[EN] [FR] [DE]

EUSurvey - Data Processing Agreement

Between the European Commission, and the EU Survey owner (user)

Having regard to Regulation (EU) 2018/1725 of the European Parliament and of the Council, of 23 October 2018, on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC (hereafter, Regulation (EU) 2018/1725) and

Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (hereafter, Regulation (EU) 2016/679)

Whereas:

(1) Article 29 of Regulation (EU) 2018/1725 establishes that where processing is to be carried out on behalf of a controller, the controller shall use only processors providing sufficient guarantees to implement appropriate technical and organisational measures in such a manner that processing will meet the requirements of this Regulation and ensure the protection of the rights of the data subject; Processing by a processor shall be governed by a contract or other legal act under Union or Member State law, that is binding on the processor with regard to the controller and that sets out the subject matter and duration of the processing, the nature and purpose of the processing, the type of personal data and categories of data subjects and the obligations and rights of the controller.

(2) Article 28 of Regulation (EU) 2016/679 establishes that where processing is to be carried out on behalf of a controller, the controller shall use only processors providing sufficient guarantees to implement appropriate technical and organisational measures in such a manner that processing will meet the requirements of this Regulation and ensure the protection of the rights of the data subject. Processing by a processor shall be governed by a contract or other legal act under Union or Member State law, that is binding on the processor with regard to the controller and that sets out the subject-matter and duration of the processing, the nature and purpose of the processing, the type of personal data and categories of data subjects and the obligations and rights of the controller.

Have agreed as follows:

Article 1 - Parties

This Data Processing Agreement (DPA) is established between the following parties:

1. the European Commission (EC) and its Directorate General for Informatics (DIGIT) (hereby “Service Provider“ or “Processor“) and

2. the natural person or a legal entity creating a survey in EU Survey or on behalf of which a Survey is created (hereafter “Survey Owner“ or “User“ or “Controller“), whether the survey is made available to third parties or not.

Together and hereinafter each referred to solely as a 'Party' and together 'the Parties'.

Article 2 - Scope of this Agreement

2.1 This Agreement sets out the allocation of respective roles, responsibilities and practical arrangements between the controller and the processor, for compliance with their data protection obligations under Regulation (EU) 2018/1725 and Regulation (EU) 2016/679, respectively, when carrying out the processing operation of EU Survey, by creating, using, promoting, or otherwise making available to third parties a survey by using the EU Survey tool and includes a standard common set of instructions provided to the processor (Service Provider) by the controller (Survey Owner).

2.2 The applicability of either Regulation (EU) 2018/1725 or Regulation (EU) 2016/679 will depend on which Regulation the Survey Owner is subject to. In case the Survey Owner is a Union institution, body, office or agency, Regulation (EU) 2018/1725 will apply; otherwise, it will be Regulation (EU) 2016/679. In any case, the Service Provider is subject to Regulation (EU) 2018/1725. In case the Survey Owner is subject neither to Regulation (EU) 2018/1725 or to Regulation (EU) 2016/679, the Survey Owner hereby commits to be compliant with the laws or rules that are applicable in its jurisdiction.

2.3 For the purpose of this Agreement, the definitions set out in Article 3 of Regulation (EU) 2018/1725 and Article 4 of Regulation (EU) 2016/679, respectively shall apply.

2.4 Description of the service: EU Survey is a free web application for online survey creation and publication that is developed, operated and maintained by DIGIT. Personal information needs to be processed by the Processor in order for the service to be provided to the Survey Owner. All data, personal and non-personal, that are collected via the EU Survey tool are hosted in the datacentres of the Service Provider (hereafter, 'Processing Operation').

Article 3 - Nature and Purpose of processing

3.1. For the following processing activities as described in this paragraph, the Survey Owner will act as a data controller once a survey is created and the Service Provider as a data processor. The main Processing Operation consists of the following processing activities:

The Service Provider, through EU Survey, collects and uses the personal information of the Survey Owner for the purpose of the user to connect to the EU Survey application and use the provided service for creating, managing, sharing and publishing online questionnaires and surveys. Full name (first and last name) and email address are retrieved by an automatic identity verification process via EU-Login and the European Commission's Central User Database, which is stored at the Data Centre of the European Commission. The contact details of the Survey Owner (first name and last name, email address) may also be used for contacting the user or provide support and for other quality management purposes.
EU Survey is using Europa Analytics for traffic statistics and analytics. Europa Analytics is the corporate service that monitors and evaluates the effectiveness and efficiency of the European Commission's websites on Europa. Europa Analytics is based on the open source analytics platform “Matomo“ and is installed on a webserver. Both the infrastructure and software are under the full control of the European Commission and comply with the current EU data protection legislation.
All data related to EUSurvey, i.e. personal data that might be collected in a survey, are stored on the servers of the Service Provider. This information is under the responsibility and direct control of the Survey Owner (user).

3.2. EU Survey specific content data that constitutes personal data, and may be collected in a survey falls out of the scope of this Agreement. This processing activity is under the exclusive responsibility of each Survey Owner when creating and sharing a survey with any third parties, acting as a data controller to ensure that personal data is collected in line with Regulation 2018/1725 (EUDPR) or Regulation 2016/679 (GDPR).

3.3 EU Survey is protected by EU-Login that is covered by Record DPR-EC-03187 and falls out of the scope of this Agreement. DG DIGIT processes personal data of the Survey Owner (user) during the user-authentication process in order to securely verify the identity of the user and provide access to the application that the user intends to use. The data entered by the user is compared to the stored account information that the user holds when creating his/her EU-Login profile, thus successfully authenticating the user. For EU-Login, DIGIT, Unit D3, is the sole controller.

3.4 Detailed information about the processing operations and its processing activities described in paragraph 3.1. is provided in Annex I to this Agreement that constitutes the Record of processing activities that needs to be maintained by the data processor in line with Article 31(2) of Regulation 2018/1725 and Article 30 (2) of Regulation 2016/679 respectively.

3.5. By creating an account in EU Survey and prior to creating a survey as a survey owner, the user has to provide a minimum set of personal data in order to use the tool. At this stage and before creating a survey, the European Commission is considered to be the sole controller (DPR-EC-01488). Once a survey is created paragraphs 3.1. to 3.4 are applicable.

Article 4 - Processing of personal data by the service provider as data processor

4.1. The European Commission as the service provider, collects and uses the Survey Owner's personal data through EU Survey for the purpose of enabling the survey Owner to connect to the EU Survey application and use the service for creating and publishing online questionnaires.

4.2 The European Commission however, is not responsible for the privacy and data protection policies or practices undertaken by the Survey Owner using the EU Survey application to create, communicate and publish an EU survey to a wider audience (other survey users). All personal data collected within such a survey will be processed by and under the responsibility of the Survey Owner including in particular a lawful collection of personal data in line with Article 5(1) of Regulation (EU) 2018/1725 and/or Article 6(1) of Regulation (EU) 2016/679 respectively.

4.3 It is strongly recommended to the Survey Owner to create, adopt and communicate a separate privacy statement (notice) and a record of processing operations when processing personal data using this tool to all survey contributors.

4.4. The service provider shall process on behalf of the EU Survey owner (user) any personal data included in or relating to this DPA in accordance with Regulation (EU) 2018/1725 and solely for the purposes set out herein. The subject matter, duration, nature and purpose of the processing, types of personal data and categories of data subjects concerning the processing by the service provider on the user's behalf are as follows:

For the provision, operation and management of EUSurvey tool:

Subject matter of the processing activity:	Processing of personal data in relation to the services provided to the Survey Owner according to the Terms and Conditions of Service and this Data Processing Agreement
Duration of the processing:	The Commission only keeps user personal data for the time necessary to fulfil its obligations stemming from the provision of the service to the EUSurvey owners (Users). More specifically, data will be processed: For as long as a user account remains active Data related to a user's account and all associated data (EU Survey related information etc) will be permanently deleted: once the user account is terminated upon request of the account owner after 2 years of account inactivity Logs will be stored for a maximum period of 6 months. Back-up policy: backups are taken on a daily basis and sent to a centralised backup infrastructure, managed by the service to ensure a Recovery Point Objective (RPO) of 24 hours. Retention time depends on the service class. EU Survey benefit from a 'Gold' service class that implies daily, weekly and monthly backups that are kept respectively for 35 days, 35 days and 1 year. Residual copies of deleted data may also continue to exist in our backups for disaster recovery purposes up to 1 year after the deletion has occurred, at which point it will be overwritten.
Types of personal data undergoing processing:	Identification data: Full name (first and last name) and email addresss, user-login ID (for access authentication via EU-Login). EU Survey uses the Europa Analytics service for traffic statistics and analytics. For further information see the Europa Analytics website All content data collected from EU Surveys are hosted in the servers of the EC. Logs: EU Survey technical log files store data about user actions. The log files contain data about user access (timestamp), email address each time an email is sent to someone or the EU-Login username when a user's login has changed. In some cases, there may be user-related data, such as IP addresses, when an exception has been raised. Cookies: EU Survey uses three different cookies. Two of them come from the EC official CCK1 (Cookie Consent Kit) and the _pk_id# and the third one is a session cookie (JSESSIONID) used to identify the user and make sure he is always forwarded to the same server. Full list of cookies used by the European Commission here: https://ec.europa.eu/info/cookies_en DIGIT does NOT process special categories of personal data within the context of EU-Survey and for the provision of the service. Nevertheless, Survey Owners might use EU Survey to collect special categories of personal data that might be hosted in the servers of the EC. The processing of such types of data by the Survey Owner should be in line with the obligation set out in Regulation 2018/1725 and Regulation 2016/679
Categories of data subjects:	Survey Owners (users), Survey participants and the Staff of the European Commission that is involved in the operation, management and maintenance of EU Survey platform on a “need to know“ basis.

4.5 The localisation of and access to the personal data processed by the processor, is limited to the territory of the European Union and the European Economic Area and will not leave that territory.

Article 5 - General obligations of the Service Provider

The service provider shall assist the survey owner (user) for the fulfilment of the Survey owner's obligations pursuant to Articles 33-41 of Regulation (EU) 2018/1725 or Articles 32-43 of Regulation (EU) 2016/679 respectively to:

ensure compliance with its data protection obligations regarding the security of the processing and the confidentiality of electronic communications and directories of users;
notify a personal data breach to the European Data Protection Supervisor or the relevant Data Protection Authority to which the survey owner may be subject;
communicate a personal data breach without undue delay to the data subject where applicable;
carry out data protection impact assessments and prior consultations as necessary.

The service provider may act only on documented written instructions and under the supervision of the Survey Owner (user), in particular with regard to the purposes of the processing, the categories of data that may be processed, the recipients of the data and the means by which the data subjects may exercise their rights.

The service provider shall immediately inform the survey owner if, in its opinion, an instruction of the client infringes Regulation (EU) 2018/1725 or other Union data protection provisions.

The service provider shall notify the controller without undue delay of any legally binding request for disclosure of the personal data processed on behalf of the controller made by any national public authority, including an authority from a third country. The service provider may not give such access without the prior written authorisation of the controller, unless required by EU or Member State law.

The service provider shall grant its personnel access to the personal data to the extent strictly necessary for the implementation, management and monitoring of the Agreement. The service provider must ensure that the personnel authorised to process personal data has committed itself to confidentiality or is under an appropriate statutory obligation of confidentiality in accordance with the provisions of Article 28.3.b of Regulation 2016/679 or Article 29.3.b. of Regulation 2018/1725.

Article 6 - Responsibility for the security of processing

The service provider has adopted appropriate technical and organisational security measures relating to the provided services¹. Both types of measures shall give due regard to the risks inherent in the processing and to the nature, scope, context and purposes of processing, in order to:

ensure the ongoing confidentiality, integrity, availability and resilience of processing systems and services;
restore the availability and access to personal data in a timely manner in the event of a physical or technical incident;
ensure a process for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures for ensuring the security of the processing;
ensure measures to protect personal data from accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to personal data transmitted, stored or otherwise processed.

Article 7 - Management of security incidents, including personal data breaches

The service provider shall communicate relevant personal data breaches to the survey owner without undue delay after the service provider becomes aware of the breach taking into account the nature of the processing and the information available to the service provider at that time. In such cases, the service provider shall provide the survey owner with at least the following information:

nature of the personal data breach including, where possible, the categories and approximate number of data subjects concerned and the categories and approximate number of personal data concerned;
likely consequences of the breach;
measures taken or proposed to be taken to address the breach, including, where appropriate, measures to mitigate its possible adverse effects.

Article 8 - Data Subjects' Requests

A data subject whose personal data is processed by the data controller in relation to the creation of Surveys by the Survey Owner (user) has specific rights under Chapter III (Articles 14-25) of Regulation (EU) No 2018/1725 or Chapter III (Articles 13-23) of Regulation (EU) 2016/679, in particular the right to access, rectify or erase their personal data and the right to restrict or, where applicable, the right to object to processing or the right to data portability. Should data subjects have any queries concerning the processing of their personal data, they shall address themselves to the data controller. They may also address themselves to the Data Protection Officer of the data controller, in case there is one. They have the right to lodge a complaint at any time to the European Data Protection Supervisor.
The processor shall assist the survey owner (user) for the fulfilment of the Survey Owner's obligation to respond to requests for exercising rights of data subjects in relation to the Agreement. The processor shall inform the Survey Owner without undue delay about such requests addressed to it.
The duration of processing of personal data by the service provider per type of processing activity will not exceed the period referred to in the beginning of this Agreement. Upon expiry of this period, the service provider shall, upon request and at the choice of the survey owner, fully or partially delete all personal data (including all copies) processed on behalf of the Survey owner, without any undue delay unless Union law requires a longer storage of those personal data. All data included in each Survey or Questionnaire can be permanently deleted by the Survey Owner itself. In addition to this each Survey Owner can permanently delete the account it holds on EU Survey by clicking on the “delete the account“ button.

Please note that the deletion of back-up data is subject to the EC's specific retention policy.

The service provider shall keep the personal data in a form that permits identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed.

Subcontracting of the service or performance of the contract by third parties requires prior written authorisation from the client. If part or all of the processing of personal data is subcontracted to a third party, the service provider shall pass on its obligations referred to in the Appendix in writing to those parties, including subcontractors. At the request of the client, the service provider shall provide a document providing evidence of this commitment.

ANNEX 1: Record of Processing activities

Points a, b, c, d of article 31 par. 2 EUDPR – GDPR art. 30 par. 2

Name and contact details of the data processor:	European Commission, DG for Informatics (DIGIT), Unit D1, contact form
Subject matter of the processing activity:	Processing of personal data in relation to the services provided to the Survey Owner: Development, provision, operation and maintenance of EU Survey as a managed service, including all future developments Second level support to the EU Survey User End-user technical assistance and support Secure hosting of all personal data stored in the EC datacentre
International data transfers:	N/A, all personal data are stored in the servers of the European Commission
Technical and organisational measures:	EUSurvey stores the EU-Login username as well as e-mail addresses of the survey owners at the Datacentres of the European Commission. The European Commission has implemented security measures to protect server hardware, software and the network from accidental or malicious manipulations and loss of data. All data is stored on European Commission servers managed by DG DIGIT in line with the technical security provisions laid down in the Commission Decision (EU, Euratom) 2017/46 of 10 January 2017 on the security of communication and information systems in the European Commission, its subsequent versions, its implementing rules (as adapted from time to time) and the corresponding security standards and guidelines, as well as the Commission Decision (EU, Euratom) 2015/443 of 13 March 2015 on the security in the Commission, its implementing rules and the corresponding security notices. These documents (as adapted from time to time) are available for consultation at the following address: https://ec.europa.eu/info/publications/security-standards-applying-all-european-commission-information-systems_en

^{1 These organisational measures include the appropriate use of the service and its functionalities.}

EUSurvey – Datenverarbeitungsvereinbarung

zwischen der Europäischen Kommission und dem Eigentümer (Benutzer) der EUSurvey-Umfrage

gestützt auf die Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (im Folgenden „Verordnung (EU) 2018/1725“) und

die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (im Folgenden „Verordnung (EU) 2016/679“)

in Erwägung nachstehender Gründe:

(1) In Artikel 29 der Verordnung (EU) 2018/1725 ist Folgendes festgelegt: Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Recht der Union oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind.

(2) In Artikel 28 der Verordnung (EU) 2016/679 ist festgelegt: Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind.

SIND WIE FOLGT ÜBEREINGEKOMMEN:

Artikel 1 – Parteien

Diese Datenverarbeitungsvereinbarung (DPA) wird zwischen folgenden Parteien geschlossen:

1. der Europäischen Kommission und ihrer Generaldirektion Informatik (DIGIT) (im Folgenden „Diensteanbieter“ oder „Auftragsverarbeiter“) und

2. der natürlichen oder juristischen Person, die eine Umfrage mittels EUSurvey erstellt oder für die eine Umfrage erstellt wird (im Folgenden „Umfrage-Eigentümer“ oder „Benutzer“ oder „Verantwortlicher“), unabhängig davon, ob die Umfrage Dritten zur Verfügung gestellt wird oder nicht.

Beide werden im Folgenden jeweils als „Partei“ und zusammen als „die Parteien“ bezeichnet.

Artikel 2 – Anwendungsbereich dieser Vereinbarung

2.1 Diese Vereinbarung regelt die Aufteilung der jeweiligen Aufgaben und Verantwortlichkeiten und die praktischen Vorkehrungen zwischen dem Verantwortlichen und dem Auftragsverarbeiter im Hinblick auf die Einhaltung ihrer Datenschutzpflichten gemäß der Verordnung (EU) 2018/1725 bzw. der Verordnung (EU) 2016/679 bei der Durchführung des EUSurvey-Verarbeitungsvorgangs, wenn unter Verwendung des EUSurvey-Tools eine Umfrage erstellt, benutzt, beworben oder auf andere Weise Dritten zur Verfügung gestellt wird; die Vereinbarung enthält gemeinsame Standardanweisungen, die dem Auftragsverarbeiter (Diensteanbieter) vom Verantwortlichen (Umfrage-Eigentümer) erteilt werden.

2.2 Die Anwendbarkeit der Verordnung (EU) 2018/1725 oder der Verordnung (EU) 2016/679 hängt davon ab, unter welche Verordnung der Umfrage-Eigentümer fällt. Handelt es sich bei dem Umfrage-Eigentümer um ein Organ, eine Einrichtung oder eine sonstige Stelle der Union, findet die Verordnung (EU) 2018/1725 Anwendung; andernfalls gilt die Verordnung (EU) 2016/679. In jedem Fall gelten für den Diensteanbieter die Vorschriften der Verordnung (EU) 2018/1725. Falls der Umfrage-Eigentümer weder unter die Verordnung (EU) 2018/1725 noch die Verordnung (EU) 2016/679 fällt, verpflichtet sich der Umfrage-Eigentümer hiermit, die in seinem Hoheitsgebiet geltenden Gesetze oder Vorschriften einzuhalten.

2.3 Für die Zwecke dieser Vereinbarung gelten die Begriffsbestimmungen des Artikels 3 der Verordnung (EU) 2018/1725 bzw. des Artikels 4 der Verordnung (EU) 2016/679.

2.4 Beschreibung des Dienstes: EUSurvey ist eine kostenlose Web-Anwendung für die Erstellung und Veröffentlichung von Online-Umfragen, die von der GD DIGIT entwickelt, betrieben und gepflegt wird. Um den Dienst für den Umfrage-Eigentümer erbringen zu können, muss der Auftragsverarbeiter personenbezogene Daten verarbeiten. Die Speicherung aller personenbezogenen und nicht personenbezogenen Daten, die über das EUSurvey-Tool erhoben werden, erfolgt in den Rechenzentren des Diensteanbieters (im Folgenden „Verarbeitungsvorgang“).

Artikel 3 – Art und Zweck der Verarbeitung

3.1 Für die folgenden in diesem Absatz beschriebenen Verarbeitungstätigkeiten fungiert der Umfrage-Eigentümer als Verantwortlicher, sobald eine Umfrage erstellt wurde, und der Diensteanbieter fungiert als Auftragsverarbeiter. Der hauptsächliche Verarbeitungsvorgang besteht aus den folgenden Verarbeitungstätigkeiten:

Der Diensteanbieter erhebt und verwendet über EUSurvey die personenbezogenen Daten des Umfrage-Eigentümers, damit der Benutzer eine Verbindung mit der EUSurvey-Anwendung herstellen und den Dienst für die Erstellung, Verwaltung, Weitergabe und Veröffentlichung von Online-Fragebögen und Umfragen nutzen kann. Durch einen automatischen Identitätsüberprüfungsprozess über EU-Login und die zentrale Benutzerdatenbank der Europäischen Kommission, die im Rechenzentrum der Europäischen Kommission gespeichert ist, werden der vollständige Name (Vor- und Nachname) sowie die E-Mail-Adresse abgefragt. Die Kontaktdaten des Umfrage-Eigentümers (Vor- und Nachname, E-Mail-Adresse) können auch für die Kontaktaufnahme mit dem Benutzer oder für Hilfestellungen sowie für andere Zwecke des Qualitätsmanagements genutzt werden.
EUSurvey verwendet Europa Analytics für die Verkehrsstatistik und analyse. Der Dienst Europa Analytics überwacht und bewertet die Wirksamkeit und Effizienz der Webseiten der Europäischen Kommission auf „Europa“. Europa Analytics beruht auf der Open-Source-Analyseplattform „Matomo“, die auf einem Webserver läuft. Sowohl die Infrastruktur als auch die Software unterliegen der vollen Kontrolle der Europäischen Kommission und entsprechen den geltenden Datenschutzvorschriften der EU.
Alle Daten im Zusammenhang mit EUSurvey, d. h. personenbezogene Daten, die in einer Umfrage erfasst werden können, werden auf den Servern des Diensteanbieters gespeichert. Diese Informationen unterliegen der Verantwortung und direkten Kontrolle des Umfrage-Eigentümers (Benutzers).

3.2 EUSurvey-spezifische Inhaltsdaten, bei denen es sich um personenbezogene Daten handelt und die im Rahmen einer Umfrage erhoben werden können, fallen nicht in den Anwendungsbereich dieser Vereinbarung. Diese Verarbeitungstätigkeit fällt in die ausschließliche Zuständigkeit des jeweiligen Umfrage-Eigentümers in seiner Funktion als Verantwortlicher, wenn er eine Umfrage erstellt und an Dritte weitergibt, um sicherzustellen, dass personenbezogene Daten im Einklang mit der Verordnung (EU) 2018/1725 (EU-DSVO) oder der Verordnung (EU) 2016/679 (DSGVO) erhoben werden.

3.3 EUSurvey ist durch EU-Login geschützt, das unter den Registereintrag DPR-EC-03187 und nicht in den Anwendungsbereich dieser Vereinbarung fällt. Die GD DIGIT verarbeitet personenbezogene Daten des Umfrage-Eigentümers (Benutzers) während des Prozesses der Benutzerauthentifizierung, um die Identität des Benutzers auf sichere Weise zu überprüfen und dem Benutzer Zugang zu der von ihm gewünschten Anwendung zu gewähren. Die vom Benutzer eingegebenen Daten werden mit den gespeicherten Informationen zu dem Konto, das vom Benutzer bei der Erstellung seines EU-Login-Profils angelegt wurde, verglichen, wodurch der Benutzer authentifiziert werden kann. Für EU-Login ist das Referat D3 der DIGIT der einzige Verantwortliche.

3.4 Ausführliche Informationen über die in Absatz 3.1 beschriebenen Verarbeitungsvorgänge und Verarbeitungstätigkeiten sind Anhang I dieser Vereinbarung zu entnehmen, der das Verzeichnis der Verarbeitungstätigkeiten darstellt, das vom Auftragsverarbeiter gemäß Artikel 31 Absatz 2 der Verordnung (EU) 2018/1725 bzw. Artikel 30 Absatz 2 der Verordnung (EU) 2016/679 geführt werden muss.

3.5 Durch die Einrichtung eines Kontos in der EUSurvey-Anwendung und vor der Erstellung einer Umfrage als Umfrage-Eigentümer muss der Benutzer für die Nutzung des Tools ein Minimum an personenbezogenen Daten bereitstellen. In dieser Phase und vor der Erstellung einer Umfrage gilt die Europäische Kommission als alleiniger Verantwortlicher (DPR-EC-01488). Sobald eine Umfrage erstellt wurde, gelten die Absätze 3.1 bis 3.4.

Artikel 4 – Verarbeitung personenbezogener Daten durch den Diensteanbieter als Auftragsverarbeiter

4.1 Die Europäische Kommission als Diensteanbieter erfasst und verwendet die personenbezogenen Daten des Umfrage-Eigentümers über EUSurvey, um es dem Umfrage-Eigentümer zu ermöglichen, sich mit der EUSurvey-Anwendung zu verbinden und den Dienst für die Erstellung und Veröffentlichung von Online-Fragebögen zu nutzen.

4.2 Die Europäische Kommission ist jedoch nicht für die Datenschutzpolitik oder praxis des Umfrage-Eigentümers verantwortlich, der die EUSurvey-Anwendung benutzt, um eine EUSurvey-Umfrage zu erstellen, zu übermitteln und sie einem breiteren Publikum (anderen Benutzern der Umfrage) zugänglich zu machen. Alle im Rahmen einer solchen Umfrage erhobenen personenbezogenen Daten werden vom Umfrage-Eigentümer und unter dessen Verantwortung verarbeitet; dies gilt insbesondere für die rechtmäßige Erhebung personenbezogener Daten gemäß Artikel 5 Absatz 1 der Verordnung (EU) 2018/1725 bzw. Artikel 6 Absatz 1 der Verordnung (EU) 2016/679.

4.3 Dem Umfrage-Eigentümer wird nachdrücklich empfohlen, eine gesonderte Datenschutzerklärung (Mitteilung) und ein Verzeichnis der unter Verwendung dieses Tools stattfindenden Verarbeitungsvorgänge bei der Verarbeitung personenbezogener Daten zu erstellen, anzunehmen und an alle Umfrageteilnehmer zu übermitteln.

4.4 Der Diensteanbieter verarbeitet im Auftrag des Eigentümers (Benutzers) der EUSurvey-Umfrage alle personenbezogenen Daten, die in dieser Datenschutzvereinbarung genannt werden oder sich daraus ergeben, gemäß der Verordnung (EU) 2018/1725 und ausschließlich für die hier genannten Zwecke. Im Folgenden werden Gegenstand, Dauer, Art und Zweck der Verarbeitung, Arten personenbezogener Daten und Kategorien von betroffenen Personen im Zusammenhang mit der durch den Diensteanbieter im Auftrag des Benutzers erfolgenden Verarbeitung genannt:

Für die Bereitstellung, den Betrieb und die Verwaltung des EUSurvey-Tools:

Gegenstand der Verarbeitungstätigkeit:	Verarbeitung personenbezogener Daten in Bezug auf die Dienste, die dem Umfrage-Eigentümer gemäß den Geschäftsbedingungen und dieser Datenverarbeitungsvereinbarung erbracht werden
Dauer der Verarbeitung:	Die Kommission bewahrt personenbezogene Daten der Benutzer nur so lange auf, wie es zur Erfüllung ihrer Verpflichtungen aus der Bereitstellung des Dienstes für den Eigentümer (Benutzer) der EUSurvey-Umfrage erforderlich ist. Konkret werden die Daten verarbeitet: solange ein Benutzerkonto aktiv ist Daten im Zusammenhang mit einem Benutzerkonto und alle damit verbundenen Daten (auf EUSurvey bezogene Informationen usw.) werden dauerhaft gelöscht: nach Einstellung des Benutzerkontos auf Antrag des Kontoinhabers nach zwei Jahren der Inaktivität des Kontos Die Protokolle werden für einen Zeitraum von höchstens sechs Monaten aufbewahrt. Back-up-Strategie: Sicherungskopien (Back-ups) werden täglich erstellt und an eine zentrale Back-up-Infrastruktur gesendet, die vom Dienst verwaltet wird, um einen Wiederherstellungspunkt (Recovery Point Objective – RPO) von 24 Stunden zu gewährleisten. Die Aufbewahrungsdauer hängt von der Dienstklasse ab. EUSurvey profitiert von der Serviceklasse „Gold“ mit täglichen, wöchentlichen und monatlichen Back-ups, die 35 Tage, 35 Tage bzw. ein Jahr lang aufbewahrt werden. Verbleibende Kopien gelöschter Daten können in unseren Back-ups für die Zwecke der Wiederherstellung nach einem Notfall auch bis zu einem Jahr nach erfolgter Löschung aufbewahrt werden; danach werden sie überschrieben.
Arten personenbezogener Daten, die verarbeitet werden:	Angaben zur Person: Vollständiger Name (Vor- und Nachname) und E-Mail-Adresse, Benutzer-Login-ID (zur Authentifizierung des Zugangs über EU-Login). EUSurvey verwendet den Dienst „Europa Analytics“ für die Verkehrsstatistik und analyse. Weitere Informationen finden Sie auf der Europa Analytics-Website Alle im Rahmen von EU-Umfragen erhobenen Inhaltsdaten werden auf den Servern der Europäischen Kommission gehostet. Protokolle: In den technischen Protokolldateien von EUSurvey werden Daten über Benutzeraktionen gespeichert. Die Protokolldateien enthalten Daten über den Benutzerzugang (Zeitstempel), die jeweilige E-Mail-Adresse, wenn eine E-Mail an jemanden gesendet wird, oder den EU-Login-Benutzernamen, wenn sich das Login eines Benutzers geändert hat. In einigen Fällen kann es benutzerbezogene Daten wie IP-Adressen geben, wenn eine Ausnahme geltend gemacht wurde. Cookies: EUSurvey verwendet drei verschiedene Arten von Cookies. Zwei von ihnen stammen von der offiziellen Aufforderung zur Einwilligung in die Nutzung von Cookies der Europäischen Kommission CCK1 (Cookie Consent Kit) und dem Webanalysedienst _pk_id#; bei dem dritten handelt es sich um ein Sitzungscookie (JSESSIONID), das verwendet wird, um den Benutzer zu identifizieren und sicherzustellen, dass er stets auf denselben Server weitergeleitet wird. Die vollständige Liste der von der Europäischen Kommission verwendeten Cookies finden Sie hier: https://ec.europa.eu/info/cookies_de Die GD DIGIT verarbeitet im Rahmen von EUSurvey und für die Erbringung des Dienstes KEINE besonderen Kategorien personenbezogener Daten. Dennoch könnten die Umfrage-Eigentümer EUSurvey nutzen, um besondere Kategorien personenbezogener Daten zu erheben, die dann auf den Servern der Europäischen Kommission gehostet werden könnten. Die Verarbeitung solcher Arten von Daten durch den Umfrage-Eigentümer sollte im Einklang mit der in der Verordnung (EU) 2018/1725 und der Verordnung (EU) 2016/679 festgelegten Verpflichtung stehen.
Kategorien von betroffenen Personen:	Umfrage-Eigentümer (Benutzer), Umfrageteilnehmer und Mitarbeiter der Europäischen Kommission, die an dem Betrieb, der Verwaltung und der Pflege der EUSurvey-Plattform basierend auf den dazu erforderlichen Kenntnissen beteiligt sind.

4.5 Die Lokalisierung der vom Auftragsverarbeiter verarbeiteten personenbezogenen Daten und der Zugang dazu sind auf das Gebiet der Europäischen Union und des Europäischen Wirtschaftsraums beschränkt und gehen nicht über dieses Gebiet hinaus.

Artikel 5 - Allgemeine Pflichten des Diensteanbieters

Der Diensteanbieter unterstützt den Umfrage-Eigentümer (Benutzer) bei der Erfüllung seiner Verpflichtungen gemäß den Artikeln 33 bis 41 der Verordnung (EU) 2018/1725 bzw. den Artikeln 32-43 der Verordnung (EU) 2016/679, die Folgendes beinhalten:

Sicherstellung der Erfüllung seiner Datenschutzpflichten im Hinblick auf die Sicherheit der Verarbeitung und die Vertraulichkeit der elektronischen Kommunikation und der Benutzerverzeichnisse,
Meldung einer Verletzung des Schutzes personenbezogener Daten an den Europäischen Datenschutzbeauftragten oder die zuständige Datenschutzbehörde, der der Umfrage-Eigentümer unterstellt ist,
gegebenenfalls unverzügliche Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person,
Durchführung von Datenschutz-Folgenabschätzungen und vorherigen Konsultationen, wenn notwendig.

Der Diensteanbieter darf nur aufgrund dokumentierter schriftlicher Anweisungen und unter der Aufsicht des Umfrage-Eigentümers (Benutzers) handeln, insbesondere was den Zweck der Verarbeitung, die Kategorien von Daten, die verarbeitet werden dürfen, die Empfänger der Daten und die Möglichkeiten der betroffenen Personen zur Wahrnehmung ihrer Rechte anbelangt.

Der Diensteanbieter unterrichtet den Umfrage-Eigentümer umgehend, wenn seiner Meinung nach eine Weisung des Auftraggebers gegen die Verordnung (EU) 2018/1725 oder andere Datenschutzbestimmungen der Union verstößt.

Der Diensteanbieter teilt dem Verantwortlichen unverzüglich jeden rechtlich bindenden Antrag einer nationalen Behörde – einschließlich Behörden eines Drittlands – auf Offenlegung der im Namen des Verantwortlichen verarbeiteten personenbezogenen Daten mit. Der Diensteanbieter darf diesen Zugang nur mit vorheriger schriftlicher Genehmigung des Verantwortlichen gewähren, es sei denn, dies ist nach dem EU-Recht oder dem Recht der Mitgliedstaaten erforderlich.

Der Diensteanbieter gestattet seinem Personal den Zugriff auf die personenbezogenen Daten nur in dem zur Ausführung, Verwaltung und Überwachung der Vereinbarung unbedingt erforderlichen Maß. Der Diensteanbieter muss gewährleisten, dass sich das zur Verarbeitung der personenbezogenen Daten befugte Personal zur Vertraulichkeit verpflichtet hat oder einer angemessenen gesetzlichen Verschwiegenheitspflicht gemäß Artikel 28 Absatz 3 Buchstabe b der Verordnung (EU) 2016/679 oder Artikel 29 Absatz 3 Buchstabe b der Verordnung (EU) 2018/1725 unterliegt.

Artikel 6 - Verantwortung für die Sicherheit der Verarbeitung

Der Diensteanbieter hat geeignete technische und organisatorische Sicherheitsmaßnahmen in Bezug auf die erbrachten Dienste getroffen¹. Bei beiden Arten von Maßnahmen wird den mit der Verarbeitung verbundenen Risiken sowie der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung gebührend Rechnung getragen, um

die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen,
die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen,
für ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung zu sorgen,
für Maßnahmen zum Schutz übermittelter, gespeicherter oder auf sonstige Weise verarbeiteter personenbezogener Daten vor – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugang zu sorgen.

Artikel 7 – Management von Sicherheitsvorfällen, einschließlich Verletzungen des Schutzes personenbezogener Daten

Der Diensteanbieter unterrichtet den Umfrage-Eigentümer unverzüglich über einschlägige Verletzungen des Schutzes personenbezogener Daten, nachdem der Diensteanbieter Kenntnis von der Verletzung erlangt hat, wobei die Art der Verarbeitung und die dem Diensteanbieter zu diesem Zeitpunkt zur Verfügung stehenden Informationen zu berücksichtigen sind. In solchen Fällen unterrichtet der Diensteanbieter den Umfrage-Eigentümer zumindest über Folgendes:

die Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Daten,
die wahrscheinlichen Folgen der Verletzung,
ergriffene oder vorgeschlagene Maßnahmen zur Behebung der Verletzung, gegebenenfalls auch Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Artikel 8 – Anträge betroffener Personen

Eine betroffene Person, deren personenbezogene Daten vom Verantwortlichen im Zusammenhang mit der Erstellung von Erhebungen durch den Umfrage-Eigentümer (Benutzer) verarbeitet werden, hat besondere Rechte gemäß Kapitel III (Artikel 14 bis 25) der Verordnung (EU) 2018/1725 oder Kapitel III (Artikel 13 bis 23) der Verordnung (EU) 2016/679, insbesondere das Recht auf Auskunft über ihre personenbezogenen Daten oder auf Berichtigung oder Löschung dieser Daten sowie das Recht auf Einschränkung der Verarbeitung oder gegebenenfalls ein Widerspruchsrecht gegen die Verarbeitung sowie das Recht auf Datenübertragbarkeit. Fragen der betroffenen Personen im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten sind an den Verantwortlichen zu richten. Sie können sich gegebenenfalls auch an den Datenschutzbeauftragten des Verantwortlichen wenden. Sie haben das Recht, jederzeit eine Beschwerde beim Europäischen Datenschutzbeauftragten einzulegen.
Der Auftragsverarbeiter unterstützt den Umfrage-Eigentümer (Benutzer) bei der Erfüllung seiner Verpflichtung, im Zusammenhang mit der Vereinbarung stehende Anfragen bezüglich der Ausübung von Rechten betroffener Personen zu beantworten. Der Auftragsverarbeiter unterrichtet den Umfrage-Eigentümer unverzüglich über solche an ihn gerichteten Anfragen.
Die Dauer der Verarbeitung personenbezogener Daten durch den Diensteanbieter pro Art der Verarbeitungstätigkeit darf den im Anfangsteil dieser Vereinbarung genannten Zeitraum nicht überschreiten. Nach Ablauf dieser Frist löscht der Diensteanbieter auf Antrag und nach dem Ermessen des Umfrage-Eigentümers unverzüglich zum Teil oder gänzlich alle im Namen des Umfrage-Eigentümers verarbeiteten personenbezogenen Daten (einschließlich aller Kopien), es sei denn, das Unionsrecht schreibt eine längere Speicherung dieser personenbezogenen Daten vor. Alle Daten, die in den einzelnen Umfragen oder Fragebogen enthalten sind, können vom Umfrage-Eigentümer selbst dauerhaft gelöscht werden. Darüber hinaus kann jeder Umfrage-Eigentümer sein Konto bei EUSurvey dauerhaft löschen, indem er auf die Schaltfläche „Konto löschen“ klickt.

Bitte beachten Sie, dass die Löschung von Back-up-Daten den besonderen Datenaufbewahrungsregeln der Europäischen Kommission unterliegt.

Der Diensteanbieter speichert die personenbezogenen Daten in einer Form, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die die personenbezogenen Daten verarbeitet werden, erforderlich ist.

Die Vergabe von Unteraufträgen für die Dienste oder die Erfüllung des Vertrags durch Dritte bedarf der vorherigen schriftlichen Zustimmung des Auftraggebers. Wenn die Verarbeitung personenbezogener Daten zum Teil oder in vollem Umfang über einen Unterauftrag einem Dritten überlassen wird, leitet der Diensteanbieter seine in der Anlage genannten Pflichten schriftlich an diese Dritten, einschließlich Unterauftragnehmern, weiter. Auf Verlangen des Auftraggebers legt der Diensteanbieter ein Dokument als Nachweis für diese Verpflichtung vor.

ANHANG 1: Verzeichnis von Verarbeitungstätigkeiten

Artikel 31 Absatz 2 Buchstaben a, b, c und d EU-DSVO – Artikel 30 Absatz 2 DSGVO

Name und Kontaktdaten des Auftragsverarbeiters:	Europäische Kommission, GD Informatik (DIGIT), Referat D1, Kontaktformular
Gegenstand der Verarbeitungstätigkeit:	Verarbeitung personenbezogener Daten im Zusammenhang mit den für den Umfrage-Eigentümer erbrachten Diensten: Entwicklung, Bereitstellung, Betrieb und Pflege von EUSurvey als verwalteter Dienst, einschließlich aller künftigen Entwicklungen; Second-Level-Support für den Benutzer von EUSurvey Technische Hilfe und Unterstützung der Endnutzer Sicheres Hosting aller im Rechenzentrum der Europäischen Kommission gespeicherten personenbezogenen Daten
Internationale Datenübertragungen:	N/A; alle personenbezogenen Daten werden auf den Servern der Europäischen Kommission gespeichert
Technische und organisatorische Maßnahmen:	EUSurvey speichert den EU-Login-Benutzernamen sowie die E-Mail-Adressen der Umfrage-Eigentümer in den Rechenzentren der Europäischen Kommission. Die Europäische Kommission hat Sicherheitsmaßnahmen ergriffen, um die Hardware, Software und das Netzwerk des Servers vor versehentlichen oder böswilligen Manipulationen und Datenverlusten zu schützen. Alle Daten werden auf Servern der Europäischen Kommission gespeichert, die von der GD DIGIT im Einklang mit den technischen Sicherheitsbestimmungen des Beschlusses (EU, Euratom) 2017/46 der Kommission vom 10. Januar 2017 über die Sicherheit von Kommunikations- und Informationssystemen in der Europäischen Kommission, seinen nachfolgenden Fassungen, seinen Durchführungsbestimmungen (in der jeweils angepassten Fassung) und den entsprechenden Sicherheitsstandards und leitlinien sowie dem Beschluss (EU, Euratom) 2015/443 der Kommission vom 13. März 2015 über die Sicherheit in der Kommission, seinen Durchführungsbestimmungen und den entsprechenden Sicherheitsvermerken verwaltet werden. Diese Dokumente (in der jeweils angepassten Fassung) können unter folgendem Link eingesehen werden: https://ec.europa.eu/info/publications/security-standards-applying-all-european-commission-information-systems_en

^{1 Zu diesen organisatorischen Maßnahmen gehört die angemessene Nutzung des Dienstes und seiner Funktionalitäten.}

EUSurvey - Accord sur le traitement des données

entre la Commission européenne et le propriétaire d’une enquête EUSurvey (l’utilisateur)

vu le règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) nº 45/2001 et la décision nº 1247/2002/CE [ci-après le «règlement (UE) 2018/1725»], et

le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE [ci-après le «règlement (UE) 2016/679],

considérant ce qui suit:

(1) L’article 29 du règlement (UE) 2018/1725 dispose que lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée. Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement, définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement.

(2) L’article 28 du règlement (UE) 2016/679 dispose que lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée. Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement, définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement,

SONT CONVENUS DE CE QUI SUIT:

Article premier – Parties

Le présent accord sur le traitement des données (l’«accord») est établi entre les parties énoncées ci-après:

1. la Commission européenne (la «Commission») et sa direction générale de l’informatique (DG DIGIT) (ci-après le «prestataire de services» ou le «sous-traitant») et

2. la personne physique ou morale qui crée une enquête dans l’outil EUSurvey ou pour le compte de laquelle une enquête est créée (ci-après le «propriétaire de l’enquête», l’utilisateur ou le «responsable du traitement»), que l’enquête soit mise à la disposition de tiers ou non.

Les parties sont ci-après dénommées individuellement «partie» et collectivement «parties».

Article 2 – Champ d’application du présent accord

2.1 Le présent accord prévoit la répartition des rôles, responsabilités et modalités pratiques respectifs entre le responsable du traitement et le sous-traitant, aux fins du respect des obligations qui leur incombent en matière de protection des données en vertu du règlement (UE) 2018/1725 et du règlement (UE) 2016/679, respectivement, au moment de l’opération de traitement sur EUSurvey, lorsqu’ils créent, utilisent, promeuvent ou encore mettent à la disposition de tiers une enquête au moyen de l’outil EUSurvey, et comprend un ensemble commun standard d’instructions fourni au sous-traitant (prestataire de services) par le responsable du traitement (propriétaire de l’enquête).

2.2. La question de savoir si c’est le règlement (UE) 2018/1725 ou le règlement (UE) 2016/679 qui s’applique dépendra du règlement auquel le propriétaire de l’enquête est soumis. Si le propriétaire de l’enquête est une institution, un organe ou un organisme de l’Union, c’est le règlement (UE) 2018/1725 qui sera d’application; dans les autres cas, ce sera le règlement (UE) 2016/679. En tout état de cause, le prestataire de services est soumis au règlement (UE) 2018/1725. S’il n’est soumis ni au règlement (UE) 2018/1725 ni au règlement (UE) 2016/679, le propriétaire de l’enquête s’engage à respecter la législation ou les règles applicables dans la juridiction dont il relève.

2.3. Aux fins du présent accord, les définitions énoncées respectivement à l’article 3 du règlement (UE) 2018/1725 et à l’article 4 du règlement (UE) 2016/679 s’appliquent.

2.4 Description du service: EUSurvey est une application web gratuite pour la création et la publication d’enquêtes en ligne. Elle a été développée par la DG DIGIT, qui en assure l'exploitation et la maintenance. Afin de fournir le service au propriétaire de l’enquête, le sous-traitant doit procéder au traitement de données à caractère personnel. Toutes les données, à caractère personnel ou non, recueillies au moyen de l’outil EUSurvey sont hébergées dans les centres de données du prestataire de services (ci-après l’«opération de traitement»).

Article 3 – Nature et finalité du traitement

3.1. En ce qui concerne les activités de traitement décrites au présent paragraphe, le propriétaire de l’enquête agira en tant que responsable du traitement des données dès la création d’une enquête et le prestataire de services agira en tant que sous-traitant des données. La principale opération de traitement comprend les activités de traitement suivantes:

le prestataire de services, par l’intermédiaire d’EUSurvey, recueille et utilise les données à caractère personnel du propriétaire de l’enquête afin de permettre à l’utilisateur de se connecter à l’application EUSurvey et d’utiliser le service fourni pour créer, gérer, partager et publier des questionnaires et des enquêtes en ligne. Le nom complet (prénom et nom) et l’adresse électronique sont des données extraites par un processus de vérification automatique d'identité d’EULogin et de la base centrale sur les utilisateurs de la Commission européenne, qui est stockée dans le centre de données de la Commission européenne. Les coordonnées du propriétaire de l’enquête (prénom et nom, adresse électronique) peuvent également être utilisées pour contacter l’utilisateur ou lui apporter un soutien ainsi qu’à d’autres fins liées à la gestion de la qualité;
EUSurvey utilise Europa Analytics pour établir des statistiques relatives au trafic et les analyser. Europa Analytics est le service de la Commission qui surveille et évalue l’efficacité des sites web de la Commission sur le site Europa. Europa Analytics repose sur la plateforme d’analyse «Matomo», un logiciel libre, et est installé sur un serveur web. Tant les infrastructures que les logiciels de ce service sont sous le contrôle total de la Commission et respectent la législation de l’UE en vigueur en matière de protection des données;
toutes les données relatives à l’outil EUSurvey, c’est-à-dire les données à caractère personnel susceptibles d’être collectées dans le cadre d’une enquête, sont stockées sur les serveurs du prestataire de services. Ces informations relèvent de la responsabilité et du contrôle direct du propriétaire de l’enquête (l’utilisateur).

3.2. Les données relatives au contenu propre à EUSurvey qui constituent des données à caractère personnel, et qui peuvent être recueillies dans le cadre d’une enquête, ne relèvent pas du champ d’application du présent accord. Cette activité de traitement relève de la responsabilité exclusive de chaque propriétaire d’enquête lorsqu’il crée et partage une enquête avec des tiers, et agit en tant que responsable du traitement des données afin de veiller à ce que la collecte des données à caractère personnel soit effectuée conformément au règlement (UE) 2018/1725 (règlement européen sur la protection des données ou «RPDUE») ou au règlement (UE) 2016/679 (RGPD).

3.3 EUSurvey est un outil protégé par EU Login, qui est couvert par le registre sous la référence DPR-EC-03187 et ne relève pas du champ d’application du présent accord. La DG DIGIT traite les données personnelles du propriétaire de l’enquête (utilisateur) pendant le processus d’authentification de l’utilisateur afin de vérifier de manière sécurisée l’identité de l’utilisateur et de lui accorder l’accès à l’application qu’il a l’intention d’utiliser. Les données saisies par l’utilisateur sont comparées aux informations relatives au compte stockées et enregistrées par l’utilisateur lors de la création de son profil EU Login, ce qui permet d’authentifier l’utilisateur. En ce qui concerne EU Login, l’unité D3 de la DG DIGIT est la seule responsable du traitement.

3.4 Des informations détaillées sur les opérations de traitement et les activités de traitement décrites au paragraphe 3.1. figurent à l’annexe I du présent accord, qui constitue le registre des activités de traitement qui doit être tenu par le sous-traitant des données conformément à l’article 31, paragraphe 2, du règlement (UE) 2018/1725 et à l’article 30, paragraphe 2, du règlement (UE) 2016/679, respectivement.

3.5. Lors de la création d’un compte dans EUSurvey et avant la création d’une enquête en tant que propriétaire d’enquête, l’utilisateur doit fournir un ensemble minimal de données à caractère personnel pour pouvoir utiliser l’outil. À ce stade et avant la création d’une enquête, la Commission européenne est considérée comme étant la seule responsable du traitement (DPR-EC-01488). Une fois l’enquête créée, les paragraphes 3.1. à 3.4. s’appliquent.

Article 4 – Traitement des données à caractère personnel par le prestataire de services en qualité de sous-traitant

4.1. En tant que prestataire de services, la Commission européenne recueille et utilise les données à caractère personnel du propriétaire de l’enquête par l’intermédiaire d’EUSurvey afin que le propriétaire de l’enquête puisse se connecter à l’application EUSurvey et utiliser le service permettant de créer et de publier des questionnaires en ligne.

4.2 La Commission européenne n’est toutefois pas responsable des politiques ou des pratiques en matière de protection de la vie privée et des données mises en œuvre par le propriétaire de l’enquête qui utilise l’application EUSurvey pour créer, communiquer et publier une enquête EUSurvey destinée à un public plus large (autres utilisateurs de l’enquête). Toutes les données à caractère personnel collectées dans le cadre d’une telle enquête seront traitées par le propriétaire de l’enquête et sous sa responsabilité, à savoir, notamment, une collecte licite de données à caractère personnel, conformément à l’article 5, paragraphe 1, du règlement (UE) 2018/1725 et/ou à l’article 6, paragraphe 1, du règlement (UE) 2016/679, respectivement.

4.3 Lors du traitement de données à caractère personnel au moyen de cet outil, il est vivement recommandé au propriétaire de l’enquête de créer et d’adopter une déclaration relative à la protection de la vie privée (avis) distincte ainsi qu’un registre des opérations de traitement, et d’en informer toutes les personnes qui contribuent à l’enquête

4.4. Le prestataire de services traite, pour le compte du propriétaire d’une enquête EUSurvey (utilisateur), toutes les données à caractère personnel figurant dans le présent accord sur le traitement des données ou relatives à cet accord, conformément au règlement (UE) 2018/1725 et uniquement aux fins énoncées dans le présent document. L’objet, la durée, la nature et la finalité du traitement, les types de données à caractère personnel et les catégories de personnes concernées liés au traitement par le prestataire de services pour le compte de l’utilisateur sont énoncés ci-après.

En ce qui concerne la mise à disposition, l’exploitation et la gestion de l’outil EUSurvey:

Objet de l’activité de traitement:	Traitement des données à caractère personnel dans le cadre des services fournis au propriétaire de l’enquête, conformément aux conditions générales pour la fourniture de services et au présent accord sur le traitement des données
Durée du traitement:	La Commission ne conserve les données à caractère personnel des utilisateurs que le temps nécessaire pour remplir ses obligations découlant de la fourniture du service aux propriétaires d’enquêtes EUSurvey (utilisateurs). Plus précisément, les données seront traitées: aussi longtemps qu’un utilisateur reste actif. Les données relatives au compte d’un utilisateur et toutes les données associées (informations relatives à EUSurvey, etc.) seront définitivement supprimées: à la fermeture du compte utilisateur à la demande du titulaire du compte après deux ans d’inactivité sur le compte Les journaux seront conservés pendant une période maximale de six mois. Politique de sauvegarde : Des sauvegardes sont effectuées quotidiennement et transférées vers une infrastructure de sauvegarde centralisée, gérée par le service afin de garantir une perte de données maximale admissible (PDMA) de 24 heures. La période de conservation dépend de la classe liée au service. EUSurvey bénéficie d’une classe de service «or», comprenant des sauvegardes quotidiennes, hebdomadaires et mensuelles qui sont conservées respectivement pendant 35 jours, 35 jours et un an. Il est possible que d’autres copies de données supprimées soient également toujours présentes dans nos sauvegardes à des fins de récupération après un incident jusqu’à un an après la suppression. Après cette date, elles seront écrasées.
Types de données à caractère personnel qui font l’objet d’un traitement:	Données d’identification: nom complet (prénom et nom) et adresse électronique, identifiant de connexion de l’utilisateur (pour l’authentification par l’intermédiaire d’EU Login). EUSurvey utilise le service Europa Analytics pour établir des statistiques relatives au trafic et les analyser. Pour de plus amples informations, veuillez consulter le site web d’Europa Analytics. Toutes les données relatives au contenu collectées dans le cadre des enquêtes EUSurvey sont hébergées sur les serveurs de la Commission. All content data collected from EU Surveys are hosted in the servers of the EC. Journaux: les fichiers journaux techniques d’EUSurvey stockent les données relatives aux actions des utilisateurs. Les fichiers journaux contiennent des données sur l’accès de l’utilisateur (enregistrement de l’heure), l’adresse électronique chaque fois qu’un courrier électronique est envoyé à quelqu’un ou le nom d’utilisateur EU Login lorsque le nom d’utilisateur a changé. Dans certains cas, ils peuvent contenir des données relatives à l’utilisateur, telles que les adresses IP, lorsqu’une exception a été soulevée. Cookies: EUSurvey utilise trois cookies différents. Deux d’entre eux proviennent du cck1 Kit de consentement pour les cookies) officiel de la Commission européenne et du _pk_id#, tandis que le troisième est un cookie de session (JSESSIONID) utilisé pour identifier l’utilisateur et veiller à ce qu’il soit toujours redirigé vers le même serveur. La liste complète des cookies utilisés par la Commission européenne est disponible à l’adresse https://ec.europa.eu/info/cookies_fr La DG DIGIT ne traite AUCUNE catégorie particulière de données à caractère personnel dans le cadre des enquêtes EUSurvey et de la fourniture du service. Néanmoins, il se peut que les propriétaires d’enquêtes utilisent EUSurvey pour recueillir des catégories particulières de données à caractère personnel qui pourraient être hébergées sur les serveurs de la Commission européenne. Il convient que le traitement de ces types de données par le propriétaire de l’enquête soit conforme à l’obligation énoncée dans le règlement (UE) 2018/1725 et le règlement (UE) 2016/679.
Catégories de personnes concernées:	les propriétaires d’enquêtes (utilisateurs), les participants aux enquêtes et le personnel de la Commission européenne qui participe à l’exploitation, à la gestion et à la maintenance de la plateforme EUSurvey, selon le principe du «besoin d’en connaître».

4.5 La localisation et l’accès aux données à caractère personnel traitées par le sous-traitant sont limités au territoire de l’Union européenne et de l’Espace économique européen et restent au sein de ce territoire.

Article 5 – Obligations générales incombant au prestataire de services

Le prestataire de services aide le propriétaire de l’enquête (utilisateur) à remplir les obligations qui incombent à ce dernier au titre, respectivement, des articles 33 à 41 du règlement (UE) 2018/1725 ou des articles 32 à 43 du règlement (UE) 2016/679, pour:

garantir le respect de ses obligations en matière de protection des données en ce qui concerne la sécurité du traitement et la confidentialité des communications électroniques et des annuaires d’utilisateurs;
notifier une violation de données à caractère personnel au Contrôleur européen de la protection des données ou à l’autorité compétente en matière de protection des données dont relève le propriétaire de l’enquête ;
communiquer une violation de données à caractère personnel à la personne concernée dans les meilleurs délais, le cas échéant;
effectuer des analyses d’impact relatives à la protection des données et des consultations préalables dans la mesure nécessaire.

Le prestataire de services ne peut agir que conformément aux instructions écrites et documentées et sous la supervision du propriétaire de l’enquête (l’utilisateur), notamment en ce qui concerne les finalités du traitement, les catégories de données pouvant être traitées, les destinataires des données et les moyens par lesquels les personnes concernées peuvent exercer leurs droits.

Le prestataire de services informe immédiatement le propriétaire de l’enquête si, selon lui, une instruction de ce dernier constitue une violation du règlement (UE) 2018/1725 ou d’autres dispositions de l’Union relatives à la protection des données.

Le prestataire de services informe dans les meilleurs délais le responsable du traitement de toute demande juridiquement contraignante de divulgation des données à caractère personnel traitées pour le compte du responsable du traitement qui lui est adressée par toute autorité publique nationale, y compris une autorité d’un pays tiers. Le prestataire de services ne peut accorder cet accès sans l’autorisation écrite préalable du responsable du traitement, à moins d’y être obligé par le droit de l’Union ou le droit d’un État membre.

Le prestataire de services donne à son personnel l’accès aux données dans la mesure strictement nécessaire à la mise en œuvre, à la gestion et au suivi de l’accord. Le prestataire de services doit veiller à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité, conformément aux dispositions de l’article 28, paragraphe 3, point b), du règlement (UE) 2016/679 ou de l’article 29, paragraphe 3, point b), du règlement (UE) 2018/1725.

Article 6 – Responsabilité de la sécurité du traitement

Le prestataire de services a adopté des mesures de sécurité techniques et organisationnelles appropriées en ce qui concerne les services fournis ¹. Ces deux types de mesures tiennent dûment compte des risques inhérents au traitement ainsi que de la nature, de la portée, du contexte et des finalités du traitement, afin de:

garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement
rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;
garantir une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement;
garantir des mesures visant à protéger les données à caractère personnel contre la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données, d’origine accidentelle ou illicite.

Article 7 – Gestion des incidents de sécurité, notamment des violations de données à caractère personnel

Le prestataire de services notifie au propriétaire de l’enquête toute violation de données à caractère personnel pertinente dans les meilleurs délais après en avoir pris connaissance, en tenant compte de la nature du traitement et des informations dont le prestataire de services dispose à ce moment-là. En pareils cas, le prestataire de services communique au moins les informations suivantes au propriétaire de l’enquête:

la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif de données à caractère personnel concernées;
les conséquences probables de la violation;
les mesures prises ou proposées pour remédier à la violation, y compris, s’il y a lieu, les mesures destinées à en atténuer les éventuelles conséquences négatives.

Article 8 – Demandes présentées par les personnes concernées

Une personne concernée dont les données à caractère personnel sont traitées par le responsable du traitement dans le cadre de la création d’enquêtes par le propriétaire de l’enquête (utilisateur) dispose de droits particuliers en vertu du chapitre III (articles 14 à 25) du règlement (UE) 2018/1725 ou du chapitre III (articles 13 à 23) du règlement (UE) 2016/679, et notamment le droit d’accéder à ses données à caractère personnel, de les rectifier ou de les effacer, le droit de limiter le traitement de ces données ou, le cas échéant, le droit de s’y opposer ou le droit à la portabilité des données. Pour toute question concernant le traitement de leurs données à caractère personnel, les personnes concernées s’adressent au responsable du traitement des données. Elles peuvent également s’adresser au délégué à la protection des données du responsable du traitement, le cas échéant. Les personnes concernées ont le droit d’introduire à tout moment une réclamation auprès du Contrôleur européen de la protection des données. Le sous-traitant aide le propriétaire de l’enquête (utilisateur) à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits dans le cadre du présent accord. Le sous-traitant informe dans les meilleurs délais le propriétaire de l’enquête des demandes qui lui sont adressées. La durée du traitement des données à caractère personnel par le prestataire de services par type d’activité de traitement ne dépassera pas la période mentionnée au début du présent accord. À la fin de cette période, le prestataire de services, à la demande et selon le choix du propriétaire de l’enquête, effacera totalement ou partiellement toutes les données à caractère personnel (y compris toutes les copies) traitées pour le compte du propriétaire de l’enquête, dans les meilleurs délais, à moins que le droit de l’Union n’exige une conservation plus longue de ces données à caractère personnel. Toutes les données figurant dans les enquêtes ou questionnaires peuvent être définitivement supprimées par le propriétaire de l’enquête lui-même. En outre, chaque propriétaire d’enquête peut supprimer définitivement le compte dont il est titulaire sur l’application EUSurvey en cliquant sur l’onglet «supprimer le compte».

Veuillez noter que la suppression des données de sauvegarde est soumise à la politique de conservation de la Commission européenne.

Le prestataire de services doit conserver les données à caractère personnel sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles les données à caractère personnel sont traitées.

La sous-traitance du service ou l’exécution du contrat par des tiers nécessite l’autorisation écrite préalable du client. Si tout ou partie du traitement des données à caractère personnel est sous-traité à un tiers, le prestataire de services transmet par écrit à ces parties, y compris aux sous-traitants, les obligations visées à l’annexe. À la demande du client, le prestataire de services fournit un document attestant de cet engagement.

ANNEXE 1: Registre des activités de traitement

Article 31, paragraphe 2, points a), b), c) et d), du RPDUE – article 30, paragraphe 2, du RGPD

Nom et coordonnées du sous-traitant des données:	Commission européenne, direction générale de l’informatique (DG DIGIT), unité D1, formulaire de contact
traitement de données à caractère personnel dans le cadre des services fournis au propriétaire de l’enquête:	traitement de données à caractère personnel dans le cadre des services fournis au propriétaire de l’enquête: développement, mise à disposition, exploitation et maintenance d’EUSurvey en tant que service de gestion, notamment toutes les évolutions futures; soutien de deuxième niveau à l’utilisateur d’EUSurvey; assistance et aide techniques aux utilisateurs finaux; hébergement sécurisé de l’ensemble des données à caractère personnel conservées dans le centre de données de la Commission.
Transferts de données internationaux:	Sans objet, toutes les données à caractère personnel sont conservées sur les serveurs de la Commission européenne.
Mesures techniques et organisationnelles:	EUSurvey enregistre le nom d’utilisateur EU Login ainsi que les adresses électroniques des propriétaires de l’enquête dans les centres de données de la Commission européenne. La Commission européenne a mis en œuvre des mesures de sécurité pour protéger le matériel et les logiciels du serveur ainsi que le réseau contre les manipulations à caractère accidentel ou malveillant et la perte de données. L’ensemble des données sont stockées sur les serveurs de la Commission européenne gérés par la DG DIGIT conformément aux dispositions de sécurité technique énoncées dans la décision (UE, Euratom) 2017/46 de la Commission du 10 janvier 2017 sur la sécurité des systèmes d’information et de communication au sein de la Commission européenne, ses versions ultérieures, ses règles d’application (telles qu’adaptées de temps à autre) et les normes et lignes directrices de sécurité correspondantes, ainsi que dans la décision (UE, Euratom) 2015/443 de la Commission du 13 mars 2015 relative à la sécurité au sein de la Commission, ses modalités d’application et les avis de sécurité correspondants. Ces documents (adaptés de temps à autre) peuvent être consultés à l’adresse suivante: https://ec.europa.eu/info/publications/security-standards-applying-all-european-commission-information-systems_en

^{1 Ces mesures organisationnelles comprennent l'utilisation appropriée du service et de ses fonctionnalités.}