Databehandleraftale for brand-kunder

1. Parter

Den dataansvarlige er det brand (den juridiske person), der opretter en konto på PixelAdmin Customer Portal og uploader, behandler eller på anden vis håndterer data via portalen (“Kunden”, “Brandet” eller “Dataansvarlig”).

Databehandleren er PixelAdmin ApS, CVR-nr. 45447588, Falkoner Allé 90, 2000 Frederiksberg, Danmark (“PixelAdmin” eller “Databehandler”).

Denne databehandleraftale (“Brand DPA” eller “Aftalen”) er indgået mellem den Dataansvarlige og Databehandleren (samlet “Parterne”) og udgør en integreret del af PixelAdmins servicevilkår for Customer Portal samt det abonnement, Brandet har valgt (Free, Pro, Business eller Enterprise).

Aftalen tiltrædes elektronisk af en bemyndiget repræsentant for Brandet i forbindelse med oprettelse af brandkontoen og bekræftes ved fortsat brug af Customer Portal. Brandet indestår for, at den person, der accepterer Aftalen, er behørigt tegningsberettiget.

For betalingsabonnementer (Pro, Business og Enterprise) sker accept af Aftalen i én sammenhængende click-through-flow sammen med Abonnementsvilkårene, AUP og Persondatapolitikken, og betalingen gennemføres via Stripes betalingsformularer. Et tidsstemplet log over accepten bevares af PixelAdmin som dokumentation for indgåelsen, jf. GDPR artikel 7 og princippet om ansvarlighed i artikel 5, stk. 2. Free-tier-konti, der oprettes via en invitationslink fra et studio, accepterer Aftalen ved den første aktive logon-handling, idet portalen forud for adgangen viser links til denne Brand DPA og de øvrige vilkår.

2. Præambel og baggrund

PixelAdmin udvikler og driver en Content Operations Platform til professionel produktfotografering, digital asset management, AI-baseret billedbehandling og distribution af visuelle aktiver til e-handels- og marketing-kanaler. Som en del af platformen tilbyder PixelAdmin en Customer Portal, hvor brand-kunder af PixelAdmins studio-partnere – og brands, der bruger PixelAdmin direkte – kan logge ind, gennemse, godkende, downloade og videredistribuere produktvisuelt indhold.

Når Brandet anvender Customer Portal til selvstændigt at uploade egne produktark, betale for Pro-, Business- eller Enterprise-funktioner, aktivere AI-funktioner eller pushe assets til egne salgskanaler (f.eks. Shopify eller Zalando), bestemmer Brandet selv formålet med og midlerne til behandlingen af de personoplysninger, der måtte indgå i de pågældende data. Brandet er dermed dataansvarlig, og PixelAdmin handler som databehandler på Brandets vegne.

Denne Brand DPA er udformet for at sikre Parternes overholdelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 (“GDPR”) samt anden gældende databeskyttelseslovgivning, herunder den danske databeskyttelseslov.

Aftalen følger strukturen i Datatilsynets vejledende standardkontrakt for databehandleraftaler og er tilpasset de behandlingsaktiviteter, der finder sted i PixelAdmin Customer Portal, herunder hosting, AI-billedanalyse, integrationer og analytics.

I tilfælde af modstrid mellem denne Brand DPA og PixelAdmins øvrige vilkår har denne Brand DPA forrang for så vidt angår behandlingen af personoplysninger.

3. Anvendelsesområde og forholdet til andre aftaler

Denne Brand DPA gælder for behandling af personoplysninger, der finder sted, når Brandet anvender Customer Portal direkte – det vil sige uploader, importerer eller genererer data via portalens grænseflader, API’er eller integrationer, og når PixelAdmin behandler disse data udelukkende efter Brandets instruks.

Customer Portal anvendes af to forskellige typer af kunder: (i) brand-kunder, hvis indhold leveres til portalen af et studio, der anvender PixelAdmins hovedplatform under en separat databehandleraftale med PixelAdmin (“Hoved-DPA’en”), og (ii) brand-kunder, der bruger Customer Portal som en selvstændig tjeneste, herunder til at uploade egne produkter og data.

For data, som et studio leverer til Brandet via Customer Portal, indgår PixelAdmin allerede i en databehandlerkæde under Hoved-DPA’en mellem studioet (dataansvarlig) og PixelAdmin (databehandler). I disse tilfælde er PixelAdmin underdatabehandler i forhold til studioets dataansvar, og denne Brand DPA gælder ikke for det pågældende dataflow. Læs mere i PixelAdmins Hoved-DPA.

For data, som Brandet uploader, importerer eller genererer direkte i Customer Portal – uafhængigt af et studio – er Brandet dataansvarlig, og PixelAdmin er databehandler under denne Brand DPA. Dette gælder uanset, om Brandet samtidig modtager studio-leveret materiale i samme portal.

Free-tier-brands, der ikke har et betalingsabonnement, er omfattet af denne Brand DPA i samme omfang som betalende brands for så vidt angår de data, brandet selv uploader. For studio-leveret materiale på samme konto gælder dog Hoved-DPA’ens databehandlerkæde – også for free-tier-brands.

Aftalen gælder kun for behandlinger, der falder inden for GDPR’s territoriale anvendelsesområde, jf. GDPR artikel 3. For behandlinger uden for GDPR’s anvendelsesområde gælder PixelAdmins almindelige fortroligheds- og sikkerhedsforpligtelser.

Denne Brand DPA skal læses i sammenhæng med PixelAdmins øvrige aftaledokumenter for Customer Portal, herunder Abonnementsvilkårene (kommercielle vilkår, ansvarsbegrænsninger og tier-specifikke rettigheder), Politikken om acceptabel anvendelse (AUP) (begrænsninger på indhold og brug af tjenesten), samt Persondatapolitikken (PixelAdmins egen behandling af personoplysninger som dataansvarlig, herunder kontoadministration og fakturering). I tilfælde af modstrid mellem denne Brand DPA og de øvrige dokumenter har Brand DPA'en forrang for så vidt angår behandlingen af personoplysninger, jf. afsnit 2.

4. Dataansvarliges rettigheder og forpligtelser

Brandet er dataansvarlig for de personoplysninger, det behandler i Customer Portal, og er ansvarligt for at sikre, at behandlingen sker i overensstemmelse med GDPR, anden gældende EU-retlig databeskyttelseslovgivning og national databeskyttelseslovgivning.

Brandet har ret og pligt til at fastsætte formålet med og midlerne til behandlingen, herunder valg af kategorier af registrerede, retsgrundlag, opbevaringsperioder, hvilke AI- og integrationsfunktioner der aktiveres, samt hvilke modtagere assets distribueres til.

Brandet er ansvarligt for at sikre fornødent retsgrundlag for behandlingen af de personoplysninger, der måtte indgå i uploadet materiale, herunder samtykker, modelaftaler, oplysningspligt over for ansatte, modeller, forhandlere og slutkunder, samt – hvor relevant – udførelse af konsekvensanalyse (DPIA) for de behandlinger, Brandet beslutter at foretage via Customer Portal.

Brandet er endvidere ansvarligt for at konfigurere portalens adgangsrettigheder, brugerroller og sletningspolitikker i overensstemmelse med Brandets eget interne governance- og databeskyttelsesregime.

Customer Portal er udviklet og leveret som et content operations-værktøj til håndtering af visuelle aktiver, produktkataloger og produktionsworkflows. Portalen er hverken designet, kategoriseret eller sikkerhedsklassificeret som et CRM-, marketing-automation- eller end-customer-database-system. Brandet må derfor ikke uploade, importere eller på anden vis behandle personoplysninger om Brandets slutkunder (forbrugere, e-handelskøbere, nyhedsbrev-modtagere mv.) i Customer Portal, herunder kontaktlister, ordrehistorik, segmenter eller adfærdsdata, medmindre dette er udtrykkeligt aftalt skriftligt med PixelAdmin og dokumenteret som en særlig instruks i Bilag C. Brud på denne begrænsning udgør væsentlig misligholdelse, jf. afsnit 16, og kan tillige udgøre overtrædelse af AUP.

Customer Portal understøtter ikke oprettelse af konti for Brandets slutkunder eller andre eksterne brugere uden for Brandets egen organisation og inviterede samarbejdspartnere. Brandet er derfor ikke forpligtet til – og kan ikke via Customer Portal – håndtere indsigtsanmodninger fra slutkunder gennem portalens funktioner. Hvis Brandet på trods af dette anvender portalen til at registrere identificerbare slutkunder (f.eks. i style guides eller kommentarfelter), er Brandet selv ansvarligt for at udøve registreredes rettigheder over for de pågældende personer uden for portalen, idet PixelAdmin yder sædvanlig bistand efter afsnit 12.

5. Behandling efter dokumenteret instruks

PixelAdmin må alene behandle personoplysninger på vegne af Brandet efter dokumenteret instruks fra Brandet, medmindre behandlingen er påkrævet i henhold til EU-ret eller national ret, som PixelAdmin er underlagt. Den dokumenterede instruks fremgår dels af Aftalen (herunder Bilag A og C), dels af Brandets løbende konfiguration og brug af Customer Portal, herunder valg af abonnement, aktivering af AI-funktioner, oprettelse af integrationer, brugeradministration og uploads.

Yderligere instrukser kan gives skriftligt af Brandets dataansvarlige kontakt eller en bemyndiget administrator i Customer Portal. Hvor instruksen kræver en udvikling, der ligger ud over den standardfunktionalitet, PixelAdmin tilbyder, kan PixelAdmin betinge gennemførelsen af en særskilt aftale eller af, at Brandet betaler de rimelige omkostninger forbundet hermed.

PixelAdmin underretter omgående Brandet, hvis en instruks efter PixelAdmins opfattelse er i strid med GDPR eller anden gældende databeskyttelseslovgivning. PixelAdmin kan i sådanne tilfælde suspendere den pågældende behandling, indtil instruksen er bekræftet, ændret eller trukket tilbage af Brandet.

PixelAdmin behandler ikke personoplysninger til egne formål, herunder markedsføring, profilering eller modeludvikling, ud over de tilfælde, der er udtrykkeligt angivet i Aftalen eller hvortil Brandet på anden vis har givet eksplicit instruks.

6. Fortrolighed

PixelAdmin sikrer, at adgang til personoplysninger, der behandles på vegne af Brandet, alene gives til personer, der er underlagt PixelAdmins instruktionsbeføjelser, har et arbejdsbetinget behov for adgangen, og som har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. Adgang gives efter princippet om mindst privilegium (“least privilege”).

Alle medarbejdere og konsulenter hos PixelAdmin underskriver fortrolighedserklæringer som en del af ansættelses- eller leverandøraftalen. Fortrolighedsforpligtelsen gælder også efter ansættelsens eller engagementets ophør.

PixelAdmin skal efter rimelig anmodning fra Brandet kunne dokumentere, at de personer, der er underlagt PixelAdmins instruktionsbeføjelser, er underlagt ovennævnte tavshedspligt. Dokumentation kan ske ved fremlæggelse af interne politikker, anonymiserede ansættelsesvilkår eller compliance-attester.

PixelAdmin udleverer ikke personoplysninger, der behandles på Brandets vegne, til offentlige myndigheder, retshåndhævende organer eller efterretningstjenester, medmindre udleveringen er retligt bindende efter EU-ret eller national ret, der finder anvendelse på PixelAdmin. Modtager PixelAdmin en sådan anmodning, vil PixelAdmin – medmindre dette er forbudt ved lov – uden unødig forsinkelse underrette Brandet, anfægte uforholdsmæssigt brede eller ulovlige anmodninger, begrænse udleveringen til det strengt nødvendige og søge at omdirigere myndigheden til at rette anmodningen direkte til Brandet som dataansvarlig. PixelAdmin offentliggør statistikker over modtagne myndighedsanmodninger på sit Trust Center, medmindre dette ville være i strid med tavshedspligt eller ufravigelig lovgivning.

7. Behandlingssikkerhed

PixelAdmin gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risikoen, jf. GDPR artikel 32. Foranstaltningerne tager hensyn til det aktuelle tekniske niveau, implementeringsomkostninger, behandlingens karakter, omfang, sammenhæng og formål samt de varierende risici for fysiske personers rettigheder og frihedsrettigheder.

PixelAdmins sikkerhedsbaseline for Customer Portal omfatter blandt andet: hosting i EU-cloud-infrastruktur fra Microsoft Azure, OVHcloud og Scaleway (alle i EU-regioner), kryptering af data under transport (TLS 1.2+) og i hvile (AES-256 via Azure Storage Service Encryption og Cosmos DB encryption-at-rest), rollebaseret adgangskontrol (RBAC) via Azure AD B2C med multifaktor-autentificering for alle administratorer, samt audit-logning af alle administrative handlinger og dataadgange via Azure Monitor og Application Insights.

Customer Portal er bygget med en strikt logisk adskillelse mellem brands gennem tenant-isolering, så et brand ikke kan tilgå et andet brands data. Backups tages dagligt, krypteres og opbevares geografisk adskilt inden for EU. Restore-procedurer testes mindst én gang årligt.

Multi-brand tenant-isolering er implementeret som en defense-in-depth-arkitektur: hvert brand allokeres en unik tenant-identifier, der filtreres på databaseniveau via partitionsnøgler i Cosmos DB og container-/præfiks-scoping i Azure Blob Storage; alle API-kald valideres mod tenant-konteksten i den udstedte Azure AD B2C-token, så cross-tenant-anmodninger afvises før de når datalaget; administrative supportadgange logges per tenant og er underlagt break-glass-procedurer med eskaleringskrav. Logiske test af tenant-isoleringen indgår i PixelAdmins interne sikkerhedstest og review-processer ved arkitektur- og featureændringer.

PixelAdmin foretager kontinuerlig sårbarhedsscanning af applikation, container-images, kode-afhængigheder og infrastruktur (eksempelvis via Dependabot, Microsoft Defender for Cloud og tilsvarende værktøjer), månedlige patch-cycles for kritiske komponenter samt intern code review og security review af nye features og arkitekturændringer. En koordineret sårbarhedsoplysningskanal på security@pixeladmin.com gør det muligt for eksterne forskere og kunder at rapportere mistænkte sårbarheder. Resultater og gennemførte afhjælpninger dokumenteres i PixelAdmins ledelsesgennemgang og kan på anmodning gøres tilgængelige på sammenfattet niveau for Brandet. Ekstern penetrationstest af platformen er ikke en fast tilbagevendende kadence, men kan gennemføres efter behov og efter særskilt aftale.

PixelAdmins underliggende cloud-platform omfatter Microsoft Azure, OVHcloud og Scaleway, der hver især er certificeret efter ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018 og SOC 2 Type II, og Google Cloud (Vertex AI) opretholder tilsvarende ISO/IEC 27001/27017/27018- og SOC 2 Type II-certificeringer for de underliggende AI-tjenester. PixelAdmin er ikke selv ISO/IEC 27001- eller SOC 2 Type II-certificeret, men opretholder skriftlige interne sikkerheds- og governance-politikker, change management og kontinuerlig sårbarhedsscanning, og kan på rimelig anmodning fremlægge disse politikker og udfylde sikkerhedsspørgeskemaer (CAIQ-Lite, SIG-Lite eller Brandets egne) under en gensidig fortrolighedsaftale. Den til enhver tid gældende oversigt over sikkerhedsforanstaltninger findes i Bilag C, afsnit C.2, samt i opdateret form på PixelAdmins Trust Center.

Hvor Brandets risikovurdering kræver yderligere foranstaltninger end dem, PixelAdmin allerede har gennemført, skal Brandet specificere disse skriftligt. PixelAdmin vil i god tro vurdere, om de yderligere foranstaltninger kan implementeres som standard, mod betaling, eller om de ligger uden for tjenestens omfang.

8. Anvendelse af underdatabehandlere

PixelAdmin opfylder de betingelser, der er fastsat i GDPR artikel 28, stk. 2 og stk. 4, for at gøre brug af en anden databehandler (en “Underdatabehandler”) til behandling af personoplysninger på vegne af Brandet.

Brandet giver ved indgåelse af denne Aftale generel forhåndsgodkendelse til, at PixelAdmin anvender de Underdatabehandlere, der er anført i Bilag B. Brandet godkender desuden, at PixelAdmin kan tilføje eller udskifte Underdatabehandlere mod skriftligt varsel på minimum 30 dage før den nye Underdatabehandler påbegynder behandling.

Inden for varslingsperioden kan Brandet skriftligt gøre rimelig indsigelse mod ændringen. Hvis indsigelsen efter PixelAdmins rimelige vurdering ikke kan imødekommes ved alternative foranstaltninger, kan Brandet opsige det/de berørte abonnementer med øjeblikkelig virkning, idet PixelAdmin tilbagebetaler eventuelt forudbetalt vederlag for den uudnyttede del af abonnementsperioden.

Når PixelAdmin gør brug af en Underdatabehandler i forbindelse med specifikke behandlingsaktiviteter på Brandets vegne, pålægger PixelAdmin Underdatabehandleren mindst de samme databeskyttelsesforpligtelser som dem, der følger af denne Aftale, ved hjælp af en skriftlig kontrakt. PixelAdmin er fuldt ud ansvarlig over for Brandet for Underdatabehandlerens opfyldelse af sine forpligtelser.

En til enhver tid opdateret liste over godkendte Underdatabehandlere fremgår af Bilag B og af PixelAdmins Trust Center. Brandet kan tilmelde sig en e-mail-baseret notifikationsliste for ændringer ved at angive en dedikeret databeskyttelseskontakt i Customer Portals kontoindstillinger; dette anses som det aftalte kommunikationspunkt for varsler i henhold til dette afsnit. Hvis Brandet ikke har angivet en sådan kontakt, sendes varsler til den primære administrator af brandkontoen, og Brandet er ansvarligt for at opretholde aktuelle kontaktoplysninger.

9. Internationale overførsler

PixelAdmins behandling af personoplysninger på vegne af Brandet finder som udgangspunkt sted inden for Den Europæiske Union (EU) og Det Europæiske Økonomiske Samarbejdsområde (EØS). Microsoft Azure-, OVHcloud- og Scaleway-ressourcer hostes alle i EU-regioner, og Google Vertex AI-kald foretages mod en EU-region.

Hvor begrænset overførsel til tredjelande undtagelsesvis kan forekomme – f.eks. hvis Microsoft, OVHcloud, Scaleway eller Google Ireland anvender supportmedarbejdere uden for EU/EØS, eller hvis Brandet selv aktiverer integrationer med modtagere uden for EU/EØS – sker dette alene på et gyldigt overførselsgrundlag i henhold til GDPR kapitel V, herunder EU-Kommissionens standardkontraktbestemmelser (“SCC”), bindende virksomhedsregler (BCR) eller Data Privacy Framework, hvor det er relevant.

PixelAdmin foretager ikke selv overførsler til tredjelande uden for EU/EØS uden forudgående dokumenteret instruks fra Brandet. Hvis EU-ret eller national ret pålægger PixelAdmin at foretage en sådan overførsel, underretter PixelAdmin Brandet herom forud for behandlingen, medmindre dette er forbudt i medfør af lovgivning af hensyn til vigtige samfundsmæssige interesser.

Brandets eventuelle instruks om overførsel til tredjelande, herunder valg af overførselsgrundlag, fremgår af Bilag C, afsnit C.4.

For så vidt angår betalingsbehandling via Stripe Payments Europe Limited gælder følgende: Stripe-koncernen anvender amerikanske og andre tredjelandsbaserede koncernforbundne enheder til den globale afvikling af korttransaktioner. Sådanne koncerninterne overførsler er dækket af EU-Kommissionens standardkontraktbestemmelser (modul 1 og modul 4) i Stripes egen koncerninterne databehandleraftale, suppleret af tekniske og organisatoriske foranstaltninger samt – hvor relevant – tilslutning til EU-US Data Privacy Framework. PixelAdmin har gennemført en transfer impact assessment (“TIA”) for denne strøm og kan på rimelig anmodning udlevere en sammenfatning til Brandet.

Hvor Brandet er etableret i Storbritannien eller på anden vis er underlagt UK GDPR, anvender Parterne UK International Data Transfer Agreement (“UK IDTA”) eller den britiske “Addendum” til EU-Kommissionens standardkontraktbestemmelser, alt efter hvad der bedst afspejler dataflowet. For brand-kunder etableret i Schweiz finder den schweiziske datatilsynsmyndigheds anerkendte SCC-tilpasninger anvendelse. Sådanne supplerende overførselsmekanismer indgås ved henvisning som integreret del af denne Aftale, idet de relevante bilag stilles til rådighed på anmodning.

PixelAdmin gennemfører periodiske TIA'er for væsentlige overførsler i medfør af EDPB Recommendations 01/2020 og dokumenterer de supplerende tekniske, kontraktuelle og organisatoriske foranstaltninger, der – sammen med det valgte overførselsgrundlag – sikrer et ækvivalent beskyttelsesniveau. Sammenfattede resultater stilles til rådighed via PixelAdmins Trust Center.

10. AI-funktioner og særlige behandlinger

Customer Portal indeholder en række valgfrie AI-funktioner, herunder automatisk billed-tagging, visuel søgning, baggrundsfjernelse, kategoriforslag samt generering af lighedsvektorer for produktbilleder. AI-funktionerne aktiveres af Brandet på workspace-niveau eller asset-niveau, og det er Brandets ansvar at vurdere lovligheden af at sende konkrete data gennem AI-pipelinen.

AI-funktionerne implementeres ved kald til Google Cloud Vertex AI (Gemini-modellerne) i en EU-region, leveret af Google Ireland Limited som Underdatabehandler. PixelAdmin har konfigureret integrationen, så data, der sendes til Vertex AI, behandles i “no-training”-tilstand: Google må alene anvende dataene til at generere det ønskede output for det enkelte kald og logges i overensstemmelse med Googles standard-DPA. Data anvendes ikke til at træne, finjustere eller forbedre Googles foundation-modeller.

Når en AI-funktion er aktiveret, kan følgende data blive sendt til Vertex AI: produktbilleder (originaler eller skalerede versioner), tilhørende metadata (SKU, kategori, sæson, brand-defineret stiletekst) samt eventuelle korte tekstprompts fra Brandets brugere. Output – herunder forslag til tags, beskrivelser, kategorier og lighedsvektorer – modtages tilbage og lagres i Cosmos DB knyttet til det relevante asset.

PixelAdmin foretager ikke automatiserede afgørelser med retsvirkning eller tilsvarende væsentlig betydning for fysiske personer, jf. GDPR artikel 22, via Customer Portal. AI-output præsenteres som forslag, og en menneskelig bruger hos Brandet skal aktivt godkende ændringer, før de anses for vedtaget.

Brandet er ansvarligt for at oplyse de registrerede om brugen af AI-funktioner, hvor dette følger af artikel 13/14, samt for at sikre, at særlige kategorier af personoplysninger (artikel 9) eller oplysninger om straffedomme (artikel 10) ikke uploades til Customer Portal uden et lovligt grundlag og særlig konfigurationsaftale med PixelAdmin.

For så vidt angår funktioner, der genererer eller manipulerer billed- eller tekstindhold (f.eks. baggrundsfjernelse, generering af alternative produktscener eller AI-baserede beskrivelser), er Brandet ansvarligt for at overholde de transparensforpligtelser, der følger af artikel 50 i Europa-Parlamentets og Rådets forordning (EU) 2024/1689 (“EU AI Act”), herunder mærkning af syntetisk eller manipuleret indhold over for slutmodtagere, hvor dette er påkrævet. PixelAdmin stiller den nødvendige tekniske dokumentation – herunder model-leverandør, modelversion og konfigurationsmetadata – til rådighed for Brandet via portalens asset-metadata, så Brandet kan opfylde disse forpligtelser.

PixelAdmin overvåger udviklingen i EU AI Act og det danske gennemførelseslandskab og foretager løbende tilpasninger af AI-funktionerne, så de forbliver klassificeret uden for de højrisiko-kategorier, der er fastsat i forordningen. Hvis en konkret AI-funktion på grund af en lovgivningsmæssig ændring kvalificerer som højrisiko, vil PixelAdmin enten gennemføre de yderligere foranstaltninger, der er nødvendige, eller deaktivere funktionen og underrette Brandet i overensstemmelse med afsnit 8.

11. Integrationer og eksterne modtagere

Customer Portal tilbyder integrationer, der gør det muligt for Brandet at pushe produkt- og billeddata til eksterne salgs- og marketingkanaler, herunder Shopify og Zalando, samt til eventuelle andre kanaler, der måtte blive tilføjet. Integrationerne er kun tilgængelige på Business- og Enterprise-tier.

Når Brandet aktiverer en integration og angiver gyldige API-credentials, instruerer Brandet PixelAdmin i at sende den valgte payload (typisk produkt-metadata og billed-URL’er eller selve billedfilerne) til den eksterne modtager. PixelAdmin udfører transmissionen som databehandler på Brandets vegne under denne Aftale.

De eksterne modtagere – herunder Shopify Inc., Shopify International Ltd., Zalando SE og lignende platforme – betragtes som selvstændige dataansvarlige i forhold til de personoplysninger, de modtager. De er derfor ikke Underdatabehandlere under denne Aftale. Modtagernes behandling af de overførte data reguleres af modtagernes egne vilkår, persondatapolitikker og databehandleraftaler med Brandet.

Denne klassifikation – ekstern modtager som selvstændig dataansvarlig (controller-til-controller-overførsel), ikke som Underdatabehandler – er en bevidst og afgørende del af aftaledesignet og afspejler EDPB Guidelines 07/2020 om begreberne dataansvarlig og databehandler. PixelAdmin afgør ikke formålet med eller midlerne til den efterfølgende behandling hos modtageren, vælger ikke modtageren på vegne af Brandet og udøver ingen instruktionsbeføjelse over modtageren. PixelAdmin agerer alene som teknisk transmissionsled efter Brandets dokumenterede instruks, jf. Bilag C, afsnit C.6, og påtager sig ikke ansvar – hverken under denne Aftale eller i øvrigt – for modtagerens efterfølgende behandling af data.

Brandet er ansvarligt for at sikre et lovligt overførselsgrundlag mellem Brandet og den eksterne modtager, herunder eventuelt indgåelse af særskilte databehandleraftaler, controller-til-controller-aftaler eller standardkontraktbestemmelser ved overførsel til tredjelande. PixelAdmin yder rimelig bistand med at dokumentere de tekniske dataflows efter anmodning.

PixelAdmin opbevarer logfiler over integrationskørsler (tidspunkt, status, antal records, fejlbeskeder) i op til 12 måneder med henblik på fejlsøgning og audit. Selve payloads opbevares ikke ud over det, der er nødvendigt for retransmission ved fejl, og slettes herefter automatisk.

12. Bistand til den dataansvarlige

PixelAdmin bistår, under hensyntagen til behandlingens karakter og så vidt muligt, Brandet ved hjælp af passende tekniske og organisatoriske foranstaltninger med opfyldelsen af Brandets forpligtelse til at besvare anmodninger om udøvelse af de registreredes rettigheder, jf. GDPR kapitel III, herunder:

• Indsigtsretten (artikel 15)
• Retten til berigtigelse (artikel 16)
• Retten til sletning (artikel 17)
• Retten til begrænsning af behandling (artikel 18)
• Retten til dataportabilitet (artikel 20)
• Retten til indsigelse (artikel 21)

Bistanden ydes som udgangspunkt via Customer Portals selvbetjeningsfunktioner – f.eks. eksport af data, sletning af brugere eller assets samt søgning på registrerede via metadata. Hvor selvbetjening ikke er tilstrækkelig, kan Brandet kontakte PixelAdmins databeskyttelsesteam på dpo@pixeladmin.com, som responderer inden for rimelig tid.

PixelAdmin bistår endvidere Brandet med at sikre overholdelse af Brandets forpligtelser efter GDPR artikel 32-36, herunder behandlingssikkerhed, anmeldelse af brud, forudgående høring og konsekvensanalyse (DPIA), under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for PixelAdmin.

Bistand inden for tjenestens standardomfang ydes uden særskilt betaling. For omfattende eller atypiske anmodninger – f.eks. omfattende historiske datatræk eller skræddersyede analyser – kan PixelAdmin opkræve et rimeligt vederlag baseret på medgået tid, hvilket aftales skriftligt forud for udførelsen.

Customer Portal er ikke en kanal for slutkunde-rettede indsigtsanmodninger. Anmodninger fra Brandets slutkunder, forbrugere eller andre eksterne registrerede skal håndteres direkte af Brandet uden om portalen. Modtager PixelAdmin alligevel en sådan anmodning, der vedrører personoplysninger behandlet på Brandets vegne, videresender PixelAdmin uden unødig forsinkelse anmodningen til den primære databeskyttelseskontakt på Brandets konto og bistår herefter Brandet i overensstemmelse med dette afsnit. PixelAdmin besvarer ikke selvstændigt sådanne anmodninger over for de registrerede.

I forhold til Brandets egne portal-brugere (medarbejdere, samarbejdspartnere og inviterede gæster) håndteres indsigtsanmodninger primært via Brandets administrator i Customer Portal, der har adgang til at eksportere brugerdata, ændre roller og slette brugerkonti. PixelAdmin kan på forespørgsel oplyse om de tekniske dataflows og logning, der er knyttet til den enkelte bruger.

13. Brud på persondatasikkerheden

PixelAdmin underretter uden unødig forsinkelse Brandet, efter at PixelAdmin er blevet opmærksom på, at der er sket et brud på persondatasikkerheden, der berører personoplysninger behandlet på vegne af Brandet. Underretningen sendes til den primære kontaktperson på Brandets konto samt til Brandets registrerede sikkerheds-/DPO-kontakt, hvis en sådan er angivet i portalen.

Underretningen skal om muligt ske senest 48 timer efter, at PixelAdmin er blevet bekendt med bruddet, så Brandet kan overholde sin pligt til at anmelde bruddet til den kompetente tilsynsmyndighed inden for 72 timer, jf. GDPR artikel 33.

Underretningen skal som minimum indeholde: en beskrivelse af bruddets karakter, herunder de berørte kategorier og det omtrentlige antal registrerede og records; sandsynlige konsekvenser; gennemførte og foreslåede afbødende foranstaltninger; samt kontaktoplysninger på en relevant kontaktperson hos PixelAdmin. Yderligere oplysninger fremlægges, så snart de er tilgængelige.

PixelAdmin bistår Brandet med dokumentation af bruddet, kommunikation til berørte registrerede og myndigheder samt efterfølgende root cause-analyse og forebyggende foranstaltninger, alt i rimeligt omfang.

Underretning om brud sendes via en sikker, krypteret kommunikationskanal (signeret e-mail eller portal-baseret meddelelse beskyttet af MFA). Brandet anfører selv en eller flere brud-modtagere i Customer Portals kontoindstillinger. Indtil bruddet er undersøgt og kommunikeret, behandles oplysninger om bruddet som strengt fortrolige af begge Parter, jf. afsnit 6.

Det henhører under Brandets eget skøn som dataansvarlig at vurdere, om et brud udløser anmeldelsespligt over for tilsynsmyndigheden efter GDPR artikel 33 og/eller underretningspligt over for de registrerede efter GDPR artikel 34. PixelAdmin foretager ikke selvstændige underretninger til tilsynsmyndigheder eller registrerede vedrørende behandlinger på Brandets vegne, medmindre Brandet udtrykkeligt instruerer herom eller PixelAdmin selv er forpligtet hertil ved lov i sin egenskab af dataansvarlig for tilstødende behandlinger.

PixelAdmin sikrer i forbindelse med et brud bevarelse af relevante forensiske spor (logs, snapshots, hukommelsesaftryk og konfigurationsdumps) i en uforanderlig form i mindst 12 måneder efter bruddets afslutning, så der kan foretages efterfølgende myndighedsundersøgelser, retslige procedurer eller revisioner. Beviskæden dokumenteres i en formaliseret incident-rapport, der efter Brandets anmodning kan stilles til rådighed under fortrolighed.

14. Sletning og returnering ved ophør

Ved ophør af de tjenester, der er omfattet af Aftalen, sletter eller returnerer PixelAdmin – efter Brandets valg – alle personoplysninger behandlet på vegne af Brandet og sletter eksisterende kopier, medmindre EU-ret eller national ret kræver fortsat opbevaring.

For betalte abonnementer (Pro, Business, Enterprise) opbevares Brandets data uden tidsbegrænsning, så længe abonnementet er aktivt og betalt. For free-tier-konti opbevares Brandets selvuploadede data i op til 12 måneder fra sidste login eller seneste aktivitet, hvorefter PixelAdmin er berettiget til at slette dataene efter forudgående skriftlig varsel på minimum 30 dage til den primære kontakt.

Når et abonnement opsiges eller udløber, overgår kontoen til en “recovery”-tilstand i op til 90 dage, hvor Brandet kan eksportere data via portalens indbyggede eksportværktøjer (CSV-eksport af metadata, ZIP-download af assets samt API-baseret eksport for Enterprise-tier). Efter recovery-perioden slettes data fra produktionsmiljøet.

Endelig sletning fra backups sker som led i den almindelige rotations- og udløbscyklus for backups, dog senest 90 dage efter sletning fra produktion. Logs, der indeholder personoplysninger, slettes efter de retentioner, der er angivet i Bilag A.

PixelAdmin bekræfter skriftligt over for Brandet, når sletningen er fuldført, hvis Brandet anmoder herom. Visse aggregerede og anonymiserede metadata, der ikke længere kan henføres til en identificerbar person, kan opbevares til drift, kapacitetsplanlægning og fejlanalyse.

Brandet kan på et hvilket som helst tidspunkt – senest dog ved abonnementets ophør og forud for den endelige sletning – meddele PixelAdmin, om Brandet ønsker (i) sletning af alle personoplysninger, (ii) returnering i et almindeligt anvendt, struktureret og maskinlæsbart format eller (iii) en kombination af de to, jf. GDPR artikel 28, stk. 3, litra g. Hvis Brandet ikke aktivt foretager et valg inden udløbet af recovery-perioden, anses sletning for at være valgt, og PixelAdmin gennemfører sletningen efter den dokumenterede sletteproces.

Sletning gennemføres efter anerkendte tekniske standarder for sikker sletning (logical deletion ledsaget af cryptographic erasure af de tilhørende krypteringsnøgler i Azure Key Vault, hvor Brandets data herefter er kryptografisk utilgængelige også fra eksisterende backup-snapshots forud for den endelige rotations-baserede sletning). Den valgte sletteprotokol dokumenteres som en del af PixelAdmins ledelsessystem og kan på rimelig anmodning gøres tilgængelig som dokumentation over for Brandets revisor eller tilsynsmyndighed.

15. Revision og inspektion

PixelAdmin stiller alle oplysninger, der er nødvendige for at påvise overholdelse af GDPR artikel 28 og denne Aftale, til rådighed for Brandet og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af Brandet eller en anden revisor, som er bemyndiget af Brandet.

PixelAdmin opfylder forpligtelsen i GDPR artikel 28, stk. 3, litra h, til løbende at stille de oplysninger, der er nødvendige for at påvise overholdelse, til rådighed gennem PixelAdmins Trust Center. Trust Center er PixelAdmins offentligt tilgængelige juridiske dokumenthub (legal-hub) og indeholder de gældende offentlige juridiske dokumenter (denne Databehandleraftale, SaaS-aftalen, EULA, AUP, SLA og Privatlivspolitik), den til enhver tid gældende oversigt over Underdatabehandlere samt sub-processor-varsler. Materiale, der ikke offentliggøres direkte – herunder sub-processor-attestationer (SOC 2 Type II- og ISO/IEC 27001/27017/27018-rapporter for Microsoft Azure, OVHcloud, Scaleway og Google Cloud samt PCI DSS Level 1-, SOC 1- og SOC 2-attestationer for Stripe), PixelAdmins egne interne sikkerheds- og governance-politikker, samt udfyldte sikkerhedsspørgeskemaer (CAIQ-Lite, SIG-Lite eller Brandets egne) – kan på rimelig skriftlig anmodning fra Brandet stilles til rådighed under en gensidig fortrolighedsaftale.

Brandet accepterer, at PixelAdmin som første led kan opfylde sine forpligtelser ved at fremlægge anerkendte tredjepartsattester og rapporter for PixelAdmins underdatabehandlere (“bevisbyrde-via-attest”), herunder ISO/IEC 27001-, ISO/IEC 27017- og ISO/IEC 27018-certifikater og SOC 2 Type II-rapporter for Microsoft Azure, OVHcloud, Scaleway og Google Cloud (Vertex AI Gemini) samt PCI DSS Level 1-, SOC 1- og SOC 2-attestationer for Stripe (for behandling af betalingsdata), kombineret med PixelAdmins egne interne sikkerheds- og governance-policies og skriftlige svar på sikkerhedsspørgeskemaer (CAIQ-Lite, SIG-Lite eller tilsvarende). PixelAdmin er ikke selv ISO/IEC 27001- eller SOC 2 Type II-certificeret, og bevisbyrden for PixelAdmins egne kontroller varetages således gennem de interne politikker og spørgeskema-svar, mens tredjepartsrapporterne alene vedrører underdatabehandlerne. Afhængigt af Brandets risikoeksponering og aftalte tier anses denne dokumentation – sammen med Brandets adgang til at gennemføre fjernrevision via skriftlige spørgeskemaer (f.eks. CAIQ-Lite eller SIG-Lite) – som tilstrækkelig til at opfylde Brandets revisionsforpligtelse, medmindre der foreligger en konkret begrundet mistanke om misligholdelse.

Hvis de fremlagte rapporter ikke er tilstrækkelige til at adressere konkret begrundede compliance-spørgsmål, kan Brandet kræve en supplerende revision udført af Brandet selv eller af en uafhængig tredjepartsrevisor, der ikke er en konkurrent til PixelAdmin. Revisionen aftales skriftligt, gennemføres med rimeligt varsel (mindst 30 dage), inden for normal kontortid, højst én gang pr. kalenderår (medmindre der er en konkret formodning om misligholdelse), og således at PixelAdmins drift forstyrres mindst muligt.

Brandet bærer egne omkostninger samt PixelAdmins rimelige omkostninger forbundet med revisionen, medmindre revisionen påviser væsentlig misligholdelse fra PixelAdmins side. Resultater af revisionen er fortrolige og må alene anvendes til at vurdere PixelAdmins overholdelse af Aftalen.

16. Ansvar og misligholdelse

Parternes ansvar i henhold til denne Aftale reguleres af de almindelige ansvarsbegrænsninger i PixelAdmins servicevilkår, dog således at ansvarsbegrænsninger ikke kan gøres gældende, hvor dette ville være i strid med ufravigelige bestemmelser i databeskyttelseslovgivningen, herunder GDPR artikel 82.

Det aggregerede ansvarsloft for krav udspringende af eller relateret til denne Aftale er fastsat i de relevante bestemmelser i Abonnementsvilkårene og er kalibreret til Brandets abonnementstier (Free, Pro, Business eller Enterprise), således at lavere tiers har et lavere absolut loft og Enterprise-tier har et højere loft, der står i rimeligt forhold til det aftalte vederlag. Loftet finder ikke anvendelse på krav, der ikke kan begrænses ved aftale (herunder krav efter GDPR artikel 82, krav som følge af forsæt eller grov uagtsomhed, eller krav vedrørende personskade).

Hver Part hæfter for egen overtrædelse af GDPR. Hvor en registreret rejser krav efter GDPR artikel 82 mod én af Parterne, og kravet skyldes den anden Parts forhold, har den hæftende Part regres mod den anden Part i overensstemmelse med GDPR artikel 82, stk. 5.

Ved væsentlig misligholdelse af Aftalen, der ikke er afhjulpet inden for 30 dage efter skriftlig påkrav, kan den ikke-misligholdende Part ophæve det/de underliggende abonnementer, idet bestemmelserne om sletning og returnering i afsnit 14 finder anvendelse.

17. Ikrafttræden og ophør

Aftalen træder i kraft på datoen for Brandets accept heraf (typisk ved oprettelse af brandkontoen eller ved første aktivering af Customer Portal) og er gældende, så længe PixelAdmin behandler personoplysninger på Brandets vegne.

Aftalen kan ikke opsiges selvstændigt, så længe der findes et aktivt abonnement eller en aktiv brandkonto, men ophører automatisk, når alle behandlinger på Brandets vegne er afsluttet, og afsnit 14 er gennemført.

Bestemmelser, der efter deres natur er bestemt til at gælde efter Aftalens ophør – herunder bestemmelser om fortrolighed, sletning, ansvar og lovvalg – forbliver i kraft i nødvendigt omfang.

Aftalen er underlagt dansk ret, og enhver tvist, der måtte opstå i forbindelse med Aftalen, skal afgøres ved Sø- og Handelsretten i København som første instans, medmindre ufravigelige værnetingsregler tilsiger andet.

Bilag A: Behandlingsoplysninger

A.1. Formålet med behandlingen

PixelAdmin behandler personoplysninger på vegne af Brandet med det formål at levere de funktioner i Customer Portal, som Brandet har valgt at aktivere, herunder kontoadministration, asset management, AI-baseret billedbehandling, omnichannel-distribution, fakturering og analytics.

A.2. Behandlingens karakter

Behandlingen omfatter blandt andet indsamling, registrering, organisering, strukturering, opbevaring, tilpasning, visning, fremfinding, brug, videregivelse ved transmission, sletning og tilintetgørelse i forbindelse med drift af Customer Portal, herunder generering af afledte versioner af visuelle aktiver (presets, miniaturer, AI-tags) samt logning af brugeraktivitet med henblik på sikkerhed og analytics.

A.3. Typer af personoplysninger

Behandlingen kan omfatte følgende typer af personoplysninger:

• Identitetsdata for portal-brugere: navn, e-mailadresse, brugerrolle, login-tidspunkter, IP-adresse og enhedsoplysninger, administreret via Azure AD B2C.
• Produktkatalog-metadata: SKU, produktnavn, kategori, sæson, prisinformation samt brand-defineret custom-metadata. Disse felter er typisk ikke personoplysninger, men kan i sjældne tilfælde indeholde dem (f.eks. designernavn).
• Visuelle aktiver: leveret produktfotografi (originalfiler) og brand-definerede download-presets/skalerede versioner. Aktiverne kan vise identificerbare personer (modeller, ansatte) og dermed udgøre personoplysninger.
• Samarbejdsdata: review- og approve-handlinger, kommentarer, ændringsforslag til style guides, inklusive forfatter-identitet og tidsstempler.
• AI-input og -output: billeder og prompts sendt til Vertex AI samt genererede tags, beskrivelser, lighedsvektorer og kategoriforslag (kun når AI-funktioner er aktiveret).
• Integrationsdata: payloads til Shopify, Zalando og lignende kanaler bestående af produkt- og billeddata samt tekniske kvitteringer (kun for Business+).
• Faktureringsdata: firmanavn, fakturaadresse, CVR/VAT-nummer, kontaktperson og betalingsmetadata. Selve betalingskortdata behandles direkte af betalingsudbyderen og er ikke omfattet af Aftalen.
• Brugsanalytics: event-logs over portal-interaktioner, der vises i Brandets eget analytics-dashboard.

Særlige kategorier og tredjepersoner: Brandet kan i begrænset omfang komme til at uploade indhold, der indeholder mindre mængder personoplysninger om slutkunder eller modeller (f.eks. modelnavne i style guides, navne på ansatte i metadatabeskrivelser). Customer Portal er ikke designet til behandling af særlige kategorier af personoplysninger (artikel 9) eller oplysninger om straffedomme (artikel 10), og Brandet må ikke uploade sådanne data uden en særskilt aftale med PixelAdmin.

A.4. Kategorier af registrerede

• Brandets ansatte og autoriserede brugere af Customer Portal.
• Modeller, talents og andre personer, der optræder på leverede produktbilleder.
• Eksterne samarbejdspartnere, der er inviteret som kommentar- eller godkendelsesbrugere.
• Slutkunder eller forretningskontakter, der lejlighedsvis omtales i metadata, kommentarer eller style guides.

A.5. Behandlingens varighed og retention

Behandlingen finder sted, så længe Brandet har et aktivt abonnement eller en aktiv free-tier-konto. Specifikke retentioner gælder for: brugsanalytics-events (op til 24 måneder), audit-logs (12 måneder), integrations-payload-logs (12 måneder), AI-input/output-cache (op til 90 dage, medmindre Brandet har valgt længere lagring som en del af asset-metadataen) og backups (op til 35 dage rullende).

A.6. Lokationer for behandlingen

Al primær behandling sker i Microsoft Azure-, OVHcloud- og Scaleway-datacentre inden for EU. AI-kald foretages mod Google Vertex AI i en EU-region. Support- og driftsadgang sker fra PixelAdmins kontorer i Danmark og fra godkendte hjemmearbejdspladser inden for EU/EØS via krypteret VPN og MFA.

A.7. Sletteprocedurer

Sletning sker som beskrevet i afsnit 14. For free-tier-konti udløses sletteprocessen automatisk efter 12 måneders inaktivitet, mens betalte konti slettes efter en 90-dages recovery-periode efter abonnementsophør. Backups roterer ud i den almindelige cyklus inden for 35 dage. Logs slettes løbende efter de retentioner, der er angivet i A.5.

Bilag B: Underdatabehandlere

B.1. Godkendte Underdatabehandlere

Ved Aftalens ikrafttræden har Brandet godkendt brugen af følgende Underdatabehandlere:

B.2. Varsel ved ændringer

PixelAdmin giver Brandet mindst 30 dages skriftligt varsel om planlagte ændringer vedrørende tilføjelse eller udskiftning af Underdatabehandlere. Varslet sendes til Brandets primære kontakt og offentliggøres i Customer Portal. Brandets indsigelses- og opsigelsesrettigheder følger afsnit 8.

B.3. Eksterne modtagere, der ikke er Underdatabehandlere

Shopify, Zalando og andre eksterne salgskanaler, som Brandet aktiverer integrationer til, er selvstændige dataansvarlige og er ikke Underdatabehandlere under denne Aftale, jf. afsnit 11.

Bilag C: Instruks vedrørende behandling af personoplysninger

C.1. Behandlingens genstand og dokumenteret instruks

PixelAdmin er instrueret i at behandle personoplysninger på vegne af Brandet med henblik på at levere Customer Portal, som beskrevet i Aftalen og PixelAdmins servicevilkår. Den dokumenterede instruks omfatter blandt andet: hosting og lagring af Brandets uploadede data, levering af søge-, review- og godkendelsesfunktioner, generering af afledte versioner af assets, levering af AI-funktioner (når aktiveret), levering af integrationer til eksterne kanaler (når aktiveret), generering af analytics-rapporter til Brandets eget brug samt sletning og eksport efter Brandets anmodning.

C.2. Tekniske og organisatoriske foranstaltninger

PixelAdmin gennemfører en tilstrækkelig sikkerhedsbaseline, der som minimum omfatter:

Adgangskontrol

Identitetsstyring via Azure AD B2C, multifaktor-autentificering for alle administratorer og PixelAdmin-medarbejdere, rollebaseret adgangskontrol med princippet om mindst privilegium, segmentering mellem brand-tenants samt automatisk tilbagekaldelse af adgang ved fratrædelse.

Multi-tenant-isolering håndhæves som beskrevet i afsnit 7: hvert brand allokeres en unik tenant-identifier, der filtreres på databaseniveau via partitionsnøgler i Cosmos DB og container-/præfiks-scoping i Azure Blob Storage; alle API-anmodninger valideres mod tenant-konteksten i den udstedte access token før de når datalaget; supportadgange logges per tenant og er underlagt formaliserede break-glass-procedurer med eskaleringskrav og efterfølgende ledelsesreview.

Kryptering og pseudonymisering

Kryptering under transport via TLS 1.2+ for alle eksterne og interne forbindelser, kryptering i hvile via AES-256 for blob-storage, Cosmos DB og backups, samt nøgleadministration via Azure Key Vault. Pseudonymisering anvendes for support-cases, hvor det er muligt.

Logning og overvågning

Centraliseret logning af adgang, administrative handlinger og sikkerhedsrelevante events via Azure Monitor og Application Insights. Logs opbevares i en uforanderlig (immutable) struktur i den retention, der er angivet i Bilag A.5, og overvåges proaktivt af PixelAdmins drifts- og sikkerhedsteam.

Backup og forretningskontinuitet

Daglige krypterede backups af Cosmos DB og Blob Storage, replikering på tværs af geografisk adskilte zoner inden for EU, samt dokumenterede og testede gendannelsesprocedurer. Recovery-mål: RPO højst 24 timer, RTO højst 24 timer for Customer Portals kritiske funktioner.

Sårbarhedshåndtering og test

Kontinuerlig sårbarhedsscanning af applikation, container-images, kode-afhængigheder og infrastruktur (eksempelvis via Dependabot, Microsoft Defender for Cloud og tilsvarende værktøjer), månedlige patch-cycles for kritiske komponenter, intern code review og security review af nye features og arkitekturændringer, en koordineret sårbarhedsoplysningskanal på security@pixeladmin.com samt en formaliseret proces for håndtering af sikkerhedsrelevante hændelser og afvigelser.

Hændelseshåndtering

En formaliseret incident response-plan med klare roller, eskaleringsveje og kommunikationsprotokoller. Underretning af Brandet i overensstemmelse med afsnit 13. Post-incident-rapporter med root cause-analyse og forebyggende foranstaltninger.

Personalesikkerhed

Baggrundstjek af medarbejdere med adgang til produktion, obligatoriske fortrolighedsaftaler, regelmæssig databeskyttelses- og sikkerhedstræning samt onboarding/offboarding-procedurer for adgangsrettigheder.

Fysisk sikkerhed

Fysisk sikkerhed varetages af Microsoft Azure, OVHcloud og Scaleway i certificerede datacentre med 24/7-overvågning, biometrisk adgangskontrol og videoovervågning. PixelAdmins egne kontorer er beskyttet med adgangskort, alarm og clean-desk-politik.

C.3. Lokalitet for behandling

Behandling af personoplysninger omfattet af Aftalen sker inden for EU/EØS, jf. Bilag A.6. Eventuel ændring af lokalitet kræver Brandets forudgående skriftlige godkendelse, medmindre ændringen alene består i flytning mellem to EU/EØS-baserede regioner hos en eksisterende Underdatabehandler.

C.4. Instruks vedrørende overførsel til tredjelande

PixelAdmin er instrueret i ikke at overføre personoplysninger til tredjelande uden for EU/EØS uden et gyldigt overførselsgrundlag i henhold til GDPR kapitel V og uden forudgående dokumenteret instruks fra Brandet. Hvis Brandet selv aktiverer integrationer eller funktioner, der medfører overførsel til tredjelande (f.eks. integrationer mod ikke-EU-baserede salgskanaler), bærer Brandet ansvaret for overførselsgrundlaget over for de berørte modtagere.

C.5. Specifikke instrukser vedrørende AI-funktioner

Når Brandet aktiverer AI-funktioner i Customer Portal, instruerer Brandet PixelAdmin i at sende relevante billeder og metadata til Google Vertex AI under de betingelser, der er beskrevet i afsnit 10. Brandet kan til enhver tid deaktivere AI-funktioner workspace-vis, og fremtidige operationer vil herefter ikke involvere Vertex AI. Allerede genererede AI-output bevares som en del af asset-metadata, indtil Brandet vælger at slette dem.

C.6. Specifikke instrukser vedrørende integrationer

Når Brandet aktiverer en integration mod Shopify, Zalando eller en anden ekstern kanal og angiver gyldige API-credentials, instruerer Brandet PixelAdmin i at gennemføre den valgte transmission til den pågældende modtager. Brandet er ansvarlig for, at modtageren har et gyldigt grundlag for at modtage og behandle data, herunder evt. controller-til-controller-aftaler og standardkontraktbestemmelser ved overførsel til tredjelande.

C.7. Bistand til den dataansvarlige

PixelAdmin yder bistand som beskrevet i afsnit 12. Anmodninger sendes via Customer Portals support-funktion eller direkte til dpo@pixeladmin.com. Standardanmodninger besvares uden særskilt vederlag. Atypiske eller meget omfattende anmodninger faktureres efter forudgående skriftlig aftale.

C.8. Procedurer for revision

Revision og inspektion gennemføres som beskrevet i afsnit 15. PixelAdmin stiller efter rimelig anmodning og under en gensidig fortrolighedsaftale relevante attester og rapporter til rådighed, herunder ISO/IEC 27001-, ISO/IEC 27017- og ISO/IEC 27018-certifikater og SOC 2 Type II-rapporter for Underdatabehandlerne (Microsoft Azure, OVHcloud, Scaleway og Google Cloud) samt PCI DSS Level 1-, SOC 1- og SOC 2-attestationer for Stripe, suppleret med PixelAdmins egne interne sikkerheds- og governance-policies og skriftlige svar på sikkerhedsspørgeskemaer (CAIQ-Lite, SIG-Lite eller tilsvarende). Hvor en supplerende revision er nødvendig, aftales tidsplan, omfang og omkostninger skriftligt forud for gennemførelsen.

C.9. Kontakt

For spørgsmål vedrørende denne Aftale eller PixelAdmins behandling af personoplysninger kan Brandet kontakte PixelAdmins databeskyttelsesteam på dpo@pixeladmin.com. Brandet anfører selv en primær databeskyttelseskontakt i Customer Portal under indstillingerne for kontoen.