Denne databehandlingsaftale ("DPA"/"Aftale ") fra SimplyBook.me Ltd er udarbejdet i henhold til artikel 28 i EU's generelle databeskyttelsesforordning ("GDPR"), og det er en juridisk bindende aftale mellem SimplyBook.me Ltd og dig (brugeren af SimplyBook.me-softwareløsningen). Det anbefales, at du læser dette dokument omhyggeligt sammen med:
Når du bruger virksomhedsløsningerne i et af vores produkter og/eller tjenester, gælder bestemmelserne heri, medmindre der er underskrevet en separat databehandlingsaftale som en del af den juridiske aftale for det pågældende produkt eller den pågældende tjeneste.
Med henblik på at sikre overholdelse af GDPR og/eller identitetsændringer i vores forretningsdrift kan vi foretage rimelige ændringer af nedenstående bestemmelser. Du vil blive underrettet, når vigtige ændringer træder i kraft.
Du kan downloade og få en underskrevet kopi af denne DPA.
Hvis du har spørgsmål om denne DPA, bedes du kontakte os
Version: 3.0
Sidst opdateret: 07/03/2024
Ikrafttrædelsesdato: 07/03/2024
Tidligere version tilgængelig her
1.1. Ud over de udtryk, der er defineret andetsteds i denne aftale og hovedaftalen, skal udtrykkene i bilag 1 ("Definitioner") have den betydning, der er angivet deri, for alle formål i forbindelse med emnet herfor.
1.2. Parterne er gensidigt enige om og forstår, at alle definitioner i de europæiske databeskyttelseslove er vedtaget med henblik på denne aftale.
2.1. I overensstemmelse med bestemmelserne i denne DPA og hovedaftale er du som dataansvarlig ansvarlig for at overholde alle krav, der gælder for dine aktiviteter i henhold til gældende databeskyttelseslove, til behandling af personoplysninger.
2.2. Du accepterer og anerkender, uden at det berører det generelle i nedenstående, at du er ansvarlig for: (i) nøjagtigheden, kvaliteten og lovligheden af de personoplysninger, du giver virksomheden med henblik på tjenesterne, samt midlerne og metoderne til at erhverve dem; (ii) overholdelse af alle nødvendige krav til gennemsigtighed og lovlighed i henhold til gældende databeskyttelseslove, herunder europæiske databeskyttelseslove; (iii) for indsamling og brug af personoplysningerne, herunder indhentning af eventuelle nødvendige samtykker og tilladelser, især til brug af brugeren til markedsføringsformål; (iv) at sikre, at du har ret til at overføre eller give adgang til personoplysningerne til os med henblik på behandling i overensstemmelse med vilkårene i denne DPA og hovedaftalen; (v) at sikre, at du overholder alle love, der gælder for dig, herunder, men ikke begrænset til, databeskyttelseslove, for alle e-mails eller andet indhold, der oprettes, sendes eller på anden måde administreres via vores tjenester.
2.3. Du bekræfter og accepterer hermed at informere virksomheden straks og uden unødig forsinkelse, hvis du ikke er i stand til at overholde dine forpligtelser heri, og specifikt i henhold til de gældende databeskyttelseslove.
2.4. Du anerkender og forstår hermed, at bestemmelserne heri og alle relevante bestemmelser i hovedaftalen og enhver yderligere skriftlig anmodning i din egenskab af registreret; skal udgøre de fuldstændige og endelige instruktioner fra dig som dataansvarlig i forbindelse med denne DPA for og i relation til behandlingen af dine personoplysninger.
2.5.Du anerkender, forstår og accepterer hermed, at enhver yderligere instruktion uden for anvendelsesområdet heri kræver din forudgående skriftlige anmodning.
3.1. The Company shall only Process Personal Data for the purpose of described in this DPA and in line with Annex 2 herein (the “Details of Processing”) or as otherwise agreed within the scope of your lawful Instructions, except where and to the extent otherwise required by the Data Protection Laws, including but not limited to European Data Protection Laws and other applicable laws and regulations relevant to the Parties.
3.2. Virksomheden holdes ikke ansvarlig og ansvarlig for overholdelse af gældende databeskyttelseslove, der udelukkende gælder for dig og / eller din branche og ikke er lovligt gældende for SimplyBook.me Ltd's operationer.
3.3. Virksomheden skal straks og uden unødig forsinkelse underrette dig, i det omfang loven tillader det, hvis det vurderes, at sidstnævnte ikke er i stand til at behandle personoplysninger i overensstemmelse med bestemmelserne i denne DPA og på grund af juridiske krav i gældende love og/eller regler.
3.4. Virksomheden skal sikre, at behandling af personoplysninger som en del af team.blue Group er i overensstemmelse med bestemmelserne i vores interne Global Data Sharing Framework og udelukkende for at forbedre koordineringen og ressourceallokeringen ved at dele data internt mellem de forskellige brands og datterselskaber, specifikt til markedsføringsstatistikker, intern administration og rapporteringsformål, men kun i en mængde, der er nødvendig for den tilsigtede brug, og med passende sikkerhedsforanstaltninger på plads for at forhindre uautoriseret adgang eller videregivelse.
3.5. By considering the state of art, the costs of implementing and the nature, scope, context and purposes of Processing of Personal Data pursuant to the provisions of this DPA, as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons; the Company shall implement and maintain appropriate technical and organisational measures to ensure the appropriate level of security to that risk, as per provisions of Annex 3 herein (collectively the “Security Measures”).
3.6. Virksomheden skal sikre, at sikkerhedsforanstaltningerne udgør en del af dens implementerede ledelsessystem for informationssikkerhed ("ISMS") i overensstemmelse med ISO/IEC 27001-standarden og et certifikat udstedt af et akkrediteret certificeringsorgan.
3.7. Notwithstanding any provision to the contrary, the Company may modify or update the Security Measures at our discretion provided that such modification or update does not result in a material degradation in the protection offered by the Security Measures and/or comply with relevant laws and legal obligations.
3.8. Virksomheden sikrer hermed, at enhver medarbejder eller udpeget person, der er autoriseret til at behandle personoplysninger for og på vores vegne, er underlagt passende fortrolighedsforpligtelser, kontraktlige og lovbestemte forpligtelser med hensyn til disse personoplysninger.
3.9. Virksomheden accepterer hermed at underrette straks og uden unødig forsinkelse, når den bliver opmærksom på ethvert brud på personoplysninger, i henhold til bestemmelserne i gældende databeskyttelseslove og om nødvendigt give dig oplysninger, når de bliver kendt eller med rimelighed anmodet om af dig.
3.10. Virksomheden accepterer hermed straks at give dig en sådan rimelig assistance, som er nødvendig for at gøre det muligt at underrette relevante brud på personoplysninger til kompetente myndigheder og/eller berørte registrerede i henhold til de gældende databeskyttelseslove og med forbehold for din skriftlige anmodning.
3.11. Virksomheden accepterer hermed at slette eller returnere til dig alle personoplysninger, der vedrører hovedaftalen og denne DPA, herunder men ikke begrænset til kopier af personoplysninger, der blev behandlet med henblik på denne DPA, ved opsigelse eller udløb af tjenester, i overensstemmelse med de relevante bestemmelser i hovedaftalen.
3.12. Kravet heri skal udøves i henhold til enhver gældende lov, der kan kræve at opbevare nogle eller alle personoplysninger, med forbehold for yderligere sikkerhedsforanstaltninger såsom isolering og beskyttelse mod yderligere behandling.
4.1. Du anerkender, accepterer og accepterer hermed, at virksomheden skal give dig kontroller i softwaren, hvorigennem du kan hente, rette, slette eller begrænse personoplysninger for at hjælpe dig i forbindelse med kravene i databeskyttelseslovgivningen.
4.2. Virksomheden kan, med forbehold af en skriftlig anmodning fra dig, yde rimelig bistand til at besvare anmodninger fra registrerede eller anmodninger fra databeskyttelsesmyndigheder vedrørende behandling af personoplysninger i henhold til denne DPA, med forbehold af enhver refusion, der anses for nødvendig.
4.3. Du påtager dig det fulde, eksklusive og eneste ansvar for at svare på anmodninger om registrerede eller anden kommunikation vedrørende behandling af personoplysninger fra enkeltpersoner, der er identificeret som din klient og kan adresseres til virksomheden, med forbehold for hurtig meddelelse om en sådan anmodning fra os til dig.
5.1. Du anerkender, accepterer og godkender hermed udnævnelsen af underdatabehandlere til behandling af personoplysninger i henhold til denne DPA og hovedaftalen, der er inkluderet i bilag 4 heri, listen over underdatabehandlere, baseret på hvilken nogle underdatabehandlere vil gælde som standard, og nogle underdatabehandlere vil kun gælde, hvis du integrerer dem på din konto, i henhold til afsnittet på den officielle hjemmeside: https://simplybook.me/en/integrations
5.2. Virksomheden sikrer hermed, at hvis der udpeges en underdatabehandler, skal den relevante juridiske aftale, der skal indgås mellem disse, indeholde passende databeskyttelsesvilkår, der er underlagt passende databeskyttelseslove og pålægger mindst det samme beskyttelsesniveau for personoplysninger som bestemmelserne i denne DPA og, hvor det anses for nødvendigt, indeholde den seneste version af standardkontraktbestemmelser, som udstedt af Europa-Kommissionen.
5.3. Virksomheden må ikke engagere andre underdatabehandlere og/eller fjerne allerede udpegede underdatabehandlere, der vedrører deres forretningsdrift og ikke som en del af en tilbudt integration; hvor du er underrettet om ændringen i vores liste over underdatabehandlere, og du kan indsende en indsigelse inden for 15 (femten) dage ved at sende en e-mail til dpo@simplybook.me eller legal@simplybook.me, som er accepteret af virksomheden.
5.4. Virksomheden forbliver ansvarlig for hver underdatabehandlers overholdelse af forpligtelserne i denne DPA og for enhver handling eller undladelse fra en sådan underdatabehandler, der får os til at overtræde nogen af dens forpligtelser i henhold til denne DPA.
6.1. Du anerkender, samtykker og autoriserer hermed virksomheden, med forbehold af bestemmelserne heri, til at udføre nødvendige dataoverførsler til interne og eksterne forretningsoperationer til tredjeparter, der er identificeret som underbehandlere heri, og som kan være placeret uden for EU og/eller EØS.
6.2. I henhold til punkt 6.1. ovenfor bekræfter og accepterer begge parter hermed, at enhver dataoverførsel udelukkende vil blive udført med henblik på hovedaftalen, denne DPA og eventuelle yderligere skriftlige instruktioner, der er meddelt fra dig til virksomheden, kun for emnet.
6.3. Parten accepterer hermed gensidigt, at virksomheden i henhold til punkt 6 heri skal udføre alle dataoverførsler i henhold til bestemmelserne i kapitel 5 (artikel 44-50) i GDPR og altid i overensstemmelse med kravene i gældende databeskyttelseslovgivning i løbet af denne DPA og hovedaftalen.
6.4. I henhold til punkt 6.3 ovenfor må virksomheden ikke udføre nogen dataoverførsel af europæiske data til et land eller en modtager, der ikke er anerkendt som et tilstrækkeligt beskyttelsesniveau for personoplysninger i overensstemmelse med bestemmelserne i de europæiske databeskyttelseslove; medmindre der først træffes sådanne foranstaltninger for at sikre, at overførslen er i overensstemmelse med gældende europæiske databeskyttelseslove.
6.5. I henhold til punkt 6.4 ovenfor skal virksomheden ikke godkende nogen dataoverførsel til et land, der ikke er anerkendt som et tilstrækkeligt beskyttelsesniveau via:
6.5.1. en gyldig afgørelse om tilstrækkelighed udstedt af Europa-Kommissionen, med forbehold af artikel 45 i GDPR, og som dette kan illustreres på Europa-Kommissionens officielle websted ( afgørelser om tilstrækkelighed ); og/eller
6.5.2. godkendte og autoriserede bindende virksomhedsregler, med forbehold af artikel 47 i GDPR; og/eller
6.5.3. indgåelse af og tillid til godkendte standardkontraktbestemmelser, underlagt relevant europæisk databeskyttelseslovgivning og i henhold til Europa-Kommissionens officielle websted ( Standardkontraktbestemmelser (SCC) ).
6.6. Parterne anerkender og accepterer hermed, at SimplyBook.me ikke skal stole på EU-US Privacy Shield og relaterede principper med henblik på overførsel af personoplysninger og sikre, at der træffes passende foranstaltninger for at overholde gældende databeskyttelseslove, som kan ændres fra tid til anden, idet de stoler på databeskyttelsesrammen, i det omfang det er relevant og gyldigt.
6.7. Hvor det er nødvendigt, indgår parterne hermed standardkontraktbestemmelser, som skal indarbejdes ved henvisning og udgøre en del af denne aftale i henhold til gældende relevante bestemmelser i bilag 5 nedenfor og emnet heri.
7.1. English: This part of the DPA applies to European Data for the purposes of the Main Agreement.
7.2. Parterne er hermed enige om, at når du behandler europæiske data i overensstemmelse med instruktionerne, er du den ansvarlige for europæiske data, og SimplyBook.me Ltd er processoren.
7.3. SimplyBook.me forbeholder sig ret til at informere dig, hvor instruktioner overtræder europæiske databeskyttelseslove, som og når det er relevant, uden unødig forsinkelse.
7.4. Virksomheden vil foretage eventuelle nødvendige ændringer i bilag 4 vedrørende de udpegede underdatabehandlere og give dig mulighed for at blive underrettet via din konto, i hvilket tilfælde du har mulighed for at gøre indsigelse mod engagementet af rimelige grunde vedrørende denne DPA og inden for 15 (femten) dage efter en sådan meddelelse.
7.5. The Company shall, to the extent that the required information is reasonably available and you do not otherwise have access to the required information; provide reasonable assistance to You with any Data Protection Impact Assessments (“DPIA”), and prior consultations with Supervisory Authorities or other competent Data Privacy Authorities to the extent required by European Data Protection Laws.
7.6. SimplyBook.me skal gøre alle oplysninger, der med rimelighed er nødvendige for at demonstrere overholdelse af bestemmelserne heri, tilgængelige for dig og kan give mulighed for revisioner, herunder men ikke begrænset til inspektioner.
7.7. Databehandleren har udpeget en databeskyttelsesansvarlig ("DPO") i overensstemmelse med de europæiske databeskyttelseslove og kan kontaktes med henblik på denne DPA og hovedaftale via e-mail: dpo@simplybook.me.
7.8. Denne del af DPA'en gælder for andre personlige data end europæiske data i henhold til bestemmelserne i gældende databeskyttelseslove.
7.9. Parterne er enige om, at SimplyBook.me Ltd skal behandle sådanne personlige data strengt i overensstemmelse med gældende databeskyttelseslove og udelukkende med det formål at levere tjenesterne i henhold til bestemmelserne i hovedaftalen.
7.10. Parterne skal indgå alle yderligere aftaler, der kræves i henhold til loven, med henblik på at overholde de gældende databeskyttelseslove.
8.1. Når du tilmelder dig og accepterer vilkår og betingelser og/eller juridiske bestemmelser for SimplyBook.me-softwareløsningen, indgår du som bruger af systemet denne DPA på vegne af dig selv, og hvor det er relevant og i det omfang, det er tilladt ved lov og gældende databeskyttelseslove, i navnet og på vegne af dine tilladte tilknyttede virksomheder, hvilket etablerer en separat DPA mellem os og hver sådan tilladt tilknyttet virksomhed, der er underlagt aftalen og bestemmelserne heri.
8.2. Du accepterer og anerkender hermed, at hvert tilladt datterselskab accepterer at være bundet af forpligtelserne i denne DPA og som gældende for hovedaftalen.
8.3. Du accepterer og anerkender hermed, at i det omfang loven tillader det, vil "bruger", "du" og "din" i forbindelse med denne DPA og medmindre andet er angivet heri, omfatte dig og sådanne tilladte associerede selskaber.
8.4. Den juridiske enhed, der accepterer denne DPA som bruger, erklærer, at den er autoriseret til at acceptere og indgå denne DPA for og på vegne af sig selv og, hvor det er relevant, hver af sine tilladte tilknyttede virksomheder.
9.1. Denne DPA forbliver i kraft fra ikrafttrædelsesdatoen, og indtil den dataansvarlige eller databehandleren opsiger hovedaftalen i overensstemmelse med gældende bestemmelser.
9.2. Denne DPA kan opsiges af begge parter med 30 (tredive) dages skriftligt varsel i henhold til bestemmelserne i hovedaftalen og ved at annullere systemet i systemindstillingerne.
9.3. Uanset alt andet modsat i denne DPA og hovedaftale forbeholder SimplyBook.me sig retten til at foretage opdateringer og ændringer af denne DPA underlagt eventuelle yderligere vilkår heri.
9.4. Hvis enkelte bestemmelser i denne DPA anses for at være ugyldige eller ikke kan håndhæves, vil gyldigheden og håndhævelsen af de øvrige bestemmelser i denne DPA ikke blive påvirket.
9.5. Ingen af parterne må uden forudgående skriftligt samtykke fra den anden part overdrage, overføre, belaste, licensere eller på anden måde handle med eller afhænde nogen kontraktlige rettigheder eller forpligtelser i henhold til denne aftale.
9.6. Parternes og de tilladte associerede selskabers ansvar, der opstår som følge af eller i forbindelse med denne DPA i sin helhed, uanset om der er tale om kontrakt, erstatning eller anden form for ansvar, vil være underlagt de ansvarsbegrænsninger og -fritagelser, der er anført i hovedaftalen.
9.7. Parterne er hermed enige om og accepterer valget af den jurisdiktion, der er angivet i hovedaftalen med hensyn til denne DPA.
Dette bilag 1: Definitioner udgør en del af DPA'en.
"Dataansvarlig": betyder den fysiske eller juridiske person, offentlige myndighed, agentur eller andet organ, der alene eller i fællesskab med andre bestemmer formålene med og midlerne til behandling af personoplysninger.
"Databehandler": betyder en fysisk eller juridisk person, offentlig myndighed, agentur eller andet organ, der behandler personoplysninger på vegne af den dataansvarlige.
“Data Protection Laws”: means all applicable worldwide legislation relating to data protection and privacy which applies to the respective Party in the role of Processing Personal Data in question under the Agreement, including without limitation: (1) the European Data Protection Laws; (2) the California Consumer Privacy Act of 2018 (“CCPA”); (3) the data protection and privacy laws of Australia and Singapore; (4) and other; in each case as amended, repealed, consolidated or replaced from time to time.
"Denregistrerede": betyder den person, som personoplysningerne vedrører.
"EU-US Privacy Shield": det selvcertificeringsprogram, der drives af det amerikanske handelsministerium og er godkendt af Europa-Kommissionen, som kan ændres, erstattes eller erstattes.
"Europe": means the European Union, the European Economic Area and/or their member states.
"Europæiske databeskyttelseslove": betyder databeskyttelseslove, der gælder i Europa, herunder: (1) Forordning 2016/679 - EU's generelle databeskyttelsesforordning ("GDPR"); (2) Direktiv 2002/58/EF - direktivet om privatlivets fred og elektronisk kommunikation; (3) gældende nationale implementeringer af 1 og 2 punkter ovenfor; (4) enhver gældende national lovgivning, der erstatter eller konverterer GDPR i national lovgivning; (5) Data Protection Act 2018 i Det Forenede Kongerige ("UK GDPR"); i hvert tilfælde, som kan ændres, erstattes eller erstattes.
"Europæiske data": betyder personlige data, der er underlagt beskyttelsen af europæiske databeskyttelseslove, defineret nedenfor.
"Instruktioner": enhver skriftlig, dokumenteret instruktion udstedt af den dataansvarlige til databehandleren, og som pålægger denne at udføre en specifik eller generel handling med hensyn til personoplysninger, herunder, men ikke begrænset til, afpersonificering, blokering, sletning, tilgængeliggørelse.
"Tilladte datterselskaber": skal omfatte ethvert af dine datterselskaber, der har tilladelse til at få tjenesterne på dine vegne i henhold til hovedaftalen, men ikke har underskrevet deres egen separate aftale med os og ikke er brugere og kvalificerer sig som en controller af personoplysninger, der behandles af os, og kan være underlagt europæiske databeskyttelseslove.
"Brud på persondatasikkerheden": betyder et brud på sikkerheden, der fører til utilsigtet eller ulovlig ødelæggelse, tab, ændring, uautoriseret videregivelse af eller adgang til persondata, der overføres, opbevares eller på anden måde behandles af os og/eller vores underbehandlere i forbindelse med levering af tjenesterne, men omfatter ikke mislykkede forsøg eller aktiviteter, der ikke bringer persondatasikkerheden i fare, herunder mislykkede log-in-forsøg, pings, portscanninger, denial of service-angreb og andre netværksangreb på firewalls eller netværkssystemer.
"Personlige data": betyder alle oplysninger vedrørende en identificeret eller identificerbar person, hvor sådanne oplysninger er indeholdt i kontoen (som defineret i hovedaftalen) og er beskyttet som andre personlige oplysninger eller personligt identificerbare oplysninger i henhold til gældende databeskyttelseslovgivning.
"Behandling": betyder enhver handling eller række af handlinger, der udføres på personoplysninger, herunder indsamling, registrering, organisering, strukturering, opbevaring, tilpasning eller ændring, hentning, konsultation, brug, videregivelse ved transmission, formidling eller anden tilgængeliggørelse, justering eller kombination, begrænsning eller sletning af personoplysninger, og udtrykkene "behandle", "behandler" og "behandlet" vil blive fortolket i overensstemmelse hermed.
“Services”: shall have the same meaning as in the Main Agreement.
"Standardkontraktbestemmelser": betyder standardkontraktbestemmelserne for databehandlere, der er godkendt i henhold til Europa-Kommissionens relevante beslutning, og som er inkluderet i bilag 5, der udgør en del af aftalen, og som kan ændres, afløses eller erstattes.
"Underbehandler": betyder enhver databehandler, der er ansat af os til at hjælpe med at opfylde vores forpligtelser med hensyn til levering af tjenesterne i henhold til hovedaftalen og kan omfatte tredjeparter, undtagen enhver medarbejder eller konsulent hos SimplyBook.me Ltd.
"UK IDTA" betyder det skabelontillæg, der er udstedt af UK Information Commissioner's Office ("ICO") og her: International Data Transfer Addendum to the EU Commission Standard Contractual Clauses, og som gjort tilgængelig på den officielle hjemmeside for ICO International data transfer agreement and guidance | ICO, og som kan blive ændret, suspenderet eller erstattet.
Dette bilag 2: Detaljer om behandling er en del af DPA.
Processens art og formål: Virksomheden vil behandle personoplysninger som påkrævet med henblik på at levere tjenesterne i henhold til hovedaftalen, og som yderligere kan specificeres i yderligere dokumentation, der udgør en del af hovedaftalen og DPA.
Duration of the Processing: subject to any provisions contained herein specifying otherwise, Processing of Personal Data shall occur for the duration of the Main Agreement, unless otherwise agreed in writing.
Categories of Data Subjects: pursuant to the provisions of the Main Agreement, Data Subjects shall include any type of User’s clients and therefore may vary by the system usage from the Data Controller.
Categories of Personal Data: pursuant to the provisions of the Main Agreement, categories of Personal Data may vary in accordance with the usage of the System and bookings made by the User’s clients and may include name, surname, email address and phone number.
To the extent applicable and as may be requested by the User when using the System, various information such as when completing additional fields, adding comment(s) which are/is linked to booking(s) for a relevant individual, details on the status of bookings, whether they attended, or paid for booking may fall under the definition of Personal Data for which You are acting as the Data Controller pursuant to the provisions of this Agreement. The above list is not exhaustive and does necessarily apply to every User.
Special Categories of Personal Data may include information revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade-union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation. Such information may be submitted by Your clients via the System, at Your sole discretion and request, as notes/additional fields information and/or comments. Note that where You have our SOAP custom feature, data at rest will be encrypted.
Behandlingsoperationer: omfatter de standardiserede interne processer, hvor systembrugernes data løbende eller systematisk indsamles, opbevares og bruges til levering af tjenesterne i overensstemmelse med hovedaftalen. Databehandleren vil behandle personoplysninger på vegne af den dataansvarlige med henblik på at bruge aftaleplanlægningssystemet og acceptere aftaler, sende påmindelser, behandle betalinger, sælge produkter, lave kampagner og andre relaterede aktiviteter, der er tilladt af vores brugerdefinerede funktioner.
1. Dette bilag 3 Sikkerhedsforanstaltninger udgør en del af DPA'en, og alle udtryk med stort begyndelsesbogstav, som ikke er defineret på anden vis heri, har samme betydning som i hovedaftalen.
2. Foranstaltningerne heri udgør en del af ISMS, som skal opretholdes i overensstemmelse med bedste praksis og standarder, og dette afsnit skal læses sammen med virksomhedens officielle sikkerhedsside (se Sikkerhed - SimplyBook.me) og/eller dokumenter i vores sikkerhedspakke, hvor det blev gjort tilgængeligt.
I overensstemmelse med den interne adgangskontrolpolitik, som er en del af vores ISMS, er adgangsrettigheder og tilladelser internt rollebaserede og står i forhold til deres funktionelle ansvar i overensstemmelse med principperne om "need-to-know" og "need-to-use". For at minimere, at oplysninger afsløres eller tilgås for tidligt, ved et uheld eller ulovligt, er den autorisationsinfrastruktur, der er beskrevet nedenfor, også implementeret som en del af vores system:
adgang til interne oplysninger fra uautoriserede brugere er som standard forbudt, og privilegeret adgang/aktiviteter, (u)autoriserede adgangsforsøg logges og administreres;
hvor det er tilgængeligt, skal 2FA-godkendelse aktiveres af alt personale, når de får adgang til systemet til behandling af personoplysninger og andet.
For brugere af vores system er 2FA-sikkert login tilgængeligt med "Google Authenticator" og "HIPAA"-tilpassede funktioner for brugeren; og adgangskodestyring er tilgængelig med den tilpassede funktion "Strict Password" for brugeren.
Virksomheden bruger passende krypteringsteknologier til at beskytte personoplysninger og, hvor det er relevant, og:
for data i transit understøttes al ekstern kommunikation via krypterede kanaler, der er sikret med standardprotokoller (op til TLS 1.3 med AES-128/AES-256-kryptering), afhængigt af den eller de involverede software(r) og tilladte kompatibilitetsforhold; og
for data i hvile (tilgængelig for SOAP-data og sygehistorie med den tilpassede funktion "SOAP med datakryptering").
The Company shall have in place an appropriate Record of Processing Operations, an Asset Handling Procedure and an Acceptable Use Policy all of which ensure that all information, including Personal Data are classified in accordance with its criticality and sensitivity to unauthorised access, disclosure or modification.
Virksomheden har truffet rimelige foranstaltninger for at sikre, at dens medarbejdere og entreprenører, som har adgang til personoplysninger, er opmærksomme på og overholder sikkerheds- og privatlivspolitikkerne og -procedurerne.
Foranstaltningerne omfatter: (a) baggrundskontrol, såsom kontrol af straffeattester for alle medarbejdere og entreprenører med adgang til persondata; (b) indgåelse af fortrolighedsaftale og databehandlingsaftale for alle medarbejdere og entreprenører; (c) medarbejderes og entreprenørers deltagelse i uddannelses- og bevidsthedsprogrammer med fokus på beskyttelse af persondata, privatliv og sikkerhed.
Virksomheden er forpligtet til at sikre, at korrekte og sikre faciliteter til behandling af personoplysninger af:
controlling the changes to the processing systems and facilities by implementing and maintaining procedures in line with the internal Change Management Policy;
udføre regelmæssige sikkerhedskopier og test af sikkerhedskopier ved at implementere og vedligeholde procedurer i overensstemmelse med den interne sikkerhedskopieringspolitik;
vedligeholdelse af hændelseslogning med registreringer af brugeraktiviteter, undtagelser, fejl og informationssikkerhedshændelser;
ensure clock synchronisation for all relevant Information Processing Systems.
Virksomheden har implementeret en firewallbeskyttelse, et system til opdagelse af indtrængen og overvåger regelmæssigt netværksaktiviteten.
Virksomheden udfører softwareudvikling og relevante supportprocesser i henhold til vedtagne principper for sikker systemudvikling som f.eks:
Sikkerhed gennem design;
Der skal udføres sikkerhedstest for alle ændringer eller nyudviklinger;
Udviklings-/test-/produktionsmiljøer skal være adskilt.
Virksomheden udfører sikkerheds- og fortrolighedsvurderinger af, når de ansætter nye leverandører og derefter hvert år fremover, i forhold til de tjenester, de leverer SimplyBook.me og anerkender ansvaret for at informere den dataansvarlige om eventuelle ændringer i leveringen af tjenester i henhold til hovedaftalen.
Virksomheden sikrer en konsekvent tilgang til håndtering af privatlivs- og sikkerhedshændelser, herunder kommunikation om sikkerhedsbrud og -svagheder. Specifikt er der indført en procedure for forretningskontinuitet og hændelsesstyring, som testes regelmæssigt. Derudover har vi en procedure for anmeldelse af brud på persondatasikkerheden, som gennemgås hvert år.
Virksomheden foretager periodiske vurderinger af risici for persondata og gennemgår effektiviteten af de implementerede sikkerhedspolitikker og -procedurer.
1. Læs dette bilag 4 sammen med paragraf 5 og andre gældende bestemmelser i databeskyttelsesforordningen.
2. Hvor det er relevant, vil de respektive underprocessorer gælde, når du aktiverer og/eller integrerer deres systemer på din konto som gjort tilgængelig for systemet og den officielle hjemmeside for SimplyBook.me Ltd her: https://simplybook.me/en/integrations.
| Enhed | Formål med behandling/service | Placering og mål |
|---|---|---|
| Live Agent | Tjenester og support: live chat-tjenester via vores hjemmeside | Slovakia (EU) |
| Slap af | Services & Support: internt meddelelsessystem til kommunikation | USA |
| Linode | Services & Support: Udbydere af udgående e-mails | UK |
| PandaDoc | Services & Support: elektroniske signaturer - hvor du underskriver vores DPA eller andre aftaler elektronisk | USA |
| Ansvarligt hovedkvarter | Services & Support: funktionalitet til elektroniske signaturer for BAA | USA |
| Twilio Inc. | Tjenester og support: SMS-udbyder | USA |
| Brevo (Sendinblue) | Tjenester og support: e-mail-udbyder | France: Frankrig |
| Nexmo (Vonage Holdings Corp.) | Tjenester og support: SMS-udbyder | UK |
| Hubspot | Tjenester og support: CRM til virksomhedsbrugere | Tyskland |
| Savio.io | Tjenester og support: feedback management | Kanade |
| Google Inc. | Hosting og infrastruktur: servere - begge steder gælder | USA, Canada, Belgien og Australien |
| OVH | Hosting og infrastruktur: servere - begge steder gælder | Storbritannien, Canada, Frankrig & Singapore, Australien |
| MaxMind, Inc. | Tjenester & support & statistik & analyse: Efterretningstjenester for IP-adresser | USA |
| Matomo | Statistik og analyse: selvhostede tjenester med Google Cloud | UK |
| Leadinfo | Statistik og analyse: Hjemmesideoptimering for virksomhedsbrugere | Holland |
Udbydere af betalingstjenester (PSP): |
||
| Nuvei (tidligere Safecharge) | Vigtig PSP: betalingsformidling | Canada |
| PayPal | Vigtig PSP: betalingsformidling | USA |
| JCC | Vigtig PSP: betalingsbehandling for brugere på Cypern | Cypern |
Vigtige integrationer/funktioner: |
||
| Meta (Facebook) | Hosting og infrastruktur: tilføj widget-muligheder med Facebook- og Instagram-bookingfunktion | USA |
| Hosting og infrastruktur: tilføj widget-muligheder med Facebook- og Instagram-bookingfunktion | USA | |
| Outlook (Microsoft) | Hosting og infrastruktur: brug af Outlook-kalenderens 2-vejs-synkroniseringsfunktion | USA |
|
Andre enheder i henhold til den specifikke funktion, der er aktiveret på din konto, kan gælde i henhold til tilgængelige integrationer. |
||
1. I henhold til og med henblik på GDPR implementeres den seneste version af standardkontraktbestemmelserne, der er tilgængelige på Europa-Kommissionens officielle websted (findes her), ved henvisning heri, følges for emnet og udgør en del af denne DPA, og som kan ændres, suspenderes eller erstattes, og parterne forstår og accepterer hermed gensidigt, at:
(a) virksomheden påtager sig dataimportørens rettigheder og forpligtelser og du dataeksportørens rettigheder og forpligtelser, som defineret i standardkontraktbestemmelserne, og de træder i kraft på det seneste tidspunkt, hvor en af parterne bliver part i dem, og påbegyndelsen af den relevante dataoverførsel;
(b) Modul to: Overførsel mellem controller og processor er vedtaget;
(c) i paragraf 7, gælder den valgfrie dockingklausul;
(d) i punkt 9, gælder mulighed 2, og ændringer af underdatabehandlere vil blive meddelt i overensstemmelse med afsnittet "Underdatabehandlere" i denne DPA og bilag 4 ovenfor;
(e) i paragraf 11 er det valgfrie sprog slettet;
(f) i punkt 17 og 18 er parterne enige om, at den gældende lov og forummet for tvister for standardkontraktbestemmelserne bestemmes i overensstemmelse med afsnittet "Ordregiver; gældende lov; meddelelse" i de jurisdiktionsspecifikke vilkår eller, hvis et sådant afsnit ikke angiver en EU-medlemsstat, Republikken Irland (uden henvisning til lovkonfliktprincipper);
(g) bilagene til standardkontraktbestemmelserne vil blive anset for at være udfyldt med de oplysninger for brugeren, der er relevante og angivet i bilagene til denne DPA;
(h) den tilsynsmyndighed, der vil fungere som kompetent tilsynsmyndighed, vil blive fastlagt i overensstemmelse med GDPR;
(i) hvis og i det omfang standardkontraktbestemmelserne er i modstrid med nogen bestemmelse i denne DPA, vil standardkontraktbestemmelserne have forrang i det omfang, der er en sådan modstrid.
2. I henhold til den schweiziske føderale databeskyttelseslov og dens forordning ("schweiziskDPA") gælder standardkontraktbestemmelserne i overensstemmelse med punkt 1 ovenfor og nedenstående punkter, og henvisninger til "forordning (EU) 2016/679" fortolkes som henvisninger til den schweiziske DPA, til "EU", "Unionen" og "medlemsstaternes lovgivning" fortolkes som henvisninger til schweizisk lovgivning, til den "kompetente tilsynsmyndighed" og "kompetente domstole" erstattes med "den schweiziske føderale databeskyttelses- og informationskommissær" og de "relevante domstole i Schweiz".
3. I henhold til og med henblik på UK GDPR, i overensstemmelse med punkt 1 ovenfor og underpunkterne 2.1. til 2.3., skal den seneste version af UK IDTA, som kan ændres, suspenderes eller erstattes og i øjeblikket gøres tilgængelig på den officielle hjemmeside for UK Information Commissioner's Office ("ICO") (findes her), implementeres ved henvisning heri, følges for emnet og udgør en del af denne DPA.
2.1. Standardkontraktbestemmelserne ændres og fortolkes hermed, så de stemmer overens med UK IDTA, der er indarbejdet ved henvisning og udgør en integreret del.
2.2. Oplysningerne i bilagene til denne DPA udfylder de oplysninger, der kræves i tabel 1, 2 og 3 i den britiske IDTA, og tabel 4 anses for at være udfyldt ved at vælge "ingen af parterne".
4. Enhver konflikt mellem vilkårene i standardkontraktbestemmelserne og UK IDTA vil blive løst i overensstemmelse med afsnit 10 og afsnit 11 i UK-tillægget.
Få den fulde underskrevne version af vores DPA - den indeholder den fulde version af den seneste SCC her.
Husk, at vi også tilbyder et endnu enklere værktøj, der er beregnet til mødeplanlægning. Tjek det ud, hvis du føler, at SimplyBook.me er for omfattende til dine behov.