Databehandleravtale
Sist oppdatert: 2. juli 2026
Dette er databehandleravtalen etter artikkel 28 GDPR, som dekker de obligatoriske elementene med fullstendige operative bestemmelser. Den utgjør ikke juridisk rådgivning; en avsluttende gjennomgang opp mot dine konkrete forhold er tilrådelig før lansering. Den er utformet for å innlemmes ved henvisning i brukervilkårene og bli bindende når kunden aksepterer disse vilkårene.
Denne databehandleravtalen ("DPA") utgjør en del av brukervilkårene mellom SDHC AS, organisasjonsnummer 926 038 060, Postboks 570 Vestre Glemmen, 1612 Fredrikstad, Norge ("Databehandler", "vi") og kunden som aksepterer vilkårene ("Behandlingsansvarlig", "du"). Den regulerer vår behandling av personopplysninger som ligger i innholdet du laster opp til Tjenesten, og gjelder der og i den utstrekning GDPR gjelder for denne behandlingen.
Dersom denne avtalen er i strid med brukervilkårene når det gjelder behandlingen av personopplysninger, går denne avtalen foran.
Begreper med stor forbokstav som brukes i denne avtalen uten å være definert her, har den betydningen de er gitt i brukervilkårene.
1. Partenes roller
For personopplysninger som ligger i Ditt innhold (herunder bilder som kan avbilde identifiserbare enkeltpersoner og kjøretøy) er du Behandlingsansvarlig og SDHC Databehandler. Du fastsetter formålene med og midlene for denne behandlingen; SDHC behandler opplysningene kun på dine vegne.
(For konto-, abonnements-, fakturerings- og nettstedsanalysedata er SDHC selvstendig behandlingsansvarlig slik det er beskrevet i personvernerklæringen; disse dataene faller utenfor denne avtalens virkeområde.)
2. Behandlingens gjenstand, varighet, art og formål
- Gjenstand: behandling av personopplysninger som ligger i bilder og tilknyttet innhold du laster opp til Tjenesten.
- Varighet: for abonnementsperioden din og inntil dataene slettes eller tilbakeleveres slik det er fastsatt i punkt 10.
- Art og formål: hosting, lagring, organisering og automatisert analyse (viltklassifisering og deteksjon av tilstedeværelse av mennesker/kjøretøy) av opplastet innhold, og å gjøre resultatene tilgjengelige for deg og for teammedlemmer du gir tilgang.
3. Typer personopplysninger og kategorier av registrerte
- Typer personopplysninger: bilder som kan inneholde identifiserbare personer og kjøretøy; koordinater for kameraplassering; bildemetadata (dato, klokkeslett, kameranavn, kameramerke); automatiserte deteksjonsresultater.
- Kategorier av registrerte: enkeltpersoner som tilfeldigvis fanges opp av kameraene dine (for eksempel forbipasserende, besøkende eller andre innenfor kameraets rekkevidde).
Du skal ikke bevisst laste opp særlige kategorier av personopplysninger (artikkel 9 GDPR) eller bruke Tjenesten til systematisk å behandle slike opplysninger, med mindre det er særskilt avtalt skriftlig. Vår automatiserte deteksjon av «menneske til stede» identifiserer ikke enkeltpersoner og er ikke utformet for å behandle biometriske opplysninger eller andre særlige kategorier av personopplysninger.
4. Den behandlingsansvarliges instrukser og forpliktelser
Vi behandler personopplysninger kun på dine dokumenterte instrukser, herunder slik det er fastsatt i denne avtalen og gjennom din bruk av Tjenestens funksjoner, med mindre vi er pålagt å handle etter norsk eller EØS-rett (i så fall informerer vi deg, med mindre dette er rettslig forbudt).
Du innestår for at: (a) du har et gyldig behandlingsgrunnlag for behandlingen du instruerer; (b) du har oppfylt alle gjeldende krav til informasjon, skilting og samtykke overfor personer som fanges opp; og (c) instruksene dine er i samsvar med gjeldende rett. Du er ansvarlig for at personopplysningene og instruksene du gir, er lovlige.
Dersom vi mener at en instruks er i strid med GDPR eller annen gjeldende personvernlovgivning, informerer vi deg.
5. Konfidensialitet
Vi sørger for at personer som er autorisert til å behandle personopplysningene, er underlagt en passende taushetsplikt og gjøres oppmerksomme på opplysningenes fortrolige karakter.
6. Sikkerhet
Idet det tas hensyn til det tekniske utviklingsnivået, kostnadene og behandlingens art, omfang, sammenheng og formål, gjennomfører vi egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er tilpasset risikoen (artikkel 32 GDPR), herunder etter behov:
- kryptering av personopplysninger under overføring (TLS);
- tilgangsstyring, autentisering og prinsippet om minste privilegium for personell og systemer;
- beskyttelse av øktlegitimasjon, herunder bruk av attributtene HttpOnly, Secure og SameSite på øktinformasjonskapsler;
- logisk atskillelse av kundedata slik at én kunde ikke kan få tilgang til en annens innhold;
- begrensning av administrative grensesnitt (for eksempel ved passord og IP-basert tilgangsstyring);
- logging og overvåking av relevante tilganger og hendelser; og
- tiltak for å gjenopprette tilgjengeligheten av og tilgangen til personopplysninger etter en fysisk eller teknisk hendelse (sikkerhetskopier).
Vi gjennomgår disse tiltakene jevnlig og oppdaterer dem etter behov. En oppdatert oversikt er tilgjengelig på forespørsel.
7. Underdatabehandlere
Du gir generell godkjenning for at vi kan benytte underdatabehandlere for å levere Tjenesten. Vi benytter for tiden:
| Underdatabehandler | Rolle | Sted |
|---|---|---|
| Hosting.com | Hosting / infrastruktur | Germany (EEA) |
| Cloudflare, Inc. | DNS, CDN og sikkerhet | United States |
| Mapbox, Inc. | Interaktivt kart (fliser/stiler/skrifter) | United States |
| Paddle.com Market Limited | Betalingsbehandling (Merchant of Record) | United Kingdom |
Vi pålegger hver underdatabehandler personvernforpliktelser som ikke er mindre beskyttende enn dem i denne avtalen. Vi gir deg minst 30 dagers forhåndsvarsel før eventuell tilføyelse eller utskifting av en underdatabehandler. I denne perioden kan du fremme innsigelse på rimelig personvernmessig grunnlag; dersom vi ikke kan løse innsigelsen din, kan du si opp den berørte delen av Tjenesten som ditt rettsmiddel.
8. Bistand til den behandlingsansvarlige
Idet det tas hensyn til behandlingens art, bistår vi deg, gjennom egnede tekniske og organisatoriske tiltak og så langt det er mulig:
- med å besvare henvendelser fra registrerte som utøver rettighetene sine (innsyn, retting, sletting, begrensning, dataportabilitet, innsigelse). Tjenesten gir deg også mulighet til selv å se og slette opplastede bilder og tilknyttede data;
- med å oppfylle dine forpliktelser knyttet til sikkerhet (artikkel 32), varsling om brudd (artikkel 33–34) og vurderinger av personvernkonsekvenser samt forhåndsdrøfting (artikkel 35–36).
Dersom vi mottar en henvendelse direkte fra en registrert som gjelder Ditt innhold, besvarer vi den ikke selv (annet enn for å henvise vedkommende på egnet måte) og videresender den til deg uten ugrunnet opphold.
9. Brudd på personopplysningssikkerheten
Vi varsler deg uten ugrunnet opphold etter at vi er blitt kjent med et brudd på personopplysningssikkerheten som berører personopplysninger behandlet etter denne avtalen, og vil gi de opplysningene som med rimelighet er tilgjengelige for oss, for å hjelpe deg med å oppfylle dine varslingsforpliktelser overfor Datatilsynet (artikkel 33) og, der det kreves, overfor berørte registrerte (artikkel 34). Varsling om et brudd innebærer ingen erkjennelse av skyld.
10. Sletting eller tilbakelevering av data
Ved opphør av Tjenesten, eller på din forespørsel, vil vi slette eller tilbakelevere alle personopplysninger som er behandlet på dine vegne, og slette eksisterende kopier innen 30 dager, med mindre norsk eller EØS-rett krever lagring. Du kan når som helst slette bildene dine og tilknyttede data i Tjenesten. På forespørsel fremsatt før sletting vil vi tilbakelevere dataene til deg i et alminnelig brukt, maskinlesbart format.
11. Revisjoner og informasjon
Vi gjør tilgjengelig for deg den informasjonen som med rimelighet er nødvendig for å påvise etterlevelse av artikkel 28 GDPR, og legger til rette for og bidrar til revisjoner, herunder inspeksjoner, utført av deg eller en revisor du har gitt mandat. Vi besvarer en rimelig skriftlig revisjonsforespørsel innen 30 dager, ikke mer enn én gang per 12-månedersperiode (med mindre en tilsynsmyndighet krever det eller det følger et brudd på personopplysningssikkerheten), forutsatt minst 14 dagers forhåndsvarsel, egnede konfidensialitetsforpliktelser og at hver part bærer sine egne kostnader. Revisjoner må ikke urimelig forstyrre driften vår eller svekke konfidensialiteten eller sikkerheten til andre kunders data.
12. Internasjonale overføringer
Personopplysninger etter denne avtalen lagres innenfor EØS (Tyskland). Der en underdatabehandler er lokalisert utenfor EØS (se punkt 7):
- overføringer til Paddle i Storbritannia er omfattet av EØS/EU-tilstrekkelighetsbeslutningen for Storbritannia;
- overføringer til Cloudflare og Mapbox i USA skjer under en egnet overføringsmekanisme anerkjent av GDPR, slik som EU–U.S. Data Privacy Framework og/eller standard personvernbestemmelser (Standard Contractual Clauses).
Vi vil ikke overføre personopplysninger utenfor EØS uten slike garantier.
13. Generelt
Denne avtalen er underlagt norsk rett. Dersom en bestemmelse skulle bli funnet ugyldig, består resten i kraft. Ved motstrid med brukervilkårene når det gjelder behandlingen av personopplysninger, går denne avtalen foran.
SDHC AS — organisasjonsnummer 926 038 060 — Postboks 570 Vestre Glemmen, 1612 Fredrikstad, Norge — [email protected]