Споразумение за обработка на данни

В сила от 16.01.2023 г.

Изменено от 16.01.2023 г.

Настоящото Споразумение за обработка на данни („СОД“) е част и подлежи на разпоредбите на специфичните Условия на SumUp,  приложими за Услугата(ите), които можете да използвате („Допълнителни условия“) и всички други приложими правила и условия на SumUp, включително, но не само,, Общите условия на SumUp (тук събирателно „Условията“), сключени и договорени от и между вас в качество ви на SumUp търговец („Вие“, „Администратор на данни“) и възлагащият орган на SumUp, както е посочено в приложимите Допълнителни условия („SumUp“, „ние“, „Обработващ на данни"), част от SumUp S.A.R.L. Group Companies – SumUp Group.

За да ви предоставя Услугите съгласно Допълнителните условия, SumUp обработва данни на вашите служители, клиенти и/или посетители и клиенти на вашия магазин, сайт и/или услуги („Вашите клиенти“, „Клиенти“, „Крайни клиенти“). Обработката на такива данни от SumUp се нарича по-нататък „обработка“ (както този термин е определен съгласно Приложимо законодателство за защита на данните). Следното СОД описва условията на такава обработка от SumUp.

Всяка страна се съгласява и ще гарантира, че условията на това СОД ще бъдат напълно приложими и към техните партньори, които може да участват в обработката на лични данни за Услугите, определени в Допълнителните условия. По-конкретно, SumUp ще гарантира, че всички подизпълнители за обработка на данни, ще работят при същите условия както това СОД при обработката на Данните на вашите клиенти.

1. Определения

1.1. „Приложимо законодателство за защита на данните“ означава всички закони, свързани с обработката на лични данни съгласно Допълнителните условия, Условията и това СОД, включително без ограничение, Закона за защита на данните от 2018 г., Общият регламент за защита на данните на ЕС 2016/679 („ОРЗД“, „Регламентът“), Директивата на ЕС за право на неприкосновеност на личните данни и електронни комуникации 2002/58/EО, както се прилага във всяка юрисдикция, и всички изменения или всички други приложими или заместващи международни, регионални или национални закони за защитата на данните, разпоредби и регулаторни насоки.

1.2. Термините „администратор“, „субект на данни“, „лични данни“, „обработка“, и „обработващ“ са със значенията, дадени им в Приложимото законодателство за защита на данните.

1.3. „Съдържание“ означава вашето Съдържание и всяко съдържание, предоставено на SumUp от Вашите клиенти, включително без ограничение – текст, снимки, изображения, аудио, видео, код, информация от бисквитки или подобни технологии за проследяване и всякакви други материали.

1.4. „Ваши данни“, „Данни на вашите клиенти“ означават личните данни в Съдържанието, така както са обработени от SumUp като част от Услугите, от ваше име и/или от името на вашите служители и счетоводители, и/или Данни на клиенти, така както са обработени от ваше име за изпълнението на Услугите. Данните на вашите клиенти не включват лични данни, в случаите когато такива данни се администрират от SumUp съгласно настоящото СОД и Политиката за поверителност на SumUp. 

1.5. Всички определения, използвани в настоящото СОД, но без изрично определение в този раздел, са със значението им, дадено в Допълнителните условия. Ако няма конкретно определение в Допълнителните условия или в Условията, тяхното значение е това, дадено им в Приложимото законодателство за защита на данните.

2. Приложимост. Това СОД се прилага само по отношение на Данните на вашите клиенти, обработвани от SumUp от ваше име за целите на предоставянето на Услугите. Вие се съгласявате, че SumUp не носи отговорност за лични данни, които сте избрали да обработвате чрез услуги на трети страни или извън Услугите, включително системи на всякакви облачни услуги, офлайн хранилища или хранилища на място на трети страни.

3. Подробности за обработката на данни. SumUp ще обработва личните данни в съответствие с настоящото Приложение 1.

4. Права и задължения

4.1. До степента, в която Данните на вашите клиенти се обработват от SumUp от ваше име и тази обработка е предмет на Приложимото законодателство за защита на данните, вие потвърждавате и се съгласявате, че за целите на предоставянето на Услугите от SumUp, вие сте Администраторът на такива лични данни, и като използвате Услугите на SumUp, вие сте наредили на SumUp да обработва Данните на вашите клиенти от ваше име съгласно настоящото СОД.

4.2. Можете да оттеглите съгласието си с настоящото СОД на всеки етап, но по този начин SumUp вече няма да може да ви предоставя Услугите.

4.3. SumUp в качеството си на обработващ лични данни:

а. обработва Данните на вашите клиенти само за целите, посочени в СОД и в съответствие с приложимия закон и СОД;

б. може да действа и да обработва Данните на вашите клиенти само в съответствие с ваши документирани инструкции, освен ако не се изисква по закон, по съдебно нареждане или законодателна мярка, да действа без такава инструкция. Вашите инструкции по време на сключване на настоящото СОД са SumUp да обработва Данните на вашите клиенти само с цел доставка на Услугите, както е описано в СОД и Допълнителните условия. При спазване на условията на настоящото СОД и по взаимно съгласие между двете страни можете да издавате допълнителни писмени инструкции, отговарящи на условията на това СОД;

в. гарантира, че лицата, упълномощени да обработват лични данни, са поели задължение за поверителност или са законово задължени да спазват задължения за поверителност;

г. гарантира, че достъпът до лични данни се дава при необходимост от информация във връзка с ефективността на Услугите съгласно Допълнителните условия;

д. отговаря за гарантирането служителите/подизпълнителите и/или всякакви представители, обработващи Данните на вашите клиенти, да обработват лични данни само в съответствие с вашите инструкции;

е. ще ви информира незабавно, в случай че сметнем някои от вашите инструкции за противоречащи на Приложимото законодателство за защита на данните;

ж. се задължава съгласно това СОД да защитава Данните на вашите клиенти от всякакво унищожаване, промяна, загуба или друга неупълномощена обработка. За тази цел SumUp предприема подходящи мерки за сигурност в съответствие с приложимия закон. Възможно е SumUp да въведе някои адекватни алтернативни мерки. Не в възможно намаляване на нивото на определените мерки за сигурност при въвеждане на подобни алтернативи. SumUp ще ви съдейства с подходящи технически и организационни мерки според необходимостта, и като вземе предвид естеството на обработката и категорията на информацията, достъпна за SumUp, ще ви помогне да осигурите спазването на вашите задължения съгласно Приложимото законодателство за защита на данните.

з. при разумно искане от ваша страна предоставя сертификати, демонстриращи спазването на задълженията на SumUp съгласно настоящото СОД и Приложимото законодателство за защита на данните; и/или предоставя информация, необходима за демонстриране на спазването на задълженията по това СОД и Приложимото законодателство за защита на данните. Информацията, предоставена от SumUp, е ограничена единствено до необходимата информация, като се вземе предвид естеството на Услугите и информацията, с която разполага SumUp, за да ви помогне в спазването на вашите задължения, особено по отношение на задължения по оценки на въздействието върху защита на данните, предварителна консултация и гарантиране на сигурността на личните данни;

и. ще ви съдейства, в разумни времеви рамки, с подходящи мерки и ако е предвидимо възможно (като се има предвид естеството на обработката), при спазване на правата на субектите на данни и всички останали свързани задължения съгласно Приложимо законодателство за защита на данните;

й. ще ви предостави известие, ако е допустимо според приложимото законодателство, при получаване на запитване или жалба от физическо лице, чиито лични данни се обработват съгласно това СОД, или обвързващо искане от правителствен, правоприлагащ, регулаторен или друг орган по отношение на Данните на вашите клиенти, които обработваме от ваше име и по ваши инструкции.

4.4. Вие, в качеството си на администратор на лични данни, ще:

а. събирате, използвате и обработвате лични данни в съответствие с всяко и всички Приложими законодателства за защита на данните;

б. носите пълна отговорност за точността, качеството и законната обработка на Данните на вашите клиенти и средствата, чрез които са придобити;

в. осигурявате подходящо ниво на сигурност при използване на Услугите, като вземате под внимание всякакви рискове по отношение на Данните на вашите клиенти;

г. приемате, че всяко съхранение и/или прехвърляне, което извършвате на Данни на вашите клиенти към трета страна или платформа, различна от SumUp, е на ваш собствен риск и отговорност;

д. гарантирате, че вашите инструкции по отношение на обработката на лични данни отговарят на всички закони, регламенти и правила, приложими във връзка с Данните на вашите клиенти. Освен това гарантирате, че обработката на Данни на вашите клиенти в съответствие с вашите инструкции няма да причини или да доведе до нарушаване на закони, правила или разпоредби от нас или от вас;

е. предоставяте на Клиентите си необходимата информация как и защо техните данни се обработват в съответствие с изискванията на Приложимото законодателство за защита на данните.

5. Известия за нарушение. Страната информира незабавно (но не по-късно от 48 часа) другата страна , след като узнае за нарушение на сигурността на лични данни по отношение на обработваните съгласно настоящото СОД лични данни. SumUp ще ви съдейства при спазване на задълженията ви за уведомяване при нарушение на сигурността на данните, ще ви предостави всяка информация за нарушението, каквато разумно можем да ви разкрием, взимайки предвид естеството на Услугите, информацията, с която разполагаме и всякакви ограничения за разкриване на информация, подобни на изискванията за поверителност. Въпреки гореизложеното, задълженията на SumUp съгласно този раздел не се прилагат при инциденти, причинени от вас, ваша дейност и/или дейност в резултат на услуги на трети страни. SumUp се задължава да сътрудничи и да ви подкрепя във връзка с разследването, свеждане на отрицателните последици до минимум и коригирането на нарушението на сигурността на личните данни, както и в предотвратяването на подобни бъдещи нарушения в сигурността на данните. Уведомяването от SumUp за нарушение на сигурността на личните данни няма да се счита за потвърждение от страна на SumUp за каквато и да е вина или отговорност по отношение на такъв инцидент. В случай на нарушение на сигурността на личните данни вие сте задължени да предприемете мерките, наложени според приложимите закони, във връзка с Данните на вашите клиенти.

6. Подизпълнители за обработка на данни. С настоящото давате генерално разрешение на SumUp да ангажира подизпълнители за обработка на данни, за да предоставя Услугите, без да получава допълнително писмено специално разрешение. SumUp ще сключи споразумение с всеки подизпълнител за обработка на данни, като гарантира спазване от страна на този подизпълнител за обработка на данни на условията, осигуряващи поне същото ниво на защита и сигурност, като заложените в настоящото СОД. Ако възразите срещу който и да е подизпълнител за обработка на данни и възражението ви е приемливо и е свързано със съображения за защита на данните, ние ще положим разумни търговски усилия, за да ви предоставим средства за избягване на обработката на Данните на вашите клиенти от подизпълнителя за обработка на данни, срещу когото възразявате. Ако не сме в състояние да предоставим предложените промени в рамките на разумен период от време, ние ще ви уведомим, и ако все още възразявате срещу използването от наша страна на този подизпълнител за обработка на данни, можете да анулирате или прекратите профила си или, ако е възможно, частите от Услугите, които включват използването на такъв подизпълнител.

7. Прехвърляне на лични данни. Обработката на Данните на вашите клиенти се извършва на територията на Европейското икономическо пространство („ЕИП“) и Обединеното Кралство. Всяко прехвърляне към и обработване в трета държава извън ЕС/ЕИП и Обединеното Кралство, които не гарантират адекватно ниво на защита – приет регламент на Обединеното Кралство за адекватност според Приложимото законодателство за защита на данните, се извършва в съответствие със Стандартните договорни клаузи или друг подходящ механизъм, гарантиращ адекватно ниво на защита на личните данни съгласно изискванията на Приложимото законодателство за защита на данните.

8. Одити. Имате право да инициирате преглед на задълженията на SumUp съгласно това СОД веднъж годишно. И двете страни решават заедно дали трета страна следва да проведе одита. Въпреки това, може да ни позволите да възложим проверката на сигурността на неутрална трета страна по наш избор. Ако предложеният обхват на одита следва доклад за сертифициране по ISO или подобен, изготвен от квалифициран одитор на трета страна през предходните дванадесет месеца, и SumUp потвърди, че няма съществени промени в мерките, които се проверяват, това ще удовлетвори всички получени искания в посочената времева рамка. Одитите не трябва неоснователно да пречат на обичайните бизнес дейности на SumUp. Вие носите отговорност за всички разходи, свързани с вашата заявка за одит. Веднъж годишно при предварително искане в писмена форма от Администратора на данни и до степента, изисквана от Приложимото законодателство за защита на данните, SumUp се съгласява да сътрудничи и в разумни срокове да предостави на Администратора на данни следните:

(a) резюме на одитни доклади, демонстриращи ефективността на техническите и организационни мерки, предприети от SumUp срещу неоторизирано или незаконно обработване на лични данни и срещу неоторизиран достъп, случайна загуба, унищожаване или повреда, лични данни и

(б) потвърждение, че одитът не е разкрил никаква съществена уязвимост в системите на SumUp или до степента, в която е открита такава уязвимост, но която SumUp напълно е предотвратила.

Ако горните мерки са недостатъчни, за да потвърди спазването на Приложимото законодателство за защита на данните или да разкрие някои съществени проблеми, Администраторът на данни може да поиска одит от външни независими одитори на програмата за съответствие със защитата на данни на SumUp чрез писмено известие, изпратено минимум тридесет (30) дни предварително до SumUp. И двете страни трябва съвместно да изберат одиторите и да се договорят взаимно за обхвата, графика и продължителността на одита. Администраторът на данни предприема всички разумни мерки, за да ограничи всяко неблагоприятно последващо въздействие върху SumUp и носи отговорност за всички разходи, свързани с неговото искане за преразглеждане на одит, както и разходите, произтичащи от всякакви неблагоприятни въздействия, ако има такива. Администраторът на данни ще предостави на SumUp резултата от одита на своята програма за съответствие със защитата на данните.

9. Отговорност. Отговорността на всяка страна съгласно това СОД е предмет на изключенията и ограниченията на отговорността, посочени в Допълнителните условия и/или Условия. Вие се съгласявате да обезщетите, да осигурите обезщетение и да защитавате SumUp за ваша сметка срещу всички разноски, искове, щети или разходи, понесени от SumUp или за които SumUp може да поеме отговорност поради всяко неизпълнение на задълженията съгласно това СОД от ваша страна или от страна на вашите служители или представители.

10. Прекратяване. Настоящото СОД остава в сила, докато използвате която и да е от Услугите на SumUp. При прекратяване на използването на Услугите и освен ако от SumUp не се изисква да запази Данните на вашите клиенти съгласно Допълнителните условия и/или Условията на SumUp, което и да е споразумение или приложими закони, SumUp ще изтрие, включително при писмено искане от ваша страна, Данните на вашите клиенти веднага щом това е практически осъществимо и съгласно Условията на SumUp и приложимите закони.

11. Събрани анонимни данни. Вие потвърждавате и приемате, че SumUp може да обработва събраните данни от всякакъв вид, свързани с вас и Вашите клиенти, включително данни за използването на Услугите. С настоящото клиентът потвърждава, приема и се съгласява, че SumUp може да използва тези събрани анонимни данни (без този списък да е изчерпателен), за да анализира, подобри и управлява своите Услуги, и като цяло за всякаква търговска дейност, през целия период на СОД, но също и след неговото прекратяване, за да допринесе за анализиране на пазара, изготвяне на статистика, подобряване на своите Продукти и Услуги и тяхната безопасност, следвайки добрите промишлени практики и/или препоръки.

12. Разни

12.1. В случай на противоречие между това СОД и някое от Допълнителните условия и/или Условията на SumUp, разпоредбите на това СОД имат предимство.

12.2. Вие носите отговорност за всички разходи и разноски, произтичащи от спазването на вашите инструкции или искания от SumUp съгласно Допълнителните условия (включително настоящото СОД), които са извън стандартната функционалност, предоставена от SumUp като цяло чрез Услугите.

12.3. SumUp има право да изменя и/или коригира всяко от условията на настоящото СОД според текущите обстоятелства. Промените по СОД ще бъдат съобщени по подходящ начин и направени от SumUp в отделно Допълнение или чрез други видими средства, включително публикуване на актуална версия на СОД на нашия уебсайт. Надписът „Последно изменено“ в горната част на това СОД показва кога съответното СОД е било последно преработено.

12.4. Всички въпроси относно това СОД или други заявки във връзка с обработката на лични данни трябва да бъдат отправени до нас на адрес: [email protected]. SumUp ще опита да разреши всякакви жалби във връзка с използването на Данните на вашите клиенти в съответствие с настоящото СОД, Условията и вътрешните политики на SumUp.

12.5. Ако някоя от разпоредбите на СОД бъде счетена за невалидна, това не засяга останалите разпоредби. Страните следва да заменят невалидните разпоредби със законни разпоредби, отразяващи целта на невалидната разпоредба.

12.6. Настоящото СОД се ръководи и тълкува в съответствие с приложимото право и приложимите Допълнителни условия.

Приложение №1

1. Предмет. Предметът е обработката на данни съгласно това СОД.

2. Цел и естество на обработката. Целта на обработката на данни съгласно настоящото СОД е предоставянето и подобрението на Услугите, инициирани от вас.

3. Времетраене. Що се отнася до вас и нас, времетраенето на обработката на данни съгласно това СОД се определя от вас и за избрания период, за който решите да използвате нашите Услуги.

4. Категории субекти на данни. Вашите клиенти, потенциалните клиенти на вашите клиенти, вашите служители, счетоводители (за Фактуриране и Счетоводство) и/или всяко друго лице, чиито лични данни са включени в Съдържанието. За Подаръчни ваучери, купувачи на подаръчни ваучери и/или получатели на подаръчни ваучери или други лица, чиито лични данни се обработват като част от Услугите за подаръчни ваучери в съответствие с Допълнителните условия и Условията на SumUp.

5. Тип на личните данни. Данните на Вашите клиенти се обработват като част от Услугите в съответствие с Условията и дадените инструкции. Тези данни може да се различават в зависимост от използваните Услуги и могат да включват, но да не се ограничават до:

Онлайн магазин

Имена на вашите клиенти, имейл адрес, мобилен/телефонен номер, физически адрес(и), данни за плащане, история на транзакции/поръчки, IP адрес, информация от бисквитки и подобни технологии, маркетингови предпочитания. 

Подаръчни ваучери

Имена и имейл адреси на клиента, който купува и получава подаръчен ваучер, сума на подаръчния ваучер, съобщение за подаръчния ваучер.

Фактуриране и счетоводство

Имена, физически адрес(и), мобилен/телефонен номер, имейл адрес(и), номера на сметки и/или банкови данни, предмет на фактурата, данни за транзакция/поръчка, статус на фактурите. 

За POS

Имена, физически адрес(и), мобилен/телефонен номер, имейл адрес(и), данни за транзакция/поръчка, коментари, относно вашите служители – брой на персонала, идентификационни данни за вход, IP адрес, позиция, имейл, поръчки, езикови предпочитания. 

Специални категории лични данни, включително данни, свързани с наказателни присъди и нарушения, не са предмет на обработка съгласно Услугите, те са изключени от условията на настоящото СОД. Ако такива данни се обработват, докато използвате нашите Услуги, това е без знанието на SumUp и трябва да изтриете такава информация веднага след като идентифицирате подобна обработка.