Анекс за обработка на данни на Marzipan

Настоящото Допълнение за обработка на данни ("DPA") допълва и се включва чрез препратка в Договора, сключен между Marzipan и Клиента единствено въз основа на Условията за ползване на Marzipan, когато Клиентът се регистрира или получава достъп до някоя от Услугите, включително, но не само:

1. дигиталната услуга за генериране и хостинг на винени етикети, предоставяна от Marzipan, търгуващо като "Labls" на labls.io и labls.co (включително всички поддомейни към тях), която е предназначена за производители на вино, задължени по закон да публикуват вярна локализирана информация на официален език на ЕС относно произхода и съдържанието на вина, разпространявани в рамките на ЕС съгласно Регламент (ЕС) 2021/2117 ("Услугите Labls");
2. облачната платформа за е-търговия и управление на данни, предоставяна от Marzipan на marzipan.co (включително всички нейни поддомейни), която дава възможност на винарни да обединят своите дейности в областта на е-търговията чрез администриране на инвентар, поръчки, изпълнение и доставка, плащания, анализи, маркетингови кампании и комуникация с клиенти в рамките на всички техни цифрови канали за продажби от един централен интерфейс на табло за управление и система за управление на съдържание ("Услугите на платформата").

Настоящото DPA се прилага, доколкото Marzipan обработва лични данни от името на Клиент в качеството си на Обработващ данните във връзка с предоставянето на Услугите по Договора. Категориите лични данни, обработвани от Marzipan като част от Услугите, са подробно описани в клауза 4 на настоящото DPA.

Тъй като Регламент (ЕС) 2021/2117 забранява на винарни и други участници в бранша да обработват лични данни на потребители чрез електронни етикети за вино, прикрепени към техните продукти, Marzipan е разработил своята услуга за хостинг и генериране на електронни етикети на labls.io и labls.co по начин, който не позволява събирането и проследяването на лични данни от Клиент или Marzipan по отношение на електронен етикет. Поради това настоящото DPA не се прилага за този аспект на Услугите.

Capitalised terms that are not defined within this DPA have the meaning given to them in the Contract. For the avoidance of doubt, all references to the "Contract" shall include this DPA (including the Annexes to this DPA and the SCCs). In the case of any conflict between the Contract and this DPA, the DPA shall prevail with respect to the processing of Personal Data.

1. Дефиниции

   Партньорска програма

   означава юридическо лице, което пряко или непряко Контролира, е Контролирано от или е под общ Контрол с дадено юридическо лице.

   Бизнес цели

   Услугите, които Marzipan следва да предоставя на Клиента, съгласно определеното в Договора.

   Контрол

   означава дялово участие, право на глас или подобен интерес, представляващ петдесет процента (50%) или повече от общия брой на съществуващите към момента интереси на съответното юридическо лице. Терминът "Контролирано" следва да се тълкува съответно.

   Клиент

   физическото или юридическото лице или субект, който е страна по Договора.

   Клиентски акаунт

   всеки онлайн акаунт (акаунти), регистриран от Клиента в Услугите, който предоставя оторизиран достъп до Услугите.

   Клиентски данни

   означава всякакви Лични данни, които Marzipan обработва от името на Клиента чрез Услугите.

   Закони за защита на данните

   означава всички приложими закони и разпоредби в съответните юрисдикции, свързани с използването или обработването на Лични данни, включително: (i) Калифорнийският закон за защита на неприкосновеността на потребителите от 2018 г. ("CCPA"); (ii) Общият регламент за защита на данните ((ЕС) 2016/279) ("EU GDPR"); (iii) Федералният швейцарски закон за защита на данните; (iv) EU GDPR, доколкото е част от правото на Англия и Уелс, Шотландия и Северна Ирландия по силата на раздел 3(10) (допълнен от раздел 205(4)) от Закона за защита на данните от 2018 г. ("UK GDPR"); (v) Законът за защита на данните от 2018 г. (и наредбите, издадени въз основа на него) ("DPA 2018"); и (vi) Наредбите за неприкосновеност на личния живот и електронните комуникации от 2003 г. (SI 2003/2426) с измененията им ("PECR 2003"); като всеки от тях се прилага в актуализирания, изменен или заменен вариант. Термините "Администратор на данни", "Обработващ данни", "Субект на данни", "Искане на субект на данни", "Лични данни", "Нарушение на сигурността на личните данни", "Обработване", "Подобработващ" и "Надзорен орган" имат значенията, определени в EU GDPR.

   Електронен етикет

   специфичен електронен етикет за вино, хостван на labls.io и labls.co (или уебсайт на трета страна от името на Marzipan), който компилира структурирана информация (съдържание на е-етикета) за продукт за вино или ароматизирано вино на даден Клиент за конкретен пазар в ЕС на един от 24-те официални езика на държавите членки и който отговаря на общите и секторно специфичните изисквания за етикетиране, установени в Регламентите на ЕС за етикетиране на вина.

   ЕИП

   Европейското икономическо пространство.

   Крайни клиенти

   потребителите или бизнес клиентите, на които Клиентът предлага, рекламира или доставя продукти или услуги чрез Услугите.

   EU SCCs

   означава стандартните договорни клаузи между администратори и обработващи лични данни, одобрени от Европейската комисия с Решение за изпълнение (ЕС) 2021/914 от 4 юни 2021 г., достъпни на посочения тук адрес.

   EU Wine Labelling Regulations

   правилата за етикетиране на вина и ароматизирани лозаро-винарски продукти, въведени с Регламент (ЕС) 2021/2117 на Европейския парламент и на Съвета за изменение на Регламент (ЕС) № 1308/2013, включително доколкото тези правила са въведени в сила и пораждат действие съгласно Делегиран регламент (ЕС) 2019/33 на Комисията от 17 октомври 2018 г. за допълване на Регламент (ЕС) № 1308/2013/

   Прехвърляне извън ЕИП

   означава прехвърлянето на Клиентски данни, обработвани в съответствие с EU GDPR, към сървър, мрежа, изчислителна система, предприятие, лице или обект, намиращи се извън Европейското икономическо пространство, като това прехвърляне не се урежда от решение за адекватност на Европейската комисия в съответствие с член 45 от EU GDPR.

   Прехвърляне извън UK

   означава прехвърлянето на Клиентски данни, обработвани в съответствие с UK GDPR и Закона за защита на данните от 2018 г., към сървър, мрежа, изчислителна система, предприятие, лице или обект, намиращи се извън UK, като това прехвърляне не се урежда от решение за адекватност на Държавния секретар на UK в съответствие с приложимите разпоредби на UK GDPR и Закона за защита на данните от 2018 г.

   Labls услуги

   услугите за създаване, управление и хостинг на електронни етикети, предоставяни от Marzipan на labls.io на абонаментна (или друга) основа, които дават възможност на Клиентите да генерират, администрират и публикуват електронни етикети за своите продукти от вино или ароматизирано вино.

   Политика за поверителност на Marzipan

   означава уведомлението за добросъвестно обработване на лични данни, публикувано от Marzipan на адрес marzipan.co/privacy, в неговата изменена, заместена и/или допълнена редакция към съответния момент.

   Платформени услуги

   базираната в облак платформа за електронна търговия и управление на данни, предоставяна от Marzipan на marzipan.co, която дава възможност на винарни да обединят своята онлайн търговска дейност чрез администриране на инвентар, поръчки, изпълнение и доставка, плащания, анализи, маркетингови кампании и комуникация с клиенти по всички техни дигитални канали за продажби от един централен интерфейс на табло за управление и система за управление на съдържание.

   Инцидент със сигурността

   всяко неоторизирано или незаконосъобразно нарушение на сигурността, водещо до случайно или незаконосъобразно унищожаване, загуба или изменение на Клиентски данни, или до неоторизирано разкриване на или достъп до Клиентски данни в системи, управлявани или по друг начин контролирани от Marzipan.

   Доставчик на услуги

   има значението, дадено в Калифорнийския закон за защита на личните данни на потребителите от 2018 г. ("CCPA").

   Услуги

   означава, поотделно и колективно, услугите Labls и Платформените услуги.

   Данни от специална категория

   има значенията, дадени в членове 4(13), 4(14), 4(15) и 9 на EU GDPR и UK GDPR (в зависимост от приложимото).

   Стандартни договорни клаузи (СДК)

   означава EU СДК и UK СДК, в зависимост от приложимото.

   UK Addendum

   означава Добавка за международно прехвърляне на данни (версия B1.0) (International Data Transfer Addendum), издадена от Службата на комисаря по информация (Information Commissioner's Office) съгласно чл. 119(A) от UK Закона за защита на данните от 2018 г., в актуалната му редакция.

   UK СДК

   означава EU СДК, преразгледани и изменени от UK Addendum.

   Данни за използване

   всякакви данни, генерирани във връзка с достъпа, използването и конфигурирането на Услугите от страна на Клиентите, и данни, получени от тях. Данните за използване не включват Клиентски данни или лични данни.

2. Инструкции на Клиента

   1. Marzipan и Клиентът се съгласяват, че настоящото DPA и Договорът, заедно с конфигурацията или използването от страна на Клиента на настройки, функции или опции в Услугите (които Клиентът може да променя периодично), съставляват писмените документирани инструкции на Клиента относно обработването на Клиентски данни от Marzipan (включително за целите на UK СДК) ("Документирани инструкции"). Marzipan ще обработва Клиентските данни само в съответствие с Документираните инструкции. Допълнителни инструкции извън обхвата на Документираните инструкции (ако има такива) изискват предварително писмено споразумение между Marzipan и Клиента.
   2. Marzipan има право да прекрати настоящото DPA и Договора, без да носи каквато и да е отговорност пред Клиента, ако Marzipan откаже да следва инструкции, които противоречат на Законодателството за защита на данните или на приложимите разпоредби за защита на личните данни в Регламентите на ЕС за етикетиране на вино, или които са извън обхвата на, или са променени спрямо, дадените или договорените за даване в настоящото DPA или в друго писмено споразумение между страните.
   3. Клиентът няма да предоставя (или да причинява предоставянето на) Данни от специална категория на Marzipan за обработване по Договора, и Marzipan не носи никаква отговорност за Данни от специална категория, независимо дали във връзка с Инцидент по сигурността или по друг начин. За избягване на съмнение, настоящото DPA няма да се прилага за Данни от специална категория.

3. Обработване на данни

   1. When Marzipan processes Customer Data while providing the Services, Marzipan will:

      (a)доколкото се прилага UK GDPR или EU GDPR, да обработва Клиентските данни като Обработващ данни, действащ от името на Клиента (независимо дали самият той е Администратор на данни или Обработващ данни от името на трето лице — Администратор на данни);

      (b)доколкото се прилага CCPA, да обработва Клиентските данни от името на Клиента като Доставчик на услуги (вижте клауза 3.2 по-долу за подробности);

      (c)да обработва и съхранява Клиентски данни само на сървъри:

      a.управлявани от оператора на центъра за данни UpCloud Oy, финландско дружество с ограничена отговорност ("UpCloud"), в неговия център за данни DE-FRA1 във Франкфурт, Германия.

      b.управлявани от оператора на центъра за данни Scaleway SAS, френско опростено акционерно дружество ("Scaleway"), в неговия център за данни в Париж.

      c.управлявани от оператора на центъра за данни Hetzner Online GmbH, германско дружество с ограничена отговорност ("Hetzner"), в неговите центрове за данни в Нюрнберг и Фалкенщайн, Германия; и

      d.управлявани от доставчика на облачно съхранение BunnyWay d.o.o., словенско дружество с ограничена отговорност ("BunnyWay"), в неговото крайно сървърно местоположение в Нюрнберг, Германия.

      (d)да обработва Клиентските данни само до степента и по начина, необходими за Бизнес целите в съответствие с законните Документирани инструкции на Клиента (при условие че тези инструкции са съразмерни с функционалностите на Услугите, закупени от Клиента по Договора);

      (e)ако Marzipan е задължен по закон да обработва Клиентските данни за цели, различни от Бизнес целите, Marzipan ще уведоми Клиента за това изискване преди да извърши подобна обработка, освен ако Marzipan не е забранено по закон да предоставя такова уведомление;

      (f)да изпълнява своевременно всички законосъобразни писмени инструкции, предоставени от Клиента, изискващи Marzipan да изменя, прехвърля, изтрива или по друг начин обработва Клиентските данни, или да преустановява, ограничава или отстранява последиците от всяка неразрешена обработка;

      (g)да пази поверителността на Клиентските данни и да не разкрива Клиентските данни на трети страни, освен ако Клиентът или настоящото DPA изрично разрешава разкриването, или ако това се изисква от националното законодателство, съд или регулаторен орган (включително всяко указание на UK ICO Commissioner или друг компетентен орган в UK и/или ЕИП);

      (h)да оказва разумно съдействие на Клиента, без допълнителни разходи за Клиента, при изпълнението на задълженията на Клиента за съответствие съгласно Законодателството за защита на данните, като се вземат предвид естеството на обработката от страна на Marzipan и наличната за Marzipan информация, включително, за илюстративни цели и без ограничение до тях, предоставяне на Клиента на разумна информация, подпомагаща Клиента при изготвянето на оценки на въздействието върху защитата на данните, извършвани от Клиента, и оказване на съдействие на Клиента при отговор на искания на субекти на данни; и

      (i)да уведомява своевременно Клиента за всякакви промени в Законодателството за защита на данните, които могат разумно да бъдат тълкувани като неблагоприятно засягащи изпълнението от страна на Marzipan на задълженията му по Договора или настоящото DPA.

   2. CCPA. Страните признават и се съгласяват, че Marzipan е Доставчик на услуги по отношение на Клиентските данни за целите на CCPA (доколкото се прилага) и получава лични данни от Клиента с цел предоставяне на Услугите съгласно Договора, което представлява бизнес цел. Marzipan не продава такива лични данни. Marzipan не задържа, не използва и не разкрива лични данни, предоставени от Клиента по Договора, освен доколкото е необходимо за конкретната цел на предоставянето на Услугите на Клиента съгласно настоящия Договор, или по друг начин, посочен в настоящия Договор или разрешен от CCPA. Термините "лични данни", "Доставчик на услуги", "продажба" и "продава" имат значението, определено в раздел 1798.140 от CPA (в изменен, преприет или актуализиран вид от време на време). Marzipan удостоверява, че разбира ограниченията на настоящата клауза (i).
   3. Услуги на трети страни. В рамките на Услугите Marzipan предоставя на Клиента възможността от време на време да интегрира и/или свързва Услугите с определени услуги, интеграции и приложения на трети страни ("Услуги на трети страни"). Моля, обърнете внимание, че използването от страна на Клиента на Услугите на трети страни се урежда изключително от общите условия и придружаващите политики за поверителност (заедно "EULA") съгласно които Доставчикът на услуги на трета страна предоставя съответните Услуги на трети страни на Клиента ("Доставчик на услуги на трета страна"). Всяко EULA е сключено изключително между Клиента и Доставчика на услуги на трета страна, а Marzipan не е страна по такива EULA.
   4. Когато Клиентът ни инструктира да интегрираме продуктите или акаунтите на Клиента в Marzipan с една или повече Услуги на трети страни, Клиентът се съгласява, че Marzipan ще прехвърли Клиентските данни на Доставчиците на услуги на трети страни, за да могат те да предоставят своите услуги на Клиента. Когато Доставчиците на услуги на трети страни впоследствие обработват Клиентските данни, това се урежда от съответните разпоредби за поверителност в техните EULA, като Marzipan не носи отговорност за такава обработка.
   5. Third-Party Services from the following Third-Party Service Providers are currently available to be integrated and/or interfaced with Marzipan.

      Name	Description
      Fathom Analytics	This integration allows Customers who are subscribed to Fathom Analytics’ web analytics service to view their Fathom Analytics dashboard within Marzipan’s e-commerce and data management platform. All EEA and UK traffic processed via the integration is processed solely on EU servers owned and operated by the German cloud service provider etzner Online GmbH, a German legal entity.
      MailChimp	This integration allows Customers who are subscribed to MailChimp’s email marketing service to send data to MailChimp to enable the Customer to send emails to their subscribers.

   6. Моля, обърнете внимание, че когато Marzipan позволява на Клиента да интегрира Услугите с Услуга на трета страна, която не е посочена в таблицата по-горе, използването от страна на Клиента на такава Услуга на трета страна се урежда от приложимото EULA на съответния Доставчик на услуги на трета страна при същите условия, предвидени в клауза (i) на настоящия Договор.
   7. SCCs. Ако Marzipan и Клиентът са сключили Стандартни договорни клаузи, описани в клауза 10 (Прехвърляния на Клиентски данни), (i) инструкцията на Клиента към Marzipan по клауза 3.3 на настоящия Договор за интегриране на Услугата/Услугите на трети страни (в приложимия случай) като част от Услугите ще представлява предварителното писмено съгласие на Клиента за прехвърлянето на Клиентски данни от Marzipan на Доставчика на услуги на трета страна, ако такова съгласие се изисква съгласно SCCs; (ii) страните се съгласяват, че копията от споразуменията с Доставчиците на услуги на трети страни, които Marzipan трябва да предостави на Клиента съгласно Клауза 9(в) от EU SCCs или друга съответна клауза на UK SCCs (в приложимия случай), могат да бъдат предварително заличени от Marzipan в частта, съдържаща търговска информация или информация, несвързана със Стандартните договорни клаузи или техния еквивалент, като такива заличени копия ще бъдат предоставени от Marzipan единствено при писмено искане от Клиента.
   8. The Customer’s responsibilities. The Customer:

      (a)е Администратор на данни по отношение на всякакви Клиентски данни;

      (b)остава отговорен за задълженията на Клиента за съответствие съгласно приложимото Законодателство за защита на данните, включително, без ограничение до тях, предоставянето на всички изискуеми уведомления и получаването на всички изискуеми съгласия, необходими за обработването на Клиентски данни от страна на Marzipan за Бизнес целите;

      (c)не предоставя (и не допуска да бъдат предоставени) на Marzipan Данни от специални категории за обработване по Договора, като Marzipan не носи никаква отговорност по отношение на Данни от специални категории, независимо дали е във връзка с Инцидент по сигурността или по друг начин. За избягване на съмнение, настоящото DPA не се прилага за Данни от специални категории;

      (d)декларира и гарантира, че е спазвал и ще продължи да спазва всички приложими закони, включително Законодателството за защита на данните, по отношение на своята обработка на Клиентски данни и всички Документирани инструкции, издадени до Marzipan;

      (e)носи изключителна отговорност за точността, качеството и законосъобразността на Клиентските данни и за средствата, чрез които Клиентът е придобил Клиентските данни. Без да се засяга общият характер на горното, Клиентът се съгласява, че носи отговорност за спазването на всички приложими закони (включително Законодателството за защита на данните) по отношение на всяко съдържание, създадено, изпратено или управлявано чрез Услугите;

      (f)ще гарантира, че обработването на Клиентски данни от страна на Marzipan в съответствие с Документираните инструкции на Клиента няма да доведе до нарушаване от страна на Marzipan на приложим закон, наредба или правило, включително, без ограничение до тях, Законодателството за защита на данните. Marzipan незабавно уведомява Клиента в писмена форма, освен ако не е забранено да го направи съгласно Законодателството за защита на данните, ако установи или счете, че дадена инструкция за обработване на данни от Клиента нарушава Законодателството за защита на данните; и

      (g)доколкото действа като обработващ от името на контролор трета страна (или друг посредник на крайния контролор), гарантира, че Документираните инструкции, изложени в Договора и настоящото DPA, включително разрешенията до Marzipan за назначаване на Подобработващи в съответствие с настоящото DPA, са одобрени от съответния контролор.

4. Видове Клиентски данни и цели на обработването

   1. Предмет. Предметът на обработването на данни по настоящото DPA са Клиентските данни, обработвани чрез Услугите.
   2. Срок. Между Marzipan и Клиента, именно Клиентът определя срока на обработването на данни по настоящото DPA. Клиентът може да спре или прекрати обработването на данни, като спре или прекрати абонамента на Клиента за Платформените услуги и/или Услугите на Labls (в приложимия случай) или спре всякакви интеграции, хоствани от Marzipan (като всеки собствен API, предоставен от Marzipan на Клиента), които Клиентът използва като част от своята дейност.
   3. Цел. Целта на обработването на данни по настоящото DPA е предоставянето на Услугите, инициирано от Клиента от време на време, включително за илюстративни цели предоставянето на платформата за е-търговия и управление на данни на Marzipan и/или услугата за генериране и хостване на електронни етикети на Клиента.
   4. Естество на обработването. Marzipan дава възможност на бизнесите да обединят своите дейности в областта на е-търговията и да генерират електронни етикети за своите винени продукти, включително чрез предоставяне на "Услугите" съгласно определението в клауза 1 на настоящото DPA. Тези Услуги включват обработването на Клиентски данни от Marzipan, неговите Подобработващи и, когато е приложимо, Доставчиците на услуги на трети страни. Клиентски данни могат да бъдат качвани и/или обработвани в Услугите от Клиента в Клиентския акаунт, всеки API, предоставен от Marzipan, чрез който се осъществява интерфейс с Услугите от време на време; и (iii) всички Услуги на трети страни, споделящи Клиентски данни с Услугите.
   5. Types of Customer Data. Customer Data uploaded to the Services:

      (a)от Клиента в Клиентския акаунт;

      (b)чрез API-та или уеб компоненти на Marzipan, осъществяващи интерфейс между Услугите и системите на Клиента; и

      (c)чрез Услуги на трети страни, които Клиентът интегрира с Услугите.

      Видовете лични данни, качени в Услугите като част от Данните на Клиента, могат да включват:

      • Името, имейлът, данните за контакт, фактуриране и доставка на Клиента.
      • Информация за покупки, абонаменти (т.е. клуб за вино) и други транзакции (включително, без ограничение, информация за статус) от физическите и цифровите магазини на Клиента;
      • Активността на Крайния Клиент в цифровите магазини на Клиента, включително история на поръчките, разгледани продукти и продукти, добавени в пазарски колички.
      • Информация за устройствата на Крайния Клиент, използвани при посещение на магазините на Клиента, включително IP адрес, браузър и мрежова активност.
      • Всякакви други лични данни, които Клиентът избере да предостави на Marzipan.
   6. Категории субекти на данни. Субектът на данни може да включва (i) Клиента, неговите служители, изпълнители, агенти, доставчици и партньори, и (ii) действителните и потенциалните Крайни Клиенти на Клиента.

5. Сигурност на обработката на данни

   1. Marzipan следва по всяко време да прилага подходящи технически и организационни мерки срещу неразрешена или незаконна обработка, достъп, копиране, изменение, възпроизвеждане, показване или разпространение на Данните на Клиента, и срещу случайна или незаконна загуба, унищожаване, изменение, разкриване или повреда на Данните на Клиента, включително, но не само, мерките, описани в Стандартите за сигурност на Marzipan (Приложение А), като всичко това цели осигуряване на ниво на защита на Данните на Клиента, съответстващо на риска, в съответствие с Член 32 от EU/UK GDPR.
   2. Marzipan shall implement such measures to ensure a level of security appropriate to the risk involved, including as appropriate:

      (a)псевдонимизирането и криптирането на Данните на Клиента;

      (b)способността да се гарантира непрекъснатата поверителност, цялост, наличност и устойчивост на системите и услугите за обработка;

      (c)способността за своевременно възстановяване на наличността и достъпа до Данните на Клиента при физически или технически инцидент; и

      (d)процес за редовно тестване, оценка и проверка на ефективността на мерките за сигурност.

6. Служители на Marzipan

   1. Marzipan will ensure its employees, contractors and agents:

      (a)са информирани за поверителния характер на Данните на Клиента и са обвързани от задължения за поверителност и ограничения за използване по отношение на Данните на Клиента;

      (b)са преминали обучение по Законодателството за защита на данните, свързано с обработката на Данните на Клиента, и относно начина, по който то се прилага към техните задължения; и

      (c)са запознати както с задълженията на Marzipan, така и с личните си задължения и отговорности съгласно Законодателството за защита на данните и Договора.

7. Сигурност

   1. Marzipan следва по всяко време да прилага подходящи технически и организационни мерки срещу неразрешена или незаконна обработка, достъп, копиране, изменение, възпроизвеждане, показване или разпространение на Данните на Клиента, и срещу случайна или незаконна загуба, унищожаване, изменение, разкриване или повреда на Данните на Клиента.
   2. Marzipan shall implement such measures to ensure a level of security appropriate to the risk involved, including for illustrative purposes and as appropriate:

      (a)псевдонимизирането и криптирането на Данните на Клиента;

      (b)способността да се гарантира непрекъснатата поверителност, цялост, наличност и устойчивост на системите и услугите за обработка;

      (c)способността за своевременно възстановяване на наличността и достъпа до Данните на Клиента при физически или технически инцидент; и

      (d)процес за редовно тестване, оценка и проверка на ефективността на мерките за сигурност.

8. Нарушение на сигурността на личните данни

   1. Marzipan shall within 72 hours and in any event without undue delay notify the Customer if it becomes aware of:

      (a)загубата, случайното унищожаване или повреда, корупцията или друго увреждане на част или на всички Данни на Клиента;

      (b)всяка случайна, неразрешена или незаконна обработка на Данните на Клиента; или

      (c)всяко Нарушение на сигурността на личните данни.

   2. Where Marzipan becomes aware of any of the foregoing matters described in clauses 8.1(a), (b) and/or (c) above, it shall, without undue delay, also provide the Customer with the following:

      (a)описание на естеството на въпроса, регистриран във връзка с клаузи 8.1(a), (b) и/или (c), включително категориите на Данните на Клиента в обхвата и приблизителния брой на засегнатите Субекти на данни и записи с Данни на Клиента; или

      (b)описание на мерките, предприети или предвидени за справяне с въпросите, регистрирани във връзка с клаузи 8.1(a), (b) и/или (c), включително мерки за смекчаване на евентуалните им неблагоприятни последици.

   3. Непосредствено след всяка случайна, неразрешена или незаконна обработка на Данните на Клиента или Нарушение на сигурността на личните данни, Marzipan ще се свърже с Клиента, за да координираме съвместно разследването на случая.
   4. Marzipan няма да информира трета страна за случайно, неразрешено или незаконно обработване на всички или част от Клиентските данни и/или Нарушение на личните данни, без да получи предварително писменото съгласие на Клиента, освен когато такото разкриване е необходимо като част от мерките за справяне с такова обработване или Нарушение на личните данни, или когато разкриването се изисква от приложимото законодателство.
   5. Marzipan ще покрива разумните разходи, свързани с изпълнението на задълженията си по клаузи 8.1 и 8.2, освен ако въпросът не е възникнал в резултат на конкретни писмени инструкции на Клиента, небрежност, умишлено неизпълнение или нарушение на DPA или Договора, в който случай Клиентът ще покрива всички разумни разходи (включително разумните разходи на Marzipan и тези на неговите професионални съветници).

9. Подизпълнители на обработването

   1. Marzipan uses the following Sub-processors to host and/or process Customer Data, to provide infrastructure and network services to support Marzipan, and to perform service functions on our behalf as part of the Services:

      Name	Description
      Active Campaign LLC	Trading as "Postmark", Active Campaign delivers transactional emails (e.g. password reset emails, notification emails, receipt and invoice emails) on behalf of Marzipan as part of the Services.
      Automattic, Inc.	Trading as "Gravatar." Automattic allows Customers to upload pre-existing image and public profile data to the Platform Services.
      BunnyWay d.o.o	BunnyWay provides Marzipan with Domain Name System (DNS), Website Application Firewall (WAF) and Content Delivery Network (CDN) services.
      Fathom Analytics	Fathom Analytics provides web analytics services that enable Marzipan to track and analyse web traffic’s engagement with the Services.
      Functional Software Inc.	Trading as "Sentry", Functional Software provides Marzipan with crash and error monitoring services in respect of the Services.
      Internet Security Research Group	ISRG’s "Let’s Encrypt" service provides Marzipan with the digital certificate necessary to enable HTTPS (SLS/TLS) on its websites.
      Laravel Holdings Inc.	Laravel provides Marzipan with its: (i) "Forge" server management services in relation to the provisioning and deployment of the Services on Hetzner Online GmbH’s servers; and (ii) "Envoyer" zero downtime deployment services.
      OhMySMTP Ltd	OhMySMTP, trading as "MailPace", provides Marzipan with email services for sending transactional emails (e.g. password reset emails, notification emails, order confirmation emails) on behalf of Marzipan as part of the Services.
      PayPal UK Ltd	PayPal provides Marzipan with authorised payment gateway and payment processing services in respect of payload and payment data submitted to the Services.
      Stripe Payments UK, Ltd.	Stripe provides Marzipan with authorised payment gateway and payment processing services in respect of payload and payment data submitted to the Services.

   2. Клиентът ни упълномощава да използваме Подизпълнителите на обработването, изброени в клауза 9.1 по-горе, като част от Услугите, и допълнително ни предоставя общо разрешение да използваме други Подизпълнители на обработването за дейности по обработване на Клиентски данни, които събираме от Клиента по Договора. Marzipan ще уведомява Клиента при добавяне или премахване на Подизпълнители на обработването най-малко 10 дни преди такива промени.
   3. Where Marzipan engages a Sub-processor as described in clause 9.1:

      (a)Marzipan ще ограничава достъпа на Подизпълнителя на обработването до данни само до това, което е разумно необходимо за предоставянето, поддържането или подобряването на Услугите; и

      (b)Marzipan ще сключи писмено споразумение за обработване на данни с Подизпълнителя на обработването и, доколкото Подизпълнителят извършва същите услуги по обработване на данни, каквито Marzipan предоставя по настоящия DPA, Marzipan ще наложи на Подизпълнителя същите договорни задължения, които Marzipan има по настоящото споразумение.

   4. If Marzipan and the Customer have entered into Standard Contractual Clauses as described in clause 10 (Transfers of Customer Data):

      (a)горепосочените разрешения ще представляват предварителното писмено съгласие на Клиента за възлагане от страна на Marzipan на подизпълнение на обработването на Клиентски данни, ако такова съгласие се изисква съгласно SCCs;и

      (b)Marzipan ще сключи писмено споразумение за обработване на данни с Подизпълнителя на обработването и, доколкото Подизпълнителят извършва същите услуги по обработване на данни, каквито Marzipan предоставя по настоящия DPA, Marzipan ще наложи на Подизпълнителя същите договорни задължения, които Marzipan има по настоящото споразумение.

   5. If Marzipan and the Customer have entered into Standard Contractual Clauses as described in clause 10 (Transfers of Customer Data):

      (a)горепосочените разрешения ще представляват предварителното писмено съгласие на Клиента за възлагане от страна на Marzipan на подизпълнение на обработването на Клиентски данни, ако такова съгласие се изисква съгласно SCCs; и

      (b)Страните се съгласяват, че копията на споразуменията с Подизпълнителите на обработването, които Marzipan трябва да предостави на Клиента съгласно Клауза 9(в) от EU SCCs или съответна клауза на UK SCCs (според приложимостта), могат предварително да бъдат заличени от Marzipan по отношение на търговска информация или информация, несвързана със Стандартните договорни клаузи или техния еквивалент, като такива заличени копия ще бъдат предоставяни от Marzipan единствено при писмено искане от страна на Клиента.

10. Предаване на Клиентски данни

    1. Страните се съгласяват, че Marzipan може да предава Клиентски данни, обработвани по Договора, извън ЕИП, UK или Швейцария, доколкото това е необходимо за предоставянето на Услугите. Клиентът признава, че дейностите по обработване на много от Доставчиците на услуги на трети страни и Подизпълнителите на обработването се извършват в Съединените щати и че предаването на Клиентски данни е необходимо за предоставянето на Услугите на Клиента. Ако Marzipan предаде Клиентски данни, защитени по настоящия Договор, към юрисдикция, за която Европейската комисия или Държавният секретар на UK (според приложимостта) не е издал решение за адекватност, Marzipan ще гарантира, че са въведени подходящи гаранции за предаването на Клиентски данни в съответствие със Законодателството за защита на данните.
    2. Ex-EEA Transfers. The parties agree that ex-EEA Transfers are made pursuant to Module Two (Controller to Processor) of the EU SCCs which is deemed entered (and incorporated into this DPA) and which shall apply as follows (unless stated otherwise, references to clause numbers are references to clause numbers of Module Two of the EU SCCs):

       (a)Незадължителната клауза за присъединяване в Клауза 7 не се прилага;

       (b)В Клауза 9 се прилага Вариант 2 (общо писмено разрешение), а минималният срок за предварително уведомяване при промени в Подизпълнителите на обработването е посоченият в клауза 9.2 от настоящия DPA;

       (c)В Клауза 11 незадължителният текст не се прилага;

       (d)Всички квадратни скоби в Клауза 12 се премахват с настоящото;

       (e)В Клауза 17 (Вариант 1), EU SCCs се уреждат от ирландското право;

       (f)В клауза 18(б), споровете ще бъдат разрешавани пред съдилищата на Ирландия;

       (g)Part 1 of Annex B ("Cross-Border Transfers") to this DPA contains the information required in Annex I of the EU SCCs;

       (h)Part 1 of Annex B ("Cross-Border Transfers") to this DPA contains the information required in Annex II of the EU SCCs;

       (i)С подписването на настоящото DPA страните се считат за подписали включените тук EU SCCs, заедно с техните Приложения.

    3. Ex-UK Transfers

       (a)The parties agree that the IDTA DPA shall apply to an ex-UK Transfer. Part 2 of Annex B ("Cross-Border Transfers") contains the information required in the IDTA DPA.

    4. Transfers from Switzerland. The parties agree that transfers from Switzerland are made pursuant to the EU SCCs with the following modifications:

       (a)The terms "General Data Protection Regulation" or "Regulation (EU) 2016/679" as utilised in the EU SCCs shall be interpreted to include the Federal Act on Data Protection of 19 June 2022 (the "FADP"), and as revised as of 25 September 2020, the "Revised FADP") with respect to data transfers subject to FADP.

       (b)Условията на EU SCCs се тълкуват така, че да защитават данните на юридически лица до влизането в сила на Преработения FADP.

       (c)Клауза 13 от EU SCCs е изменена, за да предвиди, че Федералният комисар за защита на данните и информацията ("FDPIC") на Швейцария разполага с правомощия по отношение на предаването на данни, уредено от FADP, а съответният надзорен орган на ЕС разполага с правомощия по отношение на предаването на данни, уредено от EU GDPR. При спазване на гореизложеното, всички останали изисквания на Клауза 13 от EU SCCs трябва да бъдат спазени.

       (d)The term "EU Member State" as utilised in the EU SCCs shall not be interpreted in such a way to exclude the Data Subjects in Switzerland from exercising their rights in their place of habitual residence in accordance with Clause 18(c) of the EU SCCs.

    5. Supplementary Measures. In respect of any ex-EEA Transfer or ex-UK Transfer, the following supplementary measures shall apply:

       (a)Към датата на настоящото DPA, Получателят на данни не е получил никакви официални правни искания от държавни разузнавателни или охранителни служби/агенции в държавата, към която се изнасят Клиентските данни, за достъп до (или копия на) Клиентските данни ("Искания от държавни агенции");

       (b)Ако след датата на настоящото DPA Получателят на данни получи искания от държавни агенции, Marzipan ще се опита да насочи правоохранителния орган или държавната агенция да поиска данните директно от Клиента. В рамките на тези усилия Клиентът се съгласява, че можем да предоставим основната му информация за контакт на съответната държавна агенция. Ако бъде задължен да разкрие Клиентски данни на правоохранителен орган или държавна агенция, Marzipan ще уведоми Клиента в разумен срок за исканото разкриване и ще съдейства, за да може Клиентът да потърси защитна заповед или друго подходящо средство за защита, освен ако Marzipan не е законово забранено да го направи. Marzipan няма доброволно да разкрива Клиентски данни на правоохранителни или държавни органи. Marzipan ще обсъди и определи (при първа разумна възможност) дали всички или някои от предаванията на Клиентски данни съгласно настоящото DPA следва да бъдат спрени с оглед на такива искания от държавни агенции;

       (c)Marzipan and the Data Exporter will meet regularly to consider whether:

       a.Защитата, осигурявана от законодателството на държавата на Получателя на данни на субектите на данни, чиито лични данни се предават като част от Клиентските данни, е достатъчна, за да осигури в общи линии равностойна защита на тази, предоставяна в ЕИП или UK, в зависимост от конкретния случай;

       b.Допълнителни мерки са разумно необходими, за да се осигури съответствието на предаването с Законодателството за защита на данните;

       c.Все още е целесъобразно Клиентските данни да се предават на съответния Получател на данни, като се вземат предвид всички относими налични за страните сведения, заедно с насоките, предоставени от Надзорните органи.

       (d)Ако Законите за защита на данните изискват от Marzipan да сключи Стандартните договорни клаузи, приложими към конкретно предаване на Клиентски данни към Получател на данни, като отделен договор, Получателят на данни, при поискване от страна на Marzipan, незабавно подписва такива Стандартни договорни клаузи, включващи изменения, каквито Marzipan може основателно да изиска, за да отразят приложимите приложения, подробностите за предаването и изискванията на Законите за защита на данните; и

       (e)Ако (i) някое от средствата за легитимиране на предаванията извън ЕИП, UK или Швейцария, посочени в настоящото DPA, престане да бъде валидно; или (ii) някой Надзорен орган изиска спиране на предаванията на Клиентски данни въз основа на тези средства, тогава Получателят на данни може с уведомление до Marzipan, считано от датата, посочена в уведомлението, да измени или въведе алтернативни механизми по отношение на такива предавания, съгласно изискванията на Законите за защита на данните.

    6. Подизпълнители по обработване. Когато Клиентът даде съгласие за назначаването от наша страна на Подизпълнител по обработване, намиращ се извън ЕИП, в съответствие с разпоредбите на клауза 9, или когато Клиентът реши да интегрира услуга на трета страна от Доставчик на услуги на трета страна извън ЕИП в съответствие с клауза 3, Клиентът ни упълномощава да сключваме Стандартни договорни клаузи с тази страна, включително от името и за сметка на Клиента.

11. Жалби, искания на субекти на данни и права на трети страни

    1. Marzipan will take such reasonable technical and organisational measures as appropriate, and promptly provide such information to the Customer as the Customer may require, to enable the Customer to comply with:

       (a)the rights of Data Subjects under the Data Protection Laws, including subject access rights, the rights to rectify, port and erase Customer Data, object to the processing and automated processing of Customer Data, and restrict the processing of Customer Data; and/p>

       (b)уведомления за информация или оценка, връчени на Клиента от UK ICO (или друг компетентен регулаторен орган в ЕИП) съгласно Законите за защита на данните.

    2. Marzipan ще уведоми Клиента незабавно в писмена форма, ако получи жалба, уведомление или съобщение, което пряко или косвено се отнася до обработването на Клиентски данни или до спазването на Законите за защита на данните от страна на Marzipan или на Клиента.
    3. Marzipan ще уведоми Клиента в срок от 14 дни, ако получи искане от Субект на данни за достъп до неговите Клиентски данни или за упражняване на някое от другите му права съгласно Законите за защита на данните.
    4. Marzipan ще окаже на Клиента съдействие при отговор на жалби, уведомления, съобщения или искания от Субекти на данни.
    5. Marzipan няма да разкрива Данните на клиента на нито един Субект на данни или на трета страна, освен в съответствие с писмените инструкции на Клиента или когато това се изисква от приложимото национално законодателство.

12. Срок и прекратяване

    1. This DPA will remain in full force and effect so long as:

       (a)Договорът остава в сила; или

       (b)Marzipan съхранява каквито и да е Данни на клиента, свързани с Договора, в свое владение или под свой контрол ("Срок").

    2. Всяка разпоредба на настоящото DPA, която изрично или по подразбиране следва да влезе или да продължи да бъде в сила след прекратяването на Договора с цел защита на Данните на клиента, остава в пълна сила и действие.
    3. Неспазването от страна на Marzipan на условията на настоящото DPA представлява съществено нарушение на Договора. В такъв случай Клиентът може да прекрати Договора с незабавно действие с писмено уведомление до Marzipan, без да поема допълнителна отговорност или задължения.
    4. Ако промяна в Законодателството за защита на данните възпрепятства някоя от страните да изпълни изцяло или частично задълженията си по Договора, страните могат да се споразумеят да спрат обработването на Данните на клиента до момента, в който то отговаря на новите изисквания. Ако страните не успеят да приведат обработването на Данните на клиента в съответствие със Законодателството за защита на данните в рамките на 90 дни, всяка от страните може да прекрати Договора с незабавно действие с писмено уведомление до другата страна.

13. Връщане и унищожаване на данни

    1. По искане на Клиента Marzipan ще предостави на Клиента или на трета страна, посочена писмено от Клиента, копие от или достъп до всички или част от Данните на клиента, намиращи се в негово владение или под негов контрол, във формат и на носител, разумно определени от Клиента.
    2. При прекратяване или изтичане на Договора по каквато и да е причина, или при завършване на Услугите, Marzipan следва да върне или изтрие Данните на клиента, освен ако по-нататъшното им съхранение се изисква или е разрешено от приложимото законодателство. Ако връщането или унищожаването е практически невъзможно или забранено от закон, наредба или регламент, Marzipan предприема мерки за блокиране на Данните на клиента от по-нататъшно обработване (освен в степента, необходима за продължаващото им хостване или обработване, изисквано от закон, наредба или регламент), и продължава да осигурява подходяща защита на Данните на клиента, останали в негово владение, попечителство или контрол. Ако Marzipan и Клиентът са сключили Стандартни договорни клаузи, описани в клауза 10 (Прехвърляния на Данни на клиента), страните се съгласяват, че удостоверението за изтриване, изисквано съгласно Клауза 8.1(д) от EU SCCs и всяка приложима разпоредба на UK SCCs (в зависимост от случая), се предоставя от Marzipan на Клиента единствено въз основа на писмено искане от страна на Клиента.
    3. Ако закон, наредба или правителствен или регулаторен орган изисква от Marzipan да съхранява документи, материали или Данни на клиента, които иначе би трябвало да върне или унищожи, Marzipan уведомява Клиента писмено за това изискване за съхранение, като посочва подробности за документите, материалите или Данните на клиента, които трябва да съхранява, правното основание за съхранението и конкретен срок за изтриване или унищожаване след отпадане на изискването за съхранение.
    4. Marzipan ще удостовери писмено пред Клиента, че е унищожило Данните на клиента в рамките на 30 дни след завършване на изтриването или унищожаването.

14. Записи

    1. Marzipan ще поддържа подробни, точни и актуални писмени записи относно всяка обработка на Клиентски данни, включително, но не само, достъпа, контрола и сигурността на Клиентските данни, одобрените подизпълнители, целите на обработката, категориите на обработка, всякакви прехвърляния на Клиентски данни към трета държава и свързаните с тях гаранции, както и общо описание на приложените технически и организационни мерки за сигурност ("Записи")
    2. Marzipan ще гарантира, че Записите са достатъчни, за да позволят на Клиента да провери спазването от страна на Marzipan на задълженията му по настоящия Договор, и ще предоставя на Клиента копия от Записите при поискване.

15. Гаранции

    1. TMarzipan warrants and represents that:

       (a)неговите служители, подизпълнители, агенти и всяко друго лице или лица, осъществяващи достъп до Клиентските данни от негово име, са надеждни и достойни за доверие и са преминали необходимото обучение относно Законите за защита на данните;

       (b)той и всеки, действащ от негово име, ще обработва Клиентските данни в съответствие със Законите за защита на данните и другите приложими закони, нормативни актове, наредби, заповеди, стандарти и подобни инструменти;

       (c)няма основание да смята, че Законите за защита на данните го възпрепятстват от предоставянето на която и да е от договорените услуги по Договора; и

       (d)като се вземат предвид съвременната технологична среда и разходите за изпълнение, ще предприема подходящи технически и организационни мерки за предотвратяване на неразрешена или незаконна обработка на Клиентски данни и случайна загуба, унищожаване или увреждане на Клиентски данни, като осигурява ниво на сигурност, съответстващо на:

       (i)вредата, която може да произтече от такава неразрешена или незаконна обработка или случайна загуба, унищожаване или увреждане;

       (ii)естеството на Клиентските данни, подлежащи на защита; и

       (iii)спазването на всички приложими Закони за защита на данните и политиките за информация и сигурност.

16. Подписване и изменения

    1. Условията на настоящото DPA са включени чрез препратка в Договора и се считат за неразделна негова част, сякаш са изцяло изложени в него. С подписването на Договора Клиентът изрично признава и се съгласява, че ще бъде обвързан от условията на настоящото DPA.
    2. Marzipan може, след предоставяне на тридесет (30) календарни дни предварително писмено уведомление, да внася разумни промени в настоящото DPA, когато това се налага поради промяна в Законите за защита на данните или решение на компетентен орган съгласно тях, с цел обработката на Клиентски данни да може да се извършва (или да продължи да се извършва) без нарушение на Законите за защита на данните. Ако Клиентът не приеме такива промени, той може в рамките на посочения тридесет (30) дневен срок за уведомление да изпрати писмено уведомление до Marzipan за прекратяване на Договора (включително настоящото DPA) с незабавен ефект, доколкото той се отнася до Услугите, засегнати от предложените промени (или тяхната липса). Клиентът дължи на Marzipan всички такси и други суми, начислени по или във връзка с Договора преди датата на прекратяване и останали неплатени към тази дата. Клиентът няма да има допълнителни претенции (включително искания за възстановяване на суми за Услугите) поради или във връзка с прекратяването на настоящия Договор съгласно клауза 16.2.