Skip to content
Pakalpojums

Datu apstrādes līguma sagatave

Pēdējoreiz atjaunināts: 2026-05-07 · Versija: v2

Datu apstrādes līguma sagatave (DPA)

DRAFT — gaida Latvijas komerctiesību juriskonsulta pārskatu. Pēdējoreiz atjaunināts: 2026-05-06.

Šis ir GDPR 28. panta apstrādātāja līguma sagatave starp Pakalpojums SIA (turpmāk — Pārzinis vai Pakalpojums) un trešās puses pakalpojumu sniedzējiem, kas apstrādā personas datus mūsu vārdā (turpmāk — Apstrādātājs). Tā balstās uz Standarta līgumu klauzulām (SCCs) Modulis 2 (pārzinis–apstrādātājs), kuras Eiropas Komisija pieņēmusi ar Lēmumu (ES) 2021/914.

1. Definīcijas

Šajā līgumā:

  • GDPR — Eiropas Parlamenta un Padomes Regula (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti;
  • Personas dati, apstrāde, datu subjekts, pārzinis, apstrādātājs, apakšapstrādātājs — termini, kas definēti GDPR 4. pantā;
  • SCCs — Standarta līgumu klauzulas, ko pieņēmusi Eiropas Komisija ar 2021. gada 4. jūnija Īstenošanas lēmumu (ES) 2021/914;
  • Pārzinis — Pakalpojums SIA;
  • Apstrādātājs — trešās puses pakalpojumu sniedzējs, kas paraksta šo līgumu.

2. Apstrādes priekšmets, ilgums un raksturs

  • Priekšmets: personas datu apstrāde Apstrādātāja sniegtā pakalpojuma ietvaros;
  • Ilgums: galvenā pakalpojumu līguma darbības laiks plus 30 dienas pēc tā beigām (datu atgriešanai vai dzēšanai);
  • Raksturs: ;
  • Mērķis: izpildīt galvenā pakalpojumu līguma noteiktos pienākumus.

3. Datu subjektu kategorijas

  • Pakalpojums Klienti (rezervāciju izpilde);
  • Pakalpojums Pakalpojuma sniedzēji un viņu darbinieki;
  • Pakalpojums administratori un atbalsta darbinieki.

4. Personas datu kategorijas

  • Identifikācijas dati (vārds, e-pasts, tālruņa numurs);
  • Rezervācijas dati (datums, laiks, pakalpojums, summa);
  • Tehniskie dati (IP adrese, lietotāja aģents, sesijas tokeni);
  • Atsauksmju saturs (ja attiecināms);
  • Audit žurnāli (administratīvās darbības).

Šis līgums NEATTIECAS uz īpašu kategoriju datiem (rase, veselība, reliģija u.c., GDPR 9. panta 1. punkts) bez atsevišķas rakstiskas vienošanās.

5. Standarta līgumu klauzulas — iekļaušana ar atsauci

Puses ar šo iekļauj Modulis 2 (pārzinis–apstrādātājs) no Komisijas Īstenošanas lēmuma (ES) 2021/914 ar tām pašām spēkā stāšanās un izbeigšanas datumiem kā šim DPA. Pretrunu gadījumā SCCs ir prioritāte attiecībā uz datu apstrādes pienākumiem.

Pilnas SCCs tiek pievienotas šī līguma B pielikumā vai pieejamas: <https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-controllers-and-processors_en>.

6. Apstrādātāja pienākumi

Apstrādātājs apņemas:

  1. apstrādāt personas datus tikai saskaņā ar dokumentētām Pārziņa instrukcijām (galvenais pakalpojumu līgums + šis DPA);
  2. nodrošināt, ka personas, kas piekļūst personas datiem, ir apņēmušās ievērot konfidencialitāti (līgumā vai likumā);
  3. ieviest atbilstošus tehniskos un organizatoriskos pasākumus saskaņā ar GDPR 32. pantu (skatīt II pielikumu);
  4. neizmantot apakšapstrādātāju bez rakstiskas iepriekšējas vai vispārējas atļaujas no Pārziņa, ar pienākumu paziņot 30 dienas pirms jebkura jauna apakšapstrādātāja iesaistīšanas (skatīt 9. sadaļu un III pielikumu);
  5. palīdzēt Pārzinim izpildīt datu subjektu pieprasījumus saskaņā ar GDPR III nodaļu;
  6. palīdzēt Pārzinim izpildīt savus pienākumus saskaņā ar GDPR 32.–36. pantu (drošība, pārkāpumu paziņošana, DPIA);
  7. paziņot Pārzinim bez nepamatotas kavēšanās (jebkurā gadījumā ne vēlāk kā 24 stundu laikā) par jebkuru personas datu pārkāpumu;
  8. pēc galvenā līguma izbeigšanas atgriezt vai dzēst visus personas datus 30 dienu laikā saskaņā ar Pārziņa rakstisku izvēli;
  9. nodrošināt Pārzinim visu informāciju, kas nepieciešama, lai pierādītu šo pienākumu izpildi, un atļaut auditus (līdz vienreiz 12 mēnešos vai uzraudzības iestādes pieprasītā gadījumā).

7. Pārziņa pienākumi

Pārzinis apņemas:

  1. apstrādāt personas datus likumīgi, godīgi un pārredzami attiecībā uz datu subjektu;
  2. sniegt Apstrādātājam dokumentētas instrukcijas;
  3. nodrošināt likumības pamatu apstrādei (līgums, leģitīmas intereses utt.);
  4. atbildēt uz datu subjektu pieprasījumiem (Apstrādātāja pienākums ir tikai palīdzēt).

8. Drošības pasākumi

Apstrādātājs ievieš tehniskos un organizatoriskos pasākumus, kas detalizēti aprakstīti II pielikumā. Minimālā prasība:

  • Šifrēšana: TLS 1.2+ datiem tranzītā; AES-256 datiem miera stāvoklī;
  • Piekļuves kontrole: princips "vismazāk privilēģiju", multifaktoru autentifikācija administratoriem;
  • Audit žurnāli: visu piekļuves notikumu žurnāli, glabāti vismaz 12 mēnešus;
  • Pārkāpumu plāns: dokumentēts incidentu reaģēšanas plāns, gada pārbaude;
  • Personāla apmācība: gada datu aizsardzības apmācība darbiniekiem ar piekļuvi datiem;
  • Apakšapstrādātāju pārvaldība: rakstisks DPA katram apakšapstrādātājam.

9. Apakšapstrādātāji

Pārzinis ar šo piešķir vispārēju rakstisku atļauju Apstrādātājam izmantot apakšapstrādātājus, ievērojot šādus nosacījumus:

  • Aktuālā saraksta uzturēšana: Apstrādātājs uztur aktuālu apakšapstrādātāju sarakstu un sniedz to Pārzinim pēc pieprasījuma (skatīt III pielikumu);
  • 30 dienu paziņošana: Apstrādātājs paziņo Pārzinim par jebkuru jaunu apakšapstrādātāju vai apakšapstrādātāja maiņu vismaz 30 dienas iepriekš;
  • Iebildumu tiesības: Pārzinim ir tiesības iebilst, un tādā gadījumā līguma slēdzējpuses cenšas atrast saprātīgu risinājumu vai izbeigt galveno līgumu;
  • Līdzvērtīgas saistības: Apstrādātājs noslēdz rakstisku DPA ar katru apakšapstrādātāju, paredzot vismaz tāda paša līmeņa pienākumus kā šajā DPA;
  • Tieša atbildība: Apstrādātājs paliek pilnībā atbildīgs Pārzinim par apakšapstrādātāja darbībām.

10. Pārkāpumu paziņošana

Apstrādātājs paziņo Pārzinim bez nepamatotas kavēšanās un ne vēlāk kā 24 stundu laikā pēc tam, kad uzzinājis par personas datu pārkāpumu, ietverot:

  • pārkāpuma raksturu un (ja iespējams) datu subjektu kategorijas un aptuveno skaitu;
  • pārkāpuma sekas un iespējamās tiesiskās sekas;
  • veiktos vai plānotos pasākumus pārkāpuma novēršanai un sekām mazināšanai;
  • DPO vai cita kontaktpunkta vārdu un kontaktinformāciju.

11. Datu subjektu pieprasījumi

Ja Apstrādātājs saņem datu subjekta pieprasījumu (piekļuve, dzēšana, pārnesamība u.c.), tas:

  • nepilda pieprasījumu tieši, ja vien Pārzinis neuzdod;
  • pārsūta pieprasījumu Pārzinim 48 stundu laikā (privacy@pakalpojums.com);
  • palīdz Pārzinim atbildēt 30 dienu laikā saskaņā ar GDPR 12. pantu.

12. Audits un pārbaudes

Pārzinis ir tiesīgs:

  • saņemt rakstisku atskaiti par Apstrādātāja datu aizsardzības atbilstību līdz vienreiz 12 mēnešos;
  • veikt klātienes auditu (pats vai ar trešās puses revidentu, kuru abas puses apstiprina) iepriekš paziņojot 30 dienas;
  • pieprasīt papildu auditus, ja DVI vai cita uzraudzības iestāde pieprasa to.

13. Atgriešana vai dzēšana

Pēc galvenā pakalpojumu līguma izbeigšanas Apstrādātājs:

  • atgriež visus personas datus Pārzinim mašīnlasāmā formātā (JSON vai CSV) 30 dienu laikā;
  • VAI dzēš visus personas datus 30 dienu laikā un sniedz rakstisku apliecinājumu;
  • saskaņā ar Pārziņa rakstisku izvēli.

Izņēmumi: ES vai dalībvalsts likuma prasības saglabāt datus (piemēram, nodokļu likumi).

14. Atbildība un kompensācija

Atbildība par šī DPA pārkāpumu tiek noteikta saskaņā ar galveno pakalpojumu līgumu un GDPR 82. pantu.

15. Piemērojamais likums

Šis DPA tiek interpretēts un piemērots saskaņā ar Latvijas Republikas tiesību aktiem, ja vien galvenajā pakalpojumu līgumā nav noteikts citādi.

---

I.A pielikums — Puses

Pārzinis (datu eksportētājs): - Nosaukums: Pakalpojums SIA - Adrese: - Kontakts: privacy@pakalpojums.com - Loma: Pārzinis (controller)

Apstrādātājs (datu importētājs): - Nosaukums: - Adrese: - Kontakts: - Loma: Apstrādātājs (processor)

I.B pielikums — Apstrādes apraksts

  • Datu subjektu kategorijas: skatīt 3. sadaļu;
  • Personas datu kategorijas: skatīt 4. sadaļu;
  • Sensitīvi dati: nav;
  • Apstrādes biežums: nepārtraukts (visas pakalpojumu līguma darbības laiks);
  • Apstrādes raksturs un mērķi: skatīt 2. sadaļu;
  • Saglabāšanas periods: saskaņā ar Pakalpojums Privātuma politikas 3. sadaļu (skatīt /legal/privacy).

I.C pielikums — Kompetentā uzraudzības iestāde

Datu valsts inspekcija (DVI), Blaumaņa iela 11/13-15, Rīga, LV-1011, Latvija; <https://www.dvi.gov.lv>.

II pielikums — Tehniskie un organizatoriskie pasākumi

Skatīt 8. sadaļu. Pilna TOM matrica pieejama uz pieprasījumu (privacy@pakalpojums.com).

Galvenās jomas: 1. Datu šifrēšana tranzītā un miera stāvoklī; 2. Pseidonimizācija un datu minimalizācija; 3. Konfidencialitāte, integritāte, pieejamība, noturība; 4. Spēja atjaunot piekļuvi datiem incidenta gadījumā; 5. Regulāra TOM efektivitātes pārbaude; 6. Lietotāju identifikācija un autorizācija; 7. Datu nesēju vadība un drošība; 8. Datu nesēju iznīcināšana; 9. Apakšapstrādātāju vadība.

III pielikums — Apakšapstrādātāji

Pakalpojums uztur aktuālu apakšapstrādātāju sarakstu lapā <https://pakalpojums.com/legal/sub-processors>. Apstrādātāja apakšapstrādātāju saraksts ir pievienots atsevišķi vai sniegts pēc pieprasījuma.

---

END OF DOCUMENT — Pakalpojums SIA (placeholder), Riga, Latvia. Version 2 — supersedes placeholder version 1.