Introduktion

Parterna är överens om att detta dataskyddsavtal ("DPA") anger varje parts rättigheter och skyldigheter med avseende på behandling och säkerhet för kundens personuppgifter i samband med programvaran och tjänsterna som tillhandahålls av MetaCompliance Ltd. DPA införlivas genom hänvisning till de kommersiella villkoren (kommersiella villkor). Parterna är också överens om att, såvida det inte finns en separat DPA som undertecknats av parterna, reglerar denna DPA behandlingen och säkerheten för kundens personuppgifter.

Bestämmelserna i DPA-villkoren ersätter alla motstridiga bestämmelser i MetaCompliances sekretesspolicy som annars kan gälla för behandling av kundens personuppgifter. För tydlighetens skull, i enlighet med 2021 års standardavtalsklausuler som definieras nedan, när 2021 års standardavtalsklausuler är tillämpliga, har 2021 års standardavtalsklausuler företräde framför alla andra villkor i databehandlingsavtalet.

DATABEHANDLINGSAVTAL GÄLLER FRÅN 1 juli 2024

  1. Partier

    1.1 Kunden är enligt definitionen i de kommersiella villkoren ("Kunden") och

    1.2 MetaCompliance Limited som är registrerad i Nordirland med organisationsnummer NI049166 och vars säte är Third Floor Old City Factory 100 Patrick Street, Londonderry BT48 7EL (nedan kallad "leverantören").

  2. Bakgrund
    2.1 Kunden och leverantören har ingått ett avtal som kan kräva att leverantören behandlar personuppgifter för kundens räkning.
    2.2 Detta databehandlingsavtal ("DPA") anger de ytterligare villkor, krav och förutsättningar enligt vilka leverantören kommer att behandla personuppgifter när de tillhandahåller tjänster enligt avtalet. Detta DPA innehåller de obligatoriska klausuler som krävs enligt artikel 28(3) i den allmänna dataskyddsförordningen ((EU) 2016/679 och brittisk GDPR-lagstiftning) för avtal mellan personuppgiftsansvariga och personuppgiftsbiträden.
    2.3 Detta DPA omfattas av villkoren i avtalet och införlivas i avtalet. De termer som används i detta DPA ska ha de betydelser som anges i detta DPA. Termer med versaler som inte definieras på annat sätt i detta avtal ska ha den betydelse som anges i de kommersiella villkoren i avtalet.
    2.4 Bilagorna utgör en del av detta DPA och ska gälla som om de vore fullständigt angivna i detta DPA. Alla hänvisningar till detta DPA inkluderar bilagorna.
    2.5 I händelse av en konflikt mellan någon bestämmelse i detta DPA och något eller några villkor i Kontraktet, med avseende på föremålet för detta Avtal, ska bestämmelserna i detta DPA ha företräde.
  3. Definitioner Följande termer i detta DPA ska ha följande betydelse:

"Lagar om dataskydd"

avser alla tillämpliga lagar och förordningar som rör behandlingen av personuppgifter vid någon tidpunkt under denna DPA, inklusive (1) den allmänna dataskyddsförordningen (GDPR, EU 2016/679); (2) den brittiska allmänna dataskyddsförordningen (UK GDPR) som skräddarsydd av Data Protection Act 2018; (3) ePrivacy Directive 2002/58/EC som implementerats av EU: s medlemsstater, och all efterföljande lagstiftning och andra föreskrifter, guider och uppförandekoder som rör dataskydd och integritet, i varje fall som ändras, uppdateras eller ersätts från tid till annan.

"Personuppgifter om kunden"

avser personuppgifter som behandlas av MetaCompliance enbart för att tillhandahålla tjänster och enligt kundens anvisningar.

"Standardavtalsklausuler"

avser Europeiska kommissionens standardavtalsklausuler för överföring av personuppgifter från Europeiska unionen till personuppgiftsbiträden som är etablerade i tredjeländer (överföring mellan personuppgiftsansvariga), enligt bilagan till kommissionens beslut 2021/914/EU av den 4 juni 2021 och antagna enligt det brittiska tillägget av den 21 mars 2022.

"Underprocessor"

avser en tredjepartsunderleverantör som anlitas av leverantören och som, som en del av underleverantörens roll att leverera tjänsterna, kommer att behandla personuppgifter för kundens räkning.

"Personuppgiftsansvarig", "Registrerad", "Personuppgiftsbiträde", "Behandling", "Personuppgifter", "Brott mot personuppgifter".

ska ha den innebörd som de har i den brittiska och EU:s GDPR.

4. Behandling av personuppgifter

4.1 Parterna erkänner och är överens om att leverantören är personuppgiftsbiträde och kunden är personuppgiftsansvarig i enlighet med dataskyddslagarna och med avseende på behandlingen av kundens personuppgifter.

4.2 Kunden garanterar och försäkrar: (i) att överföringen av kundens personuppgifter till leverantören i alla avseenden är förenlig med dataskyddslagarna (inklusive, utan begränsning, när det gäller insamling och användning), och (ii) att rättvis behandling och alla andra lämpliga meddelanden har tillhandahållits till de personer som omfattas av kundens personuppgifter (och att alla nödvändiga samtycken från dessa personer har erhållits och alltid upprätthålls) i den utsträckning som krävs enligt dataskyddslagarna i samband med all behandling som kan utföras av leverantören och dess underleverantörer i enlighet med detta avtal;

4.3 Leverantören åtar sig att behandla kundens personuppgifter endast: (i) i enlighet med vad som krävs för att tillhandahålla tjänsterna, (ii) i enlighet med skriftliga instruktioner från kunden, och (iii) i enlighet med kraven i dataskyddslagarna.

4.4 Kunden ska, i sin användning av tjänsterna, behandla personuppgifter i enlighet med kraven i dataskyddslagarna. Kunden ska se till att alla instruktioner till Leverantören i samband med Behandlingen av Kundens personuppgifter är förenliga med dataskyddslagarna.

4.5 Kundens instruktioner till Leverantören avseende ämnet för och varaktigheten av Behandlingen, Behandlingens natur och syfte, typerna av Personuppgifter och kategorierna av Registrerade beskrivs i Bilaga A. För att undvika tvivel bekräftar och samtycker parterna till att, med förbehåll för klausul 5, de instruktioner för Behandling som anges i denna DPA och Bilaga A utgör den fullständiga uppsättningen instruktioner från Kunden till Leverantören som de gäller.

4.6 Leverantören ska omedelbart meddela Kunden om det enligt Leverantörens rimliga uppfattning är troligt att någon instruktion från Kunden bryter mot dataskyddslagarna.

4.7 Leverantören ska inte behandla, överföra, modifiera, ändra eller ändra Kundens Personuppgifter eller avslöja eller tillåta att avslöja Kundens Personuppgifter till någon tredje part utanför de instruktioner som anges i denna DPA.

4.8 Leverantörens personal som deltar i behandlingen av kundens personuppgifter ska informeras om kundens personuppgifter konfidentiella karaktär och ska få lämplig utbildning om sitt ansvar. Sådan personal ska omfattas av lämpliga sekretessåtaganden.

4.9 Med hänsyn till karaktären av behandlingen av personuppgifter i de tjänster som tillhandahålls ska Leverantören, i enlighet med kraven i artikel 32 i GDPR i Storbritannien och EU, upprätthålla lämpliga tekniska och organisatoriska åtgärder för att säkerställa säkerheten vid behandlingen, inklusive skydd mot obehörig eller olaglig behandling och mot oavsiktlig eller olaglig förstörelse, förlust, ändring eller skada, obehörigt avslöjande av eller tillgång till kundens personuppgifter. Parterna erkänner och är överens om att de säkerhetsåtgärder som anges i detta dataskyddsavtal och mer specifikt i bilaga B utgör lämpliga tekniska och organisatoriska säkerhetsåtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken.

4.10 Leverantören ska hjälpa Kunden genom lämpliga tekniska och organisatoriska åtgärder, i den mån det är möjligt och med hänsyn till arten av behandlingen av Kundens personuppgifter, att uppfylla Kundens skyldigheter att följa dataskyddslagarna, inklusive i förhållande till den registrerades rättigheter, konsekvensbedömningar av dataskydd (i samband med Kundens användning av MetaCompliance-tjänsterna) och rapportering till och samråd med tillsynsmyndigheter (i samband med en konsekvensbedömning av dataskydd i samband med MetaCompliance-tjänsterna).

4.11 Om Registrerade, behöriga myndigheter eller andra tredje parter begär information från Leverantören om behandlingen av Kundens personuppgifter ska Leverantören hänvisa sådan begäran till Kunden om inte annat krävs för att följa dataskyddslagarna, i vilket fall Leverantören i förväg ska meddela Kunden om ett sådant lagstadgat krav, såvida inte lagen förbjuder detta avslöjande på viktiga grunder av allmänintresse.

5. Underbiträden

5.1 Kunden bekräftar och godkänner att Leverantören i samband med tillhandahållandet av Tjänsterna kan anlita Underbiträden som kan vara dotterbolag till Leverantören och/eller tredje part enligt en mer specifik beskrivning i bilaga C.

5.2 Kunden bekräftar att Leverantören ges ett generellt tillstånd att anlita nya Underbiträden utan att inhämta något ytterligare skriftligt, specifikt tillstånd från Kunden. Detta gäller under förutsättning att Personuppgiftsbiträdet skriftligen underrättar Kunden om varje nytt Underbiträdes identitet, 30 dagar före behandlingen av Kundens Personuppgifter.

5.3 Om Kunden vill invända mot det relevanta Personuppgiftsbiträdet ska Kunden skriftligen meddela detta inom tio (10) arbetsdagar från mottagandet av meddelandet från Leverantören. Om Kunden inte gör några invändningar ska detta anses utgöra samtycke till att använda det relevanta Personuppgiftsbiträdet.

5.4 Om Kunden invänder mot en ny Underbiträdesförmedlare kommer Leverantören att göra rimliga ansträngningar för att göra en ändring av Tjänsterna tillgänglig för Kunden eller rekommendera en kommersiellt rimlig ändring av Tjänsterna för att undvika att Kundens Personuppgifter behandlas av den relevanta nya Underbiträdesförmedlaren. Om inget alternativ är möjligt har parterna rätt att säga upp avtalet mellan dem.

5.5 Leverantörens anmälan av ett nytt Underbiträde till Kunden ska innefatta tillhandahållande av en uppdaterad Bilaga C. Leverantören ska hålla Bilaga C uppdaterad.

5.6 Leverantören ska förbli ansvarig gentemot kunden för att underförädlarnas skyldigheter uppfylls.

6. Överföring av uppgifter

6.1 I enlighet med artikel 28(3)(a) i GDPR i Storbritannien och EU ska Leverantören inte, och inte tillåta någon Underbiträde att, överföra någon Kunds Personuppgifter utanför EES eller Storbritannien (enligt vad som är tillämpligt) annat än vad som anges i detta Avtal. För undvikande av tvivel samtycker Kunden härmed till överföring och behandling av Personuppgifterna enligt vad som anges i Bilaga A, i den mån den är tillämplig.

6.2 Leverantören bekräftar att i enlighet med GDPR i Storbritannien och EU måste adekvat skydd för Personuppgifterna finnas efter varje överföring utanför Storbritannien eller EES (antingen direkt eller via en Underbiträdes vidareöverföring) och ska ingå ett lämpligt avtal med Kunden och/eller varje Underbiträde för att reglera en sådan överföring. Detta kommer att omfatta de tillämpliga standardavtalsklausulerna om det inte finns någon annan mekanism för adekvat skyddsnivå för överföringen.

7. Brott mot personuppgifter

7.1 I händelse av Personuppgiftsbrott som involverar Kundens Personuppgifter ska Leverantören:

7.1.1 Meddela Kunden utan onödigt dröjsmål (inom högst 48 timmar) för att göra det möjligt för Kunden att uppfylla rapporteringsskyldigheter enligt GDPR i Storbritannien och EU och för att tillhandahålla rimlig hjälp till Kunden när den är skyldig att meddela en Personuppgiftsincident till en Registrerad.

7.1.2 göra rimliga ansträngningar för att identifiera orsaken till personuppgiftsbrottet och vidta de åtgärder som leverantören anser vara rimligt genomförbara för att åtgärda orsaken till personuppgiftsbrottet.

7.1.3 Med förbehåll för villkoren i detta dataskyddsavtal, tillhandahålla rimlig hjälp och samarbete på begäran av kunden för att främja korrigering eller åtgärdande av en personuppgiftsincident.

8. Register över behandlingen

8.1 I den utsträckning som är tillämplig på leverantörens behandling för kunden ska leverantören föra alla register som krävs enligt artikel 30.2 i den brittiska och europeiska dataskyddsförordningen och göra dem tillgängliga för kunden på begäran.

9. Rättigheter till revision

9.1 Leverantören ska, och ska se till att dess Underbiträden, på begäran göra rimlig information tillgänglig för Kunden som är nödvändig för att visa att den uppfyller sina dataskyddsskyldigheter enligt detta dataskyddsavtal och ska tillåta och bidra till revisioner, inklusive inspektion i sina lokaler, av Kunden eller en revisor som beställts av Kunden i samband med behandlingen av kundens personuppgifter, under förutsättning att en sådan revisor inte är en konkurrent till Leverantören.

10. Term

10.1 Detta dataskyddsavtal ska förbli i full kraft så länge som:

10.1.1 Kontraktet fortsätter att gälla, eller

10.1.2 Leverantören behåller alla personuppgifter om kunden som han har i sin ägo eller kontroll.

10.2 Alla bestämmelser i detta dataskyddsavtal som uttryckligen eller underförstått ska träda i kraft eller fortsätta att gälla vid eller efter avtalets upphörande för att skydda kundens personuppgifter kommer att fortsätta att gälla fullt ut.

11. Återlämnande och förstöring av uppgifter

11.1 Leverantören ska, efter kundens gottfinnande och efter skriftlig begäran från kunden, radera eller återlämna alla kundens personuppgifter till kunden efter det att tillhandahållandet av tjänsterna i samband med behandlingen har upphört, och radera befintliga kopior såvida inte tillämplig EES-lagstiftning eller lagstiftning i en medlemsstat kräver lagring av kundens personuppgifter. Om ingen skriftlig begäran tas emot från Kunden ska Leverantören radera Kundens personuppgifter 90 dagar efter det att Kontraktet har upphört.

11.2 På begäran av Kunden ska Leverantören tillhandahålla ett skriftligt meddelande om de åtgärder som vidtagits avseende Kundens personuppgifter.

12. Skadestånd

12.1 Leverantören samtycker till att ersätta kunden för alla direkta kostnader, krav, skador eller utgifter som kunden ådrar sig på grund av att leverantören eller dess anställda, underleverantörer, underleverantörer eller agenter inte har uppfyllt sina skyldigheter enligt detta dataskyddsavtal eller dataskyddslagarna i enlighet med artikel 82 i den brittiska och europeiska dataskyddsförordningen.

12.2 Utan hinder av något annat i detta dataskyddsavtal eller i kontraktet (inklusive, utan begränsning, någondera partens ersättningsskyldigheter) kommer ingen av parterna att vara ansvarig för GDPR-böter som utfärdats eller tagits ut enligt artikel 83 i GDPR mot den andra parten av en tillsynsmyndighet eller ett regeringsorgan i samband med den andra partens överträdelse av GDPR.

12.3 Med förbehåll för de lagstadgade skyldigheter som anges i punkt 12.1 och de begränsningar som anges i punkt 12.2 ska varje parts ansvar enligt detta avtal om skydd av personuppgifter omfattas av de undantag och begränsningar av ansvar som anges i avtalet. Alla hänvisningar till en parts "ansvarsbegränsningar" i avtalet ska tolkas som det sammanlagda ansvaret för en part och alla dess dotterbolag och närstående bolag enligt avtalet och detta dubbelbesked.

Bilaga A

Ändamål och detaljer för behandling av personuppgifter

Föremålet för bearbetningenDetaljerGäller för:

Syfte

Ange alla ändamål för vilka personuppgifterna kommer att behandlas av leverantören.

Systemåtkomst Systemadministration Leverans av systeminnehåll i enlighet med de moduler som prenumereras. Se nedan:Alla kunder
Politiker, kunskapsbedömningarKunder som prenumererar på Policy-moduler (PolicyLite, MetaEngage och MetaPolicy).
eLearning, andra medierKunder som prenumererar på moduler för elearning (MetaLearning Fusion)
Undersökningar om personlig integritetKunder som prenumererar på MetaPrivacy-modulen
Recensioner av incidenterKunder som prenumererar på MetaIncident-modulen
Simulerade nätfiskekampanjerKunder som prenumererar på MetaPhish
SCORM-överföring till kundens LMSKunder som prenumererar på SCORM-överföring

Typer av personuppgifter

Ange vilka personuppgifter som kommer att behandlas av leverantören.

Förnamn, efternamn, e-postadress, IP-adress, avdelning, utbildningsbevisAlla kunder
Organisationsenhet (OU) i Active DirectoryKunder som använder Azure AD eller AD på plats
LMS-IDKunder med abonnemang på SCORM-överföring

Bearbetning

Ange alla bearbetningsaktiviteter som ska utföras av leverantören.

Behandling och lagring av kundens personuppgifter för att skapa och upprätthålla konton för auktoriserade användare på MyCompliance-plattformen. Distribution av olika e-postmeddelanden som initieras av MetaCompliance MyCompliance-systemet.Alla kunder
Distribution av simulerade phishing-e-postmeddelanden som specificerats av kunden via MetaCompliance MyCompliance-plattformen.Kunder som prenumererar på MetaPhish-modulen
Lagring av personuppgifter där kunden anger dem via MetaCompliance MetaPrivacy-modulen.Kunder som prenumererar på MetaPrivacy-modulen
Att kommunicera med kundens LMS och utvärdera antalet licenser.Kunder som prenumererar på SCORM-överföring

Kategorier av registrerade personer

Ange de kategorier av registrerade vars personuppgifter kommer att behandlas av leverantören.

Kundens anställda, entreprenörer, leverantörer, partners och/eller dotterbolag.Alla kunder i enlighet med de uppgifter som lämnats till leverantören. Kunden kan begränsa detta beroende på deras avsedda användning av tjänsterna

Plats för bearbetningen

Ange alla platser där personuppgifterna kommer att behandlas av leverantören.

Storbritannien (MetaCompliance Group ALSO av Microsoft Azure och Amazon Web Services för nya brittiska kunder efter ikraftträdandedatumet).

Danmark (MetaCompliance Group).

Portugal (gruppen MetaCompliance)

Tyskland (MetaCompliance Group)

Irland (MetaCompliance Group ALSO av Microsoft Azure och Amazon Web Services för nya EES- och Schweizbaserade kunder efter ikraftträdandedatumet).

Holland (Microsoft Azure för nya schweiziska kunder efter ikraftträdandedatumet).

Kanada (Microsoft Azure och Amazon Web Services för nya kanadensiska kunder efter ikraftträdandet).

Alla kunder i tillämpliga fall. Se bilaga C för ytterligare information.

Krav på lagring

I tillämpliga fall, ange lagringstiden för Kundens Personuppgifter som lagras av Leverantören

När ett kundabonnemang har löpt ut eller avslutats sparas alla tillhörande personuppgifter om kunden i 90 dagar innan de faktiskt raderas för att kunna återhämta sig från en oavsiktlig uppsägning av abonnemanget.Alla kunder

Bilaga B

Säkerhetsarrangemang

Leverantören är skyldig att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda kundens personuppgifter som behandlas för att hjälpa kunden att uppfylla sina rättsliga skyldigheter, inklusive men inte begränsat till säkerhetsåtgärder och riskbedömningar för personlig integritet, för att hjälpa kunden att uppfylla sina rättsliga skyldigheter. Åtgärderna ska åtminstone resultera i en säkerhetsnivå som är lämplig med hänsyn till följande:

(a) befintliga tekniska möjligheter;

(b) kostnaderna för att genomföra åtgärderna;

(c) de särskilda risker som är förknippade med behandlingen av kundens personuppgifter, och

(d) Känsligheten hos de personuppgifter om kunden som behandlas.

Leverantören ska upprätthålla lämplig säkerhet för kundens personuppgifter. Leverantören ska skydda kundens personuppgifter mot förstörelse, ändring, olaglig spridning eller olaglig åtkomst. Kundens personuppgifter ska också skyddas mot alla andra former av olaglig behandling. Med hänsyn till den senaste tekniken och kostnaderna för genomförandet och med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt risken med varierande sannolikhet och allvar för enskilda personers rättigheter och friheter, ska de tekniska och organisatoriska åtgärder som leverantören ska genomföra i förekommande fall omfatta följande:

(a) pseudonymisering och kryptering av kundens personuppgifter;

(b) förmågan att säkerställa den fortlöpande sekretessen, integriteten, tillgängligheten och motståndskraften hos de system och tjänster som behandlar kundens personuppgifter;

(c) förmågan att återställa tillgängligheten och tillgången till kundens personuppgifter i tid i händelse av en fysisk eller teknisk incident, och

(d) En process för att regelbundet testa, bedöma och utvärdera effektiviteten av tekniska och organisatoriska åtgärder för att säkerställa säkerheten för behandlingen.

Utöver de tekniska och organisatoriska åtgärder som nämns ovan ska leverantören vidta följande åtgärder:

(a) Fysiskt åtkomstskydd där datorutrustning och flyttbara data som innehåller kundens personuppgifter i leverantörens lokaler ska låsas in när de inte är under uppsikt för att skydda mot obehörig användning, påverkan och stöld.

(b) En process för att testa återläsning efter att kundens personuppgifter har återställts från säkerhetskopior.

(c) Behörighetskontroll där leverantörens tillgång till kundens personuppgifter hanteras genom ett tekniskt system från behörighetskontroll. Behörigheten ska begränsas till dem som behöver kundens personuppgifter för sitt arbete. Användar-ID och lösenord ska vara personliga och får inte överlåtas till någon annan. Det ska finnas förfaranden för att tilldela och ta bort behörigheter.

(d) föra register över vem som har tillgång till kundens personuppgifter.

(e) Säker kommunikation där externa datakommunikationsförbindelser ska skyddas med hjälp av tekniska funktioner som säkerställer att anslutningen är auktoriserad samt innehållskryptering för data som transiteras i kommunikationskanaler utanför system som kontrolleras av leverantören.

(f) En process för att säkerställa säker förstöring av uppgifter när fasta eller flyttbara lagringsmedier inte längre ska användas för sitt ändamål.

(g) Rutiner för att ingå sekretessavtal med leverantörer som tillhandahåller reparation och service av utrustning som används för att lagra kundens personuppgifter.

(h) Rutiner för övervakning av den service som utförs av leverantörer i leverantörens lokaler. Lagringsmedier som innehåller kundens personuppgifter ska tas bort om övervakning inte är möjlig.

Bilaga C

Godkända underprocessorer Alla nya kunder efter den5 juli 2023 kan välja att ändra standardapplikationen för underprocessorer och datacenterplatser vid ombordstigning via ett bekräftelsemeddelande till MetaCompliance Ltd. De standardvärden som gäller är:

Underprocessor Plats Gäller för:
Microsoft Azure (kontrakterad via Microsoft Operations Ireland Ltd, är värd för tjänsterna i molnet) Holland Dublin Förenade kungariket (UK) Tyskland Kanada Plats tillämpas i enlighet med nedan för nya Kunder:
1. Kunder i Storbritannien kommer som standard att välja datacenter för Microsoft Azure som endast finns i Storbritannien.
2. Tyska kunder kommer som standard att använda det tyska datacentret.
3. Kanadensiska kunder kommer som standard att använda datacenter för Microsoft Azure som endast finns i Kanada.
4. EES- och Schweiz-baserade kunder kommer som standard att använda Holland och Dublin Data Centres för Microsoft Azure.
Amazon Web Services (kontrakterat med "AWS Europe", som leverantör av transaktionsmejl) Dublin Förenade kungariket Tyskland Kanada Plats tillämpas i enlighet med nedan för nya Kunder efter den 5 juli 2023:
1. Kunder i Storbritannien kommer som standard att välja datacenter för AWS Europe som endast finns i Storbritannien.
2. Kanadensiska kunder kommer att välja datacenter för AWS Europe som endast finns i Kanada.
3. EES- och Schweizbaserade kunder kommer som standard att välja EU-baserade datacenter för AWS Europe. .
MetaCompliance Limited en enhet inom MetaCompliance Group (tillhandahållande av kundkontotjänster och supporttjänster till kunder) Irland Alla kunder
MetaCompliance GmbH (tillhandahållande av kundkontotjänster och supporttjänster) Tyskland Alla kunder
MOCH A/S a MetaCompliance Group entity (tillhandahållande av kundkontotjänster och stödtjänster till kunder) Danmark Alla kunder
MetaCompliance Ireland Ltd Sucursal Portugal en enhet inom MetaCompliance Group (tillhandahållande av kundkontotjänster och supporttjänster till kunder) Portugal Alla kunder

Underprocessor

Plats

Gäller för:

Microsoft Azure (värd för tjänsterna i molnet)

 

 

 

 

 

 

 

 

Amazon Web Services (kontrakterat med "AWS Europe", som leverantör av transaktionsmejl)

Holland

Dublin

Förenade kungariket (UK)

Kanada

 

Holland

Dublin

Storbritannien

Kanada

Placering tillämpas i enlighet med nedan för nya Kunder efter den 5 juli 2023::

  1. Kunder i Storbritannien väljer som standard endast datacenter i Storbritannien för Microsoft Azure.
  2. Kanadensiska kunder väljer som standard endast datacenter i Kanada för Microsoft Azure.

EES- och Schweiz-baserade kunder kommer som standard att välja EU-baserade datacenter för Microsoft Azure.

Placering tillämpas i enlighet med nedan för nya Kunder efter den 5 juli 2023:

  1. Kunder i Storbritannien väljer som standard endast datacenter i Storbritannien för AWS Europe.
  2. Kanadensiska kunder kommer att hänvisas till de datacenter för AWS Europe som endast finns i Kanada.
EES- och Schweiz-baserade kunder kommer att hänvisas till EU-baserade datacenter för AWS Europe.
Underprocessor Plats Gäller för.

Microsoft Azure (värd för tjänsterna i molnet)

Holland
Dublin

Alla kunder

AWS Europe (leverantör av e-post för transaktioner)

Dublin

Alla kunder som är baserade i Storbritannien eller EES-länder.

Twilio för Sendgrid Services (leverantör av transaktionsmeddelanden)

USA

Alla kunder som är baserade utanför Storbritannien eller EES-länderna.
För kunder som ingick avtal den5 juli 2023 eller tidigare, se detaljerna nedan avseende användning av underbiträden:
  1. Kunder med en separat DPA - det dokumentet (med ändringar) har företräde och beskriver underbiträden som används.
  2. Kunder som ingick i gruppbytet den 15 juli 2023 för att använda AWS Europe för simuleringsmeddelanden om nätfiske kommer att använda nedanstående (om inte annat uttryckligen anges skriftligen):
Microsoft Azure - datacenter i Dublin och Amsterdam (molnvärd) Amazon Web Services - Dublin (leverantör av transaktionsmejl endast för meddelanden om simulering av phishing) Twilio för Sendgrid Services - U.S.A (leverantör av transaktionsmejl för alla andra meddelanden från plattformen).

Arkiverat databehandlingsavtal, tillgängligt här.

Introduktion

Parterne er enige om, at denne Databehandleraftale (“DPA”) angiver hver parts rettigheder og forpligtelser med hensyn til behandling og sikkerhed af Kundens Personoplysninger i forbindelse med Softwaren og Tjenesterne leveret af MOCH A/S. DPAen er inkorporeret ved henvisning i de Generelle Vilkår og Betingelser (Kommercielle Vilkår). Parterne er også enige om, at medmindre der findes en separat DPA underskrevet af parterne, regulerer denne DPA, behandlingen og sikkerheden af Kundens Personoplysninger. Bestemmelserne i DPAen erstatter eventuelle modstridende bestemmelser i MOCHs Erklæring om Beskyttelse af Personoplysninger, som ellers måtte gælde for behandling af Kunders Personoplysninger. For klarhedens skyld, i overensstemmelse med Standardkontraktbestemmelserne fra 2021, som defineret nedenfor, når Standardkontraktbestemmelserne fra 2021 finder anvendelse, har Standardkontraktbestemmelserne fra 2021 forrang for ethvert andet vilkår i DPAen.

DATABEHANDLERAFTALE GÆLDENDE FRA DEN 01. oktober 2023

1. Parter
1.1 Kunden som defineret i de Generelle Vilkår og Betingelser (“Kunden“) og
1.2 MOCH A/S indregistreret i Danmark med CVR-nummer 25397096, med hjemsted på Toldbodgade 51C, 1253 København (“Leverandør“).
2. Baggrund
2.1 Kunden og Leverandøren har indgået en Kontrakt, som kan kræve, at Leverandøren behandler Personoplysninger på vegne af Kunden.
2.2 Denne Databehandleraftale (“DPA“) fastsætter de yderligere vilkår, krav og betingelser, hvorefter Leverandøren behandler Personoplysninger, når han leverer Tjenester i henhold til Kontrakten. Denne DPA indeholder de obligatoriske klausuler, der kræves i artikel 28, stk. 3, i databeskyttelsesforordningen ((EU) 2016/679 og UK GDPR-lovgivningen) for kontrakter mellem dataansvarlige og databehandlere.
2.3 Denne DPA er underlagt vilkårene i Kontrakten og er inkorporeret i Kontrakten. De udtryk, der anvendes i denne DPA, har den betydning, der er angivet i denne DPA. Termer med stort begyndelsesbogstav, der ikke på anden måde er defineret heri, skal have den betydning, der er angivet i Kontraktens Vilkår og Betingelser.
2.4 Bilagene udgør en del af denne DPA og har virkning, som om de var anført fuldt ud i denne DPA. Enhver henvisning til denne DPA omfatter Bilag.
2.5 I tilfælde af en konflikt mellem en bestemmelse i denne DPA og et eller flere vilkår i Kontrakten med hensyn til genstanden for denne Aftale, har bestemmelserne i denne DPA forrang.
3. Definitioner
Følgende udtryk i denne DPA har følgende betydning:

“Databeskyttelseslovgivning” betyder alle gældende love og bestemmelser vedrørende Behandling af Personoplysninger til enhver tid i løbet af denne DPAs løbetid, herunder (1) Databeskyttelsesforordningen (GDPR, EU 2016/679) og implementeringen heraf i den danske databeskyttelseslov; (2) Det Forenede Kongeriges (United Kingdom) Databeskyttelsesforordning (UK GDPR) som tilpasset af Data Protection Act 2018; (3) ePrivacy-direktivet 2002/58/EF som gennemført af EUs medlemsstater og eventuel efterfølgende lovgivning og alle andre forordninger, retningslinjer og adfærdskodekser vedrørende databeskyttelse og privatlivets fred som ændret, ajourført eller erstattet fra tid til anden.
“Personlige Kundeoplysninger” betyder Personoplysninger, der behandles af MOCH udelukkende med henblik på levering af Tjenester og som anvist af Kunden.
“Standardkontraktbestemmelser” betyder Europa Kommissionens Standardkontraktbestemmelser for overførsel af Personoplysninger fra Den Europæiske Union til databehandlere, der er etableret i tredjelande (overførsler fra dataansvarlig til databehandler), som fastsat i Bilaget til Kommissionens Afgørelse 2021/914/EU pr. 4. juni 2021 og vedtaget i henhold til Det Forenede Kongeriges (United Kingdom) tillæg pr. 21. marts 2022.
“Underdatabehandler” betyder en underleverandør, der er benyttes af Leverandøren, og, som en del af underleverandørens rolle med at levere Tjenesterne, behandler Personoplysninger på vegne af Kunden.
“Dataansvarlig”, “Registreret”, “Databehandler”, “Behandling eller behandling”, “Personoplysninger”, “Brud på persondatasikkerheden” skal have de betydninger, der er givet til dem i Storbritannien og EU GDPR.

4. Behandling af Personoplysninger
4.1 Parterne anerkender og accepterer, at Leverandøren med det formål at overholde Databeskyttelseslovgivningen og med hensyn til behandling af Kundens Personoplysninger er Databehandleren, og Kunden er den Dataansvarlige.
4.2 Kunden garanterer og indestår for: (i) at overførslen af Kundens Persondata til Leverandøren i alle henseender overholder Databeskyttelseslovgivningen (herunder uden begrænsning med hensyn til indsamling og brug); og (ii) rimelig behandling af personoplysninger og alle andre relevante meddelelser er givet til de Registrerede (og alle nødvendige samtykker fra sådanne Registrerede er indhentet og til enhver tid gældende) i det omfang, det kræves af Databeskyttelseslovgivningen i forbindelse med alle behandlingsaktiviteter, der kan udføres af Leverandøren og dennes Underdatabehandlere i overensstemmelse med denne Aftale;
4.3 Leverandøren forpligter sig til kun at behandle Kundens Personoplysninger: (i) som nødvendigt for at levere Tjenesterne; (ii) i overensstemmelse med skriftlige instruktioner fra Kunden; og (iii) i overensstemmelse med kravene i Databeskyttelseslovgivningen.
4.4 Kunden skal i sin brug af Tjenesterne behandle Personoplysninger i overensstemmelse med kravene i Databeskyttelseslovgivningen. Kunden skal sikre, at alle instruktioner til Leverandøren i forbindelse med behandling af Kundens Personoplysninger overholder Databeskyttelseslovgivningen.
4.5 Kundens instruktioner til Leverandøren vedrørende genstanden for og varigheden af Behandlingen, Behandlingens art og formål, typerne af Personoplysninger og kategorierne af Registrerede er beskrevet i Bilag A. For at undgå tvivl anerkender og accepterer parterne, at instruksen, der er angivet i denne DPA og Bilag A, udgør det komplette sæt instruktioner fra Kunden til Leverandøren jf. punkt 5.
4.6 Leverandøren skal straks underrette Kunden, hvis en instruktion fra Kunden efter Leverandørens rimelige opfattelse sandsynligvis vil være i strid med Databeskyttelseslovgivningen.
4.7 Leverandøren må ikke behandle, overføre, modificere eller ændre Kundens Personoplysninger, videregive eller tillade videregivelse af Kundens Personoplysninger til nogen tredjepart uden for de instruktioner, der er beskrevet i denne DPA.
4.8 Leverandørens personale, der er involveret i behandlingen af Kundens Personoplysninger, skal informeres om den fortrolige karakter af Kundens Personoplysninger og vil modtage passende uddannelse i deres ansvar. Sådant personale skal være underlagt passende fortrolighedsforpligtelser. En liste over personer, der har fået adgang, skal regelmæssigt gennemgås. På baggrund af en gennemgang en sådan liste, kan en adgang til personoplysninger trækkes tilbage, hvis adgangen ikke længere er nødvendig, og personoplysninger vil herefter ikke længere være tilgængelige for disse personer.
4.9 Under hensyntagen til behandlingens karakter i de leverede Tjenester skal Leverandøren som krævet i UK og EU GDPR artikel 32 opretholde passende tekniske og organisatoriske foranstaltninger for at sikre behandlingssikkerheden, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod utilsigtet eller ulovlig ødelæggelse, tab eller ændring eller skade, uautoriseret videregivelse af eller adgang til Kundens Personoplysninger. Parterne anerkender og accepterer, at de sikkerhedsforanstaltninger, der er specificeret i denne DPA og mere specifikt i Bilag B, udgør passende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der er passende for risikoen.
4.10 Leverandøren skal bistå Kunden med passende tekniske og organisatoriske foranstaltninger, for så vidt dette er muligt og, under hensyntagen til behandlingens karakter, med at opfylde Kundens forpligtelser i henhold til Databeskyttelseslovgivningen, herunder i forhold til den registreredes rettigheder, konsekvensanalyser vedrørende databeskyttelse (relateret til Kundens brug af MOCH-Tjenester) og rapportering til og høring af tilsynsmyndigheder (i forbindelse med en konsekvensanalyse vedrørende databeskyttelse relateret til MOCH-Tjenesterne).
4.11 Hvis de Registrerede, kompetente myndigheder eller andre tredjeparter anmoder Leverandøren om oplysninger vedrørende Behandlingen af Kundens Personoplysninger, skal Leverandøren henvise en sådan anmodning til Kunden, medmindre andet kræves for at overholde Databeskyttelseslovgivningen, i hvilket tilfælde Leverandøren skal give Kunden forudgående meddelelse om et sådant lovkrav, medmindre den pågældende lov forbyder denne videregivelse af hensyn til vigtige offentlige interesser.

5. Underdatabehandlere
5.1 Kunden anerkender og accepterer, at Leverandøren i forbindelse med levering af Ydelser kan engagere Underdatabehandlere, som kan være datterselskaber af Leverandøren og/eller tredjeparter som nærmere beskrevet i Bilag C.
5.2 Kunden anerkender, at Leverandøren er givet en generel tilladelse til at antage nye Underdatabehandlere til at behandle Kundens Personoplysninger uden at indhente yderligere skriftlig specifik tilladelse fra Kunden. Dette er betinget af, at Leverandøren skriftligt underretter Kunden om enhver ny Underdatabehandlers identitet 30 dage forud for behandlingen af Kundens Personoplysninger.
5.3 Hvis Kunden ønsker at gøre indsigelse mod den relevante Underdatabehandler, skal Kunden give skriftlig meddelelse herom inden for ti (10) arbejdsdage fra modtagelsen af meddelelsen fra Leverandøren. Hvis Kunden ikke gør indsigelse, anses det som samtykke til at bruge den relevante Underdatabehandler.
5.4 Hvis Kunden gør indsigelse mod en ny Underdatabehandler, vil Leverandøren gøre en rimelig indsats for at stille en ændring i Tjenesterne til rådighed for Kunden eller anbefale en kommercielt rimelig ændring i Tjenesterne for at undgå behandling af Kundens Personoplysninger af den relevante nye Underdatabehandler. Hvis intet alternativ er muligt, har parterne ret til at opsige Kontrakten mellem dem.
5.5 Leverandørens meddelelse til Kunden om en ny Underdatabehandler skal indeholde et opdateret bilag C. Leverandøren skal holde Bilag C opdateret.
5.6 Leverandøren forbliver ansvarlig over for Kunden for opfyldelsen af Underdatabehandlernes forpligtelser.
5.7 Leverandøren skal i sin aftale med Underdatabehandleren indføje den Kunden som begunstiget tredjemand i tilfælde af Leverandørens konkurs, således at Kunden kan indtræde i Leverandørens rettigheder og gøre dem gældende over for Underdatabehandlere, som f.eks. gør Kunden i stand til at instruere Underdatabehandleren i at slette eller tilbagelevere personoplysningerne.

6. Overførsel til tredjelande eller internationale organisationer
6.1 I overensstemmelse med artikel 28(3)(a) i GDPR i Storbritannien og EU må Leverandøren ikke, og må ikke tillade nogen Underdatabehandler at, overføre Kundens Personoplysninger uden for EU/EØS eller Storbritannien (alt efter hvad der er relevant) andet end som angivet i denne Aftale. For at undgå tvivl giver Kunden hermed samtykke til overførsel og behandling af Personoplysningerne som specificeret i Bilag A, som det gælder.
6.2 Leverandøren anerkender, at der i overensstemmelse med GDPR i Storbritannien og EU skal være tilstrækkelig beskyttelse af Personoplysningerne efter enhver overførsel uden for Storbritannien eller EØS (enten direkte eller via en Underdatabehandlers videre overførsel), og at Leverandøren skal indgå en passende aftale med Kunden og/eller enhver Underdatabehandler for at regulere en sådan overførsel. Dette vil omfatte de gældende Standardkontraktbestemmelser, medmindre der findes en anden tilstrækkelig mekanisme for overførslen.

7. Brud på persondatasikkerheden
7.1 I tilfælde af brud på persondatasikkerheden, der involverer Kundens Personoplysninger, skal Leverandøren:
7.1.1 Underrette Kunden uden unødig forsinkelse (inden for maksimalt 48 timer) for at gøre det muligt for Kunden at overholde anmeldelsesforpligtelser i henhold til GDPR i Storbritannien og EU og for at yde rimelig assistance til Kunden, når det er nødvendigt at kommunikere et brud på persondatasikkerheden til en registreret person.
7.1.2 Gøre en rimelig indsats for at identificere årsagen til et sådant brud på persondatasikkerheden og tage de skridt, som Leverandøren anser for rimeligt gennemførlige for at afhjælpe årsagen til et sådant brud på persondatasikkerheden.
7.1.3 I henhold til betingelserne i denne DPA, yde rimelig assistance og samarbejde som anmodet af Kunden, for at fremme enhver korrektion eller afhjælpning af ethvert Brud på Persondatasikkerheden.

8. Fortegnelser over behandlingsaktiviteter
8.1 I det omfang det er relevant for Leverandørens behandling af personoplysninger for Kunden, skal Leverandøren opbevare alle fortegensler, der kræves i henhold til artikel 30, stk. 2, i Storbritannien og EU GDPR, og skal stille dem til rådighed for Kunden efter anmodning.

9. Revision, herunder inspektion 9.1 Leverandøren sørge for, at Leverandøren, og dennes Underdatabehandlere, efter anmodning stiller rimelige oplysninger til rådighed for Kunden, der er nødvendige for at påvise overholdelse af dennes databeskyttelsesforpligtelser i henhold til denne DPA, og skal tillade og bidrage til revisioner, herunder inspektion af fysiske lokationer, af Kunden eller en revisor, der er bemyndiget af Kunden i forbindelse med Behandling af Kundens Personoplysninger, forudsat at en sådan revisor ikke er en konkurrent til Leverandøren.

10. Ikrafttræden
10.1 Denne DPA er gældende så længe:
10.1.1 Kontrakten er gældende; eller
10.1.2 Leverandøren opbevarer enhver af Kundens Personoplysninger i sin besiddelse eller kontrol.
10.2 Enhver bestemmelse i denne DPA, der udtrykkeligt eller underforstået træder i kraft eller forbliver gældende ved eller efter opsigelse af Kontrakten for at beskytte Kundens Personoplysninger, forbliver gældende.

11. Sletning og returnering af oplysninger
11.1 Leverandøren skal, på Kundens foranledning og ved enhver sådan skriftlig anmodning fra Kunden, slette eller returnere alle Kundens Personoplysninger til Kunden efter afslutningen af leveringen af Tjenester relateret til Behandlingen og slette eksisterende kopier, medmindre gældende EØS- eller medlemsstatslovgivning kræver opbevaring af Kundens Personoplysninger. Hvis der ikke modtages en skriftlig anmodning fra Kunden, skal Leverandøren slette Kundens Personoplysninger 90 dage efter Kontraktens ophør.
11.2 På Kundens anmodning skal Leverandøren give en skriftlig meddelelse om de foranstaltninger, der er truffet vedrørende Kundens Personoplysninger.

12. Erstatning
12.1 Leverandøren accepterer at holde Kunden skadesløs for alle direkte omkostninger, krav, skader eller udgifter, som Kunden pådrager sig på grund af Leverandørens eller dennes medarbejderes, Underdatabehandleres, underleverandørers eller agenters manglende overholdelse af nogen af sine forpligtelser i henhold til denne DPA eller Databeskyttelseslovgivningen i overensstemmelse med artikel 82 i UK og EU GDPR.
12.2 Uanset det modsatte i denne DPA eller i Kontrakten (herunder, uden begrænsning, begge parters skadesløsholdelsesforpligtelser), vil ingen af parterne være ansvarlig for GDPR-bøder udstedt eller opkrævet i henhold til artikel 83 i GDPR mod den anden part af en regulerende myndighed eller et statsligt organ i forbindelse med en sådan anden parts overtrædelse af GDPR.
12.3 Med forbehold for de juridiske forpligtelser, der er beskrevet i punkt 12.1, og de begrænsninger, der er beskrevet i punkt 12.2, skal hver parts ansvar i henhold til denne DPA være underlagt de ansvarsfraskrivelser og -begrænsninger, der er beskrevet i Kontrakten. Enhver henvisning til en parts “ansvarsbegrænsning” i Kontrakten skal fortolkes som en parts og alle dennes datterselskabers og associerede selskabers samlede ansvar i henhold til aftalen og denne DPA.

Bilag A

Formål og detaljer vedrørende behandling af Personoplysninger
Genstand for behandling Detaljer Gælder for:
Formål Angiv alle formål, hvortil Personoplysningerne vil blive behandlet af Leverandøren Systemadgang Systemadministration Levering af systemindhold i henhold til moduler, der abonneres på. Se nedenfor: Alle Kunder
Politikker, Vidensvurderinger Kunder, der abonnerer på politikmoduler (PolicyLite, MetaEngage og MetaPolicy)
eLearning, andre medier Kunder, der abonnerer på Elearning-moduler (MetaLearning Fusion)
Privacy Surveys Kunder, der abonnerer på MetaPrivacy-modulet
Anmeldelser af hændelser Kunder, der abonnerer på MetaIncident-modulet
Simulerede phishing-kampagner Kunder, der abonnerer på Metaphish
SCORM overførsel til Customer LMS Kunder, der abonnerer på SCORM-overførsel
Typer af Personoplysninger Angiv de Personoplysninger, der vil blive behandlet af Leverandøren Fornavn, efternavn, e-mailadresse, IP-adresse, afdeling, undervisningsoversigt Alle Kunder
Active Directory Organisation Unit (OU) Kunder, der bruger Azure AD eller lokalt AD
LMS ID Kunder med abonnement på SCORM overfører
Kategorier af registrerede Angiv de kategorier af registrerede, hvis Personoplysninger vil blive behandlet af Leverandøren Medarbejdere hos kunder, entreprenører, leverandører, partnere og/eller associerede selskaber. Alle Kunder i overensstemmelse med de personoplysninger om de Registrerede, der leveres til Leverandøren. Kunden kan begrænse dette afhængigt af sin tilsigtede brug af Tjenesterne.
Behandlinger Angiv alle behandlingsaktiviteter, der skal udføres af Leverandøren Behandling og opbevaring af Kunders Personoplysninger for at oprette og vedligeholde autoriserede brugerkonti på platformen. Distribution af forskellige notifikationsmails initieret af MOCH-systemet. Alle Kunder
Distribution af simulerede phishing-e-mails specifikt initieret af Kunden via MOCH-platformen. Kunder, der abonnerer på MetaPhish-modulet
Opbevaring af Personoplysninger, hvor de indtastes af Kunden via MOCH-modulet. Kunder, der abonnerer på MetaPrivacy-modulet
At kommunikere med Customer LMS og evaluere licensantal Kunder, der abonnerer på SCORM-overførsel
Placering af behandlingsaktiviteter Angiv alle steder, hvor Personoplysningerne vil blive behandlet af Leverandøren Det Forenede Kongerige (United Kingdom) (MetaCompliance Group) Deutschland (MetaCompliance Group) Danmark (MetaCompliance-Group) Portugal (MetaCompliance Group) Irland (MetaCompliance Group, Microsoft Azure og Amazon Web Services) Holland (Microsoft Azure) Alle Kunder efter behov. Der henvises til bilag C for yderligere oplysninger.
Krav til opbevaring Hvor det er relevant, angiv opbevaringstiden for Kundens Personoplysninger, der er gemt af Leverandøren. Når et kundeabonnement er udløbet eller opsiges, opbevares alle tilknyttede personlige kundedata i 90 dage, før de endeligt slettes for at gendanne efter utilsigtet annullering af abonnementet. Alle Kunder

Bilag B

Sikkerhedsforanstaltninger

For at hjælpe Kunden med at overholde sine lovgivningsmæssige forpligtelser, herunder, men ikke begrænset til, sikkerhedsforanstaltninger og risikovurderinger vedrørende databeskyttelse, er Leverandøren forpligtet til at træffe passende tekniske og organisatoriske foranstaltninger for at beskytte Kundens Personoplysninger. Foranstaltningerne skal som minimum resultere i et sikkerhedsniveau, som er passende under hensyntagen til:

  1. eksisterende tekniske muligheder;
  2. omkostningerne ved gennemførelsen af foranstaltningerne;
  3. de særlige risici forbundet med behandlingen af Kunders Personoplysninger; og
  4. følsomheden af Kundens Personoplysninger, der behandles.

Leverandøren skal opretholde tilstrækkelig sikkerhed ved behandling af Kundens Personoplysninger. Leverandøren skal beskytte Kundens Personoplysninger mod ødelæggelse, ændring, ulovlig deling eller ulovlig adgang. Kundens Personoplysninger skal også beskyttes mod alle andre former for ulovlig behandling. Under hensyntagen til det aktuelle tekniske niveau og implementeringsomkostningerne og under hensyntagen til behandlingens art, omfang, kontekst og formål samt risikoen for varierende sandsynlighed og alvor for enkeltpersoners rettigheder og frihedsrettigheder, skal de tekniske og organisatoriske foranstaltninger, der skal implementeres af Leverandøren, efter omstændighederne omfatte:

  1. pseudonymisering og kryptering af Kundens Personoplysninger;
  2. evnen til at sikre løbende fortrolighed, integritet, tilgængelighed og modstandsdygtighed af systemer og Tjenester, der behandler Kundens Personoplysninger;
  3. evnen til at genoprette tilgængeligheden af og adgangen til Kundens Personoplysninger rettidigt i tilfælde af en fysisk eller teknisk hændelse; og
  4. en proces til regelmæssig testning, vurdering og evaluering af effektiviteten af tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerheden.

Ud over de tekniske og organisatoriske foranstaltninger, der er nævnt ovenfor, skal Leverandøren gennemføre følgende foranstaltninger:

  1. fysisk adgangsbeskyttelse, hvorved computerudstyr og flytbare data, der indeholder Kundens Personoplysninger i Leverandørens lokaler, skal være aflåst, når de ikke er under opsyn for at beskytte mod uautoriseret brug, påvirkning og tyveri.
  2. en proces til test af tilbagelæsning, efter at Kundens Personoplysninger er blevet gendannet fra sikkerhedskopier.
  3. autorisationskontrol, hvorved Leverandørens adgang til Kundens Personoplysninger styres gennem et teknisk system fra autorisationskontrol. Autorisation skal begrænses til dem, der har et arbejdsbetinget behov med at tilgå Kundens Personoplysninger. Bruger-id’er og adgangskoder skal være personlige og må ikke overdrages til andre. Der skal være procedurer for tildeling og fjernelse af autorisationer.
  4. føre fortegnelser over, hvem der har adgang til Kundens Personoplysninger.
  5. sikre kommunikation, hvor eksterne datakommunikationsforbindelser skal beskyttes ved hjælp af tekniske funktioner, der sikrer, at forbindelsen er autoriseret, samt kryptering af data i transit i kommunikationskanaler uden for systemer, der kontrolleres af Leverandøren.
  6. en proces til sikring af sikker destruktion af data, når faste eller flytbare lagringsmedier ikke længere skal bruges til deres formål.
  7. rutiner for indgåelse af fortrolighedsaftaler med Leverandører, der leverer reparation og service af udstyr, der bruges til at lagre Kundens Personoplysninger.
  8. rutiner for overvågning af den service, der udføres af Leverandører i Leverandørens lokaler. Lagringsmedier, der indeholder Kundens Personoplysninger, skal fjernes, hvis tilsyn ikke er muligt.

Bilag C

Godkendte Underdatabehandlere – Kunder kan vælge at ændre nedenstående ansøgning i forbindelse med onboarding via en bekræftelsesmail til MOCH A/S
Underdatabehandler Sted
Microsoft Azure (Hoster Tjenesterne i Skyen) Holland Dublin
Amazon Web Services (indgået Kontrakt med “AWS Europe”, som transaktions-e-mail-udbyder) Dublin
MetaCompliance Limited (yder teknisk kundesupport og kundesupport – Supporttjenester) United Kingdom
Forøg dine færdigheder GmbH en MetaCompliance Group-enhed (levering af supporttjenester til kunder) Germany
MetaCompliance Ireland Ltd, en MetaCompliance Group enity (levering af supporttjenester til kunder) Ireland
MetaCompliance Ireland Ltd Sucursal Portugal – (levering af supporttjenester til kunder) Portugal


Archived Data Processing Agreement, available here.