Dohoda o ochraně osobních údajů

S účinností od 22. dubna 2020

Poslední aktualizace 20.11. 2020

Tato Smlouva o ochraně údajů („DPA“) je součástí a podléhá ustanovením dodatečných podmínek použití dárkových karet („Smlouva“, „Dodatečné podmínky“), zásad ochrany osobních údajů a jakýchkoli dalších příslušných smluvních podmínek společnosti SumUp (dále jen „Podmínky“, „Zásady ochrany osobních údajů“) uzavřené a dohodnuté mezi vámi jako obchodníkem SumUp („vy“) a společností SumUp Limited, se sídlem Block 8, Harcourt Centre, Charlotte Way, Dublin 2, Ireland D02 K580, („SumUp“ , „my“), jako součást společností SumUp SARL Group - SumUp Group.

SumUp a vy (dále jen „strany“) souhlasíte a zajistíte, že podmínky této DPA budou plně použitelné také pro její přidružené subjekty, které se mohou podílet na zpracování osobních údajů s ohledem na služby dárkových karet definované v dodatečných podmínkách.

Aby bylo možné poskytovat služby dárkových karet v souladu s dodatečnými podmínkami, společnost SumUp zpracovává údaje zákazníků služeb dárkových karet. („Vaši zákazníci“, „Zákazníci“). Zpracování těchto údajů společností SumUp je dále označováno jako „zpracování“ (jak je tento pojem definován v GDPR). DPA stanoví podmínky takového zpracování společností SumUp.

1. Definice. a. „Použitelnými právními předpisy na ochranu osobních údajů“ se rozumí nařízení (EU) 2016/679 („GDPR“, „nařízení“), jakož i všechny ostatní platné právní předpisy upravující zpracování osobních údajů, včetně příslušné směrnice 2002/58/ES o soukromí a elektronických komunikacích. b. Pojmy „správce“, „subjekt údajů“, „osobní údaje“, „proces“, „zpracování“ a „zpracovatel“, „společný správce“ mají významy, které jsou uvedeny v GDPR.c. „Údaje vašich zákazníků“ jsou osobní údaje vašich zákazníků – kupující dárků, příjemci dárků a další osoby, jejichž údaje jsou zpracovávány v souvislosti s našimi službami dárkových karet.

Všechny definice, které jsou používány v této DPA, ale nemají v této části výslovnou definici, budou mít význam definovaný v dodatečných podmínkách. Pokud v dodatečných podmínkách nebo podmínkách neexistuje konkrétní definice, bude jejich význam takový, jaký je uveden v GDPR nebo v jiných použitelných pravidlech, pokud to není v nařízení stanoveno.

2. Použitelnost, rozsah a role.

2.1 Tato DPA upravuje zpracování osobních údajů pouze na základě, pro účely a v době platnosti poskytování služeb dárkových karet SumUp nebo souvisejících služeb v souladu s dodatečnými podmínkami.

2.2 Tato DPA se nevztahuje na osobní údaje zpracovávané jednou ze stran v pozici nezávislého správce osobních údajů. Souhlasíte s tím, že společnost SumUp nenese odpovědnost za osobní údaje, které jste se rozhodli zpracovat prostřednictvím služeb třetích stran nebo mimo služby dárkových karet, včetně systémů jakýchkoli jiných cloudových služeb třetích stran nebo offline či online úložiště.

2.3 V rozsahu, v jakém vaše údaje zpracovává společnost SumUp vaším jménem a toto zpracování podléhá GDPR, berete na vědomí a souhlasíte s tím, že pro účely poskytování služeb dárkových karet společností SumUp jste správcem těchto osobních údajů a používáním služeb SumUp jste pověřili společnost SumUp zpracováním údajů o vašich zákaznících vaším jménem v souladu s touto DPA. SumUp vystupuje jako zpracovatel údajů vaším jménem, s výjimkou případů, kdy se osobní údaje vašich zákazníků používají pro naše vlastní účely, jako je například prověřování rizik/podvodů, dodržování zákonů, ochrana našich zájmů, zlepšování našich služeb. Jste vydavatelem dárkové karty a my vám poskytujeme řešení pro vydávání dárkových karet.

2.4 Pokud zpracováváme osobní údaje vašich zákazníků pro společně určené účely a prostředky, můžeme být spolu s vámi považováni za společné správce. Takový vztah společné kontroly může nastat, pokud se spoléháme na jeden a tentýž právní důvod (jako je souhlas) pro společné marketingové činnosti. Pokud však společnost SumUp zpracovává osobní údaje pro naše vlastní marketingové účely a vy je zpracováváte pro své vlastní marketingové účely, jsme samostatnými správci.

2.5 Při odesílání odkazů na nákup dárkových karet vašim zákazníkům jste správcem jejich údajů a za toto zpracování nesete výlučnou odpovědnost v souladu s příslušnými právními předpisy na ochranu údajů.

2.6 Jste výhradně zodpovědní za dodržování všech zákonů a předpisů vztahujících se na data vašich zákazníků, pokud jsou ve vašem vlastnictví, úschově nebo pod vaší kontrolou. Abyste se vyvarovali jakýchkoli pochybností, jste výhradně odpovědní za dodržování příslušných zákonů na ochranu osobních údajů, tj. jste nezávislým správce osobních údajů pro zpracování dat vašich zákazníků před, po nebo mimo používání našich služeb dárkových karet.

2.7 Přijetí této DPA můžete kdykoli odvolat, ale společnost SumUp vám již nebude moci tuto službu poskytovat. 3. Podrobnosti zpracování dat. A. Předmět. Předmětem zpracování údajů podle této DPA je zpracování osobních údajů vašich zákazníků za účelem poskytování služeb dárkových karet SumUp.

b. Doba trvání. Mezi vámi a námi je stanoveno, že dobu trvání zpracování údajů podle této DPA určujete vy a trvá tak dlouho, dokud budete používat naše služby dárkových karet.

c. Účel. Účelem zpracování dat podle této DPA je poskytování vámi iniciovaných dárkových karet.

d. Povaha zpracování. Služby dárkových karet, jak jsou popsány v dodatečných podmínkách a jak jste je iniciovali.

e. Druh osobních údajů. Data vašich zákazníků– kupujících dárkových karet anebo příjemců dárkových karet nebo jiných osob, jejichž osobní údaje jsou zpracovávány jako součást služeb dárkových karet v souladu s dodatečnými podmínkami a podmínkami společnosti SumUp. Tato data zahrnují, zejména jména vašich zákazníků, e-mailovou adresu, bankovní údaje. Zvláštní kategorie osobních údajů, včetně údajů týkajících se odsouzení za trestné činy a přečiny, se nepovažují za údaje ke zpracování v rámci služeb dárkových karet a jsou vyloučeny z podmínek této DPA. Pokud jsou takové údaje zpracovávány při používání našich služeb, není to s vědomím společnosti SumUp a tyto informace byste měli odstranit ihned po identifikaci takového zpracování.

f. Kategorie subjektů údajů. Vy, vaši zákazníci – kupující dárkových karet a příjemci dárkových karet a další osoby, jejichž osobní údaje jsou zpracovávány za účelem poskytování služeb dárkových karet. 4. Práva a povinnosti.

4.1 Společnost SumUp jako zpracovatel osobních údajů jednající vaším jménem:

a. zpracovává údaje vašich zákazníků pouze pro účely uvedené v DPA a v souladu s příslušnými zákony a DPA.

b. smí jednat a zpracovávat údaje svých zákazníků pouze v souladu s vaším dokumentovaným pokynem, pokud zákon nebo soudní nařízení nebo legislativní opatření nevyžaduje, jednat bez takového pokynu. Váš pokyn v okamžiku aplikace této DPA je ten, že společnost SumUp může zpracovávat údaje vašich zákazníků pouze za účelem poskytování služeb dárkových karet, jak je popsáno v DPA a dalších podmínkách. V souladu s podmínkami této DPA a po vzájemné dohodě obou stran můžete vydat další písemné pokyny v souladu s podmínkami této DPA.

C. zaručuje, že osoby oprávněné ke zpracování osobních údajů převzaly povinnost mlčenlivosti nebo jsou ze zákona povinny zachovávat mlčenlivost.

d. zaručuje, že přístup k osobním údajům je poskytován na základě potřeby s ohledem na výkon služeb dárkových karet podle dodatečných podmínek.

e. odpovídá za to, že zaměstnanci/subdodavatelé anebo zástupci zpracující údaje vašich zákazníků budou zpracovávat osobní údaje pouze v souladu s vašimi pokyny.

f. vás bude okamžitě informovat, pokud se domníváme, že některé nebo jakékoli z vašich pokynů jsou v rozporu s příslušnými právními předpisy na ochranu údajů.

g. je povinna chránit údaje svých zákazníků podle této DPA před jakýmkoli zničením, změnou, ztrátou a jakýmkoli jiným neoprávněným zpracováním. Za tímto účelem společnost SumUp přijímá příslušná bezpečnostní opatření v souladu s platnými zákony. Technická a organizační opatření, která používá společnost SumUp, závisí na technickém pokroku. Je možné, že společnost SumUp může zavést některá alternativní vhodná opatření. Při zavádění takových alternativ není možné snížit úroveň definovaných bezpečnostních opatření. Společnost SumUp vám v případě potřeby pomůže s příslušnými technickými a organizačními opatřeními a s ohledem na povahu zacházení a kategorii informací, které má společnost SumUp k dispozici, pomůže zajistit dodržování vašich povinností podle příslušných právních předpisů na ochranu údajů.

h. na základě vaší přiměřené žádosti zpřístupní certifikáty prokazující, že společnost SumUp plní své povinnosti podle této DPA a příslušných právních předpisů na ochranu údajů; anebo poskytuje informace nezbytné k prokázání souladu s povinnostmi podle této DPA a příslušných právních předpisů na ochranu údajů. Informace, které má společnost SumUp zpřístupnit, jsou omezeny pouze na nezbytné informace, a to s ohledem na povahu služeb dárkových karet a informace, které má společnost SumUp k dispozici, a které vám pomohou při plnění vašich povinností, zejména s ohledem na články 32 a 36 GDPR (povinnosti týkající se posouzení dopadů na ochranu údajů, předchozí konzultace a zajištění bezpečnosti osobních údajů).

i. vám v přiměřených lhůtách pomůže vhodnými opatřeními, pokud je to přiměřeně možné (s ohledem na povahu zpracování), při dodržování práv subjektu údajů a všech dalších příslušných povinností vyplývajících z nařízení o ochraně osobních údajů, včetně GDPR.

j. vás upozorní, pokud to dovolují příslušné zákony, na obdržení dotazu nebo stížnosti od osoby, jejíž osobní údaje jsou zpracovávány za účelem poskytování služeb dárkových karet nebo závazné žádosti vlády, donucovacích orgánů, regulačních orgánů nebo jiných orgánů vztahující se k osobním údajům vašich zákazníků, které zpracováváme vaším jménem a na základě vašich pokynů.

4.2 Vy jako správce osobních údajů:

a. budete shromažďovat, používat a zpracovávat osobní údaje v souladu s veškerou platnou legislativou týkající se ochrany osobních údajů.

b. nesete výlučnou odpovědnost za přesnost, kvalitu a zákonné zpracování údajů vašich zákazníků a prostředků, za kterých byly získány.

c. při používání služeb dárkových karet zajistíte odpovídající úroveň bezpečnosti, přičemž vezměte v úvahu všechna rizika týkající se údajů vašich zákazníků.

d. berete na vědomí, že za jakékoli ukládání anebo přenos údajů vašich zákazníků na jakoukoli třetí stranu nebo platformu, kromě SumUp, nesete výhradní riziko a odpovědnost.

e. zajistěte, aby vaše pokyny týkající se zpracování osobních údajů byly v souladu se všemi zákony, předpisy a pravidly platnými v souvislosti s údaji vašich zákazníků. Dále zajistíte, že zpracování údajů vašich zákazníků v souladu s vašimi pokyny nezpůsobí ani nepovede k tomu, že námi nebo vámi budou porušeny jakékoli zákony, pravidla nebo předpisy (včetně GDPR).

4.3 Musíte přijmout a dodržovat vlastní zásady „ochrany osobních údajů zákazníků." Vaše zásady ochrany osobních údajů budou k dispozici, aby vaši zákazníci měli informace o postupech shromažďování a používání vašich údajů a budou dodržovat příslušné právní předpisy na ochranu údajů. Zásady ochrany osobních údajů vašich zákazníků budou zahrnovat popisy, aby vaši zákazníci věděli, jak jsou jejich údaje používány vámi a námi.

4.4 Souhlasíte s tím, že ke každému výpisu, zprávě nebo kampani, odeslané nebo distribuované prostřednictvím služby dárkových karet, můžeme přidat odkaz týkající se možností "Odhlásit" z důvodu regulace osobních údajů anebo prohlášení jako "E-mailový marketing by SumUp" nebo "Powered by SumUp" do zápatí nebo na jiné podobné místo, které nepřiměřeně nezakrývá zprávu nebo kampaň.

4.5 Každá strana, vystupující jako samostatný správce nebo společný správce, je povinna dodržovat příslušné právní předpisy na ochranu osobních údajů a jakýkoli konkrétní právní akt použitelný pro režim informací zpracovávaných při výkonu svých činností.

4.6 Pokud obě strany vystupují jako společný správce, dohodly se na tom, že subjekty údajů, jejichž osobní údaje jsou zpracovávány pro služby dárkových karet, mohou uplatňovat svá práva spojená se zpracováním osobních údajů u každé ze stran, pokud není dohodnuto jinak. Pokud vystupujeme jako společný správce společných marketingových aktivit založených na stejném právním základě pro zpracování osobních údajů – souhlas kupujícího dárkové karty anebo příjemce dárkové karty, souhlasíte s tím, že pokud subjekt údajů odvolá souhlas přímo u vás, budete okamžitě informovat společnost SumUp. Pokud jedna ze stran obdrží od subjektu údajů žádost nebo dotaz týkající se záležitostí spadajících do kompetence jiné strany, bude žádost postoupena této straně bez zbytečného odkladu,

4.7 Každá strana jednající jako samostatný správce nebo společný správce, zaručuje, že subjektům údajů, jejichž osobní údaje jsou zpracovávány za účelem poskytování služeb dárkových karet, budou poskytovány nezbytné informace podle článků 13 a 14 GDPR. Každá strana je nápomocna druhé straně při dodržování příslušných právních předpisů na ochranu údajů při dodržování práv subjektu údajů (pokud je to relevantní) v souvislosti se zpracováním osobních údajů a oznamováním porušení osobních údajů.

4.8 Pokud vystupuje jako společný správce, v případě obdržené stížnosti: a. každá strana je odpovědná za vyřizování jakýchkoli stížností od subjektů údajů, pokud se stížnosti týkají porušení ustanovení nařízení, za která je strana podle této DPA odpovědná.

b. pokud jedna ze stran obdrží stížnost, která by měla správně být zcela nebo zčásti vyřízena druhou stranou, bude stížnost postoupena bez zbytečného odkladu.

c. subjekt údajů musí být informován o podstatě této dohody v souvislosti s předáním stížnosti nebo části stížnosti druhé straně.

d. strany se vzájemně informují o záležitostech podstaty společného zpracování a této DPA. 5. Oznámení o porušení.

5.1 Strana neprodleně uvědomí druhou stranu (nejpozději však do 48 hodin) poté, co se dozví o porušení osobních údajů ve vztahu k osobním údajům zpracovávaným podle této DPA. Strana oznamující porušení je povinna poskytnout druhé straně další informace o porušení osobních údajů, shromažďovat a ukládat důkazy o porušení osobních údajů.

5.2 Společnost SumUp vám jako zpracovatel osobních údajů pomůže při plnění vašich oznamovacích povinností podle článků 33 a 34 GDPR, poskytne vám informace o porušení, které vám můžeme přiměřeně sdělit, s přihlédnutím k povaze služeb dárkových karet, informacím, které máme k dispozici a omezením týkajícím se sdělování informací, například z důvodu důvěrnosti. Navzdory výše uvedenému se závazky společnosti SumUp podle této části nevztahují na incidenty, které jsou způsobeny vámi, aktivitou na vašem účtu anebo službami třetích stran. Společnost SumUp je povinna spolupracovat a podporovat vás při vyšetřování, minimalizaci negativních důsledků a nápravě porušení osobních údajů, jakož i při prevenci budoucích podobných porušení údajů.

5.3 Oznámení společnosti SumUp o porušení osobních údajů nebude považováno za potvrzení jakékoli chyby nebo odpovědnosti společnosti SumUp v souvislosti s takovým incidentem. V případě porušení osobních údajů jste povinni přijmout opatření požadovaná podle příslušných zákonů v souvislosti s údaji vašich zákazníků.

5.4 V případě společné kontroly se společností SumUp se strany na základě poskytnutých informací a konkrétního případu rozhodnou, která strana oznámí porušení orgánu pro ochranu osobních údajů (je-li to relevantní) podle příslušných ustanovení právních předpisů na ochraně údajů.

6. Další zpracovatelé. Tímto udělujete společnosti SumUp (jedná-li se jako zpracovatel osobních údajů) všeobecné oprávnění k zapojení dalších zpracovatelů za účelem poskytování služeb dárkových karet bez dalšího písemného nebo specifického oprávnění. SumUp uzavře smlouvu s každým dalším zpracovatelem, která zajistí soulad tohoto dalšího zpracovatele s podmínkami zajišťujícími alespoň stejnou úroveň ochrany a bezpečnosti, jaké jsou stanoveny v této DPA. Pokud proti jakémukoli dalšímu zpracovateli vznesete námitku a vaše námitka je přiměřená a souvisí s obavami o ochranu osobních údajů, použijeme komerčně přiměřené úsilí k tomu, abyste zabránili zpracování údajů vašich zákazníků tímto dalším zpracovatelem. Pokud nemůžeme provést takové navrhované změny v přiměřené lhůtě, upozorníme vás a pokud stále budete mít námitky proti našemu využití takového dalšího zpracovatele, můžete zrušit nebo ukončit svůj účet nebo části služby dárkových karet, které zahrnují využití takových dalších zpracovatelů, pokud je to možné. 7. Přenos osobních údajů. Zpracování osobních údajů vašich zákazníků prostřednictvím společnosti SumUp bude probíhat na území Evropského hospodářského prostoru (dále jen „EHP“). Jakýkoli převod a zpracování v třetí zemi mimo EU/EHP, která nezajišťuje odpovídající úroveň ochrany podle Evropské komise, se provádí v souladu se standardními smluvními doložkami (2010/87/EU) nebo jiným vhodným mechanismem zaručujícím přiměřenou úroveň bezpečnosti osobních údajů podle požadavků kapitoly V GDPR. 8. Audity. Jste oprávněni zahájit přezkum povinností společnosti SumUp podle této DPA týkající se pouze činností zpracování, pro které společnost SumUp jedná vaším jménem – jako váš zpracovatel osobních údajů. Audity mohou být zahájeny jednou ročně. Pokud je to od společnosti SumUp požadováno podle platných právních předpisů, mohou být audity opakovány jednou ročně. Obě strany společně rozhodnou, zda by audit měla provést třetí strana. Můžete nám však povolit provedení bezpečnostní prověrky neutrální třetí stranou dle našeho výběru, pokud se jedná o prostředí zpracování, ve kterém jsou zpracovávány údaje více správců údajů. Pokud se navrhovaný rozsah auditu řídí ISO nebo podobnou certifikační zprávou provedenou kvalifikovaným auditorem třetí strany v předchozích dvanácti měsících a společnost SumUp potvrzuje, že nedošlo k žádným podstatným změnám v hodnocených opatřeních, uspokojí to všechny obdržené žádosti v takovém časovém rámci. Audity nesmějí nepřiměřeně zasahovat do běžného podnikání společnosti SumUp. Nesete odpovědnost za veškeré náklady spojené s dodatečnou žádostí o kontrolu auditu. 9. Odpovědnost. Odpovědnost každé strany podle této DPA podléhá výjimkám a omezením odpovědnosti stanoveným v dodatečných podmínkách anebo podmínkách. Souhlasíte s tím, že jakékoli regulační sankce nebo nároky subjektů údajů či jiných subjektů, které společnosti SumUp vzniknou v souvislosti s údaji vašich zákazníků v důsledku nebo v souvislosti s vaším nesplněním vašich povinností podle této DPA nebo příslušného zákona na ochranu údajů, sníží maximální souhrnnou odpovědnost společnosti SumUp vůči vám na základě dodatečných podmínek anebo podmínek na částku odpovídající pokutě anebo závazku, který nám v důsledku tohoto vznikl. 10. Ukončení. 10.1 Tato DPA je platná po celou dobu, kdy používáte jakoukoli z dárkových karet SumUp. Pokud je však společnost SumUp povinna v souladu s podmínkami této DPA nebo jakýmikoli podmínkami společnosti SumUp či příslušnými právními předpisy uchovávat osobní údaje zpracovávané podle této DPA anebo podmínek společnosti SumUp po ukončení poskytování služeb dárkových karet, zůstává tato DPA v platnosti tak dlouho, dokud bude společnost SumUp povinna uchovávat takové osobní údaje.

10.2 Po ukončení používání služeb dárkových karet a pokud není společnost SumUp povinna uchovávat osobní údaje svých zákazníků v souladu s dodatečnými podmínkami anebo podmínkami společnosti SumUp, jakoukoli smlouvou nebo platnými zákony, společnost SumUp na vaší písemnou žádost smaže osobní údaje, jakmile to bude rozumně proveditelné a v souladu s podmínkami společnosti SumUp a platnými zákony. 11. Různé.

11.1 V případě rozporu mezi touto DPA a některou z dodatečných podmínek anebo podmínek společnosti SumUp budou mít přednost ustanovení této DPA.

11.2 Jste zodpovědní za veškeré náklady a výdaje vzniklé v souvislosti s dodržováním vašich pokynů nebo požadavků společností SumUp podle dodatečných podmínek (včetně této DPA), které nespadají do standardní funkce, kterou společnost SumUp obecně poskytuje prostřednictvím služeb dárkových karet.

11.3 Společnost SumUp má právo měnit anebo upravovat jakoukoli z podmínek této DPA, jak může být občas požadováno. Změny smlouvy může společnost SumUp provést samostatným dodatkem nebo jiným viditelným způsobem a budou náležitě oznámeny.

11.4 Jakékoli dotazy týkající se této DPA nebo jiných požadavků týkajících se zpracování osobních údajů by nám měly být zaslány na adrese [email protected] SumUp se pokusí vyřešit veškeré stížnosti týkající se zpracování osobních údajů v souladu s touto DPA, podmínkami a vnitřními zásadami společnosti SumUp.

11.5 Jsou-li některá ustanovení DPA považována za neplatná, nemá to vliv na zbývající ustanovení. Strany nahradí neplatná ustanovení právním ustanovením, které odráží účel neplatného ustanovení.

Tato smlouva se řídí irským právem a vykládá se v souladu s ním. Veškeré spory vzniklé v souvislosti s touto smlouvou budou s konečnou platností řešeny a vyřešeny soudy Irska, s výjimkou případů, kdy je to zakázáno právem EU.