Databehandlingsaftale

Nøglebegreber

Term	Værdi
Aftale	Denne DPA supplerer Servicevilkårene
Godkendte underbehandlere	Cloudflare (USA; DNS, netværk og sikkerhedsudbyder), DataPacket (USA/UK; hostingudbyder), Digital Ocean (USA; hostingudbyder), GitHub (USA; kildekodehosting, CI/CD og projektstyring), Vultr (USA; hostingudbyder), Stripe (USA; betalingsbehandler), PayPal (USA; betalingsbehandler)
Udbyders sikkerhedskontakt	security@forwardemail.net
Sikkerhedspolitik	Se vores sikkerhedspolitik på GitHub
Gældende stat	Delaware, USA

Ændringer til Aftalen

Dette dokument er en afledning af Common Paper DPA Standard Terms (Version 1.0) og følgende ændringer er foretaget:

1. Lovvalg og Valgte Domstole er inkluderet som en sektion nedenfor med Governing State identificeret ovenfor.
2. Serviceudbyderforhold er inkluderet som en sektion nedenfor.

1. Behandler- og Underbehandlerforhold

1. Udbyder som Behandler

I situationer hvor Kunden er en Dataansvarlig for Kundens Personoplysninger, vil Udbyderen blive betragtet som en Behandler, der behandler Personoplysninger på vegne af Kunden.

2. Udbyder som Underbehandler

I situationer hvor Kunden er en Behandler af Kundens Personoplysninger, vil Udbyderen blive betragtet som en Underbehandler af Kundens Personoplysninger.

2. Behandling

1. Behandlingsdetaljer

Bilag I(B) på Forsiden beskriver genstanden, arten, formålet og varigheden af denne Behandling samt Kategorier af Personoplysninger indsamlet og Kategorier af Registrerede.

2. Behandlingsinstruktioner

Kunden instruerer Udbyderen til at behandle Kundens Personoplysninger: (a) for at levere og vedligeholde Tjenesten; (b) som yderligere kan specificeres gennem Kundens brug af Tjenesten; (c) som dokumenteret i Aftalen; og (d) som dokumenteret i andre skriftlige instruktioner givet af Kunden og anerkendt af Udbyderen om behandling af Kundens Personoplysninger under denne DPA. Udbyderen vil overholde disse instruktioner, medmindre det er forbudt ved gældende lovgivning. Udbyderen vil straks informere Kunden, hvis det ikke er muligt at følge behandlingsinstruktionerne. Kunden har givet og vil kun give instruktioner, der overholder gældende lovgivning.

3. Behandling af Udbyderen

Udbyderen vil kun behandle Kundens Personoplysninger i overensstemmelse med denne DPA, inklusive detaljerne på Forsiden. Hvis Udbyderen opdaterer Tjenesten for at opdatere eksisterende eller inkludere nye produkter, funktioner eller funktionaliteter, kan Udbyderen ændre Kategorier af Registrerede, Kategorier af Personoplysninger, Særlige Kategorier af Data, Begrænsninger eller Sikkerhedsforanstaltninger for Særlige Kategorier af Data, Overførselsfrekvens, Arten og Formålet med Behandlingen og Varigheden af Behandlingen efter behov for at afspejle opdateringerne ved at underrette Kunden om opdateringerne og ændringerne.

4. Kundens Behandling

Hvor Kunden er en Behandler og Udbyderen er en Underbehandler, vil Kunden overholde alle gældende love, der gælder for Kundens behandling af Kundens Personoplysninger. Kundens aftale med sin Dataansvarlige vil tilsvarende kræve, at Kunden overholder alle gældende love, der gælder for Kunden som Behandler. Derudover vil Kunden overholde kravene til Underbehandler i Kundens aftale med sin Dataansvarlige.

5. Samtykke til Behandling

Kunden har overholdt og vil fortsat overholde alle gældende databeskyttelseslove vedrørende sin levering af Kundens Personoplysninger til Udbyderen og/eller Tjenesten, herunder at foretage alle nødvendige oplysninger, indhente alle samtykker, give tilstrækkeligt valg og implementere relevante sikkerhedsforanstaltninger krævet under gældende databeskyttelseslove.

6. Underleverandører

a. Udbyder vil ikke levere, overføre eller udlevere nogen Kunders Personoplysninger til en Underleverandør, medmindre Kunden har godkendt Underleverandøren. Den aktuelle liste over Godkendte Underleverandører indeholder identiteten af Underleverandørerne, deres landebeliggenhed og deres forventede Behandlingsopgaver. Udbyder vil informere Kunden mindst 10 arbejdsdage i forvejen og skriftligt om enhver planlagt ændring af de Godkendte Underleverandører, hvad enten det er ved tilføjelse eller udskiftning af en Underleverandør, hvilket giver Kunden tilstrækkelig tid til at gøre indsigelse mod ændringerne, før Udbyder begynder at anvende den nye Underleverandør(er). Udbyder vil give Kunden de nødvendige oplysninger, så Kunden kan udøve sin ret til at gøre indsigelse mod ændringen af de Godkendte Underleverandører. Kunden har 30 dage efter meddelelse om en ændring af de Godkendte Underleverandører til at gøre indsigelse, ellers anses Kunden for at acceptere ændringerne. Hvis Kunden gør indsigelse mod ændringen inden for 30 dage efter meddelelse, vil Kunden og Udbyder samarbejde i god tro for at løse Kundens indsigelse eller bekymring.

b. Når Udbyder engagerer en Underleverandør, vil Udbyder have en skriftlig aftale med Underleverandøren, der sikrer, at Underleverandøren kun får adgang til og bruger Kundens Personoplysninger (i) i det omfang det er nødvendigt for at udføre de underleverede forpligtelser, og (ii) i overensstemmelse med vilkårene i Aftalen.

c. Hvis GDPR gælder for Behandlingen af Kundens Personoplysninger, (i) pålægges databeskyttelsesforpligtelserne beskrevet i denne DPA (som henvist til i artikel 28, stk. 3 i GDPR, hvis relevant) også Underleverandøren, og (ii) vil Udbyders aftale med Underleverandøren indeholde disse forpligtelser, herunder detaljer om, hvordan Udbyder og dens Underleverandør vil koordinere for at besvare forespørgsler eller anmodninger om Behandlingen af Kundens Personoplysninger. Derudover vil Udbyder på Kundens anmodning dele en kopi af sine aftaler (inklusive eventuelle ændringer) med sine Underleverandører. I det omfang det er nødvendigt for at beskytte forretningshemmeligheder eller andre fortrolige oplysninger, herunder personoplysninger, kan Udbyder redigere teksten i sin aftale med sin Underleverandør, inden en kopi deles.

d. Udbyder forbliver fuldt ansvarlig for alle forpligtelser, der er underleveret til sine Underleverandører, herunder handlinger og undladelser fra sine Underleverandørers side i forbindelse med Behandlingen af Kundens Personoplysninger. Udbyder vil underrette Kunden om enhver fejl fra sine Underleverandørers side i opfyldelsen af en væsentlig forpligtelse vedrørende Kundens Personoplysninger under aftalen mellem Udbyder og Underleverandøren.

3. Begrænsede Overførsler

1. Autorisation

Kunden accepterer, at Udbyder kan overføre Kundens Personoplysninger uden for EØS, Storbritannien eller andet relevant geografisk område, som nødvendigt for at levere Tjenesten. Hvis Udbyder overfører Kundens Personoplysninger til et område, for hvilket Europa-Kommissionen eller anden relevant tilsynsmyndighed ikke har udstedt en afgørelse om tilstrækkelighed, vil Udbyder implementere passende garantier for overførslen af Kundens Personoplysninger til dette område i overensstemmelse med gældende databeskyttelseslovgivning.

2. Overførsler uden for EØS

Kunden og Udbyder er enige om, at hvis GDPR beskytter overførslen af Kundens Personoplysninger, overførslen sker fra Kunden inden for EØS til Udbyder uden for EØS, og overførslen ikke er reguleret af en afgørelse om tilstrækkelighed truffet af Europa-Kommissionen, så anses Kunden og Udbyder ved indgåelsen af denne DPA for at have underskrevet EØS SCC'erne og deres bilag, som er indarbejdet ved henvisning. Enhver sådan overførsel sker i henhold til EØS SCC'erne, som udfyldes som følger: a. Modul To (Dataansvarlig til Databehandler) i EØS SCC'erne gælder, når Kunden er Dataansvarlig, og Udbyderen behandler Kundens Personoplysninger for Kunden som Databehandler.

b. Modul Tre (Databehandler til Underdatabehandler) i EØS SCC'erne gælder, når Kunden er Databehandler, og Udbyderen behandler Kundens Personoplysninger på vegne af Kunden som Underdatabehandler.

c. For hvert modul gælder følgende (når relevant):

1. Den valgfrie dockingklausul i Klausul 7 gælder ikke;

2. I Klausul 9 gælder Mulighed 2 (generel skriftlig tilladelse), og den minimale varslingsperiode for ændringer af Underdatabehandler er 10 arbejdsdage;

3. I Klausul 11 gælder den valgfrie sprogtekst ikke;

4. Alle firkantede parenteser i Klausul 13 fjernes;

5. I Klausul 17 (Mulighed 1) vil EØS SCC'erne være underlagt lovgivningen i Den Styrende Medlemsstat;

6. I Klausul 18(b) vil tvister blive afgjort ved domstolene i Den Styrende Medlemsstat; og

7. Forsiden til denne DPA indeholder de oplysninger, der kræves i Bilag I, Bilag II og Bilag III til EØS SCC'erne.

3. Overførsler uden for Storbritannien

Kunden og Udbyderen er enige om, at hvis UK GDPR beskytter overførslen af Kundens Personoplysninger, og overførslen sker fra Kunden inden for Det Forenede Kongerige til Udbyderen uden for Det Forenede Kongerige, og overførslen ikke er omfattet af en tilstrækkelighedsafgørelse truffet af den britiske udenrigsminister, så anses Kunden og Udbyderen ved indgåelsen af denne DPA for at have underskrevet UK-tilføjelsen og dens bilag, som er indarbejdet ved henvisning. Enhver sådan overførsel sker i henhold til UK-tilføjelsen, som udfyldes som følger:

a. Afsnit 3.2 i denne DPA indeholder de oplysninger, der kræves i Tabel 2 i UK-tilføjelsen.

b. Tabel 4 i UK-tilføjelsen ændres som følger: Ingen af parterne kan opsige UK-tilføjelsen som angivet i Afsnit 19 i UK-tilføjelsen; i det omfang ICO udsteder en revideret godkendt tilføjelse i henhold til Afsnit ‎18 i UK-tilføjelsen, vil parterne i god tro arbejde på at revidere denne DPA i overensstemmelse hermed.

c. Forsiden indeholder de oplysninger, der kræves i Bilag 1A, Bilag 1B, Bilag II og Bilag III til UK-tilføjelsen.

4. Andre internationale overførsler

For overførsler af Personoplysninger, hvor schweizisk lovgivning (og ikke lovgivningen i en EØS-medlemsstat eller Det Forenede Kongerige) gælder for den internationale karakter af overførslen, ændres henvisninger til GDPR i Klausul 4 i EØS SCC'erne, i det omfang det er juridisk påkrævet, til i stedet at henvise til den schweiziske føderale databeskyttelseslov eller dens efterfølger, og begrebet tilsynsmyndighed vil inkludere den schweiziske føderale databeskyttelses- og informationskommissær.

4. Håndtering af sikkerhedshændelser

1. Når Udbyderen bliver opmærksom på en sikkerhedshændelse, vil Udbyderen: (a) underrette Kunden uden unødig forsinkelse, når det er muligt, men senest 72 timer efter at være blevet opmærksom på sikkerhedshændelsen; (b) give rettidig information om sikkerhedshændelsen, efterhånden som den bliver kendt eller efter rimeligt ønske fra Kunden; og (c) straks tage rimelige skridt til at begrænse og undersøge sikkerhedshændelsen. Udbyderens underretning om eller reaktion på en sikkerhedshændelse som krævet i denne DPA skal ikke fortolkes som en anerkendelse fra Udbyderen af nogen skyld eller ansvar for sikkerhedshændelsen.

5. Revision og rapporter

1. Revisionsrettigheder

Udbyderen vil give Kunden alle oplysninger, der med rimelighed er nødvendige for at demonstrere overholdelse af denne DPA, og Udbyderen vil tillade og bidrage til revisioner, herunder inspektioner foretaget af Kunden, for at vurdere Udbyderens overholdelse af denne DPA. Dog kan Udbyderen begrænse adgangen til data eller oplysninger, hvis Kundens adgang til oplysningerne negativt ville påvirke Udbyderens immaterielle rettigheder, fortrolighedsforpligtelser eller andre forpligtelser i henhold til gældende lovgivning. Kunden anerkender og accepterer, at den kun vil udøve sine revisionsrettigheder i henhold til denne DPA og eventuelle revisionsrettigheder, der er givet i henhold til gældende databeskyttelseslovgivning, ved at instruere Udbyderen om at overholde rapporterings- og due diligence-kravene nedenfor. Udbyderen vil opbevare dokumentation for sin overholdelse af denne DPA i 3 år efter DPA'ens ophør.

2. Sikkerhedsrapporter

Kunden anerkender, at Udbyderen regelmæssigt revideres i forhold til de standarder, der er defineret i Sikkerhedspolitikken af uafhængige tredjepartsrevisorer. Efter skriftlig anmodning vil Udbyderen give Kunden, på fortrolig basis, en sammendraget kopi af sin daværende Rapport, så Kunden kan verificere Udbyderens overholdelse af de standarder, der er defineret i Sikkerhedspolitikken.

3. Sikkerhedsmæssig Due Diligence

Ud over Rapporten vil Udbyderen svare på rimelige informationsanmodninger fra Kunden for at bekræfte Udbyderens overholdelse af denne DPA, herunder svar på informationssikkerhed, due diligence og revisionsspørgeskemaer, eller ved at give yderligere oplysninger om sit informationssikkerhedsprogram. Alle sådanne anmodninger skal være skriftlige og rettes til Udbyderens Sikkerhedskontakt og må kun foretages én gang om året.

6. Koordination & Samarbejde

1. Svar på Forespørgsler

Hvis Udbyderen modtager en forespørgsel eller anmodning fra andre om Behandlingen af Kundens Personoplysninger, vil Udbyderen underrette Kunden om anmodningen, og Udbyderen vil ikke svare på anmodningen uden Kundens forudgående samtykke. Eksempler på denne slags forespørgsler og anmodninger inkluderer en retslig, administrativ eller regulatorisk myndighedsordre vedrørende Kundens Personoplysninger, hvor underretning af Kunden ikke er forbudt ved gældende lovgivning, eller en anmodning fra en registreret person. Hvis det er tilladt efter gældende lovgivning, vil Udbyderen følge Kundens rimelige instruktioner vedrørende disse anmodninger, herunder at give statusopdateringer og anden information, som Kunden rimeligt anmoder om. Hvis en registreret person fremsætter en gyldig anmodning i henhold til gældende databeskyttelseslove om at slette eller fravælge Kundens videregivelse af Kundens Personoplysninger til Udbyderen, vil Udbyderen bistå Kunden med at opfylde anmodningen i overensstemmelse med gældende databeskyttelseslovgivning. Udbyderen vil samarbejde med og yde rimelig bistand til Kunden, på Kundens regning, i ethvert juridisk svar eller anden proceduremæssig handling, som Kunden foretager som svar på en tredjepartsanmodning vedrørende Udbyderens Behandling af Kundens Personoplysninger under denne DPA.

2. DPIA'er og DTIA'er

Hvis det kræves af gældende databeskyttelseslove, vil Udbyderen rimeligt bistå Kunden med at gennemføre eventuelle påkrævede konsekvensanalyser for databeskyttelse eller konsekvensanalyser for dataoverførsel samt konsultationer med relevante databeskyttelsesmyndigheder, under hensyntagen til arten af Behandlingen og Kundens Personoplysninger.

7. Sletning af Kundens Personoplysninger

1. Sletning af Kunden

Udbyderen vil gøre det muligt for Kunden at slette Kundens Personoplysninger på en måde, der er i overensstemmelse med funktionaliteten af Tjenesterne. Udbyderen vil efterkomme denne instruktion så hurtigt som rimeligt muligt, undtagen hvor yderligere opbevaring af Kundens Personoplysninger kræves ved gældende lovgivning.

2. Sletning ved DPA-udløb

a. Efter DPA'ens udløb vil Udbyderen returnere eller slette Kundens Personoplysninger efter Kundens instruktion, medmindre yderligere opbevaring af Kundens Personoplysninger kræves eller er tilladt ved gældende lovgivning. Hvis returnering eller destruktion er upraktisk eller forbudt ved gældende lovgivning, vil Udbyderen gøre rimelige bestræbelser på at forhindre yderligere Behandling af Kundens Personoplysninger og vil fortsat beskytte de Kundens Personoplysninger, der er tilbage i dens besiddelse, varetægt eller kontrol. For eksempel kan gældende lovgivning kræve, at Udbyderen fortsætter med at hoste eller behandle Kundens Personoplysninger. b. Hvis Kunden og Udbyderen har indgået EØS SCC'erne eller den britiske tillægsaftale som en del af denne DPA, vil Udbyderen kun give Kunden den certificering af sletning af personoplysninger, der er beskrevet i klausul 8.1(d) og klausul 8.5 i EØS SCC'erne, hvis Kunden anmoder om det.

8. Ansvarsbegrænsning

1. Ansvarsloft og frafald af erstatning

I det omfang det er tilladt under gældende databeskyttelseslovgivning, vil hver parts samlede kumulative ansvar over for den anden part, som opstår som følge af eller i forbindelse med denne DPA, være underlagt de frafald, undtagelser og ansvarsbegrænsninger, der er angivet i Aftalen.

2. Krav fra relaterede parter

Eventuelle krav mod Udbyderen eller dets tilknyttede selskaber, som opstår som følge af eller i forbindelse med denne DPA, kan kun rejses af den Kunde-enhed, der er part i Aftalen.

3. Undtagelser

1. Denne DPA begrænser ikke noget ansvar over for en enkeltperson vedrørende den enkeltes databeskyttelsesrettigheder under gældende databeskyttelseslovgivning. Derudover begrænser denne DPA ikke noget ansvar mellem parterne for overtrædelser af EØS SCC'erne eller den britiske tillægsaftale.

9. Konflikter mellem dokumenter

1. Denne DPA udgør en del af og supplerer Aftalen. Hvis der er nogen uoverensstemmelse mellem denne DPA, Aftalen eller nogen af deres dele, vil den tidligere nævnte del have forrang frem for den senere nævnte del for den pågældende uoverensstemmelse: (1) EØS SCC'erne eller den britiske tillægsaftale, (2) denne DPA, og derefter (3) Aftalen.

10. Aftalens løbetid

Denne DPA træder i kraft, når Udbyderen og Kunden accepterer en forside til DPA'en og underskriver eller elektronisk accepterer Aftalen, og fortsætter indtil Aftalen udløber eller opsiges. Dog vil både Udbyderen og Kunden fortsat være underlagt forpligtelserne i denne DPA og gældende databeskyttelseslovgivning, indtil Kunden ophører med at overføre kundens personoplysninger til Udbyderen, og Udbyderen ophører med at behandle kundens personoplysninger.

11. Lovvalg og værneting

Uanset lovvalgsklausuler eller lignende i Aftalen, vil alle fortolkninger og tvister vedrørende denne DPA være underlagt lovgivningen i Lovvalgsstaten uden hensyn til dens regler om lovkonflikter. Derudover, og uanset forumvalg, jurisdiktion eller lignende klausuler i Aftalen, accepterer parterne at anlægge enhver retssag, handling eller procedure vedrørende denne DPA ved, og hver part underkaster sig uigenkaldeligt den eksklusive jurisdiktion for, domstolene i Lovvalgsstaten.

12. Forholdet som tjenesteudbyder

I det omfang California Consumer Privacy Act, Cal. Civ. Code § 1798.100 et seq ("CCPA") finder anvendelse, anerkender og accepterer parterne, at Udbyderen er en tjenesteudbyder og modtager personoplysninger fra Kunden for at levere tjenesten som aftalt i Aftalen, hvilket udgør et forretningsformål. Udbyderen vil ikke sælge nogen personoplysninger leveret af Kunden under Aftalen. Derudover vil Udbyderen ikke opbevare, bruge eller videregive nogen personoplysninger leveret af Kunden under Aftalen undtagen som nødvendigt for at levere tjenesten til Kunden, som angivet i Aftalen, eller som tilladt af gældende databeskyttelseslovgivning. Udbyderen bekræfter, at den forstår begrænsningerne i dette afsnit.

13. Definitioner

1. "Gældende love" betyder de love, regler, forskrifter, retskendelser og andre bindende krav fra en relevant myndighed, som gælder for eller regulerer en part.

2. "Gældende databeskyttelseslove" betyder de gældende love, der regulerer, hvordan Tjenesten må behandle eller bruge en persons personlige oplysninger, persondata, personligt identificerbare oplysninger eller andet lignende udtryk.

3. "Dataansvarlig" vil have den betydning, der gives i de gældende databeskyttelseslove for det selskab, der bestemmer formålet og omfanget af behandlingen af persondata.

4. "Forside" betyder et dokument, der er underskrevet eller elektronisk accepteret af parterne, som inkorporerer disse DPA Standardbetingelser og identificerer Udbyder, Kunde og emnet samt detaljer om databehandlingen.

5. "Kundens persondata" betyder persondata, som Kunden uploader eller leverer til Udbyderen som en del af Tjenesten, og som er omfattet af denne DPA.

6. "DPA" betyder disse DPA Standardbetingelser, Forsiden mellem Udbyder og Kunde samt de politikker og dokumenter, der henvises til i eller er vedhæftet Forsiden.

7. "EEA SCCs" betyder de standardkontraktbestemmelser, der er bilagt Europa-Kommissionens gennemførelsesbeslutning 2021/914 af 4. juni 2021 om standardkontraktbestemmelser for overførsel af persondata til tredjelande i henhold til forordning (EU) 2016/679 fra Europa-Parlamentet og Rådet.

8. "Det Europæiske Økonomiske Samarbejdsområde" eller "EØS" betyder medlemsstaterne i Den Europæiske Union, Norge, Island og Liechtenstein.

9. "GDPR" betyder EU-forordning 2016/679 som implementeret i lokal lovgivning i den relevante EØS-medlemsstat.

10. "Persondata" vil have den betydning, der gives i de gældende databeskyttelseslove for personlige oplysninger, persondata eller andet lignende udtryk.

11. "Behandling" eller "Behandle" vil have den betydning, der gives i de gældende databeskyttelseslove for enhver anvendelse af eller udførelse af en computeroperation på persondata, herunder ved automatiske metoder.

12. "Databehandler" vil have den betydning, der gives i de gældende databeskyttelseslove for det selskab, der behandler persondata på vegne af den dataansvarlige.

13. "Rapport" betyder revisionsrapporter udarbejdet af et andet selskab i henhold til standarderne defineret i Sikkerhedspolitikken på vegne af Udbyderen.

14. "Begrænset overførsel" betyder (a) hvor GDPR gælder, en overførsel af persondata fra EØS til et land uden for EØS, som ikke er omfattet af en tilstrækkelighedsvurdering foretaget af Europa-Kommissionen; og (b) hvor UK GDPR gælder, en overførsel af persondata fra Storbritannien til ethvert andet land, som ikke er omfattet af tilstrækkelighedsregler vedtaget i henhold til afsnit 17A i Storbritanniens Data Protection Act 2018.

15. "Sikkerhedshændelse" betyder et brud på persondata som defineret i artikel 4 i GDPR.

16. "Tjeneste" betyder det produkt og/eller de tjenester, der er beskrevet i Aftalen.

17. "Særlige kategorier af data" vil have den betydning, der gives i artikel 9 i GDPR.

18. "Underdatabehandler" vil have den betydning, der gives i de gældende databeskyttelseslove for et selskab, som med godkendelse og accept fra den dataansvarlige assisterer databehandleren med at behandle persondata på vegne af den dataansvarlige.

19. "UK GDPR" betyder EU-forordning 2016/679 som implementeret af afsnit 3 i Storbritanniens European Union (Withdrawal) Act af 2018 i Storbritannien.

20. "UK Addendum" betyder tillægget til internationale dataoverførsler til EEA SCCs udstedt af Information Commissioner for parter, der foretager begrænsede overførsler i henhold til S119A(1) i Data Protection Act 2018.

Credits

Dette dokument er en afledning af Common Paper DPA Standard Terms (Version 1.0) og er licenseret under CC BY 4.0.