Introduktion

Parterne er enige om, at denne databeskyttelsesaftale ("DPA") fastsætter hver parts rettigheder og forpligtelser med hensyn til behandling og sikkerhed af kundens personlige data i forbindelse med den software og de tjenester, der leveres af leverandøren. DPA'en er indarbejdet ved henvisning i de kommercielle vilkår ("kommercielle vilkår"). Parterne er også enige om, at medmindre der findes en separat DPA underskrevet af parterne, regulerer denne DPA behandlingen og sikkerheden af kundens persondata. 

Bestemmelserne, der er beskrevet i vilkårene i denne DPA, vedrører leverandøren, der fungerer som behandler af kundens personlige data i leveringen af softwaren og tjenesterne ("emnet"). DPA-vilkårene erstatter eventuelle modstridende bestemmelser i MetaCompliance Groups privatlivspolitik, da de vedrører emnet. For klarhedens skyld, i overensstemmelse med 2021-standardkontraktbestemmelserne defineret nedenfor, når 2021-standardkontraktbestemmelserne finder anvendelse, har 2021-standardkontraktbestemmelserne forrang for ethvert andet vilkår i databehandlingsaftalen.

 

DATABEHANDLINGSAFTALE GÆLDENDE FRA 23. juni 2025

1. Parterne

  • Kunden er som defineret i de kommercielle vilkår ("Kunden"); og

1.2 Leverandøren er som defineret i de kommercielle vilkår ("Leverandøren").

2. Baggrund

  • Kunden og leverandøren har indgået en kontrakt, der kræver, at leverandøren behandler personoplysninger på vegne af kunden.
  • Denne databehandlingsaftale ("DPA") fastsætter de yderligere vilkår, krav og betingelser, som leverandøren vil behandle personoplysninger på, når han leverer tjenester i henhold til kontrakten, og kundens forpligtelser med hensyn til sådanne personoplysninger samt visse andre personoplysninger, som han kan modtage fra leverandøren i henhold til kontrakten. Denne DPA indeholder de obligatoriske klausuler, der kræves i henhold til artikel 28, stk. 3, i den generelle databeskyttelsesforordning ((EU) 2016/679 (og databeskyttelseslovene 1988 til 2018 med ændringer) for kontrakter mellem dataansvarlige og databehandlere.
  • Denne DPA er underlagt vilkårene i kontrakten og er indarbejdet i kontrakten. De udtryk, der anvendes i denne DPA, skal have den betydning, der er angivet i denne DPA. Udtryk med stort begyndelsesbogstav, som ikke på anden måde er defineret heri, skal have den betydning, der er angivet i kontraktens kommercielle vilkår.
  • Bilagene udgør en del af denne databeskyttelsesaftale og har virkning, som om de var anført i deres helhed i denne databeskyttelsesaftale. Enhver henvisning til denne databeskyttelsesaftale omfatter bilagene.
  • I tilfælde af en konflikt mellem en bestemmelse i denne DPA og andre vilkår i kontrakten med hensyn til emnet for denne DPA, skal bestemmelserne i denne DPA have forrang.

3. Definitioner

Følgende udtryk i denne DPA skal have følgende betydning:

 

"Databeskyttelseslovgivning"betyder alle gældende love og bestemmelser vedrørende behandling af personoplysninger på ethvert tidspunkt i løbet af denne DPA, som kan omfatte, alt efter hvad der er relevant: (1) den generelle databeskyttelsesforordning EU 2016/679 ("GDPR"); (2) databeskyttelseslovene 1988 til 2018, med ændringer; (3) den britiske databeskyttelseslov 2018 (DPA2018); (4) den britiske GDPR, som defineret i DPA2018; (5) forordningerne om privatlivets fred og elektronisk kommunikation (EF-direktiv) 2003; og/eller (6) ePrivacy-direktivet 2002/58/EF som implementeret af EU's medlemsstater, og enhver efterfølgende lovgivning og andre bestemmelser, vejledninger og adfærdskodekser vedrørende databeskyttelse og privatlivets fred, i hvert enkelt tilfælde som ændret, opdateret eller erstattet fra tid til anden.
"Personlige Kundeoplysninger"betyder personoplysninger, der behandles af leverandøren udelukkende med henblik på levering af tjenester og som udtrykkeligt angivet af kunden ved at indgå kontrakten og/eller ved at konfigurere og interagere med enhver software, der stilles til rådighed som en del af tjenesterne.
"Standardkontraktbestemmelser" betyder Europa-Kommissionens standardkontraktbestemmelser for overførsel af personoplysninger fra Den Europæiske Union til databehandlere etableret i tredjelande (overførsel fra dataansvarlig til databehandler), som fastsat i bilaget til Kommissionens afgørelse 2021/914/EU af 4. juni 2021.
"Beslutning om tilstrækkelighed" betyder Europa-Kommissionens afgørelse om tilstrækkeligheden af beskyttelsesniveauet i forbindelse med overførsel af personoplysninger til Det Forenede Kongerige, vedtaget den 28. juni 2021.
"Underdatabehandler"betyder en tredjepartsunderleverandør, der er ansat af leverandøren, og som, som en del af underleverandørens rolle i leveringen af tjenesterne, vil behandle personoplysninger på vegne af kunden.
"Dataansvarlig", "Registreret", "Databehandler", "Behandling eller behandling", "Personoplysninger", "Brud på persondatasikkerheden" skal have de betydninger, der er angivet i GDPR.

4. Behandling af Personoplysninger

4.1 Parterne anerkender og er enige om, at med henblik på databeskyttelseslovene og med hensyn til behandling af kundens personoplysninger til levering af tjenester er leverandøren databehandleren og kunden den dataansvarlige.

4.2 Kunden garanterer og repræsenterer: (i) overførslen af kundens personoplysninger til leverandøren overholder i alle henseender databeskyttelseslovgivningen (herunder uden begrænsning med hensyn til indsamling og brug); og (ii) rimelig behandling og alle andre passende meddelelser er blevet givet til de registrerede i kundens personoplysninger (og alle nødvendige samtykker fra sådanne registrerede er blevet opnået og til enhver tid opretholdt og kan påvises for leverandøren på anmodning) i det omfang, det kræves af databeskyttelseslovgivningen i forbindelse med alle behandlingsaktiviteter, der kan udføres af leverandøren og dennes underbehandlere i overensstemmelse med denne DPA og kontrakten.

4.3 Ved levering af tjenesterne skal leverandøren behandle kundens persondata: (i) efter behov for at levere tjenesterne; (ii) i overensstemmelse med skriftlige instruktioner fra kunden; og (iii) i overensstemmelse med kravene i databeskyttelseslovene.

4.4 Kunden skal i sin brug af Tjenesterne behandle Personoplysninger i overensstemmelse med kravene i Databeskyttelseslovgivningen. Kunden skal sikre, at alle instruktioner til Leverandøren i forbindelse med behandling af Kundens Personoplysninger overholder Databeskyttelseslovgivningen.

4.5 Med hensyn til kundens personoplysninger er kundens instruktioner til leverandøren vedrørende emnet og varigheden af behandlingen, arten og formålet med behandlingen, typerne af personoplysninger og kategorierne af registrerede beskrevet i bilag A. For at undgå tvivl anerkender og accepterer parterne, at med forbehold for paragraf 5 og i tillæg til de behandlingsinstruktioner, der er angivet i denne DPA og bilag A, kan kunden også udstede instruktioner til behandling af kundens personoplysninger gennem tjenesterne ved sin direkte interaktion med og konfiguration af tjenesterne.

4.6 Leverandøren skal straks underrette Kunden, hvis en instruktion fra Kunden efter Leverandørens rimelige opfattelse sandsynligvis vil være i strid med Databeskyttelseslovgivningen.

4.7 Med hensyn til emnet må leverandøren ikke behandle, overføre, ændre eller modificere kundens personoplysninger eller videregive eller tillade videregivelse af kundens personoplysninger til nogen tredjepart uden for de instruktioner, der er beskrevet i denne DPA.

4.8 Leverandørens personale, der er involveret i behandlingen af Kundens Personoplysninger, skal informeres om den fortrolige karakter af Kundens Personoplysninger og vil modtage passende uddannelse i deres ansvar. Sådant personale skal være underlagt passende fortrolighedsforpligtelser. En liste over personer, der har fået adgang, skal regelmæssigt gennemgås. På baggrund af en gennemgang en sådan liste, kan en adgang til personoplysninger trækkes tilbage, hvis adgangen ikke længere er nødvendig, og personoplysninger vil herefter ikke længere være tilgængelige for disse personer.

4.9 Under hensyntagen til arten af behandling af personoplysninger i de leverede tjenester skal leverandøren som krævet i GDPR artikel 32 opretholde passende tekniske og organisatoriske foranstaltninger for at sikre behandlingssikkerheden, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod utilsigtet eller ulovlig ødelæggelse, tab eller ændring eller beskadigelse, uautoriseret videregivelse af eller adgang til kundens personoplysninger. Parterne anerkender og accepterer, at de sikkerhedsforanstaltninger, der er specificeret i denne DPA og mere specifikt i bilag B, udgør passende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der er passende i forhold til risikoen.

4.10 Leverandøren skal bistå Kunden med passende tekniske og organisatoriske foranstaltninger, for så vidt dette er muligt og, under hensyntagen til behandlingens karakter, med at opfylde Kundens forpligtelser i henhold til Databeskyttelseslovgivningen, herunder i forhold til den registreredes rettigheder, konsekvensanalyser vedrørende databeskyttelse (relateret til Kundens brug af MOCH-Tjenester) og rapportering til og høring af tilsynsmyndigheder (i forbindelse med en konsekvensanalyse vedrørende databeskyttelse relateret til MOCH-Tjenesterne).

4.11 Med hensyn til emnet, hvis registrerede, kompetente myndigheder eller andre tredjeparter anmoder om oplysninger fra leverandøren vedrørende behandlingen af kundens personoplysninger, skal leverandøren henvise en sådan anmodning til kunden, medmindre andet kræves for at overholde databeskyttelseslovene, i hvilket tilfælde leverandøren skal give kunden forudgående meddelelse om et sådant juridisk krav, medmindre den pågældende lov forbyder denne offentliggørelse af vigtige grunde af offentlig interesse.

4.12 Kunden anerkender, at den vil modtage personoplysninger fra leverandøren under og i forbindelse med kontrakten (herunder, uden begrænsning, vedrørende personale ansat af leverandøren og dennes underentreprenører og leverandører samt registrerede, der kan identificeres ved hjælp af billeder og stemmeoptagelser, der er tilgængelige som standardindstillinger gennem visse af leverandørens tjenester). Kunden bekræfter, at han vil behandle sådanne personoplysninger som en uafhængig dataansvarlig og i overensstemmelse med databeskyttelseslovene.

5 Underprocessorer

5.1 Kunden anerkender og accepterer, at leverandøren i forbindelse med levering af tjenester kan engagere underdatabehandlere, der kan være tilknyttede virksomheder til leverandøren og/eller tredjeparter som nærmere beskrevet i bilag A og bilag C. Leverandørens engagement af sådanne parter skal være underlagt en skriftlig (herunder i elektronisk form) kontrakt, der er i overensstemmelse med vilkårene i denne DPA, i forhold til den krævede behandling af personoplysninger.

5.2 Kunden anerkender, at leverandøren får generel tilladelse til at engagere de underdatabehandlere, der er anført i bilag C, og tilføje (eller fjerne) nye underdatabehandlere uden at indhente yderligere skriftlig, specifik tilladelse fra kunden. Dette er betinget af, at databehandleren skriftligt underretter kunden om enhver ny underdatabehandlers identitet 30 dage forud for behandlingen af kundens personoplysninger ("meddelelsesperioden").

5.3 Hvis kunden ønsker at gøre indsigelse mod den relevante underdatabehandler, skal kunden give skriftlig meddelelse herom inden for opsigelsesperioden. En sådan meddelelse skal indeholde oplysninger om de påståede sikkerhedsrisici eller risici forbundet med den nye underdatabehandler. Hvis kunden ikke gør indsigelse af sådanne grunde og inden for meddelelsesperioden, anses det for at være et samtykke til at bruge den relevante underdatabehandler.

5.4 Hvis kunden gør indsigelse mod en ny underdatabehandler, vil leverandøren gøre en rimelig indsats for at løse problemerne, stille en ændring af tjenesterne til rådighed for kunden eller anbefale en kommercielt rimelig ændring af tjenesterne for at undgå behandling af kundens personoplysninger af den relevante nye underdatabehandler. Hvis intet alternativ er muligt, har hver part ret til at opsige kontrakten mellem dem med øjeblikkeligt varsel og uden ansvar eller krav om tilbagebetaling af beløb fra leverandørens side.

5.5 Leverandørens anmeldelse af en ny underdatabehandler til kunden skal omfatte levering af et opdateret bilag C. Leverandøren skal holde bilag C opdateret på følgende webside.

5.6 Leverandøren forbliver ansvarlig over for Kunden for opfyldelsen af Underdatabehandlernes forpligtelser.

6 Dataoverførsler

6.1 I overensstemmelse med GDPR artikel 28, stk. 3, litra a), må leverandøren ikke, og må ikke tillade nogen underdatabehandler at, overføre kundens personoplysninger uden for EØS, bortset fra som fastsat i denne aftale. For at undgå tvivl giver kunden hermed samtykke til overførsel og behandling af personoplysningerne som specificeret i bilag A og C, som de finder anvendelse.

6.2 Leverandøren anerkender, at der i overensstemmelse med GDPR skal være tilstrækkelig beskyttelse af personoplysningerne forud for enhver overførsel uden for EØS (enten direkte eller via en underdatabehandlers videre overførsel) og skal indgå en passende aftale med kunden og/eller enhver underdatabehandler for at regulere en sådan overførsel. Dette vil omfatte de gældende standardkontraktbestemmelser eller vil være afhængig af beslutningen om tilstrækkelighed, medmindre der findes en anden tilstrækkelighed eller gyldig mekanisme for overførslen.

7 Brud på persondata

7.1 I tilfælde af brud på persondatasikkerheden, der involverer Kundens Personoplysninger, skal Leverandøren:

7.1.1 Underrette kunden uden unødig forsinkelse (inden for maksimalt 48 timer) for at gøre det muligt for kunden at overholde GDPR-rapporteringsforpligtelser og yde rimelig assistance til kunden, når det er nødvendigt at kommunikere et brud på persondatasikkerheden til en registreret.

7.1.2 Gøre en rimelig indsats for at identificere årsagen til et sådant brud på persondatasikkerheden og tage de skridt, som Leverandøren anser for rimeligt gennemførlige for at afhjælpe årsagen til et sådant brud på persondatasikkerheden.

7.1.3 I henhold til betingelserne i denne DPA, yde rimelig assistance og samarbejde som anmodet af Kunden, for at fremme enhver korrektion eller afhjælpning af ethvert Brud på Persondatasikkerheden.

8 Registrering af behandling

8.1 I det omfang det er relevant for leverandørens behandling for kunden, skal leverandøren opbevare alle optegnelser, der kræves i henhold til artikel 30, stk. 2, i GDPR, og stille dem til rådighed for kunden efter anmodning.

9. Revision, herunder inspektion

9.1 Leverandøren skal, og skal sørge for, at dennes underdatabehandlere efter anmodning stiller rimelige oplysninger til rådighed for kunden, der er nødvendige for at påvise overholdelse af dennes databeskyttelsesforpligtelser i henhold til denne databeskyttelsesaftale, og skal tillade og bidrage til revisioner, herunder inspektion i sine lokaler, foretaget af kunden eller en revisor, der er bemyndiget af kunden, i forbindelse med behandlingen af kundens personoplysninger, forudsat at en sådan revisor ikke er en konkurrent til leverandøren.

10 Termin

10.1 Denne DPA er gældende så længe:

10.1.1 Kontrakten er gældende; eller

10.1.2 Leverandøren opbevarer enhver af Kundens Personoplysninger i sin besiddelse eller kontrol.

10.2 Enhver bestemmelse i denne DPA, der udtrykkeligt eller underforstået træder i kraft eller forbliver gældende ved eller efter opsigelse af Kontrakten for at beskytte Kundens Personoplysninger, forbliver gældende.

11 Returnering og destruktion af data

11.1 Medmindre de allerede er slettet i overensstemmelse med kontraktens vilkår, skal leverandøren efter kundens skøn og med en sådan anmodning fra kunden skriftligt slette eller returnere alle kundens personoplysninger til kunden efter afslutningen af leveringen af tjenester i forbindelse med behandling og slette eksisterende kopier, medmindre gældende EØS- eller medlemsstatslovgivning kræver opbevaring af kundens personoplysninger. Hvis der ikke modtages en skriftlig anmodning fra kunden, skal leverandøren slette kundens personoplysninger 90 dage efter kontraktens ophør.

11.2 På Kundens anmodning skal Leverandøren give en skriftlig meddelelse om de foranstaltninger, der er truffet vedrørende Kundens Personoplysninger.

12 Skadesløsholdelse

12.1 I det omfang det kræves i henhold til artikel 82 i GDPR og med forbehold af punkt 12.2 i denne DPA, accepterer leverandøren at holde kunden skadesløs for alle direkte omkostninger, krav, skader eller udgifter, som kunden pådrager sig som følge af, at leverandøren eller dennes medarbejdere, underdatabehandlere, underleverandører eller agenter ikke overholder nogen af sine forpligtelser i henhold til denne DPA eller databeskyttelseslovene.

12.2 Uanset det modsatte i denne DPA eller i kontrakten (herunder, uden begrænsning, begge parters skadesløsholdelsesforpligtelser), vil ingen af parterne være ansvarlige for eventuelle bøder udstedt eller opkrævet i henhold til databeskyttelseslovene mod den anden part af en tilsynsmyndighed eller et regeringsorgan i forbindelse med den anden parts overtrædelse af databeskyttelseslovene.

12.3 Kunden accepterer at holde leverandøren skadesløs for alle direkte omkostninger, krav, skader eller udgifter, som leverandøren har pådraget sig eller modtaget på grund af kundens manglende overholdelse af sine forpligtelser i henhold til databeskyttelseslovene eller denne DPA (herunder, uden begrænsning, kundens overtrædelse af krav i henhold til paragraf 4.2 i denne DPA).

12.4 I det omfang det er tilladt i henhold til databeskyttelseslovgivningen og med forbehold for de undtagelser, der er beskrevet i paragraf 12.2 i denne DPA, skal hver parts samlede ansvar i henhold til eller i forbindelse med denne DPA, uanset årsag, være underlagt de undtagelser og ansvarsbegrænsninger, der er angivet i kontrakten.

Bilag A

Formål og detaljer vedrørende behandling af Personoplysninger

Genstand for behandlingDetaljer Gælder for:
Formål Systemadgang
Systemadministration
Levering af systemindhold i henhold til de moduler, der abonneres på. Se nedenfor:		Alle Kunder
Politikker, Vidensvurderinger Kunder, der abonnerer på politikmoduler (PolicyLite, MetaEngage og MetaPolicy)
eLearning, andre medier Kunder, der abonnerer på Elearning-moduler (MetaLearning Fusion)
Privacy Surveys Kunder, der abonnerer på MetaPrivacy-modulet
Anmeldelser af hændelser Kunder, der abonnerer på MetaIncident-modulet
Simulerede phishing-kampagner Kunder, der abonnerer på Metaphish
SCORM overførsel til Customer LMS Kunder, der abonnerer på SCORM-overførsel
Omdan statiske PDF-dokumenter til en effektiv træningsoplevelseKunder, der abonnerer på indhold til kursus
Omdan kundens scripts til en kort AI-genereret videoKunder, der abonnerer på Virtual Presenter Video
Typer af PersonoplysningerFornavn, efternavn, e-mailadresse, IP-adresse, afdeling, træningsrekordAlle Kunder
Active Directory Organisation Unit (OU)Kunder, der bruger Azure AD eller lokalt AD
LMS ID Kunder med abonnement på SCORM overfører
Personlige data, som kunden har inkluderet i kundedata.Alle Kunder
Brug af AIAI-genereret oprettelse af Phish-mailsKunder med Premium Plus Security Awareness-pakker (inklusive Multi-Language-tilbud), der bruger Phish-generatoren.
Skaber af AI-kurserKunder, der abonnerer på Content to Course-tilføjelsen.
AI-genererede personaliserede videoerKunder, der har benyttet sig af Virtual Presenter Add-on

Kategorier af registrerede personer

 

Kundens medarbejdere, entreprenører, leverandører, partnere og/eller associerede selskaber.Alle kunder i overensstemmelse med de registreredes data, der er leveret til leverandøren. Kunden kan begrænse dette afhængigt af deres tilsigtede brug af tjenesterne.

Kategorier af registrerede

 

Behandling og opbevaring af kundens personlige data med henblik på at oprette og vedligeholde autoriserede brugerkonti på MyCompliance-platformen.

Distribution af forskellige meddelelses-e-mails initieret af MetaCompliance MyCompliance-systemet.

Alle Kunder
Distribution af simulerede phishing-e-mails specifikt initieret af Kunden via MOCH-platformen.Kunder, der abonnerer på MetaPhish-modulet
Opbevaring af Personoplysninger, hvor de indtastes af Kunden via MOCH-modulet.Kunder, der abonnerer på MetaPrivacy-modulet
At kommunikere med kundens LMS og evaluere antallet af licenserKunder, der abonnerer på SCORM-overførsel
At udnytte AI-kapaciteterKunder, der abonnerer på Phish Generator, Content to Course og Virtual Presenter Software.
Placering af behandlingsaktiviteterBehandlingssteder inden for MetaCompliance Group:
Storbritannien
Danmark
Portugal
Tyskland
Irland		Alle kunder.
Microsoft Azure Standard datacenter (DC) placeringer:
Kunder i Storbritannien: DC i Storbritannien.
Canadiske kunder: DC i Canada.
Tyske kunder: DC i Tyskland
Europæiske kunder uden for Tyskland: DC i Holland og Irland		Alle kunder. Der er standardplaceringer beskrevet heri, men kunden kan diktere ændringer i
forud for den første lejeropsætning i onboardingfasen.
Hvis kunden ønsker at ændre lejerplaceringer midt i kontrakten, skal de kontakte supportteamet for at få hjælp.

Amazon Web Services datacenter (DC) placeringer:

Kunder i Storbritannien: DC i Storbritannien.
Canadiske kunder: DC i Canada.
Tyske kunder: DC i Tyskland
Europæiske kunder uden for Tyskland: DC i Irland

Alle kunder. Der er standardplaceringer beskrevet heri, men kunden kan diktere ændringer i
forud for den første lejeropsætning i onboardingfasen.
Hvis kunden ønsker at ændre lejerplaceringer midt i kontrakten, skal de kontakte supportteamet for at få hjælp.
Behandlingssted ved brug af AI-funktionalitet er som beskrevet i bilag C.Gælder for kunder, der abonnerer på Phish Generator, Content to Course og Virtual Presenter Video.

Krav til opbevaring

 

Specifikke slettefrister er som forklaret i dokumentet "AI at MetaCompliance" som relevant for de tjenester, som kunden har anmodet om.Kunder, der har anmodet om tjenester, der indeholder eller bruger AI
Når et kundeabonnement er udløbet eller opsagt, opbevares alle tilknyttede kundepersondata, som ikke tidligere er blevet slettet, i 90 dage, før de faktisk slettes, for at komme sig over utilsigtet opsigelse af abonnementet.Alle Kunder

Bilag B

Sikkerhedsforanstaltninger For at hjælpe Kunden med at overholde sine lovgivningsmæssige forpligtelser, herunder, men ikke begrænset til, sikkerhedsforanstaltninger og risikovurderinger vedrørende databeskyttelse, er Leverandøren forpligtet til at træffe passende tekniske og organisatoriske foranstaltninger for at beskytte Kundens Personoplysninger. Foranstaltningerne skal som minimum resultere i et sikkerhedsniveau, som er passende under hensyntagen til:
  1. eksisterende tekniske muligheder;
  2. omkostningerne til gennemførelse af foranstaltningerne;
  3. de særlige risici, der er forbundet med behandlingen af kundens personlige data; og
  4. følsomheden af de kundepersondata, der behandles.
Leverandøren skal opretholde tilstrækkelig sikkerhed ved behandling af Kundens Personoplysninger. Leverandøren skal beskytte Kundens Personoplysninger mod ødelæggelse, ændring, ulovlig deling eller ulovlig adgang. Kundens Personoplysninger skal også beskyttes mod alle andre former for ulovlig behandling. Under hensyntagen til det aktuelle tekniske niveau og implementeringsomkostningerne og under hensyntagen til behandlingens art, omfang, kontekst og formål samt risikoen for varierende sandsynlighed og alvor for enkeltpersoners rettigheder og frihedsrettigheder, skal de tekniske og organisatoriske foranstaltninger, der skal implementeres af Leverandøren, efter omstændighederne omfatte:
  1. pseudonymisering og kryptering af kundens personlige data;
  2. evnen til at sikre den løbende fortrolighed, integritet, tilgængelighed og modstandsdygtighed af systemer og tjenester, der behandler kundens personlige data;
  3. evnen til at genoprette tilgængeligheden af og adgangen til kundens personlige data rettidigt i tilfælde af en fysisk eller teknisk hændelse; og
  4. en proces til regelmæssigt at teste, vurdere og evaluere effektiviteten af tekniske og organisatoriske foranstaltninger til sikring af behandlingens sikkerhed.
Ud over de tekniske og organisatoriske foranstaltninger, der er nævnt ovenfor, skal Leverandøren gennemføre følgende foranstaltninger:
  1. fysisk adgangsbeskyttelse, hvorved computerudstyr og flytbare data, der indeholder Kundens Personoplysninger i Leverandørens lokaler, skal være aflåst, når de ikke er under opsyn, for at beskytte mod uautoriseret brug, påvirkning og tyveri.
  2. en proces til test af tilbagelæsning, efter at kundens personlige data er blevet gendannet fra sikkerhedskopier.
  3. autorisationskontrol, hvor leverandørens adgang til kundens personoplysninger styres gennem et teknisk system fra autorisationskontrol. Autorisationen skal begrænses til dem, der har brug for Kundens persondata til deres arbejde. Bruger-id'er og adgangskoder skal være personlige og må ikke overdrages til andre. Der skal være procedurer for tildeling og fjernelse af autorisationer.
  4. føre fortegnelser over, hvem der har adgang til kundens personlige data.
  5. sikker kommunikation, hvor eksterne datakommunikationsforbindelser skal beskyttes ved hjælp af tekniske funktioner, der sikrer, at forbindelsen er autoriseret, samt indholdskryptering for data i transit i kommunikationskanaler uden for systemer, der kontrolleres af leverandøren.
  6. en proces til sikring af sikker destruktion af data, når faste eller flytbare lagringsmedier ikke længere skal bruges til deres formål.
  7. rutiner for indgåelse af fortrolighedsaftaler med leverandører, der leverer reparation og service af udstyr, der bruges til at lagre kundens personlige data.
  8. rutiner for overvågning af den service, der udføres af leverandører i leverandørens lokaler. Lagringsmedier, der indeholder kundens personlige data, skal fjernes, hvis tilsyn ikke er muligt.
Bilag C Godkendte underbehandlere:
  1. Underdatabehandlere, der er nødvendige for levering af alle tjenester:
 
Underdatabehandler Formål Sted Underprocessorer
Microsoft Azure (indgået via Microsoft Operations Ireland Ltd) Værter for tjenesterne i skyen Microsoft Azure Standard datacenter (DC) placeringer: Storbritannien Kunder: DC i Storbritannien. Canadiske kunder: DC i Canada. Tyske kunder: DC i Tyskland Europæiske kunder uden for Tyskland: DC i Holland og Irland Yderligere underprocessorer er tilgængelige her
Amazon Web Services (kontrakt med "AWS Europe") Udbyder af transaktionsmails Amazon Web Services datacenter (DC) placeringer: Storbritannien Kunder: DC i Storbritannien Canadiske kunder: DC i Canada. Tyske kunder: DC i Tyskland Europæiske kunder uden for Tyskland: DC i Irland Yderligere underprocessorer er tilgængelige her
MetaCompliance Group-enheder (MetaCompliance Limited, MetaCompliance GmbH, Moch A/S, Metacompliance Ireland Ltd, MetaCompliance Ireland Ltd Sucursal Portugal Kundekontotjenester og supporttjenester Det Forenede Kongerige Tyskland Danmark Irland Portugal (alt efter hvad der er relevant og i overensstemmelse med hver enheds hjemsted) Alle kunder
 
  1. YDERLIGERE BEHANDLING OG UNDERBEHANDLERE TIL BRUG AF INDHOLD TIL KURSET
A) Åben AI
Metacompliance DC / Region Forside / Azure DC-placering Udrulning Behandlede personoplysninger Fastholdelse
IRE Vesteuropa (NL) Data Zone (EU) Bortset fra personoplysninger, der er indtastet af kunder (f.eks. som svar på en forespørgsel eller personoplysninger, der er inkluderet i det indhold, der leveres for at oprette kurset), behandles ingen kundepersonoplysninger af denne underbehandler. Der gemmes ingen prompter eller generationer i modellen. Desuden bruges prompts og generationer ikke til at træne, omskole eller forbedre basismodellerne.
DACH Tyskland West Central Data Zone (EU)  Som beskrevet ovenfor. Som beskrevet ovenfor.
NL Vesteuropa (NL) Data Zone (EU) Som beskrevet ovenfor. Som beskrevet ovenfor.
CAN Canada Øst Standard (Canada Øst) Som beskrevet ovenfor. Som beskrevet ovenfor.
STORBRITANNIEN UK Syd Standard (UK syd) Som beskrevet ovenfor. Som beskrevet ovenfor.
USA Det nordlige centrale USA Standard (det nordlige centrale USA) Som beskrevet ovenfor. Som beskrevet ovenfor.
  B) Microsoft Dokument-intelligens og Azure-oversætter Serviceydelser
Metacompliance DC / Region Forside / Azure DC-placering Forarbejdning Behandlede personoplysninger Opbevaring (temperatur 24 timer)
IRE Nordeuropa (Ire) Nordeuropa (Ire) Bortset fra personoplysninger, der er inkluderet i det indhold, der leveres for at skabe kurset, vil ingen kundepersonoplysninger blive behandlet af denne underbehandler. Nordeuropa (Ire)
DACH Tyskland West Central Tyskland West Central Som beskrevet ovenfor. Tyskland West Central
NL Vesteuropa (NL) Vesteuropa (NL) Som beskrevet ovenfor. Vesteuropa (NL)
CAN Canada Central Canada Central Som beskrevet ovenfor. Canada Central
STORBRITANNIEN UK Syd UK Syd Som beskrevet ovenfor. UK Syd
USA Det nordlige centrale USA Det nordlige centrale USA Som beskrevet ovenfor. Det nordlige centrale USA
  1. YDERLIGERE BEHANDLING OG UNDERPROCESSORER TIL BRUG AF PHISH-GENERATOR
Underprocessorer Behandlede personoplysninger Region Tilbageholdelse/opbevaring
Service: ChatGPT Bortset fra personoplysninger, der er indtastet af kunder (f.eks. som svar på en forespørgsel eller personoplysninger, der er inkluderet i det indhold, der leveres for at oprette kurset), behandles ingen kundepersonoplysninger af denne underbehandler. Implementeret: Vesteuropa Behandling: Global standard (enhver region) Der gemmes ingen prompter eller generationer i modellen. Desuden bruges prompts og generationer ikke til at træne, omskole eller forbedre basismodellerne.
Service: Indlejring af tekst Som beskrevet ovenfor. Som beskrevet ovenfor. Som beskrevet ovenfor.
  1. YDERLIGERE BEHANDLING OG UNDERPROCESSORER TIL BRUG AF VIRTUEL PRÆSENTATOR
Underdatabehandler Behandlede personoplysninger Region Tilbageholdelse/opbevaring
Colossyan Inc. Fritekst, der indeholder personoplysninger (hvis nogen), der leveres i kundematerialer gennem scripts eller andet indhold. Kunden bekræfter, at ingen følsomme data vil blive overført til databehandleren. Behandling i USA, Storbritannien og Ungarn (det er Colossyan og Colossyans datterselskaber). Se Colossyans underdatabehandlere beskrevet nedenfor 24 timer. Hård sletning inden for 48 timer.
UDNYTTELSE AF AI-FUNKTIONALITET Ved brug af den AI-funktionalitet, der er beskrevet ovenfor, er alle AI-miljøer lukket på MetaCompliance-niveau. Kundeprompter (input) og udfyldninger (output), kundeindlejringer og kundetræningsdata:
  • er IKKE tilgængelige for andre kunder.
  • er IKKE tilgængelige for Azure OpenAI.
  • bruges IKKE til at forbedre Azure OpenAI-modeller.
  • bruges IKKE til at træne, omskole eller forbedre Azure OpenAI Service Foundation-modeller.
  • bruges IKKE til at forbedre Microsofts eller tredjeparts produkter eller tjenester uden din tilladelse eller instruktion.