CONCTRACT FOR PROVISION OF THE DATA

1. The terms used in the Contract correspond to those used in the Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data and repealing Directive 95/46/EC (hereinafter “the GDPR“) and other laws and regulations on the protection of personal data.

2. The Provider undertakes to provide the Recipient with personal data specified in the main Agreement and processed by the Provider, and the Recipient undertakes to use the received personal data for the purpose of the use of personal data specified in paragraph 4 of the Contract, under the conditions and in accordance with the procedures laid down in this Contract.

3. The Provider shall provide personal data to the Recipient in accordance with at least one of the conditions stated in Article 6(1) of the GDPR.

4. The Provider undertakes to provide personal data to the Recipient, and the Recipient undertakes to use the received personal data for the purposes set out in the main Agreement.

5. Personal data received from the Provider may not be processed by the Recipient for purposes incompatible with the purposes of the use of personal data specified in the main Agreement.

6. The Provider undertakes to provide personal data in accordance with the Conditions for the Provision of Personal Data.

7. The Provider undertakes to inform the data subject(s) about the sending of his/their data to the Recipient at the latest when such personal data are first disclosed to the Recipient. Where the processing of personal data is carried out on a legal basis of the data subject’s consent, the Provider undertakes to ensure that the consent given also includes the possibility of disclosing the personal data to the Recipient or to obtain a new consent from the data subject in order to transfer data to the Recipient.

8. The Provider and the Recipient undertake to implement, at their own expense, appropriate organizational and technical measures to protect personal data from accidental or unlawful destruction, alteration, disclosure, as well as from any other unlawful processing.

9. The Provider shall be responsible for the accuracy, correctness and protection of the provided personal data until personal data reach the Recipient.

10. The Recipient shall be responsible for the confidentiality and security of the received personal data from the moment such personal data are received. In the event of a threat or reasonable suspicion of a threat to the confidentiality of provided personal data, and/or if the Recipient does not adequately ensure the security of the provided personal data, the Provider shall inform the Recipient thereof and shall have the right to suspend the provision of personal data.

11. The Recipient shall ensure that his staff who process personal data are made aware of the obligation to retain personal data and of the prohibition on their disclosure to third parties.

12. The Recipient shall have the right to use the processor for the processing of personal data obtained under this Contract, however, such processing of personal data must comply with the requirements of Article 28 of the GDPR.

13. The Recipient shall be entitled to process personal data for no longer than is required by the purpose of processing personal data specified in the main Agreement. The Recipient undertakes to destroy without delay personal data obtained in accordance with the Contract when such data are no longer necessary for the purposes of their processing.

14. During the period of validity of the contract, the Provider shall have the right to require the Recipient to provide the information and/or documents necessary to satisfy himself that the Recipient has properly complied with the requirements of the Contract and legal acts on the protection of personal data (e.g. to prove that certain data safeguards are in place). The Recipient must provide the Provider with this information and/or documents within 30 days of receipt of the request.

15. The Provider shall have the right to take all appropriate measures to assess the Recipient’s ability to fulfil his obligations under the Contract and to verify that the Recipient has taken all appropriate measures to ensure compliance with the requirements of the Contract. The Recipient undertakes to provide the Provider with all the information and assistance necessary to certify that the personal data processing operations comply with the requirements of the Contract and will also authorise the Provider to carry out an audit of the Receiver.

16. If the Provider finds that the Recipient improperly performs the Contract, he shall inform the Recipient thereof and shall have the right to suspend the provision of personal data until such time as the infringements have been rectified. The Recipient must rectify the identified infringements within 30 days. Once the infringements have been rectified, the Recipient shall inform the Provider of his readiness to continue to properly fulfil the requirements of the Contract and legal acts concerning the processing of personal data. The Provider may, on the basis of an assessment of information received from the Recipient, resume the provision of personal data. If the Recipient does not inform the Provider of his readiness to continue to properly fulfil the requirements of the Contract and legal acts on the processing of personal data, the Provider shall have the right to unilaterally terminate the Contract.

17. The Provider undertakes to inform the Recipient of the rectification of incorrect, incomplete or inaccurate personal data provided to him no later than within 5 working days after the rectification of such data.

18. If the Recipient finds that personal data provided to him under the Contract are incorrect, incomplete or inaccurate, he shall inform the Provider, accordingly, providing explanations of the circumstances, no later than within 5 working days. Upon receipt of this information, the Provider shall have 5 working days to verify it and, should such information prove to be correct, to rectify any personal data which are incorrect, incomplete or inaccurate. Where incorrect, incomplete or inaccurate personal data have been rectified, the Provider shall inform the Recipient thereof no later than within 5 working days.

19. The Recipient undertakes to ensure adequate security of personal data. The Recipient undertakes to protect the received personal data against destruction, modification, unauthorised distribution or access and other forms of unlawful processing.

20. The Recipient undertakes to limit access to personal data to the Recipient’s staff whose access is necessary to ensure the performance of the Recipient‘s obligations under the Contract. The Recipient shall ensure that persons who have access to personal data have signed a confidentiality agreement including an obligation of non-disclosure of personal data. The scope of the confidentiality agreement must not be less than that of this Contract. The Recipient‘s staff must be made aware of the requirements for the processing of personal data.

21. The Recipient undertakes to take all necessary steps to assist the Provider in the event of a personal data breach and to inform the Provider immediately of any incident relating to the personal data disclosed by the Provider and of any unauthorized access to personal data, as well as of any other personal data breach. The Recipient undertakes to report the incident as soon as possible and, in any case, no later than within 24 hours after having become aware of the incident. The notification must include:

– a description of the nature of the incident, indicating, where possible, the categories of personal data and the number of personal data subjects relating to the breach, as well as the categories and estimated number of personal data records;

– the contact details of the personal data officer or other person responsible for the protection of the Recipient’s personal data;

– a description of the circumstances of the breach;

– a description of the measures taken by the Recipient and proposed to the Provider to contain the breach of the protection of personal data, including, where necessary, measures to mitigate the possible consequences.

22. The Recipient undertakes not to disclose or otherwise make available to third parties personal data disclosed by the Provider without the prior written consent of the Provider.

23. The Parties shall be liable for the failure to perform or for improper performance of their obligations under the Contract in accordance with the procedure laid down by the governing laws of the Republic of Lithuania.

24. Disputes concerning the performance of the Contract shall be settled by an agreement between the Parties or, in the absence of an agreement, in accordance with the procedure laid down by the laws of the Republic of Lithuania.

25. If, for unforeseen reasons, a Party is unable to perform an obligation under the Contract, it shall immediately contact the other Party in writing regarding the supplementation, amendment or termination of the Contract.

26. Either party shall be exempt from liability for failure to perform the Contract, if that party proves that the Contract was not performed due to circumstances which were beyond its control and which could not be reasonably foreseen at the time of concluding the Contract, and that the party could not prevent such circumstances or their consequences (force majeure).

27. The Contract shall enter into force on the day of signature of main Agreement.

28. The Contract shall be valid for the term specified in the main Agreement.

29. The Contract shall expire:

– when the Parties agree to terminate the Contract;

– where one Party terminates the Contract in accordance with the procedure specified in paragraph 25;

– where one of the Parties loses the right to process personal data (e.g. the legal basis for the processing of personal data disappears; where a decision/order of a court or other public authority to cease the processing of personal data has become final).

30. The Contract may be terminated:

– at the Provider’s initiative by giving a written notice to the Recipient 20 working days before the termination of the Contract;

– at the Recipient’s initiative by giving a written notice to the Provider 20 working days before the termination of the Contract;

– a Party shall have the right to unilaterally terminate the Contract if the other Party is in breach of the Contract and fails to take measures to rectify the breach within 20 working days of receipt of the request for rectification.

Safeguards ensured by the Provider / Recipient: https://www.enisa.europa.eu/publications/handbook-on-security-of-personal-data-processing

 

DUOMENŲ TEIKIMO SUTARTIS

2. Sutartimi Teikėjas įsipareigoja teikti Gavėjui Teikėjo tvarkomus asmens duomenis, nurodytus pagrindinėje Sutartyje, o Gavėjas įsipareigoja gautus asmens duomenis naudoti Sutarties 4 punkte nurodytu asmens duomenų naudojimo tikslu šioje Sutartyje nurodytomis sąlygomis ir tvarka.

3. Teikėjas teikia asmens duomenis Gavėjui taikydamas BDAR 6 straipsnio 1 dalyje nurodytą bent vieną iš sąlygų.

4. Teikėjas įsipareigoja teikti asmens duomenis Gavėjui, o Gavėjas gautus asmens duomenis įsipareigoja naudoti tikslais, kurie nurodyti pagrindinėje Sutartyje.

5. Asmens duomenų, gautų iš Teikėjo, Gavėjas negali tvarkyti tikslais, nesuderinamais pagrindinėje sutartyje nurodytais asmens duomenų naudojimo tikslais, išskyrus atvejus kai kitus asmens duomenų tvarkymo tikslus numato Gavėjui privalomi teisės aktai.

6. Teikėjas įsipareigoja asmens duomenis teikti pagal Asmens duomenų teikimo sąlygas.

7. Teikėjas įsipareigoja informuoti duomenų subjektą (-us), apie tai, kad jo(-ų) asmens duomenys bus siunčiami Gavėjui, ne vėliau kaip tokius asmens duomenis atskleidžiant Gavėjui pirmą kartą. Kai asmens duomenys tvarkomi duomenų subjekto sutikimo teisiniu pagrindu, Teikėjas įsipareigoja užtikrinti, kad duotas sutikimas apima ir galimybę perduoti asmens duomenis Gavėjui, arba gauti naują asmens duomenų subjekto sutikimą asmens duomenų perdavimo Gavėjui atvejui.

8. Teikėjas ir Gavėjas įsipareigoja savo lėšomis įgyvendinti tinkamas organizacines ir technines priemones, skirtas apsaugoti asmens duomenims nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.

9. Teikėjas atsako už pateiktų asmens duomenų tikslumą, teisingumą ir apsaugą, kol asmens duomenys pasieks Gavėjus.

10. Gavėjas atsako už gautų asmens duomenų konfidencialumą ir saugumą. Tuo atveju, jei nustatoma grėsmė ar kyla pagrįstų įtarimų dėl grėsmės teikiamų asmens duomenų konfidencialumui, ir (arba) jei Gavėjas netinkamai užtikrina teikiamų (pateiktų) asmens duomenų saugumą, Teikėjas apie tai informuoja Gavėją ir turi teisę sustabdyti asmens duomenų teikimą.

11. Gavėjas užtikrina, kad jo darbuotojai, kurie tvarko asmens duomenis, yra supažindinti su pareiga saugoti asmens duomenis ir draudimu juos atskleisti tretiesiems asmenims.

12. Gavėjas turi teisę pasitelkti duomenų tvarkytoją asmens duomenų gautų pagal šią Sutartį tvarkymui, tačiau toks asmens duomenų tvarkymas turi atitikti BDAR 28 str. reikalavimus.

13. Gavėjas turi teisę tvarkyti asmens duomenis ne ilgiau, negu to reikalauja pagrindinėje Sutartyje nurodytas asmens duomenų tvarkymo tikslas. Gavėjas įsipareigoja nedelsiant sunaikinti arba grąžinti Teikėjui pagal Sutartį gautus asmens duomenis, kai šie duomenys tampa nebereikalingi jų tvarkymo tikslams pasiekti.

14. Sutarties galiojimo metu, Teikėjas turi teisę reikalauti Gavėjo pateikti informaciją ir (ar) dokumentus, kurių reikia norint įsitikinti, kad Gavėjas tinkamai vykdo Sutartyje ir teisės aktuose nustatytus asmens duomenų apsaugos reikalavimus (pvz., įrodyti, jog taikomos tam tikros duomenų saugumo priemonės). Gavėjas privalo neatlygintinai Teikėjui pateikti šią informaciją ir (ar) dokumentus per 30 dienų nuo prašymo gavimo dienos.

15. Teikėjas turi teisę imtis visų, reikiamų priemonių tam, kad galėtų įvertinti ar Gavėjas yra pajėgus įvykdyti jam Sutartyje įtvirtintas pareigas, taip pat patikrinti ar Gavėjas ėmėsi visų priemonių tam, kad užtikrintų atitiktį Sutartyje nustatytiems reikalavimams. Gavėjas įsipareigoja Teikėjui neatlygintinai suteikti visą informaciją bei pagalbą, kuri reikalinga siekiant patvirtinti, jog asmens duomenų tvarkymo veiksmai atitinka Sutartyje įtvirtintus reikalavimus, taip pat suteiks teisę Teikėjui atlikti Gavėjo auditą.

16. Teikėjas, nustatęs, kad Gavėjas netinkamai vykdo Sutartį, apie tai informuoja Gavėją ir turi teisę sustabdyti asmens duomenų teikimą iki tol, kol bus pašalinti pažeidimai. Gavėjas, per 30 dienų turi pašalinti nustatytus pažeidimus. Pašalinęs pažeidimus, Gavėjas informuoja Teikėją apie pasirengimą toliau tinkamai vykdyti Sutartyje ir teisės aktuose nustatytus asmens duomenų tvarkymo reikalavimus. Teikėjas, įvertinęs iš Gavėjo gautą informaciją, gali atnaujinti asmens duomenų teikimą. Jei Gavėjas neinformuoja Teikėjo apie pasirengimą toliau tinkamai vykdyti Sutartyje ir teisės aktuose nustatytus asmens duomenų tvarkymo reikalavimus, Teikėjas turi teisę vienašališkai nutraukti Sutartį.

17. Teikėjas įsipareigoja informuoti Gavėją apie jam perduotų neteisingų, neišsamių ar netikslių asmens duomenų ištaisymą ne vėliau kaip per 5 darbo dienas nuo tokių duomenų ištaisymo.

18. Jei Gavėjas nustato, kad jam pagal Sutartį perduoti asmens duomenys yra neteisingi, neišsamūs ar netikslūs, jis ne vėliau kaip per 5 darbo dienas apie tai informuoja Teikėją pateikdamas aplinkybių paaiškinimus. Teikėjas, gavęs šią informaciją, privalo per 5 darbo dienas ją patikrinti ir, jai pasitvirtinus, neteisingus, neišsamius ar netikslius asmens duomenis ištaisyti. Ištaisęs neteisingus, neišsamius ar netikslius asmens duomenis, Teikėjas ne vėliau kaip per 5 darbo dienas apie tai informuoja Gavėją.

19. Gavėjas įsipareigoja užtikrinti adekvatų asmens duomenų saugumą. Gavėjas įsipareigoja saugoti gautus asmens duomenis nuo sunaikinimo, modifikavimo, neteisėto platinimo arba neteisėtos prieigos, bei kitų formų neteisėto tvarkymo.

20. Gavėjas įsipareigoja, kad prieigą prie asmens duomenų suteiks tik tiems Gavėjo darbuotojams, kuriems prieiga yra būtina, siekiant užtikrinti Gavėjo pareigų, pagal Sutartį, vykdymui. Gavėjas užtikrina, kad asmenys, kurie turi prieigą prie asmens duomenų, yra pasirašę konfidencialumo susitarimą, kuris apima ir asmens duomenų neatskleidimo įsipareigojimą. Konfidencialumo susitarimo apimtis privalo būti ne mažesnė nei šios Sutarties. Gavėjo darbuotojai turi būti supažindinti su asmens duomenų tvarkymo reikalavimais.

21. Gavėjas įsipareigoja imtis visų veiksmų, kad padėtų Teikėjui asmens duomenų saugumo pažeidimo atveju, taip pat nedelsiant pranešti Teikėjui apie bet kokį incidentą susijusį su Teikėjo atskleistais asmens duomenimis bei apie neautorizuotą prieiga prie asmens duomenų, taip pat apie kitus asmens duomenų saugumo pažeidimus. Gavėjas įsipareigoja apie incidentą pranešti, jei įmanoma, nedelsiant, bet kuriuo atveju, ne vėliau nei per 24 val. po sužinojimo apie įvykį. Pranešime privalo būti nurodyta:

– pažeidimo pobūdžio aprašymas, kuriame, jei įmanoma, nurodomos asmens duomenų kategorijos bei asmens duomenų subjektų, kurie susiję su pažeidimu, skaičius, taip pat asmens duomenų įrašų kategorijos bei apytikris skaičius;

– asmens duomenų pareigūno ar kito, už Gavėjo asmens duomenų apsaugą atsakingo, asmens kontaktinė informacija;

– pažeidimo aplinkybių apibūdinimas;

– apibūdinimas priemonių, kurių ėmėsi Gavėjas ir kurių siūloma imtis Teikėjui tam, kad būtų suvaldytas asmens duomenų apsaugos pažeidimas, įskaitant, kai būtina, priemonės, skirtos sušvelninti galimus padarinius.

22. Gavėjas įsipareigoja be išankstinio Teikėjo rašytinio sutikimo tretiesiems asmenims neatskleisti ar kitais būdais padaryti prieinamus Teikėjo atskleistus asmens duomenis.

23. Už Sutarties įsipareigojimų nevykdymą arba netinkamą vykdymą Šalys atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

24. Ginčai dėl sutarties vykdymo sprendžiami Šalių susitarimu, o nagrinėjami Lietuvos Respublikos įstatymų nustatyta tvarka kompetentingame Lietuvos Respublikos teisme.

25. Jeigu Šalis dėl nenumatytų priežasčių negali įvykdyti kurio nors Sutartimi prisiimto įsipareigojimo, ji nedelsdama raštu kreipiasi į kitą Šalį dėl Sutarties papildymo, pakeitimo ar nutraukimo.

26. Šalis atleidžiama nuo atsakomybės už Sutarties neįvykdymą, jeigu ji įrodo, kad Sutartis neįvykdyta dėl aplinkybių, kurių ji negalėjo kontroliuoti bei protingai numatyti Sutarties sudarymo metu, ir kad negalėjo užkirsti kelio šių aplinkybių ar jų pasekmių atsiradimui (force majeure).

27. Sutartis įsigalioja nuo pagrindinės sutarties pasirašymo dienos.

28. Sutartis galioja pagrindinėje Sutartyje nurodytą terminą.

29. Sutartis pasibaigia:

– kai Šalys susitaria nutraukti Sutartį;

– kai viena Šalis nutraukia Sutartį 25 punkte nurodyta tvarka;

– kai viena iš Šalių netenka teisės tvarkyti asmens duomenis (pvz., išnyksta teisinis pagrindas asmens duomenų tvarkymui; kai yra įsiteisėjęs teismo ar kitos valstybinės institucijos sprendimas/nurodymas nutraukti asmens duomenų tvarkymo veiksmus).

30. Sutartis gali būti nutraukta:

– Teikėjo iniciatyva įspėjus Gavėją raštu prieš 20 darbo dienų iki Sutarties nutraukimo;

– Gavėjo iniciatyva įspėjus Teikėją raštu prieš 20 darbo dienų iki Sutarties nutraukimo;

– Šalis turi teisę vienašališkai nutraukti Sutartį, jei kita Šalis pažeidžia Sutartį ir nesiima priemonių pažeidimui pašalinti per 20 darbo dienų nuo reikalavimo jį ištaisyti gavimo dienos.

Tiekėjo / Gavėjo užtikrinamos saugumo priemonės: https://www.enisa.europa.eu/publications/handbook-on-security-of-personal-data-processing