Umowa o powierzenie przetwarzania danych
Niniejsza Umowa o powierzenie przetwarzania danych („Umowa”) stanowi część Warunków korzystania pomiędzy:
Zgodnie z informacjami w umowie subskrypcji lub przy rejestracji konta
Niniejsza Umowa ma zastosowanie, gdy Podmiot przetwarzający przetwarza dane osobowe w imieniu Administratora w związku z platformą OverToo („Usługa”). Akceptując Warunki korzystania, Administrator zgadza się na warunki niniejszej Umowy.
1. Przedmiot i zakres
Niniejsza Umowa reguluje przetwarzanie danych osobowych przez Podmiot przetwarzający w imieniu Administratora zgodnie z art. 28 RODO (UE) 2016/679. Przetwarzanie ogranicza się do tego, co jest niezbędne do świadczenia Usługi.
2. Role stron
- Administrator określa cele i sposoby przetwarzania danych osobowych.
- Podmiot przetwarzający przetwarza dane osobowe wyłącznie w imieniu administratora.
Podmiot przetwarzający nie przetwarza danych osobowych do własnych celów.
3. Charakter i cel przetwarzania
Czynności przetwarzania wykonywane przez podmiot przetwarzający w imieniu administratora obejmują:
- Hosting i przechowywanie danych
- Zarządzanie kontami użytkowników
- Planowanie i zarządzanie sesjami
- Komunikacja i powiadomienia
- Obsługa procesu płatności
- Wsparcie techniczne i utrzymanie systemu
4. Kategorie danych i osób, których dane dotyczą
- Uczniowie
- Nauczyciele
- Personel szkoly
- Uzytkownicy platformy
- Dane identyfikacyjne i kontaktowe
- Dane konta i uwierzytelniania
- Dane edukacyjne i frekwencja
- Dane komunikacyjne
- Dane techniczne i dane o korzystaniu
- Ograniczone dane związane z rozliczeniami
5. Instrukcje
Podmiot przetwarzający przetwarza dane osobowe wyłącznie:
- na udokumentowane polecenie administratora,
- w zakresie niezbędnym do świadczenia Usługi,
- lub gdy wymaga tego obowiązujące prawo (w takim przypadku podmiot przetwarzający informuje administratora, chyba że prawo tego zabrania).
6. Poufnosc
Podmiot przetwarzający zapewnia, że cały personel upoważniony do przetwarzania danych osobowych jest związany odpowiednimi obowiązkami zachowania poufności oraz odbywa odpowiednie szkolenia z zakresu ochrony danych.
7. Srodki bezpieczenstwa
Podmiot przetwarzający wdraża odpowiednie środki techniczne i organizacyjne, w tym:
- Szyfrowanie podczas przesyłania (TLS/HTTPS)
- Bezpieczne haszowanie haseł
- Kontrola dostępu oparta na rolach
- Logiczne rozdzielenie danych dzierżawców
- Monitorowanie i logowanie zdarzeń
- Regularne oceny bezpieczeństwa
8. Podprocesorzy
Administrator upoważnia Podmiot przetwarzający do angażowania następujących kategorii podprocesorów:
| Kategoria | Przyklady |
|---|---|
| Hosting i infrastruktura | Dostawca serwerów i hostingu w chmurze |
| Przetwarzanie platnosci | Stripe, PayPal, Przelewy24 |
| Dostarczanie wiadomości e-mail | Dostawca SMTP skonfigurowany przez szkołę (np. Gmail, Outlook 365) |
Podmiot przetwarzający zapewnia, że podprocesorzy są związani równoważnymi obowiązkami w zakresie ochrony danych. Aktualna lista podprocesorów jest dostępna na żądanie pod adresem support@overtoo.com.
9. Międzynarodowe przekazywanie
W przypadku przekazywania danych osobowych poza EOG Podmiot przetwarzający zapewnia odpowiednie zabezpieczenia, w tym Standardowe Klauzule Umowne (SCC) lub inne zgodne z prawem mechanizmy przekazywania na podstawie rozdziału V RODO.
10. Pomoc administratorowi
Podmiot przetwarzający wspiera Administratora, uwzględniając charakter przetwarzania, w zakresie:
- odpowiadanie na żądania osób, których dane dotyczą (dostęp, sprostowanie, usunięcie, przenoszenie, sprzeciw),
- zapewnianie zgodności z obowiązkami RODO dotyczącymi bezpieczeństwa i zgłaszania naruszeń,
- oceny skutków dla ochrony danych (DPIA), gdy ma to zastosowanie.
11. Naruszenie ochrony danych osobowych
Podmiot przetwarzający zobowiązuje się:
- powiadamiać administratora bez zbędnej zwłoki po stwierdzeniu naruszenia ochrony danych osobowych dotyczących danych administratora,
- udostępniać wszelkie istotne informacje wspierające zgodność administratora z artykułami 33 i 34 RODO.
12. Przechowywanie i usuwanie danych
Po zakończeniu świadczenia Usługi:
- dane osobowe zostaną usunięte lub, na pisemne żądanie administratora, zwrócone administratorowi,
- chyba że ich przechowywanie jest wymagane przez obowiązujące prawo.
Administrator jest odpowiedzialny za żądanie eksportu danych przed zakończeniem umowy. Wnioski o eksport należy kierować na adres support@overtoo.com.
13. Prawa do audytu
Podmiot przetwarzający udostępnia informacje racjonalnie niezbędne do wykazania zgodności z niniejszą Umową. Audyty muszą być rozsądne i proporcjonalne, z zastrzeżeniem uprzedniego pisemnego powiadomienia, i nie mogą zagrażać bezpieczeństwu innych klientów.
14. Odpowiedzialnosc
Każda ze stron pozostaje odpowiedzialna za własną zgodność z RODO. Podmiot przetwarzający odpowiada wyłącznie za szkody spowodowane naruszeniem jego konkretnych obowiązków wynikających z niniejszej Umowy lub obowiązującego prawa ochrony danych.
15. Prawo wlasciwe
Niniejsza Umowa podlega prawu Polski, z zastrzeżeniem obowiązującego prawa UE o ochronie danych, w tym RODO.
16. Relacja z Warunkami
Niniejsza Umowa stanowi część i jest włączona do Warunków korzystania regulujących korzystanie z Usługi. W razie sprzeczności pomiędzy niniejszą Umową a Warunkami korzystania, niniejsza Umowa ma pierwszeństwo w sprawach dotyczących ochrony danych.
17. Kontakt
W sprawie zapytań dotyczących ochrony danych lub w celu uzyskania podpisanej kopii tej Umowy:
OverToo
E-mail: support@overtoo.com
Adres: Warsaw, Poland | London, United Kingdom