資料處理協定 (DPA)
本數據處理協定(“DPA”)由 DreamApply OÜ(“處理者”)、學生招生平臺“DreamApply”提供者(註冊地址為 Pärnu mnt 102b, Tallinn, Estonia)和 A 大學或其他教育機構(“控制者”)簽訂,後者使用學生招生平臺“DreamApply”或處理者提供的任何其他平臺或服務接受潛在學生的申請,並已與處理者簽訂協定。本 DPA 管理處理者代表控制者處理的個人數據的處理。
1. 定義
1.1. 控制者的個人數據是指處理者代表控制者處理的與使用處理者服務有關的個人數據。
1.2. 數據保護要求是指《通用數據保護條例》、當地數據保護法、實施《通用數據保護條例》的任何附屬立法和法規。
1.3. 歐盟個人數據是指根據本 DPA 共享受《通用數據保護條例》和當地數據保護法監管的個人數據。
1.4. 《通用數據保護條例》是指歐盟關於在個人數據處理方面保護個人和此類數據自由流動的法規。
1.5. 本地數據保護法是指實施《通用數據保護條例》的任何附屬立法和法規,這些立法和法規可能適用於本 DPA。
1.6. 個人數據是指與已識別或可識別的自然人有關的任何資訊;可識別的自然人是指可以直接或間接識別的人,特別是通過參考姓名、身份證號碼、位置數據、在線標識碼等標識碼或特定於該自然人的身體、生理、遺傳、心理、經濟、文化或社會身份的一個或多個因素。它包括控制器選擇提供給處理器的數據。
1.7. 個人數據洩露是指任何意外或非法的破壞、丟失、更改、未經授權披露或訪問控制者的個人數據。
1.8. 隱私法是指與以下方面相關的所有適用法律、法規和其他法律要求:(a) 隱私、數據安全、消費者保護、行銷、促銷和簡訊、電子郵件和其他通信;以及 (b) 任何個人數據的使用、收集、保留、存儲、安全、披露、傳輸、處置和其他處理。
1.9. 流程及其同源詞是指對個人數據或個人數據集執行的任何操作或一組操作,無論是否通過自動化方式執行,例如收集、記錄、組織、構建、存儲、改編或更改、檢索、諮詢、使用、披露
傳輸、傳播或以其他方式提供、對齊或組合、限制、刪除或銷毀。
1.10. 控制者 – 指從處理者處獲得服務的機構。
1.11. “監管機構”是指愛沙尼亞數據保護監察局。
2. 數據處理的性質
2.1. 處理者是數據處理者,代表控制者處理數據。處理者同意僅出於本 DPA 中規定的目的處理根據 DPA 收到的個人數據。為免生疑問,所處理的個人數據類別在本附件 A 和 B 中進行了描述
DPA。
3. 遵守法律
3.1. 雙方應各自遵守所有適用的數據保護要求下的義務。
- 控制者的義務
4.1. 控制者同意:
4.1.1. 向處理者提供說明,並確定處理者根據本 DPA 處理控制者個人數據的目的和一般方式;
4.1.2. 通過以下方式,遵守數據處理者數據保護要求中規定的與控制者個人數據有關的數據保護、安全和其他義務:(a) 建立和維護代表控制者處理其個人數據的個人行使權利的程式;(b) 僅處理已合法有效收集的數據,並確保此類數據與各自的用途相關且相稱;及 (c) 確保
其人員或任何第三方訪問或使用 DPA 的規定
控制者的個人數據代表其。
4.1.3. 控制者負責獲得數據主體的同意(如適用)。 同意是數據主體允許控制者處理其個人數據的指示。同意書需要採用書面或電子形式。
4.1.4. 控制者負責使用DreamApply與 第三方服務提供者的集成 https://www.dreamapply.com/integrations。此類第三方服務提供者是 DreamApply 無法控制的獨立數據處理者。儘管 DreamApply 根據整體合規性水準選擇整合供應商,但控制者在將第三方服務提供者集成到其流程和系統之前,應閱讀第三方服務提供者的條款和隱私文檔。
- 處理者的義務
5.1. Processor will:
5.1.1. Process Controller’s Personal Data (i) only for the purpose of providing, supporting and improving Processor’s services, using appropriate technical and organizational security measures; and (ii) in compliance with the instructions received from Controller. Processor will not use or process the
Controller’s Personal Data for any other purpose. Processor will promptly inform Controller if it cannot comply with the requirements under Sections 5-8 of this DPA, in which case Controller may terminate this DPA or take any other reasonable action, including suspending data processing operations;
5.1.2. Inform Controller promptly if, in Processor’s opinion, an instruction from Controller violates applicable Data Protection Requirements;
5.1.3. Take commercially reasonable steps to ensure that persons employed by it and other persons engaged to perform on Processor’s behalf comply with the terms of this DPA;
5.1.4. Ensure that its employees, authorized agents and any sub-processors are required to comply
with and acknowledge and respect the confidentiality of the Controller’s Personal Data, including after the end of their respective employment, contract or assignment. The Processor and any person acting under its authority who has access to Controller’s Personal Data, shall not process that data unless upon instructions by the Controller, including the powers granted under this DPA, unless they are required to do so by law;
5.1.5. Upon request, provide Controller with a summary of Processor’s privacy and security policies or other documented evidence that the Processor has implemented necessary technical and organizational measures;
5.1.6. Inform Controller if Processor undertakes an independent security review;
5.1.7. Maintain appropriate organizational and technical security measures (including with respect to personnel, facilities, hardware and software, storage and networks, access controls, monitoring and logging, vulnerability and breach detection, incident response, encryption of Controller’s Personal Data while in transit and at rest) to protect against unauthorized or accidental access, loss, alteration, disclosure or destruction of Controller’s Personal Data;
5.1.8. Be responsible for the sufficiency of the security, privacy, and confidentiality safeguards of all Processor personnel with respect to Controller’s Personal Data and liable for any failure by such Processor personnel to meet the terms of this DPA;
5.1.9. Take reasonable steps to confirm that all Processor personnel are protecting the security, privacy and confidentiality of Controller’s Personal Data consistent with the requirements of this DPA, and
5.1.10. Notify Controller of any Personal Data Breach by Processor, its sub-processors, or any other third parties acting on Processor’s behalf without undue delay and in any event within 72 hours of becoming aware of a Personal Data Breach.
5.2. Processor will inform Controller if Processor becomes aware of:
5.2.1. Any non-compliance by Processor or its employees with Sections 5-8 of this DPA or the Data Protection Requirements relating to the protection of Controller’s Personal Data processed under this DPA;
5.2.2. Any legally binding request for disclosure of Controller’s Personal Data by a law enforcement authority, unless Processor is otherwise forbidden by law to inform Controller, for example to preserve the confidentiality of an investigation by law enforcement authorities;
5.2.3. Any notice, inquiry or investigation by a Supervisory Authority with respect to Controller’s Personal Data or
5.2.4. Any complaint or request (in particular, requests for access to, rectification or blocking of Controller’s Personal Data) received directly from Controller’s data subjects. Processor will not respond to any such request without Controller’s prior written authorization.
5.3. Processor will provide reasonable assistance to Controller regarding:
5.3.1. Any requests from Controller’s data subjects in respect of access to or the rectification, erasure, restriction, portability, blocking or deletion of Controller’s Personal Data that Processor processes for Controller. If a data subject sends such a request directly to Processor, Processor will promptly send such request to Controller. Such requests shall be fulfilled by the Processor in accordance with documented instructions by the Controller without undue delay.
5.3.2. The investigation of Personal Data Breaches and the notification to the Supervisory Authority and Controller ‘s data subjects regarding such Personal Data Breaches
5.3.3. Where appropriate, the preparation of data protection impact assessments and, where necessary, carrying out consultations with any Supervisory Authority.
5.4. Processor may claim a reasonable fee for support services which are not included in the description of the services, and which are not attributable to failures on the part of the Processor.
5.5. If Processor is required by Data Protection Requirements to process any Controller’s Personal Data for a reason other than providing the services described in the DPA, Processor will inform Controller of this requirement in advance of any processing, unless Processor is legally prohibited from
informing Controller of such processing (e.g., as a result of secrecy requirements that may exist under applicable EU member state laws).
5.6. If Processor intends to engage sub-processors to help it satisfy its obligations in accordance with this DPA or to delegate all or part of the processing activities to such sub-processors, Processor must
(i) keep an exclusive of the list of sub-processors which Processor maintains online; (ii) remain liable to Controller for the sub-processors’ acts and omissions with regard to data protection where such sub-processors act on Processor’s instructions; and (iii)enter into contractual arrangements with such sub-processors binding them to provide the same level of data protection and information security to that provided for in this DPA. Current sub-processors are listed in the Annex A. Hereby Controller provides
Processor with general written authorization for engaging sub-processors, Processor shall inform Controller of any intended changes concerning the addition or replacement of other sub-processors, thereby giving Controller the opportunity to object to such changes.
- 責任和審計
6.1. 任何因違反數據保護要求而遭受物質或非物質損害的人,都有權從控制者或處理者那裡獲得所遭受損害的賠償。對造成損害的事件負責的一方必須對數據主體的損害進行賠償。
6.2. 控制者應對因違反數據保護要求的處理而造成的損害負責。只有在處理者未遵守專門針對處理者的數據保護要求義務,或者其行為超出或違反控制者的合法指示時,處理者才應對處理造成的損害負責。
6.3. 如果控制者或處理者證明其對造成損害的事件不承擔任何責任,則控制者或處理者應免於承擔責任。
6.4. 如果監管機構要求對控制者處理控制者個人數據的數據處理設施進行審計,以確定或監控控制者是否遵守數據保護要求,則處理者將配合此類審計。
6.5. 在與處理者協商后,財務總監有權進行檢查或由審計員根據具體情況進行檢查。審計師有權通過以下方式評估處理者在其業務運營中對本 DPA 的遵守情況:
隨機檢查,通常要提前公佈。
6.6. 處理者應允許控制者驗證其遵守《通用數據保護條例》規定的義務。處理者承諾根據要求向控制者提供必要的資訊,特別是證明技術和組織措施的實施情況
- 數據返回和刪除
7.1.在未經控制者知情和同意的情況下,處理者不得創建控制者個人數據的副本或副本,但備份副本和確保有序數據處理所必需的副本除外,以及滿足監管數據保留要求所需的數據。
7.2. 雙方同意,在數據處理服務終止或應控制者的合理要求時,處理者應並應促使任何次級處理者根據控制者的選擇,將控制者的所有個人數據和此類數據的副本歸還給控制者或安全地銷毀它們
並向控制者證明其已採取此類措施,除非數據保護要求阻止處理者歸還或銷毀所披露的控制者的全部或部分個人數據。在這種情況下,處理者同意對其保留的控制者的個人數據進行保密,並且只有在該日期之後才會主動處理該控制者的個人數據,以遵守適用法律。當法律要求保留數據時,處理者可免除此義務。
- 第三方數據處理者
8.1.處理者承認,在提供某些服務時,處理者在收到控制者的指示后,可能會將控制者的個人數據傳輸給第三方數據處理者,並以其他方式與第三方數據處理者互動。處理者同意,如果發生此類傳輸,則處理者應負責
與此類第三方數據處理者簽訂單獨的合同安排,約束他們遵守數據保護要求規定的義務。為免生疑問,此類第三方數據處理者不是次級處理者。
- 術語
9.1.只要處理者代表控制者執行個人數據處理操作,本 DPA 就應一直有效,或者直到協議終止。所有個人數據必須根據上述第 7 條歸還或刪除。
- 雜項
本 DPA 應受愛沙尼亞法律管轄,與本 DPA 相關的任何訴訟或程式(包括由非合同爭議或索賠引起的訴訟或程式)將在愛沙尼亞塔林的 Harju 縣法院提起。
DPA附件A
學生招生平臺「DreamApply」
1. 數據主體。
處理的個人數據涉及 (i) 申請人(自然人)申請在控制機構學習(已提交和未提交的申請),(ii)顧問(將申請人發送給控制者並由控制者授予訪問許可權和權利的自然人),(iii) 連絡人(自然人,資訊應由相應的申請人提供),(iv) 被推薦人(自然人,資訊應由各自的申請人提供)和註冊的管理員
DreamApply平臺由和/或代表控制者(管理員),(v)通過功能附加元件收集數據的人員。
2. 處理目的。
該處理旨在使控制器能夠通過學生招生平臺「DreamApply」管理應用程式,並通過功能附加元件進行行銷。處理器必須在必要時提供支援。控制者確定
處理個人數據,並通過處理者提供的平臺,授權和監督任何此類數據處理。財務總監正在收集和審查申請人通過DreamApply平臺提交的資訊。
3. 資料類別。
傳輸的個人資料涉及以下類別的數據:
3.1. 申請人的用戶數據(個人數據):向控制者提交申請所需的個人資訊——聯繫資訊、有關先前教育和該領域經驗的資訊、身份資訊、語言技能資訊以及申請所需的其他相關信息(完整清單可在平臺中找到)。財務總監根據國家法律、財務總監的做法和申請人申請的具體計劃決定申請所需的資訊。
3.2. 申請人的用戶數據(敏感數據):控制者不得收集敏感數據,但有關健康(殘疾)的數據除外。財務主任只能在自願的基礎上收集健康資訊,以確認對設施的特殊要求或法律要求。如果控制者將通過DreamApply平臺收集敏感數據,則有義務通知申請人。
3.3. 顧問的數據(個人數據):姓名、地區、跟蹤器、電子郵件、郵政位址、登錄代碼、合同有效期(和簽署日期)、組、註釋、附件、訪問許可權(管理和/或查看所提交申請的能力)。
3.4. 連絡人(申請人的緊急聯繫人)的數據(個人數據):姓名、電子郵件、電話號碼、郵政位址、與相應申請人(即母親、父親)的關係。
3.5. 推薦人的數據(個人數據)(如果由申請人插入):姓名、電子郵件、工作職位。
3.6. 控制器在DreamApply上註冊的管理員數據:姓名、電子郵件、職位、訪問許可權和在平臺上的操作。
4. 加工活動
傳輸的個人資料將進行以下基本處理活動:
4.1. 申請的提交和處理;
4.2. 統計報告收集;
4.3. 自動需求分析;
4.4. 報價和檔生成;
4.5. 支援(針對控制者和使用“DreamApply”)相關處理活動;
4.6. 顧問及其合同管理;
4.8. 領導(潛在申請人)管理;
4.9. 在營銷活動中,通過功能附加元件收集聯繫人、研究興趣和有關資訊渠道的數據
控制者授予權利,並意識到處理者將有關申請人的非個人化數據用於研究目的(包括用於非個性化統計),以提高系統的效率和品質,預測資訊和數據流,以便更好地回應控制者的
(包括申請人)的需求,並提高對向潛在合作夥伴提供的服務的認識。控制者授予處理者獨家且不可撤銷的權利,以生成有關DreamApply平臺使用的匿名統計數據,併為業務分析和共用此類統計數據
以任何媒體形式以及通過現在已知或以後發現或開發的任何網站、社交媒體網路或媒體渠道進行開發、行銷和促銷目的。此類匿名統計數據僅在泛化時才會共用(包括但不限於廣義的
大學、城市、國家層面)。收集的數據的數量和類型取決於控制者和申請要求。控制者可以根據數據主體的要求糾正、刪除或阻止有關數據主體的錯誤數據。控制者必須確保數據主體有效同意出於一個或多個特定目的處理其個人數據,並被告知他/她的權利。
5. 處理期限
財務主任根據國家法律和研究期限決定處理的持續時間。控制器決定存儲數據的持續時間。控制者具有技術上的可能性,當不再需要為收集目的而處理個人數據並且法律不需要處理時,控制者應根據其規定刪除個人數據。刪除後,數據也會在 15-45 天內從備份中自動刪除。
6. 基礎設施供應商和分處理者
本節詳細介紹了處理者的基礎設施供應商和子處理者: https://www.dreamapply.com/gdpr-sub-processors。此外,可選集成(子處理器)清單可在 https://www.dreamapply.com/integrations 訪問。這些清單經過精心維護並定期更新。學習協議網站還使用第三方服務提供者Google提供功能性網路Cookie。
7. 其他有用資訊
7.1. 根據《歐盟數據保護條例》運營的控制者應告知申請人數據處理活動,包括法律依據、保留期限、安全措施、評估、更正、刪除、接收者、投訴程式等。控制者應在學生招生平臺「DreamApply」上提交隱私聲明和Cookie聲明。每一方應負責設置一個與各方使用的cookie相關的cookie橫幅(作為數據控制者),並對其存在和內容負責。處理器,根據從
控制者可能會提供有關如何設置cookie橫幅的培訓。
7.2. 管理員可以根據控制者(直接和/或間接通過其他管理員)授予他們的權利刪除申請人的申請 - 可以逐案刪除,也可以批量刪除(例如,選擇上學期的所有申請人)。如果申請人刪除他/她的申請
研究控制器的程式,然後管理員必須確認刪除,然後才能從 DreamApply 端進行刪除。
7.3. 客戶幸福部門(在處理者使用“DreamApply”方面向控制者提供的支援)有權訪問控制者的個人數據。所有訪問都被記錄下來——來自客戶幸福部門以及來自控制器(管理員)端,
日誌僅顯示訪問開始的時間,而不顯示訪問的結束時間。處理者的配置團隊應在建立專業關係的第一年內訪問控制者的個人數據,以便提供支援,一年後他們的訪問許可權被撤銷。只能從處理器端訪問
通過內部網路和/或通過VPN,如果每個使用者需要,則進行第二因素識別。需要提供訪問原因並將其保存在系統中。
《和平協定》附件B
學習協議平臺 dream-agreement.eu
1. 數據主體。
處理的個人數據涉及使用學習協議平臺的控制者(發送或接收機構)交換生和員工(協調員或聯繫人)。
2. 處理目的。
該處理旨在使控制者能夠管理學習協定。處理者為協定交換和簽署提供平臺。控制者可以充當發送機構或接收機構。發送機構是將學生送到交換計劃的高等教育機構,接收機構是接受學生參加其交流計劃的高等教育機構
作為交換生的機構。數據處理由各方(學生、發送機構、接收機構、夢想申請作為數據處理者)進行。各方在使用平臺時將承諾遵守數據保護法律和原則。詳細資訊和角色可以在平台網站上閱讀。本附件B第7節也與此相關。
3. 資料類別。
在管理平臺上的交換協定時,控制者作為平臺用戶的員工身份數據以及學生和/或交換學生的身份和教育數據。
4. 加工活動
管理學生交流專案和招生,簽署學習協定。
5. 處理期限
財務主任根據國家法律和研究期限決定處理的持續時間。控制器決定存儲數據的持續時間。控制者具有技術上的可能性,當不再需要為收集目的而處理個人數據並且法律不需要處理時,控制者應根據其規定刪除個人數據。刪除後,數據也會在 15-45 天內從備份中自動刪除。
6. 基礎設施供應商和分處理者
本節詳細介紹了處理者的基礎設施供應商和子處理者: https://www.dreamapply.com/gdpr-sub-processors。此外,可選集成(子處理器)清單可在 https://www.dreamapply.com/integrations 訪問。這些清單經過精心維護並定期更新。學習協議網站還使用第三方服務提供者Google提供功能性網路Cookie。
7. 其他有用資訊
Dream Apply OÜ(處理者)提供的網站 dream-agreement.eu 和學習協議平臺是受處理者的一般服務條款和本數據處理協定約束的免費服務。登錄后,請在網站上 www.dream-agreement.eu 閱讀有關學習協定平臺的具體資訊和條款。相關的個人數據處理被分配到與處理者的主要服務DreamApply平臺相同的隱私保護措施和政策中。
相似性檢查服務(由子處理商 Turnitin LCC 提供)
1. 數據主體。
處理的個人數據涉及申請在學術機構學習的申請人(自然人)。
2. 處理目的。
該處理旨在使控制者能夠檢測學術界的潛在剽竊行為。收集、存儲、檢索、使用(在文本匹配函數的上下文中)。
3. 資料類別。
名字、姓氏、電子郵件地址、學生證號碼、內容、學術論文或擬議的已發表文本。
4. 收件者。
所處理的個人資料只可能向申請人提交申請的機構披露。
5. 其他有用資訊
控制者的個人數據與 Turnitin LCC 儲存和處理的任何其他數據分開加密和存儲,只有在處理者向 Turnitin LCC 提出驗證個人數據詳細資訊的請求時才會被解密。除非個人數據完全匿名化且匿名化方法已獲得處理方批准,否則處理者提供的控制者的個人數據不能用於索引或為 Turnitin LCC 其他客戶提供匹配項,或用於機器學習演算法的訓練。
6. DreamID產品(由DreamApply OÜ作為數據控制者提供)
6.1. 控制器 – 處理器角色
DreamID 產品由 DreamApply OÜ 提供,作為大學和/或其他高等教育機構 (HEI) 的安全認證申請人客戶經理。為了讓申請人能夠使用一個DreamID帳戶註冊/登錄不同高等教育機構的申請,DreamApply需要收集申請人的姓名和電子郵件地址作為最少的數據集,以便對相應的申請人進行安全認證。無論申請人申請的是哪個特定的高等教育機構,DreamApply都會根據為申請人創建DreamID帳戶的活動,擔任DreamID產品的數據控制者,並使用相同的帳戶申請任何其他高等教育機構。由於 DreamApply 是 DreamID 產品的數據控制者,因此 DreamApply 還對數據主體的權利(即訪問和刪除)和個人數據的安全負責。DreamApply作為數據控制者還決定了有關DreamID的數據處理的目的和方式。
6.2. 數據主體。
處理的個人數據涉及申請在HEI學習的申請人(自然人)。
6.3. 處理目的。
該處理旨在啟用 DreamID 帳戶和安全登錄服務。
6.4. 資料類別。
全名、電子郵件地址、密碼、安全歷史記錄(登錄歷史記錄)。
可選取:多重身份驗證詳細資訊,例如備份代碼、身份驗證應用 (TOTP)、電話號碼或安全密鑰(例如:YubiKey)
6.5. 收件者。
所處理的個人數據只能向申請人提交申請的高等教育機構披露。
6.6. 其他有用資訊
DreamID 產品功能在 DreamID 隱私聲明中進行了描述,網址為: https://id.dreamapply.com/privacy 。