Databehandleraftale
Denne databehandleraftale regulerer behandlingen af personoplysninger i overensstemmelse med GDPR artikel 28.
1. Parter
Den dataansvarlige er kunden, der bruger PixelAdmin-tjenesten (“Kunde” eller “Dataansvarlig”).
Databehandleren er PixelAdmin ApS, CVR-nr. 45447588, Porcelænshaven 26, 2000 Frederiksberg, Danmark (“PixelAdmin” eller “Databehandler”).
Denne databehandleraftale (“DPA”) er indgået mellem den Dataansvarlige og Databehandleren (samlet “Parterne”) og er en integreret del af PixelAdmins servicevilkår.
2. Præambel
Denne DPA fastsætter Databehandlerens rettigheder og forpligtelser, når denne behandler personoplysninger på vegne af den Dataansvarlige.
Denne DPA er udformet for at sikre Parternes overholdelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (databeskyttelsesforordningen, “GDPR”).
I forbindelse med leveringen af PixelAdmin-tjenesterne (“Tjenesten”) behandler Databehandleren personoplysninger på vegne af den Dataansvarlige i overensstemmelse med denne DPA.
Denne DPA har forrang over eventuelle modstridende bestemmelser i andre aftaler mellem Parterne.
3. Anvendelsesområde
Denne databehandleraftale gælder udelukkende for Kunder, der er underlagt EU's generelle forordning om databeskyttelse (GDPR). Vilkårene i denne aftale er kun gældende for de behandlingsaktiviteter, der falder inden for GDPR's anvendelsesområde.
4. Den dataansvarliges rettigheder og forpligtelser
Den Dataansvarlige er ansvarlig for at sikre, at behandlingen af personoplysninger sker i overensstemmelse med GDPR, andre gældende databeskyttelsesbestemmelser i EU-retten eller medlemsstaternes nationale ret og denne DPA.
Den Dataansvarlige har retten og forpligtelsen til at bestemme formålet med og midlerne til behandlingen af personoplysninger.
Den Dataansvarlige er ansvarlig for at sikre, at der er et behandlingsgrundlag for den behandling af personoplysninger, som Databehandleren instrueres i at foretage.
5. Databehandleren handler efter instruks
Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Databehandleren er underlagt. Disse instrukser er specificeret i Bilag A og C. Efterfølgende instrukser kan også gives af den Dataansvarlige, mens der sker behandling af personoplysninger, men instruksen skal altid være dokumenteret og opbevares skriftligt, herunder elektronisk, sammen med denne DPA.
Databehandleren skal omgående underrette den Dataansvarlige, hvis en instruks efter Databehandlerens opfattelse er i strid med GDPR eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.
6. Fortrolighed
Databehandleren må kun give adgang til de personoplysninger, der behandles på vegne af den Dataansvarlige, til personer, som er underlagt Databehandlerens instruktionsbeføjelser, som har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt, og kun i det nødvendige omfang.
Databehandleren skal efter anmodning fra den Dataansvarlige kunne påvise, at de pågældende personer, som er underlagt Databehandlerens instruktionsbeføjelser, er underlagt ovennævnte tavshedspligt.
7. Behandlingssikkerhed
I overensstemmelse med GDPR artikel 32 skal Databehandleren gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risikoen, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder.
Databehandleren skal bistå den Dataansvarlige med at sikre overholdelse af den Dataansvarliges forpligtelser i henhold til GDPR artikel 32, blandt andet ved at stille den Dataansvarlige oplysninger til rådighed om de tekniske og organisatoriske foranstaltninger, som Databehandleren allerede har gennemført.
Hvis den Dataansvarliges vurdering af de identificerede risici kræver implementering af yderligere foranstaltninger end dem, Databehandleren allerede har implementeret, skal den Dataansvarlige specificere de krævede yderligere foranstaltninger i Bilag C.
8. Anvendelse af underdatabehandlere
Databehandleren skal opfylde de betingelser, der er omhandlet i GDPR artikel 28, stk. 2 og 4, for at gøre brug af en anden databehandler (en underdatabehandler).
Databehandleren har den Dataansvarliges generelle godkendelse til brug af underdatabehandlere. Databehandleren skal skriftligt underrette den Dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller udskiftning af underdatabehandlere med mindst 30 dages varsel og derved give den Dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.
Når Databehandleren gør brug af en underdatabehandler i forbindelse med udførelse af specifikke behandlingsaktiviteter på vegne af den Dataansvarlige, skal de samme databeskyttelsesforpligtelser som dem, der fremgår af denne DPA, pålægges underdatabehandleren ved hjælp af en kontrakt. Databehandleren er derfor ansvarlig for at kræve, at underdatabehandleren som minimum overholder de forpligtelser, som Databehandleren er underlagt i henhold til denne DPA og GDPR.
Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver Databehandleren fuldt ansvarlig over for den Dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser.
9. Overførsel af oplysninger til tredjelande eller internationale organisationer
Enhver overførsel af personoplysninger til tredjelande eller internationale organisationer må kun foretages af Databehandleren på baggrund af dokumenteret instruks herom fra den Dataansvarlige og skal altid ske i overensstemmelse med GDPR kapitel V.
Hvis overførsel af personoplysninger til et tredjeland eller en international organisation, som Databehandleren ikke er blevet instrueret i at foretage af den Dataansvarlige, kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Databehandleren er underlagt, skal Databehandleren underrette den Dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser.
Den Dataansvarliges instruks vedrørende overførsel af personoplysninger til et tredjeland, herunder det eventuelle overførselsgrundlag i GDPR kapitel V, som overførslen er baseret på, skal angives i Bilag C.6.
10. Bistand til den Dataansvarlige
Under hensyntagen til behandlingens karakter bistår Databehandleren så vidt muligt den Dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger med opfyldelse af den Dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i GDPR kapitel III. Dette omfatter bistand med:
- Indsigtsretten
- Retten til berigtigelse
- Retten til sletning (“retten til at blive glemt”)
- Retten til begrænsning af behandling
- Retten til dataportabilitet
- Retten til indsigelse
Databehandleren skal bistå den Dataansvarlige med at sikre overholdelse af følgende forpligtelser under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for Databehandleren:
- Forpligtelsen til uden unødig forsinkelse at anmelde brud på persondatasikkerheden til den kompetente tilsynsmyndighed.
- Forpligtelsen til forud for behandlingen at foretage en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger.
- Forpligtelsen til at høre den kompetente tilsynsmyndighed inden behandling, såfremt en konsekvensanalyse viser, at behandlingen vil føre til høj risiko.
11. Underretning om brud på persondatasikkerheden
Databehandleren underretter uden unødig forsinkelse den Dataansvarlige efter at være blevet opmærksom på, at der er sket et brud på persondatasikkerheden.
Databehandlerens underretning til den Dataansvarlige skal om muligt ske senest 48 timer efter, at denne er blevet bekendt med bruddet, sådan at den Dataansvarlige kan overholde sin forpligtelse til at anmelde bruddet på persondatasikkerheden til den kompetente tilsynsmyndighed, jf. GDPR artikel 33.
12. Sletning og returnering af oplysninger
Ved ophør af tjenesterne vedrørende behandling er Databehandleren forpligtet til, efter den Dataansvarliges valg, at slette eller tilbagelevere alle personoplysningerne til den Dataansvarlige og slette eksisterende kopier, medmindre EU-retten eller medlemsstaternes nationale ret foreskriver opbevaring af personoplysningerne.
13. Revision og inspektion
Databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdelsen af GDPR artikel 28 og denne DPA, til rådighed for den Dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller en anden revisor, som er bemyndiget af den Dataansvarlige.
Procedurerne for den Dataansvarliges revisioner, herunder inspektioner, med Databehandleren og underdatabehandlere er nærmere angivet i Bilag C.7 og C.8.
14. Andre aftaler
Parterne kan aftale andre bestemmelser vedrørende tjenesten, f.eks. om erstatningsansvar, så længe disse andre bestemmelser ikke direkte eller indirekte strider imod denne DPA eller forringer den registreredes grundlæggende rettigheder og frihedsrettigheder, som følger af GDPR.
Denne DPA suppleres af følgende tillægsaftaler:
- AI-Databehandleraftale (AI DPA) — hvis Kunden har givet eksplicit samtykke til, at PixelAdmin må træne AI-modeller på Kundens data, regulerer denne tillægsaftale behandlingen af personoplysninger i den forbindelse.
- Beta-Databehandleraftale (Beta DPA) - regulerer behandling af personoplysninger i forbindelse med beta- og preview-funktioner.
15. Ikrafttræden og ophør
Denne DPA træder i kraft på datoen for Kundens accept heraf.
Denne DPA er gældende, så længe tjenesten vedrørende behandling varer. I denne periode kan DPA'en ikke opsiges, medmindre andre bestemmelser, der regulerer levering af tjenesten, aftales mellem Parterne.
Bilag A: Oplysninger om behandlingen
A.1. Formålet med behandlingen
Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige sker med det formål at levere PixelAdmin-tjenesten som beskrevet i Servicevilkårene. Dette omfatter at gøre det muligt for den Dataansvarlige at administrere sin content-produktion, herunder workflow-styring, digital asset management, projektstyring og distribution.
A.2. Behandlingens karakter
Behandlingen omfatter lagring, organisering, visning og facilitering af overførsel af data, som den Dataansvarlige uploader til PixelAdmin-platformen. Dette inkluderer oprettelse af sikkerhedskopier, generering af miniaturer, behandling af brugerdrevne handlinger (f.eks. deling, sletning) og levering af kundesupport.
A.3. Typer af personoplysninger
Behandlingen omfatter følgende typer af personoplysninger om de registrerede:
- Dataansvarliges brugeroplysninger: Navn, e-mailadresse, telefonnummer, adresse, betalingsoplysninger og kontooplysninger for den Dataansvarliges medarbejdere og autoriserede brugere.
- Kundeoplysninger: Navn, e-mailadresse, telefonnummer, adresse og andre kontaktoplysninger på den Dataansvarliges kunder.
- Fotografier og videoer: Digitale billeder og videoer uploadet af den Dataansvarlige, som kan indeholde billeder af identificerbare personer.
- Projekt- og kommunikationsdata: Projektdetaljer, kundefeedback, kommentarer, kontrakter, fakturaer og anden kommunikation relateret til den Dataansvarliges virksomhed.
- Kommunikationsdata: Beskeder, kommentarer og feedback udvekslet mellem den Dataansvarlige og deres kunder via Tjenesten.
- Tekniske data: IP-adresser, browseroplysninger og brugsdata relateret til interaktionen med Tjenesten.
A.4. Kategorier af registrerede
- Dataansvarliges brugere: Medarbejdere eller autoriserede repræsentanter for den Dataansvarlige, der tilgår og bruger Tjenesten.
- Kunder af den Dataansvarlige: Enkeltpersoner eller repræsentanter for virksomheder, der er kunder hos den Dataansvarlige.
- Personer på fotos/videoer: Personer, der optræder på de fotos og videoer, der er uploadet af den Dataansvarlige.
A.5. Behandlingens varighed
Behandlingen vil finde sted i den periode, den Dataansvarlige abonnerer på Tjenesten. Ved ophør af Tjenesten vil personoplysninger blive slettet i overensstemmelse med afsnit 12 i denne DPA.
Bilag B: Underdatabehandlere
B.1. Godkendte underdatabehandlere
Ved DPA'ens ikrafttræden har den Dataansvarlige godkendt brugen af følgende underdatabehandlere:
| Underdatabehandler | Beskrivelse | Lokation |
|---|---|---|
| Microsoft Azure | Cloud-infrastruktur til hosting af PixelAdmin-platformen og lagring af alle kundedata. | EU |
B.2. Varsel for godkendelse af underdatabehandlere
Databehandleren skal give den Dataansvarlige mindst 30 dages skriftligt varsel om eventuelle planlagte ændringer vedrørende tilføjelse eller udskiftning af underdatabehandlere.
Bilag C: Instruks vedrørende behandling af personoplysninger
C.1. Behandlingens genstand og instruks
Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige sker ved, at Databehandleren udfører de tjenester, der er beskrevet i Servicevilkårene og denne DPA.
C.2. Behandlingssikkerhed
Databehandleren skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, som behandlingen udgør. Vores tilgang er risikobaseret med fokus på at beskytte fysiske personers rettigheder og frihedsrettigheder. Foranstaltningerne er designet til at beskytte personoplysninger mod hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet. Disse foranstaltninger er underlagt løbende teknisk udvikling og revision.
Databehandleren har som minimum implementeret følgende foranstaltninger:
Adgangskontrol
Adgang til systemer og data er strengt kontrolleret. Vi håndhæver princippet om mindst privilegium, hvilket sikrer, at personale kun har adgang til de data, der er nødvendige for at udføre deres arbejdsfunktioner. Al adgang til produktionsmiljøer kræver multifaktor-autentificering (MFA), og al adgang logges og overvåges for mistænkelig aktivitet.
Kryptering og pseudonymisering
Alle personoplysninger krypteres under overførsel ved hjælp af stærke TLS-protokoller (TLS 1.2 eller højere) og i hvile ved hjælp af industristandard AES-256-kryptering. Hvor det er relevant for beskyttelsen af personoplysninger, anvendes pseudonymiseringsteknikker for at reducere risiciene for de registrerede.
Systemintegritet og robusthed
Vores tjenester hostes på Microsoft Azures højt tilgængelige og robuste cloud-infrastruktur. Systemerne er designet med redundans på tværs af flere tilgængelighedszoner for at sikre løbende tilgængelighed og modstå systemfejl. Vi overvåger løbende systemets ydeevne og sikkerhed for at sikre integriteten af behandlingsmiljøet.
Backup og gendannelse
Vi udfører regelmæssige, automatiserede sikkerhedskopier af alle kundedata. Disse sikkerhedskopier er krypterede og opbevares sikkert på en geografisk adskilt placering fra det primære datacenter. Vi har etableret og tester regelmæssigt procedurer for at sikre rettidig gendannelse af datatilgængelighed og adgang i tilfælde af en fysisk eller teknisk hændelse.
Sikkerhedstest og evaluering
Vi har en procedure for regelmæssigt at teste, vurdere og evaluere effektiviteten af vores tekniske og organisatoriske sikkerhedsforanstaltninger. Dette inkluderer periodisk sårbarhedsscanning og penetrationstest for at identificere og afhjælpe potentielle sikkerhedssvagheder.
Hændelseshåndtering
Vi har en hændelsesresponsplan for at opdage, reagere på og rapportere brud på persondatasikkerheden. I tilfælde af en sikkerhedshændelse vil vi følge procedurerne beskrevet i denne DPA for at underrette den Dataansvarlige uden unødig forsinkelse.
Personalesikkerhed
Alle medarbejdere og leverandører med adgang til personoplysninger er underlagt baggrundstjek og er bundet af strenge fortrolighedsaftaler. Personalet modtager regelmæssig uddannelse i databeskyttelse og sikkerhed for at sikre, at de er bevidste om deres ansvar for at beskytte kundedata.
Fysisk sikkerhed
Vores cloud-udbyder, Microsoft Azure, er ansvarlig for den fysiske sikkerhed i de datacentre, hvor kundedata opbevares. Disse datacentre er beskyttet af flerlagede sikkerhedskontroller, herunder 24/7 overvågning, biometrisk adgangskontrol og videoovervågning. Microsofts overholdelse af internationalt anerkendte standarder (f.eks. ISO 27001, SOC 2) verificeres regelmæssigt af tredjepartsrevisorer.
C.3. Lokalitet for behandling
Behandling af personoplysninger omfattet af denne DPA kan ikke uden den Dataansvarliges forudgående skriftlige godkendelse ske på andre lokaliteter end Microsoft Azure-datacentre inden for Den Europæiske Union.
C.4. Instruks vedrørende overførsel af personoplysninger til tredjelande
Databehandleren er instrueret i ikke at overføre personoplysninger til tredjelande uden for EU/EØS uden et gyldigt overførselsgrundlag i henhold til GDPR kapitel V og dokumenterede instrukser fra den Dataansvarlige. Al primær databehandling og lagring sker inden for EU.
C.5. Procedurer for den dataansvarliges revisioner
Efter rimelig anmodning stiller Databehandleren alle oplysninger, der er nødvendige for at påvise overholdelse af denne DPA og GDPR artikel 28, til rådighed for den Dataansvarlige. Dette omfatter levering af dokumentation for de implementerede sikkerhedsforanstaltninger.
Hvis den Dataansvarlige kræver en formel revision udført af en uafhængig tredjepart, er den Dataansvarlige ansvarlig for alle omkostninger forbundet med en sådan revision. Revisionen skal aftales skriftligt, udføres med rimeligt varsel og i åbningstiden for at minimere forstyrrelser af Databehandlerens drift.