Personuppgiftsbiträdesavtal

"Personuppgifter" avser all information som rör en identifierad eller identifierbar fysisk person enligt definitionen i GDPR artikel 4.1. "Behandling" avser varje åtgärd som utförs på personuppgifter enligt definitionen i GDPR artikel 4.2. "Registrerad" avser den identifierade eller identifierbara fysiska person som personuppgifterna rör. "Underbiträde" avser varje tredje part som vi anlitar för att behandla personuppgifter för din räkning. "Säkerhetsincident" avser varje säkerhetsöverträdelse som leder till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande av eller obehörig åtkomst till personuppgifter.

Detta DPA gäller all behandling av personuppgifter som vi utför för din räkning i samband med FaceShot. Parterna erkänner att: • Du är personuppgiftsansvarig för personuppgifter • Vi är personuppgiftsbiträde som agerar för din räkning och enligt dina instruktioner Föremålet, varaktigheten, arten och ändamålet med behandlingen samt typerna av personuppgifter och kategorier av registrerade beskrivs i bilaga 1 till detta DPA.

Vi ska: • Behandla personuppgifter endast enligt dina dokumenterade instruktioner, såvida det inte krävs enligt lag • Säkerställa att personer som har behörighet att behandla personuppgifter är bundna av sekretess • Genomföra lämpliga tekniska och organisatoriska säkerhetsåtgärder • Inte anlita underbiträden utan föregående godkännande (se vår lista över underbiträden) • Bistå dig med att besvara förfrågningar från registrerade • Bistå dig med att säkerställa efterlevnad av GDPR artiklarna 32-36 • Radera eller återlämna alla personuppgifter vid upphörande, såvida lagring inte krävs enligt lag • Tillhandahålla nödvändig information för att påvisa efterlevnad och möjliggöra revisioner

Du godkänner att vi anlitar underbiträden för att behandla personuppgifter för din räkning i enlighet med detta DPA. Vi upprätthåller en lista över aktuella underbiträden på /legal/subprocessors. Vi meddelar dig om planerade ändringar av underbiträden och ger dig möjlighet att invända. Vi ingår skriftliga avtal med varje underbiträde med dataskyddsskyldigheter som inte är mindre skyddande än detta DPA.

Personuppgifter kan överföras till och behandlas i länder utanför Europeiska ekonomiska samarbetsområdet (EES). Vi säkerställer att sådana överföringar uppfyller GDPR kapitel V genom att använda: • Standardavtalsklausuler (SCC) godkända av Europeiska kommissionen • Överföringar till länder med adekvansbeslutsländer • Andra giltiga överföringsmekanismer enligt GDPR På begäran tillhandahåller vi kopior av de gällande överföringsmekanismerna.

Vi meddelar dig utan onödigt dröjsmål (och under alla omständigheter inom 48 timmar) efter att vi blivit medvetna om en säkerhetsincident som påverkar dina personuppgifter. Meddelandet ska innehålla: • Beskrivning av incidentens art • Kategorier och ungefärligt antal drabbade registrerade • Sannolika konsekvenser av incidenten • Åtgärder som vidtagits eller föreslagits för att hantera incidenten Vi samarbetar med dig i utredning, begränsning och åtgärdande av varje säkerhetsincident.

På rimlig begäran och med förbehåll för sekretessåtaganden tillhandahåller vi nödvändig information för att påvisa efterlevnad av detta DPA. Du får genomföra en revision för att verifiera vår efterlevnad, förutsatt att: • Rimligt förhandsbesked ges (minst 30 dagar) • Revisioner genomförs under normal arbetstid • Omfattningen begränsas till relevanta anläggningar och handlingar • Revisorn godkänner sekretess

Detta DPA träder i kraft från det datum du godkänner våra användarvillkor och fortsätter tills tjänsterna upphör. Vid upphörande: • Vi ska, efter ditt val, radera eller återlämna alla personuppgifter • Befintliga kopior raderas inom 90 dagar (såvida lagring inte krävs enligt lag) • På begäran intygar vi raderingen skriftligen

Föremål: Behandling av personuppgifter som krävs för att tillhandahålla FaceShot. Varaktighet: Under tjänsteavtalets löptid plus eventuell lagstadgad lagringsperiod. Art och Ändamål: • Tillhandahållande av AI-porträttfototjänsten • Användarautentisering och kontohantering • Analys och tjänsteförbättring • Fakturering och betalningsbehandling Typer av Personuppgifter: • Kontaktinformation (e-post, namn) • Kontouppgifter • Bilder uppladdade för behandling • Användningsdata och loggar • Betalningsinformation (behandlad av Stripe) Kategorier av Registrerade: • Registrerade användare av FaceShot • Individer avbildade i uppladdade bilder (med samtycke)