CZĘŚĆ 1 – Transfery spoza EOG
1. Załącznik I.A do Standardowych Klauzul Umownych zostaje uzupełniony w następujący sposób:
Eksporter danych: Klient (zgodnie z danymi określonymi w Umowie).
Dane kontaktowe: Dane kontaktowe Klienta (zgodnie z danymi określonymi w Umowie).
Rola Eksportera Danych: Administrator Danych.
Moduł Drugi: Eksporter Danych jest Administratorem Danych.
Importer Danych: Marzipan.
Dane kontaktowe: Zgodnie z informacjami podanymi w Umowie.
Rola Importera Danych: Importer Danych jest Podmiotem Przetwarzającym.
Podpis i data: Poprzez zawarcie Umowy i DPA uznaje się, że Importer Danych podpisał niniejsze Standardowe Klauzule Umowne, włączone do niniejszego dokumentu wraz z ich Załącznikami, z dniem wejścia w życie Umowy.
2. Załącznik I.B do Standardowych Klauzul Umownych zostanie uzupełniony w następujący sposób:
Kategorie osób, których dane dotyczą, zostały opisane w punkcie 4.6 DPA.
Kategorie Danych Klienta zostały opisane w punkcie 4.5 DPA.
Strony nie przewidują przekazywania Danych Szczególnych Kategorii.
Częstotliwość przekazywania danych jest ciągła przez cały czas obowiązywania Umowy.
Charakter przetwarzania został opisany w punkcie 4.4 DPA.
Cel przetwarzania został opisany w punkcie 4.3 DPA.
Okres przechowywania Danych Klienta odpowiada czasowi trwania Umowy, chyba że w Umowie i/lub DPA uzgodniono inaczej.
W odniesieniu do przekazywania danych Podprzetwarzającym, przedmiot, charakter i czas trwania przetwarzania określono w klauzuli 9 DPA.
3. Załącznik I.C Standardowych Klauzul Umownych zostanie uzupełniony w następujący sposób:
Właściwy Organ Nadzorczy zgodnie z Klauzulą 13 to organ nadzorczy w Państwie Członkowskim wskazanym w klauzuli 10(e) niniejszego DPA.
Standardy Bezpieczeństwa Marzipan (Załącznik A) stanowią dokumentację i szczegółowe informacje wymagane w Załączniku II Standardowych Klauzul Umownych.
4. W zakresie, w jakim występuje jakakolwiek sprzeczność między Standardowymi Klauzulami Umownymi a innymi postanowieniami niniejszego DPA lub Umowy, pierwszeństwo mają postanowienia Standardowych Klauzul Umownych.
CZĘŚĆ 2 – Przekazywanie danych poza UK
- Strony zgadzają się, że IDTA DPA ma zastosowanie do przekazywania danych poza UK, a niniejsza Część 2 obowiązuje od 21 marca 2022 r.
- O ile nie zdefiniowano w Umowie, zdefiniowane terminy Część 2 Załącznika 2 mają znaczenie określone w "Część: 2 Obowiązkowe klauzule" poniżej.
Część 1: Tabele
Tabela 1 IDTA DPA
3. Tabela 1 DPA zostanie wypełniona w następujący sposób:
- Eksporter danych: Klient (zgodnie ze szczegółami określonymi w Umowie).
- Dane kontaktowe: Zgodnie ze szczegółami określonymi w Umowie.
Podpis i data: Poprzez zawarcie Umowy i DPA, Eksporter danych uważa się za podpisującego niniejsze IDTA DPA, włączone do Umowy, z dniem wejścia Umowy w życie.
- Importer Danych: Marzipan.
- Dane kontaktowe: Zgodnie ze szczegółami określonymi w Umowie.
Podpis i data: Poprzez zawarcie Umowy i DPA, Importer danych uważa się za podpisującego niniejsze IDTA DPA, włączone do Umowy, z dniem wejścia Umowy w życie.
Tabela 2 IDTA DPA
4. Tabela 2 DPA zostanie uzupełniona w następujący sposób:
| DPA EU SSCs | The Approved EU SCCs, including the Appendix Information and with only the following modules, clauses or optional provisions of the Approved EU SCCs brought into effect for the purposes of this DPA: |
| Module in operation | Clause 7 (Docking Clause) |
Clause 11 (Option) |
Clause 9a (Prior Authorisation or General Authorisation) |
Clause 9a (Time period) |
Is personal data received from the Importer combined with personal data collected by the Exporter? |
|---|---|---|---|---|---|
| 1 | Shall not apply | Shall not apply | General Authorisation | As set out in clause 9.2 of the DPA (30 days). | No |
| 1 | Shall not apply | Shall not apply | General Authorisation | As set out in clause 9.2 of the DPA (30 days). | No |
Tabela 3 IDTA DPA
5. Tabela 3 DPA zostanie uzupełniona w następujący sposób:
Eksporter danych: Klient (zgodnie z danymi określonymi w Umowie).
Dane kontaktowe: Dane kontaktowe Klienta (zgodnie z danymi określonymi w Umowie).
Rola Eksportera Danych: Administrator Danych.
- a) Moduł pierwszy: Importer danych jest Administratorem danych.
- b) Moduł drugi: Importer danych jest Administratorem danych.
Moduł Drugi: Eksporter Danych jest Administratorem Danych.
Podpis i data: Poprzez zawarcie Umowy i DPA, Eksporter danych uważa się za podpisującego zatwierdzone Standardowe Klauzule Umowne UE, włączone do Umowy wraz z ich Załącznikami, z dniem wejścia Umowy w życie.
Importer Danych: Marzipan.
Dane kontaktowe: Zgodnie ze szczegółami określonymi w Umowie.
Rola Importera danych: Importer danych jest Podmiotem przetwarzającym dane.
6. Załącznik I.B zostanie uzupełniony w następujący sposób:
Kategorie osób, których dane dotyczą, zostały opisane w punkcie 4.6 DPA.
Kategorie danych osobowych zostały opisane w klauzuli 4.5 DPA.
Strony nie przewidują przekazywania Danych Szczególnych Kategorii.
Częstotliwość przekazywania danych jest ciągła przez cały czas obowiązywania Umowy.
Charakter przetwarzania został opisany w punkcie 4.4 DPA.
Cel przetwarzania został opisany w punkcie 4.3 DPA.
Dane osobowe będą przechowywane przez czas trwania Umowy, chyba że w Umowie lub DPA uzgodniono inaczej.
W odniesieniu do przekazywania danych Podprzetwarzającym, przedmiot, charakter i czas trwania przetwarzania określono w klauzuli 9 DPA.
Załącznik III: Lista podmiotów przetwarzających nie ma zastosowania, ponieważ Marzipan posiada ogólne pisemne upoważnienie do korzystania z podmiotów przetwarzających (podprzetwarzających).
Tabela 4 IDTA DPA
7. Importer może rozwiązać niniejsze IDTA DPA zgodnie z klauzulą 26 niniejszego IDTA DPA.
Część 2: Klauzule obowiązkowe
8. Każda ze Stron zobowiązuje się do przestrzegania warunków określonych w niniejszym IDTA DPA, w zamian za analogiczne zobowiązanie drugiej Strony.
9. Pomimo że Załącznik 1A i Klauzula 7 zatwierdzonych Standardowych Klauzul Umownych UE wymagają podpisu Stron, w celu dokonywania Ograniczonych Transferów Strony mogą przystąpić do niniejszego IDTA DPA w dowolny sposób, który czyni go prawnie wiążącym dla Stron i umożliwia osobom, których dane dotyczą, egzekwowanie swoich praw zgodnie z niniejszym DPA. Przystąpienie do niniejszego IDTA DPA będzie miało ten sam skutek co podpisanie zatwierdzonych Standardowych Klauzul Umownych UE i jakiejkolwiek ich części.
Interpretacja niniejszego IDTA DPA
10. W przypadku gdy niniejsze IDTA DPA używa pojęć zdefiniowanych w zatwierdzonych Standardowych Klauzulach Umownych UE, pojęcia te mają to samo znaczenie co w zatwierdzonych Standardowych Klauzulach Umownych UE. Ponadto poniższe pojęcia mają następujące znaczenie:
| DPA | This International Data Transfer DPA which is made up of this IDTA DPA incorporating the DPA EU SCCs. |
| DPA EU SCCs | The version(s) of the Approved EU SCCs which this IDTA DPA is appended to, as set out in Table 2, including the Appendix Information. |
| Appendix Information | As set out in Table 3. |
| Appropriate Safeguards | The standard of protection over the Personal Data and of Data Subjects’ rights, which is required by UK Data Protection Laws when the Customer are making a Restricted Transfer relying on standard data protection clauses under Article 46(2)(d) UK GDPR. |
| Approved DPA | The template DPA issued by the UK ICO and laid before UK Parliament in accordance with s119A of the Data Protection Act 2018 on 2 February 2022, as it is revised under clause 25 below. |
| Approved EU SCCs | The Standard Contractual Clauses set out in the Annex of Commission Implementing Decision (EU) 2021/914 of 4 June 2021. |
| ICO | The UK Information Commissioner. |
| Restricted Transfer | A transfer which is covered by Chapter V of the UK GDPR. |
| UK | The United Kingdom of Great Britain and Northern Ireland. |
| UK Data Protection Laws | All laws relating to data protection, the processing of personal data, privacy and/or electronic communications in force from time to time in the UK, including the UK GDPR and the Data Protection Act 2018. |
| UK GDPR | As defined in section 3 of the Data Protection Act 2018. |
11. Niniejsze IDTA DPA musi być zawsze interpretowane w sposób zgodny z brytyjskimi przepisami o ochronie danych oraz tak, aby wypełniało obowiązek Stron w zakresie zapewnienia Odpowiednich Zabezpieczeń.
12. Jeżeli postanowienia zawarte w DPA EU SCCs zmieniają zatwierdzone Standardowe Klauzule Umowne w jakikolwiek sposób niedopuszczalny na gruncie zatwierdzonych Standardowych Klauzul Umownych UE lub zatwierdzonego DPA, takie zmiany nie zostaną włączone do niniejszego IDTA DPA, a w ich miejsce wejdą odpowiednie postanowienia zatwierdzonych Standardowych Klauzul Umownych UE.
13. W przypadku jakiejkolwiek niezgodności lub konfliktu między UK Data Protection Laws a niniejszym IDTA DPA, pierwszeństwo mają UK Data Protection Laws.
14. Jeżeli znaczenie niniejszego IDTA DPA jest niejasne lub istnieje więcej niż jedno możliwe znaczenie, stosuje się to znaczenie, które jest najbardziej zgodne z UK Data Protection Laws.
15. Wszelkie odniesienia do przepisów prawa (lub ich poszczególnych postanowień) oznaczają te przepisy (lub postanowienia) w brzmieniu, jakie mogą przyjąć w czasie. Obejmuje to przypadki, w których dane przepisy (lub postanowienia) zostały skonsolidowane, ponownie uchwalone i/lub zastąpione po zawarciu niniejszego IDTA DPA.
Hierarchia
16. Mimo że Klauzula 5 zatwierdzonych standardowych klauzul umownych UE (Approved EU SCCs) stanowi, iż Approved EU SCCs mają pierwszeństwo przed wszystkimi powiązanymi umowami między stronami, strony uzgadniają, że w przypadku Ograniczonych Transferów pierwszeństwo ma hierarchia określona w Sekcji 17.
17. W przypadku jakiejkolwiek niezgodności lub konfliktu między Zatwierdzoną DPA a DPA EU SCCs (jeśli ma zastosowanie), Zatwierdzona DPA zastępuje DPA EU SCCs, z wyjątkiem sytuacji, gdy (i w zakresie, w jakim) niezgodne lub sprzeczne postanowienia DPA EU SCCs zapewniają osobom, których dane dotyczą, szerszą ochronę – w takim przypadku te postanowienia zastępują Zatwierdzoną DPA.
18. W zakresie, w jakim niniejszy IDTA DPA zawiera DPA EU SCCs zawarte w celu ochrony transferów objętych Ogólnym Rozporządzeniem o Ochronie Danych (UE) 2016/679, Strony przyjmują do wiadomości, że żadne postanowienie niniejszego IDTA DPA nie wpływa na te DPA EU SCCs.
Włączenie i zmiany EU SCCs
19. Niniejszy IDTA DPA zawiera DPA EU SCCs, które zostają zmienione w zakresie niezbędnym, aby:
- łącznie regulowały transfery danych dokonywane przez eksportera danych do importera danych, w zakresie, w jakim UK Data Protection Laws mają zastosowanie do przetwarzania danych przez eksportera danych w momencie dokonywania transferu, oraz zapewniały Odpowiednie Zabezpieczenia dla tych transferów;
- Klauzule 16–18 poniżej zastępują Klauzulę 5 (Hierarchia) DPA EU SCCs; oraz
- niniejszy IDTA DPA (w tym włączone do niego DPA EU SCCs) podlega (1) prawu Anglii i Walii, a (2) wszelkie spory z niego wynikające są rozstrzygane przez sądy Anglii i Walii – w każdym przypadku, chyba że Strony wyraźnie wybrały prawo i/lub sądy Szkocji lub Irlandii Północnej.
20. O ile Strony nie uzgodniły alternatywnych zmian spełniających wymogi powyższej klauzuli 19, zastosowanie mają postanowienia Sekcji 22.
21. Żadnych zmian do Zatwierdzonych Standardowych Klauzul Umownych UE, innych niż wymagane w Sekcji 19, nie można dokonywać.
22. Wprowadza się następujące zmiany do Standardowych Klauzul Umownych UE zawartych w DPA (na potrzeby Sekcji 19):
- łącznie regulowały transfery danych dokonywane przez eksportera danych do importera danych, w zakresie, w jakim UK Data Protection Laws mają zastosowanie do przetwarzania danych przez eksportera danych w momencie dokonywania transferu, oraz zapewniały Odpowiednie Zabezpieczenia dla tych transferów;
- W Klauzuli 2 skreślić wyrażenia: "oraz, w odniesieniu do transferów danych od administratorów do podmiotów przetwarzających i/lub od podmiotów przetwarzających do podmiotów przetwarzających, standardowe klauzule umowne zgodnie z artykułem 28(7) Rozporządzenia (UE) 2016/679";
- Klauzula 6 (Opis transferów) zostaje zastąpiona: "Szczegóły transferów i w szczególności kategorie danych osobowych, które są transferowane, oraz cele, do których zostają transferowane, są takie, jakie określono w Załączniku I.B, jeżeli Ustawy o Ochronie Danych w UK mają zastosowanie do przetwarzania eksperta danych podczas dokonywania tego transferu";
- Klauzula 8.8(i) Modułu 2 zostaje zastąpiona: "dalszy transfer odbywał się do kraju korzystającego z regulacji wystarczalności zgodnie z Sekcją 17A GDPR UK, która obejmuje dalszy transfer;"
- Odniesienia do "Rozporządzenia (UE) 2016/679", "Rozporządzenia (UE) 2016/679 Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (Ogólne Rozporządzenie o Ochronie Danych)" oraz "to Rozporządzenie" zostają zastąpione "Ustawami o Ochronie Danych w UK". Odniesienia do konkretnych artykułów "Rozporządzenia (UE) 2016/679" zastępuje się odpowiednim artykułem lub sekcją Ustaw o Ochronie Danych w UK;
- Usunięto odniesienia do rozporządzenia (UE) 2018/1725;
- Odniesienia do "Unii Europejskiej", "Unii", "EU", "Państwa Członkowskiego UE", "Państwa Członkowskiego" oraz "UE lub Państwa Członkowskiego" zostają zastąpione "UK";
- Odniesienie do "Klauzuli 12(c)(i)" w Klauzuli 10(b)(i) Modułu jeden jest zastępowane "Klauzulą 11(c)(i)";
- Klauzula 13(a) i Część C Załącznika I nie są stosowane;
- "Właściwy organ nadzorczy" oraz "organ nadzorczy" zostają zastąpione "Komisarzem ds. Informacji";
- W Klauzuli 16(e) punkt (i) jest zastępowany: "Sekretarz Stanu wydaje rozporządzenia zgodnie z Sekcją 17A Ustawy o Ochronie Danych 2018, które obejmują transfer danych osobowych, do których mają zastosowanie niniejsze klauzule;";
- Klauzula 17 jest zastępowana: "Niniejsze Klauzule podlegają prawu Anglii i Walii";
- Klauzula 18 jest zastępowana: "Wszelkie spory wynikające z niniejszych Klauzul będą rozstrzygane przez sądy Anglii i Walii. Osoba, której dane dotyczą, może również wnieść sprawę przeciwko eksporterowi danych i/lub importerowi danych przed sądami dowolnego kraju w UK. Strony wyrażają zgodę na poddanie się jurysdykcji takich sądów."; i
- przypisy do zatwierdzonych unijnych SCC (standardowych klauzul umownych) nie stanowią części IDTA DPA, z wyjątkiem przypisów 8, 9, 10 i 11.
Zmiany do niniejszego IDTA DPA
23. Strony mogą uzgodnić zmianę Klauzul 17 i/lub 18 DPA EU SCCs w celu odniesienia się do prawa i/lub sądów Szkocji lub Irlandii Północnej.
24. Jeżeli Strony chcą zmienić format informacji zawartych w Części 1: Tabele Zatwierdzonego DPA, mogą to uczynić, uzgadniając zmianę na piśmie, pod warunkiem że zmiana ta nie zmniejsza Odpowiednich Zabezpieczeń.
25. Od czasu do czasu ICO może wydać zmieniony Zatwierdzony DPA, który:
- wprowadza uzasadnione i proporcjonalne zmiany do zatwierdzonego DPA, w tym koryguje błędy w zatwierdzonym DPA; i/lub
- odzwierciedla zmiany w przepisach prawa o ochronie danych obowiązujących w UK;
Zmieniony zatwierdzony DPA określi datę początkową, od której zmiany do zatwierdzonego DPA stają się skuteczne, oraz czy Strony muszą dokonać przeglądu niniejszego IDTA DPA, w tym Informacji zawartych w Załączniku. Niniejszy IDTA DPA zostaje automatycznie zmieniony zgodnie z postanowieniami zmienionego zatwierdzonego DPA od wskazanej daty początkowej.
26. Jeśli ICO wydaje zmienioną zatwierdzającą DPA zgodnie z Sekcją 18, jeśli którakolwiek ze Stron wybrana w Tabeli 4 "Zakończenie DPA, gdy zmienia się zatwierdzona DPA", będzie w wyniku bezpośredni zmian w zatwierdzonej DPA mieć istotny, nieproporcjonalny i wykazalny wzrost:
- bezpośrednich kosztów wykonania swoich zobowiązań wynikających z DPA; i/lub
- jego ryzyko wynikające z DPA,
a w każdym takim przypadku podjęła uprzednio rozsądne kroki w celu ograniczenia tych kosztów lub ryzyk, tak by nie były one istotne i nieproporcjonalne, wówczas ta Strona może wypowiedzieć niniejsze IDTA DPA z końcem rozsądnego okresu wypowiedzenia, składając drugiej Stronie pisemne wypowiedzenie na ten okres przed datą wejścia w życie zmienionego Zatwierdzonego DPA.
27. Strony nie potrzebują zgody żadnej osoby trzeciej, aby wprowadzać zmiany do niniejszego IDTA DPA, jednak wszelkie zmiany muszą być dokonywane zgodnie z jego postanowieniami.
