Respondus datu apstrādes līgums

Respondus datu apstrādes līgums

Stājas spēkā ar 2020.gada 27. augustu

Šis datu apstrādes līgums ir iekļauts abonēšanas licences līgumā (Licences līgums), kas noslēgts starp Respondus, Inc. (Respondus) un Licenciātu (kā definēts tālāk), lai Licenciāts varētu piekļūt un izmantot Respondus Pakalpojumu (-s) (kā definēts tālāk) un saņemt Līgumā noteikto tehnisko atbalstu. Šis Datu apstrādes līgums apliecina abu Pušu vienošanos par Licenciāta studentu (Studenti) Personas datu (Licences līgumā saukti arī - Personiska informācija) apstrādi un drošību saskaņā ar Licences līgumu (Licenciāta dati).

Terminu skaidrojumi

Ja vien Līgumā nav noteikts citādi, šajā Līgumā izmantotie termini un vārdu savienojumi tiek lietoti šādā nozīmē:

Līgums - Datu apstrādes līgumus un tā Pielikumi.

Piemērojamie tiesību akti datu aizsardzības jomā -

(i) VDAR un jebkuri piemērojamie tiesību akti datu aizsardzības jomā, kuri periodiski var tikt grozīti vai aizstāti.

(ii) Jebkuri piemērojami tiesību akti, kas attiecas uz personas datu apstrādi un privātās dzīves aizsardzību.

Pārzinis, Apstrādātājs, Datu subjekts, Personas dati un Apstrāde - lietoti tādā pašā nozīmē kā Piemērojamos tiesību aktos datu aizsardzības jomā.

Dokumentācija - Licences līgums, Lietošanas noteikumi, Gala lietotāju Licences līgums un Lietotāju rokasgrāmata katram Pakalpojumam, kā to nosaka Respondus katram Licenciātam; pieejami Respondus tīmekļa vietnē, xxxxx://xxxxxxxxx.xxx/

VDAR - Eiropas Parlamenta un Padomes 2016.gada 27.aprīļa Regula 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula).

Licenciāts - Iestāde, kas pērk Respondus Pakalpojuma licenci.

Licenciāta dati - dati, ieskaitot Personas datus, kuru Pārzinis ir Licenciāts.

Privātuma vairogs - ES un ASV Privātuma vairoga ASV Tirdzniecības ministrijas pašsertifikācijas programma, kas apstiprināta ar Eiropas Komisijas 2016.gada 12.jūlija Lēmumu C(2016)4176.

Drošības incidents - Respondus drošības noteikumu pārkāpums, kā rezultātā notiek nejauša vai nelikumīga Licenciāta datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve datiem.

Pakalpojums vai Respondus Pakalpojums - pakalpojumi, tiek sniegti, abonējot vienu vai vairākus Respondus produktus. LockDown Browser un Respondus Monitor. Katra Pakalpojuma papildu apraksts ir pieejams Dokumentācijā.

Līguma standartklauzulas - 1. pielikums, kas ir pievienots un veido šā Līguma daļu, atbilstīgi Eiropas Komisijas 2020.gada 5.februāra Lēmumam par standartklauzulām attiecībā uz personas datu pārsūtīšanu trešās valsts apstrādātājiem saskaņā ar Direktīvu 95/46/EK.

Apakšapstrādātājs - jebkurš trešās puses apstrādātājs, ko nodarbina Respondus, lai palīdzētu tam veikt Licenciāta datu apstrādi.

Uzraudzības iestāde - neatkarīga ES dalībvalsts valsts iestāde, atbilstīgi VDAR.

Datu apstrāde

Pušu attiecības

Puses saprot un vienojas, ka saskaņā ar Licences līgumu, Licenciāts ir Xxxxxxxx un Respondus ir Apstrādātājs, kam ir uzticēts Licenciāta vārdā apstrādāt Licences datus. Puses apņemas ievērot pienākumus, kas uz tām attiecas saskaņā ar Piemērojamiem tiesību aktiem datu aizsardzības jomā.

Nolūks

Licenciāts izmanto Pakalpojumus, lai uzraudzītu konkrētas Studentu darbības, un to darot, apkopo Licenciāta Studentu datus. Puses apzinās, ka Licenciāta dati ietver Personas datus saskaņā ar Piemērojamiem tiesību aktiem datu aizsardzības jomā. Pakalpojuma ietvaros Respondus uz saviem serveriem glabā un apstrādā Licenciāta datus. Licenciāts saglabā un kontrolē piekļuvi Licenciāta datiem savā kontā, un Respondus piekļuve datiem ir tikai, uzturot serverus un nodrošinot Pakalpojumu programmatūru. Apstrādes raksturs un apstrādāto datu veids ir aprakstīti Dokumentācijā, un apstrādes laika posms ir Dokumentācijā noteiktais termiņš. Respondus piekrīt nepiekļūt Licenciāta datiem, izņemot, ja (i) piekļuve nepieciešama Pakalpojumu nodrošināšanas nolūkā, kā noteikts Dokumentācijā, ja (ii) Licenciāts to ir skaidri atļāvis (kopā - Atļautais nolūks), ja vien uz Licenciātu attiecināmos tiesību aktos nav paredzēts citādi.

Klienta norādes

Puses vienojas, ka šis Datu apstrādes līgums un Dokumentācija viedo Licenciāta dokumentētos norādījumus par to, kā Respondus apstrādā Licenciāta datus (Dokumentētie norādījumi). Respondus apstrādā Licenciāta datus tikai Licenciāta vārdā un saskaņā ar Dokumentētajiem norādījumiem šādos nolūkos: (i) Apstrāde saskaņā ar Dokumentāciju; (ii) Pakalpojumu Lietotāju uzsākta apstrāde, un (iii) apstrāde, lai ievērotu dokumentētos ,

Licenciāta sniegtos norādījumus (piemēram, e-pasta ziņojumā saņemtos), ja šādi norādījumi saskan ar Līguma nosacījumiem.

Licenciāta datu konfidencialitāte

Respondus apņemas ievērot konfidencialitāti attiecībā uz Licenciāta datiem. Respondus apņemas nepiekļūt, neizmantot un neizpaust trešajām pusēm Klienta datus, ja vien tas nav nepieciešams Pakalpojumu nodrošināšanas nolūkā, ievērojot tiesību aktos noteikto vai saskaņā ar spēkā esošu un saistošu valsts iestādes pavēli (piemēram, tiesas pavēsti vai tiesas rīkojumu). Ja Respondus ir spiests valsts iestādei atklāt Licenciāta datus, Respondus, ja juridiski atļauts, par to iepriekš paziņo Licenciātam, lai Licenciāts varētu iegūt aizsargājoši rīkojumu vai citu piemērotu līdzekli. Ja ir piemērojamas Standartklauzulas, nekas no šajā sadaļā minētā nevar tās pārveidot vai mainīt.

Respondus darbinieku konfidencialitāte

Respondus apņemas nodrošināt, ka visi tā darbinieki, kas ir iesaistīti Licenciāta datu apstrādē, (i) apstrādā datus saskaņā ar Licenciāta Dokumentētajiem norādījumiem , vai kā noteikts šajā Līgumā, un (ii) viņiem ir pienākums nodrošināt šo datu drošību un ievērot konfidencialitāti. Respondus saviem darbiniekiem uzliek attiecīgus pienākumus, tai skaitā, pienākumu neizpaust konfidenciālu informāciju, nodrošināt datu aizsardzību un datu drošību. Respondus apņemas nodrošināt to savu darbinieku, kam ir piekļuves tiesības Licenciāta datiem, periodiskas apmācības datu privātuma un drošības jomā, saskaņā ar Datu aizsardzības prasībām un nozares standartiem.

Drošība

Respondus apņemas ievest un uzturēt attiecīgus tehniskus un organizatoriskus drošības pasākumus, lai aizsargātu Licenciāta datus pret nejaušu vai nelikumīgu iznīcināšanu, nozaudēšanu, mainīšanu, neatļautu izpaušanu vai piekļuvi uzglabātajiem vai citādi apstrādātajiem datiem. Ņemot vērā tehnisko un organizatorisko pasākumu pašreizējo līmeni un to īstenošanas izmaksas, raksturu, apjomu, saturu un apstrādes nolūku, izvērtējot drošības riska apmēru, kas var rasties fizisko personu tiesībām un brīvībām saistībā ar personas datu apstrādi. Pasākumi, pēc nepieciešamības, ietver:

a) Personas datu šifrēšanu vai pseidonimizāciju:

b) apstrādes sistēmu un pakalpojumu nepārtrauktu konfidencialitātes, integritātes, pieejamības un noturības nodrošināšanu;

c) spēju laicīgi atjaunot pieejamību un piekļuvi personas datiem fiziska vai tehniska incidenta gadījumā, un

d) regulāru testēšanu, izvērtējot tehnisko un organizatorisko pasākumu efektivitāti, lai nodrošinātu apstrādes drošību.

Datu šifrēšana

Pārsūtot Licenciāta datus (tai skaitā Personas datus) publiskos datu tīklos starp Licenciātu un Respondus

vai starp Respondus datu centriem, dati tiek šifrēti.

Respondus šifrē arī Licenciāta datus, kas tiek glabāti citos tā serveros.

Apakšapstrāde

Licenciāts saprot, ka Respondus serverus, kas nodrošina Pakalpojumus, kontrolē un darbina trešās puses pakalpojumu sniedzējs, un šis pakalpojumu sniedzējs saskaņā ar Piemērojamiem tiesību aktiem

ir Apakšapstrādātājs. Licenciāts ar šo piekrīt, ka Respondus kā Apakšapstrādātāju nozīmē Amazon Web Services (“AWS”). Respondus var mainīt vai nozīmēt papildu Apakšapstrādātājus, publicējot paziņojumu (tai skaitā identitāti un ziņas par apstrādi) vietnē: xxx.xxxxxxxxx.xxx/xxxxxxx/xxxxxxxxxxxxx/. Respondus visiem Apakšapstrādātājiem uzliek datu aizsardzības nosacījumus, kas atbilst šā Līguma nosacījumiem un Piemērojamiem tiesību aktiem datu aizsardzības jomā. Ja Licenciāts nesniedz piekrišanu Apakšapstrādātāja iecelšanai, tas var pārtraukt vai izbeigt šo Licences līgumu un Datu apstrādes līgumu, norēķinoties par visiem saņemtajiem pakalpojumiem.

Datu nosūtīšana

Licenciāts apzinās, ka Respondus serveri atrodas ārpus Eiropas Ekonomikas zonas (EEZ) un Pakalpojuma ietvaros Licenciāta dati tiks nosūtīti ārpus EEZ.

Licenciāts ir atbildīgs par likumiskā pamata nodibināšanu katrai šādai nosūtīšanai. Lai veicinātu nosūtīšanu, puses veiks pasākumus, kas nepieciešami, lai nodrošinātu nosūtīšanas atbilstību Piemērojamiem tiesību aktiem datu aizsardzības jomā. Šādi pasākumi var būt (bez ierobežojuma) Licenciāta datu pārsūtīšana saņēmējam Amerikas Savienotajās Valstīs, kas ir apliecinājis atbilstību ES - ASV Privātuma vairoga nosacījumiem vai saņēmējam, kas izpilda Eiropas Komisijas izstrādātus vai apstiprinātus Standartklauzulu nosacījumus.

Sadarbība un Datu subjektu tiesības

Palīdzība

Līguma darbības laikā Respondus sniedz pienācīgu palīdzību Licenciātam, atbildot uz (a) datu pieprasījumu, ar kuru tas īsteno savas tiesības saskaņā ar Piemērojamiem tiesību aktiem datu aizsardzības jomā (tostarp tiesības uz piekļuvi, labošanu, iebilšanu, dzēšanu un datu pārnesamību, ja tādas ir) un (b) jebkuru citu saziņu, prasījumu vai sūdzību, kas saņemta no Datu subjekta, regulatora vai trešās personas saistībā ar Licenciāta datu apstrādi, saskaņā ar Piemērojamiem tiesību aktiem datu aizsardzības jomā.

Respondus nekavējoties paziņo Licenciātam, ja tas uzskata, ka Licenciāta norādījumi pārkāpj Piemērojamos tiesību aktus datu aizsardzības jomā.

Tiešie pieteikumi

Ja Datu subjekts sazinās ar Respondus par tiesībām piekļūt, labot vai dzēst Personas datus (vai jebkurām citām tiesībām saskaņā ar Piemērojamiem tiesību aktiem datu aizsardzības jomā), Respondus par to nekavējoties ziņo Licenciātam, un jebkurā gadījumā, ne vēlāk kā divu (2) darba dienu laikā pēc jebkāda Datu subjekta pieprasījuma saņemšanas, ja saskaņā ar šo pieprasījumu, sazinās ar Licenciātu, nosūtot rakstveida paziņojumu, kam pievieno Datu subjekta pieprasījuma kopiju; Licenciāts pilnvaro Respondus paziņot Datu subjektam, ka Datu subjekta pieprasījums ir pārsūtīts Licenciātam. Ja Datu subjekta pieprasījumā netiek identificēts sūtītāja Xxxx Xxxxxxxx, Respondus nosūta Datu subjektam atbildi ar lūgumu vērsties pie Datu Pārziņa.

Ciktāl tas atļauts tiesību aktos, Respondus nekavējoties informē Licenciātu un jebkurā gadījumā, ne vēlāk kā divu (2) darba dienu laikā pēc paziņojuma saņemšanas no (a) Uzraudzības iestādes

par Personas datu apstrādi, kas veikta šā Līguma ietvaros vai (b) jebkuras trešās puses par Personas datu izpaušanu, ja atbilstība šādam pieprasījumam ir tiesību aktos paredzēta vai pieprasīta.

Datu aizsardzības ietekmes novērtējums

Saņemot rakstisku pieprasījumu, un tikai tad, ja Licenciātam citādi nav piekļuves attiecīgajai informācijai, kura ir pieejama Respondus, tas sniegs Licenciātam saprātīgu palīdzību (Licenciātam sedzot izmaksas), kas nepieciešama, lai Licenciāts pildītu pienākumus saskaņā ar Piemērojamiem tiesību aktiem datu aizsardzības jomā, lai veiktu Datu aizsardzības ietekmes novērtējumu, kas saistīts ar Pakalpojumu izmantošanu. Šāda palīdzība var būt:

Plānoto apstrādes darbību sistemātisks apraksts un apstrādes nolūks;

Apstrādes darbību vajadzības un proporcionalitātes atbilstības novērtējums saistībā ar Pakalpojumiem; un

Pasākumi, lai novērstu riskus, tai skaitā, aizsardzības pasākumi, drošības pasākumi un mehānismi, lai nodrošinātu personas datu aizsardzību.

Ciktāl tas nepieciešams, Respondus apņemas sniegt Licenciātam palīdzību, apspriežoties ar attiecīgo Uzraudzības iestādi.

Drošības incidenti

Ja Respondus rīcībā nonāk informācija par Drošības incidentu, kā rezultātā Licenciāta dati tiek nejauši vai nelikumīgi iznīcināti, zaudēti, izmainīti, neatļauti izpausti vai neatļautas piekļuves gadījumā, Respondus apņemas veikt sekojošo: (a) nekavējoties paziņot Licenciātam par Drošības incidentu; (b) veikt atbilstošas darbības, lai identificētu Drošības incidenta cēloni, mazinātu kaitējumu un garantētu Licenciāta datu drošību; un (c) sniegt Licenciātam informāciju, kas varētu būt nepieciešama, lai palīdzētu Licenciātam veikt tā pienākumus, kas saistīti ar paziņošanu un ziņošanu.

Saskaņā ar šo klauzulu Respondus pienākums veikt paziņojumus ietver tālākas informācijas sniegšanu Licenciātam pakāpeniski, tiklīdz papildu informācija kļūst zināma.

Respondus neizvērtē Licenciāta datu saturu, lai identificētu īpašu ziņošanu vai citas, uz Licenciātu attiecināmas juridiskas saistības. Jebkuri un visi no tiesību aktiem izrietošie/Datu subjektu ziņošanas pienākumi, kas saistīti ar Drošības incidentu, ir Licenciāta pienākums. Saskaņā ar šo Līgumu Respondus paziņojums vai atbilde par Drošības incidentu netiks interpretēta kā apliecinājums, ka Respondus uzņemas atbildību vai vainu par Drošības incidentu.

Ieraksti par apstrādi

Respondus uztur rakstveida uzskaiti, pat digitālā formā, par visu apstrādi, kas ir veikta Licenciāta vārdā, saskaņā ar VDAR 2. panta noteikumiem. Pēc pieprasījuma, un uz Licenciāta rēķina, Respondus izsniedz pilnīgu vai daļēju izrakstu.

Licenciāts var to nododot Uzraudzības iestādei.

Revīzija

Respondus uztur pilnīgus un precīzus ierakstus un informāciju, lai pierādītu tā atbilstību šim Līgumam un nodrošina šo ierakstu pieejamību Revīzijas laikā vai pēc pieprasījuma jebkurai atbilstošai regulējošai iestādei. Respondus apņemas sniegt atbildes uz rakstveida jautājumiem par Licenciāta datu apstrādi un aizsardzību, ko iesniedz Licenciāts vai Licenciāta iecelts revidents. Licenciāts savas tiesības uz revīziju neizmanto biežāk kā reizi gadā, un revīzija tiek veikta par Licenciāta līdzekļiem.

Glabāšana/dzēšana

Visā Līguma darbības laikā Licenciāts var piekļūt Licenciāta datiem.

Respondus glabā Licenciāta datus Dokumentācijā noteikto laika periodu. Abonēšanas pārtraukšanas gadījumā, Respondus atspējo Licenciāta piekļuvi Licenciāta datiem. Glabāšanas periodā var atjaunināt piekļuvi datiem, atjaunojot abonēšanu. Pēc glabāšanas perioda beigām Licenciāta dati tiek dzēsi, izņemot gadījumu, ja piemērojamos tiesību aktos vai šajā Līgumā ir noteikts, ka Respondus šie dati ir jāglabā.

Datu dzēšana

Pēc apstrādes pakalpojumu beigām un/vai pēc visu Apstrādes darbību izbeigšanas jebkāda iemesla dēļ, un, ne vēlāk kā pēc šīs iecelšanas beigu termiņa, un atkarībā no Licenciāta pieprasījuma, Respondus iznīcina visus Personas datus, kas ir apstrādāti Licenciāta vārdā, izņemot gadījumu, ja piemērojamos tiesību aktos ir noteiks cits Personas datu glabāšanas laiks. Pēc pieprasījuma Respondus sniedz rakstisku paziņojumu, kas apstiprina Licenciāta datu dzēšanu, kā arī visu Licenciāta datu kopiju dzēšanu ne vēlāk kā 7 (septiņu) dienu laikā pēc Licenciāta datu dzēšanas.

ASV Privātuma vairogs

Respondus apņemas nodrošināt tāda līmeņa Licenciāta datu aizsardzības līmeni, kā tas noteiks Privātuma vairogā un nekavējoties brīdināt Licenciātu gadījumā, ja nespēj nodrošināt šāda līmeņa aizsardzību. Šādā gadījumā vai, ja Licenciātam ir pamatots iemesls uzskatīt, ka Respondus nenodrošina Licenciāta datu aizsardzību tādā līmenī, kā tas ir noteikts Privātuma vairogā, Licenciāts var:

(a) uzdod Respondus veikt saprātīgus un atbilstīgus pasākumus, lai pārtrauktu un labotu jebkādu neatļautu apstrādi; tādā gadījumā Respondus nekavējoties labticīgi sadarbojas ar Licenciātu, lai identificētu, vienotos un īstenotu šādus pasākumus: vai (b) bez soda naudas pārtrauc šo Līgumu, iepriekš par to paziņojot Respondus.

Vispārējie noteikumi

Konfidencialitāte

Puses apņemas ievērot konfidencialitāti attiecībā uz šo Līgumu un visu informāciju par otru Pusi vai tās uzņēmējdarbību (Konfidenciāla informācija), un bez otras Puses rakstiskas atļaujas neizpaust Konfidenciālu informāciju,

ja vien: (a) izpaušana nav paredzēta tiesību aktos; (b) informācija jau ir publiski pieejama.

Paziņojumi

Licenciāts var sūtīt paziņojumus un sazināties ar Respondus, izmantojot sekojošu e-pasta adresi: xxxxxxx@xxxxxxxxx.xxx

Respondus paziņojumi un saziņa ar Licenciātu tiek nosūtīti e-pasta ziņojumā Licenciāta administratoram vai saskaņā ar Licenciāta norādījumiem.

1. PIELIKUMS

STANDARTKLAUZULAS (APSTRĀDĀTĀJI)

Direktīvas 95/46/EK 26. panta 2. punkta mērķiem par personas datu nosūtīšanu trešās valstīs reģistrētiem apstrādātājiem, kuri nenodrošina pienācīgu datu aizsardzības līmeni

Starp juridisku personu jeb Licenciātu (Datu nosūtītājs)

un

Respondus, Inc.

PO Box 3247, Redmond, WA 98073, ASV Telef.: x0 000 000 0000

E-pasts: xxxxxxx@xxxxxxxxx.xxx (Datu saņēmējs)

katrs atsevišķi saukts "puse", abi kopā "puses",

ir vienojušās par šādām līguma klauzulām (Klauzulas), lai sniegtu pienācīgas garantijas attiecībā uz personu privātuma un pamattiesību un pamatbrīvību aizsardzību, datu nosūtītājam pārsūtot 1. papildinājumā norādītos personas datus datu saņēmējam.

1.klauzula

Definīcijas

Šajās klauzulās:

(a) termini “personas dati”, “īpašas datu kategorijas”, “apstrādāt/apstrāde”, “atbildīgais par datu apstrādi”, “apstrādātājs”, “datu subjekts” un “uzraudzības iestāde” tiek lietoti tādā pašā nozīmē kā Eiropas Parlamenta un Padomes 1995. gada 24. oktobra Direktīvā 95/46/EK par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti1;

(b) “datu nosūtītājs” ir atbildīgs par datu apstrādi, kas pārsūta personas datus;

(c) “datu saņēmējs” ir apstrādātājs, kas piekrīt personas datus saņemt no datu nosūtītāja, lai tos pēc pārsūtīšanas apstrādātu nosūtītāja uzdevumā saskaņā ar tā norādījumiem un šo klauzulu noteikumiem, un uz ko neattiecas trešās valsts sistēma, ar kuru nodrošina pietiekamu aizsardzības līmeni Direktīvas 95/46/EK 25. panta 1. punkta nozīmē;

(d) “apakšapstrādātājs” ir jebkurš datu apstrādātājs, ko nodarbina datu saņēmējs vai jebkurš cits datu saņēmēja apakšapstrādātājs un, kas piekrīt saņemt no datu saņēmēja vai no datu saņēmēja jebkura apstrādātāja personas datus, kas paredzēti vienīgi apstrādes darbībām, ko pēc pārsūtīšanas veic datu nosūtītāja uzdevumā saskaņā ar tā norādījumiem, šo Klauzulu nosacījumiem un nosacījumiem, kas ietverti rakstiskajā apakšuzņēmēja līgumā par apstrādi;

(e) “piemērojamie tiesību akti datu aizsardzības jomā” ir tiesību akti, ar kuriem aizsargā personu pamattiesības un pamatbrīvības un jo īpaši viņu tiesības uz privāto dzīvi attiecībā uz personas datu apstrādi, un kas attiecas uz atbildīgo pārzini, par datu apstrādi dalībvalstī, kurā datu nosūtītājs ir reģistrēts;

(f) “tehniski un organizatoriski drošības pasākumi” ir pasākumi, kas ir paredzēti, lai personas datus aizsargātu pret nejaušu vai nelikumīgu iznīcināšanu vai nejaušu nozaudēšanu, izmainīšanu, neatļautu izpaušanu vai piekļuvi tiem, jo īpaši, ja apstrādē ir iekļauta datu nosūtīšana tīklā, kā arī pret citām nelikumīgām apstrādes formām.

2. klauzula

Sīkas ziņas par pārsūtīšanu

Sīkas ziņas par pārsūtīšanu un, konkrēti, par personas datu īpašajām kategorijām attiecīgā gadījumā precizētas 1. papildinājumā, kas ir klauzulu neatņemama sastāvdaļa.

3. klauzula

Ieinteresētās trešās personas klauzula

1 Datu subjekts kā ieinteresētā trešā persona var piemērot pret datu nosūtītāju šo klauzulu, 4. klauzulas b) - i) punktu, 5. klauzulas a) - e) un g) - j) punktu, 6. klauzulas 1. un 2. punktu, 7. xxxxxxxx, 8. klauzulas 2. punktu un 9. - 12. xxxxxxxx.

1Puses šajā klauzulā var atveidot Direktīvā 95/46/EK ietvertās definīcijas un nozīmes, ja tās uzskata, ka līgumā ir lietderīgāk tās lietot savrupināti.

2 Datu subjekts var piemērot pret datu saņēmēju šo klauzulu, 5. klauzulas a)–e) un g) punktu, 6. klauzulu, 7. klauzulu, 8. klauzulas 2. punktu un 9.–12. klauzulu gadījumos, kad datu nosūtītājs ir faktiski zudis vai juridiski beidzis pastāvēt, ja vien kāds tiesību pārņēmējs ar līgumu vai likumiskā kārtā nav uzņēmies visas datu nosūtītāja juridiskās saistības, kā rezultātā tas uzņemas datu nosūtītāja tiesības un pienākumus, un šādā gadījumā datu subjekts tos var piemērot pret minēto personu.

3 Datu subjekts var piemērot pret datu apakšapstrādātāju šo klauzulu, 5. klauzulas a)–e) un g) punktu,

6. klauzulu, 7. klauzulu, 8. klauzulas 2. punktu un 9.–12. klauzulu gadījumos, kad gan datu nosūtītājs, gan datu saņēmējs ir faktiski zudis vai juridiski beidzis pastāvēt, vai arī kļuvis maksātnespējīgs, ja vien kāds tiesību pārņēmējs ar līgumu vai likumiskā kārtā nav uzņēmies visas datu nosūtītāja juridiskās saistības un pienākumus, kā rezultātā datu subjekts tos var piemērot pret minēto tiesību pārņēmēju. Minētā apakšapstrādātāja civiltiesiskā atbildība attiecas vienīgi uz tā paša apstrādes darbībām saskaņā ar šo klauzulu noteikumiem. Apakšapstrādātāja atbildība attiecas vienīgi uz tā paša apstrādes darbībām saskaņā ar šo klauzulu noteikumiem.

4 Puses neiebilst, ka datu subjektu pārstāv apvienība vai cita struktūra, ja datu subjekts to nepārprotami vēlas un ja to pieļauj valsts tiesību akti.

4. klauzula

Datu nosūtītāja pienākumi

Datu nosūtītājs piekrīt un garantē, ka:

(a) personas datu apstrāde, tostarp pati pārsūtīšana, tiek un arī turpmāk tiks veikta saskaņā ar datu aizsardzības jomā piemērojamiem tiesību aktiem (un attiecīgos gadījumos par to tiek ziņots attiecīgajām iestādēm dalībvalstī, kurā reģistrēts datu nosūtītājs) un netiek pārkāpti minētās valsts attiecīgie noteikumi;

(b) ka tas ir devis norādījumus un visā personas datu apstrādes pakalpojumu snigšanas laikā turpinās dot norādījumus datu saņēmējam apstrādāt personas datus vienīgi datu nosūtītāja uzdevumā un saskaņā ar datu aizsardzības jomā piemērojamiem tiesību aktiem un šīm klauzulām;

(c) datu saņēmējs sniegs pietiekamas garantijas attiecībā uz tehniskajiem un organizatoriskajiem drošības pasākumiem, kas minēti šā līguma 2. papildinājumā.

(d) pēc tam, kad tiks novērtētas datu aizsardzības jomā piemērojamo tiesību aktu prasības, drošības pasākumi būs piemēroti, lai aizsargātu personas datus pret nejaušu vai nelikumīgu iznīcināšanu vai nejaušu nozaudēšanu pārveidošanu, neatļautu izpaušanu vai piekļuvi tiem, īpaši, ja apstrāde ietver datu pārraidi elektronisko sakaru tīklā, un pret visām citām nelikumīgām apstrādes formām, un, ka minētie pasākumi nodrošina raksturīgajiem apstrādes un aizsargājamo datu riskiem atbilstošu drošības pakāpi, ņemot vērā šo pasākumu pašreizējo līmeni un to īstenošanas izmaksas;

(e) tas nodrošinās drošības pasākumu ievērošanu;

(f) tad, ja pārsūtīšana ietver īpašas datu kategorijas, datu subjekts tiek vai tiks informēts iepriekš, ka tā dati varētu tikt pārraidīti uz trešo valsti, kas nesniedz pietiekamu aizsardzības līmeni Direktīvas 95/46/EK nozīmē, vai iespējami drīz pēc tam;

(g) saskaņā ar 5. klauzulas b) punktu un 8. klauzulas 3. punktu datu aizsardzības uzraudzības iestādei tiek pārsūtīti visi paziņojumi, kas saņemti no datu saņēmēja vai kāda apakšapstrādātāja, ja datu nosūtītājs nolemj turpināt pārsūtīšanu vai atcelt aizliegumu;

(h) izņemot 2. papildinājumā ietvertās klauzulas, datu subjektiem pēc pieprasījuma dara pieejamu šajā pielikumā ietverto klauzulu kopiju un drošības pasākumu rezumējošo aprakstu, kā arī visu apakšuzņēmuma līgumu par apakšapstrādes pakalpojumiem kopijas, kas jāsagatavo saskaņā ar šīm klauzulām, ja vien klauzulas vai līgumus nesatur komerciālu informāciju, ko tādā gadījumā datu nosūtītājs var dzēst;

(i) apakšapstrādes gadījumā apstrādes darbības saskaņā ar 11. klauzulu veic Apakšapstrādātājs, nodrošinot vismaz tādu pašu personas datu un datu subjekta tiesību aizsardzību kā datu nosūtītājs saskaņā ar šo klauzulu noteikumiem, kā arī

(j) ka tas nodrošinās atbilstību 4. xxxxxxxxx a) - i) punktam.

5. klauzula

Datu saņēmēja pienākumi2

Datu saņēmējs piekrīt un garantē, ka:

(a) tas apstrādās personas datus vienīgi datu nosūtītāja vārdā un saskaņā ar tā norādījumiem un klauzulām; gadījumā, ja datu saņēmējs kāda iemesla dēļ nevar nodrošināt norādījumu un klauzulu ievērošanu, tas piekrīt nekavējoties informēt par to datu nosūtītāju, un šādā gadījumā datu nosūtītājam ir tiesības apturēt datu pārsūtīšanu un/vai izbeigt līgumu;

(b) tam nav iemesla uzskatīt, ka datu saņēmējam piemērojamie tiesību akti neļauj tam izpildīt datu nosūtītāja norādījumus un līgumā paredzētos pienākumus, un ka gadījumā, ja tiek izdarītas tādas izmaiņas nosūtītāja tiesību aktos, kas var negatīvi ietekmēt klauzulās noteiktās garantijas un pienākumus, tas nekavējoties paziņos par šīm izmaiņām datu nosūtītājam, tiklīdz tās kļūs zināmas, un šādā gadījumā datu nosūtītājam ir tiesības apturēt datu pārsūtīšanu un/vai izbeigt līgumu;

(c) pirms apstrādāt pārsūtītos personas datus, tas ir ieviesis tehniskos un organizatoriskos drošības pasākumus, kas norādīti 2. papildinājumā;

(d) tas nekavējoties paziņos datu nosūtītājam par:

2 Valsts tiesību aktu obligātās prasības, ko piemēro datu saņēmējam un kas nepārsniedz prasības, kuras ir vajadzīgas demokrātiskā sabiedrībā, pamatojoties uz vienu no Direktīvas 95/46/EK 13. panta 1. punktā minētajām interesēm, proti, ja tās ir nepieciešams aizsargpasākums valsts drošībai, aizsardzībai, sabiedrības drošībai, kriminālsodāmu noziedzīgu nodarījumu vai reglamentētu profesiju ētikas pārkāpumu novēršanai, izmeklēšanai, atklāšanai un kriminālvajāšanai, valsts svarīgās ekonomiskās vai finansiālās interesēs vai datu subjekta aizsardzībai vai citu personu tiesību un brīvību aizsardzībai, nav pretrunā līguma standartklauzulām. Piemēri dažām tādām obligātajām prasībām, kas nepārsniedz prasības, kuras ir vajadzīgas demokrātiskā sabiedrībā, inter alia ir starptautiski atzītas sankcijas, nodokļu deklarēšanas prasības vai prasība ziņot par nelikumīgi iegūtu līdzekļu legalizāciju.

(i) tiesībaizsardzības iestāžu jebkuru juridiski saistošu pieprasījumu atklāt personas datus, ja vien tas citādi nav aizliegts, piemēram, krimināltiesībās paredzētais aizliegums nolūkā saglabāt tiesībaizsardzības iestāžu veiktās izmeklēšanas konfidencialitāti;

(ii) jebkuru nejaušu vai neatļautu piekļuvi; kā arī

(iii) jebkuru pieprasījumu, kas tiešā veidā saņemts no datu subjektiem, neatbildot uz minēto pieprasījumu, ja vien tas nav citādi pilnvarots to darīt;

(e) nekavējoties un pienācīgi atbildēs uz visiem datu nosūtītāja pieprasījumiem, kas saistīti ar tā veikto pārsūtamo personas datu apstrādi, un ievēros uzraudzības iestādes padomus attiecībā uz pārsūtīto datu apstrādi;

(f) pēc datu nosūtītāja pieprasījuma tas ļaus datu apstrādes telpās veikt revīziju par apstrādes darbībām, uz kurām attiecas klauzulas; revīziju veic datu nosūtītājs vai pārbaudes struktūra, kurā ir neatkarīgi locekļi un kurai ir vajadzīgā profesionālā kvalifikācija un konfidencialitātes saistības; šo struktūru izvēlas datu nosūtītājs, atbilstošā gadījumā vienojoties ar uzraudzības iestādi;

(g) tas pēc pieprasījuma darīs pieejamu datu subjektam šo klauzulu kopiju un visus spēkā esošos apakšuzņēmuma līgumus par apstrādi, ja vien klauzulās vai līgumā nav ietverta komerciāla informācija, ko tādā gadījumā datu nosūtītājs var dzēst; izņēmums ir 2. papildinājumā ietvertā informācija, ko gadījumos, kad datu subjekts nevar iegūt kopiju no datu nosūtītāja, aizstāj ar drošības pasākumu rezumējošu aprakstu;

(h) apakšapstrādes gadījumā tas ir iepriekš informējis datu nosūtītāju un saņēmis tā iepriekšēju rakstisku piekrišanu;

(i) apakšapstrādātājs veiks apstrādes pakalpojumus saskaņā ar 11. klauzulu;

(j) tas nekavējoties nosūtīs datu nosūtītājam sava saskaņā ar šo klauzulu noteikumiem noslēgtā apakšuzņēmuma līguma par apstrādi kopiju.

6. klauzula

Atbildība

1 Puses vienojas, ka datu subjektam, kam nodarīts kaitējums 3. vai 11. klauzulā minēto noteikumu pārkāpumu rezultātā, kurus izdarījusi kāda no pusēm vai apakšapstrādātājs, ir tiesības saņemt no datu nosūtītāja kompensāciju par nodarīto kaitējumu.

2 Ja datu subjekts pret datu nosūtītāju nevar vērsties ar 1. punktā minēto prasību par kompensāciju, kas izriet no tā, ka datu nosūtītājs vai tā apakšapstrādātājs nav izpildījis kādu no 3. vai 11. klauzulā minētajiem pienākumiem, sakarā ar to, ka datu nosūtītājs ir faktiski zudis vai juridiski beidzis pastāvēt, vai arī ir kļuvis maksātnespējīgs, datu saņēmējs piekrīt, ka datu subjekts var izvirzīt prasību pret datu saņēmēju tā, it kā tas būtu datu nosūtītājs, ja vien kāds tiesību pārņēmējs ar līgumu vai likumiskā kārtā nav uzņēmies visas datu nosūtītāja juridiskās saistības, kā rezultātā datu subjekts var piemērot savas tiesības pret minēto tiesību pārņēmēju.

Datu nosūtītājs nevar izmantot apakšapstrādātāja pienākumu neizpildi, lai izvairītos no savu saistību izpildes.

3 Ja datu subjekts pret datu nosūtītāju vai datu saņēmēju nevar vērsties ar 1. un 2. punktā minēto prasību, kas izriet no tā, ka apakšapstrādātājs nav izpildījis kādu no 3. vai 11. klauzulā minētajiem pienākumiem, sakarā ar to, ka gan datu nosūtītājs, gan datu saņēmējs ir faktiski zuduši vai juridiski beiguši pastāvēt, vai arī ir kļuvuši maksātnespējīgi, apakšapstrādātājs piekrīt, ka datu subjekts var izvirzīt prasību pret apakšapstrādātāju par tā veiktajām apstrādes darbībām tā, it kā tas būtu datu nosūtītājs vai datu saņēmējs, ja vien kāds tiesību pārņēmējs ar līgumu vai likumiskā kārtā nav uzņēmies visas datu nosūtītāja vai datu saņēmēja juridiskās saistības, kā rezultātā datu subjekts var piemērot savas tiesības pret minēto tiesību pārņēmēju. Apakšapstrādātāja atbildība attiecas vienīgi uz tā paša apstrādes darbībām saskaņā ar šo klauzulu noteikumiem

7. klauzula

Starpniecība un jurisdikcija

1 Datu saņēmējs piekrīt, ka gadījumā, ja datu subjekts attiecībā uz to piemēro ieinteresētās trešās personas tiesības un/vai saskaņā ar klauzulām pieprasa kompensāciju par kaitējumu, datu saņēmējs pieņems datu subjekta lēmumu:

(a) strīda izšķiršanai izmantot neatkarīgas personas vai attiecīgā gadījumā uzraudzības iestādes starpniecību;

(b) nodot strīdu izskatīšanai tās dalībvalsts tiesās, kurā datu nosūtītājs ir reģistrēts.

2 Puses piekrīt, ka datu subjekta izvēle neskar tā materiālās vai procesuālās tiesības uz aizsardzības līdzekļiem saskaņā ar citiem valsts vai starptautisko tiesību noteikumiem.

8. klauzula

Sadarbība ar uzraudzības iestādēm

1 Datu nosūtītājs piekrīt iesniegt šā līguma kopiju uzraudzības iestādei, ja tā to pieprasa vai ja tā ir jāiesniedz saskaņā ar piemērojamiem tiesību aktiem datu aizsardzības jomā.

2 Puses piekrīt, ka uzraudzības iestādei ir tiesības veikt datu saņēmēja vai jebkura apakšapstrādātāja revīziju, kurai ir tāds pats apjoms un uz kuru attiecas tieši tādi paši nosacījumi, kādi būtu piemērojami datu nosūtītāja revīzijai saskaņā ar piemērojamiem tiesību aktiem datu aizsardzības jomā.

3 Datu saņēmējs nekavējoties informē datu nosūtītāju par tam vai jebkuram apakšapstrādātājam piemērojamiem tiesību aktiem, kas neļauj veikt datu saņēmēja vai jebkura apakšapstrādātāja revīziju saskaņā ar 2. punktu. Šādā gadījumā datu nosūtītājam ir tiesības veikt

5. klauzulas b) punktā paredzētos pasākumus.

9. klauzula

Piemērojamie tiesību akti

Klauzulas reglamentē tās dalībvalsts tiesību akti, kurā datu nosūtītājs ir reģistrēts.

10. klauzula

Izmaiņas līgumā

Puses apņemas nemainīt un negrozīt klauzulas. Tas neliedz pusēm vajadzības gadījumā pievienot klauzulas par jautājumiem, kas saistīti ar uzņēmējdarbību, ja vien tās nav pretrunā šai klauzulai.

11. klauzula

Apakšapstrāde

1 Datu saņēmējs bez datu nosūtītāja iepriekšējas rakstiskas piekrišanas neslēdz apakšuzņēmuma līgumus par savām apstrādes darbībām, ko saskaņā ar šo klauzulu noteikumiem tas veic datu nosūtītāja uzdevumā. Ja datu saņēmējs ar datu nosūtītāja piekrišanu noslēdz apakšuzņēmuma līgumu par savu pienākumu izpildi saskaņā ar šo klauzulu noteikumiem, to var darīt vienīgi, noslēdzot ar apakšapstrādātāju rakstisku līgumu, ar kuru apakšapstrādātājam tiek uzlikti tādi paši pienākumi kā datu saņēmējam saskaņā ar šīm klauzulām3. Ja apakšapstrādātājs nepilda datu aizsardzības pienākumus saskaņā ar minēto rakstisko līgumu, datu saņēmējs ir pilnībā atbildīgs attiecībā pret datu nosūtītāju par apakšapstrādātāja pienākumu izpildi saskaņā ar minēto līgumu.

2 Iepriekšējā rakstiskajā līgumā starp datu saņēmēju un apakšapstrādātāju tiek iekļauta arī ieinteresētās trešās personas klauzula, kā noteikts 3. klauzulā, attiecībā uz gadījumiem, kad datu subjekts nevar vērsties pret datu nosūtītāju vai datu saņēmēju ar 6. klauzulas 1. punktā minēto prasību par kompensāciju sakarā ar to, ka tie ir faktiski zuduši vai juridiski beiguši pastāvēt, vai arī ir kļuvuši maksātnespējīgi, un neviens tiesību pārņēmējs ar līgumu vai likumiskā kārtā nav uzņēmies visas datu nosūtītāja vai datu saņēmēja juridiskās saistības. Apakšapstrādātāja atbildība attiecas vienīgi uz tā paša apstrādes darbībām saskaņā ar šo klauzulu noteikumiem

3 Līguma, kas minēts 1. punktā, noteikumus saistībā ar datu aizsardzības aspektiem, kuri attiecas uz apakšapstrādi, reglamentē tās dalībvalsts tiesību akti, kurā datu nosūtītājs ir reģistrēts.

4 Datu nosūtītājs izveido to apakšuzņēmuma līgumu par apstrādi sarakstu, kas noslēgti saskaņā ar šīm klauzulām un par kuriem paziņots datu saņēmējam atbilstoši 5. klauzulas j) punktam, un vismaz reizi gadā atjaunina šo sarakstu. Šim sarakstam ir jābūt pieejamam datu nosūtītāja datu uzraudzības iestādei.

Šo prasību var apmierināt, apakšapstrādātājam parakstot līgumu, kas saskaņā ar šo Lēmumu noslēgts starp datu nosūtītāju un datu saņēmēju.

12. klauzula

Pienākumi pēc personas datu apstrādes pakalpojumu izbeigšanas

1 Puses vienojas, ka, izbeidzot personas datu apstrādes pakalpojumu sniegšanu, datu saņēmējs un apakšapstrādātājs pēc datu nosūtītāja izvēles nodod atpakaļ datu nosūtītājam visus pārsūtītos personas datus un to kopijas vai iznīcina visus personas datus un apliecina datu nosūtītājam, ka tas ir izdarīts, ja vien datu saņēmējam piemērojamie tiesību akti neliedz tam nodot atpakaļ vai iznīcināt visus vai daļu no pārsūtītajiem personas datiem. Šādā gadījumā datu saņēmējs garantē, ka tas nodrošinās pārsūtīto personas datu konfidencialitāti un vairs aktīvi neapstrādās pārsūtītos personas datus.

2 Datu saņēmējs un apakšapstrādātājs garantē, ka pēc datu nosūtītāja un/vai uzraudzības iestādes pieprasījuma tas ļaus datu apstrādes telpās veikt revīziju par 1. punktā minētajiem pasākumiem.

1. papildinājums

Līguma standartklauzulām

Datu nosūtītājs

Datu nosūtītājs ir juridiska persona, kas šajā Līgumā norādīts kā Respondus produktu Licenciāts. Datu nosūtītāja darbības, kas attiecas uz ierobežoto nosūtīšanu, ir studentu zināšanu vērtēšana. Datu nosūtītājs šim nolūkam ir licencējis datu saņēmēja programmatūras risinājumu.

Datu saņēmējs

Datu saņēmējs ir Respondus, Inc., ASV automātiska uzraudzības programmatūras nodrošinātājs, kas "mākonī balstītā" glabātuvē, kas atrodas ASV, apstrādā Datu nosūtītāja personas datus, izmantojot interaktīvas audio/video ierakstu tiešsaistes datubāzes, un tamlīdzīgus datus par studentu darbībām pārbaudījumu laikā.

Datu subjekti

Pārsūtītie personas dati attiecas uz šādām datu subjektu kategorijām (lūdzu, precizējiet):

• Klienta iestādē vai programmā uzņemtie studenti.

• Klienta darbinieki.

Datu kategorijas:

• Autentifikācijas dati (lietotājvārds)

• Personas dati (vārds, uzvārds)

• Kontaktinformācija (e-pasta adrese, pēc izvēles - studenti var norādīt e-pasta adresi, saņemot tehnisku atbalstu vai veidojot pieprasījumus)

• Unikāli identifikācijas numuri un paraksti (studentu ID karte, pēc izvēles, ja Licenciāts pieprasa)

• Pseidonīmi identifikatori (Mācību pārvaldības sistēmas piešķirtais studenta ID kartes kods, ja attiecināms)

• Fotogrāfijas, video vai audio faili (studentu video/audio ieraksti; studentu fotogrāfijas pēc izvēles, ja Licenciāts pieprasa)

• Izglītības dati (Uzraudzības analīze: Pārbaudījumu datu analīze, piemēram, laiks, kas pārbaudījuma laikā tika veltīts jautājumam, vai brīdinājumi par iespējamo pārbaudījuma noteikumu pārkāpšanu.)

• Ierīces identifikācija (IP adrese)

Īpašas datu kategorijas (ja tādas ir)

Pārsūtītie personas dati attiecas uz šādām īpašām datu kategorijām (lūdzu, precizējiet): Nav attiecināms

Apstrādes darbības

Attiecībā uz pārsūtītajiem personas datiem tiks veiktas šādas apstrādes pamatdarbības (lūdzu, precizējiet):

• Datu saņemšana, tai skaitā, datu vākšana

• Datu turēšana, tai skaitā, glabāšana

• Datu izmantošana, tai skaitā, analīze

• Datu aizsardzība, tai skaitā, ierobežošana, šifrēšana, drošības testēšana

• Datu atgriešana datu nosūtītājam vai datu subjektam

• Datu dzēšana, tai skaitā, iznīcināšana un dzēšana

2. papildinājums

Līguma standartklauzulām

Tehnisko un organizatorisko drošības pasākumu apraksts, kurus datu saņēmējs īstenojis saskaņā ar 4. klauzulas d) punktu un 5. klauzulas c) punktu:

Datu saņēmējs uztur administratīvus, fiziskus un tehniskus aizsardzības pasākumus, lai aizsargātu to personas datu drošību, konfidencialitāti un integritāti, kurus datu nosūtītājs augšupielādējis licencēto produktu darbībai. Papildu informācija par šiem drošības pasākumiem ir pieejama Respondus Monitor HECVAT formā, kas pēc pieprasījuma ir pieejama: xxxxx://xxx.xxxxxxxxx.xxx/xxxxxx/

Apakšapstrādātāju administratīvie, fiziskie un tehniskie aizsargpasākumi ir aprakstīt to Datu aizsardzības līgumā, kas ir pieejams: xxxxx://x0.xxxxxxxxx.xxx/xxxxx/xxx- gdpr/AWS_GDPR_DPA.pdf

KOMPENSĀCIJAS KLAUZULA

Atbildība

Puses vienojas, ka gadījumā, ja kāda no pusēm tiek saukta pie atbildības par klauzulu noteikumu pārkāpumu, ko izdarījusi otra puse, šī otra puse, ciktāl tā ir atbildīga par pārkāpumu, atlīdzina pirmajai pusei visas izmaksas, maksājumus, kaitējumu, izdevumus vai zaudējumus, kas tai radušies.

Kompensācija ir atkarīga no tā, vai:

(a) datu nosūtītājs ir pienācīgi paziņojis datu saņēmējam par prasību; un

(b) vai datu saņēmējam tika dota iespēja sadarboties ar datu nosūtītāju aizstāvībā un prasījuma apmierināšanā

Standartklauzulas, 1. papildinājumu un 2. papildinājumu Datu saņēmēja vārdā xxxxxxxx:

Paraksts

(Paraksts)

Xxxxxxx Xxxxxx (Xxxx Xxxxxx), izpilddirektore Respondus, Inc.

PO Box 3247, Redmond, WA 98073, ASV

2. PIELIKUMS

APAKŠAPSTRĀDĀTĀJI

Datu Pārzinis ir apstiprinājis šādus Apakšapstrādātājus:

Uzņēmuma nosaukums

Amazon Web Services

Apstrādes vieta

Amerikas Savienotās Valstis

Apstrādes veids

Datu mitināšanas serveris

Drošības vairogi

Skatīt AWS VDAR Datu apstrādes papildinājumu xxxxx://x0.xxxxxxxxx.xxx/xxxxx/xxx-xxxx/XXX_XXXX_XXX.xxx