YARDtwin™ — Intelligent Yard Management for Industry 4.0

Versija 3.0 · Pēdējoreiz atjaunināts: 2026. gada 9. maijs · Stājas spēkā nekavējoties

1. Puses

Šis Datu apstrādes līgums ("DPA") tiek noslēgts starp Klientu ("Datu pārzinis") un YARDtwin Ltd, reģistrētu Īrijā ("Datu apstrādātājs"), kopā saukti "Puses". Šis DPA ir daļa no YARDtwin Pakalpojumu sniegšanas noteikumi.

2. Darbības joma un nolūks

Apstrādātājs apstrādā personas datus Pārziņa vārdā vienīgi nolūkā nodrošināt YARDtwin pagalma pārvaldības platformu: doku plānošanu, vārtu operācijas, digitālā dvīņa pagalma vizualizāciju, pārvadātāju un vadītāju pārvaldību, GMP atbilstošu revīzijas izsekošanu, analītiku un integrācijas. Apstrāde tiek veikta Pārziņa abonementa darbības laikā un jebkurā 11. sadaļā noteiktajā glabāšanas periodā.

3. Datu subjektu kategorijas

Pārziņa darbinieki un administratori (platformas nosauktie lietotāji)
Vadītāji un loģistikas darbinieki, kas reģistrēti Pārziņa vārtos
Pārvadātāju pārstāvji un nosūtīšanas kontaktpersonas
Vārtu drošības un noliktavas operatoru darbinieki

4. Personas datu veidi

Identitātes dati: vārdi, e-pasta adreses, tālruņu numuri, amats/darba nosaukums, uzņēmuma nosaukums un adrese
Autentifikācijas dati: bcrypt šifrētas paroles (12 kārtas), JWT piekļuves un atjaunošanas pilnvaras, sesijas laikspiedoli, IP adreses, SSO identifikatori (Google, Microsoft)
Darbības dati: pieraksti, doku piešķiršana, piekabju kustība, pārbaužu ieraksti, dokumenti, uzdevumu piešķiršana, transportlīdzekļu reģistrācijas
Vadītāja dati: apliecību numuri, apliecību attēli, neobligāti sejas attēli biometriskās vārtu verifikācijai (īpašas kategorijas dati, GDPR 9. pants — apstrādāti tikai tad, ja Pārzinis ir iespējojis biometrisko verifikāciju vārtos un ir saņēmis nepārprotamu piekrišanu datu iegūšanas brīdī)
Revīzijas dati: lietotāju darbības, laikspiedoli, IP adreses, lietotāja aģenta virknes, veco/jauno vērtību atšķirības, GMP atzīmētie ieraksti

5. Apstrādātāja pienākumi

Apstrādāt personas datus tikai saskaņā ar Pārziņa dokumentētiem norādījumiem (platformas lietotāja saskarne un API ir uzskatāmi par dokumentētiem norādījumiem)
Nodrošināt, ka personas, kurām atļauts apstrādāt datus, ir saistītas ar konfidencialitātes līgumiem
Ieviest atbilstošus tehniskos un organizatoriskos drošības pasākumus (32. pants) — skatīt 7. sadaļu tālāk
Neiesaistīt apakšapstrādātājus bez iepriekšējas rakstiskas atļaujas; sniegt 30 dienu iepriekšēju paziņojumu par jebkuru jaunu apakšapstrādātāju (tiesības iebilst)
Palīdzēt Pārzinim izpildīt datu subjektu pieprasījumus (15.–22. pants), izmantojot DSAR galapunktus, kas aprakstīti 9. sadaļā
Paziņot Pārzinim par personas datu pārkāpumiem bez nepamatotas kavēšanās un 72 stundu laikā (8. sadaļa)
Dzēst vai atgriezt visus personas datus pēc pakalpojumu sniegšanas beigām (11. sadaļa)
Darīt pieejamu visu informāciju, kas nepieciešama atbilstības apliecināšanai un revīziju atbalstam (12. sadaļa)

6. Apakšapstrādātāji

Apstrādātājs pašlaik izmanto šādus apakšapstrādātājus, no kuriem katrs darbojas saskaņā ar Datu apstrādes līgumu un (attiecīgos gadījumos) Standarta līguma klauzulām 2021:

Apakšapstrādātājs	Nolūks	Atrašanās vieta	Aizsardzības pasākumi
Microsoft Azure	Mitināšana (App Service, Postgres Flexible Server, Blob Storage, Key Vault, App Insights, Front Door + WAF)	EEZ — Zviedrija (centrālā) + Norvēģija (austrumi)	Microsoft tiešsaistes pakalpojumu DPA + ES SCC, ISO 27001, SOC 2 Type II, ISO 27018, ES datu robeža
Stripe	Abonēšanas norēķini un maksājumu apstrāde (YARDtwin neglabā kartes numurus)	Stripe Ireland (EEZ), daļējs ASV atbalsts	Stripe DPA + ES SCC + PCI DSS 1. līmenis
Resend	Darījumu e-pasta ziņojumi (sveicieni, izmēģinājuma atgādinājumi, DSAR atbildes, pārkāpumu brīdinājumi)	ASV (Delavēra)	Resend DPA + ES SCC (FISA 702 papildu pasākumu verifikācija notiek — skatīt GDPR politiku 11.6)
Google Cloud Vision	Vadītāja apliecības OCR (tikai gadījumos, kad Pārzinis iespējo apliecības pārbaudi vārtā)	ES reģioni	Google Cloud DPA + ES SCC, ISO 27001, SOC 2
Google / Microsoft (OAuth SSO)	Vienotās pierakstīšanās identitātes marķieri lietotājiem, kuri izvēlas SSO	EEZ (Microsoft Entra ID) / globāli (Google Workspace)	Microsoft / Google Cloud DPA
Anthropic	Claude API produkta iekšējam AI asistentam un apliecības OCR teksta parsēšanai	ASV (Kalifornija)	Anthropic DPA + nulles saglabāšanas apliecinājums + ES SCC (FISA 702 papildu pasākumu verifikācija notiek)

Klienti tiek informēti vismaz 30 dienas pirms jauna apakšapstrādātāja pievienošanas, ar tiesībām iebilst un izbeigt līgumu bez soda sankcijām.

7. Drošības pasākumi (32. pants)

Šifrēšana pārsūtīšanas laikā: TLS 1.2+ katrā galapunktā; sertifikātus pārvalda Microsoft Azure (DigiCert)
Šifrēšana datu glabāšanas laikā: Azure Postgres Flexible Server caurspīdīgā datu šifrēšana; Azure Blob Storage šifrēšana
Lauku līmeņa šifrēšana: AES-256-GCM biometriskajiem datiem (vadītāja apliecību attēli, parakstu attēli), atslēgas glabājas Azure Key Vault
Paroļu jaukšana: bcrypt, 12 kārtas
Autentifikācija: JWT piekļuves marķieri (derīguma termiņš 1 stunda) + atjaunošanas marķieri (derīguma termiņš 7 dienas, rotācija pēc izmantošanas); SSO ar Google un Microsoft MFA ekvivalentam
Nomnieku izolācija: piemērota katrā API maršrutā, katram laidienam veicot regresijas testu ar 25 vektoru starpnomnieku revīziju
Uz lomām balstīta piekļuves kontrole: sešas lomas (admin, ops_manager, gate_guard, warehouse_operator, carrier, super_admin), minimālo privilēģiju starpprogrammatūra
Tīmekļa lietojumprogrammu ugunsmūris: Azure Front Door + pārvaldīts WAF (OWASP pamata kārtulu kopa, robotu aizsardzība, L7 DDoS)
Pieprasījumu skaita ierobežošana: ierobežojumi katram maršrutam, stingrāki autentifikācijas galapunktos; atmiņā un pastāvīgi saglabāts mēģinājumu uzskaites mehānisms
Revīzijas pieraksts: tikai papildināšanai pieejams lietojumprogrammas slānī, 6 gadu glabāšanas periods, ar GMP saistītie ieraksti atzīmēti atsevišķi, pseidonimizēti (nevis dzēsti) pie 17. panta dzēšanas saskaņā ar 17. panta 3. punkta b) apakšpunktu
Nepārtraukta uzraudzība: Azure Application Insights, shēmas novirzes brīdinājums (15 minūšu logs), pilnās ķēdes /health/db-write pārbaude, pārkāpumu monitora anomāliju darbinieks (neveiksmīgu pieteikšanās mēģinājumu pieaugums, uzbrukumi no vairākām IP adresēm, pieteikšanās no jaunas valsts, 5xx kļūdu līmenis)
Programmatūras piegādes ķēde: npm audit, Trivy, Semgrep, gitleaks, OWASP ZAP katrā PR. Noslēpumi: Azure Key Vault, pieejams caur App Service pārvaldīto identitāti; nekādi noslēpumi kodā, vides failos vai konteineru attēlos

8. Paziņošana par personas datu pārkāpumiem

Apstrādātājs paziņo Pārzinim bez nepamatotas kavēšanās un ne vēlāk kā 72 stundu laikā pēc tam, kad uzzinājis par personas datu pārkāpumu, kas ietekmē Pārziņa datus (33. pants). Paziņojumā iekļauj pārkāpuma raksturu, ietekmēto datu subjektu kategorijas un aptuveno skaitu, iespējamās sekas, veiktos vai plānotos pasākumus un pārkāpumu reģistra atsauci. Konstatētās anomālijas tiek novirzītas uz Azure Monitor Action Group yardtwin-breach-actions; apstiprināti incidenti tiek izsekoti pārkāpumu reģistra tabulā ar 72 stundu DPC atpakaļskaitīšanu.

9. Datu subjektu tiesības

Apstrādātājs nodrošina Pārzinim šādus galapunktus datu subjektu tiesību izpildei 30 dienu termiņā saskaņā ar 12. panta 3. punktu:

POST /api/v1/dsar/export/by-email — mašīnlasāms eksports, kas aptver 15. pantu (piekļuve) un 20. pantu (pārnesamība)
POST /api/v1/dsar/erase/by-email — pseidonimizācija visās PII tabulās, saglabājot revīzijas žurnāla glabāšanu saskaņā ar 17. panta 3. punkta b) apakšpunktu
Pašapkalpošanās pieprasījumu portāls /data-request

10. Starptautiskie pārsūtījumi

Darbības dati tiek glabāti Eiropas Ekonomikas zonā (Microsoft Azure, Sweden Central + Norway East). Turpmākie pārsūtījumi uz apakšapstrādātājiem ārpus EEZ (Resend, Anthropic) tiek regulēti ar 2021. gada Standarta līguma klauzulām ar dokumentētiem pārsūtīšanas ietekmes novērtējumiem. Stripe darbojas caur Stripe Ireland (EEZ primārais).

11. Darbības laiks, izbeigšana un datu atdošana

Šis DPA ir spēkā pakalpojuma līguma darbības laikā. Pēc izbeigšanas:

Pārzinis var eksportēt visus savus datus 30 dienu laikā, izmantojot produktā iebūvētās eksporta funkcijas vai ar pieprasījumu
Pēc 30 dienām Apstrādātājs dzēsīs visus Pārziņa darbības personas datus
Revīzijas žurnāli tiek glabāti 6 gadus pēc notikuma pseidonimizētā veidā, kā to pieprasa 21 CFR Part 11 / ES GMP Annex 11 (17. panta 3. punkta b) apakšpunkta juridiskā pienākuma atkāpe)
Rezerves kopijas tiek dzēstas 7 dienu laikā pēc darbības dzēšanas, atbilstoši laika punkta atjaunošanas logam

12. Revīzijas tiesības

Apstrādātājs nodrošina Pārzinim visu informāciju, kas nepieciešama atbilstības GDPR 28. pantam pierādīšanai. Klienti var pieprasīt: attiecīgo drošības sertifikātu un revīzijas ziņojumu kopijas (ja pieejami), pašreizējo apakšapstrādātāju reģistru, jaunāko nomnieku izolācijas regresijas testu ziņojumu, jaunāko ārējā iespiešanās testa kopsavilkumu (pēc izdošanas, sk. GDPR politiku 11.1) un atbildes uz piegādātāja drošības anketu. Saprātīgas klātienes vai attālinātās revīzijas var organizēt ar vismaz 30 dienu iepriekšēju paziņojumu, ko veic Pārzinis vai neatkarīga trešā puse, kas saistīta ar konfidencialitāti. Apstrādātājs piešķirs prioritāti ISO 27001 / SOC 2 Type II ziņojumiem kā aizstājošiem pierādījumiem pēc attiecīgo sertifikātu saņemšanas.

13. Atbildība un piemērojamie tiesību akti

Atbildība saskaņā ar šo DPA ir pakļauta YARDtwin Pakalpojumu sniegšanas noteikumi. Šo DPA regulē Īrijas tiesību akti un ES Vispārīgā datu aizsardzības regula (GDPR). Visi strīdi ir pakļauti Īrijas tiesu ekskluzīvajai jurisdikcijai.

14. Kontaktinformācija

Ja jums ir jautājumi par šo DPA, lai pieprasītu pretparakstītu kopiju vai izmantotu kādas no iepriekš minētajām tiesībām, sazinieties ar admin@yardtwin.com vai Datu aizsardzības speciālistu dpo@yardtwin.com. Tiek noslēgts līgums ar ārēju daļslodzes DPO (GDPR politika 11.2); līdz iecelšanai pasta sūtījumi uz dpo@yardtwin.com tiek novirzīti uz admin@yardtwin.com.