Acord privind prelucrarea datelor

Data intrării în vigoare: 16.01.2023

Modificat de la data de: 16.01.2023

Acest Acord de prelucrare a datelor („APD”) face parte din și este supus prevederilor Termenilor specifici SumUp aplicabili pentru Serviciul sau Serviciile pe care le puteți utiliza („Termeni suplimentari”) și orice alți termeni și condiții SumUp aplicabile, incluzând, dar fără a se limita la, Termenii generali SumUp (în documentul de față, în mod colectiv, „Termenii”) încheiați și conveniți de și între dvs. în calitate de comerciant SumUp („dvs.”, „Operator de date”) și entitatea contractantă a SumUp, după cum este indicat în Termenii suplimentari aplicabili („SumUp”, „noi”, „Procesor de date”), parte a companiilor grupului SumUp S.A.R.L. – Grupul SumUp.

Pentru a vă furniza Serviciile în conformitate cu Termenii suplimentari, SumUp prelucrează datele angajaților, clienților și/sau vizitatorilor și clienților magazinului dvs., site-ului și/sau utilizatorilor serviciilor dvs. („Clienții dvs.”, „Clienții”, „Clienții finali”). Prelucrarea acestor date de către SumUp este denumită în continuare „prelucrare” (după cum este definit termenul în conformitate cu Legislația aplicabilă privind protecția datelor). Următorul APD stabilește termenii unei astfel de prelucrări de către SumUp.

Fiecare parte este de acord și se va asigura că termenii acestui APD vor fi, de asemenea, pe deplin aplicabili afiliaților săi, care pot fi implicați în prelucrarea datelor cu caracter personal pentru Serviciile definite în Termenii suplimentari. În mod specific, SumUp se va asigura că toți subcontractanții respectă aceiași termeni ca acest APD atunci când prelucrează datele clienților dumneavoastră.

1. Definiții

1.1. „Legislația aplicabilă privind protecția datelor” înseamnă toate legile referitoare la prelucrarea datelor cu caracter personal în conformitate cu Termenii suplimentari, Termenii și prezentul APD, inclusiv, dar fără a se limita la, Legea privind protecția datelor din 2018, Regulamentul general al UE privind protecția datelor 2016/679 („RGPD”, „Regulamentul”), Directiva 2002/58/CE, după cum sunt puse în aplicare în fiecare jurisdicție, precum și toate modificările sau toate celelalte legi, regulamente și orientări de reglementare aplicabile sau înlocuitoare la nivel internațional, regional sau național privind protecția datelor.

1.2. Termenii „operator”, „subiect al datelor”, „date cu caracter personal”, „prelucrare”, și „procesor” au semnificațiile date acestor termeni în Legislația aplicabilă privind protecția datelor.

1.3. „Conținut” înseamnă Conținutul dvs. și orice conținut furnizat companiei SumUp de la clienții dvs., inclusiv, dar fără a se limita la text, fotografii, imagini, audio, video, cod, informații din cookie-uri sau din tehnologii de urmărire similare și orice alte materiale.

1.4. „Datele dvs.”, „Datele clienților dvs.” înseamnă datele cu caracter personal din Conținut prelucrate de SumUp, în numele dvs., ca parte a Serviciilor și/sau a angajaților, contabililor și/sau Datelor clienților dvs., după cum sunt prelucrate în numele dvs. pentru prestarea Serviciilor. Datele clienților dvs. nu includ date cu caracter personal în cazul în care aceste date sunt controlate de SumUp în conformitate cu acest APD și cu Politica de confidențialitate SumUp. 

1.5. Toate definițiile care sunt utilizate în prezentul APD, dar nu au o definiție explicită în această secțiune, vor avea semnificația definită în Termenii suplimentari. Dacă nu există o definiție specifică în Termenii suplimentari sau în Termeni, semnificația lor va fi cea dată în Legislația aplicabilă privind protecția datelor.

2. Aplicabilitate. Acest APD se aplică numai în ceea ce privește Datele clienților dvs., după cum sunt prelucrate de SumUp în numele dvs. în scopul furnizării Serviciilor. Sunteți de acord că SumUp nu este responsabilă pentru datele cu caracter personal pe care ați ales să le procesați prin intermediul serviciilor terților sau în afara Serviciilor, inclusiv sistemele oricăror alte servicii cloud ale terților, offline sau de stocare la fața locului.

3. Detalii privind prelucrarea datelor. SumUp va prelucra datele cu caracter personal în conformitate cu Anexa 1 a prezentului acord.

4. Drepturi și obligații

4.1. În măsura în care datele clienților dvs. sunt prelucrate de SumUp în numele dvs., iar această prelucrare este supusă Legislației aplicabile privind protecția datelor, recunoașteți și sunteți de acord că, în scopul furnizării Serviciilor de către SumUp, sunteți Operatorul de date cu caracter personal al acestor date cu caracter personal și, prin utilizarea Serviciilor SumUp, ați instruit SumUp să prelucreze Datele clienților dvs. în numele dvs., în conformitate cu prezentul APD.

4.2. Puteți revoca acceptarea acestui APD în orice etapă, dar făcând acest lucru SumUp nu vă va mai putea furniza Serviciul.

4.3. SumUp, în calitatea sa de procesor de date cu caracter personal:

a. Prelucrează Datele clienților dvs. numai în scopurile specificate în APD și în conformitate cu legislația aplicabilă și cu APD;

b. Poate acționa și prelucra Datele clienților dvs. numai în conformitate cu instrucțiunile dvs. documentate, cu excepția cazului în care legea, o hotărâre judecătorească sau o măsură legislativă impun acționarea fără astfel de instrucțiuni. Instrucțiunile dvs., în momentul participării la acest APD, subliniază faptul că SumUp poate prelucra Datele clienților dvs. numai în scopul livrării Serviciilor, așa cum este descris în APD și în Termenii suplimentari. Sub rezerva termenilor acestui APD și cu acordul reciproc al ambelor părți, puteți emite instrucțiuni scrise suplimentare în conformitate cu termenii acestui APD;

c. Garantează că persoanele autorizate să prelucreze date cu caracter personal și-au asumat obligația de confidențialitate sau au obligația legală de a-și păstra obligațiile de confidențialitate;

d. Garantează că accesul la datele cu caracter personal este acordat pe baza necesității de cunoaștere și are legătură cu prestarea Serviciilor în conformitate cu Termenii suplimentari;

e. Are responsabilitatea de a se asigura că angajații/subcontractanții și/sau orice agenți care prelucrează Datele clienților dvs. prelucrează datele cu caracter personal numai în conformitate cu instrucțiunile dvs.;

f. Vă vom informa imediat în cazul în care considerăm că unele dintre instrucțiunile dvs. contravin legislației aplicabile privind protecția datelor;

g. Este obligată să protejeze datele clienților dvs. în temeiul acestui APD împotriva oricărei distrugeri, modificări, pierderi sau a altor prelucrări neautorizate. În acest scop, SumUp ia măsurile de securitate adecvate în conformitate cu legislația aplicabilă. Este posibil ca SumUp să poate introduce unele măsuri alternative adecvate. Nu este posibil să se scadă nivelul măsurilor de securitate definite atunci când se introduc astfel de alternative. SumUp vă va ajuta cu măsuri tehnice și organizatorice adecvate, după cum este necesar și, având în vedere natura tratamentului și categoria de informații disponibile pentru SumUp, vă va ajuta să asigurați respectarea obligațiilor dvs. în temeiul legislației aplicabile privind protecția datelor.

h. La cererea dvs. rezonabilă, vă pune la dispoziție certificări care demonstrează conformitatea SumUp cu obligațiile care îi revin în temeiul prezentului APD și al legislației aplicabile privind protecția datelor; și/sau vă pune la dispoziție informațiile necesare pentru a demonstra respectarea obligațiilor care decurg din prezentul APD și din legislația aplicabilă privind protecția datelor. Informațiile care urmează să vă fie puse la dispoziție de către SumUp se limitează exclusiv la informațiile care sunt necesare, după cum sunt definite de SumUp, ținând seama de natura Serviciilor și de informațiile disponibile pentru SumUp, pentru a vă ajuta să vă respectați obligațiile, în special în ceea ce privește obligațiile de evaluare a impactului asupra protecției datelor, consultarea prealabilă și asigurarea securității datelor cu caracter personal;

i. Vă va ajuta, în termene rezonabile, prin măsuri adecvate și, în măsura în care este posibil în mod rezonabil (având în vedere natura prelucrării), cu respectarea drepturilor subiecților datelor și a tuturor celorlalte obligații relevante în temeiul legislației aplicabile privind protecția datelor;

j. Vă va trimite o notificare, dacă acest lucru este permis de legea aplicabilă, la primirea unei solicitări sau a unei plângeri din partea unei persoane ale cărei date cu caracter personal sunt prelucrate în conformitate cu APD sau a unei cereri cu caracter obligatoriu din partea unui guvern, a unei autorități de aplicare a legii, a unui organism de reglementare sau a altui organism, cu privire la Datele clienților dumneavoastră pe care le prelucrăm în numele dumneavoastră și în conformitate cu instrucțiunile dumneavoastră.

4.4. Dumneavoastră, în calitate de operator de date cu caracter personal:

a. Veți colecta, utiliza și prelucra datele cu caracter personal în conformitate cu fiecare și cu toate legile aplicabile privind protecția datelor;

b. Veți avea responsabilitatea exclusivă pentru acuratețea, calitatea și prelucrarea legală a Datelor clienților dvs. și a mijloacelor prin care acestea au fost obținute;

c. Veți asigura un nivel adecvat de securitate atunci când utilizați Serviciile, luând în considerare orice riscuri cu privire la Datele clienților dumneavoastră.;

d. Veți recunoaște că orice stocare și/sau transfer pe care îl faceți din Datele clienților dumneavoastră către orice terță parte sau platformă, alta decât SumUp, va fi pe riscul și responsabilitatea dumneavoastră;

e. Vă veți asigura că instrucțiunile dvs. cu privire la prelucrarea datelor cu caracter personal respectă toate legile, reglementările și regulile aplicabile în legătură cu Datele clienților dumneavoastră. De asemenea, vă veți asigura că prelucrarea Datelor clienților dvs. în conformitate cu instrucțiunile dvs. nu va cauza sau nu va duce la încălcarea de către noi sau de către dvs. a oricăror legi, reguli sau reglementări;

f. Veți furniza clienților dvs. informațiile necesare despre cum și de ce sunt prelucrate datele acestora, în conformitate cu cerințele legislației aplicabile privind protecția datelor.

5. Notificări privind încălcarea. Partea informează imediat (dar nu mai târziu de 48 de ore) cealaltă parte  după ce ia cunoștință de o încălcare a securității datelor cu caracter personal în ceea ce privește datele cu caracter personal prelucrate în temeiul prezentului DPA. SumUp vă va ajuta să vă respectați obligațiile de notificare privind încălcarea securității datelor, vă va furniza orice informații despre încălcare pe care suntem în mod rezonabil în măsură să vi le divulgăm, luând în considerare natura Serviciilor, informațiile pe care le avem la dispoziție și orice restricții privind divulgarea informațiilor, cum ar fi din cauza cerințelor de confidențialitate. În ciuda celor de mai sus, obligațiile SumUp în temeiul acestei secțiuni nu se aplică incidentelor care sunt cauzate de dvs., oricărei activități din contul dvs. și/sau activității serviciilor terților. SumUp este obligată să coopereze și să vă sprijine în ceea ce privește investigația, minimizarea consecințelor negative și rectificarea încălcării securității datelor cu caracter personal, precum și prevenirea viitoarelor încălcări similare ale securității datelor. Notificarea SumUp cu privire la o încălcare a securității datelor cu caracter personal nu va fi considerată ca o confirmare de către SumUp a oricărei culpe sau a oricărei răspunderi cu privire la un astfel de incident. În cazul unei încălcări a securității datelor cu caracter personal, veți fi obligat să luați măsurile necesare în conformitate cu legile aplicabile în legătură cu Datele clienților dumneavoastră.

6. Subcontractanți. Prin prezenta, acordați companiei SumUp autorizația generală de a angaja subcontractanți pentru a furniza Serviciile fără a obține nicio altă autorizație scrisă și specifică. SumUp va executa un acord cu fiecare subcontractant care asigură respectarea de către subcontractantul menționat a unor termeni care asigură cel puțin același nivel de protecție și securitate ca și cele stabilite în prezentul APD. Dacă vă opuneți oricărui subcontractant, iar obiecția dvs. este rezonabilă și are legătură cu protecția datelor, vom depune eforturi rezonabile din punct de vedere comercial pentru a vă pune la dispoziție un mijloc de a evita prelucrarea datelor clienților dvs. de către subcontractantul contestat. Dacă nu putem asigura aceste modificări sugerate într-un termen rezonabil, vă vom notifica și, dacă vă opuneți în continuare utilizării de către noi a subcontractantului respectiv, vă puteți anula sau închide contul sau, dacă este posibil, porțiunile Serviciilor care implică utilizarea respectivului subcontractant.

7. Transferul datelor cu caracter personal. Procesarea datelor dvs. de client se va face pe teritoriul Spațiului Economic European („SEE”) și al Regatului Unit. Orice transfer către sau procesare într-o terță țară din afara UE/SEE și a Regatului Unit care nu asigură un nivel de protecție adecvat prin adoptarea reglementării de adecvare a Regatului Unit, conform legislației aplicabile privind protecția datelor cu caracter personal, se va realiza în conformitate cu Clauzele contractuale standard sau cu alte mecanisme corespunzătoare care garantează un nivel adecvat de securitate a datelor cu caracter personal conform cerințelor legislației aplicabile privind protecția datelor cu caracter personal.

8. Audituri. Aveți dreptul de a iniția, o dată pe an, o revizuire a obligațiilor companiei SumUp impuse de acest ADP. Ambele părți decid împreună dacă auditul trebuie realizat de un terț. Cu toate acestea, ne puteți permite să delegăm un terț neutru ales de noi pentru a realiza verificarea securității. Dacă scopul propus al auditului respectă o certificare ISO sau un raport similar de certificare realizat de un auditor terț calificat în ultimele douăsprezece luni, iar SumUp confirmă că nu s-au înregistrat modificări materiale în măsurile revizuite, acest lucru va acoperi orice solicitări primite în intervalul specificat. Auditurile nu trebuie să afecteze fără motiv activitatea obișnuită a companiei SumUp. Sunteți responsabil pentru toate costurile asociate cu solicitarea dvs. de auditare. O dată pe an, în urma unei solicitări scrise depuse de Operatorul de date și în măsura impusă de legislația aplicabilă privind protecția datelor, SumUp convine să coopereze și, într-un interval rezonabil de timp, să îi furnizeze Operatorului de date:

(a) un rezumat al rapoartelor de audit care demonstrează eficacitatea măsurilor tehnice și organizaționale luate de SumUp împotriva procesării neautorizate și ilegale a datelor cu caracter personal și împotriva accesului neautorizat la acestea, pierderea sau distrugerea accidentală a acestora sau deteriorarea datelor cu caracter personal și

(b) confirmarea că auditul nu a dezvăluit nicio vulnerabilitate materială în sistemele SumUp sau, în măsura în care s-a detectat o asemenea vulnerabilitate, că SumUp a remediat complet vulnerabilitatea respectivă.

În cazul în care măsurile de mai sus sunt insuficiente pentru a confirma respectarea Legislației aplicabile privind protecția datelor sau pentru a dezvălui unele probleme materiale, Operatorul de date poate solicita, printr-o notificare scrisă către SumUp, cu cel puțin treizeci (30) de zile înainte, un audit al programului de conformitate SumUp privind protecția datelor, realizat de către auditori externi independenți. Ambele părți trebuie să selecteze în comun auditorii și vor conveni de comun acord asupra domeniului, momentului și duratei auditului. Operatorul de date va lua toate măsurile rezonabile pentru a limita orice impact negativ al acestuia asupra companiei SumUp și este responsabil pentru toate costurile asociate cu cererea sa de revizuire a auditului, precum și pentru costurile rezultate din orice impact negativ, dacă este cazul. Operatorul de date va pune la dispoziția companiei SumUp rezultatul auditului programului său de conformitate privind protecția datelor.

9. Răspundere. Răspunderea fiecărei părți în temeiul prezentului APD este supusă excluderilor și limitărilor de răspundere stabilite în Termenii suplimentari și/sau în Termeni. Sunteți de acord să plătiți despăgubiri și să apărați SumUp pe cheltuiala dumneavoastră împotriva tuturor costurilor, pretențiilor, daunelor sau cheltuielilor suportate de SumUp sau pentru care SumUp poate deveni răspunzătoare din cauza oricărei nerespectări de către dumneavoastră sau de către angajații sau agenții dumneavoastră ale obligațiilor din acest APD.

10. Reziliere. Acest APD va fi în vigoare atâta timp cât utilizați oricare dintre Serviciile SumUp. La încetarea utilizării Serviciilor și cu excepția cazului în care SumUp este obligată să păstreze datele clienților dvs. conform Termenilor suplimentari și/sau Termenilor SumUp sau conform oricărui acord sau oricărei legi aplicabile, SumUp va șterge, inclusiv la cererea scrisă a dvs., datele clienților dvs. cât mai curând posibil și în conformitate cu Termenii SumUp și legile aplicabile.

11. Date anonime agregate. Recunoașteți și acceptați faptul că SumUp poate prelucra date agregate de orice fel referitoare la dvs. și la clienții dvs., inclusiv datele de utilizare a Serviciilor. Clientul ia la cunoștință, acceptă și consimte prin prezenta că SumUp poate folosi aceste date anonime agregate (fără ca această listă să fie exhaustivă) pentru a analiza, a îmbunătăți și a opera Serviciile sale și, în general, pentru orice activitate comercială, pe toată durata APD dar și după încetarea acestuia, pentru a contribui la analize de piață, a produce statistici, a îmbunătăți Produsele și Serviciile sale și siguranța acestora, urmând bunele practici industriale și/sau recomandări.

12. Diverse

12.1. În cazul unui conflict între acest APD și oricare dintre Termenii suplimentari și/sau Termenii SumUp, prevederile prezentului APD vor prevala.

12.2. Sunteți responsabil pentru orice costuri și cheltuieli care decurg din respectarea de către SumUp a instrucțiunilor sau solicitărilor dvs. în conformitate cu Termenii suplimentari (inclusiv acest APD) care nu fac parte din funcționalitatea standard pusă la dispoziție de SumUp în general prin intermediul Serviciilor.

12.3. SumUp are dreptul de a modifica și/sau ajusta oricare dintre termenii acestui APD, după cum este necesar din când în când. Modificările aduse APD vor fi comunicate în mod corespunzător și efectuate de Către SumUp într-o anexă separată sau într-un alt mijloc vizibil, inclusiv postarea unei versiuni actualizate a DPA pe site-ul nostru web. Legenda „Ultima modificare” din partea de sus a acestui APD indică momentul în care acest APD a fost revizuit ultima dată.

12.4. Orice întrebări referitoare la acest APD sau alte solicitări privind procesarea datelor cu caracter personal trebuie adresate la dpo@sumup.com. SumUp va încerca să rezolve reclamațiile privind utilizarea datelor dvs. de client în conformitate cu acest APD, cu Termenii și politicile interne ale SumUp.

12.5. Dacă vreo prevedere a APD e considerată a fi nevalidă, acest lucru nu afectează restul prevederilor. Părțile vor înlocui prevederile nevalide cu o prevedere legală care reflectă scopul prevederii nevalide.

12.6. Acest APD va fi reglementat de către și interpretat în conformitate cu legea aplicabilă Termenilor suplimentari aplicabili.

Anexa nr. 1

1. Obiect. Obiectul este prelucrarea datelor în cadrul acestui APD.

2. Scopul și natura prelucrării. Scopul prelucrării datelor în cadrul acestui APD este furnizarea și îmbunătățirea Serviciilor inițiate de dumneavoastră.

3. Durata. După cum ne-am înțeles, durata prelucrării datelor în temeiul acestui APD este determinată de dvs. și pentru perioada selectată pentru care alegeți să utilizați Serviciile noastre.

4. Categoriile subiecților datelor. Clienții dvs., potențialii clienți ai clienților dvs., angajații, contabilii (pentru facturare și contabilitate) și/sau orice alte persoane ale căror date cu caracter personal sunt incluse în Conținut. Pentru Cardurile Cadou, cumpărătorii de Carduri Cadou și/sau destinatarii Cardurilor Cadou sau alte persoane ale căror date cu caracter personal sunt prelucrate ca parte a Serviciilor de Carduri Cadou în conformitate cu Termenii suplimentari și cu Termenii SumUp.

5. Tipul datelor cu caracter personal. Datele clienților dvs. sunt prelucrate ca parte a Serviciilor, în conformitate cu Termenii și instrucțiunile date. Aceste date pot diferi în funcție de Serviciile utilizate și pot include, dar nu se limitează la:

Magazin online

Numele clienților dvs., adresa de e-mail, numărul de telefon mobil/fix, adresa fizică (adresele fizice), detaliile de plată, istoricul tranzacțiilor/comenzilor, adresa IP, informațiile din cookie-uri și tehnologii similare, preferințele de marketing. 

Carduri Cadou

Numele și adresele de e-mail ale clienților care efectuează achizițiile și care primesc Cardurile Cadou, sumele Cardurilor Cadou, mesajele Cardurilor Cadou.

Facturare și contabilitate

Numele, adresa fizică (adresele fizice), numărul de telefon mobil/fix, adresa (adresele) de e-mail, numerele de cont și/sau detaliile bancare, subiectul facturii, datele privind tranzacțiile/comenzile, starea facturilor. 

Pentru POS

Numele, adresa fizică (adresele fizice), numărul de telefon mobil/fix, adresa (adresele) de e-mail, date despre tranzacții/comenzi, comentarii, pentru angajații dvs. - numărul angajatului, acreditările de conectare, adresa IP, rolul, adresa de e-mail, comenzile, preferințele privind limba. 

Categoriile speciale de date cu caracter personal, inclusiv datele referitoare la condamnări penale și infracțiuni, nu sunt considerate a fi prelucrate în cadrul Serviciilor; acestea sunt excluse din termenii acestui APD. Dacă astfel de date sunt prelucrate în timpul utilizării Serviciilor noastre, acest lucru are loc fără ca SumUp să aibă cunoștință în această privință, și trebuie să ștergeți aceste informații imediat după ce identificați o astfel de prelucrare.