Johdanto

Osapuolet sopivat, että tässä tietosuojasopimuksessa ("DPA") määritetään osapuolten oikeudet ja velvollisuudet, jotka liittyvät asiakkaan henkilötietojen käsittelyyn ja turvallisuuteen MetaCompliance Ltd:n tarjoamien ohjelmistojen ja palveluiden yhteydessä. DPA on sisällytetty viittaamalla yleisiin sopimusehtoihin (kaupalliset ehdot). Osapuolet sopivat myös, että ellei osapuolten allekirjoittamaa erillistä tietosuojasopimusta ole olemassa, tämä tietosuojasopimus sääntelee Asiakkaan henkilötietojen käsittelyä ja turvallisuutta. 

DPA-ehtojen määräykset syrjäyttävät kaikki MetaCompliancen tietosuojalausekkeen ristiriitaiset määräykset, joita muutoin saatetaan soveltaa asiakkaan henkilötietojen käsittelyyn. Selkeyden vuoksi, jäljempänä määriteltyjen vuoden 2021 vakiosopimuslausekkeiden mukaisesti, kun vuoden 2021 vakiosopimuslausekkeita sovelletaan, vuoden 2021 vakiosopimuslausekkeet ovat etusijalla kaikkiin muihin tietojenkäsittelysopimuksen ehtoihin nähden.

TIETOJEN KÄSITTELYSOPIMUS, joka tulee voimaan 23. tammikuuta 2023 alkaen.

 1. Osapuolet

  1.1 Yleisissä ehdoissa määritelty Asiakas ("Asiakas") ja

  1.2 MetaCompliance Limited joka on perustettu ja rekisteröity Pohjois-Irlannissa ja jonka yritysnumero on NI049166 ja jonka rekisteröity toimipaikka on osoitteessa Third Floor Old City Factory 100 Patrick Street, Londonderry BT48 7EL (jäljempänä "toimittaja").

 2. Tausta

  Asiakas ja Toimittaja ovat tehneet sopimuksen, joka voi edellyttää, että Toimittaja käsittelee henkilötietoja Asiakkaan puolesta.

  Tässä tietojenkäsittelysopimuksessa ("DPA") määritellään lisäehdot, vaatimukset ja ehdot, joiden mukaisesti toimittaja käsittelee henkilötietoja tarjotessaan sopimuksen mukaisia palveluja. Tämä tietosuojasopimus sisältää yleisen tietosuoja-asetuksen ((EU) 2016/679 ja Yhdistyneen kuningaskunnan GDPR-lainsäädäntö) 28 artiklan 3 kohdassa vaaditut pakolliset lausekkeet rekisterinpitäjien ja henkilötietojen käsittelijöiden välisille sopimuksille.

  Tähän tietosuojasopimukseen sovelletaan sopimuksen ehtoja, ja se on sisällytetty sopimukseen. Tässä tietosuojasopimuksessa käytetyillä termeillä on tässä tietosuojasopimuksessa määritellyt merkitykset. Isolla alkukirjaimella kirjoitetuilla termeillä, joita ei ole tässä toisin määritelty, on sama merkitys kuin niille on annettu sopimuksen ehdoissa.

  Liitteet ovat osa tätä tietosuojasopimusta, ja ne ovat voimassa ikään kuin ne olisi esitetty kokonaisuudessaan tässä tietosuojasopimuksessa. Kaikki viittaukset tähän tietosuojasopimukseen sisältävät liitteet.

  Jos tämän tietosuojasopimuksen määräysten ja sopimuksen ehtojen välillä on ristiriita tämän sopimuksen kohteen osalta, tämän tietosuojasopimuksen määräykset ovat ensisijaisia.

 3. Määritelmät
  Tässä tietosuojasopimuksessa seuraavilla termeillä on seuraava merkitys:

"Tietosuojalainsäädäntö"

tarkoittaa kaikkia sovellettavia lakeja ja asetuksia, jotka liittyvät henkilötietojen käsittelyyn milloin tahansa tämän tietosuojasopimuksen voimassaoloaikana, mukaan lukien (1) yleinen tietosuoja-asetus (GDPR, EU 2016/679); (2) Yhdistyneen kuningaskunnan yleinen tietosuoja-asetus (UK GDPR), sellaisena kuin se on räätälöity vuoden 2018 tietosuojalailla (Data Protection Act 2018); (3) sähköisen viestinnän tietosuojadirektiivi 2002/58/EY, sellaisena kuin se on täytäntöönpantu EU:n jäsenvaltioissa, sekä kaikki sitä seuraavat lait ja asetukset ja muut tietosuojaan ja yksityisyyden suojaan liittyvät asetukset, oppaat ja käytännesäännöt, kussakin tapauksessa sellaisina kuin ne ovat aika ajoin muutettuina, päivitettyinä tai korvattuina.

"Asiakkaan henkilötiedot"

tarkoittaa henkilötietoja, joita MetaCompliance käsittelee yksinomaan palvelujen tarjoamista varten ja asiakkaan ohjeiden mukaisesti.

"Vakiosopimuslausekkeet"

tarkoittaa Euroopan komission vakiosopimuslausekkeita, jotka koskevat henkilötietojen siirtoa Euroopan unionista kolmansiin maihin sijoittautuneille henkilötietojen käsittelijöille (rekisterinpitäjän ja henkilötietojen käsittelijän väliset siirrot), sellaisina kuin ne on esitetty 4. kesäkuuta 2021 annetun komission päätöksen N:o 2021/914/EU liitteessä ja hyväksytty Yhdistyneen kuningaskunnan lisäyksen mukaisesti 21. maaliskuuta 2022.

"Aliprosessori"

tarkoittaa toimittajan palkkaamaa kolmannen osapuolen alihankkijaa, joka osana alihankkijan roolia palvelujen toimittamisessa käsittelee henkilötietoja asiakkaan puolesta.

"Rekisterinpitäjä", "Rekisteröity", "Käsittelijä", "Käsittely", "Henkilötiedot", "Henkilötietojen tietoturvaloukkaus".

on sama merkitys kuin Yhdistyneessä kuningaskunnassa ja EU:n tietosuoja-asetuksessa.

4. Henkilötietojen käsittely

4.1 Osapuolet tunnustavat ja sopivat, että tietosuojalainsäädännössä ja asiakkaan henkilötietojen käsittelyssä toimittaja on henkilötietojen käsittelijä ja asiakas rekisterinpitäjä.

4.2 Asiakas takaa ja vakuuttaa: (i) Asiakkaan henkilötietojen siirto Toimittajalle noudattaa kaikilta osin tietosuojalakeja (mukaan lukien rajoituksetta niiden kerääminen ja käyttö); ja (ii) Asiakkaan henkilötietojen rekisteröidyille on annettu oikeudenmukainen käsittely ja kaikki muut asianmukaiset ilmoitukset (ja kaikki tarvittavat suostumukset on hankittu tällaisilta rekisteröidyiltä ja ne on aina säilytetty) tietosuojalakien edellyttämässä laajuudessa kaikkien sellaisten käsittelytoimien yhteydessä, joita Toimittaja ja sen alihankkijat voivat suorittaa tämän sopimuksen mukaisesti;

4.3 Toimittaja sitoutuu käsittelemään Asiakkaan henkilötietoja vain: (i) Palveluiden tarjoamisen edellyttämällä tavalla; (ii) Asiakkaan kirjallisten ohjeiden mukaisesti; ja (iii) tietosuojalakien vaatimusten mukaisesti.

4.4 Asiakas käsittelee Palveluita käyttäessään henkilötietoja tietosuojalainsäädännön vaatimusten mukaisesti. Asiakkaan on varmistettava, että kaikki Toimittajalle annetut ohjeet, jotka liittyvät Asiakkaan henkilötietojen käsittelyyn, ovat tietosuojalakien mukaisia.

4.5 Asiakkaan Toimittajalle antamat ohjeet Käsittelyn kohteesta ja kestosta, Käsittelyn luonteesta ja tarkoituksesta, henkilötietojen tyypeistä ja rekisteröityjen ryhmistä on kuvattu liitteessä A. Epäselvyyksien välttämiseksi osapuolet tunnustavat ja sopivat, että tässä tietosuojasopimuksessa ja liitteessä A esitetyt käsittelyohjeet muodostavat täydellisen kokonaisuuden Asiakkaan Toimittajalle antamista ohjeista, sellaisina kuin niitä sovelletaan.

4.6 Toimittajan on välittömästi ilmoitettava Asiakkaalle, jos Toimittajan kohtuullisen käsityksen mukaan jokin Asiakkaan antama ohje todennäköisesti rikkoo tietosuojalakeja.

4.7 Toimittaja ei käsittele, siirrä, muokkaa, täydennä tai muuta Asiakkaan henkilötietoja eikä luovuta tai salli Asiakkaan henkilötietojen luovuttamista kolmannelle osapuolelle tässä tietosuojasopimuksessa määriteltyjen ohjeiden ulkopuolella, ellei Asiakas ole antanut tähän nimenomaista kirjallista lupaa.

4.8 Toimittajan henkilökunnalle, joka osallistuu Asiakkaan henkilötietojen käsittelyyn, ilmoitetaan Asiakkaan henkilötietojen luottamuksellisesta luonteesta, ja se saa asianmukaista koulutusta vastuistaan. Tällaiseen henkilöstöön sovelletaan asianmukaisia salassapitositoumuksia.

4.9 Ottaen huomioon henkilötietojen käsittelyn luonteen tarjottavissa palveluissa, Toimittajan on Yhdistyneen kuningaskunnan ja EU:n yleisen tietosuoja-asetuksen 32 artiklan mukaisesti ylläpidettävä asianmukaisia teknisiä ja organisatorisia toimenpiteitä varmistaakseen käsittelyn turvallisuuden, mukaan lukien suojaaminen luvattomalta tai laittomalta käsittelyltä, vahingossa tapahtuvalta tai laittomalta tuhoamiselta, katoamiselta, muuttamiselta tai vahingoittumiselta, Asiakkaan henkilötietojen luvattomalta luovuttamiselta tai niihin pääsyltä. Osapuolet tunnustavat ja sopivat, että tässä tietosuojasopimuksessa ja erityisesti liitteessä B määritellyt turvatoimenpiteet ovat asianmukaisia teknisiä ja organisatorisia turvatoimenpiteitä, joilla varmistetaan riskiin nähden asianmukainen turvallisuustaso.

4.10 Toimittaja avustaa Asiakasta asianmukaisin teknisin ja organisatorisin toimenpitein, sikäli kuin se on mahdollista ja ottaen huomioon Asiakkaan henkilötietojen käsittelyn luonteen, täyttämään Asiakkaan tietosuojalainsäädännön mukaiset velvoitteet, mukaan lukien rekisteröidyn oikeudet, tietosuojaa koskevat vaikutustenarvioinnit (jotka liittyvät Asiakkaan MetaCompliance-palveluiden käyttöön) sekä raportointi ja kuuleminen valvontaviranomaisille (MetaCompliance-palveluihin liittyvän tietosuojaa koskevan vaikutustenarvioinnin yhteydessä).

4.11 Jos rekisteröidyt, toimivaltaiset viranomaiset tai muut kolmannet osapuolet pyytävät toimittajalta tietoja Asiakkaan henkilötietojen käsittelystä, toimittaja toimittaa tällaisen pyynnön Asiakkaalle, ellei tietosuojalainsäädännön noudattaminen edellytä muuta, jolloin toimittaja ilmoittaa Asiakkaalle etukäteen tällaisesta lakisääteisestä vaatimuksesta, ellei kyseinen laki kiellä tällaista tietojen antamista tärkeän yleisen edun vuoksi.

5. Alihankkijat

5.1 Asiakas hyväksyy ja hyväksyy, että Toimittaja voi palvelujen tarjoamisen yhteydessä käyttää alihankkijoita, jotka voivat olla Toimittajan tytäryhtiöitä ja/tai kolmansia osapuolia liitteessä C tarkemmin kuvatulla tavalla.

5.2 Toimittaja ei saa palkata uutta alihankkijaa käsittelemään Asiakkaan henkilötietoja ilman, että alihankkijan kanssa on tehty kirjallinen sopimus, jossa alihankkijalle asetetaan vastaavat tietosuojavelvoitteet kuin tässä tietosuojasopimuksessa on asetettu Asiakkaan henkilötietojen suojaamisen osalta siinä määrin kuin se on sovellettavissa alihankkijan tarjoamien palvelujen luonteeseen.

5.3 Jos Toimittaja aikoo lisätä käyttämiensä alihankkijoiden määrää tai korvata jonkin alihankkijan, sen on ilmoitettava Asiakkaalle jäljempänä olevan lausekkeen 5.5 mukaisesti, ja Asiakkaalla on mahdollisuus vastustaa tällaista muutosta kohtuullisin perustein.

5.4 Jos Asiakas vastustaa uutta alihankkijan käyttöä, Toimittaja pyrkii kohtuullisin keinoin tarjoamaan Asiakkaalle muutosta Palveluihin tai suosittelee kaupallisesti kohtuullista muutosta Palveluihin, jotta vältettäisiin Asiakkaan Henkilötietojen käsittely kyseisen uuden alihankkijan toimesta. Jos mikään vaihtoehto ei ole mahdollinen, osapuolilla on oikeus irtisanoa keskinäinen sopimuksensa.

5.5 Toimittajan on ilmoitettava Asiakkaalle kirjallisesti alihankkijoiden käytössä tapahtuvista muutoksista vähintään 30 päivän varoitusajalla ja toimitettava Asiakkaalle päivitetty liite C. Toimittajan on pidettävä liite C ajan tasalla.

5.6 Toimittaja on edelleen vastuussa Asiakkaalle alihankkijoiden velvoitteiden täyttämisestä.

6. Tiedonsiirrot

6.1 Yhdistyneen kuningaskunnan ja EU:n yleisen tietosuoja-asetuksen 28(3)(a) artiklan mukaisesti toimittaja ei siirrä eikä anna alihankkijan siirtää Asiakkaan henkilötietoja ETA:n tai Yhdistyneen kuningaskunnan (soveltuvin osin) ulkopuolelle ilman Asiakkaan ennakkosuostumusta. Epäselvyyksien välttämiseksi Asiakas antaa täten suostumuksensa liitteessä A määriteltyjen henkilötietojen siirtoon ja käsittelyyn, sellaisena kuin se on voimassa.

6.2 Toimittaja tunnustaa, että Yhdistyneen kuningaskunnan ja EU:n yleisen tietosuoja-asetuksen mukaisesti henkilötietoja on suojattava riittävästi sen jälkeen, kun ne on siirretty Yhdistyneen kuningaskunnan tai ETA:n ulkopuolelle (joko suoraan tai edelleen siirron kautta), ja sen on tehtävä Asiakkaan ja/tai mahdollisen alihankkijan kanssa asianmukainen sopimus, jolla säännellään tällaista siirtoa. Tämä sisältää sovellettavat vakiosopimuslausekkeet, ellei siirtoa varten ole olemassa muuta suojakeinoa.

7. Henkilötietojen tietoturvaloukkaus

Jos Asiakkaan henkilötietoihin liittyy henkilötietojen tietoturvaloukkaus, Toimittajan on:

7.1.1 Ilmoittaa Asiakkaalle ilman aiheetonta viivytystä, jotta Asiakas voi noudattaa Yhdistyneen kuningaskunnan ja EU:n GDPR:n raportointivelvoitteita ja antaa Asiakkaalle kohtuullista apua, kun sen on ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisteröidylle.

7.1.2 pyrkii kohtuullisin toimin tunnistamaan tällaisen henkilötietojen tietoturvaloukkauksen syyn ja ryhtyy sellaisiin toimiin, joita Toimittaja pitää kohtuullisesti toteutettavissa olevina, jotta henkilötietojen tietoturvaloukkauksen syy voidaan korjata.

7.1.3 Tämän tietosuojasopimuksen ehtojen mukaisesti antaa kohtuullista apua ja yhteistyötä Asiakkaan pyynnöstä henkilötietojen tietoturvaloukkauksen korjaamiseksi tai korjaamiseksi.

8. Jalostusta koskevat tiedot

8.1 Toimittajan on säilytettävä kaikki Yhdistyneen kuningaskunnan ja EU:n yleisen tietosuoja-asetuksen 30 artiklan 2 kohdassa vaaditut tiedot siltä osin kuin ne koskevat toimittajan suorittamaa käsittelyä asiakkaan lukuun, ja toimittajan on annettava ne asiakkaan käyttöön pyynnöstä.

9. Tilintarkastusoikeudet

9.1 Toimittaja antaa ja huolehtii siitä, että sen alihankkijat antavat pyynnöstä Asiakkaan käyttöön kohtuulliset tiedot, jotka ovat tarpeen sen osoittamiseksi, että se noudattaa tämän tietosuojasopimuksen mukaisia tietosuojavelvoitteitaan, ja sallii Asiakkaan tai Asiakkaan valtuuttaman tarkastajan suorittamat tarkastukset, mukaan lukien tarkastukset sen toimitiloissa, jotka liittyvät Asiakkaan henkilötietojen käsittelyyn, ja osallistuu niihin, edellyttäen, että tällainen tarkastaja ei ole Toimittajan kilpailija.

10. Termi

10.1 Tämä tietosuojasopimus on voimassa niin kauan kuin:

10.1.1 Sopimus pysyy voimassa; tai

10.1.2 Toimittaja säilyttää hallussaan tai valvonnassaan olevat Asiakkaan henkilötiedot.

10.2 Kaikki tämän tietosuojasopimuksen määräykset, joiden nimenomaisesti tai epäsuorasti pitäisi tulla voimaan tai pysyä voimassa sopimuksen päättyessä tai sen jälkeen Asiakkaan henkilötietojen suojaamiseksi, pysyvät täysin voimassa.

11. Tietojen palauttaminen ja tuhoaminen

11.1 Toimittaja poistaa tai palauttaa Asiakkaalle kaikki Asiakkaan henkilötiedot Asiakkaan harkinnan mukaan ja Asiakkaan kirjallisesti esittämän pyynnön perusteella sen jälkeen, kun Käsittelyyn liittyvien palvelujen tarjoaminen on päättynyt, ja poistaa olemassa olevat kopiot, ellei sovellettava ETA:n tai jäsenvaltion lainsäädäntö edellytä Asiakkaan henkilötietojen säilyttämistä. Jos Asiakkaalta ei saada kirjallista pyyntöä, Toimittajan on poistettava Asiakkaan henkilötiedot 90 päivän kuluttua Sopimuksen päättymisestä.

11.2 Toimittaja antaa Asiakkaan pyynnöstä kirjallisen ilmoituksen Asiakkaan henkilötietoja koskevista toimenpiteistä.

12. Vahingonkorvaus

12.1 Toimittaja sitoutuu korvaamaan Asiakkaalle kaikki välittömät kustannukset, vaatimukset, vahingot tai kulut, joita Asiakkaalle aiheutuu siitä, että Toimittaja tai sen työntekijät, alihankkijat, alihankkijat tai edustajat eivät ole noudattaneet tämän tietosuojasopimuksen tai Yhdistyneen kuningaskunnan ja EU:n yleisen tietosuoja-asetuksen 82 artiklan mukaisten tietosuojalakien mukaisia velvoitteitaan.

12.2 Riippumatta siitä, mitä tässä tietosuojasopimuksessa tai sopimuksessa sanotaan päinvastoin (mukaan lukien rajoituksetta kummankaan osapuolen korvausvelvoitteet), kumpikaan osapuoli ei ole vastuussa tietosuoja-asetuksen 83 artiklan nojalla toiselle osapuolelle sääntelyviranomaisen tai valtion elimen antamista tai perimistä sakoista, jotka liittyvät tietosuoja-asetuksen rikkomiseen toisen osapuolen toimesta.

12.3 Jollei lausekkeessa 12.1 esitetyistä lakisääteisistä velvoitteista ja lausekkeessa 12.2 esitetyistä rajoituksista muuta johdu, kummankin osapuolen vastuuseen tämän tietosuojasopimuksen nojalla sovelletaan sopimuksessa esitettyjä vastuun poissulkemisia ja rajoituksia. Sopimuksessa olevat viittaukset osapuolen vastuun rajoittamiseen on tulkittava siten, että ne tarkoittavat osapuolen ja kaikkien sen tytäryhtiöiden ja sidossuhteiden yhteenlaskettua vastuuta sopimuksen ja tämän DPA-sopimuksen mukaisesti.

Liite A

Henkilötietojen käsittelyn tarkoitukset ja yksityiskohdat

Käsittelyn kohdeYksityiskohdatKoskee:

Käyttötarkoitus

Määritä kaikki tarkoitukset, joihin toimittaja käsittelee henkilötietoja.

Järjestelmän käyttöoikeus Järjestelmän hallinta Järjestelmän sisällön toimittaminen tilattujen moduulien mukaisesti. Katso jäljempänä:Kaikki asiakkaat
Politiikat, osaamisen arviointiAsiakkaat, jotka tilaavat Policy-moduuleja (PolicyLite, MetaEngage ja MetaPolicy).
eLearning, muu mediaElearning-moduuleja tilaavat asiakkaat (MetaLearning Fusion).
Yksityisyyden suojaa koskevat kyselytMetaPrivacy-moduulin tilaavat asiakkaat
Tapahtumien arvostelutMetaIncident-moduulin tilaavat asiakkaat
Simuloidut phishing-kampanjatMetaPhishin tilaavat asiakkaat
SCORM-siirto asiakkaan LMS:äänSCORM-siirtoa tilaavat asiakkaat

Henkilötietojen tyypit

Määrittele henkilötiedot, joita toimittaja käsittelee.

Etunimi, Sukunimi, Sähköpostiosoite, Osasto, KoulutustiedotKaikki asiakkaat
Active Directoryn organisaatioyksikkö (OU)Asiakkaat, jotka käyttävät Azure AD:tä tai tiloissa olevaa AD:tä
LMS-TUNNUSAsiakkaat, joilla on SCORM-tilaukset, siirtävät

Rekisteröityjen ryhmät

Määrittele niiden rekisteröityjen ryhmät, joiden henkilötietoja toimittaja käsittelee.

Asiakkaan työntekijät, alihankkijat, toimittajat, kumppanit ja/tai yhteistyökumppanit.Kaikki asiakkaat toimittajalle toimitettujen rekisteröidyn tietojen mukaisesti. Asiakas voi rajoittaa tätä sen mukaan, miten hän aikoo käyttää palveluja.

Jalostustoiminnot

Määrittele kaikki toimittajan suorittamat käsittelytoimet.

Asiakkaan henkilötietojen käsittely ja tallentaminen valtuutettujen käyttäjien tilien perustamiseksi ja ylläpitämiseksi MyCompliance-alustalla. MetaCompliance MyCompliance -järjestelmän käynnistämien erilaisten ilmoitussähköpostien jakelu.Kaikki asiakkaat
Asiakkaan MetaCompliance MyCompliance -alustan kautta käynnistämä simuloitujen phishing-sähköpostien jakelu.MetaPhish-moduulin tilaavat asiakkaat
Henkilötietojen tallentaminen, jos asiakas syöttää ne MetaCompliance MetaPrivacy -moduulin kautta.MetaPhish-moduulin tilaavat asiakkaat
yhteydenpito asiakkaan LMS-järjestelmän kanssa ja lisenssien määrän arviointi.SCORM-siirtoa tilaavat asiakkaat

Jalostustoimien sijainti

Määritä kaikki sijainnit, joissa toimittaja käsittelee henkilötietoja.

Yhdistynyt kuningaskunta (MetaCompliance Group ALSO by Microsoft Azure ja Amazon Web Services uusille Yhdistyneeseen kuningaskuntaan sijoittautuneille asiakkaille voimaantulopäivän jälkeen).

Tanska (MetaCompliance Group).

Irlanti (MetaCompliance Group ALSO by Microsoft Azure ja Amazon Web Services uusille ETA-alueella ja Sveitsissä sijaitseville asiakkaille voimaantulopäivän jälkeen).

Alankomaat (Microsoft Azure uusille Sveitsin asiakkaille voimaantulopäivän jälkeen).

Kanada (Microsoft Azure ja Amazon Web Services uusille kanadalaisille asiakkaille voimaantulopäivän jälkeen).

U.S.A. (Twilio for Sendgrid Services - transaktiosähköpostin palveluntarjoajan vaihtoehto asiakkaan sijainnin mukaan - katso liite C).

Kaikki asiakkaat soveltuvin osin. Lisätietoja on liitteessä C.

Säilytysvaatimukset

Määritä tarvittaessa toimittajan tallentamien asiakkaan henkilötietojen säilytysaika.

Kun asiakkaan tilaus on päättynyt tai irtisanottu, kaikkia siihen liittyviä asiakkaan henkilötietoja säilytetään 90 päivän ajan ennen kuin ne tosiasiallisesti poistetaan, jotta tilauksen tahattomasta peruuttamisesta voidaan toipua.Kaikki asiakkaat

Liite B

Turvajärjestelyt

Toimittajan on auttaakseen Asiakasta täyttämään lakisääteiset velvoitteensa, mukaan lukien, mutta ei rajoittuen, turvatoimenpiteet ja yksityisyyden suojaa koskevat riskinarvioinnit, ryhdyttävä asianmukaisiin teknisiin ja organisatorisiin toimenpiteisiin käsiteltyjen Asiakkaan henkilötietojen suojaamiseksi. Toimenpiteillä on saavutettava vähintään sellainen turvallisuustaso, joka on asianmukainen ottaen huomioon seuraavat seikat:

(a) nykyiset tekniset mahdollisuudet;

(b) toimenpiteiden toteuttamisesta aiheutuvat kustannukset;

(c) asiakkaan henkilötietojen käsittelyyn liittyvät erityiset riskit; ja

(d) käsiteltävien asiakkaan henkilötietojen arkaluonteisuus.

Toimittajan on ylläpidettävä asiakkaan henkilötietojen riittävää suojausta. Toimittajan on suojattava Asiakkaan henkilötiedot tuhoamiselta, muuttamiselta, laittomalta levittämiseltä tai laittomalta käytöltä. Asiakkaan henkilötiedot on suojattava myös kaikelta muulta laittomalta käsittelyltä. Toimittajan toteuttamiin teknisiin ja organisatorisiin toimenpiteisiin on, ottaen huomioon tekniikan taso ja toteutuskustannukset sekä käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä yksilöiden oikeuksiin ja vapauksiin kohdistuva riski, jonka todennäköisyys ja vakavuus vaihtelevat, sisällyttävä tarpeen mukaan:

(a) asiakkaan henkilötietojen pseudonymisointi ja salaus;

(b) kyky varmistaa asiakkaiden henkilötietoja käsittelevien järjestelmien ja palvelujen jatkuva luottamuksellisuus, eheys, saatavuus ja kestävyys;

(c) kyky palauttaa Asiakkaan henkilötietojen saatavuus ja käyttöoikeus hyvissä ajoin fyysisen tai teknisen häiriön sattuessa; ja

(d) prosessi, jolla testataan, arvioidaan ja arvioidaan säännöllisesti niiden teknisten ja organisatoristen toimenpiteiden tehokkuutta, joilla varmistetaan käsittelyn turvallisuus.

Edellä mainittujen teknisten ja organisatoristen toimenpiteiden lisäksi toimittaja toteuttaa seuraavat toimenpiteet:

(a) fyysinen pääsynsuojaus, jossa toimittajan tiloissa olevat asiakkaan henkilötietoja sisältävät tietokonelaitteet ja siirrettävät tiedot lukitaan, kun niitä ei valvota, jotta ne voidaan suojata luvattomalta käytöltä, vaikutuksilta ja varkauksilta.

(b) prosessi, jolla testataan takaisinlukemista sen jälkeen, kun asiakkaan henkilötiedot on palautettu varmuuskopioista.

(c) lupavalvonta, jossa toimittajan pääsyä asiakkaan henkilötietoihin hallitaan lupavalvonnan teknisen järjestelmän avulla. Valtuutus rajoitetaan niihin, jotka tarvitsevat Asiakkaan henkilötietoja työssään. Käyttäjätunnusten ja salasanojen on oltava henkilökohtaisia, eikä niitä saa siirtää kenellekään muulle. Valtuuksien myöntämistä ja poistamista varten on oltava menettelyt.

(d) pitää kirjaa siitä, kenellä on pääsy asiakkaan henkilötietoihin.

(e) suojattu viestintä, jossa ulkoiset tietoliikenneyhteydet suojataan teknisillä toiminnoilla, joilla varmistetaan, että yhteys on sallittu, sekä sisällön salauksella toimittajan valvomien järjestelmien ulkopuolella olevissa viestintäkanavissa kulkevien tietojen osalta.

(f) prosessi, jolla varmistetaan tietojen turvallinen tuhoaminen, kun kiinteitä tai siirrettäviä tallennusvälineitä ei enää käytetä niiden käyttötarkoitukseen.

(g) rutiinit luottamuksellisuussopimusten tekemiseksi toimittajien kanssa, jotka tarjoavat korjaus- ja huoltopalveluja asiakkaan henkilötietojen tallentamiseen käytettäville laitteille.

(h) rutiinit toimittajien toimittajan tiloissa suorittaman palvelun valvomiseksi. Asiakkaan henkilötietoja sisältävät tallennusvälineet on poistettava, jos valvonta ei ole mahdollista.

Liite C

Hyväksytyt alihankkijat - Hyväksytyt alihankkijat - Asiakkaat voivat halutessaan muuttaa alla olevaa hakemusta käyttöönoton yhteydessä lähettämällä MetaCompliance Ltd:lle vahvistussähköpostin.

Aliprosessori

Sijainti

Koskee:

Microsoft Azure (isännöi palveluja pilvipalvelussa)

 

 

 

 

 

 

 

 

Amazon Web Services (sopimus "AWS Europe" kanssa, transaktiosähköpostin tarjoajana).

Twilio for Sendgrid Services (transaktiosähköpostin tarjoaja)

Holland

Dublin

Yhdistynyt kuningaskunta (UK)

Kanada

 

 

 

 

Holland

Dublin

Yhdistynyt kuningaskunta

Kanada

U.S.A.

Kaikki asiakkaat voimaantulopäivänä:

 1. Yhdistyneen kuningaskunnan asiakkaat käyttävät oletusarvoisesti vain Yhdistyneen kuningaskunnan datakeskuksia.
 2. Kanadalaiset asiakkaat käyttävät oletusarvoisesti vain kanadalaisia tietokeskuksia.

     3. ETA:ssa ja Sveitsissä asuvat asiakkaat käyttävät oletusarvoisesti EU:ssa sijaitsevia tietokeskuksia.

Kaikki asiakkaat voimaantulopäivänä:

1. Yhdistyneen kuningaskunnan asiakkaat valitsevat oletusarvoisesti vain Yhdistyneen kuningaskunnan datakeskukset.

2. Kanadalaiset asiakkaat käyttävät oletusarvoisesti vain kanadalaisia tietokeskuksia.

3. ETA:ssa ja Sveitsissä asuvat asiakkaat käyttävät oletusarvoisesti EU:ssa sijaitsevia tietokeskuksia.

 

Kaikki Ison-Britannian, Sveitsin tai ETA-maiden ulkopuolella sijaitsevat asiakkaat käyttävät oletusarvoisesti Twilioa.

Aliprosessori Sijainti Koskee.

Microsoft Azure (isännöi palveluja pilvipalvelussa)

Holland
Dublin

Kaikki asiakkaat

AWS Europe (transaktiosähköpostin tarjoaja)

Dublin

Kaikki asiakkaat, joiden kotipaikka on Iso-Britanniassa tai ETA-maissa.

Twilio for Sendgrid Services (transaktiosähköpostin tarjoaja)

YHDYSVALLAT

Kaikki Ison-Britannian tai ETA-maiden ulkopuolelle sijoittautuneet asiakkaat.

Asiakas käyttää vain yhtä transaktiosähköpostin tarjoajaa. joka määräytyy sopimuksen tekohetkellä ilmoitetun osoitteen mukaan, ellei hän esitä kirjallista pyyntöä vaihtaa palveluntarjoajaa.

Kaikki asiakkaat, jotka tekivät sopimuksen MetaCompliancen kanssa ennen 1. päivääst toukokuuta 2022, joilla ei ole allekirjoitettua DPA-sopimusta, käyttävät Twilion transaktiosähköpostipalveluja Sendgrid-palveluihin. Ota yhteyttä Customer Success Manageriin, jos haluat käyttää AWS Europen palveluja.

Arkistoitu tietojenkäsittelysopimus, saatavilla täällä.