Ši Duomenų tvarkymo sutartis („DPA") yra paslaugų sutarties tarp Multiuniversal UAB („Tvarkytojas") ir kliento („Valdytojas") dalis. Ji automatiškai taikoma visoms paslaugoms, kuriose Multiuniversal tvarko asmens duomenis Valdytojo vardu.
Klausimams dėl šios DPA rašykite privacy@multiuniversal.com.
- Apibrėžimai
- Taikymo sritis ir vaidmenys
- Tvarkytojo įsipareigojimai
- Valdytojo įsipareigojimai
- Sub-tvarkytojai
- Saugumo priemonės
- Duomenų subjekto teisės
- Asmens duomenų pažeidimai
- Tarptautiniai perdavimai
- Audito teisės
- Galiojimas ir nutraukimas
- Taikoma teisė
- Tvarkymo tvarkaraštis
Apibrėžimai
Šioje DPA:
- „Valdytojas" reiškia klientą, kuris nustato asmens duomenų tvarkymo tikslus ir priemones.
- „Tvarkytojas" reiškia Multiuniversal UAB, veikiantį pagal Valdytojo nurodymus.
- „Asmens duomenys", „Duomenų subjektas", „Tvarkymas", „Priežiūros institucija" ir „Asmens duomenų pažeidimas" turi GDPR nurodytas reikšmes.
- „GDPR" reiškia Europos Parlamento ir Tarybos reglamentą (ES) 2016/679.
- „Paslaugos" reiškia Tvarkytojo teikiamas AI infrastruktūros, automatizavimo ar integracijos paslaugas.
- „Sub-tvarkytojas" reiškia bet kurią trečiąją šalį, kurią Tvarkytojas pasitelkia tvarkymo veikloms.
Taikymo sritis ir vaidmenys
Tvarkytojas teikia AI infrastruktūros paslaugas, kurios gali apimti asmens duomenų tvarkymą Valdytojo vardu. Šiame kontekste:
- Valdytojas atsako už teisinio pagrindo ir tvarkymo tikslo nustatymą.
- Tvarkytojas tvarko asmens duomenis tik pagal Valdytojo dokumentuotus nurodymus.
- Konkrečios kategorijos, tvarkymo pobūdis ir trukmė nustatomi Tvarkymo tvarkaraštyje.
Tvarkytojo įsipareigojimai
Tvarkytojas:
- Tvarko asmens duomenis tik pagal Valdytojo dokumentuotus nurodymus, nebent to reikalauja ES ar valstybės narės teisė.
- Užtikrina, kad asmenys, įgalioti tvarkyti duomenis, įsipareigoja laikytis konfidencialumo.
- Įgyvendina tinkamas technines ir organizacines saugumo priemones.
- Padeda Valdytojui vykdyti įsipareigojimus dėl duomenų subjektų užklausų.
- Padeda Valdytojui užtikrinti atitiktį GDPR 32–36 straipsniams.
- Valdytojo pasirinkimu ištrina ar grąžina visus asmens duomenis nutraukus Paslaugas.
- Pateikia visą būtiną informaciją atitikčiai šiai DPA įrodyti ir bendradarbiauja su auditais.
- Nedelsdamas informuoja Valdytoją, jei nurodymas pažeidžia GDPR.
Valdytojo įsipareigojimai
Valdytojas:
- Užtikrina, kad turi galiojantį teisinį pagrindą pagal GDPR 6 straipsnį visiems Tvarkytojui pateiktiems duomenims.
- Pateikia dokumentuotus tvarkymo nurodymus ir greitai informuoja apie pakeitimus.
- Užtikrina, kad duomenų subjektai informuoti pagal GDPR 13 ir 14 straipsnius.
- Neduoda nurodymų, pažeidžiančių taikomą teisę.
Sub-tvarkytojai
Tvarkytojas nepasitelkia sub-tvarkytojų be Valdytojo išankstinio raštiško sutikimo. Kai Valdytojas suteikia bendrą leidimą, Tvarkytojas informuoja apie planuojamus pakeitimus, suteikdamas 14 dienų prieštaravimui.
Bet kurį sub-tvarkytoją saisto duomenų apsaugos įsipareigojimai, lygiaverčiai šiai DPA. Tvarkytojas lieka visiškai atsakingas Valdytojui už sub-tvarkytojų veiklą.
Esamų patvirtintų sub-tvarkytojų sąrašas tvarkomas adresu privacy@multiuniversal.com. Jei AI modelio inferencija yra paslaugos teikimo dalis, susiję sub-tvarkytojai įtraukiami į tą patį sąrašą ir pranešami Valdytojui pagal 5.1 sąlygą.
Saugumo priemonės
Tvarkytojas įgyvendina rizikai atitinkančias technines ir organizacines priemones:
| Priemonė | Įgyvendinimas |
|---|---|
| Šifravimas perduodant | TLS 1.2+ visam duomenų perdavimui |
| Šifravimas ramybėje | Šifruota duomenų bazių saugykla |
| Prieigos kontrolė | Pagal roles; mažiausių teisių principas; stipri autentifikacija |
| Duomenų mažinimas | Tvarkomi tik būtini duomenys |
| AI tvarkymo kontrolės | AI inferencija vykdoma sutarties perimetro viduje; prieigos kontrolė ir registravimas suderinti su likusiu duomenų tvarkymo srautu |
| Reagavimas į incidentus | Dokumentuotos pažeidimų aptikimo procedūros |
Tvarkytojas periodiškai peržiūri ir atnaujina šias priemones.
Duomenų subjekto teisės
Atsižvelgdamas į tvarkymo pobūdį, Tvarkytojas padeda Valdytojui vykdyti įsipareigojimą atsakyti į duomenų subjektų užklausas pagal GDPR III skyrių.
Jei Tvarkytojas gauna duomenų subjekto užklausą tiesiogiai, jis greitai persiunčia ją Valdytojui ir neatsakinėja tiesiogiai be nurodymo.
Asmens duomenų pažeidimai
Tvarkytojas nedelsdamas — bet kuriuo atveju per 48 valandas — praneša Valdytojui apie sužinotą Asmens duomenų pažeidimą. Pranešimas apima:
- Pažeidimo pobūdžio aprašymą, įskaitant kategorijas ir paveiktų subjektų bei įrašų skaičių
- Duomenų apsaugos kontakto pavadinimą ir duomenis
- Tikėtinų pažeidimo pasekmių aprašymą
- Priemonių aprašymą
Tvarkytojas bendradarbiauja su Valdytoju mažinant pasekmes. Valdytojas atsakingas už pranešimus priežiūros institucijoms pagal GDPR 33 ir 34 straipsnius.
Tarptautiniai perdavimai
Tvarkytojo infrastruktūra ir personalas yra Lietuvoje, ES valstybėje narėje. Asmens duomenys pagal šią DPA pagal numatymą neperduodami už EEE ribų.
Jei konkreti paslauga reikalauja perdavimo į trečiąją šalį, Tvarkytojas iš anksto informuoja Valdytoją. Toks perdavimas vykdomas pagal GDPR V skyrių (Standartinės sutartinės sąlygos ar tinkamumo sprendimas).
Audito teisės
Tvarkytojas pateikia Valdytojui visą būtiną informaciją atitikčiai įrodyti. Valdytojas gali vykdyti auditus:
- Pateikęs ne mažiau kaip 14 dienų raštišką pranešimą
- Auditas vykdomas darbo valandomis netrikdant veiklos
- Auditorius saistomas konfidencialumo įsipareigojimų
Valdytojas padengia audito išlaidas, nebent auditas atskleidžia esminį Tvarkytojo pažeidimą.
Galiojimas ir nutraukimas
Ši DPA galioja paslaugų sutarties laikotarpiu. Nutraukus sutartį, Tvarkytojas per 30 dienų grąžina arba ištrina visus asmens duomenis. Tvarkytojas gali laikyti kopiją iki 3 metų ginčams, auditams ir teisiniams reikalavimams.
Kai saugojimas ilgiau nei 3 metus reikalaujamas ES ar valstybės narės teisės, Tvarkytojas informuoja Valdytoją.
Taikoma teisė
Ši DPA reglamentuojama Lietuvos Respublikos teise. Ginčai sprendžiami išimtine Vilniaus, Lietuvos teismų jurisdikcija.
Jei Valdytoją valdo kita ES valstybės narės teisė, niekas šioje DPA neriboja teisės pateikti skundą vietinei priežiūros institucijai.
Tvarkymo tvarkaraštis
Šis tvarkaraštis užpildomas kiekvienai paslaugai ir yra šios DPA dalis.
| Valdytojo pavadinimas ir adresas | Užpildoma kiekvienai paslaugai |
| Paslaugų aprašymas | Užpildoma kiekvienai paslaugai |
| Tvarkymo tikslas | Užpildoma kiekvienai paslaugai |
| Asmens duomenų kategorijos | Užpildoma kiekvienai paslaugai |
| Duomenų subjektų kategorijos | Užpildoma kiekvienai paslaugai |
| Saugojimo laikotarpis | Užpildoma kiekvienai paslaugai |
| Patvirtinti sub-tvarkytojai | Pagal numatymą nėra; nurodoma, jei taikoma |
| Tarptautiniai perdavimai | Pagal numatymą nėra; mechanizmas nurodomas, jei taikoma |
Norėdami užpildyto Tvarkymo tvarkaraščio, rašykite privacy@multiuniversal.com.