Duomenų tvarkymo sąlygos

1.1. Šios Duomenų tvarkymo sąlygos (toliau – Duomenų tvarkymo sąlygos) taikomos tais atvejais, kai pagal Paslaugų teikimo sutartį Bankas veikia kaip asmens duomenų tvarkytojas Įmonės vardu.
1.2. Šiame dokumente pateikiamos sąlygos, kuriomis remiantis Bankas tvarko Įmonės turimus asmens duomenis.
1.3. Klausimai, kurie nėra aptarti šiose Duomenų tvarkymo sąlygose, yra sprendžiami vadovaujantis Luminor Paslaugų teikimo bendrosiomis taisyklėmis. 

2.1. Duomenų tvarkymo sąlygose naudojamos sąvokos turi šias reikšmes:
2.1.1. Įmonė reiškia Klientas – juridinis asmuo, kuris yra sudaręs atitinkamą Paslaugų teikimo sutartį su Banku, pagal kurią Bankas veikia kaip asmens duomenų tvarkytojas Kliento vardu.
2.1.2. Tinkamos techninės ir organizacinės priemonės reiškia procesai ir tvarkos, susijusios su technologijų plėtra ir jos įgyvendinimo kaštais, bei Įmonės turimais asmens duomenimis, kad būtų užtikrintas atitinkamas saugumo lygis atsižvelgiant į  žalą, kuri gali būti patirta dėl Įmonės turimų asmens duomenų neleistino ar neteisėto tvarkymo arba netyčinio praradimo, sunaikinimo ar sugadinimo.
2.1.3. Įmonės turimi asmens duomenys reiškia bet kokius Asmens duomenis, kuriuos tvarko Bankas Įmonės vardu pagal arba dėl Paslaugų teikimo sutarties.
2.1.4. Duomenų apsaugos įstatymai reiškia BDAR bei jį įgyvendinantys ar papildantys įstatymai ir jų atitinkami pakeitimai ar papildymai; už Duomenų apsaugos įstatymų administravimą atsakingų vietos ar ES reguliavimo institucijų išleistos gairės ar praktikos kodeksai.
2.1.5. BDAR reiškia ES Bendrasis duomenų apsaugos reglamentas 2016/679.
2.1.6. Pagalbinis duomenų tvarkytojas reiškia bet kuris Banko paskirtas ar jo vardu veikiantis asmuo, Įmonės vardu tvarkantis Asmens duomenis, susijusius su Paslaugų teikimo sutartimi.
2.1.7. Sąvokos „Duomenų subjektas“, „Asmens duomenys“, „Asmens duomenų saugumo pažeidimas“ ir „Tvarkymas“ turi tokią pačią reikšmę, kaip apibrėžta BDAR, o į jas panašios sąvokos yra aiškinamos atitinkamai.
2.2. Didžiąja raide rašomos sąvokos, kurios nėra apibrėžtos šiose Duomenų tvarkymo sąlygose, yra apibrėžtos Luminor Paslaugų teikimo bendrosiose taisyklėse.

3.1. Tvarkydamas Įmonės turimus asmens duomenis, Bankas:
3.1.1. tvarko Įmonės turimus asmens duomenis laikydamasis Duomenų apsaugos įstatymuose nustatytų reikalavimų;
3.1.2. tvarko Įmonės turimus asmens duomenis tik tokiu mastu ir tiek, kiek yra būtina siekiant suteikti Paslaugas pagal Paslaugų teikimo sutartį ir (arba) kitas tarp Šalių sudarytas Paslaugų teikimo sutartis, išskyrus atvejus, kai Tvarkymo reikalaujama pagal Taikytiną teisę. Tokiu atveju Bankas, prieš pradėdamas atitinkamą Tvarkymą, praneša apie tokį reikalavimą Įmonei, išskyrus atvejus, kai tai draudžiama pagal Taikytiną teisę;  
3.1.3. laiko Įmonės turimus asmens duomenis griežtai konfidencialiais ir jų nenaudoja ir neatskleidžia jokiais kitais tikslais, išskyrus konkrečius veiksmus, kurie leidžiami pagal Asmens duomenų tvarkymo sąlygas ir (arba) atitinkamą Paslaugų teikimo sutartį;
3.1.4. imasi Tinkamų techninių ir organizacinių priemonių, apsaugančių nuo Įmonės turimų asmens duomenų neleistino ar neteisėto Tvarkymo arba netyčinio praradimo, sunaikinimo ar sugadinimo;
3.1.5. ištrina Įmonės turimus asmens duomenis pasibaigus jų saugojimo terminui, kuris nurodytas šiose Duomenų apsaugos sąlygose.

4.1. Įmonės turimų asmens duomenų Tvarkymo informacija pagal BDAR 28 straipsnio 3 punktą yra:
4.1.1. Tvarkymo dalykas: Banko pagal Paslaugų teikimo sutartį Įmonei teikiamos Paslaugos tvarkant Įmonės turimus asmens duomenis;
4.1.2. Tvarkymo trukmė: atitinka Paslaugų teikimo sutarties trukmę, tačiau Bankui pateikti Įmonės turimi asmens duomenys gali būti saugomi 10 metų po mokėjimo operacijos atlikimo;
4.1.3. Tvarkymo pobūdis ir tikslas: sudaryti Bankui sąlygas teikti Paslaugas Įmonei ir padėti Įmonei teikti paslaugas Įmonės klientams;
4.1.4. Duomenų subjektų kategorijos: Įmonės klientai, jų darbuotojai, atstovai, kontaktiniai asmenys ir visi kiti asmenys, kurių Asmens duomenis Įmonė pateikė Bankui Įmonei naudojantis Paslaugomis;
4.1.5. Asmens duomenų rūšis: visi 4.1.4 punkte aukščiau nurodyti Duomenų subjektų Asmens duomenys, kuriuos pateikti Duomenų subjektų Įmonė prašo Įmonei naudojantis Paslaugomis (įskaitant, bet neapsiribojant, vardą, pavardę, adresą, mokėjimo sumą, mokėjimo detales, el. pašto adresą, telefono numerį).

5.1. Įmonė užtikrina, kad visiems Įmonės turimų asmens duomenų Duomenų subjektams būtų pateikti visi pranešimai ir informacija apie Asmens duomenų tvarkymą, kaip to reikalauja Duomenų apsaugos įstatymai, ir nustato bei išlaiko būtinus teisinius pagrindus, kuriais remiantis Įmonės turimi asmens duomenys yra perduodami Bankui, ir kurie leidžia Bankui atlikti jų Tvarkymą pagal šį dokumentą.
5.2. Įmonė yra išimtinai atsakinga už tai, kad Bankui tvarkyti pateikti Asmens duomenys būtų tinkami, aktualūs ir tokios apimties, kuri būtina dėl Paslaugų naudojimo. Bet kuriuo atveju, Įmonė turi vengti rinkti bet kokius ypatingų kategorijų Asmens duomenis. 
5.3. Asmens duomenų perdavimas Bankui yra laikomas Įmonės nurodymu atlikti Tvarkymą Įmonės vardu. Bankas neatsako už jokį Įmonės jai naudojantis Paslaugomis perduodamų Asmens duomenų turinį ar Asmens duomenų minimizavimą.

6.1. Sudarydama Paslaugų teikimo sutartį Įmonė suteikia Bankui bendrąjį leidimą pasitelkti Pagalbinius duomenų tvarkytojus. Pagalbiniai duomenų tvarkytojai yra pasitelkiami su sąlyga, kad Bankas visiškai atsako už Pagalbinių duomenų tvarkytojų veiklą, jų veiksmus ar neveikimą dėl Įmonės turimų asmens duomenų Tvarkymo.
6.2. Bankas informuoja Įmonę apie bet kokius planuojamus pokyčius, susijusius su Pagalbinių duomenų tvarkytojų pridėjimu ar pakeitimu viešai paskelbiant informaciją Banko tinklapyje (skiltyje „Asmens duomenų tvarkymas”). Jei Įmonė nesutinka su šiame punkte paminėtais pakeitimais, ji gali Paslaugų teikimo sutartyje numatyta tvarka vienašališkai atsisakyti Paslaugų teikimo sutarties, pagal kurią Bankas atlieka Įmonės turimų asmens duomenų Tvarkymą.
6.3. Tais atvejais, kai Bankas bet kokius savo įsipareigojimus perleidžia Pagalbiniams duomenų tvarkytojams, Bankas išlieka vienintelis Įmonės kontaktas visais su šiomis Duomenų tvarkymo sąlygomis susijusiais klausimais ir pasirūpina, kad atitinkamas Pagalbinis duomenų tvarkytojas vykdytų šiose Duomenų tvarkymo sąlygose nustatytus reikalavimus tiek, kiek jie yra taikomi Bankui. 
6.4. Bankas pasirūpina, kad teikiant Paslaugas visi jo pasitelkiami Pagalbiniai duomenų tvarkytojai vykdytų konfidencialumo prievolę tokiomis sąlygomis, kurios iš esmės yra tokios pat (ir ne mažiau varžančios), kaip ir šios Duomenų tvarkymo sąlygos.

7.1. Bankas užtikrina, kad prieigą prie Įmonės turimų asmens duomenų turėtų tik:
7.1.1. tinkamai įgalioti pareigūnai, darbuotojai, atstovai ir rangovai („Banko personalas“), kuriems reikalinga prieiga prie Įmonės turimų asmens duomenų, kad galėtų atlikti Banko pareigas pagal Paslaugų teikimo sutartį, Duomenų tvarkymo sąlygas bei Taikytiną teisę; ir  
7.1.2. tokį kiekį ar kiekius Įmonės turimų asmens duomenų, kiek yra būtina atlikti atitinkamas Banko pareigas.
7.2. Bankas privalo užtikrinti, kad visas Banko personalas:
7.2.1. būtų informuotas apie Asmens duomenų konfidencialumą;
7.2.2. būtų praėjęs mokymus apie Asmens duomenų priežiūrą, apsaugą ir tvarkymą; ir
7.2.3. būtų susipažinęs su Banko pareigomis pagal Duomenų apsaugos įstatymus ir Duomenų tvarkymo sąlygas.

8.1. Bankas perduoda Įmonės turimus asmens duomenis į bet kurią už EEE ribų esančią šalį arba suteikia prieigą prie Įmonės turimų asmens duomenų iš bet kokios tokios šalies pagal duomenų perdavimo sutarties sąlygas, į kurias įtrauktos standartinės duomenų valdytojo ir duomenų tvarkytojo sutarčių sąlygos, nustatytos 2010 m. vasario 5 d. Komisijos sprendime (2010/87ES), ar kitas panašias sutarčių sąlygas, kurias Europos Komisija gali kartas nuo karto priimti (ES pavyzdinių sutarčių sąlygos).
8.2. Kaip alternatyva ES pavyzdinių sutarčių sąlygoms, Bankas gali remtis alternatyvia duomenų perdavimo apsaugos priemone, kuri leidžia ir numato teisėtą Asmens duomenų perdavimą į bet kurią už EEE ribų esančią šalį, jei tokia apsaugos priemonė atitinka Duomenų apsaugos įstatymus. 

9.1. Bankas nedelsdamas informuoja Įmonę, jei sužino, kad įvyko Asmens duomenų saugumo pažeidimas. 
9.2. Asmens duomenų saugumo pažeidimo atveju Bankas privalo kuo greičiau imtis atitinkamų priemonių padėčiai ištaisyti, įskaitant Įmonės informavimą, pažeidimo priežasties tyrimą ir ataskaitos pateikimą Įmonei su siūlomais veiksmais. 
9.3. Tokia Banko teikiama informacija apie Asmens duomenų saugumo pažeidimą apima: 
9.3.1. data ir laikas, kada numanomai įvyko Asmens duomenų saugumo pažeidimas;
9.3.2. Asmens duomenų saugumo pažeidimo pobūdžio aprašymas, įskaitant, jei įmanoma, susijusių Duomenų subjektų kategorijas ir apytikrį skaičių, taip pat susijusių Asmens duomenų įrašų kategorijas ir apytikrį skaičių;
9.3.3. duomenų apsaugos pareigūno ar kito atitinkamo kontaktinio asmens, galinčio suteikti daugiau informacijos, pavardė ir kontaktinė informacija;
9.3.4. tikėtinų Asmens duomenų saugumo pažeidimo pasekmių aprašymas;
9.3.5. priemonių, kurių buvo imtasi arba siūloma imtis ryšium su Asmens duomenų saugumo pažeidimu, įskaitant, tam tikrais atvejais, priemonių galimo neigiamo poveikio mažinimui aprašymas.
9.4. Bankas nėra įpareigotas pranešti reguliavimo institucijai ir (arba) Duomenų subjektams apie Asmens duomenų saugumo pažeidimą, tačiau su sąlyga, kad Bankas, Įmonės prašymu, bendradarbiaus tinkamai informuojant paveiktus Duomenų subjektus.

10.1. Bankas teikia Įmonei reikiamą pagalbą vertinant bet kokį duomenų apsaugos poveikį ir iš anksto konsultuojantis su priežiūros institucijomis ar kitomis kompetentingomis duomenų privatumo apsaugos institucijomis, kas yra privaloma pagal BDAR 35 arba 36 straipsnį. Reikalui esant, Bankas turi suteikti Įmonei reikiamą pagalbą siekiant vykdyti bet kokį informacijos prašymą ir (arba) paklausimą, Tvarkymo tyrimą ar vertinimą, kurį inicijavo Įmonė, Įmonės klientas, rangovas ar atitinkama valstybinė institucija.  Jei nesusitarta kitaip, Bankas turi teisę reikalauti iš Įmonės apmokėti išlaidas, susijusias su tokia aukščiau paminėta pagalba.
10.2. Pagalba pagal 10.1 punktą yra teikiama kiekvienu atveju tik tokia apimtimi, kuri susijusi su Įmonės turimų asmens duomenų Tvarkymu, kurį atlieka Bankas, ir atsižvelgiant į Tvarkymo pobūdį bei Banko turimą informaciją.
10.3. Bankas teikia Įmonei informaciją, kuri pagrįstai reikalinga siekiant parodyti, kad yra vykdomi Duomenų tvarkymo sąlygose nustatyti įsipareigojimai, ir siekiant sudaryti sąlygas ir teikti pagalbą auditams, įskaitant patikrinimus, kuriuos Įmonė vykdo savo sąskaita. Tokius auditus ir patikrinimus atlieka Banko pasirinkti trečiųjų šalių informacijos saugumo specialistai (auditoriai). Kad būtų atliktas auditas, Įmonė mažiausiai prieš keturias savaites iki siūlomos datos auditui atlikti turi Bankui pateikti audito planą, kuriame aprašyta siūloma audito apimtis, trukmė ir pradžios data. Auditus privaloma atlikti įprastomis Banko darbo valandomis ir jie negali nepagrįstai trukdyti Banko veiklos. Bankas gali prašyti Įmonės ar jos įgaliotųjų atstovų (auditorių) pasirašyti konfidencialumo sutartį prieš pradedant auditą ar patikrinimą. Įmonė turi teisę atlikti auditus ir patikrinimus pagal šį punktą ne dažniau kaip kartą per metus Šalių sutartu laiku.
10.4. 10.3 punkte numatytos audito ir prieigos teisės negali būti taikomos informacijai, kurią Bankas tvarko kaip duomenų valdytojas savo tikslais ir esant tinkamam teisiniam pagrindui, arba kuri yra susijusi su informacija apie Banko klientus, jų sąskaitas, indėlius ir operacijas, kurios konfidencialumo užtikrinimas yra Banko prievolė pagal Taikytiną teisę.

11.1. Bankas gali bet kada vienašališkai keisti Duomenų tvarkymo sąlygas. Apie tokius pakeitimus Bankas informuoja Įmonę ne vėliau kaip prieš 14 (keturiolika) kalendorinių dienų iki atitinkamų pakeitimų įsigaliojimo dienos.