Umowa powierzenia przetwarzania danych osobowych

Pojęcia pisane wielką literą mają następujące znaczenie:

• Administrator - Użytkownik (korepetytor) korzystający z Serwisu, decydujący o celach i sposobach przetwarzania Danych powierzonych.
• Podmiot przetwarzający - NeuraLabs Łukasz Żmujdzian (Usługodawca, którego dane wskazano w §3 Regulaminu), przetwarzający Dane powierzone w imieniu Administratora.
• Strony - Administrator oraz Podmiot przetwarzający.
• Serwis - serwis internetowy Lekti dostępny pod adresem lekti.app.
• Umowa Główna - umowa o świadczenie usług drogą elektroniczną zawarta między Stronami na podstawie Regulaminu.
• Dane powierzone - dane osobowe wprowadzane przez Administratora do Serwisu i powierzone Podmiotowi przetwarzającemu na podstawie niniejszej Umowy powierzenia.
• Osoby, których dane dotyczą - uczniowie (w tym osoby małoletnie) oraz ich rodzice lub opiekunowie.
• Podprocesor - dalszy podmiot przetwarzający, z którego usług korzysta Podmiot przetwarzający w celu realizacji Umowy Głównej.
• RODO - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych.

2.1. Administrator powierza Podmiotowi przetwarzającemu przetwarzanie Danych powierzonych w zakresie niezbędnym do świadczenia usługi opisanej w Regulaminie (zarządzanie pracą korepetytora: ewidencja uczniów, kalendarz lekcji, rozliczanie płatności, powiadomienia oraz panele rodzica i ucznia).

2.2. Dane powierzone są przetwarzane wyłącznie w celu realizacji Umowy Głównej. Podmiot przetwarzający nie wykorzystuje ich do własnych celów ani nie udostępnia osobom nieupoważnionym.

3.1. Umowa powierzenia obowiązuje przez czas obowiązywania Umowy Głównej (istnienia Konta) i stanowi jednocześnie czas trwania przetwarzania Danych powierzonych w rozumieniu art. 28 RODO.

3.2. Zakończenie Umowy Głównej, w szczególności usunięcie Konta, skutkuje zakończeniem powierzenia oraz postępowaniem z Danymi powierzonymi zgodnie z §6 lit. g.

Dane powierzone przetwarzane są w systemach informatycznych Podmiotu przetwarzającego (infrastruktura chmurowa wskazana w Klauzuli informacyjnej RODO). Przetwarzanie obejmuje operacje wynikające z funkcji Serwisu, w szczególności: zbieranie, utrwalanie, przechowywanie, porządkowanie, modyfikowanie, przeglądanie, wykorzystywanie, udostępnianie uprawnionym użytkownikom (np. panel rodzica), ograniczanie oraz usuwanie danych.

5.1. Powierzenie obejmuje dane zwykłe, w szczególności:

• imię i nazwisko ucznia oraz rodzica/opiekuna;
• dane kontaktowe (adres e-mail, numer telefonu);
• szkołę, klasę, nauczany przedmiot i poziom;
• dane o lekcjach (terminy, obecności, odwołania), płatnościach i saldzie oraz postępach w nauce;
• opcjonalnie zdjęcia prac (sprawdzianów, kartkówek).

5.2. Kategorie Osób, których dane dotyczą: uczniowie (w tym osoby małoletnie) oraz ich rodzice lub opiekunowie.

5.3. Administrator zobowiązuje się nie wprowadzać do Serwisu szczególnych kategorii danych (art. 9 RODO, m.in. danych o zdrowiu) - Serwis nie jest przeznaczony do ich przetwarzania.

Podmiot przetwarzający, zgodnie z art. 28 ust. 3 RODO, zobowiązuje się:

• przetwarzać Dane powierzone wyłącznie na udokumentowane polecenie Administratora; za takie polecenie uznaje się korzystanie z funkcji Serwisu oraz ustawienia Konta, chyba że obowiązek przetwarzania nakłada prawo Unii lub państwa członkowskiego;
• zapewnić, by osoby upoważnione do przetwarzania danych zobowiązały się do zachowania poufności;
• stosować środki techniczne i organizacyjne wymagane art. 32 RODO, w szczególności szyfrowanie połączeń (TLS), kontrolę dostępu na poziomie bazy danych, przechowywanie haseł wyłącznie w postaci zaszyfrowanej, kopie zapasowe oraz ograniczenie dostępu do danych do osób i procesów, które go potrzebują;
• przestrzegać warunków korzystania z Podprocesorów określonych w §7;
• w miarę możliwości technicznych Serwisu pomagać Administratorowi w realizacji żądań Osób, których dane dotyczą (dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie, sprzeciw);
• pomagać Administratorowi w wywiązaniu się z obowiązków z art. 32-36 RODO oraz informować go o naruszeniu ochrony Danych powierzonych bez zbędnej zwłoki po jego stwierdzeniu;
• po zakończeniu świadczenia usług - zależnie od decyzji Administratora - usunąć Dane powierzone albo zwrócić je Administratorowi; usunięcie Konta powoduje skasowanie Danych powierzonych i powiązanych rekordów, chyba że obowiązek dalszego przechowywania wynika z prawa;
• udostępniać Administratorowi informacje niezbędne do wykazania spełnienia powyższych obowiązków oraz umożliwiać audyty na zasadach z §8.

7.1. Administrator wyraża ogólną zgodę na korzystanie przez Podmiot przetwarzający z Podprocesorów wskazanych w Klauzuli informacyjnej RODO (§5). Podmiot przetwarzający nakłada na Podprocesorów obowiązki ochrony danych nie mniejsze niż określone w niniejszej Umowie powierzenia.

7.2. O zamierzonych zmianach dotyczących Podprocesorów Podmiot przetwarzający poinformuje Administratora, umożliwiając wniesienie sprzeciwu. Sprzeciw uniemożliwiający świadczenie usługi uprawnia każdą ze Stron do rozwiązania Umowy Głównej.

8.1. Administrator oświadcza, że przetwarza Dane powierzone zgodnie z obowiązującym prawem, posiada podstawę prawną do ich przetwarzania oraz realizuje wobec Osób, których dane dotyczą, obowiązek informacyjny (m.in. za pomocą klauzuli informacyjnej prezentowanej rodzicom i uczniom w formularzach Serwisu).

8.2. Administrator ma prawo żądać informacji niezbędnych do wykazania spełnienia obowiązków określonych w niniejszej Umowie powierzenia oraz prawo do przeprowadzenia audytu. Realizacja tych uprawnień następuje na wniosek kierowany na adres kontakt@lekti.app; audyt przeprowadza się w sposób nieutrudniający Podmiotowi przetwarzającemu prowadzenia działalności, w terminie uzgodnionym przez Strony.

9.1. Każda ze Stron odpowiada za szkody spowodowane przetwarzaniem niezgodnym z RODO na zasadach określonych w art. 82 RODO.

9.2. W sprawach nieuregulowanych niniejszą Umową powierzenia stosuje się postanowienia Regulaminu, RODO oraz przepisy prawa polskiego. Zmiany Umowy powierzenia następują w trybie właściwym dla zmian Regulaminu.