Getfast — pervežimų valdymo sistemaPrisijungti →

Duomenų tvarkymo sutartis (DPA)

Versija 1.0 · Įsigalioja: 2026-05-08 · BDAR 28 str. atitiktis

Ši Duomenų tvarkymo sutartis (toliau — „DPA") yra Paslaugų sąlygų sudėtinė dalis ir taikoma visiems Klientams, kurie naudoja Getfast platformą tvarkyti savo klientų, gavėjų, vairuotojų ar kitų asmenų asmens duomenims. Ji atitinka Bendrojo duomenų apsaugos reglamento (ES 2016/679, „BDAR") 28 straipsnio reikalavimus.

1. Šalys ir vaidmenys

  • Tvarkytojas: MB „O zeniau", Konstitucijos pr. 23, Vilnius (toliau — „Getfast", „mes")
  • Valdytojas: Klientas, registruotas Getfast platformoje (toliau — „jūs", „Klientas")

Klientas yra duomenų valdytojas visiems jo į platformą įvestiems trečiųjų asmenų duomenims (klientų, gavėjų, vairuotojų ir pan.). Getfast veikia kaip duomenų tvarkytojas, atlikdamas operacijas tik pagal Kliento nurodymus.

2. Tvarkymo dalykas, trukmė ir tikslas

  • Dalykas: Asmens duomenų tvarkymas, susijęs su pervežimo paslaugų valdymu.
  • Trukmė: Visa Paslaugų sąlygų galiojimo trukmė + iki duomenų ištrinimo.
  • Pobūdis: Saugojimas, struktūrizavimas, perteikimas, naudojimas, ištrynimas.
  • Tikslas: Pervežimo užsakymų valdymas, vairuotojų koordinavimas, klientų komunikacija, sąskaitų ir CMR formų generavimas, statistikos sukūrimas Kliento dashboard'e.

3. Asmens duomenų kategorijos ir duomenų subjektų grupės

3.1 Duomenų subjektų kategorijos

  • Kliento darbuotojai (administratoriai, dispečeriai, vairuotojai)
  • Kliento klientai (fiziniai asmenys arba kontaktiniai asmenys įmonėse)
  • Pristatymo gavėjai

3.2 Asmens duomenų kategorijos

  • Tapatybės duomenys: vardas, pavardė
  • Kontaktiniai duomenys: el. paštas, telefono numeris, adresas
  • Buhalterinės apskaitos duomenys: PVM kodas, įmonės kodas
  • Lokacijos duomenys: vairuotojo GPS koordinatės darbo metu
  • Pristatymo patvirtinimo duomenys: parašai, foto, PIN kodai
  • Sistemos naudojimo metaduomenys: prisijungimo laikas, IP, įrenginys

3.3 Specialiosios kategorijos (BDAR 9 str.)

Getfast platforma nėra skirta tvarkyti specialiųjų asmens duomenų kategorijoms (sveikatos, rasinė kilmė ir pan.). Klientas įsipareigoja tokių duomenų platformoje neįvedinėti.

4. Valdytojo (Kliento) pareigos

  • Užtikrinti, kad turi teisinį pagrindą rinkti ir perduoti Getfast'ui asmens duomenis (pvz., sutikimą, sutarties vykdymą).
  • Pateikti aiškius nurodymus dėl duomenų tvarkymo (paprastai per platformos veiksmus).
  • Informuoti savo klientus, gavėjus ir vairuotojus apie duomenų tvarkymą per Getfast, įskaitant kontaktą su duomenų valdytoju.
  • Reaguoti į duomenų subjektų teisių užklausas (per 30 dienų).
  • Užtikrinti savo prisijungimo duomenų saugumą.

5. Tvarkytojo (Getfast) pareigos

Getfast įsipareigoja:

  • Tvarkyti asmens duomenis tik pagal dokumentuotus Kliento nurodymus (įskaitant per šią DPA, Paslaugų sąlygas ir per platformos veiksmus).
  • Užtikrinti, kad asmenys, turintys prieigą prie duomenų, yra įsipareigoję laikytis konfidencialumo (NDA arba įstatyminė pareiga).
  • Įgyvendinti tinkamas technines ir organizacines priemones (žr. 7 sk.).
  • Padėti Klientui įgyvendinti subjektų teises (BDAR 12-22 str.).
  • Padėti Klientui užtikrinti BDAR 32-36 str. atitiktį (saugumas, pažeidimo pranešimai, PIA).
  • Sutarties pabaigoje grąžinti arba ištrinti visus duomenis (žr. 12 sk.).
  • Pateikti Klientui visą informaciją, reikalingą BDAR atitikties įrodymams.

6. Pasitelkti sub-tvarkytojai

Klientas suteikia bendrąjį leidimą Getfast pasitelkti sub-tvarkytojus paslaugos teikimui. Šių sub-tvarkytojų sąrašas:

Sub-tvarkytojasPaslaugaVieta
Supabase Inc.Duomenų bazė, autentifikacija, failų saugojimasES (Frankfurtas)
Vercel Inc.Aplikacijos talpinimasES (Stokholmas, Frankfurtas)
Stripe Payments Europe Ltd.Mokėjimų apdorojimasAirija
ResendTransakciniai el. laiškaiES regionas
InfoBip / TwilioSMS pranešimaiES, JK
Mapbox Inc.Žemėlapiai, geokodavimasJAV (su SCC)

Apie naujus sub-tvarkytojus arba pakeitimus informuojame ne vėliau kaip prieš 30 dienų, suteikdami galimybę pareikšti pagrįstą prieštaravimą. Esant prieštaravimui, šalys bendradarbiauja siekdamos išspręsti situaciją; nesusitarus, Klientas turi teisę nutraukti sutartį.

7. Saugumo priemonės (BDAR 32 str.)

Getfast įgyvendina šias priemones:

  • Šifravimas duomenų ramybėje: AES-256 (PostgreSQL su Supabase).
  • Šifravimas keliaujant: TLS 1.3 visam duomenų srautui.
  • Daugiatenant izoliacija: PostgreSQL Row-Level Security — vienos įmonės duomenys niekada nepasiekiami kitoms.
  • Slaptažodžiai: tik kriptografinė maiša (bcrypt) — atvirojo teksto slaptažodžių neturime.
  • Audit log: esminių veiksmų fiksavimas (1 metai retention).
  • Atsarginės kopijos: kasdieniai automatiniai backup'ai, saugomi šifruoti.
  • Prieigos kontrolė: rolėmis pagrįsta (RBAC), MFA palaikymas.
  • Reguliarūs atnaujinimai: programinės įrangos saugumo pataisos.
  • Vidaus politikos: incidentų valdymas, prieigos kontrolė, NDA su darbuotojais.

8. Asmens duomenų pažeidimų pranešimas

Getfast praneša Klientui apie bet kokį asmens duomenų saugumo pažeidimą, susijusį su Kliento duomenimis, be nepagrįsto delsimo, ne vėliau kaip per 48 valandas nuo sužinojimo. Pranešime pateikiame:

  • Pažeidimo pobūdis (kategorijos, paveiktų subjektų skaičius)
  • Galimas pasekmes
  • Ėmusis priemonių, įskaitant švelninimo veiksmus
  • Kontaktą papildomai informacijai

9. Subjektų teisių įgyvendinimas

Jei duomenų subjektas kreipiasi tiesiogiai į Getfast (pvz., norėdamas susipažinti, ištrinti duomenis), nukreipiame jį į Klientą — Getfast neturi teisės savarankiškai vykdyti užklausų be Kliento nurodymo. Padedame Klientui techniškai (pvz., pateikdami eksporto ar ištrynimo įrankius platformoje).

10. Duomenų perdavimas už ES/EEE

Getfast pirmiausia tvarko duomenis ES (Frankfurte). Kai sub-tvarkytojai (pvz., Mapbox) gali pasiekti duomenis JAV, perdavimas vyksta tik pagal:

  • Adekvatumo sprendimą (Data Privacy Framework — JAV organizacijos, kurios laikosi);
  • Standartines sutarčių sąlygas (SCC), patvirtintas Europos Komisijos.

11. Auditas ir atitikties įrodymai

Getfast pateikia Klientui informaciją, reikalingą BDAR atitikties įrodymams (saugumo priemonių aprašymą, sub-tvarkytojų sąrašą, audito ataskaitas, jei prieinama).

Klientas turi teisę vykdyti auditą (taip pat per nepriklausomą trečią šalį), bet ne dažniau kaip kartą per metus, raštišku 30 dienų pranešimu, ir nedarant nepagrįstos žalos Getfast veiklai.

12. Nutraukimas ir duomenų grąžinimas

Pasibaigus Paslaugų sąlygoms, Klientas pasirenka:

  • Eksportuoti duomenis — per platformą, prieinama 30 dienų po nutraukimo;
  • Negrįžtamas ištrynimas — automatiškai vykdomas po 30 dienų; sertifikatą apie ištrynimą galima pareikalauti.

Atskirai sutarus, gali būti taikomos teisinės saugojimo prievolės (pvz., 10 metų sąskaitoms pagal LR mokesčių įstatymus). Tokie duomenys atskirti, šifruojami ir nepasiekiami kasdienėse operacijose.

Šios DPA priėmimas

Naudodamiesi Getfast platforma, Klientas patvirtina, kad sutinka su šios DPA sąlygomis. Atskira pasirašyta versija (PDF) pateikiama per info@nexdev.lt pagal pareikalavimą.