a)

Šo līguma standartklauzulu (“Klauzulas”) nolūks ir nodrošināt atbilstību [izvēlēties attiecīgo iespēju: 1. IZVĒLE. 28. panta 3. un 4. punktam Eiropas Parlamenta un Padomes Regulā (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula)] / [2. IZVĒLE. 29. panta 3. un 4. punktam Eiropas Parlamenta un Padomes Regulā (ES) 2018/1725 (2018. gada 23. oktobris) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās un par šādu datu brīvu apriti un ar ko atceļ Regulu (EK) Nr. 45/2001 un Lēmumu Nr. 1247/2002/EK].

b)

I pielikumā uzskaitītie pārziņi un apstrādātāji ir piekrituši šīm Klauzulām, lai nodrošinātu atbilstību Regulas (ES) 2016/679 28. panta 3. un 4. punktam un/vai Regulas (ES) 2018/1725 29. panta 3. un 4. punktam.

c)

Šīs Klauzulas attiecas uz personas datu apstrādi, kā norādīts II pielikumā.

d)

I līdz IV pielikums ir Klauzulu neatņemama sastāvdaļa.

e)

Šīs Klauzulas neskar pienākumus, kas pārzinim jāpilda saskaņā ar Regulu (ES) 2016/679 un/vai Regulu (ES) 2018/1725.

f)

Šīs Klauzulas pašas par sevi nenodrošina atbilstību pienākumiem, kas saistīti ar starptautisku nosūtīšanu saskaņā ar Regulas (ES) 2016/679 un/vai Regulas (ES) 2018/1725 V nodaļu.

a)

Puses apņemas negrozīt Klauzulas, izņemot gadījumus, kad pielikumos jāpievieno informācija vai tā jāatjauno.

b)

Tas neliedz Pusēm iekļaut šajās Klauzulās minētās līguma standartklauzulas plašākā līgumā vai pievienot citas klauzulas vai papildu garantijas, ar noteikumu, ka tās tieši vai netieši nav pretrunā Klauzulām un nemazina datu subjektu pamattiesības vai pamatbrīvības.

a)

Ja Klauzulās izmantoti attiecīgi Regulā (ES) 2016/679 vai Regulā (ES) 2018/1725 definētie termini, šiem terminiem ir tāda pati nozīme kā minētajā regulā.

b)

Šīs Klauzulas lasa un interpretē, ņemot vērā attiecīgi Regulas (ES) 2016/679 vai Regulas (ES) 2018/1725 noteikumus.

c)

Šīs Klauzulas neinterpretē tādā veidā, kas ir pretrunā Regulā (ES) 2016/679 vai Regulā (ES) 2018/1725 paredzētajām tiesībām un pienākumiem, vai veidā, kas ierobežo datu subjektu pamattiesības vai brīvības.

a)

Jebkurš subjekts, kas nav šo Klauzulu Puse, ar visu Pušu piekrišanu var jebkurā laikā pievienoties šīm Klauzulām kā pārzinis vai apstrādātājs, aizpildot pielikumus un parakstot I pielikumu.

b)

Tiklīdz a) punktā minētie pielikumi ir aizpildīti un parakstīti, subjektu, kas pievienojas, uzskata par šo Klauzulu Pusi, un tam ir pārziņa vai apstrādātāja tiesības un pienākumi saskaņā ar tā iekļaušanu I pielikumā.

c)

Subjektam, kas pievienojas, nav no šīm Klauzulām izrietošu tiesību vai pienākumu laikposmā pirms kļūšanas par Pusi.

a)

Apstrādātājs personas datus apstrādā tikai pēc dokumentētiem pārziņa norādījumiem, izņemot, ja tas ir jādara saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas piemērojami apstrādātājam. Šajā gadījumā apstrādātājs pirms apstrādes informē pārzini par šo juridisko prasību, ja vien attiecīgie tiesību akti to neaizliedz svarīgu sabiedrības interešu dēļ. Papildu norādījumus datu pārzinis var sniegt arī visā personas datu apstrādes laikā. Šos norādījumus vienmēr dokumentē.

b)

Apstrādātājs nekavējoties informē pārzini, ja apstrādātājs uzskata, ka pārziņa sniegtie norādījumi pārkāpj Regulu (ES) 2016/679 vai Regulu (ES) 2018/1725 vai piemērojamos Savienības vai dalībvalstu datu aizsardzības noteikumus.

a)

Apstrādātājs īsteno vismaz III pielikumā norādītos tehniskos un organizatoriskos pasākumus, lai nodrošinātu personas datu drošību. Tas ietver datu aizsardzību pret drošības pārkāpumiem, kuru rezultātā notiek nejauša vai nelikumīga iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve datiem (personas datu aizsardzības pārkāpums). Novērtējot atbilstīgo drošības līmeni, Puses pienācīgi ņem vērā jaunākos sasniegumus, īstenošanas izmaksas, apstrādes raksturu, tvērumu, kontekstu un nolūkus, kā arī datu subjektiem radītos riskus.

b)

Apstrādātājs piešķir saviem darbiniekiem piekļuvi apstrādē esošajiem personas datiem tikai tiktāl, ciktāl tas ir absolūti nepieciešams līguma īstenošanai, pārvaldībai un uzraudzībai. Apstrādātājs nodrošina, ka personas, kuras ir pilnvarotas apstrādāt saņemtos personas datus, ir apņēmušās ievērot konfidencialitāti vai tām ir noteikts attiecīgs likumisks pienākums ievērot konfidencialitāti.

a)

Puses uzskatāmi pierāda atbilstību šīm Klauzulām.

b)

Apstrādātājs nekavējoties un pienācīgi izskata pārziņa pieprasījumus par datu apstrādi saskaņā ar šīm Klauzulām.

c)

Apstrādātājs dara pieejamu pārzinim visu informāciju, kas nepieciešama, lai uzskatāmi pierādītu, ka ir izpildīti šajās Klauzulās noteiktie pienākumi, kas tieši izriet no Regulas (ES) 2016/679 un/vai Regulas (ES) 2018/1725. Pēc pārziņa pieprasījuma apstrādātājs arī atļauj un sniedz ieguldījumu to apstrādes darbību revīzijās, uz kurām attiecas šīs Klauzulas, saprātīgos intervālos vai ja ir norādes par neatbilstību. Lemjot par pārskatīšanu vai revīziju, pārzinis var ņemt vērā apstrādātāja attiecīgos sertifikātus.

d)

Pārzinis var izvēlēties veikt revīziju pats vai pilnvarot neatkarīgu revidentu. Revīzijas var ietvert arī pārbaudes pārstrādātāja telpās vai fiziskajās iekārtās, un vajadzības gadījumā tās veic, par to savlaicīgi paziņojot.

e)

Puses šajā klauzulā minēto informāciju, t. sk. revīziju rezultātus, pēc pieprasījuma dara pieejamu kompetentajai(-ām) uzraudzības iestādei(-ēm).

a)

1. IZVĒLE. IEPRIEKŠĒJA ĪPAŠA ATĻAUJA: apstrādātājs bez iepriekšējas īpašas rakstiskas atļaujas nevienu no apstrādes darbībām, kas pārziņa vārdā veiktas saskaņā ar šīm Klauzulām, nenodod izpildei apakšapstrādātājam. Apstrādātājs iesniedz īpašas atļaujas pieprasījumu vismaz [NORĀDĪT LAIKPOSMU] pirms attiecīgā apakšapstrādātāja iesaistīšanas, pievienojot informāciju, kas vajadzīga, lai pārzinis varētu lemt par atļauju. Pārziņa atļauto apakšapstrādātāju saraksts ir atrodams IV pielikumā. Puses regulāri atjaunina IV pielikumu.

2. IZVĒLE. VISPĀRĒJA RAKSTISKA ATĻAUJA: apstrādātājam ir pārziņa vispārēja atļauja piesaistīt apakšapstrādātājus no saraksta, par kuru panākta vienošanās. Apstrādātājs īpaši rakstiski informē pārzini par jebkādām iecerētām pārmaiņām minētajā sarakstā, pievienojot vai aizstājot apakšapstrādātājus, vismaz [NORĀDĪT LAIKPOSMU] iepriekš, tādējādi dodot pārzinim pietiekami daudz laika, lai varētu iebilst pret šādām izmaiņām pirms attiecīgā(-o) apakšapstrādātāja(-u) iesaistīšanas. Apstrādātājs sniedz pārzinim informāciju, kas vajadzīga, lai pārzinis varētu izmantot tiesības iebilst.

b)

Ja apstrādātājs piesaista apakšapstrādātāju konkrētu apstrādes darbību veikšanai (pārziņa vārdā), apstrādātājs to dara, noslēdzot līgumu, ar kuru apakšapstrādātājam būtībā uzliek tādus pašus datu aizsardzības pienākumus kā tie, kas datu apstrādātājam uzlikti saskaņā ar šīm Klauzulām. Apstrādātājs nodrošina, ka apakšapstrādātājs pilda pienākumus, kas uz apstrādātāju attiecas saskaņā ar šīm Klauzulām un Regulu (ES) 2016/679 un/vai Regulu (ES) 2018/1725.

c)

Pēc pārziņa pieprasījuma apstrādātājs iesniedz pārzinim šādas apakšapstrādātāja vienošanās kopiju un visus turpmākos grozījumus. Ciktāl tas vajadzīgs, lai aizsargātu komercnoslēpumu vai citu konfidenciālu informāciju, tai skaitā personas datus, apstrādātājs pirms kopijas iesniegšanas var rediģēt vienošanās tekstu.

d)

Apstrādātājs paliek pilnībā atbildīgs pārzinim par apakšapstrādātāja pienākumu izpildi saskaņā ar tā līgumu ar apstrādātāju. Apstrādātājs paziņo pārzinim, ja apakšapstrādātājs nepilda savas līgumsaistības.

e)

Apstrādātājs ar apakšapstrādātāju vienojas par ieinteresētās trešās personas klauzulu, saskaņā ar kuru gadījumā, ja apstrādātājs ir faktiski zudis, juridiski beidzis pastāvēt vai ir kļuvis maksātnespējīgs, pārzinim ir tiesības izbeigt apakšapstrādātāja līgumu un dot norādījumus apakšapstrādātājam dzēst vai atdot personas datus.

a)

Apstrādātājs nosūta datus trešai valstij vai starptautiskai organizācijai, tikai pamatojoties uz pārziņa dokumentētiem norādījumiem vai lai izpildītu konkrētu prasību saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas piemērojami apstrādātājam, un to veic saskaņā ar Regulas (ES) 2016/679 vai Regulas (ES) 2018/1725 V nodaļu.

b)

Pārzinis piekrīt, ka tad, ja apstrādātājs saskaņā ar 7.7. klauzulu iesaista apakšapstrādātāju konkrētu apstrādes darbību veikšanai (pārziņa vārdā) un ja minētās apstrādes darbības ietver personas datu nosūtīšanu Regulas (ES) 2016/679 V nodaļas nozīmē, apstrādātājs un apakšapstrādātājs var nodrošināt atbilstību Regulas (ES) 2016/679 V nodaļai, izmantojot līguma standartklauzulas, ko Komisija pieņēmusi saskaņā ar Regulas (ES) 2016/679 46. panta 2. punktu, ar noteikumu, ka ir izpildīti šo līguma standartklauzulu izmantošanas nosacījumi.

a)

Apstrādātājs nekavējoties paziņo pārzinim par jebkuru pieprasījumu, ko tas ir saņēmis no datu subjekta. Viņš pats nesniedz atbildi uz šo pieprasījumu, ja vien pārzinis to nav atļāvis darīt.

b)

Apstrādātājs palīdz pārzinim pildīt tā pienākumus atbildēt uz datu subjektu pieprasījumiem izmantot savas tiesības, ņemot vērā apstrādes raksturu. Pildot savus pienākumus saskaņā ar a) un b) punktu, apstrādātājs ievēro pārziņa norādījumus.

c)

Papildus apstrādātāja pienākumam palīdzēt pārzinim saskaņā ar 8. klauzulas b) punktu apstrādātājs arī palīdz pārzinim nodrošināt šādu pienākumu izpildi, ņemot vērā datu apstrādes raksturu un apstrādātājam pieejamo informāciju:

d)

Puses III pielikumā paredz atbilstīgus tehniskus un organizatoriskus pasākumus, ar kuriem apstrādātājam ir jāpalīdz pārzinim piemērot šo klauzulu, kā arī nosaka pieprasītās palīdzības tvērumu un apjomu.

a)

attiecīgā gadījumā bez nepamatotas kavēšanās paziņojot kompetentajai(-ām) uzraudzības iestādei(-ēm) par personas datu aizsardzības pārkāpumu pēc tam, kad pārzinis par to ir uzzinājis (izņemot gadījumus, kad ir maz ticams, ka personas datu aizsardzības pārkāpums varētu radīt risku fizisku personu tiesībām un brīvībām);

b)

iegūstot turpmāk minēto informāciju, kas saskaņā ar [1. IZVĒLE] Regulas (ES) 2016/679 33. panta 3. punktu / [2. IZVĒLE] Regulas (ES) 2018/1725 34. panta 3. punktu ir jānorāda pārziņa paziņojumā, un tajā jāiekļauj vismaz:

c)

saskaņā ar [1. IZVĒLE] Regulas (ES) 2016/679 34. pantu / [2. IZVĒLE] Regulas (ES) 2018/1725 35. pantu ievērojot pienākumu bez nepamatotas kavēšanās paziņot datu subjektam par personas datu aizsardzības pārkāpumu, ja personas datu aizsardzības pārkāpums varētu radīt augstu risku fizisku personu tiesībām un brīvībām.

a)

pārkāpuma rakstura aprakstu (t. sk., ja iespējams, attiecīgo datu subjektu un datu ierakstu kategorijas un aptuveno skaitu);

b)

informāciju par kontaktpunktu, kur var iegūt papildu informāciju par personas datu aizsardzības pārkāpumu;

c)

pārkāpuma iespējamās sekas un pasākumus, kas veikti vai kurus ierosināts veikt, lai novērstu pārkāpumu, t. sk., lai mazinātu tā iespējamās nelabvēlīgās sekas.

a)

Neskarot Regulas (ES) 2016/679 un/vai Regulas (ES) 2018/1725 noteikumus, gadījumā, ja apstrādātājs nepilda savus pienākumus saskaņā ar šīm Klauzulām, pārzinis var dot rīkojumu apstrādātājam apturēt personas datu apstrādi līdz brīdim, kad apstrādātājs ievēro šīs Klauzulas vai līgums tiek izbeigts. Apstrādātājs nekavējoties informē pārzini, ja tas jebkāda iemesla dēļ nespēj ievērot šīs Klauzulas.

b)

Pārzinis ir tiesīgs izbeigt līgumu, ciktāl tas attiecas uz personas datu apstrādi saskaņā ar šīm Klauzulām, ja:

c)

Apstrādātājam ir tiesības izbeigt līgumu, ciktāl tas attiecas uz personas datu apstrādi saskaņā ar šīm Klauzulām, ja pārzinis pēc tam, kad apstrādātājs ir informējis pārzini, ka tā norādījumi pārkāpj piemērojamās juridiskās prasības saskaņā ar 7.1. klauzulas b) punktu, uzstāj, ka norādījumi ir jāievēro.

d)

Pēc līguma izbeigšanas apstrādātājs pēc pārziņa izvēles dzēš visus pārziņa vārdā apstrādātos personas datus un apliecina pārzinim, ka tas ir izdarīts, vai atdod visus personas datus pārzinim un dzēš esošās kopijas, ja vien Savienības vai dalībvalsts tiesību akti neparedz personas datu glabāšanu. Līdz brīdim, kad dati tiek dzēsti vai atdoti, apstrādātājs turpina nodrošināt atbilstību šīm Klauzulām.

1.

Nosaukums: …

Adrese: …

Kontaktpersonas vārds, amats un kontaktinformācija: …

Paraksts un pievienošanās datums: …

2.

1.

Nosaukums: …

Adrese: …

Kontaktpersonas vārds, amats un kontaktinformācija: …

Paraksts un pievienošanās datums: …

2.

personas datu pseidonimizācijas un šifrēšanas pasākumi

pasākumi apstrādes sistēmu un pakalpojumu nepārtrauktas konfidencialitātes, integritātes, pieejamības un noturības nodrošināšanai

pasākumi, ar ko nodrošina spēju laicīgi atjaunot personas datu pieejamību un piekļuvi tiem gadījumā, ja ir noticis fizisks vai tehnisks negadījums

procesi regulārai tehnisko un organizatorisko pasākumu efektivitātes testēšanai, novērtēšanai un izvērtēšanai nolūkā nodrošināt apstrādes drošību

lietotāju identifikācijas un autorizācijas pasākumi

datu aizsardzības pasākumi nosūtīšanas laikā

datu aizsardzības pasākumi glabāšanas laikā

pasākumi, ar ko nodrošina to vietu fizisko drošību, kurās apstrādā personas datus

pasākumi, ar ko nodrošina notikumu reģistrēšanu

pasākumi, ar ko nodrošina sistēmu konfigurāciju, t. sk. noklusējuma konfigurāciju

iekšējo IT un IT drošības pārvaldības un vadības pasākumi

procesu un produktu sertificēšanas/apliecināšanas pasākumi

datu minimizēšanas nodrošināšanas pasākumi

datu kvalitātes nodrošināšanas pasākumi

pasākumi, ar ko nodrošina datu ierobežotu saglabāšanu

pārskatatbildības nodrošināšanas pasākumi

pasākumi datu pārnesamības atļaušanai un dzēšanas nodrošināšanai

1.

Nosaukums: …

Adrese: …

Kontaktpersonas vārds, amats un kontaktinformācija: …

Apstrādes apraksts (t. sk. skaidri norobežoti pienākumi, ja atļauts izmantot vairākus apakšapstrādātājus): …

2.

…