Avtal om Databehandling

Forward Email data processing agreement

Viktiga Termer

Term Värde
Avtal Detta DPA kompletterar Användarvillkoren
Godkända Underbiträden Cloudflare (USA; DNS, nätverk och säkerhetsleverantör), DataPacket (USA/Storbritannien; hosting-leverantör), Digital Ocean (USA; hosting-leverantör), GitHub (USA; källkodshantering, CI/CD och projektledning), Vultr (USA; hosting-leverantör), Stripe (USA; betalningshanterare), PayPal (USA; betalningshanterare)
Leverantörens Säkerhetskontakt security@forwardemail.net
Säkerhetspolicy Se vår Säkerhetspolicy på GitHub
Tillämplig Stat Delstaten Delaware, USA

Changes to the Agreement

Detta dokument är en härledning av Common Paper DPA Standard Terms (Version 1.0) och följande ändringar har gjorts:

  1. Governing Law and Chosen Courts har inkluderats som en sektion nedan med Governing State identifierad ovan.
  2. Service Provider Relationship har inkluderats som en sektion nedan.

1. Processor and Subprocessor Relationships

1. Provider as Processor

I situationer där Customer är en Registeransvarig för Kundens Personuppgifter, kommer Provider att anses vara en Personuppgiftsbiträde som behandlar personuppgifter för Customers räkning.

2. Provider as Subprocessor

I situationer där Customer är en Personuppgiftsbiträde för Kundens Personuppgifter, kommer Provider att anses vara en Underbiträde för Kundens Personuppgifter.

2. Processing

1. Processing Details

Bilaga I(B) på omslagssidan beskriver ämnet, naturen, syftet och varaktigheten för denna behandling, samt Kategorier av Personuppgifter som samlas in och Kategorier av Registrerade.

2. Processing Instructions

Customer instruerar Provider att behandla Kundens Personuppgifter: (a) för att tillhandahålla och underhålla Tjänsten; (b) som kan specificeras ytterligare genom Customer's användning av Tjänsten; (c) som dokumenteras i Avtalet; och (d) som dokumenteras i andra skriftliga instruktioner givna av Customer och bekräftade av Provider om behandling av Kundens Personuppgifter enligt denna DPA. Provider kommer att följa dessa instruktioner såvida det inte är förbjudet enligt tillämpliga lagar. Provider kommer omedelbart att informera Customer om det inte kan följa behandlingsinstruktionerna. Customer har gett och kommer endast att ge instruktioner som följer tillämpliga lagar.

3. Processing by Provider

Provider kommer endast att behandla Kundens Personuppgifter i enlighet med denna DPA, inklusive detaljerna på omslagssidan. Om Provider uppdaterar Tjänsten för att uppdatera befintliga eller inkludera nya produkter, funktioner eller funktionalitet, kan Provider ändra Kategorier av Registrerade, Kategorier av Personuppgifter, Särskilda Kategorier av Uppgifter, Begränsningar eller Skyddsåtgärder för Särskilda Kategorier av Uppgifter, Frekvens för Överföring, Behandlingens Natur och Syfte och Behandlingens Varaktighet efter behov för att återspegla uppdateringarna genom att meddela Customer om uppdateringarna och ändringarna.

4. Customer Processing

Där Customer är en Personuppgiftsbiträde och Provider är ett Underbiträde, kommer Customer att följa alla tillämpliga lagar som gäller för Customer's behandling av Kundens Personuppgifter. Customer's avtal med sin Registeransvarige kommer på liknande sätt att kräva att Customer följer alla tillämpliga lagar som gäller för Customer som Personuppgiftsbiträde. Dessutom kommer Customer att följa kraven för Underbiträde i Customer's avtal med sin Registeransvarige.

Customer har följt och kommer att fortsätta följa alla tillämpliga dataskyddslagar avseende sin överlämning av Kundens Personuppgifter till Provider och/eller Tjänsten, inklusive att göra alla upplysningar, inhämta alla samtycken, erbjuda adekvat valmöjlighet och implementera relevanta skyddsåtgärder som krävs enligt tillämpliga dataskyddslagar.

6. Underleverantörer

a. Leverantören kommer inte att tillhandahålla, överföra eller lämna ut några Kundpersonuppgifter till en Underleverantör om inte Kunden har godkänt Underleverantören. Den aktuella listan över Godkända Underleverantörer inkluderar identiteterna för Underleverantörerna, deras land för placering och deras förväntade Behandlingsuppgifter. Leverantören kommer att informera Kunden minst 10 arbetsdagar i förväg och skriftligen om eventuella avsedda ändringar av Godkända Underleverantörer vare sig genom tillägg eller ersättning av en Underleverantör, vilket ger Kunden tillräckligt med tid att invända mot ändringarna innan Leverantören börjar använda den nya Underleverantören/-arna. Leverantören kommer att ge Kunden den information som krävs för att möjliggöra för Kunden att utöva sin rätt att invända mot ändringen av Godkända Underleverantörer. Kunden har 30 dagar efter meddelande om en ändring av Godkända Underleverantörer på sig att invända, annars anses Kunden ha accepterat ändringarna. Om Kunden invänder mot ändringen inom 30 dagar efter meddelandet, ska Kunden och Leverantören samarbeta i god tro för att lösa Kundens invändning eller oro.

b. När Leverantören anlitar en Underleverantör ska denne ha ett skriftligt avtal med Underleverantören som säkerställer att Underleverantören endast får tillgång till och använder Kundpersonuppgifter (i) i den utsträckning som krävs för att utföra de åtaganden som underentreprenören har fått, och (ii) i enlighet med villkoren i Avtalet.

c. Om GDPR är tillämplig på Behandlingen av Kundpersonuppgifter, (i) ska de dataskyddsåtaganden som beskrivs i denna DPA (som avses i artikel 28.3 i GDPR, om tillämpligt) också åläggas Underleverantören, och (ii) ska Leverantörens avtal med Underleverantören inkludera dessa åtaganden, inklusive detaljer om hur Leverantören och dess Underleverantör ska samordna sig för att svara på förfrågningar eller begäran om Behandling av Kundpersonuppgifter. Dessutom ska LeverantörenKundens begäran dela en kopia av sina avtal (inklusive eventuella ändringar) med sina Underleverantörer. I den mån det är nödvändigt för att skydda affärshemligheter eller annan konfidentiell information, inklusive personuppgifter, kan Leverantören maskera texten i sitt avtal med sin Underleverantör innan en kopia delas.

d. Leverantören förblir fullt ansvarig för alla åtaganden som underentreprenörerna har, inklusive handlingar och underlåtenheter från dess Underleverantörer vid Behandling av Kundpersonuppgifter. Leverantören ska meddela Kunden om någon av dess Underleverantörer inte uppfyller ett väsentligt åtagande avseende Kundpersonuppgifter enligt avtalet mellan Leverantören och Underleverantören.

3. Begränsade överföringar

1. Auktorisation

Kunden samtycker till att Leverantören kan överföra Kundpersonuppgifter utanför EES, Storbritannien eller annat relevant geografiskt område i den mån det är nödvändigt för att tillhandahålla Tjänsten. Om Leverantören överför Kundpersonuppgifter till ett område för vilket Europeiska kommissionen eller annan relevant tillsynsmyndighet inte har utfärdat ett beslut om adekvat skyddsnivå, ska Leverantören implementera lämpliga skyddsåtgärder för överföringen av Kundpersonuppgifter till det området i enlighet med tillämpliga dataskyddslagar.

2. Överföringar utanför EES

Kunden och Leverantören är överens om att om GDPR skyddar överföringen av Kundpersonuppgifter, överföringen sker från Kunden inom EES till Leverantören utanför EES, och överföringen inte regleras av ett beslut om adekvat skyddsnivå från Europeiska kommissionen, så anses Kunden och Leverantören genom att ingå denna DPA ha undertecknat EES:s standardavtalsklausuler (EEA SCCs) och deras bilagor, vilka införlivas genom hänvisning. Varje sådan överföring sker enligt EES:s standardavtalsklausuler, som fylls i enligt följande: a. Modul Två (Personuppgiftsansvarig till Personuppgiftsbiträde) i EES:s standardavtalsklausuler gäller när Kund är personuppgiftsansvarig och Leverantör behandlar Kundens personuppgifter för Kund som personuppgiftsbiträde.

b. Modul Tre (Personuppgiftsbiträde till Underbiträde) i EES:s standardavtalsklausuler gäller när Kund är personuppgiftsbiträde och Leverantör behandlar Kundens personuppgifter för Kund som underbiträde.

c. För varje modul gäller följande (när tillämpligt):

  1. Den frivilliga anslutningsklausulen i klausul 7 gäller inte;

  2. I klausul 9 gäller alternativ 2 (allmän skriftlig auktorisation), och minsta tidsperiod för förhandsmeddelande om ändringar av underbiträde är 10 arbetsdagar;

  3. I klausul 11 gäller inte det frivilliga språket;

  4. Alla hakparenteser i klausul 13 tas bort;

  5. I klausul 17 (alternativ 1) ska EES:s standardavtalsklausuler styras av lagarna i Styrande medlemsstat;

  6. I klausul 18(b) ska tvister lösas i domstolarna i Styrande medlemsstat; och

  7. Omslagssidan till detta DPA innehåller den information som krävs i bilaga I, bilaga II och bilaga III till EES:s standardavtalsklausuler.

3. Ex-UK Transfers

Kund och Leverantör är överens om att om UK GDPR skyddar överföringen av Kundens personuppgifter, överföringen sker från Kund inom Storbritannien till Leverantör utanför Storbritannien, och överföringen inte styrs av ett adekvansbeslut fattat av Storbritanniens Secretary of State, så anses Kund och Leverantör genom att ingå detta DPA ha undertecknat UK-tillägget och dess bilagor, vilka införlivas genom hänvisning. Sådan överföring sker enligt UK-tillägget, som fylls i enligt följande:

a. Avsnitt 3.2 i detta DPA innehåller den information som krävs i tabell 2 i UK-tillägget.

b. Tabell 4 i UK-tillägget ändras enligt följande: Ingen part får avsluta UK-tillägget enligt avsnitt 19 i UK-tillägget; i den mån ICO utfärdar ett reviderat godkänt tillägg enligt avsnitt ‎18 i UK-tillägget, ska parterna i god tro arbeta för att revidera detta DPA i enlighet därmed.

c. Omslagssidan innehåller den information som krävs enligt bilaga 1A, bilaga 1B, bilaga II och bilaga III i UK-tillägget.

4. Other International Transfers

För överföringar av personuppgifter där schweizisk lag (och inte lagstiftningen i någon EES-medlemsstat eller Storbritannien) gäller för den internationella karaktären av överföringen, ändras hänvisningar till GDPR i klausul 4 i EES:s standardavtalsklausuler, i den mån det är juridiskt nödvändigt, till att istället avse den schweiziska federala dataskyddslagen eller dess efterföljare, och begreppet tillsynsmyndighet kommer att inkludera den schweiziska federala dataskydds- och informationskommissionären.

4. Security Incident Response

  1. När Leverantör blir medveten om någon säkerhetsincident ska denne: (a) underrätta Kund utan onödigt dröjsmål när det är möjligt, men senast 72 timmar efter att ha blivit medveten om säkerhetsincidenten; (b) tillhandahålla aktuell information om säkerhetsincidenten när den blir känd eller när Kund rimligen begär det; och (c) omedelbart vidta rimliga åtgärder för att begränsa och undersöka säkerhetsincidenten. Leverantörs underrättelse om eller svar på en säkerhetsincident enligt detta DPA ska inte tolkas som ett erkännande från Leverantör av något fel eller ansvar för säkerhetsincidenten.

5. Audit & Reports

1. Audit Rights

Leverantör ska ge Kund all information som rimligen krävs för att visa efterlevnad av detta DPA och Leverantör ska tillåta och bidra till revisioner, inklusive inspektioner av Kund, för att bedöma Leverantörs efterlevnad av detta DPA. Dock kan Leverantör begränsa tillgång till data eller information om Kunds tillgång till informationen skulle påverka Leverantörs immateriella rättigheter, sekretessåtaganden eller andra skyldigheter enligt tillämpliga lagar negativt. Kund bekräftar och godkänner att denne endast kommer att utöva sina revisionsrättigheter enligt detta DPA och eventuella revisionsrättigheter som beviljas enligt tillämpliga dataskyddslagar genom att instruera Leverantör att uppfylla rapporterings- och due diligence-kraven nedan. Leverantör ska behålla register över sin efterlevnad av detta DPA i 3 år efter att DPA upphör.

2. Säkerhetsrapporter

Kunden erkänner att Leverantören regelbundet granskas mot de standarder som definieras i Säkerhetspolicyn av oberoende tredjepartsrevisorer. På skriftlig begäran kommer Leverantören att ge Kunden, på konfidentiell basis, en sammanfattande kopia av sin då gällande Rapport så att Kunden kan verifiera Leverantörens efterlevnad av de standarder som definieras i Säkerhetspolicyn.

3. Säkerhetsdue diligence

Utöver Rapporten kommer Leverantören att svara på rimliga informationsförfrågningar från Kunden för att bekräfta Leverantörens efterlevnad av detta DPA, inklusive svar på informationssäkerhets-, due diligence- och revisionsenkäter, eller genom att ge ytterligare information om sitt informationssäkerhetsprogram. Alla sådana förfrågningar måste vara skriftliga och riktas till Leverantörens säkerhetskontakt och får endast göras en gång per år.

6. Samordning & Samarbete

1. Svar på förfrågningar

Om Leverantören mottar någon förfrågan eller begäran från någon annan angående behandlingen av Kundens personuppgifter, kommer Leverantören att underrätta Kunden om förfrågan och Leverantören kommer inte att svara på förfrågan utan Kundens föregående samtycke. Exempel på sådana förfrågningar och begäranden inkluderar en rättslig eller administrativ eller regulatorisk myndighetsorder om Kundens personuppgifter där det inte är förbjudet enligt tillämplig lag att underrätta Kunden, eller en begäran från en registrerad person. Om det är tillåtet enligt tillämplig lag kommer Leverantören att följa Kundens rimliga instruktioner om dessa förfrågningar, inklusive att tillhandahålla statusuppdateringar och annan information som rimligen begärs av Kunden. Om en registrerad person gör en giltig begäran enligt tillämpliga dataskyddslagar om att radera eller avstå från att Kunden lämnar ut Kundens personuppgifter till Leverantören, kommer Leverantören att bistå Kunden med att uppfylla begäran enligt tillämplig dataskyddslag. Leverantören kommer att samarbeta med och ge rimligt bistånd till Kunden, på Kundens bekostnad, i varje rättsligt svar eller annan processuell åtgärd som Kunden vidtar som svar på en tredje parts begäran om Leverantörens behandling av Kundens personuppgifter enligt detta DPA.

2. DPIA:er och DTIA:er

Om det krävs enligt tillämpliga dataskyddslagar kommer Leverantören att rimligen bistå Kunden vid genomförandet av eventuella obligatoriska konsekvensbedömningar av dataskydd eller konsekvensbedömningar av dataöverföringar samt samråd med relevanta dataskyddsmyndigheter, med hänsyn till behandlingens och Kundens personuppgifters natur.

7. Radering av Kundens personuppgifter

1. Radering av Kunden

Leverantören kommer att möjliggöra för Kunden att radera Kundens personuppgifter på ett sätt som är förenligt med tjänsternas funktionalitet. Leverantören kommer att följa denna instruktion så snart det är rimligen genomförbart, förutom där ytterligare lagring av Kundens personuppgifter krävs enligt tillämplig lag.

2. Radering vid DPA:s utgång

a. Efter att DPA har upphört kommer Leverantören att returnera eller radera Kundens personuppgifter enligt Kundens instruktion, såvida inte ytterligare lagring av Kundens personuppgifter krävs eller är tillåten enligt tillämplig lag. Om återlämnande eller förstöring är opraktiskt eller förbjudet enligt tillämpliga lagar, kommer Leverantören att göra rimliga ansträngningar för att förhindra ytterligare behandling av Kundens personuppgifter och kommer att fortsätta skydda de Kundens personuppgifter som finns kvar i dess besittning, förvar eller kontroll. Till exempel kan tillämpliga lagar kräva att Leverantören fortsätter att vara värd för eller behandla Kundens personuppgifter. b. Om Kund och Leverantör har ingått EES SCC eller UK-tillägget som en del av denna DPA, kommer Leverantör endast att ge Kund certifikatet för radering av personuppgifter som beskrivs i klausul 8.1(d) och klausul 8.5 i EES SCC om Kund begär det.

8. Ansvarsbegränsning

1. Ansvarsgränser och avstående från skadestånd

I den mån det är tillåtet enligt tillämpliga dataskyddslagar, ska varje parts totala kumulativa ansvar gentemot den andra parten som uppstår ur eller är relaterat till denna DPA vara föremål för de avståenden, undantag och ansvarsbegränsningar som anges i Avtalet.

Eventuella anspråk mot Leverantör eller dess närstående bolag som uppstår ur eller är relaterade till denna DPA får endast väckas av den Kund-enhet som är part i Avtalet.

3. Undantag

  1. Denna DPA begränsar inte något ansvar gentemot en individ avseende individens dataskyddsrättigheter enligt tillämpliga dataskyddslagar. Dessutom begränsar denna DPA inte något ansvar mellan parterna för överträdelser av EES SCC eller UK-tillägget.

9. Konflikter mellan dokument

  1. Denna DPA utgör en del av och kompletterar Avtalet. Om det finns någon inkonsekvens mellan denna DPA, Avtalet eller någon av deras delar, ska den del som anges tidigare ha företräde framför den del som anges senare för den inkonsekvensen: (1) EES SCC eller UK-tillägget, (2) denna DPA, och sedan (3) Avtalet.

10. Avtalets löptid

Denna DPA börjar gälla när Leverantör och Kund godkänner en omslagssida för DPA och undertecknar eller elektroniskt accepterar Avtalet och fortsätter tills Avtalet upphör eller sägs upp. Dock ska både Leverantör och Kund fortsätta att vara bundna av skyldigheterna i denna DPA och tillämpliga dataskyddslagar tills Kund upphör med att överföra kundpersonuppgifter till Leverantör och Leverantör upphör med att behandla kundpersonuppgifter.

11. Tillämplig lag och valda domstolar

Oavsett tillämplig lag eller liknande klausuler i Avtalet, ska all tolkning och tvister om denna DPA styras av lagarna i Governing State utan hänsyn till dess lagkonfliktsregler. Dessutom, och oavsett forumval, jurisdiktions- eller liknande klausuler i Avtalet, samtycker parterna till att föra varje rättslig stämning, åtgärd eller förfarande om denna DPA i, och varje part underkastar sig härmed oåterkalleligt den exklusiva jurisdiktionen för, domstolarna i Governing State.

12. Förhållande till tjänsteleverantör

I den mån California Consumer Privacy Act, Cal. Civ. Code § 1798.100 et seq ("CCPA") är tillämplig, erkänner och samtycker parterna till att Leverantör är en tjänsteleverantör och mottar personuppgifter från Kund för att tillhandahålla tjänsten enligt Avtalet, vilket utgör ett affärssyfte. Leverantör kommer inte att sälja några personuppgifter som tillhandahålls av Kund enligt Avtalet. Dessutom kommer Leverantör inte att behålla, använda eller avslöja några personuppgifter som tillhandahålls av Kund enligt Avtalet utom i den mån det är nödvändigt för att tillhandahålla tjänsten för Kund, som anges i Avtalet, eller som tillåts enligt tillämpliga dataskyddslagar. Leverantör intygar att de förstår begränsningarna i detta stycke.

13. Definitioner

  1. "Gällande lagar" avser lagar, regler, förordningar, domstolsbeslut och andra bindande krav från relevant myndighet som gäller för eller styr en part.

  2. "Gällande dataskyddslagar" avser de Gällande lagar som reglerar hur Tjänsten får behandla eller använda en individs personliga information, personuppgifter, personligt identifierbar information eller annan liknande term.

  3. "Personuppgiftsansvarig" har den betydelse som anges i de Gällande dataskyddslagarna för det företag som bestämmer ändamålet och omfattningen av behandlingen av personuppgifter.

  4. "Omslagssida" avser ett dokument som undertecknas eller elektroniskt accepteras av parterna och som införlivar dessa DPA-standardvillkor och identifierar Leverantör, Kund samt ämnet och detaljerna för databehandlingen.

  5. "Kundens personuppgifter" avser personuppgifter som Kund laddar upp eller tillhandahåller till Leverantör som en del av Tjänsten och som regleras av denna DPA.

  6. "DPA" avser dessa DPA-standardvillkor, Omslagssidan mellan Leverantör och Kund samt de policyer och dokument som refereras till eller bifogas Omslagssidan.

  7. "EEA SCCs" avser de standardavtalsklausuler som är bilagda Europeiska kommissionens genomförandebeslut 2021/914 av den 4 juni 2021 om standardavtalsklausuler för överföring av personuppgifter till tredjeländer enligt förordning (EU) 2016/679 från Europaparlamentet och Europeiska rådet.

  8. "Europeiska ekonomiska samarbetsområdet" eller "EES" avser medlemsstaterna i Europeiska unionen, Norge, Island och Liechtenstein.

  9. "GDPR" avser Europeiska unionens förordning 2016/679 som implementerats genom lokal lag i relevant EES-medlemsland.

  10. "Personuppgifter" har den betydelse som anges i de Gällande dataskyddslagarna för personlig information, personuppgifter eller annan liknande term.

  11. "Behandling" eller "Behandla" har den betydelse som anges i de Gällande dataskyddslagarna för all användning av, eller utförande av datoroperation på, personuppgifter, inklusive med automatiska metoder.

  12. "Personuppgiftsbiträde" har den betydelse som anges i de Gällande dataskyddslagarna för det företag som behandlar personuppgifter för Personuppgiftsansvarigs räkning.

  13. "Rapport" avser revisionsrapporter som upprättats av ett annat företag enligt de standarder som definieras i säkerhetspolicyn för Leverantörs räkning.

  14. "Begränsad överföring" avser (a) när GDPR är tillämplig, en överföring av personuppgifter från EES till ett land utanför EES som inte omfattas av ett adekvat beslut från Europeiska kommissionen; och (b) när UK GDPR är tillämplig, en överföring av personuppgifter från Storbritannien till något annat land som inte omfattas av adekvansbestämmelser antagna enligt avsnitt 17A i Storbritanniens dataskyddslag 2018.

  15. "Säkerhetsincident" avser ett personuppgiftsbrott enligt definitionen i artikel 4 i GDPR.

  16. "Tjänst" avser produkten och/eller tjänsterna som beskrivs i Avtalet.

  17. "Känsliga personuppgifter" har den betydelse som anges i artikel 9 i GDPR.

  18. "Underbiträde" har den betydelse som anges i de Gällande dataskyddslagarna för ett företag som, med godkännande och acceptans från Personuppgiftsansvarig, bistår Personuppgiftsbiträdet med att behandla personuppgifter för Personuppgiftsansvarigs räkning.

  19. "UK GDPR" avser Europeiska unionens förordning 2016/679 som implementerats genom avsnitt 3 i Storbritanniens European Union (Withdrawal) Act från 2018 i Storbritannien.

  20. "UK-tillägg" avser det internationella tillägget för dataöverföring till EEA SCCs utfärdat av Information Commissioner för parter som gör Begränsade överföringar enligt S119A(1) i Data Protection Act 2018.

Credits

Detta dokument är en härledning av Common Paper DPA Standard Terms (Version 1.0) och är licensierat under CC BY 4.0.