ЧАСТ 1 – Трансфери извън ЕИП
1. Приложение I.A към Стандартните договорни клаузи се попълва, както следва:
Износител на данни: Клиентът (съгласно подробностите в Договора).
Данни за контакт: Данните за контакт на Клиента (съгласно подробностите в Договора).
Роля на износителя на данни: Администратор на лични данни.
Модул втори: Износителят на данни е Администратор на лични данни.
Вносител на данни: Marzipan.
Данни за контакт: Съгласно посоченото в Договора.
Роля на вносителя на данни: Вносителят на данни е Обработващ лични данни.
Подпис и дата: Чрез сключването на Договора и DPA се счита, че Вносителят на данни е подписал настоящите Стандартни договорни клаузи, включени тук по препратка заедно с техните Приложения, считано от Датата на влизане в сила на Договора.
2. Приложение I.Б към Стандартните договорни клаузи се попълва, както следва:
Категориите субекти на данни са описани в клауза 4.6 от DPA.
Категориите данни на Клиента са описани в клауза 4.5 от DPA.
Страните не възнамеряват данни от специални категории да бъдат предавани.
Честотата на предаване е непрекъсната за целия срок на Договора.
Естеството на обработването е описано в клауза 4.4 от DPA.
Целта на обработването е описана в клауза 4.3 от DPA.
Периодът, за който ще се съхраняват Данните на клиента, е за срока на Договора, освен ако в Договора и/или DPA не е договорено друго.
По отношение на предаванията към Подизпълнители обработващи лични данни, предметът, естеството и продължителността на обработването са посочени в клауза 9 на DPA.
3. Приложение I.C към Стандартните договорни клаузи се попълва, както следва:
Компетентният надзорен орган съгласно Клауза 13 е надзорният орган в държавата членка, посочена в клауза 10(д) на настоящото DPA.
Стандартите за сигурност на Marzipan (Приложение A) служат като документацията и подробностите, изисквани в Приложение II към Стандартните договорни клаузи.
4. Доколкото съществува някакво противоречие между Стандартните договорни клаузи и всякакви други условия в настоящото DPA или Договора, разпоредбите на Стандартните договорни клаузи имат предимство.
ЧАСТ 2 – Трансфери извън UK
- Страните се съгласяват, че IDTA DPA се прилага към трансфер извън UK и тази Част 2 е в сила от 21 март 2022 г.
- Освен ако не е определено в Договора, дефинираните термини Част 2 на Приложение 2 имат значението в "Част: 2 Задължителни клаузи" по-долу.
Част 1: Таблици
Таблица 1 от IDTA DPA
3. Таблица 1 от DPA се попълва, както следва:
- Износител на данни: Клиентът (съгласно подробностите в Договора).
- Данни за контакт: Съгласно подробностите в Договора.
Подпис и дата: Чрез сключването на Договора и DPA, Износителят на данни се счита за подписал настоящото IDTA DPA, включено тук с препратка, считано от Датата на влизане в сила на Договора.
- Вносител на данни: Marzipan.
- Данни за контакт: Съгласно подробностите в Договора.
Подпис и дата: Чрез сключването на Договора и DPA, Вносителят на данни се счита за подписал настоящото IDTA DPA, включено тук с препратка, считано от Датата на влизане в сила на Договора.
Таблица 2 от IDTA DPA
4. Таблица 2 от DPA се попълва по следния начин:
| DPA EU SSCs | The Approved EU SCCs, including the Appendix Information and with only the following modules, clauses or optional provisions of the Approved EU SCCs brought into effect for the purposes of this DPA: |
| Module in operation | Clause 7 (Docking Clause) |
Clause 11 (Option) |
Clause 9a (Prior Authorisation or General Authorisation) |
Clause 9a (Time period) |
Is personal data received from the Importer combined with personal data collected by the Exporter? |
|---|---|---|---|---|---|
| 1 | Shall not apply | Shall not apply | General Authorisation | As set out in clause 9.2 of the DPA (30 days). | No |
| 1 | Shall not apply | Shall not apply | General Authorisation | As set out in clause 9.2 of the DPA (30 days). | No |
Таблица 3 от IDTA DPA
5. Таблица 3 от DPA се попълва по следния начин:
Износител на данни: Клиентът (съгласно подробностите в Договора).
Данни за контакт: Данните за контакт на Клиента (съгласно подробностите в Договора).
Роля на износителя на данни: Администратор на лични данни.
- а) Модул първи: Вносителят на данни е Администратор на данни.
- б) Модул втори: Вносителят на данни е Администратор на данни.
Модул втори: Износителят на данни е Администратор на лични данни.
Подпис и дата: Чрез сключването на Договора и DPA, Износителят на данни се счита за подписал Одобрените стандартни договорни клаузи на EU, включени тук с препратка, заедно с техните приложения, считано от Датата на влизане в сила на Договора.
Вносител на данни: Marzipan.
Данни за контакт: Съгласно подробностите в Договора.
Роля на Вносителя на данни: Вносителят на данни е Обработващ данни.
6. Приложение I.Б се попълва по следния начин:
Категориите субекти на данни са описани в клауза 4.6 от DPA.
Категориите лични данни са описани в клауза 4.5 от DPA.
Страните не възнамеряват данни от специални категории да бъдат предавани.
Честотата на предаване е непрекъсната за целия срок на Договора.
Естеството на обработването е описано в клауза 4.4 от DPA.
Целта на обработването е описана в клауза 4.3 от DPA.
Периодът, за който личните данни ще се съхраняват, е за срока на Договора, освен ако в Договора и/или DPA не е договорено друго.
По отношение на предаванията към Подизпълнители обработващи лични данни, предметът, естеството и продължителността на обработването са посочени в клауза 9 на DPA.
Приложение III: Списък на подизпълнителите не се прилага, тъй като Marzipan разполага с общо писмено разрешение за използване на подизпълнители.
Таблица 4 от IDTA DPA
7. Вносителят може да прекрати настоящото IDTA DPA по реда, предвиден в клауза 26 от това IDTA DPA.
Част 2: Задължителни клаузи
8. Всяка Страна се съгласява да бъде обвързана от условията, установени в настоящото IDTA DPA, в замяна на аналогичното съгласие на другата Страна да бъде обвързана от това IDTA DPA.
9. Въпреки че Приложение 1А и Клауза 7 от Одобрените стандартни договорни клаузи на EU изискват подпис от Страните, с цел осъществяване на Ограничени предавания Страните могат да сключат настоящото IDTA DPA по всякакъв начин, който го прави правно обвързващ за тях и позволява на субектите на данни да упражняват своите права, установени в настоящото DPA. Сключването на настоящото IDTA DPA ще има същото действие като подписването на Одобрените стандартни договорни клаузи на EU и на всяка тяхна част.
Тълкуване на настоящото IDTA DPA
10. Когато в настоящото IDTA DPA се използват термини, дефинирани в Одобрените стандартни договорни клаузи на EU, тези термини имат същото значение, каквото е посочено в Одобрените стандартни договорни клаузи на EU. Освен това следните термини имат следните значения:
| DPA | This International Data Transfer DPA which is made up of this IDTA DPA incorporating the DPA EU SCCs. |
| DPA EU SCCs | The version(s) of the Approved EU SCCs which this IDTA DPA is appended to, as set out in Table 2, including the Appendix Information. |
| Appendix Information | As set out in Table 3. |
| Appropriate Safeguards | The standard of protection over the Personal Data and of Data Subjects’ rights, which is required by UK Data Protection Laws when the Customer are making a Restricted Transfer relying on standard data protection clauses under Article 46(2)(d) UK GDPR. |
| Approved DPA | The template DPA issued by the UK ICO and laid before UK Parliament in accordance with s119A of the Data Protection Act 2018 on 2 February 2022, as it is revised under clause 25 below. |
| Approved EU SCCs | The Standard Contractual Clauses set out in the Annex of Commission Implementing Decision (EU) 2021/914 of 4 June 2021. |
| ICO | The UK Information Commissioner. |
| Restricted Transfer | A transfer which is covered by Chapter V of the UK GDPR. |
| UK | The United Kingdom of Great Britain and Northern Ireland. |
| UK Data Protection Laws | All laws relating to data protection, the processing of personal data, privacy and/or electronic communications in force from time to time in the UK, including the UK GDPR and the Data Protection Act 2018. |
| UK GDPR | As defined in section 3 of the Data Protection Act 2018. |
11. Настоящото IDTA DPA трябва да се тълкува по начин, съответстващ на законодателството на UK за защита на данните, така че да изпълнява задължението на Страните да осигурят Подходящи гаранции.
12. Ако разпоредбите, включени в DPA EU SCCs, изменят Одобрените стандартни договорни клаузи по начин, непозволен от Одобрените стандартни договорни клаузи на EU или Одобреното DPA, такива изменения няма да бъдат включени в настоящото IDTA DPA и на тяхно място ще се прилага съответната разпоредба на Одобрените стандартни договорни клаузи на EU.
13. При наличие на несъответствие или противоречие между законите на Обединеното кралство за защита на данните и настоящото IDTA DPA, се прилагат законите на Обединеното кралство за защита на данните.
14. Ако значението на настоящото IDTA DPA е неясно или допуска повече от едно тълкуване, се прилага значението, което най-тясно съответства на законите на Обединеното кралство за защита на данните.
15. Всички препратки към законодателство (или към конкретни разпоредби на законодателство) означават това законодателство (или конкретната разпоредба) в неговия вид, какъвто може да придобие с течение на времето. Това включва случаите, в които въпросното законодателство (или конкретната разпоредба) е консолидирано, преприето и/или заменено след сключването на настоящото IDTA DPA.
Йерархия
16. Въпреки че Клауза 5 от Одобрените стандартни договорни клаузи на ЕС (Approved EU SCCs) предвижда, че те имат предимство пред всички свързани споразумения между страните, страните се договарят, че по отношение на Ограничените предавания ще се прилага йерархията, установена в Раздел 17.
17. При наличие на несъответствие или противоречие между Одобреното DPA и DPA EU SCCs (в приложимата им редакция), Одобреното DPA има предимство пред DPA EU SCCs, освен в случаите (и доколкото) несъответстващите или противоречащи разпоредби на DPA EU SCCs осигуряват по-висока защита на субектите на данни — в такъв случай тези разпоредби имат предимство пред Одобреното DPA.
18. Когато настоящото IDTA DPA включва DPA EU SCCs, сключени с цел защита на предавания, предмет на Общия регламент за защита на данните (ЕС) 2016/679, страните признават, че нищо в настоящото IDTA DPA не засяга тези DPA EU SCCs.
Включване и изменения на стандартните договорни клаузи на ЕС
19. Настоящото IDTA DPA включва DPA EU SCCs, изменени в необходимата степен, така че:
- заедно да регулират предаванията на данни, извършвани от износителя на данни към вносителя на данни, доколкото законите на Обединеното кралство за защита на данните се прилагат към обработването на данни от износителя при извършването на такова предаване, и да осигуряват Подходящи гаранции за тези предавания на данни;
- Клаузи 16 до 18 по-долу имат предимство пред Клауза 5 (Йерархия) на DPA EU SCCs; и
- настоящото IDTA DPA (включително включените в него DPA EU SCCs) е (1) уредено от законите на Англия и Уелс и (2) всеки спор, произтичащ от него, се решава от съдилищата на Англия и Уелс, освен ако законите и/или съдилищата на Шотландия или Северна Ирландия не са изрично избрани от страните.
20. Освен ако страните не са договорили алтернативни изменения, отговарящи на изискванията на горепосочената клауза 19, се прилагат разпоредбите на Раздел 22.
21. Не могат да бъдат правени изменения на одобрените EU SCCs, освен за целите на Раздел 19.
22. Извършват се следните изменения на DPA EU SCCs (за целите на Раздел 19):
- заедно да регулират предаванията на данни, извършвани от износителя на данни към вносителя на данни, доколкото законите на Обединеното кралство за защита на данните се прилагат към обработването на данни от износителя при извършването на такова предаване, и да осигуряват Подходящи гаранции за тези предавания на данни;
- В Клауза 2 изтрийте думите: "и, що се отнася до трансфери на данни от контролери към преработватели и/или преработватели към преработватели, стандартни договорни клаузи в съответствие със Член 28(7) на Регламент (ЕС) 2016/679";
- Клауза 6 (Описание на трансфера(ите)) се заменя с: "Детайлите на трансфера(ите) и по-специално категориите на личните данни, които се трансферират, и целите, за които се трансферират, са тези, посочени в Приложение I.B, когато UK Data Protection Laws се прилагат към обработката на данните на експортьора при извършване на този трансфер.";
- Клауза 8.8(i) на Модул 2 се заменя с: "передаването е към държава, която получава адекватност в съответствие със Раздел 17A на UK GDPR, който покрива передаването;";
- Препратките към "Регламент (ЕС) 2016/679", "Регламент (ЕС) 2016/679 на Европейския парламент и Съвета от 27 април 2016 г. относно защитата на физическите лица по отношение на обработката на лични данни и свободното движение на такива данни (Общ регламент за защита на данните)" и "този регламент" се заменят всички с "UK Data Protection Laws". Препратките към конкретни Членове на "Регламент (ЕС) 2016/679" се заменят с еквивалентния Член или Раздел на UK Data Protection Laws;
- Препратките към Регламент (ЕС) 2018/1725 са премахнати;
- Препратките към "Европейския съюз", "Съюза", "ЕС", "ЕС държава-членка", "държава-членка" и "ЕС или държава-членка" се заменят всички с "Великобритания";
- Препратката към "Клауза 12(c)(i)" в Клауза 10(b)(i) на Модул един се заменя с "Клауза 11(c)(i)";
- Член 13, буква (а) и Част В от Приложение I не се използват;
- "Компетентният надзорен орган" и "надзорният орган" се заменят и двата с "Информационният комисар";
- В Клауза 16(e), подраздел (i) се заменя с: "Държавният секретар издава правилници в съответствие със Раздел 17A на Закона за защита на данните от 2018 г., които покриват трансфера на лични данни, към които се прилагат тези клаузи;";
- Клауза 17 се заменя с: "Тези клаузи се управляват от законите на Англия и Уелс.";
- Клауза 18 се заменя с: "Всеки спор, възникнал от тези клаузи, трябва да се решава от съдовете на Англия и Уелс. Субект на данни може също да издигне исков срещу експортьора на данни и/или импортьора на данни пред съдовете на всяка страна на Великобритания. Страните се съгласяват да се подчинят на юрисдикцията на такива съдове."; и
- Бележките под линия към одобрените стандартни договорни клаузи на EU не са част от IDTA DPA, с изключение на бележки под линия 8, 9, 10 и 11.
Изменения на настоящия IDTA DPA
23. Страните могат да се споразумеят да изменят клаузи 17 и/или 18 от DPA EU SCCs, така че да се позовават на законодателството и/или съдилищата на Шотландия или Северна Ирландия.
24. Ако страните желаят да променят формата на информацията, включена в Част 1: Таблици на одобрения DPA, те могат да направят това, като се споразумеят за промяната в писмена форма, при условие че промяната не намалява подходящите гаранции (Appropriate Safeguards).
25. Периодично ICO може да издава преработен одобрен DPA, който:
- извършва разумни и пропорционални промени в одобрената DPA, включително коригиране на грешки в одобрената DPA; и/или
- отразява промени в законодателството на UK за защита на данните;
Преразгледаната одобрена DPA ще посочва началната дата, от която промените в одобрената DPA влизат в сила, и дали страните трябва да преразгледат настоящата IDTA DPA, включително информацията в приложението. Настоящата IDTA DPA се изменя автоматично по начина, посочен в преразгледаната одобрена DPA, считано от определената начална дата.
26. Ако ICO издаде преразгледана одобрена DPA в съответствие със Раздел 18, ако някоя страна, избрана в Таблица 4 "Прекратяване на DPA, когато одобрена DPA се променя", ще има в резултат преки промени в одобрена DPA значително, непропорционално и доказуемо увеличение на:
- преките си разходи по изпълнението на задълженията си по DPA; и/или
- своя риск по DPA,
и в двата случая е предприела разумни стъпки за намаляване на тези разходи или рискове, така че те да не са съществени и непропорционални, тогава тази Страна може да прекрати настоящото IDTA DPA в края на разумен срок за предизвестие, като предостави писмено предизвестие за този период на другата Страна преди началната дата на преразгледаното Одобрено DPA.
27. Страните не се нуждаят от съгласието на трета страна, за да правят промени в настоящото IDTA DPA, но всички промени трябва да бъдат извършени в съответствие с неговите условия.
