Translations proofread by EDPB Members. This language version has not yet been proofread.

1. lpp. no 17

Translations proofread by EDPB Members.

This language version has not yet been proofread.

MELNRAKSTS

Līguma standartklauzulas

Regulas 2016/679 (VDAR) 28. panta 3. punkta nolūkiem starp

[REĢ.-NR.]

[NOSAUKUMS]

[VALSTS]

"[PASTA INDEKSS UN PILSĒTA]"

Reģ. Nr. [ADRESE]

(datu pārzinis) un

[REĢ.-NR.]

[NOSAUKUMS]

[VALSTS]

"[PASTA INDEKSS UN PILSĒTA]"

Reģ. Nr. [ADRESE]

(datu apstrādātājs)

turpmāk tekstā katrs atsevišķi saukts Puse, abi kopā — Xxxxx,

IR VIENOJUŠĀS par šādām līguma klauzulām (Klauzulas), lai izpildītu VDAR prasības un nodrošinātu datu subjekta tiesību aizsardzību.

1. Saturs

2. Preambula 3

3. Datu pārziņa tiesības un pienākumi 3

4. Datu apstrādātājs rīkojas saskaņā ar norādījumiem 4

5. Konfidencialitāte 4

6. Apstrādes drošība 4

7. Apakšapstrādātāju izmantošana 5

8. Datu nosūtīšana trešām valstīm vai starptautiskām organizācijām 6

9. Palīdzība datu pārzinim 6

10. Ziņošana par personas datu aizsardzības pārkāpumu 7

11. Datu dzēšana un atdošana 8

12. Revīzija un pārbaude 8

13. Pušu vienošanās par citiem nosacījumiem 8

14. Darbības sākums un izbeigšana 8

15. Datu pārziņa un datu apstrādātāja kontaktpersonas/kontaktpunkti 9

A papildinājums Informācija par apstrādi 10

B papildinājums Pilnvarotie apakšapstrādātāji 11

C papildinājums Norādījumi par personas datu izmantošanu 12

D papildinājums Pušu vienošanās par citiem jautājumiem 17

2. lpp. no 17

2. Preambula

3. lpp. no 17

1. Šajās līguma klauzulās (Klauzulas) ir noteiktas datu pārziņa un datu apstrādātāja tiesības un pie- nākumi, veicot personas datu apstrādi datu pārziņa vārdā.

2. Klauzulas ir izstrādātas, lai nodrošinātu pušu atbilstību 28. panta 3. punktam Eiropas Parlamenta un Padomes Regulā (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attie- cībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vis- pārīgā datu aizsardzības regula).

3. Saistībā ar [PAKALPOJUMA NOSAUKUMS] nodrošināšanu datu apstrādātājs apstrādās personas datus datu pārziņa vārdā atbilstīgi Klauzulām.

4. Klauzulām ir prioritārs statuss attiecībā uz jebkuriem līdzīgiem noteikumiem, kas ietverti citos pušu līgumos.

5. Klauzulām ir pievienoti četri papildinājumi, kas ir šo Klauzulu neatņemama sastāvdaļa.

6. A papildinājums satur informāciju par personas datu apstrādi, tostarp apstrādes mērķi un raksturu, personas datu veidu, datu subjektu kategorijām un apstrādes ilgumu.

7. B papildinājums satur datu pārziņa nosacījumus datu apstrādātāja apakšapstrādātāju izmantoša- nai un datu pārziņa pilnvaroto apakšapstrādātāju sarakstu.

8. C papildinājums satur datu pārziņa norādījumus attiecībā uz personas datu apstrādi, minimālajiem drošības pasākumiem, kādi datu apstrādātājam jāievieš, un par veidu, kādā veicama datu apstrā- dātāja un visu apakšapstrādātāju revīzija.

9. D papildinājums satur nosacījumus citām darbībām, uz kurām Klauzulas neattiecas.

10. Klauzulas un papildinājumus abas puses glabā rakstveidā, tostarp elektroniski.

11. Klauzulas neatbrīvo datu apstrādātāju no pienākumiem, kas uz datu apstrādātāju attiecas saskaņā ar Vispārīgo datu aizsardzības regulu (VDAR) vai citiem tiesību aktiem.

3. Datu pārziņa tiesības un pienākumi

1. Datu pārziņa pienākums ir nodrošināt, lai personas datu apstrāde notiktu saskaņā ar VDAR (skatīt

24. pantu), piemērojamajiem ES vai dalībvalsts1 datu aizsardzības noteikumiem un šīm Klauzulām.

2. Datu pārzinim ir tiesības un pienākums pieņemt lēmumus par personas datu apstrādes mērķiem un līdzekļiem.

3. Datu pārzinis cita starpā atbild arī par to, lai personas datu apstrādei, kuru datu apstrādātājam ir uzdots veikt, būtu likumīgs pamats.

1 Šajās Klauzulās atsauces uz “dalībvalstīm” būtu jāsaprot kā atsauces uz “EEZ dalībvalstīm”.

4. Datu apstrādātājs rīkojas saskaņā ar norādījumiem

4. lpp. no 17

1. Datu apstrādātājs apstrādā personas datus tikai saskaņā ar datu pārziņa dokumentētiem norādīju- miem, izņemot gadījumus, kad apstrādi pieprasa Savienības vai dalībvalsts tiesību akti, kuri ap- strādātājiem ir jāievēro. Šādi norādījumi precizēti A un C papildinājumā. Datu pārzinis var dot turp- mākus norādījumus arī visā personas datu apstrādes laikā, taču šādus norādījumus saistībā ar Klauzulām vienmēr dokumentē un glabā rakstiski, tostarp elektroniski.

2. Datu apstrādātājs nekavējoties informē datu pārzini, ja datu pārziņa sniegtie norādījumi, pēc datu apstrādātāja domām, ir pretrunā ar VDAR vai piemērojamajiem ES vai dalībvalsts personas datu aizsardzības noteikumiem.

MENTĒ PUŠU VIENOŠANĀS IETVAROS.]

[PIEZĪME: PUSĒM BŪTU JĀPAREDZ UN JĀAPSVER SEKAS, KĀDAS VAR IESTĀTIES IESPĒ- JAMI NELIKUMĪGU DATU PĀRZIŅA SNIEGTU NORĀDĪJUMU REZULTĀTĀ, UN TAS JĀREGLA-

5. Konfidencialitāte

1. Datu apstrādātājs piekļuvi personas datiem, kas tiek apstrādāti datu pārziņa vārdā, piešķir tikai tām personām, kuras ir datu apstrādātāja pakļautībā un kuras ir apņēmušās ievērot konfidencialitāti vai uz kurām attiecas atbilstošais likumā noteiktais konfidencialitātes pienākums, un tikai pamatojoties uz vajadzību pēc informācijas. To personu sarakstu, kurām ir piešķirta piekļuve, regulāri pārskata. Pamatojoties uz šo pārskatu, šādu piekļuvi personas datiem var atsaukt, ja piekļuve vairs nav ne- pieciešama, un tādējādi personas dati šīm personām vairs nav pieejami.

2. Datu apstrādātājs pēc datu pārziņa pieprasījuma pierāda, ka uz attiecīgajām datu apstrādātāja pakļautībā esošajām personām attiecas iepriekšminētais konfidencialitātes pienākums.

6. Apstrādes drošība

1. VDAR 32. pantā noteikts, ka, ņemot vērā tehnikas līmeni, īstenošanas izmaksas un apstrādes rak- sturu, tvērumu, kontekstu un nolūkus, kā arī dažādas iespējamības un smaguma pakāpes riskus attiecībā uz fizisku personu tiesībām un brīvībām, pārzinis un apstrādātājs īsteno atbilstīgus teh- niskus un organizatoriskus pasākumus, lai nodrošinātu tādu drošības līmeni, kas atbilst riskam.

Datu pārzinis novērtē apstrādei raksturīgos riskus fizisko personu tiesībām un brīvībām un īsteno pasākumus šo risku mazināšanai. Atkarībā no to nozīmīguma šie pasākumi var ietvert:

a. personas datu pseidonimizāciju un šifrēšanu;

b. spēju nodrošināt apstrādes sistēmu un pakalpojumu nepārtrauktu konfidencialitāti, integritāti, pieejamību un noturību;

c. spēju laicīgi atjaunot personas datu pieejamību un piekļuvi tiem gadījumā, ja ir noticis fizisks vai tehnisks negadījums;

d. procesu regulāru tehnisko un organizatorisko pasākumu efektivitātes testēšanu, izvērtēšanu un novērtēšanu, lai nodrošinātu apstrādes drošību.

2. Saskaņā ar VDAR 32. pantu datu apstrādātājs arī neatkarīgi no datu pārziņa novērtē apstrādei raksturīgos riskus fizisko personu tiesībām un brīvībām un īsteno pasākumus šo risku mazināša- nai. Šajā nolūkā datu pārzinis sniedz datu apstrādātājam visu informāciju, kas nepieciešama šādu risku identificēšanai un novērtēšanai.

3. Turklāt datu apstrādātājs palīdz datu pārzinim izpildīt datu pārziņa VDAR 32. pantā ietver-5. lpp. no 17 tos pienākumus, cita starpā nodrošinot datu pārzini ar informāciju par tehniskajiem un organizato- riskajiem pasākumiem, kādus datu apstrādātājs jau ir īstenojis saskaņā ar VDAR 32. pantu, kā ar jebkādu citu informāciju, kas datu pārzinim nepieciešama, lai izpildītu datu pārziņa pienākumus atbilstīgi VDAR 32. pantam.

Ja vēlāk datu pārziņa ieskatā identificēto risku mazināšanai datu apstrādātājam ir jāievieš pasā- kumi papildus jau ieviestajiem saskaņā ar VDAR 32. pantu, datu pārzinis norāda šos ieviešamos papildu pasākumus C papildinājumā.

7. Apakšapstrādātāju izmantošana

1. Piesaistot citu apstrādātāju (apakšapstrādātāju), datu apstrādātājs nodrošina atbilstību VDAR

28. panta 2. un 4. punktā noteiktajām prasībām

2. Tāpēc datu apstrādātājs nepiesaista citu apstrādātāju (apakšapstrādātāju) šo Klauzulu izpildei bez datu pārziņa iepriekšējas [1. IZVĒLE] īpašas rakstveida atļaujas] / [2. IZVĒLE] vispārējas rakstis- kas atļaujas.

3. [1. IZVĒLE ĪPAŠA IEPRIEKŠĒJA ATĻAUJA] Datu apstrādātājs piesaista apakšapstrādātājus tikai ar datu pārziņa īpašu iepriekšēju atļauju. Datu apstrādātājs iesniedz īpašas atļaujas pieprasījumu vismaz [NORĀDĪT LAIKA PERIODU] pirms attiecīgā apakšapstrādātāja piesaistes. Datu pārziņa apstiprinātais apakšapstrādātāju saraksts ir atrodams B papildinājumā.

[2. IZVĒLE VISPĀRĒJĀ RAKSTISKĀ ATĻAUJA] Datu apstrādātājam ir datu pārziņa vispārēja at- ļauja apakšapstrādātāju piesaistei. Datu apstrādātājs rakstiski informē datu pārzini par visām pa- redzētajām izmaiņām attiecībā uz apakšapstrādātāju pievienošanu vai aizstāšanu vismaz [NORĀ- DĪT LAIKA PERIODU] iepriekš, sniedzot datu pārzinim iespēju iebilst pret šādām izmaiņām pirms attiecīgā apakšapstrādātāja piesaistes. B papildinājumā var noteikt ilgākus laika periodus paziņo- juma par apakšapstrādātāju pakalpojumiem iepriekšējai sniegšanai. Datu pārziņa apstiprinātais apakšapstrādātāju saraksts ir atrodams B papildinājumā.

4. Ja datu apstrādātājs ir piesaistījis apakšapstrādātāju, lai veiktu noteiktas apstrādes darbības datu pārziņa vārdā, šim apakšapstrādātājam ar līgumu vai citu ES vai dalībvalsts tiesību aktu tiek uzlikti tādi paši datu aizsardzības pienākumi, kādi noteikti Klauzulās, jo īpaši nodrošināt pietiekamas ga- rantijas, ka tiek īstenoti atbilstoši tehniskie un organizatoriskie pasākumi, lai apstrāde atbilstu Klau- zulām un VDAR prasībām.

Tāpēc datu apstrādātāja atbildība ir pieprasīt, lai apakšapstrādātājs izpildītu vismaz tās saistības, kas uz datu apstrādātāju attiecas saskaņā ar Klauzulām un VDAR.

5. Šāda apakšapstrādātāja līguma un turpmāko grozījumu kopija pēc datu pārziņa pieprasījuma tiek iesniegta datu pārzinim, tādējādi dodot datu pārzinim iespēju pārliecināties, ka uz apakšapstrādā- tājam attiecas tādi paši datu aizsardzības pienākumi, kādi noteikti Klauzulās. Klauzulas par ar uz- ņēmējdarbību saistītiem jautājumiem, kas neskar apakšapstrādātāja līguma juridisko datu aizsar- dzības saturu, datu pārzinim nav jāiesniedz.

6. Datu apstrādātājs vienojas ar apakšapstrādātāju par ieinteresētās trešās personas klauzulu — datu apstrādātāja bankrota gadījumā datu pārzinis ir ieinteresētā trešā persona saskaņā ar apakšapstrādātāja līgumu un tam ir tiesības panākt līguma izpildi pret datu apstrādātāja piesaistīto apakšapstrādātāju, piemēram, ļaujot datu pārzinim uzdot apakšapstrādātājam dzēst vai atdot per- sonas datus.

6. lpp. no 17

7. Ja apakšapstrādātājs nepilda savus datu aizsardzības pienākumus, datu apstrādātājs uzņemas pilnu atbildību pret datu pārzini attiecībā uz apakšapstrādātāja saistību izpildi. Tas neietekmē datu subjektu VDAR ietvertās tiesība, jo īpaši tās, kas paredzētas VDAR 79. un 82. pantā, attiecībā pret datu pārzini un datu apstrādātāju, tostarp apakšapstrādātāju.

8. Datu nosūtīšana trešām valstīm vai starptautiskām organizācijām

1. Personas datu nosūtīšana trešām valstīm vai starptautiskām organizācijām, ko veic datu apstrādā- tājs, notiek tikai, pamatojoties uz datu pārziņa dokumentētiem norādījumiem, un vienmēr saskaņā ar VDAR V nodaļu.

2. Ja saskaņā ar ES vai dalībvalsts tiesību aktiem, kas attiecas uz datu apstrādātāju, ir jāveic datu nosūtīšana trešām valstīm vai starptautiskām organizācijām, par kuru datu pārzinis apstrādātājam nav devis norādījumus, datu apstrādātājs informē datu pārzini par šo juridisko prasību pirms ap- strādes veikšanas, ja vien likumā nav noteikts aizliegums izpaust šādu informāciju būtisku sabied- rības interešu dēļ.

3. Tāpēc bez datu pārziņa dokumentētiem norādījumiem datu apstrādātājs nevar veikt šādas darbī- bas Klauzulu ietvaros:

a. nosūtīt personas datus datu pārzinim vai datu apstrādātājam, kas atrodas trešā valstī, vai starptautiskai organizācijai;

b. nosūtīt personas datu apstrādi apakšapstrādātājam trešā valstī;

c. veikt personas datus apstrādi, izmantojot datu apstrādātāju trešā valstī.

4. Datu pārziņa norādījumi par personas datu nosūtīšanu trešai valstij, tostarp attiecīgā gadījumā no- sūtīšanas rīku saskaņā ar VDAR V nodaļu, kurā tie balstīti, ir izklāstīti C.6 papildinājumā.

5. Šīs Klauzulas nedrīkst sajaukt ar standarta datu aizsardzības klauzulām VDAR 46. panta 2. punkta

c) un d) apakšpunkta izpratnē, un puses nevar atsaukties uz Klauzulām kā nosūtīšanas rīku sas- kaņā ar VDAR V nodaļu.

9. Palīdzība datu pārzinim

1. Ņemot vērā apstrādes raksturu, datu apstrādātājs, ja iespējams, palīdz datu pārzinim, izmantojot attiecīgus tehniskus un organizatoriskus pasākumus, lai izpildītu datu pārziņa pienākumu atbildēt uz datu subjektu pieprasījumiem īstenot to VDAR III nodaļā noteiktās tiesības.

Tas nozīmē, ka datu apstrādātājs, ciktāl tas ir iespējams, palīdz datu pārzinim nodrošināt, ka datu pārzinis ievēro:

a. tiesības būt informētam, vācot personas datus no datu subjekta;

b. tiesības būt informētam, ja personas dati nav iegūti no datu subjekta;

c. datu subjekta piekļuves tiesības;

d. tiesības labot datus;

e. tiesības uz datu dzēšanu (“tiesības tikt aizmirstam”);

f. tiesības ierobežot apstrādi;

g. pienākumu ziņot par personas datu labošanu vai dzēšanu vai apstrādes ierobežošanu;

h. tiesības uz datu pārnesamību;

i. tiesības iebilst;

j. tiesības nebūt tādu lēmumu subjektam, kuru pamatā ir tikai automatizēta ap- 7. lpp. no 17

strāde, tostarp profilēšana.

2. Papildus datu apstrādātāja pienākumam palīdzēt datu pārzinim saskaņā ar 6.4. punktu datu ap- strādātājs turklāt, ņemot vērā apstrādes raksturu un datu apstrādātājam pieejamo informāciju, pa- līdz datu pārzinim izpildīt:

a. datu pārziņa pienākumu bez nepamatotas kavēšanās un, ja iespējams, ne vēlāk kā 72 stundu laikā no brīža, kad pārkāpums tam kļuvis zināms, informēt kompetento uzrau- dzības iestādi [LŪDZU, NORĀDIET KOMPETENTO UI] par personas datu aizsardzības pārkāpumu, izņemot gadījumus, kad personas datu aizsardzības pārkāpums, visticamāk, nerada risku fizisko personu tiesībām un brīvībām;

b. datu pārziņa pienākumu bez nepamatotas kavēšanās paziņot datu subjektam par perso- nas datu pārkāpumu, ja pastāv iespēja, ka personas datu pārkāpums rada augstu risku fizisko personu tiesībām un brīvībām;

c. datu pārziņa pienākumu veikt paredzēto apstrādes darbību ietekmes uz personas datu aizsardzību novērtējumu (datu aizsardzības ietekmes novērtējums);

d. datu pārziņa pienākumu pirms apstrādes apspriesties ar kompetento uzraudzības iestādi [LŪDZU, NORĀDIET KOMPETENTO UI], ja datu aizsardzības ietekmes novērtējums no- rāda, ka apstrāde radītu augstu risku gadījumā, kad datu pārzinis neveic pasākumus riska mazināšanai.

3. Puses C papildinājumā definē atbilstošus tehniskos un organizatoriskos pasākumus, kurus datu apstrādātājs izmanto, sniedzot palīdzību datu pārzinim, kā arī nepieciešamās palīdzības tvērumu un apjomu. Tas attiecas uz 9.1. un 9.2. punktā paredzētajiem pienākumiem.

10. Ziņošana par personas datu aizsardzības pārkāpumu

1. Jebkura personas datu pārkāpuma gadījumā datu apstrādātājs bez nepamatotas kavēšanās, tiklīdz tas kļuvis zināms, paziņo datu pārzinim par personas datu aizsardzības pārkāpumu.

2. Datu apstrādātājs paziņojumu datu pārzinim, ja iespējams, sniedz [STUNDU SKAITS] laikā pēc tam, kad datu apstrādātājs ir uzzinājis par personas datu aizsardzības pārkāpumu, lai datu pārzinis varētu izpildīt savu pienākumu ziņot par personas datu aizsardzības pārkāpumiem kompetentajai uzraudzības iestādei, skatīt VDAR 33. pantu.

3. Saskaņā ar 9. punkta 2. apakšpunkta a) punktu datu apstrādātājs palīdz datu pārzinim ziņot par personas datu aizsardzības pārkāpumu kompetentajai uzraudzības iestādei, kas nozīmē, ka datu apstrādātājam ir pienākums palīdzēt iegūt turpmāk uzskaitīto informāciju, kas saskaņā ar VDAR

33. panta 3. punktu ir jānorāda datu pārziņa paziņojumā kompetentajai uzraudzības iestādei:

a. personas datu aizsardzības raksturs, tostarp, ja iespējams, attiecīgo datu subjektu kate- gorijas un aptuvenais skaits un attiecīgo personas datu ierakstu kategorijas un aptuvenais skaits;

b. personas datu aizsardzības pārkāpuma iespējamās sekas;

x. xxxxxxxx, ko pārzinis īstenojis vai ierosinājis īstenot, lai novērstu personas datu 8. lpp. no 17 aizsardzības pārkāpumu, tostarp attiecīgā gadījumā pasākumi tā iespējamo nelabvēlīgo seku mazināšanai.

4. Puses D papildinājumā definē elementus, kādi datu apstrādātājam jāsniedz, lai palīdzētu datu pār- zinim ziņot kompetentajai uzraudzības iestādei par personas datu aizsardzības pārkāpumu.

11. Datu dzēšana un atdošana

[2. IZVĒLE] atdot visus personas datus datu pārzinim un dzēst to kopijas,

VĒLE] dzēst visus datu pārziņa vārdā apstrādātos personas datus un sniegt datu pārzinim aplieci-

[1. IZ-

1. Pārtraucot sniegt personas datu apstrādes pakalpojumus, datu apstrādātājam ir pienākums

nājumu par to

/ izņemot

gadījumus, kad Savienības vai dalībvalsts tiesību aktos noteikts pienākums glabāt personas datus.

2. [IZVĒLES] Šādos apstrādātājam piemērojamajos ES vai dalībvalsts tiesību aktos noteikts pienā- kums glabāt personas datus pēc personas datu apstrādes pakalpojumu sniegšanas izbeigšanas:

a. […]

Datu apstrādātājs apņemas apstrādāt personas datus vienīgi šajā likumā paredzētajiem nolūkiem un termiņā, un saskaņā ar strikti piemērojamajiem nosacījumiem.

12. Revīzija un pārbaude

1. Datu apstrādātājs datu pārzinim dara pieejamu jebkādu informāciju, kas nepieciešama, lai pierā- dītu, ka ir izpildīti 28. pantā un Klauzulās noteiktie pienākumi, kā arī atļauj un palīdz veikt datu pārziņa vai cita datu pārziņa pilnvarotā revidenta īstenotās revīzijas, tostarp pārbaudes.

2. Procedūras, kas piemērojamas datu pārziņa veiktajām datu apstrādātāja un datu apakšapstrādā- tāja revīzijām, tostarp pārbaudēm, ir noteiktas C.7 un C.8 papildinājumā.

3. Datu apstrādātājam ir jānodrošina uzraudzības iestādēm, kurām saskaņā ar piemērojamajiem tie- sību aktiem ir piekļuve datu pārziņa un datu apstrādātāja telpām, vai to pārstāvjiem, kas rīkojas šādu uzraudzības iestāžu vārdā, piekļuve datu apstrādātāja fiziskajām telpām, uzrādot atbilstošu identitāti apliecinošu dokumentu.

13. Pušu vienošanās par citiem nosacījumiem

1. Puses var vienoties par citām klauzulām attiecībā uz personas datu apstrādes pakalpojuma snieg- šanu, precizējot, piemēram, atbildību, ja vien tās tieši vai netieši nav pretrunā Klauzulām vai neskar datu subjekta pamattiesības vai brīvības un aizsardzību, ko nodrošina VDAR.

14. Darbības sākums un izbeigšana

1. Klauzulas stājas spēkā dienā, kad tās paraksta abas puses.

2. Abām pusēm ir tiesības pieprasīt Klauzulu atkārtotu apspriešanu, ja šādas atkārtotas sarunas ne- pieciešamas likumu izmaiņu vai Klauzulu nelietderības rezultātā.

3. Klauzulas piemēro visā personas datu apstrādes pakalpojumu sniegšanas laikā. Personas datu apstrādes pakalpojumu sniegšanas laikā Klauzulas nevar izbeigt, izņemot gadījumus, kad puses vienojušās par citiem noteikumiem, kas reglamentē personas datu apstrādes pakalpojumu snieg- šanu.

9. lpp. no 17

4. Ja tiek pārtraukta personas datu apstrādes pakalpojumu sniegšana un personas dati tiek dzēsti vai atdoti datu pārzinim saskaņā ar 11.1. punktu un C.4. papildinājumu, jebkura puse var izbeigt Xxxx- xxxxx, par to rakstiski paziņojot otrai pusei.

5. Paraksts

Datu pārziņa vārdā

[PARAKSTS]

[DATUMS]

[AMATS]

"[VĀRDS, UZVĀRDS]"

Vārds, uzvārds Amats

Datums Paraksts

Datu apstrādātāja vārdā

[PARAKSTS]

[DATUMS]

[AMATS]

"[VĀRDS, UZVĀRDS]"

Vārds, uzvārds Amats

Datums Paraksts

15. Datu pārziņa un datu apstrādātāja kontaktpersonas/kontaktpunkti

1. Puses var sazināties savā starpā, izmantojot turpmāk sniegtās kontaktpersonas/kontaktpunktus.

2. Pusēm ir pienākums pastāvīgi informēt vienai otru par izmaiņām kontaktpersonās/kontaktpunktos.

[E-PASTS]

[TĀLRUNIS]

[AMATS]

"[VĀRDS, UZVĀRDS]"

Vārds, uzvārds Amats Tālrunis

E-pasts

[E-PASTS]

[TĀLRUNIS]

[AMATS]

"[VĀRDS, UZVĀRDS]"

Vārds, uzvārds Amats Tālrunis

E-pasts

A papildinājums Informācija par apstrādi

10. lpp. no 17

ŠĀDI ELEMENTI.]

[PIEZĪME: DAŽĀDU APSTRĀDES DARBĪBU GADĪJUMĀ KATRAI APSTRĀDES DARBĪBAI JĀIZPILDA

A.1. Datu apstrādātāja veiktajai personas datu apstrādei datu pārziņa vārdā ir šāds mērķis:

[APRAKSTIET APSTRĀDES MĒRĶI].

A.2. Datu apstrādātāja veiktā personas datu apstrāde datu pārziņa vārdā galvenokārt attiecas uz (apstrādes raksturs):

[APRAKSTIET APSTRĀDES RAKSTURU].

A.3. Apstrāde ietver šādus datu subjektu personas datu veidus:

[APRAKSTIET APSTRĀDĀTO PERSONAS DATU VEIDU].

[PIEMĒRAM]

“Vārds, uzvārds, e-pasta adrese, tālruņa numurs, adrese, valsts identifikācijas numurs, maksājuma dati, dalības numurs, dalības veids, apmeklējums fitnesa centrā un reģistrēšanās īpašām fitnesa nodarbībām.”

[PIEZĪME: ŠIM APRAKSTAM VAJADZĒTU BŪT PĒC IESPĒJAS SĪKĀKAM, UN JEBKURĀ GADĪJUMĀ PERSONAS DATU VEIDI JĀPRECIZĒ SĪKĀK NEKĀ TIKAI “PERSONAS DATI, KĀ NOTEIKTS VDAR

4. PANTA 1. PUNKTĀ” VAI JĀNORĀDA, KURA PERSONAS DATU KATEGORIJA (VDAR 6., 9. VAI

10. PANTS) TIEK APSTRĀDĀTA.]

A.4. Apstrāde ietver šādas datu subjektu kategorijas:

[APRAKSTIET DATU SUBJEKTA KATEGORIJU].

A.5. Datu apstrādātājs var apstrādāt personas datus datu pārziņa vārdā, sākoties Klauzulu darbības termiņam. Apstrādes ilgums ir šāds:

[APRAKSTIET APSTRĀDES ILGUMU].

B papildinājums Pilnvarotie apakšapstrādātāji

A papildinājums

B.1. Apstiprinātie apakšapstrādātāji

Sākoties Klauzulu darbības termiņam, datu pārzinis atļauj piesaistīt šādus apakšapstrādātājus:

11. lpp. no 17

NOSAUKUMS REĢ. NR. ADRESE APSTRĀDES AP- RAKSTS

Datu pārzinis, sākoties Klauzulu darbības termiņam, atļauj izmantot iepriekšminētos apakšapstrādātājus šai pusei aprakstītās apstrādes nolūkiem. Datu apstrādātājam nav tiesību bez datu pārziņa nepārprotamas rakstiskas atļaujas piesaistīt apakšapstrādātāju “atšķirīgai” apstrādei, par kuru puses nav vienojušās, vai arī uzdot citam apakšapstrādātājam veikt aprakstīto apstrādi.

B.2. Iepriekšējs paziņojums par apakšapstrādātāju pilnvarošanu

[IZVĒLES] [JA PIEMĒROJAMS, APRAKSTIET APAKŠAPSTRĀDĀTĀJU PILNVAROJUMA IEPRIEKŠĒJA

PAZIŅOJUMA SNIEGŠANAS LAIKA PERIODUS]

C papildinājums Norādījumi par personas datu izmantošanu

B papildinājums

C.1. Apstrādes subjekts / norādījumi

Datu apstrādātājs veic personas datu apstrādi datu pārziņa vārdā, izpildot šādas darbības:

12. lpp. no 17

DĪJUMIEM].

[APRAKSTIET APSTRĀDI, KURU DATU APSTRĀDĀTĀJAM PAREDZĒTS VEIKT SASKAŅĀ AR NORĀ-

C.2. Apstrādes drošība

Drošības līmenī ņem vērā:

DROŠĪBAS LĪMENIM]

[ŅEMOT VĒRĀ APSTRĀDES DARBĪBAS RAKSTURU, TVĒRUMU, KONTEKSTU UN MĒRĶI, KĀ ARĪ RISKUS FIZISKO PERSONU TIESĪBĀM UN BRĪVĪBĀM, APRAKSTIET ELEMENTUS, KAS IR SVARĪGI

[PIEMĒRAM]

“Fakts, ka apstrāde ir saistīta ar lielu tādu personas datu daudzumu, uz ko attiecas VDAR 9. pants par “īpašu kategoriju personas datiem”, tāpēc būtu jāizveido “augsts” drošības līmenis.”

Turpmāk datu apstrādātājam ir tiesības un pienākums pieņemt lēmumus par tehniskajiem un organizatoris- kajiem drošības pasākumiem, kas jāīsteno, lai izveidotu vajadzīgo (un saskaņoto) datu drošības līmeni.

Datu apstrādātājs tomēr jebkurā gadījumā un vismaz veic šādus pasākumus, par kuriem panākta vienoša- nās ar datu pārzini:

[APRAKSTIET PRASĪBAS PERSONAS DATU PSEUDONIMISIZĀCIJAI UN ŠIFRĒŠANAI]

[APRAKSTIET PRASĪBAS SPĒJAI NODROŠINĀT APSTRĀDES SISTĒMU UN PAKALPOJUMU NEPĀR- TRAUKTU KONFIDENCIALITĀTI, INTEGRITĀTI, PIEEJAMĪBU UN NOTURĪBU]

[APRAKSTIET PRASĪBAS SPĒJAI SAVLAICĪGI ATJAUNOT PERSONAS DATU PIEEJAMĪBU UN PIE- KĻUVI TIEM, JA IR NOTICIS FIZISKS VAI TEHNISKS NEGADĪJUMS]

[APRAKSTIET PRASĪBAS PROCESIEM REGULĀRAI TEHNISKO UN ORGANIZATORISKO PASĀKUMU EFEKTIVITĀTES TESTĒŠANAI, IZVĒRTĒŠANAI UN NOVĒRTĒŠANAI, LAI NODROŠINĀTU APSTRĀ-

DES DROŠĪBU]

[APRAKSTIET PRASĪBAS PIEKĻUVEI DATIEM TIEŠSAISTĒ]

[APRAKSTIET PRASĪBAS DATU AIZSARDZĪBAI NOSŪTĪŠANAS LAIKĀ]

[APRAKSTIET PRASĪBAS DATU AIZSARDZĪBAI GLABĀŠANAS LAIKĀ]

[APRAKSTIET PRASĪBAS VIETU, KURĀS APSTRĀDĀ PERSONAS DATUS, FIZISKAJAI DROŠĪBAI]

[APRAKSTIET PRASĪBAS LIETOŠANAI, STRĀDĀJOT MĀJĀS/ATTĀLINĀTI]

[APRAKSTIET PRASĪBAS REĢISTRĒŠANAI]

C.3. Palīdzība datu pārzinim

13. lpp. no 17

Datu apstrādātājs, ciktāl tas ir iespējams, ievērojot turpmāk aprakstīto palīdzības tvērumu un apjomu, sniedz palīdzību datu pārzinim saskaņā ar 9.1. un 9.2. punktu, īstenojot šādus tehniskos un organizatoris- kos pasākumus:

[APRAKSTIET DATU APSTRĀDĀTĀJA SNIEDZAMĀS PALĪDZĪBAS TVĒRUMU UN APJOMU]

[APRAKSTIET ĪPAŠOS TEHNISKOS UN ORGANIZATORISKOS PASĀKUMUS, KAS DATU APSTRĀDĀ- TĀJAM JĀĪSTENO, SNIEDZOT PALĪDZĪBU DATU PĀRZINIM]

C.4. Glabāšanas periods/dzēšanas procedūras

[NORĀDIET GLABĀŠANAS PERIODU / DZĒŠANAS PROCEDŪRAS DATU APSTRĀDĀTĀJAM, JA PIE- MĒROJAMS]

[PIEMĒRAM]

“Personas dati tiek glabāti [NORĀDIET LAIKA PERIODU VAI NEGADĪJUMU], pēc kura datu apstrādātājs tos automātiski izdzēš.

Pārtraucot personas datu apstrādes pakalpojumu sniegšanu, datu apstrādātājs personas datus dzēš vai arī tos atdod atpakaļ saskaņā ar 11.1. punktu, izņemot gadījumus, kad datu pārzinis pēc līguma parakstīšanas ir mainījis datu pārziņa sākotnējo izvēli. Šādas izmaiņas saistībā ar Klauzulām dokumentē un glabā rakstiski, tostarp elektroniski.”

C.5. Apstrādes vieta

Personas datu apstrādi saskaņā ar Klauzulām var veikt tikai šādās vietās bez datu pārziņa iepriekšējas rakstiskas atļaujas:

[NORĀDIET, KUR NOTIEK APSTRĀDE] [NORĀDIET DATU APSTRĀDĀTĀJU VAI APAKŠAPSTRĀDĀ- TĀJU, KURŠ IZMANTO ŠO ADRESI]

C.6. Norādījumi par personas datu nosūtīšanu trešām valstīm

[APRAKSTIET NORĀDĪJUMUS PERSONAS DATU NOSŪTĪŠANAI TREŠAI VALSTIJ VAI STARPTAUTIS- KAI ORGANIZĀCIJAI]

[NORĀDIET NOSŪTĪŠANAS TIESISKO PAMATU SASKAŅĀ AR VDAR V NODAĻU]

Ja datu pārzinis neietver Klauzulās vai pēc tam nesniedz dokumentētus norādījumus par personas datu nosūtīšanu trešai valstij, datu apstrādātājam Klauzulu ietvaros nav tiesību veikt šādu nosūtīšanu.

C.7. Procedūras datu pārziņa veiktajām revīzijām, tostarp pārbaudēm, attiecībā uz datu ap- 14. lpp. no 17

strādātāja veikto personas datu apstrādi

DATU APSTRĀDĀTĀJA VEIKTO PERSONAS DATU APSTRĀDI]

[APRAKSTIET PROCEDŪRAS XXXX XXXXXXX REVĪZIJĀM, TOSTARP PĀRBAUDĒM ATTIECĪBĀ UZ

Piemēram:

[REVIDENTA ZIŅOJUMU / PĀRBAUDES ZIŅOJUMU]

[DATU APSTRĀDĀTĀJA / XXXX XXXXXXX]

[NORĀDĪT LAIKA PERIODU]

“Datu apstrādātājs iegūst

par

līdzekļiem no neatkarīgas trešās personas attiecībā uz

datu apstrādātāja atbilstību VDAR, piemērojamajiem ES vai dalībvalsts datu aizsardzības noteikumiem un Klauzulām.

Puses ir vienojušās, ka atbilstīgi Klauzulām var tikt izmantoti šādi [REVIDENTA ZIŅOJUMA / PĀRBAUDES ZIŅOJUMA] veidi:

[IEVIETOJIET APSTIPRINĀTA REVIDENTA ZIŅOJUMUS / PĀRBAUDES ZIŅOJUMUS]

[REVIDENTA ZIŅOJUMS / PĀRBAUDES ZIŅOJUMS] bez nepamatotas kavēšanās jānosūta datu pārzinim informatīvos nolūkos. Datu pārzinis var apstrīdēt ziņojuma tvērumu un/vai metodiku un šādos gadījumos var pieprasīt jaunu revīziju/pārbaudi saskaņā ar pārskatīto tvērumu un/vai atšķirīgu metodiku.

Balstoties uz šādas revīzijas/pārbaudes rezultātiem, datu pārzinis var pieprasīt veikt papildu pasākumus, lai nodrošinātu atbilstību VDAR, piemērojamajiem ES vai dalībvalsts datu aizsardzības noteikumiem un Klau- zulām.

Turklāt datu pārzinim vai datu pārziņa pārstāvim ir atļauts pārbaudīt, tostarp fiziski pārbaudīt, vietas, kur datu apstrādātājs veic personas datu apstrādi, tostarp fiziskās telpas, kā arī sistēmas, kuras izmanto un ir saistītas ar apstrādi. Šādu pārbaudi veic, ja datu pārzinis to uzskata par vajadzīgu.

[VAI]

“Datu pārzinis vai datu pārziņa pārstāvis [NORĀDĪT LAIKA PERIODU] veic fizisku to vietu, kur datu apstrā- dātājs veic personas datu apstrādi, tostarp fizisko telpu, kā arī sistēmu, kuras izmanto un ir saistītas ar apstrādi, pārbaudi, lai konstatētu datu apstrādātāja atbilstību VDAR, piemērojamajiem ES vai dalībvalsts datu aizsardzības noteikumiem un Klauzulām.

Papildus plānotajai pārbaudei datu pārzinis var veikt datu apstrādātāja pārbaudi, ja datu pārzinis to uzskata par vajadzīgu.”

[UN, JA PIEMĒROJAMS]

“Datu pārziņa izmaksas, ja tādas ir, kas saistītas ar fizisko pārbaudi, sedz datu pārzinis. Tomēr datu apstrā- dātājam ir pienākums rezervēt resursus (galvenokārt laiku), kas nepieciešami, lai datu pārzinis varētu veikt pārbaudi.”

C.8. [JA PIEMĒROJAMS] Procedūras personas datu apstrādes revīzijām, tostarp pārbau- 15. lpp. no 17

dēm, ko veic apakšapstrādātāji

TĀJU VEIKTĀS PERSONAS DATU APSTRĀDES REVĪZIJĀM, TOSTARP PĀRBAUDĒM]

[JA PIEMĒROJAMS, APRAKSTIET PROCEDŪRAS DATU PĀRZIŅA ĪSTENOTAJĀM APAKŠAPSTRĀDĀ-

[PIEMĒRAM]

“Datu apstrādātājs [NORĀDĪT LAIKA PERIODU] par [DATU APSTRĀDĀTĀJA / DATU PĀRZIŅA] līdzekļiem iegūst [REVIDENTA ZIŅOJUMU / PĀRBAUDES ZIŅOJUMU] no neatkarīgas trešās personas attiecībā uz apakšapstrādātāja atbilstību VDAR, piemērojamajiem ES vai dalībvalsts datu aizsardzības noteikumiem un Klauzulām.

Puses ir vienojušās, ka atbilstīgi Klauzulām var tikt izmantoti šādi [REVIDENTA ZIŅOJUMA / PĀRBAUDES ZIŅOJUMA] veidi:

[IEVIETOJIET APSTIPRINĀTA REVIDENTA ZIŅOJUMUS / PĀRBAUDES ZIŅOJUMUS]

[REVIDENTA ZIŅOJUMS / PĀRBAUDES ZIŅOJUMS] bez nepamatotas kavēšanās jānosūta datu pārzinim informatīvos nolūkos. Datu pārzinis var apstrīdēt ziņojuma tvērumu un/vai metodiku un šādos gadījumos var pieprasīt jaunu revīziju/pārbaudi saskaņā ar pārskatīto tvērumu un/vai atšķirīgu metodiku.

Balstoties uz šādas revīzijas/pārbaudes rezultātiem, datu pārzinis var pieprasīt veikt papildu pasākumus, lai nodrošinātu atbilstību VDAR, piemērojamajiem ES vai dalībvalsts datu aizsardzības noteikumiem un Klau- zulām.

Turklāt datu apstrādātājam vai datu apstrādātāja pārstāvim ir atļauts pārbaudīt, tostarp fiziski pārbaudīt, vietas, kur apakšapstrādātājs veic personas datu apstrādi, tostarp fiziskās telpas, kā arī sistēmas, kuras izmanto un ir saistītas ar apstrādi. Šādu pārbaudi veic, ja datu apstrādātājs (vai datu pārzinis) to uzskata par vajadzīgu.

Šādu pārbaužu dokumentāciju nekavējoties iesniedz datu pārzinim informatīvos nolūkos. Datu pārzinis var apstrīdēt ziņojuma tvērumu un/vai metodiku un šādos gadījumos var pieprasīt jaunu pārbaudi saskaņā ar pārskatīto tvērumu un/vai atšķirīgu metodiku.

[VAI]

“Datu apstrādātājs vai datu apstrādātāja pārstāvis [NORĀDĪT LAIKA PERIODU] veic fizisku to vietu, kur apakšapstrādātājs veic datu apstrādi, tostarp fizisko telpu, kā arī sistēmu, kuras izmanto un ir saistītas ar apstrādi, pārbaudi, lai konstatētu apakšapstrādātāja atbilstību VDAR, piemērojamajiem ES vai dalībvalsts datu aizsardzības noteikumiem un Klauzulām.

Papildus plānotajai pārbaudei datu apstrādātājs var veikt apakšapstrādātāja pārbaudi, ja datu apstrādātājs (vai datu pārzinis) to uzskata par vajadzīgu.

Šādu pārbaužu dokumentāciju bez nepamatotas kavēšanās iesniedz datu pārzinim informatīvos nolūkos. Datu pārzinis var apstrīdēt ziņojuma tvērumu un/vai metodiku un šādos gadījumos var pieprasīt jaunu pār- baudi saskaņā ar pārskatīto tvērumu un/vai atšķirīgu metodiku.

Balstoties uz šādas pārbaudes rezultātiem, datu pārzinis var pieprasīt veikt papildu pasākumus, lai nodro- šinātu atbilstību VDAR, piemērojamajiem ES vai dalībvalsts datu aizsardzības noteikumiem un Klauzulām.

[UN, JA PIEMĒROJAMS]

16. lpp. no 17

“Datu pārzinis vajadzības gadījumā var nolemt uzsākt apakšapstrādātāja fizisku pārbaudi un piedalīties tajā. Tas var attiekties uz gadījumiem, kad datu pārzinis uzskata, ka datu apstrādātāja veiktās apakšapstrādātāja uzraudzības rezultātā datu pārzinis nav saņēmis pietiekamu dokumentāciju, lai konstatētu, vai apakšapstrā- dātāja veiktā apstrāde atbilst Klauzulām.

Datu pārziņa piedalīšanās apakšapstrādātāja pārbaudē nemaina faktu, ka datu apstrādātājs joprojām pil- nībā atbild par apakšapstrādātāja atbilstības nodrošināšanu VDAR, piemērojamajiem ES vai dalībvalsts datu aizsardzības noteikumiem un klauzulām.”

[UN, JA PIEMĒROJAMS]

“Datu apstrādātāja un apakšapstrādātāja izmaksas, kas saistītas ar fizisku uzraudzību/pārbaudi apakšuz- ņēmēja telpās, neattiecas uz datu pārzini neatkarīgi no tā, vai datu pārzinis ir ierosinājis šādu pārbaudi un tajā piedalījies.”

D papildinājums Pušu vienošanās par citiem jautājumiem

17. lpp. no 17