Sporazum o obdelavi podatkov
V veljavi od 16. 1. 2023
Spremenjeno 16. 1. 2023
Ta sporazum o varstvu podatkov je del in predmet določb specifičnih pogojev SumUp, ki veljajo za storitve, ki jih morda uporabljate (»dodatni pogoji«), in med drugim vseh drugih veljavnih določil in pogojev SumUp Splošni pogoji družbe SumUp (v nadaljevanju »pogojev«), ki so sklenjeni med vami kot trgovcem SumUp (»vi«, »upravljavec osebnih podatkov«) in pogodbenim subjektom, kot je navedeno v veljavnih dodatnih pogojih (»SumUp«, »mi«, »obdelovalec osebnih podatkov«), ki je del skupine družbe SumUp S.A.R.L. Group Companies – Skupina SumUp.
Za zagotovitev storitev v skladu z dodatnimi pogoji SumUp obdeluje osebne podatke vaših zaposlenih, strank in/ali obiskovalcev in strank vaše trgovine, spletnega mesta in/ali uporabnikov storitev (»vaše stranke«, »stranke«, »končni kupci«). Obdelava teh podatkov pri SumUp se v nadaljevanju imenuje »obdelava« (kot je ta izraz opredeljen v veljavni zakonodaji o varstvu podatkov). Naslednji sporazum o varstvu podatkov določa pogoje takšne obdelave s strani SumUpa.
Obe stranki se strinjata in bosta zagotovili, da se pogoji te pogodbe o varstvu podatkov v celoti uporabljajo tudi za podružnice, ki so lahko vključene v obdelavo osebnih podatkov za storitve, kot so opredeljene v dodatnih pogojih. SumUp bo zlasti poskrbel, da vsi podobdelovalci pri obdelavi podatkov vaših strank delujejo skladno z enakimi pogoji, kot so zapisani v tej pogodbi o varstvu podatkov.
1. Definicije
1.1. »Veljavna zakonodaja o varstvu podatkov« pomeni vse zakone, ki se nanašajo na obdelavo osebnih podatkov v skladu z dodatnimi pogoji, pogoji in tem sporazumom o obdelavi podatkov, kar med drugim vključuje tudi Zakon o varstvu podatkov iz leta 2018, splošno uredbo EU o varstvu podatkov 2016/679 (»GDPR«, »uredba«) in Direktivo EU o zasebnosti in elektronski komunikaciji 2002/58/ES, kot se izvajajo v vseh jurisdikcijah, in vse dopolnitve ali druge ustrezne ali nadomestne mednarodne, regionalne in nacionalne zakone, uredbe in predpise o varstvu podatkov.
1.2. Izrazi »upravljavec«, »posameznik, na katerega se nanašajo osebni podatki«, »osebni podatki«, »obdelava« in »obdelovalec«« imajo pomen, kot je opredeljen v veljavni zakonodaji o varstvu podatkov.
1.3. »Vsebina« pomeni vašo vsebino in morebitno vsebino, ki jo SumUpu zagotovijo vaše stranke, kar med drugim vključuje besedila, fotografije, slike, zvok, video, kode, informacije iz piškotkov ali podobnih tehnologij spremljanja in morebitnih drugih gradiv.
1.4. »Vaši podatki«, »podatki vaših strank« pomeni osebne podatke v vsebini, kot jih obdela SumUp v vašem imenu kot del storitev in/ali vaši zaposleni, računovodje in/ali podatki strank, ki so obdelani v vašem imenu za izvedbo storitev. Podatki vaših strank ne vključujejo osebnih podatkov, če takšne podatke upravlja SumUp skladno s tem sporazumom o varstvu podatkov in pravilnikom o zasebnosti SumUp.
1.5. Vse definicije, ki se uporabljajo v tem sporazumu o varstvu podatkov, vendar v tem razdelku nimajo izrecne opredelitve, imajo pomen določen v dodatnih pogojih. Če v dodatnih pogojih ali pogojih posebne definicije niso določene, imajo pomen, naveden v veljavni zakonodaji o varstvu podatkov.
2. Uporaba. Ta sporazum o varstvu podatkov se uporablja samo za podatke vaših strank kot jih obdela SumUp v vašem imenu za namene zagotavljanja storitev. Strinjate se, da SumUp ne odgovarja za osebne podatke, za katere ste izbrali obdelavo prek storitev tretjih oseb ali izven obsega storitev, vključno s sistemi drugih storitev v oblaku tretjih strank, shranjevanjem brez povezave ali na kraju samem.
3. Podrobnosti o obdelavi podatkov. SumUp bo osebne podatke obdelal v skladu z Dodatkom 1, priloženem temu sporazumu.
4. Pravice in obveznosti
4.1. V obsegu, v katerem SumUp obdeluje podatke vaših strank v vašem imenu in je ta obdelava predmet veljavne zakonodaje o varstvu podatkov, potrjujete in se strinjate, da ste za namene zagotavljanja storitev s strani SumUp vi upravljavec teh osebnih podatkov in z uporabo storitev SumUp naročate podjetju SumUp, da v vašem imenu obdeluje podatke vaših strank v skladu s tem sporazumom o varstvu podatkov.
4.2. Sprejem tega sporazuma o varstvu podatkov lahko kadar koli prekličete, vendar vam SumUp v tem primeru ne bo mogel več zagotavljati storitev.
4.3. SumUp v vlogi obdelovalca osebnih podatkov:
a. Podatke vaših strank obdeluje samo za namene, določene v sporazumu o varstvu podatkov in v skladu z veljavno zakonodajo in sporazumom o varstvu podatkov.
b. Lahko deluje in obdeluje podatke vaših strank samo v skladu z vašim dokumentiranim navodilom, razen če to zahteva zakon, odredba sodišča ali zakonodajni ukrep, da lahko deluje brez takšnih navodil. Vaša navodila ob sklenitvi tega sporazuma o varstvu podatkov so, da lahko SumUp obdeluje podatke vaših strank samo za namene zagotavljanja storitev, kot je opisano v sporazumu o varstvu podatkov in dodatnih pogojih. Ob spoštovanju določb tega sporazuma o varstvu podatkov in z medsebojnim dogovorom obeh strank lahko izdate dodatna pisna navodila, skladna s pogoji tega sporazuma o varstvu podatkov.
c. Jamči, da so osebe, pooblaščene za obdelavo osebnih podatkov, prevzele obveznost zaupnosti ali so zakonsko dolžne ohranjati obveznosti zaupnosti.
d. Zagotavlja, da je dostop do osebnih podatkov omogočen na podlagi potrebe po seznanitvi z izvajanjem storitev v skladu z dodatnimi pogoji.
e. Je odgovoren za to, da zaposleni/podizvajalci in/ali zastopniki, ki obdelujejo podatke vaših strank, obdelujejo osebne podatke samo v skladu z vašimi navodili.
f. Vas takoj obvesti, če meni, da so nekatera ali katera od vaših navodil v nasprotju z veljavno zakonodajo o varstvu podatkov.
g. Je dolžan zaščititi podatke vaših strank v skladu s tem sporazumom o varstvu podatkov pred uničenjem, spreminjanjem, izgubo ali kakršno koli drugo nepooblaščeno obdelavo. V ta namen SumUp sprejme ustrezne varnostne ukrepe v skladu z veljavno zakonodajo. Možno je, da bo SumUp uvedel nekaj alternativnih ustreznih ukrepov. Pri uvedbi takšnih alternativ ni mogoče zmanjšati ravni opredeljenih varnostnih ukrepov. SumUp vam bo po potrebi pomagal z ustreznimi tehničnimi in organizacijskimi ukrepi in glede na naravo obdelave in kategorijo podatkov, ki jih ima SumUp na voljo, pomagal zagotoviti skladnost z obveznostmi v skladu z veljavno zakonodajo o varstvu podatkov.
h. Na vašo razumno zahtevo omogoči dostop do potrdil, ki dokazujejo, da SumUp izpolnjuje svoje obveznosti iz tega sporazuma o varstvu podatkov in veljavne zakonodaje o varstvu podatkov; in/ali da na voljo informacije, potrebne za dokazovanje skladnosti z obveznostmi iz tega sporazuma o varstvu podatkov in veljavne zakonodaje o varstvu podatkov. Informacije, ki jih mora dati na razpolago SumUp, so omejene na izključno potrebne informacije, kot jih opredeljuje SumUp, ob upoštevanju narave storitev in informacij, ki jih ima na voljo SumUp, da vam pomaga pri izpolnjevanju vaših obveznosti, zlasti v zvezi z obveznostmi glede ocene učinka na varstvo podatkov, predhodno posvetovanje in zagotavljanje varnosti osebnih podatkov.
i. Vam bo v razumnih rokih pomagal z ustreznimi ukrepi in, če je to razumno mogoče (glede na naravo obdelave), pri ravnanju v skladu s pravicami posameznika, na katerega se nanašajo osebni podatki, in vseh drugih ustreznih obveznostih v skladu z veljavno zakonodajo o varstvu podatkov.
j. Vas bo obvestil, če to dovoljuje veljavna zakonodaja, ob prejemu povpraševanja ali pritožbe posameznika, katerega osebni podatki so obdelani v skladu s sporazumom o varstvu podatkov, ali zavezujoče zahteve vlade, organov pregona, regulativnega ali drugega organa v zvezi s podatki vaših strank, ki jih obdelujemo v vašem imenu in po vaših navodilih.
4.4. Vi kot upravljavec osebnih podatkov:
a. Boste zbirali, uporabljali in obdelovali osebne podatke v skladu z vso veljavno zakonodajo o varstvu podatkov.
b. Ste izključno odgovorni za točnost, kakovost in zakonito obdelavo podatkov vaših strank ter sredstva, s katerimi so bili pridobljeni.
c. Zagotavljate ustrezno raven varnosti pri uporabi storitev, pri čemer upoštevate vsa tveganja, povezana s podatki vaših strank.
d. Potrjujete, da je vsako shranjevanje in/ali prenos podatkov vaših strank, na katero koli tretjo osebo ali platformo, razen družbe SumUp, na vaše lastno tveganje in odgovornost.
e. Zagotavljate, da bodo vaša navodila glede obdelave osebnih podatkov skladna z vsemi zakoni, predpisi in pravili, ki se uporabljajo v povezavi s podatki vaših strank. Prav tako zagotavljate, da obdelava podatkov vaših strank v skladu z vašimi navodili ne bo povzročila ali imela za posledico, da bi vi ali mi kršili zakone, pravila ali predpise.
f. Strankam podate potrebne informacije o tem, kako in zakaj se obdelujejo njihovi podatki v skladu z zahtevami veljavne zakonodaje o varstvu podatkov.
5. Obvestila o kršitvah. Stranka mora nemudoma obvestiti drugo stranko (vendar najpozneje v 48 urah), ko izve za kršitev varnosti osebnih podatkov v zvezi z osebnimi podatki, ki se obdelujejo v skladu s tem sporazumom o varstvu podatkov. SumUp vam bo pomagal pri izpolnjevanju obveznosti glede obveščanja o kršitvi varnosti osebnih podatkov, vam zagotovil podatke o kršitvi, ki vam jih razumno lahko razkrije, ob upoštevanju narave storitve, informacije, ki so nam na voljo, in kakršne koli omejitve glede razkritja informacij, na primer zaradi zahtev glede zaupnosti. Kljub zgoraj navedenemu, obveznosti podjetja SumUp v tem razdelku ne veljajo za incidente, ki jih povzročite, kakršne koli dejavnosti na vašem računu in/ali za storitve tretjih oseb. SumUp je dolžan sodelovati in vas podpirati pri preiskavi, zmanjševanju negativnih posledic in odpravi kršitve varnosti osebnih podatkov ter preprečevanju prihodnjih podobnih kršitev varnosti osebnih podatkov. Obvestilo o kršitvi varnosti osebnih podatkov družbe SumUp se ne bo štelo kot potrditev kakršne koli napake ali odgovornosti v zvezi s takšnim incidentom s strani družbe SumUp. V primeru kršitve varnosti osebnih podatkov ste dolžni sprejeti ukrepe, ki jih zahteva veljavna zakonodaja v zvezi s podatki vaših strank.
6. Podobdelovalci. S tem podelite SumUpu splošno pooblastilo za vključevanje podobdelovalcev za zagotavljanje storitev brez nadaljnjega pisnega ali posebnega pooblastila. SumUp bo sklenil pogodbo z vsakim podobdelovalcem in tako zagotovil, da takšen podobdelovalec ravna v skladu s pogoji, ki zagotavljajo vsaj enako raven zaščite in varnosti, kot so določeni v tem sporazumu o varstvu podatkov. Če ugovarjate kateremu koli podobdelovalcu in je vaš ugovor razumen in povezan s pomisleki glede varstva podatkov, bomo uporabili tržno razumna prizadevanja, da vam damo na voljo sredstvo za izogibanje obdelavi podatkov vaših strank s strani podobdelovalca, ki se mu nasprotuje. Če takšnih predlaganih sprememb ne bomo mogli omogočiti v razumnem času, vas bomo o tem obvestili in če še vedno nasprotujete naši uporabi takega podobdelovalca, lahko prekličete ali ukinete svoj račun ali, če je mogoče, dele storitve, ki vključujejo uporabo tega podobdelovalca.
7. Prenos osebnih podatkov. Obdelava podatkov vaših strank se mora izvajati na ozemlju Evropskega gospodarskega prostora (»EGP«) in Združenega kraljestva. Vsak prenos in obdelava v tretjo državo zunaj EU/EGP in Združenega kraljestva, ki po mnenju veljavne zakonodaje o varstvu podatkov (kot je to zagotovljeno v sprejetih predpisih o primernosti v ZK) ne zagotavlja ustrezne ravni zaščite, se izvede v skladu s standardnimi pogodbenimi klavzulami ali drugim ustreznim mehanizmom, ki zagotavlja ustrezno raven varnosti osebnih podatkov v skladu z zahtevami ustrezne zakonodaje o varstvu podatkov.
8. Revizije. Upravičeni ste, da enkrat letno uvedete pregled obveznosti družbe SumUp v skladu s tem sporazumom o varstvu podatkov. Obe stranki se skupaj odločita, ali naj revizijo izvede tretja oseba. Lahko pa nam dovolite, da varnostni pregled izvede nevtralna tretja oseba po naši izbiri. Če predlagani obseg presoje sledi ISO ali podobnemu certifikacijskemu poročilu, ki ga je v preteklih dvanajstih mesecih izvedel usposobljeni neodvisni revizor, in SumUp potrdi, da ni bilo bistvenih sprememb v ukrepih, ki se pregledujejo, bo to izpolnilo vse prejete zahteve v takem časovnem okviru. Revizije ne smejo neupravičeno ovirati običajnih dejavnosti poslovanja SumUp. Odgovorni ste za vse stroške, povezane z zahtevo za revizijski pregled. Enkrat letno na podlagi predhodne pisne zahteve upravljavca podatkov in v obsegu, ki ga predpisuje ustrezna zakonodaja o varstvu podatkov, se SumUp strinja, da bo sodeloval in v razumnem času upravljavcu podatkov zagotovil naslednje:
(a) povzetek poročil revizije, ki prikazuje učinkovitost tehničnih in organizacijskih ukrepov, ki jih je SumUp sprejel proti nepooblaščeni ali nezakoniti obdelavi osebnih podatkov ali proti neodobrenem dostopu, nenamerni izgubi ali uničenju ali poškodbi osebnih podatkov in
b) potrditev, da revizija ni razkrila kakršne koli materialne ranljivosti v SumUpovih sistemih ali če je bila takšna ranljivost zaznana, da je SumUp v celoti odpravil takšno ranljivost.
Če so zgoraj navedeni ukrepi nezadostni za potrditev skladnosti z ustrezno zakonodajo o varstvu podatkov ali razkrijejo kakšne materialne težave, lahko upravljavec podatkov zahteva, če vsaj trideset (30) dni prej pošlje pisno obvestilo SumUpu, revizijo SumUpovega programa za zagotavljanje skladnosti glede zaščite podatkov, ki ga opravijo neodvisni zunanji revizorji. Obe stranki skupaj izbereta revizorje in se morata strinjati glede obsega, časovnega načrta in trajanja revizije. Upravljavec podatkov mora sprejeti razumne ukrepe, ki omejujejo morebiten škodljiv učinek tega na SumUp in je odgovoren za vse stroške, povezane z njegovo zahtevo za pregled revizije ter vse stroške, ki izhajajo iz škodljivega učinka, če ti nastanejo. Upravljavec podatkov bo SumUpu omogočil dostop do rezultatov revizije njegovega programa za zagotavljanje skladnosti glede zaščite podatkov.
9. Odgovornost. Odgovornost posamezne stranke v skladu s tem sporazumom o varstvu podatkov je predmet izvzetja in omejitev odgovornosti, opredeljene v dodatnih pogojih in/ali pogojih. Strinjate se, da odgovornosti odvezujete in na svoje stroške branite SumUp ter jamčite za vso izgubo, zahtevke, škodo ali stroške, ki jih utrpi SumUp ali za kar bi lahko SumUp postal odgovoren zaradi vašega neizpolnjevanja obveznosti, neizpolnjevanja s strani vaših zaposlenih ali predstavnikov v skladu s tem sporazumom o obdelavi podatkov.
10. Prekinitev. Ta sporazum o varstvu podatkov je veljaven, dokler uporabljate katero koli storitev SumUp. Po prenehanju uporabe storitev, in če ni potrebno, da SumUp obdrži podatke vaših strank v skladu z dodatnimi pogoji in/ali pogoji, kakršnimi koli sporazumi ali veljavnimi zakoni, mora SumUp, ob vaši pisni zahtevi, izbrisati osebne podatke v najkrajšem možnem času in v skladu s pogoji SumUp in veljavnimi zakoni.
11. Združeni anonimni podatki. Potrjujete in sprejemate, da lahko SumUp obdela združene podatke katere koli vrste, ki so povezani z vami in vašimi strankami, vključno s podatki o uporabi storitev. Stranka potrjuje, sprejema in se s tem strinja, da lahko SumUp uporabi te združene anonimne podatke (ne da bi bil ta seznam dokončen) za analizo, izboljšavo in delovanje svojih storitev ter v splošnem za kakršno koli komercialno dejavnost v času trajanja sporazuma o obdelavi podatkov in tudi po njegovi prekinitvi, in sicer za prispevanje k analizam trga, izdelavo statistike, izboljšavo svojih izdelkov in storitev ter njihove varnosti ob upoštevanju dobrih praks v panogi in/ali priporočil.
12. Razno
12.1. V primeru razhajanj med tem sporazumom o varstvu podatkov in katerimi koli dodatnimi pogoji in/ali pogoji SumUp veljajo določbe tega sporazuma o varstvu podatkov.
12.2. Vi ste odgovorni za vse stroške, ki izhajajo iz ravnanja SumUpa v skladu z vašimi navodili ali zahtevami skladno z dodatnimi pogoji (vključno s tem sporazumom o varstvu podatkov), ki so zunaj obsega standardne funkcionalnosti, ki jo SumUp na splošno ponuja prek storitev.
12.3. SumUp ima pravico do spremembe in/ali prilagoditve katerega koli pogoja tega sporazuma o varstvu podatkov, kot je to občasno potrebno. Spremembe sporazuma o varstvu podatkov bodo ustrezno sporočene in jih bo SumUp izvedel v ločeni prilogi ali na drug vidni način vključno z objavo posodobljene različice sporazuma o varstvu podatkov na svoji spletni strani. Legenda »Nazadnje spremenjeno« na vrhu tega sporazuma o varstvu podatkov navaja, kdaj je bil ta sporazum o varstvu podatkov nazadnje spremenjen.
12.4. Vsa vprašanja v povezavi s tem sporazumom o varstvu podatkov ali drugimi zahtevami, ki se nanašajo na obdelavo osebnih podatkov, nam lahko posredujete na dpo@sumup.com. SumUp bo poskušal rešiti vse pritožbe v povezavi z obdelavo osebnih podatkov vaših strank v skladu s tem sporazumom o varstvu podatkov, pogoji in internimi pravilniki SumUp.
12.5. Če se katera od določb sporazuma o varstvu podatkov šteje za neveljavno, to ne vpliva na preostale določbe. Stranki neveljavne določbe nadomestita z zakonsko določbo, ki odraža namen neveljavne določbe.
12.6. Ta sporazum o varstvu podatkov se ureja in razlaga v skladu z zakonodajo, ki se uporablja za veljavne dodatne pogoje.
Dodatek št. 1
1. Predmet. Predmet je obdelava podatkov v sklopu tega sporazuma o varstvu podatkov.
2. Namen in narava obdelave. Namen obdelave podatkov v skladu s tem sporazumom o varstvu podatkov je vaše zagotavljanje in izboljšava storitev.
3. Trajanje. V skladu z dogovorom med vami in nami, vi določite trajanje obdelave podatkov v skladu s tem sporazumom o varstvu podatkov in za izbrano obdobje, za katero se odločite za uporabo naših storitev.
4. Kategorije posameznikov, na katere se nanašajo osebni podatki. Vaše stranke, potencialni kupci vaših strank, vaši zaposleni, računovodje (za izdajo računov in računovodstvo) in/ali vsi drugi posamezniki, katerih osebni podatki so vključeni v vsebini. Za darilne kartice – kupci darilnih kartic in/ali prejemniki darilnih kartic ali drugi posamezniki, katerih osebni podatki se obdelujejo kot del storitev darilnih kartic v skladu z dodatnimi pogoji in pogoji SumUp.
5. Vrsta osebnih podatkov. Podatki vaših strank so obdelani v sklopu storitev v skladu s pogoji in podanimi navodili. Ti podatki se lahko razlikujejo glede na uporabljene storitve in lahko med drugim vključujejo:
Spletna trgovina
Imena vaših strank, njihove e-naslove, mobilne/telefonske številke, fizične naslove, podatke o plačilu, zgodovino transakcij/naročil, naslov IP, informacije iz piškotkov in podobnih tehnologij, nastavitve glede trženja.
Darilne kartice
Imena in e-naslovi strank, ki darilne kartice kupijo in tistih, ki jih prejmejo, znesek darilne kartice, sporočilo darilne kartice.
Izdajanje računov in računovodstvo
Imena, fizični naslovi, mobilne/telefonske številke, e-naslovi, številke računov in/ali bančni podatki, predmet računa, podatki o transakciji/naročilu, stanje računov.
Za POS
Imena, fizični naslovi, mobilne/telefonske številke, e-naslovi, podatki o transakciji/naročilu, komentarji; za zaposlene – številka osebja, poverilnice za prijavo, naslov IP, vloga, e-naslov, naročila, jezikovne nastavitve.
Posebne kategorije osebnih podatkov, vključno s tistimi, ki se nanašajo na kazenske obsodbe in kazniva dejanja, se ne bodo obdelovale za storitve in so izključene iz pogojev tega sporazuma o varstvu podatkov. Če se takšni podatki obdelujejo med uporabo naših storitev, je to brez vednosti podjetja SumUp in jih morate izbrisati takoj, ko prepoznate takšno obdelavo.