Databehandleravtale

Dette dokumentet er et derivat av Common Paper DPA-standardvilkår (versjon 1.0) og følgende endringer er gjort:

1. Gjeldende lov og utvalgte domstoler er tatt med som et avsnitt nedenfor med Governing State identifisert ovenfor.
2. Tjenesteleverandørforhold er tatt med som et avsnitt nedenfor.

1. Leverandør som prosessor

I situasjoner hvor Kunde er en behandlingsansvarlig for kundens personopplysninger, Forsørger vil bli ansett som en behandler som behandler personopplysninger på vegne av Kunde.

2. Leverandør som underbehandler

I situasjoner hvor Kunde er en behandler av kundens personopplysninger, Forsørger vil bli ansett som en underbehandler av kundens personopplysninger.

1. Behandlingsdetaljer

Vedlegg I(B) på forsiden beskriver emnet, arten, formålet og varigheten av denne behandlingen, samt Kategorier av personopplysninger samlet inn og Kategorier av registrerte.

2. Behandlingsinstruksjoner

Kunde instruerer Forsørger å behandle kundepersonopplysninger: (a) for å tilby og vedlikeholde tjenesten; (b) som kan spesifiseres nærmere gjennom Kundens bruk av tjenesten; (c) som dokumentert i Avtale; og (d) som dokumentert i andre skriftlige instruksjoner gitt av Kunde og erkjent av Forsørger om behandling av kundepersonopplysninger under denne DPA. Forsørger vil følge disse instruksjonene med mindre det er forbudt i henhold til gjeldende lover. Forsørger vil umiddelbart informere Kunde hvis den ikke er i stand til å følge behandlingsinstruksjonene. Kunde har gitt og vil kun gi instruksjoner som er i samsvar med gjeldende lover.

3. Behandling av leverandør

Forsørger vil kun behandle kundens personopplysninger i samsvar med denne DPA, inkludert detaljene på forsiden. Hvis Forsørger oppdaterer tjenesten for å oppdatere eksisterende eller inkludere nye produkter, funksjoner eller funksjonalitet, Forsørger kan endre Kategorier av registrerte, Kategorier av personopplysninger, Spesielle kategoridata, Spesielle kategoridatabegrensninger eller sikkerhetstiltak, Overføringsfrekvens, Behandlingens art og formål, og Behandlingens varighet etter behov for å gjenspeile oppdateringene ved å varsle Kunde av oppdateringer og endringer.

4. Kundebehandling

Hvor Kunde er en prosessor og Forsørger er en underbehandler, Kunde vil overholde alle gjeldende lover som gjelder for Kundens Behandling av kundens personopplysninger. Kundens avtale med kontrolløren vil på samme måte kreve Kunde for å overholde alle gjeldende lover som gjelder for Kunde som prosessor. I tillegg, Kunde vil overholde underbehandlerkravene i Kundens avtale med sin kontrollør.

5. Samtykke til behandling

Kunde har overholdt og vil fortsette å overholde alle gjeldende databeskyttelseslover angående levering av kundepersonopplysninger til Forsørger og/eller tjenesten, inkludert å gi alle avsløringer, innhente alle samtykker, gi tilstrekkelige valg og implementere relevante sikkerhetstiltak som kreves i henhold til gjeldende databeskyttelseslover.

6. Underbehandlere

en. Forsørger vil ikke gi, overføre eller overlevere noen kundepersonopplysninger til en underbehandler med mindre Kunde har godkjent underbehandleren. Den gjeldende listen over Godkjente underbehandlere inkluderer identiteten til underbehandlerne, deres lokaliseringsland og deres forventede behandlingsoppgaver. Forsørger vil informere Kunde minst 10 virkedager i forveien og skriftlig om eventuelle tiltenkte endringer i Godkjente underbehandlere enten ved tillegg eller utskifting av en underbehandler, som tillater Kunde å ha nok tid til å protestere mot endringene før Forsørger begynner å bruke den(e) nye underbehandleren(e). Forsørger vil gi Kunde informasjonen som er nødvendig for å tillate Kunde å utøve sin rett til å protestere mot endringen til Godkjente underbehandlere. Kunde har 30 dager etter varsel om endring av Godkjente underbehandlere å protestere, ellers Kunde vil bli ansett for å godta endringene. Hvis Kunde protesterer mot endringen innen 30 dager etter varsel, Kunde og Forsørger vil samarbeide i god tro for å løse Kundens innvending eller bekymring.

b. Når du engasjerer en underbehandler, Forsørger vil ha en skriftlig avtale med underbehandleren som sikrer at underbehandleren kun får tilgang til og bruker kundens personopplysninger (i) i den grad det kreves for å utføre forpliktelsene som er gitt underleverandører til den, og (ii) i samsvar med vilkårene i Avtale.

c. Hvis GDPR gjelder for behandling av kundens personopplysninger, (i) pålegges også underbehandleren databeskyttelsesforpliktelsene beskrevet i denne databeskyttelsen (som henvist til i artikkel 28(3) i GDPR, hvis aktuelt), og (ii) ) Leverandørens avtale med underbehandleren vil inkludere disse forpliktelsene, inkludert detaljer om hvordan Forsørger og dens underbehandler vil koordinere for å svare på forespørsler eller forespørsler om behandlingen av kundens personopplysninger. I tillegg, Forsørger vil dele, kl Kundens be om en kopi av avtalene (inkludert eventuelle endringer) med underbehandlerne. I den grad det er nødvendig for å beskytte forretningshemmeligheter eller annen konfidensiell informasjon, inkludert personopplysninger, Forsørger kan redigere teksten i avtalen med sin underbehandler før deling av en kopi.

d. Forsørger forblir fullt ansvarlig for alle forpliktelser som er gitt underleverandører til dets underbehandlere, inkludert handlinger og unnlatelser fra underbehandlerne i behandlingen av kundens personopplysninger. Forsørger vil varsle Kunden om enhver unnlatelse fra sine Underbehandlere i å oppfylle en vesentlig forpliktelse om Kundens Personopplysninger i henhold til avtalen mellom Forsørger og underbehandleren.

1. Autorisasjon

Kunde er enig i det Forsørger kan overføre kundepersonopplysninger utenfor EØS, Storbritannia eller annet relevant geografisk territorium etter behov for å levere tjenesten. Hvis Forsørger overfører kundepersonopplysninger til et territorium som EU-kommisjonen eller annen relevant tilsynsmyndighet ikke har utstedt en beslutning om tilstrekkelighet for, Forsørger vil implementere passende sikkerhetstiltak for overføring av kundens personopplysninger til det territoriet i samsvar med gjeldende databeskyttelseslover.

2. Tidligere EØS-overføringer

Kunde og Forsørger godta at hvis GDPR beskytter overføringen av kundens personlige data, er overføringen fra Kunde fra innenfor EØS til Forsørger utenfor EØS, og overføringen er ikke styrt av en tilstrekkelighetsbeslutning tatt av EU-kommisjonen, deretter ved inngåelse av denne DPA, Kunde og Forsørger anses å ha signert EØS SCCs og deres vedlegg, som er innlemmet ved referanse. Enhver slik overføring gjøres i henhold til EØS SCCs, som fullføres som følger:

en. Modul to (kontrollør til prosessor) i EØS SCC-ene gjelder når Kunde er en kontroller og Forsørger behandler kundens personopplysninger for Kunde som prosessor.

b. Modul tre (prosessor til underprosessor) i EØS SCC-ene gjelder når Kunde er en prosessor og Forsørger behandler kundens personopplysninger på vegne av Kunde som underbehandler.

c. For hver modul gjelder følgende (når aktuelt):

1. Den valgfrie dokkingsklausulen i klausul 7 gjelder ikke;

2. I punkt 9 gjelder alternativ 2 (generell skriftlig fullmakt), og minimumsperioden for forhåndsvarsel om endringer i underbehandler er 10 virkedager;

3. I klausul 11 gjelder ikke det valgfrie språket;

4. Alle firkantede parenteser i punkt 13 fjernes;

5. I klausul 17 (alternativ 1) vil EØS SCCs være underlagt lovene i Regjerende medlemsstat;

6. I klausul 18(b) vil tvister løses i domstolene Regjerende medlemsstat; og

7. Forsiden til denne DPA inneholder informasjonen som kreves i vedlegg I, vedlegg II og vedlegg III til EØS SCC-ene.

3. Tidligere britiske overføringer

Kunde og Forsørger godta at hvis Storbritannias GDPR beskytter overføringen av kundepersonopplysninger, er overføringen fra Kunde fra Storbritannia til Forsørger utenfor Storbritannia, og overføringen er ikke styrt av en tilstrekkelighetsbeslutning tatt av Storbritannias utenriksminister, deretter ved å inngå denne DPA, Kunde og Forsørger anses å ha signert UK Addendum og deres vedlegg, som er innlemmet ved referanse. Enhver slik overføring gjøres i henhold til UK Addendum, som fullføres som følger:

en. Avsnitt 3.2 i denne DPA inneholder informasjonen som kreves i tabell 2 i tillegget til Storbritannia.

b. Tabell 4 i UK-tillegget er modifisert som følger: Ingen av partene kan avslutte UK-tillegget som angitt i seksjon 19 i UK-tillegget; i den grad ICO utsteder et revidert godkjent tillegg i henhold til avsnitt ‎18 i det britiske tillegget, vil partene arbeide i god tro for å revidere denne DPA i henhold til dette.

c. Forsiden inneholder informasjonen som kreves av vedlegg 1A, vedlegg 1B, vedlegg II og vedlegg III til det britiske tillegget.

4. Andre internasjonale overføringer

For overføringer av personopplysninger der sveitsisk lov (og ikke loven i noen av EØS-medlemsstatene eller Storbritannia) gjelder den internasjonale karakteren av overføringen, er henvisninger til GDPR i paragraf 4 i EØS SCC-ene, i den grad det er lovpålagt, endret til å referere til den sveitsiske føderale databeskyttelsesloven eller dens etterfølger i stedet, og begrepet tilsynsmyndighet vil omfatte den sveitsiske føderale databeskyttelses- og informasjonskommissæren.

1. Ved å bli oppmerksom på en sikkerhetshendelse, Forsørger vil: (a) varsle Kunde uten unødig forsinkelse når det er mulig, men ikke senere enn 72 timer etter at du ble oppmerksom på sikkerhetshendelsen; (b) gi rettidig informasjon om sikkerhetshendelsen etter hvert som den blir kjent eller som rimelig forespurt av Kunde; og (c) umiddelbart ta rimelige skritt for å begrense og undersøke sikkerhetshendelsen. Leverandørens varsel om eller svar på en sikkerhetshendelse som kreves av denne DPA, vil ikke bli tolket som en bekreftelse av Forsørger av enhver feil eller ansvar for sikkerhetshendelsen.

1. Revisjonsrettigheter

Forsørger vil gi Kunde all informasjon som er rimelig nødvendig for å demonstrere samsvar med denne DPA og Forsørger vil gi rom for og bidra til revisjoner, inkludert inspeksjoner av Kunde, å evaluere Leverandørens samsvar med denne DPA. Derimot, Forsørger kan begrense tilgangen til data eller informasjon hvis Kundens tilgang til informasjonen vil ha en negativ innvirkning Leverandørens immaterielle rettigheter, konfidensialitetsforpliktelser eller andre forpliktelser i henhold til gjeldende lover. Kunde erkjenner og godtar at det kun vil utøve sine revisjonsrettigheter under denne DPA og eventuelle revisjonsrettigheter gitt av gjeldende databeskyttelseslover ved å instruere Forsørger for å overholde rapporterings- og due diligence-kravene nedenfor. Forsørger vil oppbevare registre over samsvar med denne DPA i 3 år etter at DPA avsluttes.

2. Sikkerhetsrapporter

Kunde erkjenner det Forsørger blir regelmessig revidert mot standardene definert i Sikkerhetspolicy av uavhengige tredjepartsrevisorer. Etter skriftlig forespørsel, Forsørger vil gi Kunde, på konfidensiell basis, en sammendragskopi av den da gjeldende rapporten slik at Kunde kan verifisere Leverandørens samsvar med standardene definert i Sikkerhetspolicy.

3. Sikkerhet Due Diligence

I tillegg til rapporten, Forsørger vil svare på rimelige forespørsler om informasjon fra Kunde å bekrefte Leverandørens overholdelse av denne DPA, inkludert svar på informasjonssikkerhet, due diligence og revisjonsspørreskjemaer, eller ved å gi tilleggsinformasjon om informasjonssikkerhetsprogrammet. Alle slike forespørsler må være skriftlige og sendes til Leverandørsikkerhetskontakt og kan bare lages en gang i året.

1. Svar på henvendelser

Hvis Forsørger mottar enhver henvendelse eller forespørsel fra noen andre om behandlingen av kundens personopplysninger, Forsørger vil varsle Kunde om forespørselen og Forsørger vil ikke svare på forespørselen uten Kundens forhåndssamtykke. Eksempler på denne typen forespørsler og forespørsler inkluderer en rettslig eller administrativ eller tilsynsmyndighets ordre om kundepersonopplysninger der det varsles Kunde er ikke forbudt av gjeldende lov, eller en forespørsel fra en registrert. Hvis tillatt av gjeldende lov, Forsørger vil følge Kundens rimelige instruksjoner om disse forespørslene, inkludert å gi statusoppdateringer og annen informasjon rimelig forespurt av Kunde. Hvis en registrert person kommer med en gyldig forespørsel i henhold til gjeldende databeskyttelseslover om å slette eller velge bort Kundens gi kundens personopplysninger til Forsørger, Forsørger vil hjelpe Kunde ved å oppfylle forespørselen i henhold til gjeldende databeskyttelseslov. Forsørger vil samarbeide med og gi rimelig bistand til Kunde, kl Kundens utgifter, i ethvert rettslig svar eller andre prosedyrehandlinger utført av Kunde som svar på en tredjepartsforespørsel om Leverandørens Behandling av kundepersonopplysninger under denne DPA.

2. DPIAer og DTIAer

Hvis det kreves av gjeldende databeskyttelseslover, Forsørger vil med rimelighet hjelpe Kunde ved å gjennomføre pålagte konsekvensvurderinger for databeskyttelse eller konsekvensvurderinger for dataoverføring og konsultasjoner med relevante databeskyttelsesmyndigheter, under hensyntagen til behandlingens natur og kundens personopplysninger.

1. Sletting av kunden

Forsørger vil aktivere Kunde å slette kundens personopplysninger på en måte som er i samsvar med funksjonaliteten til tjenestene. Forsørger vil følge denne instruksen så snart det er praktisk mulig, unntatt der ytterligere lagring av Kundens Personopplysninger kreves av gjeldende lov.

2. Sletting ved DPA-utløp

en. Etter at DPA utløper, Forsørger vil returnere eller slette Kundens Personopplysninger kl Kundens instruksjon med mindre ytterligere lagring av kundens personopplysninger er påkrevd eller autorisert av gjeldende lov. Hvis retur eller ødeleggelse er upraktisk eller forbudt i henhold til gjeldende lover, Forsørger vil gjøre rimelige anstrengelser for å forhindre ytterligere Behandling av Kundens Personopplysninger og vil fortsette å beskytte Kundens Personopplysninger som forblir i dens besittelse, varetekt eller kontroll. For eksempel kan gjeldende lover kreve Forsørger for å fortsette å være vert for eller behandle kundepersonopplysninger.

b. Hvis Kunde og Forsørger har gått inn i EEA SCCs eller UK Addendum som en del av denne DPA, Forsørger vil bare gi Kunde sertifiseringen av sletting av personopplysninger beskrevet i klausul 8.1(d) og klausul 8.5 i EØS SCCs hvis Kunde ber om en.

1. Ansvarsbegrensninger og skadesfraskrivelse

I den maksimale utstrekning det er tillatt i henhold til gjeldende databeskyttelseslover, vil hver parts samlede kumulative ansvar overfor den andre parten som oppstår som følge av eller relatert til denne DPA være underlagt fraskrivelsene, ekskluderingene og ansvarsbegrensningene som er angitt i Avtale.

2. Krav fra nærstående parter

Eventuelle krav fremsatt mot Forsørger eller dets tilknyttede selskaper som oppstår fra eller relatert til denne DPA kan bare bringes inn av Kunde enhet som er part i Avtale.

3. Unntak

1. Denne databeskyttelsesmyndigheten begrenser ikke noe ansvar overfor en enkeltperson angående personens databeskyttelsesrettigheter i henhold til gjeldende databeskyttelseslover. I tillegg begrenser ikke denne DPA noe ansvar mellom partene for brudd på EØS SCCs eller UK Addendum.

1. Denne DPA utgjør en del av og supplerer avtalen. Hvis det er noen inkonsekvens mellom denne DPA, Avtale, eller noen av deres deler, vil den delen som er oppført tidligere kontrollere delen som er oppført senere for denne inkonsekvensen: (1) EØS SCCs eller UK Addendum, (2) denne DPA, og deretter (3) Avtale.

Denne DPA-en starter når Forsørger og Kunde godta en forside for DPA og signere eller elektronisk godta Avtale og vil fortsette til kl Avtale utløper eller avsluttes. Derimot, Forsørger og Kunde vil hver forbli underlagt forpliktelsene i denne DPA og gjeldende databeskyttelseslover til Kunde slutter å overføre kundens personopplysninger til Forsørger og Forsørger slutter å behandle kundens personopplysninger.

Uavhengig av gjeldende lov eller lignende klausuler i Avtale, vil alle tolkninger og tvister om denne DPA være underlagt lovene i Regjerende stat uten hensyn til dens lovkonfliktbestemmelser. I tillegg, og til tross for valg av forum, jurisdiksjon eller lignende klausuler i Avtale, er partene enige om å reise enhver rettssak, søksmål eller saksgang angående denne DPA, og hver part underkaster seg ugjenkallelig den eksklusive jurisdiksjonen til domstolene i Regjerende stat.

I den grad California Consumer Privacy Act, Cal. Civ. Code § 1798.100 et seq ("CCPA") gjelder, erkjenner og godtar partene at Forsørger er en tjenesteleverandør og mottar personopplysninger fra Kunde å yte tjenesten som avtalt i Avtale, som utgjør et forretningsformål. Forsørger vil ikke selge noen personopplysninger levert av Kunde under Avtale. I tillegg, Forsørger vil ikke beholde, bruke eller avsløre noen personopplysninger levert av Kunde under Avtale unntatt når det er nødvendig for å levere tjenesten for Kunde, som det står i Avtale, eller som tillatt av gjeldende databeskyttelseslover. Forsørger bekrefter at de forstår begrensningene i denne paragrafen.

1. "Gjeldende lover" betyr lovene, reglene, forskriftene, rettskjennelsene og andre bindende krav fra en relevant myndighet som gjelder eller styrer en part.

2. "Gjeldende databeskyttelseslover" betyr gjeldende lover som styrer hvordan tjenesten kan behandle eller bruke en persons personopplysninger, personopplysninger, personlig identifiserbar informasjon eller andre lignende begreper.

3. "Kontroller" vil ha betydningen(e) gitt i gjeldende databeskyttelseslover for selskapet som bestemmer formålet og omfanget av behandling av personopplysninger.

4. "Forside" betyr et dokument som er signert eller elektronisk akseptert av partene som inkorporerer disse DPA-standardvilkårene og identifiserer Forsørger, Kunde, og emnet og detaljene for databehandlingen.

5. "Kundens personlige data" betyr personopplysninger som Kunde laster opp eller leverer til Forsørger som en del av tjenesten, og som styres av denne DPA.

6. "DPA" betyr disse DPA-standardvilkårene, forsiden mellom Forsørger og Kunde, og retningslinjene og dokumentene det henvises til i eller vedlagt forsiden.

7. "EØS SCCs" betyr standard kontraktsbestemmelsene som er vedlagt Europakommisjonens gjennomføringsvedtak 2021/914 av 4. juni 2021 om standard kontraktuelle klausuler for overføring av personopplysninger til tredjeland i henhold til forordning (EU) 2016/679 fra Europaparlamentet og Det europeiske råd. .

8. "Det europeiske økonomiske området" eller "EEA" betyr medlemslandene i EU, Norge, Island og Liechtenstein.

9. "GDPR" betyr EU-forordning 2016/679 som implementert av lokal lov i den relevante EØS-medlemsnasjonen.

10. "Personlig informasjon" vil ha betydningen(e) gitt i gjeldende databeskyttelseslover for personlig informasjon, personopplysninger eller andre lignende begreper.

11. "Behandling" eller "Prosess" vil ha betydningen(e) gitt i gjeldende databeskyttelseslover for enhver bruk av, eller utførelse av en datamaskinoperasjon på, personopplysninger, inkludert ved automatiske metoder.

12. "Prosessor" vil ha betydningen(e) gitt i gjeldende databeskyttelseslover for selskapet som behandler personopplysninger på vegne av behandlingsansvarlig.

13. "Rapportere" betyr revisjonsrapporter utarbeidet av et annet selskap i henhold til standardene definert i sikkerhetspolicyen på vegne av Leverandøren.

14. "Begrenset overføring" betyr (a) der GDPR gjelder, en overføring av personopplysninger fra EØS til et land utenfor EØS som ikke er underlagt en tilstrekkelighetsavgjørelse fra Europakommisjonen; og (b) der Storbritannias GDPR gjelder, en overføring av personopplysninger fra Storbritannia til et hvilket som helst annet land som ikke er underlagt tilstrekkelighetsregler vedtatt i henhold til seksjon 17A i United Kingdom Data Protection Act 2018.

15. "Sikkerhetshendelse" betyr et brudd på personopplysninger som definert i artikkel 4 i GDPR.

16. "Service" betyr produktet og/eller tjenestene beskrevet i Avtale.

17. "Spesielle kategoridata" vil ha betydningen gitt i artikkel 9 i GDPR.

18. "Underbehandler" vil ha betydningen(e) gitt i gjeldende databeskyttelseslover for et selskap som, med godkjenning og aksept av behandlingsansvarlig, bistår behandleren med å behandle personopplysninger på vegne av behandlingsansvarlig.

19. "UK GDPR" betyr EU-forordning 2016/679 som implementert av seksjon 3 i Storbritannias European Union (Withdrawal) Act av 2018 i Storbritannia.

20. "UK-tillegg" betyr det internasjonale dataoverføringstillegget til EEA SCCs utstedt av informasjonskommisjonen for parter som gjør begrensede overføringer i henhold til S119A(1) Data Protection Act 2018.

Dette dokumentet er et derivat av Common Paper DPA-standardvilkår (versjon 1.0) og er lisensiert under CC BY 4.0.