Introduzione

Le parti convengono che il presente Accordo sulla Protezione dei Dati ("DPA") stabilisce i diritti e gli obblighi di ciascuna di esse in relazione al trattamento e alla sicurezza dei Dati Personali del Cliente in relazione al Software e ai Servizi forniti da MetaCompliance Ltd.. Il DPA è incorporato per riferimento nelle Condizioni Commerciali (Condizioni Commerciali). Le parti concordano inoltre che, a meno che non esista un DPA separato firmato dalle parti, il presente DPA regola il trattamento e la sicurezza dei Dati Personali del Cliente.

Le disposizioni dei Termini del DPA sostituiscono qualsiasi disposizione contrastante della Dichiarazione sulla Privacy di MetaCompliance che altrimenti potrebbe essere applicata al trattamento dei Dati Personali del Cliente. Per chiarezza, in linea con le Clausole Contrattuali Standard 2021 definite di seguito, quando le Clausole Contrattuali Standard 2021 sono applicabili, le Clausole Contrattuali Standard 2021 prevalgono su qualsiasi altro termine del Contratto di Trattamento dei Dati.

ACCORDO SUL TRATTAMENTO DEI DATI EFFETTIVO DAL 1° luglio 2024

  1. Parti

    1.1 Il Cliente è così come definito nelle Condizioni commerciali (il "Cliente") e

    1.2 MetaCompliance Limited costituita e registrata in Irlanda del Nord con numero di società NI049166, la cui sede legale si trova al Third Floor Old City Factory 100 Patrick Street, Londonderry BT48 7EL (il "Fornitore").

  2. Premessa
    2.1 Il Cliente e il Fornitore hanno stipulato un Contratto che può richiedere al Fornitore di trattare i Dati personali per conto del Cliente.
    2.2 Il presente Accordo per il trattamento dei dati ("DPA") stabilisce i termini, i requisiti e le condizioni aggiuntive in base ai quali il Fornitore tratterà i Dati personali durante la fornitura dei Servizi ai sensi del Contratto. Il presente DPA contiene le clausole obbligatorie richieste dall'articolo 28(3) del Regolamento generale sulla protezione dei dati ((UE) 2016/679 e dalla legislazione britannica GDPR) per i contratti tra responsabili e incaricati del trattamento.
    2.3 Il presente DPA è soggetto ai termini del Contratto ed è incorporato nel Contratto. I termini utilizzati nel presente DPA avranno il significato indicato nel presente DPA. I termini in maiuscolo non altrimenti definiti nel presente documento avranno il significato loro attribuito nelle Condizioni commerciali del Contratto.
    2.4 Gli Allegati costituiscono parte integrante del presente DPA e avranno effetto come se fossero riportati integralmente nel presente DPA. Qualsiasi riferimento al presente DPA include gli Allegati.
    2.5 In caso di conflitto tra una disposizione del presente DPA e una o più clausole del Contratto, relativamente all'oggetto del presente Accordo, prevarranno le disposizioni del presente DPA.
  3. Definizioni I seguenti termini del presente DPA hanno il seguente significato:

"Leggi sulla protezione dei dati"

indica tutte le leggi e i regolamenti applicabili relativi al Trattamento dei Dati Personali in qualsiasi momento durante la durata del presente DPA, tra cui (1) il Regolamento Generale sulla Protezione dei Dati (GDPR, UE 2016/679); (2) il Regolamento Generale sulla Protezione dei Dati del Regno Unito (UK GDPR) come adattato dal Data Protection Act 2018; (3) la Direttiva ePrivacy 2002/58/CE come implementata dagli Stati membri dell'UE, e qualsiasi legislazione successiva e qualsiasi altro regolamento, guida e codice di pratica relativi alla protezione dei dati e alla privacy, in ogni caso come modificato, aggiornato o sostituito di volta in volta.

"Dati personali del cliente"

indica i Dati Personali trattati da MetaCompliance esclusivamente ai fini della fornitura dei Servizi e come indicato dal Cliente.

"Clausole contrattuali standard

indica le Clausole contrattuali standard della Commissione europea per il trasferimento di dati personali dall'Unione europea a incaricati del trattamento stabiliti in paesi terzi (trasferimenti da responsabile del trattamento a incaricato del trattamento), come stabilito nell'allegato alla decisione 2021/914/UE della Commissione del 4 giugno 2021 e adottato con l'addendum del Regno Unito del 21 marzo 2022.

"Sottoprocessore"

indica un subappaltatore terzo ingaggiato dal Fornitore che, nell'ambito del ruolo del subappaltatore di fornire i servizi, tratterà i Dati personali per conto del Cliente.

"Titolare del trattamento", "Interessato", "Responsabile del trattamento", "Trattamento", "Dati personali", "Violazione dei dati personali".

hanno il significato loro attribuito nel GDPR del Regno Unito e dell'UE.

4. Trattamento dei dati personali

4.1 Le parti riconoscono e concordano che, ai fini delle leggi sulla protezione dei dati e per quanto riguarda il trattamento dei dati personali del Cliente, il Fornitore è il Responsabile del trattamento e il Cliente è il Titolare del trattamento.

4.2 Il Cliente garantisce e dichiara che: (i) il trasferimento dei Dati personali del Cliente al Fornitore è conforme sotto tutti gli aspetti alle Leggi sulla protezione dei dati (inclusi, senza limitazioni, i termini di raccolta e utilizzo); e (ii) che il trattamento equo e tutti gli altri avvisi appropriati sono stati forniti ai Soggetti dei Dati personali del Cliente (e tutti i consensi necessari da parte di tali Soggetti sono stati ottenuti e mantenuti in ogni momento) nella misura richiesta dalle Leggi sulla protezione dei dati in relazione a tutte le attività di trattamento che possono essere intraprese dal Fornitore e dai suoi Subprocessori in conformità con il presente Contratto;

4.3 Il Fornitore si impegna a trattare i Dati personali del Cliente solo: (i) nella misura necessaria a fornire i Servizi; (ii) in conformità alle istruzioni scritte del Cliente; e (iii) in conformità ai requisiti delle Leggi sulla protezione dei dati.

4.4 Il Cliente, nell'utilizzo dei Servizi, tratterà i Dati personali in conformità ai requisiti delle Leggi sulla protezione dei dati. Il Cliente dovrà garantire che qualsiasi istruzione impartita al Fornitore in relazione al Trattamento dei Dati personali del Cliente sia conforme alle Leggi sulla protezione dei dati.

4.5 Le istruzioni del Cliente al Fornitore relative all'oggetto e alla durata del Trattamento, alla natura e alle finalità del Trattamento, ai tipi di Dati personali e alle categorie di Soggetti interessati sono descritte nell'Allegato A. A scanso di equivoci, le parti riconoscono e concordano che, fatta salva la clausola 5, le istruzioni per il Trattamento indicate nel presente DPA e nell'Allegato A costituiscono l'insieme completo delle istruzioni del Cliente al Fornitore in quanto applicabili.

4.6 Il Fornitore comunicherà immediatamente al Cliente se, secondo la ragionevole opinione del Fornitore, qualsiasi istruzione impartita dal Cliente è suscettibile di violare le leggi sulla protezione dei dati.

4.7 Il Fornitore non tratterà, trasferirà, modificherà, modificherà o altererà i Dati personali del Cliente, né divulgherà o permetterà di divulgare i Dati personali del Cliente a terzi al di fuori delle istruzioni dettagliate nel presente DPA.

4.8 Il personale del Fornitore impegnato nel trattamento dei Dati personali del Cliente sarà informato della natura riservata dei Dati personali del Cliente e riceverà una formazione adeguata sulle proprie responsabilità. Tale personale sarà soggetto ad adeguati impegni di riservatezza.

4.9 Tenendo conto della natura del Trattamento dei dati personali nei Servizi forniti, il Fornitore dovrà, come richiesto dall'articolo 32 del GDPR del Regno Unito e dell'UE, mantenere misure tecniche e organizzative adeguate per garantire la sicurezza del Trattamento, compresa la protezione contro il Trattamento non autorizzato o illegale, e contro la distruzione, la perdita o l'alterazione o il danneggiamento accidentali o illegali, la divulgazione non autorizzata o l'accesso ai Dati personali del Cliente. Le parti riconoscono e concordano che le misure di sicurezza specificate nel presente DPA e più specificamente nell'Allegato B costituiscono misure di sicurezza tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio.

4.10 Il Fornitore assisterà il Cliente con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile e tenendo conto della natura del Trattamento dei Dati Personali del Cliente, nell'adempimento degli obblighi di conformità del Cliente ai sensi delle Leggi sulla Protezione dei Dati, anche in relazione ai diritti dell'Interessato, alle valutazioni d'impatto sulla protezione dei dati (relative all'uso dei Servizi MetaCompliance da parte del Cliente) e alla segnalazione e consultazione delle autorità di vigilanza (in relazione a una valutazione d'impatto sulla protezione dei dati relativa ai Servizi MetaCompliance).

4.11 Qualora i Soggetti interessati, le autorità competenti o qualsiasi altra terza parte richiedano al Fornitore informazioni in merito al trattamento dei Dati personali del Cliente, il Fornitore riferirà tale richiesta al Cliente, a meno che non sia richiesto diversamente per ottemperare alle leggi sulla protezione dei dati, nel qual caso il Fornitore informerà preventivamente il Cliente di tale requisito legale, a meno che tale legge non vieti tale divulgazione per importanti motivi di interesse pubblico.

5. Sottoprocessori

5.1 Il Cliente riconosce e accetta che il Fornitore possa, in relazione alla fornitura dei Servizi, avvalersi di Subprocessori che possono essere affiliati del Fornitore e/o terzi, come più specificamente descritto nell'Allegato C.

5.2 Il Cliente riconosce che il Fornitore è autorizzato in via generale ad assumere nuovi Subprocessori senza dover ottenere un'ulteriore autorizzazione scritta e specifica da parte del Cliente. Ciò è subordinato alla notifica scritta da parte del Processore al Cliente dell'identità di ogni nuovo Subprocessore, con 30 giorni di anticipo rispetto all'elaborazione dei Dati personali del Cliente.

5.3 Se il Cliente desidera opporsi al Subprocessore in questione, dovrà comunicarlo per iscritto entro dieci (10) giorni lavorativi dal ricevimento della notifica da parte del Fornitore. L'assenza di obiezioni da parte del Cliente sarà considerata un consenso all'utilizzo del Subprocessore in questione.

5.4 Nel caso in cui il Cliente si opponga a un nuovo Subprocessore, il Fornitore compirà ogni ragionevole sforzo per mettere a disposizione del Cliente una modifica dei Servizi o raccomandare una modifica commercialmente ragionevole dei Servizi per evitare il trattamento dei Dati personali del Cliente da parte del nuovo Subprocessore in questione. Se non è possibile alcuna alternativa, le parti hanno il diritto di risolvere il Contratto tra loro.

5.5 La notifica di un nuovo Subprocessore da parte del Fornitore al Cliente dovrà includere la fornitura di un Allegato C aggiornato. Il Fornitore dovrà mantenere aggiornato l'Allegato C.

5.6 Il Fornitore resterà responsabile nei confronti del Cliente per l'adempimento degli obblighi dei Subprocessori.

6. Trasferimenti di dati

6.1 Ai sensi dell'articolo 28(3)(a) del GDPR del Regno Unito e dell'UE, il Fornitore non trasferirà, e non consentirà ad alcun Subprocessore di trasferire, i Dati personali del Cliente al di fuori del SEE o del Regno Unito (a seconda dei casi), se non nei termini previsti dal presente Contratto. A scanso di equivoci, il Cliente acconsente al trasferimento e al trattamento dei Dati personali come specificato nell'Allegato A, in quanto applicabile.

6.2 Il Fornitore riconosce che, in conformità con il GDPR del Regno Unito e dell'UE, deve esistere un'adeguata protezione dei Dati personali dopo qualsiasi trasferimento al di fuori del Regno Unito o del SEE (direttamente o tramite il trasferimento successivo di un subprocessore) e dovrà stipulare un accordo appropriato con il Cliente e/o qualsiasi subprocessore per disciplinare tale trasferimento. Questo includerà le Clausole contrattuali standard applicabili, a meno che non esista un altro meccanismo di adeguatezza per il trasferimento.

7. Violazione dei dati personali

7.1 In caso di violazione dei Dati Personali del Cliente, il Fornitore dovrà:

7.1.1 notificare al Cliente senza indebito ritardo (entro un massimo di 48 ore) per consentire al Cliente di adempiere agli obblighi di comunicazione del GDPR del Regno Unito e dell'UE e per fornire un'assistenza ragionevole al Cliente quando deve comunicare una violazione dei dati personali a un Soggetto interessato.

7.1.2 Compiere ogni ragionevole sforzo per identificare la causa di tale violazione dei dati personali e adottare le misure che il Fornitore ritiene ragionevolmente praticabili al fine di porre rimedio alla causa di tale violazione dei dati personali.

7.1.3 Nel rispetto dei termini del presente DPA, fornire assistenza e cooperazione ragionevoli, come richiesto dal Cliente, per portare avanti qualsiasi correzione o rimedio di qualsiasi violazione dei dati personali.

8. Registrazioni del trattamento

8.1 Nella misura in cui è applicabile al Trattamento del Fornitore per il Cliente, il Fornitore manterrà tutti i registri richiesti dall'articolo 30(2) del GDPR del Regno Unito e dell'UE e li metterà a disposizione del Cliente su richiesta.

9. Diritti di revisione

9.1 Il Fornitore metterà a disposizione del Cliente, e farà in modo che i suoi Sub-Processori lo facciano su richiesta, le informazioni ragionevoli necessarie a dimostrare il rispetto dei suoi obblighi di protezione dei dati ai sensi del presente DPA e consentirà e contribuirà alle verifiche, compresa l'ispezione presso i suoi locali, da parte del Cliente o di un revisore incaricato dal Cliente in relazione al trattamento dei Dati personali del Cliente, a condizione che tale revisore non sia un concorrente del Fornitore.

10. Termine

10.1 Il presente DPA rimarrà in vigore a tutti gli effetti fino a quando:

10.1.1 Il Contratto rimane in vigore; oppure

10.1.2 Il Fornitore conserva tutti i Dati personali del Cliente in suo possesso o controllo.

10.2 Qualsiasi disposizione del presente DPA che, espressamente o implicitamente, debba entrare o rimanere in vigore al momento della risoluzione del Contratto o successivamente, al fine di proteggere i Dati personali del Cliente, rimarrà in vigore a tutti gli effetti.

11. Restituzione e distruzione dei dati

11.1 Il Fornitore, a discrezione del Cliente e previa richiesta scritta del Cliente, cancellerà o restituirà al Cliente tutti i Dati personali del Cliente al termine della fornitura dei Servizi relativi all'Elaborazione e cancellerà le copie esistenti, a meno che la legge applicabile del SEE o di uno Stato membro non richieda la conservazione dei Dati personali del Cliente. In assenza di richiesta scritta da parte del Cliente, il Fornitore cancellerà i Dati personali del Cliente 90 giorni dopo la cessazione del Contratto.

11.2 Su richiesta del Cliente, il Fornitore fornirà una comunicazione scritta delle misure adottate in merito ai Dati personali del Cliente.

12. Indennizzo

12.1 Il Fornitore si impegna a tenere indenne il Cliente da tutti i costi diretti, le richieste di risarcimento, i danni o le spese sostenute dal Cliente a causa del mancato rispetto da parte del Fornitore o dei suoi dipendenti, subprocessori, subappaltatori o agenti di uno qualsiasi dei suoi obblighi ai sensi del presente DPA o delle Leggi sulla protezione dei dati in conformità con l'articolo 82 del GDPR del Regno Unito e dell'UE.

12.2 In deroga a qualsiasi disposizione contraria contenuta nel presente DPA o nel Contratto (compresi, a titolo esemplificativo, gli obblighi di indennizzo di una delle parti), nessuna delle parti sarà responsabile di eventuali multe GDPR emesse o riscosse ai sensi dell'articolo 83 del GDPR nei confronti dell'altra parte da parte di un'autorità di regolamentazione o di un ente governativo in relazione alla violazione del GDPR da parte di tale altra parte.

12.3 Fatti salvi gli obblighi di legge di cui alla clausola 12.1 e le limitazioni di cui alla clausola 12.2, la responsabilità di ciascuna parte ai sensi del presente DPA sarà soggetta alle esclusioni e alle limitazioni di responsabilità stabilite nel Contratto. Qualsiasi riferimento a "limitazioni di responsabilità" di una parte nel Contratto deve essere interpretato come la responsabilità complessiva di una parte e di tutte le sue Controllate e Affiliate ai sensi del Contratto e del presente DPA.

Allegato A

Finalità e dettagli del trattamento dei dati personali

Oggetto del trattamentoDettagliSi applica a:

Scopo

Specificare tutte le finalità per le quali i Dati Personali saranno trattati dal Fornitore

Accesso al sistema Amministrazione del sistema Consegna dei contenuti del sistema in base ai moduli sottoscritti. Vedi sotto:Tutti i clienti
Politiche, valutazioni delle conoscenzeClienti che si abbonano ai moduli Policy (PolicyLite, MetaEngage e MetaPolicy)
eLearning, altri mediaClienti che si abbonano a moduli di Elearning (MetaLearning Fusion)
Indagini sulla privacyClienti che sottoscrivono il modulo MetaPrivacy
Recensioni sull'incidenteClienti che sottoscrivono il modulo MetaIncident
Campagne di phishing simulateClienti abbonati a MetaPhish
Trasferimento SCORM all'LMS del clienteClienti che si iscrivono al trasferimento SCORM

Tipi di dati personali

Specificare i Dati Personali che verranno trattati dal Fornitore

Nome, Cognome, Indirizzo e-mail, Indirizzo IP, Reparto, Record di formazioneTutti i clienti
Unità organizzativa (OU) di Active DirectoryClienti che utilizzano Azure AD o AD on premise
ID LMSI clienti con abbonamenti al trasferimento SCORM

Operazioni di lavorazione

Specificare tutte le attività di lavorazione che il Fornitore deve condurre

Elaborazione e archiviazione dei dati personali dei clienti al fine di creare e mantenere gli account degli utenti autorizzati sulla piattaforma MyCompliance. Distribuzione di varie e-mail di notifica avviate dal sistema MyCompliance di MetaCompliance.Tutti i clienti
Distribuzione di e-mail di phishing simulato specificate avviate dal Cliente tramite la piattaforma MyCompliance di MetaCompliance.Clienti che si iscrivono al modulo MetaPhish
Memorizzazione dei dati personali inseriti dal cliente tramite il modulo MetaPrivacy di MetaCompliance.Clienti che sottoscrivono il modulo MetaPrivacy
Comunicare con l'LMS del cliente e valutare il numero di licenze.Clienti che si iscrivono al trasferimento SCORM

Categorie di soggetti interessati

Specificare le categorie di soggetti i cui dati personali saranno trattati dal Fornitore.

Dipendenti del cliente, appaltatori, fornitori, partner e/o affiliati.Tutti i clienti in conformità con i dati dell'interessato forniti al Fornitore. Il Cliente può limitare questo aspetto a seconda dell'uso che intende fare dei Servizi.

Ubicazione delle operazioni di trattamento

Specificare tutte le sedi in cui i Dati Personali saranno trattati dal Fornitore

Regno Unito (MetaCompliance Group ALSO di Microsoft Azure e Amazon Web Services per i nuovi clienti con sede nel Regno Unito dopo la data di entrata in vigore).

Danimarca (Gruppo MetaCompliance).

Portogallo (Gruppo MetaCompliance)

Germania (Gruppo MetaCompliance)

Irlanda (MetaCompliance Group ALSO di Microsoft Azure e Amazon Web Services per i nuovi clienti con sede nel SEE e in Svizzera dopo la data di entrata in vigore).

Olanda (Microsoft Azure per i nuovi clienti svizzeri dopo la data di entrata in vigore).

Canada (Microsoft Azure e Amazon Web Services per i nuovi clienti canadesi dopo la data di entrata in vigore).

Tutti i clienti, a seconda dei casi. Per ulteriori dettagli si rimanda all'Allegato C

Requisiti di conservazione

Se applicabile, specificare il tempo di conservazione dei Dati personali del cliente conservati dal Fornitore.

Quando un abbonamento del Cliente è scaduto o è terminato, tutti i Dati personali del Cliente associati vengono conservati per 90 giorni prima di essere effettivamente cancellati, al fine di recuperare una cancellazione accidentale dell'abbonamento.Tutti i clienti

Allegato B

Disposizioni di sicurezza

Il Fornitore, al fine di assistere il Cliente nell'adempimento dei suoi obblighi legali, tra cui, a titolo esemplificativo e non esaustivo, le misure di sicurezza e le valutazioni dei rischi per la privacy, è tenuto ad adottare misure tecniche e organizzative adeguate per proteggere i Dati personali del Cliente che vengono trattati. Tali misure dovranno garantire almeno un livello di sicurezza adeguato, tenendo conto di quanto segue:

(a) le possibilità tecniche esistenti;

(b) i costi di realizzazione delle misure;

(c) i rischi particolari associati al Trattamento dei Dati Personali del Cliente; e

(d) la sensibilità dei Dati Personali del Cliente che vengono trattati.

Il Fornitore dovrà mantenere un'adeguata sicurezza per i Dati personali del Cliente. Il Fornitore dovrà proteggere i Dati personali del Cliente dalla distruzione, dalla modifica, dalla diffusione illegale o dall'accesso illegale. I Dati Personali del Cliente saranno inoltre protetti da ogni altra forma di Trattamento illecito. Tenendo conto dello stato dell'arte e dei costi di implementazione e tenendo conto della natura, dell'ambito, del contesto e delle finalità del Trattamento, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone, le misure tecniche e organizzative che il Fornitore dovrà implementare includeranno, a seconda dei casi:

(a) la pseudonimizzazione e la crittografia dei dati personali del cliente;

(b) la capacità di garantire la costante riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali del cliente;

(c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso ai Dati personali del cliente in caso di incidente fisico o tecnico; e

(d) un processo per testare, valutare e valutare regolarmente l'efficacia delle misure tecniche e organizzative per garantire la sicurezza del Trattamento.

Oltre alle misure tecniche e organizzative di cui sopra, il Fornitore dovrà attuare le seguenti misure:

(a) protezione dell'accesso fisico, in base alla quale le apparecchiature informatiche e i dati rimovibili contenenti i Dati personali dell'utente presso i locali del Fornitore saranno chiusi a chiave quando non sono sotto controllo, al fine di proteggere dall'uso non autorizzato, dall'impatto e dal furto.

(b) un processo di verifica della lettura dopo il ripristino dei Dati personali del cliente da copie di backup.

(c) controllo delle autorizzazioni, in base al quale l'accesso del Fornitore ai Dati personali del Cliente è gestito attraverso un sistema tecnico di controllo delle autorizzazioni. L'autorizzazione sarà limitata a coloro che hanno bisogno dei Dati personali del cliente per il loro lavoro. Gli ID utente e le password saranno personali e non potranno essere trasferiti a terzi. Esistono procedure per l'assegnazione e la rimozione delle autorizzazioni.

(d) tenere un registro dei soggetti che hanno accesso ai Dati personali del cliente.

(e) comunicazione sicura, in base alla quale le connessioni esterne per la comunicazione dei dati saranno protette utilizzando funzioni tecniche che assicurino che la connessione sia autorizzata, nonché la crittografia dei contenuti per i dati in transito nei canali di comunicazione al di fuori dei sistemi controllati dal Fornitore.

(f) un processo per garantire la distruzione sicura dei dati quando i supporti di memorizzazione fissi o rimovibili non vengono più utilizzati per il loro scopo.

(g) le routine per la stipula di accordi di riservatezza con i fornitori che forniscono riparazione e assistenza delle apparecchiature utilizzate per memorizzare i dati personali del cliente.

(h) le routine per la supervisione del servizio svolto dai fornitori presso i locali del Fornitore. I supporti di memorizzazione contenenti i Dati personali del cliente dovranno essere rimossi se la supervisione non è possibile.

Allegato C

Subprocessori approvati Tutti i nuovi clienti dopo il5 luglio 2023 possono scegliere di modificare l'applicazione predefinita dei Subprocessori e delle sedi dei centri dati al momento dell'onboarding, inviando un'e-mail di conferma a MetaCompliance Ltd. I valori predefiniti sono:

Sottoprocessore Posizione Si applica a:
Microsoft Azure (contratto tramite Microsoft Operations Ireland Ltd, ospita i servizi nel cloud) Olanda Dublino Regno Unito (UK) Germania Canada Posizione applicata in base a quanto indicato di seguito per i nuovi Clienti:
1. I clienti del Regno Unito sceglieranno di default i Data Center di Microsoft Azure solo per il Regno Unito.
2. Per i clienti tedeschi, l'impostazione predefinita è il Centro dati tedesco.
3. I clienti canadesi si rivolgeranno per impostazione predefinita ai centri dati solo canadesi per Microsoft Azure.
4. I clienti con sede nel SEE e in Svizzera si rivolgeranno per impostazione predefinita ai centri dati di Olanda e Dublino per Microsoft Azure.
Amazon Web Services (contratto con "AWS Europe", come fornitore di e-mail transazionali) Dublino Regno Unito Germania Canada Posizione applicata in base a quanto indicato di seguito per i nuovi clienti dopo il 5 luglio 2023:
1. Per i clienti del Regno Unito, i centri dati di AWS Europe saranno disponibili solo per il Regno Unito.
2. I clienti canadesi si rivolgeranno ai centri dati solo canadesi per AWS Europe.
3. I clienti con sede nel SEE e in Svizzera si rivolgeranno ai centri dati con sede nell'UE per AWS Europe. .
MetaCompliance Limited un'entità del Gruppo MetaCompliance (fornitura di servizi di account e assistenza ai clienti) Irlanda Tutti i clienti
MetaCompliance GmbH (fornitura di servizi di account cliente e servizi di supporto) Germania Tutti i clienti
MOCH A/S, un'entità del Gruppo MetaCompliance (fornitura di servizi di contabilità clienti e servizi di supporto ai clienti) Danimarca Tutti i clienti
MetaCompliance Ireland Ltd Sucursal Portugal un'entità del Gruppo MetaCompliance (fornitura di servizi di assistenza ai clienti e di servizi di supporto ai clienti) Portogallo Tutti i clienti

Sottoprocessore

Posizione

Si applica a:

Microsoft Azure (ospita i servizi nel cloud)

 

 

 

 

 

 

 

 

Amazon Web Services (contratto con "AWS Europe", come fornitore di e-mail transazionali)

Olanda

Dublino

Regno Unito (UK)

Canada

 

Olanda

Dublino

Regno Unito

Canada

Posizione applicata in base a quanto sotto riportato per i nuovi Clienti dopo il 5 luglio 2023::

  1. I clienti del Regno Unito sceglieranno di default i centri dati di Microsoft Azure solo per il Regno Unito.
  2. I clienti canadesi sceglieranno di default i Data Center solo canadesi per Microsoft Azure.

I clienti con sede nel SEE e in Svizzera si rivolgeranno di default a centri dati con sede nell'UE per Microsoft Azure.

Posizione applicata in base a quanto indicato di seguito per i nuovi Clienti dopo il 5 luglio 2023:

  1. Per i clienti del Regno Unito, l'impostazione predefinita per AWS Europe sarà quella dei centri dati solo del Regno Unito.
  2. I clienti canadesi si rivolgeranno ai centri dati solo canadesi di AWS Europe.
I clienti con sede nel SEE e in Svizzera si rivolgeranno ai centri dati dell'UE per AWS Europe.
Sottoprocessore Posizione Si applica a.

Microsoft Azure (ospita i servizi nel cloud)

Olanda
Dublino

Tutti i clienti

AWS Europe (fornitore di e-mail transazionali)

Dublino

Tutti i clienti con sede nel Regno Unito o nei paesi SEE.

Twilio per i servizi Sendgrid (provider di e-mail transazionali)

STATI UNITI D'AMERICA

Tutti i clienti con sede al di fuori del Regno Unito o dei paesi SEE
Per i clienti che hanno stipulato un contratto a partire dal5 luglio 2023, si prega di consultare i dettagli di seguito riportati in merito all'utilizzo di subprocessori:
  1. Clienti con un DPA separato - tale documento (e successive modifiche) ha la precedenza e delinea i Subprocessori in uso.
  2. I clienti che facevano parte del gruppo che il 15 luglio 2023 ha deciso di utilizzare AWS Europe per le notifiche di simulazione di phish utilizzeranno la seguente procedura (se non diversamente indicato per iscritto):
Microsoft Azure - centri dati di Dublino e Amsterdam (cloud host) Amazon Web Services - Dublino (provider di e-mail transazionali solo per le notifiche di simulazione di phish) Twilio per Sendgrid Services - U.S.A. (provider di e-mail transazionali per tutte le altre notifiche dalla piattaforma).

Accordo sul trattamento dei dati archiviato, disponibile qui.

Introduktion

Parterne er enige om, at denne Databehandleraftale (“DPA”) angiver hver parts rettigheder og forpligtelser med hensyn til behandling og sikkerhed af Kundens Personoplysninger i forbindelse med Softwaren og Tjenesterne leveret af MOCH A/S. DPAen er inkorporeret ved henvisning i de Generelle Vilkår og Betingelser (Kommercielle Vilkår). Parterne er også enige om, at medmindre der findes en separat DPA underskrevet af parterne, regulerer denne DPA, behandlingen og sikkerheden af Kundens Personoplysninger. Bestemmelserne i DPAen erstatter eventuelle modstridende bestemmelser i MOCHs Erklæring om Beskyttelse af Personoplysninger, som ellers måtte gælde for behandling af Kunders Personoplysninger. For klarhedens skyld, i overensstemmelse med Standardkontraktbestemmelserne fra 2021, som defineret nedenfor, når Standardkontraktbestemmelserne fra 2021 finder anvendelse, har Standardkontraktbestemmelserne fra 2021 forrang for ethvert andet vilkår i DPAen.

DATABEHANDLERAFTALE GÆLDENDE FRA DEN 01. oktober 2023

1. Parter
1.1 Kunden som defineret i de Generelle Vilkår og Betingelser (“Kunden“) og
1.2 MOCH A/S indregistreret i Danmark med CVR-nummer 25397096, med hjemsted på Toldbodgade 51C, 1253 København (“Leverandør“).
2. Baggrund
2.1 Kunden og Leverandøren har indgået en Kontrakt, som kan kræve, at Leverandøren behandler Personoplysninger på vegne af Kunden.
2.2 Denne Databehandleraftale (“DPA“) fastsætter de yderligere vilkår, krav og betingelser, hvorefter Leverandøren behandler Personoplysninger, når han leverer Tjenester i henhold til Kontrakten. Denne DPA indeholder de obligatoriske klausuler, der kræves i artikel 28, stk. 3, i databeskyttelsesforordningen ((EU) 2016/679 og UK GDPR-lovgivningen) for kontrakter mellem dataansvarlige og databehandlere.
2.3 Denne DPA er underlagt vilkårene i Kontrakten og er inkorporeret i Kontrakten. De udtryk, der anvendes i denne DPA, har den betydning, der er angivet i denne DPA. Termer med stort begyndelsesbogstav, der ikke på anden måde er defineret heri, skal have den betydning, der er angivet i Kontraktens Vilkår og Betingelser.
2.4 Bilagene udgør en del af denne DPA og har virkning, som om de var anført fuldt ud i denne DPA. Enhver henvisning til denne DPA omfatter Bilag.
2.5 I tilfælde af en konflikt mellem en bestemmelse i denne DPA og et eller flere vilkår i Kontrakten med hensyn til genstanden for denne Aftale, har bestemmelserne i denne DPA forrang.
3. Definitioner
Følgende udtryk i denne DPA har følgende betydning:

“Databeskyttelseslovgivning” betyder alle gældende love og bestemmelser vedrørende Behandling af Personoplysninger til enhver tid i løbet af denne DPAs løbetid, herunder (1) Databeskyttelsesforordningen (GDPR, EU 2016/679) og implementeringen heraf i den danske databeskyttelseslov; (2) Det Forenede Kongeriges (United Kingdom) Databeskyttelsesforordning (UK GDPR) som tilpasset af Data Protection Act 2018; (3) ePrivacy-direktivet 2002/58/EF som gennemført af EUs medlemsstater og eventuel efterfølgende lovgivning og alle andre forordninger, retningslinjer og adfærdskodekser vedrørende databeskyttelse og privatlivets fred som ændret, ajourført eller erstattet fra tid til anden.
“Personlige Kundeoplysninger” betyder Personoplysninger, der behandles af MOCH udelukkende med henblik på levering af Tjenester og som anvist af Kunden.
“Standardkontraktbestemmelser” betyder Europa Kommissionens Standardkontraktbestemmelser for overførsel af Personoplysninger fra Den Europæiske Union til databehandlere, der er etableret i tredjelande (overførsler fra dataansvarlig til databehandler), som fastsat i Bilaget til Kommissionens Afgørelse 2021/914/EU pr. 4. juni 2021 og vedtaget i henhold til Det Forenede Kongeriges (United Kingdom) tillæg pr. 21. marts 2022.
“Underdatabehandler” betyder en underleverandør, der er benyttes af Leverandøren, og, som en del af underleverandørens rolle med at levere Tjenesterne, behandler Personoplysninger på vegne af Kunden.
“Dataansvarlig”, “Registreret”, “Databehandler”, “Behandling eller behandling”, “Personoplysninger”, “Brud på persondatasikkerheden” skal have de betydninger, der er givet til dem i Storbritannien og EU GDPR.

4. Behandling af Personoplysninger
4.1 Parterne anerkender og accepterer, at Leverandøren med det formål at overholde Databeskyttelseslovgivningen og med hensyn til behandling af Kundens Personoplysninger er Databehandleren, og Kunden er den Dataansvarlige.
4.2 Kunden garanterer og indestår for: (i) at overførslen af Kundens Persondata til Leverandøren i alle henseender overholder Databeskyttelseslovgivningen (herunder uden begrænsning med hensyn til indsamling og brug); og (ii) rimelig behandling af personoplysninger og alle andre relevante meddelelser er givet til de Registrerede (og alle nødvendige samtykker fra sådanne Registrerede er indhentet og til enhver tid gældende) i det omfang, det kræves af Databeskyttelseslovgivningen i forbindelse med alle behandlingsaktiviteter, der kan udføres af Leverandøren og dennes Underdatabehandlere i overensstemmelse med denne Aftale;
4.3 Leverandøren forpligter sig til kun at behandle Kundens Personoplysninger: (i) som nødvendigt for at levere Tjenesterne; (ii) i overensstemmelse med skriftlige instruktioner fra Kunden; og (iii) i overensstemmelse med kravene i Databeskyttelseslovgivningen.
4.4 Kunden skal i sin brug af Tjenesterne behandle Personoplysninger i overensstemmelse med kravene i Databeskyttelseslovgivningen. Kunden skal sikre, at alle instruktioner til Leverandøren i forbindelse med behandling af Kundens Personoplysninger overholder Databeskyttelseslovgivningen.
4.5 Kundens instruktioner til Leverandøren vedrørende genstanden for og varigheden af Behandlingen, Behandlingens art og formål, typerne af Personoplysninger og kategorierne af Registrerede er beskrevet i Bilag A. For at undgå tvivl anerkender og accepterer parterne, at instruksen, der er angivet i denne DPA og Bilag A, udgør det komplette sæt instruktioner fra Kunden til Leverandøren jf. punkt 5.
4.6 Leverandøren skal straks underrette Kunden, hvis en instruktion fra Kunden efter Leverandørens rimelige opfattelse sandsynligvis vil være i strid med Databeskyttelseslovgivningen.
4.7 Leverandøren må ikke behandle, overføre, modificere eller ændre Kundens Personoplysninger, videregive eller tillade videregivelse af Kundens Personoplysninger til nogen tredjepart uden for de instruktioner, der er beskrevet i denne DPA.
4.8 Leverandørens personale, der er involveret i behandlingen af Kundens Personoplysninger, skal informeres om den fortrolige karakter af Kundens Personoplysninger og vil modtage passende uddannelse i deres ansvar. Sådant personale skal være underlagt passende fortrolighedsforpligtelser. En liste over personer, der har fået adgang, skal regelmæssigt gennemgås. På baggrund af en gennemgang en sådan liste, kan en adgang til personoplysninger trækkes tilbage, hvis adgangen ikke længere er nødvendig, og personoplysninger vil herefter ikke længere være tilgængelige for disse personer.
4.9 Under hensyntagen til behandlingens karakter i de leverede Tjenester skal Leverandøren som krævet i UK og EU GDPR artikel 32 opretholde passende tekniske og organisatoriske foranstaltninger for at sikre behandlingssikkerheden, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod utilsigtet eller ulovlig ødelæggelse, tab eller ændring eller skade, uautoriseret videregivelse af eller adgang til Kundens Personoplysninger. Parterne anerkender og accepterer, at de sikkerhedsforanstaltninger, der er specificeret i denne DPA og mere specifikt i Bilag B, udgør passende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der er passende for risikoen.
4.10 Leverandøren skal bistå Kunden med passende tekniske og organisatoriske foranstaltninger, for så vidt dette er muligt og, under hensyntagen til behandlingens karakter, med at opfylde Kundens forpligtelser i henhold til Databeskyttelseslovgivningen, herunder i forhold til den registreredes rettigheder, konsekvensanalyser vedrørende databeskyttelse (relateret til Kundens brug af MOCH-Tjenester) og rapportering til og høring af tilsynsmyndigheder (i forbindelse med en konsekvensanalyse vedrørende databeskyttelse relateret til MOCH-Tjenesterne).
4.11 Hvis de Registrerede, kompetente myndigheder eller andre tredjeparter anmoder Leverandøren om oplysninger vedrørende Behandlingen af Kundens Personoplysninger, skal Leverandøren henvise en sådan anmodning til Kunden, medmindre andet kræves for at overholde Databeskyttelseslovgivningen, i hvilket tilfælde Leverandøren skal give Kunden forudgående meddelelse om et sådant lovkrav, medmindre den pågældende lov forbyder denne videregivelse af hensyn til vigtige offentlige interesser.

5. Underdatabehandlere
5.1 Kunden anerkender og accepterer, at Leverandøren i forbindelse med levering af Ydelser kan engagere Underdatabehandlere, som kan være datterselskaber af Leverandøren og/eller tredjeparter som nærmere beskrevet i Bilag C.
5.2 Kunden anerkender, at Leverandøren er givet en generel tilladelse til at antage nye Underdatabehandlere til at behandle Kundens Personoplysninger uden at indhente yderligere skriftlig specifik tilladelse fra Kunden. Dette er betinget af, at Leverandøren skriftligt underretter Kunden om enhver ny Underdatabehandlers identitet 30 dage forud for behandlingen af Kundens Personoplysninger.
5.3 Hvis Kunden ønsker at gøre indsigelse mod den relevante Underdatabehandler, skal Kunden give skriftlig meddelelse herom inden for ti (10) arbejdsdage fra modtagelsen af meddelelsen fra Leverandøren. Hvis Kunden ikke gør indsigelse, anses det som samtykke til at bruge den relevante Underdatabehandler.
5.4 Hvis Kunden gør indsigelse mod en ny Underdatabehandler, vil Leverandøren gøre en rimelig indsats for at stille en ændring i Tjenesterne til rådighed for Kunden eller anbefale en kommercielt rimelig ændring i Tjenesterne for at undgå behandling af Kundens Personoplysninger af den relevante nye Underdatabehandler. Hvis intet alternativ er muligt, har parterne ret til at opsige Kontrakten mellem dem.
5.5 Leverandørens meddelelse til Kunden om en ny Underdatabehandler skal indeholde et opdateret bilag C. Leverandøren skal holde Bilag C opdateret.
5.6 Leverandøren forbliver ansvarlig over for Kunden for opfyldelsen af Underdatabehandlernes forpligtelser.
5.7 Leverandøren skal i sin aftale med Underdatabehandleren indføje den Kunden som begunstiget tredjemand i tilfælde af Leverandørens konkurs, således at Kunden kan indtræde i Leverandørens rettigheder og gøre dem gældende over for Underdatabehandlere, som f.eks. gør Kunden i stand til at instruere Underdatabehandleren i at slette eller tilbagelevere personoplysningerne.

6. Overførsel til tredjelande eller internationale organisationer
6.1 I overensstemmelse med artikel 28(3)(a) i GDPR i Storbritannien og EU må Leverandøren ikke, og må ikke tillade nogen Underdatabehandler at, overføre Kundens Personoplysninger uden for EU/EØS eller Storbritannien (alt efter hvad der er relevant) andet end som angivet i denne Aftale. For at undgå tvivl giver Kunden hermed samtykke til overførsel og behandling af Personoplysningerne som specificeret i Bilag A, som det gælder.
6.2 Leverandøren anerkender, at der i overensstemmelse med GDPR i Storbritannien og EU skal være tilstrækkelig beskyttelse af Personoplysningerne efter enhver overførsel uden for Storbritannien eller EØS (enten direkte eller via en Underdatabehandlers videre overførsel), og at Leverandøren skal indgå en passende aftale med Kunden og/eller enhver Underdatabehandler for at regulere en sådan overførsel. Dette vil omfatte de gældende Standardkontraktbestemmelser, medmindre der findes en anden tilstrækkelig mekanisme for overførslen.

7. Brud på persondatasikkerheden
7.1 I tilfælde af brud på persondatasikkerheden, der involverer Kundens Personoplysninger, skal Leverandøren:
7.1.1 Underrette Kunden uden unødig forsinkelse (inden for maksimalt 48 timer) for at gøre det muligt for Kunden at overholde anmeldelsesforpligtelser i henhold til GDPR i Storbritannien og EU og for at yde rimelig assistance til Kunden, når det er nødvendigt at kommunikere et brud på persondatasikkerheden til en registreret person.
7.1.2 Gøre en rimelig indsats for at identificere årsagen til et sådant brud på persondatasikkerheden og tage de skridt, som Leverandøren anser for rimeligt gennemførlige for at afhjælpe årsagen til et sådant brud på persondatasikkerheden.
7.1.3 I henhold til betingelserne i denne DPA, yde rimelig assistance og samarbejde som anmodet af Kunden, for at fremme enhver korrektion eller afhjælpning af ethvert Brud på Persondatasikkerheden.

8. Fortegnelser over behandlingsaktiviteter
8.1 I det omfang det er relevant for Leverandørens behandling af personoplysninger for Kunden, skal Leverandøren opbevare alle fortegensler, der kræves i henhold til artikel 30, stk. 2, i Storbritannien og EU GDPR, og skal stille dem til rådighed for Kunden efter anmodning.

9. Revision, herunder inspektion 9.1 Leverandøren sørge for, at Leverandøren, og dennes Underdatabehandlere, efter anmodning stiller rimelige oplysninger til rådighed for Kunden, der er nødvendige for at påvise overholdelse af dennes databeskyttelsesforpligtelser i henhold til denne DPA, og skal tillade og bidrage til revisioner, herunder inspektion af fysiske lokationer, af Kunden eller en revisor, der er bemyndiget af Kunden i forbindelse med Behandling af Kundens Personoplysninger, forudsat at en sådan revisor ikke er en konkurrent til Leverandøren.

10. Ikrafttræden
10.1 Denne DPA er gældende så længe:
10.1.1 Kontrakten er gældende; eller
10.1.2 Leverandøren opbevarer enhver af Kundens Personoplysninger i sin besiddelse eller kontrol.
10.2 Enhver bestemmelse i denne DPA, der udtrykkeligt eller underforstået træder i kraft eller forbliver gældende ved eller efter opsigelse af Kontrakten for at beskytte Kundens Personoplysninger, forbliver gældende.

11. Sletning og returnering af oplysninger
11.1 Leverandøren skal, på Kundens foranledning og ved enhver sådan skriftlig anmodning fra Kunden, slette eller returnere alle Kundens Personoplysninger til Kunden efter afslutningen af leveringen af Tjenester relateret til Behandlingen og slette eksisterende kopier, medmindre gældende EØS- eller medlemsstatslovgivning kræver opbevaring af Kundens Personoplysninger. Hvis der ikke modtages en skriftlig anmodning fra Kunden, skal Leverandøren slette Kundens Personoplysninger 90 dage efter Kontraktens ophør.
11.2 På Kundens anmodning skal Leverandøren give en skriftlig meddelelse om de foranstaltninger, der er truffet vedrørende Kundens Personoplysninger.

12. Erstatning
12.1 Leverandøren accepterer at holde Kunden skadesløs for alle direkte omkostninger, krav, skader eller udgifter, som Kunden pådrager sig på grund af Leverandørens eller dennes medarbejderes, Underdatabehandleres, underleverandørers eller agenters manglende overholdelse af nogen af sine forpligtelser i henhold til denne DPA eller Databeskyttelseslovgivningen i overensstemmelse med artikel 82 i UK og EU GDPR.
12.2 Uanset det modsatte i denne DPA eller i Kontrakten (herunder, uden begrænsning, begge parters skadesløsholdelsesforpligtelser), vil ingen af parterne være ansvarlig for GDPR-bøder udstedt eller opkrævet i henhold til artikel 83 i GDPR mod den anden part af en regulerende myndighed eller et statsligt organ i forbindelse med en sådan anden parts overtrædelse af GDPR.
12.3 Med forbehold for de juridiske forpligtelser, der er beskrevet i punkt 12.1, og de begrænsninger, der er beskrevet i punkt 12.2, skal hver parts ansvar i henhold til denne DPA være underlagt de ansvarsfraskrivelser og -begrænsninger, der er beskrevet i Kontrakten. Enhver henvisning til en parts “ansvarsbegrænsning” i Kontrakten skal fortolkes som en parts og alle dennes datterselskabers og associerede selskabers samlede ansvar i henhold til aftalen og denne DPA.

Bilag A

Formål og detaljer vedrørende behandling af Personoplysninger
Genstand for behandling Detaljer Gælder for:
Formål Angiv alle formål, hvortil Personoplysningerne vil blive behandlet af Leverandøren Systemadgang Systemadministration Levering af systemindhold i henhold til moduler, der abonneres på. Se nedenfor: Alle Kunder
Politikker, Vidensvurderinger Kunder, der abonnerer på politikmoduler (PolicyLite, MetaEngage og MetaPolicy)
eLearning, andre medier Kunder, der abonnerer på Elearning-moduler (MetaLearning Fusion)
Privacy Surveys Kunder, der abonnerer på MetaPrivacy-modulet
Anmeldelser af hændelser Kunder, der abonnerer på MetaIncident-modulet
Simulerede phishing-kampagner Kunder, der abonnerer på Metaphish
SCORM overførsel til Customer LMS Kunder, der abonnerer på SCORM-overførsel
Typer af Personoplysninger Angiv de Personoplysninger, der vil blive behandlet af Leverandøren Fornavn, efternavn, e-mailadresse, IP-adresse, afdeling, undervisningsoversigt Alle Kunder
Active Directory Organisation Unit (OU) Kunder, der bruger Azure AD eller lokalt AD
LMS ID Kunder med abonnement på SCORM overfører
Kategorier af registrerede Angiv de kategorier af registrerede, hvis Personoplysninger vil blive behandlet af Leverandøren Medarbejdere hos kunder, entreprenører, leverandører, partnere og/eller associerede selskaber. Alle Kunder i overensstemmelse med de personoplysninger om de Registrerede, der leveres til Leverandøren. Kunden kan begrænse dette afhængigt af sin tilsigtede brug af Tjenesterne.
Behandlinger Angiv alle behandlingsaktiviteter, der skal udføres af Leverandøren Behandling og opbevaring af Kunders Personoplysninger for at oprette og vedligeholde autoriserede brugerkonti på platformen. Distribution af forskellige notifikationsmails initieret af MOCH-systemet. Alle Kunder
Distribution af simulerede phishing-e-mails specifikt initieret af Kunden via MOCH-platformen. Kunder, der abonnerer på MetaPhish-modulet
Opbevaring af Personoplysninger, hvor de indtastes af Kunden via MOCH-modulet. Kunder, der abonnerer på MetaPrivacy-modulet
At kommunikere med Customer LMS og evaluere licensantal Kunder, der abonnerer på SCORM-overførsel
Placering af behandlingsaktiviteter Angiv alle steder, hvor Personoplysningerne vil blive behandlet af Leverandøren Det Forenede Kongerige (United Kingdom) (MetaCompliance Group) Deutschland (MetaCompliance Group) Danmark (MetaCompliance-Group) Portugal (MetaCompliance Group) Irland (MetaCompliance Group, Microsoft Azure og Amazon Web Services) Holland (Microsoft Azure) Alle Kunder efter behov. Der henvises til bilag C for yderligere oplysninger.
Krav til opbevaring Hvor det er relevant, angiv opbevaringstiden for Kundens Personoplysninger, der er gemt af Leverandøren. Når et kundeabonnement er udløbet eller opsiges, opbevares alle tilknyttede personlige kundedata i 90 dage, før de endeligt slettes for at gendanne efter utilsigtet annullering af abonnementet. Alle Kunder

Bilag B

Sikkerhedsforanstaltninger

For at hjælpe Kunden med at overholde sine lovgivningsmæssige forpligtelser, herunder, men ikke begrænset til, sikkerhedsforanstaltninger og risikovurderinger vedrørende databeskyttelse, er Leverandøren forpligtet til at træffe passende tekniske og organisatoriske foranstaltninger for at beskytte Kundens Personoplysninger. Foranstaltningerne skal som minimum resultere i et sikkerhedsniveau, som er passende under hensyntagen til:

  1. eksisterende tekniske muligheder;
  2. omkostningerne ved gennemførelsen af foranstaltningerne;
  3. de særlige risici forbundet med behandlingen af Kunders Personoplysninger; og
  4. følsomheden af Kundens Personoplysninger, der behandles.

Leverandøren skal opretholde tilstrækkelig sikkerhed ved behandling af Kundens Personoplysninger. Leverandøren skal beskytte Kundens Personoplysninger mod ødelæggelse, ændring, ulovlig deling eller ulovlig adgang. Kundens Personoplysninger skal også beskyttes mod alle andre former for ulovlig behandling. Under hensyntagen til det aktuelle tekniske niveau og implementeringsomkostningerne og under hensyntagen til behandlingens art, omfang, kontekst og formål samt risikoen for varierende sandsynlighed og alvor for enkeltpersoners rettigheder og frihedsrettigheder, skal de tekniske og organisatoriske foranstaltninger, der skal implementeres af Leverandøren, efter omstændighederne omfatte:

  1. pseudonymisering og kryptering af Kundens Personoplysninger;
  2. evnen til at sikre løbende fortrolighed, integritet, tilgængelighed og modstandsdygtighed af systemer og Tjenester, der behandler Kundens Personoplysninger;
  3. evnen til at genoprette tilgængeligheden af og adgangen til Kundens Personoplysninger rettidigt i tilfælde af en fysisk eller teknisk hændelse; og
  4. en proces til regelmæssig testning, vurdering og evaluering af effektiviteten af tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerheden.

Ud over de tekniske og organisatoriske foranstaltninger, der er nævnt ovenfor, skal Leverandøren gennemføre følgende foranstaltninger:

  1. fysisk adgangsbeskyttelse, hvorved computerudstyr og flytbare data, der indeholder Kundens Personoplysninger i Leverandørens lokaler, skal være aflåst, når de ikke er under opsyn for at beskytte mod uautoriseret brug, påvirkning og tyveri.
  2. en proces til test af tilbagelæsning, efter at Kundens Personoplysninger er blevet gendannet fra sikkerhedskopier.
  3. autorisationskontrol, hvorved Leverandørens adgang til Kundens Personoplysninger styres gennem et teknisk system fra autorisationskontrol. Autorisation skal begrænses til dem, der har et arbejdsbetinget behov med at tilgå Kundens Personoplysninger. Bruger-id’er og adgangskoder skal være personlige og må ikke overdrages til andre. Der skal være procedurer for tildeling og fjernelse af autorisationer.
  4. føre fortegnelser over, hvem der har adgang til Kundens Personoplysninger.
  5. sikre kommunikation, hvor eksterne datakommunikationsforbindelser skal beskyttes ved hjælp af tekniske funktioner, der sikrer, at forbindelsen er autoriseret, samt kryptering af data i transit i kommunikationskanaler uden for systemer, der kontrolleres af Leverandøren.
  6. en proces til sikring af sikker destruktion af data, når faste eller flytbare lagringsmedier ikke længere skal bruges til deres formål.
  7. rutiner for indgåelse af fortrolighedsaftaler med Leverandører, der leverer reparation og service af udstyr, der bruges til at lagre Kundens Personoplysninger.
  8. rutiner for overvågning af den service, der udføres af Leverandører i Leverandørens lokaler. Lagringsmedier, der indeholder Kundens Personoplysninger, skal fjernes, hvis tilsyn ikke er muligt.

Bilag C

Godkendte Underdatabehandlere – Kunder kan vælge at ændre nedenstående ansøgning i forbindelse med onboarding via en bekræftelsesmail til MOCH A/S
Underdatabehandler Sted
Microsoft Azure (Hoster Tjenesterne i Skyen) Holland Dublin
Amazon Web Services (indgået Kontrakt med “AWS Europe”, som transaktions-e-mail-udbyder) Dublin
MetaCompliance Limited (yder teknisk kundesupport og kundesupport – Supporttjenester) United Kingdom
Forøg dine færdigheder GmbH en MetaCompliance Group-enhed (levering af supporttjenester til kunder) Germany
MetaCompliance Ireland Ltd, en MetaCompliance Group enity (levering af supporttjenester til kunder) Ireland
MetaCompliance Ireland Ltd Sucursal Portugal – (levering af supporttjenester til kunder) Portugal


Archived Data Processing Agreement, available here.