Introdução
As partes concordam que o presente Acordo de Proteção de Dados ("APD") estabelece os direitos e obrigações de cada parte relativamente ao processamento e segurança dos Dados Pessoais do Cliente em relação ao Software e Serviços fornecidos pelo Fornecedor. O APD é incorporado por referência nas Condições Comerciais (as "Condições Comerciais"). As partes também concordam que, a menos que exista um DPA separado assinado pelas partes, este DPA rege o processamento e a segurança dos Dados Pessoais do Cliente.
As disposições descritas nos Termos deste DPA dizem respeito ao Fornecedor que actua como Processador dos Dados Pessoais do Cliente na entrega do Software e dos Serviços ("Assunto"). Os Termos do DPA substituem quaisquer disposições conflitantes da Política de Privacidade do Grupo MetaCompliance, pois se relacionam com o Assunto. Para maior clareza, de acordo com as Cláusulas Contratuais Padrão de 2021 definidas abaixo, quando as Cláusulas Contratuais Padrão de 2021 são aplicáveis, as Cláusulas Contratuais Padrão de 2021 prevalecem sobre qualquer outro termo do Contrato de Processamento de Dados.
ACORDO DE TRATAMENTO DE DADOS COM EFEITO A PARTIR DE23 de junho de 2025
1.1 O Cliente é o definido nas Condições Comerciais (o "Cliente"); e
1.2 O Fornecedor é o definido nas Condições Comerciais (o "Fornecedor").
2. 1 O Cliente e o Fornecedor celebraram um Contrato que exigirá que o Fornecedor processe Dados Pessoais em nome do Cliente.
2.2 Este Acordo de Processamento de Dados ("APD") estabelece os termos, requisitos e condições adicionais em que o Fornecedor processará os Dados Pessoais ao prestar Serviços ao abrigo do Contrato e as obrigações do Cliente relativamente a esses Dados Pessoais, bem como a outros Dados Pessoais que possa receber do Fornecedor ao abrigo do Contrato. Este DPA contém as cláusulas obrigatórias exigidas pelo Artigo 28(3) do Regulamento Geral de Proteção de Dados ((UE) 2016/679 (e as Leis de Proteção de Dados de 1988 a 2018, conforme alteradas) para contratos entre responsáveis pelo tratamento e processadores.
2.3 O presente APD está sujeito aos termos do Contrato e é incorporado no Contrato. Os termos utilizados no presente DPA terão os significados definidos no presente DPA. Os termos em maiúsculas não definidos de outra forma no presente documento terão o significado que lhes é atribuído nas Condições Comerciais do Contrato.
2.4 Os Anexos fazem parte do presente DPA e produzirão efeitos como se nele estivessem integralmente contidos. Qualquer referência ao presente DPA inclui os anexos.
2.5 Em caso de conflito entre qualquer disposição do presente APD e qualquer outro termo do Contrato, no que diz respeito ao objeto do presente APD, as disposições do presente APD prevalecerão.
Os termos seguintes no presente DPA terão o seguinte significado:
"Leis de Protecção de Dados" | significa todas as leis e regulamentos aplicáveis relacionados com o Tratamento de Dados Pessoais em qualquer altura durante a vigência do presente ATD, que podem incluir, conforme aplicável: (1) o Regulamento Geral de Proteção de Dados UE 2016/679 ("RGPD"); (2) as Leis de Proteção de Dados de 1988 a 2018, conforme alteradas; (3) a Lei de Proteção de Dados do Reino Unido de 2018 (DPA2018); (4) o RGPD do Reino Unido, conforme definido na DPA2018; (5) os Regulamentos de Privacidade e Comunicações Eletrónicas (Diretiva CE) de 2003; e/ou (6) a Diretiva 2002/58/CE relativa à privacidade e às comunicações electrónicas, tal como implementada pelos Estados-Membros da UE, e qualquer legislação que lhe suceda, bem como quaisquer outros regulamentos, guias e códigos de conduta relativos à proteção de dados e à privacidade, em cada caso com as alterações, actualizações ou substituições periódicas. |
"Dados Pessoais do Cliente" | significa os Dados Pessoais processados pelo Fornecedor exclusivamente para efeitos da prestação de Serviços e conforme indicado expressamente pelo Cliente, através da celebração do Contrato e/ou da configuração e interação com qualquer software disponibilizado como parte dos Serviços. |
"Cláusulas Contratuais Padrão" | significa as Cláusulas Contratuais-tipo da Comissão Europeia para a transferência de Dados Pessoais da União Europeia para subcontratantes estabelecidos em países terceiros (transferências de responsável pelo tratamento para subcontratante), tal como estabelecidas no anexo da Decisão 2021/914/UE da Comissão, de 4 de junho de 2021, e adoptadas ao abrigo da Adenda do Reino Unido, de 21 de março de 2022. |
"Decisão de Adequação" | significa a Decisão de Adequação da Comissão Europeia relativa à transferência de dados pessoais para o Reino Unido, adoptada em 28 de junho de 2021. |
"Sub-processador" | significa um terceiro subcontratante contratado pelo Fornecedor que, como parte da função do subcontratante na prestação dos Serviços, processará os Dados Pessoais em nome do Cliente. |
"Controlador", "Assunto dos dados", "Processador", "Processo ou Processamento", "Dados Pessoais", "Violação de Dados Pessoais". | têm o significado que lhes é atribuído no RGPD. |
4. Tratamento de dados pessoais
4.1 As partes reconhecem e concordam que, para efeitos das Leis de Proteção de Dados e no que diz respeito ao Processamento de Dados Pessoais do Cliente para a prestação de Serviços, o Fornecedor é o Processador e o Cliente é o Controlador.
4.2 O Cliente garante e declara que: (i) que a transferência dos Dados Pessoais do Cliente para o Fornecedor cumpre, em todos os aspectos, as Leis de Proteção de Dados (incluindo, sem limitação, em termos da sua recolha e utilização); e (ii) que o processamento justo e todos os outros avisos apropriados foram fornecidos aos Titulares dos Dados dos Dados Pessoais do Cliente (e todos os consentimentos necessários de tais Titulares dos Dados foram obtidos e mantidos em todos os momentos e podem ser demonstrados ao Fornecedor a pedido) na medida exigida pelas Leis de Proteção de Dados em relação a todas as actividades de processamento que podem ser realizadas pelo Fornecedor e seus Subprocessadores de acordo com este DPA e o Contrato.
4.3 Ao prestar os Serviços, o Fornecedor processará os Dados Pessoais do Cliente: (i) conforme necessário para prestar os Serviços; (ii) de acordo com as instruções escritas do Cliente; e (iii) de acordo com os requisitos das Leis de Proteção de Dados.
4.4 O Cliente deverá, na sua utilização dos Serviços, processar os Dados Pessoais de acordo com os requisitos das Leis de Protecção de Dados. O Cliente deverá garantir que quaisquer instruções dadas ao Fornecedor em relação ao Processamento de Dados Pessoais do Cliente cumprem com as Leis de Protecção de Dados.
4.5 No que diz respeito aos Dados Pessoais do Cliente, as instruções do Cliente ao Fornecedor relativamente ao Objeto e à duração do Processamento, à natureza e finalidade do Processamento, aos tipos de Dados Pessoais e às categorias de Titulares de Dados estão descritas no Anexo A. Para evitar dúvidas, as partes reconhecem e concordam que, sujeito à cláusula 5 e para além das instruções de Processamento estabelecidas no presente APD e no Anexo A, o Cliente também pode emitir instruções para o Processamento de Dados Pessoais do Cliente através dos Serviços pela sua interação direta e configuração dos Serviços.
4.6 O Fornecedor deverá notificar imediatamente o Cliente se, na opinião razoável do Fornecedor, qualquer instrução dada pelo Cliente for susceptível de infringir as Leis de Protecção de Dados.
4.7 Relativamente ao Objeto, o Fornecedor não processará, transferirá, modificará, alterará ou modificará os Dados Pessoais do Cliente, nem divulgará ou permitirá a divulgação dos Dados Pessoais do Cliente a terceiros fora das instruções detalhadas na presente APD.
4.8 O pessoal do Fornecedor envolvido no Processamento de Dados Pessoais do Cliente será informado da natureza confidencial dos Dados Pessoais do Cliente e receberá formação adequada sobre as suas responsabilidades. Esse pessoal será sujeito aos devidos compromissos de confidencialidade.
4.9 Tendo em conta a natureza do processamento de dados pessoais nos serviços prestados, o Fornecedor deve, conforme exigido pelo artigo 32 do RGPD, manter medidas técnicas e organizacionais adequadas para garantir a segurança do processamento, incluindo a proteção contra o processamento não autorizado ou ilegal e contra a destruição, perda, alteração ou dano acidental ou ilegal, divulgação não autorizada ou acesso aos dados pessoais do cliente. As partes reconhecem e concordam que as medidas de segurança especificadas na presente APD e, mais especificamente, no Anexo B, constituem medidas de segurança técnicas e organizacionais adequadas para garantir um nível de segurança apropriado ao risco.
4.10 O Fornecedor deverá assistir o Cliente através de medidas técnicas e organizacionais adequadas, na medida do possível e tendo em conta a natureza do Tratamento dos Dados Pessoais do Cliente, no cumprimento das obrigações do Cliente no âmbito das Leis de Protecção de Dados, incluindo em relação aos direitos do Sujeito dos Dados, avaliações do impacto da protecção de dados (relacionadas com a utilização dos Serviços MetaCompliance pelo Cliente) e relatórios e consultas às autoridades de supervisão (relacionadas com uma avaliação do impacto da protecção de dados relacionada com os Serviços MetaCompliance).
4.11 Relativamente ao assunto em questão, se os titulares dos dados, as autoridades competentes ou quaisquer outros terceiros solicitarem informações ao Fornecedor relativamente ao processamento dos dados pessoais do cliente, o Fornecedor remeterá esse pedido para o Cliente, exceto se for exigido de outra forma para cumprir as leis de proteção de dados, caso em que o Fornecedor notificará previamente o Cliente desse requisito legal, exceto se essa lei proibir essa divulgação por motivos importantes de interesse público.
4.12 O Cliente reconhece que receberá Dados Pessoais do Fornecedor ao abrigo e em ligação com o Contrato (incluindo, sem limitação, em relação ao pessoal contratado pelo Fornecedor e pelos seus subcontratantes e fornecedores, bem como aos titulares de dados identificáveis por imagens e gravações de voz acessíveis como opções padrão através de alguns dos serviços do Fornecedor). O Cliente confirma que processará esses Dados Pessoais como um Controlador independente e em conformidade com as Leis de Proteção de Dados.
5. Sub-processadores
5.1 O Cliente reconhece e concorda que o Fornecedor pode, em relação à prestação de Serviços, contratar Subprocessadores que podem ser afiliados do Fornecedor e/ou terceiros, conforme descrito mais especificamente no Anexo A e noAnexo C. A contratação dessas partes pelo Fornecedor deve estar sujeita a um contrato escrito (incluindo em formato eletrónico) consistente com os termos desta APD, em relação ao processamento necessário dos Dados Pessoais.
5.2 O Cliente reconhece que o Fornecedor tem autorização geral para contratar os Subcontratantes listados no Anexo C e adicionar (ou remover) novos Subcontratantes sem obter qualquer outra autorização específica por escrito do Cliente. Esta autorização está sujeita ao facto de o Subcontratante notificar o Cliente, por escrito, da identidade de qualquer novo Subcontratante, 30 dias antes do processamento dos Dados Pessoais do Cliente (o "Período de Aviso").
5.3 Se o Cliente pretender objetar ao Subcontratante relevante, deverá notificá-lo por escrito dentro do Período de Aviso. Esta notificação deverá incluir pormenores sobre os alegados riscos de segurança ou riscos associados ao novo Subcontratante. A ausência de objecções por parte do Cliente com base em tais motivos e dentro do Período de Aviso será considerada como consentimento para a utilização do Sub-processador relevante.
5.4 No caso de o Cliente objetar a um novo Subcontratante, o Fornecedor envidará esforços razoáveis para resolver as preocupações, disponibilizar ao Cliente uma alteração nos Serviços ou recomendar uma alteração comercialmente razoável nos Serviços para evitar o Processamento dos Dados Pessoais do Cliente pelo novo Subcontratante relevante. Se não for possível qualquer alternativa, cada uma das partes terá o direito de rescindir o Contrato entre elas com aviso prévio imediato e sem responsabilidade ou exigência de reembolso de quaisquer quantias por parte do Fornecedor.
5.5 A notificação pelo Fornecedor de um novo Subcontratante ao Cliente deverá incluir a disponibilização de um Anexo C atualizado. O Fornecedor deverá manter o Anexo C atualizado na seguinte página Web.
5.6 O Fornecedor permanece responsável perante o Cliente pelo cumprimento das obrigações dos Sub-processadores.
6 Transferências de dados
6.1 De acordo com o Artigo 28(3)(a) do RGPD, o Fornecedor não deve, e não deve permitir que qualquer Subprocessador transfira quaisquer Dados Pessoais do Cliente para fora do EEE ou do Reino Unido (conforme aplicável), exceto conforme previsto no presente Acordo. Para evitar dúvidas, o Cliente consente a transferência e o processamento dos Dados Pessoais conforme especificado no Anexo A e C, conforme aplicável.
6.2 O Fornecedor reconhece que, de acordo com o RGPD, deve existir uma proteção adequada para os Dados Pessoais antes de qualquer transferência para fora do Reino Unido ou do EEE (diretamente ou através de uma transferência subsequente de um Subcontratante) e deve celebrar um acordo adequado com o Cliente e/ou qualquer Subcontratante para reger essa transferência. Este incluirá as Cláusulas Contratuais-tipo aplicáveis ou basear-se-á na Decisão de Adequação, exceto se existir outro mecanismo de adequação ou válido para a transferência.
7 Violação de dados pessoais
7.1 No caso de qualquer violação de dados pessoais que envolva os dados pessoais do cliente, o fornecedor deverá:
7.1.1 Notificar o Cliente sem atrasos indevidos (no prazo máximo de 48 horas) para permitir que o Cliente cumpra as obrigações de comunicação do RGPD e para prestar assistência razoável ao Cliente quando for necessário comunicar uma Violação de Dados Pessoais a um Titular de Dados.
7.1.2 Envidar esforços razoáveis para identificar a causa de tal Violação de Dados Pessoais e tomar as medidas que o Fornecedor considerar razoavelmente praticáveis, a fim de remediar a causa de tal Violação de Dados Pessoais.
7.1.3 Sujeito aos termos da presente DPA, prestar assistência e cooperação razoáveis, conforme solicitado pelo Cliente, na prossecução de qualquer correcção ou reparação de qualquer violação de dados pessoais.
8. Registos de Processamento
8.1 Na medida do aplicável ao processamento do Fornecedor para o Cliente, o Fornecedor manterá todos os registos exigidos pelo Artigo 30(2) do RGPD e disponibilizá-los-á ao Cliente mediante pedido.
9. Direitos de auditoria
9.1 O Fornecedor disponibilizará ao Cliente, e providenciará para que os seus Subcontratantes, disponibilizem ao Cliente, a pedido, as informações razoáveis necessárias para demonstrar o cumprimento das suas obrigações de proteção de dados ao abrigo do presente DPA e permitirá e contribuirá para auditorias, incluindo inspecções nas suas instalações, pelo Cliente ou por um auditor mandatado pelo Cliente em relação ao Processamento dos Dados Pessoais do Cliente, desde que esse auditor não seja um concorrente do Fornecedor.
10. Termo
10.1 Esta DPA permanecerá em pleno vigor e efeito durante o tempo necessário:
10.1.1 O Contrato permanece em vigor; ou
10.1.2 O Fornecedor retém quaisquer Dados Pessoais do Cliente na sua posse ou controlo.
10.2 Qualquer disposição desta DPA que expressamente ou por implicação deverá entrar ou continuar em vigor no ou após a rescisão do Contrato, a fim de proteger os Dados Pessoais do Cliente, permanecerá em pleno vigor e efeito.
11. Devolução e destruição de dados
11.1 A menos que já tenham sido eliminados de acordo com os termos do Contrato, o Fornecedor deverá, a critério do Cliente e com qualquer pedido por escrito do Cliente, eliminar ou devolver todos os Dados Pessoais do Cliente ao Cliente após o fim da prestação de Serviços relacionados com o Processamento, e eliminar as cópias existentes, exceto se a legislação aplicável do EEE ou do Estado-Membro exigir o armazenamento dos Dados Pessoais do Cliente. Se não for recebido qualquer pedido por escrito do Cliente, o Fornecedor deverá eliminar os Dados Pessoais do Cliente 90 dias após a cessação do Contrato.
11.2 A pedido do Cliente, o Fornecedor deverá fornecer uma notificação escrita das medidas tomadas relativamente aos Dados Pessoais do Cliente.
12. Indemnização
12.1 Na medida do exigido pelo Artigo 82 do RGPD e sujeito à cláusula 12.2 deste APD, o Fornecedor concorda em indemnizar o Cliente por todos os custos diretos, reclamações, danos ou despesas incorridos pelo Cliente devido a qualquer falha do Fornecedor ou dos seus funcionários, subprocessadores, subcontratados ou agentes no cumprimento de qualquer uma das suas obrigações ao abrigo deste APD ou das Leis de Proteção de Dados.
12.2 Não obstante qualquer disposição em contrário no presente APD ou no Contrato (incluindo, sem limitação, as obrigações de indemnização de qualquer das partes), nenhuma das partes será responsável por quaisquer multas emitidas ou cobradas ao abrigo das Leis de Proteção de Dados contra a outra parte por uma autoridade reguladora ou organismo governamental em relação à violação das Leis de Proteção de Dados por essa outra parte.
12.3 O Cliente concorda em indemnizar o Fornecedor por todos os custos diretos, reclamações, danos ou despesas incorridos ou recebidos pelo Fornecedor devido a qualquer falha do Cliente no cumprimento de qualquer uma das suas obrigações ao abrigo das Leis de Proteção de Dados ou deste DPA (incluindo, sem limitação, a sua violação de qualquer requisito ao abrigo da cláusula 2 deste DPA).
12.4 Na medida do permitido pelas Leis de Proteção de Dados e sujeito às exclusões detalhadas na cláusula 12.2 do presente APD, a responsabilidade total de cada parte ao abrigo ou em relação ao presente APD, independentemente da causa, estará sujeita às exclusões e limitações de responsabilidade estabelecidas no Contrato.
Anexo A
Fins e detalhes do processamento de dados pessoais
| Assunto do processamento | Detalhes | Aplica-se a: |
| Finalidade | Acesso ao sistema Administração do sistema Entrega do conteúdo do sistema de acordo com os módulos subscritos. Ver abaixo: | Todos os Clientes |
| Políticas, Avaliações de Conhecimento | Clientes que subscrevam os módulos Policy (PolicyLite, MetaEngage e MetaPolicy) | |
| eLearning, outros meios de comunicação social | Clientes que subscrevam módulos Elearning (MetaLearning Fusion) | |
| Pesquisas de Privacidade | Clientes que subscrevam o módulo MetaPrivacy | |
| Revisões de Incidentes | Clientes que subscrevam o módulo MetaIncident | |
| Campanhas simuladas de Phishing | Clientes que subscrevam a MetaPhish | |
| Transferência SCORM para o LMS do cliente | Clientes que subscrevem a transferência SCORM | |
| Transforme documentos PDF estáticos numa experiência de formação eficaz | Clientes que subscrevem o conteúdo do curso | |
| Transformar os guiões dos clientes num pequeno vídeo gerado por IA | Clientes que subscrevem o Virtual Presenter Video | |
| Tipos de dados pessoais | Nome, Apelido, Endereço de correio eletrónico, Endereço IP, Departamento, Registo de formação | Todos os Clientes |
| Unidade de Organização do Active Directory (OU) | Clientes que utilizam o Azure AD ou na premissa AD | |
| LMS ID | Clientes com subscrições de transferência SCORM | |
| Dados pessoais que o Cliente incluiu nos Dados do Cliente. | Todos os Clientes | |
| Utilização da IA | Criação de e-mails de phishing gerados por IA | Clientes com pacotes de Sensibilização para a Segurança Premium Plus (incluindo a oferta multilingue) que utilizam o Gerador de Phish. |
| Criador de cursos de IA | Clientes que subscrevem a extensão Conteúdo para curso. | |
| Vídeos personalizados gerados por IA | Clientes que utilizaram o Virtual Presenter Add-on | |
| Categorias de titulares de dados | Clientes Empregados, Empreiteiros, Fornecedores, Parceiros e/ou Afiliados. | Todos os Clientes, de acordo com os dados do Titular dos Dados fornecidos ao Fornecedor. O Cliente pode limitar este facto em função da sua utilização prevista dos Serviços. |
| Operações de processamento | Processamento e armazenamento dos Dados Pessoais do Cliente para criar e manter contas de Utilizadores Autorizados na plataforma MyCompliance. Distribuição de vários e-mails de notificação iniciados pelo sistema MetaCompliance MyCompliance. | Todos os Clientes |
| Distribuição de e-mails simulados de phishing especificados pelo Cliente através da plataforma MetaCompliance MyCompliance. | Clientes que subscrevam o módulo MetaPhish | |
| Armazenamento de Dados Pessoais onde são introduzidos pelo cliente através do módulo MetaCompliance MetaPrivacy. | Clientes que subscrevam o módulo MetaPrivacy | |
| Comunicar com o LMS do cliente e avaliar o número de licenças | Clientes que subscrevem a transferência SCORM | |
| Utilizar as capacidades de IA | Clientes que subscrevem o Phish Generator, o Content to Course e o Virtual Presenter Software. | |
| Localização das operações de processamento | Locais de processamento no Grupo MetaCompliance: Reino Unido Dinamarca Portugal Alemanha Irlanda | Todos os clientes. |
| Localizações do centro de dados (DC) Microsoft Azure Default: Reino Unido Clientes: DC no Reino Unido Clientes canadianos: DC no Canadá. Clientes alemães: DC na Alemanha Clientes europeus fora da Alemanha: DC nos Países Baixos e na Irlanda | Todos os clientes. Existem localizações predefinidas aqui descritas, no entanto, o Cliente pode ditar alterações antes da configuração inicial do inquilino na fase de integração. Se o Cliente pretender alterar as localizações dos inquilinos a meio do contrato, deverá contactar a equipa de assistência para obter assistência. | |
| Localizações dos centros de dados (DC) da Amazon Web Services: Reino Unido Clientes: DC no Reino Unido Clientes canadianos: DC no Canadá. Clientes alemães: DC na Alemanha Clientes europeus fora da Alemanha: DC na Irlanda | Todos os clientes. Existem localizações predefinidas aqui descritas, no entanto, o Cliente pode ditar alterações antes da configuração inicial do inquilino na fase de integração. Se o Cliente pretender alterar as localizações dos inquilinos a meio do contrato, deverá contactar a equipa de assistência para obter assistência. | |
| O local de processamento na utilização da funcionalidade de IA é o descrito no Anexo C. | Aplica-se aos Clientes que subscrevem o Gerador de Phish, Conteúdo para Curso e Vídeo de Apresentador Virtual. | |
| Requisitos de conservação | Os prazos de eliminação específicos são explicados no documento "AI at MetaCompliance", conforme relevante para os serviços solicitados pelo Cliente. | Clientes que tenham solicitado Serviços que contenham ou utilizem IA |
| Quando uma subscrição do Cliente expira ou é terminada, todos os Dados Pessoais do Cliente associados, que não tenham sido previamente eliminados, são mantidos durante 90 dias antes de serem efetivamente eliminados, a fim de recuperar do cancelamento acidental da subscrição. | Todos os Clientes |
- possibilidades técnicas existentes;
- os custos de execução das acções;
- os riscos específicos associados ao tratamento dos dados pessoais do cliente; e
- a sensibilidade dos dados pessoais do cliente que são processados.
- a pseudonimização e a cifragem dos dados pessoais dos clientes;
- a capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e serviços que processam os dados pessoais dos clientes;
- a capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais do cliente em tempo útil em caso de incidente físico ou técnico; e
- um processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas destinadas a garantir a segurança do tratamento.
- proteção do acesso físico, através da qual o equipamento informático e os dados amovíveis que contenham dados pessoais do cliente nas instalações do fornecedor devem estar fechados à chave quando não estiverem sob supervisão, a fim de proteger contra a utilização não autorizada, o impacto e o roubo.
- um processo para testar a leitura depois de os dados pessoais do cliente terem sido restaurados a partir de cópias de segurança.
- controlo de autorização, através do qual o acesso do Fornecedor aos Dados Pessoais do Cliente é gerido por um sistema técnico de controlo de autorização. A autorização deve ser limitada àqueles que necessitam dos Dados Pessoais do Cliente para o seu trabalho. As identificações de utilizador e as palavras-passe são pessoais e não podem ser transferidas para mais ninguém. Devem existir procedimentos para a atribuição e remoção de autorizações.
- manter registos de quem tem acesso aos Dados Pessoais do Cliente.
- comunicação segura, em que as ligações externas de comunicação de dados devem ser protegidas através de funções técnicas que garantam que a ligação é autorizada, bem como a cifragem de conteúdos para dados em trânsito em canais de comunicação fora dos sistemas controlados pelo fornecedor.
- um processo para garantir a destruição segura dos dados quando os suportes de armazenamento fixos ou amovíveis deixarem de ser utilizados para o fim a que se destinam.
- rotinas para a celebração de acordos de confidencialidade com fornecedores que prestam serviços de reparação e manutenção de equipamento utilizado para armazenar os Dados Pessoais do Cliente.
- rotinas de supervisão do serviço efectuado pelos fornecedores nas instalações do Fornecedor. Os suportes de armazenamento que contenham os Dados Pessoais do Cliente devem ser removidos se não for possível efetuar a supervisão.
Anexo C
Subcontratantes aprovados:
- Subcontratantes necessários para a prestação de todos os serviços:
| Sub-Processador | Finalidade | Localização | Sub-processadores |
| Microsoft Azure (contratado através da Microsoft Operations Ireland Ltd) | Aloja os serviços na nuvem | Localizações do centro de dados (DC) padrão do Microsoft Azure: Clientes do Reino Unido: DC no Reino Unido Clientes canadianos: DC no Canadá. Clientes alemães: DC na Alemanha Clientes europeus fora da Alemanha: DC nos Países Baixos e na Irlanda | Outros sub-processadores disponíveis aqui |
| Amazon Web Services (contratado com a "AWS Europe") | Fornecedor de correio eletrónico transacional | Localizações dos centros de dados (DC) da Amazon Web Services: Clientes do Reino Unido: DC no Reino Unido Clientes canadianos: DC no Canadá. Clientes alemães: DC na Alemanha Clientes europeus fora da Alemanha: DC na Irlanda | Outros sub-processadores disponíveis aqui |
Entidades do Grupo MetaCompliance (MetaCompliance Limited, MetaCompliance GmbH, Moch A/S, Metacompliance Ireland Ltd, MetaCompliance Ireland Ltd Sucursal Portugal | Serviços de conta e serviços de apoio ao cliente | Reino Unido Alemanha Dinamarca Irlanda Portugal (conforme aplicável e de acordo com o local de constituição de cada entidade) | Todos os clientes |
- PROCESSAMENTO ADICIONAL E SUBPROCESSADORES PARA UTILIZAÇÃO DE CONTEÚDOS PARA A DISCIPLINA
A) IA aberta
| Metaconformidade DC / Região | Página inicial / Localização do Azure DC | Implantação | Dados pessoais processados | Retenção |
| IRE | Europa Ocidental (NL) | Zona de dados (UE) | Para além dos dados pessoais introduzidos pelos clientes (por exemplo, em resposta a um pedido ou dados pessoais incluídos no conteúdo fornecido para criar o curso), nenhum dado pessoal do cliente será processado por este subcontratante. | Não são armazenados prompts ou gerações no modelo. Além disso, os prompts e as gerações não são utilizados para treinar, retreinar ou melhorar os modelos de base. |
| DACH | Alemanha Centro-Oeste | Zona de dados (UE) | Como acima referido. | Como acima referido. |
| NL | Europa Ocidental (NL) | Zona de dados (UE) | Como acima referido. | Como acima referido. |
| CAN | Canadá Leste | Padrão (Canadá Leste) | Como acima referido. | Como acima referido. |
| REINO UNIDO | Reino Unido Sul | Standard (UK South) | Como acima referido. | Como acima referido. |
| EUA | Centro-Norte dos EUA | Padrão (Centro-Norte dos EUA) | Como acima referido. | Como acima referido. |
B) Microsoft Inteligência Documental e Tradutor do Azure Serviços
| Metaconformidade DC / Região | Página inicial / Localização do Azure DC | Processamento | Dados pessoais processados | Armazenamento (temperatura 24 horas) |
| IRE | Norte da Europa (Ire) | Norte da Europa (Ire) | Para além dos dados pessoais incluídos no conteúdo fornecido para criar o curso, nenhum dado pessoal do cliente será processado por este subcontratante. | Norte da Europa (Ire) |
| DACH | Alemanha Centro-Oeste | Alemanha Centro-Oeste | Como acima referido. | Alemanha Centro-Oeste |
| NL | Europa Ocidental (NL) | Europa Ocidental (NL) | Como acima referido. | Europa Ocidental (NL) |
| CAN | Canadá Central | Canadá Central | Como acima referido. | Canadá Central |
| REINO UNIDO | Reino Unido Sul | Reino Unido Sul | Como acima referido. | Reino Unido Sul |
| EUA | Centro-Norte dos EUA | Centro-Norte dos EUA | Como acima referido. | Centro-Norte dos EUA |
- PROCESSAMENTO ADICIONAL E SUBPROCESSADORES PARA UTILIZAÇÃO DO GERADOR DE PHISH
| Sub-processadores | Dados pessoais processados | Região | Retenção/Armazenamento |
| Serviço: ChatGPT | Para além dos dados pessoais introduzidos pelos clientes (por exemplo, em resposta a um pedido ou dados pessoais incluídos no conteúdo fornecido para criar o curso), nenhum dado pessoal do cliente será processado por este subcontratante. | Implementado: Europa Ocidental Processamento: Global Standard (qualquer região) | Não são armazenados prompts ou gerações no modelo. Além disso, os prompts e as gerações não são utilizados para treinar, retreinar ou melhorar os modelos de base. |
| Serviço: Incorporação de texto | Como acima referido. | Como acima referido. | Como acima referido. |
- PROCESSAMENTO E SUBPROCESSADORES ADICIONAIS PARA UTILIZAÇÃO DO APRESENTADOR VIRTUAL
| Sub-Processador | Dados pessoais processados | Região | Retenção/Armazenamento |
| Colossyan Inc. | Texto livre contendo dados pessoais (se existirem) fornecidos nos Materiais do Cliente através de scripts ou outros conteúdos. O Cliente confirma que não serão transferidos quaisquer dados sensíveis para o Processador. | Processamento nos Estados Unidos, no Reino Unido e na Hungria (trata-se de locais da Colossyan e de filiais da Colossyan). Ver os sub-processadores da Colossyan abaixo indicados | 24 horas. Eliminação definitiva no prazo de 48 horas. |
UTILIZAÇÃO DA FUNCIONALIDADE DE IA
Ao utilizar a funcionalidade de IA descrita acima, todos os ambientes de IA são fechados a nível de MetaCompliance. Os clientes podem ser informados (inputs) e completados (outputs), os clientes podem ser incorporados e os dados de formação dos clientes podem ser treinados:
- NÃO estão disponíveis para outros clientes.
- NÃO estão disponíveis para o Azure OpenAI.
- NÃO são utilizadas para melhorar os modelos do Azure OpenAI.
- NÃO são utilizadas para treinar, retreinar ou melhorar os modelos de base do Serviço Azure OpenAI.
- NÃO são utilizadas para melhorar quaisquer produtos ou serviços da Microsoft ou de terceiros sem a autorização ou instruções do utilizador.
Introduktion
Parterne er enige om, at denne Databehandleraftale (“DPA”) angiver hver parts rettigheder og forpligtelser med hensyn til behandling og sikkerhed af Kundens Personoplysninger i forbindelse med Softwaren og Tjenesterne leveret af MOCH A/S. DPAen er inkorporeret ved henvisning i de Generelle Vilkår og Betingelser (Kommercielle Vilkår). Parterne er også enige om, at medmindre der findes en separat DPA underskrevet af parterne, regulerer denne DPA, behandlingen og sikkerheden af Kundens Personoplysninger. Bestemmelserne i DPAen erstatter eventuelle modstridende bestemmelser i MOCHs Erklæring om Beskyttelse af Personoplysninger, som ellers måtte gælde for behandling af Kunders Personoplysninger. For klarhedens skyld, i overensstemmelse med Standardkontraktbestemmelserne fra 2021, som defineret nedenfor, når Standardkontraktbestemmelserne fra 2021 finder anvendelse, har Standardkontraktbestemmelserne fra 2021 forrang for ethvert andet vilkår i DPAen.DATABEHANDLERAFTALE GÆLDENDE FRA DEN 18. November 2024
1. Parter
1.1 Kunden som defineret i de Generelle Vilkår og Betingelser (“Kunden“) og
1.2 MOCH A/S indregistreret i Danmark med CVR-nummer 25397096, med hjemsted på Vester Farimagsgade 19, 1606 København V, Danmark (“Leverandør“).
2. Baggrund
2.1 Kunden og Leverandøren har indgået en Kontrakt, som kan kræve, at Leverandøren behandler Personoplysninger på vegne af Kunden.
2.2 Denne Databehandleraftale (“DPA“) fastsætter de yderligere vilkår, krav og betingelser, hvorefter Leverandøren behandler Personoplysninger, når han leverer Tjenester i henhold til Kontrakten. Denne DPA indeholder de obligatoriske klausuler, der kræves i artikel 28, stk. 3, i databeskyttelsesforordningen ((EU) 2016/679 og UK GDPR-lovgivningen) for kontrakter mellem dataansvarlige og databehandlere.
2.3 Denne DPA er underlagt vilkårene i Kontrakten og er inkorporeret i Kontrakten. De udtryk, der anvendes i denne DPA, har den betydning, der er angivet i denne DPA. Termer med stort begyndelsesbogstav, der ikke på anden måde er defineret heri, skal have den betydning, der er angivet i Kontraktens Vilkår og Betingelser.
2.4 Bilagene udgør en del af denne DPA og har virkning, som om de var anført fuldt ud i denne DPA. Enhver henvisning til denne DPA omfatter Bilag.
2.5 I tilfælde af en konflikt mellem en bestemmelse i denne DPA og et eller flere vilkår i Kontrakten med hensyn til genstanden for denne Aftale, har bestemmelserne i denne DPA forrang.
3. Definitioner
Følgende udtryk i denne DPA har følgende betydning:
| “Databeskyttelseslovgivning” | betyder alle gældende love og bestemmelser vedrørende Behandling af Personoplysninger til enhver tid i løbet af denne DPAs løbetid, herunder (1) Databeskyttelsesforordningen (GDPR, EU 2016/679) og implementeringen heraf i den danske databeskyttelseslov; (2) Det Forenede Kongeriges (United Kingdom) Databeskyttelsesforordning (UK GDPR) som tilpasset af Data Protection Act 2018; (3) ePrivacy-direktivet 2002/58/EF som gennemført af EUs medlemsstater og eventuel efterfølgende lovgivning og alle andre forordninger, retningslinjer og adfærdskodekser vedrørende databeskyttelse og privatlivets fred som ændret, ajourført eller erstattet fra tid til anden. |
| “Personlige Kundeoplysninger” | betyder Personoplysninger, der behandles af MOCH udelukkende med henblik på levering af Tjenester og som anvist af Kunden. |
| “Standardkontraktbestemmelser” | betyder Europa Kommissionens Standardkontraktbestemmelser for overførsel af Personoplysninger fra Den Europæiske Union til databehandlere, der er etableret i tredjelande (overførsler fra dataansvarlig til databehandler), som fastsat i Bilaget til Kommissionens Afgørelse 2021/914/EU pr. 4. juni 2021 og vedtaget i henhold til Det Forenede Kongeriges (United Kingdom) tillæg pr. 21. marts 2022. |
| “Underdatabehandler” | betyder en underleverandør, der er benyttes af Leverandøren, og, som en del af underleverandørens rolle med at levere Tjenesterne, behandler Personoplysninger på vegne af Kunden. |
| “Dataansvarlig”, “Registreret”, “Databehandler”, “Behandling eller behandling”, “Personoplysninger”, “Brud på persondatasikkerheden” | skal have de betydninger, der er givet til dem i Storbritannien og EU GDPR. |
4. Behandling af Personoplysninger
4.1 Parterne anerkender og accepterer, at Leverandøren med det formål at overholde Databeskyttelseslovgivningen og med hensyn til behandling af Kundens Personoplysninger er Databehandleren, og Kunden er den Dataansvarlige.
4.2 Kunden garanterer og indestår for: (i) at overførslen af Kundens Persondata til Leverandøren i alle henseender overholder Databeskyttelseslovgivningen (herunder uden begrænsning med hensyn til indsamling og brug); og (ii) rimelig behandling af personoplysninger og alle andre relevante meddelelser er givet til de Registrerede (og alle nødvendige samtykker fra sådanne Registrerede er indhentet og til enhver tid gældende) i det omfang, det kræves af Databeskyttelseslovgivningen i forbindelse med alle behandlingsaktiviteter, der kan udføres af Leverandøren og dennes Underdatabehandlere i overensstemmelse med denne Aftale;
4.3 Leverandøren forpligter sig til kun at behandle Kundens Personoplysninger: (i) som nødvendigt for at levere Tjenesterne; (ii) i overensstemmelse med skriftlige instruktioner fra Kunden; og (iii) i overensstemmelse med kravene i Databeskyttelseslovgivningen.
4.4 Kunden skal i sin brug af Tjenesterne behandle Personoplysninger i overensstemmelse med kravene i Databeskyttelseslovgivningen. Kunden skal sikre, at alle instruktioner til Leverandøren i forbindelse med behandling af Kundens Personoplysninger overholder Databeskyttelseslovgivningen.
4.5 Kundens instruktioner til Leverandøren vedrørende genstanden for og varigheden af Behandlingen, Behandlingens art og formål, typerne af Personoplysninger og kategorierne af Registrerede er beskrevet i Bilag A. For at undgå tvivl anerkender og accepterer parterne, at instruksen, der er angivet i denne DPA og Bilag A, udgør det komplette sæt instruktioner fra Kunden til Leverandøren jf. punkt 5.
4.6 Leverandøren skal straks underrette Kunden, hvis en instruktion fra Kunden efter Leverandørens rimelige opfattelse sandsynligvis vil være i strid med Databeskyttelseslovgivningen.
4.7 Leverandøren må ikke behandle, overføre, modificere eller ændre Kundens Personoplysninger, videregive eller tillade videregivelse af Kundens Personoplysninger til nogen tredjepart uden for de instruktioner, der er beskrevet i denne DPA.
4.8 Leverandørens personale, der er involveret i behandlingen af Kundens Personoplysninger, skal informeres om den fortrolige karakter af Kundens Personoplysninger og vil modtage passende uddannelse i deres ansvar. Sådant personale skal være underlagt passende fortrolighedsforpligtelser. En liste over personer, der har fået adgang, skal regelmæssigt gennemgås. På baggrund af en gennemgang en sådan liste, kan en adgang til personoplysninger trækkes tilbage, hvis adgangen ikke længere er nødvendig, og personoplysninger vil herefter ikke længere være tilgængelige for disse personer.
4.9 Under hensyntagen til behandlingens karakter i de leverede Tjenester skal Leverandøren som krævet i UK og EU GDPR artikel 32 opretholde passende tekniske og organisatoriske foranstaltninger for at sikre behandlingssikkerheden, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod utilsigtet eller ulovlig ødelæggelse, tab eller ændring eller skade, uautoriseret videregivelse af eller adgang til Kundens Personoplysninger. Parterne anerkender og accepterer, at de sikkerhedsforanstaltninger, der er specificeret i denne DPA og mere specifikt i Bilag B, udgør passende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der er passende for risikoen.
4.10 Leverandøren skal bistå Kunden med passende tekniske og organisatoriske foranstaltninger, for så vidt dette er muligt og, under hensyntagen til behandlingens karakter, med at opfylde Kundens forpligtelser i henhold til Databeskyttelseslovgivningen, herunder i forhold til den registreredes rettigheder, konsekvensanalyser vedrørende databeskyttelse (relateret til Kundens brug af MOCH-Tjenester) og rapportering til og høring af tilsynsmyndigheder (i forbindelse med en konsekvensanalyse vedrørende databeskyttelse relateret til MOCH-Tjenesterne).
4.11 Hvis de Registrerede, kompetente myndigheder eller andre tredjeparter anmoder Leverandøren om oplysninger vedrørende Behandlingen af Kundens Personoplysninger, skal Leverandøren henvise en sådan anmodning til Kunden, medmindre andet kræves for at overholde Databeskyttelseslovgivningen, i hvilket tilfælde Leverandøren skal give Kunden forudgående meddelelse om et sådant lovkrav, medmindre den pågældende lov forbyder denne videregivelse af hensyn til vigtige offentlige interesser.
5. Underdatabehandlere
5.1 Kunden anerkender og accepterer, at Leverandøren i forbindelse med levering af Ydelser kan engagere Underdatabehandlere, som kan være datterselskaber af Leverandøren og/eller tredjeparter som nærmere beskrevet i Bilag C.
5.2 Kunden anerkender, at Leverandøren er givet en generel tilladelse til at antage nye Underdatabehandlere til at behandle Kundens Personoplysninger uden at indhente yderligere skriftlig specifik tilladelse fra Kunden. Dette er betinget af, at Leverandøren skriftligt underretter Kunden om enhver ny Underdatabehandlers identitet 30 dage forud for behandlingen af Kundens Personoplysninger.
5.3 Hvis Kunden ønsker at gøre indsigelse mod den relevante Underdatabehandler, skal Kunden give skriftlig meddelelse herom inden for ti (10) arbejdsdage fra modtagelsen af meddelelsen fra Leverandøren. Hvis Kunden ikke gør indsigelse, anses det som samtykke til at bruge den relevante Underdatabehandler.
5.4 Hvis Kunden gør indsigelse mod en ny Underdatabehandler, vil Leverandøren gøre en rimelig indsats for at stille en ændring i Tjenesterne til rådighed for Kunden eller anbefale en kommercielt rimelig ændring i Tjenesterne for at undgå behandling af Kundens Personoplysninger af den relevante nye Underdatabehandler. Hvis intet alternativ er muligt, har parterne ret til at opsige Kontrakten mellem dem.
5.5 Leverandørens meddelelse til Kunden om en ny Underdatabehandler skal indeholde et opdateret bilag C. Leverandøren skal holde Bilag C opdateret.
5.6 Leverandøren forbliver ansvarlig over for Kunden for opfyldelsen af Underdatabehandlernes forpligtelser.
5.7 Leverandøren skal i sin aftale med Underdatabehandleren indføje den Kunden som begunstiget tredjemand i tilfælde af Leverandørens konkurs, således at Kunden kan indtræde i Leverandørens rettigheder og gøre dem gældende over for Underdatabehandlere, som f.eks. gør Kunden i stand til at instruere Underdatabehandleren i at slette eller tilbagelevere personoplysningerne.
6. Overførsel til tredjelande eller internationale organisationer
6.1 I overensstemmelse med artikel 28(3)(a) i GDPR i Storbritannien og EU må Leverandøren ikke, og må ikke tillade nogen Underdatabehandler at, overføre Kundens Personoplysninger uden for EU/EØS eller Storbritannien (alt efter hvad der er relevant) andet end som angivet i denne Aftale. For at undgå tvivl giver Kunden hermed samtykke til overførsel og behandling af Personoplysningerne som specificeret i Bilag A, som det gælder.
6.2 Leverandøren anerkender, at der i overensstemmelse med GDPR i Storbritannien og EU skal være tilstrækkelig beskyttelse af Personoplysningerne efter enhver overførsel uden for Storbritannien eller EØS (enten direkte eller via en Underdatabehandlers videre overførsel), og at Leverandøren skal indgå en passende aftale med Kunden og/eller enhver Underdatabehandler for at regulere en sådan overførsel. Dette vil omfatte de gældende Standardkontraktbestemmelser, medmindre der findes en anden tilstrækkelig mekanisme for overførslen.
7. Brud på persondatasikkerheden
7.1 I tilfælde af brud på persondatasikkerheden, der involverer Kundens Personoplysninger, skal Leverandøren:
7.1.1 Underrette Kunden uden unødig forsinkelse (inden for maksimalt 48 timer) for at gøre det muligt for Kunden at overholde anmeldelsesforpligtelser i henhold til GDPR i Storbritannien og EU og for at yde rimelig assistance til Kunden, når det er nødvendigt at kommunikere et brud på persondatasikkerheden til en registreret person.
7.1.2 Gøre en rimelig indsats for at identificere årsagen til et sådant brud på persondatasikkerheden og tage de skridt, som Leverandøren anser for rimeligt gennemførlige for at afhjælpe årsagen til et sådant brud på persondatasikkerheden.
7.1.3 I henhold til betingelserne i denne DPA, yde rimelig assistance og samarbejde som anmodet af Kunden, for at fremme enhver korrektion eller afhjælpning af ethvert Brud på Persondatasikkerheden.
8. Fortegnelser over behandlingsaktiviteter
8.1 I det omfang det er relevant for Leverandørens behandling af personoplysninger for Kunden, skal Leverandøren opbevare alle fortegensler, der kræves i henhold til artikel 30, stk. 2, i Storbritannien og EU GDPR, og skal stille dem til rådighed for Kunden efter anmodning.
10. Ikrafttræden
10.1 Denne DPA er gældende så længe:
10.1.1 Kontrakten er gældende; eller
10.1.2 Leverandøren opbevarer enhver af Kundens Personoplysninger i sin besiddelse eller kontrol.
10.2 Enhver bestemmelse i denne DPA, der udtrykkeligt eller underforstået træder i kraft eller forbliver gældende ved eller efter opsigelse af Kontrakten for at beskytte Kundens Personoplysninger, forbliver gældende.
11. Sletning og returnering af oplysninger
11.1 Leverandøren skal, på Kundens foranledning og ved enhver sådan skriftlig anmodning fra Kunden, slette eller returnere alle Kundens Personoplysninger til Kunden efter afslutningen af leveringen af Tjenester relateret til Behandlingen og slette eksisterende kopier, medmindre gældende EØS- eller medlemsstatslovgivning kræver opbevaring af Kundens Personoplysninger. Hvis der ikke modtages en skriftlig anmodning fra Kunden, skal Leverandøren slette Kundens Personoplysninger 90 dage efter Kontraktens ophør.
11.2 På Kundens anmodning skal Leverandøren give en skriftlig meddelelse om de foranstaltninger, der er truffet vedrørende Kundens Personoplysninger.
12. Erstatning
12.1 Leverandøren accepterer at holde Kunden skadesløs for alle direkte omkostninger, krav, skader eller udgifter, som Kunden pådrager sig på grund af Leverandørens eller dennes medarbejderes, Underdatabehandleres, underleverandørers eller agenters manglende overholdelse af nogen af sine forpligtelser i henhold til denne DPA eller Databeskyttelseslovgivningen i overensstemmelse med artikel 82 i UK og EU GDPR.
12.2 Uanset det modsatte i denne DPA eller i Kontrakten (herunder, uden begrænsning, begge parters skadesløsholdelsesforpligtelser), vil ingen af parterne være ansvarlig for GDPR-bøder udstedt eller opkrævet i henhold til artikel 83 i GDPR mod den anden part af en regulerende myndighed eller et statsligt organ i forbindelse med en sådan anden parts overtrædelse af GDPR.
12.3 Med forbehold for de juridiske forpligtelser, der er beskrevet i punkt 12.1, og de begrænsninger, der er beskrevet i punkt 12.2, skal hver parts ansvar i henhold til denne DPA være underlagt de ansvarsfraskrivelser og -begrænsninger, der er beskrevet i Kontrakten. Enhver henvisning til en parts “ansvarsbegrænsning” i Kontrakten skal fortolkes som en parts og alle dennes datterselskabers og associerede selskabers samlede ansvar i henhold til aftalen og denne DPA.
Bilag A
Formål og detaljer vedrørende behandling af Personoplysninger| Genstand for behandling | Detaljer | Gælder for: |
| Formål Angiv alle formål, hvortil Personoplysningerne vil blive behandlet af Leverandøren | Systemadgang Systemadministration Levering af systemindhold i henhold til moduler, der abonneres på. Se nedenfor: | Alle Kunder |
| Politikker, Vidensvurderinger | Kunder, der abonnerer på politikmoduler (PolicyLite, MetaEngage og MetaPolicy) | |
| eLearning, andre medier | Kunder, der abonnerer på Elearning-moduler (MetaLearning Fusion) | |
| Privacy Surveys | Kunder, der abonnerer på MetaPrivacy-modulet | |
| Anmeldelser af hændelser | Kunder, der abonnerer på MetaIncident-modulet | |
| Simulerede phishing-kampagner | Kunder, der abonnerer på Metaphish | |
| SCORM overførsel til Customer LMS | Kunder, der abonnerer på SCORM-overførsel | |
| Typer af Personoplysninger Angiv de Personoplysninger, der vil blive behandlet af Leverandøren | Fornavn, efternavn, e-mailadresse, IP-adresse, afdeling, undervisningsoversigt | Alle Kunder |
| Active Directory Organisation Unit (OU) | Kunder, der bruger Azure AD eller lokalt AD | |
| LMS ID | Kunder med abonnement på SCORM overfører | |
| Kategorier af registrerede Angiv de kategorier af registrerede, hvis Personoplysninger vil blive behandlet af Leverandøren | Medarbejdere hos kunder, entreprenører, leverandører, partnere og/eller associerede selskaber. | Alle Kunder i overensstemmelse med de personoplysninger om de Registrerede, der leveres til Leverandøren. Kunden kan begrænse dette afhængigt af sin tilsigtede brug af Tjenesterne. |
| Behandlinger Angiv alle behandlingsaktiviteter, der skal udføres af Leverandøren | Behandling og opbevaring af Kunders Personoplysninger for at oprette og vedligeholde autoriserede brugerkonti på platformen. Distribution af forskellige notifikationsmails initieret af MOCH-systemet. | Alle Kunder |
| Distribution af simulerede phishing-e-mails specifikt initieret af Kunden via MOCH-platformen. | Kunder, der abonnerer på MetaPhish-modulet | |
| Opbevaring af Personoplysninger, hvor de indtastes af Kunden via MOCH-modulet. | Kunder, der abonnerer på MetaPrivacy-modulet | |
| At kommunikere med Customer LMS og evaluere licensantal | Kunder, der abonnerer på SCORM-overførsel | |
| Placering af behandlingsaktiviteter Angiv alle steder, hvor Personoplysningerne vil blive behandlet af Leverandøren | Det Forenede Kongerige (United Kingdom) (MetaCompliance Group) Deutschland (MetaCompliance Group) Danmark (MetaCompliance-Group) Portugal (MetaCompliance Group) Irland (MetaCompliance Group, Microsoft Azure og Amazon Web Services) Holland (Microsoft Azure) | Alle Kunder efter behov. Der henvises til bilag C for yderligere oplysninger. |
| Krav til opbevaring Hvor det er relevant, angiv opbevaringstiden for Kundens Personoplysninger, der er gemt af Leverandøren. | Når et kundeabonnement er udløbet eller opsiges, opbevares alle tilknyttede personlige kundedata i 90 dage, før de endeligt slettes for at gendanne efter utilsigtet annullering af abonnementet. | Alle Kunder |
Bilag B
Sikkerhedsforanstaltninger
For at hjælpe Kunden med at overholde sine lovgivningsmæssige forpligtelser, herunder, men ikke begrænset til, sikkerhedsforanstaltninger og risikovurderinger vedrørende databeskyttelse, er Leverandøren forpligtet til at træffe passende tekniske og organisatoriske foranstaltninger for at beskytte Kundens Personoplysninger. Foranstaltningerne skal som minimum resultere i et sikkerhedsniveau, som er passende under hensyntagen til:
- eksisterende tekniske muligheder;
- omkostningerne ved gennemførelsen af foranstaltningerne;
- de særlige risici forbundet med behandlingen af Kunders Personoplysninger; og
- følsomheden af Kundens Personoplysninger, der behandles.
Leverandøren skal opretholde tilstrækkelig sikkerhed ved behandling af Kundens Personoplysninger. Leverandøren skal beskytte Kundens Personoplysninger mod ødelæggelse, ændring, ulovlig deling eller ulovlig adgang. Kundens Personoplysninger skal også beskyttes mod alle andre former for ulovlig behandling. Under hensyntagen til det aktuelle tekniske niveau og implementeringsomkostningerne og under hensyntagen til behandlingens art, omfang, kontekst og formål samt risikoen for varierende sandsynlighed og alvor for enkeltpersoners rettigheder og frihedsrettigheder, skal de tekniske og organisatoriske foranstaltninger, der skal implementeres af Leverandøren, efter omstændighederne omfatte:
- pseudonymisering og kryptering af Kundens Personoplysninger;
- evnen til at sikre løbende fortrolighed, integritet, tilgængelighed og modstandsdygtighed af systemer og Tjenester, der behandler Kundens Personoplysninger;
- evnen til at genoprette tilgængeligheden af og adgangen til Kundens Personoplysninger rettidigt i tilfælde af en fysisk eller teknisk hændelse; og
- en proces til regelmæssig testning, vurdering og evaluering af effektiviteten af tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerheden.
Ud over de tekniske og organisatoriske foranstaltninger, der er nævnt ovenfor, skal Leverandøren gennemføre følgende foranstaltninger:
- fysisk adgangsbeskyttelse, hvorved computerudstyr og flytbare data, der indeholder Kundens Personoplysninger i Leverandørens lokaler, skal være aflåst, når de ikke er under opsyn for at beskytte mod uautoriseret brug, påvirkning og tyveri.
- en proces til test af tilbagelæsning, efter at Kundens Personoplysninger er blevet gendannet fra sikkerhedskopier.
- autorisationskontrol, hvorved Leverandørens adgang til Kundens Personoplysninger styres gennem et teknisk system fra autorisationskontrol. Autorisation skal begrænses til dem, der har et arbejdsbetinget behov med at tilgå Kundens Personoplysninger. Bruger-id’er og adgangskoder skal være personlige og må ikke overdrages til andre. Der skal være procedurer for tildeling og fjernelse af autorisationer.
- føre fortegnelser over, hvem der har adgang til Kundens Personoplysninger.
- sikre kommunikation, hvor eksterne datakommunikationsforbindelser skal beskyttes ved hjælp af tekniske funktioner, der sikrer, at forbindelsen er autoriseret, samt kryptering af data i transit i kommunikationskanaler uden for systemer, der kontrolleres af Leverandøren.
- en proces til sikring af sikker destruktion af data, når faste eller flytbare lagringsmedier ikke længere skal bruges til deres formål.
- rutiner for indgåelse af fortrolighedsaftaler med Leverandører, der leverer reparation og service af udstyr, der bruges til at lagre Kundens Personoplysninger.
- rutiner for overvågning af den service, der udføres af Leverandører i Leverandørens lokaler. Lagringsmedier, der indeholder Kundens Personoplysninger, skal fjernes, hvis tilsyn ikke er muligt.
Bilag C
Godkendte Underdatabehandlere – Kunder kan vælge at ændre nedenstående ansøgning i forbindelse med onboarding via en bekræftelsesmail til MOCH A/S| Underdatabehandler | Sted |
| Microsoft Azure (Hoster Tjenesterne i Skyen) | Holland Dublin |
| Amazon Web Services (indgået Kontrakt med “AWS Europe”, som transaktions-e-mail-udbyder) | Dublin |
| MetaCompliance Limited (yder teknisk kundesupport og kundesupport – Supporttjenester) | United Kingdom |
| Forøg dine færdigheder GmbH en MetaCompliance Group-enhed (levering af supporttjenester til kunder) | Germany |
| MetaCompliance Ireland Ltd, en MetaCompliance Group enity (levering af supporttjenester til kunder) | Ireland |
| MetaCompliance Ireland Ltd Sucursal Portugal – (levering af supporttjenester til kunder) | Portugal |
Archived Data Processing Agreement, available here.