PhotoRobot
Luottamuskeskus
Laillinen
PhotoRobot Data Processing Agreement (DPA)
PhotoRobot-käyttöehdot
PhotoRobot-lisenssisopimus
PhotoRobot Privacy Documents - yleiskatsaus
PhotoRobot-tietosuojakäytäntö
PhotoRobot GDPR:n tietosuojatiedote (artikla 13)
PhotoRobot Data Processing Agreement (DPA)
PhotoRobot Acceptable Use Policy (AUP)
PhotoRobot-palvelutasosopimukset (SLA)
Palvelutasosopimus (SLA) PhotoRobot-ohjelmistolle
Palvelutasosopimus (SLA) PhotoRobot-laitteistolle
PhotoRobot Asiakastuen ehdot
PhotoRobot-evästekäytäntö
PhotoRobot-markkinoinnin suostumuskäytäntö
PhotoRobot-aliprosessorien luettelo
PhotoRobot Oikeudelliset määritelmät ja sanasto
Viimeksi muokattu: 29. joulukuuta 2025

PhotoRobot Data Processing Agreement (DPA)

Tämä asiakirja edustaa PhotoRobot Data Processing Agreement: Version 1.0 — PhotoRobot Edition, uni-Robot Ltd., Tšekki.

1. Juhlat

Tämä tietokäsittelysopimus ("DPA") solmitaan:

Controller (asiakas)
Henkilö tai oikeushenkilö, joka on solminut PhotoRobot-käyttöehdot ja käyttää palvelua.

ja

Prosessori:
uni-Robot Ltd.
Vodičkova 710/31
110 00 Praha 1
Tšekin tasavalta
Yrityksen tunnus: 01478061
VAT ID: CZ01478061
Sähköposti: legal@photorobot.com

Tästä eteenpäin yhteisesti "osapuolet".

Tämä DPA täydentää PhotoRobot-käyttöehtoja ja koskee sitä, kun PhotoRobot käsittelee henkilötietoja asiakkaan puolesta.

2. Aihe ja käsittelyn luonne

PhotoRobot ("Prosessori") tarjoaa pilvipohjaisia palveluita, paikallisia ohjelmistolaajennuksia, laiteohjelmiston hallintaa ja isännöintiinfrastruktuuria, joita tarvitaan asiakkaan ("Controller") lataamien kuvien, metatietojen ja niihin liittyvän digitaalisen sisällön käsittelyyn.

Käsittely sisältää:

  • Kokoelma
  • Tallennus
  • Tartuttaminen
  • Metatietojen poiminta
  • synkronointi CL ↔ Cloudin välillä
  • Asiakkaiden lataaman sisällön isännöinti
  • Lokien ja diagnostiikan luominen
  • Varatoiminnot

Käsittely tapahtuu yksinomaan Controllerin puolesta heidän dokumentoitujen ohjeidensa mukaisesti.

3. Kesto

Tämä DPA on voimassa osapuolten välisen sopimussuhteen ajan, ja sen jälkeen niin kauan kuin käsittelijä tallentaa tai käsittelee henkilötietoja Controllerin puolesta.

4. Henkilökohtaiset tiedot ja subjektien kategoriat

4.1. Henkilötietotyypit

Palvelun käytöstä riippuen käsitelty data voi sisältää:

  • Tunnistustiedot (nimi, sukunimi, yritys)
  • Yhteystiedot (sähköposti, puhelin)
  • Visuaalinen sisältö (kuvat, videot)
  • Ladattuun sisältöön liittyvä metadata
  • lokitiedot, IP-osoitteet, tekniset tunnisteet
  • Projektitason tiedot
  • tunnisteet (hajautettu), pääsytunnukset

Käsittelijä ei vaadi tai käsittele tarkoituksellisesti erityisiä tietokategorioita (GDPR:n artikla 9).

4.2. Aineiston kategoriat

  • Asiakkaan työntekijät
  • Asiakkaan asiakkaat tai kumppanit
  • Valtuutetut käyttäjät
  • Kaikki henkilöt, jotka on esitetty asiakkaan lataamana visuaalisena sisältönä

Asiakas on yksin vastuussa laillisesta tietojen keräämisestä subjekteilta.

5. Ohjaimen ohjeet

Käsittelijä käsittelee henkilötietoja vain:

  1. Controllerin dokumentoitujen ohjeiden mukaisesti,
  2. kuten palvelun tarjoamiseen vaaditaan,
  3. järjestelmien turvallisuuden, eheyden ja saatavuuden varmistamiseksi,
  4. EU:n tai Tšekin lain vaatimusten mukaisesti.

Jos Käsittelijä katsoo käskyä laittomaksi, Käsittelijän on ilmoitettava Controllerille.

6. Luottamuksellisuus

Käsittelijä varmistaa, että kaikki henkilöt, joilla on oikeus käsitellä henkilötietoja:

  • ovat luottamuksellisuusvelvoitteiden alaisia,
  • ovat saaneet asianmukaista koulutusta,
  • käsitellä tietoja yksinomaan controllerin ohjeiden mukaisesti.

7. Aliprosessorit

Prosessori käyttää tiettyjä kolmansia osapuolia ("aliprosessoreita") tukemaan palvelua.

7.1. Hyväksytyt aliprosessorit

Controller myöntää yleisen valtuutuksen prosessorille käyttää seuraavia aliprosessorien kategorioita:

  • pilvi-infrastruktuurin tarjoajat (esim. Google Cloud Platform)
  • Sähköpostin jakelupalveluntarjoajat
  • Analytiikkapalveluntarjoajat
  • Lippujärjestelmät
  • Turvallisuuden valvontapalvelut
  • Varmuuskopiointi- ja katastrofipalautusjärjestelmät

Täydellinen lista ylläpidetään PhotoRobot Sub-Processor Listissa ja sitä voidaan päivittää.

7.2. Muutosten ilmoittaminen

Käsittelijän tulee ilmoittaa Controllerille kaikista suunnitelluista muutoksista aliprosessoreihin vähintään 15 päivää etukäteen, mikä mahdollistaa Controllerin vastalauseen kohtuullisin perustein.

8. Kansainväliset tiedonsiirrot

Jos aliprosessorit tai infrastruktuuri sijaitsevat EEA:n ulkopuolella, prosessori varmistaa:

  • standardisopimuslausekkeiden (SCC 2021) soveltaminen,
  • täydentävät tekniset ja organisatoriset turvatoimet,
  • minimoitu pääsy ja salaus,
  • vaatimustenmukaisuusauditoinnit taustalla olevan palveluntarjoajan toimesta.

Google Cloud Platform tarjoaa:

  • ISO 27001, ISO 27017, ISO 27018
  • SOC 1/2/3 raportit
  • GDPR:n noudattamisdokumentaatio

Lisätietoja löytyy osoitteesta https://cloud.google.com/security.

9. Turvatoimet

Prosessorin on toteutettava alan standardin mukaiset tekniset ja organisatoriset toimenpiteet (TOM), mukaan lukien:

9.1. Tekniset toimenpiteet

  • TLS-salaus siirrettävälle datalle
  • Turvallinen tallennus salatuilla pääsytunnukkeilla
  • Eristetyt käsittelyympäristöt
  • Salasanan tiiviste
  • Nopeusrajoitukset ja tunkeutumisen havaitsemisjärjestelmät
  • Monikerroksinen palomuuritoiminta
  • fyysinen datakeskuksen turvallisuus (Google Cloudin kautta)

9.2. Organisatoriset toimenpiteet

  • Roolipohjainen kulunvalvonta
  • Pääsyn lokointi ja valvonta
  • Sisäiset käytännöt datankäsittelyyn
  • Työntekijöiden salassapitovelvollisuudet
  • Säännölliset turvallisuuskoulutukset
  • Toimittajariskien hallinta

Täydellinen lista TOM:ista on saatavilla pyynnöstä.

10. Henkilötietojen oikeudet

Prosessori auttaa ohjainta vastaamaan seuraaviin tilanteisiin:

  • Pääsypyynnöt
  • Korjaus
  • Poisto
  • Rajoitus
  • Datan siirrettävyys
  • Vastaväitteet

Käsittelijän tulee välittää kaikki suorat pyynnöt alaiselta datalta Controllerille ilman kohtuuttomia viivytyksiä.

11. Tietomurtoilmoitus

Henkilötietojen tietomurron sattuessa käsittelijän tulee ilmoittaa controllerille:

  • Ilman liiallista viivytystä,
  • mukaan lukien kaikki GDPR:n artiklan 33 edellyttämät tiedot,
  • ja anna jatkuvia päivityksiä, kunnes korjaus on valmis.

Controller vastaa edelleen viranomaisten ja asianomaisten henkilöiden tiedottamisesta.

12. Tietojen poistaminen tai palauttaminen

Sopimuksen päättyessä:

  • Prosessori poistaa asiakastiedot 30 päivän kuluttua,
  • ellei ohjaaja toisin ohjeista,
  • paitsi silloin, kun laki vaatii säilyttämistä.

Varmuuskopiot ylikirjoitetaan normaalin elinkaarensa aikana.

13. Tilintarkastukset

Ohjaajalla on oikeus:

  • saa dokumentaatiota, joka todistaa GDPR:n noudattamisen
  • pyydä raporttia TOMeista
  • suorittaa kohtuullisia auditointeja, rajoitettu kerran vuodessa
  • luottaa kolmannen osapuolen sertifikaatteihin (Google Cloudin ISO/SOC-raportit)

Tarkastukset eivät saa vaarantaa turvallisuutta tai häiritä toimintaa.

14. Vastuu

Osapuolten vastuu noudattaa käyttöehtoja.
Käsittelijä on vastuussa vain rikkomuksista, jotka johtuvat sen omasta GDPR-velvoitteiden rikkomisesta.

15. Sovellettava laki ja toimivalta

Tätä DPA:ta säätelevät Tšekin tasavallan lait.

Kiistat ratkaistaan Prahan, Tšekin tuomioistuimissa.

16. Vakiosopimuslausekkeet (SCC)

Tarvittaessa SCC 2021 (Moduuli 2: Controller → Processor) sovelletaan liitteenä tähän DPA:han.

PhotoRobot:

  • sisältää SCC:n viitteen perusteella,
  • sisältää kaikki pakolliset lausekkeet,
  • toteuttaa täydentäviä teknisiä toimenpiteitä
  • varmistaa siirtojen noudattamisen aliprosessoijille EEA:n ulkopuolelle.

SCC voidaan toimittaa kokonaisuudessaan pyynnöstä.

17. Kontakti

uni-Robot Ltd.
Vodičkova 710/31
110 00 Praha 1
Tšekin tasavalta

Sähköposti: legal@photorobot.com