Personas datu apstrādes vienošanās

Personas datu apstrādes vienošanās

Šī personas datu apstrādes vienošanās ir starp EMU:SKOLA (tīmekļa vietnes EMU.LV) lietotāju (skolu) (Pasūtītāju) un SIA EMU Skola, reģistrācijas nr. 40203369932 (Izpildītājs) par platformā EMU:SKOLA (Platforma) esošo personas datu apstrādi.

  1. Vienošanās priekšmets
    1. Pasūtītājs instruē un uzdod Izpildītājam apstrādāt personas datus, lai nodrošinātu Pasūtītājam Platformu un ar to saistītos pakalpojumus atbilstoši līgumam, kas noslēgts starp pusēm. Attiecībā uz personas datiem, kas Platformas lietošanas laikā tiek apstrādāti Platformā, Pasūtītājs rīkojas kā datu pārzinis, Izpildītājs – kā datu apstrādātājs. Veicot fizisko personu datu apstrādi, Izpildītājam ir jānodrošina fizisko personu datu aizsardzība, pielietojot atbilstošus tehniskos un organizatoriskos pasākumus atbilstoši spēkā esošajiem Latvijas Republikas un Eiropas Savienības normatīvajiem aktiem (tajā skaitā Eiropas Parlamenta un Padomes 2016.gada 27.aprīļa regulas (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (turpmāk – Datu regula)), kā arī jāspēj šo atbilstību uzskatāmi pierādīt;
    2. Šī vienošanās satur Pasūtītāja norādījumus Izpildītājam saistībā ar Pasūtītāja datu subjektu personas datu apstrādi un ir pusēm saistoša personas datu apstrādes vienošanās piemērojamo tiesību aktu izpratnē.
    3. Kad Izpildītājs veic personas datu apstrādi Pasūtītāja kā datu pārziņa vārdā, jebkurš jautājums, pieprasījums, iebildums vai sūdzība no datu subjektiem attiecībā uz personas datu apstrādi saistībā ar Platformu ir jānosūta un jārisina Pasūtītājam.
    4. Vienošanās noteikumi attiecas arī uz Apakšapstrādātāju, kuru ar rakstisku Pārziņa atļauju piesaistījis Apstrādātājs.
    5. Ja rodas pretrunas starp Līguma un vienošanos, saskaņā ar personas datu aizsardzības regulējumu par noteicošo tiek uzskatīti vienošanās noteikumi.
    6. Vienošanās ir lietoti Datu regulas 4. pantā noteiktie termini.
  2. Apstrādes darbības
    1. Izpildītājs apstrādā personas datus, lai nodrošinātu Platformu, tajā apstrādāto personas datu uzglabāšanu un ar to saistītos pakalpojumus Pasūtītājam, uzlabotu tos un risinātu jebkādus ar tiem saistītus jautājumus.
    2. Apstrādājamie personas datu veidi ietver Pasūtītāja personāla personas datus (vārds, uzvārds, e-pasta adrese), Pasūtītāja izglītojamo personas datus (vārds, uzvārds, klase, kontakttālrunis, e-pasta adrese, dzimšanas dati, atbildes uz jautājumiem, anketas), Pasūtītāja izglītojamo personu likumisko pārstāvju dati (vārds, uzvārds, kontaktinformācija), ko Izpildītājs saņem saistībā ar Platformas nodrošināšanu vai ko Pasūtītājs ievada Platformā.
  3. Apstrādes ilgums
    1. Izpildītājs apstrādā personas datus tik ilgi, kamēr ir spēkā līgums un tas nodrošinās Pasūtītājam piekļuvi Platformai un sniegs pakalpojumus, taču pēc Pasūtītāja pieprasījuma personas dati var tikt dzēsti jebkurā laikā.
    2. Ja vien piemērojamie tiesību akti nenosaka citādāk, Izpildītājam nav pienākuma glabāt saņemtos personas datus pēc pakalpojuma līguma izbeigšanas ar Pasūtītāju. Pēc līgumattiecību izbeigšanas starp pusēm saskaņā ar Pasūtītāja norādēm Izpildītājs izdzēsīs vai atgriezīs ar apstrādi saistītos personas datus Pasūtītājam un izdzēsīs visas esošās datu kopijas, ja vien piemērojamos tiesību aktos nav paredzēta personas datu saglabāšana, piemēram, lai risinātu strīdus starp pusēm ja tādi radīsies, vai lai novērstu krāpniecību vai ļaunprātīgu izmantošanu, vai lai īstenotu Izpildītāja leģitīmās intereses. Izpildītājam pēc personas datu dzēšanas 30 (trīsdesmit) dienu laikā par to ir jāsniedz rakstveida apliecinājums Pasūtītājam.
  4. Izpildītāja pienākumi un palīdzība Pasūtītājam
    1. Izpildītājs izmanto atbilstošus organizatoriskus, tehniskus un administratīvus pasākumus, lai aizsargātu personas datu konfidencialitāti, integritāti un pieejamību atbilstoši personu datu apstrādes riskam, tajā skaitā Izpildītājs nodrošina:
      • ka tas ir nozīmējis datu aizsardzības speciālistu atbilstoši Eiropas Parlamenta un Padomes regulas (ES) 2016/679 37.pantam;
      • Platformā tiek nodrošinātas vairāku līmeņu lietotāju tiesības, nodrošinot attiecīgajam lietotājam Platformā piekļūt tikai tai informācijai, kas ir nepieciešama pienākumu veikšanai (minimizācijas princips);
      • Personas datu uzglabāšanas tiek veikta Rīgā, Latvijā, nodrošinot šādas, bet ne tikai šādas, drošības prasības:
        • Datu glabātuvē iespējams piekļūt tikai ar autorizāciju;
        • Datu glabātuve nodrošina retrospektīvā noteikt un pārbaudīt visas veiktās darbības ar glabātuvē pieejamiem datiem;
        • Datu glabātuve reizi nedēļā veido automātisku datu kopiju, kas ir pieejama tikai ar autorizāciju.
      • Ierobežotu, atbilstoši Pasūtītāja norādījumiem, personas datu glabāšanas termiņu.
    2. Izpildītājs nodrošina, ka platformas lietotāja paroles garums nav mazāks par deviņām rakstu zīmēm un satur vismaz vienu lielo latīņu alfabēta burtu un mazo latīņu alfabēta burtu, kā arī ciparu vai speciālu simbolu kā arī tiek nodrošināts, ka lietotājam vienu reizi trīs mēnešos platforma automātiski pieprasa lietotāja paroles nomaiņu.
    3. Izpildītājs nodrošina integrētās datu aizsardzības un datu aizsardzības pēc noklusējuma principu attiecināšanu uz Izpildītāja Platformas darbību, piemēram auditācijas (.log) pierakstus par jebkuru personas datu apstrādes (jebkura ar personas datiem vei personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, reģistrācija, pārveidošana, pievienošana, aplūkošana, dzēšana) darbību, fiksējot datumu, laiku un personu (lietotāju), kura veikusi personas datu apstrādi.
    4. Izpildītājam pēc Pasūtītāja pieprasījuma 30 (trīsdesmit) darba dienu laikā ir jāizsniedz auditācijas (.log) pierakstu faili.
    5. Visi Izpildītāja pilnvarotie darbinieki, kas ir iesaistīti Pasūtītāja personas datu apstrādē, ir piekrituši konfidencialitātes pienākumiem, nepiekļūst un bez atļaujas citādi neapstrādā personas datus, ja vien tas nav nepieciešams tiem nolūkiem, kuriem dati tika iegūti sākotnēji. Izpildītājs nodrošina, ka personas datiem piekļūst un tos apstrādā tikai tie darbinieki, kam tas ir nepieciešams līguma saistību izpildei.
    6. Izpildītājs patur tiesības veikt anonimizētu datu apstrādi platformas uzlabojumu izstrādes veikšanai un/vai pētniecībai; statistikas veidošanai Izglītības iestāžu dibinātāju vajadzībām; statistikas datu publicitātei un publikācijām, ievērojot visas ar personas datu apstrādi saistītās normas.
    7. Izpildītājam bez Pasūtītāja rakstiskas atļaujas ir aizliegts apstrādāt personas datus ārpus Eiropas Savienības vai Eiropas Ekonomiskās zonas valstīm.
    8. Ja tiek konstatēts personas datu aizsardzības pārkāpums, Izpildītājs par to paziņo Pasūtītājam 24 (divdesmit četru) stundu laikā, nosūtot uz e-pastu un sniedz atbilstošu palīdzību saistībā ar personas datu pārkāpuma izmeklēšanu un paziņošanu uzraudzības iestādēm un datu subjektiem par šādu personas datu aizsardzības noteikumu pārkāpumu.
    9. Ņemot vērā apstrādes raksturu, Izpildītājs kā datu apstrādātājs palīdzēs Pasūtītājam, sniedzot tehnisku un organizatorisku atbalstu tā, lai nodrošinātu Pasūtītāja kā datu pārziņa pienākumu izpildi attiecībā uz:
      • Jebkuriem Pasūtītāja datu subjektu pieprasījumiem saistībā ar datu subjektu tiesību īstenošanu, tostarp piekļūšanu personas datiem, personas datu labošanu, ierobežošanu, nosūtīšanu, bloķēšanu vai dzēšanu, ko Izpildītājs apstrādā Pasūtītāja vārdā. Ja datu subjekts nosūta šādu pieprasījumu tieši Izpildītājam, Izpildītājs to nekavējoties, bet ne vēlāk, kā 3 (trīs) darba dienu laikā, pārsūta Pasūtītājam;
      • personas datu aizsardzības pārkāpumu izmeklēšanu un paziņojumu uzraudzības iestādei un Pasūtītāja datu subjektiem saistībā ar šādiem personas datu aizsardzības noteikumu pārkāpumiem;
      • ja nepieciešams, datu aizsardzības ietekmes izvērtējumiem un konsultācijām ar jebkuru uzraudzības iestādi.
    10. Izpildītājs nodrošina personas datu apstrādi tikai pēc Pārziņa dokumentētiem norādījumiem un šā līguma prasībām. Par dokumentēto norādījumu tiek uzskatīta jebkura informācija, kas nosūtīta Apstrādātajam, izmantojot elektronisko pastu.
    11. Izpildītājs nodrošina personas datu aizsardzību un spēju uzskatāmi parādīt, ka ir ievērota Datu regula, ņemot vērā datu subjektu un citu attiecīgo personu tiesības un leģitīmās intereses.
    12. Izpildītājs nodrošina, ka personas, kuras ir pilnvarotas Apstrādātāja vārdā apstrādāt datus, ir apņēmušās ievērot konfidencialitāti vai tām ir noteikts attiecīgs likumisks pienākums ievērot konfidencialitāti.
    13. Piesaistīt personas datu apstrādei Apakšapstrādātāju tikai ar Pārziņa rakstveida piekrišanu. Piesaistīšanas gadījumā noteikt viņam tādus pašus datu aizsardzības pienākumus, kas noteikti līgumā vai citā juridiskā aktā, kas noslēgts starp Pārzini un Apstrādātāju, jo īpaši pietiekami garantējot, ka tiks īstenoti, piemēroti tehniskie un organizatoriskie pasākumi tādā veidā, lai apstrādē tiktu ievērotas Datu regulā noteiktās prasības. Šādā gadījumā Apstrādātājs uzņemas pilnu atbildību par citu Apstrādātāju, tā darbību un veikto personas datu apstrādi, kā arī sedz jebkāda veida Pārzinim radušos zaudējumus šāda Apakšapstrādātāja darbības vai bezdarbības rezultātā.
    14. Neizpaust personas datus trešajām personām, izņemot gadījumus, ja to rakstveidā pieprasa Pārzinis vai tas ir noteikts saskaņā ar Latvijas Republikas un Eiropas Savienības normatīvo aktu prasībām.
    15. Nodrošināt visā personas datu apstrādes laikā apstrādes līdzekļu un metodes nemainīgumu, izņemot gadījumu, ja ir saņemta Pārziņa rakstveida atļauja veikt tādas izmaiņas. Gadījumā, ja Apstrādātājs pieņem lēmumu mainīt apstrādes metodes un līdzekļus, pirms tās veikšanas, ņemot vērā apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un smaguma pakāpes risku attiecībā uz fizisku personu tiesībām un brīvībām, Apstrādātājs iesniedz Pārzinim rakstveida atļaujas saņemšanai novērtējumu par ietekmi uz datu aizsardzību.
    16. Apstrādātājam nav tiesību apstrādāt personas datus saviem nolūkiem.
    17. Pēc Pārziņa norādījuma nekavējoties pārtraukt konkrētas personas datu apstrādi uz laiku, kurā Pārzinis var pārbaudīt personas datu precizitāti.
    18. Sadarboties ar uzraudzības iestādi, ja tā īsteno savas izmeklēšanas pilnvaras, t.sk. nodrošināt piekļuvi Apstrādātāja telpām, kurās tiek veikta nodoto datu apstrāde.
    19. Apmācīt Apstrādātāja darbiniekus par datu aizsardzības jautājumiem un Pārziņa norādījumiem attiecībā uz nodoto datu apstrādi.
    20. Nodrošināt Apstrādātāja rīcībā nodoto personas datu apstrādes reģistra kārtošanu.
    21.  
  5. Apakšapstrādātāji
    1. Izpildītājam ir tiesības Platformas un pakalpojumu nodrošināšanā piesaistīt līguma 5.2. punktā norādītos apakšapstrādātājus. Šādi apakšapstrādātāji saņem tikai minimālu apjomu personas datu, kas tiem nepieciešami, lai sniegtu pieprasīto pakalpojumu. Izpildītājs nodrošina, ka tas izmanto tikai tādus apakšapstrādātājus, kas atbilst tādiem pašiem datu aizsardzības pienākumiem, kas minēti šajā vienošanās, īpaši sniedz pietiekamas garantijas un ir ieviesuši atbilstošus tehniskus un organizatoriskus pasākumus un citādi atbilst piemērojamo personas datu apstrādes tiesību aktu prasībām, ja tas nepieciešams. Ja šādi apakšapstrādātāji nespēj nodrošināt tiem uzlikto datu aizsardzības pienākumu izpildi, Izpildītājs par to ir atbildīgs Pasūtītājam.
    2. Izpildītājs pakalpojuma līguma izpildei ir piesaistījis apakšapstrādātājus, kas nodrošina Platformas datu uzglabāšanu:
      1. RSEZ SIA Midis, Viļakas iela 1, Rēzekne, LV-4604 (platformas digitālā uzturēšana);
      2. SIA Cube Systems, Mūkusalas iela 29B, Rīga, LV-1004 (platformas digitālās un datu drošības auditors);
      3. SIA Sales.lv, Dzirnavu iela 37-62, Rīga, LV-1010 (lietotāju SMS notifikācijas sistēmas nodrošināšanai);
      4. SIA Dualnode, reģ. nr. LV40103568951, Dzirnavu iela 51-16, Rīga, LV-1010 (datu glabātuve, servera nodrošinājums);
      5. AWS Europe, Ltd., 26/28 Rue Edward Steichen, 2540 Luxembourg (lietotāju e-pastu notifikācijas sistēmas nodrošināšanai).
      6. Nodibinājums Fonds “PLECS”, Tērbatas ielas 30, Rīga, LV-1010 (platformas satura un rekomendāciju izstrāde un pilnveide).
      7. SU SIA Centrs ZIN, reģ. nr., 40203267589, Rīga, Dikļu iela 30, LV-1002 (ieteikumu un vingrinājumu izstrāde vecākiem un klašu audzinātājiem);
      8. Ņikita Bezborodovs, personas kods 140785-10711 deklarētā adrese: Tirzas iela 3/1-20, Rīga, LV-1024 (metodoloģijas pārraudzība).
    3. Izpildītājs informē Pasūtītāju 30 dienas iepriekš par jebkādām iecerētām pārmaiņām saistībā ar papildu apstrādātāju vai apstrādātāja aizstāšanu.
    4. Pasūtītāja iebildumu gadījumā puses rod risinājumu tālākai datu apstrādei ierobežotā apmērā, neizmantojot konkrēto apakšapstrādātāju vai, ja šādu risinājumu nav iespējams rast, Pasūtītājam ir tiesības vienpusēji izbeigt pakalpojuma līgumu pakalpojuma līguma 6.3.punktā noteiktajā kārtībā, saskaņā ar pakalpojuma līgumā ietvertajiem izbeigšanas noteikumiem.
    5. Izpildītājam ar rakstveidā Pārziņa piekrišanu ir tiesības piesaistīt apakšapstrādātājus no Eiropas Ekonomikas zonas valstīm. Ja Izpildītājs vēlas piesaistīt apakšapstrādātāju ārpus Eiropas Ekonomikas zonas valstīm, tas apstrādātājs, lai saņemtu Pārziņa rakstveidā piekrišanu (a) pirms šādas apstrādes informē par to Pasūtītāju un (b) piesaista tikai tādu apakšapstrādātāju, kas nodrošina atbilstību personas datu apstrādes un aizsardzības prasībām un kas spēj nodrošināt piemērojamiem tiesību aktiem atbilstošu aizsardzības līmeni.
  6. Citi noteikumi
    1. Izpildītājam ir pienākums pēc Pasūtītāja pieprasījuma sniegt Pasūtītājam visu informāciju, kas nepieciešama, lai apliecinātu, ka tiek pildīti šajā vienošanās un piemērojamajos tiesību aktos noteiktie Izpildītāja pienākumi, un lai ļautu Pasūtītājam vai tā pilnvarotam revidentam veikt revīzijas, tostarp pārbaudes, lai varētu pārliecināties par personas datu apstrādes drošību.
    2. Gadījumā, ja Izpildītājs nepilda šo vienošanos un apstrādā personas datus saviem nolūkiem, tas atbild par veikto personas datu apstrādi, kā pārzinis.
    3. Visas izmaiņas šajā vienošanās izdarāmas rakstiski, pusēm savstarpēji vienojoties, un pēc to abpusējas parakstīšanas kļūst par pakalpojuma līguma neatņemamu sastāvdaļu.
    4. Visi strīdi, kas varētu rasties vienošanās izpildes gaitā, tiks risināti pārrunu ceļā. Ja pusēm neizdodas atrisināt strīdu sarunu ceļā, tas tiek risināts Latvijas Republikas piemērojamajos tiesību aktos noteiktajā kārtībā.
    5. Pārzinim ir tiesības nekavējoties vienpusēji izbeigt vienošanos un līgumu, ja Apstrādātājs nepilda uzņemtās saistības vai neveic pietiekamus pasākumus personas datu aizsardzībai.

Jaunākais apstiprinājums: 2023. gada 20. septembrī

SIA EMU Skola

Vadītājs

Jānis Erts