Datu apstrādes līgums
Noslēgts saskaņā ar VDAR 28. panta 3. punktu. Tas ir Pakalpojuma sniegšanas noteikumu neatņemama sastāvdaļa un automātiski attiecas uz katru WorkAist Cloud klientu.
Spēkā no: 2026-07-10
Šis dokuments ir publicēts vairākās valodās. Neatbilstības gadījumā saistoša ir angļu valodas versija.
1. Puses un lomas
Šis Datu apstrādes līgums tiek noslēgts starp WorkAist kontā norādīto klientu („Pārzinis“) un ILIN & SADOVENKO, LDA, Rua de Xabregas, nº 2, Escritório 3.21, 1900-440 Lisboa, Portugal, NIF 517251876 („Apstrādātājs“).
Attiecībā uz Klienta datu apstrādi WorkAist Cloud Pārzinis nosaka apstrādes mērķus un līdzekļus, un Apstrādātājs apstrādā datus Pārziņa uzdevumā. Ja Pārzinis pats ir apstrādātājs trešās personas labā, Pārzinis apliecina, ka tam ir pilnvaras noslēgt šo Datu apstrādes līgumu un ka tā sniegtie norādījumi atbilst šīs trešās personas norādījumiem.
Šis Datu apstrādes līgums neattiecas uz WorkAist Self-Hosted, kur Klienta dati nesasniedz Apstrādātāja sistēmas, ne arī uz datiem, attiecībā uz kuriem Apstrādātājs pats ir pārzinis, — tos regulē Privātuma politika.
2. Piemērošanas prioritāte
Ja šis Datu apstrādes līgums nonāk pretrunā ar Pakalpojuma sniegšanas noteikumiem, datu aizsardzības jautājumos prevalē šis Datu apstrādes līgums. Ja tas nonāk pretrunā ar individuāli saskaņotu pasūtījuma veidlapu vai parakstītu datu apstrādes līgumu, prevalē attiecīgais dokuments.
3. Priekšmets, ilgums, raksturs un mērķis
Priekšmets ir WorkAist Cloud sniegšana. Apstrādes raksturs un mērķis ir Klienta datu mitināšana, glabāšana, pārsūtīšana un automatizēta apstrāde, lai varētu darboties Pārziņa konfigurētie aģenti, konektori un procesi, kā arī atbalsta, drošības, uzskaites un norēķinu darbības, kas nepieciešamas Pakalpojuma sniegšanai.
Apstrāde turpinās, kamēr ir spēkā Pārziņa līgums par WorkAist Cloud, kā arī 11. punktā noteiktajos dzēšanas termiņos.
4. Datu subjektu un personas datu kategorijas
Pārzinis izlemj, ko tas augšupielādē. Parasti apstrāde attiecas uz:
| Datu subjektu kategorijas | Personas datu kategorijas |
|---|---|
| Pārziņa darbinieki un pilnvarotie lietotāji | Vārds, uzvārds, darba e-pasts, loma, autentifikācijas dati, audita žurnāla ieraksti |
| Pārziņa klienti, potenciālie klienti un kontaktpersonas | Vārds, uzvārds, e-pasts, tālruņa numurs, uzņēmums, sarakste, CRM ieraksti, jebkurš identifikators, ko Pārzinis izvēlas sinhronizēt |
| Pārziņa piegādātāji un partneri | Kontaktinformācija, līguma un rēķinu dati |
| Jebkurš datu subjekts, kas minēts Pārziņa apstrādātajos dokumentos vai ziņojumos | Jebkuri personas dati, kas ietverti failos, e-pastos, atšifrējumos (transkriptos), attēlos vai ziņojumos, ko Pārzinis iesniedz Pakalpojumā |
VDAR 9. pantā minētos īpašo kategoriju personas datus un VDAR 10. pantā minētos personas datus par kriminālsodāmību un noziedzīgiem nodarījumiem Pakalpojumā nedrīkst apstrādāt, ja vien puses iepriekš rakstiski nav vienojušās par papildu drošības pasākumiem.
Datu izcelsme
Klienta dati nonāk Pakalpojumā tāpēc, ka Pārzinis pieslēdz ārējas sistēmas, augšupielādē failus vai dod saviem aģentiem norādījumus tos iegūt. Šos avotus izvēlas un to, kas tiek importēts, nosaka vienīgi Pārzinis.
Pārzinis apliecina, ka tam ir tiesisks pamats saskaņā ar VDAR 6. pantu — un, ja piemērojams, VDAR 9. pantu — šo personas datu vākšanai un to nodošanai Apstrādātājam un ka avota sistēmā ir nodrošināts jebkurš nepieciešamais informatīvais paziņojums vai piekrišana. Apstrādātājam nav piekļuves Pārziņa avota sistēmām, tas tās neizvēlas un nedz pārbauda, nedz var pārbaudīt, vai tās atbilst datu aizsardzības tiesību aktiem. Tas ir Pārziņa kā pārziņa pienākums.
5. Apstrāde pēc dokumentētiem norādījumiem
Apstrādātājs apstrādā Klienta datus tikai pēc Pārziņa dokumentētiem norādījumiem, tostarp attiecībā uz nodošanu trešām valstīm, ja vien Savienības vai dalībvalsts tiesību akti, kuriem Apstrādātājs ir pakļauts, tam neuzliek pienākumu rīkoties citādi. Šādā gadījumā Apstrādātājs pirms apstrādes informē Pārzini par šo juridisko prasību, ja vien attiecīgie tiesību akti to neaizliedz svarīgu sabiedrības interešu apsvērumu dēļ.
Pakalpojuma sniegšanas noteikumi, šis Datu apstrādes līgums un Pārziņa veiktā Pakalpojuma konfigurācija un lietošana veido Pārziņa pilnīgos dokumentētos norādījumus. Jebkuram papildu norādījumam jābūt rakstiskam, un, ja tā izpildei nepieciešams lielāks darba apjoms nekā Pakalpojuma standarta funkcionalitāte, par to var tikt piemērota saprātīga, iepriekš saskaņota maksa.
Apstrādātājs bez nepamatotas kavēšanās informē Pārzini, ja, pēc tā ieskata, kāds norādījums pārkāpj VDAR vai citus Savienības vai dalībvalsts datu aizsardzības tiesību aktus.
6. Konfidencialitāte
Apstrādātājs nodrošina, ka personas, kuras ir pilnvarotas apstrādāt Klienta datus, ir apņēmušās ievērot konfidencialitāti vai uz tām attiecas atbilstošs likumā noteikts konfidencialitātes pienākums, un ka piekļuve ir ierobežota tikai tiem, kam tā nepieciešama līguma izpildei.
7. Apstrādes drošība
Ņemot vērā tehnikas attīstības līmeni, ieviešanas izmaksas, kā arī apstrādes raksturu, apjomu, kontekstu un mērķus, kā arī risku fizisko personu tiesībām un brīvībām, Apstrādātājs īsteno šādus tehniskus un organizatoriskus pasākumus saskaņā ar VDAR 32. pantu.
II pielikums — Tehniskie un organizatoriskie pasākumi
| Pasākums | Īstenošana |
|---|---|
| Šifrēšana pārraides laikā | Viss uz Pakalpojumu un no tā virzītais datplūsma tiek nodrošināta ar TLS un automātiski atjaunotiem sertifikātiem. Iekšējā pakalpojumu savstarpējā datplūsma neatstāj resursdatora tīklu. |
| Noslēpumu šifrēšana | Klientu piekļuves dati un konektoru noslēpumi glabāšanas laikā tiek šifrēti ar AES-256-GCM, izmantojot atslēgu, kas glabājas ārpus lietojumprogrammas datubāzes. |
| Pseidonimizācija | Telemetrijas un uzskaites ieraksti atsaucas uz klientiem un aģentiem pēc identifikatora, nevis vārda vai e-pasta, ja identifikators ir pietiekams. |
| Konfidencialitāte — piekļuves kontrole | Uz lomām balstīta piekļuves kontrole katrai darbvietai. Katrs aģents ir ierobežots savā krātuves prefiksā un savā datubāzes shēmā; piekļuve starp klientiem tiek liegta datu līmenī, ne tikai lietotāja saskarnē. |
| Konfidencialitāte — darbinieki | Administratīva piekļuve pēc mazāko nepieciešamo tiesību principa, piešķirta individuāli un pārskatīta, mainoties lomai. Visas administratīvās darbības tiek ierakstītas tikai pievienošanai paredzētā audita žurnālā. |
| Integritāte | Ievaddatu validācija un parametrizēti vaicājumi visur. Katra izmaiņa, kas veikta caur operāciju API, ierakstā audita žurnāla rindu, kas identificē darbības veicēju. |
| Pieejamība un noturība | Pārvaldīta mitināšana Tier III klases datu centrā Vācijā. Automatizētas ikdienas datubāzes rezerves kopijas, šifrētas un uzglabātas atsevišķi no produkcijas vides. |
| Atjaunošana | Dokumentēta atjaunošanas procedūra no jaunākās rezerves kopijas; atjaunošana tiek pārbaudīta infrastruktūras izmaiņu ietvaros. |
| Testēšana un novērtēšana | Atkarību ievainojamību skenēšana nepārtrauktās integrācijas procesā, koda pārskatīšana pirms apvienošanas (merge) un šo pasākumu periodiska pārskatīšana vismaz reizi gadā un pēc būtiskām Pakalpojuma izmaiņām. |
| Datu minimizēšana pēc noklusējuma (by design) | Konektori sinhronizē tikai tos laukus, kurus Pārzinis ir iespējojis. Pārzinis jebkurā brīdī var dzēst jebkuru sinhronizēto tabulu. |
Apstrādātājs var atjaunināt šos pasākumus, attīstoties tehnoloģijām, ja vien aizsardzības līmenis netiek samazināts. Pašreizējā versija vienmēr ir šajā lapā publicētā versija.
8. Apakšapstrādātāji
Pārzinis dod Apstrādātājam vispārēju rakstisku atļauju iesaistīt apakšapstrādātājus. Apstrādātājs ar līgumu uzliek katram apakšapstrādātājam datu aizsardzības pienākumus, kas nav mazāk aizsargājoši kā šajā Datu apstrādes līgumā noteiktie, un paliek pilnībā atbildīgs Pārzinim par apakšapstrādātāja darbību.
III pielikums — Apstiprinātie apakšapstrādātāji
Šādi apakšapstrādātāji tiek iesaistīti attiecībā uz katru WorkAist Cloud klientu, jo tie ir daļa no infrastruktūras, uz kuras darbojas Pakalpojums.
| Apakšapstrādātājs | Mērķis | Vieta | Nodošanas drošības garantija |
|---|---|---|---|
| Hetzner Online GmbH | Lietojumprogrammu serveru, datubāzes un rezerves kopiju mitināšana | Vācija (ES) | Nepiemēro |
| Cloudflare, Inc. | DNS, reversais starpniekserveris, TLS pārtraukšana, DDoS aizsardzība | Globāls perifērijas (edge) tīkls, tostarp ES | ES Standarta līguma klauzulas; ES-ASV Datu privātuma regulējums |
| Stripe Payments Europe, Ltd. | Maksājumu un abonementu apstrāde | Īrija (ES) | ES Standarta līguma klauzulas grupas iekšējai tālākai nodošanai; ES-ASV Datu privātuma regulējums |
| Resend, Inc. | Transakciju e-pastu piegāde | Amerikas Savienotās Valstis | ES Standarta līguma klauzulas |
Modeļu pakalpojumu sniedzēji
Lielo valodas modeļu pakalpojumu sniedzēji tiek aplūkoti atšķirīgi, jo tos izvēlas Pārzinis.
- Ja Pārzinis nodrošina savas pakalpojumu sniedzēja piekļuves atslēgas, šo pakalpojumu sniedzēju iesaista Pārzinis pats, pēc Pārziņa norādījumiem un saskaņā ar Pārziņa paša vienošanos ar to. Tas nav Apstrādātāja apakšapstrādātājs. Apstrādātājs vienīgi pārsūta pieprasījumu, izmantojot sniegtās piekļuves atslēgas, un nesniedz nekādu garantiju par šī pakalpojumu sniedzēja drošību, apstrādes vietu, apmācības praksi vai atbilstību.
- Ja Pārzinis izmanto Apstrādātāja pārvaldīto marķieru norēķinu, pakalpojumu sniedzēju izvēlas Apstrādātājs, un tas ir Apstrādātāja apakšapstrādātājs. Pašlaik šajā statusā iesaistītais pakalpojumu sniedzējs ir Anthropic PBC (Amerikas Savienotās Valstis) lielo valodas modeļu izsecināšanai (inference), saskaņā ar Standarta līguma klauzulām, un tam ir līgumiski aizliegts apmācīties ar tam nosūtītajiem datiem.
Pārzinis Pakalpojumā jebkurā brīdī var redzēt, kuru modeļa pakalpojumu sniedzēju izmanto katrs no tā aģentiem, un var to mainīt.
Apakšapstrādātāju izmaiņas
Apstrādātājs informē Pārzini vismaz 30 dienas iepriekš pa e-pastu, pirms tiek pievienots vai nomainīts apakšapstrādātājs. Pārzinis var šo 30 dienu laikā iebilst, pamatojoties uz saprātīgiem datu aizsardzības apsvērumiem. Ja puses nevar atrisināt iebildumu, Pārzinis var izbeigt attiecīgo Pakalpojuma daļu bez soda naudas un saņemt proporcionālu iepriekš samaksātās maksas atmaksu.
9. Palīdzība datu subjektu tiesību īstenošanā
Ņemot vērā apstrādes raksturu, Apstrādātājs ar atbilstošiem tehniskiem un organizatoriskiem pasākumiem palīdz Pārzinim, ciktāl tas iespējams, izpildīt Pārziņa pienākumu atbildēt uz pieprasījumiem par datu subjekta tiesību īstenošanu saskaņā ar VDAR III nodaļu.
Pakalpojums dod Pārzinim tiešu piekļuvi Klienta datiem, lai tas pats varētu atrast, eksportēt, labot un dzēst personas datus. Ja pieprasījums tomēr prasa Apstrādātāja iesaisti, Apstrādātājs atbild bez nepamatotas kavēšanās un jebkurā gadījumā 10 darba dienu laikā. Ja datu subjekts sazinās tieši ar Apstrādātāju par Klienta datiem, Apstrādātājs pēc būtības neatbild; tas bez nepamatotas kavēšanās pārsūta pieprasījumu Pārzinim.
10. Palīdzība saskaņā ar 32.–36. pantu
Apstrādātājs palīdz Pārzinim nodrošināt atbilstību VDAR 32.–36. pantā noteiktajiem pienākumiem, ņemot vērā apstrādes raksturu un Apstrādātājam pieejamo informāciju — jo īpaši attiecībā uz apstrādes drošību, paziņošanu par personas datu aizsardzības pārkāpumiem, saziņu ar datu subjektiem, novērtējumiem par ietekmi uz datu aizsardzību un iepriekšēju konsultēšanos.
Personas datu aizsardzības pārkāpums
Apstrādātājs paziņo Pārzinim bez nepamatotas kavēšanās un jebkurā gadījumā 48 stundu laikā pēc tam, kad tas ir uzzinājis par Klienta datus skarošu personas datu aizsardzības pārkāpumu. Paziņojumā aprakstīts pārkāpuma raksturs, skarto datu subjektu un ierakstu kategorijas un aptuvenais skaits, iespējamās sekas, veiktie vai ierosinātie pasākumi un kontaktpunkts. Ja ne visa informācija ir pieejama uzreiz, tā tiek sniegta pa posmiem bez turpmākas nepamatotas kavēšanās. Apstrādātājs nepaziņo uzraudzības iestādei vai datu subjektiem Pārziņa vārdā, ja vien tam nav dots attiecīgs norādījums.
11. Klienta datu dzēšana un atdošana
Pēc Pārziņa izvēles Apstrādātājs dzēš vai atdod visus Klienta datus pēc ar apstrādi saistīto pakalpojumu sniegšanas beigām un dzēš esošās kopijas, ja vien Savienības vai dalībvalsts tiesību akti neparedz personas datu glabāšanu.
- 30 dienu laikā pēc līguma izbeigšanas Pārzinis var eksportēt Klienta datus no Pakalpojuma vai pieprasīt to atdošanu strukturētā, plaši izmantotā, mašīnlasāmā formātā.
- Apstrādātājs dzēš Klienta datus no aktīvajām sistēmām 30 dienu laikā pēc šī eksporta perioda beigām.
- Šifrētas rezerves kopijas, kas satur Klienta datus, tiek pārrakstītas to parastās rotācijas ietvaros un jebkurā gadījumā 90 dienu laikā pēc dzēšanas no aktīvajām sistēmām.
- Pēc rakstiska pieprasījuma Apstrādātājs rakstiski apstiprina dzēšanu.
12. Audits un informācija
Apstrādātājs dara Pārzinim pieejamu visu informāciju, kas nepieciešama, lai apliecinātu atbilstību VDAR 28. pantam, un ļauj veikt un atbalsta auditus, tostarp pārbaudes, ko veic Pārzinis vai cits Pārziņa pilnvarots revidents.
Praksē Apstrādātājs vispirms sniedz savu aktuālo tehnisko un organizatorisko pasākumu dokumentāciju, apakšapstrādātāju sarakstu un rakstiskas atbildes uz drošības anketu. Ja ar to nepietiek, lai apliecinātu atbilstību, Pārzinis var veikt klātienes vai attālinātu auditu, iepriekš rakstiski paziņojot 30 dienas iepriekš, ne biežāk kā vienu reizi kalendārajā gadā, ja vien nav noticis personas datu aizsardzības pārkāpums vai to nepieprasa uzraudzības iestāde. Audits notiek darba laikā, nedrīkst nepamatoti traucēt Apstrādātāja darbību un uz to attiecas konfidencialitātes prasības. Pārzinis sedz savas audita izmaksas; Apstrādātājs sedz savas, izņemot gadījumu, kad audits atklāj būtisku šī Datu apstrādes līguma pārkāpumu.
13. Starptautiska datu nodošana
Apstrādātājs glabā Klienta datus glabāšanas laikā Vācijā. Nodošana apakšapstrādātājiem ārpus Eiropas Ekonomikas zonas, kā uzskaitīts III pielikumā, notiek saskaņā ar Eiropas Komisijas Standarta līguma klauzulām (Īstenošanas lēmums (ES) 2021/914), trešo moduli, kas piemērojams, ja Apstrādātājs darbojas kā apstrādātājs, iesaistot apakšapstrādātāju, vajadzības gadījumā papildinātām ar papildu drošības pasākumiem, un — ja saņēmējs ir sertificēts — saskaņā ar ES-ASV Datu privātuma regulējuma atbilstības lēmumu.
Noslēdzot šo Datu apstrādes līgumu, Pārzinis pilnvaro Apstrādātāju Pārziņa vārdā un uzdevumā noslēgt šīs Standarta līguma klauzulas ar katru apakšapstrādātāju.
14. Atbildība
Atbildību saskaņā ar šo Datu apstrādes līgumu regulē Pakalpojuma sniegšanas noteikumos noteiktais atbildības ierobežojums, izņemot to, ka nekas neierobežo nevienas puses atbildību pret datu subjektu saskaņā ar VDAR 82. pantu vai pret uzraudzības iestādi.
15. Termiņš, piemērojamie tiesību akti un kontakti
Šis Datu apstrādes līgums stājas spēkā, kad sākas Pārziņa līgums par WorkAist Cloud, un paliek spēkā tik ilgi, kamēr Apstrādātājs apstrādā Klienta datus. To regulē Portugāles tiesību akti, un Lisabonas tiesām ir ekskluzīva jurisdikcija, neskarot VDAR 79. pantu.
Kontakti visos ar šo Datu apstrādes līgumu saistītos jautājumos: [email protected].