Avtal om uppgiftsbehandling
Gäller fr.o.m. 2023-01-16
Ändrat 2023-01-16
Detta Personuppgiftsbiträdesavtal (”Personuppgiftsbiträdesavtalet”) utgör en del av, och är föremål för, bestämmelserna i de specifika SumUp-villkor som gäller för den eller de Tjänster som du kan använda (”Tilläggsvillkoren”) och alla andra gällande bestämmelser och villkor för SumUp, inklusive men inte begränsat till SumUps Allmänna villkor (häri kallade ”Villkoren”) som har ingåtts och godkänts av och mellan dig som SumUp-användare (”du”, ”Personuppgiftsansvarig”) och SumUps avtalande enhet så som anges i tillämpliga Tilläggsvillkor (”SumUp”, ”vi”, ”Personuppgiftsbiträde”), en del av SumUp S. A.R.L. Group Companies – SumUp Group.
SumUp behandlar uppgifter om dina anställda, kunder och/eller besökare och kunder till din butik eller webbplats och/eller användare av dina tjänster (”Dina kunder”, ”Kunder”, ”Slutkunder”) för att kunna erbjuda dig Tjänsterna enligt Tilläggsvillkoren. SumUps behandling av sådana uppgifter kallas i det som följer för ”behandling” (enligt definitionen i Gällande lagstiftning om uppgiftsskydd). Villkoren för sådan behandling av SumUp anges i följande Personuppgiftsbiträdesavtal.
Varje part samtycker till, och förbinder sig att säkerställa, att villkoren i detta Personuppgiftsbiträdesavtal även tillämpas till fullo på dess eventuella närstående bolag som kan vara inblandade i behandlingen av personuppgifter för de Tjänster som definieras i Tilläggsvillkoren. SumUp kommer särskilt att se till att alla underbiträden arbetar enligt samma villkor som i detta Personuppgiftsbiträdesavtal när de behandlar Dina kunders uppgifter.
1. Definitioner
1.1. ”Gällande lagstiftning om uppgiftsskydd” syftar på alla lagar om behandling av personuppgifter enligt Tilläggsvillkoren, Villkoren och detta Personuppgiftsbiträdesavtal, inklusive men inte begränsat till Data Protection Act 2018, EU:s allmänna dataskyddsförordning 2016/679 (”GDPR”, ”Förordningen”), EU:s direktiv om integritet och elektronisk kommunikation 2002/58/EG så som detta tillämpas i respektive jurisdiktion samt alla ändringar, eller alla andra gällande eller ersättande internationella, regionala eller nationella lagar, förordningar och tillsynsvägledning om uppgiftsskydd.
1.2. Termerna ”personuppgiftsansvarig”, ”registrerad person”, ”personuppgifter”, ”behandling” och ”personuppgiftsbiträde” har samma betydelser som dessa termer har i Gällande lagstiftning om uppgiftsskydd.
1.3. ”Innehåll” avser ditt Innehåll och allt innehåll som tillhandahålls till SumUp från Dina kunder, inklusive men inte begränsat till text, foton, bilder, ljud, video, kod, information från cookies eller liknande spårningstekniker samt allt annat material.
1.4. ”Dina uppgifter”, ”Dina kunders uppgifter” innebär personuppgifter i Innehållet som behandlas av SumUp för din räkning, som en del av Tjänsterna och/eller dina anställdas, revisorers och/eller Kunders uppgifter som behandlas för din räkning för att utföra Tjänsterna. Dina kunders uppgifter omfattar inte personuppgifter om sådana uppgifter kontrolleras av SumUp enligt detta Personuppgiftsbiträdesavtal och SumUps Integritetspolicy.
1.5. Alla termer som används i detta Personuppgiftsbiträdesavtal men som inte uttryckligen definieras i detta avsnitt har den betydelse som definieras i Tilläggsvillkoren. Om det inte finns någon specifik definition i Tilläggsvillkoren eller i Villkoren ska innebörden anses vara den som anges i Gällande lagstiftning om uppgiftsskydd.
2. Tillämplighet. Detta Personuppgiftsbiträdesavtal är endast tillämpligt på Dina kunders uppgifter som behandlas av SumUp för din räkning i syfte att tillhandahålla Tjänsterna. Du samtycker till att SumUp inte ansvarar för personuppgifter som du har valt att behandla via tjänster från tredje part eller utanför Tjänsterna, inklusive system för andra molntjänster från tredje part, offlinelagring eller lokal lagring.
3. Detaljerad information om uppgiftsbehandling. SumUp behandlar personuppgifter i enlighet med bilaga 1 härtill.
4. Rättigheter och skyldigheter
4.1. I den mån Dina kunders uppgifter behandlas av SumUp för din räkning och denna behandling omfattas av Gällande lagstiftning om uppgiftsskydd, bekräftar och godkänner du att du är Personuppgiftsansvarig för sådana personuppgifter när SumUp tillhandahåller Tjänsterna, och att du genom att använda SumUps Tjänster har gett SumUp i uppdrag att behandla Dina kunders uppgifter för din räkning i enlighet med detta Personuppgiftsbiträdesavtal.
4.2. Du kan när som helst återkalla godkännandet av detta Personuppgiftsbiträdesavtal, men om du gör det kommer SumUp inte längre att kunna tillhandahålla Tjänsten till dig.
4.3. SumUp i egenskap av personuppgiftsbiträde:
a. Behandlar Dina kunders uppgifter endast för de ändamål som anges i Personuppgiftsbiträdesavtalet och i enlighet med gällande lagar samt Personuppgiftsbiträdesavtalet.
b. Får endast agera och behandla Dina kunders uppgifter i enlighet med dina dokumenterade instruktioner, såvida inte lagar, domstolsbeslut eller lagstiftningsåtgärder kräver att vi handlar utan sådana instruktioner. Dina instruktioner, vid tidpunkten för ingåendet av detta Personuppgiftsbiträdesavtal, är att SumUp endast får behandla Dina kunders uppgifter i syfte att leverera Tjänsterna enligt beskrivningen i Personuppgiftsbiträdesavtalet och Tilläggsvillkoren. Med förbehåll för villkoren i detta Personuppgiftsbiträdesavtal, och efter ömsesidig överenskommelse mellan båda parter, kan du utfärda ytterligare skriftliga instruktioner om dessa är förenliga med villkoren i detta Personuppgiftsbiträdesavtal.
c. Garanterar att de personer som tillåts behandla personuppgifter har åtagit sig att iaktta tystnadsplikt eller är rättsligt skyldiga att iaktta tystnadsplikt.
d. Garanterar att tillgång till personuppgifterna beviljas på grundval av ett behov av att känna till dem för att kunna utföra Tjänsterna enligt Tilläggsvillkoren.
e. Ansvarar för att säkerställa att anställda/underleverantörer och/eller ombud som behandlar Dina kunders uppgifter endast behandlar personuppgifterna i enlighet med dina instruktioner.
f. Ska informera dig omedelbart om vi tror att några av dina instruktioner strider mot Gällande lagstiftning om uppgiftsskydd.
g. G. Är skyldigt att skydda Dina kunders uppgifter enligt detta Personuppgiftsbiträdesavtal mot förstörelse, ändring, förlust eller annan otillåten behandling. För detta ändamål vidtar SumUp lämpliga säkerhetsåtgärder i enlighet med gällande lagstiftning. Det kan hända att SumUp inför lämpliga alternativa åtgärder. Det är inte möjligt att sänka nivån på de fastställda säkerhetsåtgärderna när sådana alternativ införs. SumUp ska bistå dig med de lämpliga tekniska och organisatoriska åtgärder som krävs och, med hänsyn till behandlingens art och den kategori av information som SumUp har tillgång till, bidra till att säkerställa att du uppfyller dina skyldigheter enligt Gällande lagstiftning om uppgiftsskydd.
h. Ska på din skäliga begäran tillhandahålla intyg som visar att SumUp uppfyller sina skyldigheter enligt detta Personuppgiftsbiträdesavtal och Gällande lagstiftning om uppgiftsskydd, och/eller tillhandahålla den information som krävs för att visa att SumUp uppfyller sina skyldigheter enligt detta Personuppgiftsbiträdesavtal och Gällande lagstiftning om uppgiftsskydd. Den information som SumUp ska tillhandahålla är begränsad till endast sådan information som enligt SumUps definition krävs, med hänsyn till Tjänsternas art och den information som SumUp har tillgång till, för att hjälpa dig att uppfylla dina skyldigheter, särskilt med avseende på skyldigheter gällande konsekvensbedömningar av personuppgiftsskydd, förhandssamråd och säkerställande av säkerhet för personuppgifter.
i. Ska inom rimliga tidsramar bistå dig med lämpliga åtgärder och, i den mån det rimligen är möjligt (med hänsyn till behandlingens art), med att uppfylla registrerade personers rättigheter samt alla andra relevanta skyldigheter enligt Gällande lagstiftning om uppgiftsskydd.
j. Ska meddela dig, om det är tillåtet enligt gällande lag, när vi tar emot en förfrågan eller ett klagomål från en person vars personuppgifter behandlas enligt Personuppgiftsbiträdesavtalet, eller ett bindande krav från en myndighet, brottsbekämpande myndighet, tillsynsmyndighet eller annat organ, med avseende på Dina kunders uppgifter som vi behandlar för din räkning och enligt dina instruktioner.
4.4. I egenskap av personuppgiftsansvarig ska du:
a. Samla in, använda och behandla personuppgifter i enlighet med all Gällande lagstiftning om uppgiftsskydd.
b. Ensam ansvara för riktigheten, kvaliteten och den lagliga behandlingen av Dina kunders uppgifter och de medel genom vilka de har erhållits.
c. Säkerställa en lämplig säkerhetsnivå när du använder Tjänsterna, med beaktande av eventuella risker med avseende på Dina kunders uppgifter.
d. Intyga att all lagring och/eller överföring som du gör av Dina kunders uppgifter till tredje parter eller plattformar, förutom SumUp, sker på din egen risk och under eget ansvar.
e Säkerställa att dina instruktioner med avseende på behandling av personuppgifter är förenliga med alla lagar, förordningar och regler som gäller för Dina kunders uppgifter. Du ska också se till att behandlingen av Dina kunders uppgifter i enlighet med dina instruktioner inte orsakar eller resulterar i att vi eller du bryter mot några lagar, regler eller förordningar.
f. Förse dina Kunder med nödvändig information om hur och varför deras uppgifter behandlas enligt kraven i Gällande lagstiftning om uppgiftsskydd.
5. Meddelanden om incidenter. Varje part ska omedelbart (dock inom högst 48 timmar) informera den andra parten efter att ha fått kännedom om en personuppgiftsincident i samband med personuppgifter som behandlas enligt detta Personuppgiftsbiträdesavtal. SumUp ska hjälpa dig att uppfylla din meddelandeplikt för uppgiftsincidenter och förse dig med den information om incidenten som vi rimligen kan lämna ut till dig med hänsyn till Tjänsternas art, vilken information som är tillgänglig för oss och eventuella restriktioner avseende utlämnande av informationen, t.ex. på grund av sekretess. Oaktat ovanstående gäller SumUps skyldigheter enligt detta avsnitt inte incidenter som orsakas av dig, aktiviteter på ditt konto och/eller aktiviteter av tredje parts tjänster. SumUp är skyldigt att samarbeta med och stödja dig med avseende på utredning, minimering av negativa konsekvenser och avhjälpande av den aktuella personuppgiftsincidenten samt förebyggande av framtida liknande personuppgiftsincidenter. SumUps meddelande om en personuppgiftsincident ska inte betraktas som ett erkännande från SumUp av fel eller ansvar med avseende på sådan incident. I händelse av en personuppgiftsincident är du skyldig att vidta de åtgärder som krävs enligt gällande lagstiftning med avseende på Dina kunders uppgifter.
6. Underbiträden. Du ger härmed SumUp din generella tillåtelse att anlita underbiträden för att tillhandahålla Tjänsterna utan att behöva erhålla ytterligare skriftligt och specifikt tillstånd. SumUp ska ingå avtal med varje underbiträde som garanterar att underbiträdet följer villkor som garanterar minst samma skydds- och säkerhetsnivå som den som anges i detta Personuppgiftsbiträdesavtal. Om du invänder mot ett underbiträde och din invändning är skälig och gäller frågor om uppgiftsskydd, kommer vi att vidta kommersiellt rimliga åtgärder för att du ska ha möjlighet att avstå från att överlåta Dina kunders personuppgifter för behandling till det underbiträde som din invändning är riktad mot. Om vi inte kan tillgängliggöra dessa föreslagna ändringar inom en rimlig tidsperiod kommer vi att meddela dig, och om du fortfarande har invändningar mot vårt anlitande av det aktuella underbiträdet kan du avbryta eller avsluta ditt konto eller, om möjligt, de delar av Tjänsterna som involverar anlitande av det aktuella underbiträdet.
7. Överföring av personuppgifter. Behandlingen av Dina kunders uppgifter ska ske inom Europeiska ekonomiska samarbetsområdet (”EES”) och Storbritannien. Varje överföring till och behandling i ett tredjeland utanför EU/EES och Storbritannien som inte garanterar en adekvat skyddsnivå – fastställd i antagna brittiska regler om adekvat skyddsnivå – enligt Gällande lagstiftning om uppgiftsskydd ska ske i enlighet med Standardavtalsklausuler eller annan lämplig mekanism som garanterar en adekvat skyddsnivå för personuppgifter i enlighet med kraven i Gällande lagstiftning om uppgiftsskydd.
8. Revisioner. Du har rätt att en gång per år inleda en granskning av SumUps skyldigheter enligt detta Personuppgiftsbiträdesavtal. Parterna beslutar tillsammans om en tredje part ska genomföra revisionen. Du har dock möjlighet att tillåta oss att låta säkerhetsgranskningen utföras av en neutral tredje part som vi väljer. Om den föreslagna omfattningen av revisionen följer en ISO- eller liknande certifieringsrapport utförd av en kvalificerad tredjepartsrevisor inom de senaste tolv månaderna, och SumUp bekräftar att det inte har skett några väsentliga förändringar i de åtgärder som granskas, ska detta anses uppfylla alla begäranden som har tagits emot inom denna tidsram. Revisioner får inte i orimlig utsträckning störa SumUps normala verksamhet. Du ansvarar för alla kostnader i samband med din begäran om revision. En gång per år, på Personuppgiftsansvarigs skriftliga begäran och i den omfattning som krävs enligt Gällande lagstiftning om uppgiftsskydd, samtycker SumUp till att samarbeta med och inom rimlig tid förse Personuppgiftsansvarig med:
(a) en sammanfattning av revisionsrapporter som visar effektiviteten av de tekniska och organisatoriska åtgärder som vidtas av SumUp mot obehörig och olaglig behandling av personuppgifter samt mot obehörig åtkomst till, oavsiktlig förlust eller förstörelse av eller skador på personuppgifter och
(b) bekräftelse av att revisionen inte visade några väsentliga sårbarheter i SumUps system eller, om någon sådan sårbarhet upptäcktes, att SumUpp helt och fullt har åtgärdat sårbarheten.
Om ovanstående åtgärder är otillräckliga för att bekräfta efterlevnaden av Gällande lagstiftning om uppgiftsskydd, eller om de påvisar väsentliga problem, kan Personuppgiftsansvarig begära, med minst trettio (30) dagars skriftlig förvarning till SumUp, en revision av SumUps program för efterlevnad med avseende på personuppgifter av externa oberoende revisorer. Båda parterna ska tillsammans välja revisorer och komma överens om omfattning, tidsramar och varaktighet för revisionen. Personuppgiftsansvarig ska vidta alla rimliga åtgärder för att begränsa eventuell negativ inverkan på SumUp därav, och ansvarar för samtliga kostnader i samband med sin begäran om revision liksom samtliga kostnader för eventuell negativ inverkan i förekommande fall. Personuppgiftsansvarig ska för SumUp tillgängliggöra resultatet av revisionen av dess program för efterlevnad med avseende på personuppgifter.
9. Ansvar. Respektive parts ansvar enligt detta Personuppgiftsbiträdesavtal är föremål för de undantag och ansvarsbegränsningar som beskrivs i Tilläggsvillkoren och/eller Villkoren. Du samtycker till att på egen bekostnad hålla SumUp skadeslöst inför, och försvara SumUp mot, alla kostnader, krav, skadestånd eller utgifter som SumUp ådrar sig eller för vilka SumUp kan bli ansvarigt till följd av någon underlåtelse av dig eller dina anställda eller ombud att uppfylla skyldigheter enligt detta Personuppgiftsbiträdesavtal.
10. Uppsägning. Detta Personuppgiftsbiträdesavtal ska gälla så länge som du använder några av SumUps Tjänster. När användningen av Tjänsterna avslutas, och om SumUp inte är skyldigt att behålla Dina kunders uppgifter enligt SumUps Tilläggsvillkor och/eller Villkor, något avtal eller gällande lagstiftning, ska SumUp, även på skriftlig begäran av dig, radera Dina kunders uppgifter så snart som det rimligen är möjligt och i enlighet med SumUps Villkor och gällande lagstiftning.
11. Sammanställda anonyma uppgifter. Du bekräftar och godkänner att SumUp kan behandla sammanställda uppgifter av alla slag som gäller dig och Dina kunder, däribland uppgifter om användning av Tjänsterna. Kunden bekräftar, godkänner och samtycker härmed till att SumUp kan använda dessa sammanställda anonyma uppgifter för att (bland annat – följande lista är inte fullständig): analysera, förbättra och driva sina Tjänster och, i allmänhet, för all kommersiell aktivitet, under hela varaktigheten av detta Personuppgiftsbiträdesavtal men även efter dess avslutande för att bidra till marknadsanalys, ta fram statistik, förbättra sina Produkter och Tjänster och dessas säkerhet samt följa god branschpraxis och/eller -rekommendationer.
12. Diverse
12.1. I händelse av konflikt mellan detta Personuppgiftsbiträdesavtal och något av SumUps Tilläggsvillkor och/eller Villkor ska bestämmelserna i detta Personuppgiftsbiträdesavtal gälla.
12.2. Du ansvarar för alla kostnader och utgifter som uppstår till följd av att SumUp följer dina instruktioner eller begäranden i enlighet med Tilläggsvillkoren (inklusive detta Personuppgiftsbiträdesavtal) när dessa faller utanför den standardfunktionalitet som SumUp generellt tillgängliggör genom Tjänsterna.
12.3. SumUp ska ha rätt att göra alla eventuella ändringar och/eller justeringar av bestämmelserna i detta Personuppgiftsbiträdesavtal som kan krävas från tid till annan. Ändringar av Personuppgiftsbiträdesavtalet ska kommuniceras på lämpligt sätt och göras av SumUp i en separat bilaga eller på annat synligt sätt, däribland publicering av en uppdaterad version av Personuppgiftsbiträdesavtalet på vår webbplats. Märkningen Senaste uppdatering längst upp i detta Personuppgiftsbiträdesavtal visar när det senast uppdaterades.
12.4. Alla frågor om detta Personuppgiftsbiträdesavtal eller andra förfrågningar som rör behandling av personuppgifter ska ställas till oss på dpo@sumup.com. SumUp kommer att försöka lösa eventuella klagomål på användningen av Dina kunders uppgifter i enlighet med detta Personuppgiftsbiträdesavtal, Villkoren och SumUps interna policyer.
12.5. Om någon av bestämmelserna i Personuppgiftsbiträdesavtalet anses vara ogiltig ska detta inte påverka övriga bestämmelser. Parterna ska ersätta eventuella ogiltiga bestämmelser med lagliga bestämmelser som speglar de ogiltiga bestämmelsernas syften.
12.6. Detta Personuppgiftsbiträdesavtal ska styras av och tolkas i enlighet med den lagstiftning som styr tillämpliga Tilläggsvillkor.
Bilaga 1
1. Föremål. Föremålet är uppgiftsbehandlingen enligt detta Personuppgiftsbiträdesavtal.
2. Behandlingens syfte och karaktär. Syftet med uppgiftsbehandlingen enligt detta Personuppgiftsbiträdesavtal är att tillhandahålla och förbättra de Tjänster som du har initierat.
3. Varaktighet. Mellan dig och oss bestäms varaktigheten för uppgiftsbehandlingen enligt detta Personuppgiftsbiträdesavtal av dig och för den valda period under vilken du väljer att använda våra Tjänster.
4. Kategorier av registrerade personer. Dina kunder, Dina kunders potentiella kunder, dina anställda, revisorer (för fakturering och bokföring) och/eller alla andra personer vilkas personuppgifter ingår i Innehållet. För Presentkort, köpare och/eller mottagare av presentkort eller andra personer vilkas personuppgifter behandlas som en del av Presentkortstjänsterna i enlighet med Tilläggsvillkoren och SumUps Villkor.
5. Typ av personuppgifter. Dina kunders data behandlas som en del av Tjänsterna i enlighet med Villkoren och givna instruktioner. Uppgifterna kan variera beroende på vilka Tjänster som används och kan omfatta men är inte begränsade till:
Webbutik
Dina kunders namn, e-postadresser, mobil-/telefonnummer, fysiska adresser, betalningsuppgifter, transaktions-/beställningshistorik, IP-adresser, information från cookies och liknande teknik, marknadsföringspreferenser
Presentkort
Namn på och e-postadress för den kund som köper respektive tar emot presentkortet, presentkortets belopp, meddelande på presentkortet.
Fakturering och bokföring
Namn, fysiska adresser, mobil-/telefonnummer, e-postadresser, kontonummer och/eller bankuppgifter, föremål för fakturan, transaktions-/beställningsdata, fakturastatus.
Vid kassaköp (POS)
Namn, fysiska adresser, mobil-/telefonnummer, e-postadresser, transaktions-/beställningsdata, kommentarer. För dina anställda: anställningsnummer, inloggningsuppgifter, IP-adress, roll, e-postadress, beställningar, språkval.
Särskilda kategorier av personuppgifter, inklusive uppgifter om brottsdomar och brott, anses inte behandlas inom ramen för Tjänsterna och omfattas därmed inte av villkoren i detta Personuppgiftsbiträdesavtal. Om sådana uppgifter behandlas medan du använder våra Tjänster sker detta utan SumUps vetskap, och du ska radera sådana uppgifter omedelbart efter att du har upptäckt sådan behandling.