Detta databehandlingsavtal ("DPA" / "Avtal") av SimplyBook.me Ltd, utarbetas i enlighet med artikel 28 i EU: s allmänna dataskyddsförordning ("GDPR") och det är ett juridiskt bindande avtal mellan SimplyBook.me Ltd och dig (användaren av SimplyBook.me Software Solution). Det rekommenderas att du läser detta dokument noggrant, tillsammans med:
När du använder företagslösningarna för någon av våra produkter och/eller tjänster, ska bestämmelserna i detta dokument gälla på lämpligt sätt, såvida inte ett separat databehandlingsavtal har undertecknats som en del av det juridiska avtalet för den produkten eller tjänsten.
I syfte att säkerställa efterlevnad av GDPR och/eller identitetsförändringar i vår affärsverksamhet kan vi göra rimliga ändringar av bestämmelserna nedan. Du kommer att meddelas när viktiga ändringar träder i kraft.
Du kan ladda ner och få en undertecknad kopia av detta DPA.
Om du har några frågor om denna DPA, vänligen kontakta oss
Version: 3.0
Senast uppdaterad: 07/03/2024
Datum för ikraftträdande: 07/03/2024
Föregående version finns tillgänglig här
1.1. Utöver de termer som definieras på andra ställen i detta Avtal och Huvudavtalet ska, för alla syften som rör föremålet för detta Avtal, de termer som ingår i Bilaga 1 ("Definitionerna") ha den betydelse som anges där.
1.2. Parterna är ömsesidigt överens om och införstådda med att alla definitioner i de europeiska dataskyddslagarna skall gälla vid tillämpningen av detta avtal.
2.1. I enlighet med bestämmelserna i detta DPA och huvudavtalet är du ansvarig för att som personuppgiftsansvarig uppfylla alla krav som gäller för din verksamhet enligt tillämpliga dataskyddslagar för behandling av personuppgifter.
2.2. Du samtycker till och bekräftar att, utan att det påverkar det allmänna innehållet i det som anges nedan, att du är ansvarig för: (i) riktigheten, kvaliteten och lagligheten av de personuppgifter som du tillhandahåller företaget för tjänsterna samt medel och metoder för att förvärva dem; (ii) efterlevnad av alla nödvändiga krav på öppenhet och laglighet enligt tillämpliga dataskyddslagar, inklusive europeiska dataskyddslagar; (iii) för insamling och användning av personuppgifterna, inklusive att erhålla alla nödvändiga samtycken och tillstånd, särskilt för användning av användaren för marknadsföringsändamål; (iv) säkerställa att du har rätt att överföra eller ge tillgång till personuppgifterna till oss för behandling i enlighet med villkoren i detta dataskyddsavtal och huvudavtalet; (v) säkerställa att du följer alla lagar som är tillämpliga på dig, inklusive men inte begränsat till dataskyddslagar, för e-postmeddelanden eller annat innehåll som skapas, skickas eller på annat sätt hanteras via våra tjänster.
2.3. Du bekräftar och samtycker härmed till att informera företaget omedelbart och utan onödigt dröjsmål om du inte kan uppfylla dina skyldigheter här, och särskilt enligt tillämpliga dataskyddslagar.
2.4. Du bekräftar och förstår härmed att bestämmelserna häri och alla relevanta bestämmelser i huvudavtalet och varje ytterligare skriftlig begäran i din egenskap av registrerad ska utgöra dina fullständiga och slutgiltiga instruktioner som personuppgiftsansvarig i enlighet med detta dataskyddsavtal för och i förhållande till behandlingen av dina personuppgifter.
2.5.Ni bekräftar, förstår och samtycker härmed till att alla ytterligare instruktioner som inte omfattas av detta avtal kräver en skriftlig begäran från Er i förväg.
3.1. The Company shall only Process Personal Data for the purpose of described in this DPA and in line with Annex 2 herein (the “Details of Processing”) or as otherwise agreed within the scope of your lawful Instructions, except where and to the extent otherwise required by the Data Protection Laws, including but not limited to European Data Protection Laws and other applicable laws and regulations relevant to the Parties.
3.2. Företaget ska inte hållas ansvarigt och ansvarigt för efterlevnad av tillämpliga dataskyddslagar som endast gäller för dig och / eller din bransch och inte är lagligt tillämpliga på SimplyBook.me Ltd: s verksamhet.
3.3. Företaget ska meddela dig omedelbart och utan onödigt dröjsmål, i den utsträckning som tillåts enligt lag, om det anses att det senare inte kan behandla personuppgifter i enlighet med bestämmelserna i detta DPA och på grund av rättsliga krav i tillämpliga lagar och/eller förordningar.
3.4. Bolaget ska säkerställa att Behandling av Personuppgifter som en del av team.blue-koncernen sker i enlighet med bestämmelserna i vårt interna Global Data Sharing Framework och endast för att förbättra samordningen och resursfördelningen genom att dela data internt mellan de olika varumärkena och dotterbolagen, särskilt för marknadsföringsstatistik, intern administration och rapporteringsändamål, men endast i en mängd som är nödvändig för den avsedda användningen och med lämpliga Säkerhetsåtgärder på plats för att förhindra obehörig åtkomst eller avslöjande.
3.5. By considering the state of art, the costs of implementing and the nature, scope, context and purposes of Processing of Personal Data pursuant to the provisions of this DPA, as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons; the Company shall implement and maintain appropriate technical and organisational measures to ensure the appropriate level of security to that risk, as per provisions of Annex 3 herein (collectively the “Security Measures”).
3.6. Bolaget ska säkerställa att säkerhetsåtgärderna utgör en del av dess implementerade ledningssystem för informationssäkerhet ("ISMS"), i enlighet med ISO/IEC 27001-standarden och utfärdat certifikat av ett ackrediterat certifieringsorgan.
3.7. Notwithstanding any provision to the contrary, the Company may modify or update the Security Measures at our discretion provided that such modification or update does not result in a material degradation in the protection offered by the Security Measures and/or comply with relevant laws and legal obligations.
3.8. Företaget säkerställer härmed att alla anställda eller utsedda personer som är behöriga att behandla personuppgifter för och på våra vägnar är föremål för lämpliga sekretessförpliktelser, avtalsenliga och lagstadgade skyldigheter med avseende på dessa personuppgifter.
3.9. Företaget samtycker härmed till att meddela omedelbart och utan onödigt dröjsmål när det blir medveten om någon personuppgiftsincident, enligt bestämmelserna i tillämpliga dataskyddslagar och vid behov ge dig information när det blir känt eller rimligen begärs av dig.
3.10. Företaget samtycker härmed till att omedelbart ge dig sådan rimlig hjälp som är nödvändig för att möjliggöra anmälan av relevanta personuppgiftsincidenter till behöriga myndigheter och / eller berörda registrerade, i enlighet med gällande dataskyddslagar och med förbehåll för din skriftliga begäran.
3.11. Företaget samtycker härmed till att radera eller returnera till dig alla personuppgifter som rör huvudavtalet och detta DPA, inklusive men inte begränsat till kopior av personuppgifter som behandlades för syftet med detta DPA, vid uppsägning eller upphörande av tjänster, i linje med relevanta bestämmelser i huvudavtalet.
3.12. Kravet häri ska utövas i enlighet med varje tillämplig lag som kan kräva att vissa eller alla personuppgifter lagras, med förbehåll för ytterligare säkerhetsåtgärder såsom isolering och skydd mot ytterligare behandling.
4.1. Du bekräftar, samtycker till och accepterar härmed att företaget ska förse dig med kontroller i programvaran via vilken du kan hämta, korrigera, radera eller begränsa personuppgifter för att hjälpa dig i samband med kraven i dataskyddslagar.
4.2. Företaget kan, med förbehåll för en skriftlig begäran från dig, tillhandahålla rimlig hjälp för att svara på alla förfrågningar från registrerade eller förfrågningar från dataskyddsmyndigheter som rör behandlingen av personuppgifter enligt detta DPA, med förbehåll för eventuell ersättning som anses nödvändig.
4.3. Du åtar dig hela, exklusiva och enda ansvaret för att svara på begäran från den registrerade eller annan kommunikation om behandling av personuppgifter från enskilda personer som identifieras som din kund och kan adresseras till företaget, med förbehåll för snabb anmälan av en sådan begäran från oss till dig.
5.1. Du bekräftar, samtycker till, accepterar och godkänner härmed utnämningen av underbiträden för behandlingen av personuppgifter i enlighet med detta dataskyddsavtal och huvudavtalet som ingår i bilaga 4 till detta avtal, listan över underbiträden, baserat på vilken vissa underbiträden kommer att gälla som standard och vissa underbiträden kommer att gälla endast om du integrerar dem i ditt konto, enligt avsnittet på den officiella webbplatsen: https://simplybook.me/en/integrations
5.2. Bolaget säkerställer härmed att om ett Underbiträde utses, ska det relevanta juridiska avtal som ska ingås mellan dem innehålla lämpliga dataskyddsvillkor som omfattas av lämpliga dataskyddslagar och ålägga minst samma skyddsnivå för Personuppgifter som bestämmelserna i detta Personuppgiftsbiträdesavtal och, om det anses nödvändigt, innehålla den senaste versionen av Standardavtalsklausuler, som utfärdats av Europeiska kommissionen.
5.3. Företaget ska inte anlita andra underbehandlare och/eller ta bort redan utsedda underbehandlare som hänför sig till deras affärsverksamhet och inte som en del av en integration som erbjuds; där du meddelas om ändringen i vår lista över underbehandlare och du kan lämna in en invändning inom 15 (femton) dagar genom att skicka ett e-postmeddelande till dpo@simplybook.me eller legal@simplybook.me som accepteras av företaget.
5.4. Bolaget ska förbli ansvarigt för varje Underbiträdes efterlevnad av skyldigheterna i detta DPA och för varje handling eller underlåtenhet av sådant Underbiträde som orsakar oss att bryta mot någon av dess skyldigheter enligt detta DPA.
6.1. Du bekräftar, samtycker till och godkänner härmed företaget, med förbehåll för bestämmelserna häri; att utföra nödvändiga dataöverföringar för intern och extern affärsverksamhet till tredje parter som identifieras som underbehandlare häri som kan vara belägna utanför EU och / eller EES.
6.2. I enlighet med punkt 6.1. ovan bekräftar och samtycker båda parter härmed till att alla dataöverföringar kommer att utföras endast för syftet med huvudavtalet, detta DPA och eventuella ytterligare skriftliga instruktioner som kommuniceras från dig till företaget, endast för ämnet.
6.3. Parten samtycker härmed ömsesidigt till att Bolaget, i enlighet med punkt 6 i detta Avtal, ska utföra alla Dataöverföringar i enlighet med bestämmelserna i kapitel 5 (artikel 44-50) i GDPR och alltid i enlighet med kraven i tillämpliga dataskyddslagar under den tid som detta DPA och Huvudavtalet gäller.
6.4. I enlighet med klausul 6.3 ovan ska bolaget inte utföra någon dataöverföring av europeiska data till något land eller mottagare som inte erkänns som att tillhandahålla en adekvat skyddsnivå för personuppgifter, i enlighet med bestämmelserna i de europeiska dataskyddslagarna; såvida inte sådana åtgärder först vidtas för att säkerställa att överföringen överensstämmer med tillämpliga europeiska dataskyddslagar.
6.5. I enlighet med punkt 6.4 ovan ska Bolaget inte tillåta någon Dataöverföring till ett land som inte är erkänt som ett land som tillhandahåller en adekvat skyddsnivå via:
6.5.1. ett giltigt beslut om adekvat skyddsnivå som utfärdats av Europeiska kommissionen, med förbehåll för artikel 45 i dataskyddsförordningen och som kan illustreras på Europeiska kommissionens officiella webbplats ( beslut om adekvat skyddsnivå ), och/eller
6.5.2. godkända och auktoriserade bindande företagsbestämmelser, med förbehåll för artikel 47 i GDPR, och/eller
6.5.3. ingående av och förlitande på godkända standardavtalsklausuler, med förbehåll för relevanta europeiska lagar om uppgiftsskydd och i enlighet med Europeiska kommissionens officiella webbplats ( Standardavtalsklausuler (SCC ) ).
6.6. Parterna erkänner och samtycker härmed till att SimplyBook.me inte ska förlita sig på EU-US Privacy Shield och relaterade principer i syfte att överföra personuppgifter och säkerställa att lämpliga åtgärder vidtas för att följa tillämpliga dataskyddslagar som kan ändras från tid till annan, förlita sig på Data Privacy Framework, i den utsträckning som är tillämplig och giltig.
6.7. Där så krävs ingår parterna härmed standardavtalsklausuler som ska införlivas genom hänvisning och utgöra en del av detta avtal, i enlighet med tillämpliga relevanta bestämmelser i bilaga 5 nedan och i enlighet med vad som anges i detta avtal.
7.1. Denna del av dataskyddsförordningen gäller för europeiska uppgifter vid tillämpningen av huvudavtalet.
7.2. Parterna samtycker härmed till att när du behandlar europeiska data i enlighet med instruktionerna är du kontrollanten för europeiska data och SimplyBook.me Ltd är processorn.
7.3. SimplyBook.me förbehåller sig rätten att informera dig där instruktioner bryter mot europeiska dataskyddslagar, som och när det är tillämpligt, utan onödigt dröjsmål.
7.4. Bolaget kommer att göra eventuella nödvändiga ändringar i Bilaga 4 avseende de utsedda Underbiträdena och ge dig möjlighet att bli underrättad via ditt Konto, varvid du har möjlighet att invända mot uppdraget på rimliga grunder som hänför sig till denna DPA och inom 15 (femton) dagar efter sådan underrättelse.
7.5. The Company shall, to the extent that the required information is reasonably available and you do not otherwise have access to the required information; provide reasonable assistance to You with any Data Protection Impact Assessments (“DPIA”), and prior consultations with Supervisory Authorities or other competent Data Privacy Authorities to the extent required by European Data Protection Laws.
7.6. SimplyBook.me ska göra all information som rimligen är nödvändig för att visa överensstämmelse med bestämmelserna häri, tillgänglig för dig och kan tillåta revisioner inklusive men inte begränsat till inspektioner.
7.7. Personuppgiftsbiträdet har utsett ett dataskyddsombud ("DPO") i enlighet med de europeiska dataskyddslagarna och kan kontaktas i samband med detta DPA och huvudavtalet via e-post: dpo@simplybook.me.
7.8. Denna del av dataskyddsförordningen gäller för andra personuppgifter än europeiska uppgifter, i enlighet med bestämmelserna i tillämplig dataskyddslagstiftning.
7.9. Parterna är överens om att SimplyBook.me Ltd ska behandla sådana personuppgifter strikt i enlighet med gällande dataskyddslagar och endast i syfte att tillhandahålla tjänsterna enligt bestämmelserna i huvudavtalet.
7.10. Parterna ska ingå alla ytterligare avtal som krävs enligt lag i syfte att följa tillämpliga lagar om uppgiftsskydd.
8.1. När du registrerar dig och accepterar villkoren och / eller juridiska bestämmelser för SimplyBook.me-programvarulösningen, ingår du som användare av systemet detta DPA på dina vägnar och i förekommande fall och i den utsträckning som tillåts enligt lag och tillämpliga dataskyddslagar, i namn och på uppdrag av dina tillåtna dotterbolag, vilket skapar ett separat DPA mellan oss och varje sådant tillåtet dotterbolag som omfattas av avtalet och bestämmelserna häri.
8.2. Du samtycker härmed till och bekräftar att varje tillåtet dotterbolag samtycker till att vara bundet av skyldigheterna i detta DPA och som är tillämpligt på huvudavtalet.
8.3. Du samtycker härmed till och bekräftar att i den utsträckning som tillåts enligt lag, för tillämpningen av detta DPA och om inte annat anges häri, kommer "Användare", "Du" och "Din" att inkludera Dig och sådana Tillåtna Koncernbolag.
8.4. Den juridiska person som godkänner detta DPA som Användare intygar att den är behörig att godkänna och ingå detta DPA för och på uppdrag av sig själv och, i tillämpliga fall, vart och ett av dess Tillåtna Koncernbolag.
9.1. Detta DPA kommer att förbli i kraft från och med ikraftträdandedatumet och tills den personuppgiftsansvarige eller personuppgiftsbiträdet säger upp huvudavtalet, i enlighet med tillämpliga bestämmelser.
9.2. Detta DPA kan sägas upp av endera parten med 30 (trettio) dagars skriftligt varsel, i enlighet med bestämmelserna i huvudavtalet och genom att avbryta systemet i systeminställningarna.
9.3. Trots allt annat som strider mot detta DPA och huvudavtal förbehåller sig SimplyBook.me rätten att göra uppdateringar och ändringar av detta DPA med förbehåll för ytterligare villkor här.
9.4. Om någon enskild bestämmelse i detta dataskyddsavtal bedöms vara ogiltig eller inte verkställbar, kommer giltigheten och verkställbarheten av övriga bestämmelser i detta dataskyddsavtal inte att påverkas.
9.5. Ingendera parten får utan föregående skriftligt medgivande från den andra parten överlåta, överföra, belasta, licensiera eller på annat sätt hantera eller avyttra avtalsenliga rättigheter eller skyldigheter enligt detta avtal.
9.6. Parternas och de Tillåtna Närstående Bolagens ansvar till följd av eller med anknytning till detta DPA i sin helhet, oavsett om det är fråga om avtal, skadestånd eller någon annan ansvarsteori, skall omfattas av de begränsningar och undantag från ansvar som anges i Huvudavtalet.
9.7. Parterna samtycker härmed till och godtar valet av den jurisdiktion som anges i huvudavtalet med avseende på detta dataskyddsavtal.
Denna bilaga 1: Definitioner utgör en del av DPA.
"Personuppgiftsansvarig": den fysiska eller juridiska person, myndighet, institution eller annat organ som, ensam eller tillsammans med andra, bestämmer ändamålen och medlen för behandlingen av personuppgifter.
"Personuppgiftsbiträde": avser en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som Behandlar Personuppgifter för den Personuppgiftsansvariges räkning.
“Data Protection Laws”: means all applicable worldwide legislation relating to data protection and privacy which applies to the respective Party in the role of Processing Personal Data in question under the Agreement, including without limitation: (1) the European Data Protection Laws; (2) the California Consumer Privacy Act of 2018 (“CCPA”); (3) the data protection and privacy laws of Australia and Singapore; (4) and other; in each case as amended, repealed, consolidated or replaced from time to time.
"Registrerad": avser den person som personuppgifterna avser.
"EU-US Privacy Shield": det självcertifieringsprogram som drivs av USA:s handelsdepartement och som godkänts av Europeiska kommissionen, och som kan komma att ändras, ersättas eller upphävas.
"Europe": means the European Union, the European Economic Area and/or their member states.
"Europeiska dataskyddslagar": avser dataskyddslagar som är tillämpliga i Europa, inklusive: (1) Förordning 2016/679 - EU:s allmänna dataskyddsförordning ("GDPR"); (2) Direktiv 2002/58/EG - direktivet om integritet och elektronisk kommunikation; (3) tillämpliga nationella implementeringar av 1 och 2 punkterna ovan; (4) all tillämplig nationell lagstiftning som ersätter eller omvandlar GDPR till nationell lagstiftning; (5) Data Protection Act 2018 i Storbritannien ("UK GDPR"); i varje enskilt fall, såsom kan ändras, ersättas eller ersättas.
"Europeiska uppgifter": avser personuppgifter som är föremål för skydd enligt europeiska dataskyddslagar, definierade nedan.
"Instruktioner": alla skriftliga, dokumenterade instruktioner som utfärdas av den personuppgiftsansvarige till personuppgiftsbiträdet och som instruerar denne att utföra en specifik eller allmän åtgärd med avseende på personuppgifter, inklusive, men inte begränsat till, avpersonifiering, blockering, radering, tillgängliggörande.
"Tillåtna dotterbolag": ska inkludera alla dina dotterbolag som har rätt att erhålla tjänsterna för din räkning, i enlighet med huvudavtalet, men som inte har tecknat ett eget separat avtal med oss och inte är användare och kvalificerar sig som personuppgiftsansvarig för personuppgifter som behandlas av oss och kan omfattas av europeiska dataskyddslagar.
"Personuppgiftsincident": ska betyda en säkerhetsincident som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt avslöjande av eller tillgång till personuppgifter som överförs, lagras eller på annat sätt behandlas av oss och/eller våra underbiträden i samband med tillhandahållandet av tjänsterna, men inkluderar inte misslyckade försök eller aktiviteter som inte äventyrar säkerheten för personuppgifter, inklusive misslyckade inloggningsförsök, pings, portskanningar, överbelastningsattacker och andra nätverksattacker på brandväggar eller nätverkssystem.
"Personuppgifter": avser all information som rör en identifierad eller identifierbar person där sådan information finns på Kontot (enligt definitionen i Huvudavtalet) och skyddas som annan personlig information eller personligt identifierbar information enligt tillämpliga dataskyddslagar.
"Behandling": ska betyda varje åtgärd eller uppsättning åtgärder som utförs på personuppgifter, vilket omfattar insamling, registrering, organisering, strukturering, lagring, anpassning eller ändring, hämtning, konsultation, användning, utlämnande genom överföring, spridning eller på annat sätt tillgängliggörande, justering eller kombination, begränsning eller radering av personuppgifter och termerna "process", "processer" och "behandlade" kommer att tolkas i enlighet därmed.
“Services”: shall have the same meaning as in the Main Agreement.
"Standardavtalsklausuler": avser de standardavtalsklausuler för personuppgiftsbiträden som godkänts i enlighet med Europeiska kommissionens relevanta beslut och som ingår i bilaga 5 till detta avtal som utgör en del av avtalet och som kan ändras, ersättas eller ersättas.
"Underbehandlare": betyder alladataprocessorersom vi anlitar för att hjälpa till att uppfylla våra skyldigheter med avseende på tillhandahållandet av tjänsterna enligt huvudavtalet och kan inkludera tredje part, exklusive anställda eller konsulter från SimplyBook.me Ltd.
"UK IDTA" ska betyda det malltillägg som utfärdats av UK Information Commissioner's Office ("ICO") och här: International Data Transfer Addendum to the EU Commission Standard Contractual Clauses, och som görs tillgängligt på ICO:s officiella webbplats International data transfer agreement and guidance | ICO, och som kan ändras, upphävas eller ersättas.
Denna bilaga 2: Detaljerad information om behandling utgör en del av DPA.
Processens art och syften: Bolaget kommer att behandla personuppgifter som krävs för att tillhandahålla tjänsterna, i enlighet med huvudavtalet och som ytterligare kan anges i ytterligare dokumentation som utgör en del av huvudavtalet och DPA.
Duration of the Processing: subject to any provisions contained herein specifying otherwise, Processing of Personal Data shall occur for the duration of the Main Agreement, unless otherwise agreed in writing.
Categories of Data Subjects: pursuant to the provisions of the Main Agreement, Data Subjects shall include any type of User’s clients and therefore may vary by the system usage from the Data Controller.
Categories of Personal Data: pursuant to the provisions of the Main Agreement, categories of Personal Data may vary in accordance with the usage of the System and bookings made by the User’s clients and may include name, surname, email address and phone number.
To the extent applicable and as may be requested by the User when using the System, various information such as when completing additional fields, adding comment(s) which are/is linked to booking(s) for a relevant individual, details on the status of bookings, whether they attended, or paid for booking may fall under the definition of Personal Data for which You are acting as the Data Controller pursuant to the provisions of this Agreement. The above list is not exhaustive and does necessarily apply to every User.
Special Categories of Personal Data may include information revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade-union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation. Such information may be submitted by Your clients via the System, at Your sole discretion and request, as notes/additional fields information and/or comments. Note that where You have our SOAP custom feature, data at rest will be encrypted.
Behandlingsåtgärder: inkluderar de standardiserade interna processer där systemanvändarnas uppgifter kontinuerligt eller systematiskt samlas in, lagras och används för tillhandahållande av tjänsterna, i enlighet med huvudavtalet. Personuppgiftsbiträdet kommer att behandla personuppgifter på uppdrag av den personuppgiftsansvarige i syfte att använda schemaläggningssystemet och acceptera möten, skicka påminnelser, behandla betalningar, sälja produkter, göra kampanjer och andra relaterade aktiviteter som tillåts av våra anpassade funktioner.
1. Denna Bilaga 3 Säkerhetsåtgärder utgör en del av DPA och alla termer med versaler, som inte annars definieras häri, skall ha samma innebörd som i Huvudavtalet.
2. Åtgärderna häri utgör en del av ISMS som ska upprätthållas i enlighet med bästa praxis och standarder och detta avsnitt ska läsas i samband med företagets officiella säkerhetssida (se Säkerhet - SimplyBook.me) och/eller dokument i vårt säkerhetspaket, där det gjordes tillgängligt.
I enlighet med den interna policy för åtkomstkontroll som ingår i vårt ISMS är åtkomsträttigheter och behörigheter internt rollbaserade och står i proportion till deras funktionella ansvar, i linje med principerna "need-to-know" och "need-to-use". För att minimera att information lämnas ut eller görs tillgänglig i förtid, oavsiktligt eller olagligt, har den infrastruktur för auktorisering som beskrivs nedan implementerats som en del av vårt system:
åtkomst till intern information från obehöriga användare är förbjuden som standard och privilegierad åtkomst/aktiviteter, (o)auktoriserade åtkomstförsök loggas och hanteras;
där det är tillgängligt måste 2FA-autentisering aktiveras av all personal vid åtkomst till system för behandling av personuppgifter och på annat sätt.
För användare av vårt system är säker 2FA-inloggning tillgänglig med de anpassade funktionerna "Google Authenticator" och "HIPAA" för användaren; och lösenordshantering är tillgänglig med den anpassade funktionen "Strikt lösenord" för användaren.
Företaget använder lämplig krypteringsteknik för att skydda personuppgifter och i tillämpliga fall och:
för data i transit stöds all extern kommunikation via krypterade kanaler som är säkrade med standardprotokoll (upp till TLS 1.3 med AES-128/AES-256-kryptering), beroende på vilken programvara som är inblandad och tillåtna kompatibilitetsförhållanden; och
för data i vila (tillgängligt för SOAP-data och sjukdomshistoria med den anpassade funktionen "SOAP med datakryptering").
The Company shall have in place an appropriate Record of Processing Operations, an Asset Handling Procedure and an Acceptable Use Policy all of which ensure that all information, including Personal Data are classified in accordance with its criticality and sensitivity to unauthorised access, disclosure or modification.
Bolaget har vidtagit rimliga åtgärder för att säkerställa att dess anställda och uppdragstagare, som har tillgång till personuppgifter, är medvetna om och följer säkerhets- och sekretesspolicyerna och rutinerna.
Åtgärderna omfattar: (a) bakgrundskontroller, t.ex. kontroll av brottsregister, för alla anställda och uppdragstagare med tillgång till personuppgifter; (b) ingående av sekretessavtal och databehandlingsavtal för alla anställda och uppdragstagare; (c) deltagande i utbildnings- och medvetandehöjande program för anställda och uppdragstagare, med fokus på skydd av personuppgifter, integritet och säkerhet.
Företaget har åtagit sig att se till att korrekta och säkra anläggningar för behandling av personuppgifter av:
kontrollera ändringar av system och anläggningar för bearbetning genom att införa och upprätthålla förfaranden i linje med den interna policyn för hantering av ändringar;
utföra regelbundna säkerhetskopieringar och test av säkerhetskopior genom att implementera och upprätthålla förfaranden i linje med den interna säkerhetskopieringspolicyn;
underhåll av händelseloggning med register över användaraktiviteter, undantag, fel och informationssäkerhetshändelser;
säkerställa klocksynkronisering för alla relevanta system för informationsbehandling.
Bolaget har implementerat ett brandväggsskydd, ett system för upptäckt av intrång och övervakar regelbundet nätverksaktiviteten.
Bolaget utför mjukvaruutveckling och relevanta stödprocesser i enlighet med antagna principer för säker systemteknik, till exempel
Säkerhet genom design;
Säkerhetstestning ska utföras för alla ändringar eller nyutvecklingar;
Utvecklings-/test-/produktionsmiljöer ska vara åtskilda.
Företaget utför säkerhets- och integritetsbedömningar när nya leverantörer anlitas och sedan varje år framåt, i förhållande till de tjänster de tillhandahåller SimplyBook.me och erkänner ansvaret för att informera datakontrollanten om eventuella ändringar i tillhandahållandet av tjänster enligt huvudavtalet.
Bolaget säkerställer ett konsekvent tillvägagångssätt för hantering av integritets- och säkerhetsincidenter, inklusive kommunikation om säkerhetsöverträdelser och svagheter. Specifikt har vi infört en rutin för kontinuitet i verksamheten och incidenthantering som testas regelbundet. Dessutom har vi infört ett förfarande för anmälan av personuppgiftsbrott som granskas årligen.
Bolaget gör regelbundna bedömningar av riskerna för personuppgifter och granskar effektiviteten i de implementerade säkerhetspolicyerna och -rutinerna.
1. Läs denna bilaga 4 tillsammans med klausul 5 och andra tillämpliga bestämmelser i dataskyddsförordningen.
2. I tillämpliga fall kommer respektive underbehandlare att gälla när du aktiverar och / eller integrerar sina system i ditt konto som görs tillgängligt för systemet och den officiella webbplatsen för SimplyBook.me Ltd här: https://simplybook.me/en/integrations.
| Entitet | Syftet med behandlingen/tjänsten | Plats och mått |
|---|---|---|
| Live Agent | Tjänster & Support: live chat-tjänster via vår webbplats | Slovakia (EU) |
| Slack | Tjänster & support: system för internkommunikation och meddelanden | USA |
| Linode | Tjänster & support: e-post leverantör utgående | UK |
| PandaDoc | Tjänster & support: elektroniska signaturer - när du undertecknar vårt dataskyddsavtal eller andra avtal elektroniskt | USA |
| Ansvarigt huvudkontor | Tjänster & support: Funktionalitet för elektroniska signaturer för BAA | USA |
| Twilio Inc. | Tjänster & support: SMS-leverantör | USA |
| Brevo (Sendinblue) | Tjänster & support: e-postleverantör | Frankrike |
| Nexmo (Vonage Holdings Corp.) | Tjänster & support: SMS-leverantör | UK |
| Hubspot | Tjänster och support: CRM för företagsanvändare | Tyskland |
| Savio.io | Tjänster & support: hantering av feedback | Kanadensare |
| Google Inc. | Hosting & Infrastruktur: servrar - valfri plats | USA, Kanada, Belgien och Australien |
| OVH | Hosting & Infrastruktur: servrar - valfri plats | Storbritannien, Kanada, Frankrike & Singapore, Australien |
| MaxMind, Inc. | Tjänster & Support & Statistik & Analys: Underrättelsetjänster för IP-adresser | USA |
| Matomo | Statistik & Analys: egen hosting med Google Cloud | UK |
| Ledarinformation | Statistics & Analytics: webbplatsoptimering för företagsanvändare | Nederländerna |
Leverantörer av betaltjänster (PSP): |
||
| Nuvei (tidigare Safecharge) | Nyckel PSP: Betalningsförmedling | Kanada |
| PayPal | Nyckel PSP: Betalningsförmedling | USA |
| JCC | Key PSP: betalningshantering för användare baserade på Cypern | Cypern |
Viktiga integrationer/funktioner: |
||
| Meta (Facebook) | Hosting & Infrastructure: lägg till widgetalternativ med Facebook- och Instagram-bokningsfunktion | USA |
| Hosting & Infrastructure: lägg till widgetalternativ med Facebook- och Instagram-bokningsfunktion | USA | |
| Utsikter (Microsoft) | Hosting & Infrastruktur: användning av Outlook-kalenderns funktion för 2-vägssynkronisering | USA |
|
Andra enheter enligt den specifika funktion som är aktiverad för ditt konto kan gälla enligt tillgängliga integrationer. |
||
1. Enligt och för ändamålen med GDPR, den senaste versionen av de standardavtalsklausuler som finns på Europeiska kommissionens officiella webbplats (finns här), implementeras genom hänvisning häri, följs för ämnet och utgör en del av detta DPA, och som kan ändras, upphävas eller ersättas och parterna förstår och samtycker härmed ömsesidigt till att:
(a) företaget åtar sig rättigheterna och skyldigheterna för dataimportören och du rättigheterna och skyldigheterna för dataexportören, enligt definitionen i standardavtalsklausulerna och de kommer att träda i kraft vid den senare av endera parten som blir part i dem och inledningen av den relevanta dataöverföringen;
(b) Modul två: Överföring mellan styrenhet till processor antas;
(c) i punkt 7 gäller den frivilliga dockningsklausulen;
(d) i klausul 9 gäller alternativ 2 och ändringar av underbiträden kommer att meddelas i enlighet med avsnittet "Underbiträden" i detta dataskyddsavtal och bilaga 4 ovan;
(e) i klausul 11 stryks den frivilliga formuleringen;
(f) i punkterna 17 och 18 är parterna överens om att tillämplig lag och forum för tvister för Standardavtalsklausulerna ska fastställas i enlighet med avsnittet "Uppdragsgivande enhet; Tillämplig lag; Meddelande" i de Jurisdiktionsspecifika villkoren eller, om sådant avsnitt inte anger en EU-medlemsstat, Republiken Irland (utan hänvisning till principer om lagkonflikter);
(g) bilagorna till standardavtalsklausulerna ska anses ha kompletterats med den information för användaren som är relevant och som anges i bilagorna till detta dataskyddsavtal;
(h) den tillsynsmyndighet som ska fungera som behörig tillsynsmyndighet kommer att fastställas i enlighet med GDPR;
(i) om och i den mån standardavtalsklausulerna strider mot någon bestämmelse i detta DPA ska standardavtalsklausulerna ha företräde i den utsträckning som de strider mot varandra.
2. Enligt Swiss Federal Data Protection Act och dess förordning ("Swiss DPA"), i enlighet med punkt 1 ovan och punkterna nedan, kommer standardavtalsklausulerna att gälla och hänvisningar till "förordning (EU) 2016/679" kommer att tolkas som hänvisningar till Swiss DPA, till "EU", "unionen" och "medlemsstatens lagstiftning" kommer att tolkas som hänvisningar till schweizisk lagstiftning, till "behörig tillsynsmyndighet" och "behöriga domstolar" kommer att ersättas med "Swiss Federal Data Protection and Information Commissioner" och "relevanta domstolar i Schweiz".
3. Enligt och för ändamålen med UK GDPR, i linje med punkt 1 ovan, och nedan underpunkterna 2.1. till 2.3., ska den senaste versionen av UK IDTA, som kan ändras, upphävas eller ersättas och som för närvarande finns tillgänglig på den officiella webbplatsen för UK Information Commissioner's Office ("ICO") (finns här), implementeras genom hänvisning häri, följas för ämnet och utgöra en del av detta DPA.
2.1. Standardavtalsklausulerna ändras och tolkas härmed för att anpassas till UK IDTA, som införlivas genom hänvisning och utgör en integrerad del.
2.2. Informationen i bilagorna till detta DPA kompletterar den information som krävs i tabellerna 1, 2 och 3 i UK IDTA och tabell 4 kommer att anses vara ifylld genom att välja "ingen av parterna".
4. Eventuella konflikter mellan villkoren i Standardavtalsklausulerna och UK IDTA ska lösas i enlighet med avsnitt 10 och avsnitt 11 i UK Addendum.
Få den fullständiga undertecknade versionen av vår DPA - den kommer att innehålla den fullständiga versionen av den senaste SCC- här.
Tänk på att vi också erbjuder ett ännu enklare verktyg som är avsett för mötesplanering. Kolla in det om du tycker att SimplyBook.me är för omfattande för dina behov.