(a)

Šiomis standartinėmis sutarčių sąlygomis (toliau – sąlygos) siekiama užtikrinti, kad būtų laikomasi [pasirinkite tinkamą variantą: 1 VARIANTAS. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), 28 straipsnio 3 ir 4 dalių] / [2 VARIANTAS. 2018 m. spalio 23 d. Europos Parlamento ir Tarybos reglamento (ES) 2018/1725 dėl fizinių asmenų apsaugos Sąjungos institucijoms, organams, tarnyboms ir agentūroms tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinamas Reglamentas (EB) Nr. 45/2001 ir Sprendimas Nr. 1247/2002/EB, 29 straipsnio 3 ir 4 dalių].

(b)

I priede išvardyti duomenų valdytojai ir duomenų tvarkytojai sutiko su šiomis sąlygomis, kad būtų užtikrintas Reglamento (ES) 2016/679 28 straipsnio 3 ir 4 dalių ir Reglamento (ES) 2018/1725 29 straipsnio 3 ir 4 dalių laikymasis.

(c)

Šios sąlygos taikomos, kai asmens duomenys tvarkomi kaip nurodyta II priede.

(d)

I–IV priedai yra neatskiriama šių sąlygų dalis.

(e)

Šios sąlygos nedaro poveikio prievolėms, kurios duomenų valdytojui taikomos pagal Reglamentą (ES) 2016/679 ir (arba) Reglamentą (ES) 2018/1725.

(f)

Šiomis sąlygomis savaime neužtikrinamas prievolių, susijusių su tarptautiniu duomenų perdavimu pagal Reglamento (ES) 2016/679 ir (arba) Reglamento (ES) 2018/1725 V skyrių, vykdymas.

(a)

Šalys įsipareigoja nekeisti sąlygų, išskyrus priedų informacijos papildymą arba atnaujinimą.

(b)

Tai neužkerta kelio šalims įtraukti šiose sąlygose nustatytas standartines sutarčių sąlygas į platesnę sutartį arba įtraukti kitas sąlygas ar papildomas apsaugos priemones su sąlyga, kad jos tiesiogiai ar netiesiogiai neprieštarauja šioms sąlygoms ir nepažeidžia duomenų subjektų pagrindinių teisių ar laisvių.

(a)

Kai šiose sąlygose vartojamos atitinkamai Reglamente (ES) 2016/679 arba Reglamente (ES) 2018/1725 apibrėžtos sąvokos, tos sąvokos turi tokią pat reikšmę, kaip ir atitinkamame reglamente.

(b)

Šios sąlygos suprantamos ir aiškinamos atsižvelgiant į atitinkamai Reglamento (ES) 2016/679 arba Reglamento (ES) 2018/1725 nuostatas.

(c)

Šios sąlygos negali būti aiškinamos taip, kad prieštarautų atitinkamai Reglamente (ES) 2016/679 / Reglamente (ES) 2018/1725 numatytoms teisėms ir pareigomis arba pažeistų pagrindines duomenų subjektų teises ar laisves.

(a)

Bet kuris subjektas, kuris nėra šių sąlygų šalis, visų šalių susitarimu gali bet kada prisijungti prie šių sąlygų kaip duomenų valdytojas arba duomenų tvarkytojas, užpildydamas priedus ir pasirašydamas I priedą.

(b)

Užpildžius ir pasirašius a punkte nurodytus priedus, prisijungiantis subjektas laikomas šių sąlygų šalimi ir turi duomenų valdytojo arba duomenų tvarkytojo teises ir pareigas pagal tai, kuriai grupei jis priskiriamas I priede.

(c)

Prisijungiantis subjektas neturi jokių teisių ar pareigų, kylančių pagal šias sąlygas tuo laikotarpiu, kuriuo jis nebuvo šalimi.

(a)

Duomenų tvarkytojas tvarko asmens duomenis tik pagal duomenų valdytojo dokumentais įformintus nurodymus, nebent turi tai daryti pagal Sąjungos arba valstybės narės teisę, kuri yra taikoma duomenų tvarkytojui. Tokiu atveju duomenų tvarkytojas prieš pradėdamas tvarkyti duomenis praneša apie tokį teisinį reikalavimą duomenų valdytojui, nebent pagal tą teisę tai draudžiama dėl svarbių viešojo intereso priežasčių. Vėlesnius nurodymus duomenų valdytojas taip pat gali teikti per visą asmens duomenų tvarkymo laikotarpį. Šie nurodymai visada įforminami dokumentais.

(b)

Duomenų tvarkytojas nedelsdamas informuoja duomenų valdytoją, jei, duomenų tvarkytojo nuomone, duomenų valdytojo duoti nurodymai pažeidžia Reglamentą (ES) 2016/679 / Reglamentą (ES) 2018/1725 arba taikytinas Sąjungos ar valstybės narės duomenų apsaugos nuostatas.

(a)

Duomenų tvarkytojas įgyvendina bent III priede nurodytas technines ir organizacines priemones, kad užtikrintų asmens duomenų saugumą. Be kita ko, užtikrinama apsauga nuo saugumo pažeidimo, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami duomenys arba prie jų be leidimo gaunama prieiga (asmens duomenų saugumo pažeidimas). Vertindamos tinkamą saugumo lygį, šalys tinkamai atsižvelgia į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas, duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat duomenų subjektams kylančius pavojus.

(b)

Duomenų tvarkytojas suteikia prieigą prie tvarkomų asmens duomenų savo darbuotojams tik tiek, kiek tai būtina sutarčiai įgyvendinti, valdyti ir stebėti. Duomenų tvarkytojas užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikoma atitinkama teisės aktais nustatyta konfidencialumo prievolė.

(a)

Šalys gali įrodyti, kad laikosi šių sąlygų.

(b)

Duomenų tvarkytojas nedelsdamas ir tinkamai atsako į duomenų valdytojo užklausas, susijusias su duomenų tvarkymu pagal šias sąlygas.

(c)

Duomenų tvarkytojas pateikia duomenų valdytojui visą informaciją, būtiną siekiant įrodyti, kad vykdomos šiose sąlygose nustatytos ir tiesiogiai iš Reglamento (ES) 2016/679 ir (arba) Reglamento (ES) 2018/1725 kylančios prievolės. Duomenų valdytojo prašymu duomenų tvarkytojas taip pat leidžia bei padeda atlikti duomenų tvarkymo veiklos, kuriai taikomos šios sąlygos, auditą pagrįstais laiko tarpais arba jei yra nevykdymo požymių. Priimdamas sprendimą dėl peržiūros ar audito, duomenų valdytojas gali atsižvelgti į atitinkamus duomenų tvarkytojo turimus sertifikatus.

(d)

Duomenų valdytojas gali pats atlikti auditą arba įgalioti nepriklausomą auditorių. Auditas taip pat gali apimti patikrinimus duomenų tvarkytojo patalpose ar fiziniuose objektuose ir, jei tinkama, turi būti atliekamas iš anksto apie jį pranešus.

(e)

Kompetentingos priežiūros institucijos (-ų) prašymu šalys pateikia šiose sąlygose nurodytą informaciją, įskaitant bet kokio audito rezultatus.

(a)

1 VARIANTAS: KONKRETUS IŠANKSTINIS LEIDIMAS. Be išankstinio konkretaus duomenų valdytojo rašytinio leidimo duomenų tvarkytojas neperduoda jokios duomenų valdytojo vardu pagal šias sąlygas vykdomos duomenų tvarkymo veiklos pagalbiniam duomenų tvarkytojui. Duomenų tvarkytojas pateikia prašymą konkrečiam leidimui likus ne mažiau kaip [NURODYTI LAIKOTARPĮ] iki atitinkamo pagalbinio duomenų tvarkytojo pasitelkimo kartu su informacija, kuri būtina duomenų valdytojui, kad jis galėtų priimti sprendimą dėl leidimo. Duomenų valdytojo įgaliotų pagalbinių duomenų tvarkytojų sąrašas pateiktas IV priede. Šalys nuolat atnaujina IV priedą.

2 VARIANTAS: BENDRAS RAŠYTINIS LEIDIMAS. Duomenų tvarkytojas turi bendrą duomenų valdytojo leidimą pasitelkti pagalbinius duomenų tvarkytojus iš suderinto sąrašo. Duomenų tvarkytojas konkrečiai raštu informuoja duomenų valdytoją apie bet kokius numatomus to sąrašo pakeitimus įtraukiant ar pakeičiant pagalbinius duomenų tvarkytojus ne mažiau kaip prieš [NURODYTI LAIKOTARPĮ], taip suteikdamas duomenų valdytojui pakankamai laiko, kad jis galėtų prieštarauti tokiems pakeitimams iki atitinkamo (-ų) pagalbinio (-ių) duomenų tvarkytojo (-ų) pasitelkimo. Duomenų tvarkytojas pateikia duomenų valdytojui informaciją, būtiną tam, kad duomenų valdytojas galėtų pasinaudoti savo teise prieštarauti.

(b)

Kai duomenų tvarkytojas pasitelkia pagalbinį duomenų tvarkytoją konkrečiai duomenų tvarkymo veiklai vykdyti (duomenų valdytojo vardu), jis tai daro sudarydamas sutartį, kurioje numatomos iš esmės tokios pačios pagalbinio duomenų tvarkytojo duomenų apsaugos prievolės, kurių duomenų tvarkytojui privaloma laikytis pagal šias sąlygas. Duomenų tvarkytojas užtikrina, kad pagalbinis duomenų tvarkytojas laikytųsi įsipareigojimų, kurie duomenų tvarkytojui taikomi pagal šias sąlygas ir Reglamentą (ES) 2016/679 ir (arba) Reglamentą (ES) 2018/1725.

(c)

Duomenų valdytojo prašymu duomenų tvarkytojas pateikia duomenų valdytojui tokio susitarimo su pagalbiniu duomenų tvarkytoju ir visų vėlesnių jo pakeitimų kopiją. Tiek, kiek būtina verslo paslapčiai ar kitai konfidencialiai informacijai, įskaitant asmens duomenis, apsaugoti, duomenų tvarkytojas gali kupiūruoti susitarimo tekstą prieš pateikdamas jo kopiją.

(d)

Duomenų tvarkytojas lieka visiškai atsakingas duomenų valdytojui už pagalbinio duomenų tvarkytojo įsipareigojimų, nustatytų jo sutartyje su duomenų tvarkytoju, vykdymą. Duomenų tvarkytojas praneša duomenų valdytojui apie bet kokį pagalbinio duomenų tvarkytojo sutartinių įsipareigojimų nevykdymą.

(e)

Duomenų tvarkytojas suderina su pagalbiniu duomenų tvarkytoju trečiosios šalies naudos gavėjos sąlygą, pagal kurią tuo atveju, jei duomenų tvarkytojas faktiškai dingo arba nustojo teisiškai egzistuoti, arba tapo nemokus, duomenų valdytojas turi teisę nutraukti sutartį su pagalbiniu duomenų tvarkytoju ir nurodyti pagalbiniam duomenų tvarkytojui ištrinti arba grąžinti asmens duomenis.

(a)

Duomenų tvarkytojas bet kokį duomenų perdavimą į trečiąją valstybę ar tarptautinei organizacijai vykdo tik pagal duomenų valdytojo dokumentais įformintus nurodymus arba vykdydamas konkretų reikalavimą pagal Sąjungos ar valstybės narės teisę, kuri taikoma duomenų tvarkytojui, ir laikydamasis Reglamento (ES) 2016/679 arba Reglamento (ES) 2018/1725) V skyriaus.

(b)

Duomenų valdytojas sutinka, kad tais atvejais, kai duomenų tvarkytojas pagal 7.7 sąlygą pasitelkia pagalbinį duomenų tvarkytoją konkrečiai duomenų tvarkymo veiklai vykdyti (duomenų valdytojo vardu) ir ta duomenų tvarkymo veikla yra susijusi su asmens duomenų perdavimu pagal Reglamento (ES) 2016/679 V skyrių, duomenų tvarkytojas ir pagalbinis duomenų tvarkytojas gali užtikrinti Reglamento (ES) 2016/679 V skyriaus reikalavimų laikymąsi naudodami standartines sutarčių sąlygas, kurias Komisija priėmė pagal Reglamento (ES) 2016/679 46 straipsnio 2 dalį, jei vykdomos tų standartinių sutarčių sąlygų naudojimo sąlygos.

(a)

Duomenų tvarkytojas nedelsdamas praneša duomenų valdytojui apie bet kokį iš duomenų subjekto gautą prašymą. Jis pats į tokį prašymą neatsako, nebent duomenų valdytojas jam leido tai daryti.

(b)

Duomenų tvarkytojas padeda duomenų valdytojui vykdyti jo prievoles atsakyti į duomenų subjektų prašymus pasinaudoti savo teisėmis, atsižvelgdamas į duomenų tvarkymo pobūdį. Duomenų tvarkytojas, vykdydamas a ir b punktuose nustatytas prievoles, laikosi duomenų valdytojo nurodymų.

(c)

Be duomenų tvarkytojo pareigos padėti duomenų valdytojui pagal 8 sąlygos b punktą, duomenų tvarkytojas taip pat padeda duomenų valdytojui užtikrinti, kad būtų vykdomos toliau nurodytos prievolės, atsižvelgiant į duomenų tvarkymo pobūdį ir duomenų tvarkytojo turimą informaciją:

(d)

Šalys III priede nustato tinkamas technines ir organizacines priemones, kuriomis duomenų tvarkytojas privalo padėti duomenų valdytojui taikyti šią sąlygą, taip pat reikalingos pagalbos apimtį ir mastą.

(a)

nepagrįstai nedelsdamas po to, kai duomenų valdytojas sužino apie asmens duomenų saugumo pažeidimą, atitinkamais atvejais pranešti apie jį kompetentingai priežiūros institucijai (-oms) (išskyrus atvejus, kai asmens duomenų saugumo pažeidimas greičiausiai nekels pavojaus fizinių asmenų teisėms ir laisvėms);

(b)

gaudamas toliau nurodytą informaciją, kuri pagal [1 VARIANTAS] Reglamento (ES) 2016/679 33 straipsnio 3 dalį / [2 VARIANTAS] Reglamento (ES) 2018/1725 34 straipsnio 3 dalį nurodoma duomenų valdytojo pranešime ir turi apimti bent:

(c)

vykdydamas prievolę pagal [1 VARIANTAS] Reglamento (ES) 2016/679 34 straipsnį / [2 VARIANTAS] Reglamento (ES) 2018/1725 35 straipsnį nepagrįstai nedelsiant pranešti apie asmens duomenų saugumo pažeidimą duomenų subjektui, kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms.

(a)

pažeidimo pobūdžio aprašymas (jei įmanoma, nurodant atitinkamų duomenų subjektų ir duomenų įrašų kategorijas ir apytikslį skaičių);

(b)

kontaktinio asmens, kuris gali suteikti daugiau informacijos apie asmens duomenų saugumo pažeidimą, duomenys;

(c)

tikėtinos jo pasekmės ir priemonės, kurių imtasi arba siūloma imtis pažeidimui pašalinti, įskaitant galimo neigiamo jo poveikio mažinimą.

(a)

Nedarant poveikio jokioms Reglamento (ES) 2016/679 ir (arba) Reglamento (ES) 2018/1725 nuostatoms, tuo atveju, jei duomenų tvarkytojas pažeidžia savo įsipareigojimus pagal šias sąlygas, duomenų valdytojas gali nurodyti duomenų tvarkytojui sustabdyti asmens duomenų tvarkymą, kol pastarasis vėl laikysis šių sąlygų arba bus nutraukta sutartis. Duomenų tvarkytojas nedelsdamas informuoja duomenų valdytoją tuo atveju, jei dėl kokių nors priežasčių negali laikytis šių sąlygų.

(b)

Duomenų valdytojas turi teisę nutraukti sutartį tiek, kiek ji susijusi su asmens duomenų tvarkymu pagal šias sąlygas, jei:

(c)

Duomenų tvarkytojas turi teisę nutraukti sutartį tiek, kiek ji susijusi su asmens duomenų tvarkymu pagal šias sąlygas, jei informavus duomenų valdytoją, kad jo nurodymai pažeidžia taikytinus teisinius reikalavimus pagal 7.1 sąlygos b punktą, duomenų valdytojas toliau reikalauja laikytis nurodymų.

(d)

Nutraukus sutartį, duomenų tvarkytojas, remdamasis duomenų valdytojo pasirinkimu, ištrina visus duomenų valdytojo vardu tvarkomus asmens duomenis ir patvirtina duomenų valdytojui, kad tai padarė, arba grąžina visus asmens duomenis duomenų valdytojui ir ištrina esamas kopijas, nebent pagal Sąjungos arba valstybės narės teisę asmens duomenis reikalaujama saugoti. Kol duomenys neištrinami ar negrąžinami, duomenų tvarkytojas toliau užtikrina, kad būtų laikomasi šių sąlygų.

1.

Pavadinimas: …

Adresas: …

Kontaktinio asmens vardas ir pavardė, pareigos ir kontaktiniai duomenys: …

Parašas ir prisijungimo data: …

2.

1.

Pavadinimas: …

Adresas: …

Kontaktinio asmens vardas ir pavardė, pareigos ir kontaktiniai duomenys: …

Parašas ir prisijungimo data: …

2.

Pseudonimų suteikimo asmens duomenims ir jų šifravimo priemonės

Nuolatinio duomenų tvarkymo sistemų ir paslaugų konfidencialumo, vientisumo, prieinamumo ir atsparumo užtikrinimo priemonės

Priemonės, užtikrinančios gebėjimą laiku atkurti sąlygas ir galimybes naudotis asmens duomenimis fizinio ar techninio incidento atveju

Reguliaraus techninių ir organizacinių priemonių, kuriomis užtikrinamas duomenų tvarkymo saugumas, tikrinimo, vertinimo ir veiksmingumo vertinimo procesai

Naudotojo tapatybės nustatymo ir leidimo suteikimo priemonės

Duomenų apsaugos priemonės, taikomos perduodant duomenis

Duomenų apsaugos priemonės, taikomos saugant duomenis

Vietų, kuriose tvarkomi asmens duomenys, fizinio saugumo užtikrinimo priemonės

Priemonės, užtikrinančios įvykių registravimą

Sistemos konfigūracijos, įskaitant numatytąją konfigūraciją, užtikrinimo priemonės

IT ir IT saugumo vidaus valdymo ir administravimo priemonės

Procesų ir produktų sertifikavimo / užtikrinimo priemonės

Duomenų kiekio mažinimo užtikrinimo priemonės

Duomenų kokybės užtikrinimo priemonės

Riboto duomenų saugojimo užtikrinimo priemonės

Atskaitomybės užtikrinimo priemonės

Duomenų perkeliamumo ir ištrynimo užtikrinimo priemonės

1.

Pavadinimas: …

Adresas: …

Kontaktinio asmens vardas ir pavardė, pareigos ir kontaktiniai duomenys: …

Duomenų tvarkymo aprašymas (įskaitant aiškų atsakomybės atskyrimą, jei leidimas suteiktas keliems pagalbiniams duomenų tvarkytojams): …

2.

…