Perjanjian pemroses data pribadi

1. Pembukaan

Perjanjian Pemroses Data Pribadi ini ("Perjanjian Prosesor") dibuat oleh Pelanggan (selanjutnya juga disebut sebagai "Pengontrol") dan Dugga (selanjutnya juga disebut sebagai "Prosesor"),

Tujuan dari Perjanjian Prosesor ini adalah untuk memastikan bahwa pemrosesan data pribadi Prosesor atas nama Pengontrol berlangsung sesuai dengan Peraturan Perlindungan Data Umum (2016/679) ("GDPR"), instruksi Pengontrol dan Perjanjian Prosesor ini.

Perjanjian Prosesor ini adalah lampiran untuk setiap lisensi gratis atau perjanjian utama yang dibuat oleh Pelanggan dan Dugga ("Perjanjian Utama"). Dalam hal terjadi ketentuan yang bertentangan, Perjanjian Utama akan diutamakan daripada Perjanjian Prosesor ini.

 

2. Tujuan pemrosesan data pribadi

Tujuan dari pemrosesan data pribadi, dan layanan yang disediakan oleh Dugga, adalah untuk memungkinkan Pelanggan menangani dan melakukan evaluasi pengetahuan digital. Data pribadi digunakan dalam sistem untuk tujuan penggunaan dan masuk, tergantung pada peran dan fungsi pengguna. Pelanggan harus misalnya dapat mengidentifikasi orang yang menugaskan atau membuat tes, mereka yang mengikuti tes dan jawaban dan hasil mereka. Data pribadi juga digunakan untuk dukungan, pemeliharaan teknis, dan tujuan pencadangan.

Prosesor tidak berhak untuk memproses data pribadi untuk tujuan apa pun selain yang ditetapkan dalam Perjanjian Prosesor ini, kecuali persetujuan tertulis sebelumnya diperoleh dalam setiap kasus.

 

3. Tanggung jawab Prosesor

Prosesor bertanggung jawab untuk mengambil langkah-langkah tersebut mengenai pemrosesan data pribadi sebagaimana diminta secara tertulis oleh Pengontrol, dalam Lampiran 2: 1 atau sebaliknya, dan untuk melakukan pemrosesan seperti yang diperlukan sehubungan dengan penyediaan layanan kepada Pengontrol atau diwajibkan berdasarkan undang-undang yang berlaku.

Setelah menerima instruksi tertulis, Prosesor harus, tanpa penundaan yang tidak semestinya, mengambil tindakan yang sesuai untuk memastikan bahwa pemrosesan data pribadi disesuaikan sesuai dengan instruksi tersebut.

Prosesor tidak bertanggung jawab atas kurangnya kejelasan dalam instruksi tersebut dari Controller dan tidak berkewajiban untuk mengambil tindakan apa pun selain yang secara tegas diminta oleh Pengontrol.

Prosesor berhak atas kompensasi, sesuai dengan daftar harga dari waktu ke waktu yang diterapkan oleh Prosesor, untuk setiap tindakan mengenai pemrosesan data pribadi yang tidak ditentukan secara tegas oleh Pengontrol ketika Perjanjian Prosesor ini mulai berlaku.

 

4. Usaha Pengontrol

Pengontrol berjanji, sejauh mungkin, untuk memfasilitasi pemrosesan data pribadi dalam lingkup Perjanjian Prosesor ini, antara lain dengan memberikan informasi yang diperlukan kepada Prosesor tanpa penundaan dan dengan memberi tahu Prosesor jauh sebelum tindakan administratif apa pun.

 

5. Sertifikasi

Prosesor menyatakan bahwa kegiatan bisnisnya sendiri, dalam segala hal, dikelola dengan cara yang memastikan kepatuhan terhadap persyaratan GDPR, sesuai dengan norma-norma yang berlaku di industri dan dengan cara yang memungkinkan penerapan langkah-langkah sehubungan dengan pemrosesan data pribadi sesuai dengan Perjanjian Prosesor ini.

 

6. Tindakan perlindungan

Sehubungan dengan semua pemrosesan data pribadi atas nama Pengontrol, Prosesor harus mengambil langkah-langkah perlindungan teknis dan organisasi yang ditentukan oleh Pengontrol dalam Lampiran 2: 1.

Prosesor harus menentukan bagaimana langkah-langkah tersebut harus dilaksanakan untuk mencapai tingkat perlindungan yang diperlukan.

Prosesor tidak berkewajiban untuk mengambil tindakan perlindungan yang tidak dinyatakan secara tegas dalam Perjanjian Prosesor ini atau lampiran di sini.

Para pihak dapat menyetujui langkah-langkah perlindungan yang meningkat atau tambahan dan kecuali disepakati lain secara tertulis, Prosesor berhak untuk memisahkan kompensasi untuk tindakan tersebut, sesuai dengan daftar harga Prosesor saat itu.

Jika tidak ada tindakan perlindungan seperti itu yang ditentukan oleh Pengontrol, dalam Lampiran 2.1 atau sebaliknya, Prosesor akan dengan mengorbankan Pengontrol menerapkan tindakan perlindungan seperti yang biasa terjadi di industri dalam keadaan yang sebanding.

 

7. Informasi

Untuk memverifikasi pelaksanaan pemrosesan data pribadi, Pengontrol berhak untuk meminta dokumentasi mengenai kegiatan dan sistem bisnis Prosesor, sejauh yang terkait dengan pemrosesan data pribadi atas nama Pengontrol.

 

8. Tindak Lanjut

Dalam hal para pihak menyetujui langkah-langkah perlindungan baru untuk pemrosesan data pribadi, Pengontrol berhak untuk meminta dokumentasi mengenai langkah-langkah yang diambil oleh Prosesor untuk tujuan mewujudkan implementasi yang disepakati.

 

9. Pengungkapan data

Prosesor tidak berhak untuk mengungkapkan data pribadi apa pun kepada pihak ketiga mana pun tanpa persetujuan tertulis sebelumnya dari Pengontrol, kecuali pengungkapan tersebut diwajibkan oleh hukum.

Dalam hal otoritas publik memerintahkan Prosesor untuk mengungkapkan data atau untuk mengambil tindakan lain sebagai konsekuensi dari pemrosesan data pribadi atas nama Pengontrol, Prosesor berhak atas kompensasi yang wajar untuk pekerjaan tersebut.

Prosesor juga berhak atas kompensasi yang wajar untuk pengungkapan data pribadi lainnya, atas permintaan Pengontrol atau diwajibkan oleh hukum atau Perjanjian ini, kepada pihak mana pun selain Pengontrol, dan langkah-langkah yang terkait dengan pengungkapan tersebut.

 

10. Transfer ke negara ketiga

Prosesor hanya dapat mentransfer data pribadi ke negara yang bukan anggota Uni Eropa atau anggota Wilayah Ekonomi Eropa dengan persetujuan tertulis sebelumnya dari Pengontrol.

Dalam hal pelaksanaan perjanjian terpisah untuk tujuan mempertahankan tingkat perlindungan yang memadai adalah persyaratan hukum untuk transfer data pribadi ke negara ketiga, Pengontrol tidak berhak menahan persetujuan untuk transfer tersebut jika Prosesor dapat menunjukkan bahwa perjanjian tersebut memang ada.

Rincian mengenai rutinitas Prosesor untuk penyimpanan dan pemrosesan data pribadi diatur dalam Lampiran 2: 1 dan 2.2.

 

11. Subkontrak

Prosesor akan menggunakan subkontraktor yang ditentukan dalam Lampiran 2: 2, untuk tujuan yang ditetapkan di dalamnya.

Prosesor dapat atas kebijakannya sendiri menggantikan atau menunjuk subkontraktor lebih lanjut, asalkan mereka berjanji untuk mematuhi Perjanjian Prosesor ini.

Prosesor dalam kaitannya dengan Controller bertanggung jawab atas tindakan dan kelalaian subkontraktor seperti untuk tindakan dan kelalaiannya sendiri.

 

12. Kompensasi

Sebagaimana ditetapkan di atas dan di bawah ini, Prosesor berhak atas kompensasi untuk pemrosesan data pribadi dan tindakan terkait, sejauh pemrosesan tersebut dan tindakan terkait tidak secara tegas disepakati dalam Perjanjian Prosesor ini dan lampirannya.

 

13. Kontak person, dll.

Masing-masing pihak harus menunjuk orang yang dihubungi dengan tanggung jawab utama untuk komunikasi antara para pihak mengenai Perjanjian Prosesor ini. Para pihak harus saling memberi tahu tentang kontak person dan detail kontak yang ditunjuk, dan masing-masing pihak tanpa penundaan yang tidak semestinya akan memberi tahu pihak lain jika kontak person diganti. Untuk Lisensi Gratis, orang yang mengajukan Lisensi Gratis adalah orang kontak.

 

14. Memastikan hak-hak terdaftar

Prosesor harus, atas permintaan, tanpa penundaan, dan sesuai dengan instruksi dari Pengontrol, memperbaiki, mengekstrak atau menghapus data pribadi yang dicakup oleh Perjanjian Prosesor ini.

Prosesor juga akan membantu Controller dalam memastikan hak-hak terdaftar sesuai dengan Bab III GDPR.

Prosesor berhak atas kompensasi yang wajar untuk tindakan tersebut.

Dalam hal Pengontrol membuat permintaan tertulis untuk penghapusan data pribadi, Prosesor akan menghapus data pribadi yang dimaksud selambat-lambatnya dalam waktu 90 hari sejak permintaan tersebut.

 

15. Pengakhiran

Setelah pengakhiran Perjanjian Prosesor ini, data pribadi milik Pengontrol akan dikembalikan atau dihapus tanpa penundaan yang tidak masuk akal.

Pengontrol tidak boleh lebih dari 3 bulan sebelum berakhirnya Perjanjian Prosesor ini memberi tahu Prosesor tentang bagaimana data pribadi milik Pengontrol akan ditangani dan kebutuhan apa pun untuk bantuan oleh Prosesor sehubungan dengan transfer data pribadi. Gagal pemberitahuan tersebut, Prosesor akan menghapus data pribadi sehubungan dengan berakhirnya Perjanjian Prosesor ini.

Prosesor harus sampai batas yang wajar dan menyediakan ketersediaan sumber daya membantu dalam transfer data pribadi. Prosesor diberikan kompensasi untuk bantuan tersebut sesuai dengan daftar harga yang berlaku untuk layanan tersebut.

 

16. Batasan tanggung jawab

Tanggung jawab Prosesor berdasarkan Perjanjian Prosesor ini akan terbatas pada kerugian langsung yang dihasilkan dari pemrosesan data pribadi yang jelas bertentangan dengan instruksi tertulis dari Pengontrol atau undang-undang yang berlaku. Klaim dari pihak ketiga atau otoritas publik harus untuk tujuan ini dianggap sebagai kerugian langsung. Namun, kewajiban Prosesor tidak akan mencakup kerugian tidak langsung seperti misalnya hilangnya pendapatan.

 

17. Perselisihan

Setiap perselisihan yang timbul dari atau terkait dengan Perjanjian Prosesor ini harus diselesaikan sebagaimana disepakati dalam Perjanjian Utama.

 

18. Amandemen perjanjian

Agar mengikat, setiap amandemen atau modifikasi dari Perjanjian Prosesor ini harus secara tertulis dan sepatutnya ditandatangani oleh kedua belah pihak.

 

____________________

Lampiran 2:1
Instruksi Pengontrol dan tindakan perlindungan yang diperlukan
Maksud

 

Tujuan dari layanan Dugga Learning Assessment adalah untuk memungkinkan untuk melakukan penilaian pengetahuan digital, terutama dalam lingkungan pendidikan. Pemrosesan data di platform dilakukan untuk memungkinkan masuk dan menggunakan platform dengan berbagai cara yang mengikuti dari peran dan fungsi yang dimiliki pengguna. Pelanggan akan dapat mengidentifikasi mereka yang mengelola, membuat dan mengambil ujian dan tugas serta hasil dari kegiatan penilaian pengetahuan tersebut.

Data pribadi juga digunakan untuk tujuan dukungan, pemeliharaan teknis, dan cadangan keamanan.

Data disimpan dalam UE / EES.

Data yang diproses terdiri dari jenis data pribadi berikut.

 

Data pribadi dalam platform dapat terdiri dari:

  • Nama pengguna, Nama depan, Nama belakang, afiliasi grup (kelas/kelas/grup), gambar, nomor ponsel.
  • Tes siswa, hasil dan kadang-kadang juga nilai dan umpan balik dari guru.
  • Alamat email pengguna (saat menggunakan akun).
  • Dugga tidak memerlukan nomor pribadi atau nomor jaminan sosial tetapi pelanggan memiliki kemungkinan untuk menambahkan informasi tersebut.
  • Pemrosesan jenis data pribadi tertentu menurut pasal 9.1 i pekerjaan kerangka pemrosesan data dapat terjadi tergantung pada informasi yang dapat ditambahkan oleh pengguna individu.

 

Pemrosesan data akan mencakup kategori/peran berikut

 

  • Guru
  • Administrator
  • Siswa
  • Pengawas/Pengawas
  • Administrator studi
Aturan khusus untuk pemrosesan data dan penghapusan data pribadi yang dilakukan oleh prosesor.

 

  • Data pribadi dihapus setelah jumlah tahun yang ditentukan pengontrol secara tertulis kepada Dugga. Permintaan penghapusan data tersebut harus diserahkan kepada Dugga selambat-lambatnya 90 hari sebelum penghapusan. Pengontrol memiliki kemungkinan untuk menghapus data kapan saja di platform.
  • Salinan cadangan tidak disimpan lebih dari 2 tahun.
Langkah-langkah teknis untuk melindungi data pribadi.
Dugga telah disetujui dalam beberapa revisi tentang keamanan data yang dilakukan oleh pelanggan, peneliti, mitra dan organisasi independen. Revisi teknis keamanan data dilakukan setiap tahun dan sesuai dengan peraturan tentang keamanan data.
Pencatatan pemrosesan dan akses data pribadi.

Pencatatan data meliputi:

  • Pengguna yang telah melakukan penilaian, memberikan hasil dan nilai untuk masing-masing siswa dan kelompok siswa.
  • Akses ke informasi tersebut diberikan kepada guru, admin, dan admin studi.
Transfer data pribadi ke negara ketiga.
Transfer data pribadi tidak terjadi di luar apa yang dinyatakan di bawah bagian "Tujuan".
Instruksi lain yang terkait dengan pemrosesan data pribadi yang dilakukan oleh prosesor.

1. Untuk mengatur akses jarak jauh ke sistem pengontrol untuk menyelidiki dan memecahkan masalah teknis dan;

2. Publikasikan statistik tentang pemrosesan data yang dilakukan di platform.

Selain perjanjian prosesor ini, prosesor memiliki hak untuk memberikan data kepada pengontrol hanya dalam format xml, jika perjanjian pelanggan berakhir.


Prosesor memiliki hak untuk, selama dan setelah berakhirnya perjanjian, menyimpan, menggunakan, menganalisis meta data / data de-diidentifikasi untuk tujuan reseearch ilmiah dan pengembangan. Semua data tersebut harus diubah menjadi mode di mana tidak ada orang fisik yang dapat diidentifikasi. Dengan demikian tidak ada orang fisik yang dapat dilacak atau diidentifikasi dalam data yang disimpan untuk tujuan yang disebutkan sebelumnya.

 

 

Lampiran 2:2

 

Penyimpanan dan pemrosesan data pribadi

Subkontraktor berikut adalah pada tanggal Perjanjian Prosesor yang digunakan oleh Prosesor, untuk tujuan yang ditetapkan di bawah ini. Subkontraktor berbasis di negara-negara yang ditentukan di bawah ini.

Menetapkan akses jarak jauh ke sistem Controller, untuk analisis dan penyelesaian masalah teknis:

Ab (Swedia)
FastDev AB (Swedia)

 

Penyimpanan dan pemrosesan data pribadi:

Microsoft Azure (Belanda)
Microsoft Azure (Irlandia)
Microsoft Azure (Swedia)

 

Kontakta oss

Torsgatan 39, 113 62 Stockholm

Länkar

Logga in

Dugga Plugga

Nyheter

Hur hanterar vi din data

Bantuan

Dugga API