Dohoda o zpracování osobních údajů

V účinnosti od 16. 1. 2023

Upraveno 16. 1. 2023

Tato Dohoda o zpracování osobních údajů (dále jen „DZOÚ“) je součástí konkrétních Podmínek společnosti SumUp platných pro Služby, které můžete využívat (dále jen „Další podmínky“) a veškerých dalších příslušných obchodních podmínek SumUp, mimo jiné též dokumentu Obchodní podmínky SumUp (zde souhrnně označovaných jako „Podmínky“), dohodnutých mezi vámi jako obchodníkem SumUp (dále jen „vy“ ve všech příslušných gramatických tvarech, „Správce údajů“) a smluvním subjektem SumUp uvedeným v příslušných Dalších podmínkách (dále jen „SumUp“, „my“ ve všech příslušných gramatických tvarech, „Zpracovatel údajů“), který je součástí skupiny společností SumUp S.A.R.L., a podléhá ustanovením těchto dokumentů.

Aby bylo možné poskytovat vám Služby v souladu s Dalšími podmínkami, zpracovává společnost SumUp údaje vašich zaměstnanců, zákazníků a/nebo návštěvníků vaší prodejny, stránky a/nebo uživatelů vašich služeb (dále jen „Vaši zákazníci“, „Zákazníci“, „Koncoví zákazníci“). Zpracování těchto údajů společností SumUp je dále označováno jako „zpracování“ (v souladu s definicí tohoto pojmu v Platných právních předpisech o ochraně osobních údajů). Tato DZOÚ stanoví podmínky takového zpracování ze strany společnosti SumUp.

Obě strany se dohodly a zajistí, že podmínky dle této DZOÚ budou v plném rozsahu platné pro jejich partnery, kteří mohou být zapojeni do zpracování osobních údajů v rámci Služeb, jak stanoví Další podmínky. Společnost SumUp zajistí, že další zpracovatelé budou při zpracování Údajů vašich zákazníků postupovat dle podmínek shodných s těmi, které stanoví tato DZOÚ.

1. Definice

1.1 Pojmem „Platné právní předpisy o ochraně osobních údajů“ se rozumí veškeré zákony související se zpracováním osobních údajů dle Dalších podmínek, Podmínek a této DZOÚ, mimo jiné též Zákon o ochraně údajů z roku 2018, Obecné nařízení EU o ochraně osobních údajů („GDPR“, „Nařízení“), evropská směrnice 2002/58/ES o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací ve znění implementovaném v jednotlivých jurisdikcích a veškeré novely, případně platné nebo alternativní mezinárodní, regionální nebo místní předpisy, nařízení a závazné pokyny o ochraně osobních údajů.

1.2 Význam pojmů „správce“, „subjekt údajů“, „osobní údaje“, „zpracovávat“, „zpracování“ a „zpracovatel“ je shodný s jejich významem v Platných právních předpisech o ochraně osobních údajů.

1.3 Pojmem „Obsah“ se rozumí váš Obsah a veškerý další obsah od Vašich zákazníků poskytnutý společnosti SumUp, mimo jiné též text, fotky, obrázky, zvukové nahrávky, videa, kód, informace ze souborů cookies nebo podobných sledovacích technologií a jakékoli další materiály.

1.4 Pojmy „Vaše údaje“ a „Údaje vašich zákazníků“ se rozumí osobní údaje v Obsahu zpracovávaném vaším jménem společností SumUp a/nebo vašimi zaměstnanci či účetními v rámci Služeb, případně Údaje zákazníků zpracovávané vaším jménem za účelem poskytovaní Služeb. Údaje vašich zákazníků nezahrnují osobní údaje, pokud jsou takové údaje spravovány společností SumUp dle této DZOÚ a Zásad ochrany osobních údajů společnosti SumUp. 

1.5 Všechny definice uvedené v této DZOÚ, které nejsou v této části výslovně vymezeny, se významově shodují s definicemi uvedenými v Dalších podmínkách. Pokud v Dalších podmínkách nebo Podmínkách neexistuje přesná definice pojmů, má se za to, že jejich význam odpovídá významu uvedenému v Platných právních předpisech o ochraně osobních údajů.

2. Rozsah platnosti. Tato DZOÚ se vztahuje výhradně na Údaje vašich zákazníků zpracovávané společností SumUp vaším jménem, a to za účelem poskytování Služeb. Zbavujete společnost SumUp odpovědnosti za osobní údaje, které jste se rozhodli předat ke zpracování třetím stranám nebo mimo Služby, včetně systémů jakýchkoli jiných cloudových služeb nebo offline či online úložišť třetích stran.

3. Podrobnosti o zpracování údajů. SumUp bude osobní údaje zpracovávat v souladu s Dodatkem 1 této smlouvy.

4. Práva a povinnosti

4.1 V rozsahu, ve kterém společnost SumUp vaším jménem zpracovává Údaje vašich zákazníků, přičemž toto zpracování podléhá Platným právním předpisům o ochraně osobních údajů, berete na vědomí a souhlasíte, že pro účely poskytování Služeb společností SumUp jste Správcem těchto osobních údajů a na základě využívání Služeb SumUp jste společnost SumUp pověřili zpracováním Údajů vašich zákazníků vaším jménem v souladu s touto DZOÚ.

4.2 Přijetí této DZOÚ můžete kdykoli odvolat, ale v takovém případě vám společnost SumUp nebude moci poskytovat Služby.

4.3 Společnost SumUp jako zpracovatel osobních údajů:

a. Zpracovává Údaje vašich zákazníků výhradně za účely uvedenými v DZOÚ a v souladu s platným právem a DZOÚ.

b. Je oprávněna jednat a zpracovávat Údaje vašich zákazníků pouze v souladu s vaším dokumentovaným pokynem, pokud zákon, nařízení soudu nebo legislativní opatření nevyžaduje jednání bez takového pokynu. V okamžiku uzavření této DZOÚ je váš pokyn takový, že společnost SumUp je oprávněna zpracovávat Údaje vašich zákazníků pouze za účelem poskytování Služeb, jak jsou popsány v DZOÚ a Dalších podmínkách. V souladu s podmínkami dle této DZOÚ a na základě vzájemné dohody obou stran můžete vydat další písemné pokyny dle podmínek této DZOÚ.

c. Zaručuje, že osoby oprávněné ke zpracování osobních údajů jsou vázány mlčenlivostí nebo jsou ze zákona povinny zachovávat mlčenlivost.

d. Zaručuje, že přístup k osobním údajům se uděluje jen v případech, kdy je potřebný s ohledem na plnění Služeb dle Dalších podmínek.

e. Odpovídá za to, že zaměstnanci/subdodavatelé a/nebo zástupci, kteří zpracovávají Údaje vašich zákazníků budou zpracovávat osobní údaje výhradně v souladu s vašimi pokyny.

f. Vás neprodleně informuje o případech, kdy bude některé pokyny považovat za odporující Platným právním předpisům o ochraně osobních údajů.

g. Je povinna zajistit ochranu Údajů vašich zákazníků dle této DZOÚ před zničením, pozměněním, ztrátou nebo jakýmkoli jiným neoprávněným zpracováním. Za tímto účelem společnost SumUp přijímá příslušná bezpečnostní opatření v souladu s platnými zákony. Společnost SumUp může zavést některá vhodná alternativní opatření. Při zavádění takových alternativ nelze snížit účinnost definovaných bezpečnostních opatření. V případě potřeby vám společnost SumUp pomůže zavést příslušná technická a organizační opatření a s ohledem na povahu nakládání s informacemi a kategorie informací, které má společnost SumUp k dispozici, pomůže zajistit plnění vašich povinností podle Platných právních předpisů o ochraně osobních údajů.

h. Na základě vaší odůvodněné žádosti vám zpřístupní certifikáty prokazující, že plní své povinnosti dle této DZOÚ a Platných právních předpisů o ochraně osobních údajů a/nebo poskytne informace nezbytné k prokázání souladu s jejími povinnostmi dle této DZOÚ a Platných právních předpisů o ochraně osobních údajů. Informace, které je společnost SumUp povinna zpřístupnit, jsou omezeny pouze na nezbytné informace dle definice společnosti SumUp ve smyslu povahy Služeb a na informace, které má společnost SumUp k dispozici tak, aby vám pomohla splnit vaše povinnosti, zejména s ohledem na posouzení dopadů na ochranu údajů, předchozí konzultace a zajištění bezpečnosti osobních údajů.

i. Vám v přiměřených lhůtách, vhodnými opatřeními a v přiměřené míře (s ohledem na povahu zpracování) pomůže zajistit dodržování práv subjektu údajů a všech dalších příslušných povinností vyplývajících z Platných právních předpisů o ochraně osobních údajů.

j. Vám v souladu s platným právem po obdržení dotazu nebo stížnosti od osoby, jejíž osobní údaje jsou zpracovávány dle této DZOÚ, případně závazného požadavku od státního, policejního, regulačního nebo jiného orgánu ve věci zpracování Údajů vašich zákazníků z naší strany vaším jménem, dle vašich pokynů zašle příslušné oznámení.

4.4 Jako správce osobních údajů:

a. Budete shromažďovat, používat a zpracovávat osobní údaje v souladu s veškerými Platnými právními předpisy o ochraně osobních údajů.

b. Nesete výhradní odpovědnost za přesnost, kvalitu a zákonnost zpracování Údajů vašich zákazníků a prostředků, kterými byly získány.

c. Zajistíte odpovídající úroveň zabezpečení při využívání Služeb, přičemž zohledníte veškerá rizika ve smyslu Údajů vašich zákazníků.

d. Nesete veškerá rizika a odpovědnost související s jakýmkoli uchováváním a/nebo převáděním Údajů vašich zákazníků k jakékoli třetí straně nebo na jakoukoli externí platformu mimo společnost SumUp.

e. Zajistíte, aby vaše pokyny ohledně zpracování osobních údajů byly v souladu se všemi zákony, předpisy a pravidly ve smyslu Údajů vašich zákazníků. Dále zajistíte, aby zpracování Údajů vašich zákazníků dle vašich pokynů nevedlo k porušení žádných zákonů, pravidel ani předpisů z vaší či naší strany.

f. Poskytnete Zákazníkům veškeré potřebné údaje o způsobech a důvodech zpracování jejich údajů v souladu s Platnými právními předpisy o ochraně osobních údajů.

5. Oznámení o porušeních. Každá ze stran neprodleně (ne však později než ve lhůtě 48 hodin) informuje druhou stranu, jakmile zjistí, že došlo k porušení zabezpečení osobních údajů zpracovávaných dle této DZOÚ. Společnost SumUp vám pomůže plnit vaši oznamovací povinnost a poskytne vám veškeré informace o porušení zabezpečení v přiměřeném rozsahu, ve kterém vám je může sdělit, a to s přihlédnutím k povaze Služeb, informacím, které má k dispozici, a platným omezením sdělování informací, například z důvodu zachování důvěrnosti. Navzdory výše uvedenému nezahrnují povinnosti společnosti SumUp podle této části incidenty, které jsou způsobeny vámi, jakoukoli aktivitou na vašem účtu a/nebo službami třetích stran. Společnost SumUp je povinna spolupracovat a poskytnout vám podporu během vyšetřování, zmírňování negativních následků a nápravy porušení zabezpečení osobních údajů a dále též při předcházení případným budoucím podobným porušením zabezpečení osobních údajů. Oznámení od společnosti SumUp týkající se porušení zabezpečení osobních údajů nebude považováno za uznání jakékoli chyby nebo odpovědnosti za takový incident ze strany společnosti SumUp. V případě porušení zabezpečení osobních údajů jste povinni přijmout příslušná zákonná opatření ve smyslu Údajů vašich zákazníků.

6. Další zpracovatelé. Tímto udělujete společnosti SumUp všeobecné oprávnění k najímání dalších zpracovatelů za účelem poskytování Služeb bez nutnosti získat dodatečné písemné nebo výslovné oprávnění. S každým dalším zpracovatelem uzavře společnost SumUp smlouvu, která zajistí dodržování podmínek zaručujících alespoň stejnou úroveň ochrany a zabezpečení, jakou stanoví tato DZOÚ, ze strany tohoto dalšího zpracovatele. Pokud máte k jakémukoli dalšímu zpracovateli výhrady, které jsou odůvodněné a souvisí s ochranou údajů, vynaložíme obchodně přiměřené úsilí, abychom zabránili zpracování Údajů vašich zákazníků ze strany namítaného dalšího zpracovatele. Nebudeme-li schopni provést takové navrhované změny v přiměřené lhůtě, upozorníme vás na to, a pokud budou vaše námitky vůči využívání takového dalšího zpracovatele stále platné, budete mít možnost zrušit svůj účet nebo ukončit jeho používání, případně používání těch částí Služeb, které zahrnují využívání tohoto dalšího zpracovatele.

7. Převádění osobních údajů. Zpracování Údajů vašich zákazníků bude probíhat na území Evropského hospodářského prostoru (dále jen „EHP“) a Spojeného království. Jakékoli převody údajů do třetích zemí mimo EU/EHP a Spojené království a jejich zpracování mimo EU/EHP a Spojené království, při kterých není zajištěna adekvátní míra ochrany dle předpisů Spojeného království o adekvátnosti v souladu s Platnými právními předpisy o ochraně osobních údajů, musí probíhat v souladu se standardními smluvními doložkami nebo jiným příslušným mechanismem zaručujícím adekvátní míru zabezpečení osobních údajů dle požadavků Platných právních předpisů o ochraně osobních údajů.

8. Audity. Jste oprávněni vyžádat si kontrolu plnění povinností společnosti SumUp dle této DZOÚ, a to jedenkrát ročně. Provedení auditu třetí stranou podléhá dohodě obou stran. Můžete nám však povolit provedení bezpečnostní kontroly nezúčastněnou třetí stranou dle našeho výběru. Pokud je navrhovaný rozsah auditu v souladu s ISO nebo podobným certifikátem a kontrola byla provedena oprávněným externím auditorem během posledních dvanácti měsíců, a pokud zároveň společnost SumUp potvrdí, že opatření podléhající kontrole nedoznala podstatných změn, budou tím uspokojeny veškeré požadavky za příslušné období. Audity nesmějí nepřiměřeně zasahovat do běžné činnosti společnosti SumUp. Veškeré náklady spojené s požadavkem na kontrolu auditu nesete vy sami. Na základě předchozí písemné žádosti Správce údajů a v rozsahu vyžadovaném Platnými právními předpisy o ochraně osobních údajů, se SumUp zavazuje jednou ročně a v přiměřené lhůtě poskytnout Správci údajů:

(a) souhrn auditních zpráv prokazující účinnost technických a organizačních opatření přijatých společností SumUp v rámci ochrany proti neoprávněnému nebo nezákonnému zpracování osobních údajů a proti neoprávněnému přístupu, náhodné ztrátě či zničení osobních údajů nebo jejich poškození, a dále

(b) potvrzení, že audit neodhalil v systémech společnosti SumUp žádné podstatné nedostatky, a pokud takové nedostatky odhalil, že společnost SumUp tyto nedostatky zcela odstranila.

Budou-li výše uvedená opatření pro potvrzení shody s Platnými právními předpisy o ochraně osobních údajů nedostatečná nebo budou-li odhaleny podstatné nedostatky, může si Správce údajů na základě písemné žádosti zaslané společnosti SumUp v alespoň třicetidenním (30) předstihu vyžádat audit shodnosti programu společnosti SumUp na ochranu osobních údajů s předpisy, přičemž tento audit provedou externí nezávislí auditoři. Auditory vyberou obě strany v součinnosti a společně se shodnou na rozsahu, harmonogramu a trvání auditu. Správce údajů přijme veškerá přiměřená opatření, která omezí negativní vlivy auditu na společnost SumUp, a ponese veškeré náklady související s jeho požadavkem na provedení auditu, jakož i náklady vzniklé v důsledku případných negativních vlivů. Správce údajů poskytne společnosti SumUp výsledek auditu shodnosti jejího programu na ochranu osobních údajů.

9. Odpovědnost. Odpovědnost každé ze stran této DZOÚ podléhá výjimkám a omezením odpovědnosti, jak je stanoví Další podmínky a/nebo Podmínky. Zavazujete se na vlastní náklady odškodnit, zajistit odškodnění a bránit společnost SumUp v případě jakýchkoli nákladů, nároků, škod nebo výdajů, které společnosti SumUp vzniknou nebo za které bude odpovědná v důsledku jakékoli chyby ve smyslu povinností dle této DZOÚ ze strany vás, vašich zaměstnanců nebo zástupců.

10. Odstoupení. Tato DZOÚ platí po dobu, po kterou využíváte jakékoli Služby SumUp. Po ukončení používání Služeb a není-li společnost SumUp povinna uchovávat Údaje vašich zákazníků dle Dalších podmínek a/nebo Podmínek společnosti SumUp, jakékoli smlouvy nebo platných zákonů, vymaže společnost SumUp na základě vaší písemné žádosti Údaje vašich zákazníků v přiměřené lhůtě a v souladu s Podmínkami společnosti SumUp a platnými zákony.

11. Agregované anonymní údaje. Berete na vědomí a přijímáte skutečnost, že SumUp může zpracovávat agregované údaje jakkoli související s vámi a vašimi zákazníky, včetně dat o používání Služeb. Zákazník tímto bere na vědomí a přijímá skutečnost a uděluje svůj souhlas s tím, že společnost SumUp může tyto agregované anonymní údaje (aniž by seznam byl vyčerpávající) použít k analyzování, vylepšování a provozování svých Služeb a obecně k jakékoli obchodní činnosti, což může činit po celou dobu platnosti DZOÚ i po jejím vypršení za účelem provádění analýz trhu, sestavování statistik, vylepšování Produktů a Služeb i jejich bezpečnosti, v rámci zavedených obchodních postupů a/nebo na základě doporučení.

12. Ostatní

12.1 V případě rozporu mezi touto DZOÚ a jakýmikoli Dalšími podmínkami a/nebo Podmínkami společnosti SumUp převažují ustanovení této DZOÚ.

12.2 Odpovídáte za veškeré náklady a výdaje vzniklé z plnění vašich pokynů a požadavků ze strany společnosti SumUp v souladu s Dalšími podmínkami (včetně této DZOÚ), které nejsou zahrnuty do standardní funkce obecně poskytované společností SumUp prostřednictvím Služeb.

12.3 Společnost SumUp je oprávněna doplňovat a/nebo upravovat jakoukoli z podmínek dle této DZOÚ na základě občasných požadavků. O změnách této DZOÚ je nutné řádně informovat a společnost SumUp je musí provádět v samostatných Dodatcích nebo jiným viditelným způsobem, včetně zveřejnění aktualizované verze DZOÚ na našich webových stránkách. Popisek „Naposledy upraveno“ v horní části této DZOÚ uvádí datum její poslední revize.

12.4 Jakékoli dotazy týkající se této DZOÚ nebo jiných požadavků souvisejících se zpracováním osobních údajů zasílejte na adresu dpo@sumup.com. Společnost SumUp se vynasnaží vyřešit veškeré stížnosti ohledně používání Údajů vašich zákazníků v souladu s touto DZOÚ, Podmínkami a interními směrnicemi společnosti SumUp.

12.5 Pokud jsou některá ustanovení DZOÚ považována za neplatná, nemá to vliv na její ostatní ustanovení. Obě strany nahradí neplatná ustanovení právoplatným ustanovením, které odpovídá účelu neplatného ustanovení.

12.6 Tato DZOÚ se řídí a vykládá dle práva rozhodného pro příslušné Další podmínky.

Dodatek č. 1

1. Předmět smlouvy. Předmětem smlouvy je zpracování údajů dle této DZOÚ.

2. Účel a povaha zpracování. Účelem zpracování údajů dle této DZOÚ je poskytování a vylepšování Služeb dle vašich požadavků.

3. Trvání. Jak je mezi vámi a námi dohodnuto, trvání zpracování údajů dle této DZOÚ určujete vy dle doby, po kterou se rozhodnete využívat naše Služby.

4. Kategorie subjektů údajů. Vaši zákazníci, potenciální zákazníci vašich zákazníků, vaši zaměstnanci, účetní (pro účely fakturace a účtování) a/nebo všechny další osoby, jejichž osobní údaje jsou zahrnuty do Obsahu. Kupující nebo příjemci dárkových karet nebo jiné osoby, jejichž osobní údaje jsou zpracovávány v rámci Služeb dárkových karet v souladu s Dalšími podmínkami a Podmínkami společnosti SumUp.

5. Druh osobních údajů. Údaje vašich zákazníků se zpracovávají v rámci Služeb a v souladu s Podmínkami a udělenými pokyny. Tyto údaje mohou být v závislosti na Službách různé a mohou zahrnovat mimo jiné též:

Online Store

Jména, e-mailové adresy, čísla mobilních telefonů a pevných linek, fyzické adresy, platební údaje, historie transakcí/objednávek, IP adresy, informace ze souborů cookies a podobných technologií a marketingové předvolby vašich zákazníků. 

Dárkové karty

Jména a e-mailové adresy kupujícího a příjemce dárkové karty, hodnotu dárkové karty a zprávu na dárkové kartě.

Fakturace a účtování

Jména, fyzické adresy, čísla mobilních telefonů a pevných linek, e-mailové adresy, čísla účtů a/nebo bankovní údaje, předmět faktury, údaje o transakci/objednávce, stav faktur. 

Pro POS

Jména, fyzické adresy, čísla mobilních telefonů a pevných linek, e-mailové adresy, údaje o transakci/objednávce, komentáře; u vašich zaměstnanců – číslo zaměstnance, přihlašovací údaje, IP adresy, role, e-mail, objednávky, jazykové předvolby. 

Zvláštní kategorie osobních údajů, včetně údajů týkajících se rozsudků a rozhodnutí ve věcech trestné činnosti a přestupků, se nepovažují za údaje určené ke zpracování v rámci Služeb a jsou vyloučeny z podmínek dle této DZOÚ. Pokud jsou takové údaje zpracovávány během používání našich Služeb, neděje se tak s vědomím společnosti SumUp a vy byste tyto informace měli vymazat bezprostředně po odhalení takového zpracování.