Juridiskā informācija

Datu apstrādes līgums

Spēkā stāšanās datums

2026. gada 9. jūlijs

1. Puses un pamatinformācija

Šis Datu apstrādes līgums (“DAL”) ir noslēgts starp Notakey Latvia, SIA, vienotais reģistrācijas numurs 40103993632, juridiskā adrese Ganu iela 3 – 12, Rīga, LV-1010, Latvija (“Notakey” jeb “Apstrādātājs”) un klientu, kas norādīts attiecīgajā Pasūtījuma formā vai abonementā (“Klients” jeb “Pārzinis”). Tas ir daļa no Notakey Pakalpojuma sniegšanas noteikumiem (“Līgums”) un ar atsauci ir tajos iekļauts.

Šis DAL piemērojams, ja Notakey apstrādā personas datus Klienta uzdevumā Pakalpojumu sniegšanas ietvaros, Regulas (ES) 2016/679 (“VDAR”) izpratnē. Tādi termini kā “personas dati”, “apstrāde”, “pārzinis”, “apstrādātājs” un “datu subjekts” ir lietoti VDAR piešķirtajā nozīmē.

2. Priekšmets, ilgums, raksturs un mērķis

Priekšmets: Notakey autentifikācijas un darījumu parakstīšanas Pakalpojumu (notakey.cloud vai Notakey iekārtas, kopā ar Notakey mobilo lietotni) nodrošināšana Klientam.

Ilgums: Līguma darbības termiņš, plus periods līdz visu Klienta personas datu dzēšanai vai atdošanai saskaņā ar 10. sadaļu.

Raksturs un mērķis: autentifikācijas un darījumu apstiprināšanas datu hostēšana, pārraidīšana un apstrāde, lai Klienta pilnvarotie lietotāji varētu reģistrēt ierīces, saņemt apstiprinājuma pieprasījumus un apstiprināt vai noraidīt autentifikācijas un parakstīšanas darbības.

Datu subjektu kategorijas: Klienta darbinieki, līgumdarba veicēji, klienti, biedri vai citi gala lietotāji, kurus Klients reģistrē Pakalpojumos.

Personas datu veidi: lietotāju identifikatori (piemēram, lietotājvārds, e-pasta adrese vai tālruņa numurs); reģistrācijas pārbaudes dati (piemēram, vienreizējie kodi, kas nosūtīti pa SMS vai WhatsApp, direktorijas vai OpenID Connect apliecinājumi, vai administratora manuāls apstiprinājums); ierīces dati (ierīces modelis, operētājsistēmas versija, push paziņojumu tokens, publiskā atslēga un ierīces sertifikāts); un autentifikācijas/apstiprinājuma aktivitāte (pieprasījuma metadati, apstiprināšanas/noraidīšanas rezultāti, laika zīmogi, paraksti). Privātās atslēgas tiek izveidotas un glabātas gala lietotāju ierīcēs un nekad netiek pārraidītas uz Notakey vai tur glabātas. Netiek plānots apstrādāt personas datu īpašas kategorijas (VDAR 9. pants); biometriskā pārbaude, ja tā tiek izmantota, notiek pilnībā gala lietotāja ierīcē, un Notakey to nesaņem.

3. Lomas un norādījumi

Klients ir pārzinis, bet Notakey ir apstrādātājs attiecībā uz Klienta personas datiem. Notakey apstrādās Klienta personas datus tikai saskaņā ar Klienta dokumentētiem norādījumiem, tostarp tiem, kas noteikti Līgumā, šajā DAL un Klienta veiktajā Pakalpojumu konfigurācijā, izņemot gadījumus, kad apstrāde ir nepieciešama saskaņā ar ES vai dalībvalsts tiesību aktiem, kas attiecas uz Notakey — šādā gadījumā Notakey informēs Klientu par šo juridisko prasību pirms apstrādes, ja vien likums to neaizliedz. Notakey informēs Klientu, ja tās ieskatā kāds norādījums pārkāpj VDAR.

4. Konfidencialitāte

Notakey nodrošina, ka personas, kas pilnvarotas apstrādāt Klienta personas datus, ir uzņēmušās līgumiskas vai normatīvās konfidencialitātes saistības.

5. Drošība

Notakey īsteno un uztur atbilstošus tehniskos un organizatoriskos pasākumus, lai aizsargātu Klienta personas datus, ņemot vērā tehnikas attīstības līmeni, ieviešanas izmaksas, kā arī apstrādes raksturu, apjomu, kontekstu un mērķus, kā to prasa VDAR 32. pants. Pašreizējie pasākumi ir aprakstīti 2. pielikumā. Notakey var tos laiku pa laikam atjaunināt, ja vien kopējais aizsardzības līmenis netiek samazināts.

6. Apakšapstrādātāji

Klients piešķir Notakey vispārēju atļauju piesaistīt 3. pielikumā norādītos apakšapstrādātājus. Notakey informēs Klientu vismaz 30 dienas pirms jauna apakšapstrādātāja piesaistīšanas vai esošā nomaiņas; Klients šajā periodā var iebilst uz pamatotu datu aizsardzības apsvērumu pamata, un šādā gadījumā puses labticīgi meklēs risinājumu, un, ja tas neizdodas, Klients var izbeigt skarto Pakalpojumu. Notakey uzliek katram apakšapstrādātājam datu aizsardzības saistības, kas līdzvērtīgas šajā DAL noteiktajām, un paliek atbildīga par to izpildi.

7. Palīdzība Klientam

Ņemot vērā apstrādes raksturu, Notakey ar atbilstošiem tehniskiem un organizatoriskiem pasākumiem, ciktāl tas ir iespējams, palīdzēs Klientam izpildīt tā pienākumus atbildēt uz datu subjektu pieprasījumiem (VDAR III nodaļa), kā arī Klienta pienākumus saskaņā ar VDAR 32.–36. pantu (drošība, pārkāpumu paziņošana, datu aizsardzības ietekmes novērtējumi un iepriekšēja konsultēšanās), katrā gadījumā pēc Klienta pamatota pieprasījuma. Ja datu subjekts sazinās ar Notakey tieši par Klienta Pakalpojumu izmantošanu, Notakey nekavējoties novirzīs pieprasījumu Klientam.

8. Paziņošana par personas datu aizsardzības pārkāpumu

Notakey bez nepamatotas kavēšanās informēs Klientu, tiklīdz uzzinās par personas datu aizsardzības pārkāpumu, kas skar Klienta personas datus, un sniegs Notakey saprātīgi pieejamo informāciju, lai palīdzētu Klientam izpildīt savus paziņošanas pienākumus saskaņā ar VDAR 33. un 34. pantu, papildinot paziņojumu, tiklīdz kļūst pieejama papildu informācija.

9. Starptautiska datu nodošana

Notakey apstrādā Klienta personas datus Eiropas Ekonomikas zonā. notakey.cloud tiek hostēts Oracle Cloud Infrastructure. Ja apakšapstrādātājs apstrādā personas datus ārpus EEZ (skatīt 3. pielikumu), Notakey nodrošina atbilstošu nodošanas aizsardzības mehānismu, piemēram, Eiropas Komisijas standarta līguma klauzulas vai pietiekamības lēmumu (tostarp ES–ASV Datu privātuma regulējumu, ja saņēmējs tam ir sertificēts).

10. Datu dzēšana un atdošana

Pēc Pakalpojumu izbeigšanas vai termiņa beigām Notakey pēc Klienta izvēles dzēsīs vai atdos visus Klienta personas datus un dzēsīs esošās kopijas bez nepamatotas kavēšanās, ja vien ES vai dalībvalsts tiesību akti neparedz turpmāku glabāšanu.

11. Auditi

Notakey darīs Klientam pieejamu informāciju, kas saprātīgi nepieciešama, lai apliecinātu atbilstību šim DAL, un ļaus veikt un sniegs atbalstu auditos, tostarp pārbaudēs, ko veic Klients vai Klienta pilnvarots auditors, ievērojot saprātīgu iepriekšēju paziņojumu, ne biežāk kā vienu reizi 12 mēnešos, ja vien personas datu aizsardzības pārkāpums vai uzraudzības iestāde neprasa citādi, parastā darba laikā un ievērojot konfidencialitātes saistības. Notakey vispirms var apmierināt audita pieprasījumu, sniedzot esošos audita ziņojumus vai sertifikātus, ja tie saprātīgi aptver pieprasījuma apjomu.

12. Atbildība un prioritāte

Katras puses atbildība saskaņā ar šo DAL ir pakļauta Līgumā noteiktajiem atbildības ierobežojumiem. Ja starp šo DAL un Līgumu rodas pretruna attiecībā uz personas datu apstrādi, priekšroka dodama šim DAL.

1. pielikums — Apstrādes detaļas

Kā noteikts šī DAL 2. sadaļā (priekšmets, ilgums, raksturs un mērķis, datu subjektu kategorijas un personas datu veidi).

2. pielikums — Tehniskie un organizatoriskie pasākumi

  • Gala lietotāju privātās atslēgas tiek izveidotas un glabātas ierīces aparatūrā balstītā drošā krātuvē un nekad netiek pārraidītas uz Notakey vai tur glabātas; katrs apstiprinājums tiek kriptogrāfiski parakstīts ierīcē.
  • Dati pārraides laikā tiek šifrēti, izmantojot TLS.
  • Apstiprinājuma pieprasījuma dati tiek piegādāti ierīcei tikai pēc tam, kad lietotājs pieņem push paziņojumu; push pakalpojumu sniedzēji (APNs/FCM) saņem tokenus, nevis pieprasījuma saturu.
  • Sīkāka informācija par Notakey tehniskajiem un organizatoriskajiem pasākumiem ir pieejama Klientam pēc pieprasījuma uz info@notakey.com.

3. pielikums — Pilnvarotie apakšapstrādātāji

  • Oracle Cloud Infrastructure — notakey.cloud hostings.
  • Apple Inc. (Apple Push Notification service) — push paziņojumu piegāde iOS ierīcēm.
  • Google LLC (Firebase Cloud Messaging) — push paziņojumu piegāde Android ierīcēm.
  • Functional Software, Inc. (Sentry) — lietojumprogrammu kļūdu un avāriju diagnostika.

Ja Klienta reģistrācijas konfigurācija izmanto vienreizējo kodu piegādi pa SMS vai WhatsApp, ziņojumu piegādes sniedzējs saņem gala lietotāja tālruņa numuru piegādes nolūkā. Aktuāls apakšapstrādātāju saraksts ir pieejams pēc pieprasījuma uz info@notakey.com.