UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

 

§ 1. Zawarcie umowy

1. Z chwilą kliknięcia przycisku „Akceptuję umowę” dochodzi do zawarcia niniejszej umowy (zwanej dalej „Umową”) pomiędzy podmiotem, który reprezentuje osoba akceptująca umowę (np. szkołą, spółką albo bezpośrednio osobą akceptującą umowę), zwaną dalej „Administratorem”, a spółką Gdańskie Wydawnictwo Oświatowe spółka z ograniczoną odpowiedzialnością spółka komandytowa z siedzibą w Gdańsku, al. Grunwaldzka 413, 80-309 Gdańsk, zarejestrowaną w rejestrze przedsiębiorców prowadzonym przy Sądzie Rejonowym Gdańsk-Północ w Gdańsku, VII Wydział Gospodarczy KRS pod numerem KRS 0000537551, posiadającą nr REGON: 190409115 oraz NIP: 584-10-00-656, zwaną dalej „Procesorem”.
2. Osoba, która kliknęła przycisk „Akceptuję umowę”, oświadcza jednocześnie, iż:
   1. jest w prawidłowy sposób upoważniona przez Administratora do zawarcia Umowy albo występuje we własnym imieniu jako Administrator;
   2. zapoznała się z treścią Umowy i akceptuje jej postanowienia.
3. Procesor nie ponosi odpowiedzialności za działania osoby, która zawarła Umowę w imieniu Administratora, pomimo braku prawidłowego umocowania.
4. Procesor posiada informacje identyfikujące Administratora potrzebne do zawarcia Umowy (np. nazwę szkoły i jej adres) w swojej bazie danych, w związku z czym nie jest konieczne uzupełnianie informacji identyfikujących Administratora bezpośrednio w treści niniejszej Umowy, a wystarczające jest kliknięcie przycisku „Akceptuję umowę”, który jest opatrzony hiperlinkiem indywidualnie generowanym dla każdego podmiotu, któremu Procesor proponuje zawarcie Umowy.

 

§ 2. Zakres i cel umowy

1. Umowa zostaje zawarta w związku z usługami świadczonymi drogą elektroniczną przez Procesora, takich jak Lepsza Szkoła, Matlandia i inne Aplikacje GWO (zgodnie z zaakceptowanymi przez Administratora regulaminami poszczególnych usług) zwanych dalej łącznie „Usługami”, w ramach których dochodzi lub może dochodzić do przekazania Procesorowi przez Administratora danych osobowych w celu ich przetwarzania przez Procesora.
2. Zawarcie Umowy jest związane z koniecznością wykonania obowiązków Administratora oraz Procesora wynikających z przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz.UE.L.2016.119.1), dalej zwanego „RODO”.
3. Do powierzenia przetwarzania danych Procesorowi przez Administratora wystarczające jest zawarcie jednorazowo niniejszej Umowy, pomimo korzystania z różnych Usług przez Administratora. Brak zawarcia Umowy lub jej późniejsze rozwiązanie może skutkować brakiem możliwości pełnego korzystania z Usług przez Administratora i inne osoby, które uzyskują dostęp do Usług.
4. Administrator na mocy Umowy powierza Procesorowi przetwarzanie następujących danych:
   1. dane osobowe uczniów, w skład których wchodzą: imię i nazwisko, klasa, placówka szkolna, w której się uczy, wyniki rozwiązywanych testów, nr IP, login, adres e-mail oraz inne dane, które mogą być potrzebne do realizacji Usługi;
   2. dane osobowe nauczycieli (pracowników Administratora), w skład których wchodzą: imię i nazwisko, klasy, w których uczy nauczyciel, miejsce zatrudnienia, nauczany przedmiot, nr IP, login, adres e-mail oraz inne dane, które mogą być potrzebne do realizacji Usługi;
   3. dane osobowe innych osób, które mogą korzystać z Usług, w skład których wchodzą: imię i nazwisko, miejsce zatrudnienia, nr IP, login, adres e-mail oraz inne dane, które mogą być potrzebne do realizacji Usługi.
5. Czynności przetwarzania danych osobowych, do których wykonywania Administrator upoważnia Procesora, mogą obejmować m.in.: przechowywanie, modyfikowanie, uzupełnianie, aktualizację, pobieranie, przeglądanie, wykorzystywanie, udostępnianie, łączenie, ograniczanie, usuwanie lub niszczenie, archiwizowanie danych, w tym także w sposób zautomatyzowany.
6. Administrator oświadcza, iż jest administratorem powierzanych danych osobowych w rozumieniu RODO i spełnił wszelkie warunki legalności przetwarzania danych osobowych. Administrator zapewnia, że posiadane przez niego i przekazywane Procesorowi do przetwarzania dane osobowe zostały zgromadzone i udostępnione Procesorowi zgodnie z prawem, w tym w szczególności, że Administrator posiada podstawę prawną do ich przetwarzania oraz do powierzenia ich przetwarzania w zakresie opisanym w Umowie (np. posiada odpowiednią zgodę na przetwarzanie danych wyrażoną przez uprawnioną do tego osobę).
7. Procesor będzie przetwarzał dane osobowe w związku ze świadczeniem Usług, z których korzysta Administrator, w celu umożliwienia pełnego korzystania z nich, przez czas korzystania z Usług zgodnie z regulaminami poszczególnych Usług.
8. Dane będą przetwarzane przez Procesora wyłącznie ze względu na to, iż Administrator chce korzystać z Usług, w ramach których dochodzi lub może dochodzić do przetwarzania danych osobowych, na udokumentowane polecenie Administratora.
9. Administrator jest zobowiązany do niezwłocznego informowania Procesora o utracie prawa do przetwarzania danych, których przetwarzanie powierzył Procesorowi, wzywając do zaniechania przetwarzania i usunięcia tych danych.

 

§ 3. Obowiązki Procesora

1. Procesor zapewnia, że – zgodnie z wymaganiami RODO – dane osobowe powierzone przez Administratora będą przetwarzane za pomocą odpowiednich środków technicznych lub organizacyjnych w sposób zapewniający odpowiednie ich bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem. Dla zapewnienia prawidłowości przetwarzania danych osobowych Procesor wdrożył w swojej działalności m. in. zgodną z RODO politykę bezpieczeństwa danych osobowych, a także upoważnił i w odpowiedni sposób przeszkolił swoich pracowników w związku z przetwarzaniem danych osobowych.
2. Procesor zobowiązuje się do przetwarzania danych osobowych powierzonych przez Administratora zgodnie z postanowieniami Umowy oraz regulaminów poszczególnych Usług, które są świadczone na rzecz Administratora.
3. Procesor:
   1. dopuści do przetwarzania danych osobowych jedynie osoby działające z jego upoważnienia oraz których dostęp do danych osobowych jest niezbędny do wykonania Usług, w związku z którymi przetwarzane są dane osobowe,
   2. zapewni, aby osoby mające dostęp do danych osobowych zobowiązane były do zachowania tajemnicy w zakresie przetwarzania danych osobowych,
   3. zaznajomi osoby upoważnione do przetwarzania danych osobowych z przepisami dotyczącymi ochrony danych osobowych i odpowiedzialnością za ochronę tych danych przed niepowołanym dostępem, nieuzasadnioną modyfikacją, zniszczeniem, nielegalnym ujawnieniem lub pozyskaniem danych osobowych.
4. Uwzględniając stan wiedzy technicznej, koszt wdrożenia systemu informatycznego oraz charakter, zakres, kontekst i cele przetwarzania danych osobowych oraz ryzyko naruszenia praw osób, których dane dotyczą, Procesor wdrożył odpowiednie środki techniczne i organizacyjne, aby przetwarzanym danym osobowym zapewnić stopień bezpieczeństwa odpowiadający – z uwzględnieniem prawdopodobieństwa wystąpienia i wagi zagrożenia – ryzyku naruszenia praw lub wolności podmiotów danych w wyniku wykonywania niniejszej Umowy.
5. Ponadto, Procesor - uwzględniając charakter wykonywanych czynności przetwarzania danych osobowych oraz dostępne Stronom informacje dotyczące danych osobowych powierzonych Procesorowi do przetwarzania na podstawie Umowy:
   1. w miarę możliwości pomaga Administratorowi wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą w zakresie wykonywania jej praw określonych w Rozdziale III RODO,
   2. udziela Administratorowi pomocy w wywiązaniu się z obowiązków wymienionych w art. 32?36 RODO,
   3. na żądanie Administratora, przekaże Administratorowi wszelkie znajdujące się w dyspozycji Procesora informacje w zakresie niezbędnym do wykazania spełnienia obowiązków określonych w art. 28 RODO,
   4. umożliwi Administratorowi lub działającej w jego imieniu osobie trzeciej, przeprowadzenie kontroli sposobu wywiązania się z wyżej wymienionych obowiązków, w tym również przez współdziałanie w przeprowadzeniu kontroli – na warunkach określonych w § 5.
6. Obowiązki pomocy opisane w ust. 5 powyżej będą wykonywane przez Procesora w sytuacji, gdy Administrator nie ma możliwości wykonania danej czynności samodzielnie (we własnym zakresie) lub przy współdziałaniu ze strony osób trzecich innych niż Procesor oraz wyłącznie w zakresie obiektywnie niezbędnym dla umożliwienia Administratorowi wywiązania się przez niego z obowiązków wynikających z przepisów prawa. W innych przypadkach ww. obowiązki pomocy wykonywane będą przez Procesora w sposób i na warunkach odrębnie uzgodnionych przez Strony.
7. W przypadku stwierdzenia naruszenia ochrony danych osobowych przetwarzanych na zlecenie Administratora, Procesor, zgodnie z przyjętą przez niego procedurą, poinformuje o tym Administratora niezwłocznie, nie później niż w terminie 36 godzin od stwierdzenia naruszenia; powiadomienie nastąpi przez przesłanie wiadomości za pośrednictwem poczty elektronicznej na adres Administratora.
8. Procesor zobowiązuje się powiadamiać Administratora niezwłocznie, nie później niż w ciągu 3 dni roboczych od wystąpienia zdarzenia, o:
   1. wszelkich żądaniach ujawnienia powierzonych przez Administratora danych osobowych, zgłaszanych przez organy władzy publicznej, przed ich ujawnieniem, chyba że jest to z innych względów zabronione;
   2. wszczęciu kontroli przez organ nadzorczy zajmujący się ochroną danych osobowych w związku z powierzeniem przez Administratora Procesorowi przetwarzania danych osobowych, a także o wszelkich decyzjach lub postanowieniach administracyjnych wydanych wobec Procesora w związku z powyższym;
   3. wszczętych lub toczących się postępowaniach administracyjnych, sądowych lub przygotowawczych związanych z powierzeniem przez Administratora Procesorowi przetwarzania danych osobowych, a także o wszelkich decyzjach, postanowieniach lub orzeczeniach wydanych wobec Procesora w związku z powyższym;
   4. wszelkich incydentach dotyczących przetwarzania przez Procesora danych osobowych powierzonych przez Administratora, w tym uzyskania przypadkowego lub nieupoważnionego dostępu do powierzonych danych osobowych, przypadkach zmiany, utraty, uszkodzenia lub zniszczenia powierzonych danych osobowych.

 

§ 4. Zasady dalszego powierzenia przetwarzania danych

1. Administrator upoważnia Procesora do dalszego powierzenia przetwarzania danych osobowych objętych Umową, zewnętrznym podmiotom trzecim, spełniającym warunki RODO i Umowy, w celu wykonania Umowy i regulaminów świadczenia poszczególnych Usług. W szczególności dotyczy to zgody na dalsze powierzenie przetwarzania danych podwykonawcom (np. podmiotom świadczącym usługi informatyczne i dostarczające infrastrukturę teleinformatyczną Procesorowi).
2. Procesor ponosi pełną odpowiedzialność wobec Administratora za realizację obowiązków i zadań przez zewnętrzny podmiot trzeci.
3. Procesor może przekazać powierzone dane do państwa trzeciego wyłącznie na pisemne polecenie Administratora, chyba że obowiązek taki nakłada na Procesora prawo Unii Europejskiej lub prawo państwa członkowskiego UE, któremu podlega Procesor. W takim przypadku przed rozpoczęciem przetwarzania Procesor informuje Administratora o tym obowiązku, jeśli prawo nie zabrania udzielenia takiej informacji ze względu na ważny interes publiczny.
4. Jeżeli do wykonania w imieniu Administratora konkretnych czynności przetwarzania Procesor korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają – na mocy umowy lub innego aktu prawnego, które podlegają prawu Unii Europejskiej lub prawu państwa członkowskiego – te same obowiązki ochrony danych jak w Umowie, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na Procesorze.    

 

 

§ 5. Prawo do kontroli

 

1. Administrator ma prawo do kontroli Procesora w celu stwierdzenia, czy środki zastosowane przy przetwarzaniu danych w związku z Umową spełniają postanowienia Umowy oraz RODO.
2. Procesor na pisemny wniosek Administratora przekaże mu informacje dotyczące przetwarzania przez niego danych osobowych, w ciągu 14 dni roboczych od otrzymania wniosku.
3. W przypadku konieczności przeprowadzenia przez Administratora audytów, w tym inspekcji, Administrator jest zobowiązany do uzgodnienia z Procesorem zasad przeprowadzenia tych działań z odpowiednim wyprzedzeniem, to jest na co najmniej 30 dni roboczych przed planowanym audytem lub inspekcją.
4. Administrator wskaże wówczas Procesorowi dokładny zakres, termin oraz osoby upoważnione przez Administratora do przeprowadzenia kontroli. Jeżeli przeprowadzenie kontroli przetwarzania nie będzie możliwe w terminie wskazanym przez Administratora w zawiadomieniu, o którym mowa w zdaniu poprzednim (z uzasadnionych przyczyn, w szczególności z uwagi na liczbę kontroli zgłoszonych przez innych klientów Procesora), Procesor poinformuje  Administratora o pierwszym możliwym terminie przeprowadzenia kontroli; informacja taka zostanie przekazana za pośrednictwem poczty elektronicznej lub pocztą tradycyjną.

 

 

§ 6. Odpowiedzialność

 

1. Procesor jest odpowiedzialny względem Administratora za zgodność z Umową przetwarzania danych osobowych, których przetwarzanie Administrator powierzył Procesorowi na mocy niniejszej Umowy.
2. Procesor ponosi odpowiedzialność jedynie za poniesione przez Administratora rzeczywiste straty wynikłe z niewykonania lub nienależytego wykonywania niniejszej Umowy, będącego następstwem okoliczności, za które Procesor ponosi odpowiedzialność - przy czym całkowita odpowiedzialność Procesora z wszelkich tytułów wynikających z niniejszej Umowy w całym okresie jej obowiązywania nie może przekroczyć kwoty stanowiącej wartość netto przychodów Procesora z tytułu świadczenia Usług na rzecz Administratora, w związku z którymi przetwarzane są dane osobowe, osiągniętych przez Procesora w okresie ostatniego roku poprzedzającego zaistnienie naruszenia. Procesor nie ponosi odpowiedzialności za jakiekolwiek korzyści, jakie Administrator mógłby osiągnąć gdyby mu szkody nie wyrządzono. Wszelka dalej idąca odpowiedzialność Procesora za szkody, jakie może ponieść Administrator w związku z niewykonaniem lub nienależytym wykonywaniem niniejszej Umowy, jest wyłączona.
3. W przypadku wszczęcia jakiegokolwiek postępowania administracyjnego lub sądowego w związku z przetwarzaniem danych przez Administratora i powierzeniem ich przetwarzania na mocy Umowy Procesorowi, Administrator niezwłocznie, to jest w terminie nie dłuższym niż 3 dni robocze od powzięcia wiadomości o ww. postępowaniu, poinformuje o tym Procesora na piśmie. Procesor będzie w miarę możliwości brał udział w wyjaśnianiu sprawy w celu zminimalizowania sankcji, które może zastosować organ nadzoru; w tym celu Procesor w szczególności będzie udzielał organowi wyjaśnień (ustnych lub pisemnych) i proponował środki zaradcze.

 

§ 7. Czas obowiązywania umowy i przetwarzania danych

1. Umowa będzie obowiązywała w sposób ciągły do czasu zakończenia korzystania przez Administratora z Usług.
2. W przypadku zakończenia korzystania z poszczególnych Usług świadczonych przez Procesora na rzecz Administratora zgodnie z regulaminami poszczególnych Usług, Procesor będzie zobowiązany do zaniechania przetwarzania, a w konsekwencji do usunięcia danych powierzonych do przetwarzania przez Administratora w ramach danej Usługi.

 

§ 8. Poufność

1. Procesor zobowiązuje się do zachowania w poufności wszystkich danych osobowych, których przetwarzanie powierza Administrator w ramach niniejszej Umowy.
2. Procesor oświadcza, że dane osobowe powierzone do przetwarzania przez Administratora nie będą ujawniane, z wyjątkiem powierzenia ich dalszego przetwarzania w myśl § 4 Umowy oraz z wyjątkiem, gdy obowiązek ich ujawnienia będzie wynikał z Umowy lub przepisów obowiązujących Procesora (np. w wyniku zapytania złożonego przez organy wymiaru sprawiedliwości).
3. Strony zobowiązują się do podjęcia wszelkich uzasadnionych działań dla zapewnienia poufności form porozumiewania się między sobą, tak aby zminimalizować ryzyko naruszenia zasad ochrony danych osobowych, w tym ich ujawnienia, w szczególności podczas ich wzajemnego przekazywania sobie oraz przechowywania.

 

§ 9. Postanowienia końcowe

1. Postanowienia Umowy zastępują wszelkie porozumienia objęte jej zakresem (tzn. dotyczące powierzenia przetwarzania danych osobowych), a które do dnia 25.05.2018 r. mogły wynikać z regulaminów poszczególnych Usług świadczonych przez Procesora na rzecz Administratora.
2. Sądem właściwym do rozpatrywania sporów związanych z Umową jest sąd właściwy dla siedziby Procesora.
3. W zakresie nieuregulowanym w niniejszej umowie zastosowanie znajdują przepisy RODO oraz Kodeksu Cywilnego.