Introduktion
Parterna är överens om att detta dataskyddsavtal ("DPA") anger varje parts rättigheter och skyldigheter med avseende på behandling och säkerhet för kundens personuppgifter i samband med programvaran och tjänsterna som tillhandahålls av MetaCompliance Ireland Ltd. DPA införlivas genom hänvisning till de kommersiella villkoren ("kommersiella villkor"). Parterna är också överens om att, såvida det inte finns ett separat DPA som undertecknats av parterna, detta DPA reglerar behandlingen och säkerheten för kundens personuppgifter.
Bestämmelserna i DPA-villkoren ersätter alla motstridiga bestämmelser i MetaCompliances sekretesspolicy som annars kan gälla för behandling av kundens personuppgifter. För tydlighetens skull, i enlighet med 2021 års standardavtalsklausuler som definieras nedan, när 2021 års standardavtalsklausuler är tillämpliga, har 2021 års standardavtalsklausuler företräde framför alla andra villkor i databehandlingsavtalet.
DATABEHANDLINGSAVTAL SOM GÄLLER FRÅN DEN 22 mars 2024
1.1 Kunden är den som definieras i de Kommersiella Villkoren ("Kunden") och
1.2 MetaCompliance Ireland Limited är ett bolag bildat och registrerat i Republiken Irland med företagsnummer 640228 och har sitt säte på Unit 21, Block 1, Clonshaugh Business and Technology Park, Dublin 17, D17 YY31 ("leverantören").
2.1 Kunden och Leverantören har ingått ett Avtal som kan kräva att Leverantören behandlar Personuppgifter på uppdrag av Kunden.
2.2 I detta personuppgiftsbiträdesavtal ("DPA") anges de ytterligare villkor, krav och förutsättningar enligt vilka leverantören kommer att behandla personuppgifter vid tillhandahållande av tjänster enligt avtalet. Detta DPA innehåller de obligatoriska klausuler som krävs enligt artikel 28(3) i den allmänna dataskyddsförordningen ((EU) 2016/679 (och dataskyddslagarna 1988 till 2018, med ändringar) för avtal mellan personuppgiftsansvariga och personuppgiftsbiträden.
2.3 Detta DPA omfattas av villkoren i Avtalet och införlivas i Avtalet. De termer som används i detta DPA skall ha de betydelser som anges i detta DPA. Termer med versaler som inte definieras på annat sätt i detta avtal skall ha den betydelse som anges i de kommersiella villkoren för avtalet.
2.4 Bilagorna utgör en del av denna DPA och kommer att ha effekt som om de anges i sin helhet i denna DPA. Varje hänvisning till denna DPA inkluderar bilagorna.
2.5 I händelse av en konflikt mellan någon bestämmelse i detta DPA och något annat villkor i avtalet, med avseende på föremålet för detta DPA, ska bestämmelserna i detta DPA ha företräde.
Följande termer i detta DPA ska ha följande innebörd:
| "Lagar om dataskydd" | betyder alla tillämpliga lagar och förordningar som rör behandlingen av personuppgifter när som helst under detta DPA, inklusive (1) den allmänna dataskyddsförordningen (GDPR, EU 2016/679); (2) dataskyddslagarna 1988 till 2018, med ändringar; (3) ePrivacy-direktivet 2002/58/EG som implementerats av EU: s medlemsstater, och all efterföljande lagstiftning och alla andra förordningar, guider och uppförandekoder som rör dataskydd och integritet, i varje fall som ändras, uppdateras eller ersätts från tid till annan. |
| "Personuppgifter om kunden" | avser personuppgifter som behandlas av MetaCompliance enbart för att tillhandahålla tjänster och enligt kundens anvisningar. |
| "Standardavtalsklausuler" | betyder Europeiska kommissionens standardavtalsklausuler för överföring av personuppgifter från Europeiska unionen till personuppgiftsbiträden etablerade i tredje land (överföring från personuppgiftsansvarig till personuppgiftsbiträde), enligt bilagan till kommissionens beslut 2021/914/EU av den 4 juni 2021. |
| "Beslut om tillräcklighet" | Europeiska kommissionens beslut om adekvat skyddsnivå med avseende på överföringen av personuppgifter till Förenade kungariket, antaget den 28 juni 2021. |
| "Underprocessor" | avser en tredjepartsunderleverantör som anlitas av leverantören och som, som en del av underleverantörens roll att leverera tjänsterna, kommer att behandla personuppgifter för kundens räkning. |
| "Personuppgiftsansvarig", "Registrerad", "Personuppgiftsbiträde", "Behandling", "Personuppgifter", "Brott mot personuppgifter". | ska ha de betydelser som anges i GDPR. |
4. Behandling av personuppgifter
4.1 Parterna erkänner och är överens om att leverantören är personuppgiftsbiträde och kunden är personuppgiftsansvarig i enlighet med dataskyddslagarna och med avseende på behandlingen av kundens personuppgifter.
4.2 Kunden garanterar och försäkrar: (i) att överföringen av kundens personuppgifter till leverantören i alla avseenden är förenlig med dataskyddslagarna (inklusive, utan begränsning, när det gäller insamling och användning), och (ii) att rättvis behandling och alla andra lämpliga meddelanden har tillhandahållits till de personer som omfattas av kundens personuppgifter (och att alla nödvändiga samtycken från dessa personer har erhållits och alltid upprätthålls) i den utsträckning som krävs enligt dataskyddslagarna i samband med all behandling som kan utföras av leverantören och dess underleverantörer i enlighet med detta avtal;
4.3 Leverantören åtar sig att behandla kundens personuppgifter endast: (i) i enlighet med vad som krävs för att tillhandahålla tjänsterna, (ii) i enlighet med skriftliga instruktioner från kunden, och (iii) i enlighet med kraven i dataskyddslagarna.
4.4 Kunden ska, i sin användning av tjänsterna, behandla personuppgifter i enlighet med kraven i dataskyddslagarna. Kunden ska se till att alla instruktioner till Leverantören i samband med Behandlingen av Kundens personuppgifter är förenliga med dataskyddslagarna.
4.5 Kundens instruktioner till Leverantören avseende föremålet för och varaktigheten av Behandlingen, Behandlingens art och syfte, typerna av Personuppgifter och kategorierna av Registrerade beskrivs i Bilaga A. För att undvika tvivel bekräftar och godkänner parterna att, med förbehåll för klausul 5, de instruktioner för Behandling som anges i detta Personuppgiftsbiträdesavtal och Bilaga A utgör den fullständiga uppsättningen instruktioner från Kunden till Leverantören såsom de är tillämpliga.
4.6 Leverantören ska omedelbart meddela Kunden om det enligt Leverantörens rimliga uppfattning är troligt att någon instruktion från Kunden bryter mot dataskyddslagarna.
4.7 Leverantören ska inte behandla, överföra, modifiera, ändra eller ändra Kundens Personuppgifter eller avslöja eller tillåta att avslöja Kundens Personuppgifter till någon tredje part utanför de instruktioner som anges i denna DPA.
4.8 Leverantörens personal som deltar i behandlingen av kundens personuppgifter ska informeras om kundens personuppgifter konfidentiella karaktär och ska få lämplig utbildning om sitt ansvar. Sådan personal ska omfattas av lämpliga sekretessåtaganden.
4.9 Med hänsyn till karaktären av behandlingen av personuppgifter i de tillhandahållna tjänsterna ska leverantören, i enlighet med artikel 32 i GDPR, upprätthålla lämpliga tekniska och organisatoriska åtgärder för att säkerställa säkerheten för behandlingen, inklusive skydd mot obehörig eller olaglig behandling och mot oavsiktlig eller olaglig förstörelse, förlust eller ändring eller skada, obehörigt utlämnande av eller obehörig åtkomst till kundens personuppgifter. Parterna är medvetna om och överens om att de säkerhetsåtgärder som anges i detta DPA och mer specifikt i bilaga B utgör lämpliga tekniska och organisatoriska säkerhetsåtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken.
4.10 Leverantören ska hjälpa Kunden genom lämpliga tekniska och organisatoriska åtgärder, i den mån det är möjligt och med hänsyn till arten av behandlingen av Kundens personuppgifter, att uppfylla Kundens skyldigheter att följa dataskyddslagarna, inklusive i förhållande till den registrerades rättigheter, konsekvensbedömningar av dataskydd (i samband med Kundens användning av MetaCompliance-tjänsterna) och rapportering till och samråd med tillsynsmyndigheter (i samband med en konsekvensbedömning av dataskydd i samband med MetaCompliance-tjänsterna).
4.11 Om Registrerade, behöriga myndigheter eller andra tredje parter begär information från Leverantören om behandlingen av Kundens personuppgifter ska Leverantören hänvisa sådan begäran till Kunden om inte annat krävs för att följa dataskyddslagarna, i vilket fall Leverantören i förväg ska meddela Kunden om ett sådant lagstadgat krav, såvida inte lagen förbjuder detta avslöjande på viktiga grunder av allmänintresse.
5. Underbiträden
5.1 Kunden bekräftar och samtycker till att leverantören, i samband med tillhandahållandet av tjänsterna, kan anlita underbiträden som kan vara dotterbolag till leverantören och/eller tredje parter som beskrivs mer specifikt i bilaga A och C. Leverantörens anlitande av sådana parter ska omfattas av ett skriftligt (inklusive i elektronisk form) avtal som överensstämmer med villkoren i detta DPA, i förhållande till den nödvändiga behandlingen av personuppgifter.
5.2 Kunden bekräftar att Leverantören ges ett generellt tillstånd att anlita nya Underbiträden utan att inhämta något ytterligare skriftligt, specifikt tillstånd från Kunden. Detta gäller under förutsättning att Personuppgiftsbiträdet skriftligen underrättar Kunden om varje nytt Underbiträdes identitet, 30 dagar före behandlingen av Kundens Personuppgifter.
5.3 Om Kunden vill invända mot det relevanta Personuppgiftsbiträdet ska Kunden skriftligen meddela detta inom tio (10) arbetsdagar från mottagandet av meddelandet från Leverantören. Om Kunden inte gör några invändningar ska detta anses utgöra samtycke till att använda det relevanta Personuppgiftsbiträdet.
5.4 Om Kunden invänder mot en ny Underbiträdesförmedlare kommer Leverantören att göra rimliga ansträngningar för att göra en ändring av Tjänsterna tillgänglig för Kunden eller rekommendera en kommersiellt rimlig ändring av Tjänsterna för att undvika att Kundens Personuppgifter behandlas av den relevanta nya Underbiträdesförmedlaren. Om inget alternativ är möjligt har parterna rätt att säga upp avtalet mellan dem.
5.5 Leverantörens anmälan av ett nytt Underbiträde till Kunden ska innefatta tillhandahållande av en uppdaterad Bilaga C. Leverantören ska hålla Bilaga C uppdaterad.
5.6 Leverantören ska förbli ansvarig gentemot kunden för att underförädlarnas skyldigheter uppfylls.
6. Överföring av uppgifter
6.1 I enlighet med artikel 28(3)(a) i GDPR får leverantören inte, och får inte tillåta något underbiträde att, överföra kundens personuppgifter utanför EES annat än vad som anges i detta avtal. För att undvika tvivel samtycker kunden härmed till överföring och behandling av personuppgifterna enligt vad som anges i bilaga A, i tillämpliga delar.
6.2 Leverantören är medveten om att det i enlighet med GDPR måste finnas ett adekvat skydd för Personuppgifterna efter varje överföring utanför EES (antingen direkt eller via ett Underbiträdes vidareöverföring) och ska ingå ett lämpligt avtal med Kunden och/eller ett Underbiträde för att reglera en sådan överföring. Detta kommer att omfatta tillämpliga standardavtalsklausuler eller vara beroende av beslutet om adekvat skyddsnivå, såvida det inte finns någon annan mekanism för adekvat skyddsnivå för överföringen.
7. Brott mot personuppgifter
7.1 I händelse av Personuppgiftsbrott som involverar Kundens Personuppgifter ska Leverantören:
7.1.1 Meddela Kunden utan onödigt dröjsmål (inom högst 48 timmar) för att göra det möjligt för Kunden att uppfylla rapporteringsskyldigheterna enligt GDPR och för att ge Kunden rimlig hjälp när Kunden måste meddela en Registrerad om en Personuppgiftsincident.
7.1.2 göra rimliga ansträngningar för att identifiera orsaken till personuppgiftsbrottet och vidta de åtgärder som leverantören anser vara rimligt genomförbara för att åtgärda orsaken till personuppgiftsbrottet.
7.1.3 Med förbehåll för villkoren i detta dataskyddsavtal, tillhandahålla rimlig hjälp och samarbete på begäran av kunden för att främja korrigering eller åtgärdande av en personuppgiftsincident.
8. Register över behandling
8.1 I den utsträckning som är tillämplig på leverantörens behandling för kunden ska leverantören upprätthålla alla register som krävs enligt artikel 30.2 i GDPR och ska göra dem tillgängliga för kunden på begäran.
9. Revisionsrättigheter
9.1 Leverantören ska, och ska se till att dess Underbiträden, på begäran av Kunden tillhandahåller rimlig information som är nödvändig för att visa överensstämmelse med dess skyldigheter avseende dataskydd enligt denna DPA och ska tillåta och bidra till revisioner, inklusive inspektion i dess lokaler, av Kunden eller en revisor som bemyndigats av Kunden i förhållande till behandlingen av Kundens Personuppgifter, förutsatt att en sådan revisor inte är en konkurrent till Leverantören.
10. Giltighetstid
10.1 Detta DPA ska förbli i full kraft och verkan så länge som:
10.1.1 Avtalet förblir i kraft; eller
10.1.2 Leverantören behåller Kundens Personuppgifter i sin besittning eller kontroll.
10.2 Alla bestämmelser i detta DPA som uttryckligen eller underförstått ska träda i kraft eller fortsätta att gälla vid eller efter uppsägning av Avtalet för att skydda Kundens Personuppgifter ska förbli i full kraft och verkan.
11. Återlämnande och förstöring av uppgifter
11.1 Leverantören ska, enligt Kundens val och efter skriftlig begäran från Kunden, radera eller återlämna alla Kundens Personuppgifter till Kunden efter det att tillhandahållandet av Tjänster avseende Behandling har upphört, och radera befintliga kopior såvida inte tillämplig lag i EES eller medlemsstat kräver lagring av Kundens Personuppgifter. Om ingen skriftlig begäran mottas från Kunden ska Leverantören radera Kundens Personuppgifter 90 dagar efter det att Avtalet upphört att gälla.
11.2 På begäran av Kunden ska Leverantören tillhandahålla ett skriftligt meddelande om de åtgärder som vidtagits avseende Kundens Personuppgifter.
12. Skadestånd
12.1 I den utsträckning som krävs enligt artikel 82 i GDPR och med förbehåll för punkt 12.1 i detta DPA, samtycker Leverantören till att hålla Kunden skadeslös för alla direkta kostnader, anspråk, skador eller utgifter som Kunden ådrar sig på grund av att Leverantören eller dess anställda, underbiträden, underleverantörer eller ombud inte uppfyller någon av sina skyldigheter enligt detta DPA eller dataskyddslagarna.
12.2 Utan hinder av vad som sägs i detta DPA eller i Avtalet (inklusive, utan begränsning, någondera partens ersättningsskyldigheter), ska ingen av parterna vara ansvarig för eventuella GDPR-böter som utfärdats eller tagits ut enligt artikel 83 i GDPR mot den andra parten av en tillsynsmyndighet eller ett statligt organ i samband med den andra partens överträdelse av GDPR.
12.3 I den utsträckning det är tillåtet enligt dataskyddslagar och med förbehåll för de undantag som anges i punkt 12.2 i detta DPA, ska varje parts totala ansvar enligt eller i samband med detta DPA, oavsett orsak, omfattas av de undantag och ansvarsbegränsningar som anges i avtalet.
Bilaga A
Ändamål och detaljer för behandling av personuppgifter
| Föremålet för bearbetningen | Detaljer | Gäller för: |
Syfte Ange alla ändamål för vilka personuppgifterna kommer att behandlas av leverantören. | Systemåtkomst Systemadministration Leverans av systeminnehåll enligt de moduler som abonneras på. Se nedan: | Alla kunder |
| Politiker, kunskapsbedömningar | Kunder som prenumererar på Policy-moduler (PolicyLite, MetaEngage och MetaPolicy). | |
| eLearning, andra medier | Kunder som prenumererar på moduler för elearning (MetaLearning Fusion) | |
| Undersökningar om personlig integritet | Kunder som prenumererar på MetaPrivacy-modulen | |
| Recensioner av incidenter | Kunder som prenumererar på MetaIncident-modulen | |
| Simulerade nätfiskekampanjer | Kunder som prenumererar på MetaPhish | |
| SCORM-överföring till kundens LMS | Kunder som prenumererar på SCORM-överföring | |
Typer av personuppgifter Ange vilka personuppgifter som kommer att behandlas av leverantören. | Förnamn, efternamn, e-postadress, IP-adress, avdelning, utbildningsbevis | Alla kunder |
| Organisationsenhet (OU) i Active Directory | Kunder som använder Azure AD eller AD på plats | |
| LMS-ID | Kunder med abonnemang på SCORM-överföring | |
Kategorier av registrerade personer Ange de kategorier av registrerade vars personuppgifter kommer att behandlas av leverantören. | Kundens anställda, entreprenörer, leverantörer, partners och/eller dotterbolag. | Alla kunder i enlighet med de uppgifter som lämnats till leverantören. Kunden kan begränsa detta beroende på deras avsedda användning av Tjänsterna. |
Bearbetning Ange alla bearbetningsaktiviteter som ska utföras av leverantören. | Behandling och lagring av kundens personuppgifter för att skapa och upprätthålla auktoriserade användarkonton på MyCompliance-plattformen. Distribution av olika e-postmeddelanden som initierats av MetaCompliance MyCompliance-systemet. | Alla kunder |
| Distribution av simulerade phishing-e-postmeddelanden som specificerats av kunden via MetaCompliance MyCompliance-plattformen. | Kunder som prenumererar på MetaPhish-modulen | |
| Lagring av personuppgifter där kunden anger dem via MetaCompliance MetaPrivacy-modulen. | Kunder som prenumererar på MetaPrivacy-modulen | |
| Kommunicera med kundens LMS och utvärdera antalet licenser | Kunder som prenumererar på SCORM-överföring | |
Plats för bearbetningen Ange alla platser där personuppgifterna kommer att behandlas av leverantören. | Förenade kungariket (MetaCompliance Group) Danmark (MetaCompliance Group) Portugal (gruppen MetaCompliance) Tyskland (MetaCompliance Group) Irland (MetaCompliance Group, Microsoft Azure, Amazon Web Services) Holland (Microsoft Azure) | Alla kunder i förekommande fall. Se bilaga C för ytterligare information. |
Krav på lagring När det är tillämpligt, ange lagringstiden för de personuppgifter om kunden som leverantören lagrar. | När ett kundabonnemang har löpt ut eller avslutats sparas alla tillhörande personuppgifter om kunden i 90 dagar innan de faktiskt raderas för att kunna återhämta sig från en oavsiktlig uppsägning av abonnemanget. | Alla kunder |
Bilaga B
Säkerhetsarrangemang
Leverantören ska, för att hjälpa Kunden att fullgöra sina rättsliga skyldigheter inklusive men inte begränsat till; säkerhetsåtgärder och integritetsriskbedömningar, vara skyldig att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda Kundens Personuppgifter som Behandlas. Åtgärderna ska minst resultera i en säkerhetsnivå som är lämplig med hänsyn till:
(a) befintliga tekniska möjligheter;
(b) kostnaderna för att genomföra åtgärderna;
(c) de särskilda risker som är förenade med Behandlingen av Kundens Personuppgifter; och
(d) känsligheten hos de Kundens Personuppgifter som Behandlas.
Leverantören ska upprätthålla en adekvat säkerhet för Kundens Personuppgifter. Leverantören ska skydda Kundens Personuppgifter mot förstörelse, ändring, olaglig spridning eller olaglig åtkomst. Kundens Personuppgifter ska även skyddas mot alla andra former av otillåten Behandling. Med beaktande av den senaste tekniska utvecklingen och kostnaderna för genomförandet och med beaktande av Behandlingens art, omfattning, sammanhang och ändamål samt riskerna av varierande sannolikhet och allvar för enskildas fri- och rättigheter, ska de tekniska och organisatoriska åtgärder som Leverantören ska genomföra omfatta följande, beroende på vad som är lämpligt
(a) pseudonymisering och kryptering av Kundens Personuppgifter;
(b) förmåga att säkerställa fortlöpande konfidentialitet, integritet, tillgänglighet och motståndskraft hos system och tjänster som Behandlar Kundens Personuppgifter;
(c) förmåga att återställa tillgänglighet och åtkomst till Kundens Personuppgifter inom rimlig tid i händelse av en fysisk eller teknisk incident; och
(d) en process för att regelbundet testa, bedöma och utvärdera effektiviteten hos tekniska och organisatoriska åtgärder för att säkerställa säkerheten i Behandlingen.
Utöver de tekniska och organisatoriska åtgärder som nämns ovan ska Leverantören vidta följande åtgärder:
(a) fysiskt åtkomstskydd varigenom datorutrustning och flyttbara data som innehåller Kundens Personuppgifter i Leverantörens lokaler ska vara inlåsta när de inte är under uppsikt för att skydda mot obehörig användning, påverkan och stöld.
(b) en process för att testa återläsning efter att Kundens Personuppgifter har återställts från säkerhetskopior.
(c) Behörighetskontroll varigenom Leverantörens tillgång till Kundens Personuppgifter hanteras genom ett tekniskt system för behörighetskontroll. Behörigheten ska vara begränsad till dem som behöver Kundens Personuppgifter för sitt arbete. Användar-ID och lösenord ska vara personliga och får inte överlåtas till någon annan. Det ska finnas rutiner för att tilldela och ta bort behörigheter.
(d) föra register över vem som har tillgång till Kundens Personuppgifter.
(e) säker kommunikation varvid externa datakommunikationsförbindelser ska skyddas med hjälp av tekniska funktioner som säkerställer att förbindelsen är behörig samt innehållskryptering för data som överförs i kommunikationskanaler utanför system som kontrolleras av Leverantören.
(f) en process för att säkerställa säker datadestruktion när fasta eller flyttbara lagringsmedier inte längre ska användas för sitt ändamål.
(g) rutiner för att ingå sekretessavtal med leverantörer som tillhandahåller reparation och service av utrustning som används för att lagra Kundens Personuppgifter.
(h) rutiner för övervakning av den service som utförs av leverantörer i Leverantörens lokaler. Lagringsmedia som innehåller Kundens Personuppgifter ska avlägsnas om tillsyn inte är möjlig.
Bilaga C
Godkända underbiträden:| Underprocessor | Plats |
| Microsoft Azure (kontrakterad via Microsoft Operations Ireland Ltd, är värd för tjänsterna i molnet) | Holland Dublin Tyskland Kanada |
| Amazon Web Services (kontrakterat med "AWS Europe", som leverantör av transaktionsmejl) | Dublin Tyskland Kanada |
| MetaCompliance Limited en enhet inom MetaCompliance Group (tillhandahållande av kundkontotjänster och supporttjänster till kunder) | Storbritannien |
| MetaCompliance GmbH (tillhandahållande av kundkontotjänster och supporttjänster) | Tyskland |
| MOCH A/S a MetaCompliance Group entity (tillhandahållande av kundkontotjänster och stödtjänster till kunder) | Danmark |
| MetaCompliance Ireland Ltd Sucursal Portugal en enhet inom MetaCompliance Group (tillhandahållande av kundkontotjänster och supporttjänster till kunder) | Portugal |