Teisinė informacija
Duomenų tvarkymo sutartis
Įsigaliojimo data
2026 m. liepos 9 d.
1. Šalys ir bendrosios aplinkybės
Ši Duomenų tvarkymo sutartis („DTS“) sudaroma tarp Notakey Latvia, SIA, vieningas registracijos numeris 40103993632, registruotos buveinės adresas Ganu iela 3 – 12, Riga, LV-1010, Latvija („Notakey“ arba „Tvarkytojas“) ir kliento, nurodyto taikomoje Užsakymo formoje ar prenumeratoje („Klientas“ arba „Valdytojas“). Ji yra Notakey Paslaugų teikimo sąlygų („Sutartis“) dalis ir į jas įtraukiama.
Ši DTS taikoma, kai Notakey, teikdama Paslaugas, tvarko asmens duomenis Kliento vardu, kaip tai suprantama pagal Reglamentą (ES) 2016/679 (Bendrasis duomenų apsaugos reglamentas, „BDAR“). Tokios sąvokos kaip „asmens duomenys“, „tvarkymas“, „duomenų valdytojas“, „duomenų tvarkytojas“ ir „duomenų subjektas“ turi BDAR joms suteiktas reikšmes.
2. Dalykas, trukmė, pobūdis ir tikslas
Dalykas: Notakey autentifikavimo ir operacijų pasirašymo Paslaugų (notakey.cloud arba Notakey Appliance kartu su Notakey mobiliąja programėle) teikimas Klientui.
Trukmė: Sutarties galiojimo terminas ir laikotarpis iki visų Kliento asmens duomenų ištrynimo ar grąžinimo pagal 10 skirsnį.
Pobūdis ir tikslas: autentifikavimo ir operacijų tvirtinimo duomenų priegloba, perdavimas ir tvarkymas, kad Kliento įgalioti naudotojai galėtų registruoti įrenginius, gauti tvirtinimo užklausas ir patvirtinti arba atmesti autentifikavimo bei pasirašymo operacijas.
Duomenų subjektų kategorijos: Kliento darbuotojai, rangovai, klientai, nariai ar kiti galutiniai naudotojai, kuriuos Klientas registruoja Paslaugose.
Asmens duomenų rūšys: naudotojų identifikatoriai (pvz., naudotojo vardas, el. pašto adresas ar telefono numeris); registracijos patikrinimo duomenys (pvz., vienkartiniai kodai, pristatomi SMS žinute ar per WhatsApp, katalogo ar OpenID Connect tapatybės patvirtinimai, arba rankiniu būdu atliekamas administratoriaus patvirtinimas); įrenginio duomenys (įrenginio modelis, operacinės sistemos versija, tiesioginių (push) pranešimų prieigos raktas, viešasis raktas ir įrenginio sertifikatas); ir autentifikavimo / tvirtinimo veikla (užklausų metaduomenys, patvirtinimo / atmetimo rezultatai, laiko žymos, parašai). Privatieji raktai generuojami ir saugomi galutinių naudotojų įrenginiuose ir niekada nėra perduodami Notakey ar jos laikomi. Nenumatoma tvarkyti jokių specialių kategorijų asmens duomenų (BDAR 9 straipsnis); biometrinis patikrinimas, kai jis naudojamas, vyksta tik galutinio naudotojo įrenginyje ir Notakey jo negauna.
3. Vaidmenys ir nurodymai
Klientas yra Kliento asmens duomenų valdytojas, o Notakey — jų tvarkytojas. Notakey tvarkys Kliento asmens duomenis tik pagal dokumentais įformintus Kliento nurodymus, įskaitant nustatytus Sutartyje, šioje DTS ir Kliento atliktoje Paslaugų konfigūracijoje, išskyrus atvejus, kai tvarkyti reikalaujama pagal Notakey taikomą ES ar valstybės narės teisę — tokiu atveju Notakey prieš pradėdama tvarkyti informuos Klientą apie tą teisinį reikalavimą, nebent tai daryti draudžia teisės aktai. Notakey informuos Klientą, jei, jos nuomone, nurodymas pažeidžia BDAR.
4. Konfidencialumas
Notakey užtikrina, kad tvarkyti Kliento asmens duomenis įgalioti asmenys būtų saistomi sutartinių ar teisės aktuose nustatytų konfidencialumo įsipareigojimų.
5. Saugumas
Notakey įgyvendina ir palaiko tinkamas technines ir organizacines priemones Kliento asmens duomenims apsaugoti, atsižvelgdama į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas ir duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus, kaip reikalaujama pagal BDAR 32 straipsnį. Šiuo metu taikomos priemonės aprašytos 2 priede. Notakey gali jas kartkartėmis atnaujinti, jei bendras apsaugos lygis nesumažinamas.
6. Pagalbiniai duomenų tvarkytojai
Klientas suteikia Notakey bendrąjį leidimą pasitelkti 3 priede išvardytus pagalbinius duomenų tvarkytojus. Notakey praneš Klientui likus ne mažiau kaip 30 dienų iki pagalbinio duomenų tvarkytojo pridėjimo ar pakeitimo; per tą laikotarpį Klientas gali pareikšti prieštaravimą dėl pagrįstų duomenų apsaugos priežasčių — tokiu atveju šalys sąžiningai sieks rasti sprendimą, o jo nepavykus rasti, Klientas gali nutraukti paveiktas Paslaugas. Notakey kiekvienam pagalbiniam duomenų tvarkytojui nustato duomenų apsaugos įsipareigojimus, lygiaverčius numatytiesiems šioje DTS, ir lieka atsakinga už jų vykdymą.
7. Pagalba Klientui
Atsižvelgdama į duomenų tvarkymo pobūdį, Notakey, kiek tai įmanoma, tinkamomis techninėmis ir organizacinėmis priemonėmis padės Klientui vykdyti Kliento pareigą atsakyti į duomenų subjektų prašymus (BDAR III skyrius) ir Kliento pareigas pagal BDAR 32–36 straipsnius (saugumas, pranešimai apie duomenų saugumo pažeidimus, poveikio duomenų apsaugai vertinimai ir išankstinės konsultacijos), kiekvienu atveju gavusi pagrįstą Kliento prašymą. Jei duomenų subjektas dėl Kliento naudojimosi Paslaugomis kreipiasi tiesiogiai į Notakey, Notakey nepagrįstai nedelsdama perduos prašymą Klientui.
8. Pranešimas apie asmens duomenų saugumo pažeidimą
Sužinojusi apie asmens duomenų saugumo pažeidimą, darantį poveikį Kliento asmens duomenims, Notakey nepagrįstai nedelsdama apie tai praneš Klientui ir pateiks Notakey pagrįstai prieinamą informaciją, padedančią Klientui įvykdyti jo paties pranešimo pareigas pagal BDAR 33 ir 34 straipsnius, papildydama pranešimą, kai paaiškėja daugiau informacijos.
9. Tarptautinis duomenų perdavimas
Notakey tvarko Kliento asmens duomenis Europos ekonominėje erdvėje. notakey.cloud talpinama Oracle Cloud Infrastructure. Kai pagalbinis duomenų tvarkytojas tvarko asmens duomenis už EEE ribų (žr. 3 priedą), Notakey užtikrina, kad būtų taikoma tinkama perdavimo apsaugos priemonė, pavyzdžiui, Europos Komisijos standartinės sutarčių sąlygos arba sprendimas dėl tinkamumo (įskaitant ES ir JAV duomenų privatumo sistemą, kai gavėjas yra sertifikuotas).
10. Duomenų ištrynimas ir grąžinimas
Nutraukus Paslaugas ar joms pasibaigus, Notakey Kliento pasirinkimu nepagrįstai nedelsdama ištrins arba grąžins visus Kliento asmens duomenis ir ištrins esamas jų kopijas, nebent ES ar valstybės narės teisė reikalauja duomenis saugoti toliau.
11. Auditai
Notakey pateiks Klientui informaciją, pagrįstai būtiną atitikčiai šiai DTS įrodyti, ir sudarys sąlygas Kliento arba Kliento įgalioto auditoriaus atliekamiems auditams, įskaitant patikrinimus, bei prie jų prisidės, su sąlyga, kad apie auditą pranešama pagrįstai iš anksto, jis atliekamas ne dažniau kaip kartą per bet kurį 12 mėnesių laikotarpį (nebent dėl asmens duomenų saugumo pažeidimo ar priežiūros institucijos reikalavimo būtina kitaip), įprastomis darbo valandomis ir laikantis konfidencialumo įsipareigojimų. Notakey audito prašymą pirmiausia gali patenkinti pateikdama esamas audito ataskaitas ar sertifikatus, jei jie pagrįstai atitinka prašymo apimtį.
12. Atsakomybė ir nuostatų viršenybė
Kiekvienos šalies atsakomybei pagal šią DTS taikomi Sutartyje nustatyti atsakomybės apribojimai. Esant prieštaravimui tarp šios DTS ir Sutarties nuostatų dėl asmens duomenų tvarkymo, viršenybę turi ši DTS.
1 priedas — Duomenų tvarkymo aprašymas
Kaip nustatyta šios DTS 2 skirsnyje (dalykas, trukmė, pobūdis ir tikslas, duomenų subjektų kategorijos ir asmens duomenų rūšys).
2 priedas — Techninės ir organizacinės priemonės
- Galutinių naudotojų privatieji raktai generuojami ir saugomi įrenginio aparatine įranga apsaugotoje saugioje saugykloje ir niekada nėra perduodami Notakey ar jos laikomi; kiekvienas patvirtinimas kriptografiškai pasirašomas įrenginyje.
- Perduodami duomenys šifruojami naudojant TLS.
- Tvirtinimo užklausų turinys į įrenginį pristatomas tik naudotojui priėmus tiesioginį (push) pranešimą; tiesioginių pranešimų teikėjai (APNs / FCM) gauna prieigos raktus, o ne užklausų turinį.
- Išsamesnę informaciją apie Notakey technines ir organizacines priemones Klientas gali gauti paprašęs adresu info@notakey.com.
3 priedas — Įgalioti pagalbiniai duomenų tvarkytojai
- Oracle Cloud Infrastructure — notakey.cloud priegloba.
- Apple Inc. (Apple Push Notification service) — tiesioginių pranešimų pristatymas į iOS įrenginius.
- Google LLC (Firebase Cloud Messaging) — tiesioginių pranešimų pristatymas į Android įrenginius.
- Functional Software, Inc. (Sentry) — programų klaidų ir strigčių diagnostika.
Kai Kliento naudotojų įtraukimo konfigūracijoje vienkartiniai kodai pristatomi SMS žinute ar per WhatsApp, pranešimų pristatymo paslaugos teikėjas pristatymo tikslais gauna galutinio naudotojo telefono numerį. Aktualų pagalbinių duomenų tvarkytojų sąrašą galima gauti paprašius adresu info@notakey.com.