Introduktion
Parterna är överens om att detta dataskyddsavtal ("DPA") anger varje parts rättigheter och skyldigheter med avseende på behandling och säkerhet för kundens personuppgifter i samband med programvaran och tjänsterna som tillhandahålls av MetaCompliance Ltd. DPA införlivas genom hänvisning till de kommersiella villkoren (kommersiella villkor). Parterna är också överens om att, såvida inte en separat DPA undertecknad av parterna finns, reglerar denna DPA behandlingen och säkerheten för kundens personuppgifter.
Bestämmelserna i DPA-villkoren ersätter alla motstridiga bestämmelser i MetaCompliances sekretesspolicy som annars kan gälla för behandling av kundens personuppgifter. För tydlighetens skull, i enlighet med 2021 års standardavtalsklausuler som definieras nedan, när 2021 års standardavtalsklausuler är tillämpliga, har 2021 års standardavtalsklausuler företräde framför alla andra villkor i databehandlingsavtalet.
DATABEHANDLINGSAVTAL SOM GÄLLER FRÅN DEN 6 juli 2023
- Partier
1.1 Kunden är enligt definitionen i de kommersiella villkoren ("Kunden") och
1.2 MetaCompliance Limited som är registrerad i Nordirland med organisationsnummer NI049166 och vars säte är Third Floor Old City Factory 100 Patrick Street, Londonderry BT48 7EL (nedan kallad "leverantören").
- Bakgrund
2.1 Kunden och Leverantören har ingått ett Avtal som kan kräva att Leverantören behandlar Personuppgifter på uppdrag av Kunden.
2.2 I detta personuppgiftsbiträdesavtal ("PUB") anges de ytterligare villkor, krav och förutsättningar enligt vilka Leverantören ska behandla Personuppgifter vid tillhandahållande av Tjänster enligt Avtalet. Detta personuppgiftsbiträdesavtal innehåller de obligatoriska klausuler som krävs enligt artikel 28.3 i den allmänna dataskyddsförordningen ((EU) 2016/679 och brittisk GDPR-lagstiftning) för avtal mellan personuppgiftsansvariga och personuppgiftsbiträden.
2.3 Denna DPA är föremål för villkoren i Avtalet och är införlivad i Avtalet. De termer som används i detta DPA ska ha de betydelser som anges i detta DPA. Termer med versaler som inte definieras på annat sätt häri ska ha den innebörd som ges dem i de kommersiella villkoren i avtalet.
2.4 Bilagorna utgör en del av denna DPA och kommer att ha effekt som om de anges i sin helhet i denna DPA. Varje hänvisning till denna DPA inkluderar bilagorna.
2.5 I händelse av konflikt mellan någon bestämmelse i denna DPA och något/några villkor i Avtalet, med avseende på föremålet för detta Avtal, ska bestämmelserna i denna DPA ha företräde.
- Definitioner
Följande termer i detta DPA ska ha följande betydelse:
"Lagar om dataskydd" | avser alla tillämpliga lagar och förordningar som rör behandlingen av personuppgifter vid någon tidpunkt under denna DPA, inklusive (1) den allmänna dataskyddsförordningen (GDPR, EU 2016/679); (2) den brittiska allmänna dataskyddsförordningen (UK GDPR) som skräddarsydd av Data Protection Act 2018; (3) ePrivacy Directive 2002/58/EC som implementerats av EU: s medlemsstater, och all efterföljande lagstiftning och andra föreskrifter, guider och uppförandekoder som rör dataskydd och integritet, i varje fall som ändras, uppdateras eller ersätts från tid till annan. |
"Personuppgifter om kunden" | avser personuppgifter som behandlas av MetaCompliance enbart för att tillhandahålla tjänster och enligt kundens anvisningar. |
"Standardavtalsklausuler" | avser Europeiska kommissionens standardavtalsklausuler för överföring av personuppgifter från Europeiska unionen till personuppgiftsbiträden som är etablerade i tredjeländer (överföring mellan personuppgiftsansvariga), enligt bilagan till kommissionens beslut 2021/914/EU av den 4 juni 2021 och antagna enligt det brittiska tillägget av den 21 mars 2022. |
"Underprocessor" | avser en tredjepartsunderleverantör som anlitas av leverantören och som, som en del av underleverantörens roll att leverera tjänsterna, kommer att behandla personuppgifter för kundens räkning. |
"Personuppgiftsansvarig", "Registrerad", "Personuppgiftsbiträde", "Behandling", "Personuppgifter", "Brott mot personuppgifter". | ska ha den innebörd som de har i den brittiska och EU:s GDPR. |
4. Behandling av personuppgifter
4.1 Parterna erkänner och är överens om att leverantören är personuppgiftsbiträde och kunden är personuppgiftsansvarig i enlighet med dataskyddslagarna och med avseende på behandlingen av kundens personuppgifter.
4.2 Kunden garanterar och försäkrar: (i) att överföringen av kundens personuppgifter till leverantören i alla avseenden är förenlig med dataskyddslagarna (inklusive, utan begränsning, när det gäller insamling och användning), och (ii) att rättvis behandling och alla andra lämpliga meddelanden har tillhandahållits till de personer som omfattas av kundens personuppgifter (och att alla nödvändiga samtycken från dessa personer har erhållits och alltid upprätthålls) i den utsträckning som krävs enligt dataskyddslagarna i samband med all behandling som kan utföras av leverantören och dess underleverantörer i enlighet med detta avtal;
4.3 Leverantören åtar sig att behandla kundens personuppgifter endast: (i) i enlighet med vad som krävs för att tillhandahålla tjänsterna, (ii) i enlighet med skriftliga instruktioner från kunden, och (iii) i enlighet med kraven i dataskyddslagarna.
4.4 Kunden ska, i sin användning av tjänsterna, behandla personuppgifter i enlighet med kraven i dataskyddslagarna. Kunden ska se till att alla instruktioner till Leverantören i samband med Behandlingen av Kundens personuppgifter är förenliga med dataskyddslagarna.
4.5 Kundens instruktioner till Leverantören avseende ämnet för och varaktigheten av Behandlingen, Behandlingens natur och syfte, typerna av Personuppgifter och kategorierna av Registrerade beskrivs i Bilaga A. För att undvika tvivel bekräftar och samtycker parterna till att, med förbehåll för klausul 5, de instruktioner för Behandling som anges i denna DPA och Bilaga A utgör den fullständiga uppsättningen instruktioner från Kunden till Leverantören som de gäller.
4.6 Leverantören ska omedelbart meddela Kunden om det enligt Leverantörens rimliga uppfattning är troligt att någon instruktion från Kunden bryter mot dataskyddslagarna.
4.7 Leverantören ska inte behandla, överföra, modifiera, ändra eller ändra Kundens Personuppgifter eller avslöja eller tillåta att avslöja Kundens Personuppgifter till någon tredje part utanför de instruktioner som anges i denna DPA.
4.8 Leverantörens personal som deltar i behandlingen av kundens personuppgifter ska informeras om kundens personuppgifter konfidentiella karaktär och ska få lämplig utbildning om sitt ansvar. Sådan personal ska omfattas av lämpliga sekretessåtaganden.
4.9 Med hänsyn till karaktären av behandlingen av personuppgifter i de tjänster som tillhandahålls ska Leverantören, i enlighet med kraven i artikel 32 i GDPR i Storbritannien och EU, upprätthålla lämpliga tekniska och organisatoriska åtgärder för att säkerställa säkerheten vid behandlingen, inklusive skydd mot obehörig eller olaglig behandling och mot oavsiktlig eller olaglig förstörelse, förlust, ändring eller skada, obehörigt avslöjande av eller tillgång till kundens personuppgifter. Parterna erkänner och är överens om att de säkerhetsåtgärder som anges i detta dataskyddsavtal och mer specifikt i bilaga B utgör lämpliga tekniska och organisatoriska säkerhetsåtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken.
4.10 Leverantören ska hjälpa Kunden genom lämpliga tekniska och organisatoriska åtgärder, i den mån det är möjligt och med hänsyn till arten av behandlingen av Kundens personuppgifter, att uppfylla Kundens skyldigheter att följa dataskyddslagarna, inklusive i förhållande till den registrerades rättigheter, konsekvensbedömningar av dataskydd (i samband med Kundens användning av MetaCompliance-tjänsterna) och rapportering till och samråd med tillsynsmyndigheter (i samband med en konsekvensbedömning av dataskydd i samband med MetaCompliance-tjänsterna).
4.11 Om Registrerade, behöriga myndigheter eller andra tredje parter begär information från Leverantören om behandlingen av Kundens personuppgifter ska Leverantören hänvisa sådan begäran till Kunden om inte annat krävs för att följa dataskyddslagarna, i vilket fall Leverantören i förväg ska meddela Kunden om ett sådant lagstadgat krav, såvida inte lagen förbjuder detta avslöjande på viktiga grunder av allmänintresse.
5. Underbiträden
5.1 Kunden bekräftar och godkänner att Leverantören i samband med tillhandahållandet av Tjänsterna kan anlita Underbiträden som kan vara dotterbolag till Leverantören och/eller tredje part enligt en mer specifik beskrivning i bilaga C.
5.2 Kunden bekräftar att Leverantören ges ett generellt tillstånd att anlita nya Underbiträden utan att inhämta något ytterligare skriftligt, specifikt tillstånd från Kunden. Detta gäller under förutsättning att Personuppgiftsbiträdet skriftligen underrättar Kunden om varje nytt Underbiträdes identitet, 30 dagar före behandlingen av Kundens Personuppgifter.
5.3 Om Kunden vill invända mot det relevanta Personuppgiftsbiträdet ska Kunden skriftligen meddela detta inom tio (10) arbetsdagar från mottagandet av meddelandet från Leverantören. Om Kunden inte gör några invändningar ska detta anses utgöra samtycke till att använda det relevanta Personuppgiftsbiträdet.
5.4 Om Kunden invänder mot en ny Underbiträdesförmedlare kommer Leverantören att göra rimliga ansträngningar för att göra en ändring av Tjänsterna tillgänglig för Kunden eller rekommendera en kommersiellt rimlig ändring av Tjänsterna för att undvika att Kundens Personuppgifter behandlas av den relevanta nya Underbiträdesförmedlaren. Om inget alternativ är möjligt har parterna rätt att säga upp avtalet mellan dem.
5.5 Leverantörens anmälan av ett nytt Underbiträde till Kunden ska innefatta tillhandahållande av en uppdaterad Bilaga C. Leverantören ska hålla Bilaga C uppdaterad.
5.6 Leverantören ska förbli ansvarig gentemot kunden för att underförädlarnas skyldigheter uppfylls.
6. Överföring av uppgifter
6.1 I enlighet med artikel 28(3)(a) i GDPR i Storbritannien och EU ska Leverantören inte, och inte tillåta någon Underbiträde att, överföra någon Kunds Personuppgifter utanför EES eller Storbritannien (enligt vad som är tillämpligt) annat än vad som anges i detta Avtal. För undvikande av tvivel samtycker Kunden härmed till överföring och behandling av Personuppgifterna enligt vad som anges i Bilaga A, i den mån den är tillämplig.
6.2 Leverantören bekräftar att i enlighet med GDPR i Storbritannien och EU måste adekvat skydd för Personuppgifterna finnas efter varje överföring utanför Storbritannien eller EES (antingen direkt eller via en Underbiträdes vidareöverföring) och ska ingå ett lämpligt avtal med Kunden och/eller varje Underbiträde för att reglera en sådan överföring. Detta kommer att omfatta de tillämpliga standardavtalsklausulerna om det inte finns någon annan mekanism för adekvat skyddsnivå för överföringen.
7. Brott mot personuppgifter
7.1 I händelse av Personuppgiftsbrott som involverar Kundens Personuppgifter ska Leverantören:
7.1.1 Meddela Kunden utan onödigt dröjsmål (inom högst 48 timmar) för att göra det möjligt för Kunden att uppfylla rapporteringsskyldigheter enligt GDPR i Storbritannien och EU och för att tillhandahålla rimlig hjälp till Kunden när den är skyldig att meddela en Personuppgiftsincident till en Registrerad.
7.1.2 göra rimliga ansträngningar för att identifiera orsaken till personuppgiftsbrottet och vidta de åtgärder som leverantören anser vara rimligt genomförbara för att åtgärda orsaken till personuppgiftsbrottet.
7.1.3 Med förbehåll för villkoren i detta dataskyddsavtal, tillhandahålla rimlig hjälp och samarbete på begäran av kunden för att främja korrigering eller åtgärdande av en personuppgiftsincident.
8. Register över behandlingen
8.1 I den utsträckning som är tillämplig på leverantörens behandling för kunden ska leverantören föra alla register som krävs enligt artikel 30.2 i den brittiska och europeiska dataskyddsförordningen och göra dem tillgängliga för kunden på begäran.
9. Rättigheter till revision
9.1 Leverantören ska, och ska se till att dess Underbiträden, på begäran göra rimlig information tillgänglig för Kunden som är nödvändig för att visa att den uppfyller sina dataskyddsskyldigheter enligt detta dataskyddsavtal och ska tillåta och bidra till revisioner, inklusive inspektion i sina lokaler, av Kunden eller en revisor som beställts av Kunden i samband med behandlingen av kundens personuppgifter, under förutsättning att en sådan revisor inte är en konkurrent till Leverantören.
10. Term
10.1 Detta dataskyddsavtal ska förbli i full kraft så länge som:
10.1.1 Kontraktet fortsätter att gälla, eller
10.1.2 Leverantören behåller alla personuppgifter om kunden som han har i sin ägo eller kontroll.
10.2 Alla bestämmelser i detta dataskyddsavtal som uttryckligen eller underförstått ska träda i kraft eller fortsätta att gälla vid eller efter avtalets upphörande för att skydda kundens personuppgifter kommer att fortsätta att gälla fullt ut.
11. Återlämnande och förstöring av uppgifter
11.1 Leverantören ska, efter kundens gottfinnande och efter skriftlig begäran från kunden, radera eller återlämna alla kundens personuppgifter till kunden efter det att tillhandahållandet av tjänsterna i samband med behandlingen har upphört, och radera befintliga kopior såvida inte tillämplig EES-lagstiftning eller lagstiftning i en medlemsstat kräver lagring av kundens personuppgifter. Om ingen skriftlig begäran tas emot från Kunden ska Leverantören radera Kundens personuppgifter 90 dagar efter det att Kontraktet har upphört.
11.2 På begäran av Kunden ska Leverantören tillhandahålla ett skriftligt meddelande om de åtgärder som vidtagits avseende Kundens personuppgifter.
12. Skadestånd
12.1 Leverantören samtycker till att ersätta kunden för alla direkta kostnader, krav, skador eller utgifter som kunden ådrar sig på grund av att leverantören eller dess anställda, underleverantörer, underleverantörer eller agenter inte har uppfyllt sina skyldigheter enligt detta dataskyddsavtal eller dataskyddslagarna i enlighet med artikel 82 i den brittiska och europeiska dataskyddsförordningen.
12.2 Utan hinder av något annat i detta dataskyddsavtal eller i kontraktet (inklusive, utan begränsning, någondera partens ersättningsskyldigheter) kommer ingen av parterna att vara ansvarig för GDPR-böter som utfärdats eller tagits ut enligt artikel 83 i GDPR mot den andra parten av en tillsynsmyndighet eller ett regeringsorgan i samband med den andra partens överträdelse av GDPR.
12.3 Med förbehåll för de lagstadgade skyldigheter som anges i punkt 12.1 och de begränsningar som anges i punkt 12.2 ska varje parts ansvar enligt detta avtal om skydd av personuppgifter omfattas av de undantag och begränsningar av ansvar som anges i avtalet. Alla hänvisningar till en parts "ansvarsbegränsningar" i avtalet ska tolkas som det sammanlagda ansvaret för en part och alla dess dotterbolag och närstående bolag enligt avtalet och detta dubbelbesked.
Bilaga A
Ändamål och detaljer för behandling av personuppgifter
| Föremålet för bearbetningen | Detaljer | Gäller för: |
|---|---|---|
SyfteAnge alla ändamål för vilka personuppgifterna kommer att behandlas av leverantören. |
Systemåtkomst Systemadministration Leverans av systeminnehåll i enlighet med de moduler som prenumereras. Se nedan: | Alla kunder |
| Politiker, kunskapsbedömningar | Kunder som prenumererar på Policy-moduler (PolicyLite, MetaEngage och MetaPolicy). | |
| eLearning, andra medier | Kunder som prenumererar på moduler för elearning (MetaLearning Fusion) | |
| Undersökningar om personlig integritet | Kunder som prenumererar på MetaPrivacy-modulen | |
| Recensioner av incidenter | Kunder som prenumererar på MetaIncident-modulen | |
| Simulerade nätfiskekampanjer | Kunder som prenumererar på MetaPhish | |
| SCORM-överföring till kundens LMS | Kunder som prenumererar på SCORM-överföring | |
Typer av personuppgifterAnge vilka personuppgifter som kommer att behandlas av leverantören. |
Förnamn, efternamn, e-postadress, avdelning, utbildningsbevis | Alla kunder |
| Organisationsenhet (OU) i Active Directory | Kunder som använder Azure AD eller AD på plats | |
| LMS-ID | Kunder med abonnemang på SCORM-överföring | |
BearbetningAnge alla bearbetningsaktiviteter som ska utföras av leverantören. |
Behandling och lagring av kundens personuppgifter för att skapa och upprätthålla konton för auktoriserade användare på MyCompliance-plattformen. Distribution av olika e-postmeddelanden som initieras av MetaCompliance MyCompliance-systemet. | Alla kunder |
| Distribution av simulerade phishing-e-postmeddelanden som specificerats av kunden via MetaCompliance MyCompliance-plattformen. | Kunder som prenumererar på MetaPhish-modulen | |
| Lagring av personuppgifter där kunden anger dem via MetaCompliance MetaPrivacy-modulen. | Kunder som prenumererar på MetaPrivacy-modulen | |
| Att kommunicera med kundens LMS och utvärdera antalet licenser. | Kunder som prenumererar på SCORM-överföring | |
Kategorier av registrerade personerAnge de kategorier av registrerade vars personuppgifter kommer att behandlas av leverantören. |
Kundens anställda, entreprenörer, leverantörer, partners och/eller dotterbolag. | Alla kunder i enlighet med de uppgifter som lämnats till leverantören. Kunden kan begränsa detta beroende på deras avsedda användning av tjänsterna |
Plats för bearbetningenAnge alla platser där personuppgifterna kommer att behandlas av leverantören. |
Storbritannien (MetaCompliance Group ALSO av Microsoft Azure och Amazon Web Services för nya brittiska kunder efter ikraftträdandedatumet). Danmark (MetaCompliance Group). Irland (MetaCompliance Group ALSO av Microsoft Azure och Amazon Web Services för nya EES- och Schweizbaserade kunder efter ikraftträdandedatumet). Holland (Microsoft Azure för nya schweiziska kunder efter ikraftträdandedatumet). Kanada (Microsoft Azure och Amazon Web Services för nya kanadensiska kunder efter ikraftträdandet). USA (Twilio för Sendgrid-tjänster - leverantörsalternativ för transaktionsmejl baserat på kundens plats - se bilaga C). |
Alla kunder i tillämpliga fall. Se bilaga C för ytterligare information. |
Krav på lagringI tillämpliga fall, ange lagringstiden för Kundens Personuppgifter som lagras av Leverantören |
När ett kundabonnemang har löpt ut eller avslutats sparas alla tillhörande personuppgifter om kunden i 90 dagar innan de faktiskt raderas för att kunna återhämta sig från en oavsiktlig uppsägning av abonnemanget. | Alla kunder |
Bilaga B
Säkerhetsarrangemang
Leverantören är skyldig att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda kundens personuppgifter som behandlas för att hjälpa kunden att uppfylla sina rättsliga skyldigheter, inklusive men inte begränsat till säkerhetsåtgärder och riskbedömningar för personlig integritet, för att hjälpa kunden att uppfylla sina rättsliga skyldigheter. Åtgärderna ska åtminstone resultera i en säkerhetsnivå som är lämplig med hänsyn till följande:
(a) befintliga tekniska möjligheter;
(b) kostnaderna för att genomföra åtgärderna;
(c) de särskilda risker som är förknippade med behandlingen av kundens personuppgifter, och
(d) Känsligheten hos de personuppgifter om kunden som behandlas.
Leverantören ska upprätthålla lämplig säkerhet för kundens personuppgifter. Leverantören ska skydda kundens personuppgifter mot förstörelse, ändring, olaglig spridning eller olaglig åtkomst. Kundens personuppgifter ska också skyddas mot alla andra former av olaglig behandling. Med hänsyn till den senaste tekniken och kostnaderna för genomförandet och med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt risken med varierande sannolikhet och allvar för enskilda personers rättigheter och friheter, ska de tekniska och organisatoriska åtgärder som leverantören ska genomföra i förekommande fall omfatta följande:
(a) pseudonymisering och kryptering av kundens personuppgifter;
(b) förmågan att säkerställa den fortlöpande sekretessen, integriteten, tillgängligheten och motståndskraften hos de system och tjänster som behandlar kundens personuppgifter;
(c) förmågan att återställa tillgängligheten och tillgången till kundens personuppgifter i tid i händelse av en fysisk eller teknisk incident, och
(d) En process för att regelbundet testa, bedöma och utvärdera effektiviteten av tekniska och organisatoriska åtgärder för att säkerställa säkerheten för behandlingen.
Utöver de tekniska och organisatoriska åtgärder som nämns ovan ska leverantören vidta följande åtgärder:
(a) Fysiskt åtkomstskydd där datorutrustning och flyttbara data som innehåller kundens personuppgifter i leverantörens lokaler ska låsas in när de inte är under uppsikt för att skydda mot obehörig användning, påverkan och stöld.
(b) En process för att testa återläsning efter att kundens personuppgifter har återställts från säkerhetskopior.
(c) Behörighetskontroll där leverantörens tillgång till kundens personuppgifter hanteras genom ett tekniskt system från behörighetskontroll. Behörigheten ska begränsas till dem som behöver kundens personuppgifter för sitt arbete. Användar-ID och lösenord ska vara personliga och får inte överlåtas till någon annan. Det ska finnas förfaranden för att tilldela och ta bort behörigheter.
(d) föra register över vem som har tillgång till kundens personuppgifter.
(e) Säker kommunikation där externa datakommunikationsförbindelser ska skyddas med hjälp av tekniska funktioner som säkerställer att anslutningen är auktoriserad samt innehållskryptering för data som transiteras i kommunikationskanaler utanför system som kontrolleras av leverantören.
(f) En process för att säkerställa säker förstöring av uppgifter när fasta eller flyttbara lagringsmedier inte längre ska användas för sitt ändamål.
(g) Rutiner för att ingå sekretessavtal med leverantörer som tillhandahåller reparation och service av utrustning som används för att lagra kundens personuppgifter.
(h) Rutiner för övervakning av den service som utförs av leverantörer i leverantörens lokaler. Lagringsmedier som innehåller kundens personuppgifter ska tas bort om övervakning inte är möjlig.
Bilaga C
Godkända underprocessorer Alla nya kunder efter den5 juli 2023 kan välja att ändra standardapplikationen för underprocessorer och datacenterplatser vid ombordstigning via ett bekräftelsemeddelande till MetaCompliance Ltd. De standardvärden som gäller är:
| Underprocessor | Plats | Gäller för: |
|---|---|---|
| Microsoft Azure (värd för tjänsterna i molnet) | Holland Dublin Förenade kungariket (UK) Kanada | Placering tillämpas i enlighet med nedan för nya Kunder efter den 5 juli 2023:
EES- och Schweiz-baserade kunder kommer som standard att välja EU-baserade datacenter för Microsoft Azure. |
| Amazon Web Services (kontrakterat med "AWS Europe", som leverantör av transaktionsmejl) | Holland Dublin Storbritannien Kanada | Placering tillämpas i enlighet med nedan för nya Kunder efter den 5 juli 2023:
EES- och Schweiz-baserade kunder kommer att hänvisas till EU-baserade datacenter för AWS Europe. |
Underprocessor
Plats
Gäller för:
Microsoft Azure (värd för tjänsterna i molnet)
Amazon Web Services (kontrakterat med "AWS Europe", som leverantör av transaktionsmejl)
Holland
Dublin
Förenade kungariket (UK)
Kanada
Holland
Dublin
Storbritannien
Kanada
Placering tillämpas i enlighet med nedan för nya Kunder efter den 5 juli 2023::
- Kunder i Storbritannien väljer som standard endast datacenter i Storbritannien för Microsoft Azure.
- Kanadensiska kunder väljer som standard endast datacenter i Kanada för Microsoft Azure.
EES- och Schweiz-baserade kunder kommer som standard att välja EU-baserade datacenter för Microsoft Azure.
Placering tillämpas i enlighet med nedan för nya Kunder efter den 5 juli 2023:
- Kunder i Storbritannien väljer som standard endast datacenter i Storbritannien för AWS Europe.
- Kanadensiska kunder kommer att hänvisas till de datacenter för AWS Europe som endast finns i Kanada.
| Underprocessor | Plats | Gäller för. |
|---|---|---|
|
Microsoft Azure (värd för tjänsterna i molnet) |
Holland |
Alla kunder |
|
AWS Europe (leverantör av e-post för transaktioner) |
Dublin |
Alla kunder som är baserade i Storbritannien eller EES-länder. |
|
Twilio för Sendgrid Services (leverantör av transaktionsmeddelanden) |
USA |
Alla kunder som är baserade utanför Storbritannien eller EES-länderna. |
För kunder som ingick avtal den5 juli 2023 eller tidigare, se detaljerna nedan avseende användning av underbiträden:
- Kunder med en separat DPA - det dokumentet (med ändringar) har företräde och beskriver underbiträden som används.
- Kunder som ingick i gruppbytet den 15 juli 2023 för att använda AWS Europe för simuleringsmeddelanden om nätfiske kommer att använda nedanstående (om inte annat uttryckligen anges skriftligen):
Microsoft Azure - datacenter i Dublin och Amsterdam (molnvärd)
Amazon Web Services - Dublin (leverantör av transaktionsmejl endast för meddelanden om simulering av phishing)
Twilio för Sendgrid Services - U.S.A (leverantör av transaktionsmejl för alla andra meddelanden från plattformen).
Arkiverat databehandlingsavtal, tillgängligt här.
Introduktion
Parterne er enige om, at denne Databehandleraftale ("DPA") angiver hver parts rettigheder og forpligtelser med hensyn til behandling og sikkerhed af Kundens Personoplysninger i forbindelse med Softwaren og Tjenesterne leveret af MOCH A/S. DPAen är inkorporerad vid hänvisning i de Generelle Vilkår og Betingelser (Kommercielle Vilkår). Parterne er også enige om, at medmindre der findes en separat DPA underskrevet af parterne, regulerer denne DPA, behandlingen og sikkerheden af Kundens Personoplysninger.Bestemmelserne i DPAen erstatter eventuelle modstridende bestemmelser i MOCHs Erklæring om Beskyttelse af Personoplysninger, som ellers måtte gælde for behandling af Kunders Personoplysninger. För klarhedens skyld, i overensstemmelse med Standardkontraktbestemmelserne fra 2021, som defineret nedenfor, når Standardkontraktbestemmelserne fra 2021 finder anvendelse, har Standardkontraktbestemmelserne fra 2021 forrang for ethvert andet vilkår i DPAen.
1. Parter
1.1 Kunden som defineret i de Generelle Vilkår og Betingelser ("Kunden") og
1.2 MOCH A/S indregistreret i Danmark med CVR-nummer 25397096, med hjemsted på Toldbodgade 51C, 1253 København ("Leverandør").
2. Baggrund
2.1 Kunden och Leverandøren har ingått ett Kontrakt, som kan kräva, att Leverandøren behandlar Personoplysninger på vegne af Kunden.
2.2 Denna Databehandleraftale ("DPA") fastställer de ytterligare villkor, krav och betingelser, hvorefter Leverandøren behandler Personoplysninger, når han leverer Tjenester i henhold til Kontrakten. Denna DPA innehåller de obligatoriska klausulerna, som krävs i artikel 28, stk. 3, i databeskyttelsesforordningen ((EU) 2016/679 og UK GDPR-lovgivningen) for kontrakter mellem dataansvarlige og databehandlere.
2.3 Denne DPA er underlagt vilkårene i Kontrakten og er inkorporeret i Kontrakten. De uttryck, der anvendes i denne DPA, har den betydning, der er angivet i denne DPA. Termer med stort begyndelsesbogstav, der ikke på anden måde er defineret heri, skal have den betydning, der er angivet i Kontraktens Vilkår og Betingelser.
2.4 Bilagene udgør en del af denne DPA og har virkning, som om de var anført fuldt ud i denne DPA. Enhver henvisning til denne DPA omfatter Bilag.
2.5 I tilfælde af en konflikt mellem en bestemmelse i denne DPA og et eller flere vilkår i Kontrakten med hensyn til genstanden for denne Aftale, har bestemmelserne i denne DPA forrang.
3. Definitioner
Følgende udtryk i denne DPA har følgende betydning:
| "Databeskyttelseslovgivning" | betyder alle gældende love og bestemmelser vedrørende Behandling af Personoplysninger til enhver tid i løbet af denne DPAs løbetid, herunder (1) Databeskyttelsesforordningen (GDPR, EU 2016/679) og implementeringen heraf i den danske databeskyttelseslov; (2) Det Forenede Kongeriges (Förenade kungariket) Databeskyttelsesforordning (UK GDPR) som anpassad af Data Protection Act 2018; (3) ePrivacy-direktivet 2002/58/EF som genomförts av EUs medlemsstater och eventuell efterfølgende lovgivning og alle andre forordninger, retningslinjer og adfærdskodekser vedrørende databeskyttelse og privatlivets fred som ændret, ajourført eller erstattet fra tid til anden. |
| "Personlige Kundeoplysninger" | betyder Personoplysninger, der behandles af MOCH udelukkende med henblik på levering af Tjenester og som anvist af Kunden. |
| "Standardkontraktsbestämmelser" | betyder Europa Kommissionens Standardkontraktbestemmelser for overførsel af Personoplysninger fra Den Europæiske Union til databehandlere, der er etableret i tredjelande (overførsler fra dataansvarlig til databehandler), som fastsat i Bilaget til Kommissionens Afgørelse 2021/914/EU pr. 4. juni 2021 och vedtaget i henhold til Det Forenede Kongeriges (United Kingdom) tillæg pr. 21. marts 2022. |
| "Underdatabehandlare" | betyder en underleverantör, der er benyttes af Leverandøren, og, som en del af underleverandørens rolle med at levere Tjenesterne, behandler Personoplysninger på vegne af Kunden. |
| "Dataansvarlig", "Registreret", "Databehandler", "Behandling eller behandling", "Personoplysninger", "Brud på persondatasikkerheden" | ska ha de betydelser, som är givna till dem i Storbritannien och EU GDPR. |
4. Behandling af Personoplysninger
4.1 Parterne anerkender og accepterer, at Leverandøren med det formål at overholde Databeskyttelseslovgivningen og med hensyn til behandling af Kundens Personoplysninger er Databehandleren, og Kunden er den Dataansvarlige.
4.2 Kunden garanterer og indestår for: (i) at overførslen af Kundens Persondata til Leverandøren i alle henseender overholder Databeskyttelseslovgivningen (herunder uden begrænsning med hensyn til indsamling og brug); og (ii) rimelig behandling av personoplysninger og alle andre relevante meddelelser er givet til de Registrerede (og alle nødvendige samtykker fra sådanne Registrerede er indhentet og til enhver tid gældende) i det omfang, det kræves af Databeskyttelseslovgivningen i forbindelse med alle behandlingsaktiviteter, der kan udføres af Leverandøren og dennes Underdatabehandlere i overensstemmelse med denne Aftale;
4.3 Leverandøren forpligter sig til kun at behandle Kundens Personoplysninger: (i) som nødvendigt for at levere Tjenesterne; (ii) i overensstemmelse med skriftlige instruktioner fra Kunden; og (iii) i overensstemmelse med kravene i Databeskyttelseslovgivningen.
4.4 Kunden ska i sin användning av Tjenesterne behandle Personoplysninger i overensstemmelse med kravene i Databeskyttelseslovgivningen. Kunden skal sikre, at alle instruktioner til Leverandøren i forbindelse med behandling af Kundens Personoplysninger overholder Databeskyttelseslovgivningen.
4.5 Kundens instruktioner till Leverandøren vedrørende genstanden for og varigheden af Behandlingen, Behandlingens art og formål, typerne af Personoplysninger og kategorierne af Registrerede er beskrevet i Bilag A. For at undgå tvivl anerkender og accepterer parterne, at instruksen, der er angivet i denne DPA og Bilag A, udgør det komplette sæt instruktioner fra Kunden til Leverandøren jf. punkt 5.
4.6 Leverandøren skal straks underrette Kunden, hvis en instruktion fra Kunden efter Leverandørens rimelige opfattelse sandsynligvis vil være i strid med Databeskyttelseslovgivningen.
4.7 Leverantören får inte behandla, överföra, modifiera eller ändra Kundens Personuppgifter, videregive eller tillade videregivelse af Kundens Personoplysninger til nogen tredjepart uden for de instruktioner, der er beskrevet i denne DPA.
4.8 Leverandørens personale, der er involveret i behandlingen af Kundens Personoplysninger, skal informeres om den fortrolige karakter af Kundens Personoplysninger og vil modtage passende uddannelse i deres ansvar. Sådant personale skal være underlagt passende fortrolighedsforpligtelser. En lista över personer, som har fått tillträde, ska regelbundet genomgås. På baggrund af en gennemgang en sådan liste, kan en adgang til personoplysninger trækkes tilbage, hvis adgangen ikke længere er nødvendig, og personoplysninger vil herefter ikke længere være tilgængelige for disse personer.
4.9 Under hensyntagen til behandlingens karakter i de leverede Tjenester skal Leverandøren som krævet i UK og EU GDPR artikel 32 opretholde passende tekniske og organisatoriske foranstaltninger for at sikre behandlingssikkerheden, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod utilsigtet eller ulovlig ødelæggelse, tab eller ændring eller skade, uautoriseret videregivelse af eller adgang til Kundens Personoplysninger. Parterne anerkender og accepterer, at de sikkerhedsforanstaltninger, der er specificeret i denne DPA og mere specifikt i Bilag B, udgør passende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der er passende for risikoen.
4.10 Leverandøren skal bistå Kunden med passende tekniske og organisatoriske foranstaltninger, for så vidt dette er muligt og, under hensyntagen til behandlingens karakter, med at opfylde Kundens forpligtelser i henhold til Databeskyttelseslovgivningen, herunder i forhold til den registreredes rettigheder, konsekvensanalyser vedrørende databeskyttelse (relateret til Kundens brug af MOCH-Tjenester) og rapportering til og høring af tilsynsmyndigheder (i forbindelse med en konsekvensanalyse vedrørende databeskyttelse relateret til MOCH-Tjenesterne).
4.11 Hvis de Registrerede, kompetente myndigheder eller andre tredjeparter anmoder Leverandøren om oplysninger vedrørende Behandlingen af Kundens Personoplysninger, skal Leverandøren henvise en sådan anmodning til Kunden, medmindre andet kræves for at overholde Databeskyttelseslovgivningen, i hvilket tilfælde Leverandøren skal give Kunden forudgående meddelelse om et sådant lovkrav, medmindre den pågældende lov forbyder denne videregivelse af hensyn til vigtige offentlige interesser.
5. Underdatabehandlere
5.1 Kunden anerkender och accepterar, att Leverandøren i forbindelse med levering af Ydelser kan engagere Underdatabehandlere, som kan være datterselskaber af Leverandøren og/eller tredjeparter som nærmere beskrevet i Bilag C.
5.2 Kunden anerkender, at Leverandøren er givet en generel tilladelse til at antage nye Underdatabehandlere til at behandle Kundens Personoplysninger uden at indhente yderligere skriftlig specifik tilladelse fra Kunden. Dette er betinget af, at Leverandøren skriftligt underretter Kunden om enhver ny Underdatabehandlers identitet 30 dage forud for behandlingen af Kundens Personoplysninger.
5.3 Hvis Kunden ønsker at gøre indsigelse mod den relevante Underdatabehandler, skal Kunden give skriftlig meddelelse herom inden for ti (10) arbejdsdage fra modtagelsen af meddelelsen fra Leverandøren. Hvis kunden ikke gør indsigelse, anses det som samtykke til at bruge den relevante Underdatabehandler.
5.4 Hvis Kunden gør indsigelse mod en ny Underdatabehandler, vil Leverandøren gøre en rimelig indsats for at stille en ændring i Tjenesterne til rådighed for Kunden eller anbefale en kommercielt rimelig ændring i Tjenesterne for at undgå behandling af Kundens Personoplysninger af den relevante nye Underdatabehandler. Hvis intet alternativ er muligt, har parterne ret til at opsige Kontrakten mellem dem.
5.5 Leverandørens meddelelse til Kunden om en ny Underdatabehandler skal indeholde et opdateret bilag C. Leverandøren skal holde Bilag C opdateret.
5.6 Leverandøren forbliver ansvarlig over for Kunden for opfyldelsen af Underdatabehandlernes forpligtelser.
5.7 Leverandøren skal i sin aftale med Underdatabehandleren indføje den Kunden som begunstiget tredjemand i tilfælde af Leverandørens konkurs, således at Kunden kan indtræde i Leverandørens rettigheder og gøre dem gældende over for Underdatabehandlere, som f.eks. gør Kunden i stand til at instruere Underdatabehandleren i at slette eller tilbagelevere personoplysningerne.
6. Överföring till tredjeländer eller internationella organisationer
6.1 I overensstemmelse med artikel 28(3)(a) i GDPR i Storbritannien och EU må Leverandøren ikke, og må ikke tillade nogen Underdatabehandler at, overføre Kundens Personoplysninger uden for EU/EØS eller Storbritannien (alt efter hvad der er relevant) andet end som angivet i denne Aftale. For at undgå tvivl giver Kunden hermed samtykke til overførsel og behandling af Personoplysningerne som specificeret i Bilag A, som det gælder.
6.2 Leverandøren anerkender, at der i overensstemmelse med GDPR i Storbritannien og EU skal være tilstrækkelig beskyttelse af Personoplysningerne efter enhver overførsel uden for Storbritannien eller EØS (enten direkte eller via en Underdatabehandlers videre overførsel), och att Leverandøren ska ingå en lämplig överenskommelse med Kunden och/eller varje Underdatabehandlare för att reglera en sådan överföring. Dette vil omfatte de gældende Standardkontraktbestemmelser, medmindre der findes en anden tilstrækkelig mekanisme for overførslen.
7. Brud på persondatasikkerheden
7.1 I tilfælde af brud på persondatasikkerheden, der involverer Kundens Personoplysninger, skal Leverandøren:
7.1.1 Underrette Kunden uden unødig forsinkelse (inden for maksimalt 48 timer) for at gøre det muligt for Kunden at overholde anmeldelsesforpligtelser i henhold til GDPR i Storbritannien og EU og for at yde rimelig assistance til Kunden, når det er nødvendigt at kommunikere et brud på persondatasikkerheden til en registreret person.
7.1.2 Gøre en rimelig indsats for at identificere årsagen til et sådant brud på persondatasikkerheden og tage de skridt, som Leverandøren anser for rimeligt gennemførlige for at afhjælpe årsagen til et sådant brud på persondatasikkerheden.
7.1.3 I henhold til betingelserne i denne DPA, yde rimelig assistance og samarbejde som anmodet af Kunden, for at fremme enhver korrektion eller afhjælpning af ethvert Brud på Persondatasikkerheden.
8. Fortegnelser over behandlingsaktiviteter
8.1 I det omfang det er relevant for Leverandørens behandling af personoplysninger for Kunden, skal Leverandøren opbevare alle fortegensler, der kræves i henhold til artikel 30, stk. 2, i Storbritannien och EU GDPR, och ska ställa dem till kundens förfogande efter begäran.
10. Ikrafttræden
10.1 Denne DPA er gældende så længe:
10.1.1 Kontrakten er gældende; eller
10.1.2 Leverandøren opbevarer enhver af Kundens Personoplysninger i sin besiddelse eller kontrol.
10.2 Enhver bestemmelse i denne DPA, der udtrykkeligt eller underforstået træder i kraft eller forbliver gældende ved eller efter opsigelse af Kontrakten for at beskytte Kundens Personoplysninger, forbliver gældende.
11. Sletning og returnering af oplysninger
11.1 Leverandøren skal, på Kundens foranledning og ved enhver sådan skriftlig anmodning fra Kunden, slette eller returnere alle Kundens Personoplysninger til Kunden efter afslutningen af leveringen af Tjenester relateret til Behandlingen og slette eksisterende kopier, medmindre gældende EØS- eller medlemsstatslovgivning kræver opbevaring af Kundens Personoplysninger. Hvis der ikke modtages en skriftlig anmodning fra Kunden, skal Leverandøren slette Kundens Personoplysninger 90 dage efter Kontraktens ophør.
11.2 På Kundens anmodning skal Leverandøren give en skriftlig meddelelse om de foranstaltninger, der er truffet vedrørende Kundens Personoplysninger.
12. Erstatning
12.1 Leverandøren accepterar att hålla Kunden skadeslös för alla direkta kostnader, krav, skador eller utgifter, som Kunden pådrager sig på grund av Leverandørens eller dennes medarbejderes, Underdatabehandleres, underleverantörers eller agenters manglende overholdelse af nogen af sine forpligtelser i henhold til denne DPA eller Databeskyttelseslovgivningen i overensstemmelse med artikel 82 i UK og EU GDPR.
12.2 Uanset det modsatte i denne DPA eller i Kontrakten (herunder, uden begrænsning, begge parters skadesløsholdelsesforpligtelser), vil ingen av parterna være ansvarlig for GDPR-bøder udstedt eller opkrævet i henhold til artikel 83 i GDPR mod den anden part af en regulerende myndighed eller et statsligt organ i forbindelse med en sådan anden parts overtrædelse af GDPR.
12.3 Med forbehold for de juridiske forpligtelser, der er beskrevet i punkt 12.1, og de begrænsninger, der er beskrevet i punkt 12.2, skal hver parts ansvar i henhold til denne DPA være underlagt de ansvarsfraskrivelser og -begrænsninger, der er beskrevet i Kontrakten. Enhver henvisning til en parts "ansvarsbegrænsning" i Kontrakten skal fortolkes som en parts og alle dennes datterselskabers og associerede selskabers samlede ansvar i henhold til aftalen og denne DPA.
Bilag A
Formål og detaljer vedrørende behandling af Personoplysninger| Genstand för behandling | Detaljer | Gælder för: |
Syfte Ange alla ändamål, därtil Personoplysningerne vil blive behandlet af Leverandøren | Systemadgang Systemadministration Levering af systemindhold i henhold til moduler, der abonneres på. Se nedan: | Alla Kunder |
| Politikker, Vidensvurderinger | Kunder, som abonnerar på politikmoduler (PolicyLite, MetaEngage och MetaPolicy) | |
| eLearning, andre medier | Kunder, som abonnerar på Elearning-moduler (MetaLearning Fusion) | |
| Undersökningar om personlig integritet | Kunder som abonnerar på MetaPrivacy-modulen | |
| Anmeldelser af hændelser | Kunder, som abonnerar på MetaIncident-modulen | |
| Simulerade phishing-kampagner | Kunder, som abonnerar på Metaphish | |
| SCORM-överföring till kund-LMS | Kunder, som abonnerar på SCORM-overførsel | |
Typer av Personuppgifter Angiv de Personoplysninger, der vil blive behandlet af Leverandøren | Fornavn, efternavn, e-mailadresse, afdeling, undervisningsoversigt | Alla Kunder |
| Organisationsenhet (OU) i Active Directory | Kunder, som använder Azure AD eller lokalt AD | |
| LMS-ID | Kunder med abonnemang på SCORM-överförare | |
Kategorier av registrerade Angiv de kategorier af registrerede, hvis Personoplysninger vil blive behandlet af Leverandøren | Medarbetare hos kunder, entreprenörer, leverantörer, partners och/eller associerade bolag. | Alle Kunder i overensstemmelse med de personoplysninger om de Registrerede, der leveres til Leverandøren. Kunden kan begränsa detta afhængigt af sin tilsigtede brug af Tjenesterne. |
Behandlare Ange alla behandlingsaktiviteter, som ska utföras av Leverandøren | Behandling och lagring av Kunders Personuppgifter för att oprette och vedligeholde autoriserede brugerkonti på platformen. Distribution av olika notifikationsmail initierade av MOCH-systemet. | Alla Kunder |
| Distribution av simulerade phishing-e-mails specifikt initierade av Kunden via MOCH-plattformen. | Kunder som abonnerar på MetaPhish-modulen | |
| Opbevaring af Personoplysninger, hvor de indtastes af Kunden via MOCH-modulet. | Kunder som abonnerar på MetaPrivacy-modulen | |
| Att kommunicera med kund-LMS och utvärdera licensantal | Kunder, som abonnerar på SCORM-overførsel | |
Placering av behandlingsaktiviteter Ange alla platser, där Personoplysningerne vil blive behandlet af Leverandøren | Det Forenede Kongerige (Storbritannien) (MetaCompliance Group) Deutschland (MetaCompliance Group) Danmark (MetaCompliance-Group) Portugal (MetaCompliance Group) Irland (MetaCompliance Group, Microsoft Azure och Amazon Web Services) Holland (Microsoft Azure) | Alla Kunder efter behov. Der henvises til bilag C for yderligere oplysninger. |
Krav på lagring Hvor det er relevant, angiv opbevaringstiden for Kundens Personoplysninger, der er gemt af Leverandøren. | Når et kundeabonnement er udløbet eller opsiges, opbevares alle tilknyttede personlige kundedata i 90 dage, før de endeligt slettes for at gendanne efter utilsigtet annullering af abonnementet. | Alla Kunder |
Bilag B
Säkerhetsåtgärder
För att hjälpa kunden med att uppfylla sina lagstadgade skyldigheter, inklusive, men inte begränsat till, säkerhetsåtgärder och riskbedömningar avseende databeskyttelse, är Leverantören skyldig att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda kundens personinformation. Foranstaltningerne skal som minimum resultere i et sikkerhedsniveau, som er passende under hensyntagen til:
- befintliga tekniska möjligheter;
- kostnader vid genomförandet av åtgärderna;
- de särskilda risker som är förknippade med behandlingen av Kunders Personuppgifter; och
- følsomheden af Kundens Personoplysninger, der behandles.
Leverandøren ska upprätthålla tillräcklig säkerhet vid behandling av Kundens Personuppgifter. Leverandøren ska skydda kundens personuppgifter mot förstörelse, ändring, olaglig delning eller olaglig åtkomst. Kundens Personuppgifter ska också beskyddas mot alla andra former för olaglig behandling. Under hänsynstagande till den aktuella tekniska nivån och implementeringsomkostningerne och under hänsynstagande till behandlingens art, omfang, kontekst og formål samt risikoen for varierende sandsynlighed og alvor for enkeltpersoners rettigheder og frihedsrettigheder, skal de tekniske og organisatoriske foranstaltninger, der skal implementeres af Leverandøren, efter omstændighederne omfatte:
- pseudonymisering och kryptering av Kundens Personuppgifter;
- evnen til at sikre løbende fortrolighed, integritet, tilgængelighed og modstandsdygtighed af systemer og Tjenester, der behandler Kundens Personoplysninger;
- evnen til at genoprette tilgængeligheden af og adgangen til Kundens Personoplysninger rettidigt i tilfælde af en fysisk eller teknisk hændelse; og
- en process för regelmässig testning, bedömning och utvärdering av effektiviteten hos tekniska och organisatoriska åtgärder för att säkra behandlingsskyddet.
Ud over de tekniske og organisatoriske foranstaltninger, der er nævnt ovenfor, skal Leverandøren gennemføre følgende foranstaltninger:
- fysisk adgangsbeskyttelse, hvorved computerudstyr og flytbare data, der indeholder Kundens Personoplysninger i Leverandørens lokaler, skal være aflåst, når de ikke er under opsyn for at beskytte mod uautoriseret brug, påvirkning og tyveri.
- en process till test af tilbagelæsning, efter att Kundens Personoplysninger er blevet gendannet fra sikkerhedskopier.
- autorisationskontrol, hvorved Leverandørens adgang til Kundens Personoplysninger styres gennem et teknisk system fra autorisationskontrol. Autorisation skal begrænses til dem, der har et arbejdsbetinget behov med at tilgå Kundens Personoplysninger. Bruger-id'er og adgangskoder skal være personlige og må ikke overdrages til andre. Det ska finnas rutiner för tilldelning och borttagning av godkännanden.
- föra fortegnelser over, hvem der har adgang til Kundens Personoplysninger.
- sikre kommunikation, hvor eksterne datakommunikationsforbindelser skal beskyttes ved hjælp af tekniske funktioner, der sikrer, at forbindelsen er autoriseret, samt kryptering af data i transit i kommunikationskanaler uden for systemer, der kontrolleres af Leverandøren.
- en process till sikring af sikker destruktion af data, når faste eller flytbare lagringsmedier ikke længere skal bruges til deres formål.
- rutiner för indgåelse af fortrolighedsaftaler med Leverandører, der leverer reparation og service af udstyr, der bruges til at lagre Kundens Personoplysninger.
- rutiner för övervakning av den tjänst, som utförs av Leverantörer i Leverantörens lokaler. Lagringsmedier, som innehåller Kundens Personuppgifter, ska avlägsnas, om tillsyn inte är möjlig.
Bilag C
Godkendte Underdatabehandlere - Kunder kan välja att ändra nedanstående ansökan i samband med onboarding via en bekräftelsemail till MOCH A/S| Underdatabehandlare | Sted |
| Microsoft Azure (Hoster Tjenesterne i Skyen) | Holland Dublin |
| Amazon Web Services (indgået Kontrakt med "AWS Europe", som transaktions-e-mail-udbyder) | Dublin |
| MetaCompliance Limited (ytter teknisk kundesupport och kundesupport - Supporttjenester) | Storbritannien |
| Forøg dine færdigheder GmbH en MetaCompliance Group-enhed (levering af supporttjenester til kunder) | Tyskland |
| MetaCompliance Ireland Ltd, en MetaCompliance Group enity (leverans av supporttjänster till kunder) | Irland |
| MetaCompliance Ireland Ltd Sucursal Portugal - (leverans av supporttjänster till kunder) | Portugal |