Umowa powierzenia to dokument, który reguluje relacje pomiędzy administratorem i podmiotem przetwarzającym. Obowiązek zawarcia umowy powierzenia przetwarzania danych osobowych (lub odpowiedniej klauzuli w umowie, w ramach której będzie miało miejsce powierzenie przetwarzania danych osobowych) jest niezależny od trybu podejmowania współpracy z podmiotem przetwarzającym. fvrO. "Językowe SOS. Rozmówki ukraińsko-polsko-angielsko-niemieckie" to nowa publikacja zrealizowana przez Wydział Humanistyczny Uniwersytetu Szczecińskiego. Opracował ją zespół autorów pod merytoryczną opieką prof. dr hab. Ewy Kołodziejek. Rozmówki mają pomóc w codziennych sytuacjach, np. u lekarza, w aptece, w sklepie, w restauracji, na poczcie, w urzędzie, w środkach lokomocji, w mieście. Pomogą znaleźć odpowiednie słowa, by się przywitać, pożegnać, przedstawić, podziękować, przeprosić czy określić czas. Pozwolą też nawiązać kontakt przy poszukiwaniu pracy albo gdy zdarzy się wypadek. Publikacja została sfinansowana ze środków Gminy Miasta Szczecin. Można ją pobrać ze strony Uniwersytetu, w zakładce "US dla Ukrainy". Umowa o powierzeniu przetwarzania danych osobowych UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH § 1. Zawarcie umowy Z chwilą kliknięcia przycisku „Akceptuję umowę” dochodzi do zawarcia niniejszej umowy (zwanej dalej „Umową”) pomiędzy podmiotem, który reprezentuje osoba akceptująca umowę (np. szkołą, spółką albo bezpośrednio osobą akceptującą umowę), zwaną dalej „Administratorem”, a spółką Gdańskie Wydawnictwo Oświatowe spółka z ograniczoną odpowiedzialnością spółka komandytowa z siedzibą w Gdańsku, al. Grunwaldzka 413, 80-309 Gdańsk, zarejestrowaną w rejestrze przedsiębiorców prowadzonym przy Sądzie Rejonowym Gdańsk-Północ w Gdańsku, VII Wydział Gospodarczy KRS pod numerem KRS 0000537551, posiadającą nr REGON: 190409115 oraz NIP: 584-10-00-656, zwaną dalej „Procesorem”. Osoba, która kliknęła przycisk „Akceptuję umowę”, oświadcza jednocześnie, iż: jest w prawidłowy sposób upoważniona przez Administratora do zawarcia Umowy albo występuje we własnym imieniu jako Administrator; zapoznała się z treścią Umowy i akceptuje jej postanowienia. Procesor nie ponosi odpowiedzialności za działania osoby, która zawarła Umowę w imieniu Administratora, pomimo braku prawidłowego umocowania. Procesor posiada informacje identyfikujące Administratora potrzebne do zawarcia Umowy (np. nazwę szkoły i jej adres) w swojej bazie danych, w związku z czym nie jest konieczne uzupełnianie informacji identyfikujących Administratora bezpośrednio w treści niniejszej Umowy, a wystarczające jest kliknięcie przycisku „Akceptuję umowę”, który jest opatrzony hiperlinkiem indywidualnie generowanym dla każdego podmiotu, któremu Procesor proponuje zawarcie Umowy. § 2. Zakres i cel umowy Umowa zostaje zawarta w związku z usługami świadczonymi drogą elektroniczną przez Procesora, takich jak Lepsza Szkoła, Matlandia i inne Aplikacje GWO (zgodnie z zaakceptowanymi przez Administratora regulaminami poszczególnych usług) zwanych dalej łącznie „Usługami”, w ramach których dochodzi lub może dochodzić do przekazania Procesorowi przez Administratora danych osobowych w celu ich przetwarzania przez Procesora. Zawarcie Umowy jest związane z koniecznością wykonania obowiązków Administratora oraz Procesora wynikających z przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE ( dalej zwanego „RODO”. Do powierzenia przetwarzania danych Procesorowi przez Administratora wystarczające jest zawarcie jednorazowo niniejszej Umowy, pomimo korzystania z różnych Usług przez Administratora. Brak zawarcia Umowy lub jej późniejsze rozwiązanie może skutkować brakiem możliwości pełnego korzystania z Usług przez Administratora i inne osoby, które uzyskują dostęp do Usług. Administrator na mocy Umowy powierza Procesorowi przetwarzanie następujących danych: dane osobowe uczniów, w skład których wchodzą: imię i nazwisko, klasa, placówka szkolna, w której się uczy, wyniki rozwiązywanych testów, nr IP, login, adres e-mail oraz inne dane, które mogą być potrzebne do realizacji Usługi; dane osobowe nauczycieli (pracowników Administratora), w skład których wchodzą: imię i nazwisko, klasy, w których uczy nauczyciel, miejsce zatrudnienia, nauczany przedmiot, nr IP, login, adres e-mail oraz inne dane, które mogą być potrzebne do realizacji Usługi; dane osobowe innych osób, które mogą korzystać z Usług, w skład których wchodzą: imię i nazwisko, miejsce zatrudnienia, nr IP, login, adres e-mail oraz inne dane, które mogą być potrzebne do realizacji Usługi. Czynności przetwarzania danych osobowych, do których wykonywania Administrator upoważnia Procesora, mogą obejmować przechowywanie, modyfikowanie, uzupełnianie, aktualizację, pobieranie, przeglądanie, wykorzystywanie, udostępnianie, łączenie, ograniczanie, usuwanie lub niszczenie, archiwizowanie danych, w tym także w sposób zautomatyzowany. Administrator oświadcza, iż jest administratorem powierzanych danych osobowych w rozumieniu RODO i spełnił wszelkie warunki legalności przetwarzania danych osobowych. Administrator zapewnia, że posiadane przez niego i przekazywane Procesorowi do przetwarzania dane osobowe zostały zgromadzone i udostępnione Procesorowi zgodnie z prawem, w tym w szczególności, że Administrator posiada podstawę prawną do ich przetwarzania oraz do powierzenia ich przetwarzania w zakresie opisanym w Umowie (np. posiada odpowiednią zgodę na przetwarzanie danych wyrażoną przez uprawnioną do tego osobę). Procesor będzie przetwarzał dane osobowe w związku ze świadczeniem Usług, z których korzysta Administrator, w celu umożliwienia pełnego korzystania z nich, przez czas korzystania z Usług zgodnie z regulaminami poszczególnych Usług. Dane będą przetwarzane przez Procesora wyłącznie ze względu na to, iż Administrator chce korzystać z Usług, w ramach których dochodzi lub może dochodzić do przetwarzania danych osobowych, na udokumentowane polecenie Administratora. Administrator jest zobowiązany do niezwłocznego informowania Procesora o utracie prawa do przetwarzania danych, których przetwarzanie powierzył Procesorowi, wzywając do zaniechania przetwarzania i usunięcia tych danych. § 3. Obowiązki Procesora Procesor zapewnia, że – zgodnie z wymaganiami RODO – dane osobowe powierzone przez Administratora będą przetwarzane za pomocą odpowiednich środków technicznych lub organizacyjnych w sposób zapewniający odpowiednie ich bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem. Dla zapewnienia prawidłowości przetwarzania danych osobowych Procesor wdrożył w swojej działalności m. in. zgodną z RODO politykę bezpieczeństwa danych osobowych, a także upoważnił i w odpowiedni sposób przeszkolił swoich pracowników w związku z przetwarzaniem danych osobowych. Procesor zobowiązuje się do przetwarzania danych osobowych powierzonych przez Administratora zgodnie z postanowieniami Umowy oraz regulaminów poszczególnych Usług, które są świadczone na rzecz Administratora. Procesor: dopuści do przetwarzania danych osobowych jedynie osoby działające z jego upoważnienia oraz których dostęp do danych osobowych jest niezbędny do wykonania Usług, w związku z którymi przetwarzane są dane osobowe, zapewni, aby osoby mające dostęp do danych osobowych zobowiązane były do zachowania tajemnicy w zakresie przetwarzania danych osobowych, zaznajomi osoby upoważnione do przetwarzania danych osobowych z przepisami dotyczącymi ochrony danych osobowych i odpowiedzialnością za ochronę tych danych przed niepowołanym dostępem, nieuzasadnioną modyfikacją, zniszczeniem, nielegalnym ujawnieniem lub pozyskaniem danych osobowych. Uwzględniając stan wiedzy technicznej, koszt wdrożenia systemu informatycznego oraz charakter, zakres, kontekst i cele przetwarzania danych osobowych oraz ryzyko naruszenia praw osób, których dane dotyczą, Procesor wdrożył odpowiednie środki techniczne i organizacyjne, aby przetwarzanym danym osobowym zapewnić stopień bezpieczeństwa odpowiadający – z uwzględnieniem prawdopodobieństwa wystąpienia i wagi zagrożenia – ryzyku naruszenia praw lub wolności podmiotów danych w wyniku wykonywania niniejszej Umowy. Ponadto, Procesor - uwzględniając charakter wykonywanych czynności przetwarzania danych osobowych oraz dostępne Stronom informacje dotyczące danych osobowych powierzonych Procesorowi do przetwarzania na podstawie Umowy: w miarę możliwości pomaga Administratorowi wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą w zakresie wykonywania jej praw określonych w Rozdziale III RODO, udziela Administratorowi pomocy w wywiązaniu się z obowiązków wymienionych w art. 32?36 RODO, na żądanie Administratora, przekaże Administratorowi wszelkie znajdujące się w dyspozycji Procesora informacje w zakresie niezbędnym do wykazania spełnienia obowiązków określonych w art. 28 RODO, umożliwi Administratorowi lub działającej w jego imieniu osobie trzeciej, przeprowadzenie kontroli sposobu wywiązania się z wyżej wymienionych obowiązków, w tym również przez współdziałanie w przeprowadzeniu kontroli – na warunkach określonych w § 5. Obowiązki pomocy opisane w ust. 5 powyżej będą wykonywane przez Procesora w sytuacji, gdy Administrator nie ma możliwości wykonania danej czynności samodzielnie (we własnym zakresie) lub przy współdziałaniu ze strony osób trzecich innych niż Procesor oraz wyłącznie w zakresie obiektywnie niezbędnym dla umożliwienia Administratorowi wywiązania się przez niego z obowiązków wynikających z przepisów prawa. W innych przypadkach ww. obowiązki pomocy wykonywane będą przez Procesora w sposób i na warunkach odrębnie uzgodnionych przez Strony. W przypadku stwierdzenia naruszenia ochrony danych osobowych przetwarzanych na zlecenie Administratora, Procesor, zgodnie z przyjętą przez niego procedurą, poinformuje o tym Administratora niezwłocznie, nie później niż w terminie 36 godzin od stwierdzenia naruszenia; powiadomienie nastąpi przez przesłanie wiadomości za pośrednictwem poczty elektronicznej na adres Administratora. Procesor zobowiązuje się powiadamiać Administratora niezwłocznie, nie później niż w ciągu 3 dni roboczych od wystąpienia zdarzenia, o: wszelkich żądaniach ujawnienia powierzonych przez Administratora danych osobowych, zgłaszanych przez organy władzy publicznej, przed ich ujawnieniem, chyba że jest to z innych względów zabronione; wszczęciu kontroli przez organ nadzorczy zajmujący się ochroną danych osobowych w związku z powierzeniem przez Administratora Procesorowi przetwarzania danych osobowych, a także o wszelkich decyzjach lub postanowieniach administracyjnych wydanych wobec Procesora w związku z powyższym; wszczętych lub toczących się postępowaniach administracyjnych, sądowych lub przygotowawczych związanych z powierzeniem przez Administratora Procesorowi przetwarzania danych osobowych, a także o wszelkich decyzjach, postanowieniach lub orzeczeniach wydanych wobec Procesora w związku z powyższym; wszelkich incydentach dotyczących przetwarzania przez Procesora danych osobowych powierzonych przez Administratora, w tym uzyskania przypadkowego lub nieupoważnionego dostępu do powierzonych danych osobowych, przypadkach zmiany, utraty, uszkodzenia lub zniszczenia powierzonych danych osobowych. § 4. Zasady dalszego powierzenia przetwarzania danych Administrator upoważnia Procesora do dalszego powierzenia przetwarzania danych osobowych objętych Umową, zewnętrznym podmiotom trzecim, spełniającym warunki RODO i Umowy, w celu wykonania Umowy i regulaminów świadczenia poszczególnych Usług. W szczególności dotyczy to zgody na dalsze powierzenie przetwarzania danych podwykonawcom (np. podmiotom świadczącym usługi informatyczne i dostarczające infrastrukturę teleinformatyczną Procesorowi). Procesor ponosi pełną odpowiedzialność wobec Administratora za realizację obowiązków i zadań przez zewnętrzny podmiot trzeci. Procesor może przekazać powierzone dane do państwa trzeciego wyłącznie na pisemne polecenie Administratora, chyba że obowiązek taki nakłada na Procesora prawo Unii Europejskiej lub prawo państwa członkowskiego UE, któremu podlega Procesor. W takim przypadku przed rozpoczęciem przetwarzania Procesor informuje Administratora o tym obowiązku, jeśli prawo nie zabrania udzielenia takiej informacji ze względu na ważny interes publiczny. Jeżeli do wykonania w imieniu Administratora konkretnych czynności przetwarzania Procesor korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają – na mocy umowy lub innego aktu prawnego, które podlegają prawu Unii Europejskiej lub prawu państwa członkowskiego – te same obowiązki ochrony danych jak w Umowie, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na Procesorze. § 5. Prawo do kontroli Administrator ma prawo do kontroli Procesora w celu stwierdzenia, czy środki zastosowane przy przetwarzaniu danych w związku z Umową spełniają postanowienia Umowy oraz RODO. Procesor na pisemny wniosek Administratora przekaże mu informacje dotyczące przetwarzania przez niego danych osobowych, w ciągu 14 dni roboczych od otrzymania wniosku. W przypadku konieczności przeprowadzenia przez Administratora audytów, w tym inspekcji, Administrator jest zobowiązany do uzgodnienia z Procesorem zasad przeprowadzenia tych działań z odpowiednim wyprzedzeniem, to jest na co najmniej 30 dni roboczych przed planowanym audytem lub inspekcją. Administrator wskaże wówczas Procesorowi dokładny zakres, termin oraz osoby upoważnione przez Administratora do przeprowadzenia kontroli. Jeżeli przeprowadzenie kontroli przetwarzania nie będzie możliwe w terminie wskazanym przez Administratora w zawiadomieniu, o którym mowa w zdaniu poprzednim (z uzasadnionych przyczyn, w szczególności z uwagi na liczbę kontroli zgłoszonych przez innych klientów Procesora), Procesor poinformuje Administratora o pierwszym możliwym terminie przeprowadzenia kontroli; informacja taka zostanie przekazana za pośrednictwem poczty elektronicznej lub pocztą tradycyjną. § 6. Odpowiedzialność Procesor jest odpowiedzialny względem Administratora za zgodność z Umową przetwarzania danych osobowych, których przetwarzanie Administrator powierzył Procesorowi na mocy niniejszej Umowy. Procesor ponosi odpowiedzialność jedynie za poniesione przez Administratora rzeczywiste straty wynikłe z niewykonania lub nienależytego wykonywania niniejszej Umowy, będącego następstwem okoliczności, za które Procesor ponosi odpowiedzialność - przy czym całkowita odpowiedzialność Procesora z wszelkich tytułów wynikających z niniejszej Umowy w całym okresie jej obowiązywania nie może przekroczyć kwoty stanowiącej wartość netto przychodów Procesora z tytułu świadczenia Usług na rzecz Administratora, w związku z którymi przetwarzane są dane osobowe, osiągniętych przez Procesora w okresie ostatniego roku poprzedzającego zaistnienie naruszenia. Procesor nie ponosi odpowiedzialności za jakiekolwiek korzyści, jakie Administrator mógłby osiągnąć gdyby mu szkody nie wyrządzono. Wszelka dalej idąca odpowiedzialność Procesora za szkody, jakie może ponieść Administrator w związku z niewykonaniem lub nienależytym wykonywaniem niniejszej Umowy, jest wyłączona. W przypadku wszczęcia jakiegokolwiek postępowania administracyjnego lub sądowego w związku z przetwarzaniem danych przez Administratora i powierzeniem ich przetwarzania na mocy Umowy Procesorowi, Administrator niezwłocznie, to jest w terminie nie dłuższym niż 3 dni robocze od powzięcia wiadomości o ww. postępowaniu, poinformuje o tym Procesora na piśmie. Procesor będzie w miarę możliwości brał udział w wyjaśnianiu sprawy w celu zminimalizowania sankcji, które może zastosować organ nadzoru; w tym celu Procesor w szczególności będzie udzielał organowi wyjaśnień (ustnych lub pisemnych) i proponował środki zaradcze. § 7. Czas obowiązywania umowy i przetwarzania danych Umowa będzie obowiązywała w sposób ciągły do czasu zakończenia korzystania przez Administratora z Usług. W przypadku zakończenia korzystania z poszczególnych Usług świadczonych przez Procesora na rzecz Administratora zgodnie z regulaminami poszczególnych Usług, Procesor będzie zobowiązany do zaniechania przetwarzania, a w konsekwencji do usunięcia danych powierzonych do przetwarzania przez Administratora w ramach danej Usługi. § 8. Poufność Procesor zobowiązuje się do zachowania w poufności wszystkich danych osobowych, których przetwarzanie powierza Administrator w ramach niniejszej Umowy. Procesor oświadcza, że dane osobowe powierzone do przetwarzania przez Administratora nie będą ujawniane, z wyjątkiem powierzenia ich dalszego przetwarzania w myśl § 4 Umowy oraz z wyjątkiem, gdy obowiązek ich ujawnienia będzie wynikał z Umowy lub przepisów obowiązujących Procesora (np. w wyniku zapytania złożonego przez organy wymiaru sprawiedliwości). Strony zobowiązują się do podjęcia wszelkich uzasadnionych działań dla zapewnienia poufności form porozumiewania się między sobą, tak aby zminimalizować ryzyko naruszenia zasad ochrony danych osobowych, w tym ich ujawnienia, w szczególności podczas ich wzajemnego przekazywania sobie oraz przechowywania. § 9. Postanowienia końcowe Postanowienia Umowy zastępują wszelkie porozumienia objęte jej zakresem (tzn. dotyczące powierzenia przetwarzania danych osobowych), a które do dnia r. mogły wynikać z regulaminów poszczególnych Usług świadczonych przez Procesora na rzecz Administratora. Sądem właściwym do rozpatrywania sporów związanych z Umową jest sąd właściwy dla siedziby Procesora. W zakresie nieuregulowanym w niniejszej umowie zastosowanie znajdują przepisy RODO oraz Kodeksu Cywilnego. Co za umowa, ta umowa powierzenia przetwarzania danych? Dlaczego powinna Cię interesować? Otóż niemal każdy przedsiębiorca przekazuje dane osobowe, którymi administruje innym podmiotom – księgowemu, prawnikowi, operatorowi mailingu (np. lub firmom kurierskim, „hostingodawcy” i innym. Zanim zawrzesz umowę powierzenia przetwarzania danych Sprawdź kontrahenta. Co to za firma, gdzie ma siedzibę, czy daje rękojmię bezpiecznego przetwarzania danych? Odpowiadasz za dane osobowe i to, że komuś je powierzyłeś nie oznacza, że masz kłopot z głowy. Sprawdź polityki, procedury i zapewnienia firm, którym powierzasz dane. Jeśli na Twoje pytania o te rzeczy, zrobią wielkie oczy, to się zastanów, czy to na pewno partner godny zaufania. Co powinna zawierać umowa powierzenia przetwarzania danych? jakie dane (np. imię, nazwisko, adres zamieszkania), jakiej kategorii osób (np. pracowników) w jakim celu (np. w celu realizacji umowy o obsługę księgową z dnia … r.), zobowiązanie podmiotu przetwarzającego do adekwatnej ochrony danych i zachowania należytej staranności, zobowiązanie do zapewnienia tajemnicy, zobowiązanie do pomocy w razie zapytań osób, które udostępniły dane, zobowiązanie do niezwłocznego powiadomienia o naruszeniach , prawo kontroli przez administratora i zasady jego wykonywania (np. ile razy, co ile czasu , w jakich godzinach), uzależnienie dalszego powierzenia danych od zgody administratora, okres obowiązywania umowy i ewentualne przypadki, w których możliwe jest wcześniejsze zakończenie umowy (np. niewywiązywanie się z obowiązku ochrony danych), Forma umowy RODO mówi o o formie pisemnej, w tym elektronicznej, co jest trochę mylące, bo polska terminologia nieco się różni (według polskich przepisów forma „elektroniczna” nie jest „pisemna”). Nie mając jednak często wyboru, musimy przyjąć, że dopuszczalna forma ELEKTRONICZNA obejmuje na przykład umowy zawarte przez pocztę ELEKTRONICZNĄ lub na ELEKTRONICZNYM nośniku danych. Co istotne, niezachowanie formy pisemnej nie powoduje nieważności umowy. Możesz mieć jednak problem z udowodnieniem, że zawarłeś umowę, jeśli ograniczysz się do formy ustnej, więc… nie ograniczaj się… Jeśli jesteś z drugiej strony Może się też okazać, że to Tobie zostaną powierzone dane osobowe. Musisz być wówczas świadomy przyjmowanej na siebie odpowiedzialności. Nie oszukujmy się, wiele dotychczas zawieranych umów również zawierało zobowiązanie do zachowania w tajemnicy wszystkich uzyskanych od np. zleceniodawcy danych osobowych i innych informacji. Również teraz, przed wejściem w życie RODO, żaden szanujący się profesjonalista nie mógł sobie pozwolić na „wyciek” powierzonych mu danych. RODO dodatkowo zobowiązuje Cię do współpracy z administratorem przy wykonywaniu jego obowiązków, np. informacyjnego wobec osoby, która powierzyła mu swoje dane. Inne moje artykuły o RODO Zgodnie z Kalendarzem Przedsiębiorczych kwiecień to miesiąc przygotowań do RODO. Żeby pomóc Ci w tych przygotowaniach, napisałam kilka artykułów, które powinien przeczytać każdy mały przedsiębiorca. Oto one: Co to jest RODO? Kiedy można przetwarzać dane osobowe? Jak chronić dane osobowe? I na koniec ten, który właśnie przeczytałeś. Jeśli uważasz, że są przydatne, podziel się nimi z innymi, którzy niepotrzebnie panikują przed wejściem w życie RODO. Pozdrawiam, AKN