Personvernerklæring
Versjon 2.1 | Gyldig fra 15. mAI 2026 | Gjeldende versjon er alltid tilgjengelig på https://Perspectis.AI/privacy
Denne databehandleravtalen («DPA») er publisert av Perspectis AI, Inc på Perspectis.AI og er innlemmet ved referanse i SaaS-tjenesteavtalen (eller tilsvarende hovedavtale) inngått mellom tjenesteleverandøren og kunden («hovedavtalen»). Denne DPA-en er innlemmet i hovedavtalen ved referanse. Versjonen som er gjeldende per ikrafttredelsesdatoen for hovedavtalen gjelder, med forbehold om eventuelle oppdateringer gjort i samsvar med klausul 16.6.
Ved konflikt mellom denne databehandleravtalen og hovedavtalen med hensyn til behandling av personopplysninger, har denne databehandleravtalen forrang.
Tilnærming. Denne databehandleravtalen setter en enkelt standard som oppfyller det mest krevende gjeldende kravet på tvers av alle jurisdiksjoner der partene opererer, inkludert Storbritannia (UK GDPR / DPA 2018), Det europeiske økonomiske samarbeidsområdet (EU GDPR), Canada (PIPEDA og Quebec Law 25) og USA (CCPA/CPRA og gjeldende statlige lover). Der en spesifikk mekanisme er lovpålagt – for eksempel standard kontraktsklausuler for internasjonale overføringer – er det omtalt i klausul 8. I alle andre henseender gjelder én enkelt forpliktelse uavhengig av hvilken jurisdiksjon som er involvert.
Advokatprivilegium. Kundedata kan inneholde informasjon som er underlagt advokatprivilegium, advokatprivilegium eller advokatprivilegium. Tjenesteleverandørens utvidede forpliktelser med hensyn til slikt materiale er angitt i klausul 12.
Definisjoner
I denne databehandleravtalen:
«Anonymiserte data» betyr data som er blitt irreversibelt avidentifisert slik at ingen enkeltpersoner med rimelighet kan identifiseres ut fra dem, verken alene eller i kombinasjon med annen informasjon, i samsvar med gjeldende personvernlovgivning.
«Gjeldende personvernlovgivning» betyr alle personvern- og databeskyttelseslover som gjelder for behandling av personopplysninger i henhold til denne databehandleravtalen, inkludert (uten begrensning): den britiske GDPR og databeskyttelsesloven av 2018; EUs GDPR (forordning (EU) 2016/679); Canadas lov om beskyttelse av personopplysninger og elektroniske dokumenter (PIPEDA) og gjeldende provinsielle tilsvarende lover, inkludert Quebecs lov 25; og California Consumer Privacy Act / California Privacy Rights Act (CCPA/CPRA) og andre gjeldende personvernlover i amerikanske delstater. Der to eller flere lover pålegger forskjellige standarder for samme forpliktelse, skal tjenesteleverandøren overholde den mest krevende standarden.
«Kundedata» har den betydningen som er angitt i Hovedavtalen og omfatter alle personopplysninger som finnes i den.
«Person» betyr enhver fysisk person hvis personopplysninger behandles i henhold til denne databehandleravtalen. Begrepene datasubjekt, forbruker og person brukes om hverandre.
«Personopplysninger» betyr all informasjon knyttet til en identifisert eller identifiserbar person, som definert i gjeldende personvernlovgivning i den relevante jurisdiksjonen. Begrepene personopplysninger og personopplysninger brukes om hverandre.
«Brudd på personopplysninger» betyr ethvert brudd på sikkerheten som fører til utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert utlevering av eller tilgang til personopplysninger.
«Personvernombud» betyr den personen som er utpekt av tjenesteleverandøren til å føre tilsyn med overholdelse av gjeldende personvernlovgivning.
«Behandling» (og beslektede termer) har den betydningen som er gitt i gjeldende personvernlovgivning.
«Begrenset overføring» betyr enhver overføring av personopplysninger til et land som ikke drar nytte av en tilstrekkelighetsavgjørelse eller tilsvarende konstatering i henhold til gjeldende personvernlovgivning.
«SCC-er» betyr EUs standardkontraktsklausuler for overføring av personopplysninger til tredjeland (kommisjonsbeslutning 2021/914/EU).
«Sensitive personopplysninger» betyr spesielle kategorier av personopplysninger i henhold til den britiske GDPR / EUs GDPR; sensitive personopplysninger i henhold til CCPA/CPRA; og tilsvarende kategorier i henhold til andre gjeldende personvernlover.
«Underdatabehandler» betyr enhver tredjepart som er engasjert av Tjenesteleverandøren til å behandle Personopplysninger på Kundens vegne.
«Liste over underdatabehandlere» betyr den gjeldende listen over godkjente underdatabehandlere som vedlikeholdes av tjenesteleverandøren på nettstedet sitt, som oppdateres fra tid til annen i samsvar med klausul 7.
«TOM-er» betyr de tekniske og organisatoriske tiltakene som er angitt i vedlegg 2.
«UK IDTA» betyr den internasjonale dataoverføringsavtalen i Storbritannia utstedt av ICO i henhold til paragraf 119A i DPA 2018.
Roller og utnevnelse
Kunden er behandlingsansvarlig (eller tilsvarende i henhold til gjeldende personvernlovgivning); tjenesteleverandøren er databehandler eller tjenesteleverandør (eller tilsvarende). tjenesteleverandøren skal kun behandle personopplysninger etter kundens dokumenterte instruksjoner.
I henhold til CCPA/CPRA opptrer tjenesteleverandøren som en tjenesteleverandør (ikke en tredjepart eller bedrift) og bekrefter at den: (a) ikke skal selge eller dele personopplysninger; (b) ikke skal bruke personopplysninger til noe annet formål enn å levere tjenestene; (c) ikke skal kombinere personopplysninger mottatt i henhold til denne databehandleravtalen med personopplysninger fra andre kilder, unntatt som tillatt i henhold til gjeldende lov; og (d) forstår og vil overholde disse restriksjonene.
Tjenesteleverandøren skal omgående varsle Kunden dersom, etter tjenesteleverandørens rimelige oppfatning, en instruksjon vil krenke gjeldende personvernlovgivning.
Kundens forpliktelser
Kunden garanterer at den har, og til enhver tid skal opprettholde, et lovlig grunnlag i henhold til gjeldende personvernlovgivning for hver kategori av personopplysninger som sendes inn til plattformen, inkludert (der det er nødvendig) gyldig samtykke, en vurdering av legitim interesse eller annet gjeldende rettslig grunnlag.
Kunden er eneansvarlig for nøyaktigheten, kvaliteten og lovligheten av alle personopplysninger som sendes inn til plattformen, og for lovligheten av alle behandlingsinstruksjoner gitt til tjenesteleverandøren. Tjenesteleverandøren er ikke pålagt å uavhengig verifisere lovligheten av kundens instruksjoner, men skal overholde sin varslingsplikt i henhold til punkt 2.3.
Kunden skal ikke sende inn sensitive personopplysninger til plattformen uten skriftlig forvarsel til tjenesteleverandøren og avtale om passende ytterligere sikkerhetstiltak. I mangel av slik varsel og avtale har tjenesteleverandøren ikke noe ansvar for sensitive personopplysninger som sendes inn til plattformen.
Kunden skal føre sine egne personvernerklæringer, registre over behandlingsaktiviteter og prosesser for individuelle rettigheter som kreves av gjeldende personvernlovgivning. Kunden erkjenner at tjenesteleverandørens forpliktelser i henhold til denne databeskyttelsesavtalen er begrenset til å yte rimelig teknisk assistanse og ikke omfatter oppfyllelse av kundens egne samsvarsforpliktelser som behandlingsansvarlig.
Kunden skal holde Tjenesteleverandøren skadesløs fra og mot ethvert tap, krav, skader, ansvar, bøter, straffer, kostnader og utgifter (inkludert rimelige advokatsalærer) som oppstår fra eller i forbindelse med: (a) Kundens manglende overholdelse av sine forpliktelser som behandlingsansvarlig i henhold til gjeldende personvernlovgivning; (b) Kundens brudd på garantiene i denne klausul 3; eller (c) eventuelle behandlingsinstruksjoner gitt av Kunden som krenker gjeldende personvernlovgivning, forutsatt at Tjenesteleverandøren har oppfylt sin varslingsplikt i henhold til klausul 2.3 med hensyn til den relevante instruksjonen.
Behandlingsinstruksjoner og konfidensialitet
Tjenesteleverandøren skal kun behandle personopplysninger etter kundens dokumenterte instruksjoner, som angitt i denne databehandleravtalen, hovedavtalen, bestillingsskjemaer og eventuelle ytterligere skriftlige instruksjoner.
Kundens konfigurasjon av plattformen – inkludert funksjonsaktivering, oppbevaringsinnstillinger, brukertillatelser, valg av datalagring, aktivering av AI-funksjoner og integrasjonsinnstillinger – utgjør dokumenterte instruksjoner i henhold til denne databehandleravtalen. Tjenesteleverandøren er ikke pålagt å innhente en separat skriftlig instruksjon for hver behandlingsaktivitet som er en naturlig konsekvens av kundens bruk av plattformen i samsvar med konfigurasjonen.
Tjenesteleverandøren skal sørge for at personell som er autorisert til å behandle personopplysninger er bundet av passende taushetsplikt og har fått opplæring i sine databeskyttelsesforpliktelser.
Tilgang til personopplysninger skal være begrenset til personell som trenger det for å utføre Tjenestene, på grunnlag av minste privilegium.
Tjenesteleverandøren skal ikke utlevere personopplysninger til noen tredjepart (inkludert politimyndigheter eller offentlige myndigheter) uten kundens skriftlige forhåndssamtykke, med mindre det er påkrevd ved lov. Der utlevering er lovpålagt, skal tjenesteleverandøren (i den grad det er tillatt) gi kunden forhåndsvarsel og samarbeide med alle rimelige beskyttelsestiltak.
Tjenesteleverandøren skal utpeke en personvernombud og en kontaktperson for databeskyttelse (der det er nødvendig), og skal varsle kunden om deres kontaktinformasjon på forespørsel.
Individuelle rettigheter
Tjenesteleverandøren erkjenner at enkeltpersoner kan ha rettigheter i henhold til gjeldende personvernlovgivning, inkludert rettigheter til: tilgang; retting eller korrigering; sletting eller sletting; begrensning eller avmelding fra behandling; dataportabilitet; innsigelse; avmelding fra salg eller deling; begrensning av bruk av sensitive personopplysninger; og retten til ikke å være underlagt utelukkende automatiserte avgjørelser med betydelige virkninger.
Tjenesteleverandøren skal varsle Kunden innen 3 virkedager etter å ha mottatt en forespørsel om rettigheter direkte fra en person, og skal ikke svare direkte uten Kundens godkjenning.
Tjenesteleverandøren skal tilby den tekniske bistanden (søk, eksport, sletting og korrigering) som rimeligvis kreves for at Kunden skal kunne svare på enhver forespørsel om individuelle rettigheter innen gjeldende lovbestemt frist. Målet for svar er 30 dager fra mottak av den bekreftede forespørselen.
Tjenesteleverandøren skal ikke diskriminere noen enkeltperson for å utøve sine rettigheter i henhold til gjeldende personvernlovgivning.
Sikkerhet
Tjenesteleverandøren skal implementere og vedlikeholde TOM-ene som er angitt i vedlegg 2, utformet for å oppfylle kravene i gjeldende personvernlovgivning (inkludert den rimelige sikkerhetsstandarden i henhold til CCPA/CPRA, artikkel 32 i Storbritannias/EUs GDPR og PIPEDA-prinsipp 7).
Tjenesteleverandøren skal regelmessig teste, vurdere og evaluere effektiviteten til TOM-ene og oppdatere dem etter behov, tatt i betraktning den nåværende utviklingen, kostnader og behandlingens art.
Tjenesteleverandøren skal varsle Kunden omgående om enhver faktisk eller mistenkt sårbarhet som kan kompromittere sikkerheten til Personopplysninger, og skal iverksette umiddelbare utbedringstiltak.
Underdatabehandlere
Kunden gir generell autorisasjon til å bruke underdatabehandlerne som er oppført i vedlegg 3. Tjenesteleverandøren opprettholder en oppdatert liste over godkjente underdatabehandlere på nettstedet sitt («underdatabehandlerlisten»), sammen med detaljer om behandlingen som utføres av hver enkelt.
Tjenesteleverandøren vil legge ut varsel om enhver foreslått ny utnevnelse av underdatabehandler, eller enhver vesentlig endring i en eksisterende underdatabehandlers aktiviteter, på nettstedet sitt før utnevnelsen eller endringen trer i kraft. Kunder som abonnerer på oppdateringsvarsler fra underdatabehandlere (ved å sende e-post til [NY DPA-E-POSTADRESSE]) vil motta varsel om hver slik publisering.
Dersom partene ikke klarer å løse innsigelsen innen 30 dager, skal Tjenesteleverandøren gjøre rimelige anstrengelser for å gjøre tilgjengelig en alternativ konfigurasjon av de berørte Tjenestene som ikke involverer den innvendte Underdatabehandleren. Dersom ingen slik alternativ konfigurasjon er rimelig tilgjengelig, og den innvendte Underdatabehandleren er essensiell for kjernefunksjonaliteten til Tjenestene som beskrevet i det gjeldende bestillingsskjemaet, kan Kunden si opp det berørte bestillingsskjemaet uten gebyr med 30 dagers skriftlig varsel. For å unngå tvil skal en Underdatabehandler kun anses som essensiell for kjernefunksjonaliteten der fjerning av den Underdatabehandleren ville gjøre de vesentlige funksjonene beskrevet i det gjeldende bestillingsskjemaet ubrukelige.
Tjenesteleverandøren skal, ved skriftlig kontrakt, pålegge hver underdatabehandler databeskyttelsesforpliktelser tilsvarende de som er i denne databehandleravtalen, inkludert forpliktelser som oppfyller gjeldende databeskyttelseslovgivning i hver jurisdiksjon der personopplysninger behandles.
Tjenesteleverandøren forblir fullt ansvarlig overfor Kunden for handlinger og unnlatelser fra Underdatabehandlerne som om de var Tjenesteleverandørens egne.
Internasjonale overføringer
Hovedforpliktelse. Partene skal ha en passende overføringsmekanisme på plass for enhver begrenset overføring før overføringen finner sted. «Overføringsmekanisme» betyr standardkontraktsklausulene, den britiske IDTA-en, en tilstrekkelighetsbeslutning eller enhver annen mekanisme som har den effekten at den tillater overføringen i samsvar med gjeldende personvernlovgivning.
EØS-overføringer. Ved begrenset overføring innenfor EØS der kundens personopplysninger overføres fra kunden som behandlingsansvarlig til tjenesteleverandør som databehandler, skal partene overholde EUs standardkontraktsklausuler (modul 2, behandlingsansvarlig til databehandler, kommisjonsbeslutning 2021/914), som er innlemmet i denne databehandleravtalen ved referanse og aktiveres automatisk ved en slik overføring. Partenes valg av valgfrie bestemmelser er: Klausul 7 (dokkingklausul) gjelder; klausul 9(a) alternativ 2 (generell skriftlig fullmakt) gjelder med en 30-dagers varselfrist i samsvar med underdatabehandlerklausulen i denne databehandleravtalen; klausul 11(a) valgfri klagemekanisme gjelder ikke.
Overføringer i Storbritannia. Ved begrenset overføring i Storbritannia skal partene overholde den britiske IDTA som innlemmer EUs standardkontraktsklausuler med det britiske tillegget (utstedt av ICO i henhold til paragraf 119A i databeskyttelsesloven av 2018), som er innlemmet i denne databehandleravtalen ved referanse og aktiveres automatisk ved en slik overføring. Partsdetaljer og behandlingsbeskrivelser for formålene i den britiske IDTA er som angitt i henholdsvis hovedavtalen og vedlegg 1 til denne databehandleravtalen.
Kundevalgte behandlingssteder. All behandling skjer som standard innenfor jurisdiksjonen som er valgt av kunden i bestillingsskjemaet. Der kunden aktiverer en funksjon eller velger en modell som krever behandling i en annen jurisdiksjon, utgjør kundens bekreftende valg en dokumentert instruksjon om overføring og en bekreftelse på behandlingsstedet. Tjenesteleverandøren skal identifisere behandlingsjurisdiksjonen til kunden ved valg av funksjon eller modell. Tjenesteleverandøren skal sørge for at den gjeldende overføringsmekanismen er på plass før en slik overføring skjer.
Overføringer til underdatabehandler. Der tjenesteleverandøren engasjerer en underdatabehandler som krever en grensekryssende overføring, skal tjenesteleverandøren sørge for at den gjeldende overføringsmekanismen er på plass mellom tjenesteleverandøren og underdatabehandleren før overføringen finner sted. For overføringer fra databehandler til databehandler i EØS-området gjelder EUs standardkontraktsklausuler (modul 3). For overføringer fra databehandler til databehandler i Storbritannia gjelder den gjeldende modulen i det britiske tillegget.
Canada. Overføringer av personopplysninger som er underlagt PIPEDA eller Quebec Law 25 skal være underlagt kontraktsmessig beskyttelse som sikrer en beskyttelsesstandard som er sammenlignbar med den som kreves av kanadisk lov, i samsvar med paragraf 10.3 i PIPEDA. Ingen grenseoverskridende overføringsmekanisme er nødvendig der Canada er både opprinnelses- og destinasjonsjurisdiksjon.
USA. Det kreves ingen grenseoverskridende overføringsmekanisme for behandling som oppstår og forblir i USA. CCPA-tjenesteleverandørbetegnelsen i punkt 2 gjelder for all innenlandsk behandling i USA.
Automatisk oppdatering. Der en overføringsmekanisme oppdateres, endres eller erstattes av en kompetent myndighet, skal den oppdaterte mekanismen automatisk erstatte den tidligere mekanismen i henhold til denne databehandleravtalen fra datoen tjenesteleverandøren sender varsel til kunden, og skal være bindende for partene fra datoen som er angitt i varselet. tjenesteleverandøren skal sende et slikt varsel uten unødig forsinkelse etter publisering av den oppdaterte mekanismen.
Behandlingsdetaljer for standardkontraktsformål. Informasjonen som kreves i vedlegg I til EUs standardkontraktsforskrifter (liste over parter og beskrivelse av overføring) er angitt som følger: detaljer om dataeksportør er som angitt i hovedavtalen og bestillingsskjemaet; detaljer om datAImportør er som angitt i dokumentoverskriften til denne databehandleravtalen; beskrivelsen av behandlingsaktiviteter og kategorier av personopplysninger er som angitt i vedlegg 1 til denne databehandleravtalen. Tekniske og organisatoriske tiltak for formålene i vedlegg II til EUs standardkontraktsforskrifter er som angitt i vedlegg 2 til denne databehandleravtalen.
Sikkerhetshendelser og varsling om brudd
Tjenesteleverandøren skal varsle Kunden uten unødig forsinkelse, og under alle omstendigheter innen 24 timer etter å ha blitt oppmerksom på et bekreftet eller rimelig mistenkt brudd på personopplysninger. Varsling skal sendes til Kundens utpekte kontaktperson og skal inneholde all informasjon som er tilgjengelig på det tidspunktet og som Kunden trenger for å oppfylle sine egne varslingsforpliktelser i henhold til gjeldende personvernlovgivning.
Tjenesteleverandøren skal gi kunden en skriftlig hendelsesrapport innen 30 dager etter innsamling, som dekker: underliggende årsak; datakategorier og estimerte berørte volumer; utbedringstiltak som er tatt og planlagt; og eventuelle endringer i TOM-ene.
Tjenesteleverandøren skal føre en logg over alle sikkerhetshendelser (inkludert de som er under rapporteringsgrenser) og gjøre den tilgjengelig for Kunden på forespørsel.
Varsling om et brudd utgjør ikke en innrømmelse av feil eller ansvar fra noen av partene.
Vurderinger av personvernkonsekvenser
Tjenesteleverandøren skal gi kunden rimelig bistand til å utføre enhver konsekvensanalyse av personvern eller databeskyttelse som kreves i henhold til gjeldende personvernlovgivning, inkludert beskrivelser av behandlingsaktivitetene, tomter for håndtering av opplysninger, detaljer om underdatabehandlere og annen relevant informasjon.
Der tjenesteleverandøren introduserer et nytt system, en ny teknologi eller en ny tjeneste som involverer behandling av personopplysninger, skal tjenesteleverandøren gjennomføre sin egen konsekvensvurdering av personvernet og gi kunden et sammendrag på forespørsel.
Tjenesteleverandøren skal bistå Kunden med enhver nødvendig forhåndskonsultasjon med en tilsynsmyndighet eller databeskyttelsesmyndighet.
Revisjonsrettigheter
Tjenesteleverandøren skal gjøre tilgjengelig all informasjon som er rimelig nødvendig for å demonstrere samsvar med denne databehandleravtalen og gjeldende personvernlovgivning.
Ikke mer enn én gang per kalenderår (med mindre det foreligger rimelig grunn til å mistenke et vesentlig brudd), og med 30 dagers skriftlig varsel, kan Kunden: (a) kreve at Tjenesteleverandøren fyller ut et skriftlig samsvarsspørreskjema; eller (b) på Kundens bekostning, gjennomføre eller bestille en uavhengig revisjon av Tjenesteleverandørens behandlingsaktiviteter og TOM-er.
Tjenesteleverandøren kan oppfylle sin revisjonsforpliktelse ved å fremlegge aktuelle tredjeparts revisjonsrapporter (SOC 2 Type II, ISO 27001-sertifikat eller tilsvarende) der slike rapporter er tilstrekkelige til å vise samsvar med den relevante forpliktelsen.
Juridisk profesjonelt privilegium
Tjenesteleverandøren erkjenner at kundedata kan inneholde informasjon som er underlagt juridisk taushetsplikt, advokat-klient-taushetsplikt eller advokat-klient-taushetsplikt (samlet kalt «privilegert materiale»).
I forbindelse med privilegert materiale skal tjenesteleverandøren: (a) ikke få tilgang til, bruke, utlevere eller behandle det unntatt i den grad det er strengt nødvendig for å levere tjenestene; (b) opprettholde tilgangskontroller og tilgangslogger; (c) ikke utlevere det til noen tredjepart uten kundens skriftlige samtykke på forhånd; og (d) varsle kunden umiddelbart ved enhver faktisk eller truende tvungen utlevering.
Tjenesteleverandøren skal støtte Kundens overholdelse av regler for profesjonell oppførsel og regulatoriske krav som gjelder for Kunden i dens driftsjurisdiksjoner.
Forpliktelsene i denne klausul 12 gjelder fortsatt etter opphør av Hovedavtalen så lenge Privilegert Materiale forblir i Tjenesteleverandørens besittelse eller kontroll, og i minst 7 år etter opphør.
AI og automatisert prosessering
Tjenesteleverandøren skal ikke bruke kundedata til å trene, finjustere eller forbedre noen AI- eller maskinlæringsmodell uten kundens skriftlige forhåndssamtykke. For å unngå tvil gjelder ikke dette forbudet anonymiserte data som ikke med rimelighet kan brukes til å identifisere noen enkeltperson. Dette forbudet gjelder både tilbakemeldinger (som definert i hovedavtalen) og tjenesteleverandørdata generert fra kundens bruk av plattformen.
Tjenesteleverandøren kan bruke aggregerte, fullstendig anonymiserte og ikke-reversible bruksdata (inkludert systemytelsesmålinger, funksjonsbruksmønstre og feillogger som ikke inneholder personopplysninger og hvorfra ingen kunde eller enkeltperson kan identifiseres) for å forbedre ytelsen, påliteligheten og funksjonaliteten til tjenestene. Slik bruk utgjør ikke behandling av personopplysninger eller kundedata, utgjør ikke opplæring av noen AI- eller maskinlæringsmodell på kundedata, og er ikke underlagt begrensningene i klausul 13.1. Kunden kan når som helst be om skriftlig bekreftelse på at kundedataene og personopplysningene ikke har blitt brukt til modellopplæring.
Tjenesteleverandøren skal, på forespørsel og minst årlig, opplyse om identiteten og versjonen av alle AI-modeller som behandler personopplysninger, bekrefte om kundedata har blitt brukt til opplæring, og gi informasjon om eventuell automatisert beslutningstaking med betydelig innvirkning på enkeltpersoner.
Tjenesteleverandøren skal føre et KI-register og gjøre det tilgjengelig for Kunden på forespørsel.
Retur og sletting
Ved opphør eller utløp av Hovedavtalen skal Tjenesteleverandøren:
(a) i 30 dager etter opphør eller utløp gjøre kundedata tilgjengelige for eksport i bransjestandardformater (CSV, JSON, Excel) uten ekstra kostnad, i samsvar med eksportmekanismene som er angitt i hovedavtalen;
(b) etter utløpet av 30-dagers eksportvinduet, slette alle kundedata på en sikker måte, inkludert alle kopier som oppbevares av underdatabehandlere og alle gjeldende sikkerhetskopier, ved å overskrive eller på annen måte gjøre dataene permanent utilgjengelige, med mindre: (i) annet er skriftlig avtalt av kunden; (ii) oppbevaring er nødvendig for å løse aktive juridiske tvister eller regulatoriske prosesser; eller (iii) gjeldende lov krever ytterligere oppbevaring – i så fall skal tjenesteleverandøren: (A) varsle kunden skriftlig på forhånd om sin intensjon om å oppbevare slike data og det juridiske grunnlaget for å gjøre det; (B) kun oppbevare minimumsdataene som kreves i minimumsperioden som kreves av loven; og (C) anvende de samme beskyttelsestiltakene for oppbevarte data som gjelder i løpet av avtaleperioden;
(c) proaktivt gi kunden skriftlig bekreftelse på sletting, inkludert bekreftelse på at underdatabehandlerkopier og sikkerhetskopier er slettet, innen 30 dager etter at slettingen er fullført, og i tillegg på kundens skriftlige forespørsel når som helst;
d) på kundens skriftlige forespørsel, fremlegge rimelig dokumentasjon på hvilken slettingsmetodikk som er brukt.
Tjenesteleverandøren skal behandle verifiserbare individuelle slettingsforespørsler innen fristen som kreves i henhold til gjeldende personvernlovgivning, i samsvar med den strengeste gjeldende standarden og under ingen omstendigheter overstige 45 dager.
Forpliktelsene i denne klausul 14 fortsetter å gjelde etter opphør av Hovedavtalen inntil fullføring og bekreftelse på sletting.
Løpstid og oppsigelse
Denne databehandleravtalen trer i kraft fra datoen Hovedavtalen trer i kraft, og løper samtidig med Hovedavtalen.
Følgende forpliktelser gjelder fortsatt etter opphør: Klausul 4 (Konfidensialitet) – 5 år; Klausul 9 (Melding om brudd) – 7 år; Klausul 12 (Privilegium) – så lenge Privilegert Materiale forblir i Tjenesteleverandørens besittelse eller kontroll, og i minst 7 år etter opphør; Klausul 14 (Sletting) – inntil ferdigstillelse og sertifisering.
Begge parter kan si opp denne databehandleravtalen på grunn av den andre partens vesentlige brudd med 30 dagers skriftlig varsel, og ved unnlatelse av å rette opp innen denne perioden der bruddet kan rettes.
General
Ansvarsbegrensning. (a) Tjenesteleverandørens samlede ansvar i henhold til eller i forbindelse med denne databehandleravtalen (inkludert for brudd på personopplysninger) skal ikke overstige ansvarsgrensen som er angitt i hovedavtalen. (b) Denne grensen gjelder uavhengig av om kravet fremmes i kontrakt, erstatningsansvar (inkludert uaktsomhet), lov eller på annen måte, og inkluderer (ikke i tillegg til) ethvert ansvar som oppstår i henhold til hovedavtalen. (c) Der en tilsynsmyndighet, en person eller en annen tredjepart fremmer et krav mot en av partene i forbindelse med behandling av personopplysninger i henhold til denne databehandleravtalen, skal partene samarbeide i god tro, og hver part skal bære ansvar som kan tilskrives sine egne handlinger eller unnlatelser. Ingenting i denne klausul 16.1 utelukker eller begrenser ansvar som ikke kan utelukkes eller begrenses i henhold til gjeldende personvernlovgivning.
Tjenesteleverandøren skal ha cyberansvars- og databeskyttelsesforsikring på kommersielt rimelige beløp gjennom hele Hovedavtalens løpetid og skal fremlegge bevis på slik dekning til Kunden på skriftlig forespørsel.
Gjeldende lov og jurisdiksjon. Denne databehandleravtalen er underlagt samme lov som hovedavtalen. Dersom hovedavtalen ikke spesifiserer en gjeldende lov, skal denne databehandleravtalen være underlagt lovene i delstaten New York, uten hensyn til dens bestemmelser om lovkonflikt. Partene underlegger seg den ikke-eksklusive jurisdiksjonen til domstolene i delstaten New York. Ingenting i denne klausulen påvirker noen av partenes rettigheter eller forpliktelser i henhold til gjeldende personvernlov i noen annen jurisdiksjon.
Denne databehandleravtalen, sammen med vedleggene, utgjør hele avtalen mellom partene knyttet til behandling av personopplysninger i henhold til hovedavtalen og erstatter alle tidligere avtaler om samme emne.
Alle varsler i henhold til denne databehandleravtalen skal være skriftlige og leveres til kontaktinformasjonen som er angitt i hovedavtalen, eller, for databeskyttelsessaker, til support@Perspectis.AI.
Standardvilkår og endringer. (a) Denne databehandleravtalen er tjenesteleverandørens standardvilkår for databehandling, publisert på nettstedet og innlemmet ved referanse i hovedavtalen. (b) Tjenesteleverandøren kan oppdatere denne databehandleravtalen fra tid til annen ved å legge ut en revidert versjon på nettstedet sitt, med minst 30 dagers varsel til kunden via e-post eller varsel i produktet. (c) Den reviderte versjonen trer i kraft ved utløpet av varselperioden, med mindre kunden varsler tjenesteleverandøren om en vesentlig innsigelse skriftlig innen denne perioden. (d) Hvis kunden protesterer og partene ikke kan løse innsigelsen innen ytterligere 14 dager, kan hver av partene si opp de berørte tjenestene med rimelig varsel uten gebyr. (e) Tjenesteleverandøren kan gjøre endringer uten varsel der det kreves av endringer i gjeldende personvernlovgivning, veiledning fra tilsynsmyndigheter eller rettskjennelse, forutsatt at slike endringer ikke vesentlig reduserer kundens beskyttelse i henhold til denne databehandleravtalen. (f) Kundespesifikke endringer i denne databehandleravtalen er bare bindende dersom de er signert skriftlig av en direktør eller autorisert underskriver hos tjenesteleverandøren og uttrykkelig erklært å erstatte den relevante bestemmelsen i denne databehandleravtalen.
Standard behandlingsbeskrivelse. (a) Standard behandlingsbeskrivelsen i vedlegg 1 gjenspeiler tjenesteleverandørens standard plattformbehandlingsaktiviteter som utføres ved levering av tjenestene. (b) Der kundens spesifikke behandlingsaktiviteter avviker vesentlig fra denne beskrivelsen, skal partene registrere forskjellene i bestillingsskjemaet eller et skriftlig tillegg til denne databehandleravtalen. (c) Kunden er ansvarlig for å føre sine egne registre over behandlingsaktiviteter (inkludert registre som kreves i henhold til artikkel 30 i GDPR i Storbritannia/EU og tilsvarende krav i henhold til annen gjeldende personvernlovgivning) i sin egenskap av behandlingsansvarlig.
VEDLEGG 1
Beskrivelse av behandlingsaktiviteter
Denne standardbehandlingsbeskrivelsen gjenspeiler behandlingsaktivitetene som utføres av tjenesteleverandøren ved levering av tjenestene. Kundespesifikke variasjoner, der det er aktuelt, er registrert i det relevante bestillingsskjemaet.
A. Emne
Levering av SaaS-baserte juridiske teknologitjenester, inkludert autonom tidssporing, saksbehandling, AI-assistert dokumentgjennomgang, LEDES-kompatibel fakturering og relaterte tjenester, som beskrevet i hovedavtalen og gjeldende bestillingsskjemaer.
B. Varighet
For løpetiden til Hovedavtalen og eventuelle gjeldende bestillingsskjemaer eller arbeidsoppgaver, pluss eventuell lovpålagt oppbevaringsperiode.
C. Natur og formål
Hosting, lagring og behandling av kundedata for å levere tjenestene; tilgangskontroll og identitetsadministrasjon; analyse og rapportering for kundens interne bruk; teknisk støtte (kun på kundens forespørsel); valgfri AI/LLM-behandling hvis aktivert av kunden; og sikkerhetsovervåking og hendelsesrespons.
D. Kategorier av individer
Kundens personell (advokater, advokatfullmektiger, administrativt personale); Kundens klienter og motparter (i den grad det er inkludert i kundedataene); sluttbrukere av tjenestene; og andre personer hvis personopplysninger sendes inn til plattformen.
E. Kategorier av personopplysninger
Kontakt- og identifikasjonsdata (navn, e-postadresser, telefonnumre, stillingstitler); bruks- og tilgangsdata (innloggingstider, funksjonsbruk, øktlogger); tidsregistrerings- og saksdata (inkludert narrative beskrivelser av juridisk arbeid); dokumentmetadata (og, der AI-funksjoner er aktivert, dokumentinnhold); fakturerings- og fakturadata; og andre personopplysninger som kunden sender inn til plattformen fra tid til annen.
F. Sensitive / spesielle kategorier
Tjenesteleverandøren behandler ikke bevisst sensitive personopplysninger. I den grad kundedata tilfeldigvis inneholder slike opplysninger, gjelder bestemmelsene i punkt 3.3.
VEDLEGG 2
Tekniske og organisatoriske tiltak
Disse tiltakene er utformet for å oppfylle sikkerhetskravene i gjeldende personvernlovgivning, inkludert rimelig sikkerhetsstandard (CCPA/CPRA), artikkel 32 (UK/EU GDPR) og sikkerhetsprinsippet (PIPEDA). De er i samsvar med CIS-kontroller og NIST SP 800-53.
Kontrolldomene
Tiltak implementert
Adgangskontroll
Rollebasert tilgangskontroll (RBAC); prinsippet om minste privilegium; MFA håndhevet for alle privilegerte kontoer; regelmessige tilgangsgjennomganger; unike bruker-ID-er; ingen delte påloggingsinformasjoner; PAM-verktøy.
Kryptering – i ro
AES-256 for alle lagrede kundedata; krypterte sikkerhetskopier; AWS S3 SSE; krypteringsnøkler via AWS KMS med årlig rotasjon.
Kryptering – underveis
Minimum TLS 1.2 (TLS 1.3 foretrukket); HTTPS håndhevet; AWS Certificate Manager; HSTS aktivert.
Nettverkssikkerhet
Brannmur og WAF; nettverkssegmentering; VPC-isolering; IDS/IPS; DDoS-begrensning; regelmessige portskanninger og sårbarhetsvurderinger.
Sårbarhets- og oppdateringshåndtering
Automatisert sårbarhetsskanning; kritiske/høye oppdateringer innen 30 dager; årlig tredjeparts penetrasjonstesting; funn spores til utbedring.
Hendelsesdeteksjon og -respons
Døgnkontinuerlig SIEM-overvåking og varsling; dokumentert hendelsesplan; utpekt responsteam; bordøvelser; kundevarsling innen 72 timer etter bekreftet brudd.
Forretningskontinuitet og sikkerhetskopiering
Daglige automatiserte sikkerhetskopier; 30-dagers oppbevaring; georedundant lagring; RTO < 4 timer, RPO < 24 timer for Tier 1-tjenester; årlig kontinuitetstesting.
Fysisk sikkerhet
Produksjonsinfrastruktur i AWS-datasentre med ISO 27001- og SOC 2 Type II-sertifiserte fysiske kontroller (døgnkontinuerlige vakter, CCTV, biometrisk tilgang, miljøkontroller).
Personellsikkerhet
Bakgrunnssjekker før ansettelse; taushetserklæringer; obligatorisk årlig opplæring i databeskyttelse; tilgang tilbakekalt innen 24 timer etter avgang.
Leverandørhåndtering
Due diligence før engasjement; kontraktsmessige forpliktelser til databeskyttelse som gled ned til alle underdatabehandlere; årlig gjennomgang av sikkerhetstilstand.
Personvernprogram
Utpekt personvernombud; program for personvernhåndtering; personvern som standard implementert i plattformen.
Sertifiseringer
Tjenesteleverandøren implementerer for tiden et program for informasjonssikkerhetsstyring i samsvar med ISO/IEC 27001-prinsippene. Tjenesteleverandøren har til hensikt å oppnå SOC 2 Type II-sertifisering og vil varsle kunden når sertifiseringen er oppnådd. Gjeldende tredjeparts sikkerhetsvurderingsrapporter er tilgjengelige på skriftlig forespørsel, med forbehold om taushetsplikt.
Dataminimering og -lagring
Innsamling begrenset til det som er nødvendig; automatisk sletting innen 30 dager etter eksportvinduet; konfigurerbare oppbevaringsinnstillinger i plattformen.
VEDLEGG 3
Godkjente underdatabehandlere
Følgende underdatabehandlere er godkjent per datoen hovedavtalen trer i kraft og er publisert på underdatabehandlerlisten på tjenesteleverandørens nettsted. Tjenesteleverandøren skal sørge for at hver enkelt er bundet av databeskyttelsesforpliktelser tilsvarende denne databehandleravtalen. Kunder kan abonnere på oppdateringsvarsler fra underdatabehandlere ved å sende en e-post til dataprivacy@Perspectis.AI.
Underdatabehandler
Tjeneste / Formål
Behandlingssted(er)
Beskyttelse
Amazon Web Services (AWS)
Primær skyhosting, lagring, databehandling, database
Canada (ca-central-1) — standard; Storbritannia (eu-west-2); USA (us-east-1) hvis aktivert
AWS DPA; ISO 27001, SOC 2 Type II; SCC-er / UK IDTA / PIPEDA-overføringsavtale der det er aktuelt
OpenAI, LLC
AI/LLM-prosessering (valgfritt – av som standard)
USA
Ingen modellopplæring på kundedata; standardkontraktsklausuler / britisk IDTA / PIPEDA-avtale der det er aktuelt
Microsoft Azure (Azure OpenAI)
Bedrifts-AI / LLM — alternativ for residency
Canada, Storbritannia eller EU (konfigurerbar)
Microsoft DPA; ISO 27001 / SOC 2; bosted kan velges i bestillingsskjemaet
Microsoft Azure (taletjenester)
Tale-/transkripsjon (valgfritt)
Konfigurerbar (Canada / Storbritannia / USA foretrukket)
Microsoft DPA; kun aktivert hvis kunden aktiverer funksjonen
Confido Legal (hvis aktivert)
Betalingsbehandling for faktureringsintegrasjoner
Canada / USA
PCI-DSS-kompatibel; brukes kun hvis betalingsintegrasjon er aktivert

