Acordo de Tratamento de Dados
Em vigor a partir de 16/01/2023
Alterado a 16/01/2023
O presente Acordo de Tratamento de Dados ("ATD") faz parte de, e está sujeito às disposições dos Termos da SumUp específicos aplicáveis aos Serviços que poderá utilizar (os "Termos Adicionais") e a quaisquer outros termos e condições aplicáveis da SumUp, incluindo, mas não limitado a, os Termos Gerais da SumUp (aqui designados coletivamente de "Termos") celebrados e acordados entre si, enquanto comerciante da SumUp ("você", "Responsável pelo Tratamento de Dados Pessoais") e a entidade contratante da SumUp, tal como indicado nos Termos Adicionais aplicáveis ("SumUp", "nós", "Subcontratante de Dados"), parte das empresas do grupo SumUp S.A.R.L. – Grupo SumUp.
Para lhe prestar os Serviços ao abrigo dos Termos Adicionais, a SumUp trata os dados dos seus funcionários, clientes e/ou dos visitantes e clientes da sua loja, do seu site e/ou os utilizadores dos seus serviços ("os seus Clientes", "Clientes", "Clientes Finais"). O tratamento desses dados por parte da SumUp é, doravante, designado de "tratamento" (na medida em que esse termo está definido na Legislação de Proteção de Dados Aplicável). O seguinte ATD determina os termos desse tratamento por parte da SumUp.
Cada uma das partes concorda e irá garantir que os termos do presente ATD serão integralmente aplicáveis às suas empresas associadas, que poderão estar envolvidas no tratamento de dados pessoais para os Serviços definidos nos Termos Adicionais. Especificamente, a SumUp irá garantir que todos os responsáveis secundários pelo tratamento operam nos mesmos termos que os do presente ATD ao tratar os Dados dos seus Clientes.
1. Definições
1.1. "Legislação de Proteção de Dados Aplicável" refere-se a todas as leis relacionadas com o tratamento dos dados pessoais ao abrigo dos Termos Adicionais, dos Termos e do presente ATD, incluindo, sem limitação, a Lei de Proteção de Dados de 2018 do Reino Unido, o Regulamento (UE) 2016/679 ("RGPD", o "Regulamento"), a Diretiva 2002/58/CE relativa à privacidade e às comunicações eletrónicas, tal como implementada em cada jurisdição, e todas as correções, ou qualquer outra legislação, regulamentos e orientações regulamentares de proteção de dados internacionais, regionais ou nacionais aplicáveis ou de substituição.
1.2. Os termos "responsável pelo tratamento", "titular dos dados", "dados pessoais", "tratamento" e "subcontratante" têm os significados atribuídos a estes termos na Legislação de Proteção de Dados Aplicável.
1.3. "Conteúdo" refere-se ao seu Conteúdo e a quaisquer conteúdos fornecidos à SumUp pelos seus Clientes, incluindo, sem limitação, texto, fotos, imagens, áudio, vídeo, código, informações de cookies ou tecnologias de monitorização semelhantes e quaisquer outros materiais.
1.4. "Os seus Dados", "os Dados dos seus Clientes" refere-se aos dados pessoais do Conteúdo, tal como tratados pela SumUp, em seu nome, enquanto parte dos Serviços e/ou os dados dos seus funcionários, contabilistas e/ou Dados dos Clientes, tal como tratados em seu nome para a realização dos Serviços. Os Dados dos seus Clientes não incluem dados pessoais quando esses dados forem controlados pela SumUp nos termos do presente ATD e da Política de Privacidade da SumUp.
1.5. Todas as definições utilizadas no presente ATD que não tenham uma definição explícita na presente secção terão o significado definido nos Termos Adicionais. Se não existir uma definição específica nos Termos Adicionais ou nos Termos, o significado atribuído é o da Legislação de Proteção de Dados Aplicável.
2. Aplicabilidade. O presente ATD só se aplica relativamente aos Dados dos seus Clientes tal como tratados pela SumUp em seu nome, com o objetivo de prestar os Serviços. Concorda que a SumUp não é responsável pelos dados pessoais que optou por tratar através de serviços de terceiros ou que estão excluídos dos Serviços, incluindo os sistemas de quaisquer outros serviços de cloud de terceiros, armazenamento offline ou no local.
3. Detalhes de tratamento de dados. A SumUp irá tratar os dados pessoais em conformidade com o Anexo 1 do presente.
4. Direitos e obrigações.
4.1. Na medida em que os Dados dos seus Clientes são tratados pela SumUp em seu nome e que este tratamento está sujeito à Legislação de Proteção de Dados Aplicável, reconhece e aceita que, para os fins de prestação dos Serviços pela SumUp, é o Responsável pelo Tratamento de Dados Pessoais desses dados pessoais, e que ao utilizar os Serviços da SumUp, deu instruções à SumUp para que faça o tratamento dos Dados dos seus Clientes em seu nome, em conformidade com o presente ATD.
4.2. Pode anular a aceitação do presente ATD em qualquer momento, mas ao fazê-lo, a SumUp deixa de poder prestar-lhe o Serviço.
4.3. A SumUp, na sua capacidade de subcontratante de tratamento de dados pessoais:
a. Só trata os Dados dos seus Clientes para os fins especificados no ATD, em conformidade com a legislação aplicável e o ATD;
b. Só pode agir e tratar os Dados dos seus Clientes em conformidade com as suas instruções documentadas, a não ser que a legislação, uma ordem judicial ou uma medida legislativa determinem que deve agir sem respeitar essas instruções. À data de entrada em vigor do presente ATD, as suas instruções determinam que a SumUp só pode tratar os Dados dos seus Clientes para a finalidade de prestar os Serviços, tal como descrito no ATD e nos Termos Adicionais. Sujeito aos termos do presente ATD e mediante acordo mútuo de ambas as partes, pode emitir instruções adicionais por escrito, em conformidade com os termos do presente ATD;
c. Garante que as pessoas autorizadas para o tratamento de dados pessoais assumiram a obrigação de confidencialidade ou são legalmente obrigadas a manter a confidencialidade;
d. Garante que o acesso aos dados pessoais é concedido em função das necessidades de informação relativamente à realização dos Serviços e ao abrigo dos Termos Adicionais;
e. É responsável por assegurar que os funcionários/subcontratados e/ou quaisquer agentes que tratam os Dados dos seus Clientes só fazem esse tratamento em conformidade com as suas instruções;
f. Irá informá-lo imediatamente caso considere que algumas das suas instruções contradizem a Legislação de Proteção de Dados Aplicável;
g. Tem a obrigação de proteger os Dados dos seus Clientes ao abrigo do presente ATD contra qualquer destruição, alteração, perda ou outro tratamento não autorizado. Para esta finalidade, a SumUp implementa as medidas de segurança adequadas, em conformidade com a legislação aplicável. É possível que a SumUp introduza algumas medidas adequadas alternativas. Não é possível reduzir o nível das medidas de segurança definidas ao introduzir essas alternativas. A SumUp irá prestar assistência com as medidas técnicas e organizacionais adequadas, na medida do necessário, e tendo em conta a natureza do tratamento e a categoria das informações disponíveis para a SumUp, irá ajudar a garantir a conformidade com as suas obrigações ao abrigo da Legislação de Proteção de Dados Aplicável.
h. Mediante um pedido razoável da sua parte, irá disponibilizar certificações que demonstram a conformidade da SumUp com as suas obrigações ao abrigo do presente ATD e da Legislação de Proteção de Dados Aplicável; e/ou irá disponibilizar as informações necessárias para demonstrar a conformidade com as obrigações ao abrigo do presente ATD e da Legislação de Proteção de Dados Aplicável. As informações a disponibilizar por parte da SumUp limitam-se exclusivamente às informações necessárias, tal como definidas pela SumUp, tendo em conta a natureza dos Serviços e as informações disponíveis para a SumUp, para ajudar a cumprir as suas obrigações, sobretudo relativamente às obrigações relativamente às avaliações do impacto sobre a proteção de dados, consulta prévia e garantia da segurança dos dados pessoais);
i. Irá prestar-lhe assistência, dentro de prazos razoáveis, através de medidas adequadas e dentro do razoavelmente possível (considerando a natureza do tratamento), para cumprir os direitos do titular dos dados e todas as outras obrigações relevantes ao abrigo da Legislação de Proteção de Dados Aplicável;
j. Irá enviar-lhe uma notificação, caso isso seja permitido pela legislação aplicável, quando receber uma consulta ou uma reclamação de um indivíduo cujos dados pessoais sejam tratados ao abrigo do ATD, ou uma exigência vinculativa de uma entidade governamental, responsável pela aplicação da lei, reguladora ou outra, relativamente aos Dados dos seus Clientes, que tratamos em seu nome e de acordo com as suas instruções.
4.4. Você, na capacidade de responsável pelo tratamento de dados pessoais:
a. Irá recolher, utilizar e tratar os dados pessoais de acordo com toda e qualquer Legislação de Proteção de Dados Aplicável;
b. Será o único responsável pela exatidão, qualidade e tratamento lícito dos Dados dos seus Clientes e pelos meios através dos quais foram obtidos;
c. Irá garantir o nível de segurança adequado ao utilizar os Serviços, tendo em conta quaisquer riscos relativamente aos Dados dos seus Clientes;
d. Reconhece que qualquer armazenamento e/ou transferência dos Dados dos seus Clientes para qualquer terceiro ou plataforma que não a da SumUp será por sua própria conta e risco, e da sua responsabilidade;
e. Garante que as suas instruções relativas ao tratamento dos dados pessoais estão em conformidade com toda a legislação, regulamentos e regras aplicáveis em relação aos Dados dos seus Clientes. Irá igualmente garantir que o tratamento dos Dados dos seus Clientes de acordo com as suas instruções não irá causar nem resultar em incumprimentos de qualquer legislação, regras ou regulamentos da sua parte ou da nossa.
f. Fornece aos seus Clientes as informações necessárias sobre a forma e o porquê de os respetivos dados serem tratados, em conformidade com os requisitos da Legislação de Proteção de Dados Aplicável.
5. Notificações de violações. A parte deve informar imediatamente a outra parte (mas não mais tarde que 48 horas) depois de tomar conhecimento de uma violação de dados pessoais tratados ao abrigo do presente ATD. A SumUp irá prestar-lhe assistência para cumprir as suas obrigações de notificação de violação de dados, irá fornecer-lhe informações sobre a violação, na medida do que pudermos, razoavelmente, divulgar, tendo em conta a natureza dos Serviços, as informações disponíveis e quaisquer restrições à divulgação de informações, por exemplo, requisitos de confidencialidade. Apesar do acima referido, as obrigações da SumUp ao abrigo da presente secção não se aplicam a incidentes causados por si, qualquer atividade na sua conta e/ou atividade de serviços de terceiros. A SumUp tem a obrigação de cooperar e de prestar assistência relativamente à investigação, à minimização de consequências negativas e à retificação da violação de dados pessoais, assim como à prevenção de violações de dados semelhantes no futuro. A notificação de uma violação de dados pessoais por parte da SumUp não deve ser considerada como um reconhecimento de qualquer culpa ou responsabilidade da SumUp relativamente ao incidente em questão. Caso ocorra uma violação de dados pessoais, tem a obrigação de tomar as medidas necessárias ao abrigo da legislação aplicável relativamente aos Dados dos seus Clientes.
6. Responsáveis secundários pelo tratamento. Por este meio, concede à SumUp uma autorização geral para envolver os responsáveis secundários pelo tratamento a fim de fornecer os Serviços sem obter qualquer autorização adicional e específica por escrito. A SumUp irá celebrar um acordo com cada responsável secundário pelo tratamento, garantindo a conformidade com os termos por parte desse responsável secundário pelo tratamento e assegurando, pelo menos, o mesmo nível de proteção e segurança estipulado no presente ATD. Caso se oponha a qualquer responsável secundário pelo tratamento, se a sua oposição for razoável e estiver relacionada com preocupações ao nível da proteção de dados, iremos envidar esforços razoáveis do ponto de vista comercial para disponibilizar uma forma de evitar o tratamento dos Dados dos seus Clientes por parte do responsável secundário pelo tratamento a que se opõe. Se não conseguirmos disponibilizar as alterações sugeridas num período de tempo razoável, iremos notificá-lo e, se ainda se opuser ao facto de recorrermos a esse responsável secundário pelo tratamento, poderá cancelar ou encerrar a sua conta ou, se possível, as partes dos Serviços que implicam recorrer a esse responsável secundário pelo tratamento.
7. Transferência de dados pessoais. O tratamento de Dados dos seus Clientes deverá ter lugar no território do Espaço Económico Europeu ("EEE") e do Reino Unido. Qualquer transferência e tratamento dos dados num país terceiro fora da UE/do EEE e do Reino Unido que não garanta um nível adequado de proteção - regulamento de adequação do Reino Unido adotado, segundo a Legislação de Proteção de Dados Aplicável, deverá ser realizado de acordo com as Cláusulas Contratuais Padrão ou outro mecanismo apropriado, garantindo um nível adequado de proteção dos dados pessoais, conforme os requisitos da Legislação de Proteção de Dados Aplicável.
8. Auditorias. Tem o direito de iniciar uma revisão das obrigações da SumUp ao abrigo do presente ATD uma vez por ano. Ambas as partes determinam em conjunto se um terceiro deve realizar a auditoria. Contudo, pode permitir que a revisão de segurança seja realizada por uma terceira parte neutra, a seu critério. Se o âmbito proposto da auditoria seguir um relatório de certificação ISO ou semelhante levado a cabo por um auditor terceiro qualificado nos doze meses anteriores, e se a SumUp confirmar que não houve alterações materiais nas medidas em revisão, isto irá satisfazer quaisquer pedidos recebidos nesse período de tempo. As auditorias não podem interferir com o negócio habitual da SumUp, nem com as atividades habituais, de modo não razoável. É responsável por todos os custos associados ao seu pedido de revisão de uma auditoria. Uma vez por ano, mediante pedido prévio por escrito por parte do Responsável pelo Tratamento de Dados Pessoais, e na medida necessária ao abrigo da Legislação de Proteção de Dados Aplicável, a SumUp aceita cooperar e, num período de tempo razoável, fornecer ao Responsável pelo Tratamento de Dados Pessoais:
(a) um resumo de relatórios de auditoria a demonstrar a eficácia das medidas técnicas e organizacionais tomadas pela SumUp contra o tratamento não autorizado ou ilegal de dados pessoais, e contra o acesso não autorizado, perda acidental, destruição ou danos causados em dados pessoais, e
(b) confirmação de que a auditoria não revelou qualquer vulnerabilidade material nos sistemas da SumUp ou, caso tenha sido identificada uma vulnerabilidade deste tipo, de que a SumUp resolveu completamente essa vulnerabilidade.
Se as medidas anteriores forem insuficientes para atestar a conformidade com a Legislação de Proteção de Dados Aplicável ou revelarem qualquer problema material, o Responsável pelo Tratamento de Dados Pessoais poderá pedir, mediante um aviso prévio por escrito à SumUp com, pelo menos, trinta (30) dias de antecedência, uma auditoria do programa de conformidade de proteção de dados da SumUp levada a cabo por auditores externos independentes. Ambas as partes devem selecionar os auditores em conjunto e acordar mutuamente o âmbito, a calendarização e a duração da auditoria. O Responsável pelo Tratamento de Dados Pessoais deverá adotar todas as medidas razoáveis para limitar qualquer impacto adverso disto para a SumUp e é responsável por todos os custos associados ao seu pedido de revisão da auditoria, bem como custos decorrentes de quaisquer impactos adversos, caso existam. O Responsável pelo Tratamento de Dados Pessoais irá disponibilizar à SumUp os resultados da auditoria do respetivo programa de conformidade de proteção de dados.
9. Responsabilidade. A responsabilidade de cada parte ao abrigo do presente ATD está sujeita às exclusões e às limitações de responsabilidade estipuladas nos Termos Adicionais e/ou Termos. Aceita indemnizar e defender a SumUp, a seu cargo, de todos os custos, reclamações, danos ou despesas em que a SumUp possa incorrer, ou pelos quais a SumUp possa ser responsável devido a qualquer falha sua, ou dos seus funcionários ou agentes, no cumprimento das obrigações decorrentes do presente ATD.
10. Rescisão. O presente ATD permanece em vigor enquanto utilizar qualquer um dos Serviços da SumUp. Após a rescisão da utilização dos Serviços, e a não ser que a SumUp seja obrigada a manter os Dados dos seus Clientes ao abrigo dos Termos Adicionais e/ou Termos da SumUp, qualquer acordo ou legislação aplicável, a SumUp deverá, incluindo após um pedido seu por escrito, apagar os Dados dos seus Clientes assim que isso seja razoavelmente viável, de acordo com os Termos da SumUp e a legislação aplicável.
11. Dados anónimos agregados. Aceita e confirma que a SumUp pode tratar dados agregados de qualquer tipo, relativos a si e aos seus Clientes, incluindo dados de utilização de Serviços. Por este meio, o cliente aceita, reconhece e consente que a SumUp poderá utilizar estes dados anónimos agregados (sem que a presente lista seja exaustiva) para analisar, melhorar e executar os seus Serviços e, em geral, para qualquer atividade comercial, enquanto o ATD estiver em vigor, mas também após o respetivo termo, a fim de contribuir para análises de mercado, estatísticas de produção, para melhorar os seus Produtos e Serviços, assim como a respetiva segurança, seguindo recomendações e/ou boas práticas industriais.
12. Diversos
12.1. Caso haja qualquer conflito entre o presente ATD e qualquer um dos Termos Adicionais e/ou Termos da SumUp, prevalecem as disposições do presente ATD.
12.2. É responsável por quaisquer custos e despesas decorrentes da conformidade da SumUp com as suas instruções ou pedidos em conformidade com os Termos Adicionais (incluindo o presente ATD) que não se enquadrem na funcionalidade padrão disponibilizada pela SumUp, geralmente, através dos Serviços.
12.3. A SumUp tem o direito de corrigir e/ou ajustar qualquer um dos termos do presente ATD, consoante necessário ocasionalmente. As alterações ao ATD serão alvo de comunicação adequada por parte da SumUp num Anexo separado ou noutro suporte visível, incluindo a publicação de uma versão atualizada do ATD no nosso site. A legenda "Última alteração" na parte superior do presente ATD indica quando foi a última revisão do ATD.
12.4. Quaisquer questões relativas ao presente ATD ou a outros pedidos relacionados com o tratamento de dados pessoais devem ser endereçados a nós, através de dpo@sumup.com. A SumUp irá tentar resolver quaisquer reclamações relativas à utilização dos Dados dos seus Clientes de acordo com o presente ATD, os Termos e as políticas internas da SumUp.
12.5. Se qualquer uma das disposições do ATD for considerada inválida, isso não afeta as restantes disposições. As partes deverão substituir as disposições inválidas por uma disposição legal que reflita a finalidade da disposição inválida.
12.6. O presente ATD será regido e interpretado de acordo com a legislação em vigor para os Termos Adicionais aplicáveis.
Anexo 1
1. Tema. O tema é o tratamento de dados ao abrigo do presente ATD.
2. Finalidade e natureza do tratamento. A finalidade do tratamento de dados ao abrigo do presente ATD é o fornecimento e a melhoria dos Serviços iniciados por si.
3. Duração. Tal como entre si e nós, a duração do tratamento de dados nos termos do presente ATD é determinada por si e durante o período em que opta por usar os nossos Serviços.
4. Categorias de titulares dos dados. Os seus Clientes, os potenciais clientes dos seus Clientes, os seus funcionários, contabilistas (para faturação e contabilidade) e/ou quaisquer outros indivíduos cujos dados pessoais estejam incluídos no Conteúdo. Para cartões oferta, compradores e/ou destinatários de cartões oferta ou outros indivíduos cujos dados pessoais sejam tratados enquanto parte dos Serviços de Cartões Oferta, em conformidade com os Termos Adicionais e os Termos da SumUp.
5. Tipo de dados pessoais. Os Dados dos seus Clientes são tratados enquanto parte dos Serviços, em conformidade com os Termos e as instruções dadas. Estes dados poderão variar consoante os Serviços utilizados e podem incluir, embora não estejam limitados a:
Loja Online
Os nomes dos seus Clientes, endereços de e-mail, números de telefone, moradas, dados de pagamento, histórico de transações/encomendas, endereço IP, informações de cookies e tecnologias semelhantes, preferências de marketing.
Cartões Oferta
Nomes e endereços de e-mail do cliente comprador e destinatário do cartão oferta, o valor do cartão oferta e a respetiva mensagem.
Faturação e contabilidade
Nomes, moradas, números de telefone, endereços de e-mail, números de conta e/ou dados bancários, titular da fatura, dados de transações/encomendas, estado das faturas.
Para POS
Nomes, moradas, números de telefone, endereços de e-mail, dados de transações/encomendas, comentários, para os seus funcionários - número de funcionário, credenciais de início de sessão, endereço IP, função, e-mail, encomendas, preferências de idioma.
As categorias especiais de dados pessoais, incluindo os dados relacionados com condenações e ofensas penais, não se consideram tratados ao abrigo dos Serviços; estão excluídos dos termos do presente ATD. Se esses dados forem tratados utilizando os nossos Serviços, isso tem lugar sem conhecimento da SumUp, e deve eliminar essas informações imediatamente depois de identificar esse tipo de tratamento.