Avtal om databehandling

Version 2.1.0

Parterna:

  • Den registrerade organisationen som registrerade sig för PowerDMARC, längre hiti kallad "Controller".

Och

  •  MENAINFOSEC, Inc med säte och huvudsakligt säte i Delaware, Förenta staterna, häri kallad "Processor ";

Förord:

  1. Den registeransvarige har ingått ett eller flera avtal med processorn för att processorn ska tillhandahålla olika tjänster till den registeransvarige eller ingå ett sådant avtal. Detta avtal eller dessa avtal är/är vidare häri som kallas "huvudavtalet ".
  2. Vid utförandet av huvudavtalet kommer behandlaren data som den registeransvarige är och förblir ansvarig för. Dessa uppgifter omfattar personuppgifter i den mening som anges i den allmänna dataskyddsförordningen (EU 2016/679), längre fram i "GDPR".
  3. Med beaktande av bestämmelserna i artikel 28.3 i GDPRvill parterna i detta avtal fastställa på vilka villkor dessa personuppgifter ska behandlas.

Överenskommelse:

  • Omfattning
    1. Detta avtal är tillämpligt i den mån en eller flera behandlingar utförs som ingår i bilaga 1 när tjänsterna enligt huvudavtalet utförs.
    2. De behandlingar i bilaga 1som utförs vid tillhandahållandet av tjänsterna kallas vidare häri : "Förädlingsoperationerna ". De personuppgifter som behandlas i detta sammanhang är:" Personuppgifterna".
    3. Alla begrepp i detta avtal har den betydelse som ges dem i GDPR.
    4. Om fler och andra personuppgifter behandlas på den registeransvariges instruktioner eller om de behandlas på annat sätt än vad som beskrivs i denna klausul, gäller detta avtal så mycket som möjligt även för dessa behandlingsoperationer.
    5. Bilagorna ingår i detta avtal. De består av:

Bilaga 1 Behandling, personuppgifter och lagringsperioder.

  • Subjekt
    1. Den registeransvarige har och behåller full kontroll över personuppgifterna. Om den registeransvarige inte behandlar personuppgifterna själv med hjälp av personuppgiftsbiträdets system kommer personuppgiftsbiträdet uteslutande att behandla på grundval av skriftliga instruktioner från den registeransvarige, till exempel när det gäller personuppgifter som överförs till tredje part utanför EUROPEISKA unionen. Huvudavtalet betraktas som en allmän instruktion i detta sammanhang.
    2. Behandlingarna utförs endast i samband med huvudavtalet. Personuppgiftsbiträdet får inte behandla personuppgifter annat än vad som föreskrivs i huvudavtalet. I synnerhet får personuppgiftsbiträdet inte använda personuppgifterna för sina egna ändamål.
    3. Processorn utför bearbetningsoperationerna på ett korrekt sätt och med vederbörlig omsorg.
  • Säkerhetsåtgärder
    1. Personuppgiftsbiträdet ska vidta alla tekniska och organisatoriska säkerhetsåtgärder som krävs av honom enligt GDPR och särskilt i enlighet med artikel 32 i GDPR.
    2. Personuppgiftsbiträdet ska se till att personer, inte begränsade till anställda, som deltar i behandlingen hos Personuppgiftsbiträdet är skyldiga att iaktta konfidentialitet med avseende på personuppgifter.
  • Dataintrång & konsekvensanalys av sekretess
    1. Personuppgiftsbiträdet ska underrätta den registeransvarige om eventuella "personuppgiftsbrott" enligt artikel 4 under 12 GDPR. En sådan överträdelse kallas nedan: ett "dataintrång".
    2. Personuppgiftsbiträdet kommer att ge den registeransvarige i god tid all information som han har i sin ägo och som är nödvändig för att uppfylla skyldigheterna i artikel 33 GDPR. För den delen måste bearbetningsföretaget tillhandahålla respektive information så snart som möjligt i ett standardformat som ska bestämmas av bearbetningsföretaget. Detta innebär att personuppgiftsbiträdet informerar den registeransvarige om ett dataintrång så snart som möjligt om det är uppenbart att dataöverträdelsen sannolikt kommer att leda till en risk för fysiska personers rättigheter och friheter. Om det är uppenbart att ett dataintrång är osannolikt i en risk för fysiska personers rättigheter och friheter får personuppgiftsbiträdet meddela den registeransvarige vid ett senare tillfälle, förutsatt att anmälan sker utan onödigt dröjsmål. Om det finns anledning att betvivlar om dataöverträdelsen sannolikt kommer att leda till en risk för fysiska personers rättigheter och friheter, ska personuppgiftsbiträdet meddela personuppgiftsansvarig för dataöverträdelsen så snart som möjligt.
    3. Det är uteslutande upp till den registeransvarige att avgöra om ett dataintrång som upprättats hos personuppgiftsbiträdet ska rapporteras till den nederländska myndigheten för personuppgifter och/eller till den registrerade.
  • Engagemang av underprocessorer
    1. Vid utförandet av behandlingen har behandlaren inte rätt att anlita en tredje part som underbiträde utan föregående samtycke från den registeransvarige. Den registeransvariges samtycke kan också gälla en viss kategori av underprocessorer.
    2. Om den registeransvarige ger sitt samtycke måste bearbetningsföretaget se till att respektive tredje part ingår ett avtal där han åtminstone uppfyller samma rättsliga skyldigheter och eventuella ytterligare skyldigheter som bearbetningsföretaget har enligt detta avtal.
    3. Om samtycket avser en viss typ av tredje part ska bearbetningsföretaget informera registeransvarige om de underbiträden som han anlitar. Styrenheten kan sedan invända mot tillägg eller utbyten när det gäller processorns underprocessorer.
  • Tystnadsplikt
    1. Personuppgiftsbiträdet kommer att hålla personuppgifterna konfidentiella. Personuppgiftsbiträdet säkerställer att personuppgifterna inte direkt eller indirekt blir tillgängliga för tredje part. Termen tredje part inkluderar också personuppgiftsbiträdet, i den mån det inte är nödvändigt för dem att notera personuppgifterna. Detta förbud gäller inte om bestämmelser om motsatsen fastställs i detta avtal och/eller i den mån en lagstadgad förordning eller dom kräver utlämnande.
    2. Personuppgiftsbiträdet ska informera den registeransvarige om alla förfrågningar från en annan part än den registrerade om tillgång till, tillhandahållande av eller annan form av begäran och kommunikation av personuppgifter i strid med den tystnadsplikt som ingår i denna klausul, såvida inte personuppgiftsbiträdet enligt lag är förbjudet att göra det. Vid begäran av den registrerade ska personuppgiftsbiträdet vidarebefordra dessa förfrågningar till den registeransvarige eller hänvisa den registrerade till den registeransvarige.
  • Kvarhållningsperioder och radering
    1. Den registeransvarige ansvarar för att fastställa lagringsperioderna med avseende på personuppgifterna. I den mån personuppgifterna är under kontroll av den registeransvarige (t.ex. i händelse av värdtjänster) kommer han själv att radera dem inom rätt tid.
    2. Vid uppsägning av huvudavtalet eller, Personuppgiftsbiträdet ska radera personuppgifterna efter utgången av den lagringsperiod som anges i bilaga 1, efterden registeransvariges gottfinnande, överföra dem till honom, såvida inte personuppgifterna måste behållas längre, till exempel i samband med den registeransvariges (lagstadgade) skyldigheter, eller om den registeransvarige begär att personuppgifterna ska behållas längre och registerföraren kommer överens om kostnaderna och de andra villkoren för den längre lagringen, den senare trots den registeransvariges ansvar att följa de lagstadgade lagringsperioderna. All överföring till styrenheten sker på bekostnad av styrenheten.
    3. Om den registeransvarige begär ett konto och databorttagning via den skyddade inloggningen ska Personuppgiftsbiträdet radera personuppgifterna inom trettio dagar efter det att den registeransvarige har begärt att få ta emot konton och databorttagning, såvida inte personuppgifterna måste behållas längre, till exempel i samband med personuppgiftsbiträdets (lagstadgade) skyldigheter, eller om den registeransvarige begär att personuppgifter ska behållas längre och registerföraren och den registeransvarige kommer överens om kostnaderna och de andra villkoren för den längre lagringen, den senare trots den registeransvariges ansvar att iaktta de lagstadgade lagringsperioderna. All överföring till styrenheten sker på bekostnad av styrenheten.
    4. Processorn uppger på begäran av styrenheten att den borttagning som avses i föregående stycke har ägt rum. Kontrollanten kan få det verifierat på egen bekostnad om detta verkligen ägde rum. Klausul 10i detta avtal är tillämplig på den kontrollen. I den mån detta är nödvändigt ska personuppgiftsbiträdet informera alla underbiträden som är involverade i behandlingen av personuppgifterna om eventuella uppsägningar av huvudavtalet och instruera dem att agera i enlighet med vad som föreskrivs i det.
    5. Om inte annat överenskommits av parterna kommer den registeransvarige själv att ta hand om en säkerhetskopia av personuppgifterna.
  • Den registrerades rättigheter 
    1. Om den registeransvarige själv har tillgång till personuppgifterna ska han själv följa alla förfrågningar från den registrerade som rör personuppgifterna. Bearbetningsföretaget ska omedelbart vidarebefordra alla förfrågningar som bearbetningsföretaget mottagit till den registeransvarige.
    2. Endast om det som har avsetts i föregående stycke är omöjligt kommer bearbetningsföretaget att samarbeta fullt ut och i god tid med den registeransvarige för att
    3. ge den registrerade tillgång till sina respektive personuppgifter efter godkännande från och på den registeransvariges instruktioner,
    4. ta bort eller korrigera personuppgifter,
    5. visa att personuppgifter har tagits bort eller korrigerats om de är felaktiga (eller, om den registeransvarige inte samtycker till att personuppgifterna är felaktiga, för att registrera det faktum att den registrerade anser att hans personuppgifter är felaktiga)
    6. tillhandahålla den registeransvarige eller den tredje part som utsetts av den registeransvarige med respektive personuppgifter i en strukturerad, vanlig och maskinläsbar form och
    7. göra det möjligt för den registeransvarige att på annat sätt uppfylla sina skyldigheter enligt GDPR eller annan tillämplig lagstiftning på området för behandling av personuppgifter.
    8. Kostnaderna för och kraven på det samarbete som avses i föregående punktfastställs gemensamt av parterna. Utan några avtal i detta avseende kommer kostnaderna att bäras av den registeransvarige.
  • Ansvar
    1. Den Registeransvarige är till exempel ansvarig och på det kontot är han fullt ansvarig för (det föreskrivna syftet med) behandlingen, användningen och innehållet i personuppgifterna, bestämmelsen till tredje part, varaktigheten av lagringen av personuppgifterna, sättet att behandla och de medel som tillämpas i detta syfte.
    2. Bearbetningsföretaget är ansvarigt gentemot den registeransvarige i enlighet med huvudavtalet. Kontroll
      1. Den registeransvarige har rätt att kontrollera att bestämmelserna i detta avtal följs en gång om året på egen bekostnad eller att få dem verifierade av en oberoende registrerad revisor eller registrerad informatikproffs.
      2. Personuppgiftsbiträdet ska förse den registeransvarige med all information som är nödvändig för att visa att skyldigheterna i artikel 28 i denallmänna dataskyddsförordningen har uppfyllts. Om den tredje part som anlitas av den registeransvarige ger en instruktion som enligt personuppgiftsbiträdet utgör en överträdelse av GDPR, kommer personuppgiftsbiträdet att informera den registeransvarige om detta omedelbart.
      3. Undersökningen av den registeransvarige kommer alltid att begränsas till systemen för processorn som används för bearbetningsoperationerna. Den information som erhålls under kontrollen ska behandlas konfidentiellt av den registeransvarige och endast användas för att kontrollera att bearbetningsföretaget uppfyller skyldigheterna enligt detta avtal och informationen eller delarna av det kommer att raderas så snart som möjligt. Den registeransvarige garanterar att alla tredje parter som anlitas också kommer att åta sig dessa skyldigheter.
    3. Andra bestämmelser
      1. Eventuella ändringar av detta avtal är endast giltiga om parterna skriftligen har kommit överens om dem.
      2. Parterna kommer att anpassa detta avtal till ändrade eller kompletterade förordningar, kompletterande instruktioner från relevanta myndigheter och ökad insikt i tillämpningen av GDPR (t.ex. genom, men inte begränsat till, rättspraxis eller rapporter), införande av standardbestämmelser och/eller andra händelser eller insikter som kräver sådan justering.
      3. Detta avtal träder i kraft så länge huvudavtalet träder i kraft. Bestämmelserna i detta avtal är fortfarande i kraft i den mån detta är nödvändigt för att lösa detta avtal och i den mån de är avsedda att överleva uppsägningen av detta avtal. Den sista kategorin av bestämmelser omfattar, men utan begränsning, bestämmelserna om konfidentialitet och tvister.
      4. Detta avtal gäller för alla andra avtal mellan den registeransvarige och personuppgiftsbiträdet.
      5. Detta avtal regleras uteslutande av nederländsk lag.
      6. Parterna kommer uteslutande att lämna in sina tvister i samband med detta avtal till Amsterdams distriktsdomstol.

Bilaga 1

Behandling av personuppgifter och lagringsperioder

Denna bilaga utgör en del av beredningsavtalet och måste paraferas av parterna.

  • De personuppgifter som parterna förväntar sig att behandla:
    • Namn
    • E-postadress
    • Kroppsdata för DMARC-kriminaltekniska data (RUF, icke DMARC-kompatibla e-postmeddelanden)
  • Användningen (= behandlingsmetoderna) av personuppgifterna och ändamålen med och resurserna för behandlingen:
    • PowerDMARC bearbetar inkommande DMARC-rapporter. Inom DMARC-specifikationen finns det två typer av rapporter:
      • Aggregerade rapporter
        Dessa rapporter innehåller data om antalet meddelanden som skickas för din domän/dina domäner för en viss IP-adress dagligen, inklusive resultaten av SPF- och DKIM-kontrollerna för dessa meddelanden. Aggregerade rapporter innehåller inga personuppgifter.
      • Rättsmedicinska rapporter
        De kriminaltekniska rapporterna skickas av ett begränsat antal DMARC-rapportavsändare. Det är kopior av specifika meddelanden som inte klarade DMARC-kontrollerna. Innehållet i dessa meddelanden kan innehålla personligt identifierbar information (PII). PowerDMARC erbjuder flera metoder för att lagra dessa meddelanden:

        • Standard: Som standard tas meddelandetexten bort och endast rubrikerna lagras
        • Krypterad: Klienten kan ladda upp en offentlig PGP-nyckel i PowerDMARC-programvaran. Hela inkommande meddelanden krypteras med den här nyckeln. Klienten kan dekryptera data med sin privata nyckel och lösenord.
        • Okrypterad: Efter specifik bekräftelse och godkännande av PowerDMARC som dataprocessor kommer klienten att kunna lagra hela meddelandetexten okrypterad i PowerDMARC-programvaran.

Användar- och lagringsperioderna för (olika typer av) personuppgifter:

  • Licens: Alla licenser utom grundläggande gratisversion
  • Lagring av uppgifter: 365 dagar