Duomenų tvarkymo sutartis (DPA)

Atnaujinta: 2026-06-19

Ši duomenų tvarkymo sutartis (toliau – DPA) yra neatskiriama Naudojimosi sąlygų dalis ir sudaroma pagal Bendrojo duomenų apsaugos reglamento (ES) 2016/679 (BDAR) 28 straipsnį. Ji nustato, kaip MB „Didysis Uvis" (toliau – Tvarkytojas) tvarko asmens duomenis Kliento (toliau – Valdytojas) vardu, kai Klientas naudodamasis UVIS sistema (toliau – Sistema) į ją įveda trečiųjų asmenų asmens duomenis.

1. Šalių vaidmenys

Asmens duomenų, kuriuos Klientas įveda į Sistemą apie savo klientus, partnerius ar darbuotojus, atžvilgiu Klientas yra duomenų valdytojas, o Tvarkytojas – duomenų tvarkytojas. Tvarkytojas tvarko šiuos duomenis tik pagal dokumentuotus Valdytojo nurodymus, kuriuos sudaro Naudojimosi sąlygos, ši DPA ir Sistemos funkcionalumo naudojimas.

2. Tvarkymo dalykas, pobūdis, tikslas ir trukmė

  • Dalykas ir pobūdis: asmens duomenų saugojimas ir tvarkymas teikiant buhalterinės apskaitos ir CRM (debesijos, SaaS) paslaugas.
  • Tikslas: sudaryti sąlygas Valdytojui tvarkyti savo apskaitą ir santykius su klientais naudojantis Sistema.
  • Trukmė: tvarkymas vyksta tol, kol galioja Naudojimosi sąlygos (kol Kliento paskyra aktyvi), su pereinamuoju laikotarpiu po sutarties pabaigos (žr. 9 skyrių).

3. Duomenų rūšys ir subjektų kategorijos

  • Duomenų subjektai: Kliento klientai, tiekėjai, partneriai, darbuotojai ir kiti asmenys, kurių duomenis Klientas įveda į Sistemą.
  • Duomenų rūšys: vardai, pavardės, kontaktiniai duomenys, įmonių ir asmenų kodai, banko sąskaitų ir mokėjimų duomenys, sąskaitose faktūrose bei dokumentuose esanti informacija. Klientas neturėtų į Sistemą kelti specialių kategorijų (jautrių) duomenų, jei tai nebūtina.

4. Tvarkytojo pareigos

  • tvarkyti asmens duomenis tik pagal dokumentuotus Valdytojo nurodymus, įskaitant perdavimus už EEE ribų, išskyrus kai to reikalauja teisės aktai;
  • užtikrinti, kad duomenis tvarkyti įgalioti asmenys būtų įsipareigoję laikytis konfidencialumo;
  • įgyvendinti tinkamas technines ir organizacines saugumo priemones (žr. 5 skyrių);
  • padėti Valdytojui įgyvendinti duomenų subjektų teises ir vykdyti BDAR 32–36 str. prievoles (sauga, pranešimai apie pažeidimus, poveikio vertinimas), atsižvelgiant į turimą informaciją;
  • pasibaigus paslaugoms, Valdytojo pasirinkimu ištrinti ar grąžinti asmens duomenis (žr. 9 skyrių);
  • pateikti Valdytojui informaciją, būtiną įrodyti šių prievolių laikymąsi.

5. Saugumo priemonės

Tvarkytojas taiko BDAR 32 str. atitinkančias priemones, įskaitant: kiekvieno kliento duomenų atskyrimą atskiroje duomenų bazės schemoje (daugianuomininkė izoliacija), jautrių raktų šifravimą, slaptažodžių saugojimą tik kaip kriptografines santraukas, HTTPS ryšį, prieigos kontrolę ir atsargines kopijas.

6. Subtvarkytojai

Valdytojas suteikia bendrą leidimą pasitelkti subtvarkytojus. Šiuo metu pasitelkiami:

  • Serverių / talpinimo paslaugų teikėjas – Sistemos talpinimas (ES).
  • Stripe – mokėjimų apdorojimas (renkantis mokamą planą).
  • Google – pasirinktinai, prijungus Google Sheets / Drive ar prisijungimą per Google ir el. laiškų siuntimui.
  • Anthropic – DI funkcijų teikimas (tik aktyvavus DI / Pro planą).

Tvarkytojas užtikrina, kad subtvarkytojams būtų taikomos ne mažesnės duomenų apsaugos pareigos. Apie ketinimą keisti ar pridėti subtvarkytojų Tvarkytojas iš anksto informuoja, suteikdamas Valdytojui galimybę pagrįstai prieštarauti.

7. Pagalba Valdytojui

Tvarkytojas, atsižvelgdamas į tvarkymo pobūdį, padeda Valdytojui tinkamomis techninėmis ir organizacinėmis priemonėmis vykdyti prievolę atsakyti į duomenų subjektų prašymus įgyvendinti jų teises (susipažinti, ištaisyti, ištrinti, apriboti, perkelti, nesutikti). Daugumą šių veiksmų Valdytojas gali atlikti pats per Sistemos funkcijas ir duomenų eksportą.

8. Pranešimai apie duomenų saugumo pažeidimus

Sužinojęs apie asmens duomenų saugumo pažeidimą, Tvarkytojas be nepagrįsto delsimo apie tai praneša Valdytojui ir pateikia turimą informaciją, kad Valdytojas galėtų įvykdyti savo pranešimo prievoles pagal BDAR 33–34 str.

9. Duomenų ištrynimas ir grąžinimas

Pasibaigus sutarčiai, Valdytojas pagrįstą pereinamąjį laikotarpį gali atsisiųsti (eksportuoti) savo duomenis. Po šio laikotarpio Tvarkytojas Valdytojo pasirinkimu ištrina arba grąžina asmens duomenis ir sunaikina turimas kopijas, išskyrus kai duomenis saugoti reikalauja teisės aktai.

10. Auditas

Tvarkytojas pateikia Valdytojui informaciją, būtiną įrodyti, kad laikomasi BDAR 28 str. prievolių, ir sudaro sąlygas pagrįstoms patikroms (auditui), atliekamoms iš anksto suderinus laiką ir apimtį, neatskleidžiant kitų klientų duomenų ir komercinių paslapčių.

11. Tarptautiniai perdavimai

Jei asmens duomenys perduodami už EEE ribų (pvz., per Anthropic ar tam tikrais atvejais Stripe / Google), perdavimas grindžiamas tinkamomis apsaugos priemonėmis – Europos Komisijos standartinėmis sutarčių sąlygomis (SCC) ar tinkamumo sprendimais.

12. Atsakomybė ir taikytina teisė

Šalių atsakomybei taikomi Naudojimosi sąlygų atsakomybės apribojimai. Šiai DPA taikoma Lietuvos Respublikos teisė ir BDAR. Esant prieštaravimui tarp šios DPA ir Naudojimosi sąlygų dėl asmens duomenų tvarkymo, viršenybę turi ši DPA.

13. Kontaktai

El. paštas: info@uvis.pro
Svetainė: www.uvis.pro