Šī Personas datu apstrādes vienošanās nosaka personas datu apstrādes kārtību, kas piemērojama gadījumos, kad izglītības iestāde (turpmāk – Pārzinis) izmanto digitālās prakses platformu Edy365.com, kuru nodrošina SIA “Edy365.com” (turpmāk – Apstrādātājs).

Pārzinis un Apstrādātājs Vispārīgās datu aizsardzības regulas izpratnē apņemas ievērot šajā Vienošanās noteiktās fizisko personu datu apstrādes prasības.

Šī vienošanās tiek noslēgti elektroniskā formā,

izmantojot click-wrap mehānismu Edy365.com platformā.

1. DEFINĪCIJAS
2. APSTRĀDES PRIEKŠMETS
3. DATU SUBJEKTU KATEGORIJAS
4. PERSONAS DATU VEIDI
5. PERSONAS DATU APSTRĀDES RAKSTURS
6. TEHNISKIE UN ORGANIZATORISKIE PASĀKUMI PERSONAS DATU AIZSARDZĪBAI
7. APSTRĀDĀTĀJA PIENĀKUMI UN TIESĪBAS
8. PĀRZIŅA PIENĀKUMI UN TIESĪBAS
9. RĪCĪBA PERSONAS DATU AIZSARDZĪBAS PĀRKĀPUMA GADĪJUMĀ
10. CITU APSTRĀDĀTĀJU (APAKŠAPSTRĀDĀTĀJU) PIESAISTE
11. ATBILDĪBA
12. PERSONAS DATU LABOŠANA UN APSTRĀDES IEROBEŽOŠANA
13. PERSONAS DATU APSTRĀDES IZBEIGŠANA

15.NOBEIGUMA NOTEIKUMI

 

1. DEFINĪCIJAS

Šajā Personas datu apstrādes vienošanās dokumentā lietotajiem terminiem ir šāda nozīme:

1.1. Personas dati – jebkāda informācija, kas attiecas uz identificētu vai identificējamu fizisku personu Vispārīgās datu aizsardzības regulas izpratnē.

1.2. Datu subjekts – identificēta vai identificējama fiziska persona, uz kuru attiecas Personas dati.

1.3. Personas datu apstrāde – jebkura ar Personas datiem veikta darbība vai darbību kopums, tostarp datu vākšana, reģistrēšana, strukturēšana, glabāšana, pārveidošana, izmantošana, izpaušana, nodošana, bloķēšana vai dzēšana, neatkarīgi no tā, vai tā tiek veikta automatizēti vai neautomatizēti.

1.4. Personas datu aizsardzības pārkāpums – drošības pārkāpums, kura rezultātā notiek nejauša vai nelikumīga Personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem.

1.5. Pārzinis – izglītības iestāde, kas viena pati vai kopīgi ar citām personām nosaka Personas datu apstrādes nolūkus un līdzekļus Platformas izmantošanas ietvaros.

1.6. Apstrādātājs – SIA “Edy365.com”, kas Pārziņa vārdā apstrādā Personas datus digitālās prakses platformas Edy365.com nodrošināšanas ietvaros.

1.7. Uzraudzības iestāde – Latvijas Republikas Datu valsts inspekcija.

2. APSTRĀDES PRIEKŠMETS

Personas datu apstrādes priekšmets ir personas datu apstrāde, kas tiek veikta saistībā ar digitālās prakses platformas Edy365.com izmantošanu prakses organizēšanas, uzraudzības un administrēšanas nodrošināšanai.

3. PERSONAS DATU APSTRĀDES NOLŪKS UN ILGUMS

3.1. Personas datu nodošanas un apstrādes nolūks ir digitālās prakses platformas Edy365.com darbības nodrošināšana un tajā pieejamo funkcionalitāšu izmantošana izglītības procesa ietvaros, tai skaitā prakses plānošana, norise, uzraudzība, dokumentēšana un ar to saistītā komunikācija.

3.2. Personas dati tiek apstrādāti no brīža, kad Pārzinis elektroniski apstiprina šo Vienošanos Platformā, līdz brīdim, kad Izglītības iestāde pārtrauc Platformas izmantošanu vai tiek izbeigtas līgumiskās attiecības saskaņā ar Platformas Lietošanas noteikumiem.

4. DATU SUBJEKTU KATEGORIJAS

4.1. Platformas izmantošanas ietvaros tiek apstrādāti šādu datu subjektu Personas dati:

4.1.1.     Izglītības iestādes studenti;

4.1.2.     Izglītības iestādes darbinieki;

4.1.3.     Prakses vietu (uzņēmumu) pārstāvji, kuri Platformā piedalās prakses organizēšanas procesā;

4.1.4.     Pārziņa un Apstrādātāja kontaktpersonas;

4.1.5.     Citas fiziskas personas, kuru Personas dati tiek apstrādāti Platformā saskaņā ar Pārziņa norādījumiem un Platformas funkcionalitāti.

5. PERSONAS DATU VEIDI

5.1. Platformas darbības ietvaros var tikt apstrādāti šādi Personas datu veidi:

5.1.1.     vārds, uzvārds;

5.1.2.     personas kods – Platformā ir paredzēts lauks personas kods, kurā Izglītības iestāde pēc savas izvēles un atbildības var norādīt personas kodu, studenta apliecības numuru vai citu unikālu identifikatoru. Izglītības iestāde nodrošina, ka izvēlētais identifikators ir unikāls attiecīgās Izglītības iestādes ietvaros un ka divām personām netiek piešķirts viens un tas pats identifikators. Pakalpojuma sniedzējs nenosaka un nekontrolē identifikatora veidu vai saturu un nav atbildīgs par šī lauka aizpildīšanas tiesisko pamatu vai atbilstību normatīvo aktu prasībām.

5.1.3.     kontaktinformācija (e-pasta adrese, tālruņa numurs);

5.1.4.     informācija par izglītības iestādi, prakses vietu vai darba vietu;

5.1.5.     amats vai loma Platformā;

5.1.6.     citi dati, kurus datu subjekts vai Pārzinis ievada Platformā prakses organizēšanas ietvaros.

6. PERSONAS DATU APSTRĀDES RAKSTURS

6.1. Personas datu apstrāde Platformā ietver šādas darbības:

6.1.1.     Pārzinis veic:

6.1.1.1.          datu ievadi, skatīšanu, labošanu, strukturēšanu un dzēšanu Platformā;

6.1.1.2.          lietotāju piesaisti un atsaisti;

6.1.1.3.          prakses procesa administrēšanu.

6.1.2.     Apstrādātājs veic:

6.1.2.1.          Personas datu glabāšanu;

6.1.2.2.          tehnisko uzturēšanu un rezerves kopiju nodrošināšanu;

6.1.2.3.          Personas datu atjaunošanu tehnisku incidentu gadījumā;

6.1.2.4.          citu tehnisku Personas datu apstrādi, ciktāl tas nepieciešams Platformas darbības nodrošināšanai vai tiek veikts pēc Pārziņa dokumentēta norādījuma.

6.2. Personas dati Platformas pamatfunkcionalitātes ietvaros netiek izmantoti automatizētu individuālu lēmumu pieņemšanai vai profilēšanai Vispārīgās datu aizsardzības regulas izpratnē.

6.3. Personas datu apstrāde tiek veikta Eiropas Savienības un Eiropas Ekonomikas zonas teritorijā.

7. TEHNISKIE UN ORGANIZATORISKIE PASĀKUMI PERSONAS DATU AIZSARDZĪBAI

7.1. Apstrādātājs apstrādā Personas datus tikai saskaņā ar šīs Vienošanās noteikumiem, Pārziņa dokumentētiem norādījumiem un Vispārīgās datu aizsardzības regulas prasībām.

7.2. Personas datu apstrādi Apstrādātāja vārdā veic tikai Apstrādātāja pilnvaroti darbinieki vai sadarbības partneri, kuri ir apņēmušies ievērot konfidencialitātes pienākumu un saņēmuši atbilstošu apmācību Personas datu aizsardzības jomā.

7.3. Apstrādātājs nodrošina, ka Personas datiem piekļuve tiek nodrošināta tikai tiem Apstrādātāja pilnvarotajiem darbiniekiem, kuriem šāda piekļuve ir nepieciešama Platformas uzturēšanas, drošības vai tehniskā atbalsta nodrošināšanai.

7.4. Personas datu apstrāde tiek veikta informācijas sistēmās, kurām var piekļūt attālināti un kuras tiek uzturētas saskaņā ar piemērojamajiem drošības standartiem, neesot piesaistītām konkrētai fiziskai atrašanās vietai.

7.5. Ņemot vērā Platformas darbības raksturu, Personas datu apstrāde var notikt nepārtraukti Platformas pieejamības nodrošināšanas nolūkā.

7.6. Apstrādātājs nodrošina, ka personas, kuras iesaistītas Personas datu apstrādē, ir juridiski saistītas ar konfidencialitātes pienākumu, kas ir spēkā arī pēc darba tiesisko vai citu līgumisko attiecību izbeigšanas.

7.7. Apstrādātājs īsteno atbilstošus tehniskus pasākumus, tostarp, ja tas ir samērīgi un tehniski iespējams, Personas datu pseidonimizāciju un šifrēšanu.

7.8. Apstrādātājs īsteno tehniskus un organizatoriskus pasākumus, lai nodrošinātu Personas datu apstrādes sistēmu konfidencialitāti, integritāti, pieejamību un noturību.

7.9. Apstrādātājs veic pasākumus, lai aizsargātu Personas datus pret nejaušu vai nelikumīgu iznīcināšanu, nozaudēšanu, bojāšanu vai nesankcionētu piekļuvi, tostarp fiziskas vai tehniskas iedarbības rezultātā.

7.10.        Apstrādātājs nodrošina iespēju atjaunot Personas datu pieejamību un piekļuvi savlaicīgi tehnisku incidentu vai avāriju gadījumā.

7.11.       Apstrādātājs regulāri izvērtē un, ja nepieciešams, uzlabo ieviesto tehnisko un organizatorisko pasākumu efektivitāti, lai nodrošinātu Personas datu apstrādes drošību.

8. APSTRĀDĀTĀJA PIENĀKUMI UN TIESĪBAS

8.1. Apstrādātājs nodrošina Pārzinim sākotnējo piekļuvi digitālās prakses platformai Edy365.com, izveidojot pirmreizējo administratora lietotāja profilu vai nodrošinot piekļuvi Platformai citā tehniski atbilstošā veidā.

8.2. Apstrādātājs dara Pārzinim pieejamu informāciju, kas ir pamatoti nepieciešama, lai apliecinātu Apstrādātāja pienākumu izpildi saskaņā ar šo Vienošanos un Vispārīgās datu aizsardzības regulas 28. pantu.

8.3. Apstrādātājs nodrošina Pārzinim iespēju veikt pārbaudes vai revīzijas par Personas datu apstrādi, ciktāl tas ir samērīgi, iepriekš saskaņots ar Apstrādātāju un neapdraud Platformas drošību, citu klientu intereses vai Apstrādātāja komercnoslēpumus.

8.4. Apstrādātājs nodrošina, ka tā tehniskie līdzekļi ļauj savlaicīgi veikt darbības, kas nepieciešamas, lai izpildītu šajā Vienošanās noteiktos pienākumus attiecībā uz Personas datu aizsardzības pārkāpumu paziņošanu un datu subjektu tiesību īstenošanu.

8.5. Apstrādātājs nodrošina Platformas ietvaros auditācijas un darbību reģistrēšanas mehānismus, ciktāl tas ir tehniski iespējams, un glabā attiecīgos ierakstus saprātīgu laika periodu pēc Platformas izmantošanas pārtraukšanas, ievērojot piemērojamos normatīvos aktus.

8.6. Apstrādātājs, ņemot vērā Personas datu apstrādes raksturu, palīdz Pārzinim izpildīt datu subjektu tiesības saskaņā ar Vispārīgās datu aizsardzības regulas III nodaļu, ciktāl tas ir iespējams ar Platformas tehniskajiem līdzekļiem.

8.7. Apstrādātājs nodrošina, ka personas, kuras ir iesaistītas Personas datu apstrādē Apstrādātāja vārdā, ir apmācītas Personas datu aizsardzības jautājumos un ir saistītas ar konfidencialitātes pienākumu.

9. PĀRZIŅA PIENĀKUMI UN TIESĪBAS

9.1. Pārzinis nodrošina, ka Apstrādātājam Platformas ietvaros tiek nodoti tikai tādi Personas dati, kuru apstrādei pastāv tiesisks pamats saskaņā ar piemērojamiem normatīvajiem aktiem, tostarp Vispārīgo datu aizsardzības regulu.

9.2. Pārzinis ir atbildīgs par piekļuves datu drošību Platformā un nodrošina, ka pēc sākotnējās piekļuves saņemšanas tiek veikti nepieciešamie pasākumi lietotāju kontu drošības nodrošināšanai, tostarp piekļuves datu atjaunošana vai nomaiņa, ja tas ir piemērojams.

10. RĪCĪBA PERSONAS DATU AIZSARDZĪBAS PĀRKĀPUMA GADĪJUMĀ

10.1.       Ja Apstrādātājam kļūst zināms Personas datu aizsardzības pārkāpums, Apstrādātājs par to nepamatoti nekavējoties, bet ne vēlāk kā 48 (četrdesmit astoņu) stundu laikā pēc pārkāpuma konstatēšanas paziņo Pārzinim, izmantojot Platformā norādīto kontaktinformāciju vai citus Pārziņa norādītos saziņas kanālus.

10.2.       Apstrādātāja paziņojums Pārzinim ietver, ciktāl informācija Apstrādātājam attiecīgajā brīdī ir pieejama:

10.2.1.          Personas datu aizsardzības pārkāpuma raksturu;

10.2.2.          iespējami skarto Personas datu kategorijas un datu subjektu kategorijas;

10.2.3.          iespējamo ietekmi uz Personas datu konfidencialitāti, integritāti vai pieejamību;

10.2.4.          veiktos vai plānotos pasākumus pārkāpuma seku novēršanai vai mazināšanai.

10.3.       Apstrādātājs sadarbojas ar Pārzini un sniedz tam saprātīgi nepieciešamo informāciju un atbalstu, lai Pārzinis varētu izpildīt Vispārīgās datu aizsardzības regulas 33. un 34. pantā noteiktos pienākumus.

10.4.       Pārzinis ir atbildīgs par Personas datu aizsardzības pārkāpuma paziņošanu uzraudzības iestādei 72 (septiņdesmit divu) stundu laikā pēc brīža, kad pārkāpums tam kļuvis zināms, ja vien normatīvie akti nenosaka citādi.

10.5.       Gadījumā, ja Personas datu aizsardzības pārkāpums varētu radīt augstu risku datu subjektu tiesībām un brīvībām, Pārzinis ir atbildīgs par datu subjektu informēšanu saskaņā ar Vispārīgās datu aizsardzības regulas prasībām.

11. CITU APSTRĀDĀTĀJU (APAKŠAPSTRĀDĀTĀJU) PIESAISTE

11.1.       Apstrādātājs ir tiesīgs personas datu apstrādei piesaistīt citus apstrādātājus (apakšapstrādātājus), nodrošinot, ka šādiem apakšapstrādātājiem tiek piemēroti datu aizsardzības pienākumi, kas nav mazāk stingri kā šajā Vienošanās noteiktie.

11.2.       Apstrādātājs saglabā pilnu atbildību par apakšapstrādātāju veikto Personas datu apstrādi Pārziņa vārdā.

11.3.       Apstrādātājs informē Pārzini par būtiskām izmaiņām apakšapstrādātāju piesaistē, publicējot aktuālu informāciju Platformā vai sniedzot paziņojumu citā samērīgā veidā.

12. ATBILDĪBA

12.1.       Apstrādātājs ir atbildīgs par kaitējumu, kas radies Personas datu apstrādes rezultātā, ja tas nav izpildījis Vispārīgajā datu aizsardzības regulā vai šajā Vienošanās noteiktos pienākumus, kas tieši attiecas uz Apstrādātāju.

12.2.       Puse nav atbildīga par kaitējumu, ja tā pierāda, ka nav nekādā veidā atbildīga par notikumu, kura rezultātā kaitējums radies.

12.3.       Apstrādātājs neatbild par Personas datu apstrādes tiesiskā pamata esamību vai izvēli, kā arī par Personas datu satura atbilstību normatīvo aktu prasībām, ja šie dati Apstrādātājam tiek nodoti no Pārziņa.

12.4.       Apstrādātājs apstrādā Personas datus Pārziņa vārdā, pamatojoties uz Pārziņa norādījumiem, Platformas Lietošanas noteikumiem un šo Vienošanos.

13. PERSONAS DATU LABOŠANA UN APSTRĀDES IEROBEŽOŠANA

13.1.       Ja Pārzinis saņem no datu subjekta pieprasījumu par Personas datu labošanu, dzēšanu vai apstrādes ierobežošanu, Pārzinis izvērtē pieprasījuma atbilstību normatīvajiem aktiem un veic nepieciešamās darbības Platformā.

13.2.       Apstrādātājs sniedz Pārzinim saprātīgu tehnisku atbalstu šādu pieprasījumu izpildē, ciktāl tas ir iespējams ar Platformas tehniskajiem līdzekļiem.

14. PERSONAS DATU APSTRĀDES IZBEIGŠANA

14.1.       Pēc Platformas izmantošanas pārtraukšanas Apstrādātājs Personas datus apstrādā tikai ciktāl tas ir nepieciešams normatīvo aktu prasību izpildei vai Platformas tehniskai slēgšanai.

14.2.       Pēc Pārziņa pieprasījuma un ja normatīvie akti to pieļauj, Apstrādātājs saprātīgā termiņā dzēš vai anonimizē Pārziņa Personas datus, izņemot gadījumus, kad Personas datu saglabāšana ir nepieciešama juridisku pienākumu izpildei.

15. NOBEIGUMA NOTEIKUMI

15.1.       Šī Vienošanās stājas spēkā brīdī, kad Izglītības iestāde tai piekrīt elektroniski Platformā, un ir spēkā tik ilgi, kamēr Izglītības iestāde izmanto Platformu.

15.2.       Šī Vienošanās veido neatņemamu Platformas Lietošanas noteikumu sastāvdaļu.

15.3.       Šī Vienošanās ir publiski pieejama Platformā un tiek piemērota bez paraksta vai rekvizītu norādīšanas.