Introduktion
Parterna är överens om att detta dataskyddsavtal ("DPA") anger varje parts rättigheter och skyldigheter med avseende på behandling och säkerhet av kundens personuppgifter i samband med programvaran och tjänsterna som tillhandahålls av leverantören. DPA införlivas genom hänvisning i de kommersiella villkoren ("dekommersiella villkoren"). Parterna är också överens om att, såvida det inte finns ett separat DPA som undertecknats av parterna, detta DPA reglerar behandlingen av och säkerheten för kundens personuppgifter.
De bestämmelser som beskrivs i villkoren för detta DPA gäller för leverantören som agerar som personuppgiftsbiträde för kundens personuppgifter vid leverans av programvaran och tjänsterna ("ämnet"). DPA-villkoren ersätter alla motstridiga bestämmelser i MetaCompliance Groups sekretesspolicy när de hänför sig till ämnet. För tydlighetens skull, i enlighet med 2021 års standardavtalsklausuler som definieras nedan, när 2021 års standardavtalsklausuler är tillämpliga, har 2021 års standardavtalsklausuler företräde framför alla andra villkor i databehandlingsavtalet.
DATABEHANDLINGSAVTAL GÄLLER FRÅN 23 juni 2025
1.1 Kunden är den som definieras i de Kommersiella Villkoren ("Kunden"); och
1.2 Leverantören är den som definieras i de kommersiella villkoren ("Leverantören").
2. 1 Kunden och Leverantören har ingått ett Avtal som innebär att Leverantören ska behandla Personuppgifter för Kundens räkning.
2.2 I detta personuppgiftsbiträdesavtal ("DPA") anges de ytterligare villkor, krav och förutsättningar enligt vilka leverantören kommer att behandla personuppgifter vid tillhandahållande av tjänster enligt avtalet och kundens skyldigheter avseende sådana personuppgifter, samt vissa andra personuppgifter som kunden kan erhålla från leverantören enligt avtalet. Detta dataskyddsavtal innehåller de obligatoriska klausuler som krävs enligt artikel 28.3 i den allmänna dataskyddsförordningen ((EU) 2016/679 (och dataskyddslagarna 1988 till 2018, med ändringar) för avtal mellan personuppgiftsansvariga och personuppgiftsbiträden.
2.3 Detta DPA omfattas av villkoren i Avtalet och införlivas i Avtalet. De termer som används i detta DPA skall ha de betydelser som anges i detta DPA. Termer med versaler som inte definieras på annat sätt i detta avtal skall ha den betydelse som anges i de kommersiella villkoren för avtalet.
2.4 Bilagorna utgör en del av denna DPA och kommer att ha effekt som om de anges i sin helhet i denna DPA. Varje hänvisning till denna DPA inkluderar bilagorna.
2.5 I händelse av en konflikt mellan någon bestämmelse i detta DPA och något annat villkor i avtalet, med avseende på föremålet för detta DPA, ska bestämmelserna i detta DPA ha företräde.
Följande termer i detta DPA ska ha följande innebörd:
"Lagar om dataskydd" | betyder alla tillämpliga lagar och förordningar som rör behandlingen av personuppgifter när som helst under detta DPA:s giltighetstid, vilket kan inkludera, beroende på vad som är tillämpligt: (1) den allmänna dataskyddsförordningen EU 2016/679 ("GDPR"); (2) dataskyddslagarna 1988 till 2018, med ändringar; (3) den brittiska dataskyddslagen 2018 (DPA2018); (4) den brittiska GDPR, enligt definitionen i DPA2018; (5) förordningarna om integritet och elektronisk kommunikation (EG-direktiv) 2003; och/eller (6) ePrivacy-direktivet 2002/58/EG som implementerats av EU:s medlemsstater, och all efterföljande lagstiftning och alla andra förordningar, guider och uppförandekoder som rör dataskydd och integritet, i varje enskilt fall såsom de ändras, uppdateras eller ersätts från tid till annan. |
"Personuppgifter om kunden" | avser Personuppgifter som behandlas av Leverantören enbart i syfte att tillhandahålla Tjänsterna och enligt Kundens uttryckliga anvisningar, genom att ingå Avtalet och/eller genom att konfigurera och interagera med programvara som görs tillgänglig som en del av Tjänsterna. |
"Standardavtalsklausuler" | avser Europeiska kommissionens standardavtalsklausuler för överföring av personuppgifter från Europeiska unionen till personuppgiftsbiträden som är etablerade i tredjeländer (överföring mellan personuppgiftsansvariga), enligt bilagan till kommissionens beslut 2021/914/EU av den 4 juni 2021 och antagna enligt det brittiska tillägget av den 21 mars 2022. |
"Beslut om tillräcklighet" | Europeiska kommissionens beslut om adekvat skyddsnivå med avseende på överföringen av personuppgifter till Förenade kungariket, antaget den 28 juni 2021. |
"Underprocessor" | avser en tredjepartsunderleverantör som anlitas av Leverantören och som, som en del av underleverantörens roll i tillhandahållandet av Tjänsterna, kommer att Behandla Personuppgifter för Kundens räkning. |
"Personuppgiftsansvarig", "Registrerad", "Personuppgiftsbiträde", "Behandling", "Personuppgifter", "Brott mot personuppgifter". | ska ha de betydelser som anges i GDPR. |
4. Behandling av personuppgifter
4.1 Parterna är medvetna om och överens om att leverantören är personuppgiftsbiträde och kunden är personuppgiftsansvarig i enlighet med dataskyddslagarna och med avseende på behandling av kundens personuppgifter för tillhandahållande av tjänster.
4.2 Kunden garanterar och intygar följande: (i) överföringen av kundens personuppgifter till leverantören i alla avseenden överensstämmer med dataskyddslagarna (inklusive, utan begränsning, när det gäller insamling och användning); och (ii) rättvis behandling och alla andra lämpliga meddelanden har lämnats till de registrerade personerna i kundens personuppgifter (och alla nödvändiga samtycken från sådana registrerade personer har erhållits och alltid upprätthållits och kan visas för leverantören på begäran) i den utsträckning som krävs enligt dataskyddslagarna i samband med alla behandlingsaktiviteter som kan utföras av leverantören och dess underbiträden i enlighet med detta DPA och avtalet.
4.3 Vid tillhandahållandet av Tjänsterna ska Leverantören behandla Kundens Personuppgifter: (i) i den utsträckning som behövs för att tillhandahålla Tjänsterna; (ii) i enlighet med skriftliga instruktioner från Kunden; och (iii) i enlighet med kraven i Dataskyddslagarna.
4.4 Kunden ska, i sin användning av tjänsterna, behandla personuppgifter i enlighet med kraven i dataskyddslagarna. Kunden ska se till att alla instruktioner till Leverantören i samband med Behandlingen av Kundens personuppgifter är förenliga med dataskyddslagarna.
4.5 När det gäller Kundens Personuppgifter beskrivs Kundens instruktioner till Leverantören avseende Behandlingsobjektet och Behandlingens varaktighet, Behandlingens art och syfte, typerna av Personuppgifter och kategorierna av Registrerade i Bilaga A. För att undvika tvivel bekräftar och godkänner parterna att med förbehåll för klausul 5 och utöver de instruktioner för behandling som anges i detta DPA och bilaga A, kan kunden också utfärda instruktioner för behandling av kundens personuppgifter genom tjänsterna genom sin direkta interaktion med och konfiguration av tjänsterna.
4.6 Leverantören ska omedelbart meddela Kunden om det enligt Leverantörens rimliga uppfattning är troligt att någon instruktion från Kunden bryter mot dataskyddslagarna.
4.7 Beträffande ämnet ska leverantören inte behandla, överföra, modifiera, ändra eller ändra kundens personuppgifter eller avslöja eller tillåta att kundens personuppgifter avslöjas för någon tredje part utanför de instruktioner som anges i detta DPA.
4.8 Leverantörens personal som deltar i behandlingen av kundens personuppgifter ska informeras om kundens personuppgifter konfidentiella karaktär och ska få lämplig utbildning om sitt ansvar. Sådan personal ska omfattas av lämpliga sekretessåtaganden.
4.9 Med hänsyn till karaktären av behandlingen av personuppgifter i de tillhandahållna tjänsterna ska leverantören, i enlighet med artikel 32 i GDPR, upprätthålla lämpliga tekniska och organisatoriska åtgärder för att säkerställa säkerheten för behandlingen, inklusive skydd mot obehörig eller olaglig behandling och mot oavsiktlig eller olaglig förstörelse, förlust eller ändring eller skada, obehörigt utlämnande av eller obehörig åtkomst till kundens personuppgifter. Parterna är medvetna om och överens om att de säkerhetsåtgärder som anges i detta DPA och mer specifikt i bilaga B utgör lämpliga tekniska och organisatoriska säkerhetsåtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken.
4.10 Leverantören ska hjälpa Kunden genom lämpliga tekniska och organisatoriska åtgärder, i den mån det är möjligt och med hänsyn till arten av behandlingen av Kundens personuppgifter, att uppfylla Kundens skyldigheter att följa dataskyddslagarna, inklusive i förhållande till den registrerades rättigheter, konsekvensbedömningar av dataskydd (i samband med Kundens användning av MetaCompliance-tjänsterna) och rapportering till och samråd med tillsynsmyndigheter (i samband med en konsekvensbedömning av dataskydd i samband med MetaCompliance-tjänsterna).
4.11 Om Registrerade, behöriga myndigheter eller annan tredje part begär information från Leverantören om Behandlingen av Kundens Personuppgifter, ska Leverantören hänvisa sådan begäran till Kunden, såvida inte annat krävs för att följa Dataskyddslagarna, i vilket fall Leverantören i förväg ska underrätta Kunden om sådant lagkrav, såvida inte lagen förbjuder detta utlämnande av viktiga skäl av allmänt intresse.
4.12 Kunden bekräftar att Kunden kommer att erhålla Personuppgifter från Leverantören under och i samband med Avtalet (inklusive, men inte begränsat till, personal som anlitas av Leverantören och dess underleverantörer och leverantörer, samt registrerade som kan identifieras genom bilder och röstinspelningar som är tillgängliga som standardalternativ genom vissa av Leverantörens tjänster). Kunden bekräftar att denne kommer att Behandla sådana Personuppgifter som en oberoende Personuppgiftsansvarig och i enlighet med Dataskyddslagarna.
5. Underbiträden
5.1 Kunden bekräftar och samtycker till att leverantören, i samband med tillhandahållandet av tjänsterna, kan anlita underbiträden som kan vara dotterbolag till leverantören och/eller tredje parter enligt vad som närmare beskrivs i bilaga A och bilaga C. Leverantörens anlitande av sådana parter ska omfattas av ett skriftligt (inklusive i elektronisk form) avtal som överensstämmer med villkoren i detta dataskyddsavtal, i förhållande till den nödvändiga behandlingen av personuppgifter.
5.2 Kunden bekräftar att Leverantören ges generell behörighet att anlita de Underbiträden som anges i Bilaga C och lägga till (eller ta bort) nya Underbiträden utan att inhämta något ytterligare skriftligt, specifikt tillstånd från Kunden. Detta gäller under förutsättning att Personuppgiftsbiträdet skriftligen underrättar Kunden om varje nytt Underbiträdes identitet, 30 dagar före behandlingen av Kundens Personuppgifter ("Meddelandeperioden").
5.3 Om Kunden vill invända mot det aktuella Underbiträdet ska Kunden skriftligen meddela detta inom Uppsägningstiden. Sådant meddelande ska innehålla uppgifter om de påstådda säkerhetsriskerna eller riskerna förknippade med det nya Underbiträdet. Om kunden inte invänder på sådana grunder och inom uppsägningstiden ska detta anses utgöra ett samtycke till att använda det aktuella Underbiträdet.
5.4 Om kunden invänder mot ett nytt underbiträde ska leverantören vidta rimliga ansträngningar för att ta itu med problemen, göra en ändring av tjänsterna tillgänglig för kunden eller rekommendera en kommersiellt rimlig ändring av tjänsterna för att undvika att kundens personuppgifter behandlas av det relevanta nya underbiträdet. Om inget alternativ är möjligt ska vardera parten ha rätt att säga upp avtalet mellan dem med omedelbar verkan och utan ansvar eller krav på återbetalning av några belopp från leverantören.
5.5 Leverantörens anmälan av nytt Underbiträde till Kunden ska innefatta tillhandahållande av en uppdaterad Bilaga C. Leverantören ska hålla Bilaga C uppdaterad på följande webbsida.
5.6 Leverantören ska förbli ansvarig gentemot kunden för att underförädlarnas skyldigheter uppfylls.
6 Överföring av data
6.1 I enlighet med artikel 28(3)(a) i GDPR får leverantören inte, och får inte tillåta något underbiträde att, överföra kundens personuppgifter utanför EES eller Storbritannien (i tillämpliga fall) annat än vad som anges i detta avtal. För att undvika tvivel samtycker Kunden härmed till överföring och behandling av Personuppgifterna enligt vad som anges i Bilaga A och C, i tillämpliga delar.
6.2 Leverantören är medveten om att det i enlighet med GDPR måste finnas ett adekvat skydd för Personuppgifterna innan någon överföring sker utanför Storbritannien eller EES (antingen direkt eller via en Underbiträdes vidareöverföring) och ska ingå ett lämpligt avtal med Kunden och/eller ett Underbiträde för att reglera en sådan överföring. Detta kommer att omfatta de tillämpliga standardavtalsklausulerna eller vara beroende av beslutet om adekvat skyddsnivå, såvida det inte finns någon annan adekvat eller giltig mekanism för överföringen.
7 Personuppgiftsincident
7.1 I händelse av Personuppgiftsbrott som involverar Kundens Personuppgifter ska Leverantören:
7.1.1 Meddela Kunden utan onödigt dröjsmål (inom högst 48 timmar) för att göra det möjligt för Kunden att uppfylla rapporteringsskyldigheterna enligt GDPR och för att ge Kunden rimlig hjälp när Kunden måste meddela en Registrerad om en Personuppgiftsincident.
7.1.2 göra rimliga ansträngningar för att identifiera orsaken till personuppgiftsbrottet och vidta de åtgärder som leverantören anser vara rimligt genomförbara för att åtgärda orsaken till personuppgiftsbrottet.
7.1.3 Med förbehåll för villkoren i detta dataskyddsavtal, tillhandahålla rimlig hjälp och samarbete på begäran av kunden för att främja korrigering eller åtgärdande av en personuppgiftsincident.
8. Register över behandlingen
8.1 I den utsträckning det är tillämpligt på Leverantörens Behandling för Kundens räkning ska Leverantören föra alla register som krävs enligt artikel 30(2) GDPR och göra dem tillgängliga för Kunden på begäran.
9. Rättigheter till revision
9.1 Leverantören ska, och ska se till att dess Underbiträden, på begäran tillhandahåller Kunden rimlig information som är nödvändig för att visa att Leverantören uppfyller sina dataskyddsskyldigheter enligt detta DPA och ska tillåta och bidra till revisioner, inklusive inspektion i sina lokaler, av Kunden eller en revisor som bemyndigats av Kunden i förhållande till Behandlingen av Kundens Personuppgifter, förutsatt att en sådan revisor inte är en konkurrent till Leverantören.
10. Term
10.1 Detta dataskyddsavtal ska förbli i full kraft så länge som:
10.1.1 Kontraktet fortsätter att gälla, eller
10.1.2 Leverantören behåller alla personuppgifter om kunden som han har i sin ägo eller kontroll.
10.2 Alla bestämmelser i detta dataskyddsavtal som uttryckligen eller underförstått ska träda i kraft eller fortsätta att gälla vid eller efter avtalets upphörande för att skydda kundens personuppgifter kommer att fortsätta att gälla fullt ut.
11. Återlämnande och förstöring av uppgifter
11.1 Om inte Kundens Personuppgifter redan har raderats i enlighet med villkoren i Avtalet ska Leverantören, enligt Kundens val och efter skriftlig begäran från Kunden, radera eller återlämna alla Kundens Personuppgifter till Kunden efter det att tillhandahållandet av Tjänsterna avseende Behandlingen har upphört, samt radera befintliga kopior, såvida inte tillämplig lagstiftning i EES eller medlemsstat kräver lagring av Kundens Personuppgifter. Om ingen skriftlig begäran erhålls från Kunden ska Leverantören radera Kundens Personuppgifter 90 dagar efter det att Avtalet har upphört att gälla.
11.2 På begäran av Kunden ska Leverantören tillhandahålla ett skriftligt meddelande om de åtgärder som vidtagits avseende Kundens personuppgifter.
12. Skadestånd
12.1 I den utsträckning som krävs enligt artikel 82 i GDPR och med förbehåll för klausul 12.2 i detta DPA, samtycker leverantören till att hålla kunden skadeslös för alla direkta kostnader, anspråk, skador eller utgifter som kunden ådrar sig på grund av att leverantören eller dess anställda, underbiträden, underleverantörer eller ombud inte uppfyller någon av sina skyldigheter enligt detta DPA eller dataskyddslagarna.
12.2 Oaktat vad som sägs i detta DPA eller i Avtalet (inklusive, utan begränsning, någondera partens ersättningsskyldigheter), ska ingen av parterna vara ansvarig för eventuella böter som utfärdas eller tas ut enligt dataskyddslagarna mot den andra parten av en tillsynsmyndighet eller ett statligt organ i samband med den andra partens överträdelse av dataskyddslagarna.
12.3 Kunden samtycker till att hålla leverantören skadeslös för alla direkta kostnader, anspråk, skadestånd eller utgifter som leverantören ådragit sig eller mottagit på grund av att kunden underlåtit att uppfylla någon av sina skyldigheter enligt dataskyddslagarna eller detta dataskyddsavtal (inklusive, utan begränsning, brott mot något krav enligt punkt 2 i detta dataskyddsavtal).
12.4 I den utsträckning det är tillåtet enligt dataskyddslagar och med förbehåll för de undantag som anges i punkt 12.2 i detta DPA, ska varje parts totala ansvar enligt eller i samband med detta DPA, oavsett orsak, omfattas av de undantag och ansvarsbegränsningar som anges i avtalet.
Bilaga A
Ändamål och detaljer för behandling av personuppgifter
| Föremålet för bearbetningen | Detaljer | Gäller för: |
| Syfte | Systemåtkomst Administration av systemet Leverans av systeminnehåll enligt abonnerade moduler. Se nedan: | Alla kunder |
| Politiker, kunskapsbedömningar | Kunder som prenumererar på Policy-moduler (PolicyLite, MetaEngage och MetaPolicy). | |
| eLearning, andra medier | Kunder som prenumererar på moduler för elearning (MetaLearning Fusion) | |
| Undersökningar om personlig integritet | Kunder som prenumererar på MetaPrivacy-modulen | |
| Recensioner av incidenter | Kunder som prenumererar på MetaIncident-modulen | |
| Simulerade nätfiskekampanjer | Kunder som prenumererar på MetaPhish | |
| SCORM-överföring till kundens LMS | Kunder som prenumererar på SCORM-överföring | |
| Förvandla statiska PDF-dokument till en effektiv utbildningsupplevelse | Kunder som prenumererar på Innehåll till kurs | |
| Omvandla kundmanus till en kort AI-genererad video | Kunder som prenumererar på Virtual Presenter Video | |
| Typer av personuppgifter | Förnamn, Efternamn, E-postadress, IP-adress, Avdelning, Utbildningspost | Alla kunder |
| Organisationsenhet (OU) i Active Directory | Kunder som använder Azure AD eller AD på plats | |
| LMS-ID | Kunder med abonnemang på SCORM-överföring | |
| Personuppgifter som Kunden har inkluderat i Kunddata. | Alla kunder | |
| Användning av AI | AI-genererad skapande av Phish-e-post | Kunder med Premium Plus Security Awareness-paket (inklusive Multi-Language-erbjudande) som använder Phish Generator. |
| Skapare av AI-kurser | Kunder som prenumererar på tilläggsmodulen Content to Course. | |
| AI-genererade personliga videor | Kunder som har utnyttjat Virtual Presenter Add-on | |
| Kategorier av registrerade | Kundens anställda, entreprenörer, leverantörer, partners och/eller dotterbolag. | Alla kunder i enlighet med de uppgifter som lämnats till leverantören. Kunden kan begränsa detta beroende på deras avsedda användning av Tjänsterna. |
| Bearbetningsoperationer | Behandling och lagring av kundens personuppgifter för att skapa och underhålla auktoriserade användarkonton på MyCompliance-plattformen. Distribution av olika e-postmeddelanden som initieras av MetaCompliance MyCompliance-systemet. | Alla kunder |
| Distribution av simulerade phishing-e-postmeddelanden som specificerats av kunden via MetaCompliance MyCompliance-plattformen. | Kunder som prenumererar på MetaPhish-modulen | |
| Lagring av personuppgifter där kunden anger dem via MetaCompliance MetaPrivacy-modulen. | Kunder som prenumererar på MetaPrivacy-modulen | |
| Kommunicera med kundens LMS och utvärdera antalet licenser | Kunder som prenumererar på SCORM-överföring | |
| Att utnyttja AI-kapacitet | Kunder som prenumererar på Phish Generator, Content to Course och Virtual Presenter Software. | |
| Plats för bearbetningen | Bearbetningsplatser inom MetaCompliance Group: Förenade kungariket Danmark Portugal Tyskland Irland | Alla kunder. |
| Microsoft Azure Standard datacenter (DC) platser: Storbritannien Kunder: DC i Storbritannien Kanadensiska kunder: DC i Kanada. Tyska kunder: DC i Tyskland Europeiska kunder utanför Tyskland: DC i Nederländerna och Irland | Alla kunder. Det finns standardplatser som beskrivs här, men kunden kan diktera ändringar i före den första hyresgästinstallationen vid ombordstigningsstadiet. Om kunden vill ändra hyresgästernas platser mitt i kontraktet ska de kontakta supportteamet för hjälp. | |
| Amazon Web Services datacenter (DC)-platser: Förenade kungariket Kunder: DC i Storbritannien Kanadensiska kunder: DC i Kanada. Tyska kunder: DC i Tyskland Europeiska kunder utanför Tyskland: DC i Irland | Alla kunder. Det finns standardplatser som beskrivs här, men kunden kan diktera ändringar i före den första hyresgästinstallationen vid ombordstigningsstadiet. Om kunden vill ändra hyresgästernas platser mitt i kontraktet ska de kontakta supportteamet för hjälp. | |
| Behandlingsplatsen vid användning av AI-funktionalitet beskrivs i bilaga C. | Gäller för kunder som prenumererar på Phish Generator, Content to Course och Virtual Presenter Video. | |
| Krav på bevarande | Specifika tidsfrister för radering förklaras i dokumentet "AI at MetaCompliance" som är relevant för de tjänster som begärs av kunden. | Kunder som har begärt Tjänster som innehåller eller använder AI |
| När ett kundabonnemang har löpt ut eller avslutats sparas alla tillhörande kundpersonuppgifter, som inte tidigare har raderats, i 90 dagar innan de faktiskt raderas för att kunna återhämta sig från oavsiktlig uppsägning av abonnemang. | Alla kunder |
- befintliga tekniska möjligheter;
- Kostnaderna för att genomföra åtgärderna;
- de särskilda risker som är förknippade med behandlingen av kundens personuppgifter, och
- känsligheten hos de kundpersonuppgifter som behandlas.
- pseudonymisering och kryptering av Kundens Personuppgifter;
- förmågan att säkerställa fortlöpande sekretess, integritet, tillgänglighet och motståndskraft hos system och tjänster som behandlar kunders personuppgifter;
- förmågan att återställa tillgängligheten och åtkomsten till kundens personuppgifter inom rimlig tid i händelse av en fysisk eller teknisk incident, och
- En process för att regelbundet testa, bedöma och utvärdera effektiviteten hos tekniska och organisatoriska åtgärder för att säkerställa säkerheten vid behandlingen.
- fysiskt åtkomstskydd varigenom datorutrustning och flyttbara data som innehåller Kundens Personuppgifter i Leverantörens lokaler ska vara inlåsta när de inte är under uppsikt för att skydda mot obehörig användning, påverkan och stöld.
- en process för att testa återläsning efter att kundens personuppgifter har återställts från säkerhetskopior.
- behörighetskontroll varvid Leverantörens tillgång till Kundens Personuppgifter hanteras genom ett tekniskt system från behörighetskontroll. Behörigheten ska vara begränsad till dem som behöver Kundens Personuppgifter för sitt arbete. Användar-ID och lösenord ska vara personliga och får inte överlåtas till någon annan. Det ska finnas rutiner för tilldelning och borttagande av behörigheter.
- föra register över vem som har tillgång till kundens personuppgifter.
- säker kommunikation där externa datakommunikationsförbindelser ska skyddas med hjälp av tekniska funktioner som säkerställer att förbindelsen är auktoriserad samt innehållskryptering för data som överförs i kommunikationskanaler utanför system som kontrolleras av leverantören.
- En process för att säkerställa säker förstöring av data när fasta eller flyttbara lagringsmedier inte längre ska användas för sitt ändamål.
- rutiner för att ingå sekretessavtal med leverantörer som tillhandahåller reparation och service av utrustning som används för att lagra Kundens Personuppgifter.
- rutiner för tillsyn av den tjänst som utförs av leverantörer i Leverantörens lokaler. Lagringsmedia som innehåller Kundens Personuppgifter skall avlägsnas om tillsyn inte är möjlig.
Bilaga C
Godkända underbiträden:
- Underbiträden som krävs för leverans av alla Tjänster:
| Underprocessor | Syfte | Plats | Underprocessorer |
| Microsoft Azure (kontrakterad via Microsoft Operations Ireland Ltd) | Värdar tjänsterna i molnet | Microsoft Azure Standard datacenter (DC) platser: Förenade kungariket Kunder: DC i Storbritannien Kanadensiska kunder: DC i Kanada. Tyska kunder: DC i Tyskland Europeiska kunder utanför Tyskland: DC i Nederländerna och Irland | Ytterligare underbehandlare finns här |
| Amazon Web Services (kontrakterad med "AWS Europe") | Leverantör av transaktionsbaserad e-post | Amazon Web Services datacenter (DC)-platser: Förenade kungariket Kunder: DC i Storbritannien Kanadensiska kunder: DC i Kanada. Tyska kunder: DC i Tyskland Europeiska kunder utanför Tyskland: DC i Irland | Ytterligare underbehandlare finns här |
MetaCompliance Group enheter (MetaCompliance Limited, MetaCompliance GmbH, Moch A/S, Metacompliance Ireland Ltd, MetaCompliance Ireland Ltd Sucursal Portugal | Kundkontotjänster och supporttjänster | Storbritannien Tyskland Danmark Irland Portugal (enligt vad som är tillämpligt och i enlighet med varje enhets säte) | Alla kunder |
- YTTERLIGARE BEHANDLING OCH UNDERBEHANDLARE FÖR ANVÄNDNING AV INNEHÅLL TILL KURS
A) Öppen AI
| Metacompliance DC / Region | Hem / Azure DC-plats | Utplacering | Personuppgifter som behandlas | Kvarhållande |
| IRE | Västeuropa (NL) | Data Zone (EU) | Förutom personuppgifter som anges av kunder (t.ex. som svar på en uppmaning eller personuppgifter som ingår i det innehåll som tillhandahålls för att skapa kursen) kommer inga kunders personuppgifter att behandlas av detta underbiträde. | Inga uppmaningar eller generationer lagras i modellen. Dessutom används inte uppmaningar och generationer för att utbilda, omutbilda eller förbättra basmodellerna. |
| DACH | Tyskland Västra Central | Data Zone (EU) | Enligt ovan. | Enligt ovan. |
| NL | Västeuropa (NL) | Data Zone (EU) | Enligt ovan. | Enligt ovan. |
| CAN | Östra Kanada | Standard (östra Kanada) | Enligt ovan. | Enligt ovan. |
| STORBRITANNIEN | Storbritannien Syd | Standard (södra Storbritannien) | Enligt ovan. | Enligt ovan. |
| USA | Norra centrala USA | Standard (norra centrala USA) | Enligt ovan. | Enligt ovan. |
B) Microsoft Dokumentintelligens och Azure Översättare tjänster
| Metacompliance DC / Region | Hem / Azure DC-plats | Bearbetning | Personuppgifter som behandlas | Förvaring (temp 24 timmar) |
| IRE | Nordeuropa (Ire) | Nordeuropa (Ire) | Utöver de personuppgifter som ingår i det innehåll som tillhandahålls för att skapa kursen kommer inga kundpersonuppgifter att behandlas av detta underbiträde. | Nordeuropa (Ire) |
| DACH | Tyskland Västra Central | Tyskland Västra Central | Enligt ovan. | Tyskland Västra Central |
| NL | Västeuropa (NL) | Västeuropa (NL) | Enligt ovan. | Västeuropa (NL) |
| CAN | Kanada Central | Kanada Central | Enligt ovan. | Kanada Central |
| STORBRITANNIEN | Storbritannien Syd | Storbritannien Syd | Enligt ovan. | Storbritannien Syd |
| USA | Norra centrala USA | Norra centrala USA | Enligt ovan. | Norra centrala USA |
- YTTERLIGARE BEARBETNING OCH UNDERPROCESSORER FÖR ANVÄNDNING AV PHISH-GENERATOR
| Underprocessorer | Personuppgifter som behandlas | Region | Bevarande/förvaring |
| Tjänsten: ChattGPT | Förutom personuppgifter som anges av kunder (t.ex. som svar på en uppmaning eller personuppgifter som ingår i det innehåll som tillhandahålls för att skapa kursen) kommer inga kunders personuppgifter att behandlas av detta underbiträde. | Utplacerad: Västeuropa Bearbetning: Global Standard (alla regioner) | Inga uppmaningar eller generationer lagras i modellen. Dessutom används inte uppmaningar och generationer för att utbilda, omutbilda eller förbättra basmodellerna. |
| Service: Inbäddning av text | Enligt ovan. | Enligt ovan. | Enligt ovan. |
- YTTERLIGARE BEHANDLING OCH UNDERBEHANDLARE FÖR ANVÄNDNING AV VIRTUELL PRESENTATÖR
| Underprocessor | Personuppgifter som behandlas | Region | Bevarande/förvaring |
| Colossyan Inc. | Fritext som innehåller personuppgifter (om sådana finns) som tillhandahålls i kundmaterial genom skript eller annat innehåll. Kunden bekräftar att inga känsliga uppgifter kommer att överföras till Personuppgiftsbiträdet. | Bearbetning i USA, Storbritannien och Ungern (dessa är Colossyan och Colossyans dotterbolag). Se Colossyans underbehandlare som beskrivs nedan | 24 timmar. Hård radering inom 48 timmar. |
UTNYTTJA AI-FUNKTIONALITET
Vid användning av den AI-funktionalitet som beskrivs ovan är alla AI-miljöer stängda på metakompatibilitetsnivå. Kundmeddelanden (inmatningar) och kompletteringar (utmatningar), kundinbäddningar och kundutbildningsdata:
- är INTE tillgängliga för andra kunder.
- är INTE tillgängliga för Azure OpenAI.
- används INTE för att förbättra Azure OpenAI-modeller.
- används INTE för att träna, omskola eller förbättra Azure OpenAI Service Foundation-modeller.
- används INTE för att förbättra produkter eller tjänster från Microsoft eller tredje part utan ditt tillstånd eller dina instruktioner.
Introduktion
Parterne er enige om, at denne Databehandleraftale (“DPA”) angiver hver parts rettigheder og forpligtelser med hensyn til behandling og sikkerhed af Kundens Personoplysninger i forbindelse med Softwaren og Tjenesterne leveret af MOCH A/S. DPAen er inkorporeret ved henvisning i de Generelle Vilkår og Betingelser (Kommercielle Vilkår). Parterne er også enige om, at medmindre der findes en separat DPA underskrevet af parterne, regulerer denne DPA, behandlingen og sikkerheden af Kundens Personoplysninger. Bestemmelserne i DPAen erstatter eventuelle modstridende bestemmelser i MOCHs Erklæring om Beskyttelse af Personoplysninger, som ellers måtte gælde for behandling af Kunders Personoplysninger. For klarhedens skyld, i overensstemmelse med Standardkontraktbestemmelserne fra 2021, som defineret nedenfor, når Standardkontraktbestemmelserne fra 2021 finder anvendelse, har Standardkontraktbestemmelserne fra 2021 forrang for ethvert andet vilkår i DPAen.DATABEHANDLERAFTALE GÆLDENDE FRA DEN 18. November 2024
1. Parter
1.1 Kunden som defineret i de Generelle Vilkår og Betingelser (“Kunden“) og
1.2 MOCH A/S indregistreret i Danmark med CVR-nummer 25397096, med hjemsted på Vester Farimagsgade 19, 1606 København V, Danmark (“Leverandør“).
2. Baggrund
2.1 Kunden og Leverandøren har indgået en Kontrakt, som kan kræve, at Leverandøren behandler Personoplysninger på vegne af Kunden.
2.2 Denne Databehandleraftale (“DPA“) fastsætter de yderligere vilkår, krav og betingelser, hvorefter Leverandøren behandler Personoplysninger, når han leverer Tjenester i henhold til Kontrakten. Denne DPA indeholder de obligatoriske klausuler, der kræves i artikel 28, stk. 3, i databeskyttelsesforordningen ((EU) 2016/679 og UK GDPR-lovgivningen) for kontrakter mellem dataansvarlige og databehandlere.
2.3 Denne DPA er underlagt vilkårene i Kontrakten og er inkorporeret i Kontrakten. De udtryk, der anvendes i denne DPA, har den betydning, der er angivet i denne DPA. Termer med stort begyndelsesbogstav, der ikke på anden måde er defineret heri, skal have den betydning, der er angivet i Kontraktens Vilkår og Betingelser.
2.4 Bilagene udgør en del af denne DPA og har virkning, som om de var anført fuldt ud i denne DPA. Enhver henvisning til denne DPA omfatter Bilag.
2.5 I tilfælde af en konflikt mellem en bestemmelse i denne DPA og et eller flere vilkår i Kontrakten med hensyn til genstanden for denne Aftale, har bestemmelserne i denne DPA forrang.
3. Definitioner
Følgende udtryk i denne DPA har følgende betydning:
| “Databeskyttelseslovgivning” | betyder alle gældende love og bestemmelser vedrørende Behandling af Personoplysninger til enhver tid i løbet af denne DPAs løbetid, herunder (1) Databeskyttelsesforordningen (GDPR, EU 2016/679) og implementeringen heraf i den danske databeskyttelseslov; (2) Det Forenede Kongeriges (United Kingdom) Databeskyttelsesforordning (UK GDPR) som tilpasset af Data Protection Act 2018; (3) ePrivacy-direktivet 2002/58/EF som gennemført af EUs medlemsstater og eventuel efterfølgende lovgivning og alle andre forordninger, retningslinjer og adfærdskodekser vedrørende databeskyttelse og privatlivets fred som ændret, ajourført eller erstattet fra tid til anden. |
| “Personlige Kundeoplysninger” | betyder Personoplysninger, der behandles af MOCH udelukkende med henblik på levering af Tjenester og som anvist af Kunden. |
| “Standardkontraktbestemmelser” | betyder Europa Kommissionens Standardkontraktbestemmelser for overførsel af Personoplysninger fra Den Europæiske Union til databehandlere, der er etableret i tredjelande (overførsler fra dataansvarlig til databehandler), som fastsat i Bilaget til Kommissionens Afgørelse 2021/914/EU pr. 4. juni 2021 og vedtaget i henhold til Det Forenede Kongeriges (United Kingdom) tillæg pr. 21. marts 2022. |
| “Underdatabehandler” | betyder en underleverandør, der er benyttes af Leverandøren, og, som en del af underleverandørens rolle med at levere Tjenesterne, behandler Personoplysninger på vegne af Kunden. |
| “Dataansvarlig”, “Registreret”, “Databehandler”, “Behandling eller behandling”, “Personoplysninger”, “Brud på persondatasikkerheden” | skal have de betydninger, der er givet til dem i Storbritannien og EU GDPR. |
4. Behandling af Personoplysninger
4.1 Parterne anerkender og accepterer, at Leverandøren med det formål at overholde Databeskyttelseslovgivningen og med hensyn til behandling af Kundens Personoplysninger er Databehandleren, og Kunden er den Dataansvarlige.
4.2 Kunden garanterer og indestår for: (i) at overførslen af Kundens Persondata til Leverandøren i alle henseender overholder Databeskyttelseslovgivningen (herunder uden begrænsning med hensyn til indsamling og brug); og (ii) rimelig behandling af personoplysninger og alle andre relevante meddelelser er givet til de Registrerede (og alle nødvendige samtykker fra sådanne Registrerede er indhentet og til enhver tid gældende) i det omfang, det kræves af Databeskyttelseslovgivningen i forbindelse med alle behandlingsaktiviteter, der kan udføres af Leverandøren og dennes Underdatabehandlere i overensstemmelse med denne Aftale;
4.3 Leverandøren forpligter sig til kun at behandle Kundens Personoplysninger: (i) som nødvendigt for at levere Tjenesterne; (ii) i overensstemmelse med skriftlige instruktioner fra Kunden; og (iii) i overensstemmelse med kravene i Databeskyttelseslovgivningen.
4.4 Kunden skal i sin brug af Tjenesterne behandle Personoplysninger i overensstemmelse med kravene i Databeskyttelseslovgivningen. Kunden skal sikre, at alle instruktioner til Leverandøren i forbindelse med behandling af Kundens Personoplysninger overholder Databeskyttelseslovgivningen.
4.5 Kundens instruktioner til Leverandøren vedrørende genstanden for og varigheden af Behandlingen, Behandlingens art og formål, typerne af Personoplysninger og kategorierne af Registrerede er beskrevet i Bilag A. For at undgå tvivl anerkender og accepterer parterne, at instruksen, der er angivet i denne DPA og Bilag A, udgør det komplette sæt instruktioner fra Kunden til Leverandøren jf. punkt 5.
4.6 Leverandøren skal straks underrette Kunden, hvis en instruktion fra Kunden efter Leverandørens rimelige opfattelse sandsynligvis vil være i strid med Databeskyttelseslovgivningen.
4.7 Leverandøren må ikke behandle, overføre, modificere eller ændre Kundens Personoplysninger, videregive eller tillade videregivelse af Kundens Personoplysninger til nogen tredjepart uden for de instruktioner, der er beskrevet i denne DPA.
4.8 Leverandørens personale, der er involveret i behandlingen af Kundens Personoplysninger, skal informeres om den fortrolige karakter af Kundens Personoplysninger og vil modtage passende uddannelse i deres ansvar. Sådant personale skal være underlagt passende fortrolighedsforpligtelser. En liste over personer, der har fået adgang, skal regelmæssigt gennemgås. På baggrund af en gennemgang en sådan liste, kan en adgang til personoplysninger trækkes tilbage, hvis adgangen ikke længere er nødvendig, og personoplysninger vil herefter ikke længere være tilgængelige for disse personer.
4.9 Under hensyntagen til behandlingens karakter i de leverede Tjenester skal Leverandøren som krævet i UK og EU GDPR artikel 32 opretholde passende tekniske og organisatoriske foranstaltninger for at sikre behandlingssikkerheden, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod utilsigtet eller ulovlig ødelæggelse, tab eller ændring eller skade, uautoriseret videregivelse af eller adgang til Kundens Personoplysninger. Parterne anerkender og accepterer, at de sikkerhedsforanstaltninger, der er specificeret i denne DPA og mere specifikt i Bilag B, udgør passende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der er passende for risikoen.
4.10 Leverandøren skal bistå Kunden med passende tekniske og organisatoriske foranstaltninger, for så vidt dette er muligt og, under hensyntagen til behandlingens karakter, med at opfylde Kundens forpligtelser i henhold til Databeskyttelseslovgivningen, herunder i forhold til den registreredes rettigheder, konsekvensanalyser vedrørende databeskyttelse (relateret til Kundens brug af MOCH-Tjenester) og rapportering til og høring af tilsynsmyndigheder (i forbindelse med en konsekvensanalyse vedrørende databeskyttelse relateret til MOCH-Tjenesterne).
4.11 Hvis de Registrerede, kompetente myndigheder eller andre tredjeparter anmoder Leverandøren om oplysninger vedrørende Behandlingen af Kundens Personoplysninger, skal Leverandøren henvise en sådan anmodning til Kunden, medmindre andet kræves for at overholde Databeskyttelseslovgivningen, i hvilket tilfælde Leverandøren skal give Kunden forudgående meddelelse om et sådant lovkrav, medmindre den pågældende lov forbyder denne videregivelse af hensyn til vigtige offentlige interesser.
5. Underdatabehandlere
5.1 Kunden anerkender og accepterer, at Leverandøren i forbindelse med levering af Ydelser kan engagere Underdatabehandlere, som kan være datterselskaber af Leverandøren og/eller tredjeparter som nærmere beskrevet i Bilag C.
5.2 Kunden anerkender, at Leverandøren er givet en generel tilladelse til at antage nye Underdatabehandlere til at behandle Kundens Personoplysninger uden at indhente yderligere skriftlig specifik tilladelse fra Kunden. Dette er betinget af, at Leverandøren skriftligt underretter Kunden om enhver ny Underdatabehandlers identitet 30 dage forud for behandlingen af Kundens Personoplysninger.
5.3 Hvis Kunden ønsker at gøre indsigelse mod den relevante Underdatabehandler, skal Kunden give skriftlig meddelelse herom inden for ti (10) arbejdsdage fra modtagelsen af meddelelsen fra Leverandøren. Hvis Kunden ikke gør indsigelse, anses det som samtykke til at bruge den relevante Underdatabehandler.
5.4 Hvis Kunden gør indsigelse mod en ny Underdatabehandler, vil Leverandøren gøre en rimelig indsats for at stille en ændring i Tjenesterne til rådighed for Kunden eller anbefale en kommercielt rimelig ændring i Tjenesterne for at undgå behandling af Kundens Personoplysninger af den relevante nye Underdatabehandler. Hvis intet alternativ er muligt, har parterne ret til at opsige Kontrakten mellem dem.
5.5 Leverandørens meddelelse til Kunden om en ny Underdatabehandler skal indeholde et opdateret bilag C. Leverandøren skal holde Bilag C opdateret.
5.6 Leverandøren forbliver ansvarlig over for Kunden for opfyldelsen af Underdatabehandlernes forpligtelser.
5.7 Leverandøren skal i sin aftale med Underdatabehandleren indføje den Kunden som begunstiget tredjemand i tilfælde af Leverandørens konkurs, således at Kunden kan indtræde i Leverandørens rettigheder og gøre dem gældende over for Underdatabehandlere, som f.eks. gør Kunden i stand til at instruere Underdatabehandleren i at slette eller tilbagelevere personoplysningerne.
6. Overførsel til tredjelande eller internationale organisationer
6.1 I overensstemmelse med artikel 28(3)(a) i GDPR i Storbritannien og EU må Leverandøren ikke, og må ikke tillade nogen Underdatabehandler at, overføre Kundens Personoplysninger uden for EU/EØS eller Storbritannien (alt efter hvad der er relevant) andet end som angivet i denne Aftale. For at undgå tvivl giver Kunden hermed samtykke til overførsel og behandling af Personoplysningerne som specificeret i Bilag A, som det gælder.
6.2 Leverandøren anerkender, at der i overensstemmelse med GDPR i Storbritannien og EU skal være tilstrækkelig beskyttelse af Personoplysningerne efter enhver overførsel uden for Storbritannien eller EØS (enten direkte eller via en Underdatabehandlers videre overførsel), og at Leverandøren skal indgå en passende aftale med Kunden og/eller enhver Underdatabehandler for at regulere en sådan overførsel. Dette vil omfatte de gældende Standardkontraktbestemmelser, medmindre der findes en anden tilstrækkelig mekanisme for overførslen.
7. Brud på persondatasikkerheden
7.1 I tilfælde af brud på persondatasikkerheden, der involverer Kundens Personoplysninger, skal Leverandøren:
7.1.1 Underrette Kunden uden unødig forsinkelse (inden for maksimalt 48 timer) for at gøre det muligt for Kunden at overholde anmeldelsesforpligtelser i henhold til GDPR i Storbritannien og EU og for at yde rimelig assistance til Kunden, når det er nødvendigt at kommunikere et brud på persondatasikkerheden til en registreret person.
7.1.2 Gøre en rimelig indsats for at identificere årsagen til et sådant brud på persondatasikkerheden og tage de skridt, som Leverandøren anser for rimeligt gennemførlige for at afhjælpe årsagen til et sådant brud på persondatasikkerheden.
7.1.3 I henhold til betingelserne i denne DPA, yde rimelig assistance og samarbejde som anmodet af Kunden, for at fremme enhver korrektion eller afhjælpning af ethvert Brud på Persondatasikkerheden.
8. Fortegnelser over behandlingsaktiviteter
8.1 I det omfang det er relevant for Leverandørens behandling af personoplysninger for Kunden, skal Leverandøren opbevare alle fortegensler, der kræves i henhold til artikel 30, stk. 2, i Storbritannien og EU GDPR, og skal stille dem til rådighed for Kunden efter anmodning.
10. Ikrafttræden
10.1 Denne DPA er gældende så længe:
10.1.1 Kontrakten er gældende; eller
10.1.2 Leverandøren opbevarer enhver af Kundens Personoplysninger i sin besiddelse eller kontrol.
10.2 Enhver bestemmelse i denne DPA, der udtrykkeligt eller underforstået træder i kraft eller forbliver gældende ved eller efter opsigelse af Kontrakten for at beskytte Kundens Personoplysninger, forbliver gældende.
11. Sletning og returnering af oplysninger
11.1 Leverandøren skal, på Kundens foranledning og ved enhver sådan skriftlig anmodning fra Kunden, slette eller returnere alle Kundens Personoplysninger til Kunden efter afslutningen af leveringen af Tjenester relateret til Behandlingen og slette eksisterende kopier, medmindre gældende EØS- eller medlemsstatslovgivning kræver opbevaring af Kundens Personoplysninger. Hvis der ikke modtages en skriftlig anmodning fra Kunden, skal Leverandøren slette Kundens Personoplysninger 90 dage efter Kontraktens ophør.
11.2 På Kundens anmodning skal Leverandøren give en skriftlig meddelelse om de foranstaltninger, der er truffet vedrørende Kundens Personoplysninger.
12. Erstatning
12.1 Leverandøren accepterer at holde Kunden skadesløs for alle direkte omkostninger, krav, skader eller udgifter, som Kunden pådrager sig på grund af Leverandørens eller dennes medarbejderes, Underdatabehandleres, underleverandørers eller agenters manglende overholdelse af nogen af sine forpligtelser i henhold til denne DPA eller Databeskyttelseslovgivningen i overensstemmelse med artikel 82 i UK og EU GDPR.
12.2 Uanset det modsatte i denne DPA eller i Kontrakten (herunder, uden begrænsning, begge parters skadesløsholdelsesforpligtelser), vil ingen af parterne være ansvarlig for GDPR-bøder udstedt eller opkrævet i henhold til artikel 83 i GDPR mod den anden part af en regulerende myndighed eller et statsligt organ i forbindelse med en sådan anden parts overtrædelse af GDPR.
12.3 Med forbehold for de juridiske forpligtelser, der er beskrevet i punkt 12.1, og de begrænsninger, der er beskrevet i punkt 12.2, skal hver parts ansvar i henhold til denne DPA være underlagt de ansvarsfraskrivelser og -begrænsninger, der er beskrevet i Kontrakten. Enhver henvisning til en parts “ansvarsbegrænsning” i Kontrakten skal fortolkes som en parts og alle dennes datterselskabers og associerede selskabers samlede ansvar i henhold til aftalen og denne DPA.
Bilag A
Formål og detaljer vedrørende behandling af Personoplysninger| Genstand for behandling | Detaljer | Gælder for: |
| Formål Angiv alle formål, hvortil Personoplysningerne vil blive behandlet af Leverandøren | Systemadgang Systemadministration Levering af systemindhold i henhold til moduler, der abonneres på. Se nedenfor: | Alle Kunder |
| Politikker, Vidensvurderinger | Kunder, der abonnerer på politikmoduler (PolicyLite, MetaEngage og MetaPolicy) | |
| eLearning, andre medier | Kunder, der abonnerer på Elearning-moduler (MetaLearning Fusion) | |
| Privacy Surveys | Kunder, der abonnerer på MetaPrivacy-modulet | |
| Anmeldelser af hændelser | Kunder, der abonnerer på MetaIncident-modulet | |
| Simulerede phishing-kampagner | Kunder, der abonnerer på Metaphish | |
| SCORM overførsel til Customer LMS | Kunder, der abonnerer på SCORM-overførsel | |
| Typer af Personoplysninger Angiv de Personoplysninger, der vil blive behandlet af Leverandøren | Fornavn, efternavn, e-mailadresse, IP-adresse, afdeling, undervisningsoversigt | Alle Kunder |
| Active Directory Organisation Unit (OU) | Kunder, der bruger Azure AD eller lokalt AD | |
| LMS ID | Kunder med abonnement på SCORM overfører | |
| Kategorier af registrerede Angiv de kategorier af registrerede, hvis Personoplysninger vil blive behandlet af Leverandøren | Medarbejdere hos kunder, entreprenører, leverandører, partnere og/eller associerede selskaber. | Alle Kunder i overensstemmelse med de personoplysninger om de Registrerede, der leveres til Leverandøren. Kunden kan begrænse dette afhængigt af sin tilsigtede brug af Tjenesterne. |
| Behandlinger Angiv alle behandlingsaktiviteter, der skal udføres af Leverandøren | Behandling og opbevaring af Kunders Personoplysninger for at oprette og vedligeholde autoriserede brugerkonti på platformen. Distribution af forskellige notifikationsmails initieret af MOCH-systemet. | Alle Kunder |
| Distribution af simulerede phishing-e-mails specifikt initieret af Kunden via MOCH-platformen. | Kunder, der abonnerer på MetaPhish-modulet | |
| Opbevaring af Personoplysninger, hvor de indtastes af Kunden via MOCH-modulet. | Kunder, der abonnerer på MetaPrivacy-modulet | |
| At kommunikere med Customer LMS og evaluere licensantal | Kunder, der abonnerer på SCORM-overførsel | |
| Placering af behandlingsaktiviteter Angiv alle steder, hvor Personoplysningerne vil blive behandlet af Leverandøren | Det Forenede Kongerige (United Kingdom) (MetaCompliance Group) Deutschland (MetaCompliance Group) Danmark (MetaCompliance-Group) Portugal (MetaCompliance Group) Irland (MetaCompliance Group, Microsoft Azure og Amazon Web Services) Holland (Microsoft Azure) | Alle Kunder efter behov. Der henvises til bilag C for yderligere oplysninger. |
| Krav til opbevaring Hvor det er relevant, angiv opbevaringstiden for Kundens Personoplysninger, der er gemt af Leverandøren. | Når et kundeabonnement er udløbet eller opsiges, opbevares alle tilknyttede personlige kundedata i 90 dage, før de endeligt slettes for at gendanne efter utilsigtet annullering af abonnementet. | Alle Kunder |
Bilag B
Sikkerhedsforanstaltninger
For at hjælpe Kunden med at overholde sine lovgivningsmæssige forpligtelser, herunder, men ikke begrænset til, sikkerhedsforanstaltninger og risikovurderinger vedrørende databeskyttelse, er Leverandøren forpligtet til at træffe passende tekniske og organisatoriske foranstaltninger for at beskytte Kundens Personoplysninger. Foranstaltningerne skal som minimum resultere i et sikkerhedsniveau, som er passende under hensyntagen til:
- eksisterende tekniske muligheder;
- omkostningerne ved gennemførelsen af foranstaltningerne;
- de særlige risici forbundet med behandlingen af Kunders Personoplysninger; og
- følsomheden af Kundens Personoplysninger, der behandles.
Leverandøren skal opretholde tilstrækkelig sikkerhed ved behandling af Kundens Personoplysninger. Leverandøren skal beskytte Kundens Personoplysninger mod ødelæggelse, ændring, ulovlig deling eller ulovlig adgang. Kundens Personoplysninger skal også beskyttes mod alle andre former for ulovlig behandling. Under hensyntagen til det aktuelle tekniske niveau og implementeringsomkostningerne og under hensyntagen til behandlingens art, omfang, kontekst og formål samt risikoen for varierende sandsynlighed og alvor for enkeltpersoners rettigheder og frihedsrettigheder, skal de tekniske og organisatoriske foranstaltninger, der skal implementeres af Leverandøren, efter omstændighederne omfatte:
- pseudonymisering og kryptering af Kundens Personoplysninger;
- evnen til at sikre løbende fortrolighed, integritet, tilgængelighed og modstandsdygtighed af systemer og Tjenester, der behandler Kundens Personoplysninger;
- evnen til at genoprette tilgængeligheden af og adgangen til Kundens Personoplysninger rettidigt i tilfælde af en fysisk eller teknisk hændelse; og
- en proces til regelmæssig testning, vurdering og evaluering af effektiviteten af tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerheden.
Ud over de tekniske og organisatoriske foranstaltninger, der er nævnt ovenfor, skal Leverandøren gennemføre følgende foranstaltninger:
- fysisk adgangsbeskyttelse, hvorved computerudstyr og flytbare data, der indeholder Kundens Personoplysninger i Leverandørens lokaler, skal være aflåst, når de ikke er under opsyn for at beskytte mod uautoriseret brug, påvirkning og tyveri.
- en proces til test af tilbagelæsning, efter at Kundens Personoplysninger er blevet gendannet fra sikkerhedskopier.
- autorisationskontrol, hvorved Leverandørens adgang til Kundens Personoplysninger styres gennem et teknisk system fra autorisationskontrol. Autorisation skal begrænses til dem, der har et arbejdsbetinget behov med at tilgå Kundens Personoplysninger. Bruger-id’er og adgangskoder skal være personlige og må ikke overdrages til andre. Der skal være procedurer for tildeling og fjernelse af autorisationer.
- føre fortegnelser over, hvem der har adgang til Kundens Personoplysninger.
- sikre kommunikation, hvor eksterne datakommunikationsforbindelser skal beskyttes ved hjælp af tekniske funktioner, der sikrer, at forbindelsen er autoriseret, samt kryptering af data i transit i kommunikationskanaler uden for systemer, der kontrolleres af Leverandøren.
- en proces til sikring af sikker destruktion af data, når faste eller flytbare lagringsmedier ikke længere skal bruges til deres formål.
- rutiner for indgåelse af fortrolighedsaftaler med Leverandører, der leverer reparation og service af udstyr, der bruges til at lagre Kundens Personoplysninger.
- rutiner for overvågning af den service, der udføres af Leverandører i Leverandørens lokaler. Lagringsmedier, der indeholder Kundens Personoplysninger, skal fjernes, hvis tilsyn ikke er muligt.
Bilag C
Godkendte Underdatabehandlere – Kunder kan vælge at ændre nedenstående ansøgning i forbindelse med onboarding via en bekræftelsesmail til MOCH A/S| Underdatabehandler | Sted |
| Microsoft Azure (Hoster Tjenesterne i Skyen) | Holland Dublin |
| Amazon Web Services (indgået Kontrakt med “AWS Europe”, som transaktions-e-mail-udbyder) | Dublin |
| MetaCompliance Limited (yder teknisk kundesupport og kundesupport – Supporttjenester) | United Kingdom |
| Forøg dine færdigheder GmbH en MetaCompliance Group-enhed (levering af supporttjenester til kunder) | Germany |
| MetaCompliance Ireland Ltd, en MetaCompliance Group enity (levering af supporttjenester til kunder) | Ireland |
| MetaCompliance Ireland Ltd Sucursal Portugal – (levering af supporttjenester til kunder) | Portugal |
Archived Data Processing Agreement, available here.