Marzipan-tietojenkäsittelylisäys

Tämä on käännös, joka on tarjottu ainoastaan käytännön helpottamiseksi. Englanninkielinen versio on virallinen ja oikeudellisesti sitova teksti; mahdollisessa ristiriitatilanteessa englanninkielinen versio on ratkaiseva.

Tämä tietojenkäsittelylisäsopimus ("DPA") täydentää Marzipanin ja asiakkaan välille Marzipanin käyttöehtojen pohjalta syntyvää sopimusta ja sisältyy siihen viittauksen kautta silloin, kun asiakas rekisteröityy palveluihin tai käyttää niitä, mukaan lukien rajoituksetta:

  1. Marzipanin toiminimellä "Labls" tarjoama digitaalinen viinietikettien luonti- ja julkaisupalvelu osoitteissa labls.io ja labls.co (mukaan lukien niiden aliverkkotunnukset), joka on suunniteltu viinintuottajille, joita laki velvoittaa julkaisemaan asianmukaiset paikallistetut tiedot EU:n virallisella kielellä EU:n alueella asetuksen (EU) 2021/2117 nojalla jaeltavien viinien alkuperästä ja sisällöstä ("Labls-palvelut");
  2. Marzipanin osoitteessa marzipan.co (mukaan lukien sen aliverkkotunnukset) tarjoama pilvipalvelupohjainen verkkokauppa- ja tiedonhallinta-alusta, jonka avulla viinintuottajat voivat yhtenäistää verkkokauppatoimintansa hallinnoimalla varastoa, tilauksia, toimituksia ja lähetyksiä, maksuja, analytiikkaa, markkinointikampanjoita ja asiakasviestintää kaikissa digitaalisissa myyntikanavissaan yhdestä keskitetystä hallintapaneelista ja sisällönhallintajärjestelmästä ("Alustapalvelut").

Tätä DPA:ta sovelletaan siltä osin kuin Marzipan käsittelee henkilötietoja asiakkaan puolesta henkilötietojen käsittelijänä sopimuksen mukaisten palvelujen tarjoamisen yhteydessä. Marzipanin osana palveluja käsittelemät henkilötietoryhmät on kuvattu yksityiskohtaisesti tämän DPA:n lausekkeessa 4.

Koska asetus (EU) 2021/2117 kieltää viinitiloja ja muita alan toimijoita käsittelemästä kuluttajien henkilötietoja tuotteisiinsa kiinnittämiensä sähköisten viinietikettien kautta, Marzipan on suunnitellut labls.io- ja labls.co-sivustoilla toimivan sähköisten etikettien julkaisu- ja luontipalvelunsa siten, ettei asiakas eikä Marzipan voi kerätä tai seurata henkilötietoja sähköisten etikettien yhteydessä. Tätä DPA:ta ei siis sovelleta tähän palvelujen osa-alueeseen.

Tässä DPA:ssa määrittelemättömillä isoilla alkukirjaimilla kirjoitetuilla termeillä on sopimuksessa annettu merkitys. Selvyyden vuoksi kaikki viittaukset "sopimukseen" kattavat myös tämän DPA:n (mukaan lukien sen liitteet ja vakiosopimuslausekkeet). Jos sopimuksen ja tämän DPA:n välillä on ristiriita, DPA:ta sovelletaan ensisijaisesti henkilötietojen käsittelyn osalta.

  1. Määritelmät

    Tytäryhtiö
    tarkoittaa yhteisöä, joka suoraan tai välillisesti Kontrolloi toista yhteisöä, on toisen yhteisön Kontrolloima tai on yhteisen Kontrollin alaisena toisen yhteisön kanssa.
    Liiketoiminnalliset tarkoitukset
    palvelut, jotka Marzipan tarjoaa asiakkaalle sopimuksessa määritellyllä tavalla.
    Kontrolli
    tarkoittaa omistus-, äänioikeus- tai vastaavaa etua, joka edustaa viittäkymmentä prosenttia (50 %) tai enemmän kyseisen yhteisön senhetkisistä kokonaiseduista. Termiä "Kontrolloitu" tulkitaan vastaavasti.
    Asiakas
    luonnollinen henkilö tai oikeushenkilö taikka yhteisö, joka on sopimuksen osapuoli.
    Asiakastili
    palveluihin asiakkaan rekisteröimä verkkopalvelutili tai -tilit, jotka tarjoavat valtuutetun pääsyn palveluihin.
    Asiakasdata
    tarkoittaa kaikkia henkilötietoja, joita Marzipan käsittelee Asiakkaan puolesta Palveluiden kautta.
    Tietosuojalait
    tarkoittaa kaikkia sovellettavia lakeja ja asetuksia kaikilla asiaankuuluvilla lainkäyttöalueilla, jotka liittyvät henkilötietojen käyttöön tai käsittelyyn, mukaan lukien: (i) Kalifornian kuluttajien yksityisyydensuojalaki 2018 ("CCPA"); (ii) yleinen tietosuoja-asetus ((EU) 2016/279) ("EU GDPR"); (iii) Sveitsin liittovaltion tietosuojalaki; (iv) EU GDPR siltä osin kuin se muodostaa osan Englannin ja Walesin, Skotlannin sekä Pohjois-Irlannin lainsäädäntöä tietosuojalain 2018 ("UK GDPR") 3 §:n 10 momentin (täydennettynä 205 §:n 4 momentilla) nojalla; (v) tietosuojalaki 2018 (ja sen nojalla annetut asetukset) ("DPA 2018"); sekä (vi) sähköistä viestintää koskevat yksityisyyden suojan asetukset 2003 (SI 2003/2426) muutoksineen ("PECR 2003"); kutakin sellaisena kuin se kulloinkin on päivitettynä, muutettuna tai korvattuna. Termit "rekisterinpitäjä" (Data Controller), "henkilötietojen käsittelijä" (Data Processor), "rekisteröity" (Data Subject), "rekisteröidyn pyyntö" (Data Subject Request), "henkilötiedot" (Personal Data), "henkilötietojen tietoturvaloukkaus" (Personal Data Breach), "käsittely" (Processing), "alikäsittelijä" (Subprocessor) ja "valvontaviranomainen" (Supervisory Authority) on määritelty EU GDPR:ssä.
    Sähköinen etiketti
    labls.io- ja labls.co-sivustoilla (tai kolmannen osapuolen verkkosivustolla Marzipanin puolesta) isännöity omistettu sähköinen viinietiketti, joka kokoaa jäsenneltyä tietoa (e-etikettisisältö) asiakkaan viini- tai aromatisoidusta viinituotteesta tietylle EU-markkinalle yhdellä EU:n 24 jäsenvaltion kielellä ja joka täyttää EU:n viinietikettisääntelyssä asetetut yleiset ja alakohtaiset etikettimääräykset.
    EEA
    Euroopan talousalue.
    Loppuasiakkaat
    kuluttajat tai yritysasiakkaat, joille Asiakas tarjoaa, markkinoi tai toimittaa tuotteita tai palveluja Palveluiden kautta.
    EU SCCs
    tarkoittaa Euroopan komission täytäntöönpanopäätöksessä (EU) 2021/914, annettu 4. kesäkuuta 2021, hyväksymiä rekisterinpitäjien ja henkilötietojen käsittelijöiden välisiä vakiosopimuslausekkeita, jotka ovat tällä hetkellä saatavilla tässä.
    EU:n viinien merkintäasetukset
    viinien ja maustettujen viinituotteiden merkintöjä koskevat säännöt, jotka on otettu käyttöön Euroopan parlamentin ja neuvoston asetuksella (EU) 2021/2117, jolla muutetaan asetusta (EU) N:o 1308/2013, mukaan lukien siltä osin kuin kyseisiä sääntöjä pannaan täytäntöön ja ne tulevat voimaan komission delegoidun asetuksen (EU) 2019/33, annettu 17. lokakuuta 2018, asetusta (EU) N:o 1308/2013 täydentävien säännösten nojalla.
    EEA-alueen ulkopuolinen siirto
    tarkoittaa EU GDPR:n mukaisesti käsiteltyjen asiakastietojen siirtämistä EEA:n ulkopuolella sijaitsevalle palvelimelle, verkkoon, tietojärjestelmään, yritykselle, henkilölle tai toimitilaan, ja tällaista siirtoa ei säännellä Euroopan komission artiklan 45 EU GDPR:n mukaisesti tekemällä vastaavuuspäätöksellä.
    UK:n ulkopuolinen siirto
    tarkoittaa UK GDPR:n ja tietosuojalain 2018 mukaisesti käsiteltyjen asiakastietojen siirtämistä UK:n ulkopuolella sijaitsevalle palvelimelle, verkkoon, tietojärjestelmään, yritykselle, henkilölle tai toimitilaan, ja tällaista siirtoa ei säännellä UK:n valtiosihteerin UK GDPR:n ja tietosuojalain 2018 asianomaisten säännösten mukaisesti tekemällä vastaavuuspäätöksellä.
    Labls-palvelut
    Marzipanin labls.io-alustalla tilauspohjaisten (tai muiden) ehtojen mukaisesti tarjoamat sähköisten etikettien luonti-, hallinta- ja isännöintipalvelut, joiden avulla Asiakkaat voivat luoda, hallita ja julkaista sähköisiä etikettejä viini- tai maustettujen viinituotteidensa osalta.
    Marzipan-tietosuojakäytäntö
    tarkoittaa Marzipanin osoitteessa marzipan.co/privacy saataville asettamaa asianmukaista käsittelyä koskevaa tiedonantoa, sellaisena kuin se kulloinkin on muutettuna, korvattuna tai täydennettynä.
    Alustapalvelut
    Marzipanin marzipan.co-alustalla tarjoama pilvipohjainen verkkokauppa- ja tiedonhallinta-alusta, jonka avulla viinituottajat voivat yhtenäistää verkkokauppatoimintansa hallinnoimalla varastoa, tilauksia, täyttämistä ja toimitusta, maksuja, analytiikkaa, markkinointikampanjoita sekä asiakasviestintää kaikissa digitaalisissa myyntikanavissaan yhdestä keskitetystä koontinäytöstä ja sisällönhallintajärjestelmästä.
    Tietoturvapoikkeama
    mikä tahansa luvaton tai lainvastainen tietoturvaloukkaus, joka johtaa Marzipanin hallinnoimilla tai muutoin sen valvomilla järjestelmillä olevien asiakastietojen vahingolliseen tai laittomaan tuhoamiseen, häviämiseen tai muuttamiseen taikka asiakastietojen luvattomaan luovuttamiseen tai käyttöön.
    Service Provider
    tarkoittaa California Consumer Privacy Act of 2018 -lain ("CCPA") mukaista merkitystä.
    Services
    tarkoittaa yksin tai yhdessä Labels Services- ja Platform Services -palveluita.
    Special Category Data
    tarkoittaa EU GDPR:n ja UK GDPR:n (soveltuvissa osin) 4(13), 4(14), 4(15) ja 9 artiklassa määriteltyjä merkityksiä.
    Standard Contractual Clauses (SCCs)
    tarkoittaa EU SCCs- ja UK SCCs -ehtoja soveltuvissa osin.
    UK Addendum
    tarkoittaa International Data Transfer Addendumia (versio B1.0), jonka Information Commissioner's Office on antanut UK:n tietosuojalain 2018 pykälän 119(A) nojalla, sellaisena kuin se on ajoittain päivitettynä tai muutettuna.
    UK SCCs
    tarkoittaa EU SCCs -ehtoja sellaisina kuin ne on tarkistettu ja muutettu UK Addendum -lisäyksellä.
    Usage Data
    kaikki data, joka syntyy asiakkaiden palvelujen käytön, käyttöönoton ja konfiguroinnin yhteydessä, sekä siitä johdettu data. Käyttödata ei sisällä asiakastietoja eikä muuta henkilötietoa.

  2. Customer Instructions

    1. Marzipan ja Asiakas sopivat, että tämä DPA ja Sopimus sekä Asiakkaan Palveluissa tekemät asetukset, ominaisuusvalinnat tai vaihtoehtovalinnat (joita Asiakas voi ajoittain muuttaa) muodostavat yhdessä Asiakkaan kirjalliset dokumentoidut ohjeet Marzipanin suorittamalle Asiakastietojen käsittelylle (mukaan lukien UK SCCs:n tarkoittamassa mielessä) ("Dokumentoidut ohjeet"). Marzipan käsittelee Asiakastietoja ainoastaan Dokumentoitujen ohjeiden mukaisesti. Dokumentoitujen ohjeiden ulkopuoliset lisäohjeet (mikäli niitä on) edellyttävät Marzipanin ja Asiakkaan välistä etukäteistä kirjallista sopimusta.
    2. Marzipanilla on oikeus irtisanoa tämä DPA ja Sopimus ilman vastuuta Asiakkaalle, mikäli Marzipan kieltäytyy noudattamasta ohjeita, jotka ovat ristiriidassa tietosuojalakien tai EU:n viinimerkintäasetuksen sovellettavien tietosuojamääräysten kanssa, taikka ohjeita, jotka ylittävät tässä DPA:ssa tai muussa osapuolten välisessä kirjallisessa sopimuksessa annettujen tai annetuiksi sovittujen ohjeiden soveltamisalan tai poikkeavat niistä.
    3. Asiakas ei luovuta (eikä aiheuta luovutettavaksi) Marzipanille mitään erityisiin tietoryhmiin kuuluvia tietoja (Special Category Data) Sopimuksen nojalla käsiteltäväksi, eikä Marzipanilla ole minkäänlaista vastuuta erityisiin tietoryhmiin kuuluvista tiedoista, oli kyse tietoturvapoikkeamasta tai muusta syystä. Selvyyden vuoksi todetaan, että tämä DPA ei koske erityisiin tietoryhmiin kuuluvia tietoja.

  3. Data Processing

    1. When Marzipan processes Customer Data while providing the Services, Marzipan will:

      (a)siltä osin kuin UK GDPR tai EU GDPR soveltuu, käsittelee Asiakastietoja Asiakkaan puolesta toimivana henkilötietojen käsittelijänä (riippumatta siitä, onko Asiakas itse rekisterinpitäjä vai henkilötietojen käsittelijä kolmannen osapuolen rekisterinpitäjän puolesta);

      (b)siltä osin kuin CCPA soveltuu, käsittelee Asiakastietoja Asiakkaan puolesta Service Providerina (ks. tarkemmat tiedot kohdasta 3.2 jäljempänä);

      (c)käsittelee ja tallentaa Asiakastietoja ainoastaan palvelimilla:

      a.joita operoi konesalioperaattori UpCloud Oy, suomalainen osakeyhtiö ("UpCloud"), sen DE-FRA1-konesalissa Frankfurtissa, Saksassa.

      b.joita operoi konesalioperaattori Scaleway SAS, ranskalainen yksinkertaistettu osakeyhtiö ("Scaleway"), sen konesalissa Pariisissa.

      c.joita operoi konesalioperaattori Hetzner Online GmbH, saksalainen osakeyhtiö ("Hetzner"), sen konesaleissa Nürnbergissä ja Falkensteinin Saksassa; sekä

      d.joita operoi pilvitallennuspalveluntarjoaja BunnyWay d.o.o., slovenialainen osakeyhtiö ("BunnyWay"), sen reunapalvelinsijainnissa Nürnbergissä, Saksassa.

      (d)käsittelee Asiakastietoja vain siinä laajuudessa ja tavalla, joka on tarpeen Liiketoimintatarkoitusten toteuttamiseksi Asiakkaan lainmukaisten Dokumentoitujen ohjeiden mukaisesti (edellyttäen, että kyseiset ohjeet ovat sopusoinnussa Asiakkaan Sopimuksen nojalla hankkimien Palveluiden toiminnallisuuksien kanssa);

      (e)jos laki velvoittaa Marzipania käsittelemään Asiakastietoja muuhun tarkoitukseen kuin Liiketoimintatarkoituksiin, Marzipan ilmoittaa tästä velvoitteesta Asiakkaalle ennen kyseisen käsittelyn aloittamista, ellei laki kiellä Marzipania antamasta tällaista ilmoitusta;

      (f)noudattaa viipymättä kaikkia Asiakkaan antamia lainmukaisia kirjallisia ohjeita, jotka edellyttävät Marzipania muuttamaan, siirtämään, poistamaan tai muulla tavoin käsittelemään Asiakastietoja taikka lopettamaan, lieventämään tai korjaamaan luvattoman käsittelyn;

      (g)pitää Asiakastiedot luottamuksellisina eikä luovuta niitä kolmansille osapuolille, ellei Asiakas tai tämä DPA nimenomaisesti valtuuta luovutusta taikka ellei kansallinen laki, tuomioistuin tai viranomaismääräys sitä edellytä (mukaan lukien UK ICO:n tai muun toimivaltaisen viranomaisen UK:ssa ja/tai ETA-alueella antama ohje);

      (h)avustaa Asiakasta kohtuullisessa määrin ilman lisäkustannuksia Asiakkaalle tietosuojalakien mukaisten velvoitteiden täyttämisessä ottaen huomioon Marzipanin käsittelyn luonteen ja Marzipanin käytettävissä olevat tiedot, mukaan lukien esimerkkinä mutta ei tyhjentävästi: toimittamalla Asiakkaalle kohtuullisia tietoja avuksi Asiakkaan tekemiin tietosuojan vaikutusarviointeihin sekä avustamalla Asiakasta rekisteröityjen pyyntöihin vastaamisessa; ja

      (i)ilmoittaa viipymättä Asiakkaalle tietosuojalakeihin tehdyistä muutoksista, jotka voidaan kohtuudella tulkita haittaaviksi Marzipanin suorittaessa sopimuksen tai tämän DPA:n mukaisia velvoitteitaan.

    2. CCPA. Osapuolet tunnustavat ja sopivat, että Marzipan on CCPA:n tarkoittama palveluntarjoaja (Service Provider) Asiakastietojen osalta (siltä osin kuin CCPA:ta sovelletaan) ja vastaanottaa henkilötietoja Asiakkaalta tarjotakseen palvelut sopimuksen mukaisesti, mikä muodostaa liiketoimintatarkoituksen. Marzipan ei myy tällaisia henkilötietoja. Marzipan ei säilytä, käytä tai luovuta Asiakkaan sopimuksen nojalla toimittamia henkilötietoja muutoin kuin siinä määrin kuin on tarpeen palvelujen suorittamiseksi Asiakkaalle tämän sopimuksen mukaisesti tai muutoin kuin tässä sopimuksessa on määrätty tai CCPA:ssa sallittu. Termeillä "personal information", "Service Provider", "sale" ja "sell" on CPA:n 1798.140 §:ssä (sellaisena kuin se on muutettuna, uudelleensäädettynä tai päivitettynä) annettu merkitys. Marzipan vakuuttaa ymmärtävänsä tämän kohdan (i) mukaiset rajoitukset.
    3. Kolmannen osapuolen palvelut. Osana palvelujaan Marzipan tarjoaa Asiakkaalle mahdollisuuden integroida palvelut tai liittää ne tiettyihin kolmannen osapuolen palveluihin, integraatioihin ja sovelluksiin ajoittain ("Kolmannen osapuolen palvelut"). Huomioithan, että Asiakkaan käyttäessä kolmannen osapuolen palveluja sovelletaan kulloinkin yksinomaan niitä ehtoja ja tietosuojakäytäntöjä (yhdessä "EULA"), joiden nojalla kolmannen osapuolen palveluntarjoaja asettaa kyseiset palvelut Asiakkaan saataville ("Kolmannen osapuolen palveluntarjoaja"). Kukin EULA solmitaan yksinomaan Asiakkaan ja kolmannen osapuolen palveluntarjoajan välillä, eikä Marzipan ole tällaisten EULA-sopimusten osapuoli.
    4. Kun Asiakas ohjeistaa meitä integroimaan Asiakkaan Marzipan-tuotteet tai -tilit yhteen tai useampaan kolmannen osapuolen palveluun, Asiakas hyväksyy, että Marzipan siirtää Asiakastiedot kolmannen osapuolen palveluntarjoajille, jotta nämä voivat tarjota palvelujaan Asiakkaalle. Mikäli kolmannen osapuolen palveluntarjoajat tämän jälkeen käsittelevät Asiakastietoja, tähän sovelletaan heidän EULA-sopimuksensa asiaankuuluvia tietosuojamääräyksiä, eikä Marzipan ole vastuussa tällaisesta käsittelystä.
    5. Third-Party Services from the following Third-Party Service Providers are currently available to be integrated and/or interfaced with Marzipan.
      Name Description
      Fathom Analytics This integration allows Customers who are subscribed to Fathom Analytics’ web analytics service to view their Fathom Analytics dashboard within Marzipan’s e-commerce and data management platform. All EEA and UK traffic processed via the integration is processed solely on EU servers owned and operated by the German cloud service provider etzner Online GmbH, a German legal entity.
      MailChimp This integration allows Customers who are subscribed to MailChimp’s email marketing service to send data to MailChimp to enable the Customer to send emails to their subscribers.
    6. Huomioithan, että kun Marzipan sallii Asiakkaan integroida palvelut johonkin kolmannen osapuolen palveluun, jota ei ole mainittu yllä olevassa taulukossa, Asiakkaan kyseisen kolmannen osapuolen palvelun käyttöön sovelletaan asianomaisen kolmannen osapuolen palveluntarjoajan sovellettavaa EULA-sopimusta tämän sopimuksen kohdan (i) mukaisilla ehdoilla.
    7. SCC-lausekkeet. Jos Marzipan ja Asiakas ovat solmineet vakiosopimuslausekkeet (Standard Contractual Clauses) kohdan 10 (Asiakastietojen siirrot) mukaisesti, (i) Asiakkaan ohje Marzipanille tämän sopimuksen kohdan 3.3 nojalla integroida kolmannen osapuolen palvelu(t) (soveltuvin osin) osaksi palveluja muodostaa Asiakkaan kirjallisen ennakkosuostumuksen sille, että Marzipan siirtää Asiakastiedot kolmannen osapuolen palveluntarjoajalle, mikäli SCC-lausekkeet tällaista suostumusta edellyttävät; (ii) osapuolet sopivat, että Marzipan voi poistaa etukäteen kaupallisia tietoja tai SCC-lausekkeisiin tai niiden vastaaviin liittymättömiä tietoja kolmansien osapuolten palveluntarjoajien kanssa tehdyistä sopimuksista, jotka Marzipanin on EU SCC-lausekkeiden lausekkeen 9(c) tai UK SCC-lausekkeiden vastaavan lausekkeen nojalla toimitettava Asiakkaalle, ja että tällaiset mustatut kopiot toimitetaan Asiakkaalle ainoastaan Asiakkaan kirjallisesta pyynnöstä.
    8. The Customer’s responsibilities. The Customer:

      (a)on rekisterinpitäjä kaikkien Asiakastietojen osalta;

      (b)vastaa edelleen Asiakkaan velvoitteiden täyttämisestä sovellettavien tietosuojalakien nojalla, mukaan lukien muun muassa tarvittavien ilmoitusten antaminen ja tarvittavien suostumusten hankkiminen, jotta Marzipan voi käsitellä Asiakastietoja Liiketoimintatarkoituksia varten;

      (c)ei toimita (eikä anna kolmannen osapuolen toimittaa) Marzipanille erityisiin henkilötietoryhmiin kuuluvia tietoja (Special Category Data) sopimuksen nojalla tapahtuvaa käsittelyä varten, eikä Marzipanilla ole minkäänlaista vastuuta tällaisista tiedoista, olivatpa ne liitoksissa tietoturvapoikkeamaan tai muuhun seikkaan. Selvyyden vuoksi todetaan, että tämä DPA ei koske erityisiin henkilötietoryhmiin kuuluvia tietoja;

      (d)vakuuttaa ja takaa, että se on noudattanut ja jatkaa noudattamaan kaikkia sovellettavia lakeja, mukaan lukien tietosuojalait, Asiakastietojen käsittelyn ja Marzipanille antamiensa dokumentoitujen ohjeiden osalta;

      (e)vastaa yksin Asiakastietojen tarkkuudesta, laadusta ja lainmukaisuudesta sekä siitä, miten Asiakas on hankkinut Asiakastiedot. Rajoittamatta edellä mainitun yleisyyttä Asiakas sitoutuu noudattamaan kaikkia sovellettavia lakeja (mukaan lukien tietosuojalait) palvelujen kautta luodun, lähetetyn tai hallitun sisällön osalta;

      (f)varmistaa, että Marzipanin käsitellessä Asiakastietoja Asiakkaan dokumentoitujen ohjeiden mukaisesti Marzipan ei riko mitään sovellettavaa lakia, asetusta tai sääntöä, mukaan lukien rajoituksetta tietosuojalait. Marzipan ilmoittaa Asiakkaalle viipymättä kirjallisesti, ellei tietosuojalaki sitä kiellä, jos se saa tietää tai uskoo, että jokin Asiakkaan antama tietojenkäsittelyohje rikkoo tietosuojalakeja; ja

      (g)siltä osin kuin se toimii henkilötietojen käsittelijänä kolmannen osapuolen rekisterinpitäjän (tai muun välittäjän) lukuun, takaa, että sen sopimuksessa ja tässä DPA:ssa esitetyt dokumentoidut ohjeet, mukaan lukien valtuutukset Marzipanille alikäsittelijöiden nimittämiseen tämän DPA:n mukaisesti, on hyväksytty asianomaisen rekisterinpitäjän toimesta.

  4. Asiakastietotyypit ja käsittelyn tarkoitukset

    1. Kohde. Tämän DPA:n mukaisen tietojenkäsittelyn kohteena ovat palvelujen kautta käsiteltävät Asiakastiedot.
    2. Kesto. Marzipanin ja Asiakkaan välillä Asiakas määrittää tämän DPA:n mukaisen tietojenkäsittelyn keston. Asiakas voi keskeyttää tai lopettaa tietojenkäsittelyn keskeyttämällä tai irtisanomalla asiakkuutensa Platform-palveluihin ja/tai Labls-palveluihin (soveltuvin osin) tai keskeyttämällä Marzipanin isännöimiä integraatioita (kuten Marzipanin Asiakkaan käyttöön asettamat omistusoikeudelliset rajapinnat), joita Asiakas käyttää osana toimintaansa.
    3. Tarkoitus. Tämän DPA:n mukaisen tietojenkäsittelyn tarkoituksena on Asiakkaan ajoittain käynnistämien palvelujen tarjoaminen, mukaan lukien esimerkkinä Marzipanin verkkokauppa- ja tiedonhallinta-alustan ja/tai sähköisten etikettien (E-Label) luomis- ja isännöintipalvelun tarjoaminen Asiakkaalle.
    4. Käsittelyn luonne. Marzipan auttaa yrityksiä yhtenäistämään verkkokauppatoimintaansa ja luomaan sähköisiä etikettejä (E-Label) viinituotteilleen tarjoamalla tämän DPA:n kohdassa 1 määriteltyjä "palveluja". Näihin palveluihin sisältyy Asiakastietojen käsittely Marzipanin, sen alikäsittelijöiden ja soveltuvin osin kolmannen osapuolen palveluntarjoajien toimesta. Asiakas voi ladata Asiakastietoja palveluihin ja/tai käsitellä niitä Asiakastilin kautta, Marzipanin ajoittain tarjoamien ja palveluihin liitettyjen rajapintojen (API) kautta sekä (iii) kolmannen osapuolen palvelujen kautta, jotka jakavat Asiakastietoja palvelujen kanssa.
    5. Types of Customer Data. Customer Data uploaded to the Services:

      (a)Asiakkaan toimesta Asiakastilillä;

      (b)Marzipanin API-rajapintojen tai verkkokomponenttien kautta, jotka liittävät palvelut Asiakkaan järjestelmiin; ja

      (c)kolmannen osapuolen palvelujen kautta, jotka Asiakas integroi palveluihin.

      Palveluihin asiakastietojen osana ladattavat henkilötietotyypit voivat sisältää:

      • Asiakkaan nimi, sähköpostiosoite, yhteystiedot, laskutus- ja toimitusosoitetiedot.
      • Osto-, tilaus- (esim. viinaklubi) ja muut tapahtumatiedot (mukaan lukien rajoituksetta tilatiedot) asiakkaan fyysisistä ja digitaalisista myymälöistä;
      • Loppuasiakkaan toiminta asiakkaan digitaalisissa myymälöissä, mukaan lukien tilaushistoria, katsellut tuotteet ja ostoskoriin lisätyt tuotteet.
      • Loppuasiakkaan laitetiedot asiakkaan myymälöissä vierailluista laitteista, mukaan lukien IP-osoite, selain ja verkkotoiminta.
      • Muut henkilötiedot, jotka asiakas valitsee asettaa Marzipanin saataville.
    6. Rekisteröityjen kategoriat. Rekisteröityihin voivat kuulua (i) asiakas, sen työntekijät, alihankkijat, edustajat, toimittajat ja tavarantoimittajat sekä (ii) asiakkaan todelliset ja potentiaaliset loppuasiakkaat.

  5. Tietojenkäsittelyn turvallisuus

    1. Marzipanin tulee toteuttaa kaikissa tilanteissa asianmukaiset tekniset ja organisatoriset toimenpiteet asiakastietojen luvattoman tai lainvastaisen käsittelyn, pääsyn, kopioinnin, muuttamisen, jäljentämisen, näyttämisen tai jakamisen estämiseksi sekä asiakastietojen vahingossa tapahtuvan tai lainvastaisen häviämisen, tuhoutumisen, muuttamisen, luovuttamisen tai vahingoittumisen estämiseksi, mukaan lukien muun muassa Marzipanin tietoturvastandardeissa (Liite A) kuvatut toimenpiteet, varmistaen kaikissa tapauksissa asiakastietojen turvallisuustason, joka on riskiin nähden asianmukainen EU:n/UK:n GDPR:n 32 artiklan mukaisesti.
    2. Marzipan shall implement such measures to ensure a level of security appropriate to the risk involved, including as appropriate:

      (a)asiakastietojen pseudonymisointi ja salaus;

      (b)kyky varmistaa käsittelyjärjestelmien ja -palveluiden jatkuva luottamuksellisuus, eheys, saatavuus ja vikasietoisuus;

      (c)kyky palauttaa asiakastietojen saatavuus ja pääsy niihin oikea-aikaisesti fyysisen tai teknisen poikkeaman sattuessa; ja

      (d)prosessi turvatoimien tehokkuuden säännölliseksi testaamiseksi, arvioimiseksi ja evaluoimiseksi.

  6. Marzipanin työntekijät

    1. Marzipan will ensure its employees, contractors and agents:

      (a)on tietoisia asiakastietojen luottamuksellisesta luonteesta ja ovat sidottuja asiakastietoja koskeviin salassapitovelvoitteisiin ja käyttörajoituksiin;

      (b)ovat suorittaneet koulutuksen asiakastietojen käsittelyä koskevasta tietosuojalainsäädännöstä ja sen soveltamisesta heidän tehtäviinsä; ja

      (c)ovat tietoisia sekä Marzipanin velvollisuuksista että omista henkilökohtaisista velvollisuuksistaan ja vastuistaan tietosuojalainsäädännön ja sopimuksen mukaisesti.

  7. Tietoturva

    1. Marzipanin tulee toteuttaa kaikissa tilanteissa asianmukaiset tekniset ja organisatoriset toimenpiteet asiakastietojen luvattoman tai lainvastaisen käsittelyn, pääsyn, kopioinnin, muuttamisen, jäljentämisen, näyttämisen tai jakamisen estämiseksi sekä asiakastietojen vahingossa tapahtuvan tai lainvastaisen häviämisen, tuhoutumisen, muuttamisen, luovuttamisen tai vahingoittumisen estämiseksi.
    2. Marzipan shall implement such measures to ensure a level of security appropriate to the risk involved, including for illustrative purposes and as appropriate:

      (a)asiakastietojen pseudonymisointi ja salaus;

      (b)kyky varmistaa käsittelyjärjestelmien ja -palveluiden jatkuva luottamuksellisuus, eheys, saatavuus ja vikasietoisuus;

      (c)kyky palauttaa asiakastietojen saatavuus ja pääsy niihin oikea-aikaisesti fyysisen tai teknisen poikkeaman sattuessa; ja

      (d)prosessi turvatoimien tehokkuuden säännölliseksi testaamiseksi, arvioimiseksi ja evaluoimiseksi.

  8. Henkilötietojen tietoturvaloukkaus

    1. Marzipan shall within 72 hours and in any event without undue delay notify the Customer if it becomes aware of:

      (a)asiakastietojen osittainen tai täydellinen häviäminen, tahaton tuhoutuminen tai vahingoittuminen, vioittuminen tai muu heikentyminen;

      (b)asiakastietojen tahaton, luvaton tai lainvastainen käsittely; tai

      (c)henkilötietojen tietoturvaloukkaus.

    2. Where Marzipan becomes aware of any of the foregoing matters described in clauses 8.1(a), (b) and/or (c) above, it shall, without undue delay, also provide the Customer with the following:

      (a)kuvaus lausekkeiden 8.1(a), (b) ja/tai (c) mukaisen tapahtuman luonteesta, mukaan lukien soveltamisalaan kuuluvien asiakastietojen kategoriat sekä asianomaisten rekisteröityjen ja asiakastietojen tietueiden likimääräinen lukumäärä; tai

      (b)kuvaus toimenpiteistä, jotka on toteutettu tai joiden toteuttamista suunnitellaan lausekkeiden 8.1(a), (b) ja/tai (c) mukaisten tapahtumien käsittelemiseksi, mukaan lukien toimenpiteet mahdollisten haitallisten vaikutusten lieventämiseksi.

    3. Välittömästi tahattoman, luvattoman tai lainvastaisen asiakastietojen käsittelyn tai henkilötietojen tietoturvaloukkauksen jälkeen Marzipan ottaa yhteyttä asiakkaaseen, jotta voimme koordinoida yhteistä tapauksen tutkintaa.
    4. Marzipan ei ilmoita kolmannelle osapuolelle mistään asiakastietojen ja/tai henkilötietojen tahattomasta, luvattomasta tai lainvastaisesta käsittelystä ilman asiakkaan etukäteen antamaa kirjallista suostumusta, paitsi jos tällainen ilmoittaminen on välttämätöntä kyseisen käsittelyn tai henkilötietojen tietoturvaloukkauksen käsittelemiseksi tarvittavien toimenpiteiden osana tai sovellettavan lain nojalla pakollista.
    5. Marzipan kattaa kohtuulliset kulut, jotka aiheutuvat lausekkeiden 8.1 ja 8.2 mukaisten velvoitteiden täyttämisestä, paitsi jos asia on aiheutunut asiakkaan antamista erityisistä kirjallisista ohjeista, huolimattomuudesta, tahallisesta laiminlyönnistä tai DPA:n tai sopimuksen rikkomisesta, jolloin asiakas vastaa kaikista kohtuullisista kuluista (mukaan lukien Marzipanin kohtuulliset kulut ja sen ammatillisten neuvonantajien kulut).

  9. Alikäsittelijät

    1. Marzipan uses the following Sub-processors to host and/or process Customer Data, to provide infrastructure and network services to support Marzipan, and to perform service functions on our behalf as part of the Services:
      Name Description
      Active Campaign LLC Trading as "Postmark", Active Campaign delivers transactional emails (e.g. password reset emails, notification emails, receipt and invoice emails) on behalf of Marzipan as part of the Services.
      Automattic, Inc. Trading as "Gravatar." Automattic allows Customers to upload pre-existing image and public profile data to the Platform Services.
      BunnyWay d.o.o BunnyWay provides Marzipan with Domain Name System (DNS), Website Application Firewall (WAF) and Content Delivery Network (CDN) services.
      Fathom Analytics Fathom Analytics provides web analytics services that enable Marzipan to track and analyse web traffic’s engagement with the Services.
      Functional Software Inc. Trading as "Sentry", Functional Software provides Marzipan with crash and error monitoring services in respect of the Services.
      Internet Security Research Group ISRG’s "Let’s Encrypt" service provides Marzipan with the digital certificate necessary to enable HTTPS (SLS/TLS) on its websites.
      Laravel Holdings Inc. Laravel provides Marzipan with its: (i) "Forge" server management services in relation to the provisioning and deployment of the Services on Hetzner Online GmbH’s servers; and (ii) "Envoyer" zero downtime deployment services.
      OhMySMTP Ltd OhMySMTP, trading as "MailPace", provides Marzipan with email services for sending transactional emails (e.g. password reset emails, notification emails, order confirmation emails) on behalf of Marzipan as part of the Services.
      PayPal UK Ltd PayPal provides Marzipan with authorised payment gateway and payment processing services in respect of payload and payment data submitted to the Services.
      Stripe Payments UK, Ltd. Stripe provides Marzipan with authorised payment gateway and payment processing services in respect of payload and payment data submitted to the Services.
    2. Asiakas valtuuttaa meidät käyttämään lausekkeessa 9.1 lueteltuja alikäsittelijöitä osana palveluita ja antaa meille lisäksi yleisen valtuutuksen käyttää muita alikäsittelijöitä sopimuksen nojalla asiakkaalta keräämäämme asiakastietoa koskeviin käsittelytoimiin. Marzipan ilmoittaa asiakkaalle alikäsittelijöiden lisäämisestä tai poistamisesta vähintään 10 päivää ennen kyseisiä muutoksia.
    3. Where Marzipan engages a Sub-processor as described in clause 9.1:

      (a)Marzipan rajoittaa alikäsittelijän pääsyn tietoihin vain siihen, mikä on kohtuullisesti välttämätöntä palveluiden tarjoamiseksi, ylläpitämiseksi tai parantamiseksi; ja

      (b)Marzipan tekee alikäsittelijän kanssa kirjallisen tietojenkäsittelysopimuksen, ja siltä osin kuin alikäsittelijä suorittaa samoja tietojenkäsittelypalveluja kuin Marzipan tämän DPA:n nojalla, Marzipan asettaa alikäsittelijälle samat sopimusvelvoitteet kuin Marzipanilla on tässä asiakirjassa.

    4. If Marzipan and the Customer have entered into Standard Contractual Clauses as described in clause 10 (Transfers of Customer Data):

      (a)edellä mainitut valtuutukset muodostavat asiakkaan etukäteisen kirjallisen suostumuksen siihen, että Marzipan alihankintana teettää asiakastietojen käsittelyn, mikäli tällainen suostumus vaaditaan vakiosopimuslausekkeiden (SCC) nojalla;ja

      (b)Marzipan tekee alikäsittelijän kanssa kirjallisen tietojenkäsittelysopimuksen, ja siltä osin kuin alikäsittelijä suorittaa samoja tietojenkäsittelypalveluja kuin Marzipan tämän DPA:n nojalla, Marzipan asettaa alikäsittelijälle samat sopimusvelvoitteet kuin Marzipanilla on tässä asiakirjassa.

    5. If Marzipan and the Customer have entered into Standard Contractual Clauses as described in clause 10 (Transfers of Customer Data):

      (a)edellä mainitut valtuutukset muodostavat asiakkaan etukäteisen kirjallisen suostumuksen siihen, että Marzipan alihankintana teettää asiakastietojen käsittelyn, mikäli tällainen suostumus vaaditaan vakiosopimuslausekkeiden (SCC) nojalla; ja

      (b)osapuolet sopivat, että Marzipan voi ennakolta poistaa alikäsittelijöiden kanssa tehtyjen sopimusten kopioista, jotka Marzipanin on EU:n vakiosopimuslausekkeiden lausekkeen 9(c) tai UK:n vakiosopimuslausekkeiden vastaavan lausekkeen nojalla toimitettava asiakkaalle, kaupallisia tietoja tai tietoja, jotka eivät liity vakiosopimuslausekkeisiin tai niitä vastaaviin asiakirjoihin, ja että tällaiset muokatut kopiot toimitetaan asiakkaan kirjallisesta pyynnöstä.

  10. Asiakastietojen siirrot

    1. Osapuolet sopivat, että Marzipan voi siirtää sopimuksen nojalla käsiteltäviä asiakastietoja ETA-alueen, UK:n tai Sveitsin ulkopuolelle palveluiden tarjoamisen edellyttämässä laajuudessa. Asiakas tunnustaa, että monet kolmansien osapuolten palveluntarjoajat ja alikäsittelijät suorittavat käsittelytoimintansa Yhdysvalloissa ja että asiakastietojen siirto on välttämätöntä palveluiden tarjoamiseksi asiakkaalle. Jos Marzipan siirtää tämän sopimuksen nojalla suojattuja asiakastietoja lainkäyttöalueelle, jolle Euroopan komissio tai UK:n valtiosihteeri (tapauksen mukaan) ei ole antanut tietosuojan riittävyyttä koskevaa päätöstä, Marzipan varmistaa, että asiakastietojen siirtoa varten on toteutettu asianmukaiset suojatoimet tietosuojalainsäädännön mukaisesti.
    2. Ex-EEA Transfers. The parties agree that ex-EEA Transfers are made pursuant to Module Two (Controller to Processor) of the EU SCCs which is deemed entered (and incorporated into this DPA) and which shall apply as follows (unless stated otherwise, references to clause numbers are references to clause numbers of Module Two of the EU SCCs):

      (a)Lausekkeen 7 valinnaista liittymislauseketta ei sovelleta;

      (b)Lausekkeessa 9 sovelletaan vaihtoehto 2:ta (yleinen kirjallinen valtuutus), ja alikäsittelijämuutoksista annettavan ennakkoilmoituksen vähimmäisaika on tämän DPA:n lausekkeen 9.2 mukainen;

      (c)Lausekkeen 11 valinnaista kieltä ei sovelleta;

      (d)Kaikki lausekkeen 12 hakasulkeet poistetaan täten;

      (e)Lausekkeessa 17 (vaihtoehto 10) EU:n vakiosopimuslausekkeiden sovellettavana lakina on Irlannin laki;

      (f)Lausekkeen 18(b) mukaan riidat ratkaistaan Irlannin tuomioistuimissa;

      (g)Tämän DPA:n liitteen B ("Rajat ylittävät siirrot") osa 1 sisältää EU:n vakiosopimuslausekkeiden liitteessä I vaaditut tiedot;

      (h)Tämän DPA:n liitteen B ("Rajat ylittävät siirrot") osa 1 sisältää EU:n vakiosopimuslausekkeiden liitteessä II vaaditut tiedot;

      (i)Allekirjoittamalla tämän DPA:n osapuolten katsotaan allekirjoittaneen siihen sisällytetyt EU:n vakiosopimuslausekkeet liitteineen.

    3. Ex-UK Transfers

      (a)Osapuolet sopivat, että IDTA DPA:ta sovelletaan UK:n ulkopuolisiin siirtoihin. Liitteen B ("Rajat ylittävät siirrot") osa 2 sisältää IDTA DPA:ssa vaaditut tiedot.

    4. Transfers from Switzerland. The parties agree that transfers from Switzerland are made pursuant to the EU SCCs with the following modifications:

      (a)EU:n vakiosopimuslausekkeissa käytettyjä termejä "yleinen tietosuoja-asetus" tai "asetus (EU) 2016/679" tulkitaan siten, että ne kattavat 19. kesäkuuta 2022 annetun liittovaltion tietosuojalain (Federal Act on Data Protection, "FADP"), ja 25. syyskuuta 2020 alkaen tarkistetun version ("Revised FADP") osalta FADP:n alaisten tietosiirtojen yhteydessä.

      (b)EU:n vakiosopimuslausekkeiden ehtoja tulkitaan siten, että ne suojaavat oikeushenkilöiden tietoja siihen saakka, kun Revised FADP tulee voimaan.

      (c)EU:n vakiosopimuslausekkeiden lauseketta 13 muutetaan siten, että Sveitsin liittovaltion tietosuoja- ja tietorekisteriviranomaisella ("FDPIC") on toimivalta FADP:n alaisten tietosiirtojen osalta ja asianomaisella EU:n valvontaviranomaisella on toimivalta EU:n GDPR:n alaisten tietosiirtojen osalta. Edellä sanotun rajoittamatta kaikkia muita EU:n vakiosopimuslausekkeiden lausekkeen 13 vaatimuksia on noudatettava.

      (d)EU:n vakiosopimuslausekkeissa käytettyä termiä "EU:n jäsenvaltio" ei tule tulkita siten, että se estää Sveitsissä asuvia rekisteröityjä käyttämästä oikeuksiaan vakituisessa asuinpaikassaan EU:n vakiosopimuslausekkeiden lausekkeen 18(c) mukaisesti.

    5. Supplementary Measures. In respect of any ex-EEA Transfer or ex-UK Transfer, the following supplementary measures shall apply:

      (a)Tämän DPA:n päivämäärään mennessä Tietojen tuoja ei ole vastaanottanut virallisia oikeudellisia pyyntöjä miltään valtion tiedustelu- tai turvallisuuspalvelulta tai -viranomaiselta siinä maassa, johon Asiakastiedot viedään, asiakastietojen käyttöä tai kopioita varten ("Viranomaispyynnöt");

      (b)Jos Tietojen tuoja tämän DPA:n päivämäärän jälkeen vastaanottaa Viranomaispyyntöjä, Marzipan pyrkii ohjaamaan lainvalvonta- tai viranomaistaon pyytämään tiedot suoraan Asiakkaalta. Tähän liittyen Asiakas hyväksyy, että saatamme toimittaa Asiakkaan perustiedot viranomaiselle. Jos Marzipan velvoitetaan luovuttamaan Asiakastiedot lainvalvonta- tai viranomaiselle, Marzipan ilmoittaa Asiakkaalle vaatimuksesta kohtuullisessa ajassa etukäteen ja tekee yhteistyötä, jotta Asiakas voi hakea suojamääräystä tai muuta asianmukaista oikeussuojakeinoa, ellei Marzipania ole oikeudellisesti kielletty tekemästä niin. Marzipan ei vapaaehtoisesti luovuta Asiakastietoja millekään lainvalvonta- tai viranomaiselle. Marzipan käy (niin pian kuin kohtuudella on mahdollista) neuvottelut ja tekee päätöksen siitä, tulisiko kaikki tai osa tämän DPA:n nojalla tapahtuvista Asiakastietojen siirroista keskeyttää kyseisten Viranomaispyyntöjen valossa;

      (c)Marzipan and the Data Exporter will meet regularly to consider whether:

      a.Suoja, jonka Tietojen tuojan maan lainsäädäntö tarjoaa rekisteröidyille, joiden henkilötietoja siirretään osana Asiakastietoja, on riittävä tarjotakseen pääosin vastaavan suojan kuin ETA-alueella tai UK:ssa, sen mukaan kumpi on sovellettavissa;

      b.Lisätoimenpiteet ovat kohtuudella tarpeen, jotta siirto voidaan toteuttaa tietosuojalainsäädännön vaatimusten mukaisesti;

      c.Asiakastietojen siirtäminen asianomaiselle Tietojen tuojalle on edelleen asianmukaista, kun otetaan huomioon kaikki osapuolten käytettävissä olevat olennaiset tiedot sekä valvontaviranomaisten antamat ohjeet.

      (d)Jos tietosuojalainsäädäntö edellyttää Marzipania tekemään tiettyä Asiakastietojen siirtoa Tietojen tuojalle koskevat vakiosopimuslausekkeet erillisenä sopimuksena, Tietojen tuojan on Marzipanin pyynnöstä viipymättä allekirjoitettava kyseiset vakiosopimuslausekkeet sisällyttäen niihin Marzipanin kohtuudella vaatimat muutokset, jotka heijastavat sovellettavia liitteitä, siirron tietoja ja tietosuojalainsäädännön vaatimuksia; ja

      (e)Jos (i) jokin tässä DPA:ssa mainittu ETA-alueen, UK:n tai Sveitsin ulkopuolelle tapahtuvien siirtojen oikeuttamiskeino lakkaa olemasta voimassa; tai (ii) jokin valvontaviranomainen vaatii kyseisten keinojen nojalla tapahtuvien Asiakastietojen siirtojen keskeyttämistä, Tietojen tuoja voi ilmoittamalla Marzipanille muuttaa tai ottaa käyttöön vaihtoehtoisia järjestelyjä kyseisten siirtojen osalta ilmoituksessa mainitusta päivämäärästä alkaen, tietosuojalainsäädännön edellyttämällä tavalla.

    6. Alikäsittelijät. Mikäli Asiakas suostuu ETA-alueen ulkopuolella sijaitsevan alikäsittelijän nimittämiseen lausekkeen 9 ehtojen mukaisesti, tai mikäli Asiakas päättää integroida kolmannen osapuolen palvelun ETA-alueen ulkopuolelta lausekkeen 3 mukaisesti, Asiakas valtuuttaa meidät tekemään kyseisen osapuolen kanssa vakiosopimuslausekkeet, myös Asiakkaan nimissä ja Asiakkaan puolesta.

  11. Valitukset, rekisteröityjen pyynnöt ja kolmansien osapuolten oikeudet

    1. Marzipan will take such reasonable technical and organisational measures as appropriate, and promptly provide such information to the Customer as the Customer may require, to enable the Customer to comply with:

      (a)the rights of Data Subjects under the Data Protection Laws, including subject access rights, the rights to rectify, port and erase Customer Data, object to the processing and automated processing of Customer Data, and restrict the processing of Customer Data; and/p>

      (b)tiedoksiantoilmoitukset tai arviointikäskyt, jotka UK ICO (tai muu toimivaltainen viranomainen ETA-alueella) on antanut Asiakkaalle tietosuojalainsäädännön nojalla.

    2. Marzipan ilmoittaa Asiakkaalle viipymättä kirjallisesti, jos se vastaanottaa valituksen, ilmoituksen tai viestin, joka liittyy suoraan tai välillisesti Asiakastietojen käsittelyyn tai Marzipanin tai Asiakkaan tietosuojalainsäädännön noudattamiseen.
    3. Marzipan ilmoittaa Asiakkaalle 14 päivän kuluessa, jos se vastaanottaa rekisteröidyltä pyynnön saada pääsy heidän Asiakastietoihinsa tai käyttää muita tietosuojalainsäädännön mukaisia oikeuksiaan.
    4. Marzipan avustaa Asiakasta vastattaessa valituksiin, ilmoituksiin, viesteihin tai rekisteröityjen pyyntöihin.
    5. Marzipan ei luovuta Asiakastietoja rekisteröidyille tai kolmansille osapuolille muutoin kuin Asiakkaan kirjallisten ohjeiden mukaisesti tai kotimaisen lainsäädännön vaatimalla tavalla.

  12. Voimassaolo ja irtisanominen

    1. This DPA will remain in full force and effect so long as:

      (a)sopimus on voimassa; tai

      (b)Marzipan säilyttää hallussaan tai hallinnassaan sopimukseen liittyviä Asiakastietoja ("Sopimuskausi").

    2. Tämän DPA:n kaikki ehdot, jotka sanamuotonsa tai tarkoituksensa perusteella tulevat voimaan sopimuksen päättymisen jälkeen tai jatkuvat voimassa sen jälkeen Asiakastietojen suojaamiseksi, pysyvät täysimääräisesti voimassa.
    3. Marzipanin laiminlyönti noudattaa tämän DPA:n ehtoja on sopimuksen olennainen rikkomus. Tällöin Asiakkaalla on oikeus irtisanoa sopimus välittömästi kirjallisella ilmoituksella Marzipanille ilman lisävastuita tai -velvoitteita.
    4. Jos muutos tietosuojalainsäädännössä estää jompaakumpaa osapuolta täyttämästä kaikki tai osan sopimusvelvoitteistaan, osapuolet voivat sopia Asiakastietojen käsittelyn keskeyttämisestä, kunnes käsittely on uusien vaatimusten mukaista. Jos osapuolet eivät pysty saattamaan Asiakastietojen käsittelyä tietosuojalainsäädännön mukaiseksi 90 päivän kuluessa, kumpi tahansa osapuoli voi irtisanoa sopimuksen välittömästi kirjallisella ilmoituksella toiselle osapuolelle.

  13. Tietojen palautus ja tuhoaminen

    1. Asiakkaan pyynnöstä Marzipan toimittaa Asiakkaalle tai Asiakkaan kirjallisesti nimeämälle kolmannelle osapuolelle kopion kaikista tai osasta Asiakastiedoista taikka pääsyn niihin hallussaan tai hallinnassaan olevassa muodossa ja Asiakkaan kohtuudella määrittelemässä formaatissa ja välineessä.
    2. Sopimuksen päättyessä tai muutoin rauetessa mistä tahansa syystä taikka palveluiden valmistuttua Marzipan palauttaa tai tuhoaa Asiakastiedot, ellei sovellettava lainsäädäntö edellytä tai oikeuta Asiakastietojen säilyttämistä. Jos palautus tai tuhoaminen on käytännössä mahdotonta tai lain, asetuksen tai säännöksen kieltämää, Marzipan toteuttaa toimenpiteet estääkseen Asiakastietojen jatkokäsittelyn (lukuun ottamatta lain, asetuksen tai säännöksen edellyttämää jatkuvaa ylläpitoa tai käsittelyä) ja jatkaa hallussaan, huostassaan tai hallinnassaan olevien Asiakastietojen asianmukaista suojaamista. Jos Marzipan ja Asiakas ovat tehneet vakiosopimuslausekkeet lausekkeen 10 (Asiakastietojen siirrot) mukaisesti, osapuolet sopivat, että EU SCCs:n lausekkeen 8.1(d) ja UK SCCs:n mahdollisten sovellettavien ehtojen edellyttämä poistamista koskeva todistus toimitetaan Marzipanilta Asiakkaalle ainoastaan Asiakkaan kirjallisesta pyynnöstä.
    3. Jos jokin laki, asetus tai valtion tai viranomaistaho edellyttää Marzipania säilyttämään asiakirjoja, materiaaleja tai Asiakastietoja, jotka Marzipanin muutoin pitäisi palauttaa tai tuhota, Marzipan ilmoittaa tästä säilytysvaatimuksesta Asiakkaalle kirjallisesti, ilmoittaen säilytettävät asiakirjat, materiaalit tai Asiakastiedot, säilyttämisen oikeusperustan sekä selkeän aikataulun tietojen poistamiselle tai tuhoamiselle säilytysvaatimuksen päätyttyä.
    4. Marzipan vahvistaa Asiakkaalle kirjallisesti tuhoaneensa Asiakastiedot 30 päivän kuluessa poistamisen tai tuhoamisen suorittamisesta.

  14. Rekisterit

    1. Marzipan ylläpitää yksityiskohtaisia, tarkkoja ja ajantasaisia kirjallisia rekisterejä asiakastietojen käsittelystä, mukaan lukien muun muassa asiakastietojen käyttö, hallinta ja tietoturva, hyväksytyt alihankkijat, käsittelyn tarkoitukset, käsittelyluokat, asiakastietojen mahdolliset siirrot kolmansiin maihin ja niihin liittyvät suojatoimet sekä yleiskuvaus toteutetuista teknisistä ja organisatorisista turvatoimenpiteistä ("Rekisterit")
    2. Marzipan varmistaa, että rekisterit ovat riittävät, jotta asiakas voi todentaa Marzipanin noudattavan tämän sopimuksen mukaisia velvoitteitaan, ja Marzipan toimittaa asiakkaalle kopiot rekistereistä pyydettäessä.

  15. Takuut

    1. TMarzipan warrants and represents that:

      (a)sen työntekijät, alihankkijat, edustajat ja muut henkilöt, jotka käsittelevät asiakastietoja sen puolesta, ovat luotettavia ja uskottuja sekä ovat saaneet tietosuojalakien edellyttämän koulutuksen;

      (b)se itse ja kaikki sen puolesta toimivat käsittelevät asiakastietoja tietosuojalakien sekä muiden lakien, säädösten, määräysten, asetusten, standardien ja vastaavien instrumenttien mukaisesti;

      (c)sillä ei ole syytä uskoa, että tietosuojalait estävät sitä tarjoamasta mitään sopimuksessa sovittuja palveluja; ja

      (d)ottaen huomioon nykyinen teknologiaympäristö ja käyttöönottokustannukset, se toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet estääkseen asiakastietojen luvattoman tai lainvastaisen käsittelyn sekä asiakastietojen tahattoman häviämisen, tuhoutumisen tai vahingoittumisen, ja varmistaa turvallisuustason, joka on asianmukainen suhteessa:

      (i)haittaan, joka saattaa aiheutua kyseisestä luvattomasta tai lainvastaisesta käsittelystä taikka tahattomasta häviämisestä, tuhoutumisesta tai vahingoittumisesta;

      (ii)suojattavien asiakastietojen luonteeseen; ja

      (iii)kaikkien sovellettavien tietosuojalakien sekä tieto- ja tietoturvakäytäntöjensä noudattamiseen.

  16. Allekirjoittaminen ja muutokset

    1. Tämän DPA:n ehdot on sisällytetty sopimukseen viittauksen kautta ja ne muodostavat osan sopimuksesta ikään kuin ne olisi kirjattu sopimukseen kokonaisuudessaan. Allekirjoittamalla sopimuksen asiakas nimenomaisesti tunnustaa ja hyväksyy olevansa tämän DPA:n ehtojen sitoma.
    2. Marzipan voi antamalla kolmekymmentä (30) kalenteripäivää etukäteen kirjallisen ilmoituksen tehdä tähän DPA:han kohtuullisia muutoksia, jotka ovat tarpeen tietosuojalakien muutoksen tai toimivaltaisen viranomaisen päätöksen vuoksi, jotta asiakastietojen käsittely voidaan suorittaa (tai jatkaa) rikkomatta tietosuojalakeja. Jos asiakas ei hyväksy kyseisiä muutoksia, asiakas voi kyseisen kolmenkymmenen (30) kalenteripäivän ilmoitusajan kuluessa toimittaa Marzipanille kirjallisen ilmoituksen sopimuksen (tämä DPA mukaan lukien) irtisanomisesta välittömin vaikutuksin siltä osin kuin se koskee ehdotettujen muutosten (tai niiden puuttumisen) vaikutuksen alaisia palveluja. Asiakkaan on maksettava Marzipanille kaikki sopimuksen nojalla tai siihen liittyen ennen irtisanomispäivää syntyneet maksut ja muut summat, jotka ovat maksamatta irtisanomispäivänä. Asiakkaalla ei ole lisävaatimuksia (mukaan lukien palvelujen hyvityspyynnöt) tämän sopimuksen irtisanomisen johdosta tai siihen liittyen tämän kohdan 16.2 nojalla.

Älä luota vain meidän sanaasi

“Siirryimme WooCommercesta mukautettuun ratkaisuun, joka toimii Marzipanin avulla. Tilausten hallinta on helppoa ja tilausrajapinnan joustavuus on mahdollistanut vanhan viinipuun adoptiontarjouksemme kehittämisen.”

Katie Jones pitää Tuchan-haravaa kädessään
Katie Jones
Owner, Domaine Jones

“Marzipan on uskomattoman helppokäyttöinen sekä erittäin joustava ja muokattavissa oleva. Se tekee toistuvista tilauspohjaisista viinikerhoista paljon helpomman kuin mikään muu käyttämäni järjestelmä, ja selviytyy lähes kaikesta, mitä olemme sille heittäneet.”

Justin Howard-Sneyd, MW
Justin Howard-Sneyd, MW
Owner, Domaine of the Bee