Introducción

Las partes acuerdan que el presente Acuerdo de Protección de Datos ("APD") establece los derechos y obligaciones de cada parte con respecto al tratamiento y la seguridad de los Datos Personales del Cliente en relación con el Software y los Servicios prestados por el Proveedor. El APD se incorpora por referencia a las Condiciones Comerciales (las "Condiciones Comerciales"). Las partes también acuerdan que, a menos que exista un APD separado firmado por las partes, este APD rige el procesamiento y la seguridad de los Datos Personales del Cliente.

Las disposiciones descritas en los Términos de este APD pertenecen al Proveedor que actúa como Procesador de los Datos Personales del Cliente en la prestación del Software y los Servicios ("Asunto"). Las Condiciones del APD sustituyen a cualquier disposición contradictoria de la Política de Privacidad del Grupo MetaCompliance en lo que se refiere al Objeto. Para mayor claridad, en consonancia con las Cláusulas Contractuales Tipo 2021 definidas a continuación, cuando las Cláusulas Contractuales Tipo 2021 sean aplicables, las Cláusulas Contractuales Tipo 2021 prevalecerán sobre cualquier otro término del Acuerdo de Procesamiento de Datos.

ACUERDO SOBRE EL TRATAMIENTO DE DATOS EN VIGOR A PARTIR DEL23 DE JUNIO DE 2025

1. Partes

1.1 El Cliente es como se define en las Condiciones Comerciales (el "Cliente"); y

1.2 El Proveedor es tal y como se define en las Condiciones Comerciales (el "Proveedor").

2. Antecedentes

2. 1 El Cliente y el Proveedor han celebrado un Contrato que requerirá que el Proveedor procese Datos Personales en nombre del Cliente.

2.2 El presente Acuerdo de Procesamiento de Datos ("APD") establece los términos, requisitos y condiciones adicionales en los que el Proveedor procesará los Datos Personales cuando preste los Servicios en virtud del Contrato y las obligaciones del Cliente con respecto a dichos Datos Personales, así como algunos otros Datos Personales que pueda recibir del Proveedor en virtud del Contrato. El presente APD contiene las cláusulas obligatorias exigidas por el artículo 28, apartado 3, del Reglamento general de protección de datos ((UE) 2016/679 (y las Leyes de protección de datos de 1988 a 2018, en su versión modificada) para los contratos entre responsables y encargados del tratamiento.

2.3 El presente APD está sujeto a los términos del Contrato y se incorpora al mismo. Los términos utilizados en el presente APD tendrán el significado que se establece en el mismo. Los términos en mayúsculas que no se definan de otro modo en el presente tendrán el significado que se les atribuye en las Condiciones Comerciales del Contrato.

2.4 Los anexos forman parte del presente APD y surtirán efecto como si estuvieran recogidos íntegramente en el mismo. Toda referencia al presente APD incluye los anexos.

2.5 En caso de conflicto entre cualquier disposición de este APD y cualquier otra(s) cláusula(s) del Contrato, con respecto al Objeto de este APD, prevalecerán las disposiciones de este APD.

3. Definiciones

Los siguientes términos del presente APD tendrán el significado que se indica a continuación:


"Leyes de protección de datos"

se refiere a todas las leyes y normativas aplicables relativas al Tratamiento de Datos Personales en cualquier momento durante la vigencia del presente APD, que pueden incluir, según proceda: (1) el Reglamento General de Protección de Datos UE 2016/679 ("GDPR"); (2) las Leyes de Protección de Datos de 1988 a 2018, en su versión modificada; (3) la Ley de Protección de Datos del Reino Unido de 2018 (DPA2018); (4) el GDPR del Reino Unido, tal como se define en la DPA2018; (5) el Reglamento de Privacidad y Comunicaciones Electrónicas (Directiva CE) de 2003; y/o (6) la Directiva 2002/58/CE sobre privacidad y comunicaciones electrónicas, tal y como la aplican los Estados miembros de la UE, y cualquier legislación sucesora y cualquier otra normativa, guía y código de buenas prácticas en materia de protección de datos y privacidad, en cada caso con sus modificaciones, actualizaciones o sustituciones periódicas.

"Datos personales del cliente"

se refiere a los Datos Personales Tratados por el Proveedor únicamente a efectos de la prestación de los Servicios y según las instrucciones expresas del Cliente, al celebrar el Contrato y/o al configurar e interactuar con cualquier software puesto a disposición como parte de los Servicios.

"Cláusulas contractuales estándar"

se refiere a las Cláusulas Contractuales Tipo de la Comisión Europea para la transferencia de Datos Personales de la Unión Europea a encargados del tratamiento establecidos en terceros países (transferencias de responsable a encargado del tratamiento), tal y como figuran en el anexo de la Decisión 2021/914/UE de la Comisión, de 4 de junio de 2021, y adoptadas en virtud de la Adenda del Reino Unido, de 21 de marzo de 2022.

"Decisión de adecuación"

significa la Decisión de Adecuación de la Comisión Europea con respecto a la transferencia de Datos Personales al Reino Unido, adoptada el 28 de junio de 2021.

"Subprocesador"

se refiere a un subcontratista externo contratado por el Proveedor que, como parte de la función del subcontratista en la prestación de los Servicios, tratará Datos Personales en nombre del Cliente.

"Responsable del tratamiento", "Interesado", "Encargado del tratamiento", "Proceso o tratamiento", "Datos personales", "Violación de datos personales"

tendrán el significado que se les atribuye en el RGPD.

4. Tratamiento de datos personales

4.1 Las partes reconocen y acuerdan que, a efectos de las Leyes de Protección de Datos y con respecto al Tratamiento de los Datos Personales del Cliente para la prestación de los Servicios, el Proveedor es el Procesador y el Cliente es el Controlador.

4.2 El Cliente garantiza y declara: (i) que la transferencia de Datos Personales del Cliente al Proveedor cumple en todos los aspectos con las Leyes de Protección de Datos (incluyendo, sin limitación, en términos de su recopilación y uso); y (ii) que se ha proporcionado un procesamiento justo y todos los demás avisos apropiados a los Sujetos de Datos de los Datos Personales del Cliente (y se han obtenido y mantenido en todo momento todos los consentimientos necesarios de dichos Sujetos de Datos y se pueden demostrar al Proveedor a petición) en la medida requerida por las Leyes de Protección de Datos en relación con todas las actividades de procesamiento que puedan ser llevadas a cabo por el Proveedor y sus Subprocesadores de conformidad con este APD y el Contrato.

4.3 En la prestación de los Servicios, el Proveedor tratará los Datos Personales del Cliente: (i) según sea necesario para prestar los Servicios; (ii) de conformidad con las instrucciones escritas del Cliente; y (iii) de conformidad con los requisitos de las Leyes de Protección de Datos.

4.4 El Cliente, en su uso de los Servicios, tratará los Datos Personales de acuerdo con los requisitos de las Leyes de Protección de Datos. El Cliente se asegurará de que cualquier instrucción al Proveedor en relación con el Tratamiento de los Datos Personales del Cliente cumpla con las Leyes de Protección de Datos.

4.5 Con respecto a los Datos Personales del Cliente, las instrucciones del Cliente al Proveedor en relación con el Objeto y la duración del Tratamiento, la naturaleza y la finalidad del Tratamiento, los tipos de Datos Personales y las categorías de Sujetos de Datos se describen en el Anexo A. Para evitar cualquier duda, las partes reconocen y acuerdan que, con sujeción a la cláusula 5 y además de las instrucciones de Tratamiento establecidas en el presente APD y en el Anexo A, el Cliente también podrá dar instrucciones para el Tratamiento de los Datos Personales del Cliente a través de los Servicios mediante su interacción directa con los Servicios y la configuración de los mismos.

4.6 El Proveedor notificará inmediatamente al Cliente si, en opinión razonable del Proveedor, cualquier instrucción dada por el Cliente puede infringir las leyes de protección de datos.

4.7 En relación con el Objeto, el Proveedor no procesará, transferirá, modificará, enmendará ni alterará los Datos Personales del Cliente, ni revelará ni permitirá que se revelen los Datos Personales del Cliente a ningún tercero fuera de las instrucciones detalladas en esta DPA.

4.8 El personal del Proveedor que participe en el Tratamiento de los Datos Personales del Cliente será informado del carácter confidencial de los Datos Personales del Cliente y recibirá la formación adecuada sobre sus responsabilidades. Dicho personal estará sujeto a compromisos de confidencialidad adecuados.

4.9 Teniendo en cuenta la naturaleza del Procesamiento de Datos Personales en los Servicios prestados, el Proveedor, tal y como exige el artículo 32 del GDPR, mantendrá las medidas técnicas y organizativas apropiadas para garantizar la seguridad del Procesamiento, incluida la protección contra el Procesamiento no autorizado o ilegal, y contra la destrucción, pérdida o alteración o daño accidental o ilegal, la divulgación no autorizada o el acceso a los Datos Personales del Cliente. Las partes reconocen y aceptan que las medidas de seguridad especificadas en la presente DPA y, más concretamente, en el Anexo B constituyen medidas de seguridad técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.

4.10 El Proveedor asistirá al Cliente mediante las medidas técnicas y organizativas adecuadas, en la medida en que sea posible y teniendo en cuenta la naturaleza del Tratamiento de los Datos Personales del Cliente, en el cumplimiento de las obligaciones del Cliente en virtud de las Leyes de Protección de Datos, incluso en relación con los derechos del Titular de los Datos, las evaluaciones de impacto sobre la protección de datos (relacionadas con el uso de los Servicios de MetaCompliance por parte del Cliente) y la información y consulta a las autoridades de supervisión (en relación con una evaluación de impacto sobre la protección de datos relacionada con los Servicios de MetaCompliance).

4.11 En lo que respecta al Asunto en cuestión, si los Interesados, las autoridades competentes o cualesquiera otros terceros solicitan información al Proveedor en relación con el Tratamiento de los Datos Personales del Cliente, el Proveedor remitirá dicha solicitud al Cliente, a menos que se le exija lo contrario para cumplir con las Leyes de Protección de Datos, en cuyo caso el Proveedor notificará previamente al Cliente dicho requisito legal, a menos que dicha ley prohíba esta divulgación por motivos importantes de interés público.

4.12 El Cliente reconoce que recibirá Datos Personales del Proveedor en virtud del Contrato y en relación con el mismo (incluidos, entre otros, los relativos al personal contratado por el Proveedor y sus subcontratistas y proveedores, así como a los interesados identificables mediante imágenes y grabaciones de voz accesibles como opciones predeterminadas a través de determinados servicios del Proveedor). El Cliente confirma que tratará dichos Datos Personales como Controlador independiente y de conformidad con las Leyes de Protección de Datos.

5. Subprocesadores

5.1 El Cliente reconoce y acepta que el Proveedor puede, en relación con la prestación de Servicios, contratar a Subprocesadores que pueden ser filiales del Proveedor y/o terceros, tal y como se describe más específicamente en el Anexo A y el Anexo C. La contratación de dichas partes por parte del Proveedor estará sujeta a un contrato por escrito (incluso en formato electrónico) coherente con los términos de esta DPA, en relación con el procesamiento requerido de Datos Personales.

5.2 El Cliente reconoce que el Proveedor cuenta con autorización general para contratar a los Subencargados del Tratamiento enumerados en el Anexo C y añadir (o eliminar) nuevos Subencargados del Tratamiento sin necesidad de obtener ninguna otra autorización específica por escrito del Cliente. Esto está sujeto a que el Procesador notifique por escrito al Cliente la identidad de cualquier nuevo Sub-Procesador, 30 días antes de procesar los Datos Personales del Cliente (el "Periodo de Notificación").

5.3 Si el Cliente desea oponerse al Subprocesador en cuestión, deberá notificarlo por escrito dentro del Plazo de Notificación. Dicha notificación incluirá detalles de los supuestos riesgos de seguridad o riesgos asociados con el nuevo Subencargado del Tratamiento. La ausencia de objeciones por parte del Cliente por tales motivos y dentro del Plazo de Notificación se considerará consentimiento para utilizar el Subencargado del Tratamiento pertinente.

5.4 En caso de que el Cliente se oponga a un nuevo Subencargado del Tratamiento, el Proveedor hará todo lo razonablemente posible para resolver las dudas, poner a disposición del Cliente un cambio en los Servicios o recomendar un cambio comercialmente razonable en los Servicios para evitar el Tratamiento de los Datos Personales del Cliente por el nuevo Subencargado del Tratamiento pertinente. Si no es posible ninguna alternativa, cada una de las partes tendrá derecho a rescindir el Contrato entre ellas con preaviso inmediato y sin responsabilidad ni exigencia de reembolso de cantidad alguna por parte del Proveedor.

5.5 La notificación por parte del Proveedor de un nuevo Subtransmitente al Cliente incluirá la entrega de un Anexo C actualizado.

5.6 El Proveedor seguirá siendo responsable ante el Cliente del cumplimiento de las obligaciones de los Subprocesadores.

6 Transferencias de datos

6.1 De conformidad con el Artículo 28(3)(a) del GDPR, el Proveedor no transferirá, y no permitirá que ningún Subprocesador transfiera, ningún Dato Personal del Cliente fuera del EEE o del Reino Unido (según corresponda), salvo lo dispuesto en el presente Acuerdo. Para evitar cualquier duda, el Cliente consiente por la presente la transferencia y el tratamiento de los Datos Personales tal y como se especifica en los Anexos A y C, según proceda.

6.2 El Proveedor reconoce que, de conformidad con el GDPR, debe existir una protección adecuada para los Datos Personales antes de cualquier transferencia fuera del Reino Unido o del EEE (ya sea directamente o a través de la transferencia posterior de un Subprocesador) y celebrará un acuerdo adecuado con el Cliente y/o cualquier subprocesador para regir dicha transferencia. Esto incluirá las Cláusulas Contractuales Tipo aplicables, o dependerá de la Decisión de Adecuación, a menos que exista otro mecanismo de adecuación o válido para la transferencia.

7 Vulneración de datos personales

7.1 En caso de violación de los datos personales del cliente, el proveedor deberá:

7.1.1 Notificar al Cliente sin demora indebida (en un plazo máximo de 48 horas) para permitir al Cliente cumplir con las obligaciones de notificación del GDPR y proporcionar asistencia razonable al Cliente cuando se requiera comunicar una Violación de Datos Personales a un Sujeto de Datos.

7.1.2 Realizará esfuerzos razonables para identificar la causa de la violación de los datos personales y tomará las medidas que el proveedor considere razonablemente viables para remediar la causa de la violación de los datos personales.

7.1.3 Sujeto a los términos de esta DPA, proporcionar asistencia y cooperación razonables según lo solicitado por el Cliente, en el avance de cualquier corrección o remediación de cualquier Violación de Datos Personales.

8. Registros de procesamiento

8.1 En la medida aplicable al Procesamiento del Proveedor para el Cliente, el Proveedor mantendrá todos los registros requeridos por el Artículo 30(2) GDPR y los pondrá a disposición del Cliente a petición.

9. Derechos de auditoría

9.1 El Proveedor deberá, y procurará que sus Subprocesadores, pongan a disposición del Cliente, previa solicitud, la información razonable necesaria para demostrar el cumplimiento de sus obligaciones de protección de datos en virtud del presente APD y permitirá y contribuirá a las auditorías, incluida la inspección en sus instalaciones, por parte del Cliente o de un auditor encargado por el Cliente en relación con el Tratamiento de los Datos Personales del Cliente, siempre que dicho auditor no sea un competidor del Proveedor.

10. Término

10.1 El presente APD estará en plena vigencia mientras:

10.1.1 El contrato sigue en vigor; o

10.1.2 El Proveedor conserva los Datos Personales del Cliente en su posesión o control.

10.2 Cualquier disposición de la presente DPA que, de forma expresa o implícita, deba entrar o continuar en vigor en el momento de la terminación del Contrato o después de ella, con el fin de proteger los Datos Personales del Cliente, seguirá siendo plenamente vigente.

11. Devolución y destrucción de datos

11.1 A menos que ya se hayan eliminado de conformidad con los términos del Contrato, el Proveedor, a discreción del Cliente y previa solicitud por escrito de éste, eliminará o devolverá al Cliente todos los Datos Personales del Cliente una vez finalizada la prestación de los Servicios relativos al Tratamiento, y eliminará las copias existentes a menos que la legislación aplicable del EEE o de los Estados Miembros exija el almacenamiento de los Datos Personales del Cliente. Si no se recibe ninguna solicitud por escrito del Cliente, el Proveedor eliminará los Datos Personales del Cliente 90 días después de la finalización del Contrato.

11.2 A petición del Cliente, el Proveedor proporcionará una notificación por escrito de las medidas adoptadas en relación con los Datos Personales del Cliente.

12. Indemnización

12.1 En la medida requerida por el artículo 82 del GDPR y sujeto a la cláusula 12.2 de este DPA, el Proveedor acuerda indemnizar al Cliente por todos los costes directos, reclamaciones, daños o gastos incurridos por el Cliente debido a cualquier incumplimiento por parte del Proveedor o sus empleados, subprocesadores, subcontratistas o agentes de cualquiera de sus obligaciones en virtud de este DPA o de las Leyes de Protección de Datos.

12.2 Sin perjuicio de cualquier disposición en contrario contenida en el presente APD o en el Contrato (incluidas, entre otras, las obligaciones de indemnización de cualquiera de las partes), ninguna de las partes será responsable de las multas impuestas o recaudadas en virtud de las Leyes de protección de datos contra la otra parte por una autoridad reguladora u organismo gubernamental en relación con la infracción de las Leyes de protección de datos por parte de dicha otra parte.

12.3 El Cliente acuerda indemnizar al Proveedor por todos los costes directos, reclamaciones, daños o gastos incurridos o recibidos por el Proveedor debido a cualquier incumplimiento por parte del Cliente de cualquiera de sus obligaciones en virtud de las Leyes de Protección de Datos o de este APD (incluyendo, sin limitación, su incumplimiento de cualquier requisito en virtud de la cláusula 2 de este APD).

12.4 En la medida en que lo permitan las Leyes de Protección de Datos y con sujeción a las exclusiones detalladas en la cláusula 12.2 del presente APD, la responsabilidad total de cada una de las partes en virtud del presente APD o en relación con el mismo, sea cual fuere su causa, estará sujeta a las exclusiones y limitaciones de responsabilidad establecidas en el Contrato.

Anexo A

Fines y detalles del tratamiento de datos personales

Objeto del tratamiento Detalles Se aplica a:
Propósito Acceso al sistema Administración del sistema Entrega de contenidos del sistema según los módulos suscritos. Véase más abajo: Todos los clientes
Políticas, evaluaciones de conocimientos Clientes suscritos a los módulos Policy (PolicyLite, MetaEngage y MetaPolicy)
eLearning, otros medios Clientes suscritos a módulos de Elearning (MetaLearning Fusion)
Encuestas de privacidad Clientes suscritos al módulo MetaPrivacy
Reseñas de incidentes Clientes suscritos al módulo de MetaIncidentes
Campañas de phishing simuladas Clientes suscritos a MetaPhish
Transferencia de SCORM al LMS del cliente Clientes que se suscriben a la transferencia de SCORM
Transforme documentos PDF estáticos en una experiencia de formación eficaz Clientes suscritos a Contenido a curso
Transforme los guiones de los clientes en un breve vídeo generado por IA Clientes suscritos a Virtual Presenter Video
Tipos de datos personales Nombre, apellidos, dirección de correo electrónico, dirección IP, departamento, registro de formación Todos los clientes
Unidad de organización (OU) de Active Directory Clientes que utilizan Azure AD o AD local
ID DEL LMS Los clientes suscritos a la transferencia de SCORM
Datos personales que el Cliente ha incluido en los Datos del Cliente. Todos los clientes
Uso de la IA Creación de correos electrónicos phishing generados por IA Clientes con paquetes Premium Plus Security Awareness (incluida la oferta multilingüe) que utilizan el generador de phishing.
Creador de cursos de IA Clientes suscritos al complemento Contenido a curso.
Vídeos personalizados generados por IA Clientes que han utilizado el complemento Virtual Presenter
Categorías de interesados   Empleados del cliente, contratistas, proveedores, socios y/o afiliados. Todos los Clientes de acuerdo con los datos del Titular de los Datos facilitados al Proveedor. El Cliente puede limitarlo en función del uso que pretenda hacer de los Servicios.
Operaciones de tratamiento   Tratamiento y almacenamiento de los Datos Personales del Cliente con el fin de crear y mantener cuentas de Usuarios Autorizados en la plataforma MyCompliance. Distribución de diversos correos electrónicos de notificación iniciados por el sistema MyCompliance de MetaCompliance. Todos los clientes
Distribución de correos electrónicos simulados de phishing especificados iniciados por el Cliente a través de la plataforma MetaCompliance MyCompliance. Clientes suscritos al módulo MetaPhish
Almacenamiento de Datos Personales cuando son introducidos por el cliente a través del módulo MetaCompliance MetaPrivacy. Clientes suscritos al módulo MetaPrivacy
Comunicarse con el cliente LMS y evaluar el recuento de licencias Clientes que se suscriben a la transferencia de SCORM
Utilizar las capacidades de la IA Clientes suscritos a Phish Generator, Content to Course y Virtual Presenter Software.
Ubicación de las operaciones de transformación Lugares de procesamiento dentro del Grupo MetaCompliance: Reino Unido Dinamarca Portugal Alemania Irlanda Todos los clientes.
Ubicaciones de los centros de datos (DC) predeterminados de Microsoft Azure: Reino Unido Clientes: DC en el Reino Unido Clientes canadienses: DC en Canadá. Clientes alemanes: DC en Alemania Clientes europeos fuera de Alemania: CD en Países Bajos e Irlanda Todos los clientes. Existen ubicaciones predeterminadas descritas en el presente documento, sin embargo, el Cliente puede dictar cambios antes de la configuración inicial del arrendatario en la fase de incorporación. antes de la instalación inicial del arrendatario en la fase de incorporación. Si el cliente desea cambiar la ubicación del inquilino a mitad del contrato, debe ponerse en contacto con el equipo de asistencia para obtener ayuda.
Ubicaciones de los centros de datos (DC) de Amazon Web Services: Reino Unido Clientes: DC en el Reino Unido Clientes canadienses: DC en Canadá. Clientes alemanes: DC en Alemania Clientes europeos fuera de Alemania: CD en Irlanda Todos los clientes. Existen ubicaciones predeterminadas descritas en el presente documento, sin embargo, el Cliente puede dictar cambios antes de la configuración inicial del arrendatario en la fase de incorporación. antes de la instalación inicial del arrendatario en la fase de incorporación. Si el cliente desea cambiar la ubicación del inquilino a mitad del contrato, debe ponerse en contacto con el equipo de asistencia para obtener ayuda.
El lugar de procesamiento en el uso de la funcionalidad de IA es el indicado en el Anexo C. Se aplica a los clientes que se suscriban a Phish Generator, Content to Course y Virtual Presenter Video.
Requisitos de conservación   Los plazos específicos de eliminación se explican en el documento "AI en MetaCompliance" según corresponda a los Servicios solicitados por el Cliente. Clientes que hayan solicitado Servicios que contengan o utilicen IA
Cuando la suscripción de un Cliente ha caducado o se ha cancelado, todos los Datos Personales del Cliente asociados, que no se hayan eliminado previamente, se conservan durante 90 días antes de que se eliminen realmente, con el fin de recuperarlos en caso de cancelación accidental de la suscripción. Todos los clientes
Anexo B Disposiciones de seguridad El Proveedor, con el fin de ayudar al Cliente a cumplir sus obligaciones legales, incluyendo, pero sin limitarse a ello, las medidas de seguridad y las evaluaciones del riesgo para la privacidad, estará obligado a tomar las medidas técnicas y organizativas apropiadas para proteger los Datos Personales del Cliente que se traten. Dichas medidas deberán dar lugar, como mínimo, a un nivel de seguridad adecuado teniendo en cuenta:
  1. posibilidades técnicas existentes;
  2. los costes de ejecución de las medidas;
  3. los riesgos particulares asociados al tratamiento de los datos personales de los clientes; y
  4. la sensibilidad de los Datos Personales del Cliente que se tratan.
El Proveedor mantendrá una seguridad adecuada para los Datos Personales del Cliente. El Proveedor protegerá los Datos Personales del Cliente contra la destrucción, la modificación, la difusión ilegal o el acceso ilegal. Los Datos Personales del Cliente también estarán protegidos contra cualquier otra forma de tratamiento ilegal. Teniendo en cuenta el estado de la técnica y los costes de aplicación, y teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del Tratamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas, las medidas técnicas y organizativas que deberá aplicar el Proveedor incluirán, según proceda:
  1. la seudonimización y el cifrado de los Datos Personales de los Clientes;
  2. la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resistencia permanentes de los sistemas y servicios que tratan los Datos Personales de los Clientes;
  3. la capacidad de restablecer la disponibilidad y el acceso a los Datos Personales del Cliente de manera oportuna en caso de incidente físico o técnico; y
  4. un proceso para comprobar, evaluar y valorar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Además de las medidas técnicas y organizativas mencionadas anteriormente, el proveedor deberá aplicar las siguientes medidas:
  1. protección del acceso físico mediante la cual el equipo informático y los datos extraíbles que contengan Datos Personales del Cliente en las instalaciones del Proveedor se guardarán bajo llave cuando no estén bajo supervisión con el fin de protegerlos contra el uso no autorizado, el impacto y el robo.
  2. un proceso de comprobación de la lectura posterior a la restauración de los Datos Personales del Cliente a partir de copias de seguridad.
  3. control de autorización mediante el cual el acceso del Proveedor a los Datos Personales del Cliente se gestiona a través de un sistema técnico de control de autorización. La autorización estará restringida a aquellos que necesiten los Datos Personales del Cliente para su trabajo. Los identificadores de usuario y las contraseñas serán personales y no podrán transferirse a nadie más. Existirán procedimientos para asignar y suprimir autorizaciones.
  4. llevar un registro de quién tiene acceso a los Datos Personales del Cliente.
  5. comunicación segura mediante la cual las conexiones externas de comunicación de datos se protegerán utilizando funciones técnicas que garanticen que la conexión está autorizada, así como el cifrado de contenidos para los datos en tránsito en canales de comunicación fuera de los sistemas controlados por el Proveedor.
  6. un proceso que garantice la destrucción segura de los datos cuando los soportes de almacenamiento fijos o extraíbles dejen de utilizarse para su finalidad.
  7. rutinas para firmar acuerdos de confidencialidad con los proveedores que prestan servicios de reparación y mantenimiento de los equipos utilizados para almacenar los Datos Personales de los Clientes.
  8. rutinas de supervisión del servicio prestado por los proveedores en los locales del Proveedor. Los soportes de almacenamiento que contengan los Datos Personales del Cliente se retirarán si no es posible la supervisión.

Anexo C

Subprocesadores autorizados:

  1. Subprocesadores necesarios para la prestación de todos los Servicios:

 

SubprocesadorPropósitoUbicaciónSubprocesadores
Microsoft Azure (contratado a través de Microsoft Operations Ireland Ltd)Aloja los servicios en la nube

Ubicaciones de centros de datos (DC) predeterminados de Microsoft Azure:

Clientes del Reino Unido: DC en el Reino Unido

Clientes canadienses: DC en Canadá.

Clientes alemanes: DC en Alemania

Clientes europeos fuera de Alemania: DC en Países Bajos e Irlanda

Otros subprocesadores disponibles aquí
Amazon Web Services (contratado con "AWS Europe")Proveedor de correo electrónico transaccional

Ubicaciones de los centros de datos (DC) de Amazon Web Services:

Clientes del Reino Unido: DC en el Reino Unido

Clientes canadienses: DC en Canadá.

Clientes alemanes: DC en Alemania

Clientes europeos fuera de Alemania: DC en Irlanda

Otros subprocesadores disponibles aquí

Entidades del Grupo MetaCompliance

(MetaCompliance Limited, MetaCompliance GmbH, Moch A/S, Metacompliance Ireland Ltd, MetaCompliance Ireland Ltd Sucursal Portugal

Servicios de atención al cliente y servicios de apoyo

Reino Unido

Alemania

Dinamarca

Irlanda

Portugal

(según proceda y de acuerdo con el lugar de constitución de cada entidad)

Todos los clientes

 

  1. PROCESAMIENTO ADICIONAL Y SUBPROCESADORES PARA EL USO DE CONTENIDOS A CURSO

A) IA abierta

Metacumplimiento DC / RegiónInicio / Ubicación de Azure DCDespliegueDatos personales tratadosRetención
IREEuropa Occidental (NL)Zona de datos (UE)Aparte de los Datos Personales introducidos por los Clientes (por ejemplo, en respuesta a una consulta o los Datos Personales incluidos en el contenido proporcionado para crear el curso), este subencargado del tratamiento no tratará ningún Dato Personal del Cliente.En el modelo no se almacenan indicaciones ni generaciones. Además, las indicaciones y las generaciones no se utilizan para entrenar, reentrenar o mejorar los modelos base.
DACHAlemania Centro-OesteZona de datos (UE) Como en el caso anterior.Como en el caso anterior.
NLEuropa Occidental (NL)Zona de datos (UE)Como en el caso anterior.Como en el caso anterior.
CANCanadá EsteEstándar (Canadá Este)Como en el caso anterior.Como en el caso anterior.
REINO UNIDOReino Unido SurEstándar (Reino Unido Sur)Como en el caso anterior.Como en el caso anterior.
USCentro norte de EE.UU.Estándar (centro-norte de EE.UU.)Como en el caso anterior.Como en el caso anterior.

 

B) Microsoft Inteligencia documental y Azure Translator Servicios

Metacumplimiento DC / RegiónInicio / Ubicación de Azure DCTratamientoDatos personales tratadosAlmacenamiento (temp 24hrs)
IRENorte de Europa (Irlanda)Norte de Europa (Irlanda)Aparte de los Datos Personales incluidos en el contenido proporcionado para crear el curso, este subencargado del tratamiento no tratará ningún Dato Personal del Cliente.Norte de Europa (Irlanda)
DACHAlemania Centro-OesteAlemania Centro-OesteComo en el caso anterior.Alemania Centro-Oeste
NLEuropa Occidental (NL)Europa Occidental (NL)Como en el caso anterior.Europa Occidental (NL)
CANCanadá CentralCanadá CentralComo en el caso anterior.Canadá Central
REINO UNIDOReino Unido SurReino Unido SurComo en el caso anterior.Reino Unido Sur
USCentro norte de EE.UU.Centro norte de EE.UU.Como en el caso anterior.Centro norte de EE.UU.
  1. PROCESAMIENTO ADICIONAL Y SUBPROCESADORES PARA EL USO DEL GENERADOR DE PHISHING
SubprocesadoresDatos personales tratadosRegiónConservación/Almacenamiento
Servicios: ChatGPTAparte de los Datos Personales introducidos por los Clientes (por ejemplo, en respuesta a una consulta o los Datos Personales incluidos en el contenido proporcionado para crear el curso), este subencargado del tratamiento no tratará ningún Dato Personal del Cliente.Implantado : Europa Occidental Procesamiento : Global Standard (cualquier región)En el modelo no se almacenan indicaciones ni generaciones. Además, las indicaciones y las generaciones no se utilizan para entrenar, reentrenar o mejorar los modelos base.
Servicio: Incrustación de textoComo en el caso anterior.Como en el caso anterior.Como en el caso anterior.
  1. PROCESAMIENTO ADICIONAL Y SUBPROCESADORES PARA EL USO DEL PRESENTADOR VIRTUAL
SubprocesadorDatos personales tratadosRegiónConservación/Almacenamiento
Colossyan Inc.Texto libre con datos personales (si los hubiera) proporcionados en los Materiales del Cliente a través de scripts u otros contenidos. El Cliente confirma que no se transferirá ningún dato sensible al Procesador.

Procesamiento en Estados Unidos, Reino Unido y Hungría (se trata de emplazamientos de Colossyan y de filiales de Colossyan).

Consulte los subprocesadores de Colossyan que se detallan a continuación

24 horas. Borrado en 48 horas.

UTILIZAR LAS FUNCIONES DE LA AI

Al utilizar la funcionalidad de IA descrita anteriormente, todos los entornos de IA se cierran a nivel de MetaCumplimiento. Peticiones (entradas) y finalizaciones (salidas) del cliente, incrustaciones del cliente y datos de formación del cliente:

  • NO están disponibles para otros clientes.
  • NO están disponibles para Azure OpenAI.
  • NO se utilizan para mejorar los modelos de Azure OpenAI.
  • NO se utilizan para entrenar, reentrenar o mejorar los modelos de la base Azure OpenAI Service.
  • NO se utilizan para mejorar ningún producto o servicio de Microsoft o de terceros sin su permiso o instrucciones.

 

Introduktion

Parterne er enige om, at denne Databehandleraftale (“DPA”) angiver hver parts rettigheder og forpligtelser med hensyn til behandling og sikkerhed af Kundens Personoplysninger i forbindelse med Softwaren og Tjenesterne leveret af MOCH A/S. DPAen er inkorporeret ved henvisning i de Generelle Vilkår og Betingelser (Kommercielle Vilkår). Parterne er også enige om, at medmindre der findes en separat DPA underskrevet af parterne, regulerer denne DPA, behandlingen og sikkerheden af Kundens Personoplysninger. Bestemmelserne i DPAen erstatter eventuelle modstridende bestemmelser i MOCHs Erklæring om Beskyttelse af Personoplysninger, som ellers måtte gælde for behandling af Kunders Personoplysninger. For klarhedens skyld, i overensstemmelse med Standardkontraktbestemmelserne fra 2021, som defineret nedenfor, når Standardkontraktbestemmelserne fra 2021 finder anvendelse, har Standardkontraktbestemmelserne fra 2021 forrang for ethvert andet vilkår i DPAen.

DATABEHANDLERAFTALE GÆLDENDE FRA DEN 18. November 2024

1. Parter
1.1 Kunden som defineret i de Generelle Vilkår og Betingelser (“Kunden“) og
1.2 MOCH A/S indregistreret i Danmark med CVR-nummer 25397096, med hjemsted på Vester Farimagsgade 19, 1606 København V, Danmark (“Leverandør“).
2. Baggrund
2.1 Kunden og Leverandøren har indgået en Kontrakt, som kan kræve, at Leverandøren behandler Personoplysninger på vegne af Kunden.
2.2 Denne Databehandleraftale (“DPA“) fastsætter de yderligere vilkår, krav og betingelser, hvorefter Leverandøren behandler Personoplysninger, når han leverer Tjenester i henhold til Kontrakten. Denne DPA indeholder de obligatoriske klausuler, der kræves i artikel 28, stk. 3, i databeskyttelsesforordningen ((EU) 2016/679 og UK GDPR-lovgivningen) for kontrakter mellem dataansvarlige og databehandlere.
2.3 Denne DPA er underlagt vilkårene i Kontrakten og er inkorporeret i Kontrakten. De udtryk, der anvendes i denne DPA, har den betydning, der er angivet i denne DPA. Termer med stort begyndelsesbogstav, der ikke på anden måde er defineret heri, skal have den betydning, der er angivet i Kontraktens Vilkår og Betingelser.
2.4 Bilagene udgør en del af denne DPA og har virkning, som om de var anført fuldt ud i denne DPA. Enhver henvisning til denne DPA omfatter Bilag.
2.5 I tilfælde af en konflikt mellem en bestemmelse i denne DPA og et eller flere vilkår i Kontrakten med hensyn til genstanden for denne Aftale, har bestemmelserne i denne DPA forrang.
3. Definitioner
Følgende udtryk i denne DPA har følgende betydning:

“Databeskyttelseslovgivning” betyder alle gældende love og bestemmelser vedrørende Behandling af Personoplysninger til enhver tid i løbet af denne DPAs løbetid, herunder (1) Databeskyttelsesforordningen (GDPR, EU 2016/679) og implementeringen heraf i den danske databeskyttelseslov; (2) Det Forenede Kongeriges (United Kingdom) Databeskyttelsesforordning (UK GDPR) som tilpasset af Data Protection Act 2018; (3) ePrivacy-direktivet 2002/58/EF som gennemført af EUs medlemsstater og eventuel efterfølgende lovgivning og alle andre forordninger, retningslinjer og adfærdskodekser vedrørende databeskyttelse og privatlivets fred som ændret, ajourført eller erstattet fra tid til anden.
“Personlige Kundeoplysninger” betyder Personoplysninger, der behandles af MOCH udelukkende med henblik på levering af Tjenester og som anvist af Kunden.
“Standardkontraktbestemmelser” betyder Europa Kommissionens Standardkontraktbestemmelser for overførsel af Personoplysninger fra Den Europæiske Union til databehandlere, der er etableret i tredjelande (overførsler fra dataansvarlig til databehandler), som fastsat i Bilaget til Kommissionens Afgørelse 2021/914/EU pr. 4. juni 2021 og vedtaget i henhold til Det Forenede Kongeriges (United Kingdom) tillæg pr. 21. marts 2022.
“Underdatabehandler” betyder en underleverandør, der er benyttes af Leverandøren, og, som en del af underleverandørens rolle med at levere Tjenesterne, behandler Personoplysninger på vegne af Kunden.
“Dataansvarlig”, “Registreret”, “Databehandler”, “Behandling eller behandling”, “Personoplysninger”, “Brud på persondatasikkerheden” skal have de betydninger, der er givet til dem i Storbritannien og EU GDPR.

4. Behandling af Personoplysninger
4.1 Parterne anerkender og accepterer, at Leverandøren med det formål at overholde Databeskyttelseslovgivningen og med hensyn til behandling af Kundens Personoplysninger er Databehandleren, og Kunden er den Dataansvarlige.
4.2 Kunden garanterer og indestår for: (i) at overførslen af Kundens Persondata til Leverandøren i alle henseender overholder Databeskyttelseslovgivningen (herunder uden begrænsning med hensyn til indsamling og brug); og (ii) rimelig behandling af personoplysninger og alle andre relevante meddelelser er givet til de Registrerede (og alle nødvendige samtykker fra sådanne Registrerede er indhentet og til enhver tid gældende) i det omfang, det kræves af Databeskyttelseslovgivningen i forbindelse med alle behandlingsaktiviteter, der kan udføres af Leverandøren og dennes Underdatabehandlere i overensstemmelse med denne Aftale;
4.3 Leverandøren forpligter sig til kun at behandle Kundens Personoplysninger: (i) som nødvendigt for at levere Tjenesterne; (ii) i overensstemmelse med skriftlige instruktioner fra Kunden; og (iii) i overensstemmelse med kravene i Databeskyttelseslovgivningen.
4.4 Kunden skal i sin brug af Tjenesterne behandle Personoplysninger i overensstemmelse med kravene i Databeskyttelseslovgivningen. Kunden skal sikre, at alle instruktioner til Leverandøren i forbindelse med behandling af Kundens Personoplysninger overholder Databeskyttelseslovgivningen.
4.5 Kundens instruktioner til Leverandøren vedrørende genstanden for og varigheden af Behandlingen, Behandlingens art og formål, typerne af Personoplysninger og kategorierne af Registrerede er beskrevet i Bilag A. For at undgå tvivl anerkender og accepterer parterne, at instruksen, der er angivet i denne DPA og Bilag A, udgør det komplette sæt instruktioner fra Kunden til Leverandøren jf. punkt 5.
4.6 Leverandøren skal straks underrette Kunden, hvis en instruktion fra Kunden efter Leverandørens rimelige opfattelse sandsynligvis vil være i strid med Databeskyttelseslovgivningen.
4.7 Leverandøren må ikke behandle, overføre, modificere eller ændre Kundens Personoplysninger, videregive eller tillade videregivelse af Kundens Personoplysninger til nogen tredjepart uden for de instruktioner, der er beskrevet i denne DPA.
4.8 Leverandørens personale, der er involveret i behandlingen af Kundens Personoplysninger, skal informeres om den fortrolige karakter af Kundens Personoplysninger og vil modtage passende uddannelse i deres ansvar. Sådant personale skal være underlagt passende fortrolighedsforpligtelser. En liste over personer, der har fået adgang, skal regelmæssigt gennemgås. På baggrund af en gennemgang en sådan liste, kan en adgang til personoplysninger trækkes tilbage, hvis adgangen ikke længere er nødvendig, og personoplysninger vil herefter ikke længere være tilgængelige for disse personer.
4.9 Under hensyntagen til behandlingens karakter i de leverede Tjenester skal Leverandøren som krævet i UK og EU GDPR artikel 32 opretholde passende tekniske og organisatoriske foranstaltninger for at sikre behandlingssikkerheden, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod utilsigtet eller ulovlig ødelæggelse, tab eller ændring eller skade, uautoriseret videregivelse af eller adgang til Kundens Personoplysninger. Parterne anerkender og accepterer, at de sikkerhedsforanstaltninger, der er specificeret i denne DPA og mere specifikt i Bilag B, udgør passende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der er passende for risikoen.
4.10 Leverandøren skal bistå Kunden med passende tekniske og organisatoriske foranstaltninger, for så vidt dette er muligt og, under hensyntagen til behandlingens karakter, med at opfylde Kundens forpligtelser i henhold til Databeskyttelseslovgivningen, herunder i forhold til den registreredes rettigheder, konsekvensanalyser vedrørende databeskyttelse (relateret til Kundens brug af MOCH-Tjenester) og rapportering til og høring af tilsynsmyndigheder (i forbindelse med en konsekvensanalyse vedrørende databeskyttelse relateret til MOCH-Tjenesterne).
4.11 Hvis de Registrerede, kompetente myndigheder eller andre tredjeparter anmoder Leverandøren om oplysninger vedrørende Behandlingen af Kundens Personoplysninger, skal Leverandøren henvise en sådan anmodning til Kunden, medmindre andet kræves for at overholde Databeskyttelseslovgivningen, i hvilket tilfælde Leverandøren skal give Kunden forudgående meddelelse om et sådant lovkrav, medmindre den pågældende lov forbyder denne videregivelse af hensyn til vigtige offentlige interesser.

5. Underdatabehandlere
5.1 Kunden anerkender og accepterer, at Leverandøren i forbindelse med levering af Ydelser kan engagere Underdatabehandlere, som kan være datterselskaber af Leverandøren og/eller tredjeparter som nærmere beskrevet i Bilag C.
5.2 Kunden anerkender, at Leverandøren er givet en generel tilladelse til at antage nye Underdatabehandlere til at behandle Kundens Personoplysninger uden at indhente yderligere skriftlig specifik tilladelse fra Kunden. Dette er betinget af, at Leverandøren skriftligt underretter Kunden om enhver ny Underdatabehandlers identitet 30 dage forud for behandlingen af Kundens Personoplysninger.
5.3 Hvis Kunden ønsker at gøre indsigelse mod den relevante Underdatabehandler, skal Kunden give skriftlig meddelelse herom inden for ti (10) arbejdsdage fra modtagelsen af meddelelsen fra Leverandøren. Hvis Kunden ikke gør indsigelse, anses det som samtykke til at bruge den relevante Underdatabehandler.
5.4 Hvis Kunden gør indsigelse mod en ny Underdatabehandler, vil Leverandøren gøre en rimelig indsats for at stille en ændring i Tjenesterne til rådighed for Kunden eller anbefale en kommercielt rimelig ændring i Tjenesterne for at undgå behandling af Kundens Personoplysninger af den relevante nye Underdatabehandler. Hvis intet alternativ er muligt, har parterne ret til at opsige Kontrakten mellem dem.
5.5 Leverandørens meddelelse til Kunden om en ny Underdatabehandler skal indeholde et opdateret bilag C. Leverandøren skal holde Bilag C opdateret.
5.6 Leverandøren forbliver ansvarlig over for Kunden for opfyldelsen af Underdatabehandlernes forpligtelser.
5.7 Leverandøren skal i sin aftale med Underdatabehandleren indføje den Kunden som begunstiget tredjemand i tilfælde af Leverandørens konkurs, således at Kunden kan indtræde i Leverandørens rettigheder og gøre dem gældende over for Underdatabehandlere, som f.eks. gør Kunden i stand til at instruere Underdatabehandleren i at slette eller tilbagelevere personoplysningerne.

6. Overførsel til tredjelande eller internationale organisationer
6.1 I overensstemmelse med artikel 28(3)(a) i GDPR i Storbritannien og EU må Leverandøren ikke, og må ikke tillade nogen Underdatabehandler at, overføre Kundens Personoplysninger uden for EU/EØS eller Storbritannien (alt efter hvad der er relevant) andet end som angivet i denne Aftale. For at undgå tvivl giver Kunden hermed samtykke til overførsel og behandling af Personoplysningerne som specificeret i Bilag A, som det gælder.
6.2 Leverandøren anerkender, at der i overensstemmelse med GDPR i Storbritannien og EU skal være tilstrækkelig beskyttelse af Personoplysningerne efter enhver overførsel uden for Storbritannien eller EØS (enten direkte eller via en Underdatabehandlers videre overførsel), og at Leverandøren skal indgå en passende aftale med Kunden og/eller enhver Underdatabehandler for at regulere en sådan overførsel. Dette vil omfatte de gældende Standardkontraktbestemmelser, medmindre der findes en anden tilstrækkelig mekanisme for overførslen.

7. Brud på persondatasikkerheden
7.1 I tilfælde af brud på persondatasikkerheden, der involverer Kundens Personoplysninger, skal Leverandøren:
7.1.1 Underrette Kunden uden unødig forsinkelse (inden for maksimalt 48 timer) for at gøre det muligt for Kunden at overholde anmeldelsesforpligtelser i henhold til GDPR i Storbritannien og EU og for at yde rimelig assistance til Kunden, når det er nødvendigt at kommunikere et brud på persondatasikkerheden til en registreret person.
7.1.2 Gøre en rimelig indsats for at identificere årsagen til et sådant brud på persondatasikkerheden og tage de skridt, som Leverandøren anser for rimeligt gennemførlige for at afhjælpe årsagen til et sådant brud på persondatasikkerheden.
7.1.3 I henhold til betingelserne i denne DPA, yde rimelig assistance og samarbejde som anmodet af Kunden, for at fremme enhver korrektion eller afhjælpning af ethvert Brud på Persondatasikkerheden.

8. Fortegnelser over behandlingsaktiviteter
8.1 I det omfang det er relevant for Leverandørens behandling af personoplysninger for Kunden, skal Leverandøren opbevare alle fortegensler, der kræves i henhold til artikel 30, stk. 2, i Storbritannien og EU GDPR, og skal stille dem til rådighed for Kunden efter anmodning.

9. Revision, herunder inspektion 9.1 Leverandøren sørge for, at Leverandøren, og dennes Underdatabehandlere, efter anmodning stiller rimelige oplysninger til rådighed for Kunden, der er nødvendige for at påvise overholdelse af dennes databeskyttelsesforpligtelser i henhold til denne DPA, og skal tillade og bidrage til revisioner, herunder inspektion af fysiske lokationer, af Kunden eller en revisor, der er bemyndiget af Kunden i forbindelse med Behandling af Kundens Personoplysninger, forudsat at en sådan revisor ikke er en konkurrent til Leverandøren.

10. Ikrafttræden
10.1 Denne DPA er gældende så længe:
10.1.1 Kontrakten er gældende; eller
10.1.2 Leverandøren opbevarer enhver af Kundens Personoplysninger i sin besiddelse eller kontrol.
10.2 Enhver bestemmelse i denne DPA, der udtrykkeligt eller underforstået træder i kraft eller forbliver gældende ved eller efter opsigelse af Kontrakten for at beskytte Kundens Personoplysninger, forbliver gældende.

11. Sletning og returnering af oplysninger
11.1 Leverandøren skal, på Kundens foranledning og ved enhver sådan skriftlig anmodning fra Kunden, slette eller returnere alle Kundens Personoplysninger til Kunden efter afslutningen af leveringen af Tjenester relateret til Behandlingen og slette eksisterende kopier, medmindre gældende EØS- eller medlemsstatslovgivning kræver opbevaring af Kundens Personoplysninger. Hvis der ikke modtages en skriftlig anmodning fra Kunden, skal Leverandøren slette Kundens Personoplysninger 90 dage efter Kontraktens ophør.
11.2 På Kundens anmodning skal Leverandøren give en skriftlig meddelelse om de foranstaltninger, der er truffet vedrørende Kundens Personoplysninger.

12. Erstatning
12.1 Leverandøren accepterer at holde Kunden skadesløs for alle direkte omkostninger, krav, skader eller udgifter, som Kunden pådrager sig på grund af Leverandørens eller dennes medarbejderes, Underdatabehandleres, underleverandørers eller agenters manglende overholdelse af nogen af sine forpligtelser i henhold til denne DPA eller Databeskyttelseslovgivningen i overensstemmelse med artikel 82 i UK og EU GDPR.
12.2 Uanset det modsatte i denne DPA eller i Kontrakten (herunder, uden begrænsning, begge parters skadesløsholdelsesforpligtelser), vil ingen af parterne være ansvarlig for GDPR-bøder udstedt eller opkrævet i henhold til artikel 83 i GDPR mod den anden part af en regulerende myndighed eller et statsligt organ i forbindelse med en sådan anden parts overtrædelse af GDPR.
12.3 Med forbehold for de juridiske forpligtelser, der er beskrevet i punkt 12.1, og de begrænsninger, der er beskrevet i punkt 12.2, skal hver parts ansvar i henhold til denne DPA være underlagt de ansvarsfraskrivelser og -begrænsninger, der er beskrevet i Kontrakten. Enhver henvisning til en parts “ansvarsbegrænsning” i Kontrakten skal fortolkes som en parts og alle dennes datterselskabers og associerede selskabers samlede ansvar i henhold til aftalen og denne DPA.

Bilag A

Formål og detaljer vedrørende behandling af Personoplysninger
Genstand for behandling Detaljer Gælder for:
Formål Angiv alle formål, hvortil Personoplysningerne vil blive behandlet af Leverandøren Systemadgang Systemadministration Levering af systemindhold i henhold til moduler, der abonneres på. Se nedenfor: Alle Kunder
Politikker, Vidensvurderinger Kunder, der abonnerer på politikmoduler (PolicyLite, MetaEngage og MetaPolicy)
eLearning, andre medier Kunder, der abonnerer på Elearning-moduler (MetaLearning Fusion)
Privacy Surveys Kunder, der abonnerer på MetaPrivacy-modulet
Anmeldelser af hændelser Kunder, der abonnerer på MetaIncident-modulet
Simulerede phishing-kampagner Kunder, der abonnerer på Metaphish
SCORM overførsel til Customer LMS Kunder, der abonnerer på SCORM-overførsel
Typer af Personoplysninger Angiv de Personoplysninger, der vil blive behandlet af Leverandøren Fornavn, efternavn, e-mailadresse, IP-adresse, afdeling, undervisningsoversigt Alle Kunder
Active Directory Organisation Unit (OU) Kunder, der bruger Azure AD eller lokalt AD
LMS ID Kunder med abonnement på SCORM overfører
Kategorier af registrerede Angiv de kategorier af registrerede, hvis Personoplysninger vil blive behandlet af Leverandøren Medarbejdere hos kunder, entreprenører, leverandører, partnere og/eller associerede selskaber. Alle Kunder i overensstemmelse med de personoplysninger om de Registrerede, der leveres til Leverandøren. Kunden kan begrænse dette afhængigt af sin tilsigtede brug af Tjenesterne.
Behandlinger Angiv alle behandlingsaktiviteter, der skal udføres af Leverandøren Behandling og opbevaring af Kunders Personoplysninger for at oprette og vedligeholde autoriserede brugerkonti på platformen. Distribution af forskellige notifikationsmails initieret af MOCH-systemet. Alle Kunder
Distribution af simulerede phishing-e-mails specifikt initieret af Kunden via MOCH-platformen. Kunder, der abonnerer på MetaPhish-modulet
Opbevaring af Personoplysninger, hvor de indtastes af Kunden via MOCH-modulet. Kunder, der abonnerer på MetaPrivacy-modulet
At kommunikere med Customer LMS og evaluere licensantal Kunder, der abonnerer på SCORM-overførsel
Placering af behandlingsaktiviteter Angiv alle steder, hvor Personoplysningerne vil blive behandlet af Leverandøren Det Forenede Kongerige (United Kingdom) (MetaCompliance Group) Deutschland (MetaCompliance Group) Danmark (MetaCompliance-Group) Portugal (MetaCompliance Group) Irland (MetaCompliance Group, Microsoft Azure og Amazon Web Services) Holland (Microsoft Azure) Alle Kunder efter behov. Der henvises til bilag C for yderligere oplysninger.
Krav til opbevaring Hvor det er relevant, angiv opbevaringstiden for Kundens Personoplysninger, der er gemt af Leverandøren. Når et kundeabonnement er udløbet eller opsiges, opbevares alle tilknyttede personlige kundedata i 90 dage, før de endeligt slettes for at gendanne efter utilsigtet annullering af abonnementet. Alle Kunder

Bilag B

Sikkerhedsforanstaltninger

For at hjælpe Kunden med at overholde sine lovgivningsmæssige forpligtelser, herunder, men ikke begrænset til, sikkerhedsforanstaltninger og risikovurderinger vedrørende databeskyttelse, er Leverandøren forpligtet til at træffe passende tekniske og organisatoriske foranstaltninger for at beskytte Kundens Personoplysninger. Foranstaltningerne skal som minimum resultere i et sikkerhedsniveau, som er passende under hensyntagen til:

  1. eksisterende tekniske muligheder;
  2. omkostningerne ved gennemførelsen af foranstaltningerne;
  3. de særlige risici forbundet med behandlingen af Kunders Personoplysninger; og
  4. følsomheden af Kundens Personoplysninger, der behandles.

Leverandøren skal opretholde tilstrækkelig sikkerhed ved behandling af Kundens Personoplysninger. Leverandøren skal beskytte Kundens Personoplysninger mod ødelæggelse, ændring, ulovlig deling eller ulovlig adgang. Kundens Personoplysninger skal også beskyttes mod alle andre former for ulovlig behandling. Under hensyntagen til det aktuelle tekniske niveau og implementeringsomkostningerne og under hensyntagen til behandlingens art, omfang, kontekst og formål samt risikoen for varierende sandsynlighed og alvor for enkeltpersoners rettigheder og frihedsrettigheder, skal de tekniske og organisatoriske foranstaltninger, der skal implementeres af Leverandøren, efter omstændighederne omfatte:

  1. pseudonymisering og kryptering af Kundens Personoplysninger;
  2. evnen til at sikre løbende fortrolighed, integritet, tilgængelighed og modstandsdygtighed af systemer og Tjenester, der behandler Kundens Personoplysninger;
  3. evnen til at genoprette tilgængeligheden af og adgangen til Kundens Personoplysninger rettidigt i tilfælde af en fysisk eller teknisk hændelse; og
  4. en proces til regelmæssig testning, vurdering og evaluering af effektiviteten af tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerheden.

Ud over de tekniske og organisatoriske foranstaltninger, der er nævnt ovenfor, skal Leverandøren gennemføre følgende foranstaltninger:

  1. fysisk adgangsbeskyttelse, hvorved computerudstyr og flytbare data, der indeholder Kundens Personoplysninger i Leverandørens lokaler, skal være aflåst, når de ikke er under opsyn for at beskytte mod uautoriseret brug, påvirkning og tyveri.
  2. en proces til test af tilbagelæsning, efter at Kundens Personoplysninger er blevet gendannet fra sikkerhedskopier.
  3. autorisationskontrol, hvorved Leverandørens adgang til Kundens Personoplysninger styres gennem et teknisk system fra autorisationskontrol. Autorisation skal begrænses til dem, der har et arbejdsbetinget behov med at tilgå Kundens Personoplysninger. Bruger-id’er og adgangskoder skal være personlige og må ikke overdrages til andre. Der skal være procedurer for tildeling og fjernelse af autorisationer.
  4. føre fortegnelser over, hvem der har adgang til Kundens Personoplysninger.
  5. sikre kommunikation, hvor eksterne datakommunikationsforbindelser skal beskyttes ved hjælp af tekniske funktioner, der sikrer, at forbindelsen er autoriseret, samt kryptering af data i transit i kommunikationskanaler uden for systemer, der kontrolleres af Leverandøren.
  6. en proces til sikring af sikker destruktion af data, når faste eller flytbare lagringsmedier ikke længere skal bruges til deres formål.
  7. rutiner for indgåelse af fortrolighedsaftaler med Leverandører, der leverer reparation og service af udstyr, der bruges til at lagre Kundens Personoplysninger.
  8. rutiner for overvågning af den service, der udføres af Leverandører i Leverandørens lokaler. Lagringsmedier, der indeholder Kundens Personoplysninger, skal fjernes, hvis tilsyn ikke er muligt.

Bilag C

Godkendte Underdatabehandlere – Kunder kan vælge at ændre nedenstående ansøgning i forbindelse med onboarding via en bekræftelsesmail til MOCH A/S
Underdatabehandler Sted
Microsoft Azure (Hoster Tjenesterne i Skyen) Holland Dublin
Amazon Web Services (indgået Kontrakt med “AWS Europe”, som transaktions-e-mail-udbyder) Dublin
MetaCompliance Limited (yder teknisk kundesupport og kundesupport – Supporttjenester) United Kingdom
Forøg dine færdigheder GmbH en MetaCompliance Group-enhed (levering af supporttjenester til kunder) Germany
MetaCompliance Ireland Ltd, en MetaCompliance Group enity (levering af supporttjenester til kunder) Ireland
MetaCompliance Ireland Ltd Sucursal Portugal – (levering af supporttjenester til kunder) Portugal


Archived Data Processing Agreement, available here.