Sutartis pagal BDAR 28 straipsnį
Versija: 2.0
Galioja nuo: 2025-06-01
Paskutinį kartą atnaujinta: 2026-06-04
DUOMENŲ VALDYTOJAS (toliau – Valdytojas):
Juridinis ar fizinis asmuo, užregistravęs paskyrą Talento (talento.lt) arba Atrenku.lt platformoje ir besinaudojantis DI paremtais kandidatų atrankos įrankiais.
DUOMENŲ TVARKYTOJAS (toliau – Tvarkytojas):
WE HUMAN, MB
El. paštas: info@atrenku.lt
Interneto svetainė: talento.lt / atrenku.lt
Ši Duomenų tvarkymo sutartis (DTS) yra sudedamoji platformos Naudojimosi sąlygų dalis ir įsigalioja priimant Naudojimosi sąlygas.
1.1. Asmens duomenys – bet kokia informacija, apibrėžta BDAR 4 str. 1 p.
1.2. Tvarkymas – bet kokia operacija, atliekama su asmens duomenimis pagal BDAR 4 str. 2 p.
1.3. BDAR – 2016 m. balandžio 27 d. Reglamentas (ES) 2016/679.
1.4. ES DI Aktas – 2024 m. birželio 13 d. Reglamentas (ES) 2024/1689.
1.5. Aukštos rizikos DI sistema – platforma naudojamos DI sistemos, klasifikuojamos pagal ES DI Akto III priedo 4 skirsnį kaip aukštos rizikos kandidatų vertinimo tikslais.
1.6. Kandidatas – fizinis asmuo, kurio duomenys tvarkomi per platformą.
Tvarkytojas tvarko asmens duomenis teikdamas šias paslaugas:
| Paslauga | Tvarkomi duomenys | Tvarkymo pobūdis |
|---|---|---|
| CV Atitikties vertinimas | CV tekstas, kandidato vardas, atitikties balas, DI vertinimas | Automatizuota analizė naudojant Claude AI |
| Kandidatų atranka (Screening) | Iššūkio sprendimas (tekstas/kodas), vertinimo balas, DI atsiliepimas, sąžiningumo duomenys | Automatizuota DI analizė, GitHub kodo nuskaitymas |
| Kandidatų paieška (Sourcing) | Viešai prieinami duomenys (GitHub, LinkedIn, PDL) | Paieška, ranguojimas DI pagalba |
| Kandidatų valdymas | Kandidatų profiliai, pasiūlymai, rezultatai | Saugojimas, rodymasis darbdaviui |
DTS galioja tol, kol Valdytojas naudojasi platformos paslaugomis. Pasibaigus sutarčiai, duomenys tvarkomi pagal ištrynimo terminus, nustatytus 8 straipsnyje.
Valdytojas patvirtina ir garantuoja, kad:
a) Turi tinkamą teisinį pagrindą pagal BDAR 6 str. kandidatų asmens duomenų tvarkymui;
b) Jei CV gali apimti ypatingų kategorijų duomenis (sveikata, kilmė, religija ir pan.) – taiko papildomus apsaugos mechanizmus pagal BDAR 9 str.;
c) Gavo kandidato sutikimą arba turi kitą teisėtą pagrindą perduoti jo CV duomenis analizei;
d) Jei naudoja Screening paslaugą – Valdytojas arba jo naudojama platforma informuoja kandidatą apie DI vertinimą prieš testo pradžią;
e) Jei naudoja CV Matching paslaugą – Valdytojas savarankiškai informuoja kandidatą, kad jo CV bus analizuojamas aukštos rizikos DI sistema.
Valdytojas, kaip darbdavys, naudojantis aukštos rizikos DI sistemą darbuotojų atrankai:
a) Užtikrina realią žmogaus priežiūrą prieš priimant bet kokį sprendimą dėl kandidato;
b) Kandidatams suteikia galimybę ginčyti automatizuoto vertinimo rezultatus;
c) Informuoja kandidatus apie teisę reikalauti žmogaus peržiūros (BDAR 22 str.);
d) Nesinaudoja DI vertinimu kaip vieninteliu atrankos sprendimo pagrindu.
Tvarkytojas įsipareigoja:
a) Tvarkyti asmens duomenis tik pagal dokumentuotus Valdytojo nurodymus ir šią DTS;
b) Užtikrinti, kad duomenis tvarkantys darbuotojai yra įsipareigoję laikytis konfidencialumo;
c) Imtis visų BDAR 32 str. numatytų techninių ir organizacinių saugumo priemonių (žr. 6 straipsnį);
d) Per 72 valandas nuo sužinojimo informuoti Valdytoją apie bet kokį duomenų saugumo pažeidimą;
e) Pagelbėti Valdytojui įgyvendinti duomenų subjektų teises (15–22 str.);
f) Pagelbėti Valdytojui atliekant BDAR 35 str. numatytą duomenų apsaugos poveikio tyrimą (DAPT);
g) Suteikti Valdytojui visą informaciją, reikalingą BDAR 28 str. laikymuisi įrodyti;
h) Leisti Valdytojui ir jo įgaliotam auditoriui atlikti auditą prieš 30 dienų pateikus rašytinį pranešimą.
Valdytojas bendru sutikimu leidžia naudoti šiuos subtvarkytojus:
| Subtvarkytojas | Buveinė | Tvarkomi duomenys | Perkėlimo garantija |
|---|---|---|---|
| Anthropic, PBC | JAV | CV tekstas (≤3 000 simb.), iššūkių sprendimai, darbo aprašymai | SCCs + Anthropic DPA |
| Supabase, Inc. | JAV (ES regionas) | Visi DB duomenys (kandidatai, darbdaviai, rezultatai) | SCCs + Supabase DPA |
| Cloudflare, Inc. (R2) | JAV | CV failai (laikini), peržiūros vaizdai | SCCs + Cloudflare DPA |
| Resend, Inc. | JAV | El. pašto adresas, laiško turinys | SCCs + Resend DPA |
| Stripe, Inc. | JAV | Mokėjimo duomenys | SCCs + Stripe DPA |
| People Data Labs | JAV | Viešai prieinami kandidatų duomenys (Sourcing) | SCCs + PDL DPA |
| GitHub, Inc. | JAV | Viešų repozitorijų turinys (kodo analizei) | SCCs |
| PostHog, Inc. | JAV/ES | Anonimizuoti naudojimo duomenys | SCCs + PostHog DPA |
Tvarkytojas apie bet kokius planuojamus subtvarkytojų pakeitimus informuos Valdytoją ne vėliau kaip 30 dienų iš anksto el. paštu arba platformoje. Valdytojas turi teisę pagrįstai prieštarauti per šį terminą.
Tvarkytojas atsako Valdytojui už tai, kad subtvarkytojai laikytųsi lygiaverčių duomenų apsaugos įpareigojimų.
| Priemonė | Statusas | Aprašymas |
|---|---|---|
| Duomenų perdavimo šifravimas | ✅ Įdiegta | TLS 1.2+ visuose API kvietime |
| CV failų nedelsiamas pašalinimas | ✅ Įdiegta | R2 deleteFromR2() po kiekvienos analizės |
| Prieigos kontrolė | ✅ Įdiegta | Supabase RLS + JWT autentifikacija |
| Duomenų bazės šifravimas | ✅ Supabase lygiu | AES-256 saugykloje |
| Greičio ribojimas | ⚠️ Diegiama | API endpoint apsauga |
| Automatinis 90 d. valymas | ✅ Sukonfigūruota | Vercel Cron + CLEANUP_SECRET |
| Saugumo incidentų registravimas | ✅ Dalinai | Klaidos registruojamos be asmens duomenų |
| Daugiafaktorinė autentifikacija | ✅ Galima | Supabase MFA |
Duomenys perduodami į JAV remiantis:
| Duomenų kategorija | Saugojimo terminas | Ištrynimo būdas |
|---|---|---|
| CV failai (originalai) | Iš karto po analizės | R2 DeleteObjectCommand |
| CV peržiūros vaizdai | 90 dienų, arba iki ištrynimo | Automatinis Cron + R2 |
| CV Matching ataskaitos | 90 dienų, arba iki išrynimo | Kaskadinis DB ištrynimas |
| Kandidatų profiliai ir rezultatai | Iki paskyros ištrynimo + 30 d. malonės laikotarpis | DB kaskadinis ištrynimas |
| Sąžiningumo duomenys | 90 dienų po vertinimo, arba iki išrynimo | Automatinis valymas |
| El. pašto žurnalai | 12 mėnesių | Automatinis valymas |
| Mokėjimų įrašai | 10 metų (Lietuvos mokesčių teisė) | Rankinis, pasibaigus terminui |
Kandidatai gali prašyti ištrinti savo duomenis:
Tvarkytojas užtikrina, kad platformoje naudojamos DI sistemos atitinka ES DI Akto reikalavimus:
| Reikalavimas | Statusas | Priemonė |
|---|---|---|
| 9 str. Rizikos valdymo sistema | 🔄 Diegiama | RVS dokumentas |
| 10 str. Duomenų valdymas | ✅ | Duomenų minimizavimas, 90 d. saugojimas |
| 11 str. Techninė dokumentacija | 🔄 Diegiama | Techninė dokumentacija |
| 12 str. Automatinis registravimas | 🔄 Diegiama | DI vertinimų žurnalas |
| 13 str. Skaidrumas | ✅ Dalinai | AI informacijos dokumentas, el. laiškai |
| 14 str. Žmogaus priežiūra | ✅ | UI įspėjimas, nėra automatinio atmetimo |
| 15 str. Tikslumas | ✅ Dalinai | Regularus modelių testavimas |
Valdytojas, kaip darbdavys – aukštos rizikos DI sistemos naudotojas (angl. deployer) pagal DI Akto 26 str.:
a) Informuoja kandidatus apie DI sistemos naudojimą prieš atrankos procesą;
b) Užtikrina žmogaus priežiūrą prieš galutinį sprendimą;
c) Stebi sistemos veikimą ir praneša Tvarkytojai apie pastebėtus nuokrypius;
d) Saugo naudojimo žurnalus pagal DI Akto 26 str. 6 d. reikalavimus.
10.1. Tvarkytojas per 72 valandas nuo sužinojimo:
10.2. Pranešime nurodoma:
10.3. Valdytojas savarankiškai sprendžia dėl pranešimo VDAI (BDAR 33 str.) ir duomenų subjektams (BDAR 34 str.).
11.1. Valdytojas turi teisę kartą per metus prašyti audito dokumentacijos.
11.2. Tvarkytojas pateikia atitinkamus atitikties įrodymus per 30 dienų.
11.3. Fizinis auditas galimas prieš 30 dienų pateikus rašytinį pranešimą; su Tvarkytojo aiškiai patvirtinta data.
12.1. Tvarkytojas atsako už žalą, atsiradusią dėl jo šios DTS ar BDAR pažeidimų.
12.2. Bendras Tvarkytojo atsakomybės limitas neviršija 12 mėnesių Valdytojo sumokėtų mokesčių sumos.
12.3. Tvarkytojas neatsako už žalą, kilusią dėl Valdytojo netinkamo platformos naudojimo ar BDAR prievolių nesilaikymo.
13.1. Pasibaigus platformos naudojimosi sutarčiai, Tvarkytojas per 30 dienų:
13.2. Mokėjimų duomenys saugomi pagal mokesčių teisę (10 metų).
14.1. Ši DTS reglamentuojama Lietuvos Respublikos ir Europos Sąjungos teise.
14.2. Ginčai sprendžiami derybomis per 30 dienų. Nepavykus – Lietuvos Respublikos teismuose.
WE HUMAN, MB
El. paštas: info@atrenku.lt
Visi oficialūs pranešimai pagal šią DTS teikiami el. paštu su patvirtinimu.