Acuerdo de tratamiento de datos personales

1. Preámbulo

El presente Acuerdo de Procesamiento de Datos Personales (el "Acuerdo de Procesamiento") se celebra entre el Cliente (en lo sucesivo también denominado el "Controlador") y Dugga (en lo sucesivo también denominado el "Procesador"),

El propósito de este Acuerdo de Procesamiento es garantizar que el procesamiento de datos personales por parte del Procesador en nombre del Controlador se realice de acuerdo con el Reglamento General de Protección de Datos (2016/679) ("GDPR"), las instrucciones del Controlador y este Acuerdo de Procesamiento.

Este Acuerdo de Procesador es un apéndice de cualquier licencia gratuita o acuerdo principal suscrito por el Cliente y Dugga (el "Acuerdo Principal"). En caso de que existan disposiciones contradictorias, el Acuerdo Principal tendrá prioridad sobre el presente Acuerdo de Procesamiento.

 

2. Finalidad del tratamiento de los datos personales

La finalidad del tratamiento de los datos personales, y del servicio prestado por Dugga, es permitir al Cliente manejar y realizar la evaluación digital de los conocimientos. Los datos personales se utilizan en el sistema para fines de uso e inicio de sesión, dependiendo del papel y la función del usuario. El Cliente podrá, por ejemplo, identificar a la persona que asigna o crea las pruebas, a los que realizan las pruebas y sus respuestas y resultados. Los datos personales también se utilizan con fines de asistencia, mantenimiento técnico y copia de seguridad.

El encargado del tratamiento no tiene derecho a tratar los datos personales con fines distintos a los establecidos en el presente Acuerdo de Encargado del Tratamiento, a menos que se obtenga el consentimiento previo por escrito en cada caso.

 

3. La responsabilidad del procesador

El encargado del tratamiento será responsable de adoptar las medidas relativas al tratamiento de los datos personales solicitadas por escrito por el responsable del tratamiento, en el apéndice 2:1 o de otro modo, y de realizar el tratamiento necesario en relación con la prestación de servicios al responsable del tratamiento o exigido por la legislación aplicable.

Tras recibir instrucciones por escrito, el encargado del tratamiento adoptará, sin demora indebida, las medidas adecuadas para garantizar que el tratamiento de los datos personales se adapte a dichas instrucciones.

El Encargado del Tratamiento no será responsable de la falta de claridad en dichas instrucciones del Responsable del Tratamiento y no estará obligado a realizar ninguna acción distinta a las expresamente solicitadas por el Responsable del Tratamiento.

El Encargado del Tratamiento tendrá derecho a una compensación, de acuerdo con la lista de precios que aplique en cada momento el Encargado del Tratamiento, por cualquier acción relativa al tratamiento de datos personales que no haya sido especificada expresamente por el Responsable del Tratamiento en el momento de la entrada en vigor del presente Acuerdo de Encargo.

 

4. Compromisos del interventor

El responsable del tratamiento se compromete, en la medida de lo posible, a facilitar el tratamiento de los datos personales en el ámbito del presente acuerdo de encargado del tratamiento, entre otras cosas, facilitando sin demora la información necesaria al encargado del tratamiento y notificándole con suficiente antelación cualquier medida administrativa.

 

5. Certificación

El Procesador certifica que sus propias actividades comerciales se gestionan, en todos los aspectos, de una manera que garantiza el cumplimiento de los requisitos del GDPR, de acuerdo con las normas vigentes en la industria y de una manera que permite la implementación de medidas con respecto al procesamiento de datos personales de acuerdo con este Acuerdo de Procesamiento.

 

6. Medidas de protección

Con respecto a todo el tratamiento de datos personales por cuenta del responsable del tratamiento, el encargado del tratamiento adoptará las medidas de protección técnicas y organizativas especificadas por el responsable del tratamiento en el apéndice 2:1.

El encargado del tratamiento determinará la forma de aplicar dichas medidas para alcanzar el nivel de protección necesario.

El Encargado del Tratamiento no estará obligado a tomar medidas de protección que no estén expresamente indicadas en el presente Acuerdo de Encargado del Tratamiento o en sus apéndices.

Las partes podrán acordar medidas de protección mayores o adicionales y, salvo que se acuerde lo contrario por escrito, el Procesador tendrá derecho a una compensación aparte por cualquier medida de este tipo, de acuerdo con la lista de precios del Procesador en vigor en ese momento.

Si el responsable del tratamiento no especifica tales medidas de protección, en el apéndice 2.1 o de otro modo, el encargado del tratamiento aplicará, a expensas del responsable del tratamiento, las medidas de protección habituales en el sector en circunstancias comparables.

 

7. Información

Con el fin de verificar la realización del tratamiento de datos personales, el responsable del tratamiento tendrá derecho a solicitar documentación relativa a las actividades y sistemas empresariales del encargado del tratamiento, en la medida en que estén relacionados con el tratamiento de datos personales por cuenta del responsable del tratamiento.

 

8. Seguimiento

En caso de que las partes acuerden nuevas medidas de protección para el tratamiento de los datos personales, el responsable del tratamiento tendrá derecho a solicitar la documentación relativa a las medidas adoptadas por el encargado del tratamiento con el fin de llevar a cabo la aplicación acordada.

 

9. Divulgación de datos

El encargado del tratamiento no tendrá derecho a revelar ningún dato personal a terceros sin la aprobación previa por escrito del responsable del tratamiento, a menos que dicha revelación sea exigida por la ley.

En el caso de que una autoridad pública ordene al Encargado del Tratamiento la divulgación de datos o la adopción de otras medidas como consecuencia del tratamiento de datos personales por cuenta del Responsable del Tratamiento, el Encargado tendrá derecho a una compensación razonable por dicho trabajo.

El encargado del tratamiento también tendrá derecho a una compensación razonable por cualquier otra divulgación de datos personales, a petición del responsable del tratamiento o exigida por la ley o el presente Acuerdo, a cualquier parte distinta del responsable del tratamiento, así como por las medidas asociadas a dicha divulgación.

 

10. Transferencia a terceros países

El encargado del tratamiento sólo podrá transferir datos personales a un país que no sea miembro de la Unión Europea o del Espacio Económico Europeo con el consentimiento previo por escrito del responsable del tratamiento.

En el caso de que la ejecución de un acuerdo separado con el fin de mantener un nivel de protección adecuado sea un requisito legal para la transferencia de datos personales a un tercer país, el responsable del tratamiento no tendrá derecho a negar el consentimiento a dicha transferencia si el encargado del tratamiento puede demostrar que existe dicho acuerdo.

Los detalles relativos a las rutinas del procesador para el almacenamiento y procesamiento de datos personales se establecen en el Apéndice 2:1 y 2.2.

 

11. Subcontratación

El procesador utilizará los subcontratistas especificados en el Apéndice 2:2, para los fines establecidos en el mismo.

El procesador puede, a su discreción, sustituir o nombrar a otros subcontratistas, siempre que se comprometan a cumplir con el presente Acuerdo de Procesamiento.

El procesador es, en relación con el controlador, responsable de los actos y omisiones de los subcontratistas como de sus propios actos y omisiones.

 

12. Compensación

Como se indica más arriba y más abajo, el encargado del tratamiento tiene derecho a una compensación por el tratamiento de los datos personales y las medidas conexas, en la medida en que dicho tratamiento y las medidas conexas no se hayan acordado expresamente en el presente Acuerdo de Encargado del Tratamiento y en los apéndices del mismo.

 

13. Personas de contacto, etc.

Cada una de las partes designará una persona de contacto que será la principal responsable de la comunicación entre las partes en relación con el presente Acuerdo de Procesamiento. Las partes se notificarán mutuamente la persona de contacto designada y los datos de contacto, y cada parte informará sin demora a la otra si la persona de contacto es sustituida. En el caso de las licencias gratuitas, la persona que solicita la licencia gratuita es la persona de contacto.

 

14. Garantizar los derechos de los inscritos

El encargado del tratamiento deberá, previa solicitud, sin demora, y de acuerdo con las instrucciones del responsable del tratamiento, corregir, extraer o eliminar los datos personales que estén cubiertos por el presente acuerdo de tratamiento.

Además, el encargado del tratamiento ayudará al responsable del tratamiento a garantizar los derechos de los registrados de conformidad con el capítulo III del RGPD.

El encargado del tratamiento tendrá derecho a una compensación razonable por dichas medidas.

En caso de que el responsable del tratamiento solicite por escrito la supresión de los datos personales, el encargado del tratamiento suprimirá los datos personales en cuestión en un plazo máximo de 90 días a partir de la solicitud.

 

15. Terminación

A la terminación del presente Acuerdo de Procesamiento, los datos personales pertenecientes al Controlador serán devueltos o borrados sin demora injustificada.

El responsable del tratamiento deberá notificar al encargado del tratamiento, a más tardar 3 meses antes de la expiración del presente acuerdo de tratamiento, cómo se tratarán los datos personales que le pertenecen y cualquier necesidad de asistencia por parte del encargado del tratamiento en relación con la transferencia de datos personales. Si no se produce dicha notificación, el encargado del tratamiento borrará los datos personales en relación con la expiración del presente acuerdo de encargado del tratamiento.

El Encargado del Tratamiento colaborará, en la medida de lo razonable y siempre que se disponga de recursos, en la transferencia de los datos personales. El encargado del tratamiento tendrá derecho a una compensación por dicha asistencia de acuerdo con su lista de precios aplicable en ese momento para dichos servicios.

 

16. Limitación de la responsabilidad

La responsabilidad del Encargado del Tratamiento en virtud del presente Acuerdo de Encargado del Tratamiento se limitará a los perjuicios directos resultantes del tratamiento de datos personales que sea claramente contrario a las instrucciones escritas del Responsable del Tratamiento o a la legislación aplicable. Las reclamaciones de terceros o de las autoridades públicas se considerarán, a los efectos del presente contrato, pérdidas directas. No obstante, la responsabilidad del responsable del tratamiento no incluirá en ningún caso los daños indirectos, como por ejemplo la pérdida de ingresos.

 

17. Disputas

Cualquier disputa que surja o esté relacionada con este Acuerdo de Procesamiento se resolverá según lo acordado en el Acuerdo Principal.

 

18. Modificaciones del acuerdo

Para que sea vinculante, cualquier enmienda o modificación del presente Acuerdo de Procesamiento debe realizarse por escrito y estar debidamente firmada por ambas partes.

 

____________________

Anexo 2:1
Las instrucciones del controlador y las medidas de protección necesarias
Propósito

 

El objetivo del servicio de evaluación del aprendizaje de Dugga es hacer posible la evaluación digital de conocimientos, principalmente en un entorno educativo. El procesamiento de datos en la plataforma se realiza para posibilitar el acceso y uso de la plataforma en las diferentes formas que se desprenden del/los rol/es y función/es que tiene un usuario. El cliente podrá identificar a quienes administran, crean y realizan exámenes y tareas, así como los resultados de esas actividades de evaluación de conocimientos.

Los datos personales también se utilizan para fines de asistencia, mantenimiento técnico y copias de seguridad.

Los datos se almacenan dentro de la UE/EES.

Los datos tratados son los siguientes tipos de datos personales.

 

Los datos personales en la plataforma pueden consistir en:

  • Nombre de usuario, nombre, apellido, afiliación al grupo (clase/clases/grupos), imágenes, número de teléfono móvil.
  • Pruebas de los alumnos, resultados y, ocasionalmente, también calificaciones y comentarios de los profesores.
  • La dirección de correo electrónico del usuario (cuando se utilizan cuentas).
  • Dugga no requiere números personales o de la seguridad social, pero el cliente tiene la posibilidad de añadir dicha información.
  • El tratamiento de ciertos tipos de datos personales según el artículo 9.1 i del marco de tratamiento de datos puede producirse en función de la información que los usuarios individuales puedan añadir.

 

El tratamiento de los datos abarcará las siguientes categorías/funciones

 

  • Profesores
  • Administradores
  • Estudiantes
  • Inspectores/Investigadores
  • Administradores del estudio
Normas específicas para el tratamiento de los datos y la eliminación de los datos personales realizados por el encargado del tratamiento.

 

  • Los datos personales se eliminan después del número de años que el responsable del tratamiento especifica por escrito a Dugga. Dicha solicitud de supresión de datos deberá presentarse a Dugga a más tardar 90 días antes de la supresión. El responsable del tratamiento tiene la posibilidad de eliminar los datos en cualquier momento en la plataforma.
  • Las copias de seguridad no se almacenan más de 2 años.
Medidas técnicas de protección de los datos personales.
Dugga ha sido aprobada en varias revisiones sobre seguridad de datos realizadas por clientes, investigadores, socios y organizaciones independientes. Las revisiones técnicas sobre la seguridad de los datos se realizan anualmente y de acuerdo con la normativa sobre seguridad de los datos.
Registro del tratamiento de datos personales y del acceso a los mismos.

El registro de datos incluye:

  • Usuarios que han llevado a cabo la evaluación, han proporcionado los resultados y las calificaciones de estudiantes individuales y grupos de estudiantes.
  • Los profesores, los administradores y los encargados de los estudios tienen acceso a dicha información.
Transferencia de datos personales a terceros países.
La transferencia de datos personales no se produce más allá de lo indicado en el apartado "Finalidad".
Otras instrucciones relacionadas con el tratamiento de datos personales realizado por el procesador.

1. Establecer el acceso remoto al sistema de controladores para investigar y resolver problemas técnicos y;

2. Publicar estadísticas sobre el tratamiento de datos realizado en la plataforma.

Además de este acuerdo de procesamiento, el procesador tiene el derecho de proporcionar los datos al controlador sólo en formato xml, en el caso de que el acuerdo del cliente expire.


El encargado del tratamiento tiene derecho, durante y después de la expiración del acuerdo, a conservar, utilizar y analizar los metadatos/datos no identificados con fines de investigación y desarrollo científicos. Todos estos datos se transformarán en un modo en el que ninguna persona física pueda ser identificada. Por lo tanto, ninguna persona física podrá ser rastreada o identificada en los datos almacenados para los fines mencionados.

 

 

Anexo 2:2

 

Almacenamiento y tratamiento de datos personales

Los siguientes subcontratistas son, a partir de la fecha del Acuerdo de Procesamiento, utilizados por el Procesador, para los fines que se indican a continuación. Los subcontratistas tienen su sede en los países que se especifican a continuación.

Establecer el acceso remoto al sistema del controlador, para el análisis y la resolución de problemas técnicos:

Eventful AB (Suecia)
FastDev AB (Suecia)

 

Almacenamiento y tratamiento de datos personales:

Microsoft Azure (Países Bajos)
Microsoft Azure (España)
Microsoft Azure (Suecia)

 

Contacte con nosotros

Torsgatan 39, 113 62 Estocolmo

Länkar

Logga en

Dugga Plugga

Nyheter

Cómo se han de recoger los datos

Soporte

API Dugga