Personuppgiftsbiträdesavtal

Senast uppdaterad: 2 juli 2026

Detta är personuppgiftsbiträdesavtalet enligt artikel 28 i GDPR, som täcker de obligatoriska delarna med fullständiga operativa villkor. Det utgör inte juridisk rådgivning; en slutlig genomgång mot dina specifika förhållanden är klok innan lansering. Det är utformat för att införlivas genom hänvisning i användarvillkoren och bli bindande när kunden godkänner dessa villkor.

Detta personuppgiftsbiträdesavtal ("Biträdesavtalet") utgör en del av användarvillkoren mellan SDHC AS, organisationsnummer 926 038 060, Postboks 570 Vestre Glemmen, 1612 Fredrikstad, Norge ("Personuppgiftsbiträdet", "vi") och den kund som godkänner villkoren ("Personuppgiftsansvarig", "du"). Det reglerar vår behandling av personuppgifter som ingår i det innehåll du laddar upp till Tjänsten, och gäller där och i den utsträckning som GDPR är tillämplig på den behandlingen.

Om detta Biträdesavtal strider mot användarvillkoren när det gäller behandlingen av personuppgifter, har detta Biträdesavtal företräde.

Begrepp med stor begynnelsebokstav som används i detta Biträdesavtal utan att definieras här har den innebörd som anges i användarvillkoren.


1. Parternas roller

För personuppgifter som ingår i Ditt Innehåll (inklusive bilder som kan avbilda identifierbara individer och fordon) är du Personuppgiftsansvarig och SDHC Personuppgiftsbiträde. Du bestämmer ändamålen med och medlen för den behandlingen; SDHC behandlar uppgifterna endast för din räkning.

(För konto-, prenumerations-, fakturerings- och webbanalysdata är SDHC en självständigt personuppgiftsansvarig såsom beskrivs i integritetspolicyn; dessa uppgifter faller utanför tillämpningsområdet för detta Biträdesavtal.)


2. Föremål, varaktighet, art och ändamål


3. Typer av personuppgifter och kategorier av registrerade

Du får inte avsiktligt ladda upp särskilda kategorier av personuppgifter (artikel 9 i GDPR) eller använda Tjänsten för att systematiskt behandla sådana uppgifter, om inte annat skriftligen överenskommits separat. Vår automatiserade detektering av "människa förekommer" identifierar inte individer och är inte utformad för att behandla biometriska uppgifter eller andra särskilda kategorier av personuppgifter.


4. Den personuppgiftsansvariges instruktioner och skyldigheter

Vi behandlar personuppgifter endast enligt dina dokumenterade instruktioner, inklusive såsom anges i detta Biträdesavtal och genom din användning av Tjänstens funktioner, om vi inte är skyldiga att agera enligt norsk rätt eller EES-rätt (i vilket fall vi kommer att informera dig, om det inte är rättsligt förbjudet).

Du garanterar att: (a) du har en giltig rättslig grund för den behandling du instruerar om; (b) du har uppfyllt alla tillämpliga krav på information, skyltning och samtycke gentemot de individer som fångas; och (c) dina instruktioner följer tillämplig lag. Du ansvarar för lagligheten av de personuppgifter och instruktioner du tillhandahåller.

Om vi anser att en instruktion strider mot GDPR eller annan tillämplig dataskyddslagstiftning kommer vi att informera dig.


5. Konfidentialitet

Vi säkerställer att personer som är behöriga att behandla personuppgifterna är bundna av en lämplig konfidentialitetsförpliktelse och görs medvetna om uppgifternas konfidentiella art.


6. Säkerhet

Med beaktande av den senaste utvecklingen, kostnaderna samt behandlingens art, omfattning, sammanhang och ändamål vidtar vi lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken (artikel 32 i GDPR), inklusive i tillämpliga fall:

Vi ser över dessa åtgärder regelbundet och uppdaterar dem vid behov. En aktuell sammanfattning tillhandahålls på begäran.


7. Underbiträden

Du lämnar allmän tillåtelse för oss att anlita underbiträden för att leverera Tjänsten. Vi anlitar för närvarande:

UnderbiträdeRollPlats
Hosting.comHosting / infrastrukturGermany (EEA)
Cloudflare, Inc.DNS, CDN och säkerhetUnited States
Mapbox, Inc.Interaktiv karta (rutor/stilar/typsnitt)United States
Paddle.com Market LimitedBetalningshantering (Merchant of Record)United Kingdom

Vi ålägger varje underbiträde dataskyddsförpliktelser som inte är mindre skyddande än de i detta Biträdesavtal. Vi kommer att ge dig minst 30 dagars förvarning om varje avsedd tillkomst eller utbyte av ett underbiträde. Under den perioden kan du invända på rimliga dataskyddsgrunder; om vi inte kan lösa din invändning kan du säga upp den berörda delen av Tjänsten som din åtgärd.


8. Bistånd till den personuppgiftsansvarige

Med beaktande av behandlingens art kommer vi att bistå dig, genom lämpliga tekniska och organisatoriska åtgärder och i den mån det är möjligt:

Om vi tar emot en begäran direkt från en registrerad som rör Ditt Innehåll kommer vi inte att besvara den själva (annat än för att hänvisa vederbörande på lämpligt sätt) och kommer att vidarebefordra den till dig utan onödigt dröjsmål.


9. Personuppgiftsincidenter

Vi kommer att underrätta dig utan onödigt dröjsmål efter att ha fått kännedom om en personuppgiftsincident som påverkar personuppgifter som behandlas enligt detta Biträdesavtal, och kommer att tillhandahålla den information som rimligen är tillgänglig för oss för att hjälpa dig att uppfylla dina anmälningsskyldigheter till Datatilsynet (artikel 33) och, där så krävs, till berörda registrerade (artikel 34). En anmälan om en incident utgör inte ett erkännande av fel.


10. Radering eller återlämnande av data

Vid uppsägning av Tjänsten, eller på din begäran, kommer vi att radera eller återlämna alla personuppgifter som behandlas för din räkning och radera befintliga kopior inom 30 dagar, om inte norsk rätt eller EES-rätt kräver lagring. Du kan när som helst radera dina bilder och tillhörande data i Tjänsten. På begäran som framställs innan radering kommer vi att återlämna uppgifterna till dig i ett allmänt använt, maskinläsbart format.


11. Granskningar och information

Vi kommer att göra den information som rimligen är nödvändig för att visa efterlevnad av artikel 28 i GDPR tillgänglig för dig, samt möjliggöra och bidra till granskningar, inklusive inspektioner, som utförs av dig eller en revisor som du har utsett. Vi kommer att svara på en rimlig skriftlig begäran om granskning inom 30 dagar, högst en gång per 12-månadersperiod (om inte annat krävs av en tillsynsmyndighet eller till följd av en personuppgiftsincident), förutsatt minst 14 dagars förvarning, lämpliga konfidentialitetsåtaganden och att vardera parten bär sina egna kostnader. Granskningar får inte på ett orimligt sätt störa vår verksamhet eller äventyra konfidentialiteten eller säkerheten för andra kunders data.


12. Internationella överföringar

Personuppgifter enligt detta Biträdesavtal lagras inom EES (Tyskland). Där ett underbiträde är beläget utanför EES (se avsnitt 7):

Vi kommer inte att överföra personuppgifter utanför EES annat än under sådana skyddsåtgärder.


13. Allmänt

Detta Biträdesavtal regleras av norsk rätt. Om någon bestämmelse skulle befinnas ogiltig, fortsätter övriga bestämmelser att gälla. Vid konflikt med användarvillkoren avseende behandlingen av personuppgifter har detta Biträdesavtal företräde.

SDHC AS — organisationsnummer 926 038 060 — Postboks 570 Vestre Glemmen, 1612 Fredrikstad, Norge — [email protected]