Overeenkomst gegevensverwerking Roomchecking
DEZE GEGEVENSVERWERKINGSOVEREENKOMST, inclusief de geselecteerde modules van de modelclausules en bijlagen ("DPA") maakt deel uit van en is onderworpen aan de Servicevoorwaarden van Roomchecking of een andere schriftelijke of elektronische overeenkomst ("Hoofdovereenkomst") tussen de Klant en Roomchecking, Inc. (Roomchecking," "wij," "ons," "onze"). De Klant en Roomchecking kunnen hierin worden aangeduid als een "partij" en samen als de "partijen".
In het kader van het verlenen van de Diensten aan de Klant onder de Hoofdovereenkomst, kan Roomchecking Persoonsgegevens van de Klant (hieronder gedefinieerd) verwerken namens de Klant en de partijen komen overeen de volgende bepalingen na te leven met betrekking tot elke verwerking van Persoonsgegevens van de Klant door Roomchecking. Deze DPA vervangt geen vergelijkbare of aanvullende rechten met betrekking tot de verwerking van persoonsgegevens van de Klant in de Hoofdovereenkomst.
Bijlage 1 - Details van de verwerking
Bijlage 2 - Veiligheidsmaatregelen
Bijlage 3 - Lijst van subverwerkers
Bijlage 4 - VK-addendum
Definities
"Filiaal" betekent een entiteit die direct of indirect zeggenschap heeft over een entiteit, waarover zeggenschap wordt uitgeoefend door een entiteit of waarover gezamenlijk zeggenschap wordt uitgeoefend.
"Zakelijk doel" heeft de betekenis die daaraan wordt toegekend in de Franse Wet.
"Persoonlijke gegevens van de Klant" betekent alle Inhoud van de Klant die: (i) betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon; of (ii) die anderszins beschermd is als "persoonsgegevens" of "persoonlijke informatie" (zoals deze termen zijn gedefinieerd in de toepasselijke wetgeving inzake gegevensbescherming), die Roomchecking verwerkt namens de Klant in de loop van het leveren van de Dienst.
"Zeggenschap" betekent een eigendoms-, stem- of vergelijkbaar belang dat vijftig procent (50%) of meer vertegenwoordigt van de totale belangen (gemeten op volledig verwaterde basis) die dan uitstaan van de entiteit in kwestie. De term "Zeggenschap" zal dienovereenkomstig worden geïnterpreteerd.
"Gegevensbeschermingswetgeving" betekent alle regelgeving op het gebied van gegevensbescherming en privacy die van toepassing is op een partij en haar verwerking van Persoonsgegevens onder de Hoofdovereenkomst, inclusief, indien van toepassing, de GDPR (of met betrekking tot het Verenigd Koninkrijk, alle toepasselijke nationale wetgeving die de GDPR of enige andere wet met betrekking tot gegevensbescherming en privacy vervangt of omzet in nationale wetgeving als gevolg van het verlaten van de Europese Unie door het Verenigd Koninkrijk), implementaties van de GDPR in nationale wetgeving en de CCPA; in elk geval zoals mogelijk gewijzigd, vervangen of vervangen.
"EER" betekent voor de doeleinden van deze DPA de Europese Economische Ruimte, het Verenigd Koninkrijk en Zwitserland.
"GDPR" betekent Verordening 2016/679 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (Algemene Verordening Gegevensbescherming).
"Modelbepalingen" betekent de geselecteerde en van toepassing zijnde modules, bijgevoegd als Bijlage 1 bij deze DPA, uit de modelcontractbepalingen (Uitvoeringsbesluit (EU) 2021/914 van de Commissie van 4 juni 2021 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen krachtens Verordening (EU) 2016/679 van het Europees Parlement en de Raad C/2021/3972).
"Beveiligingsincident" betekent elke ongeautoriseerde of onwettige inbreuk op de beveiliging die leidt tot de accidentele of onwettige vernietiging, verlies, wijziging, ongeautoriseerde openbaarmaking van of toegang tot Persoonsgegevens van de Klant, die zijn opgeslagen of anderszins verwerkt door Roomchecking in verband met de levering van de Dienst. "Beveiligingsincident" omvat geen mislukte pogingen of activiteiten die de beveiliging van Persoonlijke Gegevens van de Klant niet in gevaar brengen, waaronder mislukte inlogpogingen, pings, poortscans, denial of services-aanvallen en andere netwerkaanvallen op firewalls of netwerksystemen.
"Subverwerker" betekent een Verwerker die toegang heeft tot Persoonsgegevens van de Klant en die door Roomchecking is ingeschakeld om te helpen bij het nakomen van haar verplichtingen met betrekking tot het verlenen van de Dienst op grond van de Hoofdovereenkomst of deze DPA. Subverwerkers kunnen derden of gelieerde ondernemingen van Roomchecking zijn, maar omvatten geen werknemers, consultants of onafhankelijke contractanten van Roomchecking, mits deze personen diensten verlenen in een hoedanigheid die gelijkwaardig is aan die van werknemers.
"Verwerkingsverantwoordelijke", "verwerker", "verwerking" en "persoonsgegevens" hebben de betekenis die eraan wordt gegeven in de wetgeving inzake gegevensbescherming of, indien daarin niet gedefinieerd, de GDPR.
Rollen en omvang van de verwerking
Beschrijving van de verwerking. Het type persoonsgegevens dat verwerkt wordt krachtens deze DPA en het onderwerp, de duur, de aard en het doel van de verwerking, en de categorieën van betrokkenen, zijn zoals beschreven in Bijlage 1 van de modelclausules, in Bijlage 1 van deze DPA.
Rollen voor gegevensverwerking. Met betrekking tot de rechten en plichten van de partijen onder deze DPA met betrekking tot de Persoonsgegevens van de Klant, erkennen en komen de partijen overeen dat de Klant de verwerkingsverantwoordelijke is (waar de toepasselijke wetgeving inzake gegevensbescherming dit concept erkent) en, met betrekking tot de CCPA, een "bedrijf" zoals hierin gedefinieerd, en Roomchecking is de verwerker (waar de toepasselijke wetgeving inzake gegevensbescherming dit concept erkent) en, met betrekking tot de CCPA, een "dienstverlener" zoals hierin gedefinieerd.
Naleving van de wetgeving. Roomchecking zal de Persoonsgegevens van de Klant verwerken in overeenstemming met deze DPA en de Gegevensbeschermingswetten die van toepassing zijn op haar rol onder deze DPA. Om twijfel te voorkomen, Roomchecking is niet verantwoordelijk voor de naleving van de wetten inzake gegevensbescherming die specifiek van toepassing zijn op de Klant op grond van zijn bedrijf of branche, zoals de wetten die algemeen van toepassing zijn op online dienstverleners.
Verwerkingsinstructies. Roomchecking zal de Persoonsgegevens van de Klant verwerken in overeenstemming met de schriftelijke rechtmatige instructies van de Klant en alleen voor de volgende doeleinden: (i) verwerking om de Diensten te leveren in overeenstemming met de Hoofdovereenkomst; (ii) verwerking om alle stappen uit te voeren die nodig zijn voor de uitvoering van de Hoofdovereenkomst; (iii) verwerking geïnitieerd door Geautoriseerde Gebruikers in hun gebruik van de Dienst; en (iv) verwerking om te voldoen aan andere redelijke instructies van de Klant (bijvoorbeeld via e-mail of support tickets) die in overeenstemming zijn met de voorwaarden van de Hoofdovereenkomst en deze DPA (individueel en collectief, de "Toegestane Doeleinden"). De partijen komen overeen dat de Hoofdovereenkomst (inclusief deze DPA) de volledige en definitieve instructies van de Klant aan Roomchecking bevat met betrekking tot de verwerking van Persoonsgegevens van de Klant en dat voor verwerking buiten de reikwijdte van deze instructies (indien van toepassing) voorafgaande schriftelijke toestemming nodig is tussen de Klant en Roomchecking.
Verantwoordelijkheden van de Klant. Klant, als een controller of als een bedrijf, is verantwoordelijk voor: (i) de nauwkeurigheid, kwaliteit en rechtmatigheid van de Persoonsgegevens van de Klant, (ii) de wijze waarop de Klant deze Persoonsgegevens van de Klant heeft verkregen; en (iii) de instructies die de Klant aan Roomchecking geeft met betrekking tot de verwerking van deze Persoonsgegevens van de Klant. De Klant zal ervoor zorgen (i) dat hij alle toestemmingen en rechten heeft verkregen (of zal verkrijgen) die nodig zijn voor Roomchecking om Persoonsgegevens van de Klant te verwerken volgens de Hoofdovereenkomst en deze DPA, (ii) dat zijn instructies rechtmatig zijn en dat de verwerking van Persoonsgegevens van de Klant in overeenstemming met dergelijke instructies niet in strijd is met de toepasselijke wetgeving inzake gegevensbescherming, en (iii) indien de CCPA van toepassing is, dat de Persoonsgegevens van de Klant alleen aan Roomchecking worden verstrekt om de Dienst uit te voeren voor een geldig "Zakelijk doel" (zoals gedefinieerd in de CCPA).
3. Subverwerking
Kennisgeving van nieuwe subverwerkers.
De geautoriseerde Subverwerkers van Roomchecking staan vermeld in deze Verwerkersovereenkomst. Roomchecking zal de Klant ten minste tien (10) dagen van tevoren schriftelijk op de hoogte stellen voordat zij een nieuwe Subverwerker toestemming geeft om Persoonsgegevens van de Klant te verwerken.
Verplichtingen Subverwerker. Roomchecking zal een schriftelijke overeenkomst aangaan met elke Subverwerker die gegevensbeschermingsverplichtingen oplegt die niet minder bescherming bieden voor Persoonsgegevens van de Klant dan deze DPA of de Gegevensbeschermingswetten, voor zover van toepassing op de aard van de diensten die door deze Subverwerker worden geleverd. Indien een Subverwerker niet voldoet aan zijn gegevensbeschermingsverplichtingen, blijft Roomchecking volledig aansprakelijk jegens de Klant voor de nakoming van de gegevensbeschermingsverplichtingen van die Subverwerker.
Bezwaarrecht Subverwerker. Als de Klant op redelijke gronden met betrekking tot gegevensbescherming bezwaar maakt tegen het gebruik van een nieuwe Subverwerker door Roomchecking, dan zal de Klant onmiddellijk, en binnen tien (10) dagen na de kennisgeving van Roomchecking volgens artikel 3.1 hierboven, Roomchecking schriftelijk op de hoogte stellen van dit bezwaar. In een dergelijk geval zullen de partijen deze bezwaren in goed vertrouwen bespreken om tot een oplossing te komen. Als de partijen het niet eens kunnen worden over een wederzijds aanvaardbare oplossing, dan heeft de Klant als enige en exclusieve remedie het recht om het/de betreffende gedeelte(n) van de Service te beëindigen zonder aansprakelijkheid jegens een van de partijen (maar zonder afbreuk te doen aan eventuele kosten die door de Klant zijn gemaakt voorafgaand aan de opschorting of beëindiging). Bij beëindiging door de Klant op grond van dit artikel, zal Roomchecking alle vooruitbetaalde vergoedingen voor het beëindigde deel of de beëindigde delen van de Service die werden verstrekt na de ingangsdatum van de beëindiging aan de Klant terugbetalen.
Beveiligingsmaatregelen en reactie op beveiligingsincidenten
Beveiligingsmaatregelen. Roomchecking heeft passende technische en organisatorische beveiligingsmaatregelen geïmplementeerd en zal deze handhaven, die bedoeld zijn om de Persoonlijke Gegevens van de Klant te beschermen tegen Beveiligingsincidenten en om de veiligheid en vertrouwelijkheid van de Persoonlijke Gegevens van de Klant te behouden in overeenstemming met de beveiligingsmaatregelen beschreven in Bijlage 2 ("Beveiligingsmaatregelen"). De Klant erkent dat de Beveiligingsmaatregelen onderhevig zijn aan technische vooruitgang en ontwikkeling en dat Roomchecking de Beveiligingsmaatregelen van tijd tot tijd kan bijwerken of wijzigen, mits dergelijke updates en wijzigingen niet leiden tot een verslechtering van de algehele beveiliging van de Dienst die aan de Klant wordt verleend.
Personeel. Roomchecking beperkt haar personeel in het verwerken van Persoonsgegevens van de Klant zonder toestemming van Roomchecking, zoals uiteengezet in de Beveiligingsmaatregelen, en zal ervoor zorgen dat elke persoon die door Roomchecking wordt geautoriseerd om Persoonsgegevens van de Klant te verwerken, onder een passende geheimhoudingsplicht valt.
Verantwoordelijkheden van de klant.
De Klant stemt ermee in dat, behalve zoals bepaald in deze DPA, de Klant verantwoordelijk is voor het veilige gebruik van de Service, met inbegrip van het beveiligen van zijn accountverificatiegegevens, het beschermen van de beveiliging van Persoonlijke Gegevens van de Klant die worden verzonden via de systemen die hij beheert en onderhoudt (d.w.z. e-mailcodering), en het nemen van alle passende stappen om Persoonlijke Gegevens van de Klant die naar de Service zijn geüpload, veilig te coderen of er een back-up van te maken.
Respons bij beveiligingsincidenten.
Bij het bekend worden van een Beveiligingsincident zal Roomchecking de Klant zonder onnodige vertraging en in ieder geval binnen tweeënzeventig (72) uur na het bekend worden hiervan op de hoogte stellen. Roomchecking zal informatie met betrekking tot het Beveiligingsincident direct aan de Klant verstrekken zodra dit bekend wordt of zoals redelijkerwijs door de Klant wordt verzocht om te voldoen aan de verplichtingen van de Klant als controller. Roomchecking zal ook passende en redelijke stappen ondernemen om een beveiligingsincident in te dammen, te onderzoeken en te beperken.
Audit en registratie.
Audit Rechten. Roomchecking zal alle informatie die in het bezit of beheer is van Roomchecking beschikbaar stellen aan de Klant en alle assistentie verlenen in verband met audits van de gebouwen, systemen en documentatie van Roomchecking waar de Klant redelijkerwijs om kan verzoeken om de Klant in staat te stellen de naleving van deze DPA door Roomchecking te beoordelen. De Klant erkent en stemt ermee in dat hij zijn auditrechten onder deze DPA (inclusief dit Artikel 5 en, indien van toepassing, de modelclausules) zal uitoefenen door Roomchecking te instrueren om te voldoen aan de auditmaatregelen beschreven in de Beveiligingsmaatregelen en Artikel 5.2 hieronder.
Auditprocedures.
Indien vereist onder enige toepasselijke wetgeving op het gebied van gegevensbescherming of indien een gegevensbeschermingsautoriteit dit eist onder toepasselijke wetgeving op het gebied van gegevensbescherming, kan de Klant, na het geven van een voorafgaande schriftelijke kennisgeving van ten minste dertig (30) dagen, verzoeken dat het personeel van de Klant of een derde partij (op kosten van de Klant) een audit uitvoert van de faciliteiten, apparatuur, documenten en elektronische gegevens van Roomchecking met betrekking tot de verwerking van Persoonsgegevens van de Klant onder de Hoofdovereenkomst, voor zover dit nodig is om de naleving van deze DPA door Roomchecking te inspecteren en/of te controleren, op voorwaarde dat: (i) de Klant dit recht niet meer dan één keer per kalenderjaar zal uitoefenen; (ii) dergelijke aanvullende controleonderzoeken geen onredelijke negatieve invloed hebben op de reguliere activiteiten van Roomchecking en niet onverenigbaar blijken te zijn met de toepasselijke wetgeving inzake gegevensbescherming of met de instructies van de relevante gegevensbeschermingsautoriteit; en (iii) voor het begin van een dergelijke aanvullende audit, zullen de partijen wederzijds overeenstemming bereiken over de omvang, timing en duur van de audit, en (iv) te allen tijde tijdens de reikwijdte van de audit zullen de Klant en eventuele aangewezen derden voldoen aan het beleid, de procedures en redelijke instructies van Roomchecking met betrekking tot de toegang tot haar systemen en faciliteiten, met inbegrip van het beperken of verbieden van toegang tot informatie die vertrouwelijke informatie is. Zonder afbreuk te doen aan het voorgaande, zal Roomchecking alle bijstand verlenen die redelijkerwijs door de Klant wordt gevraagd om aan het verzoek van de Klant tegemoet te komen.
Gegevensoverdracht.
De Klant erkent en stemt ermee in dat Roomchecking Persoonsgegevens van de Klant kan overdragen en verwerken naar en in de Verenigde Staten en andere locaties waar Roomchecking, haar Filialen of haar Subverwerkers gegevensverwerkingsactiviteiten uitvoeren, zoals meer in het bijzonder beschreven in de Subverwerkersite (hierboven gedefinieerd). Roomchecking zal ervoor zorgen dat dergelijke overdrachten plaatsvinden in overeenstemming met de Wet Bescherming Persoonsgegevens en deze DPA.
Teruggave of verwijdering van gegevens.
Op verzoek van de Klant, of binnen honderdtachtig (180) dagen na beëindiging of afloop van de Hoofdovereenkomst, zal Roomchecking Persoonlijke Gegevens van de Klant die in haar bezit of beheer zijn, verwijderen of retourneren. Deze eis is niet van toepassing voor zover Roomchecking verplicht is door de toepasselijke wetgeving om sommige of alle Persoonsgegevens van de Klant te bewaren, of voor Persoonsgegevens van de Klant die het heeft gearchiveerd op back-up systemen, welke Persoonsgegevens van de Klant Roomchecking veilig zal isoleren en beschermen tegen enige verdere verwerking, behalve voor zover vereist door dergelijke wetten.
Samenwerking
Data Subject Rights Requests. Roomchecking zal, rekening houdend met de aard van de verwerking, de Klant redelijkerwijs assisteren bij het reageren op verzoeken van individuen of toepasselijke gegevensbeschermingsautoriteiten met betrekking tot de verwerking van Persoonsgegevens van de Klant onder de Hoofdovereenkomst. In het geval dat een dergelijk verzoek rechtstreeks aan Roomchecking wordt gedaan, zal Roomchecking niet rechtstreeks op dergelijke communicatie reageren (behalve om de betrokkene te verwijzen naar de Klant) zonder voorafgaande toestemming van de Klant, tenzij Roomchecking daartoe wettelijk wordt gedwongen. Als Roomchecking op een dergelijk verzoek moet reageren, zal Roomchecking de Klant onmiddellijk op de hoogte stellen en een kopie van het verzoek verstrekken, tenzij dit wettelijk verboden is.
Verzoeken door wetshandhavers. In het algemeen geeft Roomchecking overheidsinstanties of autoriteiten (inclusief wetshandhaving) niet vrijwillig toegang tot Persoonlijke Gegevens van Klanten. Als een overheidsinstantie of autoriteit (inclusief wetshandhaving) Roomchecking een verplicht verzoek stuurt voor Persoonsgegevens van Klanten (bijvoorbeeld door middel van een dagvaarding, gerechtelijk bevel, huiszoekingsbevel of ander geldig juridisch proces), zal Roomchecking: (i) de overheidsinstantie informeren dat Roomchecking een verwerker of dienstverlener (zoals van toepassing van de Persoonsgegevens van de Klant) is en (ii) proberen de wetshandhavingsinstantie om te leiden om de Persoonsgegevens van de Klant rechtstreeks bij de Klant op te vragen. Als onderdeel van deze inspanning kan Roomchecking de basis contactgegevens van de Klant aan de wetshandhavingsinstantie verstrekken. Als Roomchecking wordt gedwongen Persoonlijke Gegevens van de Klant te openbaren aan een wetshandhavingsinstantie, zal Roomchecking de Klant redelijkerwijs op de hoogte stellen van de eis, zodat de Klant een beschermingsbevel of een andere passende oplossing kan aanvragen, tenzij Roomchecking wettelijk verboden is dit te doen, of als Roomchecking redelijkerwijs en te goeder trouw gelooft dat dringende toegang noodzakelijk is om een dreigend risico van ernstige schade aan een individu, de openbare veiligheid, of het eigendom, product of diensten van Roomchecking te voorkomen. Roomchecking zal geen toegang verlenen tot de Persoonsgegevens van de Klant totdat: (a) de Klant toestemming geeft aan Roomchecking; (b) Roomchecking op de hoogte is gesteld of bevestigd heeft gekregen dat er een beschermingsbevel of een ander passend rechtsmiddel wordt gevraagd of is uitgevaardigd; of (c) er dertig (30) dagen zijn verstreken sinds de Klant op de hoogte is gesteld van het verplichte verzoek en de Klant niet heeft gereageerd.
Data Protection Impact Assessments (DPIA's). Voor zover vereist onder gegevensbeschermingswetgeving die van toepassing is op de EER, zal Roomchecking gevraagde informatie over de Dienst verstrekken die nodig is om de Klant in staat te stellen gegevensbeschermingseffectbeoordelingen en voorafgaand overleg met gegevensbeschermingsautoriteiten uit te voeren.
Europa
Toepassingsgebied. De voorwaarden in dit Artikel 9 zijn alleen van toepassing indien en voor zover de Klant is gevestigd in de EER of de Persoonsgegevens van de Klant anderszins zijn onderworpen aan de Gegevensbeschermingswetgeving die van toepassing is op de EER.
Verwerkingsinstructies. Zonder afbreuk te doen aan Sectie 2.4 (Verantwoordelijkheden van de Klant), zal Roomchecking de Klant schriftelijk op de hoogte stellen, tenzij dit verboden is onder de Wet Bescherming Persoonsgegevens, als zij zich bewust wordt of van mening is dat een verwerkingsinstructie van de Klant in strijd is met de toepasselijke Wet Bescherming Persoonsgegevens.
Overdrachtsmechanisme. Voor zover Roomchecking een ontvanger is van Persoonsgegevens van de Klant die afkomstig zijn uit de EER in een land dat geen passend beschermingsniveau biedt onder de toepasselijke wetgeving inzake gegevensbescherming, komen de partijen overeen dat Roomchecking dergelijke Persoonsgegevens van de Klant zal naleven en verwerken in overeenstemming met de modelclausules, die zijn opgenomen in en een integraal onderdeel vormen van deze DPA. Voor de toepassing van de modelclausules komen de partijen overeen dat: (i) Roomchecking een "gegevensimporteur" is en de Klant de "gegevensexporteur" (ondanks het feit dat de Klant een entiteit kan zijn die buiten de EER is gevestigd); en (ii) het niet de intentie van een partij is om tegenstrijdig te zijn met of beperkingen op te leggen aan een van de bepalingen in de modelbepalingen en, dienovereenkomstig, als en voor zover de modelbepalingen in strijd zijn met een bepaling van de Hoofdovereenkomst (inclusief deze DPA) de modelbepalingen zullen prevaleren voor zover van een dergelijk conflict.
Modelbepalingen. In het kader van de modelclausules geldt het volgende: (i) in Clausule 7 is de optionele Roomchecking-clausule van toepassing; (ii) in Clausule 9 van Module Twee is Optie 2 van toepassing en wordt de termijn voor voorafgaande kennisgeving van Subverwerkerwijzigingen geïdentificeerd in Sectie 3.2 van deze DPA; (iii) in clausule 11 is de optionele taal niet van toepassing; (iv) in clausule 17 is optie 1 van toepassing en op de clausules 2021 tussen controller en verwerker is het Ierse recht van toepassing; (v) in clausule 18(b) worden geschillen beslecht door de Ierse rechtbanken; (vi) Bijlage I wordt geacht te zijn aangevuld met de informatie in Bijlage 1 (Gegevens betreffende de verwerking) van deze DPA; en (vii) Bijlage II wordt geacht te zijn aangevuld met de informatie in Bijlage 2 (Beveiligingsmaatregelen) (indien van toepassing) van deze DPA; en Bijlage 3 (Subverwerkers) wordt geacht te zijn aangevuld met de informatie in Bijlage 3 van deze DPA.
Alternatieve regelingen voor gegevensoverdracht. Voor zover Roomchecking een alternatief gegevensexportmechanisme aanneemt (inclusief een nieuwe versie of opvolger van de modelclausules die zijn aangenomen op grond van de wetgeving inzake gegevensbescherming) voor de overdracht van persoonsgegevens ("Alternatief overdrachtmechanisme"), is het Alternatieve overdrachtmechanisme automatisch van toepassing in plaats van elk overdrachtmechanisme dat in deze DPA wordt beschreven (maar alleen voor zover een dergelijk Alternatief overdrachtmechanisme voldoet aan de wetgeving inzake gegevensbescherming die van toepassing is op de EER en zich uitstrekt tot gebieden waarnaar Persoonsgegevens van Klanten worden overgedragen).
UK Data Transfers. Roomchecking verwerkt Klantgegevens die afkomstig zijn uit het VK in overeenstemming met de voorwaarden in Bijlage 4 van deze Overeenkomst.
Controller Affiliates
Affiliatecommunicatie.
De Klant is verantwoordelijk voor het coördineren van alle communicatie met Roomchecking namens de Filialen met betrekking tot deze DPA. De Klant verklaart dat hij gemachtigd is om instructies te geven en alle communicatie met betrekking tot deze DPA namens zijn Filialen te maken en te ontvangen.
Handhaving van Filialen.
Filialen van de Klant kunnen de voorwaarden van deze DPA rechtstreeks tegen Roomchecking afdwingen, met inachtneming van de volgende bepalingen:
Klant zal elke juridische actie, rechtszaak, claim, of procedure die de Affiliate anders zou hebben als deze partij zou zijn bij de Hoofdovereenkomst (elk een "Affiliate Claim") rechtstreeks tegen Roomchecking instellen namens een dergelijke Affiliate, behalve wanneer Gegevensbeschermingswetten waaraan de desbetreffende Affiliate is onderworpen vereisen dat de Affiliate een dergelijke Affiliate Claim instelt of daarbij partij is; en voor het doel van een Affiliate Claim die rechtstreeks tegen Roomchecking wordt ingesteld door Klant namens een dergelijke Affiliate in overeenstemming met deze Sectie, kunnen alle verliezen die door de desbetreffende Affiliate worden geleden, worden beschouwd als verliezen die door Klant worden geleden.
Beperking van aansprakelijkheid
In geen geval zal een partij haar aansprakelijkheid beperken met betrekking tot de rechten van een individu op het gebied van gegevensbescherming onder deze DPA of anderszins.
Claims of rechtsmiddelen die de Klant of zijn Filialen kunnen hebben tegen Roomchecking en zijn respectievelijke werknemers, agenten of Subverwerkers voortvloeiend uit of in verband met deze DPA, inclusief: (i) voor schending van deze DPA; (ii) als gevolg van boetes (administratief, regelgevend of anderszins) opgelegd aan de Klant; (iii) onder GDPR (of UK GDPR), met inbegrip van claims met betrekking tot schadevergoeding betaald aan een betrokkene; en (iv) schending van zijn verplichtingen onder de modelclausules, zal onderworpen zijn aan alle bepalingen voor beperking en uitsluiting van aansprakelijkheid (met inbegrip van een overeengekomen totale financiële bovengrens) die van toepassing zijn onder de Hoofdovereenkomst.
Om twijfel te voorkomen, geldt de totale totale aansprakelijkheid van Roomchecking en haar Gelieerde Ondernemingen voor alle claims van de Klant en haar Gelieerde Ondernemingen die voortvloeien uit of verband houden met de Hoofdovereenkomst en elke DPA in het totaal voor alle claims onder de Hoofdovereenkomst en deze DPA samen, inclusief door de Klant en haar Gelieerde Ondernemingen.
RESTRICTIES
Het is Roomchecking verboden om:
Persoonsgegevens van klanten te verkopen;
Persoonsgegevens van klanten te bewaren, te gebruiken of openbaar te maken voor andere doeleinden dan de specifieke doeleinden van het verlenen van de Dienst of zoals anderszins is toegestaan onder de Hoofdovereenkomst en deze DPA, waaronder het bewaren, gebruiken of openbaar maken van Persoonsgegevens van klanten voor een commercieel doel anders dan het verlenen van de Dienst; of
Persoonsgegevens van klanten te bewaren, te gebruiken of openbaar te maken buiten de directe zakelijke relatie tussen Roomchecking en de Klant.
Roomchecking verklaart hierbij dat zij de beperkingen zoals uiteengezet in artikel 12.1 begrijpt en zich hieraan zal houden.
Algemeen
Tussen de Klant en Roomchecking is deze DPA opgenomen in en onderworpen aan de voorwaarden van de Hoofdovereenkomst en zal van kracht zijn en van kracht blijven voor de duur van de Hoofdovereenkomst of de duur van de Dienst. In het geval van tegenstrijdigheden tussen de voorwaarden van deze DPA en de voorwaarden van de Hoofdovereenkomst, prevaleren de voorwaarden van deze DPA voor zover het onderwerp betrekking heeft op de verwerking van Persoonsgegevens van Klanten.
Elke partij erkent dat de andere partij de Modelclausules, deze DPA en alle privacygerelateerde bepalingen in de Hoofdovereenkomst op verzoek openbaar mag maken aan een regelgevende of toezichthoudende autoriteit.
Niettegenstaande iets anders in de Hoofdovereenkomst en zonder afbreuk te doen aan Sectie 2.3, kan Roomchecking periodiek de voorwaarden van deze DPA wijzigen.3, kan Roomchecking periodiek wijzigingen aanbrengen in deze DPA die nodig kunnen zijn om te voldoen aan de Wet Bescherming Persoonsgegevens.
Aan deze DPA kunnen geen rechten worden ontleend ten gunste van derden, het is uitsluitend bedoeld ten gunste van de partijen hierbij, hun respectievelijke toegestane opvolgers en rechtverkrijgenden, en het is niet ten gunste van, noch kan enige bepaling hiervan worden afgedwongen door, enige andere persoon.
Anders dan vereist door de modelclausules, zijn de geschillenmechanismen, inclusief die met betrekking tot locatie en jurisdictie, zoals uiteengezet in de Hoofdovereenkomst van toepassing op geschillen met betrekking tot deze DPA.
BIJLAGE 1
DETAILS VAN VERWERKING
A. LIJST VAN PARTIJEN
Gegevensexporteur:
Naam: De entiteit die als "Klant" wordt vermeld in het toepasselijke Bestelformulier en/of de Hoofdovereenkomst
Adres: Het adres dat vermeld staat op het bestelformulier.
Naam, functie en contactgegevens van de contactpersoon: Het contactpunt dat vermeld staat op een toepasselijk Opdrachtformulier of de Hoofdovereenkomst.
Activiteiten die relevant zijn voor de gegevens die onder deze Clausules worden overgedragen: Ontvangen van Roomchecking Services zoals gespecificeerd in de Hoofdovereenkomst en het Bestelformulier.
Handtekening en datum: Door ondertekening van de Hoofdovereenkomst of een Toepasselijk Opdrachtformulier gaat de Klant ermee akkoord gebonden te zijn aan deze Gegevensverwerkingsovereenkomst.
Rol (controller/verwerker): Controller.
Gegevensimporteur(s):
Naam: Roomchecking SaS
Adres: 137 rue Dalayrac, 94120 Fontenay sous bois
Naam, functie en contactgegevens van de contactpersoon: Jonathan Weizman, CEO, jweizman@roomchecking.com
Activiteiten die relevant zijn voor de gegevens die onder deze Clausules worden overgedragen: Het leveren van Roomchecking Diensten aan Klant zoals gespecificeerd in de Hoofdovereenkomst en het toepasselijke Bestelformulier.
Handtekening en datum: Door het ondertekenen van de Hoofdovereenkomst of een Toepasselijke Bestelformulier, gaat Roomchecking ermee akkoord gebonden te zijn aan deze Gegevensverwerkingsovereenkomst.
Rol (controller/processor): Processor
B. BESCHRIJVING VAN DE OVERDRACHT
Categorieën van betrokkenen van wie persoonsgegevens worden doorgegeven
Klanten van Roomchecking en werknemers van klanten van Roomchecking.
Categorieën van doorgegeven persoonlijke gegevens
De informatie zoals gespecificeerd in het Privacybeleid van Roomchecking.
Gevoelige gegevens die worden doorgegeven (indien van toepassing) en toegepaste beperkingen of waarborgen die volledig rekening houden met de aard van de gegevens en de risico's, zoals bijvoorbeeld een strikte beperking van het doel, toegangsbeperkingen (waaronder toegang alleen voor personeel dat een gespecialiseerde opleiding heeft gevolgd), registratie van de toegang tot de gegevens, beperkingen voor verdere doorgifte of aanvullende beveiligingsmaatregelen.
N.V.T.
De frequentie van de overdracht (bijvoorbeeld of de gegevens eenmalig of doorlopend worden overgedragen).
Doorlopend.
Aard van de verwerking
Software as a Service voor collaboratieve online werkruimten.
Doel(en) van de gegevensoverdracht en verdere verwerking
Om de Roomchecking Software als een Service aan te bieden aan Klanten.
De periode gedurende welke de persoonsgegevens worden bewaard, of, als dat niet mogelijk is, de criteria die zijn gebruikt om die periode te bepalen
Vanaf de Ingangsdatum van de Hoofdovereenkomst tot aan de beëindiging daarvan.
Bij doorgifte aan (sub)verwerkers ook onderwerp, aard en duur van de verwerking specificeren
Vanaf de Ingangsdatum van de Hoofdovereenkomst tot aan de beëindiging daarvan.
C. BEVOEGDE TOEZICHTHOUDENDE AUTORITEIT
Identificeer de bevoegde toezichthoudende autoriteit(en) volgens Clausule 13
De toezichthoudende autoriteit van een van de lidstaten waar de betrokkenen wier persoonsgegevens krachtens deze bepalingen worden doorgegeven in verband met het aanbieden van goederen of diensten aan hen, of wier gedrag wordt gecontroleerd, zich bevinden, treedt op als bevoegde toezichthoudende autoriteit.
BIJLAGE 2
VEILIGHEIDSMAATREGELEN
De technische en organisatorische maatregelen die Roomchecking heeft geïmplementeerd (inclusief eventuele relevante certificeringen) om een passend beveiligingsniveau te waarborgen, rekening houdend met de aard, omvang, context en doeleinden van de verwerking en de risico's voor de rechten en vrijheden van natuurlijke personen, zijn als volgt:
Encryptie van persoonlijke gegevens
- Gegevens in rust versleuteld met algoritme AES-256.
- De laptops van werknemers worden versleuteld met AES-256-versleuteling over de volledige schijf.
- HTTPS-encryptie op elke webinlogininterface, met behulp van algoritmen en certificaten volgens de industrienorm.
- Beveiligde verzending van referenties met standaard TLS 1.2.
- Toegang tot operationele omgevingen vereist het gebruik van veilige protocollen zoals HTTPS.
- Gegevens die zich in Microsoft Azure (Azure) bevinden, worden in rust versleuteld zoals vermeld in de documentatie en whitepapers van Azure. In het bijzonder worden Azure-instanties en -volumes gecodeerd met AES-256. Encryptiesleutels via Azure Key Management Service (KMS) zijn beschermd door IAM-rollen en worden beschermd door Azure HSM gecertificeerd volgens FIPS 140-2.
Maatregelen om ervoor te zorgen dat de beschikbaarheid van en toegang tot persoonsgegevens tijdig kan worden hersteld in geval van een fysiek of technisch incident
- Sterke toegangscontroles gebaseerd op het gebruik van het 'Principle of Least Privilege'.
- Gedifferentieerd rechtensysteem gebaseerd op beveiligingsgroepen en toegangscontrolelijsten.
- Werknemer krijgt alleen toegang die nodig is om de taken uit te voeren.
- Unieke accounts en rolgebaseerde toegang binnen operationele en bedrijfsomgevingen.
- Toegang tot systemen beperkt door beveiligingsgroepen en toegangscontrolelijsten.
- Autorisatieverzoeken worden bijgehouden, gelogd en regelmatig gecontroleerd.
- Verwijdering van toegang voor werknemer bij beëindiging of verandering van dienstverband.
- Handhaving van Multi-factor Authenticatie (MFA) voor toegang tot kritieke en productiebronnen.
- Sterke en complexe wachtwoorden vereist. Initiële wachtwoorden moeten worden gewijzigd na de eerste keer inloggen.
- Wachtwoorden worden nooit onversleuteld opgeslagen en worden onderweg en in rust versleuteld.
- Processen voor provisionering en de-provisionering van accounts.
- Automatische accountvergrendeling.
- Scheiding van verantwoordelijkheden en taken om de kans op ongeoorloofde of onbedoelde wijzigingen of misbruik te verkleinen.
- Vertrouwelijkheidsvereisten opgelegd aan werknemers.
- Verplichte beveiligingstrainingen voor werknemers, die betrekking hebben op gegevensprivacy en -beheer, gegevensbescherming, vertrouwelijkheid, social engineering, wachtwoordbeleid en algemene beveiligingsverantwoordelijkheden binnen en buiten Roomchecking.
- Geheimhoudingsovereenkomsten met derden.
- Scheiding van netwerken op basis van vertrouwensniveaus.
Processen voor het regelmatig testen, beoordelen en evalueren van de effectiviteit van technische en organisatorische maatregelen om de veiligheid van de verwerking te waarborgen
Gebeurtenismeldingen zijn ingeschakeld en beschikbaar voor klanten in hun Roomchecking instance. Deze rapporten kunnen periodiek worden gedownload.
Gebruikersactiviteiten, waaronder logins, configuratiewijzigingen, verwijderingen en updates worden automatisch weggeschreven naar auditlogs in operationele systemen.
Bepaalde activiteiten op Roomchecking zijn niet direct beschikbaar voor klanten, zoals tijdstempels, IP's, login/logouts en fouten. Deze logs zijn alleen beschikbaar voor geautoriseerde werknemers, opgeslagen buiten het systeem en beschikbaar voor veiligheidsonderzoeken.
Alle logs zijn alleen toegankelijk voor geautoriseerde Roomchecking werknemers en er zijn toegangscontroles om ongeautoriseerde toegang te voorkomen.
Schrijftoegang tot loggegevens is strikt verboden. Log faciliteiten en log informatie zijn beschermd tegen knoeien en ongeautoriseerde toegang door het gebruik van toegangscontroles en veiligheidsmaatregelen.
Netwerk segmentatie en interconnecties beschermd door firewalls.
Jaarlijkse penetratie testen voor alle onderdelen van de Roomchecking SaaS, inclusief web en mobiele applicaties.
Maatregelen voor gebruikersidentificatie en autorisatie
Toegang tot operationele en productieomgevingen wordt beschermd door het gebruik van unieke gebruikersaccounts, sterke wachtwoorden, het gebruik van Multi-Factor Authentication (MFA), rolgebaseerde toegang en het least privilege principe.
Autorisatieverzoeken en provisioning worden gelogd, bijgehouden en gecontroleerd.
Door klanten gegenereerde OAuth tokens worden versleuteld opgeslagen.
Sleutels die nodig zijn voor het ontsleutelen van deze geheimen worden opgeslagen in een veilige, beheerde opslagplaats die gebruikmaakt van toonaangevende hardwarebeveiligingsmodellen die voldoen aan de toepasselijke regelgevings- en nalevingsverplichtingen of deze overtreffen.
Toegangssleutels die worden gebruikt door productietoepassingen van Roomchecking zijn alleen toegankelijk voor bevoegd personeel. Ze worden geroteerd (gewijzigd) als dat nodig is (bijvoorbeeld op grond van een beveiligingsadvies of vertrek van personeel) en ten minste eenmaal per jaar.
Gebruikersactiviteiten in operationele omgevingen, waaronder toegang tot, wijziging of verwijdering van gegevens, worden bijgehouden.
Web Application Firewall (WAF), in aanvulling op de netwerkgebaseerde firewalls.
Maatregelen voor de bescherming van gegevens tijdens verzending
HTTPS-encryptie voor gegevens in doorvoer (met TLS 1.2 of hoger).
Maatregelen voor de bescherming van gegevens tijdens opslag
De klanteninstanties van Roomchecking zijn logisch gescheiden en pogingen om toegang te krijgen tot gegevens buiten de toegestane domeingrenzen worden voorkomen en gelogd. Er zijn maatregelen getroffen om ervoor te zorgen dat uitvoerbare uploads, code of onbevoegde actoren geen toegang krijgen tot onbevoegde gegevens - inclusief toegang van de ene klant tot bestanden van een andere klant.
Beveiligingssoftware voor endpoints
Systeeminvoer vastgelegd via logbestanden
Toegangscontrolelijsten (ACL)
Multi-factorauthenticatie (MFA)
Maatregelen om ervoor te zorgen dat gebeurtenissen worden gelogd
Loggen op afstand
Een centraal SIEM-systeem (Security Information and Event Management) en andere producttools bewaken de beveiliging of activiteiten
Maatregelen voor het waarborgen van de systeemconfiguratie, inclusief standaardconfiguratie
Roomchecking heeft een beleid voor wijzigingsbeheer.
Roomchecking houdt toezicht op wijzigingen in systemen binnen de scope om ervoor te zorgen dat wijzigingen het proces volgen en om het risico van onopgemerkte wijzigingen in de productie te beperken. Wijzigingen worden bijgehouden in ons wijzigingsplatform.
Beleid en procedures voor toegangscontrole
Maatregelen om gegevensminimalisatie te garanderen
Er worden gedetailleerde privacybeoordelingen uitgevoerd met betrekking tot de implementatie van nieuwe producten/diensten en de verwerking van persoonsgegevens door derden.
Het verzamelen van gegevens is beperkt tot de doeleinden van de verwerking (of de gegevens die de klant verkiest te verstrekken).
Er zijn beveiligingsmaatregelen getroffen om alleen de minimale hoeveelheid toegang te verlenen die nodig is om de vereiste functies uit te voeren.
Beperking van de bewaartermijnen en
Er is een automatische verwijdering geïmplementeerd om de bewaartermijnen van gegevens af te dwingen (zie hieronder bij Maatregelen voor het waarborgen van beperkte gegevensbewaring).
Alle verwijderde klantgegevens volgen een vergelijkbaar bewaarschema van een herstelbare verwijdering tussen 0-90 dagen en een permanente verwijdering binnen 91- 180 dagen.
Beperk de toegang tot persoonsgegevens tot de partijen die betrokken zijn bij de verwerking volgens het "need to know"-principe en volgens de functie achter het aanmaken van gedifferentieerde toegangsprofielen.
Maatregelen om de kwaliteit van de gegevens te waarborgen
Roomchecking heeft een proces waarmee individuen hun privacyrechten kunnen uitoefenen (inclusief het recht om informatie te wijzigen en bij te werken), zoals beschreven in het Privacybeleid van Roomchecking.
Applicaties zijn ontworpen om duplicatie te verminderen/voorkomen. Er zijn veel controles op applicatieniveau om de integriteit van gegevens te waarborgen.
QA team dat helpt om ervoor te zorgen dat deze items werken zoals ontworpen en geïmplementeerd voordat ze onze productieomgeving bereiken.
Maatregelen voor het waarborgen van beperkte dataretentie
Na beëindiging van alle abonnementen die zijn gekoppeld aan een omgeving, worden klantgegevens die zijn ingediend bij de Services gedurende 60 dagen inactief bewaard binnen de Services, waarna ze veilig worden overschreven of verwijderd uit de productie binnen 90 dagen (tot een maximum van 180 dagen) en uit back-ups binnen 180 dagen.
Alle verwijderde klantgegevens volgen een vergelijkbaar bewaarschema van een herstelbare verwijdering tussen 0-90 dagen en een permanente verwijdering binnen 91- 180 dagen.
Maatregelen voor het waarborgen van verantwoordelijkheid
Klantprivacybeoordelingen zijn vereist bij de introductie van nieuwe producten/diensten waarbij persoonsgegevens worden verwerkt.
Effectbeoordelingen van gegevensbescherming maken deel uit van elk nieuw verwerkingsinitiatief.
Maatregelen voor het toestaan van gegevensportabiliteit en het garanderen van het wissen van gegevens.
Mogelijkheid om gegevens te exporteren naar JSON-formaat
Roomchecking heeft een proces waarmee individuen hun privacyrechten kunnen uitoefenen (bijv. recht op wissen of recht op gegevensoverdraagbaarheid), zoals beschreven in het Privacybeleid van Roomchecking.
BIJLAGE 3
SUBPROCESSOREN
Pendo
Productanalyse
https://clarity.microsoft.com//
Cloud hosting en gegevensopslag
https://azure.Microsoft.com/
EU
Poststempel
Levering per e-mail
https://postmarkapp.com/
GitHub
Beheer van problemen
https://github.com/
Gist
Klantenondersteuning
https://www.getgist.com/
Weefgetouw
Video delen
https://www.loom.com/
Slack
Interne communicatie
slack.com