Umowa Powierzenia Przetwarzania Danych Osobowych (RODO)

Niniejsza Umowa Powierzenia Przetwarzania Danych Osobowych (zwana dalej „Umową") zostaje zawarta pomiędzy podmiotem prawnym określonym jako Administrator (zwanym dalej „Klientem") a SENQUITY Spółka z ograniczoną odpowiedzialnością z siedzibą w Radomiu, ul. Kozia 16, 26-600 Radom, wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego pod numerem KRS 0001036693, posiadającą NIP 7963018492 i REGON 525332997, z kapitałem zakładowym w wysokości 5 000 PLN (zwaną dalej „Podmiotem Przetwarzającym"). Niniejsza Umowa zapewnia zgodność z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO) oraz polską Ustawą o ochronie danych osobowych z dnia 10 maja 2018 r., regulując sposób przetwarzania Danych Osobowych przez Podmiot Przetwarzający w imieniu Klienta. Klient i Podmiot Przetwarzający są łącznie określani jako „Strony".

1. Preambuła i Definicje

Preambuła: Niniejsza Umowa stanowi aneks do głównej umowy o świadczenie usług pomiędzy Stronami dotyczącej korzystania z platformy EduPlaner typu oprogramowanie-jako-usługa. Określa ona zobowiązania dotyczące ochrony danych Podmiotu Przetwarzającego podczas przetwarzania Danych Osobowych w imieniu Klienta. Strony uznają, że Klient działa jako Administrator Danych i określa cele oraz sposoby przetwarzania Danych Osobowych, a dostawca usług działa jako Podmiot Przetwarzający, przetwarzając Dane Osobowe wyłącznie na podstawie instrukcji Administratora i w jego imieniu. W przypadku konfliktu pomiędzy niniejszą Umową a innymi umowami, niniejsza Umowa ma pierwszeństwo w zakresie spraw dotyczących ochrony danych.

Definicje: Na potrzeby niniejszej Umowy poniższe terminy mają następujące znaczenia. Terminy użyte, ale niezdefiniowane, mają takie samo znaczenie jak w RODO lub obowiązującym prawie:

• „Dane Osobowe" oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej („Osoby, której dane dotyczą"), które są przetwarzane na podstawie niniejszej Umowy. Obejmuje to na przykład imiona i nazwiska oraz dane kontaktowe upoważnionego personelu wprowadzone do systemu planowania, jak szczegółowo opisano w Załączniku A.
• „Przetwarzanie" oznacza wszelkie operacje lub zestaw operacji wykonywanych na Danych Osobowych, takie jak zbieranie, rejestrowanie, organizowanie, przechowywanie, odzyskiwanie, wykorzystywanie, ujawnianie lub usuwanie.
• „Administrator (Klient)" oznacza podmiot prawny, który subskrybuje Usługę (np. szkoła, centrum szkoleniowe lub dział HR firmy), który określa cele i sposoby przetwarzania Danych Osobowych i jest klientem biznesowym usługi.
• „Podmiot Przetwarzający" oznacza dostawcę usług (naszą firmę), który zapewnia platformę AI Scheduler i przetwarza Dane Osobowe w imieniu Administratora.
• „SENQUITY OÜ" – spółka prawa estońskiego nr reg. 17152798, 15551 Tallinn, Estonia (dalej: „OÜ).
• „Usługi" oznaczają system zarządzania planami zajęć/zasobami typu SaaS. Typowe przypadki użycia obejmują edukację i szkolenia korporacyjne, świadczone przez Podmiot Przetwarzający na rzecz Administratora na podstawie głównej umowy o świadczenie usług.
• „Podprzetwarzający" oznacza wszelkie osoby trzecie zaangażowane przez Podmiot Przetwarzający do pomocy w przetwarzaniu Danych Osobowych w imieniu Administratora, zgodnie z niniejszą Umową (wymienionych w Załączniku C).
• „Przepisy o Ochronie Danych" oznaczają wszystkie obowiązujące przepisy prawa i regulacje dotyczące przetwarzania Danych Osobowych i prywatności, w tym RODO oraz obowiązujące polskie przepisy o ochronie danych, w tym wszelkie przepisy wykonawcze i wytyczne wydane przez Urząd Ochrony Danych Osobowych (UODO).

2. Przedmiot, Charakter, Cel, Czas Trwania

Przedmiot: Przedmiotem niniejszej Umowy jest świadczenie przez Podmiot Przetwarzający platformy AI Scheduler typu SaaS na rzecz Administratora, co obejmuje przetwarzanie określonych Danych Osobowych w imieniu Administratora.

Charakter Przetwarzania: Podmiot Przetwarzający będzie wykonywać różne operacje przetwarzania na Danych Osobowych zgodnie z potrzebami świadczenia i wsparcia Usług planowania. Obejmuje to zbieranie i przechowywanie danych wprowadzonych przez Administratora (takich jak imiona i nazwiska nauczycieli oraz szczegóły zajęć), organizowanie ich w plany zajęć, wykonywanie algorytmicznych obliczeń planowania, odzyskiwanie i wyświetlanie planów Administratorowi, oraz ewentualne przesyłanie danych (np. gdy Administrator uzyskuje dostęp do platformy) przez internet. Przetwarzanie jest w dużej mierze cyfrowe i zautomatyzowane, składające się z przechowywania w bazie danych w chmurze, operacji odczytu/zapisu przez aplikację i obliczania rozwiązań planów zajęć. Nie są przetwarzane żadne szczególne kategorie danych osobowych, a Podmiot Przetwarzający nie podejmuje autonomicznych decyzji dotyczących danych poza funkcjonalnością algorytmu planowania skonfigurowanego przez Administratora.

Cel Przetwarzania: Cel przetwarzania Danych Osobowych na podstawie niniejszej Umowy jest ściśle ograniczony do umożliwienia Administratorowi efektywnego zarządzania planami i zasobami. Podmiot Przetwarzający będzie wykorzystywał Dane Osobowe wyłącznie do generowania planów zajęć, zarządzania zasobami (personel, sale, kursy) i świadczenia powiązanych usług wsparcia (takich jak interfejs użytkownika do edytowania planów i ewentualnie chatbot do pomocy użytkownikom). Całe przetwarzanie służy uprawnionemu celowi świadczenia Usług określonych w głównej umowie, a Podmiot Przetwarzający nie będzie przetwarzał danych w żadnym innym celu poza tymi określonymi przez Administratora.

Czas Trwania Przetwarzania: Niniejsza Umowa i przetwarzanie Danych Osobowych będą kontynuowane przez czas trwania świadczenia usług na podstawie głównej umowy pomiędzy Stronami. Dane Osobowe będą przetwarzane tylko tak długo, jak długo Administrator subskrybuje lub korzysta z Usług, chyba że wymaga tego prawo. Po zakończeniu lub wygaśnięciu relacji usługowej Podmiot Przetwarzający zaprzestanie przetwarzania Danych Osobowych i zwróci lub usunie takie dane zgodnie z Sekcją 10 niniejszej Umowy. Określone okresy przechowywania danych mogą być dodatkowo zdefiniowane przez instrukcje Administratora lub obowiązujące prawo, ale przy ich braku Podmiot Przetwarzający nie będzie przechowywał Danych Osobowych dłużej niż jest to konieczne do realizacji określonych celów.

3. Kategorie Danych i Osób, których Dane Dotyczą

Kategorie Danych Osobowych i kategorie Osób, których dane dotyczą przetwarzane na podstawie niniejszej Umowy są ograniczone do tych niezbędnych do świadczenia usługi planowania. Szczegółowy podział znajduje się w Załączniku A (Kategorie Danych). Podsumowując, Podmiot Przetwarzający będzie obsługiwał następujące typy danych w imieniu Administratora:

• Osoby, których dane dotyczą: Dane Osobowe dotyczą głównie personelu Administratora – konkretnie upoważnionych administratorów, którzy korzystają z platformy (dane konta użytkownika) oraz personelu, którego imiona i nazwiska oraz szczegóły pracy są wprowadzane do celów planowania. W systemie nie są przetwarzane żadne dane osobowe uczestników indywidualnych (informacje o uczestnikach są obsługiwane wyłącznie w formie zagregowanej, takiej jak wielkość grup bez indywidualnych tożsamości). W systemie nie ma bezpośrednich kont użytkowników końcowych dla zaplanowanego personelu lub uczestników – tylko upoważniony personel administracyjny ma konta użytkowników do dostępu do platformy.

• Kategorie Danych Osobowych: Przetwarzane Dane Osobowe obejmują dane identyfikacyjne i kontaktowe upoważnionego personelu potrzebne do planowania. Obejmuje to zazwyczaj pełne imiona i nazwiska personelu (np. imiona i nazwiska instruktorów/trenerów przypisanych do sesji) i może obejmować służbowe informacje kontaktowe (takie jak adres e-mail lub numer telefonu, jeśli Administrator zdecyduje się je wprowadzić). W przypadku kont użytkowników administracyjnych Dane Osobowe obejmują imię i nazwisko administratora oraz adres e-mail do logowania, a także dane uwierzytelniające (hasło, przechowywane w formie zaszyfrowanej). Dodatkowe dane związane z planowaniem obejmują nazwy/identyfikatory sesji, informacje o wielkości grup, identyfikatory sal, nazwy kursów/działań oraz informacje o planach zajęć (np. który członek personelu jest przypisany do której sesji i o której godzinie). Te dodatkowe punkty danych planowania generalnie nie są Danymi Osobowymi same w sobie (ponieważ odnoszą się do grup lub sal), z wyjątkiem sytuacji, gdy są powiązane ze zidentyfikowanym członkiem personelu (np. wpis w planie zajęć łączący imię i nazwisko osoby z sesją).

• Kategorie Szczególne: Usługa nie wymaga ani nie przetwarza żadnych szczególnych kategorii danych osobowych (zgodnie z definicją w art. 9 RODO, takich jak zdrowie, pochodzenie rasowe/etniczne, dane biometryczne itp.) ani żadnych danych dotyczących wyroków skazujących (art. 10). Najbardziej wrażliwe informacje osobowe ograniczają się do imion i nazwisk personelu. Administrator zobowiązuje się nie wprowadzać żadnych wrażliwych danych osobowych do systemu. Podmiot Przetwarzający nie zbiera ani nie przetwarza celowo żadnych danych dotyczących uczestników indywidualnych, które mogłyby ich zidentyfikować; wszelkie informacje związane z uczestnikami są ograniczone do danych zagregowanych lub nieidentyfikujących (np. liczby wielkości grup lub kody grup).

4. Zobowiązania Podmiotu Przetwarzającego (Dostawcy Usług)

Podmiot Przetwarzający zobowiązuje się do przestrzegania następujących zobowiązań, zgodnie z Artykułem 28 RODO, podczas przetwarzania Danych Osobowych w imieniu Administratora.

• Przetwarzanie na Instrukcje: Podmiot Przetwarzający będzie przetwarzał Dane Osobowe wyłącznie na udokumentowane instrukcje Administratora i do celów wyraźnie autoryzowanych przez Administratora. Niniejsza Umowa, wraz z korzystaniem przez Administratora z Usług i wszelkimi konfiguracjami w nich, jest uważana za instrukcję Administratora dla Podmiotu Przetwarzającego. Podmiot Przetwarzający nie będzie wykorzystywał ani przetwarzał Danych Osobowych do żadnych celów innych niż te określone w Sekcji 2 (Cel Przetwarzania) lub w inny sposób określone na piśmie przez Administratora. Jeśli Podmiot Przetwarzający uważa, że jakakolwiek instrukcja Administratora narusza obowiązujące przepisy o ochronie danych, niezwłocznie poinformuje o tym Administratora.

• Zgodność z Przepisami: Podmiot Przetwarzający zapewni, że jego przetwarzanie Danych Osobowych jest zgodne ze wszystkimi obowiązującymi Przepisami o Ochronie Danych. Podmiot Przetwarzający poinformuje Administratora, jeśli zostanie zobowiązany przez prawo Unii Europejskiej lub państwa członkowskiego do przetwarzania Danych Osobowych poza instrukcjami Administratora (chyba że jest to prawnie zabronione); w takim przypadku Podmiot Przetwarzający ograniczy przetwarzanie do tego, co jest konieczne do przestrzegania prawa i poinformuje Administratora przed przetwarzaniem, jeśli jest to dozwolone.

• Poufność i Personel: Podmiot Przetwarzający będzie traktował wszystkie Dane Osobowe jako informacje poufne. Podmiot Przetwarzający zapewni, że każdy personel lub upoważnieni agenci, którzy mają dostęp do Danych Osobowych, są związani zobowiązaniami do zachowania poufności (albo umową, albo obowiązkiem ustawowym) i są odpowiednio przeszkoleni w zakresie ochrony danych. Dostęp do Danych Osobowych będzie ograniczony do tych osób, które muszą je przetwarzać w celu wypełnienia obowiązków Podmiotu Przetwarzającego na podstawie niniejszej Umowy, i ściśle do autoryzowanych celów. Podmiot Przetwarzający podejmuje rozsądne kroki w celu zapewnienia wiarygodności i integralności każdego personelu z dostępem do Danych Osobowych oraz że takie osoby podlegają kontrolom uwierzytelniania i autoryzacji użytkowników podczas dostępu do danych.

• Środki Bezpieczeństwa: Podmiot Przetwarzający jest odpowiedzialny za wdrożenie i utrzymanie odpowiednich technicznych i organizacyjnych środków bezpieczeństwa w celu ochrony Danych Osobowych przed nieautoryzowanym lub niezgodnym z prawem przetwarzaniem oraz przed przypadkową utratą, zniszczeniem lub uszkodzeniem, zgodnie z Artykułem 32 RODO. Środki te są opisane w Sekcji 8 i Załączniku B. Obejmują one na przykład szyfrowanie danych w tranzycie, szyfrowanie w spoczynku na serwerach Azure, silne kontrole dostępu, szyfrowanie haseł, regularne aktualizacje oprogramowania i inne standardowe w branży praktyki zapewniające poufność, integralność i dostępność Danych Osobowych.

• Brak Nieautoryzowanego Ujawniania: Podmiot Przetwarzający nie będzie ujawniał ani przekazywał Danych Osobowych żadnej osobie trzeciej bez wcześniejszej autoryzacji Administratora, z wyjątkiem zatwierdzonych Podprzetwarzających zgodnie z Sekcją 6 lub zgodnie z wymogami prawa. Podmiot Przetwarzający nie będzie sprzedawał ani wykorzystywał Danych Osobowych Administratora do marketingu lub jakichkolwiek celów innych niż świadczenie Usług. Wszyscy pracownicy i podwykonawcy Podmiotu Przetwarzającego są prawnie lub umownie zobowiązani do zachowania poufności i bezpieczeństwa danych.

• Pomoc Administratorowi: Biorąc pod uwagę charakter przetwarzania, Podmiot Przetwarzający będzie pomagał Administratorowi, odpowiednimi środkami technicznymi i organizacyjnymi oraz na żądanie Administratora, w wypełnianiu zobowiązań Administratora wynikających z przepisów o ochronie danych. Obejmuje to pomoc w odpowiadaniu na żądania osób, których dane dotyczą, oceny skutków dla ochrony danych (DPIA), powiadomienia o naruszeniach i inne działania zgodności, jak dalej szczegółowo opisano w Sekcji 9 niniejszej Umowy. Podmiot Przetwarzający niezwłocznie poinformuje Administratora, jeśli otrzyma jakąkolwiek komunikację od osoby, której dane dotyczą, lub organu nadzorczego dotyczącą przetwarzania Danych Osobowych i nie będzie odpowiadał na takie żądania, chyba że zostanie poinstruowany przez Administratora lub wymaga tego prawo.

• Dokładność i Minimalizacja Danych: Podmiot Przetwarzający będzie przetwarzał Dane Osobowe zgodnie z danymi dostarczonymi przez Administratora. Podczas gdy odpowiedzialność za dokładność danych leży po stronie Administratora, Podmiot Przetwarzający, po zauważeniu jakichkolwiek oczywistych niedokładności w Danych Osobowych, poinformuje Administratora. Podmiot Przetwarzający nie będzie zbierał żadnych danych osobowych poza tymi, które Administrator przedłoży lub zleci; Usługa jest zaprojektowana tak, aby wymagać tylko danych, które są ściśle niezbędne do planowania (zasada minimalizacji danych).

• Rejestry i Zgodność: Podmiot Przetwarzający będzie prowadził wszystkie rejestry działań przetwarzania zgodnie z wymogami Artykułu 30(2) RODO dla podmiotów przetwarzających i udostępni te rejestry Administratorowi lub organowi nadzorczemu na żądanie. Podmiot Przetwarzający będzie również przestrzegał wszelkich kodeksów postępowania lub mechanizmów certyfikacji, jeśli się do nich zobowiązał (jeśli dotyczy, obecnie żadnych). Takie rejestry będą przechowywane przez co najmniej 3 lata po zakończeniu przetwarzania, chyba że prawo Unii lub państwa członkowskiego wymaga dłuższego okresu.

Podsumowując, Podmiot Przetwarzający będzie działał w dobrej wierze i w pełnej zgodności ze swoimi zobowiązaniami prawnymi, zapewniając, że Dane Osobowe Administratora pozostają pod kontrolą Administratora i są przetwarzane bezpiecznie i zgodnie z prawem.

5. Zobowiązania Administratora (Klienta)

Administrator (Klient) zobowiązuje się również do wypełnienia następujących zobowiązań w celu umożliwienia zgodnego z prawem i bezpiecznego przetwarzania Danych Osobowych:

• Podstawa Prawna i Instrukcje: Administrator gwarantuje, że posiada upoważnienie prawne i podstawę (zgodnie z Artykułami 6 i 9 RODO, w stosownych przypadkach) do zbierania i ujawniania Danych Osobowych Podmiotowi Przetwarzającemu do celów niniejszej Umowy. Administrator zapewni, że wszelkie Dane Osobowe, których przetwarzanie zleca Podmiotowi Przetwarzającemu, zostały zebrane zgodnie z prawem i że jego instrukcje dotyczące przetwarzania nie spowodują naruszenia przez Podmiot Przetwarzający jakichkolwiek przepisów prawa. To Administrator jest odpowiedzialny za dostarczenie wszelkich wymaganych powiadomień lub uzyskanie niezbędnych zgód od osób, których dane dotyczą (np. informowanie nauczycieli, że ich imię i nazwisko oraz służbowe dane kontaktowe będą wykorzystywane w systemie planowania online) zgodnie z wymogami RODO i prawa krajowego. Instrukcje Administratora dotyczące przetwarzania muszą być udokumentowane (na przykład poprzez niniejszą Umowę i poprzez korzystanie z funkcji Usługi).

• Minimalizacja Danych: Administrator ograniczy Dane Osobowe, które dostarcza Podmiotowi Przetwarzającemu, do tych niezbędnych do celów planowania. Administrator zobowiązuje się nie przesyłać ani nie udostępniać nadmiernych danych osobowych lub jakichkolwiek szczególnych kategorii danych za pośrednictwem Usługi. W szczególności Administrator nie będzie wprowadzał informacji osobowych uczniów ani żadnych wrażliwych informacji osobowych do systemu, ponieważ Usługa nie jest przeznaczona do przetwarzania takich danych. Administrator powinien wprowadzać tylko dane takie jak imiona i nazwiska nauczycieli, informacje kontaktowe personelu szkoły, nazwy zajęć itp., które są potrzebne do tworzenia planów lekcji.

• Dokładność Danych: Administrator jest odpowiedzialny za jakość i dokładność wprowadzanych Danych Osobowych. Podmiot Przetwarzający nie będzie niezależnie weryfikował dokładności danych (poza podstawowymi walidacjami formatów w oprogramowaniu); dlatego Administrator powinien utrzymywać dane na bieżąco i korygować wszelkie niedokładności, korzystając z interfejsu administracyjnego lub prosząc o pomoc Podmiot Przetwarzający w razie potrzeby.

• Środki Bezpieczeństwa po Stronie Administratora: Administrator będzie zachowywał poufność i bezpieczeństwo danych uwierzytelniających konta używanych do dostępu do Usługi. Tylko upoważniony personel Administratora powinien otrzymać dostęp do kont administratorów. Administrator niezwłocznie powiadomi Podmiot Przetwarzający, jeśli konto zostanie skompromitowane lub jeśli nieupoważnione osoby mogły uzyskać dostęp, aby można było podjąć odpowiednie środki (takie jak wyłączenie konta lub reset hasła). Administrator powinien również zapewnić, że jego urządzenia i sieci używane do dostępu do Usługi mają odpowiednie zabezpieczenia (takie jak aktualne oprogramowanie antywirusowe, zapory ogniowe itp.) w celu zapobiegania nieautoryzowanemu dostępowi do Usługi.

• Prawa Osób, których Dane Dotyczą i Informowanie: Administrator jest odpowiedzialny za obsługę wszelkich żądań od osób, których dane dotyczą (takich jak nauczyciele lub członkowie personelu) związanych z ich Danymi Osobowymi, w tym żądań dostępu, poprawiania, usuwania lub ograniczenia przetwarzania ich danych, zgodnie z wymogami RODO. Jeśli osoba, której dane dotyczą, skontaktuje się bezpośrednio z Podmiotem Przetwarzającym, Podmiot Przetwarzający przekaże żądanie Administratorowi (zgodnie z Sekcją 9). Administrator dostarczy odpowiednie informacje o prywatności osobom, których dane dotyczą, opisujące korzystanie z Usługi Podmiotu Przetwarzającego i zajmie się wszelkimi obawami lub skargami od osób, których dane dotyczą, lub organów nadzorczych dotyczących danych, z pomocą Podmiotu Przetwarzającego w razie potrzeby.

• DPIA i Zgodność: Jeśli charakter przetwarzania wymaga Oceny Skutków dla Ochrony Danych (DPIA) zgodnie z RODO (Artykuły 35-36), Administrator jest odpowiedzialny za przeprowadzenie takiej DPIA. (W tym przypadku, biorąc pod uwagę ograniczony zakres danych, DPIA może nie być obowiązkowa, ale to Administrator musi to ocenić.) Podmiot Przetwarzający będzie pomagał, dostarczając niezbędne informacje (patrz Sekcja 9). Administrator zapewni, że przestrzega wszystkich innych zobowiązań Administratora zgodnie z RODO, w tym (jeśli wymagane) rejestracji przetwarzania u odpowiedniego organu lub mianowania Inspektora Ochrony Danych itp., zgodnie z obowiązującymi przepisami dla organizacji Administratora.

• Odpowiedzialność za Niezgodne z Prawem Instrukcje: Administrator ponosi odpowiedzialność za konsekwencje przetwarzania wynikającego z instrukcji naruszających Przepisy o Ochronie Danych, zgodnie z art. 82(2) RODO.

• Odpowiedzialność za Wrażliwe Dane: Administrator ponosi wyłączną odpowiedzialność za wprowadzenie do systemu danych należących do szczególnych kategorii danych osobowych (art. 9 RODO) bez uzyskania wymaganej prawnej podstawy przetwarzania. Podmiot Przetwarzający nie ponosi odpowiedzialności za naruszenia wynikające z niewłaściwego wprowadzenia przez Administratora danych wrażliwych do systemu nieprzeznaczonego do ich przetwarzania.

• Adaptacja do Zmian Prawnych: W przypadku istotnych zmian w przepisach o ochronie danych, które wymagają modyfikacji niniejszej Umowy, Strony zobowiązują się do jej aktualizacji w dobrej wierze w ciągu 90 dni od wejścia w życie nowych przepisów. Koszty określa się na podstawie wyceny prac wdrożeniowych zatwierdzonej przez obie Strony w formie aneksu lub e-maila.

• Ograniczenie Odpowiedzialności: Łączna odpowiedzialność Podmiotu Przetwarzającego z tytułu naruszenia niniejszej Umowy nie przekroczy łącznego wynagrodzenia zapłaconego przez Administratora w ostatnich 12 miesiącach, z wyłączeniem szkód wyrządzonych umyślnie lub w wyniku rażącego niedbalstwa.

Przestrzegając powyższe zobowiązania, Administrator zapewnia, że Podmiot Przetwarzający może świadczyć Usługi w bezpieczny i zgodny z prawem sposób, a obie Strony mogą wykazać zgodność z przepisami o ochronie danych.

6. Zasady powierzenia dalszego (sub-powierzenia)

Podmiot Przetwarzający jest upoważniony do zaangażowania Podprzetwarzających do pomocy w świadczeniu Usług, na następujących warunkach i procedurach:

• Zatwierdzeni Podprzetwarzający: Administrator ogólnie upoważnia Podmiot Przetwarzający do zaangażowania dostawców usług osób trzecich wymienionych w Załączniku C (Zatwierdzeni Podprzetwarzający). Obejmują oni obecnie dostawcę infrastruktury chmurowej i powiązane usługi używane przez Podmiot Przetwarzający do hostingu i uruchamiania aplikacji. Wszyscy Podprzetwarzający są sprawdzeni i zdolni do zapewnienia co najmniej takiego samego poziomu ochrony danych i bezpieczeństwa, jak wymagane przez niniejszą Umowę. Podmiot Przetwarzający potwierdza, że na dzień wejścia w życie niniejszej Umowy, Podprzetwarzający wymienieni w Załączniku C są jedynymi osobami trzecimi (poza bezpośrednimi pracownikami Podmiotu Przetwarzającego), które będą miały dostęp do Danych Osobowych w trakcie świadczenia Usług.

• Zobowiązania Podprzetwarzający: Podmiot Przetwarzający zapewni, że każdy Podprzetwarzający, którego zaangażuje do przetwarzania Danych Osobowych w imieniu Administratora, jest związany pisemną umową nakładającą zobowiązania dotyczące ochrony danych nie mniej ochronne niż te określone w niniejszej Umowie (w szczególności zapewniające wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych zgodnie z Artykułem 28(4) RODO). Oznacza to, że Podprzetwarzający musi zachowywać poufność, bezpieczeństwo Danych Osobowych i przetwarzać je tylko na instrukcje Podmiotu Przetwarzającego (które są zgodne z instrukcjami Administratora). Podmiot Przetwarzający pozostaje w pełni odpowiedzialny wobec Administratora za wykonanie przez jakiegokolwiek Podprzetwarzającego, którego zaangażuje, i będzie punktem kontaktowym dla Administratora we wszystkich sprawach.

• Powiadamianie o Nowych Podprzetwarzających: Podmiot Przetwarzający powiadomi Administratora z wyprzedzeniem o wszelkich zamierzonych dodaniach lub wymianach Podprzetwarzających, dając tym samym Administratorowi możliwość przeglądu i sprzeciwu wobec takich zmian. Konkretnie, Podmiot Przetwarzający zapewni rozsądne powiadomienie (np. poprzez e-mail lub powiadomienie na pulpicie) Administratorowi ze szczegółami proponowanego nowego Podprzetwarzający i charakteru przetwarzania, które ma być wykonane. Jeśli Administrator ma rozsądny, konkretny sprzeciw wobec nowego Podprzetwarzający, który jest związany z ochroną danych (na przykład, jeśli Podprzetwarzający może wprowadzić ryzyko bezpieczeństwa lub będzie przekazywał dane poza dozwolone regiony), Administrator musi powiadomić Podmiot Przetwarzający na piśmie w ciągu 30 dni po otrzymaniu powiadomienia. Strony będą następnie omawiać obawę w dobrej wierze, aby znaleźć rozwiązanie (na przykład alternatywny podprzetwarzający lub dodatkowe zabezpieczenia). Jeśli Administrator nadal się sprzeciwia i nie zostanie osiągnięte zadowalające rozwiązanie, Administrator może mieć prawo do rozwiązania Usług, które obejmują spornego podprzetwarzającego, zgodnie z postanowieniami rozwiązania głównej umowy.

• Wymiana Awaryjna: W rzadkich przypadkach, gdy Podmiot Przetwarzający musi zaangażować nowego Podwykonawcę w trybie awaryjnym (np. nagła przerwa w usłudze wymagająca dostawcy zapasowego), Podmiot Przetwarzający powiadomi Administratora tak szybko, jak to możliwe, a powyższy proces sprzeciwu będzie miał zastosowanie wstecz. Podmiot Przetwarzający udokumentuje powód sytuacji awaryjnej i udostępni go Administratorowi na żądanie.

Podsumowując, Podmiot Przetwarzający nie będzie podpowierzał przetwarzania Danych Osobowych żadnej osobie trzeciej z wyjątkiem przypadków dozwolonych przez Administratora zgodnie z niniejszą Sekcją. Wszyscy obecni Podprzetwarzający i ich szczegóły są wymienieni w Załączniku C, a wszelkie zmiany będą transparentnie komunikowane Administratorowi. Na żądanie Administratora Podmiot Przetwarzający przedstawi listę usług komunikacyjnych i infrastrukturalnych, które nie przechowują danych osobowych, wraz z uzasadnieniem, że nie przechowują danych osobowych.

7. Przekazania Międzynarodowe

Całe przetwarzanie Danych Osobowych na podstawie niniejszej Umowy będzie odbywać się zgodnie z wymogami RODO dotyczącymi międzynarodowych przekazań danych. Przez „przekazanie" rozumie się transfer danych osobowych do państwa trzeciego w rozumieniu rozdziału V RODO. Strony uzgadniają następujące:

• Rezydencja Danych: Podmiot Przetwarzający będzie przetwarzał i przechowywał Dane Osobowe wyłącznie w ramach Unii Europejskiej (UE)/Europejskiego Obszaru Gospodarczego (EOG) lub do państw, dla których Komisja Europejska wydała decyzję o odpowiednim stopniu ochrony. Główne lokalizacje hostingu znajdują się w UE, konkretnie w Polsce i innych centrach danych Europy Zachodniej dostawcy chmury Podmiotu Przetwarzającego, jak szczegółowo opisano w Załączniku B. Z założenia Dane Osobowe (w tym kopie zapasowe i repliki) znajdują się na serwerach zlokalizowanych w UE. Podmiot Przetwarzający zobowiązuje się nie przekazywać ani nie uzyskiwać dostępu do Danych Osobowych Administratora spoza EOG bez wcześniejszej instrukcji lub pisemnej zgody Administratora, z wyjątkiem przypadków wskazanych poniżej dla wsparcia lub zgodnie z wymogami prawa.

• Brak Przekazań do Krajów Trzecich: W momencie zawierania niniejszej Umowy Podmiot Przetwarzający nie korzysta z żadnego Podprzetwarzający lub systemu, który wymagałby przekazania Danych Osobowych do „kraju trzeciego" poza EOG. W szczególności wszystkie serwery (serwer aplikacji, baza danych i magazyn) znajdują się w centrach danych UE, a personel Podmiotu Przetwarzającego, który może administrować systemem, ma siedzibę w UE. Personel SENQUITY OÜ z dostępem do produkcji wykonuje pracę wyłącznie z terytorium EOG. Jedynym potencjalnym wyjątkiem byłoby, gdyby Administrator wyraźnie włączył lub zażądał integracji, która obejmuje międzynarodowy przepływ danych; w takim przypadku Administrator zostanie poinformowany i zostaną wdrożone odpowiednie zabezpieczenia.

• Przyszłe Przekazania i Zabezpieczenia: Jeśli w przyszłości Podmiot Przetwarzający (lub jego Podprzetwarzający) będą musieli przekazać Dane Osobowe poza EOG (na przykład do dostawcy usług lub personelu wsparcia w kraju nieuznającym za odpowiedni zgodnie z RODO), Podmiot Przetwarzający zapewni, że takie przekazanie jest zgodne z Rozdziałem V RODO. Oznacza to, że Podmiot Przetwarzający będzie przeprowadzał przekazanie tylko wtedy, gdy: (a) jest to do kraju z Decyzją o Adekwatności Komisji Europejskiej, lub (b) strona otrzymująca wykonała Standardowe Klauzule Umowne (SCC) w aktualnym brzmieniu przyjętym przez Komisję Europejską lub równoważny prawny mechanizm przekazania z Podmiotem Przetwarzającym w celu zapewnienia odpowiedniego poziomu ochrony, lub (c) ma zastosowanie inne odstępstwo lub wyjątek zgodnie z RODO (takie jak wyraźna zgoda osoby, której dane dotyczą itp., chociaż takie przypadki są bardzo mało prawdopodobne dla tej Usługi). Podmiot Przetwarzający poinformuje Administratora i uzyska niezbędne autoryzacje przed takim przekazaniem.

• Żądania Dostępu Rządowego: Jeśli Podmiot Przetwarzający otrzyma prawnie wiążące żądanie od organu ścigania lub agencji bezpieczeństwa narodowego dotyczące dostępu do Danych Osobowych, a jeśli takie dane mogą zostać w wyniku tego przekazane lub ujawnione poza UE, Podmiot Przetwarzający (w zakresie dozwolonym przez prawo) powiadomi Administratora o żądaniu i będzie współpracował z Administratorem w odpowiedzi. Podmiot Przetwarzający zakwestionuje wszelkie zbyt szerokie lub niezgodne z prawem żądania i nie będzie dobrowolnie udostępniał Danych Osobowych organom bez odpowiedniej procedury. Wszelkie ujawnienia będą rejestrowane w dzienniku zdarzeń zgodności Podmiotu Przetwarzającego.

W istocie, domyślną zasadą jest to, że Dane Osobowe pozostają w ramach jurysdykcji UE. Podmiot Przetwarzający uznaje znaczenie rezydencji danych dla Administratora i nie będzie przenosił przetwarzania do innego regionu bez przestrzegania surowych wymogów i uzyskania zgody zgodnie z powyższym opisem.

8. Środki Bezpieczeństwa

Podmiot Przetwarzający będzie wdrażał i utrzymywał odpowiednie techniczne i organizacyjne środki bezpieczeństwa w celu ochrony Danych Osobowych, zgodnie z Artykułem 32 RODO i obowiązującymi standardami branżowymi dla dostawców SaaS. Środki te są zaprojektowane w celu zapewnienia poufności, integralności i dostępności Danych Osobowych. Ogólny przegląd środków bezpieczeństwa znajduje się w Załączniku B (Środki Bezpieczeństwa).

Kluczowe aspekty programu bezpieczeństwa obejmują (ale nie ograniczają się do):

• Bezpieczeństwo Infrastruktury: Usługa jest hostowana na infrastrukturze chmurowej Microsoft Azure w centrach danych UE, które są certyfikowane zgodnie z solidnymi standardami bezpieczeństwa (takimi jak ISO 27001). Azure zapewnia fizyczne bezpieczeństwo centrów danych i wbudowane zabezpieczenia takie jak zapory ogniowe, łagodzenie DDoS i ciągłe monitorowanie. Podmiot Przetwarzający wykorzystuje te bezpieczne centra danych dla wszystkich systemów produkcyjnych.

• Kontrola Dostępu: Egzekwowane są surowe kontrole dostępu. Dane szkoły są logicznie segregowane przez architekturę wielodostępną, co oznacza, że dane każdego Administratora są izolowane w bazie danych przez identyfikatory organizacji/szkoły. Tylko upoważnieni użytkownicy administratorzy Administratora mogą uzyskać dostęp do danych swojej szkoły poprzez aplikację (każdy administrator ma unikalne dane uwierzytelniające do logowania). Wewnętrzny dostęp administracyjny Podmiotu Przetwarzającego do systemów przechowujących Dane Osobowe jest ograniczony do minimalnej liczby upoważnionego personelu, który potrzebuje go do konserwacji/wsparcia, a taki dostęp jest chroniony przez silne uwierzytelnianie (np. bezpieczne hasła i ewentualnie MFA) oraz środki bezpieczeństwa sieciowego. Wszystkie hasła użytkowników są przechowywane w formie zaszyfrowanej (nigdy w postaci zwykłego tekstu), a sesje uwierzytelniania są zabezpieczone protokołem HTTPS i ciasteczkami HttpOnly skonfigurowanymi w aplikacji.

• Szyfrowanie: Cały transfer danych między frontendem (Static Web App) a backendem API jest szyfrowany w tranzycie przy użyciu HTTPS (szyfrowanie TLS). Podmiot Przetwarzający wymusza HTTPS dla wszystkich połączeń (w tym nagłówki HSTS w celu zapobiegania atakom degradacji). W przypadku danych w spoczynku, Azure SQL Database automatycznie zapewnia szyfrowanie w spoczynku (Transparent Data Encryption) w celu ochrony plików bazy danych i kopii zapasowych. Wszelkie wrażliwe dane lub kopie zapasowe przechowywane są podobnie szyfrowane. Jeśli jakiekolwiek dane są przechowywane w tranzycie w kolejkach wiadomości lub pamięciach podręcznych, stosowane jest podobne szyfrowanie lub te usługi znajdują się w bezpiecznych sieciach prywatnych.

• Bezpieczeństwo Aplikacji: Aplikacja (backend Flask i frontend React) została opracowana zgodnie z najlepszymi praktykami bezpieczeństwa. Są wdrożone zabezpieczenia przed powszechnymi lukami bezpieczeństwa w aplikacjach internetowych (na przykład korzystanie z biblioteki Flask-Talisman do ustawiania bezpiecznych nagłówków takich jak HSTS i odpowiednia konfiguracja CORS, aby zezwalać tylko na znaną domenę frontendową w produkcji). Punkty końcowe API wymagają uwierzytelniania opartego na JWT i są chronione przez kontrole autoryzacji (tylko zalogowani administratorzy z ważnymi tokenami mogą wywoływać chronione punkty końcowe). Walidacja wejścia jest wykonywana w celu złagodzenia ataków iniekcji, a system nie eksponuje bezpośrednio bazy danych do internetu (tylko poprzez API). Ciasteczka sesji (jeśli używane) są oznaczone jako Secure i HttpOnly, aby zapobiec dostępowi po stronie klienta. System został zaprojektowany z modelem dostępu opartym na rolach, aby zapewnić, że użytkownicy mogą wykonywać tylko działania dozwolone przez ich rolę (w tym przypadku większość użytkowników ma rolę „admin" dla swojej szkoły i nie ma loginów uczniów/nauczycieli).

• Środki Organizacyjne: Członkowie zespołu Podmiotu Przetwarzającego z potencjalnym dostępem do Danych Osobowych są związani umowami o zachowaniu poufności i otrzymują szkolenia z zakresu ochrony danych i bezpieczeństwa. Wewnętrzne polityki ograniczają wszelkie pobieranie lub lokalne przetwarzanie Danych Osobowych poza bezpiecznym środowiskiem chmurowym. Działania administracyjne na produkcyjnej bazie danych (jeśli kiedykolwiek potrzebne do wsparcia) są rejestrowane. Organizacja ma procedury zarządzania incydentami bezpieczeństwa i naruszeniami danych (patrz Sekcja 9 dotycząca obsługi naruszeń).

• Niezawodność i Kopie Zapasowe: Podmiot Przetwarzający korzysta z niezawodnej infrastruktury Azure w celu zapewnienia wysokiej dostępności Usługi. Regularne kopie zapasowe bazy danych są wykonywane (Azure SQL zapewnia automatyczne codzienne kopie zapasowe z możliwością przywracania do punktu w czasie), zapewniając, że dane mogą zostać odzyskane w przypadku przypadkowego usunięcia lub awarii technicznej. Kopie zapasowe pozostają w UE i są chronione tym samym poziomem bezpieczeństwa. System jest testowany pod kątem scenariuszy odzyskiwania po awarii, a dane mogą zostać przywrócone w celu utrzymania ciągłości usługi.

• Monitorowanie i Rejestrowanie: System rejestruje kluczowe zdarzenia, które obejmują (lub, gdzie wskazano (elementy oznaczone jako "planowane")) próby logowania administratorów, tworzenie lub usuwanie ważnych rekordów (takich jak dodawanie nauczyciela lub generowanie planu) oraz dzienniki błędów do rozwiązywania problemów. Chociaż kompleksowe rejestrowanie jest w trakcie rozwoju, zamiarem jest rejestrowanie wystarczających szczegółów, aby śledzić wszelkie problemy lub potencjalne nadużycia. Dzienniki zdarzeń związanych z bezpieczeństwem (np. niepowodzenia logowania, unieważnienie tokenów) są monitorowane. Dane dzienników będą przechowywane bezpiecznie i dostępne tylko dla upoważnionego personelu.

• Plan reagowania na incydenty: Podmiot Przetwarzający ma procedurę reagowania na incydenty. W przypadku jakiegokolwiek incydentu bezpieczeństwa lub podejrzanego naruszenia Danych Osobowych istnieją zdefiniowane kroki: zidentyfikowanie i powstrzymanie problemu, złagodzenie ciągłego ryzyka (np. odłączenie dotkniętych systemów, odwołanie danych uwierzytelniających), zachowanie dowodów (pliki dzienników itp.), powiadomienie zainteresowanych stron (w tym Administratora, zgodnie z Sekcją 9) oraz naprawę (łatanie luk bezpieczeństwa, odzyskiwanie danych z kopii zapasowych). Przeglądy po incydentach są przeprowadzane w celu ulepszenia procesów.

• Ciągłość Biznesowa: Infrastruktura Azure zapewnia wysoką dostępność – na przykład Azure SQL jest replikowane w wielu strefach dostępności w regionie, aby zapobiec przestojom. W przypadku poważnej awarii w jednym regionie dane mogą zostać przywrócone w innym regionie UE, jeśli jest to absolutnie konieczne (nadal w ramach UE). Podmiot Przetwarzający utrzymuje kopie zapasowe poza siedzibą i testował przywracanie z kopii zapasowych w celu zapewnienia, że dane mogą zostać odzyskane. Jest również planowanie skalowania zasobów zgodnie z potrzebami w celu utrzymania wydajności (tak aby bezpieczeństwo nie zostało naruszone przez przeciążenie).

Regularna ocena bezpieczeństwa: Podmiot Przetwarzający zobowiązuje się do regularnego testowania, mierzenia i oceniania skuteczności technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 lit. d RODO, zgodnie z oceną ryzyka i dobrymi praktykami branżowymi, a także po wystąpieniu istotnego incydentu bezpieczeństwa lub zmianie technologii mających wpływ na poziom ryzyka.

Wszystkie te środki łącznie zapewniają solidną postawę bezpieczeństwa dla przetwarzanych Danych Osobowych. Podmiot Przetwarzający zobowiązuje się do utrzymania i aktualizacji tych środków w miarę ewolucji technologii i zagrożeń. Poziom bezpieczeństwa jest odpowiedni do ryzyka przedstawionego przez przetwarzanie (które jest uważane za umiarkowane, ponieważ obejmuje dane osobowe personelu, ale nie szczególne dane wrażliwe). Jeśli Administrator ma konkretne wymagania bezpieczeństwa lub wymaga dostosowań (np. potrzeba dodatkowego szyfrowania lub rejestrowania), Strony mogą omówić i zaktualizować niniejszy Załącznik w drodze pisemnej umowy.

9. Pomoc Administratorowi, DPIA i Powiadamianie o Naruszeniach

Podmiot Przetwarzający będzie pomagał Administratorowi w zapewnieniu zgodności z własnymi zobowiązaniami Administratora zgodnie z RODO, biorąc pod uwagę charakter przetwarzania i informacje dostępne Podmiotowi Przetwarzającemu. W szczególności:

• Pomoc przy Żądaniach Osób, których Dane Dotyczą: Podmiot Przetwarzający będzie pomagał Administratorowi, odpowiednimi środkami technicznymi i organizacyjnymi, w odpowiadaniu na wszelkie żądania od osób (osób, których dane dotyczą) wykonujących swoje prawa zgodnie z RODO (takie jak prawa dostępu, sprostowania, usunięcia, ograniczenia, przenoszenia danych lub sprzeciwu). Usługa pozwala Administratorowi na odzyskiwanie, korygowanie lub usuwanie danych zgodnie z potrzebami (na przykład administrator może zaktualizować imię i nazwisko nauczyciela lub usunąć wpis nauczyciela w razie potrzeby). Jeśli osoba, której dane dotyczą (taka jak nauczyciel) skontaktuje się bezpośrednio z Podmiotem Przetwarzającym z żądaniem dotyczącym swoich Danych Osobowych, Podmiot Przetwarzający nie będzie odpowiadał bezpośrednio (z wyjątkiem potwierdzenia odbioru) i niezwłocznie poinformuje Administratora o żądaniu. Podmiot Przetwarzający zapewni Administratorowi rozsądną współpracę i informacje w celu spełnienia żądania, w zakresie w jakim Podmiot Przetwarzający jest w stanie (np. poprzez wyodrębnienie danych w czytelnym formacie lub usunięcie konkretnych rekordów na instrukcję). Podmiot Przetwarzający zapewni, że nie ujawnia ani nie zmienia niezależnie żadnych Danych Osobowych w odpowiedzi na zapytanie osoby trzeciej bez instrukcji Administratora, chyba że wymaga tego prawo (w takim przypadku Podmiot Przetwarzający poinformuje Administratora w zakresie dozwolonym).

• Pomoc przy DPIA i Konsultacjach: Podmiot Przetwarzający udzieli pomocy w zakresie niezbędnym do spełnienia wymogów art. 28 ust. 3 lit. f RODO. Obejmuje to dostarczenie Administratorowi istotnych informacji o działaniach przetwarzania i środkach bezpieczeństwa potrzebnych do przeprowadzenia DPIA oraz pomoc w konsultacjach z organem nadzorczym poprzez dostarczenie niezbędnej dokumentacji. Jeśli łączny nakład pracy na pomoc w ramach DPIA i konsultacji przekroczy 4 roboczogodziny w roku kalendarzowym, Administrator zobowiązuje się pokryć uzasadnione koszty pomocy według stawki 200 zł/godz.

• Powiadamianie o Naruszeniu Danych Osobowych: W przypadku Naruszenia Danych Osobowych (incydent bezpieczeństwa prowadzący do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieautoryzowanego ujawnienia lub dostępu do Danych Osobowych) dotyczącego danych Administratora, Podmiot Przetwarzający powiadomi Administratora bez zbędnej zwłoki po uświadomieniu sobie naruszenia. To powiadomienie zostanie dokonane niezwłocznie, nie później niż w ciągu 48 godzin od stwierdzenia naruszenia, o ile nie wystąpią przeszkody niezależne od Podmiotu Przetwarzającego, uniemożliwiające przekazanie informacji (siła wyższa). Powiadomienie do Administratora będzie zawierać (w zakresie znanym w tym czasie) wszystkie istotne informacje o naruszeniu, takie jak: charakter naruszenia i kategorie/przybliżona liczba osób, których dane dotyczą, oraz rekordów, których dotyczy problem, prawdopodobne konsekwencje naruszenia oraz środki podjęte lub proponowane przez Podmiot Przetwarzający w celu rozwiązania naruszenia i złagodzenia jego możliwych negatywnych skutków. Jeśli pełne informacje nie są początkowo dostępne, Podmiot Przetwarzający dostarczy informacje etapami, gdy staną się dostępne. To Administrator jest odpowiedzialny za powiadomienie organu nadzorczego lub dotkniętych osób, których dane dotyczą, o naruszeniu, gdy jest to wymagane zgodnie z Artykułami 33 i 34 RODO; jednak Podmiot Przetwarzający będzie pomagał Administratorowi w wypełnieniu tych obowiązków powiadamiania poprzez dostarczenie informacji opisanych powyżej i wszelkiej dalszej pomocy rozsądnie wymaganej (na przykład pomoc w przygotowaniu komunikatów lub dostarczenie szczegółów technicznych potrzebnych organowi).

• Dochodzenie i Remediation: Po naruszeniu Podmiot Przetwarzający natychmiast podejmie odpowiednie kroki w celu powstrzymania i naprawienia incydentu. Obejmuje to identyfikację przyczyny podstawowej, zamknięcie wszelkich luk bezpieczeństwa, przywrócenie wszelkich utraconych danych z kopii zapasowych (jeśli dotyczy) i współpracę z rozsądnymi żądaniami Administratora w rozwiązywaniu problemu. Podmiot Przetwarzający udokumentuje fakty dotyczące naruszenia, jego skutki i podjęte działania naprawcze oraz udostępni ten raport Administratorowi na żądanie. Obie Strony zgadzają się współpracować w dobrej wierze w celu złagodzenia konsekwencji jakiegokolwiek naruszenia.

• Inna Pomoc: Podmiot Przetwarzający będzie również pomagał Administratorowi w innych zobowiązaniach zgodności zgodnie z rozsądnymi żądaniami, takich jak dostarczanie informacji do odpowiadania na zapytania od organów ochrony danych lub wykazywanie zgodności podczas audytów Administratora (patrz Sekcja 11). Jeśli nowe przepisy lub wytyczne nakładają dodatkowe zobowiązania (na przykład, jeśli polskie organy wymagają konkretnych klauzul umownych lub zgłoszeń), Podmiot Przetwarzający będzie współpracował w dobrej wierze w celu zapewnienia zgodności.

We wszystkich przypadkach pomocy Podmiot Przetwarzający zapewni terminową i skuteczną współpracę. Chyba że wymaga tego prawo, Podmiot Przetwarzający nie będzie niezależnie powiadamiał żadnej osoby trzeciej o incydencie dotyczącym danych bez wcześniejszej zgody Administratora, pozwalając Administratorowi na koordynację wszystkich komunikacji zewnętrznych (z wyjątkiem tego, że Podmiot Przetwarzający może potrzebować komunikować się ze swoim dostawcą chmury lub ekspertami bezpieczeństwa jako część reakcji na incydent, pod warunkiem zachowania poufności). Celem Podmiotu Przetwarzającego jest wspieranie Administratora w utrzymaniu pełnej zgodności z RODO i ochronie praw osób, których dane dotyczą, przez cały czas trwania relacji.

10. Zwrot lub Usunięcie Danych

Po zakończeniu lub wygaśnięciu głównej umowy o Usługi lub na pisemne żądanie Administratora w dowolnym momencie, Podmiot Przetwarzający zwróci lub usunie wszystkie Dane Osobowe przetwarzane w imieniu Administratora, zgodnie z następującymi postanowieniami:

• Wybór Zwrotu lub Usunięcia: Administrator ma prawo wyboru, czy Podmiot Przetwarzający powinien zwrócić Dane Osobowe Administratorowi, czy je usunąć. Na żądanie Administratora Podmiot Przetwarzający albo: (a) Zwróci dane – poprzez wyeksportowanie wszystkich Danych Osobowych Administratora w powszechnie używanym, czytelnym maszynowo formacie (takim jak CSV, JSON lub kopia zapasowa bazy danych) i bezpieczne dostarczenie ich Administratorowi – a następnie usunie wszystkie pozostałe kopie w systemach Podmiotu Przetwarzającego; lub (b) Usunie dane – poprzez bezpieczne wymazanie wszystkich Danych Osobowych z systemów Podmiotu Przetwarzającego bez dostarczania kopii (odpowiednie, jeśli Administrator już ma własną kopię lub kopię zapasową). Jeśli Administrator nie zażąda wyraźnie konkretnego działania w rozsądnym terminie, domyślnym działaniem będzie usunięcie danych po zakończeniu umowy.

• Harmonogram: Podmiot Przetwarzający zastosuje się do żądania zwrotu lub usunięcia bez zbędnej zwłoki, a najpóźniej w ciągu 30 dni od zakończenia umowy lub od otrzymania żądania Administratora (w zależności od tego, co nastąpi wcześniej, jeśli wcześniej zażądano). Jeśli zwraca dane, Podmiot Przetwarzający potwierdzi z Administratorem format i metodę transferu w celu zapewnienia bezpiecznej dostawy (na przykład poprzez bezpieczny link do pobrania lub zaszyfrowane nośniki). Jeśli usuwa dane, Podmiot Przetwarzający zapewni, że wszystkie aktywne bazy danych, kopie zapasowe i wszelkie inne repozytoria są bezpiecznie wyczyszczone z Danych Osobowych Administratora, a wszystkie kopie zapasowe nadpisywane ≤ 90 dni od potwierdzonego usunięcia (z wyjątkiem przypadków wskazanych poniżej dla wymaganego zatrzymania). Podmiot Przetwarzający dostarczy pisemne potwierdzenie Administratorowi po zakończeniu usunięcia.

• Zatrzymanie Wymagane przez Prawo: Podmiot Przetwarzający może zatrzymać określone Dane Osobowe, jeśli jest to wymagane przez prawo Unii Europejskiej lub państwa członkowskiego, nawet po zakończeniu usług. Na przykład, jeśli zapisy transakcji finansowych lub dzienniki systemowe zawierające dane osobowe muszą być zatrzymane dla zgodności prawnej lub celów dowodowych, Podmiot Przetwarzający może zatrzymać te konkretne dane ściśle przez okres i do celów nakazanych przez prawo. W takich przypadkach Podmiot Przetwarzający gwarantuje, że zatrzymane dane będą nadal chronione zgodnie z warunkami niniejszej Umowy (szczególnie poufność i bezpieczeństwo) i nie będą aktywnie przetwarzane z wyjątkiem celu prawnego. Po wygaśnięciu prawnego okresu zatrzymania Podmiot Przetwarzający niezwłocznie usunie dane.

• Format i Koszty: Zwrot Danych Osobowych będzie dostarczony w powszechnie używanym formacie elektronicznym, który jest rozsądnie akceptowalny dla obu Stron, aby ułatwić Administratorowi możliwość korzystania z danych w innym systemie w razie potrzeby. Podmiot Przetwarzający nie będzie pobierał od Administratora opłat za zwrot lub usunięcie danych w normalnym toku zakończenia. Jednak jeśli Administrator zażąda wyjątkowo złożonego lub powtarzanego eksportu danych, który wiąże się ze znacznym wysiłkiem, Strony omówią w dobrej wierze odpowiednie zwrot kosztów, jeśli w ogóle.

• Usunięcie od Podprzetwarzających: Podmiot Przetwarzający zapewni, że każdy Podprzetwarzający (wymieniony w Załączniku C) również usunie Dane Osobowe ze swoich systemów po zakończeniu świadczenia usług. Na przykład kopie zapasowe lub magazyn dostawcy chmury zawierające dane będą zaplanowane do usunięcia. Podmiot Przetwarzający uzyska potwierdzenie od Podprzetwarzających, że usunięcie zostało przeprowadzone, na żądanie Administratora.

• Brak Zatrzymania do Celów Biznesowych: Podmiot Przetwarzający potwierdza, że nie będzie zatrzymywał ani wykorzystywał Danych Osobowych Administratora po zakończeniu do jakichkolwiek celów biznesowych (takich jak analityka, rozwój produktu lub innych klientów), z wyjątkiem formy zagregowanej lub zanonimizowanej, która nie stanowi już Danych Osobowych i nie może być powiązana z Administratorem lub jakąkolwiek osobą. Wszelka anonimizacja danych zostanie wykonana przed zakończeniem, jeśli Podmiot Przetwarzający zamierza zachować informacje statystyczne (np. średnie rozmiary klas) do ulepszenia usługi; taka anonimizacja będzie nieodwracalna.

Poprzez zapewnienie zwrotu lub usunięcia danych Strony dążą do utrzymania zasady, że Administrator pozostaje w kontroli nad Danymi Osobowymi. Administrator jest zachęcany do eksportowania lub tworzenia kopii zapasowych swoich danych okresowo podczas trwania umowy w razie potrzeby, korzystając z wszelkich dostarczonych funkcji, ale powyższe zobowiązania Podmiotu Przetwarzającego gwarantują, że Administrator nie utraci dostępu do swoich danych po zakończeniu usługi.

11. Prawo Audytu i Informacji

Administrator ma prawo do weryfikacji zgodności Podmiotu Przetwarzającego z zobowiązaniami niniejszej Umowy i obowiązującym prawem ochrony danych. Podmiot Przetwarzający zobowiązuje się przeprowadzać co najmniej raz do roku test penetracyjny aplikacji w celu zapewnienia ciągłego bezpieczeństwa systemu. Podmiot Przetwarzający zgadza się na współpracę i dostarczenie informacji lub dostępu zgodnie z potrzebami w celu ułatwienia takiej weryfikacji, z zastrzeżeniem następujących warunków:

• Dostarczanie Informacji: Podmiot Przetwarzający, na żądanie, dostarczy Administratorowi wszystkie informacje rozsądnie konieczne do wykazania zgodności z niniejszą Umową. Może to obejmować aktualne zaświadczenia, certyfikaty lub streszczenia raportów audytowych (np. certyfikaty ISO 27001 dla centrum danych, streszczenia testów penetracyjnych lub inne wyniki audytów osób trzecich), które są istotne dla Usług. Podmiot Przetwarzający może również dostarczyć szczegółowy przegląd bezpieczeństwa (jak w Załączniku B) i odpowiedzi na kwestionariusze w celu zaspokojenia zapytań Administratora. Administrator zgadza się, że niektóre informacje związane z bezpieczeństwem mogą być wrażliwe (np. diagramy sieci lub szczegóły testów penetracyjnych) – Podmiot Przetwarzający może wymagać NDA lub podobnego zobowiązania do zachowania poufności przed udostępnieniem wysoce wrażliwych informacji, aby chronić swoją postawę bezpieczeństwa i dane innych klientów.

• Prawa Audytu: Administrator (lub jego upoważniony audytor, który nie może być konkurentem Podmiotu Przetwarzającego i musi być związany umową o zachowaniu poufności) ma prawo do przeprowadzenia audytu lub inspekcji operacji Podmiotu Przetwarzającego w celu weryfikacji zgodności z niniejszą Umową i obowiązującym prawem. Audyt odbywa się wyłącznie w godzinach pracy Podmiotu Przetwarzającego i nie obejmuje kodu źródłowego ani tajemnic handlowych. Jednak przed przeprowadzeniem jakiegokolwiek audytu na miejscu Administrator musi: (a) dostarczyć Podmiotowi Przetwarzającemu co najmniej 30 dni roboczych pisemnego powiadomienia o zamiarze audytu (z wyjątkiem pilnej sytuacji, takiej jak podejrzane naruszenie), (b) podpisać umowę o zachowaniu poufności, (c) współpracować z Podmiotem Przetwarzającym w celu uzgodnienia zakresu, czasu i czasu trwania audytu w celu zminimalizowania zakłóceń, oraz (d) ponosić wszystkie koszty audytu, w tym uzasadnione koszty czasu personelu Podmiotu Przetwarzającego według stawki 200 zł/h, o ile Strony nie uzgodnią inaczej, chyba że audyt wykaże rażące naruszenie umowy przez Podmiot Przetwarzający.

• Częstotliwość i Zakres: Administrator może korzystać z tego prawa audytu nie więcej niż raz na okres 12 miesięcy, z wyjątkiem sytuacji, gdy wystąpiło znaczące naruszenie danych lub jeśli wymaga tego właściwy organ ochrony danych. Każdy audyt musi być skoncentrowany na weryfikacji zgodności Podmiotu Przetwarzającego z zobowiązaniami ochrony danych dotyczącymi danych Administratora i nie powinien niepotrzebnie uzyskiwać dostępu do danych innych klientów lub tajemnic handlowych Podmiotu Przetwarzającego nierelevantnych dla zgodności prywatności. Podmiot Przetwarzający zastrzega sobie prawo do redagowania lub anonimizacji danych, które nie są istotne dla Administratora lub które dotyczą innych klientów, ze względów poufności. Jeśli Administrator jest częścią grupy firm lub układu współpracy (zwykle nie dotyczy w kontekście pojedynczej szkoły), powinny być podejmowane wysiłki w celu łączenia żądań audytu, aby uniknąć nadmiernych audytów.

• Korzystanie z Certyfikatów/Raportów: Tam gdzie dostępne, Administrator zgadza się rozważyć odpowiednie certyfikaty lub raporty audytów osób trzecich dostarczane przez Podmiot Przetwarzający jako jedną z metod zaspokojenia żądania audytu. Na przykład, jeśli hosting w chmurze Podmiotu Przetwarzającego (Microsoft Azure) jest certyfikowany ISO 27001 i certyfikat zostanie dostarczony, Administrator może nie potrzebować oddzielnie audytować bezpieczeństwa fizycznego. Jeśli Podmiot Przetwarzający dostarczy niedawny niezależny raport audytu bezpieczeństwa lub raport SOC 2 (jeśli dotyczy w przyszłości), Administrator może zdecydować się na poleganie na nim. To nie zrzeka się ostatecznego prawa Administratora do inspekcji, ale ma na celu usprawnienie procesu.

• Ustalenia Audytu: Podmiot Przetwarzający rozwiąże wszelkie zweryfikowane niezgodności lub braki odkryte w audycie tak szybko, jak to praktycznie możliwe i na własny koszt. Strony wzajemnie uzgodnią plan naprawczy dla wszelkich zidentyfikowanych problemów. Administrator dostarczy Podmiotowi Przetwarzającemu wyniki audytu (lub streszczenie wykonawcze), aby umożliwić Podmiotowi Przetwarzającemu zrozumienie i działanie w oparciu o wszelkie ustalenia. Obie Strony muszą zachować poufność ustaleń audytu i używać ich wyłącznie w celu zapewnienia zgodności i poprawy ochrony danych; nie powinny być ujawniane osobom trzecim z wyjątkiem organów regulacyjnych lub zgodnie z wymogami prawa.

• Audyty Regulacyjne: Jeśli organ nadzorczy ochrony danych (na przykład UODO w Polsce) wymaga audytu działań przetwarzania objętych niniejszą Umową, Podmiot Przetwarzający będzie współpracował, aby umożliwić taki audyt. Administrator, chyba że zostanie zabroniony przez organ, poinformuje Podmiot Przetwarzający o wszelkich takich żądaniach i skoordynuje audyt z Podmiotem Przetwarzającym.

Podsumowując, Podmiot Przetwarzający uznaje prawa nadzorcze Administratora i nie będzie utrudniał rozsądnych środków kontroli. Jednocześnie Administrator zgadza się na korzystanie ze swoich praw audytu w sposób przemyślany i proporcjonalny. Celem jest weryfikacja zgodności w sposób, który utrzymuje bezpieczeństwo wszystkich danych i wydajność operacji Podmiotu Przetwarzającego.

12. Prawo Właściwe i Rozstrzyganie Sporów

Prawo Właściwe: Niniejsza Umowa będzie regulowana i interpretowana zgodnie z prawem Polski, w tym polską Ustawą o ochronie danych osobowych z dnia 10 maja 2018 r., oraz prawem Unii Europejskiej (UE) (szczególnie RODO i innymi przepisami UE dotyczącymi ochrony danych). Intencją Stron jest to, aby ten wybór prawa zapewniał spójne ramy prawne dla zobowiązań dotyczących ochrony danych, biorąc pod uwagę, że Administrator znajduje się w Polsce, a usługi Podmiotu Przetwarzającego są oferowane w Polsce/UE.

Jurysdykcja: Wszelkie spory, roszczenia lub kontrowersje wynikające z niniejszej Umowy będą rozstrzygane wyłącznie przed sądem właściwym dla siedziby Administratora zgodnie z prawem polskim.

Rozstrzyganie Sporów: Przed skorzystaniem z drogi sądowej Strony będą próbowały w dobrej wierze rozwiązać wszelkie spory dotyczące ochrony danych lub warunków niniejszej Umowy poprzez negocjacje. Mogą eskalować sprawę do odpowiedniego zarządu lub inspektorów ochrony danych w celu polubownego rozwiązania. Jeśli wzajemnie satysfakcjonujące rozwiązanie nie może zostać osiągnięte poprzez bezpośrednie negocjacje w rozsądnym terminie, każda ze stron może szukać środków prawnych w sądach, jak wskazano powyżej. Nic w tej klauzuli nie ogranicza praw Administratora ani zobowiązań Podmiotu Przetwarzającego zgodnie z RODO do współpracy z organami nadzorczymi lub osobami, których dane dotyczą, w przypadku sporu dotyczącego przetwarzania Danych Osobowych.

Związek z Główną Umową: Strony uznają, że niniejsza Umowa Powierzenia Przetwarzania Danych jest włączona do i stanowi część ogólnej umowy o świadczenie usług (Regulaminu lub innej umowy) pomiędzy Stronami. Wszelkie spory wynikające z niniejszej Umowy będą rozstrzygane wyłącznie zgodnie z prawem polskim i przed sądem właściwym dla siedziby Administratora.

Rozłączność: (Dla kompletności w kategoriach prawnych) Jeśli jakiekolwiek postanowienie niniejszej Umowy zostanie uznane przez sąd lub właściwy organ za nieważne lub niewykonalne, postanowienie to będzie uważane za zmodyfikowane w minimalnym zakresie koniecznym, aby uczynić je ważnym i wykonalnym, a jeśli nie może zostać uczynione ważnym, zostanie oddzielone, a pozostałe postanowienia pozostaną w pełnej mocy i skutku.

Zgadzając się na niniejszą Umowę Powierzenia Przetwarzania Danych, Strony demonstrują swoje zobowiązanie do przestrzegania obowiązujących przepisów o ochronie danych w Polsce i UE oraz akceptują powyższe warunki jako prawnie wiążące i wykonalne.

Główna część niniejszej Umowy Powierzenia Przetwarzania Danych kończy się tutaj. Następują po niej Załączniki A, B i C, które stanowią integralną część Umowy.

Załącznik A – Kategorie Danych i Osób, których Dane Dotyczą

Poniższa tabela przedstawia kategorie osób, których dane dotyczą, oraz typy danych osobowych o nich, które są przetwarzane przez Podmiot Przetwarzający w imieniu Administratora na podstawie niniejszej Umowy:

Uwagi dotyczące Kategorii Danych:

• Dane Osobowe wymienione powyżej to maksymalny zakres informacji osobistych, które system jest zaprojektowany do obsługi. W praktyce Administrator może nie używać wszystkich pól (na przykład wprowadzenie numeru telefonu nauczyciela jest opcjonalne). Podmiot Przetwarzający nie zbiera żadnych danych bezpośrednio od osób, których dane dotyczą; wszystkie dane osobowe są dostarczone przez Administratora poprzez korzystanie z oprogramowania.

• Brak Danych Kategorii Szczególnych: System nie przetwarza wrażliwych kategorii takich jak pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne, dane o zdrowiu itp., ani nie przetwarza danych dotyczących wyroków skazujących. Jest przeznaczony wyłącznie do informacji planowania, skoncentrowanych na danych związanych z pracą personelu szkolnego.

• Dane Techniczne/Wsparcia: Oprócz powyższego może być pewne incydentalne przetwarzanie danych technicznych związanych z użytkownikami (na przykład adresy IP, identyfikatory urządzeń lub informacje o przeglądarce administratorów Szkoły, gdy korzystają z aplikacji internetowej, które mogą być przechwytywane w dziennikach serwera lub analityce). Te mogą być uważane za dane osobowe (IP może być danymi osobowymi). Takie dane są używane wyłącznie do technicznego dostarczania usługi (rejestrowanie, monitorowanie bezpieczeństwa, metryki wydajności) a nie do profilowania lub marketingu. Te dane techniczne są przechowywane bezpiecznie i są zatrzymywane tylko tak długo, jak potrzeba do tych celów.

• Dane Zagregowane lub Pochodne: System może generować pewne dane zagregowane, takie jak liczba zajęć, średnia wielkość klasy lub statystyki planowania. Te nie identyfikują osób i nie są uważane za Dane Osobowe. Jeśli jakiekolwiek raporty pochodzące z Danych Osobowych są udostępniane, będą w formie, która nie identyfikuje żadnej osoby (np. „Wskaźnik wykorzystania nauczycieli" według roli, bez nazywania nauczyciela, chyba że Administrator wyraźnie udostępni raport wymieniający imiona i nazwiska nauczycieli, który pozostaje w domenie Administratora).

Administrator powinien przejrzeć powyższą tabelę i potwierdzić, że dokładnie odzwierciedla typy Danych Osobowych dostarczanych Podmiotowi Przetwarzającemu. Jeśli Administrator zamierza włączyć jakiekolwiek dodatkowe kategorie danych osobowych do systemu, Administrator powinien poinformować Podmiot Przetwarzający, aby niniejszy Załącznik mógł zostać zaktualizowany i zastosowane odpowiednie zabezpieczenia.

Załącznik B – Środki Bezpieczeństwa

Niniejszy Załącznik przedstawia przegląd technicznych i organizacyjnych środków bezpieczeństwa wdrożonych przez Podmiot Przetwarzający w celu ochrony Danych Osobowych, zgodnie z wymogami Artykułu 32 RODO. Środki te są zgodne z ramami kontroli ISO 27001 i są odpowiednie dla rozwiązań SaaS opartych na chmurze:

1. Bezpieczeństwo Organizacyjne:

• Polityki i Szkolenia: Podmiot Przetwarzający posiada wewnętrzne polityki ochrony danych i bezpieczeństwa informacji. Personel z dostępem do Danych Osobowych jest szkolony z zakresu zgodności z RODO, praktyk bezpieczeństwa i poufności. Cały personel jest zobowiązany do przestrzegania polityk prywatności i jest świadomy swoich obowiązków w zakresie ochrony Danych Osobowych.
• Zarządzanie Dostępem: Podmiot Przetwarzający przestrzega zasady najmniejszych uprawnień – dostęp personelu do systemów zawierających Dane Osobowe (np. produkcyjne bazy danych lub interfejsy wsparcia) jest ograniczony do tych administratorów, którzy absolutnie tego potrzebują do wykonywania swojej pracy (zasada need-to-know). Prawa dostępu są okresowo przeglądane i niezwłocznie odwoływane, gdy nie są już konieczne. Dostęp administracyjny do infrastruktury chmurowej lub baz danych jest chroniony poprzez silne uwierzytelnianie (złożone hasła i, gdzie to możliwe, uwierzytelnianie wieloskładnikowe).
• Umowy o Zachowaniu Poufności: Pracownicy i wykonawcy są związani umowami o zachowaniu poufności. Każdy wykonawca lub zewnętrzny programista z potencjalnym dostępem do danych jest podobnie związany umownymi klauzulami poufności. Istnieją surowe zasady zakazujące korzystania z rzeczywistych Danych Osobowych w środowiskach nieprodukcyjnych (np. testowanie odbywa się z fikcyjnymi danymi).

2. Bezpieczeństwo Fizyczne i Infrastruktury:

• Bezpieczeństwo Centrum Danych: Usługa jest hostowana w centrach danych Microsoft Azure z izolacją regionalną Azure w ramach UE. Obiekty Azure utrzymują solidne kontrole bezpieczeństwa fizycznego i są certyfikowane pod kątem zgodności z ISO 27001, SOC 1/2 i innymi standardami. Podmiot Przetwarzający polega na tych certyfikatach dla zapewnienia bezpieczeństwa fizycznego.
• Bezpieczeństwo Sieciowe: Środowisko chmurowe wykorzystuje sieci wirtualne i reguły zapory ogniowej do izolacji bazy danych i serwerów backendowych. Tylko niezbędne porty są otwarte (np. port 443 dla ruchu HTTPS). Komunikacja wewnętrzna między usługami odbywa się w prywatnym, zabezpieczonym segmencie sieci z kontrolami dostępu sieciowego. Grupy bezpieczeństwa sieciowego Azure (zapora ogniowa) ograniczają dostęp do bazy danych w taki sposób, że tylko serwer aplikacji lub autoryzowane IP administratorów może się łączyć – baza danych nie jest wystawiona na publiczny internet. Ochrona Anti-DDoS jest automatycznie zapewniana przez Azure na poziomie sieciowym. Dodatkowo, Azure Web Application Firewall (WAF) jest wdrażany tam, gdzie ocena ryzyka wymaga filtrowania WAF.
• Monitorowanie Bezpieczeństwa: Podmiot Przetwarzający wykorzystuje funkcje bezpieczeństwa Azure i narzędzia monitorowania do wykrywania anomalii. Zdarzenia bezpieczeństwa są monitorowane, a alerty generowane do badania. Krytyczne luki bezpieczeństwa są łatane w ciągu 30 dni od publicznego ujawnienia lub 7 dni dla krytycznych CVE.

3. Bezpieczeństwo Aplikacji i Dostępu do Danych:

• Bezpieczne Rozwój: Kod aplikacji (zarówno backend, jak i frontend) jest opracowywany zgodnie z wytycznymi bezpiecznego kodowania. Używane są znane biblioteki i frameworki bezpieczeństwa (np. korzystanie z najlepszych praktyk Flask do obsługi wejścia, wiązanie parametrów w celu zapobiegania iniekcji SQL, sanityzacja React dla XSS itp.). Zmiany kodu są testowane i przeglądane. Tajemnice (takie jak hasła bazy danych, klucze tajne JWT) nie są zakodowane na stałe; są przechowywane bezpiecznie w zmiennych środowiskowych lub Azure Key Vault i są rotowane zgodnie z potrzebami.
• Uwierzytelnianie i Autoryzacja: Użytkownicy administratorzy szkoły uwierzytelniają się przez e-mail i hasło. Hasła są szyfrowane silnym algorytmem (np. PBKDF2 lub podobny przez Werkzeug) i nigdy nie są przechowywane w postaci zwykłego tekstu. Sesje lub tokeny wygasają po określonym czasie (token JWT ma domyślnie 24-godzinne wygaśnięcie, a ciasteczka sesji są skonfigurowane z bezpiecznymi flagami). API weryfikuje każde żądanie tokenu; jeśli jest nieważny lub wygasły, dostęp jest odrzucany. Kontrola dostępu oparta na rolach jest egzekwowana (obecnie w zasadzie tylko rola administratora, ale jeśli istniałyby wielokrotne role, punkty końcowe sprawdzałyby rolę użytkownika).
• Izolacja Danych: Projekt wielodostępny zapewnia, że dane każdej szkoły są oznaczone ID szkoły lub organizacji, a zapytania są zawsze ograniczone do kontekstu szkoły bieżącego użytkownika. To zapobiega jakiejkolwiek możliwości uzyskania dostępu przez jedną szkołę do danych innej poprzez aplikację. Bezpośredni dostęp do danych odbywa się tylko poprzez kontrolowane punkty końcowe API.
• Walidacja Wejścia i Kodowanie Wyjścia: Aplikacja zawiera walidację danych wejściowych pod kątem długości, typu i formatu na poziomie API (i dodatkowo na formularzach frontendowych). To pomaga zapobiegać nieprawidłowo sformułowanym danym lub atakom iniekcji. Wyjścia są kodowane/escapowane w UI frontendu, aby zapobiegać cross-site scripting. Korzystanie z ORM (SQLAlchemy) zapobiega wielu iniekcjom SQL poprzez parametryzację zapytań. Upload plików obecnie nie jest funkcją (unikając w ten sposób ryzyk uploadów plików), a jeśli zostałby wprowadzony, byłby ograniczony i skanowany.

4. Szyfrowanie:

• Szyfrowanie w Tranzycie: Cała komunikacja używa szyfrowania HTTPS/TLS. Komunikacja wewnętrznych usług używa TLS lub prywatnych sieci.
• Szyfrowanie w Spoczynku: Pliki bazy danych i kopie zapasowe używają Azure Transparent Data Encryption (TDE) z AES-256. Wszystkie wolumeny magazynowania są szyfrowane.
• Zarządzanie Kluczami: Dane uwierzytelniające są odpowiednio szyfrowane. Klucze API i tajemnice są przechowywane w Azure Key Vault z regularną rotacją.

5. Bezpieczeństwo stacji roboczych i operacyjne:

• Bezpieczeństwo Administracyjnych Punktów Końcowych: Programiści/administratorzy Podmiotu Przetwarzającego używają zabezpieczonych urządzeń z aktualnym oprogramowaniem antywirusowym/antimalware i pełnym szyfrowaniem dysku do administrowania środowiskiem chmurowym. Zdalny dostęp do serwerów (jeśli potrzebny) odbywa się za pomocą SSH/SSL z uwierzytelnianiem opartym na kluczach lub przez Azure Portal z MFA, redukując ryzyko nieautoryzowanego dostępu administracyjnego.
• Rejestrowanie Aktywności: System rejestruje kluczowe zdarzenia, które obejmują (lub, gdzie wskazano (elementy oznaczone jako "planowane")) próby logowania administratorów, tworzenie lub usuwanie ważnych rekordów (takich jak dodawanie nauczyciela lub generowanie planu) oraz dzienniki błędów do rozwiązywania problemów. Chociaż kompleksowe rejestrowanie jest w trakcie rozwoju, zamiarem jest rejestrowanie wystarczających szczegółów, aby śledzić wszelkie problemy lub potencjalne nadużycia. Dzienniki zdarzeń związanych z bezpieczeństwem (np. niepowodzenia logowania, unieważnienie tokenów) są monitorowane. Dane dzienników będą przechowywane bezpiecznie i dostępne tylko dla upoważnionego personelu.
• Plan Reagowania na Incydenty: Podmiot Przetwarzający ma procedurę reagowania na incydenty. W przypadku jakiegokolwiek incydentu bezpieczeństwa lub podejrzanego naruszenia Danych Osobowych istnieją zdefiniowane kroki: zidentyfikowanie i powstrzymanie problemu, złagodzenie ciągłego ryzyka (np. odłączenie dotkniętych systemów, odwołanie danych uwierzytelniających), zachowanie dowodów (pliki dzienników itp.), powiadomienie zainteresowanych stron (w tym Administratora, zgodnie z Sekcją 9) oraz naprawę (łatanie luk bezpieczeństwa, odzyskiwanie danych z kopii zapasowych). Przeglądy po incydentach są przeprowadzane w celu ulepszenia procesów.
• Ciągłość Biznesowa: Infrastruktura Azure zapewnia wysoką dostępność – na przykład Azure SQL jest replikowane w wielu strefach dostępności w regionie, aby zapobiegać przestojom. W przypadku poważnej awarii w jednym regionie dane mogą zostać przywrócone w innym regionie UE, jeśli jest to absolutnie konieczne (nadal w ramach UE). Podmiot Przetwarzający utrzymuje kopie zapasowe poza siedzibą i testował przywracanie z kopii zapasowych w celu zapewnienia, że dane mogą zostać odzyskane. Jest również planowanie skalowania zasobów zgodnie z potrzebami w celu utrzymania wydajności (tak aby bezpieczeństwo nie zostało naruszone przez przeciążenie).

6. Testowanie i Audyt:

• Zarządzanie Lukami Bezpieczeństwa: Podmiot Przetwarzający śledzi odpowiednie rady bezpieczeństwa dla stosu technologicznego (Flask, React itp.). Zależności oprogramowania są regularnie aktualizowane w celu łatania luk bezpieczeństwa. System jest okresowo skanowany za pomocą zautomatyzowanych narzędzi pod kątem powszechnych luk bezpieczeństwa. Wszelkie ustalenia są niezwłocznie rozwiązywane.
• Audyty Wewnętrzne: Podmiot Przetwarzający okresowo przegląda swoją zgodność z politykami bezpieczeństwa i skuteczność kontroli. Może to obejmować przeglądanie dzienników dostępu, przeprowadzanie audytów uprawnień i sprawdzanie konfiguracji względem najlepszych praktyk (np. korzystanie z rekomendacji bezpieczeństwa Azure). Logi bezpieczeństwa przechowywane są 12 miesięcy, a następnie anonimizowane lub usuwane, chyba że dłuższy okres wymagany jest prawem.
• Audyty Klientów: Jak wskazano w Sekcji 11, Administrator ma prawa audytu. Podmiot Przetwarzający jest otwarty na zewnętrzne audyty lub testy penetracyjne zlecone przez Administratora, na uzgodnionych warunkach, a także rozważy uzyskanie niezależnych ocen bezpieczeństwa w miarę wzrostu bazy użytkowników (dla zaufania i celów certyfikacji).

Te środki łącznie zapewniają solidną postawę bezpieczeństwa dla przetwarzanych Danych Osobowych. Podmiot Przetwarzający zobowiązuje się do utrzymania i aktualizacji tych środków w miarę ewolucji technologii i zagrożeń. Poziom bezpieczeństwa jest odpowiedni do ryzyka przedstawionego przez przetwarzanie (które jest uważane za umiarkowane, ponieważ obejmuje dane osobowe personelu, ale nie szczególne dane wrażliwe).

Elastyczność Technologiczna: Podmiot Przetwarzający może zastąpić wskazane rozwiązania równoważnymi lub lepszymi technicznie, pod warunkiem utrzymania poziomu bezpieczeństwa co najmniej równoważnego i powiadomienia Administratora o istotnych zmianach z co najmniej 14-dniowym wyprzedzeniem (poprzez e-mail).

Jeśli Administrator ma konkretne wymagania bezpieczeństwa lub wymaga dostosowań (np. potrzeba dodatkowego szyfrowania lub rejestrowania), Strony mogą omówić i zaktualizować niniejszy Załącznik w drodze pisemnej umowy.

Załącznik C – Zatwierdzeni Podprzetwarzający

Poniżej znajduje się lista Podprzetwarzających, których Podmiot Przetwarzający jest upoważniony do wykorzystania przy wykonywaniu działań przetwarzania w imieniu Administratora, na dzień wejścia w życie niniejszej Umowy. Administrator wyraża zgodę na zaangażowanie tych Podprzetwarzających zgodnie z warunkami Sekcji 6:

Uwagi dotyczące Podprzetwarzających:

• Powyższe zaangażowanie Microsoft Azure obejmuje szereg usług chmurowych pod parasolem Azure, które Podmiot Przetwarzający wykorzystuje. Obejmuje to wszelkie Azure Cognitive Service (takie jak Azure OpenAI), które mogą być opcjonalnie zintegrowane ściśle w ramach platformy Azure. Administrator powinien być świadomy, że Azure OpenAI Service, jeśli używane, przetwarza dane w chmurze Microsoft. Podmiot Przetwarzający zapewni, że żadne dane osobowe (takie jak imiona i nazwiska nauczycieli lub e-maile) nie są wysyłane do modelu AI; model byłby używany tylko do ogólnych zapytań użytkowników lub wsparcia, które nie wymagają dostępu do bazy danych Administratora. W każdym przypadku wszelkie dane tymczasowo wysłane do takiej usługi AI pozostałyby w regionie UE Azure i byłyby regulowane tymi samymi warunkami ochrony danych Microsoft.

• Rola Microsoft Azure to w zasadzie infrastruktura-jako-usługa i usługi platformowe. Nie mają niezależnego dostępu do danych z wyjątkiem tego, co jest potrzebne do utrzymania usług chmurowych (a ich systemy są w dużej mierze zautomatyzowane). Azure jest uważane za Podwykonawcę, ponieważ dane Administratora są przechowywane na ich serwerach. DPA Microsoft z Podmiotem Przetwarzającym zapewnia, że Microsoft przetwarza dane tylko pod ścisłą poufnością i zgodnie z potrzebami Podmiotu Przetwarzającego.

• W tej chwili nie ma podwykonawców poza kontekstem Azure. Na przykład firma Podmiotu Przetwarzającego nie korzysta z zewnętrznych centrów wsparcia, zewnętrznej analityki danych ani innego przetwarzania osób trzecich dla danych Administratora.

• Jeśli Podmiot Przetwarzający kiedykolwiek będzie musiał korzystać z dodatkowych podwykonawców, takich jak usługa rejestrowania/monitorowania (poza własną Azure) lub usługa powiadomień e-mail (do wysyłania e-maili do administratorów) lub dostawca magazynu kopii zapasowych, Podmiot Przetwarzający doda ich do niniejszego Załącznika (za zgodą Administratora). Standardowe usługi, które nie przechowują danych osobowych lub przetwarzają je tylko chwilowo (takie jak przekaźnik SMTP dla jednorazowych e-maili, które nie są przechowywane) mogą nie być wymienione, jeśli są tylko kanałami komunikacyjnymi; jednak dla zachowania przejrzystości Podmiot Przetwarzający będzie generalnie ujawniał wszelkie usługi, które regularnie obsługują lub przechowują Dane Osobowe.

• Administrator może poprosić o więcej szczegółów dotyczących środków bezpieczeństwa i prywatności każdego podwykonawcy. Podmiot Przetwarzający dostarczy takie informacje (np. linki do dokumentacji centrum zaufania Microsoft) na żądanie.

Zatwierdając powyższych podwykonawców, Administrator uznaje, że Podmiot Przetwarzający ma ogólne upoważnienie do korzystania z tych podmiotów w dostarczaniu Usługi. Podmiot Przetwarzający pozostaje odpowiedzialny za wszelkie działania lub zaniechania swoich podwykonawców, jakby były to działania lub zaniechania samego Podmiotu Przetwarzającego.

Dodatek Sektora Publicznego do Umowy Powierzenia Przetwarzania Danych

Niniejszy dodatek ma zastosowanie tylko wtedy, gdy Administratorem jest podmiot sektora publicznego w Polsce (w tym szkoły publiczne, uniwersytety lub inne podmioty podlegające prawu zamówień publicznych).

Dodatkowe Zobowiązania dla Klientów Sektora Publicznego

1. Zgodność z Zamówieniami Publicznymi

• Zgodność z Zamówieniami Publicznymi: Administrator potwierdza, że niniejsza umowa została zawarta zgodnie z obowiązującymi przepisami o zamówieniach publicznych, w tym Ustawą z dnia 11 września 2019 r. Prawo zamówień publicznych, gdzie ma to zastosowanie.

• Przejrzystość: Podmiot Przetwarzający uznaje, że określone szczegóły umowy mogą podlegać wymogom ujawniania publicznego zgodnie z polskimi przepisami o przejrzystości.

2. Wymagania Dostępności

• Zgodność z WCAG 2.1 AA: Podmiot Przetwarzający dołoży rozsądnych starań komercyjnych, aby zapewnić, że interfejs Usługi spełnia standardy Web Content Accessibility Guidelines (WCAG) 2.1 Level AA dla dostępności, w zakresie funkcjonalności skierowanej do użytkowników sektora publicznego. Zobowiązanie to nie obejmuje funkcji administracyjnych ani konfiguracyjnych wykorzystywanych wyłącznie przez administratorów systemu.

• Oświadczenie o Dostępności: Podmiot Przetwarzający będzie utrzymywał i publikował oświadczenie o dostępności zgodnie z Dyrektywą (UE) 2016/2102 w sprawie dostępności stron internetowych i aplikacji mobilnych organów sektora publicznego.

• Monitorowanie Dostępności: Administrator może żądać audytów dostępności w celu weryfikacji zgodności ze standardami dostępności.

3. Dodatkowe Wymagania Bezpieczeństwa

• Standardy Rządowe: Tam gdzie Administrator podlega określonym rządowym standardom bezpieczeństwa, Podmiot Przetwarzający będzie współpracował w spełnianiu takich wymagań poprzez odpowiednie środki techniczne i organizacyjne.

• Prawa Audytu: Administratorzy sektora publicznego mogą korzystać z rozszerzonych praw audytu zgodnie z obowiązującymi przepisami sektora publicznego, poza tymi określonymi w głównej DPA.

4. Suwerenność Danych

• Wzmocniona Rezydencja Danych: Dla klientów sektora publicznego Podmiot Przetwarzający będzie przetwarzał Dane Osobowe na terytorium Rzeczypospolitej Polskiej lub w innych lokalizacjach UE wskazanych w Załączniku B, chyba że zostanie to inaczej szczególnie autoryzowane na piśmie przez Administratora lub chyba że prawo Unii lub polskie zobowiązuje inaczej (Art. 6 ust. 1 lit. c RODO).

• Dostęp Rządowy: Podmiot Przetwarzający powiadomi Administratora o wszelkich żądaniach dostępu do danych od zagranicznych podmiotów rządowych, w zakresie dozwolonym przez prawo.

5. Warunki Umowy

• Prawo Właściwe: Wszystkie spory będą rozstrzygane wyłącznie zgodnie z prawem polskim i przed polskimi sądami właściwymi dla siedziby Administratora.

• Prawa Rozwiązania: Administratorzy sektora publicznego mogą korzystać z dodatkowych praw rozwiązania przewidzianych prawem publicznym, w tym rozwiązania z przyczyn interesu publicznego z odpowiednim wypowiedzeniem.

6. Raportowanie i Przejrzystość

• Raportowanie Wydajności: Podmiot Przetwarzający będzie dostarczał kwartalne raporty wydajności odpowiednie do publicznego ujawniania, w tym metryki dostępności i streszczenia incydentów bezpieczeństwa (zanonimizowane).

• Rejestry Publiczne: Administrator może publikować zanonimizowane informacje o działaniach przetwarzania danych i wydajności usługi dla celów przejrzystości.

Data Wejścia w Życie: Niniejszy dodatek wchodzi w życie z chwilą podpisania i pozostaje w mocy przez czas trwania głównej Umowy Powierzenia Przetwarzania Danych.

Pierwszeństwo: W przypadku konfliktu między niniejszym dodatkiem a główną DPA, niniejszy dodatek ma pierwszeństwo dla klientów sektora publicznego.

Ostatnia Aktualizacja: 20 lipca 2025

Strona Podpisów

ADMINISTRATOR:

Imię i Nazwisko: _________

Stanowisko: _________

Firma/Organizacja: _________

Rejestracja/NIP: _________

Podpis: _____

Data: _________

PODMIOT PRZETWARZAJĄCY (SENQUITY Sp. z o.o.):

Imię i Nazwisko: _________

Stanowisko: _________

Rejestracja Firmy: KRS 0001036693, NIP 7963018492

Podpis: _____

Data: _________