Databehandleraftale
Sidst opdateret: 2. juli 2026
Dette er databehandleraftalen i henhold til artikel 28 i GDPR, som dækker de obligatoriske elementer med fuldstændige operative bestemmelser. Det udgør ikke juridisk rådgivning; en endelig gennemgang i forhold til dine specifikke omstændigheder er tilrådelig inden lancering. Aftalen er udformet med henblik på at blive indarbejdet ved henvisning i vilkårene for tjenesten og at blive bindende, når kunden accepterer disse vilkår.
Denne databehandleraftale ("Aftalen") udgør en del af vilkårene for tjenesten mellem SDHC AS, organisationsnummer 926 038 060, Postboks 570 Vestre Glemmen, 1612 Fredrikstad, Norge ("Databehandleren", "vi") og den kunde, der accepterer vilkårene ("Dataansvarlig", "du"). Den regulerer vores behandling af personoplysninger, der indgår i det indhold, du uploader til tjenesten, og finder anvendelse, hvor og i det omfang GDPR finder anvendelse på denne behandling.
Hvor denne Aftale er i strid med vilkårene for tjenesten for så vidt angår behandlingen af personoplysninger, har denne Aftale forrang.
Begreber med stort begyndelsesbogstav, der anvendes i denne Aftale uden at være defineret heri, har den betydning, de er tillagt i vilkårene for tjenesten.
1. Parternes roller
For personoplysninger, der indgår i dit indhold (herunder billeder, der kan vise identificerbare personer og køretøjer), er du Dataansvarlig og SDHC er Databehandler. Du fastlægger formålene med og midlerne til denne behandling; SDHC behandler oplysningerne udelukkende på dine vegne.
(For konto-, abonnements-, fakturerings- og webstedsanalysedata er SDHC en selvstændig dataansvarlig som beskrevet i privatlivspolitikken; disse data er ikke omfattet af denne Aftale.)
2. Genstand, varighed, karakter og formål
- Genstand: behandling af personoplysninger, der indgår i billeder og tilhørende indhold, som du uploader til tjenesten.
- Varighed: i abonnementets løbetid og indtil sletning eller tilbagelevering af dataene som fastsat i afsnit 10.
- Karakter og formål: hosting, lagring, organisering og automatiseret analyse (klassificering af vildt og detektion af tilstedeværelsen af mennesker/køretøjer) af uploadet indhold samt tilgængeliggørelse af resultaterne for dig og de teammedlemmer, du giver adgang.
3. Typer af personoplysninger og kategorier af registrerede
- Typer af personoplysninger: billeder, der kan indeholde identificerbare personer og køretøjer; koordinater for kameraets placering; billedmetadata (dato, klokkeslæt, kameranavn, kameramærke); resultater af automatiseret detektion.
- Kategorier af registrerede: personer, der tilfældigvis fanges af dine kameraer (for eksempel forbipasserende, besøgende eller andre inden for kameraets rækkevidde).
Du må ikke bevidst uploade følsomme personoplysninger (artikel 9 i GDPR) eller anvende tjenesten til systematisk at behandle sådanne oplysninger, medmindre andet er aftalt særskilt og skriftligt. Vores automatiserede detektion af "menneske til stede" identificerer ikke enkeltpersoner og er ikke udformet med henblik på at behandle biometriske eller andre følsomme personoplysninger.
4. Den Dataansvarliges instrukser og forpligtelser
Vi behandler kun personoplysninger efter dine dokumenterede instrukser, herunder som fastsat i denne Aftale og i din brug af tjenestens funktioner, medmindre vi er forpligtet til at handle i henhold til norsk eller EØS-retten (i hvilket tilfælde vi vil underrette dig, medmindre dette er retligt forbudt).
Du indestår for, at: (a) du har et gyldigt retsgrundlag for den behandling, du instruerer om; (b) du har overholdt alle gældende krav om oplysning, skiltning og samtykke over for de personer, der optages; og (c) dine instrukser er i overensstemmelse med gældende ret. Du er ansvarlig for lovligheden af de personoplysninger og instrukser, du leverer.
Hvis vi finder, at en instruks er i strid med GDPR eller anden gældende databeskyttelseslovgivning, vil vi underrette dig.
5. Fortrolighed
Vi sikrer, at personer, der er bemyndiget til at behandle personoplysningerne, er underlagt en passende fortrolighedsforpligtelse og er gjort bekendt med oplysningernes fortrolige karakter.
6. Sikkerhed
Under hensyntagen til det aktuelle tekniske niveau, omkostningerne samt behandlingens karakter, omfang, sammenhæng og formål gennemfører vi passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risikoen (artikel 32 i GDPR), herunder efter omstændighederne:
- kryptering af personoplysninger under overførsel (TLS);
- adgangskontrol, autentificering og princippet om mindst muligt privilegium for personale og systemer;
- beskyttelse af sessionslegitimationsoplysninger, herunder anvendelse af attributterne HttpOnly, Secure og SameSite på sessionscookies;
- logisk adskillelse af kundedata, således at én kunde ikke kan tilgå en anden kundes indhold;
- begrænsning af administrative grænseflader (for eksempel ved hjælp af adgangskode og IP-baseret adgangskontrol);
- logning og overvågning af relevant adgang og relevante hændelser; og
- foranstaltninger til at genoprette tilgængeligheden af og adgangen til personoplysninger efter en fysisk eller teknisk hændelse (sikkerhedskopier).
Vi gennemgår disse foranstaltninger med jævne mellemrum og opdaterer dem efter behov. En aktuel oversigt er tilgængelig efter anmodning.
7. Underdatabehandlere
Du giver generel bemyndigelse til, at vi kan anvende underdatabehandlere til at levere tjenesten. Vi anvender aktuelt:
| Underdatabehandler | Rolle | Placering |
|---|---|---|
| Hosting.com | Hosting / infrastruktur | Germany (EEA) |
| Cloudflare, Inc. | DNS, CDN og sikkerhed | United States |
| Mapbox, Inc. | Interaktivt kort (fliser/stilarter/skrifttyper) | United States |
| Paddle.com Market Limited | Betalingsbehandling (Merchant of Record) | United Kingdom |
Vi pålægger hver underdatabehandler databeskyttelsesforpligtelser, der ikke er mindre beskyttende end dem, der er fastsat i denne Aftale. Vi giver dig mindst 30 dages forudgående varsel om enhver påtænkt tilføjelse eller udskiftning af en underdatabehandler. I denne periode kan du gøre indsigelse på rimelige databeskyttelsesmæssige grunde; hvis vi ikke kan imødekomme din indsigelse, kan du opsige den berørte del af tjenesten som din misligholdelsesbeføjelse.
8. Bistand til den Dataansvarlige
Under hensyntagen til behandlingens karakter bistår vi dig ved passende tekniske og organisatoriske foranstaltninger og i det omfang, det er muligt:
- med at besvare anmodninger fra registrerede, der udøver deres rettigheder (indsigt, berigtigelse, sletning, begrænsning, dataportabilitet, indsigelse). Tjenesten giver dig også mulighed for selv at se og slette uploadede billeder og tilhørende data;
- med at overholde dine forpligtelser vedrørende sikkerhed (artikel 32), anmeldelse af brud (artikel 33-34) samt konsekvensanalyser vedrørende databeskyttelse og forudgående høring (artikel 35-36).
Hvis vi modtager en anmodning direkte fra en registreret vedrørende dit indhold, vil vi ikke besvare den selv (bortset fra at henvise vedkommende på passende vis) og vil videresende den til dig uden unødig forsinkelse.
9. Brud på persondatasikkerheden
Vi underretter dig uden unødig forsinkelse, efter at vi er blevet bekendt med et brud på persondatasikkerheden, der berører personoplysninger, som behandles i henhold til denne Aftale, og vil levere de oplysninger, der med rimelighed er tilgængelige for os, for at hjælpe dig med at opfylde dine anmeldelsesforpligtelser over for Datatilsynet (artikel 33) og, hvor det er påkrævet, over for de berørte registrerede (artikel 34). Anmeldelse af et brud udgør ikke en anerkendelse af ansvar.
10. Sletning eller tilbagelevering af data
Ved ophør af tjenesten eller efter din anmodning vil vi slette eller tilbagelevere alle personoplysninger, der behandles på dine vegne, og slette eksisterende kopier inden for 30 dage, medmindre norsk eller EØS-retten kræver opbevaring. Du kan til enhver tid slette dine billeder og tilhørende data i tjenesten. Efter anmodning fremsat inden sletning vil vi tilbagelevere dataene til dig i et almindeligt anvendt, maskinlæsbart format.
11. Revision og oplysninger
Vi stiller de oplysninger, der med rimelighed er nødvendige for at påvise overholdelse af artikel 28 i GDPR, til rådighed for dig og giver mulighed for og bidrager til revisioner, herunder inspektioner, der udføres af dig eller en revisor, som du har bemyndiget. Vi besvarer en rimelig skriftlig revisionsanmodning inden for 30 dage, højst én gang pr. periode på 12 måneder (medmindre det kræves af en tilsynsmyndighed eller som følge af et brud på persondatasikkerheden), forudsat mindst 14 dages forudgående varsel, passende fortrolighedstilsagn, og at hver part bærer sine egne omkostninger. Revisioner må ikke urimeligt forstyrre vores drift eller bringe fortroligheden eller sikkerheden af andre kunders data i fare.
12. Internationale overførsler
Personoplysninger i henhold til denne Aftale hostes inden for EØS (Tyskland). Hvor en underdatabehandler er placeret uden for EØS (se afsnit 7):
- overførsler til Paddle i Storbritannien er omfattet af EØS'/EU's afgørelse om tilstrækkeligt beskyttelsesniveau for Storbritannien;
- overførsler til Cloudflare og Mapbox i USA finder sted i henhold til en passende overførselsmekanisme, der er anerkendt af GDPR, såsom EU-U.S. Data Privacy Framework og/eller standardkontraktbestemmelser.
Vi overfører ikke personoplysninger uden for EØS, medmindre det sker under sådanne garantier.
13. Almindelige bestemmelser
Denne Aftale er underlagt lovgivningen i Norge. Hvis en bestemmelse måtte blive fundet ugyldig, forbliver de øvrige bestemmelser i kraft. I tilfælde af konflikt med vilkårene for tjenesten vedrørende behandlingen af personoplysninger har denne Aftale forrang.
SDHC AS — organisationsnummer 926 038 060 — Postboks 570 Vestre Glemmen, 1612 Fredrikstad, Norge — [email protected]