Yovales personuppgifts-biträdesavtal

«Tjänsten» avser den av Yovale hanterade WordPress-hostingtjänsten som tillhandahålls under Yovales slutanvändarlicensavtal.

«Kundpersonuppgifter» avser personuppgifter som Yovale behandlar för kundens räkning i samband med tjänsten.

«Registrerad» avser en identifierad eller identifierbar fysisk person vars personuppgifter ingår i kundpersonuppgifterna.

«Underbiträde» avser tredje part som anlitats av Yovale för att behandla kundpersonuppgifter i samband med tjänsten.

Termer som inte definieras här — inklusive «Personuppgiftsansvarig», «Personuppgiftsbiträde», «Personuppgifter», «Behandling», «Personuppgiftsincident» och «Tillsynsmyndighet» — har de betydelser som anges i Artikel 4 i GDPR.

Kunden är personuppgiftsansvarig för kundpersonuppgifterna. Kunden bestämmer ändamålen och medlen för behandlingen.

Yovale är personuppgiftsbiträde för kundpersonuppgifterna. Yovale behandlar kundpersonuppgifter uteslutande på dokumenterade instruktioner från kunden, inklusive de som ingår i den tjänstkonfiguration som kunden ställer in via Yovale-instrumentpanelen.

När Yovale samlar in personuppgifter direkt från individer för egna ändamål — exempelvis i förhållandet med kontoinnehavaren — agerar Yovale som personuppgiftsansvarig för dessa uppgifter, och denna behandling regleras av Yovales integritetspolicy och inte av detta PBA.

Föremålet för behandlingen är hosting, lagring, överföring, säkerhetskopiering och operativt underhåll av kundpersonuppgifter inom kundens WordPress-sajter och tillhörande instrumentpanelsytor.

Varaktigheten för behandlingen motsvarar tjänstens varaktighet. Yovales skyldigheter enligt detta PBA fortsätter tills alla kundpersonuppgifter har raderats eller återlämnats i enlighet med Avsnitt 10.

Karaktären på behandlingen innefattar insamling, registrering, organisering, strukturering, lagring, hämtning, överföring, hosting och radering av kundpersonuppgifter, i den utsträckning som krävs för att tillhandahålla tjänsten.

Syftet med behandlingen är att göra det möjligt för kunden att driva den eller de WordPress-sajt(er) som hanteras av tjänsten, inklusive att leverera webbplatsinnehåll till besökare, ta emot formulärinlämningar, tillhandahålla den administrativa instrumentpanelen, generera säkerhetskopior, visa loggar och stödja kundvalda integrationer.

Kategorier av kundpersonuppgifter: identifieringsuppgifter (namn, e-postadresser, kontoidentifierare), kontaktuppgifter som lämnats via formulär på kundsajter, innehåll som skapats av kundens användare, transaktionsdata inom WooCommerce-sajter där tillämpligt, tekniska signaler (IP-adresser, user agents, tidsstämplar) samt andra personuppgifter som kunden väljer att lagra i tjänsten.

Kategorier av registrerade: kundens egna användare och personal, kundens sajt-besökare, kundens kunder och medlemmar, samt andra fysiska personer vars personuppgifter kunden väljer att behandla via tjänsten.

Känsliga kategorier av personuppgifter: kunden bör inte ladda upp känsliga kategorier av personuppgifter enligt definitionen i Artikel 9 GDPR utan att skriftligen underrätta Yovale i förväg.

Yovale behandlar kundpersonuppgifter uteslutande på dokumenterade instruktioner från kunden. Instruktionerna är: (i) detta PBA, (ii) Yovales slutanvändarlicensavtal, (iii) den tjänstkonfiguration kunden ställer in via instrumentpanelen, och (iv) eventuella ytterligare skriftliga instruktioner som kunden lämnar till Yovale via e-post till dpo@yovale.com.

Om Yovale enligt EU-rätt eller nationell rätt är skyldigt att behandla kundpersonuppgifter på annat sätt än på kundens instruktioner, ska Yovale informera kunden om detta rättsliga krav innan behandling sker, om inte lagen förbjuder sådan underrättelse av viktiga skäl av allmänt intresse.

Yovale säkerställer att personal som är auktoriserad att behandla kundpersonuppgifter är bunden av lämpliga sekretessförpliktelser, antingen genom anställningsavtal eller genom likvärdiga skriftliga åtaganden.

Tillgången till kundpersonuppgifter inom Yovale är begränsad till personal som behöver tillgång för att utföra sin roll och registreras för revisionsändamål.

Nätverk: TLS 1.2 eller högre för alla data under överföring. Cloudflare DDoS-skydd på varje kundwebbplats. WAF-regler anpassade till WordPress-hotmönster.

Beräkning: varje WordPress-sajt hos kunden körs i en dedikerad Docker-container med isolerat filsystem, minnesgränser och dedikerade PHP-FPM-workers. Ingen delad PHP-runtime mellan kunder.

Lagring: kryptering i vila för säkerhetskopieringslagring (Cloudflare R2) med AES-256. Krypteringsnycklar hanteras under standard leverantörsavtal för nyckelhantering.

Autentisering: instrumentpanelåtkomst kräver e-postverifierade inloggningsuppgifter. Tjänsteövergripande anrop mellan instrumentpanelen och VPS-agenter är HMAC-signerade med serverspecifika hemligheter.

Övervakning: aktivitetsloggar per sajt och AI-crawlerloggar synliga i kundinstrumentpanelen; infrastrukturmätvärden bevarade och granskade för anomalidetektering.

Yovale upprätthåller en skriftlig informationssäkerhetspolicy som granskas minst årligen.

Personal med tillgång till produktionssystem är föremål för en dokumenterad onboarding- och offboardingprocess, inklusive utfärdande, återkallelse och granskning av åtkomst.

Ändringshantering av produktionsinfrastruktur granskas och registreras. Kritiska ändringar valideras i en testmiljö innan driftsättning.

Säkerhetskopior testas för återställbarhet kvartalsvis som minimum.

Yovale genomför periodiska tester, bedömningar och utvärderingar av effektiviteten hos sina tekniska och organisatoriska åtgärder, inklusive sårbarhetsskanning av produktionsstacken och granskning av åtkomstloggar.

Väsentliga svagheter som identifieras genom tester åtgärdas via Yovales ändringshanteringsprocess. Fynd som är relevanta för kunder — exempelvis sårbarheter som påverkar hostad WordPress-kärna — kommuniceras till kunder via instrumentpanelen eller per e-post.

Kunden bemyndigar Yovale att anlita underbiträden för att behandla kundpersonuppgifter med förbehåll för villkoren i detta Avsnitt 5. Yovale upprätthåller den aktuella listan över underbiträden på sin förtroendessida och ger minst 30 dagars förvarning om eventuella tillägg eller ersättningar.

Infrastruktur: Hetzner (DE), OVH (FR, CA, DE), Vultr (flera regioner), Cloudflare (global edge, DNS, WAF, R2-lagring).

E-postleverans: Postmark, när kunden aktiverar Yovale-skickad transaktionell e-post. Om kunden konfigurerar sin egen SMTP-leverantör är den leverantören inte ett Yovale-underbiträde.

Betalningar: Razorpay (primär), PayPal (sekundär), Stripe (där tillämpligt). Betalningsprocessorer tar bara emot de uppgifter som behövs för att behandla en transaktion.

Kundsupport: kundens kontaktuppgifter och supportkommunikation behandlas i Yovales interna helpdesksystem.

Varje underbiträde anlitas under ett skriftligt avtal som innehåller dataskyddsskyldigheter som till sin innebörd är likvärdiga med dem som anges i detta PBA, inklusive säkerhetsskyldigheter enligt Artikel 32 GDPR.

Om kunden av dataskyddsskäl inom 30 dagar efter underrättelse rimligen invänder mot ett nytt underbiträde, ska parterna diskutera invändningen i god tro. Om ingen lösning kan nås kan kunden säga upp den berörda delen av tjänsten med sakliga skäl utan påföljd, med verkan från det föreslagna onboardingdatumet för underbiträdet.

Kunden kan direkt exportera, ändra eller radera kundpersonuppgifter som lagras i tjänsten via Yovale-instrumentpanelen, WP-CLI-åtkomst och WordPress administrativt gränssnitt.

Dessa självbetjäningsverktyg är vanligtvis tillräckliga för att kunden ska kunna besvara förfrågningar om åtkomst, rättelse, radering, begränsning och portabilitet enligt Artiklarna 15-20 GDPR.

När självbetjäningsverktygen är otillräckliga — exempelvis hämtning av data från en raderad miljö — kan kunden lämna in en skriftlig begäran till dpo@yovale.com. Yovale ger rimligt bistånd inom 10 arbetsdagar från mottagandet, med förbehåll för rättsliga och tekniska begränsningar, och utan extra kostnad om inte begäran kräver orimligt stora insatser.

Om en registrerad kontaktar Yovale direkt angående kundpersonuppgifter, kommer Yovale inte att besvara begäran i sak utan istället vidarebefordra den till den berörda kunden utan onödigt dröjsmål.

Yovale ska underrätta kunden om varje bekräftad personuppgiftsincident som berör kundpersonuppgifter utan onödigt dröjsmål och i alla fall inom 72 timmar efter bekräftelse.

Anmälan skickas till den e-postadress som är kopplad till kundkontot. Om den kanalen inte är tillgänglig kommer Yovale att försöka meddela via Yovale-instrumentpanelen och eventuell alternativ kontakt som finns registrerad.

Varje anmälan ska, i den mån det vid tidpunkten är känt, beskriva incidentens karaktär, kategorierna och det ungefärliga antalet berörda registrerade och personuppgiftsposter, de sannolika konsekvenserna av incidenten samt de åtgärder som vidtagits eller föreslagits för att åtgärda den och begränsa dess möjliga negativa effekter.

Information som inte är tillgänglig inom det inledande 72-timmarsfönstret kommer att lämnas i efterföljande uppdateringar när den blir tillgänglig. Yovale samarbetar med kunden i uppfyllandet av eventuella skyldigheter som kunden har att underrätta tillsynsmyndigheter eller registrerade enligt Artiklarna 33 och 34 GDPR.

Yovale tillhandahåller kunden den information som rimligen är nödvändig för att påvisa efterlevnad av Artikel 28 GDPR, inklusive detta PBA, den offentliga listan över underbiträden och Yovales säkerhetsöversikt publicerad på /security.

På rimlig skriftlig begäran svarar Yovale inom 30 dagar på specifika frågor som rimligen är nödvändiga för att kunden ska kunna fullgöra sina egna GDPR-skyldigheter.

Om kunden rimligen anser att informationen ovan inte ger tillräckliga bevis för efterlevnad kan kunden begära en revision av Yovales behandlingsverksamheter. Revisioner är begränsade till en gång per tolvmånadersperiod, måste genomföras under normal kontorstid, får inte störa Yovales verksamhet eller äventyra säkerheten för andra kunder, och måste utföras av kunden eller av en oberoende tredjepartsrevisor under en för Yovale acceptabel konfidentialitetsförbindelse.

Kunden bär kostnaderna för revisioner som initieras under detta avsnitt, utom när revisionen avslöjar ett väsentligt brott mot detta PBA av Yovale, i vilket fall Yovale bär rimliga revisionskostnader.

Kunder kan välja sin hostingregion vid etablering. Yovale driver infrastruktur inom Europeiska unionen (Hetzner DE, OVH FR/DE) och flera icke-EU-regioner. Kundpersonuppgifter stannar i den region kunden väljer, med förbehåll för det nödvändiga edge-cache-beteendet hos Cloudflare och det globala räckvidden för instrumentpanelens kontrollplan.

När kundpersonuppgifter överförs utanför Europeiska ekonomiska samarbetsområdet, Storbritannien eller Schweiz till ett land som inte är föremål för ett tillämpligt adequathetsbeslut, är överföringen underkastad EU:s standardavtalsklausuler (2021/914) och UK International Data Transfer Addendum, som är inkorporerade i detta PBA genom hänvisning och automatiskt tillämpas på sådana överföringar.

Yovale och eventuella icke-EES-underbiträden agerar respektive som dataexportör och dataimportör vid tillämpningen av standardavtalsklausulerna. Yovale tillhandahåller en kopia av relevanta klausuler på begäran.

Vid tjänstens upphörande kan kunden, inom 30 dagar från upphörandedatumet, begära återlämnande av kundpersonuppgifter via de standardexportverktyg som finns tillgängliga i instrumentpanelen, eller begära att Yovale raderar dem.

Efter detta 30-dagarsfönster raderar Yovale permanent kundpersonuppgifter inom ytterligare 30 dagar, förutom i den utsträckning lagring krävs enligt EU-rätt eller nationell rätt, i vilket fall Yovale fortsätter att tillämpa säkerhets- och sekretessskyldigheterna i detta PBA så länge uppgifterna lagras.

Rutinmässiga säkerhetskopior av produktionsmiljön kan fortsätta att innehålla residuala kopior av raderade kundpersonuppgifter i upp till 90 dagar från raderingsdatumet. Sådana residuala kopior är föremål för samma säkerhetsskyldigheter och används inte för något annat ändamål.

Ansvar under detta PBA är underkastat de begränsningar som anges i Yovales slutanvändarlicensavtal.

Om en bestämmelse i detta PBA strider mot Yovales slutanvändarlicensavtal i en fråga om dataskydd, äger detta PBA företräde i den utsträckning konflikten gäller.

Kontakt med dataskyddsombud: dpo@yovale.com. Allmänna dataskyddsfrågor kan även skickas till support@yovale.com.

Yovales EU-representant kan kontaktas på begäran via dpo@yovale.com.