Duomenų tvarkymo sutartis
Sudaryta pagal BDAR 28 str. 3 d. Ji yra neatskiriama Paslaugų teikimo sąlygų dalis ir automatiškai taikoma kiekvienam WorkAist Cloud klientui.
Galioja nuo: 2026-07-10
Šis dokumentas skelbiamas keliomis kalbomis. Esant neatitikimams, teisiškai įpareigojanti yra anglų kalbos versija.
1. Šalys ir vaidmenys
Ši Duomenų tvarkymo sutartis (toliau — „DTS“) sudaroma tarp WorkAist paskyroje nurodyto kliento (toliau — „Duomenų valdytojas“) ir ILIN & SADOVENKO, LDA, Rua de Xabregas, nº 2, Escritório 3.21, 1900-440 Lisboa, Portugal, NIF 517251876 (toliau — „Duomenų tvarkytojas“).
Kalbant apie WorkAist Cloud tvarkomus Kliento duomenis, Duomenų valdytojas nustato tvarkymo tikslus ir priemones, o Duomenų tvarkytojas duomenis tvarko Duomenų valdytojo vardu. Jei Duomenų valdytojas pats yra duomenų tvarkytojas trečiajai šaliai, jis garantuoja, kad turi įgaliojimus sudaryti šią DTS ir kad jo teikiami nurodymai atitinka tos trečiosios šalies nurodymus.
Ši DTS netaikoma WorkAist Self-Hosted, kai Kliento duomenys nepasiekia Duomenų tvarkytojo sistemų, taip pat duomenims, kurių atžvilgiu Duomenų tvarkytojas pats yra duomenų valdytojas — tokius duomenis reglamentuoja Privatumo politika.
2. Pirmenybės tvarka
Jei ši DTS prieštarauja Paslaugų teikimo sąlygoms, duomenų apsaugos klausimais pirmenybę turi ši DTS. Jei ji prieštarauja individualiai suderintai užsakymo formai ar pasirašytai duomenų tvarkymo sutarčiai, pirmenybę turi tas dokumentas.
3. Dalykas, trukmė, pobūdis ir tikslas
Dalykas — WorkAist Cloud teikimas. Tvarkymo pobūdis ir tikslas — Kliento duomenų talpinimas, saugojimas, perdavimas ir automatizuotas tvarkymas, kad galėtų veikti Duomenų valdytojo sukonfigūruoti agentai, Connectors ir procesai, kartu su Paslaugai teikti būtina palaikymo, saugumo, matavimo ir apmokestinimo veikla.
Tvarkymas trunka tiek, kiek galioja Duomenų valdytojo sutartis dėl WorkAist Cloud, pridėjus 11 punkte nurodytus ištrynimo terminus.
4. Duomenų subjektų ir asmens duomenų kategorijos
Duomenų valdytojas pats sprendžia, ką įkelia. Paprastai tvarkymas apima:
| Duomenų subjektų kategorijos | Asmens duomenų kategorijos |
|---|---|
| Duomenų valdytojo darbuotojai ir įgalioti naudotojai | Vardas, pavardė, darbinis el. paštas, pareigos, autentifikavimo duomenys, audito žurnalo įrašai |
| Duomenų valdytojo klientai, potencialūs klientai ir kontaktai | Vardas, pavardė, el. paštas, telefono numeris, įmonė, susirašinėjimas, CRM įrašai, bet koks identifikatorius, kurį Duomenų valdytojas pasirenka sinchronizuoti |
| Duomenų valdytojo tiekėjai ir partneriai | Kontaktiniai duomenys, sutarčių ir sąskaitų faktūrų duomenys |
| Bet kuris duomenų subjektas, minimas Duomenų valdytojo tvarkomuose dokumentuose ar pranešimuose | Bet kokie asmens duomenys, esantys failuose, el. laiškuose, nuorašuose, vaizduose ar pranešimuose, kuriuos Duomenų valdytojas pateikia Paslaugai |
Specialių kategorijų asmens duomenys pagal BDAR 9 str. bei asmens duomenys, susiję su apkaltinamaisiais nuosprendžiais ir nusikalstamomis veikomis pagal BDAR 10 str., Paslaugoje negali būti tvarkomi, nebent šalys iš anksto raštu susitarė dėl papildomų apsaugos priemonių.
Duomenų kilmė
Kliento duomenys patenka į Paslaugą todėl, kad Duomenų valdytojas prijungia išorines sistemas, įkelia failus arba paveda savo agentams juos gauti. Šiuos šaltinius renkasi ir tai, kas importuojama, nustato tik pats Duomenų valdytojas.
Duomenų valdytojas garantuoja, kad turi teisinį pagrindą pagal BDAR 6 str. — o kai taikoma, ir pagal 9 str. — rinkti šiuos asmens duomenis ir juos perduoti Duomenų tvarkytojui, bei kad šaltinio sistemoje yra visi reikalingi informavimo pranešimai ar sutikimai. Duomenų tvarkytojas neturi prieigos prie Duomenų valdytojo šaltinio sistemų, jų nepasirenka ir netikrina bei negali patikrinti, ar jos atitinka duomenų apsaugos teisės aktus. Tai nustatyti yra Duomenų valdytojo, kaip duomenų valdytojo, pareiga.
5. Tvarkymas pagal dokumentuotus nurodymus
Duomenų tvarkytojas Kliento duomenis tvarko tik pagal Duomenų valdytojo dokumentuotus nurodymus, įskaitant nurodymus dėl perdavimo į trečiąsias valstybes, nebent tai daryti kitaip jį įpareigoja Sąjungos ar valstybės narės teisė, kuri jam taikoma. Tokiu atveju Duomenų tvarkytojas prieš pradėdamas tvarkymą informuoja Duomenų valdytoją apie šį teisinį reikalavimą, nebent tai draudžiama dėl svarbių viešojo intereso priežasčių.
Paslaugų teikimo sąlygos, ši DTS bei Duomenų valdytojo atliekamas Paslaugos konfigūravimas ir naudojimas sudaro visus Duomenų valdytojo dokumentuotus nurodymus. Bet koks papildomas nurodymas turi būti raštiškas ir, jei jam įvykdyti reikia daugiau nei standartinio Paslaugos funkcionalumo, gali būti taikomas iš anksto suderintas pagrįstas mokestis.
Duomenų tvarkytojas nepagrįstai nedelsdamas informuoja Duomenų valdytoją, jei, jo nuomone, nurodymas pažeidžia BDAR ar kitus Sąjungos ar valstybių narių duomenų apsaugos teisės aktus.
6. Konfidencialumas
Duomenų tvarkytojas užtikrina, kad asmenys, įgalioti tvarkyti Kliento duomenis, būtų įsipareigoję laikytis konfidencialumo arba jiems būtų taikoma atitinkama įstatymu nustatyta konfidencialumo pareiga, ir kad prieigą turėtų tik tie, kuriems jos reikia sutarčiai vykdyti.
7. Tvarkymo saugumas
Atsižvelgdamas į technikos lygį, įgyvendinimo sąnaudas, tvarkymo pobūdį, apimtį, kontekstą bei tikslus, taip pat į riziką fizinių asmenų teisėms ir laisvėms, Duomenų tvarkytojas įgyvendina toliau nurodytas technines ir organizacines priemones pagal BDAR 32 str.
II priedas — Techninės ir organizacinės priemonės
| Priemonė | Įgyvendinimas |
|---|---|
| Šifravimas perduodant duomenis | Visas srautas į Paslaugą ir iš jos perduodamas per TLS su automatiškai atnaujinamais sertifikatais. Vidinis paslaugų tarpusavio srautas neišeina už priegloba (host) tinklo ribų. |
| Paslapčių šifravimas | Kliento prisijungimo duomenys ir Connector paslaptys ramybės būsenoje šifruojami naudojant AES-256-GCM, o raktas saugomas ne programos duomenų bazėje. |
| Pseudonimizavimas | Telemetrijos ir matavimo įrašuose klientai ir agentai žymimi identifikatoriumi, o ne vardu ar el. paštu, kai identifikatoriaus pakanka. |
| Konfidencialumas — prieigos kontrolė | Į vaidmenis grindžiama prieigos kontrolė kiekvienai darbo erdvei. Kiekvienas agentas naudoja tik jam priskirtą saugyklos prefiksą ir savo duomenų bazės schemą; prieiga tarp klientų atmetama pačiame duomenų lygmenyje, o ne tik naudotojo sąsajoje. |
| Konfidencialumas — darbuotojai | Mažiausios būtinos prieigos principu grįsta administracinė prieiga, suteikiama individualiai ir peržiūrima keičiantis vaidmeniui. Visi administraciniai veiksmai įrašomi į tik pridėti leidžiantį audito žurnalą. |
| Vientisumas | Įvesties tikrinimas ir parametrizuotos užklausos visur. Kiekvienas pakeitimas per operacijų API įrašo audito žurnalo eilutę, identifikuojančią veiksmą atlikusį asmenį. |
| Prieinamumas ir atsparumas | Valdomas priegloba Tier III klasės duomenų centre Vokietijoje. Automatizuotos kasdienės duomenų bazės atsarginės kopijos, saugomos šifruotos ir atskirai nuo produkcinės aplinkos. |
| Atkūrimas | Dokumentuota atkūrimo iš naujausios atsarginės kopijos procedūra; atkūrimas išbandomas atliekant infrastruktūros pakeitimus. |
| Testavimas ir vertinimas | Priklausomybių pažeidžiamumo tikrinimas nuolatinės integracijos metu, kodo peržiūra prieš sujungiant pakeitimus bei periodinė šių priemonių peržiūra ne rečiau kaip kartą per metus ir esant esminiams Paslaugos pakeitimams. |
| Duomenų kiekio mažinimas jau projektuojant | Connectors sinchronizuoja tik tuos laukus, kuriuos įjungia Duomenų valdytojas. Duomenų valdytojas bet kada gali ištrinti bet kurią sinchronizuotą lentelę. |
Duomenų tvarkytojas gali atnaujinti šias priemones plėtojantis technologijoms, jei apsaugos lygis dėl to nesumažėja. Visada galioja šiame puslapyje paskelbta aktuali versija.
8. Antriniai duomenų tvarkytojai
Duomenų valdytojas suteikia Duomenų tvarkytojui bendrą rašytinį leidimą pasitelkti antrinius duomenų tvarkytojus. Duomenų tvarkytojas kiekvienam antriniam duomenų tvarkytojui sutartimi nustato ne mažiau griežtas duomenų apsaugos pareigas nei numatytosios šioje DTS ir lieka visiškai atsakingas Duomenų valdytojui už antrinio duomenų tvarkytojo veiklą.
III priedas — Įgalioti antriniai duomenų tvarkytojai
Šie antriniai duomenų tvarkytojai pasitelkiami kiekvieno WorkAist Cloud kliento atveju, nes jie yra infrastruktūros, kurioje veikia Paslauga, dalis.
| Antrinis duomenų tvarkytojas | Tikslas | Vieta | Perdavimo apsaugos priemonė |
|---|---|---|---|
| Hetzner Online GmbH | Programų serverių, duomenų bazės ir atsarginių kopijų talpinimas | Vokietija (ES) | Netaikoma |
| Cloudflare, Inc. | DNS, atvirkštinis tarpinis serveris, TLS užbaigimas, apsauga nuo DDoS | Pasaulinis kraštinis (edge) tinklas, įskaitant ES | SCC; ES ir JAV duomenų privatumo sistema |
| Stripe Payments Europe, Ltd. | Mokėjimų ir prenumeratų apdorojimas | Airija (ES) | SCC vidiniams grupės perdavimams; ES ir JAV duomenų privatumo sistema |
| Resend, Inc. | Tranzakcinių el. laiškų siuntimas | Jungtinės Amerikos Valstijos | SCC |
Modelių teikėjai
Didelių kalbos modelių teikėjams taikoma kitokia tvarka, nes juos renkasi pats Duomenų valdytojas.
- Jei Duomenų valdytojas pateikia savo paties teikėjo prisijungimo duomenis, tą teikėją pasitelkia pats Duomenų valdytojas, pagal savo nurodymus ir pagal savo paties sutartį su juo. Jis nėra Duomenų tvarkytojo antrinis duomenų tvarkytojas. Duomenų tvarkytojas tik perduoda užklausą naudodamas pateiktus prisijungimo duomenis ir neteikia jokios garantijos dėl to teikėjo saugumo, tvarkymo vietos, mokymo praktikos ar atitikties.
- Jei Duomenų valdytojas naudojasi Duomenų tvarkytojo valdomu tokenų apmokestinimu, teikėją pasirenka Duomenų tvarkytojas, ir jis yra Duomenų tvarkytojo antrinis duomenų tvarkytojas. Šiuo metu tokiu statusu pasitelkiamas teikėjas yra Anthropic PBC (Jungtinės Amerikos Valstijos), skirtas didelio kalbos modelio išvedimui, veikiantis pagal standartines sutarčių sąlygas ir sutartimi įpareigotas nesimokyti iš jam siunčiamų duomenų.
Duomenų valdytojas bet kada Paslaugoje gali pamatyti, kokį modelio teikėją naudoja kiekvienas jo agentas, ir jį pakeisti.
Antrinių duomenų tvarkytojų pakeitimai
Duomenų tvarkytojas praneša Duomenų valdytojui el. paštu ne vėliau kaip prieš 30 dienų iki naujo antrinio duomenų tvarkytojo pridėjimo ar pakeitimo. Per šias 30 dienų Duomenų valdytojas gali pareikšti prieštaravimą dėl pagrįstų su duomenų apsauga susijusių priežasčių. Jei šalys negali išspręsti prieštaravimo, Duomenų valdytojas gali nutraukti paveiktą Paslaugos dalį be jokių sankcijų ir gauti proporcingą iš anksto sumokėtų mokesčių grąžinimą.
9. Pagalba įgyvendinant duomenų subjektų teises
Atsižvelgdamas į tvarkymo pobūdį, Duomenų tvarkytojas tinkamomis techninėmis ir organizacinėmis priemonėmis, kiek tai įmanoma, padeda Duomenų valdytojui vykdyti jo pareigą atsakyti į prašymus įgyvendinti duomenų subjekto teises pagal BDAR III skyrių.
Paslauga suteikia Duomenų valdytojui tiesioginę prieigą prie Kliento duomenų, kad jis pats galėtų juose rasti, eksportuoti, taisyti ir trinti asmens duomenis. Jei prašymui vis dėlto reikalingas Duomenų tvarkytojo dalyvavimas, Duomenų tvarkytojas atsako nepagrįstai nedelsdamas ir bet kuriuo atveju per 10 darbo dienų. Jei duomenų subjektas dėl Kliento duomenų kreipiasi tiesiogiai į Duomenų tvarkytoją, Duomenų tvarkytojas iš esmės neatsako; jis nepagrįstai nedelsdamas persiunčia prašymą Duomenų valdytojui.
10. Pagalba pagal 32–36 straipsnius
Duomenų tvarkytojas padeda Duomenų valdytojui užtikrinti BDAR 32–36 str. nustatytų pareigų vykdymą, atsižvelgdamas į tvarkymo pobūdį ir Duomenų tvarkytojui prieinamą informaciją — visų pirma dėl tvarkymo saugumo, pranešimo apie asmens duomenų saugumo pažeidimus, informavimo duomenų subjektų, poveikio duomenų apsaugai vertinimų ir išankstinių konsultacijų.
Asmens duomenų saugumo pažeidimas
Duomenų tvarkytojas praneša Duomenų valdytojui nepagrįstai nedelsdamas, bet kuriuo atveju per 48 valandas nuo sužinojimo apie Kliento duomenims poveikį darantį asmens duomenų saugumo pažeidimą. Pranešime aprašomas pažeidimo pobūdis, susijusių duomenų subjektų ir įrašų kategorijos bei apytikslis skaičius, tikėtinos pasekmės, taikytos ar siūlomos priemonės ir kontaktinis asmuo. Jei ne visa informacija prieinama iš karto, ji pateikiama etapais be tolesnio nepagrįsto delsimo. Duomenų tvarkytojas Duomenų valdytojo vardu neinformuoja priežiūros institucijos ar duomenų subjektų, nebent yra tam nurodytas.
11. Kliento duomenų ištrynimas ir grąžinimas
Duomenų valdytojo pasirinkimu Duomenų tvarkytojas ištrina arba grąžina visus Kliento duomenis pasibaigus su tvarkymu susijusių paslaugų teikimui bei ištrina esamas kopijas, nebent Sąjungos ar valstybės narės teisė reikalauja saugoti asmens duomenis.
- 30 dienų po sutarties pabaigos Duomenų valdytojas gali eksportuoti Kliento duomenis iš Paslaugos arba paprašyti juos grąžinti struktūrizuotu, plačiai naudojamu, kompiuterio skaitomu formatu.
- Duomenų tvarkytojas ištrina Kliento duomenis iš veikiančių sistemų per 30 dienų nuo šio eksporto laikotarpio pabaigos.
- Šifruotos atsarginės kopijos, kuriose yra Kliento duomenų, perrašomos jų įprastos rotacijos metu, bet kuriuo atveju ne vėliau kaip per 90 dienų nuo ištrynimo iš veikiančių sistemų.
- Gavęs raštišką prašymą, Duomenų tvarkytojas raštu patvirtina ištrynimą.
12. Auditas ir informacija
Duomenų tvarkytojas Duomenų valdytojui pateikia visą informaciją, būtiną atitikčiai BDAR 28 str. įrodyti, ir sudaro sąlygas bei prisideda prie auditų, įskaitant patikrinimus, kuriuos atlieka Duomenų valdytojas ar jo įgaliotas kitas auditorius.
Praktiškai Duomenų tvarkytojas pirmiausia pateikia savo aktualią techninių ir organizacinių priemonių dokumentaciją, antrinių duomenų tvarkytojų sąrašą ir raštiškus atsakymus į saugumo klausimyną. Jei to nepakanka atitikčiai įrodyti, Duomenų valdytojas, pateikęs 30 dienų išankstinį rašytinį įspėjimą, gali atlikti auditą vietoje ar nuotoliniu būdu, ne dažniau kaip kartą per kalendorinius metus, nebent įvyko asmens duomenų saugumo pažeidimas arba to reikalauja priežiūros institucija. Auditai vyksta darbo valandomis, negali nepagrįstai trikdyti Duomenų tvarkytojo veiklos ir jiems taikomas konfidencialumas. Duomenų valdytojas padengia savo audito išlaidas; Duomenų tvarkytojas padengia savo, nebent auditas atskleidžia esminį šios DTS pažeidimą.
13. Tarptautiniai duomenų perdavimai
Duomenų tvarkytojas Kliento duomenis ramybės būsenoje saugo Vokietijoje. Perdavimai III priede išvardytiems antriniams duomenų tvarkytojams už Europos ekonominės erdvės ribų vyksta pagal Europos Komisijos standartines sutarčių sąlygas (Įgyvendinimo sprendimas (ES) 2021/914), Trečiąjį modulį, kai Duomenų tvarkytojas veikia kaip duomenų tvarkytojas, pasitelkiantis antrinį duomenų tvarkytoją, prireikus papildytas papildomomis apsaugos priemonėmis, o tais atvejais, kai gavėjas yra sertifikuotas — pagal tinkamumo sprendimą dėl ES ir JAV duomenų privatumo sistemos.
Sudarydamas šią DTS Duomenų valdytojas įgalioja Duomenų tvarkytoją Duomenų valdytojo vardu ir jo naudai sudaryti šias standartines sutarčių sąlygas su kiekvienu antriniu duomenų tvarkytoju.
14. Atsakomybė
Atsakomybei pagal šią DTS taikomas Paslaugų teikimo sąlygose numatytas atsakomybės apribojimas, išskyrus tai, kad niekas neriboja nė vienos šalies atsakomybės duomenų subjektui pagal BDAR 82 str. ar priežiūros institucijai.
15. Terminas, taikytina teisė ir kontaktai
Ši DTS įsigalioja, kai prasideda Duomenų valdytojo sutartis dėl WorkAist Cloud, ir galioja tol, kol Duomenų tvarkytojas tvarko Kliento duomenis. Jai taikoma Portugalijos teisė, o išimtinę jurisdikciją turi Lisabonos teismai, nepažeidžiant BDAR 79 str.
Kontaktai visais su šia DTS susijusiais klausimais: [email protected].