Avtal om personuppgiftsbiträde

1. Inledning

Detta personuppgiftsbiträdesavtal ("Biträdesavtalet") ingås mellan kunden (nedan även kallad "Personuppgiftsansvarig") och Dugga (nedan även kallad "Biträdesbiträde"),

Syftet med detta bearbetningsavtal är att säkerställa att bearbetningsföretagets behandling av personuppgifter för den personuppgiftsansvariges räkning sker i enlighet med den allmänna dataskyddsförordningen (2016/679) ("GDPR"), den personuppgiftsansvariges instruktioner och detta bearbetningsavtal.

Detta processoravtal är en bilaga till en fri licens eller ett huvudavtal som ingåtts av kunden och Dugga ("huvudavtalet"). I händelse av motstridiga bestämmelser ska huvudavtalet ha företräde framför detta processoravtal.

 

2. Syftet med behandlingen av personuppgifter

Syftet med behandlingen av personuppgifter och den tjänst som Dugga tillhandahåller är att göra det möjligt för kunden att hantera och utföra digital kunskapsbedömning. Personuppgifter används i systemet för användnings- och inloggningssyften, beroende på användarens roll och funktion. Kunden ska t.ex. kunna identifiera den person som tilldelar eller skapar tester, de som gör testerna samt deras svar och resultat. Personuppgifter används också för support, tekniskt underhåll och säkerhetskopiering.

Personuppgiftsbiträdet har inte rätt att behandla personuppgifterna för andra ändamål än de som anges i detta bearbetningsavtal, såvida inte skriftligt samtycke i förväg erhålls i varje enskilt fall.

 

3. Processorns ansvar

Personuppgiftsbiträdet ska vara ansvarigt för att vidta sådana åtgärder avseende behandlingen av personuppgifter som den personuppgiftsansvarige skriftligen begär, i bilaga 2:1 eller på annat sätt, och för att utföra sådan behandling som krävs i samband med tillhandahållandet av tjänster till den personuppgiftsansvarige eller som krävs enligt tillämplig lagstiftning.

Efter att ha mottagit skriftliga instruktioner ska personuppgiftsbiträdet utan onödigt dröjsmål vidta lämpliga åtgärder för att se till att behandlingen av personuppgifter anpassas i enlighet med dessa instruktioner.

Personuppgiftsbiträdet ska inte vara ansvarigt för bristande tydlighet i sådana instruktioner från den personuppgiftsansvarige och ska inte vara skyldigt att vidta andra åtgärder än de som uttryckligen begärts av den personuppgiftsansvarige.

Personuppgiftsbiträdet ska ha rätt till ersättning, i enlighet med den prislista som vid varje tidpunkt tillämpas av personuppgiftsbiträdet, för varje åtgärd avseende behandling av personuppgifter som inte uttryckligen specificerats av den personuppgiftsansvarige när detta biträdesavtal träder i kraft.

 

4. Den personuppgiftsansvariges åtaganden

Den personuppgiftsansvarige åtar sig att i möjligaste mån underlätta behandlingen av personuppgifter inom ramen för detta bearbetningsavtal, bland annat genom att utan dröjsmål förse bearbetningsföretaget med nödvändig information och genom att i god tid meddela bearbetningsföretaget om eventuella administrativa åtgärder.

 

5. Certifiering

Personuppgiftsbiträdet intygar att den egna affärsverksamheten i alla avseenden sköts på ett sätt som säkerställer överensstämmelse med kraven i GDPR, i enlighet med rådande normer i branschen och på ett sätt som gör det möjligt att genomföra åtgärder med avseende på behandling av personuppgifter i enlighet med detta personuppgiftsbiträdesavtal.

 

6. Skyddsåtgärder

När det gäller all behandling av personuppgifter för den personuppgiftsansvariges räkning ska personuppgiftsbiträdet vidta de tekniska och organisatoriska skyddsåtgärder som anges av den personuppgiftsansvarige i bilaga 2:1.

Personuppgiftsbiträdet ska fastställa hur sådana åtgärder ska genomföras för att uppnå den nödvändiga skyddsnivån.

Personuppgiftsbiträdet ska inte vara skyldigt att vidta skyddsåtgärder som inte uttryckligen anges i detta biträdesavtal eller i bilagorna till detta.

Parterna kan komma överens om utökade eller ytterligare skyddsåtgärder och om inget annat skriftligen överenskommits ska förädlaren ha rätt till separat ersättning för varje sådan åtgärd i enlighet med förädlarens då gällande prislista.

Om inga sådana skyddsåtgärder anges av den personuppgiftsansvarige, i tillägg 2.1 eller på annat sätt, ska personuppgiftsbiträdet på den personuppgiftsansvariges bekostnad genomföra sådana skyddsåtgärder som är vanliga i branschen under jämförbara omständigheter.

 

7. Information

För att kontrollera genomförandet av behandlingen av personuppgifter ska den personuppgiftsansvarige ha rätt att begära dokumentation om personuppgiftsbiträdets affärsverksamhet och system, i den mån de avser behandling av personuppgifter för den personuppgiftsansvariges räkning.

 

8. Uppföljning

Om parterna kommer överens om nya skyddsåtgärder för behandlingen av personuppgifter ska den personuppgiftsansvarige ha rätt att begära dokumentation om åtgärder som vidtagits av personuppgiftsbiträdet i syfte att åstadkomma det överenskomna genomförandet.

 

9. Utlämnande av uppgifter

Personuppgiftsbiträdet ska inte ha rätt att lämna ut personuppgifter till tredje part utan den registeransvariges skriftliga förhandsgodkännande, såvida inte ett sådant utlämnande krävs enligt lag.

Om en myndighet beordrar personuppgiftsbiträdet att lämna ut uppgifter eller vidta andra åtgärder till följd av behandling av personuppgifter för den personuppgiftsansvariges räkning ska personuppgiftsbiträdet ha rätt till rimlig ersättning för sådant arbete.

Personuppgiftsbiträdet ska också ha rätt till skälig ersättning för varje annat utlämnande av personuppgifter, på begäran av den personuppgiftsansvarige eller enligt lag eller detta avtal, till någon annan part än den personuppgiftsansvarige, och för de åtgärder som är förknippade med sådant utlämnande.

 

10. Överföring till tredjeländer

Personuppgiftsbiträdet får endast överföra personuppgifter till ett land som inte är medlem i Europeiska unionen eller medlem i Europeiska ekonomiska samarbetsområdet med den personuppgiftsansvariges föregående skriftliga samtycke.

Om ett separat avtal för att upprätthålla en adekvat skyddsnivå är ett rättsligt krav för överföring av personuppgifter till ett tredjeland, ska den personuppgiftsansvarige inte ha rätt att vägra samtycke till en sådan överföring om personuppgiftsbiträdet kan visa att det finns ett sådant avtal.

Närmare uppgifter om Personuppgiftsbiträdets rutiner för lagring och behandling av personuppgifter finns i bilaga 2:1 och 2.2.

 

11. Underleverantörer

Personuppgiftsbiträdet kommer att använda de underleverantörer som anges i bilaga 2:2 för de ändamål som anges där.

Bearbetningsföretaget får efter eget gottfinnande ersätta eller utse ytterligare underleverantörer, förutsatt att de förbinder sig att följa detta bearbetningsavtal.

Personuppgiftsbiträdet är i förhållande till den personuppgiftsansvarige ansvarigt för underleverantörers handlingar och försummelser på samma sätt som för sina egna handlingar och försummelser.

 

12. Ersättning

Enligt vad som anges ovan och nedan har personuppgiftsbiträdet rätt till ersättning för behandling av personuppgifter och därmed sammanhängande åtgärder, i den mån sådan behandling och därmed sammanhängande åtgärder inte uttryckligen överenskommits i detta personuppgiftsbiträdesavtal och bilagorna till detta.

 

13. Kontaktpersoner etc.

Varje part ska utse en kontaktperson med huvudansvar för kommunikationen mellan parterna om detta bearbetningsavtal. Parterna ska underrätta varandra om den utsedda kontaktpersonen och kontaktuppgifter, och varje part ska utan onödigt dröjsmål underrätta den andra parten om kontaktpersonen byts ut. För kostnadsfria licenser är den person som ansöker om den kostnadsfria licensen kontaktperson.

 

14. Säkerställande av de registrerade personernas rättigheter

Personuppgiftsbiträdet ska på begäran, utan dröjsmål och i enlighet med instruktioner från den personuppgiftsansvarige korrigera, extrahera eller radera personuppgifter som omfattas av detta biträdesavtal.

Personuppgiftsbiträdet ska dessutom bistå den personuppgiftsansvarige när det gäller att säkerställa registermedlemmarnas rättigheter i enlighet med kapitel III i dataskyddsförordningen.

Personuppgiftsbiträdet ska ha rätt till rimlig ersättning för sådana åtgärder.

Om den personuppgiftsansvarige gör en skriftlig begäran om radering av personuppgifter ska personuppgiftsbiträdet radera personuppgifterna i fråga senast inom 90 dagar från begäran.

 

15. Uppsägning

Vid uppsägning av detta bearbetningsavtal ska personuppgifter som tillhör den personuppgiftsansvarige återlämnas eller raderas utan oskäligt dröjsmål.

Den Personuppgiftsansvarige ska senast tre månader innan detta Personuppgiftsbiträdesavtal löper ut meddela Personuppgiftsbiträdet hur de personuppgifter som tillhör den Personuppgiftsansvarige ska hanteras och eventuella behov av hjälp från Personuppgiftsbiträdet i samband med överföring av personuppgifter. Om ett sådant meddelande uteblir ska personuppgiftsbiträdet radera personuppgifterna i samband med att detta biträdesavtal löper ut.

Personuppgiftsbiträdet ska i rimlig utsträckning och under förutsättning att resurser finns tillgängliga bistå vid överföringen av personuppgifter. Personuppgiftsbiträdet är berättigat till ersättning för sådant bistånd i enlighet med sin då gällande prislista för sådana tjänster.

 

16. Begränsning av ansvar

Personuppgiftsbiträdets ansvar enligt detta avtal om personuppgiftsbiträde ska begränsas till direkta förluster till följd av behandling av personuppgifter som klart strider mot den personuppgiftsansvariges skriftliga instruktioner eller tillämplig lagstiftning. Krav från tredje part eller offentliga myndigheter ska vid tillämpningen av detta direktiv anses vara direkta förluster. Personuppgiftsbiträdets ansvar ska dock under inga omständigheter omfatta indirekta förluster, t.ex. förlorade intäkter.

 

17. Tvister

Alla tvister som uppstår på grund av eller i samband med detta processoravtal ska lösas på det sätt som överenskommits i huvudavtalet.

 

18. Ändringar av avtalet

För att vara bindande måste alla tillägg eller ändringar av detta bearbetningsavtal vara skriftliga och vederbörligen undertecknade av båda parter.

 

____________________

Bilaga 2:1
Den personuppgiftsansvariges instruktioner och nödvändiga skyddsåtgärder
Syfte

 

Syftet med tjänsten Dugga Learning Assessment är att göra det möjligt att genomföra digitala kunskapsbedömningar, främst i en utbildningssituation. Databehandlingen i plattformen sker för att göra det möjligt att logga in och använda plattformen på de olika sätt som följer av den/de roll/er och funktion/er som en användare har. Kunden kommer att kunna identifiera dem som administrerar, skapar och genomför prov och uppgifter samt resultaten från dessa kunskapsbedömningsaktiviteter.

Personuppgifter används också för support, tekniskt underhåll och säkerhetskopiering.

Uppgifterna lagras inom EU/EES.

De uppgifter som behandlas består av följande typer av personuppgifter.

 

Personuppgifter i plattformen kan bestå av:

  • Användarnamn, förnamn, efternamn, grupptillhörighet (klass/klasser/grupper), bilder, mobilnummer.
  • Elevernas tester, resultat och ibland även betyg och feedback från lärarna.
  • Användarens e-postadress (om du använder konton).
  • Dugga kräver inga personnummer eller socialförsäkringsnummer, men kunden har möjlighet att lägga till sådan information.
  • Behandling av vissa typer av personuppgifter enligt artikel 9.1 i ramverket för databehandling kan ske beroende på den information som enskilda användare kan lägga till.

 

Behandlingen av uppgifter kommer att omfatta följande kategorier/roller

 

  • Lärare
  • Administratörer
  • Studenter
  • Proctors/Invigilators
  • Administratörer för studien
Särskilda regler för databehandling och avlägsnande av personuppgifter som utförs av personuppgiftsbiträdet.

 

  • Personuppgifter raderas efter det antal år som den personuppgiftsansvarige skriftligen anger till Dugga. En sådan begäran om radering av uppgifter ska lämnas in till Dugga senast 90 dagar före raderingen. Den registeransvarige har möjlighet att när som helst radera uppgifter i plattformen.
  • Säkerhetskopior lagras inte längre än två år.
Tekniska åtgärder för att skydda personuppgifter.
Dugga har godkänts i flera revisioner av datasäkerheten som utförts av kunder, forskare, partners och oberoende organisationer. Tekniska revisioner om datasäkerhet genomförs årligen och i enlighet med bestämmelserna om datasäkerhet.
Loggning av behandling av personuppgifter och åtkomst till dem.

Loggning av data omfattar:

  • Användare som har genomfört bedömningar, gett resultat och betyg för enskilda elever och grupper av elever.
  • Lärare, administratörer och studieadministratörer har tillgång till sådan information.
Överföring av personuppgifter till tredjeländer.
Överföring av personuppgifter sker inte utöver vad som anges i avsnittet "Syfte".
Andra instruktioner som rör den behandling av personuppgifter som utförs av personuppgiftsbiträdet.

1. Att skapa fjärråtkomst till styrsystemet för att undersöka och lösa tekniska problem och;

2. Publicera statistik om den databehandling som utförs i plattformen.

Utöver detta bearbetningsavtal har bearbetningsföretaget rätt att tillhandahålla uppgifter till den personuppgiftsansvarige endast i xml-format om kundavtalet löper ut.


Personuppgiftsbiträdet har rätt att under och efter avtalets upphörande behålla, använda och analysera metadata/avidentifierade uppgifter för vetenskaplig forskning och utveckling. Alla sådana uppgifter ska omvandlas så att ingen fysisk person kan identifieras. Ingen fysisk person kan således spåras eller identifieras i uppgifter som lagras för ovannämnda ändamål.

 

 

Bilaga 2:2

 

Lagring och behandling av personuppgifter

Följande underleverantörer används av bearbetningsföretaget från och med datumet för bearbetningsavtalet för de ändamål som anges nedan. Underleverantörerna är baserade i de länder som anges nedan.

Skapa fjärråtkomst till controllerns system för att analysera och lösa tekniska problem:

Eventful AB (Sverige)
FastDev AB (Sverige)

 

Lagring och behandling av personuppgifter:

Microsoft Azure (Nederländerna)
Microsoft Azure (Irland)
Microsoft Azure (Sverige)

 

Kontakta oss

Torsgatan 39, 113 62 Stockholm

Länkar

Logga in

Dugga Plugga

Nyheter

Hur hanterar vi din data

Stöd

Dugga API