Duomenų tvarkymo sutartis

Versija 1.0 — Galioja nuo 2026 m. balandžio — Multiuniversal UAB, Vilnius, Lietuva

Ši DPA išversta iš geranoriškumo. Anglų kalbos versija yra teisiškai autoritetingas tekstas.

Ši Duomenų tvarkymo sutartis („DPA") yra paslaugų sutarties tarp Multiuniversal UAB („Tvarkytojas") ir kliento („Valdytojas") dalis. Ji automatiškai taikoma visoms paslaugoms, kuriose Multiuniversal tvarko asmens duomenis Valdytojo vardu.

Klausimams dėl šios DPA rašykite privacy@multiuniversal.com.

• Apibrėžimai
• Taikymo sritis ir vaidmenys
• Tvarkytojo įsipareigojimai
• Valdytojo įsipareigojimai
• Sub-tvarkytojai
• Saugumo priemonės
• Duomenų subjekto teisės
• Asmens duomenų pažeidimai
• Tarptautiniai perdavimai
• Audito teisės
• Galiojimas ir nutraukimas
• Taikoma teisė
• Tvarkymo tvarkaraštis

Apibrėžimai

Šioje DPA:

• „Valdytojas" reiškia klientą, kuris nustato asmens duomenų tvarkymo tikslus ir priemones.
• „Tvarkytojas" reiškia Multiuniversal UAB, veikiantį pagal Valdytojo nurodymus.
• „Asmens duomenys", „Duomenų subjektas", „Tvarkymas", „Priežiūros institucija" ir „Asmens duomenų pažeidimas" turi GDPR nurodytas reikšmes.
• „GDPR" reiškia Europos Parlamento ir Tarybos reglamentą (ES) 2016/679.
• „Paslaugos" reiškia Tvarkytojo teikiamas AI infrastruktūros, automatizavimo ar integracijos paslaugas.
• „Sub-tvarkytojas" reiškia bet kurią trečiąją šalį, kurią Tvarkytojas pasitelkia tvarkymo veikloms.

Taikymo sritis ir vaidmenys

Tvarkytojas teikia AI infrastruktūros paslaugas, kurios gali apimti asmens duomenų tvarkymą Valdytojo vardu. Šiame kontekste:

• Valdytojas atsako už teisinio pagrindo ir tvarkymo tikslo nustatymą.
• Tvarkytojas tvarko asmens duomenis tik pagal Valdytojo dokumentuotus nurodymus.
• Konkrečios kategorijos, tvarkymo pobūdis ir trukmė nustatomi Tvarkymo tvarkaraštyje.

Tvarkytojo įsipareigojimai

Tvarkytojas:

• Tvarko asmens duomenis tik pagal Valdytojo dokumentuotus nurodymus, nebent to reikalauja ES ar valstybės narės teisė.
• Užtikrina, kad asmenys, įgalioti tvarkyti duomenis, įsipareigoja laikytis konfidencialumo.
• Įgyvendina tinkamas technines ir organizacines saugumo priemones.
• Padeda Valdytojui vykdyti įsipareigojimus dėl duomenų subjektų užklausų.
• Padeda Valdytojui užtikrinti atitiktį GDPR 32–36 straipsniams.
• Valdytojo pasirinkimu ištrina ar grąžina visus asmens duomenis nutraukus Paslaugas.
• Pateikia visą būtiną informaciją atitikčiai šiai DPA įrodyti ir bendradarbiauja su auditais.
• Nedelsdamas informuoja Valdytoją, jei nurodymas pažeidžia GDPR.

Valdytojo įsipareigojimai

Valdytojas:

• Užtikrina, kad turi galiojantį teisinį pagrindą pagal GDPR 6 straipsnį visiems Tvarkytojui pateiktiems duomenims.
• Pateikia dokumentuotus tvarkymo nurodymus ir greitai informuoja apie pakeitimus.
• Užtikrina, kad duomenų subjektai informuoti pagal GDPR 13 ir 14 straipsnius.
• Neduoda nurodymų, pažeidžiančių taikomą teisę.

Sub-tvarkytojai

Tvarkytojas nepasitelkia sub-tvarkytojų be Valdytojo išankstinio raštiško sutikimo. Kai Valdytojas suteikia bendrą leidimą, Tvarkytojas informuoja apie planuojamus pakeitimus, suteikdamas 14 dienų prieštaravimui.

Bet kurį sub-tvarkytoją saisto duomenų apsaugos įsipareigojimai, lygiaverčiai šiai DPA. Tvarkytojas lieka visiškai atsakingas Valdytojui už sub-tvarkytojų veiklą.

Esamų patvirtintų sub-tvarkytojų sąrašas tvarkomas adresu privacy@multiuniversal.com. Pagal numatymą AI modelio inferencija atliekama Multiuniversal vidiniame infrastruktūroje.

Saugumo priemonės

Tvarkytojas įgyvendina rizikai atitinkančias technines ir organizacines priemones:

Priemonė	Įgyvendinimas
Šifravimas perduodant	TLS 1.2+ visam duomenų perdavimui
Šifravimas ramybėje	Šifruota duomenų bazių saugykla
Prieigos kontrolė	Pagal roles; mažiausių teisių principas; stipri autentifikacija
Duomenų mažinimas	Tvarkomi tik būtini duomenys
Vietinis AI tvarkymas	AI inferencija veikia Multiuniversal serveriuose — duomenys nepalieka aplinkos
Reagavimas į incidentus	Dokumentuotos pažeidimų aptikimo procedūros

Tvarkytojas periodiškai peržiūri ir atnaujina šias priemones.

Duomenų subjekto teisės

Atsižvelgdamas į tvarkymo pobūdį, Tvarkytojas padeda Valdytojui vykdyti įsipareigojimą atsakyti į duomenų subjektų užklausas pagal GDPR III skyrių.

Jei Tvarkytojas gauna duomenų subjekto užklausą tiesiogiai, jis greitai persiunčia ją Valdytojui ir neatsakinėja tiesiogiai be nurodymo.

Asmens duomenų pažeidimai

Tvarkytojas nedelsdamas — bet kuriuo atveju per 48 valandas — praneša Valdytojui apie sužinotą Asmens duomenų pažeidimą. Pranešimas apima:

• Pažeidimo pobūdžio aprašymą, įskaitant kategorijas ir paveiktų subjektų bei įrašų skaičių
• Duomenų apsaugos kontakto pavadinimą ir duomenis
• Tikėtinų pažeidimo pasekmių aprašymą
• Priemonių aprašymą

Tvarkytojas bendradarbiauja su Valdytoju mažinant pasekmes. Valdytojas atsakingas už pranešimus priežiūros institucijoms pagal GDPR 33 ir 34 straipsnius.

Tarptautiniai perdavimai

Tvarkytojo infrastruktūra ir personalas yra Lietuvoje, ES valstybėje narėje. Asmens duomenys pagal šią DPA pagal numatymą neperduodami už EEE ribų.

Jei konkreti paslauga reikalauja perdavimo į trečiąją šalį, Tvarkytojas iš anksto informuoja Valdytoją. Toks perdavimas vykdomas pagal GDPR V skyrių (Standartinės sutartinės sąlygos ar tinkamumo sprendimas).

Audito teisės

Tvarkytojas pateikia Valdytojui visą būtiną informaciją atitikčiai įrodyti. Valdytojas gali vykdyti auditus:

• Pateikęs ne mažiau kaip 14 dienų raštišką pranešimą
• Auditas vykdomas darbo valandomis netrikdant veiklos
• Auditorius saistomas konfidencialumo įsipareigojimų

Valdytojas padengia audito išlaidas, nebent auditas atskleidžia esminį Tvarkytojo pažeidimą.

Galiojimas ir nutraukimas

Ši DPA galioja paslaugų sutarties laikotarpiu. Nutraukus sutartį, Tvarkytojas per 30 dienų grąžina arba ištrina visus asmens duomenis. Tvarkytojas gali laikyti kopiją iki 3 metų ginčams, auditams ir teisiniams reikalavimams.

Kai saugojimas ilgiau nei 3 metus reikalaujamas ES ar valstybės narės teisės, Tvarkytojas informuoja Valdytoją.

Taikoma teisė

Ši DPA reglamentuojama Lietuvos Respublikos teise. Ginčai sprendžiami išimtine Vilniaus, Lietuvos teismų jurisdikcija.

Jei Valdytoją valdo kita ES valstybės narės teisė, niekas šioje DPA neriboja teisės pateikti skundą vietinei priežiūros institucijai.

Tvarkymo tvarkaraštis

Šis tvarkaraštis užpildomas kiekvienai paslaugai ir yra šios DPA dalis.

Valdytojo pavadinimas ir adresas	Užpildoma kiekvienai paslaugai
Paslaugų aprašymas	Užpildoma kiekvienai paslaugai
Tvarkymo tikslas	Užpildoma kiekvienai paslaugai
Asmens duomenų kategorijos	Užpildoma kiekvienai paslaugai
Duomenų subjektų kategorijos	Užpildoma kiekvienai paslaugai
Saugojimo laikotarpis	Užpildoma kiekvienai paslaugai
Patvirtinti sub-tvarkytojai	Pagal numatymą nėra; nurodoma, jei taikoma
Tarptautiniai perdavimai	Pagal numatymą nėra; mechanizmas nurodomas, jei taikoma

Norėdami užpildyto Tvarkymo tvarkaraščio, rašykite privacy@multiuniversal.com.