Fizisko personu datu apstrādes noteikumi

Fizisko personu datu apstrādes noteikumi

Šie noteikumi nosaka Abonenta, turpmāk šo noteikumu tekstā - Pārzinis, un Tet, turpmāk šo noteikumu tekstā – Apstrādātājs, tiesības un pienākumus, datu apstrādes ietvaros, kas tiek veikta Apstrādātājam, sniedzot Pārzinim pakalpojumus: E-pasta kastīte, E-pasta administrators, Hostings (t. sk. Vieta mājaslapai) un Xxxxxxx.xx datu glabāšana (t. sk. eDati) (turpmāk kopā - Pakalpojumi) saskaņā ar Pakalpojumu vispārīgajiem noteikumiem (turpmāk – Noteikumi). Šie noteikumi ir sagatavoti, lai nodrošinātu Eiropas Parlamenta un padomes 2016.gada 27.aprīļa regulas 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula jeb regula) prasību izpildi Pakalpojumu izpildes gaitā.

1. Vispārīgie noteikumi

1.1. Apstrādātājs veic Xxxxxxx interesēs un uzdevumā personas datu (turpmāk– dati) apstrādi, izpildot saistības, kuras Apstrādātājs uzņēmies ar Pārziņa un Apstrādātāja starpā noslēgtajiem līgumiem.

1.2. Apstrādātājs veic apstrādi godīgi un saskaņā ar spēkā esošajiem tiesību aktiem, tajā skaitā, regulu, noslēgtajiem līgumiem, šiem noteikumiem un Pārziņa dotajām tiesiskajām norādēm. Apstrādātājs neizmanto tam uzticētos datus savām vajadzībām vai citiem, no Līguma neizrietošiem mērķiem, vai citādi, kā vien saskaņā ar Pārziņa norādījumiem, ja vien to darīt nepieprasa tiesību akti.

1.3. Apstrādātājs veic personas datu apstrādi tik ilgi, kamēr ir jāveic datu apstrāde saskaņā ar noslēgtajiem līgumiem, ar nolūku izpildīt saistības (nodrošināt funkcijas, pakalpojumus), kas tajos ir noteiktas.

1.4. Apstrādājamie datu veidi, datu subjektu un datu apstrādes kategorijas izriet no Līguma, un tās ir:

1.4.1. Datu subjekts ir jebkura fiziska persona (esoša vai bijuša klienta statusā, esoša vai bijuša darbinieka statusā, kontaktpersonas statusā), kuras dati tiek tieši izmantoti pakalpojuma/-u sniegšanā (piemēram, korespondences sūtītājs un/vai adresāts) un/vai persona, par kuru ir sniegta informācija Pakalpojumu lietošanas ietvaros.

1.4.2. Apstrādājamo datu kategorijas ir visi dati, kas saistīti ar Pakalpojumu sniegšanu un lietošanu (identifikācijas, lietošanas, piekļuves, autorizācijas un darbinieku dati, e-pastu izsūtīšanas un saņemšanas informācija), kā arī viss korespondences saturs un/vai datu faili un to saturs (teksta informācija, fotogrāfijas, attēli, sarunu un video ieraksti, datu bāzes).

1.4.3. Datu apstrādes kategorijas ir datu iegūšana, nosūtīšana, piekļuve, glabāšana, apstrāde, rezerves kopiju veidošana, statistikas veidošana par pakalpojuma izmantošanu, datu dzēšana pēc pakalpojuma līguma izbeigšanas Apstrādātāja glabāšanas vietnēs. Pakalpojumu sniegšanās laikā par datu dzēšanu ir atbildīgs un to veic Pārzinis. Par datu dzēšana Pārziņa gala iekārtās atbild Xxxxxxxx.

1.4.4. Datu Apstrādātājs:

1.4.4.1. 3 nedēļu laikā pēc Līguma izbeigšanas vai Pakalpojuma sniegšanas pārtraukšanas dzēš E-pasta Pakalpojuma datus, kas attiecas uz E-pasta pakalpojuma lietošanu;

1.4.4.2. 3 nedēļu laikā pēc Līguma izbeigšanas vai Pakalpojuma sniegšanas pārtraukšanas dzēš Hostinga Pakalpojuma datus, kas attiecas uz Hostinga pakalpojuma lietošanu;

1.4.4.3. 3 nedēļu laikā pēc Līguma izbeigšanas vai Pakalpojuma sniegšanas pārtraukšanas dzēš Xxxxxxx.xx datu glabāšanas Pakalpojuma datus, kas attiecas uz Xxxxxxx.xx datu glabāšanas pakalpojuma lietošanu.

2. Garantijas

Apstrādātājs apliecina un garantē, ka datu apstrādes laikā tiks īstenoti atbilstoši tehniskie un organizatoriskie pasākumi datu aizsardzības nodrošināšanai. Apstrādātāja informācijas drošības vadības sistēma atbilst ISO/IEC 27001 standarta prasībām (sertificētā darbības sfēra ir IT un telekomunikāciju pakalpojumi biznesa klientiem un valsts institūcijām, tostarp tīkla pārvaldības centrs, klientu atbalsts, programmatūras izstrāde un uzturēšana, un datu centri) un Apstrādātājs ir ieguvis atbilstošu ISO/IEC 27001 sertifikātu.

3. Apstrādātāja pienākumi un tiesības

3.1. Apstrādātājs datus apstrādā tikai saskaņā ar šo noteikumu 1.punktā noteikto vai pēc Pārziņa dokumentētiem norādījumiem, tostarp saistībā ar nosūtīšanu uz trešo valsti vai starptautisku organizāciju, izņemot, ja tas ir jādara saskaņā ar Eiropas Savienības vai dalībvalsts tiesību aktiem, kas piemērojami Apstrādātājam, un šādā gadījumā Apstrādātājs par minēto juridisko prasību informē Xxxxxxx pirms apstrādes, izņemot, ja ar attiecīgo tiesību aktu šāda informēšana ir aizliegta svarīgu sabiedrības interešu dēļ.

3.2. Apstrādātājs nodrošina, ka personas, kuras ir pilnvarotas apstrādāt datus, ir rakstveidā apņēmušās ievērot konfidencialitāti vai tām ir noteikts juridiski saistošs pienākums ievērot konfidencialitāti. Apstrādātājs veic pasākumus, lai nodrošinātu, ka jebkura fiziska persona, kas darbojas Apstrādātāja pakļautībā un kam ir piekļuve datiem, tos neapstrādā bez Pārziņa norādījumiem, izņemot, ja minētajai personai tas jādara saskaņā ar Eiropas Savienības vai dalībvalsts tiesību aktiem.

3.3. Apstrādātājs īsteno tehniskus un organizatoriskus pasākumus attiecībā uz datu drošību un aizsardzību pret ārēju ielaušanos tā sistēmās, arī, ja datu apstrāde notiek elektroniski, pieslēdzoties attālināti Pārziņa sistēmām, tostarp, ņemot vērā tehnikas līmeni, īstenošanas izmaksas un apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un smaguma pakāpes risku attiecībā uz fizisku personu tiesībām un brīvībām, lai nodrošinātu tādu drošības līmeni, kas atbilst riskam:

3.3.1. personas datu pseidonimizāciju un šifrēšanu;

3.3.2. spēju nodrošināt apstrādes sistēmu un pakalpojumu nepārtrauktu konfidencialitāti, integritāti, pieejamību un noturību;

3.3.3. spēju laicīgi atjaunot datu pieejamību un piekļuvi tiem gadījumā, ja ir noticis fizisks vai tehnisks negadījums;

3.3.4. procesu regulārai tehnisko un organizatorisko pasākumu efektivitātes testēšanai, izvērtēšanai un novērtēšanai, lai nodrošinātu apstrādes drošību.

Novērtējot atbilstīgo drošības līmeni, ņem vērā jo īpaši riskus, ko rada apstrāde, jo īpaši nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem

3.4. Apstrādātājs rakstveidā vai e-pastā informē Xxxxxxx par konkrēto piesaistīto papildus apstrādātāju, dodot Pārzinim iespēju iebilst pret to. Apstrādātājs, piesaistot citu apstrādātāju apstrādes darbību veikšanai Xxxxxxx vārdā, šim citam apstrādātājam nosaka pienākumu veikt datu aizsardzības organizatoriskos un tehniskos pasākumus, kas nodrošina datu apstrādes atbilstību regulas prasībām.

3.5. Šo noteikumu 3.4. punktā minētā prasība nav attiecināma uz papildus Apstrādātājiem, kas ir piesaistīti līguma izpildei pirms šī dokumenta nosūtīšanas (informācija par papildus Apstrādātāju piesaisti tika sniegta informējot e-pasta vēstules veidā).

3.6. Apstrādātājs, ciktāl tas ir iespējams ņemot vērā apstrādes būtību, saskaņā ar regulu palīdz Pārzinim ar atbilstīgiem tehniskiem un organizatoriskiem pasākumiem, kas nodrošina, ka Pārzinis var izpildīt savu pienākumu atbildēt uz pieprasījumiem par regulas I II nodaļā paredzēto datu subjekta tiesību īstenošanu, ciktāl tas attiecas uz Pārziņa vārdā veikto datu apstrādi.

3.7. Apstrādātājs palīdz Pārzinim nodrošināt regulas 32.pantā līdz 36.pantā noteiktos pienākumus ciktāl tie attiecas uz Xxxxxxx vārdā veikto datu apstrādi.

3.8. Apstrādātājs pēc apstrādes pabeigšanas saskaņā ar Noteikumiem dzēš (iznīcina) visus datus un dzēš esošās datu kopijas, ja vien

Eiropas Savienības vai Latvijas tiesību aktos nav paredzēta turpmāka datu glabāšana. Pirms Līguma izbeigšanas Pārzinim ir iespēja izgūt Pakalpojuma datus, tos lejupielādējot.

3.9. Apstrādātājs saskaņā ar regulu Pārzinim dara pieejamu visu informāciju, kas nepieciešama, lai apliecinātu, ka tiek pildīti šajā pantā paredzētie pienākumi, un ļauj Pārzinim vai citam abpusēji saskaņotam Pārziņa pilnvarotam revidentam abpusēji saskaņotā laika veikt Apstrādātāja datu apstrādes pārbaudes un auditus, ciktāl tās attiecas uz datu apstrādi, kas tiek veikta Pārziņa vārdā.

3.10. Apstrādātājs nekavējoties informē Xxxxxxx, ja, viņaprāt kāds Xxxxxxx norādījums pārkāpj regulu vai citus Eiropas Savienības vai dalībvalstu normatīvos aktus datu aizsardzības jomā.

4. Xxxxxxx pienākumi un tiesības

4.1. Pārzinis nosaka datu apstrādes nolūkus, līdzekļus un apmēru, kā arī nodrošina normatīvajos aktos noteikto pārziņa pienākumu i zpildi.

4.2. Apstrādātājs neatbild par Pakalpojumu izmantošanas nolūku un datu apstrādes, izmantojot Pakalpojumu, tiesisko pamatu.

5. Citi noteikumi

5.1. Apstrādātājs sadarbojas ar Pārzini un/vai atbildīgajām iestādēm datu incidentu izmeklēšanā un novēršanā, regulas un šo noteikumu prasību izpildē.

5.2. Šie noteikumi ir neatņemama Noteikumu sastāvdaļa.