Dodatek Marzipan o zpracování údajů

Tento Dodatek o zpracování osobních údajů ("DPA") doplňuje a je začleněn odkazem do Smlouvy uzavřené mezi společností Marzipan a Zákazníkem výhradně na základě Podmínek služby Marzipan při registraci Zákazníka nebo přístupu k jakékoli ze Služeb, včetně mimo jiné:

1. služby pro generování a hosting digitálních vinných etiket dodávané společností Marzipan pod obchodním názvem "Labls" na doménách labls.io a labls.co (včetně příslušných subdomén), která je určena pro producenty vína, jež jsou ze zákona povinni zveřejňovat správné lokalizované informace v úředním jazyce EU o původu a obsahu vín distribuovaných v rámci EU podle nařízení (EU) 2021/2117 ("Služby Labls");
2. cloudové platformy pro elektronický obchod a správu dat dodávané společností Marzipan na doméně marzipan.co (včetně příslušných subdomén), která umožňuje vinařstvím sjednotit jejich aktivity v oblasti elektronického obchodu prostřednictvím správy skladových zásob, objednávek, plnění a přepravy, plateb, analýz, marketingových kampaní a komunikace se zákazníky napříč všemi jejich digitálními prodejními kanály z jednoho centrálního řídicího panelu a systému pro správu obsahu ("Služby platformy").

Toto DPA se použije, pokud a v rozsahu, v jakém Marzipan zpracovává osobní údaje jménem Zákazníka jako zpracovatel osobních údajů v souvislosti s poskytováním Služeb podle Smlouvy. Kategorie osobních údajů zpracovávaných společností Marzipan v rámci Služeb jsou podrobně uvedeny v článku 4 tohoto DPA.

Vzhledem k tomu, že nařízení (EU) 2021/2117 zakazuje vinařstvím a ostatním aktérům v odvětví zpracovávat osobní údaje spotřebitelů prostřednictvím elektronických vinných etiket připojených k jejich výrobkům, navrhla společnost Marzipan svou službu pro hosting a generování elektronických etiket na doménách labls.io a labls.co tak, aby Zákazník ani Marzipan nemohli v souvislosti s elektronickou etiketou shromažďovat a sledovat žádné osobní údaje. Toto DPA se proto na tento aspekt Služeb nevztahuje.

Capitalised terms that are not defined within this DPA have the meaning given to them in the Contract. For the avoidance of doubt, all references to the "Contract" shall include this DPA (including the Annexes to this DPA and the SCCs). In the case of any conflict between the Contract and this DPA, the DPA shall prevail with respect to the processing of Personal Data.

1. Definice

   Affiliate

   označuje subjekt, který přímo nebo nepřímo Řídí jiný subjekt, je jím Řízen nebo je pod společnou Kontrolou téhož subjektu.

   Obchodní účely

   služby, které má Marzipan poskytovat Zákazníkovi, jak jsou vymezeny ve Smlouvě.

   Kontrola

   znamená vlastnický, hlasovací nebo obdobný podíl představující padesát procent (50 %) nebo více z celkových podílů dané entity v té době vydaných. Pojem "Kontrolovaný" se vykládá odpovídajícím způsobem.

   Zákazník

   fyzická nebo právnická osoba či subjekt, který je smluvní stranou Smlouvy.

   Zákaznický účet

   jakýkoli online účet (účty) registrovaný zákazníkem v rámci Služeb, který poskytuje oprávněný přístup ke Službám.

   Zákaznická data

   označuje veškeré osobní údaje, které Marzipan zpracovává jménem Zákazníka prostřednictvím Služeb.

   Zákony o ochraně osobních údajů

   označuje veškeré platné právní předpisy a nařízení v jakékoli příslušné jurisdikci týkající se používání nebo zpracování osobních údajů, včetně: (i) kalifornského zákona o ochraně soukromí spotřebitelů z roku 2018 ("CCPA"); (ii) Obecného nařízení o ochraně osobních údajů ((EU) 2016/279) ("EU GDPR"); (iii) švýcarského federálního zákona o ochraně osobních údajů; (iv) EU GDPR jakožto součásti právního řádu Anglie a Walesu, Skotska a Severního Irska na základě oddílu 3(10) (ve spojení s oddílem 205(4)) zákona o ochraně osobních údajů z roku 2018 ("UK GDPR"); (v) zákona o ochraně osobních údajů z roku 2018 (a nařízení vydaných na jeho základě) ("DPA 2018"); a (vi) nařízení o soukromí a elektronických komunikacích z roku 2003 (SI 2003/2426) ve znění pozdějších předpisů ("PECR 2003"); přičemž každý z těchto předpisů se použije ve svém aktuálním, novelizovaném nebo nahrazeném znění. Pojmy "Správce údajů", "Zpracovatel údajů", "Subjekt údajů", "Žádost subjektu údajů", "Osobní údaje", "Porušení zabezpečení osobních údajů", "Zpracování", "Dílčí zpracovatel" a "Dozorový úřad" mají význam stanovený v EU GDPR.

   E-Label

   dedikovaný elektronický vinný štítek umístěný na labls.io a labls.co (nebo na webové stránce třetí strany jménem Marzipan), který shromažďuje strukturované informace (obsah e-štítku) o víně nebo aromatizovaném víně Zákazníka pro konkrétní trh EU v jednom z 24 jazyků členských států EU a který splňuje obecné a odvětvově specifické požadavky na označování stanovené v nařízeních EU o označování vína.

   EEA

   Evropský hospodářský prostor.

   End Customers

   spotřebitelé nebo obchodní zákazníci, kterým Zákazník prostřednictvím Služeb nabízí, prodává nebo dodává produkty či služby.

   EU SCCs

   označuje standardní smluvní doložky mezi správci a zpracovateli schválené Evropskou komisí v prováděcím rozhodnutí (EU) 2021/914 ze dne 4. června 2021, aktuálně dostupné zde.

   EU Wine Labelling Regulations

   pravidla pro označování vín a aromatizovaných vinných produktů zavedená nařízením Evropského parlamentu a Rady (EU) 2021/2117, kterým se mění nařízení (EU) č. 1308/2013, včetně způsobu, jakým jsou tato pravidla provedena a nabývají účinnosti podle nařízení Komise v přenesené pravomoci (EU) 2019/33 ze dne 17. října 2018, kterým se doplňuje nařízení (EU) č. 1308/2013/

   Ex-EEA Transfer

   znamená předání Zákaznických dat, která jsou zpracovávána v souladu s EU GDPR, na server, síť, výpočetní systém, podnik, osobě nebo prostoru nacházejícímu se mimo EHP, přičemž toto předání není upraveno rozhodnutím o odpovídající ochraně vydaným Evropskou komisí v souladu s článkem 45 EU GDPR.

   Ex-UK Transfer

   znamená předání Zákaznických dat, která jsou zpracovávána v souladu s UK GDPR a zákonem o ochraně osobních údajů z roku 2018 (Data Protection Act 2018), na server, síť, výpočetní systém, podnik, osobě nebo prostoru nacházejícímu se mimo UK, přičemž toto předání není upraveno rozhodnutím o odpovídající ochraně vydaným ministrem vnitra UK v souladu s příslušnými ustanoveními UK GDPR a zákona o ochraně osobních údajů z roku 2018 (Data Protection Act 2018).

   Labls Services

   služby vytváření, správy a hostování elektronických etiket, které Marzipan poskytuje na labls.io na základě předplatného (nebo jiného smluvního ujednání) a které umožňují Zákazníkům generovat, spravovat a publikovat elektronické etikety (E-Labels) pro jejich vína nebo aromatizovaná vína.

   Marzipan Privacy Policy

   označuje oznámení o spravedlivém zpracování osobních údajů zpřístupněné společností Marzipan na adrese marzipan.co/privacy, ve znění případných změn, náhrad nebo doplnění provedených v průběhu času.

   Platform Services

   cloudová platforma pro elektronické obchodování a správu dat, kterou Marzipan provozuje na marzipan.co a která umožňuje vinárnám sjednotit veškeré aktivity v oblasti elektronického obchodování prostřednictvím centrální správy skladu, objednávek, plnění a dopravy, plateb, analytiky, marketingových kampaní a komunikace se zákazníky napříč všemi digitálními prodejními kanály z jednoho centrálního řídicího panelu a systému pro správu obsahu.

   Security Incident

   jakékoli neoprávněné nebo protiprávní narušení bezpečnosti, které vede k náhodnému nebo protiprávnímu zničení, ztrátě nebo pozměnění Zákaznických dat nebo k neoprávněnému zpřístupnění či přístupu k Zákaznickým datům v systémech spravovaných nebo jinak kontrolovaných společností Marzipan.

   Poskytovatel služeb

   má význam uvedený v kalifornském zákoně o ochraně soukromí spotřebitelů z roku 2018 ("CCPA").

   Služby

   znamená, jednotlivě i souhrnně, Služby Labels a Platformní služby.

   Zvláštní kategorie údajů

   má významy uvedené v článcích 4(13), 4(14), 4(15) a 9 EU GDPR a UK GDPR (podle toho, který se použije).

   Standardní smluvní doložky (SCC)

   znamená EU SCC a UK SCC, podle toho, které se použijí.

   UK Addendum

   označuje Mezinárodní dodatek k přenosu dat (verze B1.0) vydaný Úřadem komisaře pro informace (Information Commissioner's Office) podle § 119(A) zákona UK o ochraně osobních údajů z roku 2018 (UK Data Protection Act 2018), ve znění případných aktualizací nebo změn.

   UK SCC

   znamená EU SCC ve znění revidovaném a upraveném UK Addendum.

   Údaje o využívání

   veškerá data generovaná v souvislosti s přístupem Zákazníků ke Službám, jejich používáním a konfigurací a data z nich odvozená. Provozní data nezahrnují Zákaznická data ani jiné osobní údaje.

2. Pokyny zákazníka

   1. Marzipan a zákazník se dohodli, že tato DPA a Smlouva, spolu s konfigurací nebo způsobem využívání jakýchkoli nastavení, funkcí nebo možností Služeb zákazníkem (které může zákazník čas od času upravovat), představují písemné zdokumentované pokyny zákazníka týkající se zpracování Zákaznických dat ze strany Marzipan (včetně pro účely UK SCC) ("Zdokumentované pokyny"). Marzipan bude zpracovávat Zákaznická data výhradně v souladu se Zdokumentovanými pokyny. Jakékoli dodatečné pokyny nad rámec Zdokumentovaných pokynů (pokud existují) vyžadují předchozí písemnou dohodu mezi Marzipan a zákazníkem.
   2. Marzipan je oprávněn ukončit tuto DPA a Smlouvu bez vzniku jakékoli odpovědnosti vůči zákazníkovi, pokud Marzipan odmítne řídit se pokyny, které jsou v rozporu se zákony o ochraně osobních údajů nebo s jakýmikoli platnými ustanoveními o ochraně soukromí v nařízeních EU o označování vín, nebo které jsou mimo rozsah pokynů uvedených nebo dohodnutých v této DPA či v jakékoli jiné písemné dohodě stran, případně se od nich odchylují.
   3. Zákazník neposkytne (ani nezpůsobí poskytnutí) žádné Zvláštní kategorie údajů společnosti Marzipan ke zpracování v rámci Smlouvy a Marzipan nenese žádnou odpovědnost za Zvláštní kategorie údajů, ať již v souvislosti s Bezpečnostním incidentem nebo jinak. Pro vyloučení pochybností se tato DPA na Zvláštní kategorie údajů nevztahuje.

3. Zpracování údajů

   1. When Marzipan processes Customer Data while providing the Services, Marzipan will:

      (a)pokud se použije UK GDPR nebo EU GDPR, zpracovávat Zákaznická data jako Zpracovatel jednající jménem zákazníka (ať již jako Správce nebo jako Zpracovatel jménem třetí strany jakožto Správce);

      (b)pokud se použije CCPA, zpracovávat Zákaznická data jménem zákazníka jako Poskytovatel služeb (podrobnosti viz doložka 3.2 níže);

      (c)zpracovávat a uchovávat Zákaznická data pouze na serverech:

      a.provozovaných provozovatelem datového centra UpCloud Oy, finskou společností s ručením omezeným ("UpCloud"), v jejím datovém centru DE-FRA1 ve Frankfurtu v Německu.

      b.provozovaných provozovatelem datového centra Scaleway SAS, francouzskou zjednodušenou akciovou společností ("Scaleway"), v jejím datovém centru v Paříži.

      c.provozovaných provozovatelem datového centra Hetzner Online GmbH, německou společností s ručením omezeným ("Hetzner"), v jejích datových centrech v Norimberku a Falkensteinu v Německu; a

      d.provozovaných poskytovatelem cloudového úložiště BunnyWay d.o.o., slovinskou společností s ručením omezeným ("BunnyWay"), na jejím hraničním serverovém místě v Norimberku v Německu.

      (d)zpracovávat Zákaznická data pouze v rozsahu a způsobem nezbytným pro Obchodní účely v souladu s platnými Zdokumentovanými pokyny zákazníka (za předpokladu, že tyto pokyny odpovídají funkcionalitám Služeb zakoupených zákazníkem v rámci Smlouvy);

      (e)pokud je Marzipan ze zákona povinen zpracovávat Zákaznická data pro jakýkoli jiný účel než pro Obchodní účely, Marzipan předem upozorní Zákazníka na tento požadavek ještě před zahájením takového zpracování, ledaže je Marzipan ze zákona povinen takové oznámení neposkytnout;

      (f)bezodkladně splní veškeré zákonné písemné pokyny Zákazníka vyžadující, aby Marzipan Zákaznická data změnil, předal, vymazal nebo jinak zpracoval, popřípadě aby jakékoli neoprávněné zpracování zastavil, zmírnil jeho důsledky nebo jej napravil;

      (g)zachová důvěrnost Zákaznických dat a neposkytne Zákaznická data třetím stranám, pokud to Zákazník nebo tato DPA výslovně nepovolí, nebo pokud to nevyžaduje vnitrostátní právo, soudní příkaz či právní předpis (včetně pokynu komisaře UK ICO nebo jakéhokoli jiného příslušného orgánu v UK a/nebo EHP);

      (h)přiměřeně pomůže Zákazníkovi, a to bez dodatečných nákladů pro Zákazníka, při plnění povinností Zákazníka vyplývajících z právních předpisů o ochraně osobních údajů, s přihlédnutím k povaze zpracování prováděného Marzipan a k informacím, které má Marzipan k dispozici, zejména (mimo jiné) poskytnutím přiměřených informací umožňujících Zákazníkovi provést posouzení vlivu na ochranu osobních údajů a pomoci Zákazníkovi reagovat na žádosti subjektů údajů; a

      (i)bezodkladně upozorní Zákazníka na veškeré změny právních předpisů o ochraně osobních údajů, které lze rozumně vykládat tak, že nepříznivě ovlivňují plnění povinností Marzipan vyplývajících ze Smlouvy nebo z této DPA.

   2. CCPA. Smluvní strany berou na vědomí a souhlasí s tím, že Marzipan je pro účely CCPA (v rozsahu, v němž se použije) poskytovatelem služeb (Service Provider) ve vztahu k Zákaznickým datům a že přijímá osobní údaje od Zákazníka za účelem poskytování Služeb podle Smlouvy, což představuje obchodní účel. Marzipan žádné takové osobní údaje neprodá. Marzipan nebude uchovávat, používat ani zveřejňovat žádné osobní údaje poskytnuté Zákazníkem podle Smlouvy, s výjimkou případů nezbytných pro specifický účel poskytování Služeb Zákazníkovi podle této Smlouvy, nebo jinak v souladu s touto Smlouvou či v rozsahu povoleném CCPA. Pojmy "osobní údaje" (personal information), "poskytovatel služeb" (Service Provider), "prodej" (sale) a "prodat" (sell) mají význam stanovený v § 1798.140 CPA (ve znění pozdějších změn, novel nebo aktualizací). Marzipan potvrzuje, že rozumí omezením stanoveným v tomto bodě (i).
   3. Služby třetích stran. V rámci Služeb nabízí Marzipan Zákazníkovi možnost průběžně integrovat Služby s určitými službami, integracemi a aplikacemi třetích stran nebo na ně napojit Služby ("Služby třetích stran"). Upozorňujeme, že užívání Služeb třetích stran ze strany Zákazníka se v každém případě řídí výhradně podmínkami užívání a přiloženými zásadami ochrany osobních údajů (souhrnně "EULA"), na jejichž základě příslušný poskytovatel Služeb třetích stran tyto služby Zákazníkovi zpřístupňuje ("Poskytovatel Služeb třetích stran"). Každá EULA je uzavřena výhradně mezi Zákazníkem a Poskytovatelem Služeb třetích stran a Marzipan není smluvní stranou těchto EULA.
   4. Pokud nás Zákazník pověří integrací produktů nebo účtů Marzipan Zákazníka s jednou nebo více Službami třetích stran, Zákazník souhlasí s tím, že Marzipan předá Zákaznická data Poskytovatelům Služeb třetích stran, aby tito mohli Zákazníkovi poskytovat své služby. Pokud Poskytovatelé Služeb třetích stran Zákaznická data následně zpracovávají, řídí se toto zpracování příslušnými ustanoveními o ochraně osobních údajů v jejich EULA a Marzipan za takové zpracování nenese odpovědnost.
   5. Third-Party Services from the following Third-Party Service Providers are currently available to be integrated and/or interfaced with Marzipan.

      Name	Description
      Fathom Analytics	This integration allows Customers who are subscribed to Fathom Analytics’ web analytics service to view their Fathom Analytics dashboard within Marzipan’s e-commerce and data management platform. All EEA and UK traffic processed via the integration is processed solely on EU servers owned and operated by the German cloud service provider etzner Online GmbH, a German legal entity.
      MailChimp	This integration allows Customers who are subscribed to MailChimp’s email marketing service to send data to MailChimp to enable the Customer to send emails to their subscribers.

   6. Vezměte prosím na vědomí, že pokud Marzipan umožní Zákazníkovi integrovat Služby s jakoukoli Službou třetích stran, která není uvedena ve výše uvedené tabulce, řídí se užívání takové Služby třetích stran Zákazníkem příslušnou EULA daného Poskytovatele Služeb třetích stran za stejných podmínek, jaké jsou stanoveny v bodě (i) této Smlouvy.
   7. SCC. Pokud Marzipan a Zákazník uzavřeli standardní smluvní doložky popsané v bodě 10 (Přenosy zákaznických dat), pak (i) pokyn Zákazníka Marzipan podle bodu 3.3 této Smlouvy k integraci příslušné Služby (Služeb) třetích stran jako součásti Služeb bude představovat předchozí písemný souhlas Zákazníka s přenosem Zákaznických dat ze strany Marzipan Poskytovateli Služeb třetích stran, pokud je takový souhlas vyžadován podle SCC; (ii) smluvní strany souhlasí s tím, že kopie smluv s Poskytovateli Služeb třetích stran, které musí Marzipan poskytnout Zákazníkovi podle doložky 9(c) EU SCC nebo příslušné doložky UK SCC (dle použití), mohou být Marzipan předem zbaveny obchodních informací nebo informací nesouvisejících se standardními smluvními doložkami či jejich ekvivalentem, a že takové redigované kopie poskytne Marzipan pouze na základě písemné žádosti Zákazníka.
   8. The Customer’s responsibilities. The Customer:

      (a)bude správcem osobních údajů (Data Controller) ve vztahu k Zákaznickým datům;

      (b)zůstane odpovědný za plnění povinností Zákazníka vyplývajících z příslušných právních předpisů o ochraně osobních údajů, včetně (mimo jiné) poskytování veškerých požadovaných oznámení a získávání veškerých požadovaných souhlasů nezbytných k tomu, aby Marzipan mohl zpracovávat Zákaznická data pro Obchodní účely;

      (c)neposkytne (ani nezpůsobí, aby byly poskytnuty) Marzipan žádné Zvláštní kategorie osobních údajů ke zpracování podle Smlouvy a Marzipan nenese jakoukoli odpovědnost za Zvláštní kategorie osobních údajů, ať už v souvislosti s Bezpečnostním incidentem nebo jinak. Pro vyloučení pochybností se tato DPA na Zvláštní kategorie osobních údajů nevztahuje;

      (d)prohlašuje a zaručuje, že dodržovala a bude nadále dodržovat veškeré platné právní předpisy, včetně právních předpisů o ochraně osobních údajů, v souvislosti se zpracováním Zákaznických dat a jakýmikoli Zdokumentovanými pokyny, které vydává společnosti Marzipan;

      (e)nese výhradní odpovědnost za přesnost, kvalitu a zákonnost Zákaznických dat a za způsob, jakým Zákazník Zákaznická data získal. Aniž je dotčena obecnost výše uvedeného, Zákazník souhlasí s tím, že odpovídá za dodržování veškerých právních předpisů (včetně právních předpisů o ochraně osobních údajů) vztahujících se na jakýkoli obsah vytvořený, odeslaný nebo spravovaný prostřednictvím Služeb;

      (f)zajistí, aby zpracování Zákaznických dat společností Marzipan v souladu se Zdokumentovanými pokyny Zákazníka nevedlo k porušení jakéhokoli platného zákona, nařízení nebo pravidla ze strany společnosti Marzipan, včetně, avšak nikoli výhradně, právních předpisů o ochraně osobních údajů. Marzipan neprodleně písemně informuje Zákazníka, pokud jí to není zakázáno právními předpisy o ochraně osobních údajů, jakmile zjistí nebo nabude přesvědčení, že jakýkoli pokyn ke zpracování dat ze strany Zákazníka je v rozporu s právními předpisy o ochraně osobních údajů; a

      (g)pokud jedná jako zpracovatel jménem správce třetí strany (nebo jiného zprostředkovatele vůči konečnému správci), zaručuje, že její Zdokumentované pokyny stanovené ve Smlouvě a v tomto DPA, včetně oprávnění udělených společnosti Marzipan k jmenování Dílčích zpracovatelů v souladu s tímto DPA, byly schváleny příslušným správcem.

4. Typy zákaznických dat a účely zpracování

   1. Předmět. Předmětem zpracování dat podle tohoto DPA jsou Zákaznická data zpracovávaná prostřednictvím Služeb.
   2. Doba trvání. Ve vztahu mezi Marzipan a Zákazníkem určuje dobu trvání zpracování osobních údajů podle této DPA Zákazník. Zákazník může zpracování osobních údajů pozastavit nebo ukončit pozastavením či ukončením svého předplatného Platformních služeb a/nebo služeb Labls (dle okolností) nebo pozastavením jakýchkoli integrací hostovaných na infrastruktuře Marzipan (například jakéhokoli proprietárního API, které Marzipan zpřístupní Zákazníkovi), které Zákazník využívá v rámci svých provozních činností.
   3. Účel. Účelem zpracování osobních údajů podle této DPA je poskytování Služeb iniciovaných Zákazníkem, a to průběžně, včetně – pro ilustraci – poskytování platformy pro elektronický obchod a správu dat Marzipan a/nebo služby generování a hostování e-etiket Zákazníkovi.
   4. Nature of the processing. Marzipan enables businesses to unify their e-commerce activities and generate E-Labels for their wine products, including by providing the "Services" as defined in clause 1 of this DPA. These Services include the processing of Customer Data by Marzipan, its Sub-processors and, as applicable, the Third-Party Service Providers. Customer Data may be uploaded to and/or processed on the Services by the Customer on the Customer Account, any API that Marzipan makes available that interface with the Services from time to time; and (iii) any Third-Party Services that share Customer Data with the Services.
   5. Types of Customer Data. Customer Data uploaded to the Services:

      (a)zákazníkem prostřednictvím zákaznického účtu;

      (b)prostřednictvím jakýchkoli API nebo webových komponent Marzipan, které propojují Služby se systémy zákazníka; a

      (c)prostřednictvím jakýchkoli služeb třetích stran, které zákazník integruje se Službami.

      Typy osobních údajů nahrávaných do Služeb jako součást Zákaznických dat mohou zahrnovat:

      • Jméno zákazníka, e-mail, kontaktní, fakturační a doručovací údaje.
      • Informace o nákupech, předplatném (tj. vinný klub) a dalších transakcích (včetně, nikoli však výhradně, informací o stavu) z fyzických a digitálních prodejen Zákazníka;
      • Aktivita Koncového zákazníka v digitálních prodejnách Zákazníka, včetně historie objednávek, prohlížených produktů a produktů vložených do nákupního košíku.
      • Informace o zařízení Koncového zákazníka používaném při návštěvě prodejen Zákazníka, včetně IP adresy, prohlížeče a síťové aktivity.
      • Jakékoli jiné osobní údaje, které se Zákazník rozhodne zpřístupnit prostřednictvím Marzipan.
   6. Kategorie subjektů údajů. Subjektem údajů může být (i) Zákazník, jeho zaměstnanci, dodavatelé, zástupci, subdodavatelé a prodejci a (ii) skuteční a potenciální Koncoví zákazníci Zákazníka.

5. Bezpečnost zpracování dat

   1. Marzipan vždy přijme vhodná technická a organizační opatření proti neoprávněnému nebo protiprávnímu zpracování, přístupu, kopírování, úpravám, reprodukci, zobrazení nebo šíření Zákaznických dat, jakož i proti náhodné nebo protiprávní ztrátě, zničení, změně, vyzrazení nebo poškození Zákaznických dat, včetně, nikoli však výhradně, opatření popsaných v Bezpečnostních standardech Marzipan (Příloha A), a to vždy za účelem zajištění úrovně zabezpečení Zákaznických dat odpovídající danému riziku v souladu s článkem 32 EU/UK GDPR.
   2. Marzipan shall implement such measures to ensure a level of security appropriate to the risk involved, including as appropriate:

      (a)pseudonymizaci a šifrování Zákaznických dat;

      (b)schopnost zajistit trvalou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování;

      (c)schopnost obnovit dostupnost a přístup k Zákaznickým datům v přiměřené době v případě fyzického nebo technického incidentu; a

      (d)postup pro pravidelné testování, posuzování a hodnocení účinnosti bezpečnostních opatření.

6. Zaměstnanci Marzipan

   1. Marzipan will ensure its employees, contractors and agents:

      (a)jsou informováni o důvěrné povaze Zákaznických dat a jsou vázáni povinnostmi mlčenlivosti a omezeními týkajícími se použití Zákaznických dat;

      (b)absolvovali školení v oblasti právních předpisů o ochraně osobních údajů týkající se nakládání se Zákaznickými daty a jejich uplatňování v rámci svých povinností; a

      (c)jsou si vědomi jak povinností Marzipan, tak svých vlastních povinností a závazků vyplývajících z právních předpisů o ochraně osobních údajů a Smlouvy.

7. Zabezpečení

   1. Marzipan vždy přijme vhodná technická a organizační opatření proti neoprávněnému nebo protiprávnímu zpracování, přístupu, kopírování, úpravám, reprodukci, zobrazení nebo šíření Zákaznických dat, jakož i proti náhodné nebo protiprávní ztrátě, zničení, změně, vyzrazení nebo poškození Zákaznických dat.
   2. Marzipan shall implement such measures to ensure a level of security appropriate to the risk involved, including for illustrative purposes and as appropriate:

      (a)pseudonymizaci a šifrování Zákaznických dat;

      (b)schopnost zajistit trvalou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování;

      (c)schopnost obnovit dostupnost a přístup k Zákaznickým datům v přiměřené době v případě fyzického nebo technického incidentu; a

      (d)postup pro pravidelné testování, posuzování a hodnocení účinnosti bezpečnostních opatření.

8. Porušení zabezpečení osobních údajů

   1. Marzipan shall within 72 hours and in any event without undue delay notify the Customer if it becomes aware of:

      (a)ztráta, nezamýšlené zničení nebo poškození, korupce nebo jiné znehodnocení části nebo veškerých Zákaznických dat;

      (b)jakékoli náhodné, neoprávněné nebo protiprávní zpracování Zákaznických dat; nebo

      (c)jakékoli porušení zabezpečení osobních údajů.

   2. Where Marzipan becomes aware of any of the foregoing matters described in clauses 8.1(a), (b) and/or (c) above, it shall, without undue delay, also provide the Customer with the following:

      (a)popis povahy záležitosti zaznamenané ve vztahu k článkům 8.1 písm. a), b) a/nebo c), včetně kategorií dotčených Zákaznických dat a přibližného počtu dotčených Subjektů údajů i záznamů Zákaznických dat; nebo

      (b)popis opatření přijatých nebo navrhovaných k řešení záležitostí zaznamenaných ve vztahu k článkům 8.1 písm. a), b) a/nebo c), včetně opatření ke zmírnění jejich možných nepříznivých účinků.

   3. Bezprostředně po jakémkoli náhodném, neoprávněném nebo protiprávním zpracování Zákaznických dat nebo porušení zabezpečení osobních údajů Marzipan kontaktuje Zákazníka, abychom mohli koordinovat naše šetření dané záležitosti.
   4. Marzipan nebude informovat žádnou třetí stranu o jakémkoli náhodném, neoprávněném nebo nezákonném zpracování veškerých nebo části Zákaznických dat a/nebo o Narušení osobních údajů bez předchozího písemného souhlasu Zákazníka, ledaže je takové zveřejnění nezbytné jako součást opatření potřebných k řešení daného zpracování nebo Narušení osobních údajů nebo je vyžadováno platným právem.
   5. Marzipan uhradí přiměřené výdaje spojené s plněním svých povinností podle článků 8.1 a 8.2, pokud daná záležitost nevznikla v důsledku konkrétních písemných pokynů Zákazníka, jeho nedbalosti, úmyslného pochybení nebo porušení DPA či Smlouvy; v takovém případě uhradí veškeré přiměřené výdaje Zákazník (včetně přiměřených výdajů Marzipan a jeho odborných poradců).

9. Dílčí zpracovatelé

   1. Marzipan uses the following Sub-processors to host and/or process Customer Data, to provide infrastructure and network services to support Marzipan, and to perform service functions on our behalf as part of the Services:

      Name	Description
      Active Campaign LLC	Trading as "Postmark", Active Campaign delivers transactional emails (e.g. password reset emails, notification emails, receipt and invoice emails) on behalf of Marzipan as part of the Services.
      Automattic, Inc.	Trading as "Gravatar." Automattic allows Customers to upload pre-existing image and public profile data to the Platform Services.
      BunnyWay d.o.o	BunnyWay provides Marzipan with Domain Name System (DNS), Website Application Firewall (WAF) and Content Delivery Network (CDN) services.
      Fathom Analytics	Fathom Analytics provides web analytics services that enable Marzipan to track and analyse web traffic’s engagement with the Services.
      Functional Software Inc.	Trading as "Sentry", Functional Software provides Marzipan with crash and error monitoring services in respect of the Services.
      Internet Security Research Group	ISRG’s "Let’s Encrypt" service provides Marzipan with the digital certificate necessary to enable HTTPS (SLS/TLS) on its websites.
      Laravel Holdings Inc.	Laravel provides Marzipan with its: (i) "Forge" server management services in relation to the provisioning and deployment of the Services on Hetzner Online GmbH’s servers; and (ii) "Envoyer" zero downtime deployment services.
      OhMySMTP Ltd	OhMySMTP, trading as "MailPace", provides Marzipan with email services for sending transactional emails (e.g. password reset emails, notification emails, order confirmation emails) on behalf of Marzipan as part of the Services.
      PayPal UK Ltd	PayPal provides Marzipan with authorised payment gateway and payment processing services in respect of payload and payment data submitted to the Services.
      Stripe Payments UK, Ltd.	Stripe provides Marzipan with authorised payment gateway and payment processing services in respect of payload and payment data submitted to the Services.

   2. Zákazník nás opravňuje využívat Dílčí zpracovatele uvedené v článku 9.1 výše jako součást Služeb a dále nám uděluje obecné oprávnění využívat další Dílčí zpracovatele pro zpracovatelské činnosti týkající se Zákaznických dat, která od Zákazníka shromažďujeme na základě Smlouvy; Marzipan oznámí Zákazníkovi přidání nebo odebrání Dílčích zpracovatelů nejméně 10 dní před jakoukoli takovou změnou.
   3. Where Marzipan engages a Sub-processor as described in clause 9.1:

      (a)Marzipan omezí přístup Dílčího zpracovatele k jakýmkoli datům výhradně na to, co je přiměřeně nezbytné k poskytování, udržování nebo zlepšování Služeb; a

      (b)Marzipan uzavře s Dílčím zpracovatelem písemnou smlouvu o zpracování dat a v rozsahu, v němž Dílčí zpracovatel vykonává stejné služby zpracování dat, jaké poskytuje Marzipan podle tohoto DPA, uloží Marzipan Dílčímu zpracovateli stejné smluvní povinnosti, jaké má Marzipan podle tohoto dokumentu.

   4. If Marzipan and the Customer have entered into Standard Contractual Clauses as described in clause 10 (Transfers of Customer Data):

      (a)výše uvedená oprávnění budou představovat předchozí písemný souhlas Zákazníka se subdodavatelským zajištěním zpracování Zákaznických dat ze strany Marzipan, pokud je takový souhlas vyžadován na základě SCC;a

      (b)Marzipan uzavře s Dílčím zpracovatelem písemnou smlouvu o zpracování dat a v rozsahu, v němž Dílčí zpracovatel vykonává stejné služby zpracování dat, jaké poskytuje Marzipan podle tohoto DPA, uloží Marzipan Dílčímu zpracovateli stejné smluvní povinnosti, jaké má Marzipan podle tohoto dokumentu.

   5. If Marzipan and the Customer have entered into Standard Contractual Clauses as described in clause 10 (Transfers of Customer Data):

      (a)výše uvedená oprávnění budou představovat předchozí písemný souhlas Zákazníka se subdodavatelským zajištěním zpracování Zákaznických dat ze strany Marzipan, pokud je takový souhlas vyžadován na základě SCC; a

      (b)strany se dohodly, že kopie smluv s Dílčími zpracovateli, které musí Marzipan poskytnout Zákazníkovi podle čl. 9 písm. c) EU SCC nebo příslušného ustanovení UK SCC (dle použitelnosti), mohou být Marzipan předem zbaveny obchodních informací nebo informací nesouvisejících se Standardními smluvními doložkami nebo jejich ekvivalentem, a že takto začerněné kopie budou Marzipan poskytnuty pouze na písemnou žádost Zákazníka.

10. Předávání Zákaznických dat

    1. Strany se dohodly, že Marzipan může předávat Zákaznická data zpracovávaná na základě Smlouvy mimo EHP, UK nebo Švýcarsko, je-li to nezbytné pro poskytování Služeb. Zákazník bere na vědomí, že zpracovatelské operace mnoha Poskytovatelů služeb třetích stran a Dílčích zpracovatelů probíhají ve Spojených státech amerických a že předávání Zákaznických dat je nezbytné pro poskytování Služeb Zákazníkovi. Pokud Marzipan předá Zákaznická data chráněná touto Smlouvou do jurisdikce, pro niž Evropská komise nebo britský ministr vnitra (dle použitelnosti) nevydal rozhodnutí o odpovídající ochraně, zajistí Marzipan, aby byly pro předávání Zákaznických dat zavedeny vhodné záruky v souladu s právními předpisy o ochraně osobních údajů.
    2. Ex-EEA Transfers. The parties agree that ex-EEA Transfers are made pursuant to Module Two (Controller to Processor) of the EU SCCs which is deemed entered (and incorporated into this DPA) and which shall apply as follows (unless stated otherwise, references to clause numbers are references to clause numbers of Module Two of the EU SCCs):

       (a)Volitelná dokovací doložka v čl. 7 se nepoužije;

       (b)V čl. 9 se uplatní Možnost 2 (obecné písemné oprávnění) a minimální lhůta pro předchozí oznámení změn Dílčích zpracovatelů je stanovena v článku 9.2 tohoto DPA;

       (c)V článku 11 se volitelné znění nepoužije;

       (d)Všechny hranaté závorky v článku 12 se tímto odstraňují;

       (e)V článku 17 (Možnost 10 se EU SCC řídí irským právem);

       (f)V doložce 18(b) budou spory řešeny před soudy Irska;

       (g)Část 1 přílohy B ("Přeshraniční přenosy") k této DPA obsahuje informace požadované v příloze I EU SCC;

       (h)Část 1 přílohy Annex B ("Přeshraniční přenosy") k této DPA obsahuje informace požadované v příloze II EU SCC;

       (i)Uzavřením tohoto DPA se má za to, že strany podepsaly EU SCCs zde začleněné, včetně jejich příloh.

    3. Ex-UK Transfers

       (a)The parties agree that the IDTA DPA shall apply to an ex-UK Transfer. Part 2 of Annex B ("Cross-Border Transfers") contains the information required in the IDTA DPA.

    4. Transfers from Switzerland. The parties agree that transfers from Switzerland are made pursuant to the EU SCCs with the following modifications:

       (a)The terms "General Data Protection Regulation" or "Regulation (EU) 2016/679" as utilised in the EU SCCs shall be interpreted to include the Federal Act on Data Protection of 19 June 2022 (the "FADP"), and as revised as of 25 September 2020, the "Revised FADP") with respect to data transfers subject to FADP.

       (b)Podmínky EU SCC budou vykládány tak, aby chránily údaje právnických osob, dokud nenabude účinnosti revidovaný FADP (švýcarský spolkový zákon o ochraně údajů).

       (c)Článek 13 EU SCC se upravuje tak, aby Federální komisař pro ochranu údajů a informace ("FDPIC") Švýcarska měl pravomoc nad přenosy údajů řízenými FADP a příslušný dozorový úřad EU měl pravomoc nad přenosy údajů řízenými EU GDPR. S výhradou výše uvedeného musí být dodrženy veškeré ostatní požadavky článku 13 EU SCC.

       (d)The term "EU Member State" as utilised in the EU SCCs shall not be interpreted in such a way to exclude the Data Subjects in Switzerland from exercising their rights in their place of habitual residence in accordance with Clause 18(c) of the EU SCCs.

    5. Supplementary Measures. In respect of any ex-EEA Transfer or ex-UK Transfer, the following supplementary measures shall apply:

       (a)K datu uzavření tohoto DPA příjemce údajů neobdržel žádné formální právní žádosti od žádné vládní zpravodajské nebo bezpečnostní služby/agentury v zemi, do níž jsou zákaznická data exportována, o přístup k zákaznickým datům (nebo jejich kopiím) ("Žádosti vládních agentur");

       (b)Pokud po datu uzavření tohoto DPA příjemce údajů obdrží jakoukoli Žádost vládní agentury, Marzipan se pokusí přesměrovat orgán činný v trestním řízení nebo vládní agenturu na přímou žádost o data od zákazníka. V rámci tohoto úsilí zákazník souhlasí s tím, že vládní agentuře můžeme poskytnout jeho základní kontaktní údaje. Pokud bude Marzipan nucen zpřístupnit zákaznická data orgánu činnému v trestním řízení nebo vládní agentuře, poskytne zákazníkovi přiměřené předchozí upozornění na tuto žádost a bude spolupracovat, aby zákazníkovi umožnil domáhat se vydání ochranného příkazu nebo jiného vhodného prostředku nápravy, pokud mu to zákon nezakazuje. Marzipan dobrovolně nezpřístupní zákaznická data žádnému orgánu činnému v trestním řízení ani vládní agentuře. Marzipan co nejdříve projedná a rozhodne, zda mají být veškeré nebo některé přenosy zákaznických dat podle tohoto DPA pozastaveny s ohledem na takové Žádosti vládních agentur;

       (c)Marzipan and the Data Exporter will meet regularly to consider whether:

       a.Ochrana poskytovaná právními předpisy země příjemce údajů subjektům údajů, jejichž osobní údaje jsou přenášeny jako součást zákaznických dat, je dostatečná k zajištění ochrany v zásadě rovnocenné té, jež je poskytována v EHP nebo UK, podle toho, co připadá v úvahu;

       b.Dodatečná opatření jsou přiměřeně nezbytná k tomu, aby byl přenos v souladu s právními předpisy o ochraně osobních údajů;

       c.Přenos zákaznických dat příslušnému příjemci údajů je i nadále vhodný, s přihlédnutím ke všem relevantním informacím dostupným stranám a k pokynům vydaným dozorčími orgány.

       (d)Pokud právní předpisy o ochraně osobních údajů vyžadují, aby Marzipan uzavřel Standardní smluvní doložky použitelné na konkrétní přenos zákaznických dat příjemci údajů jako samostatnou smlouvu, příjemce údajů na žádost Marzipan neprodleně takové Standardní smluvní doložky podepíše, přičemž zahrne změny, které může Marzipan přiměřeně požadovat, aby odrážely příslušné přílohy, podrobnosti přenosu a požadavky právních předpisů o ochraně osobních údajů; a

       (e)Pokud (i) jakýkoli prostředek legitimizace přenosů mimo EHP, UK nebo Švýcarsko stanovený v tomto DPA přestane být platný, nebo (ii) jakýkoli dozorčí orgán nařídí pozastavení přenosů zákaznických dat prostřednictvím těchto prostředků, může příjemce údajů oznámením Marzipan s účinností od data uvedeného v takovém oznámení změnit nebo zavést alternativní opatření týkající se těchto přenosů, jak vyžadují právní předpisy o ochraně osobních údajů.

    6. Zpracovatelé. Pokud zákazník souhlasí s tím, že jmenujeme zpracovatele se sídlem mimo EHP v souladu s ustanoveními článku 9, nebo pokud se zákazník rozhodne integrovat službu třetí strany od poskytovatele služeb třetí strany se sídlem mimo EHP v souladu s článkem 3, zákazník nás opravňuje uzavřít SSC s touto stranou, a to i jménem zákazníka a na jeho účet.

11. Stížnosti, žádosti subjektů údajů a práva třetích stran

    1. Marzipan will take such reasonable technical and organisational measures as appropriate, and promptly provide such information to the Customer as the Customer may require, to enable the Customer to comply with:

       (a)the rights of Data Subjects under the Data Protection Laws, including subject access rights, the rights to rectify, port and erase Customer Data, object to the processing and automated processing of Customer Data, and restrict the processing of Customer Data; and/p>

       (b)oznámení nebo výzvy k podání informací doručené zákazníkovi ze strany UK ICO (nebo jiného příslušného regulačního orgánu v EHP) podle právních předpisů o ochraně osobních údajů.

    2. Marzipan neprodleně písemně informuje zákazníka, pokud obdrží jakoukoli stížnost, oznámení nebo sdělení, které se přímo či nepřímo týká zpracování zákaznických dat nebo dodržování právních předpisů o ochraně osobních údajů ze strany Marzipan nebo zákazníka.
    3. Marzipan informuje zákazníka do 14 dnů, pokud obdrží žádost subjektu údajů o přístup k jeho zákaznickým datům nebo o uplatnění jakýchkoli jiných práv podle právních předpisů o ochraně osobních údajů.
    4. Marzipan poskytne zákazníkovi pomoc při odpovídání na jakoukoli stížnost, oznámení, sdělení nebo žádost subjektu údajů.
    5. Marzipan nezpřístupní zákaznická data žádnému subjektu údajů ani třetí straně jinak než v souladu s písemnými pokyny zákazníka, nebo jak vyžadují příslušné vnitrostátní právní předpisy.

12. Trvání a ukončení

    1. This DPA will remain in full force and effect so long as:

       (a)smlouva zůstává v platnosti; nebo

       (b)Marzipan uchovává jakákoli zákaznická data související se smlouvou ve svém držení nebo pod svou kontrolou ("Doba trvání").

    2. Veškerá ustanovení tohoto DPA, která výslovně nebo ze své povahy mají nabýt účinnosti nebo zůstat v platnosti při ukončení smlouvy nebo po jejím ukončení za účelem ochrany zákaznických dat, zůstávají plně v platnosti a účinnosti.
    3. Nedodržení podmínek tohoto DPA ze strany Marzipan představuje podstatné porušení smlouvy. V takovém případě může zákazník smlouvu okamžitě ukončit písemným oznámením Marzipan, aniž by mu vznikla další odpovědnost nebo povinnost.
    4. Pokud změna právních předpisů o ochraně osobních údajů zabrání některé ze stran plnit veškeré nebo část jejích smluvních povinností, strany se mohou dohodnout na pozastavení zpracování zákaznických dat, dokud toto zpracování nebude v souladu s novými požadavky. Pokud strany nejsou schopny uvést zpracování zákaznických dat do souladu s právními předpisy o ochraně osobních údajů do 90 dnů, může kterákoli strana smlouvu ukončit s okamžitou účinností písemným oznámením druhé straně.

13. Vrácení a likvidace dat

    1. Na žádost zákazníka Marzipan poskytne zákazníkovi nebo třetí straně písemně pověřené zákazníkem kopii veškerých nebo části zákaznických dat ve svém držení nebo pod svou kontrolou, nebo přístup k nim, ve formátu a na médiích přiměřeně specifikovaných zákazníkem.
    2. Po ukončení nebo jiném vypršení platnosti smlouvy z jakéhokoli důvodu nebo po dokončení poskytování služeb Marzipan zákaznická data vrátí nebo vymaže, pokud příslušné právní předpisy další uchovávání zákaznických dat nevyžadují nebo nepovolují. Pokud je vrácení nebo likvidace nepraktická nebo zakázána zákonem, předpisem nebo nařízením, Marzipan přijme opatření k zablokování těchto zákaznických dat před jakýmkoli dalším zpracováním (s výjimkou rozsahu nezbytného pro jejich další hosting nebo zpracování vyžadované zákonem, předpisem nebo nařízením) a bude nadále přiměřeně chránit zákaznická data zbývající ve svém držení, úschově nebo pod svou kontrolou. Pokud Marzipan a zákazník uzavřeli Standardní smluvní doložky popsané v článku 10 (Přenosy zákaznických dat), strany se dohodly, že osvědčení o výmazu požadované podle doložky 8.1(d) Standardních smluvních doložek EU a jakéhokoli příslušného ustanovení Standardních smluvních doložek UK (podle okolností) Marzipan zákazníkovi poskytne pouze na základě jeho písemné žádosti.
    3. Pokud jakýkoli zákon, předpis nebo vládní či regulační orgán vyžaduje, aby Marzipan uchovával jakékoli dokumenty, materiály nebo zákaznická data, která by jinak byl povinen vrátit nebo zlikvidovat, písemně o tomto požadavku na uchovávání zákazníka informuje, přičemž uvede podrobnosti o dokumentech, materiálech nebo zákaznických datech, která musí uchovat, právní základ pro jejich uchovávání, a stanoví konkrétní lhůtu pro výmaz nebo likvidaci po skončení povinnosti uchovávání.
    4. Marzipan do 30 dnů po dokončení výmazu nebo likvidace písemně potvrdí zákazníkovi, že zákaznická data zlikvidoval.

14. Záznamy

    1. Marzipan bude uchovávat podrobné, přesné a aktuální písemné záznamy týkající se veškerého zpracování Zákaznických dat, včetně mimo jiné přístupu k Zákaznickým datům, jejich kontroly a zabezpečení, schválených subdodavatelů, účelů zpracování, kategorií zpracování, veškerých předání Zákaznických dat do třetí země a souvisejících záruk a obecného popisu zavedených technických a organizačních bezpečnostních opatření (dále jen "Záznamy")
    2. Marzipan zajistí, aby byly Záznamy dostatečné k tomu, aby Zákazník mohl ověřit soulad Marzipan s jeho povinnostmi vyplývajícími z této Smlouvy, a Marzipan poskytne Zákazníkovi kopie Záznamů na vyžádání.

15. Záruky

    1. TMarzipan warrants and represents that:

       (a)jeho zaměstnanci, subdodavatelé, zmocněnci a jakékoli jiné osoby přistupující k Zákaznickým údajům jeho jménem jsou spolehliví a důvěryhodní a absolvovali požadované školení v oblasti zákonů o ochraně osobních údajů;

       (b)on sám i kdokoli jednající jeho jménem bude zpracovávat Zákaznické údaje v souladu se zákony o ochraně osobních údajů a dalšími právními předpisy, zákonnými ustanoveními, nařízeními, příkazy, normami a jinými podobnými právními akty;

       (c)nemá žádný důvod se domnívat, že zákony o ochraně osobních údajů mu brání v poskytování jakýchkoli smluvně dohodnutých služeb; a

       (d)s ohledem na současné technologické prostředí a náklady na implementaci přijme vhodná technická a organizační opatření k zabránění neoprávněnému nebo protiprávnímu zpracování Zákaznických dat a k předcházení náhodnému ztrátě, zničení nebo poškození Zákaznických dat, a zajistí úroveň zabezpečení přiměřenou:

       (i)újmě, která by mohla vyplynout z takového neoprávněného nebo protiprávního zpracování nebo z náhodné ztráty, zničení nebo poškození;

       (ii)povaze Zákaznických dat, která mají být chráněna; a

       (iii)dodržovat veškeré příslušné zákony o ochraně osobních údajů a své zásady v oblasti informační bezpečnosti.

16. Podpis a změny

    1. Podmínky tohoto DPA jsou začleněny odkazem do Smlouvy a tvoří její nedílnou součást, jako by byly ve Smlouvě plně uvedeny. Uzavřením Smlouvy Zákazník výslovně bere na vědomí a souhlasí s tím, že bude vázán podmínkami tohoto DPA.
    2. Marzipan může po předložení třiceti (30) kalendářních dnů předchozího písemného oznámení provést jakékoli přiměřené změny tohoto DPA, pokud jsou vyžadovány v důsledku jakékoli změny právních předpisů na ochranu osobních údajů nebo rozhodnutí příslušného orgánu podle těchto předpisů, aby bylo zpracování Zákaznických dat umožněno (nebo mohlo nadále probíhat) bez porušení právních předpisů na ochranu osobních údajů. Pokud Zákazník s takovými změnami nesouhlasí, může ve lhůtě třiceti (30) kalendářních dnů od doručení oznámení předložit Marzipan písemné oznámení o ukončení Smlouvy (včetně tohoto DPA) s okamžitou účinností, a to v rozsahu, v jakém se týká Služeb dotčených navrhovanými změnami (nebo jejich absencí). Zákazník uhradí Marzipan veškeré poplatky a jiné částky vzniklé na základě Smlouvy nebo v souvislosti s ní před datem ukončení, které ke dni ukončení zůstávají nezaplaceny. Zákazník nemá žádné další nároky (včetně žádostí o vrácení plateb za Služby) z důvodu nebo v souvislosti s ukončením této Smlouvy podle tohoto článku 16.2.