Integritetspolicy
Version 2.1 | Gäller från och med 15 maj 2026 | Aktuell version alltid tillgänglig på https://Perspectis.AI/privacy
Detta databehandlingsavtal (”Databehandlingsavtal”) publiceras av Perspectis AI, Inc på Perspectis.AI och införlivas genom hänvisning i SaaS-tjänsteavtalet (eller motsvarande huvudavtal) som ingåtts mellan Tjänsteleverantören och Kunden (”Huvudavtalet”). Detta Databehandlingsavtal införlivas i Huvudavtalet genom hänvisning. Den version som gäller vid Huvudavtalets ikraftträdandedatum gäller, med förbehåll för eventuella uppdateringar som görs i enlighet med klausul 16.6.
Vid konflikt mellan detta databehandlingsavtal och huvudavtalet avseende behandling av personuppgifter har detta databehandlingsavtal företräde.
Metod. Detta dataskyddsavtal fastställer en enda högklassig standard som uppfyller de mest krävande tillämpliga kraven i alla jurisdiktioner där parterna är verksamma, inklusive Storbritannien (UK GDPR / DPA 2018), Europeiska ekonomiska samarbetsområdet (EU GDPR), Kanada (PIPEDA och Quebec Law 25) och USA (CCPA/CPRA och tillämpliga delstatslagar). Där en specifik mekanism är lagstadgad – såsom standardavtalsklausuler för internationella överföringar – behandlas den i klausul 8. I alla andra avseenden gäller en enda skyldighet oavsett vilken jurisdiktion som är inblandad.
Advokatsekretess. Kunddata kan innehålla information som omfattas av advokatsekretess, advokatsekretess eller advokatsekretess. Tjänsteleverantörens utökade skyldigheter avseende sådant material anges i klausul 12.
Definitioner
I detta dataskyddsavtal:
”Anonymiserade uppgifter” avser uppgifter som har avidentifierats på ett oåterkalleligt sätt så att ingen individ rimligen kan identifieras utifrån dem, vare sig ensamma eller i kombination med annan information, i enlighet med tillämpliga integritetslagstiftning.
”Tillämplig dataskyddslag” avser alla integritets- och dataskyddslagar som är tillämpliga på behandling av personuppgifter enligt detta dataskyddsavtal, inklusive (utan begränsning): Storbritanniens GDPR och dataskyddslagen 2018; EU:s GDPR (förordning (EU) 2016/679); Kanadas lag om skydd av personuppgifter och elektroniska dokument (PIPEDA) och tillämpliga provinsiella motsvarigheter inklusive Quebecs lag 25; och California Consumer Privacy Act / California Privacy Rights Act (CCPA/CPRA) och andra tillämpliga integritetslagar i amerikanska delstater. Om två eller flera lagar inför olika standarder för samma skyldighet ska tjänsteleverantören följa den mest krävande standarden.
”Kunduppgifter” har den betydelse som anges i Huvudavtalet och inkluderar alla Personuppgifter som finns i det.
”Person” avser varje fysisk person vars personuppgifter behandlas enligt detta dataskyddsavtal. Termerna registrerad, konsument och individ används synonymt.
”Personuppgifter” avser all information som rör en identifierad eller identifierbar individ, enligt definitionen i tillämplig dataskyddslag i relevant jurisdiktion. Termerna personuppgifter och personlig information används synonymt.
”Personuppgiftsintrång” avser varje säkerhetsintrång som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt avslöjande av eller åtkomst till Personuppgifter.
”Integritetsombud” avser den person som utsetts av Tjänsteleverantören för att övervaka efterlevnaden av tillämplig dataskyddslag.
”Behandling” (och besläktade termer) har den betydelse som anges i tillämplig dataskyddslag.
”Begränsad överföring” avser all överföring av personuppgifter till ett land som inte omfattas av ett beslut om adekvat skydd eller motsvarande konstaterande enligt tillämplig dataskyddslag.
”SCC:er” avser EU:s standardavtalsklausuler för överföring av personuppgifter till tredjeländer (kommissionens beslut 2021/914/EU).
”Känsliga personuppgifter” avser särskilda kategorier av personuppgifter enligt den brittiska GDPR/EU:s GDPR; känsliga personuppgifter enligt CCPA/CPRA; och motsvarande kategorier enligt andra tillämpliga dataskyddslagar.
”Underbiträde” avser varje tredje part som anlitas av Tjänsteleverantören för att behandla Personuppgifter för Kundens räkning.
”Förteckning över underbiträden” avser den aktuella listan över godkända underbiträden som upprätthålls av Tjänsteleverantören på sin webbplats, vilken uppdateras från tid till annan i enlighet med klausul 7.
”TOM” avser de tekniska och organisatoriska åtgärder som anges i bilaga 2.
”UK IDTA” avser det internationella dataöverföringsavtalet i Storbritannien som utfärdats av ICO enligt avsnitt 119A i DPA 2018.
Roller och utnämning
Kunden är personuppgiftsansvarig (eller motsvarande enligt tillämplig dataskyddslag); Tjänsteleverantören är personuppgiftsbehandlare eller tjänsteleverantör (eller motsvarande). Tjänsteleverantören ska endast behandla personuppgifter enligt kundens dokumenterade instruktioner.
I enlighet med CCPA/CPRA agerar Tjänsteleverantören som en Tjänsteleverantör (inte en Tredje Part eller Företag) och intygar att denne: (a) inte får sälja eller dela Personuppgifter; (b) inte får använda Personuppgifter för något annat ändamål än att tillhandahålla Tjänsterna; (c) inte får kombinera Personuppgifter som mottagits enligt detta DPA med personuppgifter från andra källor förutom vad som är tillåtet enligt tillämplig lag; och (d) förstår och kommer att följa dessa begränsningar.
Tjänsteleverantören ska omedelbart underrätta Kunden om, enligt dess rimliga uppfattning, någon instruktion skulle strida mot tillämplig dataskyddslagstiftning.
Kundens skyldigheter
Kunden garanterar att den har, och alltid ska upprätthålla, en laglig grund enligt tillämplig dataskyddslag för varje kategori av personuppgifter som lämnas till plattformen, inklusive (där så krävs) giltigt samtycke, en bedömning av berättigat intresse eller annan tillämplig rättslig grund.
Kunden är ensamt ansvarig för riktigheten, kvaliteten och lagligheten av alla personuppgifter som lämnas till plattformen och för lagligheten av alla behandlingsinstruktioner som ges till Tjänsteleverantören. Tjänsteleverantören är inte skyldig att oberoende verifiera lagligheten av Kundens instruktioner men ska uppfylla sin anmälningsskyldighet enligt klausul 2.3.
Kunden får inte lämna ut känsliga personuppgifter till plattformen utan föregående skriftligt meddelande till tjänsteleverantören och överenskommelse om lämpliga ytterligare skyddsåtgärder. I avsaknad av sådant meddelande och avtal har tjänsteleverantören inget ansvar för känsliga personuppgifter som lämnas till plattformen.
Kunden ska upprätthålla sina egna integritetsmeddelanden, register över behandlingsaktiviteter och processer för individuella rättigheter i enlighet med gällande dataskyddslag. Kunden bekräftar att Tjänsteleverantörens skyldigheter enligt detta DPA är begränsade till att tillhandahålla rimlig teknisk assistans och inte omfattar uppfyllandet av Kundens egna efterlevnadsskyldigheter som personuppgiftsansvarig.
Kunden ska hålla Tjänsteleverantören skadeslös från och mot alla förluster, anspråk, skador, skulder, böter, påföljder, kostnader och utgifter (inklusive rimliga juridiska avgifter) som uppstår på grund av eller i samband med: (a) Kundens underlåtenhet att uppfylla sina skyldigheter som personuppgiftsansvarig enligt tillämplig dataskyddslag; (b) Kundens brott mot garantierna i denna klausul 3; eller (c) eventuella behandlingsinstruktioner som lämnats av Kunden som bryter mot tillämplig dataskyddslag, förutsatt att Tjänsteleverantören har uppfyllt sin anmälningsskyldighet enligt klausul 2.3 avseende den relevanta instruktionen.
Behandlingsinstruktioner och sekretess
Tjänsteleverantören ska endast behandla personuppgifter enligt Kundens dokumenterade instruktioner, i enlighet med detta DPA, Huvudavtalet, Beställningsformulär och eventuella ytterligare skriftliga instruktioner.
Kundens konfiguration av Plattformen – inklusive funktionsaktivering, lagringsinställningar, användarbehörigheter, val av datalagring, aktivering av AI-funktioner och integrationsinställningar – utgör dokumenterade instruktioner i detta DPA. Tjänsteleverantören är inte skyldig att inhämta en separat skriftlig instruktion för varje behandlingsaktivitet som är en naturlig följd av Kundens användning av Plattformen i enlighet med dess konfiguration.
Tjänsteleverantören ska säkerställa att personal som är behörig att behandla personuppgifter är bunden av lämpliga sekretessskyldigheter och har fått utbildning i sina dataskyddsskyldigheter.
Åtkomst till personuppgifter ska begränsas till personal som behöver det för att utföra Tjänsterna, på basis av minsta möjliga privilegium.
Tjänsteleverantören får inte lämna ut personuppgifter till någon tredje part (inklusive brottsbekämpande myndigheter eller myndigheter) utan kundens föregående skriftliga samtycke, förutom där det krävs enligt lag. Om utlämnande är lagligt tvingande ska Tjänsteleverantören (i den utsträckning det är tillåtet) ge kunden förvarning och samarbeta med alla rimliga skyddsåtgärder.
Tjänsteleverantören ska utse en integritetsansvarig och en kontaktperson för dataskydd (vid behov) och ska meddela kunden deras kontaktuppgifter på begäran.
Individuella rättigheter
Tjänsteleverantören bekräftar att individer kan ha rättigheter enligt tillämplig dataskyddslag, inklusive rätt till: åtkomst; rättelse eller korrigering; radering eller borttagning; begränsning eller avanmälan från behandling; dataportabilitet; invändning; avanmälan från försäljning eller delning; begränsning av användningen av känsliga personuppgifter; och rätten att inte bli föremål för enbart automatiserade beslut med betydande effekter.
Tjänsteleverantören ska meddela Kunden inom 3 arbetsdagar efter att ha mottagit en begäran om rättigheter direkt från en Individ och ska inte svara direkt utan Kundens godkännande.
Tjänsteleverantören ska tillhandahålla den tekniska hjälp (sökning, export, radering och korrigering) som rimligen krävs för att Kunden ska kunna svara på en begäran om individuella rättigheter inom den tillämpliga lagstadgade tidsfristen. Målet för svar är 30 dagar från mottagandet av den verifierade begäran.
Tjänsteleverantören får inte diskriminera någon individ för att utöva sina rättigheter enligt tillämplig dataskyddslag.
Säkerhet
Tjänsteleverantören ska implementera och underhålla de TOM:er som anges i bilaga 2, utformade för att uppfylla kraven i tillämplig dataskyddslagstiftning (inklusive den rimliga säkerhetsstandarden enligt CCPA/CPRA, artikel 32 i den brittiska/EU-GDPR och PIPEDA-princip 7).
Tjänsteleverantören ska regelbundet testa, bedöma och utvärdera effektiviteten hos TOM:erna och uppdatera dem vid behov, med hänsyn till aktuell teknik, kostnader och Behandlingens art.
Tjänsteleverantören ska omedelbart underrätta Kunden om alla faktiska eller misstänkta sårbarheter som kan äventyra säkerheten för Personuppgifter och ska vidta omedelbara åtgärder.
Underbiträden
Kunden ger generellt tillstånd att anlita de underbiträden som anges i bilaga 3. Tjänsteleverantören upprätthåller en aktuell lista över godkända underbiträden på sin webbplats (”Listan över underbiträden”), tillsammans med information om den behandling som utförs av var och en.
Tjänsteleverantören kommer att publicera meddelanden om alla föreslagna nya utnämningar av underbiträden, eller alla väsentliga ändringar av en befintlig underbiträdes verksamhet, på sin webbplats innan utnämningen eller ändringen träder i kraft. Kunder som prenumererar på uppdateringar från underbiträden (genom att skicka e-post till [NY DPA-E-POSTADRESS]) kommer att få meddelande om varje sådant meddelande.
Om parterna inte kan lösa invändningen inom 30 dagar ska Tjänsteleverantören göra rimliga ansträngningar för att tillhandahålla en alternativ konfiguration av de berörda Tjänsterna som inte involverar den invändade Underbiträdet. Om ingen sådan alternativ konfiguration är rimligen tillgänglig och den invändade Underbiträdet är avgörande för Tjänsternas kärnfunktionalitet enligt beskrivningen i tillämplig beställningsformulär, kan Kunden säga upp det berörda beställningsformuläret utan påföljd med 30 dagars skriftligt varsel. För att undvika missförstånd ska ett Underbiträde endast anses vara avgörande för kärnfunktionaliteten om borttagning av Underbiträdet skulle göra de väsentliga funktioner som beskrivs i tillämplig beställningsformulär obrukbara.
Tjänsteleverantören ska, genom skriftligt avtal, ålägga varje Underbiträde dataskyddsskyldigheter motsvarande de i detta DPA, inklusive skyldigheter som uppfyller tillämplig dataskyddslag i varje jurisdiktion där Personuppgifter behandlas.
Tjänsteleverantören förblir fullt ansvarig gentemot Kunden för sina Underbiträdenas handlingar och underlåtenheter som om de vore Tjänsteleverantörens egna.
Internationella överföringar
Huvudförpliktelse. Parterna ska ha en lämplig överföringsmekanism i kraft avseende varje begränsad överföring innan överföringen sker. ”Överföringsmekanism” avser standardavtalsklausulerna, den brittiska IDTA, ett beslut om adekvat skyddsnivå eller någon annan mekanism som har effekten att tillåta överföringen i enlighet med tillämplig dataskyddslag.
EES-överföringar. Vid begränsad överföring inom EES där kundens personuppgifter överförs från kunden som personuppgiftsansvarig till tjänsteleverantören som personuppgiftsbiträde, ska parterna följa EU:s standardkontraktsklausuler (modul 2, personuppgiftsansvarig till personuppgiftsbiträde, kommissionens beslut 2021/914), vilka införlivas i detta dataskyddsavtal genom hänvisning och aktiveras automatiskt när en sådan överföring sker. Parternas val av valfria bestämmelser är: Klausul 7 (dockningsklausul) gäller; Klausul 9(a) alternativ 2 (allmänt skriftligt tillstånd) gäller med en 30-dagars uppsägningstid i enlighet med klausulen om underpersonuppgiftsbiträden i detta dataskyddsavtal; klausul 11(a) valfri gottgörelsemekanism gäller inte.
Överföringar inom Storbritannien. Vid begränsad överföring inom Storbritannien ska parterna följa den brittiska IDTA som införlivar EU:s standardkontraktsklausuler med det brittiska tillägget (utfärdat av ICO enligt avsnitt 119A i dataskyddslagen 2018), vilka införlivas i detta dataskyddsavtal genom hänvisning och aktiveras automatiskt vid en sådan överföring. Partsuppgifter och behandlingsbeskrivningar för den brittiska IDTA anges i huvudavtalet respektive bilaga 1 till detta dataskyddsavtal.
Kundvalda bearbetningsplatser. All bearbetning sker som standard inom den jurisdiktion som kunden valt i orderformuläret. Om kunden aktiverar en funktion eller väljer en modell som kräver bearbetning i en annan jurisdiktion, utgör kundens bekräftande val en dokumenterad instruktion att överföra och en bekräftelse på bearbetningsplatsen. Tjänsteleverantören ska identifiera bearbetningsjurisdiktionen för kunden vid tidpunkten för funktions- eller modellvalet. Tjänsteleverantören ska säkerställa att tillämplig överföringsmekanism är på plats innan någon sådan överföring sker.
Överföringar till underbiträden. Om Tjänsteleverantören anlitar ett underbiträde som kräver en gränsöverskridande överföring, ska Tjänsteleverantören säkerställa att tillämplig överföringsmekanism finns på plats mellan Tjänsteleverantören och det underbiträdet innan överföringen sker. För överföringar mellan biträden inom EES ska EU:s standardkontraktsklausuler (modul 3) tillämpas. För överföringar mellan biträden och biträden i Storbritannien ska den tillämpliga modulen i det brittiska tillägget tillämpas.
Kanada. Överföringar av personuppgifter som omfattas av PIPEDA eller Quebec Law 25 ska omfattas av avtalsenligt skydd som säkerställer en skyddsstandard som är jämförbar med den som krävs enligt kanadensisk lag, i enlighet med avsnitt 10.3 i PIPEDA. Ingen gränsöverskridande överföringsmekanism krävs om Kanada är både ursprungs- och destinationsjurisdiktion.
Förenta staterna. Ingen gränsöverskridande överföringsmekanism krävs för behandling som har sitt ursprung i och stannar kvar i Förenta staterna. CCPA-tjänsteleverantörsbeteckningen i klausul 2 gäller all inhemsk behandling i USA.
Automatisk uppdatering. Om en överföringsmekanism uppdateras, ändras eller ersätts av en behörig myndighet, ska den uppdaterade mekanismen automatiskt ersätta den tidigare mekanismen enligt detta dataskyddsavtal från och med det datum då tjänsteleverantören utfärdar meddelande till kunden, och ska vara bindande för parterna från och med det datum som anges i det meddelandet. Tjänsteleverantören ska utfärda ett sådant meddelande utan onödigt dröjsmål efter publicering av den uppdaterade mekanismen.
Behandlingsuppgifter för standardkontraktsklausulers ändamål. Den information som krävs enligt bilaga I till EU:s standardkontraktsklausuler (lista över parter och beskrivning av överföringen) anges enligt följande: uppgifter om dataexportören anges i huvudavtalet och beställningsformuläret; uppgifter om datAImportören anges i dokumentrubriken i detta dataskyddsavtal; beskrivningen av behandlingsaktiviteter och kategorier av personuppgifter anges i bilaga 1 till detta dataskyddsavtal. Tekniska och organisatoriska åtgärder för tillämpning av bilaga II till EU:s standardkontraktsklausuler anges i bilaga 2 till detta dataskyddsavtal.
Säkerhetsincidenter och intrångsmeddelanden
Tjänsteleverantören ska underrätta Kunden utan onödigt dröjsmål, och under alla omständigheter inom 24 timmar efter att ha blivit medveten om ett bekräftat eller rimligen misstänkt personuppgiftsintrång. Anmälan ska göras till Kundens utsedda kontaktperson och ska innehålla all information som då är tillgänglig och som Kunden behöver för att uppfylla sina egna anmälningsskyldigheter enligt tillämplig dataskyddslag.
Tjänsteleverantören ska inom 30 dagar efter inneslutning förse kunden med en skriftlig incidentrapport, som omfattar: grundorsak; datakategorier och uppskattade berörda volymer; vidtagna och planerade åtgärder; och eventuella ändringar av TOM:erna.
Tjänsteleverantören ska föra en logg över alla säkerhetsincidenter (inklusive de som understiger rapporteringsgränser) och göra den tillgänglig för Kunden på begäran.
Anmälan om ett intrång utgör inte ett medgivande av fel eller ansvar från någon av parterna.
Konsekvensbedömningar för integritetsskydd
Tjänsteleverantören ska ge Kunden rimligt bistånd för att utföra alla konsekvensbedömningar avseende integritet eller dataskydd som krävs enligt tillämplig dataskyddslag, inklusive beskrivningar av behandlingsaktiviteter, totalsummor (TOM), uppgifter om underbiträden och annan relevant information.
Om Tjänsteleverantören introducerar ett nytt system, en ny teknik eller en ny tjänst som involverar behandling av personuppgifter, ska Tjänsteleverantören genomföra sin egen konsekvensbedömning för integritetsskydd och tillhandahålla en sammanfattning till Kunden på begäran.
Tjänsteleverantören ska bistå Kunden med eventuella föregående samråd med en tillsynsmyndighet eller dataskyddsmyndighet.
Revisionsrättigheter
Tjänsteleverantören ska tillhandahålla all information som rimligen är nödvändig för att visa efterlevnad av detta dataskyddsavtal och tillämplig dataskyddslag.
Högst en gång per kalenderår (om det inte finns rimliga skäl att misstänka ett väsentligt intrång), och med 30 dagars skriftligt meddelande, får Kunden: (a) kräva att Tjänsteleverantören fyller i ett skriftligt frågeformulär om efterlevnad; eller (b) på Kundens bekostnad, genomföra eller beställa en oberoende granskning av Tjänsteleverantörens behandlingsaktiviteter och TOM:er.
Tjänsteleverantören kan uppfylla sin revisionsskyldighet genom att tillhandahålla aktuella revisionsrapporter från tredje part (SOC 2 Typ II, ISO 27001-certifikat eller motsvarande) där sådana rapporter är tillräckliga för att visa att den relevanta skyldigheten uppfylls.
Juridisk yrkessekretess
Tjänsteleverantören bekräftar att kunddata kan innehålla information som omfattas av advokatsekretess, advokatsekretess eller advokatsekretess (gemensamt kallat ”Privilegierat material”).
I samband med Privilegierat Material ska Tjänsteleverantören: (a) inte få åtkomst till, använda, avslöja eller behandla det förutom i den utsträckning det är absolut nödvändigt för att tillhandahålla Tjänsterna; (b) upprätthålla åtkomstkontroller och åtkomstloggar; (c) inte avslöja det för någon tredje part utan Kundens föregående skriftliga samtycke; och (d) omedelbart meddela Kunden vid eventuellt faktiskt eller hotande påtvingat avslöjande.
Tjänsteleverantören ska stödja Kundens efterlevnad av regler för yrkesmässigt uppförande och lagstadgade krav som gäller för Kunden i dess verksamhetsjurisdiktioner.
Skyldigheterna i denna klausul 12 fortsätter att gälla efter att Huvudavtalet upphört så länge Privilegierat Material finns i Tjänsteleverantörens besittning eller kontroll, och i minst 7 år efter uppsägningen.
AI och automatiserad bearbetning
Tjänsteleverantören får inte använda kunddata för att träna, finjustera eller förbättra någon AI- eller maskininlärningsmodell utan kundens föregående skriftliga medgivande. För att undvika missförstånd gäller detta förbud inte anonymiserade data som inte rimligen kan användas för att identifiera någon individ. Detta förbud gäller lika mycket för feedback (enligt definitionen i huvudavtalet) som för tjänsteleverantörsdata som genereras från kundens användning av plattformen.
Tjänsteleverantören får använda aggregerade, helt anonymiserade och icke-reversibla användningsdata (inklusive systemprestandamått, funktionsanvändningsmönster och felloggar som inte innehåller några personuppgifter och från vilka ingen kund eller individ kan identifieras) för att förbättra tjänsternas prestanda, tillförlitlighet och funktionalitet. Sådan användning utgör inte behandling av personuppgifter eller kunddata, utgör inte utbildning av någon AI- eller maskininlärningsmodell på kunddata och omfattas inte av begränsningarna i klausul 13.1. Kunden kan när som helst begära skriftlig bekräftelse på att dess kunddata och personuppgifter inte har använts för modellutbildning.
Tjänsteleverantören ska, på begäran och minst en gång per år, lämna ut identiteten och versionen av alla AI-modeller som behandlar personuppgifter, bekräfta om kunduppgifter har använts för utbildning och tillhandahålla information om allt automatiserat beslutsfattande med betydande effekter på individer.
Tjänsteleverantören ska föra ett AI-register och göra det tillgängligt för Kunden på begäran.
Retur och radering
Vid uppsägning eller utgång av Huvudavtalet ska Tjänsteleverantören:
(a) i 30 dagar efter uppsägning eller utgång, göra kunddata tillgängliga för export i branschstandardformat (CSV, JSON, Excel) utan extra kostnad, i enlighet med de exportmekanismer som anges i huvudavtalet;
(b) efter utgången av 30-dagars exportfönstret, på ett säkert sätt radera all kunddata, inklusive alla kopior som innehas av underbiträden och alla tillämpliga säkerhetskopior, genom att skriva över eller på annat sätt göra informationen permanent oåtkomlig, såvida inte: (i) annat skriftligen avtalats med Kunden; (ii) lagring krävs för att lösa aktiva rättsliga tvister eller regulatoriska förfaranden; eller (iii) tillämplig lag kräver ytterligare lagring - i vilket fall Tjänsteleverantören ska: (A) skriftligen meddela Kunden i förväg om sin avsikt att behålla sådana data och den rättsliga grunden för att göra det; (B) endast behålla de data som krävs under den minimiperiod som krävs enligt lag; och (C) tillämpa samma skyddsåtgärder för behållna data som gäller under Giltighetsperioden;
(c) proaktivt förse kunden med skriftlig bekräftelse på radering, inklusive bekräftelse på att underbiträdeskopior och säkerhetskopior har raderats, inom 30 dagar efter att detta slutförts, och dessutom på kundens skriftliga begäran när som helst;
d) på Kundens skriftliga begäran tillhandahålla rimliga bevis för den metod som tillämpats för borttagning.
Tjänsteleverantören ska behandla verifierbara individuella begäranden om radering inom den tidsfrist som krävs enligt tillämplig dataskyddslag, med tillämpning av den mest stränga tillämpliga standarden och under inga omständigheter överstigande 45 dagar.
Skyldigheterna i denna klausul 14 fortsätter att gälla efter att Huvudavtalet upphört att gälla tills avtalet har slutförts och radering har bekräftats.
Löptid och uppsägning
Detta DPA träder i kraft den dag då Huvudavtalet träder i kraft och löper samtidigt som Huvudavtalet.
Följande skyldigheter fortsätter att gälla efter uppsägning: Klausul 4 (Sekretess) – 5 år; Klausul 9 (Anmälan om intrång) – 7 år; Klausul 12 (Privilegium) – så länge Privilegierat Material finns i Tjänsteleverantörens besittning eller kontroll, och i minst 7 år efter uppsägning; Klausul 14 (Radering) – tills slutförande och certifiering är möjlig.
Endera parten får säga upp detta DPA på grund av den andra partens väsentliga brott mot Avtalet med 30 dagars skriftligt varsel, och om brottet inte avhjälps inom den perioden, kan det avhjälpas.
Allmän
Ansvarsbegränsning. (a) Tjänsteleverantörens sammanlagda ansvar enligt eller i samband med detta DPA (inklusive för personuppgiftsintrång) ska inte överstiga det ansvarstak som anges i Huvudavtalet. (b) Detta tak gäller oavsett om kravet väcks enligt avtal, skadeståndsgrundande handlingar (inklusive oaktsamhet), enligt lag eller på annat sätt, och inkluderar (inte utöver) allt ansvar som uppstår enligt Huvudavtalet. (c) Om en tillsynsmyndighet, enskild person eller annan tredje part väcker ett krav mot endera parten i samband med Behandling av Personuppgifter enligt detta DPA, ska parterna samarbeta i god tro och varje part ska bära ansvar som kan hänföras till sina egna handlingar eller underlåtenheter. Ingenting i denna klausul 16.1 utesluter eller begränsar ansvar som inte kan uteslutas eller begränsas enligt tillämplig dataskyddslag.
Tjänsteleverantören ska upprätthålla cyberansvars- och dataskyddsförsäkring till kommersiellt rimliga belopp under hela Huvudavtalets löptid och ska på skriftlig begäran tillhandahålla Kunden bevis på sådan täckning.
Tillämplig lag och jurisdiktion. Detta dataskyddsavtal regleras av samma lag som huvudavtalet. I händelse av att huvudavtalet inte specificerar någon tillämplig lag, ska detta dataskyddsavtal regleras av lagarna i delstaten New York, utan hänsyn till dess bestämmelser om lagval. Parterna underkastar sig den icke-exklusiva jurisdiktionen för domstolarna i delstaten New York. Ingenting i denna klausul påverkar någon av parternas rättigheter eller skyldigheter enligt tillämplig dataskyddslag i någon annan jurisdiktion.
Detta personuppgiftsavtal, tillsammans med dess bilagor, utgör hela avtalet mellan parterna avseende behandling av personuppgifter enligt huvudavtalet och ersätter alla tidigare avtal om samma ämne.
Alla meddelanden enligt detta dataskyddsavtal ska vara skriftliga och skickas till de kontaktuppgifter som anges i Huvudavtalet eller, för dataskyddsfrågor, till support@Perspectis.AI.
Standardvillkor och ändringar. (a) Detta DPA är Tjänsteleverantörens standardvillkor för databehandling, publicerade på dess webbplats och införlivade genom hänvisning i Huvudavtalet. (b) Tjänsteleverantören kan uppdatera detta DPA från tid till annan genom att publicera en reviderad version på sin webbplats, med minst 30 dagars meddelande till Kunden via e-post eller meddelande i produkten. (c) Den reviderade versionen träder i kraft vid utgången av uppsägningsperioden om inte Kunden skriftligen meddelar Tjänsteleverantören om en väsentlig invändning inom den perioden. (d) Om Kunden invänder och parterna inte kan lösa invändningen inom ytterligare 14 dagar, kan endera parten säga upp de berörda Tjänsterna med rimlig uppsägningstid utan påföljd. (e) Tjänsteleverantören kan göra ändringar utan föregående meddelande där det krävs enligt ändringar i tillämplig dataskyddslag, tillsynsmyndigheters riktlinjer eller domstolsbeslut, förutsatt att sådana ändringar inte väsentligt minskar Kundens skydd enligt detta DPA. (f) Kundspecifika ändringar av detta DPA är endast bindande om de undertecknas skriftligen av en styrelseledamot eller behörig firmatecknare hos Tjänsteleverantören och uttryckligen anges att de ersätter relevant bestämmelse i detta DPA.
Standardbeskrivning för behandling. (a) Standardbeskrivningen för behandling i bilaga 1 återspeglar Tjänsteleverantörens standardplattformsbehandlingsaktiviteter som utförs vid tillhandahållandet av Tjänsterna. (b) Om Kundens specifika behandlingsaktiviteter skiljer sig väsentligt från den beskrivningen ska parterna registrera skillnaderna i orderformuläret eller ett skriftligt tillägg till detta dataskyddsavtal. (c) Kunden ansvarar för att föra sina egna register över behandlingsaktiviteter (inklusive register som krävs enligt artikel 30 i EU:s GDPR och motsvarande krav enligt annan tillämplig dataskyddslag) i sin egenskap av personuppgiftsansvarig.
BILAGA 1
Beskrivning av bearbetningsaktiviteter
Denna standardbeskrivning för behandling återspeglar de behandlingsaktiviteter som utförs av tjänsteleverantören vid tillhandahållandet av tjänsterna. Kundspecifika variationer, där så är tillämpligt, registreras i relevant beställningsformulär.
A. Ämne
Tillhandahållande av SaaS-baserade juridiska tekniktjänster inklusive autonom tidsspårning, ärendehantering, AI-assisterad dokumentgranskning, LEDES-kompatibel fakturering och relaterade tjänster, enligt beskrivningen i Huvudavtalet och tillämpliga beställningsformulär.
B. Varaktighet
Under huvudavtalets löptid och eventuella tillämpliga orderformulär eller arbetsbeskrivningar, plus eventuell lagstadgad lagringsperiod.
C. Natur och syfte
Hosting, lagring och behandling av kunddata för att tillhandahålla tjänsterna; åtkomstkontroll och identitetshantering; analys och rapportering för kundens interna bruk; teknisk support (endast på kundens begäran); valfri AI/LLM-behandling om detta aktiverats av kunden; samt säkerhetsövervakning och incidenthantering.
D. Kategorier av individer
Kundens personal (jurister, biträdande jurister, administrativ personal); Kundens klienter och motparter (i den utsträckning de ingår i Kunddata); slutanvändare av Tjänsterna; och andra individer vars personuppgifter lämnas till Plattformen.
E. Kategorier av personuppgifter
Kontakt- och identifieringsuppgifter (namn, e-postadresser, telefonnummer, jobbtitlar); användnings- och åtkomstdata (inloggningstider, funktionsanvändning, sessionsloggar); tidsregistrerings- och ärendedata (inklusive narrativa beskrivningar av juridiskt arbete); dokumentmetadata (och, där AI-funktioner är aktiverade, dokumentinnehåll); fakturerings- och fakturadata; och andra personuppgifter som kunden då och då skickar till plattformen.
F. Känsliga/särskilda kategorier
Tjänsteleverantören behandlar inte avsiktligt känsliga personuppgifter. I den utsträckning kunduppgifterna av en slump innehåller sådana uppgifter gäller bestämmelserna i punkt 3.3.
BILAGA 2
Tekniska och organisatoriska åtgärder
Dessa åtgärder är utformade för att uppfylla säkerhetskraven i tillämplig dataskyddslagstiftning, inklusive rimlig säkerhetsstandard (CCPA/CPRA), artikel 32 (UK/EU GDPR) och skyddsåtgärdsprincipen (PIPEDA). De är i linje med CIS Controls och NIST SP 800-53.
Kontrolldomän
Genomförda åtgärder
Åtkomstkontroll
Rollbaserad åtkomstkontroll (RBAC); principen om minsta behörighet; MFA tillämpas för alla privilegierade konton; regelbundna åtkomstgranskningar; unika användar-ID:n; inga delade inloggningsuppgifter; PAM-verktyg.
Kryptering — I vila
AES-256 för all lagrad kunddata; krypterade säkerhetskopior; AWS S3 SSE; krypteringsnycklar via AWS KMS med årlig rotation.
Kryptering — Under överföring
TLS 1.2 minimum (TLS 1.3 rekommenderas); HTTPS tillämpas; AWS Certificate Manager; HSTS aktiverat.
Nätverkssäkerhet
Brandvägg och WAF; nätverkssegmentering; VPC-isolering; IDS/IPS; DDoS-reducering; regelbundna portskanningar och sårbarhetsbedömningar.
Sårbarhets- och patchhantering
Automatiserad sårbarhetsskanning; kritiska/höga patchar inom 30 dagar; årliga penetrationstester av tredje part; resultat spåras till åtgärd.
Incidentdetektering och respons
SIEM-övervakning och varningar dygnet runt; dokumenterad incidenthanteringsplan; utsedd responsgrupp; skrivbordsövningar; kundmeddelanden inom 72 timmar efter bekräftat intrång.
Verksamhetskontinuitet och säkerhetskopiering
Dagliga automatiserade säkerhetskopior; 30 dagars lagring; georedundant lagring; RTO < 4 timmar, RPO < 24 timmar för Tier 1-tjänster; årlig kontinuitetstestning.
Fysisk säkerhet
Produktionsinfrastruktur i AWS-datacenter med ISO 27001- och SOC 2 Type II-certifierade fysiska kontroller (dygnet runt-vakter, CCTV, biometrisk åtkomst, miljökontroller).
Personalsäkerhet
Bakgrundskontroller före anställning; sekretessavtal; obligatorisk årlig utbildning i dataskydd; åtkomst återkallas inom 24 timmar efter avgång.
Leverantörshantering
Due diligence före anlitande; avtalsenliga dataskyddsskyldigheter som överförs till alla underleverantörer; årlig granskning av säkerhetsstatus.
Sekretessprogram
Utsedd integritetsansvarig; program för integritetshantering; integritet som standard implementerad i plattformen.
Certifieringar
Tjänsteleverantören implementerar för närvarande ett program för informationssäkerhetshantering i linje med ISO/IEC 27001-principerna. Tjänsteleverantören avser att erhålla SOC 2 Type II-certifiering och kommer att meddela kunden när certifieringen är uppnådd. Aktuella säkerhetsbedömningsrapporter från tredje part finns tillgängliga på skriftlig begäran med förbehåll för sekretessskyldighet.
Dataminimering och datalagring
Insamling begränsad till vad som är nödvändigt; automatisk radering inom 30 dagar efter exportfönstret; konfigurerbara lagringsinställningar i plattformen.
BILAGA 3
Godkända underbiträden
Följande underbiträden är godkända per den dag då huvudavtalet träder i kraft och publiceras i listan över underbiträden på tjänsteleverantörens webbplats. Tjänsteleverantören ska säkerställa att var och en är bunden av dataskyddsskyldigheter motsvarande detta dataskyddsavtal. Kunder kan prenumerera på uppdateringar från underbiträden genom att skicka e-post till dataprivacy@Perspectis.AI.
Underbiträde
Tjänst / Syfte
Bearbetningsplats(er)
Skydda
Amazon Web Services (AWS)
Primär molnhosting, lagring, beräkning, databas
Kanada (ca-central-1) — standard; Storbritannien (eu-west-2); USA (us-east-1) om aktiverat
AWS DPA; ISO 27001, SOC 2 Typ II; SCC:er / UK IDTA / PIPEDA-överföringsavtal i tillämpliga fall
OpenAI, LLC
AI/LLM-bearbetning (valfritt — av som standard)
Förenta staterna
Ingen modellutbildning om kunddata; standardkontraktsklausuler/brittiskt IDTA/PIPEDA-avtal i tillämpliga fall
Microsoft Azure (Azure OpenAI)
Företags-AI / LLM — möjlighet till residensvistelse
Kanada, Storbritannien eller EU (konfigurerbart)
Microsoft DPA; ISO 27001 / SOC 2; bosättningsstatus kan väljas i beställningsformuläret
Microsoft Azure (Taltjänster)
Röst-/taltranskription (valfritt)
Konfigurerbar (Kanada / Storbritannien / USA föredras)
Microsoft DPA; aktiveras endast om kunden aktiverar funktionen
Confido Legal (om aktiverat)
Betalningshantering för faktureringsintegrationer
Kanada / USA
PCI-DSS-kompatibel; används endast om betalningsintegration är aktiverad

