Introduktion
Parterna är överens om att detta dataskyddsavtal ("DPA") anger varje parts rättigheter och skyldigheter med avseende på behandling och säkerhet för kundens personuppgifter i samband med programvaran och tjänsterna som tillhandahålls av MetaCompliance Ireland Ltd. DPA införlivas genom hänvisning till de kommersiella villkoren ( "kommersiella villkor "). Parterna är också överens om att, såvida inte en separat DPA undertecknad av parterna finns, reglerar denna DPA behandlingen och säkerheten för kundens personuppgifter.
Bestämmelserna i DPA-villkoren ersätter alla motstridiga bestämmelser i MetaCompliances sekretesspolicy som annars kan gälla för behandling av kundens personuppgifter. För tydlighetens skull, i enlighet med 2021 års standardavtalsklausuler som definieras nedan, när 2021 års standardavtalsklausuler är tillämpliga, har 2021 års standardavtalsklausuler företräde framför alla andra villkor i databehandlingsavtalet.
DATABEHANDLINGSAVTAL SOM GÄLLER FRÅN DEN 22 mars 2024
1. Parter
1.1 Kunden är enligt definitionen i de kommersiella villkoren ("Kunden") och
1.2 MetaCompliance Ireland Limited som införlivats och registrerats i Republiken Irland med företagsnummer 640228 vars säte ligger på Unit 21, Block 1, Clonshaugh Business and Technology Park, Dublin 17, D17 YY31 ("Leverantören").
2. Bakgrund
2.1 Kunden och Leverantören har ingått ett avtal som kan kräva att leverantören behandlar personuppgifter på uppdrag av kunden.
2.2 Detta personuppgiftsbiträdesavtal ("PUB") anger de ytterligare villkor, krav och förutsättningar enligt vilka Leverantören ska behandla Personuppgifter vid tillhandahållande av Tjänster enligt Avtalet. Detta personuppgiftsbiträdesavtal innehåller de obligatoriska klausuler som krävs enligt artikel 28.3 i den allmänna dataskyddsförordningen ((EU) 2016/679 (och dataskyddslagarna 1988 till 2018, med ändringar) för avtal mellan registeransvariga och registerförare.
2.3 Detta personuppgiftsbiträdesavtal är föremål för villkoren i avtalet och är införlivat i avtalet. De termer som används i denna DPA ska ha de betydelser som anges i denna DPA. Begrepp med stor bokstav som inte på annat sätt definieras häri ska ha den betydelse som anges i de kommersiella villkoren i avtalet.
2.4 Bilagorna utgör en del av detta DPA och ska ha verkan som om de anges i sin helhet i detta DPA. Varje hänvisning till detta DPA inkluderar bilagorna.
2.5 I händelse av konflikt mellan någon bestämmelse i detta DPA och något annat villkor i kontraktet, med avseende på föremålet för detta DPA, ska bestämmelserna i detta DPA ha företräde.
3. Definitioner
Följande termer i detta DPA ska ha följande innebörd:
| "Lagar om dataskydd" | avser alla tillämpliga lagar och förordningar som rör behandlingen av personuppgifter vid någon tidpunkt under denna DPA, inklusive (1) den allmänna dataskyddsförordningen (GDPR, EU 2016/679); (2) dataskyddslagarna 1988 till 2018, med ändringar; (3) direktivet om integritet och elektronisk kommunikation 2002/58/EG som implementerats av EU:s medlemsstater, och all efterföljande lagstiftning och andra föreskrifter, guider och uppförandekoder som rör dataskydd och integritet, i varje fall som ändras, uppdateras eller byts ut från tid till annan. |
| "Personuppgifter om kunden" | avser personuppgifter som behandlas av MetaCompliance enbart för att tillhandahålla tjänster och enligt kundens anvisningar. |
| "Standardavtalsklausuler" | betyder Europeiska kommissionens standardavtalsklausuler för överföring av personuppgifter från Europeiska unionen till personuppgiftsbiträden som är etablerade i tredjeländer (överföringar mellan personuppgiftsansvariga), enligt bilagan till kommissionens beslut 2021/914/EU av den4 juni 2021. |
| "Beslut om tillräcklighet" | Europeiska kommissionens beslut om adekvat skyddsnivå med avseende på överföringen av personuppgifter till Förenade kungariket, antaget den 28 juni 2021. |
| "Underprocessor" | avser en tredjepartsunderleverantör som anlitas av leverantören och som, som en del av underleverantörens roll att leverera tjänsterna, kommer att behandla personuppgifter för kundens räkning. |
| "Personuppgiftsansvarig", "Registrerad", "Personuppgiftsbiträde", "Behandling", "Personuppgifter", "Brott mot personuppgifter". | ska ha de betydelser som anges i GDPR. |
4. Behandling av personuppgifter
4.1 Parterna bekräftar och är överens om att leverantören är personuppgiftsbiträde och kunden är personuppgiftsansvarig, i enlighet med dataskyddslagarna och med avseende på behandlingen av kundens personuppgifter.
4.2 Kunden garanterar och intygar följande: (i) överföringen av Kundens Personuppgifter till Leverantören i alla avseenden överensstämmer med Dataskyddslagarna (inklusive utan begränsning vad gäller insamling och användning); och (ii) rättvis behandling och alla andra lämpliga meddelanden har lämnats till de Registrerade för Kundens Personuppgifter (och alla nödvändiga samtycken från sådana Registrerade erhållits och vid varje tidpunkt upprätthållits) i den utsträckning som krävs av Dataskyddslagarna i samband med alla behandlingsaktiviteter som kan utföras av Leverantören och dess Underbiträden i enlighet med detta Avtal;
4.3 Leverantören åtar sig att behandla Kundens Personuppgifter endast: (i) om det behövs för att tillhandahålla Tjänsterna; (ii) i enlighet med skriftliga instruktioner från Kunden; och (iii) i enlighet med kraven i Dataskyddslagarna.
4.4 Kunden ska, i sin användning av Tjänsterna, Behandla Personuppgifter i enlighet med kraven i Dataskyddslagarna. Kunden ska säkerställa att alla instruktioner till Leverantören i förhållande till Behandlingen av Kundens Personuppgifter överensstämmer med Dataskyddslagarna.
4.5 Kundens instruktioner till Leverantören avseende ämnet för och varaktigheten av Behandlingen, arten och syftet med Behandlingen, typerna av Personuppgifter och kategorier av Registrerade beskrivs i Bilaga A. För att undvika tvivel bekräftar och godkänner parterna att, med förbehåll för punkt 5, de instruktioner för Behandling som anges i detta Dataskyddsavtal och Bilaga A utgör den fullständiga uppsättningen instruktioner från Kunden till Leverantören som de gäller.
4.6 Leverantören ska omedelbart meddela Kunden om, enligt Leverantörens rimliga uppfattning, någon instruktion som ges av Kunden sannolikt kommer att strida mot Dataskyddslagarna.
4.7 Leverantören ska inte behandla, överföra, modifiera eller ändra Kundens Personuppgifter eller avslöja eller tillåta att Kundens Personuppgifter avslöjas för någon tredje part utanför de instruktioner som anges i denna Dataskyddsförordning.
4.8 Leverantörens personal som arbetar med Behandling av Kundens Personuppgifter ska informeras om den konfidentiella naturen hos Kundens Personuppgifter och ska få lämplig utbildning om sina ansvarsområden. Sådan personal ska omfattas av lämpliga sekretessåtaganden.
4.9 Med hänsyn till arten av behandling av personuppgifter i de tjänster som tillhandahålls, ska leverantören enligt kraven i GDPR artikel 32 upprätthålla lämpliga tekniska och organisatoriska åtgärder för att säkerställa säkerheten för behandlingen, inklusive skydd mot obehörig eller olaglig behandling, och mot oavsiktlig eller olaglig förstörelse, förlust eller ändring eller skada, obehörigt utlämnande av eller tillgång till kundens personuppgifter. Parterna bekräftar och samtycker till att de säkerhetsåtgärder som anges i denna DPA och mer specifikt i bilaga B utgör lämpliga tekniska och organisatoriska säkerhetsåtgärder för att säkerställa en säkerhetsnivå som är lämplig för risken.
4.10 Leverantören ska hjälpa kunden genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt och med hänsyn till arten av behandlingen av kundens personuppgifter, för att uppfylla kundens skyldigheter enligt dataskyddslagarna, inklusive i förhållande till registrerades rättigheter, konsekvensbedömningar av dataskydd (relaterade till kundens användning av MetaCompliance-tjänster) och rapportering till och samråd med tillsynsmyndigheter (i samband med en konsekvensbedömning av dataskydd relaterad till MetaCompliance-tjänsterna).
4.11 Om registrerade, behöriga myndigheter eller någon annan tredje part begär information från leverantören om behandlingen av kundens personuppgifter, ska leverantören hänvisa sådan begäran till kunden om inte annat krävs för att följa dataskyddslagarna, i vilket fall leverantören ska ge förhandsmeddelande till kunden om sådant lagkrav, om inte den lagen förbjuder detta avslöjande på viktiga grunder av allmänt intresse.
5. Underbiträden
5.1 Kunden bekräftar och samtycker till att leverantören, i samband med tillhandahållandet av tjänster, kan anlita underbiträden som kan vara dotterbolag till leverantören och/eller tredje part som mer specifikt beskrivs i bilaga A och C. Leverantörens engagemang av sådana parter ska omfattas av ett skriftligt (inklusive i elektronisk form) avtal som överensstämmer med villkoren i denna DPA, i förhållande till den nödvändiga behandlingen av personuppgifter.
5.2 Kunden bekräftar att Leverantören ges ett generellt tillstånd att anlita nya Underbiträden utan att inhämta något ytterligare skriftligt, specifikt tillstånd från Kunden. Detta gäller under förutsättning att Personuppgiftsbiträdet skriftligen underrättar Kunden om ett nytt Underbiträdes identitet, 30 dagar före behandlingen av Kundens Personuppgifter.
5.3 Om Kunden vill invända mot det aktuella Underbiträdet, ska Kunden skriftligen meddela detta inom tio (10) arbetsdagar från mottagandet av underrättelsen från Leverantören. Om Kunden inte har några invändningar ska detta anses utgöra samtycke till att använda det relevanta Underbiträdet.
5.4 Om Kunden invänder mot ett nytt Underbiträde ska Leverantören vidta rimliga ansträngningar för att göra en ändring av Tjänsterna tillgänglig för Kunden eller rekommendera en kommersiellt rimlig ändring av Tjänsterna för att undvika att det relevanta nya Underbiträdet Behandlar Kundens Personuppgifter. Om inget alternativ är möjligt har parterna rätt att säga upp Avtalet mellan dem.
5.5 Leverantörens meddelande till Kunden om ett nytt Underbiträde ska innehålla en uppdaterad Bilaga C. Leverantören ska hålla Bilaga C uppdaterad.
5.6 Leverantören ska förbli ansvarig gentemot Kunden för fullgörandet av Underbiträdenas skyldigheter.
6. Dataöverföringar
6.1 I enlighet med GDPR artikel 28(3)(a) ska Leverantören inte, och ska inte tillåta någon Underbiträde att, överföra någon Kunds Personuppgifter utanför EES annat än vad som anges i detta Avtal. För att undvika tvivel samtycker Kunden härmed till överföring och behandling av Personuppgifterna enligt vad som anges i Bilaga A.
6.2 Leverantören bekräftar att i enlighet med GDPR måste adekvat skydd för Personuppgifterna finnas efter varje överföring utanför EES (antingen direkt eller via en Underbiträdes vidareöverföring) och ska ingå ett lämpligt avtal med Kunden och/eller varje Underbiträde för att reglera en sådan överföring. Detta kommer att inkludera de tillämpliga standardavtalsklausulerna, eller kommer att vara beroende av beslutet om adekvat skyddsnivå, såvida det inte finns någon annan mekanism för adekvat skyddsnivå för överföringen.
7. Personuppgiftsincident
7.1 I händelse av en Personuppgiftsincident som involverar Kundens Personuppgifter ska Leverantören:
7.1.1 Meddela Kunden utan onödigt dröjsmål (inom högst 48 timmar) för att göra det möjligt för Kunden att uppfylla GDPR-rapporteringsskyldigheter och att tillhandahålla rimlig hjälp till Kunden när den är skyldig att kommunicera en Personuppgiftsincident till en Registrerad.
7.1.2 Göra rimliga ansträngningar för att identifiera orsaken till en sådan Personuppgiftsincident och vidta de åtgärder som Leverantören anser vara praktiskt möjliga för att åtgärda orsaken till en sådan Personuppgiftsincident..1.2 Använda rimliga ansträngningar för att identifiera orsaken till sådan personuppgiftsincident och vidta de åtgärder som leverantören anser vara rimligt genomförbara för att åtgärda orsaken till sådan personuppgiftsincident.
7.1.3 I enlighet med villkoren i denna DPA, tillhandahålla rimlig hjälp och samarbete på begäran av kunden, för att främja eventuell korrigering eller avhjälpande av sådan personuppgiftsincident.
8. Register över behandling
8.1 I den utsträckning som är tillämplig på leverantörens behandling för kunden ska leverantören upprätthålla alla register som krävs enligt artikel 30.2 i GDPR och ska göra dem tillgängliga för kunden på begäran.
9. Revisionsrättigheter
9.1 Leverantören ska, och ska se till att dess Underbiträden, på begäran av Kunden tillhandahåller rimlig information som är nödvändig för att visa överensstämmelse med dess skyldigheter avseende dataskydd enligt denna DPA och ska tillåta och bidra till revisioner, inklusive inspektion i dess lokaler, av Kunden eller en revisor som bemyndigats av Kunden i förhållande till behandlingen av Kundens Personuppgifter, förutsatt att en sådan revisor inte är en konkurrent till Leverantören.
10. Varaktighet
10.1 Detta sekretessavtal ska förbli i full kraft och verkan så länge som:
10.1.1 Avtalet förblir i kraft; eller
10.1.2 Leverantören behåller alla Kundens Personuppgifter i sin ägo eller kontroll.
10.2 Varje bestämmelse i detta sekretessavtal som uttryckligen eller underförstått ska träda i kraft eller fortsätta att gälla på eller efter uppsägning av Avtalet för att skydda Kundens Personuppgifter kommer att förbli i full kraft och verkan.
11. Återlämnande och förstöring av data
11.1 Leverantören ska, efter Kundens gottfinnande och med en sådan begäran som tillhandahålls av Kunden skriftligen, radera eller returnera alla Kundens Personuppgifter till Kunden efter att tillhandahållandet av Tjänster som rör Behandling har avslutats och radera befintliga kopior om inte tillämplig lag i EES eller medlemsstat kräver lagring av Kundens Personuppgifter. Om ingen skriftlig begäran mottas från Kunden ska Leverantören radera Kundens Personuppgifter 90 dagar efter det att Avtalet upphört.
11.2 På begäran av Kunden ska Leverantören tillhandahålla ett skriftligt meddelande om de åtgärder som vidtagits avseende Kundens Personuppgifter.
12. Skadestånd
12.1 I den utsträckning som krävs enligt artikel 82 i GDPR och med förbehåll för klausul 12.1 i detta DPA, samtycker leverantören till att hålla kunden skadeslös mot alla direkta kostnader, anspråk, skador eller utgifter som kunden ådragit sig på grund av att leverantören eller dess anställda, underleverantörer, underentreprenörer eller ombud inte uppfyllt någon av sina skyldigheter enligt detta DPA eller dataskyddslagarna.
12.2 Oavsett vad som anges i detta dataskyddsavtal eller i avtalet (inklusive, utan begränsning, endera partens ersättningsskyldigheter), ska ingen av parterna vara ansvarig för GDPR-böter som utfärdats eller tagits ut enligt artikel 83 i GDPR mot den andra parten av en tillsynsmyndighet eller ett statligt organ i samband med den andra partens överträdelse av GDPR.
12.3 I den utsträckning som tillåts enligt dataskyddslagstiftningen och med förbehåll för de undantag som anges i punkt 12.2 i detta sekretessavtal, ska varje parts totala ansvar enligt eller i samband med detta sekretessavtal, oavsett orsak, omfattas av de undantag och begränsningar av ansvar som anges i avtalet.
Bilaga A
Ändamål och detaljer för behandling av personuppgifter
| Föremålet för bearbetningen | Detaljer | Gäller för: |
| Syfte Ange alla ändamål för vilka Personuppgifterna kommer att behandlas av Leverantören | Tillgång till systemet Systemadministration Leverans av systeminnehåll enligt abonnerade moduler. Se nedan: | Alla kunder |
| Politiker, kunskapsbedömningar | Kunder som prenumererar på Policy-moduler (PolicyLite, MetaEngage och MetaPolicy). | |
| eLearning, andra medier | Kunder som prenumererar på moduler för elearning (MetaLearning Fusion) | |
| Undersökningar om personlig integritet | Kunder som prenumererar på MetaPrivacy-modulen | |
| Recensioner av incidenter | Kunder som prenumererar på MetaIncident-modulen | |
| Simulerade nätfiskekampanjer | Kunder som prenumererar på MetaPhish | |
| SCORM-överföring till kundens LMS | Kunder som prenumererar på SCORM-överföring | |
| Typer av personuppgifter Ange de personuppgifter som kommer att behandlas av leverantören | Förnamn, efternamn, e-postadress, avdelning, utbildningsbevis | Alla kunder |
| Organisationsenhet (OU) i Active Directory | Kunder som använder Azure AD eller AD på plats | |
| LMS-ID | Kunder med abonnemang på SCORM-överföring | |
| Kategorier av registrerade Ange de kategorier av Registrerade vars Personuppgifter kommer att Behandlas av Leverantören | Kundens anställda, entreprenörer, leverantörer, partners och/eller dotterbolag. | Alla kunder i enlighet med de uppgifter som lämnats till leverantören. Kunden kan begränsa detta beroende på deras avsedda användning av Tjänsterna. |
| Bearbetningsprocesser Ange alla bearbetningsaktiviteter som ska utföras av leverantören | Behandling och lagring av kundens personuppgifter för att skapa och underhålla auktoriserade användarkonton på MyCompliance-plattformen. Distribution av olika e-postmeddelanden som initieras av MetaCompliance MyCompliance-systemet. | Alla kunder |
| Distribution av simulerade phishing-e-postmeddelanden som specificerats av kunden via MetaCompliance MyCompliance-plattformen. | Kunder som prenumererar på MetaPhish-modulen | |
| Lagring av personuppgifter där kunden anger dem via MetaCompliance MetaPrivacy-modulen. | Kunder som prenumererar på MetaPrivacy-modulen | |
| Kommunicera med kundens LMS och utvärdera antalet licenser | Kunder som prenumererar på SCORM-överföring | |
| Plats för bearbetningsåtgärder Ange alla platser där personuppgifterna kommer att behandlas av leverantören | Förenade kungariket (MetaCompliance Group) Danmark (gruppen MetaCompliance) Portugal (gruppen MetaCompliance) Irland (MetaCompliance Group ALSO av Microsoft Azure och Amazon Web Services) Holland (Microsoft Azure) | Alla kunder i förekommande fall. Se bilaga C för ytterligare information. |
| Krav på bevarande Ange i förekommande fall lagringstid för Kundens Personuppgifter som lagras av Leverantören. | När ett kundabonnemang har löpt ut eller avslutats sparas alla tillhörande personuppgifter om kunden i 90 dagar innan de faktiskt raderas för att kunna återhämta sig från en oavsiktlig uppsägning av abonnemanget. | Alla kunder |
Bilaga B
Säkerhetsarrangemang Leverantören är skyldig att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda kundens personuppgifter som behandlas för att hjälpa kunden att uppfylla sina rättsliga skyldigheter, inklusive men inte begränsat till säkerhetsåtgärder och riskbedömningar för personlig integritet, för att hjälpa kunden att uppfylla sina rättsliga skyldigheter. Åtgärderna ska åtminstone resultera i en säkerhetsnivå som är lämplig med hänsyn till följande:- befintliga tekniska möjligheter;
- Kostnaderna för att genomföra åtgärderna;
- de särskilda risker som är förknippade med behandlingen av kundens personuppgifter, och
- känsligheten hos de kundpersonuppgifter som behandlas.
- pseudonymisering och kryptering av Kundens Personuppgifter;
- förmågan att säkerställa fortlöpande sekretess, integritet, tillgänglighet och motståndskraft hos system och tjänster som behandlar kunders personuppgifter;
- förmågan att återställa tillgängligheten och åtkomsten till kundens personuppgifter inom rimlig tid i händelse av en fysisk eller teknisk incident, och
- En process för att regelbundet testa, bedöma och utvärdera effektiviteten hos tekniska och organisatoriska åtgärder för att säkerställa säkerheten vid behandlingen.
- fysiskt åtkomstskydd varigenom datorutrustning och flyttbara data som innehåller Kundens Personuppgifter i Leverantörens lokaler ska vara inlåsta när de inte är under uppsikt för att skydda mot obehörig användning, påverkan och stöld.
- en process för att testa återläsning efter att kundens personuppgifter har återställts från säkerhetskopior.
- behörighetskontroll varvid Leverantörens tillgång till Kundens Personuppgifter hanteras genom ett tekniskt system från behörighetskontroll. Behörigheten ska vara begränsad till dem som behöver Kundens Personuppgifter för sitt arbete. Användar-ID och lösenord ska vara personliga och får inte överlåtas till någon annan. Det ska finnas rutiner för tilldelning och borttagande av behörigheter.
- föra register över vem som har tillgång till kundens personuppgifter.
- säker kommunikation där externa datakommunikationsförbindelser ska skyddas med hjälp av tekniska funktioner som säkerställer att förbindelsen är auktoriserad samt innehållskryptering för data som överförs i kommunikationskanaler utanför system som kontrolleras av leverantören.
- En process för att säkerställa säker förstöring av data när fasta eller flyttbara lagringsmedier inte längre ska användas för sitt ändamål.
- rutiner för att ingå sekretessavtal med leverantörer som tillhandahåller reparation och service av utrustning som används för att lagra Kundens Personuppgifter.
- rutiner för tillsyn av den tjänst som utförs av leverantörer i Leverantörens lokaler. Lagringsmedia som innehåller Kundens Personuppgifter skall avlägsnas om tillsyn inte är möjlig.
Bilaga C
Godkända underbiträden:| Underprocessor | Plats |
| Microsoft Azure (kontrakterad via Microsoft Operations Ireland Ltd, är värd för tjänsterna i molnet) | Holland Dublin |
| Amazon Web Services (kontrakterat med "AWS Europe", som leverantör av transaktionsmejl) | Dublin |
| MetaCompliance Limited ett företag inom MetaCompliance Group (tillhandahållande av kundkontotjänster och supporttjänster till kunder) | Storbritannien |
| Increase Your Skills GmbH (tillhandahållande av kundkontotjänster och supporttjänster) | Tyskland |
| MOCH A/S a MetaCompliance Group entity (tillhandahållande av kundkontotjänster och stödtjänster till kunder) | Danmark |
| MetaCompliance Ireland Ltd Sucursal Portugal en enhet inom MetaCompliance Group (tillhandahållande av kundkontotjänster och supporttjänster till kunder) | Portugal |