Roomchecking Verwerkersovereenkomst
DEZE GEGEVENSVERWERKINGSOVEREENKOMST, inclusief de geselecteerde modules van de Modelclausules en Bijlagen (“DPA”) maakt deel uit van en is onderworpen aan de Servicevoorwaarden van Roomchecking of een andere schriftelijke of elektronische overeenkomst (“Hoofdovereenkomst”) tussen de Klant en Roomchecking, Inc. (Roomchecking”, “wij”, “ons”, “onze”). Klant en Roomchecking kunnen hierin worden aangeduid als “partij” en gezamenlijk als de “partijen”.
In het kader van het leveren van de Diensten aan Klant onder de Hoofdovereenkomst kan Roomchecking Persoonsgegevens van Klant (hieronder gedefinieerd) namens Klant verwerken en de partijen komen overeen de volgende bepalingen na te leven met betrekking tot de eventuele verwerking van Persoonsgegevens van Klant door Roomchecking. Deze DPA vervangt geen vergelijkbare of aanvullende rechten met betrekking tot de verwerking van Persoonsgegevens van Klanten die zijn opgenomen in de Hoofdovereenkomst.
Bijlage 1 - Details van verwerking
Bijlage 2 - Beveiligingsmaatregelen
Bijlage 3 - Lijst van subverwerkers
Bijlage 4 – Brits addendum
Definities
“Gelieerde onderneming” betekent een entiteit die direct of indirect zeggenschap heeft over, wordt gecontroleerd door of onder gemeenschappelijke zeggenschap staat met een entiteit.
“Bedrijfsdoel” heeft de betekenis die wordt toegekend aan de Franse wet.
“Persoonlijke Klantgegevens” betekent alle Klantinhoud die: (i) betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon; of (ii) die anderszins beschermd zijn als “persoonlijke gegevens” of “persoonlijke informatie” (zoals dergelijke termen zijn gedefinieerd in de toepasselijke wetgeving inzake gegevensbescherming), die Roomchecking namens de Klant verwerkt tijdens het verlenen van de Dienst.
“Zeggenschap” betekent een eigendoms-, stem- of soortgelijk belang dat vijftig procent (50%) of meer vertegenwoordigt van de totale belangen (zoals gemeten op volledig verwaterde basis) die op dat moment uitstaan in de betreffende entiteit. De term “Gecontroleerd” zal dienovereenkomstig worden geïnterpreteerd.
“Gegevensbeschermingswetten” betekent alle regelgeving inzake gegevensbescherming en privacy die van toepassing is op een partij en de verwerking van Persoonsgegevens op grond van de Hoofdovereenkomst, inclusief, indien van toepassing, de AVG (of, met betrekking tot het Verenigd Koninkrijk, alle toepasselijke nationale wetgeving die deze vervangt of zet in nationaal recht de AVG of enige andere wet met betrekking tot gegevensbescherming en privacy om als gevolg van het vertrek van het Verenigd Koninkrijk uit de Europese Unie), implementaties van de AVG in nationaal recht, en de CCPA; in elk geval, zoals gewijzigd, vervangen of vervangen.
“EER” betekent voor de doeleinden van deze DPA de Europese Economische Ruimte, het Verenigd Koninkrijk en Zwitserland.
“AVG” betekent Verordening 2016/679 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van Persoonsgegevens en betreffende het vrije verkeer van die gegevens (Algemene Verordening Gegevensbescherming).
“Modelclausules” betekent de geselecteerde en toepasselijke modules, bijgevoegd als Bijlage 1 bij deze DPA, uit de Modelcontractbepalingen (Uitvoeringsbesluit (EU) 2021/914 van de Commissie van 4 juni 2021 betreffende standaardcontractbepalingen voor de overdracht van persoonsgegevens aan derden landen overeenkomstig Verordening (EU) 2016/679 van het Europees Parlement en de Raad C/2021/3972).
“Beveiligingsincident” betekent elke ongeoorloofde of onwettige inbreuk op de beveiliging die leidt tot de accidentele of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot Persoonsgegevens van Klant, opgeslagen of anderszins verwerkt door Roomchecking in verband met het verlenen van de Dienst. Onder “Beveiligingsincident” vallen geen mislukte pogingen of activiteiten die de veiligheid van de Persoonsgegevens van de Klant niet in gevaar brengen, inclusief mislukte inlogpogingen, pings, poortscans, Denial of Services-aanvallen en andere netwerkaanvallen op firewalls of netwerksystemen.
Onder “Subverwerker” wordt verstaan iedere Verwerker die toegang heeft tot Persoonsgegevens van Klant en die door Roomchecking wordt ingeschakeld om te assisteren bij het nakomen van haar verplichtingen met betrekking tot het leveren van de Dienst op grond van de Hoofdovereenkomst of deze DPA. Subverwerkers kunnen derde partijen of aan Roomchecking gelieerde ondernemingen zijn, maar sluiten elke werknemer, adviseur of onafhankelijke contractant van Roomchecking uit, op voorwaarde dat deze persoon diensten uitvoert in een hoedanigheid die gelijkwaardig is aan die welke door werknemers wordt uitgevoerd.
‘Verwerkingsverantwoordelijke’, ‘verwerker’, ‘verwerking’ en ‘persoonlijke gegevens’ hebben de betekenis die daaraan wordt gegeven in de gegevensbeschermingswetten of, indien daarin niet gedefinieerd, de AVG.
Rollen en reikwijdte van de verwerking
Verwerkingsbeschrijving. Het soort persoonsgegevens dat op grond van deze DPA wordt verwerkt en het onderwerp, de duur, de aard en het doel van de verwerking, en de categorieën betrokkenen, zijn zoals beschreven in Bijlage 1 bij de Modelclausules, in Bijlage 1 van deze DPA.
Gegevensverwerkingsrollen. Met betrekking tot de rechten en verplichtingen van de partijen onder deze DPA met betrekking tot de Persoonsgegevens van de Klant, erkennen en komen de partijen overeen dat de Klant de verwerkingsverantwoordelijke is (waar de toepasselijke wetgeving inzake gegevensbescherming een dergelijk concept erkent) en, met betrekking tot de CCPA, een “bedrijf” zoals daarin gedefinieerd, en Roomchecking is de verwerker (waar de toepasselijke wetgeving inzake gegevensbescherming een dergelijk concept erkent) en, met betrekking tot de CCPA, een “dienstverlener” zoals daarin gedefinieerd.
Naleving van wetten. Roomchecking verwerkt de Persoonsgegevens van Klanten in overeenstemming met deze DPA en de gegevensbeschermingswetten die van toepassing zijn op haar rol onder deze DPA. Om twijfel te voorkomen: Roomchecking is niet verantwoordelijk voor het naleven van de gegevensbeschermingswetten die specifiek van toepassing zijn op de Klant op grond van zijn bedrijf of sector, zoals de wetten die algemeen van toepassing zijn op online dienstverleners.
Verwerkingsinstructies. Roomchecking zal Persoonsgegevens van Klant verwerken in overeenstemming met de schriftelijke wettelijke instructies van Klant en uitsluitend voor de volgende doeleinden: (i) verwerking om de Diensten te verlenen in overeenstemming met de Hoofdovereenkomst; (ii) verwerking om eventuele stappen uit te voeren die nodig zijn voor de uitvoering van de Hoofdovereenkomst; (iii) verwerking geïnitieerd door Geautoriseerde Gebruikers bij hun gebruik van de Dienst; en (iv) verwerking om te voldoen aan andere redelijke instructies van de Klant (bijvoorbeeld via e-mail of supporttickets) die consistent zijn met de voorwaarden van de Hoofdovereenkomst en deze DPA (individueel en collectief, het “Toegestane Doel”). Partijen komen overeen dat de Hoofdovereenkomst (inclusief deze DPA) de volledige en definitieve instructies van Klant aan Roomchecking bevat met betrekking tot de verwerking van Persoonsgegevens van Klant, en dat voor verwerking buiten de reikwijdte van deze instructies (indien van toepassing) voorafgaande schriftelijke toestemming tussen Klant en Kamercontrole.
Verantwoordelijkheden van de klant. De Klant is als verwerkingsverantwoordelijke of als bedrijf verantwoordelijk voor: (i) de nauwkeurigheid, kwaliteit en wettigheid van de Persoonsgegevens van de Klant, (ii) de middelen waarmee de Klant dergelijke Persoonsgegevens van de Klant heeft verkregen; en (iii) de instructies die zij aan Roomchecking geeft met betrekking tot de verwerking van dergelijke Persoonsgegevens van Klanten. Klant zal ervoor zorgen (i) dat hij hiervan op de hoogte is gesteld en alle toestemmingen en rechten heeft verkregen (of zal verkrijgen) die nodig zijn voor Roomchecking om Persoonsgegevens van Klant te verwerken op grond van de Hoofdovereenkomst en deze DPA, (ii) zijn instructies rechtmatig zijn en dat de verwerking van Persoonsgegevens van Klant in overeenstemming met dergelijke instructies de toepasselijke Wetten inzake Gegevensbescherming niet schendt, en (iii) indien de CCPA van toepassing is, dat de Persoonsgegevens van Klant aan Roomchecking worden verstrekt om de Dienst uit te voeren voor een geldig “Zakelijk Doel” (zoals alleen gedefinieerd in CCPA).
3. Subverwerking
Kennisgeving van nieuwe subverwerkers.
De geautoriseerde Subverwerkers van Roomchecking staan vermeld in deze Verwerkersovereenkomst. Roomchecking zal de Klant ten minste tien (10 dagen) schriftelijk op de hoogte stellen voordat een nieuwe Subverwerker toestemming krijgt om Persoonsgegevens van de Klant te verwerken.
Verplichtingen van de subverwerker. Roomchecking zal met elke Subverwerker een schriftelijke overeenkomst aangaan waarin gegevensbeschermingsverplichtingen worden opgelegd die niet minder beschermend zijn voor de Persoonsgegevens van de Klant dan deze DPA of de Gegevensbeschermingswetten, voor zover van toepassing op de aard van de diensten die door een dergelijke Subverwerker worden geleverd. Indien een Subverwerker zijn verplichtingen op het gebied van gegevensbescherming niet nakomt, blijft Roomchecking jegens Klant volledig aansprakelijk voor de nakoming van de verplichtingen op het gebied van gegevensbescherming van die Subverwerker.
Bezwaarrecht voor subverwerker. Indien Klant op redelijke gronden in verband met de gegevensbescherming bezwaar maakt tegen het gebruik door Roomchecking van een nieuwe Subverwerker, zal Klant Roomchecking onverwijld en binnen tien (10) dagen na de kennisgeving door Roomchecking overeenkomstig artikel 3.1 hierboven schriftelijk op de hoogte stellen van een dergelijk bezwaar. In dat geval zullen de partijen dergelijke problemen te goeder trouw bespreken met het oog op het bereiken van een oplossing. Als de partijen het niet eens kunnen worden over een wederzijds aanvaardbare oplossing, heeft de Klant als enige en exclusieve rechtsmiddel het recht om het (de) relevante betrokken gedeelte(n) van de Service te beëindigen zonder aansprakelijkheid jegens een van beide partijen (maar zonder afbreuk te doen aan eventuele kosten die de Klant heeft gemaakt voorafgaand aan tot opschorting of beëindiging). Bij beëindiging door Klant op grond van dit artikel zal Roomchecking de eventueel vooruitbetaalde vergoedingen voor het beëindigde gedeelte(n) van de Dienst die na de ingangsdatum van de beëindiging zijn geleverd, aan Klant terugbetalen.
Beveiligingsmaatregelen en respons op beveiligingsincidenten
Beveiligingsmaatregelen. Roomchecking heeft passende technische en organisatorische beveiligingsmaatregelen geïmplementeerd en zal deze handhaven, bedoeld om de Persoonsgegevens van de Klant te beschermen tegen beveiligingsincidenten en om de veiligheid en vertrouwelijkheid van de Persoonsgegevens van de Klant te behouden in overeenstemming met de beveiligingsmaatregelen beschreven in Bijlage 2 (“Veiligheidsmaatregelen”) . Klant erkent dat de Beveiligingsmaatregelen onderhevig zijn aan de technische vooruitgang en ontwikkeling en dat Roomchecking de Beveiligingsmaatregelen van tijd tot tijd kan updaten of wijzigen, op voorwaarde dat dergelijke updates en aanpassingen niet resulteren in een aantasting van de algehele veiligheid van de aan Klant geleverde Dienst. .
Personeel. Roomchecking beperkt haar personeel in het verwerken van Persoonsgegevens van Klanten zonder toestemming van Roomchecking zoals uiteengezet in de Beveiligingsmaatregelen en zal ervoor zorgen dat elke persoon die door Roomchecking is gemachtigd om Persoonsgegevens van Klanten te verwerken, een passende geheimhoudingsplicht heeft.
Verantwoordelijkheden van de klant.
De Klant stemt ermee in dat, behalve zoals bepaald in deze DPA, de Klant verantwoordelijk is voor zijn veilige gebruik van de Dienst, inclusief het beveiligen van zijn accountverificatiereferenties, het beschermen van de veiligheid van de Persoonsgegevens van de Klant die worden verzonden via de systemen die hij beheert en onderhoudt (dat wil zeggen e-mailversleuteling), en het nemen van passende stappen om de Persoonlijke Gegevens van de Klant die naar de Dienst zijn geüpload veilig te versleutelen of er een back-up van te maken.
Reactie op beveiligingsincidenten.
Bij kennisname van een Beveiligingsincident zal Roomchecking Klant onverwijld en in ieder geval binnen tweeënzeventig (72) uur na constatering hiervan op de hoogte stellen. Roomchecking zal informatie met betrekking tot het Beveiligingsincident aan Klant verstrekken zodra deze bekend wordt of redelijkerwijs door Klant wordt verzocht om aan de verplichtingen van Klant als verwerkingsverantwoordelijke te voldoen. Roomchecking zal ook passende en redelijke stappen ondernemen om eventuele beveiligingsincidenten in te dammen, te onderzoeken en te beperken.
Audit en registratie.
Auditrechten. Roomchecking zal alle informatie waarover Roomchecking beschikt of waarover Roomchecking beschikt aan Klant ter beschikking stellen en alle medewerking verlenen in verband met audits van de gebouwen, systemen en documentatie van Roomchecking zoals Klant redelijkerwijs kan verzoeken om Klant in staat te stellen te beoordelen of Roomchecking deze DPA naleeft. Klant erkent en stemt ermee in dat hij zijn auditrechten onder deze DPA (inclusief dit Artikel 5 en waar van toepassing, de Modelclausules) zal uitoefenen door Roomchecking te instrueren om te voldoen aan de auditmaatregelen die worden beschreven in de Beveiligingsmaatregelen en Artikel 5.2 hieronder.
Auditprocedures.
Indien dit vereist is op grond van de toepasselijke wetgeving inzake gegevensbescherming of indien een gegevensbeschermingsautoriteit dit vereist op grond van de toepasselijke wetgeving inzake gegevensbescherming, kan de Klant, met inachtneming van een voorafgaande schriftelijke kennisgeving van ten minste dertig (30 dagen), het personeel van de Klant of een derde partij (op kosten van de Klant) verzoeken het uitvoeren van een audit van de faciliteiten, apparatuur, documenten en elektronische gegevens van Roomchecking met betrekking tot de verwerking van Persoonsgegevens van Klant onder de Hoofdovereenkomst voor zover dit nodig is om de naleving door Roomchecking van deze DPA te inspecteren en/of te controleren, met dien verstande dat: (i) Klant niet dit recht meer dan één keer per kalenderjaar uitoefenen; (ii) dergelijke aanvullende auditonderzoeken geen onredelijke negatieve invloed zullen hebben op de reguliere activiteiten van Roomchecking en niet onverenigbaar blijken te zijn met de toepasselijke gegevensbeschermingswetten of met de instructies van de relevante gegevensbeschermingsautoriteit; en (iii) vóór aanvang van een dergelijke aanvullende audit zullen de partijen onderling overeenstemming bereiken over de reikwijdte, timing en duur van de audit, en (iv) te allen tijde tijdens de reikwijdte van de audit zullen de Klant en een eventuele aangewezen derde partij het beleid, de procedures en redelijke instructies van Roomchecking naleven die de toegang tot haar systemen en faciliteiten regelen, inclusief het beperken of verbieden van toegang tot informatie die vertrouwelijke informatie is. Onverminderd het voorgaande zal Roomchecking alle door Klant redelijkerwijs gewenste medewerking verlenen om aan het verzoek van Klant te voldoen.
Gegevensoverdrachten.
Klant erkent en stemt ermee in dat Roomchecking Persoonsgegevens van Klant kan overdragen en verwerken naar en in de Verenigde Staten en andere locaties waar Roomchecking, haar Gelieerde Ondernemingen of haar Subverwerkers gegevensverwerkingsactiviteiten uitvoeren zoals meer in het bijzonder beschreven op de Subverwerkerssite (hierboven gedefinieerd). Roomchecking zal ervoor zorgen dat dergelijke overdrachten plaatsvinden in overeenstemming met de gegevensbeschermingswet en deze DPA.
Teruggave of verwijdering van gegevens.
Op verzoek van Klant, of binnen honderdtachtig (180) dagen na beëindiging of afloop van de Hoofdovereenkomst, zal Roomchecking de Persoonsgegevens van Klant die zij in haar bezit of beheer heeft, verwijderen of teruggeven. Deze vereiste is niet van toepassing voor zover Roomchecking door toepasselijk recht verplicht is om sommige of alle Persoonsgegevens van de Klant te bewaren, of voor de Persoonsgegevens van de Klant die het heeft gearchiveerd op back-upsystemen, waartegen de Persoonsgegevens van de Klant Roomchecking veilig zal isoleren en beschermen. elke verdere verwerking, behalve voor zover vereist door dergelijke wetten.
Samenwerking
Verzoeken om rechten van betrokkenen. Roomchecking zal, rekening houdend met de aard van de verwerking, Klant redelijkerwijs assisteren bij het reageren op verzoeken van individuen of toepasselijke gegevensbeschermingsautoriteiten met betrekking tot de verwerking van Persoonsgegevens van Klant onder de Hoofdovereenkomst. In het geval dat een dergelijk verzoek rechtstreeks aan Roomchecking wordt gericht, zal Roomchecking niet rechtstreeks op dergelijke communicatie reageren (behalve om de betrokkene te verzoeken contact op te nemen met Klant) zonder voorafgaande toestemming van Klant, tenzij dit wettelijk verplicht is. Indien Roomchecking op een dergelijk verzoek moet reageren, zal Roomchecking Klant hiervan onverwijld op de hoogte stellen en hem een kopie van het verzoek verstrekken, tenzij dit wettelijk verboden is.
Verzoeken van wetshandhavers. Als algemene praktijk verleent Roomchecking overheidsinstanties of autoriteiten (waaronder wetshandhavingsinstanties) niet vrijwillig toegang tot de Persoonsgegevens van Klanten. Als een overheidsinstantie of -autoriteit (waaronder wetshandhavingsautoriteiten) Roomchecking een verplicht verzoek om Persoonsgegevens van Klant stuurt (bijvoorbeeld via een dagvaarding, gerechtelijk bevel, huiszoekingsbevel of ander geldig juridisch proces), zal Roomchecking: (i) de overheid informeren instantie dat Roomchecking een verwerker of dienstverlener is (zoals van toepassing op de Persoonsgegevens van de Klant) en (ii) proberen de wetshandhavingsinstantie door te sturen om die Persoonsgegevens van de Klant rechtstreeks bij de Klant op te vragen. Als onderdeel van deze inspanning kan Roomchecking de basiscontactgegevens van Klant aan de wetshandhavingsinstantie verstrekken. Indien Roomchecking wordt gedwongen om Persoonsgegevens van Klant bekend te maken aan een wetshandhavingsinstantie, zal Roomchecking Klant binnen een redelijke termijn op de hoogte stellen van het verzoek om Klant in staat te stellen een bewarend bevel of een ander passend rechtsmiddel aan te vragen, tenzij Roomchecking dit wettelijk verboden is of zij beschikt over een redelijk en goed recht. geloofsovertuiging dat dringende toegang noodzakelijk is om een dreigend risico op ernstige schade aan een individu, de openbare veiligheid of de eigendommen, producten of diensten van Roomchecking te voorkomen. Roomchecking zal geen toegang verlenen tot de Persoonsgegevens van de Klant totdat: (a) de Klant toestemming geeft aan Roomchecking; (b) Roomchecking op de hoogte wordt gebracht of op bevestigende wijze verneemt dat er om een beschermingsbevel of een ander passend rechtsmiddel wordt verzocht of is uitgevaardigd; of (c) er dertig (30) dagen zijn verstreken sinds de kennisgeving van het verplichte verzoek aan de Klant en de Klant niet heeft gereageerd.
Gegevensbeschermingseffectbeoordelingen (DPIA’s). Voor zover vereist op grond van de wetgeving inzake gegevensbescherming die van toepassing is op de EER, zal Roomchecking de gevraagde informatie over de Dienst verstrekken die nodig is om de Klant in staat te stellen gegevensbeschermingseffectbeoordelingen uit te voeren en vooraf overleg te plegen met gegevensbeschermingsautoriteiten.
Europa
strekking. De voorwaarden in dit artikel 9 zijn alleen van toepassing indien en voor zover de Klant gevestigd is in de EER of de Persoonsgegevens van de Klant anderszins onderworpen zijn aan de wetgeving inzake gegevensbescherming die van toepassing is op de EER.
Verwerkingsinstructies:. Onverminderd artikel 2.4 (Verantwoordelijkheden van de Klant) zal Roomchecking de Klant schriftelijk op de hoogte stellen, tenzij dit op grond van de Wetgeving inzake Gegevensbescherming verboden is, indien Roomchecking zich ervan bewust wordt of meent dat verwerkingsinstructies van de Klant in strijd zijn met de toepasselijke Wetgeving inzake Gegevensbescherming.
Overdrachtsmechanisme. Voor zover Roomchecking een ontvanger is van Persoonsgegevens van Klanten die afkomstig zijn uit de EER en deze verwerkt in een land dat geen passend beschermingsniveau biedt op grond van de toepasselijke wetgeving inzake gegevensbescherming, komen de partijen overeen dat Roomchecking dergelijke Klantgegevens zal naleven en verwerken. Persoonsgegevens in overeenstemming met de Modelclausules, die zijn opgenomen in en een integraal onderdeel vormen van deze DPA. Voor de doeleinden van de Modelclausules komen de partijen overeen dat: (i) Roomchecking een “gegevensimporteur” is en Klant de “gegevensexporteur” (ondanks dat Klant een entiteit kan zijn die buiten de EER is gevestigd); en (ii) het niet de bedoeling is van een van beide partijen om de bepalingen in de Modelclausules tegen te spreken of te beperken, en dienovereenkomstig, indien en voor zover de Modelclausules in strijd zijn met enige bepaling van de Hoofdovereenkomst (inclusief deze DPA ) de Modelclausules prevaleren in de mate van een dergelijk conflict.
Modelclausules. Voor doeleinden van de Modelclausules (i) in Artikel 7 is de optionele Kamercontroleclausule van toepassing; (ii) in Artikel 9 van Module Twee is Optie 2 van toepassing en de termijn voor voorafgaande kennisgeving van wijzigingen in de Subverwerker wordt vermeld in Paragraaf 3.2 van deze DPA; (iii) in artikel 11 is de optionele taal niet van toepassing; (iv) in Artikel 17 zal Optie 1 van toepassing zijn, en zullen de clausules van Verwerkingsverantwoordelijke naar Verwerker van 2021 Lattice DPA 5 zijn, onderworpen aan Iers recht; (v) in artikel 18(b) zullen geschillen worden beslecht voor de rechtbanken van Ierland; (vi) Bijlage I wordt geacht te zijn aangevuld met de informatie uiteengezet in Bijlage 1 (Details van de Verwerking) van deze DPA; en (vii) Bijlage II wordt geacht te zijn voltooid met de informatie uiteengezet in Bijlage 2 (Veiligheidsmaatregelen) (indien van toepassing) van deze DPA; en Bijlage 3 (Subverwerkers) worden geacht te zijn ingevuld met de informatie uiteengezet in Bijlage 3 van deze DPA.
Alternatieve regelingen voor gegevensoverdracht. Voor zover Roomchecking een alternatief mechanisme voor gegevensexport hanteert (inclusief een nieuwe versie van of opvolger van de Modelclausules die zijn aangenomen krachtens de wetgeving inzake gegevensbescherming) voor de overdracht van persoonsgegevens (“Alternatief Overdrachtsmechanisme”), zal het Alternatief Overdrachtsmechanisme automatisch van toepassing zijn. in plaats van enig toepasselijk overdrachtsmechanisme beschreven in deze DPA (maar alleen voor zover een dergelijk alternatief overdrachtsmechanisme voldoet aan de gegevensbeschermingswetten die van toepassing zijn op de EER en zich uitstrekt tot gebieden waarnaar persoonlijke gegevens van klanten worden overgedragen).
Britse gegevensoverdrachten. Roomchecking verwerkt Klantgegevens afkomstig uit Groot-Brittannië in overeenstemming met de voorwaarden uiteengezet in Bijlage 4 bij deze Overeenkomst.
Verwerkingsverantwoordelijken
Affiliate communicatie.
Klant is verantwoordelijk voor het coördineren van alle communicatie met Roomchecking namens zijn aangesloten ondernemingen met betrekking tot deze DPA. De Klant verklaart dat hij bevoegd is om namens zijn Gelieerde Ondernemingen instructies te geven en mededelingen te doen en te ontvangen met betrekking tot deze DPA.
Handhaving van aangesloten bedrijven.
Klantfilialen kunnen de voorwaarden van deze DPA rechtstreeks jegens Roomchecking afdwingen, met inachtneming van de volgende bepalingen:
De Klant zal elke juridische actie, rechtszaak, claim of procedure die de Affiliate anders zou voeren als hij partij zou zijn bij de Hoofdovereenkomst (elk een “Affiliate Claim”) rechtstreeks tegen Roomchecking aanspannen namens een dergelijke Affiliate, behalve waar de Wetgeving inzake Gegevensbescherming van toepassing is. waaraan de betreffende Affiliate onderworpen is, vereisen dat de Affiliate een dergelijke Affiliateclaim indient of er partij bij is; en met het oog op elke Affiliate Claim die rechtstreeks tegen Roomchecking wordt ingesteld door de Klant namens een dergelijke Affiliate in overeenstemming met dit artikel, kunnen eventuele verliezen geleden door de betreffende Affiliate worden beschouwd als verliezen geleden door de Klant.
Beperking van aansprakelijkheid
In geen geval zal een partij haar aansprakelijkheid beperken met betrekking tot de gegevensbeschermingsrechten van een individu onder deze DPA of anderszins.
Eventuele claims of rechtsmiddelen die de Klant of zijn Gelieerde Ondernemingen kunnen hebben tegen Roomchecking en zijn respectieve werknemers, agenten of Subverwerkers voortvloeiend uit of in verband met deze DPA, waaronder: (i) wegens schending van deze DPA; (ii) als gevolg van boetes (administratief, regelgevend of anderszins) die aan de Klant zijn opgelegd; (iii) onder de AVG (of Britse AVG), inclusief claims met betrekking tot schade betaald aan een betrokkene; en (iv) schending van zijn verplichtingen onder de Modelclausules, zal onderworpen zijn aan enige beperking en uitsluiting van aansprakelijkheidsbepalingen (inclusief een eventueel overeengekomen totaal financieel maximum) die van toepassing zijn onder de Hoofdovereenkomst.
Voor alle duidelijkheid: de totale aansprakelijkheid van Roomchecking en haar Gelieerde Ondernemingen voor alle claims van Klant en haar Gelieerde Ondernemingen die voortvloeien uit of verband houden met de Hoofdovereenkomst en elke DPA, geldt in totaal voor alle claims onder de Hoofdovereenkomst en deze DPA samen. , inclusief door de Klant en zijn dochterondernemingen.
BEPERKINGEN
Roomchecking is verboden bij:
het verkopen van persoonlijke gegevens van klanten;
het bewaren, gebruiken of openbaar maken van Persoonsgegevens van de Klant voor andere doeleinden dan de specifieke doeleinden van het uitvoeren van de Dienst of zoals anderszins toegestaan onder de Hoofdovereenkomst en deze DPA, inclusief het bewaren, gebruiken of openbaar maken van Persoonsgegevens van de Klant voor een ander commercieel doel dan het verstrekken van de Dienst; of
het bewaren of openbaar maken van Persoonsgegevens van Klant buiten de directe zakelijke relatie tussen Roomchecking en Klant.
Roomchecking verklaart hierbij dat zij de beperkingen zoals uiteengezet in artikel 12.1 begrijpt en deze zal naleven.
Algemeen
Deze DPA is, net als tussen Klant en Roomchecking, opgenomen in en onderworpen aan de voorwaarden van de Hoofdovereenkomst en is van kracht en blijft van kracht gedurende de looptijd van de Hoofdovereenkomst of de duur van de Dienst. In het geval van een conflict tussen de voorwaarden van deze DPA en de voorwaarden van de Hoofdovereenkomst, prevaleren de voorwaarden van deze DPA voor zover het onderwerp de verwerking van Persoonsgegevens van Klanten betreft.
Elke partij erkent dat de andere partij de Modelclausules, deze DPA en alle privacygerelateerde bepalingen in de Hoofdovereenkomst op verzoek aan een regelgevende of toezichthoudende autoriteit mag bekendmaken.
Niettegenstaande enige andersluidende bepaling in de Hoofdovereenkomst en onverminderd artikel 2.3, kan Roomchecking periodiek wijzigingen aanbrengen in deze DPA die nodig kunnen zijn om te voldoen aan de wetgeving inzake gegevensbescherming.
Deze DPA verleent geen rechten aan derden, is uitsluitend bedoeld ten behoeve van de partijen hierbij, de respectieve toegestane opvolgers en rechtverkrijgenden, en is niet ten behoeve van, noch mag enige bepaling hiervan worden afgedwongen door, een andere persoon. .
Anders dan vereist door de Modelclausules, beheersen de geschillenmechanismen, inclusief die met betrekking tot locatie en jurisdictie, uiteengezet in de Hoofdovereenkomst, elk geschil met betrekking tot deze DPA.
BIJLAGE 1
DETAILS VAN DE VERWERKING
A. LIJST VAN PARTIJEN
Gegevensexporteur:
Naam: De entiteit vermeld als “Klant” in het toepasselijke Bestelformulier en/of Hoofdovereenkomst
Adres: het adres vermeld op elk van toepassing zijnd bestelformulier.
Naam, functie en contactgegevens van de contactpersoon: Het contactpunt vermeld op elk van toepassing zijnd Bestelformulier of de Hoofdovereenkomst.
Activiteiten die relevant zijn voor de gegevens die krachtens deze clausules worden overgedragen: Het ontvangen van Roomchecking-diensten zoals gespecificeerd in de Hoofdovereenkomst en het Bestelformulier.
Handtekening en datum: Door ondertekening van de Hoofdovereenkomst of een Toepasselijk Bestelformulier gaat de Klant ermee akkoord gebonden te zijn aan deze Gegevensverwerkingsovereenkomst.
Rol (verwerkingsverantwoordelijke/verwerker): Verwerkingsverantwoordelijke.
Gegevensimporteur(s):
Naam: Roomchecking SaS
Adres: 137 rue Dalayrac, 94120 Fontenay sous bois
Naam, functie en contactgegevens van de contactpersoon: Jonathan Weizman, CEO, jweizman@roomchecking.com
Activiteiten die relevant zijn voor de gegevens die krachtens deze Clausules worden overgedragen: Het verlenen van Roomchecking-diensten aan de Klant zoals gespecificeerd in de Hoofdovereenkomst en het toepasselijke Bestelformulier.
Handtekening en datum: Door ondertekening van de Hoofdovereenkomst of enig Toepasselijk Bestelformulier gaat Roomchecking ermee akkoord gebonden te zijn aan deze Verwerkersovereenkomst.
Rol (verwerkingsverantwoordelijke/verwerker): Verwerker
B. BESCHRIJVING VAN DE OVERDRACHT
Categorieën van betrokkenen van wie persoonsgegevens worden doorgegeven
Roomchecking-klanten en medewerkers van Roomchecking-klanten.
Categorieën overgedragen persoonsgegevens
De informatie vermeld in het Roomchecking Privacybeleid.
Overgedragen gevoelige gegevens (indien van toepassing) en toegepaste beperkingen of waarborgen die volledig rekening houden met de aard van de gegevens en de daaraan verbonden risico’s, zoals bijvoorbeeld strikte doelbinding, toegangsbeperkingen (inclusief toegang alleen voor personeel dat een gespecialiseerde opleiding heeft gevolgd), het bewaren een registratie van toegang tot de gegevens, beperkingen voor verdere overdracht of aanvullende beveiligingsmaatregelen.
N / A.
De frequentie van de overdracht (bijvoorbeeld of de gegevens eenmalig of continu worden overgedragen).
Doorlopend.
Aard van de verwerking
Software as a Service voor online samenwerkingswerkplekken.
Doel(en) van de gegevensoverdracht en verdere verwerking
Om de Roomchecking Software als een Service aan Klanten te leveren.
De periode waarvoor de persoonsgegevens worden bewaard, of, als dat niet mogelijk is, de criteria die worden gebruikt om die periode te bepalen
Vanaf de Ingangsdatum van de Hoofdovereenkomst tot de beëindiging ervan.
Vermeld bij doorgifte aan (sub)verwerkers ook onderwerp, aard en duur van de verwerking
Vanaf de Ingangsdatum van de Hoofdovereenkomst tot de beëindiging ervan.
C. BEVOEGDE TOEZICHTHOUDENDE AUTORITEIT
Identificeer de bevoegde toezichthoudende autoriteit(en) in overeenstemming met clausule 13
De toezichthoudende autoriteit van een van de lidstaten waar de betrokkenen wier persoonsgegevens op grond van deze bepalingen worden overgedragen in verband met het aanbieden van goederen of diensten aan hen, of wier gedrag wordt gemonitord, zich bevinden, treedt op als bevoegde toezichthoudende autoriteit.
BIJLAGE 2
VEILIGHEIDS MAATREGELEN
De door Roomchecking geïmplementeerde technische en organisatorische maatregelen (inclusief eventuele relevante certificeringen) om een passend beveiligingsniveau te waarborgen, rekening houdend met de aard, omvang, context en doeleinden van de verwerking, en de risico’s voor de rechten en vrijheden van natuurlijke personen, zijn zo volgt:
Versleuteling van persoonlijke gegevens
- Gegevens in rust gecodeerd met behulp van het AES-256-algoritme.
- Laptops van werknemers worden versleuteld met behulp van AES-256-versleuteling op volledige schijf.
- HTTPS-codering op elke webinloginterface, met behulp van industriestandaardalgoritmen en certificaten.
- Veilige overdracht van inloggegevens met standaard TLS 1.2.
- Toegang tot operationele omgevingen vereist het gebruik van veilige protocollen zoals HTTPS.
- Gegevens die zich in Microsoft Azure (Azure) bevinden, zijn in rust versleuteld, zoals vermeld in de documentatie en whitepapers van Azure. In het bijzonder worden Azure-instanties en -volumes versleuteld met AES-256. Versleutelingssleutels via Azure Key Management Service (KMS) zijn IAM-rolbeveiligd en worden beschermd door door Azure geleverde HSM-gecertificeerd onder FIPS 140-2.
Maatregelen om de beschikbaarheid van en toegang tot persoonsgegevens tijdig te kunnen herstellen in geval van een fysiek of technisch incident
- Sterke toegangscontroles gebaseerd op het gebruik van het 'Principle of Least Privilege'.
- Gedifferentieerd rechtensysteem op basis van beveiligingsgroepen en toegangscontrolelijsten.
- Werknemer krijgt alleen de hoeveelheid toegang die nodig is om zijn of haar functie uit te voeren.
- Unieke accounts en rolgebaseerde toegang binnen operationele en zakelijke omgevingen.
- Toegang tot systemen beperkt door beveiligingsgroepen en toegangscontrolelijsten.
- Autorisatieverzoeken worden regelmatig gevolgd, geregistreerd en gecontroleerd.
- Verwijdering van toegang voor werknemer bij beëindiging of wijziging van dienstverband.
- Handhaving van Multi-factor Authenticatie (MFA) voor toegang tot kritieke en productiebronnen.
- Sterke en complexe wachtwoorden vereist. De initiële wachtwoorden moeten na de eerste login worden gewijzigd.
- Wachtwoorden worden nooit in leesbare tekst opgeslagen en worden tijdens verzending en in rust gecodeerd.
- Processen voor het inrichten en verwijderen van accounts.
- Automatische accountvergrendeling.
- Scheiding van verantwoordelijkheden en plichten om de kans op ongeoorloofde of onbedoelde wijziging of misbruik te verkleinen.
- Geheimhoudingseisen gesteld aan medewerkers.
- Verplichte beveiligingstrainingen voor werknemers, die betrekking hebben op gegevensprivacy en -beheer, gegevensbescherming, vertrouwelijkheid, social engineering, wachtwoordbeleid en algemene beveiligingsverantwoordelijkheden binnen en buiten Roomchecking.
- Geheimhoudingsovereenkomsten met derden.
- Scheiding van netwerken op basis van vertrouwensniveaus.
Processen voor het regelmatig testen, beoordelen en evalueren van de effectiviteit van technische en organisatorische maatregelen om de veiligheid van de verwerking te waarborgen
Gebeurtenisrapporten zijn ingeschakeld en beschikbaar voor klanten in hun Roomchecking-instantie. Deze rapporten kunnen periodiek worden gedownload.
Gebruikersactiviteiten, waaronder aanmeldingen, configuratiewijzigingen, verwijderingen en updates, worden automatisch naar auditlogboeken in operationele systemen geschreven.
Bepaalde activiteiten op Roomchecking zijn niet direct beschikbaar voor klanten, zoals tijdstempels, IP's, in-/uitloggen en fouten. Deze logboeken zijn alleen beschikbaar voor geautoriseerde medewerkers, worden buiten het systeem opgeslagen en zijn beschikbaar voor beveiligingsonderzoeken.
Alle logboeken zijn alleen toegankelijk voor geautoriseerde Roomchecking-medewerkers en er zijn toegangscontroles om ongeautoriseerde toegang te voorkomen.
Schrijftoegang tot loggegevens is ten strengste verboden. Logboekfaciliteiten en loginformatie worden beschermd tegen manipulatie en ongeoorloofde toegang door het gebruik van toegangscontroles en beveiligingsmaatregelen.
Netwerksegmentatie en onderlinge verbindingen beschermd door firewalls.
Jaarlijkse penetratietesten voor alle componenten van de Roomchecking SaaS, inclusief web- en mobiele applicaties.
Maatregelen voor gebruikersidentificatie en autorisatie
De toegang tot operationele en productieomgevingen wordt beschermd door het gebruik van unieke gebruikersaccounts, sterke wachtwoorden, gebruik van Multi-Factor Authenticatie (MFA), op rollen gebaseerde toegang en het minste privilege-principe.
Autorisatieverzoeken en voorzieningen worden geregistreerd, bijgehouden en gecontroleerd.
Door de klant gegenereerde OAuth-tokens worden gecodeerd opgeslagen.
De sleutels die nodig zijn voor het ontsleutelen van deze geheimen worden opgeslagen in een veilige, beheerde opslagplaats die gebruik maakt van toonaangevende hardwarebeveiligingsmodellen die voldoen aan de toepasselijke regelgeving en nalevingsverplichtingen, of deze zelfs overtreffen.
Toegangssleutels gebruikt door productie Roomchecking-applicaties zijn alleen toegankelijk voor geautoriseerd personeel. Ze worden indien nodig gerouleerd (gewijzigd) (bijvoorbeeld op grond van een veiligheidsadvies of vertrek van personeel) en ten minste jaarlijks.
Gebruikersactiviteit in operationele omgevingen, inclusief toegang, wijziging of verwijdering van gegevens, wordt geregistreerd.
Web Application Firewall (WAF), naast de netwerkgebaseerde firewalls.
Maatregelen ter bescherming van gegevens tijdens verzending
HTTPS-versleuteling voor gegevens die onderweg zijn (met TLS 1.2 of hoger).
Maatregelen ter bescherming van Gegevens tijdens opslag
Roomchecking van klantinstanties wordt logisch gescheiden en pogingen om toegang te krijgen tot gegevens buiten de toegestane domeingrenzen worden voorkomen en geregistreerd. Er zijn maatregelen genomen om ervoor te zorgen dat uitvoerbare uploads en code worden uitgevoerd of dat ongeautoriseerde actoren geen toegang krijgen tot ongeautoriseerde gegevens, waaronder de ene klant die toegang heeft tot bestanden van een andere klant.
Eindpuntbeveiligingssoftware
Systeeminvoer vastgelegd via logbestanden
Toegangscontrolelijsten (ACL)
Multi-factor authenticatie (MFA)
Maatregelen om ervoor te zorgen dat gebeurtenissen worden geregistreerd
Loggen op afstand
Een centraal SIEM-systeem (Security Information and Event Management) en andere producttools bewaken de beveiliging of activiteiten
Maatregelen om de systeemconfiguratie te garanderen, inclusief de standaardconfiguratie
Roomchecking hanteert een Change Management Policy.
Roomchecking houdt toezicht op wijzigingen in de systemen die binnen de scope vallen, om ervoor te zorgen dat de wijzigingen het proces volgen en om het risico van niet-gedetecteerde wijzigingen in de productie te beperken. Wijzigingen worden bijgehouden in ons veranderplatform.
Toegangscontrolebeleid en -procedures
Maatregelen om dataminimalisatie te garanderen
Er worden gedetailleerde privacybeoordelingen uitgevoerd met betrekking tot de implementatie van nieuwe producten/diensten en de verwerking van persoonsgegevens door derden.
Het verzamelen van gegevens is beperkt tot de doeleinden van de verwerking (of de gegevens die de klant wenst te verstrekken).
Er zijn beveiligingsmaatregelen getroffen om alleen de minimale hoeveelheid toegang te bieden die nodig is om de vereiste functies uit te voeren.
Beperkte bewaartermijnen voor gegevens en
Er is een automatische verwijdering geïmplementeerd om de bewaartermijnen voor gegevens af te dwingen (zie hieronder voor Maatregelen om beperkte gegevensbewaring te garanderen).
Alle verwijderde klantgegevens volgen een vergelijkbaar bewaarschema: herstelbare verwijdering tussen 0-90 dagen en permanente verwijdering binnen 91-180 dagen.
Beperk de toegang tot persoonsgegevens tot de partijen die betrokken zijn bij de verwerking, in overeenstemming met het ‘need to know’-principe en in overeenstemming met de functie achter het aanmaken van gedifferentieerde toegangsprofielen.
Maatregelen om de kwaliteit van de gegevens te waarborgen
Roomchecking beschikt over een proces waarmee individuen hun privacyrechten kunnen uitoefenen (inclusief het recht om informatie te wijzigen en bij te werken), zoals beschreven in het Privacybeleid van Roomchecking.
Applicaties zijn ontworpen om duplicatie te verminderen/voorkomen. Er zijn veel controles op applicatieniveau om de gegevensintegriteit te garanderen.
QEen team dat ervoor zorgt dat deze items werken zoals ontworpen en geïmplementeerd voordat ze onze productieomgeving bereiken.
Maatregelen om een beperkte gegevensretentie te garanderen
Na beëindiging van alle abonnementen die aan een omgeving zijn gekoppeld, worden klantgegevens die bij de Services zijn ingediend, gedurende 60 dagen in inactieve status binnen de Services bewaard, waarna ze binnen 90 dagen veilig worden overschreven of uit productie worden verwijderd (tot een maximum van 180 dagen) en vanaf back-ups binnen 180 dagen.
Alle verwijderde klantgegevens volgen een vergelijkbaar bewaarschema: herstelbare verwijdering tussen 0-90 dagen en permanente verwijdering binnen 91-180 dagen.
Maatregelen om verantwoording te garanderen
Klantprivacybeoordelingen zijn vereist bij de introductie van een nieuw product/dienst waarbij persoonsgegevens worden verwerkt.
Gegevensbeschermingseffectbeoordelingen maken deel uit van elk nieuw verwerkingsinitiatief.
Maatregelen om gegevensportabiliteit mogelijk te maken en verwijdering te garanderen
Mogelijkheid om gegevens naar JSON-formaat te exporteren
Roomchecking beschikt over een proces waarmee individuen hun privacyrechten kunnen uitoefenen (bijvoorbeeld recht op verwijdering of recht op gegevensportabiliteit), zoals beschreven in het Privacybeleid van Roomchecking.
BIJLAGE 3
SUBVERWERKERS
Pendo
Productanalyse
https://clarity.microsoft.com//
Cloudhosting en gegevensopslag
https://azure.Microsoft.com/
EU
Poststempel
E-mail levering
https://postmarkapp.com/
GitHub
Probleembeheer
https://github.com/
Kern
Klantenservice
https://www.getgist.com/
Loom
Video delen
https://www.loom.com/
Slack
Interne communicatie
slack.com