Pradėti

Duomenų tvarkymo sutartis

Derinama su

Sutartis pagal BDAR 28 straipsnį
Versija: 2.0
Galioja nuo: 2025-06-01
Paskutinį kartą atnaujinta: 2026-06-04


Sutarties šalys

DUOMENŲ VALDYTOJAS (toliau – Valdytojas):
Juridinis ar fizinis asmuo, užregistravęs paskyrą Talento (talento.lt) arba Atrenku.lt platformoje ir besinaudojantis DI paremtais kandidatų atrankos įrankiais.

DUOMENŲ TVARKYTOJAS (toliau – Tvarkytojas):
WE HUMAN, MB
El. paštas: info@atrenku.lt
Interneto svetainė: talento.lt / atrenku.lt

Ši Duomenų tvarkymo sutartis (DTS) yra sudedamoji platformos Naudojimosi sąlygų dalis ir įsigalioja priimant Naudojimosi sąlygas.


1 straipsnis. Apibrėžimai

1.1. Asmens duomenys – bet kokia informacija, apibrėžta BDAR 4 str. 1 p.

1.2. Tvarkymas – bet kokia operacija, atliekama su asmens duomenimis pagal BDAR 4 str. 2 p.

1.3. BDAR – 2016 m. balandžio 27 d. Reglamentas (ES) 2016/679.

1.4. ES DI Aktas – 2024 m. birželio 13 d. Reglamentas (ES) 2024/1689.

1.5. Aukštos rizikos DI sistema – platforma naudojamos DI sistemos, klasifikuojamos pagal ES DI Akto III priedo 4 skirsnį kaip aukštos rizikos kandidatų vertinimo tikslais.

1.6. Kandidatas – fizinis asmuo, kurio duomenys tvarkomi per platformą.


2 straipsnis. Tvarkymo dalykas, trukmė ir pobūdis

2.1 Paslaugų apimtis

Tvarkytojas tvarko asmens duomenis teikdamas šias paslaugas:

PaslaugaTvarkomi duomenysTvarkymo pobūdis
CV Atitikties vertinimasCV tekstas, kandidato vardas, atitikties balas, DI vertinimasAutomatizuota analizė naudojant Claude AI
Kandidatų atranka (Screening)Iššūkio sprendimas (tekstas/kodas), vertinimo balas, DI atsiliepimas, sąžiningumo duomenysAutomatizuota DI analizė, GitHub kodo nuskaitymas
Kandidatų paieška (Sourcing)Viešai prieinami duomenys (GitHub, LinkedIn, PDL)Paieška, ranguojimas DI pagalba
Kandidatų valdymasKandidatų profiliai, pasiūlymai, rezultataiSaugojimas, rodymasis darbdaviui

2.2 Tvarkymo trukmė

DTS galioja tol, kol Valdytojas naudojasi platformos paslaugomis. Pasibaigus sutarčiai, duomenys tvarkomi pagal ištrynimo terminus, nustatytus 8 straipsnyje.


3 straipsnis. Valdytojo prievolės

3.1 Teisinis pagrindas

Valdytojas patvirtina ir garantuoja, kad:

a) Turi tinkamą teisinį pagrindą pagal BDAR 6 str. kandidatų asmens duomenų tvarkymui;

b) Jei CV gali apimti ypatingų kategorijų duomenis (sveikata, kilmė, religija ir pan.) – taiko papildomus apsaugos mechanizmus pagal BDAR 9 str.;

c) Gavo kandidato sutikimą arba turi kitą teisėtą pagrindą perduoti jo CV duomenis analizei;

d) Jei naudoja Screening paslaugą – Valdytojas arba jo naudojama platforma informuoja kandidatą apie DI vertinimą prieš testo pradžią;

e) Jei naudoja CV Matching paslaugą – Valdytojas savarankiškai informuoja kandidatą, kad jo CV bus analizuojamas aukštos rizikos DI sistema.

3.2 ES DI Akto prievolės

Valdytojas, kaip darbdavys, naudojantis aukštos rizikos DI sistemą darbuotojų atrankai:

a) Užtikrina realią žmogaus priežiūrą prieš priimant bet kokį sprendimą dėl kandidato;

b) Kandidatams suteikia galimybę ginčyti automatizuoto vertinimo rezultatus;

c) Informuoja kandidatus apie teisę reikalauti žmogaus peržiūros (BDAR 22 str.);

d) Nesinaudoja DI vertinimu kaip vieninteliu atrankos sprendimo pagrindu.


4 straipsnis. Tvarkytojo prievolės

Tvarkytojas įsipareigoja:

a) Tvarkyti asmens duomenis tik pagal dokumentuotus Valdytojo nurodymus ir šią DTS;

b) Užtikrinti, kad duomenis tvarkantys darbuotojai yra įsipareigoję laikytis konfidencialumo;

c) Imtis visų BDAR 32 str. numatytų techninių ir organizacinių saugumo priemonių (žr. 6 straipsnį);

d) Per 72 valandas nuo sužinojimo informuoti Valdytoją apie bet kokį duomenų saugumo pažeidimą;

e) Pagelbėti Valdytojui įgyvendinti duomenų subjektų teises (15–22 str.);

f) Pagelbėti Valdytojui atliekant BDAR 35 str. numatytą duomenų apsaugos poveikio tyrimą (DAPT);

g) Suteikti Valdytojui visą informaciją, reikalingą BDAR 28 str. laikymuisi įrodyti;

h) Leisti Valdytojui ir jo įgaliotam auditoriui atlikti auditą prieš 30 dienų pateikus rašytinį pranešimą.


5 straipsnis. Subtvarkytojai

5.1 Patvirtinti subtvarkytojai

Valdytojas bendru sutikimu leidžia naudoti šiuos subtvarkytojus:

SubtvarkytojasBuveinėTvarkomi duomenysPerkėlimo garantija
Anthropic, PBCJAVCV tekstas (≤3 000 simb.), iššūkių sprendimai, darbo aprašymaiSCCs + Anthropic DPA
Supabase, Inc.JAV (ES regionas)Visi DB duomenys (kandidatai, darbdaviai, rezultatai)SCCs + Supabase DPA
Cloudflare, Inc. (R2)JAVCV failai (laikini), peržiūros vaizdaiSCCs + Cloudflare DPA
Resend, Inc.JAVEl. pašto adresas, laiško turinysSCCs + Resend DPA
Stripe, Inc.JAVMokėjimo duomenysSCCs + Stripe DPA
People Data LabsJAVViešai prieinami kandidatų duomenys (Sourcing)SCCs + PDL DPA
GitHub, Inc.JAVViešų repozitorijų turinys (kodo analizei)SCCs
PostHog, Inc.JAV/ESAnonimizuoti naudojimo duomenysSCCs + PostHog DPA

5.2 Subtvarkytojų pakeitimai

Tvarkytojas apie bet kokius planuojamus subtvarkytojų pakeitimus informuos Valdytoją ne vėliau kaip 30 dienų iš anksto el. paštu arba platformoje. Valdytojas turi teisę pagrįstai prieštarauti per šį terminą.

5.3 Atsakomybė už subtvarkytojus

Tvarkytojas atsako Valdytojui už tai, kad subtvarkytojai laikytųsi lygiaverčių duomenų apsaugos įpareigojimų.


6 straipsnis. Techninės ir organizacinės saugumo priemonės (BDAR 32 str.)

PriemonėStatusasAprašymas
Duomenų perdavimo šifravimas✅ ĮdiegtaTLS 1.2+ visuose API kvietime
CV failų nedelsiamas pašalinimas✅ ĮdiegtaR2 deleteFromR2() po kiekvienos analizės
Prieigos kontrolė✅ ĮdiegtaSupabase RLS + JWT autentifikacija
Duomenų bazės šifravimas✅ Supabase lygiuAES-256 saugykloje
Greičio ribojimas⚠️ DiegiamaAPI endpoint apsauga
Automatinis 90 d. valymas✅ SukonfigūruotaVercel Cron + CLEANUP_SECRET
Saugumo incidentų registravimas✅ DalinaiKlaidos registruojamos be asmens duomenų
Daugiafaktorinė autentifikacija✅ GalimaSupabase MFA

7 straipsnis. Duomenų perdavimas į trečiąsias šalis

Duomenys perduodami į JAV remiantis:

  • Standartinėmis sutarčių sąlygomis (SCCs) pagal BDAR 46 str. 2 d. c p.
  • Atskiromis Duomenų tvarkymo sutartimis su kiekvienu subtvarkytoją

8 straipsnis. Duomenų saugojimas ir ištrynimas

Duomenų kategorijaSaugojimo terminasIštrynimo būdas
CV failai (originalai)Iš karto po analizėsR2 DeleteObjectCommand
CV peržiūros vaizdai90 dienų, arba iki ištrynimoAutomatinis Cron + R2
CV Matching ataskaitos90 dienų, arba iki išrynimoKaskadinis DB ištrynimas
Kandidatų profiliai ir rezultataiIki paskyros ištrynimo + 30 d. malonės laikotarpisDB kaskadinis ištrynimas
Sąžiningumo duomenys90 dienų po vertinimo, arba iki išrynimoAutomatinis valymas
El. pašto žurnalai12 mėnesiųAutomatinis valymas
Mokėjimų įrašai10 metų (Lietuvos mokesčių teisė)Rankinis, pasibaigus terminui

8.1 BDAR 17 str. ištrynimo prašymai

Kandidatai gali prašyti ištrinti savo duomenis:

  • Per paskyros nustatymus (Talento platforma)
  • El. paštu: info@atrenku.lt
  • Atrenku.lt: per Delete report / Delete all my data funkciją

9 straipsnis. ES Dirbtinio intelekto akto prievolės

9.1 Aukštos rizikos DI sistemos

Tvarkytojas užtikrina, kad platformoje naudojamos DI sistemos atitinka ES DI Akto reikalavimus:

ReikalavimasStatusasPriemonė
9 str. Rizikos valdymo sistema🔄 DiegiamaRVS dokumentas
10 str. Duomenų valdymasDuomenų minimizavimas, 90 d. saugojimas
11 str. Techninė dokumentacija🔄 DiegiamaTechninė dokumentacija
12 str. Automatinis registravimas🔄 DiegiamaDI vertinimų žurnalas
13 str. Skaidrumas✅ DalinaiAI informacijos dokumentas, el. laiškai
14 str. Žmogaus priežiūraUI įspėjimas, nėra automatinio atmetimo
15 str. Tikslumas✅ DalinaiRegularus modelių testavimas

9.2 Valdytojo prievolės pagal DI Aktą

Valdytojas, kaip darbdavys – aukštos rizikos DI sistemos naudotojas (angl. deployer) pagal DI Akto 26 str.:

a) Informuoja kandidatus apie DI sistemos naudojimą prieš atrankos procesą;

b) Užtikrina žmogaus priežiūrą prieš galutinį sprendimą;

c) Stebi sistemos veikimą ir praneša Tvarkytojai apie pastebėtus nuokrypius;

d) Saugo naudojimo žurnalus pagal DI Akto 26 str. 6 d. reikalavimus.


10 straipsnis. Duomenų saugumo pažeidimai

10.1. Tvarkytojas per 72 valandas nuo sužinojimo:

  • Informuoja Valdytoją el. paštu (info@atrenku.lt)
  • Pateikia pirminį pažeidimo aprašymą

10.2. Pranešime nurodoma:

  • Pažeidimo pobūdis ir apimtis
  • Paveiktų duomenų kategorijos
  • Apytikris paveiktų asmenų skaičius
  • Padarinių mažinimo priemonės

10.3. Valdytojas savarankiškai sprendžia dėl pranešimo VDAI (BDAR 33 str.) ir duomenų subjektams (BDAR 34 str.).


11 straipsnis. Auditas ir ataskaitų teikimas

11.1. Valdytojas turi teisę kartą per metus prašyti audito dokumentacijos.

11.2. Tvarkytojas pateikia atitinkamus atitikties įrodymus per 30 dienų.

11.3. Fizinis auditas galimas prieš 30 dienų pateikus rašytinį pranešimą; su Tvarkytojo aiškiai patvirtinta data.


12 straipsnis. Atsakomybė

12.1. Tvarkytojas atsako už žalą, atsiradusią dėl jo šios DTS ar BDAR pažeidimų.

12.2. Bendras Tvarkytojo atsakomybės limitas neviršija 12 mėnesių Valdytojo sumokėtų mokesčių sumos.

12.3. Tvarkytojas neatsako už žalą, kilusią dėl Valdytojo netinkamo platformos naudojimo ar BDAR prievolių nesilaikymo.


13 straipsnis. Sutarties pabaiga

13.1. Pasibaigus platformos naudojimosi sutarčiai, Tvarkytojas per 30 dienų:

  • Ištrins visus su Valdytojo veikla susijusius asmens duomenis arba
  • Grąžins juos Valdytojui eksportuojamu formatu (prieš tai pateikus rašytinį prašymą)

13.2. Mokėjimų duomenys saugomi pagal mokesčių teisę (10 metų).


14 straipsnis. Taikytina teisė ir ginčų sprendimas

14.1. Ši DTS reglamentuojama Lietuvos Respublikos ir Europos Sąjungos teise.

14.2. Ginčai sprendžiami derybomis per 30 dienų. Nepavykus – Lietuvos Respublikos teismuose.


15 straipsnis. Kontaktai ir pranešimai

WE HUMAN, MB
El. paštas: info@atrenku.lt

Visi oficialūs pranešimai pagal šią DTS teikiami el. paštu su patvirtinimu.

2021 - 2026 | WE HUMAN, MB © Visos teisės saugomos