Hopp til hovedinnhold
OpenAI

Updated: 1. desember 2025

Tillegg om databehandling fra OpenAI

Last ned PDF(åpnes i et nytt vindu)

Gyldig fra: 1. januar 2026

(Vis tidligere tillegg om databehandling)

Dette OpenAI-tillegget om databehandling («DPA») supplerer og er innlemmet i OpenAI-tjenesteavtalen («Avtale») som regulerer bruken av tjenestene. Det trer i kraft fra ikrafttredelsesdatoen mellom kunden identifisert ovenfor («Kunde») og OpenAI OpCo, LLC, på vegne av seg selv og sine tilknyttede selskaper, med mindre kunden er basert i et land innenfor Det europeiske økonomiske samarbeidsområde eller Sveits. I så fall inngås det med OpenAI Ireland Ltd., på vegne av seg selv og sine tilknyttede selskaper («OpenAI»). Begreper med stor forbokstav som ikke er definert i DPA, har de betydningene som er gitt i Avtalen. I denne DPA-en omtales både OpenAI og kunden som en «Part» og samlet som «Partene». Kunden erklærer at den er juridisk i stand til å inngå denne avtalen, og hvis den inngår avtalen på vegne av en enhet, at den har juridisk myndighet til å binde denne enheten. Ved å klikke på «Jeg godtar», akseptere bestillingsskjemaet eller bruke tjenestene, godtar kunden denne avtalen.

1. Detaljer.

  • 1.1 Omfang og roller. Som en del av å levere tjenestene til kunden under avtalen, kan OpenAI behandle kundedata på vegne av kunden. OpenAI opptrer som en databehandler på vegne av kunden, og dette DPA-et regulerer slik behandling.
  • 1.2 Detaljer om behandling. OpenAI vil kun behandle kundedata for å levere tjenestene til kunden i henhold til avtalen og dette DPA-tillegget. Detaljer om arten, varigheten, samt typene av kundedata og kategoriene av registrerte som er involvert, er angitt i Vedlegg 1 (Detaljer om behandling) til denne DPA-en. OpenAI og kunden er enige om å overholde sine respektive forpliktelser i henhold til datavernlovene i forbindelse med tjenestene.

2. OpenAI-forpliktelser.

  • 2.1 Kundeinstruksjoner Partene er enige om at denne DPA-en, avtalen (inkludert bestillingsskjemaet), og eventuelle instruksjoner gitt via konfigurasjonsverktøyene og andre verktøy innenfor tjenestene gjort tilgjengelig av OpenAI, utgjør kundens dokumenterte instruksjoner angående OpenAIs behandling av kundedata (“Kundeinstruksjoner”). OpenAI vil behandle kundedata kun i samsvar med kundens instruksjoner, med mindre det kreves av gjeldende lov som OpenAI er underlagt. I så fall vil OpenAI informere kunden om dette kravet før behandlingen, med mindre loven forbyr å gjøre det.
  • 2.2 Varsler til kunden. OpenAI vil umiddelbart informere Kunden skriftlig hvis OpenAI mener at en instruksjon fra Kunden bryter databeskyttelseslover. OpenAI vil, i den grad det er lovlig tillatt, informere kunden hvis OpenAI mottar en juridisk bindende forespørsel om utlevering av kundedata fra en rettshåndhevingsmyndighet.
  • 2.3 Konfidensialitet OpenAI vil sørge for at alle personer som er autorisert av OpenAI til å behandle kundedata, har forpliktet seg til konfidensialitet eller er underlagt en egnet, lovbestemt taushetsplikt.
  • 2.4 Forespørsler fra registrerte personer I den grad det er tillatt ved lov, vil OpenAI informere kunden hvis OpenAI mottar en forespørsel om å utøve registrertes rettigheter i henhold til databeskyttelseslover («Forespørsel fra registrert») med hensyn til kundedata.  OpenAI vil ikke svare på noen slik forespørsel uten kundens forhåndsskriftlige godkjenning, bortsett fra at kunden autoriserer OpenAI til å omdirigere forespørsler fra registrerte personer etter behov for å la kunden svare direkte. Med hensyn til behandlingens art vil OpenAI bistå kunden ved å implementere passende tekniske og organisatoriske tiltak, så langt det er mulig, for å gjøre det mulig for kunden å svare på forespørsler fra registrerte personer.
  • 2.5 Sikkerhet OpenAI vil implementere og opprettholde rimelige og passende organisatoriske og tekniske sikkerhetstiltak for å beskytte kundedata, som angitt i avtalen.
  • 2.6 Bistand til Kunden OpenAI vil, med hensyn til behandlingens art og informasjonen tilgjengelig for OpenAI, gi rimelig assistanse til kunden for å hjelpe kunden med å overholde sine forpliktelser under databeskyttelseslover, inkludert, der det er hensiktsmessig, utarbeidelse av konsekvensanalyser for databeskyttelse med hensyn til OpenAIs behandling av kundedata og, der det er nødvendig, at kunden konsulterer med en tilsynsmyndighet med jurisdiksjon over slik behandling, hvis slik konsultasjon kreves av databeskyttelseslover.
  • 2.7 Brudd på personopplysninger OpenAI vil varsle kunden uten unødig forsinkelse etter å ha blitt klar over et personopplysningsbrudd. OpenAI vil gi rimelig bistand til kunden for å hjelpe kunden å overholde sine forpliktelser under datavernlover med hensyn til et slikt brudd på personopplysninger.
  • 2.8 Vurdering av overholdelse OpenAI vil, på kundens rimelige skriftlige forespørsel og i den grad det kreves av datavernlover: (i) ikke mer enn én gang per år, gi kunden OpenAIs retningslinjer for personvern og sikkerhet og annen informasjon som er nødvendig for å demonstrere overholdelse av OpenAIs forpliktelser under denne DPA-en;  og (ii) forutsatt at partene har en passende konfidensialitetsavtale på plass, tillate og bidra til revisjoner eller inspeksjoner utført av, eller på vegne av, kunden for kundens egen regning.  Slik revisjon eller inspeksjon må være: (A) utført på en måte som er minimalt forstyrrende for OpenAIs Business; (B) nødvendig for å bekrefte at OpenAI behandler kundedata på en måte som er i samsvar med denne DPA-en; og (C) skje ikke mer enn én gang i året. Der hvor datavernlover tillater det, kan OpenAI i stedet gjøre et sammendrag av revisjonsrapportene tilgjengelig for kunden, som er relevante for OpenAIs overholdelse av denne DPA-en. Slike resultater og dokumentasjon, inkludert resultatene av eventuelle revisjoner eller inspeksjoner, skal være OpenAIs konfidensielle informasjon.
  • 2.9 Bruk av underbehandlere Kunden gir herved en generell godkjenning til OpenAI for å engasjere underbehandlerne som er oppført i listen over underbehandlere for å behandle kundedata i forbindelse med tjenestene. OpenAI vil varsle kunden om eventuelle endringer i underbehandlerlisten via blogginnlegg, varsling innenfor tjenestene eller andre rimelige metoder, eller via e-post hvis kunden abonnerer på e-postvarsler på nettstedet for underbehandlerlisten. Du kan motsette deg bruken av en slik ekstra underbehandler innen 30 dager etter å ha mottatt varsel om endringen ved å følge instruksjonene angitt i underbehandlerlisten eller ved å kontakte privacy@openai.com. I et slikt tilfelle vil OpenAI samarbeide med kunden for å ta opp bekymringene og tilby kommersielt rimelige alternativer eller løsninger. Hvis ingen av alternativene eller løsningene er kommersielt gjennomførbare, etter OpenAIs rimelige vurdering, eller hvis innvendingene ikke er løst til partenes tilfredshet innen 30 dager etter at OpenAI har mottatt kundens innvending, kan en av partene si opp avtalen eller eventuelle bestillingsskjemaer eller bruk av tjenestene som ikke kan leveres uten bruk av den nye underleverandøren. I et slikt tilfelle vil kunden få refundert eventuelle gjeldende forhåndsbetalte avgifter i den grad de dekker perioder eller vilkår etter datoen for slik oppsigelse.
  • 2.10 Underbehandlerforpliktelser OpenAI skal inngå kontraktsmessige avtaler med hver underbehandler som pålegger dem forpliktelser som er sammenlignbare med de som er pålagt OpenAI under denne DPA-en. Med forbehold om ansvarsbegrensningene i avtalen, vil OpenAI forbli ansvarlig for handlingene og unnlatelsene til sine underbehandlere i samme grad som OpenAI ville vært ansvarlig under denne databehandleravtalen (DPA) hvis det selv hadde utført slike handlinger eller unnlatelser.
  • 2.11 Tilbakeføring eller sletting av data. Etter utløp eller opphør av avtalen vil OpenAI, etter kundens instruksjon, returnere eller slette kundedata og eksisterende kopier, med mindre oppbevaring av kundedata er påkrevd i henhold til gjeldende lover. I så fall vil OpenAI isolere og beskytte dem fra videre behandling, unntatt i den grad det kreves av gjeldende lover.

3. Kundeforpliktelser

  • 3.1 Varsler og autorisasjoner Kunden erklærer, garanterer og forplikter seg til at den har gitt alle nødvendige varsler, og har og skal opprettholde gjennom hele perioden alle nødvendige rettigheter, samtykker og godkjenninger, i den grad det kreves under datavernlover, for å gi kundedata til OpenAI og for å gi OpenAI godkjenning til å behandle kundedata i forbindelse med avtalen, inkludert denne DPA-en.
  • 3.2 Samarbeid Kunden skal samarbeide med OpenAI i rimelig grad for å hjelpe OpenAI med å oppfylle sine forpliktelser i henhold til gjeldende datavernlover.
  • 3.3 Konfigurasjoner Uten at det påvirker OpenAIs sikkerhetsforpliktelser i avsnitt 2.5 av denne DPA-en, erkjenner og godtar kunden at de er ansvarlig for visse konfigurasjoner og designbeslutninger for tjenestene og for å implementere slike konfigurasjoner og designbeslutninger (f.eks. lagringsperioder, sletting, osv.) på en måte som overholder gjeldende datavernlover.

4. Internasjonale dataoverføringer

  • 4.1 EEA- og sveitsiske data Kundedata behandlet av OpenAI under denne DPA-en kan falle innenfor rammen av databeskyttelseslovene i Det europeiske økonomiske samarbeidsområdet eller Sveits («EØS og sveitsiske data»). Uavhengig av hvilken OpenAI-kontraktspart som gjelder under denne DPA-en, instruerer kunden herved OpenAI Ireland begrenset til å behandle alle EØS- og sveitsiske data i samsvar med denne DPA-en. I den grad OpenAI Ireland begrenset overfører EØS- og sveitsiske data til andre OpenAI-tilknyttede selskaper eller tredjepart utenfor Det europeiske økonomiske samarbeidsområdet eller Sveits for å levere tjenestene, vil det gjøre det på grunnlag av avtaler som inneholder SCC-er som sikrer at passende garantier for beskyttelse av kundedata er på plass, eller en adekvansbeslutning utstedt av EU-kommisjonen i henhold til artikkel 45 i GDPR.
  • 4.2 Britisk data Kundedata behandlet av OpenAI under denne DPA-en kan falle innenfor rammen av Databeskyttelseslovene i Storbritannia («Britisk data»). Uavhengig av hvilken OpenAI-kontraherende part som gjelder under denne DPA-en, instruerer kunden herved OpenAI OpCo, LLC til å behandle eventuelle britiske data i samsvar med denne DPA-en og med SCC-ene som endret av det britiske tillegget, som anses å være inngått (og innlemmet i denne DPA-en ved denne henvisningen) og fullført som beskrevet i Vedlegg 1.

5. Ytterligere krav

I den grad amerikanske personvernlover gjelder:

  • 5.1 OpenAI samtykker i å (a) ikke gi kunden monetær eller annen verdifull godtgjørelse i bytte mot kundedata fra kunden. Partene erkjenner og er enige om at kunden ikke har «solgt» (som definert av amerikanske personvernlovgivninger) kundedata til OpenAI; (b) ikke «selge» (som definert av amerikanske personvernlovgivninger) eller «dele» (som definert av CCPA) personopplysninger; (c) i den grad kunden tillater eller instruerer OpenAI å behandle kundedata underlagt amerikanske personvernlovgivninger i en avidentifisert form som en del av tjenestene, skal OpenAI (i) vedta rimelige tiltak for å forhindre at slike avidentifiserte data brukes til å utlede informasjon om, eller på annen måte knyttes til, en bestemt fysisk person eller husholdning; (ii) offentlig forplikte seg til å opprettholde og bruke slike avidentifiserte data i den formen og ikke forsøke å reidentifisere informasjonen, unntatt som tillatt av amerikanske personvernlovgivninger; og (iii) før deling av avidentifiserte data med noen annen part, inkludert underbehandlere, kontraktsmessig forplikte slike mottakere til å overholde kravene i denne bestemmelsen (c)(i)-(iii); og (d) der kundedata er underlagt CCPA (i) ikke beholde, bruke, avsløre eller på annen måte behandle kundedata unntatt som nødvendig for bedriftsformålene spesifisert i avtalen, inkludert uten begrensning som angitt i vedlegg 1 av denne DPA; (ii) ikke beholde, bruke, avsløre eller på annen måte behandle kundedata på noen måte utenfor det direkte bedriftsforretningsforholdet mellom OpenAI og kunden; (iii) ikke kombinere noen kundedata med personopplysninger som OpenAI mottar fra eller på vegne av noen annen tredjepart eller samler inn fra OpenAIs egne interaksjoner med enkeltpersoner, forutsatt at OpenAI kan kombinere kundedata for et formål tillatt under CCPA hvis instruert til å gjøre det av kunden eller som ellers tillatt av CCPA; (iv) varsle kunden uten unødig forsinkelse hvis OpenAI fastslår at det ikke lenger kan oppfylle sine forpliktelser under CCPA; og (v) hvis kunden med rimelighet mener at OpenAIs behandling av kundedata ikke er i samsvar med kravene i CCPA og ved kundens rimelige varsling om det samme til OpenAI, vil partene samarbeide i god tro for å løse problemet, eller, hvis kunden etter samarbeid med rimelighet fastslår at problemet ikke kan løses, vil OpenAI stoppe behandlingen av de berørte kundedataene etter skriftlig instruksjon fra kunden.
  • 5.2 Kunden samtykker i å ikke iverksette noen handling som vil (a) gjøre klargjøringen av kundedata til OpenAI til et «salg» under amerikanske personvernlovgivninger eller en «deling» under CCPA (eller tilsvarende begreper under amerikanske personvernlovgivninger); eller (ii) gjøre at OpenAI ikke lenger er en «tjenesteleverandør» under CCPA eller «databehandler» under amerikanske personvernlovgivninger.

6. Definisjoner

«Kundedata» betyr personopplysninger behandlet av OpenAI på vegne av kunden for å levere tjenestene

«Behandlingsansvarlig» har den betydningen som er tildelt termen «behandlingsansvarlig» (eller et annet tilsvarende begrep) i henhold til datavernlover.

«Databehandler» har den betydningen som er tildelt termen «behandler» (eller et annet analogt begrep) i henhold til datavernlover.

«Datavernlover» betyr lover om personvern og databeskyttelse som gjelder for OpenAI sin behandling av kundedata i forbindelse med tjenestene. 

«Registrert person» har den betydningen som er tildelt begrepet «registrert person» (eller et annet analogt begrep) under personvernlovgivning.

«GDPR» betyr forordning (EU) 2016/679 fra Europaparlamentet og Rådet av 27. april 2016.

«Personopplysninger» har den betydningen som er tildelt begrepet «personopplysninger» eller «personlig informasjon» (eller et annet analogt begrep) under datavernlovgivningen.

«Personopplysningsbrudd» betyr et brudd på sikkerheten som fører til utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert avsløring av, eller tilgang til kundedata som er lagret, overført eller på annen måte behandlet av OpenAI, dets underbehandlere, eller andre tredjepartene som handler på vegne av OpenAI.

«Behandling» har den betydningen som er tildelt begrepet «behandling» (eller et annet analogt begrep) under datavernlover.

«SCCs» betyr standard kontraktsklausuler for overføring av personopplysninger til tredjeland vedtatt av EU-kommisjonen 4. juni 2021 (som kan endres, oppdateres eller erstattes fra tid til annen).

«Underbehandlere» betyr de underbehandlerne som OpenAI har engasjert for å behandle kundedata i forbindelse med tjenestene, oppført i listen over underbehandlere.

«Underbehandlerlisten» betyr listen som er tilgjengelig på følgende adresse<a href=\" \"> https://platform.openai.com/subprocessors(åpnes i et nytt vindu)

«UK Addendum» betyr det britiske tillegget til EUs SCC-er utstedt av Informasjonskommissæren under seksjon 119A(1) i datavernloven 2018

«U.S. Privacy Laws» betyr det underutvalg av datavernlover som gjelder for innbyggere i USA, inkludert, men ikke begrenset til California Consumer Privacy Act («CCPA»)

Plan 1

Behandlingsdetaljer

1. Natur og Formål:

Ytelsen av tjenestene i henhold til avtalen

2. Varighet:

Perioden og den nødvendige tiden deretter for at partene skal oppfylle sine gjeldende forpliktelser etter slutten av perioden, inkludert sletting av data.

3. Kategorier av kundedata:

Kunden kan sende inn personopplysninger til tjenestene, hvor kategoriene vil avhenge av kundens bruk av tjenestene, som bestemmes og kontrolleres av kunden etter eget forgodtbefinnende. Dette kan inkludere, men er ikke begrenset til, navn, kontaktinformasjon, demografisk informasjon eller annen informasjon gitt av kundens sluttbrukere i ustrukturerte data.

4. Kategorier av registrerte personer:

De registrerte personene kan omfatte, men er ikke begrenset til kundens ansatte, kunder, leverandører og generelt sluttbrukere.

5. Sensitive data som overføres (hvis aktuelt):

Sensitive data overført (hvis aktuelt) og anvendte restriksjoner eller sikkerhetstiltak som fullt ut tar hensyn til dataenes natur og de involverte risikoene, slik som for eksempel strenge formålsbegrensninger, tilgangsbegrensninger (inkludert tilgang kun for ansatte som har gjennomgått spesialisert opplæring), oppbevaring av tilgangslogger til dataene, restriksjoner for videreoverføringer eller ekstra sikkerhetstiltak.

Ingen sensitive data er ment å overføres med mindre brukeren uventet inkluderer det i ustrukturerte data.

6. Hyppighet:

Frekvensen av overføringen (f.eks. om dataene overføres på éngangs- eller kontinuerlig basis).

På kontinuerlig basis, avhengig av kundens bruk av tjenestene.

7. Overføringer til underbehandlere:

I henhold til artikkel 2.9 i DPA-en vil underbehandlere behandle kundedata som nødvendig for å utføre tjenestene. Slik behandling vil vare i avtaleperioden, med mindre annet er avtalt skriftlig.

8. Informasjon om SCC-er for overføring av britiske data under avsnitt 4.2:

  • 8.1 Modul to (Behandlingsansvarlig til Databehandler) i SCC-ene gjelder når kunden er en behandlingsansvarlig og OpenAI behandler kundedata som en databehandler. Modul tre (behandler til underbehandler) i SCC-ene gjelder når kunden er en databehandler og OpenAI behandler kundedata som en underbehandler.
  • 8.2 For hver modul av SCC-ene gjelder følgende, der det er aktuelt: (i) Den valgfrie dokkingklausulen i klausul 7 gjelder ikke; (ii) I klausul 9 gjelder alternativ 2 (generell skriftlig godkjenning), og minimumsperioden for forhåndsvarsel om endringer av underbehandlere skal være som angitt i avsnitt 2.9 i DPA-en; (iii) I klausul 11 gjelder ikke valgfritt språk; (iv) Alle hakeparenteser i klausul 13 er herved fjernet; (v) I klausul 17 (alternativ 1) vil SCC-ene være underlagt lovene i England og Wales; (vi) I klausul 18(b) vil tvister bli løst for domstolene i England og Wales; (vii) Dette vedlegg 1 inneholder informasjonen som kreves i Vedlegg I og Vedlegg III av SCC-ene; (viii) Avsnitt 2.5 (Sikkerhet) i DPA-en inneholder informasjonen som kreves i Vedlegg II av SCC-ene, (ix) den kompetente tilsynsmyndigheten er Information Commissioner’s Office («ICO»).
  • 8.3 Dataeksportør(er): Kunden under Avtalen; Dataimportør(er): OpenAI OpCo, LLC, 1455 3rd Street, San Francisco, CA 94158, Personvernombud, privacy@openai.com.

Utføre databehandlingsavtale(åpnes i et nytt vindu)