Accordo sul trattamento dei dati
Il presente Accordo sul trattamento dei dati ("DPA") fa parte integrante ed è soggetto alle disposizioni dei Termini specifici di SumUp applicabili ai Servizi che l'utente potrebbe utilizzare ("Termini aggiuntivi") e di eventuali altri termini e condizioni applicabili di SumUp, tra cui, a titolo esemplificativo ma non esaustivo, Termini generali di SumUp (nel prosieguo collettivamente "Termini") stipulati e concordati da e tra l'utente in quanto commerciante di SumUp ("Utente", "Titolare") e l'entità SumUp contraente indicata nei Termini aggiuntivi applicabili ("SumUp", "noi", "Responsabile del trattamento"), facente parte del gruppo SumUp S.A.R.L. – Gruppo SumUp.
Al fine di fornire all'utente i Servizi previsti nei Termini e nei Termini aggiuntivi, SumUp tratta i dati del personale, dei dipendenti, dei clienti e/o dei visitatori della sede, del sito e/o dei servizi dell'utente ("Clienti dell'utente", "Clienti" "Clienti finali"). Nel prosieguo, il trattamento di tali dati da parte di SumUp è denominato "trattamento" (secondo la definizione del termine ai sensi del Regolamento in materia di protezione dei dati personali vigente).Il DPA qui di seguito enuncia i termini riferiti a tale trattamento da parte di SumUp.
Ciascuna parte conviene e garantisce che i termini del presente DPA saranno pienamente applicabili anche agli affiliati che potrebbero essere coinvolti nel trattamento dei dati personali per i Servizi definiti nei Termini aggiuntivi. Nello specifico, SumUp garantirà che tutti i sub-responsabili operino entro gli stessi termini del presente DPA durante il trattamento dei Dati dei clienti dell'utente.
1. Definizione
1.1. Per "Regolamento in materia di protezione dei dati personali vigente" si intendono tutte le leggi relative al trattamento dei dati personali ai sensi dei Termini aggiuntivi, dei Termini e del presente DPA, inclusi, a titolo esemplificativo, il Data Protection Act 2018, il Regolamento generale sulla protezione dei dati personali dell'UE 2016/679 ("GDPR", "il Regolamento"), la Direttiva UE sulla privacy e le comunicazioni elettroniche 2002/58/CE, come implementato in ciascuna giurisdizione, e tutte le modifiche, o qualsiasi altra legge, regolamento o linea guida normativa sulla protezione dei dati internazionale, regionale o nazionale applicabile o sostitutiva.
1.2. I termini "titolare", "interessato", "dati personali", "trattamento" e "responsabile del trattamento" assumono i significati loro attribuiti nel Regolamento in materia di protezione dei dati personali vigente.
1.3. "Contenuto" indica i Contenuti dell'utente e qualsiasi contenuto fornito a SumUp dai clienti dell'utente, ivi compresi, a titolo esemplificativo, testo, foto, immagini, audio, video, codice, informazioni da cookie o tecnologie di tracciamento simili e qualsiasi altro materiale.
1.4. "Dati dell'utente", "Dati dei clienti dell'utente" indicano i dati personali nel Contenuto trattati da SumUp per conto dell'utente, nell'ambito dei servizi e/o dal personale dell'utente (come dipendenti, contabili o altre terze parti) e/o Dati dei clienti trattati per conto dell'utente per l'esecuzione dei Servizi.I Dati dei clienti dell'utente non includono i dati personali, laddove detti dati siano controllati da SumUp ai sensi del presente DPA e dell'Informativa sulla privacy di SumUp.
1.5. Tutte le definizioni adottate nel presente DPA, ma che non abbiano una descrizione esplicita in questa sezione, avranno il significato enunciato nei Termini aggiuntivi. Se non esiste alcuna definizione specifica nei Termini o nei Termini aggiuntivi, il loro significato sarà quello riportato nel Regolamento in materia di protezione dei dati personali vigente.
2. Applicabilità
Il presente DPA trova applicazione esclusivamente con riferimento ai Dati dei clienti dell'utente trattati da SumUp per conto dell'utente allo scopo di fornire i Servizi. Si conviene che SumUp non è responsabile dei dati personali che l'utente ha scelto di trattare tramite servizi di terze parti o al di fuori dei Servizi, compresi i sistemi di servizi cloud di altre terze parti, nonché l'archiviazione offline o in sede.
3. Dettagli del trattamento dei dati
SumUp tratterà i dati personali in conformità con l'Appendice 1.
4. Diritti e obblighi
4.1. Nella misura in cui i Dati dei clienti dell'utente sono trattati per suo conto da SumUp e questo trattamento sia soggetto al Regolamento in materia di protezione dei dati personali vigente, l'utente riconosce e accetta, ai fini della fornitura dei Servizi da parte di SumUp, di essere il titolare del trattamento di detti dati personali e, utilizzando i Servizi di SumUp, di aver incaricato SumUp di trattare i Dati dei clienti per suo conto, conformemente al presente DPA.
4.2. L'utente può revocare in qualsiasi momento l'accettazione del presente DPA, ma in questo modo SumUp non sarà più in grado di fornirgli il Servizio.
4.3. Nella sua qualità di responsabile del trattamento dei dati personali, SumUp:
a. tratta i Dati dei clienti dell'utente solo per gli scopi specificati nel DPA e in conformità con la legge vigente e con il DPA;
b. può operare e trattare i Dati dei clienti dell'utente soltanto in conformità con le istruzioni documentate di quest'ultimo, salvo che non ne sia esonerato per legge, per provvedimento giudiziario o per disposizione legislativa. Le istruzioni dell'utente, al momento della stipulazione del presente DPA, prevedono che SumUp possa trattare i Dati dei clienti dell'utente soltanto allo scopo di fornire i Servizi così come descritti nel DPA e nei Termini aggiuntivi. Fatti salvi i termini del presente DPA, e con l'accordo reciproco di entrambe le parti, l'utente può emettere ulteriori istruzioni scritte, coerenti con le condizioni del presente DPA;
c. garantisce che i soggetti autorizzati al trattamento dei dati personali si siano assunti l'obbligo di riservatezza o siano legalmente tenuti a mantenere gli obblighi di riservatezza;
d. garantisce che l'accesso ai dati personali sia concesso in base alla necessità di conoscere le prestazioni dei Servizi ai sensi dei Termini aggiuntivi;
e. ha la responsabilità di garantire che i dipendenti/subappaltatori e/o eventuali agenti che trattano i Dati dei clienti dell'utente possano trattare i dati personali soltanto in conformità con le istruzioni dell'utente;
f. informerà immediatamente l'utente, nel caso in cui riteniamo che alcune sue istruzioni siano in contrasto con il Regolamento in materia di protezione dei dati personali vigente;
g. si obbliga, nell'ambito del presente DPA, a proteggere i Dati dei clienti dell'utente da qualsiasi distruzione, alterazione, perdita o da qualsiasi altro trattamento non autorizzato. A tal fine, SumUp adotta adeguate misure di sicurezza, in conformità con la legge vigente. È possibile che SumUp possa introdurre alcune misure alternative adeguate. Non è possibile ridurre il livello delle misure di sicurezza definite quando si introducono tali alternative. SumUp assisterà l'utente con idonee misure tecniche e organizzative secondo necessità e, in considerazione della natura del trattamento e della categoria di informazioni a sua disposizione, farà in modo di garantire il rispetto degli obblighi dell'utente, ai sensi del Regolamento in materia di protezione dei dati personali vigente.
h. su ragionevole richiesta dell'utente, rende disponibili le certificazioni che dimostrano la conformità di SumUp con gli obblighi previsti dal presente DPA e dal Regolamento in materia di protezione dei dati vigente; e/o rende disponibili le informazioni necessarie a dimostrare la conformità con gli obblighi previsti dal presente DPA e dal Regolamento in materia di protezione dei dati personali vigente. Le informazioni che SumUp può rendere disponibili, tenendo conto della natura dei Servizi e delle informazioni a sua disposizione, devono limitarsi esclusivamente a quelle che sono necessarie, come definito da SumUp, ad assistere l'utente nell'adempimento dei propri obblighi, in particolare con riferimento agli obblighi in materia di valutazioni d'impatto sulla protezione dei dati, consulenza preventiva e garanzia della sicurezza dei dati personali;
i. assisterà l'utente, entro tempi ragionevoli, con misure adeguate e, per quanto ragionevolmente possibile (considerata la natura del trattamento), a rispettare i diritti dell'interessato e tutti gli altri obblighi pertinenti, ai sensi del Regolamento in materia di protezione dei dati vigente.
j. fornirà all'utente un avviso, se consentito dalla legge vigente, dopo aver ricevuto una richiesta o un reclamo da parte di un individuo i cui dati personali sono trattati ai sensi del DPA o una richiesta vincolante da parte di un governo, delle forze dell'ordine, di un organismo di regolamentazione o di un altro ente, in relazione ai Dati dei clienti dell'utente che trattiamo per suo conto e seguendo le sue istruzioni.
4.4. Nella sua qualità di titolare del trattamento dei dati, l'utente:
a. potrà raccogliere, utilizzare e trattare i dati personali in conformità con qualsiasi Regolamento in materia di protezione dei dati personali vigente;
b. ha la responsabilità esclusiva dell'accuratezza, della qualità e della liceità del trattamento dei Dati dei propri clienti, nonché dei mezzi con cui sono stati ottenuti;
c. assicura il livello adeguato di sicurezza durante l'utilizzo dei Servizi, tenendo in considerazione eventuali rischi in relazione ai Dati dei propri clienti;
d. prende atto che qualsiasi archiviazione e/o trasferimento dei Dati dei propri clienti verso terze parti o piattaforme, diverse da SumUp, avviene a suo esclusivo rischio e responsabilità;
e. si assicura che le istruzioni relative al trattamento dei dati personali, riguardanti i Dati dei propri clienti, siano conformi a tutte le leggi, i regolamenti e le norme vigenti. Si assicurerà inoltre che il trattamento dei Dati dei clienti, in conformità con le proprie istruzioni, non causi o provochi, da parte nostra o sua, alcuna violazione di qualsiasi legge, norma o regolamento;
f. fornirà ai clienti le necessarie informazioni sulle modalità e la finalità del trattamento dei loro dati personali ai sensi dei requisiti del Regolamento in materia di protezione dei dati vigente.
5. Notifica di violazioni
La parte informerà immediatamente l'altra parte (ma non più tardi di 48 ore) una volta a conoscenza di una violazione dei dati personali in relazione ai dati personali trattati ai sensi del presente DPA. SumUp assisterà l'utente nell'adempiere ai suoi obblighi di notifica di violazione dei dati, gli comunicherà informazioni su tale violazione, per quanto sia ragionevolmente possibile divulgare, tenendo conto della natura dei Servizi, delle informazioni a nostra disposizione e di qualsiasi limitazione alla divulgazione delle informazioni, quale ad esempio la riservatezza. Nonostante quanto sopra, gli obblighi di SumUp nell'ambito di questa sezione non si applicano agli incidenti causati dall'utente, da attività sul suo account e/o attività di servizi di terze parti. SumUp si obbliga a collaborare e supportare l'utente con riguardo alle indagini, alla massima riduzione delle conseguenze negative e alla rettifica della violazione dei dati personali, nonché alla prevenzione di simili violazioni future di dati. La notifica di SumUp di una violazione dei dati personali non sarà considerata come un riconoscimento da parte di SumUp di qualsiasi colpa o responsabilità in relazione a tale incidente. In caso di violazione dei dati personali, l'utente sarà tenuto ad adottare le misure necessarie ai sensi delle leggi vigenti in relazione ai Dati dei propri clienti.
6. Sub-responsabili del trattamento
Con il presente, l'utente concede a SumUp l'autorizzazione generale ad avvalersi di sub-responsabili al fine di fornire i Servizi senza ottenere ulteriori autorizzazioni specifiche scritte. SumUp darà esecuzione a un accordo con ciascun sub-responsabile, garantendone la conformità con termini che assicurino almeno lo stesso livello di protezione e sicurezza di quelli stabiliti nel presente DPA. Se l'utente si oppone a un sub-responsabile del trattamento e l'obiezione è ragionevole e correlata alle preoccupazioni relative alla protezione dei dati, profonderemo ogni ragionevole impegno commerciale per evitare il trattamento dei Dati dei suoi clienti da parte di tale sub-responsabile. Se non effettueremo tali modifiche suggerite entro un periodo di tempo ragionevole, informeremo l'utente e, se quest'ultimo continua a opporsi al nostro utilizzo di tale sub-responsabile, potrà cancellare o chiudere il suo account o, se possibile, le parti dei Servizi che comportano l'uso di tale sub-responsabile.
7. Trasferimento di dati personali
Il trattamento dei Dati dei clienti dell'utente avverrà all'interno del territorio dello Spazio economico europeo ("SEE") e del Regno Unito. Qualsiasi trasferimento e trattamento in un paese terzo al di fuori dell'UE/SEE e del Regno Unito che non garantisca un livello adeguato di protezione, l'adottato regolamento di adeguatezza del Regno Unito, secondo il Regolamento in materia di protezione dei dati personale vigente, deve essere effettuato in conformità con le Clausole contrattuali standard o altri meccanismi appropriati che garantiscano un livello adeguato di sicurezza dei dati personali secondo i requisiti del Regolamento in materia di protezione dei dati personali vigente.
8. Verifiche
L'utente ha il diritto di avviare una volta all'anno una revisione degli obblighi di SumUp ai sensi del presente DPA. Entrambe le parti decidono insieme se una terza parte debba condurre la verifica. Tuttavia, l'utente potrà autorizzarci a far eseguire la revisione di sicurezza da un soggetto esterno neutro scelto da noi. Se l'ambito proposto della verifica segue un rapporto di certificazione ISO o analogo condotto da un revisore qualificato di terze parti negli ultimi dodici mesi e SumUp conferma che non sono state apportate modifiche sostanziali alle misure in corso di revisione, questo soddisferà tutte le richieste ricevute entro tale periodo di tempo. Le verifiche non devono interferire irragionevolmente con la consueta attività di business di SumUp. Saranno a carico dell'utente tutti i costi associati alla sua richiesta di revisione della verifica. Una volta all'anno, previa richiesta scritta da parte del Titolare del trattamento e nella misura richiesta dal Regolamento in materia di protezione dei dati personali vigente, SumUp acconsente a collaborare e a fornire al Titolare del trattamento entro un periodo ragionevole quanto indicato di seguito:
(a) un riepilogo dei resoconti di verifica che dimostrino l'efficacia delle misure tecniche e organizzative adottate da SumUp contro il trattamento non autorizzato o illecito dei dati personali e contro l'accesso non autorizzato, la perdita o la distruzione accidentali o il danneggiamento dei dati personali e
(b) conferma che la verifica non ha evidenziato sostanziali vulnerabilità dei sistemi di SumUp o, nel caso in cui una vulnerabilità di questo genere fosse stata rilevata, che SumUp vi abbia completamente posto rimedio.
Se le misure di cui sopra non sono sufficienti a confermare la conformità con il Regolamento in materia di protezione dei dati personali vigente o rivelano alcuni problemi sostanziali, il Titolare del trattamento potrà richiedere, con un preavviso scritto minimo di almeno trenta (30) giorni, una verifica del programma di conformità per la protezione dei dati di SumUp da parte di revisori esterni. Le parti sceglieranno di comune accordo i revisori e si accorderanno su ambito, tempistiche e durata della verifica. Il Titolare del trattamento adotterà ragionevoli provvedimenti al fine di limitare impatti negativi su SumUp derivanti da detta verifica e sarà responsabile di tutti i costi connessi alla sua richiesta di revisione e derivanti da eventuali impatti negativi. Il Titolare del trattamento metterà a disposizione di SumUp gli esiti della verifica del suo programma di conformità per la protezione dei dati.
9. Responsabilità
La responsabilità di ciascuna parte, nell'ambito del presente DPA, è soggetta alle esclusioni e alle limitazioni di responsabilità stabilite nei Termini e/o nei Termini aggiuntivi. L'utente accetta di indennizzare e tenere indenne e difendere SumUp a proprie spese da tutti i costi, reclami, danni o spese sostenuti da SumUp o per i quali SumUp potrebbe diventare responsabile a causa di qualsiasi inadempienza dell'utente o dei suoi dipendenti o agenti nell'adempimento degli obblighi previsti dal presente DPA. Fatta salva qualsivoglia disposizione contraria riportata nei Termini e nei Termini Aggiuntivi, incluso il presente DPA, SumUp e le sue Affiliate non saranno responsabili di reclami presentati da un soggetto interessato derivante da o correlato ad atti o omissioni di SumUp o di una delle sue Affiliate, nella misura in cui SumUp agiva in conformità con le istruzioni dell'utente.
10. Risoluzione
Il presente DPA rimarrà in vigore per tutto il tempo in cui saranno utilizzati i Servizi di SumUp. Al termine dell'utilizzo dei Servizi, e salvo che SumUp non sia tenuto a conservare i Dati dei clienti dell'utente nel rispetto dei propri Termini e/o dei Termini aggiuntivi, di qualsiasi accordo o legge applicabile, SumUp dovrà, anche su richiesta scritta dell'utente, eliminare i Dati dei clienti dell'utente non appena sia ragionevolmente fattibile, in conformità con i Termini di SumUp e le leggi vigenti.
11. Dati aggregati
L'utente prende atto e accetta che SumUp possa trattare dati aggregati di qualsiasi tipo relativi all'utente e ai suoi Clienti, compresi i dati di utilizzo dei Servizi. Il Cliente prende atto, accetta e acconsente che SumUp possa utilizzare tali dati aggregati (senza che tale elenco sia esaustivo) per analizzare, migliorare e gestire i propri Servizi e, in generale, per qualsiasi attività commerciale, per tutta la durata del DPA ma anche dopo la sua cessazione, per contribuire ad analisi di mercato, produrre statistiche, migliorare i propri Prodotti e Servizi e la loro sicurezza, seguendo le buone prassi industriali e/o le raccomandazioni.
12. Varie
12.1. In caso di conflitto tra il presente DPA e uno dei Termini e/o dei Termini aggiuntivi di SumUp, prevarranno le disposizioni del presente DPA.
12.2. L'utente si accollerà eventuali costi e spese derivanti dall'adesione, da parte di SumUp, alle istruzioni o alle richieste dell'utente nell'ambito dei Termini aggiuntivi (compreso il presente DPA) che non rientrino nelle funzionalità standard messe generalmente a disposizione da SumUp tramite i Servizi.
12.3. SumUp avrà il diritto di emendare e/o modificare i termini del presente DPA, secondo quanto periodicamente previsto. Le modifiche al DPA saranno comunicate in modo adeguato e apportate da SumUp in un allegato distinto o con altri mezzi visibili, compresa la pubblicazione di una versione aggiornata del DPA sul nostro sito web. La voce "Ultima modifica" in cima al presente DPA indica la data di ultima revisione del presente DPA.
12.4. Eventuali domande riguardanti il presente DPA o altre richieste relative al trattamento dei dati personali devono essere indirizzate alla nostra attenzione tramite dpo@sumup.com. SumUp tenterà di risolvere eventuali reclami riguardanti l'utilizzo dei Dati dei clienti dell'utente in conformità con il presente DPA, con i Termini e le politiche interne di SumUp.
12.5. Qualora una delle disposizioni del DPA fosse ritenuta non valida, ciò non pregiudica le restanti disposizioni. Le parti sostituiranno le disposizioni non valide con una disposizione legale che rifletta lo scopo della disposizione non valida.
12.6. Il presente DPA sarà disciplinato da e interpretato ai sensi delle leggi che disciplinano i Termini aggiuntivi applicabili.
Appendice n. 1
1. Oggetto
L'oggetto è il trattamento dei dati nell'ambito del presente DPA.
2. Finalità e natura del trattamento
La finalità del trattamento dei dati nell'ambito del presente DPA è la fornitura e il miglioramento dei Servizi avviati dall'utente.
3. Durata
Come stabilito tra noi e l'utente, la durata del trattamento dei dati nell'ambito del presente DPA è determinata dall'utente ed è relativa al periodo scelto per l'utilizzo dei nostri Servizi.
4. Categorie di interessati
I Clienti dell'utente, i potenziali clienti dei suoi Clienti, il personale (i dipendenti, i contabili o altre terze parti) e/o qualsiasi altro soggetto i cui dati personali sono inclusi nei Contenuti. Per Buono Acquisto, gli acquirenti o i destinatari di buoni acquisto o altre persone i cui dati personali sono trattati nell'ambito dei Servizi di Buono Acquisto ai sensi dei Termini aggiuntivi e dei Termini di SumUp.
5. Tipo di Dati personali
I Dati dei clienti dell'utente sono trattati nell'ambito dei Servizi ai sensi dei Termini e delle istruzioni riportate. Questi dati possono essere diversi in base ai Servizi utilizzati e possono includere, a titolo indicativo ma non esaustivo:
Negozio Online
I nomi, indirizzo e-mail, numero di telefono cellulare/fisso, indirizzo fisico, dettagli dl pagamento, cronologia delle transazioni/degli ordini, indirizzo IP, informazioni raccolte da cookie o da tecnologie analoghe, preferenze di marketing dei Clienti dell'utente.
Buoni Acquisto
Nomi e indirizzi e-mail del cliente che acquista e che riceve il buono acquisto, importo del buono acquisto, messaggio sul buono acquisto.
Fatturazione e contabilità
Nomi, indirizzo fisico, numero di telefono cellulare/fisso, indirizzo e-mail, numero del conto e/o coordinate bancarie, oggetto della fattura, dati relativi alla transazione/all'ordine, stato delle fatture. Per servizi di factoring tramite i nostri partner, dati relativi all'offerta di factoring, al pagamento delle fatture, alle controversie.
Per cassa e Servizi associati
Nomi, indirizzo fisico, numero di telefono cellulare/fisso, indirizzo e-mail, dati relativi alla transazione/all'ordine, commenti, per i dipendenti dell'utente: numero di matricola, credenziali di accesso, indirizzo IP, ruolo, e-mail, ordini, lingua preferita.
Per informazioni su ricevute e ordini quando si usano Servizi di ordinazione o Kiosk, informazioni su ordini, numero di cellulare/indirizzo e-mail, note degli ordini.
SumUp Connect (Programma fedeltà)
Se l'utente invia comunicazioni al Clienti tramite Servizi SumUp Connect (Programma fedeltà), comunicazioni, e-mail, numero di cellulare, preferenze di marketing.
SumUp Bookings
Nomi dei clienti, numero di cellulare/telefono, indirizzo/i e-mail, dati relativi a transazioni/ordini/appuntamenti, dati di presenza, rimborsi e depositi, indirizzo fisico (nel caso in cui il servizio venga fornito all'indirizzo indicato dal Cliente dell'utente), commenti, preferenze di marketing. Appuntamenti, programmi, numeri di telefono, recensioni del personale.
Altro (Pagamenti online, Pagamenti via link/QR, Checkout SumUp)
Nel caso in cui l'utente, avvalendosi dei nostri Servizi di pagamento online correlati, decida di raccogliere, oltre ai dati strettamente necessari per l'elaborazione del pagamento, ulteriori dati sui Clienti dell'utente (dati relativi alle vendite come l'ordine dei Clienti, i dettagli di contatto o la memorizzazione dei dati di pagamento dei Clienti per acquisti futuri), indirizzo/i e-mail, nomi, numeri di cellulare/telefono, codice fiscale (se richiesto dalla legge), dati relativi alla transazione/ordine, note/commenti e dati personalizzabili relativi al pagamento/ordine, indirizzo di spedizione, indirizzo e dettagli di fatturazione, dati della carta di pagamento archiviati per acquisti futuri (se il Cliente acconsente), preferenze di marketing (se tecnicamente fornite come Servizio).
Le categorie speciali di dati personali, compresi quelli relativi ai reati e alle condanne penali, non sono ritenute passibili di trattamento nell'ambito dei Servizi, pertanto sono escluse dai termini del presente DPA. Qualora tali dati fossero trattati durante l'utilizzo dei nostri Servizi, ciò avverrebbe all'insaputa di SumUp e l'utente è tenuto a eliminare dette informazioni immediatamente dopo aver identificato tale trattamento. I nostri Servizi non sono destinati all'utilizzo da parte di persone di età inferiore a 18 anni.