Teisinė info / Legal

Duomenų tvarkymo sutartisData Processing Agreement (GDPR Art. 28)

Įsigalioja / Effective: 2026 m. gegužės 1 d. / May 1, 2026

Ši sutartis sudaroma tarp eCMR Capture (Karolis Paulikas, individuali veikla, toliau — „Tvarkytojas“) ir paslaugos kliento (toliau — „Valdytojas“). Sutarties tikslas — apibrėžti asmens duomenų tvarkymo sąlygas pagal Bendrojo duomenų apsaugos reglamento (ES) 2016/679 28 straipsnio reikalavimus.

This agreement is concluded between eCMR Capture (Karolis Paulikas, sole trader, the “Processor”) and the service customer (the “Controller”). Its purpose is to set out the terms of personal data processing under Article 28 of Regulation (EU) 2016/679 (the GDPR).

1. Šalys ir vaidmenys / Parties and roles

LT. Valdytojas yra Klientas; Tvarkytojas yra eCMR Capture. Tvarkytojas tvarko asmens duomenis tik pagal dokumentuotus Valdytojo nurodymus, įskaitant tarptautinius perdavimus, nebent to reikalauja ES ar valstybės narės teisė.

EN. The Customer is the Controller; eCMR Capture is the Processor. The Processor processes personal data only on documented instructions from the Controller, including with regard to international transfers, unless required by EU or Member State law.

2. Tvarkymo dalykas, trukmė, pobūdis, tikslas / Subject, duration, nature, purpose

LT
──────────────────────────────────────────────────────────────────────
Dalykas      Asmens duomenų ištraukimas iš CMR važtaraščių
Trukmė       Pagrindinės paslaugos sutarties galiojimas
Pobūdis      Automatizuotas vaizdo modelio ištraukimas + saugojimas
Tikslas      Klientui pateikti struktūrizuotus 24 CMR laukus
             JSON, CSV arba eFTI XML formatu

EN
──────────────────────────────────────────────────────────────────────
Subject      Extraction of personal data from CMR waybills
Duration     Term of the underlying service agreement
Nature       Automated vision-model extraction + storage
Purpose      To deliver the 24 structured CMR fields to the Customer
             in JSON, CSV, or eFTI XML format

3. Duomenų subjektų kategorijos / Categories of data subjects

  • Valdytojo darbuotojai ir atstovai / Controller’s employees and representatives
  • Vairuotojai / Drivers
  • Siuntėjai, gavėjai ir kontrahentai, nurodyti įkeltose CMR / Senders, consignees, and counterparties listed on uploaded CMRs

4. Asmens duomenų kategorijos / Categories of personal data

Tos pačios kategorijos, kaip nurodyta Privatumo politikos 2 skirsnyje / Same categories as set out in Privacy Policy section 2 — paskyros duomenys, CMR turinys, telemetrija / account data, CMR content, telemetry.

5. Sub-tvarkytojai / Sub-processors

LT. Valdytojas suteikia bendrą rašytinį leidimą pasitelkti sub-tvarkytojus, išvardytus Privatumo politikos 4 skirsnyje. Apie naujus sub-tvarkytojus pranešama el. paštu likus 30 dienų — Valdytojas turi teisę nesutikti ir nutraukti pagrindinę sutartį be baudos.

EN. The Controller grants a general written authorisation to engage the sub-processors listed in section 4 of the Privacy Policy. The Processor will notify of new sub-processors by email at least 30 days in advance. The Controller may object and terminate the underlying agreement without penalty.

6. Saugumo priemonės / Technical and organisational measures

  • Šifravimas saugykloje (AES-256) ir perduodant (TLS 1.3) / Encryption at rest (AES-256) and in transit (TLS 1.3)
  • Vaidmenimis pagrįstas prieigos valdymas, MFA visiems administratoriams / Role-based access control, MFA for all admins
  • Paslapčių valdymas per Vercel + 1Password / Secret management via Vercel + 1Password
  • Audito žurnalai (90 d.) ir saugumo telemetrija / Audit logs (90 days) and security telemetry
  • Reguliarus tiekėjų rizikos vertinimas / Regular vendor risk review

Plačiau aprašyta vidiniame saugumo politikos dokumente (LEGAL.md) — pateikiama Valdytojo prašymu. / Further detail in the internal security policy (LEGAL.md), available to the Controller on request.

7. Audito teisės / Audit rights

LT. Valdytojas gali atlikti auditą vieną kartą per 12 mėn. įspėjęs Tvarkytoją prieš 30 dienų. Auditas atliekamas darbo valandomis, neperžengiant pagrįstai būtino masto, abi šalys derina sąnaudas. Tvarkytojas pateiks ISO 27001 / SOC 2 ataskaitas, kai jas turės; šiuo metu tokių sertifikatų neturime — apie tai pranešame atvirai.

EN.The Controller may audit once per 12 months on 30 days’ written notice. Audits take place during business hours, are limited to what is reasonably necessary, and costs are apportioned between the parties. The Processor will provide ISO 27001 / SOC 2 reports when available; none are held at this time — disclosed honestly.

8. Tarptautiniai perdavimai / International transfers

LT. Perdavimams į trečiąsias valstybes (visų pirma — į JAV per OpenAI) taikomos Europos Komisijos standartinės sutartinės sąlygos (Sprendimas 2021/914), 2 modulis (Valdytojas → Tvarkytojas). Šios sutarties pasirašymas reiškia ir SCC 2 modulio pasirašymą tarp šalių, kai Tvarkytojas perduoda duomenis sub-tvarkytojui už EEE ribų — kartu taikomas 3 modulis (Tvarkytojas → sub-Tvarkytojas).

EN. Transfers to third countries (notably the United States via OpenAI) are governed by the European Commission Standard Contractual Clauses (Decision 2021/914), Module 2 (Controller-to-Processor). Execution of this DPA also constitutes execution of the Module 2 SCCs between the parties; Module 3 (Processor-to-Sub-processor) applies onward where the Processor relies on a sub-processor outside the EEA.

9. Pranešimas apie asmens duomenų pažeidimus / Personal data breach notification

LT. Tvarkytojas praneša Valdytojui apie asmens duomenų pažeidimą per 72 valandas nuo sužinojimo, pateikdamas BDAR 33 str. 3 d. reikalaujamą informaciją — pažeidimo pobūdis, paveikti duomenų subjektai, pasekmės, taikytos priemonės.

EN. The Processor notifies the Controller of a personal data breach within 72 hours of becoming aware, providing the information required under GDPR Art. 33(3) — nature of the breach, data subjects affected, consequences, and measures taken.

10. Sutarties pabaiga, duomenų grąžinimas ir ištrynimas / End of contract, return and deletion

LT. Pasibaigus pagrindinei sutarčiai, Valdytojas gali per 30 dienų eksportuoti visus duomenis per API arba pasirašytą atsisiuntimo nuorodą. Po šio termino Tvarkytojas ištrina duomenis iš veikiančių sistemų; atsarginės kopijos rotuojamos per 90 d. Mokestiniai įrašai (sąskaitos, mokėjimo metaduomenys) saugomi 10 metų pagal LR MAĮ 39 str.

EN. On termination of the underlying agreement, the Controller may export all data via API or a signed download link within 30 days. After that period the Processor deletes data from production systems; backups rotate within 90 days. Tax records (invoices, payment metadata) are retained for 10 years under LT MAĮ Art. 39.

11. Atsakomybė / Liability

LT. Atsakomybė pagal šią sutartį ribojama pagal pagrindinės paslaugų sutarties (Naudojimosi sąlygų 5 skirsnis) atsakomybės nuostatas. SCC nustatytų pareigų (BDAR 82 str. duomenų subjektams) ribojimas netaikomas tiek, kiek to draudžia teisės aktai.

EN. Liability under this DPA is limited as set out in the underlying Terms of Service (section 5). The SCC obligations (and Art. 82 GDPR claims by data subjects) are not capped to the extent prohibited by law.