Asmens duomenų tvarkymo, naudojimo, saugojimo sąlygos ir tvarka vykdant paslaugų teikimo sutartį
1. BENDROJI DALIS
1.1. Asmens duomenų tvarkymo, naudojimo saugojimo sąlygos ir tvarka (toliau - Tvarka) reglamentuoja Duomenų valdytojo ir Duomenų tvarkytojo teises ir pareigas, tvarkant asmens duomenis, kuriuos Duomenų tvarkytojas vykdys teikiant paslaugas Duomenų valdytojui pagal Paslaugų teikimo sutartį (toliau – Sutartis) ir tvarkys fizinių asmenų asmens duomenis Duomenų valdytojo vardu, Duomenų valdytojo suteiktų įgaliojimų ribose, siekiant įgyvendinti 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 (toliau – BDAR) 28 str. nuostatas.
1.2. Sutartyje ir sutarties prieduose Duomenų valdytojas nustato Duomenų tvarkytojui asmens duomenų tvarkymo teisinį pagrindą, asmens duomenų tvarkymo tikslus, fizinių asmenų kategorijas, fizinių asmenų asmens duomenų kategorijas, asmens duomenų tvarkymo pobūdį, asmens duomenų saugojimo trukmę, veiksmų ir organizacinių priemonių, sąrašą, kurio turi laikytis Duomenų tvarkytojas vykdydamas Sutartį.
2. DUOMENŲ VALDYTOJO PAREIGOS IR TEISĖS
2.1. Duomenų valdytojo pareigos :
2.1.1. Laikytis Sutartyje numatytų sąlygų, paskirti įgaliotą atstovą, kad Duomenų tvarkytojas, Valstybinės priežiūros institucijos ir Duomenų subjektai galėtų kreiptis į Duomenų valdytojo įgaliotą atstovą, visais klausimais, susijusiais su duomenų tvarkymu.
2.1.2. Priimti sprendimus dėl asmens duomenų tvarkymo tikslų, atlikti rizikos įvertinimą Duomenų subjektų teisėms ir laisvėms, parengti technines ir organizacines priemones, kad būtų užtikrintas rizikas atitinkančio lygio asmens duomenų saugumas ir kad asmens duomenų tvarkymas, kuris pavestas atlikti Duomenų tvarkytojui pagal sutartį, būtu teisėtas ir būtų vykdomas laikantis BDAR, ADTAĮ bei Lietuvos Respublikoje veikiančių kitų teisės aktų, reglamentuojančių asmens duomenų apsaugą, reikalavimų.
2.1.3. Sutartyje, sutarties prieduose ir Duomenų valdytojo instrukcijose aiškiai ir konkrečiai nustatyti Duomenų tvarkytojui, kokiu tikslu (ar tikslais) yra ar bus tvarkomi ir naudojami fizinio asmens (toliau- Duomenų subjektas) asmens duomenys. Nustatyti Duomenų subjektų asmens duomenų rūšis (Pvz., vardas, pavardė, gimimo data, kontaktiniai duomenis ir pan.) Duomenų subjektų kategorijas ( Pvz., įmonės darbuotojai, klientai, vairuotojai, pirkėjai, lankytojai ir pan.) apibrėžti asmens duomenų tvarkymo apimtį, aiškiai nurodyti tvarkomų asmens duomenų saugojimo terminus ir sudaryti Duomenų tvarkytojui (jo darbuotojams) sąlygas, būtinas asmens duomenų tvarkymui, saugojimui ir paslaugoms teikti, vykdant Sutartį bei suteikti jam reikalingą pagalbą asmens duomenų tvarkymo klausimais.
2.1.4. Imtis pakankamų techninių ir organizacinių saugumo priemonių, kurios atitiktų BDAR, ADTAĮ, kitų ES ir Lietuvos Respublikoje veikiančių teisės aktų asmens duomenų apsaugai keliamus reikalavimus.
2.1.5. Užtikrinti, kad asmens duomenys, kurie Sutarties vykdymo metu bus renkami ir tvarkomi Duomenų valdytojo vardu, būtų renkami ir tvarkomi teisėtai. Reguliariai atlikti duomenų tvarkymo rizikos įvertinimą nes Duomenų valdytojas yra atsakingas už tai, kad asmens duomenų tvarkymas būtų vykdomas laikantis BDAR, ADTAĮ ir kitų ES ir Lietuvos Respublikos teisės aktų, reglamentuojančių asmens duomenų apsaugą, reikalavimų.
2.1.6. Užtikrinti, kad Duomenų valdytojo įgalioti atstovai būtu supažindinti su asmens duomenų teisinę apsaugą reglamentuojančiais teisės aktais, pasirašytinai įsipareigoję jų laikytis ir nereikalauti iš Duomenų tvarkytojo ar jo įgalioto atstovo BDAR, ADTAĮ, kitų ES ir Lietuvos Respublikoje veikiančių teisės aktų draudžiamų ir Sutartyje ir jo prieduose nenumatytų duomenų tvarkymo veiksmų.
2.2. Duomenų valdytojas turi teisę:
2.2.1. Priimti sprendimus dėl asmens duomenų tvarkymo tvarkos ir priemonių, keisti duomenų tvarkymo tikslus ir instrukcijas skirtas Duomenų tvarkytojui, atlikti kitus ES ir Lietuvos Respublikoje veikiančių teisės aktų numatytus veiksmus, kurie būtini teisėtam ir tinkamam duomenų tvarkymui.
2.2.2. Vadovaujantis Sutartimi operatyviai informuoti Duomenų tvarkytoją ar jo įgaliotą atstovą apie priimtus sprendimus ir pakeitimus. Raštu pateikti Duomenų tvarkytojui ar jo įgaliotam atstovui naujus dokumentus ir kitą duomenų tvarkymui būtiną informaciją ir dokumentaciją. Esant poreikiui išduoti Duomenų tvarkytojui ar jo įgaliotam atstovui atskirą įgaliojimą atstovauti Duomenų valdytojo teisėtus interesus, rinkti, naudoti, tvarkyti ir saugoti asmens duomenis ir dokumentus Duomenų valdytojo vardu Sutartyje ir prieduose nurodytais tikslais ir sąlygomis.
2.2.3. Atlikti Duomenų tvarkytojo vykdomos duomenų tvarkymo veiklos patikrinimus ir auditą.
2.2.4. Duomenų tvarkytojui paprašius, suteikti jam rašytinį leidimą pasitelkti kitą Duomenų tvarkytoją.
2.2.5. Raštu pareikalauti, kad Duomenų tvarkytojas ar jo įgalioti atstovai nutrauktų duomenų tvarkymo veiksmus ir grąžintų Duomenų valdytojui iš jo tvarkymui gautus duomenis (jeigu tokie buvo perduoti).
2.2.6. Jeigu Duomenų tvarkytojas ar jo įgaliotas atstovas netinkamai vykdo Sutartyje numatytus įsipareigojimus, raštu pateikti Duomenų tvarkytojui pretenziją, duoti teisėtus nurodymus dėl perduotos funkcijos įgyvendinimo ir pareikalauti pašalinti trūkumus arba pakeisti Duomenų tvarkytojo įgaliotą atstovą.
2.2.7. Duomenų valdytojas turi ir kitas BDAR, ES ir Lietuvos Respublikoje galiojančiuose teisės aktuose numatytas teises.
3. DUOMENŲ TVARKYTOJO PAREIGOS IR TEISĖS
3.1. Duomenų tvarkyto pareigos :
3.1.1. Laikytis Sutartyje ir sutarties prieduose numatytų sąlygų, paskirti įgaliotą atstovą, kad Duomenų valdytojas, Valstybinės priežiūros institucijos ir Duomenų subjektai galėtų kreiptis į Duomenų tvarkytojo įgaliotą atstovą, visais klausimais, susijusiais su duomenų tvarkymu.
3.1.2. Atstovauti Duomenų valdytojo teisėtiems interesams, rinkti, tvarkyti, naudoti ir saugoti asmens duomenis Duomenų valdytojo vardu, Sutartyje ir sutarties prieduose nurodytais tikslais ir pagal Duomenų valdytojo raštu įformintas (dokumentuotas) instrukcijas.
3.1.3. Užtikrinti, kad asmens duomenis Duomenų valdytojo vardu tvarkytų tik Duomenų tvarkytojo įgalioti asmenys, kurie turi būti supažindinti su asmens duomenų teisinę apsaugą reglamentuojančiais teisės aktais ir pasirašytinai įsipareigoję jų laikytis.
3.1.4. Nenaudoti Duomenų valdytojo vardu tvarkomų asmens duomenų, kitais nei Sutartyje ir jos prieduose numatytais tikslais, imtis priemonių, kad būtų užkirstas kelias atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui.
3.1.5. Neatskleisti, neperduoti ir nesudaryti sąlygų bet kokiomis priemonėmis susipažinti su Duomenų valdytojo vardu tvarkomais asmens duomenimis tam teisės neturintiems asmenims.
3.1.6. Duomenų valdytojui pareikalavus, ne vėliau kaip per 5 (penkias) darbo dienas pateikti Duomenų valdytojui ar jo įgaliotam atstovui informaciją apie technines ir organizacines priemones, kurias Duomenų tvarkytojas taiko asmens duomenų tvarkymui ir kitą informaciją, reikalingą Duomenų valdytojui, kad pastarasis galėtų įgyvendinti savo prievoles pagal BDAR ir ADTAĮ.
3.1.7. Suteikti Duomenų valdytojui ar jo įgaliotam atstovui reikiamą pagalbą atliekant poveikio duomenų apsaugai vertinimą, operatyviai informuoti ir pateikti Duomenų valdytojui ar jo įgaliotam atstovui dokumentus ir kitą būtiną informaciją, susijusią su duomenų tvarkymų. Duomenų valdytojui konsultuojantis su Valstybine duomenų apsaugos inspekcija ar kita priežiūros institucija, papildomai suteikti informaciją, kuri reikalinga konsultavimuisi.
3.1.8. Pastebėjęs asmens duomenų saugumo pažeidimus nedelsiant ir, jei įmanoma, praėjus ne daugiau kaip 72 valandoms nuo asmens duomenų saugumo pažeidimo pastebėjimo informuoti Duomenų valdytoją ar jo įgaliotą atstovą apie duomenų tvarkymo pažeidimus ir aplinkybes, kurios trukdo ar gali sutrukdyti duomenų tvarkymui ar paslaugų teikimui, kad Duomenų valdytojas galėtų įgyvendinti savo pareigą pranešti Valstybinei duomenų apsaugos inspekcijai apie asmens duomenų saugumo pažeidimą.
3.1.9. Suteikti pagalba Duomenų valdytojui, kiek tai įmanoma, kad Duomenų valdytojas galėtų įvykdyti Duomenų valdytojo pareigą atsakyti į duomenų subjektų prašymus, kai jie siekia pasinaudoti BDAR III skyriuje nustatytomis teisėmis arba pateikti Duomenų valdytojo prašomą informaciją ir (ar) dokumentus, reikalingus priežiūros institucijoms, vykdant Duomenų valdytojo patikrinimą.
3.1.10. Gavęs bet kokį priežiūros institucijų paklausimą, prašymą ar reikalavimą, susijusį su duomenų tvarkymu Duomenų tvarkytojas ar jo įgaliotas atstovas, nedelsiant, bet ne vėliau kaip per 2 (dvi) darbo dienas, įsipareigoja persiųsti jį Duomenų valdytojui ar jo įgaliotam atstovui elektroniniu paštu.
3.1.11. Negavęs Duomenų valdytojo raštu suteiktų įgaliojimų neatstovauti Duomenų valdytojui ir neveikti Duomenų valdytojo vardu Valstybinėje duomenų apsaugos inspekcijoje arba kitose priežiūros institucijose.
3.2. Duomenų tvarkytojas turi teisę:
3.2.1. Sustabdyti Duomenų valdytojo vardu asmens duomenų tvarkymo veiksmus jei paaiškės, kad:
a) Sutarties galiojimo terminas yra pasibaigęs;
b) Sutartyje ar jos prieduose nurodytas duomenų tvarkymo ir saugojimo terminas yra pasibaigęs;
c) Duomenų subjektas atšaukė duotą sutikimą duomenų tvarkymui arba ginčija Duomenų valdytojo ar Duomenų tvarkytojo veiksmus teisme;
d) Duomenų valdytojo ar įgalioto atstovo nurodymas pažeidžia BDAR ar kitas ES ir LR asmens duomenų apsaugos nuostatas. Šiuo atveju Duomenų tvarkytojas ar jo įgaliotas atstovas apie tai nedelsdamas informuoja Duomenų valdytoją, nurodydamas galimas rizikas ir pasekmes asmens duomenų apsaugai;
e) Duomenų valdytojas ar įgaliotas atstovas reikalauja iš Duomenų tvarkytojo Sutartyje ir jos prieduose nenumatytų arba BDAR, ADTAĮ ir kituose Lietuvoje veikiančiose teisės aktuose draudžiamų, veiksmų. Šiuo atveju Duomenų tvarkytojas ar jo įgaliotas atstovas apie tai nedelsdamas informuoja Duomenų valdytoją, nurodydamas galimas rizikas ir pasekmes asmens duomenų apsaugai ir raštu pateikia Duomenų valdytojui pretenziją. Pastarajam nereaguojant į pateiktą pretenziją, Duomenų tvarkytojas turi teisę vienašališkai nutraukti Sutartį.
3.2.2. Gavus Duomenų valdytojo raštišką sutikimą, pasitelkti kitą duomenų tvarkytoją tvarkyti asmens duomenis Duomenų valdytojo vardu, jei tai yra būtina Duomenų tvarkytojo prisiimtiems sutartiniams įsipareigojimams vykdyti. Šiuo atveju pagrindinis Duomenų tvarkytojas privalo laikytis reikalavimų, nustatytų BDAR 28 str. 2 ir 4 d. ir su kitais duomenų tvarkytojais (subrangovais) turi sudaryti rašytinę sutartį.
3.2.3. Duomenų tvarkytojas turi ir kitas BDAR,ADTAĮ, ES ir Lietuvos Respublikoje galiojančiuose teisės aktuose numatytas teises.
4. ASMENS DUOMENŲ TVARKYMO, NAUDOJIMO IR SAUGOJIMO SĄLYGOS
4.1.Duomenų valdytojas ir Duomenų tvarkytojas vykdydami asmens duomenų tvarkymą atsako už asmens duomenų patikimumą, teisingumą, tikslumą ir užtikrina asmens duomenų saugumą bei konfidencialumą.
4.2. Duomenų valdytojas ir Duomenų tvarkytojas atsako už asmens duomenų tvarkymui ir jų saugumui užtikrinti pasitelktų techninių ir organizacinių priemonių veiksmingumą.
4.3. Duomenų tvarkytojas asmens duomenis tvarko Duomenų valdytojo vardu, Sutartyje ir sutarties prieduose nurodytais tikslais ir sąlygomis.
4.4. Duomenų tvarkytojas, tvarkant asmens duomenis Duomenų valdytojo vardu, dokumentuoja visus su asmens duomenų saugumo pažeidimais susijusius faktus, aplinkybės ir veiksmus, kurių buvo imtasi nepriklausomai nuo to, ar pažeidimas gali kelti pavojų fizinių asmenų teisėms ir laisvėms ar ne. Duomenų valdytojui pareikalavus, Duomenų tvarkytojas pateikia jam ar jo įgaliotam atstovui turimus dokumentus ar jų kopijas susipažinimui arba kai to reikalauja priežiūros institucija.
4.5. Duomenų tvarkytojas, įvykus fiziniam arba techniniam incidentui arba Duomenų saugumo pažeidimui operatyviai, nedelsiant ir jei įmanoma praėjus ne daugiau kaip 72 valandoms nuo asmens duomenų saugumo pažeidimo pastebėjimo raštu informuoja Duomenų valdytoją ar jo įgaliotą atstovą, nurodant jam (jei įmanoma) Duomenų saugumo pažeidimo pobūdį, su pažeidimu susijusių asmens duomenų įrašų kategorijas ir apytikslį skaičių, papildomą informaciją suteikti galinčio asmens vardą, pavardę ir kontaktinius duomenis ir pateikia galimų Duomenų saugumo pažeidimo pasekmių aprašymą, priemones, kurių Duomenų tvarkytojas ėmėsi arba siūlo imtis duomenų saugumo pažeidimui pašalinti, įskaitant atitinkamas priemones galimam neigiamam tokio pažeidimo poveikiui sumažinti.
4.6. Duomenų tvarkytojas nedelsdamas raštu informuoja Duomenų valdytojo vadovybe, jei jo nuomone Duomenų valdytojo įgalioto atstovo nurodymas pažeidžia ar prieštarauja BDAR, ADTAĮ, kitų ES ir Lietuvos Respublikoje veikiančių teisės aktų duomenų apsaugos nuostatams.
4.7. Duomenų tvarkytojas be išankstinio Duomenų valdytojo rašytinio sutikimo asmens duomenų neperduos organizacijoms ar tretiesiems asmenims esančioms už Lietuvos Respublikos ribų.
4.8. Duomenų tvarkytojas gali perduoti asmens duomenis į trečiąją valstybę (t. y. už Europos Sąjungos ar Europos Ekonominės Erdvės) arba tarptautinei organizacijai tik gavęs Duomenų valdytojo leidimą raštu ir tik tuo atveju, jeigu laikomasi BDAR V skyriuje nustatytų sąlygų.
4.9. Tuo atveju, kai asmens duomenų perdavimas į trečiąją valstybę arba tarptautinei organizacijai yra privalomas pagal Europos Sąjungos arba Lietuvos Respublikos teisės aktus, Duomenų tvarkytojas apie tai raštu informuos Duomenų valdytoją apie tokį teisinį reikalavimą, nebent teisės aktai draudžia apie tai informuoti dėl svarbių viešojo intereso priežasčių.
4.10. Duomenų tvarkytojas gali suteikti galimybę susipažinti su Duomenų valdytojo vardu tvarkomais asmens duomenimis tik Duomenų valdytojo įgaliojimus turintiems darbuotojams (atstovams), kuriems būtina susipažinti su tokiais duomenimis, vykdant tiesiogines darbo funkcijas ir kurie yra priėmę atitinkamus konfidencialumo įsipareigojimus. Bet kuris Duomenų valdytojui arba Duomenų tvarkytojui pavaldus asmuo, galintis susipažinti su asmens duomenimis, negali tų duomenų tvarkyti, išskyrus atvejus, kai Duomenų valdytojas duoda įgaliojimus ir nurodymus juos tvarkyti.
4.11.Duomenų tvarkytojas, Duomenų valdytojo vardu tvarkomų asmens duomenų, kitų duomenų ir informacijos nekaups, išskyrus kiek tai būtina Sutartyje ir jos prieduose nustatytiems tikslams pasiekti. Asmens duomenis ar kitą Sutarties vykdymui reikalingą informaciją Duomenų tvarkytojas saugo ir tvarko tik pagal Duomenų valdytojo nurodymus ir ne ilgiau negu to reikia vykdant Sutartį.
4.12. Duomenų valdytojas ir Duomenų tvarkytojas užtikrina asmens duomenų, Sutarties sąlygų bei informacijos, kuri Sutarties šalims taps žinoma vykdant Sutartį, konfidencialumą. Tretiesiems asmenims asmens duomenys negali būti atskleisti arba negali būti suteikta kitokia galimybė bet kokia forma su jais susipažinti, jei kitaip nenustato BDAR, ADTAĮ, kiti ES ir Lietuvos Respublikos teisės aktai. Reikalavimai netaikomi informacijai, kuri yra viešai prieinama tretiesiems asmenims ar visuomenei, o taip pat, kai informacijos atskleidimo reikalauja BDAR, ADTAĮ, kiti ES ir Lietuvoje veikiantys teisės aktai.
4.13. Duomenų valdytojas ir Duomenų tvarkytojas turi teisę žinoti ir kontroliuoti kaip laikomasi BDAR, ADTAĮ, kitų ES ir Lietuvoje veikiančių teisės aktų nuostatų, tvarkant asmens duomenis, ir gauti reikalingą informaciją į bet kurios Sutarties šalies pateiktus klausimus, susijusius su duomenų tvarkymu.
4.14. Duomenų tvarkytojas ir jo įgalioti darbuotojai privalo bendradarbiauti su Duomenų valdytojų ir jo įgaliotais atstovais. Duomenų tvarkytojas ar jo įgaliotas atstovas pateikia Duomenų valdytojui visą informaciją, bei padeda Duomenų valdytojui arba Duomenų valdytojo įgaliotam auditoriui atlikti auditą, įskaitant patikrinimus. Duomenų tvarkymo audito grafiką, tvarką ir apimtį Duomenų valdytojas ir Duomenų tvarkytojas suderina iš anksto. Visas audito išlaidas padengia Duomenų valdytojas. Auditas negali kliudyti Duomenų tvarkytojui vykdyti savo pareigas pagal Sutartį arba kelti grėsmę asmens duomenų saugumui, konfidencialumui ir paslaugų teikimui. Jeigu auditui atlikti yra pasitelkiami tretieji asmenys, jie neturi būti Duomenų tvarkytojo konkurentai (vykdantys panašią ūkinę veiklą kaip Duomenų tvarkytojas).
4.15. Duomenų subjektui pateikus prašymą tiesiogiai Duomenų tvarkytojui, sudaryti sąlygas susipažinti su tvarkomais Duomenų subjekto duomenimis bei pasinaudoti BDAR III skyriuje jam nustatytomis teisėmis, Duomenų tvarkytojas ar jo įgaliotas atstovas nedelsiant, bet ne vėliau kaip per 2 (dvi) darbo dienas, nukreipia Duomenų subjektą ar Duomenų subjekto prašymą Duomenų valdytojui, informuodamas Duomenų subjektą, kad jis gali įgyvendinti savo teises tik kreipdamasis tiesiogiai į Duomenų valdytoją.
4.16. Duomenų tvarkytojas, pagal Duomenų valdytojo pasirinkimą, pasibaigus sutarčiai ir užbaigus teikti su duomenų tvarkymu susijusias paslaugas, duomenis ištrina arba pagal Duomenų valdytojo rašytinį prašymą gautus duomenis grąžina Duomenų valdytojui, išskyrus atvejus, kai BDAR, ADTAĮ, kitų ES ir Lietuvoje veikiančių teisės aktais reikalaujama asmens duomenis saugoti.
4.17. Duomenų valdytojas ir Duomenų tvarkytojas atskirai susitaria, kad tvarkys viena iš kitos gautų už duomenų tvarkymą atsakingų darbuotojų kontaktinius duomenis (pareigas, vardą, pavardę, telefono numerį, el. pašto adresą), kad Duomenų valdytojo ir Duomenų tvarkytojo įgalioti darbuotojai tinkamai bendradarbiautų ir vykdytų Sutartį. Duomenų valdytojas ir Duomenų tvarkytojas informuoja savo darbuotojus apie jų asmens duomenų perdavimą kitai Sutarties šaliai bei paaiškina perdavimo tikslą, teisinį pagrindą, perduodamų duomenų apimtį, taip pat informuoja darbuotojus apie jų galimybę pasinaudoti BDAR III skyriuje jiems nustatytomis teisėmis ir tvarka. Duomenų valdytojo ir Duomenų tvarkytojo įgalioti darbuotojai savo teises gali įgyvendinti susisiekdami su atitinkama šalimi, Sutartyje nurodytais buveinės adresais ar el. pašto adresais. Duomenų valdytojas ir Duomenų tvarkytojas įsipareigoja atsakyti į tokį kitos šalies įgalioto darbuotojo prašymą per 1 mėnesį.
5. KITOS SUTARTIES VYKDYMO SĄLYGOS
5.1. Duomenų valdytojo ir Duomenų tvarkytojo bendravimas vyksta operatyviai žodžiu ar elektroniniu paštu. Jeigu vienos iš sutarties šalių valios išraiška pateikiama kitai Sutarties šaliai elektroniniu paštu, laikoma, kad tokia valios išraiška atitinka šios Sutarties reikalaujamą rašytinę formą.
5.2. Jei pasikeičia bet kurios Sutarties šalies rekvizitai, buveinės adresas, įgalioti atstovai ar kiti duomenys, tokia šalis turi informuoti apie tai kitą šalį raštu nedelsiant arba pranešdama ne vėliau nei prieš 5 kalendorines dienas. Jei šaliai nepavyksta laikytis šių reikalavimų, ji neturi teisės į pretenziją ar atsiliepimą, jei kitos šalies veiksmai- atlikti remiantis paskutiniais žinomais jai duomenimis arba ji negavo jokio pranešimo, išsiųsto pagal tuos duomenis.
5.3. Atsiradus Sutartyje nenumatytoms aplinkybėms, Sutartis gali būti pakeista ar papildyta atskiru Sutarties šalių rašytiniu susitarimu, kuris nuo pasirašymo dienos tampa neatsiejama Sutarties dalimi.
5.4. Duomenų tvarkytojas ir Duomenų valdytojas yra atsakingi už visus įsipareigojimus, veiksmus ir reikalavimus, kurie numatyti Sutartyje ir Lietuvos Respublikos galiojančiuose teisės aktuose. Jei Duomenų tvarkytojas ar Duomenų valdytojas pažeidžia savo įsipareigojimus dėl asmens duomenų apsaugos ir duomenų saugumo, kurie numatyti Sutartyje ir Lietuvos Respublikos galiojančiuose teisės aktuose, pažeidėjas privalo atlyginti nukentėjusiai šaliai padarytą žalą ir teisines išlaidas.
5.5. Duomenų tvarkytojas už dėl duomenų tvarkymo sukeltą žalą atsako tik tuo atveju, jei jis nesilaikė BDAR konkrečiai Duomenų tvarkytojams nustatytų prievolių arba jei jis veikė nepaisydamas teisėtų Duomenų valdytojo nurodymų arba juos pažeisdamas.
5.6. Bet kokie Sutarties ar Sutarties priedų pakeitimai ir papildymai galioja tik jei yra sudaryti raštu ir pasirašyti, įskaitant pasirašymą elektroniniu būdu. Jei kuri nors Sutarties ar sutarties prieduose nurodyta nuostata yra pripažįstama negaliojančia, Sutarties šalys privalo ją pakeisti kita, kiek įmanoma artimesne pagal turinį ir prasmę nuostata.