Introduktion

Parterna är överens om att detta dataskyddsavtal ("DPA") fastställer parternas rättigheter och skyldigheter när det gäller behandling och säkerhet av kundens personuppgifter i samband med den programvara och de tjänster som tillhandahålls av MetaCompliance Ltd. Dataskyddsavtalet införlivas genom hänvisning i de allmänna villkoren (kommersiella villkoren). Parterna är också överens om att om det inte finns ett separat dataskyddsavtal som undertecknats av parterna, reglerar detta dataskyddsavtal behandlingen och säkerheten av kundens personuppgifter.

Bestämmelserna i DPA-villkoren ersätter alla motstridiga bestämmelser i MetaCompliances sekretesspolicy som annars kan gälla för behandling av kundens personuppgifter. För tydlighetens skull, i enlighet med 2021 års standardavtalsklausuler som definieras nedan, när 2021 års standardavtalsklausuler är tillämpliga, har 2021 års standardavtalsklausuler företräde framför alla andra villkor i databehandlingsavtalet.

Avtal om databehandling med verkan från och med den 29 juni 2022

  1. Partier

    Kunden enligt definitionen i de allmänna villkoren ("kunden") och

    1.1.1 MetaCompliance Limited som är registrerat i Nordirland med företagsnummer NI049166 och vars registrerade kontor ligger på Third Floor Old City Factory 100 Patrick Street, Londonderry BT48 7EL ("Leverantören").

  2. Bakgrund

    Kunden och leverantören har ingått ett avtal som kan kräva att leverantören behandlar personuppgifter för kundens räkning.

    Detta databehandlingsavtal ("DPA") fastställer de ytterligare villkor, krav och förutsättningar enligt vilka leverantören kommer att behandla personuppgifter när den tillhandahåller tjänster enligt kontraktet. Detta dataskyddsavtal innehåller de obligatoriska klausuler som krävs enligt artikel 28.3 i den allmänna dataskyddsförordningen ((EU) 2016/679 och brittisk GDPR-lagstiftning) för avtal mellan personuppgiftsansvariga och personuppgiftsbiträden.

    Detta dataskyddsavtal omfattas av villkoren i avtalet och är införlivat i avtalet. De termer som används i detta avtal om skydd av personuppgifter ska ha den betydelse som anges i detta avtal om skydd av personuppgifter. Termer med versaler som inte definieras på annat sätt här ska ha den innebörd som anges i avtalsvillkoren.

    Bilagorna utgör en del av detta dataskyddsavtal och kommer att ha samma verkan som om de hade fastställts i sin helhet i detta dataskyddsavtal. Alla hänvisningar till detta dataskyddsavtal omfattar även bilagorna.

    I händelse av en konflikt mellan någon bestämmelse i detta avtal om skydd av personuppgifter och något eller några villkor i kontraktet, med avseende på föremålet för detta avtal, ska bestämmelserna i detta avtal om skydd av personuppgifter ha företräde.

  3. Definitioner
    Följande termer i detta dataskyddsavtal ska ha följande innebörd:

"Lagar om dataskydd"

avser alla tillämpliga lagar och förordningar som rör behandlingen av personuppgifter vid varje tidpunkt under detta dataskyddsavtals giltighetstid, inklusive (1) den allmänna dataskyddsförordningen (GDPR, EU 2016/679), (2) Storbritanniens allmänna dataskyddsförordning (UK GDPR) som skräddarsytts genom Data Protection Act 2018, (3) e-privacy-direktivet 2002/58/EG som det genomförts av EU:s medlemsstater, och all efterföljande lagstiftning och alla andra förordningar, riktlinjer och uppförandekoder som rör dataskydd och integritet, i samtliga fall i den form de ändras, uppdateras eller ersätts från tid till annan.

"Personuppgifter om kunden"

avser personuppgifter som behandlas av MetaCompliance enbart för att tillhandahålla tjänster och enligt kundens anvisningar.

"Standardavtalsklausuler"

Europeiska kommissionens standardavtalsklausuler för överföring av personuppgifter från Europeiska unionen till registerförare som är etablerade i tredjeländer (överföring från registeransvarig till registerförare), enligt bilagan till kommissionens beslut 2021/914/EU av den 4 juni 2021 och som antogs enligt det brittiska tillägget av den 21 mars 2022.

"Underprocessor"

avser en tredjepartsunderleverantör som anlitas av leverantören och som, som en del av underleverantörens roll att leverera tjänsterna, kommer att behandla personuppgifter för kundens räkning.

"Personuppgiftsansvarig", "Registrerad", "Personuppgiftsbiträde", "Behandling", "Personuppgifter", "Brott mot personuppgifter".

ska ha den innebörd som de har i den brittiska och EU:s GDPR.

4. Behandling av personuppgifter

4.1 Parterna erkänner och är överens om att leverantören är personuppgiftsbiträde och kunden är personuppgiftsansvarig i enlighet med dataskyddslagarna och med avseende på behandlingen av kundens personuppgifter.

4.2 Kunden garanterar och försäkrar: (i) att överföringen av kundens personuppgifter till leverantören i alla avseenden är förenlig med dataskyddslagarna (inklusive, utan begränsning, när det gäller insamling och användning), och (ii) att rättvis behandling och alla andra lämpliga meddelanden har tillhandahållits till de personer som omfattas av kundens personuppgifter (och att alla nödvändiga samtycken från dessa personer har erhållits och alltid upprätthålls) i den utsträckning som krävs enligt dataskyddslagarna i samband med all behandling som kan utföras av leverantören och dess underleverantörer i enlighet med detta avtal;

4.3 Leverantören åtar sig att behandla kundens personuppgifter endast: (i) i enlighet med vad som krävs för att tillhandahålla tjänsterna, (ii) i enlighet med skriftliga instruktioner från kunden, och (iii) i enlighet med kraven i dataskyddslagarna.

4.4 Kunden ska, i sin användning av tjänsterna, behandla personuppgifter i enlighet med kraven i dataskyddslagarna. Kunden ska se till att alla instruktioner till Leverantören i samband med Behandlingen av Kundens personuppgifter är förenliga med dataskyddslagarna.

4.5 Kundens instruktioner till Leverantören om föremålet för och varaktigheten av Behandlingen, Behandlingens art och syfte, typerna av Personuppgifter och kategorierna av Registrerade beskrivs i Bilaga A. För att undvika tvivel erkänner och godkänner parterna att instruktionerna om Behandling som anges i detta dataskyddsavtal och bilaga A utgör den fullständiga uppsättningen av instruktioner från Kunden till Leverantören i den mån de är tillämpliga.

4.6 Leverantören ska omedelbart meddela Kunden om det enligt Leverantörens rimliga uppfattning är troligt att någon instruktion från Kunden bryter mot dataskyddslagarna.

4.7 Leverantören får inte behandla, överföra, ändra, modifiera eller ändra kundens personuppgifter eller avslöja eller tillåta att kundens personuppgifter avslöjas till någon tredje part utanför de instruktioner som beskrivs i detta dataskyddsavtal, såvida detta inte uttryckligen har godkänts skriftligen av kunden.

4.8 Leverantörens personal som deltar i behandlingen av kundens personuppgifter ska informeras om kundens personuppgifter konfidentiella karaktär och ska få lämplig utbildning om sitt ansvar. Sådan personal ska omfattas av lämpliga sekretessåtaganden.

4.9 Med hänsyn till karaktären av behandlingen av personuppgifter i de tjänster som tillhandahålls ska Leverantören, i enlighet med kraven i artikel 32 i GDPR i Storbritannien och EU, upprätthålla lämpliga tekniska och organisatoriska åtgärder för att säkerställa säkerheten vid behandlingen, inklusive skydd mot obehörig eller olaglig behandling och mot oavsiktlig eller olaglig förstörelse, förlust, ändring eller skada, obehörigt avslöjande av eller tillgång till kundens personuppgifter. Parterna erkänner och är överens om att de säkerhetsåtgärder som anges i detta dataskyddsavtal och mer specifikt i bilaga B utgör lämpliga tekniska och organisatoriska säkerhetsåtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken.

4.10 Leverantören ska hjälpa Kunden genom lämpliga tekniska och organisatoriska åtgärder, i den mån det är möjligt och med hänsyn till arten av behandlingen av Kundens personuppgifter, att uppfylla Kundens skyldigheter att följa dataskyddslagarna, inklusive i förhållande till den registrerades rättigheter, konsekvensbedömningar av dataskydd (i samband med Kundens användning av MetaCompliance-tjänsterna) och rapportering till och samråd med tillsynsmyndigheter (i samband med en konsekvensbedömning av dataskydd i samband med MetaCompliance-tjänsterna).

4.11 Om Registrerade, behöriga myndigheter eller andra tredje parter begär information från Leverantören om behandlingen av Kundens personuppgifter ska Leverantören hänvisa sådan begäran till Kunden om inte annat krävs för att följa dataskyddslagarna, i vilket fall Leverantören i förväg ska meddela Kunden om ett sådant lagstadgat krav, såvida inte lagen förbjuder detta avslöjande på viktiga grunder av allmänintresse.

5. Underbiträden

5.1 Kunden bekräftar och godkänner att Leverantören i samband med tillhandahållandet av Tjänsterna kan anlita Underbiträden som kan vara dotterbolag till Leverantören och/eller tredje part enligt en mer specifik beskrivning i bilaga C.

5.2 Leverantören får inte anlita en ny Underbiträde för att behandla kundens personuppgifter utan ett skriftligt avtal med ett sådant Underbiträde som ålägger dem motsvarande dataskyddsskyldigheter som de som anges i detta dataskyddsavtal med avseende på skyddet av kundens personuppgifter i den utsträckning som är tillämplig på arten av de tjänster som tillhandahålls av ett sådant Underbiträde.

5.3 Om Leverantören föreslår att öka antalet Underbiträden som anlitas av Leverantören eller att ersätta någon av dem, ska Leverantören informera Kunden i enlighet med klausul 5.5 nedan och Kunden ska ha möjlighet att invända mot en sådan förändring på rimliga grunder.

5.4 Om Kunden invänder mot en ny Underbiträdesförmedlare kommer Leverantören att göra rimliga ansträngningar för att göra en ändring av Tjänsterna tillgänglig för Kunden eller rekommendera en kommersiellt rimlig ändring av Tjänsterna för att undvika att Kundens Personuppgifter behandlas av den relevanta nya Underbiträdesförmedlaren. Om inget alternativ är möjligt har parterna rätt att säga upp avtalet mellan dem.

5.5 Leverantören ska skriftligen informera Kunden om ändringar i användningen av Underbiträden med minst 30 dagars varsel om sådana ändringar och ska tillhandahålla Kunden en uppdaterad Bilaga C. Leverantören ska hålla Bilaga C uppdaterad.

5.6 Leverantören ska förbli ansvarig gentemot kunden för att underförädlarnas skyldigheter uppfylls.

6. Överföring av uppgifter

6.1 I enlighet med artikel 28(3)(a) i den brittiska och europeiska dataskyddsförordningen får Leverantören inte, och får inte tillåta någon underleverantör att överföra personuppgifter från kunden utanför EES eller Storbritannien (beroende på vad som är tillämpligt) utan föregående samtycke från kunden. För att undvika tvivel samtycker kunden härmed till överföring och behandling av personuppgifterna enligt bilaga A, i tillämpliga delar.

6.2 Leverantören är medveten om att i enlighet med den brittiska och EU:s GDPR måste ett adekvat skydd för personuppgifter finnas efter varje överföring utanför Storbritannien eller EES (antingen direkt eller via vidareöverföring) och ska ingå ett lämpligt avtal med kunden och/eller eventuella underleverantörer för att reglera en sådan överföring. Detta kommer att inkludera de tillämpliga standardavtalsklausulerna om det inte finns någon annan adekvat mekanism för överföringen.

7. Brott mot personuppgifter

I händelse av en personuppgiftsincident som rör kundens personuppgifter ska leverantören:

7.1.1 Meddela kunden utan onödigt dröjsmål för att göra det möjligt för kunden att uppfylla rapporteringsskyldigheterna enligt GDPR i Storbritannien och EU och för att ge rimlig hjälp till kunden när denne måste meddela en personuppgiftsincident till en registrerad.

7.1.2 göra rimliga ansträngningar för att identifiera orsaken till personuppgiftsbrottet och vidta de åtgärder som leverantören anser vara rimligt genomförbara för att åtgärda orsaken till personuppgiftsbrottet.

7.1.3 Med förbehåll för villkoren i detta dataskyddsavtal, tillhandahålla rimlig hjälp och samarbete på begäran av kunden för att främja korrigering eller åtgärdande av en personuppgiftsincident.

8. Register över behandlingen

8.1 I den utsträckning som är tillämplig på leverantörens behandling för kunden ska leverantören föra alla register som krävs enligt artikel 30.2 i den brittiska och europeiska dataskyddsförordningen och göra dem tillgängliga för kunden på begäran.

9. Rättigheter till revision

9.1 Leverantören ska, och ska se till att dess Underbiträden, på begäran göra rimlig information tillgänglig för Kunden som är nödvändig för att visa att den uppfyller sina dataskyddsskyldigheter enligt detta dataskyddsavtal och ska tillåta och bidra till revisioner, inklusive inspektion i sina lokaler, av Kunden eller en revisor som beställts av Kunden i samband med behandlingen av kundens personuppgifter, under förutsättning att en sådan revisor inte är en konkurrent till Leverantören.

10. Term

10.1 Detta dataskyddsavtal ska förbli i full kraft så länge som:

10.1.1 Kontraktet fortsätter att gälla, eller

10.1.2 Leverantören behåller alla personuppgifter om kunden som han har i sin ägo eller kontroll.

10.2 Alla bestämmelser i detta dataskyddsavtal som uttryckligen eller underförstått ska träda i kraft eller fortsätta att gälla vid eller efter avtalets upphörande för att skydda kundens personuppgifter kommer att fortsätta att gälla fullt ut.

11. Återlämnande och förstöring av uppgifter

11.1 Leverantören ska, efter kundens gottfinnande och efter skriftlig begäran från kunden, radera eller återlämna alla kundens personuppgifter till kunden efter det att tillhandahållandet av tjänsterna i samband med behandlingen har upphört, och radera befintliga kopior såvida inte tillämplig EES-lagstiftning eller lagstiftning i en medlemsstat kräver lagring av kundens personuppgifter. Om ingen skriftlig begäran tas emot från Kunden ska Leverantören radera Kundens personuppgifter 90 dagar efter det att Kontraktet har upphört.

11.2 På begäran av Kunden ska Leverantören tillhandahålla ett skriftligt meddelande om de åtgärder som vidtagits avseende Kundens personuppgifter.

12. Skadestånd

12.1 Leverantören samtycker till att ersätta kunden för alla direkta kostnader, krav, skador eller utgifter som kunden ådrar sig på grund av att leverantören eller dess anställda, underleverantörer, underleverantörer eller agenter inte har uppfyllt sina skyldigheter enligt detta dataskyddsavtal eller dataskyddslagarna i enlighet med artikel 82 i den brittiska och europeiska dataskyddsförordningen.

12.2 Utan hinder av något annat i detta dataskyddsavtal eller i kontraktet (inklusive, utan begränsning, någondera partens ersättningsskyldigheter) kommer ingen av parterna att vara ansvarig för GDPR-böter som utfärdats eller tagits ut enligt artikel 83 i GDPR mot den andra parten av en tillsynsmyndighet eller ett regeringsorgan i samband med den andra partens överträdelse av GDPR.

12.3 Med förbehåll för de lagstadgade skyldigheter som anges i punkt 12.1 och de begränsningar som anges i punkt 12.2 ska varje parts ansvar enligt detta avtal om skydd av personuppgifter omfattas av de undantag och begränsningar av ansvar som anges i avtalet. Alla hänvisningar till en parts "ansvarsbegränsningar" i avtalet ska tolkas som det sammanlagda ansvaret för en part och alla dess dotterbolag och närstående bolag enligt avtalet och detta dubbelbesked.

Bilaga A

Ändamål och detaljer för behandling av personuppgifter

Föremålet för bearbetningen

Detaljer

Gäller för:

Syfte

Ange alla ändamål för vilka personuppgifterna kommer att behandlas av leverantören.
Systemåtkomst Administration av systemet Leverans av systeminnehåll enligt abonnerade moduler. Se nedan:

Politiker, kunskapsbedömningar

eLearning, andra medier

Undersökningar om personlig integritet

Recensioner av incidenter

Simulerade nätfiskekampanjer
SCORM-överföring till kundens LMS
Alla kunder
Kunder som prenumererar på Policy-moduler (PolicyLite, MetaEngage och MetaPolicy).
Kunder som prenumererar på moduler för elearning (MetaLearning Fusion)
Kunder som prenumererar på MetaPrivacy-modulen
Kunder som prenumererar på MetaIncident-modulen
Kunder som prenumererar på MetaPhish
Kunder som prenumererar på SCORM-överföring

Typer av personuppgifter

Ange vilka personuppgifter som kommer att behandlas av leverantören.
Förnamn, efternamn, e-postadress, avdelning, utbildningsbevis
Organisationsenhet (OU) i Active Directory
LMS-ID
Alla kunder
Kunder som använder Azure AD eller AD på plats
Kunder med abonnemang på SCORM-överföring

Kategorier av registrerade personer

Ange de kategorier av registrerade vars personuppgifter kommer att behandlas av leverantören.

Kundens anställda, entreprenörer, leverantörer, partners och/eller dotterbolag.

Alla kunder i enlighet med de uppgifter som lämnats till leverantören. Kunden kan begränsa detta beroende på sin avsedda användning av tjänsterna.

Bearbetning

Ange alla bearbetningsaktiviteter som ska utföras av leverantören.
Behandling och lagring av kundens personuppgifter för att skapa och underhålla auktoriserade användarkonton på MyCompliance-plattformen. Distribution av olika e-postmeddelanden som initieras av MetaCompliance MyCompliance-systemet.
Distribution av simulerade phishing-e-postmeddelanden som specificerats av kunden via MetaCompliance MyCompliance-plattformen.
Lagring av personuppgifter där kunden anger dem via MetaCompliance MetaPrivacy-modulen.

Att kommunicera med kundens LMS och utvärdera antalet licenser.

Alla kunder
Kunder som prenumererar på MetaPhish-modulen
Kunder som prenumererar på MetaPrivacy-modulen
Kunder som prenumererar på SCORM-överföring

Plats för bearbetningen

Ange alla platser där personuppgifterna kommer att behandlas av leverantören.

Storbritannien (MetaCompliance Group), Danmark (MetaCompliance Group), Irland (MetaCompliance Group, Microsoft Azure, AWS Europe). AWS Europe är en leverantör av e-post för transaktioner som kommer att användas beroende på var kunden befinner sig - se bilaga C.
Holland (Microsoft Azure)
U.S.A. (Twilio for Sendgrid Services - leverantör av e-post för transaktioner som kommer att användas beroende på var kunden befinner sig - se bilaga C).

Alla kunder i förekommande fall. Se bilaga C för ytterligare information.

Krav på lagring

När det är tillämpligt, ange lagringstiden för de personuppgifter om kunden som leverantören lagrar.
När ett kundabonnemang har löpt ut eller avslutats sparas alla tillhörande personuppgifter om kunden i 90 dagar innan de faktiskt raderas för att kunna återhämta sig från en oavsiktlig uppsägning av abonnemanget.
Alla kunder
Föremålet för bearbetningen Detaljer Gäller för.

Syfte
Ange alla syften för vilka personuppgifterna kommer att behandlas av leverantören.
Systemåtkomst Systemadministration Leverans av systeminnehåll i enlighet med de moduler som prenumereras. Se nedan:
Alla kunder

Politiker, kunskapsbedömningar
Kunder som prenumererar på Policy-moduler (PolicyLite, MetaEngage och MetaPolicy).
eLearning, andra medier
Kunder som prenumererar på moduler för elearning (MetaLearning Fusion)
Undersökningar om personlig integritet
Kunder som prenumererar på MetaPrivacy-modulen
Recensioner av incidenter
Kunder som prenumererar på MetaIncident-modulen
Simulerade nätfiskekampanjer
Kunder som prenumererar på MetaPhish
SCORM-överföring till kundens LMS
Kunder som prenumererar på SCORM-överföring
Föremålet för bearbetningen Detaljer Gäller för.

Typer av personuppgifter
Ange vilka personuppgifter som kommer att behandlas av leverantören.
Förnamn, efternamn, e-postadress, avdelning, utbildningsbevis
Alla kunder
Organisationsenhet (OU) i Active Directory
Kunder som använder Azure AD eller AD på plats
LMS-ID
Kunder med abonnemang på SCORM-överföring

Kategorier av registrerade personer
Ange de kategorier av registrerade personer vars personuppgifter kommer att behandlas av leverantören.
Kundens anställda, entreprenörer, leverantörer, partners och/eller dotterbolag.
Alla kunder i enlighet med de uppgifter som lämnats till leverantören. Kunden kan begränsa detta beroende på sin avsedda användning av tjänsterna.
Föremålet för bearbetningen Detaljer Gäller för.

Bearbetning
Ange alla bearbetningsaktiviteter som ska utföras av leverantören.
Behandling och lagring av kundens personuppgifter för att skapa och upprätthålla konton för auktoriserade användare på MyCompliance-plattformen. Distribution av olika e-postmeddelanden som initieras av MetaCompliance MyCompliance-systemet.
Alla kunder
Distribution av simulerade phishing-e-postmeddelanden som specificerats av kunden via MetaCompliance MyCompliance-plattformen.
Kunder som prenumererar på MetaPhish-modulen
Lagring av personuppgifter där kunden anger dem via MetaCompliance MetaPrivacy-modulen.
Kunder som prenumererar på MetaPrivacy-modulen

Kategorier av registrerade personer
Ange de kategorier av registrerade personer vars personuppgifter kommer att behandlas av leverantören.
Lagring av personuppgifter där kunden anger dem via MetaCompliance MetaPrivacy-modulen.
Kunder som prenumererar på SCORM-överföring
Föremålet för bearbetningen Detaljer Gäller för.

Plats för behandling
Ange alla platser där personuppgifterna kommer att behandlas av leverantören.
Storbritannien (MetaCompliance) Irland (MetaCompliance, Microsoft Azure, AWS Europe). AWS Europe är en leverantör av e-post för transaktioner som kommer att användas beroende på var kunden befinner sig - se bilaga C. Holland (Microsoft Azure) USA (Twilio för Sendgrid-tjänster - leverantör av e-post för transaktioner som kommer att användas beroende på var kunden befinner sig - se bilaga C).
Alla kunder i förekommande fall. Se bilaga C för ytterligare information.

Lagringskrav
När det är tillämpligt, ange lagringstiden för kundens personuppgifter som lagras av leverantören.
När ett kundabonnemang har löpt ut eller avslutats sparas alla tillhörande personuppgifter om kunden i 90 dagar innan de faktiskt raderas för att kunna återhämta sig från en oavsiktlig uppsägning av abonnemanget.
Alla kunder

Bilaga B

Säkerhetsarrangemang

Leverantören är skyldig att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda kundens personuppgifter som behandlas för att hjälpa kunden att uppfylla sina rättsliga skyldigheter, inklusive men inte begränsat till säkerhetsåtgärder och riskbedömningar för personlig integritet, för att hjälpa kunden att uppfylla sina rättsliga skyldigheter. Åtgärderna ska åtminstone resultera i en säkerhetsnivå som är lämplig med hänsyn till följande:

(a) befintliga tekniska möjligheter;

(b) kostnaderna för att genomföra åtgärderna;

(c) de särskilda risker som är förknippade med behandlingen av kundens personuppgifter, och

(d) Känsligheten hos de personuppgifter om kunden som behandlas.

Leverantören ska upprätthålla lämplig säkerhet för kundens personuppgifter. Leverantören ska skydda kundens personuppgifter mot förstörelse, ändring, olaglig spridning eller olaglig åtkomst. Kundens personuppgifter ska också skyddas mot alla andra former av olaglig behandling. Med hänsyn till den senaste tekniken och kostnaderna för genomförandet och med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt risken med varierande sannolikhet och allvar för enskilda personers rättigheter och friheter, ska de tekniska och organisatoriska åtgärder som leverantören ska genomföra i förekommande fall omfatta följande:

(a) pseudonymisering och kryptering av kundens personuppgifter;

(b) förmågan att säkerställa den fortlöpande sekretessen, integriteten, tillgängligheten och motståndskraften hos de system och tjänster som behandlar kundens personuppgifter;

(c) förmågan att återställa tillgängligheten och tillgången till kundens personuppgifter i tid i händelse av en fysisk eller teknisk incident, och

(d) En process för att regelbundet testa, bedöma och utvärdera effektiviteten av tekniska och organisatoriska åtgärder för att säkerställa säkerheten för behandlingen.

Utöver de tekniska och organisatoriska åtgärder som nämns ovan ska leverantören vidta följande åtgärder:

(a) Fysiskt åtkomstskydd där datorutrustning och flyttbara data som innehåller kundens personuppgifter i leverantörens lokaler ska låsas in när de inte är under uppsikt för att skydda mot obehörig användning, påverkan och stöld.

(b) En process för att testa återläsning efter att kundens personuppgifter har återställts från säkerhetskopior.

(c) Behörighetskontroll där leverantörens tillgång till kundens personuppgifter hanteras genom ett tekniskt system från behörighetskontroll. Behörigheten ska begränsas till dem som behöver kundens personuppgifter för sitt arbete. Användar-ID och lösenord ska vara personliga och får inte överlåtas till någon annan. Det ska finnas förfaranden för att tilldela och ta bort behörigheter.

(d) föra register över vem som har tillgång till kundens personuppgifter.

(e) Säker kommunikation där externa datakommunikationsförbindelser ska skyddas med hjälp av tekniska funktioner som säkerställer att anslutningen är auktoriserad samt innehållskryptering för data som transiteras i kommunikationskanaler utanför system som kontrolleras av leverantören.

(f) En process för att säkerställa säker förstöring av uppgifter när fasta eller flyttbara lagringsmedier inte längre ska användas för sitt ändamål.

(g) Rutiner för att ingå sekretessavtal med leverantörer som tillhandahåller reparation och service av utrustning som används för att lagra kundens personuppgifter.

(h) Rutiner för övervakning av den service som utförs av leverantörer i leverantörens lokaler. Lagringsmedier som innehåller kundens personuppgifter ska tas bort om övervakning inte är möjlig.

Bilaga C

Godkända underbiträden

Underprocessor

Plats

Gäller för:

Microsoft Azure (värd för tjänsterna i molnet)
AWS Europe (leverantör av e-post för transaktioner)
Twilio för Sendgrid Services (leverantör av transaktionsmeddelanden)

Holland
Dublin

Dublin
USA
Alla kunder
Alla kunder som är baserade i Storbritannien eller EES-länder.
Alla kunder som är baserade utanför Storbritannien eller EES-länderna.
Underprocessor Plats Gäller för.

Microsoft Azure (värd för tjänsterna i molnet)

Holland
Dublin

Alla kunder
AWS Europe (leverantör av e-post för transaktioner)

Dublin
Alla kunder som är baserade i Storbritannien eller EES-länder.

Twilio för Sendgrid Services (leverantör av transaktionsmeddelanden)

USA
Alla kunder som är baserade utanför Storbritannien eller EES-länderna.

Kunden kommer endast att använda en leverantör av e-post för transaktioner enligt den adress som anges vid avtalstillfället, såvida de inte lämnar in en skriftlig begäran om att byta leverantör.

Alla kunder som har ingått avtal med MetaCompliance före 1st maj 2022 och som inte har ett undertecknat dataskyddsavtal på plats kommer att använda Twilios e-posttjänster för transaktioner för Sendgrid-tjänster. Kontakta din Customer Success Manager om du vill använda AWS Europes tjänster.

Arkiverat databehandlingsavtal, tillgängligt här.