Marzipan Adatfeldolgozási Megállapodás

Ez az Adatfeldolgozási Kiegészítés ("DPA") kiegészíti és hivatkozás útján beépül abba a Szerződésbe, amely Marzipan és egy Ügyfél között kizárólag a Marzipan Általános Szerződési Feltételei alapján jön létre, amikor az Ügyfél regisztrál a Szolgáltatások bármelyikére vagy hozzáférést szerez azokhoz, beleértve különösen:

1. a Marzipan által "Labls" kereskedelmi név alatt a labls.io és labls.co címen (beleértve azok albomáinját) nyújtott digitális borcímke-generálási és -tárhelyszolgáltatást, amelyet olyan bortermelők számára terveztek, akik jogszabályi kötelezettség alapján kötelesek az EU valamely hivatalos nyelvén helyes, lokalizált információkat közzétenni az EU-n belül forgalmazott borok eredetéről és összetételéről az (EU) 2021/2117 rendelet értelmében (a "Labls Szolgáltatások");
2. a Marzipan által a marzipan.co címen (beleértve annak albomáinjait) biztosított felhőalapú e-kereskedelmi és adatkezelési platformot, amely lehetővé teszi a borászatok számára, hogy e-kereskedelmi tevékenységeiket egységesítsék: a készlet-, rendelés-, teljesítés- és szállításkezelést, a fizetéseket, az elemzéseket, a marketingkampányokat és az ügyfélkommunikációt valamennyi digitális értékesítési csatornájukon keresztül egyetlen központi vezérlőpult-felületről és tartalomkezelő rendszerből (a "Platform Szolgáltatások").

Ez a DPA abban az esetben és olyan mértékben alkalmazandó, amennyiben a Marzipan Személyes Adatokat kezel egy Ügyfél nevében Adatfeldolgozóként a Szerződés keretében nyújtott Szolgáltatásokkal összefüggésben. A Marzipan által a Szolgáltatások részeként kezelt Személyes Adatok kategóriáit e DPA 4. pontja tartalmazza teljes körűen.

Mivel az (EU) 2021/2117 rendelet megtiltja a borászatoknak és az iparág egyéb szereplőinek, hogy fogyasztók Személyes Adatait a termékeikhez csatolt elektronikus borcímkéken keresztül kezeljék, a Marzipan úgy tervezte meg a labls.io és labls.co oldalain működő E-Címke tárhelyszolgáltatását és -generálóját, hogy az E-Címkék kapcsán sem az Ügyfél, sem a Marzipan ne tudjon Személyes Adatokat gyűjteni és nyomon követni. Ez a DPA ezért nem vonatkozik a Szolgáltatások ezen aspektusára.

Capitalised terms that are not defined within this DPA have the meaning given to them in the Contract. For the avoidance of doubt, all references to the "Contract" shall include this DPA (including the Annexes to this DPA and the SCCs). In the case of any conflict between the Contract and this DPA, the DPA shall prevail with respect to the processing of Personal Data.

1. Fogalommeghatározások

   Affiliate

   olyan jogalanyt jelent, amely közvetlenül vagy közvetve Irányít egy jogalanyt, azt Irányítás alatt tartja, vagy azzal közös Irányítás alatt áll.

   Üzleti célok

   a Marzipan által az Ügyfél részére nyújtandó, a Szerződésben meghatározott Szolgáltatások.

   Irányítás

   az adott jogalany fennálló összes érdekeltségének ötven százalékát (50%) vagy annál nagyobb részét képviselő tulajdonosi, szavazati vagy hasonló jellegű érdekeltséget jelent. Az "Irányított" kifejezés ennek megfelelően értelmezendő.

   Ügyfél

   a Szerződés részét képező természetes vagy jogi személy vagy szervezet.

   Ügyfélfiók

   az Ügyfél által a Szolgáltatásokban regisztrált bármely online fiók (fiókok), amely (amelyek) jogosult hozzáférést biztosít (biztosítanak) a Szolgáltatásokhoz.

   Ügyféladatok

   minden olyan Személyes Adatot jelent, amelyet a Marzipan az Ügyfél nevében, a Szolgáltatásokon keresztül kezel.

   Adatvédelmi jogszabályok

   means any applicable laws and regulations in any relevant jurisdiction relating to the use or processing of Personal Data including: (i) the California Consumer Privacy Act 2018 ("CCPA"); (ii) the General Data Protection Regulation ((EU) 2016/279) ("EU GDPR"); (iii) the Swiss Federal Act on Data Protection; (iv) the EU GDPR as it forms part of the law of England and Wales, Scotland and Northern Ireland by virtue of section 3(10) (as supplemented by section 205(4)) of the Data Protection Act 2018 ("UK GDPR"); (v) the Data Protection Act 2018 (and regulations made thereunder) ("DPA 2018"); and (vi) the Privacy and Electronic Communications Regulations 2003 (SI 2003/2426) as amended ("PECR 2003"); in each case, as updated, amended or replaced from time to time. The terms "Data Controller", "Data Processor", Data Subject", "Data Subject Request", "Personal Data", "Personal Data Breach", "Processing", "Subprocessor", and "Supervisory Authority" shall have the meanings set forth in the EU GDPR.

   E-Cédula

   a labls.io és labls.co oldalon (vagy a Marzipan nevében üzemeltetett harmadik fél weboldalán) tárolt dedikált elektronikus borecimke, amely egy Ügyfél bor- vagy aromatizált borterméke vonatkozásában egy adott EU-piacon, az EU 24 tagállami nyelvének egyikén strukturált információkat (e-címke tartalom) gyűjt össze, és megfelel az EU borjelölési rendeletekben meghatározott általános és ágazatspecifikus jelölési követelményeknek.

   EGT

   az Európai Gazdasági Térség.

   Végfelhasználók

   azon fogyasztói vagy üzleti ügyfelek, akiknek az Ügyfél a Szolgáltatásokon keresztül termékeket vagy szolgáltatásokat ajánl, forgalmaz vagy nyújt.

   EU SCCs

   az európai adatvédelmi felügyelők és az adatfeldolgozók között alkalmazandó, az Európai Bizottság által a 2021/914/EU végrehajtási határozatával (2021. június 4.) jóváhagyott általános szerződési feltételeket jelenti, amelyek jelenleg itt érhetők el.

   EU borjelölési rendeletek

   a borok és ízesített borászati termékek jelölésére vonatkozó szabályok, amelyeket az Európai Parlament és a Tanács az 1308/2013/EU rendeletet módosító (EU) 2021/2117 rendelete vezetett be, beleértve azokat a szabályokat, amelyeket az 1308/2013/EU rendeletet kiegészítő, 2018. október 17-i (EU) 2019/33 felhatalmazáson alapuló bizottsági rendelet hajt végre és léptet hatályba.

   EEA-n kívüli adattovábbítás

   az EU GDPR-nak megfelelően kezelt Ügyféladatok olyan szerverre, hálózatra, számítástechnikai rendszerre, vállalkozásra, személyre vagy helyszínre történő továbbítását jelenti, amely az EEA területén kívül található, és amelyre az Európai Bizottság az EU GDPR 45. cikke alapján nem hozott megfelelőségi határozatot.

   Egyesült Királyságon kívüli adattovábbítás

   az UK GDPR-nak és a 2018. évi adatvédelmi törvénynek (Data Protection Act 2018) megfelelően kezelt Ügyféladatok olyan szerverre, hálózatra, számítástechnikai rendszerre, vállalkozásra, személyre vagy helyszínre történő továbbítását jelenti, amely az Egyesült Királyságon kívül található, és amelyre az Egyesült Királyság illetékes államtitkára az UK GDPR és a 2018. évi adatvédelmi törvény vonatkozó rendelkezései alapján nem hozott megfelelőségi határozatot.

   Labls Services

   a Marzipan által a labls.io oldalon előfizetéses (vagy egyéb) alapon nyújtott elektronikuscímke-készítési, -kezelési és -tárolási szolgáltatások, amelyek lehetővé teszik az Ügyfelek számára, hogy bor- vagy aromatizált bortermékekhez E-Labeleket hozzanak létre, kezeljenek és tegyenek közzé.

   Marzipan adatvédelmi tájékoztató

   a Marzipan által a marzipan.co/privacy címen közzétett, időről időre módosított, helyettesített és/vagy kiegészített tisztességes adatkezelési tájékoztatót jelenti.

   Platform Services

   a Marzipan által a marzipan.co oldalon biztosított, felhőalapú e-kereskedelmi és adatkezelési platform, amely lehetővé teszi a borászatok számára, hogy e-kereskedelmi tevékenységeiket egyetlen helyen kezeljék: készlet, rendelések, teljesítés és szállítás, fizetések, elemzések, marketingkampányok és ügyfélkommunikáció adminisztrálásával valamennyi digitális értékesítési csatornájukon át, egy központi vezérlőpult-felületről és tartalomkezelő rendszerből.

   Biztonsági incidens

   a biztonság bármely jogosulatlan vagy jogellenes megsértése, amely a Marzipan által kezelt vagy egyéb módon ellenőrzött rendszereken tárolt Ügyféladatok véletlen vagy jogellenes megsemmisítéséhez, elvesztéséhez, megváltoztatásához, jogosulatlan nyilvánosságra hozatalához vagy jogosulatlan hozzáféréséhez vezet.

   Szolgáltató

   a kaliforniai 2018. évi California Consumer Privacy Act ("CCPA") szerinti jelentéssel bír.

   Szolgáltatások

   egyenként és együttesen a Labls Szolgáltatásokat és a Platform Szolgáltatásokat jelenti.

   Különleges kategóriájú adatok

   az EU GDPR és az UK GDPR 4. cikk (13), (14), (15) bekezdése, valamint 9. cikke szerinti jelentéssel bír (a vonatkozó rendelkezések szerint).

   Általános Szerződési Feltételek (SCCs)

   az EU SCCs és az UK SCCs szerinti jelentéssel bír, a vonatkozó rendelkezések szerint.

   UK Addendum

   az Information Commissioner's Office által az Egyesült Királyság 2018. évi adatvédelmi törvényének 119(A) szakasza alapján kibocsátott Nemzetközi Adattovábbítási Kiegészítőt (B1.0 verzió) jelenti, időről időre aktualizált vagy módosított formájában.

   UK SCCs

   az EU SCCs-t jelenti, az UK Addendum által felülvizsgált és módosított formában.

   Felhasználási adatok

   minden olyan adat, amely az Ügyfelek Szolgáltatásokhoz való hozzáférésével, azok használatával és konfigurálásával összefüggésben keletkezik, valamint az ebből levezetett adatok. A Használati adatok nem foglalnak magukban semmilyen Ügyféladatot vagy egyéb személyes adatot.

2. Ügyfél utasítások

   1. A Marzipan és az Ügyfél megállapodik abban, hogy ez a DPA és a Szerződés, valamint az Ügyfél által a Szolgáltatások beállításaira, funkcióira vagy lehetőségeire vonatkozóan elvégzett konfigurációk vagy az azok használatával kapcsolatos döntések (amelyeket az Ügyfél időről időre módosíthat) együttesen alkotják az Ügyfél írásos, dokumentált utasításait a Marzipan Ügyfél-adatokra vonatkozó adatkezelésével kapcsolatban (beleértve az UK SCCs alkalmazásában is) ("Dokumentált Utasítások"). A Marzipan az Ügyfél-adatokat kizárólag a Dokumentált Utasításoknak megfelelően kezeli. A Dokumentált Utasítások hatókörén kívül eső további utasítások (ha vannak) a Marzipan és az Ügyfél előzetes írásos megállapodását igénylik.
   2. A Marzipan jogosult jelen DPA-t és a Szerződést az Ügyféllel szemben fennálló felelősség nélkül felmondani, amennyiben a Marzipan megtagadja az adatvédelmi jogszabályokkal, az EU borcímkézési rendeletei vonatkozó adatvédelmi rendelkezéseivel ellentétes, vagy jelen DPA-ban, illetve a felek között fennálló egyéb írásos megállapodásban rögzítettektől eltérő utasítások teljesítését.
   3. Az Ügyfél nem bocsát (és nem tesz lehetővé harmadik félnek sem, hogy bocsásson) a Marzipan rendelkezésére különleges kategóriájú adatokat a Szerződés keretein belüli adatkezelés céljára, és a Marzipan semmilyen felelősséget nem vállal a különleges kategóriájú adatokért, legyen szó biztonsági incidensről vagy egyéb eseményről. A félreértések elkerülése végett: ez a DPA nem vonatkozik a különleges kategóriájú adatokra.

3. Adatkezelés

   1. When Marzipan processes Customer Data while providing the Services, Marzipan will:

      (a)amennyiben az UK GDPR vagy az EU GDPR alkalmazandó, az Ügyfél nevében adatfeldolgozóként kezeli az Ügyfél-adatokat (függetlenül attól, hogy az Ügyfél maga adatkezelő, vagy harmadik fél adatkezelő nevében eljáró adatfeldolgozó);

      (b)amennyiben a CCPA alkalmazandó, az Ügyfél nevében Szolgáltatóként kezeli az Ügyfél-adatokat (részletek a 3.2. pontban);

      (c)az Ügyfél-adatokat kizárólag az alábbi szervereken kezeli és tárolja:

      a.az UpCloud Oy finn korlátolt felelősségű társaság ("UpCloud") által üzemeltetett, frankfurti (Németország) DE-FRA1 adatközpontban.

      b.a Scaleway SAS francia egyszerűsített részvénytársaság ("Scaleway") által üzemeltetett, párizsi adatközpontban.

      c.a Hetzner Online GmbH német korlátolt felelősségű társaság ("Hetzner") által üzemeltetett, nürnbergi és falkensteini (Németország) adatközpontokban; valamint

      d.a BunnyWay d.o.o. szlovén korlátolt felelősségű társaság ("BunnyWay") által üzemeltetett, nürnbergi (Németország) peremszerveres helyszínen.

      (d)az Ügyfél-adatokat kizárólag olyan mértékben és módon kezeli, amennyire az az Üzleti Célok érdekében szükséges, az Ügyfél jogszerű Dokumentált Utasításaival összhangban (feltéve, hogy ezek az utasítások arányban állnak az Ügyfél által a Szerződés alapján igénybe vett Szolgáltatások funkcionalitásával);

      (e)ha a Marzipan-t jogszabály kötelezi az Ügyféladatok az Üzleti Céloktól eltérő célból történő kezelésére, a Marzipan az ilyen adatkezelés megkezdése előtt értesíti az Ügyfelet erről a kötelezettségről, kivéve, ha jogszabály tiltja a Marzipan számára az ilyen értesítés megküldését;

      (f)haladéktalanul teljesíti az Ügyfél bármely jogszerű írásos utasítását, amely előírja a Marzipan számára az Ügyféladatok módosítását, továbbítását, törlését vagy egyéb módon történő kezelését, illetve a jogosulatlan adatkezelés leállítását, enyhítését vagy orvoslását;

      (g)megőrzi az Ügyféladatok bizalmasságát, és nem hozza azokat harmadik felek tudomására, kivéve, ha az Ügyfél vagy jelen DPA kifejezetten engedélyezi a közlést, illetve ha azt belső jogszabály, bíróság vagy hatósági előírás megköveteli (ideértve az UK ICO Biztos vagy az Egyesült Királyságban és/vagy az EGT-ben illetékes bármely más hatóság utasítását is);

      (h)ésszerű keretek között, az Ügyféltől felmerülő többletköltség nélkül segíti az Ügyfelet az adatvédelmi jogszabályok szerinti megfelelési kötelezettségeinek teljesítésében, figyelembe véve a Marzipan adatkezelésének jellegét és a Marzipan rendelkezésére álló információkat – beleértve, de nem kizárólagosan, az Ügyfél számára ésszerű tájékoztatás nyújtását az Ügyfél által végzett adatvédelmi hatásvizsgálatok (DPIA) elvégzéséhez, valamint az Ügyfél érintetti kérelmekre adott válaszainak támogatását; és

      (i)haladéktalanul értesíti az Ügyfelet az adatvédelmi jogszabályok minden olyan változásáról, amely ésszerűen értelmezhető úgy, hogy hátrányosan érinti a Marzipan szerződés vagy jelen DPA szerinti kötelezettségeinek teljesítését.

   2. CCPA. The parties acknowledge and agree that Marzipan is a Service Provider in respect of the Customer Data for the purposes of the CCPA (to the extent it applies) and is receiving personal information form the Customer to provide the Services pursuant to the Contract, which constitutes a business purpose. Marzipan shall not sell any such personal information. Marzipan shall not retain, use or disclose any personal information provided by the Customer pursuant to the Contract except as necessary for the specific purpose of performing the Services for the Customer pursuant to this Contract, or otherwise as set forth in this Contract or permitted in the CCPA. The terms "personal information", "Service Provider", "sale", and "sell" shall have the meaning given in Section 1798.140 of the CPA (as amended, re-enacted or updated from time to time). Marzipan certifies that it understands the restrictions of this clause (i).
   3. Harmadik féltől származó szolgáltatások. A Szolgáltatások részeként a Marzipan lehetőséget biztosít az Ügyfél számára, hogy a Szolgáltatásokat időről időre bizonyos harmadik féltől származó szolgáltatásokkal, integrációkkal és alkalmazásokkal összekösse és/vagy együttműködtesse ("Harmadik féltől származó szolgáltatások"). Felhívjuk a figyelmet arra, hogy az Ügyfél harmadik féltől származó szolgáltatásokra vonatkozó használatát minden esetben kizárólag azon általános szerződési feltételek és az azokhoz kapcsolódó adatvédelmi szabályzatok (együttesen: "EULA") szabályozzák, amelyek alapján a Harmadik Fél Szolgáltató az érintett harmadik féltől származó szolgáltatásokat az Ügyfél számára elérhetővé teszi ("Harmadik Fél Szolgáltató"). Minden egyes EULA kizárólag az Ügyfél és a Harmadik Fél Szolgáltató között jön létre, a Marzipan nem részese az ilyen EULA-knak.
   4. Amennyiben az Ügyfél arra utasítja a Marzipant, hogy az Ügyfél Marzipan-termékeit vagy fiókjait egy vagy több Harmadik Fél Szolgáltatással integrálja, az Ügyfél elfogadja, hogy a Marzipan az Ügyfél Adatait átadja a Harmadik Fél Szolgáltatóknak, hogy azok szolgáltatásaikat az Ügyfél részére nyújthassák. Amennyiben a Harmadik Fél Szolgáltatók ezt követően az Ügyfél Adatait kezelik, erre a vonatkozó Harmadik Fél EULA-jában (végfelhasználói licencszerződés) foglalt adatvédelmi rendelkezések az irányadók, és a Marzipan az ilyen adatkezelésért nem vállal felelősséget.
   5. Third-Party Services from the following Third-Party Service Providers are currently available to be integrated and/or interfaced with Marzipan.

      Name	Description
      Fathom Analytics	This integration allows Customers who are subscribed to Fathom Analytics’ web analytics service to view their Fathom Analytics dashboard within Marzipan’s e-commerce and data management platform. All EEA and UK traffic processed via the integration is processed solely on EU servers owned and operated by the German cloud service provider etzner Online GmbH, a German legal entity.
      MailChimp	This integration allows Customers who are subscribed to MailChimp’s email marketing service to send data to MailChimp to enable the Customer to send emails to their subscribers.

   6. Felhívjuk figyelmét, hogy amennyiben a Marzipan lehetővé teszi az Ügyfél számára a Szolgáltatások integrálását olyan Harmadik Fél Szolgáltatással, amely nem szerepel a fenti táblázatban, az Ügyfélnek az ilyen Harmadik Fél Szolgáltatásra vonatkozó használatát az érintett Harmadik Fél Szolgáltató alkalmazandó EULA-ja szabályozza, a jelen Szerződés (i) pontjában foglaltakkal azonos feltételek mellett.
   7. SCC-k. Ha a Marzipan és az Ügyfél a 10. cikkely (Az Ügyfél Adatainak Továbbítása) szerint Általános Szerződési Feltételeket (Standard Contractual Clauses) kötött egymással, akkor (i) az Ügyfélnek a jelen Szerződés 3.3. pontja alapján adott, a Harmadik Fél Szolgáltatás(ok) Szolgáltatás részeként való integrálására vonatkozó utasítása az Ügyfél előzetes írásbeli hozzájárulásának minősül a Marzipan által a Harmadik Fél Szolgáltatónak történő Ügyfél Adat-továbbításhoz, amennyiben az SCC-k alapján ilyen hozzájárulás szükséges; (ii) a felek elfogadják, hogy a Harmadik Fél Szolgáltatókkal kötött szerződések azon másolatait, amelyeket a Marzipannak az EU SCC-k 9(c) szakasza vagy az UK SCC-k vonatkozó rendelkezése alapján (az alkalmazandótól függően) az Ügyfél rendelkezésére kell bocsátania, a Marzipan előzetesen megtisztíthatja a kereskedelmi jellegű vagy az Általános Szerződési Feltételekhez illetve azok megfelelőjéhez nem kapcsolódó információktól, és az ilyen szerkesztett másolatokat a Marzipan kizárólag az Ügyfél írásbeli kérésére bocsátja rendelkezésre.
   8. The Customer’s responsibilities. The Customer:

      (a)az Ügyfél Adatai tekintetében Adatkezelőnek minősül;

      (b)az Ügyfél felelős marad az alkalmazandó Adatvédelmi Jogszabályok szerinti megfelelési kötelezettségek teljesítéséért, beleértve különösen, de nem kizárólagosan a szükséges tájékoztatások megadását és a szükséges hozzájárulások megszerzését, amelyek ahhoz szükségesek, hogy a Marzipan az Ügyfél Adatait az Üzleti Célokra kezelhesse;

      (c)az Ügyfél nem adhat át (és nem idézhet elő ilyen átadást) a Marzipannak a Szerződés keretében feldolgozandó Különleges Kategóriájú Adatokat, és a Marzipan semmilyen felelősséget nem vállal a Különleges Kategóriájú Adatokért, sem Biztonsági Incidenssel összefüggésben, sem egyéb esetben. A félreértések elkerülése végett: ez a DPA nem vonatkozik a Különleges Kategóriájú Adatokra;

      (d)kijelenti és szavatolja, hogy betartotta, és folyamatosan betartja az összes alkalmazandó jogszabályt, beleértve az adatvédelmi jogszabályokat is, az Ügyféladatok feldolgozása és a Marzipan részére kiadott Dokumentált Utasítások tekintetében;

      (e)kizárólagos felelősséget visel az Ügyféladatok pontosságáért, minőségéért és jogszerűségéért, valamint az Ügyfél által az Ügyféladatok megszerzéséhez alkalmazott módszerekért. Az előbbiek általánosságát nem csorbítva, az Ügyfél vállalja, hogy felelős a Szolgáltatásokon keresztül létrehozott, küldött vagy kezelt tartalmakra vonatkozó valamennyi jogszabály (beleértve az adatvédelmi jogszabályokat) betartásáért;

      (f)gondoskodik arról, hogy a Marzipan által az Ügyfél Dokumentált Utasításainak megfelelően végzett Ügyféladat-feldolgozás ne okozza azt, hogy a Marzipan megsértsen bármely alkalmazandó törvényt, rendeletet vagy szabályt, beleértve, korlátozás nélkül, az adatvédelmi jogszabályokat. A Marzipan haladéktalanul írásban értesíti az Ügyfelet – kivéve, ha ezt az adatvédelmi jogszabályok tiltják –, amennyiben tudomására jut vagy úgy véli, hogy az Ügyfél valamely adatfeldolgozási utasítása sérti az adatvédelmi jogszabályokat; és

      (g)amennyiben harmadik fél adatkezelő (vagy a végső adatkezelő felé közbenső szereplő) nevében adatfeldolgozóként jár el, szavatolja, hogy a Szerződésben és jelen DPA-ban meghatározott Dokumentált Utasításai – beleértve az al-adatfeldolgozók jelen DPA szerinti kijelölésére vonatkozó, Marzipan részére adott felhatalmazásokat is – az érintett adatkezelő által jóváhagyásra kerültek.

4. Ügyféladat-típusok és adatkezelési célok

   1. Tárgy. A jelen DPA szerinti adatkezelés tárgya a Szolgáltatásokon keresztül feldolgozott Ügyféladat.
   2. Időtartam. Marzipan és az Ügyfél viszonyában az adatkezelés időtartamát az Ügyfél határozza meg a jelen DPA alapján. Az Ügyfél az adatkezelést felfüggesztheti vagy megszüntetheti a Platform Szolgáltatásokra és/vagy a Labls Szolgáltatásokra vonatkozó előfizetésének felfüggesztésével vagy megszüntetésével (az adott esettől függően), illetve a Marzipan által üzemeltetett integrációk (így különösen a Marzipan által az Ügyfél részére elérhetővé tett saját fejlesztésű API) felfüggesztésével, amennyiben az Ügyfél ezeket saját működése keretében igénybe veszi.
   3. Cél. A jelen DPA szerinti adatkezelés célja az Ügyfél által időről időre kezdeményezett Szolgáltatások nyújtása, beleértve szemléltetésképpen a Marzipan e-kereskedelmi és adatkezelési platformjának és/vagy elektronikus címke (e-label) generálási és tárhelyszolgáltatásának biztosítását az Ügyfél számára.
   4. Nature of the processing. Marzipan enables businesses to unify their e-commerce activities and generate E-Labels for their wine products, including by providing the "Services" as defined in clause 1 of this DPA. These Services include the processing of Customer Data by Marzipan, its Sub-processors and, as applicable, the Third-Party Service Providers. Customer Data may be uploaded to and/or processed on the Services by the Customer on the Customer Account, any API that Marzipan makes available that interface with the Services from time to time; and (iii) any Third-Party Services that share Customer Data with the Services.
   5. Types of Customer Data. Customer Data uploaded to the Services:

      (a)az Ügyfél által az Ügyfélfiókban;

      (b)a Marzipan bármely API-ján vagy webes komponensén keresztül, amelyek a Szolgáltatásokat az Ügyfél rendszereivel összekapcsolják; és

      (c)az Ügyfél által a Szolgáltatásokkal integrált bármely harmadik fél szolgáltatásán keresztül.

      A Szolgáltatásokba az Ügyfél Adatai részeként feltöltött Személyes Adatok típusai a következők lehetnek:

      • Ügyfél neve, e-mail-címe, kapcsolattartási, számlázási és szállítási adatai.
      • Vásárlási, előfizetési (pl. borklubok) és egyéb tranzakciós adatok (beleértve, de nem kizárólagosan az állapotinformációkat) az Ügyfél fizikai és digitális értékesítési csatornáiból;
      • A Végfelhasználó tevékenysége az Ügyfél digitális értékesítési csatornáin, beleértve a rendeléstörténetet, a megtekintett termékeket és a kosárba helyezett termékeket.
      • A Végfelhasználó eszközére vonatkozó adatok az Ügyfél értékesítési csatornáinak látogatásakor használt eszközök tekintetében, beleértve az IP-címet, a böngészőt és a hálózati tevékenységet.
      • Minden egyéb Személyes Adat, amelyet az Ügyfél a Marzipan rendelkezésére bocsát.
   6. Az Érintettek kategóriái. Az Érintett körébe tartozhat (i) az Ügyfél, annak munkavállalói, alvállalkozói, megbízottjai, beszállítói és szállítói, valamint (ii) az Ügyfél tényleges és potenciális Végfelhasználói.

5. Az adatkezelés biztonsága

   1. A Marzipan minden esetben megfelelő technikai és szervezési intézkedéseket vezet be az Ügyfél Adatainak jogosulatlan vagy jogellenes feldolgozása, hozzáférése, másolása, módosítása, reprodukálása, megjelenítése vagy terjesztése ellen, valamint az Ügyfél Adatainak véletlen vagy jogellenes elvesztése, megsemmisítése, megváltoztatása, nyilvánosságra hozatala vagy károsodása ellen, beleértve, de nem kizárólagosan a Marzipan biztonsági szabványaiban (A. melléklet) leírt intézkedéseket, minden esetben annak érdekében, hogy az Ügyfél Adatainak biztonsági szintje megfeleljen a kockázatnak az EU/UK GDPR 32. cikke szerinti követelményeknek.
   2. Marzipan shall implement such measures to ensure a level of security appropriate to the risk involved, including as appropriate:

      (a)az Ügyfél Adatainak álnevesítése és titkosítása;

      (b)a feldolgozási rendszerek és szolgáltatások folyamatos bizalmasságának, integritásának, rendelkezésre állásának és rezilienciájának biztosítására való képesség;

      (c)az Ügyfél Adataihoz való hozzáférés és azok rendelkezésre állásának fizikai vagy műszaki incidens esetén kellő időben történő helyreállítására való képesség; valamint

      (d)a biztonsági intézkedések hatékonyságának rendszeres tesztelésére, értékelésére és ellenőrzésére szolgáló folyamat.

6. A Marzipan alkalmazottai

   1. Marzipan will ensure its employees, contractors and agents:

      (a)tájékoztatást kapnak az Ügyfél Adatainak bizalmas jellegéről, és titoktartási kötelezettségek, valamint az Ügyfél Adataira vonatkozó használati korlátozások terhelik őket;

      (b)képzésben részesültek az Ügyfél Adatainak kezelésére vonatkozó adatvédelmi jogszabályokról és azok feladataikra való alkalmazásáról; valamint

      (c)tisztában vannak mind a Marzipan, mind saját kötelezettségeikkel és felelősségeikkel az adatvédelmi jogszabályok és a Szerződés alapján.

7. Biztonság

   1. A Marzipan minden esetben megfelelő technikai és szervezési intézkedéseket vezet be az Ügyfél Adatainak jogosulatlan vagy jogellenes feldolgozása, hozzáférése, másolása, módosítása, reprodukálása, megjelenítése vagy terjesztése ellen, valamint az Ügyfél Adatainak véletlen vagy jogellenes elvesztése, megsemmisítése, megváltoztatása, nyilvánosságra hozatala vagy károsodása ellen.
   2. Marzipan shall implement such measures to ensure a level of security appropriate to the risk involved, including for illustrative purposes and as appropriate:

      (a)az Ügyfél Adatainak álnevesítése és titkosítása;

      (b)a feldolgozási rendszerek és szolgáltatások folyamatos bizalmasságának, integritásának, rendelkezésre állásának és rezilienciájának biztosítására való képesség;

      (c)az Ügyfél Adataihoz való hozzáférés és azok rendelkezésre állásának fizikai vagy műszaki incidens esetén kellő időben történő helyreállítására való képesség; valamint

      (d)a biztonsági intézkedések hatékonyságának rendszeres tesztelésére, értékelésére és ellenőrzésére szolgáló folyamat.

8. Személyes adatokkal kapcsolatos incidens

   1. Marzipan shall within 72 hours and in any event without undue delay notify the Customer if it becomes aware of:

      (a)az Ügyfél Adatai egy részének vagy egészének elvesztése, nem szándékos megsemmisítése vagy károsodása, sérülése vagy egyéb módon történő sértése;

      (b)az Ügyfél Adatainak bármilyen véletlen, jogosulatlan vagy jogellenes kezelése; vagy

      (c)bármilyen Személyes Adatokkal kapcsolatos incidens.

   2. Where Marzipan becomes aware of any of the foregoing matters described in clauses 8.1(a), (b) and/or (c) above, it shall, without undue delay, also provide the Customer with the following:

      (a)az érintett esemény természetének leírása a 8.1(a), (b) és/vagy (c) pontok tekintetében, beleértve az érintett Ügyfél Adatok kategóriáit, valamint az érintett Érintettek és az Ügyfél Adatai rekordjainak hozzávetőleges számát; vagy

      (b)a 8.1(a), (b) és/vagy (c) pontokban rögzített eseményekkel kapcsolatban megtett vagy tervezett intézkedések leírása, beleértve a lehetséges káros hatások mérséklésére irányuló intézkedéseket.

   3. Bármilyen véletlen, jogosulatlan vagy jogellenes Ügyfél Adatkezelést vagy Személyes Adatokkal kapcsolatos incidenst követően a Marzipan haladéktalanul felveszi a kapcsolatot az Ügyféllel, hogy közösen koordinálhassuk az ügy kivizsgálását.
   4. A Marzipan az Ügyfél előzetes írásbeli hozzájárulása nélkül nem tájékoztat harmadik felet az Ügyféladatok egészének vagy egy részének véletlen, jogosulatlan vagy jogellenes kezeléséről és/vagy Személyes adatokkal kapcsolatos incidensről, kivéve, ha az ilyen közzététel szükséges az adott adatkezelés vagy Személyes adatokkal kapcsolatos incidens kezeléséhez szükséges intézkedések részeként, vagy ha az alkalmazandó jog azt megköveteli.
   5. A Marzipan fedezi a 8.1. és 8.2. pontok szerinti kötelezettségeinek teljesítésével kapcsolatos ésszerű költségeket, kivéve, ha az ügy az Ügyfél konkrét írásbeli utasításaiból, gondatlanságából, szándékos mulasztásából vagy a DPA illetve a Szerződés megszegéséből eredt, amely esetben az Ügyfél viseli az összes ésszerű költséget (beleértve a Marzipan ésszerű költségeit és szakmai tanácsadóinak költségeit is).

9. Aladatfeldolgozók

   1. Marzipan uses the following Sub-processors to host and/or process Customer Data, to provide infrastructure and network services to support Marzipan, and to perform service functions on our behalf as part of the Services:

      Name	Description
      Active Campaign LLC	Trading as "Postmark", Active Campaign delivers transactional emails (e.g. password reset emails, notification emails, receipt and invoice emails) on behalf of Marzipan as part of the Services.
      Automattic, Inc.	Trading as "Gravatar." Automattic allows Customers to upload pre-existing image and public profile data to the Platform Services.
      BunnyWay d.o.o	BunnyWay provides Marzipan with Domain Name System (DNS), Website Application Firewall (WAF) and Content Delivery Network (CDN) services.
      Fathom Analytics	Fathom Analytics provides web analytics services that enable Marzipan to track and analyse web traffic’s engagement with the Services.
      Functional Software Inc.	Trading as "Sentry", Functional Software provides Marzipan with crash and error monitoring services in respect of the Services.
      Internet Security Research Group	ISRG’s "Let’s Encrypt" service provides Marzipan with the digital certificate necessary to enable HTTPS (SLS/TLS) on its websites.
      Laravel Holdings Inc.	Laravel provides Marzipan with its: (i) "Forge" server management services in relation to the provisioning and deployment of the Services on Hetzner Online GmbH’s servers; and (ii) "Envoyer" zero downtime deployment services.
      OhMySMTP Ltd	OhMySMTP, trading as "MailPace", provides Marzipan with email services for sending transactional emails (e.g. password reset emails, notification emails, order confirmation emails) on behalf of Marzipan as part of the Services.
      PayPal UK Ltd	PayPal provides Marzipan with authorised payment gateway and payment processing services in respect of payload and payment data submitted to the Services.
      Stripe Payments UK, Ltd.	Stripe provides Marzipan with authorised payment gateway and payment processing services in respect of payload and payment data submitted to the Services.

   2. Az Ügyfél felhatalmazza a Marzipant a fenti 9.1. pontban felsorolt Aladatfeldolgozók igénybevételére a Szolgáltatások részeként, és általános felhatalmazást ad más Aladatfeldolgozók igénybevételére a Szerződés alapján az Ügyféltől gyűjtött Ügyféladatokra vonatkozó adatfeldolgozási tevékenységek végzéséhez; a Marzipan értesíti az Ügyfelet, ha Aladatfeldolgozót ad hozzá vagy távolít el, legalább 10 nappal az ilyen változtatások előtt.
   3. Where Marzipan engages a Sub-processor as described in clause 9.1:

      (a)A Marzipan az Aladatfeldolgozó adatokhoz való hozzáférését kizárólag arra korlátozza, ami ésszerűen szükséges a Szolgáltatások nyújtásához, fenntartásához vagy fejlesztéséhez; és

      (b)A Marzipan írásbeli adatfeldolgozási megállapodást köt az Aladatfeldolgozóval, és amennyiben az Aladatfeldolgozó ugyanolyan adatfeldolgozási szolgáltatásokat végez, mint amelyeket a Marzipan nyújt a jelen DPA alapján, a Marzipan ugyanolyan szerződéses kötelezettségeket ró az Aladatfeldolgozóra, mint amelyek a Marzipant e dokumentum alapján terhelik.

   4. If Marzipan and the Customer have entered into Standard Contractual Clauses as described in clause 10 (Transfers of Customer Data):

      (a)a fenti felhatalmazások az Ügyfél előzetes írásbeli hozzájárulását képezik az Ügyféladatok feldolgozásának a Marzipan általi alvállalkozásba adásához, amennyiben ilyen hozzájárulás szükséges az SCCs alapján;és

      (b)A Marzipan írásbeli adatfeldolgozási megállapodást köt az Aladatfeldolgozóval, és amennyiben az Aladatfeldolgozó ugyanolyan adatfeldolgozási szolgáltatásokat végez, mint amelyeket a Marzipan nyújt a jelen DPA alapján, a Marzipan ugyanolyan szerződéses kötelezettségeket ró az Aladatfeldolgozóra, mint amelyek a Marzipant e dokumentum alapján terhelik.

   5. If Marzipan and the Customer have entered into Standard Contractual Clauses as described in clause 10 (Transfers of Customer Data):

      (a)a fenti felhatalmazások az Ügyfél előzetes írásbeli hozzájárulását képezik az Ügyféladatok feldolgozásának a Marzipan általi alvállalkozásba adásához, amennyiben ilyen hozzájárulás szükséges az SCCs alapján; és

      (b)a Felek megállapodnak abban, hogy az Aladatfeldolgozókkal kötött megállapodások azon másolatait, amelyeket a Marzipannak az EU SCCs 9(c) cikke vagy az UK SCCs vonatkozó rendelkezése alapján kell az Ügyfél rendelkezésére bocsátania, a Marzipan előzetesen megtisztíthatja a kereskedelmi jellegű vagy a Standard Szerződéses Záradékokhoz nem kapcsolódó információktól, és az ilyen szerkesztett másolatokat a Marzipan kizárólag az Ügyfél írásbeli kérésére bocsátja rendelkezésre.

10. Ügyféladatok továbbítása

    1. A felek megállapodnak abban, hogy a Marzipan a Szerződés alapján kezelt Ügyféladatokat az EGT-n, az UK-n vagy Svájcon kívülre is továbbíthatja a Szolgáltatások nyújtásához szükséges mértékben. Az Ügyfél tudomásul veszi, hogy számos Harmadik Fél Szolgáltató és Aladatfeldolgozó adatfeldolgozási műveletei az Egyesült Államokban zajlanak, és az Ügyféladatok továbbítása szükséges a Szolgáltatások Ügyfél részére történő nyújtásához. Ha a Marzipan a jelen Szerződés hatálya alá tartozó Ügyféladatokat olyan joghatóságba továbbítja, amelyre vonatkozóan az Európai Bizottság vagy az UK Secretary of State (adott esetben) nem adott ki megfelelőségi határozatot, a Marzipan gondoskodik arról, hogy az Ügyféladatok továbbítására az Adatvédelmi Jogszabályoknak megfelelő megfelelő biztosítékok legyenek érvényben.
    2. Ex-EEA Transfers. The parties agree that ex-EEA Transfers are made pursuant to Module Two (Controller to Processor) of the EU SCCs which is deemed entered (and incorporated into this DPA) and which shall apply as follows (unless stated otherwise, references to clause numbers are references to clause numbers of Module Two of the EU SCCs):

       (a)A 7. cikkben szereplő opcionális csatlakozási záradék nem alkalmazandó;

       (b)A 9. cikkben a 2. lehetőség (általános írásbeli felhatalmazás) alkalmazandó, és az Aladatfeldolgozó változásáról szóló előzetes értesítés minimális időtartama a jelen DPA 9.2. pontjában meghatározottak szerint alakul;

       (c)A 11. záradékban a választható szöveg nem alkalmazandó;

       (d)A 12. záradékban szereplő összes szögletes zárójel ezennel eltávolításra kerül;

       (e)A 17. záradékban (10. lehetőség, az EU SCCs-t az ír jog szabályozza);

       (f)A 18(b). záradékban a vitákat Írország bíróságai előtt kell rendezni;

       (g)A jelen DPA-hoz csatolt B melléklet ("Határon átnyúló adattovábbítások") 1. része tartalmazza az EU SCCs I. mellékletében előírt információkat;

       (h)A jelen DPA-hoz csatolt B melléklet ("Határon átnyúló adattovábbítások") 1. része tartalmazza az EU SCCs II. mellékletében előírt információkat;

       (i)A jelen DPA megkötésével a felek úgy tekintendők, mint akik aláírták az itt beépített EU SCC-ket (standard szerződési feltételek), azok mellékleteivel együtt.

    3. Ex-UK Transfers

       (a)A felek megállapodnak abban, hogy az IDTA DPA alkalmazandó az Egyesült Királyságon kívüli adattovábbításra (ex-UK Transfer). A B. melléklet ("Határon átnyúló adattovábbítás") 2. része tartalmazza az IDTA DPA által előírt információkat.

    4. Transfers from Switzerland. The parties agree that transfers from Switzerland are made pursuant to the EU SCCs with the following modifications:

       (a)The terms "General Data Protection Regulation" or "Regulation (EU) 2016/679" as utilised in the EU SCCs shall be interpreted to include the Federal Act on Data Protection of 19 June 2022 (the "FADP"), and as revised as of 25 September 2020, the "Revised FADP") with respect to data transfers subject to FADP.

       (b)Az EU SCCs feltételeit úgy kell értelmezni, hogy a jogi személyek adatait a módosított FADP hatályba lépéséig védjék.

       (c)Az EU SCCs 13. záradékát akként kell módosítani, hogy a Svájci Szövetségi Adatvédelmi és Tájékoztatási Biztos ("FDPIC") rendelkezzen hatáskörrel a FADP hatálya alá tartozó adattovábbítások felett, az illetékes EU Felügyeleti Hatóság pedig az EU GDPR hatálya alá tartozó adattovábbítások felett. A fentiek sérelme nélkül az EU SCCs 13. záradékának valamennyi egyéb követelményét be kell tartani.

       (d)The term "EU Member State" as utilised in the EU SCCs shall not be interpreted in such a way to exclude the Data Subjects in Switzerland from exercising their rights in their place of habitual residence in accordance with Clause 18(c) of the EU SCCs.

    5. Supplementary Measures. In respect of any ex-EEA Transfer or ex-UK Transfer, the following supplementary measures shall apply:

       (a)A jelen DPA hatálybalépésének időpontjáig az Adatimportőr nem kapott semmilyen hivatalos jogi megkeresést egyetlen kormányzati hírszerzési vagy biztonsági szolgálattól/ügynökségtől sem abban az országban, ahová az Ügyféladatokat exportálják, az Ügyféladatokhoz való hozzáférés (vagy azok másolatának) céljából ("Kormányzati Hatósági Megkeresések");

       (b)Ha a jelen DPA hatálybalépésének időpontját követően az Adatimportőr bármilyen Kormányzati Hatósági Megkeresést kap, a Marzipan megkísérli a bűnüldöző vagy kormányzati hatóságot arra irányítani, hogy az adatokat közvetlenül az Ügyféltől kérje. Ennek érdekében az Ügyfél hozzájárul ahhoz, hogy a kormányzati hatóság számára megadjuk az Ügyfél alapvető elérhetőségi adatait. Ha a Marzipan köteles az Ügyféladatokat egy bűnüldöző vagy kormányzati hatóságnak kiadni, ésszerű előzetes értesítést ad az Ügyfélnek az igényről, és együttműködik annak érdekében, hogy az Ügyfél védelmi végzést vagy egyéb megfelelő jogorvoslatot kérhessen, kivéve, ha ezt a Marzipan jogszabály tiltja. A Marzipan önkéntesen nem adja ki az Ügyféladatokat semmilyen bűnüldöző vagy kormányzati hatóságnak. A Marzipan (ésszerűen haladéktalanul) megvitatja és meghatározza, hogy a jelen DPA alapján történő Ügyféladat-továbbítások mindegyikét vagy egy részét fel kell-e függeszteni az ilyen Kormányzati Hatósági Megkeresések fényében;

       (c)Marzipan and the Data Exporter will meet regularly to consider whether:

       a.Az Adatimportőr országának jogszabályai által az Ügyféladatok részeként továbbított Személyes Adatok érintettjeinek nyújtott védelem elegendő ahhoz, hogy az EEA-ban vagy az UK-ban biztosított védelemmel lényegében egyenértékű védelmet nyújtson, az adott esettől függően;

       b.Az adatvédelmi jogszabályoknak való megfelelés érdekében ésszerűen szükséges további intézkedések meghozatala;

       c.Az összes rendelkezésre álló releváns információt és a Felügyeleti Hatóságok iránymutatásait figyelembe véve továbbra is indokolt az Ügyféladatok érintett Adatimportőrhöz való továbbítása.

       (d)Ha az Adatvédelmi Jogszabályok előírják, hogy a Marzipan az Ügyféladatok egy adott Adatimportőrhöz történő továbbítására alkalmazandó Általános Szerződési Feltételeket külön Szerződésként hajtsa végre, az Adatimportőr a Marzipan kérésére haladéktalanul aláírja az ilyen Általános Szerződési Feltételeket, beleértve a Marzipan által ésszerűen előírt módosításokat az alkalmazandó mellékletek, a továbbítás részletei és az Adatvédelmi Jogszabályok követelményeinek tükrözése érdekében; és

       (e)Ha (i) a jelen DPA-ban meghatározott, az EEA-n, az UK-n vagy Svájcon kívülre irányuló továbbítások jogszerűsítésének valamely eszköze érvényét veszti; vagy (ii) valamely Felügyeleti Hatóság előírja, hogy az ezen eszközök alapján történő Ügyféladat-továbbításokat fel kell függeszteni, az Adatimportőr a Marzipanhoz intézett értesítéssel, az értesítésben megjelölt hatállyal módosíthatja vagy alternatív intézkedéseket vezethet be az ilyen továbbításokra vonatkozóan, az Adatvédelmi Jogszabályok által előírtaknak megfelelően.

    6. Aladatfeldolgozók. Amennyiben az Ügyfél hozzájárul ahhoz, hogy a 9. záradék rendelkezéseivel összhangban az EEA-n kívül székhellyel rendelkező Aladatfeldolgozót bízzunk meg, vagy amennyiben az Ügyfél a 3. záradékkal összhangban az EEA-n kívüli Harmadik Fél Szolgáltatójától származó Harmadik Fél Szolgáltatás integrálása mellett dönt, az Ügyfél felhatalmaz minket arra, hogy az adott féllel SSC-ket kössünk, beleértve az Ügyfél nevében és az Ügyfél megbízásából is.

11. Panaszok, érintetti kérelmek és harmadik felek jogai

    1. Marzipan will take such reasonable technical and organisational measures as appropriate, and promptly provide such information to the Customer as the Customer may require, to enable the Customer to comply with:

       (a)the rights of Data Subjects under the Data Protection Laws, including subject access rights, the rights to rectify, port and erase Customer Data, object to the processing and automated processing of Customer Data, and restrict the processing of Customer Data; and/p>

       (b)az UK ICO (vagy az EEA bármely más illetékes felügyeleti hatósága) által az Ügyfélnek az Adatvédelmi Jogszabályok alapján kézbesített tájékoztatási vagy értékelési értesítések.

    2. A Marzipan haladéktalanul írásban értesíti az Ügyfelet, ha olyan panaszt, értesítést vagy tájékoztatást kap, amely közvetlenül vagy közvetve az Ügyféladatok feldolgozásával, illetve a Marzipan vagy az Ügyfél Adatvédelmi Jogszabályoknak való megfelelésével kapcsolatos.
    3. A Marzipan 14 napon belül értesíti az Ügyfelet, ha egy érintettől kérelem érkezik az Ügyféladataihoz való hozzáférés vagy az Adatvédelmi Jogszabályok szerinti egyéb jogainak gyakorlása iránt.
    4. A Marzipan segítséget nyújt az Ügyfélnek bármely panasz, értesítés, tájékoztatás vagy érintetti kérelem megválaszolásában.
    5. A Marzipan az Ügyféladatokat nem adja ki egyetlen érintettnek vagy harmadik félnek sem, kivéve az Ügyfél írásos utasításainak megfelelően, vagy a hazai jog által előírt esetekben.

12. Időtartam és megszűnés

    1. This DPA will remain in full force and effect so long as:

       (a)a Szerződés hatályban marad; vagy

       (b)a Marzipan a Szerződéssel kapcsolatos bármely Ügyféladatot birtokában vagy ellenőrzése alatt tart (az "Időtartam").

    2. A jelen DPA minden olyan rendelkezése, amely kifejezetten vagy hallgatólagosan a Szerződés megszűnésekor vagy azt követően lép hatályba, illetve marad hatályban az Ügyféladatok védelme érdekében, teljes mértékben hatályban marad.
    3. A Marzipan jelen DPA feltételeinek megsértése a Szerződés lényeges megszegésének minősül. Ilyen esetben az Ügyfél a Marzipanhoz intézett írásos értesítéssel azonnali hatállyal megszüntetheti a Szerződést, további felelősség vagy kötelezettség vállalása nélkül.
    4. Ha valamely Adatvédelmi Jogszabály változása megakadályozza bármelyik felet abban, hogy szerződéses kötelezettségeinek egészét vagy egy részét teljesítse, a felek megállapodhatnak az Ügyféladatok feldolgozásának felfüggesztéséről mindaddig, amíg a feldolgozás meg nem felel az új követelményeknek. Ha a felek 90 napon belül nem tudják az Ügyféladatok feldolgozását az Adatvédelmi Jogszabályoknak megfelelővé tenni, bármelyik fél azonnali hatállyal, a másik félhez intézett írásos értesítéssel megszüntetheti a Szerződést.

13. Adatok visszaszolgáltatása és megsemmisítése

    1. Az Ügyfél kérésére a Marzipan az Ügyfélnek vagy az Ügyfél által írásban kijelölt harmadik félnek másolatot ad vagy hozzáférést biztosít a birtokában vagy ellenőrzése alatt lévő Ügyféladatok egészéhez vagy egy részéhez, az Ügyfél által ésszerűen meghatározott formátumban és adathordozón.
    2. A Szerződés bármely okból történő megszűnésekor vagy lejártakor, illetve a Szolgáltatások teljesítésekor a Marzipan visszaszolgáltatja vagy törli az Ügyféladatokat, kivéve, ha az Ügyféladatok további tárolását az alkalmazandó jog előírja vagy engedélyezi. Ha a visszaszolgáltatás vagy megsemmisítés kivitelezhetetlen, illetve jogszabály, szabály vagy rendelet tiltja, a Marzipan intézkedéseket tesz az ilyen Ügyféladatok további feldolgozásának megakadályozása érdekében (kivéve a jogszabály, szabály vagy rendelet által előírt folyamatos tároláshoz vagy feldolgozáshoz szükséges mértékben), és megfelelően védi a birtokában, felügyelete vagy ellenőrzése alatt maradó Ügyféladatokat. Ha a Marzipan és az Ügyfél a 10. záradékban (Ügyféladatok továbbítása) leírt módon Általános Szerződési Feltételeket kötöttek, a felek megállapodnak abban, hogy az EU SCCs 8.1(d) záradéka és az UK SCCs alkalmazandó rendelkezései (adott esetben) szerinti törlési igazolást a Marzipan az Ügyfélnek kizárólag az Ügyfél írásos kérésére adja meg.
    3. Ha valamely jogszabály, rendelet vagy kormányzati illetve szabályozó hatóság előírja, hogy a Marzipannak meg kell őriznie azokat a dokumentumokat, anyagokat vagy Ügyféladatokat, amelyeket egyébként vissza kellene szolgáltatnia vagy meg kellene semmisítenie, a Marzipan írásban értesíti az Ügyfelet az őrzési kötelezettségről, megjelölve a megőrzendő dokumentumokat, anyagokat vagy Ügyféladatokat, az őrzés jogalapját, valamint meghatározva az őrzési kötelezettség megszűnését követő törlés vagy megsemmisítés konkrét ütemtervét.
    4. A Marzipan írásban igazolja az Ügyfélnek, hogy a törlést vagy megsemmisítést követő 30 napon belül megsemmisítette az Ügyféladatokat.

14. Nyilvántartások

    1. A Marzipan részletes, pontos és naprakész írásos nyilvántartást vezet az Ügyféladatok bármely kezelésével kapcsolatban, beleértve, de nem kizárólagosan az Ügyféladatokhoz való hozzáférést, azok ellenőrzését és biztonságát, a jóváhagyott alvállalkozókat, az adatkezelés céljait, az adatkezelés kategóriáit, az Ügyféladatok harmadik országba történő esetleges továbbítását és a kapcsolódó biztosítékokat, valamint az alkalmazott technikai és szervezési biztonsági intézkedések általános leírását (a "Nyilvántartások")
    2. A Marzipan gondoskodik arról, hogy a Nyilvántartások elegendők legyenek ahhoz, hogy az Ügyfél ellenőrizhesse a Marzipan jelen Szerződés szerinti kötelezettségeinek teljesítését, és a Marzipan kérésre az Ügyfél rendelkezésére bocsátja a Nyilvántartások másolatát.

15. Szavatosságok

    1. TMarzipan warrants and represents that:

       (a)alkalmazottai, alvállalkozói, megbízottjai és minden más olyan személy, aki nevében hozzáfér az Ügyféladatokhoz, megbízható és szavahihető, és megkapta az adatvédelmi jogszabályok által előírt képzést;

       (b)ő maga és a nevében eljáró bármely személy az Ügyféladatokat az adatvédelmi jogszabályokkal, egyéb jogszabályokkal, rendeletekkel, határozatokkal, szabványokkal és hasonló előírásokkal összhangban kezeli;

       (c)nincs tudomása arról, hogy az adatvédelmi jogszabályok megakadályoznák a Szerződésben vállalt bármely szolgáltatás nyújtásában; és

       (d)a jelenlegi technológiai környezetre és megvalósítási költségekre tekintettel megfelelő technikai és szervezési intézkedéseket tesz az Ügyféladatok jogosulatlan vagy jogellenes kezelésének, valamint az Ügyféladatok véletlen elvesztésének, megsemmisülésének vagy sérülésének megakadályozása érdekében, és gondoskodik a következőkhöz megfelelő szintű biztonságról:

       (i)az ilyen jogosulatlan vagy jogellenes adatkezelésből, illetve véletlen elvesztésből, megsemmisülésből vagy sérülésből eredő kárból;

       (ii)a védendő Ügyféladatok jellegéből; és

       (iii)az összes alkalmazandó adatvédelmi jogszabály, valamint saját információbiztonsági szabályzatai betartásából.

16. Aláírás és módosítások

    1. A jelen DPA feltételei hivatkozás útján beépülnek a Szerződésbe, és annak részét képezik, mintha teljes terjedelmükben abban szerepelnének. A Szerződés aláírásával az Ügyfél kifejezetten elismeri és elfogadja, hogy a jelen DPA feltételei rá nézve kötelezőek.
    2. A Marzipan harminc (30) naptári napos előzetes írásos értesítés mellett ésszerű módosításokat eszközölhet a jelen DPA-n, amennyiben azt az adatvédelmi jogszabályok változása vagy az illetékes hatóság döntése szükségessé teszi, hogy az Ügyféladatok kezelése (vagy annak folytatása) az adatvédelmi jogszabályok megsértése nélkül biztosított legyen. Ha az Ügyfél nem ért egyet az ilyen módosításokkal, a harminc (30) naptári napos értesítési időszakon belül írásos értesítést küldhet a Marzipannak a Szerződés (beleértve a jelen DPA-t) azonnali hatályú felmondásáról, a javasolt módosítások által érintett Szolgáltatások vonatkozásában. Az Ügyfél köteles megfizetni a Marzipannak a Szerződés alapján vagy azzal összefüggésben a felmondás napjáig keletkezett és a felmondás napján még fennálló valamennyi díjat és egyéb összeget. Az Ügyfélnek a jelen 16.2. pont szerinti felmondással összefüggésben semmilyen további igénye (beleértve a Szolgáltatások visszatérítése iránti kérelmet) nem keletkezik.