Dohoda o zpracování osobních údajů

V účinnosti od 16. 1. 2023

Upraveno 16. 1. 2023

Upraveno 10. 12. 2024

Tato Dohoda o zpracování osobních údajů (DZOÚ) je součástí ustanovení specifických Podmínek společnosti SumUp pro služby, které můžete využívat („Další podmínky)“ a dalších relevantních podmínek společnosti SumUp, k nimž patří zejména Obchodní podmínky SumUp (zde společně „Podmínky), které jste sjednali vy jakožto obchodník SumUp („vy“ včetně všech skloňovaných, odvozených a implicitních tvarů, „Správce údajů“) a subjekt SumUp, který uzavírá smlouvu, je uveden v příslušných Dalších podmínkách („SumUp“, „my“ včetně všech skloňovaných, odvozených a implicitních tvarů, „Zpracovatel údajů“) a je součástí skupiny společností SumUp S.A.R.L. Group.

Aby vám společnost SumUp mohla poskytovat Služby podle Podmínek a Dalších podmínek, zpracovává údaje vašeho týmu, zaměstnanců, zákazníků a/nebo návštěvníků vaší prodejny, pracoviště a/nebo uživatelů vašich služeb („vaši Zákazníci“, „Zákazníci“, „Koncoví zákazníci“). Zpracování těchto údajů společností SumUp je dále označováno jako „zpracování“ (v souladu s definicí tohoto pojmu v Platných právních předpisech o ochraně osobních údajů). Tato DZOÚ zakotvuje podmínky takového zpracování ze strany společnosti SumUp.

Každá ze stran souhlasí s tím, že podmínky této DZOÚ se budou v plném rozsahu vztahovat i na její přidružené společnosti, které se mohou podílet na zpracování osobních údajů pro Služby definované v Dalších podmínkách, a zajistí to. Společnost SumUp konkrétně zajistí, aby všichni její subdodavatelé při zpracování osobních údajů vašich Zákazníků postupovali podle stejných podmínek, jaké jsou uvedeny v této DZOÚ.

1. Definice

1.1 Pojmem „Platné právní předpisy o ochraně osobních údajů“ se rozumí veškeré zákony související se zpracováním osobních údajů dle Dalších podmínek, Podmínek a této DZOÚ, mimo jiné též Zákon o ochraně údajů z roku 2018, Obecné nařízení EU o ochraně osobních údajů („GDPR“, „Nařízení“), evropská směrnice 2002/58/ES o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací ve znění implementovaném v jednotlivých jurisdikcích a veškeré novely, případně platné nebo alternativní mezinárodní, regionální nebo místní předpisy, nařízení a závazné pokyny o ochraně osobních údajů.

1.2 Význam pojmů „správce“, „subjekt údajů“, „osobní údaje“, „zpracovávat“, „zpracování“ a „zpracovatel“ je shodný s jejich významem v Platných právních předpisech o ochraně osobních údajů.

1.3 Pojmem „Obsah“ se rozumí váš Obsah a veškerý další obsah od vašich zákazníků, který byl poskytnut společnosti SumUp, mimo jiné též text, fotky, obrázky, zvukové nahrávky, videa, kód, informace ze souborů cookies nebo podobných sledovacích technologií a jakékoli další materiály.

1.4 Pojmy „Vaše údaje“ a „Údaje vašich zákazníků“ se rozumí osobní údaje v Obsahu zpracovávaném vaším jménem společností SumUp a/nebo vaším týmem (např. vašimi zaměstnanci, účetními nebo jinými třetími stranami) v rámci Služeb, případně Údaje zákazníků zpracovávané vaším jménem za účelem poskytovaní Služeb. Údaje vašich zákazníků nezahrnují osobní údaje, pokud jsou takové údaje spravovány společností SumUp dle této DZOÚ a Zásad ochrany osobních údajů společnosti SumUp. 

1.5 Všechny definice uvedené v této DZOÚ, které nejsou v této části výslovně vymezeny, se významově shodují s definicemi uvedenými v Dalších podmínkách. Pokud v Dalších podmínkách nebo Podmínkách neexistuje přesná definice pojmů, má se za to, že jejich význam odpovídá významu uvedenému v Platných právních předpisech o ochraně osobních údajů.

2. Rozsah platnosti

Tato DZOÚ se vztahuje výhradně na Údaje vašich zákazníků zpracovávané společností SumUp vaším jménem, a to za účelem poskytování Služeb. Zbavujete společnost SumUp odpovědnosti za osobní údaje, které jste se rozhodli předat ke zpracování třetím stranám nebo mimo Služby, včetně systémů jakýchkoli jiných cloudových služeb nebo offline či online úložišť třetích stran.

3. Podrobnosti o zpracování údajů

SumUp bude osobní údaje zpracovávat v souladu s Dodatkem 1 této smlouvy.

4. Práva a povinnosti

4.1 V rozsahu, ve kterém společnost SumUp vaším jménem zpracovává Údaje vašich zákazníků (přičemž toto zpracování podléhá Platným právním předpisům o ochraně osobních údajů) berete na vědomí a souhlasíte, že pro účely poskytování Služeb společností SumUp jste Správcem těchto osobních údajů a na základě využívání Služeb SumUp jste společnost SumUp pověřili, aby vaším jménem zpracovávala Údaje vašich zákazníků v souladu s touto DZOÚ.

4.2 Přijetí této DZOÚ můžete kdykoli odvolat, ale v takovém případě vám společnost SumUp nebude moci poskytovat Služby.

4.3 Společnost SumUp jako zpracovatel osobních údajů:

a. Zpracovává Údaje vašich zákazníků výhradně za účely uvedenými v DZOÚ a v souladu s platným právem a DZOÚ.

b. Je oprávněna jednat a zpracovávat Údaje vašich zákazníků pouze v souladu s vaším dokumentovaným pokynem, pokud zákon, nařízení soudu nebo legislativní opatření nevyžaduje jednání bez takového pokynu. V okamžiku uzavření této DZOÚ je váš pokyn takový, že společnost SumUp je oprávněna zpracovávat Údaje vašich zákazníků pouze za účelem poskytování Služeb, jak jsou popsány v DZOÚ a Dalších podmínkách. V souladu s podmínkami dle této DZOÚ a na základě vzájemné dohody obou stran můžete vydat další písemné pokyny dle podmínek této DZOÚ.

c. Zaručuje, že osoby oprávněné ke zpracování osobních údajů jsou vázány mlčenlivostí nebo jsou ze zákona povinny zachovávat mlčenlivost.

d. Zaručuje, že přístup k osobním údajům se uděluje jen v případech, kdy je potřebný s ohledem na plnění Služeb dle Dalších podmínek.

e. Odpovídá za to, že zaměstnanci/subdodavatelé a/nebo zástupci, kteří zpracovávají Údaje vašich zákazníků, budou zpracovávat osobní údaje výhradně v souladu s vašimi pokyny.

f. Vás neprodleně informuje o případech, kdy bude některé pokyny považovat za odporující Platným právním předpisům o ochraně osobních údajů.

g. Je povinna zajistit ochranu Údajů vašich zákazníků dle této DZOÚ před zničením, pozměněním, ztrátou nebo jakýmkoli jiným neoprávněným zpracováním. Za tímto účelem společnost SumUp přijímá příslušná bezpečnostní opatření v souladu s platnými zákony. Společnost SumUp může zavést některá vhodná alternativní opatření. Při zavádění takových alternativ nelze snížit účinnost definovaných bezpečnostních opatření. V případě potřeby vám společnost SumUp pomůže zavést příslušná technická a organizační opatření a s ohledem na povahu nakládání s informacemi a kategorie informací, které má k dispozici, pomůže zajistit plnění vašich povinností podle Platných právních předpisů o ochraně osobních údajů.

h. Na základě vaší odůvodněné žádosti vám zpřístupní certifikáty prokazující, že plní své povinnosti dle této DZOÚ a Platných právních předpisů o ochraně osobních údajů a/nebo poskytne informace nezbytné k prokázání souladu s jejími povinnostmi dle této DZOÚ a Platných právních předpisů o ochraně osobních údajů. Informace, které je společnost SumUp povinna zpřístupnit, jsou omezeny pouze na nezbytné informace dle definice společnosti SumUp ve smyslu povahy Služeb a na informace, které má společnost SumUp k dispozici tak, aby vám pomohla splnit vaše povinnosti, zejména s ohledem na posouzení dopadů na ochranu údajů, předchozí konzultace a zajištění bezpečnosti osobních údajů.

i. Vám v přiměřených lhůtách, vhodnými opatřeními a v přiměřené míře (s ohledem na povahu zpracování) pomůže zajistit dodržování práv subjektu údajů a všech dalších příslušných povinností vyplývajících z Platných právních předpisů o ochraně osobních údajů.

j. Vám v rozsahu povoleném platnými právními předpisy zašle příslušné oznámení, pokud obdrží dotaz nebo stížnost od osoby, jejíž osobní údaje jsou zpracovávány dle této DZOÚ, případně závazný požadavek od státního, policejního, regulačního nebo jiného orgánu ve věci zpracování Údajů vašich zákazníků, které zpracovává vaším jménem a dle vašich pokynů.

4.4 Jako správce osobních údajů:

a. Budete shromažďovat, používat a zpracovávat osobní údaje v souladu s veškerými Platnými právními předpisy o ochraně osobních údajů.

b. Nesete výhradní odpovědnost za přesnost, kvalitu a zákonnost zpracování Údajů svých zákazníků a za prostředky, kterými byly získány.

c. Zajistíte odpovídající úroveň zabezpečení při využívání Služeb, přičemž zohledníte veškerá rizika s ohledem na Údaje svých zákazníků.

d. Nesete veškerá rizika a odpovědnost související s jakýmkoli uchováváním Údajů vašich zákazníků u jakékoli třetí strany nebo na jakékoli externí platformě mimo společnost SumUp a s jejich předáváním takovým stranám či na takové platformy.

e. Zajistíte, aby vaše pokyny ohledně zpracování osobních údajů byly v souladu se všemi zákony, předpisy a pravidly vztahujícími se na Údaje vašich zákazníků. Dále zajistíte, aby zpracování Údajů vašich zákazníků dle vašich pokynů nevedlo k porušení žádných zákonů, pravidel ani předpisů z vaší či naší strany.

f. Poskytnete Zákazníkům veškeré potřebné údaje o způsobech a důvodech zpracování jejich údajů v souladu s Platnými právními předpisy o ochraně osobních údajů.

5. Oznámení o bezpečnostních incidentech

Každá ze stran neprodleně (ne však později než ve lhůtě 48 hodin) informuje druhou stranu, jakmile zjistí, že došlo k porušení zabezpečení osobních údajů zpracovávaných dle této DZOÚ. Společnost SumUp vám pomůže plnit vaši oznamovací povinnost a poskytne vám veškeré informace o porušení zabezpečení v přiměřeném rozsahu, ve kterém vám je může sdělit, a to s přihlédnutím k povaze Služeb, informacím, které má k dispozici, a platným omezením sdělování informací, například z důvodu zachování důvěrnosti. Navzdory výše uvedenému nezahrnují povinnosti společnosti SumUp podle této části incidenty, které jsou způsobeny vámi, jakoukoli aktivitou na vašem účtu a/nebo službami třetích stran. Společnost SumUp je povinna spolupracovat a poskytnout vám podporu během vyšetřování, zmírňování negativních následků a nápravy porušení zabezpečení osobních údajů a dále též při předcházení případným budoucím podobným porušením zabezpečení osobních údajů. Oznámení od společnosti SumUp týkající se porušení zabezpečení osobních údajů nebude považováno za uznání jakékoli chyby nebo odpovědnosti za takový incident ze strany společnosti SumUp. V případě porušení zabezpečení osobních údajů jste povinni přijmout příslušná zákonná opatření s ohledem na Údaje svých zákazníků.

6. Další zpracovatelé

Tímto udělujete společnosti SumUp všeobecné oprávnění k najímání dalších zpracovatelů za účelem poskytování Služeb bez nutnosti získat dodatečné písemné nebo výslovné oprávnění. S každým dalším zpracovatelem uzavře společnost SumUp smlouvu, která zajistí, že tento další zpracovatel bude dodržovat podmínky zaručující alespoň stejnou úroveň ochrany a zabezpečení, jakou stanovuje tato DZOÚ. Pokud máte k jakémukoli dalšímu zpracovateli výhrady, které jsou odůvodněné a souvisí s ochranou údajů, vynaložíme úsilí přiměřené v obchodním styku, abychom zabránili zpracování Údajů vašich zákazníků ze strany takového dalšího zpracovatele. Nebudeme-li schopni provést takové navrhované změny v přiměřené lhůtě, upozorníme vás na to, a pokud budou vaše námitky vůči využívání takového dalšího zpracovatele stále platné, budete mít možnost zrušit svůj účet nebo ukončit jeho používání, případně používání těch částí Služeb, které zahrnují využívání tohoto dalšího zpracovatele.

7. Převádění osobních údajů

Zpracování Údajů vašich zákazníků bude probíhat na území Evropského hospodářského prostoru (dále jen „EHP“) a Spojeného království. Jakékoli předávání údajů do třetích zemí mimo EU/EHP a Spojené království a jejich zpracování mimo EU/EHP a Spojené království, při kterém není zajištěna adekvátní míra ochrany dle předpisů Spojeného království o adekvátnosti v souladu s Platnými právními předpisy o ochraně osobních údajů, musí probíhat v souladu se standardními smluvními doložkami nebo jiným příslušným mechanismem zaručujícím adekvátní míru zabezpečení osobních údajů dle požadavků Platných právních předpisů o ochraně osobních údajů.

8. Audity

Jste oprávněni vyžádat si kontrolu plnění povinností společnosti SumUp dle této DZOÚ, a to jedenkrát ročně. Provedení auditu třetí stranou podléhá dohodě obou stran. Můžete nám však povolit provedení bezpečnostní kontroly nezúčastněnou třetí stranou dle našeho výběru. Pokud je navrhovaný rozsah auditu v souladu s ISO nebo podobným certifikátem a kontrola byla provedena oprávněným externím auditorem během posledních dvanácti měsíců a pokud společnost SumUp zároveň potvrdí, že opatření podléhající kontrole nedoznala podstatných změn, budou tím uspokojeny veškeré požadavky za příslušné období. Audity nesmějí nepřiměřeně zasahovat do běžné činnosti společnosti SumUp. Veškeré náklady spojené s požadavkem na kontrolu auditu nesete vy sami. Na základě předchozí písemné žádosti Správce údajů a v rozsahu vyžadovaném Platnými právními předpisy o ochraně osobních údajů se společnost SumUp zavazuje jednou ročně a v přiměřené lhůtě poskytnout Správci údajů:

(a) souhrn auditních zpráv prokazujících účinnost technických a organizačních opatření přijatých společností SumUp v rámci ochrany proti neoprávněnému nebo nezákonnému zpracování osobních údajů a proti neoprávněnému přístupu, náhodné ztrátě či zničení osobních údajů nebo jejich poškození a dále

(b) potvrzení, že audit neodhalil v systémech společnosti SumUp žádné podstatné nedostatky, a pokud takové nedostatky odhalil, že společnost SumUp tyto nedostatky zcela odstranila.

Budou-li výše uvedená opatření pro potvrzení souladu s Platnými právními předpisy o ochraně osobních údajů nedostatečná nebo budou-li odhaleny podstatné nedostatky, může si Správce údajů na základě písemné žádosti zaslané společnosti SumUp v alespoň třicetidenním (30) předstihu vyžádat audit souladu programu společnosti SumUp na ochranu osobních údajů s předpisy, přičemž tento audit provedou externí nezávislí auditoři. Auditory vyberou obě strany v součinnosti a společně se shodnou na rozsahu, harmonogramu a trvání auditu. Správce údajů přijme veškerá přiměřená opatření, která omezí negativní vlivy auditu na společnost SumUp, a ponese veškeré náklady související s jeho požadavkem na provedení auditu, jakož i náklady vzniklé v důsledku případných negativních vlivů. Správce údajů poskytne společnosti SumUp výsledek auditu shodnosti jejího programu na ochranu osobních údajů s právními předpisy.

9. Odpovědnost

Odpovědnost každé ze stran této DZOÚ podléhá výjimkám a omezením odpovědnosti stanoveným v Dalších podmínkách a/nebo Podmínkách. Zavazujete se na vlastní náklady odškodnit a hájit společnost SumUp či zajistit její odškodnění v případě, že jí vzniknou jakékoli náklady, nároky, škody nebo výdaje nebo že za ně bude odpovědná v důsledku toho, že vy, vaši zaměstnanci či zástupci nedodrží své povinnosti dle této DZOÚ. Bez ohledu na jakákoli protichůdná ustanovení Podmínek a Dalších podmínek včetně této DZOÚ platí, že společnost SumUp ani její Partneři v míře, v jaké společnost SumUp jednala dle vašich pokynů, neponesou odpovědnost za jakýkoli nárok vznesený subjektem údajů na základě kroků či opomenutí společnosti SumUp nebo jakéhokoli z jejích Partnerů a v souvislosti s nimi. 

10. Odstoupení

Tato DZOÚ platí po dobu, po kterou využíváte jakékoli Služby SumUp. Po ukončení používání Služeb platí, že není-li společnost SumUp povinna uchovávat Údaje vašich zákazníků dle Dalších podmínek a/nebo svých Podmínek, jakékoli smlouvy nebo platných zákonů, v přiměřené lhůtě a v souladu se svými Podmínkami a platnými zákony vymaže na základě vaší písemné žádosti Údaje vašich zákazníků.

11. Agregované údaje

Berete na vědomí a přijímáte skutečnost, že SumUp může zpracovávat agregované údaje jakkoli související s vámi a vašimi zákazníky, včetně dat o používání Služeb. Zákazník tímto bere na vědomí a přijímá skutečnost a uděluje svůj souhlas s tím, že společnost SumUp může tyto agregované anonymní údaje (aniž by seznam byl vyčerpávající) použít k analýze, vylepšování a provozování svých Služeb a obecně k jakékoli obchodní činnosti, což může po celou dobu platnosti DZOÚ i po jejím vypršení činit za účelem provádění analýz trhu, sestavování statistik, vylepšování Produktů a Služeb i jejich bezpečnosti, na základě osvědčených obchodních postupů a/nebo na doporučení.

12. Ostatní

12.1 V případě rozporu mezi touto DZOÚ a jakýmikoli Dalšími podmínkami a/nebo Podmínkami společnosti SumUp mají přednost ustanovení této DZOÚ.

12.2 Odpovídáte za veškeré náklady a výdaje vzniklé z plnění vašich pokynů a požadavků ze strany společnosti SumUp v souladu s Dalšími podmínkami (včetně této DZOÚ), které nejsou zahrnuty do standardní funkce obecně poskytované společností SumUp prostřednictvím Služeb.

12.3 Společnost SumUp je oprávněna dle potřeby doplňovat a/nebo upravovat jakoukoli z podmínek dle této DZOÚ. O změnách této DZOÚ je nutné řádně informovat a společnost SumUp je musí provádět v samostatných Dodatcích nebo jiným viditelným způsobem, včetně zveřejnění aktualizované verze DZOÚ na svých webových stránkách. Popisek „Upraveno“ v horní části této DZOÚ uvádí datum její poslední revize.

12.4 Jakékoli dotazy týkající se této DZOÚ nebo jiných požadavků souvisejících se zpracováním osobních údajů zasílejte na adresu dpo@sumup.com. Společnost SumUp se vynasnaží vyřešit veškeré stížnosti ohledně používání Údajů vašich zákazníků v souladu s touto DZOÚ, Podmínkami a svými interními směrnicemi.

12.5 Pokud jsou některá ustanovení DZOÚ považována za neplatná, nemá to vliv na její ostatní ustanovení. Obě strany nahradí neplatná ustanovení právoplatným ustanovením, které odpovídá účelu neplatného ustanovení.

12.6 Tato DZOÚ se řídí a vykládá dle práva rozhodného pro příslušné Další podmínky.

Dodatek č. 1

1. Předmět smlouvy

Předmětem smlouvy je zpracování údajů dle této DZOÚ.

2. Účel a povaha zpracování

Účelem zpracování údajů dle této DZOÚ je poskytování a vylepšování Služeb dle vašich požadavků.

3. Trvání

Dle ujednání mezi námi a vámi trvá zpracování údajů dle této DZOÚ po dobu, po kterou se rozhodnete využívat naše Služby.

4. Kategorie subjektů údajů

Vaši Zákazníci, potenciální zákazníci vašich Zákazníků, váš tým (zaměstnanci, účetní nebo třetí strany) a/nebo všechny další osoby, jejichž osobní údaje jsou zahrnuty do Obsahu. Kupující nebo příjemci dárkových karet nebo jiné osoby, jejichž osobní údaje jsou zpracovávány v rámci Služeb dárkových karet v souladu s Dalšími podmínkami a Podmínkami společnosti SumUp.

5. Typy osobních údajů

Údaje vašich zákazníků se zpracovávají v rámci Služeb a v souladu s Podmínkami a udělenými pokyny. Tyto údaje se mohou lišit v závislosti na Službách a u níže zmíněných Služeb k nim mohou patřit zejména tyto údaje:

Online Store

Jména vašich Zákazníků, e-mailové adresy, čísla mobilních telefonů a pevných linek, fyzické adresy, platební údaje, historie transakcí/objednávek, IP adresy, informace ze souborů cookies a podobných technologií a marketingové předvolby vašich Zákazníků. 

Dárkové karty

Jména a e-mailové adresy kupujícího a příjemce dárkové karty, hodnotu dárkové karty a zprávu na dárkové kartě.

Fakturace a účtování

Jména, fyzické adresy, čísla mobilních telefonů a pevných linek, e-mailové adresy, čísla účtů a/nebo bankovní údaje, předmět faktury, údaje o transakci/objednávce, stav faktur. U faktoringových služeb zajišťovaných partnery údaje související s nabídkou faktoringu, úhradou faktur, spory. 

POS a související služby

Jména, fyzické adresy, čísla mobilních telefonů a pevných linek, e-mailové adresy, údaje o transakci/objednávce, komentáře; u vašich zaměstnanců – číslo zaměstnance, přihlašovací údaje, IP adresy, role, e-mail, objednávky, jazykové předvolby. 

U potvrzení o platbách a informací o objednávkách při použití služeb Ordering nebo Kiosk – informace o objednávkách, čísla mobilních telefonů / e-mailové adresy, poznámky k objednávkám. 

SumUp Connect (věrnostní program)

Pokud se svými Zákazníky komunikujete prostřednictvím věrnostních Služeb SumUp Connect – zprávy, e-maily, čísla mobilních telefonů, marketingové předvolby.

SumUp Bookings

Jména vašich Zákazníků, čísla mobilních telefonů / pevných linek, e-mailové adresy, data k transakcím/objednávkám/schůzkám, data o účasti, refundace a vklady, fyzické adresy (pokud je služba poskytována na adrese uvedené vaším Zákazníkem), komentáře, marketingové předvolby. Schůzky vašeho týmu, časové harmonogramy, telefonní čísla, hodnocení.

Ostatní (Online platby, Sdílení platebních odkazů / QR kódy, SumUp Checkout) 

Pokud se při využívání našich Služeb souvisejících s online platbami rozhodnete vedle údajů naprosto nezbytných ke zpracování plateb shromažďovat i další údaje svých Zákazníků (údaje související s vašimi tržbami, jako jsou objednávky vašich Zákazníků, kontaktní údaje nebo platební údaje vašich Zákazníků uchovávané za účelem budoucích nákupů) – e-mailové adresy, jména, čísla mobilních telefonů / pevných linek, DIČ (pokud to vyžaduje zákon), údaje o transakcích/objednávkách, poznámky/komentáře a údaje z volitelných polí v rámci plateb/objednávek, doručovací adresy, fakturační adresy a údaje, údaje o platebních kartách uchovávané za účelem budoucích nákupů (se souhlasem vašich Zákazníků), marketingové předvolby (pokud jde v technickém slova smyslu o poskytnutí Služby). 

Zvláštní kategorie osobních údajů včetně údajů týkajících se rozsudků a rozhodnutí ohledně trestných činů a přestupků se nepovažují za údaje určené ke zpracování v rámci Služeb a jsou vyloučeny z podmínek dle této DZOÚ. Pokud jsou takové údaje zpracovávány během používání našich Služeb, neděje se tak s vědomím společnosti SumUp a vy byste tyto informace měli vymazat bezprostředně po odhalení takového zpracování. Naše Služby nejsou určeny k používání osobami mladšími 18 let.