Databehandleraftale

"Personoplysninger" betyder enhver oplysning vedrørende en identificeret eller identificerbar fysisk person som defineret i GDPR artikel 4, stk. 1. "Behandling" betyder enhver operation udført på personoplysninger som defineret i GDPR artikel 4, stk. 2. "Registreret" betyder den identificerede eller identificerbare fysiske person, som personoplysningerne vedrører. "Underdatabehandler" betyder enhver tredjepart, vi engagerer til at behandle personoplysninger på dine vegne. "Sikkerhedshændelse" betyder ethvert brud på sikkerheden, der fører til utilsigtet eller ulovlig destruktion, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger.

Denne DPA gælder for al behandling af personoplysninger, som vi udfører på dine vegne i forbindelse med FaceShot. Parterne anerkender, at: • Du er dataansvarlig for personoplysninger • Vi er databehandler, der handler på dine vegne og efter dine instruktioner Emnet, varigheden, arten og formålet med behandlingen samt typerne af personoplysninger og kategorier af registrerede er beskrevet i bilag 1 til denne DPA.

Vi skal: • Kun behandle personoplysninger efter dine dokumenterede instruktioner, medmindre det kræves ved lov • Sikre, at personer med adgang til behandling af personoplysninger er bundet af fortrolighed • Implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger • Ikke engagere underdatabehandlere uden forudgående godkendelse (se vores liste over underdatabehandlere) • Bistå dig med at besvare henvendelser fra registrerede • Bistå dig med at sikre overholdelse af GDPR artikel 32-36 • Slette eller returnere alle personoplysninger ved ophør, medmindre opbevaring er påkrævet ved lov • Stille nødvendige oplysninger til rådighed for at påvise overholdelse og muliggøre revisioner

Du godkender, at vi engagerer underdatabehandlere til at behandle personoplysninger på dine vegne i henhold til denne DPA. Vi vedligeholder en liste over aktuelle underdatabehandlere på /legal/subprocessors. Vi vil underrette dig om eventuelle planlagte ændringer af underdatabehandlere og give dig mulighed for at gøre indsigelse. Vi indgår skriftlige aftaler med hver underdatabehandler med databeskyttelsesforpligtelser, der ikke er mindre beskyttende end denne DPA.

Personoplysninger kan overføres til og behandles i lande uden for Det Europæiske Økonomiske Samarbejdsområde (EØS). Vi sikrer, at sådanne overførsler overholder GDPR kapitel V ved brug af: • Standardkontraktbestemmelser (SCC'er) godkendt af Europa-Kommissionen • Overførsler til lande med tilstrækkelighedsafgørelser • Andre gyldige overførselsmekanismer i henhold til GDPR Efter anmodning vil vi levere kopier af de gældende overførselsmekanismer.

Vi underretter dig uden unødig forsinkelse (og under alle omstændigheder inden for 48 timer) efter at være blevet bekendt med en sikkerhedshændelse, der berører dine personoplysninger. Underretningen skal indeholde: • Beskrivelse af hændelsens art • Kategorier og omtrentligt antal berørte registrerede • Sandsynlige konsekvenser af hændelsen • Foranstaltninger truffet eller foreslået for at håndtere hændelsen Vi vil samarbejde med dig i forbindelse med undersøgelse, afbødning og afhjælpning af enhver sikkerhedshændelse.

Efter rimelig anmodning og under forudsætning af fortrolighedsforpligtelser stiller vi nødvendige oplysninger til rådighed for at påvise overholdelse af denne DPA. Du kan gennemføre en revision for at verificere vores overholdelse, forudsat at: • Der gives rimeligt varsel (mindst 30 dage) • Revisioner gennemføres i normal arbejdstid • Omfanget er begrænset til relevante faciliteter og dokumenter • Revisor accepterer fortrolighed

Denne DPA træder i kraft fra den dato, du accepterer vores servicevilkår, og fortsætter indtil ophør af tjenesterne. Ved ophør: • Vi vil, efter dit valg, slette eller returnere alle personoplysninger • Eksisterende kopier vil blive slettet inden for 90 dage (medmindre opbevaring er påkrævet ved lov) • Efter anmodning vil vi skriftligt bekræfte sletningen

Emne: Behandling af personoplysninger som nødvendigt for at levere FaceShot. Varighed: I tjenestens løbetid plus enhver lovpligtig opbevaringsperiode. Art og Formål: • Levering af AI-portrætfototjenesten • Brugergodkendelse og kontoadministration • Analyse og tjenesteforbedring • Fakturering og betalingsbehandling Typer af Personoplysninger: • Kontaktoplysninger (e-mail, navn) • Kontooplysninger • Billeder uploadet til behandling • Brugsdata og logfiler • Betalingsoplysninger (behandlet af Stripe) Kategorier af Registrerede: • Registrerede brugere af FaceShot • Personer afbilledet på uploadede billeder (med samtykke)