Aftale om databehandling

Version 2.1.0

Parterne:

  • Den registrerede organisation, der tilmeldte sig PowerDMARC, også kaldet "Controller".

Og

  •  MENAINFOSEC, Inc. med hjemsted og hovedvirksomhed i Delaware, Amerikas Forenede Stater, heri benævnt»Processor«;

Præamblen:

  1. Controlleren har indgået en eller flere aftaler med processoren om, at processoren skal levere forskellige tjenester til controlleren eller indgå en sådan aftale. Denne aftale eller disse aftaler er/er desuden yderligere heri benævnt»hovedaftalen«.
  2. Ved udførelsen af hovedaftalen behandler processoren data, som den registeransvarlige er og forbliver ansvarlig for. Disse data omfatter personoplysninger i henhold til den generelle databeskyttelsesforordning (EU 2016/679), yderligere heri "GDPR".
  3. I betragtning af bestemmelserne i artikel 28, stk. 3,i GDPR ønsker parterne i denne aftale at fastsætte betingelserne for behandling af disse personoplysninger.

Aftale:

  • Omfanget
    1. Denne aftale finder anvendelse, for så vidt som der ved leveringen af tjenesteydelserne i henhold til hovedaftalen udføres en eller flere behandlinger, der er opført i bilag 1.
    2. De behandlinger i bilag 1,der finder sted i forbindelse med leveringen af tjenesteydelserne, benævnes herefter»behandlinger«. De personoplysninger, der behandles i denne forbindelse, er:"Personoplysningerne".
    3. Alle begreber i denne aftale har den betydning, de har fået i GDPR.
    4. Hvis flere og andre personoplysninger behandles efter instruks fra den registeransvarlige, eller hvis de behandles på anden måde end beskrevet i denne klausul, gælder denne aftale så meget som muligt også for disse behandlinger.
    5. Bilagene er en del af denne aftale. De består af:

Bilag 1 behandlingsprocesserne, personoplysningerne og opbevaringsperioderne

  • Emne
    1. Den registeransvarlige har og bevarer fuld kontrol over personoplysningerne. Hvis den registeransvarlige ikke selv behandler personoplysningerne ved hjælp af databehandlerens systemer, vil databehandleren udelukkende behandle på grundlag af skriftlige instrukser fra den registeransvarlige, f.eks. med hensyn til eventuelle personoplysninger, der videregives til tredjeparter uden for EU. Hovedaftalen betragtes som en generisk instruks i denne forbindelse.
    2. Forarbejdningen udføres kun i forbindelse med hovedaftalen. Behandleren må ikke behandle andre personoplysninger end dem, der er fastsat i hovedaftalen. Behandleren må navnlig ikke bruge personoplysningerne til egne formål.
    3. Processoren udfører behandlingshandlingerne på en ordentlig måde og med behørig omhu.
  • Sikkerhedsforanstaltninger
    1. Forarbejdningsvirksomheden træffer alle de tekniske og organisatoriske sikkerhedsforanstaltninger, der kræves af ham i henhold til GDPR, navnlig i henhold til artikel 32 GDPR.
    2. Databehandleren skal sikre, at personer, der ikke er begrænset til medarbejdere, som deltager i behandlingsoperationer hos registerføreren, er forpligtet til at overholde fortroligheden med hensyn til personoplysninger.
  • Dataovertrædelser og konsekvensanalyse af beskyttelse af personlige oplysninger
    1. Registerføreren underretter den registeransvarlige om ethvert "brud på persondatasikkerheden" som omhandlet i artikel 4 under 12 GDPR. Et sådant brud benævnes i det følgende: et "brud på datasikkerheden".
    2. Registerføreren giver inden for god tid den registeransvarlige alle de oplysninger, han er i besiddelse af, og som er nødvendige for at opfylde forpligtelserne i artikel 33 i GDPR. For den sags skyld skal processoren hurtigst muligt give de respektive oplysninger i et standardformat, der bestemmes af processoren. Dette indebærer, at databehandleren underretter den registeransvarlige om et brud på datasikkerheden så hurtigt som muligt, hvis det er klart, at dataovertrædelsen sandsynligvis vil medføre en risiko for fysiske personers rettigheder og frihedsrettigheder. Hvis det er klart, at et brud på datasikkerheden er usandsynligt i en risiko for fysiske personers rettigheder og frihedsrettigheder, har databehandleren lov til at underrette den registeransvarlige på et senere tidspunkt, forudsat at anmeldelsen finder sted uden unødig forsinkelse. Hvis der er grund til at tvivle på, om dataovertrædelsen sandsynligvis vil medføre en risiko for fysiske personers rettigheder og frihedsrettigheder, underretter registerføreren hurtigst muligt den registeransvarlige om dataovertrædelsen.
    3. Det er udelukkende op til den registeransvarlige at afgøre, om et brud på datasikkerheden, der er etableret hos databehandleren, skal indberettes til den hollandske myndighed for personoplysninger og/eller til den registrerede.
  • Engagement af underbehandlere
    1. Ved udførelsen af behandlingsoperationerne er processoren ikke berettiget til at engagere en tredjepart som underprocessor uden forudgående samtykke fra den dataansvarlige. Den registeransvarliges samtykke kan også vedrøre en bestemt kategori af underbehandlere.
    2. Hvis den registeransvarlige giver sit samtykke, skal registerføreren sikre, at den pågældende tredjepart indgår en aftale, hvor han i det mindste overholder de samme retlige forpligtelser og eventuelle yderligere forpligtelser som dem, forarbejdningsvirksomheden har i henhold til denne aftale.
    3. Hvis samtykket vedrører en bestemt type tredjepart, underretter databehandleren den registeransvarlige om de underbehandlere, han har ansat. Controlleren kan derefter gøre indsigelse mod tilføjelser eller udskiftninger med hensyn til processorens underprocessorer.
  • Tavshedspligt
    1. Databehandleren vil holde personoplysningerne fortrolige. Databehandleren sikrer, at personoplysningerne ikke direkte eller indirekte bliver tilgængelige for tredjeparter. Udtrykket tredjeparter omfatter også databehandlerens personale, for så vidt som det ikke er nødvendigt for dem at tage personoplysningerne til efterretning. Dette forbud gælder ikke, hvis der er fastsat bestemmelser om det modsatte i denne aftale, og/eller i det omfang en lovbestemmelse eller dom kræver nogen form for offentliggørelse.
    2. Registerføreren underretter den registeransvarlige om enhver anmodning fra en anden part end den registrerede om adgang til, levering af eller anden form for anmodning om og videregivelse af personoplysninger i strid med fortrolighedsforpligtelsen i denne klausul, medmindre registerføreren ved lov er forbudt at gøre det. I tilfælde af anmodninger om registrerede sender databehandleren disse anmodninger til den registeransvarlige eller henviser den registrerede til den registeransvarlige.
  • Opbevaringsperioder og sletning
    1. Den registeransvarlige er ansvarlig for at bestemme opbevaringsperioderne med hensyn til personoplysningerne. I det omfang personoplysninger er under den registeransvarliges kontrol (f.eks. i tilfælde af hostingtjenester), vil han selv slette dem inden for god tid.
    2. I tilfælde af opsigelse af hovedaftalen eller Databehandleren sletter personoplysningerne efter udløbet af den opbevaringsperiode, der er nævnt i bilag 1,efter den registeransvarliges skøn overfører dem til ham, medmindre personoplysningerne skal opbevares længere, f.eks. i forbindelse med registerførerens (lovbestemte) forpligtelser, eller hvis den registeransvarlige anmoder om, at personoplysninger opbevares længere, og databehandleren og den registeransvarlige når til enighed om omkostningerne og de øvrige betingelser for denne længere opbevaring, sidstnævnte uanset den registeransvarliges ansvar for at overholde de lovbestemte opbevaringsperioder. Enhver overførsel til controlleren sker på bekostning af controlleren.
    3. Hvis den registeransvarlige anmoder om en konto- og datafjernelse via det beskyttede login, sletter databehandleren personoplysningerne inden for 30 dage efter anmodningen om konto- og fjernelse af data efter den registeransvarliges skøn overfører dem til ham, medmindre personoplysningerne skal opbevares længere, f.eks. i forbindelse med den registeransvarliges (lovbestemte) forpligtelser, eller hvis den registeransvarlige anmoder om, at personoplysninger opbevares længere, og databehandleren og den registeransvarlige når frem til aftale om omkostningerne og de øvrige betingelser for denne længere tilbageholdelse, sidstnævnte til trods for den registeransvarliges ansvar for at overholde de lovbestemte tilbageholdelsesperioder. Enhver overførsel til controlleren sker på bekostning af controlleren.
    4. Processoren angiver på anmodning af den dataansvarlige, at sletningen i det foregående afsnit har fundet sted. Den registeransvarlige kan for egen regning få det bekræftet, om dette rent faktisk fandt sted. Punkt 10i denne aftale finder anvendelse på denne kontrol. I det omfang dette er nødvendigt, underretter databehandleren alle underbehandlere, der er involveret i behandlingen af personoplysningerne, om enhver opsigelse af hovedaftalen og pålægger dem at handle i overensstemmelse hermed.
    5. Medmindre andet er aftalt mellem parterne, vil den registeransvarlige selv tage sig af en sikkerhedskopi af personoplysningerne.
  • Den registreredes rettigheder 
    1. Hvis den registeransvarlige selv har adgang til personoplysningerne, skal han selv efterkomme alle anmodninger fra den registrerede vedrørende personoplysningerne. Processoren sender straks de anmodninger, som processoren har modtaget, til den registeransvarlige.
    2. Kun hvis det, der er hensigten i det foregående afsnit, er umuligt, vil processoren samarbejde fuldt ud og inden for god tid med controlleren for at:
    3. give den registrerede adgang til deres respektive personoplysninger efter godkendelse fra og efter den registeransvarliges anvisninger
    4. fjerne eller rette personoplysninger
    5. påvise, at personoplysninger er blevet fjernet eller rettet, hvis de er forkerte (eller, i tilfælde af at den registeransvarlige ikke accepterer, at personoplysningerne er forkerte, at registrere, at den registrerede anser sine personoplysninger for at være forkerte)
    6. give den registeransvarlige eller den tredjepart, der er udpeget af den registeransvarlige, de respektive personoplysninger i en struktureret, sædvanlig og maskinlæsbar form og
    7. gøre det muligt for den registeransvarlige på anden måde at opfylde sine forpligtelser i henhold til GDPR eller anden gældende lovgivning inden for behandling af personoplysninger.
    8. Parterne fastsætter i fællesskab omkostningerne ved og kravene til det i stk. 1nævnte samarbejde. Uden nogen aftaler i denne henseende vil omkostningerne blive afholdt af den registeransvarlige.
  • Ansvar
    1. Den registeransvarlige er for eksempel ansvarlig, og derfor er han fuldt ansvarlig for (det fastsatte formål med) behandlingsoperationerne, brugen og indholdet af personoplysningerne, leveringen til tredjeparter, varigheden af opbevaringen af personoplysningerne, behandlingsmåden og de midler, der anvendes til dette formål.
    2. Processoren er ansvarlig over for den dataansvarlige som fastsat i hovedaftalen. Kontrol
      1. Den registeransvarlige har ret til at kontrollere, at bestemmelserne i denne aftale overholdes en gang om året for egen regning, eller til at få dem verificeret af en uafhængig registreret revisor eller registreret informatikmedarbejder.
      2. Registerføreren skal give den registeransvarlige alle de oplysninger, der er nødvendige for at påvise, at forpligtelserne i artikel 28 i GDPRer opfyldt. Hvis den tredjepart, som den registeransvarlige har ansat, giver en instruks, som efter processorens mening udgør en overtrædelse af GDPR, underretter databehandleren straks den registeransvarlige herom.
      3. Undersøgelsen af den registeransvarlige vil altid være begrænset til de systemer i processoren, der bruges til behandlingshandlingerne. De oplysninger, der indhentes under verifikationen, behandles fortroligt af den registeransvarlige og må kun anvendes til at kontrollere, at registerføreren opfylder forpligtelserne i henhold til denne aftale, og oplysningerne eller dele heraf vil blive slettet så hurtigt som muligt. Den registeransvarlige garanterer, at alle tredjeparter, der er involveret, også vil påtage sig disse forpligtelser.
    3. Andre bestemmelser
      1. Eventuelle ændringer af denne aftale er kun gyldige, hvis parterne skriftligt er blevet enige herom.
      2. Parterne tilpasser denne aftale til eventuelle ændrede eller supplerede forordninger, supplerende instrukser fra de relevante myndigheder og øget indsigt i anvendelsen af GDPR (f.eks. ved, men ikke begrænset til, retspraksis eller rapporter), indførelse af standardbestemmelser og/eller andre begivenheder eller indsigter, der kræver en sådan justering.
      3. Denne aftale er effektiv, så længe hovedaftalen er effektiv. Bestemmelserne i denne aftale forbliver i kraft, for så vidt dette er nødvendigt for at bilæggelsen af denne aftale, og i det omfang de skal overleve opsigelsen af denne aftale. Den sidste kategori af bestemmelser omfatter, men uden begrænsning, bestemmelserne om fortrolighed og tvister.
      4. Denne aftale har forrang for alle andre aftaler mellem controlleren og processoren.
      5. Denne aftale er udelukkende underlagt nederlandsk lovgivning.
      6. Parterne vil udelukkende forelægge deres tvister i forbindelse med denne aftale for Byretten i Amsterdam.

Bilag 1

Behandling af personoplysninger og opbevaringsperioder

Dette bilag er en del af forarbejdningsaftalen og skal paraferes af parterne.

  • De personoplysninger, som parterne forventer at behandle:
    • Navn
    • E-mail-adresse
    • Body data af DMARC retsmedicinske data (RUF, ikke DMARC kompatibel e-mails)
  • Brugen (= behandlingsmetode(er)) af personoplysningerne og formålet med og ressourcerne til behandlingen:
    • PowerDMARC behandler de indgående DMARC-rapporter. Inden for DMARC-specifikationen er der to typer rapporter:
      • Aggregerede rapporter
        Disse rapporter indeholder data om antallet af meddelelser, der sendes til dit domæne(e) for en bestemt IP-adresse på daglig basis, herunder resultaterne af SPF- og DKIM-kontrollerne for disse meddelelser. Samlede rapporter indeholder ikke personoplysninger.
      • Retsmedicinske rapporter
        De retsmedicinske rapporter sendes af et begrænset antal afsendere af DMARC-rapporter. Det er kopier af specifikke meddelelser, der ikke bestod DMARC-kontrollen. Indholdet af disse meddelelser kan indeholde personligt identificerbare oplysninger (PII). PowerDMARC tilbyder flere metoder til lagring af disse meddelelser:

        • Standard: Meddelelsesteksten fjernes som standard, og kun brevhovederne gemmes
        • Krypteret: Klienten kan uploade en offentlig PGP-nøgle i PowerDMARC-softwaren. Hele indgående meddelelser krypteres ved hjælp af denne nøgle. Klienten er i stand til at dekryptere dataene ved hjælp af deres private nøgle og adgangskode.
        • Ukrypteret: Efter specifik bekræftelse og accept af PowerDMARC som databehandler kan klienten gemme hele meddelelsesteksten ukrypteret i PowerDMARC-softwaren.

Vilkårene for brug og opbevaring af de (forskellige typer) personoplysninger:

  • Licens: Alle licenser undtagen grundlæggende gratis version
  • Opbevaring af data: 365 dage