Dodatek Marzipan o zpracování údajů

Příloha B: Přeshraniční přenosy

Toto je překlad poskytnutý pouze pro informační účely. Anglická verze je závazným a právně platným textem; v případě jakéhokoli rozporu má anglická verze přednost.

ČÁST 1 – Přenosy mimo EEA

1. Příloha I.A standardních smluvních doložek se vyplní takto:

Vývozce údajů: Zákazník (jak je uvedeno ve smlouvě).

Kontaktní údaje: Kontaktní údaje zákazníka (jak je uvedeno ve smlouvě).

Role správce dat (Data Exporter): Správce osobních údajů.

Modul dva: Vývozce dat je správcem osobních údajů.

Dovozce dat (Data Importer): Marzipan.

Kontaktní údaje: Jak je uvedeno ve Smlouvě.

Role dovozce dat (Data Importer): Dovozce dat je zpracovatelem osobních údajů.

Podpis a datum: Uzavřením Smlouvy a DPA se má za to, že dovozce dat podepsal tyto standardní smluvní doložky, které jsou zde začleněny včetně jejich příloh, a to ke dni nabytí účinnosti Smlouvy.

2. Příloha I.B standardních smluvních doložek se vyplní takto:

Kategorie subjektů údajů jsou popsány v článku 4.6 DPA.

Kategorie zákaznických dat jsou popsány v článku 4.5 DPA.

Strany nezamýšlejí přenášet zvláštní kategorie osobních údajů (Special Category Data).

Frekvence předávání je průběžná po celou dobu trvání Smlouvy.

Povaha zpracování je popsána v článku 4.4 DPA.

Účel zpracování je popsán v článku 4.3 DPA.

Doba, po kterou budou Zákaznická data uchovávána, odpovídá době trvání Smlouvy, pokud není ve Smlouvě a/nebo DPA dohodnuto jinak.

V souvislosti s předáváním údajů Dílčím zpracovatelům je předmět, povaha a doba trvání zpracování stanovena v článku 9 DPA.

3. Příloha I.C Standardních smluvních doložek se doplňuje takto:

Příslušný dozorový úřad ve smyslu Doložky 13 je dozorový úřad v členském státě uvedeném v článku 10 písm. e) tohoto DPA.

Bezpečnostní standardy Marzipan (Příloha A) slouží jako dokumentace a podrobnosti vyžadované v Příloze II Standardních smluvních doložek.

4. V rozsahu, v němž existuje jakýkoli rozpor mezi Standardními smluvními doložkami a jakýmikoli jinými ustanoveními tohoto DPA nebo Smlouvy, mají přednost ustanovení Standardních smluvních doložek.

ČÁST 2 – Přenosy mimo UK

  1. Strany se dohodly, že IDTA DPA se uplatní na přenos mimo UK a tato Část 2 je účinná od 21. března 2022.
  2. Není-li ve Smlouvě stanoveno jinak, mají definované pojmy v části 2 přílohy 2 význam uvedený níže v "Části 2: Závazná ustanovení".

Část 1: Tabulky

Tabulka 1 IDTA DPA

3. Tabulka 1 DPA se vyplní takto:

  • Vývozce údajů: Zákazník (jak je uvedeno ve Smlouvě).
  • Kontaktní údaje: Jak je uvedeno ve Smlouvě.

Podpis a datum: Uzavřením Smlouvy a DPA se má za to, že Vývozce údajů podepsal tuto IDTA DPA, která je zde začleněna, ke dni nabytí účinnosti Smlouvy.

  • Dovozce dat (Data Importer): Marzipan.
  • Kontaktní údaje: Jak je uvedeno ve Smlouvě.

Podpis a datum: Uzavřením Smlouvy a DPA se má za to, že Dovozce údajů podepsal tuto IDTA DPA, která je zde začleněna, ke dni nabytí účinnosti Smlouvy.

Tabulka 2 IDTA DPA

4. Tabulka 2 DPA se doplní takto:

DPA EU SSCs The Approved EU SCCs, including the Appendix Information and with only the following modules, clauses or optional provisions of the Approved EU SCCs brought into effect for the purposes of this DPA:
Module in operation Clause 7
(Docking Clause)		 Clause 11
(Option)		 Clause 9a
(Prior Authorisation or General Authorisation)		 Clause 9a
(Time period)		 Is personal data received from the Importer combined with personal data collected by the Exporter?
1 Shall not apply Shall not apply General Authorisation As set out in clause 9.2 of the DPA (30 days). No
1 Shall not apply Shall not apply General Authorisation As set out in clause 9.2 of the DPA (30 days). No

Tabulka 3 IDTA DPA

5. Tabulka 3 DPA se doplní takto:

Vývozce údajů: Zákazník (jak je uvedeno ve smlouvě).

Kontaktní údaje: Kontaktní údaje zákazníka (jak je uvedeno ve smlouvě).

Role správce dat (Data Exporter): Správce osobních údajů.

  1. a) Modul 1: Dovozce údajů je správcem osobních údajů.
  2. b) Modul 2: Dovozce údajů je správcem osobních údajů.

Modul dva: Vývozce dat je správcem osobních údajů.

Podpis a datum: Uzavřením Smlouvy a DPA se má za to, že Vývozce údajů podepsal schválené standardní smluvní doložky EU, které jsou zde začleněny včetně jejich příloh, ke dni nabytí účinnosti Smlouvy.

Dovozce dat (Data Importer): Marzipan.

Kontaktní údaje: Jak je uvedeno ve Smlouvě.

Role dovozce údajů: Dovozce údajů je zpracovatelem osobních údajů.

6. Příloha I.B se doplní takto:

Kategorie subjektů údajů jsou popsány v článku 4.6 DPA.

Kategorie osobních údajů jsou popsány v článku 4.5 DPA.

Strany nezamýšlejí přenášet zvláštní kategorie osobních údajů (Special Category Data).

Frekvence předávání je průběžná po celou dobu trvání Smlouvy.

Povaha zpracování je popsána v článku 4.4 DPA.

Účel zpracování je popsán v článku 4.3 DPA.

Doba, po kterou budou osobní údaje uchovávány, odpovídá době trvání Smlouvy, pokud Smlouva a/nebo DPA nestanoví jinak.

V souvislosti s předáváním údajů Dílčím zpracovatelům je předmět, povaha a doba trvání zpracování stanovena v článku 9 DPA.

Příloha III: Seznam zpracovatelů se nepoužije, neboť Marzipan má obecné písemné oprávnění využívat zpracovatele.

Tabulka 4 IDTA DPA

7. Dovozce může ukončit tuto IDTA DPA způsobem stanoveným v článku 26 této IDTA DPA.

Část 2: Závazná ustanovení

8. Každá strana souhlasí s tím, že bude vázána podmínkami stanovenými v této IDTA DPA výměnou za to, že druhá strana rovněž souhlasí s tím, že bude touto IDTA DPA vázána.

9. Přestože příloha 1A a článek 7 schválených standardních smluvních doložek EU vyžadují podpis stran, za účelem uskutečňování omezených předávání mohou strany uzavřít tuto IDTA DPA jakýmkoli způsobem, který je pro ně právně závazný a umožňuje subjektům údajů uplatňovat jejich práva stanovená v této DPA. Uzavření této IDTA DPA bude mít stejný účinek jako podpis schválených standardních smluvních doložek EU nebo jakékoli jejich části.

Výklad této IDTA DPA

10. Pokud tato IDTA DPA používá pojmy definované ve schválených standardních smluvních doložkách EU, mají tyto pojmy stejný význam jako ve schválených standardních smluvních doložkách EU. Dále mají následující pojmy následující význam:

DPA This International Data Transfer DPA which is made up of this IDTA DPA incorporating the DPA EU SCCs.
DPA EU SCCs The version(s) of the Approved EU SCCs which this IDTA DPA is appended to, as set out in Table 2, including the Appendix Information.
Appendix Information As set out in Table ‎3.
Appropriate Safeguards The standard of protection over the Personal Data and of Data Subjects’ rights, which is required by UK Data Protection Laws when the Customer are making a Restricted Transfer relying on standard data protection clauses under Article 46(2)(d) UK GDPR.
Approved DPA The template DPA issued by the UK ICO and laid before UK Parliament in accordance with s119A of the Data Protection Act 2018 on 2 February 2022, as it is revised under clause 25 below.
Approved EU SCCs The Standard Contractual Clauses set out in the Annex of Commission Implementing Decision (EU) 2021/914 of 4 June 2021.
ICO The UK Information Commissioner.
Restricted Transfer A transfer which is covered by Chapter V of the UK GDPR.
UK The United Kingdom of Great Britain and Northern Ireland.
UK Data Protection Laws All laws relating to data protection, the processing of personal data, privacy and/or electronic communications in force from time to time in the UK, including the UK GDPR and the Data Protection Act 2018.
UK GDPR As defined in section 3 of the Data Protection Act 2018.

11. Tato IDTA DPA musí být vždy vykládána způsobem, který je v souladu s právními předpisy UK v oblasti ochrany osobních údajů a který stranám umožňuje splnit povinnost poskytovat přiměřené záruky.

12. Pokud ustanovení obsažená ve standardních smluvních doložkách EU podle DPA mění schválené standardní smluvní doložky EU způsobem, který není povolen podle schválených standardních smluvních doložek EU nebo schválené DPA, taková změna (změny) nebudou do této IDTA DPA začleněny a na jejich místo nastoupí odpovídající ustanovení schválených standardních smluvních doložek EU.

13. V případě jakéhokoli nesouladu nebo konfliktu mezi UK Data Protection Laws a tímto IDTA DPA platí UK Data Protection Laws.

14. Není-li význam tohoto IDTA DPA jasný nebo připouští-li více než jeden výklad, použije se ten výklad, který nejlépe odpovídá UK Data Protection Laws.

15. Jakékoli odkazy na právní předpisy (nebo jejich konkrétní ustanovení) označují tyto právní předpisy (nebo tato ustanovení) v jejich aktuálním znění, včetně případů, kdy byly po uzavření tohoto IDTA DPA konsolidovány, znovu přijaty nebo nahrazeny.

 

Hierarchie

16. Přestože článek 5 schválených standardních smluvních doložek EU stanoví, že tyto doložky mají přednost před všemi souvisejícími smlouvami mezi stranami, strany se dohodly, že pro omezené přenosy bude mít přednost hierarchie stanovená v oddíle ‎17.

17. V případě jakéhokoli nesouladu nebo konfliktu mezi schváleným DPA a DPA EU SCCs (podle použitelnosti) má schválené DPA přednost před DPA EU SCCs, s výjimkou případů, kdy (a v rozsahu, v jakém) nesouladná nebo kolidující ustanovení DPA EU SCCs zajišťují subjektům údajů vyšší ochranu – v takovém případě mají tato ustanovení přednost před schváleným DPA.

18. Pokud toto IDTA DPA zahrnuje DPA EU SCCs uzavřené za účelem ochrany přenosů podléhajících obecnému nařízení o ochraně osobních údajů (EU) 2016/679, strany berou na vědomí, že nic v tomto IDTA DPA se nedotýká těchto DPA EU SCCs.

Začlenění a změny standardních smluvních doložek EU

19. Toto IDTA DPA zahrnuje DPA EU SCCs, které jsou změněny v nezbytném rozsahu tak, aby:

  1. společně fungovaly pro přenosy dat uskutečněné vývozcem dat dovozci dat, a to v rozsahu, v němž se UK Data Protection Laws vztahují na zpracování prováděné vývozcem dat při takovém přenosu, a poskytovaly pro tyto přenosy dat vhodné záruky;
  2. články ‎16 až ‎18 níže mají přednost před článkem 5 (Hierarchie) DPA EU SCCs; a
  3. toto IDTA DPA (včetně DPA EU SCCs do něj začleněných) se (1) řídí právem Anglie a Walesu a (2) veškeré spory z něj vzniklé jsou řešeny soudy Anglie a Walesu, a to v každém případě, pokud strany výslovně nezvolily právo nebo soudy Skotska nebo Severního Irska.

20. Pokud se strany nedohodly na alternativních změnách splňujících požadavky výše uvedeného článku 19, použijí se ustanovení oddílu ‎22.

21. Schválené standardní smluvní doložky EU nelze měnit jinak než za účelem splnění požadavků oddílu 19.

22. Standardní smluvní doložky EU obsažené v DPA jsou (pro účely oddílu 19) změněny takto:

  1. společně fungovaly pro přenosy dat uskutečněné vývozcem dat dovozci dat, a to v rozsahu, v němž se UK Data Protection Laws vztahují na zpracování prováděné vývozcem dat při takovém přenosu, a poskytovaly pro tyto přenosy dat vhodné záruky;
  2. V článku 2 odstraňte slova: „a, pokud jde o přenosy dat od řídících osob na zpracovatele a/nebo od zpracovatelů k zpracovatelům, standardní smluvní doložky podle článku 28(7) nařízení (EU) 2016/679";
  3. Článek 6 (Popis přenosů) se nahrazuje: „Údaje o prenosech a zejména kategorie osobních údajů, které se přenášejí, a účely, pro které se přenášejí, jsou ty, které jsou uvedeny v příloze I.B, pokud na zpracování datové subjektem eksportera při provádění tohoto přenosu platí zákony Spojeného království o ochraně údajů.";
  4. Článek 8.8(i) modulu 2 se nahrazuje: „další přenos je do státu, na který se vztahují adekvátní právní předpisy podle části 17A UK GDPR, které se vztahují na další přenos;"
  5. Reference na „Nařízení (EU) 2016/679", „Nařízení (EU) 2016/679 Evropského parlamentu a Rady ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Obecné nařízení o ochraně osobních údajů)" a „toto nařízení" se všechny nahrazují výrazem „Zákony Spojeného království o ochraně údajů". Reference na konkrétní články nařízení „Nařízení (EU) 2016/679" se nahrazují ekvivalentním články nebo část zákonů Spojeného království o ochraně údajů;
  6. Odkazy na nařízení (EU) 2018/1725 jsou odstraněny;
  7. Reference na „Evropskou unii", „Unii", „EU", „členský stát EU", „členský stát" a „EU nebo členský stát" se všechny nahrazují výrazem „Spojené království";
  8. Reference na „Článek 12(c)(i)" v článku 10(b)(i) modulu 1 se nahrazuje „Články 11(c)(i)";
  9. Ustanovení 13(a) a část C přílohy I se nepoužívají;
    10.  
  10. „Příslušný dozorující orgán" a „dozorující orgán" se oba nahrazují „Information Commissioner";
  11. V článku 16(e) se pododdíl (i) nahrazuje: „Information Commissioner vydá právní předpisy podle článku 17A zákona o ochraně údajů z roku 2018, které se vztahují na přenos osobních údajů, na které se tyto doložky vztahují;";
  12. Článek 17 se nahrazuje: „Tyto doložky se řídí zákony Anglie a Walesu.";
  13. Článek 18 se nahrazuje: „Jakýkoli spor vyplývající z těchto doložek bude vyřešen soudy Anglie a Walesu. Subjekt údajů může také zahájit právní řízení proti vývozci údajů a/nebo dovozci údajů před soudy kterékoli země v Británii. Strany se zavazují podrobit se jurisdikci takových soudů." a
  14. Poznámky pod čarou ke schváleným EU SCC netvoří součást IDTA DPA, s výjimkou poznámek pod čarou č. 8, 9, 10 a 11.

Změny tohoto IDTA DPA

23. Strany se mohou dohodnout na změně článků 17 a/nebo 18 DPA EU SCCs tak, aby odkazovaly na právo a/nebo soudy Skotska nebo Severního Irska.

24. Pokud si strany přejí změnit formát informací obsažených v části 1: Tabulky schválené DPA, mohou tak učinit písemnou dohodou, za podmínky, že tato změna nesníží úroveň odpovídajících záruk (Appropriate Safeguards).

25. ICO může čas od času vydat revidovanou schválenou DPA, která:

  1. provádí přiměřené a odpovídající změny schváleného DPA, včetně opravy chyb ve schváleném DPA; a/nebo
  2. odráží změny v zákonech UK o ochraně osobních údajů;

Revidovaný schválený DPA stanoví datum účinnosti změn schváleného DPA a uvede, zda strany potřebují přezkoumat toto IDTA DPA včetně informací v příloze. Toto IDTA DPA se automaticky mění způsobem stanoveným v revidovaném schváleném DPA od uvedeného data účinnosti.

26. Pokud ICO vydá revidovanou schválenou DPA podle části 18, pokud byla kterákoli ze stran vybraných v tabulce 4 „Ukončení DPA při změně schválené DPA" jako přímý důsledek změn ve schválené DPA vystavena: 

  1. přímé náklady na plnění svých povinností podle DPA; a/nebo
  2. své riziko podle DPA,

a v každém takovém případě nejprve přijala přiměřené kroky ke snížení těchto nákladů nebo rizik tak, aby nebyla podstatná a nepřiměřená, může tato Strana ukončit tuto IDTA DPA na konci přiměřené výpovědní lhůty, a to písemnou výpovědí doručenou druhé Straně před počátečním datem revidované Schválené DPA.

27. Strany nepotřebují souhlas žádné třetí strany k provedení změn této IDTA DPA, avšak veškeré změny musí být provedeny v souladu s jejími podmínkami.

Nevěřte jen nám na slovo

“Přešli jsme z WooCommerce na vlastní řešení postavené na Marzipan. Správa objednávek je hračka a flexibilita API předplatného nám umožnila vylepšit naši nabídku adopcí starých vinic.”

Katie Jones drží hrábě Tuchan
Katie Jones
Owner, Domaine Jones

“Marzipan je neuvěřitelně snadný na používání a zároveň velmi flexibilní a konfigurovatelný. Správa opakujících se vinných klubů s předplatným je s ním mnohem jednodušší než s jakýmkoli jiným systémem, který jsem používal, a zvládne prakticky vše, co jsme na něj vyzkoušeli.”

Justin Howard-Sneyd, MW
Justin Howard-Sneyd, MW
Owner, Domaine of the Bee