Detta dokument är databehandlingsavtalet ("DPA") för SimplyBook.me Ltd, utarbetat i enlighet med artikel 28 i EU: s allmänna dataskyddsförordning ("GDPR"). Det är ett juridiskt bindande avtal mellan SimplyBook.me Ltd och dig, användaren av SimplyBook.me Software Solution.
It is recommended that You read this document carefully, together with our:
Not 1
Du kan ladda ner och få en undertecknad
kopia av detta DPA.
Not 2
Du förstår att vi kan göra rimliga ändringar i bestämmelserna nedan för att återspegla ändringar i GDPR eller andra relevanta lagar och/eller identitetsändringar i vår affärsverksamhet och vi kommer att meddela dig om eventuella större ändringar.
Not 3
Om du har några frågor om denna DPA, vänligen kontakta oss
Version: 2. 3
Senast uppdaterad: 01/11/2022
Datum för ikraftträdande: 01/11/2022
1.1. Utöver de termer som definieras på andra ställen i detta Avtal och Huvudavtalet ska, för alla syften som rör detta avtal, termerna i Bilaga 1 ("Definitionerna") ha den innebörd som anges där.
1.2. Parterna är ömsesidigt överens om och införstådda med att alla definitioner i de europeiska dataskyddslagarna skall gälla vid tillämpningen av detta avtal.
2.1. I enlighet med bestämmelserna i detta DPA och huvudavtalet är du ansvarig för att som personuppgiftsansvarig uppfylla alla krav som gäller för din verksamhet enligt tillämpliga dataskyddslagar för behandling av personuppgifter.
2.2. Du samtycker till och bekräftar att, utan att det påverkar det allmänna innehållet i det som anges nedan, att du är ansvarig för: (i) riktigheten, kvaliteten och lagligheten av de personuppgifter som du tillhandahåller företaget för tjänsterna samt medel och metoder för att förvärva dem; (ii) efterlevnad av alla nödvändiga krav på öppenhet och laglighet enligt tillämpliga dataskyddslagar, inklusive europeiska dataskyddslagar; (iii) för insamling och användning av personuppgifterna, inklusive att erhålla alla nödvändiga samtycken och tillstånd, särskilt för användning av användaren för marknadsföringsändamål; (iv) säkerställa att du har rätt att överföra eller ge tillgång till personuppgifterna till oss för behandling i enlighet med villkoren i detta dataskyddsavtal och huvudavtalet; (v) säkerställa att du följer alla lagar som är tillämpliga på dig, inklusive men inte begränsat till dataskyddslagar, för e-postmeddelanden eller annat innehåll som skapas, skickas eller på annat sätt hanteras via våra tjänster.
2.3. Du bekräftar och samtycker härmed till att informera företaget omedelbart och utan onödigt dröjsmål om du inte kan uppfylla dina skyldigheter här, och särskilt enligt tillämpliga dataskyddslagar.
2.4. Du bekräftar och förstår härmed att bestämmelserna häri och alla relevanta bestämmelser i huvudavtalet och varje ytterligare skriftlig begäran i din egenskap av registrerad ska utgöra dina fullständiga och slutgiltiga instruktioner som personuppgiftsansvarig i enlighet med detta dataskyddsavtal för och i förhållande till behandlingen av dina personuppgifter.
2.5.Ni bekräftar, förstår och samtycker härmed till att alla ytterligare instruktioner som inte omfattas av detta avtal kräver en skriftlig begäran från Er i förväg.
3.1. Företaget ska endast behandla personuppgifter för det syfte som beskrivs i detta DPA och i linje med bilaga 2 häri ("Detaljerna för behandling") eller enligt vad som annars överenskommits inom ramen för dina lagliga instruktioner, utom där och i den utsträckning som annars krävs enligt dataskyddslagarna, inklusive men inte begränsat till europeiska dataskyddslagar och andra tillämpliga lagar och förordningar som är relevanta för parterna.
3.2. Företaget ska inte hållas ansvarigt och ansvarigt för efterlevnad av tillämpliga dataskyddslagar som endast gäller för dig och / eller din bransch och inte är lagligt tillämpliga på SimplyBook.me Ltd: s verksamhet.
3.3. Företaget ska meddela dig omedelbart och utan onödigt dröjsmål, i den utsträckning som tillåts enligt lag, om det anses att det senare inte kan behandla personuppgifter i enlighet med bestämmelserna i detta DPA och på grund av rättsliga krav i tillämpliga lagar och/eller förordningar.
3.4. Med beaktande av den senaste utvecklingen, kostnaderna för att genomföra och arten, omfattningen, sammanhanget och syftena med behandlingen av personuppgifter i enlighet med bestämmelserna i detta dataskyddsavtal, samt risken av varierande sannolikhet och allvar för fysiska personers rättigheter och friheter, ska företaget genomföra och upprätthålla lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå för den risken, i enlighet med bestämmelserna i bilaga 3 häri (kollektivt "säkerhetsåtgärderna").
3.5. Bolaget ska säkerställa att säkerhetsåtgärderna utgör en del av dess implementerade ledningssystem för informationssäkerhet ("ISMS"), i enlighet med standarden ISO/IEC 27001:2013 och utfärdat certifikat av ett ackrediterat certifieringsorgan.
3.6. Utan hinder av någon bestämmelse om motsatsen kan bolaget ändra eller uppdatera säkerhetsåtgärderna efter eget gottfinnande, förutsatt att en sådan ändring eller uppdatering inte leder till en väsentlig försämring av det skydd som säkerhetsåtgärderna erbjuder och/eller uppfyller relevanta lagar och rättsliga skyldigheter.
3.7. Företaget säkerställer härmed att alla anställda eller utsedda personer som är behöriga att behandla personuppgifter för och på våra vägnar är föremål för lämpliga sekretessförpliktelser, avtalsenliga och lagstadgade skyldigheter med avseende på dessa personuppgifter.
3.8. Företaget samtycker härmed till att meddela omedelbart och utan onödigt dröjsmål när det blir medveten om någon personuppgiftsincident, enligt bestämmelserna i tillämpliga dataskyddslagar och vid behov ge dig information när det blir känt eller rimligen begärs av dig.
3.9. Företaget samtycker härmed till att omedelbart ge dig sådan rimlig hjälp som är nödvändig för att möjliggöra anmälan av relevanta personuppgiftsincidenter till behöriga myndigheter och / eller berörda registrerade, i enlighet med gällande dataskyddslagar och med förbehåll för din skriftliga begäran.
3.10. Företaget samtycker härmed till att radera eller returnera till dig alla personuppgifter som rör huvudavtalet och detta DPA, inklusive men inte begränsat till kopior av personuppgifter som behandlades för syftet med detta DPA, vid uppsägning eller upphörande av tjänster, i linje med relevanta bestämmelser i huvudavtalet.
3.11. Kravet häri ska utövas i enlighet med varje tillämplig lag som kan kräva att vissa eller alla personuppgifter lagras, med förbehåll för ytterligare säkerhetsåtgärder såsom isolering och skydd mot ytterligare behandling.
4.1. Du bekräftar, samtycker till och accepterar härmed att företaget ska förse dig med kontroller i programvaran via vilken du kan hämta, korrigera, radera eller begränsa personuppgifter för att hjälpa dig i samband med kraven i dataskyddslagar.
4.2. Företaget kan, med förbehåll för en skriftlig begäran från dig, tillhandahålla rimlig hjälp för att svara på alla förfrågningar från registrerade eller förfrågningar från dataskyddsmyndigheter som rör behandlingen av personuppgifter enligt detta DPA, med förbehåll för eventuell ersättning som anses nödvändig.
4.3. Du åtar dig hela, exklusiva och enda ansvaret för att svara på begäran från den registrerade eller annan kommunikation om behandling av personuppgifter från enskilda personer som identifieras som din kund och kan adresseras till företaget, med förbehåll för snabb anmälan av en sådan begäran från oss till dig.
5.1. Ni bekräftar, samtycker, accepterar och godkänner härmed utnämningen av underbiträden för behandlingen av personuppgifter i enlighet med detta DPA och huvudavtalet som ingår i bilaga 4 till detta dokument, listan över underbiträden.
5.2. Bolaget säkerställer härmed att om ett Underbiträde utses, ska det relevanta juridiska avtal som ska ingås mellan dem innehålla lämpliga dataskyddsvillkor som omfattas av lämpliga dataskyddslagar och ålägga minst samma skyddsnivå för Personuppgifter som bestämmelserna i detta Personuppgiftsbiträdesavtal och, om det anses nödvändigt, innehålla den senaste versionen av Standardavtalsklausuler, som utfärdats av Europeiska kommissionen.
5.3. Bolaget ska förbli ansvarigt för varje Underbiträdes efterlevnad av skyldigheterna i detta DPA och för varje handling eller underlåtenhet av sådant Underbiträde som orsakar oss att bryta mot någon av dess skyldigheter enligt detta DPA.
6.1. Du bekräftar, samtycker till och godkänner härmed företaget, med förbehåll för bestämmelserna häri; att utföra nödvändiga dataöverföringar för intern och extern affärsverksamhet till tredje parter som identifieras som underbehandlare häri som kan vara belägna utanför EU och / eller EES.
6.2. I enlighet med punkt 6.1. ovan bekräftar och samtycker båda parter härmed till att alla dataöverföringar kommer att utföras endast för syftet med huvudavtalet, detta DPA och eventuella ytterligare skriftliga instruktioner som kommuniceras från dig till företaget, endast för ämnet.
6.3. Parten samtycker härmed ömsesidigt till att Bolaget, i enlighet med punkt 6 i detta Avtal, ska utföra alla Dataöverföringar i enlighet med bestämmelserna i kapitel 5 (artikel 44-50) i GDPR och alltid i enlighet med kraven i tillämpliga dataskyddslagar under den tid som detta DPA och Huvudavtalet gäller.
6.4. I enlighet med klausul 6.3 ovan ska bolaget inte utföra någon dataöverföring av europeiska data till något land eller mottagare som inte erkänns som att tillhandahålla en adekvat skyddsnivå för personuppgifter, i enlighet med bestämmelserna i de europeiska dataskyddslagarna; såvida inte sådana åtgärder först vidtas för att säkerställa att överföringen överensstämmer med tillämpliga europeiska dataskyddslagar.
6.5. I enlighet med punkt 6.4 ovan ska Bolaget inte tillåta någon Dataöverföring till ett land som inte är erkänt som ett land som tillhandahåller en adekvat skyddsnivå via:
6.5.1. ett giltigt beslut om adekvat skyddsnivå som utfärdats av Europeiska kommissionen, med förbehåll för artikel 45 i dataskyddsförordningen och som kan illustreras på Europeiska kommissionens officiella webbplats ( beslut om adekvat skyddsnivå ), och/eller
6.5.2. godkända och auktoriserade bindande företagsbestämmelser, med förbehåll för artikel 47 i GDPR, och/eller
6.5.3. ingående av och förlitande på godkända standardavtalsklausuler, med förbehåll för relevanta europeiska lagar om uppgiftsskydd och i enlighet med Europeiska kommissionens officiella webbplats ( Standardavtalsklausuler (SCC ) ).
6.6. Parterna erkänner och godkänner härmed att SimplyBook.me inte ska förlita sig på EU-US Privacy Shield och relaterade principer i syfte att överföra personuppgifter och se till att lämpliga åtgärder vidtas för att följa gällande dataskyddslagar som kan ändras från tid till annan.
7.1. Parterna är härmed överens om att när de ingår standardavtalsklausuler i enlighet med huvudavtalet för tillhandahållande av tjänster och som en del av detta dataskyddsavtal, ska bestämmelserna i bilaga 5 gälla och automatiskt ändras för att återspegla eventuella ändringar av de europeiska dataskyddslagarna.
7.2. I enlighet med klausul 7.1. förstår och godkänner parterna härmed ömsesidigt att företaget åtar sig rättigheterna och skyldigheterna för dataimportören och dig rättigheterna och skyldigheterna för dataexportören, enligt definitionen i standardavtalsklausulerna och dessa ska träda i kraft vid den senare av endera parten som blir part i dem och inledningen av den relevanta dataöverföringen.
7.3. Parterna är härmed ömsesidigt överens om att om standardavtalsklausulerna är tillämpliga och det finns en konflikt med någon bestämmelse i detta DPA, ska standardavtalsklausulerna ha företräde i den utsträckning som en sådan konflikt gäller för ämnet.
8.1. Denna del av dataskyddsförordningen gäller för europeiska uppgifter vid tillämpningen av huvudavtalet.
8.2. Parterna samtycker härmed till att när du behandlar europeiska data i enlighet med instruktionerna är du kontrollanten för europeiska data och SimplyBook.me Ltd är processorn.
8.3. SimplyBook.me förbehåller sig rätten att informera dig där instruktioner bryter mot europeiska dataskyddslagar, som och när det är tillämpligt, utan onödigt dröjsmål.
8.4. Bolaget kommer att göra eventuella nödvändiga ändringar i Bilaga 4 avseende de utsedda Underbiträdena och ge dig möjlighet att bli underrättad via e-post, varvid du har möjlighet att invända mot uppdraget på rimliga grunder som hänför sig till denna DPA och inom 30 (trettio) dagar efter sådan underrättelse.
8.5. Företaget ska, i den utsträckning som den erforderliga informationen är rimligt tillgänglig och du inte på annat sätt har tillgång till den erforderliga informationen, ge dig rimlig hjälp med alla konsekvensbedömningar av dataskydd ("DPIA") och förhandssamråd med tillsynsmyndigheter eller andra behöriga dataskyddsmyndigheter i den utsträckning som krävs enligt europeiska dataskyddslagar.
8.6. SimplyBook.me ska göra all information som rimligen är nödvändig för att visa överensstämmelse med bestämmelserna häri, tillgänglig för dig och kan tillåta revisioner inklusive men inte begränsat till inspektioner.
8.7. Personuppgiftsbiträdet har utsett ett dataskyddsombud ("DPO") i enlighet med de europeiska dataskyddslagarna och kan kontaktas i samband med detta DPA och huvudavtalet via e-post: dpo@simplybook.me.
8.8. Denna del av dataskyddsförordningen gäller för andra personuppgifter än europeiska uppgifter, i enlighet med bestämmelserna i tillämplig dataskyddslagstiftning.
8.9. Parterna är överens om att SimplyBook.me Ltd ska behandla sådana personuppgifter strikt i enlighet med gällande dataskyddslagar och endast i syfte att tillhandahålla tjänsterna enligt bestämmelserna i huvudavtalet.
8.10. Parterna ska ingå alla ytterligare avtal som krävs enligt lag i syfte att följa tillämpliga lagar om uppgiftsskydd.
9.1. När du registrerar dig och accepterar SimplyBook.me Online Solution Terms & Conditions för SimplyBook.me Software Solution, ingår du som användare av systemet detta DPA för dig själv och i förekommande fall och i den utsträckning som tillåts enligt lag och tillämpliga dataskyddslagar, i namn och på uppdrag av dina tillåtna dotterbolag, vilket skapar ett separat DPA mellan oss och varje sådant tillåtet dotterbolag som omfattas av avtalet och bestämmelserna häri.
9.2. Du samtycker härmed till och bekräftar att varje tillåtet dotterbolag samtycker till att vara bundet av skyldigheterna i detta DPA och som är tillämpligt på huvudavtalet.
9.3. Du samtycker härmed till och bekräftar att i den utsträckning som tillåts enligt lag, för tillämpningen av detta DPA och om inte annat anges häri, kommer "Användare", "Du" och "Din" att inkludera Dig och sådana Tillåtna Koncernbolag.
9.4. The legal entity agreeing to this DPA as User represents that it is authorized to agree to and enter into this DPA for and on behalf of itself and, as applicable, each of its Permitted Affiliates.
10.1. Detta DPA kommer att förbli i kraft från och med ikraftträdandedatumet och tills den personuppgiftsansvarige eller personuppgiftsbiträdet säger upp huvudavtalet, i enlighet med tillämpliga bestämmelser.
10.2. Detta DPA kan sägas upp av endera parten med 30 (trettio) dagars skriftligt varsel, i enlighet med bestämmelserna i huvudavtalet och genom att avbryta systemet i systeminställningarna.
10.3. Inte med stående något annat till motsatsen i detta DPA och huvudavtal, förbehåller sig SimplyBook.me rätten att göra uppdateringar och ändringar av detta DPA med förbehåll för eventuella ytterligare villkor här.
10.4. Om någon enskild bestämmelse i detta dataskyddsavtal bedöms vara ogiltig eller inte verkställbar, kommer giltigheten och verkställbarheten av övriga bestämmelser i detta dataskyddsavtal inte att påverkas.
10.5. Ingen av parterna får utan föregående skriftligt medgivande från den andra parten överlåta, överföra, belasta, licensiera eller på annat sätt handla med eller förfoga över några avtalsenliga rättigheter eller skyldigheter enligt detta avtal.
10.6. Parternas och de Tillåtna Närstående Bolagens ansvar till följd av eller med anknytning till detta DPA i sin helhet, oavsett om det är fråga om avtal, skadestånd eller någon annan ansvarsteori, skall omfattas av de begränsningar och undantag från ansvar som anges i Huvudavtalet.
10.7. Parterna samtycker härmed till och godtar valet av den jurisdiktion som anges i huvudavtalet med avseende på detta dataskyddsavtal.
Denna bilaga 2: Detaljerad information om behandling utgör en del av DPA.
"Personuppgiftsansvarig": den fysiska eller juridiska person, myndighet, institution eller annat organ som, ensam eller tillsammans med andra, bestämmer ändamålen och medlen för behandlingen av personuppgifter.
“Data Protection Laws”: means all applicable worldwide legislation relating to data protection and privacy which applies to the respective Party in the role of Processing Personal Data in question under the Agreement, including without limitation: (1) the European Data Protection Laws; (2) the California Consumer Privacy Act of 2018 (“CCPA”); (3) the data protection and privacy laws of Australia and Singapore; (4) and other; in each case as amended, repealed, consolidated or replaced from time to time.
"Registrerad": avser den person som personuppgifterna avser.
"Personuppgiftsbiträde": avser en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som Behandlar Personuppgifter för den Personuppgiftsansvariges räkning.
"Europe": means the European Union, the European Economic Area and/or their member states.
"Europeiska uppgifter": avser personuppgifter som är föremål för skydd enligt europeiska dataskyddslagar, definierade nedan.
"Europeiska dataskyddslagar": avser dataskyddslagar som är tillämpliga i Europa, inklusive: (1) förordning 2016/679 - EU:s allmänna dataskyddsförordning ("GDPR"); (2) direktiv 2002/58/EG - direktivet om integritet och elektronisk kommunikation; (3) tillämpliga nationella implementeringar av punkterna 1 och 2 ovan; (4) all tillämplig nationell lagstiftning som ersätter eller omvandlar GDPR eller någon annan lag som rör data och integritet i nationell lagstiftning till följd av att Storbritannien lämnar Europeiska unionen; i varje enskilt fall, såsom kan ändras, ersättas eller ersättas.
"EU-US Privacy Shield": det självcertifieringsprogram som drivs av USA:s handelsdepartement och som godkänts av Europeiska kommissionen, och som kan komma att ändras, ersättas eller upphävas.
"Instruktioner": alla skriftliga, dokumenterade instruktioner som utfärdas av den personuppgiftsansvarige till personuppgiftsbiträdet och som instruerar denne att utföra en specifik eller allmän åtgärd med avseende på personuppgifter, inklusive, men inte begränsat till, avpersonifiering, blockering, radering, tillgängliggörande.
"Tillåtna dotterbolag": ska inkludera alla dina dotterbolag som har rätt att erhålla tjänsterna för din räkning, i enlighet med huvudavtalet, men som inte har tecknat ett eget separat avtal med oss och inte är användare och kvalificerar sig som personuppgiftsansvarig för personuppgifter som behandlas av oss och kan omfattas av europeiska dataskyddslagar.
"Personuppgifter": avser all information som rör en identifierad eller identifierbar person där sådan information finns på Kontot (enligt definitionen i Huvudavtalet) och skyddas som annan personlig information eller personligt identifierbar information enligt tillämpliga dataskyddslagar.
"Personuppgiftsincident": ska betyda en säkerhetsincident som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt avslöjande av eller tillgång till personuppgifter som överförs, lagras eller på annat sätt behandlas av oss och/eller våra underbiträden i samband med tillhandahållandet av tjänsterna, men inkluderar inte misslyckade försök eller aktiviteter som inte äventyrar säkerheten för personuppgifter, inklusive misslyckade inloggningsförsök, pingar, portskanningar, överbelastningsattacker och andra nätverksattacker på brandväggar eller nätverkssystem.
"Behandling": ska betyda varje åtgärd eller uppsättning åtgärder som utförs på personuppgifter, vilket omfattar insamling, registrering, organisering, strukturering, lagring, anpassning eller ändring, hämtning, konsultation, användning, utlämnande genom överföring, spridning eller på annat sätt tillgängliggörande, justering eller kombination, begränsning eller radering av personuppgifter och termerna "process", "processer" och "behandlad" kommer att tolkas i enlighet därmed.
“Services”: shall have the same meaning as in the Main Agreement.
"Standardavtalsklausuler": avser de standardavtalsklausuler för personuppgiftsbiträden som godkänts i enlighet med Europeiska kommissionens relevanta beslut och som ingår i bilaga 5 till detta avtal som utgör en del av avtalet och som kan ändras, ersättas eller ersättas.
“Sub-Processor”: means any Data Processor engaged by us to assist fulfilling our obligations with respect to the provision of the Services under the Main Agreement and may include third parties, excluding any employee or consultant of SimplyBook.me Ltd.
Denna bilaga 2: Detaljerad information om behandling utgör en del av DPA.
Processens art och syften: Bolaget kommer att behandla personuppgifter som krävs för att tillhandahålla tjänsterna, i enlighet med huvudavtalet och som ytterligare kan anges i ytterligare dokumentation som utgör en del av huvudavtalet och DPA.
Behandlingens varaktighet: Med förbehåll för eventuella bestämmelser i detta avtal som anger annat, ska Behandling av Personuppgifter ske under hela Huvudavtalets giltighetstid, om inte annat skriftligen avtalats.
Kategorier av registrerade: enligt bestämmelserna i huvudavtalet ska registrerade omfatta alla typer av användarkunder och kan därför variera beroende på den personuppgiftsansvariges systemanvändning.
Kategorier av Personuppgifter: enligt bestämmelserna i Huvudavtalet kan kategorierna av Personuppgifter variera i enlighet med användningen av Systemet och omfattar nedanstående:
- namn och efternamn
- email address
- telefonnummer
- information som begärs av den personuppgiftsansvarige genom användning av ytterligare fält
- information som den personuppgiftsansvarige lämnar som kommentarer till enskilda bokningar som avser en person
- medicinsk relaterad personlig information om utvärdering av patienter som kan krypteras i vila på personuppgiftsbiträdets servrar enligt personuppgiftsansvarigs val
- information om status för bokningar, om de närvarade eller betalade för bokningen
- medical related information field on subject used for non medical informational purposes by the Data Controller (fält för medicinsk information om ämnet som används för icke medicinska informationsändamål av den personuppgiftsansvarige)
- den personuppgiftsansvariges kommentarer om den registrerades bokningar som kan relatera till tjänster som krävs eller personlig information om ämnet; och ovanstående ska variera beroende på system
- användning från den personuppgiftsansvarige och är inte absolut.
Special Categories of Personal Data (where applicable): may include Medical and Health information which relate to SOAP information and medical histories, provided that the custom feature is enabled; and/or transactional information about a User’s purchases and/or income.
Behandlingsåtgärder: inkluderar de standardiserade interna processer där systemanvändarnas uppgifter kontinuerligt eller systematiskt samlas in, lagras och används för tillhandahållande av tjänsterna, i enlighet med huvudavtalet. Personuppgiftsbiträdet kommer att behandla personuppgifter på uppdrag av den personuppgiftsansvarige i syfte att använda schemaläggningssystemet och acceptera möten, skicka påminnelser, behandla betalningar, sälja produkter, göra kampanjer och andra relaterade aktiviteter som tillåts av våra anpassade funktioner.
1. Denna Bilaga 3 Säkerhetsåtgärder utgör en del av DPA och alla termer med versaler, som inte annars definieras häri, skall ha samma innebörd som i Huvudavtalet.
2. Åtgärderna i detta dokument utgör en del av ISMS som ska upprätthållas i enlighet med bästa praxis och standarder.
Företaget har vidtagit lämpliga åtgärder för att förhindra obehörig åtkomst till systemet, nätverket, applikationerna och slutligen personuppgifter som t.ex:
Implementering och underhåll av policyer och rutiner för åtkomstkontroll som en del av det interna systemet för hantering av informationssäkerhet ("ISMS");
Uppföljning av åtkomstregler baserade på "need-to-know" och "least privileged";
Begränsningsprinciper för direktåtkomst till databaser;
2FA-autentisering används av medarbetarna vid åtkomst till system för behandling av personuppgifter;
2FA säker inloggning är tillgänglig med "Google Authenticator" och "HIPAA" anpassade funktioner för användaren;
Password Management is available with the “Strict Password” custom feature for the User.
Företaget ska använda lämplig krypteringsteknik för att skydda personuppgifter och i tillämpliga fall för data i transit (för all kommunikation mellan slutanvändare och server) och för data i vila (tillgänglig för SOAP-data och medicinsk historia med "SOAP med datakryptering" anpassad funktion).
Bolaget ska ha ett lämpligt register över behandlingsåtgärder, ett förfarande för hantering av tillgångar och en policy för godtagbar användning som alla säkerställer att all information, inklusive personuppgifter, klassificeras i enlighet med dess kritikalitet och känslighet för obehörig åtkomst, avslöjande eller ändring.
Bolaget har vidtagit rimliga åtgärder för att säkerställa att dess anställda och uppdragstagare, som har tillgång till personuppgifter, är medvetna om och följer säkerhets- och sekretesspolicyerna och -rutinerna.
Åtgärderna omfattar: (a) bakgrundskontroller, t.ex. kontroll av brottsregister, för alla anställda och uppdragstagare med tillgång till personuppgifter; (b) ingående av sekretessavtal och databehandlingsavtal för alla anställda och uppdragstagare; (c) deltagande i utbildnings- och medvetandehöjande program för anställda och uppdragstagare, med fokus på skydd av personuppgifter, integritet och säkerhet.
Företaget har åtagit sig att se till att korrekta och säkra anläggningar för behandling av personuppgifter av:
kontrollera ändringar av system och anläggningar för bearbetning genom att införa och upprätthålla förfaranden i linje med den interna policyn för hantering av ändringar;
utföra regelbundna säkerhetskopieringar och test av säkerhetskopior genom att implementera och upprätthålla förfaranden i linje med den interna säkerhetskopieringspolicyn;
underhåll av händelseloggning med register över användaraktiviteter, undantag, fel och informationssäkerhetshändelser;
säkerställa klocksynkronisering för alla relevanta system för informationsbehandling.
Bolaget har implementerat ett brandväggsskydd, ett system för upptäckt av intrång och övervakar regelbundet nätverksaktiviteten.
Bolaget utför mjukvaruutveckling och relevanta stödprocesser i enlighet med antagna principer för säker systemteknik, till exempel
Säkerhet genom design;
Säkerhetstestning ska utföras för alla ändringar eller nyutvecklingar;
Utvecklings-/test-/produktionsmiljöer ska vara åtskilda.
Bolaget gör regelbundna utvärderingar av leverantörstjänster och är medvetet om ansvaret att informera Personuppgiftsansvarig om eventuella förändringar i tillhandahållandet av Tjänster enligt Huvudavtalet.
Bolaget säkerställer en konsekvent strategi för hantering av integritets- och säkerhetsincidenter, inklusive kommunikation om säkerhetsöverträdelser och svagheter via:
rutinerna för hantering av driftskontinuitet och incidenter, vilka dokumenteras och testas regelbundet;
the Personal Data Breach Notification Procedure which is documented and tested regularly (den rutin för anmälan av personuppgiftsincidenter som dokumenteras och testas regelbundet).
Bolaget gör regelbundna bedömningar av riskerna för personuppgifter och granskar effektiviteten i de implementerade säkerhetspolicyerna och -rutinerna.
1. Läs denna bilaga 4 tillsammans med klausul 5 och andra tillämpliga bestämmelser i dataskyddsförordningen.
| SUB-PROCESSOR | PURPOSE | PLATS |
|---|---|---|
| Google Inc. | Värdskap och infrastruktur | USA, Kanada, Storbritannien, EU, AU |
| Värdskap och infrastruktur | USA | |
| Live Agent | Tjänster och support | Europa |
| OVH | Värdskap och infrastruktur | Kanada, Frankrike och Singapore |
| Amazon Web Services Inc. | Värdskap och infrastruktur | Irland |
| Linode | E-postserver | UK |
| Nexmo (Vonage Holdings Corp.) | Tjänster och support | UK |
| Sendinblue | Tjänster och support | Frankrike |
| Hotjar | Statistik och analyser | Frankrike |
| Piwik | Statistik och analyser | Frankrike |
| Twilio Inc. | Services & Support | USA |
| PayPal | Leverantör av betalningshantering | USA |
| MaxMind, Inc. | Tjänster och support | USA |
| Borgun | Leverantör av betalningshantering | Island |
| SafeCharge | Leverantör av betalningshantering | Storbritannien, USA, Kanada |
| eSignGenie | Tjänster - e-signatur | USA |
| Ansvarigt huvudkontor | Tjänster - Programvara för efterlevnad av HIPAA och e-signatur | USA |
1. Den senaste versionen av de standardavtalsklausuler som finns tillgängliga på Europeiska kommissionens officiella webbplats här implementeras och följs för ämnet.
2. SCC är en del av detta avtal, i den utsträckning som det är tillämpligt för parterna i enlighet med de europeiska dataskyddslagarna.
3. För tillämpningen av detta avtal och parternas avtalsförhållande antas Modul två: Överföring mellan personuppgiftsansvarig till personuppgiftsbiträde.
Hämta den fullständiga undertecknade versionen av vår DPA - den innehåller den fullständiga versionen av de senaste SCC-reglerna här.
Tänk på att vi också erbjuder ett ännu enklare verktyg som är avsett för mötesplanering. Kolla in det om du tycker att SimplyBook.me är för omfattande för dina behov.