Forums One juridiskā informācija
Datu apstrādes noteikumi
GDPR 28. pantam pielāgots apstrādātāja papildinājums klienta uzņēmuma, darbinieku, dokumentu un grāmatvedības datu apstrādei.
- Versija
- 2026-07-06-launch
- Juridiskā persona
- Sabiedrība ar ierobežotu atbildību "Forum Design"
- Reģistrācijas Nr.
- 40203656019
- Kontakti
- info@forums1.io
1. Piemērošana un prioritāte
Šie datu apstrādes noteikumi piemērojami, kad Forums One apstrādā personas datus klienta vārdā kā apstrādātājs. DPA papildina lietošanas noteikumus un pasūtījumu. Ja starp šiem dokumentiem ir pretruna par personas datu apstrādi, prevalē DPA.
2. Puses un lomas
Klients ir pārzinis attiecībā uz Klienta darba datiem. Forums One ir apstrādātājs, kas apstrādā šos datus tikai dokumentētu norādījumu izpildei, ja vien piemērojamie tiesību akti neprasa citādi. Attiecībā uz konta, norēķinu, pārdošanas, atbalsta un drošības žurnālu datiem Forums One var darboties kā patstāvīgs pārzinis, kā aprakstīts privātuma politikā.
3. Apstrādes instrukcijas
- Klienta dokumentētas instrukcijas ietver lietošanas noteikumus, pasūtījumu, platformas konfigurāciju, administratora iestatījumus un pamatotus atbalsta pieprasījumus.
- Forums One drīkst atteikt vai apturēt instrukciju, ja tā ir acīmredzami prettiesiska, tehniski nesamērīga, apdraud drošību vai citu klientu datus.
- Ja Forums One uzskata, ka instrukcija pārkāpj datu aizsardzības tiesību aktus, tas informē klientu, ciktāl to neaizliedz likums.
4. Apstrādes apraksts
| Elements | Apraksts |
|---|---|
| Priekšmets | Forums One platformas nodrošināšana, dokumentu apstrāde, datu glabāšana, integrācijas, atbalsts un drošības uzraudzība. |
| Ilgums | Līguma darbības laiks un pēc tam tik ilgi, cik nepieciešams dzēšanai, eksportam, juridiskām prasībām, drošībai vai strīdu aizsardzībai. |
| Daba | Glabāšana, strukturēšana, nolasīšana, klasificēšana, labošana, izgūšana, eksportēšana, dzēšana, drošības žurnālu uzturēšana un atbalsta piekļuve. |
| Nolūki | Pakalpojuma sniegšana klientam, mēneša nodošana, dokumentu un finanšu darba plūsmas, lietotāju administrēšana, atbalsts, drošība. |
| Datu subjekti | Klienta darbinieki, lietotāji, klientu/piegādātāju kontaktpersonas, valdes locekļi, projekta dalībnieki un citas personas klienta datos. |
| Datu kategorijas | Kontaktinformācija, lomas, darba dati, grāmatvedības dati, maksājumu dati, dokumentu saturs, algu/darbinieku dati, tehniskie žurnāli. |
| Īpašu kategoriju dati | Nav paredzēti regulārai apstrādei. Ja klients tos ievada, klients atbild par tiesisko pamatu, minimizāciju un papildu aizsardzību. |
5. Klienta pienākumi kā pārzinim
- Nodrošināt tiesisku pamatu personas datu apstrādei un nodošanai Forums One.
- Sniegt datu subjektiem nepieciešamo informāciju par apstrādi, ja tas ir klienta pienākums.
- Ievadīt tikai nepieciešamos un korektos datus; neievadīt liekus īpašu kategoriju datus.
- Pārvaldīt lietotāju piekļuves, administratorus, uzņēmumu dalību un ārējo konsultantu pilnvarojumu.
- Pārbaudīt OCR, AI, finanšu, nodokļu un algu rezultātus pirms lēmumu pieņemšanas vai iesniegšanas iestādēm.
- Nekavējoties informēt Forums One par drošības incidentiem, kļūdainām tiesībām vai datu subjektu pieprasījumiem, kas saistīti ar platformu.
6. Forums One pienākumi kā apstrādātājam
- Apstrādāt personas datus tikai līgumā, DPA un dokumentētās instrukcijās noteiktajiem mērķiem.
- Nodrošināt, ka personas, kurām ir piekļuve personas datiem, ir saistītas ar konfidencialitātes pienākumu.
- Ieviest saprātīgus tehniskos un organizatoriskos drošības pasākumus atbilstoši riskam.
- Palīdzēt klientam datu subjektu pieprasījumu, DPIA, incidentu un uzraudzības iestādes jautājumu izpildē saprātīgā apjomā.
- Informēt klientu par personas datu aizsardzības pārkāpumu bez nepamatotas kavēšanās.
- Pēc līguma beigām dzēst vai atgriezt personas datus saskaņā ar līgumu, likumu un drošības prasībām.
7. Drošības pasākumu pielikums
| Kontrole | Apraksts |
|---|---|
| Piekļuves kontrole | Lomu balstīta piekļuve, sesijas pārbaude, administratoru tiesību kontrole, MFA un noplūdušu paroļu aizsardzības prasība pirms produkcijas. |
| Tenant izolācija | Uzņēmumu datu nodalīšana ar RLS, servera puses dalības/lomas pārbaudēm un uzņēmuma prefiksētām dokumentu glabāšanas path struktūrām. |
| Failu drošība | Privātas glabātuves, MIME/izmēra validācija, aizliegti bīstami formāti, īslaicīgas parakstītas saites un publisku dokumentu URL nepieļaušana. |
| Žurnāli | Autentifikācijas, atbalsta piekļuves, incidentu un svarīgu datu darbību pieraksti, kur tas tehniski un tiesiski piemērojams. |
| Cilvēka piekļuve | Atbalsta piekļuve tikai pamatotam mērķim, ar minimālo nepieciešamo apjomu un reģistrētu pamatojumu. |
| AI/OCR minimizācija | Dati tiek sūtīti AI/OCR tikai funkcijas izpildei, ar mērķi nepieļaut klienta datu izmantošanu modeļu apmācībai. |
| Darbības nepārtrauktība | Rezerves kopiju, atjaunošanas un kritisku kļūdu process tiek uzturēts kā produkcijas incidentu daļa. |
8. Apakšapstrādātāji
Klients dod vispārēju atļauju izmantot apakšapstrādātājus, kas nepieciešami pakalpojuma sniegšanai, ja tie ir uzskaitīti apakšapstrādātāju reģistrā un tiem tiek piemēroti rakstiski datu aizsardzības pienākumi, kas nav mazāk aizsargājoši kā šis DPA attiecīgajā apjomā.
| Apakšapstrādātājs | Loma | Datu kategorijas | Statuss |
|---|---|---|---|
| Supabase | Autentifikācija, datubāze, failu glabātava un žurnāli | Konti, uzņēmumu dati, dokumentu metadati, lietotāju tiesības, tehniskie žurnāli | Apstiprināts. Apstiprināts publiskai palaišanai; jāuztur ES datu rezidence un drošības iestatījumi |
| Vercel | Lietotnes izvietošana, tīkla aizsardzība un izvēršanas žurnāli | Tehniskie pieprasījumi, sesiju metadati, lietotnes žurnāli | Apstiprināts. Apstiprināts publiskai palaišanai |
| Stripe | Maksājumi, rēķinu izrakstīšana un klienta norēķinu portāls | Norēķinu kontakti, maksājumu statuss, rēķinu metadati | Apstiprināts. Apstiprināts publiskai palaišanai; PVN iekasēšana nav ieslēgta, jo pārdevējs nav PVN maksātājs |
| AI pakalpojumu sniedzējs | Dokumentu nolasīšana, klasifikācija un palīgfunkcijas | Dokumentu saturs tikai apstrādes uzdevuma izpildei, bez modeļu apmācības | Apstiprināts. Apstiprināts publiskai palaišanai; klientu dati netiek izmantoti modeļu apmācībai |
| E-pasta pakalpojumu sniedzējs | Darījumu e-pasti, uzaicinājumi un atbalsta paziņojumi | E-pasta adreses, ziņojumu metadati, piegādes statuss | Apstiprināts. Apstiprināts publiskai palaišanai |
| Observability un kļūdu uzraudzība | Kļūdu žurnāli, veiktspējas mērījumi un incidentu diagnostika | Tehniskie žurnāli, kļūdu konteksts, ierobežoti lietotāja metadati | Apstiprināts. Apstiprināts publiskai palaišanai; jāuztur datu maskēšana un retence |
Ja tiek pievienots jauns būtisks apakšapstrādātājs, klientam tiek nodrošināts paziņojums vai reģistra aktualizācija. Klients var pamatoti iebilst, ja apakšapstrādātājs rada būtisku datu aizsardzības risku.
9. Starptautiskas pārsūtīšanas
Forums One mērķis ir ES/EEZ apstrāde. Ja personas dati tiek pārsūtīti ārpus ES/EEZ, Forums One nodrošina, ka pastāv atbilstošs GDPR pārsūtīšanas mehānisms, piemēram, Eiropas Komisijas standarta līguma klauzulas, atbilstības lēmums vai cits tiesisks pamats, un ka tiek izvērtēti papildu drošības pasākumi.
10. Datu subjektu pieprasījumi
Ja datu subjekts vēršas tieši pie Forums One par Klienta darba datiem, Forums One var pārsūtīt pieprasījumu klientam vai rīkoties pēc klienta norādījumiem. Forums One nav pienākuma patstāvīgi noteikt klienta juridisko atbildi, ja tas darbojas tikai kā apstrādātājs.
Pieprasījumu ieeja un verifikācijas process aprakstīts datu pieprasījumu lapā.
11. Incidenti un pārkāpumu paziņošana
Personas datu aizsardzības pārkāpums nozīmē drošības pārkāpumu, kura rezultātā notiek nejauša vai nelikumīga personas datu iznīcināšana, zudums, pārveidošana, neatļauta izpaušana vai piekļuve. Forums One uztur incidentu procesu un klienta paziņošanas kontrolsarakstu.
- Reģistrēt incidenta sākuma laiku un pirmo pamanīšanas brīdi.
- Noteikt, vai incidents skar personas datus, uzņēmumu dokumentus vai piekļuves tiesības.
- Sākt 72 stundu DVI izvērtēšanas pulksteni no brīža, kad pārkāpums kļuvis zināms.
- Izolēt skarto sistēmu vai kontu un saglabāt pierādījumus.
- Novērtēt risku datu subjektiem un klienta uzņēmumam.
- Paziņot klientam bez nepamatotas kavēšanās, ja Forums One darbojas kā apstrādātājs.
- Sagatavot DVI paziņojumu, ja risks sasniedz paziņošanas slieksni.
- Dokumentēt korektīvās darbības, atbildīgo personu un slēgšanas laiku.
Paziņojums par incidentu nav atzīšana par vainu vai atbildību. Sākotnējā paziņojumā var nebūt visa informācija; tā tiek papildināta, kad izmeklēšana sniedz jaunus faktus.
12. Atbalsta piekļuve klienta datiem
Cilvēka piekļuve klienta datiem atbalsta vai incidentu izmeklēšanas nolūkos drīkst notikt tikai ar pamatotu vajadzību, minimālā apjomā un ar pierakstu. Reģistrā jāietver vismaz šādi lauki:
- Datums un laiks
- Atbalsta darbinieks
- Klienta uzņēmums
- Piekļuves iemesls
- Skartie dati vai modulis
- Klienta pieprasījuma vai incidenta atsauce
- Veiktās darbības
- Piekļuves slēgšanas laiks
13. Audits un informācijas pieprasījumi
Forums One sniedz klientam saprātīgu informāciju, kas nepieciešama DPA izpildes pārbaudei, piemēram, drošības aprakstus, apakšapstrādātāju reģistru, incidentu procesa statusu un pieejamos audita pierādījumus. Klienta audits jāveic ar saprātīgu iepriekšēju paziņojumu, ne biežāk kā reizi gadā, darba laikā, netraucējot citu klientu drošību un neizpaužot komercnoslēpumus.
- Auditoram jābūt neatkarīgam, konfidencialitātei pakļautam un ne tiešam konkurentam.
- Forums One var atteikt piekļuvi sistēmām, kodam, citu klientu datiem vai informācijai, kas apdraud drošību.
- Papildu auditam, pielāgotai dokumentācijai vai ilgstošai atbalsta iesaistei var piemērot saprātīgu maksu.
14. Dzēšana, atgriešana un retence
Pēc līguma beigām Forums One pēc klienta izvēles dzēš vai atgriež personas datus, ja vien tiesību akti, strīda aizsardzība, drošības izmeklēšana, rezerves kopiju cikls vai grāmatvedības pienākums neprasa ierobežotu saglabāšanu. Rezerves kopijās esošie dati var tikt dzēsti pēc standarta backup cikla, ja nav tehniski saprātīgi tos dzēst tūlītēji.
15. Palīdzība klienta atbilstībai
Forums One saprātīgā apjomā palīdz klientam izpildīt pienākumus, kas attiecas uz datu subjektu tiesībām, DPIA, incidentiem un uzraudzības iestāžu jautājumiem. Šī palīdzība nepadara Forums One par klienta juridisko konsultantu un var tikt apmaksāta, ja tā pārsniedz standarta atbalstu.
16. Atbildība
Atbildības ierobežojumi un izņēmumi ir noteikti lietošanas noteikumos un attiecas arī uz šo DPA, ciktāl tos atļauj piemērojamie tiesību akti. Nekas šajā DPA neierobežo atbildību, kuru nedrīkst ierobežot saskaņā ar GDPR vai citiem obligāti piemērojamiem tiesību aktiem.
17. Izmaiņas DPA
Forums One var aktualizēt DPA, ja mainās tiesību akti, produkts, apakšapstrādātāji, drošības prakse vai pārdošanas modelis. Būtiskas izmaiņas tiek atzīmētas ar jaunu versiju un paziņotas klientiem saprātīgā kārtībā.