Johdanto
Osapuolet sopivat, että tässä tietosuojasopimuksessa ("DPA") määritetään osapuolten oikeudet ja velvollisuudet, jotka liittyvät asiakkaan henkilötietojen käsittelyyn ja turvallisuuteen MetaCompliance Ltd:n tarjoamien ohjelmistojen ja palveluiden yhteydessä. DPA on sisällytetty viittaamalla Kaupallisiin ehtoihin (Kaupalliset ehdot). Osapuolet sopivat myös, että ellei osapuolten allekirjoittamaa erillistä tietosuojasopimusta ole olemassa, tämä tietosuojasopimus sääntelee Asiakkaan henkilötietojen käsittelyä ja turvallisuutta.
DPA-ehtojen määräykset syrjäyttävät kaikki MetaCompliancen tietosuojalausekkeen ristiriitaiset määräykset, joita muutoin saatetaan soveltaa asiakkaan henkilötietojen käsittelyyn. Selkeyden vuoksi, jäljempänä määriteltyjen vuoden 2021 vakiosopimuslausekkeiden mukaisesti, kun vuoden 2021 vakiosopimuslausekkeita sovelletaan, vuoden 2021 vakiosopimuslausekkeet ovat etusijalla kaikkiin muihin tietojenkäsittelysopimuksen ehtoihin nähden.
TIETOJEN KÄSITTELYSOPIMUS VOIMASSA 6. heinäkuuta 2023 alkaen.
- Osapuolet
1.1 Asiakas on määritelty kaupallisissa ehdoissa ("Asiakas") ja
1.2 MetaCompliance Limited joka on perustettu ja rekisteröity Pohjois-Irlannissa ja jonka yritysnumero on NI049166 ja jonka rekisteröity toimipaikka on osoitteessa Third Floor Old City Factory 100 Patrick Street, Londonderry BT48 7EL (jäljempänä "toimittaja").
- Tausta
2.1 Asiakas ja Toimittaja ovat solmineet sopimuksen, joka saattaa edellyttää, että Toimittaja käsittelee henkilötietoja Asiakkaan puolesta.
2.2 Tässä tietojenkäsittelysopimuksessa ("DPA") määritellään lisäehdot, vaatimukset ja ehdot, joiden mukaisesti toimittaja käsittelee henkilötietoja tarjotessaan sopimuksen mukaisia palveluja. Tämä tietosuojasopimus sisältää yleisen tietosuoja-asetuksen ((EU) 2016/679 ja Yhdistyneen kuningaskunnan GDPR-lainsäädäntö) 28 artiklan 3 kohdassa vaaditut pakolliset lausekkeet rekisterinpitäjien ja henkilötietojen käsittelijöiden välisille sopimuksille.
2.3 Tähän tietosuojasopimukseen sovelletaan sopimuksen ehtoja, ja se on sisällytetty sopimukseen. Tässä tietosuojasopimuksessa käytetyillä termeillä on tässä tietosuojasopimuksessa määritellyt merkitykset. Isolla alkukirjaimella kirjoitetuilla termeillä, joita ei ole tässä toisin määritelty, on sama merkitys kuin niille on annettu sopimuksen kaupallisissa ehdoissa.
2.4 Liitteet ovat osa tätä tietosuojasopimusta, ja niillä on sama vaikutus kuin jos ne olisi esitetty kokonaisuudessaan tässä tietosuojasopimuksessa. Kaikki viittaukset tähän tietosuojasopimukseen sisältävät liitteet.
2.5 Jos tämän tietosuojasopimuksen määräysten ja sopimuksen ehtojen välillä on ristiriita tämän sopimuksen kohteen osalta, tämän tietosuojasopimuksen määräykset ovat ensisijaisia.
- Määritelmät
Tässä tietosuojasopimuksessa seuraavilla termeillä on seuraava merkitys:
"Tietosuojalainsäädäntö" | tarkoittaa kaikkia sovellettavia lakeja ja asetuksia, jotka liittyvät henkilötietojen käsittelyyn milloin tahansa tämän tietosuojasopimuksen voimassaoloaikana, mukaan lukien (1) yleinen tietosuoja-asetus (GDPR, EU 2016/679); (2) Yhdistyneen kuningaskunnan yleinen tietosuoja-asetus (UK GDPR), sellaisena kuin se on räätälöity vuoden 2018 tietosuojalailla (Data Protection Act 2018); (3) sähköisen viestinnän tietosuojadirektiivi 2002/58/EY, sellaisena kuin se on täytäntöönpantu EU:n jäsenvaltioissa, sekä kaikki sitä seuraavat lait ja asetukset ja muut tietosuojaan ja yksityisyyden suojaan liittyvät asetukset, oppaat ja käytännesäännöt, kussakin tapauksessa sellaisina kuin ne ovat aika ajoin muutettuina, päivitettyinä tai korvattuina. |
"Asiakkaan henkilötiedot" | tarkoittaa henkilötietoja, joita MetaCompliance käsittelee yksinomaan palvelujen tarjoamista varten ja asiakkaan ohjeiden mukaisesti. |
"Vakiosopimuslausekkeet" | tarkoittaa Euroopan komission vakiosopimuslausekkeita, jotka koskevat henkilötietojen siirtoa Euroopan unionista kolmansiin maihin sijoittautuneille henkilötietojen käsittelijöille (rekisterinpitäjän ja henkilötietojen käsittelijän väliset siirrot), sellaisina kuin ne on esitetty 4. kesäkuuta 2021 annetun komission päätöksen N:o 2021/914/EU liitteessä ja hyväksytty Yhdistyneen kuningaskunnan lisäyksen mukaisesti 21. maaliskuuta 2022. |
"Aliprosessori" | tarkoittaa toimittajan palkkaamaa kolmannen osapuolen alihankkijaa, joka osana alihankkijan roolia palvelujen toimittamisessa käsittelee henkilötietoja asiakkaan puolesta. |
"Rekisterinpitäjä", "Rekisteröity", "Käsittelijä", "Käsittely", "Henkilötiedot", "Henkilötietojen tietoturvaloukkaus". | on sama merkitys kuin Yhdistyneessä kuningaskunnassa ja EU:n tietosuoja-asetuksessa. |
4. Henkilötietojen käsittely
4.1 Osapuolet tunnustavat ja sopivat, että tietosuojalainsäädännössä ja asiakkaan henkilötietojen käsittelyssä toimittaja on henkilötietojen käsittelijä ja asiakas rekisterinpitäjä.
4.2 Asiakas takaa ja vakuuttaa: (i) Asiakkaan henkilötietojen siirto Toimittajalle noudattaa kaikilta osin tietosuojalakeja (mukaan lukien rajoituksetta niiden kerääminen ja käyttö); ja (ii) Asiakkaan henkilötietojen rekisteröidyille on annettu oikeudenmukainen käsittely ja kaikki muut asianmukaiset ilmoitukset (ja kaikki tarvittavat suostumukset on hankittu tällaisilta rekisteröidyiltä ja ne on aina säilytetty) tietosuojalakien edellyttämässä laajuudessa kaikkien sellaisten käsittelytoimien yhteydessä, joita Toimittaja ja sen alihankkijat voivat suorittaa tämän sopimuksen mukaisesti;
4.3 Toimittaja sitoutuu käsittelemään Asiakkaan henkilötietoja vain: (i) Palveluiden tarjoamisen edellyttämällä tavalla; (ii) Asiakkaan kirjallisten ohjeiden mukaisesti; ja (iii) tietosuojalakien vaatimusten mukaisesti.
4.4 Asiakas käsittelee Palveluita käyttäessään henkilötietoja tietosuojalainsäädännön vaatimusten mukaisesti. Asiakkaan on varmistettava, että kaikki Toimittajalle annetut ohjeet, jotka liittyvät Asiakkaan henkilötietojen käsittelyyn, ovat tietosuojalakien mukaisia.
4.5 Asiakkaan Toimittajalle antamat ohjeet Käsittelyn kohteesta ja kestosta, Käsittelyn luonteesta ja tarkoituksesta, henkilötietojen tyypeistä ja rekisteröityjen ryhmistä on kuvattu liitteessä A. Epäselvyyksien välttämiseksi osapuolet tunnustavat ja sopivat, että jollei lausekkeesta 5 muuta johdu, tässä tietosuojasopimuksessa ja liitteessä A esitetyt käsittelyohjeet muodostavat täydellisen kokonaisuuden Asiakkaan Toimittajalle antamista ohjeista, sellaisina kuin niitä sovelletaan.
4.6 Toimittajan on välittömästi ilmoitettava Asiakkaalle, jos Toimittajan kohtuullisen käsityksen mukaan jokin Asiakkaan antama ohje todennäköisesti rikkoo tietosuojalakeja.
4.7 Toimittaja ei käsittele, siirrä, muokkaa, täydennä tai muuta Asiakkaan henkilötietoja eikä luovuta tai salli Asiakkaan henkilötietojen luovuttamista kolmannelle osapuolelle tässä tietosuojasopimuksessa määriteltyjen ohjeiden ulkopuolella.
4.8 Toimittajan henkilökunnalle, joka osallistuu Asiakkaan henkilötietojen käsittelyyn, ilmoitetaan Asiakkaan henkilötietojen luottamuksellisesta luonteesta, ja se saa asianmukaista koulutusta vastuistaan. Tällaiseen henkilöstöön sovelletaan asianmukaisia salassapitositoumuksia.
4.9 Ottaen huomioon henkilötietojen käsittelyn luonteen tarjottavissa palveluissa, Toimittajan on Yhdistyneen kuningaskunnan ja EU:n yleisen tietosuoja-asetuksen 32 artiklan mukaisesti ylläpidettävä asianmukaisia teknisiä ja organisatorisia toimenpiteitä varmistaakseen käsittelyn turvallisuuden, mukaan lukien suojaaminen luvattomalta tai laittomalta käsittelyltä, vahingossa tapahtuvalta tai laittomalta tuhoamiselta, katoamiselta, muuttamiselta tai vahingoittumiselta, Asiakkaan henkilötietojen luvattomalta luovuttamiselta tai niihin pääsyltä. Osapuolet tunnustavat ja sopivat, että tässä tietosuojasopimuksessa ja erityisesti liitteessä B määritellyt turvatoimenpiteet ovat asianmukaisia teknisiä ja organisatorisia turvatoimenpiteitä, joilla varmistetaan riskiin nähden asianmukainen turvallisuustaso.
4.10 Toimittaja avustaa Asiakasta asianmukaisin teknisin ja organisatorisin toimenpitein, sikäli kuin se on mahdollista ja ottaen huomioon Asiakkaan henkilötietojen käsittelyn luonteen, täyttämään Asiakkaan tietosuojalainsäädännön mukaiset velvoitteet, mukaan lukien rekisteröidyn oikeudet, tietosuojaa koskevat vaikutustenarvioinnit (jotka liittyvät Asiakkaan MetaCompliance-palveluiden käyttöön) sekä raportointi ja kuuleminen valvontaviranomaisille (MetaCompliance-palveluihin liittyvän tietosuojaa koskevan vaikutustenarvioinnin yhteydessä).
4.11 Jos rekisteröidyt, toimivaltaiset viranomaiset tai muut kolmannet osapuolet pyytävät toimittajalta tietoja Asiakkaan henkilötietojen käsittelystä, toimittaja toimittaa tällaisen pyynnön Asiakkaalle, ellei tietosuojalainsäädännön noudattaminen edellytä muuta, jolloin toimittaja ilmoittaa Asiakkaalle etukäteen tällaisesta lakisääteisestä vaatimuksesta, ellei kyseinen laki kiellä tällaista tietojen antamista tärkeän yleisen edun vuoksi.
5. Alihankkijat
5.1 Asiakas hyväksyy ja hyväksyy, että Toimittaja voi palvelujen tarjoamisen yhteydessä käyttää alihankkijoita, jotka voivat olla Toimittajan tytäryhtiöitä ja/tai kolmansia osapuolia liitteessä C tarkemmin kuvatulla tavalla.
5.2 Asiakas tunnustaa, että Toimittajalle annetaan yleinen valtuutus ottaa uusia alihankkijoita käyttöön ilman, että se tarvitsee Asiakkaan kirjallista, erityistä lupaa. Tämän edellytyksenä on, että henkilötietojen käsittelijä ilmoittaa Asiakkaalle kirjallisesti uuden alihankkijan henkilöllisyyden 30 päivää ennen Asiakkaan henkilötietojen käsittelyä.
5.3 Jos Asiakas haluaa vastustaa asianomaista alihankkijaa, Asiakkaan on ilmoitettava tästä kirjallisesti kymmenen (10) työpäivän kuluessa siitä, kun hän on saanut toimittajan ilmoituksen. Jos Asiakas ei esitä vastalauseita, katsotaan, että hän on hyväksynyt kyseisen alihankkijan käytön.
5.4 Jos Asiakas vastustaa uutta alihankkijan käyttöä, Toimittaja pyrkii kohtuullisin keinoin tarjoamaan Asiakkaalle muutosta Palveluihin tai suosittelee kaupallisesti kohtuullista muutosta Palveluihin, jotta vältettäisiin Asiakkaan Henkilötietojen käsittely kyseisen uuden alihankkijan toimesta. Jos mikään vaihtoehto ei ole mahdollinen, osapuolilla on oikeus irtisanoa keskinäinen sopimuksensa.
5.5 Toimittajan ilmoittaessa Asiakkaalle uudesta alihankkijasta toimittajan on toimitettava päivitetty liite C. Toimittajan on pidettävä liite C ajan tasalla.
5.6 Toimittaja on edelleen vastuussa Asiakkaalle alihankkijoiden velvoitteiden täyttämisestä.
6. Tiedonsiirrot
6.1 Yhdistyneen kuningaskunnan ja EU:n yleisen tietosuoja-asetuksen 28(3)(a) artiklan mukaisesti toimittaja ei siirrä eikä anna alihankkijan siirtää Asiakkaan henkilötietoja ETA:n tai Yhdistyneen kuningaskunnan (soveltuvin osin) ulkopuolelle muutoin kuin tässä sopimuksessa määrätyllä tavalla. Epäselvyyksien välttämiseksi Asiakas antaa täten suostumuksensa liitteessä A määritettyjen henkilötietojen siirtoon ja käsittelyyn, sellaisena kuin se on voimassa.
6.2 Toimittaja tunnustaa, että Yhdistyneen kuningaskunnan ja EU:n yleisen tietosuoja-asetuksen mukaisesti henkilötietoja on suojattava riittävästi sen jälkeen, kun ne on siirretty Yhdistyneen kuningaskunnan tai ETA:n ulkopuolelle (joko suoraan tai alihankkijan edelleensiirron kautta), ja hänen on tehtävä Asiakkaan ja/tai alihankkijan kanssa asianmukainen sopimus, jolla säännellään tällaista siirtoa. Siihen sisältyvät sovellettavat vakiosopimuslausekkeet, ellei siirtoa varten ole olemassa muuta riittävyysmekanismia.
7. Henkilötietojen tietoturvaloukkaus
7.1 Jos Asiakkaan henkilötietoihin kohdistuu henkilötietojen tietoturvaloukkaus, Toimittajan on:
7.1.1 Ilmoittaa Asiakkaalle ilman aiheetonta viivytystä (enintään 48 tunnin kuluessa), jotta Asiakas voi noudattaa Yhdistyneen kuningaskunnan ja EU:n GDPR:n raportointivelvoitteita ja antaa Asiakkaalle kohtuullista apua, kun sen on ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisteröidylle.
7.1.2 pyrkii kohtuullisin toimin tunnistamaan tällaisen henkilötietojen tietoturvaloukkauksen syyn ja ryhtyy sellaisiin toimiin, joita Toimittaja pitää kohtuullisesti toteutettavissa olevina, jotta henkilötietojen tietoturvaloukkauksen syy voidaan korjata.
7.1.3 Tämän tietosuojasopimuksen ehtojen mukaisesti antaa kohtuullista apua ja yhteistyötä Asiakkaan pyynnöstä henkilötietojen tietoturvaloukkauksen korjaamiseksi tai korjaamiseksi.
8. Jalostusta koskevat tiedot
8.1 Toimittajan on säilytettävä kaikki Yhdistyneen kuningaskunnan ja EU:n yleisen tietosuoja-asetuksen 30 artiklan 2 kohdassa vaaditut tiedot siltä osin kuin ne koskevat toimittajan suorittamaa käsittelyä asiakkaan lukuun, ja toimittajan on annettava ne asiakkaan käyttöön pyynnöstä.
9. Tilintarkastusoikeudet
9.1 Toimittaja antaa ja huolehtii siitä, että sen alihankkijat antavat pyynnöstä Asiakkaan käyttöön kohtuulliset tiedot, jotka ovat tarpeen sen osoittamiseksi, että se noudattaa tämän tietosuojasopimuksen mukaisia tietosuojavelvoitteitaan, ja sallii Asiakkaan tai Asiakkaan valtuuttaman tarkastajan suorittamat tarkastukset, mukaan lukien tarkastukset sen toimitiloissa, jotka liittyvät Asiakkaan henkilötietojen käsittelyyn, ja osallistuu niihin, edellyttäen, että tällainen tarkastaja ei ole Toimittajan kilpailija.
10. Termi
10.1 Tämä tietosuojasopimus on voimassa niin kauan kuin:
10.1.1 Sopimus pysyy voimassa; tai
10.1.2 Toimittaja säilyttää hallussaan tai valvonnassaan olevat Asiakkaan henkilötiedot.
10.2 Kaikki tämän tietosuojasopimuksen määräykset, joiden nimenomaisesti tai epäsuorasti pitäisi tulla voimaan tai pysyä voimassa sopimuksen päättyessä tai sen jälkeen Asiakkaan henkilötietojen suojaamiseksi, pysyvät täysin voimassa.
11. Tietojen palauttaminen ja tuhoaminen
11.1 Toimittaja poistaa tai palauttaa Asiakkaalle kaikki Asiakkaan henkilötiedot Asiakkaan harkinnan mukaan ja Asiakkaan kirjallisesti esittämän pyynnön perusteella sen jälkeen, kun Käsittelyyn liittyvien palvelujen tarjoaminen on päättynyt, ja poistaa olemassa olevat kopiot, ellei sovellettava ETA:n tai jäsenvaltion lainsäädäntö edellytä Asiakkaan henkilötietojen säilyttämistä. Jos Asiakkaalta ei saada kirjallista pyyntöä, Toimittajan on poistettava Asiakkaan henkilötiedot 90 päivän kuluttua Sopimuksen päättymisestä.
11.2 Toimittaja antaa Asiakkaan pyynnöstä kirjallisen ilmoituksen Asiakkaan henkilötietoja koskevista toimenpiteistä.
12. Vahingonkorvaus
12.1 Toimittaja sitoutuu korvaamaan Asiakkaalle kaikki välittömät kustannukset, vaatimukset, vahingot tai kulut, joita Asiakkaalle aiheutuu siitä, että Toimittaja tai sen työntekijät, alihankkijat, alihankkijat tai edustajat eivät ole noudattaneet tämän tietosuojasopimuksen tai Yhdistyneen kuningaskunnan ja EU:n yleisen tietosuoja-asetuksen 82 artiklan mukaisten tietosuojalakien mukaisia velvoitteitaan.
12.2 Riippumatta siitä, mitä tässä tietosuojasopimuksessa tai sopimuksessa sanotaan päinvastoin (mukaan lukien rajoituksetta kummankaan osapuolen korvausvelvoitteet), kumpikaan osapuoli ei ole vastuussa tietosuoja-asetuksen 83 artiklan nojalla toiselle osapuolelle sääntelyviranomaisen tai valtion elimen antamista tai perimistä sakoista, jotka liittyvät tietosuoja-asetuksen rikkomiseen toisen osapuolen toimesta.
12.3 Jollei lausekkeessa 12.1 esitetyistä lakisääteisistä velvoitteista ja lausekkeessa 12.2 esitetyistä rajoituksista muuta johdu, kummankin osapuolen vastuuseen tämän tietosuojasopimuksen nojalla sovelletaan sopimuksessa esitettyjä vastuun poissulkemisia ja rajoituksia. Sopimuksessa olevat viittaukset osapuolen vastuun rajoittamiseen on tulkittava siten, että ne tarkoittavat osapuolen ja kaikkien sen tytäryhtiöiden ja sidossuhteiden yhteenlaskettua vastuuta sopimuksen ja tämän DPA-sopimuksen mukaisesti.
Liite A
Henkilötietojen käsittelyn tarkoitukset ja yksityiskohdat
| Käsittelyn kohde | Yksityiskohdat | Koskee: |
|---|---|---|
KäyttötarkoitusMääritä kaikki tarkoitukset, joihin toimittaja käsittelee henkilötietoja. |
Järjestelmän käyttöoikeus Järjestelmän hallinta Järjestelmän sisällön toimittaminen tilattujen moduulien mukaisesti. Katso jäljempänä: | Kaikki asiakkaat |
| Politiikat, osaamisen arviointi | Asiakkaat, jotka tilaavat Policy-moduuleja (PolicyLite, MetaEngage ja MetaPolicy). | |
| eLearning, muu media | Elearning-moduuleja tilaavat asiakkaat (MetaLearning Fusion). | |
| Yksityisyyden suojaa koskevat kyselyt | MetaPrivacy-moduulin tilaavat asiakkaat | |
| Tapahtumien arvostelut | MetaIncident-moduulin tilaavat asiakkaat | |
| Simuloidut phishing-kampanjat | MetaPhishin tilaavat asiakkaat | |
| SCORM-siirto asiakkaan LMS:ään | SCORM-siirtoa tilaavat asiakkaat | |
Henkilötietojen tyypitMäärittele henkilötiedot, joita toimittaja käsittelee. |
Etunimi, Sukunimi, Sähköpostiosoite, Osasto, Koulutustiedot | Kaikki asiakkaat |
| Active Directoryn organisaatioyksikkö (OU) | Asiakkaat, jotka käyttävät Azure AD:tä tai tiloissa olevaa AD:tä | |
| LMS-TUNNUS | Asiakkaat, joilla on SCORM-tilaukset, siirtävät | |
JalostustoiminnotMäärittele kaikki toimittajan suorittamat käsittelytoimet. |
Asiakkaan henkilötietojen käsittely ja tallentaminen valtuutettujen käyttäjien tilien perustamiseksi ja ylläpitämiseksi MyCompliance-alustalla. MetaCompliance MyCompliance -järjestelmän käynnistämien erilaisten ilmoitussähköpostien jakelu. | Kaikki asiakkaat |
| Asiakkaan MetaCompliance MyCompliance -alustan kautta käynnistämä simuloitujen phishing-sähköpostien jakelu. | MetaPhish-moduulin tilaavat asiakkaat | |
| Henkilötietojen tallentaminen, jos asiakas syöttää ne MetaCompliance MetaPrivacy -moduulin kautta. | MetaPrivacy-moduulin tilaavat asiakkaat | |
| yhteydenpito asiakkaan LMS-järjestelmän kanssa ja lisenssien määrän arviointi. | SCORM-siirtoa tilaavat asiakkaat | |
Rekisteröityjen ryhmätMäärittele niiden rekisteröityjen ryhmät, joiden henkilötietoja toimittaja käsittelee. |
Asiakkaan työntekijät, alihankkijat, toimittajat, kumppanit ja/tai yhteistyökumppanit. | Kaikki asiakkaat toimittajalle toimitettujen rekisteröidyn tietojen mukaisesti. Asiakas voi rajoittaa tätä sen mukaan, miten hän aikoo käyttää Palveluita. |
Jalostustoimien sijaintiMääritä kaikki sijainnit, joissa toimittaja käsittelee henkilötietoja. |
Yhdistynyt kuningaskunta (MetaCompliance Group ALSO by Microsoft Azure ja Amazon Web Services uusille Yhdistyneeseen kuningaskuntaan sijoittautuneille asiakkaille voimaantulopäivän jälkeen). Tanska (MetaCompliance Group). Irlanti (MetaCompliance Group ALSO by Microsoft Azure ja Amazon Web Services uusille ETA-alueella ja Sveitsissä sijaitseville asiakkaille voimaantulopäivän jälkeen). Alankomaat (Microsoft Azure uusille Sveitsin asiakkaille voimaantulopäivän jälkeen). Kanada (Microsoft Azure ja Amazon Web Services uusille kanadalaisille asiakkaille voimaantulopäivän jälkeen). U.S.A. (Twilio for Sendgrid Services - transaktiosähköpostin palveluntarjoajan vaihtoehto asiakkaan sijainnin mukaan - katso liite C). |
Kaikki asiakkaat soveltuvin osin. Lisätietoja on liitteessä C. |
SäilytysvaatimuksetMääritä tarvittaessa toimittajan tallentamien asiakkaan henkilötietojen säilytysaika. |
Kun asiakkaan tilaus on päättynyt tai irtisanottu, kaikkia siihen liittyviä asiakkaan henkilötietoja säilytetään 90 päivän ajan ennen kuin ne tosiasiallisesti poistetaan, jotta tilauksen tahattomasta peruuttamisesta voidaan toipua. | Kaikki asiakkaat |
Liite B
Turvajärjestelyt
Toimittajan on auttaakseen Asiakasta täyttämään lakisääteiset velvoitteensa, mukaan lukien, mutta ei rajoittuen, turvatoimenpiteet ja yksityisyyden suojaa koskevat riskinarvioinnit, ryhdyttävä asianmukaisiin teknisiin ja organisatorisiin toimenpiteisiin käsiteltyjen Asiakkaan henkilötietojen suojaamiseksi. Toimenpiteillä on saavutettava vähintään sellainen turvallisuustaso, joka on asianmukainen ottaen huomioon seuraavat seikat:
(a) nykyiset tekniset mahdollisuudet;
(b) toimenpiteiden toteuttamisesta aiheutuvat kustannukset;
(c) asiakkaan henkilötietojen käsittelyyn liittyvät erityiset riskit; ja
(d) käsiteltävien asiakkaan henkilötietojen arkaluonteisuus.
Toimittajan on ylläpidettävä asiakkaan henkilötietojen riittävää suojausta. Toimittajan on suojattava Asiakkaan henkilötiedot tuhoamiselta, muuttamiselta, laittomalta levittämiseltä tai laittomalta käytöltä. Asiakkaan henkilötiedot on suojattava myös kaikelta muulta laittomalta käsittelyltä. Toimittajan toteuttamiin teknisiin ja organisatorisiin toimenpiteisiin on, ottaen huomioon tekniikan taso ja toteutuskustannukset sekä käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä yksilöiden oikeuksiin ja vapauksiin kohdistuva riski, jonka todennäköisyys ja vakavuus vaihtelevat, sisällyttävä tarpeen mukaan:
(a) asiakkaan henkilötietojen pseudonymisointi ja salaus;
(b) kyky varmistaa asiakkaiden henkilötietoja käsittelevien järjestelmien ja palvelujen jatkuva luottamuksellisuus, eheys, saatavuus ja kestävyys;
(c) kyky palauttaa Asiakkaan henkilötietojen saatavuus ja käyttöoikeus hyvissä ajoin fyysisen tai teknisen häiriön sattuessa; ja
(d) prosessi, jolla testataan, arvioidaan ja arvioidaan säännöllisesti niiden teknisten ja organisatoristen toimenpiteiden tehokkuutta, joilla varmistetaan käsittelyn turvallisuus.
Edellä mainittujen teknisten ja organisatoristen toimenpiteiden lisäksi toimittaja toteuttaa seuraavat toimenpiteet:
(a) fyysinen pääsynsuojaus, jossa toimittajan tiloissa olevat asiakkaan henkilötietoja sisältävät tietokonelaitteet ja siirrettävät tiedot lukitaan, kun niitä ei valvota, jotta ne voidaan suojata luvattomalta käytöltä, vaikutuksilta ja varkauksilta.
(b) prosessi, jolla testataan takaisinlukemista sen jälkeen, kun asiakkaan henkilötiedot on palautettu varmuuskopioista.
(c) lupavalvonta, jossa toimittajan pääsyä asiakkaan henkilötietoihin hallitaan lupavalvonnan teknisen järjestelmän avulla. Valtuutus rajoitetaan niihin, jotka tarvitsevat Asiakkaan henkilötietoja työssään. Käyttäjätunnusten ja salasanojen on oltava henkilökohtaisia, eikä niitä saa siirtää kenellekään muulle. Valtuuksien myöntämistä ja poistamista varten on oltava menettelyt.
(d) pitää kirjaa siitä, kenellä on pääsy asiakkaan henkilötietoihin.
(e) suojattu viestintä, jossa ulkoiset tietoliikenneyhteydet suojataan teknisillä toiminnoilla, joilla varmistetaan, että yhteys on sallittu, sekä sisällön salauksella toimittajan valvomien järjestelmien ulkopuolella olevissa viestintäkanavissa kulkevien tietojen osalta.
(f) prosessi, jolla varmistetaan tietojen turvallinen tuhoaminen, kun kiinteitä tai siirrettäviä tallennusvälineitä ei enää käytetä niiden käyttötarkoitukseen.
(g) rutiinit luottamuksellisuussopimusten tekemiseksi toimittajien kanssa, jotka tarjoavat korjaus- ja huoltopalveluja asiakkaan henkilötietojen tallentamiseen käytettäville laitteille.
(h) rutiinit toimittajien toimittajan tiloissa suorittaman palvelun valvomiseksi. Asiakkaan henkilötietoja sisältävät tallennusvälineet on poistettava, jos valvonta ei ole mahdollista.
Liite C
Hyväksytyt alihankkijat Kaikki uudet asiakkaat5. heinäkuuta 2023 jälkeen voivat muuttaa alihankkijoiden ja tietokeskusten sijaintien oletusarvoista sovellusta sisäänoton yhteydessä MetaCompliance Ltd:lle lähetettävällä vahvistussähköpostilla. Sovellettavat oletusarvot ovat:
| Aliprosessori | Sijainti | Koskee: |
|---|---|---|
| Microsoft Azure (isännöi palveluja pilvipalvelussa) | Holland Dublin Yhdistynyt kuningaskunta (UK) Kanada | Sijainti, jota sovelletaan alla olevan mukaisesti uusiin asiakkaisiin 5. heinäkuuta 2023 jälkeen:
ETA-alueella ja Sveitsissä asuvat asiakkaat käyttävät Microsoft Azure -palvelussa oletusarvoisesti EU:ssa sijaitsevia tietokeskuksia. |
| Amazon Web Services (sopimus "AWS Europe" kanssa, transaktiosähköpostin tarjoajana). | Holland Dublin Yhdistynyt kuningaskunta Kanada | Sijainti, jota sovelletaan alla olevan mukaisesti uusiin asiakkaisiin 5. heinäkuuta 2023 jälkeen:
ETA-alueella ja Sveitsissä asuvat asiakkaat käyttävät AWS Europe -palvelun osalta EU:ssa sijaitsevia tietokeskuksia. |
Aliprosessori
Sijainti
Koskee:
Microsoft Azure (isännöi palveluja pilvipalvelussa)
Amazon Web Services (sopimus "AWS Europe" kanssa, transaktiosähköpostin tarjoajana).
Holland
Dublin
Yhdistynyt kuningaskunta (UK)
Kanada
Holland
Dublin
Yhdistynyt kuningaskunta
Kanada
Sijainti, jota sovelletaan alla olevan mukaisesti uusiin asiakkaisiin 5. heinäkuuta 2023 jälkeen::
- Yhdistyneen kuningaskunnan asiakkaat valitsevat Microsoft Azure -palvelussa oletusarvoisesti vain Yhdistyneen kuningaskunnan datakeskukset.
- Kanadalaiset asiakkaat valitsevat oletusarvoisesti vain kanadalaiset tietokeskukset Microsoft Azurea varten.
ETA-alueella ja Sveitsissä asuvat asiakkaat käyttävät Microsoft Azure -palvelussa oletusarvoisesti EU:ssa sijaitsevia tietokeskuksia.
Sijaintia sovelletaan jäljempänä esitetyn mukaisesti uusiin asiakkaisiin 5. heinäkuuta 2023 jälkeen:
- Iso-Britannian asiakkaat valitsevat AWS Europe -palvelussa oletusarvoisesti vain Iso-Britannian datakeskukset.
- Kanadalaiset asiakkaat käyttävät AWS Europe -palvelun ainoastaan kanadalaisia palvelinkeskuksia.
| Aliprosessori | Sijainti | Koskee. |
|---|---|---|
|
Microsoft Azure (isännöi palveluja pilvipalvelussa) |
Holland |
Kaikki asiakkaat |
|
AWS Europe (transaktiosähköpostin tarjoaja) |
Dublin |
Kaikki asiakkaat, joiden kotipaikka on Iso-Britanniassa tai ETA-maissa. |
|
Twilio for Sendgrid Services (transaktiosähköpostin tarjoaja) |
YHDYSVALLAT |
Kaikki Ison-Britannian tai ETA-maiden ulkopuolelle sijoittautuneet asiakkaat. |
Niiden asiakkaiden osalta, jotka tekivät sopimuksen5. heinäkuuta 2023 tai sitä ennen, katso alla olevat yksityiskohtaiset tiedot alihankkijoiden käytöstä:
- Asiakkaat, joilla on erillinen tietosuojasopimus - kyseinen asiakirja (sellaisena kuin se on muutettuna) on ensisijainen ja siinä kuvataan käytettävät alihankkijat.
- Asiakkaat, jotka kuuluivat 15. heinäkuuta 2023 tapahtuneeseen ryhmävaihtoon AWS Europe -palvelun käyttämiseksi phish-simulointi-ilmoituksiin, käyttävät alla olevaa vaihtoehtoa (ellei kirjallisesti toisin määrätä):
Microsoft Azure - Dublinin ja Amsterdamin datakeskukset (pilvipalvelun isäntä)
Amazon Web Services - Dublin (transaktiosähköpostin tarjoaja vain phish-simulaatioilmoituksia varten)
Twilio for Sendgrid Services - U.S.A. (transaktiosähköpostin tarjoaja kaikkia muita alustan ilmoituksia varten).
Arkistoitu tietojenkäsittelysopimus, saatavilla täällä.
Introduktion
Osapuolet ovat kiinnostuneita siitä, että tämä tietosuojasopimus ("DPA") koskee kaikkia MOCH A/S:n hallussa olevia tietoja ja velvoitteita, jotka liittyvät asiakkaiden henkilötietojen käsittelyyn ja käsittelyyn MOCH A/S:n hallussa olevien ohjelmistojen ja Tjenesterne-ohjelmien yhteydessä. DPAen er inkorporeret ved henvisning i de Generelle Vilkår og Betingelser (Kommercielle Vilkår). Parterne er også enige om, at medmindre der findes en separat DPA underskrevet af parterne, regulerer denne DPA, behandlingen og sikkerheden af Kundens Personoplysninger.Bestemmelserne i DPAen erstatter eventuelle modstridende bestemmelser i MOCHs Erklæring om Beskyttelse af Personoplysninger, som ellers måtte gælde for behandling af Kunders Personoplysninger. For klarhedens skyld, i overensstemmelse med Standardkontraktbestemmelserne fra 2021, som defineret nedenfor, når Standardkontraktbestemmelserne fra 2021 finder anvendelse, har Standardkontraktbestemmelserne fra 2021 forrang for ethvert andet vilkår i DPAen.
1. Parter
1.1 Kunden som defineret i de Generelle Vilkår og Betingelser ("Asiakkaat") og
1.2 MOCH A/S indregistreret i Danmark med CVR-nummer 25397096, med hjemsted på Toldbodgade 51C, 1253 København ("Leverandør").
2. Baggrund
2.1 Kunden og Leverandøren har indgået en Kontrakt, som kan kræve, at Leverandøren behandler Personoplysninger på vegne af Kunden.
2.2 Denne Databehandleraftale ("DPA") fastsætter de yderligere vilkår, krav og betingelser, hvorefter Leverandøren behandler Personoplysninger, når han leverer Tjenester i henhold til Kontrakten. DPA sisältää pakolliset lausekkeet, jotka on mainittu 28 artiklassa, stk. 3, i databeskyttelsesforordningen ((EU) 2016/679 og UK GDPR-lovgivningen) for kontrakter mellem dataansvarlige og databehandlere.
2.3 Denne DPA er underlagt vilkårene i Kontrakten og er inkorporeret i Kontrakten. De udtryk, der anvendes i denne DPA, har den betydning, der er angivet i denne DPA. Termer med stort begyndelsesbogstav, der ikke på anden måde er defineret heri, skal have den betydning, der er angivet i Kontraktens Vilkår og Betingelser.
2.4 Bilagene udgør en del af denne DPA og har virkning, som om de var anført fuldt ud i denne DPA. Enhver henvisning til denne DPA omfatter Bilag.
2.5 I tilfælde af en konflikt mellem en bestemmelse i denne DPA og et eller flere vilkår i Kontrakten med hensyn til genstanden for denne Aftale, har bestemmelserne i denne DPA forrang.
3. Definitioner
Følgende udtryk i denne DPA har følgende betydning:
| "Databeskyttelseslovgivning" | betyder alle gældende love og bestemmelser vedrørende Behandling af Personoplysninger til enhver tid i enhver tid i løbet af denne DPAs løbetid, herunder (1) Databeskyttelsesforordningen (GDPR, EU 2016/679) og implementeringen heraf in den danske databeskyttelseslov; (2) Det Forenede Kongeriges (United Kingdom) Databeskyttelsesforordning (UK GDPR) som tilpasset af Data Protection Act 2018; (3) ePrivacy-direktivet 2002/58/EF som gennemført af EUs medlemsstater og eventuel efterfølgende lovgivning og alle andre forordninger, retningslinjer og adfærdskodekser vedrørende databeskyttelse og privatlivets fred som ændret, ajourført eller erstattet fra tid til anden. |
| "Personlige Kundeoplysninger" | betyder Personoplysninger, der behandles af MOCH udelukkende med henblik på levering af Tjenester og som anvist af Kunden. |
| "Standardkontraktbestemmelser" | betyder Europa Commissionens Standardkontraktbestemmelser for overførsel af Personoplysninger fra Den Europæiske Union til databehandlere, der er etableret i tredjelande (overførsler fra dataansvarlig til databehandler), som fastsat i Bilaget til Commissionens Afgørelse 2021/914/EU pr. 4. juni 2021 og vedtaget i henhold til Det Forenede Kongeriges (Yhdistynyt kuningaskunta) tillæg pr. 21. marts 2022. |
| "Underdatabehandler" | toimii alihankkijana, joka on Leverandørenin suosiossa, ja, mikä on osa alihankkijan roolia, joka liittyy Tjenesterne-yhtiön toimintaan, hoitaa Personoplysningerin hoitamista asiakkaiden ulkopuolella. |
| "Dataansvarlig", "Registreret", "Databehandler", "Behandling eller behandling", "Personoplysninger", "Brud på persondatasikkerheden". | skal have de betydninger, der er givet till dem i Storbritannien og EU GDPR. |
4. Behandling af Personoplysninger
4.1 Parterne anerkender og accepterer, at Leverandøren med det formål at overholde Databeskyttelseslovgivningen og med hensyn til behandling af Kundens Personoplysninger er Databehandleren, og Kunden er den Dataansvarlige.
4.2 Asiakas takaa ja hyväksyy: (i) at overførslen af Kundens Persondata til Leverandøren i alle henseender overholder Databeskyttelseslovgivningen (herunder uden begrænsning med hensyn til indsamling og brug); og ii) rimelig behandling af personoplysninger og alle andre relevante meddelelser er givet til de Registrerede (og alle nødvendige samtykker fra sådanne Registrerede er indhentet og til enhver tid gældende) i det omfang, det kræves af Databeskyttelseslovgivningen i forbindelse med alle behandlingsaktiviteter, der kan udføres af Leverandøren og dennes Underdatabehandlere i overensstemmelse med denne Aftale;
4.3 Leverandøren forpligter sig til kun at behandle Kundens Personoplysninger: (i) som nødvendigt for at levere Tjenesterne; (ii) i overensstemmelse med skriftlige instruktioner fra Kunden; og (iii) i overensstemmelse med kravene i Databeskyttelseslovgivningen.
4..4 Kunden skal i sin brug af Tjenesterne behandle Personoplysninger i overensstemmelse med kravene i Databeskyttelseslovgivningen. Kunden skal sikre, at alle instruktioner til Leverandøren i forbindelse med behandling af Kundens Personoplysninger overholder Databeskyttelseslovgivningen.
4.5 Kundens instruktioner til Leverandøren vedrørende genstanden for og varigheden af Behandlingen, Behandlingens art og formål, typerne af Personoplysninger og kategorierne af Registrerede er beskrevet i Bilag A. For at undgå tvivl anerkender og accepterer parterne, at instruksen, der er angivet i denne DPA og Bilag A, udgør det komplette sæt instruktioner fra Kunden til Leverandøren jf. punkt 5.
4.6 Leverandøren skal straks underrette Kunden, hvis en instruktion fra Kunden efter Leverandørens rimelige opfattelse sandsynligvis vil være i strid med Databeskyttelseslovgivningen.
4..7 Leverandøren må ikke behandle, overføre, modificere eller ændre Kundens Personoplysninger, videregive eller tillade videregivelse af Kundens Personoplysninger til nogen tredjepart uden for de instruktioner, der er beskrevet in denne DPA.
4.8 Leverandørens personale, der er involveret i behandlingen af Kundens Personoplysninger, skal informeres om den fortrolige karakter af Kundens Personoplysninger og vil modtage passende uddannelse i deres ansvar. Sådant personale skal være underlagt passende fortrolighedsforpligtelser. Henkilöluettelo henkilöistä, jotka ovat tulleet sisään, on säännöllisesti julkaistava. På baggrund af en gennemgang en sådan liste, kan en adgang til personoplysninger trækkes tilbage, hvis adgangen ikke længere er nødvendig, og personoplysninger vil herefter ikke længere være tilgængelige for disse personer.
4.9 Under hensyntagen til behandlingens karakter i de leverede Tjenester skal Leverandøren som krævet in UK og EU GDPR artikel 32 opretholde passende tekniske og organisatoriske foranstaltninger for at sikre behandlingssikkerheden, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod utilsigtet eller ulovlig ødelæggelse, tab eller ændring eller skade, uautoriseret videregivelse af eller adgang til Kundens Personoplysninger. Parterne anerkender og accepterer, at de sikkerhedsforanstaltninger, der er specificeret i denne DPA og mere specifikt i Bilag B, udgør passende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der er passende for risikoen.
4.10 Leverandøren skal bistå Kunden med passende tekniske og organisatoriske foranstaltninger, for så vidt dette er muligt og, under hensyntagen til behandlingens karakter, med at opfylde Kundens forpligtelser i henhold til Databeskyttelseslovgivningen, herunder i forhold til den registreredes rettigheder, konsekvensanalyser vedrørende databeskyttelse (relateret til Kundens brug af MOCH-Tjenester) og rapportering til og høring af tilsynsmyndigheder (i forbindelse med en konsekvensanalyse vedrørende databeskyttelse relateret til MOCH-Tjenesterne).
4.11 Hvis de Registrerede, kompetente myndigheder eller andre tredjeparter anmoder an Leverandøren om oplysninger vedrørende Behandlingen af Kundens Personoplysninger, skal Leverandøren henvise en sådan anmodning till Kunden, medmindre andet kræves for at overholde Databeskyttelseslovgivningen, i hvilket tilfælde Leverandøren skal give Kunden forudgående meddelelse om et sådant lovkrav, medmindre den pågældende lov forbyder denne videregivelse af hensyn til vigtige offentlige interesser.
5. Underdatabehandlere
5.1 Kunden anerkender og accepterer, at Leverandøren i forbindelse med levering af Ydelser kan engageere Underdatabehandlere, som kan være datterselskaber af Leverandøren og/eller tredjeparter som nærmere beskrevet in Bilag C.
5..2 Asiakas tunnustaa, että Leverandøren on saanut geneerisen tietopyynnön, jonka perusteella se voi käyttää uutta Underdatabehandlere-tietokantaa, jotta se voi käsitellä Kundens Personoplysninger uden at indhente yderligere skriftlig specifik tilladelse fra Kunden. Dette er betinget af, at Leverandøren skriftligt underretter Kunden om enhver ny Underdatabehandlers identitet 30 dage forud for behandlingen af Kundens Personoplysninger.
5.3 Hvis Kunden ønsker at gøre indsigelse mod den relevant Underdatabehandler, skal Kunden give skriftlig meddelelse herom inden for ti (10) arbejdsdage fra modtagelsen af meddelelsen fra Leverandøren. Jos asiakas ei ole saanut tietoja, vastaa siihen samalla tavalla, jotta hän voi hakea asiaankuuluvan Underdatabehandlerin.
5.4 Jos asiakas hakee indsigelse mod en ny Underdatabehandler, vil Leverandøren gøre en rimelig indsats for at stille en ændring i Tjenesterne til rådighed for Kunden eller anbefale en kommercielt rimelig ændring i Tjenesterne for at undgå behandling af Kundens Personoplysninger af den relevante nye Underdatabehandler. Hvis intet alternativ er muligt, har parterne ret til at opsige Kontrakten mellem dem.
5.5 Leverandørens meddelelse til Kunden om en ny Underdatabehandler skal indeholde et opdateret bilag C. Leverandøren skal holde Bilag C opdateret.
5.6 Leverandøren pyytää asiakkailta vastausta Underdatabehandlernes forpligtelser -palvelun käyttämiseen.
5.7 Leverandøren skal i sin aftale med Underdatabehandleren indføje den Kunden som begunstiget tredjemand i tilfælde af Leverandørens konkurs, således at Kunden kan indtræde i Leverandørens rettigheder og gøre dem gældende over for Underdatabehandlere, som f.esimerkiksi antaa asiakkaille mahdollisuuden ohjata Underdatabehandleren i at slette tai tilbagelevere personoplysningerne.
6. Overførsel till tredjelande eller internationale organisationer
6.1 I overensstemmelse med artikel 28(3)(a) i GDPR i Storbritannien og EU må Leverandøren ikke, og må ikke tillade nogen Underdatabehandler at, overføre Kundens Personoplysninger uden for EU/EØS eller Storbritannien (alt efter hvad der er relevant) andet end som angivet i denne Aftale. For at andgå tvivl giver Kunden hermed samtykke till overførsel og behandling af Personoplysningerne som specificeret in Bilag A, som det gælder.
6.2 Leverandøren anerkender, at der i overensstemmelse med GDPR i Storbritannien og EU skal være tilstrækkelig beskyttelse af Personoplysningerne efter enhver overførsel uden for Storbritannien eller EØS (enten direkte eller via en Underdatabehandlers videre overførsel), ja että Leverandøren voi tehdä sopivan jälkikäteistapaamisen asiakkaan tai tietohallintokäsittelijän kanssa, jotta se voi säätää myöhemmin tapahtuvaa tietojenvaihtoa. Dette vil omfatte de gældende Standardkontraktbestemmelser, medmindre der findes an anden tilstrækkelig mekanisme for overførslen.
7. Brud på persondatasikkerheden
7.1 I tilfælde af brud på persondatasikkerheden, der involverer Kundens Personoplysninger, skal Leverandøren:
7.1.1 Underrette Kunden uden unødig forsinkelse (inden for maksimalt 48 timer) for at gøre det muligt for Kunden at overholde anmeldelsesforpligtelser i henhold til GDPR i Storbritannien og EU og for at yde rimelig assistance til Kunden, når det er nødvendigt at kommunikere et brud på persondatasikkerheden til en registreret person.
7.1.2 Gøre an rimelig indsats for at identificere årsagen til et sådant brud på persondatasikkerheden og tage de skridt, som Leverandøren anser for rimeligt gennemførlige for at afhjælpe årsagen til et sådant brud på persondatasikkerheden.
7.1.3 I henhold til betingelserne i denne DPA, yde rimelig assistance og samarbejde som anmodet af Kunden, for at fremme enhver korrektioneller afhjælpning af ethvert Brud på Persondatasikkerheden.
8. Fortegnelser over behandlingsaktiviteter
8.1 I det omfang det er relevant for Leverandørens behandling af personoplysninger for Kunden, skal Leverandøren opbevare alle fortegensler, der kræves i henhold til artikel 30, stk. 2, i Storbritannien ja EU GDPR, ja antaa ne asiakkaiden käyttöön muuttamisen jälkeen.
10. Ikrafttræden
10.1 Denne DPA er gældende så længe:
10.1.1 Kontrakten er gældende; tai
10.1.2 Leverandøren opbevarer enhver af Kundens Personoplysninger i sin besiddelse eller control.
10.2 Enhver bestemmelse i denne DPA, der udtrykkeligt eller underforstået træder i kraft eller forbliver gældende ved eller efter opsigelse af Kontrakten for at at beskytte Kundens Personoplysninger, forbliver gældende.
11. Sletning og returnering af oplysninger
11.1 Leverandøren skal, på Kundens foranledning og ved enhver sådan skriftlig anmodning fra Kunden, slette eller returnere alle Kundens Personoplysninger til Kunden efter afslutningen af leveringen af Tjenester relateret til Behandlingen og slette eksisterende kopier, medmindre gældende EØS- eller medlemsstatslovgivning kræver opbevaring af Kundens Personoplysninger. Jos asiakkaat eivät ole muuttaneet toimintaansa, Leverandøren sytyttää Kundens Personoplysningerin 90 päivää Kontraktens ophørin jälkeen.
11.2 På Kundens anmodning skal Leverandøren give an skriftlig meddelelse om de foranstaltninger, der er truffet vedrørende Kundens Personoplysninger.
12. Erstatning
12.1 Leverandøren accepterer at holde Kunden skadesløs for alle direkte omkostninger, krav, skader eller udgifter, som Kunden pådrager sig på grund af Leverandørens eller dennes medarbejderes, Underdatabehandleres, underleverandørers eller agenters manglende overholdelse af nogen af sine forpligtelser i henhold til denne DPA eller Databeskyttelseslovgivningen i overensstemmelse med artikel 82 i UK og EU GDPR.
12.2 Uanset det modsatte i denne DPAeller i Kontrakten (herunder, uden begrænsning, begge parters skadesløsholdelsesforpligtelser), vil ingen af parterne være ansvarlig for GDPR-bøder udstedt eller opkrævet i henhold til artikel 83 i GDPR mod den anden part af en regulerende myndighed eller et statsligt organ i forbindelse med en sådan anden parts overtrædelse af GDPR.
12.3 Kun otetaan huomioon kohdassa 12.1 mainitut oikeudelliset velvoitteet ja kohdassa 12.2 mainitut perustelut, tietosuojasäännöstön noudattamatta jättäminen edellyttää, että tietosuojasäännöstön noudattamatta jättämisen yhteydessä noudatetaan kohdassa 12.1 mainittuja vastauksia, jotka koskevat tietosuojasäännöstössä mainittuja vastauksia. Enhver henvisning till en parts "ansvarsbegrænsning" i Kontrakten skal fortolkes som en parts og alle dennes datterselskabers og associerede selskabers samlede ansvar i henhold til aftalen og denne DPA.
Bilag A
Henkilökohtaisten tietojen käsittelyä koskevat lomakkeet ja yksityiskohdat.| Käsiteltävyys | Detaljer | Gælder for: |
Formål Kaikki lomakkeet, joissa henkilötiedot on esitetty Leverandørenin toimesta. | Systemadgang Systemadministration Levering af systemindhold i henhold til moduler, der abonneres på. Se nedenfor: | Alle Kunder |
| Politikker, Vidensvurderinger | Kunder, der abonnerer på politikmoduler (PolicyLite, MetaEngage ja MetaPolicy). | |
| eLearning, andre medier | Kunder, der abonnerer på Elearning-moduler (MetaLearning Fusion) | |
| Yksityisyyden suojaa koskevat kyselyt | Kunder, der abonnerer på MetaPrivacy-modulet | |
| Anmeldelser af hændelser | Kunder, der abonnerer på MetaIncident-modulet | |
| Simulerede phishing-kampagner | Kunder, der abonnerer på Metaphish | |
| SCORM overførsel til Asiakas LMS | Kunder, der abonnerer på SCORM-overførsel | |
Personoplysningerin kirjoittaja Angiv de Personoplysninger, der will be behandlet af Leverandøren | Fornavn, efternavn, e-mailadresse, afdeling, undervisningsoversigt | Alle Kunder |
| Active Directoryn organisaatioyksikkö (OU) | Kunder, der bruger Azure AD eller lokalt AD | |
| LMS-TUNNUS | Kunder med abonnement på SCORM overfører (SCORM-ohjelmistojen tilaajat) | |
Rekisteröityjen luokittelu Rekisteröityjen kategorioiden mukaan, joissa henkilötiedot on tallennettu Leverandørenin toimesta | Medarbejdere hos kunder, entreprenører, leverandører, partnere og/eller associerede selskaber. | Alle Kunder i overensstemmelse med de personoplysninger om de Registrerede, der leveres til Leverandøren. Asiakkaat voivat perustella tämän Tjenesterne-verkkopalvelun tarjouksen perusteella. |
Behandlinger Kaikkien niiden käyttäytymistoimien osalta, jotka on tarkoitus toteuttaa Leverandørenin toimesta. | Asiakaskohtaisten henkilötiedotteiden käsittely ja käyttö, jotta voidaan käyttää ja käyttää valtuutettuja ja hyväksyttyjä brugerkontteja alustalla. MOCH-järjestelmään lähetettyjen ilmoitussähköpostien jakelu. | Alle Kunder |
| MOCH-platformien kautta tapahtuva, asiakkaille erikseen käynnistettyjen, simuloitujen phishing-sähköpostien jakelu. | Kunder, der abonnerer på MetaPhish-modulet | |
| Personoplysningerin julkaiseminen, kun asiakkaat saavat tietoja MOCH-moduulin kautta. | Kunder, der abonnerer på MetaPrivacy-modulet | |
| Asiakkaan LMS-järjestelmän ja lisenssin arvioinnin yhteydessä. | Kunder, der abonnerer på SCORM-overførsel | |
Käyttäytymisaktiivisten toimijoiden sijoittaminen paikalleen Angiv alle steder, which Personoplysningerne will be behandlet af Leverandøren | Det Forenede Kongerige (Yhdistynyt kuningaskunta) (MetaCompliance Group) Saksa (MetaCompliance Group) Tanska (MetaCompliance-Group) Portugali (MetaCompliance Group) Irlanti (MetaCompliance Group, Microsoft Azure og Amazon Web Services) Hollanti (Microsoft Azure) Alankomaat (Microsoft Azure) | Alle Kunder efter behov. Der henvises til bilag C for yderligere oplysninger. |
Krav til opbevaring Jos tämä on merkityksellistä, on tärkeää, että asiakkaat, jotka ovat Leverandørenin omistuksessa, saavat opbevaringstiden for Kundens Personoplysninger. | Kun sopimus on tehty tai peruutettu, kaikki henkilökohtaiset kundedatat on annettava 90 päivän kuluessa, jotta loppukäyttäjä voi antaa sopimuksen peruuttamisen jälkeen loppuosan. | Alle Kunder |
Bilag B
Sikkerhedsforanstaltninger
Jotta Leverandøren voisi auttaa asiakasta hankkimaan ja ylläpitämään joitakin rakkauden ja turvallisuuden kannalta tärkeimpiä palveluita, kuten sikkerhedsforanstaltninger ja risikovahinkovälineet, joita käytetään tietojenkäsittelyn yhteydessä, Leverandøren on velvollinen hankkimaan sopivia teknisiä ja organisatorisia palveluita, jotta se voisi auttaa asiakasta tekemään parhaansa. Foranstaltningerne skal som minimum resultere i et sikkerhedsniveau, som er passende under hensyntagen til:
- eksisterende tekniske muligheder;
- omkostningerne ved gennemførelsen af foranstaltningerne;
- de særlige risici forbundet med behandlingen af Kunders Personoplysninger; og
- asiakaspalvelun henkilötiedot, jotka ovat seuraavat.
Leverandøren skal opretholde tilstrækkelig sikkerhed ved behandling af Kundens Personoplysninger. Leverandøren skal beskytte Kundens Personoplysninger mod ødelæggelse, ændring, ulovlig deling or ulovlig adgang. Kundens Personoplysninger skal også beskyttes mod alle other former for ulovlig behandling. Under hensyntagen til det aktuelle tekniske niveau og implementeringsomkostningerne og under hensyntagen til behandlingens art, omfang, kontekst og formål samt risikoen for varierende sandsynlighed og alvor for enkeltpersoners rettigheder og frihedsrettigheder, skal de tekniske og organisatoriske foranstaltninger, der skal implementeres af Leverandøren, efter omstændighederne omfatte:
- pseudonymisering og kryptering af Kundens Personoplysninger;
- asiakaspalvelun ja Tjenesterin, joka hoitaa Kundens Personoplysninger -järjestelmää, integrointi, mukauttaminen ja mukauttaminen;
- jos asiakasta ei ole hyväksytty ja hänellä on ollut mahdollisuus käyttää asiakaspalvelun henkilötiedotteita, jotka on tallennettu fysikaalisen tai teknisen järjestelmän avulla; ja
- teknisten ja organisatoristen laitosten tehokkuuden säännöllistä testaamista, arviointia ja arviointia koskeva menettely, jolla pyritään saamaan aikaan käyttäytymismallien parantaminen.
Leverandørenin on tarkoitus järjestää teknisiä ja organisatorisia tilaisuuksia, joita ei ole vielä tehty, ja lisäksi se aikoo järjestää myös muita tilaisuuksia:
- fysisk adgangsbeskyttelse, hvorved computerudstyr og flytbare data, der indeholder Kundens Personoplysninger in Leverandørens lokaler, skal være aflåst, når de ikke er under opsyn for at beskytte mod uautoriseret brug, påvirkning og tyveri.
- tilbagelæsning-testausprosessi, jonka jälkeen Kundens Personoplysninger er blevet gendannet fra sikkerhedskopier.
- autorisationskontrol, hvorved Leverandørens adgang til Kundens Personoplysninger styres gennem et technisk system fra autorisationskontrol. Autorisation skal begrænses till dem, der har et arbejdsbetinget behov med at tilgå Kundens Personoplysninger. Bruger-id'er og adgangskoder skal være personlige og må ikke overdrages till andre. Niillä on oltava menettelyt lupien myöntämistä ja myöntämistä varten.
- etsiä tietoja, jotka ovat yhteydessä asiakkaan henkilötietoihin.
- sikre kommunikation, hvor eksterne datakommunikationsforbindelser skal beskyttes ved hjælp af tekniske funktioner, der sikrer, at forbindelsen er autoriseret, samt kryptering af data i transit i kommunikationskanaler uden for systemer, der kontrolleres af Leverandøren.
- Tietojen hävittämisprosessi, jossa virheelliset tai lentokelpoiset tiedot, jotka eivät ole pitkäaikaisia, eivät saa olla muodoltaan samanlaisia.
- rutiner for indgåelse af fortrolighedsaftaler med Leverandører, der leverer reparation og service af udstyr, der bruges til at lagre Kundens Personoplysninger.
- rutiner for overvågning af den service, der udføres af Leverandører i Leverandørens lokaler. Lagringsmedier, der indeholder Kundens Personoplysninger, skal fjernes, hvis tilsyn ikke er muligt.
Bilag C
Godkendte Underdatabehandlere - Kunder kan vælge at ændre nedenstående ansøgning i forbindelse med onboarding via an bekræftelsesmail til MOCH A/S.| Underdatabehandler | Sted |
| Microsoft Azure (Hoster Tjenesterne i Skyen) | Holland Dublin |
| Amazon Web Services (indgået Kontrakt med "AWS Europe", som transaktions-e-mail-udbyder) | Dublin |
| MetaCompliance Limited (yder teknisk kundesupport og kundesupport - Supporttjenester) | Yhdistynyt kuningaskunta |
| MetaCompliance Group -ryhmän alaisuudessa toimivan MetaCompliance GmbH:n tarjoamien palvelujen tarjoaminen (tukipalvelujen tarjoajien hyödyntäminen kunderille). | Saksa |
| MetaCompliance Ireland Ltd, yksi MetaCompliance Groupin yrityksistä (tukipalvelujen tarjoajan hyödyntäminen). | Irlanti |
| MetaCompliance Ireland Ltd Sucursal Portugal - (levering af supporttjenester til kunder) | Portugali |