Споразумение за обработка на данни

В сила от 15.08.2022 г.

Последна актуализация 15.08.2022 г.

Настоящото Споразумение за обработка на данни („СОД“) е част от и подлежи на разпоредбите на Условията за електронна търговия на SumUp („Споразумението“, „Допълнителните условия“), Политиката за поверителност и всички други приложими общи правила на SumUp (тук „Условията“, „Политика за поверителност“), сключени и договорени от и между вас като търговец на SumUp („вие“, „Администратор на данни“) и SumUp Limited, Block 8, Harcourt Centre, Charlotte Way, Dublin 2, Ирландия D02 K580 („SumUp“, „ние“, „Обработващ данни“), част от Групата компании SumUp S.A.R.L. – SumUp Group.

Всяка страна се съгласява и ще гарантира, че условията на това СОД ще бъдат напълно приложими и към техните свързани лица, които може да участват в обработката на лични данни за Услугите, определени в Допълнителните условия. По-конкретно, SumUp ще гарантира, че всички подизпълнители за обработка на данни, ще работят при същите условия както това СОД при обработката на Данните на вашите клиенти.

За да ви предоставя Услугите съгласно Допълнителните условия, SumUp обработва данни на клиенти или посетители на вашия сайт или услуги („Вашите клиенти“, „Клиенти“). Обработката на такива данни от SumUp се нарича по-нататък „обработка“ (както този термин е определен съгласно ОРЗД). Следното Споразумение за обработка на данни описва условията на такава обработка от SumUp.

1. Определения

1.1. „Приложимо законодателство за защита на данните“ означава Регламент (ЕС) 2016/679 („Общият регламент за защита на данните“, „ОРЗД“, „Регламентът“), както и всяко друго приложимо действащо законодателство, регламентиращо обработката на лични данни, включително Директива 2002/58/ЕО за правото на неприкосновеност на личния живот и електронните комуникации.

1.2. Термините „администратор“„субект на данни“„лични данни“, „обработвам“, „обработка“ и „обработващ“ са със значенията, дадени им в ОРЗД.

1.3. „Съдържание“ означава вашето Съдържание и всяко съдържание, предоставено на SumUp от Вашите клиенти, включително без ограничение, текст, снимки, изображения, аудио, видео, код, информация от бисквитки или подобни технологии за проследяване и всякакви други материали.

1.4. „Данни на вашите клиенти“ означава личните данни в Съдържанието на Вашия(те) клиент(и), обработвани от SumUp, от ваше име, като част от Услугите. Данните на вашите клиенти не включват лични данни, в случаите когато такива данни се администрират от SumUp.

Всички определения, използвани в настоящото СОД, но без изрично определение в този раздел, са със значението, дадено в Допълнителните условия. Ако няма конкретно определение в Допълнителните условия или в Условията, тяхното значение е това, което е дадено в ОРЗД или в други приложими правила, ако не e определено в Регламента.

2. Приложимост. Това СОД се прилага само по отношение на Данните на вашите клиенти и само ако се прилага ОРЗД. Вие се съгласявате, че SumUp не носи отговорност за лични данни, които сте избрали да обработвате чрез услуги на трети страни или извън Услугите, включително системи на всякакви облачни услуги, офлайн хранилища или хранилища на място на трети страни.

3. Подробности за обработката на данни

3.1. Предмет. Предметът на обработката на данни съгласно това СОД са Данните на вашите клиенти.

3.2. Времетраене. Що се отнася до вас и нас, времетраенето на обработката на данни съгласно това СОД се определя от вас и за избрания период, за който решите да използвате нашите Услуги.

3.3. Цел. Целта на обработката на данни съгласно настоящото СОД е предоставянето и подобрението на Услугите, инициирани от вас. 

3.4. Естество на обработката. Услугите, както са описани в Допълнителните условия и както се активират от вас периодично.

3.5. Тип лични данни. Данни на вашите клиенти, свързани с вас, Ваши клиенти или други лица, чиито лични данни са включени в Съдържание, което се обработва като част от Услугите в съответствие с дадените инструкции. Тези данни включват, но не се изчерпват с: имена, имейл адреси, номер на мобилен/стационарен телефон, физически адрес, банкови данни, хронология на транзакциите, IP адрес на Вашите клиенти. Специални категории лични данни, данни, включително такива, свързани с наказателни присъди и нарушения, не са предмет на обработка съгласно Услугите, те са изключени от условията на настоящото СОД. Ако такива данни се обработват, докато използвате нашите Услуги, това е без знанието на SumUp и трябва да изтриете такава информация веднага след като идентифицирате подобна обработка.

3.6. Категории субекти на данни. Вие, Вашите клиенти, потенциални клиенти на вашите клиенти и всяко друго лице, чиито лични данни са включени в Съдържанието.

4. Права и задължения

4.1. До степента, в която Данните на вашите клиенти се обработват от SumUp от ваше име и тази обработка е предмет на Общия регламент за защита на данните (Регламент (ЕС) 2016/679; „ОРЗД“), вие потвърждавате и се съгласявате, че за целите на предоставянето на Услугите от SumUp, вие сте администраторът на такива лични данни, и като използвате Услугите на SumUp, вие сте инструктирали SumUp да обработва Данните на вашите клиенти от ваше име, съгласно настоящото СОД.

4.2. Можете да оттеглите съгласието си с настоящото СОД на всеки етап, но по този начин SumUp вече няма да може да ви предоставя Услугите.

4.3. SumUp в качеството си на обработващ на данни:

A. обработва Данните на вашите клиенти само за целите, посочени в СОД и в съответствие с приложимия закон и СОД;

Б. може да действа и да обработва Данните на вашите клиенти само в съответствие с ваша документирана инструкция, освен ако се изисква по закон, по съдебно нареждане или законодателна мярка да действа без такава инструкция. Вашата инструкция по време на сключване на настоящото СОД е SumUp да обработва Данните на вашите клиенти с цел доставка на Услугите, както е описано в СОД и Допълнителните условия. При спазване на условията на настоящото СОД и със съвместна договорка между двете страни можете да издавате допълнителни писмени инструкции, отговарящи на условията на това СОД;

В. гарантира, че лицата, упълномощени да обработват лични данни, са поели задължение за поверителност или са законово задължени да спазват задължения за поверителност;

Г. гарантира, че достъпът до лични данни се дава при необходимост от информация във връзка с ефективността на Услугите съгласно Допълнителните условия;

Д. носи отговорност да гарантира, че служителите/подизпълнителите и/или всякакви представители, обработващи Данните на вашите клиенти, обработват лични данни само в съответствие с вашите инструкции;

Е. ще ви информира незабавно в случай, че счетем, че някои от вашите инструкции противоречат на Приложимото законодателство за защита на данните;

Ж. е задължен да защитава Данните на вашите клиенти съгласно това СОД от унищожаване, изменение, загуба и всякаква друга неупълномощена обработка. За тази цел SumUp предприема подходящи мерки за сигурност в съответствие с приложимия закон. Техническите и организационните мерки, прилагани от SumUp, зависят от техническия напредък. Възможно е SumUp да въведе някои алтернативни адекватни мерки. Не в възможно намаляване на нивото на определените мерки за сигурност при въвеждане на подобни алтернативи. SumUp ще ви съдейства с подходящи технически и организационни мерки, ако е необходимо, и като вземе предвид естеството на обработката и категорията на информацията, налична за SumUp, ще ви помогне да осигурите спазването на вашите задължения съгласно Приложимото законодателство за защита на данните.

З. при разумно искане от ваша страна предоставя сертификати, демонстриращи съответствието на SumUp със задълженията им съгласно настоящото СОД и Приложимото законодателство за защита на данните; и/или предоставя информация, необходима за демонстриране на спазването на задълженията по това СОД и Приложимото законодателство за защита на данните. Информацията, предоставена от SumUp, е ограничена до единствено необходимата информация, като се вземе предвид естеството на Услугите и информацията, с която разполага SumUp, за да ви помогне да спазвате задълженията си, особено по отношение на чл. 32 и 36 от ОРЗД (задължения по отношение на оценки на въздействието върху защитата на данните, предварителна консултация и гарантиране на сигурността на личните данни);

И. ще ви съдейства, в разумни времеви рамки, с подходящи мерки и, ако е предвидимо възможно (като се има предвид естеството на обработката), при спазване на правата на субектите на данни и всички съответни задължения съгласно регламентите за поверителност на данните, включително ОРЗД;

Й. ще ви предостави известие, ако е допустимо според приложимото законодателство, при получаване на запитване или жалба от физическо лице, чиито лични данни са включени във вашето Съдържание, или обвързващо искане от правителствен, правоприлагащ, регулаторен или друг орган по отношение на Данните на вашите клиенти, които обработваме от ваше име и по ваши инструкции.

4.4. Вие в качеството си на администратор на лични данни ще:

A. събирате, използвате и обработвате лични данни в Съдържанието в съответствие с всяко и всички Приложими законодателства за защита на данните;

Б. носите пълна отговорност за точността, качеството и законната обработка на Данните на вашите клиенти и средствата, чрез които са придобити;

В. осигурявате подходящо ниво на сигурност при използване на Услугите, като вземате под внимание всякакви рискове по отношение на Данните на вашите клиенти;

Г. приемате, че всяко съхранение и/или прехвърляне, което извършвате на Данни на вашите клиенти към трета страна или платформа, различна от SumUp, е на ваш собствен риск и отговорност;

Д. гарантирате, че вашите инструкции по отношение на обработката на лични данни отговарят на всички закони, регламенти и правила, приложими във връзка с Данните на вашите клиенти. Освен това гарантирате, че обработката на Данни на вашите клиенти в съответствие с вашите инструкции няма да причини или доведе до нарушаване на закони, правила или разпоредби от нас или от вас (включително ОРЗД).

5. Известия за нарушение. Страната незабавно информира другата страна (но не по-късно от 48 часа), след като узнае за нарушение на сигурността на личните данни във връзка с личните данни, обработвани съгласно това СОД. SumUp ще ви съдейства при спазване на задълженията ви за уведомяване съгласно чл. 33 и 34 от ОРЗД, ще ви предостави такава информация за нарушението, каквато разумно можем да ви разкрием, като се вземе предвид естеството на Услугите, информацията, с която разполагаме и всякакви ограничения за разкриване на информация, като например за конфиденциалност. Въпреки горното, задълженията на SumUp съгласно този раздел не се прилагат при инциденти, причинени от вас, всяка дейност от ваше име и/или услуги на трети страни. SumUp се задължава да ви сътрудничи и подкрепя във връзка с разследванията, свеждане на отрицателните последици до минимум и коригирането на нарушението на сигурността на личните данни, както и в предотвратяването на подобни бъдещи нарушения в сигурността на данните. Уведомяването от SumUp за нарушение на сигурността на личните данни няма да се счита за потвърждение от страна на SumUp за каквато и да е вина или отговорност по отношение на такъв инцидент. В случай на нарушение на сигурността на личните данни вие сте задължени да предприемете мерките, наложени според приложимите закони, във връзка с Данните на вашите клиенти.

6. Подизпълнители за обработка на данни. С настоящото давате разрешение на SumUp да ангажира подизпълнители за обработка на данни, за да предоставя Услугите, без да получава допълнително писмено, конкретно разрешение. SumUp ще сключи споразумение с всеки подизпълнител за обработка на данни, като гарантира спазване от страна на този подизпълнител за обработка на данни на условията, осигуряващи поне същото ниво на защита и сигурност, като заложеното в настоящото СОД. Ако възразите срещу който и да е подизпълнител за обработка на данни и възражението ви е приемливо и е свързано със съображения за защита на данните, ние ще положим разумни търговски усилия, за да ви предоставим средства за избягване на обработката на Данните на вашите клиенти от подизпълнителя за обработка на данни, срещу когото възразявате. Ако не сме в състояние да предоставим такива предложени промени в рамките на разумен период от време, ние ще ви уведомим, и ако все още възразявате срещу използването от наша страна на такъв подизпълнител за обработка на данни, можете да анулирате или прекратите профила си или, ако е възможно, частите от Услугите, които включват използването на такъв подизпълнител.

7. Прехвърляне на лични данни. Обработката на Данните на вашите клиенти се извършва на територията на Европейското икономическо пространство („ЕИП“). Всяко прехвърляне към и обработване в трета държава извън ЕС/ЕИП, което не гарантира адекватно ниво на защита според Европейската комисия, се извършва в съответствие със Стандартните договорни клаузи или друг подходящ механизъм, гарантиращ адекватно ниво на защита на личните данни съгласно изискванията на глава V от ОРЗД.

8. Одити. Имате право да инициирате преглед на задълженията на SumUp съгласно това СОД веднъж годишно. Ако от SumUp се изисква да прави това съгласно приложимото законодателство, одитите може да се повтарят веднъж годишно. И двете страни решават заедно дали трета страна следва да проведе одита. Въпреки това, може да ни позволите да възложим проверката на сигурността на неутрална трета страна по наш избор, ако това е обработващата среда, в която се обработват множество данни на администратор на данни. Ако предложеният обхват на одита следва доклад за сертифициране по ISO или подобен, изготвен от квалифициран одитор на трета страна през предходните дванадесет месеца, и SumUp потвърди, че няма съществени промени в мерките, които се проверяват, това ще удовлетвори всички получени искания в тази времева рамка. Одитите не трябва неоснователно да пречат на обичайните бизнес дейности на SumUp. Вие носите отговорност за всички разходи, свързани с вашата заявка за одит.

9. Отговорност. Отговорността на всяка страна съгласно това СОД е предмет на изключенията и ограниченията на отговорността, изложени в Допълнителните условия и/или Условията. Вие се съгласявате, че всички регулаторни санкции или искове от субекти на данни или други лица, понесени от SumUp във връзка с Данните на вашите клиенти, които възникват в резултат на или във връзка с неспазването от ваша страна на задълженията ви съгласно това СОД или приложимия Закон за защита на данните, ще намали максималната обща отговорност на SumUp към вас съгласно Допълнителните условия и/или Условията в същия размер, както санкцията и/или отговорността, поети от нас в резултат на това.

10. Прекратяване. Настоящото СОД остава в сила, докато използвате която и да е от Услугите на SumUp. Въпреки това, ако SumUp са задължени, съгласно условията на това СОД или което и да е от Общите условия на SumUp, да пазят личните данни на Вашите клиенти след прекратяването на Услугите, това СОД ще продължи да бъде в сила, докато се изисква от SumUp да съхранява такива лични данни. При прекратяване на използването на Услугите и освен ако от SumUp не се изисква да запази Данните на вашите клиенти съгласно Допълнителните условия и/или Условията на SumUp, което и да е споразумение или приложими закони, SumUp ще изтрие, включително при писмено искане от ваша страна, Данните на вашите клиенти веднага щом това е практически осъществимо и съгласно Условията на SumUp и приложимите закони.

11. Разни.

11.1. В случай на противоречие между това СОД и някое от Допълнителните условия и/или Условията на SumUp, разпоредбите на това СОД имат предимство.

11.2. Вие носите отговорност за всички разходи и разноски, произтичащи от спазването на вашите инструкции или искания от SumUp съгласно Допълнителните условия (включително настоящото СОД), които са извън стандартната функционалност, предоставена от SumUp като цяло чрез Услугите.

11.3. SumUp има право да изменя и/или коригира всяко от условията на настоящото СОД според текущите обстоятелства. Промените по Споразумението могат да бъдат направени от SumUp в отделно Приложение или чрез други видими средства и ще бъдат съобщени по подходящ начин.

11.4. Всички въпроси относно това СОД или други заявки във връзка с обработката на лични данни трябва да бъдат отправени до нас на адрес: [email protected] SumUp ще опита да разреши всякакви жалби във връзка с използването на Данните на вашите клиенти в съответствие с настоящото СОД, Условията и вътрешните политики на SumUp.

11.5. Ако някоя от разпоредбите на СОД бъде счетена за невалидна, това не засяга останалите разпоредби. Страните следва да заменят невалидните разпоредби със законни разпоредби, отразяващи целта на невалидната разпоредба.

11.6. Настоящото Споразумение се урежда и тълкува в съответствие с ирландското законодателство. Всеки спор, произтичащ от или във връзка с настоящото Споразумение, се разглежда и решава окончателно от съдилищата на Република Ирландия, освен когато това е забранено според законодателството на ЕС.