Gå til hovedindhold
OpenAI

Updated: 1. december 2025

OpenAI-tillæg om databehandling

Download PDF-fil(åbner i et nyt vindue)

Gældende fra: 1. januar 2026

(Se tidligere tillæg om databehandling)

Dette OpenAI-tillæg om databehandling (“DPA”) supplerer og er indarbejdet i OpenAI-tjenesteaftalen (“Aftalen”), der regulerer brugen af tjenesterne, og indgås fra ikrafttrædelsesdatoen mellem den ovenfor identificerede kunde (“Kunde”) og OpenAI OpCo, LLC, på egne vegne og på vegne af sine tilknyttede selskaber, som passende, medmindre kunden er baseret i et land inden for Det Europæiske Økonomiske Samarbejdsområde eller Schweiz, i hvilket tilfælde det indgås med OpenAI Ireland Ltd., på egne vegne og på vegne af sine tilknyttede selskaber, som passende (“OpenAI”). Begreber med stort begyndelsesbogstav, der ikke er defineret i DPA'en, har den betydning, der er angivet i Aftalen. I denne DPA omtales OpenAI og Kunden hver især som en “Part” og samlet som “Parterne.” Kunden erklærer, at denne er juridisk i stand til at indgå denne aftale og, hvis denne indgår aftalen for en enhed, at denne har juridisk beføjelse til at binde den enhed. Ved at klikke på “Accepter” eller ved at bruge tjenesterne accepterer kunden ordreformularen samt denne aftale.

1. Oplysninger.

  • 1.1 Omfang og roller. Som en del af leveringen af Tjenesterne til Kunden under Aftalen kan OpenAI Behandle Kundedata på vegne af Kunden. OpenAI fungerer som Databehandler på Kundens vegne, og denne DPA regulerer sådan Behandling.
  • 1.2 Detaljer om Behandling. OpenAI vil kun Behandle Kundedata med det formål at levere Tjenesterne til Kunden i henhold til Aftalen og denne DPA. Detaljer om arten, varigheden samt typerne af Kundedata og kategorierne af Registrerede, der er involveret, er angivet i Bilag 1 (Detaljer om Behandlingen) til denne DPA. OpenAI og Kunden accepterer hver især at overholde deres respektive forpligtelser i henhold til Databeskyttelseslove i forbindelse med Tjenesterne.

2. OpenAI-forpligtelser.

  • 2.1 Kundeinstruktioner. Parterne er enige om, at denne DPA, Aftalen (inklusive Ordreformularen) og eventuelle instruktioner givet via konfigurationsværktøjerne og andre værktøjer inden for Tjenesterne, som OpenAI stiller til rådighed, udgør Kundens dokumenterede instruktioner vedrørende OpenAI's behandling af Kundedata ("Kundeinstruktioner"). OpenAI vil kun behandle Kundedata i overensstemmelse med Kundens instruktioner, medmindre det er påkrævet af gældende lovgivning, som OpenAI er underlagt, i hvilket tilfælde OpenAI vil informere Kunden om dette krav inden behandlingen, medmindre det er juridisk forbudt at gøre det.
  • 2.2 Meddelelser til Kunden. OpenAI vil straks informere Kunden skriftligt, hvis OpenAI mener, at en Kundes instruktion overtræder Databeskyttelseslove. OpenAI vil, i det omfang det er lovligt tilladt, informere Kunden, hvis OpenAI modtager en juridisk bindende anmodning om videregivelse af Kundedata fra en retshåndhævende myndighed.
  • 2,3 Fortrolighed. OpenAI vil sikre, at alle personer, der er autoriseret af OpenAI til at behandle Kundedata, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
  • 2.4 Anmodninger fra Registrerede. OpenAI vil, i det omfang det er lovligt tilladt, informere Kunden, hvis OpenAI modtager en anmodning om at udøve registreredes rettigheder i henhold til Databeskyttelseslove ("anmodning fra Registrerede") vedrørende Kundedata.  OpenAI vil ikke besvare sådanne anmodninger uden Kundens forudgående skriftlige autorisation, bortset fra at Kunden giver OpenAI tilladelse til at omdirigere Anmodninger fra Registrerede efter behov, så Kunden kan svare direkte. Under hensyntagen til behandlingens art vil OpenAI bistå Kunden ved at implementere passende tekniske og organisatoriske foranstaltninger, i det omfang det er muligt, for at give Kunden mulighed for at besvare anmodninger fra Registrerede.
  • 2.5 Sikkerhed. OpenAI vil implementere og opretholde rimelige og passende organisatoriske og tekniske sikkerhedsforanstaltninger for at beskytte Kundedata, som angivet i Aftalen.
  • 2.6 Kundesupport. OpenAI vil, under hensyntagen til behandlingens art og de oplysninger, der er tilgængelige for OpenAI, yde rimelig bistand til Kunden for at hjælpe Kunden med at overholde sine forpligtelser i henhold til Databeskyttelseslove, herunder, hvor det er relevant, udarbejdelse af konsekvensanalyser vedrørende databeskyttelse i forbindelse med OpenAI's behandling af Kundedata og, hvor det er nødvendigt, Kundens konsultation med en tilsynsmyndighed med jurisdiktion over sådan behandling, hvis en sådan konsultation kræves af Databeskyttelseslove.
  • 2.7 Brud på Persondatasikkerheden. OpenAI vil underrette Kunden uden unødig forsinkelse, efter at de bliver opmærksomme på ethvert brud på Persondatasikkerheden. OpenAI vil yde rimelig assistance til Kunden for at hjælpe Kunden med at overholde sine forpligtelser i henhold til Databeskyttelseslove i forbindelse med et sådant brud på Persondatasikkerheden.
  • 2.8 Vurdering af Overholdelse. OpenAI vil, på Kundens rimelige skriftlige anmodning og i det omfang, det kræves af Databeskyttelseslove: (i) højst én gang om året, give Kunden OpenAI's privatlivs- og sikkerhedspolitikker og andre nødvendige oplysninger for at demonstrere overholdelse af OpenAI's forpligtelser i henhold til denne DPA; og (ii) forudsat at Parterne har en passende fortrolighedsaftale på plads, tillade og bidrage til revisioner eller inspektioner af eller på vegne af Kunden for Kundens egen regning.  En sådan revision eller inspektion skal: (A) udføres på en måde, der er minimalt forstyrrende for OpenAI's forretning; (B) være nødvendig for at bekræfte, at OpenAI behandler Kundedata i overensstemmelse med denne DPA; og (C) finde sted højst én gang om året. Hvor det er tilladt af Databeskyttelseslove, kan OpenAI i stedet stille et resumé af de revisionsrapporter, der er relevante for OpenAI's overholdelse af denne DPA, til rådighed for Kunden. Sådanne resultater og dokumentation, herunder resultaterne af eventuelle revisioner eller inspektioner, skal være OpenAI's Fortrolige oplysninger.
  • 2.9 Engagement af Underdatabehandlere. Kunden giver hermed en generel autorisation til OpenAI til at engagere de Underdatabehandlere, der er anført i listen over Underdatabehandlere, til at behandle Kundedata i forbindelse med Tjenesterne. OpenAI vil underrette Kunden om eventuelle ændringer i listen over Underdatabehandlere via blogindlæg, meddelelse inden for Tjenesterne eller andre rimelige midler, eller via e-mail, hvis Kunden abonnerer på e-mailnotifikationer på websiden med listen over Underdatabehandlere. Kunden kan gøre indsigelse mod brugen af en sådan yderligere Underdatabehandler inden for 30 dage efter at have modtaget meddelelse om ændringen ved at følge instruktionerne i listen over Underdatabehandlere eller ved at kontakte privacy@openai.com. I så fald vil OpenAI arbejde sammen med kunden for at imødekomme Kundens bekymringer og tilbyde kommercielt rimelige alternativer eller løsninger. Hvis ingen af alternativerne eller løsningerne er kommercielt gennemførlige efter OpenAI's rimelige vurdering, eller hvis indsigelserne ikke er blevet løst til Parternes tilfredshed inden for 30 dage efter OpenAI's modtagelse af Kundens indsigelsesmeddelelse, kan en af Parterne opsige aftalen eller enhver Ordreformular eller brug vedrørende Tjenesterne, der ikke kan leveres uden brug af den nye Underdatabehandler. I så fald vil Kunden få refunderet eventuelle gældende forudbetalte gebyrer i det omfang, de dækker perioder eller vilkår efter datoen for en sådan opsigelse.
  • 2.10 Underdatabehandlerens forpligtelser. OpenAI skal indgå kontraktlige aftaler med hver Underdatabehandler, der pålægger dem forpligtelser, der er sammenlignelige med dem, der er pålagt OpenAI under denne DPA. Med forbehold af de ansvarsbegrænsninger, der er inkluderet i Aftalen, vil OpenAI forblive ansvarlig for sine Underdatabehandleres handlinger og undladelser i samme omfang, som OpenAI ville være ansvarlig i henhold til denne DPA, hvis det selv udførte sådanne handlinger eller undladelser.
  • 2.11 Datareturnering eller -sletning. Efter udløb eller opsigelse af aftalen vil OpenAI, efter Kundens anvisninger, returnere eller slette Kundedata og eksisterende kopier, medmindre opbevaring af Kundedata er påkrævet i henhold til gældende love, i hvilket tilfælde OpenAI vil isolere og beskytte dem mod yderligere behandling, undtagen i det omfang det kræves af gældende love.

3. Kundeforpligtelser.

  • 3.1 Meddelelser og autorisationer. Kunden erklærer, garanterer og forpligter sig til, at denne har givet alle nødvendige meddelelser og har og vil opretholde i hele perioden alle nødvendige rettigheder, samtykker og autorisationer, i det omfang det kræves i henhold til Databeskyttelseslove, til at levere Kundedata til OpenAI og til at bemyndige OpenAI til at behandle Kundedata i forbindelse med Aftalen, herunder denne DPA.
  • 3.2 Samarbejde. Kunden skal i rimeligt omfang samarbejde med OpenAI for at hjælpe OpenAI med at opfylde sine forpligtelser i henhold til gældende Databeskyttelseslove.
  • 3,3 Konfigurationer. Uden at det berører OpenAI's sikkerhedsforpligtelser i afsnit 2.5 i denne DPA, anerkender og accepterer kunden, at de er ansvarlige for visse konfigurationer og designbeslutninger for tjenesterne og for at implementere sådanne konfigurationer og designbeslutninger (f.eks. opbevaringsperioder, sletning osv.) på en måde, der overholder gældende Databeskyttelseslove.

4. Internationale dataoverførsler.

  • 4.1 Data fra EØS og Schweiz. Kundedata behandlet af OpenAI under denne DPA kan falde inden for anvendelsesområdet for Databeskyttelseslove i Det Europæiske Økonomiske Samarbejdsområde eller Schweiz (“Data fra EØS og Schweiz”). Uafhængigt af den OpenAI-kontraherende part, der er relevant i henhold til denne DPA, instruerer Kunden hermed OpenAI Ireland Limited om at behandle alle data fra EØS og Schweiz i overensstemmelse med denne DPA. I det omfang OpenAI Ireland Limited overfører data fra EØS og Schweiz til andre OpenAI-tilknyttede virksomheder eller tredjeparter uden for Det Europæiske Økonomiske Samarbejdsområde eller Schweiz for at levere Tjenesterne, vil det ske på grundlag af aftaler, der indeholder standardkontraktbestemmelser, der sikrer, at der er passende garantier for beskyttelse af Kundedata, eller en afgørelse om tilstrækkelighed truffet af Europa-Kommissionen i henhold til artikel 45 i GDPR.
  • 4.2 Data fra Storbritannien. Kundedata behandlet af OpenAI under denne DPA kan falde inden for anvendelsesområdet for Databeskyttelseslove i Storbritannien (“Data fra Storbritannien”). Uanset hvilken OpenAI-kontraherende part der er relevant i henhold til denne DPA, instruerer Kunden hermed OpenAI OpCo, LLC om at behandle alle britiske data i overensstemmelse med denne DPA og med SCC'erne som ændret ved det britiske tillæg, som anses for indgået (og indarbejdet i denne DPA ved denne henvisning) og udfyldt som beskrevet i bilag 1.

5. Yderligere krav.

I det omfang amerikanske privatlivslove finder anvendelse:

  • 5.1 OpenAI accepterer (a) ikke at give Kunden penge eller andre værdifulde modydelser i bytte for Kundedata fra Kunden. Parterne anerkender og accepterer, at Kunden ikke har "solgt" (som dette udtryk er defineret i amerikanske privatlivslove) Kundedata til OpenAI; (b) ikke "sælger" (som dette udtryk er defineret i amerikanske privatlivslove) eller "deler" (som dette udtryk er defineret i CCPA) Persondata; (c) i det omfang kunden tillader eller instruerer OpenAI om at behandle kundedata, der er underlagt amerikanske privatlivslove, i en anonymiseret form som en del af tjenesterne, skal OpenAI (i) træffe rimelige foranstaltninger for at forhindre, at sådanne anonymiserede data bruges til at udlede oplysninger om eller på anden måde knyttes til en bestemt fysisk person eller husstand; (ii) offentligt forpligte sig til at opbevare og anvende sådanne anonymiserede data i den form og ikke forsøge at genidentificere oplysningerne, medmindre dette er tilladt i henhold til amerikanske privatlivslove; og (iii) inden deling af anonymiserede data med andre parter, herunder Underdatabehandlere, kontraktligt forpligte sådanne modtagere til at overholde kravene i denne bestemmelse (c)(i)-(iii); og (d) hvor Kundedata er underlagt CCPA (i) ikke opbevare, bruge, videregive eller på anden måde behandle Kundedata, undtagen når det er nødvendigt for de forretningsformål, der er specificeret i Aftalen, herunder uden begrænsning som angivet i Bilag 1 til denne DPA; (ii) ikke opbevare, bruge, videregive eller på anden måde behandle Kundedata på nogen måde uden for det direkte forretningsforhold mellem OpenAI og Kunden; (iii) ikke kombinere Kundedata med Persondata, som OpenAI modtager fra eller på vegne af en anden tredjepart eller indsamler fra OpenAI's egne interaktioner med enkeltpersoner, forudsat at OpenAI kan kombinere Kundedata til et formål, der er tilladt i henhold til CCPA, hvis Kunden anmoder herom, eller hvis det på anden måde er tilladt i henhold til CCPA; (iv) underrette Kunden uden unødig forsinkelse, hvis OpenAI fastslår, at det ikke længere kan opfylde sine forpligtelser i henhold til CCPA; og (v) hvis Kunden med rimelighed mener, at OpenAI's behandling af Kundedata ikke er i overensstemmelse med kravene i CCPA, og efter Kundens rimelige underretning herom til OpenAI, vil Parterne samarbejde i god tro for at afhjælpe problemet, eller, hvis Kunden efter samarbejdet med rimelighed fastslår, at problemet ikke kan afhjælpes, vil OpenAI stoppe behandlingen af de berørte Kundedata efter skriftlig instruks fra Kunden.
  • 5.2 Kunden accepterer ikke at foretage sig noget, der (a) ville gøre leveringen af Kundedata til OpenAI til et "salg" i henhold til amerikanske privatlivslove eller en "deling" i henhold til CCPA (eller tilsvarende begreber i amerikanske privatlivslove); eller (ii) ville medføre, at OpenAI ikke længere er en "tjenesteudbyder" i henhold til CCPA eller en "databehandler" i henhold til amerikanske privatlivslove.

6. Definitioner.

Kundedata” betyder Persondata, der behandles af OpenAI på vegne af Kunden for at levere Tjenesterne.

"Datakontrollør" har den betydning, der er tildelt udtrykket "controller" (eller et andet tilsvarende udtryk) i henhold til Databeskyttelseslove.

""Databehandler" har den betydning, der er tildelt udtrykket "behandler" (eller et andet tilsvarende udtryk) i henhold til Databeskyttelseslove.

Databeskyttelseslove” betyder love om databeskyttelse og datasikkerhed, der gælder for OpenAI's behandling af kundedata i forbindelse med tjenesterne. 

Registreret” har den betydning, der er tildelt udtrykket “registreret” (eller et andet tilsvarende udtryk) i henhold til Databeskyttelseslove.

GDPR” betyder forordning (EU) 2016/679 fra Europa-Parlamentet og Rådet af 27. april 2016

Persondata” har den betydning, der er tildelt udtrykket “persondata” eller “personoplysninger” (eller et andet tilsvarende udtryk) i henhold til Databeskyttelseslove.

Brud på persondatasikkerhed” betyder et brud på sikkerheden, der fører til utilsigtet eller ulovlig ødelæggelse, tab, ændring, uautoriseret videregivelse af eller adgang til kundedata, der er lagret, transmitteret eller på anden måde behandlet af OpenAI, dets Underdatabehandlere eller andre tredjeparter, der handler på OpenAI's vegne.

Behandling” har den betydning, der er tildelt udtrykket “behandling” (eller et andet tilsvarende udtryk) i henhold til Databeskyttelseslove.

SCC'er” betyder de standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande, der blev vedtaget af EU-Kommissionen den 4. juni 2021 (som kan ændres, opdateres eller erstattes fra tid til anden).

Underdatabehandlere” betyder de Underdatabehandlere, som OpenAI har engageret til at behandle Kundedata i forbindelse med Tjenesterne, som er opført i listen over Underdatabehandlere.

Liste over underdatabehandlere” refererer til listen, der er tilgængelig på følgende adresse https://platform.openai.com/subprocessors(åbner i et nyt vindue).

UK Addendum” betyder det britiske tillæg til EU's standardkontraktbestemmelser udstedt af Information Commissioner i henhold til sektion 119A(1) i databeskyttelsesloven af 2018.

U.S. Privacy Laws” betyder det underafsnit af Databeskyttelseslove, der gælder for indbyggere i USA, herunder uden begrænsning California Consumer Privacy Act (“CCPA”).

Skema 1

Behandlingsdetaljer

1. Karakter og Formål:

Udførelsen af Tjenesterne under Aftalen.

2. Varighed:

Perioden og den tid, der kræves derefter for, at Parterne kan opfylde deres gældende forpligtelser efter Periodens afslutning, herunder sletning af data.

3. Kategorier af Pundedata:

Kunden kan indsende persondata til Tjenesterne, hvor kategorierne afhænger af Kundens brug af Tjenesterne, som bestemmes og kontrolleres af Kunden efter eget skøn, men det kan omfatte, men er ikke begrænset til navne, kontaktoplysninger, demografiske oplysninger eller enhver anden information, der leveres af Kundens Slutbrugere i ustrukturerede data.

4. Kategorier af registrerede personer:

De registrerede kan omfatte, men er ikke begrænset til Kundens medarbejdere, kunder, leverandører og generelt Slutbrugere.

5. Overførte følsomme data (hvis relevant):

Overførsel af følsomme data (hvis det er relevant) og anvendte begrænsninger eller sikkerhedsforanstaltninger, der fuldt ud tager hensyn til dataenes art og de involverede risici, såsom streng formålsbegrænsning, adgangsbegrænsninger (herunder adgang kun for personale, der har gennemgået specialtræning), føring af en fortegnelse over adgang til dataene, begrænsninger for videreoverførsler eller yderligere sikkerhedsforanstaltninger.

Der er ikke til hensigt at overføre følsomme data, medmindre brugeren uventet inkluderer dem i ustrukturerede data

6. Frekvens:

Overførselshyppigheden (f.eks. om dataene overføres på en enkeltstående eller kontinuerlig basis).

Kontinuerlig basis afhængig af Kundens brug af Tjenesterne

7. Overførsler til Underdatabehandlere:

I henhold til artikel 2.9 i DPA'en vil Underdatabehandlere behandle Kundedata, som nødvendigt for at udføre Tjenesterne. Sådan behandling vil finde sted i Aftalens varighed, medmindre andet er aftalt skriftligt.

8. Oplysninger om SCC'er for overførsel af data fra Storbritannien under afsnit 4.2:

  • 8.1 Modul 2 (Dataansvarlig til Databehandler) i standardkontraktbestemmelserne gælder, når Kunden er en dataansvarlig, og OpenAI behandler Kundedata som Databehandler. Modul Tre (Databehandler til Underdatabehandler) i SCC'erne gælder, når Kunden er en Databehandler, og OpenAI behandler Kundedata som en Underdatabehandler.
  • 8.2 For hvert modul af SCC'erne, hvor det er relevant, gælder følgende: (i) Den valgfrie dockingklausul i punkt 7 finder ikke anvendelse; (ii) I punkt 9 gælder mulighed 2 (generel skriftlig autorisation), og minimumsperioden for forudgående varsel om ændringer af Underdatabehandlere skal være som angivet i afsnit 2.9 i DPA'en; (iii) I punkt 11 gælder den valgfrie formulering ikke; (iv) Alle kantede parenteser i punkt 13 er hermed fjernet; (v) I punkt 17 (mulighed 1) vil SCC'erne være underlagt lovgivningen i England og Wales; (vi) I punkt 18(b) vil tvister blive afgjort ved domstolene i England og Wales; (vii) Dette bilag 1 indeholder de oplysninger, der kræves i bilag I og bilag III til SCC'erne; (viii) Afsnit 2.5 (Sikkerhed) i DPA'en indeholder de oplysninger, der kræves i bilag II til SCC'erne, (ix) den kompetente tilsynsmyndighed er Information Commissioner's Office ("ICO").
  • 8.3 Dataeksportør(er): Kunden under Aftalen; Dataimportør(er): OpenAI OpCo, LLC, 1455 3rd Street, San Francisco, CA 94158, Databeskyttelsesofficer, privacy@openai.com.

Underskriv databehandleraftale(åbner i et nyt vindue)