Strony:
Wzór Umowy powierzenia przetwarzania Danych osobowych 3.0
Strony:
1. Szkoła wskazana w formularzu zgłoszeniowym, która wyraziła wolę korzystania ze Squla w klasie, zwana dalej: „Instytucją oświatową".
i
2. Sp. z o.o. FutureWhiz Media B.V., z siedzibą w Amsterdamie i prowadząca biuro pod adresem: (1018 TX) Xxxxxxxxx, Xxxxxxxx Xxxxx, Xxxxxxxxxxxxxxx 00, zwana dalej: „Podmiotem przetwarzającym” lub „Squla”
zwani dalej wspólnie: „Stronami”, lub każda osobno: „Stroną”
Mając na uwadze, co następuje:
a. Instytucja oświatowa i Podmiot przetwarzający zawarli umowę, na mocy której Squla oferuje usługę Squla w klasie, („Umowę produktu i Umowę o świadczenie usług"). Ta Umowa produktu i Umowa o świadczenie usług skutkuje przetwarzaniem Danych osobowych przez Podmiot przetwarzający w imieniu Instytucji oświatowej.
b. Zgodnie z postanowieniami art. 28 ust. 3 ogólnego rozporządzenia o ochronie danych Strony pragną w niniejszej Umowie powierzenia przetwarzania Danych osobowych określić swoje wzajemne prawa i obowiązki w zakresie przetwarzania Danych osobowych.
Strony uzgadniają, co następuje:
Artykuł 1: Definicje
Do celów niniejszej Umowy powierzenia przetwarzania Danych osobowych stosuje się następujące definicje:
a. Osoba, której dane dotyczą, Podmiot przetwarzający, Podmiot zewnętrzny, Dane osobowe, Przetwarzanie Danych osobowych i Administrator: terminy zdefiniowane w RODO;
b. Załącznik(i): załącznik(i) do Porozumienia lub Umowy powierzenia przetwarzania Danych osobowych;
c. Porozumienie: Porozumienie odnośnie cyfrowych zasobów edukacyjnych i prywatności 3.0;
d. Strona Porozumienia: Instytucja oświatowa lub Dostawca, który przystąpił do Porozumienia;
e. Naruszenie ochrony Danych osobowych: naruszenie ochrony Danych osobowych, o którym mowa w art. 4 ust. 12 RODO;
f. Cyfrowy zasób edukacyjny: Zasoby dydaktyczne i testowe oraz Zasoby informacyjne dla szkół i uczniów;
g. Inicjatorzy: strony, które są inicjatorami Porozumienia, zgodnie z preambułą Porozumienia;
h. Instrukcje: pisemne lub elektroniczne dyspozycje Administratora dla Podmiotu przetwarzającego w zakresie jego uprawnień określonych w niniejszej Umowie powierzenia przetwarzania Danych osobowych lub w Umowie produktu i Umowie o świadczenie usług. Instrukcje są udzielane przez osoby kontaktowe i do osób kontaktowych Stron zgodnie z Załącznikiem(-ami);
i. Łańcuch iD: pseudonim przypisany do osobistego numeru Uczestnika kształcenia, który uniemożliwia bezpośrednią identyfikację tego Uczestnika kształcenia. Ten pseudonim jest następnie ponownie kodowany w Łańcuchu iD, który jest używany do celów identyfikacyjnych w celu uzyskania dostępu do cyfrowych zasobów edukacyjnych i korzystania z nich. Łańcuch iD nazywany jest również ECK iD;
j. Zasoby dydaktyczne i testowe: cyfrowy produkt i/lub usługa składające się z materiałów edukacyjnych i/lub testów oraz związanych z nimi usług cyfrowych, ukierunkowane na sytuacje edukacyjne, w celu zapewnienia edukacji przez Instytucje oświatowe lub w ich imieniu;
k. Dostawca: dostawca cyfrowych zasobów edukacyjnych, taki jak dystrybutor, wydawca lub dostawca systemu administracyjnego;
l. Wzór Umowy powierzenia przetwarzania Danych osobowych: wzór umowy powierzenia przetwarzania Danych osobowych dołączony jako załącznik do Porozumienia;
m. Uczestnik kształcenia: uczestnik kształcenia w ramach szkolnictwa podstawowego, szkolnictwa średniego lub szkolnictwa zawodowego na poziomie średnim;
n. Platforma: platforma, o której mowa w art. 8 Porozumienia, obecnie znana jako Edu-K;
o. Umowa produktu i Umowa o świadczenie usług: umowa pomiędzy Instytucją oświatową a Podmiotem przetwarzającym, o której mowa w punkcie a preambuły, w tym umowa zawarta na jej podstawie pomiędzy Uczestnikiem kształcenia a Dostawcą danego produktu lub usługi;
p. Ulotka dotycząca prywatności: jedna lub większa liczba ulotek dotyczących prywatności zawartych w Załączniku(-ach), które mają zastosowanie do oferowanych cyfrowych zasobów edukacyjnych;
q. Regulamin: regulamin, o którym mowa w art. 8 ust. 4 Porozumienia;
r. Zasoby informacyjne dla szkół i uczniów: cyfrowy produkt i/lub usługa na rzecz (procesu) edukacji, takie jak system administracji uczniami, podstawowy system rejestracji, system informacji o uczniach, zarządzanie uczestnikami, system harmonogramowania, portal macierzysty, system komunikacji między uczniami i rodzicami, pulpity nawigacyjne i systemy zarządzania jakością, o ile zawierają one Dane osobowe uczestników edukacji, elektroniczne środowisko nauczania i system śledzenia uczniów;
s. Standardowy zestaw atrybutów: dodatkowe znormalizowane Dane osobowe Uczestników kształcenia ustanowione przez Platformę, które mogą być używane dodatkowo oprócz Łańcucha iD w celu uzyskania dostępu do Cyfrowych zasobów edukacyjnych i korzystania z nich (opublikowane na stronie internetowej Platformy);
t. Podwykonawca Podmiotu przetwarzającego: strona zaangażowana przez Podmiot przetwarzający do celów przetwarzania Danych osobowych w ramach Wzoru Umowy powierzenia przetwarzania Danych osobowych oraz Umowy produktu i Umowy o świadczenie usług;
u. RODO: ogólne rozporządzenie o ochronie danych (rozporządzenie Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych oraz uchylające dyrektywę 95/46/WE);
v. Obowiązujące przepisy ustawowe i wykonawcze dotyczące przetwarzania Danych osobowych: obowiązujące przepisy ustawowe i wykonawcze (na mocy prawa UE i prawa krajowego) lub (dalsze) traktaty, rozporządzenia, wytyczne, decyzje, zasady polityki, instrukcje i/lub zalecenia właściwego organu publicznego dotyczące przetwarzania Danych osobowych, w tym wszelkie przyszłe zmiany i/lub uzupełnienia do nich, w tym przepisy wykonawcze do prawa krajowego wdrażające RODO oraz holenderska Ustawa telekomunikacyjna (Telecommunicatiewet).
Artykuł 2: Przedmiot i cel Umowy powierzenia przetwarzania Danych osobowych
1. Niniejsza Umowa powierzenia przetwarzania Danych osobowych dotyczy przetwarzania Danych osobowych w kontekście realizacji Umowy produktu i Umowy o świadczenie usług.
2. Instytucja oświatowa, zgodnie z art. 28 RODO, zleca Podmiotowi przetwarzającemu Przetwarzanie Danych Osobowych w imieniu Uczelni. Instrukcje Instytucji oświatowej mogą być opisane bardziej szczegółowo w niniejszej Umowie powierzenia przetwarzania Danych osobowych oraz w Umowie produktu i Umowie o świadczenie usług.
3. Postanowienia Umowy powierzenia przetwarzania Danych osobowych stosuje się do wszystkich czynności Przetwarzania określonych w załączniku 1, które mają miejsce przy zawieraniu Umowy produktu i Umowy o świadczenie usług. Podmiot przetwarzający niezwłocznie informuje Instytucję oświatową, jeżeli ma powody, by sądzić, że Podmiot przetwarzający nie może dłużej stosować się do Umowy powierzenia przetwarzania Danych osobowych.
Artykuł 3: Podział ról
1. W odniesieniu do przetwarzania Danych osobowych, które ma być przeprowadzane zgodnie z jej instrukcjami, Instytucja oświatowa pełni funkcję Administratora. Podmiot przetwarzający jest Podmiotem przetwarzającym w rozumieniu RODO. Instytucja oświatowa sprawuje i zachowuje niezależną kontrolę nad (określeniem) celu i środków przetwarzania Danych osobowych.
2. Przed zawarciem Umowy powierzenia przetwarzania Danych osobowych, Podmiot przetwarzający zadba, aby Instytucja oświatowa była odpowiednio poinformowana o usługach świadczonych przez Podmiot przetwarzający i przetwarzaniu Danych, które ma być przeprowadzone. Udostępnione informacje umożliwiają Instytucji oświatowej zrozumienie, które przetwarzanie Danych jest nierozerwalnie związane z oferowaną usługą i jakie operacje przetwarzania Danych Instytucja oświatowa może wybrać w odniesieniu do ewentualnych oferowanych usług fakultatywnych.
3. Bez uszczerbku dla postanowień zawartych w innym miejscu niniejszej Umowy powierzenia przetwarzania Danych osobowych, przed zawarciem niniejszej Umowy powierzenia przetwarzania Danych osobowych, Podmiot przetwarzający poinformuje Instytucję oświatową wymienioną w Załączniku 1 o usługach, o których mowa w ust. 2, w tym o wszelkich usługach fakultatywnych, oraz o przetwarzaniu Danych, które ma miejsce w tym kontekście. Informacje zawarte w Załączniku 1 muszą być opisane zrozumiałym językiem, w wyniku czego Instytucja oświatowa może wyrazić świadomą zgodę na korzystanie z tych usług i realizację związanych z nimi operacji przetwarzania Danych.
4. Instytucja oświatowa rejestruje przetwarzanie Danych osobowych, o którym mowa w ust. 2 niniejszego artykułu, w rejestrze czynności przetwarzania Danych osobowych, za które jest odpowiedzialna.
5. W zakresie, w jakim wymaga tego art. 30 ust. 5 RODO, Podmiot przetwarzający prowadzi zgodnie z art. 30 ust. 2 RODO rejestr wszystkich kategorii czynności przetwarzania Danych osobowych prowadzonych przez Podmiot przetwarzający na rzecz Instytucji oświatowej.
6. Instytucja oświatowa i Podmiot przetwarzający przekazują sobie nawzajem wszelkie informacje niezbędne do zapewnienia właściwego przestrzegania obowiązujących przepisów ustawowych i wykonawczych dotyczących przetwarzania Danych osobowych.
Artykuł 4: Porozumienie odnośnie prywatności
1. Strony zgadzają się z postanowieniami Porozumienia.
Artykuł 5: Korzystanie z Danych osobowych
1. Podmiot przetwarzający zobowiązuje się nie wykorzystywać Danych osobowych uzyskanych od Instytucji oświatowej w żadnym innym celu lub w jakikolwiek inny sposób niż w celu i w sposób, w jaki dane te zostały mu przekazane lub stały się znane. Podmiot przetwarzający nie może zatem dokonywać żadnych operacji przetwarzania Danych osobowych innych niż operacje zlecone mu przez Instytucję oświatową (na piśmie lub drogą elektroniczną) przez Podmiot przetwarzający w kontekście wykonania Umowy produktu i Umowy o świadczenie usług, z wyjątkiem przypadku jakiegokolwiek innego postanowienia prawa UE lub prawa krajowego lub decyzji sądowej, o ile odwołanie nie jest już możliwe. W takim przypadku Podmiot przetwarzający zawiadamia Instytucję oświatową przed dokonaniem przetworzenia Danych osobowych o tym przepisie ustawowym lub orzeczeniu sądowym, chyba że zawiadomienie to jest zakazane z ważnych względów interesu publicznego.
2. Przegląd, między innymi, kategorii Danych osobowych i celu, dla którego Dane osobowe są przetwarzane, znajduje się w Ulotce dotyczącej prywatności załączonej do niniejszej Umowy powierzenia przetwarzania Danych osobowych.
3. Podmiot przetwarzający musi wskazać w Ulotce dotyczącej prywatności, czy Xxxxxx dotycząca prywatności odnosi się do Zasobów dydaktycznych i testowych i/lub Zasobów informacyjnych dla szkół i uczniów. W Ulotce dotyczącej prywatności, Podmiot przetwarzający określi cele, dla których Dane osobowe, określone przez Administratora, są przetwarzane w trakcie użytkowania jego produktu i/lub usługi oraz kategorie przetwarzanych w tym procesie Danych osobowych.
4. Jeżeli Podmiot przetwarzający określi cel i sposoby przetwarzania Danych osobowych z naruszeniem RODO, to Podmiot przetwarzający będzie uważany za Administratora w odniesieniu do tego przetwarzania Danych osobowych.
5. SZCZEGÓŁOWE PRZEPISY W PRZYPADKU WYMIANY RAPORTU EDUKACYJNEGO: W uzupełnieniu
do postanowień ujętych w ust. 4, Podmiot przetwarzający może przekazywać Dane osobowe innej instytucji oświatowej wyznaczonej i wybranej przez Instytucję oświatową wyłącznie na wyraźny wniosek o ich przekazanie oraz pod warunkiem, że ta inna instytucja oświatowa zgłosiła Podmiotowi przetwarzającemu swoją administracyjną tożsamość edukacyjną (np. BRIN lub OiN). Jeżeli ta inna instytucja oświatowa nie posiada administracyjnej tożsamości akademickiej, to Podmiot przetwarzający przekazuje tej instytucji oświatowej Dane osobowe wyłącznie na wyraźne polecenie Instytucji oświatowej.
6. SZCZEGÓŁOWE POSTANOWIENIA DOTYCZĄCE UMÓW POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH MIĘDZY INSTYTUCJAMI OŚWIATOWYMI ORAZ DYSTRYBUTORAMI:
a. Strony Porozumienia, które tworzą i zapewniają Zasoby dydaktyczne i testowe (zwane dalej
„Dostawcą Zasobów dydaktycznych") będą corocznie uzupełniać i/lub zmieniać Ulotkę dotyczącą prywatności tych Zasobów dydaktycznych i testowych w celu sporządzenia list zasobów dydaktycznych na następny rok szkolny (które to listy będą sporządzane w celu wdrożenia Umowy produktu i Umowy o świadczenie usług) poprzez włączenie kategorii Danych osobowych i wykorzystania tych Danych osobowych (w odniesieniu do Zasobów dydaktycznych i testowych) do tych materiałów.
b. W imieniu Instytucji oświatowej Podmiot przetwarzający (dystrybutor) wymienia dane z tymi Dostawcami Zasobów dydaktycznych.
c. Instytucja oświatowa jest odpowiedzialna za zawieranie i zapisywanie umów z każdym z Dostawców Zasobów dydaktycznych w Umowie powierzenia przetwarzania Danych osobowych.
d. Instytucja oświatowa zwalnia Podmiot przetwarzający (dystrybutora) z wszelkich roszczeń Podmiotów zewnętrznych wynikających z braku (terminowej) realizacji umów z Dostawcami Zasobów dydaktycznych, a Instytucja oświatowa zabezpiecza Dostawcę Zasobów dydaktycznych przed ewentualnymi roszczeniami Podmiotów zewnętrznych w wyniku braku (terminowego) poczynienia ustaleń dotyczących przetwarzania Danych osobowych z Podmiotem przetwarzającym (dystrybutorem).
e. Odpowiedzialność Podmiotu przetwarzającego (dystrybutora) za zarządzanie Danymi osobowymi wygasa z chwilą otrzymania danych od Podmiotu przetwarzającego (dystrybutora) przez Dostawcę Zasobów dydaktycznych.
Artykuł 6: Poufność
1. Podmiot przetwarzający gwarantuje, że będzie traktował wszystkie Dane osobowe z zachowaniem ścisłej poufności w stosunku do Podmiotów zewnętrznych, w tym organów publicznych. Podmiot przetwarzający zadba, aby wszystkie osoby, które zaangażuje w przetwarzanie Danych osobowych, w tym jego pracownicy, przedstawiciele i/lub Podwykonawcy Podmiotu przetwarzającego, traktowały te dane jako poufne. Podmiot przetwarzający gwarantuje, że z osobami upoważnionymi do przetwarzania Danych osobowych została zawarta umowa lub klauzula o poufności lub że są one prawnie zobowiązane do zachowania poufności.
2. Obowiązek zachowania tajemnicy zawodowej, o którym mowa w ust. 1, nie ma zastosowania w przypadkach określonych poniżej:
1. w zakresie, w jakim Instytucja oświatowa udzieliła wyraźnej zgody na ujawnienie Danych osobowych Podmiotom zewnętrznym;
2. jeżeli przekazanie Danych osobowych Podmiotowi zewnętrznemu jest konieczne ze względu na charakter usług, które mają być świadczone przez Podmiot przetwarzający na rzecz Instytucji oświatowej; lub
3. jeżeli Podmiot przetwarzający jest zobowiązany do dostarczenia go na podstawie przepisu prawa Unii Europejskiej, prawa krajowego lub orzeczenia sądowego, w zakresie, w jakim odwołanie od takiego przepisu nie jest już możliwe.
3. Podmiot przetwarzający powstrzyma się od przekazania lub ujawnienia Danych osobowych Podmiotowi zewnętrznemu, chyba że takie przekazanie lub ujawnienie odbywa się na polecenie Instytucji oświatowej lub gdy jest to niezbędne do wykonania orzeczenia sądowego, o ile nie jest możliwe dalsze odwołanie lub wiąże się z ustawowym obowiązkiem spoczywającym na Podmiocie przetwarzającym. Zobowiązania prawne obejmują przepisy prawa Unii Europejskiej lub prawa krajowego, na podstawie których Podmiot przetwarzający jest zobowiązany do udostępnienia Danych osobowych. W przypadku zobowiązania prawnego, przed udostępnieniem Danych osobowych, Podmiot przetwarzający sprawdza podstawę prawną i tożsamość strony powołującej się na nie. Ponadto, o ile przepisy te nie zabraniają takiego udostępnienia z ważnych względów interesu publicznego, Podmiot przetwarzający niezwłocznie informuje Instytucję oświatową, w miarę możliwości przed dostarczeniem informacji istotnych dla Instytucji oświatowej w odniesieniu do tego udostępnienia.
4. Podmiot przetwarzający zadba, aby pracownicy pracujący pod jego nadzorem mieli dostęp do Danych osobowych jedynie w zakresie niezbędnym do wykonywania swojej pracy.
Artykuł 7: Bezpieczeństwo i kontrola
1. Z zastrzeżeniem przepisów art. 32 RODO, Podmiot przetwarzający, podobnie jak Instytucja oświatowa, zapewnia podjęcie odpowiednich środków technicznych i organizacyjnych w celu zabezpieczenia i ochrony Danych osobowych przed nieuprawnionym lub bezprawnym przetwarzaniem oraz przed przypadkową utratą, zniszczeniem lub uszkodzeniem.
2. Oprócz środków, o których mowa w art. 32 ust. 1 RODO, w stosownych przypadkach zostaną podjęte następujące środki:
a. odpowiednia polityka bezpieczeństwa przetwarzania Danych osobowych;
b. środki zapewniające, że tylko upoważnieni pracownicy mają dostęp do Danych osobowych przetwarzanych w ramach Umowy powierzenia przetwarzania Danych osobowych;
c. Podmiot przetwarzający posiada procedury przyznawania dostępu do Danych osobowych (w tym procedurę rejestracji i wyrejestrowania w celu przyznania praw dostępu) oraz rejestrowania zdarzeń związanych z działalnością użytkowników, wyjątkami i zdarzeniami dotyczącymi bezpieczeństwa informacji (porównywalne z obowiązującą normą ISO i/lub systemem certyfikacji bezpieczeństwa informacji i prywatności ROSA). Instytucja oświatowa ma możliwość okresowego sprawdzania tych rejestrów zdarzeń.
3. Strony będą dokonywać okresowej oceny podjętych środków bezpieczeństwa i ich zaostrzenia, uzupełnienia lub udoskonalenia, o ile uzasadniają to wymogi lub postęp (technologiczny).
4. W Załączniku 2 ujęto uzgodnienia poczynione przez Strony dotyczące odpowiednich technicznych i organizacyjnych środków bezpieczeństwa, jak również treści, formy i sposobu pracy oświadczeń składanych przez Podmiot przetwarzający w sprawie uzgodnionych środków bezpieczeństwa.
5. Podmiot przetwarzający umożliwi, po dokonaniu stosownych ustaleń, Instytucji oświatowej skuteczne wypełnianie swojego ustawowego obowiązku nadzorowania przestrzegania przez Podmiot przetwarzający technicznych i organizacyjnych środków bezpieczeństwa, jak również wypełniania przez niego obowiązków związanych z naruszeniem ochrony Danych osobowych, o czym jest mowa w art. 8.
6. W uzupełnieniu do poprzednich ustępów, Instytucja oświatowa jest w każdej chwili uprawniona, w porozumieniu z Podmiotem przetwarzającym i z zachowaniem rozsądnego terminu, do kontroli zgodności z obowiązującymi przepisami i regulacjami dotyczącymi Przetwarzania Danych osobowych, Umową produktu i Umową o świadczenie usług oraz niniejszą Umową powierzenia przetwarzania Danych osobowych, w tym technicznych i organizacyjnych środków bezpieczeństwa podjętych przez Podmiot przetwarzający, w drodze audytu przeprowadzonego przez niezależnego, certyfikowanego eksperta zewnętrznego:
a. Strony mogą uzgodnić w drodze wzajemnych konsultacji, że audyt zostanie przeprowadzony przez eksperta zewnętrznego, który zostanie zatrudniony przez Podmiot przetwarzający w porozumieniu z Instytucją oświatową, która wystawi deklarację zewnętrzną (TPM).
b. Sprawozdanie z audytu audytor przekazuje wyłącznie Stronom.
c. Strony uzgadniają między sobą sposób postępowania z wynikami audytu.
d. Strony mogą uzgodnić w drodze wzajemnych konsultacji, że na podstawie ważnej (między)uznanej na szczeblu krajowym certyfikacji lub równoważnych środków kontroli lub dowodów można wykorzystać już przeprowadzony audyt i wydaną na jego podstawie deklarację Podmiotu zewnętrznego. W takim przypadku Instytucja oświatowa jest informowana o wynikach audytu.
e. Strony postanawiają, że koszty tego audytu ponosi Instytucja oświatowa, chyba że audyt ujawni (poważne) usterki, które można przypisać Podmiotowi przetwarzającemu. W takim przypadku strony skonsultują się w sprawie podziału kosztów audytu.
Artykuł 8: Naruszenie ochrony Danych osobowych
1. Strony posiadają odpowiednią politykę postępowania w przypadku Naruszenia ochrony Danych osobowych.
2. Jeśli Instytucja oświatowa lub Podmiot przetwarzający stwierdzi Naruszenie ochrony Danych osobowych, to poinformuje o tym drugą Stronę, bez zbędnej zwłoki, gdy tylko dowie się o Naruszeniu ochrony Danych osobowych. W przypadku Naruszenia ochrony Danych osobowych, Podmiot przetwarzający dostarczy Instytucji oświatowej wszelkie istotne informacje dotyczące Naruszenia ochrony Danych osobowych, w tym informacje o wszelkich zmianach dotyczących Naruszenia ochrony Danych osobowych oraz o środkach podjętych przez Podmiot przetwarzający z jego strony w celu ograniczenia konsekwencji Naruszenia ochrony Danych osobowych i zapobieżenia powtórzeniu się takiej sytuacji.
3. Podmiot przetwarzający niezwłocznie informuje Instytucję edukacyjną, jeżeli istnieje podejrzenie, że Naruszenie ochrony Danych osobowych może stanowić poważne zagrożenie dla praw i wolności osób fizycznych, o których mowa w art. 34 ust. 1 RODO.
4. W przypadku Naruszenia ochrony Danych osobowych, Podmiot przetwarzający umożliwi Instytucji oświatowej podjęcie odpowiednich kroków w odniesieniu do Naruszenia ochrony Danych osobowych, lub zleci ich podjęcie. Podmiot przetwarzający musi przy tym szukać powiązania z istniejącymi procesami, które Instytucja oświatowa ustanowiła w tym celu. Strony podejmują w najkrótszym możliwym terminie wszelkie racjonalnie konieczne środki w celu zapobieżenia lub ograniczenia (dalszego) naruszenia lub naruszeń dotyczących przetwarzania Danych osobowych, a w szczególności (dalszego) naruszenia obowiązujących przepisów ustawowych i wykonawczych dotyczących przetwarzania Danych osobowych.
5. W przypadku Naruszenia ochrony Danych osobowych, Instytucja oświatowa spełni wszelkie ewentualne wymogi prawne dotyczące wypełnienia obowiązków sprawozdawczych. Jeżeli Naruszenie ochrony Danych osobowych u Podmiotu przetwarzającego dotyczy w równym stopniu więcej niż jednej Instytucji oświatowej, Podmiot przetwarzający może, po konsultacji z jednym lub większą liczbą Administratorów, powiadomić holenderski Organ ds. Danych Osobowych (Autoriteit Persoonsgegevens) o Naruszeniu ochrony Danych osobowych. Podmiot przetwarzający niezwłocznie (i w miarę możliwości przed sporządzeniem raportu) poinformuje Instytucję oświatową o swoim zamiarze.
6. Jeżeli Naruszenie ochrony Danych osobowych może stanowić poważne zagrożenie dla praw i wolności osób fizycznych, to Instytucja oświatowa poinformuje Osoby, których dane dotyczą o Naruszeniu ochrony Danych osobowych.
7. W dobrej wierze strony uzgodnią w drodze wzajemnych konsultacji rozsądny podział ewentualnych kosztów związanych z wypełnianiem obowiązków sprawozdawczych.
8. Strony dokumentują wszystkie Naruszenia ochrony Danych osobowych w rejestrze (zdarzeń), w tym fakty dotyczące naruszenia ochrony Danych osobowych, jego konsekwencji i podjętych środków naprawczych.
9. Podmiot przetwarzający informuje Instytucję oświatową o incydentach związanych z bezpieczeństwem, innych niż Naruszenie ochrony Danych osobowych, które nie są objęte zakresem art. 1 lit. e) niniejszej Umowy powierzenia przetwarzania Danych osobowych, zgodnie z porozumieniami ustanowionymi w Załączniku 2.
Artykuł 9 Wsparcie
1. Podmiot przetwarzający wspiera Instytucję oświatową w wykonywaniu jej obowiązków wynikających z RODO oraz innych mających zastosowanie przepisów i regulacji dotyczących przetwarzania Danych osobowych, w szczególności w odniesieniu do:
a. o ile to możliwe, wypełnienia przez Instytucję oświatową obowiązku przestrzegania w terminie ustawowym wniosków o dostęp, poprawienie, uzupełnienie, usunięcie lub zablokowanie danych osobowych, wynikających z praw Osoby, której dane dotyczą określonych w rozdziale III RODO;
b. przeprowadzania kontroli i audytów, o których mowa w art. 7 niniejszej Umowy powierzenia przetwarzania Danych osobowych;
c. przeprowadzenia oceny skutków w zakresie ochrony Danych osobowych (DPIA) oraz wszelkich wynikających z niej obowiązkowych uprzednich konsultacji z holenderskim Organem ds. Danych Osobowych (Autoriteit Persoonsgegevens);
d. wypełniania wniosków do holenderskiego Organu ds. Danych Osobowych (Autoriteit Persoonsgegevens) lub innego organu publicznego;
e. przygotowania, oceny i zgłaszania Naruszeń ochrony Danych osobowych, o których mowa w art. 8 niniejszej Umowy powierzenia przetwarzania Danych osobowych;
2. Podmiot przetwarzający niezwłocznie przekaże skargę lub wniosek Osoby, której dane dotyczą lub wniosek lub śledztwo holenderskiego Organu ds. Danych Osobowych (Autoriteit Persoonsgegevens) odnoszące się do Przetwarzania Danych osobowych do Instytucji oświatowej, która jest odpowiedzialna za rozpatrzenie tego wniosku, w zakresie dozwolonym przez prawo.
3. Strony nie obciążają się wzajemnie żadnymi kosztami zasadnie udzielonego wsparcia. W przypadku gdy jedna ze Stron zechce naliczyć koszty, to wcześniej poinformuje o tym drugą Stronę.
Artykuł 10: Przekazywanie do państw trzecich poza Europejski Obszar Gospodarczy
1. Podmiot przetwarzający jest uprawniony do przekazania Danych osobowych do państwa trzeciego lub organizacji międzynarodowej tylko wtedy, gdy Instytucja oświatowa udzieliła na to wyraźnej pisemnej zgody, chyba że przepis prawa UE lub prawa krajowego mającego zastosowanie do Podmiotu przetwarzającego zobowiązuje Podmiot przetwarzający do takiego przetworzenia Danych osobowych. W takim przypadku Podmiot przetwarzający poinformuje Instytucję oświatową na piśmie o tym postanowieniu przed przetworzeniem Danych osobowych, chyba że takie ustawodawstwo zakazuje takiego powiadomienia z ważnych względów interesu publicznego.
2. Jeżeli, po uzyskaniu zgody Instytucji oświatowej, dane osobowe są przekazywane krajom trzecim poza Europejskim Obszarem Gospodarczym lub organizacji międzynarodowej, o której mowa w art. 4 ust. 26 RODO, to Strony dopilnują, aby odbywało się to wyłącznie zgodnie z przepisami ustawowymi i wszelkimi obowiązkami spoczywającymi na Instytucji oświatowej w tym zakresie. Jeżeli dane są przekazywane państwu trzeciemu lub organizacji międzynarodowej, należy to wskazać w Załączniku 1 do niniejszej Umowy powierzenia przetwarzania Danych osobowych, w tym wskazać państwa, w których Dane osobowe będą przetwarzane, lub organizacje międzynarodowe, przez które Dane te będą przetwarzane. Wskazuje się również, w jaki sposób na podstawie RODO spełniono warunki przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych.
Artykuł 11: Zaangażowanie Podwykonawcy Podmiotu przetwarzającego
1. Podpisując niniejszą Umowę powierzenia przetwarzania Danych osobowych, Instytucja oświatowa upoważnia Podmiot przetwarzający do zaangażowania Podwykonawców Podmiotu przetwarzającego, których tożsamość i lokalizacyjne są zawarte w Ulotce dotyczącej prywatności.
2. W okresie obowiązywania Umowy powierzenia przetwarzania Danych osobowych Podmiot przetwarzający informuje Instytucję oświatową o każdym zamierzonym dodaniu nowego Podwykonawcy podmiotu przetwarzającego lub zmianie w składzie istniejących Podwykonawców podmiotu przetwarzającego, przy czym Instytucja oświatowa ma możliwość zgłoszenia sprzeciwu wobec tych zmian.
3. Podmiot przetwarzający nałoży na każdego Podwykonawcę podmiotu przetwarzającego, w drodze umowy lub innej czynności prawnej, co najmniej takie same obowiązki w zakresie ochrony Danych osobowych, jak obowiązki nałożone na Podmiot przetwarzający w niniejszej Umowie powierzenia przetwarzania Danych osobowych. Obejmuje to zobowiązanie do powstrzymania się od dalszego przetwarzania Danych osobowych w stopniu większym niż uzgodniono w kontekście niniejszej Umowy powierzenia przetwarzania Danych osobowych, a także zobowiązanie do przestrzegania zobowiązań do zachowania poufności, zobowiązań sprawozdawczych, współpracy i środków bezpieczeństwa w odniesieniu do przetwarzania Danych osobowych, jak określono w niniejszej Umowie powierzenia przetwarzania Danych osobowych. Na żądanie Instytucji oświatowej, Podmiot przetwarzający dostarczy kopie tych umów powierzenia przetwarzania Danych osobowych lub odpowiednich fragmentów umowy powierzenia przetwarzania Danych osobowych lub innej umowy lub innej wiążącej czynności prawnej pomiędzy Podmiotem przetwarzającym a Podwykonawcą podmiotu przetwarzającego zaangażowanym przez niego zgodnie z art. 11 ust. 1 niniejszej Umowy.
Artykuł 12: Okresy przechowywania i zniszczenie Danych osobowych
1. Instytucja oświatowa odpowiednio informuje Podmiot przetwarzający o (ustawowych) okresach przechowywania Danych osobowych, które mają zastosowanie do przetwarzania Danych osobowych przez Podmiot przetwarzający. Podmiot przetwarzający będzie przetwarzać Dane osobowe przez okres nie dłuższy niż zgodny z tymi okresami przechowywania.
2. Instytucja oświatowa zobowiązuje Podmiot przetwarzający do (zlecenia) zniszczenia Danych osobowych przetwarzanych na polecenie Instytucji oświatowej w momencie rozwiązania Umowy powierzenia przetwarzania Danych osobowych, chyba że Dane osobowe muszą być przechowywane przez dłuższy czas, w ramach (ustawowych) obowiązków lub na wniosek Instytucji oświatowej. Instytucja oświatowa może na własny koszt zlecić przeprowadzenie kontroli sprawdzającej, czy doszło do zniszczenia Danych osobowych.
3. Podmiot przetwarzający potwierdzi Instytucji oświatowej (na piśmie lub drogą elektroniczną), że przetwarzane Dane osobowe zostały zniszczone.
4. Podmiot przetwarzający poinformuje wszystkich Podwykonawców podmiotu przetwarzającego biorących udział w przetwarzaniu Danych osobowych o wypowiedzeniu Umowy powierzenia przetwarzania Danych osobowych i zagwarantuje, że wszyscy Podwykonawcy podmiotu przetwarzającego zniszczą lub spowodują zniszczenie Danych osobowych.
Artykuł 13: Odpowiedzialność
1. Strona nie może powoływać się na ograniczenie odpowiedzialności, które jest zawarte w Umowie produktu lub Umowie o świadczenie usług lub innej umowie lub uzgodnieniu istniejącym pomiędzy Stronami, w odniesieniu do działania drugiej Strony w zakresie:
a. powództwa regresowego na podstawie art. 82 RODO; lub
b. roszczenia o odszkodowanie na mocy niniejszej Umowy powierzenia przetwarzania Danych osobowych, jeżeli i w zakresie, w jakim powództwo polega na odzyskaniu grzywny zapłaconej Administratorowi, którą w całości lub w części można przypisać drugiej Stronie.
Przepisy niniejszego artykułu pozostają bez uszczerbku dla środków odwoławczych przysługujących Stronie, przeciwko której wniesiono powództwo na podstawie obowiązujących przepisów ustawowych lub wykonawczych.
2. Przepisy ust. 1 lit. b) stosuje się bez uszczerbku dla przepisów art. 14 ust. 2.
3. Każda ze Stron jest zobowiązana do niezwłocznego poinformowania drugiej Strony o (ewentualnej) odpowiedzialności lub nałożeniu grzywny przez Administratora, w obu przypadkach w związku z niniejszą Umową powierzenia przetwarzania Danych osobowych. Każda ze Stron jest w sposób uzasadniony zobowiązana do udzielenia drugiej Stronie informacji i/lub wsparcia w celu obrony przed (ewentualną) odpowiedzialnością lub karą, o których mowa w zdaniu poprzednim. Strona udzielająca informacji i/lub wsparcia ma prawo obciążyć drugą Stronę wszelkimi uzasadnionymi kosztami w tym względzie, a Strony poinformują się wzajemnie o tych kosztach z możliwie największym wyprzedzeniem.
Artykuł 14: Sprzeczność i zmiana Umowy powierzenia przetwarzania Danych osobowych
1. W przypadku sprzeczności pomiędzy postanowieniami niniejszej Umowy powierzenia przetwarzania Danych osobowych a postanowieniami Umowy produktu i Umowy o świadczenie usług, pierwszeństwo mają postanowienia niniejszej Umowy powierzenia przetwarzania Danych osobowych.
2. Jeżeli Strony muszą z powodu okoliczności odejść od artykułów Wzoru Umowy powierzenia przetwarzania Danych osobowych lub chcą je uzupełnić, to opiszą i uzasadnią te zmiany lub uzupełnienia w zestawieniu, które załącza się do niniejszej Umowy powierzenia przetwarzania Danych osobowych jako Załącznik 3. Postanowień niniejszego ustępu nie stosuje się do uzupełnień ani/lub zmian w Załączniku 1 i 2.
3. W przypadku istotnych zmian w produkcie i/lub (dodatkowych) usługach mających wpływ na przetwarzanie Danych osobowych, Instytucja oświatowa, przed zaakceptowaniem wyboru, zostanie poinformowana w zrozumiałym języku o konsekwencjach tych zmian. Istotne zmiany są w każdym przypadku rozumiane jako: dodanie lub modyfikacja funkcjonalności, która prowadzi do rozszerzenia w odniesieniu do Danych osobowych, które mają być przetwarzane, oraz celów, dla których Dane osobowe są przetwarzane. Zmiany te zostaną ujęte w Załączniku 1.
4. Zmiany artykułów Umowy powierzenia przetwarzania Danych osobowych mogą zostać uzgodnione wyłącznie wspólnie.
5. W przypadku, gdy którekolwiek z postanowień niniejszej Umowy powierzenia przetwarzania Danych osobowych jest lub stanie się nieważne, nieskuteczne lub w inny sposób niewykonalne, to pozostałe postanowienia niniejszej Umowy powierzenia przetwarzania Danych osobowych pozostaną w pełni w mocy. W takim przypadku Strony skonsultują się ze sobą w celu zastąpienia nieważnego, nieskutecznego lub w inny sposób niewykonalnego postanowienia wykonalnym postanowieniem alternatywnym. Czyniąc to, Strony w jak największym stopniu uwzględnią cel i domniemanie nieważnego, nieskutecznego lub w inny sposób niewykonalnego postanowienia.
Artykuł 15: Czas trwania Umowy i rozwiązanie Umowy
1. Okres obowiązywania Umowy powierzenia przetwarzania Danych osobowych jest równy okresowi obowiązywania Umowy produktu i Umowy o świadczenie usług zawartej pomiędzy Stronami, wraz z jej ewentualnym przedłużeniem.
2. Rozwiązanie z mocy prawa niniejszej Umowy powierzenia przetwarzania Danych osobowych następuje z chwilą rozwiązania Umowy produktu i Umowy o świadczenie usług. Rozwiązanie niniejszej Umowy powierzenia przetwarzania Danych osobowych nie zwalnia Stron z ich zobowiązań wynikających z niniejszej Umowy powierzenia przetwarzania Danych osobowych, które ze względu na swój charakter uznaje się za kontynuowane nawet po jej rozwiązaniu, w tym w każdym przypadku klauzul 5.1, 6, 9 i 12.
Uzgodniono, sporządzono w dwóch egzemplarzach i podpisano Instytucja oświatowa, Podmiot przetwarzający,
Imię i nazwisko: | Xxxx i nazwisko: | Xxxxx Xxxxxxx |
Stanowisko: | Stanowisko: | Dyrektor wykonawczy (CEO) |
Dnia: | Dnia: |
Załącznik 1: Ulotka dotycząca prywatności Załącznik 2: Załącznik dotyczący zabezpieczeń
ZAŁĄCZNIK 1: ULOTKA DOTYCZĄCA PRYWATNOŚCI SQULA W KLASIE
A. Informacje ogólne
Nazwa produktu i/lub usługi Squla w klasie
Nazwa Podmiotu przetwarzającego i dane podmiotu :
Sp. z o.o. FutureWhiz Media B.V., z siedzibą i prowadząca biuro pod adresem: (1018 TX) Xxxxxxxxx, Xxxxxxxx Xxxxx, Xxxxxxxxxxxxxxx 00. Numer w Izbie Handlowej (KvK): 32144948
Link do strony dostawcy i/lub produktu xxxxx://xxx.xxxxx.xx/xxxxxxxxxx
Krótkie objaśnienie i działanie produktu i usługi :
Dzięki Squla w klasie, uczeń może ćwiczyć treści udostępnione mu poprzez konto ucznia, składające się z nauki przez zabawę przedmiotów z edukacji podstawowej, nauczyciel może korzystać z treści udostępnionych przez jego konto nauczyciela w klasie w uzupełnieniu do programu nauczania i może uzyskać wgląd w korzystanie z usługi przez uczniów i wyniki uczniów poprzez zestawienia raporty udostępnione na ten temat.
Grupa docelowa (np. szkoła podstawowa / średnia,
poziom podstawowy/rozszerzony): poziom podstawowy i rozszerzony
Użytkownicy: uczniowie i nauczyciele
B. Opis poszczególnych usług
Opis poszczególnych usług i związanego z nimi przetwarzania Danych osobowych:
1. Operacje przetwarzania danych stanowiące integralną część oferowanej usługi.
a. Przetwarzanie Danych osobowych, w tym wykonanych ćwiczeń, daty, czasu gry i wyników ćwiczeń uczniów na potrzeby uczniów.
Squla rejestruje, które ćwiczenia wykonuje uczeń. Squla rejestruje również, na ile pytań uczeń odpowiedział poprawnie lub błędnie. Wyniki i czas trwania ćwiczeń są zapisywane tak, aby wyniki jednego ucznia były widoczne dla każdego kursu.
b. Udostępnianie Xxxxxx (osobowych) nauczycielowi za pośrednictwem konta nauczyciela.
Na koncie nauczyciela znajduje się pulpit nawigacyjny. W pulpicie nawigacyjnym nauczyciel może sprawdzić, których przedmiotów uczniowie się uczą, na które pytania uczniowie odpowiedzieli poprawnie lub błędnie, procent poprawnych odpowiedzi oraz czas, jaki uczeń spędził na ćwiczeniach.
Pulpit nawigacyjny pozwala nauczycielowi dodawać lub usuwać konta uczniów. Tworząc konto ucznia nie trzeba używać prawdziwego imienia i nazwiska ucznia; nauczyciel może również używać przydomka.
c. Tworzenie kopii zapasowej
Squla tworzy kopię zapasową swojej usługi.
d. Wykorzystywanie informacji w celu poprawy jakości usług
Squla wykorzysta informacje na temat korzystania z serwisu - takie jak liczba uczniów, o której poinformował nauczyciel, liczba wykonanych ćwiczeń oraz czas, w jakim uczniowie lub nauczyciel korzystają z serwisu - do analizy, utrzymania, zabezpieczenia i optymalizacji serwisu. Squla będzie posługiwać się wyłącznie Danymi osobowymi z zastosowaniem pseudonimizacji. Squla nie przekaże tych danych podmiotom zewnętrznym (niebędącym podmiotami przetwarzającymi), chyba że dane te są całkowicie zanonimizowane i nie można za ich pomocą zidentyfikować danej osoby (nie są to Dane osobowe).
Poniżej podajemy przykłady, jak Squla może wykorzystać te dane:
• Niestety czasami zdarza się, że Squla w klasie nie jest dostępna. Kiedy nauczyciel zgłasza to do Squla, analizujemy jego informacje o koncie. Staramy się dowiedzieć, dlaczego nie można się zalogować i na czym polega błąd. Sprawdzamy również, czy inni użytkownicy doświadczają tego problemu i staramy się ulepszyć całą Squla w klasie (i Squla).
• Prowadzimy badania nad jakością treści zawartych w Squla w klasie (i Squla). Na przykład, kiedy widzimy, jak wielu uczniów z grupy 5 błędnie odpowiada na dane pytanie, zastanawiamy się, czy pytanie to nie jest zbyt trudne, czy niejasne. Jeśli tak jest, to dostosujemy to pytanie.
• Rozpatrujemy, które treści najlepiej pasują do danego ucznia. Rozpatrując, na które pytania uczeń (i inni uczniowie o tej samej charakterystyce) odpowiada(ją) dobrze / źle, staramy się zaoferować odpowiednią treść dla ucznia.
• Monitorujemy zachowanie podczas logowania i zabawy, aby sprawdzić, czy istnieją jakieś dziwne sytuacje, które wskazują na włamanie na konto. Na przykład, jeśli stwierdzimy, że bardzo często podawane jest błędne hasło do nazwy użytkownika, to odpowiednio na to zareagujemy.
e. Automatycznie wygenerowane informacje
Aby Squla w klasie mogła działać optymalnie (na przykład, aby móc prawidłowo wyświetlać strony i zabezpieczać stronę internetową), Squla potrzebuje pewnych informacji. Dlatego też zbieramy automatycznie wygenerowane informacje o użytkowaniu witryny podczas korzystania ze Squla w klasie. Informacje te obejmują adres IP (numer komputera, który umożliwia rozpoznanie komputera), rodzaj przeglądarki (program komputerowy używany do przeglądania stron internetowych), używany system komputerowy, numer konta, odwiedzane strony i pliki cookie.
Informacje te wykorzystujemy między innymi w celu jak najściślejszego dostosowania naszych usług do życzeń użytkownika oraz w celu rozwiązywania problemów technicznych i związanych z bezpieczeństwem.
Na przykład wykorzystujemy adres IP, numer konta i strony/pliki cookie do wyszukiwania nietypowych sytuacji lub w celu zablokowania prób włamania. Na przykład, jeśli nagle stwierdzimy użycie danego konta w wielu konfiguracjach, możemy coś z tym zrobić.
Korzystamy z danych przeglądarki i systemu komputerowego, aby sprawdzić ile osób korzysta z danej konfiguracji i odpowiednio dopasowujemy platformę. Ponadto informacje te pomagają „debugować" problemy (rozwiązywać je), dzięki czemu możemy dokładnie zobaczyć, w jakiej sytuacji powstały problemy.
Opis opcjonalnego Przetwarzania danych oferowanego przez Podmiot przetwarzający: Brak
C. Cele przetwarzania Danych osobowych
Podmiot przetwarzający jest dostawcą produktu cyfrowego i/lub usługi cyfrowej składającej się z materiałów edukacyjnych i/lub testów.
W kontekście tych produktów i usług zastosowanie mają następujące cele przetwarzania Danych osobowych:
1. wykorzystanie Cyfrowych zasobów edukacyjnych do zapewnienia wsparcia w zakresie edukacji i prowadzenia procesu kształcenia Uczniów, w tym:
• przechowywanie wyników nauki i testów;
• odbiór wyników kształcenia i testów przez Instytucję oświatową;
• analiza i interpretacja efektów nauki;
• możliwość wymiany wyników kształcenia i testów między Cyfrowymi zasobami edukacyjnymi.
b. uzyskanie dostępu do oferowanych Cyfrowych zasobów edukacyjnych oraz do zewnętrznych systemów informacyjnych, w tym identyfikacji, uwierzytelniania i autoryzacji;
c. bezpieczeństwo, kontrola i zapobieganie nadużyciom i niewłaściwemu wykorzystaniu oraz zapobieganie niespójności i niewiarygodności Danych osobowych przetwarzanych za pomocą Cyfrowych środków edukacyjnych;
d. ciągłość i prawidłowe funkcjonowanie Cyfrowych środków edukacyjnych zgodnie z umowami zawartymi pomiędzy Instytucją oświatową a Dostawcą, w tym prowadzenie konserwacji, wykonywanie kopii zapasowych, wprowadzanie usprawnień po stwierdzonych błędach lub nieścisłościach oraz uzyskanie wsparcia;
e. badania i analizy na podstawie ścisłych warunków, porównywalnych z istniejącymi kodeksami postępowania w dziedzinie badań i statystyki, na rzecz (optymalizacji) procesu uczenia się lub polityki Instytucji oświatowej;
f. możliwość udostępnienia przez Instytucję oświatową całkowicie anonimowych danych osobowych do celów badawczych i analitycznych w celu poprawy jakości edukacji;
g. udostępnianie Danych osobowych w zakresie niezbędnym do zapewnienia zgodności z wymogami prawnymi dotyczącymi Cyfrowych zasobów edukacyjnych;
h. Wdrożenie lub stosowanie innej ustawy.
D. Kategorie i rodzaje Danych osobowych
1. Opis kategorii Osób, których dane dotyczą, a także kategorii Danych osobowych Osób, których dane dotyczą:
Nadawca Zastosowanie | Kategoria | Objaśnienie |
Dane kontaktowe | Xxxx, nazwisko i adres e-mail nauczyciela. Dodatkowo nauczyciel powinien wprowadzić hasło, aby zalogować się do Squla w klasie. | |
Numer uczestnika kształcenia | Grupa i numer BRIN Instytucji oświatowej | |
Przydomek | Przydomek, który nauczyciel wypełnia dla ucznia. |
Postępy w nauce | Dane dotyczące charakteru i sposobu wykorzystania Squla w klasie, tj.: • Grupa • Wykonane ćwiczenia, data, czas trwania ćwiczeń (na ćwiczenie, łącznie) • Wyniki nauki (procent poprawnych odpowiedzi) • Sporządzanie (cotygodniowych) raportów dla każdej klasy. |
3. Określone okresy przechowywania Danych osobowych, które mają być stosowane przez Podmiot przetwarzający (lub kryteria oceny w celu ich ustalenia):
Squla przechowuje Dane osobowe tak długo, jak długo nauczyciel używa Squla w klasie. Jeśli na koncie nauczyciela i studenta wystąpi rok braku aktywności, to Squla zadba, aby te Dane osobowe zostały zanonimizowane (nie były Danymi osobowymi) lub usunięte.
E. Przechowywanie Przetwarzania Danych osobowych:
Miejsce/państwo przechowywania i Przetwarzania Danych osobowych:
Irlandia
F. Podwykonawcy Podmiotu przetwarzającego
Podpisując Umowę powierzenia przetwarzania Danych osobowych, Instytucja oświatowa udziela Podmiotowi przetwarzającemu ogólnej pisemnej zgody na współpracę z Podwykonawcą Podmiotu przetwarzającego. Podmiot przetwarzający ma prawo do korzystania z innych Podwykonawców Podmiotu przetwarzającego, pod warunkiem, że Instytucja oświatowa zostanie o tym uprzednio powiadomiona, a Instytucja oświatowa może sprzeciwić się temu w rozsądnym terminie.
W momencie zawarcia umowy z Podmiotem przetwarzającym, Podmiot przetwarzający korzysta z następujących Podwykonawców Podmiotu przetwarzającego:
Mailchimp, Mandrill i Xxxxxxxx.xx.
Squla używa tych Podwykonawców Podmiotu przetwarzającego do wysyłania biuletynu i informacji o podobnych usługach własnych Squla oraz do wysyłania informacji na temat użytkownika, raportów, wiadomości serwisowych i innych wiadomości elektronicznych.
Dane zostaną przekazane do Stanów Zjednoczonych w celu korzystania z usług Mailchimp, Mandrill i Xxxxxxxx.xx. Squla zagwarantowała odpowiedni poziom ochrony dla tego procesu przetwarzania.
Podpisane zostały klauzule wzorcowe UE.
AWS
Do celów hostingowych Squla korzysta z usług chmury AWS. Dane holenderskie są przechowywane w Irlandii. Podpisane zostały klauzule wzorcowe UE.
Amplitude
Squla używa Amplitude do analizy swojej usługi Squla w klasie (i Squla). Dane zostaną przekazane do Stanów Zjednoczonych w celu korzystania z usługi Amplitude. Squla zagwarantowała odpowiedni poziom ochrony dla tego procesu przetwarzania. Podpisane zostały klauzule wzorcowe UE.
Squla używa Google do analizy swojej usługi Squla w klasie (i Squla).
ContactCare i Zendesk
Jeśli nauczyciel ma pytania lub skargi, to może skontaktować się z działem obsługi klienta. Korzystamy przy tym z usług ContactCare i Zendesk.
G. Dane kontaktowe
W razie pytań lub uwag dotyczących niniejszej ulotki, działania produktu lub usługi, prosimy o kontakt z xxxxxxxxxxxxxx@xxxxx.xxx.
G. Wersja
Wersja 3, 3 maja 2018
Niniejsza Ulotka dotycząca prywatności stanowi część ustaleń zawartych w Porozumieniu odnośnie cyfrowych zasobach edukacyjnych i prywatności 3.0, z inicjatywy holenderskiej Rady szkolnictwa podstawowego (PO-Raad), holenderskiej Rady szkolnictwa ponadpodstawowego (VO-Raad), holenderskiej Rady na rzecz szkolnictwa zawodowego na poziomie średnim (MBO-Raad), różnych zainteresowanych stron powiązanych (grupę wydawnictw edukacyjnych (GEU), branżowy związek dystrybutorów w łańcuchu edukacyjnym (KBb-E) i branżowy związek dostawców cyfrowych usług edukacyjnych( VDOD)) oraz Ministerstwa Edukacji, Kultury i Nauki. Więcej informacji można znaleźć tutaj: xxxx://xxx.xxxxxxxxxxxxxxxx.xx.
ZAŁĄCZNIK 2: ZAŁĄCZNIK DOTYCZĄCY ZABEZPIECZEŃ
Zgodnie z RODO oraz art. 7 i 8 Wzoru umowy powierzenia przetwarzania Danych osobowych, Podmiot przetwarzający zobowiązany jest do podjęcia odpowiednich środków technicznych i organizacyjnych w celu ochrony Przetwarzania Danych osobowych oraz wykazania tych środków. Niniejszy załącznik zawiera zwięzły opis i wykaz tych środków.
Minimalne środki bezpieczeństwa określone w art. 32 RODO
x.Xxxxxxx przetwarzający posiada odpowiednią politykę w zakresie bezpieczeństwa Przetwarzania Danych osobowych, zgodnie z którą jest ona okresowo oceniana i w razie potrzeby dostosowywana;
ii.Podmiot przetwarzający zaklasyfikował przetwarzane Dane osobowe pod względem dostępności, integralności i poufności, a w oparciu o tę klasyfikację wdrożył środki bezpieczeństwa w celu zmniejszenia zagrożeń dla przetwarzania Danych osobowych;
iii.Podmiot przetwarzający podejmuje środki w celu zapewnienia, że poprzez system autoryzacji jedynie upoważnieni pracownicy mogą uzyskać dostęp do przetwarzania Danych osobowych w ramach Umowy powierzenia przetwarzania Danych osobowych. Podmiot przetwarzający ustanowił i udostępnił Instytucji oświatowej procedury identyfikacji, autoryzacji i uwierzytelniania pracowników, a także zgłaszania, rejestracji i wyrejestrowywania pracowników;
a. Dane osobowe są przechowywane w internetowej bazie danych. Dostęp do tych danych jest chroniony hasłem. Tylko kierownictwo, deweloperzy, właściciele produktów i starsi pracownicy obsługi klienta mają dostęp do (części) internetowej bazy danych. Z Danymi osobowymi będą oni wykonywać następujące czynności:
i.Usuwanie błędów, ulepszanie platformy.
ii.Rozwiązywanie problemów i prośby o zmiany dla indywidualnych kont zgłaszane przez Dział Obsługi Klienta.
iii.Analiza danych i sprawozdawczość na poziomie zagregowanym, na przykład:
1. Ilu nowych uczniów zostało zarejestrowanych w ciągu ostatniego tygodnia?
2. Jakie przedmioty są popularne w grupie 4 w Holandii?
iv.Podmiot przetwarzający zadba, aby dostęp do produktu lub usługi był chroniony przez odpowiednią, najnowocześniejszą politykę haseł;
. Squla wyznaczyła w tym celu menedżera haseł.
v.Podmiot przetwarzający posiada procedury przyznawania dostępu do Danych osobowych (w tym procedurę rejestracji i wyrejestrowania w celu przyznania praw dostępu) oraz rejestrowania zdarzeń związanych z działalnością użytkowników, wyjątkami i zdarzeniami dotyczącymi bezpieczeństwa informacji (porównywalne z obowiązującą normą ISO i/lub systemem certyfikacji bezpieczeństwa informacji i prywatności ROSA). Instytucja oświatowa ma możliwość okresowego sprawdzania tych rejestrów zdarzeń;
. Dostęp do danych mają wyłącznie upoważnieni pracownicy;
a. Przechowywana jest minimalna ilość danych uczniów. Na przykład, nauczyciel może zdecydować się na nazwanie ucznia „uczeń1" na potrzeby wyświetlania w jego pulpicie nawigacyjnym i ustawić przydomek
„tygrys23" jako nazwę logowania ucznia, tak aby w przypadku bezprawnego ujawnienia nie można było powiązać danych bezpośrednio z osobami fizycznymi.
b. Replikacja bazy danych do bazy danych „slave".
c. Dostęp do narzędzi administracyjnych jest zabezpieczony autoryzacją OAUTH2.
d. Dostęp do narzędzi zarządzania danymi możliwy jest tylko z określonych adresów IP lub poprzez połączenie VPN.
e. Transport danych odbywa się poprzez bezpieczne połączenia (HTTPS).
vi.Podmiot przetwarzający podjął środki w celu ochrony Danych osobowych przed ryzykiem przetwarzania, w szczególności w wyniku przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do danych przekazywanych, przechowywanych lub w inny sposób przetwarzanych.
. Różne narzędzia stale monitorują ruch, identyfikując „obce" żądania, które mogłyby wskazywać na włamanie.
a. Ograniczenie prędkości, New Relic (wyjątki), Loggly (dzienniki błędów)
b. Podczas weryfikacji kodu wewnętrznego (peer) stale zwraca się uwagę na możliwe słabe punkty.
vii.Podmiot przetwarzający wykorzystuje (między)narodowe normy bezpieczeństwa w celu zapewnienia bezpieczeństwa przetwarzania Danych osobowych;
viii.Podmiot przetwarzający podjął działania mające na celu identyfikację słabych punktów w zakresie Przetwarzania Danych osobowych w systemach wykorzystywanych do świadczenia usług dla Instytucji oświatowej.
. Squla ocenia podjęte środki w odniesieniu do norm i standardów bezpieczeństwa informacji. Squla regularnie przeprowadza kontrole bezpieczeństwa przez stronę zewnętrzną (Computest). Computest działa z systemem Common Vulnerability Scoring System (CVSS) w wersji 2.
Zdarzenia naruszające bezpieczeństwo i/lub naruszenia ochrony Danych osobowych:
W przypadku (podejrzenia) zajścia zdarzenia naruszającego bezpieczeństwo i/lub naruszenia ochrony Danych osobowych Instytucja oświatowa może przesłać zgłoszenie na adres: xxxxxxxxxxxxxx@xxxxx.xx.
Osobą kontaktową dla Podmiotu przetwarzającego jest: osoba kontaktowa wymieniona w formularzu rejestracyjnym.
Informowanie o naruszeniu ochrony Danych osobowych lub zdarzeniach naruszających bezpieczeństwo
Stosuje się procedurę przekazywania informacji w przypadku naruszenia ochrony Danych osobowych i/lub zdarzeń naruszających bezpieczeństwo oraz zawiera się w niej co najmniej poniższe elementy:
• Sposób monitorowania i identyfikowania zdarzeń,
• Sposób udostępniania informacji:
• W jaki sposób (e-mailem, telefonicznie);
• Do kogo (osoby kontaktowe i dane kontaktowe);
• Z kim można się skontaktować (w celu podjęcia dalszych działań).
• Informacje na temat zdarzenia, które muszą być w każdym przypadku udostępniane
• Charakterystyka zdarzenia, taka jak: data i godzina wykrycia, podsumowanie zdarzenia, charakterystyka i charakter zdarzenia (o jaką część bezpieczeństwa chodzi, jak do niego doszło, czy odnosi się do odczytu, kopiowania, zmieniania, usuwania/zniszczenia i/lub kradzieży Danych osobowych);
• Przyczyna zdarzenia naruszającego bezpieczeństwo;
• Środki podjęte w celu zapobieżenia ewentualnym/dodatkowym szkodom;
• Ustalenie Osób, których dane dotyczą, a które mogą zostać poszkodowane w wyniku zdarzenia, oraz wskazanie zakresu, w jakim zdarzenie może mieć miejsce;
• Wielkość grupy Osób, których dane dotyczą;
• Rodzaj danych, których dotyczy zdarzenie (w szczególności dane specjalne lub dane szczególnie chronione, w tym dane dotyczące dostępu lub identyfikacji, dane finansowe lub wyniki w nauce).
• Ewentualne ustalenia co do tego, czy, a jeśli tak, to w jaki sposób, Podmiot przetwarzający może powiadomić holenderski Organ ds. Danych Osobowych (Autoriteit Persoonsgegevens).
Wersja 3 3 maja 2018
Niniejszy Załącznik dotyczący zabezpieczeń stanowi część ustaleń zawartych w Porozumieniu odnośnie cyfrowych zasobach edukacyjnych i prywatności 3.0, z inicjatywy holenderskiej Rady szkolnictwa podstawowego (PO-Raad), holenderskiej Rady szkolnictwa ponadpodstawowego (VO-Raad), holenderskiej Rady na rzecz szkolnictwa zawodowego na poziomie średnim (MBO-Raad), różnych zainteresowanych stron powiązanych (grupę wydawnictw edukacyjnych (GEU), branżowy związek dystrybutorów w łańcuchu edukacyjnym (KBb-E) i branżowy związek dostawców cyfrowych usług edukacyjnych( VDOD)) oraz Ministerstwa Edukacji, Kultury i Nauki. Więcej informacji można znaleźć tutaj: xxxx://xxx.xxxxxxxxxxxxxxxx.xx.