Regulamin dla nauczycieli  

Przetwarzanie  danych osobowych

Strony:  

1. Szkoła wskazana w formularzu zgłoszeniowym, która wyraziła wolę korzystania ze Squla w klasie,  zwana dalej: „Instytucją oświatową“. 

i 

2. Sp. z o.o. FutureWhiz Media B.V., z siedzibą w Amsterdamie i prowadząca biuro pod adresem:  (1018 TX) Amsterdam, Sarphati Plaza, Rhijnspoorplein 22, zwana dalej: „Podmiotem przetwarzającym”  lub „Squla”  

zwani dalej wspólnie: „Stronami”, lub każda osobno: „Stroną” 

Mając na uwadze, co następuje:  

a. Instytucja oświatowa i Podmiot przetwarzający zawarli umowę, na mocy której Squla oferuje  usługę Squla w klasie, („Umowę produktu i Umowę o świadczenie usług”). Ta Umowa produktu i Umowa o  świadczenie usług skutkuje przetwarzaniem Danych osobowych przez Podmiot przetwarzający w imieniu  Instytucji oświatowej.  

b. Zgodnie z postanowieniami art. 28 ust. 3 ogólnego rozporządzenia o ochronie danych Strony  pragną w niniejszej Umowie powierzenia przetwarzania Danych osobowych określić swoje wzajemne  prawa i obowiązki w zakresie przetwarzania Danych osobowych. 

Strony uzgadniają, co następuje:  

Artykuł 1: Definicje 

Do celów niniejszej Umowy powierzenia przetwarzania Danych osobowych stosuje się następujące  definicje: 

a. Osoba, której dane dotyczą, Podmiot przetwarzający, Podmiot zewnętrzny, Dane osobowe,  Przetwarzanie Danych osobowych i Administrator: terminy zdefiniowane w RODO; 

b. Załącznik(i): załącznik(i) do Porozumienia lub Umowy powierzenia przetwarzania Danych  osobowych; 

c. Porozumienie: Porozumienie odnośnie cyfrowych zasobów edukacyjnych i prywatności 3.0; d. Strona Porozumienia: Instytucja oświatowa lub Dostawca, który przystąpił do Porozumienia;  

e. Naruszenie ochrony Danych osobowych: naruszenie ochrony Danych osobowych, o którym  mowa w art. 4 ust. 12 RODO;  

f. Cyfrowy zasób edukacyjny: Zasoby dydaktyczne i testowe oraz Zasoby informacyjne dla szkół i  uczniów;  

g. Inicjatorzy: strony, które są inicjatorami Porozumienia, zgodnie z preambułą Porozumienia; 

h. Instrukcje: pisemne lub elektroniczne dyspozycje Administratora dla Podmiotu przetwarzającego  w zakresie jego uprawnień określonych w niniejszej Umowie powierzenia przetwarzania Danych  osobowych lub w Umowie produktu i Umowie o świadczenie usług. Instrukcje są udzielane przez osoby  kontaktowe i do osób kontaktowych Stron zgodnie z Załącznikiem(-ami);  

i. Łańcuch iD: pseudonim przypisany do osobistego numeru Uczestnika kształcenia, który  uniemożliwia bezpośrednią identyfikację tego Uczestnika kształcenia. Ten pseudonim jest następnie  ponownie kodowany w Łańcuchu iD, który jest używany do celów identyfikacyjnych w celu uzyskania  dostępu do cyfrowych zasobów edukacyjnych i korzystania z nich. Łańcuch iD nazywany jest również ECK  iD; 

j. Zasoby dydaktyczne i testowe: cyfrowy produkt i/lub usługa składające się z materiałów  edukacyjnych i/lub testów oraz związanych z nimi usług cyfrowych, ukierunkowane na sytuacje  edukacyjne, w celu zapewnienia edukacji przez Instytucje oświatowe lub w ich imieniu;  

k. Dostawca: dostawca cyfrowych zasobów edukacyjnych, taki jak dystrybutor, wydawca lub  dostawca systemu administracyjnego; 

l. Wzór Umowy powierzenia przetwarzania Danych osobowych: wzór umowy powierzenia  przetwarzania Danych osobowych dołączony jako załącznik do Porozumienia;  

m. Uczestnik kształcenia: uczestnik kształcenia w ramach szkolnictwa podstawowego, szkolnictwa  średniego lub szkolnictwa zawodowego na poziomie średnim;  

n. Platforma: platforma, o której mowa w art. 8 Porozumienia, obecnie znana jako Edu-K; 

o. Umowa produktu i Umowa o świadczenie usług: umowa pomiędzy Instytucją oświatową a  Podmiotem przetwarzającym, o której mowa w punkcie a preambuły, w tym umowa zawarta na jej  podstawie pomiędzy Uczestnikiem kształcenia a Dostawcą danego produktu lub usługi; 

p. Ulotka dotycząca prywatności: jedna lub większa liczba ulotek dotyczących prywatności zawartych w Załączniku(-ach), które mają zastosowanie do oferowanych cyfrowych zasobów edukacyjnych; 

q. Regulamin: regulamin, o którym mowa w art. 8 ust. 4 Porozumienia; 

r. Zasoby informacyjne dla szkół i uczniów: cyfrowy produkt i/lub usługa na rzecz (procesu) edukacji, takie jak system administracji uczniami, podstawowy system rejestracji, system informacji o  uczniach, zarządzanie uczestnikami, system harmonogramowania, portal macierzysty, system komunikacji  między uczniami i rodzicami, pulpity nawigacyjne i systemy zarządzania jakością, o ile zawierają one Dane  osobowe uczestników edukacji, elektroniczne środowisko nauczania i system śledzenia uczniów; 

s. Standardowy zestaw atrybutów: dodatkowe znormalizowane Dane osobowe Uczestników  kształcenia ustanowione przez Platformę, które mogą być używane dodatkowo oprócz Łańcucha iD w celu  uzyskania dostępu do Cyfrowych zasobów edukacyjnych i korzystania z nich (opublikowane na stronie  internetowej Platformy);  

t. Podwykonawca Podmiotu przetwarzającego: strona zaangażowana przez Podmiot  przetwarzający do celów przetwarzania Danych osobowych w ramach Wzoru Umowy powierzenia  przetwarzania Danych osobowych oraz Umowy produktu i Umowy o świadczenie usług; 

u. RODO: ogólne rozporządzenie o ochronie danych (rozporządzenie Parlamentu Europejskiego i  Rady 2016/679 z dnia 27 kwietnia 2016 w sprawie ochrony osób fizycznych w zakresie przetwarzania  danych osobowych i swobodnego przepływu tych danych oraz uchylające dyrektywę 95/46/WE); 

v. Obowiązujące przepisy ustawowe i wykonawcze dotyczące przetwarzania Danych  osobowych: obowiązujące przepisy ustawowe i wykonawcze (na mocy prawa UE i prawa krajowego) lub  (dalsze) traktaty, rozporządzenia, wytyczne, decyzje, zasady polityki, instrukcje i/lub zalecenia właściwego  organu publicznego dotyczące przetwarzania Danych osobowych, w tym wszelkie przyszłe zmiany i/lub  uzupełnienia do nich, w tym przepisy wykonawcze do prawa krajowego wdrażające RODO oraz  holenderska Ustawa telekomunikacyjna (Telecommunicatiewet). 

Artykuł 2: Przedmiot i cel Umowy powierzenia przetwarzania Danych osobowych  

1. Niniejsza Umowa powierzenia przetwarzania Danych osobowych dotyczy przetwarzania Danych  osobowych w kontekście realizacji Umowy produktu i Umowy o świadczenie usług.  

2. Instytucja oświatowa, zgodnie z art. 28 RODO, zleca Podmiotowi przetwarzającemu Przetwarzanie  Danych Osobowych w imieniu Uczelni. Instrukcje Instytucji oświatowej mogą być opisane bardziej  szczegółowo w niniejszej Umowie powierzenia przetwarzania Danych osobowych oraz w Umowie  produktu i Umowie o świadczenie usług.  

3. Postanowienia Umowy powierzenia przetwarzania Danych osobowych stosuje się do wszystkich  czynności Przetwarzania określonych w załączniku 1, które mają miejsce przy zawieraniu Umowy  produktu i Umowy o świadczenie usług. Podmiot przetwarzający niezwłocznie informuje Instytucję  oświatową, jeżeli ma powody, by sądzić, że Podmiot przetwarzający nie może dłużej stosować się  do Umowy powierzenia przetwarzania Danych osobowych.

Artykuł 3: Podział ról 

1. W odniesieniu do przetwarzania Danych osobowych, które ma być przeprowadzane zgodnie z jej  instrukcjami, Instytucja oświatowa pełni funkcję Administratora. Podmiot przetwarzający jest  Podmiotem przetwarzającym w rozumieniu RODO. Instytucja oświatowa sprawuje i zachowuje  niezależną kontrolę nad (określeniem) celu i środków przetwarzania Danych osobowych.  

2. Przed zawarciem Umowy powierzenia przetwarzania Danych osobowych, Podmiot przetwarzający  zadba, aby Instytucja oświatowa była odpowiednio poinformowana o usługach świadczonych przez  Podmiot przetwarzający i przetwarzaniu Danych, które ma być przeprowadzone. Udostępnione  informacje umożliwiają Instytucji oświatowej zrozumienie, które przetwarzanie Danych jest  nierozerwalnie związane z oferowaną usługą i jakie operacje przetwarzania Danych Instytucja  oświatowa może wybrać w odniesieniu do ewentualnych oferowanych usług fakultatywnych. 

3. Bez uszczerbku dla postanowień zawartych w innym miejscu niniejszej Umowy powierzenia  przetwarzania Danych osobowych, przed zawarciem niniejszej Umowy powierzenia przetwarzania  Danych osobowych, Podmiot przetwarzający poinformuje Instytucję oświatową wymienioną w  Załączniku 1 o usługach, o których mowa w ust. 2, w tym o wszelkich usługach fakultatywnych,  oraz o przetwarzaniu Danych, które ma miejsce w tym kontekście. Informacje zawarte w  Załączniku 1 muszą być opisane zrozumiałym językiem, w wyniku czego Instytucja oświatowa  może wyrazić świadomą zgodę na korzystanie z tych usług i realizację związanych z nimi operacji  przetwarzania Danych. 

4. Instytucja oświatowa rejestruje przetwarzanie Danych osobowych, o którym mowa w ust. 2  niniejszego artykułu, w rejestrze czynności przetwarzania Danych osobowych, za które jest  odpowiedzialna.  

5. W zakresie, w jakim wymaga tego art. 30 ust. 5 RODO, Podmiot przetwarzający prowadzi zgodnie z  art. 30 ust. 2 RODO rejestr wszystkich kategorii czynności przetwarzania Danych osobowych  prowadzonych przez Podmiot przetwarzający na rzecz Instytucji oświatowej.  

6. Instytucja oświatowa i Podmiot przetwarzający przekazują sobie nawzajem wszelkie informacje  niezbędne do zapewnienia właściwego przestrzegania obowiązujących przepisów ustawowych i  wykonawczych dotyczących przetwarzania Danych osobowych. 

Artykuł 4: Porozumienie odnośnie prywatności 

1. Strony zgadzają się z postanowieniami Porozumienia. 

Artykuł 5: Korzystanie z Danych osobowych 

1. Podmiot przetwarzający zobowiązuje się nie wykorzystywać Danych osobowych uzyskanych od  Instytucji oświatowej w żadnym innym celu lub w jakikolwiek inny sposób niż w celu i w sposób, w  jaki dane te zostały mu przekazane lub stały się znane. Podmiot przetwarzający nie może zatem  dokonywać żadnych operacji przetwarzania Danych osobowych innych niż operacje zlecone mu  przez Instytucję oświatową (na piśmie lub drogą elektroniczną) przez Podmiot przetwarzający w  kontekście wykonania Umowy produktu i Umowy o świadczenie usług, z wyjątkiem przypadku  jakiegokolwiek innego postanowienia prawa UE lub prawa krajowego lub decyzji sądowej, o ile  odwołanie nie jest już możliwe. W takim przypadku Podmiot przetwarzający zawiadamia Instytucję  oświatową przed dokonaniem przetworzenia Danych osobowych o tym przepisie ustawowym lub  orzeczeniu sądowym, chyba że zawiadomienie to jest zakazane z ważnych względów interesu  publicznego.  

2. Przegląd, między innymi, kategorii Danych osobowych i celu, dla którego Dane osobowe są  przetwarzane, znajduje się w Ulotce dotyczącej prywatności załączonej do niniejszej Umowy  powierzenia przetwarzania Danych osobowych.  

3. Podmiot przetwarzający musi wskazać w Ulotce dotyczącej prywatności, czy Ulotka dotycząca  prywatności odnosi się do Zasobów dydaktycznych i testowych i/lub Zasobów informacyjnych dla  szkół i uczniów. W Ulotce dotyczącej prywatności, Podmiot przetwarzający określi cele, dla których  Dane osobowe, określone przez Administratora, są przetwarzane w trakcie użytkowania jego  produktu i/lub usługi oraz kategorie przetwarzanych w tym procesie Danych osobowych.

4. Jeżeli Podmiot przetwarzający określi cel i sposoby przetwarzania Danych osobowych z  naruszeniem RODO, to Podmiot przetwarzający będzie uważany za Administratora w odniesieniu  do tego przetwarzania Danych osobowych. 

5. SZCZEGÓŁOWE PRZEPISY W PRZYPADKU WYMIANY RAPORTU EDUKACYJNEGO: W uzupełnieniu  do postanowień ujętych w ust. 4, Podmiot przetwarzający może przekazywać Dane osobowe innej  instytucji oświatowej wyznaczonej i wybranej przez Instytucję oświatową wyłącznie na wyraźny  wniosek o ich przekazanie oraz pod warunkiem, że ta inna instytucja oświatowa zgłosiła  Podmiotowi przetwarzającemu swoją administracyjną tożsamość edukacyjną (np. BRIN lub OiN).  Jeżeli ta inna instytucja oświatowa nie posiada administracyjnej tożsamości akademickiej, to  Podmiot przetwarzający przekazuje tej instytucji oświatowej Dane osobowe wyłącznie na wyraźne  polecenie Instytucji oświatowej.  

6. SZCZEGÓŁOWE POSTANOWIENIA DOTYCZĄCE UMÓW POWIERZENIA PRZETWARZANIA DANYCH  OSOBOWYCH MIĘDZY INSTYTUCJAMI OŚWIATOWYMI ORAZ DYSTRYBUTORAMI: 

a. Strony Porozumienia, które tworzą i zapewniają Zasoby dydaktyczne i testowe (zwane dalej  „Dostawcą Zasobów dydaktycznych“) będą corocznie uzupełniać i/lub zmieniać Ulotkę  dotyczącą prywatności tych Zasobów dydaktycznych i testowych w celu sporządzenia list zasobów  dydaktycznych na następny rok szkolny (które to listy będą sporządzane w celu wdrożenia Umowy  produktu i Umowy o świadczenie usług) poprzez włączenie kategorii Danych osobowych i  wykorzystania tych Danych osobowych (w odniesieniu do Zasobów dydaktycznych i testowych) do  tych materiałów.  

b. W imieniu Instytucji oświatowej Podmiot przetwarzający (dystrybutor) wymienia dane z tymi  Dostawcami Zasobów dydaktycznych.  

c. Instytucja oświatowa jest odpowiedzialna za zawieranie i zapisywanie umów z każdym z  Dostawców Zasobów dydaktycznych w Umowie powierzenia przetwarzania Danych osobowych.  

d. Instytucja oświatowa zwalnia Podmiot przetwarzający (dystrybutora) z wszelkich roszczeń  Podmiotów zewnętrznych wynikających z braku (terminowej) realizacji umów z Dostawcami  Zasobów dydaktycznych, a Instytucja oświatowa zabezpiecza Dostawcę Zasobów dydaktycznych  przed ewentualnymi roszczeniami Podmiotów zewnętrznych w wyniku braku (terminowego)  poczynienia ustaleń dotyczących przetwarzania Danych osobowych z Podmiotem przetwarzającym  (dystrybutorem).  

e. Odpowiedzialność Podmiotu przetwarzającego (dystrybutora) za zarządzanie Danymi osobowymi  wygasa z chwilą otrzymania danych od Podmiotu przetwarzającego (dystrybutora) przez Dostawcę  Zasobów dydaktycznych.  

Artykuł 6: Poufność  

1. Podmiot przetwarzający gwarantuje, że będzie traktował wszystkie Dane osobowe z zachowaniem  ścisłej poufności w stosunku do Podmiotów zewnętrznych, w tym organów publicznych. Podmiot  przetwarzający zadba, aby wszystkie osoby, które zaangażuje w przetwarzanie Danych osobowych,  w tym jego pracownicy, przedstawiciele i/lub Podwykonawcy Podmiotu przetwarzającego,  traktowały te dane jako poufne. Podmiot przetwarzający gwarantuje, że z osobami upoważnionymi  do przetwarzania Danych osobowych została zawarta umowa lub klauzula o poufności lub że są  one prawnie zobowiązane do zachowania poufności.  

2. Obowiązek zachowania tajemnicy zawodowej, o którym mowa w ust. 1, nie ma zastosowania w  przypadkach określonych poniżej: 

1. w zakresie, w jakim Instytucja oświatowa udzieliła wyraźnej zgody na ujawnienie Danych  osobowych Podmiotom zewnętrznym; 

2. jeżeli przekazanie Danych osobowych Podmiotowi zewnętrznemu jest konieczne ze względu na  charakter usług, które mają być świadczone przez Podmiot przetwarzający na rzecz Instytucji oświatowej;  lub  

3. jeżeli Podmiot przetwarzający jest zobowiązany do dostarczenia go na podstawie przepisu prawa  Unii Europejskiej, prawa krajowego lub orzeczenia sądowego, w zakresie, w jakim odwołanie od takiego  przepisu nie jest już możliwe. 

3. Podmiot przetwarzający powstrzyma się od przekazania lub ujawnienia Danych osobowych  Podmiotowi zewnętrznemu, chyba że takie przekazanie lub ujawnienie odbywa się na polecenie  Instytucji oświatowej lub gdy jest to niezbędne do wykonania orzeczenia sądowego, o ile nie jest  możliwe dalsze odwołanie lub wiąże się z ustawowym obowiązkiem spoczywającym na Podmiocie  przetwarzającym. Zobowiązania prawne obejmują przepisy prawa Unii Europejskiej lub prawa  krajowego, na podstawie których Podmiot przetwarzający jest zobowiązany do udostępnienia  Danych osobowych. W przypadku zobowiązania prawnego, przed udostępnieniem Danych  osobowych, Podmiot przetwarzający sprawdza podstawę prawną i tożsamość strony powołującej  się na nie. Ponadto, o ile przepisy te nie zabraniają takiego udostępnienia z ważnych względów  interesu publicznego, Podmiot przetwarzający niezwłocznie informuje Instytucję oświatową, w  miarę możliwości przed dostarczeniem informacji istotnych dla Instytucji oświatowej w  odniesieniu do tego udostępnienia. 

4. Podmiot przetwarzający zadba, aby pracownicy pracujący pod jego nadzorem mieli dostęp do  Danych osobowych jedynie w zakresie niezbędnym do wykonywania swojej pracy. 

Artykuł 7: Bezpieczeństwo i kontrola  

1. Z zastrzeżeniem przepisów art. 32 RODO, Podmiot przetwarzający, podobnie jak Instytucja  oświatowa, zapewnia podjęcie odpowiednich środków technicznych i organizacyjnych w celu  zabezpieczenia i ochrony Danych osobowych przed nieuprawnionym lub bezprawnym  przetwarzaniem oraz przed przypadkową utratą, zniszczeniem lub uszkodzeniem.  

2. Oprócz środków, o których mowa w art. 32 ust. 1 RODO, w stosownych przypadkach zostaną  podjęte następujące środki:  

a. odpowiednia polityka bezpieczeństwa przetwarzania Danych osobowych; 

b. środki zapewniające, że tylko upoważnieni pracownicy mają dostęp do Danych osobowych  przetwarzanych w ramach Umowy powierzenia przetwarzania Danych osobowych; 

c. Podmiot przetwarzający posiada procedury przyznawania dostępu do Danych osobowych (w tym  procedurę rejestracji i wyrejestrowania w celu przyznania praw dostępu) oraz rejestrowania zdarzeń  związanych z działalnością użytkowników, wyjątkami i zdarzeniami dotyczącymi bezpieczeństwa  informacji (porównywalne z obowiązującą normą ISO i/lub systemem certyfikacji bezpieczeństwa  informacji i prywatności ROSA). Instytucja oświatowa ma możliwość okresowego sprawdzania tych  rejestrów zdarzeń.  

3. Strony będą dokonywać okresowej oceny podjętych środków bezpieczeństwa i ich zaostrzenia,  uzupełnienia lub udoskonalenia, o ile uzasadniają to wymogi lub postęp (technologiczny). 

4. W Załączniku 2 ujęto uzgodnienia poczynione przez Strony dotyczące odpowiednich technicznych i  organizacyjnych środków bezpieczeństwa, jak również treści, formy i sposobu pracy oświadczeń  składanych przez Podmiot przetwarzający w sprawie uzgodnionych środków bezpieczeństwa.  

5. Podmiot przetwarzający umożliwi, po dokonaniu stosownych ustaleń, Instytucji oświatowej  skuteczne wypełnianie swojego ustawowego obowiązku nadzorowania przestrzegania przez Podmiot  przetwarzający technicznych i organizacyjnych środków bezpieczeństwa, jak również wypełniania przez  niego obowiązków związanych z naruszeniem ochrony Danych osobowych, o czym jest mowa w art. 8.  

6. W uzupełnieniu do poprzednich ustępów, Instytucja oświatowa jest w każdej chwili uprawniona, w  porozumieniu z Podmiotem przetwarzającym i z zachowaniem rozsądnego terminu, do kontroli zgodności z  obowiązującymi przepisami i regulacjami dotyczącymi Przetwarzania Danych osobowych, Umową  produktu i Umową o świadczenie usług oraz niniejszą Umową powierzenia przetwarzania Danych  osobowych, w tym technicznych i organizacyjnych środków bezpieczeństwa podjętych przez Podmiot  przetwarzający, w drodze audytu przeprowadzonego przez niezależnego, certyfikowanego eksperta  zewnętrznego:  

a. Strony mogą uzgodnić w drodze wzajemnych konsultacji, że audyt zostanie  

przeprowadzony przez eksperta zewnętrznego, który zostanie zatrudniony przez Podmiot  przetwarzający w porozumieniu z Instytucją oświatową, która wystawi deklarację zewnętrzną  (TPM).  

b. Sprawozdanie z audytu audytor przekazuje wyłącznie Stronom.  

c. Strony uzgadniają między sobą sposób postępowania z wynikami audytu.

d. Strony mogą uzgodnić w drodze wzajemnych konsultacji, że na podstawie ważnej  (między)uznanej na szczeblu krajowym certyfikacji lub równoważnych środków kontroli lub  dowodów można wykorzystać już przeprowadzony audyt i wydaną na jego podstawie  deklarację Podmiotu zewnętrznego. W takim przypadku Instytucja oświatowa jest  informowana o wynikach audytu.  

e. Strony postanawiają, że koszty tego audytu ponosi Instytucja oświatowa, chyba że audyt  ujawni (poważne) usterki, które można przypisać Podmiotowi przetwarzającemu. W takim  przypadku strony skonsultują się w sprawie podziału kosztów audytu. 

Artykuł 8: Naruszenie ochrony Danych osobowych 

1. Strony posiadają odpowiednią politykę postępowania w przypadku Naruszenia ochrony Danych  osobowych.  

2. Jeśli Instytucja oświatowa lub Podmiot przetwarzający stwierdzi Naruszenie ochrony Danych  osobowych, to poinformuje o tym drugą Stronę, bez zbędnej zwłoki, gdy tylko dowie się o  Naruszeniu ochrony Danych osobowych. W przypadku Naruszenia ochrony Danych osobowych,  Podmiot przetwarzający dostarczy Instytucji oświatowej wszelkie istotne informacje dotyczące  Naruszenia ochrony Danych osobowych, w tym informacje o wszelkich zmianach dotyczących  Naruszenia ochrony Danych osobowych oraz o środkach podjętych przez Podmiot przetwarzający z  jego strony w celu ograniczenia konsekwencji Naruszenia ochrony Danych osobowych i  zapobieżenia powtórzeniu się takiej sytuacji.  

3. Podmiot przetwarzający niezwłocznie informuje Instytucję edukacyjną, jeżeli istnieje podejrzenie,  że Naruszenie ochrony Danych  osobowych może stanowić poważne zagrożenie dla praw i  wolności osób fizycznych, o których mowa w art. 34 ust. 1 RODO. 

4. W przypadku Naruszenia ochrony Danych osobowych, Podmiot przetwarzający umożliwi Instytucji  oświatowej podjęcie odpowiednich kroków w odniesieniu do Naruszenia ochrony Danych  osobowych, lub zleci ich podjęcie. Podmiot przetwarzający musi przy tym szukać powiązania z  istniejącymi procesami, które Instytucja oświatowa ustanowiła w tym celu. Strony podejmują w  najkrótszym możliwym terminie wszelkie racjonalnie konieczne środki w celu zapobieżenia lub ograniczenia (dalszego) naruszenia lub naruszeń dotyczących przetwarzania Danych osobowych, a  w szczególności (dalszego) naruszenia obowiązujących przepisów ustawowych i wykonawczych  dotyczących przetwarzania Danych osobowych. 

5. W przypadku Naruszenia ochrony Danych osobowych, Instytucja oświatowa spełni wszelkie  ewentualne wymogi prawne dotyczące wypełnienia obowiązków sprawozdawczych. Jeżeli  Naruszenie ochrony Danych osobowych u Podmiotu przetwarzającego dotyczy w równym stopniu  więcej niż jednej Instytucji oświatowej, Podmiot przetwarzający może, po konsultacji z jednym lub  większą liczbą Administratorów, powiadomić holenderski Organ ds. Danych Osobowych (Autoriteit  Persoonsgegevens) o Naruszeniu ochrony Danych osobowych. Podmiot przetwarzający  niezwłocznie (i w miarę możliwości przed sporządzeniem raportu) poinformuje Instytucję  oświatową o swoim zamiarze. 

6. Jeżeli Naruszenie ochrony Danych osobowych może stanowić poważne zagrożenie dla praw i  wolności osób fizycznych, to Instytucja oświatowa poinformuje Osoby, których dane dotyczą o  Naruszeniu ochrony Danych osobowych.  

7. W dobrej wierze strony uzgodnią w drodze wzajemnych konsultacji rozsądny podział  ewentualnych kosztów związanych z wypełnianiem obowiązków sprawozdawczych. 

8. Strony dokumentują wszystkie Naruszenia ochrony Danych osobowych w rejestrze (zdarzeń), w  tym fakty dotyczące naruszenia ochrony Danych osobowych, jego konsekwencji i podjętych  środków naprawczych. 

9. Podmiot przetwarzający informuje Instytucję oświatową o incydentach związanych z  bezpieczeństwem, innych niż Naruszenie ochrony Danych osobowych, które nie są objęte zakresem  art. 1 lit. e) niniejszej Umowy powierzenia przetwarzania Danych osobowych, zgodnie z  porozumieniami ustanowionymi w Załączniku 2. 

Artykuł 9 Wsparcie 

1. Podmiot przetwarzający wspiera Instytucję oświatową w wykonywaniu jej obowiązków  wynikających z RODO oraz innych mających zastosowanie przepisów i regulacji dotyczących  przetwarzania Danych osobowych, w szczególności w odniesieniu do: 

a. o ile to możliwe, wypełnienia przez Instytucję oświatową obowiązku przestrzegania w terminie  ustawowym wniosków o dostęp, poprawienie, uzupełnienie, usunięcie lub zablokowanie danych  osobowych, wynikających z praw Osoby, której dane dotyczą określonych w rozdziale III RODO; 

b. przeprowadzania kontroli i audytów, o których mowa w art. 7 niniejszej Umowy powierzenia  przetwarzania Danych osobowych; 

c. przeprowadzenia oceny skutków w zakresie ochrony Danych osobowych (DPIA) oraz wszelkich  wynikających z niej obowiązkowych uprzednich konsultacji z holenderskim Organem ds.  Danych Osobowych (Autoriteit Persoonsgegevens); 

d. wypełniania wniosków do holenderskiego Organu ds. Danych Osobowych (Autoriteit  Persoonsgegevens) lub innego organu publicznego; 

e. przygotowania, oceny i zgłaszania Naruszeń ochrony Danych osobowych, o których mowa w art.  8 niniejszej Umowy powierzenia przetwarzania Danych osobowych;  

2. Podmiot przetwarzający niezwłocznie przekaże skargę lub wniosek Osoby, której dane dotyczą lub  wniosek lub śledztwo holenderskiego Organu ds. Danych Osobowych (Autoriteit  

Persoonsgegevens) odnoszące się do Przetwarzania Danych osobowych do Instytucji oświatowej,  która jest odpowiedzialna za rozpatrzenie tego wniosku, w zakresie dozwolonym przez prawo. 

3. Strony nie obciążają się wzajemnie żadnymi kosztami zasadnie udzielonego wsparcia. W  przypadku gdy jedna ze Stron zechce naliczyć koszty, to wcześniej poinformuje o tym drugą Stronę. 

Artykuł 10: Przekazywanie do państw trzecich poza Europejski Obszar Gospodarczy  

1. Podmiot przetwarzający jest uprawniony do przekazania Danych osobowych do państwa trzeciego  lub organizacji międzynarodowej tylko wtedy, gdy Instytucja oświatowa udzieliła na to wyraźnej  pisemnej zgody, chyba że przepis prawa UE lub prawa krajowego mającego zastosowanie do  Podmiotu przetwarzającego zobowiązuje Podmiot przetwarzający do takiego przetworzenia  Danych osobowych. W takim przypadku Podmiot przetwarzający poinformuje Instytucję  oświatową na piśmie o tym postanowieniu przed przetworzeniem Danych osobowych, chyba że  takie ustawodawstwo zakazuje takiego powiadomienia z ważnych względów interesu publicznego. 

2. Jeżeli, po uzyskaniu zgody Instytucji oświatowej, dane osobowe są przekazywane krajom trzecim  poza Europejskim Obszarem Gospodarczym lub organizacji międzynarodowej, o której mowa w  art. 4 ust. 26 RODO, to Strony dopilnują, aby odbywało się to wyłącznie zgodnie z przepisami  ustawowymi i wszelkimi obowiązkami spoczywającymi na Instytucji oświatowej w tym zakresie.  Jeżeli dane są przekazywane państwu trzeciemu lub organizacji międzynarodowej, należy to  wskazać w Załączniku 1 do niniejszej Umowy powierzenia przetwarzania Danych osobowych, w  tym wskazać państwa, w których Dane osobowe będą przetwarzane, lub organizacje  międzynarodowe, przez które Dane te będą przetwarzane. Wskazuje się również, w jaki sposób na  podstawie RODO spełniono warunki przekazywania danych osobowych do państw trzecich lub  organizacji międzynarodowych. 

Artykuł 11: Zaangażowanie Podwykonawcy Podmiotu przetwarzającego 

1. Podpisując niniejszą Umowę powierzenia przetwarzania Danych osobowych, Instytucja oświatowa  upoważnia Podmiot przetwarzający do zaangażowania Podwykonawców Podmiotu  przetwarzającego, których tożsamość i lokalizacyjne są zawarte w Ulotce dotyczącej prywatności.  

2. W okresie obowiązywania Umowy powierzenia przetwarzania Danych osobowych Podmiot  przetwarzający informuje Instytucję oświatową o każdym zamierzonym dodaniu nowego  Podwykonawcy podmiotu przetwarzającego lub zmianie w składzie istniejących Podwykonawców  podmiotu przetwarzającego, przy czym Instytucja oświatowa ma możliwość zgłoszenia sprzeciwu  wobec tych zmian.

3. Podmiot przetwarzający nałoży na każdego Podwykonawcę podmiotu przetwarzającego, w drodze  umowy lub innej czynności prawnej, co najmniej takie same obowiązki w zakresie ochrony Danych  osobowych, jak obowiązki nałożone na Podmiot przetwarzający w niniejszej Umowie powierzenia  przetwarzania Danych osobowych. Obejmuje to zobowiązanie do powstrzymania się od dalszego  przetwarzania Danych osobowych w stopniu większym niż uzgodniono w kontekście niniejszej  Umowy powierzenia przetwarzania Danych osobowych, a także zobowiązanie do przestrzegania  zobowiązań do zachowania poufności, zobowiązań sprawozdawczych, współpracy i środków  bezpieczeństwa w odniesieniu do przetwarzania Danych osobowych, jak określono w niniejszej  Umowie powierzenia przetwarzania Danych osobowych. Na żądanie Instytucji oświatowej,  Podmiot przetwarzający dostarczy kopie tych umów powierzenia przetwarzania Danych  osobowych lub odpowiednich fragmentów umowy powierzenia przetwarzania Danych osobowych  lub innej umowy lub innej wiążącej czynności prawnej pomiędzy Podmiotem przetwarzającym a  Podwykonawcą podmiotu przetwarzającego zaangażowanym przez niego zgodnie z art. 11 ust. 1  niniejszej Umowy. 

Artykuł 12: Okresy przechowywania i zniszczenie Danych osobowych 

1. Instytucja oświatowa odpowiednio informuje Podmiot przetwarzający o (ustawowych) okresach  przechowywania Danych osobowych, które mają zastosowanie do przetwarzania Danych  osobowych przez Podmiot przetwarzający. Podmiot przetwarzający będzie przetwarzać Dane  osobowe przez okres nie dłuższy niż zgodny z tymi okresami przechowywania.  

2. Instytucja oświatowa zobowiązuje Podmiot przetwarzający do (zlecenia) zniszczenia Danych  osobowych przetwarzanych na polecenie Instytucji oświatowej w momencie rozwiązania Umowy  powierzenia przetwarzania Danych osobowych, chyba że Dane osobowe muszą być  przechowywane przez dłuższy czas, w ramach (ustawowych) obowiązków lub na wniosek  Instytucji oświatowej. Instytucja oświatowa może na własny koszt zlecić przeprowadzenie kontroli  sprawdzającej, czy doszło do zniszczenia Danych osobowych. 

3. Podmiot przetwarzający potwierdzi Instytucji oświatowej (na piśmie lub drogą elektroniczną), że  przetwarzane Dane osobowe zostały zniszczone.  

4. Podmiot przetwarzający poinformuje wszystkich Podwykonawców podmiotu przetwarzającego  biorących udział w przetwarzaniu Danych osobowych o wypowiedzeniu Umowy powierzenia  przetwarzania Danych osobowych i zagwarantuje, że wszyscy Podwykonawcy podmiotu  przetwarzającego zniszczą lub spowodują zniszczenie Danych osobowych. 

Artykuł 13: Odpowiedzialność 

1. Strona nie może powoływać się na ograniczenie odpowiedzialności, które jest zawarte w Umowie  produktu lub Umowie o świadczenie usług lub innej umowie lub uzgodnieniu istniejącym pomiędzy  Stronami, w odniesieniu do działania drugiej Strony w zakresie:  

a. powództwa regresowego na podstawie art. 82 RODO; lub 

b. roszczenia o odszkodowanie na mocy niniejszej Umowy powierzenia przetwarzania Danych  osobowych, jeżeli i w zakresie, w jakim powództwo polega na odzyskaniu grzywny zapłaconej  Administratorowi, którą w całości lub w części można przypisać drugiej Stronie. 

Przepisy niniejszego artykułu pozostają bez uszczerbku dla środków odwoławczych  przysługujących Stronie, przeciwko której wniesiono powództwo na podstawie obowiązujących  przepisów ustawowych lub wykonawczych. 

2. Przepisy ust. 1 lit. b) stosuje się bez uszczerbku dla przepisów art. 14 ust. 2. 

3. Każda ze Stron jest zobowiązana do niezwłocznego poinformowania drugiej Strony o (ewentualnej)  odpowiedzialności lub nałożeniu grzywny przez Administratora, w obu przypadkach w związku z niniejszą  Umową powierzenia przetwarzania Danych osobowych. Każda ze Stron jest w sposób uzasadniony  zobowiązana do udzielenia drugiej Stronie informacji i/lub wsparcia w celu obrony przed (ewentualną)  odpowiedzialnością lub karą, o których mowa w zdaniu poprzednim. Strona udzielająca informacji i/lub  wsparcia ma prawo obciążyć drugą Stronę wszelkimi uzasadnionymi kosztami w tym względzie, a Strony  poinformują się wzajemnie o tych kosztach z możliwie największym wyprzedzeniem.

Artykuł 14: Sprzeczność i zmiana Umowy powierzenia przetwarzania Danych osobowych  

1. W przypadku sprzeczności pomiędzy postanowieniami niniejszej Umowy powierzenia  przetwarzania Danych osobowych a postanowieniami Umowy produktu i Umowy o świadczenie  usług, pierwszeństwo mają postanowienia niniejszej Umowy powierzenia przetwarzania Danych  osobowych.  

2. Jeżeli Strony muszą z powodu okoliczności odejść od artykułów Wzoru Umowy powierzenia  przetwarzania Danych osobowych lub chcą je uzupełnić, to opiszą i uzasadnią te zmiany lub  uzupełnienia w zestawieniu, które załącza się do niniejszej Umowy powierzenia przetwarzania  Danych osobowych jako Załącznik 3. Postanowień niniejszego ustępu nie stosuje się do uzupełnień  ani/lub zmian w Załączniku 1 i 2. 

3. W przypadku istotnych zmian w produkcie i/lub (dodatkowych) usługach mających wpływ na  przetwarzanie Danych osobowych, Instytucja oświatowa, przed zaakceptowaniem wyboru,  zostanie poinformowana w zrozumiałym języku o konsekwencjach tych zmian. Istotne zmiany są w  każdym przypadku rozumiane jako: dodanie lub modyfikacja funkcjonalności, która prowadzi do  rozszerzenia w odniesieniu do Danych osobowych, które mają być przetwarzane, oraz celów, dla  których Dane osobowe są przetwarzane. Zmiany te zostaną ujęte w Załączniku 1. 

4. Zmiany artykułów Umowy powierzenia przetwarzania Danych osobowych mogą zostać  uzgodnione wyłącznie wspólnie. 

5. W przypadku, gdy którekolwiek z postanowień niniejszej Umowy powierzenia przetwarzania  Danych osobowych jest lub stanie się nieważne, nieskuteczne lub w inny sposób niewykonalne, to  pozostałe postanowienia niniejszej Umowy powierzenia przetwarzania Danych osobowych  pozostaną w pełni w mocy. W takim przypadku Strony skonsultują się ze sobą w celu zastąpienia  nieważnego, nieskutecznego lub w inny sposób niewykonalnego postanowienia wykonalnym  postanowieniem alternatywnym. Czyniąc to, Strony w jak największym stopniu uwzględnią cel i  domniemanie nieważnego, nieskutecznego lub w inny sposób niewykonalnego postanowienia. 

Artykuł 15: Czas trwania Umowy i rozwiązanie Umowy 

1. Okres obowiązywania Umowy powierzenia przetwarzania Danych osobowych jest równy okresowi  obowiązywania Umowy produktu i Umowy o świadczenie usług zawartej pomiędzy Stronami, wraz  z jej ewentualnym przedłużeniem.  

2. Rozwiązanie z mocy prawa niniejszej Umowy powierzenia przetwarzania Danych osobowych  następuje z chwilą rozwiązania Umowy produktu i Umowy o świadczenie usług. Rozwiązanie  niniejszej Umowy powierzenia przetwarzania Danych osobowych nie zwalnia Stron z ich  zobowiązań wynikających z niniejszej Umowy powierzenia przetwarzania Danych osobowych,  które ze względu na swój charakter uznaje się za kontynuowane nawet po jej rozwiązaniu, w tym w  każdym przypadku klauzul 5.1, 6, 9 i 12.