Introdução

As partes concordam que este Acordo de Proteção de Dados ("APD") estabelece os direitos e obrigações de cada uma das partes no que diz respeito ao processamento e segurança dos Dados Pessoais do Cliente em relação ao Software e Serviços fornecidos pela MetaCompliance Ltd. O DPA é incorporado por referência nas Condições Comerciais (Condições Comerciais). As partes também concordam que, a menos que exista um DPA separado assinado pelas partes, este DPA rege o processamento e a segurança dos Dados Pessoais do Cliente.

As disposições dos Termos da DPA substituem quaisquer disposições conflituosas da Declaração de Privacidade da MetaCompliance que de outra forma se poderiam aplicar ao processamento de Dados Pessoais do Cliente. Para maior clareza, em conformidade com as Cláusulas Contratuais Padrão 2021 definidas abaixo, quando as Cláusulas Contratuais Padrão 2021 são aplicáveis, as Cláusulas Contratuais Padrão 2021 prevalecem sobre qualquer outro termo do Contrato de Tratamento de Dados.

ACORDO DE TRATAMENTO DE DADOS COM EFEITO A PARTIR DE 1 de julho de 2024

  1. Festas

    1.1 O Cliente é o definido nas Condições Comerciais (o "Cliente") e

    1.2 MetaCompliance Limited constituída e registada na Irlanda do Norte com o número NI049166 cuja sede social se encontra na Third Floor Old City Factory 100 Patrick Street, Londonderry BT48 7EL (o "Fornecedor").

  2. Antecedentes
    2.1 O Cliente e o Fornecedor celebraram um Contrato que pode exigir que o Fornecedor processe Dados Pessoais em nome do Cliente.
    2.2 O presente Acordo de Processamento de Dados ("APD") estabelece os termos, requisitos e condições adicionais em que o Fornecedor processará os Dados Pessoais ao prestar Serviços ao abrigo do Contrato. Este APD contém as cláusulas obrigatórias exigidas pelo Artigo 28(3) do Regulamento Geral de Proteção de Dados ((UE) 2016/679 e legislação GDPR do Reino Unido) para contratos entre controladores e processadores.
    2.3 Este APD está sujeito aos termos do Contrato e está incorporado no Contrato. Os termos utilizados no presente APD terão os significados definidos no presente APD. Os termos em maiúsculas não definidos de outra forma no presente documento terão o significado que lhes é atribuído nas Condições Comerciais do Contrato.
    2.4 Os Anexos fazem parte do presente APD e terão efeito como se estivessem integralmente definidos no presente APD. Qualquer referência ao presente APD inclui os Anexos.
    2.5 Em caso de conflito entre qualquer disposição do presente APD e qualquer termo(s) do Contrato, no que diz respeito ao objeto do presente Acordo, as disposições do presente APD prevalecerão.
  3. Definições Os termos a seguir indicados no presente DPA terão o seguinte significado:

"Leis de Protecção de Dados"

significa todas as leis e regulamentos aplicáveis relacionados com o Tratamento de Dados Pessoais em qualquer momento durante a vigência do presente ATD, incluindo (1) o Regulamento Geral de Proteção de Dados (RGPD, UE 2016/679); (2) o Regulamento Geral de Proteção de Dados do Reino Unido (RGPD do Reino Unido), tal como adaptado pela Lei de Proteção de Dados de 2018; (3) a Diretiva 2002/58/CE relativa à privacidade e às comunicações electrónicas, tal como implementada pelos Estados-Membros da UE, e qualquer legislação sucessora e quaisquer outros regulamentos, guias e códigos de práticas relacionados com a proteção de dados e a privacidade, em cada caso, tal como alterados, actualizados ou substituídos periodicamente.

"Dados Pessoais do Cliente"

significa Dados Pessoais Processados pela MetaCompliance exclusivamente para os fins da prestação de Serviços e de acordo com as instruções do Cliente.

"Cláusulas Contratuais Padrão"

significa as Cláusulas Contratuais-tipo da Comissão Europeia para a transferência de Dados Pessoais da União Europeia para subcontratantes estabelecidos em países terceiros (transferências de responsável pelo tratamento para subcontratante), tal como estabelecidas no anexo da Decisão 2021/914/UE da Comissão, de 4 de junho de 2021, e adoptadas ao abrigo da Adenda do Reino Unido, de 21 de março de 2022.

"Sub-processador"

significa um terceiro subcontratado contratado pelo Fornecedor que, como parte do papel do subcontratado na prestação dos serviços, processará os Dados Pessoais em nome do Cliente.

"Controlador", "Assunto dos dados", "Processador", "Processo ou Processamento", "Dados Pessoais", "Violação de Dados Pessoais".

terão os significados que lhes são dados no Reino Unido e no PIBR da UE.

4. Tratamento de dados pessoais

4.1 As partes reconhecem e concordam que, para efeitos das Leis de Protecção de Dados e no que respeita ao Tratamento de Dados Pessoais do Cliente, o Fornecedor é o Processador e o Cliente é o Controlador.

4.2 O Cliente garante e representa: (i) a transferência dos Dados Pessoais do Cliente para o Fornecedor cumpre em todos os aspectos as Leis de Protecção de Dados (incluindo sem limitação em termos da sua recolha e utilização); e (ii) o processamento justo e todos os outros avisos apropriados foram fornecidos aos Sujeitos dos Dados Pessoais do Cliente (e todos os consentimentos necessários de tais Sujeitos obtidos e sempre mantidos) na medida exigida pelas Leis de Protecção de Dados em relação a todas as actividades de processamento que possam ser realizadas pelo Fornecedor e seus Sub-processadores em conformidade com o presente Acordo;

4.3 O Fornecedor compromete-se a processar apenas os Dados Pessoais do Cliente: (i) conforme necessário para a prestação dos Serviços; (ii) de acordo com as instruções escritas do Cliente; e (iii) de acordo com os requisitos das Leis de Protecção de Dados.

4.4 O Cliente deverá, na sua utilização dos Serviços, processar os Dados Pessoais de acordo com os requisitos das Leis de Protecção de Dados. O Cliente deverá garantir que quaisquer instruções dadas ao Fornecedor em relação ao Processamento de Dados Pessoais do Cliente cumprem com as Leis de Protecção de Dados.

4.5 As instruções do Cliente ao Fornecedor relativamente ao objeto e duração do Processamento, à natureza e finalidade do Processamento, aos tipos de Dados Pessoais e às categorias de Titulares de Dados estão descritas no Anexo A. Para evitar dúvidas, as partes reconhecem e concordam que, sem prejuízo do disposto na cláusula 5, as instruções de processamento estabelecidas no presente APD e no Anexo A constituem o conjunto completo de instruções do Cliente para o Fornecedor, conforme aplicável.

4.6 O Fornecedor deverá notificar imediatamente o Cliente se, na opinião razoável do Fornecedor, qualquer instrução dada pelo Cliente for susceptível de infringir as Leis de Protecção de Dados.

4.7 O Fornecedor não processará, transferirá, modificará, alterará ou modificará os Dados Pessoais do Cliente, nem divulgará ou permitirá a divulgação dos Dados Pessoais do Cliente a terceiros fora das instruções detalhadas na presente APD.

4.8 O pessoal do Fornecedor envolvido no Processamento de Dados Pessoais do Cliente será informado da natureza confidencial dos Dados Pessoais do Cliente e receberá formação adequada sobre as suas responsabilidades. Esse pessoal será sujeito aos devidos compromissos de confidencialidade.

4.9 Tendo em conta a natureza do Tratamento de Dados Pessoais nos Serviços prestados, o Fornecedor deverá, conforme exigido pelo artigo 32º do RU e da UE GDPR, manter medidas técnicas e organizacionais adequadas, para garantir a segurança do Tratamento, incluindo protecção contra Tratamento não autorizado ou ilegal, e contra destruição acidental ou ilegal, perda ou alteração ou dano, divulgação não autorizada de, ou acesso a, Dados Pessoais do Cliente. As partes reconhecem e concordam que as medidas de segurança especificadas na presente DPA e mais especificamente no Anexo B constituem medidas de segurança técnicas e organizacionais adequadas para garantir um nível de segurança adequado ao risco.

4.10 O Fornecedor deverá assistir o Cliente através de medidas técnicas e organizacionais adequadas, na medida do possível e tendo em conta a natureza do Tratamento dos Dados Pessoais do Cliente, no cumprimento das obrigações do Cliente no âmbito das Leis de Protecção de Dados, incluindo em relação aos direitos do Sujeito dos Dados, avaliações do impacto da protecção de dados (relacionadas com a utilização dos Serviços MetaCompliance pelo Cliente) e relatórios e consultas às autoridades de supervisão (relacionadas com uma avaliação do impacto da protecção de dados relacionada com os Serviços MetaCompliance).

4.11 Se os Sujeitos dos Dados, autoridades competentes ou quaisquer outros terceiros solicitarem informações ao Fornecedor relativamente ao Processamento de Dados Pessoais do Cliente, o Fornecedor deverá encaminhar tal pedido para o Cliente, a menos que seja exigido o cumprimento das Leis de Protecção de Dados, caso em que o Fornecedor deverá notificar previamente o Cliente de tal exigência legal, a menos que essa lei proíba tal divulgação por motivos importantes de interesse público.

5. Sub-processadores

5.1 O Cliente reconhece e concorda que o Fornecedor pode, em relação à prestação de Serviços, contratar Sub-Processadores que possam ser afiliados do Fornecedor e/ou terceiros, tal como descrito mais especificamente no Anexo C.

5.2 O Cliente reconhece que o Fornecedor tem autorização geral para contratar novos Subcontratantes sem obter qualquer outra autorização específica por escrito do Cliente. Isto está sujeito ao facto de o Subcontratante notificar o Cliente por escrito da identidade de qualquer novo Subcontratante, 30 dias antes do processamento dos Dados Pessoais do Cliente.

5.3 Se o Cliente desejar objetar o Sub-processador relevante, o Cliente deverá notificá-lo por escrito no prazo de dez (10) dias úteis a contar da receção da notificação do Fornecedor. A ausência de quaisquer objecções por parte do Cliente será considerada como consentimento para a utilização do Sub-processador relevante.

5.4 No caso do Cliente se opor a um novo Sub-processador, o Fornecedor envidará esforços razoáveis para disponibilizar ao Cliente uma alteração nos Serviços ou recomendar uma alteração comercialmente razoável nos Serviços para evitar o Processamento dos Dados Pessoais do Cliente pelo novo Sub-processador relevante. Se nenhuma alternativa for possível, as partes têm o direito de rescindir o Contrato entre elas.

5.5 A notificação do Fornecedor de um novo Subcontratante ao Cliente deverá incluir a apresentação de um Anexo C atualizado.

5.6 O Fornecedor permanece responsável perante o Cliente pelo cumprimento das obrigações dos Sub-processadores.

6. Transferências de dados

6.1 De acordo com o Artigo 28(3)(a) do RGPD do Reino Unido e da UE, o Fornecedor não deve, e não deve permitir que qualquer Subprocessador transfira quaisquer Dados Pessoais do Cliente para fora do EEE ou do Reino Unido (conforme aplicável), exceto conforme previsto no presente Acordo. Para evitar dúvidas, o Cliente consente a transferência e o processamento dos Dados Pessoais, tal como especificado no Anexo A, conforme aplicável.

6.2 O Fornecedor reconhece que, de acordo com o RGPD do Reino Unido e da UE, deve existir uma proteção adequada para os Dados Pessoais após qualquer transferência para fora do Reino Unido ou do EEE (diretamente ou através de uma transferência subsequente de um Subcontratante) e deve celebrar um acordo adequado com o Cliente e/ou qualquer Subcontratante para reger essa transferência. Este incluirá as Cláusulas Contratuais Padrão aplicáveis, exceto se existir outro mecanismo de adequação para a Transferência.

7. Quebra de dados pessoais

7.1 No caso de qualquer violação de dados pessoais que envolva os dados pessoais do cliente, o fornecedor deverá:

7.1.1 Notificar o Cliente sem atrasos indevidos (no prazo máximo de 48 horas) para permitir que o Cliente cumpra as obrigações de comunicação do RGPD do Reino Unido e da UE e para prestar assistência razoável ao Cliente quando for necessário comunicar uma Violação de Dados Pessoais a um Titular de Dados.

7.1.2 Envidar esforços razoáveis para identificar a causa de tal Violação de Dados Pessoais e tomar as medidas que o Fornecedor considerar razoavelmente praticáveis, a fim de remediar a causa de tal Violação de Dados Pessoais.

7.1.3 Sujeito aos termos da presente DPA, prestar assistência e cooperação razoáveis, conforme solicitado pelo Cliente, na prossecução de qualquer correcção ou reparação de qualquer violação de dados pessoais.

8. Registos de Processamento

8.1 Na medida aplicável ao Processamento do Fornecedor para o Cliente, o Fornecedor deverá manter todos os registos exigidos pelo Artigo 30(2) do GDPR do Reino Unido e da UE e colocá-los à disposição do Cliente mediante pedido.

9. Direitos de auditoria

9.1 O Fornecedor deverá, e deverá providenciar para que os seus Sub-Processadores disponibilizem ao Cliente, mediante pedido, informações razoáveis necessárias para demonstrar o cumprimento das suas obrigações de protecção de dados ao abrigo da presente DPA e deverão permitir e contribuir para auditorias, incluindo inspecções nas suas instalações, por parte do Cliente ou de um auditor mandatado pelo Cliente em relação ao Processamento de Dados Pessoais do Cliente, desde que tal auditor não seja concorrente do Fornecedor

10. Termo

10.1 Esta DPA permanecerá em pleno vigor e efeito durante o tempo necessário:

10.1.1 O Contrato permanece em vigor; ou

10.1.2 O Fornecedor retém quaisquer Dados Pessoais do Cliente na sua posse ou controlo.

10.2 Qualquer disposição desta DPA que expressamente ou por implicação deverá entrar ou continuar em vigor no ou após a rescisão do Contrato, a fim de proteger os Dados Pessoais do Cliente, permanecerá em pleno vigor e efeito.

11. Devolução e destruição de dados

11.1 O Fornecedor deverá, ao critério do Cliente e com qualquer pedido deste tipo apresentado por escrito pelo Cliente, apagar ou devolver todos os Dados Pessoais do Cliente ao Cliente após o fim da prestação dos Serviços relacionados com o Processamento, e apagar as cópias existentes, a menos que a legislação aplicável do EEE ou dos Estados-Membros exija o armazenamento dos Dados Pessoais do Cliente. Se não for recebido qualquer pedido escrito do Cliente, o Fornecedor deverá apagar os Dados Pessoais do Cliente 90 dias após a cessação do Contrato.

11.2 A pedido do Cliente, o Fornecedor deverá fornecer uma notificação escrita das medidas tomadas relativamente aos Dados Pessoais do Cliente.

12. Indemnização

12.1 O Fornecedor concorda em indemnizar o Cliente contra todos os custos directos, reclamações, danos ou despesas incorridas pelo Cliente devido a qualquer falha do Fornecedor ou dos seus empregados, sub-processadores, subcontratantes ou agentes no cumprimento de qualquer uma das suas obrigações ao abrigo da presente DPA ou das Leis de Protecção de Dados de acordo com o Artigo 82 da GDPR do Reino Unido e da UE.

12.2 Não obstante qualquer disposição em contrário nesta APD ou no Contrato (incluindo, sem limitação, as obrigações de indemnização de qualquer das partes), nenhuma das partes será responsável por quaisquer multas da GDPR emitidas ou cobradas ao abrigo do Artigo 83 da GDPR contra a outra parte por uma autoridade reguladora ou organismo governamental em relação à violação da GDPR por essa outra parte.

12.3 Sujeito às obrigações legais descritas na cláusula 12.1 e as limitações detalhadas na cláusula 12.2, a responsabilidade de cada parte ao abrigo desta APD estará sujeita às exclusões e limitações de responsabilidade estabelecidas no Contrato. Qualquer referência a qualquer "limitação de responsabilidade" de uma parte no Contrato será interpretada como significando a responsabilidade agregada de uma parte e de todas as suas Subsidiárias e Afiliadas nos termos do Contrato e da presente DPA.

Anexo A

Fins e detalhes do processamento de dados pessoais

Assunto do processamentoDetalhesAplica-se a:

Finalidade

Especificar todos os fins para os quais os Dados Pessoais serão processados pelo Fornecedor

Acesso ao sistema Administração do sistema Entrega do conteúdo do sistema de acordo com os módulos subscritos. Ver abaixo:Todos os Clientes
Políticas, Avaliações de ConhecimentoClientes que subscrevam os módulos Policy (PolicyLite, MetaEngage e MetaPolicy)
eLearning, outros meios de comunicação socialClientes que subscrevam módulos Elearning (MetaLearning Fusion)
Pesquisas de PrivacidadeClientes que subscrevam o módulo MetaPrivacy
Revisões de IncidentesClientes que subscrevam o módulo MetaIncident
Campanhas simuladas de PhishingClientes que subscrevam a MetaPhish
Transferência SCORM para o LMS do clienteClientes que subscrevem a transferência SCORM

Tipos de dados pessoais

Especificar os Dados Pessoais que serão processados pelo Fornecedor

Nome, Apelido, Endereço de correio eletrónico, Endereço IP, Departamento, Registo de formaçãoTodos os Clientes
Unidade de Organização do Active Directory (OU)Clientes que utilizam o Azure AD ou na premissa AD
LMS IDClientes com subscrições de transferência SCORM

Operações de processamento

Especificar todas as actividades de Processamento a serem conduzidas pelo Fornecedor

Processamento e armazenamento de Dados Pessoais do Cliente a fim de criar e manter contas de Utilizadores Autorizados na plataforma MyCompliance. Distribuição de vários e-mails de notificação iniciados pelo sistema MyCompliance da MetaCompliance.Todos os Clientes
Distribuição de e-mails simulados de phishing especificados pelo Cliente através da plataforma MetaCompliance MyCompliance.Clientes que subscrevam o módulo MetaPhish
Armazenamento de Dados Pessoais onde são introduzidos pelo cliente através do módulo MetaCompliance MetaPrivacy.Clientes que subscrevam o módulo MetaPrivacy
Para comunicar com o LMS do Cliente e avaliar a contagem de licenças.Clientes que subscrevem a transferência SCORM

Categorias de Assuntos de Dados

Especificar as categorias de Sujeitos cujos dados pessoais serão processados pelo Fornecedor

Clientes Empregados, Empreiteiros, Fornecedores, Parceiros e/ou Afiliados.Todos os Clientes, de acordo com os dados do Titular dos Dados fornecidos ao Fornecedor. O Cliente pode limitar este facto em função da sua utilização prevista dos Serviços

Localização das operações de processamento

Especificar todos os locais onde os Dados Pessoais serão processados pelo Fornecedor

Reino Unido (MetaCompliance Group TAMBÉM da Microsoft Azure e Amazon Web Services para novos clientes baseados no Reino Unido após a data efectiva).

Dinamarca (Grupo MetaCompliance).

Portugal (Grupo MetaCompliance)

Alemanha (Grupo MetaCompliance)

Irlanda (MetaCompliance Group TAMBÉM da Microsoft Azure e Amazon Web Services para novos clientes baseados no EEE e na Suíça após a data efectiva).

Holanda (Microsoft Azure para novos clientes da Suíça após a data efectiva).

Canadá (Microsoft Azure e Amazon Web Services para novos clientes canadianos após a data efectiva).

Todos os clientes, conforme aplicável. Para mais pormenores, consultar o Anexo C

Requisitos de retenção

Quando aplicável, especificar o tempo de retenção dos Dados Pessoais do Cliente armazenados pelo Fornecedor

Quando uma subscrição do Cliente expira ou é terminada, todos os Dados Pessoais do Cliente associado são mantidos durante 90 dias antes de serem efectivamente apagados, a fim de recuperar do cancelamento acidental da subscrição.Todos os Clientes

Anexo B

Disposições de segurança

O Fornecedor, a fim de ajudar o Cliente a cumprir as suas obrigações legais, incluindo mas não se limitando a; medidas de segurança e avaliações de risco de privacidade, será obrigado a tomar medidas técnicas e organizacionais adequadas para proteger os Dados Pessoais do Cliente que são processados. As medidas devem, pelo menos, resultar num nível de segurança que seja adequado, tendo em consideração:

(a) As possibilidades técnicas existentes;

(b) Os custos de execução das medidas;

(c) os riscos particulares associados ao Processamento de Dados Pessoais do Cliente; e

(d) A sensibilidade dos Dados Pessoais do Cliente que são processados.

O Fornecedor deve manter uma segurança adequada para os Dados Pessoais do Cliente. O Fornecedor deverá proteger os Dados Pessoais do Cliente contra destruição, modificação, divulgação ilegal ou acesso ilegal. Os Dados Pessoais do Cliente serão igualmente protegidos contra todas as outras formas de processamento ilícito. Tendo em conta o estado da técnica e os custos de implementação e tendo em conta a natureza, âmbito, contexto e objectivos do Processamento, bem como o risco de probabilidade e gravidade variáveis para os direitos e liberdades dos indivíduos, as medidas técnicas e organizacionais a serem implementadas pelo Fornecedor incluirão, conforme apropriado:

(a) a pseudonimização e encriptação dos Dados Pessoais do Cliente;

(b) a capacidade de assegurar a permanente confidencialidade, integridade, disponibilidade e resiliência dos sistemas e serviços que processam os dados pessoais dos clientes;

(c) a capacidade de restabelecer a disponibilidade e o acesso aos Dados Pessoais do Cliente de forma atempada no caso de um incidente físico ou técnico; e

(d) Um processo para testar, avaliar e avaliar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do Processamento.

Para além das medidas técnicas e organizacionais acima mencionadas, o Fornecedor deverá implementar as seguintes medidas:

(a) protecção de acesso físico, em que o equipamento informático e os dados amovíveis contendo dados pessoais do Cliente nas instalações do Fornecedor serão bloqueados quando não estiverem sob supervisão, a fim de proteger contra utilização não autorizada, impacto e roubo.

(b) um processo de teste lido de novo depois de os Dados Pessoais do Cliente terem sido restaurados a partir de cópias de segurança.

(c) controlo de autorização através do qual o acesso do Fornecedor aos Dados Pessoais do Cliente é gerido através de um sistema técnico de controlo de autorização. A autorização é restrita a quem necessita dos Dados Pessoais do Cliente para o seu trabalho. Os IDs e senhas de utilizador serão pessoais e não poderão ser transferidos para mais ninguém. Deverão existir procedimentos para atribuição e remoção de autorizações.

(d) manter registos de quem tem acesso aos Dados Pessoais do Cliente.

(e) Comunicação segura através da qual as ligações externas de comunicação de dados devem ser protegidas utilizando funções técnicas que garantam que a ligação é autorizada, bem como a codificação do conteúdo dos dados em trânsito nos canais de comunicação fora dos sistemas controlados pelo Fornecedor.

(f) Um processo para assegurar a destruição segura dos dados quando suportes de armazenamento fixos ou amovíveis deixarão de ser utilizados para os seus fins.

(g) rotinas para a celebração de acordos de confidencialidade com fornecedores que fornecem reparação e serviço de equipamento utilizado para armazenar os Dados Pessoais do Cliente.

(h) rotinas de supervisão do serviço realizado pelos fornecedores nas instalações do Fornecedor. Os suportes de armazenamento contendo os Dados Pessoais do Cliente devem ser removidos se a supervisão não for possível.

Anexo C

Subprocessadores aprovados Todos os novos clientes após5 de julho de 2023 podem optar por alterar a aplicação padrão de subprocessadores e locais de data center no momento da integração por meio de um e-mail de confirmação para a MetaCompliance Ltd. Os padrões que se aplicam são:

Sub-Processador Localização Aplica-se a:
Microsoft Azure (contratado através da Microsoft Operations Ireland Ltd, aloja os serviços na nuvem) Holanda Dublin Reino Unido (UK) Alemanha Canadá Localização aplicada de acordo com o seguinte para novos Clientes:
1. Os Clientes do Reino Unido serão predefinidos para Centros de Dados apenas no Reino Unido para o Microsoft Azure.
2. Os Clientes da Alemanha serão seleccionados por defeito para o Centro de Dados da Alemanha.
3. Os clientes canadianos utilizarão por defeito os Centros de Dados apenas canadianos para o Microsoft Azure.
4. Os Clientes sediados no EEE e na Suíça utilizarão por defeito os Centros de Dados da Holanda e de Dublin para o Microsoft Azure.
Amazon Web Services (contratado com a "AWS Europe", como fornecedor de correio electrónico transaccional) Dublim Reino Unido Alemanha Canadá Localização aplicada de acordo com o seguinte para novos Clientes após 5 de julho de 2023:
1. Os Clientes do Reino Unido serão predefinidos para Centros de Dados apenas no Reino Unido para a AWS Europa.
2. Os Clientes do Canadá serão predefinidos para os Centros de Dados apenas do Canadá para a AWS Europe.
3. Os clientes sediados no EEE e na Suíça serão encaminhados por defeito para os centros de dados sediados na UE para o AWS Europe. .
MetaCompliance Limited, uma entidade do Grupo MetaCompliance (prestação de serviços de contas de clientes e serviços de apoio a clientes) Irlanda Todos os clientes
MetaCompliance GmbH (prestação de serviços de conta de cliente e serviços de apoio) Alemanha Todos os clientes
MOCH A/S, uma entidade do Grupo MetaCompliance (prestação de serviços de contas de clientes e serviços de apoio a clientes) Dinamarca Todos os clientes
MetaCompliance Ireland Ltd Sucursal Portugal uma entidade do Grupo MetaCompliance (prestação de serviços de contas de clientes e serviços de apoio a clientes) Portugal Todos os clientes

Sub-Processador

Localização

Aplica-se a:

Microsoft Azure (Acolhe os Serviços na Nuvem)

 

 

 

 

 

 

 

 

Amazon Web Services (contratado com a "AWS Europe", como fornecedor de correio electrónico transaccional)

Países Baixos

Dublin

Reino Unido (UK)

Canadá

 

Países Baixos

Dublin

Reino Unido

Canadá

Localização aplicada de acordo com o seguinte para novos Clientes após 5 de julho de 2023::

  1. Os clientes do Reino Unido utilizarão por defeito os Centros de Dados apenas do Reino Unido para o Microsoft Azure.
  2. Os clientes canadianos utilizarão por defeito os Centros de Dados apenas canadianos para o Microsoft Azure.

Os Clientes sediados no EEE e na Suíça utilizarão por defeito os Centros de Dados sediados na UE para o Microsoft Azure.

Localização aplicada de acordo com o abaixo indicado para novos Clientes após 5 de julho de 2023:

  1. Os clientes do Reino Unido serão seleccionados por defeito para os centros de dados do AWS Europa apenas no Reino Unido.
  2. Os clientes canadianos serão transferidos para os centros de dados da AWS Europe exclusivamente canadianos.
Os clientes sediados no EEE e na Suíça terão como padrão os centros de dados sediados na UE para o AWS Europa.
Sub-Processador Localização Aplica-se a.

Microsoft Azure (Acolhe os Serviços na Nuvem)

Holanda
Dublin

Todos os Clientes

AWS Europe (fornecedor de correio electrónico transaccional)

Dublin

Todos os Clientes sediados no Reino Unido ou nos países do EEE.

Twilio para Sendgrid Services (fornecedor de correio electrónico transaccional)

EUA

Todos os Clientes sediados fora do Reino Unido ou países do EEE
Para os Clientes que contrataram em ou antes de5 de julho de 2023, consulte os detalhes abaixo relativamente à utilização de Subprocessadores:
  1. Clientes com uma DPA separada - esse documento (com as alterações que lhe foram introduzidas) tem precedência e indica os subcontratantes ulteriores utilizados.
  2. Os clientes que fizeram parte da mudança de grupo em 15 de julho de 2023 para utilizar a AWS Europe para notificações de simulação de phishing utilizarão o seguinte (exceto se especificamente indicado de outra forma por escrito):
Microsoft Azure - centros de dados de Dublin e Amesterdão (alojamento na nuvem) Amazon Web Services - Dublin (fornecedor de correio eletrónico transacional apenas para notificações de simulação de phishing) Twilio for Sendgrid Services - U.S.A. (fornecedor de correio eletrónico transacional para todas as outras notificações da plataforma).

Acordo de Processamento de Dados Arquivados, disponível aqui.

Introduktion

Parterne er enige om, at denne Databehandleraftale (“DPA”) angiver hver parts rettigheder og forpligtelser med hensyn til behandling og sikkerhed af Kundens Personoplysninger i forbindelse med Softwaren og Tjenesterne leveret af MOCH A/S. DPAen er inkorporeret ved henvisning i de Generelle Vilkår og Betingelser (Kommercielle Vilkår). Parterne er også enige om, at medmindre der findes en separat DPA underskrevet af parterne, regulerer denne DPA, behandlingen og sikkerheden af Kundens Personoplysninger. Bestemmelserne i DPAen erstatter eventuelle modstridende bestemmelser i MOCHs Erklæring om Beskyttelse af Personoplysninger, som ellers måtte gælde for behandling af Kunders Personoplysninger. For klarhedens skyld, i overensstemmelse med Standardkontraktbestemmelserne fra 2021, som defineret nedenfor, når Standardkontraktbestemmelserne fra 2021 finder anvendelse, har Standardkontraktbestemmelserne fra 2021 forrang for ethvert andet vilkår i DPAen.

DATABEHANDLERAFTALE GÆLDENDE FRA DEN 01. oktober 2023

1. Parter
1.1 Kunden som defineret i de Generelle Vilkår og Betingelser (“Kunden“) og
1.2 MOCH A/S indregistreret i Danmark med CVR-nummer 25397096, med hjemsted på Toldbodgade 51C, 1253 København (“Leverandør“).
2. Baggrund
2.1 Kunden og Leverandøren har indgået en Kontrakt, som kan kræve, at Leverandøren behandler Personoplysninger på vegne af Kunden.
2.2 Denne Databehandleraftale (“DPA“) fastsætter de yderligere vilkår, krav og betingelser, hvorefter Leverandøren behandler Personoplysninger, når han leverer Tjenester i henhold til Kontrakten. Denne DPA indeholder de obligatoriske klausuler, der kræves i artikel 28, stk. 3, i databeskyttelsesforordningen ((EU) 2016/679 og UK GDPR-lovgivningen) for kontrakter mellem dataansvarlige og databehandlere.
2.3 Denne DPA er underlagt vilkårene i Kontrakten og er inkorporeret i Kontrakten. De udtryk, der anvendes i denne DPA, har den betydning, der er angivet i denne DPA. Termer med stort begyndelsesbogstav, der ikke på anden måde er defineret heri, skal have den betydning, der er angivet i Kontraktens Vilkår og Betingelser.
2.4 Bilagene udgør en del af denne DPA og har virkning, som om de var anført fuldt ud i denne DPA. Enhver henvisning til denne DPA omfatter Bilag.
2.5 I tilfælde af en konflikt mellem en bestemmelse i denne DPA og et eller flere vilkår i Kontrakten med hensyn til genstanden for denne Aftale, har bestemmelserne i denne DPA forrang.
3. Definitioner
Følgende udtryk i denne DPA har følgende betydning:

“Databeskyttelseslovgivning” betyder alle gældende love og bestemmelser vedrørende Behandling af Personoplysninger til enhver tid i løbet af denne DPAs løbetid, herunder (1) Databeskyttelsesforordningen (GDPR, EU 2016/679) og implementeringen heraf i den danske databeskyttelseslov; (2) Det Forenede Kongeriges (United Kingdom) Databeskyttelsesforordning (UK GDPR) som tilpasset af Data Protection Act 2018; (3) ePrivacy-direktivet 2002/58/EF som gennemført af EUs medlemsstater og eventuel efterfølgende lovgivning og alle andre forordninger, retningslinjer og adfærdskodekser vedrørende databeskyttelse og privatlivets fred som ændret, ajourført eller erstattet fra tid til anden.
“Personlige Kundeoplysninger” betyder Personoplysninger, der behandles af MOCH udelukkende med henblik på levering af Tjenester og som anvist af Kunden.
“Standardkontraktbestemmelser” betyder Europa Kommissionens Standardkontraktbestemmelser for overførsel af Personoplysninger fra Den Europæiske Union til databehandlere, der er etableret i tredjelande (overførsler fra dataansvarlig til databehandler), som fastsat i Bilaget til Kommissionens Afgørelse 2021/914/EU pr. 4. juni 2021 og vedtaget i henhold til Det Forenede Kongeriges (United Kingdom) tillæg pr. 21. marts 2022.
“Underdatabehandler” betyder en underleverandør, der er benyttes af Leverandøren, og, som en del af underleverandørens rolle med at levere Tjenesterne, behandler Personoplysninger på vegne af Kunden.
“Dataansvarlig”, “Registreret”, “Databehandler”, “Behandling eller behandling”, “Personoplysninger”, “Brud på persondatasikkerheden” skal have de betydninger, der er givet til dem i Storbritannien og EU GDPR.

4. Behandling af Personoplysninger
4.1 Parterne anerkender og accepterer, at Leverandøren med det formål at overholde Databeskyttelseslovgivningen og med hensyn til behandling af Kundens Personoplysninger er Databehandleren, og Kunden er den Dataansvarlige.
4.2 Kunden garanterer og indestår for: (i) at overførslen af Kundens Persondata til Leverandøren i alle henseender overholder Databeskyttelseslovgivningen (herunder uden begrænsning med hensyn til indsamling og brug); og (ii) rimelig behandling af personoplysninger og alle andre relevante meddelelser er givet til de Registrerede (og alle nødvendige samtykker fra sådanne Registrerede er indhentet og til enhver tid gældende) i det omfang, det kræves af Databeskyttelseslovgivningen i forbindelse med alle behandlingsaktiviteter, der kan udføres af Leverandøren og dennes Underdatabehandlere i overensstemmelse med denne Aftale;
4.3 Leverandøren forpligter sig til kun at behandle Kundens Personoplysninger: (i) som nødvendigt for at levere Tjenesterne; (ii) i overensstemmelse med skriftlige instruktioner fra Kunden; og (iii) i overensstemmelse med kravene i Databeskyttelseslovgivningen.
4.4 Kunden skal i sin brug af Tjenesterne behandle Personoplysninger i overensstemmelse med kravene i Databeskyttelseslovgivningen. Kunden skal sikre, at alle instruktioner til Leverandøren i forbindelse med behandling af Kundens Personoplysninger overholder Databeskyttelseslovgivningen.
4.5 Kundens instruktioner til Leverandøren vedrørende genstanden for og varigheden af Behandlingen, Behandlingens art og formål, typerne af Personoplysninger og kategorierne af Registrerede er beskrevet i Bilag A. For at undgå tvivl anerkender og accepterer parterne, at instruksen, der er angivet i denne DPA og Bilag A, udgør det komplette sæt instruktioner fra Kunden til Leverandøren jf. punkt 5.
4.6 Leverandøren skal straks underrette Kunden, hvis en instruktion fra Kunden efter Leverandørens rimelige opfattelse sandsynligvis vil være i strid med Databeskyttelseslovgivningen.
4.7 Leverandøren må ikke behandle, overføre, modificere eller ændre Kundens Personoplysninger, videregive eller tillade videregivelse af Kundens Personoplysninger til nogen tredjepart uden for de instruktioner, der er beskrevet i denne DPA.
4.8 Leverandørens personale, der er involveret i behandlingen af Kundens Personoplysninger, skal informeres om den fortrolige karakter af Kundens Personoplysninger og vil modtage passende uddannelse i deres ansvar. Sådant personale skal være underlagt passende fortrolighedsforpligtelser. En liste over personer, der har fået adgang, skal regelmæssigt gennemgås. På baggrund af en gennemgang en sådan liste, kan en adgang til personoplysninger trækkes tilbage, hvis adgangen ikke længere er nødvendig, og personoplysninger vil herefter ikke længere være tilgængelige for disse personer.
4.9 Under hensyntagen til behandlingens karakter i de leverede Tjenester skal Leverandøren som krævet i UK og EU GDPR artikel 32 opretholde passende tekniske og organisatoriske foranstaltninger for at sikre behandlingssikkerheden, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod utilsigtet eller ulovlig ødelæggelse, tab eller ændring eller skade, uautoriseret videregivelse af eller adgang til Kundens Personoplysninger. Parterne anerkender og accepterer, at de sikkerhedsforanstaltninger, der er specificeret i denne DPA og mere specifikt i Bilag B, udgør passende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der er passende for risikoen.
4.10 Leverandøren skal bistå Kunden med passende tekniske og organisatoriske foranstaltninger, for så vidt dette er muligt og, under hensyntagen til behandlingens karakter, med at opfylde Kundens forpligtelser i henhold til Databeskyttelseslovgivningen, herunder i forhold til den registreredes rettigheder, konsekvensanalyser vedrørende databeskyttelse (relateret til Kundens brug af MOCH-Tjenester) og rapportering til og høring af tilsynsmyndigheder (i forbindelse med en konsekvensanalyse vedrørende databeskyttelse relateret til MOCH-Tjenesterne).
4.11 Hvis de Registrerede, kompetente myndigheder eller andre tredjeparter anmoder Leverandøren om oplysninger vedrørende Behandlingen af Kundens Personoplysninger, skal Leverandøren henvise en sådan anmodning til Kunden, medmindre andet kræves for at overholde Databeskyttelseslovgivningen, i hvilket tilfælde Leverandøren skal give Kunden forudgående meddelelse om et sådant lovkrav, medmindre den pågældende lov forbyder denne videregivelse af hensyn til vigtige offentlige interesser.

5. Underdatabehandlere
5.1 Kunden anerkender og accepterer, at Leverandøren i forbindelse med levering af Ydelser kan engagere Underdatabehandlere, som kan være datterselskaber af Leverandøren og/eller tredjeparter som nærmere beskrevet i Bilag C.
5.2 Kunden anerkender, at Leverandøren er givet en generel tilladelse til at antage nye Underdatabehandlere til at behandle Kundens Personoplysninger uden at indhente yderligere skriftlig specifik tilladelse fra Kunden. Dette er betinget af, at Leverandøren skriftligt underretter Kunden om enhver ny Underdatabehandlers identitet 30 dage forud for behandlingen af Kundens Personoplysninger.
5.3 Hvis Kunden ønsker at gøre indsigelse mod den relevante Underdatabehandler, skal Kunden give skriftlig meddelelse herom inden for ti (10) arbejdsdage fra modtagelsen af meddelelsen fra Leverandøren. Hvis Kunden ikke gør indsigelse, anses det som samtykke til at bruge den relevante Underdatabehandler.
5.4 Hvis Kunden gør indsigelse mod en ny Underdatabehandler, vil Leverandøren gøre en rimelig indsats for at stille en ændring i Tjenesterne til rådighed for Kunden eller anbefale en kommercielt rimelig ændring i Tjenesterne for at undgå behandling af Kundens Personoplysninger af den relevante nye Underdatabehandler. Hvis intet alternativ er muligt, har parterne ret til at opsige Kontrakten mellem dem.
5.5 Leverandørens meddelelse til Kunden om en ny Underdatabehandler skal indeholde et opdateret bilag C. Leverandøren skal holde Bilag C opdateret.
5.6 Leverandøren forbliver ansvarlig over for Kunden for opfyldelsen af Underdatabehandlernes forpligtelser.
5.7 Leverandøren skal i sin aftale med Underdatabehandleren indføje den Kunden som begunstiget tredjemand i tilfælde af Leverandørens konkurs, således at Kunden kan indtræde i Leverandørens rettigheder og gøre dem gældende over for Underdatabehandlere, som f.eks. gør Kunden i stand til at instruere Underdatabehandleren i at slette eller tilbagelevere personoplysningerne.

6. Overførsel til tredjelande eller internationale organisationer
6.1 I overensstemmelse med artikel 28(3)(a) i GDPR i Storbritannien og EU må Leverandøren ikke, og må ikke tillade nogen Underdatabehandler at, overføre Kundens Personoplysninger uden for EU/EØS eller Storbritannien (alt efter hvad der er relevant) andet end som angivet i denne Aftale. For at undgå tvivl giver Kunden hermed samtykke til overførsel og behandling af Personoplysningerne som specificeret i Bilag A, som det gælder.
6.2 Leverandøren anerkender, at der i overensstemmelse med GDPR i Storbritannien og EU skal være tilstrækkelig beskyttelse af Personoplysningerne efter enhver overførsel uden for Storbritannien eller EØS (enten direkte eller via en Underdatabehandlers videre overførsel), og at Leverandøren skal indgå en passende aftale med Kunden og/eller enhver Underdatabehandler for at regulere en sådan overførsel. Dette vil omfatte de gældende Standardkontraktbestemmelser, medmindre der findes en anden tilstrækkelig mekanisme for overførslen.

7. Brud på persondatasikkerheden
7.1 I tilfælde af brud på persondatasikkerheden, der involverer Kundens Personoplysninger, skal Leverandøren:
7.1.1 Underrette Kunden uden unødig forsinkelse (inden for maksimalt 48 timer) for at gøre det muligt for Kunden at overholde anmeldelsesforpligtelser i henhold til GDPR i Storbritannien og EU og for at yde rimelig assistance til Kunden, når det er nødvendigt at kommunikere et brud på persondatasikkerheden til en registreret person.
7.1.2 Gøre en rimelig indsats for at identificere årsagen til et sådant brud på persondatasikkerheden og tage de skridt, som Leverandøren anser for rimeligt gennemførlige for at afhjælpe årsagen til et sådant brud på persondatasikkerheden.
7.1.3 I henhold til betingelserne i denne DPA, yde rimelig assistance og samarbejde som anmodet af Kunden, for at fremme enhver korrektion eller afhjælpning af ethvert Brud på Persondatasikkerheden.

8. Fortegnelser over behandlingsaktiviteter
8.1 I det omfang det er relevant for Leverandørens behandling af personoplysninger for Kunden, skal Leverandøren opbevare alle fortegensler, der kræves i henhold til artikel 30, stk. 2, i Storbritannien og EU GDPR, og skal stille dem til rådighed for Kunden efter anmodning.

9. Revision, herunder inspektion 9.1 Leverandøren sørge for, at Leverandøren, og dennes Underdatabehandlere, efter anmodning stiller rimelige oplysninger til rådighed for Kunden, der er nødvendige for at påvise overholdelse af dennes databeskyttelsesforpligtelser i henhold til denne DPA, og skal tillade og bidrage til revisioner, herunder inspektion af fysiske lokationer, af Kunden eller en revisor, der er bemyndiget af Kunden i forbindelse med Behandling af Kundens Personoplysninger, forudsat at en sådan revisor ikke er en konkurrent til Leverandøren.

10. Ikrafttræden
10.1 Denne DPA er gældende så længe:
10.1.1 Kontrakten er gældende; eller
10.1.2 Leverandøren opbevarer enhver af Kundens Personoplysninger i sin besiddelse eller kontrol.
10.2 Enhver bestemmelse i denne DPA, der udtrykkeligt eller underforstået træder i kraft eller forbliver gældende ved eller efter opsigelse af Kontrakten for at beskytte Kundens Personoplysninger, forbliver gældende.

11. Sletning og returnering af oplysninger
11.1 Leverandøren skal, på Kundens foranledning og ved enhver sådan skriftlig anmodning fra Kunden, slette eller returnere alle Kundens Personoplysninger til Kunden efter afslutningen af leveringen af Tjenester relateret til Behandlingen og slette eksisterende kopier, medmindre gældende EØS- eller medlemsstatslovgivning kræver opbevaring af Kundens Personoplysninger. Hvis der ikke modtages en skriftlig anmodning fra Kunden, skal Leverandøren slette Kundens Personoplysninger 90 dage efter Kontraktens ophør.
11.2 På Kundens anmodning skal Leverandøren give en skriftlig meddelelse om de foranstaltninger, der er truffet vedrørende Kundens Personoplysninger.

12. Erstatning
12.1 Leverandøren accepterer at holde Kunden skadesløs for alle direkte omkostninger, krav, skader eller udgifter, som Kunden pådrager sig på grund af Leverandørens eller dennes medarbejderes, Underdatabehandleres, underleverandørers eller agenters manglende overholdelse af nogen af sine forpligtelser i henhold til denne DPA eller Databeskyttelseslovgivningen i overensstemmelse med artikel 82 i UK og EU GDPR.
12.2 Uanset det modsatte i denne DPA eller i Kontrakten (herunder, uden begrænsning, begge parters skadesløsholdelsesforpligtelser), vil ingen af parterne være ansvarlig for GDPR-bøder udstedt eller opkrævet i henhold til artikel 83 i GDPR mod den anden part af en regulerende myndighed eller et statsligt organ i forbindelse med en sådan anden parts overtrædelse af GDPR.
12.3 Med forbehold for de juridiske forpligtelser, der er beskrevet i punkt 12.1, og de begrænsninger, der er beskrevet i punkt 12.2, skal hver parts ansvar i henhold til denne DPA være underlagt de ansvarsfraskrivelser og -begrænsninger, der er beskrevet i Kontrakten. Enhver henvisning til en parts “ansvarsbegrænsning” i Kontrakten skal fortolkes som en parts og alle dennes datterselskabers og associerede selskabers samlede ansvar i henhold til aftalen og denne DPA.

Bilag A

Formål og detaljer vedrørende behandling af Personoplysninger
Genstand for behandling Detaljer Gælder for:
Formål Angiv alle formål, hvortil Personoplysningerne vil blive behandlet af Leverandøren Systemadgang Systemadministration Levering af systemindhold i henhold til moduler, der abonneres på. Se nedenfor: Alle Kunder
Politikker, Vidensvurderinger Kunder, der abonnerer på politikmoduler (PolicyLite, MetaEngage og MetaPolicy)
eLearning, andre medier Kunder, der abonnerer på Elearning-moduler (MetaLearning Fusion)
Privacy Surveys Kunder, der abonnerer på MetaPrivacy-modulet
Anmeldelser af hændelser Kunder, der abonnerer på MetaIncident-modulet
Simulerede phishing-kampagner Kunder, der abonnerer på Metaphish
SCORM overførsel til Customer LMS Kunder, der abonnerer på SCORM-overførsel
Typer af Personoplysninger Angiv de Personoplysninger, der vil blive behandlet af Leverandøren Fornavn, efternavn, e-mailadresse, IP-adresse, afdeling, undervisningsoversigt Alle Kunder
Active Directory Organisation Unit (OU) Kunder, der bruger Azure AD eller lokalt AD
LMS ID Kunder med abonnement på SCORM overfører
Kategorier af registrerede Angiv de kategorier af registrerede, hvis Personoplysninger vil blive behandlet af Leverandøren Medarbejdere hos kunder, entreprenører, leverandører, partnere og/eller associerede selskaber. Alle Kunder i overensstemmelse med de personoplysninger om de Registrerede, der leveres til Leverandøren. Kunden kan begrænse dette afhængigt af sin tilsigtede brug af Tjenesterne.
Behandlinger Angiv alle behandlingsaktiviteter, der skal udføres af Leverandøren Behandling og opbevaring af Kunders Personoplysninger for at oprette og vedligeholde autoriserede brugerkonti på platformen. Distribution af forskellige notifikationsmails initieret af MOCH-systemet. Alle Kunder
Distribution af simulerede phishing-e-mails specifikt initieret af Kunden via MOCH-platformen. Kunder, der abonnerer på MetaPhish-modulet
Opbevaring af Personoplysninger, hvor de indtastes af Kunden via MOCH-modulet. Kunder, der abonnerer på MetaPrivacy-modulet
At kommunikere med Customer LMS og evaluere licensantal Kunder, der abonnerer på SCORM-overførsel
Placering af behandlingsaktiviteter Angiv alle steder, hvor Personoplysningerne vil blive behandlet af Leverandøren Det Forenede Kongerige (United Kingdom) (MetaCompliance Group) Deutschland (MetaCompliance Group) Danmark (MetaCompliance-Group) Portugal (MetaCompliance Group) Irland (MetaCompliance Group, Microsoft Azure og Amazon Web Services) Holland (Microsoft Azure) Alle Kunder efter behov. Der henvises til bilag C for yderligere oplysninger.
Krav til opbevaring Hvor det er relevant, angiv opbevaringstiden for Kundens Personoplysninger, der er gemt af Leverandøren. Når et kundeabonnement er udløbet eller opsiges, opbevares alle tilknyttede personlige kundedata i 90 dage, før de endeligt slettes for at gendanne efter utilsigtet annullering af abonnementet. Alle Kunder

Bilag B

Sikkerhedsforanstaltninger

For at hjælpe Kunden med at overholde sine lovgivningsmæssige forpligtelser, herunder, men ikke begrænset til, sikkerhedsforanstaltninger og risikovurderinger vedrørende databeskyttelse, er Leverandøren forpligtet til at træffe passende tekniske og organisatoriske foranstaltninger for at beskytte Kundens Personoplysninger. Foranstaltningerne skal som minimum resultere i et sikkerhedsniveau, som er passende under hensyntagen til:

  1. eksisterende tekniske muligheder;
  2. omkostningerne ved gennemførelsen af foranstaltningerne;
  3. de særlige risici forbundet med behandlingen af Kunders Personoplysninger; og
  4. følsomheden af Kundens Personoplysninger, der behandles.

Leverandøren skal opretholde tilstrækkelig sikkerhed ved behandling af Kundens Personoplysninger. Leverandøren skal beskytte Kundens Personoplysninger mod ødelæggelse, ændring, ulovlig deling eller ulovlig adgang. Kundens Personoplysninger skal også beskyttes mod alle andre former for ulovlig behandling. Under hensyntagen til det aktuelle tekniske niveau og implementeringsomkostningerne og under hensyntagen til behandlingens art, omfang, kontekst og formål samt risikoen for varierende sandsynlighed og alvor for enkeltpersoners rettigheder og frihedsrettigheder, skal de tekniske og organisatoriske foranstaltninger, der skal implementeres af Leverandøren, efter omstændighederne omfatte:

  1. pseudonymisering og kryptering af Kundens Personoplysninger;
  2. evnen til at sikre løbende fortrolighed, integritet, tilgængelighed og modstandsdygtighed af systemer og Tjenester, der behandler Kundens Personoplysninger;
  3. evnen til at genoprette tilgængeligheden af og adgangen til Kundens Personoplysninger rettidigt i tilfælde af en fysisk eller teknisk hændelse; og
  4. en proces til regelmæssig testning, vurdering og evaluering af effektiviteten af tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerheden.

Ud over de tekniske og organisatoriske foranstaltninger, der er nævnt ovenfor, skal Leverandøren gennemføre følgende foranstaltninger:

  1. fysisk adgangsbeskyttelse, hvorved computerudstyr og flytbare data, der indeholder Kundens Personoplysninger i Leverandørens lokaler, skal være aflåst, når de ikke er under opsyn for at beskytte mod uautoriseret brug, påvirkning og tyveri.
  2. en proces til test af tilbagelæsning, efter at Kundens Personoplysninger er blevet gendannet fra sikkerhedskopier.
  3. autorisationskontrol, hvorved Leverandørens adgang til Kundens Personoplysninger styres gennem et teknisk system fra autorisationskontrol. Autorisation skal begrænses til dem, der har et arbejdsbetinget behov med at tilgå Kundens Personoplysninger. Bruger-id’er og adgangskoder skal være personlige og må ikke overdrages til andre. Der skal være procedurer for tildeling og fjernelse af autorisationer.
  4. føre fortegnelser over, hvem der har adgang til Kundens Personoplysninger.
  5. sikre kommunikation, hvor eksterne datakommunikationsforbindelser skal beskyttes ved hjælp af tekniske funktioner, der sikrer, at forbindelsen er autoriseret, samt kryptering af data i transit i kommunikationskanaler uden for systemer, der kontrolleres af Leverandøren.
  6. en proces til sikring af sikker destruktion af data, når faste eller flytbare lagringsmedier ikke længere skal bruges til deres formål.
  7. rutiner for indgåelse af fortrolighedsaftaler med Leverandører, der leverer reparation og service af udstyr, der bruges til at lagre Kundens Personoplysninger.
  8. rutiner for overvågning af den service, der udføres af Leverandører i Leverandørens lokaler. Lagringsmedier, der indeholder Kundens Personoplysninger, skal fjernes, hvis tilsyn ikke er muligt.

Bilag C

Godkendte Underdatabehandlere – Kunder kan vælge at ændre nedenstående ansøgning i forbindelse med onboarding via en bekræftelsesmail til MOCH A/S
Underdatabehandler Sted
Microsoft Azure (Hoster Tjenesterne i Skyen) Holland Dublin
Amazon Web Services (indgået Kontrakt med “AWS Europe”, som transaktions-e-mail-udbyder) Dublin
MetaCompliance Limited (yder teknisk kundesupport og kundesupport – Supporttjenester) United Kingdom
Forøg dine færdigheder GmbH en MetaCompliance Group-enhed (levering af supporttjenester til kunder) Germany
MetaCompliance Ireland Ltd, en MetaCompliance Group enity (levering af supporttjenester til kunder) Ireland
MetaCompliance Ireland Ltd Sucursal Portugal – (levering af supporttjenester til kunder) Portugal


Archived Data Processing Agreement, available here.