Accord sur le traitement des données personnelles

1. Préambule

Le présent contrat de sous-traitant de données personnelles (le "contrat de sous-traitant") est conclu entre le client (ci-après également dénommé le "contrôleur") et Dugga (ci-après également dénommé le "sous-traitant"),

L'objectif du présent accord de sous-traitant est de garantir que le traitement des données personnelles par le sous-traitant pour le compte du contrôleur se déroule conformément au règlement général sur la protection des données (2016/679) (" RGPD "), aux instructions du contrôleur et au présent accord de sous-traitant.

Le présent contrat de processeur est une annexe à toute licence gratuite ou à tout contrat principal conclu entre le client et Dugga (le " contrat principal "). En cas de dispositions contradictoires, l'accord principal prévaut sur le présent contrat de processeur.

2. Objectif du traitement des données personnelles

L'objectif du traitement des données personnelles, et du service fourni par Dugga, est de permettre au Client de manipuler et d'effectuer une évaluation numérique des connaissances. Les données personnelles sont utilisées dans le système à des fins d'utilisation et de connexion, en fonction du rôle et de la fonction de l'utilisateur. Le client doit, par exemple, être en mesure d'identifier la personne qui attribue ou crée les tests, les personnes qui passent les tests, leurs réponses et leurs résultats. Les données personnelles sont également utilisées à des fins de support, de maintenance technique et de sauvegarde.

Le sous-traitant n'est pas autorisé à traiter les données à caractère personnel à d'autres fins que celles énoncées dans le présent contrat de sous-traitance, à moins qu'un consentement écrit préalable ne soit obtenu dans chaque cas.

3. La responsabilité du Processeur

Le sous-traitant est chargé de prendre les mesures relatives au traitement des données à caractère personnel demandées par écrit par le contrôleur, à l'annexe 2:1 ou autrement, et d'effectuer le traitement requis dans le cadre de la prestation de services au contrôleur ou exigé par la législation applicable.

Après avoir reçu des instructions écrites, le responsable du traitement prend, sans retard injustifié, les mesures appropriées afin de garantir que le traitement des données à caractère personnel est adapté conformément à ces instructions.

Le sous-traitant n'est pas responsable du manque de clarté de ces instructions du contrôleur et n'est pas tenu de prendre des mesures autres que celles expressément demandées par le contrôleur.

Le sous-traitant a droit à une indemnisation, conformément à la liste de prix appliquée de temps à autre par le sous-traitant, pour toute action concernant le traitement des données à caractère personnel qui n'est pas expressément spécifiée par le responsable du traitement au moment de l'entrée en vigueur du présent contrat de sous-traitance.

4. Engagements du contrôleur

Le responsable du traitement s'engage, dans la mesure du possible, à faciliter le traitement des données à caractère personnel dans le cadre du présent accord de sous-traitance, notamment en fournissant sans délai au sous-traitant les informations nécessaires et en notifiant au sous-traitant, bien à l'avance, toute mesure administrative.

5. Certification

Le Processeur certifie que ses propres activités commerciales sont, à tous égards, gérées de manière à garantir le respect des exigences du GDPR, conformément aux normes en vigueur dans le secteur et de manière à permettre la mise en œuvre de mesures relatives au traitement des données personnelles conformément au présent Accord de Processeur.

6. Mesures de protection

Pour tout traitement de données à caractère personnel effectué pour le compte du responsable du traitement, le sous-traitant prend les mesures de protection techniques et organisationnelles spécifiées par le responsable du traitement à l'annexe 2:1.

Le sous-traitant détermine comment ces mesures doivent être mises en œuvre afin d'atteindre le niveau de protection nécessaire.

Le sous-traitant n'est pas tenu de prendre des mesures de protection qui ne sont pas expressément énoncées dans le présent contrat de sous-traitance ou ses annexes.

Les parties peuvent convenir de mesures de protection accrues ou supplémentaires et, sauf accord contraire par écrit, le sous-traitant a droit à une rémunération distincte pour toute mesure de ce type, conformément à la liste de prix du sous-traitant alors en vigueur.

Si aucune mesure de protection de ce type n'est spécifiée par le responsable du traitement, à l'annexe 2.1 ou autrement, le sous-traitant met en oeuvre, aux frais du responsable du traitement, les mesures de protection qui sont habituelles dans le secteur dans des circonstances comparables.

7. Information

Afin de vérifier la mise en œuvre du traitement des données à caractère personnel, le responsable du traitement est en droit de demander une documentation concernant les activités commerciales et les systèmes du sous-traitant, dans la mesure où ils sont liés au traitement des données à caractère personnel pour le compte du responsable du traitement.

8. Suivi

Dans le cas où les parties conviennent de nouvelles mesures de protection pour le traitement des données à caractère personnel, le responsable du traitement a le droit de demander une documentation concernant les mesures prises par le sous-traitant afin de réaliser la mise en œuvre convenue.

9. Divulgation des données

Le sous-traitant n'est pas autorisé à divulguer des données à caractère personnel à un tiers sans l'approbation écrite préalable du contrôleur, à moins que cette divulgation ne soit exigée par la loi.

Si une autorité publique ordonne au sous-traitant de divulguer des données ou de prendre d'autres mesures en raison du traitement de données à caractère personnel pour le compte du responsable du traitement, le sous-traitant a droit à une compensation raisonnable pour ce travail.

Le sous-traitant a également droit à une compensation raisonnable pour toute autre divulgation de données à caractère personnel, à la demande du contrôleur ou exigée par la loi ou le présent accord, à toute partie autre que le contrôleur, ainsi que pour les mesures associées à cette divulgation.

10. Transfert vers des pays tiers

Le sous-traitant ne peut transférer des données à caractère personnel vers un pays qui n'est pas membre de l'Union européenne ou de l'Espace économique européen qu'avec l'accord écrit préalable du contrôleur.

Dans le cas où l'exécution d'un accord distinct aux fins du maintien d'un niveau de protection adéquat est une exigence légale pour le transfert de données à caractère personnel vers un pays tiers, le contrôleur n'est pas autorisé à refuser son consentement à ce transfert si le processeur peut démontrer qu'un tel accord existe.

Les détails concernant les routines de stockage et de traitement des données à caractère personnel du sous-traitant figurent à l'annexe 2:1 et 2.2.

11. Sous-traitance

Le sous-traitant fera appel aux sous-traitants spécifiés à l'annexe 2:2, aux fins qui y sont énoncées.

Le sous-traitant peut, à sa discrétion, remplacer ou désigner d'autres sous-traitants, à condition qu'ils s'engagent à respecter le présent contrat de sous-traitance.

Le sous-traitant est, vis-à-vis du contrôleur, responsable des actes et omissions des sous-traitants comme de ses propres actes et omissions.

12. Compensation

Comme indiqué ci-dessus et ci-dessous, le sous-traitant a droit à une indemnisation pour le traitement des données à caractère personnel et les mesures connexes, dans la mesure où ce traitement et ces mesures connexes ne sont pas expressément convenus dans le présent contrat de sous-traitant et ses annexes.

13. Personnes de contact, etc.

Chaque partie désigne une personne de contact chargée de la communication entre les parties concernant le présent contrat de sous-traitance. Les parties se notifient mutuellement la personne de contact désignée et ses coordonnées, et chaque partie informe sans délai l'autre partie en cas de remplacement de la personne de contact. Pour les licences gratuites, la personne qui demande la licence gratuite est la personne de contact.

14. Garantir les droits des personnes enregistrées

Sur demande, sans délai et conformément aux instructions du responsable du traitement, le sous-traitant corrige, extrait ou supprime les données à caractère personnel couvertes par le présent contrat de sous-traitance.

Le sous-traitant doit en outre aider le responsable du traitement à garantir les droits des personnes enregistrées conformément au chapitre III du GDPR.

Le sous-traitant a droit à une compensation raisonnable pour ces mesures.

Dans le cas où le contrôleur fait une demande écrite de suppression de données à caractère personnel, le processeur supprime les données à caractère personnel en question au plus tard dans les 90 jours suivant la demande.

15. Résiliation

En cas de résiliation du présent accord de sous-traitance, les données à caractère personnel appartenant au responsable du traitement sont restituées ou effacées sans délai déraisonnable.

Le responsable du traitement doit, au plus tard trois mois avant l'expiration du présent contrat de sous-traitance, informer le sous-traitant de la manière dont les données à caractère personnel appartenant au responsable du traitement seront traitées et de tout besoin d'assistance de la part du sous-traitant dans le cadre du transfert des données à caractère personnel. A défaut d'une telle notification, le sous-traitant effacera les données à caractère personnel dans le cadre de l'expiration du présent contrat de sous-traitance.

Le sous-traitant doit, dans une mesure raisonnable et sous réserve de la disponibilité des ressources, aider au transfert des données à caractère personnel. Le sous-traitant a droit à une compensation pour cette assistance conformément à sa liste de prix alors applicable pour ces services.

16. Limitation de la responsabilité

La responsabilité du sous-traitant en vertu du présent contrat de sous-traitance est limitée aux pertes directes résultant d'un traitement de données à caractère personnel manifestement contraire aux instructions écrites du responsable du traitement ou à la législation applicable. Les réclamations de tiers ou d'autorités publiques sont considérées, aux fins des présentes, comme des pertes directes. La responsabilité du sous-traitant n'inclut cependant en aucun cas les pertes indirectes telles que, par exemple, la perte de revenus.

17. Litiges

Tout litige découlant du présent contrat de sous-traitance ou s'y rapportant sera résolu comme convenu dans le contrat principal.

18. Modifications de l'accord

Pour être contraignant, tout amendement ou modification du présent contrat de sous-traitance doit être fait par écrit et dûment signé par les deux parties.

____________________

Annexe 2:1

Les instructions du contrôleur et les mesures de protection requises

Objectif	L'objectif du service d'évaluation de l'apprentissage de Dugga est de permettre d'effectuer une évaluation des connaissances numériques, principalement dans un cadre éducatif. Le traitement des données dans la plate-forme est effectué afin de permettre la connexion et l'utilisation de la plate-forme de différentes manières qui découlent du/des rôle(s) et fonction(s) d'un utilisateur. Le client sera en mesure d'identifier les personnes qui administrent, créent et font passer des examens et des devoirs, ainsi que les résultats de ces activités d'évaluation des connaissances. Les données personnelles sont également utilisées à des fins d'assistance, de maintenance technique et de sauvegarde de sécurité. Les données sont stockées dans l'UE/EEE.
Les données traitées sont constituées des types de données à caractère personnel suivants.	Les données personnelles de la plateforme peuvent être les suivantes : Nom d'utilisateur, Prénom, Nom de famille, affiliation à un groupe (classe/classes/groupes), images, numéro de téléphone portable. Les tests et les résultats des élèves, et parfois aussi les notes et les commentaires des enseignants. L'adresse électronique de l'utilisateur (en cas d'utilisation de comptes). Dugga ne demande pas de numéros personnels ou de numéros de sécurité sociale, mais le client a la possibilité d'ajouter de telles informations. Le traitement de certains types de données personnelles conformément à l'article 9.1 i du cadre du traitement des données peut avoir lieu en fonction des informations que les utilisateurs individuels peuvent ajouter.
Le traitement des données englobera les catégories/rôles suivants	Enseignants Administrateurs Étudiants Correcteurs/Invigilateurs Administrateurs de l'étude
Règles spécifiques pour le traitement des données et le retrait des données personnelles effectué par le sous-traitant.	Les données personnelles sont supprimées après le nombre d'années que le responsable du traitement spécifie par écrit à Dugga. Cette demande de suppression des données doit être soumise à Dugga au plus tard 90 jours avant la suppression. Le responsable du traitement a la possibilité de supprimer les données à tout moment dans la plateforme. Les copies de sauvegarde ne sont pas conservées plus de 2 ans.
Mesures techniques de protection des données personnelles.	Dugga a été approuvé dans plusieurs révisions sur la sécurité des données menées par des clients, des chercheurs, des partenaires et des organisations indépendantes. Les révisions techniques sur la sécurité des données sont effectuées sur une base annuelle et conformément aux règlements sur la sécurité des données.
Journalisation du traitement et de l'accès aux données personnelles.	L'enregistrement des données comprend : Les utilisateurs qui ont effectué des évaluations, fourni des résultats et des notes pour des étudiants individuels et des groupes d'étudiants. L'accès à ces informations est fourni aux enseignants, aux administrateurs et aux administrateurs des études.
Transfert de données personnelles vers des pays tiers.	Le transfert de données à caractère personnel n'a pas lieu au-delà de ce qui est indiqué dans la section "Objet".
Autres instructions relatives au traitement des données personnelles effectué par le sous-traitant.	1. Mettre en place un accès à distance au système de contrôleurs afin d'étudier et de résoudre les problèmes techniques ; 2. Publier des statistiques sur les traitements de données effectués dans la plateforme. En plus de cet accord de sous-traitance, le sous-traitant a le droit de fournir des données au responsable du traitement au format xml uniquement, dans le cas où l'accord du client expire. Le sous-traitant a le droit, pendant et après l'expiration de l'accord, de conserver, d'utiliser, d'analyser les métadonnées/données désidentifiées à des fins de recherche et de développement scientifiques. Toutes ces données seront transformées dans un mode où aucune personne physique ne peut être identifiée. Ainsi, aucune personne physique ne peut être tracée ou identifiée dans les données stockées aux fins susmentionnées.

Annexe 2:2

Stockage et traitement des données personnelles

Les sous-traitants suivants sont, à la date du Contrat du Processeur, utilisés par le Processeur, aux fins énoncées ci-dessous. Les sous-traitants sont basés dans les pays spécifiés ci-dessous.

Établir un accès à distance au système du contrôleur, pour l'analyse et la résolution des problèmes techniques :

Eventful AB (Suède)

FastDev AB (Suède)

Stockage et traitement des données personnelles :

Microsoft Azure (Pays-Bas)

Microsoft Azure (Irlande)

Microsoft Azure (Suède)

Contactez nous



Torsgatan 39, 113 62 Stockholm



+46 (0)8 307080



[email protected]

Länkar

Logga en

Dugga Plugga

Nyheter

Comment accéder à vos données

Soutien

Dugga API

Cookie	Durée	Description
cookielawinfo-checkbox-analytics	11 mois	Ce cookie est défini par le plugin de consentement aux cookies GDPR. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie "Analytics".
cookielawinfo-checkbox-fonctionnel	11 mois	Le cookie est défini par le consentement aux cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Fonctionnel".
cookielawinfo-checkbox-necessary	11 mois	Ce cookie est défini par le plugin de consentement aux cookies du GDPR. Il est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie "Nécessaire".
cookielawinfo-checkbox-others	11 mois	Ce cookie est défini par le plugin de consentement aux cookies GDPR. Ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie " Autre ".
cookielawinfo-checkbox-performance	11 mois	Ce cookie est défini par le plugin de consentement aux cookies GDPR. Ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie "Performance".
politique_cookie_visible	11 mois	Ce cookie est défini par le plugin GDPR Cookie Consent et est utilisé pour stocker si l'utilisateur a consenti ou non à l'utilisation de cookies. Il ne stocke pas de données personnelles.