Introduzione
Le parti convengono che il presente Accordo sulla Protezione dei Dati ("DPA") stabilisce i diritti e gli obblighi di ciascuna di esse in relazione al trattamento e alla sicurezza dei Dati Personali del Cliente in relazione al Software e ai Servizi forniti da MetaCompliance Ltd.. Il DPA è incorporato per riferimento nelle Condizioni Commerciali (Condizioni Commerciali). Le parti concordano inoltre che, a meno che non esista un DPA separato firmato dalle parti, il presente DPA regola il trattamento e la sicurezza dei Dati Personali del Cliente.
Le disposizioni dei Termini del DPA sostituiscono qualsiasi disposizione contrastante della Dichiarazione sulla Privacy di MetaCompliance che altrimenti potrebbe essere applicata al trattamento dei Dati Personali del Cliente. Per chiarezza, in linea con le Clausole Contrattuali Standard 2021 definite di seguito, quando le Clausole Contrattuali Standard 2021 sono applicabili, le Clausole Contrattuali Standard 2021 prevalgono su qualsiasi altro termine del Contratto di Trattamento dei Dati.
ACCORDO SUL TRATTAMENTO DEI DATI EFFETTIVO DAL 6 luglio 2023
- Parti
1.1 Il Cliente è così come definito nelle Condizioni commerciali (il "Cliente") e
1.2 MetaCompliance Limited costituita e registrata in Irlanda del Nord con numero di società NI049166, la cui sede legale si trova al Third Floor Old City Factory 100 Patrick Street, Londonderry BT48 7EL (il "Fornitore").
- Sfondo
2.1 Il Cliente e il Fornitore hanno stipulato un Contratto che può richiedere al Fornitore di trattare i Dati personali per conto del Cliente.
2.2 Il presente Accordo per il trattamento dei dati ("DPA") stabilisce i termini, i requisiti e le condizioni aggiuntive in base ai quali il Fornitore tratterà i Dati personali durante la fornitura dei Servizi ai sensi del Contratto. Il presente DPA contiene le clausole obbligatorie richieste dall'articolo 28(3) del Regolamento generale sulla protezione dei dati ((UE) 2016/679 e dalla legislazione britannica GDPR) per i contratti tra responsabili e incaricati del trattamento.
2.3 Il presente DPA è soggetto ai termini del Contratto ed è incorporato nel Contratto. I termini utilizzati nel presente DPA hanno il significato indicato nel presente DPA. I termini in maiuscolo non altrimenti definiti nel presente documento avranno il significato loro attribuito nelle Condizioni commerciali del Contratto.
2.4 Gli Allegati costituiscono parte integrante del presente DPA e avranno effetto come se fossero riportati integralmente nel presente DPA. Qualsiasi riferimento al presente DPA include gli Allegati.
2.5 In caso di conflitto tra una qualsiasi disposizione del presente DPA e una o più clausole del Contratto, relativamente all'oggetto del presente Contratto, prevarranno le disposizioni del presente DPA.
- Definizioni
I seguenti termini del presente DPA avranno il seguente significato:
"Leggi sulla protezione dei dati" | indica tutte le leggi e i regolamenti applicabili relativi al Trattamento dei Dati Personali in qualsiasi momento durante la durata del presente DPA, tra cui (1) il Regolamento Generale sulla Protezione dei Dati (GDPR, UE 2016/679); (2) il Regolamento Generale sulla Protezione dei Dati del Regno Unito (UK GDPR) come adattato dal Data Protection Act 2018; (3) la Direttiva ePrivacy 2002/58/CE come implementata dagli Stati membri dell'UE, e qualsiasi legislazione successiva e qualsiasi altro regolamento, guida e codice di pratica relativi alla protezione dei dati e alla privacy, in ogni caso come modificato, aggiornato o sostituito di volta in volta. |
"Dati personali del cliente" | indica i Dati Personali trattati da MetaCompliance esclusivamente ai fini della fornitura dei Servizi e come indicato dal Cliente. |
"Clausole contrattuali standard | indica le Clausole contrattuali standard della Commissione europea per il trasferimento di dati personali dall'Unione europea a incaricati del trattamento stabiliti in paesi terzi (trasferimenti da responsabile del trattamento a incaricato del trattamento), come stabilito nell'allegato alla decisione 2021/914/UE della Commissione del 4 giugno 2021 e adottato con l'addendum del Regno Unito del 21 marzo 2022. |
"Sottoprocessore" | indica un subappaltatore terzo ingaggiato dal Fornitore che, nell'ambito del ruolo del subappaltatore di fornire i servizi, tratterà i Dati personali per conto del Cliente. |
"Titolare del trattamento", "Interessato", "Responsabile del trattamento", "Trattamento", "Dati personali", "Violazione dei dati personali". | hanno il significato loro attribuito nel GDPR del Regno Unito e dell'UE. |
4. Trattamento dei dati personali
4.1 Le parti riconoscono e concordano che, ai fini delle leggi sulla protezione dei dati e per quanto riguarda il trattamento dei dati personali del Cliente, il Fornitore è il Responsabile del trattamento e il Cliente è il Titolare del trattamento.
4.2 Il Cliente garantisce e dichiara che: (i) il trasferimento dei Dati personali del Cliente al Fornitore è conforme sotto tutti gli aspetti alle Leggi sulla protezione dei dati (inclusi, senza limitazioni, i termini di raccolta e utilizzo); e (ii) che il trattamento equo e tutti gli altri avvisi appropriati sono stati forniti ai Soggetti dei Dati personali del Cliente (e tutti i consensi necessari da parte di tali Soggetti sono stati ottenuti e mantenuti in ogni momento) nella misura richiesta dalle Leggi sulla protezione dei dati in relazione a tutte le attività di trattamento che possono essere intraprese dal Fornitore e dai suoi Subprocessori in conformità con il presente Contratto;
4.3 Il Fornitore si impegna a trattare i Dati personali del Cliente solo: (i) nella misura necessaria a fornire i Servizi; (ii) in conformità alle istruzioni scritte del Cliente; e (iii) in conformità ai requisiti delle Leggi sulla protezione dei dati.
4.4 Il Cliente, nell'utilizzo dei Servizi, tratterà i Dati personali in conformità ai requisiti delle Leggi sulla protezione dei dati. Il Cliente dovrà garantire che qualsiasi istruzione impartita al Fornitore in relazione al Trattamento dei Dati personali del Cliente sia conforme alle Leggi sulla protezione dei dati.
4.5 Le istruzioni del Cliente al Fornitore relative all'oggetto e alla durata del Trattamento, alla natura e alle finalità del Trattamento, ai tipi di Dati personali e alle categorie di Soggetti interessati sono descritte nell'Allegato A. A scanso di equivoci, le parti riconoscono e concordano che, fatta salva la clausola 5, le istruzioni per il Trattamento indicate nel presente DPA e nell'Allegato A costituiscono l'insieme completo delle istruzioni del Cliente al Fornitore in quanto applicabili.
4.6 Il Fornitore comunicherà immediatamente al Cliente se, secondo la ragionevole opinione del Fornitore, qualsiasi istruzione impartita dal Cliente è suscettibile di violare le leggi sulla protezione dei dati.
4.7 Il Fornitore non tratterà, trasferirà, modificherà, modificherà o altererà i Dati personali del Cliente, né divulgherà o permetterà di divulgare i Dati personali del Cliente a terzi al di fuori delle istruzioni dettagliate nel presente DPA.
4.8 Il personale del Fornitore impegnato nel trattamento dei Dati personali del Cliente sarà informato della natura riservata dei Dati personali del Cliente e riceverà una formazione adeguata sulle proprie responsabilità. Tale personale sarà soggetto ad adeguati impegni di riservatezza.
4.9 Tenendo conto della natura del Trattamento dei dati personali nei Servizi forniti, il Fornitore dovrà, come richiesto dall'articolo 32 del GDPR del Regno Unito e dell'UE, mantenere misure tecniche e organizzative adeguate per garantire la sicurezza del Trattamento, compresa la protezione contro il Trattamento non autorizzato o illegale, e contro la distruzione, la perdita o l'alterazione o il danneggiamento accidentali o illegali, la divulgazione non autorizzata o l'accesso ai Dati personali del Cliente. Le parti riconoscono e concordano che le misure di sicurezza specificate nel presente DPA e più specificamente nell'Allegato B costituiscono misure di sicurezza tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio.
4.10 Il Fornitore assisterà il Cliente con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile e tenendo conto della natura del Trattamento dei Dati Personali del Cliente, nell'adempimento degli obblighi di conformità del Cliente ai sensi delle Leggi sulla Protezione dei Dati, anche in relazione ai diritti dell'Interessato, alle valutazioni d'impatto sulla protezione dei dati (relative all'uso dei Servizi MetaCompliance da parte del Cliente) e alla segnalazione e consultazione delle autorità di vigilanza (in relazione a una valutazione d'impatto sulla protezione dei dati relativa ai Servizi MetaCompliance).
4.11 Qualora i Soggetti interessati, le autorità competenti o qualsiasi altra terza parte richiedano al Fornitore informazioni in merito al trattamento dei Dati personali del Cliente, il Fornitore riferirà tale richiesta al Cliente, a meno che non sia richiesto diversamente per ottemperare alle leggi sulla protezione dei dati, nel qual caso il Fornitore informerà preventivamente il Cliente di tale requisito legale, a meno che tale legge non vieti tale divulgazione per importanti motivi di interesse pubblico.
5. Sottoprocessori
5.1 Il Cliente riconosce e accetta che il Fornitore possa, in relazione alla fornitura dei Servizi, avvalersi di Subprocessori che possono essere affiliati del Fornitore e/o terzi, come più specificamente descritto nell'Allegato C.
5.2 Il Cliente riconosce che il Fornitore è autorizzato in via generale ad assumere nuovi Subprocessori senza dover ottenere un'ulteriore autorizzazione scritta e specifica da parte del Cliente. Ciò è subordinato alla notifica scritta da parte del Processore al Cliente dell'identità di ogni nuovo Subprocessore, con 30 giorni di anticipo rispetto all'elaborazione dei Dati personali del Cliente.
5.3 Se il Cliente desidera opporsi al Subprocessore in questione, dovrà comunicarlo per iscritto entro dieci (10) giorni lavorativi dal ricevimento della notifica da parte del Fornitore. L'assenza di obiezioni da parte del Cliente sarà considerata un consenso all'utilizzo del Subprocessore in questione.
5.4 Nel caso in cui il Cliente si opponga a un nuovo Subprocessore, il Fornitore compirà ogni ragionevole sforzo per mettere a disposizione del Cliente una modifica dei Servizi o raccomandare una modifica commercialmente ragionevole dei Servizi per evitare il trattamento dei Dati personali del Cliente da parte del nuovo Subprocessore in questione. Se non è possibile alcuna alternativa, le parti hanno il diritto di risolvere il Contratto tra loro.
5.5 La notifica di un nuovo Subprocessore da parte del Fornitore al Cliente dovrà includere la fornitura di un Allegato C aggiornato. Il Fornitore dovrà mantenere aggiornato l'Allegato C.
5.6 Il Fornitore resterà responsabile nei confronti del Cliente per l'adempimento degli obblighi dei Subprocessori.
6. Trasferimenti di dati
6.1 Ai sensi dell'articolo 28(3)(a) del GDPR del Regno Unito e dell'UE, il Fornitore non trasferirà, e non consentirà ad alcun Subprocessore di trasferire, i Dati personali del Cliente al di fuori del SEE o del Regno Unito (a seconda dei casi), se non nei termini previsti dal presente Contratto. A scanso di equivoci, il Cliente acconsente al trasferimento e al trattamento dei Dati personali come specificato nell'Allegato A, in quanto applicabile.
6.2 Il Fornitore riconosce che, in conformità con il GDPR del Regno Unito e dell'UE, deve esistere un'adeguata protezione dei Dati personali dopo qualsiasi trasferimento al di fuori del Regno Unito o del SEE (direttamente o tramite il trasferimento successivo di un subprocessore) e dovrà stipulare un accordo appropriato con il Cliente e/o qualsiasi subprocessore per disciplinare tale trasferimento. Questo includerà le Clausole contrattuali standard applicabili, a meno che non esista un altro meccanismo di adeguatezza per il trasferimento.
7. Violazione dei dati personali
7.1 In caso di violazione dei Dati Personali del Cliente, il Fornitore dovrà:
7.1.1 notificare al Cliente senza indebito ritardo (entro un massimo di 48 ore) per consentire al Cliente di adempiere agli obblighi di comunicazione del GDPR del Regno Unito e dell'UE e per fornire un'assistenza ragionevole al Cliente quando deve comunicare una violazione dei dati personali a un Soggetto interessato.
7.1.2 Compiere ogni ragionevole sforzo per identificare la causa di tale violazione dei dati personali e adottare le misure che il Fornitore ritiene ragionevolmente praticabili al fine di porre rimedio alla causa di tale violazione dei dati personali.
7.1.3 Nel rispetto dei termini del presente DPA, fornire assistenza e cooperazione ragionevoli, come richiesto dal Cliente, per portare avanti qualsiasi correzione o rimedio di qualsiasi violazione dei dati personali.
8. Registrazioni del trattamento
8.1 Nella misura in cui è applicabile al Trattamento del Fornitore per il Cliente, il Fornitore manterrà tutti i registri richiesti dall'articolo 30(2) del GDPR del Regno Unito e dell'UE e li metterà a disposizione del Cliente su richiesta.
9. Diritti di revisione
9.1 Il Fornitore metterà a disposizione del Cliente, e farà in modo che i suoi Sub-Processori lo facciano su richiesta, le informazioni ragionevoli necessarie a dimostrare il rispetto dei suoi obblighi di protezione dei dati ai sensi del presente DPA e consentirà e contribuirà alle verifiche, compresa l'ispezione presso i suoi locali, da parte del Cliente o di un revisore incaricato dal Cliente in relazione al trattamento dei Dati personali del Cliente, a condizione che tale revisore non sia un concorrente del Fornitore.
10. Termine
10.1 Il presente DPA rimarrà in vigore a tutti gli effetti fino a quando:
10.1.1 Il Contratto rimane in vigore; oppure
10.1.2 Il Fornitore conserva tutti i Dati personali del Cliente in suo possesso o controllo.
10.2 Qualsiasi disposizione del presente DPA che, espressamente o implicitamente, debba entrare o rimanere in vigore al momento della risoluzione del Contratto o successivamente, al fine di proteggere i Dati personali del Cliente, rimarrà in vigore a tutti gli effetti.
11. Restituzione e distruzione dei dati
11.1 Il Fornitore, a discrezione del Cliente e previa richiesta scritta del Cliente, cancellerà o restituirà al Cliente tutti i Dati personali del Cliente al termine della fornitura dei Servizi relativi all'Elaborazione e cancellerà le copie esistenti, a meno che la legge applicabile del SEE o di uno Stato membro non richieda la conservazione dei Dati personali del Cliente. In assenza di richiesta scritta da parte del Cliente, il Fornitore cancellerà i Dati personali del Cliente 90 giorni dopo la cessazione del Contratto.
11.2 Su richiesta del Cliente, il Fornitore fornirà una comunicazione scritta delle misure adottate in merito ai Dati personali del Cliente.
12. Indennizzo
12.1 Il Fornitore si impegna a tenere indenne il Cliente da tutti i costi diretti, le richieste di risarcimento, i danni o le spese sostenute dal Cliente a causa del mancato rispetto da parte del Fornitore o dei suoi dipendenti, subprocessori, subappaltatori o agenti di uno qualsiasi dei suoi obblighi ai sensi del presente DPA o delle Leggi sulla protezione dei dati in conformità con l'articolo 82 del GDPR del Regno Unito e dell'UE.
12.2 In deroga a qualsiasi disposizione contraria contenuta nel presente DPA o nel Contratto (compresi, a titolo esemplificativo, gli obblighi di indennizzo di una delle parti), nessuna delle parti sarà responsabile di eventuali multe GDPR emesse o riscosse ai sensi dell'articolo 83 del GDPR nei confronti dell'altra parte da parte di un'autorità di regolamentazione o di un ente governativo in relazione alla violazione del GDPR da parte di tale altra parte.
12.3 Fatti salvi gli obblighi di legge di cui alla clausola 12.1 e le limitazioni di cui alla clausola 12.2, la responsabilità di ciascuna parte ai sensi del presente DPA sarà soggetta alle esclusioni e alle limitazioni di responsabilità stabilite nel Contratto. Qualsiasi riferimento a "limitazioni di responsabilità" di una parte nel Contratto deve essere interpretato come la responsabilità complessiva di una parte e di tutte le sue Controllate e Affiliate ai sensi del Contratto e del presente DPA.
Allegato A
Finalità e dettagli del trattamento dei dati personali
| Oggetto del trattamento | Dettagli | Si applica a: |
|---|---|---|
ScopoSpecificare tutte le finalità per le quali i Dati Personali saranno trattati dal Fornitore |
Accesso al sistema Amministrazione del sistema Consegna dei contenuti del sistema in base ai moduli sottoscritti. Vedi sotto: | Tutti i clienti |
| Politiche, valutazioni delle conoscenze | Clienti che si abbonano ai moduli Policy (PolicyLite, MetaEngage e MetaPolicy) | |
| eLearning, altri media | Clienti che si abbonano a moduli di Elearning (MetaLearning Fusion) | |
| Indagini sulla privacy | Clienti che sottoscrivono il modulo MetaPrivacy | |
| Recensioni sull'incidente | Clienti che sottoscrivono il modulo MetaIncident | |
| Campagne di phishing simulate | Clienti abbonati a MetaPhish | |
| Trasferimento SCORM all'LMS del cliente | Clienti che si iscrivono al trasferimento SCORM | |
Tipi di dati personaliSpecificare i Dati Personali che verranno trattati dal Fornitore |
Nome, cognome, indirizzo e-mail, reparto, registro di formazione | Tutti i clienti |
| Unità organizzativa (OU) di Active Directory | Clienti che utilizzano Azure AD o AD on premise | |
| ID LMS | I clienti con abbonamenti al trasferimento SCORM | |
Operazioni di lavorazioneSpecificare tutte le attività di lavorazione che il Fornitore deve condurre |
Elaborazione e archiviazione dei dati personali dei clienti al fine di creare e mantenere gli account degli utenti autorizzati sulla piattaforma MyCompliance. Distribuzione di varie e-mail di notifica avviate dal sistema MyCompliance di MetaCompliance. | Tutti i clienti |
| Distribuzione di e-mail di phishing simulato specificate avviate dal Cliente tramite la piattaforma MyCompliance di MetaCompliance. | Clienti che si iscrivono al modulo MetaPhish | |
| Memorizzazione dei dati personali inseriti dal cliente tramite il modulo MetaPrivacy di MetaCompliance. | Clienti che sottoscrivono il modulo MetaPrivacy | |
| Comunicare con l'LMS del cliente e valutare il numero di licenze. | Clienti che si iscrivono al trasferimento SCORM | |
Categorie di soggetti interessatiSpecificare le categorie di soggetti i cui dati personali saranno trattati dal Fornitore. |
Dipendenti del cliente, appaltatori, fornitori, partner e/o affiliati. | Tutti i clienti in conformità con i dati dell'interessato forniti al Fornitore. Il Cliente può limitare questo aspetto a seconda dell'uso che intende fare dei Servizi. |
Ubicazione delle operazioni di trattamentoSpecificare tutte le sedi in cui i Dati Personali saranno trattati dal Fornitore |
Regno Unito (MetaCompliance Group ALSO di Microsoft Azure e Amazon Web Services per i nuovi clienti con sede nel Regno Unito dopo la data di entrata in vigore). Danimarca (Gruppo MetaCompliance). Irlanda (MetaCompliance Group ALSO di Microsoft Azure e Amazon Web Services per i nuovi clienti con sede nel SEE e in Svizzera dopo la data di entrata in vigore). Olanda (Microsoft Azure per i nuovi clienti svizzeri dopo la data di entrata in vigore). Canada (Microsoft Azure e Amazon Web Services per i nuovi clienti canadesi dopo la data di entrata in vigore). U.S.A. (Twilio per i servizi Sendgrid - opzione di provider di e-mail transazionali in base all'ubicazione del Cliente - vedi Allegato C). |
Tutti i clienti, a seconda dei casi. Per ulteriori dettagli si rimanda all'Allegato C |
Requisiti di conservazioneSe applicabile, specificare il tempo di conservazione dei Dati personali del cliente conservati dal Fornitore. |
Quando un abbonamento del Cliente è scaduto o è terminato, tutti i Dati personali del Cliente associati vengono conservati per 90 giorni prima di essere effettivamente cancellati, al fine di recuperare una cancellazione accidentale dell'abbonamento. | Tutti i clienti |
Allegato B
Disposizioni di sicurezza
Il Fornitore, al fine di assistere il Cliente nell'adempimento dei suoi obblighi legali, tra cui, a titolo esemplificativo e non esaustivo, le misure di sicurezza e le valutazioni dei rischi per la privacy, è tenuto ad adottare misure tecniche e organizzative adeguate per proteggere i Dati personali del Cliente che vengono trattati. Tali misure dovranno garantire almeno un livello di sicurezza adeguato, tenendo conto di quanto segue:
(a) le possibilità tecniche esistenti;
(b) i costi di realizzazione delle misure;
(c) i rischi particolari associati al Trattamento dei Dati Personali del Cliente; e
(d) la sensibilità dei Dati Personali del Cliente che vengono trattati.
Il Fornitore dovrà mantenere un'adeguata sicurezza per i Dati personali del Cliente. Il Fornitore dovrà proteggere i Dati personali del Cliente dalla distruzione, dalla modifica, dalla diffusione illegale o dall'accesso illegale. I Dati Personali del Cliente saranno inoltre protetti da ogni altra forma di Trattamento illecito. Tenendo conto dello stato dell'arte e dei costi di implementazione e tenendo conto della natura, dell'ambito, del contesto e delle finalità del Trattamento, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone, le misure tecniche e organizzative che il Fornitore dovrà implementare includeranno, a seconda dei casi:
(a) la pseudonimizzazione e la crittografia dei dati personali del cliente;
(b) la capacità di garantire la costante riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali del cliente;
(c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso ai Dati personali del cliente in caso di incidente fisico o tecnico; e
(d) un processo per testare, valutare e valutare regolarmente l'efficacia delle misure tecniche e organizzative per garantire la sicurezza del Trattamento.
Oltre alle misure tecniche e organizzative di cui sopra, il Fornitore dovrà attuare le seguenti misure:
(a) protezione dell'accesso fisico, in base alla quale le apparecchiature informatiche e i dati rimovibili contenenti i Dati personali dell'utente presso i locali del Fornitore saranno chiusi a chiave quando non sono sotto controllo, al fine di proteggere dall'uso non autorizzato, dall'impatto e dal furto.
(b) un processo di verifica della lettura dopo il ripristino dei Dati personali del cliente da copie di backup.
(c) controllo delle autorizzazioni, in base al quale l'accesso del Fornitore ai Dati personali del Cliente è gestito attraverso un sistema tecnico di controllo delle autorizzazioni. L'autorizzazione sarà limitata a coloro che hanno bisogno dei Dati personali del cliente per il loro lavoro. Gli ID utente e le password saranno personali e non potranno essere trasferiti a terzi. Esistono procedure per l'assegnazione e la rimozione delle autorizzazioni.
(d) tenere un registro dei soggetti che hanno accesso ai Dati personali del cliente.
(e) comunicazione sicura, in base alla quale le connessioni esterne per la comunicazione dei dati saranno protette utilizzando funzioni tecniche che assicurino che la connessione sia autorizzata, nonché la crittografia dei contenuti per i dati in transito nei canali di comunicazione al di fuori dei sistemi controllati dal Fornitore.
(f) un processo per garantire la distruzione sicura dei dati quando i supporti di memorizzazione fissi o rimovibili non vengono più utilizzati per il loro scopo.
(g) le routine per la stipula di accordi di riservatezza con i fornitori che forniscono riparazione e assistenza delle apparecchiature utilizzate per memorizzare i dati personali del cliente.
(h) le routine per la supervisione del servizio svolto dai fornitori presso i locali del Fornitore. I supporti di memorizzazione contenenti i Dati personali del cliente dovranno essere rimossi se la supervisione non è possibile.
Allegato C
Subprocessori approvati Tutti i nuovi clienti dopo il5 luglio 2023 possono scegliere di modificare l'applicazione predefinita dei Subprocessori e delle sedi dei centri dati al momento dell'onboarding, inviando un'e-mail di conferma a MetaCompliance Ltd. I valori predefiniti sono:
| Sottoprocessore | Posizione | Si applica a: |
|---|---|---|
| Microsoft Azure (ospita i servizi nel cloud) | Olanda Dublino Regno Unito (UK) Canada | Posizione applicata in base a quanto indicato di seguito per i nuovi Clienti dopo il 5 luglio 2023:
I clienti con sede nel SEE e in Svizzera si rivolgeranno di default a centri dati con sede nell'UE per Microsoft Azure. |
| Amazon Web Services (contratto con "AWS Europe", come fornitore di e-mail transazionali) | Olanda Dublino Regno Unito Canada | Posizione applicata in base a quanto indicato di seguito per i nuovi Clienti dopo il 5 luglio 2023:
I clienti con sede nel SEE e in Svizzera si rivolgeranno ai centri dati dell'UE per AWS Europe. |
Sottoprocessore
Posizione
Si applica a:
Microsoft Azure (ospita i servizi nel cloud)
Amazon Web Services (contratto con "AWS Europe", come fornitore di e-mail transazionali)
Olanda
Dublino
Regno Unito (UK)
Canada
Olanda
Dublino
Regno Unito
Canada
Posizione applicata in base a quanto sotto riportato per i nuovi Clienti dopo il 5 luglio 2023::
- I clienti del Regno Unito sceglieranno di default i centri dati di Microsoft Azure solo per il Regno Unito.
- I clienti canadesi sceglieranno di default i Data Center solo canadesi per Microsoft Azure.
I clienti con sede nel SEE e in Svizzera si rivolgeranno di default a centri dati con sede nell'UE per Microsoft Azure.
Posizione applicata in base a quanto indicato di seguito per i nuovi Clienti dopo il 5 luglio 2023:
- Per i clienti del Regno Unito, l'impostazione predefinita per AWS Europe sarà quella dei centri dati solo del Regno Unito.
- I clienti canadesi si rivolgeranno ai centri dati solo canadesi di AWS Europe.
| Sottoprocessore | Posizione | Si applica a. |
|---|---|---|
|
Microsoft Azure (ospita i servizi nel cloud) |
Olanda |
Tutti i clienti |
|
AWS Europe (fornitore di e-mail transazionali) |
Dublino |
Tutti i clienti con sede nel Regno Unito o nei paesi SEE. |
|
Twilio per i servizi Sendgrid (provider di e-mail transazionali) |
STATI UNITI D'AMERICA |
Tutti i clienti con sede al di fuori del Regno Unito o dei paesi SEE |
Per i clienti che hanno stipulato un contratto a partire dal5 luglio 2023, si prega di consultare i dettagli di seguito riportati in merito all'utilizzo di subprocessori:
- Clienti con un DPA separato - tale documento (e successive modifiche) ha la precedenza e delinea i Subprocessori in uso.
- I clienti che facevano parte del gruppo che il 15 luglio 2023 ha deciso di utilizzare AWS Europe per le notifiche di simulazione di phish utilizzeranno la seguente procedura (se non diversamente indicato per iscritto):
Microsoft Azure - centri dati di Dublino e Amsterdam (cloud host)
Amazon Web Services - Dublino (provider di e-mail transazionali solo per le notifiche di simulazione di phish)
Twilio per Sendgrid Services - U.S.A. (provider di e-mail transazionali per tutte le altre notifiche dalla piattaforma).
Accordo sul trattamento dei dati archiviato, disponibile qui.
Introduzione
Le parti sono interessate a che la Databehandleraftale ("DPA") si estenda a tutte le parti che riguardano la gestione e il trattamento dei dati personali dei clienti, in collaborazione con Software e Tjenesterne di MOCH A/S. DPAen er inkorporeret ved henvisning i de Generelle Vilkår og Betingelser (Kommercielle Vilkår). Le parterne sono inoltre interessate a trovare un DPA separato sotto la loro responsabilità, a regolamentare il DPA, a gestire i dati personali e a cancellare i dati personali dei clienti.I bestemmelser i DPAen estendono eventuali modstridende bestemmelser in MOCHs Erklæring om Beskyttelse af Personoplysninger, som ellers måtte gælde for behandling af Kunders Personoplysninger. Per quanto riguarda il cielo di Klarhedens, in caso di sovrapposizione con lo Standardkontraktbestemmelserne fra 2021, che è stato definito in base alla legge, se lo Standardkontraktbestemmelserne fra 2021 trova un'applicazione, lo Standardkontraktbestemmelserne fra 2021 può essere utilizzato per la gestione dell'etto e del territorio nel DPAen.
1. Parter
1.1 Kunden som defineret i de Generelle Vilkår og Betingelser ("Kunden") og
1.2 MOCH A/S indregistreret i Danmark med CVR-nummer 25397096, med hjemsted på Toldbodgade 51C, 1253 København ("Leverandør").
2. Baggrund
2.1 Kunden og Leverandøren har indgået en Kontrakt, som kan kræve, at Leverandøren behandler Personoplysninger på vegne af Kunden.
2.2 Denne Databehandleraftale ("DPA") fastsætter de yderligere vilkår, krav og betingelser, hvorefter Leverandøren behandler Personoplysninger, når han leverer Tjenester i henhold til Kontrakten. Denne DPA indeholder de obligatoriske klausuler, der kræves i artikel 28, stk. 3, i databeskyttelsesforordningen ((EU) 2016/679 og UK GDPR-lovgivningen) per i kontrakter mellem dataansvarlige og databehandlere.
2.3 Denne DPA er underlagt vilkårene i Kontrakten og er inkorporeret i Kontrakten. L'udtryk, che si riferisce a questo DPA, ha un'altra caratteristica, che è quella di essere angivet in questo DPA. Termer med stort begyndelsesbogstav, der ikke på anden måde er defineret heri, skal have den betydning, der er angivet i Kontraktens Vilkår og Betingelser.
2.4 Bilagene udgør en del af denne DPA og har virkning, som om de var anført fuldt ud i denne DPA. Enhver henvisning til denne DPA omfatter Bilag.
2.5 I tilfælde af en konflikt mellem en bestemmelse i denne DPA og et eller flere vilkår i Kontrakten med hensyn til genstanden for denne Aftale, har bestemmelserne i denne DPA forrang.
3. Definitioner
Følgende udtryk i denne DPA har følgende betydning:
| "Dati e dati" | betyder alle gældende love og bestemmelser vedrørende Behandling af Personoplysninger til enhver tid i løbet af denne DPAs løbetid, herunder (1) Databeskyttelsesforordningen (GDPR, EU 2016/679) og implementeringen heraf i den danske databeskyttelseslov; (2) Det Forenede Kongeriges (Regno Unito) Databeskyttelsesforordning (UK GDPR) som tilpasset af Data Protection Act 2018; (3) ePrivacy-direktivet 2002/58/EF som gennemført af EUs medlemsstater og eventuel efterfølgende lovgivning og alle andre forordninger, retningslinjer og adfærdskodekser vedrørende databeskyttelse og privatlivets fred som ændret, ajourført eller erstattet fra tid til anden. |
| "Personlige Kundeoplysninger" | scommette su Personoplysninger, che si occupa di MOCH udelukkende con la possibilità di fare leva su Tjenester e di essere ascoltato dai clienti. |
| "Standardkontraktbestemmelser" | betyder Europa Kommissionens Standardkontraktbestemmelser for overførsel af Personoplysninger fra Den Europæiske Union til databehandlere, der er etableret i tredjelande (overførsler fra dataansvarlig til databehandler), som fastsat i Bilaget til Kommissionens Afgørelse 2021/914/EU pr. 4. juni 2021 og vedtaget i henhold til Det Forenede Kongeriges (Regno Unito) tillæg pr. 21. marts 2022. |
| "Underdatabehandler" | scommette su un subalterno, che è benvoluto da Leverandøren, e, in quanto parte del ruolo del subalterno con l'obiettivo di far rispettare i Tjenesterne, si occupa di gestire i Personoplysninger per conto dei clienti. |
| "Dataansvarlig", "Registreret", "Databehandler", "Behandling eller behandling", "Personoplysninger", "Brud på persondatasikkerheden". | può avere i dati che le sono stati dati in Storbritannia e nell'UE GDPR. |
4. Behandling af Personoplysninger
4.1 Parterne anerkender og accepterer, at Leverandøren med det formål at overholde Databeskyttelseslovgivningen og med hensyn til behandling af Kundens Personoplysninger er Databehandleren, og Kunden er den Dataansvarlige.
4.2 Kunden garanterer og indestår for: (i) che l'overførslen af Kundens Persondata to Leverandøren i alle henseender overholder Databeskyttelseslovgivningen (herunder uden begrænsning med hensyn til indsamling og brug); og (ii) rimelig behandling af personoplysninger og alle andre relevante meddelelser er givet til de Registrerede (og alle nødvendige samtykker fra sådanne Registrerede er indhentet og til enhver tid gældende) i det omfang, si occupa di Databeskyttelseslovgivningen in assenza di tutte le attività di gestione, che possono essere utilizzate da Leverandøren o da Underdatabehandlere in aggiunta a tale attività;
4.3 Leverandøren forpligter sig til kun at behandle Kundens Personoplysninger: (i) som nødvendigt for at levere Tjenesterne; (ii) i overensstemmelse med skriftlige instruktioner fra Kunden; og (iii) i overensstemmelse med kravene i Databeskyttelseslovgivningen.
4.4 Kunden skal i sin brug af Tjenesterne behandle Personoplysninger i overensstemmelse med kravene i Databeskyttelseslovgivningen. Kunden skal sikre, at alle instruktioner til Leverandøren i forbindelse med behandling af Kundens Personoplysninger overholder Databeskyttelseslovgivningen.
4.5 Kundens instruktioner til Leverandøren vedrørende genstanden for og varigheden af Behandlingen, Behandlingens art og formål, typerne af Personoplysninger og kategorierne af Registrerede er beskrevet i Bilag A. Per poter inviare o accettare parterne, le istruzioni, che sono state inserite nel DPA o nel Bilag A, sono disponibili in tutte le istruzioni del Kunden e di Leverandøren (punto 5).
4.6 Leverandøren può essere sottoposta al controllo di Kunden, se un'istruzione di Kunden dopo un'operazione di Leverandørens non è più valida può essere applicata in base alla Databeskyttelseslovgivningen.
4.7 Leverandøren må ikke behandle, overføre, modificere eller ændre Kundens Personoplysninger, videregive eller tillade videregivelse af Kundens Personoplysninger til nogen tredjepart uden for de instruktioner, der er beskrevet i denne DPA.
4.8 Il personale di Leverandørens, che è coinvolto nella gestione dei Kundens Personoplysninger, può informare sui parametri di controllo dei Kundens Personoplysninger e può modificare i canali di accesso in base alle proprie esigenze. Le persone possono essere sottoposte a controlli per passare i controlli. Un elenco delle persone che hanno un accesso fittizio deve essere compilato regolarmente. A fronte di una lista di persone, è possibile che un adgang al personoplysninger sia stato inserito, se l'adgangen ikke længere er nødvendig, o il personoplysninger vil di seguito ikke længere være tilgængelige for disse personer.
4.9 Sotto l'egida di Hensyntagen til behandlingens karakter i de leverede Tjenester skal Leverandøren som krævet i UK og EU GDPR artikel 32 opretholde passende tekniske og organisatoriske foranstaltninger for at sikre behandlingssikkerheden, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod utilsigtet eller ulovlig ødelæggelse, tab eller ændring eller skade, uautoriseret videregivelse af eller adgang til Kundens Personoplysninger. Le parti dichiarano e accettano che i sikkerhedsforanstaltninger, che sono specificati nel DPA e che sono solo specificati nel Bilag B, siano passabili di sikkerhedsforanstaltninger tecnici e organizzativi per la creazione di un sikkerhedsniveau, che è passabile di rischio.
4.10 Leverandøren può fornire a Kunden i passende tekniske og organisatoriske foranstaltninger, for så vidt dette er muligt og, under hensyntagen til behandlingens karakter, med at opfylde Kundens forpligtelser i henhold til Databeskyttelseslovgivningen, herunder i forhold til den registreredes rettigheder, konsekvensanalyser vedrørende databeskyttelse (relateretil Kundens brug af MOCH-Tjenester) og rapportering til og høring af tilsynsmyndigheder (i forbindelse med en konsekvensanalyse vedrørende databeskyttelse relateretil MOCH-Tjenesterne).
4.11 Se de Registrerede, kompetente myndigheder eller andre tredjeparter anmoder Leverandøren om oplysninger vedrørende Behandlingen af Kundens Personoplysninger, skal Leverandøren henvise en sådan anmodning to Kunden, medmindre andet kræves for at overholde Databeskyttelseslovgivningen, i hvilket tilfælde Leverandøren skal give Kunden forudgående meddelelse om et sådant lovkrav, medmindre den pågældende lov forbyder denne videregivelse af hensyn til vigtige offentlige interesser.
5. Underdatabehandlere
5.1 Kunden anerkender og accepterer, at Leverandøren i forbindelse med levering af Ydelser kan engagere Underdatabehandlere, som kan være datterselskaber af Leverandøren og/eller tredjeparter som nærmere beskrevet i Bilag C.
5.2 Kunden anerkender, at Leverandøren er givet en generel tilladelse til at antage nye Underdatabehandlere til at behandle Kundens Personoplysninger uden at indhente yderligere skriftlig specificik tilladelse fra Kunden. Dette er betinget af, at Leverandøren skriftligt underretter Kunden om enhver ny Underdatabehandlers identitet 30 dage forud for behandlingen af Kundens Personoplysninger.
5.3 Hvis Kunden ønsker at gøre indsigelse mod den relevante Underdatabehandler, skal Kunden give skriftlig meddelelse herom inden for ti (10) arbejdsdage fra modtagelsen af meddelelsen fra Leverandøren. Se Kunden vuole un'indicazione, la indichi come una sorta di "samtykke" per individuare l'Underdatabehandler pertinente.
5.4 Se Kunden richiede l'indsigelse di un nuovo Underdatabehandler, Leverandøren può creare un'indsats rimelig per stabilire un'ændring a Tjenesterne per il controllo di Kunden o per stabilire una kommercielt rimelig ændring a Tjenesterne per gestire il Personoplysninger di Kundens in un Underdatabehandler pertinente. Se le alternative sono molte, le parterne possono scegliere di optare per il Kontrakten con un'altra modalità.
5.5 Leverandørens meddelelse til Kunden om en ny Underdatabehandler skal indeholde et opdateret bilag C. Leverandøren skal holde Bilag C opdateret.
5.6 Leverandøren forbliver ansvarlig over for Kunden for opfyldelsen af Underdatabehandlernes forpligtelser.
5.7 Leverandøren skal i sin aftale med Underdatabehandleren indføje den Kunden som begunstiget tredjemand i tilfælde af Leverandørens konkurs, således at Kunden kan indtræde i Leverandørens rettigheder og gøre dem gældende over for Underdatabehandlere, som f.eks. gør Kunden i stand til at instruere Underdatabehandleren i at slette eller tilbagelevere personoplysningerne.
6. Overførsel til tredjelande eller internationale organisationer
6.1 I overensstemmelse med artikel 28(3)(a) i GDPR i Storbritannien og EU må Leverandøren ikke, og må ikke tillade nogen Underdatabehandler at, overføre Kundens Personoplysninger uden for EU/EØS eller Storbritannien (alt efter hvad der er relevant) andet end som angivet i denne Aftale. For at undgå tvivl giver Kunden hermed samtykke til overførsel og behandling af Personoplysningerne som specificeret in Bilag A, som det gælder.
6.2 Leverandøren anerkender, at der i overensstemmelse med GDPR i Storbritannien og EU skal være tilstrækkelig beskyttelse af Personoplysningerne efter enhver overførsel uden for Storbritannien eller EØS (enten direkte eller via en Underdatabehandlers videre overførsel), o che Leverandøren possa indgå en passende aftale med Kunden og/eller enhver Underdatabehandler for at regulere en sådan overførsel. Questo può omettere gli Standardkontraktbestemmelser più diffusi, ma in questo modo è possibile trovare un'altra combinazione di fattori per l'overførslen.
7. Brud på persondatasikkerheden
7.1 I tilfælde af brud på persondatasikkerheden, der involverer Kundens Personoplysninger, skal Leverandøren:
7.1.1 Underrette Kunden uden unødig forsinkelse (inden for maksimalt 48 timer) for at gøre det muligt for Kunden at overholde anmeldelsesforpligtelser i henhold til GDPR i Storbritannien og EU og for at yde rimelig assistance til Kunden, når det er nødvendigt at kommunikere et brud på persondatasikkerheden til en registreret person.
7 7.1.2 Gøre en rimelig indsats for at identificere årsagen til et sådant brud på persondatasikkerheden og tage de skridt, som Leverandøren anser for rimeligt gennemførlige for at afhjælpe årsagen til et sådant brud på persondatasikkerheden.
7.1.3 I henhold til betingelserne i denne DPA, yde rimelig assistance og samarbejde som anmodet af Kunden, for at fremme enhver korrektion eller afhjælpning af ethvert Brud på Persondatasikkerheden.
8. Fortegnelser over behandlingsaktiviteter
8.1 I det omfang det er relevant for Leverandørens behandling af personoplysninger for Kunden, skal Leverandøren opbevare alle fortegensler, der kræves i henhold til artikel 30, stk. 2, i Storbritannien og EU GDPR, og skal stille dem til rådighed for Kunden efter anmodning.
10. Ikrafttræden
10.1 Denne DPA er gældende så længe:
10.1.1 Kontrakten er gældende; eller
10.1.2 Leverandøren opbevarer enhver af Kundens Personoplysninger i sin besiddelse eller kontrol.
10.2 Enhver bestemmelse in denne DPA, der udtrykkeligt eller underforstået træder i kraft eller forbliver gældende ved eller efter opsigelse af Kontrakten for at beskytte Kundens Personoplysninger, forbliver gældende.
11. Sletning og returnering af oplysninger
11.1 Leverandøren può, in base alle esigenze di Kundens foranledning o ved enhver sådan skriftlig anmodning fra Kunden, slette o restituire tutti i Kundens Personoplysninger a Kunden dopo l'afslutningen af leveringen af Tjenester relateret to Behandlingen o slette eksisterende kopier, medmindre gældende EØS- eller medlemsstatslovgivning kræver opbevaring af Kundens Personoplysninger. Se si modifica una modifica parziale di Kunden, Leverandøren può selezionare Kundens Personoplysninger 90 giorni dopo l'apertura di Kontraktens.
11.2 På Kundens anmodning Leverandøren può fornire una modifica parziale di Kundens Personoplysninger.
12. Erstatning
12.1 Leverandøren accetta che Kunden abbia accesso a tutti gli omkostninger, krav, skader e udgifter diretti, che Kunden ha deciso di utilizzare a partire da Leverandørens o da altri medarbejderes, Underdatabehandleres, underleverandørers eller agenters manglende overholdelse af nogen af sine forpligtelser i henhold til denne DPA eller Databeskyttelseslovgivningen i overensstemmelse med artikel 82 i UK og EU GDPR.
12.2 Uanset det modsatte i denne DPA eller i Kontrakten (herunder, uden begrænsning, begge parters skadesløsholdelsesforpligtelser), vil ingen af parterne være ansvarlig for GDPR-bøder udstedt eller opkrævet i henhold til artikel 83 i GDPR mod den anden part af en regulerende myndighed eller et statsligt organ i forbindelse med en sådan anden parts overtrædelse af GDPR.
12.3 Med forbehold for de juridiske forpligtelser, der er beskrevet i punkt 12.1, og de begrænsninger, der er beskrevet i punkt 12.2, skal hver parts ansvar i henhold til denne DPA være underlagt de ansvarsfraskrivelser og -begrænsninger, der er beskrevet i Kontrakten. Enhver henvisning til en parts "ansvarsbegrænsning" i Kontrakten skal fortolkes som en parts og alle dennes datterselskabers og associerede selskabers samlede ansvar i henhold til aftalen og denne DPA.
Bilag A
Formål og detaljer vedrørende behandling af Personoplysninger| Supporto per la manipolazione | Detaljer | Gælder per: |
Forma Tutti i formulari, in particolare quelli che riguardano le persone, devono essere gestiti da Leverandøren. | Systemadgang Systemadministration Levering af systemindhold i henhold til moduler, der abonneres på. Se nedenfor: | Alle Kunder |
| Politici, esperti di vidimazione | Kunder, che si occupa di politiche (PolicyLite, MetaEngage e MetaPolicy) | |
| eLearning, andre medier | Kunder, der abonnerer på Elearning-moduler (MetaLearning Fusion) | |
| Indagini sulla privacy | Kunder, che ha aperto il modulo MetaPrivacy | |
| Anmeldelser af hændelser | Kunder, che ha abbandonato il modulo di MetaIncident | |
| Simulerede phishing-kampagner | Kunder, che ha abbandonato Metaphish | |
| Sovrapposizione di SCORM all'LMS del cliente | Kunder, che si occupa di SCORM-overførsel | |
Tipi di personaggi Angiv de Personoplysninger, der vil blive behandlet af Leverandøren | Fornavn, efternavn, e-mailadresse, afdeling, undervisningsoversigt | Alle Kunder |
| Unità organizzativa (OU) di Active Directory | Kunder, che brucia Azure AD o lokalt AD | |
| ID LMS | Kunder con abbonamento a SCORM overfører | |
Categorie di registrazione Angiv de kategorier af registrerede, hvis Personoplysninger vil blive behandlet af Leverandøren | Medarbejdere hos kunder, entreprenører, leverandører, partnere og/eller associerede selskaber. | Tutti i Kunder sono in contatto con le persone che si occupano del registro, che fanno riferimento a Leverandøren. I clienti possono chiedere di essere contattati in caso di necessità. |
Behandlinger Angiv alle behandlingsaktiviteter, der skal udføres af Leverandøren | Gestione e gestione dei Kunders Personoplysninger per l'apertura e la visualizzazione di documenti autorizzati sulla piattaforma. Distribuzione di messaggi di notifica forskellige avviati dal sistema MOCH. | Alle Kunder |
| Distribuzione di e-mail di phishing simulate e specificatamente iniziate dai clienti tramite la piattaforma MOCH. | Kunder, che ha abbandonato il modulo MetaPhish | |
| Apertura di Personoplysninger, dove i clienti vengono contattati tramite il modulo MOCH. | Kunder, che ha aperto il modulo MetaPrivacy | |
| Comunicare con l'LMS del cliente e valutare le licenze | Kunder, che si occupa di SCORM-overførsel | |
Collocazione di un'attività di supporto Angiv alle steder, hvor Personoplysningerne vil blive behandlet af Leverandøren | Det Forenede Kongerige (Regno Unito) (MetaCompliance Group) Deutschland (MetaCompliance Group) Danmark (MetaCompliance-Group) Portogallo (MetaCompliance Group) Irlanda (MetaCompliance Group, Microsoft Azure og Amazon Web Services) Olanda (Microsoft Azure) | Tutti i Kunder dopo il comportamento. Si accede alla scheda C per ottenere un'altra opzione. |
Krav til opbevaring Hvor det er relevant, angiv opbevaringstiden for Kundens Personoplysninger, der er gemt af Leverandøren. | Se il contratto è stato accettato o annullato, è possibile ottenere tutti i fondi personali che sono stati versati entro 90 giorni, per le spese finali, in modo da ottenere l'annullamento del contratto dopo l'utilizzo dell'apparecchio. | Alle Kunder |
Bilag B
Sikkerhedsforanstaltninger
Per aiutare i clienti a superare le loro esigenze di lavoro, a superare, ma anche a superare, i sikkerhedsforanstaltninger e i risikovurderer vedrørende databeskyttelse, Leverandøren ha deciso di adottare i sikkerhedsforanstaltninger e gli organisatoriske foranstaltninger per la gestione delle persone dei clienti. I corsi di formazione devono almeno sfociare in un'attività di consulenza, che deve essere svolta in base alle norme vigenti:
- eksisterende tekniske muligheder;
- omkostningerne ved gennemførelsen af foranstaltningerne;
- de særlige risici forbundet med behandlingen af Kunders Personoplysninger; og
- følsomheden af Kundens Personoplysninger, der behandles.
Leverandøren può aprire un'ampia gamma di sikkerhed per la gestione dei Kundens Personoplysninger. Leverandøren può scegliere di gestire i Personoplysninger di Kundens in base a criteri quali la cancellazione, il trasferimento, l'eliminazione o l'ampliamento. I Kundens Personoplysninger possono anche essere beskyttati da tutte le altre persone per un'ulteriore gestione. In base a un'analisi del livello tecnico attuale e dell'implementazione dei metodi di lavoro e in base a un'analisi dell'arte di gestione, omfang, kontekst og formål samt risikoen for varierende sandsynlighed og alvor for enkeltpersoners rettigheder og frihedsrettigheder, skal de tekniske og organisatoriske foranstaltninger, der skal implementeres af Leverandøren, efter omstændighederne omfatte:
- pseudonimizzazione e cifratura dei dati personali dei clienti;
- per garantire un controllo efficace, l'integrazione, il controllo della posizione e la modifica dei sistemi e dei dispositivi, che si occupano di gestire le persone di Kundens Personoplysninger;
- per poter disporre di un sistema di controllo e di gestione dei dati personali di Kundens Personoplysninger, che si trova in un'area di lavoro fisiologica o tecnica; oppure
- un processo per la verifica, la valutazione e l'analisi regolare dell'efficacia delle strutture tecniche e organizzative per l'ottenimento dei risultati.
Oltre ai centri di formazione tecnica e organizzativa, che sono stati messi a disposizione, Leverandøren ha creato altri centri di formazione:
- fysisk adgangsbeskyttelse, hvorved computerudstyr og flytbare data, der indeholder Kundens Personoplysninger i Leverandørens lokaler, skal være aflåst, når de ikke er under opsyn for at beskytte mod uautoriseret brug, påvirkning og tyveri.
- un processo per testare l'affidabilità di Kundens Personoplysning, dopo che Kundens Personoplysninger er blevet gendannet fra sikkerhedskopier.
- autorisationskontrol, hvorved Leverandørens adgang to Kundens Personoplysninger styres gennem et teknisk system fra autorisationskontrol. L'autorizzazione viene concessa a tutti coloro che hanno un'attività di consulenza e di controllo per poter accedere a Kundens Personoplysninger. I documenti e gli strumenti di controllo sono personali e non possono essere trasferiti ad altri. Esistono procedure per la compilazione e il rilascio di autorizzazioni.
- di fortegnelser over, hvem der har adgang to Kundens Personoplysninger.
- sikre kommunikation, hvor eksterne datakommunikationsforbindelser skal beskyttes ved hjælp af tekniske funktioner, der sikrer, at forbindelsen er autoriseret, samt kryptering af data i transit i kommunikationskanaler uden for systemer, der kontrolleres af Leverandøren.
- un processo di selezione e distruzione dei dati, in cui i fitti o voluminosi strumenti di misura si allungano fino a raggiungere la forma desiderata.
- per l'accesso alle casseforti con Leverandører, per la riparazione e il servizio di assistenza alle vittime, per la riduzione delle spese per la persona di Kundens.
- per la gestione del servizio, che viene erogato da Leverandører nei Leverandørens lokaler. I mediatori di lagrime, che sono associati a Kundens Personoplysninger, possono essere utilizzati se i tilsyn sono più numerosi.
Bilag C
Godkendte Underdatabehandlere - Kunder può inviare un messaggio di posta elettronica a MOCH A/S per ottenere un servizio di assistenza tecnica di qualità.| Sottodatabehandler | Sted |
| Microsoft Azure (Hoster Tjenesterne i Skyen) | Olanda Dublino |
| Amazon Web Services (indgået Kontrakt med "AWS Europe", som transaktions-e-mail-udbyder) | Dublino |
| MetaCompliance Limited (yder teknisk kundesupport og kundesupport - Supporttjenester) | Regno Unito |
| Forøg dine færdigheder GmbH en MetaCompliance Group-enhed (levering af supporttjenester til kunder) | Germania |
| MetaCompliance Ireland Ltd, una società del Gruppo MetaCompliance (che si avvale di un supporto per i clienti). | Irlanda |
| MetaCompliance Ireland Ltd Sucursal Portugal - (leva di supporto al finanziatore) | Portogallo |