Privatumo politika

Įsigalioja: 2026-06-01 · Paskutinį kartą atnaujinta: 2026-05-31

1. Kas mes esame ir kaip susisiekti

ACS.lt yra debesijos pagrindu veikianti dirbtinio intelekto buhalterinės apskaitos platforma, skirta Lietuvos juridiniams asmenims. Paslauga teikiama ir asmens duomenys tvarkomi:

UAB Elektroniniai Sprendimai

Juridinio asmens kodas: 301234567

Buveinė: Gedimino pr. 1, LT-01103 Vilnius, Lietuva

El. paštas: privacy@acs.lt

Atsakymo terminas: 30 kalendorinių dienų nuo prašymo gavimo

Toliau šiame dokumente — „mes", „ACS.lt" arba „Valdytojas".

2. Kokie duomenys renkami

Renkame tik tuos duomenis, kurie būtini konkretiems tikslams pasiekti.

2.1 Paskyros duomenys

El. pašto adresas, šifruotas slaptažodis (originalas nesaugomas), paskyros sukūrimo data, paskutinio prisijungimo laikas, pasirinkta kalba.

2.2 Įmonės ir finansiniai duomenys

Įmonės pavadinimas, juridinio asmens kodas, PVM mokėtojo kodas, buveinės adresas, banko sąskaitos numeris. Sąskaitos-faktūros, sandoriai, darbuotojų duomenys (vardas, pavardė, asmens kodas, darbo užmokestis, Sodros duomenys) — kuriuos pats įvedate naudodamiesi paslauga. Šie duomenys yra jūsų nuosavybė; mes juos tvarkome tik paslaugos teikimo tikslais.

2.3 Banko ir mokėjimo duomenys (Open Banking)

Jei suteikiate prieigą per PSD2 / Open Banking: banko sąskaitos numeris, sandorių sąrašas (suma, data, aprašymas, korespondento sąskaita). Slaptažodžiai ar PIN kodai niekada nerenkami ir nematomi mums.

2.4 Techniniai duomenys

IP adresas, naršyklės tipas ir versija, operacinė sistema, prisijungimo žurnalai, klaidų ataskaitos. Renkami automatiškai kiekvieno apsilankymo metu saugumo tikslais.

2.5 Prenumeratos ir mokėjimo duomenys

Pasirinktas tarifas, prenumeratos pradžios ir pabaigos data, mokėjimo istorija, sąskaitos-faktūros. Pilni mokėjimo kortelės duomenys tvarkomi tik Stripe infrastruktūroje — mes jų nesaugome ir nematome.

2.6 Komunikacijos duomenys

El. laiškai ir užklausos, automatiniai sisteminiai pranešimai (registracijos patvirtinimas, terminų priminimai, mokesčių alertai), rinkodaros naujienlaiškiai — tik gavus sutikimą.

2.7 Slapukų duomenys

Išsamiai aprašyta Slapukų politikoje.

3. Kodėl tvarkome duomenis ir koks teisinis pagrindas

Kiekvienam tvarkymo tikslui egzistuoja aiškus teisinis pagrindas pagal BDAR (2016/679).

Tvarkymo tikslasTeisinis pagrindas (BDAR)
Paskyros sukūrimas ir administravimas6(1)(b) – Sutarties vykdymas
Buhalterinės paslaugos teikimas6(1)(b) – Sutarties vykdymas
Sąskaitų-faktūrų generavimas ir siuntimas6(1)(b) – Sutarties vykdymas
VMI ataskaitų (i.SAF, FR0600) pateikimas6(1)(c) – Teisinė prievolė (LR PMĮ)
Sodros ataskaitų (SAM) pateikimas6(1)(c) – Teisinė prievolė (LR SoDrA)
Prenumeratos apdorojimas6(1)(b) – Sutarties vykdymas
Sąskaitų-faktūrų (mokėjimų) išrašymas6(1)(c) – Teisinė prievolė (Apskaitos įstatymas)
Platformos saugumas ir sukčiavimo prevencija6(1)(f) – Teisėtas interesas
Techniniai žurnalai ir klaidų diagnostika6(1)(f) – Teisėtas interesas
AI funkcijos (paaiškinimai, kategorijos, prognozės)6(1)(b) – Sutarties vykdymas
Rinkodaros naujienlaiškiai6(1)(a) – Sutikimas
Analitika ir statistika (agreguota)6(1)(f) – Teisėtas interesas
Teisinių reikalavimų gynimas6(1)(f) – Teisėtas interesas

Tvarkymo, pagrįsto teisėtu interesu, interesų balanso testo santrauką galite gauti raštu: privacy@acs.lt.

4. Duomenų gavėjai ir dalijimasis

Jūsų duomenų neparduodame ir nekeičiame komerciniais tikslais. Duomenys perduodami tik šiais atvejais:

  • Duomenų tvarkytojai (žr. 5 skyrių) — paslaugų teikėjai, veikiantys mūsų vardu pagal rašytines sutartis.
  • VMI (Valstybinė mokesčių inspekcija) — i.SAF, FR0600, FR0671 ir kitos deklaracijos, kurias pateikiame jūsų vardu (tik jums suteikus leidimą arba kai tai yra teisinė prievolė).
  • Sodra (Valstybinio socialinio draudimo fondas) — SAM ir kitos ataskaitos darbuotojų socialiniam draudimui.
  • Bankai (Open Banking / PSD2) — sąskaitos skaitymo prieiga tik pagal jūsų suteiktą leidimą per patvirtintą PSD2 teikėją.
  • Valstybės institucijos — teismai, ikiteisminio tyrimo įstaigos, mokesčių administratorius — tik gavus teisėtą prašymą arba esant teisinei prievolei.
  • Verslo perdavimo atveju — jei įvyktų įmonės susijungimas ar restruktūrizacija, duomenys pereitų naujam valdytojui su prievole laikytis šios politikos.

5. Duomenų tvarkytojai

Su kiekvienu tvarkytoju sudaryta Duomenų tvarkymo sutartis (DPA), atitinkanti BDAR reikalavimus.

TvarkytojasTikslasDuomenų vietaApsaugos priemonės
Hetzner Online GmbHServerių infrastruktūra, duomenų bazėsES (Vokietija / Suomija)BDAR DPA; fizinė apsauga; ISO 27001
Stripe, Inc.Mokėjimų apdorojimasJAV / ESES-JAV DPF; PCI DSS 1 lygis
Brevo (Sendinblue SAS)El. pašto siuntimasES (Paryžius)BDAR DPA; duomenys ES
Anthropic, PBCAI funkcijos (paaiškinimai, kategorijos, prognozės)JAVES-JAV SCC; duomenų minimizavimas; no-train politika
PSD2 Open Banking teikėjasBanko sąskaitos skaitymo prieigaES (LT)LB licencija; PSD2 atitikimas

6. Tarptautiniai duomenų perdavimai

Dalis tvarkytojų veikia už Europos ekonominės erdvės (EEE) ribų. Taikome BDAR V skyriaus apsaugos priemones:

  • ES ir JAV duomenų privatumo sistema (DPF) — taikoma Stripe ir kitiems JAV bendrovėms, sertifikuotoms pagal DPF.
  • Standartinės sutartinės sąlygos (SCC) — ten, kur DPF netaikomas; naudojamos 2021 m. Europos Komisijos patvirtintos SCC.
  • Papildomos techninės priemonės — TLS 1.3 šifravimas, prieigos apribojimai, reguliarūs saugumo auditai.
  • Anthropic (AI) — sudarytos SCC; finansiniai duomenys perduodami minimizuota apimtimi; Anthropic įsipareigojęs nenaudoti duomenų modelių mokymui be atskiro sutikimo.

Konkrečių SCC kopijų galite paprašyti el. paštu: privacy@acs.lt.

7. Duomenų saugojimo terminai

Duomenų kategorijaSaugojimo terminasPagrindas
Paskyros duomenysPaskyros galiojimas + 3 metaiTeisėtas interesas
Finansiniai įrašai (SF, sandoriai)10 metųLR Buhalterinės apskaitos įstatymas
Darbuotojų Sodros duomenys10 metųLR Socialinio draudimo įstatymas
VMI pateiktos ataskaitos10 metųLR Mokesčių administravimo įstatymas
Mokėjimų ir prenumeratos istorija10 metųLR Buhalterinės apskaitos įstatymas
Techniniai žurnalai (IP, prisijungimai)12 mėnesiųSaugumo diagnostika
Rinkodaros sutikimaiIki atšaukimo + 3 metai (kaip įrodymas)BDAR 7(1)
Slapukų duomenys (analitiniai)13 mėnesiųSutikimas
Ištrinta paskyra30 dienų, tuomet negrįžtamai ištrinamiTeisė būti pamirštam (BDAR 17)
Atsarginės kopijos90 dienųOperaciniai reikalavimai

8. Jūsų teisės pagal BDAR

Kaip duomenų subjektas, jūs turite šias teises, kuriomis galite pasinaudoti bet kada:

  • Prieigos teisė (BDAR 15): Gauti patvirtinimą ir kopiją apie jūsų tvarkomus duomenis. Paskyros duomenis ir finansinius įrašus galite atsisiųsti tiesiogiai per Nustatymų skydelį.
  • Ištaisymo teisė (BDAR 16): Ištaisyti netikslias ar papildyti neišsamias duomenis. Daugumą duomenų galite keisti tiesiogiai paskyroje.
  • Ištrynimo teisė (BDAR 17): Reikalauti ištrinti duomenis („teisė būti pamirštam"). Netaikoma, jei yra teisinė prievolė saugoti (pvz., buhalteriniai dokumentai).
  • Apribojimo teisė (BDAR 18): Sustabdyti aktyvų tvarkymo procesą tam tikrais atvejais (pvz., ginčijant duomenų tikslumą).
  • Perkeliamumo teisė (BDAR 20): Gauti savo duomenis JSON arba CSV formatu per Nustatymų skydelį bet kada.
  • Nesutikimo teisė (BDAR 21): Prieštarauti tvarkymu, grindžiamu teisėtu interesu arba tiesioginės rinkodaros tikslais.
  • Sutikimo atšaukimo teisė (BDAR 7(3)): Atšaukti sutikimą bet kada. Atšaukimas neturi įtakos ankstesnio tvarkymo teisėtumui.
  • Teisė pateikti skundą (BDAR 77): Kreiptis į priežiūros instituciją — žr. 17 skyrių.

Prašymus siųskite: privacy@acs.lt
Atsakymo terminas: 30 dienų (sudėtingais atvejais — 90 dienų su išankstiniu pranešimu).

9. AI funkcijų duomenų tvarkymas

ACS.lt naudoja dirbtiniu intelektu grindžiamas funkcijas, kurioms reikalinga prieiga prie jūsų finansinių duomenų:

  • Sandorių kategorijavimas — banko eilutės analizuojamos AI modeliu, kad būtų pasiūlytos kategorijos. Duomenys perduodami Anthropic API minimizuota apimtimi (aprašymas, suma, data — be asmeninių identifikatorių).
  • „Paaiškink man" / „Ar galiu nurašyti?" — jūsų užklausos ir konkretūs skaičiai perduodami AI modeliui atsakymui sugeneruoti. Pokalbių istorija saugoma jūsų paskyroje.
  • Cashflow prognozė — istoriniai sandoriai analizuojami lokaliai (serverio pusėje) prognozių generavimui; išoriniam AI perduodama tik agreguota statistika.
  • Automatizuotas sprendimų priėmimas — šiuo metu nevykdomas joks automatizuotas sprendimų priėmimas pagal BDAR 22 str., turintis teisinių ar panašių pasekmių. AI teikia rekomendacijas — galutinį sprendimą priima naudotojas.

10. Platformos saugumas

Techninės ir organizacinės priemonės pagal BDAR 32 straipsnį:

  • Šifravimas — visi duomenys perduodami TLS 1.3 (HTTPS); slaptažodžiai saugomi bcrypt maiša; duomenų bazės — AES-256 šifravimas ramybės būsenoje.
  • Prieigos kontrolė — minimalių privilegijų principas; prie finansinių duomenų turi prieigą tik įgalioti darbuotojai; visų prieigų audito žurnalai.
  • Izoliacija — kiekvieno naudotojo duomenys saugomi atskiroje duomenų bazėje (SQLite per-user isolation); neįmanoma kryžminė prieiga.
  • Reguliarios atsarginės kopijos — kas valandą, saugomos atskiroje geografinėje vietoje (skirtingas Hetzner duomenų centras).
  • Pažeidimų valdymas — jei pažeidimas keltų pavojų jūsų teisėms, pranešimas VMI per 72 valandas (BDAR 33–34) ir jums — per 72 valandas.
  • Penetraciniai testai — atliekami ne rečiau kaip kartą per metus.

Rekomenduojame naudoti stiprų, unikalų slaptažodį ir įjungti dviejų veiksnių autentifikaciją (kai bus prieinama).

11. Open Banking ir banko duomenys

Open Banking funkcija veikia per licencijuotą PSD2 paslaugų teikėją. Suteikdami prieigą, jūs:

  • Atsakingai pateikiate prieigos leidimą tiesiai banke (mes nematome jūsų prisijungimo duomenų).
  • Galite atšaukti prieigą bet kada per ACS.lt Nustatymų skydelį arba tiesiai savo banke.
  • Prieiga suteikiama tik skaitymo tikslais — jokia banko operacija negali būti inicijuota be jūsų eksplicitinio veiksmo.
  • Banko sandoriai saugomi jūsų ACS.lt duomenų bazėje pagal 7 skyriuje nurodytus terminus.

12. Prenumerata ir mokėjimai

Prenumeratos pirkimo metu tvarkomi: pasirinktas tarifas, prenumeratos pradžios ir pabaigos data, automatinio atnaujinimo statusas, Stripe tokenizuotas kortelės identifikatorius (ne kortelės numeris), mokėjimų istorija.

Automatiniam atnaujinimui — el. paštu siunčiamas priminimas ne vėliau kaip likus 3 dienoms (jei keičiasi kaina ar sąlygos). Prenumeratą galite atšaukti bet kada per paskyros nustatymus.

Išrašomos sąskaitos-faktūros atitinka LR Pridėtinės vertės mokesčio įstatymo reikalavimus ir saugomos 10 metų.

13. Vaikų duomenys

Paslauga skirta asmenims, vyresniems nei 16 metų, ir juridiniams asmenims. Sąmoningai nerenkami jaunesniųjų duomenys. Aptikus tokio asmens paskyrą — ji nedelsiant ištrintina. Jei įtariate, kad nepilnametis sukūrė paskyrą, rašykite: privacy@acs.lt.

14. Nuorodos į trečiųjų šalių svetaines

Platforma gali turėti nuorodas į išorines svetaines (pvz., VMI, Sodra). Ši privatumo politika taikoma tik acs.lt. Trečiųjų šalių privatumo praktika — jų atsakomybė; rekomenduojame susipažinti su jų politikomis.

15. Slapukai

Naudojame būtinuosius sesijos slapukus prisijungimui palaikyti ir funkciniams slapukams nuostatoms išsaugoti. Išsamiai žr. Slapukų politiką. Jokių trečiųjų šalių reklamos ar sekimo slapukų be jūsų sutikimo.

16. Politikos atnaujinimai

Nedideli pakeitimai (rašybos, formatavimo, paaiškinimų) — įsigalioja nedelsiant; atnaujinama data dokumento viršuje.

Esminiai pakeitimai (naujos duomenų kategorijos, nauji gavėjai, nauji tikslai) — el. paštu pranešama aktyvių paskyrų savininkams ne vėliau kaip likus 30 dienų iki įsigaliojimo.

Ankstesnės versijos saugomos ir pateikiamos paprašius. Tolimesnis paslaugos naudojimas po pakeitimų įsigaliojimo reiškia susipažinimą su nauja versija.

17. Kontaktai ir priežiūros institucija

Duomenų apsaugos kontaktas

El. paštas: privacy@acs.lt

Atsakymo terminas: 30 kalendorinių dienų

UAB Elektroniniai Sprendimai

Gedimino pr. 1, LT-01103 Vilnius, Lietuva

Priežiūros institucija:

Valstybinė duomenų apsaugos inspekcija (VDAI)
L. Sapiegos g. 17, LT-10312 Vilnius
vdai.lrv.lt · ada@vdai.lrv.lt