Yovalesdatabehandleravtale

«Tjenesten» betyr den Yovale-administrerte WordPress-hostingtjenesten som gjøres tilgjengelig under Yovales sluttbrukerlisensavtale.

«Kundepersonopplysninger» betyr personopplysninger som Yovale behandler på vegne av kunden i forbindelse med tjenesten.

«Registrert» betyr en identifisert eller identifiserbar fysisk person hvis personopplysninger er inneholdt i kundepersonopplysningene.

«Underdatabehandler» betyr en tredjepart som er engasjert av Yovale for å behandle kundepersonopplysninger i forbindelse med tjenesten.

Begreper som ikke er definert her — inkludert «Behandlingsansvarlig», «Databehandler», «Personopplysninger», «Behandling», «Brudd på personopplysningssikkerheten» og «Tilsynsmyndighet» — har betydningen gitt i Artikkel 4 i GDPR.

Kunden er behandlingsansvarlig for kundepersonopplysningene. Kunden bestemmer formålene med og midlene til behandlingen.

Yovale er databehandler for kundepersonopplysningene. Yovale behandler kundepersonopplysninger utelukkende på dokumenterte instruksjoner fra kunden, inkludert de som er inneholdt i tjenestekonfigurasjonen kunden angir via Yovale-dashbordet.

Når Yovale samler inn personopplysninger direkte fra enkeltpersoner for egne formål — for eksempel i forholdet med kontoinnehaveren — opptrer Yovale som behandlingsansvarlig for disse dataene, og denne behandlingen er regulert av Yovales personvernpolicy og ikke av denne DBA.

Gjenstanden for behandlingen er hosting, lagring, overføring, sikkerhetskopiering og operasjonell vedlikehold av kundepersonopplysninger innenfor kundens WordPress-nettsteder og tilknyttede dashbordoverflater.

Varigheten av behandlingen tilsvarer tjenestens varighet. Yovales forpliktelser i henhold til denne DBA fortsetter til alle kundepersonopplysninger er slettet eller returnert i samsvar med Avsnitt 10.

Behandlingens art omfatter innsamling, registrering, organisering, strukturering, lagring, henting, overføring, hosting og sletting av kundepersonopplysninger, etter behov for å levere tjenesten.

Formålet med behandlingen er å sette kunden i stand til å drive det eller de WordPress-nettsted(ene) som er hostet av tjenesten, inkludert levering av nettstedsinnhold til besøkende, mottak av skjemainnsendinger, levering av det administrative dashbordet, generering av sikkerhetskopier, visning av logger og støtte for kundevalgte integrasjoner.

Kategorier av kundepersonopplysninger: identifikasjonsdata (navn, e-postadresser, kontoidentifikatorer), kontaktdata sendt inn via skjemaer på kundenettstedene, innhold utformet av kundens brukere, transaksjonsdata innenfor WooCommerce-nettsteder der relevant, tekniske signaler (IP-adresser, brukeragenter, tidsstempler) og alle andre personopplysninger kunden velger å lagre i tjenesten.

Kategorier av registrerte: kundens egne brukere og ansatte, kundens nettstedsbesøkende, kundens kunder og medlemmer og andre fysiske personer hvis personopplysninger kunden velger å behandle via tjenesten.

Særlige kategorier av personopplysninger: kunden bør ikke laste opp særlige kategorier av personopplysninger som definert i Artikkel 9 GDPR uten å varsle Yovale skriftlig på forhånd.

Yovale behandler kundepersonopplysninger utelukkende på dokumenterte instruksjoner fra kunden. Instruksjonene er: (i) denne DBA, (ii) Yovales sluttbrukerlisensavtale, (iii) tjenestekonfigurasjonen kunden angir via dashbordet, og (iv) eventuelle ytterligere skriftlige instruksjoner kunden gir Yovale via e-post til dpo@yovale.com.

Dersom Yovale er forpliktet av EU-rett eller nasjonal rett til å behandle kundepersonopplysninger på annen måte enn på kundens instruksjoner, vil Yovale informere kunden om dette lovkravet før behandling, med mindre den aktuelle loven forbyr slik varsling av viktige hensyn til allmennhetens interesser.

Yovale sikrer at personell som er autorisert til å behandle kundepersonopplysninger er bundet av hensiktsmessige konfidensialitetsforpliktelser, enten gjennom sin ansettelseskontrakt eller gjennom tilsvarende skriftlige forpliktelser.

Tilgangen til kundepersonopplysninger innenfor Yovale er begrenset til personell som trenger tilgang for å utføre sin rolle og registreres for revisjonsformål.

Nettverk: TLS 1.2 eller høyere for alle data under overføring. Cloudflare DDoS-beskyttelse på hvert nettsted. WAF-regler tilpasset WordPress-trusselmønstre.

Beregning: hvert WordPress-nettsted for en kunde kjører i en dedikert Docker-beholder med isolert filsystem, minnegrenser og dedikerte PHP-FPM-arbeidere. Ingen delt PHP-kjøretid mellom kunder.

Lagring: kryptering i hvilemodus for sikkerhetskopilagring (Cloudflare R2) med AES-256. Krypteringsnøkler administrert under standard leverandøravtale for nøkkeladministrasjon.

Autentisering: dashbordtilgang krever e-postverifiserte legitimasjoner. Inter-tjeneste-anrop mellom dashbordet og VPS-agenter er HMAC-signert med serverspecifikke hemmeligheter.

Overvåking: aktivitetslogger per nettsted og AI-crawlerlogger synlige i kundedashbordet; infrastrukturmålinger beholdt og gjennomgått for anomalideteksjon.

Yovale opprettholder en skriftlig informasjonssikkerhetspolicy som gjennomgås minst årlig.

Personell med tilgang til produksjonssystemer er underlagt en dokumentert onboarding- og offboardingprosess, inkludert utstedelse, tilbakekalling og tilgangsgjennomgang av legitimasjoner.

Endringsstyring av produksjonsinfrastruktur gjennomgås og registreres. Kritiske endringer valideres i et testmiljø før distribusjon.

Sikkerhetskopier testes for gjenopprettbarhet kvartalsvis som minimum.

Yovale utfører periodiske tester, vurderinger og evalueringer av effektiviteten til sine tekniske og organisatoriske tiltak, inkludert sårbarhetsskanning av produksjonsstakken og gjennomgang av tilgangslogger.

Vesentlige svakheter identifisert gjennom tester håndteres via Yovales endringsstyringsprosess. Funn som er relevante for kunder — for eksempel sårbarheter som påvirker hostet WordPress-kjerne — kommuniseres til kunder via dashbordet eller per e-post.

Kunden autoriserer Yovale til å engasjere underdatabehandlere for å behandle kundepersonopplysninger underlagt betingelsene i dette Avsnitt 5. Yovale opprettholder den gjeldende listen over underdatabehandlere på sin tillitssiden og gir minst 30 dagers forhåndsvarsel om eventuelle tillegg eller utskiftninger.

Infrastruktur: Hetzner (DE), OVH (FR, CA, DE), Vultr (flere regioner), Cloudflare (global edge, DNS, WAF, R2-lagring).

E-postlevering: Postmark, når kunden aktiverer Yovale-sendt transaksjons-e-post. Hvis kunden konfigurerer sin egen SMTP-leverandør, er denne leverandøren ikke en Yovale-underdatabehandler.

Betalinger: Razorpay (primær), PayPal (sekundær), Stripe (der relevant). Betalingsbehandlere mottar bare dataene som er nødvendige for å behandle en transaksjon.

Kundestøtte: kundens kontaktopplysninger og støttekommunikasjon behandles i Yovales interne helpdesk-system.

Hver underdatabehandler engasjeres under en skriftlig kontrakt som inneholder databeskyttelsesforpliktelser som i substans tilsvarer de som er fastsatt i denne DBA, inkludert sikkerhetsforpliktelser i henhold til Artikkel 32 GDPR.

Dersom kunden innen 30 dager etter varsel med rimelig grunn protesterer mot en ny underdatabehandler av databeskyttelsesmessige grunner, vil partene drøfte protesten i god tro. Dersom ingen løsning kan oppnås, kan kunden si opp den berørte delen av tjenesten av saklig grunn uten straff, med virkning fra den foreslåtte onboardingdatoen for underdatabehandleren.

Kunden kan direkte eksportere, endre eller slette kundepersonopplysninger lagret i tjenesten via Yovale-dashbordet, WP-CLI-tilgang og WordPress-administrasjonsgrensesnittet.

Disse selvbetjeningsverktøyene er vanligvis tilstrekkelige for at kunden skal kunne svare på forespørsler om innsyn, retting, sletting, begrensning og portabilitet i henhold til Artiklene 15-20 GDPR.

Når selvbetjeningsverktøyene er utilstrekkelige — for eksempel henting av data fra et slettet miljø — kan kunden sende inn en skriftlig forespørsel til dpo@yovale.com. Yovale gir rimelig bistand innen 10 virkedager etter mottak, underlagt juridiske og tekniske begrensninger, og uten ekstra kostnad med mindre forespørselen krever uforholdsmessig stor innsats.

Dersom en registrert kontakter Yovale direkte om kundepersonopplysninger, vil Yovale ikke svare på innholdet i forespørselen og vil i stedet videresende den til den relevante kunden uten unødig forsinkelse.

Yovale vil varsle kunden om ethvert bekreftet brudd på personopplysningssikkerheten som berører kundepersonopplysninger uten unødig forsinkelse og i alle tilfeller innen 72 timer etter bekreftelse.

Varselet sendes til e-postadressen knyttet til kundekontoen. Dersom den kanalen er utilgjengelig, vil Yovale forsøke varsling via Yovale-dashbordet og eventuell alternativ kontakt som er registrert.

Hvert varsel vil, i den grad det er kjent på det tidspunktet, beskrive bruddets art, kategoriene og det omtrentlige antallet berørte registrerte og personopplysningsposter, de sannsynlige konsekvensene av bruddet og tiltakene som er iverksatt eller foreslått for å håndtere det og begrense dets mulige negative konsekvenser.

Informasjon som ikke er tilgjengelig innenfor det innledende 72-timersvinduet vil bli gitt i påfølgende oppdateringer etter hvert som den blir tilgjengelig. Yovale vil samarbeide med kunden i oppfyllelsen av eventuelle forpliktelser kunden har til å varsle tilsynsmyndigheter eller registrerte i henhold til Artiklene 33 og 34 GDPR.

Yovale gjør tilgjengelig for kunden den informasjonen som med rimelighet er nødvendig for å demonstrere overholdelse av Artikkel 28 GDPR, inkludert denne DBA, den offentlige listen over underdatabehandlere og Yovales sikkerhetsoverview publisert på /security.

På rimelig skriftlig forespørsel vil Yovale svare innen 30 dager på spesifikke spørsmål som med rimelighet er nødvendige for å sette kunden i stand til å overholde sine egne GDPR-forpliktelser.

Når kunden med rimelighet mener at informasjonen ovenfor ikke gir tilstrekkelig bevis for overholdelse, kan kunden be om en revisjon av Yovales behandlingsaktiviteter. Revisjoner er begrenset til én gang per tolvmåneders periode, må gjennomføres i normal arbeidstid, må ikke forstyrre Yovales drift eller kompromittere sikkerheten til andre kunder, og må utføres av kunden eller av en uavhengig tredjepartsrevisor under en konfidensialitetsforpliktelse som er akseptabel for Yovale.

Kunden bærer kostnadene ved enhver revisjon den initierer i henhold til dette avsnittet, unntatt der revisjonen avdekker et vesentlig brudd på denne DBA av Yovale, i hvilket tilfelle Yovale bærer rimelige revisjonskostnader.

Kunder kan velge hostingregion ved klargjøring. Yovale driver infrastruktur i Den europeiske union (Hetzner DE, OVH FR/DE) og flere ikke-EU-regioner. Kundepersonopplysninger forblir i den regionen kunden velger, underlagt den nødvendige edge-cache-atferden til Cloudflare og den globale rekkevidden til dashbordets kontrollplan.

Når kundepersonopplysninger overføres utenfor Det europeiske økonomiske samarbeidsområdet, Storbritannia eller Sveits til et land som ikke er underlagt en relevant tilstrekkelighetsbeslutning, er overføringen underlagt EUs standardkontraktsbestemmelser (2021/914) og UK International Data Transfer Addendum, som er inkorporert i denne DBA ved referanse og automatisk gjelder for slike overføringer.

Yovale og eventuelle ikke-EØS-underdatabehandlere opptrer henholdsvis som dataeksportør og dataimportør for formålene med standardkontraktsbestemmelsene. Yovale vil gi en kopi av de relevante bestemmelsene på forespørsel.

Ved tjenestens opphør kan kunden, innen 30 dager fra opphørsdatoen, be om tilbakelevering av kundepersonopplysninger gjennom standard eksportverktøy tilgjengelig i dashbordet, eller be Yovale om å slette dem.

Etter dette 30-dagers vinduet vil Yovale permanent slette kundepersonopplysninger innen ytterligere 30 dager, unntatt i den grad oppbevaring er påkrevd av EU-rett eller nasjonal rett, i hvilket tilfelle Yovale vil fortsette å anvende sikkerhets- og konfidensialitetsforpliktelsene i denne DBA så lenge dataene er oppbevart.

Rutinesikkerhetskopier av produksjonsmiljøet kan fortsette å inneholde residuale kopier av slettede kundepersonopplysninger i opptil 90 dager fra slettingsdatoen. Slike residuale kopier er underlagt de samme sikkerhetsforpliktelsene og brukes ikke til noe annet formål.

Ansvar under denne DBA er underlagt begrensningene fastsatt i Yovales sluttbrukerlisensavtale.

Der en bestemmelse i denne DBA er i konflikt med Yovales sluttbrukerlisensavtale om et spørsmål om databeskyttelse, har denne DBA forrang i den grad konflikten gjelder.

Kontakt med personvernombud: dpo@yovale.com. Generelle databeskyttelseshenvendelser kan også sendes til support@yovale.com.

Yovales EU-representant kan kontaktes på forespørsel via dpo@yovale.com.