Regulamin SaaS – Koralewski Szkolenia

Dokument główny

Regulamin SaaS – Platforma Szkoleniowa (B2B)

§1. Postanowienia ogólne

Niniejszy Regulamin określa zasady korzystania z platformy szkoleniowej w modelu SaaS, dostępnej za pośrednictwem sieci Internet (dalej: „Platforma").
Usługodawcą i właścicielem Platformy jest Patryk Koralewski Kancelaria Radcy Prawnego ul. Dobra 11/30; 00-384 Warszawa; NIP: 618-184-02-95; REGON: 142765184, adres e-mail: kancelaria@koralewskilegal.pl, prowadząca działalność gospodarczą zgodnie z wpisem do CEIDG, dalej jako „Usługodawca".
Platforma świadczona jest wyłącznie w modelu B2B – Usługobiorcą może być wyłącznie przedsiębiorca lub inny podmiot prowadzący działalność gospodarczą.
Regulamin stanowi regulamin świadczenia usług drogą elektroniczną w rozumieniu ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną.

§2. Definicje

Usługobiorca – podmiot, który zawarł z Usługodawcą umowę o korzystanie z Platformy.
Użytkownik – osoba fizyczna działająca w imieniu Usługobiorcy lub korzystający z Platformy, w szczególności jego pracownik lub współpracownik, posiadająca dostęp do Platformy.
Platforma – system teleinformatyczny umożliwiający udostępnianie materiałów szkoleniowych w formie wideo oraz wysyłkę zaproszeń e-mail z linkami do materiałów.
Materiały szkoleniowe – treści wideo udostępniane za pośrednictwem Platformy.

§3. Zakres i charakter usługi

Usługa polega na udostępnieniu Usługobiorcy Platformy szkoleniowej umożliwiającej:
1. wysyłanie zaproszeń e-mail do Użytkowników,
2. umożliwienie Użytkownikom dostępu do Materiałów szkoleniowych,
3. zarządzanie listą adresów e-mail Użytkowników.
Usługodawca nie weryfikuje treści danych wprowadzanych przez Usługobiorcę i przetwarza je wyłącznie w zakresie niezbędnym do realizacji usługi.
Platforma nie służy do podejmowania zautomatyzowanych decyzji ani profilowania w rozumieniu art. 22 RODO.

§4. Dane osobowe i RODO

W ramach realizacji usługi Usługodawca przetwarza dane osobowe:
1. jako administrator danych osobowych – wobec Usługobiorcy będącego osobą fizycznych w zakresie danych takich jak w szczególności: nazwa, NIP, REGON, adres siedziby, dane kontaktowe), przetwarzanych w związku z zawarciem i realizacją umowy oraz obowiązkami prawnymi ciążącymi na Usługodawcy,
2. jako administrator danych osobowych wobec osób fizycznych reprezentujących Usługodawcę w zakresie danych wskazanych przez Usługobiorcę w szczególności: imię i nazwisko, stanowisko, dane kontaktowe takie jak służbowy e-mail oraz numer telefonu kontaktowego),
3. jako podmiot przetwarzający w rozumieniu art. 28 RODO – w zakresie danych osobowych Użytkowników (pracowników lub współpracowników Usługobiorcy korzystających z Platformy) w zakresie: imienia i nazwiska, adresu e-mail, powiązanych z użytkownikiem treści.
Przetwarzanie danych osobowych Użytkowników odbywa się na podstawie umowy powierzenia przetwarzania danych osobowych (DPA) zawieranej pomiędzy Usługodawcą a Usługobiorcą, stanowiącej Załącznik nr 1 do niniejszego Regulaminu i jego integralną część.
Usługodawca oświadcza, że spełnia wymogi określone w art. 28 ust. 1–3 RODO, w szczególności:
1. stosuje odpowiednie środki techniczne i organizacyjne zgodnie z art. 32 RODO (szczegółowo opisane w Załączniku nr 1),
2. zapewnia, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności,
3. przetwarza dane osobowe wyłącznie na udokumentowane polecenie Usługobiorcy,
4. wspiera Usługobiorcę w realizacji obowiązków wynikających z art. 32–36 RODO.
Usługobiorca zobowiązany jest do wykonania wobec Użytkowników obowiązku informacyjnego wynikającego z art. 13 lub 14 RODO. W tym celu Usługodawca udostępnia wzór informacji dla pracowników, stanowiący Załącznik nr 2 do Regulaminu, który może być stosowany przez Usługobiorcę bez konieczności jego modyfikacji.
Szczegółowa analiza ryzyka przetwarzania danych oraz potwierdzenie braku konieczności przeprowadzania DPIA dostępne są w Załączniku nr 3.
Usługodawca nie wykorzystuje danych osobowych Użytkowników do własnych celów i nie decyduje samodzielnie o celach ani sposobach ich przetwarzania.

§5. Obowiązki Usługobiorcy

Usługobiorca zobowiązuje się do korzystania z Platformy zgodnie z obowiązującymi przepisami prawa.
Zabronione jest wykorzystywanie Platformy do celów sprzecznych z prawem lub naruszających prawa osób trzecich.

§6. Bezpieczeństwo i dostępność

Usługodawca stosuje środki techniczne i organizacyjne zapewniające bezpieczeństwo danych zgodnie z art. 32 RODO oraz postanowieniami Załącznika nr 2 i nr 3.
Usługodawca zastrzega możliwość czasowych przerw technicznych związanych z konserwacją systemu lub przywracaniem danych.

§7. Odpowiedzialność

Odpowiedzialność Usługodawcy ograniczona jest do szkód rzeczywistych powstałych z winy umyślnej.
Usługodawca nie ponosi odpowiedzialności za działania Użytkowników ani skutki nieprawidłowego wprowadzenia danych przez Usługobiorcę.

§8. Postanowienia końcowe

Prawem właściwym jest prawo polskie.
W sprawach nieuregulowanych zastosowanie mają przepisy prawa powszechnie obowiązującego.
Regulamin wchodzi w życie z dniem publikacji.

§9. Rozwiązanie umowy i odstąpienie

Niniejszy Regulamin reguluje świadczenie usług wyłącznie w modelu B2B. Przepisy ustawy z dnia 30 maja 2014 r. o prawach konsumenta, w tym prawo do odstąpienia od umowy zawartej na odległość, nie mają zastosowania do umów zawieranych pomiędzy przedsiębiorcami.
Usługa świadczona jest w modelu subskrypcyjnym z cyklicznym odnowieniem. Umowa obowiązuje przez opłacony okres rozliczeniowy i ulega automatycznemu przedłużeniu z chwilą dokonania kolejnej płatności.
Usługobiorca może zrezygnować z subskrypcji w dowolnym momencie, przesyłając oświadczenie na adres e-mail: kancelaria@koralewskilegal.pl. Rezygnacja skutkuje brakiem odnowienia subskrypcji – umowa wygasa z końcem bieżącego, opłaconego okresu rozliczeniowego. Usługobiorcy nie przysługuje zwrot opłaty za niewykorzystaną część okresu.
W przypadku braku płatności w terminie dostęp do Platformy zostaje zawieszony ze skutkiem natychmiastowym, z chwilą upływu opłaconego okresu rozliczeniowego.
Usługodawca może rozwiązać umowę ze skutkiem natychmiastowym, niezależnie od statusu płatności, w przypadku:
1. rażącego naruszenia postanowień Regulaminu przez Usługobiorcę,
2. korzystania z Platformy w sposób sprzeczny z prawem lub dobrymi obyczajami.
Po wygaśnięciu lub rozwiązaniu umowy Usługodawca usuwa dane Użytkowników zgodnie z §9 Załącznika nr 1 (DPA), chyba że przepisy prawa nakazują ich dalsze przechowywanie.

Integralna część dokumentu

Załączniki

Załącznik nr 1

Stanowi umowę powierzenia danych osobowych niezbędną do powierzenia danych osobowych w systemie. Umowa zostaje zawarta wraz z zarejestrowaniem konta w usłudze.

Załącznik nr 2 oraz 3

Zawiera materiały, które może wykorzystać usługobiorca wypełniając wymogi RODO, tj. informację dla pracowników o przetwarzaniu ich danych w procesie (informacja ta jest załączona dla osoby korzystającej ze szkoleń także w panelu logowania), a w załączniku nr 3 znajduje się analiza ryzyka, pre-DPIA oraz gotowy wpis do RCP usługodawcy – przy czym stanowią one wyłącznie materiał, który musi zaakceptować lub zmodyfikować na własne potrzeby usługobiorca.

Załącznik nr 1

Umowa powierzenia przetwarzania danych osobowych (DPA)

Zawarta na podstawie art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO)

§1. Strony i definicje

Administrator danych – Usługobiorca, który korzysta z Platformy SaaS na podstawie Regulaminu.
Podmiot przetwarzający – Patryk Koralewski Kancelaria Radcy Prawnego, jako Usługodawca Platformy.
Pozostałe pojęcia pisane wielką literą mają znaczenie nadane im w Regulaminie SaaS.
Załącznik nr 2 stanowi informację.

§2. Przedmiot i czas trwania powierzenia

Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych Użytkowników wyłącznie w celu realizacji umowy o świadczenie usług Platformy szkoleniowej SaaS.
Powierzenie obowiązuje przez cały okres obowiązywania umowy głównej, a po jej zakończeniu – do momentu usunięcia lub zwrotu danych zgodnie z §9.

§3. Charakter i cel przetwarzania

Charakter przetwarzania obejmuje w szczególności: zbieranie, utrwalanie, przechowywanie, porządkowanie, przeglądanie, udostępnianie w ramach Platformy oraz usuwanie danych.
Celem przetwarzania jest umożliwienie Administratorowi realizacji szkoleń online dla Użytkowników.

§4. Rodzaj danych i kategorie osób

Kategorie osób, których dane dotyczą: pracownicy oraz współpracownicy Administratora.
Kategorie danych osobowych:
1. imię i nazwisko,
2. służbowy adres e-mail.

§5. Obowiązki Podmiotu przetwarzającego (art. 28 ust. 3 RODO)

Podmiot przetwarzający zobowiązuje się do:

przetwarzania danych osobowych wyłącznie na udokumentowane polecenie Administratora,
zapewnienia, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub podlegają odpowiedniemu ustawowemu obowiązkowi poufności,
wdrożenia odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 32 RODO, opisanych szczegółowo w §6,
przestrzegania warunków korzystania z dalszych podmiotów przetwarzających zgodnie z §7,
wspierania Administratora – w miarę możliwości – w realizacji obowiązku odpowiadania na żądania osób, których dane dotyczą,
wspierania Administratora w wywiązywaniu się z obowiązków określonych w art. 32–36 RODO, w szczególności w zakresie naruszeń ochrony danych oraz DPIA,
po zakończeniu świadczenia usług – usunięcia lub zwrotu danych osobowych Administratorowi oraz usunięcia ich kopii, o ile prawo UE lub prawo państwa członkowskiego nie nakazuje ich dalszego przechowywania,
udostępnienia Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków wynikających z art. 28 RODO oraz umożliwienia przeprowadzania audytów.

§6. Środki techniczne i organizacyjne (art. 32 RODO)

Podmiot przetwarzający stosuje w szczególności następujące środki:

Organizacyjne:
1. imienne upoważnienia do przetwarzania danych,
2. zobowiązania do zachowania poufności,
3. zasada minimalizacji dostępu (need-to-know),
4. procedury reagowania na incydenty i naruszenia ochrony danych,
5. regularne szkolenia osób przetwarzających dane.
Techniczne:
1. szyfrowanie transmisji danych (TLS/HTTPS),
2. zabezpieczenia logiczne systemów (hasła, role, MFA dla administracji),
3. regularne aktualizacje systemów i oprogramowania,
4. kopie zapasowe oraz testy odtwarzania danych,
5. separacja danych poszczególnych Administratorów,
6. logowanie operacji na danych.

Środki te zapewniają poziom bezpieczeństwa adekwatny do zidentyfikowanego ryzyka.

§7. Dalsze powierzenie (podprocesorzy)

Podmiot przetwarzający nie korzysta z dalszych podmiotów przetwarzających bez uprzedniej ogólnej lub szczegółowej zgody Administratora.
W przypadku dalszego powierzenia Podmiot przetwarzający zapewnia nałożenie na podprocesora obowiązków co najmniej równoważnych z niniejszą umową.

§8. Naruszenia ochrony danych

Podmiot przetwarzający zgłasza Administratorowi każde stwierdzone naruszenie ochrony danych osobowych bez zbędnej zwłoki.
Zgłoszenie zawiera co najmniej informacje wymagane przez art. 33 ust. 3 RODO, w zakresie dostępnym Podmiotowi przetwarzającemu.

§9. Zakończenie przetwarzania

Po zakończeniu świadczenia usług Podmiot przetwarzający – według decyzji Administratora – usuwa albo zwraca wszystkie dane osobowe oraz usuwa ich kopie.

§10. Audyty i kontrola

Administrator ma prawo weryfikacji zgodności przetwarzania danych z niniejszą umową.
Audyt nie może naruszać tajemnicy zawodowej Podmiotu przetwarzającego ani bezpieczeństwa innych klientów Platformy.

Załącznik nr 2

Informacja dla pracowników / współpracowników w związku ze szkoleniem lub obsługą platformy szkoleniowej (art. 13 RODO)

Administrator danych osobowych
Administratorem Twoich danych osobowych jest Twój pracodawca lub podmiot, z którym współpracujesz.
Podmiot przetwarzający
Twoje dane osobowe są przetwarzane przez Patryk Koralewski Kancelaria Radcy Prawnego jako podmiot przetwarzający, w związku z udostępnieniem platformy szkoleniowej.
Zakres przetwarzanych danych
Przetwarzane są wyłącznie następujące dane:
- imię i nazwisko,
- służbowy adres e-mail.
Cel przetwarzania danych
1. Uczestnicy szkoleń. Dane osobowe są przetwarzane wyłącznie w celu umożliwienia udziału w szkoleniach online udostępnianych przez pracodawcę.
2. Osoby kontaktowe. W przypadku osób kontaktowych/pełnomocników/reprezentantów dane będą przetwarzane w celu realizacji umowy przez Kancelarię jako administratora.
Podstawa prawna przetwarzania
Podstawą prawną przetwarzania danych jest art. 6 ust. 1 lit. c lub lit. f RODO – realizacja obowiązków pracodawcy oraz jego prawnie uzasadniony interes polegający na podnoszeniu kwalifikacji pracowników.
Okres przechowywania danych
Dane będą przetwarzane przez okres trwania dostępu do platformy szkoleniowej, a następnie usunięte lub zanonimizowane.
Prawa osoby, której dane dotyczą
Przysługuje Ci prawo dostępu do danych, ich sprostowania, ograniczenia przetwarzania oraz wniesienia sprzeciwu – zgodnie z RODO.
Odbiorcy danych
Dane nie są przekazywane innym podmiotom ani poza Europejski Obszar Gospodarczy.
Kontakt
W sprawach związanych z przetwarzaniem danych osobowych możesz skontaktować się z administratorem danych (pracodawcą).

Załącznik nr 3

Analiza ryzyka i wpis do rejestru czynności przetwarzania

§1. Analiza ryzyka przetwarzania danych osobowych

1. Cel powierzenia

Usługobiorca powierza Usługodawcy przetwarzanie danych osobowych Użytkowników w celu:

wysyłania zaproszeń e-mail do Użytkowników,
udostępniania Materiałów szkoleniowych poprzez Platformę SaaS,
zarządzania dostępem Użytkowników do Platformy.

2. Kategorie danych osobowych

Użytkownicy: imię i nazwisko, adres e-mail.
Usługobiorca: nazwa, NIP, REGON, adres siedziby.

3. Identyfikacja i ocena ryzyka dla praw i wolności osób

Potencjalne zagrożenie	Skutki	Prawdopodobieństwo	Ocena ryzyka	Środki ograniczające ryzyko
Nieuprawniony dostęp do danych Użytkowników	Utrata poufności, możliwość phishingu	Niskie	Niskie	Szyfrowanie transmisji (TLS), logi dostępu, imienne upoważnienia, procedury nadawania i odbierania uprawnień
Nieautoryzowana modyfikacja danych	Błędne dane w systemie, utrata integralności	Niskie	Niskie	System autoryzacji z logami, ograniczenia edycji do uprawnionych osób
Utrata danych w wyniku awarii technicznej	Niedostępność Platformy	Niskie	Niskie	Kopie zapasowe, redundancja serwerów, procedura przywracania danych
Przypadkowe ujawnienie danych	Ujawnienie adresów e-mail	Niskie	Niskie	Procedury wewnętrzne, szyfrowanie danych, poufność personelu

Wniosek: ryzyko naruszenia praw i wolności osób fizycznych jest niskie. Środki techniczne i organizacyjne stosowane przez Usługodawcę skutecznie minimalizują ryzyko.

§2. DPIA – ocena konieczności

Zgodnie z art. 35 RODO, obowiązek przeprowadzenia pełnej oceny skutków dla ochrony danych (DPIA) powstaje w przypadku, gdy przetwarzanie „może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych".

W analizowanym przypadku:

zakres danych jest ograniczony do imienia, nazwiska i e-mail,
przetwarzanie nie dotyczy danych wrażliwych,
dane są przetwarzane wyłącznie w ramach Platformy szkoleniowej,
stosowane są środki bezpieczeństwa zgodne z art. 32 RODO.

Wniosek: nie ma wysokiego ryzyka, czynność nie kwalifikuje się pod warunki wskazane w art. 35 RODO, ani w Komunikacie Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony, więc nie jest wymagana pełna DPIA. Dokumentacja powinna zawierać niniejszą analizę ryzyka oraz rejestr czynności przetwarzania.

§3. Wpis do Rejestru czynności przetwarzania (art. 30 RODO)

Element rejestru	Opis
Administrator danych	Usługobiorca (pracodawca)
Podmiot przetwarzający	Patryk Koralewski Kancelaria Radcy Prawnego (Usługodawca SaaS)
Cele przetwarzania	Udostępnianie materiałów szkoleniowych, wysyłka e-mail z linkiem do szkoleń, zarządzanie dostępem Użytkowników
Kategorie osób, których dane dotyczą	Pracownicy i współpracownicy Usługobiorcy (Użytkownicy)
Kategorie danych osobowych	imię i nazwisko, adres e-mail
Kategorie odbiorców danych	Brak dalszych procesorów bez zgody Usługobiorcy
Przekazywanie danych do państw trzecich	Nie dotyczy
Przewidywany czas przechowywania	Do momentu zakończenia świadczenia usługi + okres przedawnienia roszczeń (zgodnie z umową powierzenia)
Środki bezpieczeństwa	Szyfrowanie transmisji TLS, kontrola dostępu z imiennymi upoważnieniami, zobowiązania do poufności, logi systemowe, procedury kopii zapasowych, mechanizmy przywracania danych, procedura reagowania na incydenty

Regulamin SaaS platformy szkoleniowej

Dokument dla klientów B2B

Spis treści

Regulamin SaaS – Platforma Szkoleniowa (B2B)

§1. Postanowienia ogólne

§2. Definicje

§3. Zakres i charakter usługi

§4. Dane osobowe i RODO

§5. Obowiązki Usługobiorcy

§6. Bezpieczeństwo i dostępność

§7. Odpowiedzialność

§8. Postanowienia końcowe

§9. Rozwiązanie umowy i odstąpienie

Załączniki

Załącznik nr 1

Załącznik nr 2 oraz 3

Umowa powierzenia przetwarzania danych osobowych (DPA)

§1. Strony i definicje

§2. Przedmiot i czas trwania powierzenia

§3. Charakter i cel przetwarzania

§4. Rodzaj danych i kategorie osób

§5. Obowiązki Podmiotu przetwarzającego (art. 28 ust. 3 RODO)

§6. Środki techniczne i organizacyjne (art. 32 RODO)

§7. Dalsze powierzenie (podprocesorzy)

§8. Naruszenia ochrony danych

§9. Zakończenie przetwarzania

§10. Audyty i kontrola

Informacja dla pracowników / współpracowników w związku ze szkoleniem lub obsługą platformy szkoleniowej (art. 13 RODO)

Analiza ryzyka i wpis do rejestru czynności przetwarzania

§1. Analiza ryzyka przetwarzania danych osobowych

1. Cel powierzenia

2. Kategorie danych osobowych

3. Identyfikacja i ocena ryzyka dla praw i wolności osób

§2. DPIA – ocena konieczności

§3. Wpis do Rejestru czynności przetwarzania (art. 30 RODO)