Databehandlingsavtal

Detta dokument är ett derivat av Common Paper DPA-standardvillkor (version 1.0) och följande ändringar har gjorts:

1. Gällande lag och utvalda domstolar har tagits upp som ett avsnitt nedan med Governing State identifierats ovan.
2. Tjänsteleverantörsrelation har tagits med som ett avsnitt nedan.

1. Leverantör som processor

I situationer där Kund är personuppgiftsansvarig för kundens personuppgifter, Leverantör kommer att anses vara en processor som behandlar personuppgifter på uppdrag av Kund.

2. Leverantör som underordnare

I situationer där Kund är en behandlare av kundens personuppgifter, Leverantör kommer att betraktas som en underbehandlare av kundens personuppgifter.

1. Bearbetningsdetaljer

Bilaga I(B) på försättssidan beskriver ämnet, arten, syftet och varaktigheten av denna behandling, samt Kategorier av personuppgifter samlas in och Kategorier av registrerade.

2. Bearbetningsinstruktioner

Kund instruerar Leverantör att behandla kundens personuppgifter: (a) för att tillhandahålla och underhålla Tjänsten; (b) som kan specificeras ytterligare genom Kundens användning av tjänsten; (c) som dokumenterats i Avtal; och (d) som dokumenterats i andra skriftliga instruktioner från Kund och erkänd av Leverantör om behandling av kunders personuppgifter under denna DPA. Leverantör kommer att följa dessa instruktioner om det inte är förbjudet enligt tillämpliga lagar. Leverantör kommer omedelbart att informera Kund om den inte kan följa bearbetningsinstruktionerna. Kund har gett och kommer endast att ge instruktioner som följer tillämpliga lagar.

3. Behandling av leverantör

Leverantör kommer endast att behandla kundens personuppgifter i enlighet med denna DPA, inklusive detaljerna på försättssidan. Om Leverantör uppdaterar tjänsten för att uppdatera befintliga eller inkludera nya produkter, funktioner eller funktionalitet, Leverantör kan ändra Kategorier av registrerade, Kategorier av personuppgifter, Specialkategoridata, Särskilda kategoridatarestriktioner eller skyddsåtgärder, Överföringsfrekvens, Bearbetningens art och syfte, och Behandlingens varaktighet efter behov för att återspegla uppdateringarna genom att meddela Kund av uppdateringarna och ändringarna.

4. Kundbehandling

Var Kund är en processor och Leverantör är en underbehandlare, Kund kommer att följa alla tillämpliga lagar som gäller för Kundens Behandling av kundpersonuppgifter. Kundens överenskommelse med dess registeransvarige kommer på liknande sätt att kräva Kund att följa alla tillämpliga lagar som gäller för Kund som processor. Dessutom, Kund kommer att följa underbehandlarens krav i Kundens avtal med sin registeransvarige.

5. Samtycke till behandling

Kund har följt och kommer att fortsätta att följa alla tillämpliga dataskyddslagar rörande tillhandahållandet av kundpersonuppgifter till Leverantör och/eller tjänsten, inklusive att göra alla avslöjanden, erhålla alla samtycken, tillhandahålla lämpliga valmöjligheter och implementera relevanta skyddsåtgärder som krävs enligt tillämpliga dataskyddslagar.

6. Underprocessorer

a. Leverantör kommer inte att tillhandahålla, överföra eller överlämna några kunduppgifter till en underbehandlare om inte Kund har godkänt underbehandlaren. Den aktuella listan över Godkända underbehandlare inkluderar underprocessorernas identiteter, deras land där de är belägna och deras förväntade bearbetningsuppgifter. Leverantör kommer att informera Kund minst 10 arbetsdagar i förväg och skriftligen om eventuella avsedda ändringar av Godkända underbehandlare antingen genom tillägg eller utbyte av en Underprocessor, vilket tillåter Kund att ha tillräckligt med tid att invända mot ändringarna före Leverantör börjar använda den eller de nya underbehandlare. Leverantör kommer att ge Kund den information som krävs för att tillåta Kund att utöva sin rätt att invända mot ändringen till Godkända underbehandlare. Kund har 30 dagar efter meddelande om ändring av Godkända underbehandlare att invända, annars Kund kommer att anses acceptera ändringarna. Om Kund invänder mot ändringen inom 30 dagar efter varsel, Kund och Leverantör kommer att samarbeta i god tro för att lösa Kundens invändning eller oro.

b. När du anlitar en underbehandlare, Leverantör kommer att ha ett skriftligt avtal med Underprocessorn som säkerställer att Underprocessorn endast får åtkomst till och använder Kundens Personuppgifter (i) i den utsträckning som krävs för att utföra de förpliktelser som underleverantören har lagt ut, och (ii) i enlighet med villkoren i Avtal.

c. Om GDPR gäller Behandling av Kundens Personuppgifter, (i) åläggs även Underprocessorn de dataskyddsskyldigheter som beskrivs i denna DPA (enligt artikel 28.3 i GDPR, om tillämpligt) och (ii) ) Leverantörens Avtalet med Underprocessorn kommer att införliva dessa skyldigheter, inklusive detaljer om hur Leverantör och dess underbehandlare kommer att samordna för att svara på förfrågningar eller förfrågningar om behandlingen av kundens personuppgifter. Dessutom, Leverantör kommer att dela, kl Kundens begära en kopia av sina avtal (inklusive eventuella ändringar) med sina Underprocessorer. I den utsträckning det är nödvändigt för att skydda affärshemligheter eller annan konfidentiell information, inklusive personuppgifter, Leverantör kan redigera texten i sitt avtal med sin Underprocessor innan en kopia delas.

d. Leverantör förblir fullt ansvarig för alla förpliktelser som lagts ut på underleverantörer till dess underbehandlare, inklusive handlingar och försummelser av underbehandlare vid behandling av kundpersonuppgifter. Leverantör kommer att underrätta Kunden om eventuella underlåtanden från sina Underprocessorer att uppfylla en väsentlig skyldighet om Kundens Personuppgifter enligt avtalet mellan Leverantör och underbehandlaren.

1. Auktorisation

Kund håller med om det Leverantör kan överföra kunduppgifter utanför EES, Storbritannien eller annat relevant geografiskt territorium vid behov för att tillhandahålla Tjänsten. Om Leverantör överför kundpersonuppgifter till ett territorium för vilket Europeiska kommissionen eller annan relevant tillsynsmyndighet inte har utfärdat ett adekvat beslut, Leverantör kommer att implementera lämpliga skyddsåtgärder för överföring av kundpersonuppgifter till det territoriet i enlighet med tillämpliga dataskyddslagar.

2. Ex-EES-överföringar

Kund och Leverantör samtycker till att om GDPR skyddar överföringen av Kundens Personuppgifter är överföringen från Kund från inom EES till Leverantör utanför EES, och överföringen styrs inte av ett lämplighetsbeslut som fattats av Europeiska kommissionen, sedan genom att ingå denna DPA, Kund och Leverantör anses ha undertecknat EES SCCs och deras bilagor, som införlivas genom hänvisning. Varje sådan överföring görs i enlighet med EES SCCs, som slutförs enligt följande:

a. Modul två (kontrollant till processor) i EES SCC gäller när Kund är en controller och Leverantör behandlar kundens personuppgifter för Kund som processor.

b. Modul tre (behandlare till underbehandlare) i EES SCC gäller när Kund är en processor och Leverantör behandlar kundens personuppgifter på uppdrag av Kund som underbehandlare.

c. För varje modul gäller följande (i tillämpliga fall):

1. Den valfria dockningsklausulen i klausul 7 gäller inte;

2. I paragraf 9 gäller alternativ 2 (allmän skriftlig auktorisation) och den minsta tidsperioden för förhandsmeddelande om ändringar av underbehandlare är 10 arbetsdagar;

3. I paragraf 11 gäller inte det valfria språket;

4. Alla hakparenteser i paragraf 13 tas bort;

5. I klausul 17 (alternativ 1) kommer EES SCCs att styras av lagarna i Regerande medlemsstat;

6. I klausul 18(b) kommer tvister att lösas i domstolarna Regerande medlemsstat; och

7. Försättsbladet till denna dataskyddsmyndighet innehåller den information som krävs i bilaga I, bilaga II och bilaga III till EES SCC.

3. Ex-UK-överföringar

Kund och Leverantör samtycker till att om den brittiska GDPR skyddar överföringen av kundens personuppgifter, sker överföringen från Kund från Storbritannien till Leverantör utanför Förenade kungariket, och överföringen styrs inte av ett lämplighetsbeslut som fattats av Storbritanniens utrikesminister, sedan genom att ingå denna DPA, Kund och Leverantör anses ha undertecknat Storbritanniens tillägg och deras bilagor, som införlivas genom hänvisning. En sådan överföring görs i enlighet med Storbritanniens tillägg, som slutförs enligt följande:

a. Avsnitt 3.2 i denna DPA innehåller den information som krävs i tabell 2 i det brittiska tillägget.

b. Tabell 4 i det brittiska tillägget ändras enligt följande: Ingen av parterna får avsluta Storbritanniens tillägg enligt avsnitt 19 i det brittiska tillägget; i den mån ICO utfärdar ett reviderat godkänt tillägg enligt avsnitt ‎18 i det brittiska tillägget, kommer parterna att arbeta i god tro för att revidera denna dataskyddsförordning i enlighet med detta.

c. Försättsbladet innehåller den information som krävs enligt bilaga 1A, bilaga 1B, bilaga II och bilaga III till det brittiska tillägget.

4. Andra internationella överföringar

För överföringar av personuppgifter där schweizisk lag (och inte lagen i någon EES-medlemsstat eller Storbritannien) är tillämplig på överföringens internationella karaktär, är hänvisningar till GDPR i klausul 4 i EES SCC:er, i den utsträckning det krävs enligt lag, ändras för att i stället hänvisa till den schweiziska federala dataskyddslagen eller dess efterträdare, och begreppet tillsynsmyndighet kommer att omfatta den schweiziska federala dataskydds- och informationskommissionären.

1. När man blir medveten om en säkerhetsincident, Leverantör kommer att: (a) meddela Kund utan onödigt dröjsmål när det är möjligt, men senast 72 timmar efter att ha blivit medveten om säkerhetsincidenten; (b) tillhandahålla information i rätt tid om säkerhetsincidenten när den blir känd eller som rimligen begärs av Kund; och (c) omedelbart vidta rimliga åtgärder för att begränsa och undersöka säkerhetsincidenten. Leverantörens meddelande om eller svar på en säkerhetsincident enligt kraven i denna DPA kommer inte att tolkas som en bekräftelse av Leverantör av eventuella fel eller ansvar för säkerhetsincidenten.

1. Revisionsrättigheter

Leverantör kommer att ge Kund all information som rimligen är nödvändig för att visa att den följer denna DPA och Leverantör kommer att möjliggöra och bidra till revisioner, inklusive inspektioner av Kund, att bedöma Leverantörens överensstämmelse med denna DPA. Dock, Leverantör kan begränsa åtkomsten till data eller information om Kundens tillgång till informationen skulle ha en negativ inverkan Leverantörens immateriella rättigheter, sekretessskyldigheter eller andra skyldigheter enligt tillämpliga lagar. Kund erkänner och samtycker till att det endast kommer att utöva sina revisionsrättigheter enligt denna DPA och eventuella revisionsrättigheter som beviljats av tillämpliga dataskyddslagar genom att instruera Leverantör för att följa rapporterings- och due diligence-kraven nedan. Leverantör kommer att föra register över dess efterlevnad av denna DPA i 3 år efter det att DPA upphör.

2. Säkerhetsrapporter

Kund erkänner det Leverantör granskas regelbundet mot de standarder som definieras i Säkerhetspolicy av oberoende externa revisorer. På skriftlig begäran, Leverantör kommer att ge Kund, på konfidentiell basis, en sammanfattande kopia av dess då aktuella rapport så att Kund kan verifiera Leverantörens överensstämmelse med de standarder som definieras i Säkerhetspolicy.

3. Säkerhet Due Diligence

Förutom rapporten, Leverantör kommer att svara på rimliga förfrågningar om information från Kund att bekräfta Leverantörens efterlevnad av denna DPA, inklusive svar på informationssäkerhet, due diligence och revisionsfrågeformulär, eller genom att ge ytterligare information om dess informationssäkerhetsprogram. Alla sådana förfrågningar måste vara skriftliga och göras till Säkerhetskontakt för leverantör och får endast göras en gång om året.

1. Svar på förfrågningar

Om Leverantör tar emot alla förfrågningar eller förfrågningar från någon annan om behandlingen av kundens personuppgifter, Leverantör kommer att meddela Kund om begäran och Leverantör kommer inte att svara på begäran utan Kundens tidigare medgivande. Exempel på den här typen av förfrågningar och förfrågningar inkluderar en rättslig eller administrativ eller tillsynsmyndighets order om kundpersonuppgifter vid anmälan Kund är inte förbjudet enligt tillämplig lag eller en begäran från en registrerad. Om det är tillåtet enligt tillämplig lag, Leverantör kommer följa Kundens rimliga instruktioner om dessa förfrågningar, inklusive tillhandahållande av statusuppdateringar och annan information som rimligen begärs av Kund. Om en registrerad gör en giltig begäran enligt tillämpliga dataskyddslagar att ta bort eller välja bort Kundens överlämnande av kundpersonuppgifter till Leverantör, Leverantör kommer att hjälpa till Kund för att uppfylla begäran enligt den tillämpliga dataskyddslagen. Leverantör kommer att samarbeta med och ge rimlig hjälp till Kund, kl Kundens kostnader, i något juridiskt svar eller andra proceduråtgärder som vidtas av Kund som svar på en begäran från tredje part om Leverantörens Behandling av kundpersonuppgifter under denna DPA.

2. DPIA och DTIA

Om så krävs enligt tillämpliga dataskyddslagar, Leverantör kommer rimligen att hjälpa Kund vid genomförandet av eventuella obligatoriska konsekvensbedömningar för dataskydd eller konsekvensbedömningar för dataöverföring och samråd med relevanta dataskyddsmyndigheter, med hänsyn till behandlingens karaktär och kundpersonuppgifter.

1. Radering av kunden

Leverantör kommer att möjliggöra Kund att radera kundens personuppgifter på ett sätt som överensstämmer med Tjänsternas funktionalitet. Leverantör kommer att följa denna instruktion så snart som rimligen är praktiskt möjligt utom där ytterligare lagring av kundpersonuppgifter krävs enligt tillämplig lag.

2. Radering vid DPA-utgång

a. Efter att DPA löper ut, Leverantör kommer att returnera eller radera Kundens Personuppgifter kl Kundens instruktion om inte ytterligare lagring av kundens personuppgifter krävs eller godkänts av tillämplig lag. Om återlämnande eller förstörelse är ogenomförbart eller förbjudet enligt tillämpliga lagar, Leverantör kommer att göra rimliga ansträngningar för att förhindra ytterligare Behandling av Kundens Personuppgifter och kommer att fortsätta att skydda Kundens Personuppgifter som är kvar i dess besittning, förvar eller kontroll. Tillämpliga lagar kan till exempel kräva Leverantör för att fortsätta vara värd för eller bearbeta kundens personuppgifter.

b. Om Kund och Leverantör har gått med i EES SCCs eller Storbritanniens tillägg som en del av denna DPA, Leverantör kommer bara att ge Kund certifieringen av radering av personuppgifter som beskrivs i klausul 8.1(d) och klausul 8.5 i EES SCCs om Kund ber om en.

1. Ansvarstak och skadeståndsbefrielse

I den maximala utsträckning som tillåts enligt tillämpliga dataskyddslagar kommer varje parts totala kumulativa ansvar gentemot den andra parten som härrör från eller relaterat till denna DPA att vara föremål för de undantag, undantag och ansvarsbegränsningar som anges i Avtal.

2. Anspråk på närstående

Eventuella anspråk mot Leverantör eller dess affiliates som uppstår ur eller relaterade till denna DPA får endast väckas av Kund enhet som är part i Avtal.

3. Undantag

1. Denna dataskyddsmyndighet begränsar inte något ansvar gentemot en individ om individens dataskyddsrättigheter enligt tillämpliga dataskyddslagar. Dessutom begränsar denna dataskyddsmyndighet inte något ansvar mellan parterna för överträdelser av EES SCCs eller Storbritanniens tillägg.

1. Denna DPA utgör en del av och kompletterar avtalet. Om det finns någon inkonsekvens mellan denna DPA, Avtal, eller någon av deras delar, kommer den del som anges tidigare att kontrollera den del som listas senare för denna inkonsekvens: (1) EES SCCs eller Storbritanniens tillägg, (2) denna DPA och sedan (3) Avtal.

Denna DPA kommer att starta när Leverantör och Kund samtycker till en försättssida för DPA och underteckna eller acceptera elektroniskt Avtal och kommer att fortsätta tills Avtal löper ut eller avslutas. Dock, Leverantör och Kund kommer var och en att förbli föremål för skyldigheterna i denna DPA och tillämpliga dataskyddslagar tills Kund slutar överföra kunduppgifter till Leverantör och Leverantör slutar behandla kundens personuppgifter.

Utan hinder av gällande lag eller liknande bestämmelser i Avtal, kommer alla tolkningar och tvister om denna DPA att styras av lagarna i Regerande stat utan hänsyn till dess lagkonfliktbestämmelser. Dessutom, och trots val av forum, jurisdiktion eller liknande klausuler i Avtal, är parterna överens om att väcka alla rättsliga stämningar, åtgärder eller förfaranden om denna DPA i, och varje part underkastar sig oåterkalleligen den exklusiva jurisdiktionen för, domstolarna i Regerande stat.

I den mån California Consumer Privacy Act, Cal. Civ. Code § 1798.100 et seq ("CCPA") gäller, parterna erkänner och är överens om att Leverantör är en tjänsteleverantör och tar emot personuppgifter från Kund att tillhandahålla Tjänsten enligt överenskommelse i Avtal, som utgör ett affärsändamål. Leverantör kommer inte att sälja några personuppgifter som tillhandahålls av Kund under Avtal. Dessutom, Leverantör kommer inte att behålla, använda eller avslöja några personuppgifter som tillhandahålls av Kund under Avtal förutom när det är nödvändigt för att tillhandahålla Tjänsten för Kund, som anges i Avtal, eller enligt tillämpliga dataskyddslagar. Leverantör intygar att den förstår begränsningarna i denna paragraf.

1. "Tillämpliga lagar" betyder de lagar, regler, förordningar, domstolsbeslut och andra bindande krav från en relevant statlig myndighet som gäller eller styr en part.

2. "Tillämpliga dataskyddslagar" betyder tillämpliga lagar som styr hur Tjänsten får behandla eller använda en individs personliga information, personuppgifter, personligt identifierbar information eller andra liknande termer.

3. "Kontroller" kommer att ha den eller de betydelser som ges i de tillämpliga dataskyddslagarna för företaget som bestämmer syftet och omfattningen av behandlingen av personuppgifter.

4. "Omslag" betyder ett dokument som är undertecknat eller elektroniskt accepterat av parterna som införlivar dessa DPA-standardvillkor och identifierar Leverantör, Kund, och ämnet och detaljerna för databehandlingen.

5. "Kundens personuppgifter" betyder personuppgifter som Kund laddar upp eller tillhandahåller till Leverantör som en del av Tjänsten och som regleras av denna DPA.

6. "DPA" betyder dessa DPA-standardvillkor, försättssidan mellan Leverantör och Kundoch policyerna och dokumenten som hänvisas till i eller bifogas försättsbladet.

7. "EES SCCs" avser standardavtalsklausulerna som bifogas Europeiska kommissionens genomförandebeslut 2021/914 av den 4 juni 2021 om standardavtalsklausuler för överföring av personuppgifter till tredjeländer i enlighet med Europaparlamentets och Europeiska rådets förordning (EU) 2016/679 .

8. "Europeiska ekonomiska samarbetsområdet" eller "EEA" betyder EU:s medlemsländer, Norge, Island och Liechtenstein.

9. "GDPR" betyder EU-förordning 2016/679 som implementerad av lokal lagstiftning i relevant EES-medlemsnation.

10. "Personlig information" kommer att ha den eller de betydelser som ges i de tillämpliga dataskyddslagarna för personlig information, personuppgifter eller andra liknande termer.

11. "Bearbetar" eller "Bearbeta" kommer att ha den eller de betydelser som ges i de tillämpliga dataskyddslagarna för all användning av, eller utförandet av en datoroperation på, personuppgifter, inklusive med automatiska metoder.

12. "Processor" kommer att ha den eller de betydelser som ges i de tillämpliga dataskyddslagarna för företaget som behandlar personuppgifter på uppdrag av den personuppgiftsansvarige.

13. "Rapportera" betyder revisionsrapporter som utarbetats av ett annat företag enligt de standarder som definieras i säkerhetspolicyn på uppdrag av leverantören.

14. "Begränsad överföring" betyder (a) där GDPR gäller, en överföring av personuppgifter från EES till ett land utanför EES som inte är föremål för ett fastställande av tillräcklighet av Europeiska kommissionen. och (b) där Storbritanniens GDPR gäller, en överföring av personuppgifter från Storbritannien till något annat land som inte är föremål för adekvata bestämmelser som antagits i enlighet med avsnitt 17A i Storbritanniens dataskyddslag 2018.

15. "Säkerhetsincident" betyder ett personuppgiftsintrång enligt definitionen i artikel 4 i GDPR.

16. "Service" betyder produkten och/eller tjänsterna som beskrivs i Avtal.

17. "Specialkategoridata" kommer att ha den innebörd som anges i artikel 9 i GDPR.

18. "Underprocessor" kommer att ha den eller de innebörder som ges i de tillämpliga dataskyddslagarna för ett företag som, med godkännande och godkännande av personuppgiftsansvarig, bistår databehandlaren med att behandla personuppgifter på uppdrag av personuppgiftsansvarig.

19. "UK GDPR" betyder EU-förordning 2016/679 som implementerats av avsnitt 3 i Storbritanniens European Union (Withdrawal) Act från 2018 i Storbritannien.

20. "Storbritannien tillägg" betyder det internationella dataöverföringstillägget till EES SCCs utfärdat av Information Commissioner for Parties making Restricted Transfers under S119A(1) Data Protection Act 2018.

Detta dokument är ett derivat av Common Paper DPA-standardvillkor (version 1.0) och är licensierad enligt CC BY 4.0.