Umowa

Umowa

o powierzeniu przetwarzania danych osobowych (dalej: Umowa)

zawarta dnia w Warszawie pomiędzy:

…………………………………………………………………………………………………………………………………………………………………

………………………………………………………………………………………………………………………………………………………………..

……………………………………………………………………………………………..…………………………………………………………………. zwaną w dalszej części Umowy

„Administratorem”, reprezentowaną przez:

………………………………………………………………………. – …………………………………………………………………………………… oraz

Nowa Era spółka z ograniczoną odpowiedzialnością, z siedzibą w Warszawie, Xxxxx Xxxxxxxxxxxxx 000X, 00-000 Xxxxxxxx,

wpisaną do rejestru przedsiębiorstw Krajowego Rejestru Sądowego, prowadzonego przez Sąd Rejonowy dla x.xx. Warszawy w Warszawie, XII Wydział Gospodarczy Krajowego Rejestru Sądowego, KRS 0000031950, NIP 000-00-00-000, kapitał zakładowy 627 900 zł, zwaną w dalszej części Porozumienia „Podmiotem przetwarzającym”, reprezentowanym przez:

Xxxxxxx Xxxxx – Dyrektor ds. Obsługi Klienta.

§ 1

Powierzenie przetwarzania danych osobowych

1. W związku z korzystaniem z usług świadczonych drogą elektroniczną przez Podmiot przetwarzający na rzecz Administratora w modelu Saas, takich jak portale diagnostyczne, w szczególności xxxxxxxx.xxxxxxx.xx, zgodnie z zaakceptowanymi przez Administratora regulaminami świadczenia usług drogą elektroniczną (dalej: Usługa), Podmiot przetwarzający będzie przetwarzał w imieniu Administratora następujące dane osobowe:

1) dane osobowe uczniów, w zakresie takich informacji, jak: symbol, imię, nazwisko, miejsce nauki, klasa, wyniki testów, informacje o dysleksji.

2) dane osobowe nauczycieli: imię i nazwisko, zawód, miejsce zatrudnienia, przedmiot nauczania, login, adres IP

2. Podmiot przetwarzający będzie przetwarzał dane w zakresie obowiązujących i zaakceptowanych w danym czasie regulaminów dotyczących korzystania przez Administratora z określonych usług w czasie ich obowiązywania

i w odniesieniu do danych powierzonych w ramach aktualnie realizowanej usługi.

3. Zakres danych osobowych wymienionych w ust. 1 jest maksymalnym katalogiem danych, które mogą być przetwarzane w związku z realizacją Usługi. W rzeczywistości dane mogą być przekazywane przez Administratora w mniejszym zakresie bez uszczerbku dla postanowień Umowy i będą określane danym regulaminem świadczenia usług dotyczącym konkretnej usługi w związku z którą następuje powierzenie. Zakres danych może ulec zmianie w przypadku zmiany aktualnie obowiązujących przepisów prawa.

4. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone dane osobowe zgodnie z poleceniem Administratora, przestrzegając:

1) postanowień Umowy,

2) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku

z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: Rozporządzenie).

5. Administrator oświadcza, że jest Administratorem danych oraz, że jest uprawniony do ich przetwarzania w zakresie, w jakim powierzył je Podmiotowi przetwarzającemu.

6. Podmiot przetwarzający oświadcza, że w ramach prowadzonej działalności profesjonalnie zajmuje się przetwarzaniem danych osobowych objętych Umową, posiada w tym zakresie niezbędną wiedzę, odpowiednie środki techniczne

i organizacyjne oraz daje rękojmię należytego wykonania postanowień Umowy.

7. Poprzez zawarcie Umowy Administrator poleca przetwarzanie danych osobowych Podmiotowi przetwarzającemu, a także każdej osobie działającej z upoważnienia Podmiotu przetwarzającego mającej dostęp do danych osobowych, co stanowi udokumentowane polecenie w rozumieniu art. 28 ust. 3 lit. a) w zw. z art. 29 RODO.

§ 2

Charakter i cel przetwarzania danych

1. Administrator upoważnia Podmiot przetwarzający do przetwarzania w jego imieniu danych osobowych w celu i zakresie niezbędnym i koniecznym do realizacji Usługi, w szczególności obejmującym takie operacje jak rejestrowanie, utrwalanie, aktualizowanie, przechowywanie, archiwizowanie, usuwanie, wykonywane w sposób zautomatyzowany za pośrednictwem systemów informatycznych dostarczających Usługę.

2. Charakter przetwarzania danych wynika z Usługi. W szczególności określony jest rolą Podmiotu przetwarzającego jako podmiotu dostarczającego produkty i usługi dostępne on–line, w modelu Saas, za pośrednictwem portali, z których aktualnie korzysta Administrator, zgodnie z zaakceptowanymi regulaminami świadczeń usług drogą elektroniczną.

3. Przetwarzanie danych osobowych będzie dotyczyć następujących kategorii osób:

1) pracownicy Administratora,

2) uczniowie Administratora,

§ 3

Obowiązki Podmiotu przetwarzającego

1. Podmiot przetwarzający zobowiązuje się:

1) przy przetwarzaniu powierzonych danych osobowych na podstawie Umowy, zabezpieczyć je poprzez stosowanie odpowiednich środków technicznych i organizacyjnych, zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia,

2) nadać upoważnienia do przetwarzania danych osobowych wskazanych w § 1 ust. 1 Umowy wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji Usługi i Umowy,

3) prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych,

4) udostępniać Administratorowi na jego żądanie informacje niezbędne do wykazania spełnienia obowiązków wskazanych w przepisach RODO, dotyczących powierzonych danych,

5) zapewnić zachowanie w tajemnicy przetwarzanych danych oraz sposobów ich zabezpieczenia przez osoby, które posiadają upoważnienia do przetwarzania danych osobowych w celu realizacji Usługi lub Umowy, zarówno w trakcie zatrudnienia lub współpracy z Podmiotem przetwarzającym jak i po ustaniu zatrudnienia lub współpracy,

6) dokumentować wszelkie naruszenia ochrony danych w tym ich okoliczności, skutki oraz podjęte działania zaradcze.

2. Podmiot przetwarzający pomaga Administratorowi:

1) w miarę swoich możliwości, poprzez odpowiednie środki techniczne i organizacyjne, wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych

w rozdziale III Rozporządzenia (Prawa osoby, której dane dotyczą),

2) w wywiązywaniu się z obowiązków określonych w art. 32-36 Rozporządzenia, w szczególności w przypadku stwierdzenia naruszenia zasad ochrony i przetwarzania powierzonych danych osobowych na podstawie Umowy, zgłasza je Administratorowi za pośrednictwem osób wskazanych w § 9 ust. 2 Umowy niezwłocznie, jednak nie później niż w terminie 24 godzin od chwili stwierdzenia naruszenia.

3. Podmiot przetwarzający po zakończeniu korzystania z Usługi, nie później niż w ciągu 30 dni, przez co Strony rozumieją:

1) zaprzestanie świadczenia Usługi przez Podmiot przetwarzający zgodnie z obowiązującymi w tym zakresie regulaminami usług elektronicznych, lub

2) poinformowanie Podmiotu przetwarzającego o całkowitym zaprzestaniu korzystania przez Administratora z Usługi przez osobę wskazaną w § 9 ust. 2 ze strony Administratora, lub

3) upływ okresu 5 lat od ostatniej aktywności na koncie Administratora, po uprzednim poinformowaniu Administratora, w sposób przewidziany w § 9 ust. 2 lub na adres mailowy siedziby Administratora,

jest zobowiązany do usunięcia lub zwrotu Administratorowi powierzonych danych osobowych, o ile przepis prawa powszechnie obowiązującego nie stanowi inaczej.

§ 4

Prawo do kontroli

1. Administrator ma prawo kontroli, czy środki zastosowane przez Podmiot przetwarzający przy przetwarzaniu danych spełniają postanowienia Umowy i Rozporządzenia.

2. Podmiot przetwarzający na każdy pisemny wniosek Administratora zobowiązany jest do udzielenia informacji dotyczących przetwarzania powierzonych mu danych osobowych w terminie 14 dni od dnia otrzymania takiego wniosku.

3. Administrator ma prawo do weryfikacji sposobu przetwarzania danych osobowych wskazanych w § 1 ust. 1 Umowy, w sposób każdorazowo ustalony przez Strony, po zgłoszeniu zamiaru takiej weryfikacji przez Administratora

z wyprzedzeniem minimum 14 dni.

4. Podmiot przetwarzający udostępni Administratorowi informacje niezbędne do wykazania spełnienia obowiązku określonego w art. 28 Rozporządzenia.

5. Po stwierdzeniu przez Administratora naruszeń Umowy Podmiot przetwarzający jest zobowiązany do ich usunięcia w terminie i w sposób ustalony pomiędzy Stronami.

§5

Podpowierzenie

1. Administrator upoważnia Podmiot przetwarzający do dalszego powierzania wskazanych w § 1 ust. 1 Umowy danych osobowych w celu niezbędnym do wykonania Usługi lub postanowień Umowy, podmiotom będącym podwykonawcami Podmiotu przetwarzającego.

2. Podmiot przetwarzający przedstawi Administratorowi listę podmiotów działających na rzecz Podmiotu przetwarzającego przy realizacji wykonania Usługi, uprawnionych w zakresie przetwarzania i dostępu do danych na adres e-mail Administratora podany w § 9. Lista będzie zawierać informacje o podmiocie takie jak firma, siedziba, a także lokalizację przetwarzania i opis czynności przetwarzania. Brak wyrażonego sprzeciwu w ciągu 14 dni roboczych od daty otrzymania listy podmiotów uznaje się jako zaakceptowaną przez Administratora. Podpowierzenie przetwarzania przez Podmiot przetwarzający innemu podmiotowi wymaga formy pisemnej lub zastosowania standardowych klauzul umownych.

W okresie obowiązywania Umowy Strony, w razie potrzeby i w rozsądnym terminie po zmianie, będą informacje z listy aktualizować.

3. Podmiot przetwarzający jest zobowiązany do zapewnienia, że podmioty wskazane w ust. 1 spełniają takie same wymagania i obowiązki ochrony danych osobowych, jak Podmiot przetwarzający, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków organizacyjnych i technicznych, aby przetwarzanie odpowiadało wymogom aktualnie obowiązujących przepisów prawa w zakresie ochrony danych osobowych.

4. Podmiot przetwarzający ponosi odpowiedzialność wobec Administratora za naruszenie postanowień Umowy przez podmioty wskazane w ust. 1.

§ 6

Odpowiedzialność

1. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią Umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.

2. Podmiot przetwarzający jest zobowiązany do niezwłocznego poinformowania Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania powierzonych danych osobowych oraz o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczących powierzonych na podstawie Umowy danych osobowych oraz planowanych kontrolach w zakresie ochrony danych osobowych.

3. W przypadku jakichkolwiek roszczeń strony trzeciej Podmiot przetwarzający poinformuje Administratora o wystąpieniu takiego roszczenia niezwłocznie nie później niż w ciągu 7 dni od momentu, w którym posiadł informację na temat wystąpienia roszczenia strony trzeciej.

§ 7

Czas obowiązywania umowy

1. Umowa obowiązuje przez okres korzystania z Usługi i do czasu jej zakończenia.

2. W każdym wypadku Umowa przestaje wiązać odpowiednio Strony z dniem, z którym przestają być związane postanowieniami regulaminów lub umów dotyczących korzystania z Usługi, jednak nie wcześniej niż po upływie 30 dni od zakończenia korzystania z Usługi.

§ 8

Poufność

1. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich danych osobowych otrzymanych od Administratora i od współpracujących z nim osób oraz uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).

2. Podmiot przetwarzający oświadcza, że z zastrzeżeniem § 5 Umowy, w związku z zobowiązaniem do zachowania

w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora w innym celu niż wykonanie Usługi lub Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.

3. Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych poufnych gwarantowały zabezpieczenie danych poufnych, w tym w szczególności danych osobowych powierzonych do przetwarzania, przed dostępem osób trzecich nieupoważnionych do zapoznania się z ich treścią.

§ 9

Postanowienia końcowe

1. Umowa zastępuje dotychczasowe regulacje w zakresie powierzenia danych osobowych w związku z realizacją Usługi.

2. Strony postanawiają, że osobami odpowiedzialnymi za realizację postanowień Umowy, w tym uprawnionymi do kontaktu w zakresie realizacji praw osób, których dane dotyczą oraz obowiązków wynikających z Umowy jest:

a) ze strony Administratora - ………………………………………………………… e-mail ……………………………………………………………

b) ze strony Podmiotu przetwarzającego– Xxxxx Xxxxxxxxx, e-mail: x.xxxxxxxxx@xxxxxxx.xx; Xxx Xxxxxxxxx, e-mail: x.xxxxxxxxx@xxxxxxx.xx.

3. Administrator wyznaczył IOD, z którym kontakt możliwy jest pod adresem e-mail ………………………………………………………………

4. Podmiot przetwarzający wyznaczył IOD, z którym kontakt możliwy jest pod adresem e-mail: xxxxxxxxxxxxxx@xxxxxxx.xx.

5. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach.

6. Sądem właściwym dla rozpatrywania sporów jest sąd właściwy dla siedziby Podmiotu przetwarzającego.

Administrator Podmiot przetwarzający