Umowa powierzenia przetwarzania danych
Niniejsza Umowa powierzenia przetwarzania danych zostaje zawarta pomiędzy EasyLMS B.V. („Procesor”) a jej klientami (klient jest „Administratorem”), dla których przetwarza dane osobowe jako podmiot przetwarzający;
Każdy z osobna zwany jest dalej „Stroną”, a łącznie „Stronami”;
Podstawowe założenia:
A. Niniejsza Umowa powierzenia przetwarzania danych stanowi integralną część Warunków użytkowania Easy LMS („Warunki”), a także umowy pomiędzy Procesorem a Administratorem w odniesieniu do systemu zarządzania nauczaniem online oferowanego Administratorowi przez Procesora ( „Usługa(-i)");
B. Aby Administrator i jego uczestnicy mogli korzystać z Usług, Procesor musi przetwarzać dane osobowe („Dane Osobowe”) pracowników Administratora i/lub innych uczestników (łącznie zwanych jako „Podmioty Danych”), którzy korzystają z treści utworzonych przez Administratora
w Usługach;
C. Kategorie Danych Osobowych, a także inne szczegóły dotyczące przetwarzania Danych Osobowych zostały opisane w Załączniku nr 1
do niniejszej Umowy powierzenia przetwarzania danych;
D. Do przetwarzania Danych Osobowych ma zastosowanie ogólne rozporządzenie o ochronie danych (ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r.
w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, które uchyla Dyrektywę 95/46/WE), („RODO”);
E. Na podstawie RODO Strony zobowiązane są do zawarcia niniejszej Umowy powierzenia przetwarzania danych.
1. Definicje
1.1. Oprócz zdefiniowanych powyżej terminów pisanych wielką literą, następujące terminy pisane wielką literą mają następujące znaczenie:
1.2. „OOD”: właściwy organ ochrony danych.
1.3. „EOG”: Europejski Obszar Gospodarczy.
1.4. „Naruszenie Ochrony Danych Osobowych”: naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub dostępu do Danych Osobowych.
1.5. „Przetwarzanie”: czynności przetwarzania Danych Osobowych
w rozumieniu RODO, w tym między innymi ich przechowywanie, przeglądanie, podział, usuwanie, zmienianie, przesyłanie.
1.6. „Załącznik”: załącznik do niniejszej Umowy powierzenia przetwarzania danych.
1.7. „Umowa o Świadczenie Usług”: umowa, na podstawie której świadczone są Usługi, która może składać się z Warunków i/lub innego rodzaju umowy.
1.8. „Subrocesor”: strona trzecia, której Procesor zleca podwykonawstwo Przetwarzania Danych Osobowych w całości lub w części.
2. Obowiązki ogólne
2.1. W odniesieniu do Danych Osobowych Procesor podejmuje odpowiednie środki techniczne i organizacyjne, mające na celu zapewnić zgodność
z RODO oraz ochronę praw Podmiotów Danych.
2.2. Administrator oświadcza, że przestrzega RODO w zakresie Danych Osobowych Przetwarzanych przez Procesora. Obowiązkiem Administratora jest przestrzeganie obowiązujących przepisów dotyczących danych osobowych w odniesieniu do Danych Osobowych tworzonych w ramach Usługi lub przesyłanych do niej. Obejmuje to między innymi posiadanie podstawy prawnej do Przetwarzania Danych Osobowych (np. ważną zgodę, jeśli jest wymagana), informowanie Podmiotów Danych o przetwarzaniu ich Danych Osobowych i upewnianie się, że Podmioty Danych są w wieku ustawowym umożliwiającym przesłanie ich Danych Osobowych, jeśli ma to zastosowanie.
3. Przetwarzanie wyłącznie zgodnie z instrukcjami Administratora
3.1. Celem Przetwarzania przez Procesora jest umożliwienie Procesorowi świadczenia Usług.
3.2. Procesor będzie przetwarzał Dane Osobowe wyłącznie na podstawie pisemnych instrukcji Administratora, które stanowią czynności Przetwarzania określone w Załączniku nr 1, lub zgodnie z uzasadnionymi instrukcjami Administratora wydanymi przez niego na piśmie (również za pomocą poczty e-mail). Procesor będzie przetwarzał Dane Osobowe poza instrukcjami Administratora wyłącznie wtedy, gdy będzie to wymagane
w celu wywiązania się ze stosownego obowiązku prawnego. W takim przypadku ma zastosowanie artykuł 3.3 poniżej.
3.3. W przypadku gdy Procesor zostanie zobowiązany na mocy prawa europejskiego do ujawnienia jakichkolwiek Danych Osobowych, Procesor niezwłocznie powiadomi Administratora o konieczności spełnienia odpowiedniego wymogu prawnego, chyba że wymóg prawny zabrania Procesorowi takiego powiadomienia z ważnych przyczyn związanych
z interesem publicznym. Jeżeli Procesor nie jest związany zakazem powiadamiania Administratora, Procesor powstrzyma się od ujawnienia jakichkolwiek Danych Osobowych do czasu podjęcia przez Administratora kroków w celu uzyskania nakazu zabezpieczającego lub innego odpowiedniego środka zaradczego. Jeżeli taki nakaz ochronny nie zostanie uzyskany, Procesor przekaże wyłącznie te Dane Osobowe, które są wymagane przez Administratora na podstawie jego pisemnego powiadomienia lub, w przypadku nie otrzymania takiego powiadomienia
w określonym terminie, Procesor przekaże takie Dane Osobowe, które są od niego wymagane przez prawo.
3.4. Procesor zawiadomi Administratora, jeżeli uzna, że instrukcja Administratora narusza RODO. W takim przypadku Procesor nie będzie zobowiązany zastosować się do tej instrukcji.
4. Pomoc dla Administratora
4.1. Procesor zapewni pomoc, o którą zasadnie zwróci się Administrator, aby:
(i) wziąć pod uwagę charakter Przetwarzania, w miarę możliwości wspomagać Administratora za pomocą odpowiednich środków technicznych i organizacyjnych w celu wywiązania się z obowiązków Administratora w zakresie odpowiadania na żądania Podmiotów Danych
w zakresie realizacji ich praw, o ile Procesor może to faktycznie zrobić
w świetle świadczonych Usług. W przypadku gdy Procesor otrzyma żądanie od Podmiotu Danych, przekaże je Administratorowi, który zajmie się tym żądaniem;
(ii) ze względu na charakter Przetwarzania i informacje dostępne Procesorowi pomóc Administratorowi w wypełnianiu obowiązków Administratora związanych z bezpieczeństwem, powiadamianiem
o naruszeniach Danych Osobowych (patrz artykuł 5.4), dochodzeniami prowadzonymi przez organy ochrony danych, przeprowadzaniem ocen skutków ochrony danych oraz ewentualnej wcześniejszej konsultacji, jeśli taka jest wymagana.
5. Środki bezpieczeństwa i Naruszenia Ochrony Danych Osobowych
5.1. Uwzględniając stan wiedzy, koszty wdrożenia oraz charakter, zakres, kontekst i cele Przetwarzania, a także różne podobieństwo i zakres ryzyka naruszenia praw i wolności osób fizycznych, Procesor wdraża odpowiednie rozwiązania techniczne i organizacyjne, które mają na celu zapewnić poziom bezpieczeństwa odpowiedni do ryzyka związanego z Przetwarzaniem.
5.2. Administrator zaręcza i gwarantuje, że nie będzie prosić Podmiotów Danych o przesyłanie do Usługi Danych Osobowych, które w świetle obowiązującego prawa są uznane za szczególną kategorię lub wrażliwe dane osobowe. Dotyczy to np.: danych dotyczących stanu zdrowia, przekonań religijnych, poglądów politycznych, rasy, pochodzenia etnicznego, preferencji lub zachowań seksualnych, przynależności do związków zawodowych, karalności, danych biometrycznych do celów identyfikacyjnych, danych genetycznych. Środki bezpieczeństwa stosowane w Usługach nie są odpowiednie dla tego typu Danych Osobowych.
5.3. Procesor wdrożył odpowiednie środki techniczne i organizacyjne, aby zapewnić dostęp do Danych Osobowych wyłącznie osobom w jego organizacji, które muszą uzyskać do nich dostęp w celu świadczenia Usług, np.: poprzez ograniczenie liczby osób posiadających uprawnienia dostępu.
5.4. Na swojej witrynie internetowej Procesor udostępnia informacje
o stosowanych środkach bezpieczeństwa. Ponadto na żądanie Administratora Procesor przedstawi przegląd środków bezpieczeństwa stosowanych w momencie składania żądania. Administrator może zgłosić takie żądanie raz w roku kalendarzowym, chyba że istnieje uzasadniony powód, aby żądanie składać częściej, np. w przypadku Naruszenia Ochrony Danych Osobowych.
5.5. Procesor ma obowiązek bezzwłocznie powiadomić Administratora, gdy tylko wykryje Naruszenie Ochrony Danych Osobowych. Zawiadomienie powinno:
(i) zawierać dostępne informacje na temat Naruszenia Ochrony Danych Osobowych, w tym między innymi opis Naruszenia Ochrony Danych Osobowych, jego przyczynę; kategorie, charakter i (szacowaną) liczbę dotkniętych Danych Osobowych i Podmiotów Danych oraz zakres Naruszenia Ochrony Danych Osobowych;
(ii) wyjaśniać wpływ Naruszenia Ochrony Danych Osobowych na Administratora i odpowiednie Podmioty Danych;
(iii) wyjaśniać działania naprawcze, które zostały lub będą podjęte przez Procesora, Administratora i/lub Podmioty Danych, oraz zawierać ramy czasowe na ukończenie takich działań.
5.6. Na uzasadnione żądanie Administratora Procesor zapewni współpracę
i przekaże informacje, nad którymi sprawuje kontrolę, w formie zgłoszenia Naruszenia Ochrony Danych Osobowych do OOD oraz w stosownych przypadkach do Podmiotów Danych.
5.7. Nie można wymagać od Procesora, aby powiadomił o Naruszeniu Ochrony Danych Osobowych jakikolwiek OOD i Podmiot Danych, chyba że Procesor wyraźnie zgodzi się na piśmie na dokonanie tego w przypadku Naruszenia Ochrony Danych Osobowych.
5.8. W celu korzystania z Usług Administrator musi użyć danych logowania, aby uzyskać dostęp do swojego konta. Administrator ma obowiązek zapewnić bezpieczeństwo i poufność danych logowania, ponieważ umożliwiają one dostęp do Danych Osobowych. Administrator ma również obowiązek dopilnować, aby Podmioty Danych korzystające z Usług zachowały bezpieczeństwo i poufność swoich danych logowania, ponieważ umożliwiają one dostęp do ich Danych Osobowych.
6. Poufność
6.1. Procesor będzie brać pod uwagę poufność Danych Osobowych.
6.2. W związku z powyższym Procesor:
(i) nie będzie ujawniać Danych Osobowych żadnej stronie trzeciej, chyba że jest to wyraźnie dozwolone w niniejszej Umowie powierzenia przetwarzania danych;
(ii) wdrożył odpowiednie środki techniczne i organizacyjne, aby zapewnić, że każda osoba mająca dostęp do Danych Osobowych zostanie poinformowana i zobowiązana do zachowania poufności.
7. Podwykonawcy
7.1. Procesor korzysta z Subprocesorów do Przetwarzania Danych Osobowych. Na żądanie Administratora Procesor przekaże nazwy
i lokalizacje Subprocesorów. Jeżeli Procesor zamierza zatrudnić innego lub dodatkowego Subprocesora do Przetwarzania Danych Osobowych,
z wyprzedzeniem powiadomi o tym Administratora, podając datę rozpoczęcia czynności Przetwarzania przez Subprocesora. Administrator może sprzeciwić się zmianie lub dodaniu w ciągu siedmiu (7) dni roboczych od powiadomienia. Jeżeli taka zmiana lub dodanie nie wpłynie negatywnie na Przetwarzanie Danych Osobowych, Administrator nie zgłosi uzasadnionego sprzeciwu, aby Procesor mógł nadal oferować Usługi.
W przypadku gdy Administrator zgłosi w odpowiednim czasie sprzeciw,
a Procesor nie będzie mógł zmienić Usług, aby uwzględnić sprzeciw Administratora w ciągu czternastu (14) dni od takiego sprzeciwu, Administrator i/lub Procesor mogą rozwiązać Usługi i Umowę o świadczenie usług, a Procesor zwróci zaliczkowe opłaty poniesione przez Administratora, jeśli takie istnieją, za pozostały okres subskrypcji, w którym Usługa została wyłączona. Z datą rozpoczęcia czynności Przetwarzania przez nowego Subprocesora Załącznik nr 2 zostanie zaktualizowany (lub uznany za zaktualizowany) o informacje o nowym Subprocesorze; jeżeli jest to Subprocesor, który Przetwarza Dane Osobowe poza EOG, zastosowanie ma również artykuł 8.
7.2. Procesor zapewnia, że Subprocesor:
(i) oświadcza, iż wdrożył odpowiednie środki techniczne i organizacyjne zapewniające zgodność z RODO i ochronę praw Podmiotów Danych;
(ii) jest zobowiązany na piśmie do przestrzegania tych samych obowiązków określonych w niniejszej Umowie powierzenia przetwarzania danych, które są istotne w związku z działaniami Subprocesora w zakresie Przetwarzania.
7.3. W celu uniknięcia wątpliwości: jeżeli Administrator korzysta
z funkcjonalności poprzez Usługi, w ramach których następuje połączenie
z usługami oferowanymi Administratorowi przez strony trzecie, te strony trzecie nie są Subprocesorami Procesora; Administrator pozostaje
w bezpośrednim stosunku prawnym z tymi stronami trzecimi. Przykładem stron trzecich mogą być platformy mediów społecznościowych, dostawcy poczty elektronicznej oraz dostawcy usług Administratora, gdzie Administrator posiada własne konto, które otrzymuje dane za pomocą integracji w ramach platformy.
8. Eksport danych (transfer poza EOG)
8.1. Procesor przekazuje Dane Osobowe do kraju lub krajów (jeśli w ogóle) wymienionych w Załączniku nr 2.
8.2. Procesor zapewnia, że kraje lub strony, do których przekazywane są Dane Osobowe, zapewniają odpowiedni poziom ochrony. W przypadku braku spełnienia takiego warunku, jeżeli wymagana jest współpraca Administratora, Administrator wyraża zgodę na współpracę, o którą wnosi Procesor, w celu zorganizowania określonego w RODO jednego
z mechanizmów transferu danych do państwa bez odpowiedniego poziomu ochrony, w którym Procesor i/lub Subprocesor, jeśli to konieczne, wdraża dodatkowe środki w celu ochrony Danych Osobowych.
9. Raportowanie, uprawnienia do przeprowadzenia kontroli
9.1. Zgodnie z warunkami określonymi w tym artykule Procesor zezwoli Administratorowi na dostęp do swojej administracji, aby Administrator mógł skontrolować przestrzeganie przez Procesora warunków niniejszej Umowy powierzenia przetwarzania danych. Procesor nie zezwala Administratorowi na dostęp do danych osobowych podmiotów danych, innych niż Podmioty Danych objęte niniejszą Umową.
9.2. Administrator może wyznaczyć stronę trzecią do przeprowadzenia kontroli. W takim przypadku Administrator zapewni, że strona trzecia będzie zobowiązana do zachowania poufności informacji Procesora, do których strona trzecia uzyska dostęp w związku z kontrolą, i nie ujawni ich stronom trzecim.
9.3. Administrator nie może skorzystać z uprawnień do przeprowadzenia kontroli wynikających z niniejszego punktu częściej niż raz w roku kalendarzowym. Administrator powiadomi Procesora co najmniej dwa tygodnie przed kontrolą, aby umożliwić Procesorowi przygotowanie się do niej.
9.4. Jeżeli kontrola wykaże, że Procesor nie wywiązuje się ze swoich obowiązków wynikających z niniejszej Umowy powierzenia przetwarzania danych, na zasadne żądanie Administratora Procesor podejmie środki, aby wywiązać się z tych obowiązków.
10. Okres obowiązywania i wypowiedzenie
10.1. Niniejsza Umowa powierzenia przetwarzania danych ma taki sam okres obowiązywania jak Umowa o świadczenie usług. Tym samym niniejsza Umowa powierzenia przetwarzania danych wygasa w momencie rozwiązania Umowy o świadczenie usług.
10.2. Jeżeli Umowa o świadczenie usług nie przewiduje jej rozwiązania –
a tym samym rozwiązania niniejszej Umowy powierzenia przetwarzania danych – zastosowanie mają następujące podstawy rozwiązania: każda ze Stron ma prawo rozwiązać niniejszą Umowę powierzenia przetwarzania danych (nie dotyczy przeszłych roszczeń wynikających z umowy) bez obowiązku zapłaty odszkodowania w przypadku gdy:
(i) Druga Strona ubiega się o ochronę przed upadłością lub wnioskuje
o to strona trzecia;
(ii) Druga Strona występuje o zawieszenie płatności lub otrzymuje zawieszenie płatności;
(iii) Druga Strona złoży wniosek o ogłoszenie upadłości lub podobne postępowanie zgodnie z obowiązującym prawem lub zostanie dla niej wyznaczony syndyk;
(iv) Druga Strona zaprzestaje prowadzenia działalności.
10.3. Strony mogą w dowolnym momencie wspólnie podjąć decyzję
o rozwiązaniu niniejszej Umowy powierzenia przetwarzania danych
w drodze pisemnej umowy.
11. Wsparcie przy rozwiązaniu Umowy
11.1. Procesor będzie przetwarzał Dane Osobowe podczas korzystania
z Usług przez Administratora.
11.2. Przed rozwiązaniem Umowy o świadczenie usług Administrator musi upewnić się, że wyodrębnił i usunął Dane Osobowe ze swojego konta. Jeżeli Procesor zablokuje konto Administratora z powodu nieprzestrzegania Umowy o świadczenie usług, Procesor na żądanie Administratora, które należy złożyć w ciągu dziesięciu (10) dni od zablokowania konta i po uiszczeniu wszelkich należnych opłat zgodnie z Umową o świadczenie usług, przekaże Administratorowi Dane Osobowe lub, według uznania Procesora, zezwoli Administratorowi na dostęp do jego konta w okresie trzech (3) dni wyłącznie w celu wyodrębnienia i usunięcia Danych Osobowych. Jeżeli po upływie tych okresów Administrator nie usunie Danych Osobowych, Procesor zastrzega sobie prawo do zrobienia tego jednostronnie i usunie Dane Osobowe po dwóch (2) latach, chyba że obowiązujące przepisy wymagają od Procesora przechowywania niektórych Danych Osobowych. W tym drugim przypadku Procesor usunie Dane Osobowe po upływie ustawowego okresu przechowywania.
12. Pozostałe zapisy
12.1. Do Przetwarzania Danych Osobowych mają zastosowanie postanowienia Umowy o świadczenie usług i są nadrzędne w stosunku do klauzul, które nie dotyczą ochrony danych, takich jak odpowiedzialność. Jeżeli Umowa o świadczenie usług zawiera postanowienia dotyczące ochrony danych, niniejsza Umowa powierzenia przetwarzania danych jest nadrzędna w stosunku do takich postanowień.
12.2. W przypadku gdy działania Procesora związane z niniejszą Umową powierzenia przetwarzania danych wykraczają poza typowe działania Procesora w zakresie Usług, Procesor ma prawo do uzasadnionej rekompensaty w oparciu o standardową opłatę stosowaną przez Procesora w danym czasie. Procesor przedstawi specyfikację zafakturowanego wynagrodzenia.
12.3. Niniejsza Umowa powierzenia przetwarzania danych może zostać zmieniona lub zmodyfikowana przez Procesora zgodnie z postanowieniami Umowy o świadczenie usług.
12.4. Jeżeli jakiekolwiek postanowienie niniejszej Umowy powierzenia przetwarzania danych zostanie uznane przez sąd właściwej jurysdykcji za nieważne lub niewykonalne, taka decyzja w żaden sposób nie będzie miała wpływu na ważność lub wykonalność jakiegokolwiek innego postanowienia niniejszej Umowy, a niniejsza Umowa powierzenia przetwarzania danych będzie interpretowana tak, jakby taki warunek lub postanowienie nie zostało w nim zawarte.
12.5. Postanowienia zawarte w punkcie „Podstawowe założenia”, jak również Załączniki stanowią integralną część niniejszej Umowy powierzenia przetwarzania danych.
13. Obowiązujące prawo, rozstrzyganie sporów
13.1. Niniejsza Umowa powierzenia przetwarzania danych podlega wyłącznie prawu holenderskiemu, z wyłączeniem przepisów kolizyjnych.
13.2. Klauzula rozstrzygania sporów zawarta w Umowie o świadczenie usług ma zastosowanie do wszelkich sporów powstałych pomiędzy Stronami.
ZAŁĄCZNIK NR 1 – Informacje dotyczące Przetwarzania
1. Opis Usług i czynności Przetwarzania:
Rodzaj Usługi: system zarządzania nauczaniem online.
Czynności Przetwarzania: przechowywanie, dostęp, zmiana i usunięcie na żądanie Administratora.
2. Kategorie Danych Osobowych:
Administrator może wybrać rodzaje Danych Osobowych, których żąda od Podmiotów Danych, takie jak:
- imię, nazwisko, nazwa
- numer telefonu
- stanowisko
- płeć
- data urodzenia
- ulica
- kod pocztowy
- miejscowość
- kraj
- identyfikator pracownika
- odpowiedzi Podmiotu Danych na pytania tekstowe
- odpowiedzi Podmiotu Danych na pytania rozwijane
W wyniku dostępu i korzystania z treści tworzonych przez Administratora
w systemie Easy LMS Podmioty Danych mogą także samodzielnie tworzyć Dane Osobowe, takie jak:
- wyniki testów
- wyniki egzaminów
- komentarze dodane do systemu
- dokumenty certyfikacyjne
Administratorowi nie wolno prosić Podmiotów Danych o podanie specjalnych kategorii Danych Osobowych ani przesłanie Danych Osobowych, które dotyczą: danych dotyczących stanu zdrowia, przekonań religijnych, poglądów politycznych, rasy, pochodzenia etnicznego, preferencji lub zachowań seksualnych, przynależności do związków zawodowych, rejestrów karnych, danych biometrycznych do celów identyfikacyjnych, danych genetycznych.
ZAŁĄCZNIK NR 2 – Subprocesorzy
Dane Osobowe są przekazywane następującym subprocesorom:
|
Subprocesorzy |
|
|
|
|
Subprocesor |
Kraj |
Kraj poza EOG bez odpowiedniego poziomu ochrony?: |
Mechanizm transferu / odpowiednie zabezpieczenia: |
|
Amazon Web Services (AWS) (hosting i usługi poczty e-mail) |
Niemcy |
Nie, kraj EOG |
Nie dotyczy |
|
Intercom (wsparcie czatu) |
Irlandia |
Nie, kraj EOG |
Nie dotyczy |
Niniejszy Załącznik uważa się za zaktualizowany po powiadomieniu
o zmianach zgodnie z art. 7.1.