Parterna är överens om att detta dataskyddsavtal ("DPA") anger varje parts rättigheter och skyldigheter med avseende på behandling och säkerhet av kundens personuppgifter i samband med programvaran och tjänsterna som tillhandahålls av leverantören. DPA införlivas genom hänvisning i de kommersiella villkoren ("dekommersiella villkoren"). Parterna är också överens om att, såvida det inte finns ett separat DPA som undertecknats av parterna, detta DPA reglerar behandlingen av och säkerheten för kundens personuppgifter.
Bestämmelserna som beskrivs i villkoren för detta DPA gäller för leverantören som agerar som processor för kundens personuppgifter vid leverans av programvaran och tjänsterna ("ämnet"). DPA-villkoren ersätter alla motstridiga bestämmelser i MetaCompliance Groups sekretesspolicy när de hänför sig till ämnet. För tydlighetens skull, i enlighet med 2021 års standardavtalsklausuler som definieras nedan, när 2021 års standardavtalsklausuler är tillämpliga, har 2021 års standardavtalsklausuler företräde framför alla andra villkor i databehandlingsavtalet.
DATABEHANDLINGSAVTAL GÄLLER FRÅN 23 juni 2025
- Kunden är den som definieras i de Kommersiella Villkoren ("Kunden"); och
1.2 Leverantören är den som definieras i de kommersiella villkoren ("Leverantören").
- Kunden och Leverantören har ingått ett Avtal som innebär att Leverantören ska behandla Personuppgifter för Kundens räkning.
- Detta databehandlingsavtal ("DPA") anger de ytterligare villkor, krav och förutsättningar enligt vilka leverantören kommer att behandla personuppgifter när tjänster tillhandahålls enligt avtalet och kundens skyldigheter med avseende på sådana personuppgifter, liksom vissa andra personuppgifter som kunden kan få från leverantören enligt avtalet. Detta dataskyddsavtal innehåller de obligatoriska klausuler som krävs enligt artikel 28.3 i den allmänna dataskyddsförordningen ((EU) 2016/679 (och dataskyddslagarna 1988 till 2018, med ändringar) för avtal mellan personuppgiftsansvariga och personuppgiftsbiträden.
- Detta DPA omfattas av avtalsvillkoren och införlivas i avtalet. De termer som används i detta DPA skall ha de betydelser som anges i detta DPA. Termer med versaler som inte definieras på annat sätt i detta avtal ska ha den betydelse som anges i de kommersiella villkoren i avtalet.
- Bilagorna utgör en del av detta dataskyddsavtal och kommer att ha samma verkan som om de hade fastställts i sin helhet i detta dataskyddsavtal. Alla hänvisningar till detta dataskyddsavtal omfattar även bilagorna.
- I händelse av konflikt mellan någon bestämmelse i detta DPA och något annat villkor i avtalet, med avseende på föremålet för detta DPA, ska bestämmelserna i detta DPA ha företräde.
Följande termer i detta DPA ska ha följande innebörd:
| "Lagar om dataskydd" | betyder alla tillämpliga lagar och förordningar som rör behandlingen av personuppgifter när som helst under detta DPA:s giltighetstid, vilket kan inkludera, beroende på vad som är tillämpligt: (1) den allmänna dataskyddsförordningen EU 2016/679 ("GDPR"); (2) dataskyddslagarna 1988 till 2018, med ändringar; (3) den brittiska dataskyddslagen 2018 (DPA2018); (4) den brittiska GDPR, enligt definitionen i DPA2018; (5) förordningarna om integritet och elektronisk kommunikation (EG-direktiv) 2003; och/eller (6) ePrivacy-direktivet 2002/58/EG som implementerats av EU:s medlemsstater, och all efterföljande lagstiftning och alla andra förordningar, guider och uppförandekoder som rör dataskydd och integritet, i varje enskilt fall såsom de ändras, uppdateras eller ersätts från tid till annan. |
| "Personuppgifter om kunden" | avser Personuppgifter som behandlas av Leverantören enbart i syfte att tillhandahålla Tjänsterna och enligt Kundens uttryckliga anvisningar, genom att ingå Avtalet och/eller genom att konfigurera och interagera med programvara som görs tillgänglig som en del av Tjänsterna. |
| "Standardavtalsklausuler" | betyder Europeiska kommissionens standardavtalsklausuler för överföring av personuppgifter från Europeiska unionen till personuppgiftsbiträden etablerade i tredje land (överföring från personuppgiftsansvarig till personuppgiftsbiträde), enligt bilagan till kommissionens beslut 2021/914/EU av den 4 juni 2021. |
| "Beslut om tillräcklighet" | Europeiska kommissionens beslut om adekvat skyddsnivå med avseende på överföringen av personuppgifter till Förenade kungariket, antaget den 28 juni 2021. |
| "Underprocessor" | avser en tredjepartsunderleverantör som anlitas av Leverantören och som, som en del av underleverantörens roll i tillhandahållandet av Tjänsterna, kommer att Behandla Personuppgifter för Kundens räkning. |
| "Personuppgiftsansvarig", "Registrerad", "Personuppgiftsbiträde", "Behandling", "Personuppgifter", "Brott mot personuppgifter". | ska ha de betydelser som anges i GDPR. |
4. Behandling av personuppgifter
4.1 Parterna är medvetna om och överens om att leverantören är personuppgiftsbiträde och kunden är personuppgiftsansvarig i enlighet med dataskyddslagarna och med avseende på behandling av kundens personuppgifter för tillhandahållande av tjänster.
4.2 Kunden garanterar och intygar följande: (i) överföringen av kundens personuppgifter till leverantören i alla avseenden överensstämmer med dataskyddslagarna (inklusive, utan begränsning, när det gäller insamling och användning); och (ii) rättvis behandling och alla andra lämpliga meddelanden har lämnats till de registrerade personerna i kundens personuppgifter (och alla nödvändiga samtycken från sådana registrerade personer har erhållits och alltid upprätthållits och kan visas för leverantören på begäran) i den utsträckning som krävs enligt dataskyddslagarna i samband med alla behandlingsaktiviteter som kan utföras av leverantören och dess underbiträden i enlighet med detta DPA och avtalet.
4.3 Vid tillhandahållandet av Tjänsterna ska Leverantören behandla Kundens Personuppgifter: (i) i den utsträckning som behövs för att tillhandahålla Tjänsterna; (ii) i enlighet med skriftliga instruktioner från Kunden; och (iii) i enlighet med kraven i Dataskyddslagarna.
4.4 Kunden ska, i sin användning av tjänsterna, behandla personuppgifter i enlighet med kraven i dataskyddslagarna. Kunden ska se till att alla instruktioner till Leverantören i samband med Behandlingen av Kundens personuppgifter är förenliga med dataskyddslagarna.
4.5 När det gäller Kundens Personuppgifter beskrivs Kundens instruktioner till Leverantören avseende Behandlingsobjektet och Behandlingens varaktighet, Behandlingens art och syfte, typerna av Personuppgifter och kategorierna av Registrerade i Bilaga A. För att undvika tvivel bekräftar och godkänner parterna att med förbehåll för klausul 5 och utöver de instruktioner för behandling som anges i detta DPA och bilaga A, kan kunden också utfärda instruktioner för behandling av kundens personuppgifter genom tjänsterna genom sin direkta interaktion med och konfiguration av tjänsterna.
4.6 Leverantören ska omedelbart meddela Kunden om det enligt Leverantörens rimliga uppfattning är troligt att någon instruktion från Kunden bryter mot dataskyddslagarna.
4.7 Beträffande ämnet ska leverantören inte behandla, överföra, modifiera, ändra eller ändra kundens personuppgifter eller avslöja eller tillåta att kundens personuppgifter avslöjas för någon tredje part utanför de instruktioner som anges i detta DPA.
4.8 Leverantörens personal som deltar i behandlingen av kundens personuppgifter ska informeras om kundens personuppgifter konfidentiella karaktär och ska få lämplig utbildning om sitt ansvar. Sådan personal ska omfattas av lämpliga sekretessåtaganden.
4.9 Med hänsyn till karaktären av behandlingen av personuppgifter i de tillhandahållna tjänsterna ska leverantören, i enlighet med artikel 32 i GDPR, upprätthålla lämpliga tekniska och organisatoriska åtgärder för att säkerställa säkerheten för behandlingen, inklusive skydd mot obehörig eller olaglig behandling och mot oavsiktlig eller olaglig förstörelse, förlust eller ändring eller skada, obehörigt utlämnande av eller obehörig åtkomst till kundens personuppgifter. Parterna är medvetna om och överens om att de säkerhetsåtgärder som anges i detta DPA och mer specifikt i bilaga B utgör lämpliga tekniska och organisatoriska säkerhetsåtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken.
4.10 Leverantören ska hjälpa Kunden genom lämpliga tekniska och organisatoriska åtgärder, i den mån det är möjligt och med hänsyn till arten av behandlingen av Kundens personuppgifter, att uppfylla Kundens skyldigheter att följa dataskyddslagarna, inklusive i förhållande till den registrerades rättigheter, konsekvensbedömningar av dataskydd (i samband med Kundens användning av MetaCompliance-tjänsterna) och rapportering till och samråd med tillsynsmyndigheter (i samband med en konsekvensbedömning av dataskydd i samband med MetaCompliance-tjänsterna).
4.11 Om Registrerade, behöriga myndigheter eller annan tredje part begär information från Leverantören om Behandlingen av Kundens Personuppgifter, ska Leverantören hänvisa sådan begäran till Kunden, såvida inte annat krävs för att följa Dataskyddslagarna, i vilket fall Leverantören i förväg ska underrätta Kunden om sådant lagkrav, såvida inte lagen förbjuder detta utlämnande av viktiga skäl av allmänt intresse.
4.12 Kunden bekräftar att Kunden kommer att erhålla Personuppgifter från Leverantören under och i samband med Avtalet (inklusive, men inte begränsat till, personal som anlitas av Leverantören och dess underleverantörer och leverantörer, samt registrerade som kan identifieras genom bilder och röstinspelningar som är tillgängliga som standardalternativ genom vissa av Leverantörens tjänster). Kunden bekräftar att denne kommer att Behandla sådana Personuppgifter som en oberoende Personuppgiftsansvarig och i enlighet med Dataskyddslagarna.
5 Underbiträden
5.1 Kunden bekräftar och samtycker till att leverantören, i samband med tillhandahållandet av tjänsterna, kan anlita underbiträden som kan vara dotterbolag till leverantören och/eller tredje parter enligt vad som närmare beskrivs i bilaga A och bilaga C. Leverantörens anlitande av sådana parter ska vara föremål för ett skriftligt (inklusive i elektronisk form) avtal som överensstämmer med villkoren i detta DPA, i förhållande till den nödvändiga behandlingen av personuppgifter.
5.2 Kunden bekräftar att Leverantören ges generell behörighet att anlita de Underbiträden som anges i Bilaga C och lägga till (eller ta bort) nya Underbiträden utan att inhämta något ytterligare skriftligt, specifikt tillstånd från Kunden. Detta gäller under förutsättning att Personuppgiftsbiträdet skriftligen underrättar Kunden om varje nytt Underbiträdes identitet, 30 dagar före behandlingen av Kundens Personuppgifter ("Meddelandeperioden").
5.3 Om Kunden vill invända mot det aktuella Underbiträdet ska Kunden skriftligen meddela detta inom Uppsägningstiden. Sådant meddelande ska innehålla uppgifter om de påstådda säkerhetsriskerna eller riskerna förknippade med det nya Underbiträdet. Om kunden inte invänder på sådana grunder och inom uppsägningstiden ska detta anses utgöra ett samtycke till att använda det aktuella Underbiträdet.
5.4 Om kunden invänder mot ett nytt underbiträde ska leverantören vidta rimliga ansträngningar för att ta itu med problemen, göra en ändring av tjänsterna tillgänglig för kunden eller rekommendera en kommersiellt rimlig ändring av tjänsterna för att undvika att kundens personuppgifter behandlas av det relevanta nya underbiträdet. Om inget alternativ är möjligt ska vardera parten ha rätt att säga upp avtalet mellan dem med omedelbar verkan och utan ansvar eller krav på återbetalning av några belopp från leverantören.
5.5 Leverantörens anmälan av nytt Underbiträde till Kunden ska innefatta tillhandahållande av en uppdaterad Bilaga C. Leverantören ska hålla Bilaga C uppdaterad på följande webbsida.
5.6 Leverantören ska förbli ansvarig gentemot kunden för att underförädlarnas skyldigheter uppfylls.
6 Överföring av data
6.1 I enlighet med artikel 28(3)(a) i GDPR får leverantören inte, och får inte tillåta något underbiträde att, överföra kundens personuppgifter utanför EES annat än vad som anges i detta avtal. För att undvika tvivel samtycker Kunden härmed till överföring och behandling av Personuppgifter enligt vad som anges i Bilaga A och C, i tillämpliga delar.
6.2 Leverantören är medveten om att det i enlighet med GDPR måste finnas ett adekvat skydd för Personuppgifterna före varje överföring utanför EES (antingen direkt eller via ett Underbiträdes vidareöverföring) och ska ingå ett lämpligt avtal med Kunden och/eller ett Underbiträde för att reglera en sådan överföring. Detta kommer att omfatta tillämpliga standardavtalsklausuler eller vara beroende av beslutet om adekvat skyddsnivå, såvida det inte finns någon annan adekvat eller giltig mekanism för överföringen.
7 Personuppgiftsincident
7.1 I händelse av Personuppgiftsbrott som involverar Kundens Personuppgifter ska Leverantören:
7.1.1 Meddela Kunden utan onödigt dröjsmål (inom högst 48 timmar) för att göra det möjligt för Kunden att uppfylla rapporteringsskyldigheterna enligt GDPR och för att ge Kunden rimlig hjälp när Kunden måste meddela en Registrerad om en Personuppgiftsincident.
7.1.2 göra rimliga ansträngningar för att identifiera orsaken till personuppgiftsbrottet och vidta de åtgärder som leverantören anser vara rimligt genomförbara för att åtgärda orsaken till personuppgiftsbrottet.
7.1.3 Med förbehåll för villkoren i detta dataskyddsavtal, tillhandahålla rimlig hjälp och samarbete på begäran av kunden för att främja korrigering eller åtgärdande av en personuppgiftsincident.
8 Register över behandling
8.1 I den utsträckning det är tillämpligt på Leverantörens Behandling för Kundens räkning ska Leverantören föra alla register som krävs enligt artikel 30(2) GDPR och göra dem tillgängliga för Kunden på begäran.
9. Rättigheter till revision
9.1 Leverantören ska, och ska se till att dess Underbiträden, på begäran tillhandahåller Kunden rimlig information som är nödvändig för att visa att Leverantören uppfyller sina dataskyddsskyldigheter enligt detta DPA och ska tillåta och bidra till revisioner, inklusive inspektion i sina lokaler, av Kunden eller en revisor som bemyndigats av Kunden i förhållande till Behandlingen av Kundens Personuppgifter, förutsatt att en sådan revisor inte är en konkurrent till Leverantören.
10 Termin
10.1 Detta dataskyddsavtal ska förbli i full kraft så länge som:
10.1.1 Kontraktet fortsätter att gälla, eller
10.1.2 Leverantören behåller alla personuppgifter om kunden som han har i sin ägo eller kontroll.
10.2 Alla bestämmelser i detta dataskyddsavtal som uttryckligen eller underförstått ska träda i kraft eller fortsätta att gälla vid eller efter avtalets upphörande för att skydda kundens personuppgifter kommer att fortsätta att gälla fullt ut.
11 Återlämnande och förstöring av data
11.1 Om inte Kundens Personuppgifter redan har raderats i enlighet med villkoren i Avtalet ska Leverantören, enligt Kundens val och efter skriftlig begäran från Kunden, radera eller återlämna alla Kundens Personuppgifter till Kunden efter det att tillhandahållandet av Tjänsterna avseende Behandlingen har upphört, samt radera befintliga kopior, såvida inte tillämplig lagstiftning i EES eller medlemsstat kräver lagring av Kundens Personuppgifter. Om ingen skriftlig begäran erhålls från Kunden ska Leverantören radera Kundens Personuppgifter 90 dagar efter det att Avtalet har upphört att gälla.
11.2 På begäran av Kunden ska Leverantören tillhandahålla ett skriftligt meddelande om de åtgärder som vidtagits avseende Kundens personuppgifter.
12 Skadeståndsansvar
12.1 I den utsträckning som krävs enligt artikel 82 i GDPR och med förbehåll för klausul 12.2 i detta DPA, samtycker leverantören till att hålla kunden skadeslös för alla direkta kostnader, anspråk, skador eller utgifter som kunden ådrar sig på grund av att leverantören eller dess anställda, underbiträden, underleverantörer eller ombud inte uppfyller någon av sina skyldigheter enligt detta DPA eller dataskyddslagarna.
12.2 Oaktat vad som sägs i detta DPA eller i Avtalet (inklusive, utan begränsning, någondera partens ersättningsskyldigheter), ska ingen av parterna vara ansvarig för eventuella böter som utfärdas eller tas ut enligt dataskyddslagarna mot den andra parten av en tillsynsmyndighet eller ett statligt organ i samband med den andra partens överträdelse av dataskyddslagarna.
12.3 Kunden samtycker till att hålla leverantören skadeslös för alla direkta kostnader, anspråk, skadestånd eller utgifter som leverantören ådragit sig eller mottagit på grund av att kunden underlåtit att uppfylla någon av sina skyldigheter enligt dataskyddslagarna eller detta dataskyddsavtal (inklusive, utan begränsning, brott mot något krav enligt punkt 4.2 i detta dataskyddsavtal).
12.4 I den utsträckning det är tillåtet enligt dataskyddslagar och med förbehåll för de undantag som anges i punkt 12.2 i detta DPA, ska varje parts totala ansvar enligt eller i samband med detta DPA, oavsett orsak, omfattas av de undantag och ansvarsbegränsningar som anges i avtalet.
Bilaga A
Ändamål och detaljer för behandling av personuppgifter
| Föremålet för bearbetningen | Detaljer | Gäller för: |
| Syfte | Systemåtkomst Systemadministration Leverans av systeminnehåll enligt de moduler som abonneras på. Se nedan: | Alla kunder |
| Politiker, kunskapsbedömningar | Kunder som prenumererar på Policy-moduler (PolicyLite, MetaEngage och MetaPolicy). | |
| eLearning, andra medier | Kunder som prenumererar på moduler för elearning (MetaLearning Fusion) | |
| Undersökningar om personlig integritet | Kunder som prenumererar på MetaPrivacy-modulen | |
| Recensioner av incidenter | Kunder som prenumererar på MetaIncident-modulen | |
| Simulerade nätfiskekampanjer | Kunder som prenumererar på MetaPhish | |
| SCORM-överföring till kundens LMS | Kunder som prenumererar på SCORM-överföring | |
| Förvandla statiska PDF-dokument till en effektiv utbildningsupplevelse | Kunder som prenumererar på Innehåll till kurs | |
| Omvandla kundmanus till en kort AI-genererad video | Kunder som prenumererar på Virtual Presenter Video | |
| Typer av personuppgifter | Förnamn, Efternamn, E-postadress, IP-adress, Avdelning, Utbildningspost | Alla kunder |
| Organisationsenhet (OU) i Active Directory | Kunder som använder Azure AD eller AD på plats | |
| LMS-ID | Kunder med abonnemang på SCORM-överföring | |
| Personuppgifter som Kunden har inkluderat i Kunddata. | Alla kunder | |
| Användning av AI | AI-genererad skapande av Phish-e-post | Kunder med Premium Plus Security Awareness-paket (inklusive Multi-Language-erbjudande) som använder Phish Generator. |
| Skapare av AI-kurser | Kunder som prenumererar på tilläggsmodulen Content to Course. | |
| AI-genererade personliga videor | Kunder som har utnyttjat Virtual Presenter Add-on | |
Kategorier av registrerade personer
| Kundens anställda, entreprenörer, leverantörer, partners och/eller dotterbolag. | Alla kunder i enlighet med de uppgifter som lämnats till leverantören. Kunden kan begränsa detta beroende på deras avsedda användning av Tjänsterna. |
Bearbetning
| Behandling och lagring av kundens personuppgifter för att skapa och upprätthålla auktoriserade användarkonton på MyCompliance-plattformen. Distribution av olika e-postmeddelanden som initierats av MetaCompliance MyCompliance-systemet. | Alla kunder |
| Distribution av simulerade phishing-e-postmeddelanden som specificerats av kunden via MetaCompliance MyCompliance-plattformen. | Kunder som prenumererar på MetaPhish-modulen | |
| Lagring av personuppgifter där kunden anger dem via MetaCompliance MetaPrivacy-modulen. | Kunder som prenumererar på MetaPrivacy-modulen | |
| Kommunicera med kundens LMS och utvärdera antalet licenser | Kunder som prenumererar på SCORM-överföring | |
| Att utnyttja AI-kapacitet | Kunder som prenumererar på Phish Generator, Content to Course och Virtual Presenter Software. | |
| Plats för bearbetningen | Behandlingsställen inom MetaCompliance Group: Storbritannien Danmark Portugal Tyskland Irland | Alla kunder. |
| Microsoft Azure Standardplatser för datacenter (DC): Kunder i Storbritannien: DC i Storbritannien. Kanadensiska kunder: DC i Kanada. Tyska kunder: DC i Tyskland Europeiska kunder utanför Tyskland: DC i Nederländerna och Irland | Alla kunder. Det finns standardplatser som beskrivs häri, men Kunden kan diktera ändringar på före den första hyresgästens installation i onboardingfasen. Om Kunden vill ändra hyresgästernas platser mitt i kontraktet ska de kontakta supportteamet för hjälp. | |
Amazon Web Services datacenter (DC)-platser: Kunder i Storbritannien: DC i Storbritannien. | Alla kunder. Det finns standardplatser som beskrivs häri, men Kunden kan diktera ändringar på före den första hyresgästens installation i onboardingfasen. Om Kunden vill ändra hyresgästernas platser mitt i kontraktet ska de kontakta supportteamet för hjälp. | |
| Behandlingsplatsen vid användning av AI-funktionalitet beskrivs i bilaga C. | Gäller för kunder som prenumererar på Phish Generator, Content to Course och Virtual Presenter Video. | |
Krav på lagring
| Specifika tidsfrister för radering förklaras i dokumentet "AI at MetaCompliance" som är relevant för de tjänster som begärs av kunden. | Kunder som har begärt Tjänster som innehåller eller använder AI |
| När ett kundabonnemang har löpt ut eller avslutats sparas alla tillhörande kundpersonuppgifter, som inte tidigare har raderats, i 90 dagar innan de faktiskt raderas för att kunna återhämta sig från oavsiktlig uppsägning av abonnemang. | Alla kunder |
Bilaga B
Säkerhetsarrangemang Leverantören är skyldig att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda kundens personuppgifter som behandlas för att hjälpa kunden att uppfylla sina rättsliga skyldigheter, inklusive men inte begränsat till säkerhetsåtgärder och riskbedömningar för personlig integritet, för att hjälpa kunden att uppfylla sina rättsliga skyldigheter. Åtgärderna ska åtminstone resultera i en säkerhetsnivå som är lämplig med hänsyn till följande:- befintliga tekniska möjligheter;
- Kostnaderna för att genomföra åtgärderna;
- de särskilda risker som är förknippade med behandlingen av kundens personuppgifter, och
- känsligheten hos de kundpersonuppgifter som behandlas.
- pseudonymisering och kryptering av Kundens Personuppgifter;
- förmågan att säkerställa fortlöpande sekretess, integritet, tillgänglighet och motståndskraft hos system och tjänster som behandlar kunders personuppgifter;
- förmågan att återställa tillgängligheten och åtkomsten till kundens personuppgifter inom rimlig tid i händelse av en fysisk eller teknisk incident, och
- En process för att regelbundet testa, bedöma och utvärdera effektiviteten hos tekniska och organisatoriska åtgärder för att säkerställa säkerheten vid behandlingen.
- fysiskt åtkomstskydd varigenom datorutrustning och flyttbara data som innehåller Kundens Personuppgifter i Leverantörens lokaler ska vara inlåsta när de inte är under uppsikt för att skydda mot obehörig användning, påverkan och stöld.
- en process för att testa återläsning efter att kundens personuppgifter har återställts från säkerhetskopior.
- behörighetskontroll varvid Leverantörens tillgång till Kundens Personuppgifter hanteras genom ett tekniskt system från behörighetskontroll. Behörigheten ska vara begränsad till dem som behöver Kundens Personuppgifter för sitt arbete. Användar-ID och lösenord ska vara personliga och får inte överlåtas till någon annan. Det ska finnas rutiner för tilldelning och borttagande av behörigheter.
- föra register över vem som har tillgång till kundens personuppgifter.
- säker kommunikation där externa datakommunikationsförbindelser ska skyddas med hjälp av tekniska funktioner som säkerställer att förbindelsen är auktoriserad samt innehållskryptering för data som överförs i kommunikationskanaler utanför system som kontrolleras av leverantören.
- En process för att säkerställa säker förstöring av data när fasta eller flyttbara lagringsmedier inte längre ska användas för sitt ändamål.
- rutiner för att ingå sekretessavtal med leverantörer som tillhandahåller reparation och service av utrustning som används för att lagra Kundens Personuppgifter.
- rutiner för tillsyn av den tjänst som utförs av leverantörer i Leverantörens lokaler. Lagringsmedia som innehåller Kundens Personuppgifter skall avlägsnas om tillsyn inte är möjlig.
- Underbiträden som krävs för leverans av alla Tjänster:
| Underprocessor | Syfte | Plats | Underprocessorer |
| Microsoft Azure (kontrakterad via Microsoft Operations Ireland Ltd) | Värdar tjänsterna i molnet | Microsoft Azure Standard datacenter (DC) platser: Storbritannien Kunder: DC i Storbritannien Kanadensiska kunder: DC i Kanada. Tyska kunder: DC i Tyskland Europeiska kunder utanför Tyskland: DC i Nederländerna och Irland | Ytterligare underbehandlare finns här |
| Amazon Web Services (kontrakterad med "AWS Europe") | Leverantör av transaktionsbaserad e-post | Amazon Web Services datacenter (DC)-platser: Förenade kungariket Kunder: DC i Storbritannien Kanadensiska kunder: DC i Kanada. Tyska kunder: DC i Tyskland Europeiska kunder utanför Tyskland: DC i Irland | Ytterligare underbehandlare finns här |
| MetaCompliance Group-enheter (MetaCompliance Limited, MetaCompliance GmbH, Moch A/S, Metacompliance Ireland Ltd, MetaCompliance Ireland Ltd Sucursal Portugal | Kundkontotjänster och supporttjänster | Förenade kungariket Tyskland Danmark Irland Portugal (enligt vad som är tillämpligt och i enlighet med varje enhets säte) | Alla kunder |
- YTTERLIGARE BEHANDLING OCH UNDERBEHANDLARE FÖR ANVÄNDNING AV INNEHÅLL TILL KURS
| Metacompliance DC / Region | Hem / Azure DC-plats | Utplacering | Personuppgifter som behandlas | Kvarhållande |
| IRE | Västeuropa (NL) | Data Zone (EU) | Förutom personuppgifter som anges av kunder (t.ex. som svar på en uppmaning eller personuppgifter som ingår i det innehåll som tillhandahålls för att skapa kursen) kommer inga kunders personuppgifter att behandlas av detta underbiträde. | Inga uppmaningar eller generationer lagras i modellen. Dessutom används inte uppmaningar och generationer för att utbilda, omutbilda eller förbättra basmodellerna. |
| DACH | Tyskland Västra Central | Data Zone (EU) | Enligt ovan. | Enligt ovan. |
| NL | Västeuropa (NL) | Data Zone (EU) | Enligt ovan. | Enligt ovan. |
| CAN | Östra Kanada | Standard (östra Kanada) | Enligt ovan. | Enligt ovan. |
| STORBRITANNIEN | Storbritannien Syd | Standard (södra Storbritannien) | Enligt ovan. | Enligt ovan. |
| USA | Norra centrala USA | Standard (norra centrala USA) | Enligt ovan. | Enligt ovan. |
| Metacompliance DC / Region | Hem / Azure DC-plats | Bearbetning | Personuppgifter som behandlas | Förvaring (temp 24 timmar) |
| IRE | Nordeuropa (Ire) | Nordeuropa (Ire) | Utöver de personuppgifter som ingår i det innehåll som tillhandahålls för att skapa kursen kommer inga kundpersonuppgifter att behandlas av detta underbiträde. | Nordeuropa (Ire) |
| DACH | Tyskland Västra Central | Tyskland Västra Central | Enligt ovan. | Tyskland Västra Central |
| NL | Västeuropa (NL) | Västeuropa (NL) | Enligt ovan. | Västeuropa (NL) |
| CAN | Kanada Central | Kanada Central | Enligt ovan. | Kanada Central |
| STORBRITANNIEN | Storbritannien Syd | Storbritannien Syd | Enligt ovan. | Storbritannien Syd |
| USA | Norra centrala USA | Norra centrala USA | Enligt ovan. | Norra centrala USA |
- YTTERLIGARE BEARBETNING OCH UNDERPROCESSORER FÖR ANVÄNDNING AV PHISH-GENERATOR
| Underprocessorer | Personuppgifter som behandlas | Region | Bevarande/förvaring |
| Tjänsten: ChattGPT | Förutom personuppgifter som anges av kunder (t.ex. som svar på en uppmaning eller personuppgifter som ingår i det innehåll som tillhandahålls för att skapa kursen) kommer inga kunders personuppgifter att behandlas av detta underbiträde. | Utplacerad: Västeuropa Bearbetning: Global Standard (alla regioner) | Inga uppmaningar eller generationer lagras i modellen. Dessutom används inte uppmaningar och generationer för att utbilda, omutbilda eller förbättra basmodellerna. |
| Service: Inbäddning av text | Enligt ovan. | Enligt ovan. | Enligt ovan. |
- YTTERLIGARE BEHANDLING OCH UNDERBEHANDLARE FÖR ANVÄNDNING AV VIRTUELL PRESENTATÖR
| Underprocessor | Personuppgifter som behandlas | Region | Bevarande/förvaring |
| Colossyan Inc. | Fritext som innehåller personuppgifter (om sådana finns) som tillhandahålls i kundmaterial genom skript eller annat innehåll. Kunden bekräftar att inga känsliga uppgifter kommer att överföras till Personuppgiftsbiträdet. | Bearbetning i USA, Storbritannien och Ungern (dessa är Colossyan och Colossyans dotterbolag). Se Colossyans underbehandlare som beskrivs nedan | 24 timmar. Hård radering inom 48 timmar. |
- är INTE tillgängliga för andra kunder.
- är INTE tillgängliga för Azure OpenAI.
- används INTE för att förbättra Azure OpenAI-modeller.
- används INTE för att träna, omskola eller förbättra Azure OpenAI Service Foundation-modeller.
- används INTE för att förbättra produkter eller tjänster från Microsoft eller tredje part utan ditt tillstånd eller dina instruktioner.