Databehandleravtale

"Personopplysninger" betyr enhver opplysning om en identifisert eller identifiserbar fysisk person som definert i GDPR artikkel 4(1). "Behandling" betyr enhver operasjon som utføres på personopplysninger, som definert i GDPR artikkel 4(2). "Registrert" betyr den identifiserte eller identifiserbare fysiske personen som personopplysningene gjelder. "Underleverandør" betyr enhver tredjepart vi engasjerer for å behandle personopplysninger på dine vegne. "Sikkerhetsbrudd" betyr ethvert brudd på sikkerheten som fører til utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert utlevering av, eller tilgang til, personopplysninger.

Denne DPA-en gjelder for all behandling av personopplysninger vi utfører på dine vegne i forbindelse med FaceShot. Partene anerkjenner at: • Du er behandlingsansvarlig for personopplysningene • Vi er databehandler som handler på dine vegne og etter dine instruksjoner Behandlingens gjenstand, varighet, art og formål, samt typene personopplysninger og kategoriene av registrerte, er beskrevet i vedlegg 1 til denne DPA-en.

Vi skal: • Kun behandle personopplysninger etter dine dokumenterte instruksjoner, med mindre det kreves ved lov • Sikre at personer som er autorisert til å behandle personopplysninger er bundet av taushetsplikt • Implementere egnede tekniske og organisatoriske sikkerhetstiltak • Ikke engasjere underleverandører uten forhåndsgodkjenning (se vår underleverandørliste) • Bistå deg med å svare på henvendelser fra registrerte • Bistå deg med å sikre overholdelse av GDPR artikkel 32-36 • Slette eller returnere alle personopplysninger ved opphør, med mindre oppbevaring er påkrevd ved lov • Gjøre tilgjengelig informasjon som er nødvendig for å påvise samsvar og tillate revisjoner

Du autoriserer oss til å engasjere underleverandører for å behandle personopplysninger på dine vegne, underlagt denne DPA-en. Vi vedlikeholder en liste over nåværende underleverandører på /legal/subprocessors. Vi vil varsle deg om eventuelle planlagte endringer i underleverandører, slik at du får mulighet til å protestere. Vi skal inngå skriftlige avtaler med hver underleverandør som pålegger personvernforpliktelser som ikke er mindre beskyttende enn denne DPA-en.

Personopplysninger kan overføres til og behandles i land utenfor Det europeiske økonomiske samarbeidsområdet (EØS). Vi sikrer at slike overføringer er i samsvar med GDPR kapittel V, ved hjelp av: • Standardavtalebestemmelser (SCC-er) godkjent av EU-kommisjonen • Overføringer til land med tilstrekkelighetsbeslutninger • Andre gyldige overføringsmekanismer under GDPR På forespørsel vil vi gi kopier av overføringsmekanismene som er på plass.

Vi skal varsle deg uten ugrunnet opphold (og under enhver omstendighet innen 48 timer) etter å ha blitt kjent med et sikkerhetsbrudd som påvirker dine personopplysninger. Varselet skal inneholde: • Beskrivelse av arten av hendelsen • Kategorier og omtrentlig antall berørte registrerte • Sannsynlige konsekvenser av hendelsen • Tiltak som er iverksatt eller foreslått for å håndtere hendelsen Vi skal samarbeide med deg i etterforskningen, begrensningen og utbedringen av ethvert sikkerhetsbrudd.

På rimelig forespørsel og underlagt taushetsplikt, skal vi gjøre tilgjengelig informasjon som er nødvendig for å påvise samsvar med denne DPA-en. Du kan gjennomføre en revisjon for å verifisere vår overholdelse, underlagt: • Rimelig forhåndsvarsel (minst 30 dager) • Revisjoner i normal arbeidstid • Omfang begrenset til relevante fasiliteter og dokumenter • Revisors avtale om konfidensialitet

Denne DPA-en trer i kraft fra datoen du aksepterer våre vilkår for bruk og fortsetter til tjenestene avsluttes. Ved opphør: • Vi skal, etter ditt valg, slette eller returnere alle personopplysninger • Eksisterende kopier vil bli slettet innen 90 dager (med mindre oppbevaring er påkrevd ved lov) • På forespørsel skal vi bekrefte sletting skriftlig

Gjenstand: Behandling av personopplysninger som er nødvendig for å levere FaceShot. Varighet: I tjensteavtalens løpetid pluss eventuelle lovpålagte oppbevaringsperioder. Art og formål: • Levering av AI-portrettbildetjenesten • Brukerautentisering og kontoadministrasjon • Analyse og forbedring av tjenesten • Fakturering og betalingsbehandling Typer personopplysninger: • Kontaktinformasjon (e-post, navn) • Kontoinformasjon • Bilder lastet opp for behandling • Bruksdata og logger • Betalingsinformasjon (behandlet av Stripe) Kategorier av registrerte: • Registrerte brukere av FaceShot • Personer avbildet i opplastede bilder (med samtykke)