Šalys: UAB Komerza, įm. k. 307395204, Giedraičių g. 39, R53, LT-09302 Vilnius, Lietuva („Komerza", Duomenų tvarkytojas) ir kiekvienas prekybininkas, naudojantis „Komerza" platformą („Prekybininkas", Duomenų valdytojas).
1. Tikslas ir taikymo sritis
1.1 Šis DPA yra neatskiriama „Komerza" Paslaugų teikimo sąlygų dalis. Esant kolizijai, šis DPA viršenybę turi tokia apimtimi, kiek yra kolizija.
1.2 „Komerza" veikia kaip Duomenų tvarkytojas tvarkant Pirkėjų ar galutinių naudotojų duomenis, surinktus per Prekybininko parduotuves ar paslaugas; Prekybininkai veikia kaip Duomenų valdytojai. „Komerza" veikia kaip Duomenų valdytojas savo paskyrų administravimo, atsiskaitymų ir vidinės analitikos tikslais. Nieko šiame DPA negalima aiškinti kaip nustatančio bendrą valdymą pagal BDAR 26 str.
1.3 Tvarkymas vykdomas išimtinai siekiant teikti „Komerza" platformą, svetainių kūrimo įrankį, el. pašto rinkodaros priedą ir kitas susijusias paslaugas (toliau – „Paslaugos").
2. Duomenų tvarkymo nurodymai
2.1 „Komerza" tvarko asmens duomenis tik:
- a) pagal dokumentuotus Prekybininko nurodymus (įskaitant per API ar valdymo skydelį atliktus veiksmus);
- b) siekdama teikti, apsaugoti ir palaikyti Paslaugas; ir
- c) kai to reikalauja įstatymai ar priežiūros gairės.
2.2 Jei „Komerza" mano, kad nurodymas pažeidžia BDAR ar taikytiną teisę, ji nedelsdama apie tai informuoja Prekybininką.
3. Konfidencialumas ir personalas
3.1 Visi „Komerza" darbuotojai ir rangovai, turintys prieigą prie duomenų, yra saistomi konfidencialumo įsipareigojimų ir gauna duomenų apsaugos mokymus.
3.2 Prieiga suteikiama mažiausios būtinos teisės ir būtinybės žinoti principais.
4. Tvarkymo saugumas
4.1 „Komerza" įgyvendina BDAR 32 str. priemones, įskaitant:
- šifravimą „at rest" (LUKS2); TLS 1.3 ir mTLS „in transit";
- aparatinio rakto (hardware key) SSH autentifikavimą; atskirtas aplinkas;
- nuolatinę stebėseną per Sentry (ES) ir vidinius įspėjimus.
4.2 Prekybininkas išlieka atsakingas už savo aplinkos saugumą (API raktai, prieigos kontrolė).
5. Subtvarkytojai
5.1 Prekybininkas įgalioja „Komerza" pasitelkti Subtvarkytojus, nurodytus II priede.
5.2 „Komerza" užtikrina, kad kiekvienas Subtvarkytojas taikytų BDAR lygiavertes garantijas, įskaitant Standartines sutarčių sąlygas (ES 2021/914, 2 ir 3 moduliai) arba jų teisinius perėmėjus.
5.3 „Komerza" apie esminius Subtvarkytojų pakeitimus praneš ne vėliau kaip prieš 15 dienų el. paštu į Prekybininko registruotą adresą arba per pranešimą valdymo skydelyje.
6. Duomenų subjektų teisės ir pagalba
6.1 „Komerza" padeda Prekybininkams įgyvendinti BDAR III skyriaus teises.
6.2 Pirkėjai gali pasiekti, atsisiųsti ar ištrinti savo duomenis per Prekybininko parduotuvės sąsajas.
6.3 „Komerza" persiunčia bet kokį tiesiogiai gautą duomenų subjekto prašymą Prekybininkui ir neatsako tiesiogiai be rašytinio Prekybininko įgaliojimo, nebent to reikalauja teisė.
7. Pranešimas apie saugumo pažeidimą
7.1 Asmens duomenų saugumo pažeidimo atveju „Komerza" be nepagrįsto delsimo ir, kai įmanoma, per 72 val. nuo sužinojimo praneša Prekybininkui, nurodydama incidento pobūdį, apimtį, poveikį ir taikomas priemones.
7.2 „Komerza" bendradarbiauja rizikos vertinime ir švelninime.
8. Auditas ir atitiktis
8.1 Gavusi rašytinį prašymą, „Komerza" pateikia pakankamą informaciją atitikties įrodymui ir leidžia atlikti ne daugiau kaip vieną auditą per 12 mėn., nebent auditą reikalauja priežiūros institucija arba po pranešimo apie pažeidimą.
8.2 Auditai vykdomi darbo valandomis, laikantis konfidencialumo ir Prekybininko sąskaita.
9. Saugojimas ir ištrynimas
9.1 Saugojimo terminai:
- Pirkėjų/užsakymų duomenys – iki Prekybininko ištrynimo arba Pirkėjo prašymo;
- Prekybininko paskyros duomenys – iki paskyros ištrynimo ar teisinio termino pabaigos;
- Žurnalai – 14 d. (informaciniai/įspėjimai), 60 d. (klaidų/analitikos).
9.2 Pasibaigus santykiams, „Komerza" per 30 dienų duomenis negrįžtamai ištrina arba efektyviai anonimizuoja, nebent ilgesnį saugojimą nustato teisė.
9.3 Atsarginėse kopijose esantys duomenys yra izoliuoti ir šalinami pasibaigus atsarginės kopijos galiojimui; aktyvus tvarkymas šiuo laikotarpiu nevykdomas.
10. Atsakomybė ir taikytina teisė
10.1 Kiekviena šalis atsako už savo BDAR laikymąsi ir galimas baudas.
10.2 Taikytina teisė: Lietuvos Respublikos.
10.3 Ginčai sprendžiami Vilniaus komercinio arbitražo teisme (VCCA), arbitražo kalba – lietuvių, vieta – Vilnius.
10.4 Kiek tai leidžia taikytina teisė, „Komerza" bendra atsakomybė pagal šį DPA neviršija didesnės iš sumų: 1 € arba visų Prekybininko per ankstesnius 12 mėn. sumokėtų mokesčių.
11. Nenugalima jėga
„Komerza" neatsako už vėlavimą ar neįvykdymą dėl iš jos kontrolės nepriklausančių įvykių, įskaitant PSP ar infrastruktūros tiekėjų sutrikimus, pandemijas, valdžios veiksmus ar tinklo sutrikimus.
12. Pranešimai
Pranešimai pagal šį DPA laikomi gautais, kai yra išsiųsti Prekybininko registruotu el. paštu arba paskelbti valdymo skydelyje.
I priedas — Duomenų kategorijos ir tvarkymo veiklos
| Esybė / lentelė | Duomenų kategorijos | Paskirtis | Vaidmuo |
|---|---|---|---|
| CustomerDetails | el. paštas, valstybė, IP, prisijungimo ID | atsiskaitymas ir sukčiavimo prevencija | Tvarkytojas |
| Order, Payment, Refund, Chargeback | IP, UA, būsenos, priežastys, ID | operacijos ir atitiktis | Tvarkytojas |
| Session, RefreshToken | žetonas, IP, UA | autentifikavimas | Tvarkytojas |
| Store, Product, Variant | prekybininko duomenys, kainodara | parduotuvės konfigūracija | Tvarkytojas |
| BuilderSnapshot | HTML/CSS/JS, šifruoti projekto failai | Saugus talpinimas (užšifruota R2) | Tvarkytojas |
| WebhookExecutionLog, GatewayMetadata | URL, parašai | integracijų žurnalai | Tvarkytojas |
| MerchantAccount, Billing | įmonės pavad., el. paštas, PVM kodas | atsiskaitymai ir valdymas | Valdytojas |
| Žurnalai ir analitika (Sentry) | įvykio ID, IP, sekimo duomenys | sistemos stebėsena | Valdytojas |
II priedas — Įgaliotieji Subtvarkytojai
| Subtvarkytojas | Paskirtis | Vieta / apsauga |
|---|---|---|
| Fly.io Inc. | Laikini kompiuteriniai resursai (peržiūros mašinos) | EEE / SCCs |
| Cloudflare Inc. | CDN, DNS, R2 saugykla, custom hostnames | EEE + JAV / SCCs |
| Hetzner Online GmbH | Backend resursai, DB, cache | Vokietija |
| Amazon Web Services (EU-North-1) | SES el. laiškų siuntimas | Švedija |
| Functional Software, Inc. d/b/a Sentry | Klaidų žurnalai ir analitika | Vokietija / SCCs |
| Revolut Bank UAB | Prenumeratų atsiskaitymai | Lietuva |
| Everapi GmbH | Valiutų konversijos (be asmens duomenų) | ES |
III priedas — Techninės ir organizacinės priemonės
| Kategorija | Priemonė |
|---|---|
| Šifravimas | LUKS2 pilno disko, TLS 1.3 + mTLS |
| Prieigos kontrolė | IAM, aparatiniai SSH raktai, 2FA |
| Tinklo saugumas | VPC segmentavimas, ugniasienės, „rate limits" |
| Duomenų vientisumas | Kontrolinės sumos, pasirašyti auditų žurnalai |
| Stebėsena | Sentry + Prometheus įspėjimai |
| Atsarginės kopijos | 90 d. šifruotas saugojimas |
| Konfidencialumas | NDA įsipareigojimai, prieigos žurnalai |
| Incidentų valdymas | 24/7 SOC, pranešimas ≤72 val. |
Kalbos nuostata: Šis DPA parengtas lietuvių ir anglų kalbomis. Esant neatitikimams, pirmenybė teikiama angliškai versijai, nebent privaloma teisė nustatytų kitaip.