Datu apstrādes līgums (angliski data processing agreement, DPA) ir rakstisks līgums starp pārzini un apstrādātāju, kas obligāts vienmēr, kad viens uzņēmums apstrādā personas datus cita uzņēmuma vārdā. To prasa Vispārīgās datu aizsardzības regulas 28. pants, un tā trūkums pats par sevi ir pārkāpums neatkarīgi no tā, vai dati faktiski nonākuši nelabvēlīgā stāvoklī. Līgumā jāiekļauj astoņi obligātie elementi, kas nosaka, kā apstrādātājs drīkst rīkoties ar datiem un kā tas palīdz pārzinim izpildīt tā pienākumus. Šis ceļvedis izklāsta, kad DPA ir obligāts, kādas ir astoņas obligātās klauzulas un kā Datu valsts inspekcijas (DVI) prakse — jo īpaši SIA “ZZ Dats” lieta — parāda, kas notiek, ja apstrādātāja uzraudzība ir nepietiekama.
Kad datu apstrādes līgums ir obligāts?
DPA ir vajadzīgs vienmēr, kad apstrādātājs apstrādā personas datus pārziņa vārdā. Praksē tas attiecas uz daudz plašāku pakalpojumu loku, nekā uzņēmumi bieži apzinās:
- mākoņpakalpojumi un mitināšana (piemēram, serveru un datu glabāšanas pakalpojumi);
- SaaS platformas — CRM, e-pasta mārketinga rīki, projektu vadības sistēmas;
- grāmatvedības ārpakalpojumi, kas apstrādā darbinieku un klientu datus;
- mārketinga un IT aģentūras, kas rīkojas ar klientu datubāzēm;
- algu aprēķina un personāla vadības pakalpojumu sniedzēji.
Izšķirošais kritērijs ir nevis pakalpojuma veids, bet gan tas, vai pakalpojuma sniedzējs apstrādā personas datus pārziņa uzdevumā un pēc tā norādījumiem. Ja jā, DPA ir obligāts. Katra šāda attiecība atspoguļojama arī apstrādes darbību reģistrā (30. pants), tāpēc reģistrs un DPA komplekts strādā kopā.
Pārziņa pienākums izvēlēties uzticamu apstrādātāju
GDPR 28. panta 1. punkts nosaka, ka pārzinis drīkst izmantot tikai tādus apstrādātājus, kas sniedz pietiekamas garantijas par atbilstošu tehnisko un organizatorisko pasākumu īstenošanu. Tas nozīmē, ka pārzinim jāveic apstrādātāja izvēles pārbaude (due diligence) — nepietiek noslēgt līgumu, ja apstrādātāja drošības līmenis nav novērtēts. Šis pienākums ir tiešā integrētās datu aizsardzības (25. pants) izpausme un, kā redzams tālāk, tieši par tā neizpildi Latvijas pašvaldības saņēma rājienus ZZ Dats lietā.
Astoņas obligātās klauzulas (28. panta 3. punkts)
DPA jābūt saistošam rakstiskam līgumam, kas nosaka apstrādes priekšmetu, ilgumu, raksturu un nolūku, personas datu veidu un datu subjektu kategorijas. Papildus tam 28. panta 3. punkta apakšpunkti “a”–“h” prasa astoņus obligātus elementus:
- Dokumentēti norādījumi (a) — apstrādātājs apstrādā datus tikai pēc pārziņa dokumentētiem norādījumiem, tostarp attiecībā uz nosūtīšanu uz trešām valstīm.
- Konfidencialitāte (b) — personām, kas pilnvarotas apstrādāt datus, jāapņemas ievērot konfidencialitāti.
- Drošības pasākumi © — apstrādātājs īsteno visus 32. pantā prasītos tehniskos un organizatoriskos drošības pasākumus.
- Apakšapstrādes režīms (d) — apstrādātājs nepiesaista apakšapstrādātāju bez pārziņa iepriekšējas rakstiskas atļaujas (saskaņā ar 28. panta 2. un 4. punktu), un apakšapstrādātājam uzliek tos pašus datu aizsardzības pienākumus.
- Palīdzība datu subjektu tiesību nodrošināšanā (e) — apstrādātājs palīdz pārzinim atbildēt uz piekļuves (15. pants), dzēšanas un citiem datu subjektu pieprasījumiem.
- Palīdzība 32.–36. panta pienākumos (f) — apstrādātājs palīdz nodrošināt drošību, pārkāpumu paziņošanu un ietekmes novērtējumu izpildi.
- Dzēšana vai atgriešana (g) — apstrādes beigās apstrādātājs pēc pārziņa izvēles dzēš vai atgriež visus datus un dzēš esošās kopijas.
- Auditi un informācija (h) — apstrādātājs dara pārzinim pieejamu visu informāciju, kas nepieciešama atbilstības pierādīšanai, un pieļauj auditus.
Šo astoņu elementu trūkums padara līgumu par neatbilstošu 28. pantam, pat ja puses ir parakstījušas kaut kādu vienošanos. Praktisku sākumpunktu sniedz datu apstrādes līguma paraugs, kas jau satur visas astoņas klauzulas pareizajā struktūrā.
Komisijas standarta līguma noteikumi
Uzņēmumiem, kas nevēlas sagatavot līgumu no nulles, Eiropas Komisija ir pieņēmusi standarta līguma noteikumus 28. pantam (Īstenošanas lēmums (ES) 2021/915). Tie ir iepriekš apstiprināts klauzulu komplekts, kas atbilst visām astoņām prasībām. Uzmanību nevajag jaukt ar SCC starptautiskai nosūtīšanai (Lēmums (ES) 2021/914) — tie ir divi atsevišķi instrumenti ar atšķirīgu mērķi. Ja apstrādātājs atrodas ārpus ES vai izmanto apakšapstrādātājus trešās valstīs, abi instrumenti bieži jāizmanto kopā: 28. panta klauzulas regulē attiecības starp pārzini un apstrādātāju, savukārt SCC nodrošina tiesisko pamatu datu nosūtīšanai uz trešo valsti (44.–46. pants).
Apakšapstrādes ķēde — biežākā vājā vieta
Mūsdienu SaaS pakalpojumi reti darbojas izolēti: mākoņpakalpojumu sniedzējs var izmantot infrastruktūras piegādātāju, kas savukārt izmanto datu centru citā valstī. Katrs posms šajā ķēdē ir apakšapstrādātājs, un GDPR 28. panta 4. punkts prasa, lai katram no tiem tiktu uzlikti tie paši datu aizsardzības pienākumi, kas noteikti galvenajā līgumā. Pārzinim ir tiesības zināt, kuri apakšapstrādātāji tiek izmantoti, un iebilst pret izmaiņām. Praksē tieši nekontrolēta apakšapstrādes ķēde ir vieta, kur atbilstība visbiežāk sabrūk — pārzinis paraksta līgumu ar galveno apstrādātāju, bet nekad nepārbauda, kas notiek tālāk ķēdē.
Ko māca SIA “ZZ Dats” lieta?
Datu valsts inspekcijas 2025. gada 24. oktobra lēmums pret SIA “ZZ Dats” ir pati skaidrākā Latvijas ilustrācija tam, kāpēc 28. pants ir svarīgs abām pusēm. ZZ Dats bija apstrādātājs, kas 2024. gadā piedzīvoja datu noplūdi, skarot gandrīz visas Latvijas pašvaldības. DVI piemēroja uzņēmumam 300 000 EUR sodu par GDPR 32. panta tehnisko un organizatorisko drošības pasākumu pārkāpumu. Līdzīgas DVI lēmumu analīzes rāda, ka apstrādātāja drošības nepilnības regulāri kļūst par soda pamatu.
Lietas otra puse ir vēl pamācošāka: pašvaldības kā pārziņi saņēma rājienus par nepietiekamu apstrādātāja uzraudzību (28. pants). Citiem vārdiem, pārzinis nevar deleģēt atbildību, vienkārši nododot datus apstrādātājam. Pārzinim jāizvēlas apstrādātājs, kas sniedz pietiekamas garantijas (28. panta 1. punkts), jānoslēdz atbilstošs līgums un jāuzrauga tā izpilde. ZZ Dats lieta parāda, ka drošības pārkāpuma gadījumā DVI vērtē abas puses — un pārzinis, kas nav uzraudzījis savu apstrādātāju, atbild par savu bezdarbību.
Praktiski ieteikumi DPA pārvaldībai
Trīs praktiski soļi ļauj izvairīties no biežākajām kļūdām. Pirmkārt, inventarizējiet visus apstrādātājus — bieži uzņēmumi neapzinās, cik daudz SaaS rīku un ārpakalpojumu tie izmanto; sāciet ar apstrādes darbību reģistru. Otrkārt, pārbaudiet, vai katram apstrādātājam ir spēkā esošs DPA ar visām astoņām klauzulām, nevis vien vispārīga konfidencialitātes vienošanās. Treškārt, uzraugiet apakšapstrādātājus — daudzi SaaS pakalpojumi paļaujas uz papildu apakšapstrādātājiem, un pārzinim jāsaņem informācija par to izmaiņām. Ja apstrādātājs konstatē datu pārkāpumu, tam nekavējoties jāpaziņo pārzinim (33. panta 2. punkts), tāpēc DPA jāietver arī skaidra pārkāpumu paziņošanas procedūra. Organizācijās, kur ir iecelts datu aizsardzības speciālists, līgumu portfeļa uzraudzība bieži ir daļa no tā uzdevumiem.
Biežāk uzdotie jautājumi
Vai pietiek ar konfidencialitātes vienošanos (NDA)?
Nē. Konfidencialitātes vienošanās aptver tikai vienu no astoņām 28. panta prasībām — konfidencialitāti. GDPR prasa pilnu datu apstrādes līgumu ar visiem astoņiem obligātajiem elementiem, tostarp dokumentētiem norādījumiem, drošības pasākumiem, apakšapstrādes režīmu un dzēšanas pienākumu. NDA pati par sevi neaizstāj DPA.
Kas atbild, ja apstrādātājs izraisa datu noplūdi?
Var atbildēt abas puses. Apstrādātājs atbild par saviem 32. panta drošības pienākumiem — ZZ Dats lietā tas saņēma 300 000 EUR sodu. Pārzinis savukārt atbild par apstrādātāja izvēli un uzraudzību (28. pants); pašvaldības kā pārziņi saņēma rājienus par nepietiekamu uzraudzību. Pārzinis nevar pilnībā novelt atbildību uz apstrādātāju.
Vai var izmantot Komisijas standarta līguma noteikumus?
Jā. Eiropas Komisija ir pieņēmusi standarta līguma noteikumus 28. pantam (Lēmums (ES) 2021/915), kas satur visas astoņas obligātās klauzulas iepriekš apstiprinātā formā. Tos nevajag jaukt ar SCC starptautiskai datu nosūtīšanai, kas ir atsevišķs instruments ar citu mērķi.
Secinājums
Datu apstrādes līgums ir obligāts katrā attiecībā, kurā apstrādātājs apstrādā personas datus pārziņa vārdā — no mākoņpakalpojumiem līdz grāmatvedības ārpakalpojumiem. GDPR 28. pants prasa astoņas konkrētas klauzulas, un to trūkums pats par sevi ir pārkāpums. Vienlīdz svarīgi ir tas, ko līgums nesedz: pārzinim ir aktīvs pienākums izvēlēties uzticamu apstrādātāju un uzraudzīt tā izpildi. SIA “ZZ Dats” lieta pierāda, ka drošības pārkāpuma gadījumā DVI vērtē abas puses — gan apstrādātāju, kas saņēma 300 000 EUR sodu, gan pārziņus, kas saņēma rājienus par nepietiekamu uzraudzību. Sāciet ar visu apstrādātāju inventarizāciju un pārliecinieties, ka katram ir spēkā esošs DPA ar visām astoņām klauzulām. Līgumu portfeļa un apakšapstrādātāju uzraudzību lielākās organizācijās praktiski atvieglo specializētas platformas, piemēram, Legiscope, kas sasaista līgumus ar apstrādes reģistru un glabā datus ES infrastruktūrā.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial