Adenda de Tratamiento de Datos de Marzipan

Anexo B: Transferencias Transfronterizas

Esta es una traducción proporcionada únicamente por conveniencia. La versión en inglés es el texto oficial y legalmente vinculante; en caso de cualquier discrepancia, prevalecerá la versión en inglés.

PARTE 1 – Transferencias fuera del EEE

1. El Anexo I.A de las Cláusulas Contractuales Tipo se cumplimentará del siguiente modo:

Exportador de datos: El Cliente (según se detalla en el Contrato).

Datos de contacto: Los datos de contacto del Cliente (según se detalla en el Contrato).

Rol del exportador de datos: Responsable del tratamiento de datos.

Módulo dos: El exportador de datos es un responsable del tratamiento de datos.

Importador de datos: Marzipan.

Datos de contacto: Tal como se detalla en el Contrato.

Rol del importador de datos: El importador de datos es un encargado del tratamiento de datos.

Firma y fecha: Al suscribir el Contrato y el DPA, se considerará que el importador de datos ha firmado las presentes Cláusulas Contractuales Tipo, incorporadas en el mismo, incluidos sus anexos, a partir de la Fecha de Entrada en Vigor del Contrato.

2. El Anexo I.B de las Cláusulas Contractuales Tipo se cumplimentará de la siguiente manera:

Las categorías de interesados se describen en la cláusula 4.6 del DPA.

Las categorías de Datos del Cliente se describen en la cláusula 4.5 del DPA.

Las partes no tienen previsto que se transfieran Datos de Categoría Especial.

La frecuencia de la transferencia es de carácter continuo durante la vigencia del Contrato.

La naturaleza del tratamiento se describe en la cláusula 4.4 del DPA.

La finalidad del tratamiento se describe en la cláusula 4.3 del DPA.

El período durante el cual se conservarán los Datos del Cliente es el de la vigencia del Contrato, salvo que se acuerde lo contrario en el Contrato y/o el DPA.

En relación con las transferencias a subencargados, el objeto, la naturaleza y la duración del tratamiento se establecen en la cláusula 9 del DPA.

3. El Anexo I.C de las Cláusulas Contractuales Tipo se cumplimentará de la siguiente manera:

La Autoridad de Control competente de conformidad con la Cláusula 13 es la autoridad de control del Estado miembro estipulado en la cláusula 10(e) del presente DPA.

Los Estándares de Seguridad de Marzipan (Anexo A) servirán como documentación y detalles requeridos en el Anexo II de las Cláusulas Contractuales Tipo.

4. En la medida en que exista algún conflicto entre las Cláusulas Contractuales Tipo y cualquier otro término del presente DPA o del Contrato, prevalecerán las disposiciones de las Cláusulas Contractuales Tipo.

PARTE 2 – Transferencias fuera del UK

  1. Las partes acuerdan que el DPA IDTA se aplicará a una transferencia fuera del UK, y esta Parte 2 es efectiva a partir del 21 de marzo de 2022.
  2. Salvo que se definan en el Contrato, los términos definidos en la Parte 2 del Anexo 2 tendrán el significado indicado en las "Parte: 2 Cláusulas Obligatorias" a continuación.

Parte 1: Tablas

Tabla 1 del DPA IDTA

3. La Tabla 1 del DPA se cumplimentará de la siguiente manera:

  • Exportador de datos: El Cliente (según se detalla en el Contrato).
  • Datos de contacto: Según se detalla en el Contrato.

Firma y fecha: Al suscribir el Contrato y el DPA, se considerará que el Exportador de datos ha firmado el presente IDTA DPA aquí incorporado, a partir de la Fecha de entrada en vigor del Contrato.

  • Importador de datos: Marzipan.
  • Datos de contacto: Según se detalla en el Contrato.

Firma y fecha: Al suscribir el Contrato y el DPA, se considerará que el Importador de datos ha firmado el presente IDTA DPA aquí incorporado, a partir de la Fecha de entrada en vigor del Contrato.

Tabla 2 del IDTA DPA

4. La Tabla 2 del DPA se cumplimentará de la siguiente manera:

DPA EU SSCs The Approved EU SCCs, including the Appendix Information and with only the following modules, clauses or optional provisions of the Approved EU SCCs brought into effect for the purposes of this DPA:
Module in operation Clause 7
(Docking Clause)		 Clause 11
(Option)		 Clause 9a
(Prior Authorisation or General Authorisation)		 Clause 9a
(Time period)		 Is personal data received from the Importer combined with personal data collected by the Exporter?
1 Shall not apply Shall not apply General Authorisation As set out in clause 9.2 of the DPA (30 days). No
1 Shall not apply Shall not apply General Authorisation As set out in clause 9.2 of the DPA (30 days). No

Tabla 3 del IDTA DPA

5. La Tabla 3 del DPA se cumplimentará de la siguiente manera:

Exportador de datos: El Cliente (según se detalla en el Contrato).

Datos de contacto: Los datos de contacto del Cliente (según se detalla en el Contrato).

Rol del exportador de datos: Responsable del tratamiento de datos.

  1. a) Módulo Uno: El Importador de datos es un Responsable del tratamiento.
  2. b) Módulo Dos: El Importador de datos es un Responsable del tratamiento.

Módulo dos: El exportador de datos es un responsable del tratamiento de datos.

Firma y fecha: Al suscribir el Contrato y el DPA, se considerará que el Exportador de datos ha firmado las Cláusulas Contractuales Tipo de la UE aprobadas, aquí incorporadas, incluidos sus Anexos, a partir de la Fecha de entrada en vigor del Contrato.

Importador de datos: Marzipan.

Datos de contacto: Según se detalla en el Contrato.

Función del Importador de datos: El Importador de datos es un Encargado del tratamiento.

6. El Anexo I.B se cumplimentará de la siguiente manera:

Las categorías de interesados se describen en la cláusula 4.6 del DPA.

Las categorías de Datos personales se describen en la cláusula 4.5 del DPA.

Las partes no tienen previsto que se transfieran Datos de Categoría Especial.

La frecuencia de la transferencia es de carácter continuo durante la vigencia del Contrato.

La naturaleza del tratamiento se describe en la cláusula 4.4 del DPA.

La finalidad del tratamiento se describe en la cláusula 4.3 del DPA.

El período durante el cual se conservarán los Datos personales será el de la duración del Contrato, salvo que se acuerde lo contrario en el Contrato y/o el DPA.

En relación con las transferencias a subencargados, el objeto, la naturaleza y la duración del tratamiento se establecen en la cláusula 9 del DPA.

El Anexo III: Lista de Subencargados no será de aplicación, ya que Marzipan cuenta con una autorización general por escrito para utilizar Subencargados.

Tabla 4 del IDTA DPA

7. El Importador podrá resolver el presente IDTA DPA según lo dispuesto en la cláusula 26 de este IDTA DPA.

Parte 2: Cláusulas obligatorias

8. Cada Parte acepta quedar vinculada por los términos y condiciones establecidos en el presente IDTA DPA, a cambio de que la otra Parte también acepte quedar vinculada por este IDTA DPA.

9. Aunque el Anexo 1A y la Cláusula 7 de las Cláusulas Contractuales Tipo de la UE aprobadas exigen la firma de las Partes, a efectos de realizar Transferencias Restringidas, las Partes podrán suscribir el presente IDTA DPA de cualquier manera que lo haga jurídicamente vinculante para ellas y permita a los interesados ejercer sus derechos conforme a lo establecido en este DPA. La suscripción del presente IDTA DPA tendrá el mismo efecto que la firma de las Cláusulas Contractuales Tipo de la UE aprobadas y de cualquier parte de las mismas.

Interpretación del presente IDTA DPA

10. Cuando el presente IDTA DPA utilice términos definidos en las Cláusulas Contractuales Tipo de la UE aprobadas, dichos términos tendrán el mismo significado que en aquellas. Además, los siguientes términos tendrán los siguientes significados:

DPA This International Data Transfer DPA which is made up of this IDTA DPA incorporating the DPA EU SCCs.
DPA EU SCCs The version(s) of the Approved EU SCCs which this IDTA DPA is appended to, as set out in Table 2, including the Appendix Information.
Appendix Information As set out in Table ‎3.
Appropriate Safeguards The standard of protection over the Personal Data and of Data Subjects’ rights, which is required by UK Data Protection Laws when the Customer are making a Restricted Transfer relying on standard data protection clauses under Article 46(2)(d) UK GDPR.
Approved DPA The template DPA issued by the UK ICO and laid before UK Parliament in accordance with s119A of the Data Protection Act 2018 on 2 February 2022, as it is revised under clause 25 below.
Approved EU SCCs The Standard Contractual Clauses set out in the Annex of Commission Implementing Decision (EU) 2021/914 of 4 June 2021.
ICO The UK Information Commissioner.
Restricted Transfer A transfer which is covered by Chapter V of the UK GDPR.
UK The United Kingdom of Great Britain and Northern Ireland.
UK Data Protection Laws All laws relating to data protection, the processing of personal data, privacy and/or electronic communications in force from time to time in the UK, including the UK GDPR and the Data Protection Act 2018.
UK GDPR As defined in section 3 of the Data Protection Act 2018.

11. El presente IDTA DPA deberá interpretarse en todo momento de manera coherente con la normativa de protección de datos del Reino Unido (UK Data Protection Laws) y de modo que cumpla con la obligación de las Partes de proporcionar las Salvaguardias Adecuadas.

12. Si las disposiciones incluidas en las Cláusulas Contractuales Tipo de la UE del DPA modifican las Cláusulas Contractuales Tipo aprobadas de cualquier manera no permitida en virtud de las Cláusulas Contractuales Tipo de la UE aprobadas o del DPA aprobado, dichas modificaciones no se incorporarán al presente IDTA DPA, y la disposición equivalente de las Cláusulas Contractuales Tipo de la UE aprobadas ocupará su lugar.

13. En caso de inconsistencia o conflicto entre las Leyes de Protección de Datos del UK y este DPA IDTA, prevalecerán las Leyes de Protección de Datos del UK.

14. Si el significado de este DPA IDTA no está claro o admite más de una interpretación, se aplicará el significado que más se ajuste a las Leyes de Protección de Datos del UK.

15. Cualquier referencia a legislación (o a disposiciones específicas de la misma) se entenderá hecha a dicha legislación (o disposición específica) tal como pueda modificarse con el tiempo. Esto incluye los casos en que dicha legislación (o disposición específica) haya sido consolidada, reaprobada y/o sustituida con posterioridad a la celebración de este DPA IDTA.

 

Jerarquía

16. Aunque la Cláusula 5 de las SCC EU Aprobadas establece que estas prevalecen sobre todos los acuerdos relacionados entre las partes, las partes acuerdan que, para las Transferencias Restringidas, prevalecerá la jerarquía establecida en la Sección ‎17.

17. En caso de inconsistencia o conflicto entre el DPA Aprobado y las SCC EU del DPA (según corresponda), el DPA Aprobado prevalecerá sobre las SCC EU del DPA, salvo cuando (y en la medida en que) los términos inconsistentes o conflictivos de las SCC EU del DPA otorguen una mayor protección a los interesados, en cuyo caso dichos términos prevalecerán sobre el DPA Aprobado.

18. Cuando este DPA IDTA incorpore SCC EU del DPA que hayan sido celebradas para proteger transferencias sujetas al Reglamento General de Protección de Datos (EU) 2016/679, las Partes reconocen que nada en este DPA IDTA afecta a dichas SCC EU del DPA.

Incorporación de las SCC EU y modificaciones a las mismas

19. Este DPA IDTA incorpora las SCC EU del DPA, que se modifican en la medida necesaria para que:

  1. conjuntamente operen para las transferencias de datos realizadas por el exportador de datos al importador de datos, en la medida en que las Leyes de Protección de Datos del UK sean aplicables al tratamiento del exportador de datos al realizar dicha transferencia, y proporcionen Garantías Adecuadas para esas transferencias;
  2. Las Cláusulas ‎16 a ‎18 siguientes prevalecen sobre la Cláusula 5 (Jerarquía) de las SCC EU del DPA; y
  3. este DPA IDTA (incluidas las SCC EU del DPA incorporadas en él) está (1) regido por las leyes de Inglaterra y Gales y (2) cualquier disputa derivada del mismo será resuelta por los tribunales de Inglaterra y Gales, salvo que las leyes y/o tribunales de Escocia o Irlanda del Norte hayan sido expresamente seleccionados por las Partes.

20. Salvo que las Partes hayan acordado modificaciones alternativas que cumplan los requisitos de la cláusula 19 anterior, serán de aplicación las disposiciones de la Sección ‎22.

21. No podrán realizarse modificaciones a las SCC EU Aprobadas distintas de las necesarias para cumplir los requisitos de la Sección ‎19.

22. Se realizan las siguientes modificaciones a las SCC EU del DPA (a los efectos de la Sección ‎19):

  1. conjuntamente operen para las transferencias de datos realizadas por el exportador de datos al importador de datos, en la medida en que las Leyes de Protección de Datos del UK sean aplicables al tratamiento del exportador de datos al realizar dicha transferencia, y proporcionen Garantías Adecuadas para esas transferencias;
  2. En la Cláusula 2, se eliminan las palabras: "and, with respect to data transfers from controllers to processors and/or processors to processors, standard contractual clauses pursuant to Article 28(7) of Regulation (EU) 2016/679";
  3. La Cláusula 6 (Descripción de la(s) transferencia(s)) se sustituye por: "The details of the transfers(s) and in particular the categories of personal data that are transferred and the purpose(s) for which they are transferred) are those specified in Annex I.B where UK Data Protection Laws apply to the data exporter's processing when making that transfer.";
  4. La Cláusula 8.8(i) del Módulo 2 se sustituye por: "the onward transfer is to a country benefitting from adequacy regulations pursuant to Section 17A of the UK GDPR that covers the onward transfer;"
  5. Las referencias a "Regulation (EU) 2016/679", "Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)" y "that Regulation" se sustituyen todas por "UK Data Protection Laws". Las referencias a artículos específicos del "Regulation (EU) 2016/679" se sustituyen por el artículo o sección equivalente de las Leyes de Protección de Datos del UK;
  6. Se eliminan las referencias al Reglamento (EU) 2018/1725;
  7. Las referencias a la "European Union", "Union", "EU", "EU Member State", "Member State" y "EU or Member State" se sustituyen todas por "UK";
  8. La referencia a "Clause 12(c)(i)" en la Cláusula 10(b)(i) del Módulo uno se sustituye por "Clause 11(c)(i)";
  9. La Cláusula 13(a) y la Parte C del Anexo I no se utilizan;
    10.  
  10. La "competent supervisory authority" y "supervisory authority" se sustituyen ambas por "Information Commissioner";
  11. En la Cláusula 16(e), el apartado (i) se sustituye por: "the Secretary of State makes regulations pursuant to Section 17A of the Data Protection Act 2018 that cover the transfer of personal data to which these clauses apply;";
  12. La Cláusula 17 se sustituye por: «Estas Cláusulas se rigen por las leyes de Inglaterra y Gales».
  13. La Cláusula 18 se sustituye por: «Cualquier litigio derivado de estas Cláusulas será resuelto por los tribunales de Inglaterra y Gales. Un interesado también podrá interponer acciones legales contra el exportador de datos y/o el importador de datos ante los tribunales de cualquier país del UK. Las Partes acuerdan someterse a la jurisdicción de dichos tribunales». y
  14. Las notas a pie de página de las CCE estándar de la UE aprobadas no forman parte del DPA IDTA, a excepción de las notas a pie de página 8, 9, 10 y 11.

Modificaciones del presente DPA IDTA

23. Las Partes podrán acordar modificar las Cláusulas 17 y/o 18 de las CCE estándar de la UE del DPA para hacer referencia a las leyes y/o tribunales de Escocia o Irlanda del Norte.

24. Si las Partes desean modificar el formato de la información incluida en la Parte 1: Tablas del DPA aprobado, podrán hacerlo acordando el cambio por escrito, siempre que dicho cambio no reduzca las Salvaguardias Apropiadas.

25. De forma periódica, el ICO podrá emitir un DPA aprobado revisado que:

  1. introduzca cambios razonables y proporcionados en el DPA aprobado, incluida la corrección de errores en el mismo; y/o
  2. refleje cambios en las leyes de protección de datos del UK;

El DPA aprobado revisado especificará la fecha de inicio a partir de la cual son efectivos los cambios en el DPA aprobado, y si las Partes deben revisar el presente DPA IDTA, incluida la Información del Apéndice. El presente DPA IDTA se modifica automáticamente según lo establecido en el DPA aprobado revisado a partir de la fecha de inicio especificada.

26. Si el ICO emite un DPA aprobado revisado en virtud de la Sección ‎18, y alguna de las Partes seleccionada en la Tabla 4 «Terminación del DPA cuando el DPA aprobado cambia» experimentara, como consecuencia directa de los cambios en el DPA aprobado, un aumento sustancial, desproporcionado y demostrable en: 

  1. sus costes directos de cumplimiento de sus obligaciones en virtud del DPA; y/o
  2. su riesgo en virtud del DPA,

y en cualquiera de los casos haya adoptado previamente medidas razonables para reducir dichos costes o riesgos de modo que no sean sustanciales ni desproporcionados, dicha Parte podrá dar por terminado el presente DPA IDTA al término de un período de preaviso razonable, mediante notificación escrita a la otra Parte antes de la fecha de inicio del DPA aprobado revisado.

27. Las Partes no requieren el consentimiento de terceros para realizar cambios en el presente DPA IDTA, pero cualquier modificación deberá realizarse de conformidad con sus términos.

No se fíe solo de nuestra palabra

“Realizamos la migración de WooCommerce a una solución personalizada impulsada por Marzipan. Gestionar nuestros pedidos es muy sencillo y la flexibilidad de la API de suscripciones nos ha permitido mejorar nuestra oferta de adopción de viñas viejas.”

Katie Jones sosteniendo un rastrillo Tuchan
Katie Jones
Owner, Domaine Jones

“Marzipan es increíblemente fácil de usar, y extremadamente flexible y configurable. Hace que los clubes de vino por suscripción recurrente sean mucho más sencillos que cualquier otro sistema que haya utilizado, y es capaz de gestionar prácticamente todo lo que le hemos exigido.”

Justin Howard-Sneyd, MW
Justin Howard-Sneyd, MW
Owner, Domaine of the Bee