Databehandleravtale
Effektiv fra 16/01/2023
Endret den 16/01/2023
Denne databehandleravtalen («DBA») er en del av og underlagt bestemmelsene i SumUps vilkår spesifikke for tjenesten(e) som du kan bruke («ekstravilkårene») og alle andre gjeldende vilkår fra SumUp (her samlet «vilkårene»), inkludert, men ikke begrenset til SumUps generelle vilkår inngått og avtalt av deg og SumUps forhandler («du», «behandlingsansvarlig») og SumUps unverleverandør som angitt i gjeldende ekstravilkår («SumUp», «vi», «databehandler»), en del av selskapsgruppen SumUp S.A.R.L. – SumUp-gruppen.
For å kunne levere tjenestene til deg i henhold til ekstravilkårene, behandler SumUp opplysningene til dine ansatte, kunder og/eller besøkende på nettstedet eller tjenestene dine («dine kunder», «kunder», «sluttkunder»). Behandlingen av slike opplysninger av SumUp betegnes heretter som «behandling» (slik dette begrepet er definert i gjeldende databeskyttelseslovgivning). Følgende databehandleravtale styrer vilkårene for slik behandling av SumUp.
Hver part godtar og forsikrer at vilkårene i denne databehandleravtalen også fullt ut skal gjelde deres tilknyttede selskaper som måtte være involvert i behandlingen av personopplysninger for tjenestene som er definert i ekstravilkårene. Spesifikt vil SumUp sørge for at alle underbehandlere opererer innenfor de samme vilkårene som i denne databehandleravtalen når dine kunders opplysninger behandles.
1. Definisjoner
1.1. «Gjeldende databeskyttelseslovgivning» betyr alle lover relatert til behandling av personopplysninger i henhold til ekstravilkårene, vilkårene, og denne databehandleravtalen, inkludert, uten begrensning Data Protection Act av 2018, EUs personvernforordning (EU General Data Protection Regulation 2016/679) (heretter kalt «GDPR», «forordningen»), Europaparlaments- og rådsdirektiv 2002/58/EF, som implementert i hver rettskrets, og alle tillegg, eller andre alle gjeldende eller erstattende regionale eller nasjonale lover, bestemmelser og regulatoriske veiledninger angående personvern.
1.2. Begrepene «behandlingsansvarlig», «den registrerte», «personopplysninger», «behandling», og «databehandler» har betydningene gitt til de begrepene i gjeldende databeskyttelseslovgivning.
1.3. «Innhold» viser til innholdet ditt og innhold som leveres av SumUp til kundene dine, inkludert, uten begrensninger, tekst, fotografier, bilder, lyd, video, kode, informasjon fra informasjonskapsler eller lignende sporingsmekanismer, og alt annet materiale.
1.4. «Dine data» og «Dine kunders data» betyr personopplysninger i innholdet som behandlet av SumUp, på dine vegne, som del av tjenestene og/eller dine ansatte, revisorer og/eller kunders data som behandlet på dine vegne for å kunne tilby tjenestene. Dine kunders opplysninger inkluderer ikke personopplysninger der slike opplysninger styres av SumUp i henhold til denne databehandleravtalen og SumUps retningslinjer for personvern.
1.5. Alle definisjoner som brukes i databehandleravtalen, men som ikke har en eksplisitt definisjon i denne delen, har samme definisjon som definert i ekstravilkårene. Hvis det ikke er en spesifikk definisjon i ekstravilkårene eller vilkårene, vil betydningen av dem være den som gis i gjeldende databeskyttelseslovgivning.
2. Anvendelighet. Denne databehandleravtalen gjelder bare for dine kunders opplysninger som behandlet av SumUp på dine vegne, med det formål å tilby tjenestene. Du samtykker i at SumUp ikke er ansvarlig for personopplysninger som du har valgt å behandle via tredjepartstjenester eller utenfor tjenestene, inkludert systemer tilhørende tredjeparters skytjenester, offline eller lagring på stedet.
3. Databehandlingsopplysninger. SumUp vil behandle personopplysninger i henhold til Vedlegg 1 her.
4. Rettigheter og forpliktelser
4.1. I den grad dine kunders opplysninger behandles av SumUp på dine vegne og denne behandlingen er underlagt gjeldende databeskyttelseslovgivning, bekrefter og godtar du at du er behandlingsansvarlig av disse personopplysningene for formålene med bestemmelsene for tjenestene som leveres av SumUp, og at du, ved å bruke SumUps tjenester, har instruert SumUp til å behandle dine kunders opplysninger på dine vegne og i samsvar med denne databehandleravtalen.
4.2. Du kan trekke tilbake ditt samtykke til denne DBA til enhver tid, men ved å gjøre dette, vil ikke SumUp lenger kunne levere tjenesten til deg.
4.3. SumUp skal, i sin rolle som databehandler:
a. behandle dine kunders opplysninger til formålene som er spesifisert i databehandleravtalen og i henhold til gjeldende lov og databehandleravtalen.
b. bare handle og behandle dine kunders personopplysninger i henhold til dine dokumenterte instruksjoner, med mindre det er påkrevd av loven, rettsordre eller rettsakt å handle uten slike instruksjoner. Dine instruksjoner, når denne databehandleravtalen inngås, innebærer at SumUp bare kan behandle dine kunders opplysninger for formålet med å levere tjenestene som beskrevet i databehandleravtalen og ekstravilkårene. Du kan utlevere ytterligere skriftlige instruksjoner som samsvarer med vilkårene i denne databehandleravtalen underlagt vilkårene i denne databehandleravtalen og etter gjensidig avtale mellom begge parter.
c. garantere at personene som har autorisasjon til å behandle personopplysninger har forpliktet seg til å overholde taushetsplikt og er juridisk forpliktet til å overholde taushetsplikt.
d. garantere at tilgangen til personopplysninger bare er gitt der det er nødvendig med hensyn til ytelsen av tjenestene i henhold til ekstravilkårene.
e. være ansvarlig for å sikre at ansatte/underleverandører og/eller alle agenter som behandler dine kunders opplysninger, bare behandler personopplysninger i henhold til instruksjonene dine.
f. informere deg umiddelbart hvis vi mener at noen av instruksjonene dine er i strid med gjeldende personvernlovgivning.
g. være forpliktet til å beskytte dine kunders opplysninger mot destruering, endring, tap eller annen uautorisert behandling i henhold til denne databehandleravtalen. For dette formålet iverksetter SumUp rimelige sikkerhetstiltak i henhold til gjeldende lov. Det er mulig at SumUp kan ta i bruk alternative behørige tiltak. Det er ikke mulig å redusere nivået av definerte sikkerhetstiltak når slike alternativer tas i bruk. SumUp vil hjelpe deg med rimelige tekniske og organisatoriske tiltak som påkrevd, og vil, med hensyn til behandlingens natur og kategorien av informasjon som er tilgjengelig for SumUp, hjelpe til med å sikre samsvar med forpliktelsene dine i henhold til gjeldende personvernlovgivning.
h. etter en fornuftig forespørsel fra deg gjøre sertifiseringer tilgjengelige, som demonstrerer SumUps samsvar med forpliktelser i henhold til denne databehandleravtalen og gjeldende personvernlovgivning, og/eller gjøre informasjon tilgjengelige for å demonstrere samsvar med forpliktelser i henhold til denne databehandleravtalen og gjeldende personvernlovgivning. Informasjonen som skal gjøres tilgjengelig av SumUp er begrenset til kun nødvendig informasjon, som definert av SumUp, med hensyn til tjenestenes natur og informasjonen som er tilgjengelig for SumUp, for å hjelpe deg med å overholde dine forpliktelser, spesielt med hensyn til forpliktelser hva gjelder personvernkonsekvenser, forhåndsdrøftinger og sikring av personopplysninger).
i. innenfor rimelige tidsrammer, med rimelige tiltak og i den grad det er mulig (med hensyn til behandlingens natur), hjelpe deg med å overholde de registrertes rettigheter og alle andre relevante forpliktelser i henhold til gjeldende databeskyttelseslovgivning.
j. vil varsle deg, der det er tillatt av gjeldende lov, ved mottak av en forespørsel eller klage fra en enkeltperson hvis personopplysninger behandles i henhold til databehandleravtalen eller et bindende krav fra statlige eller rettshåndhevende myndigheter, tilsynsorgan eller annet organ, med hensyn til dine kunders opplysninger som vi behandler på dine vegne og i henhold til dine instruksjoner.
4.4. Du skal, i rollen som personlig behandlingsansvarlig:
a. samle inn, bruke og behandle personopplysninger i innholdet i samsvar med enhver og all gjeldende personvernlovgivning.
b. ha eneansvar for nøyaktigheten, kvaliteten og den lovmessige behandlingen av dine kunders opplysninger og metodene for hvordan de samles inn.
c. sikre et rimelig sikkerhetsnivå når tjenestene brukes, og vurdere eventuelle risikoer i forbindelse med dine kunders opplysninger.
d. bekrefte at du alene påtar deg risikoen og er ansvarlig for oppbevaring og/eller overføring av deg av dine kunders opplysninger til tredjeparter eller plattformer annet enn SumUp.
e. sikre at dine instruksjoner i forbindelse med behandling av personopplysninger samsvarer med alle lover, forskrifter og regler som gjelder i forhold til dine kunders opplysninger. Du skal også påse at behandlingen av dine kunders opplysninger i henhold til instruksjonene dine ikke forårsaker eller resulterer i at vi eller du bryter lover, regler eller forskrifter.
f. gi kundene dine den nødvendige informasjonen om hvordan og hvorfor opplysningene deres behandles i henhold til kravene til gjeldende databeskyttelseslovgivning.
5. Varsler om brudd. Parten skal umiddelbart (og ikke senere enn 48 timer) informere den andre parten etter at vedkommende oppdager brudd på personvern tilknyttet personopplysninger som behandles i forbindelse med denne databehandleravtalen. SumUp vil hjelpe deg med å overholde dine varslingsforpliktelser om databrudd, levere slik informasjon til deg om brudd som vi rimelig kan utlevere til deg, med hensyn til våre tjenesters natur, informasjonen som er tilgjengelig for oss og eventuelle begrensninger for utlevering av denne informasjonen, deriblant krav til taushetsplikt. Til tross for det foregående, gjelder ikke SumUps forpliktelser i denne delen for hendelser som forårsakes av deg, av aktiviteter på kontoen din og/eller tredjepartstjenester. SumUp er forpliktet til å samarbeide og støtte deg i forbindelse med etterforskningen, reduksjonen av negative konsekvenser og retting av personvernbrudd, samt forebygging av lignende brudd i fremtiden. SumUps varsel om personvernbrudd vil ikke anses som en bekreftelse av SumUp når det gjelder feil eller ansvar i forbindelse med en slik hendelse. Ved personvernbrudd er du forpliktet til å treffe de nødvendige tiltakene i henhold til gjeldende lov i forbindelse med dine kunders opplysninger.
6. Underbehandlere. Du gir herved SumUp generell autorisasjon til å bruke underbehandlere for å levere tjenestene uten ytterligere skriftlig og spesifikk autorisasjon. SumUp vil inngå en avtale med hver for å sikre disse underleverandørs samsvar med vilkår som sikrer minst det samme beskyttelsesnivået som denne databehandleravtalen. Hvis du protesterer mot en underleverandør og denne protesten er rimelig og tilknyttet personvernbekymringer, vil vi bruke kommersielt rimelige tiltak for at du skal få tilgang til måter å unngå behandlingen av dine kunders opplysninger av den berørte underleverandøren. Hvis vi ikke kan utføre slike foreslåtte endringer innenfor en rimelig tidsperiode, vil vi varsle deg, og hvis du fremdeles protesterer mot bruken vår av denne underleverandøren, vil du kunne avslutte kontoen din eller, der det er mulig, delene av tjenestene som involverer bruken av denne underleverandøren.
7. Overføring av personopplysninger. Behandlingen av dine kunders opplysninger skal skje innenfor grensene til det europeiske økonomiske samarbeidsområde (EØS) og Storbritannia og Nord-Irland. Enhver overføring til og behandling i tredjeland utenfor EU/EØS og Storbritannia og Nord-Irland som ikke garanterer et rimelig beskyttelsesnivå – tilpasset Storbritannias tilstrekkelighetsbestemmelser, i henhold til gjeldende databeskyttelseslovgivning, skal utføres i henhold til standard kontraktsvilkår eller annen egnet mekanisme som garanterer et rimelig personvernnivå i henhold til kravene i gjeldende lovgivning for databeskyttelse.
8. Kontroller. Du har rett til å starte en gjennomgang av SumUps forpliktelser i henhold til denne databehandleravtalen én gang per år. Partene avgjør sammen om en tredjepart skal utføre kontrollen. Men du kan tillate at vi utfører sikkerhetsvurderingen via en nøytral tredjepart valgt av oss. Hvis kontrollen foreslåtte omfang følger en sertifiseringsrapport som ISO eller lignende, som utføres av en kvalifisert tredjeparts kontrollør innen de foregående tolv månedene og SumUp bekrefter at ingen vesentlige endringer ble gjort i tiltakene som vurderes, vil dette være tilstrekkelig for forespørsler som mottas i det nevnte tidsrommet. Kontroller kan ikke i urimelig grad påvirke SumUps virksomhet som uvanlige aktiviteter. Du er ansvarlig for alle kostnader som måtte oppstå i forbindelse med kontrollforespørselen din. En gang i året, etter skriftlig forhåndsanmodning fra den behandlingsansvarlige og i den utstrekning det er påkrevd av gjeldende databeskyttelseslovgivning, samtykker SumUp i å samarbeide og innen rimelig tid levere følgende til den behandlingsansvarlige:
(a) en oppsummering av revisjonsrapporter som viser effektiviteten av tekniske og organisatoriske tiltak gjort av SumUp mot uautorisert eller urettmessig behandling av personopplysninger og mot uautorisert tilgang til, utilsiktet tap eller ødeleggelse av, eller skade på, personopplysninger; og
(b) bekreftelse av at revisjonen ikke avslørte noen vesentlig sårbarhet i SumUps systemer, eller i hvilken grad en slik sårbarhet ble oppdaget, eller at SumUp fullstendig utbedret denne sårbarheten.
Hvis ovenstående tiltak er utilstrekkelig for å bekrefte samsvar med gjeldende databeskyttelseslovgivning eller avsløre vesentlige problemer, kan databehandleren forespørre, med minst tretti (30) dagers forhåndsvarsel til SumUp, en revisjon av SumUps program for overholdelse av databeskyttelse av eksterne, uavhengige revisorer. De to partene skal i fellesskap velge revisorene og vil gjensidig samtykke om omfang, tidsramme og varighet til revisjonen. Den behandlingsansvarlige skal ta alle rimelige tiltak for å begrense eventuelle uønskede konsekvenser av denne til SumUp og er ansvarlig for alle kostnader forbundet med forespørselen for revisjon i tillegg til kostnader som måtte påløpe fra uønskede konsekvenser, hvis noen. Den behandlingsansvarlige vil gjøre resultatet av revisjonen av SumUps program for overholdelse av databeskyttelse tilgjengelig for SumUp.
9. Ansvar. Ansvaret til hver part i denne databehandleravtalen er underlagt ansvarseksklusjonene og -begrensningene fremlagt i ekstravilkårene og/eller vilkårene. Du samtykker i å holde SumUp skadesløs og forsvare SumUp med egne midler mot alle kostnader, krav, skader eller utgifter som SumUp pådrar seg eller som SumUp kan bli ansvarlige for på grunn av at du eller dine ansatte eller agenter overholder kravene i denne databehandleravtalen.
10. Opphør. Denne databehandleravtalen skal gjelde så lenge du bruker SumUps tjenester. Når bruken av tjenestene opphører, og med mindre SumUp er pålagt å oppbevare dine kunders opplysninger i henhold til SumUps ekstravilkår og/eller vilkår, alle avtaler eller gjeldende lov, skal SumUp, etter skriftlig forespørsel fra deg, slette dine kunders personopplysninger så snart det er rimelig mulig og i henhold til SumUps vilkår og gjeldende lover.
11. Aggregerte anonyme data. Du samtykker i og aksepterer at SumUp kan behandle aggregerte data av enhver type relatert til deg og kundene dine, inkludert data om tjenestebruk. Med dette vil kunden forstå, akseptere og samtykke i at SumUp kan bruke disse aggregerte anonyme dataene (uten at denne listen er fullstendig) til å analysere, forbedre og drive tjenestene deres og, generelt, for enhver kommersielle aktivitet, gjennom hele varigheten av databehandleravtalen men også etter avslutning av den, til å bidra til markedsanalyser, å levere statistikk, forbedre produktene og tjenestene deres og disses sikkerhet, i henhold til god bransjepraksis og/eller anbefalinger.
12. Diverse
12.1. Ved konflikter mellom bestemmelsene i denne databehandleravtalen og enhver av SumUps ekstravilkår og/eller vilkår, vil bestemmelsene i denne databehandleravtalen gjelde.
12.2. Du er ansvarlig for alle kostnader og utgifter som følge av SumUps overholdelse av instruksjonene eller forespørslene dine i henhold til ekstravilkårene (inkludert denne databehandleravtalen) som faller utenfor standardfunksjonene som leveres av SumUp generelt via tjenestene.
12.3. SumUp har rett til å endre og/eller justere enhver av vilkårene i denne databehandleravtalen som kan være påkrevd fra tid til annen. Det vil behørig informeres om endringer i databehandleravtalen og gjøres av SumUp i et separat vedlegg eller på en annen synlig måte, inkludert å legge ut en oppdatert versjon av databehandleravtalen på nettiden vår. «Sist endret»-angivelsen øverst i denne databehandleravtalen viser når denne databehandleravtalen sist ble revidert.
12.4. Alle spørsmål vedrørende denne databehandleravtalen eller andre forespørsler om behandling av opplysninger må sendes til dpo@sumup.com. SumUp vil forsøke å løse klager i forbindelse med bruken av dine kunders opplysninger i henhold til denne databehandleravtalen, vilkårene og SumUps interne retningslinjer.
12.5. Hvis en av bestemmelsene i databehandleravtalen anses å være ugyldig, skal ikke dette påvirke de gjenværende bestemmelsene. Partene skal skifte ut ugyldige bestemmelser med en rettslig bestemmelse som reflekterer formålet til den ugyldige bestemmelsen.
12.6. Denne databehandleravtalen skal styres av og tolkes i henhold til loven som gjelder for de aktuelle ekstravilkårene.
Vedlegg nr. 1
1. Emneområde. Emneområdet er databehandlingen i denne databehandleravtalen.
2. Behandlingens formål og type. Formålet med denne databehandlingen i henhold til denne databehandleravtalen er levering og forbedring av tjenestene som opprettes av deg.
3. Varighet. Mellom deg og oss avgjøres varigheten av behandlingen av opplysninger i henhold til denne databehandleravtalen av deg og for den valgte perioden der du velger å bruke tjenestene våre.
4. Kategorier av registrerte. Dine kunder, dine kunders potensielle kunder, dine ansatte, revisorer (for fakturering og regnskap) og/eller alle andre enkeltpersoner hvis personopplysninger er inkludert i innholdet. For gavekort, kjøpere av gavekort og/eller mottakere av gavekort eller andre personer hvis personopplysninger behandles som en del av gavekorttjenestene i henhold til ekstravilkårene og SumUps vilkår.
5. Kategorier av personopplysninger. Dine kunders data behandles som en del av tjenestene i henhold til vilkårene og instruksjonene som er gitt. Disse dataene kan variere avhengig av tjenestene som brukes, og kan inkludere, uten å være begrenset til:
Nettbutikk
Dine kunders navn, e-postadresser, telefonnumre, fysisk(e) adresse(r), betalingsopplysninger, transaksjons-/bestillingshistorikk, IP-adresse, informasjon fra informasjonskapsler og lignende teknologier og markedsføringspreferanser.
Gavekort
Navn og e-postadresse til kunder som handler eller mottar gavekort, gavekortbeløp samt gavekortmelding.
Fakturering og regnskap
Navn, fysisk(e) adresse(r), telefonnummer, e-postadresse(r), kontonumre og/eller bankopplysninger, fakturaens emne, transaksjons-/bestillingssata, status til fakturaer.
For utsalgssteder
Navn, fysisk(e) adresse(r), telefonnummer, e-postadresse(r), transaksjons-/bestillingssata og kommentarer. For dine ansatte: ansattnummer, brukernavn og passord, IP-adresse, rolle, e-post, bestillinger og språkpreferanser.
Særlige kategorier av personopplysninger, deriblant opplysninger i tilknytning til domfellelser og lovbrudd, skal ikke behandles under tjenestene; de er ekskludert fra vilkårene i denne databehandleravtalen. Hvis slike opplysninger behandles mens tjenestene våre brukes, skjer dette uten SumUps kjennskap, og du bør slette slik informasjon umiddelbart etter at du har identifisert slik behandling.