Pēdējoreiz atjaunināts: 2026. gada aprīlis · Saskaņā ar Vispārīgās datu aizsardzības regulas (ES) 2016/679 28. pantu
Šis Datu apstrādes līgums ("DAL") ir neatņemama daļa no pakalpojumu līguma ("Pamatlīgums") starp SIA Sorsera, reģistrētu Latvijas Republikā ("Apstrādātājs", "Sorsera", "mēs") un juridisko personu, kas ir noslēgusi vai akceptējusi Pamatlīgumu ("Pārzinis", "Klients", "jūs").
Šis DAL ir piemērojams, ciktāl Sorsera apstrādā Personas datus jūsu vārdā, sniedzot Sorsera platformas un saistītos pakalpojumus. Izmantojot mūsu pakalpojumus, jūs piekrītat šim DAL.
Saturs
1. Definīcijas
2. Darbības joma un mērķis
3. Pārziņa pienākumi
4. Apstrādātāja pienākumi
5. Datu subjekta tiesības
6. Apakšapstrādātāji
7. Starptautiskā datu nosūtīšana
8. Paziņošana par personas datu aizsardzības pārkāpumu
9. Novērtējums par ietekmi uz datu aizsardzību
10. Audita tiesības
11. Konfidencialitāte
12. Termiņš un izbeigšana
13. Atbildība
14. Vispārīgi noteikumi
1. pielikums: Apstrādes apraksts
2. pielikums: Tehniskie un organizatoriskie pasākumi
1. Definīcijas
"Piemērojamie datu aizsardzības tiesību akti" nozīmē Regulu (ES) 2016/679 (VDAR) un jebkurus piemērojamos valsts īstenošanas tiesību aktus, ar grozījumiem vai aizstājējaktiem, kas izdarīti laiku pa laikam.
"Datu subjekts" nozīmē identificētu vai identificējamu fizisku personu, uz kuru attiecas Personas dati.
"Personas dati" nozīmē jebkādu informāciju, kas attiecas uz Datu subjektu un ko Sorsera apstrādā Klienta vārdā saistībā ar Pamatlīgumu.
"Personas datu aizsardzības pārkāpums" nozīmē drošības pārkāpumu, kura rezultātā notiek nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto Personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem.
"Apakšapstrādātājs" nozīmē jebkuru trešo personu, ko Sorsera ir piesaistījusi Personas datu apstrādei Klienta vārdā.
"Tehniskie un organizatoriskie pasākumi" jeb "TOP" nozīmē 2. pielikumā aprakstītos drošības pasākumus.
Termini, kas nav definēti šajā DAL, tiek lietoti VDAR noteiktajā nozīmē.
2. Darbības joma un mērķis
Šis DAL attiecas uz visu Personas datu apstrādi, ko Sorsera veic Klienta vārdā saistībā ar pakalpojumiem, kas tiek sniegti saskaņā ar Pamatlīgumu.
Sorsera apstrādā Personas datus tikai tādā apmērā, kāds nepieciešams tās pienākumu izpildei saskaņā ar Pamatlīgumu, un atbilstoši Klienta dokumentētajiem norādījumiem. Apstrādes detaļas, tostarp apstrādes veids un mērķis, Personas datu kategorijas un Datu subjektu kategorijas, ir izklāstītas 1. pielikumā.
Šis DAL stājas spēkā dienā, kad Klients akceptē vai sāk izmantot pakalpojumus, un paliek spēkā Pamatlīguma darbības laikā, ja vien tas netiek izbeigts agrāk saskaņā ar 12. sadaļu.
3. Pārziņa pienākumi
Klients apliecina un garantē, ka:
Tam ir tiesisks pamats Personas datu apstrādei un Sorsera instruēšanai apstrādāt Personas datus tā vārdā.
Tas ir sniedzis visus nepieciešamos paziņojumus un saņēmis visas nepieciešamās piekrišanas vai atļaujas no Datu subjektiem, kā to paredz Piemērojamie datu aizsardzības tiesību akti.
Tā norādījumi Sorsera atbilst Piemērojamajiem datu aizsardzības tiesību aktiem.
Tas bez nepamatotas kavēšanās informēs Sorsera par jebkādām izmaiņām Piemērojamajos datu aizsardzības tiesību aktos, kas var ietekmēt Sorsera pienākumus saskaņā ar šo DAL.
4. Apstrādātāja pienākumi
Sorsera:
Apstrādā Personas datus tikai saskaņā ar Klienta dokumentētajiem norādījumiem, tostarp attiecībā uz starptautisko nosūtīšanu, izņemot gadījumus, kad to pieprasa Savienības vai dalībvalsts tiesību akti. Šādā gadījumā Sorsera informēs Klientu par šo juridisko prasību pirms apstrādes, izņemot gadījumus, kad attiecīgie tiesību akti aizliedz šādu informēšanu svarīgu sabiedrības interešu dēļ.
Nodrošina, ka personas, kurām ir atļauts apstrādāt Personas datus, ir uzņēmušās konfidencialitātes saistības vai tām ir attiecīgs likumā noteikts konfidencialitātes pienākums.
Ievieš un uztur 2. pielikumā aprakstītos Tehniskos un organizatoriskos pasākumus, ņemot vērā jaunākos sasniegumus, ieviešanas izmaksas, kā arī apstrādes raksturu, apjomu, kontekstu un mērķus.
Ievēro nosacījumus Apakšapstrādātāju piesaistīšanai, kā noteikts 6. sadaļā.
Ņemot vērā apstrādes raksturu, palīdz Klientam ar atbilstošiem tehniskiem un organizatoriskiem pasākumiem, ciktāl tas ir iespējams, izpildīt Klienta pienākumu atbildēt uz Datu subjektu pieprasījumiem saskaņā ar VDAR III nodaļu.
Palīdz Klientam nodrošināt atbilstību VDAR 32. līdz 36. pantam, ņemot vērā apstrādes raksturu un Sorsera rīcībā esošo informāciju.
Pēc Klienta izvēles dzēš vai atgriež visus Personas datus pēc pakalpojumu sniegšanas beigām un dzēš esošās kopijas, ja vien piemērojamie tiesību akti nepieprasa to saglabāšanu.
Dara Klientam pieejamu visu informāciju, kas nepieciešama, lai pierādītu atbilstību VDAR 28. pantā noteiktajiem pienākumiem, un pieļauj un veicina auditus, tostarp pārbaudes, kā noteikts 10. sadaļā.
5. Datu subjekta tiesības
Sorsera nekavējoties paziņos Klientam, ja tā saņems Datu subjekta pieprasījumu īstenot savas tiesības saskaņā ar VDAR, tostarp tiesības piekļūt datiem, tos labot, dzēst, ierobežot apstrādi, uz datu pārnesamību un tiesības iebilst.
Sorsera neatbildēs uz šādu pieprasījumu tieši, ja vien Klients nav to rakstiski pilnvarojis, un palīdzēs Klientam izpildīt tā pienākumu atbildēt Piemērojamajos datu aizsardzības tiesību aktos noteiktajos termiņos.
Ciktāl Klients nevar izskatīt Datu subjekta pieprasījumu, izmantojot pakalpojumus, Sorsera pēc pieprasījuma un uz Klienta rēķina sniegs komerciāli saprātīgu sadarbību, lai palīdzētu Klientam atbildēt uz šādu pieprasījumu.
6. Apakšapstrādātāji
Klients piešķir Sorsera vispārēju rakstisku atļauju piesaistīt Apakšapstrādātājus konkrētu apstrādes darbību veikšanai. Aktuālais Apakšapstrādātāju saraksts ir pieejams URL adresē, ko Sorsera darīs pieejamu Klientam pēc pieprasījuma.
Sorsera informēs Klientu par jebkādām plānotajām izmaiņām attiecībā uz Apakšapstrādātāju pievienošanu vai aizstāšanu, dodot Klientam iespēju izteikt iebildumus trīsdesmit (30) kalendāro dienu laikā pēc šāda paziņojuma saņemšanas.
Ja Klients izvirza pamatotus iebildumus pret jaunu Apakšapstrādātāju, Sorsera veiks komerciāli saprātīgu mēģinājumu, lai nodrošinātu pakalpojumu izmaiņas vai ieteiktu izmaiņas Klienta konfigurācijā, lai izvairītos no apstrādes, ko veic attiecīgais Apakšapstrādātājs. Ja Sorsera nespēj veikt šādas izmaiņas saprātīgā termiņā, jebkura Puse var izbeigt attiecīgo Pamatlīguma daļu.
Ja Sorsera piesaista Apakšapstrādātāju, tā ar rakstiska līguma palīdzību uzliek Apakšapstrādātājam datu aizsardzības pienākumus, kas nav mazāk aizsargājoši par šajā DAL noteiktajiem. Sorsera pilnībā atbild Klientam par katra Apakšapstrādātāja pienākumu izpildi.
7. Starptautiskā datu nosūtīšana
Sorsera nenosūtīs Personas datus uz valsti ārpus Eiropas Ekonomikas zonas (EEZ), ja vien nav izpildīts kāds no šādiem nosacījumiem:
Eiropas Komisija ir pieņēmusi lēmumu par aizsardzības līmeņa pietiekamību attiecīgajai valstij vai teritorijai.
Ir ieviesti atbilstoši aizsardzības pasākumi saskaņā ar VDAR 46. pantu, piemēram, Eiropas Komisijas pieņemtās Standartu līguma klauzulas (SLK), saistošie uzņēmumu noteikumi vai apstiprināts sertifikācijas mehānisms.
Ir piemērojama VDAR 49. pantā noteiktā atkāpe.
Ja nosūtīšana notiek, pamatojoties uz Standartu līguma klauzulām, Puses vienojas noslēgt šādas klauzulas kā atsevišķu dokumentu. Sorsera veiks un dokumentēs nosūtīšanas ietekmes novērtējumu, ja to pieprasa Piemērojamie datu aizsardzības tiesību akti vai uzraudzības iestādes norādījumi.
8. Paziņošana par personas datu aizsardzības pārkāpumu
Sorsera paziņos Klientam bez nepamatotas kavēšanās, un jebkurā gadījumā 48 stundu laikā, pēc tam, kad kļuvis zināms Personas datu aizsardzības pārkāpums, kas skar saskaņā ar šo DAL apstrādātos Personas datus.
Paziņojumā, ciktāl iespējams, tiks iekļauta:
Pārkāpuma rakstura apraksts, tostarp, ja iespējams, skarto Datu subjektu kategorijas un aptuvens skaits, kā arī skarto ierakstu skaits.
Sorsera datu aizsardzības kontaktpersonas kontaktinformācija.
Pārkāpuma iespējamo seku apraksts.
Apraksts par pasākumiem, kas veikti vai ierosināti pārkāpuma novēršanai, tostarp pasākumi tā iespējamo nelabvēlīgo seku mazināšanai.
Sorsera sadarbosies ar Klientu un veiks komerciāli saprātīgus pasākumus, lai palīdzētu katra pārkāpuma izmeklēšanā, mazināšanā un novēršanā. Sorsera neinformēs trešās personas par pārkāpumu bez Klienta iepriekšējas rakstiskas piekrišanas, izņemot gadījumus, kad to pieprasa Piemērojamie datu aizsardzības tiesību akti.
9. Novērtējums par ietekmi uz datu aizsardzību
Sorsera sniegs saprātīgu palīdzību Klientam saistībā ar jebkādiem novērtējumiem par ietekmi uz datu aizsardzību un iepriekšējām konsultācijām ar uzraudzības iestādēm, ko Klients pamatoti uzskata par nepieciešamām saskaņā ar VDAR 35. vai 36. pantu, tikai attiecībā uz apstrādi saskaņā ar šo DAL un ņemot vērā apstrādes raksturu un Sorsera rīcībā esošo informāciju.
10. Audita tiesības
Sorsera pēc pieprasījuma darīs Klientam pieejamu visu informāciju, kas nepieciešama, lai pierādītu atbilstību šim DAL un VDAR 28. pantam.
Klients (vai tā norīkots trešās puses auditors, ievērojot saprātīgas konfidencialitātes saistības) var veikt auditus un pārbaudes ar nosacījumu, ka:
Klients informē Sorsera vismaz trīsdesmit (30) darba dienas iepriekš rakstveidā, izņemot gadījumus, kad auditu pieprasa uzraudzības iestāde vai tas notiek pēc Personas datu aizsardzības pārkāpuma, un šādos gadījumos tiek sniegts saprātīgs iepriekšējs paziņojums.
Auditi tiek veikti parastajā darba laikā un nepamatoti netraucē Sorsera uzņēmējdarbību.
Klients sedz audita izmaksas, izņemot gadījumus, kad audits atklāj būtisku šī DAL pārkāpumu no Sorsera puses.
Auditi nepārsniedz vienu (1) reizi kalendārajā gadā, izņemot gadījumus, kad to pieprasa uzraudzības iestāde vai tas notiek pēc Personas datu aizsardzības pārkāpuma.
Kā alternatīvu klātienes auditiem Sorsera var sniegt Klientam attiecīga trešās puses audita ziņojuma kopiju (piemēram, SOC 2 Type II vai ISO 27001 sertifikāciju), kas apliecina Sorsera atbilstību tās pienākumiem saskaņā ar šo DAL.
11. Konfidencialitāte
Sorsera uzskatīs visus Personas datus par konfidenciāliem un nodrošinās, ka jebkurai personai, kuru tā pilnvaro apstrādāt Personas datus (tostarp darbiniekiem, aģentiem un Apakšapstrādātājiem), ir konfidencialitātes pienākums attiecībā uz šādiem datiem.
Šis pienākums paliek spēkā arī pēc šī DAL izbeigšanas vai termiņa beigām.
12. Termiņš un izbeigšana
Šis DAL ir spēkā Pamatlīguma darbības laikā. Pēc Pamatlīguma izbeigšanas vai termiņa beigām šis DAL automātiski izbeidzas, ievērojot to pienākumu saglabāšanos, kas pēc savas būtības ir paredzēti palikt spēkā pēc izbeigšanas.
Pēc izbeigšanas vai termiņa beigām Sorsera pēc Klienta izvēles un trīsdesmit (30) dienu laikā:
Atgriezīs visus Personas datus Klientam plaši izmantotā, mašīnlasāmā formātā; vai
Droši dzēsīs visus Personas datus un rakstiski apliecinās šādu dzēšanu.
Sorsera var saglabāt Personas datus tādā apmērā, kādu pieprasa piemērojamie tiesību akti, ar nosacījumu, ka tā nodrošina šādu datu konfidencialitāti un apstrādā tos tikai šādu tiesību aktu noteiktajam mērķim.
13. Atbildība
Katras Puses atbildība saskaņā ar šo DAL ir pakļauta Pamatlīgumā noteiktajiem atbildības ierobežojumiem un izņēmumiem, izņemot to, ka nevienas Puses atbildību par Piemērojamo datu aizsardzības tiesību aktu pārkāpumiem neierobežo Pamatlīgums.
Sorsera ir atbildīga par apstrādes radīto kaitējumu tikai tad, ja tā nav izpildījusi VDAR pienākumus, kas ir tieši adresēti apstrādātājiem, vai ja tā ir rīkojusies ārpus Klienta likumīgajiem norādījumiem vai pretēji tiem.
14. Vispārīgi noteikumi
Piemērojamie tiesību akti. Šo DAL regulē un interpretē saskaņā ar Latvijas Republikas tiesību aktiem, neņemot vērā tiesību normu kolīzijas noteikumus.
Strīdi. Jebkurš strīds, kas izriet no šī DAL vai ir ar to saistīts, tiek iesniegts Rīgas, Latvijas tiesu ekskluzīvā jurisdikcijā.
Grozījumi. Sorsera var laiku pa laikam atjaunināt šo DAL, lai atspoguļotu izmaiņas tiesiskajās prasībās vai mūsu apstrādes praksē. Par būtiskām izmaiņām Klients tiks informēts saprātīgā termiņā iepriekš.
Nodalāmība. Ja kāds šī DAL noteikums tiek atzīts par spēkā neesošu vai neizpildāmu, pārējie noteikumi paliek pilnā spēkā.
Pilnīgs līgums. Šis DAL kopā ar Pamatlīgumu veido pilnīgu Pušu vienošanos attiecībā uz datu aizsardzības jautājumiem un aizstāj visas iepriekšējās vienošanās un apliecinājumus šajā jomā.
Prioritāšu kārtība. Pretrunu gadījumā starp šo DAL un Pamatlīgumu šis DAL prevalē attiecībā uz datu aizsardzības jautājumiem.
1. pielikums: Apstrādes apraksts
Elements | Apraksts |
|---|---|
Priekšmets | Sorsera nodrošina iepirkumu pārvaldības platformu. Apstrāde tiek veikta, lai Klients varētu pārvaldīt, piedalīties un sekot līdzi publiskajām un privātajām iepirkumu procedūrām. |
Ilgums | Pamatlīguma darbības laikā, kā arī jebkurā pēcizbeigšanas saglabāšanas periodā, ko paredz tiesību akti vai par kuru vienojušās Puses. |
Apstrādes veids | Personas datu vākšana, glabāšana, organizēšana, strukturēšana, ieguve, aplūkošana, izmantošana, izpaušana nosūtot un dzēšana, izmantojot Sorsera platformu. |
Mērķis | Nodrošināt Klientam piekļuvi un iespēju izmantot Sorsera platformu iepirkumu un konkursu pārvaldībai, tostarp piedāvājumu iesniegšanai, piegādātāju pārvaldībai, piedāvājumu izvērtēšanai, dokumentu pārvaldībai un saistītajai analītikai. |
Datu subjekti | Klienta darbinieki, darbuzņēmēji un pilnvarotie pārstāvji; Klienta klientu, piegādātāju un pretendējošo organizāciju darbinieki un pārstāvji; kontaktpersonas, kas norādītas iepirkumu dokumentācijā. |
Personas datu veidi | Vārds, uzvārds, amats, darba e-pasta adrese, darba tālruņa numurs, darba adrese, organizācijas nosaukums, lietotāja konta akreditācijas dati (šifrēti), IP adrese, pārlūkprogrammas un ierīces metadati, ar iepirkumiem saistītā sarakste un jebkādi citi Personas dati, ko Klients ievada platformā. |
Īpašās kategorijas | Nav paredzētas. Klients nedrīkst ievadīt īpašu kategoriju Personas datus platformā, ja vien nav citādi rakstiski saskaņots. |
2. pielikums: Tehniskie un organizatoriskie pasākumi
Sorsera ievieš un uztur šādus pasākumus:
Piekļuves kontrole
Uz lomām balstīta piekļuves kontrole ar mazāko privilēģiju principu
Daudzfaktoru autentifikācija administratīvajai piekļuvei
Unikāli lietotāju akreditācijas dati; nav koplietošanas kontu
Regulāras piekļuves pārbaudes un tūlītēja atsaukšana personāla maiņas gadījumā
Šifrēšana
Personas datu šifrēšana pārsūtīšanas laikā, izmantojot TLS 1.2 vai jaunāku versiju
Personas datu šifrēšana glabāšanas laikā, izmantojot AES-256 vai līdzvērtīgu algoritmu
Droša atslēgu pārvaldība ar regulāru atslēgu rotāciju
Tīkla drošība
Ugunsmūri, ielaušanās noteikšanas/novēršanas sistēmas un tīkla segmentācija
Regulāra ievainojamību skenēšana un ielaušanās testēšana
Piekļuves reģistrēšana un uzraudzība sistēmās, kas apstrādā Personas datus
Pieejamība un noturība
Regulāras dublējumkopijas ar pārbaudītām atjaunošanas procedūrām
Darbības nepārtrauktības un katastrofu atjaunošanas plāni, kas tiek pārbaudīti vismaz reizi gadā
Rezervēta infrastruktūra augstas pieejamības nodrošināšanai
Organizatoriskie pasākumi
Obligāta datu aizsardzības apmācība visam personālam, kam ir piekļuve Personas datiem
Rakstiskas informācijas drošības politikas, kas tiek pārskatītas un atjauninātas vismaz reizi gadā
Incidentu reaģēšanas plāns ar definētām lomām un eskalācijas procedūrām
Nozīmēta datu aizsardzības kontaktpersona
Fiziskās drošības kontroles datu centru un biroju atrašanās vietās
Datu minimizēšana
Apstrāde ierobežota līdz tam, kas nepieciešams noteiktajiem mērķiem
Pseidonimizācija un anonimizācija tiek piemērota, kur tas ir iespējams un lietderīgi