PhotoRobot
Trust Center
Lovlig
PhotoRobot databehandlingsavtale (DPA)
PhotoRobot bruksvilkår
PhotoRobot-lisensavtale
PhotoRobot personverndokumenter - Oversikt
PhotoRobot personvernerklæring
PhotoRobot GDPR personvernerklæring (artikkel 13)
PhotoRobot databehandlingsavtale (DPA)
PhotoRobot akseptabel brukspolicy (AUP)
PhotoRobot Service Level Agreements (SLA)
Tjenestenivåavtale (SLA) for PhotoRobot-programvare
Tjenestenivåavtale (SLA) for PhotoRobot-maskinvare
PhotoRobot kundeservicevilkår
PhotoRobot-informasjonskapselpolicy
PhotoRobot markedsføringstillatelsespolicy
PhotoRobot underprosessorliste
PhotoRobot juridiske definisjoner og ordliste
Sist redigert: 29. desember 2025

PhotoRobot databehandlingsavtale (DPA)

Dette dokumentet representerer PhotoRobot Data Processing Agreement: Version 1.0 — PhotoRobot Edition, uni-Robot Ltd., Tsjekkia.

1. Parter

Denne databehandlingsavtalen ("DPA") inngås mellom:

Controller (kunde)
Den personen eller juridiske enheten som har inngått PhotoRobot sine bruksvilkår og bruker tjenesten.

og

Prosessor:
uni-Robot Ltd.
Vodičkova 710/31
110 00 Praha 1
Tsjekkia
Firma-ID: 01478061
MVA-ID: CZ01478061
E-post: legal@photorobot.com

Heretter samlet omtalt som "Partene".

Denne DPA-en supplerer PhotoRobot sine bruksvilkår og gjelder når PhotoRobot behandler personopplysninger på vegne av kunden.

2. Emne og prosesseringsnatur

PhotoRobot ("Prosessor") tilbyr skybaserte tjenester, lokale programvareutvidelser, fastvareadministrasjon og hostinginfrastruktur som kreves for å behandle bilder, metadata og relatert digitalt innhold lastet opp av kunden ("Controller").

Behandlingen inkluderer:

  • Samling
  • Lagring
  • Smitte
  • Metadatauttrekking
  • synkronisering mellom CL ↔ Cloud
  • Hosting av kundeopplastet innhold
  • Opprettelse av logger og diagnostikk
  • Backup-operasjoner

Behandlingen utføres utelukkende på vegne av kontrolløren, i henhold til deres dokumenterte instruksjoner.

3. Varighet

Denne DPA-en gjelder så lenge kontraktsforholdet mellom partene går, og deretter så lenge behandleren lagrer eller behandler personopplysninger på vegne av den ansvarlige.

4. Personopplysninger og kategorier av datasubjekter

4.1. Typer personopplysninger

Avhengig av hvordan tjenesten brukes, kan behandlede data inkludere:

  • Identifikasjonsdata (navn, etternavn, selskap)
  • Kontaktinformasjon (e-post, telefon)
  • Visuelt innhold (bilder, videoer)
  • metadata knyttet til opplastet innhold
  • loggdata, IP-adresser, tekniske identifikatorer
  • Prosjektnivådata
  • Legitimasjon (hashet), tilgangstoker

Behandleren krever ikke eller behandler med vilje spesielle kategorier av data (Art. 9 GDPR).

4.2. Kategorier av datasubjekter

  • Kundens ansatte
  • Kundens klienter eller partnere
  • Autoriserte brukere
  • Alle personer presentert i visuelt innhold lastet opp av kunden

Kunden er alene ansvarlig for å sikre lovlig innsamling av data fra datasubjekter.

5. Instruksjoner fra kontrolløren

Behandleren behandler kun personopplysninger:

  1. ifølge kontrollørens dokumenterte instruksjoner,
  2. slik det kreves for å tilby tjenesten,
  3. for å sikre sikkerhet, integritet og tilgjengelighet av systemene,
  4. slik det kreves av EU- eller tsjekkisk lov.

Hvis Prosessoren anser en instruksjon som ulovlig, må Prosessoren varsle Controller.

6. Konfidensialitet

Behandleren sikrer at alle personer autorisert til å behandle personopplysninger:

  • er underlagt konfidensialitetsforpliktelser,
  • har mottatt passende opplæring,
  • behandle data utelukkende etter instruksjoner fra Kontrolløren.

7. Underprosessorer

Prosessoren bruker visse tredjepartsleverandører ("underprosessorer") for å støtte tjenesten.

7.1. Godkjente underprosessorer

Kontrolløren gir generell autorisasjon for Prosessoren til å engasjere følgende kategorier av underprosessorer:

  • Skyinfrastrukturleverandører (f.eks. Google Cloud Platform)
  • E-postleveringsleverandører
  • Analyseleverandører
  • Billettsystemer
  • Sikkerhetsovervåkingstjenester
  • Backup- og katastrofegjenopprettingssystemer

En komplett liste vedlikeholdes i PhotoRobot Sub-Processor List og kan oppdateres.

7.2. Varsling om endringer

Prosessoren skal varsle kontrolløren om eventuelle tiltenkte endringer i underbehandlere minst 15 dager i forveien, slik at kontrolløren kan protestere på rimelig grunn.

8. Internasjonale dataoverføringer

Der underprosessorer eller infrastruktur befinner seg utenfor EEA, sikrer prosessor:

  • anvendelse av standard kontraktsklausuler (SCC 2021),
  • supplerende tekniske og organisatoriske sikkerhetstiltak,
  • Minimert tilgang og kryptering,
  • Etterlevelsesrevisjoner utført av den underliggende leverandøren.

Google Cloud Platform tilbyr:

  • ISO 27001, ISO 27017, ISO 27018
  • SOC 1/2/3-rapporter
  • GDPR-samsvarsdokumentasjon

Detaljer tilgjengelig på https://cloud.google.com/security.

9. Sikkerhetstiltak

Prosessoren skal implementere bransjestandard tekniske og organisatoriske tiltak (TOM), inkludert:

9.1. Tekniske tiltak

  • TLS-kryptering av data under overføring
  • Sikker lagring med krypterte tilgangstoken
  • Isolerte prosesseringsmiljøer
  • Passordhashing
  • Hastighetsgrenser og inntrengningsdeteksjonssystemer
  • Flerlags brannmur
  • fysisk datasentersikkerhet (via Google Cloud)

9.2. Organisatoriske målinger

  • Rollebasert tilgangskontroll
  • Tilgangslogging og overvåking
  • Interne retningslinjer for datahåndtering
  • Plikter om ansattkonfidensialitet
  • Periodisk sikkerhetstrening
  • Leverandørrisikostyring

En fullstendig liste over TOM-er er tilgjengelig på forespørsel.

10. Rettigheter for de registrerte

Prosessoren hjelper kontrolleren med å svare på:

  • Forespørsler om tilgang
  • Rektifisering
  • Sletting
  • Restriksjon
  • Dataportabilitet
  • Innvendinger

Prosessoren skal videresende enhver direkte forespørsel fra en dataansvarlig til Kontrolløren uten unødig forsinkelse.

11. Varsling om datainnbrudd

Ved et innbrudd i personopplysningene skal behandleren varsle ansvarlig:

  • uten unødig forsinkelse,
  • inkludert all informasjon som kreves av artikkel 33 GDPR,
  • og gi løpende oppdateringer inntil oppryddingen er fullført.

Kontrolløren er fortsatt ansvarlig for å varsle myndigheter og berørte personer.

12. Sletting eller retur av data

Ved oppsigelse av kontrakten:

  • Behandleren sletter kundedata etter 30 dager,
  • med mindre annet er instruert av kontrolløren,
  • med mindre det er påkrevd ved lov å beholde bevaring.

Sikkerhetskopier overskrives i løpet av sin normale livssyklus.

13. Revisjoner

Kontrolløren har rett til å:

  • motta dokumentasjon som beviser GDPR-samsvar
  • be om en rapport om TOM-er
  • Utfør rimelige revisjoner, begrenset til én gang i året
  • stoler på tredjepartssertifiseringer (ISO/SOC-rapporter fra Google Cloud)

Revisjoner må ikke sette sikkerheten i fare eller forstyrre driften.

14. Ansvar

Partenes ansvar følger bruksvilkårene.
Behandleren er kun ansvarlig for brudd forårsaket av eget brudd på GDPR-forpliktelser.

15. Gjeldende lov og jurisdiksjon

Denne DPA-en reguleres av lovene i Tsjekkia.

Tvister skal avgjøres av domstolene i Praha, Tsjekkia.

16. Standard kontraktsklausuler (SCC)

Der det kreves, gjelder SCC 2021 (Modul 2: Controller → Processor) som et vedlegg til denne DPA-en.

PhotoRobot:

  • inkorporerer SCC ved referanse,
  • inkluderer alle obligatoriske klausuler,
  • Implementerer supplerende tekniske tiltak
  • sikrer samsvar for overføringer til underprosessorer utenfor EØS.

SCC kan leveres i sin helhet på forespørsel.

17. Kontakt

uni-Robot Ltd.
Vodičkova 710/31
110 00 Praha 1
Tsjekkia

E-post: legal@photorobot.com