VALSTYBINĖs DUOMENŲ APSAUGOS INSPEKCIJos
DIREKTORIUS
ĮSAKYMAS
DĖL STANDARTINIŲ SUTARČIŲ SĄLYGŲ ASMENS DUOMENŲ TVARKYMO SUTARTYSE PATVIRTINIMO
2021 m. gruodžio 27 d. Nr. 1T-117 (1.12.E)
Vilnius
Vadovaudamasis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679) 28 straipsnio 8 dalimi:
2. N u s t a t a u, kad siekiant pasirašyti asmens duomenų tvarkymo sutartis pagal Reglamentu (ES) 2016/679 28 straipsnį, standartinės sutarčių sąlygos (toliau – Sąlygos), negali būti keičiamos. Šis reikalavimas neapriboja duomenų valdytojo teisės įtraukti Sąlygų į platesnės apimties susitarimus, įskaitant kitas nuostatas ar papildomas apsaugos priemones, jei jos tiesiogiai ar netiesiogiai neprieštarauja Sąlygoms ir (ar) nepažeidžia Reglamentu (ES) 2016/679 užtikrinamos pagrindinių duomenų subjekto teisių ar laisvių ir apsaugos.
PATVIRTINTA
Valstybinės duomenų apsaugos inspekcijos
direktoriaus 2021 m. gruodžio 27 d.
įsakymu Nr. 1T-117 (1.12.E)
(Standartinės sutarčių sąlygos asmens duomenų tvarkymo sutartyse)
STANDARTINĖS SUTARČIŲ SĄLYGOS ASMENS DUOMENŲ TVARKYMO SUTARTYSE
20 _______________Nr._
(data)
_____________
(vieta)
Duomenų valdytojas _____________________________________________________
____________________________________________________________________________,
(duomenų valdytojo pavadinimas, kodas, buveinės adresas, telefono ryšio numeris ir elektroninio pašto adresas; jeigu duomenų valdytojas fizinis asmuo – vardas ir pavardė, individualios veiklos pažymėjimo arba verslo liudijimo numeris, gyvenamosios vietos adresas, telefono ryšio numeris ir elektroninio pašto adresas)
atstovaujamas _____________________________________________________________________,
(duomenų valdytojui atstovaujančio asmens vardas ir pavardė, pareigos, atstovavimo pagrindas)
ir Duomenų tvarkytojas _____________________________________________________________
__________________________________________________________________________________,
(duomenų tvarkytojo pavadinimas, kodas, buveinės adresas, telefono ryšio numeris ir elektroninio pašto adresas; jeigu duomenų tvarkytojas fizinis asmuo – vardas ir pavardė, individualios veiklos pažymėjimo arba verslo liudijimo numeris, gyvenamosios vietos adresas, telefono ryšio numeris ir elektroninio pašto adresas)
atstovaujamas _____________________________________________________________________,
(duomenų tvarkytojui atstovaujančio asmens vardas ir pavardė, pareigos, atstovavimo pagrindas)
kiekvienas atskirai vadinamas „Šalimi“, o kartu „Šalimis“,
vadovaudamosi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679),
susitarė dėl standartinių sutarčių sąlygų asmens duomenų tvarkymo sutartyse(toliau – Sąlygos), kurias sudaro Sąlygose nurodyti ir Sąlygų galiojimo laikotarpiu sudaryti priedai.
I SKYRIUS
SĄLYGŲ TIKSLAS
1. Siekiant įgyvendinti Reglamento (ES) 2016/679 28 straipsnio 3 dalį, nustatomos duomenų valdytojo ir duomenų tvarkytojo teisės bei pareigos, duomenų valdytojo vardu tvarkant asmens duomenis. Sąlygomis turi būti siekiama apsaugoti duomenų subjektų teises, mažinti konkrečią asmens duomenų apsaugos riziką ir užtikrinti duomenų valdytojo ir duomenų tvarkytojo santykių bei atitinkamų teisių ir pareigų aiškumą.
2. Teikdamas [paslaugos pavadinimas] paslaugas [kai taikoma, susitarimo dėl šių paslaugų teikimo sudarymo rekvizitai, pavyzdžiui, data / numeris / pavadinimas], duomenų tvarkytojas tvarkys asmens duomenis duomenų valdytojo vardu pagal šias Sąlygas. Asmens duomenų tvarkymo sąlygos nustatytos Sąlygų 1 priede.
II SKYRIUS
ŠALIŲ ĮSIPAREIGOJIMAI
3. Duomenų valdytojas:
3.1. įsipareigoja užtikrinti, kad asmens duomenys būtų tvarkomi laikantis Reglamento (ES) 2016/679 (žr. Reglamento (ES) 2016/679 24 straipsnį), kitų asmens duomenų apsaugą ir (ar) tvarkymą reglamentuojančių Europos Sąjungos ar jos valstybės narės[1] teisės aktų ir šių Sąlygų;
4. Duomenų tvarkytojas įsipareigoja:
4.1. tvarkyti asmens duomenis tik pagal duomenų valdytojo pateiktus dokumentais įformintus nurodymus, išskyrus atvejus, kai to reikalaujama pagal Europos Sąjungos ar jos valstybės narės teisės aktus, kurie yra taikomi duomenų tvarkytojui (tokiais atvejais duomenų tvarkytojas informuoja duomenų valdytoją apie šiuos reikalavimus, išskyrus atvejus, kai teisės aktai draudžiama minėtą informaciją pateikti dėl svarbaus viešojo intereso). Tokie nurodymai pateikti Sąlygų 1 ir 3 prieduose. Duomenų valdytojas taip pat gali pateikti tolesnius nurodymus viso asmens duomenų tvarkymo metu, tačiau tokie su Sąlygomis susiję nurodymai visada turi būti pagrįsti dokumentais;
4.2. nedelsiant informuoti duomenų valdytoją, jei duomenų valdytojo nurodymai, duomenų tvarkytojo nuomone, prieštarauja Reglamentui (ES) 2016/679 arba kitiems asmens duomenų apsaugą reglamentuojantiems Europos Sąjungos ar jos valstybių narių teisės aktams;
5. [PASTABA. Šalys turėtų numatyti pasekmes, kurias gali sukelti bet kokie duomenų valdytojo duoti galimai neteisėti nurodymai, ir tai reglamentuoti tarp šalių sudarytoje sutartyje].
III SKYRIUS
KONFIDENCIALUMAS
7. Duomenų tvarkytojas prieigą prie duomenų valdytojo vardu tvarkomų asmens duomenų suteikia tik tiems asmenims, kuriems vadovauja duomenų tvarkytojas, ir kurie yra įpareigoti laikytis konfidencialumo arba kuriems taikoma teisinė konfidencialumo pareiga, ir tik tuo atveju, jei jiems būtina su jais susipažinti. Šalys užtikrina, kad:
7.1. Pasikeitus asmenims, kurie tvarko asmens duomenis, jų prieigos teisės prie duomenų valdytojo asmens duomenų panaikinamos ne vėliau nei paskutinę jo užduočių, dėl kurių jiems būtina prieiga prie duomenų valdytojo asmens duomenų, patikėtų tvarkyti duomenų tvarkytojui, dieną, o tuo atveju jei nutrūksta duomenų tvarkytojo darbuotojo darbo santykiai – ne vėliau nei paskutinę jo darbo dieną.
7.2. Asmenų, kuriems suteikta prieiga prie asmens duomenų, sąrašas turi būti periodiškai peržiūrimas [asmens duomenų tvarkymo sutartyje Šalys turi susitarti dėl konkrečių peržiūros intervalų, pavyzdžiui, ne rečiau kaip kartą kas 6 mėnesius]. Vadovaujantis šia peržiūra, tokia prieiga prie asmens duomenų panaikinama, jei tokia prieiga nebereikalinga, todėl asmens duomenys nebegalės būti prieinami tiems asmenims.
IV SKYRIUS
DUOMENŲ TVARKYMO SAUGUMAS
9. Vadovaujantis Reglamento (ES) 2016/679 32 straipsniu, duomenų valdytojas ir duomenų tvarkytojas įgyvendina tinkamas technines ir organizacines priemones, kad būtų užtikrintas pavojų atitinkančio lygio saugumas, atsižvelgiant į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms.
10. Duomenų valdytojas įvertina fizinių asmenų teisėms ir laisvėms galinčią kilti riziką tvarkant asmens duomenis ir įgyvendina priemones šiai rizikai sumažinti. Priklausomai nuo jų tinkamumo, priemonės gali būti šios:
10.2. galimybė užtikrinti nuolatinį duomenų tvarkymo sistemų ir paslaugų konfidencialumą, vientisumą, prieinamumą ir atsparumą;
10.3. galimybė laiku atkurti prieinamumą ir prieigą prie asmens duomenų, įvykus fiziniam ar techniniam incidentui;
11. Pagal Reglamento (ES) 2016/679 32 straipsnį duomenų tvarkytojas, nepriklausomai nuo duomenų valdytojo, taip pat įvertina duomenų tvarkymo riziką, susijusią su asmens duomenų tvarkymo veikla, kuriai atlikti duomenų valdytojas pasitelkė duomenų tvarkytoją, galinčią kilti fizinių asmenų teisėms ir laisvėms, ir įgyvendina priemones šiai rizikai sumažinti. Šiuo tikslu duomenų valdytojas duomenų tvarkytojui pateikia visą informaciją, reikalingą tokiai rizikai nustatyti ir įvertinti.
12. Be to, duomenų tvarkytojas padeda duomenų valdytojui užtikrinti duomenų valdytojo pareigų pagal Reglamento (ES) 2016/679 32 straipsnį vykdymą, teikdamas inter alia duomenų valdytojui informaciją apie technines ir organizacines priemones, kurias duomenų tvarkytojas jau įgyvendino pagal Reglamento (ES) 2016/679 32 straipsnį kartu su visa kita informacija, reikalinga duomenų valdytojui įvykdyti duomenų valdytojo pareigas pagal Reglamento (ES) 2016/679 32 straipsnį.
13. Jei, atsižvelgiant į duomenų valdytojo atliktą vertinimą, nustatytai rizikai sumažinti duomenų tvarkytojas turi įgyvendinti papildomas priemones, duomenų valdytojas šias priemones nurodo Sąlygų 3 priede, o duomenų tvarkytojas turi įgyvendinti papildomas priemones ir tas, kurias jau įgyvendino pagal Reglamento (ES) 2016/679 32 straipsnį. Duomenų tvarkytojas turi duomenų valdytojui suteikti visą informaciją, kuri būtina siekiant įrodyti Sąlygų X skyriuje nustatytų duomenų tvarkytojo pareigų vykdymą. a
V SKYRIUS
KITŲ DUOMENŲ TVARKYTOJŲ PASITELKIMAS
14. Duomenų tvarkytojas turi laikytis Reglamento (ES) 2016/679 28 straipsnio 2 ir 4 dalyse nurodytus reikalavimus, kad galėtų pasitelkti kitą duomenų tvarkytoją (toliau – pagalbinis duomenų tvarkytojas).
15. Duomenų valdytojo sąlygos, kuriomis vadovaujantis duomenų tvarkytojas galės pasitelkti pagalbinis duomenų tvarkytojus, ir duomenų valdytojo įgaliotų pagalbinių duomenų tvarkytojų sąrašas pateikiamos Sąlygų 2 priede.
16. Duomenų tvarkytojas nepasitelkia pagalbinio duomenų tvarkytojo Asmens duomenų tvarkymui pagal šias Sąlygas be išankstinio [1 PASIRINKIMAS] specialaus duomenų valdytojo rašytinio leidimo] / [2 PASIRINKIMAS] bendrojo rašytinio duomenų valdytojo leidimo]:
16.1. [1 PASIRINKIMAS – specialus išankstinis duomenų valdytojo leidimas]. Duomenų tvarkytojas pasitelkia pagalbinius duomenų tvarkytojus tik gavęs specialų išankstinį duomenų valdytojo leidimą. Duomenų tvarkytojas turi raštu pateikti prašymą dėl specialaus leidimo bent jau [nurodyti laikotarpį] iki atitinkamo pagalbinio duomenų tvarkytojo pasitelkimo.
16.2. [2 PASIRINKIMAS – bendrasis rašytinis duomenų valdytojo leidimas]. Duomenų tvarkytojas turi bendrąjį rašytinį duomenų valdytojo leidimą, kad jis galėtų pasitelkti pagalbinius duomenų tvarkytojus. Duomenų tvarkytojas raštu informuoja duomenų valdytoją apie bet kokius numatomus pakeitimus, susijusius su pagalbinių duomenų tvarkytojų pasitelkimu ar pakeitimu bent jau iki [nurodyti laikotarpį], tokiu būdu duomenų valdytojui suteikiant galimybę prieštarauti tokiems pakeitimams iki atitinkamo (-ų) pagalbinio (-ų) duomenų tvarkytojo(-ų) pasitelkimo. Ilgesni išankstinio pranešimo apie specialias papildomo tvarkymo paslaugas laikotarpiai gali būti pateikti Sąlygų 2 priede.
17. Kai duomenų tvarkytojas konkrečiai duomenų tvarkymo veiklai duomenų valdytojo vardu atlikti pasitelkia pagalbinį duomenų tvarkytoją, sutartimi ar kitu teisės aktu pagal Sąjungos ar valstybės narės teisę, tam pagalbiniam duomenų tvarkytojui nustatomos tos pačios duomenų apsaugos prievolės, kaip ir prievolės, nustatytos Sąlygose ar kitame teisės akte, visų pirma prievolė pakankamai užtikrinti, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų Sąlygų ir Reglamento (ES) 2016/679 reikalavimus. Prieš pradėdamas tvarkyti asmens duomenis, duomenų tvarkytojas informuoja pagalbinį duomenų tvarkytoją apie tai, kurio duomenų valdytojo asmens duomenų tvarkymui jis yra pasitelkiamas, nurodydamas duomenų valdytojo tapatybę ir kontaktinius duomenis.
18. Sąlygų su pagalbiniu duomenų tvarkytoju kopija ir jos vėlesni pakeitimai, duomenų valdytojo prašymu, pateikiami duomenų valdytojui, tokiu būdu suteikiant duomenų valdytojui galimybę užtikrinti, kad pagalbiniam duomenų tvarkytojui taikomos tos pačios duomenų apsaugos prievolės, kaip yra nustatyta Sąlygose. Duomenų tvarkytojas turi informuoti duomenų valdytoją apie visus netinkamo pagalbinio duomenų tvarkytojo pareigų, nustatytų tokia sutartimi ar kitu teisės aktu, atvejus. Duomenų valdytojui nėra privaloma pateikti asmens duomenų tvarkymo sutarties dėl su verslu susijusių nuostatų, kurios nedaro įtakos su pagalbiniu duomenų tvarkytoju sudarytos sutarties teisinėms asmens duomenų apsaugos sąlygoms.
19. Duomenų tvarkytojas turi susitarti su pagalbiniu duomenų tvarkytoju, jei toks pasitelkiamas, kad pirminio duomenų tvarkytojo bankroto atveju, duomenų valdytojas turi teisę tęsti duomenų tvarkymo santykius su pirminio duomenų tvarkytojo pasitelktu pagalbiniu duomenų tvarkytoju tiesiogiai ir (arba) teikti tiesioginius nurodymus dėl duomenų tvarkymo, pavyzdžiui, nurodyti pagalbiniam duomenų valdytojui ištrinti arba grąžinti asmens duomenis.
20. Duomenų tvarkytojas yra atsakingas už reikalavimą, kad pagalbinis duomenų tvarkytojas laikytųsi bent tų pareigų, kurios duomenų tvarkytojui taikomos pagal Sąlygas ir Reglamentą (ES) 2016/679. Jei pagalbinis duomenų tvarkytojas nevykdo asmens duomenų apsaugos prievolių, pirminis duomenų tvarkytojas, su kuriuo sudaryta asmens duomenų tvarkymo sutartis, išlieka visiškai atsakingas duomenų valdytojui už pagalbinio duomenų tvarkytojo prievolių vykdymą. Tai nedaro įtakos duomenų subjektų teisėms pagal Reglamentą (ES) 2016/679, ypač Reglamento (ES) 2016/679 79 ir 82 straipsniuose numatytoms teisėms, duomenų valdytojo ir duomenų tvarkytojo, įskaitant pagalbinius duomenų tvarkytojus, atžvilgiu.
VI SKYRIUS
DUOMENŲ PERDAVIMAS Į TREČIĄSIAS VALSTYBES[2] ARBA TARPTAUTINĖMS ORGANIZACIJOMS
21. Duomenų tvarkytojas asmens duomenis gali perduoti į trečiąsias valstybes ar tarptautinėms organizacijoms tik gavęs duomenų valdytojo dokumentais įformintus nurodymus ir laikantis Reglamento (ES) 2016/679 V skyriaus reikalavimų.
22. Jei asmens duomenis trečiosioms valstybėms ar tarptautinėms organizacijoms reikia perduoti pagal Europos Sąjungos ar jos valstybės narės teisės aktus, kurių turi laikytis duomenų tvarkytojas, nors duomenų valdytojas nedavė nurodymų duomenų tvarkytojui tai atlikti, duomenų tvarkytojas informuoja duomenų valdytoją apie šį teisinį reikalavimą prieš duomenų perdavimą, nebent tas teisės aktas draudžia perduoti tokią informaciją.
23. Duomenų tvarkytojas be duomenų valdytojo dokumentais įformintų nurodymų arba be konkretaus reikalavimo pagal Europos Sąjungos ar jos valstybės narės teisės aktus negali pagal šias Sąlygas:
23.1. perduoti asmens duomenis duomenų valdytojui ar duomenų tvarkytojui trečiojoje valstybėje ar tarptautinėje organizacijoje;
24. Duomenų valdytojo nurodymai ar leidimai dėl asmens duomenų perdavimo į trečiąją valstybę, įskaitant, jei taikoma, asmens duomenų perdavimo į trečiąsias valstybes Reglamento (ES) 2016/679 V skyriuje nustatytus pagrindai, kuriais duomenų valdytojo nurodymai yra grindžiami, pateikiami Sąlygų 3 priede.
25. Šios Sąlygos nėra standartinės duomenų apsaugos sąlygos, apibrėžtos Reglamento (ES) 2016/679 46 straipsnio 2 dalies c ir d punktuose, ir šalys negali remtis Sąlygomis kaip asmens duomenų perdavimo į trečiąsias valstybes ar tarptautinėms organizacijoms pagrindu pagal Reglamento (ES) 2016/679 V skyrių.
VII SKYRIUS
PAGALBA DUOMENŲ VALDYTOJUI
26. Atsižvelgdamas į duomenų tvarkymo pobūdį, duomenų tvarkytojas, kiek tai įmanoma, padeda duomenų valdytojui tinkamomis techninėmis ir organizacinėmis priemonėmis įvykdyti duomenų valdytojo prievoles atsakyti į prašymus naudotis duomenų subjekto teisėmis, nustatytomis Reglamento (ES) 2016/679 III skyriuje. Tai reiškia, kad duomenų tvarkytojas, kiek tai įmanoma, padeda duomenų valdytojui, kad duomenų valdytojas įgyvendintų:
26.7. prievolę pranešti apie asmens duomenų ištaisymą ar ištrynimą arba duomenų tvarkymo apribojimą;
27. Be duomenų tvarkytojo prievolės padėti duomenų valdytojui pagal Sąlygų 12 punktą, duomenų tvarkytojas, atsižvelgdamas į tvarkymo pobūdį ir duomenų tvarkytojui prieinamą informaciją, taip pat padeda duomenų valdytojui užtikrinti:
27.1. duomenų valdytojo pareigą nedelsiant ir, jei įmanoma, ne vėliau kaip per 72 valandas po to, kai apie tai sužinojo, pranešti apie asmens duomenų saugumo pažeidimą kompetentingai priežiūros institucijai – [nurodyti kompetentingą priežiūros instituciją], nebent asmens duomenų saugumo pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms;
27.2. duomenų valdytojo pareigą nepagrįstai nedelsiant pranešti duomenų subjektui apie asmens duomenų pažeidimą, kai asmens duomenų saugumo pažeidimas gali sukelti didelę riziką fizinių asmenų teisėms ir laisvėms;
27.3. duomenų valdytojo pareigą atlikti numatytų asmens duomenų tvarkymo operacijų poveikio duomenų apsaugai vertinimą, kai asmens duomenų tvarkymo būdas gali sukelti didelę riziką fizinių asmenų teisėms ir laisvėms;
27.4. duomenų valdytojo pareigą konsultuotis su kompetentinga priežiūros institucija – [nurodyti kompetentingą priežiūros instituciją] prieš pradedant duomenų tvarkymą, jei poveikio duomenų apsaugos vertinimas rodo, kad duomenų tvarkymas sukeltų didelę riziką, jei duomenų valdytojas nesiimtų priemonių tai rizikai sumažinti.
28. Šalys Sąlygų 3 priede nustato tinkamas technines ir organizacines priemones, kurias turi taikyti duomenų tvarkytojas siekiant padėti duomenų valdytojui įgyvendinti duomenų subjekto teises ir vykdyti Reglamento (ES) 2016/679 33–36 straipsniuose įtvirtintas pareigas. Tai taikoma prievolėms, nurodytoms Sąlygų 27 punkte.
VIII SKYRIUS
PRANEŠIMAS APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ
29. Duomenų tvarkytojas, sužinojęs apie asmens duomenų saugumo pažeidimą, nepagrįstai nedelsdamas apie tai praneša duomenų valdytojui. Duomenų tvarkytojas praneša duomenų valdytojui per [valandų skaičius] po to, kai duomenų tvarkytojas sužinojo apie asmens duomenų saugumo pažeidimą, kad duomenų valdytojas galėtų įvykdyti duomenų valdytojo pareigą pranešti apie asmens duomenų saugumo pažeidimą kompetentingai priežiūros institucijai, pagal Reglamento (ES) 2016/679 33 straipsnį.
30. Sąlygų 27.1 papunktyje nurodyta duomenų tvarkytojo pareiga padėti duomenų valdytojui pranešti kompetentingai priežiūros institucijai apie asmens duomenų pažeidimą reiškia, kad duomenų tvarkytojas privalo duomenų valdytojui padėti gauti toliau išvardytą informaciją, kuri, remiantis Reglamento (ES) 2016/679 33 straipsnio 3 dalimi, turi būti nurodyta duomenų valdytojo pranešime kompetentingai priežiūros institucijai:
30.1. asmens duomenų pobūdis, įskaitant, jei įmanoma, atitinkamų duomenų subjektų kategorijos ir apytikslis jų skaičius bei atitinkamų asmens duomenų kategorijos ir apytikslis skaičius;
30.3. priemonės, kurių ėmėsi ar siūlo imtis duomenų valdytojas dėl asmens duomenų pažeidimo, įskaitant, jei reikia, priemones, skirtas sušvelninti galimą neigiamą pažeidimo poveikį;
31. Sąlygų 3 priede nustatomi visi elementai, kuriuos turi pateikti duomenų tvarkytojas, padėdamas duomenų valdytojui pranešti kompetentingai priežiūros institucijai apie asmens duomenų saugumo pažeidimą. Jei duomenų tvarkytojas duomenų valdytojui pateikia ne visą informaciją apie asmens duomenų saugumo pažeidimą arba vėliau paaiškėja papildoma informacija, duomenų tvarkytojas privalo nepagrįstai nedelsdamas, bet ne vėliau kaip per [valandų skaičius] pateikti papildomą pranešimą duomenų valdytojui, nurodydamas visą trūkstamą informaciją.
IX SKYRIUS
DUOMENŲ TRYNIMAS IR GRĄŽINIMAS
33. Pasibaigus asmens duomenų tvarkymo paslaugų teikimui, duomenų tvarkytojas privalo duomenų valdytojo pasirinkimu [1 PASIRINKIMAS] ištrinti visus asmens duomenis, tvarkomus duomenų valdytojo vardu, ir įrodyti duomenų valdytojui, kad tai padarė ir (arba) [2 PASIRINIMAS] grąžinti visus asmens duomenis duomenų valdytojui ir ištrinti esamas kopijas, nebent asmens duomenis reikia saugoti pagal Europos Sąjungos ar jos valstybės narės teisės aktus.
34. [PASIRINKTINAI] Pasibaigus asmens duomenų tvarkymo paslaugų teikimui, asmens duomenis reikia saugoti pagal šiuos duomenų tvarkytojui taikomus Europos Sąjungos ar jos valstybės narės teisės aktus:
X SKYRIUS
DUOMENŲ TVARKYTOJO AUDITAS IR TIKRINIMAS
36. Duomenų tvarkytojas duomenų valdytojui suteikia visą informaciją, reikalingą įrodyti, kad laikomasi Reglamento (ES) 2016/679 28 straipsnyje ir Sąlygose nustatytų pareigų, ir sudaro sąlygas ir padeda atlikti duomenų valdytojui ar kitam duomenų valdytojo įgaliotam auditoriui auditą, įskaitant patikrinimus vietoje.
37. Duomenų valdytojo atliekamam duomenų tvarkytojo ir pagalbinių duomenų tvarkytojų auditui, įskaitant patikrinimus, taikomos Sąlygų 3 Priedo 7 ir 8 punktuose nurodytos procedūros.
38. Duomenų tvarkytojas turi suteikti priežiūros institucijoms, kurios pagal galiojančius teisės aktus turi prieigą prie duomenų valdytojo ir duomenų tvarkytojo įrenginių, arba atstovams, veikiantiems tokių priežiūros institucijų vardu, prieigą prie duomenų tvarkytojo fizinių priemonių ar atlikti kitus priežiūros institucijų nurodytus veiksmus auditui ar kitam patikrinimui atlikti. Šalys turi kompetentingų priežiūros institucijų prašymu pateikti šiose Sąlygose nurodytą informaciją, įskaitant auditų rezultatus.
XI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
40. Asmens duomenų tvarkymo paslaugų teikimo laikotarpiu Sąlygos negali būti nutrauktos, jei šalys nėra susitarusios dėl kitų Sąlygų, reglamentuojančių asmens duomenų tvarkymo paslaugų teikimą.
41. Jei asmens duomenų tvarkymo paslaugų teikimas yra nutraukiamas, o asmens duomenys ištrinami arba grąžinami duomenų valdytojui pagal Sąlygų 33 punktą ir Sąlygų 3 Priedo 4 punktą, Sąlygos gali būti nutraukiamos bet kuriai šaliai pateikus rašytinį pranešimą.
42. Nedarant poveikio jokioms Reglamento (ES) 2016/679 nuostatoms, duomenų tvarkytojui pažeidus pareigas pagal šias Sąlygas, duomenų valdytojas gali nurodyti duomenų tvarkytojui laikinai sustabdyti asmens duomenų tvarkymą, kol pastarasis laikysis šių Sąlygų arba Sąlygos bus nutrauktos. Duomenų tvarkytojas nedelsdamas informuoja duomenų valdytoją, jei dėl kokios nors priežasties jis negali vykdyti Sąlygų.
43. Duomenų valdytojas turi teisę nutraukti Sąlygas, jeigu:
43.1. duomenų tvarkytojas iš esmės arba nuolat pažeidžia Sąlygas arba savo įsipareigojimus pagal Reglamentą (ES) 2016/679;
43.2. duomenų tvarkytojas nesilaiko privalomo teismo arba priežiūros institucijos sprendimo dėl savo įsipareigojimų pagal Sąlygas arba Reglamentą (ES) 2016/679;
43.3. duomenų valdytojas sustabdė duomenų tvarkytojo atliekamą asmens duomenų tvarkymą pagal Sąlygų 43.1 ir (ar) 43.2 papunkčius ir atitiktis šioms Sąlygoms nėra atkurta per [konkretus laikotarpis. Pastaba: pasirinktas pagrįstas laikotarpis negali būti ilgesnis nei vienas mėnuo nuo sustabdymo momento].
44. Sąlygos turi pirmenybę prieš bet kokias panašias su asmens duomenų tvarkymu susijusias nuostatas kituose Šalių susitarimuose.
XII SKYRIUS
ŠALIŲ REKVIZITAI, PARAŠAI
Duomenų valdytojo vardu: Duomenų tvarkytojo vardu:
pareigos pareigos
vardas, pavardė vardas, pavardė
data data
A. V. A. V.
Standartinių sutarčių sąlygų asmens duomenų tvarkymo sutartyse
1 priedas
INFORMACIJA APIE ASMENS DUOMENŲ TVARKYMĄ
1.Informacija apie asmens duomenų tvarkymą:
[PASTABA. Jei yra atliekama keletas duomenų tvarkymo operacijų, šios dalys turi būti užpildytos kiekvienai tvarkymo veiklai].
1.1. Duomenų tvarkytojo atliekamo asmens duomenų tvarkymo tikslas yra:
[Aprašykite asmens duomenų tvarkymo tikslą, jį suformuluojant aiškiai ir konkrečiai, t. y. pakankamai išsamiai, kad būtų galima nustatyti, kokios rūšies tvarkymą jis apima, ir įvertinti, ar konkretus tikslas neprieštarauja teisės aktų reikalavimams].
[PAVYZDŽIAI. „Duomenų valdytojo dokumentų paruošimas saugojimui pagal Lietuvos Respublikos dokumentų ir archyvų įstatymo ir Lietuvos vyriausiojo archyvo reikalavimus arba naikinimui, jei jų saugojimo terminas yra pasibaigęs“, „Duomenų valdytojo asmens duomenų saugojimas“]
1.2. Duomenų tvarkytojo asmens duomenų tvarkymas daugiausia susijęs su (tvarkymo pobūdžiu):
[Aprašykite duomenų tvarkymo pobūdį].
[PAVYZDYS. Duomenų valdytojo dokumentų paruošimas saugojimui pagal Lietuvos Respublikos dokumentų ir archyvų įstatymo ir Lietuvos vyriausiojo archyvo reikalavimus arba naikinimui, jei jų saugojimo terminas yra pasibaigęs, t. y.:
1. ilgo saugojimo dokumentų paruošimas archyviniam saugojimui;
2. trumpai saugomų dokumentų paruošimu archyviniam saugojimui;
3. dokumentų atranka naikinimui ir naikinimo dokumentų paruošimas.
1.3. Duomenų tvarkymas apima šiuos asmens duomenis:
[Aprašykite tvarkomų asmens duomenų rūšį].
[PAVYZDYS. Vardas, pavardė, elektroninio pašto adresas, telefono ryšio numeris, gyvenamosios vietos adresas, nacionalinis identifikavimo numeris (asmens kodas), išsami informacija apie mokėjimą, narystės numeris, narystės rūšis].
[PASTABA. Aprašymas turėtų būti kuo išsamesnis, neapsiribojant tik tokiais teiginiais kaip „asmens duomenys, kaip jie apibrėžti Reglamento (ES) 2016/679 4 straipsnio 1 dalyje“, arba vien asmens duomenų kategorijos (t. y. Reglamento (ES) 2016/679 6, 9 ir (ar) 10 straipsniai) nurodymu].
1.4. Duomenų tvarkymas apima šias duomenų subjektų kategorijas:
[Aprašykite duomenų subjekto kategoriją].
[PAVYZDŽIAI. „Asmenys, kurie yra duomenų valdytojo lojalumo programos nariai“, „Fiziniai asmenys, užsiregistravę gauti el. pašto pranešimus“, „Vaikai, kuriems siūlomos informacinės visuomenės paslaugos“, „Klientai iš trečiųjų valstybių“].
Standartinių sutarčių sąlygų dėl asmens duomenų tvarkymo sutartyse
2 priedas
INFORMACIJA APIE PAGALBINIUS DUOMENŲ TVARKYTOJUS
1. Įgalioti pagalbiniai duomenų tvarkytojai:
Įsigaliojus Sąlygoms, duomenų valdytojas leidžia pasitelkti šiuos pagalbinius duomenų tvarkytojus:
Pavadinimas, vardas, pavardė |
Įmonės kodas / individualios veiklos pažymėjimo numeris arba verslo liudijimo numeris |
Buveinės adresas / gyvenamosios vietos adresas |
Asmens duomenų tvarkymo aprašymas |
|
|
|
|
|
|
|
|
|
|
|
|
Įsigaliojus Sąlygoms, duomenų valdytojas leidžia kitai šaliai Sąlygų 1 priedo 1.1 papunktyje nurodytais tikslais pasitelkti šiame Sąlygų priede nurodytus pagalbinius duomenų tvarkytojus, laikantis Sąlygų VI skyriaus reikalavimų. Siekiant pasitelkti minėtus pagalbinius duomenų tvarkytojus asmens duomenų tvarkymui kitais tikslais nei tikslai, nustatyti Salygų 1 priedo 1.1 papunktyje, būtinas rašytinis duomenų valdytojo leidimas.
2. Išankstinis pranešimas dėl leidimo suteikimo pagalbiniams duomenų tvarkytojams
[Jei taikoma, nurodykite išankstinio pranešimo dėl leidimo suteikimo naujiems pagalbiniams duomenų tvarkytojams laikotarpius ir (arba) kitas susijusias sąlygas, pavyzdžiui, kokiu būdu turi būti pateikta informacija duomenų valdytojui, kokiu būdu duomenų valdytojas turi informuoti duomenų tvarkytoją apie savo sprendimą leisti (neleisti) pasitelkti konkretaus naujo pagalbinio duomenų tvarkytojo ir pan. Šiame priede taip pat gali būti nustatyta, ar reikalingas atskiras duomenų valdytojo leidimas, jei siekiama atnaujinti asmens duomenų tvarkymo sutartį su pagalbiniu duomenų valdytoju].
Standartinių sutarčių sąlygų dėl asmens duomenų tvarkymo sutartyse
3 priedas
NURODYMAI, KAIP TVARKYTI ASMENS DUOMENIS
1. Duomenų tvarkymo nurodymas
Duomenų tvarkytojas duomenų valdytojo vardu asmens duomenų tvarkymo metu atlieka šiuos veiksmus:
[Aprašykite duomenų tvarkymą, kurį duomenų tvarkytojui pavesta atlikti].
2. Duomenų tvarkymo saugumas
Apsaugos lygis nustatomas atsižvelgiant į:
[Išsamiai aprašykite, atsižvelgiant į duomenų tvarkymo veiklos pobūdį, apimtį, kontekstą ir tikslus, taip pat į pavojų fizinių asmenų teisėms ir laisvėms. Apibūdinkite dalis, kurios yra svarbios saugumo lygiui.]
[PAVYZDYS. Atsižvelgiant į tai, kad duomenų tvarkymas yra susijęs su dideliu asmens duomenų kiekiu, kuriam taikomas Reglamento (ES) 2016/679 9 straipsnis dėl specialių asmens duomenų kategorijų, turėtų būti nustatytas „aukštas“ saugumo lygis].
Duomenų tvarkytojas turi teisę ir privalo priimti sprendimus dėl techninių ir organizacinių saugumo priemonių naudojimo užtikrinti reikiamą (ir suderintą) duomenų saugumo lygį.
Tačiau duomenų tvarkytojas bet kuriuo atveju įgyvendina šias su duomenų valdytoju suderintas priemones [PASTABA. Šis sąrašas turi būti tiek detalus, kad duomenų valdytojas turėtų galimybę įvertinti priemonių tinkamumą atskaitomybės pareigai užtikrinti. Šalys turėtų svarstyti įtraukti asmens duomenų tvarkymui naudojamos programinės įrangos saugumo priemonių aprašymus]:
[Aprašykite, kokias technines ir (ar) organizacines saugumo priemones turi taikyti duomenų tvarkytojas, įskaitant atitiktį konkretiems standartams, rekomendacijoms ar kitoms gerosioms praktikoms, tvarkydamas asmens duomenis pagal Sąlygas].
[Jei taikoma: aprašykite asmens duomenų pseudonimizavimo ir šifravimo reikalavimus].
[Aprašykite reikalavimus, užtikrinančius nuolatinį duomenų tvarkymo sistemų ir paslaugų konfidencialumą, vientisumą, prieinamumą ir atsparumą].
[Aprašykite reikalavimus, susijusius su galimybe laiku atkurti prieinamumą ir prieigą prie asmens duomenų, įvykus fiziniam ar techniniam įvykiui].
[Aprašykite reikalavimus, taikomus reguliariam testavimui, įvertinimui ir techninių bei organizacinių priemonių, užtikrinančių duomenų tvarkymo saugumą, efektyvumo nustatymui].
[Apibūdinkite prieigai, įskaitant nuotolines prieigas, prie asmens duomenų keliamus reikalavimus].
[Aprašykite asmens duomenų apsaugai keliamus reikalavimus duomenų perdavimo metu].
[Aprašykite asmens duomenų apsaugai keliamus reikalavimus jų saugojimo metu].
[Aprašykite reikalavimus, keliamus fiziniam saugumui vietose, kuriose tvarkomi asmens duomenys].
[Aprašykite reikalavimus, keliamus darbui namuose/nuotoliniam darbui].
3. Pagalba duomenų valdytojui
Duomenų tvarkytojas, kiek tai įmanoma ir atsižvelgiant į toliau nurodytą pagalbos sritį bei apimtį, padeda duomenų valdytojui pagal Sąlygų 26–28 punktus įgyvendinti šias technines bei organizacines priemones:
[Aprašykite duomenų tvarkytojo teikiamos pagalbos apimtį ir mastą].
[Aprašykite konkrečias technines ir organizacines priemones, kurių turi imtis duomenų tvarkytojas, norėdamas padėti duomenų valdytojui].
[PASTABA. Ši dalis turi padėti duomenų tvarkytojui imtis tam tikrų priemonių, jei kiltų bent viena iš šių aplinkybių, pavyzdžiui, Sąlygose neaprašytų veiksmų, kurių turi būti imamasi, ar procedūros, kurių turi būti laikomasi, siekiant padėti duomenų valdytojui pranešti apie asmens duomenų saugumo pažeidimus, atlikti poveikio duomenų apsaugai vertinimus, įgyvendinti duomenų subjekto teises, padėti susijusiuose audituose ir kt.]
[PAVYZDŽIAI. „Duomenų subjektų prašymai turi būti nepagrįstai nedelsiant, bet ne vėliau nei [konkretus laikotarpis] nuo prašymo gavimo, persiųstas duomenų valdytojui [konkreti priemonė]“, „Atsakymai duomenų subjektams turi būti parengti pagal duomenų valdytojo nurodymus“, „įvykus asmens duomenų saugumo pažeidimui, duomenų tvarkytojas informuoja duomenų valdytoją, pateikdamas [konkreti informacija]“, „duomenų valdytojo prašymu duomenų tvarkytojas pateikia pagalbinio duomenų valdytojo asmens duomenų saugumo pažeidimų žurnalo išrašą [konkretus šio išrašo pateikimo būdas ir terminas]“, kt.].
4. Duomenų saugojimo laikotarpis/duomenų trynimo procedūros
[Nurodykite duomenų saugojimo laikotarpį/duomenų trynimo procedūras, skirtas duomenų tvarkytojui, jei taikoma, pavyzdžiui, kaip ir kokiais terminais duomenų tvarkytojas turi įrodyti asmens duomenų sunaikinimo faktą].
[PAVYZDYS NR.1. Asmens duomenys saugomi [nurodykite laikotarpį arba įvykį], po to duomenų tvarkytojas automatiškai ištrina asmens duomenis.
Nutraukęs asmens duomenų tvarkymo paslaugų teikimą, duomenų tvarkytojas [pasirinkite: ištrina arba grąžina] asmens duomenis, atsižvelgiant į Salygų 33 punkto reikalavimus, nebent pasirašęs Sąlygas duomenų valdytojas pakeičia pirminį duomenų valdytojo pasirinkimą. Atsižvelgiant į Sąlygas, tokie pakeitimai turi būti pagrįsti dokumentais].
[PAVYZDYS NR.2. Asmens duomenys saugomi [nurodykite laikotarpį arba įvykį], po to duomenų tvarkytojas automatiškai ištrina asmens duomenis.
Nutraukęs asmens duomenų tvarkymo paslaugų teikimą, originalius duomenų valdytojo duomenų tvarkytojui perduotus dokumentus grąžina duomenų valdytojui, o dokumentų kopijas ištrina ir patvirtina tai raštu, išskyrus atvejus, kai asmens duomenis saugoti įpareigoja teisės aktai. Duomenų tvarkytojas taip pat privalo informuoti Duomenų valdytoją apie tai, kokie asmens duomenys ar jų kopijos nėra ištrinami bei kokie teisės aktai tai reglamentuoja].
5. Duomenų tvarkymo vieta
Atsižvelgiant į Sąlygas, be išankstinio rašytinio duomenų valdytojo leidimo asmens duomenys negali būti tvarkomi kitose vietose, išskyrus šias:
[Nurodykite, kur duomenų tvarkymas yra atliekamas] [Nurodykite duomenų tvarkytojo arba pagalbinio duomenų tvarkytojo naudojamą adresą].
6. Nurodymai dėl asmens duomenų perdavimo į trečiąją valstybę ar tarptautinėms organizacijoms
[Aprašykite nurodymą dėl asmens duomenų perdavimo trečiajai valstybei ar tarptautinei organizacijai].
[Nurodykite teisinį duomenų perdavimo pagrindą pagal Reglamento (ES) 2016/679 V skyrių].
Jei duomenų valdytojas nenurodo Sąlygose arba vėliau nepateikia dokumentais pagrįstų nurodymų dėl asmens duomenų perdavimo į trečiąją valstybę ar tarptautinėms organizacijoms, duomenų tvarkytojas neturi teisės atlikti tokį perdavimą pagal šią Sąlygas.
7. Procedūros, skirtos duomenų valdytojo atliekamiems duomenų tvarkytojo asmens duomenų tvarkymo auditams, įskaitant patikrinimams vietoje
[Aprašykite procedūras, skirtas duomenų valdytojo atliekamiems duomenų tvarkytojo asmens duomenų tvarkymo auditams, įskaitant patikrinimams vietoje].
[PAVYZDYS NR. 1. „Duomenų tvarkytojas [nurodykite laikotarpį] [duomenų tvarkytojo/duomenų valdytojo] lėšomis gauna iš nepriklausomos duomenų valdytojo paskirtos trečiosios šalies [pasirinkti: auditoriaus ataskaitą; patikrinimo ataskaitą] apie tai, kaip duomenų tvarkytojas laikosi Reglamento (ES) 2016/679 reikalavimų, galiojančių Europos Sąjungos ar jos valstybės narės asmens duomenų apsaugos nuostatų ir Sąlygų.
Šalys susitarė, kad atsižvelgiant į Sąlygas, gali būti naudojami šie [pasirinkite: auditoriaus ataskaitos/ patikrinimo ataskaitos] tipai:
[Įrašykite patvirtintas auditoriaus ataskaitas/patikrinimo ataskaitas].
[Pasirinkite: auditoriaus ataskaita/patikrinimo ataskaita] nedelsiant turi būti pateikta susipažinimui duomenų valdytojui. Duomenų valdytojas gali užginčyti ataskaitos apimtį ir (arba) metodiką ir tokiais atvejais gali paprašyti atlikti naują [pasirinkite: auditą/patikrinimą] pagal pakeistą taikymo sritį ir (arba) kitokią metodiką.
Remdamasis tokio [pasirinkite: audito/patikrinimo] rezultatais, duomenų valdytojas gali paprašyti imtis papildomų priemonių, kad būtų užtikrinta atitiktis Reglamentui (ES) 2016/679, galiojančioms Europos Sąjungos ar jos valstybių narių asmens duomenų apsaugos nuostatoms ir Sąlygoms.
Be to, duomenų valdytojas arba duomenų valdytojo atstovas turi teisę patikrinti vietas, įskaitant atlikti jų fizinę apžiūrą, kuriose duomenų tvarkytojas tvarko asmens duomenis, įskaitant fizines priemones, taip pat sistemas, naudojamas ir susijusias su duomenų tvarkymu. Toks patikrinimas atliekamas tada, kai duomenų valdytojas mano, kad to reikia]“.
[PAVYZDYS NR. 2. „Duomenų valdytojas arba duomenų valdytojo atstovas [nurodykite laikotarpį] fiziškai patikrina tas vietas, kuriose duomenų tvarkytojas tvarko asmens duomenis, įskaitant fizines priemones, taip pat sistemas, naudojamas ir susijusias su duomenų tvarkymu, siekiant įsitikinti, ar duomenų tvarkytojas laikosi Reglamento (ES) 2016/679, galiojančių Europos Sąjungos ar jos valstybių narių asmens duomenų apsaugos nuostatų ir Sąlygų.
Be suplanuoto patikrinimo, duomenų valdytojas gali atlikti duomenų tvarkytojo patikrinimą, kai duomenų valdytojas mano, kad to reikia“].
8. [Jei taikoma] Procedūros, skirtos pagalbinių duomenų tvarkytojų atliekamų asmens duomenų tvarkymo auditams, įskaitant patikrinimams vietoje
[Aprašykite procedūras, skirtas duomenų valdytojo atliekamiems pagalbinių duomenų tvarkytojų asmens duomenų tvarkymo auditams, įskaitant patikrinimams vietoje].
[PAVYZDYS NR. 1. Duomenų tvarkytojas [nurodykite laikotarpį] [pasirinkite: duomenų tvarkytojo/duomenų valdytojo] lėšomis gauna iš nepriklausomos duomenų valdytojo paskirtos trečiosios šalies [pasirinkite: auditoriaus ataskaitą/patikrinimo ataskaitą] apie tai, kaip duomenų tvarkytojas laikosi Reglamento (ES) 2016/679 reikalavimų, galiojančių Europos Sąjungos ar jos valstybės narės duomenų apsaugos nuostatų ir Sąlygų.
Šalys susitarė, kad atsižvelgiant į Sąlygas gali būti naudojami šie [pasirinkite: auditoriaus ataskaitos/patikrinimo ataskaitos] tipai:
[įrašykite patvirtintas auditoriaus ir (ar) patikrinimo ataskaitas]
[Pasirinkite: auditoriaus ataskaita/patikrinimo ataskaita] nedelsiant turi būti pateikta susipažinimui duomenų valdytojui. Duomenų valdytojas gali užginčyti ataskaitos apimtį ir (arba) metodiką ir tokiais atvejais gali paprašyti atlikti naują [pasirinkite: auditą/patikrinimą] pagal pakeistą taikymo sritį ir (arba) kitokią metodiką.
Remdamasis tokio [pasirinkite: audito/patikrinimo] rezultatais, duomenų valdytojas gali paprašyti imtis papildomų priemonių, kad būtų užtikrinta atitiktis Reglamentui (ES) 2016/679 reikalavimams, galiojančių Europos Sąjungos ar jos valstybės narės duomenų apsaugos nuostatoms ir Sąlygoms.
Be to, duomenų tvarkytojas arba duomenų tvarkytojo atstovas turi teisę patikrinti vietas, įskaitant atlikti jų fizinę apžiūrą, kuriose pagalbinis duomenų tvarkytojas tvarko asmens duomenis, įskaitant fizines priemones, taip pat sistemas, naudojamas ir susijusias su duomenų tvarkymu. Toks patikrinimas atliekamas tada, kai duomenų tvarkytojas mano, kad to reikia.
Tokių patikrinimų dokumentai nedelsiant pateikiami duomenų valdytojui susipažinti. Duomenų valdytojas gali užginčyti ataskaitos apimtį ir (arba) metodiką ir tokiais atvejais gali paprašyti atlikti naują [pasirinkite: auditą/patikrinimą] pagal pakeistą taikymo sritį ir (arba) kitokią metodiką].
[PAVYZDYS NR. 2. Duomenų tvarkytojas arba duomenų tvarkytojo atstovas [nurodykite laikotarpį] fiziškai patikrina tas vietas, kuriose pagalbinis duomenų tvarkytojas tvarko asmens duomenis, įskaitant fizines priemones, taip pat sistemas, naudojamas ir susijusias su duomenų apdorojimu, siekiant įsitikinti, ar pagalbinis duomenų tvarkytojas laikosi Reglamento (ES) 2016/679, galiojančių Europos Sąjungos ar jos valstybių narių duomenų apsaugos nuostatų ir Sąlygų.
Be suplanuoto patikrinimo, duomenų valdytojas gali atlikti pagalbinio duomenų tvarkytojo patikrinimą, kai duomenų tvarkytojas mano, kad to reikia.
Tokių patikrinimų dokumentai nedelsiant pateikiami duomenų valdytojui susipažinti. Duomenų valdytojas gali užginčyti ataskaitos apimtį ir (arba) metodiką ir tokiais atvejais gali paprašyti atlikti naują [pasirinkti: auditą/patikrinimą] pagal pakeistą taikymo sritį ir (arba) kitokią metodiką.
Remdamasis tokio [pasirinkti: audito/patikrinimo] rezultatais, duomenų valdytojas gali paprašyti imtis papildomų priemonių, kad būtų užtikrinta atitiktis Reglamentui (ES) 2016/679, galiojančioms Europos Sąjungos ar jos valstybių narių duomenų apsaugos nuostatoms ir Sąlygoms].
[Papildomai prie Pavyzdžio Nr. 2, jei taikoma, nurodykite: jei reikia, duomenų valdytojas gali nuspręsti inicijuoti ir dalyvauti fiziniame pagalbinio duomenų tvarkytojo patikrinime. Tai gali būti taikoma, jei duomenų valdytojas mano, kad duomenų tvarkytojas, prižiūrintis pagalbinį duomenų tvarkytoją, duomenų valdytojui nepateikė pakankamai dokumentų, kad būtų galima nustatyti, ar pagalbinis duomenų tvarkytojas atlieka duomenų tvarkymą pagal Sąlygas.
Duomenų valdytojo dalyvavimas pagalbinio duomenų tvarkytojo patikrinime nekeičia fakto, kad nurodytam duomenų tvarkytojui ir toliau tenka visa atsakomybė už pagalbinio duomenų tvarkytojo atitiktį Reglamentui (ES) 2016/679, galiojančioms Europos Sąjungos ar jos valstybių narių duomenų apsaugos nuostatoms ir Sąlygoms].