Verwerkersovereenkomst

Van kracht vanaf 16-01-2023

Voor het laatst gewijzigd op 16-01-2023

Deze gegevensverwerkingsovereenkomst ('DPA') maakt deel uit van, en is onderhevig aan, de bepalingen van de specifieke voorwaarden van SumUp die van toepassing zijn op de dienst(en) die u mogelijk gebruikt (de 'aanvullende voorwaarden') en eventuele andere toepasselijke algemene voorwaarden van SumUp, met inbegrip van, maar niet beperkt tot, de algemene voorwaarden van SumUp (hierin gezamenlijk de 'voorwaarden' genoemd) die zijn gesloten en overeengekomen door en tussen u als verkoper via SumUp ('u', 'gegevensbeheerder') en de contracterende entiteit van SumUp, zoals aangegeven in de toepasselijke aanvullende voorwaarden ('SumUp', 'wij', 'gegevensverwerker') en onderdeel van de SumUp S.A.R.L.-bedrijfsgroep - SumUp Group.

Om u de diensten onder de aanvullende voorwaarden te leveren, verwerkt SumUp gegevens van uw medewerkers, klanten en/of bezoekers en van klanten van uw webwinkel en website en/of gebruikers van uw diensten ('uw klanten', 'klanten', 'eindklanten'). De verwerking van deze gegevens door SumUp wordt hierna 'verwerking' genoemd (zoals gedefinieerd in de toepasselijke wetgeving op het gebied van gegevensbescherming). In de volgende verwerkersovereenkomst worden de voorwaarden van een dergelijke verwerking door SumUp uiteengezet.

Elke partij stemt ermee in en zal ervoor zorgen dat de voorwaarden van deze verwerkersovereenkomst ook volledig van toepassing zijn op haar gelieerde ondernemingen die mogelijk betrokken zijn bij de verwerking van persoonsgegevens voor de diensten die in de aanvullende voorwaarden zijn gedefinieerd. SumUp zorgt er met name voor dat alle subverwerkers binnen dezelfde voorwaarden als deze Verwerkersovereenkomst werken bij het verwerken van Uw klantgegevens.

1. Definities

1.1. 'Toepasselijke wetgeving op het gebied van gegevensbescherming' verwijst naar alle wetten met betrekking tot de verwerking van persoonsgegevens op grond van de aanvullende voorwaarden, de voorwaarden en deze verwerkersovereenkomst, inclusief, maar niet beperkt tot, de Data Protection Act 2018, de Algemene Verordening Gegevensbescherming 2016/679 van de Europese Unie ('AVG', de 'regelgeving'), de Richtlijn 2002/58/EG betreffende privacy en elektronische communicatie, zoals geïmplementeerd in alle rechtsgebieden, inclusief alle amendementen, of alle andere toepasselijke of vervangende internationale, regionale of nationale wetten, regels en richtsnoeren op het gebied van gegevensbescherming.

1.2. De termen 'beheerder', 'betrokkene', 'persoonsgegevens', 'verwerking' en 'verwerker' hebben de betekenis die aan deze voorwaarden wordt gegeven in de toepasselijke wetgeving op het gebied van gegevensbescherming.

1.3. 'Inhoud' heeft de betekenis van uw inhoud en alle inhoud die door uw klanten aan SumUp is verstrekt, inclusief, maar niet beperkt tot tekst, foto's, afbeeldingen, audio, video, code, informatie van cookies of vergelijkbare volgtechnologieën en ander materiaal.

1.4. 'Uw gegevens' en 'Gegevens van uw klanten' verwijzen naar de persoonsgegevens in de inhoud die door SumUp namens u wordt verwerkt als onderdeel van de diensten en/of naar de gegevens van uw medewerkers, accountants en/of klanten die namens u worden verwerkt om de diensten te kunnen leveren. De gegevens van uw klanten bevatten geen persoonsgegevens indien deze gegevens door SumUp worden beheerd overeenkomstig deze verwerkersovereenkomst en het privacybeleid van SumUp. 

1.5. Alle definities die in deze verwerkersovereenkomst worden gebruikt, maar die geen expliciete definitie hebben in deze sectie, hebben de betekenis zoals gedefinieerd in de aanvullende voorwaarden. Als de aanvullende voorwaarden of de voorwaarden geen specifieke definitie bevatten, zal hun betekenis overeenkomen met de definitie in de toepasselijke wetgeving op het gebied van gegevensbescherming.

2. Toepasselijkheid. Deze verwerkersovereenkomst is alleen van toepassing met betrekking tot de gegevens van uw klanten die door SumUp namens u worden verwerkt om de diensten te leveren. U aanvaardt dat SumUp niet verantwoordelijk is voor persoonsgegevens die u laat verwerken via diensten van derden of buiten de diensten, inclusief de systemen van andere clouddiensten van derden, offline opslag en lokale opslag.

3. Details over gegevensverwerking. SumUp zal persoonsgegevens verwerken overeenkomstig bijlage 1 bij deze overeenkomst.

4. Rechten en verplichtingen

4.1. U erkent en aanvaardt, voor zover de gegevens van uw klanten namens u door SumUp worden verwerkt en deze verwerking onderhevig is aan de Algemene Verordening Gegevensbescherming, dat u voor de verlening van de diensten door SumUp de gegevensbeheerder bent van dergelijke persoonsgegevens. Door de diensten van SumUp te gebruiken, heeft u SumUp opdracht gegeven om de gegevens van uw klanten namens u te verwerken, overeenkomstig deze verwerkersovereenkomst.

4.2. U kunt de aanvaarding van deze verwerkersovereenkomst op elk moment intrekken, maar hierdoor kan SumUp u de diensten niet langer leveren.

4.3. SumUp in haar hoedanigheid van verwerker van persoonsgegevens:

a. Verwerkt de gegevens van uw klanten alleen voor de doeleinden die zijn gespecificeerd in de verwerkersovereenkomst en in overeenstemming met de toepasselijke wetgeving en de verwerkersovereenkomst;

b. Mag de gegevens van uw klanten alleen verwerken in overeenstemming met uw vastgelegde instructies, tenzij op grond van wetgeving, via een gerechtelijk bevel of via wetgevende maatregelen wordt vereist om zonder een dergelijke instructie te handelen. Uw geeft SumUp op het moment dat u deze verwerkersovereenkomst aangaat opdracht om de gegevens van uw klanten alleen te verwerken voor het leveren van de diensten zoals is beschreven in de verwerkersovereenkomst en de aanvullende voorwaarden. U mag, behoudens de voorwaarden van deze verwerkersovereenkomst en met wederzijdse instemming van beide partijen, aanvullende schriftelijke instructies verstrekken in overeenstemming met de voorwaarden van deze verwerkersovereenkomst;

c. Garandeert dat de personen die zijn gemachtigd om persoonsgegevens te verwerken een vertrouwelijkheidsverplichting zijn aangegaan of wettelijk zijn verplicht tot geheimhouding;

d. Garandeert dat de toegang tot de persoonsgegevens wordt verleend op basis van noodzakelijkheid met betrekking tot de uitvoering van de diensten onder de aanvullende voorwaarden;

e. Is ervoor verantwoordelijk dat medewerkers/onderaannemers en/of vertegenwoordigers die de gegevens van uw klanten verwerken de persoonsgegevens alleen verwerken overeenkomstig uw instructies;

f. Zal u onmiddellijk informeren wanneer wij van mening zijn dat sommige van uw instructies in strijd zijn met de toepasselijke wetgeving inzake gegevensbescherming;

g. Is verplicht om de gegevens van uw klanten onder deze verwerkersovereenkomst te beschermen tegen vernietiging, wijziging, verlies of andere ongeoorloofde verwerking. SumUp treft daartoe passende beveiligingsmaatregelen in overeenstemming met de toepasselijke wetgeving. Het is mogelijk dat SumUp een aantal alternatieve geschikte maatregelen introduceert. Het is niet mogelijk om het niveau van de gedefinieerde beveiligingsmaatregelen te verlagen wanneer dergelijke alternatieven worden geïntroduceerd. SumUp zal u bijstaan met passende technische en organisatorische maatregelen zoals vereist en zal u, afhankelijk van de aard van de behandeling en de categorie informatie waarover SumUp beschikt, helpen om ervoor te zorgen dat uw verplichtingen onder de toepasselijke wetgeving inzake gegevensbescherming worden nageleefd;

h. Zal op uw redelijke verzoek certificeringen beschikbaar stellen die aantonen dat SumUp voldoet aan zijn verplichtingen onder deze verwerkersovereenkomst en de toepasselijke wetgeving inzake gegevensbescherming, en/of informatie delen die nodig is om de naleving van verplichtingen onder deze verwerkersovereenkomst en toepasselijke wetgeving inzake gegevensbescherming aan te tonen. De informatie die door SumUp beschikbaar wordt gesteld, is beperkt tot uitsluitend noodzakelijke informatie, overeenkomstig de definitie van SumUp, rekening houdend met de aard van de diensten en de informatie waarover SumUp beschikt, om u te helpen te voldoen aan uw verplichtingen, met name met betrekking tot verplichtingen inzake effectbeoordelingen voor gegevensbescherming, voorafgaand overleg en het waarborgen van de beveiliging van persoonsgegevens;

i. Zal u binnen redelijke termijnen helpen door middel van passende maatregelen en, voor zover redelijkerwijs mogelijk (afhankelijk van de aard van de verwerking), om te voldoen aan de rechten van de betrokkene en alle andere relevante verplichtingen onder toepasselijke wetgeving op het gebied van gegevensbescherming;

j. Zal u, indien door toepasselijke wetgeving is toegestaan, informeren over een ontvangen verzoek of klacht van een persoon wiens persoonsgegevens onder de verwerkersovereenkomst worden verwerkt, of over een bindend verzoek van een overheid, wetshandhavingsinstantie, regelgevende instantie of andere instantie, met betrekking tot gegevens van uw klanten die wij namens u en op grond van uw instructies verwerken.

4.4. U in de hoedanigheid van verwerkingsverantwoordelijke:

a. Zal persoonsgegevens verzamelen, gebruiken en verwerken in overeenstemming met alle toepasselijke wetgeving inzake gegevensbescherming;

b. Bent als enige verantwoordelijk voor de nauwkeurigheid, kwaliteit en rechtmatige verwerking van de gegevens van uw klanten en de middelen waarmee deze zijn verkregen;

c. Waarborgt het juiste beveiligingsniveau bij het gebruik van de diensten, daarbij rekening houdend met eventuele risico's met betrekking tot de gegevens van uw klanten;

d. Erkent dat elke opslag en/of overdracht van de gegevens van uw klanten naar een externe partij of naar een externe platform, anders dan SumUp, voor uw eigen risico en verantwoordelijkheid komt;

e. Zorgt ervoor dat uw instructies met betrekking tot de verwerking van persoonsgegevens voldoen aan alle wetten, voorschriften en regels die van toepassing zijn met betrekking tot de gegevens van uw klanten. U zorgt er ook voor dat de verwerking van de gegevens van uw klanten volgens uw instructies geen oorzaak zal geven tot of zal leiden tot overtreding van wetten, regels of voorschriften door ons;

f. Voorziet uw klanten van de benodigde informatie over hoe en waarom hun gegevens worden verwerkt overeenkomstig de vereisten in toepasselijke wetgeving op het gebied van gegevensbescherming.

5. Meldingen van overtredingen. De partij zal de andere partij onmiddellijk (maar uiterlijk 48 uur) informeren nadat hij op de hoogte is gekomen van een inbreuk op persoonsgegevens met betrekking tot persoonsgegevens die op grond van deze verwerkersovereenkomst worden verwerkt. SumUp zal u bijstaan bij het voldoen aan uw meldingsverplichtingen, u voorzien van informatie over de overtreding die wij redelijkerwijs met u kunnen delen, rekening houdend met de aard van de diensten, de informatie die wij tot onze beschikking hebben en eventuele beperkingen op het openbaar maken van de informatie, zoals bijvoorbeeld vertrouwelijkheid. Ondanks het voorgaande zijn de verplichtingen van SumUp onder deze sectie niet van toepassing op incidenten die worden veroorzaakt door u, door enige activiteiten binnen uw account en/of door activiteiten door diensten van externe partijen. SumUp is verplicht om mee te werken en u te ondersteunen bij het onderzoek, om de negatieve gevolgen te minimaliseren en om de inbreuk met betrekking tot persoonsgegevens te corrigeren toekomstige soortgelijke overtredingen te voorkomen. De melding door SumUp van een inbreuk in verband met persoonsgegevens wordt niet beschouwd als een erkenning van enige fout of aansprakelijkheid met betrekking tot een dergelijk incident door SumUp. In het geval van een inbreuk in verband met persoonsgegevens, bent u verplicht om de maatregelen te nemen die onder de toepasselijke wetgeving zijn vereist in verband met de gegevens van uw klanten.

6. Subverwerkers. U verleent SumUp hierbij algemene toestemming om subverwerkers in te schakelen om de diensten te leveren zonder voorafgaande schriftelijke, specifieke toestemming. SumUp zal met elke subverwerker een overeenkomst sluiten om ervoor te zorgen dat deze subverwerker voorwaarden hanteert die ten minste hetzelfde niveau van bescherming en beveiliging garanderen als die in deze verwerkersovereenkomst uiteen zijn gezet. Als u bezwaar maakt tegen een subverwerker en uw bezwaar redelijk is en verband houdt met gegevensbescherming, zullen we ons commercieel redelijke inspanningen getroosten om u een middel ter beschikking te stellen om de verwerking van de gegevens van uw klanten door de subverwerker waartegen bezwaar is gemaakt te voorkomen. Als we dergelijke voorgestelde wijzigingen niet binnen een redelijke termijn kunnen realiseren, zullen we u hiervan op de hoogte stellen. Als u dan nog steeds bezwaar maakt tegen ons gebruik van genoemde subverwerker, dan kunt u uw account annuleren of beëindigen of, indien mogelijk, de delen van de diensten opzeggen waarbij gebruik wordt gemaakt van genoemde subverwerker.

7. Overdracht van persoonsgegevens. De verwerking van de gegevens van uw klanten vindt plaats op het grondgebied van de Europese Economische Ruimte ('EER') en het Verenigd Koninkrijk. Elke overdracht naar en verwerking in een extern land buiten de EU/EER en het Verenigd Koninkrijk dat niet voldoende bescherming biedt overeenkomstig aangenomen Britse regelgeving op het gebied van toereikendheid volgens de toepasselijke wetgeving op het gebied van gegevensbescherming zal worden uitgevoerd in overeenstemming met de modelcontractbepalingen of een ander passend mechanisme dat een passend niveau van beveiliging van persoonsgegevens garandeert volgens de vereisten van de toepasselijke wetgeving op het gebied van gegevensbescherming.

8. Audits. U hebt het recht om eenmaal per jaar een beoordeling van de verplichtingen van SumUp onder deze verwerkersovereenkomst te starten. Beide partijen beslissen samen of een externe partij de audit moet uitvoeren. U kunt ons echter toestaan om de beveiligingsbeoordeling te laten uitvoeren door een neutrale externe partij naar onze keuze. Als de voorgestelde reikwijdte van de audit voortkomt uit een ISO-certificering of vergelijkbaar certificeringsrapport dat in de afgelopen twaalf maanden door een gekwalificeerde externe auditor is uitgevoerd, en SumUp bevestigt dat er geen materiële wijzigingen zijn in de beoordeelde maatregelen, zal dit voldoen aan alle ontvangen verzoeken binnen voornoemd tijdsbestek. Audits mogen de zakelijke activiteiten van SumUp niet op onredelijke wijze verstoren. U bent verantwoordelijk voor alle kosten in verband met uw verzoek om audits. SumUp komt overeen om eens per jaar, na een voorafgaand schriftelijk verzoek van de gegevensbeheerder en voor zover op grond van de toepasselijke wetgeving op het gebied van gegevensbescherming is vereist, om samen te werken en de gegevensbeheerder binnen een redelijk tijdsbestek te voorzien van:

(a) een samenvatting van auditrapporten waaruit de effectiviteit blijkt van de technische en organisatorische maatregelen die SumUp heeft getroffen tegen het onbevoegd of onwettig verwerken van persoonsgegevens en tegen het onbevoegd toegang krijgen tot, onbedoeld verliezen of vernietigen van of schaden van persoonsgegevens en

(b) bevestiging dat de audit geen wezenlijke beveiligingsproblemen onthulde in de systemen van SumUp of, voor zover een dergelijk beveiligingsprobleem werd geconstateerd, dat SumUp dit beveiligingsprobleem volledig heeft verholpen.

Indien de bovenstaande maatregelen onvoldoende zijn om naleving van de toepasselijke wetgeving op het gebied van gegevensbescherming te bevestigen of wanneer wezenlijke problemen worden geconstateerd, mag de gegevensbeheerder SumUp met inachtneming van een kennisgevingstermijn van minimaal dertig (30) dagen schriftelijk verzoeken om een audit van het nalevingsprogramma voor gegevensbescherming te laten uitvoeren door externe, onafhankelijke auditoren. Beide partijen zullen de auditoren gezamenlijk selecteren en komen wederzijds de omvang, het tijdsbestek en de duur van de audit overeen. De gegevensbeheerder zal alle redelijke maatregelen treffen om enige nadelige gevolgen ervan voor SumUp te beperken en is verantwoordelijk voor alle kosten met betrekking tot het verzoek om een audit, alsook voor alle kosten die eventueel voortkomen uit enige nadelige gevolgen. De gegevensbeheerder zal de resultaten van de audit van het nalevingsprogramma voor gegevensbescherming aan SumUp beschikbaar stellen.

9. Aansprakelijkheid. De aansprakelijkheid van enige partij op grond van deze verwerkersovereenkomst is onderhevig aan de uitsluitingen en beperkingen die zijn beschreven in de aanvullende voorwaarden en/of algemene voorwaarden. U komt overeen om SumUp voor eigen rekening schadeloos te stellen, schadeloos te houden en te verdedigen tegen alle kosten, claims, schadevergoedingen of onkosten voor rekening van SumUp of waarvoor SumUp aansprakelijk wordt als gevolg van enig falen door u of uw medewerkers of vertegenwoordigers om aan de verplichtingen in deze verwerkersovereenkomst te voldoen.

10. Beëindiging. Deze verwerkersovereenkomst is van kracht zolang u (een van) de diensten van SumUp gebruikt. Bij beëindiging van het gebruik van de diensten, zal SumUp, tenzij we onder de aanvullende voorwaarden en/of voorwaarden van SumUp, enige overeenkomst of toepasselijke wetgeving verplicht zijn om de gegevens van uw klanten te bewaren, zo snel als redelijkerwijs mogelijk is en volgens de voorwaarden van SumUp en de toepasselijke wetten de gegevens van uw klanten verwijderen, inclusief op schriftelijk verzoek van u.

11. Geaggregeerde anonieme gegevens. Uw erkent en aanvaardt dat SumUp geaggregeerde gegevens van enige aard met betrekking tot u en uw klanten, waaronder gegevens over het gebruik van onze diensten, kan verwerken. De klant erkent, aanvaardt en bevestigt hierbij dat SumUp deze geaggregeerde anonieme gegevens (zonder daarin uitputtend te zijn) gedurende de duur van de verwerkersovereenkomst maar ook na beëindiging ervan kan gebruiken voor analyse, verbetering en uitvoering van zijn diensten en, in het algemeen, voor enige commerciële activiteit teneinde een bijdrage te leveren aan marktanalyses, statistieken te produceren, de producten en diensten en hun veiligheid te verbeteren, en goede industriële methoden en/of aanbevelingen te volgen.

12. Overige

12.1. Wanneer deze verwerkersovereenkomst en een van de aanvullende voorwaarden en/of voorwaarden van SumUp met elkaar in strijd zijn, hebben de bepalingen van deze verwerkersovereenkomst voorrang.

12.2. U bent verantwoordelijk voor alle kosten en uitgaven die voortvloeien uit de naleving door SumUp van uw instructies of verzoeken op grond van de aanvullende voorwaarden (inclusief deze verwerkersovereenkomst) die buiten de standaardfunctionaliteit vallen die SumUp in het algemeen via de diensten ter beschikking stelt.

12.3. SumUp zal het recht hebben om de voorwaarden van deze verwerkersovereenkomst van tijd tot tijd te wijzigen en/of aan te passen. Wijzigingen in de overeenkomst zullen door SumUp op gepaste wijze worden gecommuniceerd en in een aparte bijlage of op een andere zichtbare manier worden opgenomen, met inbegrip van publicatie van een bijgewerkte versie van de verwerkersovereenkomst op onze website. De aanduiding 'Voor het laatst gewijzigd op' boven aan deze verwerkersovereenkomst vermeldt wanneer deze overeenkomst voor het laatst is herzien.

12.4. Alle vragen met betrekking tot deze verwerkersovereenkomst of andere verzoeken met betrekking tot de verwerking van persoonsgegevens moeten aan ons worden gericht via [email protected]. SumUp zal proberen klachten met betrekking tot het gebruik van de gegevens van uw klanten op te lossen in overeenstemming met deze verwerkersovereenkomst, de voorwaarden en het interne beleid van SumUp.

12.5. Als een van de bepalingen van de verwerkersovereenkomst ongeldig wordt geacht, heeft dit geen invloed op de overige bepalingen. Partijen zullen ongeldige bepalingen vervangen door een wettelijke bepaling die het doel van de ongeldige bepaling weerspiegelt.

12.6. Deze verwerkersovereenkomst zal worden beheerst door en geïnterpreteerd in overeenstemming met de wet die betrekking heeft op de toepasselijke aanvullende voorwaarden.

Bijlage 1

1. Onderwerp. Het onderwerp is de gegevensverwerking overeenkomstig deze verwerkersovereenkomst.

2. Doel en aard van de verwerking. Het doel van de gegevensverwerking onder deze verwerkersovereenkomst betreft het leveren en verbeteren van de door u geïnitieerde diensten.

3. Duur. Wat de overeenkomst tussen u en ons betreft, wordt de duur van de gegevensverwerking onder deze verwerkersovereenkomst bepaald door u en voor de geselecteerde periode waarvoor u ervoor kiest om onze diensten te gebruiken.

4. Categorieën van betrokkenen. Uw klanten, de potentiële klanten van uw klanten, uw medewerkers, accountants (voor 'Facturering' en 'Boekhouding') en/of alle andere personen wier persoonsgegevens in de inhoud zijn opgenomen. Voor 'Cadeaubonnen' kopers van cadeaubonnen en/of ontvangers van cadeaubonnen of andere personen wier persoonsgegevens volgens de aanvullende voorwaarden en de voorwaarden van SumUp worden verwerkt als deel van de diensten omtrent cadeaubonnen.

5. Type persoonsgegevens. Gegevens van uw klanten worden verwerkt als onderdeel van de diensten overeenkomstig de algemene voorwaarden en verstrekte instructies. Deze gegevens kunnen per gebruikte dienst verschillen en kunnen, hoewel niet uitsluitend, het volgende omvatten:

Webwinkel

Namen, e-mailadressen, (mobiele) telefoonnummers, fysieke adressen, betalingsgegevens, transactie-/bestelgeschiedenissen, IP-adressen, informatie die afkomstig is uit cookies en vergelijkbare technologieën en marketingvoorkeuren van uw klanten. 

Cadeaubonnen

Namen en e-mailadressen van klanten die een cadeaubon kopen en ontvangen, het bedrag van de cadeaubon, de boodschap op de cadeaubon.

Facturering en boekhouding

Namen, fysieke adressen, (mobiele) telefoonnummers, e-mailadressen, rekeningnummers en/of bankgegevens, onderwerp van de factuur, transactie-/bestelgegevens, status van de facturen. 

Voor kassasystemen

Namen, fysieke adressen, (mobiele) telefoonnummers, e-mailadressen, transactie-/bestelgegevens, opmerkingen voor uw medewerkers, personeelsnummer, referenties, IP-adressen, rollen, e-mailadressen, bestellingen, taalvoorkeuren. 

Speciale categorieën persoonsgegevens, waaronder gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten, worden niet geacht te worden verwerkt onder de diensten en zijn uitgesloten van de voorwaarden van deze verwerkersovereenkomst. Als deze gegevens tijdens het gebruik van onze diensten worden verwerkt, is dit zonder medeweten van SumUp en moet u dergelijke informatie onmiddellijk verwijderen nadat u een dergelijke verwerking heeft vastgesteld.