Duomenų tvarkymo sutartis

Įsigaliojimo data
2026 m. balandžio 24 d.
Paskutinis atnaujinimas
2026 m. balandžio 24 d.

Duomenų tvarkymo sutartis

Įsigaliojimo data: 2026 m. balandžio 24 d. Paskutinis atnaujinimas: 2026 m. balandžio 24 d.

Ši Duomenų tvarkymo sutartis („DTS”) sudaro neatskiriamą Paslaugų sutarties tarp UAB Backoffice Solutions, įmonės kodas 307630360, registruotos buveinės adresas Švitrigailos g. 11K-109, LT-03228 Vilnius, Lietuva („Backoffice”, „mes”), ir Paslaugų sutartyje nurodyto kliento („Klientas”, „Jūs”) dėl naudojimosi Backoffice paslauga („Paslauga”) dalį.

Ši DTS reglamentuoja asmens duomenų tvarkymą, kurį Backoffice atlieka Kliento vardu teikdama Paslaugą, vadovaujantis Reglamentu (ES) 2016/679 („BDAR”) ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu.

Sudarydamas Paslaugų sutartį arba pradėdamas naudotis Paslauga, Klientas sutinka su šia DTS. Pasirašytą egzempliorių galima gauti pateikus prašymą el. paštu privacy@backoffice.lt.

1. Sąvokos

Šioje DTS vartojamos sąvokos turi reikšmes, nustatytas BDAR. Be to:

  • Asmens duomenys — asmens duomenys, kaip apibrėžta BDAR 4 straipsnio 1 dalyje, kuriuos Backoffice tvarko Kliento vardu teikdama Paslaugą.
  • Šalys — Klientas ir Backoffice kartu; kiekvienas atskirai — „Šalis”.
  • Duomenų valdytojas — fizinis arba juridinis asmuo, kaip apibrėžta BDAR 4 straipsnio 7 dalyje; pagal šią DTS tai yra Klientas.
  • Duomenų tvarkytojas — fizinis arba juridinis asmuo, kaip apibrėžta BDAR 4 straipsnio 8 dalyje; pagal šią DTS tai yra Backoffice.
  • Kitas duomenų tvarkytojas — bet kuris trečiasis asmuo, kurį Backoffice pasitelkia tvarkyti Asmens duomenis Kliento vardu.
  • Asmens duomenų saugumo pažeidimas — saugumo pažeidimas, kaip apibrėžta BDAR 4 straipsnio 12 dalyje.
  • Standartinės sutarčių sąlygos — Komisijos įgyvendinimo sprendimo (ES) 2021/914 priede pateiktos asmens duomenų perdavimo į trečiąsias šalis sąlygos.
  • Paslaugų sutartis — tarp Šalių sudaryta sutartis dėl Kliento naudojimosi Paslauga, įskaitant užsakymo formą, paslaugų sąlygas ar pagrindinę prenumeratos sutartį.
  • Įsigaliojimo data — šios DTS pradžioje nurodyta data, kai DTS pradeda galioti tarp Šalių.

2. Šalių vaidmenys

Klientas yra Asmens duomenų duomenų valdytojas. Backoffice yra duomenų tvarkytojas. Backoffice pasitelkti kiti duomenų tvarkytojai veikia kaip tolesni duomenų tvarkytojai.

Kai Klientas pats yra duomenų tvarkytojas, veikiantis trečiojo asmens duomenų valdytojo vardu, Backoffice veikia kaip kitas duomenų tvarkytojas, o Klientas garantuoja, kad turi įgaliojimą duoti Backoffice nurodymus to duomenų valdytojo vardu.

3. Apimtis ir nurodymai

Backoffice tvarko Asmens duomenis tik:

(a) pagal dokumentuotus Kliento nurodymus, įskaitant nurodymus, įtvirtintus šioje DTS, Paslaugų sutartyje ir nustatomus Klientui naudojantis Paslaugos konfigūracijos nustatymais; ir

(b) tiek, kiek to reikalauja Sąjungos arba valstybės narės teisė, taikoma Backoffice; tokiu atveju Backoffice apie tokį teisės reikalavimą informuoja Klientą prieš pradedant tvarkymą, išskyrus atvejus, kai tokia teisė draudžia tokį informavimą dėl svarbių viešojo intereso priežasčių.

Jei Backoffice nuomone nurodymas pažeidžia BDAR ar kitus taikomus duomenų apsaugos teisės aktus, ji nedelsdama informuoja Klientą.

4. Tvarkymo dalykas, trukmė, pobūdis ir tikslas

ElementasAprašymas
DalykasDarbo jėgos valdymo programinės įrangos teikimas, įskaitant grafikų sudarymą, darbo laiko apskaitą, darbuotojų įrašus, pranešimus ir susijusias operacines darbo eigas.
TrukmėPaslaugų sutarties galiojimo laikotarpis ir 14 skyriuje nustatytas duomenų grąžinimo arba ištrynimo laikotarpis po sutarties pabaigos.
PobūdisRinkimas, įrašymas, saugojimas, struktūrizavimas, paieška, perdavimas, ataskaitų ir pranešimų generavimas bei susijusios automatinėmis priemonėmis atliekamos tvarkymo operacijos.
TikslasSuteikti Klientui galimybę valdyti savo darbuotojus ir vykdyti operacinius bei teisės aktais nustatytus įrašų laikymo įsipareigojimus.

5. Duomenų ir duomenų subjektų kategorijos

Asmens duomenų kategorijos

  • Identifikavimo duomenys: vardas, pavardė, kontaktinė informacija.
  • Užimtumo duomenys: pareigos, padalinys, sutarties tipas, darbo valandos, atlyginimo duomenys.
  • Operaciniai duomenys: grafikai, prisiregistravimo įrašai, neatvykimo įrašai, žinutės programėlėje.
  • Techniniai duomenys: autentifikacijos identifikatoriai, įrenginio identifikatoriai, IP adresai, žurnalų duomenys.

Duomenų subjektų kategorijos

Kliento darbuotojai, vadovai, administratoriai ir kiti įgalioti Paslaugos naudotojai; taip pat tretieji asmenys, kurių asmens duomenis Klientas pasirenka tvarkyti per Paslaugą (pvz., kandidatai, buvę darbuotojai, kontaktiniai asmenys pranešimuose).

Klientas pats nustato, kokie Asmens duomenys yra perduodami Paslaugai, ir yra atsakingas už tai, kad turėtų tvarkymo teisinį pagrindą pagal BDAR 6 straipsnį ir, kai taikytina, 9 straipsnį.

6. Kliento atsakomybė

Klientas yra atsakingas už:

(a) tvarkymo nurodymų teisėtumą ir tinkamą teisinį pagrindą pagal BDAR 6 straipsnį (ir, kai taikytina, 9 straipsnį) Asmens duomenims, kuriuos perduoda Paslaugai;

(b) Asmens duomenų, kuriuos perduoda, tikslumą, kokybę ir vientisumą;

(c) reikalingų pranešimų pateikimą duomenų subjektams ir reikalingų sutikimų gavimą;

(d) Paslaugos konfigūravimą atitinkamai pagal savo duomenų apsaugos prievoles.

7. Draudimas naudoti Asmens duomenis Backoffice savo tikslams

Backoffice negali:

(a) parduoti Asmens duomenų;

(b) tvarkyti Asmens duomenų už Paslaugų sutarties ir Kliento dokumentuotų nurodymų ribų;

(c) jungti Asmens duomenis su asmens duomenimis iš kitų šaltinių kitais tikslais nei Paslaugos teikimas Klientui;

(d) naudoti Asmens duomenis mašininio mokymosi ar dirbtinio intelekto modeliams mokyti, išskyrus atvejus, kai tai būtina Paslaugai teikti Klientui ir pagal Kliento dokumentuotus nurodymus.

8. Konfidencialumas

Backoffice užtikrina, kad asmenys, įgalioti tvarkyti Asmens duomenis, būtų įsipareigoję laikytis konfidencialumo pagal sutartį arba įstatymą ir būtų apmokyti su jų vaidmeniu susijusių duomenų apsaugos reikalavimų.

9. Saugumo priemonės

Backoffice įgyvendina tinkamas technines ir organizacines priemones, užtikrinančias rizikai proporcingą saugumo lygį, atsižvelgdama į technologijų lygį, įgyvendinimo sąnaudas ir tvarkymo pobūdį, apimtį, kontekstą bei tikslus, vadovaujantis BDAR 32 straipsniu.

Šios priemonės šiuo metu apima:

  • Šifravimą. Asmens duomenys šifruojami perdavimo metu naudojant dabartinius pramonės standartus (šiuo metu TLS 1.2 ar naujesnę versiją, palaikoma TLS 1.3) ir saugojimo metu naudojant AES-256 ar lygiavertį šifravimą.
  • Pseudonimizavimą arba nuasmeninimą, kai tai suderinama su tvarkymo tikslu.
  • Prieigos kontrolę. Vaidmenimis pagrįsta prieiga taikant mažiausių privilegijų principą; daugiapakopė autentifikacija administracinei ir infrastruktūros prieigai.
  • Tinklo saugumą. Loginis gamybinių ir negamybinių aplinkų atskyrimas; ribotas įeinantis ir išeinantis srautas gamybiniuose tinkluose.
  • Žurnalavimą ir stebėseną. Veiksmų žurnalai prieigai prie Asmens duomenų ir jų pakeitimams, saugomi nustatytą laikotarpį ir stebimi dėl anomalijų.
  • Atsparumą. Reguliarios atsarginės kopijos su periodiniu atkūrimo testavimu; dokumentuoti veiklos tęstinumo planai.
  • Personalą. Tikrinimai, kai tai leidžia teisės aktai; konfidencialumo įsipareigojimai; periodiniai saugumo mokymai.
  • Pažeidžiamumų valdymą. Reguliarus atnaujinimų diegimas, priklausomybių skenavimas ir trūkumų šalinimo stebėsena.
  • Reagavimą į incidentus. Dokumentuotos asmens duomenų saugumo pažeidimų aptikimo, suvaldymo, tyrimo ir pranešimo procedūros.
  • Reguliarų tikrinimą. Reguliarus techninių ir organizacinių priemonių veiksmingumo tikrinimas, vertinimas ir įvertinimas.

Backoffice gali periodiškai atnaujinti šias priemones, jei tai iš esmės nesumažina saugumo lygio. Aktualus techninių ir organizacinių priemonių aprašymas Klientui pateikiamas pateikus prašymą.

10. Kiti duomenų tvarkytojai

Klientas suteikia bendrąjį rašytinį leidimą Backoffice pasitelkti kitus duomenų tvarkytojus, laikantis šio 10 skyriaus reikalavimų.

Aktualus kitų duomenų tvarkytojų sąrašas su jų vieta ir tvarkymo paskirtimi yra paskelbtas Privatumo politikos 6.1 skyriuje adresu https://backoffice.lt/legal/privacy-policy ir nuoroda įtraukiamas į šią DTS (toliau — „Kitų duomenų tvarkytojų sąrašas”). Backoffice nekeis Kitų duomenų tvarkytojų sąrašo kitaip kaip pagal 10 skyriaus (c) punkto tvarką.

Backoffice:

(a) kiekvienam kitam duomenų tvarkytojui nustato duomenų apsaugos įsipareigojimus, kurių apsaugos lygis yra ne mažesnis nei nustatytas šioje DTS;

(b) lieka atsakinga Klientui už kiekvieno kito duomenų tvarkytojo prievolių vykdymą; ir

(c) ne mažiau kaip prieš 30 dienų informuoja Klientą apie planuojamą kito duomenų tvarkytojo pridėjimą ar pakeitimą el. paštu Kliento paskyroje nurodytam kontaktiniam asmeniui ir papildomai per pranešimą Paslaugoje.

Klientas per 14 dienų nuo pranešimo gali pareikšti pagrįstą prieštaravimą duomenų apsaugos pagrindais. Jei prieštaravimas neišsprendžiamas, Klientas gali nutraukti atitinkamą Paslaugų sutarties dalį be sankcijų toje dalyje, kuri susijusi su atitinkamu tvarkymu, ir gauti proporcingą iš anksto sumokėtų mokesčių grąžinimą už tą tvarkymo dalį.

11. Tarptautiniai perdavimai

Pirminis Asmens duomenų tvarkymas vyksta Europos Sąjungoje. Kai Backoffice ar kitas duomenų tvarkytojas tvarko Asmens duomenis už ES/EEE ribų, perdavimas atliekamas remiantis:

(a) Europos Komisijos sprendimu dėl tinkamumo; arba

(b) Europos Komisijos Standartinėmis sutarčių sąlygomis (Sprendimas (ES) 2021/914), kurias Šalys nuoroda įtraukia į šią DTS, papildant techninėmis, organizacinėmis ir sutartinėmis priemonėmis, kai to reikalauja teismų praktika, įskaitant Schrems II sprendimą.

Šalys susitaria, kad taikomas Standartinių sutarčių sąlygų 2 modulis (valdytojas–tvarkytojas), o kai aktualus 2 skyriaus 2 pastraipos scenarijus (Klientas veikia kaip tvarkytojas) — 3 modulis. Šalys taip pat susitaria, kad:

(i) Standartinių sutarčių sąlygų I, II ir III priedai laikomi užpildytais šios DTS 4, 5, 9 skyriais ir Kitų duomenų tvarkytojų sąrašu; (ii) taikoma fakultatyvioji prijungimo sąlyga (7 sąlyga); (iii) 9 sąlygos a punkto atveju taikomas 1 variantas (bendrasis rašytinis leidimas), su 10 skyriuje nustatytu terminu; (iv) 17 ir 18 sąlygų atveju taikoma šios DTS 18 skyriuje nurodyta teisė ir teismingumas; (v) Backoffice palaiko perdavimo poveikio vertinimą perdavimams pagal Standartines sutarčių sąlygas ir Kliento prašymu pateikia jo santrauką per pagrįstą terminą, bet ne vėliau kaip per 30 dienų.

Backoffice Klientui pateikia informaciją apie kiekvienam kitam duomenų tvarkytojui taikomą perdavimo mechanizmą pateikus prašymą.

12. Pagalba Klientui

Atsižvelgdama į tvarkymo pobūdį ir Backoffice prieinamą informaciją, Backoffice tinkamomis techninėmis ir organizacinėmis priemonėmis padeda Klientui, kiek tai įmanoma, vykdyti Kliento prievoles:

(a) atsakyti į duomenų subjektų prašymus įgyvendinti jų teises pagal BDAR 15–22 straipsnius (susipažinti, ištaisyti, ištrinti, apriboti, perkelti, prieštarauti);

(b) užtikrinti tvarkymo saugumą (32 straipsnis);

(c) pranešti apie asmens duomenų saugumo pažeidimus priežiūros institucijoms ir duomenų subjektams (33–34 straipsniai);

(d) atlikti poveikio duomenų apsaugai vertinimus ir išankstines konsultacijas su priežiūros institucija (35–36 straipsniai).

Paslaugoje yra savitarnos įrankiai, leidžiantys Klientui susipažinti su savo duomenų subjektų Asmens duomenimis, juos ištaisyti, eksportuoti ir ištrinti. Kai prašoma pagalbos, viršijančios šių įrankių apimtį, Backoffice gali taikyti pagrįstą mokestį pagal faktines sąnaudas, išskyrus atvejus, kai prašymas susijęs su asmens duomenų saugumo pažeidimu, už kurį atsako Backoffice.

Jei Backoffice tiesiogiai gauna duomenų subjekto prašymą dėl Asmens duomenų, tvarkomų Kliento vardu, Backoffice neatsako į prašymą iš esmės (išskyrus gavimo patvirtinimą ir nukreipimą į Klientą) ir nepagrįstai nedelsdama persiunčia prašymą Klientui.

Pagrindinis pagalbos prašymų kontaktas — privacy@backoffice.lt.

13. Pranešimai apie asmens duomenų saugumo pažeidimus

Backoffice nedelsdama, ir bet kuriuo atveju per pakankamą laiką, kad Klientas galėtų įvykdyti savo BDAR 33 straipsnyje nustatytą 72 valandų pranešimo prievolę, po to, kai Backoffice patvirtina Asmens duomenų saugumo pažeidimą, susijusį su Kliento vardu tvarkomais Asmens duomenimis, informuoja Klientą.

Pranešime, kiek tuo metu žinoma, nurodoma:

  • pažeidimo pobūdis, įskaitant duomenų subjektų ir įrašų kategorijas bei apytikslį skaičių;
  • tikėtinos pažeidimo pasekmės;
  • priemonės, kurių imtasi ar siūloma imtis pažeidimui pašalinti ir jo pasekmėms sušvelninti;
  • kontaktinis asmuo papildomai informacijai gauti.

Kai informacija negali būti pateikta iš karto, ji teikiama etapais nedelsiant.

Backoffice dokumentuoja visus Asmens duomenų saugumo pažeidimus, susijusius su Kliento vardu tvarkomais Asmens duomenimis, įskaitant su pažeidimu susijusius faktus, jo poveikį ir taikytas atstatymo priemones, ir Kliento prašymu pateikia šią dokumentaciją.

14. Asmens duomenų grąžinimas ir ištrynimas

Nutraukus Paslaugų sutartį arba pasibaigus jos galiojimui, Backoffice Kliento pasirinkimu grąžina Klientui visus Asmens duomenis arba juos ištrina. Klientas savo pasirinkimą gali pateikti raštu (įskaitant el. paštu privacy@backoffice.lt) per 30 dienų nuo nutraukimo; per šį laikotarpį Asmens duomenys lieka eksportuojami per Paslaugą. Jei per šį 30 dienų laikotarpį Klientas pasirinkimo nepateikia, laikoma, kad Klientas duoda nurodymą Backoffice ištrinti Asmens duomenis. Backoffice atlieka pasirinktą veiksmą per 90 dienų nuo 30 dienų pranešimo termino pabaigos, išskyrus atvejus, kai jų saugojimas yra reikalingas pagal Sąjungos ar valstybės narės teisę; tokiu atveju Asmens duomenims toliau taikoma šios DTS apsauga ir jie tvarkomi tik tuo tikslu ir tiek, kiek to reikalauja toks saugojimo įsipareigojimas.

Pateikus prašymą, Backoffice pateikia rašytinį patvirtinimą apie ištrynimą.

15. Auditas

Backoffice pateikia Klientui visą informaciją, reikalingą įrodyti BDAR 28 straipsnio ir šios DTS laikymąsi.

Kliento audito teisė paprastai įgyvendinama Backoffice pateikiant ne dažniau kaip kartą per kalendorinius metus:

(a) naujausios nepriklausomos trečiosios šalies saugumo ataskaitos kopiją (jei tokia yra); ir

(b) atsakymus į pagrįstą saugumo klausimyną.

Jei to nepakanka konkrečiam Kliento teisės aktų nustatytam įsipareigojimui įvykdyti, Klientas, įspėjęs raštu ne mažiau kaip prieš 30 dienų ir savo lėšomis, gali atlikti auditą įprastomis darbo valandomis, laikydamasis pagrįstų konfidencialumo įsipareigojimų ir iš anksto su Backoffice suderintos apimties. Auditai negali nepagrįstai trikdyti Backoffice veiklos arba kitų klientų duomenų saugumo ar konfidencialumo.

Apribojimas „ne dažniau kaip kartą per kalendorinius metus” ir Kliento sąnaudų taisyklė netaikoma (i) auditams, kurių reikalauja kompetentinga priežiūros institucija, arba (ii) auditams, atliekamiems dėl patvirtinto Asmens duomenų saugumo pažeidimo, už kurį atsako Backoffice.

16. Atsakomybė

Kiekvienos Šalies atsakomybei pagal šią DTS taikomi Paslaugų sutartyje nustatyti atsakomybės apribojimai ir išimtys, išskyrus atsakomybę, kurios negalima pašalinti ar apriboti pagal taikomą teisę, įskaitant atsakomybę pagal BDAR 82 straipsnį prieš duomenų subjektus.

17. Galiojimo terminas ir nutraukimas

Ši DTS įsigalioja Įsigaliojimo dieną ir galioja Paslaugų sutarties galiojimo laikotarpį bei bet kurį vėlesnį laikotarpį, per kurį Backoffice tvarko Asmens duomenis Kliento vardu.

18. Taikytina teisė ir jurisdikcija

Šiai DTS taikoma Lietuvos Respublikos teisė. Ginčai, kylantys iš šios DTS arba su ja susiję, nagrinėjami Lietuvos Respublikos teismuose pagal Backoffice buveinės vietą, vadovaujantis Lietuvos Respublikos civilinio proceso kodekso teismingumo taisyklėmis, išskyrus atvejus, kai imperatyvūs teisės aktai numato kitaip.

19. Pirmenybės tvarka

Esant prieštaravimui tarp šios DTS ir Paslaugų sutarties, Asmens duomenų tvarkymo klausimais pirmenybė teikiama šiai DTS. Esant prieštaravimui tarp šios DTS ir 11 skyriuje nurodytų Standartinių sutarčių sąlygų, pirmenybė teikiama Standartinėms sutarčių sąlygoms. Esant prieštaravimui tarp šios DTS ir 10 skyriuje nurodyto Kitų duomenų tvarkytojų sąrašo, pirmenybė teikiama šiai DTS. Esant prieštaravimui tarp šios DTS ir Backoffice Privatumo politikos dėl Asmens duomenų, tvarkomų Kliento vardu, pirmenybė teikiama šiai DTS.

20. Kontaktai

Visais su šia DTS susijusiais klausimais, įskaitant duomenų subjektų prašymus, prieštaravimus dėl kitų duomenų tvarkytojų, audito prašymus ir pranešimus apie duomenų saugumo pažeidimus:

  • El. paštas: privacy@backoffice.lt
  • Pašto adresas: UAB Backoffice Solutions, Švitrigailos g. 11K-109, LT-03228 Vilnius, Lietuva