Aneks do umowy o przetwarzaniu danych Marzipan

To tłumaczenie zostało udostępnione wyłącznie dla wygody. Wersja angielska jest tekstem autorytatywnym i prawnie wiążącym; w przypadku jakichkolwiek rozbieżności wersja angielska ma pierwszeństwo.

Niniejszy Aneks do umowy o przetwarzaniu danych ("DPA") uzupełnia i jest włączony przez odniesienie do Umowy zawartej między Marzipan a Klientem wyłącznie na podstawie Regulaminu Marzipan w momencie, gdy Klient rejestruje się lub uzyskuje dostęp do jakichkolwiek Usług, w tym między innymi:

  1. usługa generowania i hostingu cyfrowych etykiet win świadczona przez Marzipan działający pod nazwą handlową "Labls" na labls.io i labls.co (w tym wszelkich ich subdomen), przeznaczona dla producentów wina zobowiązanych przepisami prawa do publikowania prawidłowych, zlokalizowanych informacji – w języku urzędowym UE – o pochodzeniu i składzie win dystrybuowanych na terenie UE zgodnie z Rozporządzeniem (UE) 2021/2117 ("Usługi Labls");
  2. oparta na chmurze platforma e-commerce i zarządzania danymi dostarczana przez Marzipan na marzipan.co (w tym wszelkich jej subdomenach), umożliwiająca winiarniom ujednolicenie działalności e-commerce poprzez zarządzanie stanami magazynowymi, zamówieniami, realizacją i wysyłką, płatnościami, analityką, kampaniami marketingowymi oraz komunikacją z klientami we wszystkich cyfrowych kanałach sprzedaży z jednego centralnego interfejsu panelu administracyjnego i systemu zarządzania treścią ("Usługi Platformy").

Niniejszy DPA ma zastosowanie w zakresie, w jakim Marzipan przetwarza Dane osobowe w imieniu Klienta jako Podmiot przetwarzający w związku ze świadczeniem Usług na podstawie Umowy. Kategorie Danych osobowych przetwarzanych przez Marzipan w ramach Usług są szczegółowo opisane w klauzuli 4 niniejszego DPA.

Ponieważ Rozporządzenie (UE) 2021/2117 zabrania winiarniom i innym podmiotom branżowym przetwarzania Danych osobowych konsumentów za pośrednictwem elektronicznych etykiet win umieszczanych na produktach, Marzipan zaprojektował swoją usługę hostingu i generowania e-etykiet na labls.io i labls.co w taki sposób, aby żadne Dane osobowe nie mogły być gromadzone ani śledzone przez Klienta ani Marzipan w odniesieniu do e-etykiety. Niniejszy DPA nie ma zatem zastosowania do tego aspektu Usług.

Capitalised terms that are not defined within this DPA have the meaning given to them in the Contract. For the avoidance of doubt, all references to the "Contract" shall include this DPA (including the Annexes to this DPA and the SCCs). In the case of any conflict between the Contract and this DPA, the DPA shall prevail with respect to the processing of Personal Data.

  1. Definicje

    Affiliate
    oznacza podmiot, który bezpośrednio lub pośrednio Kontroluje, jest Kontrolowany przez lub pozostaje pod wspólną Kontrolą z danym podmiotem.
    Cele Biznesowe
    Usługi świadczone przez Marzipan na rzecz Klienta zgodnie z definicją zawartą w Umowie.
    Kontrola
    means an ownership, voting or similar interest representing fifty percent (50%) or more of the total interests then outstanding of the entity in question. The term "Controlled" shall be construed accordingly.
    Klient
    osoba fizyczna lub prawna albo podmiot będący stroną Umowy.
    Konto Klienta
    wszelkie konta internetowe zarejestrowane przez Klienta w Usługach, które zapewniają autoryzowany dostęp do Usług.
    Dane Klienta
    oznacza wszelkie Dane Osobowe przetwarzane przez Marzipan w imieniu Klienta za pośrednictwem Usług.
    Przepisy o Ochronie Danych
    oznacza wszelkie obowiązujące przepisy prawa i regulacje w każdej właściwej jurysdykcji dotyczące wykorzystywania lub przetwarzania Danych Osobowych, w tym: (i) Kalifornijska ustawa o ochronie prywatności konsumentów z 2018 r. ("CCPA"); (ii) Ogólne rozporządzenie o ochronie danych ((UE) 2016/279) ("EU GDPR"); (iii) Szwajcarska federalna ustawa o ochronie danych; (iv) EU GDPR jako część prawa Anglii i Walii, Szkocji oraz Irlandii Północnej na mocy art. 3(10) (uzupełnionego przez art. 205(4)) ustawy o ochronie danych z 2018 r. ("UK GDPR"); (v) ustawa o ochronie danych z 2018 r. (wraz z wydanymi na jej podstawie rozporządzeniami) ("DPA 2018"); oraz (vi) rozporządzenie w sprawie prywatności i łączności elektronicznej z 2003 r. (SI 2003/2426) z późniejszymi zmianami ("PECR 2003"); przy czym każdy z wymienionych aktów prawnych uwzględnia wszelkie późniejsze aktualizacje, zmiany lub zastąpienia. Terminy "Administrator Danych", "Podmiot Przetwarzający", "Osoba, Której Dane Dotyczą", "Żądanie Osoby, Której Dane Dotyczą", "Dane Osobowe", "Naruszenie Ochrony Danych Osobowych", "Przetwarzanie", "Podprocesor" oraz "Organ Nadzorczy" mają znaczenia określone w EU GDPR.
    E-Label
    dedykowana elektroniczna etykieta wina hostowana na labls.io i labls.co (lub na stronie internetowej osoby trzeciej działającej w imieniu Marzipan), która gromadzi ustrukturyzowane informacje (treść e-etykiety) dotyczące wina lub aromatyzowanego wyrobu winiarskiego Klienta przeznaczonego na określony rynek EU, w jednym z 24 języków urzędowych państw członkowskich EU, i która spełnia ogólne oraz sektorowe wymogi etykietowania określone w unijnych przepisach dotyczących etykietowania wina.
    EOG
    Europejski Obszar Gospodarczy.
    Klienci Końcowi
    konsumenci lub klienci biznesowi, którym Klient oferuje, sprzedaje lub dostarcza produkty lub usługi za pośrednictwem Usług.
    Standardowe Klauzule Umowne UE
    oznaczają standardowe klauzule umowne między Administratorami a Podmiotami Przetwarzającymi zatwierdzone przez Komisję Europejską w decyzji wykonawczej (UE) 2021/914 z dnia 4 czerwca 2021 r., dostępne obecnie tutaj.
    Przepisy UE dotyczące etykietowania win
    zasady etykietowania win i aromatyzowanych produktów winiarskich wprowadzone rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2021/2117 zmieniającym rozporządzenie (UE) nr 1308/2013, w tym w zakresie, w jakim zasady te zostały wdrożone i weszły w życie na mocy rozporządzenia delegowanego Komisji (UE) 2019/33 z dnia 17 października 2018 r. uzupełniającego rozporządzenie (UE) nr 1308/2013/
    Przekazanie poza EOG
    oznacza przekazanie Danych Klienta, przetwarzanych zgodnie z EU GDPR, do serwera, sieci, systemu komputerowego, przedsiębiorstwa, osoby lub lokalizacji znajdującej się poza Europejskim Obszarem Gospodarczym, przy czym takie przekazanie nie jest objęte decyzją stwierdzającą odpowiedni stopień ochrony wydaną przez Komisję Europejską zgodnie z art. 45 EU GDPR.
    Przekazanie poza UK
    oznacza przekazanie Danych Klienta, przetwarzanych zgodnie z UK GDPR oraz ustawą o ochronie danych z 2018 r. (Data Protection Act 2018), do serwera, sieci, systemu komputerowego, przedsiębiorstwa, osoby lub lokalizacji znajdującej się poza terytorium UK, przy czym takie przekazanie nie jest objęte decyzją stwierdzającą odpowiedni stopień ochrony wydaną przez Sekretarza Stanu UK zgodnie z właściwymi przepisami UK GDPR oraz ustawy o ochronie danych z 2018 r.
    Usługi Labls
    usługi tworzenia, zarządzania i hostingu e-etykiet świadczone przez Marzipan na platformie labls.io w modelu subskrypcyjnym (lub innym), umożliwiające Klientom generowanie, administrowanie i publikowanie e-etykiet dla ich produktów winiarskich lub aromatyzowanych.
    Polityka Prywatności Marzipan
    oznacza informację o rzetelnym przetwarzaniu danych udostępnioną przez Marzipan pod adresem marzipan.co/privacy, zmienianą, zastępowaną i/lub uzupełnianą w miarę potrzeb.
    Usługi Platformy
    oparta na chmurze platforma e-commerce i zarządzania danymi, dostarczana przez Marzipan na marzipan.co, umożliwiająca winiarniom ujednolicenie działań e-commerce poprzez zarządzanie zapasami, zamówieniami, realizacją i wysyłką, płatnościami, analityką, kampaniami marketingowymi oraz komunikacją z klientami we wszystkich cyfrowych kanałach sprzedaży – z jednego centralnego interfejsu dashboardu i systemu zarządzania treścią.
    Incydent Bezpieczeństwa
    każde nieuprawnione lub niezgodne z prawem naruszenie bezpieczeństwa skutkujące przypadkowym lub niezgodnym z prawem zniszczeniem, utratą lub modyfikacją Danych Klienta albo ich nieuprawnionym ujawnieniem lub dostępem do nich w systemach zarządzanych lub kontrolowanych przez Marzipan.
    Service Provider
    ma znaczenie nadane w Kalifornijskiej Ustawie o Ochronie Prywatności Konsumentów z 2018 r. ("CCPA").
    Services
    oznacza, indywidualnie i łącznie, Usługi Labels oraz Usługi Platformy.
    Special Category Data
    ma znaczenia nadane w art. 4 ust. 13, 4 ust. 14, 4 ust. 15 oraz art. 9 EU GDPR i UK GDPR (odpowiednio).
    Standard Contractual Clauses (SCCs)
    oznacza odpowiednio EU SCCs oraz UK SCCs.
    UK Addendum
    oznacza Addendum do Międzynarodowego Transferu Danych (wersja B1.0) wydane przez Biuro Komisarza ds. Informacji (Information Commissioner's Office) na podstawie art. 119(A) UK Data Protection Act 2018, w brzmieniu zaktualizowanym lub zmienionym w dowolnym czasie (IDTA).
    UK SCCs
    oznacza EU SCCs zmienione i uzupełnione przez UK Addendum.
    Usage Data
    wszelkie dane generowane w związku z dostępem Klientów do Usług, ich użytkowaniem i konfiguracją oraz dane z nich wywodzone. Dane o Użytkowaniu nie obejmują Danych Klienta ani innych Danych Osobowych.

  2. Customer Instructions

    1. Marzipan i Klient uzgadniają, że niniejsza DPA oraz Umowa, wraz z konfiguracją lub korzystaniem przez Klienta z wszelkich ustawień, funkcji lub opcji dostępnych w ramach Usług (które Klient może modyfikować od czasu do czasu), stanowią pisemne udokumentowane instrukcje Klienta dotyczące przetwarzania Danych Klienta przez Marzipan (w tym na potrzeby UK SCCs) ("Udokumentowane Instrukcje"). Marzipan będzie przetwarzać Dane Klienta wyłącznie zgodnie z Udokumentowanymi Instrukcjami. Dodatkowe instrukcje wykraczające poza zakres Udokumentowanych Instrukcji (jeśli takie istnieją) wymagają uprzedniego pisemnego uzgodnienia pomiędzy Marzipan a Klientem.
    2. Marzipan jest uprawniony do rozwiązania niniejszej DPA oraz Umowy bez ponoszenia jakiejkolwiek odpowiedzialności wobec Klienta, jeżeli Marzipan odmówi wykonania instrukcji sprzecznych z Przepisami o Ochronie Danych lub jakimikolwiek mającymi zastosowanie przepisami dotyczącymi prywatności danych zawartymi w Unijnych Przepisach o Etykietowaniu Wina, lub wykraczających poza zakres instrukcji udzielonych lub uzgodnionych do udzielenia w niniejszej DPA bądź w jakiejkolwiek innej pisemnej umowie między stronami, bądź od nich odbiegających.
    3. Klient nie będzie przekazywać (ani powodować przekazania) Marzipan żadnych Danych Szczególnej Kategorii do przetwarzania w ramach Umowy, a Marzipan nie ponosi żadnej odpowiedzialności za Dane Szczególnej Kategorii, niezależnie od tego, czy jest to związane z Incydentem Bezpieczeństwa, czy nie. W celu uniknięcia wątpliwości, niniejsza DPA nie będzie miała zastosowania do Danych Szczególnej Kategorii.

  3. Data Processing

    1. When Marzipan processes Customer Data while providing the Services, Marzipan will:

      (a)w zakresie, w jakim zastosowanie ma UK GDPR lub EU GDPR, przetwarzać Dane Klienta jako Podmiot Przetwarzający działający w imieniu Klienta (niezależnie od tego, czy Klient jest Administratorem Danych, czy Podmiotem Przetwarzającym działającym w imieniu zewnętrznego Administratora Danych);

      (b)w zakresie, w jakim zastosowanie ma CCPA, przetwarzać Dane Klienta działając w jego imieniu jako Service Provider (szczegóły zawiera pkt 3.2 poniżej);

      (c)przetwarzać i przechowywać Dane Klienta wyłącznie na serwerach:

      a.obsługiwanych przez operatora centrum danych UpCloud Oy, fińską spółkę z ograniczoną odpowiedzialnością ("UpCloud"), w jej centrum danych DE-FRA1 we Frankfurcie, w Niemczech.

      b.obsługiwanych przez operatora centrum danych Scaleway SAS, francuską uproszczoną spółkę akcyjną ("Scaleway"), w jej centrum danych w Paryżu.

      c.obsługiwanych przez operatora centrum danych Hetzner Online GmbH, niemiecką spółkę z ograniczoną odpowiedzialnością ("Hetzner"), w jej centrach danych w Norymberdze i Falkenstein w Niemczech; oraz

      d.obsługiwanych przez dostawcę przechowywania danych w chmurze BunnyWay d.o.o., słoweńską spółkę z ograniczoną odpowiedzialnością ("BunnyWay"), w jej lokalizacji serwera brzegowego w Norymberdze, w Niemczech.

      (d)przetwarzać Dane Klienta wyłącznie w takim zakresie i w taki sposób, jaki jest niezbędny do realizacji Celów Biznesowych zgodnie z zgodymi z prawem Udokumentowanymi Instrukcjami Klienta (pod warunkiem że instrukcje te są współmierne do funkcjonalności Usług zakupionych przez Klienta w ramach Umowy);

      (e)jeżeli Marzipan jest zobowiązany przez prawo do przetwarzania Danych Klienta w jakimkolwiek celu innym niż Cele Biznesowe, Marzipan powiadomi Klienta o tym obowiązku przed przystąpieniem do takiego przetwarzania, chyba że przepisy prawa zabraniają Marzipan udzielenia takiego powiadomienia;

      (f)niezwłocznie stosować się do wszelkich zgodnych z prawem pisemnych instrukcji Klienta nakazujących Marzipan zmianę, przekazanie, usunięcie lub inne przetwarzanie Danych Klienta albo zaprzestanie, ograniczenie lub naprawienie wszelkiego nieuprawnionego przetwarzania;

      (g)zachowywać poufność Danych Klienta i nie ujawniać Danych Klienta podmiotom trzecim, chyba że Klient lub niniejsza DPA wyraźnie upoważnia do takiego ujawnienia lub jest to wymagane przez krajowe przepisy prawa, sąd lub regulacje (w tym wszelkie polecenia Komisarza UK ICO lub innego właściwego organu w UK i/lub EOG);

      (h)w rozsądnym zakresie pomagać Klientowi, bez dodatkowych kosztów dla Klienta, w wypełnianiu obowiązków Klienta wynikających z Przepisów o Ochronie Danych, z uwzględnieniem charakteru przetwarzania przez Marzipan oraz informacji dostępnych Marzipan, w tym w szczególności – lecz nie wyłącznie – poprzez udostępnianie Klientowi zasadnych informacji pomocnych przy przeprowadzaniu ocen skutków dla ochrony danych oraz udzielanie Klientowi pomocy w odpowiadaniu na żądania podmiotów danych; oraz

      (i)niezwłocznie informować Klienta o wszelkich zmianach w Przepisach o Ochronie Danych, które można zasadnie interpretować jako niekorzystnie wpływające na realizację przez Marzipan jego zobowiązań wynikających z Umowy lub niniejszej DPA.

    2. CCPA. Strony przyjmują do wiadomości i uzgadniają, że Marzipan jest Podmiotem Świadczącym Usługi (Service Provider) w odniesieniu do Danych Klienta na potrzeby CCPA (w zakresie, w jakim ma ona zastosowanie) i otrzymuje dane osobowe od Klienta w celu świadczenia Usług na podstawie Umowy, co stanowi cel biznesowy. Marzipan nie będzie sprzedawać takich danych osobowych. Marzipan nie będzie przechowywać, wykorzystywać ani ujawniać danych osobowych przekazanych przez Klienta na podstawie Umowy, z wyjątkiem przypadków niezbędnych do konkretnego celu świadczenia Usług na rzecz Klienta na podstawie niniejszej Umowy lub w inny sposób określony w niniejszej Umowie bądź dopuszczony przez CCPA. Terminy "dane osobowe" (personal information), "Podmiot Świadczący Usługi" (Service Provider), "sprzedaż" (sale) i "sprzedawać" (sell) mają znaczenie nadane im w Sekcji 1798.140 CPA (z późniejszymi zmianami, ponownym uchwaleniem lub aktualizacjami). Marzipan oświadcza, że rozumie ograniczenia wynikające z niniejszego postanowienia (i).
    3. Usługi Podmiotów Trzecich. W ramach Usług Marzipan oferuje Klientowi możliwość integracji i/lub połączenia Usług z określonymi usługami, integracjami i aplikacjami podmiotów trzecich ("Usługi Podmiotów Trzecich"). Prosimy pamiętać, że korzystanie przez Klienta z Usług Podmiotów Trzecich będzie w każdym przypadku regulowane wyłącznie przez warunki i polityki prywatności (łącznie "EULA") zgodnie z którymi Dostawca Usług Podmiotów Trzecich udostępnia Klientowi odpowiednie Usługi Podmiotów Trzecich ("Dostawca Usług Podmiotów Trzecich"). Każda EULA jest zawierana wyłącznie pomiędzy Klientem a Dostawcą Usług Podmiotów Trzecich, a Marzipan nie jest stroną takich umów EULA.
    4. W przypadku gdy Klient zleca nam integrację produktów lub kont Marzipan Klienta z jedną lub większą liczbą Usług Podmiotów Trzecich, Klient wyraża zgodę na to, aby Marzipan przekazał Dane Klienta Dostawcom Usług Podmiotów Trzecich w celu umożliwienia im świadczenia usług na rzecz Klienta. W przypadku gdy Dostawcy Usług Podmiotów Trzecich następnie przetwarzają Dane Klienta, odbywa się to zgodnie z odpowiednimi postanowieniami dotyczącymi prywatności zawartymi w ich EULA, a Marzipan nie ponosi odpowiedzialności za takie przetwarzanie.
    5. Third-Party Services from the following Third-Party Service Providers are currently available to be integrated and/or interfaced with Marzipan.
      Name Description
      Fathom Analytics This integration allows Customers who are subscribed to Fathom Analytics’ web analytics service to view their Fathom Analytics dashboard within Marzipan’s e-commerce and data management platform. All EEA and UK traffic processed via the integration is processed solely on EU servers owned and operated by the German cloud service provider etzner Online GmbH, a German legal entity.
      MailChimp This integration allows Customers who are subscribed to MailChimp’s email marketing service to send data to MailChimp to enable the Customer to send emails to their subscribers.
    6. Prosimy pamiętać, że w przypadku gdy Marzipan umożliwia Klientowi integrację Usług z jakąkolwiek Usługą Podmiotów Trzecich niewymienionych w powyższej tabeli, korzystanie przez Klienta z takiej Usługi Podmiotów Trzecich będzie regulowane przez obowiązującą EULA właściwego Dostawcy Usług Podmiotów Trzecich na tych samych zasadach, co określone w punkcie (i) niniejszej Umowy.
    7. SCC. Jeżeli Marzipan i Klient zawarli Standardowe Klauzule Umowne opisane w punkcie 10 (Przekazywanie Danych Klienta), (i) instrukcja Klienta dla Marzipan zawarta w punkcie 3.3 niniejszej Umowy dotycząca integracji Usług Podmiotów Trzecich (stosownie do przypadku) jako części Usług stanowić będzie uprzednią pisemną zgodę Klienta na przekazanie Danych Klienta przez Marzipan Dostawcy Usług Podmiotów Trzecich, jeżeli taka zgoda jest wymagana na podstawie SCC; (ii) strony uzgadniają, że kopie umów z Dostawcami Usług Podmiotów Trzecich, które Marzipan musi udostępnić Klientowi zgodnie z Klauzulą 9(c) unijnych SCC lub odpowiednią klauzulą brytyjskich SCC (stosownie do przypadku), mogą zostać uprzednio zanonimizowane przez Marzipan poprzez usunięcie informacji handlowych lub informacji niezwiązanych ze Standardowymi Klauzulami Umownymi lub ich odpowiednikami, a takie zanonimizowane kopie będą udostępniane przez Marzipan wyłącznie na pisemny wniosek Klienta.
    8. The Customer’s responsibilities. The Customer:

      (a)będzie Administratorem Danych w odniesieniu do wszelkich Danych Klienta;

      (b)pozostaje odpowiedzialny za wypełnianie przez Klienta obowiązków wynikających z obowiązujących Przepisów o Ochronie Danych, w tym w szczególności za przekazywanie wszelkich wymaganych powiadomień oraz uzyskiwanie wszelkich wymaganych zgód niezbędnych do tego, aby Marzipan mógł przetwarzać Dane Klienta w Celach Biznesowych;

      (c)nie będzie przekazywać (ani powodować przekazania) Marzipan żadnych Szczególnych Kategorii Danych do przetwarzania na podstawie Umowy, a Marzipan nie ponosi jakiejkolwiek odpowiedzialności za Szczególne Kategorie Danych, niezależnie od tego, czy wiąże się to z Incydentem Bezpieczeństwa, czy też nie. Dla uniknięcia wątpliwości niniejsza DPA nie ma zastosowania do Szczególnych Kategorii Danych;

      (d)oświadcza i zapewnia, że przestrzegała i będzie nadal przestrzegać wszystkich obowiązujących przepisów prawa, w tym Przepisów o Ochronie Danych, w zakresie przetwarzania Danych Klienta oraz wszelkich Udokumentowanych Instrukcji wydanych Marzipan;

      (e)ponosi wyłączną odpowiedzialność za dokładność, jakość i zgodność z prawem Danych Klienta oraz za sposób, w jaki Klient pozyskał Dane Klienta. Bez uszczerbku dla ogólności powyższego, Klient zobowiązuje się do przestrzegania wszelkich przepisów prawa (w tym Przepisów o Ochronie Danych) mających zastosowanie do treści tworzonych, wysyłanych lub zarządzanych za pośrednictwem Usług;

      (f)zapewni, że przetwarzanie Danych Klienta przez Marzipan zgodnie z Udokumentowanymi Instrukcjami Klienta nie spowoduje naruszenia przez Marzipan jakichkolwiek obowiązujących przepisów prawa, regulacji lub zasad, w tym, bez ograniczeń, Przepisów o Ochronie Danych. Marzipan niezwłocznie powiadomi Klienta na piśmie, o ile nie jest to zabronione przez Przepisy o Ochronie Danych, jeżeli dowie się lub uzna, że jakakolwiek instrukcja przetwarzania danych wydana przez Klienta narusza Przepisy o Ochronie Danych; oraz

      (g)w zakresie, w jakim działa jako podmiot przetwarzający w imieniu administratora będącego stroną trzecią (lub innego pośrednika wobec ostatecznego administratora), zapewnia, że jej Udokumentowane Instrukcje określone w Umowie i niniejszym DPA, w tym upoważnienia udzielone Marzipan do powoływania Podpodmiotów przetwarzających zgodnie z niniejszym DPA, zostały zatwierdzone przez właściwego administratora.

  4. Rodzaje Danych Klienta i Cele Przetwarzania

    1. Przedmiot. Przedmiotem przetwarzania danych na podstawie niniejszego DPA są Dane Klienta przetwarzane za pośrednictwem Usług.
    2. Czas trwania. W relacji między Marzipan a Klientem to Klient określa czas trwania przetwarzania danych na podstawie niniejszego DPA. Klient może zawiesić lub zakończyć przetwarzanie danych poprzez zawieszenie lub rozwiązanie subskrypcji Klienta na Usługi Platformy i/lub Usługi Labls (w stosownych przypadkach) lub zawieszenie wszelkich integracji hostowanych przez Marzipan (takich jak zastrzeżone API udostępniane przez Marzipan Klientowi), z których Klient korzysta w ramach swojej działalności
    3. Cel. Celem przetwarzania danych na podstawie niniejszego DPA jest świadczenie Usług inicjowanych przez Klienta od czasu do czasu, w tym – tytułem przykładu – udostępnianie Klientowi platformy e-commerce i zarządzania danymi Marzipan oraz/lub usługi generowania i hostowania e-etykiet.
    4. Nature of the processing. Marzipan enables businesses to unify their e-commerce activities and generate E-Labels for their wine products, including by providing the "Services" as defined in clause 1 of this DPA. These Services include the processing of Customer Data by Marzipan, its Sub-processors and, as applicable, the Third-Party Service Providers. Customer Data may be uploaded to and/or processed on the Services by the Customer on the Customer Account, any API that Marzipan makes available that interface with the Services from time to time; and (iii) any Third-Party Services that share Customer Data with the Services.
    5. Types of Customer Data. Customer Data uploaded to the Services:

      (a)przez Klienta na Koncie Klienta;

      (b)za pośrednictwem dowolnych interfejsów API lub komponentów webowych Marzipan łączących Usługi z systemami Klienta; oraz

      (c)za pośrednictwem wszelkich Usług Podmiotów Trzecich, które Klient integruje z Usługami.

      Rodzaje Danych Osobowych przesyłanych do Usług w ramach Danych Klienta mogą obejmować:

      • Imię i nazwisko klienta, adres e-mail, dane kontaktowe, rozliczeniowe i wysyłkowe.
      • Informacje o zakupach, subskrypcjach (tj. klubie winnym) i innych transakcjach (w tym między innymi informacje o statusie) z fizycznych i cyfrowych punktów sprzedaży Klienta;
      • Aktywność Końcowego Klienta w cyfrowych punktach sprzedaży Klienta, w tym historia zamówień, przeglądane produkty oraz produkty dodane do koszyka.
      • Informacje o urządzeniu Końcowego Klienta używanym podczas odwiedzania punktów sprzedaży Klienta, w tym adres IP, przeglądarka oraz aktywność sieciowa.
      • Wszelkie inne Dane Osobowe, które Klient zdecyduje się udostępnić za pośrednictwem Marzipan.
    6. Kategorie Osób, których dane dotyczą. Osoba, której dane dotyczą, może obejmować (i) Klienta, jego pracowników, wykonawców, agentów, dostawców i sprzedawców oraz (ii) rzeczywistych i potencjalnych Końcowych Klientów Klienta.

  5. Bezpieczeństwo przetwarzania danych

    1. Marzipan zobowiązuje się przez cały czas wdrażać odpowiednie środki techniczne i organizacyjne chroniące przed nieuprawnionym lub niezgodnym z prawem przetwarzaniem, dostępem, kopiowaniem, modyfikowaniem, powielaniem, wyświetlaniem lub rozpowszechnianiem Danych Klienta, a także przed przypadkową lub niezgodną z prawem utratą, zniszczeniem, zmianą, ujawnieniem lub uszkodzeniem Danych Klienta, w tym między innymi środki opisane w Standardach Bezpieczeństwa Marzipan (Załącznik A), w każdym przypadku w celu zapewnienia poziomu bezpieczeństwa Danych Klienta odpowiedniego do ryzyka, zgodnie z art. 32 EU/UK GDPR.
    2. Marzipan shall implement such measures to ensure a level of security appropriate to the risk involved, including as appropriate:

      (a)pseudonimizacja i szyfrowanie Danych Klienta;

      (b)zdolność do zapewnienia stałej poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

      (c)zdolność do terminowego przywrócenia dostępności i dostępu do Danych Klienta w przypadku incydentu fizycznego lub technicznego; oraz

      (d)proces regularnego testowania, oceniania i ewaluacji skuteczności środków bezpieczeństwa.

  6. Pracownicy Marzipan

    1. Marzipan will ensure its employees, contractors and agents:

      (a)są poinformowane o poufnym charakterze Danych Klienta i są związane zobowiązaniami do zachowania poufności oraz ograniczeniami w zakresie korzystania z Danych Klienta;

      (b)przeszły szkolenie w zakresie Przepisów o Ochronie Danych dotyczących postępowania z Danymi Klienta oraz sposobu ich stosowania w ramach wykonywanych obowiązków; oraz

      (c)są świadome zarówno obowiązków Marzipan, jak i swoich osobistych obowiązków i zobowiązań wynikających z Przepisów o Ochronie Danych i Umowy.

  7. Bezpieczeństwo

    1. Marzipan zobowiązuje się przez cały czas wdrażać odpowiednie środki techniczne i organizacyjne chroniące przed nieuprawnionym lub niezgodnym z prawem przetwarzaniem, dostępem, kopiowaniem, modyfikowaniem, powielaniem, wyświetlaniem lub rozpowszechnianiem Danych Klienta, a także przed przypadkową lub niezgodną z prawem utratą, zniszczeniem, zmianą, ujawnieniem lub uszkodzeniem Danych Klienta.
    2. Marzipan shall implement such measures to ensure a level of security appropriate to the risk involved, including for illustrative purposes and as appropriate:

      (a)pseudonimizacja i szyfrowanie Danych Klienta;

      (b)zdolność do zapewnienia stałej poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

      (c)zdolność do terminowego przywrócenia dostępności i dostępu do Danych Klienta w przypadku incydentu fizycznego lub technicznego; oraz

      (d)proces regularnego testowania, oceniania i ewaluacji skuteczności środków bezpieczeństwa.

  8. Naruszenie ochrony danych osobowych

    1. Marzipan shall within 72 hours and in any event without undue delay notify the Customer if it becomes aware of:

      (a)utrata, niezamierzone zniszczenie lub uszkodzenie, naruszenie integralności lub inne pogorszenie stanu części lub wszystkich Danych Klienta;

      (b)jakiekolwiek przypadkowe, nieuprawnione lub niezgodne z prawem przetwarzanie Danych Klienta; lub

      (c)jakiekolwiek Naruszenie ochrony danych osobowych.

    2. Where Marzipan becomes aware of any of the foregoing matters described in clauses 8.1(a), (b) and/or (c) above, it shall, without undue delay, also provide the Customer with the following:

      (a)opis charakteru zdarzenia odnotowanego w związku z klauzulami 8.1(a), (b) i/lub (c), w tym kategorie objętych zakresem Danych Klienta oraz przybliżona liczba zarówno Osób, których dane dotyczą, jak i ewidencjonowanych Danych Klienta; lub

      (b)opis środków podjętych lub planowanych w celu zaradzenia zdarzeniom odnotowanym w związku z klauzulami 8.1(a), (b) i/lub (c), w tym środków mających na celu złagodzenie ich możliwych negatywnych skutków.

    3. Niezwłocznie po stwierdzeniu przypadkowego, nieuprawnionego lub niezgodnego z prawem przetwarzania Danych Klienta lub Naruszenia ochrony danych osobowych, Marzipan skontaktuje się z Klientem w celu wspólnego przeprowadzenia dochodzenia w danej sprawie.
    4. Marzipan nie poinformuje żadnej strony trzeciej o przypadkowym, nieuprawnionym lub niezgodnym z prawem przetwarzaniu całości lub części Danych Klienta i/lub Naruszeniu Danych Osobowych bez uprzedniego uzyskania pisemnej zgody Klienta, z wyjątkiem przypadków, gdy takie ujawnienie jest niezbędne w ramach środków potrzebnych do zaradzenia takiemu przetwarzaniu lub Naruszeniu Danych Osobowych albo gdy takie ujawnienie jest wymagane przez obowiązujące przepisy prawa.
    5. Marzipan pokryje uzasadnione koszty związane z wykonaniem swoich zobowiązań wynikających z klauzul 8.1 i 8.2, chyba że dana kwestia powstała w wyniku szczegółowych pisemnych instrukcji Klienta, jego niedbalstwa, umyślnego uchybienia lub naruszenia DPA lub Umowy – w takim przypadku Klient pokryje wszelkie uzasadnione koszty (w tym uzasadnione koszty Marzipan oraz jego doradców profesjonalnych).

  9. Podmioty przetwarzające

    1. Marzipan uses the following Sub-processors to host and/or process Customer Data, to provide infrastructure and network services to support Marzipan, and to perform service functions on our behalf as part of the Services:
      Name Description
      Active Campaign LLC Trading as "Postmark", Active Campaign delivers transactional emails (e.g. password reset emails, notification emails, receipt and invoice emails) on behalf of Marzipan as part of the Services.
      Automattic, Inc. Trading as "Gravatar." Automattic allows Customers to upload pre-existing image and public profile data to the Platform Services.
      BunnyWay d.o.o BunnyWay provides Marzipan with Domain Name System (DNS), Website Application Firewall (WAF) and Content Delivery Network (CDN) services.
      Fathom Analytics Fathom Analytics provides web analytics services that enable Marzipan to track and analyse web traffic’s engagement with the Services.
      Functional Software Inc. Trading as "Sentry", Functional Software provides Marzipan with crash and error monitoring services in respect of the Services.
      Internet Security Research Group ISRG’s "Let’s Encrypt" service provides Marzipan with the digital certificate necessary to enable HTTPS (SLS/TLS) on its websites.
      Laravel Holdings Inc. Laravel provides Marzipan with its: (i) "Forge" server management services in relation to the provisioning and deployment of the Services on Hetzner Online GmbH’s servers; and (ii) "Envoyer" zero downtime deployment services.
      OhMySMTP Ltd OhMySMTP, trading as "MailPace", provides Marzipan with email services for sending transactional emails (e.g. password reset emails, notification emails, order confirmation emails) on behalf of Marzipan as part of the Services.
      PayPal UK Ltd PayPal provides Marzipan with authorised payment gateway and payment processing services in respect of payload and payment data submitted to the Services.
      Stripe Payments UK, Ltd. Stripe provides Marzipan with authorised payment gateway and payment processing services in respect of payload and payment data submitted to the Services.
    2. Klient upoważnia nas do korzystania z Podmiotów przetwarzających wymienionych w klauzuli 9.1 powyżej w ramach Usług, a ponadto udziela nam ogólnego upoważnienia do korzystania z innych Podmiotów przetwarzających w celu realizacji czynności przetwarzania Danych Klienta zbieranych od Klienta na podstawie Umowy; Marzipan powiadomi Klienta o dodaniu lub usunięciu Podmiotów przetwarzających co najmniej 10 dni przed dokonaniem takich zmian.
    3. Where Marzipan engages a Sub-processor as described in clause 9.1:

      (a)Marzipan ograniczy dostęp Podmiotu przetwarzającego do danych wyłącznie do zakresu, który jest zasadnie niezbędny do świadczenia, utrzymania lub ulepszania Usług; oraz

      (b)Marzipan zawrze z Podmiotem przetwarzającym pisemną umowę o przetwarzaniu danych, a w zakresie, w jakim Podmiot przetwarzający wykonuje te same usługi przetwarzania danych, co świadczone przez Marzipan na podstawie niniejszego DPA, Marzipan nałoży na Podmiot przetwarzający te same zobowiązania umowne, którym podlega Marzipan na mocy niniejszego dokumentu.

    4. If Marzipan and the Customer have entered into Standard Contractual Clauses as described in clause 10 (Transfers of Customer Data):

      (a)powyższe upoważnienia będą stanowić uprzednią pisemną zgodę Klienta na powierzenie przez Marzipan przetwarzania Danych Klienta podwykonawcom, jeżeli taka zgoda jest wymagana na podstawie SCC;oraz

      (b)Marzipan zawrze z Podmiotem przetwarzającym pisemną umowę o przetwarzaniu danych, a w zakresie, w jakim Podmiot przetwarzający wykonuje te same usługi przetwarzania danych, co świadczone przez Marzipan na podstawie niniejszego DPA, Marzipan nałoży na Podmiot przetwarzający te same zobowiązania umowne, którym podlega Marzipan na mocy niniejszego dokumentu.

    5. If Marzipan and the Customer have entered into Standard Contractual Clauses as described in clause 10 (Transfers of Customer Data):

      (a)powyższe upoważnienia będą stanowić uprzednią pisemną zgodę Klienta na powierzenie przez Marzipan przetwarzania Danych Klienta podwykonawcom, jeżeli taka zgoda jest wymagana na podstawie SCC; oraz

      (b)Strony uzgadniają, że kopie umów z Podmiotami przetwarzającymi, które Marzipan zobowiązany jest przekazać Klientowi zgodnie z Klauzulą 9(c) EU SCC lub odpowiednią klauzulą UK SCC (w zależności od przypadku), mogą zostać wcześniej pozbawione przez Marzipan informacji handlowych lub informacji niezwiązanych ze Standardowymi Klauzulami Umownymi lub ich odpowiednikiem, a takie zanonimizowane kopie będą udostępniane przez Marzipan wyłącznie na pisemny wniosek Klienta.

  10. Przekazywanie Danych Klienta

    1. Strony uzgadniają, że Marzipan może przekazywać Dane Klienta przetwarzane na podstawie Umowy poza EOG, UK lub Szwajcarię w zakresie niezbędnym do świadczenia Usług. Klient przyjmuje do wiadomości, że operacje przetwarzania wielu Zewnętrznych Dostawców Usług i Podmiotów przetwarzających odbywają się w Stanach Zjednoczonych, a przekazanie Danych Klienta jest niezbędne do świadczenia Usług na rzecz Klienta. Jeżeli Marzipan przekazuje Dane Klienta chronione na podstawie niniejszej Umowy do jurysdykcji, dla której Komisja Europejska lub Sekretarz Stanu UK (w zależności od przypadku) nie wydały decyzji stwierdzającej odpowiedni stopień ochrony, Marzipan zapewni wdrożenie odpowiednich zabezpieczeń dla przekazywania Danych Klienta zgodnie z Przepisami o Ochronie Danych.
    2. Ex-EEA Transfers. The parties agree that ex-EEA Transfers are made pursuant to Module Two (Controller to Processor) of the EU SCCs which is deemed entered (and incorporated into this DPA) and which shall apply as follows (unless stated otherwise, references to clause numbers are references to clause numbers of Module Two of the EU SCCs):

      (a)Opcjonalna klauzula dołączenia przewidziana w Klauzuli 7 nie ma zastosowania;

      (b)W Klauzuli 9 zastosowanie ma Opcja 2 (ogólne pisemne upoważnienie), a minimalny okres wyprzedzenia dla wcześniejszego powiadomienia o zmianach Podmiotów przetwarzających ustala się zgodnie z klauzulą 9.2 niniejszego DPA;

      (c)W Klauzuli 11 opcjonalne sformułowanie nie ma zastosowania;

      (d)Wszystkie nawiasy kwadratowe w Klauzuli 12 zostają niniejszym usunięte;

      (e)W Klauzuli 17 (Opcja 1) standardowe klauzule umowne EU SCCs podlegają prawu irlandzkiemu;

      (f)W klauzuli 18(b) spory będą rozstrzygane przed sądami Irlandii;

      (g)Part 1 of Annex B ("Cross-Border Transfers") to this DPA contains the information required in Annex I of the EU SCCs;

      (h)Part 1 of Annex B ("Cross-Border Transfers") to this DPA contains the information required in Annex II of the EU SCCs;

      (i)Przystępując do niniejszego DPA, strony uznaje się za sygnatariuszy włączonych do niego EU SCCs, w tym ich Załączników.

    3. Ex-UK Transfers

      (a)The parties agree that the IDTA DPA shall apply to an ex-UK Transfer. Part 2 of Annex B ("Cross-Border Transfers") contains the information required in the IDTA DPA.

    4. Transfers from Switzerland. The parties agree that transfers from Switzerland are made pursuant to the EU SCCs with the following modifications:

      (a)The terms "General Data Protection Regulation" or "Regulation (EU) 2016/679" as utilised in the EU SCCs shall be interpreted to include the Federal Act on Data Protection of 19 June 2022 (the "FADP"), and as revised as of 25 September 2020, the "Revised FADP") with respect to data transfers subject to FADP.

      (b)Warunki EU SCCs będą interpretowane w celu ochrony danych osób prawnych do momentu wejścia w życie przepisów Znowelizowanej FADP (Federalnej Ustawy o Ochronie Danych).

      (c)Klauzula 13 EU SCCs zostaje zmodyfikowana w celu przyznania Federalnemu Komisarzowi ds. Ochrony Danych i Informacji ("FDPIC") Szwajcarii uprawnień w zakresie nadzoru nad transferami danych regulowanymi przez FADP, natomiast właściwy unijny organ nadzorczy będzie sprawował nadzór nad transferami danych regulowanymi przez EU GDPR. Z zastrzeżeniem powyższego, wszystkie pozostałe wymogi Klauzuli 13 EU SCCs muszą być przestrzegane.

      (d)The term "EU Member State" as utilised in the EU SCCs shall not be interpreted in such a way to exclude the Data Subjects in Switzerland from exercising their rights in their place of habitual residence in accordance with Clause 18(c) of the EU SCCs.

    5. Supplementary Measures. In respect of any ex-EEA Transfer or ex-UK Transfer, the following supplementary measures shall apply:

      (a)Na dzień zawarcia niniejszego DPA Importer Danych nie otrzymał żadnych formalnych wniosków prawnych od żadnych służb wywiadowczych ani organów bezpieczeństwa państwowego w kraju, do którego eksportowane są Dane Klienta, dotyczących dostępu do Danych Klienta (lub ich kopii) ("Wnioski Organów Rządowych");

      (b)Jeżeli po dacie zawarcia niniejszego DPA Importer Danych otrzyma jakiekolwiek Wnioski Organów Rządowych, Marzipan podejmie próbę skierowania organu ścigania lub agencji rządowej z wnioskiem o uzyskanie danych bezpośrednio od Klienta. W ramach tych działań Klient wyraża zgodę na przekazanie organowi rządowemu podstawowych danych kontaktowych Klienta. W przypadku gdy Marzipan zostanie zobowiązany do ujawnienia Danych Klienta organowi ścigania lub agencji rządowej, Marzipan powiadomi Klienta z rozsądnym wyprzedzeniem o takim żądaniu i będzie współpracował, aby umożliwić Klientowi ubieganie się o wydanie nakazu ochronnego lub innego właściwego środka prawnego, chyba że Marzipan jest prawnie zobowiązany do zachowania poufności. Marzipan nie będzie dobrowolnie ujawniał Danych Klienta żadnemu organowi ścigania ani agencji rządowej. Marzipan niezwłocznie (gdy tylko będzie to racjonalnie możliwe) omówi i ustali, czy wszystkie lub niektóre transfery Danych Klienta realizowane na podstawie niniejszego DPA powinny zostać zawieszone w świetle takich Wniosków Organów Rządowych;

      (c)Marzipan and the Data Exporter will meet regularly to consider whether:

      a.Ochrona zapewniana przez przepisy prawa kraju Importera Danych osobom, których dane osobowe są przekazywane w ramach Danych Klienta, jest wystarczająca, aby zagwarantować ochronę zasadniczo równoważną tej obowiązującej w EOG lub UK, zależnie od okoliczności;

      b.Dodatkowe środki są racjonalnie niezbędne, aby umożliwić dokonanie transferu zgodnie z Przepisami o Ochronie Danych;

      c.Transfer Danych Klienta do właściwego Importera Danych jest nadal uzasadniony, z uwzględnieniem wszystkich istotnych informacji dostępnych stronom oraz wytycznych wydanych przez Organy Nadzorcze.

      (d)Jeżeli Przepisy o Ochronie Danych wymagają, aby Marzipan zawarł Standardowe Klauzule Umowne mające zastosowanie do konkretnego transferu Danych Klienta do Importera Danych w formie odrębnej umowy, Importer Danych na żądanie Marzipan niezwłocznie podpisze takie Standardowe Klauzule Umowne, uwzględniając zmiany, których Marzipan może racjonalnie wymagać w celu odzwierciedlenia właściwych załączników, szczegółów transferu oraz wymogów Przepisów o Ochronie Danych; oraz

      (e)Jeżeli (i) którykolwiek ze środków legalizujących transfery poza EOG, UK lub Szwajcarię, określonych w niniejszym DPA, przestanie być ważny; lub (ii) jakikolwiek Organ Nadzorczy zażąda zawieszenia transferów Danych Klienta realizowanych na podstawie tych środków, wówczas Importer Danych może, za powiadomieniem Marzipan, ze skutkiem od daty wskazanej w takim powiadomieniu, zmienić lub wprowadzić alternatywne rozwiązania w odniesieniu do takich transferów, zgodnie z wymogami Przepisów o Ochronie Danych.

    6. Podmioty przetwarzające. W przypadku gdy Klient wyraża zgodę na wyznaczenie przez nas podmiotu przetwarzającego (Sub-procesora) zlokalizowanego poza EOG zgodnie z postanowieniami klauzuli 9, lub gdy Klient decyduje się na integrację Usługi Zewnętrznej dostawcy spoza EOG zgodnie z klauzulą 3, Klient upoważnia nas do zawarcia Standardowych Klauzul Umownych z taką stroną, w tym w imieniu i na rzecz Klienta.

  11. Skargi, żądania podmiotów danych i prawa osób trzecich

    1. Marzipan will take such reasonable technical and organisational measures as appropriate, and promptly provide such information to the Customer as the Customer may require, to enable the Customer to comply with:

      (a)the rights of Data Subjects under the Data Protection Laws, including subject access rights, the rights to rectify, port and erase Customer Data, object to the processing and automated processing of Customer Data, and restrict the processing of Customer Data; and/p>

      (b)informacje lub zawiadomienia kontrolne doręczone Klientowi przez UK ICO (lub inny właściwy organ nadzorczy w EOG) na podstawie Przepisów o Ochronie Danych.

    2. Marzipan niezwłocznie powiadomi Klienta na piśmie, jeżeli otrzyma jakąkolwiek skargę, zawiadomienie lub komunikat dotyczący bezpośrednio lub pośrednio przetwarzania Danych Klienta bądź przestrzegania Przepisów o Ochronie Danych przez Marzipan lub Klienta.
    3. Marzipan powiadomi Klienta w ciągu 14 dni, jeżeli otrzyma od Podmiotu Danych wniosek o dostęp do jego Danych Klienta lub o wykonanie innych przysługujących mu praw na podstawie Przepisów o Ochronie Danych.
    4. Marzipan udzieli Klientowi pomocy w udzielaniu odpowiedzi na wszelkie skargi, zawiadomienia, komunikaty lub wnioski Podmiotów Danych.
    5. Marzipan nie ujawni Danych Klienta żadnemu Podmiotowi Danych ani żadnej osobie trzeciej, chyba że zgodnie z pisemnymi instrukcjami Klienta lub zgodnie z wymogami prawa krajowego.

  12. Czas trwania i rozwiązanie

    1. This DPA will remain in full force and effect so long as:

      (a)Umowa pozostaje w mocy; lub

      (b)Marzipan przechowuje jakiekolwiek Dane Klienta związane z Umową w swoim posiadaniu lub pod swoją kontrolą ("Okres obowiązywania").

    2. Wszelkie postanowienia niniejszego DPA, które wyraźnie lub w sposób dorozumiany powinny wejść w życie lub pozostawać w mocy po rozwiązaniu Umowy w celu ochrony Danych Klienta, zachowują pełną moc i skuteczność.
    3. Niewywiązanie się przez Marzipan z warunków niniejszego DPA stanowi istotne naruszenie Umowy. W takim przypadku Klient może rozwiązać Umowę ze skutkiem natychmiastowym w drodze pisemnego powiadomienia Marzipan, bez ponoszenia dalszej odpowiedzialności lub zobowiązań.
    4. Jeżeli zmiana Przepisów o Ochronie Danych uniemożliwia którejkolwiek ze stron wypełnienie wszystkich lub części jej zobowiązań wynikających z Umowy, strony mogą uzgodnić zawieszenie przetwarzania Danych Klienta do czasu, gdy przetwarzanie to będzie zgodne z nowymi wymogami. Jeżeli strony nie będą w stanie dostosować przetwarzania Danych Klienta do wymogów Przepisów o Ochronie Danych w ciągu 90 dni, każda ze stron może rozwiązać Umowę ze skutkiem natychmiastowym w drodze pisemnego powiadomienia drugiej strony.

  13. Zwrot i usunięcie danych

    1. Na wniosek Klienta Marzipan przekaże Klientowi lub osobie trzeciej wskazanej na piśmie przez Klienta kopię lub dostęp do wszystkich lub części Danych Klienta znajdujących się w jego posiadaniu lub pod jego kontrolą, w formacie i na nośniku racjonalnie wskazanym przez Klienta.
    2. Po rozwiązaniu lub wygaśnięciu Umowy z jakiegokolwiek powodu albo po zakończeniu świadczenia Usług, Marzipan zwróci lub usunie Dane Klienta, chyba że dalsze przechowywanie Danych Klienta jest wymagane lub dozwolone przez obowiązujące przepisy prawa. Jeżeli zwrot lub zniszczenie danych jest niemożliwe lub zakazane przez prawo, przepisy lub regulacje, Marzipan podejmie działania mające na celu zablokowanie dalszego przetwarzania takich Danych Klienta (z wyjątkiem zakresu niezbędnego do ich dalszego przechowywania lub przetwarzania wymaganego przez prawo, przepisy lub regulacje) i będzie nadal odpowiednio chronił Dane Klienta pozostające w jego posiadaniu, pieczy lub pod jego kontrolą. Jeżeli Marzipan i Klient zawarli Standardowe Klauzule Umowne, o których mowa w klauzuli 10 (Transfery Danych Klienta), strony uzgadniają, że certyfikat usunięcia wymagany na podstawie Klauzuli 8.1(d) EU SCCs oraz wszelkich właściwych postanowień UK SCCs (w stosownych przypadkach) zostanie przekazany przez Marzipan Klientowi wyłącznie na pisemny wniosek Klienta.
    3. Jeżeli jakiekolwiek prawo, przepis lub organ rządowy bądź regulacyjny zobowiąże Marzipan do przechowywania jakichkolwiek dokumentów, materiałów lub Danych Klienta, które w przeciwnym razie Marzipan byłby zobowiązany zwrócić lub zniszczyć, Marzipan powiadomi Klienta na piśmie o tym obowiązku przechowywania, podając szczegóły dotyczące dokumentów, materiałów lub Danych Klienta, które muszą być przechowywane, podstawę prawną przechowywania oraz określając konkretny harmonogram usunięcia lub zniszczenia po zakończeniu obowiązku przechowywania.
    4. Marzipan potwierdzi Klientowi na piśmie zniszczenie Danych Klienta w terminie 30 dni od zakończenia ich usuwania lub niszczenia.

  14. Rejestry

    1. Marzipan będzie prowadzić szczegółowe, dokładne i aktualne pisemne rejestry dotyczące wszelkiego przetwarzania Danych Klienta, obejmujące w szczególności dostęp do Danych Klienta, kontrolę nad nimi i ich bezpieczeństwo, zatwierdzonych podwykonawców, cele przetwarzania, kategorie przetwarzania, wszelkie transfery Danych Klienta do państwa trzeciego wraz z powiązanymi zabezpieczeniami oraz ogólny opis wdrożonych technicznych i organizacyjnych środków bezpieczeństwa ("Rejestry")
    2. Marzipan zapewni, że Rejestry będą wystarczające do umożliwienia Klientowi weryfikacji przestrzegania przez Marzipan zobowiązań wynikających z niniejszej Umowy, oraz udostępni Klientowi kopie Rejestrów na żądanie.

  15. Gwarancje

    1. TMarzipan warrants and represents that:

      (a)jego pracownicy, podwykonawcy, agenci oraz wszelkie inne osoby uzyskujące dostęp do Danych Klienta w jego imieniu są rzetelni i godni zaufania oraz przeszli wymagane szkolenie w zakresie Przepisów o Ochronie Danych;

      (b)on oraz każda osoba działająca w jego imieniu będzie przetwarzać Dane Klienta zgodnie z Przepisami o Ochronie Danych oraz innymi obowiązującymi przepisami prawa, aktami normatywnymi, rozporządzeniami, zarządzeniami, normami i innymi podobnymi instrumentami;

      (c)nie ma podstaw, by sądzić, że Przepisy o Ochronie Danych uniemożliwiają mu świadczenie którejkolwiek z usług przewidzianych w Umowie; oraz

      (d)uwzględniając aktualne środowisko technologiczne oraz koszty wdrożenia, podejmie odpowiednie środki techniczne i organizacyjne w celu zapobiegania nieuprawnionemu lub niezgodnemu z prawem przetwarzaniu Danych Klienta oraz przypadkowej utracie, zniszczeniu lub uszkodzeniu Danych Klienta, a także zapewni poziom bezpieczeństwa adekwatny do:

      (i)szkody, jaka może wyniknąć z takiego nieuprawnionego lub niezgodnego z prawem przetwarzania albo przypadkowej utraty, zniszczenia lub uszkodzenia;

      (ii)charakteru Danych Klienta podlegających ochronie; oraz

      (iii)spełnienia wszystkich mających zastosowanie Przepisów o Ochronie Danych oraz własnych polityk w zakresie informacji i bezpieczeństwa.

  16. Zawarcie i zmiany

    1. Postanowienia niniejszego DPA są włączone przez odniesienie do Umowy i stanowią jej integralną część, tak jakby były w niej w pełni zawarte. Zawierając Umowę, Klient wyraźnie przyjmuje do wiadomości i akceptuje, że jest związany postanowieniami niniejszego DPA.
    2. Marzipan może, po uprzednim pisemnym powiadomieniu z wyprzedzeniem trzydziestu (30) dni kalendarzowych, wprowadzić wszelkie uzasadnione zmiany do niniejszego DPA wymagane w związku ze zmianą Przepisów o Ochronie Danych lub decyzją właściwego organu wydaną na ich podstawie, w celu umożliwienia przetwarzania Danych Klienta (lub jego kontynuowania) bez naruszenia Przepisów o Ochronie Danych. Jeżeli Klient nie wyraża zgody na takie zmiany, może w terminie wspomnianego trzydziestodniowego (30) okresu wypowiedzenia złożyć Marzipan pisemne oświadczenie o rozwiązaniu Umowy (w tym niniejszego DPA) ze skutkiem natychmiastowym, w zakresie, w jakim dotyczy ona Usług objętych proponowanymi zmianami (lub ich brakiem). Klient zobowiązany jest uiścić Marzipan wszelkie opłaty oraz inne kwoty należne na podstawie Umowy lub w związku z nią przed datą rozwiązania, które pozostają niezapłacone w dacie rozwiązania. Klientowi nie przysługują żadne dalsze roszczenia (w tym żądanie zwrotu kosztów za Usługi) z tytułu lub w związku z rozwiązaniem niniejszej Umowy na podstawie klauzuli 16.2.

Nie musisz wierzyć nam na słowo

“Przeszliśmy z WooCommerce na rozwiązanie własne oparte na Marzipan. Zarządzanie zamówieniami jest proste, a elastyczność API subskrypcji pozwoliła nam rozbudować ofertę adopcji starych winorośli.”

Katie Jones trzymająca grabie Tuchan
Katie Jones
Właściciel, Domaine Jones

“Marzipan jest niezwykle łatwy w obsłudze, a przy tym bardzo elastyczny i konfigurowalny. Znacznie upraszcza prowadzenie cyklicznych klubów winnych opartych na subskrypcji w porównaniu z każdym innym systemem, którego używałem, i radzi sobie praktycznie z wszystkim, co mu rzuciliśmy.”

Justin Howard-Sneyd, MW
Justin Howard-Sneyd, MW
Właściciel, Domaine of the Bee