomi duomenų tvarkytojui. Tokie nurodymai pateikti Sutarties 1 ir 3 prieduose. Duomenų valdytojas taip pat gali pateikti tolesnius nurodymus viso asmens duomenų tvarkymo metu, tačiau tokie su Sutartimi susiję nurodymai visada turi būti pagrįsti dokumentais;
6.2. nedelsiant informuoti duomenų valdytoją, jei duomenų valdytojo nurodymai, duomenų tvarkytojo nuomone, prieštarauja Reglamentui (ES) 2016/679 arba kitiems asmens duomenų apsaugą reglamentuojantiems Europos Sąjungos ar jos valstybių narių teisės aktams;
IV SKYRIUS
KONFIDENCIALUMAS
8. Duomenų tvarkytojas prieigą prie duomenų valdytojo vardu tvarkomų asmens duomenų suteikia tik tiems asmenims, kuriems vadovauja duomenų tvarkytojas, ir kurie yra įpareigoti laikytis konfidencialumo arba kuriems taikoma teisinė konfidencialumo pareiga, ir tik tuo atveju, jei jiems būtina su jais susipažinti. Asmenų, kuriems suteikta prieiga prie asmens duomenų, sąrašas turi būti periodiškai peržiūrimas [Sutartyje Šalys turi susitarti dėl konkrečių peržiūros intervalų, pavyzdžiui, ne rečiau kaip kartą kas 6 mėnesius]. Vadovaujantis šia peržiūra, tokia prieiga prie asmens duomenų panaikinama, jei tokia prieiga nebereikalinga, todėl asmens duomenys nebegalės būti prieinami tiems asmenims. Pasikeitus asmens, kurie tvarko asmens duomenis, jų prieigos teisės prie Duomenų valdytojo asmens duomenų panaikinamos ne vėliau nei paskutinę jo darbo su jam patikėtais duomenų valdytojo asmens duomenimis dieną, o tuo atveju jei nutrūksta duomenų tvarkytojo darbuotojo darbo santykiai – ne vėliau nei paskutinę jo darbo dieną.
V SKYRIUS
DUOMENŲ TVARKYMO SAUGUMAS
10. Vadovaujantis Reglamento (ES) 2016/679 32 straipsniu, kuriame nustatyta, kad atsižvelgdamas į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas ir duomenų tvarkytojas įgyvendina tinkamas technines ir organizacines priemones, kad būtų užtikrintas pavojų atitinkančio lygio saugumas.
11. Duomenų valdytojas įvertina fizinių asmenų teisėms ir laisvėms galinčią kilti riziką tvarkant asmens duomenis ir įgyvendina priemones šiai rizikai sumažinti. Priklausomai nuo jų tinkamumo, priemonės gali būti šios:
11.2. galimybė užtikrinti nuolatinį duomenų tvarkymo sistemų ir paslaugų konfidencialumą, vientisumą, prieinamumą ir atsparumą;
11.3. galimybė laiku atkurti prieinamumą ir prieigą prie asmens duomenų, įvykus fiziniam ar techniniam incidentui;
12. Pagal Reglamento (ES) 2016/679 32 straipsnį duomenų tvarkytojas, nepriklausomai nuo duomenų valdytojo, taip pat įvertina duomenų tvarkymo riziką, galinčią kilti fizinių asmenų teisėms ir laisvėms, ir įgyvendina priemones šiai rizikai sumažinti. Šiuo tikslu duomenų valdytojas duomenų tvarkytojui pateikia visą informaciją, reikalingą tokiai rizikai nustatyti ir įvertinti.
13. Be to, duomenų tvarkytojas padeda duomenų valdytojui užtikrinti duomenų valdytojo pareigų pagal Reglamento (ES) 2016/679 32 straipsnį vykdymą, teikdamas inter alia duomenų valdytojui informaciją apie technines ir organizacines priemones, kurias duomenų tvarkytojas jau įgyvendino pagal Reglamento (ES) 2016/679 32 straipsnį kartu su visa kita informacija, reikalinga duomenų valdytojui įvykdyti duomenų valdytojo pareigas pagal Reglamento (ES) 2016/679 32 straipsnį.
14. Jei kyla grėsmė asmens duomenų saugumui, duomenų valdytojas Sutarties 3 priede nurodo papildomas priemones, kurias būtina įgyvendinti, o duomenų tvarkytojas turi įgyvendinti papildomas priemones ir tas, kurias jau įgyvendino pagal Reglamento (ES) 2016/679 32 straipsnį. Duomenų valdytojas turi teisę gauti šių priemonių taikymo duomenų tvarkytojui tvarkant duomenų valdytojo pateiktus asmens duomenis, įrodymus.
VI SKYRIUS
PAGALBINIŲ DUOMENŲ TVARKYTOJŲ PASITELKIMAS
15. Duomenų tvarkytojas turi laikytis Reglamento (ES) 2016/679 28 straipsnio 2 ir 4 dalyse nurodytus reikalavimus, kad galėtų pasitelkti pagalbinį duomenų tvarkytoją.
16. Šios Sutarties vykdymui duomenų tvarkytojas nepasitelkia pagalbinio duomenų tvarkytojo be išankstinio [1 PASIRINKIMAS] specialaus duomenų valdytojo rašytinio leidimo] / [2 PASIRINKIMAS] bendrojo rašytinio duomenų valdytojo leidimo:
16.1. [1 PASIRINKIMAS – specialus išankstinis duomenų valdytojo leidimas]. Duomenų tvarkytojas pasitelkia pagalbinius duomenų tvarkytojus tik gavęs specialų išankstinį duomenų valdytojo leidimą. Duomenų tvarkytojas turi raštu pateikti prašymą dėl specialaus leidimo bent jau [nurodyti laikotarpį] iki atitinkamo pagalbinio duomenų tvarkytojo pasitelkimo. Duomenų valdytojo jau įgaliotų pagalbinių duomenų tvarkytojų sąrašas pateikiamas Sutarties 2 priede;
16.2. [2 PASIRINKIMAS – bendrasis rašytinis duomenų valdytojo leidimas]. Duomenų tvarkytojas turi bendrąjį rašytinį duomenų valdytojo leidimą, kad jis galėtų pasitelkti pagalbinius duomenų tvarkytojus. Duomenų tvarkytojas raštu informuoja duomenų valdytoją apie bet kokius numatomus pakeitimus, susijusius su pagalbinių duomenų tvarkytojų pasitelkimu ar pakeitimu bent jau iki [nurodyti laikotarpį], tokiu būdu duomenų valdytojui suteikiant galimybę prieštarauti tokiems pakeitimams iki atitinkamo (-ų) pagalbinio (-ų) duomenų tvarkytojo(-ų) pasitelkimo. Ilgesni išankstinio pranešimo apie specialias papildomo tvarkymo paslaugas laikotarpiai gali būti pateikti Sutarties 2 priede. Duomenų valdytojo jau įgaliotų pagalbinių duomenų tvarkytojų sąrašas pateikiamas Sutarties 2 priede.
17. Kai duomenų tvarkytojas konkrečiai duomenų tvarkymo veiklai duomenų valdytojo vardu atlikti pasitelkia pagalbinį duomenų tvarkytoją, sutartimi ar kitu teisės aktu pagal Sąjungos ar valstybės narės teisę, tam pagalbiniam duomenų tvarkytojui nustatomos tos pačios duomenų apsaugos prievolės, kaip ir prievolės, nustatytos Sutartyje ar kitame teisės akte, visų pirma prievolė pakankamai užtikrinti, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų Sutarties ir Reglamento (ES) 2016/679 reikalavimus.
18. Sutarties su pagalbiniu duomenų tvarkytoju kopija ir jos vėlesni pakeitimai, duomenų valdytojo prašymu, pateikiami duomenų valdytojui, tokiu būdu suteikiant duomenų valdytojui galimybę užtikrinti, kad pagalbiniam duomenų tvarkytojui būtų taikomos tos pačios duomenų apsaugos prievolės, kaip yra nustatyta Sutartyje. Tais atvejais, kai duomenų tvarkytojo ar jo pasitelkto pagalbinio duomenų tvarkytojo atliekamas duomenų tvarkymas dėl techninių ar organizacinių pagalbinių duomenų tvarkytojo taikomų priemonių gali turėti įtakos Sutartyje ar jos prieduose nurodytiems duomenų valdytojo nurodymams arba tvarkomų asmens duomenų apsaugos lygiui, duomenų tvarkytojas privalo duomenų valdytojui pateikia sutarties su pagalbiniu duomenų tvarkytoju kopiją savo iniciatyva. Duomenų valdytojui nėra privaloma pateikti Sutarties dėl su verslu susijusių klausimų, kurie nedaro įtakos su pagalbiniu duomenų tvarkytoju sudarytos sutarties teisinėms asmens duomenų apsaugos sąlygoms.
19. [Duomenų tvarkytojas turi susitarti su pagalbiniu duomenų tvarkytoju, jei toks pasitelkiamas, kad pirminio duomenų tvarkytojo bankroto atveju, duomenų valdytojas turi teisę tęsti duomenų tvarkymo santykius su pirminio duomenų tvarkytojo pasitelktu pagalbiniu duomenų tvarkytoju tiesiogiai ir (arba) teikti tiesioginius nurodymus dėl duomenų tvarkymo, pavyzdžiui, nurodyti pagalbiniam duomenų valdytojui ištrinti arba grąžinti asmens duomenis].
20. Jei pagalbinis duomenų tvarkytojas nevykdo asmens duomenų apsaugos prievolių, pirminis duomenų tvarkytojas, su kuriuo sudaryta ši Sutartis, išlieka visiškai atsakingas duomenų valdytojui už pagalbinio duomenų tvarkytojo prievolių vykdymą. Tai nedaro įtakos duomenų subjektų teisėms pagal Reglamentą (ES) 2016/679, ypač Reglamento (ES) 2016/679 ir 82 straipsniuose numatytoms teisėms, duomenų valdytojo ir duomenų tvarkytojo, įskaitant pagalbinių duomenų tvarkytojų atžvilgiu.
VII SKYRIUS
DUOMENŲ PERDAVIMAS Į TREČIĄSIAS VALSTYBES ARBA TARPTAUTINĖMS ORGANIZACIJOMS
21. Duomenų tvarkytojas asmens duomenis gali perduoti[2] į trečiąsias valstybes ar tarptautinėms organizacijoms tik gavęs duomenų valdytojo dokumentais įformintus nurodymus ir laikantis Reglamento (ES) 2016/679 V skyriaus reikalavimų.
22. Jei asmens duomenis trečiosioms valstybėms ar tarptautinėms organizacijoms reikia perduoti pagal Europos Sąjungos ar jos valstybės narės teisės aktus, kurių turi laikytis duomenų tvarkytojas, nors duomenų valdytojas nedavė nurodymų duomenų tvarkytojui tai atlikti, duomenų tvarkytojas informuoja duomenų valdytoją apie šį teisinį reikalavimą prieš duomenų perdavimą, nebent tas teisės aktas draudžia perduoti tokią informaciją.
23. Duomenų tvarkytojas be duomenų valdytojo dokumentais įformintų nurodymų arba be konkretaus reikalavimo pagal Europos Sąjungos ar jos valstybės narės teisės aktus negali pagal šią Sutartį:
23.1. perduoti asmens duomenis duomenų valdytojui ar duomenų tvarkytojui trečiojoje valstybėje ar tarptautinėje organizacijoje;
24. Duomenų valdytojo nurodymai dėl asmens duomenų perdavimo į trečiąją valstybę, įskaitant, jei taikoma, asmens duomenų perdavimo į trečiąsias valstybes Reglamento (ES) 2016/679 V skyriuje nustatytus pagrindai, kuriais duomenų valdytojo nurodymai yra grindžiami, pateikiami Sutarties 3 priedo 3.6 papunktyje.
25. Ši Sutartis nėra standartinės duomenų apsaugos sąlygos, apibrėžtos Reglamento (ES) 2016/679 46 straipsnio 2 dalies c ir d punktuose, ir šalys negali remtis Sutartimi kaip asmens duomenų perdavimo į trečiąsias valstybes ar tarptautinėms organizacijoms pagrindu pagal Reglamento (ES) 2016/679 V skyrių.
VIII SKYRIUS
PAGALBA DUOMENŲ VALDYTOJUI
26. Atsižvelgdamas į tvarkymo pobūdį, duomenų tvarkytojas, kiek tai įmanoma, padeda duomenų valdytojui tinkamomis techninėmis ir organizacinėmis priemonėmis įvykdyti duomenų valdytojo prievoles atsakyti į prašymus naudotis duomenų subjekto teisėmis, nustatytomis Reglamento (ES) 2016/679 III skyriuje. Tai reiškia, kad duomenų tvarkytojas, kiek tai įmanoma, padeda duomenų valdytojui, kad duomenų valdytojas įgyvendintų:
26.7. prievolę pranešti apie asmens duomenų ištaisymą ar ištrynimą arba duomenų tvarkymo apribojimą;
27. Šalys Sutarties 3 priede nustato nuostatas, kaip konkrečiai pasireiškia duomenų tvarkytojo pagalba duomenų valdytojui, susijusi su duomenų subjektų teisių įgyvendinimu.
28. Be duomenų tvarkytojo prievolės padėti duomenų valdytojui pagal Sutarties 13 punktą, duomenų tvarkytojas, atsižvelgdamas į tvarkymo pobūdį ir duomenų tvarkytojui prieinamą informaciją, taip pat padeda duomenų valdytojui užtikrinti:
28.1. duomenų valdytojo pareigą nedelsiant ir, jei įmanoma, ne vėliau kaip per 72 valandas po to, kai apie tai sužinojo, pranešti apie asmens duomenų saugumo pažeidimą kompetentingai priežiūros institucijai – [nurodyti kompetentingą priežiūros instituciją], nebent asmens duomenų saugumo pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms.
28.2. duomenų valdytojo pareigą nedelsiant pranešti duomenų subjektui apie asmens duomenų pažeidimą, kai asmens duomenų pažeidimas gali sukelti didelę riziką fizinių asmenų teisėms ir laisvėms;
28.3. duomenų valdytojo pareigą atlikti numatytų asmens duomenų tvarkymo operacijų poveikio duomenų apsaugai vertinimą;
28.4. duomenų valdytojo pareigą konsultuotis su kompetentinga priežiūros institucija – [nurodyti kompetentingą priežiūros instituciją] prieš pradedant duomenų tvarkymą, jei poveikio duomenų apsaugos vertinimas rodo, kad duomenų tvarkymas sukeltų didelę riziką, jei duomenų valdytojas nesiimtų priemonių tai rizikai sumažinti.
IX SKYRIUS
PRANEŠIMAS APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ
30. Duomenų tvarkytojas, sužinojęs apie asmens duomenų saugumo pažeidimą, nepagrįstai nedelsdamas apie tai praneša duomenų valdytojui. Duomenų tvarkytojas praneša duomenų valdytojui, jei įmanoma, per [valandų skaičius. Rekomenduojama, kad valandų skaičius neviršytų 24 valandų nuo sužinojimo apie asmens duomenų saugumo pažeidimą momento] po to, kai duomenų tvarkytojas sužinojo apie asmens duomenų saugumo pažeidimą, kad duomenų valdytojas galėtų įvykdyti duomenų valdytojo pareigą pranešti apie asmens duomenų saugumo pažeidimą kompetentingai priežiūros institucijai, pagal Reglamento (ES) 2016/679 33 straipsnį.
31. Sutarties 28.1 papunktyje nurodyta duomenų tvarkytojo pareiga padėti duomenų valdytojui pranešti kompetentingai priežiūros institucijai apie asmens duomenų pažeidimą reiškia, kad duomenų tvarkytojas privalo duomenų valdytojui padėti gauti toliau išvardytą informaciją, kuri, remiantis Reglamento (ES) 2016/679 33 straipsnio 3 dalimi, turi būti nurodyta duomenų valdytojo pranešime kompetentingai priežiūros institucijai:
31.1. asmens duomenų pobūdis, įskaitant, jei įmanoma, atitinkamų duomenų subjektų kategorijos ir apytikslis jų skaičius bei atitinkamų asmens duomenų įrašų kategorijos ir apytikslis skaičius;
31.3. priemonės, kurių ėmėsi ar siūlo imtis duomenų valdytojas asmens duomenų pažeidimo pašalinimui, įskaitant, jei reikia, priemones, skirtas sušvelninti galimą neigiamą pažeidimo poveikį;
32. Šalys Sutarties 3 priede apibrėžia visus elementus, kuriuos turi pateikti duomenų tvarkytojas, padėdamas duomenų valdytojui pranešti kompetentingai priežiūros institucijai apie asmens duomenų saugumo pažeidimą. Jei duomenų tvarkytojas duomenų valdytojui pateikia ne visą informaciją apie asmens duomenų saugumo pažeidimą arba vėliau paaiškėja papildoma informacija, duomenų tvarkytojas privalo nedelsdamas, bet ne vėliau kaip per [valandų skaičius. Rekomenduojama, kad valandų skaičius neviršytų 24 valandų nuo naujos informacijos sužinojimo momento] pateikti papildomą pranešimą duomenų valdytojui, nurodydamas visą trūkstamą informaciją.
X SKYRIUS
DUOMENŲ TRYNIMAS IR GRĄŽINIMAS
34. Pasibaigus asmens duomenų tvarkymo paslaugų teikimui, duomenų tvarkytojas privalo [1 PASIRINKIMAS] ištrinti visus asmens duomenis, tvarkomus duomenų valdytojo vardu, ir patvirtinti duomenų valdytojui, kad tai padarė ir (arba) [2 PASIRINIMAS] grąžinti visus asmens duomenis duomenų valdytojui ir ištrinti esamas kopijas, nebent asmens duomenis reikia saugoti pagal Europos Sąjungos ar jos valstybės narės įstatymus.
35. [PASIRINKTINAI] Pasibaigus asmens duomenų tvarkymo paslaugų teikimui, asmens duomenis reikia saugoti pagal šiuos duomenų tvarkytojui taikomus Europos Sąjungos ar jos valstybės narės teisės aktus:
XI SKYRIUS
AUDITAS IR TIKRINIMAS
37. Duomenų tvarkytojas duomenų valdytojui suteikia visą informaciją, reikalingą įrodyti, kad laikomasi Reglamento (ES) 2016/679 28 straipsnyje ir Sutartyje nustatytų pareigų, ir sudaro sąlygas ir padeda atlikti duomenų valdytojui ar kitam duomenų valdytojo įgaliotam auditoriui auditą, įskaitant patikrinimus.
38. Duomenų valdytojo atliekamam duomenų tvarkytojo ir pagalbinių duomenų tvarkytojų auditui, įskaitant patikrinimus, taikomos Sutarties 3 Priedo 3.7 ir 3.8 papunkčiuose nurodytos procedūros.
39. Duomenų tvarkytojas turi suteikti priežiūros institucijoms, kurios pagal galiojančius teisės aktus turi prieigą prie duomenų valdytojo ir duomenų tvarkytojo įrenginių, arba atstovams, veikiantiems tokių priežiūros institucijų vardu, prieigą prie duomenų tvarkytojo fizinių priemonių tinkamo identifikavimo pateikimui ar atlikti kitus priežiūros institucijų nurodytus veiksmus auditui ar kitam patikrinimui atlikti.
XII SKYRIUS
ŠALIŲ SUSITARIMAS DĖL KITŲ SĄLYGŲ
40. Šalys gali susitarti dėl kitų sąlygų, susijusių su asmens duomenų tvarkymo paslaugos teikimu, nurodydamos, pvz. atsakomybę, jei jos tiesiogiai ar netiesiogiai neprieštarauja Sutarčiai ar nepažeidžia pagrindinių duomenų subjekto teisių ar laisvių ir apsaugos, kurią suteikia Reglamentas (ES) 2016/679.
XIII SKYRIUS
BAIGIAMOSIOS NUOSTATOS
42. Abi šalys turi teisę reikalauti, kad Sutarties sąlygos būtų persvarstytos iš naujo, įsigaliojus naujiems teisės aktams, susijusiems su Sutarties vykdymu.
43. Sutartis galioja visą asmens duomenų tvarkymo paslaugų teikimo laiką. Asmens duomenų tvarkymo paslaugų teikimo laikotarpiu Sutartis negali būti nutraukta, jei šalys nėra susitarusios dėl kitų Sutarties sąlygų, reglamentuojančių asmens duomenų tvarkymo paslaugų teikimą.
44. Jei asmens duomenų tvarkymo paslaugų teikimas yra nutraukiamas, o asmens duomenys ištrinami arba grąžinami duomenų valdytojui pagal Sutarties 34 punktą ir Sutarties 3 Priedo 3.4 papunktį, Sutartis gali būti nutraukiama bet kuriai šaliai pateikus rašytinį pranešimą.
45. Nedarant poveikio jokioms Reglamento (ES) 2016/679 nuostatoms, duomenų tvarkytojui pažeidus pareigas pagal šią Sutartį, duomenų valdytojas gali nurodyti duomenų tvarkytojui laikinai sustabdyti asmens duomenų tvarkymą, kol pastarasis laikysis šios Sutarties arba Sutartis bus nutraukta. Duomenų tvarkytojas nedelsdamas informuoja duomenų valdytoją, jei dėl kokios nors priežasties jis negali laikytis Sutarties.
46. Duomenų valdytojas turi teisę nutraukti Sutartį, jeigu:
46.1. duomenų tvarkytojas iš esmės arba nuolat pažeidžia Sutartį arba savo įsipareigojimus pagal Reglamentą (ES) 2016/679;
XIV SKYRIUS
ŠALIŲ REKVIZITAI, PARAŠAI
Duomenų valdytojo vardu: Duomenų tvarkytojo vardu:
pareigos pareigos
vardas, pavardė vardas, pavardė
data data
A. V. A. V.
Standartinių sutarčių sąlygų tarp duomenų valdytojo ir duomenų tvarkytojo
1 priedas
INFORMACIJA APIE ASMENS DUOMENŲ TVARKYMĄ
1.Informacija apie asmens duomenų tvarkymą:
[PASTABA. Jei yra atliekama keletas duomenų tvarkymo operacijų, šios dalys turi būti užpildytos kiekvienai tvarkymo veiklai].
1.1. Duomenų tvarkytojo asmens duomenų tvarkymo tikslas yra:
[Aprašykite asmens duomenų tvarkymo tikslą, jį suformuluojant aiškiai ir konkrečiai, t. y. pakankamai išsamiai, kad būtų galima nustatyti, kokios rūšies tvarkymą jis apima, ir įvertinti, ar konkretus tikslas neprieštarauja teisės aktų reikalavimams].
1.2. Duomenų tvarkytojo asmens duomenų tvarkymas daugiausia susijęs su (tvarkymo pobūdžiu):
[Aprašykite duomenų tvarkymo pobūdį].
1.3. Duomenų tvarkymas apima šiuos asmens duomenis:
[Aprašykite tvarkomų asmens duomenų rūšį].
[PAVYZDYS. Vardas, pavardė, elektroninio pašto adresas, telefono ryšio numeris, gyvenamosios vietos adresas, nacionalinis identifikavimo numeris (asmens kodas), išsami informacija apie mokėjimą, narystės numeris, narystės rūšis].
[PASTABA. Aprašymas turėtų būti kuo išsamesnis, neapsiribojant tik tokiais teiginiais kaip „asmens duomenys, kaip jie apibrėžti Reglamento (ES) 2016/679 4 straipsnio 1 dalyje“, arba vien asmens duomenų kategorijos (t. y. Reglamento (ES) 2016/679 6, 9 ir (ar) 10 straipsniai) nurodymu].
1.4. Duomenų tvarkymas apima šias duomenų subjektų kategorijas:
[Aprašykite duomenų subjekto kategoriją].
[PAVYZDŽIAI. „Asmenys, kurie yra duomenų valdytojo lojalumo programos nariai“, „Individualūs asmenys, užsiregistravę gauti el. pašto pranešimus“, „Vaikai, kuriems siūlomos informacinės visuomenės paslaugos“, „Klientai iš trečiųjų valstybių“].
Standartinių sutarčių sąlygų tarp duomenų valdytojo ir duomenų tvarkytojo
2 priedas
INFORMACIJA APIE PAGALBINIUS DUOMENŲ TVARKYTOJUS
1. Įgalioti pagalbiniai duomenų tvarkytojai:
Įsigaliojus Sutarčiai, duomenų valdytojas leidžia pasitelkti šiuos pagalbinius duomenų tvarkytojus:
Pavadinimas, vardas, pavardė |
Įmonės kodas / gimimo data arba individualios veiklos numeris |
Buveinės adresas / gyvenamosios vietos adresas |
Duomenų tvarkymo aprašymas |
|
|
|
|
|
|
|
|
|
|
|
|
Įsigaliojus Sutarčiai, duomenų valdytojas leidžia kitai šaliai Sutarties 1 priedo 1.1 papunktyje nurodytais tikslais pasitelkti šiame Sutarties priede nurodytus pagalbinius duomenų tvarkytojus, laikantis Sutarties VI skyriaus reikalavimų. Siekiant pasitelkti minėtus pagalbinius duomenų valdytojus asmens duomenų tvarkymui kitais tikslais nei tikslai, nustatyti Sutarties 1 priedo 1.1 papunktyje, būtinas rašytinis duomenų valdytojo leidimas.
2. Išankstinis pranešimas dėl leidimo suteikimo pagalbiniams duomenų tvarkytojams
[Jei taikoma, nurodykite išankstinio pranešimo dėl leidimo suteikimo pagalbiniams duomenų tvarkytojams laikotarpius ir (arba) kitas susijusias sąlygas].
Standartinių sutarčių sąlygų tarp duomenų valdytojo ir duomenų tvarkytojo
3 priedas
NURODYMAI, KAIP TVARKYTI ASMENS DUOMENIS
1. Duomenų tvarkymo nurodymas
Duomenų tvarkytojas duomenų valdytojo vardu asmens duomenų tvarkymo metu atlieka šiuos veiksmus:
[Aprašykite duomenų tvarkymą, kurį duomenų tvarkytojui pavesta atlikti].
2. Duomenų tvarkymo saugumas
Apsaugos lygis nustatomas atsižvelgiant į:
[Išsamiai aprašykite, atsižvelgiant į duomenų tvarkymo veiklos pobūdį, apimtį, kontekstą ir tikslus, taip pat į pavojų fizinių asmenų teisėms ir laisvėms. Apibūdinkite dalis, kurios yra svarbios saugumo lygiui.]
[PAVYZDYS. Atsižvelgiant į tai, kad duomenų tvarkymas yra susijęs su dideliu asmens duomenų kiekiu, kuriam taikomas Reglamento (ES) 2016/679 9 straipsnis dėl specialių asmens duomenų kategorijų, turėtų būti nustatytas „aukštas“ saugumo lygis].
Duomenų tvarkytojas turi teisę ir privalo priimti sprendimus dėl techninių ir organizacinių saugumo priemonių naudojimo užtikrinti reikiamą (ir suderintą) duomenų saugumo lygį.
Tačiau duomenų tvarkytojas bet kuriuo atveju įgyvendina šias su duomenų valdytoju suderintas priemones:
[Aprašykite asmens duomenų pseudonimizavimo ir šifravimo reikalavimus].
[Aprašykite reikalavimus, užtikrinančius nuolatinį duomenų tvarkymo sistemų ir paslaugų konfidencialumą, vientisumą, prieinamumą ir atsparumą].
[Aprašykite reikalavimus, susijusius su galimybe laiku atkurti prieinamumą ir prieigą prie asmens duomenų, įvykus fiziniam ar techniniam įvykiui].
[Aprašykite reikalavimus, taikomus reguliariam testavimui, įvertinimui ir techninių bei organizacinių priemonių, užtikrinančių duomenų tvarkymo saugumą, efektyvumo nustatymui].
[Apibūdinkite prieigai, įskaitant nuotolines prieigas, prie asmens duomenų keliamus reikalavimus].
[Aprašykite asmens duomenų apsaugai keliamus reikalavimus duomenų perdavimo metu].
[Aprašykite asmens duomenų apsaugai keliamus reikalavimus jų saugojimo metu].
[Aprašykite reikalavimus, keliamus fiziniam saugumui vietose, kuriose tvarkomi asmens duomenys].
[Aprašykite reikalavimus, keliamus darbui namuose/nuotoliniam darbui].
3. Pagalba duomenų valdytojui
Duomenų tvarkytojas, kiek tai įmanoma ir atsižvelgiant į toliau nurodytą pagalbos sritį bei apimtį, padeda duomenų valdytojui pagal Sutarties 26–29 punktus įgyvendinti šias technines bei organizacines priemones:
[Aprašykite duomenų tvarkytojo teikiamos pagalbos apimtį ir mastą].
[Aprašykite konkrečias technines ir organizacines priemones, kurių turi imtis duomenų tvarkytojas, norėdamas padėti duomenų valdytojui].
4. Duomenų saugojimo laikotarpis/duomenų trynimo procedūros
[Nurodykite duomenų saugojimo laikotarpį/duomenų trynimo procedūras, skirtas duomenų tvarkytojui, jei taikoma].
[PAVYZDYS NR.1. Asmens duomenys saugomi [nurodykite laikotarpį arba įvykį], po to duomenų tvarkytojas automatiškai ištrina asmens duomenis.
Nutraukęs asmens duomenų tvarkymo paslaugų teikimą, duomenų tvarkytojas [pasirinkite: ištrina arba grąžina] asmens duomenis, atsižvelgiant į Sutarties 34 punkto reikalavimus, nebent pasirašęs sutartį duomenų valdytojas pakeičia pirminį duomenų valdytojo pasirinkimą. Atsižvelgiant į Sutartį, tokie pakeitimai turi būti pagrįsti dokumentais ir saugomi popierine ir elektronine forma].
[PAVYZDYS NR.2. Asmens duomenys saugomi [nurodykite laikotarpį arba įvykį], po to duomenų tvarkytojas automatiškai ištrina asmens duomenis.
Nutraukęs asmens duomenų tvarkymo paslaugų teikimą, originalius duomenų valdytojo duomenų tvarkytojui perduotus dokumentus grąžina duomenų valdytojui, o dokumentų kopijas ištrina ir patvirtina tai raštu, išskyrus atvejus, kai asmens duomenis saugoti įpareigoja teisės aktai. Duomenų tvarkytojas taip pat privalo informuoti Duomenų valdytoją apie tai, kokie asmens duomenys ar jų kopijos nėra ištrinami bei kokie teisės aktai tai reglamentuoja].
5. Duomenų tvarkymo vieta
Atsižvelgiant į Sutartį, be išankstinio rašytinio duomenų valdytojo leidimo asmens duomenys negali būti tvarkomi kitose vietose, išskyrus šias:
[Nurodykite, kur duomenų tvarkymas yra atliekamas] [Nurodykite duomenų tvarkytojo arba pagalbinio duomenų tvarkytojo naudojamą adresą].
6. Nurodymai dėl asmens duomenų perdavimo į trečiąją valstybę ar tarptautinėms organizacijoms
[Aprašykite nurodymą dėl asmens duomenų perdavimo trečiajai valstybei ar tarptautinei organizacijai. PASTABA. Nuotolinių prieigų iš trečiųjų valstybių suteikimas prie asmens duomenų, laikomų Europos Ekonominės Erdvės teritorijoje, taip pat laikoma asmens duomenų perdavimu].
[Nurodykite teisinį duomenų perdavimo pagrindą pagal Reglamento (ES) 2016/679 V skyrių].
Jei duomenų valdytojas nenurodo Sutartyje arba vėliau nepateikia dokumentais pagrįstų nurodymų dėl asmens duomenų perdavimo į trečiąją valstybę ar tarptautinėms organizacijoms, duomenų tvarkytojas neturi teisės atlikti tokį perdavimą pagal šią Sutartį.
7. Procedūros, skirtos duomenų valdytojo atliekamiems duomenų tvarkytojo asmens duomenų tvarkymo auditams, įskaitant patikrinimams
[Aprašykite procedūras, skirtas duomenų valdytojo atliekamiems duomenų tvarkytojo asmens duomenų tvarkymo auditams, įskaitant patikrinimams].
[PAVYZDYS NR. 1. „Duomenų tvarkytojas [nurodykite laikotarpį] [duomenų tvarkytojo/duomenų valdytojo] lėšomis gauna iš nepriklausomos duomenų valdytojo paskirtos trečiosios šalies [pasirinkti: auditoriaus ataskaitą; patikrinimo ataskaitą] apie tai, kaip duomenų tvarkytojas laikosi Reglamento (ES) 2016/679 reikalavimų, galiojančių Europos Sąjungos ar jos valstybės narės asmens duomenų apsaugos nuostatų ir Sutarties.
Šalys susitarė, kad atsižvelgiant į Sutartį, gali būti naudojami šie [pasirinkite: auditoriaus ataskaitos/ patikrinimo ataskaitos] tipai:
[Įrašykite patvirtintas auditoriaus ataskaitas/patikrinimo ataskaitas].
[Pasirinkite: auditoriaus ataskaita/patikrinimo ataskaita] nedelsiant turi būti pateikta susipažinimui duomenų valdytojui. Duomenų valdytojas gali užginčyti ataskaitos apimtį ir (arba) metodiką ir tokiais atvejais gali paprašyti atlikti naują [pasirinkite: auditą/patikrinimą] pagal pakeistą taikymo sritį ir (arba) kitokią metodiką.
Remdamasis tokio [pasirinkite: audito/patikrinimo] rezultatais, duomenų valdytojas gali paprašyti imtis papildomų priemonių, kad būtų užtikrinta atitiktis Reglamentui (ES) 2016/679, galiojančioms Europos Sąjungos ar jos valstybių narių asmens duomenų apsaugos nuostatoms ir Sutarčiai.
Be to, duomenų valdytojas arba duomenų valdytojo atstovas turi teisę patikrinti vietas, įskaitant atlikti jų fizinę apžiūrą, kuriose duomenų tvarkytojas tvarko asmens duomenis, įskaitant fizines priemones, taip pat sistemas, naudojamas ir susijusias su duomenų apdorojimu. Toks patikrinimas atliekamas tada, kai duomenų valdytojas mano, kad to reikia]“.
[PAVYZDYS NR. 2. „Duomenų valdytojas arba duomenų valdytojo atstovas [nurodykite laikotarpį] fiziškai patikrina tas vietas, kuriose duomenų tvarkytojas tvarko asmens duomenis, įskaitant fizines priemones, taip pat sistemas, naudojamas ir susijusias su duomenų apdorojimu, siekiant įsitikinti, ar duomenų tvarkytojas laikosi Reglamento (ES) 2016/679, galiojančių Europos Sąjungos ar jos valstybių narių asmens duomenų apsaugos nuostatų ir Sutarties.
Be suplanuoto patikrinimo, duomenų valdytojas gali atlikti duomenų tvarkytojo patikrinimą, kai duomenų valdytojas mano, kad to reikia“].
[Papildomai prie Pavyzdžio Nr. 2, jei taikoma, nurodykite: duomenų valdytojo išlaidas, susijusias su fizine apžiūra, apmoka duomenų valdytojas. Tačiau duomenų tvarkytojas privalo skirti išteklius, reikalingas duomenų valdytojui atlikti patikrinimą].
8. [Jei taikoma] Procedūros, skirtos pagalbinių duomenų tvarkytojų atliekamų asmens duomenų tvarkymo auditams, įskaitant patikrinimams
[Aprašykite procedūras, skirtas duomenų valdytojo atliekamiems pagalbinių duomenų tvarkytojų asmens duomenų tvarkymo auditams, įskaitant patikrinimams].
[PAVYZDYS NR. 1. Duomenų tvarkytojas [nurodykite laikotarpį] [pasirinkite: duomenų tvarkytojo/duomenų valdytojo] lėšomis gauna iš nepriklausomos duomenų valdytojo paskirtos trečiosios šalies [pasirinkite: auditoriaus ataskaitą/patikrinimo ataskaitą] apie tai, kaip duomenų tvarkytojas laikosi Reglamento (ES) 2016/679 reikalavimų, galiojančių Europos Sąjungos ar jos valstybės narės duomenų apsaugos nuostatų ir Sutarties.
Šalys susitarė, kad atsižvelgiant į Sutartį gali būti naudojami šie [pasirinkite: auditoriaus ataskaitos/patikrinimo ataskaitos] tipai:
[įrašykite patvirtintas auditoriaus ir (ar) patikrinimo ataskaitas]
[Pasirinkite: auditoriaus ataskaita/patikrinimo ataskaita] nedelsiant turi būti pateikta susipažinimui duomenų valdytojui. duomenų valdytojas gali užginčyti ataskaitos apimtį ir (arba) metodiką ir tokiais atvejais gali paprašyti atlikti naują [pasirinkite: auditą/patikrinimą] pagal pakeistą taikymo sritį ir (arba) kitokią metodiką.
Remdamasis tokio [pasirinkite: audito/patikrinimo] rezultatais, duomenų valdytojas gali paprašyti imtis papildomų priemonių, kad būtų užtikrinta atitiktis Reglamentui (ES) 2016/679 reikalavimams, galiojančių Europos Sąjungos ar jos valstybės narės duomenų apsaugos nuostatoms ir Sutarčiai.
Be to, duomenų tvarkytojas arba duomenų tvarkytojo atstovas turi teisę patikrinti vietas, įskaitant atlikti jų fizinę apžiūrą, kuriose pagalbinis duomenų tvarkytojas tvarko asmens duomenis, įskaitant fizines priemones, taip pat sistemas, naudojamas ir susijusias su duomenų apdorojimu. Toks patikrinimas atliekamas tada, kai duomenų tvarkytojas mano, kad to reikia.
Tokių patikrinimų dokumentai nedelsiant pateikiami duomenų valdytojui susipažinti. Duomenų valdytojas gali užginčyti ataskaitos apimtį ir (arba) metodiką ir tokiais atvejais gali paprašyti atlikti naują patikrinimą pagal pakeistą taikymo sritį ir (arba) kitokią metodiką].
[PAVYZDYS NR. 2. Duomenų tvarkytojas arba duomenų tvarkytojo atstovas [nurodykite laikotarpį] fiziškai patikrina tas vietas, kuriose pagalbinis duomenų tvarkytojas tvarko asmens duomenis, įskaitant fizines priemones, taip pat sistemas, naudojamas ir susijusias su duomenų apdorojimu, siekiant įsitikinti, ar pagalbinis duomenų tvarkytojas laikosi Reglamento (ES) 2016/679, galiojančių Europos Sąjungos ar jos valstybių narių duomenų apsaugos nuostatų ir Sutarties.
Be suplanuoto patikrinimo, duomenų tvarkytojas gali atlikti pagalbinio duomenų tvarkytojo patikrinimą, kai duomenų tvarkytojas mano, kad to reikia.
Tokių patikrinimų dokumentai nedelsiant pateikiami duomenų valdytojui susipažinti. Duomenų valdytojas gali užginčyti ataskaitos apimtį ir (arba) metodiką ir tokiais atvejais gali paprašyti atlikti naują patikrinimą pagal pakeistą taikymo sritį ir (arba) kitokią metodiką.
Remdamasis tokio patikrinimo rezultatais, duomenų valdytojas gali paprašyti imtis papildomų priemonių, kad būtų užtikrinta atitiktis Reglamentui (ES) 2016/679, galiojančioms Europos Sąjungos ar jos valstybių narių duomenų apsaugos nuostatoms ir Sutarčiai].
[Papildomai prie Pavyzdžio Nr. 2, jei taikoma, nurodykite: jei reikia, duomenų valdytojas gali nuspręsti inicijuoti ir dalyvauti fiziniame pagalbinio duomenų tvarkytojo patikrinime. Tai gali būti taikoma, jei duomenų valdytojas mano, kad duomenų tvarkytojas, prižiūrintis pagalbinį duomenų tvarkytoją, duomenų valdytojui nepateikė pakankamai dokumentų, kad būtų galima nustatyti, ar pagalbinis duomenų tvarkytojas atlieka duomenų tvarkymą pagal Sutartį.
Duomenų valdytojo dalyvavimas pagalbinio duomenų tvarkytojo patikrinime nekeičia fakto, kad nurodytam duomenų tvarkytojui ir toliau tenka visa atsakomybė už pagalbinio duomenų tvarkytojo atitiktį Reglamentui (ES) 2016/679, galiojančioms Europos Sąjungos ar jos valstybių narių duomenų apsaugos nuostatoms ir Sutarčiai].
[Papildomai prie Pavyzdžio Nr. 2, jei taikoma, nurodykite: Duomenų tvarkytojo ir pagalbinio duomenų tvarkytojo išlaidos, skirtos pagalbinio duomenų tvarkytojo fizinei priežiūrai/tikrinimui vietoje, neturi būti siejamos su duomenų valdytoju, neatsižvelgiant į tai, ar duomenų valdytojas inicijavo tokį patikrinimą ir dalyvavo jame.