Datu aizsardzība

Datu apstrādes līguma paraugs (28. pants): pilns template 2026

Datu apstrādes līguma paraugs pēc GDPR 28. panta: pilns template ar visām obligātajām klauzulām, kā to pielāgot un biežākās kļūdas.

Also available in:Français·Deutsch

Šis ir gatavs datu apstrādes līguma paraugs, ko var pielāgot un izmantot ikvienā gadījumā, kad pārzinis uztic personas datu apstrādi ārējam pakalpojumu sniedzējam — mākoņpakalpojumu piegādātājam, grāmatvedības birojam, IT uzturētājam vai mārketinga aģentūrai. Template satur visas Vispārīgās datu aizsardzības regulas 28. panta 3. punktā prasītās obligātās klauzulas: apstrādes priekšmetu un ilgumu, norādījumu principu, konfidencialitāti, drošību, apakšapstrādes režīmu, palīdzību datu subjektu tiesību izpildē, pārkāpumu paziņošanu un datu likteni līguma beigās. Zemāk sniegts pilns līguma teksts ar [kvadrātiekavās] atzīmētiem laukiem, ko aizpildīt, pēc tam — norādes, kā to pielāgot, un biežākās kļūdas, ko DVI prakse ir izgaismojusi.

Datu apstrādes līguma paraugs

DATU APSTRĀDES LĪGUMS

Puses: Pārzinis: [nosaukums], reģistrācijas Nr. [numurs], juridiskā adrese [adrese], ko pārstāv [amats, vārds, uzvārds] (turpmāk — Pārzinis); Apstrādātājs: [nosaukums], reģistrācijas Nr. [numurs], juridiskā adrese [adrese], ko pārstāv [amats, vārds, uzvārds] (turpmāk — Apstrādātājs); turpmāk kopā — Puses.

1. Līguma priekšmets 1.1. Šis līgums nosaka noteikumus, saskaņā ar kuriem Apstrādātājs Pārziņa vārdā apstrādā personas datus, izpildot [pamatlīguma nosaukums un datums / Nr.] (turpmāk — Pamatlīgums). 1.2. Līgums noslēgts, izpildot Regulas (ES) 2016/679 (VDAR) 28. panta prasības, un ir Pamatlīguma neatņemama sastāvdaļa. 1.3. Ja šī līguma noteikumi ir pretrunā ar Pamatlīguma noteikumiem attiecībā uz personas datu apstrādi, priekšroka dodama šim līgumam.

2. Apstrādes apraksts 2.1. Apstrādes raksturs un nolūki: [piem. datu glabāšana un tehniskā uzturēšana mākoņa infrastruktūrā, lai nodrošinātu Pamatlīgumā paredzēto pakalpojumu]. 2.2. Personas datu kategorijas: [piem. identifikācijas dati, kontaktinformācija, konta dati]. 2.3. Datu subjektu kategorijas: [piem. Pārziņa klienti, darbinieki, mājaslapas lietotāji]. 2.4. Apstrādes ilgums: apstrāde notiek Pamatlīguma darbības laikā un beidzas saskaņā ar šī līguma 10. punktu. Detalizēts apraksts sniegts 1. pielikumā.

3. Apstrāde tikai pēc norādījumiem 3.1. Apstrādātājs apstrādā personas datus tikai uz Pārziņa dokumentētu norādījumu pamata, tostarp attiecībā uz datu nosūtīšanu uz trešo valsti, ja vien to neprasa ES vai dalībvalsts tiesību akts; šādā gadījumā Apstrādātājs pirms apstrādes par to informē Pārzini, ja vien tiesību akts to neaizliedz. 3.2. Ja Apstrādātājs uzskata, ka norādījums pārkāpj VDAR vai citus datu aizsardzības noteikumus, tas nekavējoties informē Pārzini.

4. Konfidencialitāte 4.1. Apstrādātājs nodrošina, ka personas datus apstrādā tikai tās personas, kuras ir apņēmušās ievērot konfidencialitāti vai kurām ir atbilstošs likumā noteikts konfidencialitātes pienākums, un tikai tādā apjomā, kāds nepieciešams pakalpojuma sniegšanai.

5. Apstrādes drošība (32. pants) 5.1. Apstrādātājs īsteno atbilstošus tehniskos un organizatoriskos pasākumus, lai nodrošinātu apstrādes drošību atbilstoši riskam, ņemot vērā tehnikas līmeni, ieviešanas izmaksas un apstrādes raksturu, apjomu un nolūkus. 5.2. Piemēroto pasākumu saraksts sniegts 2. pielikumā, un to pārskata ne retāk kā reizi [12] mēnešos.

6. Apakšapstrāde 6.1. Apstrādātājs nepiesaista citu apstrādātāju (apakšapstrādātāju) bez Pārziņa iepriekšējas rakstiskas atļaujas — vispārīgas vai konkrētas. 6.2. Ja piešķirta vispārīga atļauja, Apstrādātājs vismaz [30] dienas iepriekš rakstiski informē Pārzini par plānotajām izmaiņām apakšapstrādātāju sarakstā, dodot Pārzinim iespēju iebilst. Ja Pārzinis pamatoti iebilst, Puses risina jautājumu labticīgi. 6.3. Apstrādātājs uzliek apakšapstrādātājam tādus pašus datu aizsardzības pienākumus, kādi noteikti šajā līgumā, un paliek pilnībā atbildīgs Pārziņa priekšā par apakšapstrādātāja saistību izpildi. 6.4. Apstiprināto apakšapstrādātāju saraksts sniegts 3. pielikumā.

7. Datu subjektu tiesības 7.1. Apstrādātājs, ņemot vērā apstrādes raksturu, ar atbilstošiem tehniskiem un organizatoriskiem pasākumiem palīdz Pārzinim izpildīt pienākumu atbildēt uz datu subjektu pieprasījumiem (VDAR III nodaļa: piekļuve, labošana, dzēšana, ierobežošana, pārnesamība, iebildums). 7.2. Ja datu subjekts vēršas tieši pie Apstrādātāja, tas pieprasījumu nekavējoties, bet ne vēlāk kā [3] darba dienu laikā, pārsūta Pārzinim un patstāvīgi uz to neatbild bez Pārziņa norādījuma.

8. Pārkāpumu paziņošana Pārzinim 8.1. Apstrādātājs bez nepamatotas kavēšanās un ne vēlāk kā [24–48] stundu laikā pēc tam, kad tam kļuvis zināms par personas datu aizsardzības pārkāpumu, par to paziņo Pārzinim. 8.2. Paziņojumā iekļauj vismaz pārkāpuma aprakstu, skarto datu un datu subjektu kategorijas un aptuveno skaitu, iespējamās sekas un veiktos vai plānotos pasākumus, lai Pārzinis varētu izpildīt VDAR 33. un 34. panta pienākumus.

9. Palīdzība atbilstības nodrošināšanā (32.–36. pants) 9.1. Apstrādātājs palīdz Pārzinim nodrošināt 32.–36. pantā noteikto pienākumu izpildi — apstrādes drošību, pārkāpumu paziņošanu uzraudzības iestādei un datu subjektiem, kā arī novērtējumu par ietekmi uz datu aizsardzību un iepriekšēju apspriešanos ar DVI —, ņemot vērā apstrādes raksturu un Apstrādātāja rīcībā esošo informāciju.

10. Datu liktenis līguma beigās 10.1. Pēc pakalpojumu sniegšanas beigām Apstrādātājs pēc Pārziņa izvēles [dzēš / atgriež] visus personas datus un dzēš esošās kopijas, ja vien ES vai dalībvalsts tiesību akts neparedz datu glabāšanu. 10.2. Izvēli Pārzinis paziņo rakstiski [30] dienu laikā pēc līguma izbeigšanas; ja izvēle nav paziņota, Apstrādātājs datus dzēš.

11. Auditi un pārbaudes 11.1. Apstrādātājs dara Pārzinim pieejamu visu informāciju, kas nepieciešama, lai apliecinātu 28. pantā noteikto pienākumu izpildi, un pieļauj un veicina Pārziņa vai tā pilnvarota revidenta veiktas revīzijas, tostarp pārbaudes. 11.2. Pārzinis par auditu paziņo vismaz [14] dienas iepriekš; auditi notiek darba laikā, netraucējot Apstrādātāja darbību.

12. Datu nosūtīšana ārpus ES/EEZ 12.1. Apstrādātājs nenosūta personas datus uz trešo valsti vai starptautisku organizāciju bez Pārziņa iepriekšēja rakstiska norādījuma un tikai tad, ja ir nodrošinātas VDAR 44.–49. pantā paredzētās garantijas (piem. Eiropas Komisijas lēmums par aizsardzības līmeņa pietiekamību vai standarta līguma klauzulas).

Pielikumi: 1. pielikums — apstrādes apraksts (raksturs, nolūki, datu un datu subjektu kategorijas, ilgums). 2. pielikums — tehniskie un organizatoriskie drošības pasākumi. 3. pielikums — apstiprināto apakšapstrādātāju saraksts.

Pārzinis: ______________________ Apstrādātājs: ______________________ Datums: [dd.mm.gggg] Datums: [dd.mm.gggg]

Kā pielāgot

Template ir sagatavots kā universāls pamats, taču tas nav paraksta gatavs, kamēr nav aizpildīts precīzs apstrādes apraksts. Sāciet ar 1. pielikumu: tieši apstrādes raksturs, nolūki un datu kategorijas nosaka visu pārējo līguma loģiku. Šo informāciju vislabāk pārņemt tieši no sava apstrādes darbību reģistra — ja reģistrā apstrādes darbība ir aprakstīta pareizi, 1. pielikums aizpildās gandrīz automātiski.

Otrs izšķirošais lēmums ir apakšapstrādes režīms (6. punkts). Izvēlieties starp vispārīgu un konkrētu atļauju atbilstoši tam, cik dinamiska ir pakalpojuma piegādes ķēde. Mākoņpakalpojumu sniedzējiem, kuri regulāri maina infrastruktūras partnerus, praktiskāka ir vispārīga atļauja ar iebildumu termiņu; nišas pakalpojumiem, kur apakšapstrādātāju maiņa ir reta, piemērotāka ir konkrēta atļauja. Aizpildiet 3. pielikumu ar faktisko apakšapstrādātāju sarakstu — tukšs pielikums ir viena no biežākajām nepilnībām.

Pielāgojiet arī termiņus: pārkāpuma paziņošanas termiņš (8. punkts) jāizvēlas tā, lai Pārzinis paspētu iekļauties 72 stundu paziņošanas termiņā DVI — jo īsāks apstrādātāja termiņš, jo vairāk laika paliek pārzinim. Beidzot, 2. pielikumā aprakstiet reālos, nevis šablona drošības pasākumus: šifrēšanu, piekļuves kontroli, rezerves kopēšanu, žurnālu uzturēšanu. Vispārīgs apraksts, kas pielāgots konkrētajai apstrādei, ir izpausme integrētas datu aizsardzības principam (25. pants).

Biežākās kļūdas

Pirmā un izplatītākā kļūda ir līguma vispār neslēgšana — daudzi pārziņi paļaujas uz pakalpojuma sniedzēju, nenoformējot 28. panta līgumu, kaut arī tas ir obligāts ikvienā apstrādātāja attiecībā. Otrā kļūda ir tukšu vai vispārīgu pielikumu izmantošana: līgums ar aizpildītu pamatdaļu, bet tukšu 1. vai 3. pielikumu, DVI acīs ir nepilnīgs, jo tieši pielikumi apliecina, ka puses zina, ko un kam nodod.

Trešā, un juridiski dārgākā kļūda ir apstrādātāja neuzraudzīšana. Līgums nav vienreizējs formāls akts — pārzinim aktīvi jāpārliecinās, ka apstrādātājs faktiski ievēro 32. panta drošības prasības. To spilgti parāda SIA “ZZ Dats” lieta: 2025. gada 24. oktobrī DVI piemēroja 300 000 EUR sodu par 32. panta pārkāpumu pēc datu noplūdes, kas skāra gandrīz visas Latvijas pašvaldības. ZZ Dats bija apstrādātājs, taču pašvaldības kā pārziņi saņēma rājienus par nepietiekamu apstrādātāja uzraudzību (28. pants). Līgums bez faktiskas uzraudzības pārzini neaizsargā.

Ceturtā kļūda ir paziņošanas termiņu neatbilstība: ja apstrādātāja termiņš pārkāpuma paziņošanai ir pārāk garš, pārzinis fiziski nepaspēj izpildīt savu 72 stundu pienākumu. Iesakām šo termiņu saskaņot ar organizācijas pārkāpumu pārvaldības procedūru. Piektā kļūda ir aizmirst par datu likteni: līgums bez skaidra 10. punkta rada situāciju, kurā apstrādātājs pēc attiecību beigām paliek ar personas datu kopijām bez tiesiskā pamata.

Biežāk uzdotie jautājumi

Vai datu apstrādes līgums vienmēr ir obligāts?

Jā. VDAR 28. panta 3. punkts nosaka, ka apstrādi, ko veic apstrādātājs, reglamentē ar līgumu vai citu tiesību aktu. Ikreiz, kad pārzinis uztic personas datu apstrādi ārējam pakalpojumu sniedzējam — piemēram, mākoņa, grāmatvedības vai IT uzturēšanas pakalpojumam —, rakstisks līgums ir obligāts. Tā trūkums pats par sevi ir VDAR pārkāpums neatkarīgi no tā, vai ir notikusi datu noplūde. Sīkāku kontekstu sniedz datu apstrādes līguma ceļvedis.

Vai pietiek ar apstrādātāja piedāvāto standarta līgumu?

Bieži nē. Lielie pakalpojumu sniedzēji piedāvā savus standarta datu apstrādes noteikumus, taču tie ir rakstīti apstrādātāja, nevis pārziņa interesēs. Pārbaudiet vismaz apstrādes apraksta precizitāti, apakšapstrādes režīmu, pārkāpuma paziņošanas termiņu un datu likteni līguma beigās. Pārzinis paliek galvenokārt atbildīgs saskaņā ar Fizisko personu datu apstrādes likumu un VDAR, tāpēc standarta teksts jāizvērtē kritiski.

Kas atbild, ja datu noplūde notiek pie apstrādātāja?

Atbildība var iestāties abām pusēm. Apstrādātājs atbild par savu 32. panta drošības pasākumu nepilnībām, bet pārzinis — par apstrādātāja izvēli un uzraudzību (28. pants). ZZ Dats lietā apstrādātājs saņēma naudas sodu, bet pašvaldības kā pārziņi — norādes par nepietiekamu uzraudzību. Līgums nenoņem pārzinim pienākumu pārliecināties, ka apstrādātājs faktiski nodrošina drošību.

Secinājums

Datu apstrādes līgums pēc 28. panta ir obligāts ikvienā attiecībā, kurā pārzinis uztic personas datu apstrādi ārējam pakalpojumu sniedzējam. Šis template satur visas prasītās klauzulas, taču tas kļūst par derīgu dokumentu tikai tad, kad ir aizpildīti pielikumi un termiņi ir saskaņoti ar organizācijas faktisko procesu. Vissvarīgākā atziņa no DVI prakses ir vienkārša: līgums bez faktiskas apstrādātāja uzraudzības pārzini neaizsargā. Uzņēmumiem ar daudziem apstrādātājiem līgumu, apakšapstrādātāju sarakstu un drošības pielikumu uzturēšana aktualitātē kļūst nepārvaldāma manuāli; platformas kā Legiscope sasaista apstrādes reģistru ar līgumiem un apakšapstrādātājiem, glabājot datus ES infrastruktūrā. Sāciet ar precīzu apstrādes aprakstu — no tā izriet viss pārējais līguma saturs.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →