Databehandleraftale

1. Parter

Den dataansvarlige er kunden, der bruger PixelAdmin-tjenesten (“Kunde” eller “Dataansvarlig”).

Databehandleren er PixelAdmin ApS, CVR-nr. 45447588, Falkoner Allé 90, 2000 Frederiksberg, Danmark (“PixelAdmin” eller “Databehandler”).

Denne databehandleraftale (“DPA”) er indgået mellem den Dataansvarlige og Databehandleren (samlet “Parterne”) og er en integreret del af PixelAdmins servicevilkår.

2. Præambel

Denne DPA fastsætter Databehandlerens rettigheder og forpligtelser, når denne behandler personoplysninger på vegne af den Dataansvarlige.

Denne DPA er udformet for at sikre Parternes overholdelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (databeskyttelsesforordningen, “GDPR”).

I forbindelse med leveringen af PixelAdmin-tjenesterne (“Tjenesten”) behandler Databehandleren personoplysninger på vegne af den Dataansvarlige i overensstemmelse med denne DPA.

Denne DPA har forrang over eventuelle modstridende bestemmelser i andre aftaler mellem Parterne.

3. Anvendelsesområde

Denne databehandleraftale gælder udelukkende for Kunder, der er underlagt EU's generelle forordning om databeskyttelse (GDPR). Vilkårene i denne aftale er kun gældende for de behandlingsaktiviteter, der falder inden for GDPR's anvendelsesområde.

3a. Dobbeltrolle og Kundeportal-data

PixelAdmin tilbyder en Kundeportal, hvor den Dataansvarliges (Studiets) brand-kunder kan oprette egne brugerkonti, uploade produktdata, gennemse leverancer og igangsætte AI-baseret billedbehandling. Indførelsen af Kundeportalen medfører, at PixelAdmin afhængigt af det konkrete behandlingsforhold kan optræde i flere forskellige roller efter GDPR. Parterne anerkender og accepterer den nedenstående rollefordeling.

For behandling, hvor Studiet (den Dataansvarlige under denne DPA) bruger Tjenesten – herunder Kundeportalen – til at gennemføre en produktion på vegne af et brand, der over for de registrerede er endelig dataansvarlig, er PixelAdmin databehandler for Studiet. I denne situation kan PixelAdmin samtidig fungere som underdatabehandler for det pågældende brand, idet Studiet videreengagerer PixelAdmin til at behandle personoplysninger på brand-dataansvarliges vegne. Studiet er ansvarligt for at sikre, at der foreligger fornødent aftalegrundlag mellem Studiet og brandet, herunder en databehandleraftale, der tillader Studiet at anvende PixelAdmin som underdatabehandler i overensstemmelse med GDPR artikel 28, stk. 2 og 4.

For behandling, hvor et brand selv opretter en konto i Kundeportalen og uploader personoplysninger eller produktdata direkte til PixelAdmin – herunder produktark, AI-instruktioner og distributionsoplysninger – uden at Studiet endnu har modtaget eller tilført materialet, er PixelAdmin databehandler direkte for brandet (den Dataansvarlige). Tilsvarende gælder, hvor brandet er kunde på et betalt PixelAdmin-abonnement (Pro, Business eller Enterprise) og selv anvender funktioner som AI-mærkning, omnichannel-distribution eller egne brugerteams uden, at et Studie er involveret. Disse direkte behandlingsforhold mellem brandet og PixelAdmin er ikke reguleret af nærværende DPA, men af en separat databehandleraftale ("Brand DPA"), som indgås mellem brandet og PixelAdmin.

I det omfang PixelAdmin handler som underdatabehandler for Studiet i forhold til et brand, finder samtlige forpligtelser i nærværende DPA tilsvarende anvendelse over for det videreengagement, og PixelAdmin pålægger sine egne underdatabehandlere de samme databeskyttelsesforpligtelser som anført i Bilag B, jf. GDPR artikel 28, stk. 4. Studiet sikrer, at brandet (den endelige dataansvarlige) har modtaget tilstrækkelige oplysninger om PixelAdmins identitet og behandlingsaktiviteter, herunder ved henvisning til denne DPA og Bilag B.

Behandling, hvor PixelAdmin er direkte databehandler for et brand via Kundeportalen, reguleres udtømmende af den separate Brand DPA. Den Brand DPA findes på pixeladmin.dk/legal/dpa/brand og indgås automatisk ved brandets accept af Kundeportalens vilkår. Studiet er ikke part i Brand DPA og bærer ikke ansvar for de behandlingsaktiviteter, brandet selv igangsætter direkte over for PixelAdmin uden Studiets medvirken.

Hvor det samme datasæt bevæger sig fra et "brand-direkte"-flow over i et "studie-leveret"-flow (eller omvendt), forpligter Parterne sig til loyalt at samarbejde om at sikre kontinuerlig overholdelse af GDPR, herunder vedrørende oplysningspligt over for de registrerede, behandlingsgrundlag, sikkerhed og udøvelse af registreredes rettigheder. PixelAdmin opretholder tekniske adskillelser i logning, adgangskontrol og datalagring, der gør det muligt at dokumentere, hvilken aftale (denne DPA eller Brand DPA) en given behandlingsaktivitet er udført under.

4. Den dataansvarliges rettigheder og forpligtelser

Den Dataansvarlige er ansvarlig for at sikre, at behandlingen af personoplysninger sker i overensstemmelse med GDPR, andre gældende databeskyttelsesbestemmelser i EU-retten eller medlemsstaternes nationale ret og denne DPA.

Den Dataansvarlige har retten og forpligtelsen til at bestemme formålet med og midlerne til behandlingen af personoplysninger.

Den Dataansvarlige er ansvarlig for at sikre, at der er et behandlingsgrundlag for den behandling af personoplysninger, som Databehandleren instrueres i at foretage.

5. Databehandleren handler efter instruks

Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Databehandleren er underlagt. Disse instrukser er specificeret i Bilag A og C. Efterfølgende instrukser kan også gives af den Dataansvarlige, mens der sker behandling af personoplysninger, men instruksen skal altid være dokumenteret og opbevares skriftligt, herunder elektronisk, sammen med denne DPA.

Databehandleren skal omgående underrette den Dataansvarlige, hvis en instruks efter Databehandlerens opfattelse er i strid med GDPR eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.

6. Fortrolighed

Databehandleren må kun give adgang til de personoplysninger, der behandles på vegne af den Dataansvarlige, til personer, som er underlagt Databehandlerens instruktionsbeføjelser, som har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt, og kun i det nødvendige omfang.

Databehandleren skal efter anmodning fra den Dataansvarlige kunne påvise, at de pågældende personer, som er underlagt Databehandlerens instruktionsbeføjelser, er underlagt ovennævnte tavshedspligt.

7. Behandlingssikkerhed

I overensstemmelse med GDPR artikel 32 skal Databehandleren gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risikoen, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder.

Databehandleren skal bistå den Dataansvarlige med at sikre overholdelse af den Dataansvarliges forpligtelser i henhold til GDPR artikel 32, blandt andet ved at stille den Dataansvarlige oplysninger til rådighed om de tekniske og organisatoriske foranstaltninger, som Databehandleren allerede har gennemført.

Hvis den Dataansvarliges vurdering af de identificerede risici kræver implementering af yderligere foranstaltninger end dem, Databehandleren allerede har implementeret, skal den Dataansvarlige specificere de krævede yderligere foranstaltninger i Bilag C.

8. Anvendelse af underdatabehandlere

Databehandleren skal opfylde de betingelser, der er omhandlet i GDPR artikel 28, stk. 2 og 4, for at gøre brug af en anden databehandler (en underdatabehandler).

Databehandleren har den Dataansvarliges generelle godkendelse til brug af underdatabehandlere. Den til enhver tid gældende, udtømmende liste over godkendte underdatabehandlere, herunder deres juridiske enhedsnavn, behandlingsaktivitet, lokation og overførselsgrundlag, fremgår af Bilag B til denne DPA. Den Dataansvarlige bekræfter ved indgåelsen af denne DPA at have godkendt de underdatabehandlere, der er anført i Bilag B.

Databehandleren skal skriftligt underrette den Dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller udskiftning af underdatabehandlere med mindst 30 dages varsel og derved give den Dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer. Indsigelser skal fremsættes skriftligt over for Databehandleren inden udløbet af varslet og skal være rimeligt begrundede i relation til databeskyttelse. Hvis Parterne ikke kan opnå enighed om en alternativ løsning, kan den Dataansvarlige opsige den del af Tjenesten, der berøres af den nye underdatabehandler, uden videre forpligtelse end betaling for ydelser leveret indtil opsigelsestidspunktet.

Når Databehandleren gør brug af en underdatabehandler i forbindelse med udførelse af specifikke behandlingsaktiviteter på vegne af den Dataansvarlige, skal de samme databeskyttelsesforpligtelser som dem, der fremgår af denne DPA, pålægges underdatabehandleren ved hjælp af en kontrakt. Databehandleren er derfor ansvarlig for at kræve, at underdatabehandleren som minimum overholder de forpligtelser, som Databehandleren er underlagt i henhold til denne DPA og GDPR.

Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver Databehandleren fuldt ansvarlig over for den Dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser.

Hvor Databehandleren over for den Dataansvarlige selv optræder som underdatabehandler (jf. afsnit 3a), pålægges de underdatabehandlere, der er anført i Bilag B, tilsvarende databeskyttelsesforpligtelser, og den endelige dataansvarlige (f.eks. brandet) tildeles indirekte rettigheder gennem Databehandlerens aftaler med disse underdatabehandlere.

9. Overførsel af oplysninger til tredjelande eller internationale organisationer

Enhver overførsel af personoplysninger til tredjelande eller internationale organisationer må kun foretages af Databehandleren på baggrund af dokumenteret instruks herom fra den Dataansvarlige og skal altid ske i overensstemmelse med GDPR kapitel V.

Hvis overførsel af personoplysninger til et tredjeland eller en international organisation, som Databehandleren ikke er blevet instrueret i at foretage af den Dataansvarlige, kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Databehandleren er underlagt, skal Databehandleren underrette den Dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser.

Den Dataansvarliges instruks vedrørende overførsel af personoplysninger til et tredjeland, herunder det eventuelle overførselsgrundlag i GDPR kapitel V, som overførslen er baseret på, skal angives i Bilag C.6.

10. Bistand til den Dataansvarlige

Under hensyntagen til behandlingens karakter bistår Databehandleren så vidt muligt den Dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger med opfyldelse af den Dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i GDPR kapitel III. Dette omfatter bistand med:

• Indsigtsretten
• Retten til berigtigelse
• Retten til sletning (“retten til at blive glemt”)
• Retten til begrænsning af behandling
• Retten til dataportabilitet
• Retten til indsigelse

Databehandleren skal bistå den Dataansvarlige med at sikre overholdelse af følgende forpligtelser under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for Databehandleren:

• Forpligtelsen til uden unødig forsinkelse at anmelde brud på persondatasikkerheden til den kompetente tilsynsmyndighed.
• Forpligtelsen til forud for behandlingen at foretage en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger.
• Forpligtelsen til at høre den kompetente tilsynsmyndighed inden behandling, såfremt en konsekvensanalyse viser, at behandlingen vil føre til høj risiko.

11. Underretning om brud på persondatasikkerheden

Databehandleren underretter uden unødig forsinkelse den Dataansvarlige efter at være blevet opmærksom på, at der er sket et brud på persondatasikkerheden vedrørende personoplysninger omfattet af denne DPA.

Databehandlerens underretning til den Dataansvarlige skal om muligt ske senest 48 timer efter, at denne er blevet bekendt med bruddet, sådan at den Dataansvarlige kan overholde sin forpligtelse til at anmelde bruddet på persondatasikkerheden til den kompetente tilsynsmyndighed inden 72 timer, jf. GDPR artikel 33. Hvor det fulde billede af hændelsen ikke kan fastlægges inden for fristen, fremsender Databehandleren en initial underretning og opdaterer den løbende, efterhånden som efterforskningen skrider frem.

Underretningen skal i det omfang, det er muligt på underretningstidspunktet, indeholde (i) en beskrivelse af bruddets karakter, herunder om muligt kategorier og omtrentligt antal berørte registrerede og personoplysninger, (ii) navn og kontaktoplysninger på Databehandlerens databeskyttelsesansvarlige eller anden enkelt kontaktperson, hvor yderligere oplysninger kan indhentes, (iii) en beskrivelse af de sandsynlige konsekvenser af bruddet, og (iv) en beskrivelse af de foranstaltninger, der er truffet eller foreslås truffet for at håndtere bruddet og afbøde dets eventuelle skadevirkninger. Databehandleren bistår den Dataansvarlige med at opfylde sin underretningspligt over for de registrerede, jf. GDPR artikel 34, hvor en sådan pligt foreligger.

Databehandleren har implementeret et 24/7-overvåget hændelsesberedskab og en formaliseret eskaleringsproces, der sikrer, at sikkerhedshændelser hos en underdatabehandler (eksempelvis Microsoft, Google, Stripe, OVHcloud eller Scaleway) viderekommunikeres til den Dataansvarlige inden for samme 48-timers ramme, regnet fra det tidspunkt hvor Databehandleren modtager underretning fra underdatabehandleren. Underretninger sendes til den primære administrative kontakt, der er registreret hos Databehandleren, samt — hvis tilgængeligt — til den e-mail, der er angivet som kontaktpunkt for sikkerhedshændelser.

En underretning fra Databehandleren udgør ikke i sig selv en anerkendelse af ansvar eller skyld. Parterne samarbejder loyalt om at undersøge, dokumentere og afhjælpe bruddet, herunder med opretholdelse af en fælles tidslinje, bevissikring og koordineret kommunikation til registrerede og myndigheder.

11a. Ansvar og hæftelse

Hver Part hæfter over for den anden Part og over for de registrerede i overensstemmelse med GDPR artikel 82 og almindelige danske erstatningsretlige principper. Parternes ansvar over for hinanden under denne DPA er — medmindre andet udtrykkeligt er aftalt — underlagt det samlede ansvarsmaksimum og de undtagelser, der er fastsat i den underliggende SaaS-aftale mellem Parterne. Det samlede maksimum gælder kumulativt for SaaS-aftalen og denne DPA.

Ansvarsbegrænsningen finder ikke anvendelse på (i) bøder pålagt af en tilsynsmyndighed direkte over for den ansvarlige Part for forhold, der godtgjort skyldes denne Parts grove uagtsomhed eller forsæt, (ii) tab forvoldt ved forsætlig eller groft uagtsom tilsidesættelse af tavshedspligten i afsnit 6, (iii) erstatning til registrerede tilkendt af en kompetent domstol som direkte følge af den ansvarlige Parts misligholdelse, eller (iv) overtrædelser af gældende lovgivning, hvor ansvarsfraskrivelse efter dansk ret er ugyldig.

Den Dataansvarlige holder Databehandleren skadesløs for ethvert tab,som Databehandleren måtte lide som følge af, at den Dataansvarliges instruks, behandlingsgrundlag eller oplysningspligt over for de registrerede ikke har været i overensstemmelse med GDPR, og som ikke skyldes Databehandlerens egen misligholdelse af denne DPA. Tilsvarende holder Databehandleren den Dataansvarlige skadesløs for tab, der skyldes Databehandlerens misligholdelse af denne DPA, inden for rammerne af det aftalte ansvarsmaksimum.

12. Sletning og returnering af oplysninger

Ved ophør af tjenesterne vedrørende behandling er Databehandleren forpligtet til, efter den Dataansvarliges valg, at slette eller tilbagelevere alle personoplysningerne til den Dataansvarlige og slette eksisterende kopier, medmindre EU-retten eller medlemsstaternes nationale ret foreskriver opbevaring af personoplysningerne.

Den Dataansvarlige skal angive sit valg mellem sletning og tilbagelevering senest 30 dage efter Tjenestens ophør. Tilbagelevering sker som et komplet eksport af strukturerede datasæt i et almindeligt anvendt, maskinlæsbart format (eksempelvis JSON, CSV eller Parquet) samt asset-bibliotek i de oprindelige fil-formater (eksempelvis JPEG, TIFF og RAW), suppleret af en metadata-mappe. I overensstemmelse med EU-Dataforordningens artikel 25 og 27 (Forordning 2023/2854) yder Databehandleren rimelig bistand til, at den Dataansvarlige kan migrere data til en alternativ udbyder, herunder ved at stille tekniske grænseflader, dokumentation og datakort til rådighed.

Sletning af personoplysninger gennemføres senest 90 dage efter Tjenestens ophør (eller efter den Dataansvarliges anmodning om tidligere sletning), idet de første 30 dage anvendes til eventuel eksport, og den efterfølgende periode anvendes til sletning fra produktionssystemer, søgeindeks og rolling backups. Databehandleren slipper ikke for sletningsforpligtelsen, fordi data er skrevet til immutable backups; data overskrives eller udløber automatisk i overensstemmelse med Databehandlerens dokumenterede backup-rotationsplan, der ikke overstiger 90 dage. Sletning af logs, der indeholder personoplysninger, sker i henhold til den retention-periode, der er aftalt i Bilag A.7.

Efter anmodning fra den Dataansvarlige udsteder Databehandleren en skriftlig sletteattest (Certificate of Deletion), der bekræfter, at sletningen er gennemført, hvilke datakategorier og systemer der er omfattet, samt eventuel resterende lovbestemt opbevaring (eksempelvis bogføringspligtige dokumenter efter bogføringsloven). Personoplysninger, der er nødvendige for at varetage Databehandlerens egne juridiske forpligtelser eller forsvare retskrav, opbevares i et minimumsnødvendigt omfang og adskilt fra produktionsmiljøet.

13. Revision og inspektion

Databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdelsen af GDPR artikel 28 og denne DPA, til rådighed for den Dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller en anden revisor, som er bemyndiget af den Dataansvarlige.

For at minimere driftsforstyrrelser og beskytte fortrolige oplysninger om Databehandlerens øvrige kunder kan revisionsforpligtelsen i første række opfyldes ved, at Databehandleren stiller til rådighed: (i) en aktuel beskrivelse af de tekniske og organisatoriske foranstaltninger, jf. Bilag C.2, (ii) Databehandlerens egne interne sikkerheds- og governance-politikker og procedurer, herunder overordnede uddrag af relevante interne reviews og sammenfattet status for løbende sårbarhedsscanning, patch-cycles og change management, (iii) tredjeparts-attestationer og revisorrapporter for Databehandlerens underdatabehandlere, herunder SOC 2 Type II- og ISO/IEC 27001/27017/27018-rapporter for Microsoft Azure, Google Cloud, OVHcloud og Scaleway samt PCI DSS Level 1-, SOC 1- og SOC 2-rapporter for Stripe, der videreformidles under en gensidig fortrolighedsaftale og inden for de rammer, som underdatabehandlernes egne vilkår tillader, og (iv) skriftlige svar på et rimeligt antal sikkerheds- og databeskyttelsesspørgsmål fra den Dataansvarlige eller dennes auditor (eksempelvis CAIQ-Lite, SIG-Lite eller tilsvarende spørgeskemaer). Databehandleren er ikke selv SOC 2 Type II- eller ISO/IEC 27001-certificeret og distribuerer derfor ikke egne attestationsrapporter; bevisbyrden for Databehandlerens egne kontroller varetages gennem de interne politikker og skriftlige svar, der er nævnt under (ii) og (iv), mens (iii) alene vedrører underdatabehandlerne. Hvor denne samlede dokumentationspakke på en rimelig måde dokumenterer overholdelse af de relevante kontrolområder, accepterer Parterne, at den udgør et passende grundlag for revisionsforpligtelsen.

Hvor den Dataansvarlige har et legitimt behov for en yderligere on-site- eller fjern-revision, gennemføres denne højst én gang årligt (medmindre andet kræves af en kompetent tilsynsmyndighed eller umiddelbart efter et bekræftet brud på persondatasikkerheden), med mindst 30 dages skriftligt varsel, i Databehandlerens normale åbningstid og under en passende fortrolighedsaftale (NDA). Revisionen må ikke unødigt forstyrre Databehandlerens drift eller kompromittere fortroligheden eller sikkerheden vedrørende andre kunders data. Anvendes en tredjeparts-auditor, må vedkommende ikke være en konkurrent til Databehandleren, og auditoren skal underskrive samme NDA. Den Dataansvarlige bærer egne og auditors omkostninger; Databehandlerens egne omkostninger til personale og tilrettelæggelse, der overstiger en rimelig bistand på op til 16 timer årligt, kan faktureres efter Databehandlerens gældende konsulent-takster.

For så vidt angår underdatabehandlere opfyldes revisionsretten primært ved, at Databehandleren videreformidler resultater af de revisioner, som underdatabehandleren selv eller dennes auditor har gennemført, herunder SOC 2 Type II- og ISO/IEC 27001-rapporter. Direkte revision hos en underdatabehandler kan kun gennemføres, hvor underdatabehandlerens egne kontraktvilkår tillader det, og under iagttagelse af de samme rammer som anført ovenfor.

Procedurerne for den Dataansvarliges revisioner, herunder inspektioner, med Databehandleren og underdatabehandlere er nærmere angivet i Bilag C.7 og C.8.

13a. Sektor-specifikke flow-down-forpligtelser (NIS2)

Hvor den Dataansvarlige er en "væsentlig" eller "vigtig" enhed efter Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 (NIS2-direktivet) eller selv leverer kritiske ydelser til en sådan enhed, og PixelAdmin-tjenesten i den forbindelse anses for en relevant ICT-leverance, samarbejder Databehandleren loyalt om de NIS2-forpligtelser, der efter den nationale gennemførelseslov flow-downes til Databehandleren. Dette omfatter blandt andet rettidig deling af relevante hændelsesoplysninger, så den Dataansvarlige kan opfylde sin tidlige varsling og de efterfølgende anmeldelsesfrister over for den kompetente myndighed, samt rimelig bistand til den Dataansvarliges leverandør- og forsyningskædesikkerhedsstyring.

Den Dataansvarlige er ansvarlig for at vurdere, om vedkommende eller dennes egne kunder er omfattet af NIS2, og for skriftligt at orientere Databehandleren herom. Databehandleren forbeholder sig retten til at fakturere rimelige meromkostninger, der følger af særskilte sektor-specifikke forpligtelser, ud over Tjenestens standardkonfiguration. PixelAdmin retter sig ikke mod finansielle enheder omfattet af forordning (EU) 2022/2554 (DORA); ønsker en sådan enhed at tage Tjenesten i brug, skal særlige DORA-relaterede vilkår aftales særskilt og forudsætter PixelAdmins forudgående skriftlige accept.

14. Andre aftaler

Parterne kan aftale andre bestemmelser vedrørende tjenesten, f.eks. om erstatningsansvar, så længe disse andre bestemmelser ikke direkte eller indirekte strider imod denne DPA eller forringer den registreredes grundlæggende rettigheder og frihedsrettigheder, som følger af GDPR.

Denne DPA suppleres af følgende tillægsaftaler:

• AI-Databehandleraftale (AI DPA) — hvis Kunden har givet eksplicit samtykke til, at PixelAdmin må træne AI-modeller på Kundens data, regulerer denne tillægsaftale behandlingen af personoplysninger i den forbindelse.
• Beta-Databehandleraftale (Beta DPA) - regulerer behandling af personoplysninger i forbindelse med beta- og preview-funktioner.

15. Ikrafttræden og ophør

Denne DPA træder i kraft på datoen for Kundens accept heraf.

Denne DPA er gældende, så længe tjenesten vedrørende behandling varer. I denne periode kan DPA'en ikke opsiges, medmindre andre bestemmelser, der regulerer levering af tjenesten, aftales mellem Parterne.

Bilag A: Oplysninger om behandlingen

A.1. Formålet med behandlingen

Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige sker med det formål at levere PixelAdmin-tjenesten som beskrevet i Servicevilkårene. Dette omfatter at gøre det muligt for den Dataansvarlige at administrere sin content-produktion, herunder workflow-styring, digital asset management, projektstyring og distribution.

A.2. Behandlingens karakter

Behandlingen omfatter lagring, organisering, visning og facilitering af overførsel af data, som den Dataansvarlige uploader til PixelAdmin-platformen. Dette inkluderer oprettelse af sikkerhedskopier, generering af miniaturer, behandling af brugerdrevne handlinger (f.eks. deling, sletning) og levering af kundesupport.

A.3. Typer af personoplysninger

Behandlingen omfatter følgende typer af personoplysninger om de registrerede:

• Dataansvarliges brugeroplysninger: Navn, e-mailadresse, telefonnummer, adresse, betalingsoplysninger og kontooplysninger for den Dataansvarliges medarbejdere og autoriserede brugere.
• Kundeoplysninger: Navn, e-mailadresse, telefonnummer, adresse og andre kontaktoplysninger på den Dataansvarliges kunder.
• Fotografier og videoer: Digitale billeder og videoer uploadet af den Dataansvarlige, som kan indeholde billeder af identificerbare personer.
• Projekt- og kommunikationsdata: Projektdetaljer, kundefeedback, kommentarer, kontrakter, fakturaer og anden kommunikation relateret til den Dataansvarliges virksomhed.
• Kommunikationsdata: Beskeder, kommentarer og feedback udvekslet mellem den Dataansvarlige og deres kunder via Tjenesten.
• Tekniske data: IP-adresser, browseroplysninger og brugsdata relateret til interaktionen med Tjenesten.
• Brand-portalbrugeres identitetsdata: Navn, e-mailadresse, telefonnummer, jobtitel, virksomhedstilknytning, autentificeringsdata fra Azure AD B2C (herunder unikke bruger-ID, sessions-tokens og loginhændelser) samt rolle- og rettighedstildelinger for brand-medarbejdere, der tilgår Kundeportalen via en konto, der er sub-engageret af Studiet.
• Brand-uploadet produktmetadata: Produktbeskrivelser, SKU'er, varekoder, farve- og størrelsesvariationer, sæsons- og kollektionsdata, prisdata, oprindelsesland, materialer samt øvrige produktark og briefingdokumenter, som brand-portalbrugere uploader til Studiets workspace forud for produktion.
• AI-behandlingsinput og -output: Billeder, prompts, instruktioner og kontekstuelle metadata, der videregives til AI-funktioner såsom auto-tagging, visuel søgning, baggrundsfjernelse og billedtransformation, samt de heraf afledte resultater (tags, beskrivende tekst, transformerede billeder, embeddings og confidence scores). Inputs og outputs behandles i en konfiguration uden træning, jf. Bilag B.
• Distributions- og omnichannel-data: Konfiguration og logdata vedrørende push af færdige assets til tredjepartsplatforme såsom Shopify, Zalando, øvrige PIM-/ERP-/e-handelssystemer og sociale kanaler, herunder kanalspecifikke produkt-ID'er, leveringsstatus, fejlrapporter og tidspunkt for udgivelse. Disse data kan kobles til ovennævnte produktmetadata og brugeroplysninger.
• Revisions- og auditlogs: Logninger af brugerhandlinger, godkendelsesflows, asset-versionering og adgang til personoplysninger, opbevaret med henblik på sikkerhed, fejlfinding og dokumentation af ansvarsfordelingen mellem denne DPA og Brand DPA.

A.4. Kategorier af registrerede

• Dataansvarliges brugere: Medarbejdere eller autoriserede repræsentanter for den Dataansvarlige, der tilgår og bruger Tjenesten.
• Kunder af den Dataansvarlige: Enkeltpersoner eller repræsentanter for virksomheder, der er kunder hos den Dataansvarlige.
• Personer på fotos/videoer: Personer, der optræder på de fotos og videoer, der er uploadet af den Dataansvarlige.
• Brand-portalbrugere: Medarbejdere og autoriserede repræsentanter hos brand-virksomheder, som Studiet har givet adgang til Kundeportalen med henblik på briefing, godkendelse, asset-download og distribution. Behandlingen af deres personoplysninger sker som led i Studiets sub-engagement af PixelAdmin på vegne af det pågældende brand.

A.5. Behandlingens varighed

Behandlingen vil finde sted i den periode, den Dataansvarlige abonnerer på Tjenesten. Ved ophør af Tjenesten vil personoplysninger blive slettet i overensstemmelse med afsnit 12 i denne DPA.

A.6. Kategorier af modtagere

Personoplysninger kan i overensstemmelse med den Dataansvarliges instruks og denne DPA gøres tilgængelige for følgende kategorier af modtagere:

• Den Dataansvarliges egne brugere og administratorer, herunder ansatte, freelancere og eksterne konsulenter, som den Dataansvarlige har tildelt adgang til Tjenesten.
• Brand-portalbrugere og andre slutkunder, som den Dataansvarlige har inviteret ind i Kundeportalen til briefing, godkendelse og asset-download.
• Tredjepartssystemer, som den Dataansvarlige selv har konfigureret integrationer til, herunder PIM-, ERP-, e-handels- og DAM-systemer (eksempelvis Shopify, Zalando samt brand-specifikke ERP-systemer). Sådanne modtagere er selvstændigt dataansvarlige for den efterfølgende behandling.
• De underdatabehandlere, der er anført i Bilag B (Microsoft Ireland Operations Limited, OVH Hosting Limited, Scaleway SAS, Google Ireland Limited og Stripe Payments Europe Limited), i det omfang det er nødvendigt for leveringen af Tjenesten.
• Kompetente offentlige myndigheder og domstole, hvor videregivelse er påkrævet i medfør af gældende lov, retskendelse eller anden bindende myndighedsanmodning, der opfylder kravene i GDPR og kapitel V.
• Eksterne juridiske, revisionsmæssige og forsikringsmæssige rådgivere hos Databehandleren, der er underlagt tavshedspligt, og kun i det omfang det er nødvendigt for at fastlægge, gøre gældende eller forsvare retskrav.

A.7. Opbevaringsperioder

Standard-opbevaringsperioder for de enkelte datakategorier — som kan tilpasses i den Dataansvarliges administrationsmodul inden for de juridiske rammer — er som følger:

• Bruger- og kontooplysninger: opbevares i hele abonnementsperioden og slettes som udgangspunkt senest 90 dage efter ophør, jf. afsnit 12.
• Fotos, videoer og afledte assets: opbevares i hele abonnementsperioden og kan eksporteres ved ophør; sletning sker senest 90 dage efter ophør, medmindre den Dataansvarlige aftaler en kortere eller længere periode.
• AI-behandlingsinput og -output: opbevares så længe det relaterede asset er aktivt; behandling sker uden træning af modeller. Embeddings og tags slettes samtidig med det relaterede asset.
• Audit-logs og sikkerhedslogs: opbevares som udgangspunkt i 13 måneder af hensyn til hændelsesefterforskning og dokumentation af ansvarsfordelingen mellem denne DPA og Brand DPA, hvorefter de slettes eller anonymiseres.
• Faktureringsdata og bogføringsmateriale: opbevares i 5 år fra udløbet af det regnskabsår, materialet vedrører, jf. bogføringsloven.
• Sikkerhedskopier: opbevares i overensstemmelse med en rullende backup-rotationsplan, der ikke overstiger 90 dage, hvorefter data overskrives eller udløber automatisk.

Bilag B: Underdatabehandlere

B.1. Godkendte underdatabehandlere

Ved DPA'ens ikrafttræden har den Dataansvarlige godkendt brugen af følgende underdatabehandlere. Listen er udtømmende og angiver underdatabehandlerens juridiske enhedsnavn, behandlingsaktivitet, kategorier af behandlede personoplysninger, behandlingslokation samt overførselsgrundlag i henhold til GDPR kapitel V.

B.2. Underdatabehandlernes databeskyttelsesaftaler

Databehandleren har med hver underdatabehandler indgået en skriftlig aftale, der pålægger underdatabehandleren databeskyttelsesforpligtelser, der som minimum svarer til dem, der følger af nærværende DPA. Den Dataansvarlige kan rekvirere en kopi af de relevante aftalebestemmelser efter rimelig anmodning, idet kommercielle vilkår kan udelades. Underdatabehandlernes officielle databehandleraftaler er offentligt tilgængelige på følgende adresser:

• Microsoft Products and Services DPA: microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA
• Google Cloud Data Processing Addendum: cloud.google.com/terms/data-processing-addendum
• OVHcloud Data Processing Agreement: ovhcloud.com/legal/data-processing-agreement
• Scaleway Data Processing Agreement: scaleway.com/en/contracts/
• Stripe Data Processing Agreement: stripe.com/legal/dpa

B.3. Varsel og indsigelse mod ændringer

Databehandleren skal give den Dataansvarlige mindst 30 dages skriftligt varsel om eventuelle planlagte ændringer vedrørende tilføjelse eller udskiftning af underdatabehandlere. Varslet sendes til den e-mailadresse, der er registreret som kontaktperson for den Dataansvarlige, og offentliggøres samtidig på pixeladmin.dk/legal/dpa/main. Den Dataansvarlige kan inden for varslet gøre skriftlig, rimelig og databeskyttelsesbegrundet indsigelse efter proceduren beskrevet i afsnit 8.

B.4. Underdatabehandlere ved Databehandlerens dobbeltrolle

Hvor Databehandleren handler som underdatabehandler for Studiet på vegne af et brand (jf. afsnit 3a), anvender Databehandleren udelukkende de underdatabehandlere, der er anført i nærværende Bilag B. Databehandleren videregiver de samme krav om databeskyttelse til disse underdatabehandlere uanset, om Databehandleren optræder som primær databehandler eller som underdatabehandler. Listen i Bilag B udgør således også den underdatabehandlerliste, der efter GDPR artikel 28, stk. 4, kommer det endelige brand-dataansvarlige til gode i sub-engagement-scenarier.

B.5. Vurdering af tredjelandsoverførsler (Transfer Impact Assessment)

Databehandleren har for hver underdatabehandler i Bilag B foretaget en vurdering af tredjelandsoverførsler (TIA) i overensstemmelse med Schrems II-dommen og EDPB Recommendations 01/2020 om supplerende foranstaltninger. Konklusionerne kan opsummeres således:

• Microsoft Ireland Operations Limited: Primær lagring og behandling sker i Microsoft Azure-regioner inden for EU/EØS. Eventuel supportadgang fra Microsoft-koncernforbundne enheder uden for EU er reguleret af Microsoft Products and Services DPA inklusive Standardkontraktbestemmelser (Modul 3) og Microsofts EU Data Boundary-tilsagn. Der vurderes ikke at være ikke-uvæsentlige overførselsrisici, der ikke afhjælpes af Microsofts tekniske og organisatoriske foranstaltninger, herunder kryptering, kundekontrolleret nøglehåndtering hvor relevant samt offentliggjorte transparency reports.
• OVH Hosting Limited: Lagring og behandling sker i OVHcloud-datacentre inden for EU/EØS (primært Frankrig). OVH Hosting Limited er etableret i Irland og er en del af OVHcloud-koncernen, der er forankret i EU. Der vurderes ikke at være ikke-uvæsentlige overførselsrisici efter GDPR kapitel V, idet hverken lagring, behandling eller driftsadgang sker uden for EU/EØS, og koncernens moderselskab er underlagt EU-databeskyttelseslovgivning.
• Scaleway SAS: Lagring og behandling sker i Scaleway-datacentre inden for EU/EØS (primært Frankrig og Holland). Scaleway SAS er fransk indregistreret og en del af Iliad-koncernen, der er forankret i EU. Der vurderes ikke at være ikke-uvæsentlige overførselsrisici efter GDPR kapitel V, idet hverken lagring, behandling eller driftsadgang sker uden for EU/EØS.
• Google Ireland Limited: Behandlingen sker udelukkende i en Google Cloud-region inden for EU med data-residency-binding og zero-data-retention på Vertex AI. Eventuel supportadgang fra Google-koncernforbundne enheder uden for EU er reguleret af Google Cloud Data Processing Addendum inklusive Standardkontraktbestemmelser (Modul 3). Der vurderes ikke at være ikke-uvæsentlige overførselsrisici, idet kundedata hverken caches, logges eller anvendes til træning uden for EU.
• Stripe Payments Europe Limited: Primær behandling sker i Stripes EU-infrastruktur, men global betalingsafvikling indebærer overførsler til Stripe-koncernforbundne enheder uden for EU/EØS, herunder USA. Disse overførsler er omfattet af Stripes DPA og Standardkontraktbestemmelser (Modul 2 og Modul 3). Stripe har offentliggjort en Transfer Impact Assessment, hvori supplerende foranstaltninger beskrives, herunder stærk kryptering, intern adgangsbegrænsning og udfordring af myndighedsanmodninger. Hvor Stripe-modtageren er certificeret under EU–US Data Privacy Framework, kan dette anvendes som overførselsgrundlag som supplement til SCCs. Stripes TIA er offentligt tilgængelig på Stripes hjemmeside og kan rekvireres ved henvendelse til Databehandleren.

Den Dataansvarlige er på baggrund af de oplysninger, der fremgår af Bilag B og Bilag B.5, sat i stand til at gennemføre sin egen TIA. Databehandleren bistår efter rimelig anmodning med yderligere oplysninger, der måtte være nødvendige for den Dataansvarliges TIA-dokumentation, jf. afsnit 10.

Bilag C: Instruks vedrørende behandling af personoplysninger

C.1. Behandlingens genstand og instruks

Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige sker ved, at Databehandleren udfører de tjenester, der er beskrevet i Servicevilkårene og denne DPA.

C.2. Behandlingssikkerhed

Databehandleren skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, som behandlingen udgør. Vores tilgang er risikobaseret med fokus på at beskytte fysiske personers rettigheder og frihedsrettigheder. Foranstaltningerne er designet til at beskytte personoplysninger mod hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet. Disse foranstaltninger er underlagt løbende teknisk udvikling og revision.

Databehandleren har som minimum implementeret følgende foranstaltninger:

Adgangskontrol

Adgang til systemer og data er strengt kontrolleret. Vi håndhæver princippet om mindst privilegium, hvilket sikrer, at personale kun har adgang til de data, der er nødvendige for at udføre deres arbejdsfunktioner. Al adgang til produktionsmiljøer kræver multifaktor-autentificering (MFA), og al adgang logges og overvåges for mistænkelig aktivitet. Vi anvender en Zero Trust-tilgang med kontekstbaserede adgangsbeslutninger, betingelig adgang baseret på enhedstilstand og netværk samt korte sessionslevetider. Privilegerede konti administreres i Azure Active Directory med just-in-time-aktivering, kvartalsvis re-attestation og automatisk udløb. Slutbrugeradgang kontrolleres via Azure AD B2C med understøttelse af SSO, SAML/OIDC, MFA og adgangskodepolitikker, der følger NIST SP 800-63B-anbefalingerne.

Kryptering, nøglehåndtering og pseudonymisering

Alle personoplysninger krypteres under overførsel ved hjælp af stærke TLS-protokoller (TLS 1.2 eller højere med moderne cipher-suiter) og i hvile ved hjælp af industristandard AES-256-kryptering. Krypteringsnøgler administreres i Azure Key Vault som hardware-beskyttet (HSM-backed), med adskillelse mellem nøgleforvaltere og dataforvaltere, automatisk nøglerotation og adgangskontrol baseret på Azure-roller. Nøgler er ikke eksponeret for almindelige supportmedarbejdere. Hvor det er relevant for beskyttelsen af personoplysninger, anvendes pseudonymiseringsteknikker for at reducere risiciene for de registrerede, herunder brug af pseudonyme identifikatorer i analyse- og fejlsøgningskontekster.

Netværks- og perimeter-sikkerhed

Tjenestens offentlige endpoints er beskyttet af en Web Application Firewall (Azure Front Door / Application Gateway WAF), der bygger på OWASP Core Rule Set, samt af DDoS-beskyttelse på platformsniveau. Netværkstrafik mellem komponenter er segmenteret gennem private endpoints, virtual networks, network security groups og service endpoints, så datatrafik ikke krydser det offentlige internet, hvor det kan undgås. Indgående og udgående trafik logges og inspiceres i et centralt Security Information and Event Management-system (SIEM), og afvigelser udløser automatiserede advarsler til vagthavende sikkerhedspersonale 24/7.

Sikker softwareudvikling (Secure SDLC)

Databehandleren anvender en formaliseret Secure Software Development Lifecycle baseret på OWASP ASVS og Microsoft SDL. Alle kodeændringer gennemgår peer review og kører automatiserede statiske og dynamiske analysescanninger (SAST/DAST), composition-analyse af tredjeparts-afhængigheder samt container- og infrastrukturscanninger inden deployment. Hemmeligheder og legitimationsoplysninger må ikke versionsstyres og scannes løbende ud af koden. Større arkitektoniske ændringer underkastes en formel sikkerheds- og databeskyttelsesvurdering (privacy by design), som dokumenteres i ændringsforslaget.

Systemintegritet og robusthed

Vores tjenester hostes på højt tilgængelig og robust EU-cloud-infrastruktur leveret af Microsoft Azure, OVHcloud og Scaleway. Systemerne er designet med redundans på tværs af flere tilgængelighedszoner og leverandører for at sikre løbende tilgængelighed og modstå systemfejl. Vi overvåger løbende systemets ydeevne og sikkerhed for at sikre integriteten af behandlingsmiljøet. Database- og storage-tjenester anvender point-in-time-restore, geo-redundant lagring inden for EU samt umiddelbar failover ved tilgængelighedszone-hændelser.

Backup, gendannelse og forretningskontinuitet

Vi udfører regelmæssige, automatiserede sikkerhedskopier af alle kundedata. Disse sikkerhedskopier er krypterede og opbevares sikkert på en geografisk adskilt placering inden for EU. Vi har etableret og tester regelmæssigt procedurer for at sikre rettidig gendannelse af datatilgængelighed og adgang i tilfælde af en fysisk eller teknisk hændelse. Recovery Time Objective (RTO) og Recovery Point Objective (RPO) defineres i Tjenestens SLA, og restore-tests gennemføres mindst én gang årligt med dokumenteret resultat.

Sikkerhedstest og evaluering

Vi har en procedure for regelmæssigt at teste, vurdere og evaluere effektiviteten af vores tekniske og organisatoriske sikkerhedsforanstaltninger. Dette inkluderer kontinuerlig sårbarhedsscanning af applikation, container-images, kode-afhængigheder og infrastruktur (eksempelvis via Dependabot, Microsoft Defender for Cloud og tilsvarende værktøjer), månedlige patch-cycles for kritiske komponenter, intern code review og security review af nye features og arkitekturændringer samt en koordineret sårbarhedsoplysningskanal på security@pixeladmin.com, hvor eksterne forskere og kunder kan rapportere mistænkte sårbarheder. Sammenfattet status for sårbarhedsscanning, afhjælpning og change management kan på rimelig anmodning gøres tilgængelig for den Dataansvarlige under en fortrolighedsaftale. Ekstern penetrationstest af platformen er ikke en fast tilbagevendende kadence, men kan gennemføres efter behov, eksempelvis i forbindelse med større arkitekturændringer eller på begrundet anmodning fra en kunde og efter særskilt aftale.

Hændelseshåndtering

Vi har en formaliseret hændelsesresponsplan for at opdage, klassificere, reagere på, dokumentere og rapportere brud på persondatasikkerheden. Vagthavende sikkerhedspersonale er på vagt 24/7, og vi opretholder forud-defineret eskaleringsmatrix og kommunikationsskabeloner. I tilfælde af en sikkerhedshændelse vil vi følge procedurerne beskrevet i denne DPA — herunder de tidsfrister og indholdskrav, der fremgår af afsnit 11 — for at underrette den Dataansvarlige uden unødig forsinkelse. Efter væsentlige hændelser udarbejdes en post-incident-review med rodårsagsanalyse og forebyggende tiltag.

Personalesikkerhed

Alle medarbejdere og leverandører med adgang til personoplysninger er underlagt baggrundstjek inden for det omfang, dansk ret tillader, og er bundet af strenge fortrolighedsaftaler, der gælder også efter ansættelses- eller engagementsforholdet ophører. Personalet modtager regelmæssig uddannelse i databeskyttelse og sikkerhed for at sikre, at de er bevidste om deres ansvar for at beskytte kundedata, herunder via årlig opdateringsuddannelse, simulerede phishing-tests og rollespecifik teknisk uddannelse for udvikling, drift og support. Adgang inddrages straks ved ansættelses- eller engagementsforholdets ophør gennem en automatiseret offboarding-proces.

Dataminimering ved supportadgang

Supportmedarbejdere har som udgangspunkt ikke stående adgang til den Dataansvarliges produktionsdata. Hvor en supportsag kræver dataadgang, aktiveres adgangen just-in-time efter dokumenteret anmodning og godkendelse, er begrænset til den nødvendige scope og varighed, og hver session logges med tidsstempel, anmodnings-ID og begrundelse. Krypteringsnøgler eksponeres ikke for supportpersonale. Den Dataansvarlige kan, hvor abonnementet tillader det, kræve forhåndssamtykke til hver enkelt support-adgang ("Customer Lockbox"-lignende kontrol).

Logning og overvågning

Sikkerheds- og audit-logs aggregeres centralt, beskyttes mod uautoriseret ændring og opbevares i overensstemmelse med Bilag A.7. Logning omfatter blandt andet autentificering, privilegeret adgang, konfigurationsændringer, eksport- og sletningshandlinger samt eventuel adgang til personoplysninger fra supportkonti. Logs anvendes til detektion, efterforskning og dokumentation af ansvarsfordelingen mellem denne DPA og Brand DPA.

Leverandør- og forsyningskædesikkerhed

Databehandleren opretholder en formaliseret leverandørrisikoproces, der vurderer underdatabehandlere og kritiske ICT-leverandører forud for engagement og minimum årligt under engagementet. Vurderingen omfatter blandt andet certificeringer (ISO/IEC 27001, SOC 2 Type II), DPA, lokalitet, hændelseshistorik, finansiel og operationel modstandsdygtighed samt evnen til at understøtte den Dataansvarliges sektor-specifikke krav (eksempelvis NIS2, jf. afsnit 13a).

Fysisk sikkerhed

Vores cloud-udbydere — Microsoft Azure, OVHcloud, Scaleway og Google Cloud — er ansvarlige for den fysiske sikkerhed i de datacentre, hvor kundedata opbevares. Disse datacentre er beskyttet af flerlagede sikkerhedskontroller, herunder 24/7 overvågning, biometrisk adgangskontrol og videoovervågning. Cloud-udbydernes overholdelse af internationalt anerkendte standarder (eksempelvis ISO 27001, ISO 27017, ISO 27018 og SOC 2 Type II) verificeres regelmæssigt af tredjepartsrevisorer, og rapporter kan rekvireres gennem Databehandleren under fortrolighedsaftale.

C.3. Lokalitet for behandling

Behandling af personoplysninger omfattet af denne DPA kan ikke uden den Dataansvarliges forudgående skriftlige godkendelse ske på andre lokaliteter end Microsoft Azure-, OVHcloud- og Scaleway-datacentre inden for Den Europæiske Union.

C.4. Instruks vedrørende overførsel af personoplysninger til tredjelande

Databehandleren er instrueret i ikke at overføre personoplysninger til tredjelande uden for EU/EØS uden et gyldigt overførselsgrundlag i henhold til GDPR kapitel V og dokumenterede instrukser fra den Dataansvarlige. Al primær databehandling og lagring sker inden for EU.

C.5. Procedurer for den dataansvarliges revisioner

Efter rimelig anmodning stiller Databehandleren alle oplysninger, der er nødvendige for at påvise overholdelse af denne DPA og GDPR artikel 28, til rådighed for den Dataansvarlige. Dette omfatter levering af dokumentation for de implementerede sikkerhedsforanstaltninger.

Hvis den Dataansvarlige kræver en formel revision udført af en uafhængig tredjepart, er den Dataansvarlige ansvarlig for alle omkostninger forbundet med en sådan revision. Revisionen skal aftales skriftligt, udføres med rimeligt varsel og i åbningstiden for at minimere forstyrrelser af Databehandlerens drift.

C.6. Instruks vedrørende overførsel til tredjelande

Den Dataansvarlige instruerer Databehandleren i at gennemføre overførsler af personoplysninger til tredjelande udelukkende i det omfang, det er nødvendigt for at levere Tjenesten via de underdatabehandlere, der er anført i Bilag B, og i overensstemmelse med de overførselsgrundlag og supplerende foranstaltninger, der er beskrevet i Bilag B og B.5. Den Dataansvarlige bekræfter, at de fremlagte oplysninger udgør en tilstrækkelig instruks efter GDPR artikel 28, stk. 3, litra a, og at den Dataansvarlige er i stand til at gennemføre sin egen vurdering af tredjelandsoverførsler.

Yderligere overførsler — herunder overførsler initieret af den Dataansvarlige selv via integrationer til egne PIM-, ERP- eller e-handelssystemer hos tredjelandsmodtagere — er den Dataansvarliges eget ansvar og skal være underbygget af et selvstændigt overførselsgrundlag i medfør af GDPR kapitel V.

C.7. Procedurer for revisioner hos Databehandleren

Den Dataansvarliges udøvelse af revisionsretten i afsnit 13 sker efter følgende procedure: (i) skriftlig anmodning sendes til Databehandlerens databeskyttelsesansvarlige med mindst 30 dages varsel, idet anmodningen specificerer omfang, formål og foreslået metode, (ii) Databehandleren udleverer i første række relevante dokumenter, certificeringer og uafhængige revisorrapporter, og Parterne mødes virtuelt til en gennemgang, (iii) hvor en yderligere on-site- eller fjern-revision er nødvendig, aftales tidspunkt, omfang og auditor, og en passende fortrolighedsaftale (NDA) underskrives af alle deltagere, (iv) revisionen gennemføres i Databehandlerens normale åbningstid, må højst gennemføres én gang årligt og må ikke kompromittere fortroligheden eller sikkerheden vedrørende andre kunders data, (v) revisor udarbejder en udkastrapport, som Databehandleren får mulighed for at kommentere på inden færdiggørelse, og (vi) eventuelle observationer og afhjælpningsplaner følges op på et opfølgende statusmøde.

C.8. Procedurer for revisioner hos underdatabehandlere

Revision af de underdatabehandlere, der er anført i Bilag B, opfyldes primært ved, at Databehandleren videreformidler de uafhængige revisor-rapporter (eksempelvis SOC 2 Type II- og ISO/IEC 27001-rapporter) og certificeringsudtræk, som underdatabehandleren stiller til rådighed, samt skriftlige svar på et rimeligt antal opfølgende sikkerhedsspørgsmål. Hvor underdatabehandlerens egne kontraktvilkår tillader det, kan Databehandleren efter rimelig anmodning fra den Dataansvarlige bistå med at koordinere en yderligere revision eller en formaliseret henvendelse til underdatabehandleren. Den Dataansvarlige er bekendt med, at globale cloud-leverandører som Microsoft, Google, OVHcloud og Scaleway som hovedregel ikke tillader on-site-kunderevision af deres datacentre, men i stedet stiller standardiserede revisionspakker til rådighed, der dækker de relevante kontroller.