ข้อตกลงตัวประมวลผลข้อมูลส่วนบุคคล
1. พรีมเบิล
ข้อตกลงผู้ประมวลผลข้อมูลส่วนบุคคลนี้ ("ข้อตกลงผู้ประมวลผล") จัดทําขึ้นโดยลูกค้า (ต่อไปนี้จะเรียกว่า "ผู้ควบคุม") และดักกา (ต่อไปนี้จะเรียกว่า "ผู้ประมวลผล")
วัตถุประสงค์ของข้อตกลงผู้ประมวลผลนี้คือเพื่อให้แน่ใจว่าการประมวลผลข้อมูลส่วนบุคคลของผู้ประมวลผลในนามของผู้ควบคุมเกิดขึ้นตามข้อบังคับการคุ้มครองข้อมูลทั่วไป (2016/679) ("GDPR") คําแนะนําของผู้ควบคุมและข้อตกลงผู้ประมวลผลนี้
ข้อตกลงผู้ประมวลผลนี้เป็นภาคผนวกของใบอนุญาตฟรีหรือข้อตกลงหลักใด ๆ ที่ทําโดยลูกค้าและดักกา ("ข้อตกลงหลัก") ในกรณีที่มีบทบัญญัติที่ขัดแย้งกันข้อตกลงหลักจะมีความสําคัญเหนือข้อตกลงผู้ประมวลผลนี้
2. วัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล
วัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคลและบริการที่จัดทําโดย Dugga คือเพื่อให้ลูกค้าสามารถจัดการและดําเนินการประเมินความรู้ทางดิจิทัลได้ ข้อมูลส่วนบุคคลจะใช้ในระบบเพื่อวัตถุประสงค์ในการใช้และเข้าสู่ระบบขึ้นอยู่กับบทบาทและหน้าที่ของผู้ใช้ ลูกค้าจะต้องสามารถระบุบุคคลที่มอบหมายหรือสร้างการทดสอบผู้ที่ทําการทดสอบและคําตอบและผลลัพธ์ของพวกเขา ข้อมูลส่วนบุคคลยังใช้เพื่อสนับสนุนการบํารุงรักษาทางเทคนิคและการสํารองข้อมูล
ผู้ประมวลผลไม่มีสิทธิประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นใดนอกเหนือจากที่กําหนดไว้ในข้อตกลงผู้ประมวลผลนี้ เว้นแต่จะได้รับความยินยอมเป็นลายลักษณ์อักษรล่วงหน้าในแต่ละกรณี
3. ความรับผิดชอบของผู้ประมวลผล
ผู้ประมวลผลจะต้องรับผิดชอบในการปฏิบัติตามมาตรการดังกล่าวเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลตามที่ร้องขอเป็นลายลักษณ์อักษรโดยผู้ควบคุมในภาคผนวก 2: 1 หรืออื่น ๆ และสําหรับการดําเนินการประมวลผลดังกล่าวตามที่จําเป็นในการเชื่อมต่อกับการให้บริการแก่ผู้ควบคุมหรือจําเป็นภายใต้กฎหมายที่บังคับใช้
หลังจากได้รับคําแนะนําเป็นลายลักษณ์อักษรผู้ประมวลผลจะต้องดําเนินการที่เหมาะสมเพื่อให้แน่ใจว่าการประมวลผลข้อมูลส่วนบุคคลได้รับการดัดแปลงตามคําแนะนําดังกล่าวโดยไม่ล่าช้า
ผู้ประมวลผลจะไม่รับผิดชอบต่อการขาดความชัดเจนในคําสั่งดังกล่าวจากผู้ควบคุมและไม่จําเป็นต้องดําเนินการใด ๆ นอกเหนือจากที่ผู้ควบคุมร้องขออย่างชัดแจ้ง
ผู้ประมวลผลมีสิทธิ์ได้รับค่าชดเชยตามรายการราคาเป็นครั้งคราวที่ผู้ประมวลผลใช้สําหรับการกระทําใด ๆ เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลซึ่งผู้ควบคุมไม่ได้ระบุไว้อย่างชัดแจ้งเมื่อข้อตกลงผู้ประมวลผลนี้มีผลบังคับใช้
4. การดําเนินการของผู้ควบคุม
ผู้ควบคุมดําเนินการเพื่ออํานวยความสะดวกในการประมวลผลข้อมูลส่วนบุคคลภายในขอบเขตของข้อตกลงผู้ประมวลผลนี้โดยให้ข้อมูลที่จําเป็นแก่ผู้ประมวลผลโดยไม่ชักช้าและโดยการแจ้งให้ผู้ประมวลผลทราบล่วงหน้าถึงมาตรการบริหารใด ๆ
5. การรับรอง
ผู้ประมวลผลรับรองว่ากิจกรรมทางธุรกิจของตนเองมีการจัดการในลักษณะที่ช่วยให้มั่นใจในการปฏิบัติตามข้อกําหนดของ GDPR ตามบรรทัดฐานที่มีอยู่ในอุตสาหกรรมและในลักษณะที่อนุญาตให้ดําเนินการตามมาตรการที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลตามข้อตกลงผู้ประมวลผลนี้
6.มาตรการป้องกัน
ในส่วนที่เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลทั้งหมดในนามของผู้ควบคุมผู้ประมวลผลจะใช้มาตรการป้องกันทางเทคนิคและองค์กรที่กําหนดโดยผู้ควบคุมในภาคผนวก 2:1
ผู้ประมวลผลจะกําหนดวิธีการใช้มาตรการดังกล่าวเพื่อให้บรรลุระดับการป้องกันที่จําเป็น
ผู้ประมวลผลจะต้องไม่จําเป็นต้องใช้มาตรการป้องกันซึ่งไม่ได้ระบุไว้อย่างชัดแจ้งในข้อตกลงผู้ประมวลผลนี้หรือภาคผนวกในที่นี้
คู่สัญญาอาจตกลงกันในมาตรการป้องกันที่เพิ่มขึ้นหรือเพิ่มเติมและเว้นแต่จะตกลงกันเป็นลายลักษณ์อักษรผู้ประมวลผลจะมีสิทธิ์แยกค่าชดเชยสําหรับมาตรการดังกล่าวตามรายการราคาปัจจุบันของผู้ประมวลผล
หากไม่มีการระบุมาตรการป้องกันดังกล่าวโดยผู้ควบคุมในภาคผนวก 2.1 หรือมิฉะนั้นผู้ประมวลผลจะเสียค่าใช้จ่ายของผู้ควบคุมใช้มาตรการป้องกันดังกล่าวตามธรรมเนียมในอุตสาหกรรมภายใต้สถานการณ์ที่เทียบเคียงได้
7. ข้อมูล
ในการตรวจสอบการดําเนินการประมวลผลข้อมูลส่วนบุคคลผู้ควบคุมมีสิทธิที่จะขอเอกสารเกี่ยวกับกิจกรรมทางธุรกิจและระบบของผู้ประมวลผลในขอบเขตที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลในนามของผู้ควบคุม
8. การติดตามผล
ในกรณีที่คู่สัญญาตกลงตามมาตรการป้องกันใหม่สําหรับการประมวลผลข้อมูลส่วนบุคคลผู้ควบคุมมีสิทธิ์ร้องขอเอกสารเกี่ยวกับมาตรการที่ดําเนินการโดยผู้ประมวลผลเพื่อวัตถุประสงค์ในการนํามาซึ่งการดําเนินการที่ตกลงกันไว้
9. การเปิดเผยข้อมูล
ผู้ประมวลผลจะไม่มีสิทธิเปิดเผยข้อมูลส่วนบุคคลใด ๆ แก่บุคคลที่สามโดยไม่ได้รับอนุมัติเป็นลายลักษณ์อักษรจากผู้ควบคุมก่อนเว้นแต่กฎหมายจะกําหนดให้มีการเปิดเผยข้อมูลดังกล่าว
ในกรณีที่หน่วยงานของรัฐสั่งให้ผู้ประมวลผลเปิดเผยข้อมูลหรือใช้มาตรการอื่นอันเป็นผลมาจากการประมวลผลข้อมูลส่วนบุคคลในนามของผู้ควบคุมผู้ประมวลผลจะได้รับค่าชดเชยที่เหมาะสมสําหรับงานดังกล่าว
ผู้ประมวลผลมีสิทธิได้รับค่าชดเชยที่สมเหตุสมผลสําหรับการเปิดเผยข้อมูลส่วนบุคคลอื่น ๆ ตามคําร้องขอของผู้ควบคุมหรือตามที่กฎหมายหรือข้อตกลงนี้กําหนดแก่บุคคลอื่นที่ไม่ใช่ผู้ควบคุมและมาตรการที่เกี่ยวข้องกับการเปิดเผยดังกล่าว
10. โอนไปยังประเทศที่สาม
ผู้ประมวลผลสามารถถ่ายโอนข้อมูลส่วนบุคคลไปยังประเทศที่ไม่ได้เป็นสมาชิกของสหภาพยุโรปหรือสมาชิกของเขตเศรษฐกิจยุโรปโดยได้รับความยินยอมเป็นลายลักษณ์อักษรจากผู้ควบคุมล่วงหน้า
ในกรณีที่การดําเนินการตามข้อตกลงแยกต่างหากเพื่อวัตถุประสงค์ในการรักษาระดับการป้องกันที่เพียงพอเป็นข้อกําหนดทางกฎหมายสําหรับการถ่ายโอนข้อมูลส่วนบุคคลไปยังประเทศที่สามผู้ควบคุมจะไม่มีสิทธิ์ที่จะระงับความยินยอมในการถ่ายโอนดังกล่าวหากผู้ประมวลผลสามารถแสดงให้เห็นว่าข้อตกลงดังกล่าวมีอยู่
รายละเอียดเกี่ยวกับกิจวัตรประจําวันของผู้ประมวลผลสําหรับการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลมีกําหนดไว้ในภาคผนวก 2:1 และ 2.2
11. การรับเหมารายย่อย
ตัวประมวลผลจะใช้ผู้รับเหมารายย่อยที่ระบุไว้ในภาคผนวก 2:2 เพื่อวัตถุประสงค์ที่กําหนดไว้ในนั้น
ผู้ประมวลผลอาจใช้ดุลยพินิจแทนที่หรือแต่งตั้งผู้รับเหมารายย่อยเพิ่มเติมโดยมีเงื่อนไขว่าพวกเขาปฏิบัติตามข้อตกลงผู้ประมวลผลนี้
หน่วยประมวลผลเกี่ยวข้องกับผู้ควบคุมความรับผิดชอบต่อการกระทําและการละเว้นของผู้รับเหมาช่วงสําหรับการกระทําและการละเว้นของตัวเอง
12. ค่าตอบแทน
ตามที่กําหนดไว้ข้างต้นและด้านล่างผู้ประมวลผลมีสิทธิ์ได้รับค่าตอบแทนสําหรับการประมวลผลข้อมูลส่วนบุคคลและมาตรการที่เกี่ยวข้องในขอบเขตที่การประมวลผลและมาตรการที่เกี่ยวข้องดังกล่าวไม่ได้ตกลงกันอย่างชัดแจ้งในข้อตกลงผู้ประมวลผลนี้และภาคผนวกในที่นี้
13. ผู้ติดต่อ ฯลฯ
แต่ละฝ่ายจะกําหนดผู้ติดต่อที่มีความรับผิดชอบหลักในการสื่อสารระหว่างคู่สัญญาเกี่ยวกับข้อตกลงผู้ประมวลผลนี้ คู่สัญญาจะต้องแจ้งให้แต่ละฝ่ายทราบถึงผู้ติดต่อและรายละเอียดการติดต่อที่กําหนดและแต่ละฝ่ายจะต้องไม่ล่าช้าแจ้งให้อีกฝ่ายทราบหากผู้ติดต่อถูกแทนที่ สําหรับใบอนุญาตฟรีผู้ที่สมัครรับใบอนุญาตฟรีคือผู้ติดต่อ
14. สร้างความมั่นใจในสิทธิของผู้ลงทะเบียน
ผู้ประมวลผลจะต้อง, ตามคําขอ, โดยไม่ชักช้า, และตามคําแนะนําจากผู้ควบคุม, แก้ไข, แยกหรือลบข้อมูลส่วนบุคคลที่ครอบคลุมโดยข้อตกลงผู้ประมวลผลนี้.
ผู้ประมวลผลจะต้องให้ความช่วยเหลือแก่ผู้ควบคุมในการรับรองสิทธิของผู้ที่ลงทะเบียนตามบทที่ 3 ของ GDPR
ผู้ประมวลผลมีสิทธิได้รับค่าตอบแทนที่สมเหตุสมผลสําหรับมาตรการดังกล่าว
ในกรณีที่ผู้ควบคุมทําการร้องขอเป็นลายลักษณ์อักษรสําหรับการลบข้อมูลส่วนบุคคลผู้ประมวลผลจะต้องลบข้อมูลส่วนบุคคลที่เป็นปัญหาไม่เกินภายใน 90 วันนับจากวันที่คําขอ
15. การเลิกจ้าง
เมื่อสิ้นสุดข้อตกลงผู้ประมวลผลนี้ข้อมูลส่วนบุคคลที่เป็นของผู้ควบคุมจะถูกส่งคืนหรือลบโดยไม่ล่าช้าอย่างไม่มีเหตุผล
ผู้ควบคุมต้องไม่เกิน 3 เดือนก่อนหมดอายุของข้อตกลงผู้ประมวลผลนี้แจ้งให้ผู้ประมวลผลทราบถึงวิธีการจัดการข้อมูลส่วนบุคคลที่เป็นของผู้ควบคุมและความต้องการความช่วยเหลือใด ๆ จากผู้ประมวลผลที่เกี่ยวข้องกับการถ่ายโอนข้อมูลส่วนบุคคล ผู้ประมวลผลจะลบข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการหมดอายุของข้อตกลงผู้ประมวลผลนี้
ผู้ประมวลผลจะต้องอยู่ในขอบเขตที่เหมาะสมและให้ความพร้อมของทรัพยากรช่วยในการถ่ายโอนข้อมูลส่วนบุคคล ผู้ประมวลผลจะเข้าร่วมการชดเชยความช่วยเหลือดังกล่าวตามรายการราคาที่ใช้บังคับสําหรับบริการดังกล่าว
16. การจํากัดความรับผิด
ความรับผิดของผู้ประมวลผลภายใต้ข้อตกลงผู้ประมวลผลนี้จะถูก จํากัด เฉพาะความสูญเสียโดยตรงที่เกิดจากการประมวลผลข้อมูลส่วนบุคคลซึ่งขัดแย้งอย่างชัดเจนกับคําแนะนําที่เป็นลายลักษณ์อักษรจากผู้ควบคุมหรือกฎหมายที่เกี่ยวข้อง การเรียกร้องจากบุคคลที่สามหรือหน่วยงานของรัฐจะถือว่ามีวัตถุประสงค์เพื่อความสูญเสียโดยตรง อย่างไรก็ตามความรับผิดของผู้ประมวลผลจะไม่รวมถึงการสูญเสียทางอ้อมเช่นการสูญเสียรายได้
17. ข้อพิพาท
ข้อพิพาทใด ๆ ที่เกิดขึ้นจากหรือเกี่ยวข้องกับข้อตกลงผู้ประมวลผลนี้จะได้รับการแก้ไขตามที่ตกลงไว้ในข้อตกลงหลัก
18. การแก้ไขข้อตกลง
การแก้ไขหรือแก้ไขข้อตกลงผู้ประมวลผลนี้จะต้องเป็นลายลักษณ์อักษรและลงนามอย่างถูกต้องโดยทั้งสองฝ่าย
____________________
ภาคผนวก 2:1
คําแนะนําของผู้ควบคุมและมาตรการป้องกันที่จําเป็น
วัตถุประสงค์
|
วัตถุประสงค์ของบริการประเมินการเรียนรู้ของดักกาคือการทําให้สามารถดําเนินการประเมินความรู้ดิจิทัลได้ซึ่งส่วนใหญ่อยู่ในสภาพแวดล้อมทางการศึกษา การประมวลผลข้อมูลในแพลตฟอร์มจะทําเพื่อให้สามารถเข้าสู่ระบบและใช้แพลตฟอร์มในรูปแบบต่างๆที่ตามมาจากบทบาท / s และฟังก์ชั่น / s ที่ผู้ใช้มี ลูกค้าจะสามารถระบุผู้ที่ดูแลสร้างและทําการสอบและงานที่ได้รับมอบหมายรวมถึงผลลัพธ์จากกิจกรรมการประเมินความรู้เหล่านั้น ข้อมูลส่วนบุคคลยังใช้เพื่อวัตถุประสงค์ในการสนับสนุนการบํารุงรักษาทางเทคนิคและการสํารองข้อมูลความปลอดภัย ข้อมูลจะถูกจัดเก็บภายใน EU/EES |
ข้อมูลที่ประมวลผลประกอบด้วยข้อมูลส่วนบุคคลประเภทต่อไปนี้
|
ข้อมูลส่วนบุคคลในแพลตฟอร์มอาจประกอบด้วย:
|
การประมวลผลข้อมูลจะครอบคลุมประเภท/บทบาทต่อไปนี้
|
|
กฎเฉพาะสําหรับการประมวลผลข้อมูลและการลบข้อมูลส่วนบุคคลที่ดําเนินการโดยผู้ประมวลผล
|
|
มาตรการทางเทคนิคเพื่อปกป้องข้อมูลส่วนบุคคล |
Dugga ได้รับการอนุมัติในการแก้ไขหลายอย่างเกี่ยวกับความปลอดภัยของข้อมูลที่ดําเนินการโดยลูกค้านักวิจัยคู่ค้าและองค์กรอิสระ การแก้ไขทางเทคนิคเกี่ยวกับความปลอดภัยของข้อมูลจะดําเนินการเป็นประจําทุกปีและเป็นไปตามกฎระเบียบเกี่ยวกับความปลอดภัยของข้อมูล |
การบันทึกการประมวลผลและการเข้าถึงข้อมูลส่วนบุคคล |
การบันทึกข้อมูลประกอบด้วย:
|
การถ่ายโอนข้อมูลส่วนบุคคลไปยังประเทศที่สาม |
การถ่ายโอนข้อมูลส่วนบุคคลจะไม่เกิดขึ้นนอกเหนือจากที่ระบุไว้ในหัวข้อ "วัตถุประสงค์" |
คําแนะนําอื่น ๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลที่ดําเนินการโดยผู้ประมวลผล |
1. ตั้งค่าการเข้าถึงระยะไกลไปยังระบบควบคุมเพื่อตรวจสอบและแก้ไขปัญหาทางเทคนิคและ; 2. เผยแพร่สถิติเกี่ยวกับการประมวลผลข้อมูลที่ดําเนินการในแพลตฟอร์ม นอกเหนือจากข้อตกลงตัวประมวลผลนี้แล้ว ตัวประมวลผลยังมีสิทธิ์ที่จะให้ข้อมูลแก่ผู้ควบคุมในรูปแบบ xml เท่านั้น
|
ภาคผนวก 2:2
การจัดเก็บและประมวลผลข้อมูลส่วนบุคคล
ผู้รับเหมารายย่อยต่อไปนี้ณ วันที่ของข้อตกลงตัวประมวลผลที่ใช้โดยผู้ประมวลผลเพื่อวัตถุประสงค์ที่กําหนดไว้ด้านล่าง ผู้รับเหมารายย่อยอยู่ในประเทศที่ระบุไว้ด้านล่าง
สร้างการเข้าถึงระบบของผู้ควบคุมจากระยะไกลสําหรับการวิเคราะห์และแก้ไขปัญหาทางเทคนิค:
AB (สวีเดน)
FastDev AB (สวีเดน)
การจัดเก็บและประมวลผลข้อมูลส่วนบุคคล:
Microsoft Azure (the Netherlands)
Microsoft Azure (Ireland)
Microsoft Azure (Sweden)
Länkar
Logga in
ดักกา พลักกา
ไนเฮเตอร์
Hur hanterar vi din data
สนับสนุน
ดักกา API