Marzipan Verwerkersovereenkomst

Bijlage B: Grensoverschrijdende doorgiften

Dit is een vertaling die uitsluitend ter informatie is verstrekt. De Engelse versie is de gezaghebbende en juridisch bindende tekst; bij enige tegenstrijdigheid prevaleert de Engelse versie.

DEEL 1 – Doorgiften buiten de EER

1. Bijlage I.A van de Standaardcontractbepalingen wordt als volgt ingevuld:

Gegevensexporteur: De Klant (zoals gespecificeerd in de Overeenkomst).

Contactgegevens: De contactgegevens van de Klant (zoals gespecificeerd in de Overeenkomst).

Rol Gegevensexporteur: Verwerkingsverantwoordelijke.

Module Twee: De Gegevensexporteur is een Verwerkingsverantwoordelijke.

Gegevensimporteur: Marzipan.

Contactgegevens: Zoals beschreven in de Overeenkomst.

Rol Gegevensimporteur: De Gegevensimporteur is een Verwerker.

Ondertekening en Datum: Door het aangaan van de Overeenkomst en de DPA wordt de Gegevensimporteur geacht deze Standaard Contractuele Bepalingen, hierin opgenomen, inclusief de bijlagen, te hebben ondertekend met ingang van de Ingangsdatum van de Overeenkomst.

2. Bijlage I.B van de Standaard Contractuele Bepalingen wordt als volgt ingevuld:

De categorieën betrokkenen worden beschreven in clausule 4.6 van de DPA.

De categorieën Klantgegevens worden beschreven in clausule 4.5 van de DPA.

De Partijen beogen geen overdracht van Bijzondere Categorieën Gegevens.

De frequentie van de overdracht is doorlopend gedurende de looptijd van de Overeenkomst.

De aard van de verwerking wordt beschreven in clausule 4.4 van de DPA.

Het doel van de verwerking wordt beschreven in clausule 4.3 van de DPA.

De periode gedurende welke de Klantgegevens worden bewaard, is de looptijd van de Overeenkomst, tenzij anders overeengekomen in de Overeenkomst en/of de DPA.

Met betrekking tot overdrachten aan Sub-verwerkers worden het onderwerp, de aard en de duur van de verwerking uiteengezet in clausule 9 van de DPA.

3. Bijlage I.C van de Standaard Contractuele Bepalingen wordt als volgt ingevuld:

De bevoegde Toezichthoudende Autoriteit overeenkomstig Clausule 13 is de toezichthoudende autoriteit in de Lidstaat zoals bepaald in clausule 10(e) van deze DPA.

De Marzipan Beveiligingsnormen (Bijlage A) dienen als de documentatie en bijzonderheden vereist in Bijlage II van de Standaard Contractuele Bepalingen.

4. Voor zover er een conflict bestaat tussen de Standaard Contractuele Bepalingen en andere bepalingen in deze DPA of de Overeenkomst, prevaleren de bepalingen van de Standaard Contractuele Bepalingen.

DEEL 2 – ex-UK Overdrachten

  1. De partijen komen overeen dat de IDTA DPA van toepassing is op een ex-UK Overdracht en dit Deel 2 is van kracht vanaf 21 maart 2022.
  2. Tenzij gedefinieerd in de Overeenkomst, hebben gedefinieerde termen in Deel 2 van Bijlage 2 de betekenis zoals vermeld in "Deel: 2 Verplichte Clausules" hieronder.

Deel 1: Tabellen

Tabel 1 van de IDTA DPA

3. Tabel 1 van de DPA wordt als volgt ingevuld:

  • Gegevensexporteur: De Klant (zoals nader omschreven in de Overeenkomst).
  • Contactgegevens: Zoals nader omschreven in de Overeenkomst.

Handtekening en datum: Door het aangaan van de Overeenkomst en de DPA wordt de Gegevensexporteur geacht deze IDTA DPA, die hierin is opgenomen, te hebben ondertekend per de Ingangsdatum van de Overeenkomst.

  • Gegevensimporteur: Marzipan.
  • Contactgegevens: Zoals nader omschreven in de Overeenkomst.

Handtekening en datum: Door het aangaan van de Overeenkomst en de DPA wordt de Gegevensimporteur geacht deze IDTA DPA, die hierin is opgenomen, te hebben ondertekend per de Ingangsdatum van de Overeenkomst.

Tabel 2 van de IDTA DPA

4. Tabel 2 van de DPA wordt als volgt ingevuld:

DPA EU SSCs The Approved EU SCCs, including the Appendix Information and with only the following modules, clauses or optional provisions of the Approved EU SCCs brought into effect for the purposes of this DPA:
Module in operation Clause 7
(Docking Clause)		 Clause 11
(Option)		 Clause 9a
(Prior Authorisation or General Authorisation)		 Clause 9a
(Time period)		 Is personal data received from the Importer combined with personal data collected by the Exporter?
1 Shall not apply Shall not apply General Authorisation As set out in clause 9.2 of the DPA (30 days). No
1 Shall not apply Shall not apply General Authorisation As set out in clause 9.2 of the DPA (30 days). No

Tabel 3 van de IDTA DPA

5. Tabel 3 van de DPA wordt als volgt ingevuld:

Gegevensexporteur: De Klant (zoals gespecificeerd in de Overeenkomst).

Contactgegevens: De contactgegevens van de Klant (zoals gespecificeerd in de Overeenkomst).

Rol Gegevensexporteur: Verwerkingsverantwoordelijke.

  1. a) Module Één: De Gegevensimporteur is een Verwerkingsverantwoordelijke.
  2. b) Module Twee: De Gegevensimporteur is een Verwerkingsverantwoordelijke.

Module Twee: De Gegevensexporteur is een Verwerkingsverantwoordelijke.

Handtekening en datum: Door het aangaan van de Overeenkomst en de DPA wordt de Gegevensexporteur geacht de Goedgekeurde EU SCCs, die hierin zijn opgenomen, inclusief de bijlagen daarvan, te hebben ondertekend per de Ingangsdatum van de Overeenkomst.

Gegevensimporteur: Marzipan.

Contactgegevens: Zoals nader omschreven in de Overeenkomst.

Rol van de Gegevensimporteur: De Gegevensimporteur is een Verwerker.

6. Bijlage I.B wordt als volgt ingevuld:

De categorieën betrokkenen worden beschreven in clausule 4.6 van de DPA.

De categorieën Persoonsgegevens zijn beschreven in clausule 4.5 van de DPA.

De Partijen beogen geen overdracht van Bijzondere Categorieën Gegevens.

De frequentie van de overdracht is doorlopend gedurende de looptijd van de Overeenkomst.

De aard van de verwerking wordt beschreven in clausule 4.4 van de DPA.

Het doel van de verwerking wordt beschreven in clausule 4.3 van de DPA.

De periode gedurende welke de Persoonsgegevens worden bewaard, is de looptijd van de Overeenkomst, tenzij anders overeengekomen in de Overeenkomst en/of de DPA.

Met betrekking tot overdrachten aan Sub-verwerkers worden het onderwerp, de aard en de duur van de verwerking uiteengezet in clausule 9 van de DPA.

Bijlage III: Lijst van Sub-verwerkers is niet van toepassing, aangezien Marzipan een algemene schriftelijke toestemming heeft om Sub-verwerkers in te schakelen.

Tabel 4 van de IDTA DPA

7. De Importeur kan deze IDTA DPA beëindigen zoals bepaald in clausule 26 van deze IDTA DPA.

Deel 2: Verplichte clausules

8. Elke Partij stemt ermee in gebonden te zijn aan de voorwaarden van deze IDTA DPA, in ruil waarvoor de andere Partij eveneens instemt gebonden te zijn aan deze IDTA DPA.

9. Hoewel Bijlage 1A en Clausule 7 van de Goedgekeurde EU SCCs ondertekening door de Partijen vereisen, kunnen de Partijen, met het oog op het verrichten van Beperkte Overdrachten, deze IDTA DPA op elke wijze aangaan die hen juridisch bindt en die betrokkenen in staat stelt hun rechten zoals uiteengezet in deze DPA af te dwingen. Het aangaan van deze IDTA DPA heeft hetzelfde rechtsgevolg als het ondertekenen van de Goedgekeurde EU SCCs en elk onderdeel daarvan.

Interpretatie van deze IDTA DPA

10. Waar in deze IDTA DPA gebruik wordt gemaakt van termen die zijn gedefinieerd in de Goedgekeurde EU SCCs, hebben die termen dezelfde betekenis als in de Goedgekeurde EU SCCs. Daarnaast hebben de volgende termen de volgende betekenis:

DPA This International Data Transfer DPA which is made up of this IDTA DPA incorporating the DPA EU SCCs.
DPA EU SCCs The version(s) of the Approved EU SCCs which this IDTA DPA is appended to, as set out in Table 2, including the Appendix Information.
Appendix Information As set out in Table ‎3.
Appropriate Safeguards The standard of protection over the Personal Data and of Data Subjects’ rights, which is required by UK Data Protection Laws when the Customer are making a Restricted Transfer relying on standard data protection clauses under Article 46(2)(d) UK GDPR.
Approved DPA The template DPA issued by the UK ICO and laid before UK Parliament in accordance with s119A of the Data Protection Act 2018 on 2 February 2022, as it is revised under clause 25 below.
Approved EU SCCs The Standard Contractual Clauses set out in the Annex of Commission Implementing Decision (EU) 2021/914 of 4 June 2021.
ICO The UK Information Commissioner.
Restricted Transfer A transfer which is covered by Chapter V of the UK GDPR.
UK The United Kingdom of Great Britain and Northern Ireland.
UK Data Protection Laws All laws relating to data protection, the processing of personal data, privacy and/or electronic communications in force from time to time in the UK, including the UK GDPR and the Data Protection Act 2018.
UK GDPR As defined in section 3 of the Data Protection Act 2018.

11. Deze IDTA DPA dient te allen tijde te worden geïnterpreteerd op een wijze die in overeenstemming is met de Britse Gegevensbeschermingswetgeving en zodanig dat deze voldoet aan de verplichting van de Partijen om de Passende Waarborgen te bieden.

12. Indien de bepalingen opgenomen in de DPA EU SCCs de Goedgekeurde SCCs wijzigen op een wijze die niet is toegestaan onder de Goedgekeurde EU SCCs of de Goedgekeurde DPA, worden dergelijke wijziging(en) niet opgenomen in deze IDTA DPA en treedt de overeenkomstige bepaling van de Goedgekeurde EU SCCs daarvoor in de plaats.

13. Als er een inconsistentie of conflict bestaat tussen de UK Data Protection Laws en deze IDTA DPA, zijn de UK Data Protection Laws van toepassing.

14. Als de betekenis van deze IDTA DPA onduidelijk is of meer dan één betekenis heeft, is de betekenis van toepassing die het nauwst aansluit bij de UK Data Protection Laws.

15. Verwijzingen naar wetgeving (of specifieke bepalingen van wetgeving) betekenen die wetgeving (of specifieke bepaling) zoals deze in de loop van de tijd kan wijzigen. Dit omvat gevallen waarin die wetgeving (of specifieke bepaling) is geconsolideerd, opnieuw vastgesteld en/of vervangen nadat deze IDTA DPA is aangegaan.

 

Hiërarchie

16. Hoewel Clausule 5 van de Goedgekeurde EU SCCs bepaalt dat de Goedgekeurde EU SCCs prevaleren boven alle gerelateerde overeenkomsten tussen de partijen, komen de partijen overeen dat voor Beperkte Overdrachten de hiërarchie in Sectie ‎17 prevaleert.

17. Waar er een inconsistentie of conflict bestaat tussen de Goedgekeurde DPA en de DPA EU SCCs (indien van toepassing), prevaleert de Goedgekeurde DPA boven de DPA EU SCCs, behalve waar (en voor zover) de inconsistente of conflicterende bepalingen van de DPA EU SCCs een grotere bescherming bieden aan betrokkenen, in welk geval die bepalingen prevaleren boven de Goedgekeurde DPA.

18. Waar deze IDTA DPA DPA EU SCCs incorporeert die zijn aangegaan ter bescherming van overdrachten die vallen onder de Algemene Verordening Gegevensbescherming (EU) 2016/679, erkennen de Partijen dat niets in deze IDTA DPA gevolgen heeft voor die DPA EU SCCs.

Opneming van en wijzigingen in de EU SCCs

19. Deze IDTA DPA incorporeert de DPA EU SCCs, die in de mate van het noodzakelijke worden gewijzigd zodat:

  1. zij samen van toepassing zijn op gegevensoverdrachten verricht door de gegevensexporteur aan de gegevensimporteur, voor zover de UK Data Protection Laws van toepassing zijn op de verwerking door de gegevensexporteur bij het verrichten van die gegevensoverdracht, en zij Passende Waarborgen bieden voor die gegevensoverdrachten;
  2. Clausules ‎16 tot en met ‎18 hieronder prevaleren boven Clausule 5 (Hiërarchie) van de DPA EU SCCs; en
  3. deze IDTA DPA (inclusief de daarin opgenomen DPA EU SCCs) (1) wordt beheerst door het recht van Engeland en Wales en (2) elk geschil dat daaruit voortvloeit wordt beslecht door de rechtbanken van Engeland en Wales, tenzij in elk geval het recht en/of de rechtbanken van Schotland of Noord-Ierland uitdrukkelijk door de Partijen zijn geselecteerd.

20. Tenzij de Partijen alternatieve wijzigingen zijn overeengekomen die voldoen aan de vereisten van bovenstaande clausule 19, zijn de bepalingen van Sectie ‎22 van toepassing.

21. Er mogen geen andere wijzigingen in de Goedgekeurde EU SCCs worden aangebracht dan om te voldoen aan de vereisten van Sectie ‎19.

22. De volgende wijzigingen in de DPA EU SCCs (ten behoeve van Sectie ‎19) worden aangebracht:

  1. zij samen van toepassing zijn op gegevensoverdrachten verricht door de gegevensexporteur aan de gegevensimporteur, voor zover de UK Data Protection Laws van toepassing zijn op de verwerking door de gegevensexporteur bij het verrichten van die gegevensoverdracht, en zij Passende Waarborgen bieden voor die gegevensoverdrachten;
  2. In Clausule 2 worden de woorden geschrapt: "and, with respect to data transfers from controllers to processors and/or processors to processors, standard contractual clauses pursuant to Article 28(7) of Regulation (EU) 2016/679";
  3. Clausule 6 (Beschrijving van de overdracht(en)) wordt vervangen door: "The details of the transfers(s) and in particular the categories of personal data that are transferred and the purpose(s) for which they are transferred) are those specified in Annex I.B where UK Data Protection Laws apply to the data exporter's processing when making that transfer.";
  4. Clausule 8.8(i) van Module 2 wordt vervangen door: "the onward transfer is to a country benefitting from adequacy regulations pursuant to Section 17A of the UK GDPR that covers the onward transfer;"
  5. Verwijzingen naar "Regulation (EU) 2016/679", "Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)" en "that Regulation" worden alle vervangen door "UK Data Protection Laws". Verwijzingen naar specifieke artikel(en) van "Regulation (EU) 2016/679" worden vervangen door het gelijkwaardige artikel of de gelijkwaardige sectie van de UK Data Protection Laws;
  6. Verwijzingen naar Regulation (EU) 2018/1725 worden verwijderd;
  7. Verwijzingen naar de "European Union", "Union", "EU", "EU Member State", "Member State" en "EU or Member State" worden alle vervangen door "UK";
  8. De verwijzing naar "Clause 12(c)(i)" in Clausule 10(b)(i) van Module één wordt vervangen door "Clause 11(c)(i)";
  9. Clausule 13(a) en Deel C van Bijlage I worden niet gebruikt;
    10.  
  10. De "competent supervisory authority" en "supervisory authority" worden beide vervangen door de "Information Commissioner";
  11. In Clausule 16(e) wordt subsectie (i) vervangen door: "the Secretary of State makes regulations pursuant to Section 17A of the Data Protection Act 2018 that cover the transfer of personal data to which these clauses apply;";
  12. Clausule 17 wordt vervangen door: "Deze Clausules worden beheerst door het recht van Engeland en Wales.";
  13. Clausule 18 wordt vervangen door: "Elk geschil dat voortvloeit uit deze Clausules wordt beslecht door de rechtbanken van Engeland en Wales. Een betrokkene kan ook een juridische procedure instellen tegen de gegevensexporteur en/of gegevensimporteur bij de rechtbanken van elk land in het UK. De Partijen stemmen in met de jurisdictie van dergelijke rechtbanken."; en
  14. De voetnoten bij de goedgekeurde EU SCCs maken geen deel uit van de IDTA DPA, met uitzondering van voetnoten 8, 9, 10 en 11.

Wijzigingen in deze IDTA DPA

23. De Partijen kunnen overeenkomen om Clausules 17 en/of 18 van de DPA EU SCCs te wijzigen zodat wordt verwezen naar het recht en/of de rechtbanken van Schotland of Noord-Ierland.

24. Indien de Partijen het formaat van de informatie in Deel 1: Tabellen van de goedgekeurde DPA wensen te wijzigen, kunnen zij dit doen door de wijziging schriftelijk overeen te komen, mits de wijziging de Passende Waarborgen niet vermindert.

25. Van tijd tot tijd kan de ICO een herziene goedgekeurde DPA uitvaardigen die:

  1. redelijke en proportionele wijzigingen aanbrengt in de Goedgekeurde DPA, inclusief het corrigeren van fouten in de Goedgekeurde DPA; en/of
  2. wijzigingen in de UK-wetgeving inzake gegevensbescherming weerspiegelt;

De herziene Goedgekeurde DPA vermeldt de ingangsdatum waarop de wijzigingen in de Goedgekeurde DPA van kracht worden en of de Partijen deze IDTA DPA, inclusief de Bijlageinformatie, dienen te herzien. Deze IDTA DPA wordt automatisch gewijzigd zoals uiteengezet in de herziene Goedgekeurde DPA vanaf de vermelde ingangsdatum.

26. Indien de ICO een herziene Goedgekeurde DPA uitgeeft op grond van Artikel ‎18, en indien een Partij geselecteerd in Tabel 4 "Beëindiging van de DPA bij wijziging van de Goedgekeurde DPA" als direct gevolg van de wijzigingen in de Goedgekeurde DPA een substantiële, onevenredige en aantoonbare toename ondervindt in: 

  1. haar directe kosten voor de nakoming van haar verplichtingen uit hoofde van de DPA; en/of
  2. haar risico uit hoofde van de DPA,

en in beide gevallen heeft zij eerst redelijke stappen ondernomen om die kosten of risico's te verminderen zodat deze niet substantieel en onevenredig zijn, dan kan die Partij deze IDTA DPA beëindigen aan het einde van een redelijke opzegtermijn, door de andere Partij schriftelijk in kennis te stellen voor die periode vóór de ingangsdatum van de herziene Goedgekeurde DPA.

27. De Partijen hebben de toestemming van derden niet nodig om wijzigingen aan te brengen in deze IDTA DPA, maar alle wijzigingen moeten worden aangebracht in overeenstemming met de bepalingen ervan.

Neem niet alleen ons woord ervoor

“We zijn overgestapt van WooCommerce naar een maatoplossing aangedreven door Marzipan. Het beheren van onze bestellingen gaat eenvoudig en de flexibiliteit van de subscriptions API heeft ons in staat gesteld ons aanbod voor old vine adoptions te verbeteren.”

Katie Jones met een Tuchan-hark
Katie Jones
Eigenaar, Domaine Jones

“Marzipan is ongelooflijk eenvoudig in gebruik, en uiterst flexibel en configureerbaar. Het maakt terugkerende abonnementswijnclubs veel eenvoudiger dan elk ander systeem dat ik heb gebruikt, en het verwerkt vrijwel alles wat we het hebben gegeven.”

Justin Howard-Sneyd, MW
Justin Howard-Sneyd, MW
Eigenaar, Domaine of the Bee