Duomenų tvarkymo priedas

Šis Duomenų tvarkymo priedas („DTP

Paskutinį kartą atnaujinta: 2026 m. gegužės 15 d.

Šis DTP yra įtraukiamas nuoroda į Verslo naudojimo sąlygas ir įsigalioja, kai Klientas priima Verslo naudojimo sąlygas arba pirmą kartą naudoja Paslaugą po aukščiau nurodytos datos, atsižvelgiant į tai, kuri data ankstesnė. Klientas, kuriam reikia šio DTP pasirašyto egzemplioriaus ant įmonės blanko, gali jo paprašyti rašydamas adresu [email protected]. EasyWeek pasirašys nekeisdamas šio šablono turinio.

1. Sąvokos

Šiame DTP didžiosiomis raidėmis pradedami, bet nepaaiškinti terminai turi reikšmę, pateiktą Verslo naudojimo sąlygose arba BDAR. Visų pirma:

  • BDAR" — Reglamentas (ES) 2016/679 ir, kai taikoma, UK BDAR bei Šveicarijos DAĮ su būtinais pakeitimais.
  • Valdytojas", „Tvarkytojas", „Duomenų subjektas", „Asmens duomenys", „Asmens duomenų pažeidimas", „Tvarkymas", „Subtvarkytojas", „Priežiūros institucija" — kaip apibrėžta BDAR 4 str.
  • Kliento asmens duomenys" — asmens duomenys, kuriuos Klientas arba jo įgalioti naudotojai pateikia į Paslaugą arba sukuria per ją ir kuriuos EasyWeek tvarko Kliento vardu.
  • SSS" — Standartinės sutartinės sąlygos asmens duomenims perduoti į trečiąsias šalis pagal BDAR, priimtos Komisijos įgyvendinimo sprendimu (ES) 2021/914 nuo 2021 m. birželio 4 d.

2. Vaidmenys

Klientas yra Kliento asmens duomenų Valdytojas. EasyWeek yra Tvarkytojas ir tvarko Kliento asmens duomenis tik pagal dokumentuotus Kliento nurodymus ir laikydamasis šio DTP, Verslo naudojimo sąlygų ir taikomos teisės.

Šalys pripažįsta, kad EasyWeek yra Valdytojas tam tikrų ribotų kategorijų asmens duomenų, kuriuos EasyWeek tvarko savo tikslams — pavyzdžiui, įgaliotų naudotojų prisijungimo duomenims, atsiskaitymų duomenims ir Paslaugos naudojimo telemetrijai. Tas tvarkymas reglamentuojamas Verslo privatumo politika, o ne šiuo DTP.

3. Dalykas, trukmė, tikslas

Dalykas, pobūdis, tikslas, trukmė, asmens duomenų kategorijos ir duomenų subjektų kategorijos aprašytos I priede.

DTP galioja tol, kol EasyWeek tvarko Kliento asmens duomenis Kliento vardu, ir lieka galioti nutraukus Verslo naudojimo sąlygas tiek, kiek būtina 13 skirsniui vykdyti.

4. Kliento nurodymai

Pati Paslauga, konfigūracija, kurią Klientas nustato per Paslaugos naudotojo sąsają ir API, Verslo naudojimo sąlygos ir šis DTP sudaro išsamų ir galutinį Kliento dokumentuotą nurodymą EasyWeek dėl Kliento asmens duomenų tvarkymo. Bet kokie papildomi ar skirtingi nurodymai turi būti suderinami raštu ir gali sukelti papildomų mokesčių.

EasyWeek nedelsdama informuos Klientą, jei, jos nuomone, nurodymas pažeidžia BDAR ar kitą ES arba valstybės narės duomenų apsaugos nuostatą, ir gali sustabdyti ginčytiną nurodymą, kol Klientas raštu patvirtins.

5. Konfidencialumas

EasyWeek užtikrina, kad asmenys, turintys teisę tvarkyti Kliento asmens duomenis, yra įsipareigoję laikytis konfidencialumo (arba jiems taikoma atitinkama įstatyminė konfidencialumo pareiga) ir jiems taikomos prieigos kontrolės bei mažiausių privilegijų principai. Prieiga prie Kliento asmens duomenų apribota asmenims, kuriems ji būtina Paslaugai eksploatuoti ar tobulinti.

6. Saugumas (TOMs)

EasyWeek įgyvendina rizikai proporcingas atitinkamas technines ir organizacines priemones, kaip nurodyta II priede. EasyWeek gali laikui bėgant atnaujinti savo TOMs, jei apsaugos lygis nemažėja.

7. Subtvarkytojai

Klientas šiuo bendrai raštu įgalioja EasyWeek pasitelkti Subtvarkytojus. Patvirtintų Subtvarkytojų sąrašas šio DTP sudarymo dieną pateiktas III priede ir prižiūrimas adresu /business/subprocessors.

EasyWeek pranešs Klientui ne vėliau kaip prieš trisdešimt (30) dienų apie bet kokį planuojamą Subtvarkytojo papildymą ar pakeitimą per programėlės pranešimų centrą ir, jei Klientas yra užsiprenumeravęs, el. paštu. Klientas per trisdešimt (30) dienų nuo pranešimo gali pareikšti pagrįstą, dokumentuotą duomenų apsaugos prieštaravimą. Jei šalys negali susitarti, Klientas gali nutraukti Verslo naudojimo sąlygas dėl tos Paslaugos dalies, kuriai reikalingas ginčijamas Subtvarkytojas, su proporcingu iš anksto sumokėtų mokesčių už likusį laikotarpį grąžinimu.

EasyWeek raštu nustato kiekvienam Subtvarkytojui duomenų apsaugos pareigas, kurios yra ne mažiau apsaugančios nei nustatytos šiame DTP. EasyWeek išlieka visiškai atsakinga Klientui už savo Subtvarkytojų pareigų vykdymą.

8. Tarptautiniai perdavimai

Kliento asmens duomenys pirmiausia tvarkomi Europos ekonominėje erdvėje. Kai Kliento asmens duomenys perduodami į šalį už EEE be Europos Komisijos sprendimo dėl tinkamumo, taikomos SSS su šiomis pasirinktomis nuostatomis:

  • Antrasis modulis (Valdytojas Tvarkytojui) įtraukiamas nuoroda perduodant iš Kliento (ar jo EEE valdytojo) į EasyWeek, kai EasyWeek tvarko Kliento asmens duomenis trečiojoje šalyje.
  • Trečiasis modulis (Tvarkytojas Tvarkytojui) įtraukiamas nuoroda paskesniems EasyWeek perdavimams Subtvarkytojams trečiojoje šalyje.
  • 7 sąlyga (Prisijungimo sąlyga) įtraukta.
  • 9 sąlyga (a) — taikomas 2 variantas (bendras rašytinis įgaliojimas, 30 dienų pranešimas).
  • 11 sąlyga (a) — nepriklausoma ginčų sprendimo institucija nepasirinkta.
  • 17 sąlyga — taikoma Vokietijos Federacinės Respublikos teisė.
  • 18 sąlyga — kompetentingi teismai yra Diuseldorfo (Vokietija) teismai.
  • SSS I priedas užpildomas nuoroda į šio DTP I priedą.
  • SSS II priedas užpildomas nuoroda į šio DTP II priedą.
  • SSS III priedas užpildomas nuoroda į šio DTP III priedą.

Perdavimo poveikio vertinimas, apibendrinantis EasyWeek atliktą paskirties šalies teisės aktų vertinimą ir papildomas technines, sutartines ar organizacines priemones, prieinamas paprašius adresu [email protected].

Perdavimams į Jungtinę Karalystę taikomas UK Tarptautinio duomenų perdavimo priedas prie SSS (išleistas ICO ir galiojantis nuo 2022 m. kovo 21 d.). Perdavimams į Šveicariją SSS skaitomos su EDÖB reikalaujamais pakeitimais.

9. Duomenų subjekto užklausos

Paslauga teikia savitarnos funkcijas, leidžiančias Klientui vykdyti duomenų subjekto užklausas dėl prieigos, ištaisymo, ištrynimo, apribojimo, perkeliamumo ir prieštaravimo. Kai duomenų subjektas kreipiasi tiesiogiai į EasyWeek, EasyWeek nedelsdama persiunčia užklausą Klientui ir neatsako duomenų subjektui, išskyrus gavimo patvirtinimą ir užklausos persiuntimą Klientui.

EasyWeek padės Klientui, atsižvelgdama į tvarkymo pobūdį, atitinkamomis techninėmis ir organizacinėmis priemonėmis vykdant Kliento pareigą atsakyti į duomenų subjekto užklausas pagal BDAR 12–22 str.

10. Asmens duomenų pažeidimas

EasyWeek nedelsdama ir bet kuriuo atveju per septyniasdešimt dvi (72) valandas nuo sužinojimo apie Kliento asmens duomenis paveikusį asmens duomenų pažeidimą informuos Klientą. Pranešime bus pateikta bent BDAR 33 str. 3 d. reikalaujama informacija, kiek ji žinoma: pažeidimo pobūdis, paveiktų duomenų subjektų ir įrašų kategorijos bei apytikris skaičius, tikėtinos pasekmės ir atliktos ar siūlomos priemonės.

EasyWeek imsis pagrįstų veiksmų pažeidimui suvaldyti ir pašalinti bei pateiks Klientui informaciją, būtiną Klientui įvykdyti savo pranešimo pareigas savo Priežiūros institucijai ir paveiktiems duomenų subjektams.

11. PDPV ir išankstinė konsultacija

EasyWeek pagrįstai padės Klientui atliekant bet kurį Poveikio duomenų apsaugai vertinimą ar išankstinę konsultaciją, kurią Klientas privalo atlikti pagal BDAR 35 ar 36 str., tiek, kiek tokia pagalba pagrįstai būtina ir EasyWeek turi atitinkamą informaciją.

12. Auditas

EasyWeek pateiks Klientui visą informaciją, būtiną įrodyti šio DTP laikymąsi, įskaitant:

  • Naujausias svarbiausių sertifikatų ir audito ataskaitų kopijas (pavyzdžiui, ISO 27001, jei prieinama, atitinkamų Subtvarkytojų SOC 2 II tipo ataskaitas).
  • Rašytinius atsakymus į pagrįstą saugumo klausimyną kartą per dvylikos mėnesių laikotarpį nemokamai.

Kai aukščiau pateiktos informacijos nepakanka ir Kliento Priežiūros institucija įpareigoja Klientą atlikti patikrinimą vietoje, Klientas gali atlikti patikrinimą pats arba pavesti nepriklausomam auditoriui Kliento sąskaita, raštu įspėjęs ne vėliau kaip prieš šešiasdešimt (60) dienų, darbo valandomis, ne dažniau kaip kartą per dvylikos mėnesių laikotarpį (nebent įvyko asmens duomenų pažeidimas), su pagrįstais konfidencialumo įsipareigojimais ir netrikdant EasyWeek veiklos ar kitų klientų saugumo. Patikrinimo apimtis apribota EasyWeek atitikties šiam DTP patikrinimu.

13. Grąžinimas ir ištrynimas

Per trisdešimt (30) dienų nuo Verslo naudojimo sąlygų nutraukimo Klientas gali eksportuoti Kliento asmens duomenis per Paslaugos pateiktus savitarnos eksporto įrankius. Pasibaigus šiam trisdešimties dienų pereinamajam laikotarpiui, EasyWeek per pagrįstą laiką ir bet kuriuo atveju per devyniasdešimt (90) dienų ištrins arba anonimizuos Kliento asmens duomenis, išskyrus tuos atvejus, kai EasyWeek pagal ES, valstybės narės teisę ar Bundesdatenschutzgesetz (BDSG) privalo saugoti dalį ar visus duomenis (tokiu atveju saugomi duomenys lieka šio DTP konfidencialumo ir saugumo pareigų objektu).

Atsarginės kopijos, kuriose yra Kliento asmens duomenų, perrašomos rotaciniu būdu pagal standartinį atsarginių kopijų saugojimo terminą ir lieka šio DTP objektu iki termino pabaigos.

14. Atsakomybė ir kita

Kiekvienos šalies atsakomybė pagal šį DTP ar dėl jo priklauso nuo Verslo naudojimo sąlygose nustatytų atsakomybės apribojimų ir išimčių.

Šis DTP yra Verslo naudojimo sąlygų sudėtinė dalis. Esant prieštaravimui tarp šio DTP ir Verslo naudojimo sąlygų dėl Kliento asmens duomenų tvarkymo, pirmenybę turi šis DTP. Esant prieštaravimui tarp šio DTP ir SSS, pirmenybę turi SSS.

Šis DTP reglamentuojamas Vokietijos Federacinės Respublikos teise. Diuseldorfo (Vokietija) teismai turi išimtinę jurisdikciją, nedarant poveikio privalomoms duomenų subjektų apsaugos nuostatoms jų įprastinės gyvenamosios vietos valstybėje.

I priedas – Tvarkymo aprašymas

Dalykas Tvarkymas, būtinas EasyWeek Business paslaugai Klientui teikti.

Trukmė Verslo naudojimo sąlygų galiojimo laikotarpiui ir bet kokiam po nutraukimo taikomam saugojimo laikotarpiui, būtinam 13 skirsniui vykdyti.

Tvarkymo pobūdis ir tikslas Talpinimas, saugojimas, paieška, organizavimas, keitimas, perdavimas, ištrynimas, anonimizavimas, statistinė analizė ir kiti tvarkymo veiksmai, būtini norint teikti internetinį užsakymą, klientų santykių valdymą, finansus ir sąskaitybą, rinkodaros automatizavimą, svetainių kūrimą, priminimus ir pranešimus, prekyvietės skelbimus, DI funkcijas ir pagalbines funkcijas.

Duomenų subjektų kategorijos

  • Kliento galutiniai klientai ir potencialūs klientai
  • Kliento darbuotojai, savarankiški specialistai, rangovai ir kiti įgalioti naudotojai
  • Kliento internetinio užsakymo puslapių ir įterptų valdiklių lankytojai
  • Per Paslaugą siunčiamo ir gaunamo bendravimo siuntėjai bei gavėjai

Asmens duomenų kategorijos

  • Identifikavimo duomenys (vardas, nuotrauka, lytis)
  • Kontaktiniai duomenys (el. paštas, telefonas, adresas)
  • Kliento įgaliotų naudotojų prisijungimo duomenys
  • Užsakymų ir susitikimų istorija
  • Kliento įkeltos pastabos, failai, nuotraukos, dokumentai
  • Lojalumo programos duomenys, dovanų kortelių likučiai, klientų segmentai
  • Bendravimo turinys (SMS, „WhatsApp", el. laiškų tekstas, „push" pranešimų tekstas, pokalbiai programėlėje)
  • Finansiniai duomenys (sąskaitos, mokėjimo būsena, paskutiniai 4 mokėjimo kortelės skaitmenys — visi kortelės duomenys tvarkomi tiesiogiai per Stripe ir EasyWeek nesaugo)
  • Techniniai duomenys (IP adresas, įrenginio identifikatorius, naršyklė, kalba, laiko žymos)
  • Kai Klientas pasirenka juos užfiksuoti: su sveikata susijusios pastabos (grožio, sveikatingumo, medicinos ar odontologijos kontekste). Klientas yra atsakingas už tinkamo teisinio pagrindo pagal BDAR 9 str. užtikrinimą prieš tokius duomenis užfiksuojant.

Perdavimų dažnumas Nuolatinis.

Saugojimas Kliento asmens duomenys saugomi tiek, kiek nurodo Klientas, ir kaip toliau aprašyta 13 skirsnyje.

II priedas – Techninės ir organizacinės priemonės

EasyWeek įgyvendina bent šias priemones, kurias gali kartkartėmis atnaujinti, jei apsaugos lygis nemažėja:

  • Pseudonimizavimas ir šifravimas — TLS 1.3 duomenims, perduodamiems viešais tinklais; AES-256 saugomiems duomenims (duomenų bazės saugykla, objektinė saugykla, atsarginės kopijos); per-nuomininko šifravimo raktai jautriems laukams, kai taikoma.
  • Konfidencialumas — vaidmenimis pagrįsta prieigos kontrolė su mažiausių privilegijų principu, daugiaveiksnis autentifikavimas reikalingas visai administracinei prieigai, automatinis seanso baigimas, IP pagrįsta prieigos kontrolė produkcinėms sistemoms, rašytinės konfidencialumo pareigos visam personalui.
  • Vientisumas — pakeitimų valdymas, kodo peržiūra, automatinis priklausomybių skanavimas, pasirašyti diegimo artefaktai, atsarginių kopijų vientisumo patikros.
  • Prieinamumas ir atsparumas — produkcinis talpinimas „Hetzner" duomenų centruose Vokietijoje su atsarginiu maitinimu ir tinklu, „Kubernetes" orkestracija su automatiniu atstatymu, kasdienės atsarginės kopijos su tarpzoniniu replikavimu, dokumentuotas atkūrimo po nelaimės planas su kasmetiniais stalviršio pratimais, būsenos puslapis status.easyweek.io.
  • Atkūrimas — atsarginių kopijų saugojimo pakanka atkurti paslaugą po fizinio ar techninio incidento; ketvirtiniai atkūrimo testai.
  • Testavimas ir vertinimas — kasmetinis trečiosios šalies įsiskverbimo testas produkcinei aplinkai, nuolatinis statinis ir dinaminis taikomųjų programų saugumo testavimas CI/CD, pažeidžiamumų valdymo procesas su apibrėžtais ištaisymo SLA.
  • Tinklo segmentavimas — produkcinė, paruošimo ir kūrimo aplinkos logiškai bei fiziškai atskirtos; administracinė prieiga tik per bastiono mazgus.
  • Žurnalavimas ir stebėjimas — centralizuoti audito žurnalai autentifikavimui, autorizavimui, konfigūracijos pakeitimams ir duomenų eksporto įvykiams, saugomi bent vienerius metus; saugumo informacijos ir įvykių stebėjimas su perspėjimais apie anomalijas.
  • Saugus kūrimas — SDLC su grėsmių modeliavimu, kolegų peržiūra, paslapčių skanavimu, licencijų atitiktimi ir OWASP standartus atitinkančiomis kodavimo taisyklėmis.
  • Tiekėjų valdymas — rašytinės sutartys su visais Subtvarkytojais, nustatančios lygiavertes pareigas; periodinė peržiūra.
  • Personalo saugumas — anketų patikrinimai, kai teisiškai leistina; saugumo žinotumo ir duomenų apsaugos mokymai įdarbinimo metu ir kasmet po to.
  • Incidentų valdymas — visą parą veikianti budėjimo rotacija; dokumentuotas incidento reagavimo planas; pažeidimų pranešimas per 72 valandas pagal 10 skirsnį.
  • Fizinis saugumas — fizinę prieigą prie tvarkymo įrenginių kontroliuoja įrenginį eksploatuojantis Subtvarkytojas („Hetzner", „Google Cloud") pagal ISO 27001 / SOC 2 sertifikuotas kontroles.

III priedas – Patvirtinti subtvarkytojai

Aktualus EasyWeek Subtvarkytojų sąrašas skelbiamas ir prižiūrimas adresu /business/subprocessors. Tame URL esantis sąrašas šiuo dokumentu yra įtraukiamas nuoroda į šį DTP ir III priedą.

Pagrindinis puslapis
AI Kainos

Rašyti pagalbai

Tikri žmonės, ne robotai. Mūsų komanda atsako per kelias minutes.

WhatsApp Telegram

Turite klausimų? Parašykite mums!

Šiuo metu esame prisijungęSupport manager photoSupport manager photoSupport manager photoSupport manager photo
Kaip tai veikia