Pereiti prie pagrindinio turinio
AETHER
Gauti auditą

Privatumo politika

Paskutinį kartą atnaujinta:

Ši politika aprašo, kaip Azora Lab (toliau – „AETHER", „mes") renka, naudoja, saugo ir apsaugo jūsų asmens duomenis, kai naudojatės mūsų platforma azorasec.lt.

1. Duomenų valdytojas (BDAR Art. 13(1)(a))

Azora Lab · Individuali veikla · Vilnius, Lietuva · EVRK 62.01 / 62.02 (kompiuterių programavimas + konsultacinė veikla)

Atsakingas asmuo: Aleksandras (Azora Lab steigėjas, žr. /apie)

Duomenų apsaugos kontaktas (BDAR Art. 13(1)(b)): privacy@azorasec.lt · atsakymas per 5 darbo dienas

Atskiras duomenų apsaugos pareigūnas (BDAR 37 str.) nepaskirtas — AETHER nevykdo didelės apimties specialių kategorijų asmens duomenų tvarkymo, sistemingo stebėjimo viešose erdvėse ar viešojo sektoriaus funkcijų, todėl Art. 37 reikalavimas netaikomas. Visus klausimus sprendžia atsakingas asmuo.

2. Kokius duomenis renkame

2.1. Registracijos metu

  • El. pašto adresas
  • Vardas ir pavardė
  • Įmonės pavadinimas ir kodas (LR juridinio asmens kodas)
  • Slaptažodis (saugojamas šifruotas per Supabase Auth, niekada plaintext)

2.2. Klausimyno metu

  • Atsakymai į KSRA klausimyno klausimus (organizacinės ir techninės kibernetinio saugumo būklės informacija)
  • Neprivalomai — įmonės dokumentai (politikos, registrai), kurie įkeliami prie atsakymų

2.3. Techniniai duomenys

  • IP adresas (rate limiting, audito tikslais)
  • Naršyklės tipas, OS (techninės problemos sprendimui)
  • Prisijungimo laikas + sesijos cookies

3. Kaip naudojame duomenis (BDAR Art. 6 teisinis pagrindas)

💡 Pilna BDAR Art. 30 ROPA versija: /duomenu-tvarkymo-veiklos — viešas redacted Records of Processing Activities registras procurement teams ir audit'oriams.

Kiekvienam tvarkymo tikslui priskiriame konkretų BDAR Art. 6(1) teisinį pagrindą per šios direktyvos reikalavimus (Art. 13(1)(c)):

TikslasBDAR Art. 6(1) pagrindas
Paslaugos teikimas — KSRA audito atlikimas, ataskaitos generavimas, PDF pateikimas(b) sutarties vykdymas
AI ataskaitų generavimas — atsakymai siunčiami į Anthropic Claude API (Anthropic Inc., JAV — EU-U.S. DPF, SCC pagal BDAR 46 str., Zero Data Retention)(b) sutartis + (f) teisėtas interesas (kokybės užtikrinimas)
Transactional komunikacija — audito statuso, el. ataskaitų pristatymas per Resend(b) sutarties vykdymas
Marketing komunikacija — naujienlaiškiai, blog pranešimai(a) sutikimas (galima atšaukti bet kuriuo metu)
Saugumas — rate limiting (Upstash Redis), klaidų stebėjimas (Sentry, be PII), CDN edge cache (Cloudflare)(f) teisėtas interesas (sistemos saugumas + integralumas)
KSRA dokumentacijos saugojimas 5 metus — pagal audito sektoriaus reikalavimus(c) teisinė prievolė (LR Buhalterinės apskaitos įstatymas)

4. Sub-procesorių registras (BDAR Art. 28(2) + NIS2 21(2)(d))

💡 Dedicated viešas registras: /sub-procesoriai — visa pati informacija kaip atskiras procurement-ready puslapis.

Naudojame šiuos paslaugų teikėjus jūsų duomenims tvarkyti. Visi pasirašė BDAR 28 str. reikalaujamus Data Processing Agreements (DPA).Apie naujus sub-procesorius ar esminius pakeitimus paskelbsime 30 dienų prieš įsigaliojimą šiame puslapyje.

  • Supabase (PostgreSQL, Frankfurt, Vokietija) — visi audito duomenys, ES teritorijoje
  • Hetzner VPS (Frankfurt, Vokietija) — aplikacijos hosting'as, ES teritorijoje
  • Cloudflare (globalus CDN, ES bendrovė UK / Airija) — edge cache + DDoS apsauga; tik request-level metaduomenys, jokių cookies. SCC + DPF.
  • Upstash (Frankfurt, Vokietija — ES regionas) — Redis rate limiter (be PII duomenų — tik IP adreso + user_id hash). ES teritorija.
  • Anthropic Inc. (Jungtinės Amerikos Valstijos) — AI rekomendacijų generavimas. Tarpvalstybinis perdavimas vykdomas pagal:
    • EU-U.S. Data Privacy Framework (DPF) — Anthropic sertifikuota: www.dataprivacyframework.gov/list
    • Standartines sutarčių sąlygas (SCC) Anthropic DPA dokumente: anthropic.com/legal/dpa
    • Anthropic nenaudoja jūsų duomenų modelių mokymui (sutartinė garantija, Zero Data Retention)
  • Resend (Delaware, JAV — EU regionas naudojamas mūsų konfigūracijoje, smtp.resend.com → Frankfurt) — el. paštų pristatymas, 30 d. istorija. SCC + DPF.
  • Stripe Inc. (JAV) — mokėjimų apdorojimas. SCC + DPF sertifikuota: stripe.com/legal/privacy-center
  • Sentry (EU regionas) — klaidų stebėjimas (be PII duomenų)

Tarpvalstybiniai perdavimai: dalis paslaugų teikėjų yra JAV (Anthropic, Stripe). Šiems perdavimams taikoma:

  • EU-U.S. Data Privacy Framework (Komisijos adekvatumo sprendimas C(2023) 4745, įsigaliojęs 2023-07-10)
  • Standartinės sutarčių sąlygos (SCC) 2021/914
  • Pagal BDAR 46 str. tinkamos apsaugos priemonės dokumentuojamos kiekvieno tiekėjo DPA

Visi BDAR 28 str. reikalaujami Data Processing Agreements (DPA) pasirašyti su kiekvienu paslaugų teikėju. Pilnas sutarčių registras + kiekvieno DPA datos / versijos — gaunamas per privacy@azorasec.lt per 1 darbo dieną. Enterprise klientams, vykdantiems vendor risk assessment'ą, pateikiame standartinį AETHER DPA template'ą + sub-procesorių notification clause.

4.1. Sub-procesorių pakeitimų žurnalas

Pagal BDAR 28(2) str. ir geriausią praktiką, viešai dokumentuojame visus sub-procesorių sąrašo pakeitimus. Klientai, sudarę DPA, gali prieštarauti naujiems sub-procesoriams per 30 dienų nuo šio žurnalo atnaujinimo.

DataPakeitimasSub-procesoriusPranešta
2026-05-06Sub-processor changelog table pradėtaPrivatumo politikos atnaujinimas
2026-04-19Pradinė konfigūracija (launch)Supabase, Hetzner, Cloudflare, Upstash, Anthropic, Resend, Stripe, SentryPirminė privatumo politika

Naujų sub-procesorių notification process: rašysime aktyviems klientams el. paštu + paskelbsime šiame žurnale 30 dienų prieš įsigaliojimą. Klientas, prieštaraujantis naujam sub-procesoriui, turi teisę nutraukti DPA be sankcijų per tą 30-d. notice'o laikotarpį.

5. Saugojimo terminai

  • Registracijos duomenys — kol turite aktyvią paskyrą + 3 metai po uždarymo
  • Audito atsakymai ir ataskaitos — 5 metai (teisinis reikalavimas KSRA audito dokumentacijai)
  • Sesijos duomenys — 7 dienos
  • Klaidų logai — 30 dienų

6. Jūsų teisės (BDAR)

Pagal BDAR turite teisę:

  • Susipažinti su savo duomenimis (data export iš /dashboard/nustatymai/duomenys)
  • Ištaisyti netikslius duomenis
  • Ištrinti paskyrą ir duomenis (30 d. grace period, po to hard delete)
  • Apriboti tvarkymą (pauzė be ištrynimo)
  • Perkelti duomenis — eksportas pateikiamas JSON arba CSV formatu (BDAR 20 str. — struktūrizuotas, įprastai naudojamas, kompiuterio skaitomas formatas)
  • Prieštarauti tvarkymui (ypač marketing'o atžvilgiu)

Norėdami pasinaudoti teisėmis — rašykite privacy@azorasec.lt. Atsakysime per 30 dienų.

7. Slapukai (cookies)

Naudojame tik būtinus slapukus — Supabase auth session (HttpOnly, Secure, SameSite=Lax). Jokių reklamos ar trečiųjų šalių tracking slapukų. Detali informacija apie kiekvieną slapuką, jo trukmę ir kaip valdyti per naršyklę — žr. Slapukų politiką.

8. Dirbtinis intelektas (ES AI Act)

AETHER yra ribotos rizikos AI sistema pagal ES AI aktą 2024/1689, 50 straipsnį. Konkrečiai:

  • Kiekviena AI sugeneruota rekomendacija aiškiai pažymėta kaip AI-generated
  • Prieš siunčiant klientui, specialistas peržiūri ir patvirtina
  • Anthropic Claude nenaudoja jūsų duomenų modelio mokymui

BDAR 22 str. — automatizuoto sprendimų priėmimo nuostatos: AETHER nenaudoja vien automatizuoto sprendimų priėmimo BDAR 22 str. prasme. AI generuojami auditų rezultatai (rekomendacijos ir vykdomoji santrauka) privalomai peržiūrimi žmogaus (kvalifikuoto AETHER specialisto) prieš siunčiant klientui. Kiekviena rekomendacija turi approved_by_human=true žymą + audit log įrašą su admin user ID prieš ataskaitos PDF generavimą.

9. Duomenų saugumo pažeidimai (BDAR 33 + 34 str.)

Įvykus asmens duomenų saugumo pažeidimui, kuris kelia riziką jūsų teisėms ir laisvėms:

  • VDAI informuojama per 72 valandas nuo pažeidimo aptikimo (BDAR 33 str.)
  • Jei pažeidimas kelia didelę riziką jūsų teisėms — informuojame jus tiesiogiai per 72 val. el. paštu, kuris naudotas paskyros sukūrimui (BDAR 34 str.)
  • Pranešime nurodoma: pažeidimo pobūdis, kontaktinis asmuo, tikėtinos pasekmės, mitigation veiksmai

Saugumo įvykiai (potencialūs pažeidimai) detektuojami per Postgres triggers + bot SSH watcher → automatinis Telegram alert administratoriui per ~2 min. nuo įvykio (žr. saugumo politiką).

10. Skundai

Jei manote, kad tvarkydami jūsų duomenis pažeidėme BDAR, turite teisę pateikti skundą Valstybinės duomenų apsaugos inspekcijai (VDAI): vdai.lrv.lt.

11. Pakeitimai

Politikos pakeitimai skelbiami šiame puslapyje su atnaujinimo data. Reikšmingi pakeitimai (pvz., naujos duomenų kategorijos) skelbiami el. paštu.