POROZUMIENIE
POROZUMIENIE
w sprawie wykorzystywania systemu teleinformatycznego i publicznej aplikacji mobilnej w celu wydawania mLegitymacji szkolnej
zawarte na podstawie art. 19g ust. 1 ustawy z dnia 17 lutego 2005 r. o informatyzacji
działalności podmiotów realizujących zadania publiczne (Dz. U. z 2017 r. poz. 700, z późn. zm.) pomiędzy:
Ministrem Cyfryzacji
reprezentowanym przez
…………………………… – Specjalistę w Centrum Kontaktu w Naukowej i Akademickiej Sieci Komputerowej Państwowym Instytucie Badawczym z/s w Warszawie
a
Szkołą reprezentowaną przez Dyrektor
RSPO:
za zgodą organu prowadzącego Szkołę, zwaną dalej „Szkołą”
zwanymi dalej „Stronami”
Mając na uwadze, że:
1) Minister Cyfryzacji zgodnie z art. 12a ust. 1 pkt 1, ust. 2 oraz ust. 7 ustawy z dnia 4 września 1997 r. o działach administracji rządowej (Dz. U. z 2018 r. poz. 762, z późn. zm.), kieruje działem administracji rządowej informatyzacja, obejmującym sprawy informatyzacji administracji publicznej oraz podmiotów wykonujących zadania publiczne, a także sprawy systemów i sieci teleinformatycznych administracji publicznej oraz rozwoju usług świadczonych drogą elektroniczną;
2) dnia 11 września 2018 r. weszły w życie przepisy art. 19e – 19f ustawy z dnia 17 lutego
2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz.
U. z 2019 r. poz. 700, z późn. zm.), zwanej dalej „ustawą o informatyzacji”, wprowadzające podstawy prawne dla funkcjonowania publicznej aplikacji mobilnej;
3) na podstawie art. 19e ust. 1 ustawy o informatyzacji Minister Cyfryzacji udostępnia oraz zapewnia rozwój publicznej aplikacji mobilnej;
4) zgodnie z art. 19g ust. 1 Minister Cyfryzacji zawiera porozumienie w sprawie wykorzystywania publicznej aplikacji mobilnej i systemu teleinformatycznego z podmiotem będącym podmiotem publicznym odpowiadającym za wydanie dokumentu elektronicznego wykorzystywanego w publicznej aplikacji mobilnej;
5) zgodnie z przepisami rozporządzenia z dnia 26 kwietnia 2018 r. w sprawie świadectw, dyplomów państwowych i innych druków szkolnych (Dz. U. z 2018 r. poz. 939, z późn. zm.), zwane dalej „Rozporządzeniem”, mLegitymacja szkolna wydawana jest dla uczniów szkół podstawowych i ponadpodstawowych, uczniów szkół policealnych oraz słuchaczy szkół dla dorosłych;
6) mLegitymacja szkolna stanowi dokument elektroniczny, przechowywany i okazywany przy użyciu publicznej aplikacji mobilnej, o której mowa w art. 19e ust. 1 ustawy o informatyzacji;
7) mLegitymacja szkolna stanowi kolejny krok w rozwoju mobilnych usług cyfrowych, a jej rozwój wymaga współpracy Ministra Cyfryzacji jako ministra odpowiedzialnego za informatyzację oraz Dyrektorów Szkół, które są zainteresowane korzystaniem z tego narzędzia i wydawaniem mLegitymacji szkolnej dla swoich uczniów;
Strony podjęły decyzję oraz wyrażają wolę i gotowość podjęcia współpracy.
§ 1.
Przedmiotem Porozumienia jest określenie zasad współpracy przy wydawaniu mLegitymacji szkolnej w celu umożliwienia uczniom korzystania z wiarygodnego, opcjonalnego i dodatkowego sposobu okazywania legitymacji szkolnej.
§ 2.
Minister Cyfryzacji w ramach Porozumienia na podstawie ustawowych kompetencji:
1) udostępnia oraz zapewnia rozwój publicznej aplikacji mobilnej pozwalającej w szczególności na:
a) pobranie, przechowywanie i prezentację mLegitymacji szkolnej, a także przekazywanie jej między urządzeniami mobilnymi,
b) weryfikację integralności i pochodzenia mLegitymacji szkolnej.
2) zapewnia działanie systemu teleinformatycznego, który pozwala, przy użyciu
publicznej aplikacji mobilnej, na pobranie mLegitymacji szkolnej;
3) zapewnia stosowanie mechanizmów, które pozwalają na potwierdzenie integralności
i pochodzenia mLegitymacji szkolnej;
4) zapewnia bezpieczeństwo teleinformatyczne i bezpieczeństwo obrotu prawnego;
5) zamieszcza oraz niezwłocznie aktualizuje w Biuletynie Informacji Publicznej na swojej stronie podmiotowej informacje o:
a) aktywnych i nieaktywnych, w tym czasowo zawieszonych, funkcjonalnościach
publicznej aplikacji mobilnej,
b) stosowanych mechanizmach zapewniających możliwość potwierdzenia integralności i pochodzenia dokumentów elektronicznych oraz procedurach uzyskania takiego potwierdzenia,
c) adresach elektronicznych, pod którymi są udostępnione: regulamin korzystania z publicznej aplikacji mobilnej oraz informacja o wymaganiach technicznych dotyczących korzystania z publicznej aplikacji mobilnej.
§ 3.
Minister Cyfryzacji zobowiązuje się do:
1) utrzymania i udostępniania systemu teleinformatycznego który pozwala, przy użyciu
publicznej aplikacji mobilnej, na pobranie mLegitymacji szkolnej, zwanym dalej
„Systemem”;
2) utworzenia konta w Systemie dla Szkoły przystępującej do Porozumienia;
3) nadania uprawnień osobom upoważnionym przez Dyrektora Szkoły w ramach konta w Systemie;
4) zapewnienia rozliczalności działań podejmowanych w Systemie;
5) udostępnienia dokumentu określającego Wymagania bezpiecznego użytkowania
Systemu;
6) przetwarzania danych osobowych zgodnie z Rozporządzeniem ogólnym o ochronie danych osobowych1, zwanym dalej „RODO”, polskimi przepisami przyjętymi w celu umożliwienia stosowania RODO, innymi obowiązującymi przepisami prawa, Porozumieniem oraz poleceniami administratora.
§ 4.
1. Minister Cyfryzacji tworzy konto w Systemie dla Szkoły przystępującej do Porozumienia.
2. Warunkiem utworzenia konta w Systemie jest przekazanie do Ministra Cyfryzacji lub wskazanej przez Ministra Cyfryzacji jednostki nadzorowanej, jako podmiotu wykonującego zadania na rzecz Ministra Cyfryzacji, danych zgodnie z treścią załącznika numer 1, który stanowi integralną część Porozumienia, tj.:
1) identyfikatora Szkoły (RSPO),
2) typu Szkoły (zgodnie ze słownikiem kodów SIO),
3) nazwy Szkoły,
4) adresu Szkoły,
5) nazwy miejscowości i kodu pocztowego Szkoły,
6) numeru telefonu Szkoły,
7) imienia i nazwiska oraz adresu e-mail Dyrektora Szkoły,
8) imienia i nazwiska osób upoważnionych,
1 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), w tekście jako: RODO.
9) numeru PESEL osób upoważnionych,
10) imienia i nazwiska XXX,
11) adresu email IOD,
12) numeru telefonu IOD.
3. Dyrektor Szkoły, w przypadku gdy nie będzie samodzielnie obsługiwał Systemu, upoważnia osoby wskazane w załączniku nr 1 do obsługi Systemu.
4. Osoby, o których mowa w ust. 3 zobowiązują się do zachowania zasad określonych w Wymaganiach bezpiecznego użytkowania Systemu.
5. Zmiana osób i danych wskazanych w załączniku nr 1 nie wymaga zawarcia aneksu do Porozumienia, ale dla swej skuteczności wymaga powiadomienia drugiej Strony w formie pisemnej na adres wskazany w § 9 ust. 1 lit. a).
§ 5.
1. Minister Cyfryzacji pokrywa koszty:
a) utrzymania i rozwoju systemu teleinformatycznego oraz publicznej aplikacji mobilnej,
b) związane z obsługą przystępowania zainteresowanych Szkół do Porozumienia.
2. Szkoła pokrywa ewentualne koszty związane z wewnętrzną organizacją obsługi wydawania, unieważniania oraz ewidencjonowania mLegitymacji szkolnej.
§ 6.
1. Wydając mLegitymację szkolną uczniowi osoba upoważniona zobowiązana jest do:
1) zweryfikowania wieku ucznia Szkoły oraz ważności wydanej legitymacji szkolnej lub
e-legitymacji szkolnej,
2) zweryfikowania oraz potwierdzenia czy rodzic ucznia – w przypadku ucznia niepełnoletniego – złożył wniosek o wydanie mLegitymacji szkolnej, o którym mowa w Rozporządzeniu,
3) zweryfikowania czy uczeń posiada odpowiednie orzeczenie, wymagane przepisami odrębnymi, uprawniające do wydania mLegitymacji szkolnej dla uczniów niepełnosprawnych,
4) wprowadzenia do Systemu danych niezbędnych do wydania mLegitymacji szkolnej,
tj.:
a) numeru legitymacji,
b) określenia czy uczeń jest niepełnosprawny,
c) imienia lub xxxxx,
d) nazwiska,
e) daty urodzenia,
f) numeru PESEL,
g) adresu zamieszkania,
h) wizerunku twarzy.
2. Dane, o których mowa w ust. 1 pkt 4 oraz dane generowane przez System takie jak:
a) określenie „uczeń” albo „uczennica”,
b) wiek ucznia,
c) określenie czy legitymacja jest „ważna” lub „nieważna”
są przetwarzane w Systemie w celu aktywacji mLegitymacji szkolnej na urządzeniu
mobilnym oraz utworzenia w Systemie certyfikatu bezpieczeństwa.
3. Certyfikat bezpieczeństwa mLegitymacji szkolnej zawiera następujące dane osobowe:
1) imię (imiona),
2) nazwisko,
3) sumę kontrolną numeru PESEL.
4. Certyfikat bezpieczeństwa służy do sprawdzania spójności i organu wydającego mLegitymację szkolną oraz wyznaczenia jej daty ważności.
5. Ważność certyfikatu bezpieczeństwa jest równoznaczna z okresem ważności legitymacji
szkolnej lub e-legitymacji szkolnej.
6. W przypadku, gdy legitymacja szkolna lub e-legitymacja szkolna zostanie unieważniona, Szkoła zobowiązana jest do unieważnienia mLegitymacji szkolnej.
§ 7.
1. Szkoła jest administratorem danych osobowych uczniów, którym wydano mLegitymację szkolną oraz osób upoważnionych w rozumieniu art. 4 pkt 7 RODO.
2. Ministerstwo Cyfryzacji jest podmiotem przetwarzającym w rozumieniu art. 4 pkt 8 RODO w związku z art. 19h ustawy o informatyzacji.
3. Szkoła oświadcza, że Minister Cyfryzacji ma legitymację (upoważnienie) do powierzenia Centralnemu Ośrodkowi Informatyki (COI) oraz Naukowej i Akademickiej Sieci Komputerowej – Państwowemu Instytutowi Badawczemu (NASK PIB) przetwarzania danych osobowych uczniów, którym wydano mLegitymacje szkolne w zakresie określonym w § 6 ust. 1 pkt 4 i ust. 2, danych Dyrektora Szkoły i osób upoważnionych do obsługi w celu zapewnienia funkcjonowania Systemu oraz stanowienia pierwszej, drugiej oraz trzeciej linii wsparcia w formie Helpdesk.
4. Minister Cyfryzacji oświadcza, że COI oraz NASK PIB będą zapewniać realizację postanowień niniejszego Porozumienia.
5. Wymienione w ust. 3 wsparcie będzie polegać w szczególności na:
1) obsłudze telefonicznej infolinii dedykowanej dla użytkowników publicznej aplikacji
mobilnej, Dyrektorów szkół oraz osób upoważnionych,
2) rejestracji zgłoszeń, ich weryfikacji oraz analizie i przygotowaniu rozwiązań w oparciu o bazę wiedzy,
3) bieżącym wsparciu telefonicznym w celu rozwiązania zgłaszanych problemów.
6. Szkoła oświadcza, że Minister Cyfryzacji ma legitymację (upoważnienie) do zmiany lub zastąpienia podmiotu podprzetwarzającego wymienionego w ust. 4 za uprzednim poinformowaniem administratora.
7. Administratorowi przysługuje prawo złożenia sprzeciwu od zmiany lub zastąpienia opisanego w ust. 6 podmiotu podprzetwarzającego w terminie 30 dni. Zgłoszenie sprzeciwu oznacza wypowiedzenie Porozumienia w terminie miesięcznym.
8. Podmiot przetwarzający zapewnia wdrożenie odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych osobowych spełniło wymogi RODO i chroniło prawa osób, których dane dotyczą.
9. Podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora, chyba że obowiązek taki nakłada na niego obowiązujące prawo krajowe lub unijne. W sytuacji, gdy obowiązek przetwarzania danych osobowych przez podmiot przetwarzający wynika z przepisów prawa, informuje on administratora drogą elektroniczną – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile prawo nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
10. Celem przetwarzania jest wydanie certyfikatu bezpieczeństwa zawierającego dane ucznia, zapewnienie rozliczalności oraz bezpieczeństwa Systemu i publicznej aplikacji mobilnej.
11. Podmiot przetwarzający przetwarza dane zawarte w certyfikacie bezpieczeństwa przez okres 6 lat od dnia ostatniej aktywności użytkownika w Systemie
12. Przy weryfikacji online ważności certyfikatu bezpieczeństwa w Systemie, przetwarzane
są takie dane jak:
1) imię (xxxxxx) i nazwisko użytkownika mLegitymacji szkolnej (sprawdzenie ważności
certyfikatu bezpieczeństwa online),
2) suma kontrolna utworzona z numeru PESEL,
3) numer certyfikatu bezpieczeństwa, którego zweryfikowanie wystąpiło.
13. Podmiot przetwarzający oraz podmioty podprzetwarzające przetwarzają dane osobowe uczniów, którym wydano mLegitymację szkolną, w zakresie określonym w § 6 ust. 1 pkt 4 i ust. 2, dane Dyrektora Szkoły oraz osób upoważnionych.
14. Administrator ma prawo do:
1) przeprowadzenia audytu zgodności przetwarzania danych osobowych przez podmiot przetwarzający zgodnie z Porozumieniem oraz obowiązującymi przepisami prawa,
2) żądania od podmiotu przetwarzającego składania pisemnych wyjaśnień dotyczących realizacji Porozumienia,
3) wypowiedzenia Porozumienia ze skutkiem natychmiastowym w przypadku zaistnienia ważnych powodów, w tym także w razie naruszenia przez podmiot przetwarzający lub dalszy podmiot przetwarzający przepisów RODO.
15. Podmiot przetwarzający zobowiązuje się do przestrzegania warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w art. 28 ust. 2 i 4 RODO.
16. Umowa zawarta przez podmiot przetwarzający z innym podmiotem przetwarzającym w zakresie nieobjętym tajemnicą przedsiębiorstwa podlega udostępnieniu na każde żądanie administratora.
17. Podmiot przetwarzający podejmuje wszelkie środki celem zapewniania bezpieczeństwa
przetwarzania danych osobowych, zgodnie z art. 32 RODO.
18. Podmiot przetwarzający zapewnia, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności.
19. Podmiot przetwarzający, biorąc pod uwagę charakter przetwarzania, wspiera administratora (w szczególności poprzez stosowanie odpowiednich środków technicznych i organizacyjnych) w realizacji obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO.
20. Podmiot przetwarzający, uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32-36 RODO.
21. Podmiot przetwarzający udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji i przyczynia się do nich.
§ 8.
1. Prawa i obowiązki Stron wynikające z niniejszego Porozumienia, nie mogą być przeniesione w całości bądź w części na osoby trzecie, poza wymienionymi w § 7 ust. 3.
2. Strony oświadczają, że będą współpracować przy opracowywaniu rozwiązań
organizacyjno–technicznych, mających wpływ na realizację Porozumienia.
§ 9.
1. Do kontaktów w celu realizacji Porozumienia Strony wyznaczają:
a) Ze strony Ministra Cyfryzacji: (imię i nazwisko)
(adres email) (numer telefonu)
b) Ze strony Szkoły: (imię i nazwisko) (adres email)
(numer telefonu)
2. Zmiana osób i danych wskazanych w ust. 1 nie wymaga zawarcia aneksu do Porozumienia, ale dla swej skuteczności wymaga powiadomienia drugiej Strony w postaci elektronicznej opatrzonej podpisem zaufanym, podpisem osobistym lub kwalifikowanym podpisem elektronicznym, na adres wskazany w ust. 1.
3. Strony zobowiązują się do informowania o wszelkich trudnościach związanych z realizacją Porozumienia.
§ 10.
1. Wszelkie zmiany Porozumienia, z zastrzeżeniem § 4 ust. 2 oraz § 9 ust. 1, wymagają dla swej ważności postaci elektronicznej opatrzonej podpisem zaufanym, podpisem osobistym lub kwalifikowanym podpisem elektronicznym.
2. Porozumienie zostało zawarte na czas nieokreślony, z możliwością rozwiązania przez Ministra Cyfryzacji lub Szkołę z zachowaniem trzymiesięcznego okresu wypowiedzenia.
3. Porozumienie wchodzi w życie z dniem podpisania.