Este Acuerdo de Procesamiento de Datos ("DPA" / "Acuerdo") de SimplyBook.me Ltd, se prepara de conformidad con el artículo 28 del Reglamento General de Protección de Datos de la UE ("GDPR") y es un acuerdo jurídicamente vinculante entre SimplyBook.me Ltd y Usted (el Usuario de la Solución de Software SimplyBook.me). Se recomienda que lea este documento cuidadosamente, junto con:
Cuando utilice las soluciones empresariales de cualquiera de nuestros productos y/o servicios, a menos que se haya firmado un acuerdo de procesamiento de datos por separado como parte del acuerdo legal para ese producto o servicio, las disposiciones del presente documento se aplicarán adecuadamente.
Con el fin de garantizar el cumplimiento del GDPR y / o cambios de identidad en nuestras operaciones comerciales, podemos realizar cualquier cambio razonable en las disposiciones a continuación. Se le notificará cuando entren en vigor cambios clave.
Puede descargar y obtener una copia firmada de este DPA.
Si tiene alguna pregunta sobre esta DPA, póngase en contacto con nosotros
Versión: 3.0
Última actualización: 07/03/2024
Fecha de entrada en vigor: 07/03/2024
Versión anterior disponible aquí
1.1. Además de los términos definidos en otras partes del presente Contrato y del Contrato Principal, a todos los efectos del objeto del mismo, los términos incluidos en el Anexo 1 (las "Definiciones") del presente Contrato tendrán el significado que en él se establece.
1.2. The Parties mutually agree and understand that for the purposes of this Agreement, all the definitions of the European Data Protection Laws are adopted.
2.1. In line with the provisions of this DPA and Main Agreement, You are responsible to comply as Data Controller with all requirements applicable to your operations under applicable Data Protection Laws, for the Processing of Personal Data.
2.2. Usted acepta y reconoce que, sin perjuicio de la generalidad de lo expuesto a continuación, es responsable de: (i) de la exactitud, calidad y legalidad de los Datos Personales facilitados por Usted a la Empresa a los efectos de los Servicios, así como de los medios y métodos de adquisición de los mismos; (ii) del cumplimiento de todos los requisitos de transparencia y legalidad necesarios en virtud de las Leyes de Protección de Datos aplicables, incluidas las Leyes Europeas de Protección de Datos; (iii) de la recopilación y uso de los Datos Personales, incluida la obtención de los consentimientos y autorizaciones necesarios, en particular para su uso por el Usuario con fines de marketing; (iv) garantizar que Usted tiene derecho a transferirnos los Datos Personales o a proporcionarnos acceso a los mismos para su Tratamiento de conformidad con los términos del presente APD y del Contrato Principal; (v) garantizar que Usted cumple cualquier legislación que le sea aplicable, incluidas, entre otras, las Leyes de Protección de Datos, para cualquier correo electrónico u otro contenido creado, enviado o gestionado de cualquier otra forma a través de nuestros Servicios.
2.3. Por la presente, confirma y acepta informar a la Empresa con prontitud y sin ninguna demora indebida, en caso de que no pueda cumplir con sus obligaciones en virtud del presente documento, y específicamente en virtud de las Leyes de Protección de Datos aplicables.
2.4. Por la presente, usted reconoce y entiende que las disposiciones del presente documento y cualquier disposición pertinente del Acuerdo Principal y cualquier solicitud adicional por escrito en su calidad de Sujeto de Datos; constituirán las Instrucciones completas y definitivas de Usted como Controlador de Datos a los efectos del presente APD para y en relación con el Procesamiento de Sus Datos Personales.
2.5.Por la presente, usted reconoce, entiende y acepta que, cualquier Instrucción adicional fuera del ámbito de este documento, requerirá su solicitud previa por escrito.
3.1. The Company shall only Process Personal Data for the purpose of described in this DPA and in line with Annex 2 herein (the “Details of Processing”) or as otherwise agreed within the scope of your lawful Instructions, except where and to the extent otherwise required by the Data Protection Laws, including but not limited to European Data Protection Laws and other applicable laws and regulations relevant to the Parties.
3.2. La Compañía no se hace responsable del cumplimiento de las leyes de protección de datos aplicables que se aplican únicamente a usted y / o su industria y no son legalmente aplicables a las operaciones de SimplyBook.me Ltd.
3.3. La Empresa le notificará inmediatamente y sin ninguna demora indebida, en la medida permitida por la ley; cuando se considere que esta última no puede Procesar Datos Personales de conformidad con las disposiciones de esta DPA y debido a requisitos legales de las leyes y/o reglamentos aplicables.
3.4. La Empresa se asegurará de que el Tratamiento de Datos Personales como parte del grupo team.blue cumpla con las disposiciones de nuestro Marco Global de Intercambio de Datos interno y únicamente para mejorar la coordinación y la asignación de recursos compartiendo datos internamente entre las distintas marcas y filiales, específicamente para estadísticas de marketing, administración interna y elaboración de informes, pero sólo en la cantidad necesaria para el uso previsto y con las Medidas de Seguridad adecuadas para evitar el acceso o la divulgación no autorizados.
3.5. By considering the state of art, the costs of implementing and the nature, scope, context and purposes of Processing of Personal Data pursuant to the provisions of this DPA, as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons; the Company shall implement and maintain appropriate technical and organisational measures to ensure the appropriate level of security to that risk, as per provisions of Annex 3 herein (collectively the “Security Measures”).
3.6. La Empresa se asegurará de que las Medidas de Seguridad formen parte de su Sistema de Gestión de la Seguridad de la Información implantado (el "SGSI"), conforme a la norma ISO/IEC 27001 y certificado por un organismo certificador acreditado.
3.7. Notwithstanding any provision to the contrary, the Company may modify or update the Security Measures at our discretion provided that such modification or update does not result in a material degradation in the protection offered by the Security Measures and/or comply with relevant laws and legal obligations.
3.8. SimplyBook.me hereby ensures that any worker or appointed person authorised to Process Personal Data for and on our behalf is subject to appropriate confidentiality obligations, contractual and statutory obligations with respect to that Personal Data.
3.9. SimplyBook.me hereby agrees to notify prompt and without undue delay once becoming aware of any Personal Data Breach, following the provisions of applicable Data Protection Laws and where necessary provide You with information as it becomes known or reasonably requested by You.
3.10. Por la presente, la Empresa se compromete a prestarle con prontitud toda la asistencia razonable que sea necesaria para permitir la notificación de las violaciones de datos personales pertinentes a las autoridades competentes y/o a los interesados afectados, de conformidad con las leyes de protección de datos aplicables y previa solicitud por escrito.
3.11. SimplyBook.me hereby agrees to delete or return to You all Personal Data relating to the Main Agreement and this DPA, including but not limited to copies of Personal Data which was Processed for the purpose of this DPA, on termination or expiration of Services, in line with the relevant provisions of the Main Agreement.
3.12. The requirement herein shall be exercised pursuant to any applicable law which may require to retain some or all Personal Data, subject to additional security measures such as isolation and protection from further Processing.
4.1. Por la presente, usted reconoce, acuerda y acepta que la Empresa le proporcionará controles en el Software a través de los cuales podrá recuperar, corregir, eliminar o restringir Datos Personales con el fin de ayudarle en relación con los requisitos de las Leyes de Protección de Datos.
4.2. La Empresa podrá, previa solicitud por escrito de Usted, proporcionar asistencia razonable para responder a cualquier Solicitud de los Interesados o solicitudes de las Autoridades de Protección de Datos en relación con el Tratamiento de Datos Personales en virtud de la presente DPA, sujeto a cualquier reembolso que se considere necesario.
4.3. Usted asume la responsabilidad total, exclusiva y única de responder a la(s) solicitud(es) del Sujeto de los Datos u otra comunicación relativa al Tratamiento de Datos Personales de la(s) persona(s) que sea(n) identificada(s) como Su cliente y que pueda(n) ser dirigida(s) a la Empresa, sujeto a la pronta notificación de dicha solicitud por nuestra parte a Usted.
5.1. Por la presente, usted reconoce, acuerda, acepta y autoriza la designación de los Subencargados del Tratamiento de Datos Personales de conformidad con el presente APD y el Acuerdo Principal incluidos en el Anexo 4 del presente documento, la Lista de Subencargados del Tratamiento, en base a la cual algunos Subencargados del Tratamiento se aplicarán por defecto, y algunos Subencargados del Tratamiento se aplicarán únicamente si usted los integra en Su Cuenta, según la sección del sitio web oficial: https://simplybook.me/en/integrations
5.2. Por la presente, la Empresa garantiza que, cuando se designe a un Subencargado del Tratamiento, el acuerdo legal pertinente que se celebre entre ellos incluirá las condiciones adecuadas de protección de datos sujetas a las Leyes de Protección de Datos apropiadas e impondrá al menos el mismo nivel de protección de los Datos Personales que las disposiciones de la presente DPA y, cuando se considere necesario, incluirá la última versión de las Cláusulas Contractuales Tipo, publicadas por la Comisión Europea.
5.3. La Empresa no contratará a otro(s) Subprocesador(es) y/o eliminará a Subprocesador(es) ya designado(s) que esté(n) relacionado(s) con sus operaciones comerciales y no como parte de una integración ofrecida; cuando se le notifique a Usted el cambio en nuestra Lista de Subprocesadores y Usted pueda presentar una objeción en un plazo de 15 (quince) días enviando un correo electrónico a dpo@simplybook.me o legal@simplybook.me que sea aceptado por la Empresa.
5.4. SimplyBook.me shall remain responsible for each Sub-Processor’s compliance with the obligations of this DPA and and for any acts or omissions of such Sub-Processor that cause us to breach any of its obligations under this DPA.
6.1. Por la presente, usted reconoce, consiente y autoriza a la Empresa, con sujeción a lo dispuesto en el presente documento, a realizar las Transferencias de Datos necesarias para las operaciones comerciales internas y externas a terceros identificados como Subencargados del Tratamiento en el presente documento, que pueden estar ubicados fuera de la UE y/o del EEE.
6.2. De conformidad con la cláusula 6.1. anterior, ambas Partes confirman y acuerdan por la presente que cualquier Transferencia de Datos se llevará a cabo únicamente a los efectos del Contrato Principal, de la presente DPA y de cualquier Instrucción adicional por escrito comunicada por Usted a la Empresa, únicamente para el objeto de la misma.
6.3. Por la presente, la Parte acuerda mutuamente que, de conformidad con la cláusula 6 del presente documento, la Empresa realizará todas y cada una de las Transferencias de Datos sujetas a las disposiciones del Capítulo 5 (Artículo 44-50) del GDPR y siempre en cumplimiento de los requisitos de las Leyes de Protección de Datos aplicables durante la vigencia del presente APD y del Acuerdo Principal.
6.4. De conformidad con la cláusula 6.3 anterior, la Empresa no realizará ninguna Transferencia de Datos Europeos a ningún país o destinatario que no esté reconocido como proveedor de un nivel adecuado de protección de los Datos Personales, de conformidad con las disposiciones de las Leyes Europeas de Protección de Datos; a menos que dichas medidas se tomen primero para garantizar que la transferencia cumple con las Leyes Europeas de Protección de Datos aplicables.
6.5. De conformidad con la cláusula 6.4 anterior, la Sociedad no autorizará ninguna Transferencia de Datos a un país que no esté reconocido como proveedor de un nivel adecuado de protección vía:
6.5.1. una Decisión de adecuación válida emitida por la Comisión Europea, sujeta al artículo 45 del RGPD y como se puede ilustrar en el sitio web oficial de la Comisión Europea (Decisiones de adecuación); y/o
6.5.2. Normas corporativas vinculantes aprobadas y autorizadas, con sujeción al artículo 47 del RGPD; y/o
6.5.3. conclusión y confianza en las Cláusulas contractuales estándar aprobadas, sujetas a las Leyes europeas de protección de datos pertinentes y según el sitio web oficial de la Comisión Europea (Cláusulas contractuales estándar (SCC)).
6.6. Por la presente, las Partes reconocen y aceptan que SimplyBook.me no se basará en el Escudo de Privacidad UE-EE.UU. y los principios relacionados a los efectos de la transferencia de Datos Personales y garantizará que se tomen las medidas adecuadas para cumplir con las Leyes de Protección de Datos aplicables que puedan ser modificadas de vez en cuando, basándose en el Marco de Privacidad de Datos, en la medida en que sea aplicable y válido.
6.7. En caso necesario, las partes celebran Cláusulas Contractuales Tipo que se incorporarán por referencia y formarán parte del presente Acuerdo, de conformidad con las disposiciones pertinentes aplicables del Anexo 5 siguiente y objeto del presente.
7.1. This part of the DPA applies to European Data for the purposes of the Main Agreement.
7.2. The Parties hereby agree that when Processing European Data in accordance with the Instructions, You are the Controller of European Data and SimplyBook.me Ltd is the Processor.
7.3. SimplyBook.me reserves the right to inform You where Instructions infringes European Data Protection Laws, as and when applicable, without undue delay.
7.4. La Empresa realizará cualquier cambio necesario en el Anexo 4 en relación con los Subprocesadores designados y le dará la oportunidad de ser notificado a través de su Cuenta, en cuyo caso Usted tendrá la oportunidad de oponerse a la contratación por motivos razonables relacionados con esta DPA y en un plazo de 15 (quince) días tras dicha notificación.
7.5. The Company shall, to the extent that the required information is reasonably available and you do not otherwise have access to the required information; provide reasonable assistance to You with any Data Protection Impact Assessments (“DPIA”), and prior consultations with Supervisory Authorities or other competent Data Privacy Authorities to the extent required by European Data Protection Laws.
7.6. SimplyBook.me shall make all information reasonably necessary to demonstrate compliance with provisions herein, available to You and may allow for audits including but not limited to inspections.
7.7. El procesador de datos ha nombrado a un responsable de la protección de datos ("RPD") de acuerdo con la legislación europea de protección de datos y puede ser contactado a los efectos del presente APD y del Acuerdo Principal por correo electrónico: dpo@simplybook.me.
7.8. This part of the DPA applies to Personal Data other than European Data, under the provisions of applicable Data Protection Laws.
7.9. The Parties agree that SimplyBook.me Ltd shall Process such Personal Data strictly in accordance with applicable Data Protection Laws and solely for the purposes of providing the Services under the provisions of the Main Agreement.
7.10. The Parties shall enter into any additional agreements required by law for the purpose complying with the applicable Data Protection Laws.
8.1. Cuando Usted se registra y acepta los Términos y Condiciones, y/o las disposiciones legales para la Solución de Software SimplyBook.me, Usted como Usuario del Sistema celebra el presente APD en nombre propio y, en su caso y en la medida permitida por la ley y las Leyes de Protección de Datos aplicables, en nombre y por cuenta de sus Afiliados Permitidos, estableciendo un APD independiente entre nosotros y cada uno de dichos Afiliados Permitidos sujeto al Acuerdo y a las disposiciones del presente documento.
8.2. You hereby agree and acknowledge that each Permitted Affiliate agrees to be bound by the obligations of this DPA and as applicable to the Main Agreement.
8.3. You hereby agree and acknowledge that to the extent permitted by law, for the purposes of this DPA and except as otherwise provided herein, “User”, “You” and “Your” will include You and such Permitted Affiliates.
8.4. The legal entity agreeing to this DPA as User represents that it is authorized to agree to and enter into this DPA for and on behalf of itself and, as applicable, each of its Permitted Affiliates.
9.1. This DPA will remain in force from the Effective Date and until the Data Controller or Data Processor terminates the Main Agreement, in line with applicable provisions.
9.2. This DPA may be terminated by either party with a 30 (thirty) days written notice, pursuant to the provisions of the Main Agreement and by cancelling the system in system settings.
9.3. Notwithstanding anything else to the contrary in this DPA and Main Agreement, SimplyBook.me reserves the right to make any updates and amendments to this DPA subject to any additional terms herein.
9.4. If any individual provisions of this DPA are determined to be invalid or unenforceable, the validity and enforceability of the other provisions of this DPA will not be affected.
9.5. Neither party may, without the prior written consent of the other party assign, transfer, charge, license or otherwise deal in or dispose of any contractual rights or obligations under this Agreement.
9.6. The Parties and Permitted Affiliates' liability arising out of or related to this DPA in whole whether in contract, tort or under any other theory of liability, will be subject to the limitations and exclusions of liability set out in the Main Agreement.
9.7. The Parties hereby agree and accept the choice of the jurisdiction indicated in the Main Agreement in respect of this DPA.
Este Anexo 1: Definiciones forma parte de la DPA.
"Responsable del Tratamiento": la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determine los fines y medios del Tratamiento de Datos Personales.
"Encargado del tratamiento": persona física o jurídica, autoridad pública, agencia u otro organismo que trate Datos Personales por cuenta del Responsable del tratamiento.
“Data Protection Laws”: means all applicable worldwide legislation relating to data protection and privacy which applies to the respective Party in the role of Processing Personal Data in question under the Agreement, including without limitation: (1) the European Data Protection Laws; (2) the California Consumer Privacy Act of 2018 (“CCPA”); (3) the data protection and privacy laws of Australia and Singapore; (4) and other; in each case as amended, repealed, consolidated or replaced from time to time.
"Interesado": se refiere a la persona física a la que se refieren los Datos Personales.
"EU-US Privacy Shield": el programa de autocertificación gestionado por el Departamento de Comercio de EE.UU. y aprobado por la Comisión Europea, en su versión modificada, sustituida o reemplazada.
"Europe": means the European Union, the European Economic Area and/or their member states.
"Leyes europeas de protección de datos": significa las leyes de protección de datos aplicables en Europa, incluidas: (1) el Reglamento 2016/679 - el Reglamento General de Protección de Datos de la UE ("GDPR"); (2) la Directiva 2002/58/CE - la Directiva sobre privacidad y comunicaciones electrónicas; (3) las implementaciones nacionales aplicables de los puntos 1 y 2 anteriores; (4) cualquier legislación nacional aplicable que sustituya o convierta en legislación nacional el GDPR; (5) la Ley de Protección de Datos de 2018 del Reino Unido (el "GDPR del Reino Unido"); en cada caso, según se modifique, sustituya o reemplace.
"Datos Europeos": significa los Datos Personales que están sujetos a la protección de las Leyes Europeas de Protección de Datos, definidas a continuación.
"Instrucciones": cualquier instrucción escrita y documentada emitida por el Responsable del Tratamiento al Encargado del Tratamiento, y que ordene a éste la realización de una acción específica o general en relación con los Datos Personales, incluidas, entre otras, la despersonalización, el bloqueo, la supresión, la puesta a disposición.
"Afiliados Permitidos": incluirá a cualquiera de Sus Afiliados a los que se les permita obtener los Servicios en su nombre, de conformidad con el Contrato Principal, pero que no hayan firmado su propio contrato por separado con nosotros y no sean usuarios y se califiquen como Controladores de Datos Personales Procesados por nosotros, y puedan estar sujetos a las Leyes Europeas de Protección de Datos.
"Vulneración de Datos Personales": significará una violación de la seguridad que conduzca a la destrucción accidental o ilícita, pérdida, alteración, divulgación no autorizada o acceso a Datos Personales transmitidos, almacenados o tratados de otro modo por nosotros y/o nuestros Subencargados del Tratamiento en relación con la prestación de los Servicios, pero no incluye intentos o actividades infructuosos que no comprometan la seguridad de los Datos Personales, incluidos intentos infructuosos de inicio de sesión, pings, escaneos de puertos, ataques de denegación de servicio y otros ataques de red contra cortafuegos o sistemas en red.
"Datos Personales": significa cualquier información relativa a una persona física identificada o identificable cuando dicha información esté contenida en la Cuenta (tal y como se define en el Contrato Principal) y esté protegida como otra información personal o información de identificación personal en virtud de las Leyes de Protección de Datos aplicables.
“Processing”: se entenderá cualquier operación o conjunto de operaciones que se efectúen sobre Datos Personales, comprendiendo la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación, cotejo o interconexión, limitación o supresión de Datos Personales y los términos "Tratar", "Procesar" y "Tratados" se interpretarán en consecuencia.
“Services”: shall have the same meaning as in the Main Agreement.
"Cláusulas Contractuales TipoCláusulas Contractuales Tipo": las cláusulas contractuales tipo para Encargados del Tratamiento de Datos aprobadas en virtud de la decisión pertinente de la Comisión Europea y que se incluyen en el Anexo 5 del presente documento, que forma parte del Acuerdo, y que pueden ser modificadas, sustituidas o reemplazadas.
"Subprocesador": significa cualquier procesador de datos contratado por nosotros para ayudar a cumplir con nuestras obligaciones con respecto a la prestación de los servicios en virtud del Acuerdo Principal y puede incluir a terceros, con exclusión de cualquier empleado o consultor de SimplyBook.me Ltd..
Por "UK IDTA" se entenderá el modelo de adenda publicado por la Oficina del Comisario de Información del Reino Unido ("ICO") y aquí: Anexo de transferencia internacional de datos a las cláusulas contractuales tipo de la Comisión de la UE, y tal y como está disponible en el sitio web oficial de la ICO Acuerdo y guía de transferencia internacional de datos | ICO, y tal y como pueda ser modificado, suspendido o sustituido.
This Annex 2: Details of Processing forms part of the DPA.
Naturaleza y finalidades del tratamiento: la Empresa tratará los Datos Personales según sea necesario para la prestación de los Servicios, de conformidad con el Acuerdo Principal y según se especifique en la documentación adicional que forma parte del Acuerdo Principal y del APD.
Duration of the Processing: subject to any provisions contained herein specifying otherwise, Processing of Personal Data shall occur for the duration of the Main Agreement, unless otherwise agreed in writing.
Categories of Data Subjects: pursuant to the provisions of the Main Agreement, Data Subjects shall include any type of User’s clients and therefore may vary by the system usage from the Data Controller.
Categories of Personal Data: pursuant to the provisions of the Main Agreement, categories of Personal Data may vary in accordance with the usage of the System and bookings made by the User’s clients and may include name, surname, email address and phone number. To the extent applicable and as may be requested by the User when using the System, various information such as when completing additional fields, adding comment(s) which are/is linked to booking(s) for a relevant individual, details on the status of bookings, whether they attended, or paid for booking may fall under the definition of Personal Data for which You are acting as the Data Controller pursuant to the provisions of this Agreement. The above list is not exhaustive and does necessarily apply to every User. Special Categories of Personal Data may include information revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade-union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation. Such information may be submitted by Your clients via the System, at Your sole discretion and request, as notes/additional fields information and/or comments. Note that where You have our SOAP custom feature, data at rest will be encrypted.
A standardised internal processes in which system users’ data are continuously or systematically collected, stored and used for the provision of the Services, in line with the Main Agreement. The Data Processor will Process Personal Data on behalf of the Data Controller for the purpose of using the Appointment Scheduling System and accept appointments, send reminders, process payments, sell products, make promotions and other related activities allowed by our custom features.
1. This Annex 3: Security Measures forms part of the DPA and all capitalised terms, not otherwise defined herein, shall have the same meaning set forth in the Main Agreement.
2. Las medidas aquí expuestas forman parte del SGSI, que se mantendrá de acuerdo con las mejores prácticas y normas, y esta sección deberá leerse junto con la página oficial de Seguridad de la Empresa (véase Seguridad - SimplyBook.me) y/o los documentos de nuestro Paquete de Seguridad, cuando se haya puesto a disposición.
En consonancia con la política interna de control de acceso que forma parte de nuestro SGSI, los derechos de acceso y los permisos internos se basan en funciones y son proporcionales a sus responsabilidades funcionales, de acuerdo con los principios de "necesidad de conocer" y "necesidad de utilizar". Con el fin de minimizar la divulgación de información o el acceso a la misma de forma prematura, accidental o ilícita, la infraestructura de autorización descrita a continuación se ha implantado también como parte de nuestro sistema y:
el acceso a la información interna por parte de usuarios no autorizados está prohibido por defecto y se registran y gestionan los accesos/actividades privilegiadas, así como los intentos de acceso (no) autorizados;
cuando esté disponible, la autenticación 2FA debe ser habilitada por todo el personal cuando acceda al sistema para el Tratamiento de Datos Personales y de otro tipo.
Para los usuarios de nuestro sistema, el inicio de sesión seguro 2FA está disponible con las funciones personalizadas "Google Authenticator" y "HIPAA" para el usuario; y la gestión de contraseñas está disponible con la función personalizada "Strict Password" para el usuario.
La Empresa utiliza tecnologías de encriptación adecuadas para proteger los Datos Personales y, en su caso y:
para datos en tránsito, todas las comunicaciones externas se admiten a través de canales cifrados asegurados con protocolos estándar (hasta TLS 1.3 con cifrado AES-128 / AES-256), dependiendo del software o software implicados y de las circunstancias de compatibilidad permitidas; y
para datos en reposo (disponible para datos SOAP e historial médico con la función personalizada "SOAP con cifrado de datos").
The Company shall have in place an appropriate Record of Processing Operations, an Asset Handling Procedure and an Acceptable Use Policy all of which ensure that all information, including Personal Data are classified in accordance with its criticality and sensitivity to unauthorised access, disclosure or modification.
La Empresa ha tomado medidas razonables para garantizar que sus empleados y contratistas, que tienen acceso a Datos Personales, conozcan y cumplan las políticas y procedimientos de seguridad y privacidad.
Las medidas incluyen: (a) verificación de antecedentes, como la comprobación de antecedentes penales para todos los empleados y contratistas con acceso a Datos Personales; (b) celebración de Acuerdo de No Divulgación y Confidencialidad y Acuerdo de Procesamiento de Datos para todos los empleados y contratistas; (c) participación en programas de formación y concienciación por parte de empleados y contratistas, centrados en la protección de datos personales, privacidad y seguridad.
La Empresa se compromete a garantizar que las instalaciones correctas y seguras para el Tratamiento de Datos Personales por:
controlling the changes to the processing systems and facilities by implementing and maintaining procedures in line with the internal Change Management Policy;
performing regular back-ups and test of back-ups, by implementing and maintaining procedures in line with the internal Back-Up Policy;
maintaining event logging with records of user activities, exceptions, errors and information security events;
ensure clock synchronisation for all relevant Information Processing Systems.
La empresa ha implantado un cortafuegos y un sistema de detección de intrusos y supervisa periódicamente la actividad de la red.
La empresa lleva a cabo el desarrollo de software y los procesos de apoyo pertinentes de acuerdo con los principios de ingeniería de sistemas seguros adoptados, como:
Security by design;
Security testing shall be performed for any changes or new developments;
Development/testing/production environments shall be separated.
La Compañía lleva a cabo evaluaciones de seguridad y privacidad de la contratación de nuevos proveedores y luego cada año en adelante, en relación con los servicios que prestan SimplyBook.me y reconoce la responsabilidad de informar al Controlador de Datos para cualquier cambio en la prestación de servicios de conformidad con el Acuerdo Principal.
La empresa garantiza un enfoque coherente de la gestión de los incidentes relacionados con la privacidad y la seguridad, incluida la comunicación de las violaciones y deficiencias de la seguridad. En concreto, existe un procedimiento de gestión de incidentes y continuidad de la actividad que se comprueba periódicamente. Además, disponemos de un procedimiento de notificación de violaciones de datos personales que se revisa anualmente.
La Empresa realiza evaluaciones periódicas de los riesgos para los Datos Personales y revisa la eficacia de las políticas y procedimientos de seguridad implantados.
1. Read this Annex 4 in conjunction with Clause 5 and other applicable provisions of the DPA.
2. En su caso, los respectivos Sub-procesadores se aplicarán cuando se habilite y / o integrar sus sistemas a su cuenta como se pone a disposición del sistema y el sitio web oficial de SimplyBook.me Ltd aquí: https://simplybook.me/en/integrations.
| Entidad | Finalidad del tratamiento/servicio | Ubicación y medidas |
|---|---|---|
| Live Agent | Servicios y asistencia: servicios de chat en directo a través de nuestro sitio web | Slovakia (EU) |
| Slack | Servicios y asistencia: sistema de mensajería de comunicación interna | EE.UU. |
| Linode | Servicios y asistencia: proveedor de correo electrónico saliente | UK |
| PandaDoc | Servicios y asistencia: firmas electrónicas: firma electrónica de nuestra APD u otros acuerdos. | EE.UU. |
| Sede responsable | Servicios y asistencia: funcionalidad de firma electrónica para BAA | EE.UU. |
| Twilio Inc. | Servicios y asistencia: Proveedor de SMS | EE.UU. |
| Brevo (Sendinblue) | Servicios y asistencia: proveedor de correo electrónico | France |
| Nexmo (Vonage Holdings Corp.) | Servicios y asistencia: Proveedor de SMS | UK |
| Hubspot | Servicios y asistencia: CRM para empresas | Alemania |
| Savio.io | Servicios y asistencia: gestión de opiniones | Canade |
| Google Inc. | Alojamiento e infraestructura: servidores, en cualquiera de las dos ubicaciones | Estados Unidos, Canadá, Bélgica y Australia |
| OVH | Alojamiento e infraestructura: servidores, en cualquiera de las dos ubicaciones | Reino Unido, Canadá, Francia y Singapur, Australia |
| MaxMind Inc. | Servicios y asistencia & Estadísticas y análisis: Servicios de inteligencia de direcciones IP | EE.UU. |
| Matomo | Estadísticas y análisis: servicios autoalojados con Google Cloud | UK |
| Leadinfo | Estadísticas y análisis: optimización de sitios web para empresas | Países Bajos |
Proveedores de servicios de pago (PSP): |
||
| Nuvei (antes Safecharge) | PSP clave: procesamiento de pagos | Canadá |
| PayPal | PSP clave: procesamiento de pagos | EE.UU. |
| JCC | Key PSP: procesamiento de pagos para usuarios establecidos en Chipre | Chipre |
Principales integraciones y funciones: |
||
| Meta (Facebook) | Alojamiento e infraestructura: añadir opciones de widget con la función de reserva de Facebook e Instagram | EE.UU. |
| Alojamiento e infraestructura: añadir opciones de widget con la función de reserva de Facebook e Instagram | EE.UU. | |
| Outlook (Microsoft) | Alojamiento e infraestructura: uso de la función de sincronización bidireccional del calendario de Outlook | EE.UU. |
|
Pueden aplicarse otras entidades según la función específica esté habilitada en Su Cuenta según integraciones disponibles. |
||
1. En virtud y a los efectos del GDPR, la última versión de las Cláusulas Contractuales Tipo disponibles en el sitio web oficial de la Comisión Europea (que se encuentra aquí), se implementa por referencia en el presente documento, se sigue para el objeto y forma parte de este DPA, y puede ser modificada, suspendida o sustituida y las Partes por la presente entienden y acuerdan mutuamente que:
(a) la Empresa asume los derechos y obligaciones del Importador de Datos y Usted los derechos y obligaciones del Exportador de Datos, tal y como se definen en las Cláusulas Contractuales Tipo y que entrarán en vigor en el momento en que cualquiera de las Partes se convierta en parte de las mismas y en el momento en que se inicie la transferencia de datos correspondiente, lo que ocurra más tarde;
(b) Módulo Dos: Se adopta la transferencia entre el controlador y el procesador;
(c) en la cláusula 7, se aplica la cláusula de acoplamiento opcional;
(d) en la Cláusula 9, se aplica la Opción 2 y los cambios en los Subprocesadores se notificarán de conformidad con la sección "Subprocesadores" de esta DPA y el Anexo 4 anterior;
(e) en la cláusula 11, se suprime la mención facultativa;
(f) en las Cláusulas 17 y 18, las partes acuerdan que la ley aplicable y el foro para los litigios para las Cláusulas Contractuales Tipo se determinarán de conformidad con la sección "Entidad Contratante; Ley Aplicable; Notificación" de las Condiciones Particulares de Jurisdicción o, si dicha sección no especifica un Estado Miembro de la UE, la República de Irlanda (sin referencia a conflictos de principios legales);
(g) los Anexos de las Cláusulas Contractuales Tipo se considerarán completados con la información para el Usuario que corresponda y que figura en los Anexos de la presente DPA;
(h) la autoridad de control que actuará como autoridad de control competente se determinará de conformidad con el GDPR;
(i) si las Cláusulas Contractuales Tipo entran en conflicto con alguna disposición del presente APD, y en la medida en que lo hagan, prevalecerán las Cláusulas Contractuales Tipo en la medida de dicho conflicto.
2. En virtud de la Ley Federal Suiza de Protección de Datos y su Reglamento ("Swiss DPA"), en consonancia con el punto 1 anterior, y los puntos siguientes, se aplicarán las Cláusulas Contractuales Tipo y las referencias al "Reglamento (UE) 2016/679" se interpretarán como referencias a la DPA suiza, a la "UE", "legislación de la Unión" y "legislación de los Estados miembros" se interpretarán como referencias a la legislación suiza, "autoridad de control competente" y "tribunales competentes" se sustituirán por "el Comisario Federal de Protección de Datos e Información de Suiza" y "los tribunales competentes de Suiza".
3. Bajo y para los propósitos del GDPR del Reino Unido, en línea con el punto 1 anterior, y debajo de los subpuntos 2.1. a 2.3., la última versión de la IDTA del Reino Unido, que puede ser modificada, suspendida o reemplazada y actualmente disponible en el sitio web oficial de la Oficina del Comisionado de Información del Reino Unido ("ICO") (que se encuentra aquí), se implementará por referencia en este documento, seguido para el objeto y formando parte de este DPA.
2.1. Las Cláusulas Contractuales Tipo se modifican e interpretan por la presente para alinearse con la IDTA del Reino Unido, se incorporan por referencia y forman parte integrante.
2.2. La información de los Anexos de este APD completan la información requerida en las Tablas 1, 2 y 3 de la IDTA del Reino Unido y la Tabla 4 se considerará completada seleccionando "ninguna de las partes".
4. Cualquier conflicto entre los términos de las Cláusulas Contractuales Tipo y la IDTA del Reino Unido se resolverá de acuerdo con la Sección 10 y la Sección 11 de la Adenda del Reino Unido.
Obtenga la versión completa firmada de nuestro APD -contiene la versión completa del último SCC- aquí.
Ten en cuenta que también ofrecemos una herramienta incluso más sencilla para la organización de reuniones. Dale una mirada si crees que SimplyBook.me es demasiado para lo que necesitas.