Databehandleraftale

01Parter og hvordan aftalen gælder

Denne databehandleraftale ("DPA") indgås mellem den kunde, der bruger Depaza som led i erhverv ("Kunden"), og Depaza, udbyderen af tjenesterne på depaza.com, som kan kontaktes på [email protected] ("Depaza"). Den udgør en del af aftalen om Kundens brug af tjenesterne ("Aftalen") og gælder, når Depaza behandler personoplysninger på Kundens vegne efter GDPR.

Ved at bruge tjenesterne som led i erhverv accepterer Kunden denne DPA. En kontrasigneret kopi fås på forespørgsel.

02Parternes roller

For Kundeindhold — de prompts, beskeder, filer og andet materiale, som Kunden eller dens brugere indsender til tjenesterne — er Kunden dataansvarlig og Depaza databehandler.

For konto-, betalings-, sikkerheds- og forbrugsdata, som Depaza skal bruge for at drive tjenesterne (e-mailadresser, plan- og betalingsstatus, token-tællinger, request-logs), er Depaza selvstændig dataansvarlig, som beskrevet i vores privatlivspolitik.

Hvor Kunden ikke har fravalgt modelforbedring (se afsnittet om modelforbedring nedenfor), handler Depaza som selvstændig dataansvarlig for netop dén behandling, inden for de grænser der er beskrevet dér.

03Genstand, varighed, karakter og formål

Genstand: levering af Depazas AI-assistent, dokumentgenerering, søgning, udvikler-API og kode-CLI. Varighed: Aftalens løbetid plus de sletningsvinduer, der er beskrevet nedenfor. Karakter og formål: hosting, lagring og behandling af Kundeindhold for at generere de svar, dokumenter og søgeresultater, Kunden beder om, og så brugerne kan tilgå deres egen historik. Detaljer fremgår af bilag 1.

04Kategorier af registrerede og personoplysninger

Registrerede: Kundens brugere samt personer, hvis personoplysninger optræder i Kundeindhold. Personoplysninger: alle personoplysninger i prompts, samtaler, uploadede filer og genererede dokumenter — kategorierne afgøres af, hvad Kunden vælger at indsende, og kan omfatte særlige kategorier, hvis Kunden indsender dem. Kunden er ansvarlig for at have lovligt grundlag for de personoplysninger, den indsender.

05Behandling efter dokumenteret instruks

Depaza behandler kun Kundeindhold efter Kundens dokumenterede instruks — Aftalen, denne DPA og Kundens brug af tjenesternes funktioner udgør instruksen — medmindre behandling kræves efter EU-retten eller medlemsstaternes ret; i så fald underretter Depaza Kunden inden behandlingen, medmindre loven forbyder det. Depaza underretter Kunden, hvis en instruks efter Depazas opfattelse strider mod GDPR.

06Modelforbedring og fravalg

Som beskrevet i privatlivspolitikken kan Depaza bruge Kundeindhold til at forbedre Depazas egne EU-hostede modeller. Behandlingen sker udelukkende på EU-infrastruktur; indhold brugt hertil sendes aldrig til udbydere uden for EU og sælges aldrig. For netop dette formål handler Depaza som selvstændig dataansvarlig.

Kunden kan til enhver tid undtage sin konto fra modelforbedring ved at skrive til [email protected] — undtagelsen anvendes på kontoen og bekræftes skriftligt. Enterprise-aftaler undtager modelforbedring kontraktligt som standard (no-train-garanti).

07Fortrolighed

Depaza sikrer, at enhver person med adgang til at behandle Kundeindhold er underlagt fortrolighed, enten kontraktligt eller ved lov, og kun tilgår Kundeindhold, hvor det er strengt nødvendigt for at drive tjenesterne, yde support som Kunden har bedt om, undersøge misbrug eller efterleve loven.

08Behandlingssikkerhed

Depaza implementerer og vedligeholder de tekniske og organisatoriske foranstaltninger i bilag 2 under hensyn til det aktuelle tekniske niveau, implementeringsomkostningerne og behandlingens karakter, omfang, sammenhæng og formål. Depaza kan løbende opdatere foranstaltningerne, forudsat at det samlede beskyttelsesniveau ikke forringes.

09Underleverandører

Kunden giver Depaza generel godkendelse til at bruge de underleverandører, der er anført på depaza.com/subprocessors. Depaza pålægger hver underleverandør databeskyttelsesforpligtelser, der ikke er mindre beskyttende end denne DPA, og hæfter fuldt ud over for Kunden for deres opfyldelse.

Depaza varsler nye underleverandører eller væsentlige ændringer mindst 30 dage i forvejen ved at opdatere siden — og pr. e-mail for kunder, der har bedt om det. Gør Kunden rimelig indsigelse på databeskyttelsesgrundlag, og findes der ingen løsning, kan Kunden opsige de berørte tjenester.

10Bistand med de registreredes rettigheder

Under hensyn til behandlingens karakter bistår Depaza Kunden med passende tekniske og organisatoriske foranstaltninger til at opfylde Kundens pligt til at besvare anmodninger fra registrerede (indsigt, berigtigelse, sletning, begrænsning, portabilitet, indsigelse). Brugere kan selv slette samtaler i produktet; for alt andet, skriv til [email protected], og vi svarer inden for den lovbestemte frist. Kontakter en registreret Depaza direkte om Kundeindhold, henviser Depaza uden unødig forsinkelse til Kunden.

11Underretning om brud på persondatasikkerheden

Depaza underretter Kunden uden unødig forsinkelse, og senest inden for 72 timer, efter at være blevet bekendt med et brud på persondatasikkerheden, der berører Kundeindhold. Underretningen beskriver, i det omfang det vides, bruddets karakter, kategorierne og det omtrentlige antal berørte registrerede og registreringer, de sandsynlige konsekvenser og de trufne eller foreslåede foranstaltninger. Depaza dokumenterer brud og samarbejder om Kundens egne underretningsforpligtelser.

12Konsekvensanalyser og forudgående høring

Depaza yder Kunden rimelig bistand — primært via oplysningerne i denne DPA, underleverandørlisten og vores sikkerhedsdokumentation — til konsekvensanalyser og forudgående høring af tilsynsmyndigheder, hvor det kræves, og i det omfang oplysningerne er tilgængelige for Depaza.

13Sletning og tilbagelevering af data

Brugere kan til enhver tid slette enkelte samtaler. Ved Aftalens ophør, eller på skriftlig anmodning, sletter Depaza Kundens Kundeindhold inden for 30 dage, medmindre EU-retten eller medlemsstaternes ret kræver længere opbevaring. Krypterede backups udløber automatisk efter deres opbevaringsplan. På anmodning inden sletning leverer Depaza en eksport af Kundens samtaler i et struktureret, maskinlæsbart format.

14Revision og oplysninger

Depaza stiller de oplysninger til rådighed, der er nødvendige for at påvise overholdelse af GDPR artikel 28 — denne DPA, underleverandørlisten og vores sikkerhedsdokumentation — og besvarer rimelige skriftlige revisionsspørgeskemaer inden for rimelig tid, højst én gang om året, medmindre en tilsynsmyndighed kræver andet, eller der er sket et brud. Er dette utilstrækkeligt, kan Kunden lade en uafhængig, fortrolighedsforpligtet tredjepart gennemføre en revision med mindst 30 dages varsel, i arbejdstiden, uden driftsforstyrrelse og for Kundens regning.

15Internationale overførsler

Kundeindhold hostes og behandles — inklusive al AI-inferens og eventuel modelforbedring — på infrastruktur i Den Europæiske Union. Depaza overfører ikke Kundeindhold til tredjelande.

Et lille antal understøttende tjenester involverer udbydere uden for EU for begrænsede data uden indhold (fx betalingsbehandling, transaktions-e-mail og netværkstransit), hver dækket af en tilstrækkelighedsafgørelse eller standardkontraktbestemmelser, som anført pr. udbyder på depaza.com/subprocessors.

16Ansvar og forrang

Hver parts ansvar under denne DPA er underlagt Aftalens ansvarsbegrænsninger og -fraskrivelser. Ved konflikt mellem denne DPA og Aftalen om behandling af personoplysninger har denne DPA forrang.

17Lovvalg og ændringer

Denne DPA er underlagt samme lov som Aftalen (dansk ret) og følger dens tvistløsning. Depaza kan opdatere denne DPA som følge af ændringer i lovgivning eller tjenester; væsentlige ændringer annonceres på denne side med nyt versionsnummer, og den version, der er gældende når en tvist opstår, finder anvendelse på den.

18Bilag 1 — Behandlingsdetaljer

• Behandlingsaktiviteter: modtagelse, lagring, visning og transmission af prompts, samtaler og filer; AI-inferens (chat, dokumentgenerering, vision, lydtransskription); EU-websøgning; dokumenteksport; sletning.
• Lokation: Den Europæiske Union (applikationshosting, database, fillagring, AI-inferens og backups).
• Registrerede: Kundens brugere og personer, der optræder i Kundeindhold.
• Personoplysninger: som indeholdt i Kundeindhold; kategorierne afgøres af Kunden.
• Følsomme oplysninger: kun hvis og i det omfang Kunden indsender dem.
• Hyppighed: løbende, i Aftalens løbetid.
• Opbevaring: indtil sletning af brugeren eller Kunden, ved ophør (30 dage), eller efter opbevaringsplanen i privatlivspolitikken.

19Bilag 2 — Tekniske og organisatoriske foranstaltninger

• Kryptering i transit: TLS på alle forbindelser, også mellem interne tjenester.
• Kryptering at rest: krypterede lagervolumener på EU-infrastruktur; krypterede off-site backups inden for EU.
• Adgangskontrol: produktionsadgang er begrænset til navngivne, autoriserede personer efter need-to-know; brugeradgang er autentificeret (adgangskode eller engangs-magic-links), og al dataadgang er afgrænset til den anmodende konto.
• AI-behandling kun i EU: al modelinferens kører på EU-hostet infrastruktur; intet Kundeindhold sendes til AI-udbydere uden for EU.
• Tenant-adskillelse: samtaler, filer og genererede dokumenter er afgrænset til ejerkontoen i applikations- og databaselaget.
• Misbrugs- og tilgængelighedskontroller: rate-limiting pr. konto og pr. IP, begrænsninger på upload-størrelse og -type samt restriktive filrettigheder på gemte uploads.
• Ændringsstyring: ændringer er versionsstyrede og passerer verifikationsgates inden produktion.
• Hændelseshåndtering: en dokumenteret proces for brudunderretning (se afsnittet om brud ovenfor); kontakt på [email protected].
• Dataminimering: vi gemmer kun det, produktet skal bruge; rå lydoptagelser slettes efter transskription.