Marzipan andmetöötluse lisaleping

Lisa B: Piiriülesed edastused

See on tõlge, mis on esitatud üksnes teabe eesmärgil. Ingliskeelne versioon on autoriteetne ja õiguslikult siduv tekst; lahknevuse korral on ingliskeelne versioon ülimuslik.

OSA 1 – EMP-välistest riikidest tehtavad edastused

1. Standardsete lepingutingimuste I lisa A jagu täidetakse järgmiselt:

Andmete eksportija: Klient (vastavalt lepingus sätestatule).

Kontaktandmed: Kliendi kontaktandmed (vastavalt lepingus sätestatule).

Andmete eksportija roll: Vastutav töötleja (Data Controller).

Moodul kaks: Andmete eksportija on vastutav töötleja (Data Controller).

Andmete importija: Marzipan.

Kontaktandmed: Nagu lepingus täpsustatud.

Andmete importija roll: Andmete importija on volitatud töötleja (Data Processor).

Allkiri ja kuupäev: Lepingu ja DPA sõlmimisega loetakse andmete importija käesolevad standardsed lepingutingimused, sealhulgas nende lisad, allkirjastatuks lepingu jõustumise kuupäeva seisuga.

2. Standardsete lepingutingimuste I.B lisa täidetakse järgmiselt:

Andmesubjektide kategooriad on kirjeldatud DPA punktis 4.6.

Kliendiandmete kategooriad on kirjeldatud DPA punktis 4.5.

Pooled ei kavatse edastada eriliigilisi isikuandmeid (Special Category Data).

Edastamine toimub pidevalt kogu lepingu kehtivusaja jooksul.

Töötlemise olemus on kirjeldatud DPA punktis 4.4.

Töötlemise eesmärk on kirjeldatud DPA punktis 4.3.

Kliendiandmeid säilitatakse lepingu kehtivusaja jooksul, kui lepingus ja/või DPA-s ei ole kokku lepitud teisiti.

Alltöötlejatele edastamise osas on töötlemise esemeks, laad ja kestus sätestatud käesoleva DPA punktis 9.

3. Standardlepingutingimuste I lisa punkt C täidetakse järgmiselt:

Pädev järelevalveasutus vastavalt klauslile 13 on järelevalveasutus liikmesriigis, mis on märgitud käesoleva DPA punktis 10(e).

Marzipan turbestandardid (A lisa) on aluseks Standardlepingutingimuste II lisas nõutud dokumentatsioonile ja üksikasjadele.

4. Kui Standardlepingutingimuste ja käesoleva DPA või lepingu muude tingimuste vahel esineb vastuolu, on ülimuslikud Standardlepingutingimuste sätted.

OSA 2 – Suurbritannia-välised edastused

  1. Pooled lepivad kokku, et IDTA DPA kohaldub Suurbritannia-välisele edastusele ning käesolev Osa 2 jõustus 21. märtsil 2022.
  2. Kui lepingus ei ole teisiti määratletud, on lisa 2 2. osas määratletud mõistetel tähendus, mis on esitatud allpool jaotises „Osa: 2 Kohustuslikud klauslid".

1. osa: Tabelid

IDTA DPA 1. tabel

3. DPA 1. tabel täidetakse järgmiselt:

  • Andmete eksportija: Klient (nagu on täpsustatud lepingus).
  • Kontaktandmed: Nagu on täpsustatud lepingus.

Allkiri ja kuupäev: Lepingu ja DPA sõlmimisega loetakse andmete eksportija käesoleva IDTA DPA-le alla kirjutanuks selles viidatud ulatuses, alates lepingu jõustumiskuupäevast.

  • Andmete importija: Marzipan.
  • Kontaktandmed: Nagu on täpsustatud lepingus.

Allkiri ja kuupäev: Lepingu ja DPA sõlmimisega loetakse andmete importija käesoleva IDTA DPA-le alla kirjutanuks selles viidatud ulatuses, alates lepingu jõustumiskuupäevast.

IDTA DPA tabel 2

4. DPA tabel 2 täidetakse järgmiselt:

DPA EU SSCs The Approved EU SCCs, including the Appendix Information and with only the following modules, clauses or optional provisions of the Approved EU SCCs brought into effect for the purposes of this DPA:
Module in operation Clause 7
(Docking Clause)		 Clause 11
(Option)		 Clause 9a
(Prior Authorisation or General Authorisation)		 Clause 9a
(Time period)		 Is personal data received from the Importer combined with personal data collected by the Exporter?
1 Shall not apply Shall not apply General Authorisation As set out in clause 9.2 of the DPA (30 days). No
1 Shall not apply Shall not apply General Authorisation As set out in clause 9.2 of the DPA (30 days). No

IDTA DPA tabel 3

5. DPA tabel 3 täidetakse järgmiselt:

Andmete eksportija: Klient (vastavalt lepingus sätestatule).

Kontaktandmed: Kliendi kontaktandmed (vastavalt lepingus sätestatule).

Andmete eksportija roll: Vastutav töötleja (Data Controller).

  1. a) Moodul üks: Andmete importija on vastutav töötleja.
  2. b) Moodul kaks: Andmete importija on vastutav töötleja.

Moodul kaks: Andmete eksportija on vastutav töötleja (Data Controller).

Allkiri ja kuupäev: Lepingu ja DPA sõlmimisega loetakse andmete eksportija heakskiidetud EL SCC-dele, sealhulgas nende lisadele, alla kirjutanuks selles viidatud ulatuses, alates lepingu jõustumiskuupäevast.

Andmete importija: Marzipan.

Kontaktandmed: Nagu on täpsustatud lepingus.

Andmete importija roll: Andmete importija on volitatud töötleja.

6. I.B lisa täidetakse järgmiselt:

Andmesubjektide kategooriad on kirjeldatud DPA punktis 4.6.

Isikuandmete kategooriad on kirjeldatud DPA punktis 4.5.

Pooled ei kavatse edastada eriliigilisi isikuandmeid (Special Category Data).

Edastamine toimub pidevalt kogu lepingu kehtivusaja jooksul.

Töötlemise olemus on kirjeldatud DPA punktis 4.4.

Töötlemise eesmärk on kirjeldatud DPA punktis 4.3.

Isikuandmeid säilitatakse lepingu kehtivuse ajal, kui lepingus ja/või DPA-s ei ole kokku lepitud teisiti.

Alltöötlejatele edastamise osas on töötlemise esemeks, laad ja kestus sätestatud käesoleva DPA punktis 9.

Lisa III: alamtöötlejate nimekiri ei kohaldu, kuna Marzipan omab üldist kirjalikku luba alamtöötlejate kasutamiseks.

IDTA DPA tabel 4

7. Importija võib käesoleva IDTA DPA lõpetada vastavalt IDTA DPA punktile 26.

2. osa: Kohustuslikud sätted

8. Kumbki pool nõustub olema seotud käesolevas IDTA DPA-s sätestatud tingimustega, tingimusel et ka teine pool kohustub käesoleva IDTA DPA-ga olema seotud.

9. Kuigi heakskiidetud EL SCC-de lisa 1A ja klausel 7 nõuavad poolte allkirja, võivad pooled piiratud edastuste tegemise eesmärgil sõlmida käesoleva IDTA DPA mis tahes viisil, mis muudab selle pooltele õiguslikult siduvaks ja võimaldab andmesubjektidel teostada käesolevas DPA-s sätestatud õigusi. Käesoleva IDTA DPA sõlmimisel on sama mõju kui heakskiidetud EL SCC-de ja nende mis tahes osa allkirjastamisel.

Käesoleva IDTA DPA tõlgendamine

10. Kui käesolevas IDTA DPA-s kasutatakse heakskiidetud EL SCC-des määratletud mõisteid, on nendel mõistetel sama tähendus kui heakskiidetud EL SCC-des. Lisaks on järgmistel mõistetel järgmine tähendus:

DPA This International Data Transfer DPA which is made up of this IDTA DPA incorporating the DPA EU SCCs.
DPA EU SCCs The version(s) of the Approved EU SCCs which this IDTA DPA is appended to, as set out in Table 2, including the Appendix Information.
Appendix Information As set out in Table ‎3.
Appropriate Safeguards The standard of protection over the Personal Data and of Data Subjects’ rights, which is required by UK Data Protection Laws when the Customer are making a Restricted Transfer relying on standard data protection clauses under Article 46(2)(d) UK GDPR.
Approved DPA The template DPA issued by the UK ICO and laid before UK Parliament in accordance with s119A of the Data Protection Act 2018 on 2 February 2022, as it is revised under clause 25 below.
Approved EU SCCs The Standard Contractual Clauses set out in the Annex of Commission Implementing Decision (EU) 2021/914 of 4 June 2021.
ICO The UK Information Commissioner.
Restricted Transfer A transfer which is covered by Chapter V of the UK GDPR.
UK The United Kingdom of Great Britain and Northern Ireland.
UK Data Protection Laws All laws relating to data protection, the processing of personal data, privacy and/or electronic communications in force from time to time in the UK, including the UK GDPR and the Data Protection Act 2018.
UK GDPR As defined in section 3 of the Data Protection Act 2018.

11. Käesolevat IDTA DPA-d tuleb alati tõlgendada kooskõlas Ühendkuningriigi andmekaitseseadustega ning viisil, mis tagab poolte kohustuse täitmise asjakohaste kaitsemeetmete osas.

12. Kui DPA EL SCC-de sätted muudavad heakskiidetud SCC-sid viisil, mis ei ole heakskiidetud EL SCC-de või heakskiidetud DPA alusel lubatud, ei kaasata selliseid muudatusi käesolevasse IDTA DPA-sse ning nende asemele astuvad heakskiidetud EL SCC-de vastavad sätted.

13. Kui UK andmekaitseseaduste ja käesoleva IDTA DPA vahel esineb vastuolu või konflikt, kohaldatakse UK andmekaitseseadusi.

14. Kui käesoleva IDTA DPA tähendus on ebaselge või sellel on mitu tähendust, kohaldatakse tähendust, mis ühtib kõige enam UK andmekaitseseadustega.

15. Kõik viited õigusaktidele (või õigusaktide konkreetsetele sätetele) tähendavad neid õigusakte (või konkreetseid sätteid) sellisena, nagu need võivad aja jooksul muutuda. See hõlmab juhtumeid, kus need õigusaktid (või konkreetsed sätted) on pärast käesoleva IDTA DPA sõlmimist konsolideeritud, uuesti jõustatud ja/või asendatud.

 

Hierarhia

16. Kuigi heakskiidetud EL SCC-de klausel 5 sätestab, et heakskiidetud EL SCC-d on ülimuslikud kõigi osapoolte vaheliste seotud lepingute suhtes, lepivad osapooled kokku, et piiratud edastuste puhul on ülimuslik jaotises ‎17 sätestatud hierarhia.

17. Kui heakskiidetud DPA ja DPA EL SCC-de (vastavalt kohaldatavate) vahel esineb vastuolu või konflikt, on heakskiidetud DPA ülimuslik DPA EL SCC-de suhtes, välja arvatud juhul (ja niivõrd), kui DPA EL SCC-de vastuolulised või konfliktis olevad tingimused tagavad andmesubjektidele suurema kaitse, millisel juhul on need tingimused ülimuslikud heakskiidetud DPA suhtes.

18. Kui käesolev IDTA DPA sisaldab DPA EL SCC-sid, mis on sõlmitud isikuandmete kaitse üldmääruse (EL) 2016/679 alusel toimuvate edastuste kaitseks, tunnistavad osapooled, et käesolev IDTA DPA ei mõjuta neid DPA EL SCC-sid.

EL SCC-de inkorporeerimine ja muudatused

19. Käesolev IDTA DPA inkorporeerib DPA EL SCC-d, mida on muudetud ulatuses, mis on vajalik selleks, et:

  1. need koos toimiksid andmeedastuste puhul, mida andmete eksportija teeb andmete importijale, niivõrd kui UK andmekaitseseadused kohalduvad andmete eksportija töötlemisele selle andmeedastuse tegemisel, ning need tagaksid nende andmeedastuste jaoks asjakohased kaitsemeetmed;
  2. klauslid ‎16 kuni ‎18 allpool on ülimuslikud DPA EL SCC-de klausli 5 (Hierarhia) suhtes; ja
  3. käesolevat IDTA DPA-d (sealhulgas sellesse inkorporeeritud DPA EL SCC-sid) (1) reguleerib Inglismaa ja Walesi õigus ning (2) sellest tulenev vaidlus lahendatakse Inglismaa ja Walesi kohtutes, mõlemal juhul välja arvatud siis, kui osapooled on selgesõnaliselt valinud Šotimaa ja/või Põhja-Iirimaa seadused ja/või kohtud.

20. Kui osapooled ei ole kokku leppinud alternatiivses muudatuses, mis vastab ülaltoodud klausli 19 nõuetele, kohaldatakse jaotise ‎22 sätteid.

21. Heakskiidetud EL SCC-idesse ei tohi teha muid muudatusi peale nende, mis on vajalikud punkti ‎19 nõuete täitmiseks.

22. DPA EL SCC-idesse tehakse järgmised muudatused (punkti ‎19 eesmärgil):

  1. need koos toimiksid andmeedastuste puhul, mida andmete eksportija teeb andmete importijale, niivõrd kui UK andmekaitseseadused kohalduvad andmete eksportija töötlemisele selle andmeedastuse tegemisel, ning need tagaksid nende andmeedastuste jaoks asjakohased kaitsemeetmed;
  2. 2. klauslis kustutage sõnad: „ja seoses andmete edastamisega vastutavatelt töötlejatelt volitatud töötlejatele ja/või volitatud töötlejatelt volitatud töötlejatele, standardsed lepingutingimused vastavalt määruse (EL) 2016/679 artikli 28 lõikele 7";
  3. 6. klausel (Üleandmise(te) kirjeldus) asendatakse järgmisega: „Üleandmise(te) üksikasjad ja eelkõige isikuandmete kategooriad, mida edastatakse, ning eesmärk(id), milleks neid edastatakse, on täpsustatud I.B lisas, kui UK andmekaitseseadused kohalduvad andmete eksportija töötlemisele kõnealuse edastamise tegemisel.";
  4. Mooduli 2 punkt 8.8(i) asendatakse järgmisega: „edasine edastamine toimub riiki, mis saab kasu UK GDPR artikli 17A kohaste piisavuse määruste alusel, mis hõlmab kõnealust edasist edastamist;"
  5. Viited „määrusele (EL) 2016/679", „Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrusele (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (isikuandmete kaitse üldmäärus)" ning „sellele määrusele" asendatakse kõik tekstiga „UK Data Protection Laws". Viited „määruse (EL) 2016/679" konkreetsetele artiklitele asendatakse UK Data Protection Laws vastavate artiklite või paragrahvidega;
  6. Viited määrusele (EL) 2018/1725 on eemaldatud;
  7. Viited "Euroopa Liidule", "Liidule", "EL-ile", "EL-i liikmesriigile", "liikmesriigile" ja "EL-ile või liikmesriigile" asendatakse kõik mõistega "UK";
  8. Mooduli ühe klausli 10(b)(i) viide „klauslile 12(c)(i)" asendatakse viitega „klauslile 11(c)(i)";
  9. Punkti 13(a) ja I lisa C osa ei kasutata;
    10.  
  10. "Pädev järelevalveasutus" ja "järelevalveasutus" on mõlemad asendatud "teabekomissariga";
  11. Klausli 16(e) punktis asendatakse alapunkt (i) järgmisega: „riigisekretär kehtestab määrused vastavalt andmekaitseseaduse 2018 paragrahvile 17A, mis hõlmavad isikuandmete edastamist, mille suhtes neid klausleid kohaldatakse;";
  12. 17. klauslit asendatakse järgmisega: „Neid klausleid reguleerivad Inglismaa ja Walesi seadused.";
  13. 18. klausel asendatakse järgmisega: „Kõik käesoleva Klauslite alusel tekkivad vaidlused lahendatakse Inglismaa ja Walesi kohtutes. Andmesubjekt võib algatada õiguslikke menetlusi andmeeksportija ja/või andmeimportija vastu ka ükskõik millise UK kohtu ees. Pooled nõustuvad alluma selliste kohtute jurisdiktsioonile."; ja
  14. Kinnitatud EL SCCde allmärkused ei ole IDTA DPA osa, välja arvatud allmärkused 8, 9, 10 ja 11.

Käesoleva IDTA DPA muudatused

23. Pooled võivad kokku leppida DPA EL SCC-de klauslite 17 ja/või 18 muutmises nii, et need viitavad Šotimaa või Põhja-Iirimaa seadustele ja/või kohtutele.

24. Kui Pooled soovivad muuta heakskiidetud DPA 1. osas: Tabelites sisalduva teabe vormingut, võivad nad seda teha, leppides muudatuses kirjalikult kokku, tingimusel et muudatus ei vähenda asjakohaseid kaitsemeetmeid.

25. Aeg-ajalt võib ICO välja anda muudetud heakskiidetud DPA, mis:

  1. teeb põhjendatud ja proportsionaalseid muudatusi kinnitatud DPA-sse, sealhulgas parandab kinnitatud DPA-s esinevaid vigu; ja/või
  2. kajastab Ühendkuningriigi andmekaitseseaduste muudatusi;

Muudetud kinnitatud DPA täpsustab alguskuupäeva, millest alates kinnitatud DPA muudatused jõustuvad, ning seda, kas pooled peavad läbi vaatama käesoleva IDTA DPA, sealhulgas lisa teabe. Käesolevat IDTA DPA-d muudetakse automaatselt vastavalt muudetud kinnitatud DPAs sätestatule alates määratud alguskuupäevast.

26. Kui ICO annab välja muudetud heakskiidetud DPA vastavalt paragrahvile 18, kui mõni Table 4-s valitud osapool „DPA lõpetamine heakskiidetud DPA muutumise korral", saab otse tulenevalt heakskiidetud DPA muudatustest olulise, ebaproportsionaalse ja tõendatava suurenemise järgmistes valdkondades: 

  1. oma kohustuste täitmise otsesed kulud vastavalt DPA-le; ja/või
  2. oma riski DPA alusel,

ja mõlemal juhul on ta eelnevalt võtnud mõistlikke meetmeid nende kulude või riskide vähendamiseks nii, et need ei ole olulised ega ebaproportsionaalsed, võib kõnealune Pool lõpetada käesoleva IDTA DPA mõistliku etteteatamisaja lõpul, esitades teisele Poolele kirjaliku etteteatamise enne muudetud heakskiidetud DPA jõustumiskuupäeva algust.

27. Pooled ei vaja käesoleva IDTA DPA muutmiseks kolmandate isikute nõusolekut, kuid kõik muudatused peavad olema tehtud kooskõlas selle tingimustega.

Ärge usaldage ainult meie sõna

“Läksime üle WooCommerce'ist kohandatud lahendusele, mida toetab Marzipan. Tellimuste haldamine on lihtsam kui kunagi varem ning subscriptions API paindlikkus on võimaldanud meil täiustada oma vana viinapuu adopteerimise pakkumist.”

Katie Jones hoiab Tuchani reha
Katie Jones
Owner, Domaine Jones

“Marzipan on uskumatult lihtne kasutada ning äärmiselt paindlik ja seadistatav. See muudab korduvate tellimustega veiniklubide haldamise palju lihtsamaks kui ükski teine süsteem, mida olen kasutanud, ning tuleb toime praktiliselt kõigega, mida oleme sellele esitanud.”

Justin Howard-Sneyd, MW
Justin Howard-Sneyd, MW
Owner, Domaine of the Bee