← Strona główna

Umowa Powierzenia Przetwarzania Danych Osobowych

Załącznik nr 1 do Regulaminu  ·  Wersja 1.0  ·  Wchodzi w życie z dniem rejestracji konta

Niniejsza Umowa Powierzenia Przetwarzania Danych Osobowych (dalej: "Umowa Powierzenia") jest zawierana automatycznie z chwilą rejestracji konta w Serwisie Gradivo i akceptacji Regulaminu. Stanowi ona Załącznik nr 1 do Regulaminu i jest integralną częścią umowy o świadczenie usług. Umowa jest zawierana na podstawie art. 28 ust. 3 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO).

Strony Umowy

PODMIOT PRZETWARZAJĄCY (Procesor):
Centrum Siedlisko Spółka z ograniczoną odpowiedzialnością
ul. Staromiejska 42, 64-510 Nowa Wieś
KRS: 0001074516  ·  NIP: 7872145026  ·  REGON: 527159103
Reprezentowana przez: Zarząd Spółki
E-mail: kontakt@gradivo.pl
ADMINISTRATOR DANYCH (Klient):
Podmiot, który zarejestrował konto w Serwisie Gradivo - dane identyfikacyjne wskazane przy rejestracji.
Administrator jest odpowiedzialny za posiadanie odpowiedniej podstawy prawnej do przetwarzania danych powierzanych Podmiotowi przetwarzającemu.

Spis treści

  1. Definicje
  2. Przedmiot i czas trwania
  3. Zakres powierzenia - dane i kategorie
  4. Obowiązki Podmiotu przetwarzającego
  5. Obowiązki i uprawnienia Administratora
  6. Podpowierzenie (dalsze powierzenie)
  7. Środki bezpieczeństwa
  8. Naruszenia ochrony danych
  9. Realizacja praw osób, których dane dotyczą
  10. Zwrot i usunięcie danych
  11. Audyt i kontrola
  12. Odpowiedzialność
  13. Postanowienia końcowe
  14. Aneks nr 1 - Lista podprocesorów

§ 1. Definicje

  1. RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.
  2. Administrator - Klient Serwisu Gradivo, który powierza Podmiotowi przetwarzającemu dane osobowe uczniów, rodziców/opiekunów i lektorów.
  3. Podmiot przetwarzający - Centrum Siedlisko Sp. z o.o., operator Serwisu Gradivo.
  4. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, przetwarzane przez Podmiot przetwarzający na zlecenie Administratora.
  5. Naruszenie ochrony danych - naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych.
  6. Podprocesor - podwykonawca, któremu Podmiot przetwarzający powierza przetwarzanie danych na podstawie odrębnej umowy.

§ 2. Przedmiot i czas trwania

  1. Na mocy niniejszej Umowy Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych w zakresie niezbędnym do świadczenia usług Serwisu Gradivo, określonych w Regulaminie.
  2. Podmiot przetwarzający przetwarza dane osobowe wyłącznie w celu, w zakresie i na zasadach opisanych w niniejszej Umowie, wyłącznie na udokumentowane polecenie Administratora, za które uznaje się samo korzystanie z funkcjonalności Serwisu.
  3. Umowa obowiązuje przez cały czas trwania Umowy o świadczenie usług (Regulaminu) i wygasa z chwilą jej rozwiązania lub wygaśnięcia, z zachowaniem postanowień § 10 dotyczących usunięcia danych.

§ 3. Zakres powierzenia - dane i kategorie osób

ElementOpis
Charakter przetwarzania Zbieranie, utrwalanie, przechowywanie, opracowywanie, modyfikowanie, udostępnianie (wysyłka e-mail) i usuwanie danych osobowych za pośrednictwem Serwisu Gradivo
Cel przetwarzania Tworzenie i zarządzanie ewaluacjami postępów uczniów; generowanie raportów PDF; wysyłka raportów do rodziców/opiekunów lub lektorów; przechowywanie historii ewaluacji
Rodzaj danych osobowych Imię i nazwisko ucznia; przynależność do grupy i rok szkolny; wyniki ewaluacji, oceny, komentarze; adres e-mail rodzica/opiekuna (opcjonalnie); imię i nazwisko lektora; adres e-mail lektora (opcjonalnie)
Kategorie osób, których dane dotyczą Uczniowie (w tym osoby niepełnoletnie); rodzice/opiekunowie prawni uczniów; lektorzy (pracownicy lub współpracownicy Administratora)
Szczególne kategorie danych (art. 9 RODO) Serwis nie jest przeznaczony do przetwarzania szczególnych kategorii danych osobowych. Administrator zobowiązuje się do nieprzechowywania takich danych w Serwisie.

§ 4. Obowiązki Podmiotu przetwarzającego

Podmiot przetwarzający zobowiązuje się do:

  1. przetwarzania danych osobowych wyłącznie na udokumentowane polecenie Administratora i wyłącznie w celach określonych w § 3, chyba że obowiązek przetwarzania wynika z przepisów prawa Unii lub prawa polskiego;
  2. zapewnienia, że osoby upoważnione do przetwarzania danych osobowych (pracownicy, współpracownicy) zobowiązały się do zachowania tajemnicy lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
  3. wdrożenia i utrzymania odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku, o których mowa w § 7;
  4. przestrzegania warunków korzystania z usług innego podmiotu przetwarzającego (podprocesora) zgodnie z § 6;
  5. biorąc pod uwagę charakter przetwarzania, pomagania Administratorowi w realizacji obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO;
  6. pomagania Administratorowi w wywiązywaniu się z obowiązków określonych w art. 32-36 RODO (bezpieczeństwo, naruszenia, ocena skutków);
  7. po zakończeniu świadczenia usług - usunięcia lub zwrotu wszelkich danych osobowych zgodnie z § 10;
  8. udostępniania Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO, umożliwienia i przyczyniania się do przeprowadzania audytów, w tym inspekcji, przez Administratora lub upoważnionego przez niego audytora.

§ 5. Obowiązki i uprawnienia Administratora

  1. Administrator oświadcza, że jest uprawniony do powierzenia Podmiotowi przetwarzającemu przetwarzania danych osobowych, które wprowadza do Serwisu, oraz że posiada odpowiednią podstawę prawną do przetwarzania tych danych (w szczególności zgody rodziców/opiekunów uczniów niepełnoletnich lub inną podstawę z art. 6 RODO).
  2. Administrator ponosi wyłączną odpowiedzialność za zapewnienie odpowiedniej podstawy prawnej do przetwarzania danych osobowych uczniów, w szczególności dzieci poniżej 16. roku życia, oraz za wypełnienie obowiązków informacyjnych wobec osób, których dane dotyczą (art. 13-14 RODO).
  3. Administrator zobowiązuje się do korzystania z Serwisu wyłącznie w sposób zgodny z prawem, w celach edukacyjnych, i do niepowierzania danych, których przetwarzanie jest bezprawne.
  4. Administrator może wydawać Podmiotowi przetwarzającemu udokumentowane polecenia dotyczące sposobu przetwarzania danych.
  5. Jeżeli zdaniem Podmiotu przetwarzającego polecenie Administratora stanowi naruszenie RODO lub innych przepisów o ochronie danych, Podmiot przetwarzający niezwłocznie poinformuje o tym Administratora.

§ 6. Podpowierzenie (dalsze powierzenie)

  1. Administrator wyraża ogólną zgodę na korzystanie przez Podmiot przetwarzający z usług podprocesorów wymienionych w Aneksie nr 1 do niniejszej Umowy.
  2. Przed zaangażowaniem nowego podprocesora Podmiot przetwarzający poinformuje Administratora drogą e-mail z co najmniej 14-dniowym wyprzedzeniem. Administrator ma prawo zgłosić sprzeciw wobec nowego podprocesora w tym terminie. W przypadku uzasadnionego sprzeciwu strony podejmą rozmowy; jeżeli nie osiągną porozumienia, Administrator może rozwiązać Umowę bez ponoszenia kar umownych.
  3. Podmiot przetwarzający nakłada na podprocesora, w drodze umowy, te same obowiązki w zakresie ochrony danych, jakie spoczywają na nim na mocy niniejszej Umowy, w szczególności wymóg wdrożenia odpowiednich środków bezpieczeństwa.
  4. Podmiot przetwarzający odpowiada wobec Administratora za działania i zaniechania podprocesorów tak jak za własne działania i zaniechania.

§ 7. Środki bezpieczeństwa

Podmiot przetwarzający wdraża i utrzymuje co najmniej następujące środki techniczne i organizacyjne w rozumieniu art. 32 RODO:

ObszarStosowane środki
Szyfrowanie transmisji Protokół TLS (HTTPS) dla wszystkich połączeń z Serwisem
Uwierzytelnianie Hasła przechowywane wyłącznie jako skróty bcrypt; wymóg hasła min. 8 znaków
Kontrola dostępu Role (admin, lektor) z granularnymi uprawnieniami; izolacja danych między szkołami na poziomie bazy danych (school_id)
Bezpieczeństwo sesji Automatyczne wygasanie sesji po 8 godzinach nieaktywności; flagi httpOnly i Secure dla cookies sesji
Ochrona przed atakami Tokeny CSRF w formularzach; parametryzowane zapytania SQL (PDO); blokowanie wykonywania PHP w katalogu plików
Lokalizacja danych Baza danych przechowywana poza katalogiem dostępnym publicznie przez serwer HTTP
Kopie zapasowe Regularne kopie zapasowe danych przechowywane w bezpieczny sposób
Minimalizacja dostępu Dostęp do danych produkcyjnych ograniczony do minimum osób po stronie Podmiotu przetwarzającego; polityka "need-to-know"

§ 8. Naruszenia ochrony danych

  1. W przypadku stwierdzenia naruszenia ochrony danych osobowych Podmiot przetwarzający niezwłocznie, nie później niż w ciągu 24 godzin od stwierdzenia naruszenia, powiadomi Administratora o tym fakcie za pośrednictwem poczty elektronicznej na adres wskazany w koncie Administratora.
  2. Powiadomienie będzie zawierać co najmniej:
    • opis charakteru naruszenia (kategorie i przybliżona liczba osób, których to dotyczy, oraz kategorie i przybliżona liczba wpisów danych),
    • imię i nazwisko oraz dane kontaktowe osoby do kontaktu,
    • opis możliwych konsekwencji naruszenia,
    • opis środków podjętych lub proponowanych przez Podmiot przetwarzający w celu zaradzenia naruszeniu.
  3. Podmiot przetwarzający współpracuje z Administratorem w zakresie realizacji obowiązku zgłoszenia naruszenia do Prezesa UODO (art. 33 RODO) i, w stosownych przypadkach, zawiadomienia osób, których dane dotyczą (art. 34 RODO).
  4. Podmiot przetwarzający dokumentuje wszelkie naruszenia ochrony danych, w tym okoliczności naruszenia, jego skutki oraz podjęte działania naprawcze.

§ 9. Realizacja praw osób, których dane dotyczą

  1. Podmiot przetwarzający wspiera Administratora w realizacji praw osób, których dane dotyczą (art. 15-22 RODO), w tym w zakresie dostępu, sprostowania, usunięcia i przenoszenia danych.
  2. Jeżeli do Podmiotu przetwarzającego wpłynie żądanie od osoby, której dane dotyczą, w sprawach objętych niniejszą Umową Powierzenia, Podmiot przetwarzający niezwłocznie przekaże takie żądanie Administratorowi i powstrzyma się od samodzielnego odpowiadania na nie, chyba że Administrator inaczej zdecyduje.
  3. Na żądanie Administratora Podmiot przetwarzający udostępnia eksport danych w formacie CSV/JSON (prawo do przenoszenia danych).

§ 10. Zwrot i usunięcie danych

  1. Po rozwiązaniu lub wygaśnięciu Umowy o świadczenie usług dane powierzone przez Administratora są przechowywane przez 30 dni, a następnie trwale i bezpowrotnie usuwane z systemu produkcyjnego oraz z kopii zapasowych (w miarę naturalnego rotowania kopii).
  2. Na pisemny (e-mail) wniosek Administratora złożony przed upływem 30-dniowego okresu, Podmiot przetwarzający udostępni eksport danych Administratora w formacie CSV lub JSON.
  3. Na żądanie Administratora złożone przed rozwiązaniem Umowy, Podmiot przetwarzający może usunąć dane przed upływem 30-dniowego okresu.
  4. Podmiot przetwarzający potwierdza na piśmie (e-mail) dokonanie usunięcia danych na żądanie Administratora.
  5. Obowiązek usunięcia nie dotyczy danych, których przechowywanie jest wymagane przepisami prawa (np. danych rozliczeniowych przez okres 5 lat).

§ 11. Audyt i kontrola

  1. Podmiot przetwarzający udostępnia Administratorowi na żądanie wszelkie informacje niezbędne do wykazania zgodności z art. 28 RODO.
  2. Administrator ma prawo do przeprowadzenia audytu (inspekcji) zgodności Podmiotu przetwarzającego z niniejszą Umową, samodzielnie lub za pośrednictwem upoważnionego audytora, pod warunkiem:
    • uprzedniego powiadomienia Podmiotu przetwarzającego co najmniej 30 dni przed planowaną datą audytu,
    • przeprowadzenia audytu w godzinach pracy,
    • nienaruszania poufności danych innych Klientów Podmiotu przetwarzającego.
  3. Koszty audytu ponosi Administrator, chyba że audyt wykaże istotne naruszenia niniejszej Umowy przez Podmiot przetwarzający.
  4. Podmiot przetwarzający może zaproponować Administratorowi wyniki audytu przeprowadzonego przez niezależnego audytora jako alternatywę dla inspekcji własnej.

§ 12. Odpowiedzialność

  1. Każda ze stron ponosi odpowiedzialność wobec osób, których dane dotyczą, za szkodę wyrządzoną w wyniku przetwarzania naruszającego RODO, w zakresie swojej odpowiedzialności.
  2. Podmiot przetwarzający jest wolny od odpowiedzialności, jeżeli udowodni, że w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody.
  3. Administrator odpowiada za prawidłowość i legalność danych osobowych wprowadzonych do Serwisu oraz za posiadanie odpowiedniej podstawy prawnej do powierzenia ich przetwarzania.
  4. Łączna odpowiedzialność Podmiotu przetwarzającego wobec Administratora z tytułu naruszenia niniejszej Umowy jest ograniczona do kwoty opłat uiszczonych przez Administratora za ostatnie 3 miesiące, z wyjątkiem szkód wyrządzonych umyślnie.

§ 13. Postanowienia końcowe

  1. Umowa Powierzenia zawierana jest w języku polskim. Prawem właściwym jest prawo polskie.
  2. W sprawach nieuregulowanych stosuje się przepisy RODO i prawa polskiego.
  3. Zmiany Umowy Powierzenia, w tym Aneksu nr 1 (lista podprocesorów), komunikowane są Administratorom drogą e-mail z co najmniej 14-dniowym wyprzedzeniem.
  4. Umowa Powierzenia jest integralną częścią Regulaminu. W przypadku sprzeczności między postanowieniami Umowy Powierzenia a Regulaminem, w zakresie dotyczącym ochrony danych osobowych, pierwszeństwo mają postanowienia niniejszej Umowy Powierzenia.
  5. Jeżeli jakiekolwiek postanowienie Umowy Powierzenia okaże się nieważne lub niewykonalne, pozostałe postanowienia zachowują moc.

Aneks nr 1 - Lista podprocesorów

Podmiot przetwarzający korzysta z usług następujących podprocesorów (podmiotów, którym powierza dalsze przetwarzanie danych osobowych powierzonych przez Administratorów):

Podprocesor Kraj siedziby Cel / zakres przetwarzania Zabezpieczenia transferu
Hostinger International Ltd.
61 Lordou Vironos, 6023 Larnaca, Cypr		 Cypr (EOG / UE) Przechowywanie danych na serwerach (hosting współdzielony / VPS), utrzymanie infrastruktury Umowa powierzenia zgodna z art. 28 RODO; Hostinger posiada własną DPA dostępną na hostinger.com/privacy; serwery do wyboru na terenie EOG (LT, NL, DE)
Dostawca usług SMTP / poczty wychodzącej
(aktualnie: serwer SMTP na serwerze hostingowym)		 EOG Wysyłka raportów ewaluacyjnych i powiadomień e-mail do rodziców i lektorów Umowa powierzenia lub standardowe klauzule umowne
Informacja o planowanych zmianach: O zamiarze zaangażowania nowego podprocesora lub zastąpienia dotychczasowego Administratorzy zostaną powiadomieni z co najmniej 14-dniowym wyprzedzeniem drogą e-mail. Aktualna lista podprocesorów jest dostępna pod adresem gradivo.pl/dpa.
Akceptacja Umowy Powierzenia: Niniejsza Umowa Powierzenia wchodzi w życie z chwilą rejestracji konta w Serwisie Gradivo poprzez zaznaczenie pola akceptacji Regulaminu przy rejestracji. Akceptacja Regulaminu jest jednoznaczna z akceptacją niniejszej Umowy Powierzenia jako jego integralnej części, zgodnie z art. 28 ust. 3 RODO.