ข้อตกลงตัวประมวลผลข้อมูลส่วนบุคคล

1. พรีมเบิล

ข้อตกลงผู้ประมวลผลข้อมูลส่วนบุคคลนี้ ("ข้อตกลงผู้ประมวลผล") จัดทําขึ้นโดยลูกค้า (ต่อไปนี้จะเรียกว่า "ผู้ควบคุม") และดักกา (ต่อไปนี้จะเรียกว่า "ผู้ประมวลผล")

วัตถุประสงค์ของข้อตกลงผู้ประมวลผลนี้คือเพื่อให้แน่ใจว่าการประมวลผลข้อมูลส่วนบุคคลของผู้ประมวลผลในนามของผู้ควบคุมเกิดขึ้นตามข้อบังคับการคุ้มครองข้อมูลทั่วไป (2016/679) ("GDPR") คําแนะนําของผู้ควบคุมและข้อตกลงผู้ประมวลผลนี้

ข้อตกลงผู้ประมวลผลนี้เป็นภาคผนวกของใบอนุญาตฟรีหรือข้อตกลงหลักใด ๆ ที่ทําโดยลูกค้าและดักกา ("ข้อตกลงหลัก") ในกรณีที่มีบทบัญญัติที่ขัดแย้งกันข้อตกลงหลักจะมีความสําคัญเหนือข้อตกลงผู้ประมวลผลนี้

 

2. วัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล

วัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคลและบริการที่จัดทําโดย Dugga คือเพื่อให้ลูกค้าสามารถจัดการและดําเนินการประเมินความรู้ทางดิจิทัลได้ ข้อมูลส่วนบุคคลจะใช้ในระบบเพื่อวัตถุประสงค์ในการใช้และเข้าสู่ระบบขึ้นอยู่กับบทบาทและหน้าที่ของผู้ใช้ ลูกค้าจะต้องสามารถระบุบุคคลที่มอบหมายหรือสร้างการทดสอบผู้ที่ทําการทดสอบและคําตอบและผลลัพธ์ของพวกเขา ข้อมูลส่วนบุคคลยังใช้เพื่อสนับสนุนการบํารุงรักษาทางเทคนิคและการสํารองข้อมูล

ผู้ประมวลผลไม่มีสิทธิประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นใดนอกเหนือจากที่กําหนดไว้ในข้อตกลงผู้ประมวลผลนี้ เว้นแต่จะได้รับความยินยอมเป็นลายลักษณ์อักษรล่วงหน้าในแต่ละกรณี

 

3. ความรับผิดชอบของผู้ประมวลผล

ผู้ประมวลผลจะต้องรับผิดชอบในการปฏิบัติตามมาตรการดังกล่าวเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลตามที่ร้องขอเป็นลายลักษณ์อักษรโดยผู้ควบคุมในภาคผนวก 2: 1 หรืออื่น ๆ และสําหรับการดําเนินการประมวลผลดังกล่าวตามที่จําเป็นในการเชื่อมต่อกับการให้บริการแก่ผู้ควบคุมหรือจําเป็นภายใต้กฎหมายที่บังคับใช้

หลังจากได้รับคําแนะนําเป็นลายลักษณ์อักษรผู้ประมวลผลจะต้องดําเนินการที่เหมาะสมเพื่อให้แน่ใจว่าการประมวลผลข้อมูลส่วนบุคคลได้รับการดัดแปลงตามคําแนะนําดังกล่าวโดยไม่ล่าช้า

ผู้ประมวลผลจะไม่รับผิดชอบต่อการขาดความชัดเจนในคําสั่งดังกล่าวจากผู้ควบคุมและไม่จําเป็นต้องดําเนินการใด ๆ นอกเหนือจากที่ผู้ควบคุมร้องขออย่างชัดแจ้ง

ผู้ประมวลผลมีสิทธิ์ได้รับค่าชดเชยตามรายการราคาเป็นครั้งคราวที่ผู้ประมวลผลใช้สําหรับการกระทําใด ๆ เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลซึ่งผู้ควบคุมไม่ได้ระบุไว้อย่างชัดแจ้งเมื่อข้อตกลงผู้ประมวลผลนี้มีผลบังคับใช้

 

4. การดําเนินการของผู้ควบคุม

ผู้ควบคุมดําเนินการเพื่ออํานวยความสะดวกในการประมวลผลข้อมูลส่วนบุคคลภายในขอบเขตของข้อตกลงผู้ประมวลผลนี้โดยให้ข้อมูลที่จําเป็นแก่ผู้ประมวลผลโดยไม่ชักช้าและโดยการแจ้งให้ผู้ประมวลผลทราบล่วงหน้าถึงมาตรการบริหารใด ๆ

 

5. การรับรอง

ผู้ประมวลผลรับรองว่ากิจกรรมทางธุรกิจของตนเองมีการจัดการในลักษณะที่ช่วยให้มั่นใจในการปฏิบัติตามข้อกําหนดของ GDPR ตามบรรทัดฐานที่มีอยู่ในอุตสาหกรรมและในลักษณะที่อนุญาตให้ดําเนินการตามมาตรการที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลตามข้อตกลงผู้ประมวลผลนี้

 

6.มาตรการป้องกัน

ในส่วนที่เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลทั้งหมดในนามของผู้ควบคุมผู้ประมวลผลจะใช้มาตรการป้องกันทางเทคนิคและองค์กรที่กําหนดโดยผู้ควบคุมในภาคผนวก 2:1

ผู้ประมวลผลจะกําหนดวิธีการใช้มาตรการดังกล่าวเพื่อให้บรรลุระดับการป้องกันที่จําเป็น

ผู้ประมวลผลจะต้องไม่จําเป็นต้องใช้มาตรการป้องกันซึ่งไม่ได้ระบุไว้อย่างชัดแจ้งในข้อตกลงผู้ประมวลผลนี้หรือภาคผนวกในที่นี้

คู่สัญญาอาจตกลงกันในมาตรการป้องกันที่เพิ่มขึ้นหรือเพิ่มเติมและเว้นแต่จะตกลงกันเป็นลายลักษณ์อักษรผู้ประมวลผลจะมีสิทธิ์แยกค่าชดเชยสําหรับมาตรการดังกล่าวตามรายการราคาปัจจุบันของผู้ประมวลผล

หากไม่มีการระบุมาตรการป้องกันดังกล่าวโดยผู้ควบคุมในภาคผนวก 2.1 หรือมิฉะนั้นผู้ประมวลผลจะเสียค่าใช้จ่ายของผู้ควบคุมใช้มาตรการป้องกันดังกล่าวตามธรรมเนียมในอุตสาหกรรมภายใต้สถานการณ์ที่เทียบเคียงได้

 

7. ข้อมูล

ในการตรวจสอบการดําเนินการประมวลผลข้อมูลส่วนบุคคลผู้ควบคุมมีสิทธิที่จะขอเอกสารเกี่ยวกับกิจกรรมทางธุรกิจและระบบของผู้ประมวลผลในขอบเขตที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลในนามของผู้ควบคุม

 

8. การติดตามผล

ในกรณีที่คู่สัญญาตกลงตามมาตรการป้องกันใหม่สําหรับการประมวลผลข้อมูลส่วนบุคคลผู้ควบคุมมีสิทธิ์ร้องขอเอกสารเกี่ยวกับมาตรการที่ดําเนินการโดยผู้ประมวลผลเพื่อวัตถุประสงค์ในการนํามาซึ่งการดําเนินการที่ตกลงกันไว้

 

9. การเปิดเผยข้อมูล

ผู้ประมวลผลจะไม่มีสิทธิเปิดเผยข้อมูลส่วนบุคคลใด ๆ แก่บุคคลที่สามโดยไม่ได้รับอนุมัติเป็นลายลักษณ์อักษรจากผู้ควบคุมก่อนเว้นแต่กฎหมายจะกําหนดให้มีการเปิดเผยข้อมูลดังกล่าว

ในกรณีที่หน่วยงานของรัฐสั่งให้ผู้ประมวลผลเปิดเผยข้อมูลหรือใช้มาตรการอื่นอันเป็นผลมาจากการประมวลผลข้อมูลส่วนบุคคลในนามของผู้ควบคุมผู้ประมวลผลจะได้รับค่าชดเชยที่เหมาะสมสําหรับงานดังกล่าว

ผู้ประมวลผลมีสิทธิได้รับค่าชดเชยที่สมเหตุสมผลสําหรับการเปิดเผยข้อมูลส่วนบุคคลอื่น ๆ ตามคําร้องขอของผู้ควบคุมหรือตามที่กฎหมายหรือข้อตกลงนี้กําหนดแก่บุคคลอื่นที่ไม่ใช่ผู้ควบคุมและมาตรการที่เกี่ยวข้องกับการเปิดเผยดังกล่าว

 

10. โอนไปยังประเทศที่สาม

ผู้ประมวลผลสามารถถ่ายโอนข้อมูลส่วนบุคคลไปยังประเทศที่ไม่ได้เป็นสมาชิกของสหภาพยุโรปหรือสมาชิกของเขตเศรษฐกิจยุโรปโดยได้รับความยินยอมเป็นลายลักษณ์อักษรจากผู้ควบคุมล่วงหน้า

ในกรณีที่การดําเนินการตามข้อตกลงแยกต่างหากเพื่อวัตถุประสงค์ในการรักษาระดับการป้องกันที่เพียงพอเป็นข้อกําหนดทางกฎหมายสําหรับการถ่ายโอนข้อมูลส่วนบุคคลไปยังประเทศที่สามผู้ควบคุมจะไม่มีสิทธิ์ที่จะระงับความยินยอมในการถ่ายโอนดังกล่าวหากผู้ประมวลผลสามารถแสดงให้เห็นว่าข้อตกลงดังกล่าวมีอยู่

รายละเอียดเกี่ยวกับกิจวัตรประจําวันของผู้ประมวลผลสําหรับการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลมีกําหนดไว้ในภาคผนวก 2:1 และ 2.2

 

11. การรับเหมารายย่อย

ตัวประมวลผลจะใช้ผู้รับเหมารายย่อยที่ระบุไว้ในภาคผนวก 2:2 เพื่อวัตถุประสงค์ที่กําหนดไว้ในนั้น

ผู้ประมวลผลอาจใช้ดุลยพินิจแทนที่หรือแต่งตั้งผู้รับเหมารายย่อยเพิ่มเติมโดยมีเงื่อนไขว่าพวกเขาปฏิบัติตามข้อตกลงผู้ประมวลผลนี้

หน่วยประมวลผลเกี่ยวข้องกับผู้ควบคุมความรับผิดชอบต่อการกระทําและการละเว้นของผู้รับเหมาช่วงสําหรับการกระทําและการละเว้นของตัวเอง

 

12. ค่าตอบแทน

ตามที่กําหนดไว้ข้างต้นและด้านล่างผู้ประมวลผลมีสิทธิ์ได้รับค่าตอบแทนสําหรับการประมวลผลข้อมูลส่วนบุคคลและมาตรการที่เกี่ยวข้องในขอบเขตที่การประมวลผลและมาตรการที่เกี่ยวข้องดังกล่าวไม่ได้ตกลงกันอย่างชัดแจ้งในข้อตกลงผู้ประมวลผลนี้และภาคผนวกในที่นี้

 

13. ผู้ติดต่อ ฯลฯ

แต่ละฝ่ายจะกําหนดผู้ติดต่อที่มีความรับผิดชอบหลักในการสื่อสารระหว่างคู่สัญญาเกี่ยวกับข้อตกลงผู้ประมวลผลนี้ คู่สัญญาจะต้องแจ้งให้แต่ละฝ่ายทราบถึงผู้ติดต่อและรายละเอียดการติดต่อที่กําหนดและแต่ละฝ่ายจะต้องไม่ล่าช้าแจ้งให้อีกฝ่ายทราบหากผู้ติดต่อถูกแทนที่ สําหรับใบอนุญาตฟรีผู้ที่สมัครรับใบอนุญาตฟรีคือผู้ติดต่อ

 

14. สร้างความมั่นใจในสิทธิของผู้ลงทะเบียน

ผู้ประมวลผลจะต้อง, ตามคําขอ, โดยไม่ชักช้า, และตามคําแนะนําจากผู้ควบคุม, แก้ไข, แยกหรือลบข้อมูลส่วนบุคคลที่ครอบคลุมโดยข้อตกลงผู้ประมวลผลนี้.

ผู้ประมวลผลจะต้องให้ความช่วยเหลือแก่ผู้ควบคุมในการรับรองสิทธิของผู้ที่ลงทะเบียนตามบทที่ 3 ของ GDPR

ผู้ประมวลผลมีสิทธิได้รับค่าตอบแทนที่สมเหตุสมผลสําหรับมาตรการดังกล่าว

ในกรณีที่ผู้ควบคุมทําการร้องขอเป็นลายลักษณ์อักษรสําหรับการลบข้อมูลส่วนบุคคลผู้ประมวลผลจะต้องลบข้อมูลส่วนบุคคลที่เป็นปัญหาไม่เกินภายใน 90 วันนับจากวันที่คําขอ

 

15. การเลิกจ้าง

เมื่อสิ้นสุดข้อตกลงผู้ประมวลผลนี้ข้อมูลส่วนบุคคลที่เป็นของผู้ควบคุมจะถูกส่งคืนหรือลบโดยไม่ล่าช้าอย่างไม่มีเหตุผล

ผู้ควบคุมต้องไม่เกิน 3 เดือนก่อนหมดอายุของข้อตกลงผู้ประมวลผลนี้แจ้งให้ผู้ประมวลผลทราบถึงวิธีการจัดการข้อมูลส่วนบุคคลที่เป็นของผู้ควบคุมและความต้องการความช่วยเหลือใด ๆ จากผู้ประมวลผลที่เกี่ยวข้องกับการถ่ายโอนข้อมูลส่วนบุคคล ผู้ประมวลผลจะลบข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการหมดอายุของข้อตกลงผู้ประมวลผลนี้

ผู้ประมวลผลจะต้องอยู่ในขอบเขตที่เหมาะสมและให้ความพร้อมของทรัพยากรช่วยในการถ่ายโอนข้อมูลส่วนบุคคล ผู้ประมวลผลจะเข้าร่วมการชดเชยความช่วยเหลือดังกล่าวตามรายการราคาที่ใช้บังคับสําหรับบริการดังกล่าว

 

16. การจํากัดความรับผิด

ความรับผิดของผู้ประมวลผลภายใต้ข้อตกลงผู้ประมวลผลนี้จะถูก จํากัด เฉพาะความสูญเสียโดยตรงที่เกิดจากการประมวลผลข้อมูลส่วนบุคคลซึ่งขัดแย้งอย่างชัดเจนกับคําแนะนําที่เป็นลายลักษณ์อักษรจากผู้ควบคุมหรือกฎหมายที่เกี่ยวข้อง การเรียกร้องจากบุคคลที่สามหรือหน่วยงานของรัฐจะถือว่ามีวัตถุประสงค์เพื่อความสูญเสียโดยตรง อย่างไรก็ตามความรับผิดของผู้ประมวลผลจะไม่รวมถึงการสูญเสียทางอ้อมเช่นการสูญเสียรายได้

 

17. ข้อพิพาท

ข้อพิพาทใด ๆ ที่เกิดขึ้นจากหรือเกี่ยวข้องกับข้อตกลงผู้ประมวลผลนี้จะได้รับการแก้ไขตามที่ตกลงไว้ในข้อตกลงหลัก

 

18. การแก้ไขข้อตกลง

การแก้ไขหรือแก้ไขข้อตกลงผู้ประมวลผลนี้จะต้องเป็นลายลักษณ์อักษรและลงนามอย่างถูกต้องโดยทั้งสองฝ่าย

 

____________________

ภาคผนวก 2:1
คําแนะนําของผู้ควบคุมและมาตรการป้องกันที่จําเป็น
วัตถุประสงค์

 

วัตถุประสงค์ของบริการประเมินการเรียนรู้ของดักกาคือการทําให้สามารถดําเนินการประเมินความรู้ดิจิทัลได้ซึ่งส่วนใหญ่อยู่ในสภาพแวดล้อมทางการศึกษา การประมวลผลข้อมูลในแพลตฟอร์มจะทําเพื่อให้สามารถเข้าสู่ระบบและใช้แพลตฟอร์มในรูปแบบต่างๆที่ตามมาจากบทบาท / s และฟังก์ชั่น / s ที่ผู้ใช้มี ลูกค้าจะสามารถระบุผู้ที่ดูแลสร้างและทําการสอบและงานที่ได้รับมอบหมายรวมถึงผลลัพธ์จากกิจกรรมการประเมินความรู้เหล่านั้น

ข้อมูลส่วนบุคคลยังใช้เพื่อวัตถุประสงค์ในการสนับสนุนการบํารุงรักษาทางเทคนิคและการสํารองข้อมูลความปลอดภัย

ข้อมูลจะถูกจัดเก็บภายใน EU/EES

ข้อมูลที่ประมวลผลประกอบด้วยข้อมูลส่วนบุคคลประเภทต่อไปนี้

 

ข้อมูลส่วนบุคคลในแพลตฟอร์มอาจประกอบด้วย:

  • ชื่อผู้ใช้, ชื่อ, นามสกุล, สังกัดกลุ่ม (คลาส/คลาส/กลุ่ม), รูปภาพ, หมายเลขโทรศัพท์มือถือ
  • การทดสอบผลการเรียนของนักเรียนและบางครั้งก็ให้คะแนนและข้อเสนอแนะจากครู
  • ที่อยู่อีเมลของผู้ใช้ (เมื่อใช้บัญชีผู้ใช้)
  • ดักก้าไม่ต้องการหมายเลขส่วนตัวหรือหมายเลขประกันสังคม แต่ลูกค้ามีความเป็นไปได้ที่จะเพิ่มข้อมูลดังกล่าว
  • การประมวลผลข้อมูลส่วนบุคคลบางประเภทตามข้อ 9.1 i งานเฟรมการประมวลผลข้อมูลอาจเกิดขึ้นขึ้นอยู่กับข้อมูลที่ผู้ใช้แต่ละรายอาจเพิ่ม

 

การประมวลผลข้อมูลจะครอบคลุมประเภท/บทบาทต่อไปนี้

 

  • ครู
  • ผู้ดูแลระบบ
  • นัก เรียน
  • พร็อกเตอร์/ผู้เติมพลัง
  • ผู้บริหารการศึกษา
กฎเฉพาะสําหรับการประมวลผลข้อมูลและการลบข้อมูลส่วนบุคคลที่ดําเนินการโดยผู้ประมวลผล

 

  • ข้อมูลส่วนบุคคลจะถูกลบหลังจากจํานวนปีที่ผู้ควบคุมระบุเป็นลายลักษณ์อักษรถึง Dugga คําขอดังกล่าวในการลบข้อมูลจะถูกส่งไปยัง Dugga ไม่เกิน 90 วันก่อนการลบ ตัวควบคุมมีความเป็นไปได้ที่จะลบข้อมูลได้ตลอดเวลาในแพลตฟอร์ม
  • สําเนาสํารองจะไม่ถูกเก็บไว้นานเกิน 2 ปี
มาตรการทางเทคนิคเพื่อปกป้องข้อมูลส่วนบุคคล
Dugga ได้รับการอนุมัติในการแก้ไขหลายอย่างเกี่ยวกับความปลอดภัยของข้อมูลที่ดําเนินการโดยลูกค้านักวิจัยคู่ค้าและองค์กรอิสระ การแก้ไขทางเทคนิคเกี่ยวกับความปลอดภัยของข้อมูลจะดําเนินการเป็นประจําทุกปีและเป็นไปตามกฎระเบียบเกี่ยวกับความปลอดภัยของข้อมูล
การบันทึกการประมวลผลและการเข้าถึงข้อมูลส่วนบุคคล

การบันทึกข้อมูลประกอบด้วย:

  • ผู้ใช้ที่ทําการประเมินให้ผลลัพธ์และคะแนนสําหรับนักเรียนแต่ละคนและกลุ่มนักเรียน
  • การเข้าถึงข้อมูลดังกล่าวมีให้สําหรับครูผู้ดูแลระบบและผู้ดูแลระบบการศึกษา
การถ่ายโอนข้อมูลส่วนบุคคลไปยังประเทศที่สาม
การถ่ายโอนข้อมูลส่วนบุคคลจะไม่เกิดขึ้นนอกเหนือจากที่ระบุไว้ในหัวข้อ "วัตถุประสงค์"
คําแนะนําอื่น ๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลที่ดําเนินการโดยผู้ประมวลผล

1. ตั้งค่าการเข้าถึงระยะไกลไปยังระบบควบคุมเพื่อตรวจสอบและแก้ไขปัญหาทางเทคนิคและ;

2. เผยแพร่สถิติเกี่ยวกับการประมวลผลข้อมูลที่ดําเนินการในแพลตฟอร์ม

นอกเหนือจากข้อตกลงตัวประมวลผลนี้แล้ว ตัวประมวลผลยังมีสิทธิ์ที่จะให้ข้อมูลแก่ผู้ควบคุมในรูปแบบ xml เท่านั้น


หน่วยประมวลผลมีสิทธิ์ที่จะในระหว่างและหลังจากหมดอายุของข้อตกลงเก็บใช้วิเคราะห์ข้อมูลเมตา / ยกเลิกการระบุข้อมูลเพื่อวัตถุประสงค์ในการสํารวจทางวิทยาศาสตร์และการพัฒนา ข้อมูลดังกล่าวทั้งหมดจะถูกเปลี่ยนเป็นโหมดที่ไม่สามารถระบุตัวตนได้ ดังนั้นจึงไม่มีบุคคลทางกายภาพที่สามารถตรวจสอบย้อนกลับหรือระบุได้ในข้อมูลที่เก็บไว้เพื่อวัตถุประสงค์ที่กล่าวถึง

 

 

ภาคผนวก 2:2

 

การจัดเก็บและประมวลผลข้อมูลส่วนบุคคล

ผู้รับเหมารายย่อยต่อไปนี้ณ วันที่ของข้อตกลงตัวประมวลผลที่ใช้โดยผู้ประมวลผลเพื่อวัตถุประสงค์ที่กําหนดไว้ด้านล่าง ผู้รับเหมารายย่อยอยู่ในประเทศที่ระบุไว้ด้านล่าง

สร้างการเข้าถึงระบบของผู้ควบคุมจากระยะไกลสําหรับการวิเคราะห์และแก้ไขปัญหาทางเทคนิค:

AB (สวีเดน)
FastDev AB (สวีเดน)

 

การจัดเก็บและประมวลผลข้อมูลส่วนบุคคล:

Microsoft Azure (the Netherlands)
Microsoft Azure (Ireland)
Microsoft Azure (Sweden)

 

Kontakta oss

ทอร์สกาตัน 39, 113 62 สตอกโฮล์ม

Länkar

Logga in

ดักกา พลักกา

ไนเฮเตอร์

Hur hanterar vi din data

สนับสนุน

ดักกา API