數據處理協定
本數據處理協定(“DPA”)由學生招生平臺“DreamApply”提供者DreamApply OÜ(“處理者”)簽訂,其註冊位址為愛沙尼亞塔林的Pärnu mnt 102b和一所大學或其他教育機構(“控制者”),後者使用學生招生平臺“DreamApply”或處理者提供的任何其他平臺或服務接受潛在學生的申請,並與處理者簽訂了協定。本 DPA 管理處理者代表控制者處理的個人數據的處理。
1. 定義
1.1.控制者的個人數據是指處理者代表控制者處理的與使用處理者服務有關的個人數據。
1.2. 數據保護要求是指《通用數據保護條例》、《當地數據保護法》、實施《通用數據保護條例》的任何附屬立法和法規。
1.3. 歐盟個人數據是指根據本 DPA 進行共享受《通用數據保護條例》和當地數據保護法監管的個人數據。
1.4. 《通用數據保護條例》是指歐盟關於在個人數據處理和此類數據自由流動方面保護個人的條例。
1.5. 當地數據保護法是指實施《通用數據保護條例》的任何附屬立法和法規,這些立法和法規可能適用於本 DPA。
1.6. 個人數據是指與已識別或可識別的自然人有關的任何資訊;可識別的自然人是指可以直接或間接識別的人,特別是通過參考諸如姓名、身份證號碼、位置數據、在線標識碼等標識符或特定於該自然人的身體、生理、遺傳、心理、經濟、文化或社會身份的一個或多個因素。它包括控制者選擇提供給處理者的數據。
1.7. 個人數據洩露是指對控制者的個人數據的任何意外或非法破壞、丟失、更改、未經授權的披露或訪問。
1.8. 隱私法是指與以下方面相關的所有適用法律、法規和其他法律要求:(a) 隱私、數據安全、消費者保護、行銷、促銷、簡訊、電子郵件和其他通信;以及 (b) 使用、收集、保留、存儲、安全、披露、傳輸、處置和其他處理任何個人數據。
1.9. 流程及其同源詞是指對個人數據或個人數據集執行的任何操作或一組操作,無論是否通過自動化方式,例如收集、記錄、組織、構建、存儲、改編或更改、檢索、諮詢、使用、披露
傳輸、傳播或以其他方式提供、對齊或組合、限制、刪除或銷毀。
1.10. 控制者 – 指從處理者處獲得服務的機構。
1.11. 監督機構是指愛沙尼亞數據保護監察局。
2. 數據處理的性質
2.1. 處理者是數據處理者,代表控制者處理數據。處理者同意僅出於本 DPA 中規定的目的處理根據 DPA 收到的個人數據。為避免疑義,所處理的個人數據的類別在附件 A 和 B 中進行了描述
德新社。
3. 遵守法律
3.1. 雙方均應遵守所有適用的數據保護要求下的各自義務。
- 控制者的義務
4.1. 控制者同意:
4.1.1. 向處理者提供指示,並確定處理者根據本 DPA 處理控制者個人數據的目的和一般方式;
4.1.2. 通過以下方式遵守數據處理者的數據保護要求中規定的與控制者個人數據相關的數據保護、安全和其他義務:(a) 建立和維護代表控制者處理其個人數據的個人行使權利的程式;(b) 僅處理合法有效收集的數據,並確保此類數據與各自的用途相關且相稱;及(c)確保
其人員或任何第三方訪問或使用 DPA 的規定
控制者的個人數據。
4.1.3. 控制者有責任獲得數據主體的同意(如適用)。 同意是數據主體允許控制者處理其個人數據的指示。同意書必須採用書面或電子形式。
4.1.4. 控制者負責使用DreamApply與第三方服務提供者的集成 https://www.dreamapply.com/integrations。此類第三方服務提供者是 DreamApply 無法控制的獨立數據處理者。儘管 DreamApply 根據整體合規水準選擇整合供應商,但控制者在將第三方服務提供者集成到其流程和系統之前應閱讀第三方服務提供者的條款和隱私文檔。
- 處理者的義務
5.1. Processor will:
5.1.1. Process Controller’s Personal Data (i) only for the purpose of providing, supporting and improving Processor’s services, using appropriate technical and organizational security measures; and (ii) in compliance with the instructions received from Controller. Processor will not use or process the
Controller’s Personal Data for any other purpose. Processor will promptly inform Controller if it cannot comply with the requirements under Sections 5-8 of this DPA, in which case Controller may terminate this DPA or take any other reasonable action, including suspending data processing operations;
5.1.2. Inform Controller promptly if, in Processor’s opinion, an instruction from Controller violates applicable Data Protection Requirements;
5.1.3. Take commercially reasonable steps to ensure that persons employed by it and other persons engaged to perform on Processor’s behalf comply with the terms of this DPA;
5.1.4. Ensure that its employees, authorized agents and any sub-processors are required to comply
with and acknowledge and respect the confidentiality of the Controller’s Personal Data, including after the end of their respective employment, contract or assignment. The Processor and any person acting under its authority who has access to Controller’s Personal Data, shall not process that data unless upon instructions by the Controller, including the powers granted under this DPA, unless they are required to do so by law;
5.1.5. Upon request, provide Controller with a summary of Processor’s privacy and security policies or other documented evidence that the Processor has implemented necessary technical and organizational measures;
5.1.6. Inform Controller if Processor undertakes an independent security review;
5.1.7. Maintain appropriate organizational and technical security measures (including with respect to personnel, facilities, hardware and software, storage and networks, access controls, monitoring and logging, vulnerability and breach detection, incident response, encryption of Controller’s Personal Data while in transit and at rest) to protect against unauthorized or accidental access, loss, alteration, disclosure or destruction of Controller’s Personal Data;
5.1.8. Be responsible for the sufficiency of the security, privacy, and confidentiality safeguards of all Processor personnel with respect to Controller’s Personal Data and liable for any failure by such Processor personnel to meet the terms of this DPA;
5.1.9. Take reasonable steps to confirm that all Processor personnel are protecting the security, privacy and confidentiality of Controller’s Personal Data consistent with the requirements of this DPA, and
5.1.10. Notify Controller of any Personal Data Breach by Processor, its sub-processors, or any other third parties acting on Processor’s behalf without undue delay and in any event within 72 hours of becoming aware of a Personal Data Breach.
5.2. Processor will inform Controller if Processor becomes aware of:
5.2.1. Any non-compliance by Processor or its employees with Sections 5-8 of this DPA or the Data Protection Requirements relating to the protection of Controller’s Personal Data processed under this DPA;
5.2.2. Any legally binding request for disclosure of Controller’s Personal Data by a law enforcement authority, unless Processor is otherwise forbidden by law to inform Controller, for example to preserve the confidentiality of an investigation by law enforcement authorities;
5.2.3. Any notice, inquiry or investigation by a Supervisory Authority with respect to Controller’s Personal Data or
5.2.4. Any complaint or request (in particular, requests for access to, rectification or blocking of Controller’s Personal Data) received directly from Controller’s data subjects. Processor will not respond to any such request without Controller’s prior written authorization.
5.3. Processor will provide reasonable assistance to Controller regarding:
5.3.1. Any requests from Controller’s data subjects in respect of access to or the rectification, erasure, restriction, portability, blocking or deletion of Controller’s Personal Data that Processor processes for Controller. If a data subject sends such a request directly to Processor, Processor will promptly send such request to Controller. Such requests shall be fulfilled by the Processor in accordance with documented instructions by the Controller without undue delay.
5.3.2. The investigation of Personal Data Breaches and the notification to the Supervisory Authority and Controller ‘s data subjects regarding such Personal Data Breaches
5.3.3. Where appropriate, the preparation of data protection impact assessments and, where necessary, carrying out consultations with any Supervisory Authority.
5.4. Processor may claim a reasonable fee for support services which are not included in the description of the services, and which are not attributable to failures on the part of the Processor.
5.5. If Processor is required by Data Protection Requirements to process any Controller’s Personal Data for a reason other than providing the services described in the DPA, Processor will inform Controller of this requirement in advance of any processing, unless Processor is legally prohibited from
informing Controller of such processing (e.g., as a result of secrecy requirements that may exist under applicable EU member state laws).
5.6. If Processor intends to engage sub-processors to help it satisfy its obligations in accordance with this DPA or to delegate all or part of the processing activities to such sub-processors, Processor must
(i) keep an exclusive of the list of sub-processors which Processor maintains online; (ii) remain liable to Controller for the sub-processors’ acts and omissions with regard to data protection where such sub-processors act on Processor’s instructions; and (iii)enter into contractual arrangements with such sub-processors binding them to provide the same level of data protection and information security to that provided for in this DPA. Current sub-processors are listed in the Annex A. Hereby Controller provides
Processor with general written authorization for engaging sub-processors, Processor shall inform Controller of any intended changes concerning the addition or replacement of other sub-processors, thereby giving Controller the opportunity to object to such changes.
- 責任和審計
6.1. 任何因違反數據保護要求而遭受物質或非物質損害的人,都有權從控制者或處理者那裡獲得所遭受損害的賠償。對造成損害的事件負責的一方必須賠償對數據主體的損害。
6.2. 控制者應對因違反數據保護要求的處理而造成的損害負責。只有當處理者沒有遵守專門針對處理者的數據保護要求的義務,或者它的行為超出或違反控制者的合法指示時,處理者才應對處理造成的損害負責。
6.3. 如果控制者或處理者證明其對造成損害的事件不負任何責任,則控制者或處理者應免除責任。
6.4. 如果監管機構要求對控制者處理控制者個人數據的數據處理設施進行審計,以確定或監控控制者是否遵守數據保護要求,則處理者將配合此類審計。
6.5. 在與處理者協商后,控制者有權進行檢查或由根據具體情況指定的審計師進行檢查。審計師有權通過以下方式評估處理者在其業務運營中對本 DPA 的遵守情況:
隨機檢查,通常要提前公佈。
6.6. 處理者應允許控制者驗證其是否遵守《通用數據保護條例》規定的義務。處理者承諾根據要求向控制者提供必要的資訊,特別是展示技術和組織措施的實施情況
- 數據返回和刪除
7.1.未經控制者知情和同意,處理者不得創建控制者個人數據的副本或副本,但備份副本和確保有序數據處理所必需的副本以及滿足監管數據保留要求所需的數據除外。
7.2. 雙方同意,在數據處理服務終止或應控制者的合理要求時,處理者應並應促使任何子處理者根據控制者的選擇,將控制者的所有個人數據和此類數據的副本返還給控制者或安全地銷毀它們
並向控制者證明其已採取此類措施,除非數據保護要求阻止處理者歸還或銷毀控制者披露的全部或部分個人數據。在這種情況下,處理者同意對其保留的控制者個人數據保密,並且只會在該日期之後主動處理此類控制者的個人數據,以遵守適用法律。當法律要求保留數據時,處理者可免除此義務。
- 第三方數據處理者
8.1.處理者承認,在提供某些服務時,處理者在收到控制者的指示后,可能會將控制者的個人數據傳輸給第三方數據處理者,並以其他方式與第三方數據處理者進行交互。處理者同意,如果發生此類傳輸,並且在一定程度上發生,處理者應負責
與此類第三方數據處理者簽訂單獨的合同安排,約束他們遵守數據保護要求規定的義務。為免生疑問,此類第三方數據處理者不是次級處理者。
- 術語
9.1.只要處理者代表控制者執行個人數據處理操作,本 DPA 就一直有效,直到協議終止。所有個人數據必須根據上述第 7 條予以歸還或刪除。
- 雜項
本 DPA 應受愛沙尼亞法律管轄,與本 DPA 相關的任何訴訟或程式(包括因非合同爭議或索賠引起的訴訟或訴訟)將在愛沙尼亞塔林的 Harju 縣法院提起。
《和平協定》附件A
學生招生平臺「DreamApply」
1. 數據主體。
處理的個人數據涉及 (i) 申請人(自然人)申請在控制機構學習(已提交和未提交的申請),(ii) 顧問(將申請人發送給控制者並由控制者授予訪問許可權和權利的自然人),(iii) 連絡人(自然人,資訊應由相應的申請人提供),(iv) 推薦人(自然人,資訊應由相應的申請人提供)和註冊的管理員
由控制者(管理員)和/或代表控制者(管理員)的 DreamApply 平臺,(v) 通過功能附加元件收集數據的人員。
2. 處理目的。
該處理旨在允許控制者通過學生招生平臺「DreamApply」管理申請,並通過功能附加元件進行行銷。處理器必須在必要時提供支援。控制者確定
通過處理者提供的平臺處理個人數據,授權和監督任何此類數據處理。控制者正在收集和審查申請人通過DreamApply平臺提交的資訊。
3. 資料類別。
傳輸的個人資料涉及以下類別的數據:
3.1. 申請人的用戶數據(個人數據):向控制者提交申請所需的個人資訊——聯繫資訊、有關該領域先前教育和經驗的資訊、身份資訊、有關語言技能的資訊以及申請所需的其他相關信息(完整清單可在平臺中找到)。財務總監根據國家法律、財務總監的做法和申請人申請的具體計劃決定申請所需的資訊。
3.2. 申請人的用戶數據(敏感數據):控制者不得收集敏感數據,但有關健康(殘疾)的數據除外。財務總監只能在自願的基礎上收集健康資訊,以確認對設施的特殊要求或法律要求。如果控制者通過DreamApply平臺收集敏感數據,則有義務通知申請人。
3.3. 顧問的數據(個人數據):姓名、地區、跟蹤器、電子郵件、郵政位址、登錄代碼、合同有效期(和簽署日期)、組、註釋、附件、訪問許可權(管理和/或查看申請的能力)。
3.4. 連絡人(申請人的緊急聯繫人)的數據(個人數據):姓名、電子郵件、電話號碼、郵政位址、與相應申請人(即母親、父親)的關係。
3.5. 被裁判人的數據(個人數據)(如果由申請人插入):姓名、電子郵件、工作職位。
3.6. 有關控制器在DreamApply上註冊的管理員的數據:姓名、電子郵件、職位、訪問許可權和在平臺上的操作。
4. 處理活動
傳輸的個人數據將受到以下基本處理活動的約束:
4.1. 申請提交和處理;
4.2. 統計報告收集;
4.3. 自動需求分析;
4.4. 報價和檔生成;
4.5. 支援(對控制者和使用“DreamApply”)相關的處理活動;
4.6. 顧問及其合同管理;
4.8. 牽頭(潛在申請人)管理;
4.9. 在營銷活動中,通過功能附加元件收集聯繫人、研究興趣和有關資訊渠道的數據
控制者授予權利並意識到處理者將有關申請人的非個人化數據用於研究目的(包括非個性化統計),以提高系統的效率和品質,預測資訊和數據流,以便更好地回應控制者的
(包括申請人)的需求,並提高對向潛在合作夥伴提供的服務的認識。控制者授予處理者專有且不可撤銷的權利,以生成有關DreamApply平臺使用的匿名統計數據,併為業務分析和共用此類統計數據
以任何媒體形式以及通過現在已知或以後發現或開發的任何網站、社交媒體網路或媒體渠道進行開發、行銷和促銷目的。此類匿名統計數據僅在泛化時才會共用(包括但不限於泛化
大學、城市、國家層面)。收集的數據數量和類型取決於控制者和申請要求。控制者可以根據數據主體的要求糾正、刪除或阻止有關數據主體的錯誤數據。控制者必須確保數據主體對出於一個或多個特定目的處理其個人數據給予有效同意,並被告知他/她的權利。
5. 處理期限
財務總監根據國家法律和研究期限決定處理的持續時間。控制器決定存儲數據的持續時間。控制者具有技術可能性,當不再需要為收集目的處理個人數據並且法律不要求處理個人數據時,應根據其規定刪除個人數據。刪除後,數據也將在15-45天內自動從備份中刪除。
6. 基礎設施供應商和次級處理商
本節詳細介紹了處理器的基礎架構供應商和子處理器: https://www.dreamapply.com/gdpr-sub-processors。此外,可選集成(子處理器)清單可在 https://www.dreamapply.com/integrations 訪問。這些清單經過精心維護並定期更新。學習協議網站還使用第三方服務提供者Google提供功能性網路Cookie。
7. 其他有用資訊
7.1. 根據歐盟數據保護條例運作的控制者應告知申請人有關數據處理活動的資訊,包括法律依據、保留期限、安全措施、評估、糾正、刪除、接收者、投訴程式等。控制者應在學生招生平臺「DreamApply」上提交隱私聲明和 Cookie 聲明。每一方都應負責設置一個cookie橫幅,該橫幅與各自使用的cookie(作為數據控制者)對其存在和內容負責。處理器,根據從
控制者可能會提供有關如何設置cookie橫幅的培訓。
7.2. 管理員根據控制者授予他們的權利(直接和/或間接通過其他管理員),可以逐案刪除申請人的申請,也可以批量刪除(例如選擇上學期的所有申請人)。如果申請人刪除了他/她的申請
研究控制器的程式,然後管理員必須確認刪除,然後才能從 DreamApply 端進行刪除。
7.3. 客戶幸福部門(在處理者使用“DreamApply”方面向控制者提供支援)有權訪問控制者的個人數據。所有存取都被記錄下來——來自客戶幸福部門以及控制器(管理員)端、
日誌僅顯示訪問開始的時間,而不顯示訪問的結束時間。處理者的配置團隊應在專業關係的第一年內訪問控制者的個人數據,以便提供支援,一年後他們的訪問許可權將被撤銷。僅從處理器端訪問
通過內部網路和/或通過 VPN,如果每個使用者需要,第二因素識別。需要提供訪問原因並將其保存在系統中。
《和平協定》附件B
學習協議平臺 dream-agreement.eu
1. 數據主體。
處理的個人數據涉及使用學習協議平臺的控制者(發送或接收機構)交換學生和員工(協調員或聯繫人)。
2. 處理目的。
該處理旨在允許控制者管理學習協定。處理器為協定交換和簽署提供平臺。控制者可以充當發送或接收機構。發送機構是將學生送到交換計劃的高等教育機構,接收機構是接受學生參加他們的高等教育機構
作為交換生的機構。數據處理由各方(學生、發送機構、接收機構、Dream Apply 作為數據處理者)進行。各方將承諾在使用平臺時遵守數據保護法律和原則。詳細資訊和角色可以在平台網站上閱讀。本附件B第7節也與此相關。
3. 資料類別。
控制者作為平臺用戶的員工身份數據,以及學生和/或交換學生在管理平臺上交換協定時的身份和教育數據。
4. 處理活動
管理學生交流專案和招生,簽署學習協定。
5. 處理期限
財務總監根據國家法律和研究期限決定處理的持續時間。控制器決定存儲數據的持續時間。控制者具有技術可能性,當不再需要為收集目的處理個人數據並且法律不要求處理個人數據時,應根據其規定刪除個人數據。刪除後,數據也將在15-45天內自動從備份中刪除。
6. 基礎設施供應商和次級處理商
本節詳細介紹了處理器的基礎架構供應商和子處理器: https://www.dreamapply.com/gdpr-sub-processors。此外,可選集成(子處理器)清單可在 https://www.dreamapply.com/integrations 訪問。這些清單經過精心維護並定期更新。學習協議網站還使用第三方服務提供者Google提供功能性網路Cookie。
7. 其他有用資訊
Dream Apply OÜ(處理者)提供的網站 dream-agreement.eu 和學習協議平臺是受處理者的一般服務條款和本數據處理協定約束的免費服務。登錄后,也請閱讀網站上有關學習協定平臺的具體資訊和條款 www.dream-agreement.eu 。相關的個人數據處理被分配到與處理者的主要服務DreamApply平臺相同的隱私保護措施和政策。
相似性檢查服務(由子處理商 Turnitin LCC 提供)
1. 數據主體。
處理的個人數據涉及申請在學術機構學習的申請人(自然人)。
2. 處理目的。
該處理旨在使控制者能夠檢測學術部門的潛在抄襲行為。收集、存儲、檢索、使用(在文本匹配函數的上下文中)。
3. 資料類別。
名字、姓氏、電子郵件地址、學生證號碼、內容、學術論文或擬發表的文本。
4. 收件者。
所處理的個人資料只能披露給申請人已提交申請的機構。
5. 其他有用資訊
控制者的個人數據與 Turnitin LCC 儲存和處理的任何其他數據分開加密和存儲,只有在處理者向 Turnitin LCC 提出驗證個人數據詳細資訊的請求時才會被解密。處理者提供的控制者的個人數據不能用於索引或為 Turnitin LCC 其他客戶提供匹配項,或用於機器學習演算法的訓練,除非個人數據是完全匿名的,並且匿名化方法得到了處理者的批准。
6. DreamID 產品(由 DreamApply OÜ 作為數據控制者提供)
6.1. 控制器 – 處理器角色
DreamID 產品由 DreamApply OÜ 提供,作為大學和/或其他高等教育機構 (HEI) 的安全身份驗證申請人客戶經理。為了讓申請人能夠使用一個DreamID帳戶註冊/登錄不同高等教育機構的申請,DreamApply需要收集申請人的姓名和電子郵件地址作為最低限度的數據集,以便對相應的申請人進行安全認證。DreamApply在為申請人創建DreamID帳戶的基礎上,充當DreamID產品的數據控制者,無論申請人申請的具體HEI如何,並使用相同的帳戶向任何其他高等教育機構申請。由於DreamApply是DreamID產品的數據控制者,因此DreamApply還承擔數據主體的權利(即訪問和刪除)和個人數據安全的責任。DreamApply作為數據控制者,還決定了有關DreamID的數據處理的目的和方式。
6.2. 數據主體。
處理的個人數據涉及申請在HEI學習的申請人(自然人)。
6.3. 處理目的。
該處理旨在啟用 DreamID 帳戶和安全登錄服務。
6.4. 資料類別。
全名、電子郵件地址、密碼、安全歷史記錄(登錄歷史記錄)。
可選取:多重身份驗證詳細資訊,例如備用驗證碼、身份驗證應用 (TOTP)、電話號碼或安全密鑰(例如:YubiKey)
6.5. 收件者。
所處理的個人數據只能向申請人提交申請的高等教育機構披露。
6.6. 其他有用資訊
DreamID 產品功能在 DreamID 隱私聲明中進行了描述,可在此處獲得: https://id.dreamapply.com/privacy 。