Introduction

The parties agree that this Data Protection Agreement (“DPA”) sets forth each parties rights and obligations with respect to the processing and security of Customer Personal Data in connection with the Software and Services provided by MetaCompliance Ltd. The DPA is incorporated by reference into the Commercial Terms (Commercial Terms). The parties also agree that, unless a separate DPA signed by the parties exists, this DPA governs the processing and security of Customer Personal Data.

The provisions of the DPA Terms supersede any conflicting provisions of the MetaCompliance Privacy Statement that otherwise may apply to processing of Customer Personal Data. For clarity, consistent with the 2021 Standard Contractual Clauses defined below, when the 2021 Standard Contractual Clauses are applicable, the 2021 Standard Contractual Clauses prevail over any other term of the Data Processing Agreement.

DATA PROCESSING AGREEMENT EFFECTIVE FROM 1st July 2024

  1. Parties

    1.1     The Customer is as defined in the Commercial Terms (the “Customer”) and

    1.2 MetaCompliance Limited incorporated and registered in Northern Ireland with company number NI049166 whose registered office is at Third Floor Old City Factory 100 Patrick Street, Londonderry BT48 7EL (the ”Supplier”).

  2. Background
    2.1 The Customer and the Supplier have entered into a Contract that may require the Supplier to process Personal Data on behalf of the Customer.
    2.2 This Data Processing Agreement (“DPA”) sets out the additional terms, requirements and conditions on which the Supplier will process Personal Data when providing Services under the Contract. This DPA contains the mandatory clauses required by Article 28(3) of the General Data Protection Regulation ((EU) 2016/679 and UK GDPR legislation) for contracts between controllers and processors.
    2.3 This DPA is subject to the terms of the Contract and is incorporated into the Contract. The terms used in this DPA shall have the meanings set out in this DPA. Capitalized terms not otherwise defined herein shall have the meaning given to them in the Commercial Terms of the Contract.
    2.4 The Annexes form part of this DPA and will have effect as if set out in full in this DPA. Any reference to this DPA includes Annexes.
    2.5 In the event of a conflict between any provision of this DPA and any term(s) of the Contract, with respect of the subject matter of this Agreement, the provisions of this DPA shall prevail.
  3. Definitions The following terms in this DPA shall have the following meaning:

“Data Protection Laws”

means all applicable laws and regulations relating to the Processing of Personal Data at any time during the term of this DPA, including (1) the General Data Protection Regulation (GDPR, EU 2016/679); (2) the UK General Data Protection Regulation (UK GDPR) as tailored by the Data Protection Act 2018; (3) the ePrivacy Directive 2002/58/EC as implemented by EU member states, and any successor legislation and any other regulations, guides and codes of practice relating to data protection and privacy, in each case as amended, updated or replaced from time to time.

“Customer Personal Data”

means Personal Data Processed by MetaCompliance solely for the purposes of the provision of Services and as directed by the Customer.

“Standard Contractual Clauses”

means the European Commission’s Standard Contractual Clauses for the transfer of Personal Data from the European Union to processors established in third countries (controller-to-processor transfers), as set out in the Annex to Commission Decision 2021/914/EU as of 4th June 2021 and adopted under the UK Addendum as of 21st March 2022.

“Sub-processor”

means a third-party subcontractor engaged by the Supplier which, as part of the subcontractor’s role of delivering the services, will Process Personal Data on behalf of the Customer.

“Controller”, “Data Subject”, “Processor”, “Process or Processing”, “Personal Data”, “Personal Data Breach”

shall have the meanings given to them in the UK and EU GDPR.

4. Processing of Personal Data

4.1 The parties acknowledge and agree that, for the purpose of the Data Protection Laws and with regard to the Processing of Customer Personal Data, the Supplier is the Processor and the Customer is the Controller.

4.2 The Customer warrants and represents: (i) the transfer of Customer Personal Data to Supplier complies in all respects with Data Protection Laws (including without limitation in terms of its collection and use); and (ii) fair processing and all other appropriate notices have been provided to the Data Subjects of the Customer Personal Data (and all necessary consents from such Data Subjects obtained and at all times maintained) to the extent required by Data Protection Laws in connection with all processing activities which may be undertaken by the Supplier and its Sub-processors in accordance with this Agreement;

4.3 The Supplier undertakes to Process Customer Personal Data only: (i) as needed to provide the Services; (ii) in accordance with written instructions from the Customer; and (iii) in accordance with the requirements of the Data Protection Laws.

4.4 The Customer shall, in its use of the Services, Process Personal Data in accordance with the requirements of the Data Protection Laws. The Customer shall ensure that any instructions to the Supplier in relation to the Processing of Customer Personal Data comply with the Data Protection Laws.

4.5 The Customer’s instructions to the Supplier regarding the subject matter and duration of the Processing, the nature and purpose of the Processing, the types of Personal Data and categories of Data Subjects are described in Annex A. For the avoidance of doubt, the parties acknowledge and agree that subject to clause 5, the Processing instructions set out in this DPA and Annex A constitute the complete set of instructions from the Customer to the Supplier as they apply.

4.6 The Supplier shall immediately notify the Customer if, in the Supplier’s reasonable opinion, any instruction given by the Customer is likely to infringe the Data Protection Laws.

4.7 The Supplier shall not process, transfer, modify, amend or alter the Customer Personal Data or disclose or permit to disclose the Customer Personal data to any third party outside of the instructions detailed within this DPA.

4.8 The Supplier’s personnel engaged in the Processing of Customer Personal Data shall be informed of the confidential nature of the Customer Personal Data and will receive appropriate training on their responsibilities. Such personnel shall be subject to appropriate confidentiality undertakings.

4.9 Taking into account the nature of Processing of Personal data in the Services provided, the Supplier shall as required by UK and EU GDPR Article 32, maintain appropriate technical and organisational measures, to ensure the security of Processing, including protection against unauthorised or unlawful Processing, and against accidental or unlawful destruction, loss or alteration or damage, unauthorised disclosure of, or access to, Customer Personal Data. The parties acknowledge and agree that the security measures specified in this DPA and more specifically in Annex B constitute appropriate technical and organisational security measures to ensure a level of security appropriate to the risk.

4.10 The Supplier shall assist the Customer by appropriate technical and organisational measures, insofar as this is possible and taking into account the nature of the Processing of the Customer Personal Data, in fulfilling the Customer’s compliance obligations under the Data Protection Laws, including in relation to Data Subject’s rights, data protection impact assessments (related to Customer’s use of MetaCompliance Services) and reporting to and consulting with supervisory authorities (in connection with a data protection impact assessment related to the MetaCompliance Services).

4.11 If Data Subjects, competent authorities or any other third parties request information from the Supplier regarding the Processing of Customer Personal Data, the Supplier shall refer such request to the Customer unless required otherwise to comply with the Data Protection Laws, in which case the Supplier shall provide prior notice to the Customer of such legal requirement, unless that law prohibits this disclosure on important grounds of public interest.

5. Sub-processors

5.1 The Customer acknowledges and agrees that the Supplier may, in connection with the provision of Services, engage Sub-Processors that may be affiliates of the Supplier and/or third parties as more specifically described in Annex C.

5.2 The Customer acknowledges that the Supplier is given general authorization to engage new Sub-Processors without obtaining any further written, specific authorization from the Customer. This is subject to the Processor notifying the Customer in writing of any new Sub-Processor’s identity, 30 days in advance of processing Customer Personal Data.

5.3 If the Customer wishes to object to the relevant Sub-Processor, the Customer shall give notice hereof in writing within ten (10) business days from receiving the notification from the Supplier. Absence of any objections from the Customer shall be deemed consent to use the relevant Sub-Processor.

5.4 In the event the Customer objects to a new Sub-processor, the Supplier will use reasonable efforts to make available to the Customer a change in Services or recommend a commercially reasonable change in Services to avoid Processing of the Customer Personal Data by the relevant new Sub-processor. If no alternative is possible, the parties have a right to terminate the Contract between them.

5.5 The Supplier’s notification of a new Sub-Processor to the Customer shall include the provision of an updated Annex C. The Supplier shall keep Annex C up-to-date.

5.6 The Supplier shall remain liable to the Customer for the performance of the Sub-processors’ obligations.

6. Data Transfers

6.1 In accordance with UK and EU GDPR Article 28(3)(a), the Supplier shall not, and shall not permit any Sub-processor to, transfer any Customer Personal Data outside the EEA or the UK (as applicable) other than as provided in this Agreement. For the avoidance of doubt, the Customer hereby consents to the transfer and processing of the Personal Data as specified in Annex A, as it applies.

6.2 The Supplier acknowledges that in accordance with the UK and EU GDPR, adequate protection for the Personal Data must exist after any transfer outside the UK or EEA (either directly or via a Sub-processor’s onward transfer) and shall enter into an appropriate agreement with the Customer and/or any sub-processor to govern such a transfer. This will include the applicable Standard Contractual Clauses unless another adequacy mechanism for the Transfer exists.

7. Personal Data Breach

7.1 In the event of any Personal Data Breach involving the Customer Personal Data the Supplier shall:

7.1.1 Notify the Customer without undue delay (within a maximum of 48 hours) to enable Customer to comply with UK and EU GDPR reporting obligations and to provide reasonable assistance to the Customer when it is required to communicate a Personal Data Breach to a Data Subject.

7.1.2 Use reasonable efforts to identify the cause of such Personal Data Breach and take those steps as the Supplier deems reasonably practicable in order to remediate the cause of such Personal Data Breach.

7.1.3 Subject to the terms of this DPA, provide reasonable assistance and cooperation as requested by the Customer, in the furtherance of any correction or remediation of any Personal Data Breach.

8. Records of Processing

8.1 To the extent applicable to the Supplier’s Processing for the Customer, the Supplier shall maintain all records required by Article 30(2) of the UK and EU GDPR and shall make them available to the Customer upon request.

9. Audit Rights

9.1 The Supplier shall, and shall procure that its Sub-Processors, make available to the Customer on request reasonable information necessary to demonstrate compliance with its data protection obligations under this DPA and shall allow for and contribute to audits, including inspection at its premises, by the Customer or an auditor mandated by the Customer in relation to the Processing of the Customer Personal Data, provided that any such auditor is not a competitor to the Supplier

10. Term

10.1 This DPA shall remain in full force and effect so long as:

10.1.1 The Contract remains in effect; or

10.1.2 The Supplier retains any Customer Personal Data in its possession or control.

10.2 Any provision of this DPA that expressly or by implication should come into or continue in force on or after termination of the Contract in order to protect Customer Personal Data will remain in full force and effect.

11. Data Return and Destruction

11.1 The Supplier shall, at the Customer’s discretion and with any such request being provided by the Customer in writing, delete or return all the Customer Personal Data to the Customer after the end of the provision of Services relating to Processing, and delete existing copies unless applicable EEA or Member State law requires storage of the Customer Personal Data. If no written request is received from the Customer, the Supplier shall delete Customer Personal Data 90 days after the termination of the Contract.

11.2 On request by the Customer, the Supplier shall provide a written notice of the measures taken regarding the Customer Personal Data.

12. Indemnification

12.1 The Supplier agrees to indemnify the Customer against all direct costs, claims, damages or expenses incurred by the Customer due to any failure by the Supplier or its employees, sub-processors, subcontractors or agents to comply with any of its obligations under this DPA or the Data Protection Laws in accordance with Article 82 of UK and EU GDPR.

12.2 Notwithstanding anything to the contrary in this DPA or in the Contract (including, without limitation, either party’s indemnification obligations), neither party will be responsible for any GDPR fines issued or levied under Article 83 of the GDPR against the other party by a regulatory authority or governmental body in connection with such other party’s violation of the GDPR.

12.3 Subject to the obligations at law outlined in clause 12.1 and the limitations detailed in clause 12.2, the liability of each party under this DPA shall be subject to the exclusions and limitations of liability set out in the Contract. Any reference to any “limitation of liability” of a party in the Contract shall be interpreted to mean the aggregate liability of a party and all of its Subsidiaries and Affiliates under the Agreement and this DPA.

Annex A

Personal Data Processing Purposes and Details

Subject matter of processingDetailsApplies to:

Purpose

Specify all purposes for which the Personal Data will be processed by the Supplier

System access System administration Delivery of system content according to modules subscribed to. See below:All Customers
Policies, Knowledge AssessmentsCustomers subscribing to Policy modules (PolicyLite, MetaEngage and MetaPolicy)
eLearning, other MediaCustomers subscribing to Elearning modules (MetaLearning Fusion)
Privacy SurveysCustomers subscribing to MetaPrivacy module
Incident ReviewsCustomers subscribing to MetaIncident module
Simulated Phishing CampaignsCustomers subscribing to MetaPhish
SCORM transfer to Customer LMSCustomers subscribing to SCORM transfer

Types of Personal Data

Specify the Personal Data that will be processed by the Supplier

First Name, Last Name, E-mail Address, IP Adress, Department, Training RecordAll Customers
Active Directory Organisation Unit (OU)Customers using Azure AD or on premise AD
LMS IDCustomers with subscriptions to SCORM transfer

Processing operations

Specify all Processing activities to be conducted by Supplier

Processing and storage of Customer Personal Data in order to set up and maintain Authorised Users accounts on the MyCompliance platform. Distribution of various notification emails initiated by the MetaCompliance MyCompliance system.All Customers
Distribution of simulated phishing emails specified initiated by the Customer via the MetaCompliance MyCompliance platform.Customers subscribing to MetaPhish module
Storage of Personal Data where it is input by the customer via the MetaCompliance MetaPrivacy module.Customers subscribing to MetaPrivacy module
To communicate with Customer LMS and evaluate licence count.Customers subscribing to SCORM transfer

Categories of Data Subjects

Specify the categories of Data Subjects whose Personal Data will be Processed by the Supplier

Customer Employees, Contractors, Suppliers, Partners and/or Affiliates.All Customers in accordance with the Data Subject data provided to Supplier. Customer can limit this depending on their intended use of the Services

Location of Processing operations

Specify all locations where the Personal Data will be processed by the Supplier

United Kingdom (MetaCompliance Group ALSO by Microsoft Azure and Amazon Web Services for new UK based customers after the effective date).

Denmark (MetaCompliance Group).

Portugal (MetaCompliance Group)

Germany (MetaCompliance Group)

Ireland (MetaCompliance Group ALSO by Microsoft Azure and Amazon Web Services  for new EEA and Switzerland based customers after the effective date).

Holland (Microsoft Azure for new Switzerland customers after the effective date).

Canada (Microsoft Azure and Amazon Web Services for new Canadian customers after the effective date).

All Customers as applicable. Please refer to Annex C for further details

Retention requirements

When applicable, specify the retention time of Customer Personal Data stored by the Supplier

When a Customer subscription has expired or is terminated, all associated Customer Personal Data is held for 90 days before it is actually deleted in order to recover from accidental subscription cancellation.All Customers

Annex B

Security Arrangements

The Supplier shall, in order to assist the Customer to fulfil its legal obligations including but not limited to; security measures and privacy risk assessments, be obliged to take appropriate technical and organisational measures to protect the Customer Personal Data which is Processed. The measures shall at least result in a level of security which is appropriate taking into consideration:

(a) existing technical possibilities;

(b) the costs for carrying out the measures;

(c) the particular risks associated with the Processing of Customer Personal Data; and

(d) the sensitivity of the Customer Personal Data which is Processed.

The Supplier shall maintain adequate security for the Customer Personal Data. The Supplier shall protect the Customer Personal Data against destruction, modification, unlawful dissemination, or unlawful access. The Customer Personal Data shall also be protected against all other forms of unlawful Processing. Having regard to the state of the art and the costs of implementation and taking into account the nature, scope, context and purposes of the Processing as well as the risk of varying likelihood and severity for the rights and freedoms of individuals, the technical and organisational measures to be implemented by Supplier shall include as appropriate:

(a) the pseudonymisation and encryption of Customer Personal Data;

(b) the ability to ensure the ongoing confidentiality, integrity, availability and resilience of systems and services Processing Customer Personal Data;

(c) the ability to restore the availability and access to Customer Personal Data in a timely manner in the event of a physical or technical incident; and

(d) a process for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures for ensuring the security of the Processing.

Further to the technical and organisational measures mentioned above, the Supplier shall implement the following measures:

(a) physical access protection whereby computer equipment and removable data containing Customer Personal Data at the Supplier’s premises shall be locked up when not under supervision in order to protect against unauthorised use, impact and theft.

(b) a process for testing read back after Customer Personal Data has been restored from backup copies.

(c) authorisation control whereby the Supplier’s access to the Customer Personal Data is managed through a technical system from authorisation control. Authorisation shall be restricted to those who need the Customer Personal Data for their work. User IDs and passwords shall be personal and may not be transferred to anyone else. There shall be procedures for allocating and removing authorisations.

(d) keep records of who has access to the Customer Personal Data.

(e) secure communication whereby external data communication connections shall be protected using technical functions ensuring that the connection is authorised as well as content encryption for data in transit in communication channels outside systems controlled by the Supplier.

(f) a process for ensuring secure data destruction when fixed or removable storage media shall no longer be used for their purpose.

(g) routines for entering into confidentiality agreements with suppliers providing repair and service of equipment used to store Customer Personal Data.

(h) routines for supervising the service performed by suppliers at the premises of the Supplier. Storage media containing the Customer Personal Data shall be removed if supervision is not possible.

Annex C

Approved Sub-Processors All new Customers after 5th July 2023 can opt to amend the default application of Sub-Processors and data centre locations  at onboarding via a confirmation email to MetaCompliance Ltd. The defaults that apply are:

Sub-Processor Location Applies to:
Microsoft Azure (contracted via Microsoft Operations Ireland Ltd, Hosts the Services in the Cloud) Holland Dublin United Kingdom(UK) Germany Canada Location applied in accordance with the below for new Customers:
1. UK Customers will default to UK only Data Centres for Microsoft Azure.
2. German Customers will default to the German Data Centre.
3. Canadian Customers will default to Canadian only Data Centres for Microsoft Azure.
4. EEA & Switzerland based Customers will default to Holland and Dublin Data Centres for Microsoft Azure.
Amazon Web Services (contracted with “AWS Europe”, as transactional email provider) Dublin United Kingdom Germany Canada Location applied in accordance with the below for new Customers after 5th July 2023:
1. UK Customers will default to for UK only Data Centres for AWS Europe.
2. Canadian Customers will defalut to the Canadian only Data Centres for AWS Europe.
3. EEA & Switzerland based Customers will defaulty to EU based Data Centres for AWS Europe. .
MetaCompliance Limited a MetaCompliance Group entity (provision of customer account services and support services to customers) Ireland All customers
MetaCompliance GmbH (provision of customer account services and support services) Germany All customers
MOCH A/S a MetaCompliance Group entity (provision of customer account services and support services to customers) Denmark All customers
MetaCompliance Ireland Ltd Sucursal Portugal a MetaCompliance Group entity (provision of customer account services and support services to customers) Portugal All customers

Sub-Processor

Location

Applies to:

Microsoft Azure (Hosts the Services in the Cloud)

 

 

 

 

 

 

 

 

Amazon Web Services (contracted with “AWS Europe”, as transactional email provider)

Holland

Dublin

United Kingdom (UK)

Canada

 

Holland

Dublin

United Kingdom

Canada

Location applied in accordance with the below for new Customers after 5th July 2023::

  1. UK Customers will default to UK only Data Centres for Microsoft Azure.
  2. Canadian Customers will default to Canadian only Data Centres for Microsoft Azure.

EEA & Switzerland based Customers will default to  EU based Data Centres for Microsoft Azure.

Location applied in accordance with the below for new Customers after 5th July 2023:

  1. UK Customers will default to for UK only Data Centres for AWS Europe.
  2. Canadian Customers will defalut to the Canadian only Data Centres for AWS Europe.
EEA & Switzerland based Customers will defaulty to EU based Data Centres for AWS Europe.
Sub-Processor​ Location Applies to:​

Microsoft Azure (Hosts the Services in the Cloud)

Holland
Dublin

All Customers

AWS Europe (transactional email provider)

Dublin

All Customers based in the U.K or EEA countires.

Twilio for Sendgrid Services (transactional email provider)

USA

All Customers based outside of the U.K or EEA countries

For Customers who contracted on or prior to 5th July 2023 please see detail below regarding use of Sub-Processors:

  1. Customers with a separate DPA – that document (as amended) takes precedence and outlines Sub-Processors in use.
  2. Customers who were part of the group switch on 15th July 2023 to utilise AWS Europe for phish simulation notifications will use the below (unless specifically directed otherwise in writing):

Microsoft Azure – Dublin and Amsterdam data centres (cloud host)

Amazon Web Services – Dublin (transactional email provider for phish simulation notifications only)

Twilio for Sendgrid Services – U.S.A (transactional email provider for all other notifications from the platform).

Archived Data Processing Agreement, available here.

Introduktion

Parterne er enige om, at denne Databehandleraftale (“DPA”) angiver hver parts rettigheder og forpligtelser med hensyn til behandling og sikkerhed af Kundens Personoplysninger i forbindelse med Softwaren og Tjenesterne leveret af MOCH A/S. DPAen er inkorporeret ved henvisning i de Generelle Vilkår og Betingelser (Kommercielle Vilkår). Parterne er også enige om, at medmindre der findes en separat DPA underskrevet af parterne, regulerer denne DPA, behandlingen og sikkerheden af Kundens Personoplysninger. Bestemmelserne i DPAen erstatter eventuelle modstridende bestemmelser i MOCHs Erklæring om Beskyttelse af Personoplysninger, som ellers måtte gælde for behandling af Kunders Personoplysninger. For klarhedens skyld, i overensstemmelse med Standardkontraktbestemmelserne fra 2021, som defineret nedenfor, når Standardkontraktbestemmelserne fra 2021 finder anvendelse, har Standardkontraktbestemmelserne fra 2021 forrang for ethvert andet vilkår i DPAen.
DATABEHANDLERAFTALE GÆLDENDE FRA DEN 1. Juli 2024

1. Parter
1.1 Kunden som defineret i de Generelle Vilkår og Betingelser (“Kunden“) og
1.2 MOCH A/S indregistreret i Danmark med CVR-nummer 25397096, med hjemsted på Toldbodgade 51C, 1253 København (“Leverandør“).
2. Baggrund
2.1 Kunden og Leverandøren har indgået en Kontrakt, som kan kræve, at Leverandøren behandler Personoplysninger på vegne af Kunden.
2.2 Denne Databehandleraftale (“DPA“) fastsætter de yderligere vilkår, krav og betingelser, hvorefter Leverandøren behandler Personoplysninger, når han leverer Tjenester i henhold til Kontrakten. Denne DPA indeholder de obligatoriske klausuler, der kræves i artikel 28, stk. 3, i databeskyttelsesforordningen ((EU) 2016/679 og UK GDPR-lovgivningen) for kontrakter mellem dataansvarlige og databehandlere.
2.3 Denne DPA er underlagt vilkårene i Kontrakten og er inkorporeret i Kontrakten. De udtryk, der anvendes i denne DPA, har den betydning, der er angivet i denne DPA. Termer med stort begyndelsesbogstav, der ikke på anden måde er defineret heri, skal have den betydning, der er angivet i Kontraktens Vilkår og Betingelser.
2.4 Bilagene udgør en del af denne DPA og har virkning, som om de var anført fuldt ud i denne DPA. Enhver henvisning til denne DPA omfatter Bilag.
2.5 I tilfælde af en konflikt mellem en bestemmelse i denne DPA og et eller flere vilkår i Kontrakten med hensyn til genstanden for denne Aftale, har bestemmelserne i denne DPA forrang.
3. Definitioner
Følgende udtryk i denne DPA har følgende betydning:

“Databeskyttelseslovgivning” betyder alle gældende love og bestemmelser vedrørende Behandling af Personoplysninger til enhver tid i løbet af denne DPAs løbetid, herunder (1) Databeskyttelsesforordningen (GDPR, EU 2016/679) og implementeringen heraf i den danske databeskyttelseslov; (2) Det Forenede Kongeriges (United Kingdom) Databeskyttelsesforordning (UK GDPR) som tilpasset af Data Protection Act 2018; (3) ePrivacy-direktivet 2002/58/EF som gennemført af EUs medlemsstater og eventuel efterfølgende lovgivning og alle andre forordninger, retningslinjer og adfærdskodekser vedrørende databeskyttelse og privatlivets fred som ændret, ajourført eller erstattet fra tid til anden.
“Personlige Kundeoplysninger” betyder Personoplysninger, der behandles af MOCH udelukkende med henblik på levering af Tjenester og som anvist af Kunden.
“Standardkontraktbestemmelser” betyder Europa Kommissionens Standardkontraktbestemmelser for overførsel af Personoplysninger fra Den Europæiske Union til databehandlere, der er etableret i tredjelande (overførsler fra dataansvarlig til databehandler), som fastsat i Bilaget til Kommissionens Afgørelse 2021/914/EU pr. 4. juni 2021 og vedtaget i henhold til Det Forenede Kongeriges (United Kingdom) tillæg pr. 21. marts 2022.
“Underdatabehandler” betyder en underleverandør, der er benyttes af Leverandøren, og, som en del af underleverandørens rolle med at levere Tjenesterne, behandler Personoplysninger på vegne af Kunden.
“Dataansvarlig”, “Registreret”, “Databehandler”, “Behandling eller behandling”, “Personoplysninger”, “Brud på persondatasikkerheden” skal have de betydninger, der er givet til dem i Storbritannien og EU GDPR.

4. Behandling af Personoplysninger
4.1 Parterne anerkender og accepterer, at Leverandøren med det formål at overholde Databeskyttelseslovgivningen og med hensyn til behandling af Kundens Personoplysninger er Databehandleren, og Kunden er den Dataansvarlige.
4.2 Kunden garanterer og indestår for: (i) at overførslen af Kundens Persondata til Leverandøren i alle henseender overholder Databeskyttelseslovgivningen (herunder uden begrænsning med hensyn til indsamling og brug); og (ii) rimelig behandling af personoplysninger og alle andre relevante meddelelser er givet til de Registrerede (og alle nødvendige samtykker fra sådanne Registrerede er indhentet og til enhver tid gældende) i det omfang, det kræves af Databeskyttelseslovgivningen i forbindelse med alle behandlingsaktiviteter, der kan udføres af Leverandøren og dennes Underdatabehandlere i overensstemmelse med denne Aftale;
4.3 Leverandøren forpligter sig til kun at behandle Kundens Personoplysninger: (i) som nødvendigt for at levere Tjenesterne; (ii) i overensstemmelse med skriftlige instruktioner fra Kunden; og (iii) i overensstemmelse med kravene i Databeskyttelseslovgivningen.
4.4 Kunden skal i sin brug af Tjenesterne behandle Personoplysninger i overensstemmelse med kravene i Databeskyttelseslovgivningen. Kunden skal sikre, at alle instruktioner til Leverandøren i forbindelse med behandling af Kundens Personoplysninger overholder Databeskyttelseslovgivningen.
4.5 Kundens instruktioner til Leverandøren vedrørende genstanden for og varigheden af Behandlingen, Behandlingens art og formål, typerne af Personoplysninger og kategorierne af Registrerede er beskrevet i Bilag A. For at undgå tvivl anerkender og accepterer parterne, at instruksen, der er angivet i denne DPA og Bilag A, udgør det komplette sæt instruktioner fra Kunden til Leverandøren jf. punkt 5.
4.6 Leverandøren skal straks underrette Kunden, hvis en instruktion fra Kunden efter Leverandørens rimelige opfattelse sandsynligvis vil være i strid med Databeskyttelseslovgivningen.
4.7 Leverandøren må ikke behandle, overføre, modificere eller ændre Kundens Personoplysninger, videregive eller tillade videregivelse af Kundens Personoplysninger til nogen tredjepart uden for de instruktioner, der er beskrevet i denne DPA.
4.8 Leverandørens personale, der er involveret i behandlingen af Kundens Personoplysninger, skal informeres om den fortrolige karakter af Kundens Personoplysninger og vil modtage passende uddannelse i deres ansvar. Sådant personale skal være underlagt passende fortrolighedsforpligtelser. En liste over personer, der har fået adgang, skal regelmæssigt gennemgås. På baggrund af en gennemgang en sådan liste, kan en adgang til personoplysninger trækkes tilbage, hvis adgangen ikke længere er nødvendig, og personoplysninger vil herefter ikke længere være tilgængelige for disse personer.
4.9 Under hensyntagen til behandlingens karakter i de leverede Tjenester skal Leverandøren som krævet i UK og EU GDPR artikel 32 opretholde passende tekniske og organisatoriske foranstaltninger for at sikre behandlingssikkerheden, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod utilsigtet eller ulovlig ødelæggelse, tab eller ændring eller skade, uautoriseret videregivelse af eller adgang til Kundens Personoplysninger. Parterne anerkender og accepterer, at de sikkerhedsforanstaltninger, der er specificeret i denne DPA og mere specifikt i Bilag B, udgør passende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der er passende for risikoen.
4.10 Leverandøren skal bistå Kunden med passende tekniske og organisatoriske foranstaltninger, for så vidt dette er muligt og, under hensyntagen til behandlingens karakter, med at opfylde Kundens forpligtelser i henhold til Databeskyttelseslovgivningen, herunder i forhold til den registreredes rettigheder, konsekvensanalyser vedrørende databeskyttelse (relateret til Kundens brug af MOCH-Tjenester) og rapportering til og høring af tilsynsmyndigheder (i forbindelse med en konsekvensanalyse vedrørende databeskyttelse relateret til MOCH-Tjenesterne).
4.11 Hvis de Registrerede, kompetente myndigheder eller andre tredjeparter anmoder Leverandøren om oplysninger vedrørende Behandlingen af Kundens Personoplysninger, skal Leverandøren henvise en sådan anmodning til Kunden, medmindre andet kræves for at overholde Databeskyttelseslovgivningen, i hvilket tilfælde Leverandøren skal give Kunden forudgående meddelelse om et sådant lovkrav, medmindre den pågældende lov forbyder denne videregivelse af hensyn til vigtige offentlige interesser.

5. Underdatabehandlere
5.1 Kunden anerkender og accepterer, at Leverandøren i forbindelse med levering af Ydelser kan engagere Underdatabehandlere, som kan være datterselskaber af Leverandøren og/eller tredjeparter som nærmere beskrevet i Bilag C.
5.2 Kunden anerkender, at Leverandøren er givet en generel tilladelse til at antage nye Underdatabehandlere til at behandle Kundens Personoplysninger uden at indhente yderligere skriftlig specifik tilladelse fra Kunden. Dette er betinget af, at Leverandøren skriftligt underretter Kunden om enhver ny Underdatabehandlers identitet 30 dage forud for behandlingen af Kundens Personoplysninger.
5.3 Hvis Kunden ønsker at gøre indsigelse mod den relevante Underdatabehandler, skal Kunden give skriftlig meddelelse herom inden for ti (10) arbejdsdage fra modtagelsen af meddelelsen fra Leverandøren. Hvis Kunden ikke gør indsigelse, anses det som samtykke til at bruge den relevante Underdatabehandler.
5.4 Hvis Kunden gør indsigelse mod en ny Underdatabehandler, vil Leverandøren gøre en rimelig indsats for at stille en ændring i Tjenesterne til rådighed for Kunden eller anbefale en kommercielt rimelig ændring i Tjenesterne for at undgå behandling af Kundens Personoplysninger af den relevante nye Underdatabehandler. Hvis intet alternativ er muligt, har parterne ret til at opsige Kontrakten mellem dem.
5.5 Leverandørens meddelelse til Kunden om en ny Underdatabehandler skal indeholde et opdateret bilag C. Leverandøren skal holde Bilag C opdateret.
5.6 Leverandøren forbliver ansvarlig over for Kunden for opfyldelsen af Underdatabehandlernes forpligtelser.
5.7 Leverandøren skal i sin aftale med Underdatabehandleren indføje den Kunden som begunstiget tredjemand i tilfælde af Leverandørens konkurs, således at Kunden kan indtræde i Leverandørens rettigheder og gøre dem gældende over for Underdatabehandlere, som f.eks. gør Kunden i stand til at instruere Underdatabehandleren i at slette eller tilbagelevere personoplysningerne.

6. Overførsel til tredjelande eller internationale organisationer
6.1 I overensstemmelse med artikel 28(3)(a) i GDPR i Storbritannien og EU må Leverandøren ikke, og må ikke tillade nogen Underdatabehandler at, overføre Kundens Personoplysninger uden for EU/EØS eller Storbritannien (alt efter hvad der er relevant) andet end som angivet i denne Aftale. For at undgå tvivl giver Kunden hermed samtykke til overførsel og behandling af Personoplysningerne som specificeret i Bilag A, som det gælder.
6.2 Leverandøren anerkender, at der i overensstemmelse med GDPR i Storbritannien og EU skal være tilstrækkelig beskyttelse af Personoplysningerne efter enhver overførsel uden for Storbritannien eller EØS (enten direkte eller via en Underdatabehandlers videre overførsel), og at Leverandøren skal indgå en passende aftale med Kunden og/eller enhver Underdatabehandler for at regulere en sådan overførsel. Dette vil omfatte de gældende Standardkontraktbestemmelser, medmindre der findes en anden tilstrækkelig mekanisme for overførslen.

7. Brud på persondatasikkerheden
7.1 I tilfælde af brud på persondatasikkerheden, der involverer Kundens Personoplysninger, skal Leverandøren:
7.1.1 Underrette Kunden uden unødig forsinkelse (inden for maksimalt 48 timer) for at gøre det muligt for Kunden at overholde anmeldelsesforpligtelser i henhold til GDPR i Storbritannien og EU og for at yde rimelig assistance til Kunden, når det er nødvendigt at kommunikere et brud på persondatasikkerheden til en registreret person.
7.1.2 Gøre en rimelig indsats for at identificere årsagen til et sådant brud på persondatasikkerheden og tage de skridt, som Leverandøren anser for rimeligt gennemførlige for at afhjælpe årsagen til et sådant brud på persondatasikkerheden.
7.1.3 I henhold til betingelserne i denne DPA, yde rimelig assistance og samarbejde som anmodet af Kunden, for at fremme enhver korrektion eller afhjælpning af ethvert Brud på Persondatasikkerheden.

8. Fortegnelser over behandlingsaktiviteter
8.1 I det omfang det er relevant for Leverandørens behandling af personoplysninger for Kunden, skal Leverandøren opbevare alle fortegensler, der kræves i henhold til artikel 30, stk. 2, i Storbritannien og EU GDPR, og skal stille dem til rådighed for Kunden efter anmodning.

9. Revision, herunder inspektion 9.1 Leverandøren sørge for, at Leverandøren, og dennes Underdatabehandlere, efter anmodning stiller rimelige oplysninger til rådighed for Kunden, der er nødvendige for at påvise overholdelse af dennes databeskyttelsesforpligtelser i henhold til denne DPA, og skal tillade og bidrage til revisioner, herunder inspektion af fysiske lokationer, af Kunden eller en revisor, der er bemyndiget af Kunden i forbindelse med Behandling af Kundens Personoplysninger, forudsat at en sådan revisor ikke er en konkurrent til Leverandøren.

10. Ikrafttræden
10.1 Denne DPA er gældende så længe:
10.1.1 Kontrakten er gældende; eller
10.1.2 Leverandøren opbevarer enhver af Kundens Personoplysninger i sin besiddelse eller kontrol.
10.2 Enhver bestemmelse i denne DPA, der udtrykkeligt eller underforstået træder i kraft eller forbliver gældende ved eller efter opsigelse af Kontrakten for at beskytte Kundens Personoplysninger, forbliver gældende.

11. Sletning og returnering af oplysninger
11.1 Leverandøren skal, på Kundens foranledning og ved enhver sådan skriftlig anmodning fra Kunden, slette eller returnere alle Kundens Personoplysninger til Kunden efter afslutningen af leveringen af Tjenester relateret til Behandlingen og slette eksisterende kopier, medmindre gældende EØS- eller medlemsstatslovgivning kræver opbevaring af Kundens Personoplysninger. Hvis der ikke modtages en skriftlig anmodning fra Kunden, skal Leverandøren slette Kundens Personoplysninger 90 dage efter Kontraktens ophør.
11.2 På Kundens anmodning skal Leverandøren give en skriftlig meddelelse om de foranstaltninger, der er truffet vedrørende Kundens Personoplysninger.

12. Erstatning
12.1 Leverandøren accepterer at holde Kunden skadesløs for alle direkte omkostninger, krav, skader eller udgifter, som Kunden pådrager sig på grund af Leverandørens eller dennes medarbejderes, Underdatabehandleres, underleverandørers eller agenters manglende overholdelse af nogen af sine forpligtelser i henhold til denne DPA eller Databeskyttelseslovgivningen i overensstemmelse med artikel 82 i UK og EU GDPR.
12.2 Uanset det modsatte i denne DPA eller i Kontrakten (herunder, uden begrænsning, begge parters skadesløsholdelsesforpligtelser), vil ingen af parterne være ansvarlig for GDPR-bøder udstedt eller opkrævet i henhold til artikel 83 i GDPR mod den anden part af en regulerende myndighed eller et statsligt organ i forbindelse med en sådan anden parts overtrædelse af GDPR.
12.3 Med forbehold for de juridiske forpligtelser, der er beskrevet i punkt 12.1, og de begrænsninger, der er beskrevet i punkt 12.2, skal hver parts ansvar i henhold til denne DPA være underlagt de ansvarsfraskrivelser og -begrænsninger, der er beskrevet i Kontrakten. Enhver henvisning til en parts “ansvarsbegrænsning” i Kontrakten skal fortolkes som en parts og alle dennes datterselskabers og associerede selskabers samlede ansvar i henhold til aftalen og denne DPA.

Bilag A

Formål og detaljer vedrørende behandling af Personoplysninger
Genstand for behandling Detaljer Gælder for:
Formål Angiv alle formål, hvortil Personoplysningerne vil blive behandlet af Leverandøren Systemadgang Systemadministration Levering af systemindhold i henhold til moduler, der abonneres på. Se nedenfor: Alle Kunder
Politikker, Vidensvurderinger Kunder, der abonnerer på politikmoduler (PolicyLite, MetaEngage og MetaPolicy)
eLearning, andre medier Kunder, der abonnerer på Elearning-moduler (MetaLearning Fusion)
Privacy Surveys Kunder, der abonnerer på MetaPrivacy-modulet
Anmeldelser af hændelser Kunder, der abonnerer på MetaIncident-modulet
Simulerede phishing-kampagner Kunder, der abonnerer på Metaphish
SCORM overførsel til Customer LMS Kunder, der abonnerer på SCORM-overførsel
Typer af Personoplysninger Angiv de Personoplysninger, der vil blive behandlet af Leverandøren Fornavn, efternavn, e-mailadresse, IP-adresse, afdeling, undervisningsoversigt Alle Kunder
Active Directory Organisation Unit (OU) Kunder, der bruger Azure AD eller lokalt AD
LMS ID Kunder med abonnement på SCORM overfører
Kategorier af registrerede Angiv de kategorier af registrerede, hvis Personoplysninger vil blive behandlet af Leverandøren Medarbejdere hos kunder, entreprenører, leverandører, partnere og/eller associerede selskaber. Alle Kunder i overensstemmelse med de personoplysninger om de Registrerede, der leveres til Leverandøren. Kunden kan begrænse dette afhængigt af sin tilsigtede brug af Tjenesterne.
Behandlinger Angiv alle behandlingsaktiviteter, der skal udføres af Leverandøren Behandling og opbevaring af Kunders Personoplysninger for at oprette og vedligeholde autoriserede brugerkonti på platformen. Distribution af forskellige notifikationsmails initieret af MOCH-systemet. Alle Kunder
Distribution af simulerede phishing-e-mails specifikt initieret af Kunden via MOCH-platformen. Kunder, der abonnerer på MetaPhish-modulet
Opbevaring af Personoplysninger, hvor de indtastes af Kunden via MOCH-modulet. Kunder, der abonnerer på MetaPrivacy-modulet
At kommunikere med Customer LMS og evaluere licensantal Kunder, der abonnerer på SCORM-overførsel
Placering af behandlingsaktiviteter Angiv alle steder, hvor Personoplysningerne vil blive behandlet af Leverandøren Det Forenede Kongerige (United Kingdom) (MetaCompliance Group) Deutschland (MetaCompliance Group) Danmark (MetaCompliance-Group) Portugal (MetaCompliance Group) Irland (MetaCompliance Group, Microsoft Azure og Amazon Web Services) Holland (Microsoft Azure) Alle Kunder efter behov. Der henvises til bilag C for yderligere oplysninger.
Krav til opbevaring Hvor det er relevant, angiv opbevaringstiden for Kundens Personoplysninger, der er gemt af Leverandøren. Når et kundeabonnement er udløbet eller opsiges, opbevares alle tilknyttede personlige kundedata i 90 dage, før de endeligt slettes for at gendanne efter utilsigtet annullering af abonnementet. Alle Kunder

Bilag B

Sikkerhedsforanstaltninger

For at hjælpe Kunden med at overholde sine lovgivningsmæssige forpligtelser, herunder, men ikke begrænset til, sikkerhedsforanstaltninger og risikovurderinger vedrørende databeskyttelse, er Leverandøren forpligtet til at træffe passende tekniske og organisatoriske foranstaltninger for at beskytte Kundens Personoplysninger. Foranstaltningerne skal som minimum resultere i et sikkerhedsniveau, som er passende under hensyntagen til:

  1. eksisterende tekniske muligheder;
  2. omkostningerne ved gennemførelsen af foranstaltningerne;
  3. de særlige risici forbundet med behandlingen af Kunders Personoplysninger; og
  4. følsomheden af Kundens Personoplysninger, der behandles.

Leverandøren skal opretholde tilstrækkelig sikkerhed ved behandling af Kundens Personoplysninger. Leverandøren skal beskytte Kundens Personoplysninger mod ødelæggelse, ændring, ulovlig deling eller ulovlig adgang. Kundens Personoplysninger skal også beskyttes mod alle andre former for ulovlig behandling. Under hensyntagen til det aktuelle tekniske niveau og implementeringsomkostningerne og under hensyntagen til behandlingens art, omfang, kontekst og formål samt risikoen for varierende sandsynlighed og alvor for enkeltpersoners rettigheder og frihedsrettigheder, skal de tekniske og organisatoriske foranstaltninger, der skal implementeres af Leverandøren, efter omstændighederne omfatte:

  1. pseudonymisering og kryptering af Kundens Personoplysninger;
  2. evnen til at sikre løbende fortrolighed, integritet, tilgængelighed og modstandsdygtighed af systemer og Tjenester, der behandler Kundens Personoplysninger;
  3. evnen til at genoprette tilgængeligheden af og adgangen til Kundens Personoplysninger rettidigt i tilfælde af en fysisk eller teknisk hændelse; og
  4. en proces til regelmæssig testning, vurdering og evaluering af effektiviteten af tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerheden.

Ud over de tekniske og organisatoriske foranstaltninger, der er nævnt ovenfor, skal Leverandøren gennemføre følgende foranstaltninger:

  1. fysisk adgangsbeskyttelse, hvorved computerudstyr og flytbare data, der indeholder Kundens Personoplysninger i Leverandørens lokaler, skal være aflåst, når de ikke er under opsyn for at beskytte mod uautoriseret brug, påvirkning og tyveri.
  2. en proces til test af tilbagelæsning, efter at Kundens Personoplysninger er blevet gendannet fra sikkerhedskopier.
  3. autorisationskontrol, hvorved Leverandørens adgang til Kundens Personoplysninger styres gennem et teknisk system fra autorisationskontrol. Autorisation skal begrænses til dem, der har et arbejdsbetinget behov med at tilgå Kundens Personoplysninger. Bruger-id’er og adgangskoder skal være personlige og må ikke overdrages til andre. Der skal være procedurer for tildeling og fjernelse af autorisationer.
  4. føre fortegnelser over, hvem der har adgang til Kundens Personoplysninger.
  5. sikre kommunikation, hvor eksterne datakommunikationsforbindelser skal beskyttes ved hjælp af tekniske funktioner, der sikrer, at forbindelsen er autoriseret, samt kryptering af data i transit i kommunikationskanaler uden for systemer, der kontrolleres af Leverandøren.
  6. en proces til sikring af sikker destruktion af data, når faste eller flytbare lagringsmedier ikke længere skal bruges til deres formål.
  7. rutiner for indgåelse af fortrolighedsaftaler med Leverandører, der leverer reparation og service af udstyr, der bruges til at lagre Kundens Personoplysninger.
  8. rutiner for overvågning af den service, der udføres af Leverandører i Leverandørens lokaler. Lagringsmedier, der indeholder Kundens Personoplysninger, skal fjernes, hvis tilsyn ikke er muligt.

Bilag C

Godkendte Underdatabehandlere – Kunder kan vælge at ændre nedenstående ansøgning i forbindelse med onboarding via en bekræftelsesmail til MOCH A/S
UnderdatabehandlerSted
Microsoft Azure (Hoster Tjenesterne i Skyen)Holland
Dublin
Amazon Web Services (indgået Kontrakt med “AWS Europe”, som transaktions-e-mail-udbyder)Dublin
MetaCompliance Limited (yder teknisk kundesupport og kundesupport – Supporttjenester)United Kingdom
Forøg dine færdigheder GmbH en MetaCompliance Group-enhed (levering af supporttjenester til kunder)Germany
MetaCompliance Ireland Ltd, en MetaCompliance Group enity (levering af supporttjenester til kunder)Ireland
MetaCompliance Ireland Ltd Sucursal Portugal – (levering af supporttjenester til kunder)Portugal