Acord privind prelucrarea datelor

Data intrării în vigoare: 16.01.2023

Modificat la data de: 16.01.2023

Modificat la data de: 16.09.2024

Prezentul Acord privind prelucrarea datelor („APD”) face parte din și este supus prevederilor Condițiilor specifice SumUp aplicabile pentru Serviciul/Serviciile pe care le puteți utiliza („Condiții suplimentare”) și oricăror alte prevederi și condiții SumUp aplicabile, ceea ce include, fără limitare, Condițiile generale SumUp (numite în documentul de față, în mod colectiv, „Condițiile”) încheiate și convenite de către și între dvs. în calitate de comerciant SumUp („dvs.”, „Operator de date”) și entitatea contractantă SumUp, astfel cum este indicat în Condițiile suplimentare aplicabile („SumUp”, „noi”, „Persoană împuternicită de operator”),parte a grupului de companii SumUp S.A.R.L. – Grupul SumUp.

Pentru a vă furniza Serviciile în conformitate cu Condițiile și Condițiile suplimentare, SumUp prelucrează datele echipei dvs., ale angajaților, clienților și/sau vizitatorilor și clienților magazinului dvs. și ai site-ului dvs. și/sau ale utilizatorilor serviciilor dvs. („Clienții dvs.”, „Clienții”, „Clienții finali”). Prelucrarea acestor date de către SumUp este denumită în continuare „prelucrare” (după cum este definit termenul în conformitate cu Legislația aplicabilă privind protecția datelor). Următorul APD stabilește condițiile unei astfel de prelucrări de către SumUp.

Fiecare parte este de acord și se va asigura că prevederile prezentului APD vor fi, de asemenea, pe deplin aplicabile afiliaților săi, care pot fi implicați în prelucrarea datelor cu caracter personal pentru Serviciile definite în Condițiile suplimentare. În mod specific, SumUp se va asigura că toți subcontractanții respectă aceleași prevederi precum cele din prezentul APD atunci când prelucrează datele Clienților dvs.

1. Definiții

1.1. „Legislația aplicabilă privind protecția datelor” înseamnă toate legile referitoare la prelucrarea datelor cu caracter personal în conformitate cu Condițiile suplimentare, Condițiile generale și prezentul APD, inclusiv, dar fără a se limita la, Legea privind protecția datelor din 2018, Regulamentul general al UE privind protecția datelor 2016/679 („RGPD”, „Regulamentul”), Directiva 2002/58/CE, astfel cum sunt puse în aplicare în fiecare jurisdicție, precum și toate modificările sau toate celelalte legi, regulamente și orientări de reglementare aplicabile sau înlocuitoare la nivel internațional, regional sau național privind protecția datelor.

1.2. Termenii „operator”, „persoană vizată”, „date cu caracter personal”, „prelucrare”, și „persoană împuternicită de operator” au sensul care le-a fost atribuit prin Legislația aplicabilă privind protecția datelor.

1.3. „Conținut” înseamnă Conținutul dvs. și orice conținut furnizat companiei SumUp, provenit de la Clienții dvs., inclusiv, dar fără a se limita la text, fotografii, imagini, audio, video, coduri, informații din modulele cookie sau din tehnologii de monitorizare similare și orice alte materiale.

1.4. „Datele dvs.” și „Datele Clienților dvs.” înseamnă datele cu caracter personal din Conținut, astfel cum sunt prelucrate de SumUp, în numele dvs., ca parte a Serviciilor, și/sau datele echipei dvs. (cum ar fi cele ale angajaților, contabililor și ale altor terți) și/sau Datele Clienților, astfel cum sunt prelucrate în numele dvs. pentru aducerea la îndeplinire a Serviciilor. Datele Clienților dvs. nu includ date cu caracter personal în cazul în care aceste date sunt controlate de SumUp în conformitate cu prezentul APD și cu Politica de confidențialitate SumUp. 

1.5. Toate definițiile care sunt utilizate în prezentul APD, însă nu au o definiție explicită în această secțiune, vor avea înțelesul definit în Condițiile suplimentare. Dacă nu există o definiție specifică în Condițiile suplimentare sau în Condițiile generale, semnificația lor va fi cea atribuită prin Legislația aplicabilă privind protecția datelor.

2. Aplicabilitate

Prezentul APD se aplică numai în ceea ce privește Datele Clienților dvs., astfel cum sunt prelucrate de SumUp în numele dvs. în scopul de a presta Serviciile pe care le utilizați. Sunteți de acord că SumUp nu este responsabilă pentru datele cu caracter personal pe care ați ales să le prelucrați prin intermediul serviciilor terților sau în afara Serviciilor, inclusiv sistemele oricăror alte servicii cloud ale terților, offline sau de stocare la fața locului.

3. Detalii privind prelucrarea datelor

SumUp va prelucra datele cu caracter personal în conformitate cu Anexa 1 la prezentul acord.

4. Drepturi și obligații

4.1. În măsura în care Datele Clienților dvs. sunt prelucrate de SumUp în numele dvs., iar această prelucrare este supusă Legislației aplicabile privind protecția datelor, confirmați și sunteți de acord că, în scopul furnizării Serviciilor de către SumUp, sunteți Operatorul de date cu privire la aceste date cu caracter personal și, prin utilizarea Serviciilor SumUp, ați solicitat SumUp să prelucreze Datele Clienților dvs. în numele dvs., în conformitate cu prezentul APD.

4.2. Puteți revoca acceptarea prezentului APD în orice moment, dar, dacă procedați astfel, SumUp nu vă va mai putea furniza Serviciul.

4.3. SumUp, în calitatea sa de persoană împuternicită de operator cu privire la datele cu caracter personal:

a. Prelucrează Datele Clienților dvs. numai în scopurile specificate în APD și în conformitate cu legislația aplicabilă și cu APD;

b. Poate acționa și prelucra Datele Clienților dvs. numai în conformitate cu instrucțiunile dvs. documentate, cu excepția cazului în care legea, o hotărâre judecătorească sau o măsură legislativă impun să se acționeze în absența unor astfel de instrucțiuni. Instrucțiunile dvs., la momentul acceptări prezentului APD, constau în faptul că SumUp poate prelucra Datele Clienților dvs. numai în scopul prestării Serviciilor, astfel cum se descrie în APD și în Condițiile suplimentare. Sub rezerva condițiilor prezentului APD și cu acordul reciproc al ambelor părți, puteți emite instrucțiuni scrise suplimentare în conformitate cu prevederile prezentului APD;

c. Garantează că persoanele autorizate să prelucreze date cu caracter personal și-au asumat obligația de confidențialitate sau au obligația legală de a menține obligații de confidențialitate;

d. Garantează că accesul la datele cu caracter personal este acordat pe baza principiului necesității de a cunoaște informațiile și are legătură cu prestarea Serviciilor în conformitate cu Condițiile suplimentare;

e. Are responsabilitatea de a se asigura că angajații/subcontractanții și/sau orice agenți care prelucrează Datele Clienților dvs. prelucrează datele cu caracter personal numai în conformitate cu instrucțiunile dvs.;

f. Vă vom informa imediat în cazul în care considerăm că unele dintre instrucțiunile dvs. contravin Legislației aplicabile privind protecția datelor;

g. Are obligația de a proteja Datele Clienților dvs. în temeiul prezentului APD împotriva distrugerii, modificării, pierderii sau a altor prelucrări neautorizate. În acest scop, SumUp aplică măsurile de securitate adecvate în conformitate cu legislația aplicabilă. Este posibil ca SumUp să introducă unele măsuri alternative adecvate. Nu este posibilă scăderea nivelului măsurilor de securitate definite atunci când se introduc astfel de alternative. SumUp vă va ajuta cu măsuri tehnice și organizatorice adecvate, după cum este necesar și, având în vedere natura tratării și categoria de informații disponibile pentru SumUp, vă va ajuta să asigurați respectarea obligațiilor ce vă revin în temeiul Legislației aplicabile privind protecția datelor.

h. La cererea dvs. rezonabilă, vă pune la dispoziție certificări care demonstrează conformitatea SumUp cu obligațiile care îi revin în temeiul prezentului APD și al Legislației aplicabile privind protecția datelor; și/sau vă pune la dispoziție informațiile necesare pentru a demonstra respectarea obligațiilor care decurg din prezentul APD și din Legislația aplicabilă privind protecția datelor. Informațiile care urmează să vă fie puse la dispoziție de către SumUp se limitează exclusiv la informațiile care sunt necesare, astfel cum este definit de SumUp, ținând seama de natura Serviciilor și de informațiile disponibile pentru SumUp, pentru a vă ajuta să vă respectați obligațiile, în special în ceea ce privește obligațiile de evaluare a impactului asupra protecției datelor, consultarea prealabilă și asigurarea securității datelor cu caracter personal;

i. Vă va ajuta, în termene rezonabile, prin măsuri adecvate și, în măsura în care este posibil în mod rezonabil (având în vedere natura prelucrării), cu respectarea drepturilor persoanelor vizate și a tuturor celorlalte obligații relevante în temeiul Legislației aplicabile privind protecția datelor;

j. Vă va trimite o notificare, dacă acest lucru este permis de legea aplicabilă, la primirea unei solicitări sau a unei plângeri din partea unei persoane ale cărei date cu caracter personal sunt prelucrate în conformitate cu APD sau a unei cereri cu caracter obligatoriu din partea unei autorități publice, a unei autorități de aplicare a legii, a unui organism de reglementare sau a altui organism, cu privire la Datele Clienților dvs. pe care le prelucrăm în numele dvs. și în conformitate cu instrucțiunile dvs.

4.4. Dvs., în calitate de operator de date cu caracter personal:

a. Veți colecta, utiliza și prelucra datele cu caracter personal în conformitate cu fiecare și cu toate legile aplicabile privind protecția datelor;

b. Veți avea responsabilitatea exclusivă pentru acuratețea, calitatea și prelucrarea legală a Datelor Clienților dvs. și mijloacele prin care acestea au fost obținute;

c. Veți asigura un nivel adecvat de securitate atunci când utilizați Serviciile, luând în considerare orice riscuri cu privire la Datele Clienților dvs.;

d. Veți recunoaște că orice stocare și/sau transfer pe care îl faceți, având ca obiect Datele Clienților dvs. către orice terță parte sau platformă, alta decât SumUp, va fi pe riscul și responsabilitatea dvs.;

e. Vă veți asigura că instrucțiunile dvs. cu privire la prelucrarea datelor cu caracter personal respectă toate legile, reglementările și normele aplicabile în legătură cu Datele Clienților dvs. De asemenea, vă veți asigura că prelucrarea Datelor Clienților dvs. în conformitate cu instrucțiunile dvs. nu va cauza sau nu va genera încălcarea de către noi sau de către dvs. a oricăror legi, norme sau reglementări;

f. Veți furniza Clienților dvs. informațiile necesare despre modul și motivul pentru care sunt prelucrate datele acestora, în conformitate cu cerințele Legislației aplicabile privind protecția datelor.

5. Notificări privind încălcarea securității datelor

Partea va informa imediat (însă în maximum 48 de ore) cealaltă parte după ce ia cunoștință de o încălcare a securității datelor cu caracter personal în legătură cu datele cu caracter personal prelucrate în virtutea prezentului APD. SumUp vă va ajuta să vă respectați obligațiile de notificare privind încălcarea securității datelor, vă va furniza orice informații despre încălcare pe care vi le putem divulga în mod rezonabil, luând în considerare natura Serviciilor, informațiile pe care le avem la dispoziție și orice restricții privind divulgarea informațiilor, precum cele legate de obligațiile de confidențialitate. Fără a aduce atingere aspectelor menționate anterior, obligațiile SumUp în temeiul prezentei secțiuni nu se aplică incidentelor care sunt cauzate de dvs., oricărei activități din contul dvs. și/sau activității serviciilor terțe. SumUp este obligată să coopereze și să vă sprijine în ceea ce privește investigarea, minimizarea consecințelor negative și rectificarea încălcării securității datelor cu caracter personal, precum și prevenirea viitoarelor încălcări similare ale securității datelor. Notificarea SumUp cu privire la o încălcare a securității datelor cu caracter personal nu va fi considerată o asumare de către SumUp a unei culpe sau a unei răspunderi cu privire la un astfel de incident. În cazul unei încălcări a securității datelor cu caracter personal, veți avea obligația de a lua măsurile necesare în conformitate cu legile aplicabile în legătură cu Datele Clienților dvs.

6. Subcontractanți ai persoanei împuternicite

Prin prezenta, acordați companiei SumUp autorizația generală de a angaja subcontractanți ai persoanei împuternicite pentru a presta Serviciile fără a obține nicio altă autorizație scrisă și specifică. SumUp va semna un acord cu fiecare subcontractant al persoanei împuternicite care va asigura respectarea de către subcontractantul menționat a unor condiții care să asigure cel puțin același nivel de protecție și securitate ca și cele stabilite în prezentul APD. Dacă vă opuneți utilizării unui subcontractant al persoanei împuternicite, iar obiecția dvs. este rezonabilă și are legătură cu protecția datelor, vom depune eforturi rezonabile din punct de vedere comercial pentru a vă pune la dispoziție un mijloc de a evita prelucrarea Datelor Clienților dvs. de către subcontractantul contestat. Dacă nu putem asigura aceste modificări sugerate într-un termen rezonabil, vă vom înștiința și, dacă vă opuneți în continuare utilizării de către noi a subcontractantului respectiv, vă puteți anula sau închide contul sau, dacă este posibil, porțiunile Serviciilor care implică utilizarea respectivului subcontractant.

7. Transferul datelor cu caracter personal

Prelucrarea datelor Clienților dvs. se va face pe teritoriul Spațiului Economic European („SEE”) și al Regatului Unit. Orice transfer către sau prelucrare într-o terță țară din afara UE/SEE și a Regatului Unit care nu asigură un nivel de protecție adecvat (regulamentul adoptat în Regatul Unit privind caracterul adecvat, conform legislației aplicabile în materie de protecție a datelor), trebuie efectuat în conformitate cu Clauzele contractuale standard sau cu alte mecanisme corespunzătoare care garantează un nivel adecvat de securitate a datelor cu caracter personal conform cerințelor Legislației aplicabile privind protecția datelor cu caracter personal.

8. Audituri

Aveți dreptul de a iniția, o dată pe an, o revizuire a obligațiilor companiei SumUp care îi revin prin prezentul APD. Ambele părți decid împreună dacă auditul trebuie realizat de o terță parte. Cu toate acestea, ne puteți permite să solicităm efectuarea controlului de securitate de către o terță parte neutră aleasă de noi. Dacă domeniul de aplicare propus al auditului respectă o certificare ISO sau un raport similar de certificare realizat de un auditor terț calificat în ultimele douăsprezece luni, iar SumUp confirmă că nu s-au înregistrat modificări semnificative ale măsurilor revizuite, acest lucru va acoperi orice solicitări primite în intervalul specificat. Auditurile nu trebuie să afecteze fără motiv activitatea obișnuită a companiei SumUp. Sunteți responsabil pentru toate costurile asociate cu solicitarea dvs. de auditare. O dată pe an, în urma unei solicitări scrise depuse de Operatorul de date și în măsura impusă de Legislația aplicabilă privind protecția datelor, SumUp convine să coopereze și, într-un interval rezonabil de timp, să îi furnizeze Operatorului de date:

(a) un rezumat al rapoartelor de audit care demonstrează eficacitatea măsurilor tehnice și organizatorice luate de SumUp împotriva prelucrării neautorizate și ilegale a datelor cu caracter personal și împotriva accesului neautorizat la acestea, a pierderii sau a distrugerii accidentale a acestora sau a deteriorării datelor cu caracter personal și

(b) confirmarea faptului că auditul nu a dezvăluit nicio vulnerabilitate semnificativă în sistemele SumUp sau, în măsura în care s-a detectat o asemenea vulnerabilitate, că SumUp a remediat complet vulnerabilitatea respectivă.

În cazul în care măsurile de mai sus sunt insuficiente pentru a confirma respectarea Legislației aplicabile privind protecția datelor sau pentru a dezvălui unele probleme importante, Operatorul de date poate solicita, printr-o notificare scrisă către SumUp, cu cel puțin treizeci (30) de zile în avans, un audit al programului de conformitate SumUp privind protecția datelor, realizat de către auditori externi independenți. Ambele părți vor selecta împreună auditorii și vor conveni de comun acord asupra domeniului de aplicare, momentului și duratei auditului. Operatorul de date va lua toate măsurile rezonabile pentru a limita orice impact negativ al acestuia asupra companiei SumUp și este responsabil pentru toate costurile asociate cu cererea sa de revizuire a auditului, precum și pentru costurile rezultate din orice impact negativ, dacă este cazul. Operatorul de date va pune la dispoziția companiei SumUp rezultatul auditării programului său de conformitate privind protecția datelor.

9. Răspundere

Răspunderea fiecărei părți la prezentul APD este supusă excluderilor și limitărilor răspunderii prevăzute în Condițiile suplimentare și/sau în Condițiile generale. Sunteți de acord să despăgubiți și să protejați SumUp, pe cheltuiala dvs., împotriva oricăror costuri, pretenții, prejudicii sau cheltuieli suportate de SumUp sau pentru care SumUp poate deveni responsabilă din cauza faptului că dvs. sau angajații ori reprezentanții dvs. nu ați respectat obligațiile ce vă revin în temeiul prezentului APD. Fără a ține cont de prevederile contrare din prezentele Condiții generale și Condiții suplimentare, inclusiv prezentul APD, SumUp și Afiliații săi nu vor fi răspunzători pentru nicio pretenție emisă de o persoană vizată, rezultată din sau legată de acțiunile sau omisiunile SumUp sau ale oricărora dintre Afiliații săi, în măsura în care SumUp a acționat în conformitate cu instrucțiunile dvs. 

10. Încetare

Prezentul APD va rămâne în vigoare atât timp cât utilizați oricare dintre Serviciile SumUp. La încetarea utilizării Serviciilor și cu excepția cazului în care SumUp este obligată să păstreze Datele Clienților dvs. conform Condițiilor suplimentare și/sau Condițiilor generale SumUp sau conform oricărui acord sau oricărei legi aplicabile, SumUp va șterge, inclusiv la cererea dvs. scrisă, Datele Clienților dvs. cât mai curând posibil și în conformitate cu Condițiile generale SumUp și cu legile aplicabile.

11. Date agregate

Confirmați și acceptați faptul că SumUp poate prelucra date agregate de orice fel referitoare la dvs. și la Clienții dvs., inclusiv datele privind utilizarea Serviciilor. Clientul ia cunoștință, acceptă și consimte prin prezenta că SumUp poate folosi aceste date agregate (fără ca această listă să fie exhaustivă) pentru a analiza, a îmbunătăți și a opera Serviciile sale și, în general, pentru orice activitate comercială, pe toată durata APD, dar și după încetarea acestuia, pentru a contribui la analize de piață, a genera statistici, a îmbunătăți Produsele și Serviciile sale și siguranța acestora, urmând bunele practici industriale și/sau recomandările.

12. Diverse

12.1. În cazul unei contradicții între prezentul APD și oricare dintre Condițiile suplimentare și/sau Condițiile generale SumUp, prevederile prezentului APD vor prevala.

12.2. Sunteți responsabil pentru orice costuri și cheltuieli care decurg din respectarea de către SumUp a instrucțiunilor sau a solicitărilor dvs. în conformitate cu Condițiile suplimentare (inclusiv prezentul APD) care nu fac parte din funcționalitatea standard pusă la dispoziție de SumUp în general prin intermediul Serviciilor.

12.3. SumUp va avea dreptul de a modifica și/sau ajusta oricare dintre prevederile prezentului APD, după cum este necesar în mod periodic. Modificările aduse APD vor fi comunicate în mod corespunzător și vor fi efectuate de către SumUp într-o anexă separată sau printr-un alt mijloc vizibil, inclusiv prin postarea unei versiuni actualizate a DPA pe site-ul nostru. Legenda „Ultima modificare” din partea de sus a prezentului APD indică momentul în care prezentul APD a fost revizuit ultima dată.

12.4. Orice întrebări referitoare la prezentul APD sau alte solicitări privind prelucrarea datelor cu caracter personal trebuie transmise la adresa: [email protected]. SumUp va încerca să soluționeze reclamațiile privind utilizarea Datelor Clienților dvs. în conformitate cu prezentul APD, cu Condițiile și cu politicile interne ale SumUp.

12.5. În cazul în care oricare dintre prevederile APD este considerată nulă, acest lucru nu afectează restul prevederilor. Părțile vor înlocui prevederile nule cu o prevedere legală care reflectă scopul prevederii nule.

12.6. Prezentul APD va fi reglementat de și interpretat în conformitate cu legea ce reglementează Condițiile suplimentare aplicabile.