Ši asmens duomenų tvarkymo sutartis (toliau – Sutartis) yra neatskiriama Paslaugų teikėjo ir Paslaugų gavėjo Mokėjimo paslaugų sutarties dalis, kaip tai nurodyta Mokėjimo paslaugų sutarties specialiosiose sąlygose.
1. PREAMBULĖ
1.1. Šalys sudarė Mokėjimo paslaugų sutartį (toliau – Pagrindinė sutartis), pagal kurią, vykdydamos savo sutartinius įsipareigojimus, keičiasi informacija, kuri tam tikrais Pagrindinėje sutartyje numatytais atvejais apima Duomenų subjektų asmens duomenis. Šalys patvirtina, kad tuo atveju, kai viena Šalis atskleidžia kitai Šaliai Duomenų subjekto asmens duomenis, kiekviena Šalis atsako už tai, kad Duomenų subjekto asmens duomenys būtų tvarkomi pagal visus Šalies, kaip Duomenų valdytojo, taikomus teisės aktus, įskaitant, bet neapsiribojant, Lietuvos Respublikos asmens duomenų apsaugos įstatymą, Bendrąjį duomenų apsaugos reglamentą (toliau – BDAR).
1.2. Šalys patvirtina, kad Asmens duomenys bus naudojami tik tuo tikslu, kuriuo jie buvo perduoti, išskyrus atvejus, kai Šalis turi kitą teisėtą tikslą toliau tvarkyti Asmens duomenis ir laikosi Lietuvos Respublikos teisės aktų bei BDAR nuostatų.
1.3. Atsižvelgdamos į tai, kad Paslaugų teikėjas, vykdydamas Pagrindinėje sutartyje numatytus įsipareigojimus, gali ir (arba) pasitelks Duomenų tvarkytojus, Šalys susitaria, kad Asmens duomenys gali būti perduodami tik tiems Duomenų tvarkytojams, kurie nurodyti Priede Nr. 1 arba apie kuriuos Paslaugų gavėjas yra informuotas raštu ir aiškiai sutinka, kad Asmens duomenys būtų perduoti nurodytiems Duomenų tvarkytojams.
1.4. Šalys patvirtina, kad Paslaugų gavėjas ir Paslaugų teikėjas yra du atskiri ir nepriklausomi Duomenų subjektų duomenų valdytojai.
1.5. Šalys savanoriškai sudaro Asmens duomenų tvarkymo sutartį (toliau – Sutartis), kurioje nustatomos abiejų Šalių teisės ir pareigos, susijusios su asmens duomenų apsauga ir tvarkymu.
1.6. Ši Sutartis yra neatskiriama Pagrindinės sutarties dalis.
2. APIBRĖŽTYS
2.1. Asmens duomenys – bet kokia informacija, susijusi su fiziniu asmeniu, kurio tapatybė yra nustatyta arba gali būti nustatyta.
2.2. Asmens duomenų saugumo pažeidimas – situacija, kai atsitiktinai ar neteisėtai sunaikinami, prarandami, pakeičiami, neleistinai atskleidžiami, perduodami ar saugomi Asmens duomenys arba prie jų yra neleistinai prisijungiama.
2.3. Duomenų gavėjas – Duomenų valdytojas, kuris gauna asmens duomenis iš kito Duomenų valdytojo.
2.4. Duomenų subjektas – fizinis asmuo, kurio asmens duomenys tvarkomi pagal Pagrindinę sutartį ir šią Sutartį.
2.5. Tvarkymas – bet kokia automatinėmis ar neautomatinėmis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniu atliekama operacija ar operacijų seka, pavyzdžiui, rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, pritaikymas ar keitimas, paieška, naudojimas, atskleidimas, perdavimas, platinimas ar kitoks leidimas, įskaitant prieigą prie kitų duomenų, prieigos prie jų apribojimą, ištrynimą ar sunaikinimą.
2.6. Duomenų valdytojas – juridinis asmuo, kuris nustato Asmens duomenų tvarkymo tikslus ir priemones.
2.7. Duomenų tvarkytojas – fizinis ar juridinis asmuo, kuris tvarko asmens duomenis Duomenų valdytojo vardu ir pagal Duomenų valdytojo nurodymus.
2.8. Paslaugos – visos paslaugos, kurias Paslaugų teikėjas teikia Paslaugų gavėjui pagal Pagrindinę sutartį.
2.9. Kitos šioje Sutartyje vartojamos sąvokos suprantamos taip, kaip jos yra apibrėžtos BDAR ir kituose Europos Sąjungos teisės aktuose.
3. SUTARTIES OBJEKTAS
3.1. Šia Sutartimi Šalys susitaria teikti Priede Nr. 1 nurodytus Asmens duomenis Pagrindinės sutarties įgyvendinimo tikslais, taip pat bet kokiu kitu teisėtu tikslu toliau tvarkyti Asmens duomenis laikantis galiojančių teisės aktų.
4. ŠALIŲ ĮSIPAREIGOJIMAI
4.1. Kiekvienas Duomenų valdytojas garantuoja ir pareiškia, kad:
4.1.1. Asmens duomenys renkami ir tvarkomi pagal BDAR nuostatas;
4.1.2. Duomenų subjektams paprašius, pateikia informaciją apie Asmens duomenų tvarkymą, įskaitant jų perdavimą;
4.1.3. taiko tinkamas technines ir organizacines priemones, kad būtų užtikrintas Asmens duomenų saugumas ir Duomenų subjektų teisių apsauga;
4.1.4. tvarko Asmens duomenis, nurodytus Priede Nr. 1, ne ilgiau, nei to reikia Asmens duomenų tvarkymo tikslui pasiekti;
4.1.5. tinkamai informuoja Duomenų subjektus apie Duomenų valdytojo vykdomą Asmens duomenų perdavimą kitam Duomenų valdytojui;
4.1.6. užtikrina, kad jo darbuotojai, paslaugų teikėjai ir duomenų tvarkytojai, tvarkantys Asmens duomenis, ya supažindinti su jų pareiga saugoti Asmens duomenis;
4.1.7. nedelsdamas raštu informuoti kitą Šalį apie galimą Asmens duomenų saugumo pažeidimą.
5. ŠALIŲ ATSAKOMYBĖ
5.1. Kiekviena Šalis savo įsipareigojimus pagal šią Sutartį vykdo savo sąskaita ir atsako už šių įsipareigojimų netinkamą vykdymą ir (arba) nevykdymą.
5.2. Kiekviena Šalis atsako kitai Šaliai už tiesioginius nuostolius, patirtus dėl šios Sutarties pažeidimo dėl jos kaltės, kaip tai numatyta Pagrindinėje sutartyje. Kiekviena Šalis tiesiogiai atsako Duomenų subjektams už bet kokią žalą, atsiradusią dėl bet kokio Duomenų subjektų teisių pažeidimo.
5.3. Kilus ginčui su Duomenų subjektu, Lietuvos Respublikos duomenų apsaugos inspekcija, viena ar abiem Šalimis dėl Asmens duomenų tvarkymo, Šalys informuos viena kitą apie bet kokius ginčus ar pretenzijas ir bendradarbiaus, kad jie būtų išspręsti taikiai ir laiku.
6. NUTRAUKIMAS
6.1. Jei vienas iš Duomenų valdytojų netinkamai vykdo ar pažeidžia savo įsipareigojimus pagal šią Sutartį ar taikytinus teisės aktus, kitas Duomenų valdytojas gali sustabdyti Asmens duomenų teikimą kitai Šaliai, kol toks pažeidimas bus ištaisytas arba Sutartis bus nutraukta. Jei konkretus pažeidimas neištaisomas per pagrįstą laiką, pirmoji Šalis turi teisę vienašališkai nutraukti Sutartį pagal šios Sutarties 6.3 punktą.
6.2. Kiekvienas Duomenų valdytojas yra atsakingas už asmens duomenų konfidencialumą ir saugumą nuo jų gavimo momento. Tais atvejais, kai nustatoma grėsmė arba kyla pagrįstų įtarimų dėl grėsmės asmens duomenų konfidencialumui ir (arba) jei asmens duomenis gaunanti Šalis neužtikrina tinkamos teikiamų asmens duomenų apsaugos, asmens duomenis teikianti Šalis apie tai informuoja asmens duomenis gaunančią Šalį ir turi teisę laikinai sustabdyti asmens duomenų teikimą. Kiekvienas Duomenų valdytojas prisiima visą atsakomybę už savo duomenų tvarkytojus ir jų pagalbinius duomenų tvarkytojus.
6.3. Tuo atveju, jei gaunančioji Šalis iš esmės ar nuolat pažeidžia savo įsipareigojimus pagal šią Sutartį arba jei gaunančioji Šalis bankrutuoja ar yra likviduojama. Teikiančioji Šalis turi teisę nutraukti šią Sutartį, nepažeisdama kitų teisių, kurias ji gali turėti gaunančiosios Šalies atžvilgiu.
6.4. Jei ši Sutartis nutraukiama, kiekviena Šalis gali tvarkyti arba sunaikinti gautus Asmens duomenis (išskyrus atvejus, kai ji turi teisę toliau juos tvarkyti) pagal galiojančius teisės aktus ir laikydamasi savo, kaip Duomenų valdytojo, įsipareigojimų. Jei yra kitas Asmens duomenų tvarkymo tikslas, Šalis gali toliau tvarkyti Asmens duomenis šiuo tikslu pagal Europos Sąjungos ir Lietuvos Respublikos teisės aktus.
7. BAIGIAMOSIOS NUOSTATOS
7.1. Šiai Sutarčiai taikomi ir ji aiškinama pagal Lietuvos Respublikos įstatymus.
7.2. Nė viena Šalis negali perleisti savo teisių ir įsipareigojimų pagal šią Sutartį jokiai trečiajai šaliai be kitos Šalies sutikimo. Šis reikalavimas netaikomas Duomenų tvarkytojų pasitelkimui.
7.3. Ši sutartis yra neatskiriama Pagrindinės sutarties dalis. Pasirašydamas Pagrindinės sutarties specialiąsias sąlygas, Paslaugų gavėjas patvirtina, kad perskaitė šią Sutartį, ją suprato ir su ja sutinka.
PRIEDAS NR. 1 „DUOMENŲ TEIKIMO INFORMACIJA“ PRIE ASMENS DUOMENŲ TVARKYMO SUTARTIES
Šalys pasirašo šį Priedą Nr. 1 (toliau – Priedas), siekdamos patikslinti duomenų teikimą, kaip nurodyta Asmens duomenų tvarkymo sutartyje (toliau – Sutartis) Priede vartojamos sąvokos atitinka Pagrindinėje sutartyje ir Sutartyje vartojamas apibrėžtis.
1. DUOMENŲ TEIKIMO TIKSLAS
1.1. Duomenys gali būti tvarkomi šalių pasirašytos Pagrindinės sutarties vykdymo tikslais, vykdant teisės aktuose nustatytas pareigas, susijusias su joje nurodytų paslaugų teikimu, taip pat dėl Paslaugų teikėjo teisėtų interesų, susijusių su skolų išieškojimu.
2. DUOMENŲ PATEIKIMO IR GAVIMO TEISINIS PAGRINDAS
2.1. Duomenys tvarkomi vadovaujantis Lietuvos Respublikos įstatymais, Pagrindine sutartimi ir Bendruoju duomenų apsaugos reglamentu (6 straipsnio 1 dalies b, c, f punktai).
3. DUOMENŲ SUBJEKTŲ KATEGORIJOS
3.1. Duomenų subjektų kategorijos yra Paslaugų gavėjo klientai (Mokėtojai) ir Šalių ir (arba) Duomenų tvarkytojų darbuotojai ir (arba) Duomenų tvarkytojų atstovai.
4. DUOMENŲ KATEGORIJOS
4.1. Pagrindinės sutarties vykdymo tikslais (mokėjimo paslaugos, skolų išieškojimas) Šalys saugiai teikia viena kitai:
4.1.1. Paslaugų gavėjas mokėjimo paslaugų teikimo tikslais gali pateikti Paslaugų teikėjui šiuos duomenis:
4.1.1.1. Unikalų mokėjimo operacijos identifikacinį numerį, kurį suteikia Paslaugų gavėjas;
4.1.1.2. Mokėtojo mokėtiną sumą;
4.1.1.3. Mokėtojo mokėjimo valiutą;
4.1.1.4. Mokėtojo atlikto mokėjimo gavėją;
4.1.1.5. Mokėtojo atlikto mokėjimo gavėjo IBAN sąskaitos numerį;
4.1.1.6. Mokėtojo atliekamo mokėjimo paskirtį;
4.1.1.7. Mokėtojo pasirinktos mokėjimo įstaigos BIC / Mokėtojo pasirinktą mokėjimo įstaigą;
4.1.1.8. Mokėtojo asmens kodą;
4.1.1.9. Mokėtojo el. pašto adresą.
4.1.1.10. Pirmuosius 6 (šeši) ir paskutinius 4 (keturi) kortelės numerio skaitmenis (tik PCOV paslaugai)
4.1.1.11. Kitus duomenys, susijusius su konkretaus Mokėtojo mokėjimo operacija.
4.1.2. Paslaugų teikėjas mokėjimo paslaugų teikimo tikslais gali teikti Paslaugų gavėjui šiuos duomenis:
4.1.2.1. Mokėtojo vardą, pavardę;
4.1.2.2. Mokėtojo mokėjimo statusą, datą ir laiką;
4.1.2.3. Paslaugų gavėjo suteiktą unikalų mokėjimo operacijos identifikavimo numerį;
4.1.2.4. Mokėtojo mokėtiną sumą;
4.1.2.5. Mokėtojo mokėjimo valiutą;
4.1.2.6. Mokėtojo atlikto mokėjimo gavėją;
4.1.2.7. Mokėtojo atlikto mokėjimo gavėjo IBAN sąskaitos numerį;
4.1.2.8. Mokėtojo atliekamo mokėjimo paskirtį;
4.1.2.9. Mokėtojo pasirinktos mokėjimo įstaigos BIC / Mokėtojo pasirinktą mokėjimo įstaigą;
4.1.2.10. Kitus su Mokėtoju / Mokėtojo mokėjimu susijusius duomenis. 4.2. Siekdamos nustatyti asmenį, turintį teisę atstovauti Šaliai, jos vardu vykdyti Šalių sudarytus rašytinius susitarimus, atlikti kitas su Pagrindinės sutarties vykdymu susijusias funkcijas, naudotis Pagrindinėje sutartyje numatytomis teisėmis, Šalys teikia viena kitai šiuos duomenis:
4.2.1. Šalių ir (arba) Duomenų tvarkytojų darbuotojų ir (arba) Duomenų tvarkytojų atstovų pareigas, vardą, pavardę;
4.2.2. Šalių darbuotojų ir (arba) Duomenų tvarkytojų ir (arba) Duomenų tvarkytojų atstovų telefono numerį, el. pašto adresą.
4.2.3. Šalys aiškiai susitaria, kad jos tinkamai informavo savo darbuotojus, Duomenų valdytojų atstovus apie jų asmens duomenų perdavimą kitai Šaliai Pagrindinės sutarties vykdymo tikslais.
5. DUOMENŲ SAUGOJIMO LAIKOTARPIS
5.1. Kiekviena Šalis, veikdama kaip nepriklausomas Duomenų valdytojas, saugo asmens duomenis tik tiek laiko, kiek tai yra būtina atitinkamiems jų tikslams pagal Pagrindinę sutartį įgyvendinti laikantis galiojančių įstatymų.
5.2. Nutraukus Pagrindinę sutartį arba pasibaigus jos galiojimo terminui, kiekviena Šalis ištrina arba padaro anonimiškais savo kontroliuojamus asmens duomenis, nebent tolesnis jų saugojimas yra privalomas pagal galiojančius įstatymus arba yra būtinas teisiniams reikalavimams įgyvendinti ar apginti.
6. DUOMENŲ TEIKIMO TVARKA
6.1. Šalys perduoda duomenis automatiškai, naudodamos saugias programinės įrangos sąsajas arba elektroniniu paštu, šifruodamos siunčiamą korespondenciją.
7. PASLAUGŲ TEIKĖJO DUOMENŲ TVARKYTOJŲ SĄRAŠAS
7.1. Šalys susitaria, kad Paslaugų teikėjo vardu asmens duomenis gali tvarkyti šie Duomenų tvarkytojai:
7.1.1. Individuali įmonė „Hosty“ pagal paslaugų teikimo sutartį administruoja ir prižiūri Paslaugų teikėjo naudojamą serverį;
7.1.2. Uždaroji akcinė bendrovė „BankingLab“ teikia HSM paslaugą pagal paslaugų sutartį;
7.1.3. Uždaroji akcinė bendrovė „Klavakrapštis“ pagal paslaugų teikimo sutartį teikia mokėjimo paslaugų programavimo ir stebėsenos paslaugas.
7.2. Šalys susitaria, kad Paslaugų teikėjas privalo iš anksto raštu informuoti Paslaugų gavėją apie bet kokius Duomenų tvarkytojų sąrašo pasikeitimus.
