Rīgā

4.pielikums pie atklāta konkursa

Nr. RD IKSD 2021/3 nolikuma

Iepirkuma līguma projekts

3.pielikums

PĀRZIŅA līguma APSTRĀDĀTĀJA līguma reģistrācijas Nr. DIKS-21-___-lī reģistrācijas Nr._________

PĀRZIŅA UN APSTRĀDĀTĀJA LĪGUMS

Rīgā

20__. gada ___.__________

Rīgas domes Izglītības, kultūras un sporta departaments, turpmāk – Pārzinis, direktora __ personā, kurš rīkojas saskaņā ar Rīgas domes 01.03.2011. saistošo noteikumu Nr.114 “Rīgas valstspilsētas pašvaldības nolikums” 110.punktu, Rīgas domes 17.12.2009. nolikuma Nr.36 “Rīgas domes Izglītības, kultūras un sporta departamenta nolikums” 15.3.6.apakšpunktu un Rīgas domes priekšsēdētāja 30.11.2016. iekšējo noteikumu Nr.3 “Personas datu apstrādes aizsardzības noteikumi” 26.punktu, no vienas puses, un _________________, ______________________ personā, kurš rīkojas saskaņā ar statūtiem, turpmāk – Apstrādātājs, no otras puses, kopā sauktas – Puses, noslēdz šādu līgumu, turpmāk – Līgums.

1. Līguma priekšmets

Līgums nosaka fizisko personu datu apstrādes raksturu un nolūku, personas datu veidu un datu subjektu kategorijas, apstrādes ilgumu, kā arī Pārziņa un Apstrādātāja pienākumus un tiesības, nodrošinot elektronisku pedagoģiskā procesa dokumentācijas un datu uzturēšanu pirmsskolas izglītības iestāžu elektroniskā žurnāla informācijas sistēmā, turpmāk – Sistēma, Pārziņa padotībā esošām izglītības iestādēm, turpmāk – Izglītības iestādes vai Izglītības iestāde.

2. Personas datu apstrādes raksturs un nolūks

2.1. Saskaņā ar Eiropas Parlamenta un Padomes regulas Nr.2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK, turpmāk – Regula, 6.panta 1.punkta c) apakšpunktu un 28.pantu Pārzinis uztic Apstrādātājam veikt personas datu apstrādi, noslēdzot rakstveida līgumu.

2.2. Personas datu apstrādes nolūks ir nodrošināt Pirmsskolas izglītības iestādes obligātās dokumentācijas uzturēšanu elektroniskā veidā un saziņu ar izglītojamo vecākiem un izglītojamiem Sistēmā.

2.3. Rīgas pilsētas pašvaldība, turpmāk – Pašvaldība, ir pārzinis Regulas izpratnē attiecībā uz personas datu apstrādi Sistēmā, kas nepieciešama normatīvos aktos noteikto pienākumu izpildei saistībā ar pedagoģiskā procesa dokumentācijas nodrošināšanu saskaņā ar tiesību aktiem, kas minēti šī līguma 2.5. un 2.6.punktos, un saziņai ar izglītojamajiem, to likumiskajiem pārstāvjiem un pedagogiem. Apstrādātājam ir tiesības personas datus, kuru Pārzinis ir Rīgas valstspilsētas pašvaldība, apstrādāt tikai nolūkiem, kas minēti šajā Līgumā.

2.4. Apstrādātājs ir pārzinis Regulas izpratnē attiecībā uz citu personas datu apstrādi Sistēmā, kas nav nepieciešama Līguma izpildei.

2.5. Pārzinis īsteno funkcijas izglītības jomā, kas noteiktas Likuma „Par pašvaldībām” 15.panta pirmās daļas 4.punktā, Izglītības likuma 17.panta trešā daļas 23 punktā, Ministru kabineta 10.08.2021 noteikumu Nr.528 „Vispārējās izglītības iestāžu un profesionālās izglītības iestāžu pedagoģiskā procesa un eksaminācijas centru profesionālās kvalifikācijas ieguves organizēšanai obligāti nepieciešamā dokumentācija” 2.1.1. apakšpunktu, 2.7.1.apakšpunktu, 2.8.apakšpunktu..

2.6. Ministru kabineta 10.08.2021 noteikumu Nr.528 „Vispārējās izglītības iestāžu un profesionālās izglītības iestāžu pedagoģiskā procesa un eksaminācijas centru profesionālās kvalifikācijas ieguves organizēšanai obligāti nepieciešamā dokumentācija” 2.1.1. apakšpunkts, 2.7.1.apakšpunkts, 2.8.apakšpunkts nosaka pienākumu nodrošināt pedagoģiskā procesa organizēšanai nepieciešamos dokumentus vispārējās pamatizglītības un vispārējās vidējās izglītības iestādēs.

2.7. Atbilstoši noslēgtajiem pakalpojuma līgumiem, Izglītības iestādes izmanto Apstrādātāja pakalpojumus Sistēmā, kas nodrošina šī Līguma 2.6.punktā elektronisku pedagoģiskā procesa dokumentācijas un datu uzturēšanu, un tas atbilstoši Valsts pārvaldes iekārtas likuma 10.pantā noteiktajiem principiem ļauj uzlabot sabiedrībai sniegto pakalpojumu kvalitāti, vienkāršot un uzlabot procedūras privātpersonas labā, organizēt funkciju īstenošanu pēc iespējas ērti un pieejami privātpersonai, nepastarpināti iegūt informāciju, kura nepieciešama pārvaldes lēmumu pieņemšanai, kā arī uzlabot darba efektivitāti.

3. Personas datu veidi un datu subjektu kategorijas

3.1. Lai nodrošinātu pedagoģiskā procesa dokumentācijas un datu uzturēšanu Apstrādātāja Sistēmā, Apstrādātājs apstrādā Līguma 1.pielikumā minēto datu subjektu kategoriju personas datu veidus.

3.2. Apstrādes darbību veidi: piekļuve datiem, darbs ar datiem, ciktāl tas nepieciešams Sistēmas darbības nodrošināšanai un kļūdu novēršanai, tajā skaitā vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, attēlošana, izpaušana darot datus pieejamus grupas pedagogiem un audzēkņu vecākiem, dzēšana.

4. Personas datu apstrādes ilgums

4.1 Līguma 3.punktā minēto datu subjektu kategoriju personas datu apstrādes ilgums Sistēmā ir noteikts Tehniskās specifikācijas (Pakalpojuma līguma 1.pielikums) 5.3.punktā.

4.2.Apstrādātājs nodrošina Pārziņa noteikto personas datu apstrādes termiņu ievērošanu Sistēmā. Pēc personas datu apstrādes termiņa beigām Apstrādātājs un Sistēma nodrošina, ka attiecīgie personas dati tiek anonimizēti.

5. Xxxxxxx un Apstrādātāja pienākumi un tiesības

5.1. Apstrādātājam ir šādi pienākumi:

5.1.1. nodrošināt konfidencialitāti, integritāti un personas datu pieejamību, ieviešot adekvātus tehniskos un organizatoriskos līdzekļus attiecībā uz apstrādes drošību un aizsardzību pret ārēju ielaušanos tā sistēmā, tostarp, ņemot vērā tehnoloģiju attīstības līmeni, īstenošanas izmaksas un apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un smaguma pakāpes risku attiecībā uz fizisku personu tiesībām un brīvībām, lai nodrošinātu tādu drošības līmeni, kas atbilst riskam atbilstoši Regulas prasībām, x.xx. īstenot visus pasākumus, kas norādīti Tehniskajā specifikācijā un Līguma 2.pielikumā, kā arī:

5.1.1.1. nodrošina apstrādes sistēmu un pakalpojumu nepārtrauktu konfidencialitāti, integritāti, pieejamību un noturību, tai skaitā nodrošina visus aizsardzības pasākumus, lai īstenotu personas datu aizsardzību pret jebkādu nejaušu vai nelikumīgu iznīcināšanu, nejaušu zudumu, pārveidošanu, neatļautu izplatīšanu vai pieeju gadījumos, kad personas datu apstrāde ietver datu pārraidi tīklā, kā arī pret jebkuru citu nelikumīgu apstrādes vai komunikācijas ar neautorizētām personām, formu;

5.1.1.2. nodrošina spēju laicīgi atjaunot personas datu pieejamību un piekļuvi tiem gadījumā, ja ir noticis fizisks vai tehnisks negadījums;

5.1.2. apstrādāt personas datus saskaņā ar Pārziņa dokumentētiem norādījumiem, ieskaitot Pašvaldības normatīvajos aktos noteiktās prasības personas datu apstrādes un informācijas tehnoloģiju drošības jomā;

5.1.3. Līguma ietvaros iegūtos personas datus Apstrādātājs glabā un apstrādā tikai Eiropas Savienības (ES) un Eiropas Ekonomikas zonas (EEZ) teritorijā);

5.1.4. nodrošināt, ka jebkura fiziska persona, kas darbojas Apstrādātāja pakļautībā (darbinieki un jebkuras citas personas, kuras ir tieši vai netieši iesaistītas Xxxxxxx vārdā veiktajai personas datu apstrādei, un par to attiecīgi ar viņiem ir noslēgti attiecīgi līgumi) un kurai ir piekļuve personas datiem, tos apstrādā saskaņā ar Pārziņa norādījumiem un normatīvo aktu prasībām personas datu apstrādes un informācijas tehnoloģiju drošības jomā un tikai tiktāl, cik tas nepieciešams līguma īstenošanai, pārvaldībai un uzraudzībai;

5.1.5. nodrošināt, ka personas, kuras ir pilnvarotas apstrādāt datus, lai izpildītu šo līgumu:

5.1.5.1. apņemas nodrošināt personas datu aizsardzību un konfidencialitāti;

5.1.5.2. ir apmācītas personas datu aizsardzības jautājumos.

5.1.6. nodrošināt šā Līguma 5.1.4.apakšpunktā minēto darbinieku un pilnvaroto personu uzskaiti un uzņemas visu atbildību par to darbībām, kas veiktas attiecībā uz Xxxxxxx personas datu apstrādi;

pārsūtīt nekavējoties, bet ne vēlāk kā 3 (trīs) darba dienu laikā, datu subjekta iesniegumu par personas datu apstrādi, ja tas attiecas uz Pārziņa veikto personas datu apstrādi;

5.1.7. pēc Xxxxxxx rakstveida pieprasījuma, bet ne vēlāk kā 5 (piecu) darba dienu laikā sniegt Xxxxxxx pieprasīto informāciju par Datu subjekta personas datu apstrādi;

5.1.8. glabāt personas datus tikai Apstrādātāja kontrolē esošajos resursos;

5.1.9. pēc Pārziņa rakstveida pieprasījuma Apstrādātājs un tā apakšuzņēmēji, ja tādi ir, sniedz visu Apstrādātāja rīcībā esošo personas datu kopijas tādā pašā formātā, kā to izmanto Pārzinis sadarbojoties ar Apstrādātāju, vai arī, ja tas nav iespējams, strukturētā un plaši izmantotā formātā (csv vai xls). Pēc datu nodošanas, Apstrādātājs nekavējoties iznīcina visu Xxxxxxx datu kopijas, kas ir viņa vai apakšuzņēmēju informācijas tehnoloģiju sistēmās, un par to iesniedz Pārzinim rakstveida apliecinājumu 10 (desmit) kalendāro dienu laikā pēc datu iznīcināšanas;

5.1.10. sadarboties ar Pārzini un palīdzēt tam nodrošināt juridiskos pienākumus, kas tam ir saistoši, lai aizsargātu personas datus, un tieši, lai nodrošinātu datu subjektu tiesības saskaņā ar Regulu un citiem tiesību aktiem personas datu aizsardzības jomā un tieši tiesības piekļūt saviem datiem, tiesības labot personas datus, tiesības dzēst datus vai “tikt aizmirstam”, tiesības ierobežot apstrādi, tiesības uz datu pārnesamību, tiesības iebilst pret apstrādi, tiesības iebilst pret lēmumiem, kas pieņemti pamatojoties uz automatizētiem lēmumiem, profilēšanu. Minētās tiesības Apstrādātājs īsteno, ciktāl tas ir iespējams ņemot vērā personas datu apstrādes būtību;

5.1.11. informēt Xxxxxxx, ka tam ir līgumi ar šādiem apakšuzņēmējiem, kas ir iesaistīti Pakalpojuma sniegšanā Pārzinim: [nosauciet to nosaukumu, xxx.xx., juridisko adresi, kontaktinformāciju un valsti, kurā tie atrodas, ja tie atrodas citā valstī]:

5.1.12. saņemt no Pārziņa rakstveida piekrišanu apakšuzņēmēja piesaistei, ja Apstrādātājam ir nepieciešams piesaistīt papildus apakšuzņēmēju (t.i. citas juridiskas un fiziskas personas) šī Līguma izpildei. Apstrādātājam ir pienākums ar apakšuzņēmēju slēgt rakstveida līgumu, kā arī nodrošināt, ka apakšuzņēmējam ir saistoši šī Līguma noteikumi, jo īpaši pieprasot no šī cita apstrādātāja garantijas, ka tiks īstenoti piemēroti organizatoriskie un tehniskie pasākumi tādā veidā, lai tiktu ievērotas regulas prasības. Ja apakšuzņēmējs pārkāpj šī Līguma noteikumus, Apstrādātājs pilnībā atbild par tā darbībām;

5.1.13. darīt pieejamu Pārzinim visu informāciju, kas nepieciešama, lai apliecinātu, ka Apstrādātājs pilda Regulas 28.pantā un Līgumā paredzētos pienākumus, x.xx. ne vēlāk kā 5 (piecu) darba dienu laikā pēc pieprasījuma saņemšanas, sniegt Pārzinim un Rīgas domes Datu aizsardzības un informācijas tehnoloģiju drošības centram (turpmāk – Centrs) pieeju dokumentiem saistībā ar tā personas datu drošību un aizsardzību, tai skaitā visu nepieciešamo tehnisko dokumentāciju, drošības riska analīzi, kas veikta, un detalizētu ieviesto drošības līdzekļu sarakstu, drošības un personas datu audita rezultātus un dokumentāciju;

5.1.14. xxxx Xxxxxxxx, Centram vai citam Xxxxxxx xxxxxxxxxxx revidentam veikt revīzijas, tostarp pārbaudes, un sniegt tajās ieguldījumu;

5.1.15. līdz 31.12.2022. un turpmāk reizi divos gados veikt ārējo personas datu apstrādes un drošības auditu par personas datu apstrādes atbilstību Regulai un šim Līgumam un 10 (desmit) darba dienu laikā pēc audita noslēguma iesniegt Pārzinim un Centram vai saskaņojot ar Pārzini un Centru, darīt tam pieejamu, atzinumu (ziņojumu) par Sistēmas atbilstību normatīvajiem aktiem personas datu aizsardzības jomā un tehnisko un organizatorisko pasākumu efektivitāti, lai nodrošinātu apstrādes drošību;;

5.1.16. palīdzēt Pārzinim veikt novērtējumu par ietekmi uz personas datu aizsardzību, sniedzot nepieciešamo informāciju, kā arī veikt iepriekšējo konsultēšanos ar Datu valsts inspekciju, ja tas ir nepieciešams;

5.1.17. informēt Xxxxxxx un Centru par iecelto personas datu aizsardzības speciālistu saskaņā ar Regulas 37.pantu un 5 (piecu) darba dienu laikā pēc izmaiņu veikšanas elektroniski nosūtīt informāciju Centram uz e-pasta adresi xxx@xxxx.xx, norādot Apstrādātāja personas datu aizsardzības speciālista vārdu, uzvārdu un kontaktinformāciju;

5.2. Pārzinim tā kompetences robežās ir pienākums sadarboties ar Apstrādātāju un darīt pieejamu Pārzinim visu informāciju, kas nepieciešama Līguma izpildei.

5.3. Apstrādātājs apliecina un garantē, ka tiks īstenoti atbilstoši tehniskie un organizatoriskie pasākumi tādā veidā, ka Apstrādātāja uz Līguma pamata veiktajā apstrādē tiks ievērotas Regulas un Fizisko personu datu apstrādes likuma prasības un tiks nodrošināta datu subjekta tiesību aizsardzība.

5.4. Apstrādātājs garantē, ka Līguma 1.punktā minētā Sistēma atbilst personas datu aizsardzību reglamentējošo normatīvo aktu prasībām.

5.5. Apstrādātājs izstrādā un saskaņo ar Pasūtītāju šādus dokumentus: sistēmas drošības iekšējie noteikumi; sistēmas lietošanas noteikumi; sistēmas drošības riska pārvaldības plāns; sistēmas darbības atjaunošanas plāns.

5.6. Sistēmai auditācijas pierakstus Apstrādātājs veido un uzglabā vismaz 25 mēnešus pēc ieraksta izdarīšanas;

5.7. Sistēmas auditācijas pierakstos tiek fiksētas jebkuras ar personas datiem vai personas datu kopumiem veiktas darbības, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana;

5.8. Apstrādātājs izstrādā dokumentētu Sistēmas rezerves kopiju veidošanas kārtību, nosakot, kāda tehnoloģija un darbības ir noteiktas Sistēmas rezerves kopiju izgatavošanai un informācijas resursu atjaunošanai, cik bieži un kādā apjomā tiek veidotas Sistēmas rezerves kopijas, ņemot vērā pieļaujamo laiku, kādu Sistēma var nebūt pieejama, un laika periodu, par kuru informācijas resursus var zaudēt, kā arī, cik bieži tiek veikta rezerves kopiju veidošanas un atjaunošanas procedūru pārbaude. Sistēmu rezerves kopijas glabā no Sistēmas ģeogrāfiski nošķirtā vietā. Apstrādātājam jāaizsargā Sistēmu rezerves kopijas pret neatļautu lietošanu un bojāšanu;

6. Pārzinim ir tiesības:

6.1. Apstrādātājam dot norādījumus personas datu apstrādes un aizsardzības jautājumos, kā arī pieprasīt šo norādījumu izpildi;

6.2. konstatējot prettiesisku vai neatļautu personas datu apstrādi, kas nav saistīta ar līguma izpildi, pieprasīt nekavējoties pārtraukt prettiesisko vai neatļauto personas datu apstrādi;

6.3. Xxxxxxxx var pieprasīt Apstrādātājam rakstveidā iesniegt Pārzinim šādu informāciju:

6.3.1. atbilstoši Regulai 30. pantam izstrādāto reģistru;

6.3.2. Ministru kabineta 2015. gada 28. jūlija noteikumu Nr.442 “Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām” 8. punktā minēto informāciju, kā arī informāciju par telpu, kurās izvietotas informāciju un komunikāciju tehnoloģiju iekārtas (serveru infrastruktūra), fizisko aizsardzību;

6.3.3. informāciju par informācijas sistēmu loģiskās aizsardzības nodrošinājumu;

6.3.4.Apstrādātāja apliecinājumus par apņemšanos saglabāt un nelikumīgi neizpaust personas datus

7. Garantijas

7.1. Apstrādātājs apliecina, ka tā darbība attiecībā uz fizisko personu datu apstrādi pilnībā atbilst Regulas un nacionālajos normatīvajos aktos personas datu aizsardzības jomā noteiktajām prasībām attiecībā uz personas datu apstrādi un aizsardzību.

7.2. Apstrādātājs ir ieviesis datu apstrādes un aizsardzības nodrošināšanai atbilstoši Regulas prasībām nepieciešamos iekšējos normatīvos aktus un procedūras, iecēlis fizisko personu datu aizsardzības speciālistu un uztur Xxxxxxx vārdā veikto datu apstrāžu reģistru.

7.3. Attiecībā uz Regulas 32.pantu “Apstrādes drošība” par apliecinājumu izpildei Apstrādātājs iesniedz Pārzinim ISO/IEC 27001 sertifikātu IT drošības pārvaldības sistēmas jomā.

8. Sadarbība un atbildība

8.1. Apstrādātājs sadarbojas ar Pārzini un/vai uzraudzības iestādi saistībā ar datu incidentu un personas datu aizsardzības pārkāpumu izmeklēšanu un novēršanu, Regulas un šī Līguma prasību izpildē.

8.2. Puses vienojas, ka datu subjektu un iestāžu prasījumus Puses primāri nodod viena otrai risināšanā atbilstoši pienākumiem, kas Pusēm izriet no Līguma, spēkā esošajiem normatīvajiem aktiem vai Xxxxxxx likumīgajām norādēm. Puses šādu prasījumu gadījumā izmanto visus saprātīgi iespējamos un samērīgos tiesiskos līdzekļus savu interešu aizstāvībai un prasījumu risināšanai un lai izvairītos no zaudējumiem sev un/otrai Pusei.

8.3. Apstrādātājs atbild par Līgumā, spēkā esošajos normatīvajos aktos vai Xxxxxxx likumīgajās norādēs noteikto pienākumu neatbilstošu īstenošanu vai pārkāpumu, vai apstrādi, kas pārsniedz šajos dokumentos noteikto personas datu apstrādes apjomu un pilnvarojumu. Apstrādātājs, pamatojoties uz Xxxxxxx regresa prasību, sedz Xxxxxxx tiešos zaudējumus sakarā ar šajā punktā minēto.

8.4. Pārzinis ir atbildīgs par datu subjektu un iestāžu prasījumu izpildi, ja tie radušies saistībā ar Xxxxxxx Līgumā, vai spēkā esošajos tiesību aktos noteikto pienākumu realizāciju vai pārkāpumu. Pārzinis pamatojoties uz Apstrādātāja regresa prasību sedz Apstrādātājam tiešos zaudējumus sakarā ar šajā punktā minēto.

8.5. Pušu materiālā atbildība attiecībā uz šā Līguma 8.3. punktā minēto zaudējumu kompensēšanu ir ierobežota ar Līgumā noteiktā pakalpojuma 12 mēnešu kopējo maksu.

8.6. Ja Apstrādātājs apstrādā personas datus citiem mērķiem, kas nav noteikti Līgumā neatbilstoši Līgumam, tas atbild par šo personas datu apstrādi un aizsardzību kā pārzinis saskaņā ar Vispārīgo datu aizsardzības regulu.

9. Līguma darbības termiņš, tā grozīšanas un laušanas kārtība

9.1. Līgums stājas spēkā dienā, kad to parakstījušas Puses un tas reģistrēts Pušu lietvedības sistēmās.

9.2. Līgums ir spēkā līdz brīdim, kamēr ir spēkā kaut viens Sistēmas pakalpojuma sniegšanas līgums, kurš noslēgts starp Pasūtītāju un Apstrādātāju.

9.3. Līguma grozījumi un papildinājumi tiek noformēti ar rakstisku vienošanos, kas kļūst par tā neatņemamu sastāvdaļu.

9.4. Līgums var tikt lauzts pēc Pušu savstarpējas vienošanās rakstiskā veidā.

9.5. Pārzinim ir tiesības vienpusēji lauzt Līgumu šādos gadījumos:

9.5.1. tiek izbeigta ar Izglītības iestādēm noslēgto pakalpojuma līguma darbība;

9.5.2. tiek konstatēts, ka Apstrādātājs pārkāpis Līguma un/vai pakalpojuma līguma

nosacījumus un nav novērsis pārkāpumus Pārziņa, Centra un/vai Izglītības iestādes noteiktajos termiņos.

9.5.3 ja Apstrādātājs nepilda tiesas vai personas datu uzraudzības iestādes saistošu lēmumu attiecībā uz tā pienākumiem saskaņā ar šo līgumu vai Regulu.

10. Strīdu izskatīšanas kārtība

10.1. Pušu domstarpības, kas rodas Līguma ietvaros un skar Līguma vai tā pārkāpšanu, izbeigšanu vai spēkā esamību, tiek risinātas abpusējās sarunās, kurās panāktā Pušu vienošanās noformējama rakstveidā. Ja vienošanās netiek panākta, strīds tiek izšķirts tiesā Latvijas Republikas spēkā esošajos normatīvajos aktos noteiktajā kārtībā.

10.2. Ja Apstrādātāja veiktās personas datu apstrādes gadījumā, datu subjektam tiek nodarīts kaitējums un/vai uzraugošā iestāde – Datu valsts inspekcija uzliek administratīvo sodu Pārzinim, Apstrādātāja pienākums ir atlīdzināt Pārzinim visus radītos tiešos zaudējumus.

10.3. Pusēm saskaņā ar Latvijas Republikas Civillikumu ir pienākums atlīdzināt otrai Pusei nodarītos tiešos vai netiešos zaudējumus, ja tādi ir radušies prettiesiskas rīcības rezultātā un ir konstatēta un dokumentāli pamatoti pierādīta zaudējumu nodarītāja vaina, zaudējumu esamības fakts un zaudējumu apmērs, kā arī cēloniskais sakars starp prettiesisko rīcību un nodarītajiem zaudējumiem.

11. Noslēguma noteikumi

11.1. Puses vienojas, ka ar Līguma izpildi un kontroli saistītus jautājumus risinās šādas Pušu kontaktpersonas:

11.1.1. Xxxxxxx kontaktpersona – amats, vārds, uzvārds, tālr. __, e-pasts __;

11.1.2. Pārziņa datu aizsardzības speciālists: Rīgas domes Datu aizsardzības un informācijas tehnoloģiju drošības centrs, e-pasts: xxx@xxxx.xx. Aktuālā kontaktinformācijas pieejama pašvaldības tīmekļa vietnē: xxx.xxxx.xx;

11.1.3. Apstrādātāja atbildīgā persona – amats, vārds, uzvārds, tālrunis, e-pasts.

11.1.4. Apstrādātāja datu aizsardzības speciālists:

11.2. Pusēm savlaicīgi, bet ne vēlāk kā 5 (piecu) darba dienu laikā, paziņo otrai Pusei par rekvizītu, adreses vai citas būtiskas informācijas izmaiņām.

11.3. Puses vienojas, ka korespondences nosūtīšanā un saņemšanā tiek piemērots Paziņošanas likuma normatīvais regulējums, ja Līgumā nav noteikta cita kārtība.

11.4. Puses likvidācijas vai reorganizācijas gadījumā Līgums ir saistošs tās tiesību pārņēmējiem.

11.5. Līguma neatņemama sastāvdaļas ir 1.pielikums “Personas datu veids un datu subjektu kategorijas” uz 1 lp

11.6. Līgums sastādīts latviešu valodā 2 (divos) eksemplāros uz 5 (piecām) lapām, pa vienam eksemplāram katrai Pusei, katram eksemplāriem ir vienāds juridisks spēks.

Pušu rekvizīti un paraksti

Pārzinis Rīgas domes Izglītības, kultūras un sporta departaments Krišjāņa Xxxxxxxxx xxxx 0, Xxxx, XX-0000, xxxxxxxx 67026892 Direktors __ Apstrādātājs Nosaukums Reģ. Nr. juridiskā adrese tālrunis Amats, vārds, uzvārds

1.pielikums

PĀRZIŅA UN APSTRĀDĀTĀJA LĪGUMAM

Personas datu veids un datu subjektu kategorijas Sistēmā nodrošinot pedagoģiskā procesa dokumentācijas, informācijas un datu uzturēšanu, Apstrādātājs apstrādā šādus personas datus:

1. Ziņas par izglītojamo personu:

   1. Vārds

   2. Uzvārds

   3. Personas kods vai identifikācijas Nr.

   4. Deklarētas dzīvesvietas adrese

   5. Faktiskās dzīvesvietas adrese

   6. Izglītības programmas nosaukums un kods

   7. Izglītojamā uzņemšana (datums)

   8. Izglītojamā atskaitīšana (datums)

   9. Speciālas diētas nepieciešamība

   10. izglītojama vecāku vārds, uzvārds;

   11. izglītojamā vecāku tālruņa Nr. (katrs vecāks var mainīt numuru);

   12. apgūstamā izglītības programma;

   13. Pamatgrupa. papildgrupa

   14. īpašie sasniegumi;

   15. apmeklējumi un kavējumi;

   16. kavējumu attaisnošanas iemesli;

   17. kavējumu pieteikumi;

   18. ēdnīcas apmeklējumi;

   19. skolotāju ziņojumi audzēkņa dienasgrāmatā;

   20. ieraksti uzvedības žurnālā;

   21. vērtējumi

   22. saziņa ar vecākiem (brīdinājumi, paziņojumi, sarakste, individuālās sarunas);

1.24. Attēli attēlu/videomateriālu galerijā

25. Atļaujas izmantot personas datus

26. Grupas nosaukums

27. Personu saraksts, kurām ir tiesības saņemt bērnu no PII

28. Pirmsskolas izglītības kopsavilkums (apgūtā programma un vērtējui)

2. Ziņas par izglītības iestādes darbiniekiem:

   1. Vārds, uzvārds

   2. personas kods vai izglītības iestādes piešķirtais personas identifikācijas numurs, kas nesakrīt ar personas kodu (ja personai Latvijā nav piešķirts personas kods);

   3. mobilā tālruņa numurs un elektroniskā pasta adrese;

   4. Audzināmā grupa vai papildgrupa

   5. Darba grafiks

   6. Darba laika uzskaite

   7. Ziņojumi, iesniegumi, sarakste

   8. e-pasta adrese (pats darbinieks var xxxxxx);

   9. xxxxxxx xxxxxx (pats darbinieks var xxxxxx)

   10. darba grafiks.

   11. Piedalīšanās aptaujās

3. Ziņas par RD IKSD lietotājiem:

   1. Vārds, uzvārds;

   2. Personas kods

4. Izglītojamo vecāki:

   1. Telefons

   2. E-pasta adrese

   3. Piedalīšanās aptaujās

   4. Saziņa ar vecākiem (brīdinājumi, paziņojumi, sarakste)

2.pielikums

PĀRZIŅA UN APSTRĀDĀTĀJA LĪGUMAM

Drošības prasības

1. Apstrādātājs nodrošina visus aizsardzības pasākumus, lai īstenotu personas datu aizsardzību pret jebkādu nejaušu vai nelikumīgu iznīcināšanu, nejaušu zudumu, pārveidošanu, neatļautu izplatīšanu vai pieeju, gadījumos, kad personas datu apstrāde ietver datu pārraidi tīklā, kā arī pret jebkuru citu nelikumīgu apstrādes vai komunikācijas ar neautorizētām personām, formu.

2. Apstrādātāja pienākums ir piemērot un ieviest standartā LVS ISO/IEC 27001:2014L vai ekvivalentā standartā norādītās drošības prasības.

3. Apstrādātājs informē, ka personas datu glabāšanās vieta ir ____(nepieciešams norādīt adresi). Ja personas datu glabāšanās vieta mainās, tas Apstrādātājs informē Pārzini par personas datu glabāšanas vietu, norādot tā adresi.

4. Apstrādātājs nodrošina šādas drošības prasības:

   1. Sistēmas administrēšanas darbus veic priviliģētais lietotājs, izmantojot īpašu priviliģētā lietotāja kontu. Nav pieļaujama priviliģētā lietotāja konta lietošana darbību veikšanai, kas nav saistītas ar Sistēmas administrēšanas darbu izpildi;

   2. ikviens Sistēmas lietotāja konts ir saistīts ar konkrētu fizisko personu. Gadījumā, ja

Sistēmā izmanto kontu, kas nav piesaistāms konkrētai fiziskai personai (turpmāk – sistēmkonts), tad Sistēmā jāiestrādā tehniskie līdzekļi, kas nepieļauj reģistrētam Sistēmas lietotājam veikt darbības Sistēmā, izmantojot sistēmkontu;

3. Sistēmā izmanto Sistēmas lietotāja daudzfaktoru autentifikāciju, kas ietver atribūtu, kam nav statiska daba (piemēram, kodu kalkulators, vienreiz lietojams īsziņas kods), un vismaz vienu citu atribūtu.

4. nav pieļaujama Sistēmas lietošana, kurā nenodrošina Sistēmas auditācijas pierakstu veidošanu un uzglabāšanu vismaz sešus mēnešus pēc ieraksta izdarīšanas;

5. jebkurai piekļuvei Sistēmai ir jābūt izsekojamai līdz konkrētam Sistēmas lietotāja kontam vai interneta protokola (IP) adresei;

6. Sistēmā jāievieš visi pieejamie programmatūras atjauninājumi, iepriekš izvērtējot to nepieciešamību un ietekmi;

7. visās Pašvaldības valdījumā esošajās Sistēmas lietotāju iekārtās, no kurām Sistēmas lietotāji ikdienā veido pieslēgumu Sistēmai, jābūt iekļautai pretvīrusu funkcionalitātei;

8. Sistēmas funkcionalitāte ir izpildāma ar minimāli iespējamām tiesībām;

9. ja ar priviliģētā lietotāja kontu piekļūst Sistēmai, izmantojot iekārtas, kas atrodas ārpus Institūcijas telpām, kā arī iekārtas, kas neatrodas Institūcijas valdījumā, tad nepieciešams izmantot daudzfaktoru autentifikāciju;

10. Sistēmai auditācijas pierakstus veido un uzglabā 25 mēnešus pēc ieraksta izdarīšanas, uzglabājot Sistēmas auditācijas pierakstus vai to kopijas atsevišķi no Sistēmas;

11. Sistēmas auditācijas pierakstus veido tā, lai tajos norādītais laiks ar vienas sekundes precizitāti sakristu ar faktiskā notikuma koordinēto pasaules laiku (UTC);

12. Sistēmas auditācijas pierakstiem nodrošina to satura plānveida uzraudzību un analīzi, lai konstatētu drošības incidentus;

13. Sistēmas lietotājiem attēlotajos kļūdu paziņojumos nodrošina tikai minimāli nepieciešamo informāciju, lai Sistēmas lietotājs patstāvīgi vai ar Sistēmas atbalsta personāla palīdzību atrisinātu kļūdu;

14. datu plūsmu starp Sistēmu un tās lietotājiem izsniegtajām iekārtām, kā arī starp Sistēmu un citām Sistēmām kontrolē, izmantojot ugunsmūri;

15. Izmanto jaunāko SSL/TLS šifrēšanas protokolu datu pārraides tīkla savienojumiem informācijas resursu pārraidīšanai publiskajā tīklā;

16. tos datortīkla pakalpojumus (network services), kurus neizmanto atslēdz;

17. veicot Sistēmas izstrādi un testēšanu, nav pieļaujams radīt apdraudējumu Sistēmā glabāto datu pieejamībai, integritātei un konfidencialitātei;

18. Apstrādātājs ir juridiska persona, kas reģistrēta Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalstī, un Sistēmā glabātā informācija atrodas vienīgi Eiropas Savienības vai Eiropas Ekonomikas zonas valstu teritorijā;

19. izmeklēt, novērst un nekavējoties informēt Pašvaldību par jebkuru drošības incidenta (t.i., kaitīgu notikumu vai nodarījumu, kura rezultātā tiek apdraudēta informācijas tehnoloģiju integritāte, pieejamība vai konfidencialitāte) gadījumu vai personas datu aizsardzības pārkāpumu (t.i., drošības pārkāpumu, kura rezultātā notiek nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem), kam ir tiešas vai netiešas sekas uz personas datu apstrādi, kā arī par jebkuru sūdzību, ko viņš ir saņēmis no jebkuras fiziskas personas saistībā ar personas datu apstrādi, kas notiek saskaņā ar Līgumu, izņemot gadījumus, kad ir maz ticams, ka personas datu aizsardzības pārkāpums varētu radīt risku fizisku personu tiesībām un brīvībām vai Pašvaldībai. Centram ir tiesības piekļūt Apstrādātāja drošības incidentu un personas datu aizsardzības pārkāpumu uzskaitei;

20. ja ir iestājies personas datu aizsardzības pārkāpums, pēc iespējas ātrāk, bet ne vēlāk kā 24 (divdesmit četras) stundas no drošības incidenta vai personas datu aizsardzības pārkāpuma atklāšanas vai sūdzības saņemšanas brīža nosūtīt Pašvaldībai uz xxx@xxxx.xx tās norādīto elektroniskā pasta adresi un Pārziņa atbildīgās personas e-pastu šādu informāciju: personas datu aizsardzības pārkāpuma apraksts, tostarp, ja, iespējams, ietekmēto datu subjektu kategorijas un aptuvenais skaits; ietekmēto personas datu ierakstu kategorijas un aptuvenais skaits; datu aizsardzības speciālista vārds un uzvārds un kontaktinformācija vai norāda citu kontaktpersonu ar mērķi iegūt papildus informāciju par personas datu pārkāpumu; personas datu aizsardzības pārkāpuma iespējamo seku apraksts; pasākumu, ko Apstrādātājs veicis vai ierosinājis veikt, lai novērstu personas datu aizsardzības pārkāpumu, apraksts, tostarp pasākumi, lai mazinātu iespējamās nelabvēlīgās sekas, lai Pārzinis varētu izpildīt savu pienākumu ziņot par šo pārkāpumu Datu valsts inspekcijai. Xxxxxxxx var noteikt konkrētu formu, kā Apstrādātājam ir jāiesniedz iepriekš minētā informācija;

21. dokumentēt visus personas datu aizsardzības pārkāpumus, norādot faktus, kas saistīti ar personas datu pārkāpumu, tā sekas un veiktās koriģējošās darbības.

22. v eido personas datu rezerves kopijas saskaņā ar Pārziņa noteikto laika grafiku, t.i., reizi diennaktī veido personas datu rezerves kopijas visiem datiem un reizi nedēļā veido visas sistēmas (t.i. servera klonas) datu rezerves kopijas, izveidotās rezerves kopijas ir uzglabā divus mēnešus, nepieciešamības gadījumā nodrošinot vēsturisko datu atgūšanu (plānu pirms līguma noslēgšanas var abpusēji precizēt atbilstoši esošās sistēmas funkcionalitātei, nodrošinot mērķi – spēju atjaunot zaudētos datus avārijas vai incidenta gadījumā);

23. veic regulāri Sistēmas drošības riska analīzi;

24. 2 (divas) darba dienas iepriekš informē Izglītības iestādi par plānotajiem pārtraukumiem Sistēmas darbībā, norādot datumu, laiku un pārtraukuma ilgumu, vai iespējami īsā laikā, bet ne vēlāk kā 30 minūšu laikā par neplānotu pārtraukumu un Sistēmas darbības atjaunošanu pēc pārtraukuma, nosūtot informāciju uz konkrētās Izglītības iestādes e-pasta adresi;

25. n odrošina pakalpojumu nepārtrauktību, plānotos pārtraukumus Sistēmas darbībā veic ārpus Pirmsskolas izglītības iestādes darba laika – 7:00 -20:00 (nepieejamības laikam jābūt pēc iespējas mazākam, mācību procesa laikā darba dienās laikā no 7:00 – 20:00 pieejamībai jābūt 99,982% laika, šo pirms līguma noslēgšanas var abpusēji precizēt, ja ir mērīti esošie rādītāji, vai arī pēc pieredzes var pateikt kādu pieejamību var nodrošināt);

26. seko informācijai par aparatūras un programmatūras jauninājumiem, lai novērstu atklātos IKT resursu drošības trūkumus, par kuriem ir pieejama informācija. Apstrādātājs apkopo informāciju par Sistēmu kļūdām, Sistēmu lietotāju pieteikumiem un citām ar IKT resursu ekspluatāciju saistītām problēmām, lai identificētu Sistēmu pieejamības, integritātes un konfidencialitātes trūkumus;

īsteno vairāku līmeņu aizsardzību pret kaitniecisko programmatūru (datorvīrusi, ļaunatūra u.c.), ieviešot Sistēmās preventīvas, konstatējošas un korektīvas kontroles;

4.36. ja Apstrādātājs atsevišķus kritiskos IKT resursus, piemēram, tīkla komutācijas iekārtas, izvieto telpā, kurā ikdienā strādā personas, kurām nav piešķirtas tiesības piekļūt kritiskajiem IKT resursiem, tad kritiskos IKT resursus novieto aizslēdzamā metāla skapī;

4.37. kritiskos IKT resursus atļauts novietot:

4.37.1. tikai tādās telpās, kuras ikdienā ir slēgtas, un šajās telpās nodrošināts IKT resursa darbināšanai optimāls klimats atbilstoši IKT resursa ekspluatācijas noteikumiem;

4.37.2. telpās, kas nav pakļautas ārējās vides apdraudējumu riskam (paaugstināta ugunsbīstamība blakus telpās, ūdensvada bojājumu radīti plūdi, tuvumā esošas jaudīgas elektroiekārtas, pagrabstāvs, nedrošas celtniecības konstrukcijas u.c. riska faktori);

4.38. kritisko IKT resursu aizsardzībai Apstrādātājs lieto kritiskos IKT resursus nebojājošas ugunsdzēsības iekārtas, nepārtrauktas elektroapgādes iekārtas, gaisa kondicionierus, temperatūras un mitruma sensorus ar signalizācijas iespēju;

4.39. Apstrādātājs veic Sistēmas dokumentācijas papildināšanu, ja notiek izmaiņas Sistēmā;

4.40. Apstrādātājs veic Sistēmas apdraudējumu regulāru uzraudzību, nodrošinot operatīvu Sistēmas labojumu uzskaiti un ieviešanu;

4.41. Apstrādātājs nodrošina un periodiski izskata auditācijas pierakstu veidošanu, glabāšanu par visām darbībām, kas veiktas ar priviliģētā lietotāja vārdu un tam piešķirtajām tiesībām;

4.42. pārtraucot Sistēmas lietošanu vai to likvidējot, Apstrādātājs veic nepieciešamos drošības pasākumus, tajā skaitā riska analīzi;

4.43. Apstrādātājam ir apstiprināti Sistēmas drošības noteikumi, Sistēmas lietošanas noteikumi,

drošības riska pārvaldības plāns.

Pārzinis Rīgas domes Izglītības, kultūras un sporta departaments Direktors V.Uzvārds		Apstrādātājs Nosaukums Amats, vārds, uzvārds
Iepirkuma komisijas priekšsēdētāja		X. Xxxxxxxxxxxx
Xxxxxxxxxxxx 67026892

11