Databehandleravtale

Denne databehandleravtalen ("DPA") inngås mellom Kunden ("Behandlingsansvarlig") og PremiumClients.ai ("Databehandler") i henhold til artikkel 28 i den generelle personvernforordningen (EU) 2016/679 ("GDPR").

Denne DPA regulerer behandlingen av personopplysninger som utføres av Databehandleren på vegne av den Behandlingsansvarlige i forbindelse med levering av Aria AI-taleagentplattformen og tilknyttede tjenester.

"Personopplysninger" betyr enhver informasjon knyttet til en identifisert eller identifiserbar fysisk person som definert i artikkel 4(1) GDPR. "Behandling" betyr enhver operasjon utført på personopplysninger som definert i artikkel 4(2) GDPR. "Underdatabehandler" betyr enhver tredjepart engasjert av Databehandleren for å behandle personopplysninger på vegne av den Behandlingsansvarlige.

Alle begreper som ikke er definert heri, skal ha den betydningen som er tillagt dem i GDPR.

Registrerte inkluderer: innringere og potensielle kunder av den Behandlingsansvarlige; eksisterende kunder av den Behandlingsansvarlige; avtaleforespørsler og kontakter.

Kategorier av personopplysninger som behandles: telefonnumre og innringeridentifikasjon; taleopptaker og samtaletranskripsjoner; navn og kontaktopplysninger delt under samtaler; preferanser for avtalebooking; samtalemetadata (varighet, tidsstempler, utfall).

Databehandleren skal kun behandle personopplysninger for: drift av AI-taleagenten på vegne av den Behandlingsansvarlige; generering av samtaletranskripsjoner og oppsummeringer; planlegging av avtaler etter innringeres anvisning; levering av analyse og rapportering til den Behandlingsansvarlige; vedlikehold og forbedring av tjenestekvalitet.

Databehandleren skal ikke behandle personopplysninger for noe annet formål uten forutgående skriftlig autorisasjon fra den Behandlingsansvarlige.

Databehandleren skal: kun behandle personopplysninger etter dokumenterte instruksjoner fra den Behandlingsansvarlige; sikre at personer som er autorisert til å behandle data er bundet av konfidensialitetsforpliktelser; implementere passende tekniske og organisatoriske sikkerhetstiltak som beskrevet i avsnitt 7; kun engasjere underdatabehandlere med forutgående autorisasjon og tilsvarende kontraktsforpliktelser.

Databehandleren skal bistå den Behandlingsansvarlige med: å svare på forespørsler fra registrerte (innsyn, retting, sletting, begrensning, portabilitet, innsigelse); gjennomføring av konsekvensanalyser for databeskyttelse der det kreves; konsultasjon med tilsynsmyndigheter der det kreves.

Databehandleren skal ikke overføre personopplysninger utenfor EØS uten tilstrekkelige sikkerhetstiltak, inkludert EUs standard kontraktsklausuler (SCC-er) eller en beslutning om tilstrekkelig beskyttelsesnivå.

Den Behandlingsansvarlige gir generell autorisasjon til at Databehandleren engasjerer underdatabehandlere. Nåværende underdatabehandlere inkluderer: LiveKit Inc. (stemmeinfrastruktur, WebRTC); Stripe Inc. (betalingsbehandling); SendGrid/Twilio (transaksjonell e-postlevering).

Databehandleren skal: informere den Behandlingsansvarlige om eventuelle planlagte endringer i underdatabehandlere minst 30 dager i forveien; sikre at alle underdatabehandlere er bundet av tilsvarende databeskyttelsesforpliktelser; forbli ansvarlig for underdatabehandlernes handlinger og unnlatelser.

Databehandleren implementerer følgende tekniske og organisatoriske tiltak: kryptering av data under overføring (TLS 1.3) og i hvile (AES-256); strenge rollebaserte tilgangskontroller og flerfaktorautentisering; regelmessige sikkerhetsvurderinger og sårbarhetsskanning; revisjonslogging av all datatilgang og behandlingsaktiviteter; nettverkssegmentering og inntrengingsdeteksjonssystemer.

Sikkerhetstiltak gjennomgås og oppdateres regelmessig for å håndtere nye trusler og opprettholde samsvar med artikkel 32 GDPR.

Databehandleren skal varsle den Behandlingsansvarlige om ethvert brudd på personopplysningssikkerheten uten unødig forsinkelse og senest 48 timer etter at bruddet ble oppdaget.

Varselet skal inneholde: arten av bruddet, inkludert datakategorier og omtrentlig antall berørte registrerte; navn og kontaktopplysninger for databeskyttelsesansvarlig; sannsynlige konsekvenser av bruddet; tiltak som er iverksatt eller foreslått for å håndtere bruddet og begrense dets virkninger.

Databehandleren skal bistå den Behandlingsansvarlige med å oppfylle forespørsler om registrertes rettigheter i henhold til artiklene 15-22 GDPR, inkludert: innsyn i personopplysninger (Art. 15); retting av unøyaktige data (Art. 16); sletting av personopplysninger (Art. 17); begrensning av behandling (Art. 18); dataportabilitet (Art. 20); innsigelse mot behandling (Art. 21).

Databehandleren skal svare på den Behandlingsansvarliges forespørsler angående registrertes rettigheter innen 10 virkedager.

Den Behandlingsansvarlige har rett til å revidere Databehandlerens overholdelse av denne DPA. Databehandleren skal gjøre tilgjengelig all informasjon som er nødvendig for å demonstrere samsvar og tillate revisjoner av den Behandlingsansvarlige eller en uavhengig revisor.

Revisjoner skal gjennomføres med rimelig varsel (minst 30 dager), i arbeidstiden og uten å forstyrre Databehandlerens drift. Databehandleren kan tilby SOC 2 Type II-rapporter eller tilsvarende sertifiseringer som et alternativ til stedlige revisjoner.

Ved opphør av tjenesteavtalen eller på den Behandlingsansvarliges forespørsel, skal Databehandleren: returnere alle personopplysninger til den Behandlingsansvarlige i et vanlig brukt, maskinlesbart format innen 30 dager; sikkert slette alle gjenværende kopier av personopplysninger innen 60 dager, med mindre oppbevaring kreves av EU- eller medlemsstatens lovgivning.

Denne DPA er underlagt lovene i Republikken Kypros og gjeldende EUs personvernlovgivning. Eventuelle tvister som oppstår fra denne DPA skal løses i samsvar med tvisteløsningsmekanismene fastsatt i hovedvilkårene for tjenesten.