Acuerdo de Tratamiento de Datos (APD)

El presente Acuerdo de Procesamiento de Datos (el "APD") se celebra entre DreamApply OÜ ("Procesador"), el proveedor de la Plataforma de Admisión de Estudiantes "DreamApply" con domicilio social en Pärnu mnt 102b, Tallin, Estonia y Una universidad u otra institución educativa ("Responsable"), que acepta solicitudes de futuros estudiantes utilizando la Plataforma de Admisión de Estudiantes "DreamApply" o cualquier otra plataforma o servicio proporcionado por el Procesador y ha celebrado un Acuerdo con el Procesador. La presente DPA regula el tratamiento de los datos personales que el Procesador procesa en nombre del Controlador.

1. Definiciones
1.1. Datos personales del responsable del tratamiento son los datos personales que el encargado del tratamiento trata por cuenta del responsable del tratamiento en relación con su uso de los servicios del encargado del tratamiento.
1. 2. 1.2.Requisitos de protección de datos : el Reglamento general de protección de datos, las leyes locales de protección de datos, cualquier legislación subordinada y la normativa de aplicación del Reglamento general de protección de datos.
1.3. Datos personales de la UE: los datos personales de los que el procesador es responsable. Por Datos Personales de la UE se entenderán los Datos Personales cuyo intercambio en virtud del presente APD esté regulado por el Reglamento General de Protección de Datos y las Leyes Locales de Protección de Datos.
1.4 . PorReglamento General de Protección de Datos se entenderá el Reglamento de la Unión Europea relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
1.5 . 1.5.Leyes locales de protección de datos : cualquier legislación y regulación subordinada que implemente el Reglamento General de Protección de Datos y que pueda aplicarse a esta DPA.
1.6 . Datos personales: cualquier información relativa a un individuo o a una organización. Una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de localización, un identificador en línea o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de dicha persona física. Incluye los datos que el Responsable del tratamiento decida proporcionar al Encargado del tratamiento.
1.7 . Porviolación de datos personales se entiende cualquier destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilícito a los datos personales del responsable del tratamiento.
1.8. Leyes de privacidad : todas las leyes, reglamentos y otros requisitos legales aplicables relacionados con (a) la privacidad, la seguridad de los datos, la protección del consumidor, el marketing, la promoción y la mensajería de texto, el correo electrónico y otras comunicaciones; y (b) el uso, la recopilación, la retención, el almacenamiento, la seguridad, la divulgación, la transferencia, la eliminación y otros tratamientos de cualquier Dato personal.
1.9. Tratamiento y sus cognados significan cualquier operación o conjunto de operaciones que se realicen sobre Datos Personales o sobre conjuntos de Datos Personales, ya sea por medios automatizados o no, tales como la recogida, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por
transmisión, difusión o cualquier otra forma de puesta a disposición, alineación o combinación, restricción, borrado o destrucción.
1.10. Responsable del tratamiento : la institución que ha obtenido los servicios del Encargado del tratamiento.
1.11. Autoridad de control: la Inspección de Protección de Datos de Estonia.

2. Naturaleza del tratamiento de datos
2.1. Tratamiento de datos El procesador es un procesador de datos, que procesa datos en nombre del Controlador. 2.2. El encargado del tratamiento se compromete a tratar los Datos Personales recibidos en virtud del APD únicamente para los fines establecidos en el presente APD. Para evitar dudas, las categorías de datos personales tratados se describen en los anexos A y B del presente APD
.

3. Cumplimiento de la legislación
3.1. Cumplimiento de la legislación. Cada una de las partes cumplirá con sus respectivas obligaciones en virtud de todos los Requisitos de Protección de Datos aplicables.

Obligaciones del controlador

4.1. El controlador se compromete a:

4.1.1. Proporcionar instrucciones al Procesador y determinar los fines y medios generales del procesamiento por parte del Procesador de los Datos Personales del Controlador de conformidad con el presente APD;
4.1.2. 4.1.2. Cumplir con sus obligaciones de protección de datos, seguridad y otras obligaciones con respecto a los datos personales del responsable del tratamiento prescritas por los requisitos de protección de datos para los responsables del tratamiento mediante: (a) estableciendo y manteniendo un procedimiento para el ejercicio de los derechos de las personas cuyos Datos Personales se procesan en nombre del Controlador; (b) procesando solo los datos que se han recopilado de forma legal y válida y garantizando que dichos datos serán relevantes y proporcionales a los usos respectivos; y (c) garantizando
el cumplimiento de las disposiciones de este DPA por parte de su personal o de cualquier tercero que acceda o utilice
Datos Personales del Controlador en su nombre.

4.1.3. El Responsable del tratamiento es responsable de obtener el consentimiento de los interesados, cuando proceda. El consentimiento es una indicación del interesado para permitir que sus datos personales sean tratados por el responsable del tratamiento. El consentimiento debe manifestarse por escrito o en formato electrónico.

4.1.4. El Controlador es responsable del uso de las integraciones de DreamApply con terceros proveedores de servicios https://www.dreamapply.com/integrations. Dichos proveedores de servicios de terceros son procesadores de datos independientes sobre los que DreamApply no tiene control. Aunque DreamApply elige a los proveedores de integración basándose en el nivel general de cumplimiento, el responsable del tratamiento debe leer los términos y la documentación sobre privacidad del proveedor de servicios externo antes de integrarlo en sus procesos y sistemas.

Obligaciones del transformador

5.1. Processor will:
5.1.1. Process Controller’s Personal Data (i) only for the purpose of providing, supporting and improving Processor’s services, using appropriate technical and organizational security measures; and (ii) in compliance with the instructions received from Controller. Processor will not use or process the
Controller’s Personal Data for any other purpose. Processor will promptly inform Controller if it cannot comply with the requirements under Sections 5-8 of this DPA, in which case Controller may terminate this DPA or take any other reasonable action, including suspending data processing operations;
5.1.2. Inform Controller promptly if, in Processor’s opinion, an instruction from Controller violates applicable Data Protection Requirements;
5.1.3. Take commercially reasonable steps to ensure that persons employed by it and other persons engaged to perform on Processor’s behalf comply with the terms of this DPA;
5.1.4. Ensure that its employees, authorized agents and any sub-processors are required to comply
with and acknowledge and respect the confidentiality of the Controller’s Personal Data, including after the end of their respective employment, contract or assignment. The Processor and any person acting under its authority who has access to Controller’s Personal Data, shall not process that data unless upon instructions by the Controller, including the powers granted under this DPA, unless they are required to do so by law;
5.1.5. Upon request, provide Controller with a summary of Processor’s privacy and security policies or other documented evidence that the Processor has implemented necessary technical and organizational measures;
5.1.6. Inform Controller if Processor undertakes an independent security review;
5.1.7. Maintain appropriate organizational and technical security measures (including with respect to personnel, facilities, hardware and software, storage and networks, access controls, monitoring and logging, vulnerability and breach detection, incident response, encryption of Controller’s Personal Data while in transit and at rest) to protect against unauthorized or accidental access, loss, alteration, disclosure or destruction of Controller’s Personal Data;
5.1.8. Be responsible for the sufficiency of the security, privacy, and confidentiality safeguards of all Processor personnel with respect to Controller’s Personal Data and liable for any failure by such Processor personnel to meet the terms of this DPA;
5.1.9. Take reasonable steps to confirm that all Processor personnel are protecting the security, privacy and confidentiality of Controller’s Personal Data consistent with the requirements of this DPA, and
5.1.10. Notify Controller of any Personal Data Breach by Processor, its sub-processors, or any other third parties acting on Processor’s behalf without undue delay and in any event within 72 hours of becoming aware of a Personal Data Breach.
5.2. Processor will inform Controller if Processor becomes aware of:
5.2.1. Any non-compliance by Processor or its employees with Sections 5-8 of this DPA or the Data Protection Requirements relating to the protection of Controller’s Personal Data processed under this DPA;
5.2.2. Any legally binding request for disclosure of Controller’s Personal Data by a law enforcement authority, unless Processor is otherwise forbidden by law to inform Controller, for example to preserve the confidentiality of an investigation by law enforcement authorities;
5.2.3. Any notice, inquiry or investigation by a Supervisory Authority with respect to Controller’s Personal Data or
5.2.4. Any complaint or request (in particular, requests for access to, rectification or blocking of Controller’s Personal Data) received directly from Controller’s data subjects. Processor will not respond to any such request without Controller’s prior written authorization.
5.3. Processor will provide reasonable assistance to Controller regarding:
5.3.1. Any requests from Controller’s data subjects in respect of access to or the rectification, erasure, restriction, portability, blocking or deletion of Controller’s Personal Data that Processor processes for Controller. If a data subject sends such a request directly to Processor, Processor will promptly send such request to Controller. Such requests shall be fulfilled by the Processor in accordance with documented instructions by the Controller without undue delay.
5.3.2. The investigation of Personal Data Breaches and the notification to the Supervisory Authority and Controller ‘s data subjects regarding such Personal Data Breaches
5.3.3. Where appropriate, the preparation of data protection impact assessments and, where necessary, carrying out consultations with any Supervisory Authority.
5.4. Processor may claim a reasonable fee for support services which are not included in the description of the services, and which are not attributable to failures on the part of the Processor.
5.5. If Processor is required by Data Protection Requirements to process any Controller’s Personal Data for a reason other than providing the services described in the DPA, Processor will inform Controller of this requirement in advance of any processing, unless Processor is legally prohibited from
informing Controller of such processing (e.g., as a result of secrecy requirements that may exist under applicable EU member state laws).
5.6. If Processor intends to engage sub-processors to help it satisfy its obligations in accordance with this DPA or to delegate all or part of the processing activities to such sub-processors, Processor must
(i) keep an exclusive of the list of sub-processors which Processor maintains online; (ii) remain liable to Controller for the sub-processors’ acts and omissions with regard to data protection where such sub-processors act on Processor’s instructions; and (iii)enter into contractual arrangements with such sub-processors binding them to provide the same level of data protection and information security to that provided for in this DPA. Current sub-processors are listed in the Annex A. Hereby Controller provides
Processor with general written authorization for engaging sub-processors, Processor shall inform Controller of any intended changes concerning the addition or replacement of other sub-processors, thereby giving Controller the opportunity to object to such changes.

6. Responsabilidad y auditorías
6.1. Responsabilidad Cualquier persona que haya sufrido daños materiales o inmateriales como consecuencia de una infracción de los requisitos de protección de datos, tiene derecho a recibir una indemnización del responsable o del encargado del tratamiento por los daños sufridos. El responsable del hecho causante del daño deberá indemnizar al interesado por los daños sufridos.

6.2. El responsable del tratamiento será responsable de los daños causados por un tratamiento que infrinja los requisitos de protección de datos. El encargado del tratamiento sólo será responsable de los daños causados por el tratamiento cuando no haya cumplido las obligaciones de las disposiciones sobre protección de datos específicamente dirigidas a los encargados del tratamiento o cuando haya actuado al margen de las instrucciones legítimas del responsable del tratamiento o en contra de las mismas.
6.3. El responsable del tratamiento o el encargado del tratamiento quedarán exentos de responsabilidad si demuestran que no son en modo alguno responsables del hecho que da lugar al tratamiento. El Responsable del tratamiento o el Encargado del tratamiento quedarán exentos de responsabilidad si demuestran que no son en modo alguno responsables del hecho generador del daño.
6.4. Si una Autoridad de Control exige una auditoría de las instalaciones de procesamiento de datos desde las que el Responsable procesa los Datos Personales del Responsable para determinar o supervisar el cumplimiento por parte del Responsable de los Requisitos de Protección de Datos, el Procesador cooperará con dicha auditoría.
6.5 . Previa consulta con el encargado del tratamiento, el responsable del tratamiento tiene derecho a realizar inspecciones o a que las realice un auditor que se designará en cada caso. El auditor tendrá derecho a evaluar el cumplimiento de la presente APD por parte del encargado del tratamiento en sus operaciones comerciales mediante controles aleatorios
, que normalmente se anunciarán con antelación.
6.6. El encargado del tratamiento permitirá al responsable del tratamiento verificar el cumplimiento de sus obligaciones con arreglo a lo dispuesto en el Reglamento general de protección de datos. El encargado del tratamiento se compromete a facilitar al responsable del tratamiento la información necesaria a petición de éste y, en particular, a demostrar la aplicación de las medidas técnicas y organizativas

7. Devolución y eliminación de datos
7. 1.El procesador no creará copias o duplicados de los datos personales del controlador sin el conocimiento y consentimiento del controlador, excepto para copias de seguridad y en la medida en que sean necesarias para garantizar el procesamiento ordenado de los datos, así como los datos necesarios para cumplir con los requisitos reglamentarios de retención de datos.
7.2 .El procesador no creará copias o duplicados de los datos personales del controlador sin el conocimiento y consentimiento del controlador. Las partes acuerdan que a la finalización de los servicios de procesamiento de datos o a petición razonable del Controlador, el Procesador deberá, y hará que cualquier subprocesador, a elección del Controlador, devuelva todos los Datos Personales del Controlador y las copias de dichos datos al Controlador o los destruya de forma segura
y demuestre a satisfacción del Controlador que ha tomado dichas medidas, a menos que los Requisitos de Protección de Datos impidan que el Procesador devuelva o destruya todos o parte de los Datos Personales del Controlador revelados. En tal caso, el Procesador se compromete a preservar la confidencialidad de los Datos personales del Controlador conservados por él y que sólo procesará activamente dichos Datos personales del Controlador después de dicha fecha para cumplir con las leyes aplicables. El encargado del tratamiento queda exento de esta obligación cuando la ley le exija conservar los datos.
‍
Procesadores de datos de terceros
8.1.El Procesador reconoce que en la prestación de algunos servicios, el Procesador, al recibir instrucciones del Responsable del tratamiento, puede transferir los Datos personales del Responsable del tratamiento a terceros procesadores de datos e interactuar de otro modo con ellos. El encargado del tratamiento acepta que, en caso de que se produzcan dichas transferencias y en la medida en que así sea, el encargado del tratamiento es responsable
de suscribir acuerdos contractuales independientes con dichos terceros encargados del tratamiento de datos que les obliguen a cumplir las obligaciones de conformidad con los requisitos de protección de datos. Para evitar cualquier duda, dichos terceros encargados del tratamiento de datos no son subencargados del tratamiento.
‍
Plazo
9.1.El presente APD permanecerá en vigor mientras el Procesador lleve a cabo operaciones de tratamiento de Datos Personales por cuenta del Controlador o hasta la rescisión del Acuerdo. Todos los Datos Personales deberán ser devueltos o suprimidos de conformidad con la Sección 7 anterior.
‍
Varios
Este APD se regirá por las leyes de Estonia y cualquier acción o procedimiento relacionado con este APD (incluidos los derivados de disputas o reclamaciones no contractuales) se llevará a cabo en el Tribunal del Condado de Harju, Tallin, Estonia.
‍

ANEXO A de la Plataforma de Admisión de Estudiantes "DreamApply" de la DPA

1. 1. Titulares de los datos.
Los datos personales tratados se refieren a (i) los solicitantes (una persona física) que solicitan estudiar en la institución del Responsable (solicitudes presentadas y no presentadas), (ii) asesores (una persona física que envía solicitantes al Responsable y a la que el Responsable da acceso y derechos), (iii) personas de contacto (una persona física, (iii) personas de contacto (persona física, la información debe ser proporcionada por el solicitante respectivo), (iv) árbitros (persona física, la información debe ser proporcionada por el solicitante respectivo) y administradores registrados en la plataforma
DreamApply por y/o en nombre del Responsable (Administradores), (v) personas cuyos datos se recogen a través de complementos funcionales.

2. Fines del tratamiento.
El tratamiento tiene por objeto permitir al Responsable gestionar las solicitudes a través de la Plataforma de Admisión de Estudiantes "DreamApply" y realizar actividades de marketing mediante complementos funcionales. El Encargado del tratamiento tiene que prestar apoyo cuando sea necesario. El Responsable del tratamiento determina los fines del tratamiento de datos personales de
y, a través de la plataforma proporcionada por el Responsable del tratamiento, autoriza y supervisa dicho tratamiento de datos. El Responsable del tratamiento recopila y revisa la información enviada por los solicitantes a través de la plataforma DreamApply.

3. Categorías de datos.
Los datos personales transferidos se refieren a las siguientes categorías de datos:
3.1. Datos de usuario (datos personales) de los solicitantes: información personal necesaria para presentar la(s) solicitud(es) al Responsable: información de contacto, información sobre formación previa y experiencias en el campo, información de identificación, información sobre conocimientos lingüísticos y otra información relevante necesaria para presentar la solicitud (la lista completa está disponible en la Plataforma). El Responsable del tratamiento decidirá la información necesaria para presentar la solicitud en función de la legislación nacional, la práctica del Responsable del tratamiento y el programa específico al que se presente el solicitante.
3.2. Datos del usuario (datos sensibles) del Responsable del tratamiento. Datos de usuario (datos sensibles) de los solicitantes: el Responsable del tratamiento no puede recopilar datos sensibles, excepto datos sobre la salud (discapacidades). La información sobre la salud puede ser recogida por el Controlador sólo de forma voluntaria con el fin de reconocer los requisitos especiales a las instalaciones o si es requerido por la ley. En caso de que el Responsable recoja datos sensibles a través de la plataforma DreamApply tiene la obligación de notificarlo al solicitante.
3.3. Datos (datos personales) de los Asesores: nombre, territorio, tracker, e-mail, dirección postal, código de acceso, vigencia del contrato (y fecha de firma), grupo, notas, archivos adjuntos, derechos de acceso (capacidad de gestionar y/o ver las solicitudes realizadas).
3.4. Datos (datos personales) de las personas de contacto (contacto de emergencia para el solicitante): nombre, correo electrónico, número de teléfono, dirección postal, relación con el solicitante respectivo (es decir, madre, padre).
3.5 . 3.5. Datos (datos personales) del árbitro (si el solicitante los ha introducido): nombre, dirección de correo electrónico, puesto de trabajo.
3.6. Datos de los administradores registrados en DreamEdit. Datos de los administradores registrados en DreamApply por el Controlador: nombre, e-mail, cargo, derechos de acceso y acciones en la plataforma.

4. Actividades de tratamiento
Los datos personales transferidos serán objeto de las siguientes actividades básicas de tratamiento:
4.1. presentación y tramitación de solicitudes;
4.2. recopilación de informes estadísticos;
4.3. análisis automático de requisitos;
4.4. generación de ofertas y documentos;
4.5. actividades de tratamiento relacionadas con el soporte (hacia el Responsable y uso de "DreamApply");
4.6. asesores y gestión de sus contratos;
4.8. gestión de clientes potenciales (posibles solicitantes);
4.9. durante las actividades de marketing a través de complementos funcionales recopilación de contactos, intereses de estudio y datos sobre canales de información
El Responsable del tratamiento concede el derecho y es consciente de que el Encargado del tratamiento utiliza datos no personalizados sobre los solicitantes con fines de investigación (incluida la elaboración de estadísticas no personalizadas) para mejorar la eficacia y la calidad del sistema, predecir los flujos de información y datos con el fin de responder mejor a las necesidades del Responsable del tratamiento
(incluidos los solicitantes) y mejorar el conocimiento de los servicios ofrecidos a los socios potenciales. El Responsable concede al Encargado del tratamiento el derecho exclusivo e irrevocable a generar estadísticas anónimas relativas al uso de la plataforma DreamApply y a analizar y compartir dichas estadísticas con fines de desarrollo empresarial
, marketing y promoción en cualquier formato de medio y a través de cualquier sitio web, red de medios sociales o canal de medios conocido en la actualidad o descubierto o desarrollado en el futuro. Dichas estadísticas anónimas sólo se compartirán cuando se generalicen (incluyendo, pero sin limitarse a ello, la generalización a nivel de universidad, ciudad o país en
). La cantidad y el tipo de datos recopilados dependen del Responsable del tratamiento y de los requisitos de aplicación. El responsable del tratamiento tiene la posibilidad, a petición del interesado, de rectificar, suprimir o bloquear los datos incorrectos sobre los interesados. El responsable del tratamiento debe garantizar que el interesado da su consentimiento válido al tratamiento de sus datos personales para uno o varios fines específicos y que se le informa de sus derechos.

5. Duración del tratamiento
El Responsable del Tratamiento decide la duración del tratamiento basándose en la legislación nacional, así como el plazo de estudio. El Responsable del tratamiento decide la duración del almacenamiento de los datos. El Responsable del tratamiento tiene la posibilidad técnica y suprimirá los datos personales de acuerdo con su normativa cuando ya no sea necesario tratarlos para los fines que fueron recogidos y la ley no exija su tratamiento. Tras la supresión, los datos se eliminarán automáticamente también de las copias de seguridad en un plazo de 15 a 45 días.

6.Proveedores de infraestructura y subprocesadores
Los proveedores de infraestructura y subprocesadores del procesador se describen detalladamente en esta sección: https://www.dreamapply.com/gdpr-sub-processors. Además, puede consultarse una lista de integraciones opcionales (subprocesadores) en https://www.dreamapply.com/integrations. Estas listas se mantienen meticulosamente y se actualizan con regularidad. El sitio web del Acuerdo de Aprendizaje también utiliza el proveedor de servicios externo Google para las cookies funcionales de la web.

7. Información adicional útil
7.1. El Responsable del Tratamiento que opere bajo el Reglamento de Protección de Datos de la Unión Europea informará a los solicitantes sobre las actividades de tratamiento de datos, incluyendo el fundamento jurídico, el período de conservación, las medidas de seguridad, las evaluaciones, la rectificación, la supresión, los destinatarios, los procedimientos de reclamación, etc. El Responsable del Tratamiento presentará el Aviso de Privacidad y el Aviso de Cookies en la Plataforma de Admisión de Estudiantes "DreamApply". Cada una de las partes será responsable de colocar un banner de cookies relativo a las cookies que utiliza la parte respectiva (como responsable del tratamiento) siendo responsable de su existencia y contenido. El responsable del tratamiento, previa solicitud recibida de un responsable del tratamiento de
, podrá proporcionar formación sobre cómo configurar el banner de cookies.
7.2. Los Administradores, en función de los derechos que les haya otorgado el Responsable del tratamiento (directa y/o indirectamente a través de otros Administradores), pueden eliminar las solicitudes de los solicitantes, bien caso por caso, bien de forma masiva (por ejemplo, seleccionando a todos los solicitantes del último semestre). Si un solicitante borra su solicitud al programa de estudios
del controlador, entonces el Administrador tiene que confirmar la eliminación antes de que la eliminación se lleve a cabo desde el lado de DreamApply.
7.3. El departamento de felicidad del cliente (soporte proporcionado al Controlador en relación con el uso de "DreamApply" por el Procesador) tiene acceso a los Datos Personales del Controlador. Todos los accesos se registran, tanto por parte del departamento de satisfacción del cliente como por parte del responsable del tratamiento (administrador). Los registros de
sólo muestran cuándo se inició el acceso, pero no cuándo finalizó. El equipo de configuración del procesador tendrá acceso a los datos personales del controlador durante el primer año de relación profesional con el fin de proporcionar apoyo, después de un año su acceso es revocado. El acceso por parte del encargado del tratamiento se realizará únicamente a través de la red interna
y/o a través de una VPN, con un segundo factor de identificación si es necesario para cada usuario. El motivo del acceso debe indicarse y guardarse en el sistema.

‍
ANEXO B de la DPA
Plataforma de acuerdos de aprendizaje dream-agreement.eu

1.
Los datos personales tratados se refieren a los estudiantes de intercambio y empleados (Coordinador o Persona de Contacto) del Responsable (Institución de Envío o Recepción) que utilizan la plataforma Learning Agreements.

2. Fines del tratamiento.
El tratamiento tiene por objeto permitir al Responsable gestionar los acuerdos de aprendizaje. El Responsable del tratamiento proporciona la plataforma para el intercambio y la firma de los acuerdos. El Responsable puede actuar como Institución Remitente o Receptora. La institución remitente es la IES que envía al estudiante al programa de intercambio y la institución receptora es la IES que acepta al estudiante en su institución
como estudiante de intercambio. El procesamiento de datos se lleva a cabo por todas las partes (Estudiante, Institución de Envío, Institución de Recepción, Dream Apply como Procesador de datos). Todas las partes se comprometen a cumplir las leyes y principios de protección de datos durante el uso de la plataforma. La información detallada y las funciones pueden leerse en el sitio web de la plataforma. La sección 7 de este Anexo B también es relevante a este respecto.

3. Categorías de datos.
Datos de identificación del empleado del Responsable como usuario de la plataforma, así como los datos de identificación y educación de los estudiantes y/o alumnos de intercambio al gestionar los acuerdos de intercambio en la plataforma.

4. Actividades de tramitación
Gestión de programas de intercambio de estudiantes y admisiones, firma de acuerdos de aprendizaje.

7. Información adicionalútil
El sitio web dream-agreement.eu y la plataforma Learning Agreement proporcionada por Dream Apply OÜ (el Procesador) es un servicio gratuito que está regulado por las Condiciones Generales de Servicio del Procesador y este Acuerdo de Procesamiento de Datos. Por favor, lea también la información específica y los términos relativos a la plataforma Learning Agreement en el sitio web www.dream-agreement.eu después de iniciar sesión. El tratamiento de los datos personales relacionados está sujeto a las mismas garantías y políticas de privacidad que el servicio principal del procesador, la plataforma DreamApply.

Servicios de comprobación de similitud (proporcionados por el subprocesador Turnitin LCC)

1.
Los datos personales tratados se refieren a los solicitantes (persona física) que solicitan estudiar en instituciones académicas.

2. Finalidad del tratamiento.
El tratamiento tiene por objeto permitir al Responsable del tratamiento detectar posibles plagios en los sectores académicos. Recogida, almacenamiento, recuperación, utilización (en el contexto de las funciones de cotejo de textos).

3. Categorías de datos.
Nombre, apellidos, dirección de correo electrónico, número de identificación de estudiante, contenido, trabajos académicos o textos publicados propuestos.

4. Destinatarios.

Los datos personales tratados sólo podrán comunicarse a la institución a la que el solicitante haya presentado su solicitud.

5. Información útil adicional
Los Datos personales del Controlador se cifran y almacenan por separado de cualquier otro dato almacenado y procesado por Turnitin LCC y sólo se descifrarán en caso de que el Procesador haya realizado una solicitud a Turnitin LCC para verificar los detalles de los datos personales. Los datos personales del Controlador proporcionados por el Procesador no pueden utilizarse para indexar o proporcionar coincidencias para otros clientes de Turnitin LCC, o para el entrenamiento del algoritmo de aprendizaje automático, a menos que los Datos Personales sean totalmente anónimos y el método de anonimización sea aprobado por el Procesador.

6. Producto DreamID (proporcionado por DreamApply OÜ como controlador de datos)

6.1. Funciones de controlador - procesador
DreamApply OÜ proporciona el producto DreamID como gestor de cuentas de solicitantes autenticados de forma segura para universidades y/u otras instituciones de educación superior (IES). Para permitir a los solicitantes registrarse/iniciar sesión en las aplicaciones de diferentes instituciones de educación superior con una cuenta DreamID, DreamApply necesita recopilar el nombre y la dirección de correo electrónico del solicitante como conjunto mínimo de datos para permitir la autenticación segura del solicitante correspondiente. DreamApply actúa como Controlador de Datos en relación con el producto DreamID sobre la base de las actividades de creación de cuentas DreamID para los solicitantes, independientemente de la IES específica a la que el solicitante está aplicando y utiliza la misma cuenta para aplicar a cualquier otra institución de educación superior. Dado que DreamApply es el responsable del tratamiento de los datos relativos al producto DreamID, DreamApply también es responsable de los derechos de los interesados (es decir, acceso y eliminación) y de la seguridad de los datos personales. DreamApply, como responsable del tratamiento, también decide los fines y medios del tratamiento de los datos relativos a DreamID.
6.2. Titulares de los datos.
Los datos personales tratados se refieren a los solicitantes (persona física) que solicitan estudiar en una IES.
6.3.Finalidades del tratamiento.Finalidades del tratamiento.
El tratamiento tiene por objeto habilitar la cuenta DreamID y el servicio de inicio de sesión seguro.
6.4. Categorías de datos.Categorías de datos.
Nombre completo, Dirección de correo electrónico, Contraseña, Historial de seguridad (historial de inicio de sesión).

Opcional: Datos de autenticación multifactor, como un código de seguridad, una aplicación de autenticación (TOTP), un número de teléfono o claves de seguridad (por ejemplo, YubiKey)
6.5. Destinatarios.Destinatarios.
Los datos personales tratados sólo podrán ser comunicados a las IES a las que el solicitante haya presentado su solicitud.
6.6.Información adicional útilInformación adicionalútil
Las funcionalidades del producto DreamID se describen en el Aviso de Privacidad de DreamID disponible aquí: https://id.dreamapply.com/privacy.