Databehandlingsavtale

Versjon 2.1.0

Partiene:

  • Den registrerte organisasjonen som registrerte seg for PowerDMARC, videre referert til her som "Kontrolleren" .

Og

  •  MENAINFOSEC, Inc med hovedkontor og hovedkontor i Delaware, USA, her referert til som ' Prosessoren' ;

Innledning:

  1. Den behandlingsansvarlige har inngått en eller flere avtaler med behandleren for at behandleren skal levere forskjellige tjenester til kontrolleren eller vil inngå en slik avtale. Denne avtalen eller disse avtalene i fellesskap er/er videre referert til som ' hovedavtalen' .
  2. Ved utførelsen av hovedavtalen vil behandleren behandle data som kontrolleren er og forblir ansvarlig for. Disse dataene inkluderer personopplysninger i henhold til General Data Protection Regulation (EU 2016/679), videre heri 'GDPR' .
  3. Med tanke på bestemmelsene i artikkel 28 nr. 3 i GDPR ønsker partene å fastsette vilkårene for behandling av disse personopplysningene i denne avtalen.

Avtale:

  • omfang
    1. Denne avtalen er gjeldende for så vidt som ved levering av tjenestene i henhold til hovedavtalen utføres en eller flere behandlingsoperasjoner som er inkludert i vedlegg 1.
    2. Behandlingsoperasjonene i vedlegg 1 som utføres for å tilby tjenestene, blir videre referert til som: " Behandlingsoperasjonene". Personopplysningene som behandles i denne forbindelse er: ' Personopplysningene'.
    3. Alle begreper i denne avtalen har betydningen gitt dem i GDPR.
    4. Hvis flere og andre personopplysninger behandles etter instruksjonene fra den behandlingsansvarlige eller hvis de behandles på annen måte enn beskrevet i denne klausulen, gjelder denne avtalen så mye som mulig også for disse behandlingsoperasjonene.
    5. Vedleggene er en del av denne avtalen. De består av:

Vedlegg 1 Behandlingsoperasjonene, Personopplysningene og oppbevaringsperioder;

  • Emne
    1. Den behandlingsansvarlige har og beholder full kontroll over personopplysningene. Hvis den behandlingsansvarlige ikke behandler personopplysningene selv ved å bruke systemene til behandleren, vil behandleren utelukkende behandle på grunnlag av skriftlige instruksjoner fra den behandlingsansvarlige, for eksempel når det gjelder personopplysninger som overføres til tredjeparter utenfor europeisk Union. Hovedavtalen anses som en generisk instruksjon i denne forbindelse.
    2. Behandlingsoperasjonene utføres kun i forbindelse med hovedavtalen. Behandleren skal ikke behandle personopplysninger annet enn det som er angitt i hovedavtalen. Spesielt skal behandleren ikke bruke personopplysningene til sine egne formål.
    3. Behandleren vil utføre behandlingsoperasjonene på en forsvarlig måte og med forsiktighet.
  • Sikkerhetstiltak
    1. Behandleren skal ta alle tekniske og organisatoriske sikkerhetstiltak som kreves av ham i henhold til GDPR, særlig i henhold til artikkel 32 GDPR.
    2. Behandleren skal sikre at personer, ikke begrenset til ansatte, som deltar i behandlingsoperasjoner hos behandleren, er forpliktet til å respektere konfidensialitet med hensyn til personopplysninger.
  • Databrudd og konsekvensanalyse av personvern
    1. Behandleren skal varsle den behandlingsansvarlige om ethvert brudd på personopplysninger som nevnt i artikkel 4 under 12 GDPR. Et slikt brudd blir heretter referert til som: et ' datainnbrudd '.
    2. Behandleren vil i god tid gi den behandlingsansvarlige all informasjonen han har i besittelse og som er nødvendig for å oppfylle forpliktelsene i artikkel 33 GDPR. Behandleren må for den saks skyld gi den respektive informasjonen så snart som mulig i et standardformat som skal bestemmes av behandleren. Dette innebærer at behandleren informerer den behandlingsansvarlige om et databrudd så snart som mulig hvis det er åpenbart at databruddet sannsynligvis vil medføre en risiko for fysiske personers rettigheter og friheter. Hvis det er åpenbart at et databrudd er usannsynlig i fare for fysiske personers rettigheter og friheter, har behandleren lov til å varsle den behandlingsansvarlige på et senere tidspunkt, forutsatt at varselet skjer uten unødig forsinkelse. Hvis det er grunn til å tvile på om databruddet sannsynligvis vil medføre en risiko for fysiske personers rettigheter og friheter, skal behandleren varsle den behandlingsansvarlige om databruddet så snart som mulig.
    3. Det er utelukkende opp til den behandlingsansvarlige å avgjøre om et databrudd som er etablert hos behandleren, skal rapporteres til den nederlandske myndigheten for personopplysninger og/eller den registrerte.
  • Engasjement av underprosessorer
    1. Ved utførelse av behandlingsoperasjonene har ikke behandleren rett til å engasjere en tredjepart som underprosessor uten forutgående samtykke fra den behandlingsansvarlige. Samtykke fra kontrolleren kan også knytte seg til en bestemt kategori av underprosessorer.
    2. Hvis den behandlingsansvarlige gir sitt samtykke, må behandleren sikre at den respektive tredjeparten inngår en avtale der han i det minste overholder de samme juridiske forpliktelsene og eventuelle tilleggsforpliktelser som de som behandleren har i henhold til denne avtalen.
    3. I tilfelle samtykket gjelder en bestemt type tredjepart, skal behandleren informere den behandlingsansvarlige om underprosessorene han har engasjert. Kontrolleren kan deretter protestere mot tillegg eller utskiftninger med hensyn til underprosessorene til prosessoren.
  • Taushetsplikt
    1. Behandleren vil holde personopplysningene konfidensielle. Behandleren sikrer at personopplysningene ikke direkte eller indirekte blir tilgjengelige for tredjeparter. Begrepet tredjeparter inkluderer også personellet til behandleren, for så vidt det ikke er nødvendig for dem å ta hensyn til personopplysningene. Dette forbudet gjelder ikke hvis bestemmelser om det motsatte er fastsatt i denne avtalen og/eller i den utstrekning en lovfestet forskrift eller dom krever offentliggjøring.
    2. Behandleren skal informere den behandlingsansvarlige om enhver forespørsel fra en annen part enn den registrerte om tilgang til, levering av eller annen form for å be om og formidle personopplysninger i strid med taushetsplikten i denne klausulen, med mindre behandleren er forbudt ved lov å gjør det. Ved forespørsler fra den registrerte skal behandleren videresende disse forespørslene til den behandlingsansvarlige, eller henvise den registrerte til den behandlingsansvarlige.
  • Oppbevaringsperioder og sletting
    1. Den behandlingsansvarlige er ansvarlig for å bestemme oppbevaringsperioder med hensyn til personopplysningene. I den utstrekning personopplysninger er under kontroll av kontrolleren (for eksempel i tilfelle hostingtjenester), sletter han dem selv innen rett tid.
    2. Ved opphør av hovedavtalen eller skal behandleren slette personopplysningene etter utløpet av oppbevaringsperioden nevnt i vedlegg 1 , etter kontrollerens skjønn, overføre dem til ham, med mindre personopplysningene må oppbevares lenger, slik som i forbindelse med prosessorens (lovfestede) forpliktelser, eller hvis den behandlingsansvarlige ber om at personopplysninger skal oppbevares lenger og behandleren og den behandlingsansvarlige kommer til enighet om kostnadene og de andre betingelsene for den lengre oppbevaringen, sistnevnte til tross for kontrollørens ansvar for å overholde lovbestemte oppbevaringsperioder. Enhver overføring til kontrolleren skjer på bekostning av kontrolleren.
    3. Hvis den behandlingsansvarlige ber om en konto og fjerning av data via den beskyttede påloggingen, skal behandleren slette personopplysningene innen tretti dager etter at forespørselen om konto og datafjerning, etter kontrollerens skjønn, overfører dem til ham, med mindre personopplysningene må beholdes lenger, for eksempel i forbindelse med de (lovfestede) forpliktelsene til behandleren, eller hvis den behandlingsansvarlige ber om at personopplysningene skal oppbevares lenger og behandleren og den behandlingsansvarlige kommer til enighet om kostnadene og de andre betingelsene for den lengre oppbevaringen , sistnevnte til tross for kontrollens ansvar for å overholde lovbestemte oppbevaringsperioder. Enhver overføring til kontrolleren skjer på bekostning av kontrolleren.
    4. Behandleren vil oppgi på forespørsel fra den behandlingsansvarlige at slettingen i forrige avsnitt har funnet sted. Kontrolleren kan få bekreftet for egen regning om dette faktisk fant sted. Klausul 10 i denne avtalen gjelder for denne verifiseringen. I den grad dette er nødvendig, skal behandleren informere alle underprosessorer som er involvert i behandling av personopplysningene om enhver oppsigelse av hovedavtalen, og vil instruere dem i å handle som angitt i den.
    5. Med mindre annet er avtalt av partene, vil kontrolleren selv ta seg av en sikkerhetskopi av personopplysningene.
  • Den registrertes rettigheter 
    1. Hvis den behandlingsansvarlige selv har tilgang til personopplysningene, skal han selv etterkomme alle forespørsler fra den registrerte om personopplysningene. Behandleren skal umiddelbart sende alle forespørsler mottatt av behandleren til kontrolleren.
    2. Bare hvis det som er ment i forrige avsnitt er umulig, vil behandleren samarbeide fullt ut og innen rimelig tid med kontrolleren for å:
    3. gi den registrerte tilgang til sine respektive personopplysninger etter godkjenning fra og etter instruksjonene fra den behandlingsansvarlige,
    4. fjerne eller korrigere personopplysninger,
    5. demonstrere at personopplysninger er fjernet eller korrigert hvis de er feil (eller, i tilfelle den behandlingsansvarlige ikke godtar at personopplysningene er uriktige, for å registrere det faktum at den registrerte anser at personopplysningene hans er feil)
    6. gi den behandlingsansvarlige eller tredjeparten oppnevnt av kontrolløren de respektive personopplysningene i en strukturert, vanlig og maskinlesbar form og
    7. gjøre den behandlingsansvarlige på annen måte i stand til å overholde sine forpliktelser i henhold til GDPR eller annen gjeldende lovgivning innen behandling av personopplysninger.
    8. Kostnadene og kravene som stilles til samarbeidet nevnt i forrige avsnitt , bestemmes i fellesskap av partene. Uten noen avtaler i denne forbindelse vil kostnadene bæres av kontrolleren.
  • Byrde
    1. Den behandlingsansvarlige er for eksempel ansvarlig og på den kontoen er han fullt ansvarlig for (det fastsatte formålet med) behandlingsoperasjonene, bruk og innhold av personopplysningene, bestemmelsen til tredjeparter, varigheten av lagringen av personopplysningene, behandlingsmåten og midlene som brukes for dette formål.
    2. Behandleren er ansvarlig overfor den behandlingsansvarlige i henhold til hovedavtalen. Bekreftelse
      1. Kontrolleren har rett til å verifisere overholdelsen av bestemmelsene i denne avtalen en gang hvert år for egen regning eller få dem bekreftet av en uavhengig registrert revisor eller registrert informatiker.
      2. Behandleren skal gi den behandlingsansvarlige all informasjon som er nødvendig for å demonstrere at forpliktelsene i artikkel 28 GDPR er overholdt. Hvis tredjeparten som er engasjert av den behandlingsansvarlige gir en instruksjon som etter behandlingens mening utgjør et brudd på GDPR, vil behandleren umiddelbart informere kontrolløren om dette.
      3. Etterforskningen av kontrolleren vil alltid være begrenset til systemene til prosessoren som brukes til behandlingsoperasjonene. Informasjonen innhentet under verifiseringen skal behandles konfidensielt av den behandlingsansvarlige og bare brukes til å verifisere at behandleren overholder forpliktelsene i henhold til denne avtalen, og informasjonen eller deler av den vil bli slettet så snart som mulig. Kontrolleren garanterer at eventuelle engasjerte tredjeparter også vil påta seg disse forpliktelsene.
    3. Andre bestemmelser
      1. Eventuelle endringer i denne avtalen er bare gyldige hvis de er blitt enige om skriftlig.
      2. Partene vil tilpasse denne avtalen til eventuelle endrede eller supplerte forskrifter, tilleggsinstruksjoner fra relevante myndigheter og økende innsikt i anvendelsen av GDPR (for eksempel ved, men ikke begrenset til, rettspraksis eller rapporter), innføring av standardbestemmelser og /eller andre hendelser eller innsikt som krever slik justering.
      3. Denne avtalen er gjeldende så lenge hovedavtalen er effektiv. Bestemmelsene i denne avtalen gjelder fortsatt i den utstrekning dette er nødvendig for oppgjøret av denne avtalen og i den utstrekning de er ment å overleve oppsigelsen av denne avtalen. Den siste kategorien av bestemmelser inkluderer, men uten begrensning, bestemmelsene om konfidensialitet og tvister.
      4. Denne avtalen har forrang for alle andre avtaler mellom den behandlingsansvarlige og behandleren.
      5. Denne avtalen er utelukkende underlagt nederlandsk lov.
      6. Partene vil utelukkende sende sine tvister i forbindelse med denne avtalen til tingretten i Amsterdam.

Vedlegg 1

Behandling av personopplysninger og oppbevaringsperioder

Dette vedlegget er en del av behandlingsavtalen og må paraferes av partene.

  • Personopplysningene som partene forventer å behandle:
    • Navn
    • Epostadresse
    • Kroppsdata for DMARC rettsmedisinske data (RUF, ikke DMARC -kompatible e -poster)
  • Bruk (= behandlingsmetode (r)) av personopplysningene og formålene med og ressursene for behandlingen:
    • PowerDMARC behandler de innkommende DMARC -rapportene. Innenfor DMARC -spesifikasjonen er det to typer rapporter:
      • Samlede rapporter
         Disse rapportene inneholder data om antall meldinger som sendes for domenet ditt for en bestemt IP -adresse daglig, inkludert resultatene av SPF- og DKIM -kontrollene for disse meldingene. Samlede rapporter inneholder ikke personopplysninger.
      • Rettsmedisinske rapporter
        De rettsmedisinske rapportene sendes av et begrenset antall avsendere av DMARC-rapporter. Dette er kopier av spesifikke meldinger som ikke bestod DMARC-kontrollene. Innholdet i disse meldingene kan inneholde personlig identifiserbar informasjon (PII). PowerDMARC tilbyr flere metoder for lagring av disse meldingene:

        • Standard: Som standard fjernes meldingsdelen og bare overskriftene lagres
        • Kryptert: Klienten kan laste opp en offentlig PGP -nøkkel i PowerDMARC -programvaren. Hele innkommende meldinger blir kryptert med denne nøkkelen. Klienten kan dekryptere dataene ved hjelp av sin private nøkkel og passord.
        • Ukryptert: Etter spesifikk bekreftelse og aksept av PowerDMARC som databehandler, vil klienten kunne lagre hele meldingsteksten ukryptert i PowerDMARC -programvaren.

Vilkårene for bruk og oppbevaringsperioder for (forskjellige typer) personopplysninger:

  • Lisens: Alle lisenser unntatt grunnleggende gratisversjon
  • Datalagring: 365 dager