LIETUVOS RESPUBLIKOS Ekonomikos ir inovacijų MINISTRAS
įsakymas
DĖL INFORMACINIŲ TECHNOLOGIJŲ PASLAUGŲ TEIKIMO SUTARČIŲ STANDARTINIŲ SĄLYGŲ APRAŠO PATVIRTINIMO
2020 m. spalio 30 d. Nr. 4-960
Vilnius
Įgyvendindamas Lietuvos Respublikos Vyriausybės 2015 m. gegužės 13 d. nutarimo Nr. 498 „Dėl valstybės informacinių technologijų infrastruktūros konsolidavimo ir jos valdymo optimizavimo“ 6.2.3 papunktį,
tvirtinu Informacinių technologijų paslaugų teikimo sutarčių standartinių sąlygų aprašą (pridedama).
PATVIRTINTA
Lietuvos Respublikos
ekonomikos ir inovacijų ministro
2020 m. spalio 30 d.
įsakymu Nr. 4-960
INFORMACINIŲ TECHNOLOGIJŲ PASLAUGŲ TEIKIMO SUTARČIŲ STANDARTINIŲ SĄLYGŲ APRAŠAS
I skyrius
BENDROSIOS NUOSTATOS
1. Informacinių technologijų paslaugų teikimo sutarčių standartinių sąlygų aprašas (toliau – Aprašas) nustato standartines centralizuotai teikiamų Lietuvos Respublikos Vyriausybės 2015 m. gegužės 13 d. nutarimo Nr. 498 „Dėl valstybės informacinių technologijų infrastruktūros konsolidavimo ir jos valdymo optimizavimo“ (toliau - Nutarimas) 5.1 papunktyje nurodytų grupių informacinių technologijų paslaugų (toliau – IT paslaugos) teikimo sutarties (toliau – Sutartis) sąlygas.
2. Aprašas privalomas Sutarties šalims:
2.1. informacinių technologijų paslaugų teikėjui (toliau – IT paslaugų teikėjas) – Informacinės visuomenės plėtros komitetui teikiant IT paslaugas, nurodytas Informacinių technologijų paslaugų teikėjo centralizuotai teikiamų informacinių technologijų paslaugų kataloge, patvirtintame Lietuvos Respublikos ekonomikos ir inovacijų ministro 2020 m. balandžio 20 d. įsakymu Nr. 4-241 „Dėl Informacinių technologijų paslaugų teikėjo centralizuotai teikiamų informacinių technologijų paslaugų katalogo patvirtinimo“ (toliau – IT paslaugų katalogas);
2.2. informacinių technologijų paslaugų gavėjui (toliau – IT paslaugų gavėjas) − Lietuvos Respublikos Vyriausybės kanceliarijai, ministerijoms, Vyriausybės įstaigoms, Vyriausybės atstovų įstaigai, atitinkamo ministro valdymo sritims priskirtoms įstaigoms prie ministerijos, kitoms biudžetinėms įstaigoms, kurių savininko teises ir pareigas įgyvendina Vyriausybė arba jos įgaliota institucija (toliau – valstybės institucija), kurios atitinka bent vieną iš šių sąlygų:
2.2.1. valstybės informacinių technologijų infrastruktūros konsolidavimo ir jos valdymo optimizavimo procese dalyvaujanti valstybės institucija, įtraukta į Nutarimo priedą;
2.2.2. valstybės institucija yra 2014−2020 metų Europos Sąjungos fondų investicijų veiksmų programos, patvirtintos Europos Komisijos 2014 m. rugsėjo 8 d. sprendimu Nr. C (2014) 6397, 2 ir 10 prioritetų lėšomis finansuojamo projekto vykdytoja, turinti poreikį gauti IT paslaugų teikėjo teikiamas IT paslaugas, nurodytas IT paslaugų katalogo Techninės įrangos, teikiamos kaip paslauga (IaaS), paslaugų grupės informacinių technologijų paslaugų sąraše ir Programinės įrangos platformos, teikiamos kaip paslauga (PaaS), paslaugų grupės informacinių technologijų paslaugų sąraše;
2.2.3. valstybės institucija, neįtraukta į Nutarimo priedą, tačiau turinti poreikį gauti IT paslaugų teikėjo teikiamas IT paslaugų kataloge nurodytas IT paslaugas ir gavusi Lietuvos Respublikos ekonomikos ir inovacijų ministerijos pranešimą, kad yra techninė galimybė suteikti reikiamas IT paslaugas.
3. Vadovaudamasis Aprašu IT paslaugų teikėjas parengia Sutartį, į kurią privalo būti įtrauktos Apraše nustatytos standartinės sutarties sąlygos. Apraše nustatytos standartinės sutarties sąlygos laikytinos minimaliais reikalavimais, keliamais Sutartims. IT paslaugų teikėjas ir IT paslaugų gavėjas tarpusavio susitarimu Sutartyje gali nustatyti papildomas sąlygas, nenurodytas Apraše.
4. Apraše vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme ir Nutarime.
II skyrius
STANDARTINĖS SUTARTIES SĄLYGOS
5. Sutartyje turi būti nurodytos šios sąlygos:
III SKYRIUS
SUTARTIES DALYKAS
6. Sutarties dalykas – IT paslaugų, nurodytų IT paslaugų kataloge, teikimas pagal IT paslaugų užsakymą, kuris yra sudėtinė Sutarties dalis.
7. IT paslaugų teikėjas įsipareigoja teikti IT paslaugų gavėjui jo užsakytas IT paslaugas Sutartyje nustatytomis sąlygomis ir tvarka, o IT paslaugų gavėjas įsipareigoja vykdyti Sutartyje numatytus įpareigojimus.
8. Sutarčiai taikoma kainodara nustatyta Lietuvos Respublikos valstybės biudžeto asignavimų, reikalingų informacinių technologijų paslaugoms teikti, dydžių apskaičiavimo metodikoje, patvirtintoje Lietuvos Respublikos ekonomikos ir inovacijų ministro 2020 m. rugpjūčio 13 d. įsakymu Nr. 4-665 „Dėl Lietuvos Respublikos valstybės biudžeto asignavimų, reikalingų informacinių technologijų paslaugoms teikti, dydžių apskaičiavimo metodikos patvirtinimo“.
IV SKYRIUS
IT PASLAUGŲ UŽSAKYMO TEIKIMO IR
UŽSAKYMO PAKEITIMO TVARKA
9. IT paslaugų gavėjas Sutarties galiojimo laikotarpiu gali pateikti jam teikiamų IT paslaugų pakeitimo užsakymą, naują IT paslaugų užsakymą arba atsisakyti jam teikiamų IT paslaugų.
10. IT paslaugų gavėjas, norėdamas užsakyti IT paslaugas, pakeisti užsakymą arba pateikti naują užsakymą, pagal Sutartyje nustatytą formą užpildo IT paslaugų užsakymą ir raštu arba elektroninio ryšio priemonėmis, kurios leidžia užtikrinti teksto vientisumą, nepakeičiamumą ir identifikuoti IT paslaugų užsakymą teikiančio asmens parašą (toliau − elektroninio ryšio priemonės), pateikia IT paslaugų teikėjo darbuotojui, atsakingam už IT paslaugų užsakymo vykdymą.
11. IT paslaugų gavėjas, norėdamas atsisakyti jam teikiamų IT paslaugų, turi raštu arba elektroninio ryšio priemonėmis IT paslaugų teikėjo darbuotojui, atsakingam už IT paslaugų užsakymo vykdymą, ne vėliau kaip prieš 5 darbo dienas pateikti prašymą nutraukti IT paslaugų teikimą, nurodyti Sutarties numerį ir konkrečios paslaugos, kurios norima atsisakyti, kodą, įrašytą IT paslaugų kataloge.
V SKYRIUS
IT PASLAUGŲ TEIKĖJO TEISĖS IR PAREIGOS
13. IT paslaugų teikėjas turi teisę:
13.1. pakeisti IT paslaugų nustatymus ir (ar) naudoti naujas priemones kaip IT paslaugų dalį, užtikrindamas, kad nauji nustatymai ir priemonės pagerintų ar bent jau nesumažintų IT paslaugų kokybės, IT paslaugų gavėjo pateiktų duomenų ar informacijos arba jo nurodymu, naudojantis IT paslaugomis, pateiktų elektroninių duomenų ir (arba) informacijos (toliau – IT paslaugų gavėjo duomenys) saugumo ar nesudarytų tam sąlygų ir toliau leistų IT paslaugų teikėjui teikti IT paslaugas Sutartyje nustatytomis sąlygomis ir tvarka. Apie naujus IT paslaugų nustatymus ir priemones bei apie tai, kokią įtaką šie pakeitimai turės tolesniam IT paslaugų gavėjo duomenų tvarkymui ir (ar) jų saugumui, IT paslaugų teikėjas turi informuoti IT paslaugų gavėją Sutartyje nustatyta tvarka ir terminais. Tais atvejais, kai IT paslaugų nustatymų pakeitimas ir (ar) naujų priemonių naudojimas gali sumažinti duomenų saugumą ar sudaryti tam sąlygas, IT paslaugų teikėjas iš anksto, bet ne vėliau kaip prieš 2 darbo dienas iki IT paslaugų nustatymų pakeitimo ir (ar) naujų priemonių naudojimo apie tai raštu turi informuoti IT paslaugų gavėją ir gauti jo sutikimą;
13.2. vykdydamas planinius techninius darbus, laikinai sustabdyti IT paslaugų teikimą, apie tai įspėjęs IT paslaugų gavėją ne vėliau kaip prieš 5 darbo dienas iki darbų pradžios ir iš anksto suderinęs su IT paslaugų gavėju planinių techninių darbų atlikimo trukmę. IT paslaugų teikimo sustabdymas neturi pažeisti valstybės informaciniams ištekliams keliamų prieinamumo reikalavimų, nustatytų valstybės informacinių išteklių veikimą reglamentuojančiuose teisės aktuose;
13.3. teikti pasiūlymus IT paslaugų gavėjui dėl jo valdomų ir (arba) tvarkomų valstybės informacinių išteklių trūkumų, dėl kurių blogėja teikiamų IT paslaugų parametrai, neracionaliai išnaudojama IT paslaugų teikėjo informacinių technologijų infrastruktūra arba kyla reali rizika dėl jos saugumo;
13.4. iš anksto gavęs IT paslaugų gavėjo leidimą, samdyti trečiuosius asmenis paslaugoms, susijusioms su IT paslaugų teikimu, teikti. IT paslaugų teikėjas atsako už pasamdytus trečiuosius asmenis ir privalo užtikrinti, kad jie laikytųsi IT paslaugų teikėjui Sutartyje nustatytų pareigų;
13.5. turėdamas Aprašo 13.4 papunktyje nurodytą IT paslaugų gavėjo leidimą, suteikti prieigą prie IT paslaugų gavėjo programinės įrangos, jei tai yra neišvengiama siekiant užtikrinti IT paslaugų teikimą. Apie tokios prieigos suteikimo poreikį IT paslaugų teikėjas ne vėliau kaip prieš 5 darbo dienas iki prieigos suteikimo informuoja IT paslaugų gavėją, išskyrus atvejus, kai toks informavimas negalimas vadovaujantis teisės aktuose nustatytais reikalavimais. Tuo atveju, jei prieigos prie IT paslaugų gavėjo programinės įrangos suteikimas tretiesiems asmenims reikalingas atkuriant IT paslaugų teikimą ir užtikrinant veiklos tęstinumą įvykus kibernetiniams arba elektroninės informacijos saugos incidentams ir susidarius nenumatytoms situacijoms, IT paslaugų gavėjas apie tai turi būti informuotas raštu ne vėliau kaip per 2 darbo dienas nuo prieigos prie IT paslaugų gavėjo programinės įrangos suteikimo;
14. IT paslaugų teikėjas įsipareigoja:
14.1. teikti IT paslaugas pagal IT paslaugų kataloge nurodytas IT paslaugų parametrų reikšmes ir Sutartyje nustatytomis sąlygomis;
14.2. neatskleisti ir neperduoti prieigos prie IT paslaugų teikimui reikalingų prisijungimo duomenų tretiesiems asmenims. Jei IT paslaugų teikėjas samdo trečiuosius asmenis, pagal sutartį teikiančius IT paslaugų teikėjui paslaugas, jiems negali būti perduoti IT paslaugų teikėjo darbuotojams suteikti prisijungimo prie IT paslaugų duomenys;
14.3. teikti IT paslaugas vadovaujantis Lietuvos Respublikos kibernetinio saugumo įstatymu, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, ir kitais teisės aktais, reglamentuojančiais organizacinius ir techninių kibernetinio saugumo ir elektroninės informacijos saugos reikalavimus;
14.4. gavęs Aprašo 16.1 papunktyje nurodytą pranešimą, Sutartyje nustatyta tvarka ir terminais imtis veiksmų dėl IT paslaugų sutrikimų, IT paslaugų kokybės pablogėjimo ar kitų nesklandumų, kilusių naudojant IT paslaugas, pašalinimo;
14.5. ne vėliau kaip per 24 valandas nuo tada, kai jis sužinojo apie kibernetinį arba elektroninės informacijos saugos incidentą arba IT paslaugų sutrikimus, elektroniniu paštu pranešti apie tai IT paslaugų gavėjui;
14.6. įvykus kibernetiniam arba elektroninės informacijos saugos incidentui nedelsdamas, bet ne vėliau kaip per 24 (dvidešimt keturias) valandas kartu su IT paslaugų gavėju pradėti tyrimą, teikti IT paslaugų gavėjui visą tyrimui reikalingą informaciją, duomenis, dokumentus ir išsaugoti tyrimui reikalingus įrodymus;
14.7. persiųsti IT paslaugų gavėjui nagrinėti visus IT paslaugų teikėjo gautus valstybės institucijų prašymus suteikti prieigą prie IT paslaugų gavėjo programinės įrangos arba atskleisti IT paslaugų gavėjo duomenis tretiesiems asmenims, išskyrus atvejus, kai tai draudžiama laikantis teisės aktų reikalavimų;
14.8. tvarkyti teikiamų IT paslaugų apskaitą ir IT paslaugų gavėjo prašymu pateikti IT paslaugų gavėjo naudojimosi IT paslaugomis ir sutartinių įsipareigojimų vykdymo ataskaitą;
14.9. užtikrinti, kad jo darbuotojai, įskaitant IT paslaugų teikėjo pasamdytus trečiuosius asmenis, kurie dalyvauja IT paslaugų teikime (toliau – IT paslaugų teikėjo darbuotojai), laikytųsi Sutartyje nustatytų pareigų. Sužinojęs, kad IT paslaugų teikėjo darbuotojas pažeidė Sutartimi nustatytus įpareigojimus, nedelsdamas, bet ne vėliau kaip per 24 (dvidešimt keturias) valandas IT paslaugų teikėjas privalo sustabdyti šio darbuotojo prieigą prie IT paslaugų gavėjo programinės įrangos, IT paslaugų gavėjo duomenų ir (arba) IT paslaugų ir nedelsdamas, bet ne vėliau kaip per 24 (dvidešimt keturias) valandas informuoti apie tai IT paslaugų gavėją;
14.10. sužinojęs, kad IT paslaugų gavėjo darbuotojas, IT paslaugų gavėjo pasamdytų trečiųjų asmenų ir (arba) jų darbuotojas (toliau visi kartu – Galutinis naudotojas), naudodamasis IT paslaugomis, pažeidė Sutartimi nustatytus įpareigojimus, nedelsdamas, bet ne vėliau kaip per 24 (dvidešimt keturias) valandas sustabdyti šio Galutinio naudotojo prieigą prie IT paslaugų gavėjo programinės įrangos, IT paslaugų gavėjo duomenų ir (arba) IT paslaugų, ir nedelsiant, bet ne vėliau kaip per 24 (dvidešimt keturias) valandas informuoti apie tai IT paslaugų gavėją;
14.11. Sutartyje paskirti kontaktinius asmenis (nurodyti kiekvieno jų vardą, pavardę, pareigas ir sritį, už kurią atsakingas asmuo) ir pateikti šių asmenų kontaktinius duomenis (telefono ryšio numeris, elektroninio pašto adresas), kuriais IT paslaugų gavėjas galėtų susisiekti su IT paslaugų teikėju dėl konkrečių IT paslaugų teikimo klausimų, taip pat nurodyti ir IT paslaugų teikėjo pagalbos grupės, kuriai būtų galima pranešti apie IT paslaugų sutrikimus, IT paslaugų kokybės pablogėjimą ar kitus nesklandumus, kilusius naudojant IT paslaugas, kontaktinius duomenis (telefono ryšio numeris, elektroninio pašto adresas);
14.12. atsakyti už:
14.12.2. IT paslaugų gavėjo duomenų saugumo priemonių įgyvendinimą, kibernetinį saugumą ir elektroninės informacijos saugą IT paslaugų teikėjo valdomoje informacinių technologijų infrastruktūroje;
14.12.4. IT paslaugų teikėjo programinės įrangos atsparumo įsilaužimui testavimą, atliekamą suderinus su IT paslaugų gavėju ir pateikiant jam testavimo rezultatus. Testavimas turi būti atliekamas teisės aktuose, reglamentuojančiuose valstybės informacinių išteklių saugą, nustatytu saugos vertinimo atlikimo periodiškumu;
VI SKYRIUS
IT PASLAUGŲ GAVĖJO TEISĖS IR PAREIGOS
15. IT paslaugų gavėjas turi teisę:
15.1. pateikti užsakymą dėl IT paslaugų, kurios nurodytos IT paslaugų kataloge, teikimo, užsakymo pakeitimo arba atsisakyti jam teikiamų IT paslaugų;
15.2. naudotis IT paslaugomis pagal IT paslaugų kataloge nurodytas IT paslaugų parametrų reikšmes ir Sutartyje nustatytus reikalavimus;
15.3. pareikalauti IT paslaugų teikėjo padengti patirtas išlaidas, atsiradusias dėl IT paslaugų teikėjo netinkamo Sutarties vykdymo;
16. IT paslaugų gavėjas įsipareigoja:
16.1. Sutartyje nustatyta tvarka pranešti IT paslaugų teikėjui apie IT paslaugų sutrikimus, IT paslaugų kokybės pablogėjimą ar kitus nesklandumus, kilusius naudojant IT paslaugas;
16.2. bendradarbiauti su IT paslaugų teikėju vertinant pastarojo pateiktus pasiūlymus dėl IT paslaugų gavėjo valdomų ir (arba) tvarkomų valstybės informacinių išteklių trūkumų, dėl kurių blogėja teikiamų IT paslaugų parametrai, neracionaliai išnaudojama IT paslaugų teikėjo informacinių technologijų infrastruktūra arba kyla reali rizika dėl jos saugumo;
16.3. neatskleisti ir neperduoti prieigos prie IT paslaugų teikimui reikalingų prisijungimo duomenų tretiesiems asmenims. Jei IT paslaugų gavėjas samdo trečiuosius asmenis, pagal sutartį teikiančius IT paslaugų gavėjui IT paslaugų gavėjo programinės įrangos kūrimo, modifikavimo, testavimo, palaikymo ir (arba) IT paslaugų gavėjo duomenų tvarkymo ir kt. paslaugas, tokių paslaugų teikėjų darbuotojai užregistruojami kaip nauji IT paslaugų naudotojai, jiems negali būti perduoti IT paslaugų gavėjo darbuotojams suteikti prisijungimo prie IT paslaugų duomenys. IT paslaugų gavėjas atsakingas, kad, pasibaigus sutarčiai su tokiu paslaugų teikėju, prisijungimo prie IT paslaugų duomenys ir teisės būtų laiku panaikintos;
16.4. įvykus kibernetiniam arba elektroninės informacijos saugos incidentui nedelsiant, bet ne vėliau kaip per 24 (dvidešimt keturias) valandas kartu su IT paslaugų teikėju pradėti tyrimą ir bendradarbiauti su IT paslaugų teikėju tiriant kibernetinius arba elektroninės informacijos saugos incidentus, teikti IT paslaugų teikėjui visą tyrimui reikalingą informaciją, duomenis, dokumentus ir išsaugoti tyrimui reikalingus įrodymus;
16.5. tretiesiems asmenims neperduoti savo pagal Sutartį turimų teisių bei pareigų. Jei IT paslaugų gavėjas tretiesiems asmenims suteiks prieigą prie IT paslaugų, IT paslaugų gavėjas ir toliau liks visiškai atsakingas už Sutarties pažeidimus, padarytus tokių trečiųjų asmenų;
16.6. užtikrinti, kad Galutiniai naudotojai laikytųsi Sutartyje nustatytų pareigų. Sužinojęs, kad Galutinis naudotojas pažeidė Sutartimi nustatytus įpareigojimus, nedelsdamas, bet ne vėliau kaip per 24 (dvidešimt keturias) valandas IT paslaugų gavėjas apie tai privalo informuoti paslaugų teikėją;
16.7. Sutartyje paskirti kontaktinius asmenis (nurodyti kiekvieno jų vardą, pavardę, pareigas ir sritį, už kurią atsakingas asmuo) ir pateikti jų kontaktinius duomenis (telefono ryšio numerį, elektroninio pašto adresą), kuriais IT paslaugų teikėjas galėtų susisiekti su IT paslaugų gavėju dėl konkrečių paslaugų teikimo klausimų, nurodyti ir IT paslaugų gavėjo darbuotoją (vardą, pavardę, pareigas), su kuriuo būtų galima susisiekti ne darbo metu tuo atveju, jeigu reikėtų atlikti IT paslaugų teikimo atkūrimo darbus, kuriems reikalingas IT paslaugų gavėjo dalyvavimas, ir šio darbuotojo kontaktinius duomenis (telefono ryšio numerį, elektroninio pašto adresą);
16.8. užtikrinti, kad IT paslaugų gavėjo duomenys ir IT paslaugų gavėjo programinė įranga:
16.8.1. nepažeis trečiųjų asmenų intelektinės nuosavybės bei licencijavimo sąlygų ir (arba) asmens duomenų saugumo reikalavimų;
16.9. užtikrinti, kad IT paslaugų gavėjas turi visas teises, reikalingas teisėtai naudotis IT paslaugų gavėjo programine įranga ir IT paslaugų gavėjo duomenimis, kurie bus talpinami IT paslaugų teikėjo valdomoje informacinių technologijų infrastruktūroje;
16.10. naudotis teikiamomis IT paslaugomis vadovaujantis Lietuvos Respublikos kibernetinio saugumo įstatymu, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, ir kitais teisės aktais, reglamentuojančiais organizacinius ir techninių kibernetinio saugumo ir elektroninės informacijos saugos reikalavimus;
16.11. atsakyti už:
16.11.1. IT paslaugų gavėjo duomenų teisingumą ir tikslumą, IT paslaugų gavėjo techninės ir (ar) programinės įrangos naudojimą, priežiūrą ir poreikių planavimą;
16.11.2. bet kokias pareikštas pretenzijas, ieškinius, susijusius su IT paslaugų gavėjo programine įranga ir IT paslaugų gavėjo duomenimis;
16.11.3. IT paslaugų gavėjo duomenų saugumo priemonių įgyvendinimą, kibernetinį saugumą ir elektroninės informacijos saugą IT paslaugų gavėjo programinėje įrangoje;
16.11.4. IT paslaugų gavėjo programinės įrangos ir (ar) internetinių portalų, kuriuos IT paslaugų gavėjas siekia talpinti IT paslaugų teikėjo valdomoje informacinių technologijų infrastruktūroje, atsparumo įsilaužimui testavimą, atliekamą suderinus su IT paslaugų teikėju ir pateikiant jam testavimo rezultatus. Testavimas turi būti atliekamas teisės aktuose, reglamentuojančiuose valstybės informacinių išteklių saugą, nustatytu saugos vertinimo atlikimo periodiškumu;
VII SKYRIUS
TEISĖS Į IT PASLAUGŲ GAVĖJO PROGRAMINĘ ĮRANGĄ IR
IT PASLAUGŲ GAVĖJO DUOMENIS
17. Teisės į IT paslaugų gavėjo programinę įrangą ir IT paslaugų gavėjo duomenis priklauso IT paslaugų gavėjui arba IT paslaugų gavėjo licenciarams. IT paslaugų gavėjas turi teisę talpinti IT paslaugų teikėjo valdomoje informacinių technologijų infrastruktūroje tik licencijuotą programinę įrangą. IT paslaugų gavėjas sutinka, kad IT paslaugų teikėjas, vykdydamas Sutartį ir teikdamas IT paslaugas, naudotųsi IT paslaugų gavėjo programine įranga ir IT paslaugų gavėjo duomenimis tokia apimtimi, kiek tai reikalinga teikiant IT paslaugas IT paslaugų gavėjui.
VIII SKYRIUS
ASMENS DUOMENŲ TVARKYMAS
19. Sutarties šalys, siekdamos įgyvendinti Reglamento (ES) 2016/679 reikalavimus ir sureguliuoti asmens duomenų tvarkymo santykius, kylančius dėl IT paslaugų teikimo pagal Sutartį ir susiklosčiusius tarp IT paslaugų teikėjo, veikiančio kaip asmens duomenų tvarkytojas, ir IT paslaugų gavėjo, veikiančio kaip asmens duomenų valdytojas, sudaro Asmens duomenų tvarkymo susitarimą (Aprašo priedas), kuris yra neatsiejama Sutarties dalis.
20. Vykdydamas Sutartį IT paslaugų teikėjas asmens duomenis tvarko tik tokia apimtimi, kuri nustatyta Asmens duomenų tvarkymo susitarime, laikydamasis taikytinų teisės aktų. Asmens duomenų, gautų iš IT paslaugų gavėjo, IT paslaugų teikėjas neturi teisės tvarkyti Asmens duomenų tvarkymo susitarime nenurodytais tikslais.
21. IT paslaugų teikėjas asmens duomenis tvarko vadovaudamasis Reglamentu (ES) 2016/679, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, taip pat kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, nuostatomis bei Asmens duomenų tvarkymo susitarimu.
Informacinių technologijų paslaugų teikimo sutarčių standartinių sąlygų aprašo
priedas
ASMENS DUOMENŲ TVARKYMO SUSITARIMAS
I SKYRIUS
ASMENS DUOMENŲ TVARKYMO DALYKAS, TIKSLAS IR TRUKMĖ
1. Šiuo Asmens duomenų tvarkymo susitarimu (toliau – šis susitarimas) siekiama, kad Informacinės visuomenės plėtros komitetas – informacinių technologijų paslaugų teikėjas (toliau – IT paslaugų teikėjas), veikiantis kaip asmens duomenų tvarkytojas, ir informacinių technologijų paslaugų gavėjas (toliau – IT paslaugų gavėjas), veikiantis kaip asmens duomenų valdytojas, laikytųsi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) ir kituose teisės aktuose įtvirtintų asmens duomenų saugumo reikalavimų. Šis susitarimas yra taikomas asmens duomenų tvarkymo veiksmams[1], atliekamiems pagal centralizuotai teikiamų Lietuvos Respublikos Vyriausybės 2015 m. gegužės 13 d. nutarimo Nr. 498 „Dėl valstybės informacinių technologijų infrastruktūros konsolidavimo ir jos valdymo optimizavimo“ 5.1 papunktyje nurodytų grupių informacinių technologijų paslaugų (toliau – IT paslaugos) teikimo sutartį (toliau – Sutartis).
2. Šiame susitarime nurodytos sąlygos laikytinos pavyzdiniais reikalavimais, keliamais IT paslaugų teikėjo ir IT paslaugų gavėjo Asmens duomenų tvarkymo susitarimui (toliau – Susitarimas), kuris yra neatsiejama Sutarties dalis. IT paslaugų gavėjas, atsižvelgdamas į asmens duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, turi teisę Susitarime nustatyti aukštesnius ar papildomus reikalavimus, taip pat atsisakyti šiame susitarime nurodytų neaktualių nuostatų, tačiau Susitarime turi būti nustatyta, kaip konkrečiai kiekviena iš Reglamento (ES) 2016/679 28 straipsnio 3 dalyje nustatytų pareigų turėtų būti įgyvendinama.
3. Susitarime turi būti nurodytas IT paslaugų teikėjui IT paslaugų gavėjo pateiktų asmens duomenų (toliau – Duomenys) tvarkymo dalykas ir Duomenų tvarkymo tikslas, išvardijamos Duomenų kategorijos ir Duomenų subjektų kategorijos. IT paslaugų teikėjas neturi teisės tvarkyti Duomenų Susitarime nenurodytais tikslais.
II SKYRIUS
IT PASLAUGŲ GAVĖJO TEISĖS IR PAREIGOS
5. IT paslaugų gavėjas yra atsakingas už tai, kad Duomenys būtų tvarkomi laikantis Reglamento (ES) 2016/679, Lietuvos Respublikos teisės aktų, reglamentuojančių asmens duomenų apsaugą, Sutarties ir Susitarimo nuostatų. IT paslaugų gavėjas privalo priimti sprendimus dėl Duomenų tvarkymo priemonių.
6. IT paslaugų gavėjas turi teisę:
6.1. reikalauti iš IT paslaugų teikėjo, o IT paslaugų teikėjas privalo pateikti informaciją ir (ar) dokumentus, kurių reikia norint įsitikinti, kad IT paslaugų teikėjas vykdo Susitarime ir teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą, nustatytus Duomenų tvarkymo ir saugumo reikalavimus. IT paslaugų teikėjas privalo IT paslaugų gavėjui pastarojo nurodytu būdu pateikti šią informaciją ir (ar) dokumentus per IT paslaugų gavėjo nurodytą terminą[2];
6.2. įpareigoti IT paslaugų teikėją atsisakyti jo pasitelkto kito Duomenų tvarkytojo (toliau – Subtvarkytojas), jei yra informacijos apie tai, kad Subtvarkytojas nevykdo prisiimtų įsipareigojimų. Toks IT paslaugų gavėjo įpareigojimas turi būti motyvuotas ir pateiktas IT paslaugų teikėjui raštu;
6.3. reikalauti gauti kompensaciją už patirtą žalą, įskaitant sumokėtas baudas, kompensacijas duomenų subjektui ar kitas sankcijas, taikomas pagal Reglamentą (ES) 2016/679 ar kitus teisės aktus, kilusią dėl IT paslaugų teikėjo arba Subtvarkytojo kaltės. Nustatant atlygintinos žalos dydį vadovaujamasi Reglamento (ES) 2016/679 82 straipsniu.
7. IT paslaugų gavėjas įsipareigoja:
7.1. raštu duoti IT paslaugų teikėjui nurodymus dėl Duomenų tvarkymo ir visą Duomenų tvarkymo laikotarpį duoti nurodymus IT paslaugų teikėjui tvarkyti Duomenis tik IT paslaugų gavėjo vardu, kiek tai būtina IT paslaugų teikimui užtikrinti, ir kurie neprieštaraus teisės aktams, reglamentuojantiems asmens duomenų tvarkymą, išskyrus šio susitarimo 11.2 papunktyje nurodytą atvejį;
8. Jei nustatoma grėsmė ar kyla pagrįstų įtarimų dėl grėsmės tvarkomų Duomenų konfidencialumui, prieinamumui ar vientisumui ir (arba) jei IT paslaugų teikėjas neužtikrina tvarkomų Duomenų konfidencialumo, prieinamumo ar vientisumo, ir (arba) jei IT paslaugų teikėjas nevykdo Susitarime ir teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą, nustatytų Duomenų saugumo reikalavimų, IT paslaugų gavėjas apie tai raštu arba elektroninių ryšių priemonėmis informuoja IT paslaugų teikėją. IT paslaugų gavėjas turi teisę reikalauti iš IT paslaugų teikėjo apriboti Duomenų tvarkymą ne vėliau kaip per 24 valandas nuo tokio reikalavimo gavimo. Gavęs tokį reikalavimą, IT paslaugų teikėjas pašalina nustatytas grėsmes ir ne vėliau kaip per 24 valandas raštu arba elektroninių ryšių priemonėmis informuoja IT paslaugų gavėją apie pasirengimą vykdyti Susitarime ir teisės aktuose nustatytus Duomenų saugumo reikalavimus. IT paslaugų teikėjas gali tęsti Duomenų tvarkymo veiksmus tik gavęs IT paslaugų gavėjo nurodymą dėl tolesnio Duomenų tvarkymo.
III SKYRIUS
IT PASLAUGŲ TEIKĖJO TEISĖS IR PAREIGOS
10. IT paslaugų teikėjas turi teisę:
10.1. teikti siūlymus IT paslaugų gavėjui dėl Duomenų saugumo techninių ir organizacinių priemonių įgyvendinimo IT paslaugų gavėjo programinėje įrangoje;
10.2. esant IT paslaugų gavėjo rašytiniam leidimui, pasitelkti kitą Subtvarkytoją, sutartimi Subtvarkytojui nustatyti tuos pačius Duomenų apsaugos įsipareigojimus, kaip ir šiame punkte IT paslaugų teikėjui nustatyti įsipareigojimai, įskaitant įsipareigojimą tinkamomis techninėmis ir organizacinėmis priemonėmis užtikrinti Susitarimo vykdymo tikslais ir pagal IT paslaugų gavėjo nurodymus tvarkomų Duomenų apsaugą, vadovaujantis Reglamentu (ES) 2016/679 ir kitais asmens duomenų tvarkymą reglamentuojančiais teisės aktais. IT paslaugų teikėjas lieka atsakingas IT paslaugų gavėjui už savo pasitelktų Subtvarkytojų veiksmus ar neveikimą tvarkant IT paslaugų gavėjo patikėtus Duomenis. IT paslaugų gavėjas Subtvarkytojų atžvilgiu Duomenų tvarkymo klausimais įgyja tokias pat teises, kokias pagal Susitarimą turi IT paslaugų teikėjo atžvilgiu.
11. IT paslaugų teikėjas įsipareigoja:
11.1. tvarkyti Duomenis tik IT paslaugų gavėjo vardu, Susitarime nustatytais tikslais ir pagal IT paslaugų gavėjo nurodymus bei Susitarime nustatytus įsipareigojimus;
11.2. tuo atveju, kai IT paslaugų teikėjui taikomi teisės aktai reikalauja Duomenis tvarkyti nesant IT paslaugų gavėjo nurodymų dėl Duomenų tvarkymo, prieš pradėdamas tvarkyti Duomenis, IT paslaugų teikėjas privalo raštu informuoti IT paslaugų gavėją apie tokį teisinį reikalavimą;
11.3. nenaudoti Duomenų savo ar kitų asmenų, išskyrus IT paslaugų gavėją, interesais ir neatlikti jokių kitų Susitarimo neatitinkančių ar neteisėtų Duomenų tvarkymo veiksmų;
11.4. Susitarime nustatytomis techninėmis ir organizacinėmis priemonėmis[3] užtikrinti Duomenų tvarkymo atitiktį Reglamento (ES) 2016/679 ir Lietuvos Respublikoje galiojančių teisės aktų, reglamentuojančių asmens duomenų tvarkymą, reikalavimams ir Duomenų saugumą;
11.5. imtis Susitarime nustatytų techninių ir organizacinių priemonių siekiant užkirsti kelią galimoms neteisėto Duomenų sunaikinimo, praradimo, pakeitimo ar Duomenų atskleidimo grėsmėms, o joms įvykus, imtis Susitarime nustatytų priemonių ištaisyti kilusias pasekmes ir pašalinti jų padarinius;
11.6. užtikrinti, kad prieigą prie Duomenų turėtų tik tie IT paslaugų teikėjo darbuotojai ir kiti įgalioti asmenys, kurių funkcijoms atlikti ir siekiant užtikrinti pagal Sutartį prisiimtų įsipareigojimų vykdymą reikalingi Duomenys ir kurie yra raštu įsipareigoję užtikrinti Duomenų konfidencialumą ir saugumą;
11.8. užbaigęs teikti su Duomenų tvarkymu susijusias IT paslaugas, ne vėliau kaip per 10 darbo dienų nuo Duomenų tvarkymo pabaigos imtis IT paslaugų gavėjo pasirinktų priemonių[4];
11.9. ne vėliau kaip per 24 valandas nuo tada, kai sužinojo apie Duomenų saugumo pažeidimą, pateikti IT paslaugų gavėjui šio susitarimo 14 punkte nurodytą pranešimą apie Duomenų saugumo pažeidimą elektroniniu paštu nepriklausomai nuo to, ar pažeidimas gali kelti pavojų fizinių asmenų teisėms ir laisvėms;
11.10. IT paslaugu gavėjo nurodytu būdu pateikti pastarajam visą jo prašomą informaciją, susijusią su informavimu apie Duomenų saugumo pažeidimą ir jo tyrimu, per IT paslaugų gavėjo nurodytą terminą;
11.11. suteikti IT paslaugų gavėjui pagalbą, kurios reikia, kad būtų pranešta apie Duomenų saugumo pažeidimą Valstybinei duomenų apsaugos inspekcijai ir, kai taikoma, duomenų subjektui;
11.12. bendradarbiauti su IT paslaugų gavėju pastarajam atliekant Duomenų saugumo pažeidimo tyrimą, teikti IT paslaugų gavėjui visą tyrimui reikalingą informaciją ir išsaugoti tyrimui reikalingus įrodymus;
11.13. nepasitelkti Subtvarkytojo be išankstinio rašytinio IT paslaugų gavėjo leidimo Sutarties ir Susitarimo vykdymui. IT paslaugų gavėjo leidimas turi būti gautas tiek dėl iki Sutarties ir Susitarimo įsigaliojimo esančių, tiek dėl Sutarties ir Susitarimo vykdymo metu pasitelktų Subtvarkytojų;
11.14. gavus bet kokį Duomenų subjekto paklausimą, prašymą ar reikalavimą, susijusį su Duomenų tvarkymu pagal Susitarimą, ne vėliau kaip per 24 valandas nuo gavimo persiųsti jį IT paslaugų gavėjui elektroniniu paštu. IT paslaugų teikėjas įsipareigoja IT paslaugų gavėjo nurodytu būdu pateikti visą IT paslaugų gavėjo prašomą informaciją ir (ar) dokumentus, susijusius su Duomenų tvarkymu;
11.15. taikydamas Susitarime nustatytas technines ir organizacines priemones padėti IT paslaugų gavėjui, kad būtų įvykdyta IT paslaugų gavėjo prievolė atsakyti į prašymus pasinaudoti Reglamente (ES) 2016/679 nustatytomis Duomenų subjekto teisėmis;
11.16. tvarkyti Duomenų tvarkymo veiklos, vykdomos IT paslaugų gavėjo vardu pagal Susitarimą, įrašus. IT paslaugų gavėjo reikalavimu IT paslaugų teikėjas turi pateikti minėtus Duomenų tvarkymo veiklos įrašus per IT paslaugų gavėjo nurodytą terminą ir IT paslaugų gavėjo nurodytu būdu;
11.17. IT paslaugų gavėjo prašymu per IT paslaugų gavėjo nustatytą terminą, kuris negali būti trumpesnis kaip 5 darbo dienos, ir jo nurodytu būdu suteikti IT paslaugų gavėjui reikiamą pagalbą atliekant poveikio Duomenų apsaugai vertinimą, įskaitant visos vertinimui reikalingos techninės ir kitos turimos informacijos apie IT paslaugų teikėjo atliekamą ar planuojamą atlikti IT paslaugų gavėjo valdomų Duomenų tvarkymą, pateikimą IT paslaugų gavėjui ir konsultavimą šiais klausimais. IT paslaugų gavėjui konsultuojantis su priežiūros institucija, IT paslaugų teikėjas turi suteikti visą reikiamą turimą informaciją, kuri reikalinga konsultavimuisi;
11.18. ne vėliau kaip per 24 valandas nuo IT paslaugų gavėjo prašymo gavimo ir IT paslaugų gavėjo nurodytu būdu pateikti IT paslaugų gavėjui visą informaciją, būtiną siekiant įrodyti, kad vykdomos Susitarime, Reglamente (ES) 2016/679 ir kituose teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą, nustatytos prievolės IT paslaugų teikėjui, ir sudaryti sąlygas bei padėti IT paslaugų gavėjui arba kitam jo įgaliotam asmeniui atlikti auditą, įskaitant patikrinimus vietoje[5] .
12. IT paslaugų teikėjas atsako už pagal Susitarimą tvarkomų Duomenų vientisumą, prieinamumą, konfidencialumą ir apsaugą.
IV SKYRIUS
PRANEŠIMAI APIE DUOMENŲ SAUGUMO PAŽEIDIMUS
14. Pranešime apie Duomenų saugumo pažeidimą turi būti nurodoma ši informacija:
14.3. jei įmanoma - Duomenų subjektų, kuriuos Duomenų saugumo pažeidimas paveikė, kategorijos ir apytikslis jų skaičius; Duomenų kategorijos, kurioms turėjo įtakos Duomenų saugumo pažeidimas, ir apytikslis jų skaičius;
14.5. priemonės, kurių buvo imtasi, kad būtų pašalintas Duomenų saugumo pažeidimas, įskaitant, kai tinkama, priemonę galimoms neigiamoms jo pasekmės sumažinti;
15. IT paslaugų teikėjas turi dokumentuoti visus Duomenų saugumo pažeidimus, įskaitant su Duomenų saugumo pažeidimu susijusius faktus, jo poveikį ir taisomuosius veiksmus, kurių buvo imtasi. IT paslaugų gavėjo reikalavimu, IT paslaugų teikėjas turi pateikti šiuos dokumentus IT paslaugų gavėjui susipažinti, kai to reikalauja Valstybinė duomenų apsaugos inspekcija.
V SKYRIUS
BAIGIAMOSIOS NUOSTATOS
[1] Susitarime turi būti išsamiai aprašyti asmens duomenų tvarkymo veiksmai, kurie pavedami IT paslaugų teikėjui.
[2] Susitarime rekomenduojama nustatyti, kad IT paslaugų gavėjo nurodytas terminas būtų ne trumpesnis kaip 10 darbo dienų.
[3] Susitarime turi būti nustatyta, kokias konkrečiai technines ir organizacines priemones turi užtikrinti IT paslaugų teikėjas, kad būtų užtikrinamas tinkamas Duomenų saugumas, atsižvelgiant į Reglamento (ES) 2016/679 24, 25 ir 32 straipsniuose nustatytus kriterijus, ir būtų suvaldytos galimos rizikos.
[4] Susitarime turi būti nustatyti IT paslaugų gavėjo nurodymai IT paslaugų teikėjui, kaip jis turėtų elgtis, kai su Duomenų tvarkymu susijusios IT paslaugos užbaigiamos. IT paslaugų gavėjo pasirinkimu IT paslaugų teikėjas Duomenis gali ištrinti, nuasmeninti arba kitaip padaryti juos neprieinamus ir nenaudojamus arba grąžinti IT paslaugų gavėjui visus Duomenis, kuriuos IT paslaugų teikėjas tvarkė IT paslaugų gavėjo pavedimu vykdydamas Susitarimą, nebent Šalys susitartų dėl pereinamojo paslaugų teikimo laikotarpio, Duomenų perkėlimo kitam asmens duomenų tvarkytojui ar kitų Duomenų tvarkymo operacijų tęstinumo, perkėlimo ar užbaigimo sąlygų. Ištrynęs arba nuasmeninęs Duomenis IT paslaugų teikėjas ne vėliau kaip per 24 valandas apie tai raštu privalo pranešti IT paslaugų gavėjui. Duomenys gali būti neištrinti, kai jie yra naudojami archyvavimo tikslais ir atsarginių kopijų kūrimo ir laikymo tikslais tiek, kiek tai neprieštarauja rašytiniams IT paslaugų gavėjo ir IT paslaugų teikėjo susitarimams.
[5] Susitarime turi būti įtvirtintos IT paslaugų gavėjo pasiūlytos nuostatos dėl audito, įskaitant ir patikrinimus vietoje, atlikimo tiek IT paslaugų teikėjo, tiek Subtvarkytojo atžvilgiu.