PhotoRobot
Trust Center
Laglig
PhotoRobot Data Processing Agreement (DPA)
PhotoRobot användarvillkor
PhotoRobot-licensavtal
PhotoRobot Sekretessdokument - Översikt
PhotoRobot integritetspolicy
PhotoRobot GDPR integritetspolicy (artikel 13)
PhotoRobot Data Processing Agreement (DPA)
PhotoRobot acceptabel användningspolicy (AUP)
PhotoRobot Service Level Agreements (SLA)
Service Level Agreement (SLA) för PhotoRobot-programvara
Service Level Agreement (SLA) för PhotoRobot-hårdvara
PhotoRobot kundsupportvillkor
PhotoRobot-cookiepolicy
PhotoRobot marknadsföringssamtyckespolicy
PhotoRobot Subprocessorlista
PhotoRobot juridiska definitioner och ordlista
Senast redigerad: 29 dec 2025

PhotoRobot Data Processing Agreement (DPA)

Detta dokument utgör PhotoRobot Data Processing Agreement: Version 1.0 — PhotoRobot Edition, uni-Robot Ltd., Tjeckien.

1. Partier

Detta databehandlingsavtal ("DPA") ingås mellan:

Controller (kund)
Den individ eller juridiska person som har ingått PhotoRobot användarvillkor och använder tjänsten.

och

Processor:
uni-Robot Ltd.
Vodičkova 710/31
110 00 Prag 1
Tjeckien
Företags-ID: 01478061
MOMS-ID: CZ01478061
E-post: legal@photorobot.com

Hädanefter kollektivt kallade "Parterna".

Denna DPA kompletterar PhotoRobot:s användarvillkor och gäller när PhotoRobot behandlar personuppgifter för kundens räkning.

2. Ämne och bearbetningens natur

PhotoRobot ("Processor") tillhandahåller molnbaserade tjänster, lokala programvarutillägg, firmwarehantering och värdinfrastruktur som krävs för att bearbeta bilder, metadata och relaterat digitalt innehåll som laddas upp av kunden ("Controller").

Bearbetningen inkluderar:

  • Samling
  • Förvaring
  • Överföring
  • Metadatautvinning
  • synkronisering mellan CL ↔ Cloud
  • Värd för kunduppladdat innehåll
  • Skapande av loggar och diagnostik
  • Reservoperationer

Behandlingen utförs strikt på uppdrag av Controllern, enligt deras dokumenterade instruktioner.

3. Varaktighet

Detta DPA gäller under hela avtalsförhållandet mellan parterna, och därefter så länge behandlaren lagrar eller behandlar personuppgifter för den ansvariges räkning.

4. Personuppgifter och kategorier av registrerade personer

4.1. Typer av personuppgifter

Beroende på hur tjänsten används kan bearbetad data inkludera:

  • Identifieringsuppgifter (namn, efternamn, företag)
  • Kontaktuppgifter (e-post, telefon)
  • Visuellt innehåll (bilder, videor)
  • metadata kopplad till uppladdat innehåll
  • loggdata, IP-adresser, tekniska identifierare
  • Projektnivådata
  • Inloggningsuppgifter (hashade), åtkomsttokens

Behandlaren kräver inte eller behandlar avsiktligt särskilda datakategorier (art. 9 GDPR).

4.2. Kategorier av datasubjekt

  • Kundens anställda
  • Kundens klienter eller partners
  • Auktoriserade användare
  • Alla individer som presenteras i visuellt innehåll uppladdat av kund

Kunden är ensam ansvarig för att säkerställa laglig insamling av data från de insamlade personerna.

5. Instruktioner från kontrollanten

Behandlaren behandlar endast personuppgifter:

  1. enligt kontrollantens dokumenterade instruktioner,
  2. som krävs för att tillhandahålla tjänsten,
  3. för att säkerställa säkerhet, integritet och tillgänglighet för systemen,
  4. enligt EU- eller tjeckisk lag.

Om Processorn anser att en instruktion är olaglig måste Processorn meddela Controller.

6. Sekretess

Behandlaren säkerställer att alla personer som är behöriga att behandla personuppgifter:

  • omfattas av sekretessskyldigheter,
  • har fått lämplig utbildning,
  • bearbeta data enbart enligt instruktioner från Controllern.

7. Subprocessorer

Processorn använder vissa tredje parter ("Subprocessorer") för att stödja tjänsten.

7.1. Godkända underprocessorer

Controllern ger allmän auktorisation för Processorn att engagera följande kategorier av Subprocessorer:

  • Leverantörer av molninfrastruktur (t.ex. Google Cloud Platform)
  • E-postleveransleverantörer
  • Analysleverantörer
  • Biljettsystem
  • Säkerhetsövervakningstjänster
  • Backup- och katastrofåterställningssystem

En komplett lista underhålls i PhotoRobot Sub-Processor List och kan uppdateras.

7.2. Meddelande om ändringar

Processorn ska meddela Controller om eventuella avsedda ändringar i underprocessorer minst 15 dagar i förväg, vilket gör att Controller kan invända på rimliga grunder.

8. Internationella dataöverföringar

Där subprocessorer eller infrastruktur är belägna utanför EEA säkerställer processorn:

  • tillämpning av standardavtalsklausuler (SCC 2021),
  • kompletterande tekniska och organisatoriska skyddsåtgärder,
  • minimerad åtkomst och kryptering,
  • Efterlevnadsrevisioner av den underliggande leverantören.

Google Cloud Platform erbjuder:

  • ISO 27001, ISO 27017, ISO 27018
  • SOC 1/2/3-rapporter
  • GDPR-efterlevnadsdokumentation

Detaljer finns tillgängliga på https://cloud.google.com/security.

9. Säkerhetsåtgärder

Processorn ska implementera branschstandardiserade tekniska och organisatoriska åtgärder (TOM), inklusive:

9.1. Tekniska åtgärder

  • TLS-kryptering av data under överföring
  • Säker lagring med krypterade åtkomsttokens
  • Isolerade bearbetningsmiljöer
  • lösenordshashning
  • Hastighetsgränser och intrångsdetekteringssystem
  • Flerskikts brandvägg
  • fysisk datacentersäkerhet (via Google Cloud)

9.2. Organisatoriska mått

  • Rollbaserad åtkomstkontroll
  • Åtkomstloggning och övervakning
  • Interna policys för datahantering
  • Sekretessskyldigheter för anställda
  • Periodisk säkerhetsutbildning
  • Leverantörsriskhantering

En fullständig lista över TOMs finns tillgänglig på begäran.

10. Rättigheter för de registrerade

Processor hjälper Controller att svara på:

  • Begäran om åtkomst
  • Rektifiering
  • Borttagning
  • Begränsning
  • Dataportabilitet
  • Invändningar

Processören ska vidarebefordra alla direkta begär från en dataperson till Controllern utan onödigt dröjsmål.

11. Anmälan om dataintrång

Vid personintrång ska behandlaren meddela Konsumenten:

  • utan onödigt dröjsmål,
  • inklusive all information som krävs enligt artikel 33 GDPR,
  • och ge löpande uppdateringar tills åtgärden är klar.

Kontrollanten är fortsatt ansvarig för att underrätta myndigheter och berörda individer.

12. Radering eller återlämnande av data

Vid uppsägning av avtalet:

  • Processorn raderar kunddata efter 30 dagar,
  • om inget annat anges av Controller,
  • utom när lag kräver behållande av pengar.

Säkerhetskopior skrivs över under sin normala livscykel.

13. Revisioner

Kontrollanten har rätt att:

  • få dokumentation som bevisar GDPR-efterlevnad
  • begär en rapport om TOMs
  • Utför rimliga revisioner, begränsat till en gång per år
  • Bygger på tredjepartscertifieringar (ISO/SOC-rapporter från Google Cloud)

Revisioner får inte äventyra säkerheten eller störa verksamheten.

14. Ansvar

Parternas ansvar följer användarvillkoren.
Behandlaren är endast ansvarig för överträdelser orsakade av egen överträdelse av GDPR-skyldigheter.

15. Reglerande lag och jurisdiktion

Detta DPA styrs av Tjeckiens lagar.

Tvister ska avgöras av domstolarna i Prag, Tjeckien.

16. Standardavtalsklausuler (SCC)

Där det krävs gäller SCC 2021 (Modul 2: Controller → Processor) som bilaga till denna DPA.

PhotoRobot:

  • inkorporerar SCC genom referens,
  • inkluderar alla obligatoriska klausuler,
  • Implementerar kompletterande tekniska åtgärder
  • säkerställer efterlevnad av överföringar till underprocessorer utanför EES.

SCC kan tillhandahållas i sin helhet på begäran.

17. Kontakt

uni-Robot Ltd.
Vodičkova 710/31
110 00 Prag 1
Tjeckien

E-post: legal@photorobot.com