Dette Databehandlingstillegget (“DPA”) gjelder fra og med det siste tidspunkt av 27. september 2021, eller ikrafttredelsesdato (“ikrafttredelsesdato”) som du som kommersiell kunde (“du” eller “kunden”) anskaffer tjenester (som definert nedenfor) fra Clipchamp Pty Ltd (ACN 162516556), et datterselskap av Microsoft Corporation (Clipchamp,”“vi,”“oss,”“vår,”eller“tjenesteleverandør”), og utgjør del av noen eller alle avtalene (inkludert, uten begrensning, vilkårene (som definert nedenfor)), innkjøpsordre, arbeidsbeskrivelser og andre kontraktsdokumenter mellom partene (individuelt og samlet kalt “avtalen”). Denne DPA fullbyrdes av Clipchamp og/eller hvilke som helst tilknyttede selskaper (som definert nedenfor) som leverer tjenester til kunden og/eller noen tilknyttede selskaper (som definert nedenfor) som anskaffer tjenester fra Clipchamp i henhold til en avtale. Denne DPA gjelder i den utstrekning tjenesteleverandøren mottar, lagrer eller behandler personopplysninger på vegne av kunden i forbindelse med noen tjenester. Clipchamp og kunden er hver for seg en “part” og samlet “partene” i denne DPA. Avtalen inkorporerer uttrykkelig denne DPA. I tilfelle motstrid mellom denne DPA og Avtalen, skal Avtalen ha forrang så langt motstriden gjelder (unntatt i den begrensede utstrekning gjeldende lov krever DPAs vilkår, og i så fall skal de aktuelle vilkårene i denne DPA ha forrang så langt motstriden gjelder). Alle begreper med store forbokstaver som ikke er definert i denne DPA, skal ha betydningen som er fastsatt i Avtalen.

1. DEFINISJONER..

Følgende begreper har den betydning som er fastsatt nedenfor kun med henblikk på DPA, og gjelder ikke for Clipchamps vilkår og betingelser (“Vilkår”). Andre begreper vil kunne defineres i denne DPA.

1.1 “Tilknyttede selskaper” betyr enheter som eier, er eid av eller er under felles eierskap med en av partene.

1.2 “Forretningsoperasjoner” består av følgende, hver av dem forbundet med levering av Tjenestene til Kunden: (1) fakturering og kontoadministrering; (2) kompensasjon (f.eks. beregning av ansattes provisjoner og partnerinsentiver); (3) intern rapportering og forretningsmodellering (f.eks. prognoser, inntekter, planleggingskapasitet, produktstrategi); (4) bekjempelse av bedrageri, nettkriminalitet eller nettangrep som kan påvirke Clipchamps Tjenester eller produktene eller tjenestene til deres Tilknyttede selskaper; (5) forbedring av kjernefunksjonaliteten med hensyn til tilgjengelighet, personvern eller energieffektivitet; og (6) økonomisk rapportering og overholdelse av juridiske forpliktelser (underlagt begrensningene med hensyn til fremlegging av Behandlede data skissert i avsnitt 2.9 nedenfor).

1.3 “Behandlingsansvarlig” betyr den enheten som avgjør formålene og metodene for Behandling av Personopplysninger.

1.4 “Personvernlov” betyr alle personvernlover som gjelder for Behandling av Personopplysninger etter Avtalen, inkludert EUs personvernlov og Australias personvernlov av 1988 (Cth).

1.5 “Den registrerte” betyr den enkeltperson Personopplysningene gjelder.

1.6 “EUs personvernlov” betyr (i) før 25. mai 2018, direktiv 95/46/EF fra Europaparlamentet og Rådet om vern av enkeltpersoner med hensyn til behandling av personopplysninger og om den frie bevegelse for slike data (“Direktivet”); (ii) fra og med 25. mai 2018, forordning 2016/679 fra Europaparlamentet og Rådet om vern av fysiske personer med hensyn til behandlingen av personopplysninger og om den frie bevegelse for slike data (Personvernforordningen) (“GDPR”); og (iii) Direktivet og GDPR som overført til den interne lovgivning i hver medlemsstat.

1.7 “Standard kontraktsklausuler” betyr de gjeldende standard kontraktsklausuler for Behandlere som godkjent av Europakommisjonen som er inkorporert i denne DPA.

1.8 “Personopplysninger” betyr alle opplysninger som knytter seg til en identifisert eller identifiserbar fysisk person som er sendt inn til Tjenesteleverandøren av Kunden som del av Tjenestene.

1.9 “Personopplysningsbrudd” betyr et brud på sikkerheten for Tjenestene som fører til hendelig eller ulovlig destruksjon, tap, endring, uautorisert offentliggjøring av, eller tilgang til Personopplysninger.

1.10 “Prosess” eller “Behandling” betyr alle operasjoner eller sett med operasjoner som utføres med Personopplysninger, med eller uten automatiske metoder, så som innhenting, registrering, organisering, lagring, tilpasning eller endring, henting, konsultasjoner, bruk, fremlegging gjennom overføring, spredning eller på andre måter gjøre tilgjengelig, tilpasning eller kombinering, blokkering, sletting eller destruksjon.

1.11 “Behandlede data” betyr: (a) Kundedata; (b) Data fra faglige tjenester; (c) Personopplysninger; og (d) alle andre data som behandles av Clipchamp i forbindelse med Tjenestene som er Kundens konfidensielle opplysninger etter Avtalen.

1.12 “Behandler” betyr en enhet som behandler Personopplysninger på vegne av den Behandlingsansvarlige.

1.13 “Faglige tjenester” betyr følgende tjenester: (a) Clipchamps rådgivningstjenester, som består av planlegging, råd, veiledning, dataoverføring, distribusjons- og løsningstjenester, programvareutviklingstjenester levert under en Clipchamp-serviceordre som inkorporerer denne DPA gjennom henvisning; og (b) tekniske støttetjenester levert av Clipchamp som hjelper kundene med å identifisere og løse problemer som påvirker Tjenestene, inkludert teknisk støtte levert som del av Clipchamps støttetjenester og eventuelle andre tekniske støttetjenester.

1.14 “Data fra faglige tjenester” betyr alle data, inkludert alt av tekst, lyd, video, bildefiler eller programvare, som er levert til Clipchamp, av eller på vegne av en Kunde (eller som Kunden gir Clipchamp fullmakt til å innhente fra Tjenestene) eller som på andre måter er innhentet eller behandlet av eller på vegne av Clipchamp gjennom et engasjement med Clipchamp for å innhente Faglige tjenester.

1.15 “Tjenester” betyr, enkeltvis og samlet, alle produkter, tjenester eller dokumentasjon som leveres av Tjenesteleverandøren til Kunden etter Avtalen.

1.16 “Underbehandler” betyr enhver Behandler som brukes eller engasjeres av Tjenesteleverandøren eller noe medlem av dennes selskapskonsern som behandler Kundedata, Data fra faglige tjenester og/eller Personopplysninger i henhold til Avtalen som beskrevet i artikkel 28 i GDPR. En Underbehandler kan inkludere tredjeparter eller medlemmer av Tjenesteleverandørens selskapskonsern (dvs. Tjenesteleverandørens tilknyttede selskaper).

1.17 “Å levere tjenester” består av en eller flere av følgende ting: (a) Levering av funksjonelle kapasiteter som lisensiert, konfigurert og brukt av Kunden og dennes brukere, inkludert levering av personlig tilpassede brukeropplevelser; (b) Feilsøking (forebygging, oppsporing og reparering av problemer); og (c) Kontinuerlig forbedring (installering av nyeste oppdateringer og utførelse av forbedringer i brukerproduktivitet, pålitelighet, effektivitet, kvalitet og sikkerhet).

1.18 “Å levere faglige tjenester” består av en eller flere av følgende ting: (a) Levering av Faglige tjenester, inkludert levering av teknisk støtte, profesjonell planlegging, råd, veiledning, dataoverføring, distribusjon, og løsningstjenester/programvareutviklingstjenester; (b) Feilsøking (forebygging, oppsporing, undersøkelse, avdemping, og reparasjonsproblemer, inkludert Sikkerhetshendelser og problemer identifisert i de Faglige tjenestene eller relevante Produkt(er) under levering av Faglige tjenester); og (c) Kontinuerlig forbedring (forbedring av levering, effektivitet, kvalitet, og sikkerheten for Faglige tjenester og underliggende Produkt(er) basert på problemer identifisert under levering av Faglige tjenester, inkludert installering av de nyeste oppdateringene og fiksing av programvaremangler).

2. OMFANG, ROLLER, BEHANDLING OG DEN REGISTRERTES FORESPØRSLER.

2.1 Omfang. For klarhetens skyld gjelder denne DPA bare for Behandling av data i miljøer som kontrolleres av Clipchamp og Clipchamps Underbehandlere når Clipchamp opptrer som Behandler etter gjeldende lov. Så denne DPA gjelder for partenes kontraktsforhold hvis Kundedata, Personopplysninger og/eller Data for faglige tjenester er involvert og sendes til Clipchamp av Kunden, men gjelder ikke hvis (a) dataene ikke inkluderer noen Personopplysninger (som definert i gjeldende lov), (b) Kundedata, Personopplysninger og Data for faglige tjenester til enhver tid i løpet av og for gjennomføringen av Tjenestene blir værende i Kundens lokaler eller i Kundens utvalgte driftsmiljøer tilhørende tredjeparter eller (c) Clipchamp opptrer som Behandlingsansvarlig etter gjeldende lov for utførelse av Tjenestene. Hvis Clipchamp er Behandlingsansvarlig etter gjeldende lov for utførelse av Tjenestene, eller hvis gjeldene lov ellers krever det, erkjenner og godtar partene at Clipchamps personvernregler i https://clipchamp.com/en/privacy/ vil gjelde for datahåndteringen som er forbundet med Tjenestene i stedet for denne DPA. I tillegg forstår og godtar Kunden at private forhåndsvisninger, offentlige forhåndsvisninger, og enhver annen betatesting av funksjoner, verktøy eller funksjonalitet (enkeltvis og samlet kalt “Forhåndsvisninger”) vil kunne anvende mindre eller annerledes personvern- og sikkerhetstiltak enn e som typisk gjelder i Tjenestene. Med mindre noe annet er angitt bør Kunden ikke bruke Forhåndsvisninger til å behandle Personopplysninger eller andre data som er underlagt juridiske krav eller reguleringskrav om etterlevelse. For Tjenestene skal følgende vilkår i denne DPA ikke gjelde for Forhåndsvisninger: Behandling av Personopplysninger; GDPR, CCPA og Datasikkerhet.

2.2 Partenes rolle.  Unntatt som fastsatt i avsnitt 2.9 (Behandling for forretningsoperasjoner), erkjenner og godtar partene at med hensyn til Behandling av Personopplysninger etter denne DPA, kan Kunden opptre som Behandlingsansvarlig eller Behandler og Tjenesteleverandøren kan opptre som Behandler eller Underbehandler. Avsnitt 2.9 fastsetter de begrensede omstendighetene for når Clipchamp kan opptre som en uavhengig Behandlingsansvarlig sammen med Kunden.

2.3 Kundens behandling av personopplysninger.  Kunden vil i sin bruk av Tjenestene overholde sine forpliktelser etter Personvernloven angående sin behandling av Personopplysninger og alle behandlingsinstruksjoner de avgir til Tjenesteleverandøren. Kunden garanterer at de har de nødvendige fullmakter for at Tjenesteleverandøren kan Behandle Personopplysninger med henblikk på å levere Tjenestene til Kunden i samsvar med Avtalen. For å unngå tvil, i alle tilfeller der EUs personvernlov gjelder og Kunden er en behandler, garanterer Clipchamp at Kundens instruksjoner, inkludert utnevnelse av Clipchamp som en behandler eller underbehandler, er autorisert av den aktuelle behandlingsansvarlige.

2.4 Tjenesteleverandørens behandling av personopplysninger.  Tjenesteleverandøren vil bruke og på andre måter behandle Kundedata, Data for faglige tjenester og Personopplysninger kun som beskrevet og underlagt de begrensningene som er gitt nedenfor (a) for å levere Kunden Tjenestene i samsvar med Kundens dokumenterte instruksjoner og (b) for forretningsoperasjoner som knytter seg til levering av Tjenestene til Kunden. Uansett dette instruerer Kunden Tjenesteleverandøren til å behandle Kundedata, Data for faglige tjenester og Personopplysninger: (i) i samsvar med Avtalen, (ii) som del av en Behandling som er igangsatt av Kunden i dennes bruk av Tjenestene, (iii) for å overholde Kundens andre rimelige instruksjoner i en utstrekning de samsvarer med vilkårene i Avtalen, og (iv) i samsvar med rettighetene og pliktene som knytter seg til Personopplysningene. Behandling av Kundedata, Data for faglige tjenester og/eller Personopplysninger utenfor rammen av Avtalen krever skriftlig forhåndsavtale mellom Tjenesteleverandøren og Kunden i form av skriftlig endring av Avtalen. Etter skriftlig melding kan Kunden si opp Avtalen hvis Tjenesteleverandøren avslår å følge Kundens rimelige instruksjoner som går ut over det som er avtalt for utførelse av Tjenestene, i en utstrekning slike instruksjoner er nødvendig for overholdelse av personvernlov. Tjenesteleverandøren vil varsle Kunden hvis de ikke lenger kan overholde de rettigheter og plikter som knytter seg til Personopplysningene og vil umiddelbart avslutte behandlingen av slike Personopplysninger og ta de nødvendige skritt for å avhjelpe eventuell uautorisert behandling.

2.5 Den registrertes forespørsler.  Tjenesteleverandøren vil gjøre sitt beste for å varsle Kunden umiddelbart om eventuelle forespørsler fra den registrerte om innsyn i, retting, endring eller sletting av den aktuelle personens Personopplysninger. I den utstrekning Kunden ikke har innsyn i slike Personopplysninger gjennom sin bruk av Tjenestene for å svare på slik forespørsel, vil Tjenesteleverandøren yte Kunden kommersielt rimelig samarbeid og assistanse med å svare på den registrertes forespørsel om innsyn i sine Personopplysninger så langt loven tillater. Kunden vil være ansvarlig for alle kostnader som oppstår av Tjenesteleverandørens ytelse av slik assistanse.

2.6 Varighet.  Varigheten av Behandlingen etter Avtalen vil fortsette helt til gjeldende Tjenester bringes til opphør som fastsatt i Avtalen.

2.7 Formål.  Formålet med Behandlingen er å levere Tjenestene fra Tjenesteleverandøren til Kunden i samsvar med Avtalen og som spesifisert i eventuelle serviceordre inngått i henhold til Avtalen.

2.8 Eierskap.  I forholdet mellom partene beholder Kunden alle rettigheter, eierrettigheter og interesser knyttet til Kundedataene. Clipchamp erverver ingen rettigheter i Kundedata, ut over de rettighetene Kunden gir Clipchamp i Avtalen eller dette avsnitt 2.8 i DPA. Uansett påvirker ikke dette avsnitt 2.8 Clipchamps rettigheter til programvare eller tjenester som Clipchamp lisensierer til Kunden.

2.9 Behandling for forretningsoperasjoner. Ved Behandling for Forretningsoperasjoner vil Clipchamp anvende prinsippene for data-minimalisering og vil ikke bruke eller på andre måter behandle Kundedata, Data for faglige tjenester eller Personopplysninger for: (a) brukerprofilering, (b) annonsering eller tilsvarende kommersielle formål som ikke knytter seg til Tjenestene, eller (c) noe annet formål, ut over de formålene som er fastsatt i denne DPA. I den utstrekning Clipchamp bruker eller på andre måter behandler Personopplysninger som er underlagt EUs personvernlov for forretningsoperasjoner som knytter seg til levering av Tjenester til Kunden, vil Clipchamp overholde forpliktelsene til en uavhengig behandlingsansvarlig i henhold til EUs personvernlov for bruk under slike begrensede omstendigheter. For å unngå tvil godtar Clipchamp det ekstra ansvaret som “behandlingsansvarlig” i henhold til EUs personvernlov for Behandlingen i forbindelse med deres Forretningsoperasjoner for å: (a) opptre i samsvar med reguleringskravene, i den utstrekning EUs personvernlov krever det; og (b) sørge for økt gjennomsiktighet overfor Kunden og bekrefte Clipchamps ansvar for slik behandling. Clipchamp tar i bruke sikringstiltak for å beskytte Kundedata, Data for faglige tjenester og Personopplysninger i Behandlingen, inkludert de som identifiseres i denne DPA og de som er nevnt i artikkel 6(4) i GDPR. Med hensyn til Behandling av Personopplysninger etter dette avsnitt, avgir Clipchamp e forpliktelsene som er fastsatt i avsnittet om Ekstra sikringstiltak. For disse formålene vil (i) alle Clipchamp-fremlegginger av Personopplysninger, som beskrevet i Vedlegg II til Vedlegg 1 (Tekniske og organisatoriske tiltak inkludert Tekniske og organisatoriske tiltak for å sørge for dataenes sikkerhet) (enkeltvis og samlet kalt «Ekstra sikringstiltak»), som er blitt overført i forbindelse med Forretningsoperasjoner anses som en “Relevant fremlegging” og (ii) forpliktelsene i Ekstra sikringstiltak gjelder for slike Personopplysninger.

2.10 Behandling av personopplysninger; GDPR. Alle Personopplysninger som behandles av Clipchamp i forbindelse med levering av Tjenestene er innhentet enten som del av (a) Kundedata, (b) Data for faglige tjenester, eller (c) data som er generert, avledet eller innsamlet av Clipchamp for eller til fremme av utførelse av Tjenestene (inkludert data som er sendt til Clipchamp som følge av en Kundes bruk av service-baserte kapasiteter eller innhentet av Clipchamp fra lokalt installert programvare). Personopplysninger levert til Clipchamp av eller på vegne av Kunden gjennom bruk av Tjenestene er også Kundedata. Personopplysninger levert til Clipchamp av eller på vegne av Kunden gjennom bruk av Faglige tjenester er også Data for faglige tjenester. Anonymiserte identifikatorer kan være inkludert i data som behandles av Clipchamp i forbindelse med levering av Tjenestene og er også Personopplysninger. Alle Personopplysninger som er anonymisert, eller avidentifisert men ikke anonymisert, eller Personopplysninger sommer avledet fra Personopplysninger er også Personopplysninger.

2.11 Fremlegging av behandlede data. Clipchamp vil ikke fremlegge eller gi tilgang til noen Behandlede data unntatt: (1) som anvist av Kunden; (2) som beskrevet i denne DPA; eller (3) som påkrevd av gjeldende lov. All behandling av Behandlede data er underlagt Clipchamps forpliktelse til konfidensialitet etter Avtalen. Clipchamp vil ikke fremlegge eller gi tilgang til noen Behandlede data til rettshåndhevende myndigheter med mindre gjeldende lov krever det. Hvis myndigheter tar kontakt med Clipchamp med krav om behandlede data, kommer Clipchamp til å forsøke å få tredjeparten til i stedet å rette forespørselen om disse dataene direkte til Kunden. Hvis de blir tvunget til å fremlegge eller gi tilgang til noen Behandlede data til rettshåndhevende myndigheter, vil Clipchamp straks varsle Kunden og levere en kopi av anmodningen med mindre Clipchamp er eller med rimelighet antar at de er underlagt forbud mot å gjøre det. Ved mottak av forespørsler om behandlede data fra andre tredjeparter, varsler Clipchamp umiddelbart Kunden med mindre Clipchamp er rettslig avskåret fra å gjøre dette. Clipchamp avslår forespørselen med mindre lovverket krever at Microsoft etterkommer forespørselen. Hvis forespørselen er gyldig, prøver Clipchamp å få tredjeparten til å rette forespørselen om disse dataene direkte til Kunden. For å unngå tvil kommer ikke Clipchamp til å gi noen tredjepart (a) direkte, indirekte, blanko- eller ubegrenset tilgang til Behandlede data, (b) krypteringsnøkler til plattformen som brukes til å sikre Behandlede data, eller muligheten til å omgå kryptering eller (c) tilgang til Behandlede data når Clipchamp er klar over at slike data brukes til andre formål enn dem som er oppgitt i tredjepartens forespørsel. Når Clipchamp mottar en gyldig forespørsel om fremlegging, kan Clipchamp gi kontaktopplysninger for Kunden til tredjeparten.

3. UNDERBEHANDLING.

3.1 Bruk av underbehandlere.  Kunden erkjenner og godtar at (a) Tjenesteleverandørens tilknyttede selskaper og tredjeparts tjenesteleverandørers kan være engasjert som Underbehandlere i forbindelse med levering av Tjenestene. Slike Underbehandlere vil kun tillates å få tilgang til Personopplysninger for å levere tjenester som Tjenesteleverandøren har engasjert dem for å levere i forbindelse med Tjenestene, og det er forbudt for dem å bruke Personopplysningene for noen andre formål. Tjenesteleverandøren har inngått en skriftlig avtale med hver Underbehandler som inneholder personvernforpliktelser i samsvar med DPA i den utstrekning de gjelder for arten av de tjenester som leveres av Underbehandleren.

3.2 Ansvar for underbehandlere.  Tjenesteleverandøren skal være ansvarlig for handlingene til sine Underbehandlere i samme utstrekning som Tjenesteleverandøren ville være ansvarlig hvis de utførte Underbehandlerens tjenester direkte ette DPA, unntatt når noe annet er fastsatt i Avtalen.

3.3 Innsigelse mot underbehandlere.  På forespørsel vil Tjenesteleverandøren levere en gjeldende liste over Underbehandlere for de Tjenester Kunden har tilgang til. Hvis Kunden på rimelig grunnlag har innvendinger mot en Underbehandler, vil Tjenesteleverandøren varsle Kunden om eventuelle tilgjengelige alternativer til å endre Tjenestene eller motta Tjenestene fra en alternativ Underbehandler, sammen med eventuelle gjeldende gebyrer eller endringer i vilkår. Hvis et alternativ som er akseptabelt for Kunden ikke er tilgjengelig innen rimelig tid, kan Kunden si opp Tjenester som ikke kan leveres av Tjenesteleverandøren uten den uønskede Underbehandleren, og motta en forholdsmessig refusjon for den gjenværende ubrukte perioden av Tjenestene.

4. PERSONVERN OG SIKKERHET.

4.1 Sikkerhetstiltak fra Tjenesteleverandøren.  Tjenesteleverandøren skal ha et skriftlig sikkerhetsprogram for å beskytte mot Personopplysningsbrudd og for å bevare sikkerheten og konfidensialiteten for Personopplysninger som behandles av Tjenesteleverandøren i levering av Tjenestene, i samsvar med personvernloven. Tjenesteleverandørens sikkerhetsprogram inkluderer administrative, tekniske og fysiske sikringstiltak som egner seg for Tjenesteleverandørens størrelse og ressurser og de typer informasjon Tjenesteleverandøren behandler. Tjenesteleverandøren vil fra tid til annen kunne oppdatere sine sikkerhetstiltak i samsvar med utviklingen av beste bransjepraksis, forutsatt at slike oppdateringer og modifiseringer ikke fører til svekkelse av sikkerheten for Tjenestene. For alle Tjenester hvor Tjenesteleverandøren innhenter tredjeparts-sertifiseringer eller revisjoner, vil Tjenesteleverandøren på anmodning levere en kopi av Tjenesteleverandørens ferskeste tredjeparts-sertifisering eller eventuelt revisjon, som Tjenesteleverandøren i alminnelighet gjør tilgjengelig for sine kunder på anmodningstidspunktet.

4.2 Tjenesteleverandørens personell.  Tjenesteleverandøren skal sørge for at tilgangen for Tjenesteleverandørens personell til Personopplysninger begrenses til det personellet som må ha slik tilgang for å utføre Avtalen. Personell fra Tjenesteleverandøren som går inn på Personopplysninger vil bli informert om Personopplysningenes konfidensielle art, er underlagt skriftlig taushetsplikt og har fått den nødvendige opplæring for sitt ansvar og arten av Personopplysningene.

4.3 Kundens sikkerhetstiltak.  En Tjeneste kan gjøre tilgjengelig sikkerhetsfunksjoner som Kunden kan velge p bruke (for eksempel kryptering av data under overføring). I den utstrekning Tjenesten gir Kunden kontroller og funksjonalitet for å sette Kunden i stand til å styre Tjenesten, er Kunden ansvarlig for å konfigurere Tjenesten hensiktsmessig og ved hjelp av de tilgjengelige kontrollene som Kunden anser adekvate for å opprettholde egnet sikkerhet, beskyttelse, sletting og sikkerhetskopi av Personopplysninger. Kunden er også ansvarlig for å iverksette hensiktsmessige tekniske og organisatoriske tiltak knyttet til deres bruk av Tjenestene på en måte som setter Kunden i stand til å overholde Personvernloven.

5. REAKSJON PÅ PERSONOPPLYSNINGSBRUDD.

Tjenesteleverandøren vil gjøre sitt beste for straks å gi Kunden beskjed om uautorisert fremlegging eller tap av Personopplysninger som krevd av Personvernlov og i samsvar med de relevante bestemmelsene i Avtalen. Tjenesteleverandøren vil gjøre det som er nødvendig for å identifisere og avhjelpe årsaken til slik uautorisert fremlegging eller tap og vil gi informasjon knyttet til Personopplysningsbruddet som rimelig forespurt av Kunden. Varsler vil bli levert til Kundens administratorer for Tjenesten gjennom normale varselsmetoder bortsett fra når tidsfaktoren er vesentlig, da vil e-postmeldinger bli sendt til e-posten som er arkivert med Clipchamp for Kunden. Det er Kundens ansvar å sørge for at Kunden opprettholder gjeldende kontaktinformasjon på den aktuelle Tjeneste-konsollen. Kunden erkjenner at Tjenesteleverandøren ikke vil varsle Kunen om mislykkede forsøk på sikkerhetsbrudd som ikke resulterer i uautorisert tilgang til eller tap av Personopplysninger.

6. DATAOVERFØRINGER OG EKSPORT.

6.1 Dataoverføringer.  Kunden erkjenner og samtykker til Tjenesteleverandørens overføring av Personopplysninger (inkludert, hvis Kunden befinner seg i Europe, utenfor EØS og Sveits i samsvar med avsnitt 6.2 nedenfor, og hvis Kunden befinner seg i Australia, utenfor Australia), underlagt Tjenesteleverandørens overholdelse av gjeldende Personvernlov og kravene i denne DPA.

6.2 Dataoverføringer fra EØS og Sveits.  Med mindre Tjenesteleverandøren har gitt anvisning på en alternativ adekvat overføringsmekanisme (som anerkjent etter Personvernloven) for det aktuelle landet eller Tjenesteleverandør som opptrer som Underbehandler, vil Standard kontraktsklausuler gjelde for Personopplysninger som blir overført av Tjenesteleverandøren fra Det europeiske økonomiske samarbeidsområdet (“EØS”) og/eller Sveits til et land som av Europakommisjonen eller det sveitsiske føderale personverntilsynet ikke anerkjennes å gi et adekvat beskyttelsesnivå for Personopplysninger. Slike overføringer av Personopplysninger ut av EØS eller Sveits vil bli regulert av Modul 2 i Standard kontraktsklausuler som er tilgjengelig på http://data.europa.eu/eli/dec_impl/2021/914/oj (“Nye SKK-er”) og overføringer av Personopplysninger ut av Storbritannia vil bli regulert av Standard kontraktsklausuler som er tilgjengelig på https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32010D0087 (“Tradisjonelle SKK-er”). De Nye SKK-ene og Tradisjonelle SKK-ene er inkorporert i og utgjør en del av denne. Som brukt i de Nye SKK-ene og de Tradisjonelle SKK-ene, betyr begrepet “dataimportør” Tjenesteleverandøren, og begrepet “dataeksportør” betyr Kunden og dennes Tilknyttede selskaper. Uansett det foregående, med henblikk på Standard kontraktsklausuler:

vil den valgfrie klausul 7 om de Nye SKK-ene ikke gjelde,

vil alternativ 1 i klausul 9(a) i de Nye SKK-ene gjelde og tidsperioden vil spesifiseres som 30 dager;

vil alternativ 1 i klausul 17 i de Nye SKK-ene gjelde og henvise til Republikken Irland;

vil den valgfrie formuleringen i klausul 11(a) i de Nye SKK-ene ikke gjelde;

vil Vedlegg I, II og III i de Nye SKK-ene og Vedlegg I i de Tradisjonelle SKK-ene erstattes i sin helhet med Vedlegg 1 vedlagt hertil.

6.3 Alternativ mekanisme for dataeksport. Hvis Tjenesteleverandøren tar i bruk en annen alternativ dataeksportmekanisme (som anerkjent i henhold til Personvernloven), vil Standard kontraktsklausuler opphøre å gjelde med virkning fra den dato Tjenesteleverandøren iverksetter en slik ny dataeksportmekanisme. 

7. SLETTING AV DATA.

I løpet av og etter Avtalen vil Tjenesteleverandøren slette eller returnere til Kunden alle Personopplysninger i Tjenesteleverandørens besittelse eller kontroll som fastsatt i Avtalen unntatt i den utstrekning Tjenesteleverandøren av gjeldende lov er forpliktet til å beholde spesifikke Personopplysninger (og i så fall vil Tjenesteleverandøren arkivere dataene og iverksette rimelige tiltak for å forhindre videre behandling av Personopplysningene). Vilkårene i denne DPA vil fortsette å gjelde for slike Personopplysninger.

8. SAMARBEID.

8.1 DPIA-er, Oppføringer av behandlingsaktiviteter, og Tidligere konsultasjoner.  I den utstrekning EUs personvernlov krever det, vil Tjenesteleverandøren, etter rimelig varsel og for Kundens regning, levere rimelig forespurte opplysninger angående Tjenestene for å sette Kunden i stand til å utføre konsekvensvurderinger for databeskyttelse (“DPIA-er”), oppføringer av behandlingsaktiviteter, og/eller tidligere konsultasjoner med personvernmyndigheter. For å unngå tvil vil Clipchamp (når de bes om det) levere registreringer og informasjon til Kunden og føre slike registreringer og opplysninger nøyaktig og oppdatert i den utstrekning EUs personvernlov krever det.

8.2 Forespørsler om juridisk fremlegging.  Hvis Tjenesteleverandøren mottar en juridisk bindende forespørsel om fremlegging av Personopplysninger som er underlagt denne DPA, skal slik forespørsel umiddelbart videresendes til Kunden for å gi Kunden en mulighet til å engasjere seg i juridiske prosesser de anser hensiktsmessig med hensyn til beskyttelse eller fremlegging av Personopplysninger. Uansett dette kan Clipchamp gjøre alle slike opplysninger tilgjengelig for tilsynsmyndighetene hvis Personvernloven krever det.

8.3 Revisjoner.  Med hensyn til de revisjoner som beskrives i klausulene 5(f), 11 og 12(2) i EU Modellklausuler, godtar Kunden at revisjonene skal utføres i samsvar med følgende spesifikasjoner: Etter dataeksportørens forespørsel, og underlagt taushetspliktene som er fastsatt i Avtalen, skal Tjenesteleverandøren, innen rimelig tid etter slik forespørsel, gjøre tilgjengelig for dataeksportøren (eller dataeksportørens uavhengige tredjepartsrevisor som ikke er konkurrent til Tjenesteleverandøren) informasjon angående Tjenesteleverandørens overholdelse av forpliktelsene som er fastsatt i DPA, som kan være i form av tredjeparters revisjonsrapporter og sertifiseringer, i den utstrekning Tjenesteleverandøren har slike gjeldende rapporter eller sertifiseringer og gjør dem generelt tilgjengelig for kundene. Kunden skal når som helst refundere Tjenesteleverandøren utgifter som er pådratt for revisjon på stedet etter Tjenesteleverandørens standardsatser for profesjonelle tjenester. Før revisjonen begynner, skal Tjenesteleverandøren og dataeksportøren komme overens om omfanget, timingen og varigheten.

9. BEGRENSNING AV ANSVAR.

9.1 Ansvarsfraskrivelse for tap eller skader. IKKE UNDER NOEN OMSTENDIGHET VIL NOEN AV PARTENE VÆRE ANSVARLIG OVERFOR DEN ANDRE PARTEN FOR NOEN INDIREKTE, HENDELIGE, AVSKREKKENDE, SPESIELLE ELLER GØLGEMESSIGE SKADER ELLER ERSTATNINGER, SOM OPPSTÅR PÅ GRUNNLAG AV ELLER I FORBINDELSE MED DENNE DPA ELLER AVTALEN, SELV OM DE PÅ FORHÅND ER GJORT OPPMERKSOM PÅ MULIGHETEN FOR SLIKE TAP ELLER SKADER.

9.2 Totalt erstatningsansvar.  DET ERSTATNINGSANSVAR SOM ER FORBUNDET MED DENNE DPA SKAL VÆRE UNDERLAGT DEN BEGRENSNING AV ANSVAR SOM ER FASTSATT I AVTALEN. HVIS INGEN BEGRENSNING AV ANSVAR ER FASTSATT I AVTALEN, VIL UNER INGEN OMSTENDIGHET DEN ENE AV PARTENES SAMLEDE ERSTATNINGSANSVAR OVERFOR DEN ANDRE PART PÅ GRUNNLAG AV ALLE SØKSMÅLSGRUNNLAG OG ANSVARSPRINSIPPER OVERSKRIDE EN (1) GANG DET FAKTISKE BELØP BETALT AV KUNDEN TIL TJENESTELEVERANDØREN I DEN FOREGÅENDE PERIODEN PÅ TOLV (12) MÅNEDER ETTER AVTALEN.

10. GENERELT.

10.1 Modifisering og supplering.  Partene er enig om gjensidig å fastsette og gjennomføre nødvendige modifiseringer av vilkårene i denne DPA som ikke vesentlig endrer økonomien eller den risikofordelingen som er etablert av Avtalen (i) hvis tilsynsmyndigheter eller andre offentlige myndigheter eller reguleringsorganer krever at de gjør det, (ii) hvis det er nødvendig for å overholde personvernlovene, eller (iii) for å iverksette eller rette seg etter reviderte standard kontraktsklausuler som kan våre utstedt i henhold til personvernlover. For å unngå tvil vil de standard kontraktsklausuler som er fastsatt i UK International Data Transfer Agreement (“ITDA”) på https://ico.org.uk/media/for-organisations/documents/4019483/international-data-transfer-addendum.pdf gjelde for personopplysningsoverføringer fra Storbritannia til USA og andre ikke-adekvate jurisdiksjoner etter denne DPA. Supplerende vilkår kan tilføyes som Vedlegg til denne DPA når slike vilkår bare gjelder behandlingen av Personopplysninger etter personvernloven i spesifikke land eller jurisdiksjoner. Hver av partene kan gi varsel om slike endringer til den andre parten, og den modifiserte DPA vil tre i kraft i samsvar med vilkårene i Avtalen.

10.2 Gjeldende lov og sted for løsning av tvister. Unntatt når det ellers kreves for å overholde personvernlovene (inkludert, uten begrensning, EU personvernlov), vil denne DPA fortolkes og håndheves i samsvar med Avtalen uten hensyn til prinsippene for internasjonal privatrett (“gjeldende lov”). Hver av partene er enige om at ethvert søksmål eller annen prosess som baserer seg på eller oppstår på grunnlag av denne DPA (hver av dem en “Tvist”) vil fremmes og opprettholdes i samsvar med Avtalen, og hver av partene samtykker til obligatorisk jurisdiksjon og verneting for slike voldgiftsdommere og domstoler og gir avkall på alle rettigheter til å bestride jurisdiksjon og verneting. Den parten som vinner frem i en Tvist vil ha rett til å få dekket sine rimelige advokatutgifter og kostnader unntatt ved voldgift, hvor dekning av advokatutgifter og kostnader vil bli regulert av Avtalen og voldgftsreglene. The Uniform Computer Information Transactions Act og FN-konvensjonen om internasjonale løsørekjøp vil ikke gjelde for denne DPA.

10.3 Diverse. Med henblikk på denne DPA skal alle definerte begreper som viser til entall inkludere flertall og omvendt. Unntatt når en annen DPA er blitt og vil bli gjennomført mellom partene om temaer her, skal denne DPA utgjøre hele avtalen mellom partene og fortrenger alle forslag, muntlige eller skriftlige, alle forhandlinger, samtaler eller diskusjoner mellom eller blant partene som knytter seg til temaer i denne DPA og alle tidligere mellomværender eller bransjenormer eller sedvaner.

10.4 Californias Consumer Privacy Act (CCPA). Hvis Clipchamp behandler Personopplysninger innenfor rammen av CCPA, avgir Clipchamp følgende tilleggsforpliktelser til Kunden. Clipchamp vil behandler Kundedata, Data for faglige tjenester og Personopplysninger på vegne av Kunden og vil ikke beholde, bruke eller fremlegge disse dataene for noen andre formål enn de formålene som er angitt i DPA og som er tillatt i henhold til CCPA, inkludert etter noe “salgsfritak”. Ikke i noe tilfelle vil Clipchamp selge noen slike data. Disse CCPA-vilkårene begrenser eller reduserer ingen av personvernforpliktelsene som Clipchamp har overfor Kunden i DPA og/eller Avtalen mellom Clipchamp og Kunden. I den utstrekning gjeldende lov krever det, skal CCPA-tillegget som er vedlagt som Vedlegg 2 til denne DPA gjelde for Tjenestene.

10.5 Biometriske data. Hvis Kunden bruker Tjenestene for å behandle Biometriske data, vil Kunden i den utstrekning gjeldende lov tillater det være ansvarlig for: (i) å gi varsel til de registrerte, herunder med hensyn til oppbevaringsperioder og destruksjon; (ii) å innhente samtykke fra de registrerte; og (iii) å slette de Biometriske data, alt slik det passer seg og kreves av gjeldende personvernkrav. Clipchamp vil behandle de Biometriske dataene etter Kundens dokumenterte instruksjoner (som beskrevet ovenfor i avsnittet “Omfang, roller, behandling og forespørsler fra de registrerte”) og beskytte de Biometriske dataene i samsvar med vilkårene for datasikkerhet og beskyttelse i denne DPA. Med henblikk på ette avsnittet vil “Biometriske data” ha en betydningen som er fastsatt i artikkel 4 i GDPR og eventuelt tilsvarende begreper i andre personvernlover.

VEDLEGG 1

VEDLEGG I

A.   LISTE OVER PARTER

Dataeksportør(er)

Navn: Kunden eller enheter i Kundens tilknyttede selskaper eller deres respektive klienter og klientenes tilknyttede selskaper som er bruker av Tjenesteleverandørens produkter eller tjenester (“Tjenesteleverandørens løsninger”) og som befinner seg i Det europeiske økonomiske samarbeidsområdet eller Sveits.

Adresse: Adresse spesifisert i Avtalen.

Kontaktpersonens navn, stilling og kontaktdetaljer: Som beskrevet i Avtalen; hvis ikke beskrevet i Avtalen, skal det være Avtalens signatar.

Telefon: Som beskrevet i melding-avsnittet i Avtalen; hvis ikke beskrevet i Avtalen, skal det være “Ikke aktuelt.” E-post: Som beskrevet i melding-avsnittet i Avtalen; hvis ikke beskrevet i Avtalen, skal det være “Ikke aktuelt.”

Aktiviteter som er relevante for data som overføres etter disse klausulene:

Bruk av Clipchamps Tjenester som beskrevet i Avtalen.

Underskrift og dato: Samme signatar og dato som Avtalen.

Rolle (behandlingsansvarlig/behandler): Behandlingsansvarlig

Dataimportør(er):

Navn: Clipchamp Pty Ltd (ACN 162516556)

Adresse: Level 1, 315 Brunswick Street, Fortitude Valley QLD 4006, Australia

Kontaktpersonens navn, stilling og kontaktdetaljer: Clipchamp Pty Ltd, c/o Microsoft Corporation, Attn: Chief Privacy Officer, 1 Microsoft Way, Redmond, WA 98052 USA

Telefon: n/a e-post: privacy@clipchamp.com

Aktiviteter som er relevante for data som overføres etter disse klausulene:

Utførelse av Clipchamps Tjenester som beskrevet i Avtalen.

Underskrift og dato: Samme signatar og dato som Avtalen.

Rolle (behandlingsansvarlig/behandler): Behandler

B.   BESKRIVELSE AV OVERFØRING

Kunden som dataeksportør kan sende inn personopplysninger til Clipchamp (dataimportør), og omfanget av dette avgjøres og kontrolleres av dataeksportøren etter deres enerådende skjønn, og kan uten begrensning inkludere følgende kategorier av registrerte som får sine personopplysninger overført:

  • Mulige kjøpere, kunder, forretningspartnere, leverandører og ansatte i dataeksportøren (som er fysiske personer)

  • Ansatte eller kontaktpersoner i dataeksportøren og/eller dataeksportørens mulige kjøpere, kunder, forretningspartnere og leverandører

  • Dataeksportørenes brukere som er autorisert av dataeksportøren til å bruke Tjenestene

  • Enkeltpersoner som opplever å få sine bilder vist i videoer som lastes opp av dataeksportørenes brukere

Kunden som dataeksportør kan sende inn personopplysninger til Clipchamp (dataimportør), og omfanget av dette avgjøres og kontrolleres av dataeksportøren etter deres enerådende skjønn, og kan uten begrensning inkludere følgende kategorier av overførte personopplysninger:

  • Kontaktinformasjon, ansettelses- og utdanningsinformasjon, IP-adresse, tilkoblingsdata, lokaliseringsdata, og personopplysninger inkludert i innhold som er opprettet av eller om brukeren (inkludert uten begrensning, videoer og bilder som vises i videoer som er lastet opp av dataeksportørenes brukere).

Sensitive data overført (hvis aktuelt) og anvendte restriksjoner eller sikringstiltak som fullt ut tar hensyn til arten av de data og risikoer som er involvert, så som for eksempel begrensning til strengt avgrensede formål, tilgangsrestriksjoner (inkludert tilgang kun for medarbeidere som har fulgt spesialisert opplæring), føring av registreringer over tilgang til dataene, restriksjoner i videresendinger eller ekstra sikkerhetstiltak:

  • Fra og med ikrafttredelsesdatoen for Avtalen forventer ikke partene at noen spesialkategorier av personopplysninger blir overført. Uansett dette kan Kunden som dataeksportør sende inn spesialkategorier av data til Clipchamp (dataimportøren), og omfanget av dette avgjøres og kontrolleres av dataeksportøren etter deres enerådende skjønn, gjennom videoopplastinger, tekstfelter eller annet innhold, og som for klarhetens skyld vil kunne avsløre rase eller etnisk opprinnelse, politiske oppfatninger, religiøs tro eller livssyn, fagforeningsmedlemskap og/eller helse eller seksualliv.

Hyppigheten av overføringer (f.eks. om dataene overføres som engangstilfelle eller på kontinuerlig basis):

Kontinuerlig.

Arten av behandlingen:

  • For å utføre Tjenestene som beskrevet i Avtalen.

Formål med dataoverføringen og videre behandling:

  • For å utføre Tjenestene som beskrevet i Avtalen.

Hvilken periode personopplysningene vil bli oppbevart, eller hvis det ikke er mulig, kriteriene som benyttes for å fastsette perioden:

  • For Avtalens avtaleperiode.

For overføringer til (under-) behandlere spesifiseres også emne, og arten og varigheten av behandlingen:

  • I samsvar med DPA kan dataimportøren også engasjere andre firmaer for å levere begrensede tjenester på vegne av dataimportøren, som for eksempel levering av kundestøtte. Slike underleverandører har bare rett til å innhente personopplysninger for å levere tjenestene som dataimportøren har engasjert dem til å utføre, og de har ikke tillatelse til å bruke personopplysningen til noe annet formål.

C.   KOMPETENT TILSYNSMYNDIGHET

Den kompetente tilsynsmyndigheten skal være:

  • Tilsynsmyndigheten i Republikken Irland

VEDLEGG II -

TEKNISKE OG ORGANISATORISKE TILTAK INKLUDERT TEKNISKE OG ORGANISATORISKE TILTAK FOR Å SØRGE FOR DATENES SIKKERHET

Clipchamp opprettholder dokumenterte sikkerhetsretningslinjer for gjeldende Tjenester, som er tilgjengelig for Kunden i et Vedlegg under konfidensialitetsvilkårene i Avtalen.

Underbehandlere

Listen over godkjente Underbehandlere for Clipchamp er tilgjengelig under konfidensialitetsvilkårene i Avtalen ved å sende en forespørsel til din Clipchamp salgsrepresentant. For å unngå tvil kan enhver slik liste over Underbehandlere oppdateres av Clipchamp som fastsatt i Avtalen og/eller denne DPA.

VEDLEGG 2

Tillegg om Californiaa Consumer Privacy Act

Dette CCPA-tillegget (“Tillegget”) datert ikrafttredelsesdatoen for Avtalen (som definert nedenfor) er inkorporert i og utgjør en del av bestillingen, avtalen og/eller personvernavtalen/vedlegget som er inngått mellom Clipchamp og/eller deres Tilknyttede selskaper identifisert nedenfor (“Tjenesteleverandøren”) og Kunden og/eller deres Tilknyttede selskaper for Avtalen. Tjenesteleverandøren og Kunden er hver for seg en “part” og samlet er de “partene.” Med henblikk på dette Tillegget betyr “Tilknyttede selskaper” enhver enhet som direkte eller indirekte er eid eller kontrollert av en part, hvor “kontroll” defineres som besittelse, direkte eller indirekte, av makten til å kontrollere eller fremkalle styring av ledelsen og retningslinjene for enheten, enten gjennom eierskap avstemningsrettigheter, gjennom kontrakt, eller på andre måter. Med mindre noe annet er fastsatt her, skal alle begreper som ikke er definert i dette Tillegget ha den betydningen som er fastsatt i Avtalen.

Dette Tillegget fastsetter vilkårene og betingelsene knyttet til overholdelse av Californias Consumer Privacy Act av 2018, Cal. Civil Code §1798.100 og flg. og tilknyttede forskrifter (“CCPA”), slik de fra tid til annen måtte være endret. I tilfelle av motstrid mellom dette Tillegget og Avtalen, skal dette Tillegget ha forrang. Begreper med stor forbokstav som identifiseres i dette Tillegget skal ha samme betydning som definert i CCPA, med mindre noe annet er angitt.

Partene avtaler følgende:

I den utstrekning det er aktuelt vil Tjenesteleverandøren til enhver tid rette seg etter CCPA, inkludert alle endringer. Videre, i den utstrekning noen Personopplysninger (som definert i CCPA) («Personopplysninger») er innhentet av Tjenesteleverandøren som følge av denne Avtalen, vil Tjenesteleverandøren ikke beholde, bruke eller fremlegge Personopplysningene for noen andre formål enn å levere de Tjenester som er spesifisert i Avtalen. Nærmere bestemt vil Tjenesteleverandøren ikke beholde, bruke eller fremlegge Personopplysningene annet enn for tillatte formål etter Avtalen.

Beholde, bruke eller fremlegge Personopplysningene utenfor det direkte forretningsforholdet mellom Tjenesteleverandøren og Kunden; men forutsatt at Tjenesteleverandøren kan fremlegge Personopplysninger til og tillate behandling av Personopplysninger av tjenesteleverandører som utfører tjenester for eller på vegne av Tjenesteleverandøren, forutsatt at slike tjenesteleverandører er underlagt tilsvarende kontraktskrav med hensyn til Personopplysninger som gjelder for Tjenesteleverandøren i henhold til Avtalen og dette Tillegget. Tjenesteleverandøren vil fortsatt være ansvarlig for handlingene til deres tjenesteleverandører.

Selv om noe i denne Avtalen skulle bestemme det motsatte, er partene enige om at enhver levering av Personopplysninger fra Kunden til Tjenesteleverandøren er nødvendig for å gjennomføre et forretningsformål og ikke er en del av og uttrykkelig utelukket fra utvekslingen av ytelse og motytelse eller noe annet av verdi mellom partene.

Hvis det kreves noen modifisering av dette Tillegget på grunn av en endring i personvernlover eller forskrifter, kan den ene parten gi skriftlig varsel til den andre parten om endringen i loven. Partene vil diskutere og forhandle i god tro alle nødvendige endringer i dette Tillegget for å ordne opp i slike endringer så raskt som det rimelig lar seg gjøre.

It looks like your preferred language is English