Datu apstrādes līgums

Spēkā no: 2026. gada 22. maija · VDAR 28. pants

Šis Datu apstrādes līgums (turpmāk — "DAL") ir neatņemama RINDIQ Lietošanas noteikumu sastāvdaļa. Reģistrējoties un izmantojot RINDIQ platformu, Pārzinis piekrīt šī DAL nosacījumiem. Papildu paraksts nav nepieciešams.

1. Puses

Apstrādātājs: Kristaps Mudurs, darbojas ar tirdzniecības nosaukumu RINDIQ, Jelgava, Latvija. E-pasts: info@rindiq.lv.

Pārzinis:Juridiskā vai fiziskā persona, kas reģistrējas RINDIQ platformā un izmanto to klientu pierakstu pārvaldībai savā uzņēmumā (turpmāk — "Pārzinis").

2. Apstrādes priekšmets un mērķis

RINDIQ kā Apstrādātājs apstrādā personas datus Pārziņa vārdā, lai nodrošinātu tiešsaistes pierakstu pārvaldības platformu. Konkrētāk, apstrāde ietver:

  • Pārziņa klientu pierakstu izveidošanu, atjaunināšanu un dzēšanu
  • Klientu kontaktinformācijas glabāšanu
  • Automatizētu atgādinājumu nosūtīšanu pa e-pastu
  • Apmeklējumu vēstures uzturēšanu uzticamības rādītāja vajadzībām
  • Maksājumu datu nosūtīšanu Stripe Connect (ja Pārzinis aktivizējis šo funkciju)
  • Revīzijas žurnāla ierakstu glabāšanu

Datu apstrāde notiek tikai Pārziņa norādīto mērķu sasniegšanai un saskaņā ar tā norādījumiem.

3. Apstrādājamo datu kategorijas un datu subjekti

Datu subjekti

Pārziņa klienti — fiziskas personas, kas rezervē pakalpojumus caur RINDIQ platformu.

Personas datu kategorijas

  • Identifikācijas dati: vārds, uzvārds
  • Kontaktinformācija: e-pasta adrese, tālruņa numurs
  • Pierakstu dati: pakalpojuma veids, datums, laiks, statuss
  • Maksājumu dati: Stripe Payment Intent ID (karte netiek glabāta RINDIQ serveros)
  • Uzvedības dati: apmeklējumu vēsture, uzticamības rādītājs
  • Piezīmes: brīva teksta piezīmes, ko Pārziņa darbinieki pievieno klienta profilam

Īpašās kategorijas personas dati (VDAR 9. pants) netiek apstrādāti.

4. Apstrādātāja pienākumi

RINDIQ apņemas:

  • Apstrādāt datus tikai saskaņā ar dokumentētiem Pārziņa norādījumiem
  • Nodrošināt konfidencialitātes saistības visām datu apstrādē iesaistītajām personām
  • Veikt VDAR 32. pantā prasītos drošības pasākumus (skatīt 6. sadaļu)
  • Ievērot nosacījumus apakšapstrādātāju piesaistīšanai (skatīt 5. sadaļu)
  • Palīdzēt Pārzinim izpildīt datu subjektu tiesības
  • Pēc pakalpojuma beigām dzēst vai atgriezt personas datus (skatīt 8. sadaļu)
  • Sniegt Pārzinim pierādījumus par atbilstību VDAR prasībām pēc pieprasījuma
  • Nekavējoties informēt Pārzini, ja saņemts norādījums, kas pārkāpj VDAR

5. Apakšapstrādātāji

Pārzinis ar šo pilnvaro RINDIQ izmantot turpmāk uzskaitītos apakšapstrādātājus. Par plānotajām izmaiņām RINDIQ informēs vismaz 30 dienas iepriekš.

ApakšapstrādātājsMērķisAtrašanās vieta
Garmtech SIAServera mitināšana un datu bāzeES (Latvija)
Resend Inc.E-pasta nosūtīšanaASV (SCCs piemērojamas)
Stripe Inc.Maksājumu apstrāde (ja aktivizēts)ASV / ES (SCCs piemērojamas)
Google LLCKalendāra sinhronizācija un OAuth autentifikācija (ja aktivizēta)ASV / ES (SCCs piemērojamas)

SCCs — Eiropas Komisijas Standarta līguma klauzulas datu nosūtīšanai uz trešajām valstīm.

6. Drošības pasākumi

RINDIQ īsteno šādus tehniskos un organizatoriskos pasākumus:

  • Šifrēta datu pārraide (TLS 1.2+)
  • Paroļu sašifrēšana (bcrypt)
  • Daudzīrešu datu nošķiršana — katra konta dati ir loģiski izolēti visos API vaicājumos
  • JWT sesiju autentifikācija ar httpOnly sīkfailiem
  • Ikdienas datu bāzes rezerves kopijas ar šifrētu glabāšanu
  • Lomu piekļuves kontrole (administratori un darbinieki redz atšķirīgus datus)
  • Pilns revīzijas žurnāls nozīmīgajām darbībām

7. Datu subjektu tiesību nodrošināšana

Ja Pārzinis saņem datu subjekta pieprasījumu (piekļuves, labošanas, dzēšanas, pārnesamības tiesības), RINDIQ nodrošina nepieciešamos rīkus:

  • Dzēšana: atsevišķa klienta datu dzēšana no admin paneļa
  • Eksports: visu klientu datu eksports CSV formātā
  • Konta dzēšana: visu ar kontu saistīto personas datu neatgriezeniska dzēšana

Ja datu subjekts vēršas tieši pie RINDIQ, pieprasījums tiek pārsūtīts attiecīgajam Pārzinim 72 stundu laikā.

8. Datu glabāšana un dzēšana

RINDIQ glabā personas datus tik ilgi, kamēr Pārziņa konts ir aktīvs. Pēc konta dzēšanas:

  • Konts un saistītie aktīvie dati tiek glabāti 90 dienas, lai nodrošinātu iespēju datus atjaunot, ja konts ir dzēsts kļūdaini, kā arī iespēju eksportēt datus (VDAR pārnesamības tiesības)
  • Pēc 90 dienām aktīvie dati tiek neatgriezeniski dzēsti
  • Rezerves kopijās dati tiek saglabāti ne ilgāk kā 30 dienas pēc aktīvo datu dzēšanas un pēc tam tiek pārrakstīti
  • Pārziņa pieprasījumam veikt tūlītēju dzēšanu (VDAR 17. pants — tiesības tikt aizmirstam) tiek sekots līdzi neatkarīgi no augstākminētā 90 dienu perioda
  • Stripe maksājumu dati tiek glabāti atbilstoši Stripe politikai (parasti 7 gadus nodokļu vajadzībām)
  • Atsevišķi normatīvajos aktos noteikti pienākumi var prasīt ilgāku glabāšanas periodu (piem., grāmatvedības ieraksti) — šādos gadījumos dati tiek glabāti tikai tiktāl, ciktāl to prasa attiecīgais likums

9. Datu aizsardzības pārkāpumi

Personas datu aizsardzības pārkāpuma gadījumā RINDIQ informēs Pārzini bez liekas kavēšanās un, kur tas iespējams, ne vēlāk kā 72 stundu laikā pēc pārkāpuma konstatēšanas (VDAR 33. panta termiņš). Paziņojumā tiks ietverta visa pieejamā informācija, kas Pārzinim nepieciešama paziņošanai Datu valsts inspekcijai un, ja nepieciešams, datu subjektiem saskaņā ar VDAR 33.–34. pantu.

RINDIQ savu iespēju robežās arī palīdzēs Pārzinim novērst pārkāpuma sekas un mazināt to ietekmi.

10. Datu apstrādes vieta

Personas dati tiek apstrādāti Eiropas Savienībā (Garmtech SIA serveri Latvijā), izņemot gadījumus, kad apakšapstrādātāji darbojas ārpus ES (Resend, Stripe, Google) — šādos gadījumos tiek piemērotas Standarta līguma klauzulas.

11. Darbības laiks un izbeigšana

Šis DAL ir spēkā visu laiku, kamēr Pārzinis izmanto RINDIQ platformu, un beidzas automātiski līdz ar pakalpojuma izbeigšanu. Izbeigšanas brīdī RINDIQ dzēš vai atgriež visus personas datus saskaņā ar 8. sadaļu.

12. Grozījumi

RINDIQ var grozīt šo DAL, informējot Pārzini vismaz 30 dienas iepriekš pa e-pastu. Turpinot izmantot platformu pēc šī termiņa, Pārzinis piekrīt jaunajiem nosacījumiem.

13. Piemērojamie tiesību akti

Šim DAL piemērojami Latvijas Republikas tiesību akti. Uzraudzības iestāde ir Datu valsts inspekcija (dvi.gov.lv). Strīdi tiek risināti Latvijas Republikas tiesās.

14. Nepārvarama vara (force majeure)

Neviena Puse nav atbildīga par šī DAL saistību neizpildi vai aizkavēšanos, kas radusies apstākļu rezultātā, kas ir ārpus Puses saprātīgas kontroles, tostarp, bet ne tikai: interneta pakalpojumu sniedzēju traucējumi, kiberuzbrukumi, DDoS uzbrukumi, datu centra pārtraukumi, mākoņpakalpojumu (Stripe, Resend, Twilio, Google) atteices, dabas katastrofas, kara stāvoklis, terorisms, valdības rīcība, streiki vai pandēmijas. Šādos gadījumos cietusī Puse pieliks saprātīgas pūles, lai pēc iespējas drīzāk atjaunotu normālu darbību, un nekavējoties informēs otru Pusi par nepārvaramās varas apstākļiem un to ietekmi uz saistību izpildi.

Nepārvarama vara neatbrīvo RINDIQ no pienākuma ievērot VDAR prasības par datu drošības pārkāpumu paziņošanu (sk. 9. sadaļu) vai no pienākumiem attiecībā uz datu subjektu tiesību nodrošināšanu.

15. Saziņa

Jautājumos par šo DAL sazinieties: info@rindiq.lv