Dodatek k pogodbi o obdelavi podatkov Marzipan

Priloga B: Čezmejni prenosi

To je prevod, ki je na voljo zgolj za informativne namene. Angleška različica je avtoritativno in pravno zavezujoče besedilo; v primeru kakršnega koli neskladja prevlada angleška različica.

1. DEL – Prenosi zunaj EGP

1. Dodatek I.A Standardnih pogodbenih klavzul se izpolni na naslednji način:

Izvoznik podatkov: Stranka (kot je navedeno v pogodbi).

Kontaktni podatki: Kontaktni podatki stranke (kot je navedeno v pogodbi).

Vloga izvoznika podatkov: Upravljavec podatkov.

Modul dva: Izvoznik podatkov je upravljavec podatkov.

Uvoznik podatkov: Marzipan.

Kontaktni podatki: Kot je navedeno v pogodbi.

Vloga uvoznika podatkov: Uvoznik podatkov je obdelovalec podatkov.

Podpis in datum: Z sklenitvijo pogodbe in DPA se šteje, da je uvoznik podatkov podpisal te standardne pogodbene klavzule, vključene v to pogodbo skupaj z njihovimi prilogami, z datumom začetka veljavnosti pogodbe.

2. Točka I.B Aneksa standardnih pogodbenih klavzul se izpolni na naslednji način:

Kategorije posameznikov, na katere se nanašajo osebni podatki, so opisane v točki 4.6 DPA.

Kategorije podatkov strank so opisane v točki 4.5 DPA.

Stranki ne nameravata prenesti posebnih kategorij podatkov.

Pogostost prenosa je neprekinjeno za celotno trajanje pogodbe.

Narava obdelave je opisana v točki 4.4 DPA.

Namen obdelave je opisan v točki 4.3 DPA.

Obdobje hrambe Podatkov stranke je enako trajanju Pogodbe, razen če je v Pogodbi in/ali DPA dogovorjeno drugače.

V zvezi s prenosi k podobdelovalcem so predmet, narava in trajanje obdelave določeni v točki 9 DPA.

3. Dodatek I.C Standardnih pogodbenih klavzul se izpolni na naslednji način:

Pristojni nadzorni organ v skladu s Klavzulo 13 je nadzorni organ v državi članici, določeni v točki 10(e) tega DPA.

Varnostni standardi Marzipan (Dodatek A) služijo kot dokumentacija in podrobnosti, ki se zahtevajo v Dodatku II Standardnih pogodbenih klavzul.

4. V obsegu, v katerem pride do kakršnega koli nasprotja med Standardnimi pogodbenimi klavzulami in katerimi koli drugimi pogoji tega DPA ali Pogodbe, prevladajo določbe Standardnih pogodbenih klavzul.

2. DEL – Prenosi izven UK

  1. Stranki se strinjata, da se IDTA DPA uporablja za prenos izven UK, ta 2. del pa velja od 21. marca 2022.
  2. Če v Pogodbi ni drugače opredeljeno, imajo opredeljeni pojmi iz 2. dela Dodatka 2 pomen, določen v spodnjem "2. delu: Obvezne klavzule".

1. del: Tabele

Tabela 1 IDTA DPA

3. Tabela 1 DPA se izpolni na naslednji način:

  • Izvoznik podatkov: Stranka (kot je podrobno določeno v Pogodbi).
  • Kontaktni podatki: Kot je podrobno določeno v Pogodbi.

Podpis in datum: Z sklenitvijo Pogodbe in DPA se šteje, da je Izvoznik podatkov podpisal ta IDTA DPA, ki je vključen v to besedilo, z dnem začetka veljavnosti Pogodbe.

  • Uvoznik podatkov: Marzipan.
  • Kontaktni podatki: Kot je podrobno določeno v Pogodbi.

Podpis in datum: Z sklenitvijo Pogodbe in DPA se šteje, da je Uvoznik podatkov podpisal ta IDTA DPA, ki je vključen v to besedilo, z dnem začetka veljavnosti Pogodbe.

Tabela 2 IDTA DPA

4. Tabela 2 DPA se izpolni na naslednji način:

DPA EU SSCs The Approved EU SCCs, including the Appendix Information and with only the following modules, clauses or optional provisions of the Approved EU SCCs brought into effect for the purposes of this DPA:
Module in operation Clause 7
(Docking Clause)		 Clause 11
(Option)		 Clause 9a
(Prior Authorisation or General Authorisation)		 Clause 9a
(Time period)		 Is personal data received from the Importer combined with personal data collected by the Exporter?
1 Shall not apply Shall not apply General Authorisation As set out in clause 9.2 of the DPA (30 days). No
1 Shall not apply Shall not apply General Authorisation As set out in clause 9.2 of the DPA (30 days). No

Tabela 3 IDTA DPA

5. Tabela 3 DPA se izpolni na naslednji način:

Izvoznik podatkov: Stranka (kot je navedeno v pogodbi).

Kontaktni podatki: Kontaktni podatki stranke (kot je navedeno v pogodbi).

Vloga izvoznika podatkov: Upravljavec podatkov.

  1. a) Modul 1: Uvoznik podatkov je upravljavec podatkov.
  2. b) Modul 2: Uvoznik podatkov je upravljavec podatkov.

Modul dva: Izvoznik podatkov je upravljavec podatkov.

Podpis in datum: Z sklenitvijo Pogodbe in DPA se šteje, da je Izvoznik podatkov podpisal Odobrene EU SCC, ki so vključeni v to besedilo skupaj s svojimi prilogami, z dnem začetka veljavnosti Pogodbe.

Uvoznik podatkov: Marzipan.

Kontaktni podatki: Kot je podrobno določeno v Pogodbi.

Vloga uvoznika podatkov: Uvoznik podatkov je obdelovalec podatkov.

6. Priloga I.B se izpolni na naslednji način:

Kategorije posameznikov, na katere se nanašajo osebni podatki, so opisane v točki 4.6 DPA.

Kategorije osebnih podatkov so opisane v točki 4.5 DPA.

Stranki ne nameravata prenesti posebnih kategorij podatkov.

Pogostost prenosa je neprekinjeno za celotno trajanje pogodbe.

Narava obdelave je opisana v točki 4.4 DPA.

Namen obdelave je opisan v točki 4.3 DPA.

Osebni podatki se hranijo za obdobje trajanja Pogodbe, razen če je v Pogodbi in/ali DPA dogovorjeno drugače.

V zvezi s prenosi k podobdelovalcem so predmet, narava in trajanje obdelave določeni v točki 9 DPA.

Priloga III: Seznam podobdelovalcev se ne uporablja, saj ima Marzipan splošno pisno pooblastilo za uporabo podobdelovalcev.

Tabela 4 IDTA DPA

7. Uvoznik lahko prekine ta IDTA DPA, kot je določeno v točki 26 tega IDTA DPA.

2. del: Obvezne določbe

8. Vsaka stranka se zavezuje, da jo zavezujejo pogoji, določeni v tem IDTA DPA, v zameno za to, da se tudi druga stranka zaveže k spoštovanju tega IDTA DPA.

9. Čeprav Priloga 1A in člen 7 Odobrenih EU SCC zahtevata podpis strank, smejo stranke za namen izvajanja omejenih prenosov skleniti ta IDTA DPA na kakršen koli način, ki jih pravno zavezuje in podatkovnim subjektom omogoča uveljavljanje njihovih pravic, kot so določene v tem DPA. Sklenitev tega IDTA DPA ima enak učinek kot podpis Odobrenih EU SCC in katerega koli dela Odobrenih EU SCC.

Razlaga tega IDTA DPA

10. Kadar ta IDTA DPA uporablja izraze, ki so opredeljeni v Odobrenih EU SCC, imajo ti izrazi enak pomen kot v Odobrenih EU SCC. Poleg tega imajo naslednji izrazi naslednje pomene:

DPA This International Data Transfer DPA which is made up of this IDTA DPA incorporating the DPA EU SCCs.
DPA EU SCCs The version(s) of the Approved EU SCCs which this IDTA DPA is appended to, as set out in Table 2, including the Appendix Information.
Appendix Information As set out in Table ‎3.
Appropriate Safeguards The standard of protection over the Personal Data and of Data Subjects’ rights, which is required by UK Data Protection Laws when the Customer are making a Restricted Transfer relying on standard data protection clauses under Article 46(2)(d) UK GDPR.
Approved DPA The template DPA issued by the UK ICO and laid before UK Parliament in accordance with s119A of the Data Protection Act 2018 on 2 February 2022, as it is revised under clause 25 below.
Approved EU SCCs The Standard Contractual Clauses set out in the Annex of Commission Implementing Decision (EU) 2021/914 of 4 June 2021.
ICO The UK Information Commissioner.
Restricted Transfer A transfer which is covered by Chapter V of the UK GDPR.
UK The United Kingdom of Great Britain and Northern Ireland.
UK Data Protection Laws All laws relating to data protection, the processing of personal data, privacy and/or electronic communications in force from time to time in the UK, including the UK GDPR and the Data Protection Act 2018.
UK GDPR As defined in section 3 of the Data Protection Act 2018.

11. Ta IDTA DPA mora biti vedno razlagan na način, ki je skladen z veljavno zakonodajo UK o varstvu podatkov, in tako, da izpolnjuje obveznost strank zagotoviti ustrezne zaščitne ukrepe.

12. Če določbe, vključene v DPA EU SCC, kakorkoli spreminjajo Odobrene SCC na način, ki ni dovoljen v skladu z Odobrenimi EU SCC ali Odobrenim DPA, takšne spremembe ne bodo vključene v ta IDTA DPA, na njihovo mesto pa bodo stopile ustrezne določbe Odobrenih EU SCC.

13. Če obstaja kakršna koli neskladnost ali nasprotje med UK Data Protection Laws in tem IDTA DPA, se uporabljajo UK Data Protection Laws.

14. Če je pomen tega IDTA DPA nejasen ali ima več kot en pomen, se uporabi tisti pomen, ki je najbližji UK Data Protection Laws.

15. Vsako sklicevanje na zakonodajo (ali posamezne določbe zakonodaje) pomeni to zakonodajo (ali posamezno določbo), kakršna je lahko v vsakem trenutku veljavna. To vključuje primere, ko je bila zakonodaja (ali posamezna določba) po sklenitvi tega IDTA DPA konsolidirana, na novo sprejeta in/ali nadomeščena.

 

Hierarhija

16. Čeprav člen 5 Approved EU SCCs določa, da Approved EU SCCs prevladajo nad vsemi z njimi povezanimi sporazumi med strankami, se stranki strinjata, da bo za Restricted Transfers prevladala hierarhija iz razdelka ‎17.

17. Kadar obstaja kakršna koli neskladnost ali nasprotje med Approved DPA in DPA EU SCCs (kot je primerno), Approved DPA prevlada nad DPA EU SCCs, razen kadar (in v kolikor) neskladne ali nasprotujoče si določbe DPA EU SCCs zagotavljajo večjo zaščito posameznikov, na katere se nanašajo osebni podatki, v katerem primeru te določbe prevladajo nad Approved DPA.

18. Kadar ta IDTA DPA vključuje DPA EU SCCs, ki so bile sklenjene z namenom zaščite prenosov, ki so predmet Splošne uredbe o varstvu podatkov (EU) 2016/679, stranki priznavata, da nič v tem IDTA DPA ne vpliva na te DPA EU SCCs.

Vključitev EU SCCs in spremembe le-teh

19. Ta IDTA DPA vključuje DPA EU SCCs, ki so spremenjene v obsegu, ki je potreben, da:

  1. skupaj delujejo za prenose podatkov, ki jih izvoznik podatkov opravi uvozniku podatkov, v obsegu, v katerem se UK Data Protection Laws uporabljajo za obdelavo podatkov s strani izvoznika podatkov pri izvedbi tega prenosa podatkov, ter zagotavljajo ustrezne zaščitne ukrepe za te prenose podatkov;
  2. Členi ‎16 do ‎18 spodaj razveljavijo člen 5 (Hierarhija) DPA EU SCCs; in
  3. ta IDTA DPA (vključno z vanj vključenimi DPA EU SCCs) je (1) urejen z zakoni Anglije in Walesa in (2) kakršen koli spor, ki iz njega izhaja, rešijo sodišča Anglije in Walesa, razen v primeru, ko so stranki izrecno izbrali zakone in/ali sodišča Škotske ali Severne Irske.

20. Razen če se stranki nista dogovorili za alternativne spremembe, ki izpolnjujejo zahteve zgornjega člena 19, se bodo uporabljale določbe razdelka ‎22.

21. Nobenih sprememb Approved EU SCCs, razen tistih, ki so potrebne za izpolnitev zahtev razdelka ‎19, ni dopustno izvesti.

22. Izvedejo se naslednje spremembe DPA EU SCCs (za namen razdelka ‎19):

  1. skupaj delujejo za prenose podatkov, ki jih izvoznik podatkov opravi uvozniku podatkov, v obsegu, v katerem se UK Data Protection Laws uporabljajo za obdelavo podatkov s strani izvoznika podatkov pri izvedbi tega prenosa podatkov, ter zagotavljajo ustrezne zaščitne ukrepe za te prenose podatkov;
  2. V členu 2 se izbrišejo besede: "and, with respect to data transfers from controllers to processors and/or processors to processors, standard contractual clauses pursuant to Article 28(7) of Regulation (EU) 2016/679";
  3. Člen 6 (Opis prenosa(-ov)) se nadomesti z: "The details of the transfers(s) and in particular the categories of personal data that are transferred and the purpose(s) for which they are transferred) are those specified in Annex I.B where UK Data Protection Laws apply to the data exporter's processing when making that transfer.";
  4. Člen 8.8(i) Modula 2 se nadomesti z: "the onward transfer is to a country benefitting from adequacy regulations pursuant to Section 17A of the UK GDPR that covers the onward transfer;";
  5. Sklicevanja na "Regulation (EU) 2016/679", "Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)" in "that Regulation" se vsa nadomestijo z "UK Data Protection Laws". Sklicevanja na posamezne člene "Regulation (EU) 2016/679" se nadomestijo z ustreznim členom ali razdelkom UK Data Protection Laws;
  6. Sklicevanja na Regulation (EU) 2018/1725 se odstranijo;
  7. Sklicevanja na "European Union", "Union", "EU", "EU Member State", "Member State" in "EU or Member State" se vsa nadomestijo z "UK";
  8. Sklicevanje na "Clause 12(c)(i)" v členu 10(b)(i) Modula ena se nadomesti s "Clause 11(c)(i)";
  9. Člen 13(a) in del C Priloge I se ne uporabljata;
    10.  
  10. "Competent supervisory authority" in "supervisory authority" se oba nadomestita z "Information Commissioner";
  11. V členu 16(e) se pododdelek (i) nadomesti z: "the Secretary of State makes regulations pursuant to Section 17A of the Data Protection Act 2018 that cover the transfer of personal data to which these clauses apply;";
  12. Klavzula 17 se nadomesti z: »Te klavzule ureja pravo Anglije in Walesa.«;
  13. Klavzula 18 se nadomesti z: »Vsak spor, ki izhaja iz teh klavzul, se rešuje pred sodišči Anglije in Walesa. Posameznik, na katerega se nanašajo osebni podatki, lahko sproži pravni postopek proti izvozniku podatkov in/ali uvozniku podatkov pred sodišči katere koli države v okviru UK. Stranki soglašata, da se podvržeta pristojnosti takšnih sodišč.«; in
  14. Opombe k odobrenim EU standardnim pogodbenim klavzulam ne tvorijo dela IDTA DPA, z izjemo opomb 8, 9, 10 in 11.

Spremembe tega IDTA DPA

23. Stranki se lahko dogovorita za spremembo klavzul 17 in/ali 18 DPA EU standardnih pogodbenih klavzul, da se sklicujeta na pravo in/ali sodišča Škotske ali Severne Irske.

24. Če stranki želita spremeniti obliko informacij, vključenih v 1. del: Tabele odobrenega DPA, lahko to storita s pisnim dogovorom o spremembi, pod pogojem, da sprememba ne zmanjša ustreznih zaščitnih ukrepov.

25. ICO lahko občasno izda revidiran odobreni DPA, ki:

  1. uvaja razumne in sorazmerne spremembe odobrenega DPA, vključno s popravljanjem napak v odobrenem DPA; in/ali
  2. odraža spremembe zakonodaje UK o varstvu podatkov;

Revidirani odobreni DPA bo določil začetni datum, od katerega so spremembe odobrenega DPA učinkovite, in ali morata stranki pregledati ta IDTA DPA, vključno s priložbenimi informacijami. Ta IDTA DPA se samodejno spremeni v skladu z revidiranim odobrenim DPA od navedenega začetnega datuma.

26. Če ICO izda revidiran odobreni DPA v skladu z oddelkom ‎18 in če kateri koli stranki, izbrani v Tabeli 4 »Prenehanje DPA ob spremembi odobrenega DPA«, neposredno zaradi sprememb odobrenega DPA nastane bistveno, nesorazmerno in dokazljivo povečanje: 

  1. njenih neposrednih stroškov izpolnjevanja obveznosti v skladu z DPA; in/ali
  2. njenih tveganj v skladu z DPA,

in v katerem koli primeru je najprej sprejela razumne ukrepe za zmanjšanje teh stroškov ali tveganj, tako da niso bistveni in nesorazmerni, lahko ta stranka konča ta IDTA DPA ob izteku razumnega odpovednega roka, tako da drugi stranki pred začetnim datumom revidiranega odobrenega DPA predloži pisno odpoved za ta rok.

27. Stranki za spremembe tega IDTA DPA ne potrebujeta soglasja tretjih oseb, vendar morajo biti vse spremembe izvedene v skladu z njegovimi pogoji.

Ne vzemite nas samo za besedo

“Prešli smo z WooCommerce na rešitev po meri, ki jo poganja Marzipan. Upravljanje naročil je enostavno, fleksibilnost API-ja za naročnine pa nam je omogočila nadgraditev ponudbe posvojitve starih trt.”

Katie Jones drži grablje Tuchan
Katie Jones
Owner, Domaine Jones

“Marzipan je izjemno enostaven za uporabo ter zelo prilagodljiv in nastavljiv. Upravljanje ponavljajočih se vinskih klubov z naročninami je z njim precej lažje kot s katerim koli drugim sistemom, ki sem ga kdaj uporabljal, in spopade se s skoraj vsem, kar smo mu zaupali.”

Justin Howard-Sneyd, MW
Justin Howard-Sneyd, MW
Owner, Domaine of the Bee