Vienošanās par personas datu apstrādi

10.pielikums

20 .gada ___. ___ __

līgumam Nr.___ ______

Vienošanās par personas datu apstrādi

Pasūtītājs, turpmāk tekstā saukts arī “Pārzinis”, no vienas puses, un Izpildītājs, turpmāk tekstā saukts arī “Apstrādātājs”, no otras puses, ievērojot Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (2016.gada 27.aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (turpmāk tekstā - Vispārējā datu aizsardzības regula) 28.panta 3.punktu, noslēdz Vienošanos par personas datu apstrādi, kuru Apstrādātājs veic Xxxxxxx vārdā un uzdevumā (turpmāk – Vienošanās):

1. Vienošanās lietotie termini:

1.1. Puses vienojas, ka šīs Vienošanās ietvaros jēdzieni - personas dati, personas datu apstrāde, pārzinis, apstrādātājs un datu subjekts un citi jēdzieni tiek lietoti – Vispārējās datu aizsardzības regulas izpratnē.

2. Informācija par personas datu apstrādi

2.1. Puses ir noslēgušas līgumu par braukšanas biļešu un konduktoru kontrolieru darba kvalitātes kontroli vilcienos, ar kuru Xxxxxxx vārdā Apstrādātājs sniegs Pārzinim pakalpojumu, turpmāk – Līgums. Vienošanās nosaka kārtību, kādā Apstrādātājs veic Pārziņa personas datu apstrādi pamatojoties uz noslēgto Līgumu un saskaņā ar Vispārīgo datu aizsardzības regulu un citiem attiecināmajiem normatīvajiem aktiem.

2.2. Apstrādātājs veic Pārziņa uzdevumā un interesēs personas datu apstrādi, kas nepieciešama, lai nodrošinātu pasažieru un bagāžas pārvadāšanas kontroli AS „Pasažieru vilciens” reģionālos starppilsētu nozīmes maršrutos pa dzelzceļu, kā arī kontrolētu konduktoru kontrolieru un pavadoņu (turpmāk – Konduktori) darba kvalitāti un pienākumu izpildi (turpmāk – Pakalpojums).

2.3. Datu apstrādes plānotais ilgums (termiņš) un glabāšana:

2.3.1. Apstrādātājs ir tiesīgs apstrādāt personas datus ne ilgāk kā tas nepieciešams Pakalpojuma nodrošināšanai, ja vien spēkā esošie Latvijas Republikas tiesību akti nenosaka citu personas datu apstrādes termiņu.

2.3.2. Apstrādātājs sniedzot Pakalpojumu, kuru laikā tiek iegūti personu dati no pasažieriem vai Xxxxxxx darbiniekiem tos pats neuzglabā, bet nodod Pārzinim.

2.3.3. Pakalpojuma nodrošināšanai nepieciešamo datu glabāšanas termiņus nosaka Latvijas Republikas tiesību akti katrā konkrētā gadījumā.

2.4. Datu apstrādes raksturs un nolūks:

2.4.1. Apstrādātāja sniegto Pakalpojumu ietvaros tiek veiktas šādas personas datu apstrādes darbības: aplūkošana, pārbaude, datu pierakstīšana izrakstot rēķinu vai kvīti par līgumsoda samaksu, vai sastādot aktus saistībā ar Pakalpojuma izpildi vai jebkādas cita veida darbības ar datiem saskaņā ar Pārziņa norādījumiem un atbilstoši normatīvo aktu prasībām.

2.4.2. Apstrādātājs apstrādās personas datus papīra veidā un saskaņā ar Līguma 2.3. un 2.4. punktu nosacījumiem skenētā vai fotogrāfētā veidā nosūtīs Pārzinim.

2.4.3. Datu apstrādes nolūki ir: uz Pārzini attiecināms juridisks pienākums nodrošināt pasažieru un bagāžas pārvadāšanas starppilsētu nozīmes maršrutos pa dzelzceļu un Pārziņa leģitīmās tiesības veikt savu darbinieku darba kvalitātes uzraudzību.

2.4.4. Personas datus var apstrādāt citiem tiesiskiem nolūkiem, kas neizriet no Līguma un Vienošanās, ja to paredz Latvijas Republikas normatīvie akti vai norādījumi izriet no Pārziņa dokumentētiem norādījumiem.

2.5. Apstrādātājs apstrādās šādas personas datu kategorijas un veidus:

2.5.1. Pasažieru dati – vārds, uzvārds, personas kods, dzīves vietas adrese, telefona numurs – tikai gadījumos, kad tiek izrakstīts rēķins vai kvīts. Personu apliecinoša dokumenta, dzimšanas apliecības vai tādu dokumentu dati, kas apliecina pasažiera tiesības saņemt braukšanas atvieglojumus – aplūkošana.

2.5.2. Braukšanas dokumenta dati – biļetes veids, braukšanas maršruts, derīguma termiņš un citi braukšanas dokumenta rekvizīti; bagāžas dati.

2.5.3. Xxxxxxx darbinieku dati – vārds, uzvārds, amats, kontaktinformācija – telefona numurs u.tml..

2.5.4. Apstrādātāja un Pārziņa darbinieku un Pakalpojuma nodrošināšanā iesaistīto darbinieku kontaktinformācija un identitātes apliecināšanai nepieciešamā dokumentācija.

2.6. Apstrādātie personas dati attiecas uz šādām datu subjektu kategorijām:

2.6.1. Dzelzceļa pasažieri.

2.6.2. Xxxxxxx darbinieki.

2.6.3. Apstrādātāja darbinieki uz Līguma pamata un citas Apstrādātāja nozīmētās kontaktpersonas.

3. Xxxxxxx pienākumi un tiesības

3.1. Pārziņa pienākumi:

3.1.1.Nodot vai ļaut piekļuvi personas datiem tikai atbilstoši Vienošanās 2.4.apakšpunktā noteiktajam personas datu apstrādes raksturam un nolūkam un saskaņā ar Vienošanās 5.punktā norādītajām un Vispārējā datu aizsardzības regulā paredzētajām personas datu aizsardzības obligātajām tehniskajām un organizatoriskajām prasībām.

3.1.2. Pārzinis garantē, ka īsteno Vienošanās 5.punktā norādītās un Vispārējā datu aizsardzības regulā paredzētās personas datu aizsardzības obligātās tehniskās un organizatoriskās prasības.

3.1.3. Pārliecināties par Apstrādātāja spēju pildīt juridiskās saistības saskaņā ar Vienošanās nosacījumiem.

3.1.4. Pārzinis nodrošina un garantē, ka Vienošanās ietvaros veiktā personas datu apstrāde tiek īstenota saskaņā ar Vispārējo datu aizsardzības regulu un citiem normatīvajiem aktiem personas datu aizsardzības jomā.

3.1.5. Xxxxxxxx garantē, ka viņš ir informējis Apstrādātāju par to, ka personas datu apstrādi ir jāveic tikai Xxxxxxx vārdā, saskaņā ar piemērojamiem normatīvajiem aktiem personas datu aizsardzības jomā un šo Vienošanos. Pārzinis apņemas veikt nepieciešamo Apstrādātāja instruktāžu visā Līguma un Vienošanās darbības laikā, ja, tas Apstrādātājam ir nepieciešams.

3.2. Pārziņa tiesības:

3.2.1. kontrolēt Apstrādātāju par Vienošanās noteikumu izpildi, kā arī spēju nodrošināt datu drošību;

3.2.2. uz laiku apturēt vai ierobežot Apstrādātāja piekļuvi personas datiem, ja konstatēti drošības apdraudējumi;

3.2.3. izbeigt Līgumu, ja Apstrādātājs nepilda Vienošanās saistības vai neveic pietiekamus pasākumus datu aizsardzībai;

3.2.4. izbeigt Līgumu, ja Apstrādātājs, ievērojot normatīvos aktus, nespēj pildīt Vienošanās saistības;

3.2.5. iestājoties Vienošanās 4.4.apakšpunktā noteiktajam gadījumam, t.i., ja Apstrādātājs paziņo Pārzinim par normatīvo aktu izmaiņām, iestāžu vai tiesu lēmumiem, kas kavē personas datu apstrādātājam pildīt saistības saskaņā ar Vienošanos, Pārzinis var apturēt vai izbeigt Līgumu.

4. Apstrādātāja pienākumi

4.1. Pirms personas datu apstrādes uzsākšanas Apstrādātājs nodrošina Vienošanās 5.punktā norādīto un Vispārējā datu aizsardzības regulā paredzēto personas datu aizsardzības obligāto tehnisko un organizatorisko prasību izpildi.

4.2. Apstrādāt personas datus tikai atbilstoši Vienošanās 2.4.apakšpunktā noteiktajam personas datu apstrādes raksturam un nolūkam, garantējot, ka tiks īstenoti atbilstošie tehniskie un organizatoriskie pasākumi tādā veidā, ka apstrādē tiks ievērotas Vispārējās datu aizsardzības regulas prasības un tiks nodrošināta datu subjektu tiesību aizsardzība.

4.3. Neuzglabāt personas datus ilgāk kā tas nepieciešams mērķim, kādam tie tiek apstrādāti, un nodrošināt, ka personas dati ir precīzi un laikus atjaunoti atbilstoši personas datu apstrādes mērķim.

4.4. Apstrādātājs garantē, ka viņam nav pamata uzskatīt, ka piemērojamie normatīvie akti neļauj viņam pildīt Vienošanās prasības. Apstrādātājs apņemas nekavējoties paziņot Pārzinim par normatīvo aktu izmaiņām, iestāžu vai tiesu lēmumiem, kas kavē vai nepieļauj Apstrādātājam pildīt saistības saskaņā ar Vienošanos.

4.5. Apstrādātājs rakstiski informē Xxxxxxx, ja Apstrādātājam ir noslēgts līgums ar apakšuzņēmējiem, kuri ir piesaistīti Līguma saistību izpildē 3 (trīs) mēnešu laikā pēc šīs Vienošanās noslēgšanas, norādot apakšuzņēmēju rekvizītus, valsti, kurā apakšuzņēmējs atrodas, ja tā nav Latvija. Apstrādātājam ir pienākums informēt Xxxxxxx par izmaiņām attiecībā uz apakšuzņēmējiem. Pārzinim ir tiesības iebilst par apakšuzņēmēja piesaisti, ja tā personas datu aizsardzības tehniskie un organizatoriskie pasākumi neatbilst Vispārīgās datu aizsardzības regulas prasībām.

4.6. Apstrādātājs personas datus apstrādā tikai pēc Pārziņa norādījumiem, tostarp saistībā ar nosūtīšanu uz trešo valsti vai starptautisku organizāciju, izņemot, ja tas ir jādara saskaņā ar Eiropas Savienības vai dalībvalsts tiesību aktiem, kas piemērojami Apstrādātājam, un šādā gadījumā Apstrādātājs par minēto juridisko prasību informē Pārzini pirms apstrādes, izņemot, ja ar attiecīgo tiesību aktu šāda informēšana ir aizliegta svarīgu sabiedrības interešu dēļ.

4.7. Apstrādātājs informē, ka viņš izmanto šādus drošības standartus, kas attiecas uz personas datu apstrādi un aizsardzību, informācijas un komunikācijas tehnoloģiju drošību un tie attiecas uz šī Līguma izpildi: piekļuve datiem tiek nodrošināta tikai tam pilnvarotajām personām, elektroniski apstrādātie dati aizsargāti ar attiecīga līmeņa parolēm, tiek ievērots datu minimizēšanas princips. Apstrādātājs garantē, ka tas ievēro visas Vispārīgās datu aizsardzības regulas 32.pantā paredzētās apstrādes drošības prasības.

4.8. Apstrādātājs nodrošina, ka personas, kuras ir pilnvarotas apstrādāt datus, ir apņēmušās ievērot konfidencialitāti, vai viņām ir noteikts attiecīgs likumisks pienākums ievērot konfidencialitāti attiecībā uz personu datiem.

4.9. Pēc Xxxxxxx un datu subjekta pieprasījuma sniegt Xxxxxxxx un datu subjektam informāciju par personas datu apstrādi, ko veic Apstrādātājs, un informāciju par tām fiziskajām vai juridiskajām personām, valsts vai pašvaldību iestādēm, kuras no Apstrādātāja ir saņēmušas informāciju par šo datu subjektu.

4.10. Nekavējoties informēt Pārzini par tiesībsargājošo iestāžu pieprasījumiem, kā arī gadījumos, kad nepilnvarotām vai trešajām personām radās pieeja personas datiem.

4.11. Nekavējoties informēt Pārzini par jebkuru pieprasījumu, kas tiešā veidā saņemts no datu subjekta un uz kuru Apstrādātājs nav pilnvarots sniegt atbildi.

4.12. Sniegt pēc Xxxxxxx rakstiska pieprasījuma visu tam nepieciešamo informāciju novērtējuma par ietekmi uz datu aizsardzību sagatavošanai vai datu apstrādes reģistra izveidei.

4.13. Apstrādātājam ir pienākums informēt Pārzini par jebkuru drošības incidenta gadījumu, kam ir tiešas vai netiešas sekas uz Datu apstrādi.

4.14. Vienošanās 4.11. un 4.13. apakšpunktā minētā informācija jānosūta Pārzinim elektroniskā veidā uz e-pasta adresi: xxxxxxxxxxxxxxx@xx.xx cik vien ātri iespējams, bet ne vēlāk kā 24 stundas pēc drošības incidenta atklāšanas vai sūdzības saņemšanas.

4.15. Atlīdzināt datu subjektam nodarīto kaitējumu vai zaudējumus, ja tie radušies Vienošanās nosacījumu neievērošanas dēļ no Apstrādātāja puses.

4.16. Sniegt Latvijas Republikas Datu valsts inspekcijai tās uzdevumu veikšanai nepieciešamo informāciju un dokumentus, kas saistīti ar personas datu apstrādi šīs Vienošanās ietvaros.

4.17. Nodrošināt Pārzinim un Latvijas Republikas Datu valsts inspekcijas pārstāvjiem brīvu pieeju telpām, kurās personas datu apstrādātājs apstrādā nosūtītos personas datus, pieeju visai dokumentācijai, kā arī personas datu apstrādes sistēmām, jebkurām apstrādes iekārtām vai informācijas nesējiem, lai pārbaudītu nosūtīto personas datu apstrādes atbilstību Vienošanās prasībām.

4.18. Iznīcināt personas datus, visus apstrādes līdzekļus un dokumentus, kas satur personas datus, ja Līguma darbība tiek izbeigta, izņemot šī Vienošanās 2.6.punktā noteikto gadījumu. Ja datu iznīcināšana vai nodošana atpakaļ Pārzinim nav iespējama, Apstrādātājs informē Pārzini par uzglabāšanas termiņiem un apņemas nodrošināt pienācīgu personas datu aizsardzību, kamēr:

4.18.1. tiks izbeigtas saistības pret datu subjektu;

4.18.2. nacionālie normatīvie akti neparedzēs tiesības iznīcināt dokumentus.

5. Personas datu aizsardzības obligātās tehniskās un organizatoriskās prasības

5.1. Personas datu obligāto tehnisko aizsardzību Pārzinis un Apstrādātājs īsteno ar fiziskiem un loģiskiem aizsardzības līdzekļiem, nodrošinot:

5.1.1. aizsardzību pret fiziskās iedarbības radītu personas datu apdraudējumu;

5.1.2. aizsardzību, kuru realizē ar programmatūras līdzekļiem, parolēm, šifrēšanu, un citiem loģiskās aizsardzības līdzekļiem.

5.2. Apstrādājot personas datus, Pārzinis un Apstrādātājs nodrošina:

5.2.1. pilnvarotu personu piekļūšanu pie tehniskajiem resursiem, kas tiek izmantoti personu datu apstrādei un aizsardzībai (tajā skaitā pie personas datiem);

5.2.2. to, ka informācijas nesējus, kuros ir personas dati, reģistrē, pārvieto, sakārto, pārveido, nodod, kopē un citādi apstrādā tam pilnvarotas personas;

5.2.3. to, ka personas datu vākšanu, ierakstīšanu, ierakstīto personas datu sakārtošanu, saglabāšanu, kopēšanu, pārrakstīšanu, pārveidošanu, labošanu, dzēšanu, iznīcināšanu, arhivēšanu, rezerves kopēšanu, bloķēšanu veic tam pilnvarotas personas, kā arī nodrošina iespēju noteikt personas datus, kuri bijuši apstrādāti bez attiecīgā pilnvarojuma, kā arī apstrādes laiku un personu, kas to veikusi;

5.2.4. to, ka personas datu apstrādē izmantotos resursus pārvieto tam pilnvarotas personas;

5.2.5. apstrādājot personas datus, informācijas saglabāšanu par personas datiem, kas tikuši nodoti, personas datu nodošanas laiku, personu, kas nodevusi personas datus, personu, kas saņēmusi personas datus;

5.2.6. saņemot personas datus, informācijas saglabāšanu par saņemtajiem personas datiem, personas datu saņemšanas laiku, personu, kas nodevusi personas datus, personu, kas saņēmusi personas datus.

6. Pienākumi pēc personas datu apstrādes izbeigšanas

6.1. Puses vienojas, ka, izbeidzot Līgumu, Apstrādātājs iznīcina visus no Pārziņa saņemtos personas datus un apliecina Pārzinim, ka tas ir izdarīts Izpildot šī punkta nosacījumus, Apstrādātājs rīkojas saskaņā ar Pārziņa norādījumiem.

6.2. Gadījumā, ja Apstrādātājs nodod atpakaļ Pārzinim visus no Pārziņa saņemtos personas datus, Apstrādātājs garantē, ka tas nodrošinās šo personas datu konfidencialitāti un vairs neapstrādās saņemtos personas datus.

7. Strīdu izšķiršanas kārtība un piemērojamie tiesību akti

7.1. Puses vienojas, ka strīdus par Vienošanās neievērošanu izskata Latvijas Republikas tiesā.

7.2. Strīdus izskata saskaņā ar Latvijas Republikas teritorijā piemērojamajiem tiesību aktiem.

Pasūtītāja vārdā:


__________________ X.X.Xxxxxxxx

__________________ X.Xxxxxxx

__________________ X.Xxxxxxxxxxxx
Izpildītāja vārdā:


__________________