Marzipan Databehandlingstillæg

Bilag B: Grænseoverskridende overførsler

Dette er en oversættelse, der udelukkende er udarbejdet til orientering. Den engelske version er den autoritative og juridisk bindende tekst; i tilfælde af uoverensstemmelser er det den engelske version, der gælder.

DEL 1 – Overførsler uden for EØS

1. Bilag I.A til standardkontraktbestemmelserne udfyldes som følger:

Dataeksportør: Kunden (som angivet i kontrakten).

Kontaktoplysninger: Kundens kontaktoplysninger (som angivet i kontrakten).

Dataeksportørens rolle: Dataansvarlig.

Modul to: Dataeksportøren er en dataansvarlig.

Dataimportør: Marzipan.

Kontaktoplysninger: Som angivet i kontrakten.

Dataimportørens rolle: Dataimportøren er en databehandler.

Underskrift og dato: Ved indgåelse af kontrakten og DPA anses dataimportøren for at have underskrevet disse standardkontraktbestemmelser, der er inkorporeret heri, herunder deres bilag, pr. kontraktens ikrafttrædelsesdato.

2. Bilag I.B til standardkontraktbestemmelserne udfyldes som følger:

Kategorierne af registrerede er beskrevet i punkt 4.6 i DPA.

Kategorierne af kundedata er beskrevet i punkt 4.5 i DPA.

Parterne har ikke til hensigt, at særlige kategorier af personoplysninger overføres.

Hyppigheden af overførslen er løbende i kontraktens varighed.

Behandlingens karakter er beskrevet i punkt 4.4 i DPA.

Formålet med behandlingen er beskrevet i punkt 4.3 i DPA.

Perioden, hvor kundedataene opbevares, er kontraktens varighed, medmindre andet er aftalt i kontrakten og/eller DPA.

I forbindelse med overførsler til underdatabehandlere er emne, karakter og varighed af behandlingen fastsat i punkt 9 i DPA.

3. Bilag I.C til standardkontraktbestemmelserne udfyldes som følger:

Den kompetente tilsynsmyndighed i overensstemmelse med klausul 13 er tilsynsmyndigheden i den medlemsstat, der er angivet i punkt 10(e) i denne DPA.

Marzipan-sikkerhedsstandarderne (bilag A) skal tjene som den dokumentation og de oplysninger, der kræves i bilag II til standardkontraktbestemmelserne.

4. I det omfang der er en konflikt mellem standardkontraktbestemmelserne og øvrige vilkår i denne DPA eller kontrakten, har standardkontraktbestemmelsernes bestemmelser forrang.

DEL 2 – ex-UK-overførsler

  1. Parterne er enige om, at IDTA DPA finder anvendelse på en ex-UK-overførsel, og at denne del 2 er gældende fra den 21. marts 2022.
  2. Medmindre andet er defineret i kontrakten, har definerede begreber i del 2 af bilag 2 den betydning, der fremgår af "Del: 2 Obligatoriske klausuler" nedenfor.

Del 1: Tabeller

Tabel 1 i IDTA DPA

3. Tabel 1 i DPA udfyldes som følger:

  • Dataeksportør: Kunden (som beskrevet i kontrakten).
  • Kontaktoplysninger: Som beskrevet i kontrakten.

Underskrift og dato: Ved indgåelse af kontrakten og DPA anses dataeksportøren for at have underskrevet denne IDTA DPA, som er inkorporeret heri, pr. kontraktens ikrafttrædelsesdato.

  • Dataimportør: Marzipan.
  • Kontaktoplysninger: Som beskrevet i kontrakten.

Underskrift og dato: Ved indgåelse af kontrakten og DPA anses dataimportøren for at have underskrevet denne IDTA DPA, som er inkorporeret heri, pr. kontraktens ikrafttrædelsesdato.

Tabel 2 i IDTA DPA

4. Tabel 2 i DPA udfyldes som følger:

DPA EU SSCs The Approved EU SCCs, including the Appendix Information and with only the following modules, clauses or optional provisions of the Approved EU SCCs brought into effect for the purposes of this DPA:
Module in operation Clause 7
(Docking Clause)		 Clause 11
(Option)		 Clause 9a
(Prior Authorisation or General Authorisation)		 Clause 9a
(Time period)		 Is personal data received from the Importer combined with personal data collected by the Exporter?
1 Shall not apply Shall not apply General Authorisation As set out in clause 9.2 of the DPA (30 days). No
1 Shall not apply Shall not apply General Authorisation As set out in clause 9.2 of the DPA (30 days). No

Tabel 3 i IDTA DPA

5. Tabel 3 i DPA udfyldes som følger:

Dataeksportør: Kunden (som angivet i kontrakten).

Kontaktoplysninger: Kundens kontaktoplysninger (som angivet i kontrakten).

Dataeksportørens rolle: Dataansvarlig.

  1. a) Modul et: Dataimportøren er dataansvarlig.
  2. b) Modul to: Dataimportøren er dataansvarlig.

Modul to: Dataeksportøren er en dataansvarlig.

Underskrift og dato: Ved indgåelse af kontrakten og DPA anses dataeksportøren for at have underskrevet de godkendte EU-standardkontraktbestemmelser, som er inkorporeret heri, herunder deres bilag, pr. kontraktens ikrafttrædelsesdato.

Dataimportør: Marzipan.

Kontaktoplysninger: Som beskrevet i kontrakten.

Dataimportørens rolle: Dataimportøren er databehandler.

6. Bilag I.B udfyldes som følger:

Kategorierne af registrerede er beskrevet i punkt 4.6 i DPA.

Kategorierne af personoplysninger er beskrevet i punkt 4.5 i DPA.

Parterne har ikke til hensigt, at særlige kategorier af personoplysninger overføres.

Hyppigheden af overførslen er løbende i kontraktens varighed.

Behandlingens karakter er beskrevet i punkt 4.4 i DPA.

Formålet med behandlingen er beskrevet i punkt 4.3 i DPA.

Personoplysningerne opbevares i kontraktens løbetid, medmindre andet er aftalt i kontrakten og/eller DPA.

I forbindelse med overførsler til underdatabehandlere er emne, karakter og varighed af behandlingen fastsat i punkt 9 i DPA.

Bilag III: Liste over underdatabehandlere finder ikke anvendelse, da Marzipan har en generel skriftlig tilladelse til at anvende underdatabehandlere.

Tabel 4 i IDTA DPA

7. Importøren kan opsige denne IDTA DPA som anført i punkt 26 i denne IDTA DPA.

Del 2: Obligatoriske bestemmelser

8. Hver part accepterer at være bundet af de vilkår og betingelser, der er fastsat i denne IDTA DPA, til gengæld for at den anden part ligeledes accepterer at være bundet af denne IDTA DPA.

9. Selvom bilag 1A og punkt 7 i de godkendte EU-standardkontraktbestemmelser kræver underskrift fra parterne, kan parterne med henblik på at foretage begrænsede overførsler indgå denne IDTA DPA på enhver måde, der gør den juridisk bindende for parterne og giver de registrerede mulighed for at håndhæve deres rettigheder som fastsat i denne DPA. Indgåelse af denne IDTA DPA vil have samme virkning som underskrivelse af de godkendte EU-standardkontraktbestemmelser og enhver del heraf.

Fortolkning af denne IDTA DPA

10. Hvor denne IDTA DPA anvender begreber, der er defineret i de godkendte EU-standardkontraktbestemmelser, har disse begreber samme betydning som i de godkendte EU-standardkontraktbestemmelser. Derudover har følgende begreber følgende betydninger:

DPA This International Data Transfer DPA which is made up of this IDTA DPA incorporating the DPA EU SCCs.
DPA EU SCCs The version(s) of the Approved EU SCCs which this IDTA DPA is appended to, as set out in Table 2, including the Appendix Information.
Appendix Information As set out in Table ‎3.
Appropriate Safeguards The standard of protection over the Personal Data and of Data Subjects’ rights, which is required by UK Data Protection Laws when the Customer are making a Restricted Transfer relying on standard data protection clauses under Article 46(2)(d) UK GDPR.
Approved DPA The template DPA issued by the UK ICO and laid before UK Parliament in accordance with s119A of the Data Protection Act 2018 on 2 February 2022, as it is revised under clause 25 below.
Approved EU SCCs The Standard Contractual Clauses set out in the Annex of Commission Implementing Decision (EU) 2021/914 of 4 June 2021.
ICO The UK Information Commissioner.
Restricted Transfer A transfer which is covered by Chapter V of the UK GDPR.
UK The United Kingdom of Great Britain and Northern Ireland.
UK Data Protection Laws All laws relating to data protection, the processing of personal data, privacy and/or electronic communications in force from time to time in the UK, including the UK GDPR and the Data Protection Act 2018.
UK GDPR As defined in section 3 of the Data Protection Act 2018.

11. Denne IDTA DPA skal til enhver tid fortolkes på en måde, der er i overensstemmelse med UK's databeskyttelseslovgivning, og således at den opfylder parternes forpligtelse til at sikre passende garantier.

12. Hvis de bestemmelser, der er medtaget i DPA EU SCCs, ændrer de godkendte standardkontraktbestemmelser på en måde, der ikke er tilladt i henhold til de godkendte EU-standardkontraktbestemmelser eller den godkendte DPA, vil sådanne ændringer ikke blive inkorporeret i denne IDTA DPA, og den tilsvarende bestemmelse i de godkendte EU-standardkontraktbestemmelser vil træde i stedet.

13. Hvis der er nogen uoverensstemmelse eller konflikt mellem UK Data Protection Laws og denne IDTA DPA, finder UK Data Protection Laws anvendelse.

14. Hvis betydningen af denne IDTA DPA er uklar, eller der er mere end én betydning, finder den betydning anvendelse, der stemmer mest overens med UK Data Protection Laws.

15. Enhver henvisning til lovgivning (eller specifikke bestemmelser i lovgivning) betyder den pågældende lovgivning (eller specifikke bestemmelse), som den måske ændres over tid. Dette gælder også, hvor den pågældende lovgivning (eller specifikke bestemmelse) er blevet konsolideret, genvedtaget og/eller erstattet, efter at denne IDTA DPA er indgået.

 

Hierarki

16. Selvom klausul 5 i de godkendte EU SCCs fastsætter, at de godkendte EU SCCs har forrang over alle relaterede aftaler mellem parterne, er parterne enige om, at hierarkiet i afsnit ‎17 har forrang for Begrænsede Overførsler.

17. Hvor der er nogen uoverensstemmelse eller konflikt mellem den Godkendte DPA og DPA EU SCCs (efter omstændighederne), tilsidesætter den Godkendte DPA DPA EU SCCs, medmindre (og i det omfang) de uoverensstemmende eller konfliktende vilkår i DPA EU SCCs giver den registrerede et større beskyttelsesniveau, i hvilket tilfælde disse vilkår tilsidesætter den Godkendte DPA.

18. Hvor denne IDTA DPA inkorporerer DPA EU SCCs, som er indgået for at beskytte overførsler, der er omfattet af Europa-Parlamentets og Rådets forordning (EU) 2016/679 om databeskyttelse (den generelle forordning om databeskyttelse), anerkender Parterne, at intet i denne IDTA DPA påvirker disse DPA EU SCCs.

Inkorporering af og ændringer til EU SCCs

19. Denne IDTA DPA inkorporerer DPA EU SCCs, som er ændret i det omfang, det er nødvendigt, således at:

  1. de tilsammen finder anvendelse på dataoverførsler foretaget af dataeksportøren til dataimportøren, i det omfang UK Data Protection Laws finder anvendelse på dataeksportørens behandling ved foretagelsen af den pågældende dataoverførsel, og de sikrer passende garantier for disse dataoverførsler;
  2. Klausulerne ‎16 til ‎18 nedenfor tilsidesætter klausul 5 (Hierarki) i DPA EU SCCs; og
  3. denne IDTA DPA (herunder de DPA EU SCCs, der er inkorporeret i den) er (1) underlagt lovgivningen i England og Wales, og (2) enhver tvist, der opstår heraf, afgøres af domstolene i England og Wales, i hvert enkelt tilfælde medmindre lovgivningen og/eller domstolene i Skotland eller Nordirland udtrykkeligt er valgt af Parterne.

20. Medmindre Parterne har aftalt alternative ændringer, der opfylder kravene i ovenstående klausul 19, finder bestemmelserne i afsnit ‎22 anvendelse.

21. Der må ikke foretages andre ændringer til de Godkendte EU SCCs end dem, der er nødvendige for at opfylde kravene i afsnit ‎19.

22. Følgende ændringer til DPA EU SCCs (med henblik på afsnit ‎19) foretages:

  1. de tilsammen finder anvendelse på dataoverførsler foretaget af dataeksportøren til dataimportøren, i det omfang UK Data Protection Laws finder anvendelse på dataeksportørens behandling ved foretagelsen af den pågældende dataoverførsel, og de sikrer passende garantier for disse dataoverførsler;
  2. I klausul 2 slettes ordene: "and, with respect to data transfers from controllers to processors and/or processors to processors, standard contractual clauses pursuant to Article 28(7) of Regulation (EU) 2016/679";
  3. Klausul 6 (Beskrivelse af overførslen/overførslerne) erstattes med: "The details of the transfers(s) and in particular the categories of personal data that are transferred and the purpose(s) for which they are transferred) are those specified in Annex I.B where UK Data Protection Laws apply to the data exporter's processing when making that transfer.";
  4. Klausul 8.8(i) i Modul 2 erstattes med: "the onward transfer is to a country benefitting from adequacy regulations pursuant to Section 17A of the UK GDPR that covers the onward transfer;"
  5. Henvisninger til "Regulation (EU) 2016/679", "Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)" og "that Regulation" erstattes alle med "UK Data Protection Laws". Henvisninger til specifikke artikler i "Regulation (EU) 2016/679" erstattes med den tilsvarende artikel eller bestemmelse i UK Data Protection Laws;
  6. Referencer til Regulation (EU) 2018/1725 fjernes;
  7. Henvisninger til "European Union", "Union", "EU", "EU Member State", "Member State" og "EU or Member State" erstattes alle med "UK";
  8. Henvisningen til "Clause 12(c)(i)" i klausul 10(b)(i) i Modul 1 erstattes med "Clause 11(c)(i)";
  9. Klausul 13(a) og del C af bilag I anvendes ikke;
    10.  
  10. "Competent supervisory authority" og "supervisory authority" erstattes begge med "Information Commissioner";
  11. I klausul 16(e) erstattes underafsnit (i) med: "the Secretary of State makes regulations pursuant to Section 17A of the Data Protection Act 2018 that cover the transfer of personal data to which these clauses apply;";
  12. Klausul 17 erstattes med: "Disse klausuler er underlagt lovgivningen i England og Wales.";
  13. Klausul 18 erstattes med: "Enhver tvist, der opstår som følge af disse klausuler, afgøres af domstolene i England og Wales. En registreret person kan også anlægge retssag mod den dataeksporterende og/eller dataimporterende part ved domstolene i ethvert land i UK. Parterne accepterer at underlægge sig sådanne domstoles jurisdiktion."; og
  14. Fodnoterne til de godkendte EU SCC'er udgør ikke en del af IDTA DPA, med undtagelse af fodnoterne 8, 9, 10 og 11.

Ændringer af denne IDTA DPA

23. Parterne kan aftale at ændre klausul 17 og/eller 18 i DPA EU SCC'erne til at henvise til lovgivningen og/eller domstolene i Skotland eller Nordirland.

24. Hvis parterne ønsker at ændre formatet for de oplysninger, der er inkluderet i Del 1: Tabeller i den godkendte DPA, kan de gøre dette ved skriftligt at aftale ændringen, forudsat at ændringen ikke reducerer de passende sikkerhedsforanstaltninger.

25. Fra tid til anden kan ICO udstede en revideret godkendt DPA, som:

  1. foretager rimelige og forholdsmæssige ændringer af den godkendte DPA, herunder korrektion af fejl i den godkendte DPA; og/eller
  2. afspejler ændringer i UK's databeskyttelseslovgivning;

Den reviderede godkendte DPA vil angive den startdato, fra hvilken ændringerne af den godkendte DPA træder i kraft, og om parterne er nødt til at gennemgå denne IDTA DPA, herunder appendiksinformationen. Denne IDTA DPA ændres automatisk som angivet i den reviderede godkendte DPA fra den angivne startdato.

26. Hvis ICO udsteder en revideret godkendt DPA i henhold til afsnit ‎18, og en part valgt i Tabel 4 "Afslutning af DPA ved ændring af den godkendte DPA" som en direkte følge af ændringerne i den godkendte DPA vil opleve en væsentlig, uforholdsmæssig og dokumenterbar stigning i: 

  1. sine direkte omkostninger ved opfyldelse af sine forpligtelser i henhold til DPA; og/eller
  2. sin risiko i henhold til DPA,

og den pågældende part i begge tilfælde først har truffet rimelige foranstaltninger for at reducere disse omkostninger eller risici, så de ikke længere er væsentlige og uforholdsmæssige, kan denne part bringe denne IDTA DPA til ophør ved udgangen af en rimelig opsigelsesperiode ved at give skriftlig opsigelse for den pågældende periode til den anden part inden startdatoen for den reviderede godkendte DPA.

27. Parterne behøver ikke tredjeparts samtykke for at foretage ændringer i denne IDTA DPA, men enhver ændring skal foretages i overensstemmelse med dens vilkår.

Tag ikke blot vores ord for det

“Vi skiftede fra WooCommerce til en skræddersyet løsning drevet af Marzipan. Det er en leg at administrere vores ordrer, og fleksibiliteten i subscriptions-API'et har gjort det muligt for os at forbedre vores old vine adoptions-tilbud.”

Katie Jones holder en Tuchan-rive
Katie Jones
Ejer, Domaine Jones

“Marzipan er utroligt nemt at bruge og ekstremt fleksibelt og konfigurerbart. Det gør tilbagevendende abonnementsvinklubber meget nemmere end alle andre systemer, jeg har brugt, og håndterer stort set alt, hvad vi har kastet efter det.”

Justin Howard-Sneyd, MW
Justin Howard-Sneyd, MW
Ejer, Domaine of the Bee