Avtal om personuppgiftsbiträde
1. Inledning
Detta personuppgiftsbiträdesavtal ("Biträdesavtalet") ingås mellan kunden (nedan även kallad "Personuppgiftsansvarig") och Dugga (nedan även kallad "Biträdesbiträde"),
Syftet med detta bearbetningsavtal är att säkerställa att bearbetningsföretagets behandling av personuppgifter för den personuppgiftsansvariges räkning sker i enlighet med den allmänna dataskyddsförordningen (2016/679) ("GDPR"), den personuppgiftsansvariges instruktioner och detta bearbetningsavtal.
Detta processoravtal är en bilaga till en fri licens eller ett huvudavtal som ingåtts av kunden och Dugga ("huvudavtalet"). I händelse av motstridiga bestämmelser ska huvudavtalet ha företräde framför detta processoravtal.
2. Syftet med behandlingen av personuppgifter
Syftet med behandlingen av personuppgifter och den tjänst som Dugga tillhandahåller är att göra det möjligt för kunden att hantera och utföra digital kunskapsbedömning. Personuppgifter används i systemet för användnings- och inloggningssyften, beroende på användarens roll och funktion. Kunden ska t.ex. kunna identifiera den person som tilldelar eller skapar tester, de som gör testerna samt deras svar och resultat. Personuppgifter används också för support, tekniskt underhåll och säkerhetskopiering.
Personuppgiftsbiträdet har inte rätt att behandla personuppgifterna för andra ändamål än de som anges i detta bearbetningsavtal, såvida inte skriftligt samtycke i förväg erhålls i varje enskilt fall.
3. Processorns ansvar
Personuppgiftsbiträdet ska vara ansvarigt för att vidta sådana åtgärder avseende behandlingen av personuppgifter som den personuppgiftsansvarige skriftligen begär, i bilaga 2:1 eller på annat sätt, och för att utföra sådan behandling som krävs i samband med tillhandahållandet av tjänster till den personuppgiftsansvarige eller som krävs enligt tillämplig lagstiftning.
Efter att ha mottagit skriftliga instruktioner ska personuppgiftsbiträdet utan onödigt dröjsmål vidta lämpliga åtgärder för att se till att behandlingen av personuppgifter anpassas i enlighet med dessa instruktioner.
Personuppgiftsbiträdet ska inte vara ansvarigt för bristande tydlighet i sådana instruktioner från den personuppgiftsansvarige och ska inte vara skyldigt att vidta andra åtgärder än de som uttryckligen begärts av den personuppgiftsansvarige.
Personuppgiftsbiträdet ska ha rätt till ersättning, i enlighet med den prislista som vid varje tidpunkt tillämpas av personuppgiftsbiträdet, för varje åtgärd avseende behandling av personuppgifter som inte uttryckligen specificerats av den personuppgiftsansvarige när detta biträdesavtal träder i kraft.
4. Den personuppgiftsansvariges åtaganden
Den personuppgiftsansvarige åtar sig att i möjligaste mån underlätta behandlingen av personuppgifter inom ramen för detta bearbetningsavtal, bland annat genom att utan dröjsmål förse bearbetningsföretaget med nödvändig information och genom att i god tid meddela bearbetningsföretaget om eventuella administrativa åtgärder.
5. Certifiering
Personuppgiftsbiträdet intygar att den egna affärsverksamheten i alla avseenden sköts på ett sätt som säkerställer överensstämmelse med kraven i GDPR, i enlighet med rådande normer i branschen och på ett sätt som gör det möjligt att genomföra åtgärder med avseende på behandling av personuppgifter i enlighet med detta personuppgiftsbiträdesavtal.
6. Skyddsåtgärder
När det gäller all behandling av personuppgifter för den personuppgiftsansvariges räkning ska personuppgiftsbiträdet vidta de tekniska och organisatoriska skyddsåtgärder som anges av den personuppgiftsansvarige i bilaga 2:1.
Personuppgiftsbiträdet ska fastställa hur sådana åtgärder ska genomföras för att uppnå den nödvändiga skyddsnivån.
Personuppgiftsbiträdet ska inte vara skyldigt att vidta skyddsåtgärder som inte uttryckligen anges i detta biträdesavtal eller i bilagorna till detta.
Parterna kan komma överens om utökade eller ytterligare skyddsåtgärder och om inget annat skriftligen överenskommits ska förädlaren ha rätt till separat ersättning för varje sådan åtgärd i enlighet med förädlarens då gällande prislista.
Om inga sådana skyddsåtgärder anges av den personuppgiftsansvarige, i tillägg 2.1 eller på annat sätt, ska personuppgiftsbiträdet på den personuppgiftsansvariges bekostnad genomföra sådana skyddsåtgärder som är vanliga i branschen under jämförbara omständigheter.
7. Information
För att kontrollera genomförandet av behandlingen av personuppgifter ska den personuppgiftsansvarige ha rätt att begära dokumentation om personuppgiftsbiträdets affärsverksamhet och system, i den mån de avser behandling av personuppgifter för den personuppgiftsansvariges räkning.
8. Uppföljning
Om parterna kommer överens om nya skyddsåtgärder för behandlingen av personuppgifter ska den personuppgiftsansvarige ha rätt att begära dokumentation om åtgärder som vidtagits av personuppgiftsbiträdet i syfte att åstadkomma det överenskomna genomförandet.
9. Utlämnande av uppgifter
Personuppgiftsbiträdet ska inte ha rätt att lämna ut personuppgifter till tredje part utan den registeransvariges skriftliga förhandsgodkännande, såvida inte ett sådant utlämnande krävs enligt lag.
Om en myndighet beordrar personuppgiftsbiträdet att lämna ut uppgifter eller vidta andra åtgärder till följd av behandling av personuppgifter för den personuppgiftsansvariges räkning ska personuppgiftsbiträdet ha rätt till rimlig ersättning för sådant arbete.
Personuppgiftsbiträdet ska också ha rätt till skälig ersättning för varje annat utlämnande av personuppgifter, på begäran av den personuppgiftsansvarige eller enligt lag eller detta avtal, till någon annan part än den personuppgiftsansvarige, och för de åtgärder som är förknippade med sådant utlämnande.
10. Överföring till tredjeländer
Personuppgiftsbiträdet får endast överföra personuppgifter till ett land som inte är medlem i Europeiska unionen eller medlem i Europeiska ekonomiska samarbetsområdet med den personuppgiftsansvariges föregående skriftliga samtycke.
Om ett separat avtal för att upprätthålla en adekvat skyddsnivå är ett rättsligt krav för överföring av personuppgifter till ett tredjeland, ska den personuppgiftsansvarige inte ha rätt att vägra samtycke till en sådan överföring om personuppgiftsbiträdet kan visa att det finns ett sådant avtal.
Närmare uppgifter om Personuppgiftsbiträdets rutiner för lagring och behandling av personuppgifter finns i bilaga 2:1 och 2.2.
11. Underleverantörer
Personuppgiftsbiträdet kommer att använda de underleverantörer som anges i bilaga 2:2 för de ändamål som anges där.
Bearbetningsföretaget får efter eget gottfinnande ersätta eller utse ytterligare underleverantörer, förutsatt att de förbinder sig att följa detta bearbetningsavtal.
Personuppgiftsbiträdet är i förhållande till den personuppgiftsansvarige ansvarigt för underleverantörers handlingar och försummelser på samma sätt som för sina egna handlingar och försummelser.
12. Ersättning
Enligt vad som anges ovan och nedan har personuppgiftsbiträdet rätt till ersättning för behandling av personuppgifter och därmed sammanhängande åtgärder, i den mån sådan behandling och därmed sammanhängande åtgärder inte uttryckligen överenskommits i detta personuppgiftsbiträdesavtal och bilagorna till detta.
13. Kontaktpersoner etc.
Varje part ska utse en kontaktperson med huvudansvar för kommunikationen mellan parterna om detta bearbetningsavtal. Parterna ska underrätta varandra om den utsedda kontaktpersonen och kontaktuppgifter, och varje part ska utan onödigt dröjsmål underrätta den andra parten om kontaktpersonen byts ut. För kostnadsfria licenser är den person som ansöker om den kostnadsfria licensen kontaktperson.
14. Säkerställande av de registrerade personernas rättigheter
Personuppgiftsbiträdet ska på begäran, utan dröjsmål och i enlighet med instruktioner från den personuppgiftsansvarige korrigera, extrahera eller radera personuppgifter som omfattas av detta biträdesavtal.
Personuppgiftsbiträdet ska dessutom bistå den personuppgiftsansvarige när det gäller att säkerställa registermedlemmarnas rättigheter i enlighet med kapitel III i dataskyddsförordningen.
Personuppgiftsbiträdet ska ha rätt till rimlig ersättning för sådana åtgärder.
Om den personuppgiftsansvarige gör en skriftlig begäran om radering av personuppgifter ska personuppgiftsbiträdet radera personuppgifterna i fråga senast inom 90 dagar från begäran.
15. Uppsägning
Vid uppsägning av detta bearbetningsavtal ska personuppgifter som tillhör den personuppgiftsansvarige återlämnas eller raderas utan oskäligt dröjsmål.
Den Personuppgiftsansvarige ska senast tre månader innan detta Personuppgiftsbiträdesavtal löper ut meddela Personuppgiftsbiträdet hur de personuppgifter som tillhör den Personuppgiftsansvarige ska hanteras och eventuella behov av hjälp från Personuppgiftsbiträdet i samband med överföring av personuppgifter. Om ett sådant meddelande uteblir ska personuppgiftsbiträdet radera personuppgifterna i samband med att detta biträdesavtal löper ut.
Personuppgiftsbiträdet ska i rimlig utsträckning och under förutsättning att resurser finns tillgängliga bistå vid överföringen av personuppgifter. Personuppgiftsbiträdet är berättigat till ersättning för sådant bistånd i enlighet med sin då gällande prislista för sådana tjänster.
16. Begränsning av ansvar
Personuppgiftsbiträdets ansvar enligt detta avtal om personuppgiftsbiträde ska begränsas till direkta förluster till följd av behandling av personuppgifter som klart strider mot den personuppgiftsansvariges skriftliga instruktioner eller tillämplig lagstiftning. Krav från tredje part eller offentliga myndigheter ska vid tillämpningen av detta direktiv anses vara direkta förluster. Personuppgiftsbiträdets ansvar ska dock under inga omständigheter omfatta indirekta förluster, t.ex. förlorade intäkter.
17. Tvister
Alla tvister som uppstår på grund av eller i samband med detta processoravtal ska lösas på det sätt som överenskommits i huvudavtalet.
18. Ändringar av avtalet
För att vara bindande måste alla tillägg eller ändringar av detta bearbetningsavtal vara skriftliga och vederbörligen undertecknade av båda parter.
____________________
Bilaga 2:1
Den personuppgiftsansvariges instruktioner och nödvändiga skyddsåtgärder
Syfte
|
Syftet med tjänsten Dugga Learning Assessment är att göra det möjligt att genomföra digitala kunskapsbedömningar, främst i en utbildningssituation. Databehandlingen i plattformen sker för att göra det möjligt att logga in och använda plattformen på de olika sätt som följer av den/de roll/er och funktion/er som en användare har. Kunden kommer att kunna identifiera dem som administrerar, skapar och genomför prov och uppgifter samt resultaten från dessa kunskapsbedömningsaktiviteter. Personuppgifter används också för support, tekniskt underhåll och säkerhetskopiering. Uppgifterna lagras inom EU/EES. |
De uppgifter som behandlas består av följande typer av personuppgifter.
|
Personuppgifter i plattformen kan bestå av:
|
Behandlingen av uppgifter kommer att omfatta följande kategorier/roller
|
|
Särskilda regler för databehandling och avlägsnande av personuppgifter som utförs av personuppgiftsbiträdet.
|
|
Tekniska åtgärder för att skydda personuppgifter. |
Dugga har godkänts i flera revisioner av datasäkerheten som utförts av kunder, forskare, partners och oberoende organisationer. Tekniska revisioner om datasäkerhet genomförs årligen och i enlighet med bestämmelserna om datasäkerhet. |
Loggning av behandling av personuppgifter och åtkomst till dem. |
Loggning av data omfattar:
|
Överföring av personuppgifter till tredjeländer. |
Överföring av personuppgifter sker inte utöver vad som anges i avsnittet "Syfte". |
Andra instruktioner som rör den behandling av personuppgifter som utförs av personuppgiftsbiträdet. |
1. Att skapa fjärråtkomst till styrsystemet för att undersöka och lösa tekniska problem och; 2. Publicera statistik om den databehandling som utförs i plattformen. Utöver detta bearbetningsavtal har bearbetningsföretaget rätt att tillhandahålla uppgifter till den personuppgiftsansvarige endast i xml-format om kundavtalet löper ut.
|
Bilaga 2:2
Lagring och behandling av personuppgifter
Följande underleverantörer används av bearbetningsföretaget från och med datumet för bearbetningsavtalet för de ändamål som anges nedan. Underleverantörerna är baserade i de länder som anges nedan.
Skapa fjärråtkomst till controllerns system för att analysera och lösa tekniska problem:
Eventful AB (Sverige)
FastDev AB (Sverige)
Lagring och behandling av personuppgifter:
Microsoft Azure (Nederländerna)
Microsoft Azure (Irland)
Microsoft Azure (Sverige)
Länkar
Logga in
Dugga Plugga
Nyheter
Hur hanterar vi din data
Support
Dugga API