Introduktion
Parterne er enige om, at denne databeskyttelsesaftale ("DPA") angiver hver parts rettigheder og forpligtelser med hensyn til behandling og sikkerhed af kundens personlige data i forbindelse med den software og de tjenester, der leveres af MetaCompliance Ireland Ltd. DPA'en er indarbejdet ved henvisning til de kommercielle vilkår ("kommercielle vilkår"). Parterne er også enige om, at medmindre der findes en separat DPA underskrevet af parterne, regulerer denne DPA behandlingen og sikkerheden af kundens personlige data.
Bestemmelserne i DPAen erstatter eventuelle modstridende bestemmelser i MOCHs Erklæring om Beskyttelse af Personoplysninger, som ellers måtte gælde for behandling af Kunders Personoplysninger. For klarhedens skyld, i overensstemmelse med Standardkontraktbestemmelserne fra 2021, som defineret nedenfor, når Standardkontraktbestemmelserne fra 2021 finder anvendelse, har Standardkontraktbestemmelserne fra 2021 forrang for ethvert andet vilkår i DPAen.
DATABEHANDLINGSAFTALE Gældende fra 22. marts 2024
1.1 Kunden er som defineret i de kommercielle vilkår ("Kunden") og
1.2 MetaCompliance Ireland Limited er stiftet og registreret i Republikken Irland med virksomhedsnummer 640228, hvis hjemsted er Unit 21, Block 1, Clonshaugh Business and Technology Park, Dublin 17, D17 YY31 ("Leverandøren").
2.1 Kunden og Leverandøren har indgået en Kontrakt, som kan kræve, at Leverandøren behandler Personoplysninger på vegne af Kunden.
2.2 Denne databehandlingsaftale ("DPA") fastsætter de yderligere vilkår, krav og betingelser, som leverandøren vil behandle personoplysninger på, når han leverer tjenester i henhold til kontrakten. Denne DPA indeholder de obligatoriske klausuler, der kræves i henhold til artikel 28, stk. 3, i den generelle databeskyttelsesforordning ((EU) 2016/679 (og databeskyttelseslovene 1988 til 2018 med ændringer) for kontrakter mellem dataansvarlige og databehandlere.
2.3 Denne DPA er underlagt kontraktens vilkår og er indarbejdet i kontrakten. De udtryk, der anvendes i denne DPA, skal have den betydning, der er angivet i denne DPA. Udtryk med stort begyndelsesbogstav, som ikke på anden måde er defineret heri, skal have den betydning, der er angivet i kontraktens kommercielle vilkår.
2.4 Bilagene udgør en del af denne DPA og har virkning, som om de var anført fuldt ud i denne DPA. Enhver henvisning til denne DPA omfatter Bilag.
2.5 I tilfælde af en konflikt mellem en bestemmelse i denne DPA og andre vilkår i kontrakten med hensyn til emnet for denne DPA, skal bestemmelserne i denne DPA have forrang.
Følgende udtryk i denne DPA skal have følgende betydning:
| "Databeskyttelseslovgivning" | betyder alle gældende love og regler vedrørende behandling af personoplysninger på ethvert tidspunkt i løbet af denne DPA, herunder (1) den generelle databeskyttelsesforordning (GDPR, EU 2016/679); (2) databeskyttelseslovene 1988 til 2018 med ændringer; (3) e-databeskyttelsesdirektivet 2002/58/EF som implementeret af EU-medlemsstater og enhver efterfølgende lovgivning og andre regler, vejledninger og adfærdskodekser vedrørende databeskyttelse og privatlivets fred, i hvert enkelt tilfælde som ændret, opdateret eller erstattet fra tid til anden. |
| "Personlige Kundeoplysninger" | betyder Personoplysninger, der behandles af MOCH udelukkende med henblik på levering af Tjenester og som anvist af Kunden. |
| "Standardkontraktbestemmelser" | betyder Europa-Kommissionens standardkontraktbestemmelser for overførsel af personoplysninger fra Den Europæiske Union til databehandlere etableret i tredjelande (overførsel fra dataansvarlig til databehandler), som fastsat i bilaget til Kommissionens afgørelse 2021/914/EU af 4. juni 2021. |
| "Beslutning om tilstrækkelighed" | betyder Europa-Kommissionens afgørelse om tilstrækkeligheden af beskyttelsesniveauet i forbindelse med overførsel af personoplysninger til Det Forenede Kongerige, vedtaget den 28. juni 2021. |
| "Underdatabehandler" | betyder en underleverandør, der er benyttes af Leverandøren, og, som en del af underleverandørens rolle med at levere Tjenesterne, behandler Personoplysninger på vegne af Kunden. |
| "Dataansvarlig", "Registreret", "Databehandler", "Behandling eller behandling", "Personoplysninger", "Brud på persondatasikkerheden" | skal have de betydninger, der er angivet i GDPR. |
4. Behandling af Personoplysninger
4.1 Parterne anerkender og accepterer, at Leverandøren med det formål at overholde Databeskyttelseslovgivningen og med hensyn til behandling af Kundens Personoplysninger er Databehandleren, og Kunden er den Dataansvarlige.
4.2 Kunden garanterer og indestår for: (i) at overførslen af Kundens Persondata til Leverandøren i alle henseender overholder Databeskyttelseslovgivningen (herunder uden begrænsning med hensyn til indsamling og brug); og (ii) rimelig behandling af personoplysninger og alle andre relevante meddelelser er givet til de Registrerede (og alle nødvendige samtykker fra sådanne Registrerede er indhentet og til enhver tid gældende) i det omfang, det kræves af Databeskyttelseslovgivningen i forbindelse med alle behandlingsaktiviteter, der kan udføres af Leverandøren og dennes Underdatabehandlere i overensstemmelse med denne Aftale;
4.3 Leverandøren forpligter sig til kun at behandle Kundens Personoplysninger: (i) som nødvendigt for at levere Tjenesterne; (ii) i overensstemmelse med skriftlige instruktioner fra Kunden; og (iii) i overensstemmelse med kravene i Databeskyttelseslovgivningen.
4.4 Kunden skal i sin brug af Tjenesterne behandle Personoplysninger i overensstemmelse med kravene i Databeskyttelseslovgivningen. Kunden skal sikre, at alle instruktioner til Leverandøren i forbindelse med behandling af Kundens Personoplysninger overholder Databeskyttelseslovgivningen.
4.5 Kundens instruktioner til leverandøren vedrørende emnet for og varigheden af behandlingen, arten og formålet med behandlingen, typerne af personoplysninger og kategorierne af registrerede er beskrevet i bilag A. For at undgå tvivl anerkender og accepterer parterne, at med forbehold for paragraf 5 udgør behandlingsinstruktionerne i denne DPA og bilag A det komplette sæt instruktioner fra kunden til leverandøren, som de gælder.
4.6 Leverandøren skal straks underrette Kunden, hvis en instruktion fra Kunden efter Leverandørens rimelige opfattelse sandsynligvis vil være i strid med Databeskyttelseslovgivningen.
4.7 Leverandøren må ikke behandle, overføre, modificere eller ændre Kundens Personoplysninger, videregive eller tillade videregivelse af Kundens Personoplysninger til nogen tredjepart uden for de instruktioner, der er beskrevet i denne DPA.
4.8 Leverandørens personale, der er involveret i behandlingen af Kundens Personoplysninger, skal informeres om den fortrolige karakter af Kundens Personoplysninger og vil modtage passende uddannelse i deres ansvar. Sådant personale skal være underlagt passende fortrolighedsforpligtelser. En liste over personer, der har fået adgang, skal regelmæssigt gennemgås. På baggrund af en gennemgang en sådan liste, kan en adgang til personoplysninger trækkes tilbage, hvis adgangen ikke længere er nødvendig, og personoplysninger vil herefter ikke længere være tilgængelige for disse personer.
4.9 Under hensyntagen til arten af behandling af personoplysninger i de leverede tjenester skal leverandøren som krævet i GDPR artikel 32 opretholde passende tekniske og organisatoriske foranstaltninger for at sikre behandlingssikkerheden, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod utilsigtet eller ulovlig ødelæggelse, tab eller ændring eller beskadigelse, uautoriseret videregivelse af eller adgang til kundens personoplysninger. Parterne anerkender og accepterer, at de sikkerhedsforanstaltninger, der er specificeret i denne DPA og mere specifikt i bilag B, udgør passende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der er passende i forhold til risikoen.
4.10 Leverandøren skal bistå Kunden med passende tekniske og organisatoriske foranstaltninger, for så vidt dette er muligt og, under hensyntagen til behandlingens karakter, med at opfylde Kundens forpligtelser i henhold til Databeskyttelseslovgivningen, herunder i forhold til den registreredes rettigheder, konsekvensanalyser vedrørende databeskyttelse (relateret til Kundens brug af MOCH-Tjenester) og rapportering til og høring af tilsynsmyndigheder (i forbindelse med en konsekvensanalyse vedrørende databeskyttelse relateret til MOCH-Tjenesterne).
4.11 Hvis de Registrerede, kompetente myndigheder eller andre tredjeparter anmoder Leverandøren om oplysninger vedrørende Behandlingen af Kundens Personoplysninger, skal Leverandøren henvise en sådan anmodning til Kunden, medmindre andet kræves for at overholde Databeskyttelseslovgivningen, i hvilket tilfælde Leverandøren skal give Kunden forudgående meddelelse om et sådant lovkrav, medmindre den pågældende lov forbyder denne videregivelse af hensyn til vigtige offentlige interesser.
5. Underdatabehandlere
5.1 Kunden anerkender og accepterer, at leverandøren i forbindelse med levering af tjenester kan engagere underdatabehandlere, der kan være tilknyttede virksomheder til leverandøren og/eller tredjeparter som nærmere beskrevet i bilag A og C. Leverandørens engagement af sådanne parter skal være underlagt en skriftlig (herunder i elektronisk form) kontrakt, der er i overensstemmelse med vilkårene i denne DPA, i forhold til den krævede behandling af personoplysninger.
5.2 Kunden anerkender, at Leverandøren er givet en generel tilladelse til at antage nye Underdatabehandlere til at behandle Kundens Personoplysninger uden at indhente yderligere skriftlig specifik tilladelse fra Kunden. Dette er betinget af, at Leverandøren skriftligt underretter Kunden om enhver ny Underdatabehandlers identitet 30 dage forud for behandlingen af Kundens Personoplysninger.
5.3 Hvis Kunden ønsker at gøre indsigelse mod den relevante Underdatabehandler, skal Kunden give skriftlig meddelelse herom inden for ti (10) arbejdsdage fra modtagelsen af meddelelsen fra Leverandøren. Hvis Kunden ikke gør indsigelse, anses det som samtykke til at bruge den relevante Underdatabehandler.
5.4 Hvis Kunden gør indsigelse mod en ny Underdatabehandler, vil Leverandøren gøre en rimelig indsats for at stille en ændring i Tjenesterne til rådighed for Kunden eller anbefale en kommercielt rimelig ændring i Tjenesterne for at undgå behandling af Kundens Personoplysninger af den relevante nye Underdatabehandler. Hvis intet alternativ er muligt, har parterne ret til at opsige Kontrakten mellem dem.
5.5 Leverandørens meddelelse til Kunden om en ny Underdatabehandler skal indeholde et opdateret bilag C. Leverandøren skal holde Bilag C opdateret.
5.6 Leverandøren forbliver ansvarlig over for Kunden for opfyldelsen af Underdatabehandlernes forpligtelser.
6. Overførsel til tredjelande eller internationale organisationer
6.1 I overensstemmelse med GDPR artikel 28, stk. 3, litra a), må leverandøren ikke, og må ikke tillade nogen underdatabehandler at overføre kundens personoplysninger uden for EØS, bortset fra som fastsat i denne aftale. For at undgå tvivl giver kunden hermed samtykke til overførsel og behandling af personoplysningerne som specificeret i bilag A, som det gælder.
6.2 Leverandøren anerkender, at der i overensstemmelse med GDPR skal være tilstrækkelig beskyttelse af personoplysningerne efter enhver overførsel uden for EØS (enten direkte eller via en underdatabehandlers videre overførsel) og skal indgå en passende aftale med kunden og/eller enhver underdatabehandler for at regulere en sådan overførsel. Dette vil omfatte de gældende standardkontraktbestemmelser eller vil være afhængig af beslutningen om tilstrækkelighed, medmindre der findes en anden mekanisme for tilstrækkelighed for overførslen.
7. Brud på persondatasikkerheden
7.1 I tilfælde af brud på persondatasikkerheden, der involverer Kundens Personoplysninger, skal Leverandøren:
7.1.1 Underrette kunden uden unødig forsinkelse (inden for maksimalt 48 timer) for at gøre det muligt for kunden at overholde GDPR-rapporteringsforpligtelser og yde rimelig assistance til kunden, når det er nødvendigt at kommunikere et brud på persondatasikkerheden til en registreret.
7.1.2 Gøre en rimelig indsats for at identificere årsagen til et sådant brud på persondatasikkerheden og tage de skridt, som Leverandøren anser for rimeligt gennemførlige for at afhjælpe årsagen til et sådant brud på persondatasikkerheden.
7.1.3 I henhold til betingelserne i denne DPA, yde rimelig assistance og samarbejde som anmodet af Kunden, for at fremme enhver korrektion eller afhjælpning af ethvert Brud på Persondatasikkerheden.
8. Optegnelser over behandling
8.1 I det omfang det er relevant for leverandørens behandling for kunden, skal leverandøren føre alle optegnelser, der kræves i henhold til artikel 30, stk. 2, i GDPR, og skal stille dem til rådighed for kunden efter anmodning.
9. Revisionsrettigheder
9.1 Leverandøren skal, og skal sikre, at dennes underdatabehandlere, efter anmodning stiller rimelige oplysninger til rådighed for kunden, som er nødvendige for at påvise overholdelse af dennes databeskyttelsesforpligtelser i henhold til denne databeskyttelsesaftale, og skal tillade og bidrage til revisioner, herunder inspektion i dennes lokaler, foretaget af kunden eller en revisor bemyndiget af kunden i forbindelse med behandlingen af kundens personoplysninger, forudsat at en sådan revisor ikke er en konkurrent til leverandøren.
10. Varighed
10.1 Denne DPA skal forblive i fuld kraft og virkning, så længe:
10.1.1 Kontrakten forbliver i kraft; eller
10.1.2 Leverandøren opbevarer alle kundens personlige data i sin besiddelse eller kontrol.
10.2 Enhver bestemmelse i denne DPA, der udtrykkeligt eller underforstået skal træde i kraft eller fortsætte i kraft på eller efter kontraktens ophør for at beskytte kundens personlige data, forbliver i fuld kraft og virkning.
11. Returnering og destruktion af data
11.1 Leverandøren skal efter kundens skøn og med en sådan anmodning fra kunden skriftligt slette eller returnere alle kundens persondata til kunden efter afslutningen af leveringen af tjenester vedrørende behandling og slette eksisterende kopier, medmindre gældende EØS- eller medlemsstatslovgivning kræver opbevaring af kundens persondata. Hvis der ikke modtages en skriftlig anmodning fra kunden, skal leverandøren slette kundens personoplysninger 90 dage efter kontraktens ophør.
11.2 På kundens anmodning skal leverandøren give en skriftlig meddelelse om de foranstaltninger, der er truffet vedrørende kundens personoplysninger.
12. Skadesløsholdelse
12.1 I det omfang det kræves i henhold til artikel 82 i GDPR og med forbehold af punkt 12.1 i denne DPA, accepterer leverandøren at skadesløsholde kunden for alle direkte omkostninger, krav, skader eller udgifter, som kunden har pådraget sig på grund af leverandørens eller dennes medarbejderes, underdatabehandleres, underleverandørers eller agenters manglende overholdelse af sine forpligtelser i henhold til denne DPA eller databeskyttelseslovene.
12.2 Uanset det modsatte i denne DPA eller i kontrakten (herunder, uden begrænsning, begge parters skadesløsholdelsesforpligtelser), vil ingen af parterne være ansvarlige for eventuelle GDPR-bøder, der er udstedt eller opkrævet i henhold til artikel 83 i GDPR mod den anden part af en tilsynsmyndighed eller et regeringsorgan i forbindelse med den anden parts overtrædelse af GDPR.
12.3 I det omfang det er tilladt i henhold til databeskyttelseslovgivningen og med forbehold for de udelukkelser, der er beskrevet i paragraf 12.2 i denne DPA, skal hver parts samlede ansvar i henhold til eller i forbindelse med denne DPA, uanset årsag, være underlagt de udelukkelser og ansvarsbegrænsninger, der er angivet i kontrakten.
Bilag A
Formål og detaljer vedrørende behandling af Personoplysninger
| Genstand for behandling | Detaljer | Gælder for: |
Formål Angiv alle formål, hvortil Personoplysningerne vil blive behandlet af Leverandøren | Adgang til systemet Systemadministration Levering af systemindhold i henhold til de moduler, der abonneres på. Se nedenfor: | Alle Kunder |
| Politikker, Vidensvurderinger | Kunder, der abonnerer på politikmoduler (PolicyLite, MetaEngage og MetaPolicy) | |
| eLearning, andre medier | Kunder, der abonnerer på Elearning-moduler (MetaLearning Fusion) | |
| Privacy Surveys | Kunder, der abonnerer på MetaPrivacy-modulet | |
| Anmeldelser af hændelser | Kunder, der abonnerer på MetaIncident-modulet | |
| Simulerede phishing-kampagner | Kunder, der abonnerer på Metaphish | |
| SCORM overførsel til Customer LMS | Kunder, der abonnerer på SCORM-overførsel | |
Typer af Personoplysninger Angiv de Personoplysninger, der vil blive behandlet af Leverandøren | Fornavn, efternavn, e-mailadresse, IP-adresse, afdeling, uddannelsesrekord | Alle Kunder |
| Active Directory Organisation Unit (OU) | Kunder, der bruger Azure AD eller lokalt AD | |
| LMS ID | Kunder med abonnement på SCORM overfører | |
Kategorier af registrerede personer Angiv de kategorier af registrerede personer, hvis personoplysninger vil blive behandlet af leverandøren | Kundens medarbejdere, entreprenører, leverandører, partnere og/eller associerede selskaber. | Alle kunder i overensstemmelse med de registreredes data, der er leveret til leverandøren. Kunden kan begrænse dette afhængigt af deres tilsigtede brug af tjenesterne. |
Kategorier af registrerede Angiv de kategorier af registrerede, hvis Personoplysninger vil blive behandlet af Leverandøren | Behandling og opbevaring af kundens personlige data med henblik på at oprette og vedligeholde autoriserede brugerkonti på MyCompliance-platformen. Distribution af forskellige meddelelses-e-mails initieret af MetaCompliance MyCompliance-systemet. | Alle Kunder |
| Distribution af simulerede phishing-e-mails specifikt initieret af Kunden via MOCH-platformen. | Kunder, der abonnerer på MetaPhish-modulet | |
| Opbevaring af Personoplysninger, hvor de indtastes af Kunden via MOCH-modulet. | Kunder, der abonnerer på MetaPrivacy-modulet | |
| At kommunikere med kundens LMS og evaluere antallet af licenser | Kunder, der abonnerer på SCORM-overførsel | |
Placering af behandlingsaktiviteter Angiv alle steder, hvor Personoplysningerne vil blive behandlet af Leverandøren | Storbritannien (MetaCompliance Group) Danmark (MetaCompliance Group) Portugal (MetaCompliance Group) Tyskland (MetaCompliance Group) Irland (MetaCompliance Group, Microsoft Azure, Amazon Web Services) Holland (Microsoft Azure) | Alle kunder som relevant. Der henvises til bilag C for yderligere oplysninger. |
Krav til opbevaring Når det er relevant, skal du angive opbevaringstiden for de personlige oplysninger om kunden, som leverandøren opbevarer. | Når et kundeabonnement er udløbet eller opsiges, opbevares alle tilknyttede personlige kundedata i 90 dage, før de endeligt slettes for at gendanne efter utilsigtet annullering af abonnementet. | Alle Kunder |
Bilag B
Sikkerhedsforanstaltninger
For at hjælpe kunden med at opfylde sine juridiske forpligtelser, herunder, men ikke begrænset til, sikkerhedsforanstaltninger og vurderinger af privatlivsrisici, er leverandøren forpligtet til at træffe passende tekniske og organisatoriske foranstaltninger for at beskytte kundens personoplysninger, som behandles. Foranstaltningerne skal som minimum resultere i et sikkerhedsniveau, der er passende under hensyntagen til:
(a) eksisterende tekniske muligheder;
(b) omkostningerne ved at gennemføre foranstaltningerne;
(c) de særlige risici, der er forbundet med behandlingen af kundens personoplysninger; og
(d) følsomheden af kundens personoplysninger, der behandles.
Leverandøren skal opretholde tilstrækkelig sikkerhed for kundens personoplysninger. Leverandøren skal beskytte kundens persondata mod ødelæggelse, ændring, ulovlig udbredelse eller ulovlig adgang. Kundens personoplysninger skal også beskyttes mod alle andre former for ulovlig behandling. Under hensyntagen til det aktuelle tekniske niveau og implementeringsomkostningerne og under hensyntagen til behandlingens art, omfang, sammenhæng og formål samt risikoen af varierende sandsynlighed og alvor for enkeltpersoners rettigheder og frihedsrettigheder skal de tekniske og organisatoriske foranstaltninger, der skal implementeres af leverandøren, omfatte, hvor det er relevant:
(a) pseudonymisering og kryptering af kundens personoplysninger;
(b) evnen til at sikre den løbende fortrolighed, integritet, tilgængelighed og robusthed af systemer og tjenester, der behandler kundens personoplysninger;
(c) evnen til at genoprette tilgængeligheden af og adgangen til kundens personoplysninger rettidigt i tilfælde af en fysisk eller teknisk hændelse; og
(d) en proces til regelmæssigt at teste, vurdere og evaluere effektiviteten af tekniske og organisatoriske foranstaltninger til at sikre sikkerheden ved behandlingen.
Ud over de tekniske og organisatoriske foranstaltninger, der er nævnt ovenfor, skal leverandøren gennemføre følgende foranstaltninger:
(a) fysisk adgangsbeskyttelse, hvorved computerudstyr og flytbare data, der indeholder kundens personoplysninger i leverandørens lokaler, skal låses inde, når de ikke er under opsyn, for at beskytte mod uautoriseret brug, påvirkning og tyveri.
(b) en proces til test af tilbagelæsning, efter at kundens personoplysninger er blevet gendannet fra sikkerhedskopier.
(c) autorisationskontrol, hvorved leverandørens adgang til kundens personoplysninger styres gennem et teknisk system fra autorisationskontrol. Autorisation skal begrænses til dem, der har brug for Kundens personoplysninger til deres arbejde. Bruger-id'er og adgangskoder skal være personlige og må ikke overdrages til andre. Der skal være procedurer for tildeling og fjernelse af autorisationer.
(d) føre fortegnelser over, hvem der har adgang til kundens persondata.
(e) sikker kommunikation, hvor eksterne datakommunikationsforbindelser skal beskyttes ved hjælp af tekniske funktioner, der sikrer, at forbindelsen er autoriseret, samt indholdskryptering for data i transit i kommunikationskanaler uden for systemer, der kontrolleres af leverandøren.
(f) en proces til sikring af sikker datadestruktion, når faste eller flytbare lagringsmedier ikke længere skal bruges til deres formål.
(g) rutiner for indgåelse af fortrolighedsaftaler med leverandører, der leverer reparation og service af udstyr, der bruges til at lagre kundens persondata.
(h) rutiner for overvågning af den service, der udføres af leverandører i leverandørens lokaler. Lagringsmedier, der indeholder kundens persondata, skal fjernes, hvis tilsyn ikke er muligt.
Bilag C
Godkendte underbehandlere:| Underdatabehandler | Sted |
| Microsoft Azure (indgået via Microsoft Operations Ireland Ltd, hoster tjenesterne i skyen) | Holland Dublin Tyskland Canada |
| Amazon Web Services (indgået Kontrakt med "AWS Europe", som transaktions-e-mail-udbyder) | Dublin Tyskland Canada |
| MetaCompliance Limited en enhed i MetaCompliance Group (levering af kundekontotjenester og supporttjenester til kunder) | Det Forenede Kongerige |
| MetaCompliance GmbH (levering af kundekontotjenester og supporttjenester) | Tyskland |
| MOCH A/S en MetaCompliance Group-enhed (levering af kundekontotjenester og supporttjenester til kunder) | Danmark |
| MetaCompliance Ireland Ltd Sucursal Portugal en enhed i MetaCompliance Group (levering af kundekontotjenester og supporttjenester til kunder) | Portugal |