Marzipan Personuppgiftsbiträdesavtal

Detta är en översättning som tillhandahålls enbart för bekvämlighets skull. Den engelska versionen är den auktoritativa och juridiskt bindande texten; vid eventuell avvikelse gäller den engelska versionen.

Detta tillägg för databehandling ("DPA") kompletterar och inkorporeras genom hänvisning i det avtal som ingås mellan Marzipan och en kund uteslutande på grundval av Marzipans användarvillkor när en kund registrerar sig för eller får tillgång till någon av tjänsterna, inklusive utan begränsning:

  1. den digitala vinettikettsgenererings- och värdtjänst som tillhandahålls av Marzipan under varumärket "Labls" på labls.io och labls.co (inklusive eventuella underdomäner därtill) och som är utformad för vinproducenter som enligt lag är skyldiga att publicera korrekt lokaliserad information, på ett officiellt EU-språk, om ursprung och innehåll för viner som distribueras inom EU enligt förordning (EU) 2021/2117 ("Labls-tjänsterna");
  2. den molnbaserade e-handels- och datahanteringsplattform som tillhandahålls av Marzipan på marzipan.co (inklusive eventuella underdomäner därtill) och som gör det möjligt för vinfirmor att samordna sina e-handelsaktiviteter genom att administrera lager, beställningar, uppfyllnad och frakt, betalningar, analys, marknadsföringskampanjer och kundkommunikation i samtliga digitala försäljningskanaler från ett centralt instrumentpanel- och innehållshanteringssystem ("Plattformstjänsterna").

Detta DPA ska tillämpas i den mån Marzipan behandlar personuppgifter för en kunds räkning som personuppgiftsbiträde i samband med tillhandahållandet av tjänsterna enligt avtalet. De kategorier av personuppgifter som Marzipan behandlar som en del av tjänsterna anges i sin helhet i klausul 4 i detta DPA.

Eftersom förordning (EU) 2021/2117 förbjuder vinfirmor och andra aktörer inom branschen att behandla konsumenters personuppgifter via elektroniska vinetiketter som fästs på deras produkter, har Marzipan utformat sin tjänst för värdskap och generering av e-etiketter på labls.io och labls.co så att inga personuppgifter kan samlas in och spåras av en kund eller Marzipan avseende en e-etikett. Detta DPA är därför inte tillämpligt på denna del av tjänsterna.

Termer med stor begynnelsebokstav som inte definieras i detta DPA har den betydelse som tillskrivs dem i avtalet. För undvikande av tvivel ska alla hänvisningar till "avtalet" inkludera detta DPA (inklusive bilagorna till detta DPA och standardavtalsklausulerna). Vid eventuell konflikt mellan avtalet och detta DPA ska DPA ha företräde vad gäller behandling av personuppgifter.

  1. Definitioner

    Närstående bolag
    avser en enhet som direkt eller indirekt kontrollerar, kontrolleras av eller står under gemensam kontroll med en enhet.
    Affärssyften
    de tjänster som ska tillhandahållas av Marzipan till kunden enligt definitionen i avtalet.
    Kontroll
    avser ett ägar-, röst- eller liknande intresse som representerar femtio procent (50 %) eller mer av det totala utestående intresset i den aktuella enheten. Termen "kontrollerad" ska tolkas i enlighet härmed.
    Kund
    den fysiska eller juridiska person eller enhet som är part i avtalet.
    Kundkonto
    det eller de onlinekonton som kunden har registrerat hos tjänsterna och som ger behörig tillgång till tjänsterna.
    Kunddata
    avser all Personuppgifter som Marzipan behandlar för Kundens räkning via Tjänsterna.
    Dataskyddslagar
    avser alla tillämpliga lagar och förordningar i relevanta jurisdiktioner som rör användning eller behandling av Personuppgifter, inklusive: (i) California Consumer Privacy Act 2018 ("CCPA"); (ii) den allmänna dataskyddsförordningen ((EU) 2016/279) ("EU GDPR"); (iii) den schweiziska federala lagen om dataskydd; (iv) EU GDPR i den form den utgör en del av lagen i England och Wales, Skottland och Nordirland i kraft av avsnitt 3(10) (i dess lydelse kompletterad av avsnitt 205(4)) i Data Protection Act 2018 ("UK GDPR"); (v) Data Protection Act 2018 (och förordningar utfärdade däri) ("DPA 2018"); och (vi) Privacy and Electronic Communications Regulations 2003 (SI 2003/2426) i ändrad lydelse ("PECR 2003"); i varje fall i dess uppdaterade, ändrade eller ersatta lydelse från tid till annan. Termerna "Personuppgiftsansvarig", "Personuppgiftsbiträde", "Registrerad", "Begäran från registrerad", "Personuppgifter", "Personuppgiftsincident", "Behandling", "Underbiträde" och "Tillsynsmyndighet" ska ha de betydelser som anges i EU GDPR.
    E-märkning
    en dedikerad elektronisk vininetikett som tillhandahålls på labls.io och labls.co (eller på en tredjepartswebbplats för Marzipans räkning) och som sammanställer strukturerad information (e-etikettinnehåll) om en Kunds vin- eller aromatiserade vinprodukt för en specifik EU-marknad på ett av EU:s 24 medlemsstaters språk, och som uppfyller de allmänna och sektorspecifika märkningskrav som fastställs i EU:s regler för vinmärkning.
    EES
    Europeiska ekonomiska samarbetsområdet.
    Slutkunder
    de konsumenter eller företagskunder till vilka Kunden riktar, marknadsför eller tillhandahåller produkter eller tjänster via Tjänsterna.
    EU SCCs
    avser de standardavtalsklausuler mellan personuppgiftsansvariga och personuppgiftsbiträden som godkänts av Europeiska kommissionen i dess genomförandebeslut (EU) 2021/914 av den 4 juni 2021, för närvarande tillgängliga här.
    EU:s vinmärkningsförordningar
    de regler för märkning av viner och aromatiserade vinprodukter som infördes genom Europaparlamentets och rådets förordning (EU) 2021/2117 om ändring av förordning (EU) nr 1308/2013, inklusive i den mån sådana regler genomförs och träder i kraft genom kommissionens delegerade förordning (EU) 2019/33 av den 17 oktober 2018 om komplettering av förordning (EU) nr 1308/2013/
    Överföring utanför EES
    avser överföring av Kunddata, som behandlas i enlighet med EU GDPR, till en server, ett nätverk, ett datorsystem, ett företag, en person eller en plats utanför EES, och där sådan överföring inte regleras av ett adekvansbeslut fattat av Europeiska kommissionen i enlighet med artikel 45 EU GDPR.
    Överföring utanför UK
    avser överföring av Kunddata, som behandlas i enlighet med UK GDPR och Data Protection Act 2018, till en server, ett nätverk, ett datorsystem, ett företag, en person eller en plats utanför UK, och där sådan överföring inte regleras av ett adekvansbeslutet fattat av UK:s inrikesminister i enlighet med relevanta bestämmelser i UK GDPR och Data Protection Act 2018.
    Labls-tjänster
    de tjänster för skapande, hantering och värdskap av e-märkningar som Marzipan tillhandahåller på labls.io på abonnemangsbasis (eller på annat sätt) och som gör det möjligt för Kunder att generera, administrera och publicera E-märkningar för sina vin- eller aromatiserade vinprodukter.
    Marzipans integritetspolicy
    avser det rättviseinformationsmeddelande (fair processing notice) om behandling av personuppgifter som Marzipan tillgängliggör på marzipan.co/privacy, i dess ändrade, ersatta och/eller kompletterade lydelse från tid till annan.
    Plattformstjänster
    den molnbaserade e-handels- och datahanteringsplattform som Marzipan tillhandahåller på marzipan.co och som gör det möjligt för vinkällarier att samordna sin e-handel genom att administrera lager, beställningar, uppfyllelse och frakt, betalningar, analys, marknadsföringskampanjer och kundkommunikation över samtliga digitala försäljningskanaler från ett centralt instrumentpanelsgränssnitt och innehållshanteringssystem.
    Säkerhetsincident
    varje otillåtet eller olagligt säkerhetsintrång som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av, eller obehörigt röjande av eller obehörig åtkomst till, Kunddata i system som hanteras eller på annat sätt kontrolleras av Marzipan.
    Service Provider
    ska ha den betydelse som anges i California Consumer Privacy Act of 2018 ("CCPA").
    Services
    avser, individuellt och kollektivt, Labels Services och Platform Services.
    Special Category Data
    har den betydelse som anges i artiklarna 4(13), 4(14), 4(15) och 9 i EU GDPR och UK GDPR (i tillämpliga fall).
    Standard Contractual Clauses (SCCs)
    avser EU SCCs och UK SCCs, i tillämpliga fall.
    UK Addendum
    avser det internationella tillägget för dataöverföring (version B1.0) (International Data Transfer Addendum) utfärdat av Information Commissioner's Office enligt avsnitt 119(A) i UK Data Protection Act 2018, i dess vid var tid gällande lydelse.
    UK SCCs
    avser EU SCCs såsom reviderade och ändrade genom UK Addendum.
    Usage Data
    all data som genereras i samband med Kunders åtkomst, användning och konfiguration av Tjänsterna samt data som härleds därifrån. Användningsdata inkluderar inte Kunddata eller annan Persondata.

  2. Customer Instructions

    1. Marzipan och Kunden är överens om att detta DPA och Avtalet, tillsammans med Kundens konfiguration av eller användning av inställningar, funktioner eller alternativ i Services (som Kunden kan ha möjlighet att ändra från tid till annan), utgör Kundens skriftliga dokumenterade instruktioner avseende Marzipans behandling av Kunddata (inklusive för ändamålen med UK SCCs) ("Dokumenterade Instruktioner"). Marzipan ska behandla Kunddata endast i enlighet med de Dokumenterade Instruktionerna. Ytterligare instruktioner utanför ramen för de Dokumenterade Instruktionerna (i förekommande fall) kräver ett föregående skriftligt avtal mellan Marzipan och Kunden.
    2. Marzipan har rätt att säga upp detta DPA och Avtalet utan att ådra sig något ansvar gentemot Kunden om Marzipan väljer att inte följa instruktioner som strider mot dataskyddslagstiftningen eller tillämpliga dataskyddsbestämmelser i EU:s vinmärkningsförordningar, eller som faller utanför ramen för, eller avviker från, de instruktioner som lämnats eller avtalats att lämnas i detta DPA eller i något annat skriftligt avtal mellan parterna.
    3. Kunden ska inte tillhandahålla (eller låta tillhandahålla) någon Special Category Data till Marzipan för behandling enligt Avtalet, och Marzipan ska inte ha något som helst ansvar för Special Category Data, vare sig i samband med en säkerhetsincident eller på annat sätt. För undvikande av tvivel ska detta DPA inte tillämpas på Special Category Data.

  3. Databehandling

    1. When Marzipan processes Customer Data while providing the Services, Marzipan will:

      (a)i den mån UK GDPR eller EU GDPR är tillämplig, behandla Kunddata som Personuppgiftsbiträde som handlar på uppdrag av Kunden (oavsett om denne själv är Personuppgiftsansvarig eller Personuppgiftsbiträde för en tredjeparts räkning som Personuppgiftsansvarig);

      (b)i den mån CCPA är tillämplig, behandla Kunddata på uppdrag av Kunden i egenskap av Service Provider (se klausul 3.2 nedan för mer information);

      (c)behandla och lagra Kunddata endast på servrar:

      a.som drivs av datacenteroperatören UpCloud Oy, ett finskt aktiebolag ("UpCloud"), vid dess datacenter DE-FRA1 i Frankfurt, Tyskland.

      b.som drivs av datacenteroperatören Scaleway SAS, ett franskt förenklat aktiebolag ("Scaleway"), vid dess datacenter i Paris.

      c.som drivs av datacenteroperatören Hetzner Online GmbH, ett tyskt aktiebolag ("Hetzner"), vid dess datacenter i Nürnberg och Falkenstein i Tyskland; och

      d.som drivs av molnlagringsleverantören BunnyWay d.o.o., ett sloveniskt aktiebolag ("BunnyWay"), vid dess edge-serverplats i Nürnberg, Tyskland.

      (d)behandla Kunddata endast i den utsträckning och på det sätt som är nödvändigt för Affärsändamålen i enlighet med Kundens lagliga Dokumenterade Instruktioner (förutsatt att sådana instruktioner är förenliga med funktionaliteterna hos de Services som Kunden köpt enligt Avtalet);

      (e)om Marzipan enligt lag är skyldig att behandla Kunddata för något annat ändamål än Affärsändamålen, ska Marzipan underrätta Kunden om detta krav innan sådan behandling påbörjas, såvida inte Marzipan enligt lag är förhindrad att lämna sådan underrättelse;

      (f)utan dröjsmål följa alla lagliga skriftliga instruktioner som Kunden lämnar och som kräver att Marzipan ändrar, överför, raderar eller på annat sätt behandlar Kunddata, eller upphör med, begränsar eller avhjälper otillåten behandling;

      (g)upprätthålla sekretessen för Kunddata och inte lämna ut Kunddata till tredje parter såvida inte Kunden eller detta DPA uttryckligen tillåter utlämnandet, eller om det krävs enligt nationell lag, domstolsbeslut eller förordning (inklusive instruktioner från UK ICO Commissioner eller annan behörig myndighet i UK och/eller EES);

      (h)på skäligt sätt bistå Kunden, utan extra kostnad för Kunden, med att uppfylla Kundens efterlevnadsskyldigheter enligt dataskyddslagstiftningen, med beaktande av arten av Marzipans behandling och den information som finns tillgänglig för Marzipan, inklusive i illustrativt syfte men inte begränsat till, att förse Kunden med skälig information för att hjälpa Kunden att genomföra eventuella konsekvensbedömningar avseende dataskydd som Kunden utför, samt att bistå Kunden med att besvara registrerades begäranden; och

      (i)utan dröjsmål underrätta Kunden om eventuella ändringar i dataskyddslagstiftningen som skäligen kan tolkas som att de negativt påverkar Marzipans fullgörande av sina skyldigheter enligt Avtalet eller detta DPA.

    2. CCPA. Parterna bekräftar och är överens om att Marzipan är en tjänsteleverantör (Service Provider) avseende Kunddata i den mening som avses i CCPA (i den mån den är tillämplig) och tar emot personuppgifter från Kunden för att tillhandahålla Tjänsterna i enlighet med Avtalet, vilket utgör ett affärsändamål. Marzipan ska inte sälja sådana personuppgifter. Marzipan ska inte behålla, använda eller lämna ut personuppgifter som tillhandahålls av Kunden enligt Avtalet utom i den mån det är nödvändigt för det specifika syftet att utföra Tjänsterna för Kunden i enlighet med detta Avtal, eller i övrigt i enlighet med vad som anges i detta Avtal eller tillåts enligt CCPA. Termerna "personuppgifter" (personal information), "tjänsteleverantör" (Service Provider), "försäljning" (sale) och "sälja" (sell) ska ha den betydelse som anges i avsnitt 1798.140 i CPA (i dess vid var tid gällande lydelse). Marzipan intygar att det förstår begränsningarna i denna bestämmelse (i).
    3. Tredjepartstjänster. Som en del av Tjänsterna erbjuder Marzipan Kunden möjlighet att från tid till annan integrera och/eller koppla samman Tjänsterna med vissa tredjepartstjänster, integrationer och applikationer ("Tredjepartstjänster"). Observera att Kundens användning av Tredjepartstjänsterna i varje enskilt fall uteslutande ska regleras av de villkor och medföljande integritetspolicyer (tillsammans "EULA") enligt vilka Tredjepartsleverantören gör de relevanta Tredjepartstjänsterna tillgängliga för Kunden ("Tredjepartsleverantören"). Varje EULA ingås uteslutande mellan Kunden och Tredjepartsleverantören, och Marzipan är inte part i sådana EULA.
    4. Om Kunden instruerar oss att integrera Kundens Marzipan-produkter eller -konton med en eller flera Tredjepartstjänster, godkänner Kunden att Marzipan överför Kunddata till Tredjepartsleverantörerna så att dessa kan tillhandahålla sina tjänster till Kunden. Om Tredjepartsleverantörer därefter behandlar Kunddata ska detta regleras av de relevanta integritetsbestämmelserna i deras EULA, och Marzipan ansvarar inte för sådan behandling.
    5. Third-Party Services from the following Third-Party Service Providers are currently available to be integrated and/or interfaced with Marzipan.
      Name Description
      Fathom Analytics This integration allows Customers who are subscribed to Fathom Analytics’ web analytics service to view their Fathom Analytics dashboard within Marzipan’s e-commerce and data management platform. All EEA and UK traffic processed via the integration is processed solely on EU servers owned and operated by the German cloud service provider etzner Online GmbH, a German legal entity.
      MailChimp This integration allows Customers who are subscribed to MailChimp’s email marketing service to send data to MailChimp to enable the Customer to send emails to their subscribers.
    6. Observera att om Marzipan tillåter Kunden att integrera Tjänsterna med en Tredjepartstjänst som inte anges i tabellen ovan, ska Kundens användning av en sådan Tredjepartstjänst regleras av den tillämpliga EULA för den relevanta Tredjepartsleverantören på samma villkor som i bestämmelse (i) i detta Avtal.
    7. SCCs. Om Marzipan och Kunden har ingått standardavtalsklausuler (Standard Contractual Clauses) enligt beskrivningen i klausul 10 (Överföringar av Kunddata) gäller följande: (i) Kundens instruktion till Marzipan enligt klausul 3.3 i detta Avtal om att integrera Tredjepartstjänsten/tjänsterna (i tillämpliga fall) som en del av Tjänsterna ska utgöra Kundens föregående skriftliga samtycke till att Marzipan överför Kunddata till Tredjepartsleverantören om sådant samtycke krävs enligt SCCs; (ii) parterna är överens om att kopior av avtal med Tredjepartsleverantörer som Marzipan är skyldig att tillhandahålla Kunden i enlighet med klausul 9(c) i EU SCCs eller relevant klausul i UK SCCs (i tillämpliga fall) kan ha kommersiell information, eller information som inte har samband med standardavtalsklausulerna eller motsvarigheten till dessa, borttagen av Marzipan i förväg, och att sådana redigerade kopior enbart tillhandahålls av Marzipan på Kundens skriftliga begäran.
    8. The Customer’s responsibilities. The Customer:

      (a)ska vara personuppgiftsansvarig (Data Controller) avseende Kunddata;

      (b)ska fortsatt ansvara för Kundens efterlevnadsskyldigheter enligt tillämplig dataskyddslagstiftning, inklusive men inte begränsat till att lämna erforderliga meddelanden och inhämta erforderliga samtycken som är nödvändiga för att Marzipan ska kunna behandla Kunddata för Affärsändamålen;

      (c)ska inte tillhandahålla (eller föranstalta om att tillhandahålla) några Särskilda kategorier av personuppgifter (Special Category Data) till Marzipan för behandling inom ramen för Avtalet, och Marzipan ska inte ha något som helst ansvar för Särskilda kategorier av personuppgifter, vare sig i samband med en Säkerhetsincident eller på annat sätt. För undvikande av tvekan ska detta DPA inte gälla för Särskilda kategorier av personuppgifter;

      (d)försäkrar och garanterar att det har följt, och kommer att fortsätta följa, alla tillämpliga lagar, inklusive dataskyddslagstiftningen, avseende sin behandling av Kunddata och eventuella Dokumenterade Instruktioner som det lämnar till Marzipan;

      (e)ska ha ensamt ansvar för noggrannheten, kvaliteten och lagligheten hos Kunddata samt för de medel genom vilka Kunden har inhämtat Kunddata. Utan att inskränka det ovan anförda godkänner Kunden att det ska ansvara för att följa alla lagar (inklusive dataskyddslagstiftningen) som är tillämpliga på innehåll som skapas, skickas eller hanteras via Tjänsterna;

      (f)ska säkerställa att Marzipans behandling av Kunddata i enlighet med Kundens Dokumenterade Instruktioner inte medför att Marzipan bryter mot någon tillämplig lag, förordning eller regel, inklusive utan begränsning dataskyddslagstiftningen. Marzipan ska utan dröjsmål skriftligen underrätta Kunden, om inte detta är förbjudet enligt dataskyddslagstiftningen, om Marzipan får kännedom om eller anser att någon databehandlingsinstruktion från Kunden strider mot dataskyddslagstiftningen; och

      (g)i den mån det agerar som personuppgiftsbiträde för en tredjepartskontrolls räkning (eller annan mellanhand till den slutliga personuppgiftsansvarige), garanterar att dess Dokumenterade Instruktioner enligt Avtalet och detta DPA, inklusive dess bemyndiganden till Marzipan att utse underbiträden (Sub-processors) i enlighet med detta DPA, har godkänts av den relevanta personuppgiftsansvarige.

  4. Typer av Kunddata och behandlingsändamål

    1. Föremål. Föremålet för databehandlingen enligt detta DPA är Kunddata som behandlas via Tjänsterna.
    2. Varaktighet. Mellan Marzipan och Kunden är det Kunden som bestämmer varaktigheten för databehandlingen enligt detta DPA. Kunden kan avbryta eller avsluta databehandlingen genom att avbryta eller avsluta Kundens prenumeration på Plattformstjänsterna och/eller Labls-tjänsterna (i tillämpliga fall) eller genom att avbryta eventuella Marzipan-värdbaserade integrationer (såsom eventuella egna API:er som Marzipan gör tillgängliga för Kunden) som Kunden använder som en del av sin verksamhet.
    3. Ändamål. Ändamålet med databehandlingen enligt detta DPA är tillhandahållandet av de Tjänster som Kunden initierar från tid till annan, inklusive i illustrativt syfte tillhandahållandet av Marzipans e-handels- och datahanteringsplattform och/eller tjänsten för generering och värdhantering av E-etiketter till Kunden.
    4. Behandlingens art. Marzipan hjälper företag att samordna sin e-handelsverksamhet och generera E-etiketter för sina vinprodukter, bland annat genom att tillhandahålla de "Tjänster" som definieras i klausul 1 i detta DPA. Dessa Tjänster innefattar behandling av Kunddata av Marzipan, dess underbiträden (Sub-processors) och, i tillämpliga fall, Tredjepartsleverantörerna. Kunddata kan laddas upp till och/eller behandlas på Tjänsterna av Kunden via Kundkontot, eventuella API:er som Marzipan tillgängliggör och som samverkar med Tjänsterna från tid till annan, samt (iii) eventuella Tredjepartstjänster som delar Kunddata med Tjänsterna.
    5. Types of Customer Data. Customer Data uploaded to the Services:

      (a)av Kunden via Kundkontot;

      (b)via Marzipans API:er eller webbkomponenter som integrerar Tjänsterna med Kundens system; och

      (c)via eventuella Tredjepartstjänster som Kunden integrerar med Tjänsterna.

      Typer av personuppgifter som laddas upp till tjänsterna som en del av kunddata kan inkludera:

      • Kundnamn, e-post, kontakt-, fakturerings- och leveransinformation.
      • Köp-, prenumerations- (dvs. vinklubb) och annan transaktionsinformation (inklusive men inte begränsat till statusinformation) från kundens fysiska och digitala butiker;
      • Slutkundaktivitet i kundens digitala butiker, inklusive orderhistorik, visade produkter och produkter i kundvagnar.
      • Slutkundens enhetsinformation för enheter som används vid besök i kundens butiker, inklusive IP-adress, webbläsare och nätverksaktivitet.
      • Alla andra personuppgifter som kunden väljer att göra tillgängliga för Marzipan.
    6. Kategorier av registrerade. De registrerade kan inkludera (i) kunden, dess anställda, uppdragstagare, agenter, leverantörer och säljare samt (ii) kundens faktiska och potentiella slutkunder.

  5. Säkerhet vid databehandling

    1. Marzipan ska alltid vidta lämpliga tekniska och organisatoriska åtgärder mot obehörig eller olaglig behandling, åtkomst, kopiering, ändring, reproduktion, visning eller distribution av kunddata, samt mot oavsiktlig eller olaglig förlust, förstörelse, ändring, utlämnande eller skada av kunddata, inklusive men inte begränsat till de åtgärder som beskrivs i Marzipans säkerhetsstandarder (Bilaga A), i varje fall för att säkerställa en säkerhetsnivå för kunddata som är lämplig med hänsyn till risken i enlighet med artikel 32 EU/UK GDPR.
    2. Marzipan shall implement such measures to ensure a level of security appropriate to the risk involved, including as appropriate:

      (a)pseudonymisering och kryptering av kunddata;

      (b)förmågan att säkerställa fortlöpande konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystem och tjänster;

      (c)förmågan att i rätt tid återställa tillgängligheten till och åtkomsten av kunddata vid en fysisk eller teknisk incident; och

      (d)en process för regelbunden testning, bedömning och utvärdering av säkerhetsåtgärdernas effektivitet.

  6. Marzipans anställda

    1. Marzipan will ensure its employees, contractors and agents:

      (a)informeras om kunddata konfidentiella karaktär och är bundna av sekretessförpliktelser och användningsbegränsningar avseende kunddata;

      (b)har genomgått utbildning om dataskyddslagstiftningen avseende hantering av kunddata och hur den tillämpas på deras arbetsuppgifter; och

      (c)är medvetna om såväl Marzipans skyldigheter som sina egna personliga skyldigheter och förpliktelser enligt dataskyddslagstiftningen och avtalet.

  7. Säkerhet

    1. Marzipan ska alltid vidta lämpliga tekniska och organisatoriska åtgärder mot obehörig eller olaglig behandling, åtkomst, kopiering, ändring, reproduktion, visning eller distribution av kunddata, samt mot oavsiktlig eller olaglig förlust, förstörelse, ändring, utlämnande eller skada av kunddata.
    2. Marzipan shall implement such measures to ensure a level of security appropriate to the risk involved, including for illustrative purposes and as appropriate:

      (a)pseudonymisering och kryptering av kunddata;

      (b)förmågan att säkerställa fortlöpande konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystem och tjänster;

      (c)förmågan att i rätt tid återställa tillgängligheten till och åtkomsten av kunddata vid en fysisk eller teknisk incident; och

      (d)en process för regelbunden testning, bedömning och utvärdering av säkerhetsåtgärdernas effektivitet.

  8. Personuppgiftsincident

    1. Marzipan shall within 72 hours and in any event without undue delay notify the Customer if it becomes aware of:

      (a)förlust, oavsiktlig förstörelse eller skada, korruption eller annan försämring av delar av eller all kunddata;

      (b)all oavsiktlig, obehörig eller olaglig behandling av kunddata; eller

      (c)varje personuppgiftsincident.

    2. Where Marzipan becomes aware of any of the foregoing matters described in clauses 8.1(a), (b) and/or (c) above, it shall, without undue delay, also provide the Customer with the following:

      (a)en beskrivning av arten av den omständighet som dokumenterats i förhållande till klausulerna 8.1(a), (b) och/eller (c), inklusive kategorier av berörda kunddata och det ungefärliga antalet både registrerade och kunddata-poster som berörs; eller

      (b)en beskrivning av de åtgärder som vidtagits eller planeras för att hantera de omständigheter som dokumenterats i förhållande till klausulerna 8.1(a), (b) och/eller (c), inklusive åtgärder för att mildra eventuella negativa effekter.

    3. Omedelbart efter varje oavsiktlig, obehörig eller olaglig behandling av kunddata eller personuppgiftsincident kommer Marzipan att kontakta kunden så att vi kan samordna vår utredning av ärendet.
    4. Marzipan kommer inte att informera någon tredje part om oavsiktlig, obehörig eller otillåten behandling av hela eller delar av Kunddata och/eller ett Personuppgiftsincident utan att först inhämta Kundens skriftliga samtycke, förutom när ett sådant utlämnande är nödvändigt som en del av de åtgärder som krävs för att hantera sådan behandling eller Personuppgiftsincident, eller när ett sådant utlämnande krävs enligt tillämplig lag.
    5. Marzipan ska täcka skäliga kostnader i samband med fullgörandet av sina skyldigheter enligt klausulerna 8.1 och 8.2, såvida inte ärendet uppstod till följd av Kundens specifika skriftliga instruktioner, vårdslöshet, uppsåtligt brott eller överträdelse av DPA eller Avtalet, i vilket fall Kunden ska täcka alla skäliga kostnader (inklusive Marzipans skäliga kostnader och dess professionella rådgivares kostnader).

  9. Underbiträden

    1. Marzipan uses the following Sub-processors to host and/or process Customer Data, to provide infrastructure and network services to support Marzipan, and to perform service functions on our behalf as part of the Services:
      Name Description
      Active Campaign LLC Trading as "Postmark", Active Campaign delivers transactional emails (e.g. password reset emails, notification emails, receipt and invoice emails) on behalf of Marzipan as part of the Services.
      Automattic, Inc. Trading as "Gravatar." Automattic allows Customers to upload pre-existing image and public profile data to the Platform Services.
      BunnyWay d.o.o BunnyWay provides Marzipan with Domain Name System (DNS), Website Application Firewall (WAF) and Content Delivery Network (CDN) services.
      Fathom Analytics Fathom Analytics provides web analytics services that enable Marzipan to track and analyse web traffic’s engagement with the Services.
      Functional Software Inc. Trading as "Sentry", Functional Software provides Marzipan with crash and error monitoring services in respect of the Services.
      Internet Security Research Group ISRG’s "Let’s Encrypt" service provides Marzipan with the digital certificate necessary to enable HTTPS (SLS/TLS) on its websites.
      Laravel Holdings Inc. Laravel provides Marzipan with its: (i) "Forge" server management services in relation to the provisioning and deployment of the Services on Hetzner Online GmbH’s servers; and (ii) "Envoyer" zero downtime deployment services.
      OhMySMTP Ltd OhMySMTP, trading as "MailPace", provides Marzipan with email services for sending transactional emails (e.g. password reset emails, notification emails, order confirmation emails) on behalf of Marzipan as part of the Services.
      PayPal UK Ltd PayPal provides Marzipan with authorised payment gateway and payment processing services in respect of payload and payment data submitted to the Services.
      Stripe Payments UK, Ltd. Stripe provides Marzipan with authorised payment gateway and payment processing services in respect of payload and payment data submitted to the Services.
    2. Kunden bemyndigar oss att använda de underbiträden som anges i klausul 9.1 ovan som en del av Tjänsterna, och ger oss vidare ett generellt bemyndigande att använda andra underbiträden för att utföra behandlingsaktiviteter avseende Kunddata som vi samlar in från Kunden enligt Avtalet. Marzipan ska underrätta Kunden om det lägger till eller tar bort underbiträden minst 10 dagar före sådana ändringar.
    3. Where Marzipan engages a Sub-processor as described in clause 9.1:

      (a)Marzipan kommer att begränsa underbiträdets tillgång till data till vad som är skäligen nödvändigt för att tillhandahålla, underhålla eller förbättra Tjänsterna; och

      (b)Marzipan kommer att ingå ett skriftligt databehandlingsavtal med underbiträdet, och i den mån underbiträdet utför samma databehandlingstjänster som Marzipan tillhandahåller enligt detta DPA, kommer Marzipan att ålägga underbiträdet samma avtalsenliga skyldigheter som Marzipan har häri.

    4. If Marzipan and the Customer have entered into Standard Contractual Clauses as described in clause 10 (Transfers of Customer Data):

      (a)ovanstående bemyndiganden ska utgöra Kundens föregående skriftliga samtycke till Marzipans underleverantörskontraktering av behandlingen av Kunddata om sådant samtycke krävs enligt SCCs;och

      (b)Marzipan kommer att ingå ett skriftligt databehandlingsavtal med underbiträdet, och i den mån underbiträdet utför samma databehandlingstjänster som Marzipan tillhandahåller enligt detta DPA, kommer Marzipan att ålägga underbiträdet samma avtalsenliga skyldigheter som Marzipan har häri.

    5. If Marzipan and the Customer have entered into Standard Contractual Clauses as described in clause 10 (Transfers of Customer Data):

      (a)ovanstående bemyndiganden ska utgöra Kundens föregående skriftliga samtycke till Marzipans underleverantörskontraktering av behandlingen av Kunddata om sådant samtycke krävs enligt SCCs; och

      (b)Parterna är överens om att kopior av avtalen med underbiträden som Marzipan ska tillhandahålla Kunden enligt Klausul 9(c) i EU SCCs eller tillämplig klausul i UK SCCs (beroende på vad som är tillämpligt) får ha kommersiell information, eller information som inte är relaterad till Standardavtalsklausulerna eller deras motsvarighet, borttagen av Marzipan i förväg, och att sådana redigerade kopior kommer att tillhandahållas av Marzipan enbart på Kundens skriftliga begäran.

  10. Överföringar av Kunddata

    1. Parterna är överens om att Marzipan får överföra Kunddata som behandlas enligt Avtalet utanför EES, UK eller Schweiz i den mån det är nödvändigt för att tillhandahålla Tjänsterna. Kunden bekräftar att behandlingsverksamheten hos många av Tredjepartsleverantörerna och underbiträdena sker i Förenta staterna, och att överföringen av Kunddata är nödvändig för tillhandahållandet av Tjänsterna till Kunden. Om Marzipan överför Kunddata som skyddas enligt detta Avtal till en jurisdiktion för vilken EU-kommissionen eller UK:s Secretary of State (beroende på vad som är tillämpligt) inte har utfärdat ett adekvansbeslutet, ska Marzipan säkerställa att lämpliga skyddsåtgärder har vidtagits för överföringen av Kunddata i enlighet med Dataskyddslagstiftningen.
    2. Ex-EEA Transfers. The parties agree that ex-EEA Transfers are made pursuant to Module Two (Controller to Processor) of the EU SCCs which is deemed entered (and incorporated into this DPA) and which shall apply as follows (unless stated otherwise, references to clause numbers are references to clause numbers of Module Two of the EU SCCs):

      (a)Den valfria kopplingsklausulen i Klausul 7 är inte tillämplig;

      (b)I Klausul 9 tillämpas Alternativ 2 (generellt skriftligt bemyndigande), och den minsta tidsperioden för förhandsavisering av förändringar av underbiträden ska vara i enlighet med vad som anges i klausul 9.2 i detta DPA;

      (c)I Klausul 11 är den valfria lydelsen inte tillämplig;

      (d)Alla hakparenteser i Klausul 12 är härmed borttagna;

      (e)I Klausul 17 (Alternativ 10 gäller irländsk rätt för EU SCCs);

      (f)I Klausul 18(b) ska tvister lösas inför domstolarna i Irland;

      (g)Del 1 av Bilaga B ("Gränsöverskridande överföringar") till detta DPA innehåller den information som krävs i Bilaga I i EU SCCs;

      (h)Del 1 av Bilaga B ("Gränsöverskridande överföringar") till detta DPA innehåller den information som krävs i Bilaga II i EU SCCs;

      (i)Genom att ingå detta DPA anses parterna ha undertecknat de EU SCCs som införlivats häri, inklusive deras bilagor.

    3. Ex-UK Transfers

      (a)Parterna är överens om att IDTA DPA ska tillämpas på en överföring utanför UK. Del 2 av Bilaga B ("Gränsöverskridande överföringar") innehåller den information som krävs i IDTA DPA.

    4. Transfers from Switzerland. The parties agree that transfers from Switzerland are made pursuant to the EU SCCs with the following modifications:

      (a)Termerna "allmän dataskyddsförordning" eller "förordning (EU) 2016/679" som används i EU SCCs ska tolkas så att de inkluderar den federala dataskyddslagen av den 19 juni 2022 ("FADP"), och i dess ändrade lydelse från den 25 september 2020, den "reviderade FADP") med avseende på dataöverföringar som omfattas av FADP.

      (b)Villkoren i EU SCCs ska tolkas så att de skyddar juridiska personers uppgifter till dess att de träder i kraft enligt den reviderade FADP.

      (c)Klausul 13 i EU SCCs ändras för att föreskriva att Schweiz federala dataskydds- och informationskommissionär ("FDPIC") ska ha behörighet över dataöverföringar som regleras av FADP, och att den behöriga EU-tillsynsmyndigheten ska ha behörighet över dataöverföringar som regleras av EU GDPR. Med förbehåll för det föregående ska alla övriga krav i Klausul 13 i EU SCCs iakttas.

      (d)Termen "EU-medlemsstat" som används i EU SCCs ska inte tolkas på ett sådant sätt att registrerade i Schweiz utestängs från att utöva sina rättigheter på sin vanliga vistelseort i enlighet med Klausul 18(c) i EU SCCs.

    5. Supplementary Measures. In respect of any ex-EEA Transfer or ex-UK Transfer, the following supplementary measures shall apply:

      (a)Per dagen för detta DPA har Dataimportören inte mottagit några formella juridiska förfrågningar från några statliga underrättelse- eller säkerhetstjänster/myndigheter i det land till vilket Kunddata exporteras, om tillgång till (eller kopior av) Kunddata ("Myndighetsförfrågningar");

      (b)Om Dataimportören efter dagen för detta DPA mottar några Myndighetsförfrågningar ska Marzipan försöka hänvisa brottsbekämpande myndigheter eller statliga myndigheter till att begära uppgifterna direkt från Kunden. Som en del av detta arbete samtycker Kunden till att vi får lämna Kundens grundläggande kontaktuppgifter till den statliga myndigheten. Om Marzipan tvingas lämna ut Kunddata till en brottsbekämpande myndighet eller statlig myndighet ska Marzipan ge Kunden skäligt varsel om begäran och samarbeta för att ge Kunden möjlighet att söka ett skyddsföreläggande eller annat lämpligt rättsmedel, såvida inte Marzipan är rättsligt förhindrad från att göra detta. Marzipan ska inte frivilligt lämna ut Kunddata till någon brottsbekämpande myndighet eller statlig myndighet. Marzipan ska (så snart det rimligen är praktiskt möjligt) diskutera och fastställa om alla eller några av överföringarna av Kunddata enligt detta DPA bör avbrytas mot bakgrund av sådana Myndighetsförfrågningar;

      (c)Marzipan and the Data Exporter will meet regularly to consider whether:

      a.Det skydd som Dataimportörens lands lagstiftning ger de registrerade vars Personuppgifter överförs som en del av Kunddata är tillräckligt för att ge ett i stort sett likvärdigt skydd som det som ges inom EES eller UK, beroende på vad som är tillämpligt;

      b.Ytterligare åtgärder är rimligen nödvändiga för att möjliggöra att överföringen uppfyller kraven i Dataskyddslagstiftningen;

      c.Det är fortfarande lämpligt att Kunddata överförs till den relevanta Dataimportören, med beaktande av all relevant information som parterna har tillgång till, tillsammans med vägledning från Tillsynsmyndigheterna.

      (d)Om Dataskyddslagarna kräver att Marzipan ingår Standardavtalsklausuler tillämpliga på en specifik överföring av Kunddata till en Dataimportör som ett separat avtal, ska Dataimportören på Marzipans begäran skyndsamt underteckna sådana Standardavtalsklausuler med de ändringar som rimligen kan krävas av Marzipan för att återspegla tillämpliga bilagor, uppgifter om överföringen och kraven i Dataskyddslagarna; och

      (e)Om antingen (i) något av de medel för att legitimera överföringar utanför EES, UK eller Schweiz som anges i detta DPA upphör att vara giltigt, eller (ii) en Tillsynsmyndighet kräver att överföringar av Kunddata enligt dessa medel ska avbrytas, får Dataimportören genom skriftligt meddelande till Marzipan, med verkan från det datum som anges i ett sådant meddelande, ändra eller införa alternativa arrangemang avseende sådana överföringar, i enlighet med vad som krävs enligt Dataskyddslagarna.

    6. Underbiträden. I de fall Kunden samtycker till vår utnämning av ett Underbiträde som är lokaliserat utanför EES i enlighet med bestämmelserna i klausul 9, eller i de fall Kunden väljer att integrera en Tredjepartstjänst från en Tredjepartstjänstleverantör utanför EES i enlighet med klausul 3, bemyndigar Kunden oss att ingå SSC:er med den parten, inklusive i Kundens namn och för Kundens räkning.

  11. Klagomål, begäranden från registrerade och tredjepartsrättigheter

    1. Marzipan will take such reasonable technical and organisational measures as appropriate, and promptly provide such information to the Customer as the Customer may require, to enable the Customer to comply with:

      (a)the rights of Data Subjects under the Data Protection Laws, including subject access rights, the rights to rectify, port and erase Customer Data, object to the processing and automated processing of Customer Data, and restrict the processing of Customer Data; and/p>

      (b)klagomåls- eller bedömningsförelägganden som UK ICO (eller annan relevant tillsynsmyndighet inom EES) delgett Kunden enligt Dataskyddslagarna.

    2. Marzipan ska omedelbart skriftligen underrätta Kunden om det mottar ett klagomål, ett föreläggande eller en kommunikation som direkt eller indirekt rör behandlingen av Kunddata eller Marzipans eller Kundens efterlevnad av Dataskyddslagarna.
    3. Marzipan ska underrätta Kunden inom 14 dagar om det mottar en begäran från en Registrerad om tillgång till dennes Kunddata eller om att utöva någon av deras övriga rättigheter enligt Dataskyddslagarna.
    4. Marzipan ska bistå Kunden med att besvara klagomål, förelägganden, kommunikationer eller begäranden från Registrerade.
    5. Marzipan ska inte lämna ut Kunddata till någon Registrerad eller till tredje part annat än i enlighet med Kundens skriftliga instruktioner, eller i den mån det krävs enligt nationell lagstiftning.

  12. Avtalsperiod och uppsägning

    1. This DPA will remain in full force and effect so long as:

      (a)Avtalet fortfarande är i kraft; eller

      (b)Marzipan fortfarande innehar eller kontrollerar Kunddata hänförliga till Avtalet ("Avtalsperioden").

    2. Bestämmelser i detta DPA som uttryckligen eller underförstått ska träda i kraft eller fortsätta att gälla vid eller efter Avtalets upphörande för att skydda Kunddata ska förbli i full kraft och verkan.
    3. Marzipans underlåtenhet att följa villkoren i detta DPA utgör ett väsentligt avtalsbrott. I ett sådant fall får Kunden säga upp Avtalet med omedelbar verkan genom skriftligt meddelande till Marzipan utan att ådra sig ytterligare ansvar eller förpliktelser.
    4. Om en förändring i Dataskyddslagarna hindrar någon av parterna från att uppfylla alla eller delar av sina avtalsförpliktelser, får parterna komma överens om att avbryta behandlingen av Kunddata tills behandlingen uppfyller de nya kraven. Om parterna inte kan bringa Kunddata-behandlingen i överensstämmelse med Dataskyddslagarna inom 90 dagar, får endera parten säga upp Avtalet med omedelbar verkan genom skriftligt meddelande till den andra parten.

  13. Återlämnande och radering av data

    1. På Kundens begäran ska Marzipan ge Kunden, eller en av Kunden skriftligen utsedd tredje part, en kopia av eller tillgång till all eller delar av Kunddata i Marzipans besittning eller kontroll, i det format och på det medium som Kunden rimligen anger.
    2. Vid Avtalets upphörande eller utgång av något skäl, eller efter att Tjänsterna har slutförts, ska Marzipan återlämna eller radera Kunddata, såvida inte ytterligare lagring av Kunddata krävs eller är tillåten enligt tillämplig lag. Om återlämnande eller radering är ogenomförbart eller förbjudet enligt lag, regel eller förordning, ska Marzipan vidta åtgärder för att blockera sådan Kunddata från all vidare behandling (utom i den mån det är nödvändigt för fortsatt hosting eller behandling som krävs enligt lag, regel eller förordning) och ska fortsätta att på lämpligt sätt skydda de Kunddata som kvarstår i dess besittning, förvar eller kontroll. Om Marzipan och Kunden har ingått Standardavtalsklausuler enligt klausul 10 (Överföringar av Kunddata), är parterna överens om att det intyg om radering som krävs enligt klausul 8.1(d) i EU SCCs och eventuella tillämpliga bestämmelser i UK SCCs (i tillämpliga fall) endast ska tillhandahållas av Marzipan till Kunden på Kundens skriftliga begäran.
    3. Om en lag, förordning eller statlig eller tillsynsmyndighet kräver att Marzipan ska bevara handlingar, material eller Kunddata som Marzipan annars skulle vara skyldigt att återlämna eller förstöra, ska Marzipan skriftligen underrätta Kunden om det kravet och ange vilka handlingar, material eller Kunddata som måste bevaras, den rättsliga grunden för bevarandet samt fastställa en specifik tidplan för radering eller förstöring när bevarandekravet upphör.
    4. Marzipan ska skriftligen intyga till Kunden att Kunddata har raderats inom 30 dagar efter att raderingen eller förstöringen har slutförts.

  14. Register

    1. Marzipan ska föra detaljerade, korrekta och aktuella skriftliga register avseende all behandling av Kunddata, inklusive men inte begränsat till åtkomst, kontroll och säkerhet avseende Kunddata, godkända underleverantörer, ändamålen med behandlingen, kategorier av behandling, eventuella överföringar av Kunddata till tredjeland och relaterade skyddsåtgärder, samt en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som har vidtagits ("Registret")
    2. Marzipan ska säkerställa att Registret är tillräckligt för att göra det möjligt för Kunden att verifiera att Marzipan uppfyller sina skyldigheter enligt detta Avtal, och Marzipan ska på begäran tillhandahålla Kunden kopior av Registret.

  15. Garantier

    1. TMarzipan warrants and represents that:

      (a)dess anställda, underleverantörer, ombud och andra personer som bereder sig åtkomst till Kunddata för dess räkning är tillförlitliga och pålitliga samt har erhållit erforderlig utbildning om dataskyddslagstiftningen;

      (b)den och alla som agerar för dess räkning kommer att behandla Kunddata i enlighet med dataskyddslagstiftningen och annan tillämplig lagstiftning, förordningar, regler, order, standarder och liknande instrument;

      (c)den inte har någon anledning att tro att dataskyddslagstiftningen hindrar den från att tillhandahålla någon av de avtalade tjänsterna enligt Avtalet; och

      (d)med beaktande av den aktuella tekniska miljön och implementeringskostnader, vidta lämpliga tekniska och organisatoriska åtgärder för att förhindra obehörig eller otillåten behandling av Kunddata samt oavsiktlig förlust, förstöring av eller skada på Kunddata, och säkerställa en säkerhetsnivå som är lämplig med avseende på:

      (i)den skada som kan uppstå till följd av sådan obehörig eller otillåten behandling eller oavsiktlig förlust, förstöring eller skada;

      (ii)karaktären på den Kunddata som ska skyddas; och

      (iii)efterlevnad av all tillämplig dataskyddslagstiftning samt dess informations- och säkerhetspolicyer.

  16. Ingående och ändringar

    1. Villkoren i detta DPA är inkorporerade genom hänvisning i Avtalet och utgör en del därav som om de vore fullständigt angivna i Avtalet. Genom att ingå Avtalet bekräftar och godkänner Kunden uttryckligen att Kunden ska vara bunden av villkoren i detta DPA.
    2. Marzipan får, efter att ha lämnat trettio (30) kalenderdagars skriftligt förhandsmeddelande, göra skäliga ändringar i detta DPA i den utsträckning som krävs till följd av en förändring i, eller ett beslut av en behörig myndighet enligt, dataskyddslagstiftningen, för att möjliggöra att behandling av Kunddata kan ske (eller fortsätta att ske) utan brott mot dataskyddslagstiftningen. Om Kunden inte godkänner sådana ändringar har Kunden rätt att, inom den angivna perioden om trettio (30) kalenderdagar, lämna skriftligt meddelande till Marzipan om att säga upp Avtalet (inklusive detta DPA) med omedelbar verkan i den utsträckning det avser de Tjänster som berörs av de föreslagna ändringarna (eller avsaknaden av dessa). Kunden ska erlägga alla avgifter och övriga belopp till Marzipan som uppkommit under eller i samband med Avtalet före uppsägningsdatumet och som kvarstår obetalda per uppsägningsdatumet. Kunden ska inte ha några ytterligare anspråk (inklusive begäran om återbetalning för Tjänsterna) till följd av eller i samband med uppsägningen av detta Avtal enligt denna klausul 16.2.

Ta inte bara vårt ord för det

“Vi bytte från WooCommerce till en skräddarsydd lösning driven av Marzipan. Att hantera våra beställningar är enkelt och flexibiliteten i prenumerations-API:et har gjort det möjligt för oss att förbättra vårt erbjudande för old vine-adoptioner.”

Katie Jones håller en Tuchan-räfsa
Katie Jones
Ägare, Domaine Jones

“Marzipan är otroligt enkelt att använda, och extremt flexibelt och konfigurerbart. Det gör återkommande prenumerationsvinklubbar mycket enklare än något annat system jag har använt, och klarar av nästan allt vi har utsatt det för.”

Justin Howard-Sneyd, MW
Justin Howard-Sneyd, MW
Ägare, Domaine of the Bee