Accordo sul Trattamento dei Dati Marzipan

Allegato B: Trasferimenti transfrontalieri

Questa è una traduzione fornita a solo scopo informativo. La versione inglese è il testo ufficiale e legalmente vincolante; in caso di discrepanza, la versione inglese prevale.

PARTE 1 – Trasferimenti extra-SEE

1. La sezione I.A dell'Allegato delle Clausole Contrattuali Standard sarà completata come segue:

Esportatore dei dati: Il Cliente (come indicato nel Contratto).

Dati di contatto: I dati di contatto del Cliente (come indicato nel Contratto).

Ruolo del Titolare del Trattamento (Data Exporter): Titolare del Trattamento.

Modulo Due: Il Titolare del Trattamento (Data Exporter) è un Titolare del Trattamento.

Importatore dei Dati (Data Importer): Marzipan.

Dettagli di contatto: Come indicato nel Contratto.

Ruolo dell'Importatore dei Dati (Data Importer): L'Importatore dei Dati è un Responsabile del Trattamento.

Firma e Data: Stipulando il Contratto e il DPA, l'Importatore dei Dati si considera aver sottoscritto le presenti Clausole Contrattuali Standard, qui incorporate, inclusi i relativi Allegati, a decorrere dalla Data di Efficacia del Contratto.

2. L'Allegato I.B delle Clausole Contrattuali Standard sarà completato come segue:

Le categorie di interessati sono descritte alla clausola 4.6 del DPA.

Le categorie di Dati del Cliente sono descritte alla clausola 4.5 del DPA.

Le Parti non intendono trasferire Dati di Categoria Speciale.

La frequenza del trasferimento è su base continuativa per tutta la durata del Contratto.

La natura del trattamento è descritta alla clausola 4.4 del DPA.

La finalità del trattamento è descritta alla clausola 4.3 del DPA.

Il periodo di conservazione dei Dati del Cliente corrisponde alla durata del Contratto, salvo diversa previsione nel Contratto e/o nel DPA.

In relazione ai trasferimenti verso Sub-responsabili, l'oggetto, la natura e la durata del trattamento sono stabiliti alla clausola 9 del DPA.

3. L'Allegato I.C delle Clausole Contrattuali Standard sarà completato come segue:

L'Autorità di Controllo competente ai sensi della Clausola 13 è l'autorità di vigilanza dello Stato membro indicato alla clausola 10(e) del presente DPA.

Le Marzipan Security Standards (Allegato A) costituiranno la documentazione e le informazioni richieste nell'Allegato II delle Clausole Contrattuali Standard.

4. Nella misura in cui vi sia un conflitto tra le Clausole Contrattuali Standard e qualsiasi altro termine del presente DPA o del Contratto, prevarranno le disposizioni delle Clausole Contrattuali Standard.

PARTE 2 – Trasferimenti ex-UK

  1. Le parti concordano che il DPA IDTA si applicherà a un trasferimento ex-UK e la presente Parte 2 è efficace dal 21 marzo 2022.
  2. Salvo definizione nel Contratto, i termini definiti nella Parte 2 dell'Allegato 2 avranno il significato indicato in "Parte 2: Clausole Obbligatorie" di seguito.

Parte 1: Tabelle

Tabella 1 del DPA IDTA

3. La Tabella 1 del DPA sarà completata come segue:

  • Esportatore dei dati: Il Cliente (come indicato nel Contratto).
  • Dettagli di contatto: Come indicato nel Contratto.

Firma e data: Stipulando il Contratto e il DPA, l'Esportatore dei dati è considerato come avente firmato il presente IDTA DPA ivi incorporato, a partire dalla Data di decorrenza del Contratto.

  • Importatore dei Dati (Data Importer): Marzipan.
  • Dettagli di contatto: Come indicato nel Contratto.

Firma e data: Stipulando il Contratto e il DPA, l'Importatore dei dati è considerato come avente firmato il presente IDTA DPA ivi incorporato, a partire dalla Data di decorrenza del Contratto.

Tabella 2 dell'IDTA DPA

4. La Tabella 2 del DPA sarà compilata come segue:

DPA EU SSCs The Approved EU SCCs, including the Appendix Information and with only the following modules, clauses or optional provisions of the Approved EU SCCs brought into effect for the purposes of this DPA:
Module in operation Clause 7
(Docking Clause)		 Clause 11
(Option)		 Clause 9a
(Prior Authorisation or General Authorisation)		 Clause 9a
(Time period)		 Is personal data received from the Importer combined with personal data collected by the Exporter?
1 Shall not apply Shall not apply General Authorisation As set out in clause 9.2 of the DPA (30 days). No
1 Shall not apply Shall not apply General Authorisation As set out in clause 9.2 of the DPA (30 days). No

Tabella 3 dell'IDTA DPA

5. La Tabella 3 del DPA sarà compilata come segue:

Esportatore dei dati: Il Cliente (come indicato nel Contratto).

Dati di contatto: I dati di contatto del Cliente (come indicato nel Contratto).

Ruolo del Titolare del Trattamento (Data Exporter): Titolare del Trattamento.

  1. a) Modulo Uno: L'Importatore dei dati è un Titolare del trattamento.
  2. b) Modulo Due: L'Importatore dei dati è un Titolare del trattamento.

Modulo Due: Il Titolare del Trattamento (Data Exporter) è un Titolare del Trattamento.

Firma e data: Stipulando il Contratto e il DPA, l'Esportatore dei dati è considerato come avente firmato le Clausole Contrattuali Standard UE approvate ivi incorporate, inclusi i relativi Allegati, a partire dalla Data di decorrenza del Contratto.

Importatore dei Dati (Data Importer): Marzipan.

Dettagli di contatto: Come indicato nel Contratto.

Ruolo dell'Importatore dei dati: L'Importatore dei dati è un Responsabile del trattamento.

6. L'Allegato I.B sarà compilato come segue:

Le categorie di interessati sono descritte alla clausola 4.6 del DPA.

Le categorie di Dati personali sono descritte nella clausola 4.5 del DPA.

Le Parti non intendono trasferire Dati di Categoria Speciale.

La frequenza del trasferimento è su base continuativa per tutta la durata del Contratto.

La natura del trattamento è descritta alla clausola 4.4 del DPA.

La finalità del trattamento è descritta alla clausola 4.3 del DPA.

Il periodo di conservazione dei Dati personali corrisponde alla durata del Contratto, salvo diverso accordo nel Contratto e/o nel DPA.

In relazione ai trasferimenti verso Sub-responsabili, l'oggetto, la natura e la durata del trattamento sono stabiliti alla clausola 9 del DPA.

L'Allegato III: Elenco dei Sub-responsabili non si applica in quanto Marzipan dispone di un'autorizzazione scritta generale per l'utilizzo di Sub-responsabili.

Tabella 4 dell'IDTA DPA

7. L'Importatore può porre fine al presente IDTA DPA come previsto dalla clausola 26 del presente IDTA DPA.

Parte 2: Clausole obbligatorie

8. Ciascuna Parte accetta di essere vincolata dai termini e dalle condizioni stabiliti nel presente IDTA DPA, in cambio dell'impegno dell'altra Parte a essere anch'essa vincolata dal presente IDTA DPA.

9. Sebbene l'Allegato 1A e la Clausola 7 delle Clausole Contrattuali Standard UE approvate richiedano la firma delle Parti, ai fini dell'esecuzione dei Trasferimenti limitati, le Parti possono concludere il presente IDTA DPA in qualsiasi forma che lo renda giuridicamente vincolante per le Parti e consenta agli interessati di esercitare i propri diritti come previsto dal presente DPA. La conclusione del presente IDTA DPA avrà lo stesso effetto della firma delle Clausole Contrattuali Standard UE approvate e di qualsiasi parte di esse.

Interpretazione del presente IDTA DPA

10. Laddove il presente IDTA DPA utilizzi termini definiti nelle Clausole Contrattuali Standard UE approvate, tali termini avranno lo stesso significato attribuito loro nelle Clausole Contrattuali Standard UE approvate. Inoltre, i seguenti termini hanno i seguenti significati:

DPA This International Data Transfer DPA which is made up of this IDTA DPA incorporating the DPA EU SCCs.
DPA EU SCCs The version(s) of the Approved EU SCCs which this IDTA DPA is appended to, as set out in Table 2, including the Appendix Information.
Appendix Information As set out in Table ‎3.
Appropriate Safeguards The standard of protection over the Personal Data and of Data Subjects’ rights, which is required by UK Data Protection Laws when the Customer are making a Restricted Transfer relying on standard data protection clauses under Article 46(2)(d) UK GDPR.
Approved DPA The template DPA issued by the UK ICO and laid before UK Parliament in accordance with s119A of the Data Protection Act 2018 on 2 February 2022, as it is revised under clause 25 below.
Approved EU SCCs The Standard Contractual Clauses set out in the Annex of Commission Implementing Decision (EU) 2021/914 of 4 June 2021.
ICO The UK Information Commissioner.
Restricted Transfer A transfer which is covered by Chapter V of the UK GDPR.
UK The United Kingdom of Great Britain and Northern Ireland.
UK Data Protection Laws All laws relating to data protection, the processing of personal data, privacy and/or electronic communications in force from time to time in the UK, including the UK GDPR and the Data Protection Act 2018.
UK GDPR As defined in section 3 of the Data Protection Act 2018.

11. Il presente IDTA DPA deve essere sempre interpretato in modo coerente con le Leggi UK sulla protezione dei dati e in modo tale da adempiere all'obbligo delle Parti di fornire le Garanzie adeguate.

12. Qualora le disposizioni incluse nel DPA EU SCCs modifichino le Clausole Contrattuali Standard approvate in qualsiasi modo non consentito dalle Clausole Contrattuali Standard UE approvate o dal DPA approvato, tali modifica/e non saranno incorporate nel presente IDTA DPA e al loro posto troverà applicazione la corrispondente disposizione delle Clausole Contrattuali Standard UE approvate.

13. In caso di incoerenza o conflitto tra le UK Data Protection Laws e il presente IDTA DPA, si applicano le UK Data Protection Laws.

14. Qualora il significato del presente IDTA DPA non sia chiaro o ammetta più interpretazioni, si applica il significato che più si avvicina alle UK Data Protection Laws.

15. Qualsiasi riferimento a disposizioni legislative (o a specifiche previsioni normative) si intende a tali disposizioni (o previsioni) così come modificate nel tempo. Ciò include i casi in cui tali disposizioni (o previsioni) siano state consolidate, riemanate e/o sostituite successivamente alla stipula del presente IDTA DPA.

 

Gerarchia

16. Sebbene la Clausola 5 delle Approved EU SCCs stabilisca che le Approved EU SCCs prevalgono su tutti gli accordi correlati tra le parti, le parti convengono che, per i Restricted Transfers, prevarrà la gerarchia di cui alla Sezione ‎17.

17. In caso di incoerenza o conflitto tra l'Approved DPA e le DPA EU SCCs (ove applicabili), l'Approved DPA prevale sulle DPA EU SCCs, salvo nei casi in cui (e nella misura in cui) i termini incoerenti o in conflitto delle DPA EU SCCs offrano una maggiore protezione agli interessati, nel qual caso tali termini prevarranno sull'Approved DPA.

18. Laddove il presente IDTA DPA incorpori DPA EU SCCs stipulate al fine di tutelare i trasferimenti soggetti al Regolamento generale sulla protezione dei dati (UE) 2016/679, le Parti riconoscono che nulla nel presente IDTA DPA incide su tali DPA EU SCCs.

Incorporazione e modifiche delle EU SCCs

19. Il presente IDTA DPA incorpora le DPA EU SCCs, che vengono modificate nella misura necessaria affinché:

  1. congiuntamente, disciplinino i trasferimenti di dati effettuati dall'esportatore di dati verso l'importatore di dati, nella misura in cui le UK Data Protection Laws si applicano al trattamento effettuato dall'esportatore al momento del trasferimento, e forniscano Appropriate Safeguards per tali trasferimenti;
  2. le Clausole ‎16 e ‎18 di seguito prevalgono sulla Clausola 5 (Gerarchia) delle DPA EU SCCs; e
  3. il presente IDTA DPA (incluse le DPA EU SCCs in esso incorporate) sia (1) disciplinato dalle leggi di Inghilterra e Galles e (2) qualsiasi controversia derivante dallo stesso sia risolta dai tribunali di Inghilterra e Galles, salvo che le leggi e/o i tribunali della Scozia o dell'Irlanda del Nord siano stati espressamente scelti dalle Parti.

20. Salvo che le Parti abbiano concordato modifiche alternative che soddisfino i requisiti della sopracitata clausola 19, si applicano le disposizioni della Sezione ‎22.

21. Non sono consentite modifiche alle Approved EU SCCs diverse da quelle necessarie per soddisfare i requisiti della Sezione ‎19.

22. Vengono apportate le seguenti modifiche alle DPA EU SCCs (ai fini della Sezione ‎19):

  1. congiuntamente, disciplinino i trasferimenti di dati effettuati dall'esportatore di dati verso l'importatore di dati, nella misura in cui le UK Data Protection Laws si applicano al trattamento effettuato dall'esportatore al momento del trasferimento, e forniscano Appropriate Safeguards per tali trasferimenti;
  2. Alla Clausola 2, eliminare le parole: "e, con riferimento ai trasferimenti di dati da titolari a responsabili e/o da responsabili a responsabili, clausole contrattuali standard ai sensi dell'articolo 28, paragrafo 7, del Regolamento (UE) 2016/679";
  3. La Clausola 6 (Descrizione del/dei trasferimento/i) è sostituita da: "I dettagli del/dei trasferimento/i e in particolare le categorie di dati personali trasferiti e la/le finalità per cui vengono trasferiti sono quelli specificati nell'Allegato I.B, laddove le UK Data Protection Laws si applichino al trattamento effettuato dall'esportatore di dati al momento del trasferimento.";
  4. La Clausola 8.8(i) del Modulo 2 è sostituita da: "il trasferimento ulteriore avviene verso un paese che beneficia di regolamenti sull'adeguatezza ai sensi della Sezione 17A dell'UK GDPR che disciplinano tale trasferimento ulteriore;";
  5. I riferimenti al "Regolamento (UE) 2016/679", al "Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (Regolamento generale sulla protezione dei dati)" e a "tale Regolamento" sono tutti sostituiti da "UK Data Protection Laws". I riferimenti a specifici articoli del "Regolamento (UE) 2016/679" sono sostituiti dall'articolo o dalla sezione equivalente delle UK Data Protection Laws;
  6. I riferimenti al Regolamento (UE) 2018/1725 sono eliminati;
  7. I riferimenti a "Unione europea", "Unione", "UE", "Stato membro dell'UE", "Stato membro" e "UE o Stato membro" sono tutti sostituiti con "UK";
  8. Il riferimento alla "Clausola 12(c)(i)" nella Clausola 10(b)(i) del Modulo uno è sostituito con "Clausola 11(c)(i)";
  9. La Clausola 13(a) e la Parte C dell'Allegato I non si applicano;
    10.  
  10. L'"autorità di controllo competente" e l'"autorità di controllo" sono entrambe sostituite con l'"Information Commissioner";
  11. Alla Clausola 16(e), la sottosezione (i) è sostituita da: "il Segretario di Stato adotta regolamenti ai sensi della Sezione 17A del Data Protection Act 2018 che disciplinano il trasferimento dei dati personali a cui si applicano le presenti clausole;";
  12. La clausola 17 è sostituita con: «Le presenti Clausole sono disciplinate dalla legge inglese e gallese.»;
  13. La clausola 18 è sostituita con: «Qualsiasi controversia derivante dalle presenti Clausole sarà risolta dai tribunali di Inghilterra e Galles. Un interessato può inoltre avviare procedimenti legali nei confronti del titolare del trattamento e/o dell'importatore di dati dinanzi ai tribunali di qualsiasi paese del UK. Le Parti acconsentono a sottoporsi alla giurisdizione di tali tribunali.»; e
  14. Le note a piè di pagina delle Clausole Contrattuali Standard UE approvate non formano parte dell'IDTA DPA, ad eccezione delle note 8, 9, 10 e 11.

Modifiche al presente IDTA DPA

23. Le Parti possono concordare di modificare le clausole 17 e/o 18 delle DPA EU SCCs per fare riferimento alle leggi e/o ai tribunali della Scozia o dell'Irlanda del Nord.

24. Qualora le Parti desiderino modificare il formato delle informazioni incluse nella Parte 1: Tabelle del DPA approvato, possono farlo concordando la modifica per iscritto, a condizione che la modifica non riduca le Garanzie Adeguate.

25. Di tanto in tanto, l'ICO può emettere un DPA approvato revisionato che:

  1. apporta modifiche ragionevoli e proporzionate al DPA approvato, inclusa la correzione di eventuali errori; e/o
  2. riflette le modifiche alle leggi britanniche sulla protezione dei dati;

Il DPA approvato revisionato specificherà la data di decorrenza delle modifiche e se le Parti debbano riesaminare il presente IDTA DPA, incluse le Informazioni in Appendice. Il presente IDTA DPA è automaticamente modificato come indicato nel DPA approvato revisionato a partire dalla data di decorrenza specificata.

26. Qualora l'ICO emetta un DPA approvato revisionato ai sensi della Sezione 18, se una delle Parti selezionate nella Tabella 4 «Cessazione del DPA in caso di modifica del DPA approvato» subisce, quale diretta conseguenza delle modifiche al DPA approvato, un aumento sostanziale, sproporzionato e dimostrabile di: 

  1. i costi diretti per l'adempimento dei propri obblighi ai sensi del DPA; e/o
  2. il proprio rischio ai sensi del DPA,

e in entrambi i casi abbia previamente adottato misure ragionevoli per ridurre tali costi o rischi in modo che non risultino sostanziali e sproporzionati, tale Parte potrà porre fine al presente IDTA DPA al termine di un ragionevole periodo di preavviso, fornendo comunicazione scritta per quel periodo all'altra Parte prima della data di decorrenza del DPA approvato revisionato.

27. Le Parti non necessitano del consenso di terze parti per apportare modifiche al presente IDTA DPA, ma qualsiasi modifica deve essere effettuata in conformità con i suoi termini.

Non fidarti solo della nostra parola

“Siamo passati da WooCommerce a una soluzione personalizzata basata su Marzipan. Gestire i nostri ordini è semplicissimo e la flessibilità dell'API per le sottoscrizioni ci ha permesso di migliorare la nostra offerta di adozione dei vigneti storici.”

Katie Jones con in mano un rastrello Tuchan
Katie Jones
Owner, Domaine Jones

“Marzipan è incredibilmente facile da usare, estremamente flessibile e configurabile. Rende i wine club in abbonamento ricorrente molto più semplici rispetto a qualsiasi altro sistema che abbia mai utilizzato, e riesce a gestire praticamente tutto ciò che gli abbiamo sottoposto.”

Justin Howard-Sneyd, MW
Justin Howard-Sneyd, MW
Owner, Domaine of the Bee