Privatlivspolitik
Version 2.1 | Gældende fra 15. maj 2026 | Aktuel version altid tilgængelig på https://Perspectis.AI/privacy
Denne databehandleraftale ("DPA") er offentliggjort af Perspectis AI, Inc på Perspectis.AI og er indarbejdet ved henvisning i SaaS-serviceaftalen (eller tilsvarende hovedaftale) indgået mellem tjenesteudbyder og kunde ("hovedaftalen"). Denne DPA er indarbejdet i hovedaftalen ved henvisning. Den version, der er gældende på hovedaftalens ikrafttrædelsesdato, gælder med forbehold af eventuelle opdateringer foretaget i overensstemmelse med punkt 16.6.
I tilfælde af uoverensstemmelse mellem denne databehandleraftale og hovedaftalen vedrørende behandling af personoplysninger, har denne databehandleraftale forrang.
Tilgang. Denne databehandleraftale fastsætter en enkelt højtydende standard, der opfylder de mest krævende gældende krav på tværs af alle jurisdiktioner, hvor parterne opererer, herunder Storbritannien (UK GDPR / DPA 2018), Det Europæiske Økonomiske Samarbejdsområde (EU GDPR), Canada (PIPEDA og Quebec Law 25) og USA (CCPA/CPRA og gældende statslove). Hvor en specifik mekanisme er juridisk påkrævet - såsom standardkontraktbestemmelser for internationale overførsler - er det behandlet i klausul 8. I alle andre henseender gælder en enkelt forpligtelse uanset den involverede jurisdiktion.
Advokatprivilegier. Kundedata kan indeholde oplysninger, der er underlagt advokatprivilegier, advokatprivilegier eller advokatprivilegier. Tjenesteudbyderens udvidede forpligtelser i forbindelse med sådant materiale er angivet i klausul 12.
Definitioner
I denne databeskyttelsesaftale:
"Anonymiserede data" betyder data, der er blevet uigenkaldeligt anonymiseret, således at ingen enkeltpersoner med rimelighed kan identificeres ud fra dem, hverken alene eller i kombination med andre oplysninger, i overensstemmelse med gældende standarder for privatlivslovgivning.
"Gældende databeskyttelseslovgivning" betyder alle love om privatliv og databeskyttelse, der gælder for behandling af personoplysninger i henhold til denne databeskyttelsesaftale, herunder (uden begrænsning): den britiske GDPR og databeskyttelsesloven fra 2018; EU's GDPR (forordning (EU) 2016/679); Canadas lov om beskyttelse af personlige oplysninger og elektroniske dokumenter (PIPEDA) og gældende provinsielle tilsvarende love, herunder Quebecs lov nr. 25; og California Consumer Privacy Act / California Privacy Rights Act (CCPA/CPRA) og andre gældende amerikanske statslige databeskyttelseslove. Hvor to eller flere love pålægger forskellige standarder for den samme forpligtelse, skal tjenesteudbyderen overholde den mest krævende standard.
"Kundedata" har den betydning, der er angivet i Hovedaftalen, og omfatter alle personoplysninger, der er indeholdt i den.
"Person" betyder enhver fysisk person, hvis personoplysninger behandles i henhold til denne databeskyttelsesaftale. Begreberne registreret, forbruger og person bruges i flæng.
"Personoplysninger" betyder enhver information vedrørende en identificeret eller identificerbar person, som defineret i gældende databeskyttelseslovgivning i den relevante jurisdiktion. Udtrykkene personoplysninger og personlige oplysninger bruges i flæng.
"Brud på persondatasikkerheden" betyder ethvert brud på sikkerheden, der fører til utilsigtet eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger.
"Privatlivsrådgiver" betyder den person, der er udpeget af tjenesteudbyderen til at føre tilsyn med overholdelse af gældende databeskyttelseslovgivning.
"Behandling" (og beslægtede termer) har den betydning, der er angivet i gældende databeskyttelseslovgivning.
"Begrænset overførsel" betyder enhver overførsel af personoplysninger til et land, der ikke er omfattet af en tilstrækkelighedsafgørelse eller tilsvarende konstatering i henhold til gældende databeskyttelseslovgivning.
"SCC'er" betyder EU's standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande (Kommissionens afgørelse 2021/914/EU).
"Følsomme personoplysninger" betyder særlige kategorier af personoplysninger i henhold til UK GDPR / EU GDPR; følsomme personoplysninger i henhold til CCPA/CPRA; og tilsvarende kategorier i henhold til andre gældende databeskyttelseslove.
"Underdatabehandler" betyder enhver tredjepart, der er engageret af Tjenesteudbyderen til at behandle Personoplysninger på Kundens vegne.
"Liste over underdatabehandlere" betyder den aktuelle liste over godkendte underdatabehandlere, som tjenesteudbyderen vedligeholder på sin hjemmeside, og som opdateres fra tid til anden i overensstemmelse med punkt 7.
"TOM'er" betyder de tekniske og organisatoriske foranstaltninger, der er anført i bilag 2.
"UK IDTA" betyder den britiske internationale dataoverførselsaftale udstedt af ICO i henhold til § 119A i DPA 2018.
Roller og udnævnelse
Kunden er den dataansvarlige (eller tilsvarende i henhold til gældende databeskyttelseslovgivning); Tjenesteudbyderen er databehandleren eller tjenesteudbyderen (eller tilsvarende). Tjenesteudbyderen må kun behandle personoplysninger efter kundens dokumenterede instruktioner.
I henhold til CCPA/CPRA fungerer Serviceudbyderen som en Serviceudbyder (ikke en Tredjepart eller Virksomhed) og bekræfter, at denne: (a) ikke må sælge eller dele Personoplysninger; (b) ikke må bruge Personoplysninger til andre formål end at levere Tjenesterne; (c) ikke må kombinere Personoplysninger modtaget i henhold til denne DPA med personoplysninger fra andre kilder, undtagen som tilladt i henhold til gældende lov; og (d) forstår og vil overholde disse begrænsninger.
Tjenesteudbyderen skal straks underrette Kunden, hvis en instruktion efter dennes rimelige opfattelse ville overtræde gældende databeskyttelseslovgivning.
Kundens forpligtelser
Kunden garanterer, at den har og til enhver tid skal opretholde et retsgrundlag i henhold til gældende databeskyttelseslovgivning for hver kategori af personoplysninger, der indsendes til platformen, herunder (hvor det er påkrævet) gyldigt samtykke, en vurdering af legitim interesse eller andet gældende retsgrundlag.
Kunden er eneansvarlig for nøjagtigheden, kvaliteten og lovligheden af alle personoplysninger, der indsendes til platformen, og for lovligheden af alle behandlingsinstruktioner, der gives til tjenesteudbyderen. Tjenesteudbyderen er ikke forpligtet til uafhængigt at verificere lovligheden af kundens instruktioner, men skal overholde sin underretningsforpligtelse i henhold til punkt 2.3.
Kunden må ikke indsende følsomme personoplysninger til platformen uden forudgående skriftlig meddelelse til tjenesteudbyderen og aftale om passende yderligere sikkerhedsforanstaltninger. I mangel af en sådan meddelelse og aftale har tjenesteudbyderen intet ansvar for følsomme personoplysninger, der indsendes til platformen.
Kunden skal vedligeholde sine egne privatlivsmeddelelser, optegnelser over behandlingsaktiviteter og processer vedrørende individuelle rettigheder som krævet i henhold til gældende databeskyttelseslovgivning. Kunden anerkender, at tjenesteudbyderens forpligtelser i henhold til denne databeskyttelsesaftale er begrænset til at yde rimelig teknisk assistance og ikke omfatter opfyldelse af kundens egne complianceforpligtelser som dataansvarlig.
Kunden skal skadesløsholde Serviceudbyderen for ethvert tab, krav, skader, ansvar, bøder, sanktioner, omkostninger og udgifter (herunder rimelige advokatsalærer), der opstår som følge af eller i forbindelse med: (a) Kundens manglende overholdelse af sine forpligtelser som dataansvarlig i henhold til gældende databeskyttelseslovgivning; (b) Kundens brud på garantierne i denne paragraf 3; eller (c) enhver behandlingsinstruktion givet af Kunden, der overtræder gældende databeskyttelseslovgivning, forudsat at Serviceudbyderen har overholdt sin underretningsforpligtelse i henhold til paragraf 2.3 med hensyn til den relevante instruktion.
Behandlingsinstruktioner og fortrolighed
Tjenesteudbyderen må kun behandle personoplysninger efter kundens dokumenterede instruktioner, som angivet i denne databehandleraftale, hovedaftalen, ordreformularer og eventuelle yderligere skriftlige instruktioner.
Kundens konfiguration af Platformen – herunder funktionsaktivering, opbevaringsindstillinger, brugertilladelser, valg af dataopbevaring, aktivering af AI-funktioner og integrationsindstillinger – udgør dokumenterede instruktioner i henhold til denne databehandleraftale. Tjenesteudbyderen er ikke forpligtet til at indhente en separat skriftlig instruktion for hver behandlingsaktivitet, der er en naturlig konsekvens af Kundens brug af Platformen i overensstemmelse med dens konfiguration.
Tjenesteudbyderen skal sikre, at personale, der er autoriseret til at behandle personoplysninger, er bundet af passende fortrolighedsforpligtelser og har modtaget træning i deres databeskyttelsesforpligtelser.
Adgang til personoplysninger er begrænset til personale, der har brug for det for at udføre Tjenesterne, på basis af mindst mulig privilegium.
Tjenesteudbyderen må ikke videregive personoplysninger til tredjeparter (herunder retshåndhævende myndigheder eller offentlige myndigheder) uden kundens forudgående skriftlige samtykke, medmindre det er påkrævet ved lov. Hvor videregivelse er lovpligtig, skal tjenesteudbyderen (i det omfang det er tilladt) give kunden forudgående varsel og samarbejde med alle rimelige beskyttelsesforanstaltninger.
Tjenesteudbyderen skal udpege en databeskyttelsesansvarlig og en kontaktperson for databeskyttelse (hvor det er nødvendigt) og skal efter anmodning underrette kunden om deres kontaktoplysninger.
Individuelle rettigheder
Tjenesteudbyderen anerkender, at enkeltpersoner kan have rettigheder i henhold til gældende databeskyttelseslovgivning, herunder rettigheder til: adgang; berigtigelse eller korrektion; sletning eller sletning; begrænsning eller fravalg af behandling; dataportabilitet; indsigelse; fravalg af salg eller deling; begrænsning af brugen af følsomme personoplysninger; og retten til ikke at være underlagt udelukkende automatiserede afgørelser med betydelige virkninger.
Tjenesteudbyderen skal underrette Kunden inden for 3 hverdage efter modtagelse af en anmodning om rettigheder direkte fra en Person og skal ikke svare direkte uden Kundens godkendelse.
Tjenesteudbyderen skal yde den tekniske bistand (søgning, eksport, sletning og korrektion), der med rimelighed kræves for, at Kunden kan besvare enhver anmodning om individuelle rettigheder inden for den gældende lovpligtige frist. Målet for svar er 30 dage fra modtagelsen af den verificerede anmodning.
Tjenesteudbyderen må ikke diskriminere nogen person i forbindelse med udøvelsen af deres rettigheder i henhold til gældende databeskyttelseslovgivning.
Sikkerhed
Tjenesteudbyderen skal implementere og vedligeholde de TOM'er, der er angivet i bilag 2, som er designet til at opfylde kravene i gældende databeskyttelseslovgivning (herunder den rimelige sikkerhedsstandard i henhold til CCPA/CPRA, artikel 32 i UK/EU GDPR og PIPEDA-princip 7).
Tjenesteudbyderen skal regelmæssigt teste, vurdere og evaluere effektiviteten af TOM'erne og opdatere dem efter behov under hensyntagen til den aktuelle teknik, omkostninger og Behandlingens art.
Tjenesteudbyderen skal straks underrette Kunden om enhver faktisk eller mistænkt sårbarhed, der kan kompromittere sikkerheden af Personoplysninger, og skal straks træffe afhjælpende foranstaltninger.
Underdatabehandlere
Kunden giver generel tilladelse til at engagere de underdatabehandlere, der er anført i bilag 3. Tjenesteudbyderen vedligeholder en ajourført liste over godkendte underdatabehandlere på sit websted ("listen over underdatabehandlere") sammen med oplysninger om den behandling, der foretages af hver enkelt.
Tjenesteudbyderen vil offentliggøre meddelelse om enhver foreslået ny udnævnelse af underdatabehandler eller enhver væsentlig ændring af en eksisterende underdatabehandlers aktiviteter på sin hjemmeside, før udnævnelsen eller ændringen træder i kraft. Kunder, der abonnerer på opdateringer fra underdatabehandlere (ved at sende en e-mAIl til [NY DPA-EMAILADRESSE]), vil modtage meddelelse om hvert sådant opslag.
Hvis parterne ikke kan løse indsigelsen inden for 30 dage, skal Tjenesteudbyderen gøre rimelige bestræbelser på at stille en alternativ konfiguration af de berørte Tjenester til rådighed, som ikke involverer den indsigelsesberettigede Underdatabehandler. Hvis en sådan alternativ konfiguration ikke er rimeligt tilgængelig, og den indsigelsesberettigede Underdatabehandler er essentiel for Tjenesternes kernefunktionalitet som beskrevet i den gældende ordreformular, kan Kunden opsige den berørte ordreformular uden bod med 30 dages skriftligt varsel. For at undgå tvivl anses en Underdatabehandler kun for at være essentiel for kernefunktionaliteten, hvis fjernelse af den pågældende Underdatabehandler ville gøre de væsentlige funktioner, der er beskrevet i den gældende ordreformular, ubrugelige.
Tjenesteudbyderen skal ved skriftlig kontrakt pålægge hver Underdatabehandler databeskyttelsesforpligtelser svarende til dem i denne Databeskyttelsesaftale, herunder forpligtelser, der opfylder gældende databeskyttelseslovgivning i hver jurisdiktion, hvor Personoplysninger behandles.
Tjenesteudbyderen forbliver fuldt ansvarlig over for Kunden for sine Underdatabehandleres handlinger og undladelser, som om de var Tjenesteudbyderens egne.
Internationale overførsler
Hovedforpligtelse. Parterne skal have en passende overførselsmekanisme i kraft for enhver begrænset overførsel, før denne overførsel finder sted. "Overførselsmekanisme" betyder standardkontraktbestemmelserne, den britiske IDTA, en tilstrækkelighedsafgørelse eller enhver anden mekanisme, der har den virkning, at overførslen tillader overførslen i overensstemmelse med gældende databeskyttelseslovgivning.
EØS-overførsler. I tilfælde af begrænset overførsel inden for EØS, hvor kundens personoplysninger overføres fra kunden som dataansvarlig til tjenesteudbyder som databehandler, skal parterne overholde EU's standardkontraktbestemmelser (modul 2, dataansvarlig til databehandler, Kommissionens afgørelse 2021/914), som er indarbejdet i denne databehandleraftale ved henvisning og aktiveres automatisk ved en sådan overførsel. Parternes valg af valgfrie bestemmelser er: Klausul 7 (dockingklausul) finder anvendelse; Klausul 9(a) Mulighed 2 (generel skriftlig bemyndigelse) finder anvendelse med en 30-dages varsel i overensstemmelse med underdatabehandlerklausulen i denne databehandleraftale; den valgfrie klagemekanisme i klausul 11(a) finder ikke anvendelse.
Overførsler i Storbritannien. I tilfælde af begrænset overførsel i Storbritannien skal parterne overholde den britiske IDTA, der inkorporerer EU's standardkontraktbetingelser med det britiske tillæg (udstedt af ICO i henhold til § 119A i databeskyttelsesloven af 2018), som er inkorporeret i denne databeskyttelsesaftale ved henvisning og aktiveres automatisk ved en sådan overførsel. Partsoplysninger og behandlingsbeskrivelser med henblik på den britiske IDTA er som angivet i henholdsvis hovedaftalen og bilag 1 til denne databeskyttelsesaftale.
Kundevalgte behandlingssteder. Al behandling sker som standard inden for den jurisdiktion, som kunden har valgt i ordreformularen. Hvis kunden aktiverer en funktion eller vælger en model, der kræver behandling i en anden jurisdiktion, udgør kundens bekræftende valg en dokumenteret instruktion om overførsel og en bekræftelse af behandlingsstedet. Tjenesteudbyderen skal identificere behandlingsjurisdiktionen over for kunden på tidspunktet for valg af funktion eller model. Tjenesteudbyderen skal sikre, at den gældende overførselsmekanisme er på plads, før en sådan overførsel finder sted.
Overførsler til underdatabehandlere. Hvor tjenesteudbyderen engagerer en underdatabehandler, der kræver en grænseoverskridende overførsel, skal tjenesteudbyderen sikre, at den gældende overførselsmekanisme er på plads mellem tjenesteudbyderen og den pågældende underdatabehandler, før overførslen finder sted. For overførsler fra databehandler til databehandler i EØS finder EU's standardkontraktbetingelser (modul 3) anvendelse. For overførsler fra databehandler til databehandler i Storbritannien finder det gældende modul i det britiske tillæg anvendelse.
Canada. Overførsler af personoplysninger, der er underlagt PIPEDA eller Quebec Law 25, skal være underlagt kontraktlig beskyttelse, der sikrer en beskyttelsesstandard, der kan sammenlignes med den, der kræves i henhold til canadisk lov, i overensstemmelse med afsnit 10.3 i PIPEDA. Der kræves ingen grænseoverskridende overførselsmekanisme, hvor Canada er både oprindelses- og destinationsjurisdiktion.
USA. Der kræves ingen grænseoverskridende overførselsmekanisme for behandling, der stammer fra og forbliver i USA. CCPA-tjenesteudbyderbetegnelsen i paragraf 2 gælder for al indenlandsk behandling i USA.
Automatisk opdatering. Hvor en overførselsmekanisme opdateres, ændres eller erstattes af en kompetent myndighed, erstatter den opdaterede mekanisme automatisk den tidligere mekanisme i henhold til denne databeskyttelsesaftale fra den dato, hvor tjenesteudbyderen udsteder meddelelse til kunden, og er bindende for parterne fra den dato, der er angivet i meddelelsen. tjenesteudbyderen skal udstede en sådan meddelelse uden unødig forsinkelse efter offentliggørelsen af den opdaterede mekanisme.
Behandlingsoplysninger med henblik på standardkontraktbestemmelser. De oplysninger, der kræves i henhold til bilag I til EU's standardkontraktbestemmelser (liste over parter og beskrivelse af overførslen), er angivet som følger: oplysninger om dataeksportør er som angivet i hovedaftalen og ordreformularen; oplysninger om datAImportør er som angivet i dokumentheaderen i denne databeskyttelsesaftale; beskrivelsen af behandlingsaktiviteter og kategorier af personoplysninger er som angivet i bilag 1 til denne databeskyttelsesaftale. Tekniske og organisatoriske foranstaltninger med henblik på bilag II til EU's standardkontraktbestemmelser er som angivet i bilag 2 til denne databeskyttelsesaftale.
Sikkerhedshændelser og meddelelser om brud
Tjenesteudbyderen skal underrette Kunden uden unødig forsinkelse og under alle omstændigheder inden for 24 timer efter at være blevet opmærksom på et bekræftet eller rimeligt mistænkt brud på persondatasikkerheden. Underretningen skal gives til Kundens udpegede kontaktperson og skal indeholde alle tilgængelige oplysninger, som Kunden har brug for for at opfylde sine egne underretningsforpligtelser i henhold til gældende databeskyttelseslovgivning.
Serviceudbyderen skal inden for 30 dage efter inddæmning give kunden en skriftlig hændelsesrapport, der dækker: grundlæggende årsag; datakategorier og anslåede berørte mængder; trufne og planlagte afhjælpende skridt; og eventuelle ændringer i TOM'erne.
Tjenesteudbyderen skal føre en log over alle sikkerhedshændelser (herunder dem, der er under rapporteringspligtige tærskler) og stille den til rådighed for Kunden efter anmodning.
Underretning om en overtrædelse udgør ikke en erkendelse af skyld eller ansvar fra nogen af parterne.
Vurderinger af indvirkning på privatlivets fred
Tjenesteudbyderen skal yde Kunden rimelig bistand til at udføre enhver konsekvensanalyse vedrørende privatlivets fred eller databeskyttelse, der kræves i henhold til gældende databeskyttelseslovgivning, herunder beskrivelser af behandlingsaktiviteter, TOM'er, oplysninger om underdatabehandlere og andre relevante oplysninger.
Hvis Serviceudbyderen introducerer et nyt system, en ny teknologi eller en ny tjeneste, der involverer behandling af personoplysninger, skal Serviceudbyderen foretage sin egen vurdering af virkningerne på privatlivets fred og give Kunden et resumé efter anmodning.
Tjenesteudbyderen skal bistå Kunden med enhver nødvendig forudgående høring af en tilsynsmyndighed eller databeskyttelsesmyndighed.
Revisionsrettigheder
Tjenesteudbyderen skal stille alle oplysninger til rådighed, der med rimelighed er nødvendige for at påvise overholdelse af denne databeskyttelsesaftale og gældende databeskyttelseslovgivning.
Kunden kan højst én gang pr. kalenderår (uden rimelig grund til at mistænke en væsentlig overtrædelse) og med 30 dages skriftligt varsel: (a) kræve, at Tjenesteudbyderen udfylder et skriftligt compliance-spørgeskema; eller (b) på Kundens regning udføre eller bestille en uafhængig revision af Tjenesteudbyderens behandlingsaktiviteter og TOM'er.
Serviceudbyderen kan opfylde sin revisionsforpligtelse ved at fremlægge aktuelle revisionsrapporter fra tredjepart (SOC 2 Type II, ISO 27001-certifikat eller tilsvarende), hvor sådanne rapporter er tilstrækkelige til at påvise overholdelse af den relevante forpligtelse.
Juridisk professionelt privilegium
Tjenesteudbyderen anerkender, at kundedata kan omfatte oplysninger, der er underlagt juridisk tavshedspligt, advokat-klient-tavshedspligt eller advokat-klient-tavshedspligt (samlet kaldet "Privilegeret materiale").
I forbindelse med Privilegeret Materiale skal Tjenesteudbyderen: (a) ikke tilgå, bruge, videregive eller behandle det, undtagen i det omfang det er strengt nødvendigt for at levere Tjenesterne; (b) opretholde adgangskontroller og adgangslogfiler; (c) ikke videregive det til tredjepart uden Kundens forudgående skriftlige samtykke; og (d) straks underrette Kunden om enhver faktisk eller truet tvungen videregivelse.
Serviceudbyderen skal understøtte Kundens overholdelse af professionelle adfærdsregler og lovgivningsmæssige krav, der gælder for Kunden i dennes jurisdiktioner.
Forpligtelserne i denne paragraf 12 fortsætter efter ophør af Hovedaftalen, så længe Privilegeret Materiale forbliver i Tjenesteudbyderens besiddelse eller kontrol, og i mindst 7 år efter ophør.
AI og automatiseret behandling
Tjenesteudbyderen må ikke bruge Kundedata til at træne, finjustere eller forbedre nogen AI- eller maskinlæringsmodel uden Kundens forudgående skriftlige samtykke. For at undgå tvivl gælder dette forbud ikke for Anonymiserede Data, der ikke med rimelighed kan bruges til at identificere nogen person. Dette forbud gælder ligeledes for Feedback (som defineret i Hovedaftalen) og for Tjenesteudbyderdata genereret fra Kundens brug af Platformen.
Tjenesteudbyderen kan bruge aggregerede, fuldt anonymiserede og ikke-reversible brugsdata (herunder systemydelsesmålinger, funktionsudnyttelsesmønstre og fejllogfiler, der ikke indeholder personoplysninger, og hvorfra ingen kunde eller enkeltperson kan identificeres) til at forbedre tjenesternes ydeevne, pålidelighed og funktionalitet. En sådan brug udgør ikke behandling af personoplysninger eller kundedata, udgør ikke træning af nogen AI- eller maskinlæringsmodel på kundedata og er ikke underlagt begrænsningerne i punkt 13.1. Kunden kan til enhver tid anmode om skriftlig bekræftelse på, at kundens kundedata og personoplysninger ikke er blevet brugt til modeltræning.
Tjenesteudbyderen skal efter anmodning og mindst én gang årligt oplyse identiteten og versionen af alle AI-modeller, der behandler personoplysninger, bekræfte, om kundedata er blevet brugt til træning, og give oplysninger om enhver automatiseret beslutningstagning med betydelig indvirkning på enkeltpersoner.
Tjenesteudbyderen skal føre et AI-register og stille det til rådighed for Kunden efter anmodning.
Returnering og sletning
Ved ophør eller udløb af Hovedaftalen skal Serviceudbyderen:
(a) i 30 dage efter ophør eller udløb stille kundedata til rådighed til eksport i branchestandardformater (CSV, JSON, Excel) uden ekstra omkostninger i overensstemmelse med de eksportmekanismer, der er beskrevet i hovedaftalen;
(b) efter udløbet af 30-dages eksportvinduet slette alle Kundedata sikkert, herunder alle kopier, der opbevares af Underdatabehandlere, og alle relevante sikkerhedskopier, ved at overskrive eller på anden måde gøre dataene permanent utilgængelige, medmindre: (i) andet er skriftligt aftalt af Kunden; (ii) opbevaring er påkrævet for at løse aktive juridiske tvister eller lovgivningsmæssige procedurer; eller (iii) gældende lov kræver yderligere opbevaring - i hvilket tilfælde Tjenesteudbyderen skal: (A) underrette Kunden skriftligt på forhånd om sin intention om at opbevare sådanne data og det juridiske grundlag for at gøre det; (B) kun opbevare de minimumsdata, der kræves i den minimumsperiode, der kræves ved lov; og (C) anvende de samme beskyttelsesforanstaltninger på opbevarede data, som gælder i Løbetiden;
(c) proaktivt give Kunden skriftlig bekræftelse på sletning, herunder bekræftelse på, at Underdatabehandlerkopier og sikkerhedskopier er blevet slettet, inden for 30 dage efter færdiggørelsen, og derudover efter Kundens skriftlige anmodning når som helst;
d) efter kundens skriftlige anmodning fremlægge rimelig dokumentation for den anvendte sletningsmetode.
Tjenesteudbyderen skal behandle verificerbare individuelle anmodninger om sletning inden for den frist, der kræves i henhold til gældende databeskyttelseslovgivning, idet den strengeste gældende standard anvendes og under ingen omstændigheder overstiger 45 dage.
Forpligtelserne i denne paragraf 14 fortsætter efter ophør af Hovedaftalen indtil gennemførelse og bekræftelse af sletning.
Løbetid og opsigelse
Denne databehandleraftale træder i kraft på den dato, hvor Hovedaftalen træder i kraft, og løber samtidig med Hovedaftalen.
Følgende forpligtelser fortsætter efter ophør: Klausul 4 (Fortrolighed) — 5 år; Klausul 9 (Meddelelse om brud) — 7 år; Klausul 12 (Privilegium) — så længe Privilegeret Materiale forbliver i Tjenesteudbyderens besiddelse eller kontrol, og i mindst 7 år efter ophør; Klausul 14 (Sletning) — indtil færdiggørelse og certificering.
Begge parter kan ophæve denne databeskyttelsesaftale på grund af den anden parts væsentlige misligholdelse med 30 dages skriftligt varsel, og hvis misligholdelsen ikke sker inden for denne periode, kan afhjælpes, hvis misligholdelsen kan afhjælpes.
Generel
Ansvarsbegrænsning. (a) Tjenesteudbyderens samlede ansvar i henhold til eller i forbindelse med denne databeskyttelsesaftale (herunder for brud på persondata) må ikke overstige det ansvarsloft, der er fastsat i Hovedaftalen. (b) Dette loft gælder uanset om kravet fremsættes i henhold til kontrakt, erstatning uden for kontrakt (herunder uagtsomhed), i henhold til lov eller på anden måde, og omfatter (ikke yderligere) ethvert ansvar, der måtte opstå i henhold til Hovedaftalen. (c) Hvor en tilsynsmyndighed, en person eller en anden tredjepart fremsætter et krav mod en af parterne i forbindelse med behandling af personoplysninger i henhold til denne databeskyttelsesaftale, skal parterne samarbejde i god tro, og hver part bærer ansvar, der kan tilskrives sine egne handlinger eller undladelser. Intet i denne klausul 16.1 udelukker eller begrænser ansvar, der ikke kan udelukkes eller begrænses i henhold til gældende databeskyttelseslovgivning.
Tjenesteudbyderen skal opretholde en cyberansvars- og databeskyttelsesforsikring på kommercielt rimelige beløb i hele Hovedaftalens løbetid og skal fremvise dokumentation for en sådan dækning til Kunden efter skriftlig anmodning.
Gældende lov og jurisdiktion. Denne databeskyttelsesaftale er underlagt samme lov som hovedaftalen. I tilfælde af at hovedaftalen ikke specificerer en gældende lov, er denne databeskyttelsesaftale underlagt lovgivningen i staten New York, uden hensyntagen til dens bestemmelser om lovvalg. Parterne underkaster sig den ikke-eksklusive jurisdiktion for domstolene i staten New York. Intet i denne klausul påvirker nogen af parternes rettigheder eller forpligtelser i henhold til gældende databeskyttelseslovgivning i nogen anden jurisdiktion.
Denne databehandleraftale udgør sammen med dens bilag den samlede aftale mellem parterne vedrørende behandling af personoplysninger i henhold til hovedaftalen og erstatter alle tidligere aftaler om samme emne.
Alle meddelelser i henhold til denne databeskyttelsesaftale skal være skriftlige og sendes til de kontaktoplysninger, der er angivet i Hovedaftalen, eller, i forbindelse med databeskyttelse, til support@Perspectis.AI.
Standardvilkår og ændring. (a) Denne databehandleraftale er Serviceudbyderens standardvilkår for databehandling, offentliggjort på Serviceudbyderens hjemmeside og indarbejdet ved henvisning i Hovedaftalen. (b) Serviceudbyderen kan opdatere denne databehandleraftale fra tid til anden ved at offentliggøre en revideret version på sin hjemmeside med mindst 30 dages varsel til Kunden via e-mAIl eller meddelelse i produktet. (c) Den reviderede version træder i kraft ved udgangen af varselsperioden, medmindre Kunden underretter Serviceudbyderen skriftligt om en væsentlig indsigelse inden for denne periode. (d) Hvis Kunden gør indsigelse, og parterne ikke kan løse indsigelsen inden for yderligere 14 dage, kan hver af parterne opsige de berørte Tjenester med rimeligt varsel uden bod. (e) Serviceudbyderen kan foretage ændringer uden varsel, hvor det kræves af ændringer i gældende databeskyttelseslovgivning, vejledning fra tilsynsmyndigheder eller retskendelse, forudsat at sådanne ændringer ikke væsentligt reducerer Kundens beskyttelse i henhold til denne databehandleraftale. (f) Kundespecifikke ændringer til denne databehandleraftale er kun bindende, hvis de er skriftligt underskrevet af en direktør eller en bemyndiget underskriver hos Serviceudbyderen og udtrykkeligt erklæret at erstatte den relevante bestemmelse i denne databehandleraftale.
Standardbehandlingsbeskrivelse. (a) Standardbehandlingsbeskrivelsen i bilag 1 afspejler Serviceudbyderens standardplatformbehandlingsaktiviteter, der udføres i forbindelse med levering af Tjenesterne. (b) Hvor Kundens specifikke behandlingsaktiviteter afviger væsentligt fra denne beskrivelse, skal parterne registrere forskellene i Ordreformularen eller et skriftligt tillæg til denne Databeskyttelsesaftale. (c) Kunden er ansvarlig for at føre sine egne registre over behandlingsaktiviteter (herunder registre, der kræves i henhold til artikel 30 i den britiske/EU-GDPR og tilsvarende krav i henhold til anden gældende databeskyttelseslovgivning) i sin egenskab af Dataansvarlig.
BILAG 1
Beskrivelse af behandlingsaktiviteter
Denne standardbehandlingsbeskrivelse afspejler de behandlingsaktiviteter, som tjenesteudbyderen udfører i forbindelse med levering af tjenesterne. Kundespecifikke variationer, hvor det er relevant, er registreret i den relevante ordreformular.
A. Emne
Levering af SaaS-baserede juridiske teknologitjenester, herunder autonom tidsregistrering, sagsstyring, AI-assisteret dokumentgennemgang, LEDES-kompatibel fakturering og relaterede tjenester, som beskrevet i Hovedaftalen og gældende ordreformularer.
B. Varighed
I løbet af Hovedaftalen og enhver gældende Ordreformular eller SOW, plus enhver lovpligtig opbevaringsperiode.
C. Natur og formål
Hosting, opbevaring og behandling af kundedata for at levere tjenesterne; adgangskontrol og identitetsstyring; analyser og rapportering til kundens interne brug; teknisk support (kun på kundens anmodning); valgfri AI/LLM-behandling, hvis aktiveret af kunden; og sikkerhedsovervågning og hændelsesrespons.
D. Kategorier af individer
Kundens personale (advokater, advokatfuldmægtige, administrativt personale); Kundens klienter og modparter (i det omfang det er inkluderet i Kundedata); slutbrugere af Tjenesterne; og andre personer, hvis personoplysninger indsendes til Platformen.
E. Kategorier af personoplysninger
Kontakt- og identifikationsdata (navne, e-mAIladresser, telefonnumre, jobtitler); brugs- og adgangsdata (login-tidspunkter, funktionsbrug, sessionslogfiler); tidsindtastnings- og sagsdata (herunder narrative beskrivelser af juridisk arbejde); dokumentmetadata (og, hvor AI-funktioner er aktiveret, dokumentindhold); fakturerings- og fakturadata; og andre personoplysninger, som kunden indsender til platformen fra tid til anden.
F. Følsomme/særlige kategorier
Tjenesteudbyderen behandler ikke forsætligt følsomme personoplysninger. I det omfang kundedata tilfældigt indeholder sådanne oplysninger, finder bestemmelserne i punkt 3.3 anvendelse.
BILAG 2
Tekniske og organisatoriske foranstaltninger
Disse foranstaltninger er udformet til at opfylde sikkerhedskravene i gældende databeskyttelseslovgivning, herunder den rimelige sikkerhedsstandard (CCPA/CPRA), artikel 32 (UK/EU GDPR) og sikkerhedsprincippet (PIPEDA). De er i overensstemmelse med CIS Controls og NIST SP 800-53.
Kontroldomæne
Implementerede foranstaltninger
Adgangskontrol
Rollebaseret adgangskontrol (RBAC); princippet om mindst mulig privilegium; MFA håndhævet for alle privilegerede konti; regelmæssige adgangsgennemgange; unikke bruger-id'er; ingen delte legitimationsoplysninger; PAM-værktøjer.
Kryptering — I hvile
AES-256 for alle gemte kundedata; krypterede sikkerhedskopier; AWS S3 SSE; krypteringsnøgler via AWS KMS med årlig rotation.
Kryptering — Undervejs
TLS 1.2 minimum (TLS 1.3 foretrækkes); HTTPS håndhævet; AWS Certifikathåndtering; HSTS aktiveret.
Netværkssikkerhed
Firewall og WAF; netværkssegmentering; VPC-isolering; IDS/IPS; DDoS-afbødning; regelmæssige portscanninger og sårbarhedsvurderinger.
Sårbarheds- og programrettelseshåndtering
Automatiseret scanning af sårbarheder; kritiske/høje patches inden for 30 dage; årlig tredjeparts penetrationstest; resultater sporet til afhjælpning.
Hændelsesdetektion og -respons
24/7 SIEM-overvågning og -varsling; dokumenteret hændelsesplan; udpeget indsatsteam; bordøvelser; kundeunderretning inden for 72 timer efter bekræftet brud.
Forretningskontinuitet og backup
Daglige automatiserede sikkerhedskopier; 30-dages opbevaring; geo-redundant lagring; RTO < 4 timer, RPO < 24 timer for Tier 1-tjenester; årlig kontinuitetstest.
Fysisk sikkerhed
Produktionsinfrastruktur i AWS-datacentre med ISO 27001- og SOC 2 Type II-certificerede fysiske kontroller (døgnvagter, CCTV, biometrisk adgang, miljøkontroller).
Personalesikkerhed
Baggrundstjek før ansættelse; fortrolighedsaftaler; obligatorisk årlig træning i databeskyttelse; adgang tilbagekaldt inden for 24 timer efter afgang.
Leverandørstyring
Due diligence før engagement; kontraktlige databeskyttelsesforpligtelser overført til alle underdatabehandlere; årlig gennemgang af sikkerhedsstatus.
Privatlivsprogram
Udpeget databeskyttelsesansvarlig; program til styring af databeskyttelse; standardprivatliv implementeret i platformen.
Certificeringer
Tjenesteudbyderen implementerer i øjeblikket et informationssikkerhedsstyringsprogram, der er i overensstemmelse med ISO/IEC 27001-principperne. Tjenesteudbyderen har til hensigt at opnå SOC 2 Type II-certificering og vil underrette kunden, når certificeringen er opnået. Aktuelle sikkerhedsvurderingsrapporter fra tredjepart er tilgængelige efter skriftlig anmodning med forbehold af en tavshedspligt.
Dataminimering og -opbevaring
Indsamling begrænset til det nødvendige; automatisk sletning inden for 30 dage efter eksportvinduet; konfigurerbare opbevaringsindstillinger på platformen.
BILAG 3
Godkendte underdatabehandlere
Følgende underdatabehandlere er godkendt pr. den dato, hvor hovedaftalen træder i kraft, og er offentliggjort på listen over underdatabehandlere på tjenesteudbyderens hjemmeside. Tjenesteudbyderen skal sikre, at hver enkelt er bundet af databeskyttelsesforpligtelser svarende til denne databeskyttelsesaftale. Kunder kan abonnere på opdateringer fra underdatabehandlere ved at sende en e-mAIl til dataprivacy@Perspectis.AI.
Underdatabehandler
Tjeneste / Formål
Behandlingssted(er)
Beskyttelse
Amazon Web Services (AWS)
Primær cloud-hosting, lagring, beregning, database
Canada (ca-central-1) — standard; UK (eu-west-2); US (us-east-1) hvis aktiveret
AWS DPA; ISO 27001, SOC 2 Type II; SCC'er / UK IDTA / PIPEDA-overførselsaftale, hvor det er relevant
OpenAI, L.L.C.
AI/LLM-behandling (valgfrit — deaktiveret som standard)
Forenede Stater
Ingen modeltræning i kundedata; standardkontraktsklausuler / UK IDTA / PIPEDA-aftale, hvor det er relevant
Microsoft Azure (Azure OpenAI)
Enterprise AI / LLM — mulighed for residency
Canada, Storbritannien eller EU (konfigurerbar)
Microsoft DPA; ISO 27001 / SOC 2; residens kan vælges i bestillingsformularen
Microsoft Azure (taletjenester)
Stemme-/taletransskription (valgfrit)
Konfigurerbar (Canada / UK / USA foretrækkes)
Microsoft DPA; kun aktiveret, hvis kunden aktiverer funktionen
Confido Legal (hvis aktiveret)
Betalingsbehandling for faktureringsintegrationer
Canada / USA
PCI-DSS-kompatibel; bruges kun, hvis betalingsintegration er aktiveret

