Denne databehandlingsavtalen ("DPA" / "Avtale") av SimplyBook.me Ltd, er utarbeidet i henhold til artikkel 28 i EUs generelle databeskyttelsesforordning ("GDPR"), og det er en juridisk bindende avtale mellom SimplyBook.me Ltd og deg (brukeren av SimplyBook .me-programvareløsningen). Det anbefales at du leser dette dokumentet nøye, sammen med:
Når du bruker bedriftsløsningene til noen av våre produkter og/eller tjenester, skal bestemmelsene i dette dokumentet gjelde tilsvarende, med mindre det er inngått en separat databehandleravtale som en del av den juridiske avtalen for det aktuelle produktet eller den aktuelle tjenesten.
For å sikre overholdelse av GDPR og/eller identitetsendringer i vår forretningsvirksomhet, kan vi gjøre rimelige endringer i bestemmelsene nedenfor. Du vil bli varslet når viktige endringer trer i kraft.
Du kan laste ned og få en signert kopi av denne DPA-en.
Hvis du har spørsmål om denne DPA-en, kan du kontakte oss
Versjon: 3.0
Sist oppdatert: 07/03/2024
Ikrafttredelsesdato: 07/03/2024
Tidligere versjon tilgjengelig her
1.1. I tillegg til de begrepene som er definert andre steder i denne Avtalen og Hovedavtalen, skal begrepene i Vedlegg 1 ("Definisjonene") ha den betydningen som er angitt der, for alle formål i denne Avtalen.
1.2. Partene er gjensidig enige om og innforstått med at alle definisjonene i de europeiske personvernlovene skal legges til grunn i denne avtalen.
2.1. I tråd med bestemmelsene i denne DPA-en og hovedavtalen er du som behandlingsansvarlig ansvarlig for å overholde alle krav som gjelder for din virksomhet i henhold til gjeldende personvernlovgivning, for behandling av personopplysninger.
2.2. Du samtykker i og erkjenner at, uten at det berører det generelle innholdet i det følgende; at du er ansvarlig for: (i) nøyaktigheten, kvaliteten og lovligheten av Personopplysningene du gir til Selskapet i forbindelse med Tjenestene, samt midlene og metodene for å innhente dem; (ii) overholdelse av alle nødvendige krav til åpenhet og lovlighet i henhold til gjeldende databeskyttelseslover, inkludert europeiske databeskyttelseslover; (iii) for innsamling og bruk av Personopplysningene, inkludert innhenting av nødvendige samtykker og autorisasjoner, særlig for bruk av Brukeren til markedsføringsformål; (iv) sørge for at du har rett til å overføre eller gi tilgang til personopplysningene til oss for behandling i samsvar med vilkårene i denne DPA-en og hovedavtalen; (v) sørge for at du overholder alle lover som gjelder for deg, inkludert, men ikke begrenset til, databeskyttelseslover, for alle e-poster eller annet innhold som opprettes, sendes eller på annen måte administreres gjennom våre tjenester.
2.3. Du bekrefter og samtykker herved til å informere selskapet omgående og uten unødig forsinkelse dersom du ikke er i stand til å overholde dine forpliktelser i henhold til dette dokumentet, og spesielt i henhold til gjeldende personvernlovgivning.
2.4. Du erkjenner og forstår herved at bestemmelsene heri og eventuelle relevante bestemmelser i Hovedavtalen og eventuelle ytterligere skriftlige forespørsler i egenskap av den registrerte skal utgjøre de fullstendige og endelige instruksjonene fra deg som behandlingsansvarlig i forbindelse med denne DPA-en for og i forhold til behandlingen av personopplysningene dine.
2.5.Du erkjenner, forstår og samtykker herved i at eventuelle tilleggsinstruksjoner utenfor omfanget av dette dokumentet krever en skriftlig forespørsel fra deg på forhånd.
3.1. The Company shall only Process Personal Data for the purpose of described in this DPA and in line with Annex 2 herein (the “Details of Processing”) or as otherwise agreed within the scope of your lawful Instructions, except where and to the extent otherwise required by the Data Protection Laws, including but not limited to European Data Protection Laws and other applicable laws and regulations relevant to the Parties.
3.2. Selskapet skal ikke holdes ansvarlig og ansvarlig for overholdelse av gjeldende databeskyttelseslover som bare gjelder for deg og / eller din bransje og ikke er juridisk gjeldende for SimplyBook.me Ltds virksomhet.
3.3. Selskapet skal varsle deg umiddelbart og uten unødig forsinkelse, i den grad loven tillater det, dersom det vurderes at selskapet ikke er i stand til å behandle personopplysninger i samsvar med bestemmelsene i denne DPA-en og på grunn av juridiske krav i gjeldende lover og/eller forskrifter.
3.4. Selskapet skal sikre at behandling av personopplysninger som en del av team.blue Group er i samsvar med bestemmelsene i vårt interne globale rammeverk for datadeling og utelukkende for å forbedre koordineringen og ressursallokeringen ved å dele data internt mellom de ulike varemerkene og datterselskapene, spesielt for markedsføringsstatistikk, intern administrasjon og rapporteringsformål, men bare i en mengde som er nødvendig for den tiltenkte bruken og med passende sikkerhetstiltak på plass for å forhindre uautorisert tilgang eller utlevering.
3.5. By considering the state of art, the costs of implementing and the nature, scope, context and purposes of Processing of Personal Data pursuant to the provisions of this DPA, as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons; the Company shall implement and maintain appropriate technical and organisational measures to ensure the appropriate level of security to that risk, as per provisions of Annex 3 herein (collectively the “Security Measures”).
3.6. Selskapet skal sørge for at sikkerhetstiltakene er en del av det implementerte styringssystemet for informasjonssikkerhet ("ISMS"), i tråd med ISO/IEC 27001-standarden og utstedt sertifikat av et akkreditert sertifiseringsorgan.
3.7. Notwithstanding any provision to the contrary, the Company may modify or update the Security Measures at our discretion provided that such modification or update does not result in a material degradation in the protection offered by the Security Measures and/or comply with relevant laws and legal obligations.
3.8. Selskapet sikrer herved at enhver ansatt eller utnevnt person som er autorisert til å behandle personopplysninger for og på våre vegne, er underlagt passende konfidensialitetsforpliktelser, kontraktsmessige og lovbestemte forpliktelser med hensyn til disse personopplysningene.
3.9. Selskapet forplikter seg herved til å varsle deg umiddelbart og uten unødig forsinkelse når det blir oppmerksom på brudd på personopplysninger, i henhold til bestemmelsene i gjeldende databeskyttelseslover, og om nødvendig gi deg informasjon etter hvert som den blir kjent eller med rimelighet blir bedt om av deg.
3.10. Selskapet forplikter seg herved til å gi deg rimelig assistanse som er nødvendig for å gjøre det mulig å varsle relevante brudd på personopplysningssikkerheten til kompetente myndigheter og/eller berørte registrerte, i henhold til gjeldende personvernlovgivning og på din skriftlige forespørsel.
3.11. Selskapet samtykker herved i å slette eller returnere til deg alle personopplysninger knyttet til Hovedavtalen og denne DPA-en, inkludert, men ikke begrenset til, kopier av personopplysninger som ble behandlet for formålet med denne DPA-en, ved oppsigelse eller utløp av tjenestene, i tråd med de relevante bestemmelsene i Hovedavtalen.
3.12. Kravet her skal utøves i henhold til enhver gjeldende lov som kan kreve å oppbevare noen eller alle Personopplysninger, med forbehold om ytterligere sikkerhetstiltak som isolering og beskyttelse mot videre Behandling.
4.1. Du erkjenner, samtykker og aksepterer herved at Selskapet skal gi deg kontroller i Programvaren som du kan bruke til å hente, korrigere, slette eller begrense Personopplysninger for å hjelpe deg i forbindelse med kravene i personvernlovgivningen.
4.2. Selskapet kan, etter skriftlig forespørsel fra deg, gi rimelig assistanse for å svare på eventuelle forespørsler fra registrerte eller forespørsler fra databeskyttelsesmyndigheter knyttet til behandling av personopplysninger i henhold til denne DPA, med forbehold om eventuell refusjon som anses nødvendig.
4.3. Du påtar deg hele, eksklusive og eneste ansvar for å svare på forespørsler fra registrerte eller annen kommunikasjon angående behandling av personopplysninger fra enkeltpersoner som er identifisert som din kunde og kan være adressert til selskapet, med forbehold om rask varsling om en slik forespørsel fra oss til deg.
5.1. Du erkjenner, godtar, aksepterer og autoriserer herved utnevnelsen av underdatabehandlere for behandling av personopplysninger i henhold til denne DPA og hovedavtalen som er inkludert i vedlegg 4, listen over underdatabehandlere, basert på hvilken noen underdatabehandlere vil gjelde som standard, og noen underdatabehandlere vil bare gjelde hvis du integrerer dem i kontoen din, i henhold til avsnittet på det offisielle nettstedet: https://simplybook.me/en/integrations
5.2. Selskapet sørger herved for at når en underdatabehandler utnevnes, skal den relevante juridiske avtalen som skal inngås mellom disse, inneholde passende databeskyttelsesvilkår underlagt passende databeskyttelseslover og pålegge minst samme beskyttelsesnivå for personopplysninger som bestemmelsene i denne DPA, og der det anses som nødvendig, inkludere den siste versjonen av standard kontraktsklausuler, som utstedt av EU-kommisjonen.
5.3. Selskapet skal ikke engasjere andre underbehandlere og/eller fjerne allerede utnevnte underbehandlere som er relatert til deres forretningsdrift og ikke som en del av en integrasjon som tilbys; der du blir varslet om endringen i vår liste over underbehandlere, og du kan sende inn en innsigelse innen 15 (femten) dager ved å sende en e-post til dpo@simplybook.me eller legal@simplybook.me som er akseptert av selskapet.
5.4. Selskapet skal fortsatt være ansvarlig for hver underdatabehandlers overholdelse av forpliktelsene i denne DPA-en og for enhver handling eller unnlatelse fra en slik underdatabehandler som fører til at vi bryter noen av våre forpliktelser i henhold til denne DPA-en.
6.1. Du erkjenner, samtykker og autoriserer herved Selskapet, med forbehold om bestemmelsene heri, til å utføre nødvendige dataoverføringer for interne og eksterne forretningsoperasjoner til tredjeparter identifisert som underdatabehandlere heri, som kan befinne seg utenfor EU og/eller EØS.
6.2. I henhold til punkt 6.1. ovenfor bekrefter og samtykker begge parter herved i at eventuelle dataoverføringer utelukkende vil bli utført med det formål å oppfylle Hovedavtalen, denne DPA-en og eventuelle ytterligere skriftlige instruksjoner som du har gitt til Selskapet, kun for det aktuelle emnet.
6.3. Parten samtykker herved gjensidig i at Selskapet i henhold til punkt 6 i denne avtalen skal utføre alle dataoverføringer i henhold til bestemmelsene i kapittel 5 (artikkel 44-50) i GDPR og alltid i samsvar med kravene i gjeldende personvernlovgivning så lenge denne DPA-en og Hovedavtalen løper.
6.4. I henhold til punkt 6.3 ovenfor skal Selskapet ikke utføre noen dataoverføring av europeiske data til noe land eller mottaker som ikke er anerkjent som å gi et tilstrekkelig beskyttelsesnivå for personopplysninger, i samsvar med bestemmelsene i de europeiske databeskyttelseslovene; med mindre slike tiltak først er iverksatt for å sikre at overføringen er i samsvar med gjeldende europeiske databeskyttelseslover.
6.5. I henhold til punkt 6.4 ovenfor skal Selskapet ikke godkjenne noen dataoverføring til et land som ikke er anerkjent som et land som gir et tilstrekkelig beskyttelsesnivå via:
6.5.1. et gyldig adekvat vedtak utstedt av Europakommisjonen, med forbehold for artikkel 45 i GDPR og slik dette kan illustreres på Europakommisjonens offisielle nettsted ( Adequacy Decisions ); og/eller
6.5.2. godkjente og autoriserte bindende virksomhetsregler, i henhold til artikkel 47 i GDPR; og/eller
6.5.3. inngåelse og bruk av godkjente standard kontraktsklausuler, underlagt relevante europeiske lover om databeskyttelse og i henhold til Europakommisjonens offisielle nettsted ( Standard kontraktsklausuler (SCC) ).
6.6. Partene erkjenner og godtar herved at SimplyBook.me ikke skal stole på EU-US Privacy Shield og relaterte prinsipper med det formål å overføre personopplysninger og sikre at passende tiltak iverksettes for å overholde gjeldende databeskyttelseslover som kan endres fra tid til annen, og stole på Data Privacy Framework, i den utstrekning det er aktuelt og gyldig.
6.7. Partene inngår herved standard kontraktsklausuler der det er påkrevd, som skal innlemmes ved henvisning og utgjøre en del av denne Avtalen, i henhold til gjeldende relevante bestemmelser i vedlegg 5 nedenfor og gjenstanden i denne Avtalen.
7.1. Denne delen av DPA gjelder for europeiske data i forbindelse med hovedavtalen.
7.2. Partene er herved enige om at når du behandler europeiske data i samsvar med instruksjonene, er du behandlingsansvarlig for europeiske data og SimplyBook.me Ltd er prosessoren.
7.3. SimplyBook.me forbeholder seg retten til å informere deg der instruksjonene bryter europeiske databeskyttelseslover, når og når det er aktuelt, uten unødig forsinkelse.
7.4. Selskapet vil gjøre eventuelle nødvendige endringer i vedlegg 4 vedrørende de utnevnte underdatabehandlerne og gi deg muligheten til å bli varslet via kontoen din, og i så fall har du muligheten til å motsette deg engasjementet av rimelige grunner knyttet til denne DPA-en og innen 15 (femten) dager etter slik varsling.
7.5. The Company shall, to the extent that the required information is reasonably available and you do not otherwise have access to the required information; provide reasonable assistance to You with any Data Protection Impact Assessments (“DPIA”), and prior consultations with Supervisory Authorities or other competent Data Privacy Authorities to the extent required by European Data Protection Laws.
7.6. SimplyBook.me skal gjøre all informasjon som med rimelighet er nødvendig for å demonstrere overholdelse av bestemmelsene heri, tilgjengelig for deg og kan tillate revisjoner inkludert, men ikke begrenset til inspeksjoner.
7.7. Databehandleren har utnevnt et personvernombud ("DPO") i tråd med de europeiske personvernlovene og kan kontaktes i forbindelse med denne DPA-en og hovedavtalen via e-post: dpo@simplybook.me.
7.8. Denne delen av DPA gjelder for andre personopplysninger enn europeiske data, i henhold til bestemmelsene i gjeldende databeskyttelseslover.
7.9. Partene er enige om at SimplyBook.me Ltd skal behandle slike personopplysninger strengt i samsvar med gjeldende databeskyttelseslover og utelukkende med det formål å levere tjenestene i henhold til bestemmelsene i hovedavtalen.
7.10. Partene skal inngå eventuelle tilleggsavtaler som kreves i henhold til lov for å overholde gjeldende personvernlovgivning.
8.1. Når du registrerer deg og godtar vilkårene og betingelsene og/eller juridiske bestemmelser for SimplyBook.me-programvareløsningen, inngår du som bruker av systemet denne DPA på vegne av deg selv og der det er aktuelt og i den grad det er tillatt ved lov og gjeldende databeskyttelseslover, i navnet og på vegne av dine tillatte tilknyttede selskaper, og etablerer en separat DPA mellom oss og hvert slikt tillatt tilknyttet selskap underlagt avtalen og bestemmelsene heri.
8.2. Du samtykker herved i og erkjenner at alle tillatte tilknyttede selskaper samtykker i å være bundet av forpliktelsene i denne DPA-en og som gjelder for hovedavtalen.
8.3. Du samtykker og erkjenner herved at i den grad loven tillater det, vil "bruker", "du" og "din", i forbindelse med denne DPA-en og med mindre annet er angitt her, inkludere deg og slike tillatte tilknyttede selskaper.
8.4. Den juridiske enheten som godtar denne DPA-en som bruker, erklærer at den er autorisert til å godta og inngå denne DPA-en for og på vegne av seg selv og, der det er aktuelt, hver av sine tillatte tilknyttede selskaper.
9.1. Denne DPA-en vil forbli i kraft fra ikrafttredelsesdatoen og frem til den behandlingsansvarlige eller databehandleren sier opp hovedavtalen, i tråd med gjeldende bestemmelser.
9.2. Denne DPA-en kan sies opp av begge parter med 30 (tretti) dagers skriftlig varsel, i henhold til bestemmelsene i hovedavtalen, og ved å kansellere systemet i systeminnstillingene.
9.3. Til tross for alt annet motsatt i denne DPA og hovedavtalen, forbeholder SimplyBook.me seg retten til å gjøre oppdateringer og endringer i denne DPA underlagt eventuelle tilleggsvilkår heri.
9.4. Hvis noen av de individuelle bestemmelsene i denne DPA-en blir funnet å være ugyldige eller ikke kan håndheves, vil ikke gyldigheten og håndhevbarheten av de andre bestemmelsene i denne DPA-en bli påvirket.
9.5. Ingen av partene kan uten skriftlig forhåndssamtykke fra den andre parten overdra, overføre, belaste, lisensiere eller på annen måte handle med eller avhende noen kontraktsmessige rettigheter eller forpliktelser i henhold til denne Avtalen.
9.6. Partenes og Tillatte Tilknyttede Selskapers ansvar som oppstår som følge av eller i forbindelse med denne DPA-en i sin helhet, enten det er i henhold til kontrakt, erstatningsrettslig eller annen ansvarsteori, vil være underlagt de ansvarsbegrensninger og ansvarsfraskrivelser som er fastsatt i Hovedavtalen.
9.7. Partene er herved enige om og aksepterer valget av jurisdiksjonen som er angitt i Hovedavtalen med hensyn til denne DPA-en.
Dette vedlegg 1: Definisjoner utgjør en del av DPA.
"Behandlingsansvarlig": betyr den fysiske eller juridiske personen, offentlige myndighet, etat eller annet organ som, alene eller sammen med andre, bestemmer formålene med og midlene for behandlingen av personopplysninger.
"Databehandler": betyr en fysisk eller juridisk person, offentlig myndighet, etat eller annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige.
“Data Protection Laws”: means all applicable worldwide legislation relating to data protection and privacy which applies to the respective Party in the role of Processing Personal Data in question under the Agreement, including without limitation: (1) the European Data Protection Laws; (2) the California Consumer Privacy Act of 2018 (“CCPA”); (3) the data protection and privacy laws of Australia and Singapore; (4) and other; in each case as amended, repealed, consolidated or replaced from time to time.
"Denregistrerte": betyr den personen som personopplysningene gjelder.
"EU-US Privacy Shield": selvsertifiseringsprogrammet som drives av det amerikanske handelsdepartementet og er godkjent av Europakommisjonen, som kan bli endret, erstattet eller erstattet.
"Europe": means the European Union, the European Economic Area and/or their member states.
"Europeisk personvernlovgivning": betyr personvernlover som gjelder i Europa, inkludert: (1) Forordning 2016/679 - EUs personvernforordning ("GDPR"); (2) Direktiv 2002/58/EF - direktivet om personvern og elektronisk kommunikasjon; (3) gjeldende nasjonale implementeringer av punkt 1 og 2 ovenfor; (4) all gjeldende nasjonal lovgivning som erstatter eller konverterer GDPR i nasjonal lovgivning; (5) Data Protection Act 2018 i Storbritannia ("UK GDPR"); i hvert tilfelle, som kan bli endret, erstattet eller erstattet.
"Europeiskedata": betyr personopplysninger som er underlagt beskyttelse av europeiske databeskyttelseslover, definert nedenfor.
"Instruksjoner": enhver skriftlig, dokumentert instruks utstedt av den behandlingsansvarlige til databehandleren, og som instruerer denne til å utføre en spesifikk eller generell handling med hensyn til personopplysninger, inkludert, men ikke begrenset til, avpersonifisering, blokkering, sletting, tilgjengeliggjøring.
"Tillatte tilknyttede selskaper": skal omfatte ethvert av dine tilknyttede selskaper som har tillatelse til å få tjenestene på dine vegne, i henhold til hovedavtalen, men som ikke har signert sin egen separate avtale med oss og ikke er brukere og kvalifiserer som en behandlingsansvarlig for personopplysninger som behandles av oss, og som kan være underlagt europeiske databeskyttelseslover.
"Brudd påpersonopplysningssikkerheten": skal bety et sikkerhetsbrudd som fører til utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert utlevering av eller tilgang til personopplysninger som overføres, lagres eller på annen måte behandles av oss og/eller våre underbehandlere i forbindelse med levering av tjenestene, men inkluderer ikke mislykkede forsøk eller aktiviteter som ikke kompromitterer sikkerheten til personopplysninger, inkludert mislykkede påloggingsforsøk, pings, portskanninger, tjenestenektangrep og andre nettverksangrep på brannmurer eller nettverkssystemer.
"Personopplysninger": betyr all informasjon knyttet til en identifisert eller identifiserbar person der slik informasjon finnes på Kontoen (som definert i Hovedavtalen) og er beskyttet som annen personlig informasjon eller personlig identifiserbar informasjon i henhold til gjeldende databeskyttelseslovgivning.
"Behandling": skal bety enhver operasjon eller rekke av operasjoner som utføres på personopplysninger, og som omfatter innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultasjon, bruk, utlevering ved overføring, spredning eller på annen måte tilgjengeliggjøring, justering eller sammenstilling, begrensning eller sletting av personopplysninger, og begrepene "behandle", "behandler" og "behandlet" skal tolkes i samsvar med dette.
“Services”: shall have the same meaning as in the Main Agreement.
"Standard kontraktsbestemmelser": betyr standard kontraktsbestemmelser for databehandlere som er godkjent i henhold til EU-kommisjonens relevante beslutning og som er inkludert i vedlegg 5 til denne Avtalen, og som utgjør en del av Avtalen, og som kan bli endret, erstattet eller erstattet.
"Underdatabehandler": betyr enhver databehandler som er engasjert av oss for å hjelpe oss med å oppfylle våre forpliktelser med hensyn til levering av tjenestene i henhold til hovedavtalen, og kan omfatte tredjeparter, unntatt enhver ansatt eller konsulent fra SimplyBook.me Ltd.
"UK IDTA" skal bety maltillegget utstedt av UK Information Commissioner's Office ("ICO") og her: International Data Transfer Addendum to the EU Commission Standard Contractual Clauses, og som gjort tilgjengelig på den offisielle nettsiden til ICO International data transfer agreement and guidance | ICO, og som kan bli endret, suspendert eller erstattet.
Dette vedlegg 2: Detaljer om behandling er en del av DPA.
Behandlingens art og formål: Selskapet vil behandle personopplysninger i den grad det er nødvendig for å kunne levere Tjenestene, i henhold til Hovedavtalen og slik det kan være nærmere spesifisert i tilleggsdokumentasjon som utgjør en del av Hovedavtalen og Datatilsynet.
Duration of the Processing: subject to any provisions contained herein specifying otherwise, Processing of Personal Data shall occur for the duration of the Main Agreement, unless otherwise agreed in writing.
Categories of Data Subjects: pursuant to the provisions of the Main Agreement, Data Subjects shall include any type of User’s clients and therefore may vary by the system usage from the Data Controller.
Categories of Personal Data: pursuant to the provisions of the Main Agreement, categories of Personal Data may vary in accordance with the usage of the System and bookings made by the User’s clients and may include name, surname, email address and phone number.
To the extent applicable and as may be requested by the User when using the System, various information such as when completing additional fields, adding comment(s) which are/is linked to booking(s) for a relevant individual, details on the status of bookings, whether they attended, or paid for booking may fall under the definition of Personal Data for which You are acting as the Data Controller pursuant to the provisions of this Agreement. The above list is not exhaustive and does necessarily apply to every User.
Special Categories of Personal Data may include information revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade-union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation. Such information may be submitted by Your clients via the System, at Your sole discretion and request, as notes/additional fields information and/or comments. Note that where You have our SOAP custom feature, data at rest will be encrypted.
Behandlingsoperasjoner: inkluderer de standardiserte interne prosessene der systembrukernes data kontinuerlig eller systematisk samles inn, lagres og brukes til levering av Tjenestene, i tråd med Hovedavtalen. Databehandleren vil behandle personopplysninger på vegne av den behandlingsansvarlige med det formål å bruke systemet for timeplanlegging og godta avtaler, sende påminnelser, behandle betalinger, selge produkter, foreta kampanjer og andre relaterte aktiviteter som er tillatt av våre tilpassede funksjoner.
1. Dette Vedlegg 3 Sikkerhetstiltak utgjør en del av DPA, og alle begreper med stor forbokstav som ikke er definert på annen måte i dette vedlegget, skal ha samme betydning som i Hovedavtalen.
2. Tiltakene her utgjør en del av ISMS som skal opprettholdes i samsvar med beste praksis og standarder, og dette avsnittet skal leses i sammenheng med selskapets offisielle sikkerhetsside (se Sikkerhet - SimplyBook.me) og/eller dokumenter i sikkerhetspakken vår, der den er gjort tilgjengelig.
I tråd med de interne retningslinjene for tilgangskontroll, som er en del av vårt ISMS, er tilgangsrettigheter og tillatelser internt rollebaserte og i samsvar med deres funksjonelle ansvarsområder, i tråd med prinsippene "need-to-know" og "need-to-use". For å minimere risikoen for at informasjon blir utlevert eller tilgjengeliggjort for tidlig, utilsiktet eller ulovlig, er autorisasjonsinfrastrukturen som er beskrevet nedenfor, implementert som en del av systemet vårt:
tilgang til intern informasjon fra uautoriserte brukere er forbudt som standard, og privilegerte tilganger/aktiviteter, (u)autoriserte tilgangsforsøk logges og administreres;
2FA-autentisering må aktiveres av alt personell ved tilgang til systemet for behandling av personopplysninger og på annen måte, der dette er tilgjengelig.
For brukere av systemet vårt er sikker 2FA-pålogging tilgjengelig med de tilpassede funksjonene "Google Authenticator" og "HIPAA" for brukeren, og passordadministrasjon er tilgjengelig med den tilpassede funksjonen "Strict Password" for brukeren.
Selskapet bruker egnede krypteringsteknologier for å beskytte Personopplysninger og der det er aktuelt og:
for data i transitt støttes all ekstern kommunikasjon via krypterte kanaler som er sikret med standardprotokoller (opptil TLS 1.3 med AES-128/AES-256-kryptering), avhengig av programvaren(e) som er involvert og tillatte kompatibilitetsforhold; og
for data i ro (tilgjengelig for SOAP-data og sykehistorikk med den tilpassede funksjonen "SOAP med datakryptering").
The Company shall have in place an appropriate Record of Processing Operations, an Asset Handling Procedure and an Acceptable Use Policy all of which ensure that all information, including Personal Data are classified in accordance with its criticality and sensitivity to unauthorised access, disclosure or modification.
Selskapet har iverksatt rimelige tiltak for å sikre at ansatte og underleverandører som har tilgang til personopplysninger, er klar over og overholder retningslinjene og prosedyrene for sikkerhet og personvern.
Tiltakene omfatter: (a) bakgrunnssjekk, for eksempel kontroll av strafferegister, for alle ansatte og underleverandører med tilgang til personopplysninger; (b) inngåelse av taushets- og konfidensialitetsavtaler og databehandleravtaler for alle ansatte og underleverandører; (c) deltakelse i opplærings- og bevisstgjøringsprogrammer for ansatte og underleverandører, med fokus på beskyttelse av personopplysninger, personvern og sikkerhet.
Selskapet er forpliktet til å sørge for at korrekte og sikre fasiliteter for behandling av personopplysninger av:
kontrollere endringene i prosesseringssystemene og -anleggene ved å implementere og vedlikeholde prosedyrer i tråd med de interne retningslinjene for endringshåndtering;
utføre regelmessige sikkerhetskopier og test av sikkerhetskopier ved å implementere og vedlikeholde prosedyrer i tråd med de interne retningslinjene for sikkerhetskopiering;
vedlikehold av hendelseslogging med registreringer av brukeraktiviteter, unntak, feil og informasjonssikkerhetshendelser;
sikre klokkesynkronisering for alle relevante informasjonsbehandlingssystemer.
Selskapet har implementert en brannmurbeskyttelse, et system for oppdagelse av inntrengere og overvåker regelmessig nettverksaktiviteten.
Selskapet utfører programvareutvikling og relevante støtteprosesser i henhold til vedtatte prinsipper for sikker systemutvikling, som f.eks:
Security by design;
Sikkerhetstesting skal utføres for alle endringer eller nyutviklinger;
Development/testing/production environments shall be separated.
Selskapet utfører sikkerhets- og personvernvurderinger av når de engasjerer nye leverandører og deretter hvert år fremover, i forhold til tjenestene de leverer SimplyBook.me og erkjenner ansvaret for å informere datakontrolleren om eventuelle endringer i leveransen av tjenester i henhold til hovedavtalen.
Selskapet sikrer en konsekvent tilnærming til håndtering av personvern- og sikkerhetshendelser, inkludert kommunikasjon om sikkerhetsbrudd og -svakheter. Vi har en prosedyre for driftskontinuitet og hendelseshåndtering som testes regelmessig. I tillegg har vi en prosedyre for varsling av brudd på personopplysningssikkerheten, som gjennomgås årlig.
Selskapet gjennomfører periodiske risikovurderinger av personopplysninger og vurderer effektiviteten av de implementerte sikkerhetsretningslinjene og -prosedyrene.
1. Les dette vedlegg 4 sammen med paragraf 5 og andre gjeldende bestemmelser i personvernforordningen.
2. Der det er aktuelt, vil respektive underbehandlere gjelde når du aktiverer og / eller integrerer systemene deres til kontoen din som gjort tilgjengelig for systemet og den offisielle nettsiden til SimplyBook.me Ltd her: https://simplybook.me/en/integrations.
| Enhet | Formålet med behandlingen/tjenesten | Plassering og tiltak |
|---|---|---|
| Live Agent | Tjenester og support: live chat-tjenester via nettstedet vårt | Slovakia (EU) |
| Slakk | Tjenester og support: Meldingssystem for intern kommunikasjon | USA |
| Linode | Tjenester og support: leverandør av utgående e-post | UK |
| PandaDoc | Tjenester og support: elektroniske signaturer - der du signerer vår DPA eller andre avtaler elektronisk | USA |
| Ansvarlig hovedkontor | Tjenester og support: funksjonalitet for elektroniske signaturer for BAA | USA |
| Twilio Inc. | Tjenester og support: SMS-leverandør | USA |
| Brevo (Sendinblue) | Tjenester og support: E-postleverandør | Frankrike |
| Nexmo (Vonage Holdings Corp.) | Tjenester og support: SMS-leverandør | UK |
| Hubspot | Tjenester og support: CRM for bedriftsbrukere | Tyskland |
| Savio.io | Tjenester og support: tilbakemeldingshåndtering | Canade |
| Google Inc. | Hosting og infrastruktur: servere - begge steder er aktuelle | USA, Canada, Belgia og Australia |
| OVH | Hosting og infrastruktur: servere - begge steder er aktuelle | Storbritannia, Canada, Frankrike og Singapore, Australia |
| MaxMind, Inc. | Tjenester og support og statistikk og analyse: Etterretningstjenester for IP-adresser | USA |
| Matomo | Statistikk og analyse: selvbetjente tjenester med Google Cloud | UK |
| Leadinfo | Statistikk og analyse: optimalisering av nettsteder for bedriftsbrukere | Nederland |
Leverandører av betalingstjenester (PSP): |
||
| Nuvei (tidligere Safecharge) | Nøkkel-PSP: betalingsformidling | Canada |
| PayPal | Nøkkel-PSP: betalingsformidling | USA |
| JCC | Viktigste PSP: betalingsbehandling for Kypros-baserte brukere | Kypros |
Viktige integrasjoner/funksjoner: |
||
| Meta (Facebook) | Hosting og infrastruktur: Legg til widgetalternativer med Facebook- og Instagram-bookingfunksjon | USA |
| Hosting og infrastruktur: Legg til widgetalternativer med Facebook- og Instagram-bookingfunksjon | USA | |
| Outlook (Microsoft) | Hosting og infrastruktur: bruk av Outlook Calendar 2-veis synkroniseringsfunksjon | USA |
|
Andre enheter i henhold til spesifikke funksjoner som er aktivert for kontoen din, kan gjelde i henhold til tilgjengelige integrasjoner. |
||
1. I henhold til og med henblikk på GDPR, er den nyeste versjonen av standardkontraktsklausulene som er tilgjengelig på Europakommisjonens offisielle nettsted (finnes her), implementert ved henvisning heri, fulgt for emnet og utgjør en del av denne DPA-en, og som kan endres, suspenderes eller erstattes, og partene er herved gjensidig innforstått med og enige om at:
(a) selskapet påtar seg rettighetene og forpliktelsene til dataimportøren og du rettighetene og forpliktelsene til dataeksportøren, som definert i standardkontraktsklausulene, og disse skal tre i kraft når en av partene blir part i dem, eller når den relevante dataoverføringen starter, avhengig av hvilket tidspunkt som kommer sist;
(b) Modul to: Overføring mellom kontroller og prosessor tas i bruk;
(c) i punkt 7, gjelder den valgfrie dokkingklausulen;
(d) i punkt 9, alternativ 2 gjelder, og endringer av underdatabehandlere vil bli varslet i samsvar med avsnittet "Underdatabehandlere" i denne DPA-en og vedlegg 4 ovenfor;
(e) i paragraf 11 slettes den valgfrie formuleringen;
(f) i punkt 17 og 18, er partene enige om at gjeldende lov og forum for tvister for standardkontraktsklausulene skal bestemmes i samsvar med avsnittet "Kontraherende enhet; gjeldende lov; varsel" i de jurisdiksjonsspesifikke vilkårene eller, hvis et slikt avsnitt ikke spesifiserer en EU-medlemsstat, Republikken Irland (uten henvisning til lovkonfliktprinsipper);
(g) vedleggene til standardkontraktsklausulene vil bli ansett som utfylt med den informasjonen som er relevant for brukeren og som er angitt i vedleggene til denne DPA-en;
(h) hvilken tilsynsmyndighet som skal fungere som kompetent tilsynsmyndighet, vil bli bestemt i samsvar med GDPR;
(i) hvis og i den grad standardkontraktsbestemmelsene er i konflikt med noen av bestemmelsene i denne DPA-en, skal standardkontraktsbestemmelsene ha forrang i den grad det foreligger en slik konflikt.
2. I henhold til den sveitsiske føderale databeskyttelsesloven og dens forordning ("Swiss DPA"), i tråd med punkt 1 ovenfor og punktene nedenfor, vil standardkontraktsklausulene gjelde, og henvisninger til "forordning (EU) 2016/679" vil bli tolket som henvisninger til den sveitsiske databeskyttelsesloven, til "EU", "Union" og "medlemsstatslovgivning" vil bli tolket som henvisninger til sveitsisk lov, til "kompetent tilsynsmyndighet" og "kompetente domstoler" vil bli erstattet med "den sveitsiske føderale databeskyttelses- og informasjonskommissæren" og de "relevante domstolene i Sveits".
3. I henhold til og for formålene med UK GDPR, i tråd med punkt 1 ovenfor, og under punkt 2.1. til 2.3., skal den nyeste versjonen av UK IDTA, som kan bli endret, suspendert eller erstattet og for øyeblikket gjort tilgjengelig på den offisielle nettsiden til UK Information Commissioner's Office ("ICO") (finnes her), implementeres ved henvisning heri, og følges for emnet og utgjør en del av denne DPA-en.
2.1. Standard kontraktsklausuler er herved endret og tolket slik at de er i samsvar med UK IDTA, innlemmet ved henvisning og utgjør en integrert del av disse.
2.2. Informasjonen i vedleggene til denne DPA-en utfyller informasjonen som kreves i tabell 1, 2 og 3 i UK IDTA, og tabell 4 vil anses som utfylt ved å velge "ingen av partene".
4. Eventuelle konflikter mellom vilkårene i standardkontraktsbestemmelsene og UK IDTA vil bli løst i samsvar med punkt 10 og punkt 11 i UK Addendum.
Få den fullstendige signerte versjonen av vår DPA - denne vil inneholde den fullstendige versjonen av den nyeste SCC- her.
Husk at vi også tilbyr et enda enklere verktøy beregnet for møteplanlegging. Sjekk det ut hvis du føler at SimplyBook.me er for omfattende for dine behov.