ASMENS DUOMENŲ TVARKYMO SUTARTIS

Sudaryta tarp:

UAB „NOD Baltic“, juridinio asmens kodas 300121211, adresas Laivės pr. 3, Vilnius, Lietuva (toliau „Tvarkytojas”), kurią atstovauja Tomas Parnarauskas, ir

Jūs arba Jūsų atstovaujamas juridinis asmuo (toliau “Valdytojas”);

toliau kiekvienas atskirai yra vadinami „Šalimi“, o kartu – „Šalimis“. Šalys susitarė dėl toliau nurodytų sąlygų, kurios bus taikomos Tvarkytojui tvarkant Valdytojui priklausančius asmens duomenis.

DATA PROCESSING AGREEMENT

Concluded between:

LLC „NOD Baltic“, legal entity code 300121211, address Laivės ave. 3, Vilnius, Lithuania (hereinafter „Processor”), represented by Tomas Parnarauskas, and

You or Legal entity represented by you (hereinafter „Controller”),

hereinafter referred to individually as “Party” and together as “Parties”. Parties have agreed regarding hereinafter indicated provisions, that will be applicable for the Processor, while processing personal data, owned by Controller.

1. Taikymo sritis

Ši sutartis dėl asmens duomenų tvarkymo (toliau „Duomenų tvarkymo sutartis“ arba „DTS“) yra elektroninėmis priemonėmis Šalių sudarytos sutarties dėl OSOM CRM paslaugų (toliau „Sutartis“) priedas ir yra neatskiriama jos dalimi. Ši DTS nustato sąlygas, kurios taikomos Tvarkytojui, Valdytojo vardu tvarkant asmens duomenis.

1. Scope of application

This agreement regarding processing of personal data (hereinafter “Data Management Agreement” or “DTS”) is appendix of the contract regarding OSOM CRM services, concluded via electronically means (hereinafter „Contract“) and is an integral part of the Contract. This DTS sets the terms and conditions applicable to the Processor, while processing personal data on behalf of the Manager.

2. Asmens duomenų tvarkymas ir duomenų saugumas

Tvarkytojas asmens duomenis tvarko siekdamas įvykdyti tarp Šalių sudarytą Sutartį bei tinkamai įvykdyti Sutartyje numatytas pareigas. Duomenų tvarkymo veikla apima asmens duomenų tvarkymą Valdytojo duomenų bazėje.

Tvarkytojas įsipareigoja tvarkyti asmens duomenis tik pagal Valdytojo įtvirtintus rašytinius nurodymus.

Tvarkytojas užtikrina tinkamą asmens duomenų apsaugą pagal šią DTS su tikslu apsaugoti asmens duomenis nuo sunaikinimo, pakeitimo, neteisėto platinimo arba neteisėtos prieigos. Asmens duomenys taip pat saugomi nuo kitokio pobūdžio neteisėto tvarkymo.

Tvarkytojas asmens duomenis gali gauti iš Valdytojo valdomų duomenų bazių ir/arba tiesiogiai iš Valdytojo.

Tvarkytojas laikysis visų Valdytojo nurodymų, o taip pat laikysis geriausių rinkoje taikomų praktikų, įprastai taikomų apsisaugoti nuo neteisėto prisijungimo ar atskleidimo, pakeitimo, sunaikinimo ar praradimo.

Nebent Šalys susitartų kitaip, Tvarkytojas įgyvendins šias priemones:

(i) parinks duomenų pobūdį ir jų tvarkymo keliamos rizikos lygį atitinkančias technines ir organizacines asmens duomenų apsaugos priemones ir užtikrins nuolatinį bei nepertraukiamą jų veikimą;

(ii) užtikrins asmens duomenų konfidencialumą, vientisumą, atsparumą;

(iii) įgyvendins ir palaikys apsaugos kontrolės ir apsaugos priemones, reikalingas duomenų apsaugos teisės aktų reikalavimų atitikimui.

Tvarkytojas savavališkai ir be rašytinio Valdytojo sutikimo įsipareigoja nebandyti susipažinti ir įsipareigoja neleisti susipažinti jokiems tretiesiems asmenims su asmens duomenimis, su kuriais susipažinti jis neturi teisės ir kurie nėra reikalingi Sutartyje nurodytų paslaugų teikimui.

Tvarkytojas nedelsiant (ne vėliau nei kitą darbo dieną) įsipareigoja informuoti Valdytoją apie bet kokius duomenų subjektų, duomenų apsaugos institucijų ar kitų teisėsaugos ar priežiūros institucijų pasikreipimus, kuriuos Valdytojas turės teisę spręsti savo nuožiūra.

Tvarkytojas asmens duomenų tvarkymui gali pasitelkti trečiuosius asmenis tik gavęs išankstinį rašytinį Valdytojo sutikimą. Be Valdytojo išankstinio rašytinio sutikimo Tvarkytojas įsipareigoja neatskleisti pagal šią DTS tvarkomų asmens duomenų ar kitaip neleisti su jais susipažinti jokiai trečiajai šaliai.

Tvarkytojas užtikrina, kad visi su asmens duomenų tvarkymu susiję asmenys būtų įsipareigoję užtikrinti konfidencialumą arba, kad jiems būtų taikoma atitinkama įstatymais nustatyta konfidencialumo prievolė tiek Sutarties galiojimo metu, tiek jai pasibaigus.

Įsipareigojimas tvarkyti asmens duomenis pagal šį susitarimą gali būti vykdomas tik Europos Sąjungos (ES) valstybėje narėje arba Europos ekonominės erdvės (EEE) valstybėje narėje. Bet koks asmens duomenų perdavimas į šalį, kuri nėra ES ar EEE valstybė narė, gali būti vykdomas tik gavus Valdytojo išankstinį rašytinį sutikimą ir tik tuo atveju, jei yra įvykdytos specialios sąlygos, nurodytos taikomuose duomenų apsaugos teisės aktuose.

2. Procession and security of personal data

The Processor shall process personal data in order to fulfill the Contract concluded between the Parties and to perform the duties provided for in the Contract. The data processing activity includes the management of the personal data in the database of the Controller.

The Processor obligates to process personal data only according to the written instructions of the Controller.

The Processor ensures proper personal data protection under this DTS with the objective of protecting personal data from destruction, alteration, unauthorized disclosure or unauthorized access. Personal data is also protected against any other form of unlawful processing.

The Processor may obtain personal data from systems managed by the databases and / or directly from the Controller.

The Processor will comply with all the instructions of the Controller and will also adhere to the best practices in the market that are normally used to prevent unauthorized access or disclosure, alteration, destruction or loss.

Unless otherwise agreed by the Parties, the Processor will implement the following measures:

(i) will select the technical and organizational measures for the protection of personal data, corresponding to the nature of the data and the level of risk of their handling, and will ensure their continuous operation;

(ii) will ensure the confidentiality, integrity, and resistance of the personal data;

(iii) will implement and maintain the security control and protection measures required to meet with the requirements of data protection legislation.

The Processor, arbitrarily and without written permission of the Controller, undertakes not to seek access and undertakes to refuse access to any third parties with the personal data which he is not entitled to access and who are not required to provide the services specified in the Contract.

The Processor shall promptly (no later than the next working day) undertake to inform the Controller of any concerns of the data subjects, data protection authorities or other law enforcement or supervisory authorities, which the Controller will have the right to decide at his own discretion.

The Processor may use third parties for the processing of personal data only with the prior written consent of the Controller. In addition, without prior written consent of the Controller, the Processor undertakes not to disclose any personal data processed by this DTS or otherwise disclose data to any third party.

The Processor ensures that all persons involved in the processing of personal data are bound by the obligation of confidentiality or that they are subject to the relevant confidentiality obligation established by law both during and after the term of the Contract.

The obligation to process personal data under this agreement may only be carried out in a Member State of the European Union (EU) or in a Member State of the European Economic Area (EEA). Any transfer of personal data to a country which is not an EU or EEA Member State may only be carried out with the prior written consent of the Contoller and only if the specific conditions specified in the applicable data protection legislation are met.

3. Pareigos ir Atsakomybė

Valdytojas įsipareigoja asmens duomenis tvarkyti teisės aktų numatyta tvarka, tinkamai įgyvendinti duomenų subjektų teises, suteikti Tvarkytojui visą reikiamą informaciją, susijusią su asmens duomenų tvarkymu.

Tvarkytojas įsipareigoja pats ir įsipareigoja užtikrinti, kad jo darbuotojai, kiti duomenų tvarkytojai ir kiti paslaugų teikėjai (jeigu tokių būtų) įsipareigotų, tiek, kiek taikytina paslaugoms, kurias Tvarkytojas teikia pagal Sutartį:

(i) laikytis visų taikytinų duomenų apsaugos teisės aktų Europos Sąjungoje, Lietuvoje, o taip pat visų kitų teisės aktų taikytinų už Lietuvos ir Europos Sąjungos (jeigu duomenų tvarkymas yra atliekamas už Lietuvos ribų);

(ii) imtis tinkamų techninių ir organizacinių priemonių užkertant kelią neįgaliotam ir neteisėtam asmens duomenų, o taip pat atsitiktiniam asmens duomenų praradimui, pakeitimui, sunaikinimui ar pažeidimui;

(iii) užtikrinti tinkamą patalpų, kuriose saugomi asmens duomenys, saugumą.

Tvarkytojas įsipareigoja nenaudoti ir netvarkyti asmens duomenų jokiais kitais tikslais, išskyrus numatytus Sutartyje ir nesuteikti jokių teisių bei neparduoti, neatskleisti, nenaudoti, neperleisti ir bet kokiu kitu būdu nedisponuoti bei nenaudoti asmens duomenų be išankstinio rašytinio Valdytojo sutikimo.

Tvarkomi asmens duomenys yra ir išliks Valdytojo nuosavybe. Nebent taikytini teisės aktai numatytų kitaip, Tvarkytojas gražins, arba Valdytojo pasirinkimu, sunaikins (ir sunaikinimo atveju, per protingą laikotarpį patvirtins, kad toks sunaikinimas įvyko atsižvelgiant į duomenų saugos reikalavimus, nurodytus šioje DTS) asmens duomenis:

(i) Valdytojui pareikalavus;

(ii) pasibaigus Sutarčiai; arba

(iii) kai asmens duomenys Tvarkytojui yra nebereikalingi.

Šalis, dėl kurios kaltų veiksmų kita Šalis patiria žalą, privalo atlyginti kitai Šaliai jos patirtus tiesioginius nuostolius. Šalys susitaria, kad nė viena iš Šalių neatsako už netiesioginių nuostolių atlyginimą kitai Šaliai. Nė viena iš Šalių neatlygina kitos Šalies ir/ar trečiųjų asmenų (Šalies klientų, darbuotojų, konsultantų ir kt.) patirtos neturtinės žalos, išskyrus įstatymų nustatytais atvejais. Šalys susitaria, kad šiame punkte išdėstyti Šalių įsipareigojimai dėl atsakomybės ir nuostolių atlyginimo lieka galioti ir pasibaigus pagrindinei Sutarčiai ar šiai sutarčiai.

3. Obligations and Liabiliy

The Controller undertakes to process personal data in accordance with the procedure prescribed by law, to properly implement the rights of data subjects, to provide the Processor with all necessary information related to the processing of personal data.

The Processor commits himself and undertakes to ensure that his employees, other data processors and other service providers (if any) undertake to the extent applicable to the services provided by the Processor under the Contract:

(i) comply with all applicable data protection laws in the European Union, Lithuania, as well as all other legal acts applicable to Lithuania and the European Union (if data processing is carried out outside of Lithuania);

(ii) take appropriate technical and organizational measures to prevent the unauthorized and unlawful processing of the personal data, as well as the incidental loss, alteration, destruction or violation of personal data;

(iii) ensure the proper security of the premises where personal data is stored.

The Controller undertakes not to use and dispose of personal data for any other purposes, except for the ones provided for in the Agreement, and not to grant any rights and not to sell, not disclose, use, transmit, or otherwise operate and not use personal data without the prior written permission of the Controller‘s consent.

Personal data is and will remain the property of the Controller. Unless otherwise provided by applicable law, the Processor will return, or at the discretion of the Controller, destroy (and in the event of destruction, within a reasonable time, to confirm that such destruction has taken place in accordance with the data protection requirements specified in this DTS) personal data:

(i) at the request of the Controller;

(ii) upon expiry of the Contract; or

(iii) when the personal data is no longer required for the Processor.

The Party to the fault of the other party suffering damage shall be liable to compensate the other Party for direct losses incurred by it. The Parties agree that neither of the Parties is liable for indirect looses. None of the Parties shall compensate non-material damage suffered by the other Party and / or third parties (customer’s employees, employees, consultants, etc.), except in the cases provided for by law. The Parties agree that the Parties’ obligations in this paragraph regarding liability and indemnity shall continue to be in force at the end of the Contract or this agreement.

4. Duomenų saugumo pažeidimai ir pranešimas apie juos

Tvarkytojas nedelsdamas ir bet kuriuo atveju ne vėliau kaip per dvidešimt keturias (24) valandas nuo susižinojimo pateiks Valdytojui protingo išsamumo rašytinį pranešimą („Pranešimas apie pažeidimą“) apie:

(i) bet kokį praradimą asmens duomenų;

(ii) bet kokį neteisėtą prisijungimą prie asmens duomenų; ar

(iii) bet kokį trečiosios šalies pranešimą apie Tvarkytojo duomenų apsaugos įstatymų pažeidimą, susijusį su asmens duomenimis.

4. Breaches of data protection and notifications

The Processor shall promptly, and in any case, within twenty four (24) hours from the date of the communication, provide the Controller with a written completeness letter (“Notice of breach”) about:

(i) any loss of the personal data;

(ii) any unauthorized access to the personal data; or

(iii) any third-party notice of breach of law of the data Processor relating to the personal data.

5. Baigiamosios nuostatos

Šis susitarimas taikomas tol, kol Tvarkytojas tvarko asmens duomenis t. y. kol galioja Sutartis.

Šiai DTS taikoma Lietuvos Respublikos teisė.

Tuo atveju, jei tarp Šalių sudarytų kitų susitarimų nuostatos prieštarautų šiai DTS, pirmenybė yra teikiama DTS ir Šalių santykiams taikomos DTS nuostatos.

DTS sudaryta lietuvių-anglų kalbomis. Esant neatitikimų, pirmumas teikiamas tekstui lietuvių kalba.

Patvirtinant šią Sutartį sutinkate su joje išdėstytomis nuostatomis pilna apimtimi bei joms neprieštaraujate.

5. Final provisions

This Agreement applies as long as the Processor process personal data i. e. until the contract is in force.

The law of the Republic of Lithuania applies to this DTS.

In the event that the provisions of other agreements concluded between the Parties conflict with this DTS, the provisions of the DTS applicable to the relationship between the Parties shall prevail.

DTS is concluded in Lithuanian and English languages. In discrepancies of the texts, Lithuanian text shall prevail.

By approving this Agreement, you agree to the provisions set forth herein in full and do not object to them.