Introduktion
Parterne er enige om, at denne databeskyttelsesaftale ("DPA") angiver hver parts rettigheder og forpligtelser med hensyn til behandling og sikkerhed af kundens personlige data i forbindelse med den software og de tjenester, der leveres af MetaCompliance Ireland Ltd. Databeskyttelsesaftalen er indarbejdet som reference i de kommercielle vilkår ( "de kommercielle vilkår"). Parterne er også enige om, at medmindre der findes en separat DPA underskrevet af parterne, regulerer denne DPA behandlingen og sikkerheden af kundens personlige data.
Bestemmelserne i DPAen erstatter eventuelle modstridende bestemmelser i MOCHs Erklæring om Beskyttelse af Personoplysninger, som ellers måtte gælde for behandling af Kunders Personoplysninger. For klarhedens skyld, i overensstemmelse med Standardkontraktbestemmelserne fra 2021, som defineret nedenfor, når Standardkontraktbestemmelserne fra 2021 finder anvendelse, har Standardkontraktbestemmelserne fra 2021 forrang for ethvert andet vilkår i DPAen.
1. Parter
1.1 Kunden er som defineret i de kommercielle vilkår ("Kunden") og
1.2 MetaCompliance Ireland Limited, der er stiftet og registreret i Republikken Irland med virksomhedsnummer 640228, hvis hjemsted er på Unit 21, Block 1, Clonshaugh Business and Technology Park, Dublin 17, D17 YY31 ("Leverandøren").
2. Baggrund
2.1 Kunden og Leverandøren har indgået en kontrakt, der kan kræve, at Leverandøren behandler personoplysninger på vegne af Kunden.
2.2 Denne databehandlingsaftale ("DPA") fastsætter de yderligere vilkår, krav og betingelser, som leverandøren vil behandle personoplysninger på, når der leveres tjenester i henhold til kontrakten. Denne DPA indeholder de obligatoriske klausuler, der kræves i henhold til artikel 28(3) i den generelle databeskyttelsesforordning ((EU) 2016/679 (og databeskyttelseslovene 1988 til 2018, som ændret) for kontrakter mellem dataansvarlige og databehandlere.
2.3 Denne DPA er underlagt vilkårene i kontrakten og er inkorporeret i kontrakten. De udtryk, der anvendes i denne DPA, skal have de betydninger, der er angivet i denne DPA. Udtryk med stort begyndelsesbogstav, der ikke på anden måde er defineret heri, skal have den betydning, der er givet dem i kontraktens kommercielle vilkår.
2.4 Bilagene udgør en del af denne DPA og vil have virkning, som om de var angivet i deres helhed i denne DPA. Enhver henvisning til denne DPA omfatter bilag.
2.5 I tilfælde af uoverensstemmelse mellem en bestemmelse i denne DPA og andre vilkår i kontrakten med hensyn til genstanden for denne DPA, skal bestemmelserne i denne DPA have forrang.
3. Definitioner
Følgende udtryk i denne DPA skal have følgende betydning:
| "Databeskyttelseslovgivning" | betyder alle gældende love og bestemmelser vedrørende behandling af personoplysninger på ethvert tidspunkt i løbet af denne DPA, herunder (1) den generelle databeskyttelsesforordning (GDPR, EU 2016/679); (2) databeskyttelseslovene 1988 til 2018 med ændringer; (3) e-databeskyttelsesdirektivet 2002/58/EF som implementeret af EU's medlemsstater og enhver efterfølgende lovgivning og andre bestemmelser, vejledninger og adfærdskodekser vedrørende databeskyttelse og privatlivets fred, i hvert enkelt tilfælde som ændret, opdateret eller erstattet fra tid til anden. |
| "Personlige Kundeoplysninger" | betyder Personoplysninger, der behandles af MOCH udelukkende med henblik på levering af Tjenester og som anvist af Kunden. |
| "Standardkontraktbestemmelser" | betyder Europa-Kommissionens standardkontraktbestemmelser for overførsel af personoplysninger fra Den Europæiske Union til databehandlere, der er etableret i tredjelande (overførsler fra dataansvarlig til databehandler), som anført i bilaget til Kommissionens afgørelse 2021/914/EU af4. juni 2021. |
| "Beslutning om tilstrækkelighed" | betyder Europa-Kommissionens afgørelse om tilstrækkeligheden af beskyttelsesniveauet i forbindelse med overførsel af personoplysninger til Det Forenede Kongerige, vedtaget den 28. juni 2021. |
| "Underdatabehandler" | betyder en underleverandør, der er benyttes af Leverandøren, og, som en del af underleverandørens rolle med at levere Tjenesterne, behandler Personoplysninger på vegne af Kunden. |
| "Dataansvarlig", "Registreret", "Databehandler", "Behandling eller behandling", "Personoplysninger", "Brud på persondatasikkerheden" | skal have de betydninger, der er angivet i GDPR. |
4. Behandling af personoplysninger
4.1 Parterne anerkender og er enige om, at i henhold til databeskyttelseslovgivningen og med hensyn til behandlingen af kundens personoplysninger er leverandøren databehandler og kunden dataansvarlig.
4.2 Kunden garanterer og erklærer: (i) at overførslen af Kundens Personoplysninger til Leverandøren i alle henseender overholder Databeskyttelseslovene (herunder uden begrænsning med hensyn til indsamling og brug); og (ii) at der er givet rimelig behandling og alle andre relevante meddelelser til de Registrerede af Kundens Personoplysninger (og alle nødvendige samtykker fra sådanne Registrerede er indhentet og til enhver tid opretholdt) i det omfang, det kræves af Databeskyttelseslovene i forbindelse med alle behandlingsaktiviteter, som kan udføres af Leverandøren og dennes Underdatabehandlere i overensstemmelse med denne Aftale;
4.3 Leverandøren forpligter sig til kun at Behandle Kundens Personoplysninger: (i) som nødvendigt for at levere Ydelserne; (ii) i overensstemmelse med skriftlige instruktioner fra Kunden; og (iii) i overensstemmelse med kravene i Databeskyttelseslovgivningen.
4.4 Kunden skal i sin brug af Tjenesterne behandle Personoplysninger i overensstemmelse med kravene i Databeskyttelseslovene. Kunden skal sikre, at alle instruktioner til Leverandøren i forbindelse med Behandlingen af Kundens Personoplysninger overholder Databeskyttelseslovene.
4.5 Kundens instruktioner til Leverandøren vedrørende genstanden for og varigheden af Behandlingen, Behandlingens art og formål, typerne af Personoplysninger og kategorierne af Registrerede er beskrevet i Bilag A. For at undgå tvivl anerkender og accepterer parterne, at behandlingsinstruktionerne i denne databeskyttelsesaftale og bilag A udgør det komplette sæt af instruktioner fra kunden til leverandøren, som de gælder, jf. punkt 5.
4.6 Leverandøren skal straks underrette kunden, hvis en instruktion fra kunden efter leverandørens rimelige opfattelse sandsynligvis vil være i strid med databeskyttelseslovgivningen.
4.7 Leverandøren må ikke behandle, overføre, modificere eller ændre kundens personoplysninger eller videregive eller tillade videregivelse af kundens personoplysninger til nogen tredjepart uden for de instruktioner, der er beskrevet i denne databeskyttelsesaftale.
4.8 Leverandørens personale, der er involveret i behandlingen af kundens personoplysninger, skal informeres om den fortrolige karakter af kundens personoplysninger og vil modtage passende uddannelse om deres ansvar. Sådant personale skal være underlagt passende fortrolighedsforpligtelser.
4.9 Under hensyntagen til arten af behandling af personoplysninger i de leverede tjenester skal leverandøren som krævet i GDPR artikel 32 opretholde passende tekniske og organisatoriske foranstaltninger for at sikre behandlingssikkerheden, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod utilsigtet eller ulovlig ødelæggelse, tab eller ændring eller skade, uautoriseret videregivelse af eller adgang til kundens personoplysninger. Parterne anerkender og accepterer, at de sikkerhedsforanstaltninger, der er specificeret i denne DPA og mere specifikt i bilag B, udgør passende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der passer til risikoen.
4.10 Leverandøren skal hjælpe kunden med passende tekniske og organisatoriske foranstaltninger, for så vidt dette er muligt og under hensyntagen til arten af behandlingen af kundens personoplysninger, med at opfylde kundens overholdelsesforpligtelser i henhold til databeskyttelseslovene, herunder i forhold til registreredes rettigheder, konsekvensanalyser af databeskyttelse (relateret til kundens brug af MetaCompliance-tjenester) og rapportering til og høring af tilsynsmyndigheder (i forbindelse med en konsekvensanalyse af databeskyttelse relateret til MetaCompliance-tjenesterne).
4.11 Hvis registrerede, kompetente myndigheder eller andre tredjeparter anmoder om oplysninger fra leverandøren vedrørende behandlingen af kundens personoplysninger, skal leverandøren henvise en sådan anmodning til kunden, medmindre andet kræves for at overholde databeskyttelseslovene, i hvilket tilfælde leverandøren skal give forudgående meddelelse til kunden om et sådant lovkrav, medmindre denne lov forbyder denne videregivelse af vigtige grunde af offentlig interesse.
5. Underdatabehandlere
5.1 Kunden anerkender og accepterer, at Leverandøren i forbindelse med levering af Ydelser kan engagere Underdatabehandlere, der kan være datterselskaber af Leverandøren og/eller tredjeparter som nærmere beskrevet i Bilag A og C. Leverandørens engagement af sådanne parter skal være underlagt en skriftlig (herunder i elektronisk form) kontrakt, der er i overensstemmelse med vilkårene i denne Databeskyttelseserklæring, i relation til den krævede behandling af Personoplysninger.
5.2 Kunden anerkender, at Leverandøren gives generel tilladelse til at engagere nye Underdatabehandlere uden at indhente yderligere skriftlig, specifik tilladelse fra Kunden. Dette er betinget af, at databehandleren skriftligt underretter kunden om enhver ny underdatabehandlers identitet 30 dage forud for behandlingen af kundens personoplysninger.
5.3 Hvis kunden ønsker at gøre indsigelse mod den relevante underdatabehandler, skal kunden meddele dette skriftligt inden for ti (10) arbejdsdage fra modtagelsen af meddelelsen fra leverandøren. Hvis kunden ikke gør indsigelse, betragtes det som samtykke til at bruge den relevante underdatabehandler.
5.4 Hvis kunden gør indsigelse mod en ny underdatabehandler, vil leverandøren gøre en rimelig indsats for at stille en ændring i tjenesterne til rådighed for kunden eller anbefale en kommercielt rimelig ændring i tjenesterne for at undgå, at den relevante nye underdatabehandler behandler kundens personoplysninger. Hvis intet alternativ er muligt, har parterne ret til at opsige kontrakten mellem dem.
5.5 Leverandørens meddelelse om en ny underdatabehandler til kunden skal omfatte levering af et opdateret bilag C. Leverandøren skal holde bilag C opdateret.
5.6 Leverandøren forbliver ansvarlig over for kunden for opfyldelsen af underdatabehandlernes forpligtelser.
6. Dataoverførsler
6.1 I overensstemmelse med GDPR artikel 28(3)(a) må Leverandøren ikke, og må ikke tillade nogen Underdatabehandler at, overføre Kundens Personoplysninger uden for EØS, bortset fra som angivet i denne Aftale. For at undgå tvivl giver kunden hermed sit samtykke til overførsel og behandling af personoplysningerne som angivet i bilag A, som det gælder.
6.2 Leverandøren anerkender, at der i overensstemmelse med GDPR skal være tilstrækkelig beskyttelse af personoplysningerne efter enhver overførsel uden for EØS (enten direkte eller via en underdatabehandlers videre overførsel) og skal indgå en passende aftale med kunden og/eller enhver underdatabehandler for at regulere en sådan overførsel. Dette vil omfatte de gældende standardkontraktbestemmelser eller vil være afhængig af beslutningen om tilstrækkelighed, medmindre der findes en anden mekanisme for tilstrækkelighed for overførslen.
7. Brud på persondatasikkerheden
7.1 I tilfælde af brud på persondatasikkerheden, der involverer kundens persondata, skal leverandøren:
7.1.1 Underrette kunden uden unødig forsinkelse (inden for maksimalt 48 timer) for at gøre det muligt for kunden at overholde rapporteringsforpligtelserne i GDPR og yde rimelig assistance til kunden, når det er nødvendigt at kommunikere et brud på persondatasikkerheden til en registreret.
7.1.2 Gøre en rimelig indsats for at identificere årsagen til et sådant brud på persondatasikkerheden og tage de skridt, som leverandøren anser for rimeligt gennemførlige for at afhjælpe årsagen til et sådant brud på persondatasikkerheden.
7.1.3 I henhold til vilkårene i denne DPA yde rimelig assistance og samarbejde efter anmodning fra kunden i forbindelse med korrektion eller afhjælpning af et brud på persondatasikkerheden.
8. Optegnelser over behandling
8.1 I det omfang det er relevant for leverandørens behandling for kunden, skal leverandøren føre alle optegnelser, der kræves i henhold til artikel 30, stk. 2, i GDPR, og skal stille dem til rådighed for kunden efter anmodning.
9. Revisionsrettigheder
9.1 Leverandøren skal, og skal sikre, at dennes underdatabehandlere, efter anmodning stiller rimelige oplysninger til rådighed for kunden, som er nødvendige for at påvise overholdelse af dennes databeskyttelsesforpligtelser i henhold til denne databeskyttelsesaftale, og skal tillade og bidrage til revisioner, herunder inspektion i dennes lokaler, foretaget af kunden eller en revisor bemyndiget af kunden i forbindelse med behandlingen af kundens personoplysninger, forudsat at en sådan revisor ikke er en konkurrent til leverandøren.
10. Løbetid
10.1 Denne DPA skal forblive i fuld kraft og virkning, så længe:
10.1.1 Kontrakten forbliver i kraft; eller
10.1.2 Leverandøren bevarer alle Kundens Personoplysninger i sin besiddelse eller kontrol.
10.2 Enhver bestemmelse i denne DPA, der udtrykkeligt eller underforstået skal træde i kraft eller fortsætte med at være i kraft på eller efter Kontraktens ophør for at beskytte Kundens Personoplysninger, forbliver i fuld kraft og virkning.
11. Returnering og destruktion af data
11.1 Leverandøren skal, efter kundens skøn og med en sådan skriftlig anmodning fra kunden, slette eller returnere alle kundens personoplysninger til kunden efter afslutningen af leveringen af tjenester i forbindelse med behandling og slette eksisterende kopier, medmindre gældende EØS- eller medlemsstatslovgivning kræver opbevaring af kundens personoplysninger. Hvis der ikke modtages en skriftlig anmodning fra kunden, skal leverandøren slette kundens persondata 90 dage efter kontraktens ophør.
11.2 På kundens anmodning skal leverandøren give en skriftlig meddelelse om de foranstaltninger, der er truffet vedrørende kundens persondata.
12. Skadesløsholdelse
12.1 I det omfang det kræves i henhold til artikel 82 i GDPR og med forbehold af punkt 12.1 i denne DPA, accepterer leverandøren at skadesløsholde kunden for alle direkte omkostninger, krav, skader eller udgifter, som kunden pådrager sig på grund af leverandørens eller dennes medarbejderes, underdatabehandleres, underleverandørers eller agenters manglende overholdelse af nogen af dennes forpligtelser i henhold til denne DPA eller databeskyttelseslovene.
12.2 Uanset det modsatte i denne DPA eller i kontrakten (herunder, uden begrænsning, begge parters skadesløsholdelsesforpligtelser), vil ingen af parterne være ansvarlig for GDPR-bøder udstedt eller opkrævet i henhold til artikel 83 i GDPR mod den anden part af en regulerende myndighed eller et statsligt organ i forbindelse med en sådan anden parts overtrædelse af GDPR.
12.3 I det omfang det er tilladt i henhold til databeskyttelseslovgivningen og med forbehold af de undtagelser, der er beskrevet i punkt 12.2 i denne DPA, er hver parts samlede ansvar i henhold til eller i forbindelse med denne DPA, uanset årsag, underlagt de undtagelser og begrænsninger af ansvar, der er angivet i kontrakten.
Bilag A
Formål og detaljer vedrørende behandling af Personoplysninger
| Genstand for behandling | Detaljer | Gælder for: |
Formål Angiv alle formål, hvortil Personoplysningerne vil blive behandlet af Leverandøren | Adgang til systemet Systemadministration Levering af systemindhold i henhold til de moduler, der abonneres på. Se nedenfor: | Alle Kunder |
| Politikker, Vidensvurderinger | Kunder, der abonnerer på politikmoduler (PolicyLite, MetaEngage og MetaPolicy) | |
| eLearning, andre medier | Kunder, der abonnerer på Elearning-moduler (MetaLearning Fusion) | |
| Privacy Surveys | Kunder, der abonnerer på MetaPrivacy-modulet | |
| Anmeldelser af hændelser | Kunder, der abonnerer på MetaIncident-modulet | |
| Simulerede phishing-kampagner | Kunder, der abonnerer på Metaphish | |
| SCORM overførsel til Customer LMS | Kunder, der abonnerer på SCORM-overførsel | |
Typer af Personoplysninger Angiv de Personoplysninger, der vil blive behandlet af Leverandøren | Fornavn, efternavn, e-mailadresse, IP-adresse, afdeling, uddannelsesrekord | Alle Kunder |
| Active Directory Organisation Unit (OU) | Kunder, der bruger Azure AD eller lokalt AD | |
| LMS ID | Kunder med abonnement på SCORM overfører | |
Kategorier af registrerede personer Angiv de kategorier af registrerede personer, hvis personoplysninger vil blive behandlet af leverandøren | Kundens medarbejdere, entreprenører, leverandører, partnere og/eller associerede selskaber. | Alle kunder i overensstemmelse med de registreredes data, der er leveret til leverandøren. Kunden kan begrænse dette afhængigt af deres tilsigtede brug af tjenesterne. |
Kategorier af registrerede Angiv de kategorier af registrerede, hvis Personoplysninger vil blive behandlet af Leverandøren | Behandling og opbevaring af kundens personlige data med henblik på at oprette og vedligeholde autoriserede brugerkonti på MyCompliance-platformen. Distribution af forskellige meddelelses-e-mails initieret af MetaCompliance MyCompliance-systemet. | Alle Kunder |
| Distribution af simulerede phishing-e-mails specifikt initieret af Kunden via MOCH-platformen. | Kunder, der abonnerer på MetaPhish-modulet | |
| Opbevaring af Personoplysninger, hvor de indtastes af Kunden via MOCH-modulet. | Kunder, der abonnerer på MetaPrivacy-modulet | |
| At kommunikere med kundens LMS og evaluere antallet af licenser | Kunder, der abonnerer på SCORM-overførsel | |
Placering af behandlingsaktiviteter Angiv alle steder, hvor Personoplysningerne vil blive behandlet af Leverandøren | Storbritannien (MetaCompliance Group) Danmark (MetaCompliance Group) Portugal (MetaCompliance Group) Tyskland (MetaCompliance Group) Irland (MetaCompliance Group, Microsoft Azure, Amazon Web Services) Holland (Microsoft Azure) | Alle kunder som relevant. Der henvises til bilag C for yderligere oplysninger. |
Krav til opbevaring Når det er relevant, skal du angive opbevaringstiden for de personlige oplysninger om kunden, som leverandøren opbevarer. | Når et kundeabonnement er udløbet eller opsiges, opbevares alle tilknyttede personlige kundedata i 90 dage, før de endeligt slettes for at gendanne efter utilsigtet annullering af abonnementet. | Alle Kunder |
Bilag B
Sikkerhedsforanstaltninger For at hjælpe Kunden med at overholde sine lovgivningsmæssige forpligtelser, herunder, men ikke begrænset til, sikkerhedsforanstaltninger og risikovurderinger vedrørende databeskyttelse, er Leverandøren forpligtet til at træffe passende tekniske og organisatoriske foranstaltninger for at beskytte Kundens Personoplysninger. Foranstaltningerne skal som minimum resultere i et sikkerhedsniveau, som er passende under hensyntagen til:- eksisterende tekniske muligheder;
- omkostningerne til gennemførelse af foranstaltningerne;
- de særlige risici, der er forbundet med behandlingen af kundens personlige data; og
- følsomheden af de kundepersondata, der behandles.
- pseudonymisering og kryptering af kundens personlige data;
- evnen til at sikre den løbende fortrolighed, integritet, tilgængelighed og modstandsdygtighed af systemer og tjenester, der behandler kundens personlige data;
- evnen til at genoprette tilgængeligheden af og adgangen til kundens personlige data rettidigt i tilfælde af en fysisk eller teknisk hændelse; og
- en proces til regelmæssigt at teste, vurdere og evaluere effektiviteten af tekniske og organisatoriske foranstaltninger til sikring af behandlingens sikkerhed.
- fysisk adgangsbeskyttelse, hvorved computerudstyr og flytbare data, der indeholder Kundens Personoplysninger i Leverandørens lokaler, skal være aflåst, når de ikke er under opsyn, for at beskytte mod uautoriseret brug, påvirkning og tyveri.
- en proces til test af tilbagelæsning, efter at kundens personlige data er blevet gendannet fra sikkerhedskopier.
- autorisationskontrol, hvor leverandørens adgang til kundens personoplysninger styres gennem et teknisk system fra autorisationskontrol. Autorisationen skal begrænses til dem, der har brug for Kundens persondata til deres arbejde. Bruger-id'er og adgangskoder skal være personlige og må ikke overdrages til andre. Der skal være procedurer for tildeling og fjernelse af autorisationer.
- føre fortegnelser over, hvem der har adgang til kundens personlige data.
- sikker kommunikation, hvor eksterne datakommunikationsforbindelser skal beskyttes ved hjælp af tekniske funktioner, der sikrer, at forbindelsen er autoriseret, samt indholdskryptering for data i transit i kommunikationskanaler uden for systemer, der kontrolleres af leverandøren.
- en proces til sikring af sikker destruktion af data, når faste eller flytbare lagringsmedier ikke længere skal bruges til deres formål.
- rutiner for indgåelse af fortrolighedsaftaler med leverandører, der leverer reparation og service af udstyr, der bruges til at lagre kundens personlige data.
- rutiner for overvågning af den service, der udføres af leverandører i leverandørens lokaler. Lagringsmedier, der indeholder kundens personlige data, skal fjernes, hvis tilsyn ikke er muligt.
Bilag C
Godkendte underbehandlere:| Underdatabehandler | Sted | Gælder for: |
| Microsoft Azure (indgået via Microsoft Operations Ireland Ltd, hoster tjenesterne i skyen) |
Holland Dublin Tyskland Canada |
Placering anvendes i overensstemmelse med nedenstående for nye kunder: 1. EØS- og Schweiz-baserede kunder vil som standard vælge datacentrene i Holland og Dublin for Microsoft Azure. 2. Tyske kunder vil som standard vælge det tyske datacenter. 3. Canadiske kunder bruger som standard kun canadiske datacentre til Microsoft Azure. |
| Amazon Web Services (indgået Kontrakt med "AWS Europe", som transaktions-e-mail-udbyder) | Dublin Tyskland Canada |
Placering anvendes i overensstemmelse med nedenstående for nye kunder efter 5. juli 2023: 1. EØS- og Schweiz-baserede kunder vil som standard vælge EU-baserede datacentre for AWS Europe. 2. Tyske kunder vil som standard vælge det tyske datacenter. 3. Canadiske kunder vil vælge de canadiske datacentre for AWS Europe. |
| MetaCompliance Limited, en enhed i MetaCompliance Group (levering af kundekontotjenester og supporttjenester til kunder) |
Det Forenede Kongerige | Alle kunder |
| MetaCompliance GmbH (levering af kundekontotjenester og supporttjenester) | Tyskland | Alle kunder |
| MOCH A/S en MetaCompliance Group-enhed (levering af kundekontotjenester og supporttjenester til kunder) | Danmark | Alle kunder |
| MetaCompliance Ireland Ltd Sucursal Portugal en MetaCompliance Group-enhed (levering af kundekontotjenester og supporttjenester til kunder) |
Portugal | Alle kunder |