Personas datu apstrādes vienošanās

Šī personas datu apstrādes vienošanās ir starp EMU:SKOLA (tīmekļa vietnes EMU.LV) lietotāju (skolu) (Pasūtītāju) un nodibinājumu “Fonds PLECS”, reģ. Nr. 40008281764 (Izpildītājs) par platformā EMU:SKOLA (Platforma) esošo personas datu apstrādi.

  1. Vienošanās priekšmets

    1. Pasūtītājs instruē un uzdod Izpildītājam apstrādāt personas datus, lai nodrošinātu Pasūtītājam Platformu un ar to saistītos pakalpojumus atbilstoši līgumam, kas noslēgts starp pusēm. Attiecībā uz personas datiem, kas Platformas lietošanas laikā tiek apstrādāti Platformā, Pasūtītājs rīkojas kā datu pārzinis, Izpildītājs – kā datu apstrādātājs.
    2. Šī vienošanās satur Pasūtītāja norādījumus Izpildītājam saistībā ar Pasūtītāja datu subjektu personas datu apstrādi un ir pusēm saistoša personas datu apstrādes vienošanās piemērojamo tiesību aktu izpratnē.
    3. Kad Izpildītājs veic personas datu apstrādi Pasūtītāja kā datu pārziņa vārdā, jebkurš jautājums, pieprasījums, iebildums vai sūdzība no datu subjektiem attiecībā uz personas datu apstrādi saistībā ar Platformu ir jānosūta un jārisina Pasūtītājam.
  2. Apstrādes darbības

    1. Izpildītājs apstrādā personas datus, lai nodrošinātu Platformu, tajā apstrādāto personas datu uzglabāšanu un ar to saistītos pakalpojumus Pasūtītājam, uzlabotu tos un risinātu jebkādus ar tiem saistītus jautājumus.
    2. Apstrādājamie personas datu veidi ietver Pasūtītāja personāla personas datus (piemēram, vārds, uzvārds, e-pasta adrese), Pasūtītāja izglītojamo personas datus (piemēram, vārds, uzvārds, klase, kontakttālrunis, dzimšanas dati, e-pasta adrese, personas kods, dzimums atbildes uz jautājumiem, anketas, mērījumi), Pasūtītāja izglītojamo personu likumisko pārstāvju dati (vārds, uzvārds, kontaktinformācija) un citi personas dati, ko Izpildītājs saņem saistībā ar Platformas nodrošināšanu vai ko Pasūtītājs ievada Platformā.
    3. Pasūtītājs apliecina, ka tas ir ieguvis visas nepieciešamās piekrišanas vai paļaujas uz citu juridisko pamatu, lai apstrādātu datu subjektu personas datus un nodotu tos Izpildītājam.
  3. Apstrādes ilgums

    1. Izpildītājs apstrādā personas datus tik ilgi, kamēr tas nodrošinās Pasūtītājam piekļuvi Platformai un sniegs pakalpojumus, taču pēc Pasūtītāja pieprasījuma personas dati var tikt dzēsti jebkurā laikā.
    2. Ja vien piemērojamie tiesību akti nenosaka citādāk, Izpildītājam nav pienākuma glabāt saņemtos personas datus pēc pakalpojuma līguma izbeigšanas ar Pasūtītāju. Pēc līgumattiecību izbeigšanas starp pusēm saskaņā ar Pasūtītāja norādēm Izpildītājs izdzēsīs vai atgriezīs ar apstrādi saistītos personas datus Pasūtītājam un izdzēsīs visas esošās datu kopijas, ja vien piemērojamos tiesību aktos nav paredzēta personas datu saglabāšana, piemēram, lai risinātu strīdus starp pusēm ja tādi radīsies, vai lai novērstu krāpniecību vai ļaunprātīgu izmantošanu, vai lai īstenotu Izpildītāja leģitīmās intereses. Izpildītājam pēc personas datu dzēšanas 10 (desmit) dienu laikā par to ir jāsniedz rakstveida apliecinājums Pasūtītājam.
  4. Izpildītāja pienākumi un palīdzība Pasūtītājam

    1. Izpildītājs izmanto saprātīgus organizatoriskus, tehniskus un administratīvus pasākumus, lai aizsargātu personas datu konfidencialitāti, integritāti un pieejamību atbilstoši personu datu apstrādes riskam, tajā skaitā Izpildītājs nodrošina:
      1. ka tas ir nozīmējis datu aizsardzības speciālistu atbilstoši Eiropas Parlamenta un Padomes regulas (ES) 2016/679 37.pantam;
      2. Platformā tiek nodrošinātas dažādu līmeņu lietotāju tiesības, nodrošinot attiecīgajam lietotājam Platformā piekļūt tikai tai informācijai, kas ir nepieciešama pienākumu veikšanai (minimizācijas princips);
      3. Personas datu uzglabāšanas tiek veikta Amsterdamā, Nīderlandē, nodrošinot šādas, bet ne tikai šādas, drošības prasības:
        1. Datu glabātuvē iespējams piekļūt tikai ar autorizāciju;
        2. Datu glabātuve nodrošina retrospektīvā noteikt un pārbaudīt visas veiktās darbības ar glabātuvē pieejamiem datiem;
        3. Datu glabātuve reizi nedēļā veido automātisku datu kopiju, kas ir pieejama tikai ar autorizāciju.
      4. Ierobežotu, atbilstoši Pasūtītāja norādījumiem, personas datu glabāšanas termiņu.
    2. Izpildītājs nodrošina, ka platformas lietotāja paroles garums nav mazāks par deviņām rakstu zīmēm un satur vismaz vienu lielo latīņu alfabēta burtu un mazo latīņu alfabēta burtu, kā arī ciparu vai speciālu simbolu kā arī tiek nodrošināts, ka lietotājam vienu reizi trīs mēnešos platforma automātiski pieprasa lietotāja paroles nomaiņu.
    3. Izpildītājs nodrošina integrētās datu aizsardzības un datu aizsardzības pēc noklusējuma principu attiecināšanu uz Izpildītāja Platformas darbību, piemēram auditācijas (.log) pierakstus par jebkuru personas datu apstrādes (jebkura ar personas datiem vei personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, reģistrācija, pārveidošana, pievienošana, aplūkošana, dzēšana) darbību, fiksējot datumu, laiku un personu (lietotāju), kura veikusi personas datu apstrādi.
    4. Izpildītājam pēc Pasūtītāja pieprasījuma 5 darba dienu laikā ir jāizsniedz auditācijas (.log) pierakstu faili.
    5. Visi Izpildītāja pilnvarotie darbinieki, kas ir iesaistīti Pasūtītāja personas datu apstrādē, ir piekrituši konfidencialitātes pienākumiem, nepiekļūst un bez atļaujas citādi neapstrādā personas datus, ja vien tas nav nepieciešams tiem nolūkiem, kuriem dati tika iegūti sākotnēji.
    6. Izpildītājam bez Pasūtītāja rakstiskas atļaujas ir aizliegts apstrādāt personas datus ārpus Eiropas Savienības vai Eiropas Ekonomiskās zonas valstīm.
    7. Ņemot vērā apstrādes raksturu, Izpildītājs kā datu apstrādātājs palīdzēs Pasūtītājam, sniedzot tehnisku un organizatorisku atbalstu tā, lai nodrošinātu Pasūtītāja kā datu pārziņa pienākumu izpildi attiecībā uz:
      1. jebkuriem Pasūtītāja datu subjektu pieprasījumiem saistībā ar datu subjektu tiesību īstenošanu, tostarp piekļūšanu personas datiem, personas datu labošanu, ierobežošanu, nosūtīšanu, bloķēšanu vai dzēšanu, ko Izpildītājs apstrādā Pasūtītāja vārdā. Ja datu subjekts nosūta šādu pieprasījumu tieši Izpildītājam, Izpildītājs to nekavējoties pārsūta Pasūtītājam;
      2. personas datu aizsardzības pārkāpumu izmeklēšanu un paziņojumu uzraudzības iestādei un Pasūtītāja datu subjektiem saistībā ar šādiem personas datu aizsardzības noteikumu pārkāpumiem;
      3. ja nepieciešams, datu aizsardzības ietekmes izvērtējumiem un konsultācijām ar jebkuru uzraudzības iestādi.
  5. Apakšapstrādātāji

    1. Izpildītājam ir tiesības Platformas un pakalpojumu nodrošināšanā piesaistīt apakšapstrādātājus. Šādi apakšapstrādātāji saņem tikai minimālu apjomu personas datu, kas tiem nepieciešami, lai sniegtu pieprasīto pakalpojumu. Izpildītājs nodrošina, ka tas izmanto tikai tādus apakšapstrādātājus, kas atbilst tādiem pašiem datu aizsardzības pienākumiem, kas minēti šajā vienošanās, īpaši sniedz pietiekamas garantijas un ir ieviesuši atbilstošus tehniskus un organizatoriskus pasākumus un citādi atbilst piemērojamo personas datu apstrādes tiesību aktu prasībām, ja tas nepieciešams. Ja šādi apakšapstrādātāji nespēj nodrošināt tiem uzlikto datu aizsardzības pienākumu izpildi, Izpildītājs par to ir atbildīgs Pasūtītājam.
    2. Uz līguma noslēgšanas brīdi Izpildītājs pakalpojuma līguma izpildei ir piesaistījis apakšapstrādātāju, kas nodrošina Platformas datu uzglabāšanu:
      1. SIA Digital Holding (zīmols Frank by inspired), Tērbatas iela 30, Rīga, LV-1010 (platformas programmēšana)
      2. SIA Cube Systems, Mūkusalas iela 29B, Rīga, LV-1004 (platformas digitālās un datu drošības auditors);
      3. SIA Sales.lv, Dzirnavu iela 37-62, Rīga, LV-1010 (lietotāju SMS notifikācijas sistēmas nodrošināšanai);
      4. Digital Ocean: Data Center AMS3 (EEZ), Amsterdam, Netherlands (datu glabātuve);
      5. AWS Europe, Ltd., 26/28 Rue Edward Steichen, 2540 Luxembourg (lietotāju e-pastu notifikācijas sistēmas nodrošināšanai).
    3. Pasūtītājs sniedz Izpildītājam vispārēju atļauju apakšapstrādātāju piesaistei. Izpildītājs informē Pasūtītāju 30 dienas iepriekš par jebkādām iecerētām pārmaiņām saistībā ar papildu apstrādātāju vai apstrādātāja aizstāšanu.
    4. Pasūtītāja iebildumu gadījumā puses rod risinājumu tālākai datu apstrādei ierobežotā apmērā, neizmantojot konkrēto apakšapstrādātāju vai, ja šādu risinājumu nav iespējams rast, Pasūtītājam ir tiesības vienpusēji izbeigt pakalpojuma līgumu pakalpojuma līguma 6.3.punktā noteiktajā kārtībā, saskaņā ar pakalpojuma līgumā ietvertajiem izbeigšanas noteikumiem.
    5. Izpildītājam ir tiesības piesaistīt apakšapstrādātājus no Eiropas Ekonomikas zonas valstīm. Ja Izpildītājs vēlas piesaistīt apakšapstrādātāju ārpus Eiropas Ekonomikas zonas valstīm, tas (a) pirms šādas apstrādes informē par to Pasūtītāju un (b) piesaista tikai tādu apakšapstrādātāju, kas nodrošina atbilstību personas datu apstrādes un aizsardzības prasībām un kas spēj nodrošināt piemērojamiem tiesību aktiem atbilstošu aizsardzības līmeni.
  6. Citi noteikumi

    1. Izpildītājam ir pienākums pēc Pasūtītāja pieprasījuma sniegt Pasūtītājam visu informāciju, kas nepieciešama, lai apliecinātu, ka tiek pildīti šajā vienošanās un piemērojamajos tiesību aktos noteiktie Izpildītāja pienākumi, un lai ļautu Pasūtītājam vai tā pilnvarotam revidentam veikt revīzijas, tostarp pārbaudes, lai varētu pārliecināties par personas datu apstrādes drošību.
    2. Gadījumā, ja Izpildītājs nepilda šo vienošanos un apstrādā personas datus saviem nolūkiem, tas atbild par veikto personas datu apstrādi, kā pārzinis.
    3. Visas izmaiņas šajā vienošanās izdarāmas rakstiski, pusēm savstarpēji vienojoties, un pēc to abpusējas parakstīšanas kļūst par pakalpojuma līguma neatņemamu sastāvdaļu.
    4. Visi strīdi, kas varētu rasties vienošanās izpildes gaitā, tiks risināti pārrunu ceļā. Ja pusēm neizdodas atrisināt strīdu sarunu ceļā, tas tiek risināts Latvijas Republikas piemērojamajos tiesību aktos noteiktajā kārtībā.