DEL 1 – Överföringar utanför EES
1. Bilaga I.A till standardavtalsklausulerna ska fyllas i enligt följande:
Dataexportör: Kunden (enligt vad som anges i avtalet).
Kontaktuppgifter: Kundens kontaktuppgifter (enligt vad som anges i avtalet).
Dataexportörens roll: Personuppgiftsansvarig.
Modul två: Dataexportören är personuppgiftsansvarig.
Dataimportör: Marzipan.
Kontaktuppgifter: Enligt vad som anges i avtalet.
Dataimportörens roll: Dataimportören är personuppgiftsbiträde.
Underskrift och datum: Genom att ingå avtalet och DPA anses dataimportören ha undertecknat dessa standardavtalsklausuler, som är införlivade häri, inklusive deras bilagor, per avtalets ikraftträdandedatum.
2. Bilaga I.B till standardavtalsklausulerna ska fyllas i enligt följande:
Kategorierna av registrerade beskrivs i punkt 4.6 i DPA.
Kategorierna av kunddata beskrivs i punkt 4.5 i DPA.
Parterna avser inte att känsliga personuppgifter (särskilda kategorier av personuppgifter) ska överföras.
Frekvensen för överföringen är löpande under avtalets hela giltighetstid.
Behandlingens art beskrivs i punkt 4.4 i DPA.
Ändamålet med behandlingen beskrivs i punkt 4.3 i DPA.
Kunddata kommer att lagras under avtalets giltighetstid, om inte annat överenskommits i avtalet och/eller DPA.
Vad gäller överföringar till underbiträden anges föremålet för, arten av och varaktigheten för behandlingen i punkt 9 i DPA.
3. Bilaga I.C till standardavtalsklausulerna ska fyllas i enligt följande:
Den behöriga tillsynsmyndigheten i enlighet med klausul 13 är tillsynsmyndigheten i den medlemsstat som anges i punkt 10(e) i denna DPA.
Marzipans säkerhetsstandarder (bilaga A) ska utgöra den dokumentation och de uppgifter som krävs i bilaga II till standardavtalsklausulerna.
4. I den mån det föreligger någon konflikt mellan standardavtalsklausulerna och andra villkor i denna DPA eller avtalet ska bestämmelserna i standardavtalsklausulerna ha företräde.
DEL 2 – Överföringar utanför UK
- Parterna är överens om att IDTA DPA ska tillämpas på överföringar utanför UK, och denna del 2 gäller från och med den 21 mars 2022.
- Om inte annat definieras i avtalet ska definierade termer i del 2 av bilaga 2 ha den innebörd som anges i "Del: 2 Obligatoriska klausuler" nedan.
Del 1: Tabeller
Tabell 1 i IDTA DPA
3. Tabell 1 i DPA ska fyllas i enligt följande:
- Dataexportör: Kunden (enligt vad som anges i Avtalet).
- Kontaktuppgifter: Enligt vad som anges i Avtalet.
Underskrift och datum: Genom att ingå Avtalet och DPA anses Dataexportören ha undertecknat detta IDTA DPA som införlivats häri, från och med Avtalets ikraftträdandedatum.
- Dataimportör: Marzipan.
- Kontaktuppgifter: Enligt vad som anges i Avtalet.
Underskrift och datum: Genom att ingå Avtalet och DPA anses Dataimportören ha undertecknat detta IDTA DPA, som införlivats häri, från och med Avtalets ikraftträdandedatum.
Tabell 2 i IDTA DPA
4. Tabell 2 i DPA ska fyllas i enligt följande:
| DPA EU SSCs | The Approved EU SCCs, including the Appendix Information and with only the following modules, clauses or optional provisions of the Approved EU SCCs brought into effect for the purposes of this DPA: |
| Module in operation | Clause 7 (Docking Clause) |
Clause 11 (Option) |
Clause 9a (Prior Authorisation or General Authorisation) |
Clause 9a (Time period) |
Is personal data received from the Importer combined with personal data collected by the Exporter? |
|---|---|---|---|---|---|
| 1 | Shall not apply | Shall not apply | General Authorisation | As set out in clause 9.2 of the DPA (30 days). | No |
| 1 | Shall not apply | Shall not apply | General Authorisation | As set out in clause 9.2 of the DPA (30 days). | No |
Tabell 3 i IDTA DPA
5. Tabell 3 i DPA ska fyllas i enligt följande:
Dataexportör: Kunden (enligt vad som anges i avtalet).
Kontaktuppgifter: Kundens kontaktuppgifter (enligt vad som anges i avtalet).
Dataexportörens roll: Personuppgiftsansvarig.
- a) Modul ett: Dataimportören är en personuppgiftsansvarig.
- b) Modul två: Dataimportören är en personuppgiftsansvarig.
Modul två: Dataexportören är personuppgiftsansvarig.
Underskrift och datum: Genom att ingå Avtalet och DPA anses Dataexportören ha undertecknat de godkända EU SCCs, som införlivats häri inklusive deras bilagor, från och med Avtalets ikraftträdandedatum.
Dataimportör: Marzipan.
Kontaktuppgifter: Enligt vad som anges i Avtalet.
Dataimportörens roll: Dataimportören är ett personuppgiftsbiträde.
6. Bilaga I.B ska fyllas i enligt följande:
Kategorierna av registrerade beskrivs i punkt 4.6 i DPA.
Kategorierna av personuppgifter beskrivs i punkt 4.5 i DPA.
Parterna avser inte att känsliga personuppgifter (särskilda kategorier av personuppgifter) ska överföras.
Frekvensen för överföringen är löpande under avtalets hela giltighetstid.
Behandlingens art beskrivs i punkt 4.4 i DPA.
Ändamålet med behandlingen beskrivs i punkt 4.3 i DPA.
Den period under vilken personuppgifterna kommer att lagras är under Avtalets löptid, om inte annat överenskommits i Avtalet och/eller DPA.
Vad gäller överföringar till underbiträden anges föremålet för, arten av och varaktigheten för behandlingen i punkt 9 i DPA.
Bilaga III: Förteckning över underbiträden ska inte tillämpas eftersom Marzipan har ett allmänt skriftligt tillstånd att använda underbiträden.
Tabell 4 i IDTA DPA
7. Importören kan avsluta detta IDTA DPA enligt vad som anges i klausul 26 i detta IDTA DPA.
Del 2: Obligatoriska klausuler
8. Varje part samtycker till att vara bunden av de villkor som anges i detta IDTA DPA, i utbyte mot att den andra parten också samtycker till att vara bunden av detta IDTA DPA.
9. Även om Bilaga 1A och Klausul 7 i de godkända EU SCCs kräver underskrift av parterna, i syfte att genomföra begränsade överföringar, kan parterna ingå detta IDTA DPA på vilket sätt som helst som gör det juridiskt bindande för parterna och gör det möjligt för registrerade att utöva sina rättigheter enligt detta DPA. Att ingå detta IDTA DPA ska ha samma verkan som att underteckna de godkända EU SCCs och alla delar av de godkända EU SCCs.
Tolkning av detta IDTA DPA
10. I de fall detta IDTA DPA använder begrepp som definieras i de godkända EU SCCs ska dessa begrepp ha samma innebörd som i de godkända EU SCCs. Dessutom har följande begrepp följande innebörder:
| DPA | This International Data Transfer DPA which is made up of this IDTA DPA incorporating the DPA EU SCCs. |
| DPA EU SCCs | The version(s) of the Approved EU SCCs which this IDTA DPA is appended to, as set out in Table 2, including the Appendix Information. |
| Appendix Information | As set out in Table 3. |
| Appropriate Safeguards | The standard of protection over the Personal Data and of Data Subjects’ rights, which is required by UK Data Protection Laws when the Customer are making a Restricted Transfer relying on standard data protection clauses under Article 46(2)(d) UK GDPR. |
| Approved DPA | The template DPA issued by the UK ICO and laid before UK Parliament in accordance with s119A of the Data Protection Act 2018 on 2 February 2022, as it is revised under clause 25 below. |
| Approved EU SCCs | The Standard Contractual Clauses set out in the Annex of Commission Implementing Decision (EU) 2021/914 of 4 June 2021. |
| ICO | The UK Information Commissioner. |
| Restricted Transfer | A transfer which is covered by Chapter V of the UK GDPR. |
| UK | The United Kingdom of Great Britain and Northern Ireland. |
| UK Data Protection Laws | All laws relating to data protection, the processing of personal data, privacy and/or electronic communications in force from time to time in the UK, including the UK GDPR and the Data Protection Act 2018. |
| UK GDPR | As defined in section 3 of the Data Protection Act 2018. |
11. Detta IDTA DPA måste alltid tolkas på ett sätt som är förenligt med UK:s dataskyddslagar och på ett sådant sätt att det uppfyller parternas skyldighet att tillhandahålla lämpliga skyddsåtgärder.
12. Om de bestämmelser som ingår i DPA EU SCCs ändrar de godkända SCCs på något sätt som inte är tillåtet enligt de godkända EU SCCs eller det godkända DPA, ska sådana ändringar inte införlivas i detta IDTA DPA, och motsvarande bestämmelse i de godkända EU SCCs ska träda i deras ställe.
13. Om det finns någon inkonsekvens eller konflikt mellan UK Data Protection Laws och detta IDTA DPA gäller UK Data Protection Laws.
14. Om innebörden av detta IDTA DPA är oklar eller kan tolkas på mer än ett sätt, tillämpas den tolkning som bäst överensstämmer med UK Data Protection Laws.
15. Eventuella hänvisningar till lagstiftning (eller specifika bestämmelser i lagstiftning) avser den lagstiftningen (eller den specifika bestämmelsen) såsom den kan förändras över tid. Detta inkluderar fall där den lagstiftningen (eller den specifika bestämmelsen) har konsoliderats, omstiftats och/eller ersatts efter att detta IDTA DPA ingåtts.
Hierarki
16. Även om Klausul 5 i de Godkända EU SCC:erna fastslår att de Godkända EU SCC:erna har företräde framför alla relaterade avtal mellan parterna, är parterna överens om att, för Begränsade Överföringar, gäller hierarkin i Avsnitt 17.
17. Om det finns någon inkonsekvens eller konflikt mellan det Godkända DPA och DPA EU SCC:erna (i tillämpliga fall), har det Godkända DPA företräde framför DPA EU SCC:erna, utom i de fall (och i den utsträckning) de motstridiga villkoren i DPA EU SCC:erna ger registrerade personer ett starkare skydd, i vilket fall dessa villkor har företräde framför det Godkända DPA.
18. Om detta IDTA DPA inkorporerar DPA EU SCC:er som har ingåtts för att skydda överföringar som omfattas av den allmänna dataskyddsförordningen (EU) 2016/679, bekräftar Parterna att ingenting i detta IDTA DPA påverkar dessa DPA EU SCC:er.
Inkorporering av och ändringar av EU SCC:erna
19. Detta IDTA DPA inkorporerar DPA EU SCC:erna vilka ändras i den utsträckning som är nödvändig för att:
- de tillsammans ska fungera för dataöverföringar som görs av dataexportören till dataimportören, i den utsträckning som UK Data Protection Laws gäller för dataexportörens behandling vid genomförandet av den dataöverföringen, och de tillhandahåller Lämpliga Skyddsåtgärder för dessa dataöverföringar;
- Klausulerna 16 till 18 nedan åsidosätter Klausul 5 (Hierarki) i DPA EU SCC:erna; och
- detta IDTA DPA (inklusive DPA EU SCC:erna som inkorporerats i det) (1) regleras av lagarna i England och Wales och (2) eventuella tvister som uppstår ur det avgörs av domstolarna i England och Wales, i varje enskilt fall om inte lagarna och/eller domstolarna i Skottland eller Nordirland uttryckligen har valts av Parterna.
20. Om Parterna inte har kommit överens om alternativa ändringar som uppfyller kraven i ovanstående klausul 19, tillämpas bestämmelserna i Avsnitt 22.
21. Inga andra ändringar av de Godkända EU SCC:erna än de som krävs för att uppfylla kraven i Avsnitt 19 får göras.
22. Följande ändringar av DPA EU SCC:erna (i syfte att uppfylla Avsnitt 19) görs:
- de tillsammans ska fungera för dataöverföringar som görs av dataexportören till dataimportören, i den utsträckning som UK Data Protection Laws gäller för dataexportörens behandling vid genomförandet av den dataöverföringen, och de tillhandahåller Lämpliga Skyddsåtgärder för dessa dataöverföringar;
- I Klausul 2, stryk orden: "och, med avseende på dataöverföringar från personuppgiftsansvariga till personuppgiftsbiträden och/eller från personuppgiftsbiträden till personuppgiftsbiträden, standardavtalsklausuler i enlighet med Artikel 28(7) i förordning (EU) 2016/679";
- Klausul 6 (Beskrivning av överföringen/överföringarna) ersätts med: "Detaljerna om överföringen/överföringarna och i synnerhet de kategorier av personuppgifter som överförs och det eller de ändamål för vilka de överförs är de som anges i Bilaga I.B där UK Data Protection Laws gäller för dataexportörens behandling vid genomförandet av den överföringen.";
- Klausul 8.8(i) i Modul 2 ersätts med: "den vidare överföringen sker till ett land som omfattas av adekvansbestämmelser i enlighet med Avsnitt 17A i UK GDPR som täcker den vidare överföringen;"
- Hänvisningar till "Regulation (EU) 2016/679", "Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)" och "that Regulation" ersätts alla med "UK Data Protection Laws". Hänvisningar till specifika artiklar i "Regulation (EU) 2016/679" ersätts med motsvarande artikel eller avsnitt i UK Data Protection Laws;
- Hänvisningar till Regulation (EU) 2018/1725 tas bort;
- Hänvisningar till "European Union", "Union", "EU", "EU Member State", "Member State" och "EU or Member State" ersätts alla med "UK";
- Hänvisningen till "Clause 12(c)(i)" i Klausul 10(b)(i) i Modul ett ersätts med "Clause 11(c)(i)";
- Klausul 13(a) och Del C i Bilaga I används inte;
- "Competent supervisory authority" och "supervisory authority" ersätts båda med "Information Commissioner";
- I Klausul 16(e) ersätts underavsnitt (i) med: "the Secretary of State makes regulations pursuant to Section 17A of the Data Protection Act 2018 that cover the transfer of personal data to which these clauses apply;";
- Klausul 17 ersätts med: "Dessa klausuler regleras av engelsk och walesisk lag.";
- Klausul 18 ersätts med: "Eventuella tvister som uppstår till följd av dessa klausuler ska avgöras av domstolarna i England och Wales. En registrerad person kan även väcka talan mot den personuppgiftsexporterande och/eller personuppgiftsimporterande parten vid domstol i vilket land som helst inom UK. Parterna samtycker till att underkasta sig dessa domstolars jurisdiktion."; och
- Fotnoterna till de godkända EU-standardavtalsklausulerna utgör inte en del av IDTA DPA, med undantag för fotnoterna 8, 9, 10 och 11.
Ändringar av detta IDTA DPA
23. Parterna kan komma överens om att ändra klausul 17 och/eller 18 i DPA EU-standardavtalsklausulerna så att de hänvisar till lagstiftningen och/eller domstolarna i Skottland eller Nordirland.
24. Om parterna önskar ändra formatet för den information som ingår i Del 1: Tabeller i det godkända DPA, får de göra detta genom att skriftligen komma överens om ändringen, förutsatt att ändringen inte minskar de lämpliga skyddsåtgärderna.
25. Från tid till annan kan ICO utfärda ett reviderat godkänt DPA som:
- gör rimliga och proportionerliga ändringar i det godkända DPA, inklusive korrigering av fel i det godkända DPA; och/eller
- återspeglar ändringar i UK:s dataskyddslagar;
Det reviderade godkända DPA:t anger det startdatum från vilket ändringarna i det godkända DPA:t träder i kraft och huruvida parterna behöver granska detta IDTA DPA inklusive bilagsinformationen. Detta IDTA DPA ändras automatiskt i enlighet med vad som anges i det reviderade godkända DPA:t från det angivna startdatumet.
26. Om ICO utfärdar ett reviderat godkänt DPA enligt avsnitt 18, och om någon part som valts i tabell 4 "Avsluta DPA när det godkända DPA ändras" som en direkt följd av ändringarna i det godkända DPA:t får en väsentlig, oproportionerlig och påvisbar ökning av:
- sina direkta kostnader för att fullgöra sina skyldigheter enligt DPA; och/eller
- sin risk enligt DPA,
och i båda fallen har vidtagit rimliga åtgärder för att minska dessa kostnader eller risker så att de inte är väsentliga och oproportionerliga, får den Parten avsluta detta IDTA DPA vid utgången av en rimlig uppsägningstid, genom att lämna skriftligt meddelande för den perioden till den andra Parten innan startdatumet för den reviderade Godkända DPA:n.
27. Parterna behöver inte samtycke från någon tredje part för att göra ändringar i detta IDTA DPA, men alla ändringar måste göras i enlighet med dess villkor.
