Privatumo politika

Duomenų valdytojas savo paskyros, svetainės, sutarties, sąskaitų, saugumo, komunikacijos ir teisinių reikalavimų duomenų atžvilgiu: UAB „Opsinel".

El. paštas privatumo klausimams: info@opsinel.com

Svetainė: https://opsinel.com

Šioje politikoje „Platforma" reiškia Opsinel paslaugą, kurią teikiame Klientams - įmonėms, įstaigoms ar kitoms organizacijoms, naudojančioms autorizuotas phishing simuliacijas, darbuotojų mokymus, kampanijų statistiką ir susijusias saugumo funkcijas.

Jeigu tarp šios Privatumo politikos ir Paslaugų teikimo taisyklių kyla neatitikimas dėl Platformos naudojimo apribojimų, taikomos griežtesnės Kliento atsakomybę ir piktnaudžiavimo prevenciją saugančios nuostatos.

2.1. Opsinel kaip duomenų valdytojas:

Opsinel yra duomenų valdytojas, kai tvarko Kliento paskyros, administratorių, sutarčių, mokėjimų, svetainės lankytojų, saugumo, audito, teisinių reikalavimų, piktnaudžiavimo prevencijos ir paslaugos administravimo duomenis.

2.2. Opsinel kaip duomenų tvarkytojas:

Kai Klientas į Platformą įkelia darbuotojų ar kitų teisėtai kontroliuojamų gavėjų duomenis ir nurodo vykdyti simuliacijas ar mokymus, Opsinel paprastai veikia kaip duomenų tvarkytojas, o Klientas - kaip duomenų valdytojas.

2.3. Kliento atsakomybė:

Klientas nustato darbuotojų duomenų tvarkymo tikslus, gavėjų sąrašus, kampanijų turinį, siuntimo laiką, darbuotojų informavimo būdą ir teisinį pagrindą. Klientas atsako už tai, kad jo nurodymai būtų teisėti, proporcingi, skaidrūs ir suderinami su BDAR, darbo teise, vidaus politikomis bei Paslaugų teikimo taisyklėmis.

2.4. Neteisėti nurodymai:

Jei Kliento nurodymas, kampanija, gavėjų sąrašas ar turinys atrodo neteisėtas, neautorizuotas, perteklinis ar keliantis žalą, Opsinel gali atsisakyti jį vykdyti, sustabdyti tvarkymą, prašyti papildomų įrodymų ir imtis veiksmų pagal Paslaugų teikimo taisykles.

3.1. Kliento ir administratorių duomenys:

• vardas, pavardė, pareigos, el. paštas, telefono numeris, įmonės pavadinimas, domenas, šalis, laiko juosta, planas ir organizacijos nustatymai;

• prisijungimo duomenys, autentifikacijos įrašai, paskyros rolės, teisinio sutikimo įrašai, IP adresas, User-Agent, sutikimo versija ir sutikimo teksto snapshot;

• mokėjimo, sąskaitų, prenumeratos, atšaukimo, 7 dienų grąžinimo lango, grąžinimo būsenos, užsakymų ir klientų aptarnavimo informacija;

• komunikacija su mumis, pagalbos užklausos, pranešimai apie incidentus ir administraciniai pranešimai.

3.2. Galutinių naudotojų / darbuotojų duomenys, tvarkomi Kliento vardu:

• vardas, pavardė, darbo el. pašto adresas, departamentas, grupė, pareigos ar kiti Kliento pateikti minimaliai reikalingi darbo konteksto duomenys;

• kampanijos gavėjo statusas, unikalus tokenas, el. laiško siuntimo, pristatymo, atidarymo, paspaudimo, mokymo pradžios ir užbaigimo duomenys;

• faktas, kad simuliuotame puslapyje buvo bandyta įvesti duomenis, kai tokia funkcija naudojama mokymo tikslais. Opsinel neturi būti naudojama tikriems slaptažodžiams, OTP kodams, mokėjimo kortelių duomenims ar kitoms paslaptims rinkti;

• IP adresas, naršyklės, įrenginio, laiko ir saugumo metaduomenys tiek, kiek būtina kampanijos statistikai, saugumui, audito pėdsakui ir piktnaudžiavimo tyrimui.

3.3. Techniniai, saugumo ir audito duomenys:

• prisijungimo, sesijų, API, klaidų, SMTP, el. laiškų siuntimo, sistemos veikimo ir saugumo žurnalai;

• IP adresai, įrenginio ir naršyklės tipas, User-Agent, apytikslė vieta pagal IP, užklausų laikas, veiksmų istorija, administratoriaus veiksmai ir pakeitimų istorija;

• įrodymai, reikalingi nustatyti, ar Platforma naudojama teisėtai: domeno kontrolės, kampanijos autorizacijos, gavėjų teisėtumo, sutikimo ir pažeidimo tyrimo įrašai.

3.4. Svetainės ir slapukų duomenys:

• būtini slapukai, kalbos pasirinkimas, sesijos ir saugumo slapukai;

• analitiniai ar rinkodaros slapukai naudojami tik tada, kai gaunamas reikiamas sutikimas arba kai tai leidžia teisė.

Klientas negali į Platformą kelti, rinkti ar bandyti surinkti šių duomenų, nebent Opsinel iš anksto raštu sutiko ir šalys susitarė dėl papildomų apsaugos priemonių:

• tikrų slaptažodžių, vienkartinių kodų, API raktų, privačių raktų, banko kortelių, mokėjimo, asmens dokumentų ar kitų paslapčių;

• specialių kategorijų duomenų pagal BDAR 9 str., įskaitant sveikatos, biometrinius, genetinius, politinių pažiūrų, religijos, narystės profesinėje sąjungoje ar seksualinio gyvenimo duomenis;

• duomenų apie vaikus, pacientus, valstybės paslaptis, konfidencialius tyrimus, darbuotojų drausmines bylas ar kitus padidintos rizikos duomenis;

• trečiųjų šalių, klientų, tiekėjų, konkurentų ar visuomenės duomenų, jei Klientas neturi aiškaus teisinio pagrindo ir įgaliojimo juos įtraukti į kampaniją.

Jei Klientas pažeidžia šį draudimą, jis laikomas savarankiškai atsakingu duomenų valdytoju už tokį neteisėtą tvarkymą. Opsinel gali nedelsdamas sustabdyti tvarkymą, izoliuoti duomenis, juos ištrinti, saugoti įrodymus ir informuoti atitinkamas šalis ar institucijas, kai tai būtina arba privaloma.

5.1. Sutarties sudarymas ir vykdymas - BDAR 6 str. 1 d. b p.:

Paskyros sukūrimas, autentifikacija, plano administravimas, funkcijų teikimas, klientų aptarnavimas, sąskaitos, mokamo 7 dienų bandymo, atšaukimo ir pinigų grąžinimo vykdymas.

5.2. Teisėtas interesas - BDAR 6 str. 1 d. f p.:

Platformos saugumas, piktnaudžiavimo prevencija, incidentų nustatymas, audito pėdsakai, sukčiavimo prevencija, tinklo ir informacinių sistemų saugumas, paslaugos tobulinimas, ginčų ir reikalavimų administravimas.

5.3. Kliento teisėtas interesas ar kitas Kliento pagrindas - BDAR 6 str. 1 d. f, b, c ar kiti taikomi punktai:

Darbuotojų phishing simuliacijos ir mokymai vykdomi Kliento nurodymu. Klientas turi atlikti savo teisinio pagrindo, proporcingumo, darbuotojų informavimo ir, jei reikia, teisėto intereso vertinimą.

5.4. Teisinė prievolė - BDAR 6 str. 1 d. c p.:

Apskaita, mokesčiai, atsakymai į teisėtus institucijų prašymus, saugumo pažeidimų valdymas, teisės aktų reikalavimų vykdymas.

5.5. Sutikimas - BDAR 6 str. 1 d. a p.:

Neprivalomiems slapukams, rinkodaros komunikacijai ar kitoms funkcijoms, kai pagal teisę reikalingas sutikimas. Sutikimą galima bet kada atšaukti, tačiau tai neturi įtakos iki atšaukimo atlikto tvarkymo teisėtumui.

Opsinel teikia tik autorizuotas simuliacijas. Privatumo politika nesuteikia Klientui teisės naudoti Platformos tikroms atakoms, apgavystėms, darbuotojų bauginimui, šnipinėjimui, diskriminacijai ar duomenų rinkimui be teisinio pagrindo.

Siekiant apsaugoti Opsinel, gavėjus, Klientus ir trečiąsias šalis, mes galime tvarkyti saugumo ir audito duomenis šiais tikslais:

• patikrinti, ar Klientas turi teisę naudoti konkretų domeną, siuntėją, gavėjų sąrašą ar kampaniją;

• aptikti šlamštą, kenkėjišką turinį, neautorizuotus gavėjus, netikrą tapatybę, perteklinį siuntimą ar planų apėjimą;

• sustabdyti kampanijas, SMTP siuntimą, paskyras ar konkrečias funkcijas, kai yra pagrįstas pažeidimo įtarimas;

• saugoti įrodymus apie sutikimus, administratorių veiksmus, kampanijų metaduomenis, IP adresus ir techninius logus ginčo, tyrimo ar saugumo incidento atveju;

• pranešti Klientui, prieglobos, el. pašto ar saugumo paslaugų teikėjams, VDAI, teisėsaugai ar kitoms kompetentingoms institucijoms, kai to reikalauja teisė arba kai tai būtina žalai sustabdyti.

Jei Platforma naudojama neteisėtai, Opsinel gali toliau ribotai tvarkyti būtinus duomenis ne paslaugos teikimui, o teisėto intereso, teisinių reikalavimų, įrodymų išsaugojimo, saugumo ir žalos mažinimo tikslais.

Asmens duomenys gali būti perduodami ar padaromi prieinami tik tiek, kiek būtina:

• Opsinel darbuotojams ir įgaliotiems paslaugų teikėjams, kuriems duomenys reikalingi paslaugai, saugumui, pagalbai ar administravimui;

• prieglobos, duomenų bazės, el. pašto siuntimo, SMTP, analitikos, mokėjimų, klientų aptarnavimo, klaidų stebėsenos ir saugumo paslaugų teikėjams;

• Kliento administratoriams pagal jų suteiktas roles ir prieigos teises;

• institucijoms, teismams, teisėsaugai, priežiūros institucijoms, audito, draudimo ar teisės patarėjams, kai to reikalauja teisė arba kai būtina ginti teises;

• nukentėjusioms šalims, el. pašto paslaugų teikėjams, domenų valdytojams ar saugumo komandoms, jei tai būtina piktnaudžiavimui sustabdyti, reputacinei ar techninei žalai sumažinti arba incidentui tirti.

Mes neparduodame darbuotojų ar kampanijų gavėjų asmens duomenų. Individualūs darbuotojų rezultatai trečiosioms šalims neteikiami, išskyrus Klientą kaip duomenų valdytoją, teisėtus paslaugų teikėjus arba privalomus teisės atvejus.

Opsinel gali naudoti subtvarkytojus, reikalingus Platformos veikimui, pvz., Supabase ar kitus prieglobos, duomenų bazės, el. pašto siuntimo, mokėjimų, analitikos, saugumo ir pagalbos teikėjus.

Kai Opsinel veikia kaip duomenų tvarkytojas, subtvarkytojai pasitelkiami pagal DPA ir BDAR 28 str. reikalavimus. Klientas sutinka, kad tokie subtvarkytojai gali būti naudojami paslaugai teikti, jeigu jiems taikomi tinkami konfidencialumo ir duomenų apsaugos įsipareigojimai.

Duomenys pirmiausia tvarkomi ES/EEE teritorijoje arba naudojant ES/EEE regionus, kai tai leidžia paslaugų architektūra. Jei duomenys perduodami už ES/EEE ribų, taikomos BDAR V skyriaus priemonės, įskaitant Europos Komisijos standartines sutarčių sąlygas, tinkamumo sprendimus ar kitas leidžiamas apsaugos priemones.

Aktuali informacija apie svarbiausias duomenų tvarkytojų kategorijas pateikiama šioje politikoje, DPA, užsakymo dokumentuose arba pateikiama Klientui paprašius, jei to reikia teisėtam vertinimui.

Duomenis saugome ne ilgiau, nei būtina tikslams, kuriems jie tvarkomi, arba kiek reikalauja teisė, sutartis, DPA, ginčų senaties terminai, apskaita, saugumas ar piktnaudžiavimo tyrimas.

Orientaciniai terminai:

• Kliento paskyros ir sutarties duomenys - sutarties metu ir iki 2 metų po jos pabaigos, jei ilgesnis terminas nėra būtinas apskaitai ar ginčams;

• sąskaitų, mokėjimų, atšaukimo ir pinigų grąžinimo duomenys - teisės aktuose nustatytais terminais arba tiek, kiek būtina ginčams ir apskaitai;

• kampanijų, simuliacijų, mokymų ir gavėjų duomenys - pagal Kliento planą, DPA arba iki 3 metų nuo kampanijos pabaigos, nebent Klientas paprašo ištrinti anksčiau ir nėra teisėto pagrindo saugoti;

• prisijungimo, saugumo, audito ir administratoriaus veiksmų logai - iki 24 mėnesių, o incidento, piktnaudžiavimo, ginčo ar tyrimo atveju - tiek, kiek būtina;

• teisinio sutikimo snapshot, IP, User-Agent ir pasirašymo įrodymai - sutarties metu ir tiek, kiek būtina ginčams, auditui ir teisiniams reikalavimams;

• slapukai - pagal slapukų politikoje ar sutikimo įrankyje nurodytą terminą.

Pasibaigus terminui, duomenys ištrinami, anonimizuojami arba izoliuojami, jei jų tolesnis saugojimas būtinas tik teisinių reikalavimų ar saugumo tikslu.

Opsinel taiko technines ir organizacines priemones, kurios gali apimti:

• TLS/HTTPS šifravimą perduodant duomenis;

• slaptažodžių maišą, prieigos kontrolę, minimalių teisių principą ir administratorių veiksmų auditą;

• SMTP ir kitų jautrių konfigūracijų apsaugą, kai tokie duomenys saugomi Platformoje;

• duomenų bazės ir aplikacijos prieigos ribojimą, žurnalų stebėseną, atsargines kopijas ir incidentų valdymo procedūras;

• darbuotojų ir paslaugų teikėjų konfidencialumo įsipareigojimus.

Nė viena sistema nėra visiškai apsaugota nuo rizikos. Klientas taip pat privalo saugoti savo paskyras, naudoti stiprius slaptažodžius, riboti administratorių skaičių, pašalinti nebenaudojamas prieigas ir pranešti apie įtartiną veiklą.

Jei įvyksta asmens duomenų saugumo pažeidimas, Opsinel veikia pagal savo vaidmenį konkrečiame tvarkyme.

Kai Opsinel veikia kaip duomenų tvarkytojas, apie Kliento duomenų pažeidimą informuojame Klientą nepagrįstai nedelsdami, kad Klientas galėtų įvykdyti savo, kaip duomenų valdytojo, pareigas.

Kai Opsinel veikia kaip duomenų valdytojas ir pažeidimas gali kelti pavojų fizinių asmenų teisėms ir laisvėms, pranešame kompetentingai priežiūros institucijai, jei įmanoma, ne vėliau kaip per 72 valandas nuo sužinojimo. Jei kyla didelis pavojus asmenims, informuojame ir duomenų subjektus, nebent teisė numato išimtį.

Klientas privalo nedelsdamas informuoti Opsinel apie bet kokį įtariamą paskyros, gavėjų sąrašų, SMTP, kampanijos ar darbuotojų duomenų saugumo incidentą.

Pagal BDAR galite turėti šias teises: susipažinti su duomenimis, reikalauti ištaisyti, ištrinti, apriboti tvarkymą, perkelti duomenis, nesutikti su tvarkymu teisėto intereso pagrindu ir atšaukti sutikimą, kai tvarkymas grindžiamas sutikimu.

Jei esate Kliento darbuotojas ar kampanijos gavėjas, daugeliu atvejų jūsų duomenų valdytojas yra jūsų darbdavys ar kita Kliento organizacija. Tokius prašymus galime persiųsti Klientui arba vykdyti pagal Kliento nurodymus, nebent Opsinel pati veikia kaip valdytojas konkrečiam tvarkymui.

Atsakome per BDAR nustatytus terminus - paprastai per 1 mėnesį, o sudėtingais atvejais terminas gali būti pratęstas iki 2 papildomų mėnesių, apie tai informuojant prašytoją.

Teisės gali būti ribojamos, jei prašymo įvykdymas pažeistų kitų asmenų teises, teisės aktus, komercines paslaptis, saugumo tyrimą, įrodymų saugojimą ar teisinių reikalavimų vykdymą.

Dėl teisių įgyvendinimo kreipkitės: info@opsinel.com

Klientas privalo prieš naudodamas Platformą užtikrinti, kad darbuotojai būtų tinkamai informuoti apie galimas saugumo simuliacijas, jų tikslą, duomenų kategorijas, teises, saugojimo terminus ir Kliento kontaktus.

Konkrečių kampanijų datos, šablonai ar tikslūs scenarijai gali būti neatskleidžiami, jei tai būtina mokymo efektyvumui, tačiau bendras informavimas apie tokio pobūdžio testus turi būti atliktas.

Klientas privalo turėti ir, paprašius, pateikti įrodymus apie teisinį pagrindą, vadovybės ar atsakingo padalinio leidimą, darbuotojų informavimą, domeno kontrolę ir gavėjų teisėtumą.

Jeigu Klientas naudoja Platformą neleistinais tikslais arba nesilaiko šių pareigų, Klientas atsako už iš to kylančias duomenų subjektų, darbuotojų, institucijų ar trečiųjų šalių pretenzijas.

Opsinel gali pateikti rizikos, paspaudimų, mokymų užbaigimo ar kitus statistinius rodiklius, kurie padeda Klientui vertinti mokymų efektyvumą ir saugumo riziką.

Opsinel pati nepriima automatizuotų sprendimų, kurie darbuotojui sukeltų teisinius ar panašiai reikšmingus padarinius. Klientas negali naudoti Platformos rezultatų kaip vienintelio pagrindo drausminėms nuobaudoms, darbo santykių nutraukimui ar kitam darbuotojui reikšmingam sprendimui.

Platforma skirta B2B naudojimui ir nėra skirta vaikams ar nepilnamečiams. Klientas negali į Platformą kelti nepilnamečių duomenų, nebent tai teisėtai būtina ir iš anksto raštu suderinta su Opsinel, įskaitant papildomas apsaugos priemones.

Opsinel gali atnaujinti šią Privatumo politiką, kai keičiasi Platforma, teisės aktai, paslaugų teikėjai, saugumo praktikos ar duomenų tvarkymo procesai.

Apie esminius pakeitimus informuosime svetainėje, Platformoje arba el. paštu, kai tai pagrįstai įmanoma. Jei pakeitimai susiję su teisiniais sutikimais ar Kliento pareigomis, galime paprašyti patvirtinti naują versiją prieš tęsiant kampanijas.

Paskutinė peržiūra: 2026 m. gegužės 10 d.

Klausimais dėl šios Privatumo politikos, duomenų tvarkymo ar teisių įgyvendinimo kreipkitės:

El. paštas: info@opsinel.com

Svetainė: https://opsinel.com/contact

Taip pat turite teisę pateikti skundą priežiūros institucijai:

Valstybinė duomenų apsaugos inspekcija (VDAI)

Svetainė: https://vdai.lrv.lt

El. paštas: ada@vdai.lrv.lt