DUOMENŲ TVARKYMO PRIEDAS (DTP)

Paskutinį kartą atnaujinta: 2026 m. birželio 4 d.

Šis Duomenų tvarkymo priedas („DTP“) yra Pagrindinės paslaugų sutarties arba Paslaugų teikimo sąlygų („Sutartis“), sudarytos tarp „Serteo“ („Paslaugų teikėjas“) ir paslaugas užsisakančio subjekto („Klientas“), dalis.

1. SĄVOKOS IR TAIKYMAS

Taikymas: Šis DTP taikomas tik tiek, kiek Paslaugų teikėjas Kliento vardu tvarko Asmens duomenis, kuriems taikomi Taikomi duomenų apsaugos teisės aktai (BDAR, JK BDAR, Šveicarijos DPA, CCPA/CPRA ir kt.).

Šalių vaidmenys:

• Tvarkant Kliento asmens duomenis (duomenis, kuriuos Klientas įkelia į platformą), Klientas veikia kaip Duomenų valdytojas, o „Serteo“ – kaip Duomenų tvarkytojas.

• Tvarkant Paskyros duomenis (registracijos, atsiskaitymo, paskyros valdymo duomenis), „Serteo“ veikia kaip nepriklausomas Duomenų valdytojas ir tvarko juos pagal savo Privatumo politiką.

2. DUOMENŲ TVARKYMO NURODYMAI IR APIMTIS

Nurodymai: Paslaugų teikėjas tvarko Kliento asmens duomenis tik teisėtais Kliento nurodymais: (a) Paslaugoms teikti pagal Sutartį; (b) saugumo incidentų ir piktnaudžiavimo prevencijai; (c) teisinėms prievolėms vykdyti.

Teisėtumas: Klientas garantuoja, kad jo pateikti nurodymai ir renkami duomenys atitinka teisės aktus ir nepažeidžia duomenų subjektų teisių.

Trečiųjų šalių prašymai: Jei „Serteo“ gauna tiesioginį duomenų subjekto ar institucijos prašymą, susijusį su Kliento duomenimis, jis neatsako į jį pats (išskyrus teisinius įpareigojimus) ir nedelsdamas persiunčia Klientui.

3. PASITELKTI DUOMENŲ TVARKYTOJAI (SUB-PROCESSORS)

Bendrasis leidimas: Klientas suteikia bendrą leidimą „Serteo“ pasitelkti kitus duomenų tvarkytojus (sąrašas pateikiamas „Pasitelktų duomenų tvarkytojų puslapyje“).

Garantijos: „Serteo“ užtikrina, kad su pasitelktais tvarkytojais sudarytos sutartys numato ne mažesnę duomenų apsaugą nei šis DTP. „Serteo“ lieka visiškai atsakingas už jų veiksmus.

Keitimas ir prieštaravimai: Apie naujus duomenų tvarkytojus „Serteo“ praneša platformoje prieš 10 dienų. Klientas gali pareikšti prieštaravimą dėl pagrįstų duomenų apsaugos priežasčių per 30 dienų. Neradus sprendimo, Klientas turi teisę nutraukti Sutartį.

4. SAUGUMAS IR INCIDENTAI

Saugumo priemonės: „Serteo“ įsipareigoja taikyti ir palaikyti tinkamas technines ir organizacines priemones (šifravimą, prieigos kontrolę, konfidencialumo užtikrinimą), kurios detalizuojamos B priede.

Darbuotojai: Visi „Serteo“ darbuotojai ir rangovai, turintys prieigą prie duomenų, yra įsipareigoję laikytis griežto konfidencialumo.

Saugumo pažeidimai: Sužinojęs apie Kliento duomenų saugumo pažeidimą, „Serteo“ nepagrįstai nedelsdamas apie tai praneša Klientui ir pateikia visą reikalingą informaciją, kad Klientas galėtų įvykdyti savo pareigas priežiūros institucijoms.

5. AUDITAS IR PAGALBA

Pagalba: „Serteo“, atsižvelgdamas į duomenų tvarkymo pobūdį, padeda Klientui vykdyti prievoles, susijusias su duomenų subjektų teisių įgyvendinimu, poveikio vertinimais (DPIA) ir konsultacijomis su institucijomis (Kliento sąskaita).

Auditas: Klientas pirmiausia pasikliauja „Serteo“ teikiamomis audito ataskaitomis ar sertifikatais. Jei to nepakanka, Klientas (ar jo paskirtas nepriklausomas auditorius, kuris nėra „Serteo“ konkurentas) turi teisę kartą per metus, savo sąskaita ir iš anksto suderinus apimtį, atlikti „Serteo“ procesų auditą.

6. TARPTAUTINIS DUOMENŲ PERDAVIMAS

Perdavimo mechanizmas: Klientas sutinka, kad duomenys gali būti tvarkomi JAV ir kitose šalyse. Perdavimui į JAV šalys pirmiausia pasikliauja Duomenų privatumo sistema (Data Privacy Framework / DPF).

Standartinės sutarčių sąlygos (SSS): Jei DPF nustoja galioti arba netaikoma:

• Perdavimams iš EEE taikomos ES Standartinės sutarčių sąlygos (2021/914, II arba III modulis).

• Perdavimams iš JK taikomas JK Tarptautinis duomenų perdavimo priedas (UK Addendum).

• Perdavimams iš Šveicarijos taikomos Šveicarijos SSS adaptacijos.

Prevalavimas: Jei kyla konfliktas tarp šio DTP ir SSS nuostatų, viršenybę turi SSS.

7. JAV PRIVATUMO TEISĖS AKTŲ APRIBOJIMAI (CCPA/CPRA)

Tiek, kiek taikomi JAV privatumo įstatymai, „Serteo“ veikia kaip paslaugų teikėjas (angl. Service Provider) ir jam draudžiama: parduoti ar dalintis Kliento asmens duomenimis kryžminio elgesio reklamai, saugoti ar naudoti juos už tiesioginių verslo santykių ribų arba jungti juos su duomenimis iš kitų šaltinių, išskyrus įstatymų leidžiamas išimtis.

8. DUOMENŲ GRĄŽINIMAS IR IŠTRYNYMAS

Nutraukus Sutartį, „Serteo“ Kliento pasirinkimu saugiai ištrins arba grąžins visus Kliento asmens duomenis per 30 dienų, išskyrus atvejus, kai taikomi įstatymai reikalauja ilgesnio saugojimo (tokiu atveju duomenys yra visiškai izoliuojami).

9. BAIGIAMOSIOS NUOSTATOS

Konfliktas: Šio DTP sąlygos turi viršenybę prieš Sutartį ir Privatumo politiką, jei kyla prieštaravimų dėl duomenų tvarkymo.

Atsakomybės ribojimas: Bet kokioms pretenzijoms pagal šį DTP taikomi Sutartyje numatyti bendrieji atsakomybės apribojimai ir išimtys.

Griežtesnis standartas: Jei tarp taikomų privatumo įstatymų kyla konfliktas, šalys privalo laikytis griežtesnio standarto, kurį nustato Paslaugų teikėjas.

A PRIEDAS: Duomenų tvarkymo informacija

Tvarkymo pobūdis ir tikslas: „SaaS“ platformos paslaugų teikimas pagal Sutartį.

Duomenų kategorijos: Kliento vartotojų bei galutinių klientų kontaktai, tapatybės duomenys, naudojimosi platforma analitika ir kita informacija, kurią Klientas pateikia naudodamasis paslaugomis.

Duomenų subjektai: Kliento darbuotojai, atstovai, galutiniai vartotojai ir klientai.

B PRIEDAS: Techninės ir organizacinės priemonės

„Serteo“ įsipareigoja taikyti: duomenų šifravimą (perduodant (TLS) ir saugant (AES-256)), griežtą prieigos teisių valdymą (2FA), reguliarų atsarginių kopijų darymą, sistemų pažeidžiamumo testavimą ir darbuotojų kibernetinio saugumo mokymus.