Introducción

Las partes acuerdan que el presente Acuerdo de Protección de Datos ("APD") establece los derechos y obligaciones de cada una de las partes en relación con el tratamiento y la seguridad de los Datos Personales del Cliente en relación con el Software y los Servicios prestados por MetaCompliance Ltd.. El APD se incorpora por referencia a las Condiciones Comerciales (Condiciones Comerciales). Las partes también acuerdan que, a menos que exista un DPA separado firmado por las partes, este DPA rige el procesamiento y la seguridad de los Datos Personales del Cliente.

Las disposiciones de las Condiciones DPA sustituyen a cualquier disposición contradictoria de la Declaración de Privacidad de MetaCompliance que pueda aplicarse al tratamiento de los Datos Personales del Cliente. Para mayor claridad, en consonancia con las Cláusulas Contractuales Tipo 2021 que se definen a continuación, cuando las Cláusulas Contractuales Tipo 2021 son aplicables, las Cláusulas Contractuales Tipo 2021 prevalecen sobre cualquier otro término del Acuerdo de Procesamiento de Datos.

ACUERDO DE PROCESAMIENTO DE DATOS EN VIGOR A PARTIR DEL 1 DE JULIO DE 2024

  1. Fiestas

    1.1 El Cliente es como se define en las Condiciones Comerciales (el "Cliente") y

    1.2 MetaCompliance Limited incorporated and registered in Northern Ireland with company number NI049166 whose registered office is at Third Floor Old City Factory 100 Patrick Street, Londonderry BT48 7EL (the "Supplier").

  2. 2. Antecedentes
    2.1 El Cliente y el Proveedor han celebrado un Contrato que puede requerir que el Proveedor procese Datos Personales en nombre del Cliente.
    2.2 Este Acuerdo de Procesamiento de Datos ("DPA") establece los términos, requisitos y condiciones adicionales en los que el Proveedor procesará Datos Personales cuando preste Servicios en virtud del Contrato. Este APD contiene las cláusulas obligatorias requeridas por el Artículo 28(3) del Reglamento General de Protección de Datos ((UE) 2016/679 y la legislación GDPR del Reino Unido) para los contratos entre controladores y procesadores.
    2.3 Este APD está sujeto a los términos del Contrato y se incorpora al Contrato. Los términos utilizados en el presente APD tendrán el significado establecido en el mismo. Los términos en mayúsculas que no se definan de otro modo en el presente tendrán el significado que se les atribuye en las Condiciones Comerciales del Contrato.
    2.4 Los Anexos forman parte del presente APD y surtirán efecto como si estuvieran recogidos íntegramente en el presente APD. Toda referencia al presente APD incluye los Anexos.
    2.5 En caso de conflicto entre cualquier disposición de este APD y cualquier término(s) del Contrato, con respecto al objeto de este Acuerdo, prevalecerán las disposiciones de este APD.
  3. Definiciones Los siguientes términos del presente APD tendrán el significado que se indica a continuación:

"Leyes de protección de datos"

significa todas las leyes y reglamentos aplicables relacionados con el Tratamiento de Datos Personales en cualquier momento durante la vigencia de este APD, incluido (1) el Reglamento General de Protección de Datos (GDPR, UE 2016/679); (2) el Reglamento General de Protección de Datos del Reino Unido (GDPR del Reino Unido) adaptado por la Ley de Protección de Datos de 2018; (3) la Directiva de ePrivacy 2002/58/CE implementada por los estados miembros de la UE, y cualquier legislación sucesora y cualquier otra regulación, guía y código de prácticas relacionados con la protección de datos y la privacidad, en cada caso según se modifique, actualice o reemplace de vez en cuando.

"Datos personales del cliente"

se refiere a los Datos Personales tratados por MetaCompliance únicamente a efectos de la prestación de los Servicios y según las indicaciones del Cliente.

"Cláusulas contractuales estándar"

se refiere a las Cláusulas Contractuales Tipo de la Comisión Europea para la transferencia de Datos Personales de la Unión Europea a encargados del tratamiento establecidos en terceros países (transferencias de responsable a encargado del tratamiento), tal y como figuran en el anexo de la Decisión 2021/914/UE de la Comisión, de 4 de junio de 2021, y adoptadas en virtud de la Adenda del Reino Unido, de 21 de marzo de 2022.

"Subprocesador"

se refiere a un subcontratista de terceros contratado por el Proveedor que, como parte de la función del subcontratista de prestar los servicios, tratará los Datos Personales en nombre del Cliente.

"Responsable del tratamiento", "Interesado", "Encargado del tratamiento", "Proceso o tratamiento", "Datos personales", "Violación de datos personales"

tendrán el significado que se les da en el Reino Unido y en el GDPR de la UE.

4. Tratamiento de datos personales

4.1 Las partes reconocen y acuerdan que, a los efectos de las Leyes de Protección de Datos y con respecto al Tratamiento de los Datos Personales del Cliente, el Proveedor es el Procesador y el Cliente es el Controlador.

4.2 El Cliente garantiza y declara: (i) que la transferencia de los Datos Personales del Cliente al Proveedor cumple en todos los aspectos con las Leyes de Protección de Datos (incluyendo, sin limitación, en términos de su recopilación y uso); y (ii) que se ha proporcionado un procesamiento justo y todos los demás avisos apropiados a los Sujetos de Datos de los Datos Personales del Cliente (y se han obtenido y mantenido en todo momento todos los consentimientos necesarios de dichos Sujetos de Datos) en la medida en que lo exigen las Leyes de Protección de Datos en relación con todas las actividades de procesamiento que pueden ser llevadas a cabo por el Proveedor y sus Subprocesadores de conformidad con este Acuerdo;

4.3 El Proveedor se compromete a Procesar los Datos Personales del Cliente únicamente: (i) en la medida en que sea necesario para prestar los Servicios; (ii) de acuerdo con las instrucciones escritas del Cliente; y (iii) de acuerdo con los requisitos de las Leyes de Protección de Datos.

4.4 El Cliente, en su uso de los Servicios, tratará los Datos Personales de acuerdo con los requisitos de las Leyes de Protección de Datos. El Cliente se asegurará de que cualquier instrucción al Proveedor en relación con el Tratamiento de los Datos Personales del Cliente cumpla con las Leyes de Protección de Datos.

4.5 Las instrucciones del Cliente al Proveedor en relación con el objeto y la duración del Tratamiento, la naturaleza y la finalidad del Tratamiento, los tipos de Datos Personales y las categorías de Sujetos de Datos se describen en el Anexo A. Para evitar cualquier duda, las partes reconocen y acuerdan que, con sujeción a la cláusula 5, las instrucciones de Tratamiento establecidas en el presente APD y en el Anexo A constituyen el conjunto completo de instrucciones del Cliente al Proveedor en la medida en que sean aplicables.

4.6 El Proveedor notificará inmediatamente al Cliente si, en opinión razonable del Proveedor, cualquier instrucción dada por el Cliente puede infringir las leyes de protección de datos.

4.7 El Proveedor no procesará, transferirá, modificará, enmendará o alterará los Datos Personales del Cliente ni revelará o permitirá que se revelen los Datos Personales del Cliente a ningún tercero fuera de las instrucciones detalladas en esta DPA.

4.8 El personal del Proveedor que participe en el Tratamiento de los Datos Personales del Cliente será informado del carácter confidencial de los Datos Personales del Cliente y recibirá la formación adecuada sobre sus responsabilidades. Dicho personal estará sujeto a compromisos de confidencialidad adecuados.

4.9 Teniendo en cuenta la naturaleza del Procesamiento de datos personales en los Servicios prestados, el Proveedor, tal y como exige el artículo 32 del RGPD del Reino Unido y de la UE, mantendrá las medidas técnicas y organizativas adecuadas para garantizar la seguridad del Procesamiento, incluida la protección contra el Procesamiento no autorizado o ilegal, y contra la destrucción, pérdida o alteración o daño accidentales o ilegales, la divulgación no autorizada o el acceso a los Datos personales del Cliente. Las partes reconocen y aceptan que las medidas de seguridad especificadas en la presente DPA y, más concretamente, en el Anexo B, constituyen medidas de seguridad técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.

4.10 El Proveedor asistirá al Cliente mediante las medidas técnicas y organizativas adecuadas, en la medida en que sea posible y teniendo en cuenta la naturaleza del Tratamiento de los Datos Personales del Cliente, en el cumplimiento de las obligaciones del Cliente en virtud de las Leyes de Protección de Datos, incluso en relación con los derechos del Titular de los Datos, las evaluaciones de impacto sobre la protección de datos (relacionadas con el uso de los Servicios de MetaCompliance por parte del Cliente) y la información y consulta a las autoridades de supervisión (en relación con una evaluación de impacto sobre la protección de datos relacionada con los Servicios de MetaCompliance).

4.11 Si los Sujetos de Datos, las autoridades competentes o cualquier otro tercero solicitan información al Proveedor en relación con el Tratamiento de los Datos Personales del Cliente, el Proveedor remitirá dicha solicitud al Cliente, a menos que se le exija lo contrario para cumplir con las Leyes de Protección de Datos, en cuyo caso el Proveedor notificará previamente al Cliente dicho requisito legal, a menos que dicha ley prohíba esta divulgación por motivos importantes de interés público.

5. Subprocesadores

5.1 El Cliente reconoce y acepta que el Proveedor puede, en relación con la prestación de los Servicios, contratar a Subprocesadores que pueden ser filiales del Proveedor y/o terceros, como se describe más específicamente en el Anexo C.

5.2 El Cliente reconoce que el Proveedor tiene autorización general para contratar nuevos Subencargados del Tratamiento sin necesidad de obtener ninguna otra autorización específica por escrito del Cliente. Esto está sujeto a que el Procesador notifique al Cliente por escrito la identidad de cualquier nuevo Sub-Procesador, 30 días antes de procesar los Datos Personales del Cliente.

5.3 Si el Cliente desea oponerse al Subencargado del tratamiento pertinente, deberá notificarlo por escrito en un plazo de diez (10) días hábiles a partir de la recepción de la notificación del Proveedor. La ausencia de objeciones por parte del Cliente se considerará consentimiento para utilizar el Subencargado del tratamiento pertinente.

5.4 En caso de que el Cliente se oponga a un nuevo Subprocesador, el Proveedor hará esfuerzos razonables para poner a disposición del Cliente un cambio en los Servicios o recomendar un cambio comercialmente razonable en los Servicios para evitar el Tratamiento de los Datos Personales del Cliente por parte del nuevo Subprocesador correspondiente. Si no es posible ninguna alternativa, las partes tienen derecho a rescindir el Contrato entre ellas.

5.5 La notificación al Cliente por parte del Proveedor de un nuevo Subtransmitente incluirá la entrega de un Anexo C actualizado.

5.6 El Proveedor seguirá siendo responsable ante el Cliente del cumplimiento de las obligaciones de los Subprocesadores.

6. Transferencia de datos

6.1 De conformidad con el Artículo 28(3)(a) del GDPR del Reino Unido y de la UE, el Proveedor no transferirá, ni permitirá que ningún Subprocesador transfiera, ningún Dato Personal del Cliente fuera del EEE o del Reino Unido (según corresponda), salvo lo dispuesto en el presente Acuerdo. Para evitar cualquier duda, el Cliente consiente por la presente la transferencia y el tratamiento de los Datos Personales tal y como se especifica en el Anexo A, según corresponda.

6.2 El Proveedor reconoce que, de conformidad con el GDPR del Reino Unido y de la UE, debe existir una protección adecuada para los Datos Personales después de cualquier transferencia fuera del Reino Unido o del EEE (ya sea directamente o a través de la transferencia posterior de un Subprocesador) y celebrará un acuerdo adecuado con el Cliente y/o cualquier subprocesador para regir dicha transferencia. Esto incluirá las Cláusulas Contractuales Tipo aplicables, a menos que exista otro mecanismo de adecuación para la Transferencia.

7. Violación de datos personales

7.1 En caso de violación de los datos personales del cliente, el proveedor deberá:

7.1.1 Notificar al Cliente sin demoras indebidas (en un plazo máximo de 48 horas) para que el Cliente pueda cumplir con las obligaciones de notificación del GDPR del Reino Unido y de la UE y para proporcionar asistencia razonable al Cliente cuando se le solicite que comunique una Violación de Datos Personales a un Sujeto de Datos.

7.1.2 Realizará esfuerzos razonables para identificar la causa de la violación de los datos personales y tomará las medidas que el proveedor considere razonablemente viables para remediar la causa de la violación de los datos personales.

7.1.3 Sujeto a los términos de esta DPA, proporcionar asistencia y cooperación razonables según lo solicitado por el Cliente, en el avance de cualquier corrección o remediación de cualquier Violación de Datos Personales.

8. Registros de procesamiento

8.1 En la medida en que sea aplicable al Procesamiento del Proveedor para el Cliente, el Proveedor mantendrá todos los registros requeridos por el Artículo 30(2) del GDPR del Reino Unido y de la UE y los pondrá a disposición del Cliente cuando lo solicite.

9. Derechos de auditoría

9.1 El Proveedor deberá, y procurará que sus Subprocesadores, pongan a disposición del Cliente, previa solicitud, la información razonable necesaria para demostrar el cumplimiento de sus obligaciones en materia de protección de datos en virtud de la presente DPA y permitirá y contribuirá a las auditorías, incluida la inspección en sus instalaciones, por parte del Cliente o de un auditor encargado por el Cliente en relación con el Tratamiento de los Datos Personales del Cliente, siempre que dicho auditor no sea un competidor del Proveedor

10. Término

10.1 El presente APD estará en plena vigencia mientras:

10.1.1 El contrato sigue en vigor; o

10.1.2 El Proveedor conserva los Datos Personales del Cliente en su posesión o control.

10.2 Cualquier disposición de la presente DPA que, de forma expresa o implícita, deba entrar o continuar en vigor en el momento de la terminación del Contrato o después de ella, con el fin de proteger los Datos Personales del Cliente, seguirá siendo plenamente vigente.

11. Devolución y destrucción de datos

11.1 El Proveedor, a discreción del Cliente y si éste lo solicita por escrito, borrará o devolverá al Cliente todos los Datos Personales del Cliente una vez finalizada la prestación de los Servicios relacionados con el Tratamiento, y borrará las copias existentes, a menos que la legislación aplicable del EEE o de los Estados miembros exija la conservación de los Datos Personales del Cliente. Si no se recibe ninguna solicitud por escrito del Cliente, el Proveedor eliminará los Datos Personales del Cliente 90 días después de la finalización del Contrato.

11.2 A petición del Cliente, el Proveedor proporcionará una notificación por escrito de las medidas adoptadas en relación con los Datos Personales del Cliente.

12. Indemnización

12.1 El Proveedor se compromete a indemnizar al Cliente por todos los costes directos, reclamaciones, daños y perjuicios o gastos incurridos por el Cliente debido a cualquier incumplimiento por parte del Proveedor o de sus empleados, subprocesadores, subcontratistas o agentes de cualquiera de sus obligaciones en virtud de este APD o de las Leyes de Protección de Datos de conformidad con el artículo 82 del GDPR del Reino Unido y de la UE.

12.2 A pesar de cualquier cosa en contrario en este DPA o en el Contrato (incluyendo, sin limitación, las obligaciones de indemnización de cualquiera de las partes), ninguna de las partes será responsable de las multas del GDPR emitidas o impuestas en virtud del artículo 83 del GDPR contra la otra parte por una autoridad reguladora u organismo gubernamental en relación con la violación del GDPR por parte de dicha otra parte.

12.3 Sin perjuicio de las obligaciones legales descritas en la cláusula 12.1 y de las limitaciones detalladas en la cláusula 12.2, la responsabilidad de cada parte en virtud del presente APD estará sujeta a las exclusiones y limitaciones de responsabilidad establecidas en el Contrato. Cualquier referencia a cualquier "limitación de responsabilidad" de una parte en el Contrato se interpretará como la responsabilidad agregada de una parte y de todas sus Subsidiarias y Afiliadas en virtud del Contrato y del presente APD.

Anexo A

Fines y detalles del tratamiento de datos personales

Objeto del tratamientoDetallesSe aplica a:

Propósito

Especificar todos los fines para los que el Proveedor tratará los Datos Personales

Acceso al sistema Administración del sistema Entrega del contenido del sistema según los módulos suscritos. Véase más abajo:Todos los clientes
Políticas, evaluaciones de conocimientosClientes suscritos a los módulos Policy (PolicyLite, MetaEngage y MetaPolicy)
eLearning, otros mediosClientes suscritos a módulos de Elearning (MetaLearning Fusion)
Encuestas de privacidadClientes suscritos al módulo MetaPrivacy
Reseñas de incidentesClientes suscritos al módulo de MetaIncidentes
Campañas de phishing simuladasClientes suscritos a MetaPhish
Transferencia de SCORM al LMS del clienteClientes que se suscriben a la transferencia de SCORM

Tipos de datos personales

Especificar los Datos Personales que serán tratados por el Proveedor

Nombre, apellidos, dirección de correo electrónico, dirección IP, departamento, registro de formaciónTodos los clientes
Unidad de organización (OU) de Active DirectoryClientes que utilizan Azure AD o AD local
ID DEL LMSLos clientes suscritos a la transferencia de SCORM

Operaciones de tratamiento

Especifique todas las actividades de procesamiento que debe realizar el proveedor

Tratamiento y almacenamiento de los Datos Personales del Cliente con el fin de crear y mantener las cuentas de los Usuarios Autorizados en la plataforma MyCompliance. Distribución de diversos correos electrónicos de notificación iniciados por el sistema MyCompliance de MetaCompliance.Todos los clientes
Distribución de correos electrónicos simulados de phishing especificados iniciados por el Cliente a través de la plataforma MetaCompliance MyCompliance.Clientes suscritos al módulo MetaPhish
Almacenamiento de Datos Personales cuando son introducidos por el cliente a través del módulo MetaCompliance MetaPrivacy.Clientes suscritos al módulo MetaPrivacy
Comunicarse con el LMS del cliente y evaluar el recuento de licencias.Clientes que se suscriben a la transferencia de SCORM

Categorías de sujetos de datos

Especificar las categorías de sujetos de datos cuyos datos personales serán tratados por el proveedor

Empleados del cliente, contratistas, proveedores, socios y/o afiliados.Todos los Clientes de acuerdo con los datos del Titular de los datos facilitados al Proveedor. El Cliente puede limitarlo en función del uso que pretenda hacer de los Servicios

Ubicación de las operaciones de transformación

Especifique todos los lugares en los que el proveedor tratará los datos personales

Reino Unido (MetaCompliance Group TAMBIÉN por Microsoft Azure y Amazon Web Services para los nuevos clientes con sede en el Reino Unido después de la fecha de entrada en vigor).

Dinamarca (Grupo MetaCompliance).

Portugal (Grupo MetaCompliance)

Alemania (Grupo MetaCompliance)

Irlanda (MetaCompliance Group TAMBIÉN por Microsoft Azure y Amazon Web Services para nuevos clientes basados en el EEE y Suiza después de la fecha de entrada en vigor).

Holanda (Microsoft Azure para nuevos clientes de Suiza después de la fecha de entrada en vigor).

Canadá (Microsoft Azure y Amazon Web Services para nuevos clientes canadienses después de la fecha de entrada en vigor).

Todos los clientes, según proceda. Para más información, consulte el anexo C

Requisitos de retención

Cuando proceda, especificar el tiempo de conservación de los Datos Personales del Cliente almacenados por el Proveedor.

Cuando la suscripción de un cliente ha caducado o se ha dado por terminada, todos los datos personales del cliente asociados se conservan durante 90 días antes de que se eliminen realmente, con el fin de recuperarse de la cancelación accidental de la suscripción.Todos los clientes

Anexo B

Disposiciones de seguridad

El Proveedor, con el fin de ayudar al Cliente a cumplir sus obligaciones legales, incluyendo, pero sin limitarse a ello, las medidas de seguridad y las evaluaciones del riesgo para la privacidad, estará obligado a tomar las medidas técnicas y organizativas apropiadas para proteger los Datos Personales del Cliente que se traten. Dichas medidas deberán dar lugar, como mínimo, a un nivel de seguridad adecuado teniendo en cuenta:

(a) las posibilidades técnicas existentes;

(b) los costes de ejecución de las medidas;

(c) los riesgos particulares asociados al tratamiento de los datos personales del cliente; y

(d) la sensibilidad de los Datos Personales del Cliente que se tratan.

El Proveedor mantendrá una seguridad adecuada para los Datos Personales del Cliente. El Proveedor protegerá los Datos Personales del Cliente contra la destrucción, la modificación, la difusión ilegal o el acceso ilegal. Los Datos Personales del Cliente también estarán protegidos contra cualquier otra forma de tratamiento ilegal. Teniendo en cuenta el estado de la técnica y los costes de aplicación, y teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del Tratamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas, las medidas técnicas y organizativas que deberá aplicar el Proveedor incluirán, según proceda:

(a) la seudonimización y el cifrado de los Datos Personales del Cliente;

(b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resistencia continuas de los sistemas y servicios que tratan los datos personales del cliente;

(c) la capacidad de restablecer la disponibilidad y el acceso a los Datos Personales del Cliente de manera oportuna en caso de un incidente físico o técnico; y

(d) un proceso para comprobar, valorar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Además de las medidas técnicas y organizativas mencionadas anteriormente, el proveedor deberá aplicar las siguientes medidas:

(a) protección del acceso físico mediante el cual los equipos informáticos y los datos extraíbles que contengan Datos Personales del Cliente en las instalaciones del Proveedor deberán estar cerrados con llave cuando no estén bajo supervisión, con el fin de protegerlos contra el uso no autorizado, el impacto y el robo.

(b) un proceso de prueba de lectura después de que los Datos Personales del Cliente hayan sido restaurados a partir de copias de seguridad.

(c) control de autorización, por el que el acceso del Proveedor a los Datos Personales del Cliente se gestiona mediante un sistema técnico de control de autorización. La autorización estará restringida a aquellos que necesiten los Datos Personales del Cliente para su trabajo. Los identificadores de usuario y las contraseñas serán personales y no podrán transferirse a nadie más. Habrá procedimientos para asignar y eliminar autorizaciones.

(d) mantener un registro de quién tiene acceso a los Datos Personales del Cliente.

(e) una comunicación segura en la que las conexiones externas de comunicación de datos estarán protegidas mediante funciones técnicas que garanticen que la conexión está autorizada, así como el cifrado del contenido de los datos en tránsito en los canales de comunicación fuera de los sistemas controlados por el Proveedor.

(f) un proceso que garantice la destrucción segura de los datos cuando los soportes de almacenamiento fijos o extraíbles dejen de utilizarse para su finalidad.

(g) las rutinas para la celebración de acuerdos de confidencialidad con los proveedores que proporcionan la reparación y el servicio de los equipos utilizados para almacenar los Datos Personales del Cliente.

(h) las rutinas para supervisar el servicio realizado por los proveedores en los locales del Proveedor. Los soportes de almacenamiento que contengan los Datos Personales del Cliente deberán ser retirados si no es posible la supervisión.

Anexo C

Subprocesadores aprobados Todos los nuevos clientes a partirdel 5 de julio de 2023 pueden optar por modificar la aplicación predeterminada de los subprocesadores y las ubicaciones de los centros de datos en la incorporación a través de un correo electrónico de confirmación a MetaCompliance Ltd. Los valores por defecto que se aplican son:

Subprocesador Ubicación Se aplica a:
Microsoft Azure (contratado a través de Microsoft Operations Ireland Ltd, aloja los servicios en la nube) Holanda Dublín Reino Unido Alemania Canadá Ubicación aplicada de acuerdo con lo siguiente para nuevos Clientes:
1. Los Clientes del Reino Unido elegirán por defecto Centros de Datos solo del Reino Unido para Microsoft Azure.
2. Los Clientes de Alemania elegirán por defecto el Centro de Datos de Alemania.
3. Los clientes canadienses utilizarán por defecto los centros de datos canadienses para Microsoft Azure.
4. 4. Los clientes del EEE y Suiza utilizarán por defecto los centros de datos de Holanda y Dublín para Microsoft Azure.
Amazon Web Services (contratado con "AWS Europe", como proveedor de correo electrónico transaccional) Dublín Reino Unido Alemania Canadá Ubicación aplicada de acuerdo con lo indicado a continuación para nuevos Clientes a partir del 5 de julio de 2023:
1. 1. Los clientes del Reino Unido utilizarán por defecto los centros de datos de AWS Europa solo para el Reino Unido.
2. Los clientes canadienses elegirán por defecto los centros de datos canadienses para AWS Europa.
3. Los clientes del EEE y Suiza utilizarán por defecto los centros de datos de la UE para AWS Europa. .
MetaCompliance Limited una entidad del Grupo MetaCompliance (prestación de servicios de cuentas de clientes y servicios de asistencia a clientes) Irlanda Todos los clientes
MetaCompliance GmbH (prestación de servicios de cuentas de clientes y servicios de asistencia) Alemania Todos los clientes
MOCH A/S una entidad del Grupo MetaCompliance (prestación de servicios de cuentas de clientes y servicios de apoyo a los clientes) Dinamarca Todos los clientes
MetaCompliance Ireland Ltd Sucursal Portugal una entidad del Grupo MetaCompliance (prestación de servicios de cuentas de clientes y servicios de asistencia a clientes) Portugal Todos los clientes

Subprocesador

Ubicación

Se aplica a:

Microsoft Azure (aloja los servicios en la nube)

 

 

 

 

 

 

 

 

Amazon Web Services (contratado con "AWS Europe", como proveedor de correo electrónico transaccional)

Holanda

Dublín

Reino Unido (UK)

Canadá

 

Holanda

Dublín

Reino Unido

Canadá

Ubicación aplicada de acuerdo con lo siguiente para nuevos Clientes a partir del 5 de julio de 2023::

  1. Los clientes del Reino Unido elegirán por defecto centros de datos de Microsoft Azure exclusivos para el Reino Unido.
  2. Los clientes canadienses elegirán por defecto centros de datos canadienses para Microsoft Azure.

Los clientes del EEE y Suiza utilizarán por defecto los centros de datos de la UE para Microsoft Azure.

Ubicación aplicada de acuerdo con lo indicado a continuación para nuevos Clientes a partir del 5 de julio de 2023:

  1. Los clientes de Reino Unido utilizarán por defecto los centros de datos de Reino Unido para AWS Europa.
  2. Los clientes canadienses se dirigirán a los centros de datos canadienses de AWS Europa.
Los clientes del EEE y Suiza utilizarán por defecto los centros de datos de la UE para AWS Europa.
Subprocesador Ubicación Se aplica a.

Microsoft Azure (aloja los servicios en la nube)

Holanda
Dublín

Todos los clientes

AWS Europa (proveedor de correo electrónico transaccional)

Dublín

Todos los clientes con sede en el Reino Unido o en los países del EEE.

Twilio para Sendgrid Services (proveedor de correo electrónico transaccional)

EE.UU.

Todos los clientes con sede fuera del Reino Unido o de los países del EEE
Para los clientes que contrataron antes del5 de julio de 2023, consulte los detalles a continuación sobre el uso de subprocesadores:
  1. Clientes con una DPA independiente: ese documento (en su versión modificada) tiene prioridad y describe los subprocesadores utilizados.
  2. Los clientes que formaron parte del cambio de grupo el 15 de julio de 2023 para utilizar AWS Europa para las notificaciones de simulación de phishing utilizarán lo siguiente (a menos que se indique lo contrario por escrito):
Microsoft Azure - Centros de datos de Dublín y Ámsterdam (alojamiento en la nube) Amazon Web Services - Dublín (proveedor de correo electrónico transaccional sólo para notificaciones de simulación de phishing) Twilio para Sendgrid Services - EE.UU. (proveedor de correo electrónico transaccional para el resto de notificaciones de la plataforma).

Acuerdo de procesamiento de datos archivado, disponible aquí.

Introduktion

Parterne er enige om, at denne Databehandleraftale (“DPA”) angiver hver parts rettigheder og forpligtelser med hensyn til behandling og sikkerhed af Kundens Personoplysninger i forbindelse med Softwaren og Tjenesterne leveret af MOCH A/S. DPAen er inkorporeret ved henvisning i de Generelle Vilkår og Betingelser (Kommercielle Vilkår). Parterne er også enige om, at medmindre der findes en separat DPA underskrevet af parterne, regulerer denne DPA, behandlingen og sikkerheden af Kundens Personoplysninger. Bestemmelserne i DPAen erstatter eventuelle modstridende bestemmelser i MOCHs Erklæring om Beskyttelse af Personoplysninger, som ellers måtte gælde for behandling af Kunders Personoplysninger. For klarhedens skyld, i overensstemmelse med Standardkontraktbestemmelserne fra 2021, som defineret nedenfor, når Standardkontraktbestemmelserne fra 2021 finder anvendelse, har Standardkontraktbestemmelserne fra 2021 forrang for ethvert andet vilkår i DPAen.

DATABEHANDLERAFTALE GÆLDENDE FRA DEN 01. oktober 2023

1. Parter
1.1 Kunden som defineret i de Generelle Vilkår og Betingelser (“Kunden“) og
1.2 MOCH A/S indregistreret i Danmark med CVR-nummer 25397096, med hjemsted på Toldbodgade 51C, 1253 København (“Leverandør“).
2. Baggrund
2.1 Kunden og Leverandøren har indgået en Kontrakt, som kan kræve, at Leverandøren behandler Personoplysninger på vegne af Kunden.
2.2 Denne Databehandleraftale (“DPA“) fastsætter de yderligere vilkår, krav og betingelser, hvorefter Leverandøren behandler Personoplysninger, når han leverer Tjenester i henhold til Kontrakten. Denne DPA indeholder de obligatoriske klausuler, der kræves i artikel 28, stk. 3, i databeskyttelsesforordningen ((EU) 2016/679 og UK GDPR-lovgivningen) for kontrakter mellem dataansvarlige og databehandlere.
2.3 Denne DPA er underlagt vilkårene i Kontrakten og er inkorporeret i Kontrakten. De udtryk, der anvendes i denne DPA, har den betydning, der er angivet i denne DPA. Termer med stort begyndelsesbogstav, der ikke på anden måde er defineret heri, skal have den betydning, der er angivet i Kontraktens Vilkår og Betingelser.
2.4 Bilagene udgør en del af denne DPA og har virkning, som om de var anført fuldt ud i denne DPA. Enhver henvisning til denne DPA omfatter Bilag.
2.5 I tilfælde af en konflikt mellem en bestemmelse i denne DPA og et eller flere vilkår i Kontrakten med hensyn til genstanden for denne Aftale, har bestemmelserne i denne DPA forrang.
3. Definitioner
Følgende udtryk i denne DPA har følgende betydning:

“Databeskyttelseslovgivning” betyder alle gældende love og bestemmelser vedrørende Behandling af Personoplysninger til enhver tid i løbet af denne DPAs løbetid, herunder (1) Databeskyttelsesforordningen (GDPR, EU 2016/679) og implementeringen heraf i den danske databeskyttelseslov; (2) Det Forenede Kongeriges (United Kingdom) Databeskyttelsesforordning (UK GDPR) som tilpasset af Data Protection Act 2018; (3) ePrivacy-direktivet 2002/58/EF som gennemført af EUs medlemsstater og eventuel efterfølgende lovgivning og alle andre forordninger, retningslinjer og adfærdskodekser vedrørende databeskyttelse og privatlivets fred som ændret, ajourført eller erstattet fra tid til anden.
“Personlige Kundeoplysninger” betyder Personoplysninger, der behandles af MOCH udelukkende med henblik på levering af Tjenester og som anvist af Kunden.
“Standardkontraktbestemmelser” betyder Europa Kommissionens Standardkontraktbestemmelser for overførsel af Personoplysninger fra Den Europæiske Union til databehandlere, der er etableret i tredjelande (overførsler fra dataansvarlig til databehandler), som fastsat i Bilaget til Kommissionens Afgørelse 2021/914/EU pr. 4. juni 2021 og vedtaget i henhold til Det Forenede Kongeriges (United Kingdom) tillæg pr. 21. marts 2022.
“Underdatabehandler” betyder en underleverandør, der er benyttes af Leverandøren, og, som en del af underleverandørens rolle med at levere Tjenesterne, behandler Personoplysninger på vegne af Kunden.
“Dataansvarlig”, “Registreret”, “Databehandler”, “Behandling eller behandling”, “Personoplysninger”, “Brud på persondatasikkerheden” skal have de betydninger, der er givet til dem i Storbritannien og EU GDPR.

4. Behandling af Personoplysninger
4.1 Parterne anerkender og accepterer, at Leverandøren med det formål at overholde Databeskyttelseslovgivningen og med hensyn til behandling af Kundens Personoplysninger er Databehandleren, og Kunden er den Dataansvarlige.
4.2 Kunden garanterer og indestår for: (i) at overførslen af Kundens Persondata til Leverandøren i alle henseender overholder Databeskyttelseslovgivningen (herunder uden begrænsning med hensyn til indsamling og brug); og (ii) rimelig behandling af personoplysninger og alle andre relevante meddelelser er givet til de Registrerede (og alle nødvendige samtykker fra sådanne Registrerede er indhentet og til enhver tid gældende) i det omfang, det kræves af Databeskyttelseslovgivningen i forbindelse med alle behandlingsaktiviteter, der kan udføres af Leverandøren og dennes Underdatabehandlere i overensstemmelse med denne Aftale;
4.3 Leverandøren forpligter sig til kun at behandle Kundens Personoplysninger: (i) som nødvendigt for at levere Tjenesterne; (ii) i overensstemmelse med skriftlige instruktioner fra Kunden; og (iii) i overensstemmelse med kravene i Databeskyttelseslovgivningen.
4.4 Kunden skal i sin brug af Tjenesterne behandle Personoplysninger i overensstemmelse med kravene i Databeskyttelseslovgivningen. Kunden skal sikre, at alle instruktioner til Leverandøren i forbindelse med behandling af Kundens Personoplysninger overholder Databeskyttelseslovgivningen.
4.5 Kundens instruktioner til Leverandøren vedrørende genstanden for og varigheden af Behandlingen, Behandlingens art og formål, typerne af Personoplysninger og kategorierne af Registrerede er beskrevet i Bilag A. For at undgå tvivl anerkender og accepterer parterne, at instruksen, der er angivet i denne DPA og Bilag A, udgør det komplette sæt instruktioner fra Kunden til Leverandøren jf. punkt 5.
4.6 Leverandøren skal straks underrette Kunden, hvis en instruktion fra Kunden efter Leverandørens rimelige opfattelse sandsynligvis vil være i strid med Databeskyttelseslovgivningen.
4.7 Leverandøren må ikke behandle, overføre, modificere eller ændre Kundens Personoplysninger, videregive eller tillade videregivelse af Kundens Personoplysninger til nogen tredjepart uden for de instruktioner, der er beskrevet i denne DPA.
4.8 Leverandørens personale, der er involveret i behandlingen af Kundens Personoplysninger, skal informeres om den fortrolige karakter af Kundens Personoplysninger og vil modtage passende uddannelse i deres ansvar. Sådant personale skal være underlagt passende fortrolighedsforpligtelser. En liste over personer, der har fået adgang, skal regelmæssigt gennemgås. På baggrund af en gennemgang en sådan liste, kan en adgang til personoplysninger trækkes tilbage, hvis adgangen ikke længere er nødvendig, og personoplysninger vil herefter ikke længere være tilgængelige for disse personer.
4.9 Under hensyntagen til behandlingens karakter i de leverede Tjenester skal Leverandøren som krævet i UK og EU GDPR artikel 32 opretholde passende tekniske og organisatoriske foranstaltninger for at sikre behandlingssikkerheden, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod utilsigtet eller ulovlig ødelæggelse, tab eller ændring eller skade, uautoriseret videregivelse af eller adgang til Kundens Personoplysninger. Parterne anerkender og accepterer, at de sikkerhedsforanstaltninger, der er specificeret i denne DPA og mere specifikt i Bilag B, udgør passende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der er passende for risikoen.
4.10 Leverandøren skal bistå Kunden med passende tekniske og organisatoriske foranstaltninger, for så vidt dette er muligt og, under hensyntagen til behandlingens karakter, med at opfylde Kundens forpligtelser i henhold til Databeskyttelseslovgivningen, herunder i forhold til den registreredes rettigheder, konsekvensanalyser vedrørende databeskyttelse (relateret til Kundens brug af MOCH-Tjenester) og rapportering til og høring af tilsynsmyndigheder (i forbindelse med en konsekvensanalyse vedrørende databeskyttelse relateret til MOCH-Tjenesterne).
4.11 Hvis de Registrerede, kompetente myndigheder eller andre tredjeparter anmoder Leverandøren om oplysninger vedrørende Behandlingen af Kundens Personoplysninger, skal Leverandøren henvise en sådan anmodning til Kunden, medmindre andet kræves for at overholde Databeskyttelseslovgivningen, i hvilket tilfælde Leverandøren skal give Kunden forudgående meddelelse om et sådant lovkrav, medmindre den pågældende lov forbyder denne videregivelse af hensyn til vigtige offentlige interesser.

5. Underdatabehandlere
5.1 Kunden anerkender og accepterer, at Leverandøren i forbindelse med levering af Ydelser kan engagere Underdatabehandlere, som kan være datterselskaber af Leverandøren og/eller tredjeparter som nærmere beskrevet i Bilag C.
5.2 Kunden anerkender, at Leverandøren er givet en generel tilladelse til at antage nye Underdatabehandlere til at behandle Kundens Personoplysninger uden at indhente yderligere skriftlig specifik tilladelse fra Kunden. Dette er betinget af, at Leverandøren skriftligt underretter Kunden om enhver ny Underdatabehandlers identitet 30 dage forud for behandlingen af Kundens Personoplysninger.
5.3 Hvis Kunden ønsker at gøre indsigelse mod den relevante Underdatabehandler, skal Kunden give skriftlig meddelelse herom inden for ti (10) arbejdsdage fra modtagelsen af meddelelsen fra Leverandøren. Hvis Kunden ikke gør indsigelse, anses det som samtykke til at bruge den relevante Underdatabehandler.
5.4 Hvis Kunden gør indsigelse mod en ny Underdatabehandler, vil Leverandøren gøre en rimelig indsats for at stille en ændring i Tjenesterne til rådighed for Kunden eller anbefale en kommercielt rimelig ændring i Tjenesterne for at undgå behandling af Kundens Personoplysninger af den relevante nye Underdatabehandler. Hvis intet alternativ er muligt, har parterne ret til at opsige Kontrakten mellem dem.
5.5 Leverandørens meddelelse til Kunden om en ny Underdatabehandler skal indeholde et opdateret bilag C. Leverandøren skal holde Bilag C opdateret.
5.6 Leverandøren forbliver ansvarlig over for Kunden for opfyldelsen af Underdatabehandlernes forpligtelser.
5.7 Leverandøren skal i sin aftale med Underdatabehandleren indføje den Kunden som begunstiget tredjemand i tilfælde af Leverandørens konkurs, således at Kunden kan indtræde i Leverandørens rettigheder og gøre dem gældende over for Underdatabehandlere, som f.eks. gør Kunden i stand til at instruere Underdatabehandleren i at slette eller tilbagelevere personoplysningerne.

6. Overførsel til tredjelande eller internationale organisationer
6.1 I overensstemmelse med artikel 28(3)(a) i GDPR i Storbritannien og EU må Leverandøren ikke, og må ikke tillade nogen Underdatabehandler at, overføre Kundens Personoplysninger uden for EU/EØS eller Storbritannien (alt efter hvad der er relevant) andet end som angivet i denne Aftale. For at undgå tvivl giver Kunden hermed samtykke til overførsel og behandling af Personoplysningerne som specificeret i Bilag A, som det gælder.
6.2 Leverandøren anerkender, at der i overensstemmelse med GDPR i Storbritannien og EU skal være tilstrækkelig beskyttelse af Personoplysningerne efter enhver overførsel uden for Storbritannien eller EØS (enten direkte eller via en Underdatabehandlers videre overførsel), og at Leverandøren skal indgå en passende aftale med Kunden og/eller enhver Underdatabehandler for at regulere en sådan overførsel. Dette vil omfatte de gældende Standardkontraktbestemmelser, medmindre der findes en anden tilstrækkelig mekanisme for overførslen.

7. Brud på persondatasikkerheden
7.1 I tilfælde af brud på persondatasikkerheden, der involverer Kundens Personoplysninger, skal Leverandøren:
7.1.1 Underrette Kunden uden unødig forsinkelse (inden for maksimalt 48 timer) for at gøre det muligt for Kunden at overholde anmeldelsesforpligtelser i henhold til GDPR i Storbritannien og EU og for at yde rimelig assistance til Kunden, når det er nødvendigt at kommunikere et brud på persondatasikkerheden til en registreret person.
7.1.2 Gøre en rimelig indsats for at identificere årsagen til et sådant brud på persondatasikkerheden og tage de skridt, som Leverandøren anser for rimeligt gennemførlige for at afhjælpe årsagen til et sådant brud på persondatasikkerheden.
7.1.3 I henhold til betingelserne i denne DPA, yde rimelig assistance og samarbejde som anmodet af Kunden, for at fremme enhver korrektion eller afhjælpning af ethvert Brud på Persondatasikkerheden.

8. Fortegnelser over behandlingsaktiviteter
8.1 I det omfang det er relevant for Leverandørens behandling af personoplysninger for Kunden, skal Leverandøren opbevare alle fortegensler, der kræves i henhold til artikel 30, stk. 2, i Storbritannien og EU GDPR, og skal stille dem til rådighed for Kunden efter anmodning.

9. Revision, herunder inspektion 9.1 Leverandøren sørge for, at Leverandøren, og dennes Underdatabehandlere, efter anmodning stiller rimelige oplysninger til rådighed for Kunden, der er nødvendige for at påvise overholdelse af dennes databeskyttelsesforpligtelser i henhold til denne DPA, og skal tillade og bidrage til revisioner, herunder inspektion af fysiske lokationer, af Kunden eller en revisor, der er bemyndiget af Kunden i forbindelse med Behandling af Kundens Personoplysninger, forudsat at en sådan revisor ikke er en konkurrent til Leverandøren.

10. Ikrafttræden
10.1 Denne DPA er gældende så længe:
10.1.1 Kontrakten er gældende; eller
10.1.2 Leverandøren opbevarer enhver af Kundens Personoplysninger i sin besiddelse eller kontrol.
10.2 Enhver bestemmelse i denne DPA, der udtrykkeligt eller underforstået træder i kraft eller forbliver gældende ved eller efter opsigelse af Kontrakten for at beskytte Kundens Personoplysninger, forbliver gældende.

11. Sletning og returnering af oplysninger
11.1 Leverandøren skal, på Kundens foranledning og ved enhver sådan skriftlig anmodning fra Kunden, slette eller returnere alle Kundens Personoplysninger til Kunden efter afslutningen af leveringen af Tjenester relateret til Behandlingen og slette eksisterende kopier, medmindre gældende EØS- eller medlemsstatslovgivning kræver opbevaring af Kundens Personoplysninger. Hvis der ikke modtages en skriftlig anmodning fra Kunden, skal Leverandøren slette Kundens Personoplysninger 90 dage efter Kontraktens ophør.
11.2 På Kundens anmodning skal Leverandøren give en skriftlig meddelelse om de foranstaltninger, der er truffet vedrørende Kundens Personoplysninger.

12. Erstatning
12.1 Leverandøren accepterer at holde Kunden skadesløs for alle direkte omkostninger, krav, skader eller udgifter, som Kunden pådrager sig på grund af Leverandørens eller dennes medarbejderes, Underdatabehandleres, underleverandørers eller agenters manglende overholdelse af nogen af sine forpligtelser i henhold til denne DPA eller Databeskyttelseslovgivningen i overensstemmelse med artikel 82 i UK og EU GDPR.
12.2 Uanset det modsatte i denne DPA eller i Kontrakten (herunder, uden begrænsning, begge parters skadesløsholdelsesforpligtelser), vil ingen af parterne være ansvarlig for GDPR-bøder udstedt eller opkrævet i henhold til artikel 83 i GDPR mod den anden part af en regulerende myndighed eller et statsligt organ i forbindelse med en sådan anden parts overtrædelse af GDPR.
12.3 Med forbehold for de juridiske forpligtelser, der er beskrevet i punkt 12.1, og de begrænsninger, der er beskrevet i punkt 12.2, skal hver parts ansvar i henhold til denne DPA være underlagt de ansvarsfraskrivelser og -begrænsninger, der er beskrevet i Kontrakten. Enhver henvisning til en parts “ansvarsbegrænsning” i Kontrakten skal fortolkes som en parts og alle dennes datterselskabers og associerede selskabers samlede ansvar i henhold til aftalen og denne DPA.

Bilag A

Formål og detaljer vedrørende behandling af Personoplysninger
Genstand for behandling Detaljer Gælder for:
Formål Angiv alle formål, hvortil Personoplysningerne vil blive behandlet af Leverandøren Systemadgang Systemadministration Levering af systemindhold i henhold til moduler, der abonneres på. Se nedenfor: Alle Kunder
Politikker, Vidensvurderinger Kunder, der abonnerer på politikmoduler (PolicyLite, MetaEngage og MetaPolicy)
eLearning, andre medier Kunder, der abonnerer på Elearning-moduler (MetaLearning Fusion)
Privacy Surveys Kunder, der abonnerer på MetaPrivacy-modulet
Anmeldelser af hændelser Kunder, der abonnerer på MetaIncident-modulet
Simulerede phishing-kampagner Kunder, der abonnerer på Metaphish
SCORM overførsel til Customer LMS Kunder, der abonnerer på SCORM-overførsel
Typer af Personoplysninger Angiv de Personoplysninger, der vil blive behandlet af Leverandøren Fornavn, efternavn, e-mailadresse, IP-adresse, afdeling, undervisningsoversigt Alle Kunder
Active Directory Organisation Unit (OU) Kunder, der bruger Azure AD eller lokalt AD
LMS ID Kunder med abonnement på SCORM overfører
Kategorier af registrerede Angiv de kategorier af registrerede, hvis Personoplysninger vil blive behandlet af Leverandøren Medarbejdere hos kunder, entreprenører, leverandører, partnere og/eller associerede selskaber. Alle Kunder i overensstemmelse med de personoplysninger om de Registrerede, der leveres til Leverandøren. Kunden kan begrænse dette afhængigt af sin tilsigtede brug af Tjenesterne.
Behandlinger Angiv alle behandlingsaktiviteter, der skal udføres af Leverandøren Behandling og opbevaring af Kunders Personoplysninger for at oprette og vedligeholde autoriserede brugerkonti på platformen. Distribution af forskellige notifikationsmails initieret af MOCH-systemet. Alle Kunder
Distribution af simulerede phishing-e-mails specifikt initieret af Kunden via MOCH-platformen. Kunder, der abonnerer på MetaPhish-modulet
Opbevaring af Personoplysninger, hvor de indtastes af Kunden via MOCH-modulet. Kunder, der abonnerer på MetaPrivacy-modulet
At kommunikere med Customer LMS og evaluere licensantal Kunder, der abonnerer på SCORM-overførsel
Placering af behandlingsaktiviteter Angiv alle steder, hvor Personoplysningerne vil blive behandlet af Leverandøren Det Forenede Kongerige (United Kingdom) (MetaCompliance Group) Deutschland (MetaCompliance Group) Danmark (MetaCompliance-Group) Portugal (MetaCompliance Group) Irland (MetaCompliance Group, Microsoft Azure og Amazon Web Services) Holland (Microsoft Azure) Alle Kunder efter behov. Der henvises til bilag C for yderligere oplysninger.
Krav til opbevaring Hvor det er relevant, angiv opbevaringstiden for Kundens Personoplysninger, der er gemt af Leverandøren. Når et kundeabonnement er udløbet eller opsiges, opbevares alle tilknyttede personlige kundedata i 90 dage, før de endeligt slettes for at gendanne efter utilsigtet annullering af abonnementet. Alle Kunder

Bilag B

Sikkerhedsforanstaltninger

For at hjælpe Kunden med at overholde sine lovgivningsmæssige forpligtelser, herunder, men ikke begrænset til, sikkerhedsforanstaltninger og risikovurderinger vedrørende databeskyttelse, er Leverandøren forpligtet til at træffe passende tekniske og organisatoriske foranstaltninger for at beskytte Kundens Personoplysninger. Foranstaltningerne skal som minimum resultere i et sikkerhedsniveau, som er passende under hensyntagen til:

  1. eksisterende tekniske muligheder;
  2. omkostningerne ved gennemførelsen af foranstaltningerne;
  3. de særlige risici forbundet med behandlingen af Kunders Personoplysninger; og
  4. følsomheden af Kundens Personoplysninger, der behandles.

Leverandøren skal opretholde tilstrækkelig sikkerhed ved behandling af Kundens Personoplysninger. Leverandøren skal beskytte Kundens Personoplysninger mod ødelæggelse, ændring, ulovlig deling eller ulovlig adgang. Kundens Personoplysninger skal også beskyttes mod alle andre former for ulovlig behandling. Under hensyntagen til det aktuelle tekniske niveau og implementeringsomkostningerne og under hensyntagen til behandlingens art, omfang, kontekst og formål samt risikoen for varierende sandsynlighed og alvor for enkeltpersoners rettigheder og frihedsrettigheder, skal de tekniske og organisatoriske foranstaltninger, der skal implementeres af Leverandøren, efter omstændighederne omfatte:

  1. pseudonymisering og kryptering af Kundens Personoplysninger;
  2. evnen til at sikre løbende fortrolighed, integritet, tilgængelighed og modstandsdygtighed af systemer og Tjenester, der behandler Kundens Personoplysninger;
  3. evnen til at genoprette tilgængeligheden af og adgangen til Kundens Personoplysninger rettidigt i tilfælde af en fysisk eller teknisk hændelse; og
  4. en proces til regelmæssig testning, vurdering og evaluering af effektiviteten af tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerheden.

Ud over de tekniske og organisatoriske foranstaltninger, der er nævnt ovenfor, skal Leverandøren gennemføre følgende foranstaltninger:

  1. fysisk adgangsbeskyttelse, hvorved computerudstyr og flytbare data, der indeholder Kundens Personoplysninger i Leverandørens lokaler, skal være aflåst, når de ikke er under opsyn for at beskytte mod uautoriseret brug, påvirkning og tyveri.
  2. en proces til test af tilbagelæsning, efter at Kundens Personoplysninger er blevet gendannet fra sikkerhedskopier.
  3. autorisationskontrol, hvorved Leverandørens adgang til Kundens Personoplysninger styres gennem et teknisk system fra autorisationskontrol. Autorisation skal begrænses til dem, der har et arbejdsbetinget behov med at tilgå Kundens Personoplysninger. Bruger-id’er og adgangskoder skal være personlige og må ikke overdrages til andre. Der skal være procedurer for tildeling og fjernelse af autorisationer.
  4. føre fortegnelser over, hvem der har adgang til Kundens Personoplysninger.
  5. sikre kommunikation, hvor eksterne datakommunikationsforbindelser skal beskyttes ved hjælp af tekniske funktioner, der sikrer, at forbindelsen er autoriseret, samt kryptering af data i transit i kommunikationskanaler uden for systemer, der kontrolleres af Leverandøren.
  6. en proces til sikring af sikker destruktion af data, når faste eller flytbare lagringsmedier ikke længere skal bruges til deres formål.
  7. rutiner for indgåelse af fortrolighedsaftaler med Leverandører, der leverer reparation og service af udstyr, der bruges til at lagre Kundens Personoplysninger.
  8. rutiner for overvågning af den service, der udføres af Leverandører i Leverandørens lokaler. Lagringsmedier, der indeholder Kundens Personoplysninger, skal fjernes, hvis tilsyn ikke er muligt.

Bilag C

Godkendte Underdatabehandlere – Kunder kan vælge at ændre nedenstående ansøgning i forbindelse med onboarding via en bekræftelsesmail til MOCH A/S
Underdatabehandler Sted
Microsoft Azure (Hoster Tjenesterne i Skyen) Holland Dublin
Amazon Web Services (indgået Kontrakt med “AWS Europe”, som transaktions-e-mail-udbyder) Dublin
MetaCompliance Limited (yder teknisk kundesupport og kundesupport – Supporttjenester) United Kingdom
Forøg dine færdigheder GmbH en MetaCompliance Group-enhed (levering af supporttjenester til kunder) Germany
MetaCompliance Ireland Ltd, en MetaCompliance Group enity (levering af supporttjenester til kunder) Ireland
MetaCompliance Ireland Ltd Sucursal Portugal – (levering af supporttjenester til kunder) Portugal


Archived Data Processing Agreement, available here.