src/ApplicationBundle/Modules/HoneybeeWeb/Resources/views/pages/dpa.html.twig line 1

Open in your IDE?
  1. {% include '@Application/inc/central_header.html.twig' %}
  3. <style>
  4. /* ── Nordic DPA Page ────────────────────────────────────────────────────────── */
  5. :root {
  6.     --pol-amber:  #C07D2A;
  7.     --pol-dark:   #1A1D2E;
  8.     --pol-cream:  #F7F5F0;
  9.     --pol-muted:  #6B6E7F;
  10.     --pol-border: rgba(26,29,46,.09);
  11. }
  12. body.body-mask { background: var(--pol-cream) !important; }
  14. .pol-outer  { max-width: 1100px; margin: 0 auto; padding: 56px 28px 100px; }
  15. .pol-grid   { display: grid; grid-template-columns: 220px 1fr; gap: 48px; align-items: start; }
  16. @media (max-width: 768px) { .pol-grid { grid-template-columns: 1fr; } .pol-toc-col { display: none; } }
  18. .pol-hero { margin-bottom: 44px; padding-bottom: 32px; border-bottom: 1px solid var(--pol-border); }
  19. .pol-hero-tag {
  20.     display: inline-flex; align-items: center; gap: 8px;
  21.     font-size: 11px; font-weight: 700; letter-spacing: .16em; text-transform: uppercase;
  22.     color: var(--pol-amber); margin-bottom: 14px;
  23. }
  24. .pol-hero-tag::before { content:''; width:16px; height:1.5px; background:currentColor; border-radius:2px; }
  25. .pol-hero h1 { font-family:'Montserrat',sans-serif; font-size:clamp(1.7rem,3vw,2.3rem); font-weight:900; color:var(--pol-dark); margin:0 0 10px; letter-spacing:-.02em; }
  26. .pol-hero-meta { font-family:'DM Sans',sans-serif; font-size:.875rem; color:var(--pol-muted); }
  27. .pol-hero-meta span { display:inline-block; margin-right:20px; }
  29. .pol-toc-inner {
  30.     position: sticky; top: 80px;
  31.     background: #fff; border: 1px solid var(--pol-border); border-radius: 12px;
  32.     padding: 20px; max-height: calc(100vh - 110px); overflow-y: auto;
  33.     scrollbar-width: thin; scrollbar-color: #ddd transparent;
  34. }
  35. .pol-toc-inner::-webkit-scrollbar { width: 3px; }
  36. .pol-toc-inner::-webkit-scrollbar-thumb { background: #ddd; border-radius: 2px; }
  37. .pol-toc-title { font-family:'DM Sans',sans-serif; font-size:.72rem; font-weight:700; letter-spacing:.1em; text-transform:uppercase; color:var(--pol-dark); margin:0 0 14px; }
  38. .pol-toc-list { list-style:none; margin:0; padding:0; }
  39. .pol-toc-list li { margin-bottom:2px; }
  40. .pol-toc-list a {
  41.     display: block; padding: 5px 8px; border-radius: 6px;
  42.     font-family:'DM Sans',sans-serif; font-size:.82rem; color:var(--pol-muted);
  43.     text-decoration:none; line-height:1.4; transition:color .15s, background .15s;
  44. }
  45. .pol-toc-list a:hover    { color:var(--pol-amber); background:rgba(192,125,42,.06); }
  46. .pol-toc-list a.toc-active { color:var(--pol-amber); font-weight:600; }
  48. .pol-section { margin-bottom: 40px; scroll-margin-top: 90px; }
  49. .pol-section h2 {
  50.     font-family:'DM Sans',sans-serif; font-size:1.05rem; font-weight:700;
  51.     color:var(--pol-dark); margin:0 0 14px;
  52.     display:flex; align-items:center; gap:10px;
  53. }
  54. .pol-section h2::before {
  55.     content:''; display:block; width:3px; height:18px;
  56.     background:var(--pol-amber); border-radius:2px; flex-shrink:0;
  57. }
  58. .pol-section h3 {
  59.     font-family:'DM Sans',sans-serif; font-size:.95rem; font-weight:700;
  60.     color:var(--pol-dark); margin:20px 0 8px; padding-left:13px;
  61.     border-left:2px solid rgba(192,125,42,.3);
  62. }
  63. .pol-section p  { font-family:'DM Sans',sans-serif; font-size:.925rem; color:var(--pol-muted); line-height:1.78; margin:0 0 10px; text-align:left; }
  64. .pol-section ul { padding-left:20px; margin:6px 0 12px; }
  65. .pol-section li { font-family:'DM Sans',sans-serif; font-size:.925rem; color:var(--pol-muted); line-height:1.78; margin-bottom:5px; text-align:left; }
  66. .pol-divider { border:none; border-top:1px solid var(--pol-border); margin:36px 0; }
  67. .pol-infobox {
  68.     background:#fff; border:1px solid var(--pol-border); border-radius:10px;
  69.     padding:20px 22px; margin-bottom:16px;
  70.     font-family:'DM Sans',sans-serif; font-size:.9rem; color:var(--pol-muted); line-height:1.7;
  71. }
  72. .pol-infobox strong { color:var(--pol-dark); }
  73. .pol-annex-label {
  74.     display:inline-block; font-family:monospace; font-size:.72rem; font-weight:700;
  75.     letter-spacing:.1em; text-transform:uppercase; color:var(--pol-amber);
  76.     background:rgba(192,125,42,.1); border-radius:4px; padding:2px 8px; margin-bottom:14px;
  77. }
  78. .pol-contact { background:#fff; border:1px solid var(--pol-border); border-radius:12px; padding:24px 28px; }
  79. .pol-contact p  { font-family:'DM Sans',sans-serif; font-size:.9rem; color:var(--pol-muted); margin:0 0 6px; text-align:left; }
  80. .pol-contact a  { color:var(--pol-amber); font-weight:600; text-decoration:none; }
  81. .pol-contact a:hover { text-decoration:underline; }
  82. </style>
  84. <div class="pol-outer">
  86.     {# ── Hero ─────────────────────────────────────────────────────────────────── #}
  87.     <div class="pol-hero">
  88.         <div class="pol-hero-tag">Legal</div>
  89.         <h1>Data Processing Addendum</h1>
  90.         <p class="pol-hero-meta">
  91.             <span>Last updated: April 2026</span>
  92.             <span>Applies to: all HoneyBee subscriptions and service agreements</span>
  93.         </p>
  94.         <p style="font-family:'DM Sans',sans-serif;font-size:.95rem;color:var(--pol-muted);line-height:1.75;max-width:760px;margin-top:14px">
  95.             This DPA forms part of the HoneyBee Terms of Service, Order Form, Master Services Agreement, Subscription
  96.             Agreement, or other written contract between the parties (the "Agreement"). It is entered into by and between the
  97.             Customer identified in the Agreement and <strong style="color:var(--pol-dark)">HONEYBEE IOT (PTE.) LTD.</strong>
  98.             ("HoneyBee"). Customer and HoneyBee are each a "Party" and together the "Parties".
  99.         </p>
  100.     </div>
  102.     <div class="pol-grid">
  104.         {# ── TOC sidebar ──────────────────────────────────────────────────────── #}
  105.         <div class="pol-toc-col">
  106.             <div class="pol-toc-inner">
  107.                 <div class="pol-toc-title">Contents</div>
  108.                 <ul class="pol-toc-list">
  109.                     <li><a href="#dpa-1">1. Purpose &amp; scope</a></li>
  110.                     <li><a href="#dpa-2">2. Definitions</a></li>
  111.                     <li><a href="#dpa-3">3. Roles of the Parties</a></li>
  112.                     <li><a href="#dpa-4">4. Customer instructions</a></li>
  113.                     <li><a href="#dpa-5">5. Confidentiality</a></li>
  114.                     <li><a href="#dpa-6">6. Security of processing</a></li>
  115.                     <li><a href="#dpa-7">7. Subprocessors</a></li>
  116.                     <li><a href="#dpa-8">8. Data Subject rights</a></li>
  117.                     <li><a href="#dpa-9">9. Compliance assistance</a></li>
  118.                     <li><a href="#dpa-10">10. Security Incidents</a></li>
  119.                     <li><a href="#dpa-11">11. Return &amp; deletion</a></li>
  120.                     <li><a href="#dpa-12">12. Audits &amp; inspections</a></li>
  121.                     <li><a href="#dpa-13">13. International transfers</a></li>
  122.                     <li><a href="#dpa-14">14. Records &amp; cooperation</a></li>
  123.                     <li><a href="#dpa-15">15. Liability</a></li>
  124.                     <li><a href="#dpa-16">16. Order of precedence</a></li>
  125.                     <li><a href="#dpa-17">17. Governing law</a></li>
  126.                     <li><a href="#dpa-ann1">Annex 1 – Processing details</a></li>
  127.                     <li><a href="#dpa-ann2">Annex 2 – Security measures</a></li>
  128.                     <li><a href="#dpa-ann3">Annex 3 – SCC notes</a></li>
  129.                 </ul>
  130.             </div>
  131.         </div>
  133.         {# ── Main content ─────────────────────────────────────────────────────── #}
  134.         <div class="pol-content">
  136.             <div class="pol-section" id="dpa-1">
  137.                 <h2>1. Purpose and scope</h2>
  138.                 <p>This DPA applies where HoneyBee processes Personal Data on behalf of Customer in connection with the Services.</p>
  139.                 <p>This DPA sets out the Parties' rights and obligations with respect to such processing and is intended to
  140.                 satisfy the contractual requirements that apply when a controller appoints a processor under applicable data
  141.                 protection law.</p>
  142.                 <p>If and to the extent HoneyBee processes Personal Data as a controller in its own right, this DPA does not
  143.                 apply to that processing.</p>
  144.             </div>
  146.             <hr class="pol-divider">
  148.             <div class="pol-section" id="dpa-2">
  149.                 <h2>2. Definitions</h2>
  150.                 <p>In this DPA:</p>
  151.                 <ul>
  152.                     <li><strong>"Applicable Data Protection Law"</strong> means the GDPR, UK GDPR, Swiss data protection law,
  153.                     and any other applicable law governing the processing of Personal Data under the Agreement.</li>
  154.                     <li><strong>"Controller"</strong> means the entity that determines the purposes and means of the processing
  155.                     of Personal Data.</li>
  156.                     <li><strong>"Processor"</strong> means the entity that processes Personal Data on behalf of the Controller.</li>
  157.                     <li><strong>"Data Subject"</strong> means an identified or identifiable natural person to whom Personal Data relates.</li>
  158.                     <li><strong>"Personal Data"</strong> means any information relating to an identified or identifiable natural
  159.                     person processed by HoneyBee on behalf of Customer under the Agreement.</li>
  160.                     <li><strong>"Processing"</strong> or <strong>"process"</strong> means any operation or set of operations
  161.                     performed on Personal Data, whether or not by automated means.</li>
  162.                     <li><strong>"Security Incident"</strong> means a breach of security leading to the accidental or unlawful
  163.                     destruction, loss, alteration, unauthorised disclosure of, or access to, Personal Data processed by
  164.                     HoneyBee on behalf of Customer.</li>
  165.                     <li><strong>"Subprocessor"</strong> means any third party engaged by HoneyBee to process Personal Data
  166.                     on behalf of Customer.</li>
  167.                     <li><strong>"SCCs"</strong> means the Standard Contractual Clauses approved by the European Commission or
  168.                     other competent authority, as applicable.</li>
  169.                 </ul>
  170.                 <p>Capitalised terms not defined here have the meaning given in the Agreement.</p>
  171.             </div>
  173.             <hr class="pol-divider">
  175.             <div class="pol-section" id="dpa-3">
  176.                 <h2>3. Roles of the Parties</h2>
  177.                 <p>3.1 Customer acts as Controller of the Personal Data processed under this DPA, except where Customer
  178.                 itself acts as a processor on behalf of another controller, in which case HoneyBee will act as Customer's
  179.                 subprocessor.</p>
  180.                 <p>3.2 HoneyBee acts as Processor and will process Personal Data only on behalf of Customer and in accordance
  181.                 with this DPA, the Agreement, and Customer's documented instructions, unless required to do otherwise by
  182.                 applicable law.</p>
  183.                 <p>3.3 The subject matter, duration, nature, purpose, categories of Personal Data, and categories of Data
  184.                 Subjects are described in Annex 1 to this DPA.</p>
  185.             </div>
  187.             <hr class="pol-divider">
  189.             <div class="pol-section" id="dpa-4">
  190.                 <h2>4. Customer instructions</h2>
  191.                 <p>4.1 HoneyBee will process Personal Data only on documented instructions from Customer, including with
  192.                 regard to transfers of Personal Data to a third country or international organisation, unless required to
  193.                 do otherwise by applicable law.</p>
  194.                 <p>4.2 The Agreement, this DPA, Customer's use and configuration of the Services, and any written
  195.                 implementation or support instructions issued by Customer constitute Customer's documented instructions.</p>
  196.                 <p>4.3 If HoneyBee believes an instruction infringes Applicable Data Protection Law, HoneyBee will inform
  197.                 Customer without undue delay, unless prohibited from doing so by law.</p>
  198.                 <p>4.4 Customer is responsible for ensuring that its instructions comply with Applicable Data Protection Law.</p>
  199.             </div>
  201.             <hr class="pol-divider">
  203.             <div class="pol-section" id="dpa-5">
  204.                 <h2>5. Confidentiality</h2>
  205.                 <p>5.1 HoneyBee will ensure that all persons authorised to process Personal Data are subject to an
  206.                 appropriate duty of confidentiality, whether contractual or statutory.</p>
  207.                 <p>5.2 HoneyBee will ensure that access to Personal Data is limited to personnel who need such access to
  208.                 perform the Services or comply with legal obligations.</p>
  209.             </div>
  211.             <hr class="pol-divider">
  213.             <div class="pol-section" id="dpa-6">
  214.                 <h2>6. Security of processing</h2>
  215.                 <p>6.1 HoneyBee will implement and maintain appropriate technical and organisational measures designed to
  216.                 protect Personal Data against accidental or unlawful destruction, loss, alteration, unauthorised disclosure,
  217.                 or access.</p>
  218.                 <p>6.2 Those measures will take into account: the nature, scope, context, and purposes of the processing;
  219.                 the risks to the rights and freedoms of natural persons; the state of the art; and the costs of implementation.</p>
  220.                 <p>6.3 HoneyBee's baseline technical and organisational measures are described in Annex 2.</p>
  221.                 <p>6.4 HoneyBee may update or modify the measures in Annex 2 from time to time, provided that the overall
  222.                 level of security is not materially reduced.</p>
  223.             </div>
  225.             <hr class="pol-divider">
  227.             <div class="pol-section" id="dpa-7">
  228.                 <h2>7. Subprocessors</h2>
  229.                 <p>7.1 Customer grants HoneyBee general written authorisation to engage Subprocessors for the processing of
  230.                 Personal Data, provided that HoneyBee complies with this Section.</p>
  231.                 <p>7.2 HoneyBee will impose data protection obligations on each Subprocessor by written contract that are
  232.                 no less protective than those set out in this DPA, to the extent applicable to the nature of the services
  233.                 provided by that Subprocessor.</p>
  234.                 <p>7.3 HoneyBee remains responsible for the performance of each Subprocessor's data protection obligations
  235.                 to the extent required by Applicable Data Protection Law and the Agreement.</p>
  236.                 <p>7.4 HoneyBee will make available a current Subprocessor list or a mechanism by which Customer can obtain
  237.                 information about current Subprocessors.</p>
  238.                 <p>7.5 Where commercially appropriate, HoneyBee will provide notice of material changes to Subprocessors
  239.                 and give Customer a reasonable opportunity to raise a substantiated objection on data protection grounds.</p>
  240.                 <p>7.6 If Customer raises a reasonable objection that cannot be resolved, HoneyBee may, at its option:</p>
  241.                 <ul>
  242.                     <li>recommend a commercially reasonable alternative;</li>
  243.                     <li>stop using the relevant Subprocessor for Customer; or</li>
  244.                     <li>permit Customer to terminate the affected Services in accordance with the Agreement.</li>
  245.                 </ul>
  246.             </div>
  248.             <hr class="pol-divider">
  250.             <div class="pol-section" id="dpa-8">
  251.                 <h2>8. Assistance with Data Subject rights</h2>
  252.                 <p>8.1 Taking into account the nature of the processing, HoneyBee will provide Customer with reasonable
  253.                 assistance through appropriate technical and organisational measures to enable Customer to respond to
  254.                 requests by Data Subjects to exercise their rights under Applicable Data Protection Law.</p>
  255.                 <p>8.2 If HoneyBee receives a request directly from a Data Subject relating to Personal Data processed on
  256.                 behalf of Customer, HoneyBee will:</p>
  257.                 <ul>
  258.                     <li>not respond directly except as required by law or as authorised by Customer;</li>
  259.                     <li>promptly inform Customer, where legally permitted;</li>
  260.                     <li>provide reasonable cooperation so Customer can respond.</li>
  261.                 </ul>
  262.             </div>
  264.             <hr class="pol-divider">
  266.             <div class="pol-section" id="dpa-9">
  267.                 <h2>9. Assistance with Customer compliance obligations</h2>
  268.                 <p>9.1 Taking into account the nature of the processing and the information available to HoneyBee, HoneyBee
  269.                 will provide reasonable assistance to Customer in relation to:</p>
  270.                 <ul>
  271.                     <li>security of processing;</li>
  272.                     <li>personal data breach notification obligations;</li>
  273.                     <li>data protection impact assessments;</li>
  274.                     <li>prior consultation with supervisory authorities;</li>
  275.                     <li>records and information reasonably needed to demonstrate compliance.</li>
  276.                 </ul>
  277.                 <p>9.2 HoneyBee will provide this assistance to the extent required by Applicable Data Protection Law and
  278.                 proportionate to HoneyBee's role as Processor.</p>
  279.             </div>
  281.             <hr class="pol-divider">
  283.             <div class="pol-section" id="dpa-10">
  284.                 <h2>10. Security Incidents</h2>
  285.                 <p>10.1 HoneyBee will notify Customer without undue delay after becoming aware of a Security Incident
  286.                 affecting Personal Data processed on behalf of Customer.</p>
  287.                 <p>10.2 To the extent known and reasonably available, HoneyBee's notification will include:</p>
  288.                 <ul>
  289.                     <li>a description of the nature of the Security Incident;</li>
  290.                     <li>the categories and approximate number of affected Data Subjects, where known;</li>
  291.                     <li>the categories and approximate number of affected records, where known;</li>
  292.                     <li>the likely consequences of the Security Incident, where known;</li>
  293.                     <li>measures taken or proposed to address the Security Incident.</li>
  294.                 </ul>
  295.                 <p>10.3 HoneyBee will take commercially reasonable steps to investigate, contain, mitigate, and remediate
  296.                 the Security Incident.</p>
  297.                 <p>10.4 HoneyBee's notification under this Section does not constitute an admission of fault or liability.</p>
  298.             </div>
  300.             <hr class="pol-divider">
  302.             <div class="pol-section" id="dpa-11">
  303.                 <h2>11. Return and deletion of Personal Data</h2>
  304.                 <p>11.1 Upon termination or expiry of the Agreement, and at Customer's choice, HoneyBee will:</p>
  305.                 <ul>
  306.                     <li>return Personal Data to Customer; or</li>
  307.                     <li>delete Personal Data,</li>
  308.                 </ul>
  309.                 <p>unless Applicable Data Protection Law requires continued retention.</p>
  310.                 <p>11.2 Where the Services provide self-service export functionality, Customer may use those tools to
  311.                 retrieve Personal Data during the applicable export window.</p>
  312.                 <p>11.3 HoneyBee may retain limited records where required by law, for legitimate security, fraud-prevention,
  313.                 tax, audit, backup, dispute-resolution, or legal-hold purposes, provided that such retained data remains
  314.                 protected in accordance with this DPA.</p>
  315.                 <p>11.4 If Customer does not make an election, HoneyBee may delete Personal Data after expiry of any
  316.                 applicable retention or export period stated in the Agreement or support documentation.</p>
  317.             </div>
  319.             <hr class="pol-divider">
  321.             <div class="pol-section" id="dpa-12">
  322.                 <h2>12. Information, audits, and inspections</h2>
  323.                 <p>12.1 HoneyBee will make available to Customer information reasonably necessary to demonstrate compliance
  324.                 with this DPA.</p>
  325.                 <p>12.2 Where such information is insufficient for Customer's legal obligations, HoneyBee will allow and
  326.                 contribute to reasonable audits or inspections by Customer or an independent auditor mandated by Customer,
  327.                 subject to the following conditions:</p>
  328.                 <ul>
  329.                     <li>reasonable prior written notice;</li>
  330.                     <li>no more than once annually unless required by law or triggered by a Security Incident or
  331.                     substantiated compliance concern;</li>
  332.                     <li>audits must be limited in scope to the processing of Personal Data under the Agreement;</li>
  333.                     <li>audits must not unreasonably interfere with HoneyBee's business operations, security, or
  334.                     confidentiality obligations to other customers;</li>
  335.                     <li>Customer and any auditor must protect HoneyBee's confidential information;</li>
  336.                     <li>HoneyBee may satisfy audit obligations through provision of current third-party audit reports,
  337.                     certifications, summaries, or comparable documentation where appropriate.</li>
  338.                 </ul>
  339.                 <p>12.3 Customer will bear its own audit costs, unless the audit reveals a material breach of this DPA
  340.                 by HoneyBee.</p>
  341.             </div>
  343.             <hr class="pol-divider">
  345.             <div class="pol-section" id="dpa-13">
  346.                 <h2>13. International transfers</h2>
  347.                 <p>13.1 Where HoneyBee processes Personal Data in a country outside the EEA, the UK, or Switzerland, and
  348.                 Applicable Data Protection Law requires a transfer mechanism, the Parties will implement an appropriate
  349.                 lawful transfer mechanism.</p>
  350.                 <p>13.2 Where applicable, that mechanism may include:</p>
  351.                 <ul>
  352.                     <li>the European Commission's Standard Contractual Clauses;</li>
  353.                     <li>the UK International Data Transfer Addendum or UK-approved SCC version;</li>
  354.                     <li>Swiss transfer addendum language;</li>
  355.                     <li>adequacy decisions where available;</li>
  356.                     <li>any other lawful transfer mechanism recognised under Applicable Data Protection Law.</li>
  357.                 </ul>
  358.                 <p>13.3 If the SCCs are required, they are incorporated by reference into this DPA or may be executed as
  359.                 a separate annex. Where the relevant SCC module already includes the Article 28 requirements, the Parties
  360.                 may rely on that SCC module rather than duplicating equivalent provisions.</p>
  361.                 <p>13.4 The Parties will complete any required annexes, appendices, or transfer details using the information
  362.                 in Annex 1 and Annex 2 of this DPA, as supplemented where necessary.</p>
  363.             </div>
  365.             <hr class="pol-divider">
  367.             <div class="pol-section" id="dpa-14">
  368.                 <h2>14. Records and cooperation</h2>
  369.                 <p>14.1 HoneyBee will maintain records of processing activities where required by Applicable Data
  370.                 Protection Law.</p>
  371.                 <p>14.2 HoneyBee will cooperate reasonably with supervisory authorities or equivalent regulators to the
  372.                 extent required by law in relation to processing under this DPA.</p>
  373.                 <p>14.3 HoneyBee will promptly inform Customer if, in its opinion, an instruction from Customer violates
  374.                 Applicable Data Protection Law.</p>
  375.             </div>
  377.             <hr class="pol-divider">
  379.             <div class="pol-section" id="dpa-15">
  380.                 <h2>15. Liability</h2>
  381.                 <p>15.1 This DPA is subject to the liability limitations, exclusions, and allocation of risk set out in
  382.                 the Agreement, unless Applicable Data Protection Law requires otherwise.</p>
  383.                 <p>15.2 Nothing in this DPA excludes or limits either Party's liability to the extent such exclusion or
  384.                 limitation is prohibited by law.</p>
  385.             </div>
  387.             <hr class="pol-divider">
  389.             <div class="pol-section" id="dpa-16">
  390.                 <h2>16. Order of precedence</h2>
  391.                 <p>If there is any conflict between this DPA and the Agreement with respect to the processing of Personal
  392.                 Data, this DPA will prevail to the extent of that conflict.</p>
  393.                 <p>If the Parties execute SCCs or another transfer mechanism that conflicts with this DPA, the SCCs or that
  394.                 transfer mechanism will prevail to the extent legally required for the relevant transfer.</p>
  395.             </div>
  397.             <hr class="pol-divider">
  399.             <div class="pol-section" id="dpa-17">
  400.                 <h2>17. Governing law and jurisdiction</h2>
  401.                 <p>This DPA will be governed by the governing law and jurisdiction provisions of the Agreement, unless the
  402.                 SCCs or another mandatory transfer mechanism require otherwise for a specific claim or interpretation issue.</p>
  403.             </div>
  405.             <hr class="pol-divider">
  407.             {# ── Annex 1 ──────────────────────────────────────────────────────── #}
  408.             <div class="pol-section" id="dpa-ann1">
  409.                 <div class="pol-annex-label">Annex 1</div>
  410.                 <h2>Details of processing</h2>
  411.                 <h3>A. Subject matter of the processing</h3>
  412.                 <p>Provision of the HoneyBee platform and related services, including hosting, storage, workflow execution,
  413.                 support, implementation, migration, integration, mobile functionality, analytics, AI-assisted features where
  414.                 enabled, and related operational services.</p>
  416.                 <h3>B. Duration of the processing</h3>
  417.                 <p>For the duration of the Agreement and any agreed post-termination retention, export, backup, or
  418.                 legal-hold period.</p>
  420.                 <h3>C. Nature of the processing</h3>
  421.                 <p>Collection, recording, organisation, structuring, storage, adaptation, retrieval, consultation, use,
  422.                 disclosure by transmission, alignment, combination, restriction, deletion, or destruction of Personal Data
  423.                 as necessary to provide the Services.</p>
  425.                 <h3>D. Purpose(s) of the processing</h3>
  426.                 <p>To provide the Services to Customer, including account administration, hosting, workflow management,
  427.                 project and finance processing, support, implementation, security, backups, exports, and any agreed
  428.                 integrations or private deployments.</p>
  430.                 <h3>E. Categories of Data Subjects</h3>
  431.                 <p>May include, depending on Customer's use of the Services:</p>
  432.                 <ul>
  433.                     <li>Customer personnel and users;</li>
  434.                     <li>employees, applicants, contractors, and consultants;</li>
  435.                     <li>clients, customers, and prospects;</li>
  436.                     <li>suppliers and vendors;</li>
  437.                     <li>site visitors or authorised third parties included in Customer records;</li>
  438.                     <li>any other individuals whose Personal Data Customer uploads or generates in the Services.</li>
  439.                 </ul>
  441.                 <h3>F. Categories of Personal Data</h3>
  442.                 <p>May include, depending on Customer's use of the Services:</p>
  443.                 <ul>
  444.                     <li>identification and contact data;</li>
  445.                     <li>user account and profile data;</li>
  446.                     <li>HR, attendance, and workforce data;</li>
  447.                     <li>payroll-supporting or finance-related records;</li>
  448.                     <li>project records and approval records;</li>
  449.                     <li>operational and service data;</li>
  450.                     <li>communications and support records;</li>
  451.                     <li>uploaded files, attachments, receipts, and documents;</li>
  452.                     <li>technical, log, and usage data;</li>
  453.                     <li>AI prompts and outputs where enabled and submitted by Customer users.</li>
  454.                 </ul>
  456.                 <h3>G. Special categories of Personal Data</h3>
  457.                 <p>The Services are not intended by default for special category or highly sensitive Personal Data unless
  458.                 expressly agreed by the Parties and supported by appropriate controls. If Customer chooses to upload such
  459.                 data, Customer is responsible for ensuring a lawful basis and giving documented instructions.</p>
  461.                 <h3>H. Frequency of the processing</h3>
  462.                 <p>Continuous or as initiated by Customer users, systems, integrations, or support interactions during
  463.                 the term of the Agreement.</p>
  465.                 <h3>I. Location(s) of processing</h3>
  466.                 <p>As stated in the Agreement, implementation documents, infrastructure documentation, Subprocessor
  467.                 documentation, or transfer documentation applicable to the relevant Service deployment.</p>
  468.             </div>
  470.             <hr class="pol-divider">
  472.             {# ── Annex 2 ──────────────────────────────────────────────────────── #}
  473.             <div class="pol-section" id="dpa-ann2">
  474.                 <div class="pol-annex-label">Annex 2</div>
  475.                 <h2>Technical and organisational measures</h2>
  476.                 <p>HoneyBee will maintain technical and organisational measures appropriate to the risk, which may include:</p>
  478.                 <h3>A. Organisational measures</h3>
  479.                 <ul>
  480.                     <li>internal access-control policies;</li>
  481.                     <li>role-based access to customer environments;</li>
  482.                     <li>confidentiality obligations for staff and contractors;</li>
  483.                     <li>onboarding and offboarding controls for personnel;</li>
  484.                     <li>incident response procedures;</li>
  485.                     <li>vendor and Subprocessor due diligence;</li>
  486.                     <li>change-management and release-management processes;</li>
  487.                     <li>documented security responsibilities.</li>
  488.                 </ul>
  490.                 <h3>B. Access controls</h3>
  491.                 <ul>
  492.                     <li>authentication mechanisms and credential controls;</li>
  493.                     <li>optional or available MFA where supported;</li>
  494.                     <li>least-privilege access principles;</li>
  495.                     <li>restricted administrative access;</li>
  496.                     <li>logging of privileged or sensitive actions where appropriate.</li>
  497.                 </ul>
  499.                 <h3>C. Network and infrastructure security</h3>
  500.                 <ul>
  501.                     <li>network segmentation or equivalent controls where appropriate;</li>
  502.                     <li>firewalling and perimeter protections;</li>
  503.                     <li>monitoring for suspicious activity;</li>
  504.                     <li>secure remote administration practices;</li>
  505.                     <li>patching and vulnerability-management processes.</li>
  506.                 </ul>
  508.                 <h3>D. Data protections</h3>
  509.                 <ul>
  510.                     <li>encryption in transit using current industry-standard protocols where supported;</li>
  511.                     <li>encryption at rest where appropriate to the deployment model;</li>
  512.                     <li>logical isolation of customer environments where relevant;</li>
  513.                     <li>backup and recovery procedures;</li>
  514.                     <li>controls around export and deletion.</li>
  515.                 </ul>
  517.                 <h3>E. Availability and resilience</h3>
  518.                 <ul>
  519.                     <li>backup routines;</li>
  520.                     <li>disaster recovery or service restoration measures;</li>
  521.                     <li>monitoring of service availability and core infrastructure health;</li>
  522.                     <li>continuity planning appropriate to the service tier.</li>
  523.                 </ul>
  525.                 <h3>F. Application and development security</h3>
  526.                 <ul>
  527.                     <li>change control for production systems;</li>
  528.                     <li>issue tracking and remediation processes;</li>
  529.                     <li>testing before major releases where appropriate;</li>
  530.                     <li>access restrictions for development and support personnel.</li>
  531.                 </ul>
  533.                 <h3>G. Incident management</h3>
  534.                 <ul>
  535.                     <li>procedures to detect, assess, escalate, contain, and remediate Security Incidents;</li>
  536.                     <li>communication workflows for incident notification;</li>
  537.                     <li>post-incident review processes where appropriate.</li>
  538.                 </ul>
  540.                 <h3>H. Physical security</h3>
  541.                 <p>Where HoneyBee relies on third-party data centres or infrastructure providers, physical security
  542.                 controls are managed by those providers under their own certified or documented controls, as applicable.</p>
  543.                 <p>HoneyBee may update these measures over time so long as the overall level of protection is not
  544.                 materially reduced.</p>
  545.             </div>
  547.             <hr class="pol-divider">
  549.             {# ── Annex 3 ──────────────────────────────────────────────────────── #}
  550.             <div class="pol-section" id="dpa-ann3">
  551.                 <div class="pol-annex-label">Annex 3</div>
  552.                 <h2>Optional SCC implementation notes</h2>
  553.                 <p>Use this annex only where the Parties need Standard Contractual Clauses for a restricted transfer.
  554.                 If required, complete a separate SCC attachment with:</p>
  555.                 <ul>
  556.                     <li>exporter and importer names and contact details;</li>
  557.                     <li>relevant SCC module:
  558.                         <ul style="margin-top:4px">
  559.                             <li>Module 2 for controller-to-processor;</li>
  560.                             <li>Module 3 for processor-to-processor;</li>
  561.                         </ul>
  562.                     </li>
  563.                     <li>competent supervisory authority where required;</li>
  564.                     <li>description of transfer;</li>
  565.                     <li>technical and organisational measures (cross-reference Annex 2);</li>
  566.                     <li>list of subprocessors;</li>
  567.                     <li>supplementary measures if applicable.</li>
  568.                 </ul>
  569.                 <p>The modernised 2021 SCCs (Modules 2 and 3) can also cover the Article 28 processor-contract
  570.                 requirements. Where the relevant SCC module already includes those requirements, the Parties may rely
  571.                 on that SCC module rather than duplicating equivalent provisions in this DPA.</p>
  572.             </div>
  574.             <hr class="pol-divider">
  576.             <div class="pol-contact">
  577.                 <p><strong style="color:var(--pol-dark)">Questions about this DPA?</strong></p>
  578.                 <p>Contact us at <a href="mailto:privacy@ourhoneybee.eu">privacy@ourhoneybee.eu</a> or
  579.                 <a href="mailto:info@ourhoneybee.eu">info@ourhoneybee.eu</a></p>
  580.                 <p style="margin-top:10px">Also see: <a href="{{ url('privacy_policy') }}">Privacy Policy</a> &nbsp;·&nbsp;
  581.                 <a href="{{ url('honeybee_terms_and_conditions') }}">Terms of Service</a></p>
  582.             </div>
  584.         </div>{# /pol-content #}
  585.     </div>{# /pol-grid #}
  586. </div>{# /pol-outer #}
  588. <script>
  589. (function () {
  590.     var sections = document.querySelectorAll('.pol-section[id]');
  591.     var links    = document.querySelectorAll('.pol-toc-list a');
  592.     if (!sections.length || !links.length) return;
  594.     var observer = new IntersectionObserver(function (entries) {
  595.         entries.forEach(function (entry) {
  596.             if (entry.isIntersecting) {
  597.                 links.forEach(function (a) { a.classList.remove('toc-active'); });
  598.                 var active = document.querySelector('.pol-toc-list a[href="#' + entry.target.id + '"]');
  599.                 if (active) active.classList.add('toc-active');
  600.             }
  601.         });
  602.     }, { rootMargin: '-80px 0px -60% 0px', threshold: 0 });
  604.     sections.forEach(function (s) { observer.observe(s); });
  605. }());
  606. </script>
  608. {% include '@HoneybeeWeb/footer/central_footer.html.twig' %}