Marzipan Verwerkersovereenkomst

Dit is een vertaling die uitsluitend ter informatie is verstrekt. De Engelse versie is de gezaghebbende en juridisch bindende tekst; bij enige tegenstrijdigheid prevaleert de Engelse versie.

Dit Addendum Gegevensverwerking ("DPA") vormt een aanvulling op de Overeenkomst die tot stand komt tussen Marzipan en een Klant uitsluitend op basis van de Marzipan Servicevoorwaarden wanneer een Klant zich registreert voor of toegang verkrijgt tot een van de Services, en is daarin opgenomen door middel van verwijzing, met inbegrip van, maar niet beperkt tot:

  1. de dienst voor het genereren en hosten van digitale wijnlabels die door Marzipan h.o.d.n. "Labls" wordt aangeboden via labls.io en labls.co (inclusief eventuele subdomeinen daarvan), en die is ontworpen voor wijnproducenten die wettelijk verplicht zijn om in een officiële taal van de EU correcte, gelokaliseerde informatie te publiceren over de oorsprong en de inhoud van wijnen die binnen de EU worden gedistribueerd op grond van Verordening (EU) 2021/2117 (de "Labls Services");
  2. het cloudgebaseerde e-commerce- en gegevensbeheerplatform dat door Marzipan wordt aangeboden via marzipan.co (inclusief eventuele subdomeinen daarvan) en dat wijnhuizen in staat stelt hun e-commerceactiviteiten te centraliseren door vanuit één centraal dashboard-interface en contentmanagementsysteem voorraad, bestellingen, fulfilment & verzending, betalingen, analyses, marketingcampagnes en klantcommunicatie over al hun digitale verkoopkanalen te beheren (de "Platform Services").

Dit DPA is van toepassing voor zover Marzipan in verband met de levering van de Services uit hoofde van de Overeenkomst Persoonsgegevens verwerkt namens een Klant als Gegevensverwerker. De categorieën Persoonsgegevens die door Marzipan worden verwerkt als onderdeel van de Services zijn volledig beschreven in clausule 4 van dit DPA.

Aangezien Verordening (EU) 2021/2117 wijnhuizen en andere actoren in de sector verbiedt om Persoonsgegevens van consumenten te verwerken via elektronische wijnlabels die zij op hun producten aanbrengen, heeft Marzipan zijn dienst voor het genereren en hosten van e-labels op labls.io en labls.co zo ingericht dat er door een Klant of Marzipan geen Persoonsgegevens kunnen worden verzameld en gevolgd in verband met een e-label. Dit DPA is derhalve niet van toepassing op dit aspect van de Services.

Termen met een hoofdletter die niet in dit DPA zijn gedefinieerd, hebben de betekenis die daaraan in de Overeenkomst is toegekend. Ter verduidelijking: alle verwijzingen naar de "Overeenkomst" omvatten tevens dit DPA (inclusief de Bijlagen bij dit DPA en de SCCs). In geval van tegenstrijdigheid tussen de Overeenkomst en dit DPA prevaleert het DPA met betrekking tot de verwerking van Persoonsgegevens.

  1. Definities

    Gelieerde onderneming
    betekent een entiteit die direct of indirect Zeggenschap uitoefent over, onder Zeggenschap staat van, of samen met een entiteit onder gemeenschappelijke Zeggenschap staat.
    Zakelijke doeleinden
    de Services die door Marzipan aan de Klant worden geleverd zoals omschreven in de Overeenkomst.
    Zeggenschap
    betekent een eigendoms-, stemrechts- of soortgelijk belang dat vijftig procent (50%) of meer vertegenwoordigt van de dan uitstaande totale belangen in de betreffende entiteit. De term "Gecontroleerd" dient dienovereenkomstig te worden uitgelegd.
    Klant
    de natuurlijke persoon, rechtspersoon of entiteit die partij is bij de Overeenkomst.
    Klantaccount
    een of meer online account(s) die door de Klant zijn geregistreerd bij de Services en die geautoriseerde toegang tot de Services verlenen.
    Klantgegevens
    betekent alle Persoonsgegevens die Marzipan namens de Klant verwerkt via de Diensten.
    Gegevensbeschermingswetten
    betekent alle toepasselijke wet- en regelgeving in enige relevante jurisdictie met betrekking tot het gebruik of de verwerking van Persoonsgegevens, waaronder: (i) de California Consumer Privacy Act 2018 ("CCPA"); (ii) de Algemene Verordening Gegevensbescherming ((EU) 2016/279) ("EU AVG"); (iii) de Zwitserse federale wet inzake gegevensbescherming; (iv) de EU AVG zoals deze deel uitmaakt van het recht van Engeland en Wales, Schotland en Noord-Ierland op grond van artikel 3(10) (aangevuld door artikel 205(4)) van de Data Protection Act 2018 ("UK GDPR"); (v) de Data Protection Act 2018 (en de daaronder vastgestelde regelingen) ("DPA 2018"); en (vi) de Privacy and Electronic Communications Regulations 2003 (SI 2003/2426), zoals gewijzigd ("PECR 2003"); in elk geval zoals van tijd tot tijd bijgewerkt, gewijzigd of vervangen. De begrippen "Verwerkingsverantwoordelijke", "Verwerker", "Betrokkene", "Verzoek van de betrokkene", "Persoonsgegevens", "Inbreuk in verband met persoonsgegevens", "Verwerking", "Subverwerker" en "Toezichthoudende autoriteit" hebben de betekenis zoals omschreven in de EU AVG.
    E-Label
    een exclusief elektronisch wijnetiket gehost op labls.io en labls.co (of een website van een derde partij namens Marzipan) dat gestructureerde informatie (e-label Content) over het wijn- of gearomatiseerde wijnproduct van een Klant voor een specifieke EU-markt in een van de 24 officiële EU-talen samenbrengt, en dat voldoet aan de algemene en sectorspecifieke etiketteringsvereisten zoals vastgelegd in de EU-wijnmarkeringswetgeving.
    EER
    de Europese Economische Ruimte.
    Eindklanten
    de consumenten of zakelijke klanten aan wie de Klant via de Diensten producten of diensten aanbiedt, op de markt brengt of levert.
    EU SCCs
    betekent de standaardcontractbepalingen tussen Verwerkingsverantwoordelijken en Verwerkers die door de Europese Commissie zijn goedgekeurd in haar Uitvoeringsbesluit (EU) 2021/914 van 4 juni 2021, zoals momenteel beschikbaar op de aangegeven locatie.
    EU-wijneti­ket­te­rings­verordeningen
    de regels voor de etikettering van wijnen en gearomatiseerde wijnproducten ingevoerd bij Verordening (EU) 2021/2117 van het Europees Parlement en de Raad tot wijziging van Verordening (EU) nr. 1308/2013, inclusief zoals deze regels zijn geïmplementeerd en van kracht worden op grond van Gedelegeerde Verordening (EU) 2019/33 van de Commissie van 17 oktober 2018 tot aanvulling van Verordening (EU) nr. 1308/2013/
    Ex-EER-overdracht
    betekent de doorgifte van Klantgegevens die worden verwerkt in overeenstemming met de EU AVG, naar een server, netwerk, computersysteem, onderneming, persoon of locatie buiten de EER, waarbij een dergelijke doorgifte niet wordt beheerst door een adequaatheidsbesluit van de Europese Commissie overeenkomstig artikel 45 EU AVG.
    Ex-UK-overdracht
    betekent de doorgifte van Klantgegevens die worden verwerkt in overeenstemming met de UK GDPR en de Data Protection Act 2018, naar een server, netwerk, computersysteem, onderneming, persoon of locatie buiten het UK, waarbij een dergelijke doorgifte niet wordt beheerst door een adequaatheidsbesluit van de UK Secretary of State overeenkomstig de relevante bepalingen van de UK GDPR en de Data Protection Act 2018.
    Labls Services
    de diensten voor het aanmaken, beheren en hosten van e-labels die door Marzipan worden geleverd via labls.io op abonnementsbasis (of anderszins), waarmee Klanten E-Labels voor hun wijn- of gearomatiseerde wijnproducten kunnen genereren, beheren en publiceren.
    Marzipan Privacybeleid
    betekent de kennisgeving van eerlijke verwerking die door Marzipan beschikbaar wordt gesteld op marzipan.co/privacy, zoals van tijd tot tijd gewijzigd, vervangen en/of aangevuld.
    Platform Services
    het cloudgebaseerde e-commerce- en gegevensbeheerplatform dat door Marzipan wordt geleverd via marzipan.co en wijnmakerijen in staat stelt hun e-commerceactiviteiten te centraliseren door het beheren van voorraad, bestellingen, fulfilment & verzending, betalingen, analyses, marketingcampagnes en klantcommunicatie via al hun digitale verkoopkanalen vanuit één centraal dashboard en contentmanagementsysteem.
    Beveiligingsincident
    elke onbevoegde of onrechtmatige inbreuk op de beveiliging die leidt tot de onopzettelijke of onrechtmatige vernietiging, het verlies of de wijziging van, of onbevoegde openbaarmaking van of toegang tot Klantgegevens op systemen die worden beheerd of anderszins gecontroleerd door Marzipan.
    Service Provider
    heeft de betekenis zoals gegeven in de California Consumer Privacy Act van 2018 ("CCPA").
    Services
    betekent, afzonderlijk en gezamenlijk, de Labels Services en Platform Services.
    Special Category Data
    heeft de betekenis zoals gegeven in artikelen 4(13), 4(14), 4(15) en 9 van de EU GDPR en UK GDPR (zoals van toepassing).
    Standard Contractual Clauses (SCCs)
    betekent de EU SCCs en UK SCCs, zoals van toepassing.
    UK Addendum
    betekent het International Data Transfer Addendum (versie B1.0) dat is uitgevaardigd door de Information Commissioner's Office op grond van artikel 119(A) van de UK Data Protection Act 2018, zoals van tijd tot tijd bijgewerkt of gewijzigd.
    UK SCCs
    betekent de EU SCCs zoals herzien en gewijzigd door het UK Addendum.
    Usage Data
    alle gegevens die worden gegenereerd in verband met de toegang, het gebruik en de configuratie van de Diensten door Klanten, alsmede gegevens die daarvan zijn afgeleid. Gebruiksgegevens omvatten geen Klantgegevens of andere Persoonsgegevens.

  2. Customer Instructions

    1. Marzipan en de Klant komen overeen dat deze DPA en het Contract, samen met de configuratie of het gebruik door de Klant van eventuele instellingen, functies of opties in de Services (zoals de Klant deze van tijd tot tijd kan aanpassen), de schriftelijke gedocumenteerde instructies van de Klant vormen met betrekking tot de verwerking van Klantgegevens door Marzipan (inclusief voor de doeleinden van de UK SCCs) (de "Gedocumenteerde Instructies"). Marzipan verwerkt de Klantgegevens uitsluitend in overeenstemming met de Gedocumenteerde Instructies. Aanvullende instructies buiten het toepassingsgebied van de Gedocumenteerde Instructies (indien aanwezig) vereisen voorafgaande schriftelijke overeenstemming tussen Marzipan en de Klant.
    2. Marzipan is gerechtigd deze DPA en het Contract te beëindigen zonder enige aansprakelijkheid jegens de Klant indien Marzipan weigert instructies op te volgen die in strijd zijn met de Gegevensbeschermingswetgeving of enige toepasselijke gegevensprivacybepalingen van de EU Wine Labelling Regulations, of die buiten het toepassingsgebied vallen van, of afwijken van, de instructies die in deze DPA of in enige andere schriftelijke overeenkomst tussen de partijen zijn gegeven of overeengekomen.
    3. De Klant zal geen Special Category Data aan Marzipan verstrekken (of laten verstrekken) voor verwerking onder het Contract, en Marzipan draagt geen enkele aansprakelijkheid voor Special Category Data, of dit nu verband houdt met een Beveiligingsincident of anderszins. Ter verduidelijking: deze DPA is niet van toepassing op Special Category Data.

  3. Gegevensverwerking

    1. When Marzipan processes Customer Data while providing the Services, Marzipan will:

      (a)voor zover de UK GDPR of EU GDPR van toepassing is, de Klantgegevens verwerken als Gegevensverwerker die namens de Klant handelt (ongeacht of de Klant zelf een Verwerkingsverantwoordelijke is of een Gegevensverwerker namens een derde Verwerkingsverantwoordelijke);

      (b)voor zover de CCPA van toepassing is, de Klantgegevens verwerken namens de Klant als Service Provider (zie clausule 3.2 hieronder voor meer details);

      (c)Klantgegevens uitsluitend verwerken en opslaan op servers:

      a.beheerd door datacentrumexploitant UpCloud Oy, een Fins besloten vennootschap ("UpCloud"), in zijn DE-FRA1 datacentrum in Frankfurt, Duitsland.

      b.beheerd door datacentrumexploitant Scaleway SAS, een Franse vereenvoudigde naamloze vennootschap ("Scaleway"), in zijn datacentrum in Parijs.

      c.beheerd door datacentrumexploitant Hetzner Online GmbH, een Duitse besloten vennootschap ("Hetzner"), in zijn datacentra in Neurenberg en Falkenstein in Duitsland; en

      d.beheerd door cloudopslagaanbieder BunnyWay d.o.o., een Sloveense besloten vennootschap ("BunnyWay"), op zijn edge-serverlocatie in Neurenberg, Duitsland.

      (d)de Klantgegevens uitsluitend verwerken in de mate en op de wijze die noodzakelijk is voor de Zakelijke Doeleinden in overeenstemming met de rechtmatige Gedocumenteerde Instructies van de Klant (mits dergelijke instructies in overeenstemming zijn met de functionaliteiten van de Services die de Klant onder het Contract heeft afgenomen);

      (e)indien Marzipan wettelijk verplicht is de Klantgegevens te verwerken voor een ander doel dan de Bedrijfsdoeleinden, zal Marzipan de Klant voorafgaand aan een dergelijke verwerking op de hoogte stellen van deze verplichting, tenzij Marzipan wettelijk verboden is een dergelijke kennisgeving te verstrekken;

      (f)onverwijld voldoen aan eventuele rechtmatige schriftelijke instructies van de Klant die Marzipan verplichten de Klantgegevens te wijzigen, over te dragen, te verwijderen of anderszins te verwerken, dan wel ongeoorloofde verwerking te staken, te beperken of te verhelpen;

      (g)de vertrouwelijkheid van de Klantgegevens bewaren en de Klantgegevens niet aan derden verstrekken, tenzij de Klant of deze DPA de openbaarmaking uitdrukkelijk toestaat, of zoals vereist door nationaal recht, een rechterlijke uitspraak of regelgeving (inclusief enige instructie van de UK ICO Commissioner of enige andere bevoegde autoriteit in het VK en/of de EER);

      (h)de Klant op redelijke wijze en zonder bijkomende kosten ondersteunen bij het nakomen van de nalevingsverplichtingen van de Klant uit hoofde van de Gegevensbeschermingswetgeving, rekening houdend met de aard van de verwerking door Marzipan en de informatie waarover Marzipan beschikt, waaronder ter illustratie maar niet beperkt tot het verstrekken van redelijke informatie aan de Klant om de Klant te helpen bij het uitvoeren van gegevensbeschermingseffectbeoordelingen en het ondersteunen van de Klant bij het beantwoorden van verzoeken van betrokkenen; en

      (i)de Klant onverwijld op de hoogte stellen van wijzigingen in de Gegevensbeschermingswetgeving die redelijkerwijs kunnen worden uitgelegd als een nadelige invloed op de uitvoering door Marzipan van zijn verplichtingen uit hoofde van de Overeenkomst of deze DPA.

    2. CCPA. Partijen erkennen en aanvaarden dat Marzipan een Dienstverlener is met betrekking tot de Klantgegevens voor de doeleinden van de CCPA (voor zover van toepassing) en persoonlijke informatie van de Klant ontvangt om de Diensten te leveren overeenkomstig de Overeenkomst, hetgeen een bedrijfsdoeleinde vormt. Marzipan zal dergelijke persoonlijke informatie niet verkopen. Marzipan zal geen persoonlijke informatie die door de Klant krachtens de Overeenkomst is verstrekt, bewaren, gebruiken of openbaar maken, behalve voor zover noodzakelijk voor het specifieke doel van het leveren van de Diensten aan de Klant overeenkomstig deze Overeenkomst, of anderszins zoals uiteengezet in deze Overeenkomst of toegestaan op grond van de CCPA. De termen "persoonlijke informatie", "Dienstverlener", "verkoop" en "verkopen" hebben de betekenis zoals omschreven in Section 1798.140 van de CPA (zoals van tijd tot tijd gewijzigd, opnieuw vastgesteld of bijgewerkt). Marzipan verklaart de beperkingen van deze clausule (i) te begrijpen.
    3. Diensten van Derden. Als onderdeel van de Diensten biedt Marzipan de Klant van tijd tot tijd de mogelijkheid de Diensten te integreren en/of te koppelen met bepaalde diensten, integraties en applicaties van derden ("Diensten van Derden"). Wij wijzen erop dat het gebruik van de Diensten van Derden door de Klant in elk geval uitsluitend wordt beheerst door de algemene voorwaarden en het bijbehorende privacybeleid (samen de "EULA") op grond waarvan de Externe Dienstverlener de betreffende Diensten van Derden aan de Klant beschikbaar stelt (de "Externe Dienstverlener"). Elke EULA wordt uitsluitend gesloten tussen de Klant en de Externe Dienstverlener; Marzipan is geen partij bij dergelijke EULA's.
    4. Wanneer de Klant ons instrueert de Marzipan-producten of -accounts van de Klant te integreren met een of meer Diensten van Derden, stemt de Klant ermee in dat Marzipan de Klantgegevens overdraagt aan de Externe Dienstverleners, zodat zij hun diensten aan de Klant kunnen leveren. Wanneer Externe Dienstverleners de Klantgegevens vervolgens verwerken, wordt dit beheerst door de relevante privacybepalingen in hun EULA, en is Marzipan niet verantwoordelijk voor een dergelijke verwerking.
    5. Third-Party Services from the following Third-Party Service Providers are currently available to be integrated and/or interfaced with Marzipan.
      Name Description
      Fathom Analytics This integration allows Customers who are subscribed to Fathom Analytics’ web analytics service to view their Fathom Analytics dashboard within Marzipan’s e-commerce and data management platform. All EEA and UK traffic processed via the integration is processed solely on EU servers owned and operated by the German cloud service provider etzner Online GmbH, a German legal entity.
      MailChimp This integration allows Customers who are subscribed to MailChimp’s email marketing service to send data to MailChimp to enable the Customer to send emails to their subscribers.
    6. Wij wijzen erop dat wanneer Marzipan de Klant toestaat de Diensten te integreren met een Dienst van Derden die niet in de bovenstaande tabel is vermeld, het gebruik van een dergelijke Dienst van Derden door de Klant wordt beheerst door de toepasselijke EULA van de betreffende Externe Dienstverlener op dezelfde voorwaarden als in clausule (i) van deze Overeenkomst.
    7. SCCs. Indien Marzipan en de Klant Standaard Contractuele Clausules zijn overeengekomen zoals beschreven in clausule 10 (Overdracht van Klantgegevens), geldt het volgende: (i) de instructie van de Klant aan Marzipan op grond van clausule 3.3 van deze Overeenkomst om de Dienst(en) van Derden (indien van toepassing) te integreren als onderdeel van de Diensten, vormt de voorafgaande schriftelijke toestemming van de Klant voor de overdracht van Klantgegevens door Marzipan aan de Externe Dienstverlener, voor zover een dergelijke toestemming vereist is op grond van de SCCs; (ii) partijen zijn het erover eens dat de kopieën van de overeenkomsten met Externe Dienstverleners die Marzipan overeenkomstig Clause 9(c) van de EU SCCs of een relevante clausule van de UK SCCs (indien van toepassing) aan de Klant moet verstrekken, door Marzipan vooraf kunnen worden ontdaan van commerciële informatie of informatie die geen verband houdt met de Standaard Contractuele Clausules of het equivalent daarvan, en dat dergelijke geredigeerde kopieën door Marzipan uitsluitend op schriftelijk verzoek van de Klant worden verstrekt.
    8. The Customer’s responsibilities. The Customer:

      (a)is de Verwerkingsverantwoordelijke met betrekking tot de Klantgegevens;

      (b)blijft verantwoordelijk voor de nalevingsverplichtingen van de Klant uit hoofde van de toepasselijke Gegevensbeschermingswetgeving, inclusief maar niet beperkt tot het verstrekken van eventueel vereiste kennisgevingen en het verkrijgen van eventueel vereiste toestemmingen die noodzakelijk zijn voor Marzipan om de Klantgegevens voor de Bedrijfsdoeleinden te verwerken;

      (c)zal geen Bijzondere Categorieën Persoonsgegevens aan Marzipan verstrekken (of laten verstrekken) voor verwerking in het kader van de Overeenkomst, en Marzipan draagt geen enkele aansprakelijkheid voor Bijzondere Categorieën Persoonsgegevens, ongeacht of dit verband houdt met een Beveiligingsincident of anderszins. Ter vermijding van twijfel: deze DPA is niet van toepassing op Bijzondere Categorieën Persoonsgegevens;

      (d)verklaart en garandeert dat het heeft voldaan, en zal blijven voldoen, aan alle toepasselijke wet- en regelgeving, inclusief de Gegevensbeschermingswetgeving, met betrekking tot de verwerking van Klantgegevens en eventuele Gedocumenteerde Instructies die het aan Marzipan verstrekt;

      (e)is als enige verantwoordelijk voor de juistheid, kwaliteit en rechtmatigheid van de Klantgegevens en de wijze waarop de Klant de Klantgegevens heeft verkregen. Onverminderd het voorgaande erkent de Klant dat het verantwoordelijk is voor de naleving van alle toepasselijke wet- en regelgeving (inclusief de Gegevensbeschermingswetgeving) met betrekking tot content die via de Diensten wordt aangemaakt, verzonden of beheerd;

      (f)zal ervoor zorgen dat de verwerking van de Klantgegevens door Marzipan in overeenstemming met de Gedocumenteerde Instructies van de Klant Marzipan niet ertoe brengt enige toepasselijke wet- of regelgeving te schenden, inclusief maar niet beperkt tot de Gegevensbeschermingswetgeving. Marzipan zal de Klant onverwijld schriftelijk op de hoogte stellen, tenzij dit op grond van de Gegevensbeschermingswetgeving verboden is, indien het zich ervan bewust wordt of van mening is dat een gegevensverwerkingsinstructie van de Klant in strijd is met de Gegevensbeschermingswetgeving; en

      (g)voor zover het optreedt als verwerker namens een derde verwerkingsverantwoordelijke (of andere tussenpersoon van de uiteindelijke verwerkingsverantwoordelijke), garandeert dat de Gedocumenteerde Instructies zoals uiteengezet in de Overeenkomst en deze DPA, inclusief de machtigingen aan Marzipan voor de aanstelling van Sub-verwerkers overeenkomstig deze DPA, zijn geautoriseerd door de betreffende verwerkingsverantwoordelijke.

  4. Soorten Klantgegevens en verwerkingsdoeleinden

    1. Onderwerp. Het onderwerp van de gegevensverwerking op grond van deze DPA betreft de Klantgegevens die via de Diensten worden verwerkt.
    2. Duur. Tussen Marzipan en de Klant is het de Klant die de duur van de gegevensverwerking op grond van deze DPA bepaalt. De Klant kan de gegevensverwerking opschorten of beëindigen door het abonnement van de Klant op de Platformdiensten en/of Labls-diensten (indien van toepassing) op te schorten of te beëindigen, of door eventuele door Marzipan gehoste integraties op te schorten (zoals een eigen API die Marzipan aan de Klant beschikbaar stelt) die de Klant gebruikt als onderdeel van de bedrijfsactiviteiten van de Klant.
    3. Doel. Het doel van de gegevensverwerking op grond van deze DPA is de levering van de Diensten die de Klant van tijd tot tijd initieert, waaronder ter illustratie de levering van het e-commerce- en gegevensbeheerplatform van Marzipan en/of de E-Label generatie- en hostingdienst aan de Klant.
    4. Aard van de verwerking. Marzipan stelt bedrijven in staat hun e-commerceactiviteiten te centraliseren en E-Labels te genereren voor hun wijnproducten, onder meer door de levering van de "Diensten" zoals gedefinieerd in clausule 1 van deze DPA. Deze Diensten omvatten de verwerking van Klantgegevens door Marzipan, zijn Sub-verwerkers en, indien van toepassing, de Externe Dienstverleners. Klantgegevens kunnen door de Klant worden geüpload naar en/of verwerkt op de Diensten via het Klantenaccount, elke API die Marzipan beschikbaar stelt die van tijd tot tijd een interface vormt met de Diensten; en (iii) eventuele Diensten van Derden die Klantgegevens delen met de Diensten.
    5. Types of Customer Data. Customer Data uploaded to the Services:

      (a)door de Klant via het Klantenaccount;

      (b)via een van de API's of webcomponenten van Marzipan die de Diensten koppelen aan de systemen van de Klant; en

      (c)via eventuele Diensten van Derden die de Klant integreert met de Diensten.

      Soorten persoonsgegevens die als onderdeel van de Klantdata naar de Diensten worden geüpload, kunnen zijn:

      • Naam, e-mailadres, contactgegevens, factuur- en verzendgegevens van de Klant.
      • Aankoop-, abonnements- (d.w.z. wijnclub) en andere transactiegegevens (inclusief maar niet beperkt tot statusinformatie) afkomstig van de fysieke en digitale winkels van de Klant;
      • Activiteit van Eindklanten in de digitale winkels van de Klant, inclusief bestelhistorie, bekeken producten en producten die aan winkelwagens zijn toegevoegd.
      • Apparaatgegevens van Eindklanten voor apparaten die worden gebruikt bij het bezoeken van de winkels van de Klant, inclusief IP-adres, browser en netwerkactiviteit.
      • Alle overige persoonsgegevens die de Klant ervoor kiest beschikbaar te stellen aan Marzipan.
    6. Categorieën van Betrokkenen. De Betrokkene kan zijn: (i) de Klant, diens medewerkers, opdrachtnemers, vertegenwoordigers, leveranciers en toeleveranciers, en (ii) de huidige en potentiële Eindklanten van de Klant.

  5. Beveiliging van de verwerking

    1. Marzipan dient te allen tijde passende technische en organisatorische maatregelen te treffen tegen ongeoorloofde of onrechtmatige verwerking, toegang, kopiëring, wijziging, reproductie, openbaarmaking of verspreiding van de Klantdata, en tegen onopzettelijk of onrechtmatig verlies, vernietiging, wijziging, openbaarmaking of beschadiging van de Klantdata, inclusief maar niet beperkt tot de maatregelen beschreven in de Marzipan Beveiligingsnormen (Bijlage A), telkens om een beveiligingsniveau voor de Klantdata te waarborgen dat passend is bij het risico, overeenkomstig Artikel 32 EU/UK GDPR.
    2. Marzipan shall implement such measures to ensure a level of security appropriate to the risk involved, including as appropriate:

      (a)de pseudonimisering en versleuteling van Klantdata;

      (b)het vermogen om de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten te waarborgen;

      (c)het vermogen om de beschikbaarheid van en toegang tot Klantdata tijdig te herstellen bij een fysiek of technisch incident; en

      (d)een procedure voor het regelmatig testen, beoordelen en evalueren van de doeltreffendheid van de beveiligingsmaatregelen.

  6. Medewerkers van Marzipan

    1. Marzipan will ensure its employees, contractors and agents:

      (a)op de hoogte zijn van de vertrouwelijke aard van de Klantdata en gebonden zijn aan vertrouwelijkheidsverplichtingen en gebruiksbeperkingen met betrekking tot de Klantdata;

      (b)een opleiding hebben gevolgd over de Gegevensbeschermingswetgeving met betrekking tot de verwerking van Klantdata en de toepassing daarvan op hun taken; en

      (c)op de hoogte zijn van zowel de verplichtingen van Marzipan als hun eigen persoonlijke plichten en verplichtingen uit hoofde van de Gegevensbeschermingswetgeving en de Overeenkomst.

  7. Beveiliging

    1. Marzipan dient te allen tijde passende technische en organisatorische maatregelen te treffen tegen ongeoorloofde of onrechtmatige verwerking, toegang, kopiëring, wijziging, reproductie, openbaarmaking of verspreiding van de Klantdata, en tegen onopzettelijk of onrechtmatig verlies, vernietiging, wijziging, openbaarmaking of beschadiging van Klantdata.
    2. Marzipan shall implement such measures to ensure a level of security appropriate to the risk involved, including for illustrative purposes and as appropriate:

      (a)de pseudonimisering en versleuteling van Klantdata;

      (b)het vermogen om de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten te waarborgen;

      (c)het vermogen om de beschikbaarheid van en toegang tot Klantdata tijdig te herstellen bij een fysiek of technisch incident; en

      (d)een procedure voor het regelmatig testen, beoordelen en evalueren van de doeltreffendheid van de beveiligingsmaatregelen.

  8. Inbreuk in verband met persoonsgegevens

    1. Marzipan shall within 72 hours and in any event without undue delay notify the Customer if it becomes aware of:

      (a)het verlies, de onbedoelde vernietiging of beschadiging, corruptie of anderszins aantasting van een deel of alle Klantdata;

      (b)enige onopzettelijke, ongeoorloofde of onrechtmatige verwerking van de Klantdata; of

      (c)een inbreuk in verband met persoonsgegevens.

    2. Where Marzipan becomes aware of any of the foregoing matters described in clauses 8.1(a), (b) and/or (c) above, it shall, without undue delay, also provide the Customer with the following:

      (a)een beschrijving van de aard van de aangelegenheid die is geregistreerd met betrekking tot de clausules 8.1(a), (b) en/of (c), inclusief de categorieën van betrokken Klantdata en het geschatte aantal zowel Betrokkenen als betreffende Klantdata-records; of

      (b)een beschrijving van de maatregelen die zijn genomen of voorgesteld worden om de aangelegenheden te verhelpen die zijn geregistreerd met betrekking tot de clausules 8.1(a), (b) en/of (c), inclusief maatregelen om de mogelijke nadelige gevolgen te beperken.

    3. Onmiddellijk na enige onopzettelijke, ongeoorloofde of onrechtmatige verwerking van Klantdata of een inbreuk in verband met persoonsgegevens zal Marzipan contact opnemen met de Klant, zodat wij ons onderzoek naar de aangelegenheid kunnen coördineren.
    4. Marzipan zal geen derde partij informeren over enige onopzettelijke, ongeautoriseerde of onrechtmatige verwerking van alle of een deel van de Klantgegevens en/of een Persoonlijke Databreuk zonder eerst de schriftelijke toestemming van de Klant te verkrijgen, behalve wanneer een dergelijke openbaarmaking noodzakelijk is als onderdeel van de maatregelen die nodig zijn om dergelijke verwerking of Persoonlijke Databreuk aan te pakken, of wanneer een dergelijke openbaarmaking vereist is op grond van toepasselijk recht.
    5. Marzipan zal redelijke kosten vergoeden die verband houden met de uitvoering van haar verplichtingen onder clausules 8.1 en 8.2, tenzij de kwestie is ontstaan als gevolg van de specifieke schriftelijke instructies, nalatigheid, opzettelijk verzuim of schending van de DPA of het Contract door de Klant, in welk geval de Klant alle redelijke kosten draagt (inclusief de redelijke kosten van Marzipan en die van haar professionele adviseurs).

  9. Sub-verwerkers

    1. Marzipan uses the following Sub-processors to host and/or process Customer Data, to provide infrastructure and network services to support Marzipan, and to perform service functions on our behalf as part of the Services:
      Name Description
      Active Campaign LLC Trading as "Postmark", Active Campaign delivers transactional emails (e.g. password reset emails, notification emails, receipt and invoice emails) on behalf of Marzipan as part of the Services.
      Automattic, Inc. Trading as "Gravatar." Automattic allows Customers to upload pre-existing image and public profile data to the Platform Services.
      BunnyWay d.o.o BunnyWay provides Marzipan with Domain Name System (DNS), Website Application Firewall (WAF) and Content Delivery Network (CDN) services.
      Fathom Analytics Fathom Analytics provides web analytics services that enable Marzipan to track and analyse web traffic’s engagement with the Services.
      Functional Software Inc. Trading as "Sentry", Functional Software provides Marzipan with crash and error monitoring services in respect of the Services.
      Internet Security Research Group ISRG’s "Let’s Encrypt" service provides Marzipan with the digital certificate necessary to enable HTTPS (SLS/TLS) on its websites.
      Laravel Holdings Inc. Laravel provides Marzipan with its: (i) "Forge" server management services in relation to the provisioning and deployment of the Services on Hetzner Online GmbH’s servers; and (ii) "Envoyer" zero downtime deployment services.
      OhMySMTP Ltd OhMySMTP, trading as "MailPace", provides Marzipan with email services for sending transactional emails (e.g. password reset emails, notification emails, order confirmation emails) on behalf of Marzipan as part of the Services.
      PayPal UK Ltd PayPal provides Marzipan with authorised payment gateway and payment processing services in respect of payload and payment data submitted to the Services.
      Stripe Payments UK, Ltd. Stripe provides Marzipan with authorised payment gateway and payment processing services in respect of payload and payment data submitted to the Services.
    2. De Klant machtigt ons om de Sub-verwerkers die zijn vermeld in clausule 9.1 hierboven te gebruiken als onderdeel van de Diensten, en verleent ons tevens een algemene machtiging om andere Sub-verwerkers in te schakelen voor verwerkingsactiviteiten met betrekking tot Klantgegevens die wij van de Klant verzamelen op grond van het Contract. Marzipan zal de Klant minimaal 10 dagen van tevoren op de hoogte stellen indien het Sub-verwerkers toevoegt of verwijdert.
    3. Where Marzipan engages a Sub-processor as described in clause 9.1:

      (a)Marzipan zal de toegang van de Sub-verwerker tot gegevens beperken tot wat redelijkerwijs noodzakelijk is voor het leveren, onderhouden of verbeteren van de Diensten; en

      (b)Marzipan zal een schriftelijke gegevensverwerkersovereenkomst aangaan met de Sub-verwerker, en voor zover de Sub-verwerker dezelfde gegevensverwerkingsdiensten uitvoert als die door Marzipan worden geleverd onder deze DPA, zal Marzipan aan de Sub-verwerker dezelfde contractuele verplichtingen opleggen die Marzipan hierin heeft.

    4. If Marzipan and the Customer have entered into Standard Contractual Clauses as described in clause 10 (Transfers of Customer Data):

      (a)de bovenstaande machtigingen vormen de voorafgaande schriftelijke toestemming van de Klant voor de uitbesteding door Marzipan van de verwerking van Klantgegevens, indien een dergelijke toestemming vereist is op grond van de SCCs;en

      (b)Marzipan zal een schriftelijke gegevensverwerkersovereenkomst aangaan met de Sub-verwerker, en voor zover de Sub-verwerker dezelfde gegevensverwerkingsdiensten uitvoert als die door Marzipan worden geleverd onder deze DPA, zal Marzipan aan de Sub-verwerker dezelfde contractuele verplichtingen opleggen die Marzipan hierin heeft.

    5. If Marzipan and the Customer have entered into Standard Contractual Clauses as described in clause 10 (Transfers of Customer Data):

      (a)de bovenstaande machtigingen vormen de voorafgaande schriftelijke toestemming van de Klant voor de uitbesteding door Marzipan van de verwerking van Klantgegevens, indien een dergelijke toestemming vereist is op grond van de SCCs; en

      (b)de Partijen komen overeen dat de kopieën van de overeenkomsten met Sub-verwerkers die door Marzipan aan de Klant moeten worden verstrekt op grond van Clausule 9(c) van de EU SCCs of een relevante clausule van de UK SCCs (indien van toepassing), door Marzipan vooraf mogen worden ontdaan van commerciële informatie of informatie die geen verband houdt met de Standaard Contractuele Clausules of hun equivalent, en dat dergelijke geredigeerde kopieën door Marzipan uitsluitend op schriftelijk verzoek van de Klant worden verstrekt.

  10. Overdrachten van Klantgegevens

    1. De partijen komen overeen dat Marzipan Klantgegevens die worden verwerkt onder het Contract buiten de EER, het UK of Zwitserland mag overdragen voor zover dit noodzakelijk is voor het leveren van de Diensten. De Klant erkent dat de verwerkingsactiviteiten van veel van de Externe Dienstverleners en Sub-verwerkers plaatsvinden in de Verenigde Staten, en dat de overdracht van Klantgegevens noodzakelijk is voor de levering van de Diensten aan de Klant. Indien Marzipan Klantgegevens die zijn beschermd onder dit Contract overdraagt aan een rechtsgebied waarvoor de Europese Commissie of de UK Secretary of State (naar gelang van toepassing) geen adequaatheidsbesluit heeft afgegeven, zal Marzipan ervoor zorgen dat passende waarborgen zijn geïmplementeerd voor de overdracht van Klantgegevens overeenkomstig de Gegevensbeschermingswetgeving.
    2. Ex-EEA Transfers. The parties agree that ex-EEA Transfers are made pursuant to Module Two (Controller to Processor) of the EU SCCs which is deemed entered (and incorporated into this DPA) and which shall apply as follows (unless stated otherwise, references to clause numbers are references to clause numbers of Module Two of the EU SCCs):

      (a)De optionele aansluitingsclausule in Clausule 7 is niet van toepassing;

      (b)In Clausule 9 is Optie 2 (algemene schriftelijke machtiging) van toepassing, en de minimale termijn voor voorafgaande kennisgeving van wijzigingen van Sub-verwerkers is zoals uiteengezet in clausule 9.2 van deze DPA;

      (c)In Clausule 11 is de optionele tekst niet van toepassing;

      (d)Alle vierkante haakjes in Clausule 12 worden hierbij verwijderd;

      (e)In Clausule 17 (Optie 10 zijn de EU SCCs onderworpen aan Iers recht);

      (f)In Clausule 18(b) worden geschillen beslecht door de rechtbanken van Ierland;

      (g)Deel 1 van Bijlage B ("Grensoverschrijdende Overdrachten") bij deze DPA bevat de informatie die vereist is in Bijlage I van de EU SCCs;

      (h)Deel 1 van Bijlage B ("Grensoverschrijdende Overdrachten") bij deze DPA bevat de informatie die vereist is in Bijlage II van de EU SCCs;

      (i)Door deze DPA aan te gaan, worden de partijen geacht de hierin opgenomen EU SCCs, inclusief hun Bijlagen, te hebben ondertekend.

    3. Ex-UK Transfers

      (a)De partijen komen overeen dat de IDTA DPA van toepassing is op een ex-UK Overdracht. Deel 2 van Bijlage B ("Grensoverschrijdende Overdrachten") bevat de informatie die vereist is in de IDTA DPA.

    4. Transfers from Switzerland. The parties agree that transfers from Switzerland are made pursuant to the EU SCCs with the following modifications:

      (a)De termen "Algemene Verordening Gegevensbescherming" of "Verordening (EU) 2016/679" zoals gebruikt in de EU SCCs worden geacht mede de Federale Wet op de Gegevensbescherming van 19 juni 2022 (de "FADP") te omvatten, en zoals herzien per 25 september 2020, de "Herziene FADP") met betrekking tot gegevensoverdrachten die onder de FADP vallen.

      (b)De bepalingen van de EU SCCs worden geïnterpreteerd ter bescherming van de gegevens van rechtspersonen totdat de Herziene FADP van kracht is.

      (c)Clausule 13 van de EU SCCs wordt gewijzigd om te bepalen dat de Federale Gegevensbeschermings- en Informatiecommissaris ("FDPIC") van Zwitserland bevoegd is ten aanzien van gegevensoverdrachten die worden beheerst door de FADP, en dat de bevoegde EU-toezichthoudende autoriteit bevoegd is ten aanzien van gegevensoverdrachten die worden beheerst door de EU GDPR. Onverminderd het voorgaande dienen alle overige vereisten van Clausule 13 van de EU SCCs in acht te worden genomen.

      (d)De term "EU-lidstaat" zoals gebruikt in de EU SCCs wordt niet zodanig geïnterpreteerd dat Betrokkenen in Zwitserland worden uitgesloten van de uitoefening van hun rechten op hun gewone verblijfplaats overeenkomstig Clausule 18(c) van de EU SCCs.

    5. Supplementary Measures. In respect of any ex-EEA Transfer or ex-UK Transfer, the following supplementary measures shall apply:

      (a)Op de datum van deze DPA heeft de Gegevensimporteur geen formele juridische verzoeken ontvangen van enige overheids- of inlichtingen- of veiligheidsdienst in het land waarnaar de Klantgegevens worden geëxporteerd, voor toegang tot (of kopieën van) de Klantgegevens ("Overheidsverzoeken");

      (b)Indien de Gegevensimporteur na de datum van deze DPA Overheidsverzoeken ontvangt, zal Marzipan proberen de rechtshandhavings- of overheidsinstantie door te verwijzen om de gegevens rechtstreeks bij de Klant op te vragen. Als onderdeel van deze inspanning stemt de Klant ermee in dat wij de basiscontactgegevens van de Klant aan de overheidsinstantie mogen verstrekken. Indien Marzipan verplicht is de Klantgegevens aan een rechtshandhavings- of overheidsinstantie te verstrekken, zal Marzipan de Klant een redelijke voorafgaande kennisgeving van het verzoek geven en samenwerken om de Klant in staat te stellen een beschermingsbevel of andere passende maatregel te verkrijgen, tenzij Marzipan hiertoe wettelijk niet bevoegd is. Marzipan zal Klantgegevens niet vrijwillig aan enige rechtshandhavings- of overheidsinstantie verstrekken. Marzipan zal (zo spoedig als redelijkerwijs mogelijk) bespreken en bepalen of alle of een deel van de overdrachten van Klantgegevens krachtens deze DPA dienen te worden opgeschort in het licht van dergelijke Overheidsverzoeken;

      (c)Marzipan and the Data Exporter will meet regularly to consider whether:

      a.De bescherming die de wetgeving van het land van de Gegevensimporteur biedt aan betrokkenen wier Persoonsgegevens als onderdeel van de Klantgegevens worden overgedragen, volstaat om een in grote lijnen gelijkwaardige bescherming te bieden als die welke geldt in de EER of het UK, naargelang het geval;

      b.Aanvullende maatregelen zijn redelijkerwijs noodzakelijk om de overdracht in overeenstemming te brengen met de Gegevensbeschermingswetgeving;

      c.Het nog steeds passend is dat Klantgegevens worden overgedragen aan de betreffende Gegevensimporteur, rekening houdend met alle relevante informatie die de partijen ter beschikking staat, samen met de richtsnoeren van de Toezichthoudende Autoriteiten.

      (d)Indien de Gegevensbeschermingswetgeving vereist dat Marzipan de Standaard Contractuele Clausules die van toepassing zijn op een bepaalde overdracht van Klantgegevens aan een Gegevensimporteur als afzonderlijk contract ondertekent, zal de Gegevensimporteur op verzoek van Marzipan dergelijke Standaard Contractuele Clausules onverwijld ondertekenen, met inbegrip van de wijzigingen die door Marzipan redelijkerwijs vereist kunnen worden om de toepasselijke bijlagen, de details van de overdracht en de vereisten van de Gegevensbeschermingswetgeving te weerspiegelen; en

      (e)Indien (i) een van de middelen ter legitimering van overdrachten buiten de EER, het UK of Zwitserland zoals uiteengezet in deze DPA niet langer geldig is; of (ii) een Toezichthoudende Autoriteit vereist dat overdrachten van Klantgegevens op grond van die middelen worden opgeschort, kan de Gegevensimporteur door middel van een kennisgeving aan Marzipan, met ingang van de in die kennisgeving vermelde datum, alternatieve regelingen voor dergelijke overdrachten treffen of aanpassen, zoals vereist door de Gegevensbeschermingswetgeving.

    6. Subverwerkers. Wanneer de Klant toestemt met onze aanstelling van een Subverwerker buiten de EER in overeenstemming met de bepalingen van clausule 9, of wanneer de Klant ervoor kiest een Dienst van een Derde Partij van een Externe Dienstverlener buiten de EER te integreren in overeenstemming met clausule 3, machtigt de Klant ons om SSC's met die partij te sluiten, mede namens en voor rekening van de Klant.

  11. Klachten, verzoeken van betrokkenen en rechten van derden

    1. Marzipan will take such reasonable technical and organisational measures as appropriate, and promptly provide such information to the Customer as the Customer may require, to enable the Customer to comply with:

      (a)the rights of Data Subjects under the Data Protection Laws, including subject access rights, the rights to rectify, port and erase Customer Data, object to the processing and automated processing of Customer Data, and restrict the processing of Customer Data; and/p>

      (b)informatie- of beoordelingsaanschrijvingen die door de UK ICO (of een andere bevoegde toezichthouder in de EER) aan de Klant zijn betekend krachtens de Gegevensbeschermingswetgeving.

    2. Marzipan zal de Klant onmiddellijk schriftelijk op de hoogte stellen indien zij een klacht, kennisgeving of communicatie ontvangt die direct of indirect betrekking heeft op de verwerking van Klantgegevens of op de naleving van de Gegevensbeschermingswetgeving door Marzipan of de Klant.
    3. Marzipan zal de Klant binnen 14 dagen op de hoogte stellen indien zij een verzoek ontvangt van een Betrokkene voor toegang tot diens Klantgegevens of om een van diens andere rechten uit hoofde van de Gegevensbeschermingswetgeving uit te oefenen.
    4. Marzipan zal de Klant bijstand verlenen bij het beantwoorden van klachten, kennisgevingen, communicaties of verzoeken van Betrokkenen.
    5. Marzipan zal de Klantgegevens niet aan een Betrokkene of aan een derde bekendmaken, anders dan in overeenstemming met de schriftelijke instructies van de Klant of zoals vereist door nationaal recht.

  12. Looptijd en beëindiging

    1. This DPA will remain in full force and effect so long as:

      (a)de Overeenkomst van kracht blijft; of

      (b)Marzipan Klantgegevens die verband houden met de Overeenkomst in haar bezit of onder haar beheer houdt (de "Looptijd").

    2. Elke bepaling van deze DPA die uitdrukkelijk of impliciet van kracht moet worden of van kracht moet blijven bij of na beëindiging van de Overeenkomst ter bescherming van de Klantgegevens, blijft volledig van kracht.
    3. Het niet naleven van de voorwaarden van deze DPA door Marzipan vormt een wezenlijke tekortkoming in de nakoming van de Overeenkomst. In dat geval kan de Klant de Overeenkomst met onmiddellijke ingang beëindigen door middel van een schriftelijke kennisgeving aan Marzipan, zonder verdere aansprakelijkheid of verplichting te incurreren.
    4. Indien een wijziging in de Gegevensbeschermingswetgeving een partij verhindert alle of een deel van haar verplichtingen uit de Overeenkomst na te komen, kunnen de partijen overeenkomen de verwerking van de Klantgegevens op te schorten totdat die verwerking voldoet aan de nieuwe vereisten. Indien de partijen er niet in slagen de verwerking van de Klantgegevens binnen 90 dagen in overeenstemming te brengen met de Gegevensbeschermingswetgeving, kan elke partij de Overeenkomst met onmiddellijke ingang beëindigen door middel van een schriftelijke kennisgeving aan de andere partij.

  13. Teruggave en vernietiging van gegevens

    1. Op verzoek van de Klant zal Marzipan de Klant, of een door de Klant schriftelijk aangewezen derde, een kopie van of toegang tot alle of een deel van de Klantgegevens in haar bezit of onder haar beheer verstrekken, in het formaat en op de gegevensdrager die de Klant redelijkerwijs heeft opgegeven.
    2. Bij beëindiging of anderszins afloop van de Overeenkomst om welke reden dan ook, of na voltooiing van de Diensten, zal Marzipan de Klantgegevens retourneren of verwijderen, tenzij verdere opslag van Klantgegevens vereist of toegestaan is op grond van toepasselijk recht. Indien retournering of vernietiging onuitvoerbaar of wettelijk verboden is, zal Marzipan maatregelen treffen om dergelijke Klantgegevens te blokkeren voor verdere verwerking (behalve voor zover noodzakelijk voor verdere hosting of verwerking vereist door wet- of regelgeving) en zal de in haar bezit, bewaring of beheer verblijvende Klantgegevens op passende wijze blijven beschermen. Indien Marzipan en de Klant Standaard Contractuele Clausules zijn overeengekomen zoals beschreven in clausule 10 (Overdrachten van Klantgegevens), komen de partijen overeen dat de bevestiging van verwijdering zoals vereist onder Clausule 8.1(d) van de EU SCCs en enige toepasselijke bepaling van de UK SCCs (voor zover van toepassing) door Marzipan uitsluitend op schriftelijk verzoek van de Klant aan de Klant zal worden verstrekt.
    3. Indien een wet, verordening of overheids- of toezichthoudende instantie Marzipan verplicht documenten, materialen of Klantgegevens te bewaren die Marzipan anders zou moeten retourneren of vernietigen, zal Marzipan de Klant schriftelijk op de hoogte stellen van die bewaarplicht, met vermelding van de te bewaren documenten, materialen of Klantgegevens, de wettelijke grondslag voor de bewaring, en een specifieke termijn voor verwijdering of vernietiging nadat de bewaarplicht eindigt.
    4. Marzipan zal de Klant binnen 30 dagen na voltooiing van de verwijdering of vernietiging schriftelijk bevestigen dat de Klantgegevens zijn vernietigd.

  14. Records

    1. Marzipan zal gedetailleerde, nauwkeurige en actuele schriftelijke registraties bijhouden met betrekking tot elke verwerking van de Klantgegevens, met inbegrip van maar niet beperkt tot de toegang, controle en beveiliging van de Klantgegevens, goedgekeurde subverwerkers, de verwerkingsdoeleinden, categorieën van verwerking, eventuele overdrachten van Klantgegevens naar een derde land en bijbehorende waarborgen, en een algemene beschrijving van de geïmplementeerde technische en organisatorische beveiligingsmaatregelen (de "Records")
    2. Marzipan zal ervoor zorgen dat de Records voldoende zijn om de Klant in staat te stellen de naleving door Marzipan van haar verplichtingen uit hoofde van dit Contract te verifiëren, en Marzipan zal de Klant op verzoek kopieën van de Records verstrekken.

  15. Garanties

    1. TMarzipan warrants and represents that:

      (a)haar werknemers, subverwerkers, agenten en andere personen die namens haar toegang hebben tot de Klantgegevens betrouwbaar zijn en de vereiste training inzake de Gegevensbeschermingswetten hebben ontvangen;

      (b)zij en iedereen die namens haar handelt de Klantgegevens verwerkt in overeenstemming met de Gegevensbeschermingswetten en andere wetten, regelgeving, besluiten, normen en vergelijkbare instrumenten;

      (c)zij geen reden heeft om aan te nemen dat de Gegevensbeschermingswetten haar beletten enige van de overeengekomen diensten onder het Contract te leveren; en

      (d)rekening houdend met de huidige technologische omgeving en implementatiekosten, passende technische en organisatorische maatregelen treft om ongeoorloofde of onrechtmatige verwerking van Klantgegevens en het onopzettelijk verlies, de vernietiging of beschadiging van Klantgegevens te voorkomen, en een beveiligingsniveau te waarborgen dat passend is voor:

      (i)de schade die kan voortvloeien uit dergelijke ongeoorloofde of onrechtmatige verwerking of onopzettelijk verlies, vernietiging of beschadiging;

      (ii)de aard van de te beschermen Klantgegevens; en

      (iii)naleving van alle toepasselijke Gegevensbeschermingswetten en haar informatie- en beveiligingsbeleid.

  16. Ondertekening en wijzigingen

    1. De bepalingen van deze DPA zijn door verwijzing opgenomen in het Contract en maken daarvan deel uit alsof zij volledig in het Contract zijn opgenomen. Door het Contract te ondertekenen, erkent en aanvaardt de Klant uitdrukkelijk dat hij gebonden is aan de bepalingen van deze DPA.
    2. Marzipan kan, na een schriftelijke kennisgeving van dertig (30) kalenderdagen vooraf, redelijke wijzigingen aanbrengen in deze DPA die vereist zijn als gevolg van een wijziging in, of een beslissing van een bevoegde autoriteit op grond van, de Gegevensbeschermingswetten, teneinde de verwerking van Klantgegevens mogelijk te maken (of te blijven maken) zonder schending van de Gegevensbeschermingswetten. Indien de Klant niet instemt met dergelijke wijzigingen, kan de Klant binnen de kennisgevingstermijn van dertig (30) kalenderdagen een schriftelijke kennisgeving aan Marzipan verstrekken om het Contract (inclusief deze DPA) met onmiddellijke ingang te beëindigen, voor zover dit betrekking heeft op de Diensten die worden beïnvloed door de voorgestelde wijzigingen (of het ontbreken daarvan). De Klant zal Marzipan alle vergoedingen en overige bedragen betalen die vóór de datum van beëindiging op grond van of in verband met het Contract zijn ontstaan en die op de datum van beëindiging nog onbetaald zijn. De Klant heeft geen verdere aanspraken (inclusief verzoeken om terugbetaling voor de Diensten) als gevolg van of in verband met de beëindiging van dit Contract op grond van artikel 16.2.

Neem niet alleen ons woord ervoor

“We zijn overgestapt van WooCommerce naar een maatoplossing aangedreven door Marzipan. Het beheren van onze bestellingen gaat eenvoudig en de flexibiliteit van de subscriptions API heeft ons in staat gesteld ons aanbod voor old vine adoptions te verbeteren.”

Katie Jones met een Tuchan-hark
Katie Jones
Eigenaar, Domaine Jones

“Marzipan is ongelooflijk eenvoudig in gebruik, en uiterst flexibel en configureerbaar. Het maakt terugkerende abonnementswijnclubs veel eenvoudiger dan elk ander systeem dat ik heb gebruikt, en het verwerkt vrijwel alles wat we het hebben gegeven.”

Justin Howard-Sneyd, MW
Justin Howard-Sneyd, MW
Eigenaar, Domaine of the Bee