Tvarka privatumo politika
Tvarka privatumo politika
Ši privatumo politika paaiškina, kaip Tvarka tvarko asmens duomenis.
Paskutinį kartą atnaujinta: 2026-02-25
1. Duomenų valdytojas
1.1. Duomenų valdytojas, tvarkantis asmens duomenis, aprašytus šioje Privatumo politikoje, yra nurodytas ir kontaktiniai duomenys pateikti skyriuje Kontaktiniai duomenys.
1.2. Tvarkydami asmens duomenis laikomės 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 (BDAR) ir taikomų Lietuvos Respublikos teisės aktų.
2. Kam taikoma ši Privatumo politika
2.1. Privatumo politika taikoma Tvarka Platformos lankytojams ir naudotojams, taip pat klientų, partnerių ir paslaugų teikėjų atstovams, kai jie bendrauja su mumis ar naudojasi Tvarka.
2.2. Tvarka Paslaugos teikiamos tik verslui. Nepilnamečiams Tvarka neskirta, prašome nenaudoti Platformos, jei Jums nėra 18 metų.
2.3. Jei naudodamiesi Tvarka pateikiate trečiųjų asmenų asmens duomenis, esate atsakingi už jų informavimą apie šį tvarkymą ir supažindinimą su šia Privatumo politika.
3. Kokius asmens duomenis tvarkome
Tvarka tvarko asmens duomenis tiek, kiek to reikia Platformai teikti ir administruoti. Duomenų apimtis gali skirtis priklausomai nuo naudojamų funkcijų.
3.1. Autentifikavimo (prisijungimo) duomenys
Visi naudotojai autentifikuojami per Mitsoft TSP ir (ar) valstybės įmonės Registrų centro tapatybės patvirtinimo sprendimus, naudojant Lietuvos e. tapatybės priemones (pvz., Smart-ID, Mobile-ID, e. ID kortelę).
Galime gauti ir tvarkyti šiuos duomenis, kuriuos pateikia tapatybės patvirtinimo sprendimų teikėjai: asmens kodą, vardą, pavardę, šalies kodą, sertifikato duomenis audito pėdsakui.
3.2. Paskyros ir rolės duomenys
Tvarka saugo paskyros ir naudotojo vaidmens informaciją, susijusią su konkrečiu juridiniu asmeniu: priskirtus vaidmenis ir teises, priskyrimo datą, priskyrimą atlikusį asmenį, audito įrašus apie vaidmens pakeitimus.
3.3. Juridinio asmens ir veiklos duomenys
Tvarka apdoroja duomenis apie Platformoje valdomą juridinį asmenį ir Naudotojo veiksmus Platformoje, pvz.: juridinio asmens kodą (JA kodą), pavadinimą, tipą (pvz., UAB, MB), atitikties nustatymus, dalyvių registro įrašus, kalendoriaus įvykius, užduotis, dokumentų metaduomenis.
Kai kuriais atvejais Tvarka gali naudoti viešai prieinamus ar oficialius šaltinius (pvz., registrų ar mokesčių mokėtojų duomenis) juridinio asmens duomenims patikrinti arba iš anksto užpildyti, jei tokia funkcija numatyta Platformoje.
3.4. Dokumentai ir pasirašymo kvalifikuotu elektroniniu parašu (QES) duomenys
Jei naudojatės dokumentų saugykla, dokumentų generavimu ar pasirašymu, Tvarka apdoroja įkeltus dokumentus, sugeneruotus failus ir pasirašymo metu susidarančius techninius duomenis (pvz., pasirašymo laiką, sertifikato informaciją, pasirašymo žurnalą). QES pasirašymas vykdomas naudojant Mitsoft TSP ir (ar) valstybės įmonės Registrų centro dokumentų pasirašymo infrastruktūrą.
3.5. Mokėjimų ir sąskaitų duomenys
Mokėjimus už planus ir Papildymą apdoroja Stripe, Inc. naudojant SEPA tiesioginio debeto metodą. Tvarka gali gauti mokėjimų būsenos informaciją (pvz., aktyvi prenumerata, planas, apmokėjimo data), reikalingą prieigai suteikti ir apskaitai. Banko sąskaitų pilnų duomenų Tvarka nesaugo.
3.6. Techniniai duomenys ir slapukai
Tvarka naudoja būtinuosius slapukus ir panašias technologijas (pvz., sesijos slapukus, CSRF apsaugą), kad Platforma veiktų saugiai. Jei naudojami analitiniai ar rinkodaros slapukai, jie naudojami tik gavus Jūsų sutikimą.
4. Duomenų tvarkymo tikslai, teisiniai pagrindai ir saugojimas
Toliau pateikiame pagrindinius tvarkymo tikslus. Konkretūs terminai gali būti tikslinami atsižvelgiant į teisės aktų reikalavimus ir faktinį Paslaugų teikimo pobūdį.
| Tikslas | Duomenų kategorijos | Teisinis pagrindas (BDAR) | Saugojimas |
|---|---|---|---|
| Paskyros sukūrimas ir autentifikavimas | eID duomenys (asmens kodas, vardas, pavardė), rolės | Sutartis (BDAR 6 str. 1 d. b p.) / teisėtas interesas (BDAR 6 str. 1 d. f p.) | Iki paskyros ištrynimo; audito įrašai – pagal teisėtą interesą ir saugumo poreikį. |
| Paslaugų teikimas (registro, kalendoriaus, dokumentų funkcijos) | juridinio asmens duomenys, veiklos įrašai, dokumentai | Sutartis (6(1)(b)) | Kol teikiamos Paslaugos ir tiek, kiek būtina, pagrįstą laiką po jų; apskaitos dokumentai – 10 metų. |
| QES pasirašymas | pasirašymo žurnalas, sertifikato duomenys | Sutartis (6(1)(b)) | Pagal dokumentų saugojimo terminus ir audito poreikius. |
| Mokėjimų administravimas | mokėjimų būsena, planas, sąskaitų informacija | Sutartis (BDAR 6 str. 1 d. b p.) / teisinė prievolė (BDAR 6 str. 1 d. c p.) | Apskaitos dokumentai – 10 metų. |
| Saugumas, sukčiavimo prevencija, incidentų valdymas | techniniai žurnalai, IP, įrenginio / sesijos duomenys | Teisėtas interesas (BDAR 6 str. 1 d. f p.) | Paprastai iki 12 mėn., jei nereikia ilgiau dėl incidento ar ginčo. |
| Komunikacija ir pagalba | el. paštas, užklausos turinys | Sutartis (BDAR 6 str. 1 d. b p.) / teisėtas interesas (BDAR 6 str. 1 d. f p.) | Paprastai iki 2 metų nuo paskutinio kontakto, jei nereikia ilgiau dėl ginčo. |
5. Duomenų gavėjai (duomenų tvarkytojai ir (ar) valdytojai)
Tvarka gali atskleisti asmens duomenis trečiosioms šalims tik tiek, kiek būtina Paslaugoms teikti, saugumui užtikrinti ar teisinėms prievolėms vykdyti.
Pagrindinės gavėjų kategorijos:
- IT ir prieglobos paslaugų teikėjai (pvz., debesijos infrastruktūra);
- Mitsoft TSP ir (ar) valstybės įmonė Registrų centras – autentifikavimo ir QES pasirašymo paslaugų teikėjai;
- Stripe – mokėjimų ir sąskaitų paslaugų teikėjas;
- profesiniai konsultantai (pvz., teisininkai, auditoriai), kai būtina teisėtiems interesams pagal teisės aktus;
- valstybinės institucijos ir teismai – kai privaloma pagal teisės aktus arba ginčų sprendimui.
Su duomenų tvarkytojais sudarome sutartis, užtikrinančias BDAR reikalavimų laikymąsi.
6. Slapukai ir kitos technologijos
6.1. Būtini slapukai. Tvarka nenaudoja papildomų (analitinių ar rinkodaros) slapukų. Platformos veikimui ir saugumui gali būti naudojami tik būtini slapukai, kuriuos nustato infrastruktūros ar tapatybės paslaugų teikėjai (pvz., apsauga nuo botų, srauto maršrutavimas, seanso palaikymas tapatybės patvirtinimo metu). Šie slapukai tvarkomi mūsų teisėto intereso pagrindu (BDAR 6(1)(f)).
6.2. Pasirenkami slapukai. Tvarka nenaudoja analitinių ar rinkodaros slapukų ir neprašo sutikimo tokiems slapukams.
6.3. Naudojamų slapukų sąrašas
| Slapukas | Teikėjas | Paskirtis | Galiojimas |
|---|---|---|---|
| __cf_bm | Cloudflare | Botų valdymas / apsauga nuo piktnaudžiavimo (Cloudflare Bot Management / Bot Fight Mode). | Iki ~30 min. po neaktyvumo |
| _cfuvid | Cloudflare | Srauto ribojimo / žiniatinklio programų užkardos (WAF) taisyklės: padeda atskirti lankytojus, kai keli naudotojai dalijasi tuo pačiu IP adresu (NAT). | Pagal Cloudflare konfigūraciją (dažn. sesijos) |
| cf_clearance | Cloudflare | Įrodymas, kad praeitas Cloudflare saugumo iššūkis. | Pagal Cloudflare konfigūraciją |
| __cflb | Cloudflare (jei taikoma) | Sesijų priskyrimas tam pačiam pirminiam serveriui (Cloudflare Load Balancer sesijos afinitetas). | Nuo kelių sek. iki 24 val. (pagal nustatymus) |
| X-Oracle-BMC-LBS-Route | OCI (Oracle Cloud Infrastructure) (jei taikoma) | OCI Load Balancer sesijos priskyrimas (sesijų lipnumas) vidiniam serveriui. | Pagal OCI konfigūraciją |
| HCLBSTICKY | Hetzner (jei taikoma) | Hetzner Cloud Load Balancer sesijos priskyrimas (sesijų lipnumas) vidiniam serveriui. | Pagal Hetzner konfigūraciją |
| sessionid | Mitsoft TSP (tsp.mitsoft.lt) (jei taikoma) | Seanso slapukas, reikalingas naudotojui išlikti prisijungus eID aplinkoje (pasirašymas / tapatybės patvirtinimas). | Iki naršyklės uždarymo (sesijos) |
| cookieyes-consent | LT ID (ltid.lt) (jei taikoma) | Įsimena naudotojo slapukų sutikimo nuostatas LT ID svetainėje. | 1 metai |
| _GRECAPTCHA | LT ID (ltid.lt) (jei taikoma) | Apsauga nuo robotų ir piktnaudžiavimo LT ID svetainėje. | 6 mėn. |
Pastaba: „jei taikoma“ reiškia, kad slapukas nustatomas tik tuo atveju, jei atitinkama infrastruktūros ar tapatybės paslauga naudojama konkrečioje aplinkoje, atsižvelgiant į naudotojo nustatymus.
7. Duomenų perdavimas į trečiąsias valstybes
7.1. Tvarka gali naudoti paslaugų teikėjus, kurie asmens duomenis tvarko už Europos ekonominės erdvės ribų. Tokiais atvejais užtikriname tinkamas apsaugos priemones (pvz., Europos Komisijos standartines sutarčių sąlygas, sprendimus dėl tinkamumo arba kitas BDAR numatytas priemones).
8. Asmens duomenų saugumas
8.1. Taikome technines ir organizacines priemones, skirtas apsaugoti asmens duomenis nuo neteisėtos prieigos, praradimo ar atskleidimo.
8.2. Tvarka architektūroje asmens kodas tvarkomas saugiai – indeksavimui naudojamas HMAC-SHA256 maišos identifikatorius, o šifruoti duomenys saugomi atskirai (raktai valdomi atskirai), siekiant sumažinti riziką.
8.3. Nors dedame pagrįstas pastangas, joks duomenų perdavimo ar saugojimo metodas nėra 100% saugus.
9. Jūsų teisės
Jūs turite BDAR nustatytas teises: teisę susipažinti su duomenimis, juos ištaisyti, ištrinti, apriboti tvarkymą, prieštarauti tvarkymui, teisę į duomenų perkeliamumą (kai taikoma) ir teisę pateikti skundą priežiūros institucijai.
Norėdami pasinaudoti teisėmis, susisiekite el. paštu, nurodytu 12 skyriuje. Atsakysime ne vėliau kaip per 1 mėnesį, nebent BDAR numato galimybę terminą pratęsti.
Priežiūros institucija Lietuvoje – Valstybinė duomenų apsaugos inspekcija (VDAI), L. Sapiegos g. 17, 10312 Vilnius, el. paštas [email protected].
10. Privatumo politikos pakeitimai
10.1. Galime atnaujinti šią Privatumo politiką. Atnaujinimai skelbiami Platformoje. Esminiais pakeitimais galime informuoti papildomai.
11. Atsakomybė ir paskyros saugumas
11.1. Tvarka naudotojai yra atsakingi už savo įrenginių, e. tapatybės priemonių ir veiksmų Platformoje saugumą. Rekomenduojame naudoti atnaujintą programinę įrangą ir imtis sąmonngų kibernetinio saugumo priemonių.
12. Kontaktai
Duomenų valdytojas / Paslaugų teikėjas:
Advokato M.Kiškio kontora INVENT
Dariaus ir Girėno g. 21, LT-02189 Vilnius