Databehandlingsavtal

Senast uppdaterad 14 januari 2025

Detta databehandlingsavtal (“DPA”) regleras av och bifogas härmed huvudavtalet för tjänster, användarvillkoren eller något annat avtal (“Avtal”) som utförs av och mellan Encryption Consulting LLC (”Encryption Consulting"), och du, en kund, användare eller individ (“Kund”). Krypteringskonsulttjänster och Kunden ska var för sig benämnas ”parti” och tillsammans som ”parter".

Alla termer med versaler som inte definieras häri ska ha den betydelse som anges i avtalet.

EMEDANEncryption Consulting är en ledande leverantör av kryptografiska tjänster och produkter som hjälper organisationer att säkra identiteter, skydda data och bygga digitalt förtroende.Krypteringskonsulting”), allt enligt vad som överenskommits mellan parterna i tillämplig beställningsblankett eller andra beställningsdokument som ingår i avtalet (gemensamt kallade ”tjänster)”);

EMEDAN, kan Tjänsterna kräva att Encryption Consulting behandlar personuppgifter (enligt definitionen nedan) för Kundens räkning, vilka Kunden endast lämnar ut till Encryption Consulting för de begränsade och specificerade ändamål som anges häri, och i enlighet med villkoren i detta DPA; och

EMEDAN, parterna önskar komplettera detta dataskyddsavtal för att uppnå överensstämmelse med dataskyddslagar i Storbritannien, EU, Schweiz, USA och andra länder och är överens om följande:

DEFINITIONER

• "Lämpligt land” är ett land som har mottagit ett beslut om adekvat skyddsnivå från Europeiska kommissionen eller annan tillämplig dataskyddsmyndighet.
• Villkoren "företag","Affärssyfte" "Konsument", "Regulator","registrerade","Personuppgifter","Personuppgiftsintrång", "Bearbetning” (och ”Behandla"), "Processorn","Hållare" ”Känsliga uppgifter”, ”Tjänsteleverantör”, ”Försäljning” (eller ”Sälj”) och ”Dela”, "Särskilda kategorier av personuppgifter"Och"Tillsynsmyndighet”, ska alla ha samma betydelse som de tillskrivs enligt tillämpliga dataskyddslagar. Vidare, enligt detta dataskyddsavtal ”registrerade” ska också betyda och hänvisa till en ”konsumenten"Och"Personuppgifter” ska även betyda och hänvisa till ”Personlig information", och"Särskilda kategorier av data"Eller"Mycket känsliga uppgifter” ska även betyda och hänvisa till ”Känslig data".
• "kund~~POS=TRUNC data~~POS=HEADCOMP”avser Kunddata (enligt definitionen i Avtalet) och alla Personuppgifter som behandlas av Encryption Consulting i samband med tillhandahållandet av sina Tjänster till Kunden, allt enligt beskrivningen i Bilaga I bifogad häri.
• "Ramverk för dataskydd” eller ”DPF” avser EU-US Data Privacy Framework och den brittiska utvidgningen av EU-US Data Privacy Framework som drivs av US Department of Commerce, drivs av US Department of Commerce; i dess ändrade, ersatta eller utvidgade form.
• "Principer för ramverket för dataskydd” avser principerna och kompletterande principerna i det relevanta ramverket för dataskydd som finns tillgängligt på: Deltagandekrav Principer för ramverket för dataskydd (DPF) som kan komma att ändras, ersättas eller ersättas.
• "Lag om dataskydd” avser alla tillämpliga lagar och förordningar om integritet och dataskydd (inklusive, i tillämpliga fall, EU:s dataskyddslag, brittisk dataskyddslag, schweizisk dataskyddslag och amerikansk dataskyddslag, i dess lydelse eller ersättning från tid till annan).
• "EES” betyder Europeiska ekonomiska samarbetsområdet.
• "Europeiska dataskyddslagar” avser gemensamt lagar och förordningar i Europeiska unionen, EES, deras medlemsstater och Storbritannien, som gäller för behandling av personuppgifter, inklusive (i förekommande fall):
  • (i) EU:s allmänna dataskyddsförordning (förordning 2016/679) (”EU: s BNP”); Förordning 2018/1725; och e-integritetsdirektivet (direktiv 2002/58/EG), i dess ändrade lydelse (e-integritetslag);
  • (ii) "Brittiska dataskyddslagar” – dataskyddslagen 2018 (DPA 2018), i dess ändrade lydelse, och EU:s GDPR införlivad i brittisk lag i dess ändrade lydelse (“Storbritannien GDPR” och gemensamt med EU:s GDPR ska häri kallas för ”GDPR');
  • (iii) "Schweiziska dataskyddslagar”Eller”FADP” – den schweiziska federala dataskyddslagen (daterad 19 juni 1992, från och med 1 mars 2019) (“FDPA“) och förordningen om den federala dataskyddslagen (“FODP');
  • (iv) Eventuella nationella dataskyddslagar som utfärdats enligt, i enlighet med, ersätter eller efterträder EU:s GDPR eller e-integritetslagen;
  • (v) Eventuella ändringar eller lagstiftning som ersätter eller uppdaterar något av det föregående; och
  • (vi) Varje rättslig eller administrativ tolkning av något av ovanstående, inklusive varje bindande rättslig eller administrativ tolkning av något av ovanstående, eller godkända certifieringsmekanismer utfärdade av någon relevant tillsynsmyndighet.
• "Instruktioner”avser de skriftliga, dokumenterade instruktioner som utfärdas av Kunden till Encryption Consulting som instruerar Encryption Consulting att utföra en specifik eller allmän åtgärd avseende Kunddata (inklusive, men inte begränsat till, instruktioner att tillhandahålla Tjänsterna enligt Avtalet och instruktioner enligt detta DPA).
• "Säkerhetshändelse” avser all oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt avslöjande av eller åtkomst till kunddata. Varje personuppgiftsintrång utgör en säkerhetsincident.
• "Standardavtalsklausuler"Eller"SCC:er" betyder
  • (i) Standardavtalsklausulerna för överföring av personuppgifter till tredjeländer i enlighet med Europaparlamentets och rådets förordning (EU) 2016/679, antagen genom Europeiska kommissionens beslut 2021/914 av den 4 juni 2021, vilka kan återfinnas här.,
  • (ii) Det brittiska ”Tillägget till Europeiska kommissionens standardavtalsklausuler om internationell dataöverföring” finns tillgängligt på: Tillägg för internationell dataöverföring och införlivas häri genom hänvisning (”UK SCC”); eller
  • (iii) Tillämpliga standardklausuler för dataskydd som utfärdats, godkänts eller erkänts av den schweiziska federala dataskydds- och informationskommissionären (”Swiss SCC”).
• "Amerikanska dataskyddslagar”avser alla amerikanska federala och statliga sekretesslagar och -förordningar som gäller från och med ikraftträdandet av detta dataskyddsavtal och gäller för krypteringskonsultation, behandling av kunddata, och alla implementeringsförordningar och ändringar därav, inklusive men inte begränsat till,
  • (i) Kaliforniens konsumentskyddslag (Cal. Civ. Code §§ 1798.100 – 1798.199) från 2018, inklusive ändrad genom Kaliforniens lag om integritetsskydd samt alla bestämmelser som utfärdats enligt denna från tid till annan (“CCPA”),
  • (ii) Colorados integritetslag CRSA § 6-1-1301 ff. (SB 21-190) (“CPA“), Den
  • (iii) Connecticuts dataskyddslag, SB 6 (Connecticut 2022) (“CTDPA');
  • (iv) Floridas digitala rättighetsförklaring SB 262 (“FDBR');
  • (v) Montanas konsumentdataskyddslag, 68:e lagstiftande församlingen 2023, SB 0384 (“MTCDPA');
  • (vi) Oregons konsumentdataskyddslag ORS 646A.570-646A.589 (“OCDPA');
  • (vii) Texas lag om dataskydd och säkerhet, Tex. Bus. & Com. Code Ann. § 541.001 ff. (“TDPSA');
  • (viii) Utahs konsumentskyddslag, Utah Code Ann. § 13-61-101 ff. (“UCPA');
  • (ix) Washingtonlagen ”My Health My Data”, Wash. Rev. Code § 19.373.005 ff., och Nev. Rev. Stat. § 603A, ändrad genom Nevada SB 370 (tillsammans kallad ”Washingtons och Nevadas lagar om konsumenters hälsodata"); och
  • (x) Virginias konsumentdataskyddslag, Va. Code Ann. § 59.1-575 ff. (SB 1392) (“VCDPA"). Alla ändringar eller ersättningar från tid till annan, inklusive eventuella tillämpningsföreskrifter och ändringar därav.

Alla andra termer som inte definieras häri ska ha den betydelse som anges i Avtalet eller tillämpliga dataskyddslagar. En hänvisning till någon term eller paragraf i dataskyddslagarna avser den ändrade versionen. Alla hänvisningar till GDPR i detta dataskyddsavtal ska avse GDPR eller Storbritanniens GDPR beroende på tillämplig lag.

ROLLER OCH DETALJER FÖR BEHANDLING

• Parterna är överens om och bekräftar att Encryption Consulting, i enlighet med fullgörandet av sina skyldigheter som anges i Avtalet, och med avseende på Behandling av Kunddata, och i enlighet med tillämpliga dataskyddslagar, agerar som Databehandlare och Kunden agerar som Datakontrollant.
• Varje part ska vara individuellt och separat ansvarig för att uppfylla de skyldigheter som gäller för sådan part enligt tillämplig dataskyddslag. Kunden ska vara ensamt ansvarig för att säkerställa att dess instruktioner är förenliga med tillämplig dataskyddslag och möjliggör en laglig behandling av kunduppgifter, inklusive genom att inhämta eventuellt erforderligt samtycke och tillhandahålla eventuella upplysningar enligt tillämplig dataskyddslag.
• Föremålet för och varaktigheten av den behandling som utförs av personuppgiftsbehandlaren för den personuppgiftsansvariges räkning, behandlingens art och syfte, typen av personuppgifter och kategorierna av registrerade beskrivs i Bilaga I bifogad härmed.
• Om känsliga uppgifter eller särskilda kategorier av personuppgifter eller mycket känsliga uppgifter behandlas (enligt definitionen i dataskyddslagar), inklusive information som utgör "konsumenthälsouppgifter" enligt CTDPA eller Washington och Nevadas konsumenthälsodatalagar eller information som utgör "skyddad hälsoinformation" enligt Health Insurance Portability and Accountability Act från 1996, 5 USC § 553 et seq., tillsammans med eventuell ändringslagstiftning och eventuella förordningar som utfärdats enligt denna, eller personuppgifter som av amerikanska tillsynsmyndigheter anses förtjäna känslig behandling enligt amerikanska dataskyddslagar eller amerikanska delstats- eller federala konsumentskyddslagar, såsom finansiell information, demografisk information, kreditvärdighet etc., är det Kundens ansvar att informera Encryption Consulting om sådan behandling och säkerställa att ytterligare avtalsenliga skyldigheter uppfylls, om det behövs och är tillämpligt. För att undvika tvivel övervakar och granskar Encryption Consulting inte kunduppgifter som behandlas i enlighet med detta dataskyddslag och är eventuellt inte medvetna om någon känslighet i kunduppgifterna.

FÖRARBETE AV PERSONUPPGIFTER

• Encryption Consulting försäkrar och garanterar att de ska Behandla Kunddata, för Kundens räkning, enbart i syfte att tillhandahålla Tjänsten, allt i enlighet med Kundens skriftliga instruktioner enligt Avtalet och detta DPA. Utan hinder av ovanstående, i händelse av att Encryption Consulting är skyldigt enligt tillämplig lag, inklusive dataskyddslag eller någon facklig eller medlemsstatsförordning, att Behandla Kunddata på annat sätt än enligt Kundens instruktioner, ska Encryption Consulting göra rimliga ansträngningar för att informera Kunden om ett sådant krav innan Behandling av sådana Kunddata sker, såvida det inte är förbjudet enligt tillämplig lag.
• Encryption Consulting intygar härmed att de förstår reglerna, kraven och definitionerna enligt tillämpliga dataskyddslagar och att de inte ska:
  • (i) Sälja eller dela kunddata;
  • (ii) Lagra, använda eller lämna ut Kunduppgifterna för något annat ändamål än för ett affärssyfte som anges i Avtalet;
  • (iii) Ta emot eller behandla personuppgifter som ersättning för tjänster som tillhandahålls kunden; eller
  • (iv) Kombinera kunduppgifterna med andra personuppgifter som den tar emot från, eller på uppdrag av, en annan kund.
• Encryption Consulting ska följa de krav som anges i tillämplig dataskyddslag avseende behandling av avidentifierade uppgifter.
• Encryption Consulting ska utan onödigt dröjsmål informera Kunden om den, efter eget gottfinnande, anser att någon av Kundens instruktioner bryter mot tillämplig lag. I sådant fall har Encryption Consulting rätt att omedelbart avbryta eller upphöra med all Behandling relaterad till den intrångsgörande instruktionen.
• Encryption Consulting ska meddela Kunden om de fastställer att de inte längre kan uppfylla sina skyldigheter enligt detta DPA eller tillämplig dataskyddslag.
• Encryption Consulting ska i rimlig utsträckning samarbeta och bistå Kunden för att säkerställa att Kunden uppfyller sin skyldighet att genomföra konsekvensbedömningar avseende dataskydd och föregående samråd med tillsynsmyndigheter eller andra behöriga dataskyddsmyndigheter i den utsträckning det krävs enligt tillämplig dataskyddslag (inklusive konsekvensbedömningar avseende dataskydd och samråd med tillsynsmyndigheter), förutsatt att Encryption Consulting endast ska vara skyldigt att bistå i fråga om information som är rimligen tillgänglig för Kunden.
• I tillämpliga fall ska Encryption Consulting bistå Kunden med att säkerställa att Kunddata som Behandlas är korrekta och aktuella, genom att utan dröjsmål informera Kunden om Kunden blir medveten om att de Kunddata som Behandlas är felaktiga eller har blivit föråldrade.
• Krypteringskonsulttjänster ska säkerställa:
  • (i) Tillförlitligheten hos dess personal och alla andra personer som agerar under dess överinseende och som kan komma i kontakt med, eller på annat sätt ha tillgång till och behandla kunddata; och
  • (ii) Att personer som är behöriga att behandla kunduppgifterna har förbundit sig att tillämpa sekretess eller har en lämplig lagstadgad skyldighet att tillämpa sekretess.

REGISTRERADE RÄTTIGHETER OCH RÄTTSLIG BEGÄRAN

• Det är överenskommet att om Encryption Consulting tar emot en begäran från en registrerad om att utöva en registrerad persons rättigheter eller en tillämplig myndighet avseende kunddata, ska Encryption Consulting, i förekommande fall, meddela Kunden om en sådan begäran omedelbart och hänvisa den registrerade person eller tillämplig myndighet till Kunden för att Kunden ska kunna svara direkt på den registrerades eller tillämplig myndighets begäran, såvida inte annat krävs enligt tillämplig lag.
• Parterna ska ge varandra kommersiellt rimligt samarbete och bistånd i samband med hanteringen av och svaret på den registrerades eller tillämplig myndighets begäran, i den utsträckning det är tillåtet enligt dataskyddslagen, inklusive sådan begäran enligt dataskyddsramverket. Encryption Consulting ska ge Kunden det samarbete och den bistånd som nämns ovan, förutsatt att Kunden inte rimligen kan fullgöra sådana skyldigheter självständigt med hjälp av information som finns tillgänglig i dokumentationen, webbplatsen eller någon annan självbetjäningsfunktion som tillhandahålls av Encryption Consulting.

DELBEHANDLING

• Kunden ger Encryption Consulting ett generellt tillstånd att anlita tredjeparts databehandlare (“Underbiträde”) för att behandla kunddata. Kunden ger uttryckligen Encryption Consulting tillstånd att anlita och utse sådana underbiträden som anges i Bilaga III, för att behandla kunddata, samt tillåter varje underbiträde att utse ett underbiträde för sin räkning.
• Encryption Consulting kan anlita ytterligare eller ersätta befintliga underbiträden för att behandla kunddata, förutsatt att kunden meddelas trettio (30) dagar i förväg om sin avsikt att göra det (ett sådant meddelande kan lämnas via kundkontot eller via e-postkorrespondens) (“meddelande "Och"Uppsägningstid” respektive). Om Kunden inte har invänt mot tillägg eller ersättning av en Underbiträde inom Uppsägningsperioden, ska sådan Underbiträde anses godkänd av Kunden. Om Kunden invänder mot tillägg eller ersättning av en Underbiträde, inom sådan Uppsägningstid, kan Encryption Consulting, efter Encryption Consultings eget gottfinnande, föreslå att en annan Underbiträde anlitas för samma tjänsteutbud, eller på annat sätt göra det möjligt för Kunden att säga upp Avtalet om Tjänsterna inte rimligen kan tillhandahållas under sådana omständigheter, utan ansvar gentemot Kunden.
• Encryption Consulting ska, i de fall då Encryption Consulting anlitar en Underbiträde, genom ett rättsligt bindande avtal mellan Encryption Consulting och Underbiträdet införa dataskyddsskyldigheter som inte är mindre betungande än, och ger minst samma skyddsnivå som, de som anges i detta DPA. Encryption Consulting ska säkerställa att ett sådant avtal kräver att Underbiträdet tillhandahåller tillräckliga garantier för att implementera lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att Behandlingen uppfyller kraven i dataskyddslagarna. Underbiträden ska vara avtalsenligt skyldiga att samarbeta i rimlig grad med Encryption Consulting, Kunden eller en tillämplig tillsynsmyndighet i händelse av en utredning eller säkerhetsincident.
• Encryption Consulting ska förbli ansvarigt gentemot Kunden för fullgörandet av Underbiträdets skyldigheter i enlighet med detta DPA.

TEKNISKA OCH ORGANISATIONELLA ÅTGÄRDER

• Med beaktande av aktuell teknik, implementeringskostnaderna och Behandlingens art, omfattning, sammanhang och syften samt risken av varierande sannolikhet och allvar för fysiska personers rättigheter och friheter, och utan att det påverkar tillämpningen av andra säkerhetsstandarder som parterna överenskommit, ska Encryption Consulting skydda säkerheten, sekretessen, integriteten och tillgängligheten för Kunddata och skydda dem mot säkerhetsincidenter.
• Nuvarande tekniska och organisatoriska åtgärder som implementeras och underhålls av Encryption Consulting beskrivs ytterligare i Bilaga II till detta dataskyddsavtal, såsom det uppdateras från tid till annan (förutsatt att sådana ändringar inte kommer att ha en väsentlig negativ inverkan på skyddsnivån för kunddata).

SÄKERHETSINCIDENT

• Encryption Consulting kommer att meddela Kunden utan onödigt dröjsmål, senast inom 72 timmar, efter att ha blivit medveten om en Säkerhetsincident som involverar Kundens Data. Encryption Consultings meddelande angående eller svar på en Säkerhetsincident enligt Avsnitt 7 ska inte tolkas som ett erkännande från Encryption Consultings sida av något fel eller ansvar avseende Säkerhetsincidenten.
• Krypteringskonsulttjänster kommer att:
  • (i) Vidta rimligen nödvändiga åtgärder för att åtgärda, minimera eventuella effekter av och utreda eventuella säkerhetsincidenter samt identifiera dess orsak;
  • (ii) På Kundens begäran, samarbeta med Kunden och ge Kunden rimligt bistånd och information i samband med inneslutning, utredning, åtgärd eller begränsning av Säkerhetsincidenten, om tillämpligt, skyldighet att underrätta de berörda Registrerade. På Kundens begäran och med beaktande av Behandlingens art och den information som är tillgänglig för Encryption Consulting, kommer Encryption Consulting att tillhandahålla en rapport eller ett skriftligt meddelande som i detalj beskriver Säkerhetsincidenten, de berörda Personuppgifterna och de Registrerade.

REVISIONSRÄTTIGHETER

• Encryption Consulting ska föra noggranna skriftliga register över all behandling av kunddata som utförs enligt detta dataskyddsavtal och i enlighet med dess skyldigheter enligt detta dataskyddsavtal, och ska göra sådana register tillgängliga för kunden på kundens skriftliga begäran trettio (30) dagar i förväg, dock högst en gång per tolv (12) månaders uppdrag (“Revisionsrapporter”). En sammanfattning av ISO27001/ISO27701-certifieringen, SOCII-rapporten eller aktuella penetrationstester, samt information som tillhandahålls via kundens frågeformulär, ska definieras som en tillräcklig revisionsrapport. Den revisionsrapport som tillhandahålls ska betraktas som Encryption Consultings konfidentiella information och ska omfattas av motsvarande sekretessskyldigheter enligt avtalet eller kräva undertecknande av ett sekretessavtal.
• Om revisionsrapporten rimligen bedöms vara otillräcklig för att visa efterlevnad, ska Encryption Consulting, endast efter rimligt skriftligt meddelande och högst en gång per kalenderår, tillhandahålla information som är nödvändig för att rimligen visa efterlevnad av detta DPA eller där det krävs enligt tillämplig dataskyddslag eller en tillämplig myndighet, till en ansedd revisor som utsetts av kunden, och ska tillåta revisioner, inklusive inspektioner, av en sådan ansedd revisor endast i samband med behandlingen av kunddata (“Revision“) i enlighet med villkoren nedan. Revisorn ska vara föremål för vanliga sekretessförpliktelser (inklusive gentemot tredje part). Encryption Consulting kan invända mot en revisor som utsetts av Kunden om Encryption Consulting rimligen anser att revisorn inte är lämpligt kvalificerad eller är en konkurrent till Encryption Consulting. Kunden ska bära alla kostnader i samband med revisionen och ska (och säkerställa att var och en av dess revisorer) under revisionens gång säkerställa att revisionen genomförs under ordinarie kontorstid och undvika att orsaka skada, personskador eller störningar i Encryption Consultings lokaler, utrustning, personal och verksamhet medan personalen befinner sig i dessa lokaler under revisionens gång. Encryption Consulting ska gå med på en revision enbart enligt följande villkor:
  • (i) Trettio (30) dagars skriftligt meddelande har lämnats i förväg; och
  • (ii) Begränsa sina resultat till endast information som är relevant för kunddata eller en tillämplig säkerhetsincident.
• Ingenting i detta DPA kräver att Encryption Consulting varken lämnar ut till Kunden eller dess tredjepartsrevisor, eller ger Kunden eller dess tredjepartsrevisor åtkomst till:
  • (i) Alla uppgifter om någon annan Encryption Consultings kunder eller Encryption Consultings interna uppgifter, inklusive men inte begränsat till uppgifter som behandlas i Encryption Consultings roll som personuppgiftsansvarig;
  • (ii) Encryption Consultings interna redovisnings- eller finansiella information;
  • (iii) Alla affärshemligheter som tillhör ett krypteringskonsultföretag eller dess dotterbolag;
  • (iv) All information som, enligt Encryption Consultings rimliga uppfattning, skulle kunna äventyra säkerheten i Encryption Consultings system eller orsaka brott mot dess skyldigheter enligt tillämplig lag eller dess säkerhets-, integritets- eller sekretessskyldigheter gentemot tredje part; eller
  • (v) All information som Kunden eller dess tredjepartsrevisor söker åtkomst till av annan anledning än för att i god tro uppfylla Kundens skyldigheter enligt dataskyddslagarna. Ingen åtkomst till någon del av Encryption Consultings IT-system eller infrastruktur (inklusive, men inte begränsat till, praktisk eller intrusiv testning) kommer att tillåtas.

GRÄNSÖVERSKRIDANDE PERSONUPPGIFTSÖVERFÖRINGAR

• Krypteringskonsulting deltar i och intygar efterlevnad av dataskyddsramverket. Enligt kraven i dataskyddsramverket, Krypteringskonsulting
  • (i) Ger minst samma nivå av integritetsskydd som krävs enligt principerna för dataskyddsramverket;
  • (ii) Kommer att meddela Kunden om Encryption Consulting fastställer att de inte längre kan uppfylla sin skyldighet att tillhandahålla samma skyddsnivå som krävs enligt principerna för dataskyddsramverket, och
  • (iii) Kommer, efter skriftligt meddelande, att vidta rimliga och lämpliga åtgärder för att åtgärda eventuell obehörig Behandling av Personuppgifter.
• Kunden bekräftar och samtycker till att Encryption Consulting, för tillhandahållandet av Tjänsterna, kan komma att Behandla, inklusive överföra, Kunddata till olika jurisdiktioner där Encryption Consulting, dess dotterbolag eller Underbiträden är verksamma. Encryption Consulting kommer att säkerställa att överföringar görs i enlighet med dataskyddslagarna.
• Där europeiska dataskyddslagar gäller:
  • Encryption Consulting kommer inte att överföra kunddata som härrör från EES, Storbritannien eller Schweiz till något land eller någon mottagare som inte erkänns som att tillhandahålla en adekvat skyddsnivå för sådana personuppgifter (i enlighet med den europeiska dataskyddslagen), såvida inte först alla nödvändiga åtgärder vidtas för att säkerställa att överföringen sker i enlighet med tillämpliga dataskyddslagar. Sådana åtgärder kan inkludera (utan begränsning)
    • (i) Överföring av sådana kunduppgifter till en mottagare som omfattas av ett lämpligt ramverk eller annan rättsligt adekvat överföringsmekanism som av relevanta myndigheter eller domstolar erkänns som en adekvat skyddsnivå för personuppgifter, inklusive till ett adekvat land eller ramverk för dataskydd och överföring;
    • (ii) Till en mottagare som har uppnått bindande företagsregler i enlighet med tillämplig dataskyddslag; eller
    • (iii) Till en mottagare som har undertecknat standardavtalsklausulerna.
  • När Kunden och Encryption Consulting, eller Encryption Consulting och/eller dess Underbiträde förlitar sig på Standardavtalsklausulerna för att underlätta en överföring till ett tredje land ska följande gälla:
    • För överföring av kunduppgifter från EES gäller EU:s standardkontrakt och ska fyllas i enligt följande: Lagring Modul II (Registrerande till Bearbetande Personer) kommer att tillämpas; Lagring I klausul 7 gäller inte den valfria dockningsklausulen; Lagring I klausul 9 ska alternativ 2 (allmän skriftlig fullmakt) gälla för de underleverantörer som anges under Bilaga III och metoden för att utse underbiträde ska vara den som anges i avsnittet om underbiträden i dataskyddsavtalet. Lagring I klausul 11 ​​gäller inte den valfria formuleringen, och registrerade personer ska inte kunna lämna in ett klagomål till ett oberoende tvistlösningsorgan. Lagring I klausul 17 ska alternativ 1 tillämpas, och EU:s standardkontrakt ska regleras av Republiken Irlands lag. Lagring I klausul 18(b) väljer parterna behöriga domstolar i Republiken Irland som sitt val av forum och jurisdiktion; (7) Bilaga I(A) till EU:s standardkontrakt fylls i enligt följande: Kunden är dataexportör, Encryption Consulting är dataimportör, parternas kontaktuppgifter Avtalets ikraftträdandedatum; Bilaga I(B) till EU:s standardkontrakt är ifylld enligt bilaga I till detta dataskyddsavtal; Bilaga I(C) till EU:s standardkontrakt ska identifiera den/de behöriga tillsynsmyndigheten/tillsynsmyndigheterna som tillsynsmyndigheten i Republiken Irland,(8) Bilaga II till EU:s standardkontrakt anses slutförd med den information som anges i bilaga III till detta dataskyddsavtal;(9) Bilaga III till EU:s standardkontrakt ska kompletteras med listan över underbiträden som anges i bilaga II till detta dataskyddsavtal.
    • För överföring av kunddata från Storbritannien ska det brittiska standardkontraktsklausulen (SCC) gälla och fyllas i enligt följande: (1) Tabell 1 ska fyllas i enligt avsnitt (i)(7) ovan; (2) Tabell 2 ska fyllas i enligt vad som anges i avsnitt (i)(1) – (i)(4) ovan;(3) Tabeller 3 ska fyllas i enligt följande: Bilaga 1A ska fyllas i med relevant information enligt avsnitt (i)(7) ovan; Bilaga 1B ska fyllas i med relevant information enligt vad som anges i Bilaga I av detta dataskyddsavtal; Bilaga II ska fyllas i med relevant information enligt bilaga III till detta dataskyddsavtal; Bilaga III ska kompletteras med listan över underbiträden som anges i bilaga II till detta dataskyddsavtal; (4) Tabell 4 ska fyllas i med alternativet ”ingen av parterna”; och Lagring Eventuella konflikter mellan villkoren i EU:s standardkontrakt för försäljning och brittiska standardkontrakt för försäljning ska lösas i enlighet med avsnitt 10 och avsnitt 11 i brittiska standardkontrakt för försäljning.
    • För överföring av kunddata från Schweiz ska den schweiziska standardkontraktslagen tillämpas med följande ändringar: (i) hänvisningar till ”förordning (EU) 2016/679” ska tolkas som hänvisningar till den schweiziska dataskyddslagen; (ii) hänvisningar till ”EU-”, ”unions-” och ”medlemsstatslagstiftning” ska tolkas som hänvisningar till schweizisk lagstiftning; och (iii) hänvisningar till ”behörig tillsynsmyndighet” och ”behöriga domstolar” ska ersättas med ”den schweiziska federala dataskydds- och informationskommissionären” och ”relevanta domstolar i Schweiz”.

TID, UPPSÄGNING OCH KONFLIKT

• Detta DPA ska träda i kraft från och med ikraftträdandedatumet (enligt definitionen i Avtalet) och ska förbli i kraft tills Avtalet upphör att gälla eller så länge Encryption Consulting Behandlar Kunddata.
• Encryption Consulting har rätt att säga upp detta DPA eller upphöra med Behandlingen av Kunddata om Behandlingen av Kunddata enligt Kundens Instruktioner eller detta DPA bryter mot tillämpliga rättsliga krav, förutsatt att Kunden inte har tillhandahållit uppdaterade instruktioner för att åtgärda sådan överträdelse inom tio (10) dagar från mottagandet av tillämplig underrättelse från Encryption Consulting. Alternativt kan Encryption Consulting, efter eget gottfinnande, avbryta Behandlingen av Kunddata tills sådan överträdelse är åtgärdad, utan ansvar gentemot Kunden och utan att det påverkar eventuella avgifter som Kunden ådragit sig före avstängningsdatumet.
• Efter att detta DPA har upphört eller löpt ut ska Encryption Consulting, efter Kundens val, radera alla Kunddata som Behandlats för Kundens räkning och intyga för Kunden att så har gjorts. Tills Kunddatan har raderats eller återlämnats ska parterna fortsätta att säkerställa att detta DPA följs. Kundens val ska meddelas skriftligen till Encryption Consulting efter uppsägningens verkan. Oaktat det föregående får Encryption Consulting behålla Kunddata.
  • (i) Enligt vad som krävs enligt tillämplig lag; eller
  • (ii) I enlighet med sina standardpolicyer för säkerhetskopiering eller lagring av register, förutsatt att Encryption Consulting i båda fallen kommer att upprätthålla sekretessen för, och i övrigt följa, tillämpliga bestämmelser i detta DPA avseende lagrade kunddata och inte behandla dem ytterligare förutom vad som krävs enligt dataskyddslagen.
• I händelse av konflikt mellan villkoren i detta DPA och Avtalet ska detta DPA ha företräde. För att undvika tvivel, om standardavtalsklausuler har upprättats mellan parterna, ska villkoren i standardavtalsklausulerna ha företräde framför villkoren i detta DPA.

BILAGA I

DETALJER OM BEHANDLINGEN

Denna bilaga innehåller vissa detaljer om behandling av kunduppgifter i enlighet med dataskyddslagarna.

Kategorier av registrerade:

Som uppladdad av kunden när tjänsterna används.

Kategorier av personuppgifter som behandlas:

Som uppladdad av kunden när tjänsterna används.

Särskilda kategorier av personuppgifter:

Inga. Kunden är uttryckligen förbjuden att förse Encryption Consulting med känsliga uppgifter eller särskilda kategorier av uppgifter, såvida inte Encryption Consulting har överenskommit skriftligen.

Behandlingens art:

Insamling, lagring, organisering, kommunikation, överföring, värdskap och andra typer av behandling i syfte att tillhandahålla Tjänsterna enligt vad som anges i Avtalet.

Syfte med behandlingen:

För att tillhandahålla tjänsten.

Lagringsperiod:

Så länge det är nödvändigt för att tillhandahålla Tjänsten av Encryption Consulting; förutsatt att det inte finns någon rättslig skyldighet att behålla Kunddata efter uppsägning eller om inte annat begärs av Kunden.

Processfrekvens:

Kontinuerlig basis

BILAGA II

TEKNISKA OCH ORGANISATIONELLA ÅTGÄRDER

Vänligen granska Encryption Consultings säkerhetspolicy här. för att lära dig mer om de tekniska och organisatoriska åtgärder som vidtagits av den för att säkerställa en lämplig säkerhetsnivå för sin behandling av kunddata.

BILAGA III

LISTA ÖVER UNDERBEARBETARE

Från och med ovanstående ikraftträdandedatum använder Encryption Consulting följande underleverantörer: