Niniejsza Umowa powierzenia przetwarzania danych jest zawierana pomiędzy EasyLMS B.V. ("Podmiot przetwarzający") a jego klientami (klient jest "Administratorem"), dla których przetwarza dane osobowe jako podmiot przetwarzający;
Każda z nich zwana jest dalej "Stroną", a łącznie "Stronami";
mając na uwadze, że:
A. Niniejsza Umowa o Przetwarzaniu Danych stanowi integralną część Regulaminu Easy LMS ("Regulamin") jak również umowy pomiędzy Podmiotem Przetwarzającym a Administratorem, w odniesieniu do systemu zarządzania nauczaniem online oferowanego Administratorowi przez Podmiot Przetwarzający ("Usługa(i)");
B. Aby Administrator i jego uczestnicy mogli korzystać z Usług, Podmiot przetwarzający musi przetwarzać dane osobowe ("Dane osobowe") pracowników Administratora i/lub innych uczestników (łącznie: "Osoby, których dane dotyczą"), którzy korzystają z treści stworzonych przez Administratora w ramach Usług;
C. Kategorie Danych Osobowych, jak również inne szczegóły dotyczące przetwarzania Danych Osobowych zostały opisane w Załączniku 1 do niniejszej Umowy Przetwarzania Danych;
D. Ogólne rozporządzenie o ochronie danych (ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE) ("RODO") ma zastosowanie do przetwarzania Danych osobowych;
E. Na podstawie RODO Strony są zobowiązane do zawarcia niniejszej Umowy powierzenia przetwarzania danych;
1. definicje
1.1. Oprócz zdefiniowanych powyżej terminów pisanych wielką literą, następujące terminy pisane wielką literą mają następujące znaczenie:
1.2. "Organ Ochrony Danych": właściwy organ ochrony danych.
1.3. "EOG": Europejski Obszar Gospodarczy.
1.4. "Naruszenie Danych Osobowych": naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do Danych Osobowych.
1.5. "Przetwarzanie": czynności przetwarzania wykonywane z Danymi Osobowymi zgodnie z definicją zawartą w RODO, w tym między innymi ich przechowywanie, przeglądanie, porcjowanie, usuwanie, zmienianie, przekazywanie.
1.6. "Harmonogram": harmonogram do niniejszej Umowy Przetwarzania Danych.
1.7. "Umowa o świadczenie usług": umowa, na podstawie której świadczone są Usługi, która może składać się z Regulaminu i/lub innego rodzaju umowy.
1.8. "Podprzetwarzający": osoba trzecia, której Przetwarzający zleca Przetwarzanie Danych Osobowych, w całości lub w części.
2. Zobowiązania ogólne
2.1. W odniesieniu do Danych Osobowych Przetwarzający podejmuje odpowiednie środki techniczne i organizacyjne w celu zapewnienia zgodności z RODO i ochrony praw Osób, których dane dotyczą.
2.2. Administrator oświadcza, że przestrzega RODO w odniesieniu do Danych osobowych przetwarzanych przez Podmiot przetwarzający. Obowiązkiem Administratora jest przestrzeganie obowiązujących przepisów dotyczących danych osobowych w odniesieniu do Danych osobowych utworzonych lub przesłanych do Usługi. Obejmuje to między innymi posiadanie podstawy prawnej do Przetwarzania Danych Osobowych (np. ważnej zgody, jeśli jest wymagana), informowanie Podmiotów Danych o Przetwarzaniu ich Danych Osobowych oraz upewnienie się, że Podmioty Danych osiągnęły wymagany wiek do przekazania swoich Danych Osobowych, jeśli ma to zastosowanie.
3. Przetwarzanie wyłącznie na polecenie Administratora
3.1. Celem Przetwarzania przez Podmiot przetwarzający jest umożliwienie Podmiotowi przetwarzającemu świadczenia Usług.
3.2. Podmiot Przetwarzający będzie Przetwarzać Dane Osobowe wyłącznie na podstawie pisemnych instrukcji Administratora, które stanowią czynności Przetwarzania określone w Załączniku 1, lub tych uzasadnionych instrukcji przekazanych przez Administratora w inny sposób na piśmie (w tym pocztą elektroniczną). Podmiot Przetwarzający będzie przetwarzać Dane Osobowe poza instrukcjami Administratora tylko wtedy, gdy będzie to wymagane w celu wypełnienia obowiązującego obowiązku prawnego. W takim przypadku zastosowanie ma artykuł 3.3 poniżej.
3.3. W przypadku, gdy Podmiot Przetwarzający zostanie prawnie zobowiązany na mocy prawa europejskiego do ujawnienia jakichkolwiek Danych Osobowych, Podmiot Przetwarzający niezwłocznie powiadomi o tym Administratora i zgłosi odpowiedni wymóg prawny, chyba że wymóg prawny zabrania Podmiotowi Przetwarzającemu takiego powiadomienia ze względu na ważny interes publiczny. Jeśli Przetwarzający nie ma zakazu powiadamiania Administratora, Przetwarzający powstrzyma się od ujawniania jakichkolwiek Danych osobowych do czasu podjęcia przez Administratora kroków w celu uzyskania nakazu ochronnego lub innego odpowiedniego środka zaradczego. Jeśli taki nakaz ochronny nie zostanie uzyskany, Podmiot Przetwarzający dostarczy tylko takie Dane Osobowe, o których zostanie poinformowany, że są wymagane na podstawie terminowego pisemnego powiadomienia Administratora lub, w przypadku braku takiego terminowego powiadomienia, Podmiot Przetwarzający dostarczy takie Dane Osobowe, które uzna za wymagane zgodnie z wymogami prawnymi.
3.4. Przetwarzający powiadomi Administratora, jeśli jego zdaniem polecenie wydane przez Administratora narusza RODO, w którym to przypadku Przetwarzający nie będzie musiał zastosować się do polecenia.
4. Pomoc kontrolerowi
4.1. Podmiot przetwarzający zapewni pomoc, o którą zasadnie zwróci się Administrator, w celu:
(i) biorąc pod uwagę charakter Przetwarzania, pomagać Administratorowi za pomocą odpowiednich środków technicznych i organizacyjnych, o ile jest to możliwe, w wypełnianiu obowiązków Administratora w zakresie odpowiadania na żądania Podmiotów Danych dotyczące wykonywania ich praw, o ile Podmiot Przetwarzający może to faktycznie zrobić w świetle Usług. W przypadku, gdy Przetwarzający otrzyma wniosek od Podmiotu Danych, przekaże taki wniosek do Administratora, a Administrator dalej zajmie się wnioskiem;
(ii) biorąc pod uwagę charakter Przetwarzania i informacje dostępne dla Przetwarzającego, pomagać Administratorowi w wypełnianiu obowiązków Administratora związanych z bezpieczeństwem, zgłaszaniem naruszeń ochrony danych osobowych (patrz artykuł 5.4), dochodzeniami prowadzonymi przez organy ochrony danych, ocenami skutków dla ochrony danych i uprzednimi konsultacjami, jeśli jest to wymagane.
5. Środki bezpieczeństwa i naruszenia danych osobowych
5.1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele Przetwarzania, a także ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, Przetwarzający wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić poziom bezpieczeństwa odpowiadający ryzyku związanemu z Przetwarzaniem.
5.2. Administrator zapewnia i gwarantuje, że nie będzie prosił Podmiotów Danych o przekazywanie do Serwisu Danych Osobowych, które zgodnie z obowiązującym prawem są uznawane za dane osobowe szczególnej kategorii lub dane osobowe szczególnie chronione. Dotyczy to na przykład: danych związanych ze zdrowiem, przekonaniami religijnymi, poglądami politycznymi, rasą, pochodzeniem etnicznym, preferencjami seksualnymi lub zachowaniem, przynależnością do związków zawodowych, rejestrów karnych, danych biometrycznych do celów identyfikacji, danych genetycznych. Środki bezpieczeństwa Usług nie są odpowiednie dla tego rodzaju Danych Osobowych.
5.3. Podmiot przetwarzający wdrożył odpowiednie środki techniczne i organizacyjne w celu zapewnienia, że dostęp do Danych osobowych mają wyłącznie te osoby w jego organizacji, które muszą uzyskać do nich dostęp w celu świadczenia Usług, np. poprzez ograniczenie liczby osób z prawami dostępu.
5.4. Przetwarzający udostępnia na swojej stronie internetowej informacje o stosowanych przez siebie środkach bezpieczeństwa. Ponadto, na żądanie Administratora, Podmiot przetwarzający przedstawi przegląd środków bezpieczeństwa stosowanych w momencie składania wniosku. Administrator może złożyć taki wniosek raz w roku kalendarzowym, chyba że istnieje uzasadniony powód, aby składać wniosek częściej, na przykład w przypadku naruszenia ochrony danych osobowych.
5.5. Podmiot przetwarzający powiadomi Administratora bez zbędnej zwłoki po uzyskaniu informacji o Naruszeniu ochrony danych osobowych. Takie powiadomienie powinno:
(i) zawierać dostępne informacje dotyczące Naruszenia Danych Osobowych, w tym między innymi opis Naruszenia Danych Osobowych, jego przyczynę; kategorie, charakter i (szacunkową) ilość dotkniętych Danych Osobowych i Podmiotów Danych oraz zakres Naruszenia Danych Osobowych;
(ii) wyjaśnienie wpływu Naruszenia Ochrony Danych Osobowych na Administratora i odpowiednie Podmioty Danych;
(iii) wyjaśnienie działań naprawczych podjętych lub które mają zostać podjęte przez Podmiot przetwarzający, Administratora i/lub Osoby, których dane dotyczą, oraz harmonogram ich realizacji.
5.6. Podmiot przetwarzający zapewni współpracę wymaganą w uzasadniony sposób przez Administratora i przekaże informacje będące pod jego kontrolą w związku z powiadomieniem organu ochrony danych o naruszeniu ochrony danych osobowych oraz, w stosownych przypadkach, osób, których dane dotyczą.
5.7. Przetwarzający nie może być zobowiązany do powiadomienia o Naruszeniu Ochrony Danych Osobowych żadnego Organu Ochrony Danych ani Podmiotów Danych, chyba że Przetwarzający wyraźnie zgodzi się to zrobić na piśmie w przypadku konkretnego Naruszenia Ochrony Danych Osobowych.
5.8. Aby korzystać z Usług, Administrator musi użyć danych logowania w celu uzyskania dostępu do swojego konta. Administrator musi przechowywać te dane logowania w sposób bezpieczny i poufny, ponieważ zapewniają one dostęp do Danych Osobowych. Obowiązkiem Administratora jest również upewnienie się, że Podmioty Danych, które korzystają z Usług, przechowują swoje dane logowania w sposób bezpieczny i poufny, ponieważ dają one dostęp do ich własnych Danych Osobowych.
6. Poufność
6.1. Podmiot przetwarzający uwzględni poufność w odniesieniu do Danych osobowych.
6.2. W odniesieniu do powyższego, Procesor:
(i) nie ujawni Danych Osobowych żadnej osobie trzeciej, chyba że jest to wyraźnie dozwolone w niniejszej Umowie Przetwarzania Danych;
(ii) wdrożył odpowiednie środki techniczne i organizacyjne w celu zapewnienia, że każda osoba mająca dostęp do Danych Osobowych zostanie poinformowana o poufności i będzie do niej zobowiązana;
7. Podwykonawcy
7.1. Przetwarzający korzysta z Podprzetwarzających, którzy Przetwarzają Dane Osobowe. Na żądanie Administratora Przetwarzający przekaże nazwy i lokalizacje Podprzetwarzających. Jeśli Przetwarzający zamierza zatrudnić innego lub dodatkowego Podprzetwarzającego do Przetwarzania Danych Osobowych, powiadomi o tym Administratora z wyprzedzeniem, podając datę rozpoczęcia Przetwarzania przez Podprzetwarzającego. Administrator może sprzeciwić się zmianie lub dodaniu w ciągu siedmiu (7) dni roboczych od powiadomienia. Jeśli taka zmiana lub dodanie nie wpłynie negatywnie na Przetwarzanie Danych Osobowych, Administrator nie zgłosi sprzeciwu, aby Podmiot Przetwarzający mógł kontynuować świadczenie Usług. W przypadku, gdy Administrator zgłosi sprzeciw w odpowiednim czasie, a Przetwarzający nie będzie w stanie zmienić Usług w celu uwzględnienia sprzeciwu Administratora w ciągu czternastu (14) dni od takiego sprzeciwu, Administrator i/lub Przetwarzający mogą wypowiedzieć Usługi i Umowę o świadczenie usług, a Przetwarzający zwróci te opłaty, które Administrator uiścił z góry, jeśli takie istnieją, za pozostały okres subskrypcji, w którym Usługa została przerwana. Po dacie rozpoczęcia czynności Przetwarzania przez nowego Podprzetwarzającego, Załącznik 2 zostanie zaktualizowany (lub uznany za zaktualizowany) o zgłoszone informacje o nowym Podprzetwarzającym; jeśli jest to Podprzetwarzający Przetwarzający Dane Osobowe poza EOG, zastosowanie ma również art. 8.
7.2. Procesor zapewnia, że podprocesory:
(i) oświadcza, że wdrożył odpowiednie środki techniczne i organizacyjne w celu zapewnienia zgodności z RODO i ochrony praw osób, których dane dotyczą;
(ii) są zobowiązani na piśmie do przestrzegania tych samych obowiązków, które określono w niniejszej Umowie powierzenia przetwarzania danych, które są istotne w odniesieniu do czynności przetwarzania wykonywanych przez Podprzetwarzającego.
7.3. W celu uniknięcia wątpliwości: jeśli Administrator korzysta z funkcji za pośrednictwem Usług, w których następuje połączenie z usługami oferowanymi Administratorowi przez strony trzecie, takie strony trzecie nie są Podprzetwarzającymi Przetwarzającego; Administrator ma bezpośredni stosunek prawny z takimi stronami trzecimi. Przykładowo, tymi stronami trzecimi mogą być platformy mediów społecznościowych, dostawcy poczty e-mail i dostawcy usług Administratora, w przypadku gdy Administrator posiada własne konto, którzy otrzymują dane za pomocą integracji na platformie.
8. Eksport danych (transfery poza EOG)
8.1. Podmiot przetwarzający przekazuje Dane osobowe do kraju lub krajów (jeśli istnieją) wymienionych w Załączniku 2.
8.2. Przetwarzający zapewnia, że kraje lub strony, do których przekazywane są Dane Osobowe, oferują odpowiedni poziom ochrony. W przeciwnym razie, jeśli wymagana jest współpraca Administratora, Administrator zgadza się zapewnić współpracę wymaganą przez Przetwarzającego w celu zorganizowania jednego z mechanizmów przekazywania określonych w RODO w celu przekazania do takiego kraju bez odpowiedniego poziomu ochrony, w którym to przypadku Przetwarzający i/lub Podprzetwarzający, jeśli to konieczne, wdraża dodatkowe środki w celu zabezpieczenia Danych Osobowych.
9. Sprawozdawczość, prawa do audytu
9.1. Podmiot przetwarzający umożliwi Administratorowi, na warunkach określonych w niniejszym artykule, dostęp do swojej administracji w celu przeprowadzenia przez Administratora audytu zgodności Podmiotu przetwarzającego z warunkami niniejszej Umowy powierzenia przetwarzania danych. Przetwarzający nie zezwala Administratorowi na dostęp do danych osobowych osób, których dane dotyczą, innych niż Osoby, których dane dotyczą;
9.2. Administrator może wyznaczyć osobę trzecią do przeprowadzenia audytu. Administrator w takim przypadku zapewni, że strona trzecia będzie zobowiązana do zachowania poufności informacji Podmiotu Przetwarzającego, do których strona trzecia ma dostęp w związku z audytem i nie ujawni ich żadnej stronie trzeciej.
9.3. Administrator nie będzie korzystał ze swoich praw do audytu na mocy niniejszej klauzuli częściej niż raz w roku kalendarzowym. Administrator powiadomi Podmiot przetwarzający z co najmniej dwutygodniowym wyprzedzeniem o audycie, aby umożliwić Podmiotowi przetwarzającemu przygotowanie się do niego.
9.4. Jeśli audyt wykaże, że Podmiot przetwarzający nie wypełnia swoich obowiązków wynikających z niniejszej Umowy powierzenia przetwarzania danych, Podmiot przetwarzający podejmie środki, o które zasadnie zwróci się Administrator w celu wypełnienia tych obowiązków.
10. Okres obowiązywania i rozwiązanie
10.1. Niniejsza Umowa o Przetwarzanie Danych obowiązuje przez taki sam okres jak Umowa o Świadczenie Usług. Niniejsza Umowa o Przetwarzanie Danych wygasa zatem wraz z wygaśnięciem Umowy o Świadczenie Usług.
10.2. Jeśli Umowa o świadczenie usług nie przewiduje jej rozwiązania - a tym samym późniejszej Umowy o powierzenie przetwarzania danych - zastosowanie mają następujące podstawy rozwiązania: każda ze Stron jest uprawniona do rozwiązania niniejszej Umowy o powierzenie przetwarzania danych na przyszłość, bez obowiązku zapłaty odszkodowania, w przypadku:
(i) Druga Strona złoży wniosek o ochronę przed upadłością lub zażąda tego strona trzecia;
(ii) Druga Strona złoży wniosek o zawieszenie płatności lub otrzyma takie zawieszenie;
(iii) Druga Strona złoży wniosek o wszczęcie postępowania upadłościowego lub podobnego postępowania zgodnie z obowiązującym prawem lub zostanie wyznaczony dla niej syndyk masy upadłościowej;
(iv) Druga Strona zaprzestanie prowadzenia działalności.
10.3. Strony mogą w dowolnym momencie wspólnie podjąć decyzję o rozwiązaniu niniejszej Umowy powierzenia przetwarzania danych w drodze pisemnego porozumienia.
11. Pomoc przy wyjściu
11.1. Podmiot przetwarzający będzie przetwarzać Dane osobowe podczas korzystania przez Administratora z Usług.
11.2. Administrator musi upewnić się, że wyodrębnił i usunął Dane osobowe ze swojego konta przed zakończeniem Umowy o świadczenie usług. Jeśli Przetwarzający zablokuje konto Administratora z powodu nieprzestrzegania Umowy o świadczenie usług, Przetwarzający, na żądanie Administratora, które należy złożyć w ciągu dziesięciu (10) dni od zablokowania konta i po uiszczeniu wszelkich opłat nadal należnych na mocy Umowy o świadczenie usług, przekaże Administratorowi Dane osobowe lub, według uznania Przetwarzającego, umożliwi Administratorowi dostęp do jego konta w ciągu trzech (3) dni wyłącznie w celu wyodrębnienia i usunięcia Danych osobowych. Jeśli po upływie tych okresów Administrator nie usunie Danych Osobowych, Przetwarzający zastrzega sobie prawo do jednostronnego usunięcia Danych Osobowych po upływie dwóch (2) lat, chyba że obowiązujące przepisy prawa wymagają od Przetwarzającego zachowania określonych Danych Osobowych. W tym ostatnim przypadku Podmiot przetwarzający usunie Dane osobowe po upływie ustawowego okresu przechowywania.
12. Różne
12.1. Postanowienia Umowy o Świadczenie Usług mają zastosowanie do Przetwarzania Danych Osobowych i mają pierwszeństwo w odniesieniu do klauzul, które nie dotyczą ochrony danych, takich jak odpowiedzialność. Jeśli Umowa o świadczenie usług zawiera postanowienia dotyczące ochrony danych, niniejsza Umowa o przetwarzanie danych ma pierwszeństwo przed takimi postanowieniami.
12.2. W przypadku, gdy działania Podmiotu Przetwarzającego w związku z niniejszą Umową Przetwarzania Danych wykraczają poza zwykłe działania Podmiotu Przetwarzającego w zakresie Usług, Podmiot Przetwarzający ma prawo do rozsądnej rekompensaty w oparciu o zwykłe wynagrodzenie Podmiotu Przetwarzającego w tym czasie. Przetwarzający dostarczy specyfikację zafakturowanej rekompensaty.
12.3. Niniejsza Umowa powierzenia przetwarzania danych może zostać zmieniona lub zmodyfikowana przez Podmiot przetwarzający zgodnie z postanowieniami Umowy o świadczenie usług;
12.4. Jeśli jakiekolwiek postanowienie niniejszej Umowy o Przetwarzanie Danych zostanie uznane za nieważne lub niewykonalne przez sąd właściwej jurysdykcji, taka decyzja w żaden sposób nie wpłynie na ważność lub wykonalność jakiegokolwiek innego postanowienia niniejszej Umowy, a niniejsza Umowa o Przetwarzanie Danych będzie interpretowana tak, jakby taki warunek lub postanowienie nie były w niej zawarte.
12.5. Rozważania zawarte w punkcie "mając na uwadze", jak również Załączniki stanowią integralną część niniejszej Umowy o Przetwarzanie Danych.
13. Prawo właściwe, rozstrzyganie sporów
13.1. Niniejsza Umowa o Przetwarzanie Danych podlega wyłącznie prawu holenderskiemu, z wyłączeniem przepisów kolizyjnych.
13.2. Klauzula rozstrzygania sporów zawarta w Umowie o świadczenie usług ma zastosowanie do wszelkich sporów powstałych między Stronami.
ZAŁĄCZNIK 1 - Informacje dotyczące przetwarzania danych
1. Opis Usług i czynności Przetwarzania:
Rodzaj usługi: system zarządzania nauczaniem online.
Czynności przetwarzania: przechowywanie, dostęp, zmiana i usunięcie na żądanie Administratora.
2. Kategorie danych osobowych:
Administrator może wybrać rodzaje Danych Osobowych, które są wymagane od Podmiotów Danych, takie jak:
imię i nazwisko
numer telefonu
nazwa stanowiska
płeć
data urodzenia
nazwa ulicy
kod pocztowy
miasto lub miejscowość
kraj
identyfikator pracownika
odpowiedzi osoby, której dane dotyczą, na pytania tekstowe
odpowiedzi osoby, której dane dotyczą, na pytania rozwijane
Podmioty Danych mogą również same tworzyć Dane Osobowe w wyniku uzyskiwania dostępu i korzystania z treści stworzonych przez Administratora w systemie Easy LMS, takich jak:
Administrator nie może prosić Podmiotów Danych o podanie szczególnych kategorii Danych Osobowych ani przesyłać takich Danych Osobowych, które dotyczą: danych związanych ze zdrowiem, przekonaniami religijnymi, poglądami politycznymi, rasą, pochodzeniem etnicznym, preferencjami seksualnymi lub zachowaniem, przynależnością do związków zawodowych, rejestrów karnych, danych biometrycznych do celów identyfikacji, danych genetycznych.
ZAŁĄCZNIK 2 - Podprzetwarzający
Dane Osobowe są przekazywane następującym subprocesorom:
Podprocesor 1
Amazon Web Services (AWS)
Obsługa hostingu i poczty e-mail
Zlokalizowane w Niemczech
Podprocesor 2
Interkom
Czat wsparcia
Zlokalizowany w Irlandii
Podprocesor 3
MailerSend
Usługi tworzenia kopii zapasowych poczty e-mail
Zlokalizowane w Belgii
Podprocesor 4
Verifalia
Weryfikacja poczty e-mail
Zlokalizowana w Holandii
Niniejszy Załącznik uważa się za zaktualizowany po powiadomieniu
o zmianach zgodnie z art. 7.1.