Andmete töötlemise leping

Kehtiv alates 16.01.2023

Muudetud 16.01.2023

Muudetud 16.09.2024

See andmete töötlemise leping („DPA”) on SumUpi tingimuste osa ja sellele kohaldatakse konkreetseid SumUpi tingimuste sätteid, mis kehtivad teenustele, mida võite kasutada („lisatingimused”), ja kõiki teisi kohaldatavaid SumUpi reegleid ja tingimusi, muu hulgas, kuid mitte ainult, SumUpi üldised tingimused (siin ühiselt „tingimused”), neid, mis on kokku lepitud teie kui SumUpi kaupmehe („teie”, „andmete vastutav töötleja”) ja SumUpi lepingulise äriühingu vahel, mis on nimetatud kohaldatavates lisatingimustes („SumUp”, „meie”, „volitatud töötleja”) ja kuulub kontserni SumUp S.A.R.L. alla – SumUpi grupp.

Selleks, et osutada teile teenuseid tingimuste ja lisatingimuste alusel, töötleb SumUp teie meeskonna, töötajate, klientide ja/või külastajate ning teie kaupluse, saidi ja/või teie teenuste kasutajate („teie kliendid”, „kliendid”, „lõppkliendid”) andmeid. Selliste andmete SumUpi poolt töötlemist nimetatakse edaspidi „töötlemiseks” (nagu see mõiste on määratletud kohaldatavates andmekaitsealastes õigusaktides). Selles DPA-s on sätestatud SumUpi sellise töötlemise tingimused.

Kõik pooled nõustuvad ja tagavad, et selle DPA tingimused on kohaldatavad poolte sidusettevõtetele, mis võivad lisatingimustes määratletud teenuste osutamise eesmärgil isikuandmeid töödelda. SumUp tagab, et kõik alamtöötlejad tegutsevad teie klientide andmete töötlemisel selle DPA tingimuste järgi.

1. Määratlused

1.1. „Kohaldatavad andmekaitsealased õigusaktid” tähendab kõiki seadusi, mis on seotud isikuandmete töötlemisega lisatingimuste, tingimuste ja käesoleva DPA alusel, sealhulgas, kuid mitte ainult, 2018. aasta andmekaitseseadus, EL-i isikuandmete kaitse üldmäärus 2016/679 („GDPR”, „määrus”), EL-i eraelu puutumatuse ja elektroonilise side direktiiv 2002/58/EÜ, nagu seda on rakendatud igas jurisdiktsioonis, ja kõik muudatused või kõik muud kohaldatavad või asendavad rahvusvahelised, piirkondlikud või riiklikud andmekaitseseadused, määrused ja regulatiivsed juhised.

1.2. Mõisted „vastutav töötleja”, „andmesubjekt”, „isikuandmed”, „töötlemine” ja „töötleja” on tähendustega, mis neil on kohaldatavates andmekaitsealastes õigusaktides.

1.3. „Sisu“ tähendab teie sisu ja mis tahes sisu, mida SumUp pakub teie klientidele, sealhulgas, kuid mitte ainult, teksti, fotosid, kujutisi, heli, videoid, koodi, teavet küpsistest või sarnastest jälitustehnoloogiatest ning mis tahes muud materjali.

1.4. „Teie andmed”, „teie klientide andmed” tähendab isikuandmeid, mida SumUp töötleb teie nimel teenuste ja/või teie meeskonnaga (näiteks teie töötajad, raamatupidajad või muud kolmandad isikud) seoses ja/või klientide andmeid, mida töödeldakse teie nimel teenuste osutamiseks. Teie klientide andmed ei sisalda isikuandmeid, kui neid andmeid kontrollib SumUp vastavalt käesolevale DPA-le ja SumUpi privaatsuspoliitikale.

1.5. Kõik selles DPA-s kasutatud mõisted, millel ei ole selles jaotises selgesõnalist määratlust, on määratletud lisatingimustes. Kui lisatingimustes või tingimustes pole konkreetset määratlust, on nende tähendus sama, mis on antud kohaldatavates andmekaitsealastes õigusaktides.

2. Kohaldatavus

See andmekaitse kehtib ainult teie klientide andmete suhtes, mida SumUp teie nimel teenuste osutamise eesmärgil töötleb. Nõustute, et SumUp ei vastuta isikuandmete eest, mida olete otsustanud töödelda kolmanda isiku teenuste kaudu või väljaspool meie teenuseid, muu hulgas süsteemides või muudes kolmanda isiku pilveteenustes, võrguühenduseta või kohapealses andmehoidlas.

3. Andmete töötlemise üksikasjad

SumUp töötleb isikuandmeid vastavalt käesoleva lepingu lisale 1.

4. Õigused ja kohustused

4.1. Kuivõrd SumUp töötleb teie nimel teie klientide andmeid ja selle töötlemise suhtes kohaldatakse kohaldatavaid andmekaitsealaseid õigusakte, siis tunnistate ja nõustute, et SumUpi poolt teenuste osutamise eesmärgil olete selliste isikuandmete vastutav töötleja ning SumUpi teenuseid kasutades olete andnud SumUpile korralduse töödelda teie nimel teie klientide andmeid vastavalt käesolevale DPA-le.

4.2. Saate selle DPA nõusoleku igal ajal tagasi võtta, aga sellisel juhul ei ole SumUpil teile enam teenuseid osutada võimalik.

4.3. SumUp, volitatud töötlejana:

A. Töötleb teie klientide andmeid ainult DPA-s määratletud eesmärkidel, kohaldatava seaduse ning DPA kohaselt.

B. Kasutab ja töötleb teie klientide andmeid ainult teie dokumenteeritud juhiste kohaselt, kui seadusega, kohtumäärusega või muude seaduslike meetmetega ei ole ette nähtud tegutsemist ilma selliste juhisteta. Teie juhised selle DPA sõlmimise hetkel näevad ette, et SumUp võib teie klientide andmeid töödelda ainult DPA-s ja lisatingimustes kirjeldatud teenuste pakkumise eesmärgil. Selle DPA kohaselt ja poolte vastastikusel kokkuleppel võite anda täiendavaid kirjalikke juhiseid selle DPA tingimustel.

C. Garanteerib, et isikuandmete töötlemiseks volitatud isikutel on konfidentsiaalsuskohustus või seaduslik kohustus konfidentsiaalsuse tagamiseks.

D. Garanteerib, et juurdepääs isikuandmetele antakse vajaduspõhiselt ja seoses lisatingimustes sätestatud teenuste osutamisega.

E. Vastutab, et teie klientide andmeid töötlevad töötajad/alamtöötlejad ja/või esindajad töötlevad isikuandmeid ainult teie juhiste kohaselt.

F. Teavitab teid kohe, kui arvame, et mõned teie juhised on vastuolus kohaldatavate andmekaitsealaste õigusaktidega.

G. On selle DPA kohaselt kohustatud kaitsma teie klientide andmeid hävimise, muutmise, kadumise või lubamatu töötlemise eest. Sellel eesmärgil võtab SumUp asjakohaseid turvameetmeid kohaldatava seaduse kohaselt. On võimalik, et SumUp võtab kasutusele mõningaid alternatiivseid asjakohaseid meetmeid. Alternatiivide rakendamisel ei ole võimalik langetada määratletud turvameetmete kaitsetaset. SumUp toetab teid vajaduse korral asjakohaste tehniliste ja korralduslike meetmetega ja arvestades SumUpile kättesaadavate andmete töötlemise laadi ning kategooriat aitab tagada, et täidate oma kohustused kohaldatavate andmekaitsealaste õigusaktide kohaselt.

H. Teie põhjendatud taotluse korral teeb kättesaadavaks sertifikaadid, mis näitavad SumUpi vastavust selle DPA ja kohaldatavate andmekaitsealaste õigusaktide nõuetele; ja/või teeb kättesaadavaks teabe, mis on vajalik, et tõestada vastavust selle DPA ja kohaldatavate andmekaitsealaste õigusaktide nõuetele. SumUpi poolt kättesaadavaks tehtav teave on piiratud üksnes teabega, mis on SumUpi definitsiooni kohaselt vajalik, võttes arvesse teenuste olemust ja SumUpile kättesaadavat teavet, et aidata teil täita oma kohustusi, eriti seoses andmekaitsemõju hindamise, eelneva konsulteerimise ja isikuandmete turvalisuse tagamise kohustustega.

I. Aitab teid mõistlike ajavahemike jooksul asjakohaste meetmetega ja, kui see on mõistlikult võimalik (arvestades töötlemise olemust), järgida andmesubjekti õigusi ja kõiki muid kohaldatavatest andmekaitsealastest õigusaktidest tulenevaid asjakohaseid kohustusi.

J. Teavitab teid, seadusega lubatud juhtudel, kui SumUp saab päringu või kaebuse isikult, kelle isikuandmeid DPA alusel töödeldakse, või kui SumUp saab siduva nõude valitsusasutuselt, õiguskaitseasutuselt, reguleerivalt või muult asutuselt, seoses teie klientide andmetega, mida SumUp töötleb teie nimel ja teie juhiste kohaselt.

4.4. Teie, isikuandmete vastutava töötlejana:

A. Kogute, kasutate ja töötlete isikuandmeid kooskõlas kõigi kohaldatavate andmekaitsealaste õigusaktidega.

B. Olete ainuisikuliselt vastutav teie klientide andmete täpsuse, kvaliteedi ja õigusliku töötlemise ning andmete omandamise meetodite eest.

C. Tagate teenuseid kasutades asjakohasel tasemel turvalisuse, arvestades teie klientide andmeid puudutavaid riske.

D. Kinnitate, et teie klientide andmete hoiustamine ja/või edastamine kolmandatele pooltele või platvormidele, mis ei ole SumUp, toimub teie ainuisikulisel vastutusel ja riskil.

E. Tagate, et teie poolt isikuandmete töötlemiseks antud juhised vastavad kõigile teie klientide andmete töötlemisele kohaldatavatele seadustele, määrustele ja reeglitele. Samuti tagate, et teie klientide andmete töötlemine vastavalt teie juhistele ei põhjusta ega too kaasa mis tahes seaduste, reeglite või määruste rikkumist meie või teie poolt.

F. Annate oma klientidele vajalikku teavet, kuidas ja miks nende andmeid töödeldakse vastavalt kohaldatavate andmekaitsealaste õigusaktide nõuetele.

5. Rikkumisest teatamine

Pool teavitab teist poolt viivitamata (kuid mitte hiljem kui 48 tunni jooksul) pärast seda, kui ta saab teada isikuandmetega seotud rikkumisest seoses käesoleva DPA alusel töödeldavate isikuandmetega. SumUp aitab teil täita andmetega seotud rikkumisest teatamise kohustusi, annab teile rikkumise kohta mis tahes teavet, mida meil on mõistlikkuse piires võimalik teile avaldada, võttes arvesse teenuste olemust, meile kättesaadavat teavet ja mis tahes piiranguid teabe avaldamisel, näiteks konfidentsiaalsusnõuete tõttu. Eespool toodust sõltumata, SumUpi selle jaotise kohased kohustused ei kehti rikkumiste korral, mille põhjustasite teie, teie tegevus ja/või kolmanda isiku teenused. SumUp on kohustatud tegema koostööd ja teid toetama seoses uurimisega, negatiivsete tagajärgede minimeerimisega, isikuandmetega seotud rikkumise tagajärgede parandamisega ning edasiste sarnaste rikkumiste ennetamisega. SumUpi poolne isikuandmetega seotud rikkumisest teavitamine ei tähenda SumUpi poolset kinnitust sellise rikkumise süülisuse või vastutuse eest. Isikuandmetega seotud rikkumise korral olete kohustatud võtma kasutusele kohaldatava seadusega nõutavad meetmed seoses teie klientide andmetega.

6. Alamtöötlejad

Käesolevaga annate SumUpile üldise volituse kaasata teenuste pakkumisel alamtöötlejaid, ilma täiendavate kirjalike või konkreetsemate volitusteta. SumUp sõlmib iga alamtöötlejaga lepingu, mis tagab, et alamtöötleja järgib tingimusi, mis garanteerivad vähemalt selles DPA-s kehtestatud või paremal tasemel kaitse ja turvalisuse. Kui teil on konkreetse alamtöötleja osas vastuväiteid ja teie vastuväide on põhjendatud ning seotud andmete töötlemisega, astume kaubanduslikult mõistlikke samme, et pakkuda võimalust teie klientide andmete asjakohase alamtöötleja poolt töötlemise vältimiseks. Kui me ei saa neid soovitatud muudatusi mõistliku aja jooksul kättesaadavaks teha, teavitame teid sellest, ja kui te ikka veel ei nõustu selle alamtöötleja kasutamisega, võite tühistada või sulgeda oma konto või võimaluse korral teenuste selle osa, mis hõlmavad nimetatud alamtöötleja kasutamist.

7. Isikuandmete edastamine

Teie klientide andmete töötlemine toimub Euroopa Majanduspiirkonna („EMP”) ja Ühendkuningriigi territooriumil. Igasugune andmete edastamine kolmandasse riiki väljaspool EL-i/EMP-d ning Ühendkuningriiki ning andmete sealne töötlemine viisil, mis ei taga piisavat kaitsetaset (Ühendkuningriigis vastu võetud piisavuse määrus, kohaldatavad andmekaitsealased õigusaktid), toimub kooskõlas lepingu tüüptingimustega või muude asjakohaste mehhanismide abil, millega on tagatud isikuandmete piisava turvalisus kooskõlas kohaldatavate andmekaitsealaste õigusaktide nõuetega.

8. Auditid

Teil on kord aastas õigus algatada SumUpi DPA kohaste kohustuste hindamine. Pooled otsustavad ühiselt, kas auditi peaks läbi viima kolmas isik. Kuid võite siiski lubada meil lasta turvakontrolli läbi viia meie valitud neutraalsel kolmandal isikul. Kui planeeritava auditi ulatus järgneb ISO või sarnase sertifitseerimisaruande vormingule, mille on viimase 12 kuu jooksul viinud läbi vajaliku kvalifikatsiooniga kolmandast isikust audiitor, ning SumUp kinnitab, et hinnatavad meetmed ei ole oluliselt muutunud, on selline aruanne piisav selle aja jooksul esitatud taotlustele vastamiseks. Auditid ei tohi põhjendamatult häirida SumUpi tavapärast äritegevust. Taotletud auditiga kaasnevad kulud jäävad teie kanda. SumUp nõustub kord aastas vastutavat töötlejat eelneva kirjaliku nõudmise korral ja kohaldatavate andmekaitsealaste õigusaktidega nõutud ulatuses tegema koostööd ja andma vastutavale töötlejale mõistliku aja jooksul:

(a) kokkuvõte auditiaruannetest, mis näitavad SumUpi poolt võetud tehniliste ja korralduslike meetmete tõhusust isikuandmete volitamata või ebaseadusliku töötlemise ning isikuandmetele loata juurdepääsu, nende juhusliku kaotsimineku, hävimise või kahjustamise vastu.

(b) kinnitust, et audit ei avastanud SumUpi süsteemides ühtegi olulist nõrkust või kui selline nõrkus avastati, kõrvaldas SumUp selle nõrkuse täielikult.

Kui ülaltoodud meetmetest ei piisa kohaldatavate andmekaitsealaste õigusaktide järgimise kinnitamiseks või ilmneb tõsiseid küsimusi, võib vastutav töötleja nõuda (teatades sellest SumUpile vähemalt kolmkümmend (30) päeva ette) SumUpi andmekaitse vastavusauditit, mille viivad läbi sõltumatud välisaudiitorid. Mõlemad pooled peaksid ühiselt valima audiitorid ja leppima vastastikku kokku auditi ulatuse, aja ja kestuse. Vastutav töötleja võtab kasutusele kõik mõistlikud meetmed, et piirata selle kahjulikku mõju SumUpile, ning vastutab kõigi kulude eest, mis on seotud tema audititaotlusega, samuti kulude eest, mis tulenevad võimalikest kahjulikest mõjudest, kui neid on. Vastutav töötleja teeb SumUpile kättesaadavaks oma andmekaitse vastavusauditi tulemused.

9. Vastutus

Poolte vastutusele, mis tuleneb sellest DPA-st, kohaldatakse lisatingimustes ja/või tingimustes määratletud välistusi ja vastutuse piiranguid. Te nõustute hüvitama ja hoidma SumUpi vabastatuna ning kaitsma SumUpi teie kulul kõigi kulude, nõuete, kahjude või kulutuste eest, mis SumUpi poolt tekivad või mille eest SumUp võib saada vastutavaks teie või teie töötajate või esindajate poolt käesolevast DPA-st tulenevate kohustuste täitmata jätmise tõttu. Olenemata tingimuste ja lisatingimuste, sealhulgas käesoleva DPA vastupidistest sätetest, ei vastuta SumUp ja selle sidusettevõtted ühegi andmesubjekti poolt esitatud nõude eest, mis tuleneb SumUpi või selle sidusettevõtete tegevusest või tegevusetusest või on sellega seotud, kui SumUp tegutses vastavalt teie juhistele.

10. Lõpetamine

See DPA kehtib ajal, mil kasutate SumUpi teenuseid. Teenuste kasutamise lõpetamise korral ja olukorras, kus SumUp peab SumUpi lisatingimuste ja/või tingimuste, muude lepingute või kohaldatavate seaduste kohaselt teie klientide andmeid säilitama, kustutab SumUp, mh teie kirjalikul taotlusel, teie klientide andmed esimesel võimalusel ja SumUpi tingimuste ning kohaldatavate seaduste kohaselt.

11. Koondandmed

Olete teadlik ja nõustute, et SumUp võib töödelda mis tahes teie ja teie klientidega seotud koondandmeid, sealhulgas teenuste kasutamise andmeid. Klient tunnistab, nõustub ja annab nõusoleku, et SumUp võib kasutada neid koondandmeid (ilma et see loetelu oleks ammendav) oma teenuste analüüsimiseks, täiustamiseks ja kasutamiseks ning üldiselt mis tahes äritegevuseks kogu DPA kehtivusaja jooksul, aga ka pärast selle lõpetamist, et aidata kaasa turuanalüüsidele, koostada statistikat, parandada oma tooteid ja teenuseid ning nende ohutust, järgides häid tööstustavasid ja/või soovitusi.

12. Muu

12.1. Kui selle DPA ja SumUpi lisatingimuste ja/või tingimuste vahel on lahknevusi, kehtivad selle DPA tingimused.

12.2. Teie vastutate kulude ja kulutuste eest, mida SumUp kannab teie juhiste või taotluste täitmisel lisatingimuste kohaselt (muu hulgas see DPA), kui need jäävad väljapoole reeglina SumUpi poolt teenuste kaudu pakutavaid standardfunktsioone.

12.3. SumUpil on õigus selle DPA tingimusi vajaduse korral muuta ja/või täiendada. SumUp teavitab DPA muudatustest asjakohaselt ja teeb need eraldi lisas või muul nähtaval viisil, sealhulgas avaldades meie veebisaidil DPA muudetud versiooni. Selle DPA alguses olev märge „Viimati muudetud” näitab, millal seda DPA-d viimati muudeti.

12.4. Seda DPA-d puudutavad küsimused ja muud isikuandmete töötlemisega seotud taotlused tuleb saata aadressile dpo@sumup.com. SumUp üritab lahendada kõik teie klientide andmete kasutamist puudutavad kaebused selle DPA, tingimuste ja SumUpi ettevõttesiseste reeglite kohaselt.

12.5. Kui mõni DPA säte osutub kehtetuks, ei mõjuta see ülejäänud sätete kehtivust. Pooled asendavad kehtetu sätte kehtiva sättega, mis vastab kehtetuks osutunud sätte eesmärgile.

12.6. Seda DPA-d reguleerivad kohaldatavaid lisatingimusi reguleerivad seadused ja seda tõlgendatakse vastavalt nendele.

Lisa nr 1

1. Teema

Teema on andmete töötlemine käesoleva DPA alusel.

2. Töötlemise olemus ja eesmärk

Selle DPA kohase andmete töötlemise eesmärgiks on teie küsitud teenuste pakkumine ja täiustamine.

3. Kestvus

Meie ja teie vahelise kokkuleppe kohaselt sõltub selle DPA kohase andmete töötlemise kestus teist ja perioodist, mille jooksul otsustate meie teenuseid kasutada.

4. Andmesubjektide kategooriad

Teie kliendid, teie klientide potentsiaalsed kliendid, teie meeskond (töötajad, raamatupidajad või muud kolmandad isikud) ja/või muud isikud, kelle isikuandmed sisalduvad sisus. Kinkekaartide, kinkekaardi ostjate ja/või kinkekaardi saajate või muude isikute puhul, kelle isikuandmeid töödeldakse kinkekaarditeenuste osana kooskõlas lisatingimuste ja SumUpi tingimustega.

5. Isikuandmete tüüp

Teie klientide andmeid töödeldakse teenuste osana vastavalt tingimustele ja antud juhistele. Need andmed võivad olenevalt kasutatavatest teenustest erineda ja võivad hõlmata, kuid mitte ainult järgmist.

Veebipood

Teie klientide nimed, e-posti aadress, mobiiltelefoni/telefoni number, füüsiline (füüsilised) aadress(id), makseandmed, tehingute/tellimuste ajalugu, IP-aadress, teave küpsistest ja sarnastest tehnoloogiatest, turunduseelistused.

Kinkekaardid

Ostu- ja kinkekaarti saava kliendi nimed ja e-posti aadressid, kinkekaardi summa, kinkekaardi sõnum.

Arvete koostamine ja raamatupidamine

Nimed, füüsilised aadressid, mobiil-/lauatelefoninumbrid, e-posti aadressid, kontonumbrid ja/või pangaandmed, arve teema, tehingu/tellimuse andmed, arvete olek.Meie partnerite kaudu pakutavate faktooringu teenuste puhul faktooringu pakkumisega seotud andmed, arvete tasumine, vaidlused.

POS ja seotud teenused

Nimed, füüsilised aadressid, mobiil-/lauatelefoninumbrid, e-posti aadressid, tehingute/tellimuste andmed, kommentaarid ning teie töötajate kohta – töötaja number, sisselogimisandmed, IP-aadress, roll, e-posti aadress, tellimused, keelevalikud.

Tellimisteenuste või kioski kasutamisel kviitungite ja tellimuste andmete jaoks – tellimuse andmed, mobiilinumber / e-posti aadress, tellimuse märkmed.

SumUp Connect (lojaalsusprogramm)

Kui saadate oma klientidele SumUp Connect (lojaalsus) teenuste kaudu suhtlust - suhtlus, e-posti aadress, mobiiltelefoni number, turundussoovitused.

SumUp Bookings

Teie klientide nimed, mobiiltelefoni/telefoninumber, e-posti aadress(id), tehingu/tellimuse/kohtumise andmed, osavõtuandmed, tagasimaksed ja hoiused, füüsiline aadress (juhul, kui teenust osutatakse teie kliendi määratud aadressil), kommentaarid, turunduslikud eelistused. Teie meeskonna visiidid, graafikud, telefoninumbrid, arvustused.

Muu (internetimaksed, makselingid/QR-koodid, SumUp Checkout)

Kui otsustate meie veebipõhiste maksetega seotud teenuste kasutamise kaudu koguda lisaks makse töötlemiseks rangelt vajalikele andmetele oma klientide kohta täiendavaid andmeid (müügitehinguga seotud andmed, nt kliendi tellimuse, kontaktandmete või kliendi makseandmete salvestamine tulevaste ostude jaoks) – e-posti aadressid, nimed, mobiil-/lauatelefoninumber, maksukood (kui see on seadusega nõutav), tehingu/tellimuse andmed, märkused/kommentaarid ja kohandatav andmeväli makse/tellimuse kohta, tarneaadress, arveldusaadress ja -andmed, kaardi üksikasjad, mis salvestatakse tulevaste ostude jaoks (kui teie klient sellega nõustub), turundussõnumite saamise eelistused (kui see on tehniliselt teenusena pakutav).

Isikuandmete eriliike, sh andmeid, mis puudutavad kriminaalkaristusi ja -rikkumisi, teenuste raames ei töödelda ja need ei ole selle DPA-ga hõlmatud. Kui selliseid andmeid teenuste kasutamisel töödeldakse, tehakse seda SumUpi teadmata ja peaksite asjakohased andmed nende töötlemise tuvastamisel viivitamatult kustutama. Meie teenused ei ole mõeldud kasutamiseks alla 18-aastastele isikutele.