Andmete töötlemise leping
Kehtiv alates 16.01.2023
Muudetud 16.01.2023
See andmetöötlusleping ("DPA") moodustab osa teie kasutatava(te) teenuste(te) suhtes kohaldatavate konkreetsete SumUpi tingimuste sätetest ("lisatingimused") ja mis tahes muudest kohaldatavatest SumUpi nõuetest ja tingimustest ning neile kehtivad, sealhulgas, kuid mitte ainult, SumUpi üldised tingimused (siin ühiselt "tingimused"), mille olete sõlminud ja kokku leppinud teie kui SumUpi kaupmehe ("teie", "andmete vastutav töötleja") ja SumUpi tellija vahel, nagu on märgitud kohaldatavates lisatingimustes ("SumUp"). ", "meie", "Andmetöötleja"), osa SumUp S.A.R.L. Grupi ettevõtted – SumUp Group.
Teenuste lisatingimuste alusel osutamiseks töötleb SumUp teie töötajate, klientide ja/või külastajate ja teie kaupluse, saidi ja/või teie teenuste kasutajate ("Teie kliendid", "Kliendid", "Lõpp") andmeid. Kliendid”) andmeid. Selliste andmete SumUpi poolt töötlemist nimetatakse edaspidi "töötlemiseks" (nagu see mõiste on määratletud kohaldatavates andmekaitseseadustes). Järgmises DPA-s on sätestatud SumUpi sellise töötlemise tingimused.
Kõik pooled nõustuvad ja tagavad, et selle andmete töötlemise lepingu tingimused on rakendatavad poolte sidusettevõtetele, kes võivad täiendavates tingimustes määratletud teenuste osutamise eesmärgil isikuandmeid töödelda. SumUp tagab, et kõik alamtöötlejad tegutsevad teie klientide andmete töötlemisel selle andmete töötlemise lepingu tingimustel.
1. Mõisted
1.1. „Kohaldatavad andmekaitsealased õigusaktid” tähendab kõiki seadusi, mis on seotud isikuandmete töötlemisega lisatingimuste, tingimuste ja käesoleva andmekaitsemenetluse alusel, sealhulgas, kuid mitte ainult, 2018. aasta andmekaitseseadus, ELi isikuandmete kaitse üldmäärus 2016/679 (“ GDPR”, „määrus”), ELi eraelu puutumatuse ja elektroonilise side direktiiv 2002/58/EÜ, nagu seda on rakendatud igas jurisdiktsioonis, ja kõik muudatused või kõik muud kohaldatavad või asendavad rahvusvahelised, piirkondlikud või riiklikud andmekaitseseadused, määrused ja regulatiivsed juhised.
1.2. Mõisted "vastutav töötleja", "andmesubjekt", "isikuandmed", "töötlemine" ja "töötleja" tähistavad nendele mõistetele kohaldatavates andmekaitseseadustes antud tähendusi.
1.3. „Sisu“ tähendab teie sisu ja mistahes sisu, mida SumUp pakub teie klientidele, muu hulgas ja piiranguteta teksti, fotosid, kujutisi, heli, videomaterjali, koodi, teavet küpsistest või sarnastest jälgimistehnoloogiatest ning mistahes muud materjali.
1.4. "Teie andmed", "Teie klientide andmed" tähendab sisus olevaid isikuandmeid, mida SumUp töötleb teie nimel teenuste osana ja/või teie töötajate, raamatupidajate ja/või klientide andmeid, mida teie nimel töödeldakse. Teenuste osutamise eest. Teie klientide andmed ei sisalda isikuandmeid, kui neid andmeid kontrollib SumUp vastavalt käesolevale DPA ja SumUpi privaatsuspoliitikale.
1.5 Kõik selles andmete töötlemise lepingus kasutatud mõisted, millel ei ole selles jaotises selgesõnalist määratlust, on määratletud täiendavates tingimustes. Kui lisatingimustes või tingimustes pole konkreetset määratlust, on nende tähendus sama, mis on antud kohaldatavates andmekaitseseadustes.
2. Kohaldatavus. See andmekaitse kehtib ainult teie klientide andmete suhtes, mida SumUp teie nimel teenuste osutamise eesmärgil töötleb. Nõustute, et SumUp ei vastuta isikuandmete eest, mida olete otsustanud töödelda kolmanda poole teenustes või väljaspool teenuseid, muu hulgas süsteemides või muudes kolmanda poole pilveteenustes, võrgust väljas või kohapeal salvestades.
3. Andmetöötluse üksikasjad. SumUp töötleb isikuandmeid vastavalt käesoleva lepingu lisale 1.
4. Andmed ja kohustused
4.1. Kuivõrd SumUp töötleb teie nimel teie klientide andmeid ja selle töötlemise suhtes kohaldatakse kohaldatavaid andmekaitseseadusi, siis tunnistate ja nõustute, et SumUpi poolt teenuste osutamise eesmärgil olete selliste isikuandmete vastutav töötleja. Andmeid ja SumUpi teenuseid kasutades olete andnud SumUpile korralduse töödelda teie nimel teie klientide andmeid vastavalt käesolevale andmekaitselepingule.
4.2. Saate selle andmete töötlemise lepingu nõusoleku igal ajal tagasi võtta aga sellisel juhul ei ole SumUpil teile enam teenuseid osutada võimalik.
4.3. SumUp, isikuandmete töötlejana:
A. Töötleb teie klientide isikuandmeid ainult andmete töötlemise lepingus määratletud eesmärkidel, rakendatava õiguse ning andmete töötlemise lepingu kohaselt.
B. Kasutab ja töötleb teie klientide andmeid ainult teie dokumenteeritud juhiste kohaselt, kui seadusega, kohtumäärusega või muude seaduslike meetmetega ei ole ette nähtud tegutsemist ilma selliste juhisteta. Teie juhised, selle andmete töötlemise lepingu sõlmimise hetkel, näevad ette, et SumUp võib teie klientide andmeid töödelda ainult andmete töötlemise lepingus ja täiendavates tingimustes kirjeldatud teenuste pakkumise eesmärgil. Selle andmete töötlemise lepingu kohaselt ja poolte vastastikusel kokkuleppel võite anda täiendavaid kirjalikke juhiseid selle andmete töötlemise lepingu tingimustel.
C. Garanteerib, et isikuandmete töötlemiseks volitatud isikutel on konfidentsiaalsuskohustus või seaduslik kohustus konfidentsiaalsuse tagamiseks.
D. Garanteerib, et juurdepääs isikuandmetele antakse vajaduspõhiselt ja seoses täiendavates tingimustes sätestatud teenuste osutamisega.
E. Vastutab, et teie klientide isikuandmeid töötlevad töötajad/alamtöötlejad ja/või esindajad töötlevad isikuandmeid ainult teie juhiste kohaselt.
F. Teavitab teid kohe, kui arvame, et mõned teie juhised on vastuolus kohaldatavate andmekaitseseadustega.
G. On selle andmete töötlemise lepingu kohaselt kohustatud kaitsma teie klientide isikuandmeid hävimise, muutmise, kadumise või lubamatu töötlemise eest. Sellel eesmärgil rakendab SumUp asjakohaseid turvameetmeid rakendatavate seaduste kohaselt. On võimalik, et SumUp võtab kasutusele alternatiivseid piisavaid meetmeid. Alternatiivide rakendamisel ei ole võimalik langetada määratletud turvameetmete kaitsetaset. SumUp toetab teid vajadusel asjakohaste tehniliste ja organisatsiooniliste meetmetega ja arvestades SumUpile kättesaadavate andmete töötlemise laadi ning kategooriat aitab tagada, et täidate oma kohustused rakendatavate isikuandmete kaitse õigusaktide kohaselt.
H. Teie põhjendatud taotlusel teeb kättesaadavaks sertifikaadid, mis näitavad SumUpi vastavust selle andmete töötlemise lepingu ja rakendatavate isikuandmete kaitse õigusaktide nõuetele; ja/või teeb kättesaadavaks teabe, mis on vajalik, et tõestada vastavust selle andmete töötlemise lepingu ja rakendatavate isikuandmete kaitse õigusaktide nõuetele. SumUpi poolt kättesaadavaks tehtav teave on piiratud üksnes teabega, mis on SumUpi definitsiooni kohaselt vajalik, võttes arvesse teenuste olemust ja SumUpile kättesaadavat teavet, et aidata teil täita oma kohustusi, eriti seoses andmekaitsemõju hindamise, eelneva konsulteerimise ja isikuandmete turvalisuse tagamise kohustused.
I. Aitab teid mõistlike ajavahemike jooksul asjakohaste meetmetega ja, kui see on mõistlikult võimalik (arvestades töötlemise olemust), järgida andmesubjekti õigusi ja kõiki muid kohaldatavatest andmekaitseseadustest tulenevaid asjakohaseid kohustusi.
J. Teavitab teid, seadusega lubatud juhtudel, kui SumUp saab päringu või kaebuse isikult, kelle isikuandmeid teie sisu hõlmab, või kui SumUp saab siduva nõude valitsusasutuselt, õiguskaitseasutuselt, reguleerivalt või muult asutuselt, seoses teie klientide andmetega, mida SumUp töötleb teie nimel ja teie juhiste kohaselt.
4.4. Teie, isikuandmete vastutava töötlejana:
A. Kogub, kasutab ja töötleb isikuandmeid kooskõlas kõigi kohaldatavate andmekaitsealaste õigusaktidega.
B. Olete ainuisikuliselt vastutav teie klientide andmete täpsuse, kvaliteedi ja õigusliku töötlemise ning andmete omandamise meetodite eest.
C. Tagate teenuseid kasutades asjakohasel tasemel turvalisuse, arvestades teie klientide andmeid puudutavaid riske.
D. Kinnitate, et teie klientide isikuandmete hoiustamine ja/või edastamine kolmandatele pooltele või platvormidele, mis ei ole SumUp, toimub teie ainuisikulisel vastutusel ja riskil.
E. Tagate, et teie poolt isikuandmete töötlemiseks antud juhised vastavad kõigile teie klientide andmete töötlemisele rakendatavatele seadustele, määrustele ja reeglitele. Samuti tagate, et teie klientide andmete töötlemine vastavalt teie juhistele ei põhjusta ega too kaasa meie või teie mistahes seaduste, reeglite või määruste rikkumist.
Andke oma klientidele vajalikku teavet, kuidas ja miks nende andmeid töödeldakse vastavalt kohaldatavatele andmekaitsealaste õigusaktide nõuetele.
5. Rikkumistest teavitamine. Pool teavitab teist osapoolt viivitamata (kuid mitte hiljem kui 48 tunni jooksul) pärast seda, kui ta saab teada isikuandmetega seotud rikkumisest seoses käesoleva DPA alusel töödeldavate isikuandmetega. SumUp aitab teil täita teie andmetega seotud rikkumisest teatamise kohustusi, annab teile rikkumise kohta mis tahes teavet, mida meil on mõistlikkuse piires võimalik teile avaldada, võttes arvesse teenuste olemust, meile kättesaadavat teavet ja mis tahes avalikustamise piiranguid. teavet, näiteks konfidentsiaalsusnõuete tõttu. Üleval toodust sõltumata, SumUpi selle jaotise kohased kohustused ei kehti rikkumiste korral, mille põhjustasite teie, teie tegevus ja/või kolmanda poole teenused. SumUp on kohustatud tegema koostööd ja teid toetama seoses uurimisega, negatiivsete tagajärgede minimeerimisega, isikuandmetega seotud rikkumise tagajärgede parandamisega ning edasiste sarnaste rikkumiste ennetamisega. SumUpi poolne isikuandmetega seotud rikkumisest teavitamine ei tähenda SumUpi poolset kinnitust sellise rikkumise süülisuse või vastutuse eest. Isikuandmetega seotud rikkumise korral olete kohustatud võtma rakendatavate seadustega nõutavad meetmed seoses teie klientide andmetega.
6. Alamtöötlejad. Käesolevaga annate SumUpile üldise volituse kaasata teenuste pakkumisel alamtöötlejaid, ilma täiendavate kirjalike või konkreetsemate volitusteta. SumUp sõlmib iga alamtöötlejaga lepingu, mis tagab, et alamtöötleja järgib tingimusi, mis garanteerivad vähemalt selles andmete töötlemise lepingus kehtestatud või paremal tasemel kaitse ja turvalisuse. Kui teil on konkreetse alamtöötleja osas vastuväiteid ja teie vastuväide on põhjendatud ning seotud andmete töötlemisega, astume kaubanduslikult mõistlikke samme, et pakkuda võimalust teie klientide andmete asjakohase alamtöötleja poolt töötlemise vältimiseks. Kui me ei saa neid soovitatud muudatusi mõistliku aja jooksul kättesaadavaks teha, teavitame teid sellest ja kui te ikka veel ei nõustu selle alamtöötleja kasutamisega, võite oma konto või võimalusel mõne osa sellest tühistada või lõpetada. Teenused, mis hõlmavad nimetatud alamprotsessori kasutamist.
7. Isikuandmete edastamine. Teie klientide andmete töötlemine toimub Euroopa Majanduspiirkonna ("EMP") ja Ühendkuningriigi territooriumil. Mis tahes edastamine kolmandasse riiki ja töötlemine väljaspool EL/EMP ning Ühendkuningriiki, mis ei taga , piisavat kaitsetaset – Ühendkuningriigis kohandatav piisavuse reguleerimine vastavalt kohaldatavatele andmekaitsealastele õigusaktidele, toimub kooskõlas tüüplepinguga. Klauslid või muu asjakohane mehhanism, mis tagab isikuandmete piisava turvalisuse vastavalt kohaldatavate andmekaitseseaduste nõuetele
8. Auditid. Teil on kord aastas õigus algatada SumUpi andmete töötlemise lepingu kohaste kohustuste hindamine. Pooled otsustavad ühiselt, kas auditi peaks läbi viima kolmas pool. Siiski võite lubada meil lasta turvaülevaatuse läbi viia meie valitud neutraalsel kolmandal osapoolel. Kui auditi pakutav ulatus järgib ISO või sarnast sertifitseerimise raportit ja selle viis läbi vajaliku kvalifikatsiooniga kolmanda poole audiitor viimase kaheteistkümne kuu jooksul ning SumUp kinnitab, et hinnatavad meetmed ei ole oluliselt muutunud, on selline raport piisav selle aja jooksul esitatud taotlustele vastamiseks. Auditid ei tohi põhjendamatult häirida SumUpi tavapärast äritegevust. Taotletud auditiga kaasnevad kulud jäävad teie kanda. SumUp nõustub kord aastas andmetöötleja eelneval kirjalikul nõudmisel ja kohaldatavate andmekaitsealaste õigusaktidega nõutud ulatuses tegema koostööd ja andma vastutavale töötlejale mõistliku aja jooksul:
(a) kokkuvõte auditiaruannetest, mis näitavad SumUpi poolt võetud tehniliste ja organisatsiooniliste meetmete tõhusust isikuandmete volitamata või ebaseadusliku töötlemise ning isikuandmetele loata juurdepääsu, nende juhusliku kaotsimineku, hävimise või kahjustamise vastu.
(b) kinnitus, et audit ei avastanud SumUpi süsteemides ühtegi olulist haavatavust või kuivõrd selline haavatavus avastati, kärvaldas SumUp selle haavatavuse täielikult.
Kui ülaltoodud meetmetest ei piisa kohaldatavate andmekaitsealaste õigusaktide järgimise kinnitamiseks või oluliste probleemide ilmnemiseks, võib andmetöötleja nõuda SumUpile vähemalt kolmkümmend (30) päeva ette teatades SumUpi andmekaitse vastavusprogrammi auditit, mille viivad läbi sõltumatud välisaudiitorid. Mõlemad pooled peaksid ühiselt valima audiitorid ja leppima vastastikku kokku auditi ulatuse, aja ja kestuse. Vastutav andmetöötleja võtab kasutusele kõik mõistlikud meetmed, et piirata selle kahjulikku mõju SumUpile, ning vastutab kõigi kulude eest, mis on seotud tema auditi läbivaatamise taotlusega, samuti kulude eest, mis tulenevad võimalikest kahjulikest mõjudest, kui neid on. Vastutav andmetöötleja teeb SumUpile kättesaadavaks oma andmekaitse vastavusprogrammi auditi tulemused.
9. Vastutus. Iga osapoole vastutusele kehtivad käesoleva DPA alusel lisatingimustes ja/või -tingimustes sätestatud vastutuse välistused ja piirangud. Nõustute hüvitama ning kaitsma SumUpi oma kulul kõigi kulude, nõuete, kahjude või kulude eest, mis on tekkinud SumUpil või mille eest SumUp võib vastutada, kui teie või teie töötajad või esindajad ei täida käesolevast DPA-st tulenevaid kohustusi.
10. Lõpetamine. See andmete töötlemise leping kehtib ajal, mil kasutate SumUpi teenuseid. Teenuste kasutamise lõpetamisel ja olukorras, kus SumUp peab SumUpi täiendavate tingimuste ja/või tingimuste, muude lepingute või rakendatavate seaduste kohaselt teie klientide andmeid säilitama, kustutab SumUp, muu hulgas teie kirjalikul taotlusel, teie klientide andmed esimesel võimalusel ja SumUpi tingimuste ning rakendatavate seaduste kohaselt.
11. Anonüümsed koondandmed. Olete teadlik ja nõustute, et SumUp võib töödelda mis tahes teie ja teie klientidega seotud koondandmeid, sealhulgas teenuste kasutamise andmeid. Klient tunnistab, nõustub ja annab nõusoleku, et SumUp võib kasutada neid anonüümseid koondandmeid (ilma et see loetelu oleks ammendav) oma teenuste analüüsimiseks, täiustamiseks ja kasutamiseks ning üldiselt mis tahes äritegevuseks kogu DPA kehtivusaja jooksul, aga ka pärast selle lõpetamist, et aidata kaasa turuanalüüsidele, koostada statistikat, parandada oma tooteid ja teenuseid ning nende ohutust, järgides häid tööstustavasid ja/või soovitusi.
12. Miuu
12.1. Kui selle andmete töötlemise lepingu ja SumUpi täiendavate tingimuste ja/või tingimuste vahel on erinevusi, rakendatakse selle andmete töötlemise lepingu tingimusi.
12.2. Teie vastutate kulude ja kulutuste eest, mida SumUp kannab teie juhiste või taotluste täitmisel täiendavate tingimuste kohaselt (muu hulgas see andmete töötlemise leping), kui need jäävad väljapoole reeglina SumUpi poolt teenuste kaudu pakutavaid standardseid funktsioone.
12.3. SumUpil on õigus selle andmete töötlemise lepingu tingimusi vajadusel muuta ja/või täiendada. SumUp teavitab DPA muudatustest asjakohaselt ja teeb need eraldi lisas või muul nähtaval viisil, sealhulgas avaldades meie veebisaidil DPA värskendatud versiooni. Selle DPA ülaosas olev legend „Viimati muudetud” näitab, millal seda DPA-d viimati muudeti.
12.4. Seda andmete töötlemise lepingut puudutavad küsimused ja muud isikuandmete töötlemisega seotud taotlused tuleb saata aadressil dpo@sumup.com. SumUp üritab lahendada kõik teie klientide andmete kasutamist puudutavad kaebused selle andmete töötlemise lepingu, tingimuste ja SumUpi ettevõttesiseste reeglite kohaselt.
12.5. Kui mõni andmete töötlemise lepingu säte osutub kehtetuks, ei mõjuta see ülejäänud sätete kehtivust. Pooled asendavad kehtetu sätte kehtiva sättega, mis vastab kehtetuks osutunud sätte eesmärgile.
12.6 Seda DPA-d reguleerivad kohaldatavaid lisatingimusi reguleerivad seadused ja seda tõlgendatakse vastavalt nendele.
Lisa nr 1
1. Teema. Teema on käesoleva DPA alusel andmetöötlus.
2. Töötlemise olemus ja eesmärk. Selle andmete töötlemise lepingu kohase andmete töötlemise eesmärgiks on teie küsitud teenuste pakkumine ja täiustamine.
3. Kestus. Meie ja teie vahelise kokkuleppe kohaselt sõltub selle andmete töötlemise lepingu kohase andmete töötlemise kestus teist ja perioodist, mille jooksul otsustate meie teenuseid kasutada.
4. Andmesubjektide kategooriad. Teie kliendid, teie klientide potentsiaalsed kliendid, teie töötajad, raamatupidajad (arvete esitamiseks ja raamatupidamiseks) ja/või mis tahes muud isikud, kelle isikuandmeid sisu sisaldab. Kinkekaartide, kinkekaardi ostjate ja/või kinkekaardi saajate või muude isikute puhul, kelle isikuandmeid töödeldakse kinkekaarditeenuste osana kooskõlas lisatingimuste ja SumUpi tingimustega.
5. Isikuandmete tüüp. Teie klientide andmeid töödeldakse teenuste osana vastavalt Tingimustele ja antud juhistele. Need andmed võivad olenevalt kasutatavatest teenustest erineda ja võivad hõlmata, kuid mitte ainult:
Veebipood
Teie klientide nimed, e-posti aadress, mobiiltelefoni/telefoni number, füüsiline aadress(id), makseandmed, tehingute/tellimuste ajalugu, IP-aadress, teave küpsistest ja sarnastest tehnoloogiatest, turunduseelistused.
Kinkekaardid
Ostu- ja kinkekaarti saava kliendi nimed ja e-posti aadressid, kinkekaardi summa, kinkekaardi sõnum.
Arvete koostamine ja raamatupidamine
Nimed, füüsiline aadress(id), mobiiltelefoni/telefoni number, e-posti aadress(id), kontonumbrid ja/või pangaandmed, arve teema, tehingu/tellimuse andmed, arvete olek.
POS-i jaoks
Teie töötajate nimed, füüsiline aadress(id), mobiiltelefoni-/telefoninumber, e-posti aadress(id), tehingute/tellimuste andmed, kommentaarid – töötajate number, sisselogimismandaadid, IP-aadress, roll, e-posti aadress, tellimused, keele-eelistused.
Isikuandmete eriliike, andmeid, mis puudutavad kriminaalkaristusi ja -rikkumisi, teenuste raames ei töödelda ja need ei ole selle andmete töötlemise lepinguga hõlmatud. Kui selliseid andmeid teenuste kasutamisel töödeldakse, tehakse seda SumUpi teadmata ja peaksite asjakohased andmed nende töötlemise tuvastamisel viivitamatult kustutama.