Personuppgiftsbiträdesavtal
Senast uppdaterad: 2 juli 2026
Detta är personuppgiftsbiträdesavtalet enligt artikel 28 i GDPR, som täcker de obligatoriska delarna med fullständiga operativa villkor. Det utgör inte juridisk rådgivning; en slutlig genomgång mot dina specifika förhållanden är klok innan lansering. Det är utformat för att införlivas genom hänvisning i användarvillkoren och bli bindande när kunden godkänner dessa villkor.
Detta personuppgiftsbiträdesavtal ("Biträdesavtalet") utgör en del av användarvillkoren mellan SDHC AS, organisationsnummer 926 038 060, Postboks 570 Vestre Glemmen, 1612 Fredrikstad, Norge ("Personuppgiftsbiträdet", "vi") och den kund som godkänner villkoren ("Personuppgiftsansvarig", "du"). Det reglerar vår behandling av personuppgifter som ingår i det innehåll du laddar upp till Tjänsten, och gäller där och i den utsträckning som GDPR är tillämplig på den behandlingen.
Om detta Biträdesavtal strider mot användarvillkoren när det gäller behandlingen av personuppgifter, har detta Biträdesavtal företräde.
Begrepp med stor begynnelsebokstav som används i detta Biträdesavtal utan att definieras här har den innebörd som anges i användarvillkoren.
1. Parternas roller
För personuppgifter som ingår i Ditt Innehåll (inklusive bilder som kan avbilda identifierbara individer och fordon) är du Personuppgiftsansvarig och SDHC Personuppgiftsbiträde. Du bestämmer ändamålen med och medlen för den behandlingen; SDHC behandlar uppgifterna endast för din räkning.
(För konto-, prenumerations-, fakturerings- och webbanalysdata är SDHC en självständigt personuppgiftsansvarig såsom beskrivs i integritetspolicyn; dessa uppgifter faller utanför tillämpningsområdet för detta Biträdesavtal.)
2. Föremål, varaktighet, art och ändamål
- Föremål: behandling av personuppgifter som ingår i bilder och tillhörande innehåll som du laddar upp till Tjänsten.
- Varaktighet: under prenumerationens löptid och till dess att uppgifterna raderas eller återlämnas enligt vad som anges i avsnitt 10.
- Art och ändamål: hosting, lagring, organisering och automatiserad analys (klassificering av vilt och detektering av förekomst av människor/fordon) av uppladdat innehåll, samt att göra resultaten tillgängliga för dig och för de teammedlemmar du auktoriserar.
3. Typer av personuppgifter och kategorier av registrerade
- Typer av personuppgifter: bilder som kan innehålla identifierbara personer och fordon; kamerans platskoordinater; bildmetadata (datum, tid, kameranamn, kameramärke); automatiserade detekteringsresultat.
- Kategorier av registrerade: individer som råkar fångas av dina kameror (till exempel förbipasserande, besökare eller andra inom kamerans räckvidd).
Du får inte avsiktligt ladda upp särskilda kategorier av personuppgifter (artikel 9 i GDPR) eller använda Tjänsten för att systematiskt behandla sådana uppgifter, om inte annat skriftligen överenskommits separat. Vår automatiserade detektering av "människa förekommer" identifierar inte individer och är inte utformad för att behandla biometriska uppgifter eller andra särskilda kategorier av personuppgifter.
4. Den personuppgiftsansvariges instruktioner och skyldigheter
Vi behandlar personuppgifter endast enligt dina dokumenterade instruktioner, inklusive såsom anges i detta Biträdesavtal och genom din användning av Tjänstens funktioner, om vi inte är skyldiga att agera enligt norsk rätt eller EES-rätt (i vilket fall vi kommer att informera dig, om det inte är rättsligt förbjudet).
Du garanterar att: (a) du har en giltig rättslig grund för den behandling du instruerar om; (b) du har uppfyllt alla tillämpliga krav på information, skyltning och samtycke gentemot de individer som fångas; och (c) dina instruktioner följer tillämplig lag. Du ansvarar för lagligheten av de personuppgifter och instruktioner du tillhandahåller.
Om vi anser att en instruktion strider mot GDPR eller annan tillämplig dataskyddslagstiftning kommer vi att informera dig.
5. Konfidentialitet
Vi säkerställer att personer som är behöriga att behandla personuppgifterna är bundna av en lämplig konfidentialitetsförpliktelse och görs medvetna om uppgifternas konfidentiella art.
6. Säkerhet
Med beaktande av den senaste utvecklingen, kostnaderna samt behandlingens art, omfattning, sammanhang och ändamål vidtar vi lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken (artikel 32 i GDPR), inklusive i tillämpliga fall:
- kryptering av personuppgifter under överföring (TLS);
- åtkomstkontroller, autentisering och principen om minsta möjliga behörighet för personal och system;
- skydd av sessionsuppgifter, inklusive användning av attributen HttpOnly, Secure och SameSite på sessionscookies;
- logisk separation av kunddata så att en kund inte kan komma åt en annans innehåll;
- begränsning av administrativa gränssnitt (till exempel genom lösenord och IP-baserade åtkomstkontroller);
- loggning och övervakning av relevant åtkomst och relevanta händelser; och
- åtgärder för att återställa tillgängligheten till och åtkomsten till personuppgifter efter en fysisk eller teknisk incident (säkerhetskopior).
Vi ser över dessa åtgärder regelbundet och uppdaterar dem vid behov. En aktuell sammanfattning tillhandahålls på begäran.
7. Underbiträden
Du lämnar allmän tillåtelse för oss att anlita underbiträden för att leverera Tjänsten. Vi anlitar för närvarande:
| Underbiträde | Roll | Plats |
|---|---|---|
| Hosting.com | Hosting / infrastruktur | Germany (EEA) |
| Cloudflare, Inc. | DNS, CDN och säkerhet | United States |
| Mapbox, Inc. | Interaktiv karta (rutor/stilar/typsnitt) | United States |
| Paddle.com Market Limited | Betalningshantering (Merchant of Record) | United Kingdom |
Vi ålägger varje underbiträde dataskyddsförpliktelser som inte är mindre skyddande än de i detta Biträdesavtal. Vi kommer att ge dig minst 30 dagars förvarning om varje avsedd tillkomst eller utbyte av ett underbiträde. Under den perioden kan du invända på rimliga dataskyddsgrunder; om vi inte kan lösa din invändning kan du säga upp den berörda delen av Tjänsten som din åtgärd.
8. Bistånd till den personuppgiftsansvarige
Med beaktande av behandlingens art kommer vi att bistå dig, genom lämpliga tekniska och organisatoriska åtgärder och i den mån det är möjligt:
- att svara på begäran från registrerade som utövar sina rättigheter (tillgång, rättelse, radering, begränsning, portabilitet, invändning). Tjänsten gör det också möjligt för dig att själv visa och radera uppladdade bilder och tillhörande data;
- att uppfylla dina skyldigheter avseende säkerhet (artikel 32), anmälan av personuppgiftsincidenter (artiklarna 33–34) samt konsekvensbedömningar avseende dataskydd och förhandssamråd (artiklarna 35–36).
Om vi tar emot en begäran direkt från en registrerad som rör Ditt Innehåll kommer vi inte att besvara den själva (annat än för att hänvisa vederbörande på lämpligt sätt) och kommer att vidarebefordra den till dig utan onödigt dröjsmål.
9. Personuppgiftsincidenter
Vi kommer att underrätta dig utan onödigt dröjsmål efter att ha fått kännedom om en personuppgiftsincident som påverkar personuppgifter som behandlas enligt detta Biträdesavtal, och kommer att tillhandahålla den information som rimligen är tillgänglig för oss för att hjälpa dig att uppfylla dina anmälningsskyldigheter till Datatilsynet (artikel 33) och, där så krävs, till berörda registrerade (artikel 34). En anmälan om en incident utgör inte ett erkännande av fel.
10. Radering eller återlämnande av data
Vid uppsägning av Tjänsten, eller på din begäran, kommer vi att radera eller återlämna alla personuppgifter som behandlas för din räkning och radera befintliga kopior inom 30 dagar, om inte norsk rätt eller EES-rätt kräver lagring. Du kan när som helst radera dina bilder och tillhörande data i Tjänsten. På begäran som framställs innan radering kommer vi att återlämna uppgifterna till dig i ett allmänt använt, maskinläsbart format.
11. Granskningar och information
Vi kommer att göra den information som rimligen är nödvändig för att visa efterlevnad av artikel 28 i GDPR tillgänglig för dig, samt möjliggöra och bidra till granskningar, inklusive inspektioner, som utförs av dig eller en revisor som du har utsett. Vi kommer att svara på en rimlig skriftlig begäran om granskning inom 30 dagar, högst en gång per 12-månadersperiod (om inte annat krävs av en tillsynsmyndighet eller till följd av en personuppgiftsincident), förutsatt minst 14 dagars förvarning, lämpliga konfidentialitetsåtaganden och att vardera parten bär sina egna kostnader. Granskningar får inte på ett orimligt sätt störa vår verksamhet eller äventyra konfidentialiteten eller säkerheten för andra kunders data.
12. Internationella överföringar
Personuppgifter enligt detta Biträdesavtal lagras inom EES (Tyskland). Där ett underbiträde är beläget utanför EES (se avsnitt 7):
- överföringar till Paddle i Storbritannien omfattas av EES/EU:s beslut om adekvat skyddsnivå för Storbritannien;
- överföringar till Cloudflare och Mapbox i USA görs enligt en lämplig överföringsmekanism som erkänns av GDPR, såsom ramverket EU–U.S. Data Privacy Framework och/eller standardavtalsklausuler.
Vi kommer inte att överföra personuppgifter utanför EES annat än under sådana skyddsåtgärder.
13. Allmänt
Detta Biträdesavtal regleras av norsk rätt. Om någon bestämmelse skulle befinnas ogiltig, fortsätter övriga bestämmelser att gälla. Vid konflikt med användarvillkoren avseende behandlingen av personuppgifter har detta Biträdesavtal företräde.
SDHC AS — organisationsnummer 926 038 060 — Postboks 570 Vestre Glemmen, 1612 Fredrikstad, Norge — [email protected]