OSA 1 – ETA-alueen ulkopuoliset siirrot
1. Vakiosopimuslausekkeiden liite I.A täytetään seuraavasti:
Tietojen viejä: Asiakas (sopimuksessa määritellyn mukaisesti).
Yhteystiedot: Asiakkaan yhteystiedot (sopimuksessa määritellyn mukaisesti).
Tietojen viejän rooli: Rekisterinpitäjä.
Moduuli kaksi: Tietojen viejä on rekisterinpitäjä.
Tietojen tuoja: Marzipan.
Yhteystiedot: Sopimuksessa määritellyllä tavalla.
Tietojen tuojan rooli: Tietojen tuoja on henkilötietojen käsittelijä.
Allekirjoitus ja päivämäärä: Tekemällä sopimuksen ja DPA:n tietojen tuojan katsotaan allekirjoittaneen nämä vakiosopimuslausekkeet liitteineen, sellaisina kuin ne on sisällytetty tähän asiakirjaan, sopimuksen voimaantulopäivänä.
2. Vakiosopimuslausekkeiden liite I.B täytetään seuraavasti:
Rekisteröityjen kategoriat on kuvattu DPA:n lausekkeessa 4.6.
Asiakastietojen kategoriat on kuvattu DPA:n lausekkeessa 4.5.
Osapuolet eivät aio siirtää erityisiin kategorioihin kuuluvia tietoja.
Siirrot tapahtuvat jatkuvasti sopimuksen voimassaoloajan.
Käsittelyn luonne on kuvattu DPA:n lausekkeessa 4.4.
Käsittelyn tarkoitus on kuvattu DPA:n lausekkeessa 4.3.
Asiakastietoja säilytetään sopimuksen voimassaoloajan, ellei sopimuksessa ja/tai DPA:ssa ole toisin sovittu.
Alihenkilötietojen käsittelijöille tapahtuvien siirtojen osalta käsittelyn kohde, luonne ja kesto on määritelty DPA:n lausekkeessa 9.
3. Vakiosopimuslausekkeiden liite I.C täytetään seuraavasti:
Lausekkeen 13 mukainen toimivaltainen valvontaviranomainen on tämän DPA:n lausekkeessa 10(e) määritellyn jäsenvaltion valvontaviranomainen.
Marzipanin tietoturvastandardi (liite A) toimii vakiosopimuslausekkeiden liitteessä II vaadittuina asiakirjoina ja tietoina.
4. Siltä osin kuin vakiosopimuslausekkeiden ja tämän DPA:n tai sopimuksen muiden ehtojen välillä on ristiriitaa, vakiosopimuslausekkeiden määräykset ovat ensisijaisia.
OSA 2 – Siirrot UK:n ulkopuolelle
- Osapuolet sopivat, että IDTA DPA:ta sovelletaan UK:n ulkopuolelle tapahtuviin siirtoihin, ja tämä osa 2 on voimassa 21. maaliskuuta 2022 alkaen.
- Ellei sopimuksessa ole toisin määritelty, liitteen 2 osan 2 määritellyillä termeillä on alla olevassa "Osa: 2 Pakkolliset lausekkeet" -kohdassa esitetty merkitys.
Osa 1: Taulukot
IDTA DPA:n taulukko 1
3. DPA:n taulukko 1 täytetään seuraavasti:
- Tietojen viejä: Asiakas (kuten sopimuksessa on määritelty).
- Yhteystiedot: Kuten sopimuksessa on määritelty.
Allekirjoitus ja päivämäärä: Tekemällä sopimuksen ja DPA:n tietojen viejän katsotaan allekirjoittaneen tähän sisällytetyn IDTA DPA:n sopimuksen voimaantulopäivänä.
- Tietojen tuoja: Marzipan.
- Yhteystiedot: Kuten sopimuksessa on määritelty.
Allekirjoitus ja päivämäärä: Tekemällä sopimuksen ja DPA:n tietojen tuojan katsotaan allekirjoittaneen tähän sisällytetyn IDTA DPA:n sopimuksen voimaantulopäivänä.
IDTA DPA:n taulukko 2
4. DPA:n taulukko 2 täytetään seuraavasti:
| DPA EU SSCs | The Approved EU SCCs, including the Appendix Information and with only the following modules, clauses or optional provisions of the Approved EU SCCs brought into effect for the purposes of this DPA: |
| Module in operation | Clause 7 (Docking Clause) |
Clause 11 (Option) |
Clause 9a (Prior Authorisation or General Authorisation) |
Clause 9a (Time period) |
Is personal data received from the Importer combined with personal data collected by the Exporter? |
|---|---|---|---|---|---|
| 1 | Shall not apply | Shall not apply | General Authorisation | As set out in clause 9.2 of the DPA (30 days). | No |
| 1 | Shall not apply | Shall not apply | General Authorisation | As set out in clause 9.2 of the DPA (30 days). | No |
IDTA DPA:n taulukko 3
5. DPA:n taulukko 3 täytetään seuraavasti:
Tietojen viejä: Asiakas (sopimuksessa määritellyn mukaisesti).
Yhteystiedot: Asiakkaan yhteystiedot (sopimuksessa määritellyn mukaisesti).
Tietojen viejän rooli: Rekisterinpitäjä.
- a) Moduuli yksi: Tietojen tuoja on rekisterinpitäjä.
- b) Moduuli kaksi: Tietojen tuoja on rekisterinpitäjä.
Moduuli kaksi: Tietojen viejä on rekisterinpitäjä.
Allekirjoitus ja päivämäärä: Tekemällä sopimuksen ja DPA:n tietojen viejän katsotaan allekirjoittaneen tähän sisällytetyt hyväksytyt EU:n vakiolausekkeet (Approved EU SCCs) liitteineen sopimuksen voimaantulopäivänä.
Tietojen tuoja: Marzipan.
Yhteystiedot: Kuten sopimuksessa on määritelty.
Tietojen tuojan rooli: Tietojen tuoja on henkilötietojen käsittelijä.
6. Liite I.B täytetään seuraavasti:
Rekisteröityjen kategoriat on kuvattu DPA:n lausekkeessa 4.6.
Henkilötietojen kategoriat on kuvattu DPA:n kohdassa 4.5.
Osapuolet eivät aio siirtää erityisiin kategorioihin kuuluvia tietoja.
Siirrot tapahtuvat jatkuvasti sopimuksen voimassaoloajan.
Käsittelyn luonne on kuvattu DPA:n lausekkeessa 4.4.
Käsittelyn tarkoitus on kuvattu DPA:n lausekkeessa 4.3.
Henkilötietoja säilytetään sopimuksen voimassaoloajan, ellei sopimuksessa ja/tai DPA:ssa ole toisin sovittu.
Alihenkilötietojen käsittelijöille tapahtuvien siirtojen osalta käsittelyn kohde, luonne ja kesto on määritelty DPA:n lausekkeessa 9.
Liite III: Alihenkilötietojen käsittelijöiden luettelo ei sovellu, koska Marzipanilla on yleinen kirjallinen lupa käyttää alihenkilötietojen käsittelijöitä.
IDTA DPA:n taulukko 4
7. Tuoja voi päättää tämän IDTA DPA:n tämän IDTA DPA:n kohdan 26 mukaisesti.
Osa 2: Pakolliset ehdot
8. Kukin osapuoli sitoutuu noudattamaan tässä IDTA DPA:ssa asetettuja ehtoja vastineeksi siitä, että myös toinen osapuoli sitoutuu noudattamaan tätä IDTA DPA:ta.
9. Vaikka hyväksyttyjen EU:n vakiolausekkeiden liite 1A ja kohta 7 edellyttävät osapuolten allekirjoitusta rajoitettujen siirtojen toteuttamiseksi, osapuolet voivat tehdä tämän IDTA DPA:n millä tahansa tavalla, joka sitoo osapuolia oikeudellisesti ja antaa rekisteröidyille mahdollisuuden käyttää tässä DPA:ssa asetettuja oikeuksiaan. Tämän IDTA DPA:n tekemisellä on sama vaikutus kuin hyväksyttyjen EU:n vakiolausekkeiden tai niiden minkä tahansa osan allekirjoittamisella.
Tämän IDTA DPA:n tulkinta
10. Missä tässä IDTA DPA:ssa käytetään hyväksytyissä EU:n vakiolausekkeissa määriteltyjä termejä, näillä termeillä on sama merkitys kuin hyväksytyissä EU:n vakiolausekkeissa. Lisäksi seuraavilla termeillä on seuraavat merkitykset:
| DPA | This International Data Transfer DPA which is made up of this IDTA DPA incorporating the DPA EU SCCs. |
| DPA EU SCCs | The version(s) of the Approved EU SCCs which this IDTA DPA is appended to, as set out in Table 2, including the Appendix Information. |
| Appendix Information | As set out in Table 3. |
| Appropriate Safeguards | The standard of protection over the Personal Data and of Data Subjects’ rights, which is required by UK Data Protection Laws when the Customer are making a Restricted Transfer relying on standard data protection clauses under Article 46(2)(d) UK GDPR. |
| Approved DPA | The template DPA issued by the UK ICO and laid before UK Parliament in accordance with s119A of the Data Protection Act 2018 on 2 February 2022, as it is revised under clause 25 below. |
| Approved EU SCCs | The Standard Contractual Clauses set out in the Annex of Commission Implementing Decision (EU) 2021/914 of 4 June 2021. |
| ICO | The UK Information Commissioner. |
| Restricted Transfer | A transfer which is covered by Chapter V of the UK GDPR. |
| UK | The United Kingdom of Great Britain and Northern Ireland. |
| UK Data Protection Laws | All laws relating to data protection, the processing of personal data, privacy and/or electronic communications in force from time to time in the UK, including the UK GDPR and the Data Protection Act 2018. |
| UK GDPR | As defined in section 3 of the Data Protection Act 2018. |
11. Tätä IDTA DPA:ta on aina tulkittava tavalla, joka on yhdenmukainen UK:n tietosuojalakien kanssa ja siten, että se täyttää osapuolten velvollisuuden tarjota asianmukaiset suojatoimet.
12. Jos DPA:n EU:n vakiolausekkeisiin sisältyvät määräykset muuttavat hyväksyttyjä vakiolausekkeita tavalla, jota hyväksytyt EU:n vakiolausekkeet tai hyväksytty DPA eivät salli, tällaisia muutoksia ei sisällytetä tähän IDTA DPA:han, ja vastaavat hyväksyttyjen EU:n vakiolausekkeiden määräykset korvaavat ne.
13. Jos UK Data Protection Laws -lain ja tämän IDTA DPA:n välillä on ristiriita tai epäjohdonmukaisuus, UK Data Protection Laws -lakia sovelletaan.
14. Jos tämän IDTA DPA:n merkitys on epäselvä tai sillä on useampi kuin yksi merkitys, sovelletaan sitä merkitystä, joka parhaiten vastaa UK Data Protection Laws -lakia.
15. Kaikki viittaukset lainsäädäntöön (tai sen yksittäisiin säännöksiin) tarkoittavat kyseistä lainsäädäntöä (tai säännöstä) sellaisena kuin se voi muuttua ajan kuluessa. Tämä kattaa myös tilanteet, joissa kyseinen lainsäädäntö (tai säännös) on konsolidoitu, uudelleensäädetty ja/tai korvattu tämän IDTA DPA:n solmimisen jälkeen.
Hierarkia
16. Vaikka hyväksyttyjen EU SCCs -sopimuslausekkeiden kohta 5 määrää, että hyväksytyt EU SCCs -sopimuslausekkeet ovat etusijalla kaikkiin osapuolten välisiin asiaan liittyviin sopimuksiin nähden, osapuolet sopivat, että rajoitettujen siirtojen osalta sovelletaan jakson 17 mukaista hierarkiaa.
17. Jos hyväksytyn DPA:n ja DPA EU SCCs -sopimuslausekkeiden (soveltuvin osin) välillä on epäjohdonmukaisuus tai ristiriita, hyväksytty DPA syrjäyttää DPA EU SCCs -sopimuslausekkeet, paitsi silloin (ja siltä osin) kun DPA EU SCCs -sopimuslausekkeiden ristiriidassa olevat ehdot tarjoavat rekisteröidyille paremman suojan, jolloin kyseiset ehdot syrjäyttävät hyväksytyn DPA:n.
18. Jos tämä IDTA DPA sisällyttää DPA EU SCCs -sopimuslausekkeet, jotka on solmittu yleisen tietosuoja-asetuksen (EU) 2016/679 alaisten siirtojen suojaamiseksi, osapuolet myöntävät, että mikään tässä IDTA DPA:ssa ei vaikuta kyseisiin DPA EU SCCs -sopimuslausekkeisiin.
EU SCCs -sopimuslausekkeiden sisällyttäminen ja muutokset
19. Tämä IDTA DPA sisällyttää DPA EU SCCs -sopimuslausekkeet, joita on muutettu tarpeellisilta osin siten, että:
- yhdessä ne toimivat tietojen siirtojen osalta, jotka tietojen viejä tekee tietojen tuojalle, siltä osin kuin UK Data Protection Laws -lakia sovelletaan tietojen viejän käsittelytoimiin kyseistä tiedonsiirtoa tehtäessä, ja ne tarjoavat asianmukaiset suojatoimet näille siirroille;
- kohdat 16–18 syrjäyttävät DPA EU SCCs -sopimuslausekkeiden kohdan 5 (Hierarkia); ja
- tätä IDTA DPA:ta (mukaan lukien siihen sisällytetyt DPA EU SCCs -sopimuslausekkeet) (1) hallitaan Englannin ja Walesin lainsäädännön mukaisesti, ja (2) siitä johtuvat riidat ratkaistaan Englannin ja Walesin tuomioistuimissa, kummassakin tapauksessa ellei osapuolet ole nimenomaisesti valinnut Skotlannin tai Pohjois-Irlannin lainsäädäntöä ja/tai tuomioistuimia.
20. Ellei osapuolet ole sopineet vaihtoehtoisista muutoksista, jotka täyttävät edellä olevan kohdan 19 vaatimukset, sovelletaan jakson 22 määräyksiä.
21. Hyväksyttyihin EU SCCs -sopimuslausekkeisiin ei voida tehdä muutoksia muutoin kuin jakson 19 vaatimusten täyttämiseksi.
22. Seuraavat muutokset DPA EU SCCs -sopimuslausekkeisiin (jakson 19 tarkoitusta varten) tehdään:
- yhdessä ne toimivat tietojen siirtojen osalta, jotka tietojen viejä tekee tietojen tuojalle, siltä osin kuin UK Data Protection Laws -lakia sovelletaan tietojen viejän käsittelytoimiin kyseistä tiedonsiirtoa tehtäessä, ja ne tarjoavat asianmukaiset suojatoimet näille siirroille;
- Kohdasta 2 poistetaan sanat: "and, with respect to data transfers from controllers to processors and/or processors to processors, standard contractual clauses pursuant to Article 28(7) of Regulation (EU) 2016/679";
- Kohta 6 (Kuvaus siirroista) korvataan seuraavalla: "Siirtojen yksityiskohdat ja erityisesti siirrettävien henkilötietojen kategoriat sekä siirtotarkoitukset on määritelty liitteessä I.B siltä osin kuin UK Data Protection Laws -lakia sovelletaan tietojen viejän käsittelytoimiin kyseistä siirtoa tehtäessä.";
- Moduulin 2 kohta 8.8(i) korvataan seuraavalla: "jatkosiirto tehdään maahan, joka hyötyy UK GDPR:n 17A §:n nojalla annetuista riittävyyssäännöksistä, jotka kattavat jatkosiirron;";
- Viittaukset ilmauksiin "Regulation (EU) 2016/679", "Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)" ja "that Regulation" korvataan kaikki ilmauksella "UK Data Protection Laws". Viittaukset "Regulation (EU) 2016/679":n yksittäisiin artikloihin korvataan vastaavalla UK Data Protection Laws -lain artiklalla tai pykälällä;
- Viittaukset asetukseen (EU) 2018/1725 poistetaan;
- Viittaukset ilmauksiin "European Union", "Union", "EU", "EU Member State", "Member State" ja "EU or Member State" korvataan kaikki ilmauksella "UK";
- Kohdassa 10(b)(i) moduulin yksi viittaus "Clause 12(c)(i)" korvataan viittauksella "Clause 11(c)(i)";
- Kohtaa 13(a) ja liitteen I osaa C ei käytetä;
- "Toimivaltainen valvontaviranomainen" ja "valvontaviranomainen" korvataan molemmat ilmauksella "Information Commissioner";
- Kohdassa 16(e) alakohta (i) korvataan seuraavalla: "Secretary of State antaa Data Protection Act 2018:n 17A §:n nojalla asetuksia, jotka kattavat näiden lausekkeiden alaisten henkilötietojen siirron;";
- Lauseke 17 korvataan seuraavasti: "Näitä lausekkeita sääntelee Englannin ja Walesin lainsäädäntö.";
- Lauseke 18 korvataan seuraavasti: "Kaikki näistä lausekkeista johtuvat riidat ratkaistaan Englannin ja Walesin tuomioistuimissa. Rekisteröity voi myös nostaa kanteen tietojen viejää ja/tai tietojen tuojaa vastaan missä tahansa UK:n tuomioistuimessa. Osapuolet sitoutuvat kyseisten tuomioistuinten toimivaltaan."; ja
- Hyväksyttyjen EU:n vakiolausekkeiden alaviitteet eivät muodosta osaa IDTA DPA:sta, lukuun ottamatta alaviitteitä 8, 9, 10 ja 11.
Muutokset tähän IDTA DPA:han
23. Osapuolet voivat sopia DPA EU -vakiolausekkeiden lausekkeiden 17 ja/tai 18 muuttamisesta viittaamaan Skotlannin tai Pohjois-Irlannin lainsäädäntöön ja/tai tuomioistuimiin.
24. Jos osapuolet haluavat muuttaa hyväksytyn DPA:n osassa 1: Taulukot esitettyjen tietojen muotoa, he voivat tehdä niin sopimalla muutoksesta kirjallisesti, edellyttäen että muutos ei heikennä asianmukaisia suojatoimia.
25. ICO voi ajoittain julkaista tarkistetun hyväksytyn DPA:n, joka:
- tekee kohtuullisia ja oikeasuhteisia muutoksia hyväksyttyyn DPA:han, mukaan lukien DPA:n virheiden korjaaminen; ja/tai
- heijastaa muutoksia UK:n tietosuojalainsäädäntöön;
Tarkistettu hyväksytty DPA määrittää alkamispäivän, josta alkaen DPA:han tehdyt muutokset tulevat voimaan, sekä sen, onko osapuolten tarpeen tarkistaa tätä IDTA DPA:ta liitetietoineen. Tätä IDTA DPA:ta muutetaan automaattisesti tarkistetun hyväksytyn DPA:n mukaisesti siinä määritellystä alkamispäivästä lähtien.
26. Jos ICO antaa tarkistetun hyväksytyn DPA:n kohdan 18 nojalla, ja jos jokin taulukossa 4 "DPA:n päättäminen hyväksytyn DPA:n muuttuessa" valituista osapuolista kokee hyväksytyn DPA:n muutosten välittömänä seurauksena olennaisen, suhteettoman ja todennettavan kasvun:
- sen välittömissä kustannuksissa, jotka aiheutuvat DPA:n mukaisten velvoitteidensa täyttämisestä; ja/tai
- sen DPA:n mukaisessa riskissä,
ja jommankumman osapuolen tapauksessa se on ensin ryhtynyt kohtuullisiin toimenpiteisiin näiden kustannusten tai riskien vähentämiseksi niin, etteivät ne ole olennaisia ja suhteettomia, kyseinen osapuoli voi päättää tämän IDTA DPA:n kohtuullisen irtisanomisajan päättyessä toimittamalla toiselle osapuolelle kirjallisen ilmoituksen kyseisestä ajanjaksosta ennen tarkistetun hyväksytyn DPA:n alkamispäivää.
27. Osapuolet eivät tarvitse kolmannen osapuolen suostumusta tähän IDTA DPA:han tehtäviin muutoksiin, mutta kaikki muutokset on tehtävä sen ehtojen mukaisesti.
