1. RÉSZ – EGT-n kívüli adattovábbítások
1. A Standard Szerződési Feltételek I.A mellékletét az alábbiak szerint kell kitölteni:
Adatexportáló: Az Ügyfél (a Szerződésben meghatározottak szerint).
Kapcsolattartási adatok: Az Ügyfél kapcsolattartási adatai (a Szerződésben meghatározottak szerint).
Adatexportőr szerepe: Adatkezelő.
Második modul: Az adatexportőr adatkezelő.
Adatimportőr: Marzipan.
Kapcsolattartási adatok: A szerződésben meghatározottak szerint.
Adatimportőr szerepe: Az adatimportőr adatfeldolgozó.
Aláírás és dátum: A szerződés és a DPA megkötésével az adatimportőr úgy tekintendő, hogy aláírta a jelen standard szerződési feltételeket – beleértve azok mellékleteit –, amelyek a szerződés hatálybalépésének napjától részét képezik e dokumentumnak.
2. A standard szerződési feltételek I.B. mellékletét az alábbiak szerint kell kitölteni:
Az érintettek kategóriáit a DPA 4.6. pontja tartalmazza.
Az ügyfél adatainak kategóriáit a DPA 4.5. pontja tartalmazza.
A felek nem kívánnak különleges kategóriájú adatokat továbbítani.
Az adattovábbítás gyakorisága: folyamatos, a szerződés teljes időtartama alatt.
Az adatkezelés jellegét a DPA 4.4. pontja tartalmazza.
Az adatkezelés célját a DPA 4.3. pontja tartalmazza.
Az Ügyféladatok megőrzési időtartama a Szerződés fennállásának idejére szól, kivéve, ha a Szerződésben és/vagy a DPA-ban ettől eltérően állapodtak meg.
Az aladatfeldolgozóknak történő adattovábbítás tekintetében a feldolgozás tárgya, jellege és időtartama a DPA 9. záradékában kerül meghatározásra.
3. A Standard Szerződéses Feltételek I.C. mellékletét az alábbiak szerint kell kitölteni:
A 13. záradéknak megfelelő illetékes Felügyeleti Hatóság az a felügyeleti hatóság, amelynek székhelye a jelen DPA 10(e) záradékában megjelölt tagállamban található.
A Marzipan Biztonsági Szabványok (A. melléklet) a Standard Szerződéses Feltételek II. mellékletében előírt dokumentációként és részletezésként szolgálnak.
4. Amennyiben a Standard Szerződéses Feltételek és a jelen DPA vagy a Szerződés egyéb rendelkezései között bármilyen ellentmondás áll fenn, a Standard Szerződéses Feltételek rendelkezései az irányadók.
2. RÉSZ – UK-on kívüli adattovábbítások
- A felek megállapodnak abban, hogy az IDTA DPA alkalmazandó a UK-on kívüli adattovábbításokra, és e 2. Rész 2022. március 21-től hatályos.
- Hacsak nem a Szerződésben definiálva, a Melléklet 2. részében meghatározott kifejezések az alábbi "2. rész: Kötelező klauzulák" szakaszban megadott értelmet kapnak.
1. rész: Táblázatok
Az IDTA DPA 1. táblázata
3. A DPA 1. táblázatát az alábbiak szerint kell kitölteni:
- Adatexportáló: Az Ügyfél (a Szerződésben részletezettek szerint).
- Kapcsolattartási adatok: A Szerződésben részletezettek szerint.
Aláírás és dátum: A Szerződés és a DPA megkötésével az Adatexportáló aláírtnak tekintendő jelen, ide beépített IDTA DPA tekintetében, a Szerződés hatálybalépési napjától.
- Adatimportőr: Marzipan.
- Kapcsolattartási adatok: A Szerződésben részletezettek szerint.
Aláírás és dátum: A Szerződés és a DPA megkötésével az Adatimportáló aláírtnak tekintendő jelen, ide beépített IDTA DPA tekintetében, a Szerződés hatálybalépési napjától.
Az IDTA DPA 2. táblázata
4. A DPA 2. táblázata az alábbiak szerint kerül kitöltésre:
| DPA EU SSCs | The Approved EU SCCs, including the Appendix Information and with only the following modules, clauses or optional provisions of the Approved EU SCCs brought into effect for the purposes of this DPA: |
| Module in operation | Clause 7 (Docking Clause) |
Clause 11 (Option) |
Clause 9a (Prior Authorisation or General Authorisation) |
Clause 9a (Time period) |
Is personal data received from the Importer combined with personal data collected by the Exporter? |
|---|---|---|---|---|---|
| 1 | Shall not apply | Shall not apply | General Authorisation | As set out in clause 9.2 of the DPA (30 days). | No |
| 1 | Shall not apply | Shall not apply | General Authorisation | As set out in clause 9.2 of the DPA (30 days). | No |
Az IDTA DPA 3. táblázata
5. A DPA 3. táblázata az alábbiak szerint kerül kitöltésre:
Adatexportáló: Az Ügyfél (a Szerződésben meghatározottak szerint).
Kapcsolattartási adatok: Az Ügyfél kapcsolattartási adatai (a Szerződésben meghatározottak szerint).
Adatexportőr szerepe: Adatkezelő.
- a) Első modul: Az Adatimportáló adatkezelő.
- b) Második modul: Az Adatimportáló adatkezelő.
Második modul: Az adatexportőr adatkezelő.
Aláírás és dátum: A Szerződés és a DPA megkötésével az Adatexportáló aláírtnak tekintendő a jóváhagyott EU SCCs-ek tekintetében, azok mellékleteivel együtt, amelyek ide beépítésre kerülnek, a Szerződés hatálybalépési napjától.
Adatimportőr: Marzipan.
Kapcsolattartási adatok: A Szerződésben részletezettek szerint.
Adatimportáló szerepköre: Az Adatimportáló adatfeldolgozó.
6. Az I.B. melléklet az alábbiak szerint kerül kitöltésre:
Az érintettek kategóriáit a DPA 4.6. pontja tartalmazza.
A személyes adatok kategóriáit a DPA 4.5. pontja tartalmazza.
A felek nem kívánnak különleges kategóriájú adatokat továbbítani.
Az adattovábbítás gyakorisága: folyamatos, a szerződés teljes időtartama alatt.
Az adatkezelés jellegét a DPA 4.4. pontja tartalmazza.
Az adatkezelés célját a DPA 4.3. pontja tartalmazza.
A személyes adatok megőrzési időtartama a Szerződés időtartamával egyezik meg, kivéve, ha a Szerződésben és/vagy a DPA-ban ettől eltérően állapodnak meg.
Az aladatfeldolgozóknak történő adattovábbítás tekintetében a feldolgozás tárgya, jellege és időtartama a DPA 9. záradékában kerül meghatározásra.
A III. melléklet: Az adatfeldolgozók listája nem alkalmazandó, mivel a Marzipan általános írásbeli felhatalmazással rendelkezik az adatfeldolgozók igénybevételéhez.
Az IDTA DPA 4. táblázata
7. Az Importáló az IDTA DPA 26. pontjában foglaltak szerint jogosult az IDTA DPA felmondására.
2. rész: Kötelező rendelkezések
8. Mindkét fél vállalja, hogy köti magát az IDTA DPA-ban meghatározott feltételekhez, cserébe azért, hogy a másik fél szintén kötelezi magát az IDTA DPA betartására.
9. Noha a jóváhagyott EU SCCs I.A. melléklete és 7. pontja a felek általi aláírást írja elő, a korlátozott adattovábbítások lebonyolítása céljából a felek az IDTA DPA-t bármilyen olyan módon megköthetik, amely jogilag kötelező erejűvé teszi azt a felek számára, és lehetővé teszi az érintetteknek, hogy jelen DPA-ban foglalt jogaikat érvényesíthessék. Az IDTA DPA megkötése azonos hatállyal bír a jóváhagyott EU SCCs-ek és azok bármely részének aláírásával.
Az IDTA DPA értelmezése
10. Ahol jelen IDTA DPA a jóváhagyott EU SCCs-ekben meghatározott fogalmakat alkalmaz, azok ugyanolyan jelentéssel bírnak, mint a jóváhagyott EU SCCs-ekben. Emellett az alábbi fogalmak az alábbi jelentéssel bírnak:
| DPA | This International Data Transfer DPA which is made up of this IDTA DPA incorporating the DPA EU SCCs. |
| DPA EU SCCs | The version(s) of the Approved EU SCCs which this IDTA DPA is appended to, as set out in Table 2, including the Appendix Information. |
| Appendix Information | As set out in Table 3. |
| Appropriate Safeguards | The standard of protection over the Personal Data and of Data Subjects’ rights, which is required by UK Data Protection Laws when the Customer are making a Restricted Transfer relying on standard data protection clauses under Article 46(2)(d) UK GDPR. |
| Approved DPA | The template DPA issued by the UK ICO and laid before UK Parliament in accordance with s119A of the Data Protection Act 2018 on 2 February 2022, as it is revised under clause 25 below. |
| Approved EU SCCs | The Standard Contractual Clauses set out in the Annex of Commission Implementing Decision (EU) 2021/914 of 4 June 2021. |
| ICO | The UK Information Commissioner. |
| Restricted Transfer | A transfer which is covered by Chapter V of the UK GDPR. |
| UK | The United Kingdom of Great Britain and Northern Ireland. |
| UK Data Protection Laws | All laws relating to data protection, the processing of personal data, privacy and/or electronic communications in force from time to time in the UK, including the UK GDPR and the Data Protection Act 2018. |
| UK GDPR | As defined in section 3 of the Data Protection Act 2018. |
11. Az IDTA DPA-t mindig az Egyesült Királyság adatvédelmi jogszabályaival összhangban, valamint oly módon kell értelmezni, hogy az teljesítse a felek azon kötelezettségét, hogy biztosítsák a megfelelő garanciákat.
12. Ha a DPA EU SCCs-ekben foglalt rendelkezések a jóváhagyott SCCs-eket a jóváhagyott EU SCCs-ek vagy a jóváhagyott DPA által nem megengedett módon módosítják, az ilyen módosítás(ok) nem kerülnek beépítésre jelen IDTA DPA-ba, és helyükre a jóváhagyott EU SCCs megfelelő rendelkezései lépnek.
13. Ha ellentmondás vagy összeütközés áll fenn az Egyesült Királyság adatvédelmi jogszabályai és jelen IDTA DPA között, az Egyesült Királyság adatvédelmi jogszabályai az irányadók.
14. Ha jelen IDTA DPA jelentése nem egyértelmű, vagy egynél több értelmezés lehetséges, az Egyesült Királyság adatvédelmi jogszabályaival legszorosabban összhangban álló értelmezés az irányadó.
15. A jogszabályokra (vagy azok egyes rendelkezéseire) való hivatkozások az adott jogszabályt (vagy rendelkezést) annak mindenkori hatályos formájában értendők. Ez magában foglalja azt az esetet is, ha az adott jogszabályt (vagy rendelkezést) jelen IDTA DPA megkötését követően konszolidálták, újrakihirdették és/vagy felváltották.
Hierarchia
16. Bár a Jóváhagyott EU SCCs 5. cikke kimondja, hogy a Jóváhagyott EU SCCs elsőbbséget élvez a felek közötti valamennyi kapcsolódó megállapodással szemben, a felek megállapodnak abban, hogy Korlátozott Adattovábbítások esetén a 17. szakaszban meghatározott hierarchia az irányadó.
17. Ha ellentmondás vagy összeütközés áll fenn a Jóváhagyott DPA és a DPA EU SCCs között (adott esetben), a Jóváhagyott DPA felülírja a DPA EU SCCs-t, kivéve ha (és amennyiben) a DPA EU SCCs ütköző vagy ellentmondó rendelkezései az érintettek számára nagyobb védelmet biztosítanak, amely esetben azok a rendelkezések felülírják a Jóváhagyott DPA-t.
18. Amennyiben jelen IDTA DPA olyan DPA EU SCCs-t foglal magában, amelyet az Általános Adatvédelmi Rendelet (EU) 2016/679 hatálya alá tartozó adattovábbítások védelmére kötöttek, a Felek elismerik, hogy jelen IDTA DPA semmilyen módon nem érinti az említett DPA EU SCCs-t.
Az EU SCCs beépítése és módosításai
19. Jelen IDTA DPA magában foglalja a DPA EU SCCs-t, amelyet a szükséges mértékben módosítottak, hogy:
- együttesen érvényesüljenek az adatexportőr által az adatimportőrnek végzett adattovábbítások tekintetében, amennyiben az Egyesült Királyság adatvédelmi jogszabályai vonatkoznak az adatexportőr adattovábbítással összefüggő adatkezelésére, és megfelelő garanciákat nyújtsanak az említett adattovábbításokhoz;
- a 16–18. pontok alább felülírják a DPA EU SCCs 5. cikkét (Hierarchia); és
- jelen IDTA DPA (beleértve a benne foglalt DPA EU SCCs-t) (1) Anglia és Wales jogszabályai szerint értelmezendő, és (2) az ebből eredő bármely vitát Anglia és Wales bíróságai rendeznek, kivéve, ha a Felek kifejezetten Skócia vagy Észak-Írország jogszabályait és/vagy bíróságait választották.
20. Hacsak a Felek nem állapodtak meg olyan alternatív módosításokban, amelyek megfelelnek a fenti 19. pont követelményeinek, a 22. szakasz rendelkezései alkalmazandók.
21. A jóváhagyott EU SCC-ken az 1. 19. szakasz követelményeinek teljesítésén túlmenő módosítás nem végezhető.
22. A DPA EU SCC-ken az alábbi módosítások (a 19. szakasz céljaira) kerülnek végrehajtásra:
- együttesen érvényesüljenek az adatexportőr által az adatimportőrnek végzett adattovábbítások tekintetében, amennyiben az Egyesült Királyság adatvédelmi jogszabályai vonatkoznak az adatexportőr adattovábbítással összefüggő adatkezelésére, és megfelelő garanciákat nyújtsanak az említett adattovábbításokhoz;
- A 2. klauzulában töröljük a következő szavakat: "és az irányítóktól feldolgozóknak, valamint/vagy feldolgozóktól feldolgozóknak történő adatátvitelekre vonatkozóan, az (EU) 2016/679 rendelet 28. cikk (7) bekezdése szerinti standard szerződéses klauzulák";
- A 6. klauzula (Az átvitel(ek) leírása) helyébe az alábbi lép: "Az átvitel(ek) részletei, és különösen az átvitt személyes adatok kategóriái és azok átvitelének célja/céljai, az Annex I.B-ben meghatározottak, ahol az adatexportőr feldolgozásai során az UK Adatvédelmi Törvények vonatkoznak az átvitelkor.";
- A 2. modul 8.8(i) klauzulája helyébe az alábbi lép: "az előreátvitel olyan országba történik, amely az UK GDPR 17A. szakasza szerinti megfelelőségi szabályozások előnyeit élvezi, amely az előreátvitelre vonatkozik;";
- Az "(EU) 2016/679 rendelet", "az (EU) 2016/679 rendelet az Európai Parlament és a Tanács 2016. április 27-i rendelete a természetes személyek személyes adatok kezelésével kapcsolatos védelméről és az ilyen adatok szabad áramlásáról (Általános Adatvédelmi Rendelet)" és "az adott rendelet" hivatkozásai helyébe az "UK Adatvédelmi Törvények" lépnek. Az "(EU) 2016/679 rendelet" meghatározott cikkeire való hivatkozások helyébe az UK Adatvédelmi Törvények megfelelő cikke vagy szakasza lép;
- A 2018/1725/EU rendelet hivatkozásai törlésre kerültek;
- Az "Európai Unió", "Unió", "EU", "EU-tagállam", "tagállam" és "EU vagy tagállam" hivatkozásai helyébe az "Egyesült Királyság" lép;
- Az "12. klauzula (c)(i)" hivatkozása az "1. modul 10. klauzulájában (b)(i)" helyébe az "11. klauzula (c)(i)" lép;
- A 13(a) szakasz és az I. melléklet C. része nem kerül alkalmazásra;
- Az "illetékes felügyeleti hatóság" és "felügyeleti hatóság" helyébe az "Information Commissioner" lép;
- A 16. klauzulában (e), az (i) albekezdés helyébe az alábbi lép: "az államtitkár az "2018. évi Adatvédelmi Törvény 17A. szakasza szerinti szabályozásokat ad ki, amely e klauzulákra vonatkozó személyes adatok átvitelére vonatkozik;";
- A 17. klauzula helyébe az alábbi lép: "E klauzulákat Anglia és Wales törvényei irányítják.";
- A 18. klauzula helyébe az alábbi lép: "E klauzulákból eredő vitákat az Anglia és Wales bíróságainak kell rendezniük. Az adatalany az adatexportőr és/vagy az adatimportőr ellen az Egyesült Királyság bármely bíróságán is indíthat jogi eljárást. A Felek egyetértenek azzal, hogy alávetik magukat az ilyen bíróságok joghatáskörének."; és
- Az Jóváhagyott EU SCC-k lábjegyzetei nem képezik az IDTA DPA részét, kivéve a 8., 9., 10. és 11. lábjegyzeteket.
Az IDTA DPA módosításai
23. A Felek megállapodhatnak arról, hogy a DPA EU SCC-k 17. és/vagy 18. záradékát Skócia vagy Észak-Írország jogára és/vagy bíróságaira való hivatkozás céljából módosítják.
24. Ha a Felek módosítani kívánják a Jóváhagyott DPA 1. részében: Táblázatokban szereplő információk formátumát, ezt írásban kötött megállapodással megtehetik, feltéve, hogy a módosítás nem csökkenti a Megfelelő Biztosítékokat.
25. Az ICO időről időre felülvizsgált Jóváhagyott DPA-t adhat ki, amely:
- ésszerű és arányos módosításokat hajt végre a Jóváhagyott DPA-n, beleértve a Jóváhagyott DPA hibáinak kijavítását; és/vagy
- tükrözi az Egyesült Királyság adatvédelmi jogszabályainak változásait;
A felülvizsgált Jóváhagyott DPA meghatározza azt a kezdő időpontot, amelytől a Jóváhagyott DPA módosításai hatályba lépnek, valamint azt, hogy a Feleknek szükséges-e felülvizsgálniuk ezt az IDTA DPA-t, beleértve a Függelék Információkat. Ez az IDTA DPA automatikusan módosul a felülvizsgált Jóváhagyott DPA-ban meghatározottak szerint, a megjelölt kezdő időponttól.
26. Ha az ICO az "Approved DPA" felülvizsgált verzióját adja ki a 18. szakasz szerinti, és a 4. táblázatban kiválasztott valamelyik Fél "Az Approved DPA megváltozásakor a DPA befejeződése" miatt közvetlenül az Approved DPA módosításaiból adódóan szubsztanciális, aránytalanul magas és kimutatható mértékben fog növekedni:
- a DPA szerinti kötelezettségeinek teljesítésével kapcsolatos közvetlen költségei; és/vagy
- a DPA szerinti kockázatát,
és bármelyik esetben is először ésszerű lépéseket tett e költségek vagy kockázatok csökkentésére, hogy azok ne legyenek jelentősek és aránytalanok, akkor az adott Fél a felülvizsgált Jóváhagyott DPA kezdőnapja előtt, ésszerű felmondási időre szóló írásbeli értesítés megküldésével, az értesítési idő lejártával megszüntetheti ezt az IDTA DPA-t.
27. A Feleknek nincs szükségük harmadik fél hozzájárulására az IDTA DPA módosításához, azonban minden módosítást annak feltételei szerint kell elvégezni.
