Databehandleraftale

Dette dokument er et afledt af Common Paper DPA-standardvilkår (version 1.0) og der er foretaget følgende ændringer:

1. Gældende lov og udvalgte domstole er medtaget som et afsnit nedenfor med Governing State identificeret ovenfor.
2. Serviceudbyder forhold er medtaget som et afsnit nedenfor.

1. Udbyder som processor

I situationer hvor Kunde er dataansvarlig for kundens personoplysninger, Udbyder vil blive betragtet som en Behandler, der Behandler Personoplysninger på vegne af Kunde.

2. Udbyder som Underdatabehandler

I situationer hvor Kunde er behandler af kundens personoplysninger, Udbyder vil blive betragtet som en underbehandler af kundens personoplysninger.

1. Behandlingsdetaljer

Bilag I(B) på forsiden beskriver emnet, arten, formålet og varigheden af denne behandling, samt Kategorier af personlige data indsamlet og Kategorier af registrerede.

2. Behandlingsinstruktioner

Kunde instruerer Udbyder at behandle kundens personlige data: (a) at levere og vedligeholde tjenesten; (b) som yderligere specificeres gennem Kundens brug af tjenesten; (c) som dokumenteret i Aftale; og (d) som dokumenteret i andre skriftlige instruktioner givet af Kunde og anerkendt af Udbyder om behandling af kundepersonoplysninger i henhold til denne DPA. Udbyder vil overholde disse instruktioner, medmindre det er forbudt i henhold til gældende love. Udbyder vil straks informere Kunde hvis den ikke er i stand til at følge behandlingsinstruktionerne. Kunde har givet og vil kun give instruktioner, der overholder gældende love.

3. Behandling af udbyder

Udbyder vil kun behandle Kundens Persondata i overensstemmelse med denne DPA, herunder detaljerne på Forsiden. Hvis Udbyder opdaterer tjenesten for at opdatere eksisterende eller inkludere nye produkter, funktioner eller funktionalitet, Udbyder kan ændre Kategorier af registrerede, Kategorier af personlige data, Særlige kategoridata, Særlige kategoridatarestriktioner eller sikkerhedsforanstaltninger, Overførselsfrekvens, Bearbejdningens art og formål, og Behandlingens varighed efter behov for at afspejle opdateringerne ved at give besked Kunde af opdateringer og ændringer.

4. Kundebehandling

Hvor Kunde er en processor og Udbyder er en underbehandler, Kunde vil overholde alle gældende love, der gælder for Kundens Behandling af Kundens Persondata. Kundens aftale med dens controller vil tilsvarende kræve Kunde at overholde alle gældende love, der gælder for Kunde som processor. Ud over, Kunde vil overholde underdatabehandlerens krav i Kundens aftale med dens controller.

5. Samtykke til behandling

Kunde har overholdt og vil fortsætte med at overholde alle gældende databeskyttelseslove vedrørende dets levering af kundepersonoplysninger til Udbyder og/eller tjenesten, herunder at give alle oplysninger, indhente alle samtykker, give passende valgmuligheder og implementere relevante sikkerhedsforanstaltninger, der kræves i henhold til gældende databeskyttelseslove.

6. Underbehandlere

en. Udbyder vil ikke give, overføre eller udlevere nogen Kunde Personlige Data til en Underdatabehandler medmindre Kunde har godkendt Underdatabehandleren. Den aktuelle liste over Godkendte underbehandlere omfatter underdatabehandlernes identiteter, deres hjemland og deres forventede behandlingsopgaver. Udbyder vil informere Kunde mindst 10 hverdage i forvejen og skriftligt af eventuelle påtænkte ændringer af Godkendte underbehandlere hvad enten det er ved tilføjelse eller udskiftning af en Underdatabehandler, som tillader Kunde at have tid nok til at gøre indsigelse mod ændringerne før Udbyder begynder at bruge den eller de nye underbehandlere. Udbyder vil give Kunde de oplysninger, der er nødvendige for at tillade Kunde at udøve sin ret til at gøre indsigelse mod ændringen til Godkendte underbehandlere. Kunde har 30 dage efter varsel om ændring af Godkendte underbehandlere at gøre indsigelse ellers Kunde vil blive anset for at acceptere ændringerne. Hvis Kunde gør indsigelse mod ændringen inden for 30 dage efter varsel, Kunde og Udbyder vil samarbejde i god tro for at løse Kundens indsigelse eller bekymring.

b. Ved ansættelse af en underdatabehandler, Udbyder vil have en skriftlig aftale med Underdatabehandleren, der sikrer, at Underdatabehandleren kun får adgang til og bruger Kundens Persondata (i) i det omfang, det er nødvendigt for at udføre de forpligtelser, der er givet i underentreprise til den, og (ii) i overensstemmelse med betingelserne i Aftale.

c. Hvis GDPR gælder for behandling af kundens personlige data, (i) pålægges underdatabehandleren de databeskyttelsesforpligtelser, der er beskrevet i denne databeskyttelsesmyndighed (som nævnt i artikel 28(3) i GDPR, hvis relevant) og (ii) ) Udbyderens aftale med Underdatabehandleren vil inkorporere disse forpligtelser, herunder detaljer om hvordan Udbyder og dets underdatabehandler vil koordinere for at besvare forespørgsler eller anmodninger om behandlingen af kundens personlige data. Ud over, Udbyder vil dele, kl Kundens anmode om en kopi af sine aftaler (inklusive eventuelle ændringer) med sine underbehandlere. I det omfang det er nødvendigt for at beskytte forretningshemmeligheder eller andre fortrolige oplysninger, herunder personoplysninger, Udbyder kan redigere teksten i sin aftale med sin Underdatabehandler, inden den deler en kopi.

d. Udbyder forbliver fuldt ud ansvarlig for alle forpligtelser, der er givet i underentreprise til dets Underdatabehandlere, herunder underdatabehandlernes handlinger og undladelser i behandlingen af kundepersonoplysninger. Udbyder vil underrette Kunden om eventuelle underdatabehandleres manglende opfyldelse af en væsentlig forpligtelse vedrørende Kundens Persondata i henhold til aftalen mellem Udbyder og underbehandleren.

1. Autorisation

Kunde er enig i det Udbyder kan overføre kundens personlige data uden for EØS, Storbritannien eller andet relevant geografisk område efter behov for at levere tjenesten. Hvis Udbyder overfører kundepersonoplysninger til et område, for hvilket Europa-Kommissionen eller anden relevant tilsynsmyndighed ikke har udstedt en tilstrækkelighedsbeslutning, Udbyder vil implementere passende sikkerhedsforanstaltninger for overførsel af kundepersonlige data til det pågældende område i overensstemmelse med gældende databeskyttelseslove.

2. Tidligere EØS-overførsler

Kunde og Udbyder acceptere, at hvis GDPR beskytter overførslen af Kundens personlige data, er overførslen fra Kunde fra inden for EØS til Udbyder uden for EØS, og overførslen er ikke styret af en tilstrækkelighedsbeslutning truffet af Europa-Kommissionen, derefter ved at indgå denne DPA, Kunde og Udbyder anses for at have underskrevet EØS SCC'erne og deres bilag, som er indarbejdet ved henvisning. Enhver sådan overførsel foretages i henhold til EØS SCC'er, som gennemføres som følger:

en. Modul to (Controller til Processor) i EEA SCC'erne gælder, når Kunde er controller og Udbyder behandler kundens personoplysninger til Kunde som processor.

b. Modul tre (Processor til Sub-Processor) i EØS SCC'erne gælder, når Kunde er en processor og Udbyder behandler kundens personoplysninger på vegne af Kunde som underbehandler.

c. For hvert modul gælder følgende (hvis relevant):

1. Den valgfri docking-klausul i paragraf 7 gælder ikke;

2. I paragraf 9 gælder mulighed 2 (generel skriftlig tilladelse), og minimumsperioden for forudgående meddelelse om ændringer af underbehandler er 10 hverdage;

3. I paragraf 11 gælder det valgfri sprog ikke;

4. Alle firkantede parenteser i paragraf 13 er fjernet;

5. I paragraf 17 (mulighed 1) vil EØS SCC'er være underlagt lovene i Styrende medlemsstat;

6. I paragraf 18(b) vil tvister blive løst ved domstolene Styrende medlemsstat; og

7. Forsiden til denne databeskyttelsesmyndighed indeholder de oplysninger, der kræves i bilag I, bilag II og bilag III til EEA SCC'erne.

3. Tidligere britiske overførsler

Kunde og Udbyder acceptere, at hvis den britiske GDPR beskytter overførslen af kundens personlige data, er overførslen fra Kunde fra Storbritannien til Udbyder uden for Det Forenede Kongerige, og overførslen er ikke styret af en tilstrækkelighedsbeslutning truffet af Det Forenede Kongeriges udenrigsminister, og derefter ved at indgå denne DPA, Kunde og Udbyder anses for at have underskrevet UK Addendum og deres bilag, som er indarbejdet ved henvisning. Enhver sådan overførsel foretages i henhold til UK-tillægget, som afsluttes som følger:

en. Afsnit 3.2 i denne DPA indeholder de oplysninger, der kræves i tabel 2 i det britiske tillæg.

b. Tabel 4 i UK Addendum er modificeret som følger: Ingen af parterne kan afslutte UK Addendum som angivet i Section 19 of UK Addendum; i det omfang ICO udsteder et revideret godkendt tillæg i henhold til afsnit ‎18 i det britiske tillæg, vil parterne arbejde i god tro for at revidere denne DPA i overensstemmelse hermed.

c. Forsiden indeholder de oplysninger, der kræves af bilag 1A, bilag 1B, bilag II og bilag III til det britiske tillæg.

4. Andre internationale overførsler

For overførsler af personoplysninger, hvor schweizisk lov (og ikke loven i nogen EØS-medlemsstat eller Det Forenede Kongerige) gælder for overførslens internationale karakter, er henvisninger til GDPR i paragraf 4 i EØS SCC'erne, i det omfang det er lovpligtigt, ændret til i stedet at henvise til den schweiziske føderale databeskyttelseslov eller dens efterfølger, og begrebet tilsynsmyndighed vil omfatte den schweiziske føderale databeskyttelses- og informationskommissær.

1. Ved at blive opmærksom på en sikkerhedshændelse, Udbyder vil: (a) underrette Kunde uden unødig forsinkelse, når det er muligt, men senest 72 timer efter at have fået kendskab til sikkerhedshændelsen; (b) give rettidig information om sikkerhedshændelsen, efterhånden som den bliver kendt, eller som det med rimelighed anmodes om af Kunde; og (c) straks tage rimelige skridt til at begrænse og undersøge sikkerhedshændelsen. Udbyderens meddelelse om eller svar på en sikkerhedshændelse som krævet af denne DPA vil ikke blive fortolket som en bekræftelse af Udbyder af enhver fejl eller ansvar for sikkerhedshændelsen.

1. Revisionsrettigheder

Udbyder vil give Kunde alle oplysninger, der er rimeligt nødvendige for at påvise, at de overholder denne DPA og Udbyder vil give mulighed for og bidrage til revisioner, herunder inspektioner af Kunde, at vurdere Udbyderens overholdelse af denne DPA. Imidlertid, Udbyder kan begrænse adgangen til data eller information, hvis Kundens adgang til oplysningerne vil have en negativ indvirkning Udbyderens intellektuelle ejendomsrettigheder, fortrolighedsforpligtelser eller andre forpligtelser i henhold til gældende love. Kunde anerkender og accepterer, at det kun vil udøve sine revisionsrettigheder i henhold til denne databeskyttelsesmyndighed og eventuelle revisionsrettigheder givet i henhold til gældende databeskyttelseslove ved at instruere Udbyder for at overholde nedenstående rapporterings- og due diligence-krav. Udbyder vil opbevare optegnelser over sin overholdelse af denne DPA i 3 år efter, at DPA ophører.

2. Sikkerhedsrapporter

Kunde erkender det Udbyder bliver regelmæssigt revideret i forhold til de standarder, der er defineret i Sikkerhedspolitik af uafhængige tredjepartsrevisorer. Efter skriftlig anmodning, Udbyder vil give Kunde, på fortroligt grundlag, en sammenfattende kopi af dens daværende rapport, således at Kunde kan verificere Udbyderens overensstemmelse med de standarder, der er defineret i Sikkerhedspolitik.

3. Sikkerhed Due Diligence

Ud over rapporten, Udbyder vil svare på rimelige anmodninger om oplysninger fremsat af Kunde at bekræfte Udbyderens overholdelse af denne DPA, herunder svar på informationssikkerhed, due diligence og revisionsspørgeskemaer, eller ved at give yderligere oplysninger om dets informationssikkerhedsprogram. Alle sådanne anmodninger skal være skriftlige og sendes til Leverandørsikkerhedskontakt og må kun laves en gang om året.

1. Svar på henvendelser

Hvis Udbyder modtager enhver forespørgsel eller anmodning fra andre om behandlingen af kundens personlige data, Udbyder vil give besked Kunde om anmodningen og Udbyder vil ikke svare på anmodningen uden Kundens forudgående samtykke. Eksempler på denne form for forespørgsler og anmodninger omfatter en retslig eller administrativ eller regulerende myndighedskendelse om kundepersonoplysninger, hvor der underrettes Kunde er ikke forbudt i henhold til gældende lov eller en anmodning fra en registreret. Hvis det er tilladt i henhold til gældende lov, Udbyder vil følge Kundens rimelige instruktioner om disse anmodninger, herunder levering af statusopdateringer og andre oplysninger, som med rimelighed anmodes om af Kunde. Hvis en registreret fremsætter en gyldig anmodning i henhold til gældende databeskyttelseslove om at slette eller fravælge Kundens afgivelse af kundepersonoplysninger til Udbyder, Udbyder vil hjælpe Kunde ved at opfylde anmodningen i henhold til den gældende databeskyttelseslov. Udbyder vil samarbejde med og yde rimelig bistand til Kunde, kl Kundens udgifter, i ethvert juridisk svar eller andre proceduremæssige handlinger foretaget af Kunde som svar på en tredjeparts anmodning om Udbyderens Behandling af kundens personlige data under denne DPA.

2. DPIA'er og DTIA'er

Hvis det kræves af gældende databeskyttelseslovgivning, Udbyder vil med rimelighed hjælpe Kunde ved at udføre eventuelle påbudte databeskyttelseskonsekvensvurderinger eller dataoverførselskonsekvensvurderinger og konsultationer med relevante databeskyttelsesmyndigheder under hensyntagen til behandlingens karakter og kundens personlige data.

1. Sletning af Kunden

Udbyder vil aktivere Kunde at slette Kundens Personlige Data på en måde, der er i overensstemmelse med Tjenesternes funktionalitet. Udbyder vil overholde denne instruktion så hurtigt som det er praktisk muligt, undtagen hvor yderligere opbevaring af Kundens Persondata er påkrævet i henhold til gældende lov.

2. Sletning ved DPA-udløb

en. Når DPA udløber, Udbyder vil returnere eller slette Kundens personlige data kl Kundens instruktion, medmindre yderligere opbevaring af kundens personlige data er påkrævet eller godkendt af gældende lov. Hvis returnering eller destruktion er uigennemførlig eller forbudt i henhold til gældende love, Udbyder vil gøre en rimelig indsats for at forhindre yderligere Behandling af Kundens Personlige Data og vil fortsætte med at beskytte Kundens Personlige Data, der forbliver i dens besiddelse, varetægt eller kontrol. For eksempel kan gældende love kræve Udbyder for at fortsætte med at hoste eller behandle kundens personlige data.

b. Hvis Kunde og Udbyder er tilmeldt EEA SCC'erne eller UK Addendum som en del af denne DPA, Udbyder vil kun give Kunde certificeringen af sletning af personlige data beskrevet i paragraf 8.1(d) og paragraf 8.5 i EØS SCC'erne, hvis Kunde beder om en.

1. Ansvarslofter og skadesfraskrivelse

I det maksimale omfang, det er tilladt i henhold til gældende databeskyttelseslove, vil hver parts samlede kumulative ansvar over for den anden part, der hidrører fra eller relateret til denne databeskyttelsesmyndighed, være underlagt de fraskrivelser, udelukkelser og ansvarsbegrænsninger, der er angivet i Aftale.

2. Nærtstående parters krav

Eventuelle krav fremsat mod Udbyder eller dets tilknyttede selskaber, der hidrører fra eller relateret til denne DPA, må kun bringes af Kunde enhed, der er part i Aftale.

3. Undtagelser

1. Denne databeskyttelsesmyndighed begrænser ikke noget ansvar over for en enkeltperson vedrørende personens databeskyttelsesrettigheder i henhold til gældende databeskyttelseslove. Derudover begrænser denne databeskyttelsesmyndighed ikke noget ansvar mellem parterne for overtrædelser af EØS SCC'erne eller UK-tillægget.

1. Denne DPA er en del af og supplerer aftalen. Hvis der er nogen uoverensstemmelse mellem denne DPA, Aftale, eller nogen af deres dele, vil den tidligere anførte del kontrollere den del, der er anført senere for denne inkonsekvens: (1) EØS SCC'erne eller UK-tillægget, (2) denne DPA, og derefter (3) Aftale.

Denne DPA starter hvornår Udbyder og Kunde acceptere en forside for DPA og underskrive eller elektronisk acceptere Aftale og fortsætter indtil kl Aftale udløber eller opsiges. Imidlertid, Udbyder og Kunde vil hver forblive underlagt forpligtelserne i denne DPA og gældende databeskyttelseslove indtil Kunde stopper med at overføre Kundens Persondata til Udbyder og Udbyder stopper med at behandle kundens personlige data.

Uanset gældende lov eller lignende bestemmelser i Aftale, vil alle fortolkninger og tvister om denne DPA være underlagt lovene i Regerende stat uden hensyntagen til dens lovvalgsregler. Derudover, og uanset forumvalg, jurisdiktion eller lignende klausuler i Aftale, er parterne enige om at anlægge ethvert retssag, søgsmål eller procedure vedrørende denne DPA, og hver part underkaster sig uigenkaldeligt den eksklusive jurisdiktion for domstolene i Regerende stat.

I det omfang California Consumer Privacy Act, Cal. Civ. Kode § 1798.100 et seq ("CCPA") gælder, parterne anerkender og er enige om, at Udbyder er en tjenesteudbyder og modtager persondata fra Kunde at levere Tjenesten som aftalt i Aftale, som udgør et forretningsformål. Udbyder vil ikke sælge nogen personlige data leveret af Kunde under Aftale. Ud over, Udbyder vil ikke beholde, bruge eller videregive nogen personlige data leveret af Kunde under Aftale undtagen når det er nødvendigt for at levere Tjenesten til Kunde, som anført i Aftale, eller som tilladt i henhold til gældende databeskyttelseslove. Udbyder bekræfter, at den forstår begrænsningerne i dette stykke.

1. "Gældende love" betyder love, regler, regler, retskendelser og andre bindende krav fra en relevant regeringsmyndighed, der gælder for eller styrer en part.

2. "Gældende databeskyttelseslove" betyder de gældende love, der styrer, hvordan Tjenesten må behandle eller bruge en persons personlige oplysninger, personlige data, personligt identificerbare oplysninger eller andre lignende udtryk.

3. "Controller" vil have den eller de betydninger, der er givet i de gældende databeskyttelseslove for virksomheden, der bestemmer formålet og omfanget af Behandling af personoplysninger.

4. "Forside" betyder et dokument, der er underskrevet eller elektronisk accepteret af parterne, som inkorporerer disse DPA-standardvilkår og identificerer Udbyder, Kunde, og emnet og detaljerne for databehandlingen.

5. "Kundens personlige data" betyder personlige data, der Kunde uploader eller leverer til Udbyder som en del af Tjenesten, og som er underlagt denne DPA.

6. "DPA" betyder disse DPA-standardvilkår, forsiden mellem Udbyder og Kunde, og de politikker og dokumenter, der henvises til i eller vedhæftet forsiden.

7. "EØS SCC'er" betyder standardkontraktklausulerne, der er knyttet som bilag til Europa-Kommissionens gennemførelsesafgørelse 2021/914 af 4. juni 2021 om standardkontraktklausuler for overførsel af personoplysninger til tredjelande i henhold til Europa-Parlamentets og Det Europæiske Råds forordning (EU) 2016/679 .

8. "Det Europæiske Økonomiske Samarbejdsområde" eller "EEA" betyder medlemslandene i Den Europæiske Union, Norge, Island og Liechtenstein.

9. "GDPR" betyder EU-forordning 2016/679 som implementeret af lokal lovgivning i det relevante EØS-medlemsland.

10. "Personlig data" vil have den eller de betydninger, der er givet i de gældende databeskyttelseslove for personlige oplysninger, personlige data eller andre lignende udtryk.

11. "Forarbejdning" eller "Behandle" vil have den eller de betydninger, der er givet i de gældende databeskyttelseslove for enhver brug af eller udførelse af en computeroperation på persondata, herunder ved automatiske metoder.

12. "Processor" vil have den eller de betydninger, der er givet i de gældende databeskyttelseslove for den virksomhed, der behandler personoplysninger på vegne af den dataansvarlige.

13. "Rapport" betyder revisionsrapporter udarbejdet af en anden virksomhed i overensstemmelse med standarderne defineret i sikkerhedspolitikken på vegne af udbyderen.

14. "Begrænset overførsel" betyder (a) hvor GDPR finder anvendelse, en overførsel af personoplysninger fra EØS til et land uden for EØS, som ikke er underlagt en tilstrækkelighedsafgørelse fra Europa-Kommissionen og (b) hvor UK GDPR finder anvendelse, en overførsel af personlige data fra Storbritannien til ethvert andet land, som ikke er underlagt tilstrækkelighedsregler vedtaget i henhold til Section 17A i United Kingdom Data Protection Act 2018.

15. "Sikkerhedshændelse" betyder et brud på persondatasikkerheden som defineret i artikel 4 i GDPR.

16. "Service" betyder det produkt og/eller de tjenester, der er beskrevet i Aftale.

17. "Særlig kategoridata" vil have den betydning, der er angivet i artikel 9 i GDPR.

18. "Underprocessor" vil have den eller de betydninger, der er givet i de gældende databeskyttelseslove for en virksomhed, der med den dataansvarliges godkendelse og accept bistår Databehandleren med at behandle personoplysninger på vegne af den dataansvarlige.

19. "UK GDPR" betyder EU-forordning 2016/679 som implementeret af afsnit 3 i Det Forenede Kongeriges European Union (Withdrawal) Act af 2018 i Storbritannien.

20. "UK-tillæg" betyder det internationale dataoverførselstillæg til EEA SCC'er udstedt af Information Commissioner for Parties, der foretager begrænsede overførsler i henhold til S119A(1) Data Protection Act 2018.

Dette dokument er et afledt af Common Paper DPA-standardvilkår (version 1.0) og er licenseret under CC BY 4.0.