Договор об обработке данных

Понятия
1. В договоре об обработке данных используются понятия, определения которым даны ниже;
  1. условия оказания услуги – это условия оказания услуги поставщиком услуги школе;
  2. общее постановление – это постановление № 2016/679 от 27 апреля 2016 г. Европейского парламента и Совета Европы относительно защиты физических лиц при обработке личных данных и свободном перемещении таких данных;
  3. личные данные – это всевозможная информация относительно идентифицированного или прямо или косвенно идентифицируемого физического лица, которую школа или уполномоченный ею пользователь ввели в eKool или огласили поставщику услуги иным образом. Личные данные включают в себя следующие данные учеников, учителей, законных представителей учеников (родителей и лиц, имеющих право попечения) и прочих лиц, которым школа присвоила роль с правом доступа к данным ученика(-ов), а также местного самоуправления, руководителя школы и соответствующих служащих или работников министерств:
    1. идентификационные и контактные данные (в том числе имя и фамилия, личный код, дата рождения, адрес, номер телефона, адрес электронной почты);
    2. данные, связанные с лицом (например, пол, связь с учеником, роль, присвоенная в eKool);
    3. данные, связанные с учебой, результатами обучения и поведением (например, данные о поступлении и статусе занятий, изучаемые предметы, учебная программа, оценки, аттестат формирующего оценивания, класс, параллель, данные, связанные с пропусками уроков, данные приказов, примечания, данные решений педагогического совета, данные развивающих бесед, данные собеседований), а также
    4. прочие данные, необходимые для организации деятельности образовательного учреждения (например, данные о питании, диете, приложенные документы, заметки школы, номер и дата выдачи школьной карточки (определение дано в пункте 2.2), школа и журнал пользования);
  4. субобработчик – это уполномоченный обработчик личных данных, которого привлек или использует для обработки личных данных поставщик услуги и который получает доступ к личным данным или иным образом обрабатывает данные школы, в том числе личные данные;
  5. список уполномоченных обработчиков – это опубликованная на сайте поставщика услуги информация относительно субобработчиков и их данных.
2. Понятия и термины, определения которым не даны выше, используются в договоре об обработке данных в значении, установленном в условиях оказания услуги и в общем постановлении.
Предмет договора об обработке данных
1. Согласно договору об обработке данных школа (как ответственный обработчик) уполномочивает поставщика слуги (как уполномоченного обработчика личных данных) обрабатывать личные данные, которые школа или уполномоченный школой пользователь передает, вводит в eKool или иным образом делает доступными поставщику услуги исходя из договора и в отношении которых школа является ответственным обработчиком в значении, установленном в общем постановлении, в объеме и масштабе, необходимом для выполнения договора, на условиях, установленных в договоре об обработке данных.
2. Во избежание сомнений стороны договорились, что если школа использует выдаваемый ученикам электронный ученический билет или школьную карточку (ранее и далее «школьная карточка»), то ответственным обработчиком всех личных данных, связанных со школьной карточкой, также является школа, а поставщик услуги в рамках оказания услуги обрабатывает соответствующие данные от имени и по поручению школы в качестве уполномоченного обработчика.
3. Поставщик услуги согласился оказывать школе услугу в соответствии с условиями оказания услуги. При оказании услуги поставщик услуги обрабатывает данные школы, которые включают в себя личные данные. Поставщик услуги обрабатывает и защищает личные данные в соответствии с условиями настоящего договора об обработке данных.
4. Поставщик услуги обрабатывает личные данные в рамках следующих целей:
  1. управление протекающим в школе учебным процессом и установленные в правовых актах сбор и хранение личных данных в связи с ним;
  2. поддержание сотрудничества школы и местного самоуправления в объеме, установленном в правовых актах;
  3. обеспечение доступа к учебной информации ученику, родителю, законному представителю или иному назначенному школой лицу;
  4. поддержание учебного процесса посредством аналитики результатов обучения;
  5. поддержание общения и сотрудничества между домом и школой.
5. Поставщик услуги обрабатывает личные данные лишь в таком объеме, в каком это необходимо для оказания услуги в соответствии с условиями оказания услуги, договором об обработке данных и условиями пользования eKool.
6. В случаях, не упомянутых в договоре об обработке данных, применяются условия оказания услуги.
Обязанности школы
1. Как ответственный обработчик школа обеспечивает, чтобы у нее имелось надлежащее правовое основание для обработки личных данных, а в соответствующем случае – согласие субъекта данных или его законного представителя. Также школа обеспечивает, чтобы обработка ею личных данных, в том числе предоставление полномочий поставщику услуги, осуществлялась в соответствии с общим постановлением и любыми другими применяемыми внутригосударственными и международными правовыми актами, связанными с защитой личных данных, а также с условиями оказания услуги и договором об обработке данных.
2. Стороны договорились о том, что инструкции со стороны школы, охватывающие осуществление указанных в прейскуранте процедур, в том числе уничтожение данных или их возврат поставщиком услуги, могут повлечь за собой дополнительные платы для школы. В таком случае поставщик услуги извещает школу о таких платах до осуществления соответствующих процедур, если предварительно не договорено иное.
Обязанности поставщика услуги
1. От имени и под ответственность школы поставщик услуги обязуется обрабатывать личные данные только в соответствии с условиями оказания услуги, договором об обработке данных и письменными инструкциями, которые школа дала поставщику услуги для обработки личных данных и которые соответствуют общему постановлению и прочим применяемым правовым актам, связанным с защитой личных данных. Несмотря на вышеизложенное, поставщик услуги имеет право обрабатывать личные данные независимо от школы и договора, в том числе независимо от договора об обработке данных, если поставщик услуги имеет отдельное правовое основание для обработки определенных личных данных в качестве ответственного обработчика (например, в ситуации, когда поставщик услуги обрабатывает личные данные для выполнения договора, заключенного с субъектом данных или его законным представителем, или на основании согласия субъекта данных). Соответствующая обработка личных данных не считается нарушением договора об обработке данных.
2. Если у поставщика услуги недостаточно инструкций и/или инструкции противоречат общему постановлению и/или другим применяемым правовым актам, связанным с защитой личных данных, то поставщик услуги информирует об этом школу и до получения более точных инструкций действует таким образом, который – по его мнению – соответствует положениям общего постановления или соответствующего иного правового акта и предположительно мог бы соответствовать воле школы.
3. Поставщик услуги позволяет школе в любой момент получать доступ к обрабатываемым от ее имени личным данным, а также дополнять, исправлять, удалять, передавать их и ограничивать их обработку в соответствии с возможностями eKool. Если eKool не позволяет осуществить процедуру, которую школа хочет осуществить с данными, то школа предъявляет поставщику услуги, осуществляющему соответствующую процедуру, письменный запрос и по возможности поставщик услуги выполняет запрос в течение разумного срока. Несмотря на вышеизложенное, школе не предоставляется доступ к тем данным, которые пользователь ввел для личного использования в рамках созданной функциональности eKool, в случае чего пользователь может полагать, что эти данные не будут переданы школе (например, данные о собеседовании пользователя, загруженные файлы, блог или т. п.).
4. Школа имеет право контролировать, чтобы процесс обработки личных данных поставщиком услуги соответствовал договору об обработке данных, а поставщик услуги обязуется не препятствовать и в разумной мере помогать школе при проведении такого контроля.
5. Поставщик услуги обязуется обеспечивать школе доступ ко всей информации, которая необходима для того, чтобы оценивать выполнение обязанностей поставщика услуги, вытекающих из договора об обработке данных, общего постановления или прочих применяемых правовых актов, связанных с личными данными. Также поставщик услуги обязуется в разумной мере помогать школе выполнять свои связанные с обработкой личных данных обязанности, вытекающие из общего постановления и/или прочих применяемых правовых актов, связанных с защитой личных данных.
6. Поставщик услуги обеспечивает уровень безопасности, соответствующий связанным с обработкой личных данных угрозам и рискам, применяя при этом подходящие и уместные технологические, физические и организационные меры, чтобы защищать личные данные от неавторизованного доступа, уничтожения и внесения изменений, а также обеспечивать их обработку исключительно для достижения целей, вытекающих из договора, и в необходимом для этого объеме. В частности, поставщик услуги периодически делает резервные копии данных, которые хранятся отдельно от основных данных.
7. Поставщик услуги обеспечивает, чтобы доступ к личным данным получали и обрабатывали их исключительно работники поставщика услуги, члены руководящих органов или прочие физические лица, имеющие договорные отношения с поставщиком услуги, которым доступ к соответствующим личным данным необходим для выполнения своих трудовых обязанностей, связанных с выполнением договора, а также которые обязаны соблюдать связанную с обработкой личных данных обязанность соблюдения конфиденциальности, договор об обработке данных и договор.
8. Поставщик услуги обязуется сотрудничать со школой и помогать школе разрешать и удовлетворять связанные с обработкой личных данных обращения субъектов данных и их ходатайства о реализации прав, связанных с обработкой личных данных, в частности, в ситуации, когда субъект данных желает получить доступ к своим личным данным или запросить их удаления.
9. Если субъекты данных или орган надзора за защитой личных данных подают(-ет) ходатайство, касающееся личных данных, в том числе ходатайство об ограничении обработки, удалении или исправлении личных данных, о предоставлении им информации или совершении прочих процедур, поставщик услуги извещает школу обо всех таких ходатайствах до дачи ответа на них или осуществления каких бы то ни было процедур с личными данными, либо, если ответ на ходатайство должен быть дан незамедлительно, то в разумно кратчайший срок после дачи ответа на ходатайство. Поставщик услуги может исправлять, удалять, изменять обрабатываемые от имени школы личные данные или ограничивать их обработку исключительно по предварительному согласованию со школой.
10. При получении соответствующей письменной инструкции от школы поставщик услуги обязуется без необоснованного промедления удалить или уничтожить соответственно все личные данные или их часть. Несмотря на вышеизложенное, личные данные не удаляются из резервных копий базы данных eKool. Если после восстановления данных из резервной копии подлежавшие удалению личные данные снова активированы, то их удаляют снова при первой возможности.
Субобработчики
1. Настоящим школа дает поставщику услуги общее согласие на привлечение и/или использование субобработчиков для обработки личных данных в связи с оказанием услуги. Поставщик услуги несет ответственность за деятельность использованных или привлеченных им других субобработчиков при обработке личных данных так же, как за свою деятельность, и обеспечивает выполнение ими обязанности соблюдать договор об обработке данных, общее постановление и прочие связанные с защитой личных данных правовые акты как минимум в такой же мере, в какой это делает поставщик услуги.
2. Поставщик услуги предоставляет доступ к данным привлеченных и используемых им субобработчиков в опубликованном на своем сайте списке уполномоченных обработчиков.
3. Если поставщик услуги планирует привлечь нового субобработчика, то он должен опубликовать данные нового субобработчика в списке уполномоченных обработчиков не менее чем за 14 календарных дней до передачи каких бы то ни было данных новому субобработчику. Если в течение вышеуказанного срока школа не предъявит возражений в отношении субобработчика, то будет считаться, что школа акцептировала субобработчика. Если в течение вышеуказанного срока школа предъявила обоснованные письменные возражения в отношении нового субобработчика и стороны не пришли к согласию по части непривлечения или замены нового субобработчика, то школа имеет право отказаться от договора вместе с являющимся частью него договором об обработке данных начиная с того момента, когда субобработчик, в отношении которого школа предъявила возражения, приступает к обработке личных данных.
Нарушения, связанные с личными данными
1. В случае нарушения, связанного с личными данными, поставщик услуги принимает необходимые меры для того, чтобы исключить, предупредить или уменьшить вытекающую из нарушения угрозу личным данным, в частности риск случайного или противоправного уничтожения, потери, изменения и противоправного обнародования личных данных или необоснованного получения к ним доступа.
2. Поставщик услуги без необоснованного промедления извещает школу (по возможности в течение 72 часов после обнаружения нарушения) о нарушении, связанном с личными данными.
3. Поставщик услуг документирует все связанные с личными данными нарушения и их обстоятельства, в частности их влияние и корректирующие меры, принятые для разрешения ситуации с ними. Документируются по меньшей мере следующие обстоятельства нарушения, связанного с личными данными:
  1. описание характера нарушения и по возможности описание затронутых категорий субъектов данных и видов данных, а также их количество;
  2. описание как вероятных, так и фактических последствий;
  3. описание корректирующих мер, которые поставщик услуги принял или планирует принять для разрешения ситуации с нарушением.
4. Копия документации по части нарушения, связанного с личными данными, предоставляется школе или соответствующему органу надзора на основании соответствующего письменного ходатайства.
5. За выполнение обязательств информирования о связанных с личными данными нарушениях, применяемых в отношении школы как ответственного обработчика, в частности за информирование в соответствующем случае субъектов данных, органа надзора или третьих лиц, отвечает исключительно школа, а поставщик услуги не берет на себя никаких обязательств в связи с этим.
Ответственность
1. Учитывая установленные в условиях оказания услуги ограничения ответственности, поставщик услуги обязуется возместить неправомерно причиненный школе материальный ущерб, который:
  1. вытекает из существенного нарушения поставщиком услуги договора и/или договора об обработке данных при обработке личных данных;
  2. вытекает из существенного нарушения общего постановления и/или прочих применяемых правовых актов, связанных с защитой личных данных, при обработке личных данных и/или
  3. вытекает из существенного нарушения договора об обработке данных, общего постановления и/или прочих применяемых правовых актов, связанных с защитой личных данных, при обработке личных данных субобработчиком, использованным или привлеченным поставщиком услуги.
Действие и расторжение
1. Действие договора об обработке данных неразрывно связано с действием договора, и при прекращении действия договора договор об обработке данных также прекращает действовать.
2. После прекращения действия договора об обработке данных, но не позднее чем в течение 30 дней после этого, поставщик услуги возвращает школе личные данные или делает их доступными для возврата иным образом. Когда школа приняла личные данные или отказалась от этого в письменном виде, поставщик услуги обязуется необратимо удалить или уничтожить все имеющиеся у него личные данные, за исключением тех личных данных, которые поставщик услуги имеет право обрабатывать на ином основании – независимо от договора и договора об обработке данных.
3. Если школа в течение 30 дней после прекращения действия договора об обработке данных не принимает подлежащие возврату личные данные и не отказывается от этого в письменном виде, то поставщик услуги удаляет или уничтожает те подлежащие возврату личные данные, на которые не распространяется вытекающая из соответствующего применяемого правового акта обязанность школы по хранению соответствующих данных. Личные данные, которые школа обязуется хранить исходя из соответствующего применяемого правового акта, Поставщик услуги хранит до получения от школы письменного разрешения на удаление соответствующих личных данных или до истечения срока действия обязанности хранения, вытекающей из соответствующего правового акта, а школа обязуется возместить поставщику услуги хранение соответствующих личных данных в соответствии с прейскурантом, если не оговорено иное.