Detta dokument innehåller de dataskyddsbestämmelser- och villkor som gäller för kunden och Bookatable. Det är framtaget för att underlätta efterlevnaden av EU:s dataskyddsförordning (EU 2016/679) (”GDPR”) och den vägledning som utfärdats av den behöriga lokala tillsynsmyndigheten.
1. BAKGRUND
1.1. Parterna erkänner att:
1.1.1. Detta dokument utgör en del av alla tjänsteföreskrifter som ingås mellan kunden och Bookatable (oavsett om det är dokumenterat i ett skriftligt avtal), inklusive eventuella intyg, handlingar, avtal och meddelanden som utfärdas i samband med sådant tillhandahållande av tjänster ("Avtalet”);
1.1.2. inget i detta dokument är avsett att ändra eller ersätta någon parts undantags- och ansvarsbegränsningar eller eventuell skadeslöshet enligt avtalet som ska gälla för Bookatable i egenskap av personuppgiftsbehandlare- eller ansvarig.
1.1.3. enligt punkt 1.1.2, om det uppstår någon konflikt mellan bestämmelserna i detta dokument och de i avtalet har bestämmelserna i dokumentet företräde.
2. DEFINITIONER
2.1. I detta dokument gäller följande definitioner:
2.1.1. Termerna ”personuppgiftsbehandlare, ”behandling”, ”personuppgifter”, ”registrerade personer” har den innebörd som anges i dataskyddsförordningen.
2.1.2. Termen ”personuppgiftsansvarig” har den innebörd som anges i dataskyddsförordningen och framför allt i detta dokument, där Bookatable benämns som personuppgiftsansvarig, och Bookatable avser Bookatable Limited – ett företag registrerat i England och Wales med organisationsnummer 04494036.
2.1.3. Termen ”begäranden från registrerade personer” avser alla förfrågningar från registrerade personer, vilket innefattar men inte är begränsat till restauranggästen, som görs i enlighet med sina rättigheter enligt dataskyddsförordningen, och framför allt sin rätt att få åtkomst till, rätta, ändra, begränsa överföra eller ta bort sina personuppgifter.
2.1.4. ”Restauranggäst” avser en person som kommer åt bokningstjänsterna antingen genom Bookatable Direct-plattformen eller genom kundplattformen.
2.1.5. ”Bookatable-bokning” avser varje enskild bokning som görs på en restaurang av en kund via bokningskomponenten- eller applikationen som ägs eller drivs av Bookatable eller någon av dess partners.
2.1.6. ”Kundbokning” avser varje enskild bokning som görs på en restaurang av en kund via bokningskomponenten- eller applikationen som ägs eller drivs av kunden.
2.1.7. ”Bokningskomponent” avser webbgränssnittet och anknutna kundupplevelser som ägs och tillhandahålls av BAT som del av bokningssystemet genom vilket kunder gör bokningar, avbokningar eller på annat sätt hanterar restaurangbokningar.
2.1.8. ”Dataskyddslagstiftning” (i) avser den allmänna dataskyddsförordningen ((EU) 2016/679) och alla eventuella nationella lagar, bestämmelser och sekundär lagstiftning, som ändras från tid till annan, i Sverige och därefter (ii) eventuell efterföljande lagstiftning till GDPR eller tillämplig lokal dataskyddsförordning.
3. DATASKYDD
3.1. Båda parter ska uppfylla alla tillämpliga krav i dataskyddslagstiftningen. Detta dokument är ett tillägg till dataskyddslagstiftningen, och varken befriar, tar bort eller ersätter skyldigheterna hos någon part.
3.2. Parterna erkänner följande i den mening som avses i dataskyddslagstiftningen (i den mån det är tillämpligt):
3.2.1. när restauranggästen gör en bokning via en Bookatable-bokning är Bookatable personuppgiftsansvarig fram till dess att bokningsdata skickats till kunden, då denne blir personuppgiftsansvarig och Bookatable blir personuppgiftsbehandlare i förhållande till kunden i fråga
3.2.2. när restauranggästen gör en bokning via en kundbokning är kunden personuppgiftsansvarig och Bookatable är personuppgiftsbehandlare under hela bokningsprocessen;
3.2.3. kunden och den lokala Bookatable-enheten fungerar var för sig som personuppgiftsansvariga i samband med behandlingen av personuppgifter i förhållande till direkt marknadsföring som utförs av respektive part baserat på specifika önskemål från kunden under bokningsprocessen; och
3.2.4. om Bookatable under avtalets löptid anser att skillnaderna mellan ”personuppgiftsbehandlare” och ”personuppgiftsansvarig” i denna klausul 3 bör ändras på grund av ytterligare vägledning eller lagstiftning som rör dataskyddslagen ska Booktable skriftligen meddela kunden om ändringen. Dessutom är parterna överens om att de nya skillnaderna ska gälla för all behandling som utförs från och med dagen för mottagandet av ett sådant skriftligt meddelande.
3.3. I bilagan till detta dokument anges omfattningen, arten och syftet med Bookatables behandling samt dess varaktighet och de registrerade personernas uppgifter och kategorier. Kunden bekräftar att Bookatable närsomhelst kan ändra uppgifterna i bilagan för att återspegla den behandling av personuppgifter som genomförs enligt avtalet och informera kunden om sådana ändringar så snart som möjligt.
3.4. Utan att det påverkar tillämpningen av punkt 3.1 och om inte annat avtalats skriftligen mellan parterna:
3.4.1. kommer Bookatable, med förbehåll för klausul 3.5, när restauranggästen gör en bokning via en Bookatable-bokning, att se till att alla nödvändiga lämpliga samtycken har inhämtats för att överföringen av personuppgifter till kunden ska vara laglig under detta avtal;
3.4.2. kommer restauranggästen, när det gör en bokning via en kundbokning, att säkerställa att personuppgifterna har insamlats på ett sätt som överensstämmer med dataskyddslagstiftningen, samt se till att alla nödvändiga lämpliga samtycken och meddelanden finns på plats för att överföringen av personuppgifter till kunden ska vara laglig under detta avtal
3.5. När Bookatable ber om samtycke från restauranggästen för marknadsföring på kundens vägnar:
3.5.1. är det kundens eget ansvar att säkerställa att den enhet eller organisation som uppges till Bookatable för samtycksförfrågan efterlever dataskyddslagstiftningen (samt andra marknadsföringsriktlinjer, lagar och förordningar);
3.5.2. om kunden begär att sina egna meddelanden, policyer och information som ska uppges tillsammans med sådana samtyckesförfrågningar måste kunden se till att de förfrågningar och uppgifter som lämnats till den registrerade personen överensstämmer med dataskyddslagstiftningen (samt andra marknadsföringsriktlinjer, lagar och förordningar) och att alla lämpliga samtycken och meddelanden finns för att överföringen av personuppgifter till kunden ska vara laglig under detta avtal; och
3.5.3. om kunden bedriver marknadsföring mot registrerade personer måste detta ske i enlighet med marknadsföringslagar-, regler- och bestämmelser.
3.6. Om Bookatable behandlar personuppgifter på kundens vägnar ska Bookatable, i förhållande till personuppgifter som behandlas i samband med att Bookatable utför sina skyldigheter enligt detta avtal:
3.6.1. behandla personuppgifterna endast enligt kundens rimliga skriftliga instruktioner, såvida inte Bookatable är skyldig att utföra annan behandling enligt lagen i någon av Europeiska unionens medlemsstater eller enligt Europeiska unionens lagar som gäller för Bookatable vid behandling av personuppgifter (tillämpliga lagar);
3.6.2. se till att lämpliga tekniska och organisatoriska åtgärder har införts för att skydda mot otillåten eller olaglig behandling av personuppgifter och mot oavsiktlig förlust eller förstörelse av eller skada på personuppgifter. Dessa åtgärder ska stå i proportion till den skada som kan uppstå av obehörig eller olaglig behandling eller oavsiktlig förlust, förstörelse eller skada och arten av de uppgifter som skyddas, med hänsyn till tekniskt utvecklingsläge och kostnaden för att genomföra åtgärderna (dessa åtgärder kan i förekommande fall innefatta anonymisering och kryptering av personuppgifter, säkerställandet av konfidentialitet, integritet, tillgänglighet och robusthet i system och tjänster, för att säkerställa att tillgången till personuppgifter kan återställas tidsenligt efter incidenter samt regelbundet bedöma och utvärdera effektiviteten av de tekniska och organisatoriska åtgärder som antagits)
3.6.3. se till att all personal som har tillgång till och/eller behandlar personuppgifter är skyldiga att hålla uppgifterna konfidentiella och
3.6.4. inte överföra några personuppgifter utanför det Europeiska ekonomiska samarbetsområdet (EES), om inte
3.6.4.1. kunden eller Bookatable har vidtagit lämpliga skyddsåtgärder i samband med överföringen och om
3.6.4.2. Bookatable uppfyller sina skyldigheter enligt lagen om dataskydd genom att tillhandahålla en adekvat skyddsnivå för alla personuppgifter som överförs.
3.6.5. hjälpa kunden på dennes bekostnad att svara på eventuella förfrågningar från registrerade personer och säkerställa att dess skyldigheter enligt dataskyddslagstiftningen följs med avseende på säkerhet, intrångsmeddelanden, konsekvensbedömningar och samråd med tillsynsmyndigheter;
3.6.6. meddela kunden utan onödigt dröjsmål om intrång i personuppgiftssystem samt samarbeta med och bistå kunden i alla avseenden som hänför sig till sådana intrång;
3.6.7. efter kundens skriftliga anmodande, radera eller returnera personuppgifter och kopior till kunden vid uppsägning av avtalet, om inte annat stipuleras i tillämplig lag för lagring av personuppgifter. Kunden bekräftar och godkänner att Bookatable inte är ansvarigt för eventuella förluster som kunden lidit till följd av att Bookatable uppfyller kundens begäran om att personuppgifter ska raderas eller returneras; och
3.6.8. upprätthålla fullständiga och korrekta register och uppgifter för att visa att Bookatable efterlever denna klausul och tillåta rimliga ändringar av kunden eller kundens utsedda granskare.
3.7. En aktuell förteckning över Bookatables tredje parts personuppgiftsbehandlare finns, vid datumet för detta avtal, på https://www.bookatable.com/b2b/swe/tredje-parts-behandlare.
Genom att underteckna detta avtal accepterar du Bookatables användning av sådana tredje parts personuppgiftsbehandlare. Bookatable ska informera kunden om eventuella ändringar som den ämnar utföra gentemot de utsedda personuppgiftsbehandlarna av tredje part som anges, vilket ger kunden möjlighet att göra invändningar mot sådana ändringar.
3.8. Om Bookatable utser en tredje parts personuppgiftsbehandlare enligt detta avtal:
3.8.1. bekräftar Bookatable att det har ingått eller, i förekommande fall, kommer att ingå ett skriftligt avtal med personuppgiftsbehandlaren av tredje part som innehåller villkor som väsentligen liknar dem som anges i denna paragraf 3; och
3.8.2. om personuppgiftsbehandlaren av tredje part i fråga inte fullgör sina skyldigheter avseende dataskydd ska Bookatable förbli helt ansvarigt gentemot kunden för fullgörandet av de skyldigheter som personuppgiftsbehandlaren av tredje part har.
3.9. När det gäller personuppgifter för vilka Bookatable och kunden var för sig agerar som personuppgiftsansvariga ska Bookatable (och dess anknutna företag) och kunden fullgöra sina respektive skyldigheter som personuppgiftsansvariga enligt dataskyddslagstiftningen, såvida inte lagen utser ansvar för ett särskilt krav till en viss part.
3.10. Kunden bekräftar och godkänner att Bookatable som personuppgiftsbehandlare kan använda aggregerad statistisk eller analytiska data och/eller prestationsinformation om sitt tillhandahållande och kundens användning av tjänsterna endast för ekonomiska ändamål, redovisning, produkt- och serviceoptimering, kundsupport och andra interna affärsändamål. Sådan information innehåller inga personuppgifter. Bookatable behåller all äganderätt och immateriella rättigheter till de aggregerade statistiska eller analytiska uppgifterna och den aggregerade statistiska eller analytiska prestationsinformationen.
4. RÄTTIGHETER HOS REGISTRERADE PERSONER
4.1. I egenskap av personuppgiftsbehandlare ska Bookatable, om det får en förfrågan från en registrerad person:
4.1.1. i den utsträckning som lagen tillåter, meddela kunden om mottagandet av den registrerade personens förfrågan om databehandling och kontakta den registrerade personen för att: (i) bekräfta mottagandet av förfrågan, (ii) meddela den registrerade personen att Bookatable har vidarebefordrat förfrågan till kunden som personuppgiftsansvarig och skicka kundens kontaktuppgifter till den registrerade personen, (iii) hänvisa den registrerade personen till kunden för ytterligare information, och (iiii) informera den registrerade personen att Bookatable inte kommer att agera vidare med avseende på dennes förfrågan utan att först få kundens skriftliga instruktioner. För att undvika tvivel, om Bookatable (eller dess koncernföretag) agerar som personuppgiftsansvarig, t ex genom Bookatable-bokningar, kommer det att hantera eventuella förfrågningar från registrerade personer gällande vilka uppgifter det lagrar i enlighet med sina egna förfrågningspolicyer- och procedurer för registrerade personer;
4.1.2. kunden ska vidta alla lämpliga åtgärder för att hantera förfrågan från registrerade personer i enlighet med dataskyddslagstiftningen och
4.1.3. Bookatable ska hjälpa kunden, på dennes bekostnad, att svara på förfrågningar från registrerade personer.
Detta dokument anses gälla antingen från och med den 25 maj 2018.
BILAGA
PERSONUPPGIFTSBEHANDLING
Ämne: |
BOKNINGSTJÄNSTER |
Vilken personuppgiftsbehandling utförs av Bookatable? |
Bookatable tillhandahåller bokningstjänster till kunden. För att göra det möjligt för Bookatable att tillhandahålla dessa tjänster samlar Bookatable in, bearbetar och lagrar restauranggästens bokningsuppgifter samt information om marknadsföringsanmälningar på uppdrag av kunden. |
Vad är syftet med personuppgiftsbehandlingen? |
Bookatable behandlar personuppgifter för att göra det möjligt för kunden att hantera sina restaurangbokningar och att uppfylla sitt avtal mellan restauranggästen och kunden.
Behandlingen gör det möjligt för kunden att hantera sin marknadsföringsdatabas och inhämta samtycke till marknadsföring från restauranggästen |
Hur länge kommer personuppgiftsbehandlingen att fortsätta? |
Bearbetningen fortsätter under löptiden för avtalet mellan Bookatable och kunden. |
Vilken typ av personuppgifter behandlas? |
Personuppgifterna som behandlas av Bookatable kan innehålla följande uppgiftskategorier: – Identifierare som namn, efternamn, e-post och telefonnummer; – Finansiell information, t ex krypterade kredit- och betalkortsuppgifter; – Särskilda kategorier av data (valfri information, om det gäller för registrerade personer) som allergier och matallergier. |
Vilka kategorier av registrerade personer ingår i behandlingen? |
De personuppgifter som behandlas av Bookatable gäller restauranggästen. |