Introduzione
Le parti convengono che il presente Accordo sulla protezione dei dati ("DPA") stabilisce i diritti e gli obblighi di ciascuna parte in relazione al trattamento e alla sicurezza dei Dati personali del Cliente in relazione al Software e ai Servizi forniti dal Fornitore. Il DPA è incorporato per riferimento nelle Condizioni commerciali (le "Condizioni commerciali"). Le parti concordano inoltre che, a meno che non esista un DPA separato firmato dalle parti, il presente DPA disciplina il trattamento e la sicurezza dei Dati personali del cliente.
Le disposizioni delineate nei Termini del presente DPA riguardano il Fornitore che agisce in qualità di Responsabile del trattamento dei Dati personali del cliente nella fornitura del Software e dei Servizi ("Oggetto"). I Termini del DPA sostituiscono qualsiasi disposizione contrastante della Politica sulla Privacy del Gruppo MetaCompliance in relazione all'Oggetto. Per chiarezza, in linea con le Clausole Contrattuali Standard 2021 definite di seguito, quando le Clausole Contrattuali Standard 2021 sono applicabili, le Clausole Contrattuali Standard 2021 prevalgono su qualsiasi altro termine del Contratto di Trattamento dei Dati.
ACCORDO SUL TRATTAMENTO DEI DATI EFFETTIVO DAL23 giugno 2025
1.1 Il Cliente è definito nelle Condizioni commerciali (il "Cliente"); e
1.2 Il Fornitore è definito nelle Condizioni commerciali (il "Fornitore").
2. 1 Il Cliente e il Fornitore hanno stipulato un Contratto che prevede che il Fornitore tratti i Dati personali per conto del Cliente.
2.2 Il presente Accordo per il trattamento dei dati ("DPA") stabilisce i termini, i requisiti e le condizioni aggiuntive in base ai quali il Fornitore tratterà i Dati personali durante la fornitura dei Servizi ai sensi del Contratto e gli obblighi del Cliente in relazione a tali Dati personali, nonché a determinati altri Dati personali che potrebbe ricevere dal Fornitore ai sensi del Contratto. Il presente DPA contiene le clausole obbligatorie richieste dall'articolo 28(3) del Regolamento generale sulla protezione dei dati ((UE) 2016/679 (e dalle leggi sulla protezione dei dati dal 1988 al 2018, e successive modifiche) per i contratti tra responsabili e incaricati del trattamento.
2.3 Il presente DPA è soggetto ai termini del Contratto ed è incorporato nel Contratto. I termini utilizzati nel presente DPA hanno il significato indicato nel presente DPA. I termini in maiuscolo non altrimenti definiti nel presente documento avranno il significato loro attribuito nelle Condizioni commerciali del Contratto.
2.4 Gli Allegati costituiscono parte integrante del presente DPA e avranno effetto come se fossero riportati integralmente nel presente DPA. Qualsiasi riferimento al presente DPA include gli Allegati.
2.5 In caso di conflitto tra qualsiasi disposizione del presente DPA e qualsiasi altro termine del Contratto, relativamente all'Oggetto del presente DPA, prevarranno le disposizioni del presente DPA.
I seguenti termini del presente DPA avranno il seguente significato:
"Leggi sulla protezione dei dati" | indica tutte le leggi e i regolamenti applicabili relativi al Trattamento dei Dati Personali in qualsiasi momento durante la durata del presente DPA, che possono includere, a seconda dei casi: (1) il Regolamento generale sulla protezione dei dati UE 2016/679 ("GDPR"); (2) le leggi sulla protezione dei dati dal 1988 al 2018, e successive modifiche; (3) il Data Protection Act 2018 del Regno Unito (DPA2018); (4) il GDPR del Regno Unito, come definito nel DPA2018; (5) i Regolamenti sulla privacy e sulle comunicazioni elettroniche (Direttiva CE) del 2003; e/o (6) la Direttiva ePrivacy 2002/58/CE come implementata dagli Stati membri dell'UE, e qualsiasi legislazione successiva e qualsiasi altro regolamento, guida e codice di pratica relativi alla protezione dei dati e alla privacy, in ogni caso come modificato, aggiornato o sostituito di volta in volta. |
"Dati personali del cliente" | indica i Dati Personali trattati dal Fornitore esclusivamente ai fini della fornitura dei Servizi e secondo le indicazioni espresse dal Cliente con la stipula del Contratto e/o con la configurazione e l'interazione con qualsiasi software reso disponibile nell'ambito dei Servizi. |
"Clausole contrattuali standard | indica le Clausole contrattuali standard della Commissione europea per il trasferimento di dati personali dall'Unione europea a incaricati del trattamento stabiliti in paesi terzi (trasferimenti da responsabile del trattamento a incaricato del trattamento), come stabilito nell'allegato alla decisione 2021/914/UE della Commissione del 4 giugno 2021 e adottato con l'addendum del Regno Unito del 21 marzo 2022. |
"Decisione di adeguatezza" | indica la Decisione di adeguatezza della Commissione europea in merito al trasferimento di dati personali nel Regno Unito, adottata il 28 giugno 2021. |
"Sottoprocessore" | indica un subappaltatore terzo ingaggiato dal Fornitore che, nell'ambito del ruolo del subappaltatore nella fornitura dei Servizi, tratterà i Dati personali per conto del Cliente. |
"Titolare del trattamento", "Interessato", "Responsabile del trattamento", "Trattamento", "Dati personali", "Violazione dei dati personali". | hanno il significato loro attribuito dal GDPR. |
4. Trattamento dei dati personali
4.1 Le parti riconoscono e concordano che, ai fini delle leggi sulla protezione dei dati e per quanto riguarda il trattamento dei dati personali del Cliente per la fornitura dei Servizi, il Fornitore è il Responsabile del trattamento e il Cliente è il Titolare del trattamento.
4.2 Il Cliente garantisce e dichiara che: (i) il trasferimento dei Dati personali del Cliente al Fornitore è conforme sotto tutti i punti di vista alle Leggi sulla protezione dei dati (inclusi, senza limitazioni, i termini di raccolta e utilizzo); e (ii) il trattamento equo e tutti gli altri avvisi appropriati sono stati forniti ai Soggetti dei Dati personali del Cliente (e tutti i consensi necessari da parte di tali Soggetti sono stati ottenuti e mantenuti in ogni momento e possono essere dimostrati al Fornitore su richiesta) nella misura richiesta dalle Leggi sulla protezione dei dati in relazione a tutte le attività di trattamento che possono essere intraprese dal Fornitore e dai suoi Subprocessori in conformità con il presente DPA e il Contratto.
4.3 Nel fornire i Servizi, il Fornitore tratterà i Dati personali del Cliente: (i) nella misura necessaria a fornire i Servizi; (ii) in conformità alle istruzioni scritte del Cliente; e (iii) in conformità ai requisiti delle Leggi sulla protezione dei dati.
4.4 Il Cliente, nell'utilizzo dei Servizi, tratterà i Dati personali in conformità ai requisiti delle Leggi sulla protezione dei dati. Il Cliente dovrà garantire che qualsiasi istruzione impartita al Fornitore in relazione al Trattamento dei Dati personali del Cliente sia conforme alle Leggi sulla protezione dei dati.
4.5 Per quanto riguarda i Dati personali del Cliente, le istruzioni del Cliente al Fornitore in merito all'Oggetto e alla durata del Trattamento, alla natura e alle finalità del Trattamento, ai tipi di Dati personali e alle categorie di Soggetti interessati sono descritte nell'Allegato A. A scanso di equivoci, le parti riconoscono e concordano che, ai sensi della clausola 5 e in aggiunta alle istruzioni per il Trattamento stabilite nel presente DPA e nell'Allegato A, il Cliente può anche impartire istruzioni per il Trattamento dei Dati personali del Cliente attraverso i Servizi mediante la sua interazione diretta con i Servizi e la loro configurazione.
4.6 Il Fornitore comunicherà immediatamente al Cliente se, secondo la ragionevole opinione del Fornitore, qualsiasi istruzione impartita dal Cliente è suscettibile di violare le leggi sulla protezione dei dati.
4.7 Per quanto riguarda l'Oggetto, il Fornitore non tratterà, trasferirà, modificherà, modificherà o altererà i Dati personali del Cliente, né divulgherà o permetterà di divulgare i Dati personali del Cliente a terzi al di fuori delle istruzioni dettagliate nel presente DPA.
4.8 Il personale del Fornitore impegnato nel trattamento dei Dati personali del Cliente sarà informato della natura riservata dei Dati personali del Cliente e riceverà una formazione adeguata sulle proprie responsabilità. Tale personale sarà soggetto ad adeguati impegni di riservatezza.
4.9 Tenendo conto della natura del Trattamento dei dati personali nei Servizi forniti, il Fornitore dovrà, come richiesto dall'articolo 32 del GDPR, mantenere adeguate misure tecniche e organizzative per garantire la sicurezza del Trattamento, compresa la protezione contro il Trattamento non autorizzato o illegale, e contro la distruzione, la perdita o l'alterazione o il danneggiamento accidentali o illegali, la divulgazione non autorizzata o l'accesso ai Dati personali del Cliente. Le parti riconoscono e concordano che le misure di sicurezza specificate nel presente DPA e più specificamente nell'Allegato B costituiscono misure di sicurezza tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio.
4.10 Il Fornitore assisterà il Cliente con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile e tenendo conto della natura del Trattamento dei Dati Personali del Cliente, nell'adempimento degli obblighi di conformità del Cliente ai sensi delle Leggi sulla Protezione dei Dati, anche in relazione ai diritti dell'Interessato, alle valutazioni d'impatto sulla protezione dei dati (relative all'uso dei Servizi MetaCompliance da parte del Cliente) e alla segnalazione e consultazione delle autorità di vigilanza (in relazione a una valutazione d'impatto sulla protezione dei dati relativa ai Servizi MetaCompliance).
4.11 Per quanto riguarda l'Oggetto, se i Soggetti interessati, le autorità competenti o qualsiasi altra terza parte richiedono informazioni al Fornitore in merito al Trattamento dei Dati personali del Cliente, il Fornitore riferirà tale richiesta al Cliente, a meno che non sia richiesto diversamente per conformarsi alle Leggi sulla protezione dei dati, nel qual caso il Fornitore informerà preventivamente il Cliente di tale requisito legale, a meno che tale legge non vieti tale divulgazione per importanti motivi di interesse pubblico.
4.12 Il Cliente riconosce che riceverà Dati personali dal Fornitore ai sensi e in relazione al Contratto (inclusi, a titolo esemplificativo e non esaustivo, quelli relativi al personale assunto dal Fornitore e ai suoi subappaltatori e fornitori, nonché agli interessati identificabili da immagini e registrazioni vocali accessibili come opzioni predefinite attraverso alcuni servizi del Fornitore). Il Cliente conferma che tratterà tali Dati personali in qualità di Controllore indipendente e in conformità alle Leggi sulla protezione dei dati.
5. Sottoprocessori
5.1 Il Cliente riconosce e accetta che il Fornitore possa, in relazione alla fornitura di Servizi, incaricare Sub-Processori che possono essere affiliati del Fornitore e/o terzi come più specificamente descritto nell'Allegato A e nell'Allegato C. L'assunzione di tali soggetti da parte del Fornitore sarà soggetta a un contratto scritto (anche in forma elettronica) coerente con i termini del presente DPA, in relazione al trattamento richiesto dei Dati personali.
5.2 Il Cliente riconosce che il Fornitore è autorizzato in via generale ad avvalersi dei Subprocessori elencati nell'Allegato C e ad aggiungerne (o rimuoverne) di nuovi senza dover ottenere un'ulteriore autorizzazione scritta e specifica da parte del Cliente. Ciò a condizione che il Responsabile del trattamento notifichi per iscritto al Cliente l'identità di ogni nuovo Subprocessore con 30 giorni di anticipo rispetto all'elaborazione dei Dati personali del Cliente (il "Periodo di preavviso").
5.3 Se il Cliente desidera opporsi al Subprocessore in questione, dovrà darne comunicazione scritta entro il Periodo di preavviso. Tale comunicazione dovrà includere dettagli sui presunti rischi per la sicurezza o sui rischi associati al nuovo Subprocessore. L'assenza di obiezioni da parte del Cliente per tali motivi ed entro il Periodo di preavviso sarà considerata un consenso all'utilizzo del Subprocessore in questione.
5.4 Nel caso in cui il Cliente si opponga a un nuovo Subprocessore, il Fornitore compirà ogni ragionevole sforzo per risolvere i dubbi, mettere a disposizione del Cliente una modifica dei Servizi o raccomandare una modifica commercialmente ragionevole dei Servizi per evitare il trattamento dei Dati personali del Cliente da parte del nuovo Subprocessore in questione. Qualora non sia possibile alcuna alternativa, ciascuna parte avrà il diritto di risolvere il Contratto tra di esse con preavviso immediato e senza alcuna responsabilità o obbligo di rimborso di somme da parte del Fornitore.
5.5 La notifica di un nuovo Subprocessore da parte del Fornitore al Cliente dovrà includere la fornitura di un Allegato C aggiornato. Il Fornitore dovrà tenere aggiornato l'Allegato C sulla seguente pagina web.
5.6 Il Fornitore resterà responsabile nei confronti del Cliente per l'adempimento degli obblighi dei Subprocessori.
6 Trasferimenti di dati
6.1 Ai sensi dell'articolo 28(3)(a) del GDPR, il Fornitore non trasferirà, e non consentirà ad alcun Subprocessore di trasferire, i Dati personali del Cliente al di fuori del SEE o del Regno Unito (a seconda dei casi), se non nei termini previsti dal presente Contratto. A scanso di equivoci, il Cliente acconsente al trasferimento e al trattamento dei Dati personali come specificato negli Allegati A e C, in quanto applicabili.
6.2 Il Fornitore riconosce che, in conformità al GDPR, deve esistere un'adeguata protezione dei Dati personali prima di qualsiasi trasferimento al di fuori del Regno Unito o del SEE (direttamente o tramite il trasferimento successivo di un subprocessore) e dovrà stipulare un accordo appropriato con il Cliente e/o qualsiasi subprocessore per disciplinare tale trasferimento. Tale accordo includerà le Clausole contrattuali standard applicabili o si baserà sulla Decisione di adeguatezza, a meno che non esista un altro meccanismo di adeguatezza o valido per il trasferimento.
7 Violazione dei dati personali
7.1 In caso di violazione dei Dati Personali del Cliente, il Fornitore dovrà:
7.1.1 notificare al Cliente senza indebito ritardo (entro un massimo di 48 ore) per consentire al Cliente di adempiere agli obblighi di comunicazione del GDPR e fornire un'assistenza ragionevole al Cliente quando deve comunicare una violazione dei dati personali a un Soggetto interessato.
7.1.2 Compiere ogni ragionevole sforzo per identificare la causa di tale violazione dei dati personali e adottare le misure che il Fornitore ritiene ragionevolmente praticabili al fine di porre rimedio alla causa di tale violazione dei dati personali.
7.1.3 Nel rispetto dei termini del presente DPA, fornire assistenza e cooperazione ragionevoli, come richiesto dal Cliente, per portare avanti qualsiasi correzione o rimedio di qualsiasi violazione dei dati personali.
8. Registrazioni del trattamento
8.1 Nella misura in cui è applicabile al Trattamento del Fornitore per il Cliente, il Fornitore manterrà tutti i registri richiesti dall'Articolo 30(2) GDPR e li metterà a disposizione del Cliente su richiesta.
9. Diritti di revisione
9.1 Il Fornitore metterà a disposizione del Cliente, e farà in modo che i suoi Sub-incaricati lo facciano su richiesta, le informazioni ragionevoli necessarie a dimostrare il rispetto dei suoi obblighi di protezione dei dati ai sensi del presente DPA e consentirà e contribuirà alle verifiche, compresa l'ispezione presso i suoi locali, da parte del Cliente o di un revisore incaricato dal Cliente in relazione al trattamento dei Dati personali del Cliente, a condizione che tale revisore non sia un concorrente del Fornitore.
10. Termine
10.1 Il presente DPA rimarrà in vigore a tutti gli effetti fino a quando:
10.1.1 Il Contratto rimane in vigore; oppure
10.1.2 Il Fornitore conserva tutti i Dati personali del Cliente in suo possesso o controllo.
10.2 Qualsiasi disposizione del presente DPA che, espressamente o implicitamente, debba entrare o rimanere in vigore al momento della risoluzione del Contratto o successivamente, al fine di proteggere i Dati personali del Cliente, rimarrà in vigore a tutti gli effetti.
11. Restituzione e distruzione dei dati
11.1 A meno che non siano già stati cancellati in conformità ai termini del Contratto, il Fornitore, a discrezione del Cliente e previa richiesta scritta del Cliente, cancellerà o restituirà al Cliente tutti i Dati personali del Cliente al termine della fornitura dei Servizi relativi all'Elaborazione e cancellerà le copie esistenti, a meno che la legge applicabile del SEE o dello Stato membro non richieda la conservazione dei Dati personali del Cliente. In assenza di richiesta scritta da parte del Cliente, il Fornitore cancellerà i Dati personali del Cliente 90 giorni dopo la cessazione del Contratto.
11.2 Su richiesta del Cliente, il Fornitore fornirà una comunicazione scritta delle misure adottate in merito ai Dati personali del Cliente.
12. Indennizzo
12.1 Nella misura richiesta dall'articolo 82 del GDPR e fatta salva la clausola 12.2 del presente DPA, il Fornitore accetta di indennizzare il Cliente da tutti i costi diretti, le richieste di risarcimento, i danni o le spese sostenute dal Cliente a causa di qualsiasi inadempimento da parte del Fornitore o dei suoi dipendenti, subprocessori, subappaltatori o agenti di uno qualsiasi dei suoi obblighi ai sensi del presente DPA o delle Leggi sulla protezione dei dati.
12.2 In deroga a qualsiasi disposizione contraria contenuta nel presente DPA o nel Contratto (compresi, a titolo esemplificativo, gli obblighi di indennizzo di una delle parti), nessuna delle parti sarà responsabile di eventuali multe emesse o riscosse ai sensi delle Leggi sulla protezione dei dati nei confronti dell'altra parte da parte di un'autorità di regolamentazione o di un ente governativo in relazione alla violazione delle Leggi sulla protezione dei dati da parte di tale altra parte.
12.3 Il Cliente si impegna a tenere indenne il Fornitore da tutti i costi diretti, le richieste di risarcimento, i danni o le spese sostenute o ricevute dal Fornitore a causa di qualsiasi inadempimento da parte del Cliente di uno qualsiasi dei suoi obblighi ai sensi delle leggi sulla protezione dei dati o del presente DPA (compresa, a titolo esemplificativo, la violazione di qualsiasi requisito ai sensi della clausola 2 del presente DPA).
12.4 Nella misura consentita dalle leggi sulla protezione dei dati e fatte salve le esclusioni di cui alla clausola 12.2 del presente DPA, la responsabilità totale di ciascuna parte ai sensi del presente DPA o in relazione ad esso, a prescindere dalla causa, sarà soggetta alle esclusioni e alle limitazioni di responsabilità stabilite nel Contratto.
Allegato A
Finalità e dettagli del trattamento dei dati personali
| Oggetto del trattamento | Dettagli | Si applica a: |
| Scopo | Accesso al sistema Amministrazione del sistema Consegna dei contenuti del sistema in base ai moduli sottoscritti. Vedi sotto: | Tutti i clienti |
| Politiche, valutazioni delle conoscenze | Clienti che si abbonano ai moduli Policy (PolicyLite, MetaEngage e MetaPolicy) | |
| eLearning, altri media | Clienti che si abbonano a moduli di Elearning (MetaLearning Fusion) | |
| Indagini sulla privacy | Clienti che sottoscrivono il modulo MetaPrivacy | |
| Recensioni sull'incidente | Clienti che sottoscrivono il modulo MetaIncident | |
| Campagne di phishing simulate | Clienti abbonati a MetaPhish | |
| Trasferimento SCORM all'LMS del cliente | Clienti che si iscrivono al trasferimento SCORM | |
| Trasformate i documenti PDF statici in un'esperienza formativa efficace | Clienti che si iscrivono al Contenuto del corso | |
| Trasformare gli script dei clienti in un breve video generato dall'AI | Clienti abbonati a Virtual Presenter Video | |
| Tipi di dati personali | Nome, Cognome, Indirizzo e-mail, Indirizzo IP, Reparto, Record di formazione | Tutti i clienti |
| Unità organizzativa (OU) di Active Directory | Clienti che utilizzano Azure AD o AD on premise | |
| ID LMS | I clienti con abbonamenti al trasferimento SCORM | |
| Dati personali che il Cliente ha incluso nei Dati del Cliente. | Tutti i clienti | |
| Utilizzo dell'IA | Creazione di e-mail Phish generate dall'intelligenza artificiale | Clienti con pacchetti Premium Plus Security Awareness (inclusa l'offerta multilingue) che utilizzano il Phish Generator. |
| Creatore di corsi AI | I clienti che sottoscrivono il componente aggiuntivo Content to Course. | |
| Video personalizzati generati dall'intelligenza artificiale | Clienti che hanno usufruito del componente aggiuntivo Virtual Presenter | |
| Categorie di soggetti interessati | Dipendenti del cliente, appaltatori, fornitori, partner e/o affiliati. | Tutti i clienti in conformità con i dati dell'interessato forniti al Fornitore. Il Cliente può limitare questo aspetto a seconda dell'uso che intende fare dei Servizi. |
| Operazioni di lavorazione | Elaborazione e archiviazione dei Dati Personali del Cliente al fine di creare e mantenere gli account degli Utenti Autorizzati sulla piattaforma MyCompliance. Distribuzione di varie e-mail di notifica avviate dal sistema MyCompliance di MetaCompliance. | Tutti i clienti |
| Distribuzione di e-mail di phishing simulato specificate avviate dal Cliente tramite la piattaforma MyCompliance di MetaCompliance. | Clienti che si iscrivono al modulo MetaPhish | |
| Memorizzazione dei dati personali inseriti dal cliente tramite il modulo MetaPrivacy di MetaCompliance. | Clienti che sottoscrivono il modulo MetaPrivacy | |
| Comunicare con l'LMS del cliente e valutare il numero di licenze. | Clienti che si iscrivono al trasferimento SCORM | |
| Utilizzare le capacità dell'intelligenza artificiale | I clienti che si abbonano a Phish Generator, Content to Course e Virtual Presenter Software. | |
| Ubicazione delle operazioni di trattamento | Sedi di lavorazione all'interno del Gruppo MetaCompliance: Regno Unito Danimarca Portogallo Germania Irlanda | Tutti i clienti. |
| Microsoft Azure Default data center (DC) sedi: Regno Unito Clienti: DC nel Regno Unito Clienti canadesi: DC in Canada. Clienti tedeschi: DC in Germania Clienti europei al di fuori della Germania: DC nei Paesi Bassi e in Irlanda | Tutti i clienti. Esistono posizioni predefinite qui descritte, tuttavia il Cliente può imporre modifiche in prima della configurazione iniziale dell'inquilino nella fase di onboarding. Se il Cliente desidera modificare le ubicazioni degli inquilini nel corso del Contratto, deve contattare il team di assistenza per ricevere assistenza. | |
| Sedi dei centri dati (DC) di Amazon Web Services: Regno Unito Clienti: Centro dati nel Regno Unito Clienti canadesi: DC in Canada. Clienti tedeschi: DC in Germania Clienti europei al di fuori della Germania: DC in Irlanda | Tutti i clienti. Esistono posizioni predefinite qui descritte, tuttavia il Cliente può imporre modifiche in prima della configurazione iniziale dell'inquilino nella fase di onboarding. Se il Cliente desidera modificare le ubicazioni degli inquilini nel corso del Contratto, deve contattare il team di assistenza per ricevere assistenza. | |
| Il luogo di elaborazione nell'uso della funzionalità AI è indicato nell'Allegato C. | Si applica ai clienti che si abbonano a Phish Generator, Content to Course e Virtual Presenter Video. | |
| Requisiti di conservazione | Le tempistiche specifiche di cancellazione sono illustrate nel documento "AI a MetaCompliance" in relazione ai servizi richiesti dal Cliente. | I clienti che hanno richiesto Servizi che contengono o utilizzano l'IA |
| Quando un abbonamento del Cliente è scaduto o viene terminato, tutti i Dati personali del Cliente associati, che non sono stati precedentemente cancellati, vengono conservati per 90 giorni prima di essere effettivamente cancellati, al fine di recuperare una cancellazione accidentale dell'abbonamento. | Tutti i clienti |
- possibilità tecniche esistenti;
- i costi di realizzazione delle misure;
- i rischi particolari associati al Trattamento dei Dati Personali del Cliente; e
- la sensibilità dei Dati Personali del Cliente che vengono trattati.
- la pseudonimizzazione e la crittografia dei dati personali del cliente;
- la capacità di garantire la costante riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali dei clienti;
- la capacità di ripristinare tempestivamente la disponibilità e l'accesso ai Dati personali del cliente in caso di incidente fisico o tecnico; e
- un processo per testare, valutare e valutare regolarmente l'efficacia delle misure tecniche e organizzative per garantire la sicurezza del Trattamento.
- protezione dell'accesso fisico, in base alla quale le apparecchiature informatiche e i dati rimovibili contenenti i Dati personali del cliente presso i locali del Fornitore saranno chiusi a chiave quando non sono sotto controllo, al fine di proteggere dall'uso non autorizzato, dall'impatto e dal furto.
- un processo di verifica della lettura dopo il ripristino dei Dati personali del cliente da copie di backup.
- controllo delle autorizzazioni, in base al quale l'accesso del Fornitore ai Dati personali del Cliente è gestito attraverso un sistema tecnico di controllo delle autorizzazioni. L'autorizzazione sarà limitata a coloro che hanno bisogno dei Dati personali del cliente per il loro lavoro. Gli ID utente e le password saranno personali e non potranno essere trasferiti a terzi. Esistono procedure per l'assegnazione e la rimozione delle autorizzazioni.
- tenere un registro dei soggetti che hanno accesso ai Dati personali del cliente.
- comunicazione sicura, in base alla quale le connessioni esterne per la comunicazione dei dati devono essere protette utilizzando funzioni tecniche che assicurino che la connessione sia autorizzata, nonché la crittografia dei contenuti per i dati in transito nei canali di comunicazione al di fuori dei sistemi controllati dal Fornitore.
- un processo per garantire la distruzione sicura dei dati quando i supporti di memorizzazione fissi o rimovibili non devono più essere utilizzati per il loro scopo.
- routine per la stipula di accordi di riservatezza con i fornitori che forniscono servizi di riparazione e assistenza per le apparecchiature utilizzate per memorizzare i dati personali del cliente.
- routine per la supervisione del servizio svolto dai fornitori presso i locali del Fornitore. I supporti di memorizzazione contenenti i Dati personali del Cliente dovranno essere rimossi se la supervisione non è possibile.
Allegato C
Subprocessori approvati:
- Subprocessori necessari per la fornitura di tutti i Servizi:
| Sottoprocessore | Scopo | Posizione | Subprocessori |
| Microsoft Azure (contratto tramite Microsoft Operations Ireland Ltd) | Ospita i servizi nel cloud | Ubicazione dei data center (DC) predefiniti di Microsoft Azure: Clienti del Regno Unito: DC nel Regno Unito Clienti canadesi: DC in Canada. Clienti tedeschi: DC in Germania Clienti europei al di fuori della Germania: DC nei Paesi Bassi e in Irlanda | Ulteriori sottoprocessori disponibili qui |
| Amazon Web Services (contratto con "AWS Europe") | Provider di e-mail transazionali | Sedi dei centri dati (DC) di Amazon Web Services: Clienti del Regno Unito: DC nel Regno Unito Clienti canadesi: DC in Canada. Clienti tedeschi: DC in Germania Clienti europei al di fuori della Germania: DC in Irlanda | Ulteriori sottoprocessori disponibili qui |
Entità del Gruppo MetaCompliance (MetaCompliance Limited, MetaCompliance GmbH, Moch A/S, Metacompliance Ireland Ltd, MetaCompliance Ireland Ltd Sucursal Portugal | Servizi di assistenza e supporto ai clienti | Regno Unito Germania Danimarca Irlanda Portogallo (se applicabile e in linea con il luogo di costituzione di ciascuna entità) | Tutti i clienti |
- ULTERIORI ELABORAZIONI E SUBELABORATORI PER L'UTILIZZO DEI CONTENUTI DEL CORSO
A) IA aperta
| Metacompliance DC / Regione | Home / Sede Azure DC | Distribuzione | Dati personali trattati | Mantenimento |
| IRE | Europa occidentale (NL) | Zona dati (UE) | Oltre ai Dati personali inseriti dai Clienti (ad esempio, in risposta a una richiesta o ai Dati personali inclusi nei contenuti forniti per creare il corso), nessun Dato personale del Cliente sarà trattato da questo subprocessore. | Nel modello non vengono memorizzate richieste o generazioni. Inoltre, le richieste e le generazioni non vengono utilizzate per addestrare, riqualificare o migliorare i modelli di base. |
| DACH | Germania Centrale Ovest | Zona dati (UE) | Come sopra. | Come sopra. |
| NL | Europa occidentale (NL) | Zona dati (UE) | Come sopra. | Come sopra. |
| CAN | Canada Est | Standard (Canada Est) | Come sopra. | Come sopra. |
| REGNO UNITO | Regno Unito Sud | Standard (Regno Unito Sud) | Come sopra. | Come sopra. |
| STATI UNITI | Stati Uniti centro-settentrionali | Standard (Stati Uniti centro-settentrionali) | Come sopra. | Come sopra. |
B) Microsoft Intelligenza dei documenti e Azure Translator Servizi
| Metacompliance DC / Regione | Home / Sede Azure DC | Elaborazione | Dati personali trattati | Conservazione (temperatura 24 ore) |
| IRE | Nord Europa (Ire) | Nord Europa (Ire) | Oltre ai dati personali inclusi nei contenuti forniti per la creazione del corso, nessun dato personale del cliente sarà trattato da questo subprocessore. | Nord Europa (Ire) |
| DACH | Germania Centrale Ovest | Germania Centrale Ovest | Come sopra. | Germania Centrale Ovest |
| NL | Europa occidentale (NL) | Europa occidentale (NL) | Come sopra. | Europa occidentale (NL) |
| CAN | Canada Centrale | Canada Centrale | Come sopra. | Canada Centrale |
| REGNO UNITO | Regno Unito Sud | Regno Unito Sud | Come sopra. | Regno Unito Sud |
| STATI UNITI | Stati Uniti centro-settentrionali | Stati Uniti centro-settentrionali | Come sopra. | Stati Uniti centro-settentrionali |
- ELABORAZIONE AGGIUNTIVA E SOTTOPROCESSORI PER L'UTILIZZO DEL GENERATORE DI PHISH
| Subprocessori | Dati personali trattati | Regione | Conservazione e stoccaggio |
| Servizio: ChatGPT | Oltre ai Dati personali inseriti dai Clienti (ad esempio, in risposta a una richiesta o ai Dati personali inclusi nei contenuti forniti per creare il corso), nessun Dato personale del Cliente sarà trattato da questo subprocessore. | Distribuzione : Europa occidentale Elaborazione : Standard globale (qualsiasi regione) | Nel modello non vengono memorizzate richieste o generazioni. Inoltre, le richieste e le generazioni non vengono utilizzate per addestrare, riqualificare o migliorare i modelli di base. |
| Servizio: Inclusione del testo | Come sopra. | Come sopra. | Come sopra. |
- ELABORAZIONE AGGIUNTIVA E SOTTOPROCESSORI PER L'UTILIZZO DEL PRESENTATORE VIRTUALE
| Sottoprocessore | Dati personali trattati | Regione | Conservazione e stoccaggio |
| Colossyan Inc. | Testo libero contenente dati personali (se presenti) fornito nei Materiali del Cliente attraverso script o altri contenuti. Il Cliente conferma che nessun dato sensibile sarà trasferito al Responsabile del trattamento. | Elaborazione negli Stati Uniti, nel Regno Unito e in Ungheria (si tratta di sedi di Colossyan e di affiliate di Colossyan). Vedere i sotto-processori di Colossyan dettagliati sotto | 24 ore. Cancellazione rigida entro 48 ore. |
UTILIZZARE LE FUNZIONALITÀ DI AI
Nell'utilizzo della funzionalità AI descritta sopra, tutti gli ambienti AI sono chiusi a livello di MetaCompliance. Le richieste del cliente (input) e i completamenti (output), le incorporazioni del cliente e i dati di formazione del cliente:
- NON sono disponibili per altri clienti.
- NON sono disponibili per Azure OpenAI.
- NON vengono utilizzati per migliorare i modelli Azure OpenAI.
- NON vengono utilizzati per addestrare, riqualificare o migliorare i modelli della fondazione Azure OpenAI Service.
- NON vengono utilizzati per migliorare i prodotti o i servizi Microsoft o di terze parti senza l'autorizzazione o le istruzioni dell'utente.
Introduktion
Parterne er enige om, at denne Databehandleraftale (“DPA”) angiver hver parts rettigheder og forpligtelser med hensyn til behandling og sikkerhed af Kundens Personoplysninger i forbindelse med Softwaren og Tjenesterne leveret af MOCH A/S. DPAen er inkorporeret ved henvisning i de Generelle Vilkår og Betingelser (Kommercielle Vilkår). Parterne er også enige om, at medmindre der findes en separat DPA underskrevet af parterne, regulerer denne DPA, behandlingen og sikkerheden af Kundens Personoplysninger. Bestemmelserne i DPAen erstatter eventuelle modstridende bestemmelser i MOCHs Erklæring om Beskyttelse af Personoplysninger, som ellers måtte gælde for behandling af Kunders Personoplysninger. For klarhedens skyld, i overensstemmelse med Standardkontraktbestemmelserne fra 2021, som defineret nedenfor, når Standardkontraktbestemmelserne fra 2021 finder anvendelse, har Standardkontraktbestemmelserne fra 2021 forrang for ethvert andet vilkår i DPAen.DATABEHANDLERAFTALE GÆLDENDE FRA DEN 18. November 2024
1. Parter
1.1 Kunden som defineret i de Generelle Vilkår og Betingelser (“Kunden“) og
1.2 MOCH A/S indregistreret i Danmark med CVR-nummer 25397096, med hjemsted på Vester Farimagsgade 19, 1606 København V, Danmark (“Leverandør“).
2. Baggrund
2.1 Kunden og Leverandøren har indgået en Kontrakt, som kan kræve, at Leverandøren behandler Personoplysninger på vegne af Kunden.
2.2 Denne Databehandleraftale (“DPA“) fastsætter de yderligere vilkår, krav og betingelser, hvorefter Leverandøren behandler Personoplysninger, når han leverer Tjenester i henhold til Kontrakten. Denne DPA indeholder de obligatoriske klausuler, der kræves i artikel 28, stk. 3, i databeskyttelsesforordningen ((EU) 2016/679 og UK GDPR-lovgivningen) for kontrakter mellem dataansvarlige og databehandlere.
2.3 Denne DPA er underlagt vilkårene i Kontrakten og er inkorporeret i Kontrakten. De udtryk, der anvendes i denne DPA, har den betydning, der er angivet i denne DPA. Termer med stort begyndelsesbogstav, der ikke på anden måde er defineret heri, skal have den betydning, der er angivet i Kontraktens Vilkår og Betingelser.
2.4 Bilagene udgør en del af denne DPA og har virkning, som om de var anført fuldt ud i denne DPA. Enhver henvisning til denne DPA omfatter Bilag.
2.5 I tilfælde af en konflikt mellem en bestemmelse i denne DPA og et eller flere vilkår i Kontrakten med hensyn til genstanden for denne Aftale, har bestemmelserne i denne DPA forrang.
3. Definitioner
Følgende udtryk i denne DPA har følgende betydning:
| “Databeskyttelseslovgivning” | betyder alle gældende love og bestemmelser vedrørende Behandling af Personoplysninger til enhver tid i løbet af denne DPAs løbetid, herunder (1) Databeskyttelsesforordningen (GDPR, EU 2016/679) og implementeringen heraf i den danske databeskyttelseslov; (2) Det Forenede Kongeriges (United Kingdom) Databeskyttelsesforordning (UK GDPR) som tilpasset af Data Protection Act 2018; (3) ePrivacy-direktivet 2002/58/EF som gennemført af EUs medlemsstater og eventuel efterfølgende lovgivning og alle andre forordninger, retningslinjer og adfærdskodekser vedrørende databeskyttelse og privatlivets fred som ændret, ajourført eller erstattet fra tid til anden. |
| “Personlige Kundeoplysninger” | betyder Personoplysninger, der behandles af MOCH udelukkende med henblik på levering af Tjenester og som anvist af Kunden. |
| “Standardkontraktbestemmelser” | betyder Europa Kommissionens Standardkontraktbestemmelser for overførsel af Personoplysninger fra Den Europæiske Union til databehandlere, der er etableret i tredjelande (overførsler fra dataansvarlig til databehandler), som fastsat i Bilaget til Kommissionens Afgørelse 2021/914/EU pr. 4. juni 2021 og vedtaget i henhold til Det Forenede Kongeriges (United Kingdom) tillæg pr. 21. marts 2022. |
| “Underdatabehandler” | betyder en underleverandør, der er benyttes af Leverandøren, og, som en del af underleverandørens rolle med at levere Tjenesterne, behandler Personoplysninger på vegne af Kunden. |
| “Dataansvarlig”, “Registreret”, “Databehandler”, “Behandling eller behandling”, “Personoplysninger”, “Brud på persondatasikkerheden” | skal have de betydninger, der er givet til dem i Storbritannien og EU GDPR. |
4. Behandling af Personoplysninger
4.1 Parterne anerkender og accepterer, at Leverandøren med det formål at overholde Databeskyttelseslovgivningen og med hensyn til behandling af Kundens Personoplysninger er Databehandleren, og Kunden er den Dataansvarlige.
4.2 Kunden garanterer og indestår for: (i) at overførslen af Kundens Persondata til Leverandøren i alle henseender overholder Databeskyttelseslovgivningen (herunder uden begrænsning med hensyn til indsamling og brug); og (ii) rimelig behandling af personoplysninger og alle andre relevante meddelelser er givet til de Registrerede (og alle nødvendige samtykker fra sådanne Registrerede er indhentet og til enhver tid gældende) i det omfang, det kræves af Databeskyttelseslovgivningen i forbindelse med alle behandlingsaktiviteter, der kan udføres af Leverandøren og dennes Underdatabehandlere i overensstemmelse med denne Aftale;
4.3 Leverandøren forpligter sig til kun at behandle Kundens Personoplysninger: (i) som nødvendigt for at levere Tjenesterne; (ii) i overensstemmelse med skriftlige instruktioner fra Kunden; og (iii) i overensstemmelse med kravene i Databeskyttelseslovgivningen.
4.4 Kunden skal i sin brug af Tjenesterne behandle Personoplysninger i overensstemmelse med kravene i Databeskyttelseslovgivningen. Kunden skal sikre, at alle instruktioner til Leverandøren i forbindelse med behandling af Kundens Personoplysninger overholder Databeskyttelseslovgivningen.
4.5 Kundens instruktioner til Leverandøren vedrørende genstanden for og varigheden af Behandlingen, Behandlingens art og formål, typerne af Personoplysninger og kategorierne af Registrerede er beskrevet i Bilag A. For at undgå tvivl anerkender og accepterer parterne, at instruksen, der er angivet i denne DPA og Bilag A, udgør det komplette sæt instruktioner fra Kunden til Leverandøren jf. punkt 5.
4.6 Leverandøren skal straks underrette Kunden, hvis en instruktion fra Kunden efter Leverandørens rimelige opfattelse sandsynligvis vil være i strid med Databeskyttelseslovgivningen.
4.7 Leverandøren må ikke behandle, overføre, modificere eller ændre Kundens Personoplysninger, videregive eller tillade videregivelse af Kundens Personoplysninger til nogen tredjepart uden for de instruktioner, der er beskrevet i denne DPA.
4.8 Leverandørens personale, der er involveret i behandlingen af Kundens Personoplysninger, skal informeres om den fortrolige karakter af Kundens Personoplysninger og vil modtage passende uddannelse i deres ansvar. Sådant personale skal være underlagt passende fortrolighedsforpligtelser. En liste over personer, der har fået adgang, skal regelmæssigt gennemgås. På baggrund af en gennemgang en sådan liste, kan en adgang til personoplysninger trækkes tilbage, hvis adgangen ikke længere er nødvendig, og personoplysninger vil herefter ikke længere være tilgængelige for disse personer.
4.9 Under hensyntagen til behandlingens karakter i de leverede Tjenester skal Leverandøren som krævet i UK og EU GDPR artikel 32 opretholde passende tekniske og organisatoriske foranstaltninger for at sikre behandlingssikkerheden, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod utilsigtet eller ulovlig ødelæggelse, tab eller ændring eller skade, uautoriseret videregivelse af eller adgang til Kundens Personoplysninger. Parterne anerkender og accepterer, at de sikkerhedsforanstaltninger, der er specificeret i denne DPA og mere specifikt i Bilag B, udgør passende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der er passende for risikoen.
4.10 Leverandøren skal bistå Kunden med passende tekniske og organisatoriske foranstaltninger, for så vidt dette er muligt og, under hensyntagen til behandlingens karakter, med at opfylde Kundens forpligtelser i henhold til Databeskyttelseslovgivningen, herunder i forhold til den registreredes rettigheder, konsekvensanalyser vedrørende databeskyttelse (relateret til Kundens brug af MOCH-Tjenester) og rapportering til og høring af tilsynsmyndigheder (i forbindelse med en konsekvensanalyse vedrørende databeskyttelse relateret til MOCH-Tjenesterne).
4.11 Hvis de Registrerede, kompetente myndigheder eller andre tredjeparter anmoder Leverandøren om oplysninger vedrørende Behandlingen af Kundens Personoplysninger, skal Leverandøren henvise en sådan anmodning til Kunden, medmindre andet kræves for at overholde Databeskyttelseslovgivningen, i hvilket tilfælde Leverandøren skal give Kunden forudgående meddelelse om et sådant lovkrav, medmindre den pågældende lov forbyder denne videregivelse af hensyn til vigtige offentlige interesser.
5. Underdatabehandlere
5.1 Kunden anerkender og accepterer, at Leverandøren i forbindelse med levering af Ydelser kan engagere Underdatabehandlere, som kan være datterselskaber af Leverandøren og/eller tredjeparter som nærmere beskrevet i Bilag C.
5.2 Kunden anerkender, at Leverandøren er givet en generel tilladelse til at antage nye Underdatabehandlere til at behandle Kundens Personoplysninger uden at indhente yderligere skriftlig specifik tilladelse fra Kunden. Dette er betinget af, at Leverandøren skriftligt underretter Kunden om enhver ny Underdatabehandlers identitet 30 dage forud for behandlingen af Kundens Personoplysninger.
5.3 Hvis Kunden ønsker at gøre indsigelse mod den relevante Underdatabehandler, skal Kunden give skriftlig meddelelse herom inden for ti (10) arbejdsdage fra modtagelsen af meddelelsen fra Leverandøren. Hvis Kunden ikke gør indsigelse, anses det som samtykke til at bruge den relevante Underdatabehandler.
5.4 Hvis Kunden gør indsigelse mod en ny Underdatabehandler, vil Leverandøren gøre en rimelig indsats for at stille en ændring i Tjenesterne til rådighed for Kunden eller anbefale en kommercielt rimelig ændring i Tjenesterne for at undgå behandling af Kundens Personoplysninger af den relevante nye Underdatabehandler. Hvis intet alternativ er muligt, har parterne ret til at opsige Kontrakten mellem dem.
5.5 Leverandørens meddelelse til Kunden om en ny Underdatabehandler skal indeholde et opdateret bilag C. Leverandøren skal holde Bilag C opdateret.
5.6 Leverandøren forbliver ansvarlig over for Kunden for opfyldelsen af Underdatabehandlernes forpligtelser.
5.7 Leverandøren skal i sin aftale med Underdatabehandleren indføje den Kunden som begunstiget tredjemand i tilfælde af Leverandørens konkurs, således at Kunden kan indtræde i Leverandørens rettigheder og gøre dem gældende over for Underdatabehandlere, som f.eks. gør Kunden i stand til at instruere Underdatabehandleren i at slette eller tilbagelevere personoplysningerne.
6. Overførsel til tredjelande eller internationale organisationer
6.1 I overensstemmelse med artikel 28(3)(a) i GDPR i Storbritannien og EU må Leverandøren ikke, og må ikke tillade nogen Underdatabehandler at, overføre Kundens Personoplysninger uden for EU/EØS eller Storbritannien (alt efter hvad der er relevant) andet end som angivet i denne Aftale. For at undgå tvivl giver Kunden hermed samtykke til overførsel og behandling af Personoplysningerne som specificeret i Bilag A, som det gælder.
6.2 Leverandøren anerkender, at der i overensstemmelse med GDPR i Storbritannien og EU skal være tilstrækkelig beskyttelse af Personoplysningerne efter enhver overførsel uden for Storbritannien eller EØS (enten direkte eller via en Underdatabehandlers videre overførsel), og at Leverandøren skal indgå en passende aftale med Kunden og/eller enhver Underdatabehandler for at regulere en sådan overførsel. Dette vil omfatte de gældende Standardkontraktbestemmelser, medmindre der findes en anden tilstrækkelig mekanisme for overførslen.
7. Brud på persondatasikkerheden
7.1 I tilfælde af brud på persondatasikkerheden, der involverer Kundens Personoplysninger, skal Leverandøren:
7.1.1 Underrette Kunden uden unødig forsinkelse (inden for maksimalt 48 timer) for at gøre det muligt for Kunden at overholde anmeldelsesforpligtelser i henhold til GDPR i Storbritannien og EU og for at yde rimelig assistance til Kunden, når det er nødvendigt at kommunikere et brud på persondatasikkerheden til en registreret person.
7.1.2 Gøre en rimelig indsats for at identificere årsagen til et sådant brud på persondatasikkerheden og tage de skridt, som Leverandøren anser for rimeligt gennemførlige for at afhjælpe årsagen til et sådant brud på persondatasikkerheden.
7.1.3 I henhold til betingelserne i denne DPA, yde rimelig assistance og samarbejde som anmodet af Kunden, for at fremme enhver korrektion eller afhjælpning af ethvert Brud på Persondatasikkerheden.
8. Fortegnelser over behandlingsaktiviteter
8.1 I det omfang det er relevant for Leverandørens behandling af personoplysninger for Kunden, skal Leverandøren opbevare alle fortegensler, der kræves i henhold til artikel 30, stk. 2, i Storbritannien og EU GDPR, og skal stille dem til rådighed for Kunden efter anmodning.
10. Ikrafttræden
10.1 Denne DPA er gældende så længe:
10.1.1 Kontrakten er gældende; eller
10.1.2 Leverandøren opbevarer enhver af Kundens Personoplysninger i sin besiddelse eller kontrol.
10.2 Enhver bestemmelse i denne DPA, der udtrykkeligt eller underforstået træder i kraft eller forbliver gældende ved eller efter opsigelse af Kontrakten for at beskytte Kundens Personoplysninger, forbliver gældende.
11. Sletning og returnering af oplysninger
11.1 Leverandøren skal, på Kundens foranledning og ved enhver sådan skriftlig anmodning fra Kunden, slette eller returnere alle Kundens Personoplysninger til Kunden efter afslutningen af leveringen af Tjenester relateret til Behandlingen og slette eksisterende kopier, medmindre gældende EØS- eller medlemsstatslovgivning kræver opbevaring af Kundens Personoplysninger. Hvis der ikke modtages en skriftlig anmodning fra Kunden, skal Leverandøren slette Kundens Personoplysninger 90 dage efter Kontraktens ophør.
11.2 På Kundens anmodning skal Leverandøren give en skriftlig meddelelse om de foranstaltninger, der er truffet vedrørende Kundens Personoplysninger.
12. Erstatning
12.1 Leverandøren accepterer at holde Kunden skadesløs for alle direkte omkostninger, krav, skader eller udgifter, som Kunden pådrager sig på grund af Leverandørens eller dennes medarbejderes, Underdatabehandleres, underleverandørers eller agenters manglende overholdelse af nogen af sine forpligtelser i henhold til denne DPA eller Databeskyttelseslovgivningen i overensstemmelse med artikel 82 i UK og EU GDPR.
12.2 Uanset det modsatte i denne DPA eller i Kontrakten (herunder, uden begrænsning, begge parters skadesløsholdelsesforpligtelser), vil ingen af parterne være ansvarlig for GDPR-bøder udstedt eller opkrævet i henhold til artikel 83 i GDPR mod den anden part af en regulerende myndighed eller et statsligt organ i forbindelse med en sådan anden parts overtrædelse af GDPR.
12.3 Med forbehold for de juridiske forpligtelser, der er beskrevet i punkt 12.1, og de begrænsninger, der er beskrevet i punkt 12.2, skal hver parts ansvar i henhold til denne DPA være underlagt de ansvarsfraskrivelser og -begrænsninger, der er beskrevet i Kontrakten. Enhver henvisning til en parts “ansvarsbegrænsning” i Kontrakten skal fortolkes som en parts og alle dennes datterselskabers og associerede selskabers samlede ansvar i henhold til aftalen og denne DPA.
Bilag A
Formål og detaljer vedrørende behandling af Personoplysninger| Genstand for behandling | Detaljer | Gælder for: |
| Formål Angiv alle formål, hvortil Personoplysningerne vil blive behandlet af Leverandøren | Systemadgang Systemadministration Levering af systemindhold i henhold til moduler, der abonneres på. Se nedenfor: | Alle Kunder |
| Politikker, Vidensvurderinger | Kunder, der abonnerer på politikmoduler (PolicyLite, MetaEngage og MetaPolicy) | |
| eLearning, andre medier | Kunder, der abonnerer på Elearning-moduler (MetaLearning Fusion) | |
| Privacy Surveys | Kunder, der abonnerer på MetaPrivacy-modulet | |
| Anmeldelser af hændelser | Kunder, der abonnerer på MetaIncident-modulet | |
| Simulerede phishing-kampagner | Kunder, der abonnerer på Metaphish | |
| SCORM overførsel til Customer LMS | Kunder, der abonnerer på SCORM-overførsel | |
| Typer af Personoplysninger Angiv de Personoplysninger, der vil blive behandlet af Leverandøren | Fornavn, efternavn, e-mailadresse, IP-adresse, afdeling, undervisningsoversigt | Alle Kunder |
| Active Directory Organisation Unit (OU) | Kunder, der bruger Azure AD eller lokalt AD | |
| LMS ID | Kunder med abonnement på SCORM overfører | |
| Kategorier af registrerede Angiv de kategorier af registrerede, hvis Personoplysninger vil blive behandlet af Leverandøren | Medarbejdere hos kunder, entreprenører, leverandører, partnere og/eller associerede selskaber. | Alle Kunder i overensstemmelse med de personoplysninger om de Registrerede, der leveres til Leverandøren. Kunden kan begrænse dette afhængigt af sin tilsigtede brug af Tjenesterne. |
| Behandlinger Angiv alle behandlingsaktiviteter, der skal udføres af Leverandøren | Behandling og opbevaring af Kunders Personoplysninger for at oprette og vedligeholde autoriserede brugerkonti på platformen. Distribution af forskellige notifikationsmails initieret af MOCH-systemet. | Alle Kunder |
| Distribution af simulerede phishing-e-mails specifikt initieret af Kunden via MOCH-platformen. | Kunder, der abonnerer på MetaPhish-modulet | |
| Opbevaring af Personoplysninger, hvor de indtastes af Kunden via MOCH-modulet. | Kunder, der abonnerer på MetaPrivacy-modulet | |
| At kommunikere med Customer LMS og evaluere licensantal | Kunder, der abonnerer på SCORM-overførsel | |
| Placering af behandlingsaktiviteter Angiv alle steder, hvor Personoplysningerne vil blive behandlet af Leverandøren | Det Forenede Kongerige (United Kingdom) (MetaCompliance Group) Deutschland (MetaCompliance Group) Danmark (MetaCompliance-Group) Portugal (MetaCompliance Group) Irland (MetaCompliance Group, Microsoft Azure og Amazon Web Services) Holland (Microsoft Azure) | Alle Kunder efter behov. Der henvises til bilag C for yderligere oplysninger. |
| Krav til opbevaring Hvor det er relevant, angiv opbevaringstiden for Kundens Personoplysninger, der er gemt af Leverandøren. | Når et kundeabonnement er udløbet eller opsiges, opbevares alle tilknyttede personlige kundedata i 90 dage, før de endeligt slettes for at gendanne efter utilsigtet annullering af abonnementet. | Alle Kunder |
Bilag B
Sikkerhedsforanstaltninger
For at hjælpe Kunden med at overholde sine lovgivningsmæssige forpligtelser, herunder, men ikke begrænset til, sikkerhedsforanstaltninger og risikovurderinger vedrørende databeskyttelse, er Leverandøren forpligtet til at træffe passende tekniske og organisatoriske foranstaltninger for at beskytte Kundens Personoplysninger. Foranstaltningerne skal som minimum resultere i et sikkerhedsniveau, som er passende under hensyntagen til:
- eksisterende tekniske muligheder;
- omkostningerne ved gennemførelsen af foranstaltningerne;
- de særlige risici forbundet med behandlingen af Kunders Personoplysninger; og
- følsomheden af Kundens Personoplysninger, der behandles.
Leverandøren skal opretholde tilstrækkelig sikkerhed ved behandling af Kundens Personoplysninger. Leverandøren skal beskytte Kundens Personoplysninger mod ødelæggelse, ændring, ulovlig deling eller ulovlig adgang. Kundens Personoplysninger skal også beskyttes mod alle andre former for ulovlig behandling. Under hensyntagen til det aktuelle tekniske niveau og implementeringsomkostningerne og under hensyntagen til behandlingens art, omfang, kontekst og formål samt risikoen for varierende sandsynlighed og alvor for enkeltpersoners rettigheder og frihedsrettigheder, skal de tekniske og organisatoriske foranstaltninger, der skal implementeres af Leverandøren, efter omstændighederne omfatte:
- pseudonymisering og kryptering af Kundens Personoplysninger;
- evnen til at sikre løbende fortrolighed, integritet, tilgængelighed og modstandsdygtighed af systemer og Tjenester, der behandler Kundens Personoplysninger;
- evnen til at genoprette tilgængeligheden af og adgangen til Kundens Personoplysninger rettidigt i tilfælde af en fysisk eller teknisk hændelse; og
- en proces til regelmæssig testning, vurdering og evaluering af effektiviteten af tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerheden.
Ud over de tekniske og organisatoriske foranstaltninger, der er nævnt ovenfor, skal Leverandøren gennemføre følgende foranstaltninger:
- fysisk adgangsbeskyttelse, hvorved computerudstyr og flytbare data, der indeholder Kundens Personoplysninger i Leverandørens lokaler, skal være aflåst, når de ikke er under opsyn for at beskytte mod uautoriseret brug, påvirkning og tyveri.
- en proces til test af tilbagelæsning, efter at Kundens Personoplysninger er blevet gendannet fra sikkerhedskopier.
- autorisationskontrol, hvorved Leverandørens adgang til Kundens Personoplysninger styres gennem et teknisk system fra autorisationskontrol. Autorisation skal begrænses til dem, der har et arbejdsbetinget behov med at tilgå Kundens Personoplysninger. Bruger-id’er og adgangskoder skal være personlige og må ikke overdrages til andre. Der skal være procedurer for tildeling og fjernelse af autorisationer.
- føre fortegnelser over, hvem der har adgang til Kundens Personoplysninger.
- sikre kommunikation, hvor eksterne datakommunikationsforbindelser skal beskyttes ved hjælp af tekniske funktioner, der sikrer, at forbindelsen er autoriseret, samt kryptering af data i transit i kommunikationskanaler uden for systemer, der kontrolleres af Leverandøren.
- en proces til sikring af sikker destruktion af data, når faste eller flytbare lagringsmedier ikke længere skal bruges til deres formål.
- rutiner for indgåelse af fortrolighedsaftaler med Leverandører, der leverer reparation og service af udstyr, der bruges til at lagre Kundens Personoplysninger.
- rutiner for overvågning af den service, der udføres af Leverandører i Leverandørens lokaler. Lagringsmedier, der indeholder Kundens Personoplysninger, skal fjernes, hvis tilsyn ikke er muligt.
Bilag C
Godkendte Underdatabehandlere – Kunder kan vælge at ændre nedenstående ansøgning i forbindelse med onboarding via en bekræftelsesmail til MOCH A/S| Underdatabehandler | Sted |
| Microsoft Azure (Hoster Tjenesterne i Skyen) | Holland Dublin |
| Amazon Web Services (indgået Kontrakt med “AWS Europe”, som transaktions-e-mail-udbyder) | Dublin |
| MetaCompliance Limited (yder teknisk kundesupport og kundesupport – Supporttjenester) | United Kingdom |
| Forøg dine færdigheder GmbH en MetaCompliance Group-enhed (levering af supporttjenester til kunder) | Germany |
| MetaCompliance Ireland Ltd, en MetaCompliance Group enity (levering af supporttjenester til kunder) | Ireland |
| MetaCompliance Ireland Ltd Sucursal Portugal – (levering af supporttjenester til kunder) | Portugal |
Archived Data Processing Agreement, available here.