Introduktion

Parterne er enige om, at denne databeskyttelsesaftale ("DPA") fastsætter parternes rettigheder og forpligtelser med hensyn til behandling og sikkerhed af kundens personoplysninger i forbindelse med den software og de tjenester, der leveres af MetaCompliance Ltd. Databeskyttelsesaftalen er indarbejdet ved henvisning i de generelle vilkår og betingelser (kommercielle vilkår). Parterne er også enige om, at medmindre der findes en separat DPA, der er underskrevet af parterne, regulerer denne DPA behandlingen og sikkerheden af Kundens Personlige Data.

Bestemmelserne i DPAen erstatter eventuelle modstridende bestemmelser i MOCHs Erklæring om Beskyttelse af Personoplysninger, som ellers måtte gælde for behandling af Kunders Personoplysninger. For klarhedens skyld, i overensstemmelse med Standardkontraktbestemmelserne fra 2021, som defineret nedenfor, når Standardkontraktbestemmelserne fra 2021 finder anvendelse, har Standardkontraktbestemmelserne fra 2021 forrang for ethvert andet vilkår i DPAen.

Aftale om databehandling med virkning fra den 1. maj 2022

  1. 1. Parter

    Kunden som defineret i de generelle vilkår og betingelser ("Kunden") og

    1.1.1.1 MetaCompliance Limited, der er registreret i Nordirland med selskabsnummer NI049166, hvis registrerede kontor ligger på Third Floor Old City Factory 100 Patrick Street, Londonderry BT48 7EL ("Leverandøren").

  2. Baggrund

    Kunden og leverandøren har indgået en kontrakt, som kan kræve, at leverandøren behandler personoplysninger på vegne af kunden.

    Denne databehandleraftale ("DPA") fastsætter de yderligere vilkår, krav og betingelser, som leverandøren vil behandle personoplysninger, når han leverer tjenester i henhold til kontrakten. Denne DPA indeholder de obligatoriske klausuler, der kræves i henhold til artikel 28, stk. 3, i den generelle databeskyttelsesforordning ((EU) 2016/679 og den britiske GDPR-lovgivning) for kontrakter mellem registeransvarlige og registerførere.

    Denne databeskyttelsesaftale er underlagt betingelserne i kontrakten og er indarbejdet i kontrakten. De udtryk, der anvendes i denne DPA, har den betydning, der er fastsat i denne DPA. Begreber med stort bogstav, der ikke er defineret på anden måde heri, har den betydning, som de har i Kontraktens vilkår og betingelser.

    Bilagene udgør en del af denne databeskyttelsesaftale og har virkning, som om de var anført i deres helhed i denne databeskyttelsesaftale. Enhver henvisning til denne databeskyttelsesaftale omfatter bilagene.

    I tilfælde af uoverensstemmelse mellem en bestemmelse i denne DPA og et vilkår i kontrakten med hensyn til denne aftales genstand har bestemmelserne i denne DPA forrang.

  3. Definitioner
    Følgende udtryk i denne databeskyttelsesaftale skal have følgende betydning:

"Databeskyttelseslovgivning"

betyder alle gældende love og bestemmelser vedrørende behandling af personoplysninger på ethvert tidspunkt i denne databeskyttelsesaftales gyldighedsperiode, herunder (1) den generelle databeskyttelsesforordning (GDPR, EU 2016/679); (2) den britiske generelle databeskyttelsesforordning (UK GDPR) som tilpasset ved Data Protection Act 2018; (3) ePrivacy-direktivet 2002/58/EF som implementeret af EU's medlemsstater og enhver efterfølgerlovgivning og enhver anden lovgivning, vejledning og adfærdskodeks vedrørende databeskyttelse og privatlivets fred, i hvert enkelt tilfælde som ændret, opdateret eller erstattet fra tid til anden.

"Personlige Kundeoplysninger"

betyder Personoplysninger, der behandles af MOCH udelukkende med henblik på levering af Tjenester og som anvist af Kunden.

"Standardkontraktbestemmelser"

Europa-Kommissionens standardkontraktbestemmelser for overførsel af personoplysninger fra Den Europæiske Union til registerførere etableret i tredjelande (overførsel fra registeransvarlig til registerfører), som fastsat i bilaget til Kommissionens afgørelse 2021/914/EU af 4. juni 2021 og vedtaget i henhold til UK Addendum af 21. marts 2022.

"Underdatabehandler"

betyder en underleverandør, der er benyttes af Leverandøren, og, som en del af underleverandørens rolle med at levere Tjenesterne, behandler Personoplysninger på vegne af Kunden.

"Dataansvarlig", "Registreret", "Databehandler", "Behandling eller behandling", "Personoplysninger", "Brud på persondatasikkerheden"

skal have de betydninger, der er givet til dem i Storbritannien og EU GDPR.

4. Behandling af Personoplysninger

4.1 Parterne anerkender og accepterer, at Leverandøren med det formål at overholde Databeskyttelseslovgivningen og med hensyn til behandling af Kundens Personoplysninger er Databehandleren, og Kunden er den Dataansvarlige.

4.2 Kunden garanterer og indestår for: (i) at overførslen af Kundens Persondata til Leverandøren i alle henseender overholder Databeskyttelseslovgivningen (herunder uden begrænsning med hensyn til indsamling og brug); og (ii) rimelig behandling af personoplysninger og alle andre relevante meddelelser er givet til de Registrerede (og alle nødvendige samtykker fra sådanne Registrerede er indhentet og til enhver tid gældende) i det omfang, det kræves af Databeskyttelseslovgivningen i forbindelse med alle behandlingsaktiviteter, der kan udføres af Leverandøren og dennes Underdatabehandlere i overensstemmelse med denne Aftale;

4.3 Leverandøren forpligter sig til kun at behandle Kundens Personoplysninger: (i) som nødvendigt for at levere Tjenesterne; (ii) i overensstemmelse med skriftlige instruktioner fra Kunden; og (iii) i overensstemmelse med kravene i Databeskyttelseslovgivningen.

4.4 Kunden skal i sin brug af Tjenesterne behandle Personoplysninger i overensstemmelse med kravene i Databeskyttelseslovgivningen. Kunden skal sikre, at alle instruktioner til Leverandøren i forbindelse med behandling af Kundens Personoplysninger overholder Databeskyttelseslovgivningen.

4.5 Kundens instrukser til leverandøren vedrørende behandlingens genstand og varighed, behandlingens art og formål, typerne af personoplysninger og kategorier af registrerede personer er beskrevet i bilag A. For at undgå enhver tvivl anerkender og accepterer parterne, at de Behandlingsinstruktioner, der er anført i denne DPA og bilag A, udgør det fuldstændige sæt instruktioner fra Kunden til Leverandøren, som de gælder.

4.6 Leverandøren skal straks underrette Kunden, hvis en instruktion fra Kunden efter Leverandørens rimelige opfattelse sandsynligvis vil være i strid med Databeskyttelseslovgivningen.

4.7 Leverandøren må ikke behandle, overføre, ændre, modificere, ændre eller ændre Kundens personoplysninger eller videregive eller tillade videregivelse af Kundens personoplysninger til nogen tredjepart uden for de instruktioner, der er beskrevet i denne databeskyttelsesaftale, medmindre dette specifikt er skriftligt godkendt af Kunden.

4.8 Leverandørens personale, der er involveret i behandlingen af Kundens Personoplysninger, skal informeres om den fortrolige karakter af Kundens Personoplysninger og vil modtage passende uddannelse i deres ansvar. Sådant personale skal være underlagt passende fortrolighedsforpligtelser. En liste over personer, der har fået adgang, skal regelmæssigt gennemgås. På baggrund af en gennemgang en sådan liste, kan en adgang til personoplysninger trækkes tilbage, hvis adgangen ikke længere er nødvendig, og personoplysninger vil herefter ikke længere være tilgængelige for disse personer.

4.9 Under hensyntagen til behandlingens karakter i de leverede Tjenester skal Leverandøren som krævet i UK og EU GDPR artikel 32 opretholde passende tekniske og organisatoriske foranstaltninger for at sikre behandlingssikkerheden, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod utilsigtet eller ulovlig ødelæggelse, tab eller ændring eller skade, uautoriseret videregivelse af eller adgang til Kundens Personoplysninger. Parterne anerkender og accepterer, at de sikkerhedsforanstaltninger, der er specificeret i denne DPA og mere specifikt i Bilag B, udgør passende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der er passende for risikoen.

4.10 Leverandøren skal bistå Kunden med passende tekniske og organisatoriske foranstaltninger, for så vidt dette er muligt og, under hensyntagen til behandlingens karakter, med at opfylde Kundens forpligtelser i henhold til Databeskyttelseslovgivningen, herunder i forhold til den registreredes rettigheder, konsekvensanalyser vedrørende databeskyttelse (relateret til Kundens brug af MOCH-Tjenester) og rapportering til og høring af tilsynsmyndigheder (i forbindelse med en konsekvensanalyse vedrørende databeskyttelse relateret til MOCH-Tjenesterne).

4.11 Hvis de Registrerede, kompetente myndigheder eller andre tredjeparter anmoder Leverandøren om oplysninger vedrørende Behandlingen af Kundens Personoplysninger, skal Leverandøren henvise en sådan anmodning til Kunden, medmindre andet kræves for at overholde Databeskyttelseslovgivningen, i hvilket tilfælde Leverandøren skal give Kunden forudgående meddelelse om et sådant lovkrav, medmindre den pågældende lov forbyder denne videregivelse af hensyn til vigtige offentlige interesser.

5. Underdatabehandlere

5.1 Kunden anerkender og accepterer, at Leverandøren i forbindelse med levering af Ydelser kan engagere Underdatabehandlere, som kan være datterselskaber af Leverandøren og/eller tredjeparter som nærmere beskrevet i Bilag C.

5.2 Leverandøren må ikke ansætte en ny Underdatabehandler til at behandle Kundens personoplysninger uden en skriftlig kontrakt med en sådan Underdatabehandler, som pålægger denne tilsvarende databeskyttelsesforpligtelser som dem, der er fastsat i denne DPA med hensyn til beskyttelse af Kundens personoplysninger i det omfang, det er relevant for arten af de tjenester, der leveres af en sådan Underdatabehandler.

5.3 Hvis Leverandøren foreslår at øge antallet af underdatabehandlere, som han har ansat, eller at erstatte nogen af dem, skal han informere Kunden i overensstemmelse med punkt 5.5 nedenfor, og Kunden skal have mulighed for at gøre indsigelse mod en sådan ændring med rimelig begrundelse.

5.4 Hvis Kunden gør indsigelse mod en ny Underdatabehandler, vil Leverandøren gøre en rimelig indsats for at stille en ændring i Tjenesterne til rådighed for Kunden eller anbefale en kommercielt rimelig ændring i Tjenesterne for at undgå behandling af Kundens Personoplysninger af den relevante nye Underdatabehandler. Hvis intet alternativ er muligt, har parterne ret til at opsige Kontrakten mellem dem.

5.5 Leverandøren skal informere Kunden om ændringer i brugen af underdatabehandlere skriftligt med mindst 30 dages varsel om en sådan ændring og skal give Kunden et opdateret Bilag C. Leverandøren skal holde Bilag C opdateret.

5.6 Leverandøren forbliver ansvarlig over for Kunden for opfyldelsen af Underdatabehandlernes forpligtelser.

6. Overførsel til tredjelande eller internationale organisationer

6.1 I overensstemmelse med artikel 28(3)(a)(a) i den britiske og EU GDPR må Leverandøren ikke og må ikke tillade nogen Underdatabehandler at overføre Kundens Personoplysninger uden for EØS eller Storbritannien (alt efter hvad der er relevant) uden forudgående samtykke fra Kunden. For at undgå enhver tvivl giver Kunden hermed sit samtykke til overførsel og behandling af personoplysningerne som angivet i bilag A, som det er relevant.

6.2 Leverandøren anerkender, at der i overensstemmelse med den britiske og EU's GDPR skal være tilstrækkelig beskyttelse af personoplysningerne efter enhver overførsel uden for Storbritannien eller EØS (enten direkte eller via videreoverførsel), og skal indgå en passende aftale med kunden og/eller enhver underdatabehandler for at regulere en sådan overførsel. Dette vil omfatte de gældende standardkontraktbestemmelser, medmindre der findes en anden mekanisme for tilstrækkelig beskyttelse af overførslen.

7. Brud på persondatasikkerheden

I tilfælde af et brud på persondatasikkerheden, der involverer kundens personoplysninger, skal leverandøren:

7.1.1 Underrette kunden uden unødig forsinkelse for at gøre det muligt for kunden at overholde de britiske og EU GDPR-rapporteringsforpligtelser og yde rimelig assistance til kunden, når det er nødvendigt at kommunikere et brud på persondatasikkerheden til en registreret.

7.1.2 Gøre en rimelig indsats for at identificere årsagen til et sådant brud på persondatasikkerheden og tage de skridt, som Leverandøren anser for rimeligt gennemførlige for at afhjælpe årsagen til et sådant brud på persondatasikkerheden.

7.1.3 I henhold til betingelserne i denne DPA, yde rimelig assistance og samarbejde som anmodet af Kunden, for at fremme enhver korrektion eller afhjælpning af ethvert Brud på Persondatasikkerheden.

8. Fortegnelser over behandlingsaktiviteter

8.1 I det omfang det er relevant for Leverandørens behandling af personoplysninger for Kunden, skal Leverandøren opbevare alle fortegensler, der kræves i henhold til artikel 30, stk. 2, i Storbritannien og EU GDPR, og skal stille dem til rådighed for Kunden efter anmodning.

9. Revision, herunder inspektion

9.1 Leverandøren sørge for, at Leverandøren, og dennes Underdatabehandlere, efter anmodning stiller rimelige oplysninger til rådighed for Kunden, der er nødvendige for at påvise overholdelse af dennes databeskyttelsesforpligtelser i henhold til denne DPA, og skal tillade og bidrage til revisioner, herunder inspektion af fysiske lokationer, af Kunden eller en revisor, der er bemyndiget af Kunden i forbindelse med Behandling af Kundens Personoplysninger, forudsat at en sådan revisor ikke er en konkurrent til Leverandøren.

10. Ikrafttræden

10.1 Denne DPA er gældende så længe:

10.1.1 Kontrakten er gældende; eller

10.1.2 Leverandøren opbevarer enhver af Kundens Personoplysninger i sin besiddelse eller kontrol.

10.2 Enhver bestemmelse i denne DPA, der udtrykkeligt eller underforstået træder i kraft eller forbliver gældende ved eller efter opsigelse af Kontrakten for at beskytte Kundens Personoplysninger, forbliver gældende.

11. Sletning og returnering af oplysninger

11.1 Leverandøren skal, på Kundens foranledning og ved enhver sådan skriftlig anmodning fra Kunden, slette eller returnere alle Kundens Personoplysninger til Kunden efter afslutningen af leveringen af Tjenester relateret til Behandlingen og slette eksisterende kopier, medmindre gældende EØS- eller medlemsstatslovgivning kræver opbevaring af Kundens Personoplysninger. Hvis der ikke modtages en skriftlig anmodning fra Kunden, skal Leverandøren slette Kundens Personoplysninger 90 dage efter Kontraktens ophør.

11.2 På Kundens anmodning skal Leverandøren give en skriftlig meddelelse om de foranstaltninger, der er truffet vedrørende Kundens Personoplysninger.

12. Erstatning

12.1 Leverandøren accepterer at holde Kunden skadesløs for alle direkte omkostninger, krav, skader eller udgifter, som Kunden pådrager sig på grund af Leverandørens eller dennes medarbejderes, Underdatabehandleres, underleverandørers eller agenters manglende overholdelse af nogen af sine forpligtelser i henhold til denne DPA eller Databeskyttelseslovgivningen i overensstemmelse med artikel 82 i UK og EU GDPR.

12.2 Uanset det modsatte i denne DPA eller i Kontrakten (herunder, uden begrænsning, begge parters skadesløsholdelsesforpligtelser), vil ingen af parterne være ansvarlig for GDPR-bøder udstedt eller opkrævet i henhold til artikel 83 i GDPR mod den anden part af en regulerende myndighed eller et statsligt organ i forbindelse med en sådan anden parts overtrædelse af GDPR.

12.3 Med forbehold for de juridiske forpligtelser, der er beskrevet i punkt 12.1, og de begrænsninger, der er beskrevet i punkt 12.2, skal hver parts ansvar i henhold til denne DPA være underlagt de ansvarsfraskrivelser og -begrænsninger, der er beskrevet i Kontrakten. Enhver henvisning til en parts "ansvarsbegrænsning" i Kontrakten skal fortolkes som en parts og alle dennes datterselskabers og associerede selskabers samlede ansvar i henhold til aftalen og denne DPA.

Bilag A

Formål og detaljer vedrørende behandling af Personoplysninger

Genstand for behandling

Detaljer

Gælder for:

Formål

Angiv alle formål, hvortil Personoplysningerne vil blive behandlet af Leverandøren
Adgang til systemet Administration af systemet Levering af systemindhold i henhold til moduler, der abonneres på. Se nedenfor:

Politikker, Vidensvurderinger

eLearning, andre medier

Privacy Surveys

Anmeldelser af hændelser

Simulerede phishing-kampagner
SCORM overførsel til Customer LMS
Alle Kunder
Kunder, der abonnerer på politikmoduler (PolicyLite, MetaEngage og MetaPolicy)
Kunder, der abonnerer på Elearning-moduler (MetaLearning Fusion)
Kunder, der abonnerer på MetaPrivacy-modulet
Kunder, der abonnerer på MetaIncident-modulet
Kunder, der abonnerer på Metaphish
Kunder, der abonnerer på SCORM-overførsel

Typer af Personoplysninger

Angiv de Personoplysninger, der vil blive behandlet af Leverandøren
Fornavn, efternavn, e-mailadresse, afdeling, undervisningsoversigt
Active Directory Organisation Unit (OU)
LMS ID
Alle Kunder
Kunder, der bruger Azure AD eller lokalt AD
Kunder med abonnement på SCORM overfører

Kategorier af registrerede personer

Angiv de kategorier af registrerede personer, hvis personoplysninger vil blive behandlet af leverandøren

Kundens medarbejdere, entreprenører, leverandører, partnere og/eller associerede selskaber.

Alle kunder i overensstemmelse med de data, der er givet til leverandøren. Kunden kan begrænse dette afhængigt af sin planlagte brug af tjenesterne.

Kategorier af registrerede

Angiv de kategorier af registrerede, hvis Personoplysninger vil blive behandlet af Leverandøren
Behandling og opbevaring af kundens personlige data med henblik på at oprette og vedligeholde autoriserede brugerkonti på MyCompliance-platformen. Distribution af forskellige meddelelses-e-mails initieret af MetaCompliance MyCompliance-systemet.
Distribution af simulerede phishing-e-mails specifikt initieret af Kunden via MOCH-platformen.
Opbevaring af Personoplysninger, hvor de indtastes af Kunden via MOCH-modulet.

At kommunikere med Customer LMS og evaluere licensantal

Alle Kunder
Kunder, der abonnerer på MetaPhish-modulet
Kunder, der abonnerer på MetaPrivacy-modulet
Kunder, der abonnerer på SCORM-overførsel

Placering af behandlingsaktiviteter

Angiv alle steder, hvor Personoplysningerne vil blive behandlet af Leverandøren
Storbritannien (MetaCompliance) Irland (MetaCompliance, Microsoft Azure, AWS Europe). AWS Europe er en transaktions-e-mailudbyder, som vil blive brugt afhængigt af kundens placering - se bilag C. Holland (Microsoft Azure) USA (Twilio for Sendgrid Services - mulighed for transaktions-e-mailudbyder baseret på kundens placering - se bilag C)
Alle kunder som relevant. Der henvises til bilag C for yderligere oplysninger.

Krav til opbevaring

Når det er relevant, skal du angive opbevaringstiden for de personlige oplysninger om kunden, som leverandøren opbevarer.
Når et kundeabonnement er udløbet eller opsiges, opbevares alle tilknyttede personlige kundedata i 90 dage, før de endeligt slettes for at gendanne efter utilsigtet annullering af abonnementet.
Alle Kunder
Genstand for behandling Detaljer Gælder for.

Formål
Angiv alle formål, hvortil personoplysningerne vil blive behandlet af leverandøren

Systemadgang Systemadministration Levering af systemindhold i henhold til moduler, der abonneres på. Se nedenfor:
Alle Kunder

Politikker, Vidensvurderinger

Kunder, der abonnerer på politikmoduler (PolicyLite, MetaEngage og MetaPolicy)
eLearning, andre medier
Kunder, der abonnerer på Elearning-moduler (MetaLearning Fusion)
Privacy Surveys
Kunder, der abonnerer på MetaPrivacy-modulet
Anmeldelser af hændelser
Kunder, der abonnerer på MetaIncident-modulet
Simulerede phishing-kampagner
Kunder, der abonnerer på Metaphish
SCORM overførsel til Customer LMS
Kunder, der abonnerer på SCORM-overførsel
Genstand for behandling Detaljer Gælder for.

Typer af personoplysninger
Angiv de personoplysninger, der vil blive behandlet af leverandøren

Fornavn, efternavn, e-mailadresse, afdeling, undervisningsoversigt
Alle Kunder
Active Directory Organisation Unit (OU)
Kunder, der bruger Azure AD eller lokalt AD
LMS ID
Kunder med abonnement på SCORM overfører

Kategorier af registrerede personer
Angiv de kategorier af registrerede personer, hvis personoplysninger vil blive behandlet af leverandøren

Kundens medarbejdere, entreprenører, leverandører, partnere og/eller associerede selskaber.
Alle kunder i overensstemmelse med de data, der er givet til leverandøren. Kunden kan begrænse dette afhængigt af sin planlagte brug af tjenesterne.
Genstand for behandling Detaljer Gælder for.

Forarbejdningsaktiviteter
Angiv alle de forarbejdningsaktiviteter, der skal udføres af leverandøren

Behandling og opbevaring af Kunders Personoplysninger for at oprette og vedligeholde autoriserede brugerkonti på platformen. Distribution af forskellige notifikationsmails initieret af MOCH-systemet.
Alle Kunder
Distribution af simulerede phishing-e-mails specifikt initieret af Kunden via MOCH-platformen.
Kunder, der abonnerer på MetaPhish-modulet
Opbevaring af Personoplysninger, hvor de indtastes af Kunden via MOCH-modulet.
Kunder, der abonnerer på MetaPrivacy-modulet

Kategorier af registrerede personer
Angiv de kategorier af registrerede personer, hvis personoplysninger vil blive behandlet af leverandøren

Opbevaring af Personoplysninger, hvor de indtastes af Kunden via MOCH-modulet.
Kunder, der abonnerer på SCORM-overførsel
Genstand for behandling Detaljer Gælder for.

Sted for behandling
Angiv alle steder, hvor personoplysningerne vil blive behandlet af leverandøren

Det Forenede Kongerige (MetaCompliance) Irland (MetaCompliance, Microsoft Azure, AWS Europe). AWS Europe er en udbyder af transaktionsmail, som vil blive anvendt afhængigt af kundens placering - se bilag C. Holland (Microsoft Azure) USA (Twilio for Sendgrid Services - mulighed for udbyder af transaktionsmail baseret på kundens placering - se bilag C)
Alle kunder som relevant. Der henvises til bilag C for yderligere oplysninger.

Opbevaringskrav
Angiv i givet fald opbevaringstiden for de personlige oplysninger om kunden, som leverandøren opbevarer.

Når et kundeabonnement er udløbet eller opsiges, opbevares alle tilknyttede personlige kundedata i 90 dage, før de endeligt slettes for at gendanne efter utilsigtet annullering af abonnementet.
Alle Kunder

Bilag B

Sikkerhedsforanstaltninger

For at hjælpe Kunden med at overholde sine lovgivningsmæssige forpligtelser, herunder, men ikke begrænset til, sikkerhedsforanstaltninger og risikovurderinger vedrørende databeskyttelse, er Leverandøren forpligtet til at træffe passende tekniske og organisatoriske foranstaltninger for at beskytte Kundens Personoplysninger. Foranstaltningerne skal som minimum resultere i et sikkerhedsniveau, som er passende under hensyntagen til:

(a) eksisterende tekniske muligheder

(b) omkostningerne ved gennemførelsen af foranstaltningerne

(c) de særlige risici forbundet med behandlingen af Kunders Personoplysninger; og

(d) følsomheden af Kundens Personoplysninger, der behandles.

Leverandøren skal opretholde tilstrækkelig sikkerhed ved behandling af Kundens Personoplysninger. Leverandøren skal beskytte Kundens Personoplysninger mod ødelæggelse, ændring, ulovlig deling eller ulovlig adgang. Kundens Personoplysninger skal også beskyttes mod alle andre former for ulovlig behandling. Under hensyntagen til det aktuelle tekniske niveau og implementeringsomkostningerne og under hensyntagen til behandlingens art, omfang, kontekst og formål samt risikoen for varierende sandsynlighed og alvor for enkeltpersoners rettigheder og frihedsrettigheder, skal de tekniske og organisatoriske foranstaltninger, der skal implementeres af Leverandøren, efter omstændighederne omfatte:

(a) pseudonymisering og kryptering af Kundens Personoplysninger;

(b) evnen til at sikre løbende fortrolighed, integritet, tilgængelighed og modstandsdygtighed af systemer og Tjenester, der behandler Kundens Personoplysninger;

(c) evnen til at genoprette tilgængeligheden af og adgangen til Kundens Personoplysninger rettidigt i tilfælde af en fysisk eller teknisk hændelse; og

(d) en proces til regelmæssig testning, vurdering og evaluering af effektiviteten af tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerheden.

Ud over de tekniske og organisatoriske foranstaltninger, der er nævnt ovenfor, skal Leverandøren gennemføre følgende foranstaltninger:

(a) fysisk adgangsbeskyttelse, hvorved computerudstyr og flytbare data, der indeholder Kundens Personoplysninger i Leverandørens lokaler, skal være aflåst, når de ikke er under opsyn for at beskytte mod uautoriseret brug, påvirkning og tyveri.

(b) en proces til test af tilbagelæsning, efter at Kundens Personoplysninger er blevet gendannet fra sikkerhedskopier.

(c) autorisationskontrol, hvorved Leverandørens adgang til Kundens Personoplysninger styres gennem et teknisk system fra autorisationskontrol. Autorisation skal begrænses til dem, der har et arbejdsbetinget behov med at tilgå Kundens Personoplysninger. Bruger-id'er og adgangskoder skal være personlige og må ikke overdrages til andre. Der skal være procedurer for tildeling og fjernelse af autorisationer.

(d) føre fortegnelser over, hvem der har adgang til Kundens Personoplysninger.

(e) sikre kommunikation, hvor eksterne datakommunikationsforbindelser skal beskyttes ved hjælp af tekniske funktioner, der sikrer, at forbindelsen er autoriseret, samt kryptering af data i transit i kommunikationskanaler uden for systemer, der kontrolleres af Leverandøren.

(f) en proces til sikring af sikker destruktion af data, når faste eller flytbare lagringsmedier ikke længere skal bruges til deres formål.

(g) rutiner for indgåelse af fortrolighedsaftaler med Leverandører, der leverer reparation og service af udstyr, der bruges til at lagre Kundens Personoplysninger.

(h) rutiner for overvågning af den service, der udføres af Leverandører i Leverandørens lokaler. Lagringsmedier, der indeholder Kundens Personoplysninger, skal fjernes, hvis tilsyn ikke er muligt.

Bilag C

Godkendte underdatabehandlere

Underdatabehandler

Sted

Gælder for:

Microsoft Azure (Hoster Tjenesterne i Skyen)
AWS Europe (udbyder af transaktionsmail)
Twilio til Sendgrid-tjenester (udbyder af transaktionsmail)

Holland
Dublin

Dublin
U.S.A.
Alle Kunder
Alle kunder, der er baseret i Storbritannien eller EØS-lande.
Alle kunder, der er baseret uden for Storbritannien eller EØS-landene
Underprocessor Sted Gælder for.

Microsoft Azure (Hoster Tjenesterne i Skyen)

Holland
Dublin

Alle Kunder

AWS Europe (udbyder af transaktionsmail)

Dublin

Alle kunder, der er baseret i Storbritannien eller EØS-lande.

Twilio til Sendgrid-tjenester (udbyder af transaktionsmail)

USA

Alle kunder, der er baseret uden for Storbritannien eller EØS-landene

Kunden vil kun bruge én udbyder af transaktionsmails som dikteret af den adresse, der er angivet på tidspunktet for indgåelse af kontrakten, medmindre de indsender en skriftlig anmodning om at skifte udbyder.

Alle kunder, der har indgået kontrakt med MetaCompliance før den 1st maj 2022, som ikke har en underskrevet DPA på plads, vil bruge Twilio's transaktionsmailtjenester til Sendgrid-tjenester. Kontakt venligst din Customer Success Manager, hvis du ønsker at bruge AWS Europe-tjenesterne.