DATU APSTRĀDES LĪGUMS

DATU APSTRĀDES LĪGUMS

Šis datu apstrādes līgums (turpmāk – Līgums) tiek noslēgts starp:

Datu pārzini – SIA “Baltic Logistic Solutions”, reģistrācijas numurs 40003772971, adrese Xxxxx xxxxx 0, Xxxxxx, Xxxxxxx xxx., Ķekavas nov.

un

Datu apstrādātāju – uzņēmums, kas Datu kontrolierim sniedz kravu pārvadājumu un/vai loģistikas pakalpojumus.

Datu pārzinis un Datu apstrādātājs turpmāk kopā saukti Puses un atsevišķi Puse. ŅEMOT VĒRĀ, KA,

(A) Datu apstrādātājs sniedz kravu pārvadājumu un/vai loģistikas pakalpojumus Datu pārzinim saskaņā ar pasūtījumiem, mutvārdu vai rakstiskiem līgumiem (turpmāk – Pakalpojuma līgums). Uz Pakalpojuma līguma pamata, lai nodrošinātu kravas piegādi saņēmējam, Datu pārzinis var Datu apstrādātājam nodot personas datus.

(B) Kopš 2018.gada 25.maija ir piemērojama ES Vispārīgā datu aizsardzības regula Nr. 2016/679 (turpmāk – VDAR) un tāpēc Pusēm ir nepieciešamas vienoties par noteikumiem, saskaņā ar kuriem Datu apstrādātājs apstrādās Datu pārziņa rīcībā esošos personas datus.

TĀDĒĻ Puses vienojas:

1. Darbības joma

1.1. Līgums ir pielikums Pakalpojuma līgumam un ir tā neatņemama sastāvdaļa. Līgums nosaka prasības un noteikumus, kas Datu apstrādātājam jāievēro, veicot Datu pārziņa personas datu apstrādi Datu pārziņa vārdā (kā tas noteikts zemāk), ar nolūku izpildīt Pakalpojuma līgumu. Līgums atceļ un aizvieto visus Pakalpojuma līguma noteikumus (ja tādi ir) par personas datu apstrādi.

1.2. Skaidrības labad, ja Pakalpojuma līgums satur noteikumus par privātumu vai datu aizsardzību, Līguma noteikumi prevalēs pār Pakalpojuma līgumā noteikto. Gadījumā, ja rodas pretruna starp Pakalpojuma līgumu un Līgumu, piemērojami Līguma noteikumi.

2. Definīcijas

2.1. Datu aizsardzības likums – Fizisko personu datu aizsardzības likums.

2.2. Personas dati – jebkāda informācija par identificētu vai identificējamu fizisko personu (datu subjektu). Identificējama fiziskā persona ir tāda, kas var tieši vai netieši tikt identificēta īpaši dēļ kāda identifikatora, piemēram, vārda, personas koda, dzīves vietas, tiešsaistes identifikatora vai viena vai vairākiem citiem faktoriem, kas raksturo fiziskas personas fizisko, fizioloģisko, ģenētisko, mentālo, ekonomisko, kulturālo vai sociālo identitāti.

2.3. Personas datu aizsardzības pārkāpums – pārkāpums, kas ir novedis pie netīšas vai pretlikumīgas persona datu, kas nodoti, uzkrāti vai citādi izmantoti, iznīcināšanas, pazaudēšanas, izmainīšanas, neatļautas izpaušanas vai piekļūšanas.

2.4. VDAR – ES Vispārīgā datu aizsardzības regula Nr. 2016/679.

2.5. Apakšapstrādātājs – jebkurš datu apstrādātājs, ko izmanto Datu apstrādātājs, lai veiktu Personas datu apstrādi.

2.6. Līgums – šis līgums par datu apstrādi.

2.7. Līgumā citas lietotās definīcijas ir ar tādu nozīmi, kā Pakalpojuma līguma, VDAR vai Datu apstrādes likumā.

3. Pamatnoteikumi

3.1. Datu apstrādātājs apņemas Personas datus izmantot saskaņā ar piemērojamo normatīvo aktu prasībām, Pakalpojumu līgumu, Līguma noteikumiem un Datu pārziņa dokumentētajām instrukcijām, kā arī apstrādāt sekojošus Personas datus – kravu saņēmēja vārdus, uzvārdus, piegādes adreses, kontaktinformāciju un citus datus, kas saistīti ar Pakalpojuma līguma darbību.

3.2. Ja Datu apstrādātājs nav saņēmis Datu pārziņa dokumentētas instrukcijas par Līguma ietvaros apstrādāto personas datu izmantošanu, par to nekavējoties informē Datu pārzini, un līdz brīdim, kad šādas instrukcijas tiek saņemtas, rīkojas saskaņā ar Datu pārziņa interesēm.

3.3. Datu pārzinis apliecina, ka Datu apstrādātāja veiktā Personas datu apstrāde notiek saskaņā ar Datu kontroliera instrukcijām un nav pretrunā ar datu aizsargājošajiem tiesību aktiem.

4. Datu apstrādātājs nedrīkst:

4.1. vākt vai publicēt / nodot personas datus trešajai personai (ja tas nav noteikts šajā Līgumā);

4.2. mainīt personas datu apstrādes raksturu;

4.3. glabāt personas datus vai savienot tos vienotā sistēmā; vai

4.4. apstrādāt personas datus jebkādā citā veidā, izņemot Pakalpojuma līgumā un Līgumā noteiktajā veidā un nolūkā.

5. Tehniskās un organizatoriskās drošības prasības

5.1. Ņemot vērā tehnikas līmeni, īstenošanas izmaksas un apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas risku iespējamības un smaguma pakāpes attiecībā uz fizisku personu tiesībām un brīvībām, Datu apstrādātājs īsteno atbilstošus tehniskus un organizatoriskus pasākumus, lai nodrošinātu tādu drošības līmeni, kas atbilst riskam, inter alia jeb ieskaitot:

5.1.1. personas datu pseidonimizāciju un šifrēšanu;

5.1.2. spēju nodrošināt pastāvīgu datu apstrādes sistēmu un pakalpojumu konfidencialitāti, savienojamību, pieejamību un noturīgumu;

5.1.3. spēju laicīgi atjaunot personas datu pieejamību un piekļuvi gadījumos, ja ir noticis fizisks vai tehnisks negadījums; un

5.1.4. procesu regulāru tehnisko un organizatorisko pasākumu efektivitātes testēšanu, izvērtēšanu un novērtēšanu, lai nodrošinātu apstrādes drošību.

5.2. Nosakot nepieciešamo drošības līmeni, jāņem vērā no datu apstrādes izrietošie riski, jo īpaši netīšas vai prettiesiskas datu iznīcināšanas, pazaudēšanas, izmainīšanas, neautorizētas izpaušanas sekas un neatļauti izpaustu personas datu nodošana, glabāšana vai cita veida izmantošana.

5.3. Gadījumā, kad fiziskas personas tiesības un brīvības var tikt būtiski aizskartas dēļ veida, kādā tiek izmantoti personas dati, īpaši izmantojot jaunas tehnoloģijas, un ņemot vērā personas datu apstrādes raksturu, apjomu, kontekstu un nolūku, Datu apstrādātāja sniedz atbalstu Datu pārzinim, lai novērtētu apstrādes darbības.

5.4. Datu apstrādātājs apņemas nodrošināt, ka tā darbinieki, kas veic personas datu apstrādi, ir iepazinušies ar Līgumā Datu apstrādātājam noteiktajiem datu apstrādes noteikumiem un tos ievēros.

6. Tiesības veikt auditu

6.1. Datu pārzinim ir tiesības jebkurā brīdī, iepriekš sniedzot pamatotu paziņojumu, pašam vai izmantojot neatkarīgu trešās personas auditoru, veikt pārbaudi par Datu apstrādātāja rīcības atbilstību Līguma prasībām. Šādā gadījumā Datu apstrādātājs apņemas nodrošināt, ka Datu pārzinis / auditors varēs piekļūt Datu apstrādātāja telpām, datoriem / programmatūrai, nepieciešamajiem dokumentiem utt., cik tas nepieciešams Līguma ietvaros izmantoto datu pārbaudei (šāds gadījums neietver informāciju par citiem Datu apstrādātāja klientiem).

7. Paziņojums par Personas datu pārkāpumu

7.1. Atkarībā no izmantošanas rakstura un pieejamās informācijas, Datu apstrādātājs sadarbojas ar Datu pārzini, lai nodrošinātu Personas datu izmantošanai piemērojamās drošības prasības.

7.2. Datu apstrādātājs, ja tam ir radušās aizdomas, ka ir noticis Personas datu pārkāpums vai pastāv apdraudējums, ka tāds var rasties, nekavējoties, saskaņā ar Datu pārziņa sniegtajām instrukcijām, par to paziņo Datu pārzinim.

7.3. Datu apstrādātājs nekavējoties, bet ne vēlāk kā 24 (divdesmit četru) stundu laikā no brīža, kad tas uzzinājis, sniedz Datu pārzinim rakstisku paziņojumu par:

7.3.1. jebkādu Datu pārziņa Personas datu, ko glabā Datu apstrādātājs vai Apakš-apstrādātājs, pazušanu;

7.3.2. jebkuru neatļautu piekļuvi Datu pārziņa Personas datiem, kurus uztur vai glabā Datu apstrādātājs vai Apakš-apstrādātājs;

7.3.3. jebkādu trešās personas paziņojumu par Datu apstrādātāja vai Apakš-apstrādātāja izdarītu datu aizsardzības tiesību aktu pārkāpumu, kas attiecas uz Personas datiem.

7.4. Paziņojumam par Personas datu pārkāpuma ir jāsatur vismaz:

7.4.1. apraksts par Personas datu pārkāpuma, kas ir noticis vai var notikt, raksturu, ja iespējams, attiecīgā datu subjektu veidu un aptuveno skaitu, kā arī attiecīgo Personas datu veidu un aptuveno skaitu;

7.4.2. datu aizsardzības specialista vai citas personas vārdu, kas var sniegt papildu informāciju (juridiskās personas nosaukums), un tās kontaktinformāciju;

7.4.3. aprakstu par iespējamām Personas datu pārkāpuma sekām;

7.4.4. aprakstu par darbībām, kas tiek veiktas vai ko Datu apstrādātājs piedāvā, lai novērstu Personas datu pārkāpumu, ieskaitot darbības, lai samazinātu iespējamās negatīvās sekas; un

7.4.5. jebkāda cita informācija, kas Datu pārzinim ir vajadzīga, lai piemērotu nepieciešamos drošības pasākumus un ievērotu pienākumu: par Personas datu pārkāpumu paziņot uzraugošajai iestādei un, ja nepieciešams, tam datu subjektam, kura tiesības ir aizskartas.

7.5. Pusēm ir jādokumentē visi Personas datu drošības pārkāpumi un ar pārkāpumu saistītie fakti, sekas un neitralizējošās darbības, kas saistībā ar to ir veiktas.

8. Informācijas nodrošināšana datu subjektiem

8.1. Ja datu subjekts, uzraugošās iestādes vai trešās personas, saskaņā ar piemērojamajiem normatīvajiem aktiem, pieprasa Datu apstrādātājam sniegt informāciju par izmantotajiem Personas datiem, Datu apstrādātājs šādu pieprasījumu nekavējoties nosūta Datu pārzinim. Datu apstrādātājs apņemas Datu pārzinim sniegt nepieciešamo atbalstu atbilžu sniegšanā datu subjektiem, uzraugošajām iestādēm un trešajām personām un izpildot Datu pārziņa pienākumiem saistībā ar Datu subjekta tiesībām, tostarp, bet ne tikai tiesībām pieprasīt personas datu labošanu un dzēšanu, tiesībām uz datu pārnesamību, tiesības uz ierobežotu Personas datu izmantošanu.

9. Apakš-apstrādātājs

9.1. Saņemot Datu pārziņa rakstisku atļauju, Datu apstrādātājs var izmantot Apakš-apstrādātājus. Ja Datu apstrādātājs veic apstrādi, izmantojot Apakš-apstrādātāju, viņam ir pienākums ar šo Apakš- apstrādātāju noslēgt rakstisku līgumu, pēc kura noteikumiem Apakšuzņēmumam būtu jāievēro visas šajā Līgumā noteiktās prasības. Datu apstrādātājs uzņemas atbildību un nodrošina, ka Apakš-apstrādātājs ievēros šī Līguma noteikumus. Ja Datu apstrādātājs nomaina Apakš- apstrādātāju uz citu, tad viņam par to, nosūtot e-pastu, ir jāinformē Datu kontrolieris. Datu apstrādātājam nekavējoties un bez samaksas jānodrošina Datu pārzinis ar visu starp Datu apstrādātāju un Apakš-apstrādātāju noslēgto līgumu kopijām vai izvilkumiem, ja tas nepārkāpj konfidencialitātes pienākumu. Datu pārzinim ir tiesības iegūt visu būtisko informāciju par Apakš- apstrādātāja identitāti, uzņēmējdarbības vietu.

10. Personas datu nodošana ārpus Eiropas savienības un Eiropas Ekonomiskās zonas.

10.1. Ja vien Puses nevienojas par pretējo, Datu apstrādātājam ir pienākums nodrošināt, ka, Datu pārziņa Personas datu, neskatoties, vai tie tiek glabāti Datu pārziņa vai Datu apstrādātāja sistēmā, apstrāde, netiks sniegta, tai nepiekļūs un to neveiks ārpus Eiropas Savienības vai Eiropas Ekonomiskās zonas, ja no Datu pārziņa iepriekš nav saņemta īpaša vai vispārīga Datu pārziņa atļauja.

11. Konfidencialitāte

11.1. Datu apstrādātājs apliecina, ka tas nodrošinās izmantoto Personas datu konfidencialitāti. Pieeja Personas datiem ir ierobežota ar tiem Datu apstrādātāja darbiniekiem, kuriem nepieciešams piekļūt Personas datiem, lai izpildītu Pakalpojuma līgumā un Līgumā Datu apstrādātājam noteiktos pienākumus, un kuri ir apņēmušies ievērot konfidencialitāti, un tikai tādā apmērā, kā to prasa Datu apstrādātāja saistības saskaņā ar Pakalpojuma līgumu un Līgumu. Pakalpojuma līguma noteikumi, kas attiecas uz konfidencialitāti, ieskaitot līgumsodu, attiecas arī uz šo Līgumu un Personas datu apstrādi.

11.2. Turpmākais attiecas uz informāciju par Datu pārziņa klientiem, Datu pārziņa un tā klientu attiecībām un saistītajiem apstākļiem. Kad Datu apstrādātājs Pakalpojuma līguma ietvaros saņem ar klientiem saistītu informāciju, Datu apstrādātājam saistībā ar šo informāciju ievēro konfidencialitātes pienākumus, kas paredzēti saistošajos likumos vai citā regulējumā. Datu apstrādātājs apzinās un apliecina, ka informācija, kas attiecas uz Datu pārziņa klientiem, ir strikti konfidenciāla.

11.3. Konfidencialitātes pienākums, kas noteikts Līguma 11.1. un 11.2. punktā ir spēkā uz nenoteiktu laiku.

12. Personas datu atgriešana un iznīcināšana

12.1. Kad Personas datu izmantošana tiek pārtraukta (pēc Pakalpojuma līguma izbeigšanas vai agrāk, ja Datu pārzinis to pieprasījis), Datu apstrādātājs saskaņā ar Datu pārziņa instrukcijām atgriež visus Personas datus Datu pārzinim un / vai izdzēš / iznīcina tos, un to apstiprina rakstiski (ja vien normatīvie akti nenosaka citādi). Ja Datu pārzinis pieprasa, lai Personas dati tiek glabāti noteiktu periodu, tas tiek darīts saskaņās ar Datu pārziņa dokumentētajām instrukcijām.

13. Atbildība

13.1. Datu apstrādātājs apliecina, ka Datu pārzinim kompensēs visus zaudējumus par jebkuru pieprasījumu un (vai) sodiem, un jebkuriem izdevumiem, kas radušies Datu apstrādātāja Līguma pārkāpuma rezultātā. Jebkurš atbildības ierobežojums, kas Pakalpojuma līgumā ir piešķirts, nav piemērojams šim Līgumam.

13.2. Ja Datu apstrādātājam iesniegta pretenzija vai uzlikts sods par Līguma vai Datu aizsardzības likuma pārkāpšanu, viņam par to nekavējoties jāinformē Datu pārzinis.

13.3. Ja Datu apstrādātājs maina datu apstrādes mērķus, tādejādi pārkāpjot Datu aizsardzības likumu, Datu apstrādātājs datu apstrādē tiek uzskatīts par datu pārzini, tāpēc viņš uzņemas visu datu pārziņa atbildību bez jebkādiem ierobežojumiem, kas noteikti Līgumā.

14. Piemērojamie likumi un strīdu izšķiršana

14.1. Šis Līgums stājas spēkā, kad to paraksta Pušu pilnvarotās personas un paliek spēkā, kamēr Datu apstrādātājs Datu pārziņa vārdā apstrādā Personas datus.

14.2. Datu pārzinim ir tiesības nekavējoties, iesniedzot rakstisku paziņojumu, izbeigt Līgumu, ja viena Puse nepilda Līgumā noteiktos pienākumus.

14.3. Līgums var tikt izbeigts Pusēm par to rakstiski vienojoties.

15. Piemērojamie likumi un strīdu izšķiršana

15.1. Līgumam ir piemērojami Latvijas Republikā spēkā esošie normatīvie akti.

15.2. Jebkuras prasības vai nesaskaņas, kas izriet no Līguma, tā pārkāpšana, izbeigšana un noteikumu spēkā esamība, tiek izšķirtas tiesā pēc Datu pārziņa reģistrētās adreses.