1. Definice

1.1. In addition to the terms defined elsewhere in this Agreement and the Main Agreement, for all the purposes of the subject matter hereof, the terms included in Annex 1 (the “Definitions”) herein shall have the meanings set forth therein.

1.2. Strany se vzájemně dohodly a rozumí, že pro účely této Smlouvy jsou přijaty všechny definice Evropských zákonů o ochraně údajů.

2. Vaše odpovědnosti

2.1. V souladu s ustanoveními této DPA a Hlavní Smlouvy jste jako správce údajů odpovědní za dodržování všech požadavků platných pro vaše operace podle platných zákonů o ochraně osobních údajů, pro zpracování osobních údajů.

2.2. Souhlasíte a potvrzujete, že jste odpovědní za: (i) přesnost, kvalitu a zákonnost osobních údajů, které jste společnosti poskytli pro účely služeb, stejně jako za prostředky a způsoby jejich získání; (ii) dodržování všech nezbytných požadavků na transparentnost a zákonnost podle platných zákonů na ochranu osobních údajů, včetně evropských zákonů na ochranu osobních údajů; (iii) za shromažďování a používání osobních údajů, včetně získání jakýchkoli potřebných souhlasů a povolení, zejména pro použití uživatelem k marketingovým účelům; (iv) zajištění, že máte právo přenášet nebo poskytovat přístup k osobním údajům nám ke zpracování v souladu s podmínkami této DPA a hlavní smlouvy; (v) zajištění, že dodržujete jakékoli zákony, které se na vás vztahují, včetně, ale nejsou omezeny na zákony na ochranu osobních údajů, pro jakékoli e-maily nebo jiný obsah vytvářený, odesílaný nebo jinak spravovaný pomocí našich služeb.

2.3. Tímto potvrzujete a souhlasíte, že budete společnost neprodleně a bez zbytečného odkladu informovat, pokud nejste schopni plnit své závazky zde uvedené, zejména podle platných zákonů na ochranu osobních údajů.

2.4. Tímto berete na vědomí a rozumíte, že tato ustanovení a jakákoli relevantní ustanovení hlavní smlouvy a jakýkoli další písemný požadavek ve vaší roli jako subjektu údajů, budou tvořit kompletní a konečné pokyny vás jako správce údajů pro účely této DPA a ve vztahu ke zpracování vašich osobních údajů.

2.5.Tímto potvrzujete, rozumíte a souhlasíte, že jakékoli další pokyny mimo rámec této smlouvy budou vyžadovat vaše předchozí písemné žádosti.

3. Odpovědnosti společnosti

3.1. The Company shall only Process Personal Data for the purpose of described in this DPA and in line with Annex 2 herein (the “Details of Processing”) or as otherwise agreed within the scope of your lawful Instructions, except where and to the extent otherwise required by the Data Protection Laws, including but not limited to European Data Protection Laws and other applicable laws and regulations relevant to the Parties.

3.2. Společnost nenese odpovědnost za dodržování příslušných zákonů o ochraně dat, které se vztahují výhradně na vás anebo váš obor a které se nevztahují na provoz SimplyBook.me Ltd.

3.3. Společnost vás bude okamžitě a bez zbytečného odkladu informovat, pokud to bude zákonem umožněno; kde se předpokládá, že ta druhá strana není schopna zpracovávat osobní údaje v souladu s ustanoveními této DPA a zákonnými požadavky příslušných zákonů anebo nařízení.

3.4. Společnost zajistí, že zpracování osobních údajů jako součást skupiny team.blue je v souladu s ustanoveními našeho interního globálního rámce sdílení dat a výhradně pro zlepšení koordinace a alokace zdrojů sdílením dat interně mezi několika značkami a pobočkami, konkrétně pro marketingové statistiky, interní správu a účely reportování, ale pouze v množství nezbytném pro zamýšlené použití as vhodnými bezpečnostními opatřeními k zamezení neoprávněného přístupu nebo zveřejnění.

Bezpečnost

3.5. By considering the state of art, the costs of implementing and the nature, scope, context and purposes of Processing of Personal Data pursuant to the provisions of this DPA, as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons; the Company shall implement and maintain appropriate technical and organisational measures to ensure the appropriate level of security to that risk, as per provisions of Annex 3 herein (collectively the “Security Measures”).

3.6. The Company shall ensure that the Security Measures form part of its implemented Information Security Management System (the “ISMS”), in line with the ISO/IEC 27001 standard and issued certificate by an accredited certifying body.

3.7. Notwithstanding any provision to the contrary, the Company may modify or update the Security Measures at our discretion provided that such modification or update does not result in a material degradation in the protection offered by the Security Measures and/or comply with relevant laws and legal obligations.

Důvěrnost

3.8. Společnost tímto zajišťuje, že každý pracovník nebo pověřená osoba oprávněná zpracovávat osobní údaje naším jménem a za nás podléhá příslušným povinnostem mlčenlivosti, smluvním a zákonným povinnostem ohledně těchto osobních údajů.

Narušení práva na ochranu osobních údajů

3.9. Společnost tímto souhlasí s tím, že vás neprodleně a bez zbytečného odkladu informuje, jakmile se dozví o jakémkoli narušení osobních údajů, a to v souladu s ustanoveními příslušných zákonů o ochraně dat a v případě potřeby vám poskytne informace, jakmile se o nich dozví, nebo jak je bude rozumně požadovat.

3.10. Společnost tímto souhlasí s tím, že vám neprodleně poskytne takovou rozumnou pomoc, jak je nutné k oznámení příslušných porušení osobních údajů příslušným orgánům anebo dotčeným subjektům údajů, v souladu s příslušnými zákony o ochraně dat a na základě vašeho písemného požadavku.

Vymazání nebo vrácení osobních údajů

3.11. Společnost tímto souhlasí s tím, že v souladu s příslušnými ustanoveními hlavní dohody odstraní nebo vám vrátí veškeré osobní údaje související s hlavní dohodou a touto DPA, včetně, ale nejen kopií osobních údajů, které byly zpracovány pro účely této DPA, při ukončení nebo vypršení platnosti služeb.

3.12. Tato povinnost bude vykonávána v souladu s veškerými platnými zákony, které mohou vyžadovat uchování některých nebo všech osobních údajů, za předpokladu, že budou zavedeny dodatečné bezpečnostní opatření, jako je izolace a ochrana před dalším zpracováním.

4. Žádosti subjektu údajů

4.1. Tímto berete na vědomí, souhlasíte a přejímáte, že vám společnost poskytne v softwaru ovládací prvky, pomocí kterých můžete získávat, opravovat, mazat nebo omezovat osobní údaje, aby vám pomohla v souvislosti s požadavky zákonů o ochraně dat.

4.2. Společnost, na základě vašeho písemného požadavku, může poskytnout přiměřenou pomoc při reagování na jakékoli žádosti subjektů údajů nebo žádosti od orgánů pro ochranu osobních údajů týkající se zpracování osobních údajů podle této DPA, podle potřeby s jakoukoli nutnou úhradou.

4.3. Přebíráte plnou, výlučnou a jedinou odpovědnost za odpovědi na žádosti subjektu údajů nebo jinou komunikaci týkající se zpracování osobních údajů od jednotlivců, kteří jsou identifikováni jako Váš klient a mohou být adresováni Společnosti, za předpokladu, že Vás o takový požadavek včas informujeme.

5. Sub-procesory

5.1. Tímto uznáváte, souhlasíte, přijímáte a autorizujete jmenování subdodavatelů pro zpracování osobních údajů podle této DPA a hlavní smlouvy uvedené v Příloze 4, seznamu subdodavatelů, na základě kterého někteří subdodavatelé platí jako výchozí, a někteří subdodavatelé platí pouze v případě, že je začleníte do svého účtu, podle sekce oficiálního webu: https://simplybook.me/cs/integrace

5.2. Společnost tímto zajišťuje, že pokud je jmenován subdodavatel, příslušná právní smlouva, která mezi nimi bude uzavřena, bude obsahovat přiměřené podmínky ochrany údajů v souladu s příslušnými právními předpisy na ochranu osobních údajů a zajistí minimálně stejnou úroveň ochrany osobních údajů, jakou stanoví ustanovení tohoto DPA, a případně zahrne poslední verzi standardních smluvních doložek vydaných Evropskou komisí.

5.3. Společnost nezapojí další subdodavatele a/nebo neodstraní již jmenované subdodavatele, které souvisejí s jejich obchodními operacemi a nikoli jako součást nabízené integrace; kde budete informováni o změně v našem seznamu subdodavatelů a můžete podat námitku do 15 (patnácti) dnů zasláním e-mailu na dpo@simplybook.me nebo legal@simplybook.me, který bude přijat společností.

5.4. Společnost zůstává odpovědná za dodržování povinností tohoto DPA každým subdodavatelem a za jakékoliv činy nebo opomenutí takového subdodavatele, které způsobí, že porušíme jakékoliv své povinnosti podle tohoto DPA.

6. Přenosy dat

6.1. Tímto berete na vědomí, souhlasíte a pověřujete Společnost, s výhradou ustanovení zde uvedených; k provedení nezbytných přenosů údajů pro interní a externí obchodní operace třetím stranám označeným jako subdodavatelé zde, které mohou být umístěny mimo EU a/nebo EHP.

6.2. V souladu s článkem 6.1. výše, obě strany tímto potvrzují a souhlasí, že veškeré přenosy údajů budou provedeny výhradně pro účely Hlavní smlouvy, tohoto DPA a jakýchkoliv dodatečných písemných pokynů komunikovaných od Vás společnosti, pouze pro danou problematiku.

6.3. Strany tímto vzájemně souhlasí, že v souladu s článkem 6 zde bude společnost provádět veškeré přenosy údajů v souladu s ustanoveními kapitoly 5 (články 44-50) GDPR a vždy v souladu s požadavky příslušných právních předpisů na ochranu osobních údajů po dobu trvání tohoto DPA a hlavní smlouvy.

6.4. V souladu s článkem 6.3 výše, společnost nesmí provádět žádný přenos evropských údajů do žádné země nebo příjemci, který není uznán jako poskytující přiměřenou úroveň ochrany osobních údajů, v souladu s ustanoveními evropských právních předpisů o ochraně údajů; pokud nebudou nejprve přijata opatření k zajištění toho, že přenos je v souladu s příslušnými evropskými právními předpisy na ochranu údajů.

Přiměřená úroveň ochrany

6.5. V souladu s článkem 6.4 výše, společnost nesmí povolit žádný přenos údajů do země, která není uznána jako poskytující přiměřenou úroveň ochrany prostřednictvím:

6.5.1. platné Adekvátní rozhodnutí vydané Evropskou komisí, podle článku 45 GDPR a jak je uvedeno na oficiálních stránkách Evropské komise ( Rozhodnutí o přiměřenosti ); a/nebo

6.5.2. schválené a povolené Závazné podnikové pravidla, v souladu s článkem 47 GDPR; a/nebo

6.5.3. závěr a spoléhání se na schválené Standardní smluvní doložky, podle relevantních evropských zákonů na ochranu osobních údajů a podle oficiálních stránek Evropské komise ( Standardní smluvní doložky (SCC) ).

6.6. Strany tímto stanoví a souhlasí s tím, že SimplyBook.me se nebude spoléhat na EU-US Privacy Shield a související zásady pro účely přenosu osobních údajů a zajistí přijetí vhodných opatření k souladu s platnými zákony o ochraně osobních údajů, jak mohou být čas od času měněny, a spolehnou se na rámec ochrany údajů, pokud to bude použitelné a platné.

Standardní smluvní doložky pro strany

6.7. Tam, kde to vyžaduje potřeba, strany tímto uzavírají standardní smluvní doložky, které budou začleněny prostřednictvím odkazu a budou tvořit součást této smlouvy podle příslušných relevantních ustanovení Přílohy 5 níže a předmětů zde uvedených.

7. Další ustanovení

Evropské údaje

7.1. Tato část DPA se vztahuje na Evropská data pro účely Hlavní smlouvy.

7.2. Strany tímto souhlasí, že při Zpracovávání Evropských dat v souladu s Pokyny, jste Vy Správcem Evropských dat a SimplyBook.me Ltd je Zpracovatelem.

7.3. SimplyBook.me si vyhrazuje právo informovat Vás, kde Pokyny porušují Evropské zákony na ochranu údajů, pokud to bude relevantní, bez zbytečného odkladu.

7.4. Společnost provede veškeré potřebné změny v příloze 4 týkající se jmenovaných subdodavatelů a dá vám možnost být informován prostřednictvím svého účtu, v takovém případě máte možnost podat námitku na rozumných základech týkajících se tohoto DPA a do 15 (patnácti) dnů od takového oznámení.

7.5. The Company shall, to the extent that the required information is reasonably available and you do not otherwise have access to the required information; provide reasonable assistance to You with any Data Protection Impact Assessments (“DPIA”), and prior consultations with Supervisory Authorities or other competent Data Privacy Authorities to the extent required by European Data Protection Laws.

7.6. SimplyBook.me zpřístupní všechny informace přiměřeně nutné k prokázání souladu s ustanoveními zde uvedenými a může umožnit audity včetně, ale nejen, inspekcí.

7.7. The Data Processor has appointed a Data Protection Officer (“DPO”) in line with the European Data Protection Laws and can be contacted for the purposes of this DPA and Main Agreement via email: dpo@simplybook.me.

Další údaje

7.8. Tato část DPA se vztahuje na osobní údaje jiné než evropské údaje, podle ustanovení příslušných zákonů o ochraně údajů.

7.9. Strany souhlasí s tím, že společnost SimplyBook.me Ltd bude zpracovávat takové osobní údaje přísně v souladu s příslušnými zákony o ochraně údajů a výhradně za účelem poskytování služeb podle ustanovení hlavní dohody.

7.10. Strany uzavřou jakékoli další dohody požadované zákonem za účelem souladu s příslušnými zákony o ochraně údajů.

8. Strany k DPA

8.1. Když se zaregistrujete a přijmete Všeobecné podmínky a/nebo právní ustanovení k softwarovému řešení SimplyBook.me, vstupujete jako uživatel systému do této DPA za sebe a, pokud je to relevantní a povoleno zákonem a platnými předpisy pro ochranu osobních údajů, jménem svých povolených přidružených společností, čímž se mezi námi a každou takovou povolenou přidruženou společností vytváří samostatná DPA, podléhající smlouvě a ustanovením zde uvedeným.

8.2. Tímto souhlasíte a potvrzujete, že každý povolený přidružený subjekt souhlasí s tím, že bude vázán povinnostmi tohoto DPA a jak je to možné podle hlavní dohody.

8.3. You hereby agree and acknowledge that to the extent permitted by law, for the purposes of this DPA and except as otherwise provided herein, “User”, “You” and “Your” will include You and such Permitted Affiliates.

8.4. Právnická osoba souhlasící s touto DPA jako uživatel prohlašuje, že je oprávněna souhlasit s touto DPA a vstoupit do ní za sebe a případně za každou ze svých povolených přidružených společností.

9. Všeobecná ustanovení

9.1. Toto DPA zůstane v platnosti od data účinnosti až do doby, kdy správce údajů nebo zpracovatel údajů ukončí hlavní dohodu v souladu s příslušnými ustanoveními.

9.2. Toto DPA může být ukončeno kteroukoli stranou s 30 (třiceti) denní písemnou výpovědní lhůtou v souladu s ustanoveními hlavní dohody a zrušením systému v nastavení systému.

9.3. I přesto, co je v rozporu s tímto DPA a hlavní dohodou, si SimplyBook.me vyhrazuje právo na provedení jakýchkoli aktualizací a změn tohoto DPA, které podléhají jakýmkoli dalším podmínkám zde uvedeným.

9.4. Pokud budou jakákoli jednotlivá ustanovení tohoto DPA shledána neplatnými nebo nevynutitelnými, platnost a vynutitelnost ostatních ustanovení tohoto DPA tím nebude dotčena.

9.5. Žádná ze stran nemůže bez předchozího písemného souhlasu druhé strany postoupit, převést, zatížit, licencovat nebo jiným způsobem nakládat s jakýmikoli smluvními právy nebo povinnostmi podle této smlouvy.

9.6. Odpovědnost Stran a povolených afilací vyplývající z tohoto DPA nebo s ním související, ať už na základě smlouvy, deliktu nebo jiné teorie odpovědnosti, bude podléhat omezením a výjimkám odpovědnosti stanoveným v hlavní smlouvě.

9.7. Strany tímto souhlasí a přijímají volbu jurisdikce uvedenou v Hlavní smlouvě v souvislosti s tímto DPA.

Příloha 1: Definice

Tato příloha 1: Definice je součástí DPA.

“Data Controller”: means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the Processing of Personal Data.

“Data Processor”: means a natural or legal person, public authority, agency or other body which Processes Personal Data on behalf of the Data Controller.

“Data Protection Laws”: means all applicable worldwide legislation relating to data protection and privacy which applies to the respective Party in the role of Processing Personal Data in question under the Agreement, including without limitation: (1) the European Data Protection Laws; (2) the California Consumer Privacy Act of 2018 (“CCPA”); (3) the data protection and privacy laws of Australia and Singapore; (4) and other; in each case as amended, repealed, consolidated or replaced from time to time.

“Data Subject”: means the individual to whom Personal Data relates.

“EU-US Privacy Shield”: the self-certification program operated by the U.S. Department of Commerce and approved by the European Commission, as may be amended, superseded or replaced.

"Europe": means the European Union, the European Economic Area and/or their member states.

"European Data Protection Laws": means data protection laws applicable in Europe, including: (1) Regulation 2016/679 - the EU General Data Protection Regulation ("GDPR"); (2) Directive 2002/58/EC - the Directive on privacy and electronic communications; (3) applicable national implementations of 1 and 2 points above; (4) any applicable national legislation that replaces or converts in domestic law the GDPR; (5) the Data Protection Act 2018 of the United Kingdom (the “UK GDPR”); in each case, as may be amended, superseded or replaced.

“European Data”: means Personal Data that is subject to the protection of European Data Protection Laws, defined below.

“Instructions”: any written, documented instructions issued by the Data Controller to the Data Processor, and directing the same to perform a specific or general action with regard to Personal Data, including, but not limited to, depersonalising, blocking, deletion, making available.

"Povolené přidružené společnosti": zahrnuje jakoukoli z Vašich přidružených společností, které je umožněno získat služby Vaším jménem, v souladu s Hlavní smlouvou, ale kdy není podepsána samostatná smlouva s námi a nejsou uživateli a kvalifikují se jako Správce osobních údajů zpracovaných námi, a mohou být podléhat evropským zákonům na ochranu údajů.

“Personal Data Breach”: shall mean a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, Personal Data transmitted, stored or otherwise Processed by us and/or our Sub-Processors in connection with the provision of the Services but does not include unsuccessful attempts or activities that do not compromise the security of Personal Data, including unsuccessful log-in attempts, pings, port scans, denial of service attacks, and other network attacks on firewalls or networked systems.

“Personal Data”: means any information relating to an identified or identifiable individual where such information is contained within the Account (as defined in the Main Agreement) and is protected as other personal information or personally identifiable information under applicable Data Protection Laws.

“Processing”: shall mean any operation or set of operations which is performed on Personal Data, encompassing the collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction or erasure of Personal Data and the terms “Process”, “Processes” and “Processed” will be construed accordingly.

“Services”: shall have the same meaning as in the Main Agreement.

“Standard Contractual Clauses”: means the standard contractual clauses for Data Processors approved pursuant to the European Commission’s relevant decision and as included in Annex 5 herein which forms part of the Agreement and as may be amended, superseded or replaced.

“Sub-Processor”: means any Data Processor engaged by us to assist fulfilling our obligations with respect to the provision of the Services under the Main Agreement and may include third parties, excluding any employee or consultant of SimplyBook.me Ltd.

“UK IDTA” shall mean the template addendum issued by the UK Information Commissioner's Office (“ICO”) and here: International Data Transfer Addendum to the EU Commission Standard Contractual Clauses, and as made available in the official website of ICO International data transfer agreement and guidance | ICO, and as may be amended, suspended or replaced.

Příloha 2: Podrobnosti zpracování

Tato Příloha 2: Podrobnosti zpracování je součástí DPA.

Povaha a účely zpracování: Společnost bude zpracovávat osobní údaje podle potřeby pro účely poskytování služeb, v souladu s Hlavní smlouvou a jak může být dále specifikováno v dodatečných dokumentech, které jsou součástí Hlavní smlouvy a DPA.

Duration of the Processing: subject to any provisions contained herein specifying otherwise, Processing of Personal Data shall occur for the duration of the Main Agreement, unless otherwise agreed in writing.

Categories of Data Subjects: pursuant to the provisions of the Main Agreement, Data Subjects shall include any type of User’s clients and therefore may vary by the system usage from the Data Controller.

Categories of Personal Data: pursuant to the provisions of the Main Agreement, categories of Personal Data may vary in accordance with the usage of the System and bookings made by the User’s clients and may include name, surname, email address and phone number.
To the extent applicable and as may be requested by the User when using the System, various information such as when completing additional fields, adding comment(s) which are/is linked to booking(s) for a relevant individual, details on the status of bookings, whether they attended, or paid for booking may fall under the definition of Personal Data for which You are acting as the Data Controller pursuant to the provisions of this Agreement. The above list is not exhaustive and does necessarily apply to every User.
Special Categories of Personal Data may include information revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade-union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation. Such information may be submitted by Your clients via the System, at Your sole discretion and request, as notes/additional fields information and/or comments. Note that where You have our SOAP custom feature, data at rest will be encrypted.

Operace zpracování: zahrnují standardizované interní procesy, ve kterých jsou data uživatelů systému průběžně nebo systematicky shromažďována, uchovávána a používána pro poskytování služeb, v souladu s Hlavní smlouvou. Zpracovatel údajů bude zpracovávat osobní údaje jménem Správce údajů za účelem používání Systému pro plánování schůzek a přijímání schůzek, zasílání připomínek, zpracování plateb, prodej produktů, vytváření propagačních akcí a dalších souvisejících aktivit povolených našimi vlastními funkcemi.

Příloha 3: Bezpečnostní opatření

1. Příloha 3 Bezpečnostní opatření je součástí DPA a všechny zvýrazněné termíny, které nejsou jinak definovány zde, mají stejný význam, jak je uvedeno v Hlavní dohodě.

2. Opatření zde uvedená jsou součástí ISMS, které bude udržováno v souladu s nejlepšími postupy a standardy a tato část bude čtena ve spojení s oficiální bezpečnostní stránkou společnosti (viz Security - SimplyBook.me) a/nebo dokumenty našeho bezpečnostního balíčku, kde byly poskytnuty.

A. Řízení a správa přístupu

In line with internal Access Control Policy which are part of our ISMS, access rights and permissions internally are role-based and commensurate with their functional responsibilities, in line with the “need-to-know” and “need-to-use” principles. In order to minimise information being disclosed or accessed prematurely, accidentally or unlawfully, the authorisation infrastructure described below has been implemented as part of our system too and:

přístup neoprávněných uživatelů k interním informacím je ve výchozím nastavení zakázán a privilegovaný přístup/aktivity, (ne)oprávněné pokusy o přístup jsou zaznamenávány a řízeny;

Kde je to možné, musí být dvoufaktorová autentizace (2FA) aktivována všemi pracovníky při přístupu do systému pro zpracování osobních údajů a v ostatních případech.

For users of our system, 2FA secure login is available with “Google Authenticator” and “HIPAA” custom features for the User; and Password Management is available with the “Strict Password” custom feature for the User.

B. Šifrování

Společnost používá vhodné šifrovací technologie na ochranu osobních údajů, kde je to relevantní a:

pro data při přenosu, všechny externí komunikace jsou podporovány přes šifrované kanály zabezpečené standardními protokoly (až do TLS 1.3 s AES-128 / AES-256 šifrováním), v závislosti na zapojeném softwaru a povolených podmínkách kompatibility; a

for data at rest (available for SOAP data and medical history with “SOAP with Data Encryption” custom feature).

C. Třídění a zpracování informací

The Company shall have in place an appropriate Record of Processing Operations, an Asset Handling Procedure and an Acceptable Use Policy all of which ensure that all information, including Personal Data are classified in accordance with its criticality and sensitivity to unauthorised access, disclosure or modification.

D. Bezpečnost lidských zdrojů

Společnost přijala přiměřená opatření, aby zajistila, že její zaměstnanci a dodavatelé, kteří mají přístup k osobním údajům, si jsou vědomi a dodržují bezpečnostní a soukromí politiky a postupy.

Opatření zahrnují: (a) ověření pozadí, jako je kontrola trestních rejstříků pro všechny zaměstnance a dodavatele s přístupem k osobním údajům; (b) uzavření Smlouvy o mlčenlivosti a Smlouvy o zpracování údajů pro všechny zaměstnance a dodavatele; (c) účast zaměstnanců a dodavatelů na programech školení a povědomí, zaměřených na ochranu osobních údajů, soukromí a bezpečnost.

E. Provozní bezpečnost

Společnost se zavazuje zajistit správná a bezpečná zařízení pro zpracování osobních údajů tím, že:

řízení změn v systémech a zařízeních zpracování prováděním a udržováním postupů v souladu s interní Politikou řízení změn;

provádění pravidelných záloh a testů záloh, zaváděním a udržováním postupů v souladu s interní zálohovací politikou;

vedení záznamu o událostech s údaji o aktivitách uživatelů, výjimkách, chybách a událostech informační bezpečnosti;

zajistit synchronizaci hodin pro všechny relevantní systémy zpracování informací.

F. Bezpečnost sítě

Společnost implementovala ochranu firewallu, systém detekce vniknutí a pravidelně monitoruje síťovou aktivitu.

G. Bezpečný vývoj

Společnost provádí vývoj softwaru a příslušné podpůrné procesy v souladu s přijatými zásadami bezpečného systémového inženýrství, jako jsou:

Bezpečnost podle návrhu;

Bezpečnostní testování by mělo být prováděno při jakýchkoli změnách nebo nových vývojích;

Prostředí pro vývoj/testování/produkci by měla být oddělena.

H. Hodnocení bezpečnosti a soukromí dodavatele

Společnost provádí bezpečnostní a soukromí posouzení při zapojování nových dodavatelů a poté každý rok dopředu, ve vztahu ke službám, které poskytují SimplyBook.me a uznává odpovědnost informovat Správce údajů o jakýchkoli změnách v poskytování služeb podle Hlavní smlouvy.

I. Kontinuita podnikání a řízení incidentů

Společnost zajišťuje konzistentní přístup ke správě incidentů týkajících se ochrany soukromí a bezpečnosti, včetně komunikace o porušení a slabinách zabezpečení. Konkrétně jsou zavedena Provozní kontinuita a postupy pro řízení incidentů, které jsou pravidelně testovány. Dále máme zavedený postup oznámení o porušení osobních údajů, který je každoročně přezkoumáván.

J. Vnitřní bezpečnostní audity

Společnost provádí periodické hodnocení rizik pro osobní údaje a přezkoumává účinnost implementovaných bezpečnostních politik a postupů.

PŘÍLOHA 4: Seznam subzpracovatelů

1. Čtěte tuto přílohu 4 ve spojení s článkem 5 a dalšími příslušnými ustanoveními DPA.

2. Where applicable, respective Sub-Processors will apply when you enable and/or integrate their systems to Your Account as made available to the system and the official website of SimplyBook.me Ltd here: https://simplybook.me/en/integrations.

Příloha 5: Standardní smluvní doložky & UK IDTA

1. V souladu s GDPR je poslední verze Standardních smluvních doložek dostupných na oficiálních stránkách Evropské komise (nalezených zde) implementována odkazem v tomto dokumentu a tvoří součást tohoto DPA. Mohou být pozměněny, pozastaveny nebo nahrazeny a strany se tímto vzájemně dohodly a rozumí tomu, že:

(a) Společnost přijímá práva a povinnosti Importéra údajů a Vy práva a povinnosti Exportéra údajů, jak je uvedeno ve Standardních smluvních doložkách, a ty vstupují v platnost později, jakmile se k nim kterákoliv Strana připojí a začne příslušný přenos údajů.

(b) Modul Dva: Přenos mezi Správcem a Zpracovatelem je přijat;

(c) v Klauzuli 7 se použije volitelná doložka o dokování;

(d) v Klauzuli 9 se použije možnost 2 a změny v Sub-zpracovatelích budou oznámeny v souladu s částí 'Sub-zpracovatelé' tohoto DPA a Přílohy 4 výše;

(e) v Klauzuli 11 je volitelný jazyk odstraněn;

(f) in Clauses 17 and 18, the parties agree that the governing law and forum for disputes for the Standard Contractual Clauses will be determined in accordance with the 'Contracting Entity; Applicable Law; Notice’ section of the Jurisdiction Specific Terms or, if such section does not specify an EU Member State, the Republic of Ireland (without reference to conflicts of law principles);

(g) the Annexes of the Standard Contractual Clauses will be deemed completed with the information for the User as relevant and set out in the Annexes of this DPA;

(h) the supervisory authority that will act as competent supervisory authority will be determined in accordance with GDPR;

(i) if and to the extent the Standard Contractual Clauses conflict with any provision of this DPA the Standard Contractual Clauses will prevail to the extent of such conflict.

2. Under the Swiss Federal Data Protection Act and its Ordinance ("Swiss DPA"), in line with point 1 above, and below points, the Standard Contractual Clauses will apply and references to "Regulation (EU) 2016/679" will be interpreted as references to the Swiss DPA, to "EU", "Union" and "Member State law" will be interpreted as references to Swiss law, to the "competent supervisory authority" and "competent courts" will be replaced with the "the Swiss Federal Data Protection and Information Commissioner " and the "relevant courts in Switzerland".

3. Under and for the purposes of UK GDPR, in line with point 1 above, and below sub-points 2.1. to 2.3., the latest version of the UK IDTA, as may be amended, suspended or replaced and currently made available on the official website of the UK Information Commissioner's Office (“ICO”) (found here), shall be implemented by reference herein, followed for the subject matter and forming part of this DPA.

2.1. The Standard Contractual Clauses are hereby modified and interpreted to align with the UK IDTA, incorporated by reference and form an integral part.

2.2. Information of Annexes to this DPA complete the information required at Tables 1, 2 and 3 of the UK IDTA and Table 4 will be deemed completed by selecting “neither party”.

4. Any conflict between the terms of the Standard Contractual Clauses and the UK IDTA will be resolved in accordance with Section 10 and Section 11 of the UK Addendum.

Get the full signed version of our DPA - this will contain the full version of the latest SCC- here.