CoachCare GDPR Databeskyttelse VEDLÆGCoachCare

Dette databeskyttelse vedlæg ("Addendum") er en del af Master Subscription Agreement ("Hovedaftale") mellem: (i) CoachCare som defineret i Hovedaftalen ("CoachCare"); og (ii) du som defineret i Hovedaftalen ("dig" eller "din"), når GDPR gælder for dit brug af Tjenesterne, som defineret i Hovedaftalen, for at behandle dine personlige data.

Begreberne i dette Vedlæg skal have de betydninger, der er angivet i dette Vedlæg. Aktiverede Vilkår, der ikke er defineret heri, skal have den betydning, de har givet dem i Hovedaftalen. Medmindre andet er ændret nedenfor, vil vilkårene i Hovedaftalen forblive gældende.

I betragtning af de gensidige forpligtelser, der er fastsat heri, er parterne hermed enige om, at betingelserne og nedenstående betingelser indsættes som et vedlæg til Hovedaftalen. Undtagen hvor Konteksten kræver ellers henvisninger til dette tillæg til Hovedaftalen som ændret af og med dette vedlæg.

1. Definitioner

1.1 I denne tilføjelse skal følgende udtryk have de nedenfor anførte betydninger og de beslægtede Vilkår skal fortolkes i overensstemmelse hermed:

1.1.1 "Gældende love": a) EU-lovgivning eller medlemsstaters lovgivning med hensyn til nogen af dine personlige data, for hvilke du er underlagt EU's databeskyttelseslove; og (b) enhver anden gældende lov med hensyn til dine personlige data i som du er underlagt andre databeskyttelseslove til.
1.1.2 "Dine personlige data" betyder alle Personlige Data behandlet af en Aftalt Processor på vegne af dig eller dine kunder i henhold til eller i forbindelse med aftalen
1.1.3 "Aftalt Processor" betyder CoachCare eller en Underprocessor;
1.1.4 "Databeskyttelseslove" betyder EU-databeskyttelseslove og, i det omfang det er relevant for Databeskyttelses- eller privatlivslovgivningen i ethvert andet land;
1.1.5 EØS: Det Europæiske Økonomiske Samarbejdsområde
1.1.6 "EU-databeskyttelseslove": GDPR og love, der gennemfører eller supplerer GDPR;
1.1.7 "GDPR" betyder EU's generelle databeskyttelsesforordning 2016/679;
1.1.8 "Begrænset overførsel" betyder:
- 1.1.8.1 En overførsel af dine personlige data fra dig til en kontraheret processor eller
- 1.1.8.2 En videre overførsel af dine personlige data fra en kontraheret processor til en kontraheret processor eller mellem to kontraherende virksomheder Processor,
I ethvert tilfælde, hvor en sådan overførsel ville være forbudt ved databeskyttelseslove (eller ved vilkårene for dataoverførselsaftaler indføres for at imødegå dataoverførslens restriktioner af databeskyttelseslove) i mangel af standardkontraktens klausuler, der skal oprettes i henhold til afsnit 5.4.3 eller 11 nedenfor
1.1.9 "Tjenester": De tjenester og andre aktiviteter, der skal leveres til/eller udføres af eller på vegne af CoachCare for dig i henhold til hovedaftalen;
1.1.10 "Kontraktklausuler": de kontraktmæssige bestemmelser, der er fastsat i bilag 3, ændret som angivet (i firkantede parenteser og kursiv) i det bilag og under afsnit 12,4;
1.1.11 "Underprocessor" betyder enhver person (herunder tredjepart, men undtagen en medarbejder hos CoachCare eller en af dens underleverandører) udpeget af eller på vegne af CoachCare behandler personlige data på vegne af dig i forbindelse med hovedpersonen Aftale; og

1.2 Vilkårene, "Kommissionen", "Kontrollør", "Database" "Medlemsstat", "Personlige data", "Brud på personlige data" "Behandling" og "Tilsynsmyndighed" skal have den samme betydning som i GDPR, og deres kognitive vilkår skal fortolkes i overensstemmelse hermed.

1.3 Ordet "inkluder" (”include”) skal fortolkes til at omfatte uden begrænsning og sammenhængende udtryk skal fortolkes i overensstemmelse hermed.

2. Behandling af dine personlige data

2.1 Dette tillæg gælder, når dine personlige data behandles af CoachCare. I denne sammenhæng vil CoachCare fungere som Processor til dig, der kan handle enten som kontrollør eller processor i forbindelse med respekt af dine personlige data.

2.2 CoachCare skal:

2.2.1 overholde alle gældende databeskyttelseslove i behandlingen af dine personlige data; og
2.2.2 ikke behandle dine personlige data andet end på dine dokumenterede instruktioner, medmindre Behandling er påkrævet i henhold til gældende love, som den relevante aftaleprocessor har underlagt, i hvilket tilfælde CoachCare skal i det omfang, det er tilladt i henhold til gældende love underrette dig om dette lovkrav inden for den pågældende behandling af den pågældende persons data.

2.3 Du skal instruere CoachCare (og autorisere CoachCare til at instruere hver underprocessor) til:

2.3.1 Behandle dine personlige data; og
2.3.2 overføre dine personlige data til ethvert land eller territorium

Som det er rimeligt nødvendigt for levering af Tjenesten og i overensstemmelse med en Principel Aftale.

2.4 Bilag 1 til denne tilføjelse indeholder visse oplysninger om de aftalte processorer. Behandling af dine personoplysninger som krævet i artikel 28, stk. 3, i GDPR (og eventuelt, tilsvarende krav i andre databeskyttelseslove). Du kan foretage rimelige ændringer i bilag 1 ved skriftlig notifikation til CoachCare fra tid til anden som de med rimelighed anser det for nødvendigt at opfylde disse krav. Intet i bilag 1 (herunder som ændret 2 i medfør af dette afsnit 2.3) giver nogen ret til/eller pålægger nogen part heri tillæg.

3. CoachCare Personale

CoachCare skal foretage kommercielt rimelige valg for at sikre medarbejdernes pålidelighed, agent eller entreprenør af en kontrakt, der har adgang til dine personlige data, sikre i hvert tilfælde, at adgang er strengt begrænset til de personer, der har brug for at vide/få adgang til dine personlige data, som er relevante, som det er strengt nødvendigt med henblik på Hovedaftalen og overholde gældende love i forbindelse med den pågældende persons pligter til den kontraherede processor og sikre, at alle sådanne personer er underlagt fortrolighedsvirksomheder eller faglige eller lovbestemte fortrolighedsforpligtelser.

4. Sikkerhed

4.1 Under hensyntagen til den nyeste teknologi, omkostningerne ved gennemførelsen og arten, omfanget, kontekst og formål med behandling samt risikoen for varierende sandsynlighed og sværhedsgrad for personers rettigheder og friheder, CoachCare skal i relation til dine personlige data gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et niveau af sikkerhed passende for denne risiko, herunder i givet fald de foranstaltninger, der er omhandlet i artikel 32, stk. 1, i GDPR. Især har CoachCare implementeret og CoachCare vil også sørge for at opretholde de tekniske og organisatoriske foranstaltninger, der er beskrevet i bilag 2.

4.2 Ved vurderingen af det passende sikkerhedsniveau skal CoachCare især tage hensyn til risici, der præsenteres ved behandling, især forbundet med et brud på personoplysninger.

5. Underbehandlingsenhed

5.1 Du tillader CoachCare at udnævne (og tillader at hver underprocessor udpeget i overensstemmelse med dette afsnit 5 at udpege) underprocessorer i overensstemmelse med dette afsnit 5 og enhver begrænsning i Hovedaftalen.

5.2 CoachCare kan fortsætte med at bruge de underprocessorer, der allerede er involverede af CoachCare som ved datoen for dette Vedlæg, underlagt CoachCare i hvert enkelt tilfælde, så snart det er praktisk muligt at møde forpligtelser i afsnit 5.4.

5.3 CoachCare-hjemmesiden (aktuelt indsendt på www.coachcare.com/gdpr/subprocessors) lister Underprocessorer, der i øjeblikket er involverede i CoachCare til at udføre behandlingsaktiviteter om dine personlige data. Før CoachCare engagerer en ny Underprocessor til at udføre behandlingsaktiviteter på dine personlige data, skal CoachCare opdatere den gældende hjemmeside og give dig skriftlig besked om udnævnelsen af den nye delprocessor, herunder fuldstændige oplysninger om Behandling, der skal udføres af underprocessoren. Hvis du underretter CoachCare skriftligt om eventuelle indsigelser (med rimelige grunde) til den foreslåede aftale, inden for 10 dage efter modtagelsen af denne meddelelse:

5.3.1 CoachCare udpeger ikke den foreslåede delprocessor til at udføre behandlingsaktiviteter på dine personlige data (eller videregive dine personlige data til din Underprocessor), indtil der er taget kommercielt rimelige skridt til at adressere Indvendinger fra dig og indtil du har fået en rimelig skriftlig besked Forklaring af de trufne beslutninger og
5.3.2 Hvis du inden for 10 dage efter modtagelsen af den skriftlige forklaring i afsnit 5.3.1, underretter du CoachCare skriftligt, at du finder sådanne trin, er utilstrækkelige til at adressere dine indsigelser (med rimelige grunde) skal CoachCare samarbejde med dig i god tro stille en kommercielt rimelig ændring til rådighed for tjenesten til dig, som undgår brugen af den foreslåede underprocessor.

5.4 Med hensyn til hver underprocessor skal CoachCare:

5.4.1 før underprocessoren behandler dine personlige data først (eller, hvis det er relevant, i overensstemmelse med afsnit 5.2) udføre tilstrækkelig rettidig omhu for at sikre, at Underprocessoren er i stand til at sikre niveauet af beskyttelse af dine personlige data krævet af hovedaftalen;
5.4.2 sikre, at arrangementet mellem på den ene side (a) CoachCare eller (b) relevant mellemliggende underprocessor og på den anden side delprocessoren, er reguleret af en skriftlig kontrakt, herunder vilkår, der giver mindst samme niveau af beskyttelse af dine personlige data som dem, der er angivet i dette tilføjelse og opfylder krav i artikel 28, stk. 3, i GDPR;
5.4.3 hvis arrangementet indebærer en begrænset overførsel, skal du sikre dig, at kontraktklausulerne er på alle relevante tidspunkter indarbejdet i aftalen mellem på den ene side (a) CoachCare, eller (b) de relevante mellemliggende underprocessorer; og på den anden side underprocessoren; og
5.4.4 giver dig mulighed for at gennemgå sådanne kopier af de aftalte processorers aftaler med underprocessorer (som kan redigeres for at fjerne fortrolige kommercielle Oplysninger, der ikke er relevante for kravene i dette Vedlæg), som De måtte anmode fra tid til anden.

5.5 CoachCare skal sikre, at hver underprocessor opfylder forpligtelserne i afsnit 2, 3, 4, 6, 7, 8 og 10.1, som de gælder for behandling af dine personlige data udført af den Underprocessor, som hvis det var part i dette Vedlæg i stedet for CoachCare.

6. Datarettigheder

6.1 I forbindelse med hensyntagen til arten af behandlingen skal CoachCare levere kommercielt rimelig bistand til dig ved at gennemføre passende tekniske og organisatoriske foranstaltninger, for så vidt det er muligt for opfyldelsen af dine forpligtelser, med rimelighed forstået af dig, for at svare på anmodninger om at udøve dataemnerettigheder under dataene Beskyttelseslove.

6.2 CoachCare skal:

6.2.1 meddele dig omgående, hvis en aftalt processor modtager en anmodning fra et dataemne under enhver databeskyttelseslov med hensyn til dine personlige data og
6.2.2 sikre, at den behandlede processor ikke reagerer på denne anmodning undtagen i tilfælde af dokumenterede instruktioner fra dig eller som krævet i gældende love, som den behandlede processor er underlagt, i hvilket tilfælde CoachCare skal i det omfang det er tilladt ved gældende love informerer du dig om dette lovkrav, før den kontraherede Processoren reagerer på anmodningen.

7. Personoplysninger

7.1 CoachCare meddeler dig uden unødig forsinkelse på CoachCare eller en underprocessor bliver opmærksom på et brud på personoplysninger, der påvirker dine personlige data, og giver dig de tilstrækkelige oplysninger til at give dig mulighed for at opfylde eventuelle forpligtelser til at rapportere eller informere dataemner af overtrædelsen af personoplysninger i henhold til databeskyttelsesloven.

7.2 CoachCare skal samarbejde med dig og tage sådanne kommercielt rimelige beslutninger, som det er instrueret af dig til at bistå i undersøgelsen, afbødning og afhjælpning af hver sådan form for brud på behandling af Personlig Data.

7.3 Du accepterer at:

7.3.1 Et mislykket brud på personoplysninger ikke er underlagt denne sektion 7. Et mislykket brud på personoplysninger er en, der ikke resulterer i uautoriseret adgang til dine personlige data eller til noget af CoachCares udstyr eller faciliteter, der lagrer dine personlige data, og kan omfatte, uden begrænsning, pings og andre udsendelsesangreb på firewalls eller servere, port scans, mislykkede log-on forsøg, benægtelse af serviceangreb, pakke-sniffing (eller anden uautoriseret adgang til trafikdata, der gør det ikke resulterer i adgang ud over overskrifter) eller lignende hændelser; og
7.3.2 CoachCares forpligtelse til at rapportere eller reagere på et brud på beskyttelse af personoplysninger under sektion 7 er ikke og vil ikke fortolkes som en bekræftelse fra CoachCare af enhver fejl eller ansvar for CoachCare med hensyn til krænkelsen af personlige data.

8. Konsekvensanalyse og forudgående høring af databeskyttelse

CoachCare skal yde kommerciel rimelig assistance til dig med enhver databeskyttelse konsekvensanalyser og forudgående konsultationer med tilsynsmyndigheder eller andre kompetente databeskyttelsesmyndigheder, som du med rimelighed anser for at være påkrævet af dig i henhold til artikel 35 eller 36 i GDPR eller tilsvarende bestemmelser i enhver anden databeskyttelseslov, i hvert tilfælde udelukkende i forbindelse med behandling af dine personlige data ved og under hensyntagen til arten af behandling og information til rådighed for de kontraherede processorer.

9. Sletning eller returnering af dine personlige data

9.1 Med forbehold af sektion 9.2 og 9.3 skal CoachCare straks og under alle omstændigheder inden for 90 dage efter datoen for ophør af tjenester, der involverer behandling af dine personlige data ("Ophøringsdato"), slette og opbevare sletningen af alle kopier af dine personlige data.

9.2 Med forbehold af sektion 9.3 kan du efter eget valg ved skriftlig meddelelse til CoachCare Inden for 10 dage efter ophør skal CoachCare (a) returnere en komplet kopi af alle dine personlige data til dig i form af en sikker filoverførsel i et sådant format, som det med rimelighed er meddelt af Dig til CoachCare; og (b) slette og anskaffe sletningen af alle andre kopier af dine personlige Data behandlet af en aftaleprocessor. CoachCare skal overholde sådanne form for skriftlig anmodning inden 90 dage efter ophør.

9.3 Hver af de kontraherede processorer kan beholde dine personlige data i det omfang, det kræves af gældende Love og kun i det omfang og i den periode som kræves i gældende love og altid forudsat at CoachCare skal sikre fortroligheden af alle dine personlige data og skal sikre, at sådanne af dine personlige data kun behandles som nødvendigt for det/de formål, angivet i gældende love, der kræver opbevaring og uden andet formål.

9.4 CoachCare skal give dig skriftlig certificering, at den fuldt ud har overholdt denne sektion 9 inden for 90 dage efter ophør.

10. Revisionsrettigheder

10.1 Med forbehold til sektion 10.2 og 10.3 skal CoachCare stille dem til rådighed ved anmodning og på et kommercielt rimeligt grundlag for alle oplysninger, der er nødvendige for at påvise overholdelse af dette Vedlæg, og skal tillade og bidrage til revisioner, herunder inspektioner, på din udgift, herunder men ikke begrænset til tid, som CoachCare med rimelighed har udbetalt til sådanne revisioner på CoachCares løbende professionelle satser for service (stillet til rådighed for Dem ved anmodning) af dig eller en revisor mandat af dig i forbindelse med behandling af dine personlige data ved anmodning af de kontraherede processorer). Før arbejdet påbegyndes, skal CoachCare og dig indbyrdes aftale omfang, tidspunkt og varighed af revisionen.

10.2 Oplysninger om og revision af dig opstår kun under sektion 10.1, i det omfang Hovedaftalen giver ikke ellers dem oplysninger og revisionsrettigheder, der opfylder relevante krav i databeskyttelsesloven (herunder, hvor det er relevant, sektion 28, stk. 3), i GDPR).

10.3 Du, når du foretager en revision, skal give CoachCare rimelig besked om enhver at revision eller inspektion skal udføres i henhold til sektion 10.1 og du skal sikre, at hver af dens bemyndigede revisorer gør rimelige bestræbelser på at undgå at forårsage (eller, hvis det ikke kan undgås, skal du minimere) enhver skade eller forstyrrelse af de aftalte processorer, det aftalte udstyr og personale og den aftalte forretning, mens dets personale er i disse lokaler i forbindelse med sådan en revision eller inspektion. Enhver form for sådanne skade eller forstyrrelse forårsaget af dig eller en erstatning af dig skal refunderes af dig til de kontraherede processorer. Den kontraherede processor behøver ikke give adgang til sine lokaler med henblik på en sådan revision eller inspektion:

10.3.1 til ethvert individ, medmindre han/hun præsenterer et rimeligt bevis for identitet og myndighed
10.3.2 uden for normale åbningstider på disse lokaler, medmindre revisionen eller inspektionen har brug for skal udføres i nødstilfælde, og du, når du foretager en revision, har meddelt CoachCare at dette er tilfældet for deltagelse uden for disse timer begynder; eller
10.3.3 med henblik på mere end en revision eller inspektion, for hver kontraheret Processor, i en periode på tre kalenderår, med undtagelse af yderligere revisioner eller inspektioner, som:
- 10.3.3.1 Når du foretager en revision, anser du det for nødvendigt på grund af reel bekymring forbundet med CoachCares overholdelse af denne tilføjelse eller
- 10.3.3.2 Du er påkrævet eller bedt om at udføre ved databeskyttelsesloven, at tilsynsmyndighed eller en lignende tilsynsmyndighed er ansvarlig for håndhævelse af databeskyttelseslove i ethvert land eller område
hvor du, når du foretager en revision, har identificeret dine bekymringer eller de relevante krav eller anmodning i en notifikation til CoachCare om revision eller inspektion.
10.3.4 CoachCare skal straks informere dig om, hvis det efter dens mening er en instruktion i henhold til Denne sektion 10 (Revisionsrettigheder), at de overtræder GDPR eller andre EU- eller medlemsstatsdata beskyttelsesbestemmelser.

11. Begrænsede overførsler

11.1 Med forbehold til afsnit 11.3, hermed (som "dataeksportør") og CoachCare (som "dataimportør") hermed Indtaste de standard kontraktlige bestemmelser i forbindelse med enhver form for begrænset overførsel fra dig til CoachCare.

11.2 De standardkontraktsklausuler træder i kraft i henhold til afsnit 11.1 på den senere af:

11.2.1 Dataeksportøren bliver part i dem
11.2.2 Dataimportøren bliver part i dem og
11.2.3 Påbegyndelse af den relevante begrænsede overførsel.

11.3 Afsnit

11.1 Finder ikke anvendelse på en begrænset overførsel, medmindre dens virkning sammen med andre rimeligt gennemførlige overholdelsestrin (som for unddragelse af tvivl ikke omfatter opnåelse af samtykke fra dataemner), er at tillade den relevante begrænsede overførsel at tage sted uden tilsidesættelse af gældende databeskyttelseslovgivning.

12. Generelle vilkår

Lovvalg og Jurisdiktion

12.1 Uden at dette berører klausulerne 7 (Mægling og Jurisdiktion) og 9 (Bestyrelsens lov) standard kontraktlige bestemmelser:

12.1.1 Parterne i dette Vedlæg forelægger hermed det valg af jurisdiktion, der er fastsat i Hovedaftalen med hensyn til eventuelle tvister eller krav, uanset hvad der opstår under dette tillæg, herunder tvister vedrørende dets eksistens, gyldighed eller opsigelse eller konsekvenserne af dens ugyldighed og
12.1.2 Dette tillæg og alle ikke-kontraktlige eller andre forpligtelser, der opstår som følge af eller i forbindelse med det er underlagt lovgivningen i det land eller territorium der er fastsat for dette formål i Hovedaftalen.

Forordets rækkefølge

12.2 Intet i dette Vedlæg reducerer CoachCares forpligtelser i henhold til Hovedaftalen i relation til beskyttelse af personoplysninger eller tillader CoachCare at behandle (eller tillade behandling af) personoplysninger på en måde, der er forbudt af hovedaftalen. I Eventuelle konflikter eller uoverensstemmelser mellem dette Vedlæg og standard kontraktklausuler, skal de standardkontraktmæssige bestemmelser gælde.

12.3 Med forbehold af afsnit 12.2, hvad angår emnet i dette Vedlæg, i tilfælde af uoverensstemmelser mellem bestemmelserne i dette tillæg og eventuelle andre aftaler mellem parterne, herunder hovedaftalen og inklusiv (undtagen hvor udtrykkeligt aftalt ellers skriftligt, underskrevet på vegne af parterne) aftaler indgået eller påstået at de skal indgås efter datoen for dette tillæg, skal bestemmelserne i dette tillæg forrang.

Ændringer i databeskyttelseslove mv.

12.4 Du kan:

12.4.1 Med mindst 90 dages skriftlig meddelelse til CoachCare fra tid til anden foretage ændringer til de standard kontraktlige bestemmelser (herunder eventuelle standard kontraktlige bestemmelser) indgået i henhold til § 11.1), som de gælder for begrænsede overførsler, som er underlagt en særlig databeskyttelseslov, som kræves som følge af nogen ændring eller afgørelse af en kompetent myndighed under, at databeskyttelsesloven til at tillade de begrænsede overførsler at blive foretaget (eller fortsættes med at blive foretaget) uden brud.
12.4.2 Foreslå eventuelle andre variationer i dette Vedlæg, som du med rimelighed anser for at være nødvendigt for at imødekomme kravene i enhver databeskyttelseslov.

12.5 Hvis du sender en notifikation i henhold til sektion 12.4.1, må du ikke urimeligt holde op eller forsinke aftale om eventuelle konsekvensændringer af dette tillæg foreslået af CoachCare til at beskytte de kontraherede processorer mod yderligere risici forbundet med de foretagne variationer under sektion 12.4.1.

12.6 Hvis du sender en notifikation i henhold til sektion12.4.2, drøfter parterne straks de foreslåede variationer og handler i god tro med henblik på at acceptere og at gennemføre dem eller Alternative variationer designet til at imødekomme de krav, der er angivet i din meddelelse så hurtigt, som det er praktisk muligt.

Afsked

12.7 Skulle enhver bestemmelse i dette Vedlæg være ugyldigt eller ikke-håndhæveligt, så forbliver resten af Dette Vedlæg gyldigt og gældende. Den ugyldige eller ikke-håndhævede bestemmelse skal blive enten (i) ændret som nødvendigt for at sikre dens gyldighed og kompetence, samtidig med at den bevarer parternes hensigter så tæt som muligt eller, hvis dette ikke er muligt, (ii) fortolkes på en måde, som hvis den ugyldige eller ikke-håndhævelige del aldrig var indeholdt heri.

BILAG 1: OPLYSNINGER OM BEHANDLING AF DINE PERSONOPLYSNINGER

Dette bilag 1 indeholder visse detaljer om behandlingen af dine personoplysninger som krævet i artikel 28 (3) GDPR.

Genstand for behandling af dine personlige data

Emnet for behandlingen af dine personlige data er dine personlige data, der leveres til tjenester af dig eller dine kunder.

Varigheden af behandlingen af dine personlige data

Varigheden af behandlingen af dine personlige data bestemmes af dig.

Behandlingen af dine personlige data

Behandlingen af dine personlige data er de tjenester, der er påbegyndt af dig eller dine kunder.

Formålet med behandlingen af dine personlige data

Formålet med behandlingen af dine personlige data er levering af de tjenester, som du har indledt eller dine kunder.

De typer af dine personlige data, der skal behandles

De typer af dine personoplysninger, der skal behandles, er dine personlige data, herunder sundhedsdata leveret til tjenesterne af dig eller dine kunder.

De kategorier af data, der er underlagt dine personlige data

De kategorier af data, som er omfattet af dine personlige data, er dig og dine kunder.

Dine forpligtelser og rettigheder

Dine forpligtelser og rettigheder er angivet i hovedaftalen og dette tillæg.

BILAG 2: COACHCARE SIKKERHEDSSTANDARD

Dette bilag 2 indeholder visse detaljer om de gennemførte tekniske og organisatoriske foranstaltninger og vedligeholdt af CoachCare for at sikre et passende sikkerhedsniveau for dine personlige data.

1. Tekniske foranstaltninger

1.1 CoachCare tillader kun eksplicit godkendt IT-personale at have administrativ adgang til CoachCare-servere.

1.2 CoachCare-computere er adgangskodebeskyttede og der bruges rimeligt stærke adgangskoder.

1.3 CoachCare-computere bruger automatisk log-af teknologi, når computeren er inaktiv.

1.4 CoachCare strengt tillader og begrænser adgangen til dine personlige data til kun de personer, der specifikt modtager dit samtykke til at opnå adgang til datene.

1.5 CoachCare gennemgår server software og applikationer regelmæssigt for at tjekke sikkerhedsrisici og CoachCare sørger for at foretage rutinemæssige opdateringer.

1.6 CoachCare vedligeholder en fuld loghistorie af revisioner for adgang til alle API-endepunkter, servere og databaser.

1.7 CoachCare udnytter en brugerdefinitionsordning på tværs af datalag for at sikre dine personlige Data er anonymiserede, når det er nødvendigt.

1.8 CoachCare benytter kryptering til alle dine personlige data i transit og i ro.

1.9 CoachCare håndhæver automatisk afregning af konti inden for tjenesterne efter forudbestemt tidsperioder.

1.10 CoachCare gemmer flere databasekoblinger i flere perioder på sikker vis.

2. Organisatoriske foranstaltninger

2.1 CoachCare kræver administrationsgodkendelse til at behandle dine personlige data og sådan behandling skal kun indeholde de mindste data, der er nødvendige for at udføre en passende opgave.

2.2 CoachCare opretholder og håndhæver politik og procedurer vedrørende den relevante sikkerhed af CoachCare computer hardware. CoachCare kræver, at medarbejderne aldrig efterlader deres computere i usikker tilstand, og ved enden af hver arbejdsdag skal de sikre deres computere bliver opbevaret i et aflåst rum.

2.3 CoachCare opretholder og håndhæver politik og procedurer vedrørende den relevante adfærd af samtaler mellem medarbejdere vedrørende dine personlige data. CoachCare begrænser samtaler for at inkludere de minimum nødvendige data for at udføre en passende opgave.

2.4 CoachCare opretholder og håndhæver politik og procedurer vedrørende den relevante Behandling af dine personlige data.

2.5 CoachCare opretholder og håndhæver politik og procedurer vedrørende passende svar til brud på data.

2.6 CoachCare kræver regelmæssig medarbejderuddannelse vedrørende al politik og alle procedurer, herunder Behandlingen af dine personlige data.

2.7 CoachCare-ledelsen udfører regelmæssige manuelle anmeldelser af konti med topniveau tilladelser og adgang til kritiske systemer.

3. Fortsat evaluering

3.1 CoachCare foretager periodiske anmeldelser af sikkerheden af sine tjenester og tilstrækkeligheden af dens informationssikkerhedsprogrammet målt i forhold til industrisikkerhedsstandarder og CoachCare politik og procedurer.

3.2 CoachCare vil løbende evaluere sikkerheden for sine tjenester for at afgøre om der kræves yderligere eller forskellige sikkerhedsforanstaltninger for at reagere på nye sikkerhedsrisici eller resultater frembragt af de periodiske anmeldelser.

BILAG 3: STANDARD KONTRAKTLIGE KLAUSER

Standard kontraktlige bestemmelser (processorer)

Ved anvendelsen af artikel 26, stk. 2, i direktiv 95/46/EF til overførsel af personoplysninger til forarbejdningsvirksomheder etableret i tredjelande, der ikke sikrer et tilstrækkeligt niveau af databeskyttelse

Enheden identificeret som "Du" i Vedlægget

("dataeksportør")

Enheden identificeret som "CoachCare" i Vedlægget

("dataimportør")

hver en "fest"; sammen "parterne",

ER BLEVET ENIGE OM følgende kontraktmæssige bestemmelser (klausulerne) for at fremme tilstrækkelige garantier med hensyn til beskyttelse af privatlivets fred og grundlæggende rettigheder og friheder i personer til overførsel af dataeksportøren til dataimportøren af de personoplysninger, der er specificeret i tillæg 1.

Klausul 1

Definitioner

I henhold til klausulerne:

a) ”personlige data”, ”særlige kategorier af data”, ”proces/forarbejdning”, ”kontrollør” "processor", "registreret" og "tilsynsmyndighed" skal have samme betydning som i Europa Parlamentets og rådets direktiv 95/46/EF af den 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri bevægelighed for sådanne data

b) ”dataeksportør”: den registeransvarlige, der overfører personoplysningerne

c) "dataimportøren": den processor, der accepterer at modtage fra dataene eksportør personoplysninger bestemt til behandling på hans vegne efter overførslen i overensstemmelse med hans instruktioner og vilkårene i klausulerne og hvem der ikke er underlagt et tredjelandes system, der sikrer en passende beskyttelse som omhandlet i artikel 25, stk. 1, i direktiv 95/46/EF.

d) ”delprocessoren”: enhver processor, der er involveret af dataimportøren eller af nogen anden underprocessor af dataimportøren, der accepterer at modtage fra importeret data eller fra enhver anden underprocessor af dataimportørens personoplysninger udelukkende beregnet til forarbejdning, der skal udføres på vegne af dataene eksporterer efter overførslen i overensstemmelse med hans instruktioner, vilkårene i klausuler og vilkårene i den skriftlige under-virksomhed;

e) ”Den gældende databeskyttelseslovgivning”: lovgivning, der beskytter de grundlæggende rettigheder og friheder for enkeltpersoner og især deres ret til privatlivets fred med respekt til behandling af personoplysninger, der gælder for en registeransvarlig i medlemmets stat, hvor dataeksportøren er etableret;

"tekniske og organisatoriske sikkerhedsforanstaltninger": foranstaltninger rettet mod beskyttelse af personoplysninger mod utilsigtet eller ulovlig destruktion eller utilsigtet tab ændring, uautoriseret offentliggørelse eller adgang, især hvor behandlingen indebærer overførsel af data via et netværk og mod alle andre ulovlige former for behandling.

Klausul 2

Detaljer om overførslen

Oplysningerne om overførslen og især de særlige kategorier af personoplysninger, hvor det er relevant, er angivet i bilag 1, som udgør en integrerende del af klausulerne.

Klausul 3

Tredjepartmodtager klausul

1. Den registrerede kan håndhæve dataeksportøren denne paragraf, § 4, litra b) til i) § 5, litra a) til e) og g) til j), § 6, stk. 1 og 2, § 7, paragraf 8, stk. 2, og klausuler 9 til 12 som modtager fra tredjepart.

2. Den registrerede kan håndhæve dataimportøren denne paragraf, § 5 a) til e) og (g), § 6, § 7, § 8, stk. 2, og §§ 9-12, i tilfælde hvor dataene eksportør er faktisk forsvundet eller/er ophørt med at eksistere i loven, medmindre nogen efterfølger enheden har antaget hele dataforhandlerens juridiske forpligtelser på kontrakt eller ved driften af loven, som følge heraf tager hensyn til dataets rettigheder og forpligtelser eksportør, i hvilket tilfælde den registrerede kan håndhæve dem mod en sådan enhed.

3. Den registrerede kan håndhæve denne bestemmelse i henhold til delprocessoren, § 5 a) til e) og (g), § 6, § 7, § 8, stk. 2, og §§ 9-12, hvor både dataeksportøren og dataimportøren faktisk er forsvundet eller ophørt med at eksistere i lov eller er blevet insolvent, medmindre en efterfølger enhed har overtrådt hele loven data eksportørens forpligtelser ved kontrakt, eller lovlig drift som følge heraf det påtager sig dataeksportørens rettigheder og forpligtelser, i så fald den registrerede kan håndhæve dem mod en sådan enhed. Delprocessorens ansvar for tredjepart begrænses til sine egne forarbejdningsoperationer i henhold til klausulerne.

4. Parterne gør ikke indsigelse mod, at en registreret er repræsenteret af en sammenslutning eller anden krop, hvis den registrerede udtrykkeligt ønsker det, og hvis det er tilladt efter national ret.

Klausul 4

Data eksportørens forpligtelser

Dataudbyderen accepterer og garanterer:

(a) at behandlingen, herunder selve overførslen af personoplysningerne, har været og vil fortsætte med at blive gennemført i overensstemmelse med de relevante bestemmelser i den gældende databeskyttelseslovgivning (og, hvis det er relevant, er blevet underrettet til relevante myndigheder i den medlemsstat, hvor dataeksportøren er etableret) og ikke overtræder de relevante bestemmelser i denne stat;

(b) at den har instrueret og i hele varigheden af personoplysningerne tjenester vil instruere dataimportøren til kun at behandle de overførte personlige data på data eksportørens vegne og i overensstemmelse med gældende databeskyttelse love og klausuler;

(c) at dataimportøren vil stille tilstrækkelige garantier til rådighed for de tekniske og organisatoriske sikkerhedsforanstaltninger angivet i tillæg 2 til denne kontrakt;

(d) at efter vurdering af kravene i den gældende databeskyttelseslovgivning, sikkerhedsforanstaltninger er egnede til at beskytte personoplysninger mod utilsigtet eller ulovlig destruktion eller utilsigtet tab, ændring, uautoriseret offentliggørelse eller adgang, især hvor behandlingen omfatter overførsel af data via et netværk, og mod alle andre ulovlige former for forarbejdning, og at disse foranstaltninger sikrer en sikkerhedsniveau, der passer til de risici, der fremgår af behandlingen og arten af de data, der skal beskyttes under hensyntagen til den nyeste teknologi og omkostningerne ved deres implementering;

(e) at det vil sikre overholdelsen af sikkerhedsforanstaltningerne

(f) at hvis overførslen indebærer særlige kategorier af data, har den registrerede været informeret eller vil blive informeret før eller så hurtigt som muligt efter den overførsel, den er data kunne overføres til et tredjeland uden tilstrækkelig beskyttelse i henhold til direktiv 95/46 / EF

(g) at videresende enhver meddelelse modtaget fra dataimportøren eller en delprocessor i henhold til § 5, litra b), og § 8, stk. 3, til tilsynsmyndigheden for databeskyttelse hvis dataeksportøren beslutter at fortsætte overførslen eller ophæve suspensionen

(h) efter anmodning stille en kopi af klausulerne til rådighed for de registrerede, med undtagelse fra tillæg 2 og en sammenfattende beskrivelse af sikkerhedsforanstaltningerne, som samt en kopi af enhver kontrakt for delprocesser, der skal foretages i i overensstemmelse med klausulerne, medmindre klausulerne eller kontrakten indeholder kommercielle oplysninger, i hvilket tilfælde den kan fjerne sådanne kommercielle oplysninger;

(i) at i tilfælde af underprocessering udføres forarbejdning aktiviteten i i overensstemmelse med § 11 af en underprocessor, der giver mindst samme niveau af beskyttelse af personoplysninger og registreredes rettigheder som dataimportør under klausulerne og

(j) at det vil sikre overholdelse af § 4, litra a) -i).

Klausul 5

Forpligtelser for dataimportøren

Dataimportøren accepterer og garanterer:

(a) kun behandle personoplysninger på vegne af dataeksportøren og i overensstemmelse med dets instruktioner og klausulerne hvis den ikke kan yde en sådan overholdelse for uanset årsagerne er det enig i at informere dataudbyderen om dens manglende evne til I overensstemmelse hermed er dataeksportøren berettiget til at suspendere overførsel af data og / eller opsige kontrakten;

(b) at den ikke har nogen grund til at tro på, at den gældende lovgivning forhindrer den fra opfylde de anvisninger, der er modtaget fra dataeksportøren og dens forpligtelser i henhold til kontrakt, og at i tilfælde af en ændring i denne lovgivning, som sandsynligvis vil have en væsentlig negativ indvirkning på de garantier og forpligtelser, der følger af klausulerne, det vil straks underrette ændringen til dataeksportøren, så snart den er klar over, i hvilken tilfælde af data eksportør er berettiget til at suspendere overførsel af data og / eller opsige kontrakten

(c) at den har gennemført de angivne tekniske og organisatoriske sikkerhedsforanstaltninger i bilag 2 før behandling af de overførte personoplysninger;

(d) at den straks vil underrette dataeksportøren om:

(i) En juridisk bindende anmodning om offentliggørelse af personoplysninger ved lov fuldbyrdelsesmyndighed, medmindre andet er forbudt, såsom et forbud i strafferet for at bevare fortroligheden af en retshåndhævelse undersøgelse,
(ii) enhver utilsigtet eller uautoriseret adgang, og
(iii) Enhver anmodning, der modtages direkte fra de registrerede uden at svare denne anmodning, medmindre det ellers er tilladt at gøre det;

(e) at behandle alle henvendelser fra dataeksportøren vedrørende dens behov hurtigt og korrekt behandling af det personoplysninger, der er omfattet af overførslen og overholdelse af råd fra Tilsynsmyndigheden med hensyn til behandlingen af de overførte data;

(f) efter anmodning fra dataeksportøren at indsende sine databehandlingsanlæg til revision af de behandlingsaktiviteter, der er omfattet af klausulerne, som skal udføres af dataene eksportør eller et kontrolorgan bestående af uafhængige medlemmer og i besiddelse 15 af de krævede faglige kvalifikationer, der er bundet af en tavshedspligt, valgt af dataeksportøren, hvis det er relevant, efter aftale med tilsynsmyndigheden

(g) efter anmodning stille en kopi af klausulerne eller enhver til rådighed for den registrerede eksisterende kontrakt for underprocessing, medmindre klausulerne eller kontrakten indeholder kommerciel information, i hvilket tilfælde den kan fjerne sådanne kommercielle oplysninger, med undtagelse af tillæg 2, der erstattes af en resumébeskrivelse af sikkerhedsforanstaltningerne i de tilfælde, hvor den registrerede ikke er i stand til at opnå en kopi fra data eksportør;

(h) at den i tilfælde af underprocessering tidligere har informeret dataeksportøren og opnået sit forudgående skriftlige samtykke;

(i) at underprocessorens behandlingstjenester vil blive gennemført i overensstemmelse med med § 11;

(j) straks sende en kopi af en underprocessoraftale, som den konkluderer under Klausuler til dataeksportøren.

Klausul 6

Ansvar

1. Parterne er enige om, at enhver registreret, der har lidt skade som følge af nogen krænkelse af de forpligtelser, der er omhandlet i § 3 eller i § 11 af en eller flere parter subprocessor har ret til at modtage kompensation fra dataeksportøren for skade påført.

2. Hvis et registreret ikke er i stand til at indgive erstatningskrav i overensstemmelse med stk. 1 over for dataeksportøren, der skyldes en overtrædelse af dataimportøren eller hans underprocessor af nogen af deres forpligtelser, der er omhandlet i § 3 eller i § 11, fordi dataeksportøren faktisk er forsvundet eller ophørt med at eksistere i lov eller har bliver insolvent, accepterer dataimportøren, at den registrerede kan udstede et krav mod dataimportøren som om det var dataeksportøren, medmindre en efterfølger enhed har antaget hele dataforhandlerens juridiske forpligtelser ved aftale eller ved lovgivningen, i hvilket tilfælde den registrerede kan håndhæve sine rettigheder mod sådanne enhed. Dataimportøren må ikke påberåbe sig en overtrædelse af en underprocessor af sine forpligtelser i for at undgå sine egne forpligtelser.

3. Hvis et registreret ikke er i stand til at fremsætte krav mod dataeksportøren eller dataene importør som nævnt i stk. 1 og 2, som skyldes brud på underprocessoren af deres forpligtelser, der er nævnt i punkt 3 eller i § 11, fordi begge dataene eksportør og dataimportøren er faktisk forsvundet eller ophørt med at eksistere i lov eller er blevet insolvent, er underprocessoren enig i, at den registrerede kan udstede et krav mod dataprocessoren med hensyn til egne processer under 16Klausuler som om det var dataeksportør eller dataimportør, medmindre nogen efterfølger Enheden har overtrådt dataudbyderens eller dataimportørens samlede juridiske forpligtelser kontrakt eller ved anvendelse af lov, i hvilket tilfælde den registrerede kan håndhæve sine rettigheder mod en sådan enhed. Subprocessorens ansvar er begrænset til sit eget behandling under klausulerne.

Klausul 7

Mægling og jurisdiktion

1. Dataimportøren er enig i, at hvis den registrerede påberåber sig tredjemand begunstigede rettigheder og / eller krav på erstatning for erstatning i henhold til klausulerne, dataimportør accepterer den registreredes afgørelse:

(a) at henvise tvisten til mægling, af en uafhængig person eller, hvor gældende af tilsynsmyndigheden
(b) henvise tvisten til domstolene i den medlemsstat, hvor dataene eksportør er etableret.

2. Parterne er enige om, at det registreres valg ikke berører det materielle eller processuelle rettigheder til at søge retsmidler i overensstemmelse med andre bestemmelser af national eller international lov.

Klausul 8

Samarbejde med tilsynsmyndigheder

1. Data eksportøren indvilliger i at deponere en kopi af denne kontrakt med tilsynsføreren myndighed, hvis det anmoder herom, eller hvis et sådant depositum er påkrævet i henhold til gældende data beskyttelse lov.

2. Parterne er enige om, at tilsynsmyndigheden har ret til at foretage en revision af dataimportør og enhver underprocessor, som har samme omfang og er underlagt de samme betingelser som for en revision af dataeksportøren under gældende databeskyttelseslovgivning.

3. Dataimportøren underretter straks dataeksportøren om eksistensen af lovgivning gældende for den eller en delprocessor, der forhindrer en revision af dataimportøren eller en underprocessor i henhold til stk. 2. I et sådant tilfælde data eksportør har ret til at træffe de foranstaltninger, der er omhandlet i punkt 5, litra b).

Klausul 9

Lovvalg

Klausulerne reguleres af lovgivningen i den medlemsstat, hvor dataeksportøren er etableret.

Klausul 10

Variation af kontrakten

Parterne forpligter sig til ikke at ændre eller ændre klausulerne. Dette udelukker ikke parterne fra tilføjelse af klausuler om forretningsmæssige problemer, hvor det er nødvendigt, så længe de ikke er modstrid med Klausul.

Klausul 11

Subprocessing

1. Dataimportøren må ikke underkontrahere nogen af de udførte processer på vegne af data eksportøren under klausulerne uden forudgående skriftligt samtykke af dataeksportøren. Hvis dataimportøren underleverer sine forpligtelser i henhold til Klausuler, med dataeksportørens samtykke, skal det kun ske ved skriftlig oplysning Aftale med underprocessoren, der pålægger de samme forpligtelser subprocessor som pålagt dataimportøren i henhold til klausulerne. Hvor er underprocessor undlader at opfylde sine databeskyttelsesforpligtelser under sådanne skriftlige aftale dataimportøren forbliver fuldt ansvarlig for data eksportør for opfyldelse af underprocessorens forpligtelser i henhold til en sådan aftale.

2. Den forudgående skriftlige kontrakt mellem dataimportøren og underprocessoren skal også fastsætte en bestemmelse fra en tredjepart, som er fastsat i § 3 for sager hvor den registrerede ikke er i stand til at indbringe kravet om erstatning som omhandlet i stk. 1 i § 6 mod dataeksportøren eller dataimportøren, fordi de er faktisk forsvundet eller er ophørt med at eksistere i lov eller er blevet insolvente og ikke-efterfølgende enhed har antaget hele eksportørens juridiske forpligtelser eller dataimportør ved aftale eller ved lovbrug. Sådanne tredjepartsansvar for underprocessoren er begrænset til sine egne forarbejdningsoperationer i henhold til klausulerne.

3. Bestemmelserne vedrørende databeskyttelsesaspekter ved kontraktens delprocessering som omhandlet i stk. 1, er underlagt lovgivningen i den medlemsstat, hvor data eksportøren er etableret.

4. Dataeksportøren skal føre en liste over underprocesser, der er indgået i henhold til Klausuler og meddelt af dataimportøren i henhold til § 5, litra j), som skal være opdateres mindst en gang om året. Listen skal være tilgængelig for dataeksportørens data beskyttelse tilsynsmyndighed.

Klausul 12

Forpligtelse efter ophør af personoplysninger behandlingstjenester

1. Parterne er enige om, at ved afslutningen af leveringen af databehandling tjenester, dataimportøren og delprocessoren skal efter valget af dataene eksportør, returnere alle overførte personoplysninger og kopier heraf til dataene eksportør eller skal ødelægge alle de personlige oplysninger og attestere til den data eksportør, at den har gjort det, medmindre lovgivning pålagt dataimportøren forhindrer det fra returnere eller ødelægge hele eller en del af de overførte personoplysninger. I så fald er dataimportør garanterer at det vil sikre fortroligheden af personoplysningerne overført og vil ikke aktivt behandle de overførte personoplysninger længere.

2. Dataimportøren og delprocessoren garanterer at på anmodning af dataene eksportør og / eller tilsynsmyndighed, vil den fremlægge sin databehandling faciliteter til revision af de foranstaltninger, der er omhandlet i stk. 1

APPENDIKS 1 TIL DE STANDARDKONTRAKTISKE KLAUSER

Dette tillæg er en del af klausulerne og skal udfyldes af parterne. Medlemsstaterne kan i henhold til deres nationale procedurer udfylde eller specificere yderligere nødvendige oplysninger at være indeholdt i dette tillæg

Data eksportør

Dataeksportøren er Du som defineret i Addendumet.

Dataimportør

Dataimportøren er CoachCare som defineret i Addendum.

Datapersoner

De registrerede er dig og dine kunder som defineret og henvist til i tillægget.

Kategorier af data

Kategorien af data er dine personlige data som defineret i tilføjelsen.

Specielle kategorier af data (hvis relevant)

De særlige kategorier af data er sundhedsdata i dine personlige data som defineret i tilføjelsen.

Behandlingsoperationer

De overførte personoplysninger bliver underlagt de behandlinger, der er inkluderet i Tjenesterne som defineret i Addendumet.

APPENDIKS 2 TIL DE STANDARDKONTRAKTISKE KLAUSER

Dette tillæg er en del af klausulerne og skal udfyldes af parterne.

Beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, der implementeres af dataene importør i overensstemmelse med punkt 4, litra d) og 5c):

De tekniske og organisatoriske sikkerhedsforanstaltninger, der er gennemført af dataimportøren, er som beskrevet i Addendum.