Naudojimo sąlygų 3 PRIEDAS. Duomenų tvarkymo sutartis

Įsigalioja nuo 2025 m. lapkričio 26 d.

Ši Duomenų tvarkymo sutartis taikoma tarp Jūsų ir ESET, kai tvarkote asmens duomenis kaip duomenų valdytojas naudodamiesi ESET paslaugomis, teikiamomis pagal Sąlygas, o ESET tvarko tokius asmens duomenis Jūsų vardu kaip duomenų tvarkytojas.

Pagal 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB (BDAR), reikalavimus, ESET (Duomenų tvarkytojas) ir jūs (Duomenų valdytojas) sudaro duomenų tvarkymo sutartinius santykius, siekdami apibrėžti asmens duomenų tvarkymo sąlygas, jų apsaugos būdą, taip pat nustatyti kitas abiejų šalių teises ir pareigas tvarkant duomenų subjektų asmens duomenis Duomenų valdytojo vardu, įgyvendinant šių sąlygų, kaip pagrindinės sutarties, dalyką.

1. Asmens duomenų tvarkymas. Paslaugos, teikiamos laikantis šių sąlygų, apima informacijos, susijusios su identifikuotu arba identifikuojamu fiziniu asmeniu, Duomenų valdytojo vardu, kaip nurodyta Privatumo politikoje, tvarkymą (Asmens duomenys).

2. Įgaliojimas. Duomenų valdytojas įgalioja duomenų tvarkytoją tvarkyti asmens duomenis, įskaitant šiuos nurodymus:

i) Tvarkymo tikslas – Paslaugų teikimas laikantis šių sąlygų ir Dokumentų. Duomenų tvarkytojui leidžiama tvarkyti Asmens duomenis Duomenų valdytojo vardu tik dėl Duomenų valdytojo užsakytų Paslaugų teikimo. Visa papildomais tikslais surinkta informacija tvarkoma ne pagal duomenų valdytojo ir duomenų tvarkytojo sutartinius santykius.

ii) Tvarkymo laikotarpis – laikotarpis nuo bendradarbiavimo pagal šias Sąlygas pradžios iki jo nutraukimo.

iii) Asmens duomenų aprėptis ir kategorijos – bet kokie Asmens duomenys, kuriuos duomenų valdytojas pateikė arba pateikė teikiant Paslaugas. Paslaugos skirtos tik bendriems Asmens duomenims tvarkyti. Tačiau tik Duomenų valdytojas yra atsakingas už Asmens duomenų aprėpties nustatymą.

iv) Duomenų subjektas – fizinis asmuo, t. y. įgaliotas Duomenų valdytojo įrenginių naudotojas, kuriam teikiamos Paslaugos.

v) Duomenų tvarkymo veikla – visi duomenims tvarkyti būtini veiksmai.

vi) Dokumentais pagrįsti nurodymai – nurodymai, aprašyti šiose Sąlygose, jų Prieduose, Privatumo politikoje ir Dokumentuose. Duomenų valdytojas yra atsakingas už teisinį duomenų tvarkytojo atliekamo asmens duomenų tvarkymo priimtinumą, atsižvelgiant į atitinkamas taikytinas duomenų apsaugos teisės aktų nuostatas.

3. Duomenų tvarkytojo pareigos. Duomenų tvarkytojas privalo:

(i) tvarkyti Asmens duomenis tik remiantis Dokumentuotais nurodymais ir laikantis Tvarkymo tikslo;

ii) informuoti asmenis, įgaliotus tvarkyti Asmens duomenis (Įgaliotieji asmenys), apie jų teises ir pareigas pagal BDAR, apie jų atsakomybę pažeidimo atveju ir užtikrinti, kad įgaliotieji asmenys įsipareigotų laikytis konfidencialumo ir laikytųsi Dokumentuotų nurodymų;

iii) imtis visų priemonių, susijusių su duomenų tvarkymo saugumu, kaip reikalaujama pagal BDAR 32 straipsnį, atsižvelgiant į pažangą, įgyvendinimo išlaidas ir duomenų tvarkymo pobūdį, apimtį, kontekstą bei tikslus, taip pat į skirtingo tikimybės ir sunkumo pavojų fizinių asmenų teisėms ir laisvėms, siekiant užtikrinti duomenų valdytojo asmens duomenų tvarkymo saugumo lygį, atitinkantį riziką;

iv) atsižvelgiant į tvarkymo pobūdį, padėti Duomenų valdytojui atsakyti į Duomenų subjektų prašymus, susijusius su jų teisėmis. Be duomenų valdytojo nurodymo duomenų tvarkytojas netaiso, nepašalina ir neapriboja asmens duomenų tvarkymo. Visi duomenų subjekto prašymai, susiję su duomenų valdytojo vardu tvarkomais asmens duomenimis, nedelsiant persiunčiami duomenų valdytojui;

v) padėti duomenų valdytojui pranešti priežiūros institucijai ir duomenų subjektui apie asmens duomenų saugumo pažeidimą. Duomenų tvarkytojas nedelsdamas praneša duomenų valdytojui apie bet kokį asmens duomenų tvarkymo ar asmens duomenų saugumo pažeidimą. Duomenų tvarkytojas pagrįstai bendradarbiauja tiriant ir ištaisant tokį pažeidimą ir imasi pagrįstų priemonių tolesnėms neigiamoms pasekmėms apriboti;

vi) duomenų valdytojo pasirinkimu pašalinti arba grąžinti visus asmens duomenis duomenų valdytojui, pasibaigus duomenų tvarkymo laikotarpiui. Duomenų valdytojas įsipareigoja informuoti duomenų tvarkytoją apie savo sprendimą per dešimt (10) dienų nuo duomenų tvarkymo laikotarpio pabaigos. Ši nuostata neturi įtakos duomenų tvarkytojo teisei saugoti asmens duomenis tiek, kiek tai būtina archyvavimo tikslais viešojo intereso labui, mokslinių tyrimų tikslais, statistiniais tikslais arba siekiant pareikšti, vykdyti ar ginti teisinius reikalavimus;

vii) tvarkyti nuolat atnaujinamą visų kategorijų duomenų tvarkymo veiklos, vykdomos duomenų valdytojo vardu, registrą;

viii) pateikti duomenų valdytojui visą informaciją, reikalingą atitikčiai įrodyti, kaip sąlygų, jų priedų, Privatumo politikos ir Dokumentų dalį. Jei duomenų valdytojas atlieka asmens duomenų tvarkymo auditą ar kontrolę, duomenų valdytojas privalo raštu informuoti duomenų tvarkytoją ne vėliau kaip prieš trisdešimt (30) dienų iki planuojamo audito ar kontrolės.

4. Kito duomenų tvarkytojo įtraukimas. Duomenų tvarkytojas paprastai turi teisę pasitelkti kitą duomenų tvarkytoją konkrečiai duomenų tvarkymo veiklai vykdyti, pavyzdžiui, debesijos saugyklų ir paslaugų infrastruktūros teikimui, laikydamasis šių sąlygų, jų priedų, Privatumo politikos ir kitų taikytinų dokumentų. Tokiu atveju vienintelis kontaktinis asmuo ir šalis, atsakinga už reikalavimų laikymąsi, yra duomenų tvarkytojas. Duomenų tvarkytojas įsipareigoja informuoti duomenų valdytoją apie bet kokį kito duomenų tvarkytojo pridėjimą ar pakeitimą, kad būtų galima paprieštarauti tokiam pakeitimui. Šiuo metu dalyvaujantys subrangovai nurodomi Duomenų tvarkytojo privatumo politikoje.

5. Duomenų tvarkymo teritorija. Duomenų tvarkytojas užtikrina, kad duomenys būtų tvarkomi Europos ekonominėje erdvėje arba šalyje, kuri Europos Komisijos sprendimu, priimtu remiantis duomenų valdytojo sprendimu, pripažinta saugia. Standartinės sutarčių sąlygos taikomos tais atvejais, kai duomenys perduodami ir tvarkomi ne Europos ekonominėje erdvėje arba šalyje, kuri duomenų valdytojo prašymu Europos Komisijos sprendimu priskirta prie saugių šalių.

6. Sauga. Duomenų tvarkytojas yra sertifikuotas pagal ISO 27001 ir naudoja ISO 27001 sistemą, kad įgyvendintų daugiasluoksnės gynybos saugumo strategiją, taikydamas saugumo kontrolės priemones tinklo, operacinių sistemų, duomenų bazių, programų, personalo ir veiklos procesų lygmenimis. Norminių ir sutartinių reikalavimų laikymasis yra reguliariai vertinamas ir peržiūrimas panašiai kaip ir kita duomenų tvarkytojo infrastruktūra ir veikla, taip pat imamasi būtinų veiksmų, kad būtų užtikrinta nuolatinė atitiktis. Duomenų tvarkytojas organizavo duomenų saugumą naudodamas ISO 27001 pagrįstą ISMS. Saugumo dokumentai daugiausia apima politikos dokumentus, susijusius su informacijos saugumu, fiziniu saugumu, įrangos saugumu, incidentų valdymu, duomenų nutekėjimo ir saugumo incidentų valdymu ir kt.

7. Techninės ir organizacinės priemonės. Duomenų tvarkytojas saugo asmens duomenis nuo atsitiktinės ir neteisėtos žalos ir sunaikinimo, atsitiktinio praradimo, pakeitimo, neteisėtos prieigos ir atskleidimo. Šiuo tikslu duomenų tvarkytojas, laikydamasis BDAR reikalavimų, imasi tinkamų techninių ir organizacinių priemonių, atitinkančių duomenų tvarkymo būdą ir duomenų tvarkymo keliamą riziką duomenų subjektų teisėms. Išsamus techninių ir organizacinių priemonių aprašymas pateikiamas Saugumo politikoje.

8. Duomenų tvarkytojo kontaktinė informacija. Visi pranešimai, prašymai, reikalavimai ir kita informacija, susijusi su asmens duomenų apsauga, adresuojami ESET, spol. s.r.o.: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.