Databehandleravtale

Forward Email databehandleravtale

Nøkkelbegreper

Begrep Verdi
Avtale Denne DPA supplerer Vilkår for bruk
Godkjente underbehandlere Cloudflare (USA; DNS, nettverk og sikkerhetsleverandør), DataPacket (USA/UK; hosting-leverandør), Digital Ocean (USA; hosting-leverandør), GitHub (USA; kildekodehosting, CI/CD og prosjektstyring), Vultr (USA; hosting-leverandør), Stripe (USA; betalingsbehandler), PayPal (USA; betalingsbehandler)
Leverandørens sikkerhetskontakt security@forwardemail.net
Sikkerhetspolicy Se vår sikkerhetspolicy på GitHub
Gjeldende stat Delstaten Delaware, USA

Endringer i avtalen

Dette dokumentet er en avledning av Common Paper DPA Standard Terms (Versjon 1.0) og følgende endringer er gjort:

  1. Lovvalg og valgte domstoler er inkludert som en seksjon nedenfor med Governing State identifisert ovenfor.
  2. Tjenesteleverandørforhold er inkludert som en seksjon nedenfor.

1. Behandler- og underbehandlerforhold

1. Leverandør som behandler

I situasjoner hvor Kunden er en behandlingsansvarlig for kundens personopplysninger, vil Leverandøren anses som en behandler som behandler personopplysninger på vegne av Kunden.

2. Leverandør som underbehandler

I situasjoner hvor Kunden er en behandler av kundens personopplysninger, vil Leverandøren anses som en underbehandler av kundens personopplysninger.

2. Behandling

1. Behandlingsdetaljer

Vedlegg I(B) på forsiden beskriver gjenstanden, arten, formålet og varigheten av denne behandlingen, samt Kategorier av personopplysninger som samles inn og Kategorier av registrerte.

2. Behandlingsinstruksjoner

Kunden instruerer Leverandøren til å behandle kundens personopplysninger: (a) for å levere og vedlikeholde tjenesten; (b) som kan spesifiseres ytterligere gjennom Kundens bruk av tjenesten; (c) som dokumentert i Avtalen; og (d) som dokumentert i andre skriftlige instruksjoner gitt av Kunden og bekreftet av Leverandøren om behandling av kundens personopplysninger under denne DPA. Leverandøren vil følge disse instruksjonene med mindre det er forbudt av gjeldende lover. Leverandøren vil umiddelbart informere Kunden hvis den ikke kan følge behandlingsinstruksjonene. Kunden har gitt og vil kun gi instruksjoner som er i samsvar med gjeldende lover.

3. Behandling av Leverandør

Leverandøren vil kun behandle kundens personopplysninger i samsvar med denne DPA, inkludert detaljene på forsiden. Hvis Leverandøren oppdaterer tjenesten for å oppdatere eksisterende eller inkludere nye produkter, funksjoner eller funksjonalitet, kan Leverandøren endre Kategorier av registrerte, Kategorier av personopplysninger, Spesielle kategorier av data, Begrensninger eller sikkerhetstiltak for spesielle kategorier av data, Overføringsfrekvens, Art og formål med behandlingen og Varighet av behandlingen etter behov for å reflektere oppdateringene ved å varsle Kunden om oppdateringene og endringene.

4. Kundens behandling

Der Kunden er en behandler og Leverandøren er en underbehandler, vil Kunden overholde alle gjeldende lover som gjelder for Kundens behandling av kundens personopplysninger. Kundens avtale med sin behandlingsansvarlige vil på tilsvarende måte kreve at Kunden overholder alle gjeldende lover som gjelder for Kunden som behandler. I tillegg vil Kunden overholde kravene til underbehandler i Kundens avtale med sin behandlingsansvarlige.

Kunden har overholdt og vil fortsette å overholde alle gjeldende personvernlovgivninger angående sin overlevering av kundens personopplysninger til Leverandøren og/eller tjenesten, inkludert å gi alle opplysninger, innhente alle samtykker, tilby tilstrekkelig valg og implementere relevante sikkerhetstiltak som kreves under gjeldende personvernlovgivning.

6. Underleverandører

a. Leverandør vil ikke levere, overføre eller overlate noen Kundens Personopplysninger til en Underleverandør med mindre Kunden har godkjent Underleverandøren. Den nåværende listen over Godkjente Underleverandører inkluderer identiteten til Underleverandørene, deres land for lokalisering, og deres forventede Behandlingsoppgaver. Leverandør vil informere Kunden minst 10 virkedager i forveien og skriftlig om eventuelle planlagte endringer i Godkjente Underleverandører, enten ved tillegg eller utskifting av en Underleverandør, noe som gir Kunden nok tid til å motsette seg endringene før Leverandør begynner å bruke den nye Underleverandøren(e). Leverandør vil gi Kunden den informasjon som er nødvendig for at Kunden skal kunne utøve sin rett til å motsette seg endringen av Godkjente Underleverandører. Kunden har 30 dager etter varsel om en endring i Godkjente Underleverandører til å motsette seg, ellers anses Kunden å akseptere endringene. Hvis Kunden motsetter seg endringen innen 30 dager etter varsel, vil Kunden og Leverandør samarbeide i god tro for å løse Kundens innsigelse eller bekymring.

b. Når Leverandør engasjerer en Underleverandør, vil Leverandør ha en skriftlig avtale med Underleverandøren som sikrer at Underleverandøren kun får tilgang til og bruker Kundens Personopplysninger (i) i den grad det er nødvendig for å utføre de underleverte forpliktelsene, og (ii) i samsvar med vilkårene i Avtalen.

c. Hvis GDPR gjelder for Behandlingen av Kundens Personopplysninger, (i) pålegges også databeskyttelsesforpliktelsene beskrevet i denne DPA (som referert til i artikkel 28(3) i GDPR, hvis aktuelt) Underleverandøren, og (ii) vil Leverandørs avtale med Underleverandøren inkorporere disse forpliktelsene, inkludert detaljer om hvordan Leverandør og dens Underleverandør vil koordinere for å svare på henvendelser eller forespørsler om Behandlingen av Kundens Personopplysninger. I tillegg vil Leverandør dele, på Kundens forespørsel, en kopi av sine avtaler (inkludert eventuelle endringer) med sine Underleverandører. I den grad det er nødvendig for å beskytte forretningshemmeligheter eller annen konfidensiell informasjon, inkludert personopplysninger, kan Leverandør sensurere teksten i sin avtale med Underleverandøren før deling av en kopi.

d. Leverandør forblir fullt ansvarlig for alle forpliktelser som er underleverandert til sine Underleverandører, inkludert handlinger og unnlatelser fra sine Underleverandører i Behandlingen av Kundens Personopplysninger. Leverandør vil varsle Kunden om enhver svikt fra sine Underleverandørers side i å oppfylle en vesentlig forpliktelse om Kundens Personopplysninger under avtalen mellom Leverandør og Underleverandøren.

3. Begrensede Overføringer

1. Autorisasjon

Kunden samtykker i at Leverandør kan overføre Kundens Personopplysninger utenfor EØS, Storbritannia eller annet relevant geografisk område etter behov for å levere Tjenesten. Hvis Leverandør overfører Kundens Personopplysninger til et område hvor Europakommisjonen eller annen relevant tilsynsmyndighet ikke har utstedt en beslutning om tilstrekkelig beskyttelse, vil Leverandør implementere passende sikkerhetstiltak for overføringen av Kundens Personopplysninger til dette området i samsvar med gjeldende personvernlovgivning.

2. Overføringer utenfor EØS

Kunden og Leverandør er enige om at dersom GDPR beskytter overføringen av Kundens Personopplysninger, overføringen skjer fra Kunden innenfor EØS til Leverandør utenfor EØS, og overføringen ikke reguleres av en tilstrekkelighetsbeslutning fra Europakommisjonen, så anses det ved inngåelse av denne DPA at Kunden og Leverandør har signert EØS SCC-ene og deres Vedlegg, som er innlemmet ved henvisning. Enhver slik overføring skjer i henhold til EØS SCC-ene, som utfylles som følger: a. Modul To (Behandlingsansvarlig til Databehandler) i EØS SCC-ene gjelder når Kunden er Behandlingsansvarlig og Leverandøren behandler Kundens personopplysninger for Kunden som Databehandler.

b. Modul Tre (Databehandler til Underdatabehandler) i EØS SCC-ene gjelder når Kunden er Databehandler og Leverandøren behandler Kundens personopplysninger på vegne av Kunden som Underdatabehandler.

c. For hver modul gjelder følgende (når aktuelt):

  1. Den valgfrie tilknytningsklausulen i Klausul 7 gjelder ikke;

  2. I Klausul 9 gjelder Alternativ 2 (generell skriftlig godkjenning), og minimumsperioden for forhåndsvarsel om endringer i Underdatabehandler er 10 virkedager;

  3. I Klausul 11 gjelder ikke det valgfrie språket;

  4. Alle hakeparenteser i Klausul 13 fjernes;

  5. I Klausul 17 (Alternativ 1) skal EØS SCC-ene være underlagt lovene i Styrende medlemsstat;

  6. I Klausul 18(b) skal tvister avgjøres i domstolene i Styrende medlemsstat; og

  7. Forsiden til denne DPA inneholder informasjonen som kreves i Vedlegg I, Vedlegg II og Vedlegg III til EØS SCC-ene.

3. Overføringer fra Storbritannia

Kunden og Leverandøren er enige om at dersom UK GDPR beskytter overføringen av Kundens personopplysninger, og overføringen skjer fra Kunden innenfor Storbritannia til Leverandøren utenfor Storbritannia, og overføringen ikke er regulert av en tilstrekkelighetsbeslutning fattet av Storbritannias Secretary of State, så anses Kunden og Leverandøren ved inngåelse av denne DPA å ha signert UK-tillegget og deres vedlegg, som innarbeides ved henvisning. Enhver slik overføring skjer i henhold til UK-tillegget, som fullføres som følger:

a. Seksjon 3.2 i denne DPA inneholder informasjonen som kreves i Tabell 2 i UK-tillegget.

b. Tabell 4 i UK-tillegget endres som følger: Ingen av partene kan avslutte UK-tillegget som angitt i Seksjon 19 i UK-tillegget; i den grad ICO utsteder et revidert godkjent tilleggsdokument under Seksjon ‎18 i UK-tillegget, skal partene samarbeide i god tro for å revidere denne DPA tilsvarende.

c. Forsiden inneholder informasjonen som kreves av Vedlegg 1A, Vedlegg 1B, Vedlegg II og Vedlegg III i UK-tillegget.

4. Andre internasjonale overføringer

For overføringer av personopplysninger hvor sveitsisk lov (og ikke loven i noen EØS-medlemsstat eller Storbritannia) gjelder for den internasjonale karakteren av overføringen, endres henvisninger til GDPR i Klausul 4 i EØS SCC-ene, i den grad det er juridisk påkrevd, til å referere til den sveitsiske føderale databeskyttelsesloven eller dens etterfølger i stedet, og begrepet tilsynsmyndighet vil inkludere den sveitsiske føderale databeskyttelses- og informasjonskommissæren.

4. Respons på sikkerhetshendelser

  1. Når Leverandøren blir oppmerksom på en sikkerhetshendelse, skal Leverandøren: (a) varsle Kunden uten unødig opphold når det er mulig, men senest 72 timer etter å ha blitt oppmerksom på sikkerhetshendelsen; (b) gi rettidig informasjon om sikkerhetshendelsen etter hvert som den blir kjent eller etter rimelig forespørsel fra Kunden; og (c) raskt iverksette rimelige tiltak for å begrense og undersøke sikkerhetshendelsen. Leverandørens varsling om eller respons på en sikkerhetshendelse som kreves av denne DPA skal ikke tolkes som en erkjennelse fra Leverandøren av skyld eller ansvar for sikkerhetshendelsen.

5. Revisjon og rapporter

1. Revisjonsrettigheter

Leverandøren skal gi Kunden all informasjon som med rimelighet er nødvendig for å demonstrere overholdelse av denne DPA, og Leverandøren skal tillate og bidra til revisjoner, inkludert inspeksjoner av Kunden, for å vurdere Leverandørens overholdelse av denne DPA. Leverandøren kan imidlertid begrense tilgangen til data eller informasjon dersom Kundens tilgang til informasjonen vil ha negativ innvirkning på Leverandørens immaterielle rettigheter, konfidensialitetsforpliktelser eller andre forpliktelser under gjeldende lover. Kunden erkjenner og godtar at den kun vil utøve sine revisjonsrettigheter under denne DPA og eventuelle revisjonsrettigheter gitt av gjeldende personvernlovgivning ved å instruere Leverandøren om å overholde rapporterings- og aktsomhetskravene nedenfor. Leverandøren skal oppbevare dokumentasjon på sin overholdelse av denne DPA i 3 år etter at DPA-en opphører.

2. Sikkerhetsrapporter

Kunden erkjenner at Leverandøren jevnlig revideres i henhold til standardene definert i Sikkerhetspolicyen av uavhengige tredjepartsrevisorer. På skriftlig forespørsel vil Leverandøren gi Kunden, på konfidensiell basis, en sammendragkopi av sin da gjeldende rapport slik at Kunden kan verifisere Leverandørens overholdelse av standardene definert i Sikkerhetspolicyen.

3. Sikkerhetsdue diligence

I tillegg til rapporten vil Leverandøren svare på rimelige forespørsler om informasjon fra Kunden for å bekrefte Leverandørens overholdelse av denne DPA, inkludert svar på informasjonssikkerhet, due diligence og revisjonsspørreskjemaer, eller ved å gi tilleggsinformasjon om sitt informasjonssikkerhetsprogram. Alle slike forespørsler må være skriftlige og rettes til Leverandørens sikkerhetskontakt og kan kun gjøres én gang i året.

6. Koordinering og samarbeid

1. Respons på henvendelser

Hvis Leverandøren mottar en henvendelse eller forespørsel fra noen andre om behandlingen av kundens personopplysninger, vil Leverandøren varsle Kunden om forespørselen, og Leverandøren vil ikke svare på forespørselen uten Kundens forhåndssamtykke. Eksempler på slike henvendelser og forespørsler inkluderer en rettslig, administrativ eller regulatorisk pålegg om kundens personopplysninger der varsling av Kunden ikke er forbudt av gjeldende lovgivning, eller en forespørsel fra en registrert person. Hvis det er tillatt etter gjeldende lovgivning, vil Leverandøren følge Kundens rimelige instruksjoner om disse forespørslene, inkludert å gi statusoppdateringer og annen informasjon som rimelig etterspørres av Kunden. Hvis en registrert person fremsetter en gyldig forespørsel i henhold til gjeldende personvernlovgivning om å slette eller reservere seg mot at Kunden gir kundens personopplysninger til Leverandøren, vil Leverandøren bistå Kunden med å oppfylle forespørselen i henhold til gjeldende personvernlovgivning. Leverandøren vil samarbeide med og gi rimelig assistanse til Kunden, på Kundens bekostning, i enhver juridisk respons eller annen prosedyremessig handling som Kunden iverksetter som svar på en tredjepartsforespørsel om Leverandørens behandling av kundens personopplysninger under denne DPA.

2. DPIA-er og DTIA-er

Hvis påkrevd av gjeldende personvernlovgivning, vil Leverandøren rimelig bistå Kunden med å gjennomføre eventuelle pålagte konsekvensutredninger for personvern eller konsekvensutredninger for dataoverføring og konsultasjoner med relevante datatilsynsmyndigheter, med hensyn til behandlingen og kundens personopplysninger.

7. Sletting av kundens personopplysninger

1. Sletting av kunden

Leverandøren vil gjøre det mulig for Kunden å slette kundens personopplysninger på en måte som er i samsvar med funksjonaliteten til tjenestene. Leverandøren vil etterkomme denne instruksjonen så snart det er rimelig praktisk, unntatt der videre lagring av kundens personopplysninger kreves av gjeldende lovgivning.

2. Sletting ved DPA-utløp

a. Etter at DPA-en utløper, vil Leverandøren returnere eller slette kundens personopplysninger etter Kundens instruksjon, med mindre videre lagring av kundens personopplysninger kreves eller er tillatt av gjeldende lovgivning. Hvis retur eller destruksjon er upraktisk eller forbudt av gjeldende lovgivning, vil Leverandøren gjøre rimelige anstrengelser for å forhindre ytterligere behandling av kundens personopplysninger og vil fortsette å beskytte kundens personopplysninger som fortsatt er i dens besittelse, varetekt eller kontroll. For eksempel kan gjeldende lovgivning kreve at Leverandøren fortsetter å være vert for eller behandle kundens personopplysninger. b. Hvis Kunden og Leverandøren har inngått EØS SCC-ene eller UK-tillegget som en del av denne DPA-en, vil Leverandøren kun gi Kunden sertifisering av sletting av personopplysninger som beskrevet i klausul 8.1(d) og klausul 8.5 i EØS SCC-ene dersom Kunden ber om det.

8. Ansvarsbegrensning

1. Ansvarsgrenser og frafall av erstatning

I den grad det er tillatt under gjeldende personvernlovgivning, vil hver parts totale kumulative ansvar overfor den andre parten som oppstår fra eller er relatert til denne DPA-en være underlagt frafall, unntak og ansvarsbegrensninger angitt i Avtalen.

Eventuelle krav rettet mot Leverandøren eller dets tilknyttede selskaper som oppstår fra eller er relatert til denne DPA-en kan kun fremsettes av Kunden som er part i Avtalen.

3. Unntak

  1. Denne DPA-en begrenser ikke noe ansvar overfor en enkeltperson angående dennes rettigheter etter gjeldende personvernlovgivning. I tillegg begrenser ikke denne DPA-en noe ansvar mellom partene for brudd på EØS SCC-ene eller UK-tillegget.

9. Konflikter mellom dokumenter

  1. Denne DPA-en utgjør en del av og supplerer Avtalen. Dersom det oppstår inkonsistens mellom denne DPA-en, Avtalen eller noen av deres deler, vil den delen som er oppført først ha forrang over den som er oppført senere for den inkonsistensen: (1) EØS SCC-ene eller UK-tillegget, (2) denne DPA-en, og deretter (3) Avtalen.

10. Avtalens varighet

Denne DPA-en trer i kraft når Leverandøren og Kunden godtar et forsideark for DPA-en og signerer eller elektronisk aksepterer Avtalen, og vil fortsette til Avtalen utløper eller sies opp. Imidlertid vil både Leverandøren og Kunden fortsatt være bundet av forpliktelsene i denne DPA-en og gjeldende personvernlovgivning inntil Kunden slutter å overføre kundens personopplysninger til Leverandøren og Leverandøren slutter å behandle kundens personopplysninger.

11. Gjeldende lov og valgte domstoler

Uavhengig av lovvalgsklausulen eller lignende klausuler i Avtalen, skal all tolkning og tvister om denne DPA-en reguleres av lovene i Styringsstaten uten hensyn til dens regler om lovkonflikter. I tillegg, og uavhengig av forumvalg, jurisdiksjon eller lignende klausuler i Avtalen, samtykker partene i å bringe enhver rettssak, handling eller prosedyre om denne DPA-en for, og hver part underkaster seg ugjenkallelig den eksklusive jurisdiksjonen til, domstolene i Styringsstaten.

12. Forholdet som tjenesteleverandør

I den grad California Consumer Privacy Act, Cal. Civ. Code § 1798.100 et seq ("CCPA") gjelder, erkjenner og godtar partene at Leverandøren er en tjenesteleverandør og mottar personopplysninger fra Kunden for å levere tjenesten som avtalt i Avtalen, noe som utgjør et forretningsformål. Leverandøren vil ikke selge noen personopplysninger levert av Kunden under Avtalen. I tillegg vil Leverandøren ikke beholde, bruke eller avsløre noen personopplysninger levert av Kunden under Avtalen unntatt i den grad det er nødvendig for å levere tjenesten for Kunden, som angitt i Avtalen, eller som tillatt av gjeldende personvernlovgivning. Leverandøren bekrefter at den forstår begrensningene i dette avsnittet.

13. Definisjoner

  1. "Gjeldende lover" betyr lover, regler, forskrifter, rettsavgjørelser og andre bindende krav fra en relevant myndighet som gjelder for eller regulerer en part.

  2. "Gjeldende personvernlovgivning" betyr de gjeldende lover som regulerer hvordan Tjenesten kan behandle eller bruke en persons personopplysninger, persondata, personlig identifiserbar informasjon eller annet lignende begrep.

  3. "Behandlingsansvarlig" vil ha den betydning som gis i den gjeldende personvernlovgivningen for selskapet som bestemmer formålet og omfanget av behandlingen av personopplysninger.

  4. "Forside" betyr et dokument som er signert eller elektronisk akseptert av partene, som innlemmer disse DPA Standardvilkårene og identifiserer Leverandør, Kunde, samt emnet og detaljene for databehandlingen.

  5. "Kundes personopplysninger" betyr personopplysninger som Kunde laster opp eller gir til Leverandør som en del av Tjenesten og som reguleres av denne DPA.

  6. "DPA" betyr disse DPA Standardvilkårene, Forsiden mellom Leverandør og Kunde, samt retningslinjer og dokumenter som refereres til i eller er vedlagt Forsiden.

  7. "EØS SCC" betyr standard kontraktsklausuler vedlagt Europakommisjonens gjennomføringsbeslutning 2021/914 av 4. juni 2021 om standard kontraktsklausuler for overføring av personopplysninger til tredjeland i henhold til forordning (EU) 2016/679 fra Europaparlamentet og Rådet.

  8. "Det europeiske økonomiske samarbeidsområde" eller "EØS" betyr medlemsstatene i Den europeiske union, Norge, Island og Liechtenstein.

  9. "GDPR" betyr EUs forordning 2016/679 som implementert i lokal lovgivning i den relevante EØS-medlemsstaten.

  10. "Personopplysninger" vil ha den betydning som gis i den gjeldende personvernlovgivningen for personopplysninger, persondata eller annet lignende begrep.

  11. "Behandling" eller "Behandle" vil ha den betydning som gis i den gjeldende personvernlovgivningen for enhver bruk av, eller utførelse av en datamaskinoperasjon på, personopplysninger, inkludert ved automatiske metoder.

  12. "Databehandler" vil ha den betydning som gis i den gjeldende personvernlovgivningen for selskapet som behandler personopplysninger på vegne av den behandlingsansvarlige.

  13. "Rapport" betyr revisjonsrapporter utarbeidet av et annet selskap i henhold til standardene definert i Sikkerhetspolicyen på vegne av Leverandør.

  14. "Begrenset overføring" betyr (a) der GDPR gjelder, en overføring av personopplysninger fra EØS til et land utenfor EØS som ikke er underlagt en tilstrekkelighetsavgjørelse fra Europakommisjonen; og (b) der UK GDPR gjelder, en overføring av personopplysninger fra Storbritannia til et annet land som ikke er underlagt tilstrekkelighetsreguleringer vedtatt i henhold til seksjon 17A i Storbritannias Data Protection Act 2018.

  15. "Sikkerhetshendelse" betyr et brudd på personopplysninger som definert i artikkel 4 i GDPR.

  16. "Tjeneste" betyr produktet og/eller tjenestene beskrevet i Avtalen.

  17. "Spesielle kategorier av data" vil ha den betydning som gis i artikkel 9 i GDPR.

  18. "Underbehandler" vil ha den betydning som gis i den gjeldende personvernlovgivningen for et selskap som, med godkjenning og aksept fra Behandlingsansvarlig, bistår Databehandleren i behandlingen av personopplysninger på vegne av Behandlingsansvarlig.

  19. "UK GDPR" betyr EUs forordning 2016/679 som implementert av seksjon 3 i Storbritannias European Union (Withdrawal) Act av 2018 i Storbritannia.

  20. "UK tillegg" betyr det internasjonale datatransfertillegget til EØS SCC utstedt av Information Commissioner for parter som foretar begrensede overføringer under S119A(1) Data Protection Act 2018.

Credits

Dette dokumentet er en avledning av Common Paper DPA Standard Terms (Version 1.0) og er lisensiert under CC BY 4.0.