Tillägg om databehandling

Detta tillägg om databehandling (Data Processing Addendum, ”DPA”) gäller från och med den 27 september 2021 eller på ikraftträdandedatumet (”Ikraftträdandedatum”) då du som kommersiell kund (”du” eller ”Kunden”) köper in Tjänster (enligt definitionen nedan) från Clipchamp Pty Ltd (ACN 162516556), ett dotterbolag till Microsoft Corporation (”Clipchamp””vi”,”oss”,”vår”eller”Tjänsteleverantör”), och utgör en del av alla avtal (inklusive, utan begränsning, Villkoren (enligt definitionen nedan)), beställningar, arbetsbeskrivningar och andra avtalshandlingar mellan parterna (individuellt och kollektivt, ”Avtalet”). Detta DPA har undertecknats av Clipchamp och/eller eventuella associerade Koncernbolag (enligt definitionen nedan) som tillhandahåller Tjänster till Kunden och Kunden och/eller eventuella associerade Koncernbolag (enligt definitionen nedan) som köper in Tjänster från Clipchamp under ett Avtal. Detta DPA gäller i den utsträckning som Tjänsteleverantören tar emot, lagrar eller behandlar Personuppgifter på Kundens vägnar i förbindelse med några Tjänster. Clipchamp och du är var för sig en ”part” och, sammantaget, ”parterna”. Avtalet införlivar uttryckligen detta DPA. I händelse av en konflikt mellan detta DPA och Avtalet ska Avtalet ha företräde i konfliktens omfattning (förutom i den begränsade utsträckning som DPA-villkor krävs enligt tillämplig lag, i vilket fall de relevanta villkoren i detta DPA ska ha företräde i konfliktens omfattning). Alla termer med stor begynnelsebokstav som inte definierats i detta DPA ska den betydelse som anges i Avtalet.

1. DEFINITIONER.

Följande termer har den betydelse som anges nedan, men endast för syftet med detta DPA och gäller inte för Clipchamps allmänna villkor (”Villkor”). Även definitioner för andra termer kan infogas i detta DPA.

1.1 ”Koncernbolag” avser enheter som äger, ägs av eller ägs gemensamt av endera parten.

1.2 ”Affärsverksamhet” består av följande, var och en som en händelse i förbindelse med leverans av Tjänsterna till Kunden: (1) fakturering och kontohantering (2) ersättning (t.ex. beräkning av anställdas provisioner och partnerincitament) (3) intern rapportering och affärsmodeller (t.ex. prognos, intäkter, kapacitetsplanering, produktstrategi) (4) bekämpning av bedrägerier, cyberbrottslighet eller cyberattacker som kan påverka Clipchamps Tjänster eller dess Koncernbolags produkter och tjänster (5) förbättra tillgänglighetens grundläggande funktionalitet, integritet eller energieffektivitet (6) finansiell rapportering och efterlevnad av juridiska skyldigheter (med förbehåll för de begränsningar för avslöjande av Behandlade uppgifter som beskrivs i Avsnitt 2.9 nedan).

1.3 ”Personuppgiftsansvarig” avser den enhet som fastställer ändamålen och medlen för Behandlingen av Personuppgifter.

1.4 ”Dataskyddslag” avser alla dataskydds- och integritetslagar som är tillämpliga på Behandling av Personuppgifter enligt Avtalet, inklusive, i tillämpliga fall, EU:s Dataskyddslag och den australiska Privacy Act 1988 (Cth).

1.5 ”Registrerad” avser den individ som Personuppgifterna avser.

1.6 ”EU:s Dataskyddslag” avser (i) före den 25 maj 2018, Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (”Direktiv”) (ii) den 25 maj 2018 och därefter, Europaparlamentets och rådets förordning 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (Allmän dataskyddsförordning) (”GDPR”) och (iii) Direktiv och GDPR så som de införlivats i nationell lagstiftning i varje medlemsstat.

1.7 ”Standardavtalsklausuler” avser de tillämpliga standardavtalsklausuler för Personuppgiftsbiträden som godkänts av den Europeiska kommissionen och som är införlivade i detta DPA.

1.8 ”Personuppgifter” avser alla uppgifter som rör en identifierad eller identifierbar fysisk person som Kunden skickar till Tjänsteleverantören som en del av Tjänsterna.

1.9 ”Personuppgiftsincident” avser ett brott mot Tjänsternas säkerhet som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt avslöjande av eller åtkomst till Personuppgifter.

1.10 ”Behandla” eller ”Behandling” avser varje åtgärd eller kombination av åtgärder som vidtas med Personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

1.11 ”Behandlade uppgifter” avser: (a) Kunduppgifter (b) Uppgifter från Professionella Tjänster (c) Personuppgifter och (d) alla andra uppgifter som behandlas av Clipchamp i förbindelse med Tjänsterna som enligt Avtalet är Kundens konfidentiella information.

1.12 ”Personuppgiftsbiträde” avser en enhet som behandlar Personuppgifter på den Personuppgiftsansvariges vägnar.

1.13 ”Professionella Tjänster” avser följande tjänster: (a) Clipchamps konsulttjänster, som består av planering, råd, vägledning, datamigrering, implementerings- och lösnings-/programvaruutvecklingstjänster som tillhandahålls under en Clipchamp-serviceorder som införlivar detta DPA genom hänvisning och (b) tekniska supporttjänster som tillhandahålls av Clipchamp som hjälper kunder att identifiera och lösa problem som påverkar Tjänsterna, inklusive teknisk support som tillhandahålls som en del av Clipchamps supporttjänster och alla andra tekniska supporttjänster.

1.14 ”Uppgifter från Professionella Tjänster” avser alla uppgifter, inklusive all text, ljud, video, bildfiler eller programvara, som tillhandahålls till Clipchamp, av eller på uppdrag av en Kund (eller som den Kunden ger Clipchamp behörighet att erhålla från Tjänster) eller som på annat sätt erhålls eller behandlas av eller på uppdrag av Clipchamp genom att anlita Clipchamp för att erhålla Professionella Tjänster.

1.15 ”Tjänster” avser, individuellt och kollektivt, produkter, tjänster eller dokumentation som Tjänsteleverantören tillhandahåller Kunden enligt Avtalet.

1.16 ”Underbiträde” avser alla Personuppgiftsbiträden som används eller anlitas av Tjänsteleverantören eller någon medlem av dess företagsgrupp som behandlar Kunduppgifter, Uppgifter från Professionella Tjänster och/eller Personuppgifter i enlighet med Avtalet enligt beskrivningen i Artikel 28 i GDPR. Ett Underbiträde kan inkludera tredje parter eller någon medlem av Tjänsteleverantörens företagsgrupp (dvs. Tjänsteleverantörens Koncernbolag).

1.17 ”Tillhandahålla Tjänster” består av en eller flera av följande: (a) leverera funktionsmöjligheter såsom de licensierats, konfigurerats och används av Kunden och dess användare, inklusive att tillhandahålla anpassningar för användare (b) felsökning (förhindra, upptäcka och åtgärda problem) och (c) löpande förbättringar (installation av de senaste uppdateringarna och förbättra användarproduktivitet, tillförlitlighet, effektivitet, kvalitet och säkerhet).

1.18 ”Tillhandahålla Professionella Tjänster” består av ett eller flera av följande: (a) leverera de Professionella Tjänsterna, inklusive att tillhandahålla teknisk support, professionell planering, råd, vägledning, datamigrering, distribution och utvecklingstjänster för lösningar/programvara (b) felsökning (förebygga, detektera, utreda, mildra och reparera problem, inklusive säkerhetsincidenter och problem som identifieras i de Professionella Tjänsterna eller relevant(a) produkt(er) under leverans av Professionella Tjänster) (c) fortlöpande förbättring (förbättra leverans, effektivitet, kvalitet och säkerhet för Professionella Tjänster och underliggande produkt(er) baserat på problem som identifierats vid tillhandahållandet av Professionella Tjänster, inklusive installation av de senaste uppdateringarna och korrigering av programvarufel).

2. OMFATTNING, ROLLER, BEHANDLING OCH BEGÄRANDEN FRÅN REGISTRERADE.

2.1 Omfattning. För att klargöra: detta DPA gäller endast för Behandling av uppgifter i miljöer som kontrolleras av Clipchamp och Clipchamps Underbiträden när Clipchamp agerar som Personuppgiftsbiträde enligt tillämplig lag. Så, detta DPA gäller för parternas avtalsförhållande om Kunduppgifter, Personuppgifter och/eller Uppgifter från Professionella Tjänster är involverade och skickas till Clipchamp av Kunden men gäller inte om (a) uppgifterna inte inkluderar några Personuppgifter (enligt definitionen i tillämplig lag) (b) Kunduppgifter, Personuppgifter, och Uppgifter från Professionella Tjänster vid alla tillfällen under och för utförandet av Tjänsterna förblir i Kundens lokaler eller i Kundens utvalda tredje parts driftsmiljöer eller (c) Clipchamp agerar som Personuppgiftsansvarig enligt tillämplig lag för utförandet av Tjänsterna. Om Clipchamp är Personuppgiftsansvarig enligt tillämplig lag för utförandet av Tjänsterna, eller om annat krävs enligt tillämplig lag, bekräftar och samtycker parterna till att Clipchamps sekretesspolicy på https://clipchamp.com/privacy/ kommer att gälla för hanteringen av uppgifter som är förknippade med Tjänsterna i stället för detta DPA. Dessutom förstår och samtycker Kunden till att privat förhandsversion, allmän förhandsversion och alla andra betatester av funktioner, verktyg eller funktionalitet (individuellt och sammantaget, ”Förhandsversioner”) kan använda mindre eller annorlunda sekretess- och säkerhetsåtgärder än de som normalt förekommer i Tjänsterna. Om inget annat anges ska Kunden inte använda Förhandsversioner för att behandla Personuppgifter eller andra uppgifter som omfattas av juridiska eller tillsynsrättsliga krav på efterlevnad. För Tjänster gäller följande termer i detta DPA inte Förhandsversioner: Behandling av Personuppgifter, GDPR, CCPA och datasäkerhet.

2.2 Parternas roller.  Med undantag för vad som anges i Avsnitt 2.9 (Behandling för Affärsverksamhet) bekräftar och samtycker parterna till att Kunden, med avseende på Behandling av Personuppgifter enligt detta DPA, kan agera som Personuppgiftsansvarig eller Personuppgiftsbiträde och Tjänsteleverantören kan agera som Personuppgiftsbiträde eller Underbiträde. Avsnitt 2.9 anger begränsade omständigheter där Clipchamp kan agera som en oberoende Personuppgiftsansvarig med Kunden.

2.3 När Kunden behandlar Personuppgifter.  Kunden ska, i sin användning av Tjänsterna, uppfylla sina skyldigheter enligt Dataskyddslag med avseende på sin behandling av Personuppgifter och i alla behandlingsinstruktioner som den utfärdar till Tjänsteleverantören. Kunden intygar och garanterar att den har de tillstånd som krävs för att Tjänsteleverantören ska få Behandla Personuppgifter för ändamålet att tillhandahålla Tjänsterna till Kunden i enlighet med Avtalet. För att undvika missförstånd påpekas att, i varje enskilt fall där EU:s Dataskyddslag gäller och Kunden är ett Personuppgiftsbiträde, intygar och garanterar Kunden till Clipchamp att Kundens instruktioner, inklusive utnämningen av Clipchamp till ett Personuppgiftsbiträde eller Underbiträde, har godkänts av relevant Personuppgiftsansvarig.

2.4 När en Tjänsteleverantör Behandlar Personuppgifter.  Tjänsteleverantören kommer endast att använda och på annat sätt behandla Kunduppgifter, Uppgifter från Professionella Tjänster och Personuppgifter enligt beskrivningen och med förbehåll för de begränsningar som anges nedan (a) för att tillhandahålla Tjänsterna till Kunden i enlighet med Kundens dokumenterade instruktioner och (b) vad gäller affärshändelser, för att tillhandahålla Tjänsterna till Kunden. Oaktat detta instruerar Kunden Tjänsteleverantören att Behandla Kunddata, Uppgifter från Professionella Tjänster och Personuppgifter: (i) enligt Avtalet (ii) som en del av en Behandling som initierats av Kunden i dess användning av Tjänsterna (iii) att följa Kundens andra rimliga instruktioner i den utsträckning de överensstämmer med villkoren i Avtalet (iv) enligt de rättigheter och skyldigheter som är förknippade med Personuppgifterna. Behandling av Kunduppgifter, Uppgifter från Professionella Tjänster och/eller Personuppgifter utanför Avtalets omfattning kräver en föregående skriftlig överenskommelse mellan Tjänsteleverantören och Kunden genom en skriftlig ändring av Avtalet. Efter skriftlig underrättelse kan Kunden säga upp Avtalet om Tjänsteleverantören inte följer Kundens rimliga instruktioner som ligger utanför de som överenskommits för utförandet av Tjänsterna, i den utsträckning sådana instruktioner är nödvändiga för efterlevnad av Dataskyddslag. Tjänsteleverantören kommer att meddela Kunden om den inte längre kan uppfylla de rättigheter och skyldigheter som är förknippade med Personuppgifterna och kommer omedelbart att upphöra med behandlingen av sådana Personuppgifter och vidta nödvändiga åtgärder för att korrigera eventuell obehörig behandling.

2.5 Begäranden från Registrerad.  Tjänsteleverantören kommer att göra sitt bästa för att omedelbart meddela Kunden om eventuella begäranden från Registrerad om tillgång till, korrigering, ändring eller radering av den personens Personuppgifter. I den utsträckning Kunden inte har tillgång till sådana Personuppgifter genom sin användning av Tjänsterna för att kunna svara på en sådan begäran, kommer Tjänsteleverantören att förse Kunden med kommersiellt rimligt samarbete och bistånd för att svara på en Registrerads begäran om tillgång till den personens Personuppgifter i den utsträckning det är lagligt tillåtet. Kunden kommer att ansvara för alla kostnader som härrör från Tjänsteleverantörs tillhandahållande av sådant bistånd.

2.6 Varaktighet.  Behandlingens varaktighet enligt Avtalet kommer att fortsätta tills de tillämpliga Tjänsterna sägs upp i enlighet med Avtalet.

2.7 Ändamål.  Behandlingens ändamål är att Tjänsteleverantören ska tillhandahålla Tjänsterna till Kunden enligt Avtalet och enligt specifikationerna som angetts i beställningarna av tjänster enligt Avtalet.

2.8 Äganderätt.  Parterna emellan, behåller Kunden alla rättigheter, äganderätt och intressen i och till Kunduppgifter. Clipchamp förvärvar inga rättigheter till Kunduppgifter, förutom de rättigheter som Kunden beviljar till Clipchamp i Avtalet eller i detta Avsnitt 2.8 i DPA. Oaktat detta påverkar detta Avsnitt 2.8 inte Clipchamps rättigheter till programvara eller tjänster som Clipchamp licensierar till Kunden.

2.9 Behandling för Affärsverksamhet. Vid Behandling för Affärsverksamhet kommer Clipchamp att tillämpa principerna för uppgiftsminimering och kommer inte att använda eller på annat sätt Behandla Kunduppgifter, Uppgifter från Professionella Tjänster eller Personuppgifter för: (a) användarprofilering (b) reklam eller liknande kommersiella ändamål som inte är relaterade till Tjänsterna (c) något annat ändamål än de ändamål som anges i detta DPA. I den utsträckning Clipchamp använder eller på annat sätt behandlar Personuppgifter för Affärsverksamhet, som omfattas av EU:s Dataskyddslag, för att tillhandahålla Tjänsterna till Kunden, kommer Clipchamp att uppfylla skyldigheterna för en oberoende personuppgiftsansvarig enligt EU:s Dataskyddslag för användning under sådana begränsade omständigheter. För att undvika missförstånd påpekas att Clipchamp accepterar det ansvar som tillkommer för en ”personuppgiftsansvarig” enligt EU:s Dataskyddslag vid Behandling i förbindelse med dess Affärsverksamhet och kommer att: (a) agera i enlighet med regulatoriska krav, i den utsträckning som krävs enligt EU:s Dataskyddslag och (b) tillhandahålla ökad transparens för Kunden och bekräfta Clipchamps ansvar för sådan Behandling. Clipchamp tillämpar åtgärder för att skydda Kunduppgifter, Uppgifter från Professionella Tjänster och Personuppgifter vid Behandling, inklusive de som identifieras i detta DPA och de som avses i Artikel 6(4) i GDPR. När det gäller Behandling av Personuppgifter enligt detta avsnitt åtar sig Clipchamp även det som anges i avsnittet Ytterligare skyddsåtgärder. För dessa ändamål (i) anses alla avslöjanden av Personuppgifter som Clipchamp gör, enligt beskrivningen i Tillägg II till Bilaga 1 (Tekniska och organisatoriska åtgärder inklusive tekniska och organisatoriska åtgärder för att säkerställa datasäkerheten) (individuellt och sammantaget, ”Ytterligare skyddsåtgärder”) och som har överförts i förbindelse med Affärsverksamhet, vara ett ”Relevant avslöjande” och (ii) åtagandena i Ytterligare skyddsåtgärder gäller sådana Personuppgifter.

2.10 Behandling av Personuppgifter – GDPR. Alla Personuppgifter som behandlas av Clipchamp i förbindelse med tillhandahållandet av Tjänsterna har erhållits som en del av antingen (a) Kunduppgifter (b) Uppgifter från Professionella Tjänster eller (c) uppgifter som genererats, härletts eller samlats in av Clipchamp för eller för att främja Tjänsternas prestanda (inklusive uppgifter som skickas till Clipchamp till följd av en Kunds användning av funktioner som baseras på tjänster eller som erhållits av Clipchamp från lokalt installerad programvara). Personuppgifter som tillhandahålls till Clipchamp av, eller på uppdrag av, Kunden genom användning av Tjänsterna är också Kunduppgifter. Personuppgifter som tillhandahålls till Clipchamp av, eller på uppdrag av, Kunden genom användning av de Professionella Tjänsterna är också Uppgifter från Professionella Tjänster. Pseudonymiserade identifierare kan inkluderas i uppgifter som behandlas av Clipchamp i förbindelse med tillhandahållandet av Tjänsterna och är också Personuppgifter. Alla Personuppgifter som pseudonymiseras eller avidentifieras men inte anonymiseras, eller Personuppgifter som härletts från Personuppgifter är också Personuppgifter.

2.11 Avslöjande av Behandlade uppgifter. Clipchamp kommer inte att avslöja eller ge tillgång till några Behandlade uppgifter förutom: (1) såsom Kunden anvisar (2) såsom beskrivs i detta DPA eller (3) såsom krävs enligt tillämplig lag. All Behandling av Behandlade uppgifter är föremål för Clipchamps sekretesskyldighet enligt Avtalet. Clipchamp kommer inte att avslöja eller ge tillgång till några Behandlade uppgifter till brottsbekämpande myndigheter såvida det inte krävs enligt tillämplig lag. Om brottsbekämpande myndigheter skulle kontakta Clipchamp med en begäran avseende Behandlade uppgifter kommer Clipchamp att försöka omdirigera den brottsbekämpande myndigheten till Kunden, för att begära dessa uppgifter direkt från Kunden. Om Clipchamp tvingas avslöja eller ge tillgång till Behandlade uppgifter för brottsbekämpande myndigheter, kommer Clipchamp omedelbart att meddela Kunden och tillhandahålla en kopia av kravet, såvida Clipchamp inte är förbjuden, eller rimligen anser att de förbjuds, enligt lag att göra det. Vid mottagande av annan tredje parts begäran om Behandlade uppgifter kommer Clipchamp att snarast meddela Kunden, såvida de inte förbjuds enligt lag att göra det. Clipchamp kommer att avvisa begäran såvida den inte måste uppfyllas enligt lag. Om förfrågan är giltig kommer Clipchamp att försöka omdirigera den tredje parten till Kunden, för att begära dessa uppgifter direkt från Kunden. För att undvika missförstånd påpekas att Clipchamp inte kommer att ge någon tredje part: (a) direkt, indirekt, allmän eller fri tillgång till Behandlade uppgifter (b) plattformskrypteringsnycklar som används för att säkra Behandlade uppgifter eller möjlighet att bryta en sådan kryptering eller (c) någon form av tillgång till Behandlade uppgifter om Clipchamp är medvetet om att sådana uppgifter kommer att används för andra ändamål än de som anges i den tredje partens begäran. Som stöd för det ovannämnda kan Clipchamp tillhandahålla Kundens grundläggande kontaktinformation till tredje part.

3. ANLITANDE AV UNDERBRITRÄDEN.

3.1 Användning av underbiträden.  Kunden bekräftar och samtycker till att (a) Tjänsteleverantörens koncernbolag och tredje parts tjänsteleverantörer kan anlitas som Underbiträden i förbindelse med tillhandahållandet av Tjänsterna. Sådana Underbiträden kommer endast att få åtkomst till Personuppgifter för att leverera de tjänster som Tjänsteleverantören har anlitat dem för att tillhandahålla i förbindelse med Tjänsterna och de är förbjudna att använda Personuppgifter för något annat ändamål. Tjänsteleverantören har ingått ett skriftligt avtal med varje Underbiträde som innehåller dataskyddsförpliktelser i enlighet med detta DPA i den utsträckning som gäller för de tjänster som tillhandahålls av Underbiträdet.

3.2 Ansvar för Underbiträden.  Tjänsteleverantören ska vara ansvarig för sina Underbiträdens handlingar i samma utsträckning som Tjänsteleverantören skulle vara ansvarig om de själva skulle utföra Underbiträdets tjänster enligt detta DPA, med undantag för vad som annars anges i Avtalet.

3.3 Invändning mot Underbiträden.  På begäran ska Tjänsteleverantören tillhandahålla en aktuell lista över Underbiträden för de Tjänster som Kunden har tillgång till. Om Kunden har rimliga skäl att invända mot ett Underbiträde, ska Tjänsteleverantören meddela Kunden om alla tillgängliga alternativ för att ändra Tjänsterna eller ta emot Tjänsterna från ett alternativt Underbiträde, tillsammans med eventuella tillämpliga avgifter eller ändringar av villkoren. Om inte ett alternativ som är godtagbart för Kunden är tillgängligt inom rimlig tid, kan Kunden säga upp de Tjänster som inte kan tillhandahållas av Tjänsteleverantören utan det Underbiträde Kunden invänt mot, och få en proportionell återbetalning för den återstående oanvända perioden för Tjänsterna.

4. SEKRETESS OCH SÄKERHET FÖR UPPGIFTER.

4.1 Tjänsteleverantörens säkerhetsåtgärder.  Tjänsteleverantören ska upprätthålla ett skriftligt säkerhetsprogram för att skydda mot Personuppgiftsincidenter och för att bevara säkerhet och sekretess för Personuppgifter som behandlas av Tjänsteleverantören vid tillhandahållandet av Tjänsterna, i enlighet med Dataskyddslag. Tjänsteleverantörens säkerhetsprogram omfattar administrativa, tekniska och fysiska skyddsåtgärder som är lämpliga för Tjänsteleverantörens storlek och resurser och de typer av uppgifter som den Tjänsteleverantören behandlar. Tjänsteleverantören kan uppdatera sina säkerhetsåtgärder från tid till annan i enlighet med utvecklingen av bästa branschpraxis, förutsatt att sådana uppdateringar och ändringar inte leder till försämrad säkerhet för Tjänsterna. För alla Tjänster för vilka Tjänsteleverantören erhåller certifieringar eller granskningar från tredje part, ska Tjänsteleverantören, på begäran, tillhandahålla en kopia av Tjänsteleverantörens senaste certifiering eller granskning från tredje part, beroende på vad som är tillämpligt, som Tjänsteleverantören i allmänhet gör tillgängliga för sina kunder vid tidpunkten för begäran.

4.2 Tjänsteleverantörens personal.  Tjänsteleverantören ska säkerställa att Tjänsteleverantörens personals åtkomst till Personuppgifter begränsas till den Tjänsteleverantörspersonal som behöver sådan åtkomst för att utföra Avtalet. Tjänsteleverantörens personal som har tillgång till Personuppgifter kommer att informeras om Personuppgifternas konfidentiella natur, omfattas av skriftliga sekretessförpliktelser och få lämplig utbildning för sitt ansvar och Personuppgifternas typ.

4.3 Kundens säkerhetsåtgärder.  En Tjänst kan tillhandahålla säkerhetsfunktioner och funktionalitet som Kunden kan välja att använda (t.ex. kryptering av uppgifter under överföring). I den utsträckning som Tjänsten förser Kunden med kontroller och funktionalitet för att Kunden ska kunna hantera Tjänsten, är Kunden ansvarig för att konfigurera Tjänsten på lämpligt sätt och använda tillgängliga kontroller när Kunden anser att det är lämpligt för att upprätthålla lämplig säkerhet, skydd, radering och säkerhetskopiering av Personuppgifter. Kunden är också ansvarig för att implementera lämpliga tekniska och organisatoriska åtgärder relaterade till dess användning av Tjänsterna på ett sätt som gör det möjligt för Kunden att efterleva Dataskyddslag.

5. ÅTGÄRDER VID PERSONUPPGIFTSINCIDENTER.

Tjänsteleverantören ska göra sitt bästa för att omedelbart underrätta Kunden om obehörigt avslöjande eller förlust av Personuppgifter enligt vad som krävs enligt Dataskyddslag och enligt de relevanta bestämmelserna i Avtalet. Tjänsteleverantören kommer att vidta lämpliga åtgärder för att identifiera och avhjälpa orsaken till sådant obehörigt avslöjande eller sådan förlust och kommer att tillhandahålla all information om Personuppgiftsincidenten som Kunden har rimliga skäl att begära. Underrättelsen kommer att levereras till Kundens administratörer för Tjänsten med normala metoder för underrättelser förutom att e-postmeddelanden kommer att skickas till den e-postadress som är registrerad hos Clipchamp för Kunden på grund av att tidsaspekten är av avgörande betydelse i denna situation. Det är Kundens ansvar att säkerställa att Kunden upprätthåller aktuella kontaktuppgifter på tillämplig konsol för Tjänsten. Kunden bekräftar att Tjänsteleverantören inte kommer att underrätta Kunden om Personuppgiftsincidenter som inte ledde till obehörig åtkomst till eller förlust av Personuppgifter.

6. ÖVERFÖRING OCH EXPORT AV PERSONUPPGIFTER.

6.1 Överföringar av uppgifter.  Kunden bekräftar och samtycker till Tjänsteleverantörens överföring av Personuppgifter (inklusive, om Kunden befinner sig i Europa, till utanför EES och Schweiz, enligt Avsnitt 6.2 nedan, och om kunden befinner sig i Australien, till utanför Australien), under förutsättning att Tjänsteleverantören följer tillämplig Dataskyddslag och kraven i detta DPA.

6.2 Export av uppgifter från EES och Schweiz.  Såvida inte Tjänsteleverantören har tillhandahållit en alternativ adekvat överföringsmekanism (som erkänts enligt Dataskyddslag) för det tillämpliga landet eller om Tjänsteleverantören agerar som Underbiträde, kommer Standardavtalsklausulerna att gälla för Personuppgifter som överförs av Tjänsteleverantören från det Europeiska ekonomiska samarbetsområdet (”EES”) och/eller Schweiz till ett land som inte erkänts av Europeiska kommissionen eller den schweiziska federala dataskyddsmyndigheten att erbjuda en adekvat skyddsnivå för Personuppgifter. Sådana överföringar av Personuppgifter från EES eller Schweiz kommer att regleras av Modul 2 i Standardavtalsklausulerna som finns tillgänglig på http://data.europaeu/eli/dec_impl/2021/914/oj (”Nya SCC:er”) och överföring av Personuppgifter från Storbritannien regleras av Standardavtalsklausulerna som finns tillgängliga på https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32010D0087 (Äldre SCC:er”). De Nya SCC:erna och de Äldre SCC:erna är införlivade i och utgör en del av detta DPA. I de Nya SCC:erna och de Äldre SCC:erna avser termen ”dataimportör” Tjänsteleverantören, och termen ”dataexportör” avser Kunden och dess Koncernbolag. Oaktat det föregående gäller följande vid tillämpningen av Standardavtalsklausulerna:

  • alternativ sats 7 i de Nya SCC:erna kommer inte att vara tillämplig;

  • alternativ 1 i sats 9(a) i de Nya SCC:erna kommer att vara tillämplig och tidsperioden kommer att anges som 30 dagar;

  • alternativ 1 i sats 17 i de Nya SCC:erna kommer att vara tillämplig och avse Republiken Irland;

  • den alternativa texten i sats 11(a) i de Nya SCC:erna kommer inte att vara tillämplig;

  • Tillägg I, II och III till de Nya SCC:erna och Appendix I till de Äldre SCC:erna kommer i sin helhet att ersättas av Bilaga 1 som bifogas härtill.

6.3 Alternativ mekanism för export av Uppgifter. Om Tjänsteleverantören antar en annan alternativ mekanism för dataexport (som erkänts enligt Dataskyddslag), kommer Standardavtalsklausulerna att upphöra att gälla från och med det datum då Tjänsteleverantören implementerar en sådan ny mekanism för dataexport. 

7. RADERING AV UPPGIFTER.

Under och efter Avtalet ska Tjänsteleverantören radera eller återlämna alla Personuppgifter som Tjänsteleverantören har i sin besittning eller kontroll, till Kunden enligt Avtalet, förutom i den utsträckning som Tjänsteleverantören enligt tillämplig lag är skyldig att behålla specifika Personuppgifter (i vilket fall Tjänsteleverantören kommer att arkivera uppgifterna och implementera rimliga åtgärder för att förhindra att Personuppgifterna vidarebehandlas). Villkoren i detta DPA kommer att fortsätta att gälla för sådana Personuppgifter.

8. SAMARBETE.

8.1 DPIA, register över Behandlingsaktiviteter och samråd med dataskyddsmyndighet.  I den utsträckning som krävs enligt EU:s Dataskyddslag ska Tjänsteleverantören, efter rimligt varsel och på Kundens bekostnad, tillhandahålla, rimligen begärd information om Tjänsterna, för att göra det möjligt för Kunden att utföra konsekvensbedömningar avseende dataskydd (data protection impact assessments, ”DPIA”), register över behandlingsaktiviteter och/eller förhandssamråd med dataskyddsmyndighet. För att undvika missförstånd påpekas att Clipchamp (om så begärs) kommer att tillhandahålla register och information till Kunden och hålla dessa register och sådan information korrekt och aktuell i den utsträckning som krävs enligt EU:s Dataskyddslag.

8.2 Begäranden från rättsväsendet.  Om Tjänsteleverantören mottar en juridiskt bindande begäran om avslöjande av Personuppgifter som är föremål för detta DPA, ska en sådan begäran omedelbart vidarebefordras till Kunden för att ge Kunden möjlighet att delta i de juridiska processer som den anser lämpligt med avseende på skyddet eller avslöjandet av Personuppgifter. Oaktat detta kan Clipchamp göra alla sådana uppgifter tillgänglig för tillsynsmyndigheten om det krävs enligt Dataskyddslag.

8.3 Granskningar.  Med avseende på de granskningar som beskrivs i satserna 5(f), 11 och 12(2) i EU:s modellklausuler samtycker Kunden till att granskningarna ska utföras i enlighet med följande specifikationer: På dataexportörens begäran, och med förbehåll för de sekretessförpliktelser som anges i Avtalet, ska Tjänsteleverantören, inom rimlig tid efter en sådan begäran, ge dataexportören (eller dataexportörens oberoende, tredje parts granskare som inte är en av Tjänsteleverantörens konkurrenter) information om Tjänsteleverantörens efterlevnad av de skyldigheter som anges i detta DPA. Detta kan vara i form av tredje parts granskningsrapporter och certifikat, i den utsträckning som Tjänsteleverantören har sådana aktuella rapporter eller certifikat och i allmänhet gör dem tillgängliga för kunder. Kunden ska ersätta Tjänsteleverantören för all nedlagd tid och de kostnader som uppstått vid en granskning på plats enligt Tjänsteleverantörens standardpris för professionella tjänster. Innan en granskning påbörjas ska Tjänsteleverantören och dataexportören komma överens om omfattning, tid och varaktighet.

9. ANSVARSBEGRÄNSNING.

9.1 Friskrivning från skadestånd. UNDER INGA OMSTÄNDIGHETER SKA NÅGONDERA PARTEN VARA ANSVARIG GENTEMOT DEN ANDRA PARTEN FÖR INDIREKTA, TILLFÄLLIGA, EXEMPLARISKA, SÄRSKILDA ELLER PÅFÖLJANDE SKADESTÅND SOM HÄRRÖR FRÅN ELLER HAR SAMBAND MED DETTA DPA ELLER AVTALET, ÄVEN OM RISKEN FÖR SÅDANT SKADESTÅND PÅPEKATS I FÖRVÄG.

9.2 Totalt ansvar.  DE ANSVAR SOM ÄR FÖRKNIPPADE MED DETTA DPA SKA OMFATTAS AV DEN ANSVARSBEGRÄNSNING SOM ANGES I AVTALET. OM INGEN ANSVARSBEGRÄNSNING ANGES I AVTALET SKA UNDER INGA OMSTÄNDIGHETER NÅGONDERA PARTENS SAMMANLAGDA ANSVAR GENTEMOT DEN ANDRA PARTEN FÖR ALLA ORSAKER TILL TALAN OCH TEORIER OM ANSVAR ÖVERSTIGA EN (1) GÅNGER DET FAKTISKA BELOPP SOM KUNDEN BETALAT TILL TJÄNSTELEVERANTÖREN UNDER DE FÖREGÅENDE TOLV (12) MÅNADERNA ENLIGT AVTALET.

10. ALLMÄNT.

10.1 Ändring och tillägg.  Parterna samtycker till att ömsesidigt fastställa och utföra lämpliga ändringar av villkoren i detta DPA som inte väsentligt ändrar den ekonomi eller riskfördelning som fastställs i Avtalet (i) om det krävs av en tillsynsmyndighet eller annan myndighet eller reglerande myndighet (ii) om det är nödvändigt för att följa Dataskyddslag (iii) för att implementera eller följa reviderade standardavtalsklausuler som kan utfärdas enligt Dataskyddslag. För att undvika missförstånd påpekas att de standardavtalsklausuler som anges i Storbritanniens internationella dataöverföringsavtal (International Data Transfer Agreement, ”ITDA”)https://icoorg.uk/media/for-organisations/documents/4019483/international-data-transfer-addendum.pdf kommer, under detta DPA, att gälla för överföring av Personuppgifter från Storbritannien till USA och andra jurisdiktioner som bedöms sakna adekvat skyddsnivå. Kompletterande villkor kan läggas till som en Bilaga eller Appendix till detta DPA när sådana villkor endast gäller för behandling av Personuppgifter enligt Dataskyddslagen i specifika länder eller jurisdiktioner. Endera parten kan underrätta den andra parten om sådana ändringar, och ändrat DPA kommer att träda i kraft enligt villkoren i Avtalet.

10.2 Tillämplig lagstiftning och plats för lösande av tvister. Med undantag för vad som annars krävs för att följa Dataskyddslag (inklusive, utan begränsning, EU:s Dataskyddslag), ska detta DPA tolkas och verkställas i enlighet med Avtalet utan hänsyn till principer för lagkonflikter (”tillämplig lag”). Varje part samtycker till att all talan, stämning eller annat förfaranden som baseras på eller härrör från detta DPA (vardera en ”Tvist”) kommer att inges och hävdas enligt Avtalet, och varje part samtycker till den obligatoriska jurisdiktionen och platsen för sådana skiljemän och domstolar och avstår från rätten att invända mot jurisdiktion och plats. Den parten som vinner en Tvist har rätt till ersättning för rimliga advokatarvoden och kostnader förutom i skiljeförfarande, där ersättning för advokatarvoden och kostnader regleras av Avtalet och skiljeförfarandets regler. Uniform Computer Information Transactions Act och FN:s konvention om avtal om internationella köp av varor kommer inte att gälla för detta DPA.

10.3 Övrigt. Vid tillämpningen av detta DPA omfattar alla definierade termer i singular även plural och vice versa. Förutom i den mån ett annat DPA har upprättats eller kommer att upprättas mellan parterna avseende sakfrågan häri, utgör detta DPA fullständig reglering mellan parterna och ersätter alla förslag, muntliga eller skriftliga, alla förhandlingar, samtal eller diskussioner mellan eller bland parterna som rör sakfrågan för detta DPA och alla tidigare erbjudanden eller branschnormer eller sedvänjor.

10.4 Kaliforniens lag om konsumentskydd (California Consumer Privacy Act, CCPA). Om Clipchamp behandlar Personuppgifter inom ramen för CCPA, åtar sig Clipchamp dessutom följande gentemot Kunden. Clipchamp kommer att behandla Kunduppgifter, Uppgifter från Professionella Tjänster och Personuppgifter på Kundens vägnar och inte behålla, använda eller avslöja dessa uppgifter för något annat ändamål än de ändamål som anges i detta DPA och som tillåts enligt CCPA, inklusive under alla undantag för försäljning. Under inga omständigheter kommer Clipchamp att sälja sådana uppgifter. Dessa CCPA-villkor begränsar eller minskar inga dataskyddsåtaganden som Clipchamp åtar sig gentemot Kunden enligt detta DPA och/eller annat Avtal mellan Clipchamp och Kunden. I den utsträckning som krävs enligt tillämplig lag ska CCPA-tillägget som bifogas som Bilaga 2 till detta DPA gälla för Tjänsterna.

10.5 Biometriska uppgifter. Om Kunden använder Tjänster för att behandla Biometriska uppgifter, i den utsträckning detta är tillåtet enligt tillämplig lag, är Kunden ansvarig för att: (i) underrätta de registrerade, inklusive med avseende på lagringsperioder och förstörelse (ii) inhämta samtycke från de registrerade (iii) radera de Biometriska uppgifterna, allt enligt tillämpliga och obligatoriska dataskyddskrav. Clipchamp kommer att behandla de Biometriska uppgifterna enligt Kundens dokumenterade instruktioner (som beskrivs i avsnittet ”Omfattning, roller, behandling och begäranden från registrerade” ovan) och skydda dessa Biometriska uppgifter i enlighet med villkoren för datasäkerhet och dataskydd under detta DPA. För ändamålet med detta avsnitt har ”Biometriska uppgifter” den betydelse som anges i Artikel 4 i GDPR och, om tillämpligt, motsvarande termer i annan Dataskyddslag.

BILAGA 1

TILLÄGG I

A. LISTA ÖVER PARTER

Dataexportör(er):

Namn: Kunden eller Kundens koncernbolag eller deras respektive klienter och klinters koncernbolag som är användare av Tjänsteleverantörens produkter eller tjänster (”Tjänsteleverantörslösningar”) och finns i det Europeiska ekonomiska samarbetsområdet eller Schweiz.

Adress: Adress som anges i Avtalet.

Kontaktpersonens namn, befattning och kontaktuppgifter: De som anges i Avtalet. Om de inte anges i Avtalet, de som undertecknat Avtalet.

Telefonnummer: Det som anges i avsnittet om underrättelser i Avtalet. Om inget har angetts, anges ”saknas”. E-postadress: Den som anges i avsnittet om underrättelser i Avtalet. Om ingen har angetts, anges ”saknas”.

Aktiviteter som är relevanta för de uppgifter som överförs enligt dessa satser:

Använda Clipchamps Tjänster enligt beskrivningen i Avtalet.

Underskrift och datum: Samma undertecknare och datum som i Avtalet.

Roll (personuppgiftsansvarig/personuppgiftsbiträde): Personuppgiftsansvarig

Dataimportör(er):

Namn: Clipchamp Pty Ltd (ACN 162516556)

Adress: Level 1, 315 Brunswick Street, Fortitude Valley QLD 4006, Australien

Kontaktpersonens namn, befattning och kontaktuppgifter: Clipchamp Pty Ltd, c/o Microsoft Corporation, Att: Chief Privacy Officer, 1 Microsoft Way, Redmond, WA 98052 USA

Telefon: saknas, e-post: privacy@clipchamp.com

Aktiviteter som är relevanta för de uppgifter som överförs enligt dessa satser:

Utföra Clipchamps Tjänster enligt beskrivningen i Avtalet.

Underskrift och datum: Samma undertecknare och datum som i Avtalet.

Roll (personuppgiftsansvarig/personuppgiftsbiträde): Personuppgiftsbiträde

B. BESKRIVNING AV ÖVERFÖRING

Kunden kan som dataexportör skicka personuppgifter till Clipchamp (dataimportör), vars omfattning fastställs och kontrolleras av dataexportören efter eget gottfinnande och som kan inkludera, utan begränsning, följande kategorier av registrerade vars personuppgifter överförs:

  • prospekt, kunder, affärspartner, leverantörer och anställda hos dataexportören (som är fysiska personer)

  • anställda eller kontaktpersoner hos dataexportören och/eller dataexportörens prospekt, kunder, affärspartner och leverantörer

  • dataexportörernas användare som är auktoriserade av dataexportören att använda Tjänsterna

  • personer vars bilder kan förekomma i videor som laddas upp av dataexportörernas användare.

Kunden kan som dataexportör skicka personuppgifter till Clipchamp (dataimportör), vars omfattning fastställs och kontrolleras av dataexportören efter eget gottfinnande och som kan inkludera, utan begränsning, följande kategorier av personuppgifter:

  • Kontaktuppgifter, anställnings- och utbildningsuppgifter, IP-adress, anslutningsuppgifter, lokaliseringsuppgifter och personuppgifter som ingår i innehåll som skapats av eller om användaren (inklusive, utan begränsning, videor och bilder som visas i videor som laddats upp av dataexportörers användare).

Känsliga uppgifter som överförs (om tillämpligt) och tillämpade begränsningar eller skyddsåtgärder som fullt ut tar hänsyn till typen av uppgifter och de risker som är förknippade med dem, t.ex. strikt ändamålsbegränsning, åtkomstbegränsningar (inklusive endast åtkomst för personal som har gått specialiserad utbildning), hålla register över åtkomst till uppgifterna, begränsningar för vidare överföringar eller ytterligare säkerhetsåtgärder:

  • Från och med Avtalets Ikraftträdandedatum förväntar sig parterna inte att särskilda kategorier av personuppgifter överförs. Oaktat detta kan Kunden som dataexportör skicka särskilda kategorier av uppgifter till Clipchamp (dataimportör), vars omfattning fastställs och kontrolleras av dataexportören efter eget gottfinnande, genom att ladda upp videor, textfält eller annat innehåll som, och här vill vi förtydliga, kan avslöja ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, fackföreningsmedlemskap och/eller hälsa eller sexliv.

Överföringens frekvens (t.ex. om uppgifterna överförs på engångsbasis eller kontinuerligt):

  • Kontinuerlig.

Typ av behandling:

  • Utföra Tjänsterna enligt beskrivningen i Avtalet.

Ändamål med dataöverföringen och vidare behandling:

  • Utföra Tjänsterna enligt beskrivningen i Avtalet.

Den period under vilken personuppgifterna kommer att lagras, eller, om detta inte är möjligt, de kriterier som används för att fastställa den perioden:

  • För Avtalsperioden.

För överföringar till underbiträden, ange även sakfrågan, typ och varaktighet för behandlingen:

  • Enligt detta DPA kan dataimportören även anlita andra företag för att tillhandahålla begränsade tjänster på dataimportörens vägnar, till exempel för att tillhandahålla kundsupport. Sådana underleverantörer kommer endast att tillåtas erhålla personuppgifter för att leverera de tjänster som dataimportören har anlitat dem för att tillhandahålla och de är förbjudna att använda personuppgifter för något annat ändamål.

C.   BEHÖRIG TILLSYNSMYNDIGHET

Den behöriga tillsynsmyndigheten ska vara:

  • Irlands tillsynsmyndighet

TILLÄGG II -

TEKNISKA OCH ORGANISATORISKA ÅTGÄRDER, INKLUSIVE TEKNISKA OCH ORGANISATORISKA ÅTGÄRDER FÖR ATT SÄKERSTÄLLA UPPGIFTERNAS SÄKERHET

Clipchamp upprätthåller dokumenterade säkerhetspolicyer för tillämpliga Tjänster, som är tillgängliga för Kunden i en Bilaga enligt villkoren för sekretess i Avtalet.

Underbiträden

Listan över Clipchamps godkända Underbiträden finns tillgänglig enligt villkoren för sekretess i Avtalet genom att skicka en begäran till din försäljningsrepresentant hos Clipchamp. För att undvika missförstånd påpekas att en sådan lista över Underbiträden kan uppdateras av Clipchamp i enlighet med Avtalet och/eller detta DPA.

BILAGA 2

Tillägg till California Consumer Privacy Act

Detta tillägg till Kaliforniens lag om konsumentskydd (California Consumer Privacy Act, CCPA) (”Tillägg”) daterat från och med Avtalets Ikraftträdandedatum (enligt definitionen nedan) införlivas i och utgör en del av beställningen, överenskommelsen och/eller dataskyddsavtalet/appendix som accepterats av Clipchamp och/eller dess Koncernbolag som anges nedan (”Tjänsteleverantör”) och Kunden och/eller dess Koncernbolag för Avtalet. Tjänsteleverantören och Kunden är var för sig en ”part” och gemensamt ”parterna”. Vid tillämpningen av detta Tillägg avses med ”Koncernbolag” varje enhet som direkt eller indirekt ägs eller kontrolleras av en part, där ”kontroll” definieras som innehavet, direkt eller indirekt, av befogenheten att leda eller bestämma över en enhets ledning och policyer, oavsett om det sker genom ägande av röstberättigade värdepapper, genom avtal eller på annat sätt. Om inget annat anges häri, kommer alla termer som inte definieras i detta Tillägg att ha den betydelse som anges i Avtalet.

Detta tillägg framställer de allmänna villkor som är relaterade till efterlevnad av California Consumer Privacy Act of 2018, Cal. Civil Code §1798.100 och följande och relaterade bestämmelser (”CCPA”), inklusive dess eventuella ändrade lydelse. I händelse av en konflikt mellan detta Tillägg och Avtalet ska detta Tillägg ha företräde, när så är tillämpligt. Termer med stor begynnelsebokstav som identifieras i detta Tillägg ska ha samma betydelse som de som definieras i CCPA, om inget annat anges.

Parterna samtycker till följande:

  1. I den utsträckning det är tillämpligt ska Tjänsteleverantören alltid följa CCPA, inklusive dess eventuella ändrade lydelser. Vidare, i den utsträckning som några Personuppgifter (enligt definitionen i CCPA) (”Personuppgifter”) samlas in av Tjänsteleverantören som ett resultat av detta Avtal, kommer Tjänsteleverantören inte att lagra, använda eller lämna ut Personuppgifterna för något annat ändamål än att tillhandahålla de Tjänster som anges i Avtalet. Tjänsteleverantören kommer inte att lagra, använda eller avslöja Personuppgifterna annat än för tillåtna ändamål enligt Avtalet.

  2. Inte lagra, använda eller avslöja Personuppgifterna utanför den direkta affärsrelationen mellan Tjänsteleverantören och Kunden; med undantag av att Tjänsteleverantören får lämna ut Personuppgifter till och tillåta att tjänsteleverantörer som utför tjänster för eller på uppdrag av Tjänsteleverantören behandlar Personuppgifter, förutsatt att sådana tjänsteleverantörer är föremål för likvärdiga kontraktsmässiga krav med avseende på Personuppgifter som gäller för Tjänsteleverantören enligt Avtalet och detta Tillägg. Tjänsteleverantören förblir ansvarig för sina tjänsteleverantörers handlingar.

Oaktat om något annat anges i detta Avtal, samtycker parterna till att allt tillhandahållande av Personuppgifter från Kunden till Tjänsteleverantören är nödvändigt för att utföra ett affärsändamål och inte är en del av och uttryckligen exkluderad från utbytet av ersättning eller något annat av värde mellan parterna.

Om någon ändring av detta Tillägg krävs på grund av en ändring av lagar eller förordningar om dataskydd, kan endera parten lämna ett skriftligt meddelande till den andra parten om den lagändringen. Parterna ska i god anda diskutera och förhandla om alla nödvändiga ändringar av detta Tillägg för att åtgärda sådana ändringar så snart som det är praktiskt möjligt.

It looks like your preferred language is English