Yovalesdatabehandleraftale

«Tjenesten» betyder den af Yovale administrerede WordPress-hostingtjeneste, der stilles til rådighed i henhold til Yovales slutbrugerlicensaftale.

«Kundepersonoplysninger» betyder personoplysninger, som Yovale behandler på vegne af kunden i forbindelse med tjenesten.

«Registreret» betyder en identificeret eller identificerbar fysisk person, hvis personoplysninger er indeholdt i kundepersonoplysningerne.

«Underdatabehandler» betyder enhver tredjepart, der er engageret af Yovale til at behandle kundepersonoplysninger i forbindelse med tjenesten.

Begreber, der ikke er defineret her — herunder «Dataansvarlig», «Databehandler», «Personoplysninger», «Behandling», «Brud på persondatasikkerheden» og «Tilsynsmyndighed» — har den betydning, der er angivet i Artikel 4 i GDPR.

Kunden er den dataansvarlige for kundepersonoplysningerne. Kunden bestemmer formålene med og midlerne til behandlingen.

Yovale er databehandler for kundepersonoplysningerne. Yovale behandler kun kundepersonoplysninger på dokumenterede instruktioner fra kunden, herunder dem, der er indeholdt i den tjenestekonfiguration, kunden angiver via Yovale-dashboardet.

Når Yovale indsamler personoplysninger direkte fra enkeltpersoner til egne formål — f.eks. i forholdet til kontoindehaveren — handler Yovale som dataansvarlig for disse oplysninger, og denne behandling er underlagt Yovales fortrolighedspolitik og ikke denne DBA.

Emnet for behandlingen er hosting, lagring, transmission, backup og operationel vedligeholdelse af kundepersonoplysninger inden for kundens WordPress-websteder og tilknyttede dashboardoverflader.

Varigheden af behandlingen svarer til tjenestens varighed. Yovales forpligtelser i henhold til denne DBA fortsætter, indtil alle kundepersonoplysninger er slettet eller returneret i overensstemmelse med Afsnit 10.

Behandlingens karakter omfatter indsamling, registrering, organisering, strukturering, lagring, hentning, transmission, hosting og sletning af kundepersonoplysninger, i det omfang det er nødvendigt for at levere tjenesten.

Formålet med behandlingen er at sætte kunden i stand til at drive det eller de WordPress-websted(er), der hostes af tjenesten, herunder levering af webstedsindhold til besøgende, modtagelse af formularindsendelser, levering af det administrative dashboard, generering af sikkerhedskopier, visning af logfiler og støtte til kundevalgte integrationer.

Kategorier af kundepersonoplysninger: identifikationsdata (navne, e-mailadresser, kontoidentifikatorer), kontaktoplysninger indsendt via formularer på kundewebsteder, indhold udformet af kundens brugere, transaktionsdata inden for WooCommerce-websteder, hvor relevant, tekniske signaler (IP-adresser, brugeragenter, tidsstempler) og alle andre personoplysninger, som kunden vælger at gemme i tjenesten.

Kategorier af registrerede: kundens egne brugere og personale, kundens webstedsbesøgende, kundens kunder og medlemmer og andre fysiske personer, hvis personoplysninger kunden vælger at behandle via tjenesten.

Særlige kategorier af personoplysninger: kunden bør ikke uploade særlige kategorier af personoplysninger som defineret i Artikel 9 GDPR uden forudgående skriftlig underretning af Yovale.

Yovale behandler kun kundepersonoplysninger på dokumenterede instruktioner fra kunden. Instruktionerne er: (i) denne DBA, (ii) Yovales slutbrugerlicensaftale, (iii) den tjenestekonfiguration, kunden angiver via dashboardet, og (iv) eventuelle yderligere skriftlige instruktioner, som kunden udsteder til Yovale pr. e-mail til dpo@yovale.com.

Hvis Yovale i henhold til EU-ret eller national ret er forpligtet til at behandle kundepersonoplysninger på anden måde end på kundens instruktioner, underretter Yovale kunden om dette lovkrav inden behandlingen, medmindre den pågældende lov forbyder en sådan underretning af vigtige hensyn til offentlig interesse.

Yovale sikrer, at personale, der er autoriseret til at behandle kundepersonoplysninger, er bundet af passende fortrolighedsforpligtelser, enten via deres ansættelseskontrakt eller via tilsvarende skriftlige tilsagn.

Adgangen til kundepersonoplysninger inden for Yovale er begrænset til personale, der har brug for adgang for at udføre deres rolle, og logges til revisionsformål.

Netværk: TLS 1.2 eller højere for alle data under transmission. Cloudflare DDoS-beskyttelse på hvert kundewebsted. WAF-regler tilpasset WordPress-trusselsmønstre.

Beregning: hvert WordPress-websted for en kunde kører i en dedikeret Docker-container med isoleret filsystem, hukommelseslofter og dedikerede PHP-FPM-arbejdere. Ingen delt PHP-runtime mellem kunder.

Lagring: kryptering i hvile for backup-lagring (Cloudflare R2) ved hjælp af AES-256. Krypteringsnøgler administreret under standard udbyderkontrakt for nøgleadministration.

Godkendelse: dashboardadgang kræver e-mailverificerede legitimationsoplysninger. Inter-service-opkald mellem dashboardet og VPS-agenter er HMAC-signeret med serverspecifikke hemmeligheder.

Overvågning: aktivitetslogfiler pr. websted og AI-crawlerlogfiler vist i kundedashboardet; infrastrukturmetrikker opbevaret og gennemgået for anomalidetektering.

Yovale opretholder en skriftlig informationssikkerhedspolitik, der gennemgås mindst en gang om året.

Personale med adgang til produktionssystemer er underlagt en dokumenteret onboarding- og offboardingproces, herunder udstedelse, tilbagekaldelse og adgangsgennemgang af legitimationsoplysninger.

Ændringsstyring af produktionsinfrastruktur gennemgås og logges. Kritiske ændringer valideres i et testmiljø inden implementering.

Sikkerhedskopier testes for gendannelighed på kvartalsbasis som minimum.

Yovale udfører periodiske test, vurderinger og evalueringer af effektiviteten af sine tekniske og organisatoriske foranstaltninger, herunder sårbarhedsscanning af produktionsstakken og gennemgang af adgangslogfiler.

Væsentlige svagheder identificeret via test håndteres via Yovales ændringsstyringsproces. Relevante fund for kunder — f.eks. sårbarheder, der påvirker hostet WordPress-kerne — kommunikeres til kunder via dashboardet eller pr. e-mail.

Kunden bemyndiger Yovale til at engagere underdatabehandlere til behandling af kundepersonoplysninger med forbehold for betingelserne i dette Afsnit 5. Yovale opretholder den aktuelle liste over underdatabehandlere på sin tillidsside og giver mindst 30 dages forudgående varsel om eventuelle tilføjelser eller udskiftninger.

Infrastruktur: Hetzner (DE), OVH (FR, CA, DE), Vultr (flere regioner), Cloudflare (global edge, DNS, WAF, R2-lagring).

E-maillevering: Postmark, når kunden aktiverer Yovale-sendt transaktionel e-mail. Hvis kunden konfigurerer sin egen SMTP-udbyder, er den udbyder ikke en Yovale-underdatabehandler.

Betalinger: Razorpay (primær), PayPal (sekundær), Stripe (hvor relevant). Betalingsprocessorer modtager kun de data, der er nødvendige for at behandle en transaktion.

Kundesupport: kundens kontaktoplysninger og supportkommunikation behandles i Yovales interne helpdesksystem.

Hver underdatabehandler engageres under en skriftlig kontrakt indeholdende databeskyttelsesforpligtelser, der i substans er tilsvarende dem, der er fastsat i denne DBA, herunder sikkerhedsforpligtelser i henhold til Artikel 32 GDPR.

Hvis kunden inden for 30 dage efter underretning rejser rimeligt begrundet indsigelse mod en ny underdatabehandler af databeskyttelsesmæssige grunde, vil parterne drøfte indsigelsen i god tro. Hvis der ikke kan opnås enighed, kan kunden opsige den berørte del af tjenesten af væsentlige grunde uden straf, med virkning fra den foreslåede onboardingdato for underdatabehandleren.

Kunden kan direkte eksportere, ændre eller slette kundepersonoplysninger, der er gemt i tjenesten, via Yovale-dashboardet, WP-CLI-adgang og WordPress-administrationsgrænsefladen.

Disse selvbetjeningsværktøjer er normalt tilstrækkelige til, at kunden kan besvare anmodninger om adgang, berigtigelse, sletning, begrænsning og portabilitet i henhold til Artiklerne 15-20 GDPR.

Hvor selvbetjeningsværktøjerne er utilstrækkelige — f.eks. hentning af data fra et slettet miljø — kan kunden indsende en skriftlig anmodning til dpo@yovale.com. Yovale yder rimelig bistand inden for 10 arbejdsdage efter modtagelse, med forbehold for juridiske og tekniske begrænsninger, og uden yderligere gebyr medmindre anmodningen kræver uforholdsmæssig stor indsats.

Hvis en registreret kontakter Yovale direkte vedrørende kundepersonoplysninger, vil Yovale ikke besvare anmodningens indhold og vil i stedet videresende den til den relevante kunde uden unødig forsinkelse.

Yovale underretter kunden om ethvert bekræftet brud på persondatasikkerheden, der berører kundepersonoplysninger, uden unødig forsinkelse og under alle omstændigheder inden for 72 timer efter bekræftelse.

Underretningen sendes til den e-mailadresse, der er tilknyttet kundekontoen. Hvis denne kanal er utilgængelig, forsøger Yovale at underrette via Yovale-dashboardet og eventuelle alternative kontaktoplysninger på fil.

Hver underretning vil, i det omfang det er muligt på det pågældende tidspunkt, beskrive bruddets karakter, kategorierne og det omtrentlige antal berørte registrerede og personoplysningsposter, de sandsynlige konsekvenser af bruddet samt de foranstaltninger, der er truffet eller foreslås for at afhjælpe det og begrænse dets mulige negative virkninger.

Oplysninger, der ikke er tilgængelige inden for den indledende 72-timers frist, leveres i efterfølgende opdateringer, efterhånden som de foreligger. Yovale samarbejder med kunden om opfyldelsen af eventuelle forpligtelser, kunden har til at underrette tilsynsmyndigheder eller registrerede i henhold til Artiklerne 33 og 34 GDPR.

Yovale stiller de oplysninger til rådighed for kunden, der med rimelighed er nødvendige for at påvise overholdelse af Artikel 28 GDPR, herunder denne DBA, den offentlige liste over underdatabehandlere og Yovales sikkerhedsoversigt offentliggjort på /security.

På rimelig skriftlig anmodning svarer Yovale inden for 30 dage på specifikke spørgsmål, der med rimelighed er nødvendige for at sætte kunden i stand til at overholde sine egne GDPR-forpligtelser.

Når kunden med rimelighed mener, at ovenstående oplysninger ikke giver tilstrækkelig dokumentation for overholdelse, kan kunden anmode om en revision af Yovales behandlingsaktiviteter. Revisioner er begrænset til én gang pr. tolvmåneders periode, skal gennemføres i normal arbejdstid, må ikke forstyrre Yovales drift eller kompromittere sikkerheden for andre kunder, og skal udføres af kunden eller af en uafhængig tredjeparts revisor under en fortrolighedsforpligtelse, der er acceptabel for Yovale.

Kunden bærer omkostningerne ved enhver revision, som kunden initierer i henhold til dette afsnit, medmindre revisionen afslører et væsentligt brud på denne DBA af Yovale, i hvilket tilfælde Yovale bærer rimelige revisionsomkostninger.

Kunder kan vælge deres hostingregion ved klargøring. Yovale driver infrastruktur i Den Europæiske Union (Hetzner DE, OVH FR/DE) og flere ikke-EU-regioner. Kundepersonoplysninger forbliver i den region, kunden vælger, med forbehold for den nødvendige edge-cache-adfærd hos Cloudflare og den globale rækkevidde for dashboardets kontrolplan.

Når kundepersonoplysninger overføres uden for Det Europæiske Økonomiske Samarbejdsområde, Det Forenede Kongerige eller Schweiz til et land, der ikke er underlagt en relevant afgørelse om tilstrækkelighed, er overførslen underlagt EU's standardkontraktbestemmelser (2021/914) og UK International Data Transfer Addendum, som er inkorporeret i denne DBA ved reference og automatisk finder anvendelse på sådanne overførsler.

Yovale og eventuelle ikke-EØS-underdatabehandlere agerer henholdsvis som dataeksportør og dataimportør med henblik på standardkontraktbestemmelserne. Yovale stiller en kopi af de relevante bestemmelser til rådighed efter anmodning.

Ved tjenestens ophør kan kunden inden for 30 dage fra ophørsdatoen anmode om tilbagelevering af kundepersonoplysninger via de standardeksportværktøjer, der er tilgængelige i dashboardet, eller anmode Yovale om at slette dem.

Efter dette 30-dages vindue sletter Yovale permanent kundepersonoplysninger inden for yderligere 30 dage, medmindre opbevaring er påkrævet i henhold til EU-ret eller national ret, i hvilket tilfælde Yovale fortsat anvender sikkerheds- og fortrolighedsforpligtelserne i denne DBA, så længe oplysningerne opbevares.

Rutinemæssige sikkerhedskopier af produktionsmiljøet kan fortsat indeholde resterende kopier af slettede kundepersonoplysninger i op til 90 dage fra slettedatoen. Sådanne resterende kopier er underlagt de samme sikkerhedsforpligtelser og bruges ikke til noget andet formål.

Ansvar i henhold til denne DBA er underlagt de begrænsninger, der er fastsat i Yovales slutbrugerlicensaftale.

Hvis en bestemmelse i denne DBA strider mod Yovales slutbrugerlicensaftale om et databeskyttelsesspørgsmål, har denne DBA forrang i det omfang konflikten gælder.

Kontakt til databeskyttelsesrådgiver: dpo@yovale.com. Generelle databeskyttelsesforespørgsler kan også sendes til support@yovale.com.

Yovales EU-repræsentant kan kontaktes efter anmodning via dpo@yovale.com.