Tämä asiakirja on SimplyBook.me Ltd:n tietojenkäsittelysopimus ("DPA"), joka on laadittu EU:n yleisen tietosuoja-asetuksen ("GDPR") 28 artiklan mukaisesti. Se on oikeudellisesti sitova sopimus SimplyBook.me Ltd:n ja sinun, SimplyBook.me-ohjelmistoratkaisun käyttäjän, välillä.
It is recommended that You read this document carefully, together with our:
Huomautus 1
Voit ladata ja saada allekirjoitetun
kopion tästä tietosuojasopimuksesta.
Huomautus 2
Ymmärrät, että voimme tehdä kohtuullisia muutoksia alla oleviin määräyksiin GDPR:n tai muiden asiaankuuluvien lakien muutosten ja/tai liiketoimintamme identiteettimuutosten huomioon ottamiseksi, ja ilmoitamme sinulle kaikista merkittävistä muutoksista.
Huomautus 3
Jos sinulla on kysyttävää tästä tietosuojasopimuksesta, ota meihin yhteyttä
Versio: 2.3
Viimeksi päivitetty: 01/11/2022
Voimaantulopäivä: 01/11/2022
Latest version available here
1.1. Sen lisäksi, mitä muualla tässä sopimuksessa ja pääsopimuksessa on määritelty, liitteessä 1 ("Määritelmät") olevilla termeillä on tässä sopimuksessa esitetyt merkitykset.
1.2. Osapuolet sopivat ja ymmärtävät, että tässä sopimuksessa sovelletaan kaikkia Euroopan tietosuojalainsäädännön määritelmiä.
2.1. Tämän tietosuojasopimuksen ja pääsopimuksen määräysten mukaisesti olet vastuussa siitä, että noudatat rekisterinpitäjänä kaikkia henkilötietojen käsittelyä koskevia vaatimuksia, joita sovelletaan toimintoihisi sovellettavien tietosuojalakien mukaisesti.
2.2. Hyväksyt ja tunnustat, että olet vastuussa seuraavista asioista, sanotun kuitenkaan rajoittamatta alla olevan yleisyyttä: (i) niiden henkilötietojen tarkkuudesta, laadusta ja laillisuudesta, jotka annat Yhtiölle Palveluita varten, sekä niiden hankintakeinoista ja -menetelmistä; (ii) kaikkien tarvittavien avoimuus- ja laillisuusvaatimusten noudattamisesta sovellettavien tietosuojalakien, mukaan lukien Euroopan tietosuojalainsäädäntö; (iii) henkilötietojen keräämisestä ja käytöstä, mukaan lukien tarvittavien suostumusten ja lupien hankkiminen, erityisesti Käyttäjän markkinointitarkoituksiin käyttämistä varten; (iv) sen varmistaminen, että Sinulla on oikeus siirtää tai antaa pääsy Henkilötiedot meille käsittelyä varten tämän tietosuojasopimuksen ja Pääsopimuksen ehtojen mukaisesti; (v) sen varmistaminen, että noudatat kaikkia Sinuun sovellettavia lakeja, mukaan lukien, mutta ei rajoittuen, tietosuojalakeihin, kaikkien sähköpostiviestien tai muun sisällön osalta, jota luodaan, lähetetään tai muutoin hallinnoidaan Palveluidemme kautta.
2.3. Vahvistat täten ja sitoudut ilmoittamaan yhtiölle viipymättä ja ilman aiheetonta viivytystä, jos et pysty noudattamaan velvollisuuksiasi tässä sopimuksessa ja erityisesti sovellettavien tietosuojalakien mukaisesti.
2.4. Tunnustat täten ja ymmärrät, että tämän sopimuksen määräykset ja kaikki pääsopimuksen asiaankuuluvat määräykset sekä mahdolliset kirjalliset lisäpyynnöt, jotka esität rekisteröitynä, muodostavat täydelliset ja lopulliset ohjeet, jotka annat rekisterinpitäjänä tämän tietosuojasopimuksen tarkoituksia varten henkilötietojesi käsittelyä varten ja siihen liittyen.
2.5.Täten tunnustat, ymmärrät ja hyväksyt, että kaikki lisäohjeet, jotka eivät kuulu tämän ohjeen soveltamisalaan, edellyttävät kirjallista ennakkopyyntöäsi.
3.1. Yhtiö käsittelee henkilötietoja ainoastaan tässä tietosuojasopimuksessa kuvattuun tarkoitukseen ja tämän sopimuksen liitteen 2 mukaisesti ("Käsittelyn yksityiskohdat") tai kuten muutoin on sovittu laillisten ohjeidesi puitteissa, paitsi jos ja siinä määrin kuin tietosuojalainsäädäntö, mukaan lukien mutta ei rajoittuen Euroopan tietosuojalainsäädäntö ja muut sovellettavat lait ja asetukset, jotka ovat merkityksellisiä Osapuolille, edellyttävät muuta.
3.2. Yritystä ei pidetä vastuullisena eikä se ole vastuussa sellaisten sovellettavien tietosuojalakien noudattamisesta, jotka koskevat ainoastaan sinua ja/tai toimialuettasi eivätkä ole oikeudellisesti sovellettavissa SimplyBook.me Ltd:n toimintaan.
3.3. Yhtiö ilmoittaa sinulle välittömästi ja ilman aiheetonta viivytystä lain sallimissa rajoissa, jos se katsoo, ettei se pysty käsittelemään henkilötietoja tämän tietosuojasopimuksen määräysten mukaisesti ja sovellettavien lakien ja/tai asetusten oikeudellisten vaatimusten vuoksi.
3.4. Ottaen huomioon tämän tietosuojasopimuksen määräysten mukaisen henkilötietojen käsittelyn tekniikan tason, toteuttamiskustannukset, luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvan riskin, jonka todennäköisyys ja vakavuus vaihtelevat, Yhtiö toteuttaa ja ylläpitää asianmukaisia teknisiä ja organisatorisia toimenpiteitä, joilla varmistetaan asianmukainen turvallisuustaso kyseiseen riskiin nähden, tämän tietosuojasopimuksen liitteen 3 määräysten mukaisesti (yhteisesti "turvatoimenpiteet").
3.5. Yhtiön on varmistettava, että turvatoimenpiteet ovat osa sen toteuttamaa tietoturvallisuuden hallintajärjestelmää ("ISMS"), joka on ISO/IEC 27001:2013 -standardin mukainen ja josta akkreditoitu sertifiointielin on myöntänyt todistuksen.
3.6. Yhtiö voi muuttaa tai päivittää turvatoimia harkintansa mukaan edellyttäen, että tällainen muutos tai päivitys ei johda turvatoimien tarjoaman suojan merkittävään heikkenemiseen ja/tai että se on asiaankuuluvien lakien ja oikeudellisten velvoitteiden mukainen, sanotun kuitenkaan rajoittamatta minkään päinvastaisen määräyksen soveltamista.
3.7. Yhtiö varmistaa täten, että kaikki työntekijät tai nimitetyt henkilöt, jotka on valtuutettu käsittelemään henkilötietoja puolestamme ja nimissämme, ovat asianmukaisen luottamuksellisuusvelvoitteen, sopimusvelvoitteiden ja lakisääteisten velvoitteiden alaisia kyseisiä henkilötietoja koskien.
3.8. Yhtiö sitoutuu ilmoittamaan viipymättä ja ilman aiheetonta viivytystä saatuaan tietoonsa henkilötietojen tietoturvaloukkauksen sovellettavien tietosuojalakien säännösten mukaisesti ja tarvittaessa antamaan sinulle tietoja sitä mukaa kuin ne tulevat tietoon tai kun sinä kohtuullisesti pyydät niitä.
3.9. Yhtiö sitoutuu täten antamaan sinulle viipymättä kohtuullista apua, joka on tarpeen, jotta voit ilmoittaa henkilötietojen tietoturvaloukkauksista toimivaltaisille viranomaisille ja/tai rekisteröidyille, joita asia koskee, sovellettavien tietosuojalakien mukaisesti ja kirjallisen pyyntösi mukaisesti.
3.10. Yhtiö sitoutuu täten poistamaan tai palauttamaan sinulle kaikki pääsopimukseen ja tähän tietosuojasopimukseen liittyvät henkilötiedot, mukaan lukien, mutta ei rajoittuen, kopiot henkilötiedoista, joita on käsitelty tämän tietosuojasopimuksen tarkoituksia varten, palvelujen päättyessä tai päättyessä pääsopimuksen asiaa koskevien määräysten mukaisesti.
3.11. Tätä vaatimusta on noudatettava minkä tahansa sovellettavan lain nojalla, joka voi edellyttää joidenkin tai kaikkien henkilötietojen säilyttämistä, jollei lisäturvatoimista, kuten eristämisestä ja suojaamisesta jatkokäsittelyltä, muuta johdu.
4.1. Täten tunnustat, hyväksyt ja hyväksyt, että Yhtiö tarjoaa sinulle ohjelmistossa hallintalaitteita, joiden avulla voit hakea, korjata, poistaa tai rajoittaa henkilötietoja auttaaksesi sinua tietosuojalakien vaatimusten noudattamisessa.
4.2. Yhtiö voi sinun kirjallisesta pyynnöstäsi antaa kohtuullista apua vastatessaan rekisteröityjen pyyntöihin tai tietosuojaviranomaisten pyyntöihin, jotka liittyvät tämän tietosuojasopimuksen mukaiseen henkilötietojen käsittelyyn, edellyttäen, että siitä maksetaan tarpeelliseksi katsottu korvaus.
4.3. Otat yksinomaisen ja yksinomaisen vastuun vastata rekisteröidyn pyyntöihin tai muihin henkilötietojen käsittelyä koskeviin viesteihin, jotka tulevat henkilöltä tai henkilöiltä, jotka on tunnistettu asiakkaaksesi ja jotka voidaan osoittaa yhtiölle, edellyttäen, että ilmoitamme tällaisesta pyynnöstä viipymättä sinulle.
5.1. Täten tunnustat, hyväksyt, hyväksyt ja valtuutat alihankkijat henkilötietojen käsittelyyn tämän tietosuojasopimuksen ja pääsopimuksen mukaisesti, jotka sisältyvät liitteeseen 4, alihankkijaluetteloon.
5.2. Yhtiö varmistaa täten, että jos alihankkijana toimiva henkilötietojen käsittelijä nimitetään, näiden välillä tehtävään oikeudelliseen sopimukseen on sisällytettävä asianmukaiset tietosuojaehdot, joihin sovelletaan asianmukaisia tietosuojalakeja ja jotka edellyttävät vähintään samaa henkilötietojen suojan tasoa kuin tämän tietosuojasopimuksen määräykset, ja jos se katsotaan tarpeelliseksi, siihen on sisällytettävä Euroopan komission julkaisemien vakiosopimuslausekkeiden viimeisin versio.
5.3. Yhtiö on edelleen vastuussa siitä, että kukin alihankkijana toimiva henkilötietojen käsittelijä noudattaa tämän tietosuojasopimuksen velvoitteita ja että alihankkijana toimiva henkilötietojen käsittelijä rikkoo tämän tietosuojasopimuksen mukaisia velvoitteitaan tai laiminlyö niitä.
6.1. Täten hyväksyt, hyväksyt ja valtuutat Yhtiön suorittamaan sisäisiä ja ulkoisia liiketoimintoja varten tarvittavia tiedonsiirtoja kolmansille osapuolille, jotka on tässä yhteydessä nimetty alihankkijoiksi ja jotka voivat sijaita EU:n ja/tai ETA:n ulkopuolella, jollei tämän asiakirjan määräyksistä muuta johdu.
6.2. Edellä olevan lausekkeen 6.1. mukaisesti molemmat osapuolet vahvistavat ja sopivat, että kaikki tiedonsiirrot suoritetaan ainoastaan pääsopimuksen, tämän tietosuojasopimuksen ja mahdollisten kirjallisten lisäohjeiden, jotka sinä olet toimittanut yhtiölle, tarkoituksen mukaisesti ja ainoastaan kohteen osalta.
6.3. Osapuolet sopivat täten vastavuoroisesti, että tämän sopimuksen lausekkeen 6 mukaisesti Yhtiö suorittaa kaikki tiedonsiirrot yleisen tietosuoja-asetuksen 5 luvun (44-50 artikla) säännösten mukaisesti ja aina sovellettavien tietosuojalakien vaatimusten mukaisesti tämän tietosuojasopimuksen ja pääsopimuksen voimassaoloaikana.
6.4. Edellä olevan lausekkeen 6.3 mukaisesti yritys ei saa siirtää eurooppalaisia tietoja mihinkään maahan tai vastaanottajaan, jonka ei ole tunnustettu tarjoavan riittävää suojaa henkilötiedoille Euroopan tietosuojalainsäädännön säännösten mukaisesti, ellei ensin toteuteta toimenpiteitä sen varmistamiseksi, että siirto on sovellettavan Euroopan tietosuojalainsäädännön mukainen.
6.5. Edellä olevan 6.4 kohdan mukaisesti Yhtiö ei anna lupaa tietojen siirtoon maahan, jonka ei katsota tarjoavan riittävää tietosuojan tasoa:
6.5.1. voimassa oleva Euroopan komission antama asianmukainen päätös, johon sovelletaan tietosuoja-asetuksen 45 artiklaa ja jota voidaan havainnollistaa Euroopan komission virallisella verkkosivustolla ( Adequacy Decisions ); ja/tai
6.5.2. hyväksytyt ja hyväksytyt sitovat yrityssäännöt, jollei tietosuoja-asetuksen 47 artiklasta muuta johdu; ja/tai
6.5.3. sopimuksen tekeminen ja luottaminen hyväksyttyihin vakiosopimuslausekkeisiin, joihin sovelletaan Euroopan tietosuojaa koskevia eurooppalaisia lakeja ja jotka ovat Euroopan komission virallisten verkkosivujen mukaisia ( vakiosopimuslausekkeet (SCC) ).
6.6. Osapuolet tunnustavat ja sopivat täten, että SimplyBook.me ei tukeudu EU:n ja Yhdysvaltojen väliseen Privacy Shield -suojaan ja siihen liittyviin periaatteisiin henkilötietoja siirrettäessä ja varmistaa, että asianmukaiset toimenpiteet toteutetaan sovellettavien tietosuojalakien noudattamiseksi, sellaisina kuin niitä voidaan ajoittain muuttaa.
7.1. Osapuolet sopivat täten, että jos ne tekevät palvelujen tarjoamista koskevan pääsopimuksen mukaisia vakiosopimuslausekkeita osana tätä tietosuojasopimusta, sovelletaan liitteen 5 määräyksiä, joita voidaan muuttaa automaattisesti Euroopan tietosuojalainsäädännön muutosten huomioon ottamiseksi.
7.2. Kohdan 7.1. mukaisesti osapuolet ymmärtävät ja sopivat, että yritys sitoutuu tietojen tuojalle ja sinä tietojen viejälle kuuluviin oikeuksiin ja velvollisuuksiin, sellaisina kuin ne on määritelty vakiosopimuslausekkeissa, ja että nämä tulevat voimaan, kun jompikumpi osapuolista tulee niiden osapuoleksi ja kun asianomainen tiedonsiirto alkaa.
7.3. Osapuolet sopivat täten vastavuoroisesti, että jos sovelletaan vakiosopimuslausekkeita ja jos ne ovat ristiriidassa tämän tietosuojasopimuksen jonkin määräyksen kanssa, vakiosopimuslausekkeet ovat ensisijaisia siltä osin kuin ne ovat ristiriidassa asian kanssa.
8.1. Tätä tietosuojasopimuksen osaa sovelletaan eurooppalaisiin tietoihin pääsopimuksen tarkoituksiin.
8.2. Osapuolet sopivat täten, että käsitellessään eurooppalaisia tietoja ohjeiden mukaisesti sinä olet eurooppalaisten tietojen rekisterinpitäjä ja SimplyBook.me Ltd on käsittelijä.
8.3. SimplyBook.me pidättää itsellään oikeuden ilmoittaa Sinulle, jos Instructions rikkoo Euroopan tietosuojalainsäädäntöä, soveltuvin osin ja ilman aiheetonta viivytystä.
8.4. Yhtiö tekee tarvittavat muutokset liitteeseen 4 nimettyjen alihankkijoiden osalta ja antaa sinulle mahdollisuuden saada siitä tiedon sähköpostitse, jolloin sinulla on mahdollisuus vastustaa sopimusta tähän tietosuojasopimukseen liittyvin kohtuullisin perustein ja 30 (kolmenkymmenen) päivän kuluessa ilmoituksen saamisesta.
8.5. Yhtiö antaa sinulle kohtuullista apua tietosuojaa koskevissa vaikutustenarvioinneissa ("DPIA") ja valvontaviranomaisten tai muiden toimivaltaisten tietosuojaviranomaisten kanssa käytävissä ennakkokuulemisissa Euroopan tietosuojalainsäädännön edellyttämässä laajuudessa, mikäli vaaditut tiedot ovat kohtuullisesti saatavilla eikä sinulla ole muutoin mahdollisuutta saada vaadittuja tietoja.
8.6. SimplyBook.me asettaa kaikki kohtuullisen tarpeelliset tiedot, joilla voidaan osoittaa tämän sopimuksen määräysten noudattaminen, saatavillesi ja voi sallia tarkastuksia, mukaan lukien mutta ei ainoastaan tarkastuksia.
8.7. Henkilötietojen käsittelijä on nimittänyt tietosuojavastaavan Euroopan unionin tietosuojalainsäädännön mukaisesti, ja häneen voi ottaa yhteyttä tätä tietosuojasopimusta ja pääsopimusta koskevissa asioissa sähköpostitse osoitteesta dpo@simplybook.me.
8.8. Tätä tietosuojasopimuksen osaa sovelletaan muihin henkilötietoihin kuin eurooppalaisiin tietoihin sovellettavien tietosuojalakien säännösten mukaisesti.
8.9. Osapuolet sopivat, että SimplyBook.me Ltd käsittelee kyseisiä henkilötietoja tiukasti sovellettavien tietosuojalakien mukaisesti ja yksinomaan pääsopimuksen määräysten mukaisten palvelujen tarjoamiseksi.
8.10. Osapuolet tekevät kaikki lain edellyttämät lisäsopimukset sovellettavien tietosuojalakien noudattamiseksi.
9.1. Kun rekisteröidyt ja hyväksyt SimplyBook.me-verkkoratkaisun käyttöehdot SimplyBook.me-ohjelmistoratkaisua varten, teet järjestelmän käyttäjänä tämän tietosuojasopimuksen omasta puolestasi ja tarvittaessa ja lain ja sovellettavien tietosuojalakien sallimissa rajoissa myös sallittujen tytäryhtiöidesi nimissä ja puolesta, jolloin meidän ja kunkin tällaisen sallitun tytäryhtiön välille syntyy erillinen tietosuojasopimus, johon sovelletaan sopimusta ja tämän sopimuksen määräyksiä.
9.2. Hyväksyt täten ja vahvistat, että kukin sallittu tytäryhtiö sitoutuu noudattamaan tämän tietosuojasopimuksen velvoitteita ja soveltuvin osin pääsopimuksen velvoitteita.
9.3. Hyväksyt täten ja tunnustat, että lain sallimissa rajoissa tämän tietosuojasopimuksen soveltamiseksi ja ellei tässä toisin määrätä, "Käyttäjä", "Sinä" ja "Sinun" käsitteisiin sisältyvät Sinä ja tällaiset Sallitut tytäryhtiöt.
9.4. The legal entity agreeing to this DPA as User represents that it is authorized to agree to and enter into this DPA for and on behalf of itself and, as applicable, each of its Permitted Affiliates.
10.1. Tämä tietosuojasopimus on voimassa voimaantulopäivästä alkaen siihen asti, kunnes rekisterinpitäjä tai henkilötietojen käsittelijä irtisanoo pääsopimuksen sovellettavien määräysten mukaisesti.
10.2. Kumpikin osapuoli voi irtisanoa tämän sopimuksen 30 (kolmenkymmenen) päivän irtisanomisajalla kirjallisesti pääsopimuksen määräysten mukaisesti ja peruuttamalla järjestelmän järjestelmäasetuksista.
10.3. SimplyBook.me pidättää itsellään oikeuden tehdä päivityksiä ja muutoksia tähän tietosuojasopimukseen, jollei tässä tietosuojasopimuksessa ja pääsopimuksessa toisin määrätä.
10.4. Jos jokin tämän tietosuojasopimuksen yksittäinen määräys todetaan pätemättömäksi tai täytäntöönpanokelvottomaksi, se ei vaikuta tämän tietosuojasopimuksen muiden määräysten pätevyyteen ja täytäntöönpanokelpoisuuteen.
10.5. Kumpikaan osapuoli ei saa ilman toisen osapuolen etukäteen antamaa kirjallista suostumusta luovuttaa, siirtää, rasittaa, lisensoida tai muutoin käsitellä tai luovuttaa tämän sopimuksen mukaisia sopimusoikeuksia tai -velvoitteita.
10.6. Osapuolten ja sallittujen tytäryhtiöiden vastuuseen, joka aiheutuu tai liittyy tähän sopimukseen, riippumatta siitä, onko kyse sopimuksesta, vahingonkorvauksesta vai mistä tahansa muusta teoriasta, sovelletaan pääsopimuksessa määrättyjä vastuun rajoituksia ja vastuun poissulkemisia.
10.7. Osapuolet sopivat täten ja hyväksyvät pääsopimuksessa mainitun tuomioistuimen valinnan tämän sopimuksen osalta.
Tämä liite 2: Käsittelyä koskevat tiedot on osa tietosuojasopimusta.
'Rekisterinpitäjällä' tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä muiden kanssa määrittää henkilötietojen käsittelyn tarkoitukset ja keinot.
“Data Protection Laws”: means all applicable worldwide legislation relating to data protection and privacy which applies to the respective Party in the role of Processing Personal Data in question under the Agreement, including without limitation: (1) the European Data Protection Laws; (2) the California Consumer Privacy Act of 2018 (“CCPA”); (3) the data protection and privacy laws of Australia and Singapore; (4) and other; in each case as amended, repealed, consolidated or replaced from time to time.
'Rekisteröidyllä' tarkoitetaan henkilöä, jota henkilötiedot koskevat.
'Henkilötietojen käsittelijällä' tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän puolesta.
"Europe": means the European Union, the European Economic Area and/or their member states.
'Eurooppalaisilla tiedoilla' tarkoitetaan henkilötietoja, jotka kuuluvat jäljempänä määritellyn eurooppalaisen tietosuojalainsäädännön suojan piiriin.
"Euroopan tietosuojalainsäädäntö": tarkoittaa Euroopassa sovellettavaa tietosuojalainsäädäntöä, mukaan lukien: (1) asetus 2016/679 - EU:n yleinen tietosuoja-asetus ("GDPR"); (2) direktiivi 2002/58/EY - sähköisen viestinnän tietosuojadirektiivi; (3) edellä 1 ja 2 kohdan soveltuvat kansalliset täytäntöönpanot; (4) kaikki sovellettava kansallinen lainsäädäntö, joka korvaa tai muuntaa kansallisessa lainsäädännössä GDPR:n tai minkä tahansa muun tietoihin ja yksityisyyden suojaan liittyvän lainsäädännön Yhdistyneen kuningaskunnan Euroopan unionista eroamisen seurauksena; kussakin tapauksessa sellaisina kuin niitä voidaan muuttaa, korvata tai korvata.
"EU-US Privacy Shield": Yhdysvaltain kauppaministeriön ylläpitämä ja Euroopan komission hyväksymä itsesertifiointiohjelma, sellaisena kuin se on muutettuna, korvattuna tai korvattuna.
'Ohjeet': kaikki rekisterinpitäjän tietojen käsittelijälle antamat kirjalliset, dokumentoidut ohjeet, joilla rekisterinpitäjä ohjaa tietojen käsittelijää suorittamaan tietyn tai yleisen toimenpiteen henkilötietojen osalta, mukaan lukien muun muassa henkilöllisyyden poistaminen, suojaaminen, poistaminen tai saataville asettaminen.
"Sallitut tytäryhtiöt": sisältää kaikki tytäryhtiönne, joilla on pääsopimuksen mukaisesti lupa hankkia palveluita puolestanne, mutta jotka eivät ole allekirjoittaneet omaa erillistä sopimustaan kanssamme ja jotka eivät ole käyttäjiä ja jotka ovat oikeutettuja käsittelemiemme henkilötietojen rekisterinpitäjiksi ja joihin voidaan soveltaa eurooppalaista tietosuojalainsäädäntöä.
'Henkilötiedoilla' tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan henkilöön liittyviä tietoja, jotka sisältyvät tiliin (kuten pääsopimuksessa määritellään) ja jotka on suojattu muina henkilötietoina tai henkilökohtaisesti tunnistettavina tietoina sovellettavien tietosuojalakien mukaisesti.
"Henkilötietojen tietoturvaloukkaus": tarkoittaa tietoturvaloukkausta, joka johtaa meidän ja/tai alihankkijoidemme lähettämien, tallentamien tai muulla tavoin käsittelemien Henkilötietojen vahingossa tapahtuvaan tai laittomaan tuhoutumiseen, katoamiseen, muuttamiseen, luvattomaan luovuttamiseen tai pääsyyn niihin Palvelujen tarjoamisen yhteydessä, mutta ei sisällä epäonnistuneita yrityksiä tai toimintoja, jotka eivät vaaranna Henkilötietojen tietoturvaa, mukaan lukien epäonnistuneet sisäänkirjautumisyritykset, pingaukset, porttiskannaukset, palvelunestohyökkäykset ja muut verkkohyökkäykset palomuureja tai verkkojärjestelmiä vastaan.
"Käsittelyllä" tarkoitetaan mitä tahansa henkilötietoihin kohdistuvaa toimenpidettä tai toimenpidekokonaisuutta, joka käsittää henkilötietojen keräämisen, tallentamisen, järjestämisen, jäsentämisen, tallentamisen, muokkaamisen tai muuttamisen, hakemisen, kyselyt, käytön, luovuttamisen siirtämällä, levittämällä tai muulla tavoin saataville asettamisen, yhteensovittamisen tai yhdistämisen, rajoittamisen tai poistamisen, ja termejä "Käsittely", "Käsittelee" ja "Käsitelty" tulkitaan vastaavasti.
“Services”: shall have the same meaning as in the Main Agreement.
'Vakiosopimuslausekkeilla' tarkoitetaan Euroopan komission asiaa koskevan päätöksen mukaisesti hyväksyttyjä ja tämän sopimuksen liitteeseen 5 sisältyviä tietojenkäsittelijöiden vakiosopimuslausekkeita, jotka ovat osa sopimusta ja joita voidaan muuttaa, korvata tai korvata.
“Sub-Processor”: means any Data Processor engaged by us to assist fulfilling our obligations with respect to the provision of the Services under the Main Agreement and may include third parties, excluding any employee or consultant of SimplyBook.me Ltd.
Tämä liite 2: Käsittelyä koskevat tiedot on osa tietosuojasopimusta.
Prosessin luonne ja tarkoitus: Yhtiö käsittelee henkilötietoja, joita tarvitaan palvelujen tarjoamiseksi pääsopimuksen mukaisesti ja jotka voidaan määritellä tarkemmin pääsopimuksen ja tietosuojasopimuksen osana olevissa lisäasiakirjoissa.
Käsittelyn kesto: Jollei tässä sopimuksessa toisin määrätä, henkilötietoja käsitellään pääsopimuksen keston ajan, ellei toisin ole kirjallisesti sovittu.
Rekisteröityjen ryhmät: Pääsopimuksen määräysten mukaisesti rekisteröidyt käsittävät kaikenlaisia käyttäjän asiakkaita, ja ne voivat näin ollen vaihdella rekisterinpitäjän järjestelmäkäytön mukaan.
Henkilötietoryhmät: Pääsopimuksen määräysten mukaisesti henkilötietoryhmät voivat vaihdella järjestelmän käytön mukaan, ja ne kattavat seuraavat tiedot:
- nimi ja sukunimi
- sähköpostiosoite
- puhelinnumerot
- tiedot, joita rekisterinpitäjä pyytää käyttämällä lisäkenttiä
- tiedot, jotka rekisterinpitäjä antaa kommentteina yksittäisistä varauksista, jotka liittyvät henkilöön
- lääketieteelliset henkilötiedot, jotka koskevat potilaiden arviointia ja jotka voidaan salata rekisterinpitäjän valitsemilla henkilötietojen käsittelijän palvelimilla levossa
- information on the status of bookings, whether they attended, or paid for booking
- medical related information field on subject used for non medical informational purposes by the Data Controller
- rekisterinpitäjän kommentit rekisteröidyn varauksista, jotka voivat liittyä tarvittaviin palveluihin tai henkilökohtaisiin tietoihin asiasta; ja edellä mainitut tiedot vaihtelevat järjestelmittäin
- käyttö rekisterinpitäjältä, eikä se ole ehdoton.
Special Categories of Personal Data (where applicable): may include Medical and Health information which relate to SOAP information and medical histories, provided that the custom feature is enabled; and/or transactional information about a User’s purchases and/or income.
Käsittelytoiminnot: käsittävät vakiomuotoiset sisäiset prosessit, joissa järjestelmän käyttäjien tietoja kerätään jatkuvasti tai järjestelmällisesti, tallennetaan ja käytetään palvelujen tarjoamiseksi pääsopimuksen mukaisesti. Henkilötietojen käsittelijä käsittelee henkilötietoja rekisterinpitäjän puolesta ajanvarausjärjestelmän käyttämiseksi ja tapaamisten hyväksymiseksi, muistutusten lähettämiseksi, maksujen käsittelemiseksi, tuotteiden myymiseksi, myynninedistämiseksi ja muiden mukautettujen ominaisuuksien sallimien toimintojen toteuttamiseksi.
1. Tämä liite 3 "Turvatoimenpiteet" on osa sopimusta, ja kaikilla isolla alkukirjaimella kirjoitetuilla termeillä, joita ei ole tässä määritelty toisin, on sama merkitys kuin pääsopimuksessa.
2. Nämä toimenpiteet ovat osa ISMS-järjestelmää, jota on ylläpidettävä parhaiden käytäntöjen ja standardien mukaisesti.
Yhtiö on ryhtynyt asianmukaisiin toimenpiteisiin estääkseen luvattoman pääsyn järjestelmään, verkkoon, sovelluksiin ja mahdollisesti henkilötietoihin, kuten:
Pääsynvalvontapolitiikkojen ja -menettelyjen toteuttaminen ja ylläpito osana sisäistä tietoturvallisuuden hallintajärjestelmää ("ISMS");
"Need-to-know" ja "vähiten etuoikeutettu" -periaatteisiin perustuvien pääsysääntöjen noudattaminen;
Rajoitusperiaatteet, jotka koskevat suoraa pääsyä tietokantoihin;
työntekijät käyttävät 2FA-todennusta, kun he käyttävät järjestelmää henkilötietojen käsittelyä varten;
2FA-suojattu sisäänkirjautuminen on saatavilla "Google Authenticator" ja "HIPAA" -ominaisuuksien avulla;
Password Management is available with the “Strict Password” custom feature for the User.
Yhtiö käyttää asianmukaisia salaustekniikoita henkilötietojen suojaamiseksi ja tarvittaessa tietojen siirtoon (kaikessa viestinnässä loppukäyttäjien ja palvelimen välillä) ja levossa oleviin tietoihin (käytettävissä SOAP-tietojen ja sairaushistorian osalta "SOAP with Data Encryption" -ominaisuuden avulla).
Yhtiöllä on oltava asianmukainen rekisteri käsittelytoimista, varojenkäsittelymenettely ja hyväksyttävän käytön politiikka, joilla kaikilla varmistetaan, että kaikki tiedot, mukaan lukien henkilötiedot, luokitellaan sen mukaan, miten kriittisiä ja herkkiä ne ovat luvattomalle käytölle, paljastamiselle tai muuttamiselle.
Yhtiö on ryhtynyt kohtuullisiin toimenpiteisiin varmistaakseen, että sen työntekijät ja alihankkijat, joilla on pääsy henkilötietoihin, ovat tietoisia tietoturva- ja tietosuojapolitiikasta ja -menettelyistä ja noudattavat niitä.
Toimenpiteisiin kuuluvat: (a) taustatarkastukset, kuten rikosrekisteritarkastus, kaikille työntekijöille ja alihankkijoille, joilla on pääsy henkilötietoihin; b) salassapito- ja luottamuksellisuussopimuksen ja tietojenkäsittelysopimuksen tekeminen kaikille työntekijöille ja alihankkijoille; c) työntekijöiden ja alihankkijoiden osallistuminen koulutukseen ja tietoisuusohjelmiin, joissa keskitytään henkilötietojen suojaamiseen, yksityisyydensuojaan ja turvallisuuteen.
Yhtiö on sitoutunut varmistamaan, että henkilötietojen käsittelyssä käytetään asianmukaisia ja turvallisia välineitä:
käsittelyjärjestelmiin ja -laitteistoihin tehtävien muutosten valvonta toteuttamalla ja ylläpitämällä sisäisen muutoksenhallintapolitiikan mukaisia menettelyjä;
säännöllinen varmuuskopiointi ja varmuuskopioiden testaus toteuttamalla ja ylläpitämällä sisäisen varmuuskopiointipolitiikan mukaisia menettelyjä;
ylläpitää tapahtumalokitusta kirjaamalla käyttäjän toiminnot, poikkeukset, virheet ja tietoturvatapahtumat;
varmistaa kellon synkronointi kaikissa asiaankuuluvissa tietojenkäsittelyjärjestelmissä.
Yhtiö on ottanut käyttöön palomuurisuojauksen ja tunkeutumisen havaitsemisjärjestelmän, ja se valvoo säännöllisesti verkkotoimintaa.
Yhtiö toteuttaa ohjelmistokehitys- ja tukiprosessit hyväksyttyjen turvallisten järjestelmätekniikan periaatteiden mukaisesti, joita ovat esimerkiksi seuraavat:
Security by design;
Turvallisuustestaus on suoritettava kaikkien muutosten tai uusien kehitystoimien yhteydessä;
Kehitys-, testaus- ja tuotantoympäristöt on erotettava toisistaan.
Yhtiö arvioi säännöllisesti toimittajien palveluja ja tunnustaa vastuunsa ilmoittaa rekisterinpitäjälle kaikista muutoksista, jotka koskevat pääsopimuksen mukaisten palvelujen tarjoamista.
Yhtiö varmistaa johdonmukaisen lähestymistavan yksityisyys- ja tietoturvatapahtumien hallintaan, mukaan lukien tietoturvaloukkauksista ja -heikkouksista tiedottaminen:
toiminnan jatkuvuutta ja häiriöiden hallintaa koskevat menettelyt, jotka dokumentoidaan ja testataan säännöllisesti;
henkilötietojen rikkomisesta ilmoittamista koskeva menettely, joka dokumentoidaan ja testataan säännöllisesti.
Yhtiö arvioi määräajoin henkilötietoihin kohdistuvia riskejä ja tarkastelee toteutettujen tietoturvapolitiikkojen ja -menettelyjen tehokkuutta.
1. Lue tämä liite 4 yhdessä lausekkeen 5 ja muiden sovellettavien tietosuojasäännösten kanssa.
| SUB-PROCESSOR | PURPOSE | LOCATION |
|---|---|---|
| Google Inc. | Hosting & infrastruktuuri | Yhdysvallat, Kanada, Yhdistynyt kuningaskunta, EU, AU |
| Hosting & infrastruktuuri | USA | |
| Live Agent | Palvelut ja tuki | Europe |
| OVH | Hosting & infrastruktuuri | Kanada, Ranska ja Singapore |
| Amazon Web Services Inc. | Hosting & infrastruktuuri | Irlanti |
| Linode | Mail Server | UK |
| Nexmo (Vonage Holdings Corp.) | Palvelut ja tuki | UK |
| Sendinblue | Palvelut ja tuki | Ranska |
| Hotjar | Statistics & Analytics: Tilastot ja analytiikka | Ranska |
| Piwik | Statistics & Analytics: Tilastot ja analytiikka | Ranska |
| Twilio Inc. | Services & Support | USA |
| PayPal | Payment Processing Provider | USA |
| MaxMind, Inc. | Palvelut ja tuki | USA |
| Borgun | Payment Processing Provider | Iceland |
| SafeCharge | Payment Processing Provider | UK, USA, Kanada |
| eSignGenie | Palvelut - sähköinen allekirjoitus | USA |
| Tilivelvollinen päätoimipaikka | Palvelut - HIPAA-vaatimustenmukaisuusohjelmisto ja sähköinen allekirjoitus | USA |
1. Kohteessa sovelletaan ja noudatetaan Euroopan komission virallisella verkkosivustolla saatavilla olevien vakiosopimuslausekkeiden uusinta versiota .
2. SCC on osa tätä sopimusta siltä osin kuin sitä sovelletaan osapuoliin Euroopan tietosuojalainsäädännön mukaisesti.
3. Tätä sopimusta ja osapuolten sopimussuhdetta varten hyväksytään moduuli kaksi: Siirto rekisterinpitäjän ja henkilötietojen käsittelijän välillä.
Hanki allekirjoitettu versio tietosuojasopimuksestamme - se sisältää uusimman SCC:n täysversion - täältä.