PhotoRobot
Trust Center
Juridisk
PhotoRobot Data Processing Agreement (DPA)
PhotoRobot Servicevilkår
PhotoRobot-licensaftale
PhotoRobot privatlivsdokumenter - Oversigt
PhotoRobot privatlivspolitik
PhotoRobot GDPR privatlivserklæring (Artikel 13)
PhotoRobot Data Processing Agreement (DPA)
PhotoRobot acceptabel brugspolitik (AUP)
PhotoRobot Service Level Agreements (SLA)
Service Level Agreement (SLA) for PhotoRobot-software
Service Level Agreement (SLA) for PhotoRobot-hardware
PhotoRobot kundesupportvilkår
PhotoRobot Cookie-politik
PhotoRobot markedsføringssamtykkepolitik
PhotoRobot underprocessorliste
PhotoRobot juridiske definitioner & ordliste
Sidst redigeret: 29. dec. 2025

PhotoRobot Data Processing Agreement (DPA)

Dette dokument repræsenterer PhotoRobot Data Processing Agreement: Version 1.0 — PhotoRobot Edition, uni-Robot Ltd., Tjekkiet.

1. Partier

Denne databehandlingsaftale ("DPA") indgås mellem:

Controller (kunde)
Den person eller juridiske enhed, der har indgået PhotoRobot Servicevilkår og bruger tjenesten.

og

Processor:
uni-Robot Ltd.
Vodičkova 710/31
110 00 Prag 1
Tjekkiet
Firma-ID: 01478061
MOMS-ID: CZ01478061
Email: legal@photorobot.com

Herefter samlet omtalt som "Parterne".

Denne DPA supplerer PhotoRobot sine servicevilkår og gælder, når PhotoRobot behandler persondata på vegne af kunden.

2. Emne og behandling

PhotoRobot ("Processor") leverer cloud-baserede tjenester, lokale softwareudvidelser, firmwarehåndtering og hostinginfrastruktur, der er nødvendig for at behandle billeder, metadata og relateret digitalt indhold, uploadet af kunden ("Controller").

Behandlingen omfatter:

  • Samling
  • Opbevaring
  • Transmission
  • Metadata-udtrækning
  • Synkronisering mellem CL ↔ Cloud
  • Hosting af kunde-uploadet indhold
  • oprettelse af logfiler og diagnostik
  • Backup-operationer

Behandlingen udføres udelukkende på vegne af Controlleren i henhold til deres dokumenterede instruktioner.

3. Varighed

Denne DPA forbliver gældende i hele kontraktforholdet mellem parterne, og derefter så længe behandleren opbevarer eller behandler personoplysninger på vegne af Ansvarlig.

4. Persondata og kategorier af datasubjekter

4.1. Typer af persondata

Afhængigt af hvordan tjenesten bruges, kan behandlede data omfatte:

  • Identifikationsdata (navn, efternavn, firma)
  • Kontaktoplysninger (e-mail, telefon)
  • Visuelt indhold (billeder, videoer)
  • metadata forbundet med uploadet indhold
  • logdata, IP-adresser, tekniske identifikatorer
  • Projektniveau data
  • Legitimationsoplysninger (hashede), adgangstokre

Behandleren kræver ikke eller behandler ikke med vilje særlige kategorier af data (art. 9 GDPR).

4.2. Kategorier af datasubjekter

  • Kundens medarbejdere
  • Kundens klienter eller partnere
  • Autoriserede brugere
  • Alle personer, der præsenteres i visuelt indhold uploadet af kunden

Kunden er alene ansvarlig for at sikre lovlig indsamling af data fra datasubjekter.

5. Instruktioner fra Controller

Behandler behandler kun persondata:

  1. ifølge Controllerens dokumenterede instruktioner,
  2. som krævet for at levere tjenesten,
  3. for at sikre sikkerhed, integritet og tilgængelighed af systemer,
  4. som krævet af EU- eller tjekkisk lovgivning.

Hvis Processoren anser en instruktion for ulovlig, skal Processoren underrette Controlleren.

6. Fortrolighed

Behandler sikrer, at alle personer autoriseret til at behandle personoplysninger:

  • er underlagt fortrolighedsforpligtelser,
  • har modtaget passende træning,
  • behandle data udelukkende under instruktioner fra controlleren.

7. Subprocessorer

Processoren bruger visse tredjepartsleverandører ("Sub-Processors") til at understøtte tjenesten.

7.1. Godkendte underprocessorer

Controlleren giver generel tilladelse til, at Processoren kan engagere følgende kategorier af underbehandlere:

  • Cloud-infrastrukturudbydere (f.eks. Google Cloud Platform)
  • E-mailleveringsudbydere
  • Analyseudbydere
  • Billetsystemer
  • Sikkerhedsovervågningstjenester
  • Backup- og katastrofeberedskabssystemer

En komplet liste vedligeholdes i PhotoRobot Sub-Processor List og kan opdateres.

7.2. Meddelelse om ændringer

Behandler skal underrette Controller om eventuelle tilsigtede ændringer i underbehandlere mindst 15 dage i forvejen, hvilket giver Ansvarlig mulighed for at gøre indsigelse på rimelig grund.

8. Internationale dataoverførsler

Hvor underprocessorer eller infrastruktur er placeret uden for EEA, sikrer processoren:

  • anvendelse af standard kontraktklausuler (SCC 2021),
  • supplerende tekniske og organisatoriske sikkerhedsforanstaltninger,
  • minimeret adgang og kryptering,
  • Overholdelsesrevisioner foretaget af den underliggende udbyder.

Google Cloud Platform tilbyder:

  • ISO 27001, ISO 27017, ISO 27018
  • SOC 1/2/3 rapporter
  • GDPR-overholdelsesdokumentation

Detaljer findes på https://cloud.google.com/security.

9. Sikkerhedsforanstaltninger

Behandler skal implementere tekniske og organisatoriske tiltag (TOM'er) i branchestandard, herunder:

9.1. Tekniske tiltag

  • TLS-kryptering af data under overførsel
  • Sikker lagring med krypterede adgangstoketer
  • Isolerede behandlingsmiljøer
  • adgangskodehashing
  • Hastighedsgrænser og indtrængningsdetekteringssystemer
  • Flerlags firewalling
  • fysisk datacentersikkerhed (via Google Cloud)

9.2. Organisatoriske tiltag

  • Rollebaseret adgangskontrol
  • Adgangslogning og overvågning
  • Interne politikker for datahåndtering
  • Medarbejderfortrolighedsforpligtelser
  • Periodisk sikkerhedstræning
  • Leverandørrisikostyring

En komplet liste over TOMs kan fås efter anmodning.

10. Rettigheder for de registrerede personer

Processor hjælper controlleren med at reagere på:

  • Anmodninger om adgang
  • Rektificering
  • Sletning
  • Begrænsning
  • Dataportabilitet
  • Indsigelser

Behandler skal videresende enhver direkte anmodning fra en dataunderlagt til Controlleren uden unødig forsinkelse.

11. Varsling om databrud

I tilfælde af et persondatabrud skal behandleren underrette Controller:

  • uden unødig forsinkelse,
  • inklusive alle oplysninger, der kræves af artikel 33 GDPR,
  • og give løbende opdateringer, indtil udbedringen er afsluttet.

Controlleren er fortsat ansvarlig for at underrette myndigheder og berørte personer.

12. Sletning eller tilbagelevering af data

Ved ophør af kontrakten:

  • Behandler sletter kundedata efter 30 dage,
  • medmindre andet er instrueret af Controller,
  • medmindre opbevaring er påkrævet ved lov.

Backups overskrives i deres normale livscyklus.

13. Revisioner

Controlleren har ret til at:

  • modtage dokumentation, der beviser GDPR-overholdelse
  • anmod om en rapport om TOMs
  • Udfør rimelige revisioner, begrænset til én gang om året
  • stoler på tredjepartscertificeringer (ISO/SOC-rapporter fra Google Cloud)

Revisioner må ikke bringe sikkerheden i fare eller forstyrre driften.

14. Ansvar

Parternes ansvar følger servicevilkårene.
Behandler er kun ansvarlig for brud forårsaget af egen overtrædelse af GDPR-forpligtelser.

15. Gældende lov og jurisdiktion

Denne DPA reguleres af lovgivningen i Tjekkiet.

Tvister skal afgøres ved domstolene i Prag, Tjekkiet.

16. Standard kontraktklausuler (SCC)

Hvor det er nødvendigt, gælder SCC 2021 (Modul 2: Controller → Processor) som bilag til denne DPA.

PhotoRobot:

  • inkorporerer SCC ved reference,
  • inkluderer alle obligatoriske klausuler,
  • Implementerer supplerende tekniske foranstaltninger
  • sikrer overholdelse af overførsler til underforhandlere uden for EØS.

SCC kan leveres i sin fulde længde efter anmodning.

17. Kontakt

uni-Robot Ltd.
Vodičkova 710/31
110 00 Prag 1
Tjekkiet

Email: legal@photorobot.com