Šis datu apstrādes līgums (DPA) ir daļa no mūsu pakalpojumu noteikumiem un automātiski piemērojams, tiklīdz tu kā B2B klients pieņem pakalpojumu, kurā mēs apstrādājam tavu galalietotāju personas datus tavā vārdā (GDPR 28. pants). Tev nav atsevišķi jāparaksta — noteikumu pieņemšana = šī DPA pieņemšana.
1. Puses un lomas
Pārzinis: tu, klients ("Klients").
Apstrādātājs: InternalHost (Xaviero Kajafas individuālais komersants, KvK 90174720).
InternalHost apstrādā personas datus tikai pēc Klienta norādījumiem un tikai tādā mērā, kāds nepieciešams nolīgto pakalpojumu (hostings, glabātuve, pasts, tīkls) sniegšanai.
2. Priekšmets un ilgums
- Priekšmets: personas datu apstrāde IT infrastruktūras pakalpojumu kontekstā, ko mēs sniedzam.
- Apstrādes raksturs: glabāšana, pārsūtīšana (mūsu infrastruktūras ietvaros), dublēšana — nav aktīva galalietotāju satura apstrāde no mūsu puses.
- Mērķis: nolīgto IT pakalpojumu pieejamība.
- Datu subjektu kategorijas: kā nosaka Klients. Mums nav redzamības (mēs neskatāmies tavās datubāzēs).
- Personas datu veidi: kā nosaka Klients. Īpašās kategorijas (veselība, reliģija utt.) ir atļautas, ja Klients veic atbilstošus tehniskus un organizatoriskus pasākumus.
- Ilgums: kamēr darbojas galvenais līgums, plus 14 dienu atjaunošanas periods pēc izbeigšanas.
3. Drošības pasākumi
InternalHost veic vismaz šādus tehniskus un organizatoriskus pasākumus:
- Šifrēšana pārsūtīšanā: TLS 1.2+ uz visiem publiskajiem endpointiem, WireGuard iekšējam mesh.
- Šifrēšana miera stāvoklī: LUKS uz visiem glabāšanas tomiem. Klienta līmeņa šifrēšana ir Klienta atbildība.
- Piekļuves kontrole: SSH tikai ar ed25519 atslēgām, MFA obligāts admin piekļuvei, mazākās privilēģijas princips.
- Žurnalēšana: infrastruktūras piekļuves tiek žurnalētas (90 dienas).
- Dublējumi: ikdienas šifrēti snapshot-i no klientu tomiem, 7d/4n/12m saglabāšana (mūsu pusē — aplikācijas dublējums ir Klienta atbildība).
- Fiziskā drošība: Qupra DC ir 24/7 personāla piekļuve, ISO 27001 + 9001 sertificēts, biometriskā piekļuve + mantrap.
- Programmatūras atjauninājumi: drošības ielāpi 7 dienu laikā pēc izlaišanas, kritiskie 24 stundu laikā.
- Monitorings: CrowdSec + fail2ban uz visiem atklātajiem pakalpojumiem.
Aktuāls tehnisko pasākumu pārskats pieejams pēc pieprasījuma uz [email protected].
4. Apakšapstrādātāji
Izmantojam šādus apakšapstrādātājus. Visi ES. Par izmaiņām paziņojam vismaz 30 dienas iepriekš, lai Klients varētu iebilst.
| Apakšapstrādātājs | Mērķis | Atrašanās vieta |
|---|---|---|
| Qupra Data Centers BV | Datu centrs / kolokācija | Amsterdam, NL |
| Mollie B.V. | Maksājumi | Amsterdam, NL |
| Revolut Payments UAB | Maksājumi (alternatīvs) | Vilnius, LT |
| Cloudflare Germany GmbH | CDN / DDoS | DE, ES datu reģions |
| Hoster B.V. (OpenProvider) | Domēna reģistrācija (pēc izvēles) | Hāga, NL |
5. Pārsūtīšana ārpus ES
Mēs nepārsūtam personas datus uz valstīm ārpus ES/EEZ, izņemot gadījumus, kad Cloudflare kā CDN obligāti maršrutē caur ne-ES PoP DDoS gadījumā. Tādā gadījumā starp mums un Cloudflare ir spēkā standarta līguma klauzulas.
6. Datu pārkāpuma procedūra
Par personas datu pārkāpumu, kas skar Klientu, paziņojam Klientam 24 stundu laikā pēc atklāšanas (uz reģistrēto e-pastu) ar:
- Pārkāpuma raksturs
- Skarto personu kategorijas un aptuvenais skaits
- Iespējamās sekas
- Veiktie vai ierosinātie pasākumi
Klients lemj, vai nepieciešams paziņojums Datu aizsardzības iestādei. Mēs atbalstam pēc nepieciešamības.
7. Izbeigšana un datu atdošana
Pēc galvenā līguma izbeigšanas:
- Klientam ir 14 dienas, lai lejupielādētu visus datus (caur SSH/SFTP vai eksporta pieprasījumu).
- Pēc tam visi personas dati tiek neatgriezeniski dzēsti, izņemot, ja attiecas likumā noteikta saglabāšana (Holandes nodokļi: rēķinu dati 7 gadi).
- Pēc pieprasījuma nodrošinām rakstisku iznīcināšanas apliecinājumu.
Specifiskiem līgumiem (liels B2B, veselības aprūpe, finanšu sektors) varam parakstīt pielāgotu DPA. Raksti uz [email protected].